中國個人信息保護法初探

蔡朝安 主持律師 / 張馨云 顧問

近期中國對於資料監管的力道逐漸加強，與網路安全及個人資料相關之法規相繼制定及生效。其中最引人注目的，無非是大陸首次提出之個人資料保護專門立法 – 中國個人信息保護法（以下簡稱中國個保法），該法於今年8月20日通過、並將於今年11月1日起施行。如同歐盟GDPR一般，中國個保法亦有域外適用的效力，縱使是境外公司，只要以向中國境內自然人提供產品或服務為目的（例如透過跨境電商販賣產品）、或分析、評估中國境內自然人的行為，仍有中國個保法的適用。是以，對於與中國大陸往來頻繁的我國企業來說，亦有可能須遵守中國個保法的規範，是就有關中國個保法中合規的要求，不可不慎。

尤有甚者，中國個保法對於違反該法之處罰亦不可輕忽。依中國個保法之規定，如違反該法之規定且情節嚴重者，將有可能被處人民幣五千萬元以下或上一年度營業額百分之五以下之罰款，且有權令業者暫停業務、停業整頓、吊銷業務許可或吊銷營業執照，且對直接負責之主管及其他應負責之人亦得處人民幣十萬元以上一百萬元以下罰款，並可禁止其於一定期間內擔任重要職位。雖未來監管的力道尚屬未知，惟此一嚴峻的規定，亦或多或少展現了中國就違法者之處罰偏向嚴格的態度。

以下茲針對中國個保法的幾個規範要點，簡要說明：

敏感性個人資料之處理    

首先，對於敏感性個人資料，中國個保法明文規定，應取得個資當事人個人的單獨同意，且僅有在具特定目的與充分必要性，並採取嚴格保護措施的前提下才得以處理。而此處所稱之同意，亦依循告知後同意之基本原則，除了基本的應告知事項外，亦須使個人知悉處理敏感性個人資料的必要性及對個人權益的影響。且所謂同意，須是由個人在充分知情的基礎下所自願且明確作成之「真同意」，個人同時並享有撤回之權利。應特別說明者為，中國個保法中敏感性個人資料的範圍與我國並不完全相同，中國個保法中明文將生物識別、宗教信仰、特定身分、醫療健康、金融帳戶、行蹤軌跡及未滿十四歲之未成年人的個人資料等項目列入敏感性個人資料的範疇中，且對於未滿十四歲之未成年人的個人資料處理，亦要求應取得未成年人之父母或其他監護人的同意，且個人資料處理者應制訂專門的處理規則。

個人資料跨境傳輸       

其次，在資料的跨境傳輸方面，如欲將個人資料傳輸至中國境外，則須符合通過中國網信部門組織的安全評估、經專業機構進行個人資料保護認證、與境外資料接收方締結中國網信部門制定之標準契約等要件之一，且須明確告知個人境外資料接收方資訊、資料處理相關事項、行使當事人權利之方式及程序等事項，並取得個人單獨的同意。此外，中國個保法中亦有「資料在地化」的要求，在符合特定的情況下，須將在中國蒐集和產生的個人資料儲存於境內，倘有境外傳輸的需求，則須通過中國網信部門組織之安全評估。

個人資料處理者之義務       

另值得注意的是，若所處理的個人資料達到政府主管機關規定的數量時，則應指定個人信息保護負責人（近似於GDPR之資料保護官），由其負責監督個資處理活動及所採取之保護措施等事宜。此外，如境外企業受中國個保法域外效力所及，則須在中國境內設立專門機構或指定代表，負責處理個人資料保護相關事務及與政府主管機關間之聯繫事宜。

綜上，雖個資保護已非新的議題、且中國個保法與GDPR存有一定程度的相似性，但究其實質仍帶有規範之特殊性，故縱使企業目前已遵守GDPR之要求，亦不保證即符合中國個保法所認定之合規。是以，我們建議企業應確認及盤點目前經營活動下之個人資料處理情形，對於觸及中國個保法之個人資料蒐集、處理或利用，應檢視現行內部規範、處理流程及實務運作等各面向是否確實合法合規，以免誤觸中國個保法致受裁罰。

本文係參考PwC Legal 香港聯盟所文稿所撰寫。如果對於中國個人信息保護法有任何問題請不吝與我們聯繫。