目前位置: 首頁 / 國內外新聞 / 國內新聞 / 陸通過個保法對台商影響

陸通過個保法對台商影響

2021年8月20日大陸第十三屆全國人民代表大會常務委員會第三十次會議正式通過《個人信息保護法》,預計自2021年11月1日起正式實施。《個保法》據稱是世界上最嚴格的個資法,事實上,不論究其規範效力或範圍,確實更甚於歐盟《一般數據保護條例》(「GDPR」),不僅在於其對於「個人信息」的定義更為寬廣,且基於域外管轄原則,不僅規範在大陸境內收集及使用個人信息的個人信息處理者。

律師蔡步清於《工商時報》撰文提醒,中國通過《個人信息保護法》,對台商的影響。

2021年8月20日大陸第十三屆全國人民代表大會常務委員會第三十次會議正式通過《個人信息保護法》(以下稱《個保法》),預計自2021年11月1日起正式實施。《個保法》據稱是世界上最嚴格的個資法,事實上,不論究其規範效力或範圍,確實更甚於歐盟《一般數據保護條例》(「GDPR」),不僅在於其對於「個人信息」的定義更為寬廣,且基於域外管轄原則,不僅規範在大陸境內收集及使用個人信息的個人信息處理者,包括在大陸境外,以向境內自然人提供產品或者服務為目的,分析、評估境內自然人的行為等處理大陸境內自然人個人信息的活動,也適用本法。因此,對於外商或台商而言,只要是處理大陸個人信息,不論是否在大陸境內,如何準確適用本法,以免產生法律風險,將是包括台商在內的外商在處理大陸個人信息的最大課題。

《個保法》全文共八章74條,包括:總則、個人信息處理規則、個人信息跨境提供的規則、個人在個人信息處理活動中的權利、個人信息處理者的義務、履行個人信息保護職責的部門、法律責任和附則等,建構大陸個人信息保護的立法框架。

《個保法》立法重點包括:個人信息的定義從寬認定(第4條);屬地、屬人雙重管轄原則(第3條);確立合法正當誠信原則(第5條),目的明確必要原則(第5條),透明原則(第7條),品質原則(第8條),責任和安全保護原則(第9條),禁止非法處理原則(第10條),協同治理原則(第11條);新增處理信息的六大合法理由(第13條),且賦予撤回同意的權利(第15條);明確規定個人同意的主觀、形式要件,及單獨同意的權利(第14、25、39條);關於個人信息處理者告知(第17條)及豁免告知(第18條)的法定情形;向第三方提供的告知同意(第23條);自動化決策及其行銷使用場景(第24條);新增公共場所採集圖像的特別規定(第26條);新增公共場所採集圖像的特別規定(第26條);公開個人信息及使用公開的個人信息的特別限制(第27條);敏感個人信息的範圍及限制(第28至32條);個人信息跨境的限制(第38至43條);個人信息主體權利,包括:知情權、決定權、限制權、拒絕權、查閱、複製權、更正、補充權、刪除權及規則解釋權等(第44至48條);提高行政責任處罰標準,新增「情節嚴重」的處罰標準(第66條);明確民事責任法定賠償制度,採用過錯推定責任原則(第69條);採行公益訴訟制度(第70條)等。

綜觀而言,《個保法》對於個人信息的定義及權利範圍,似與《網絡安全法》及《民法典》規定不甚一致,將來適用時可能產生疑義;此外,《個保法》的監管部門及監管範圍,似與《網絡安全法》及《數據安全法》疊床架屋,將來監管部門如何分工,亟待相關實施條例或辦法出台明確規定之。

其中涉及台商影響較為重大的部分,主要是關於境內存儲及境外傳輸限制的規定。除了關鍵信息基礎設施運營者依據《網絡安全法》應當將在大陸境內收集和產生的個人信息存儲在境內外,處理個人信息達到國家網信部門規定數量的個人信息處理者,同樣也受到境內存儲限制(第40條)。此外,個人信息處理者向境外提供個人信息,應當通過安全評估,進行個人信息保護認證,及按照標準合同與境外接收方訂立合同,約定雙方的權利和義務等(第38條),且應取得個人的單獨同意(第39條)。如個人信息處理者在大陸境外,在大陸境內設立專門機構或者指定代表,負責處理個人資訊保護相關事務(第69條),此與《個保法》的域外管轄擴展落地直接呼應,也是與歐盟GDPR等域外個人信息保護法的機制保持一致性的對等要求。

《個保法》如正式實施,預期將對在大陸台商及於大陸境外使用大陸個人信息的台灣廠商產生衝擊,包括:行使同意與告知的政策、自動化決策、公開個人信息及使用公開的個人信息的特別限制、敏感個人信息的收集、個人信息跨境的限制、建立境外個人信息處理者的溝通路徑、高風險處理活動評估等,台商應預先妥為因應。

引用來源:工商時報