中國大陸個人信息保護法草案全文發布

中國大陸第13屆全國人大常委會日前於第22次會議針對《個人信息保護法（草案）》進行審議，並公布草案全文，徵求各界意見至2020年11月19日止。

鑑於我國不乏有企業與中國大陸進行商務往來，此次中國大陸個人信息保護法草案，倘通過立法，其對於我國企業於中國大陸的經營，將可能帶來不小的衝擊。該草案全文共70條，內容不僅賦予自然人就其個人資料之權利，更課與個人信息處理者相應義務，且違反者最高可處5000萬元以下或上一年度營業額5％的罰款，同時可能遭命暫停相關業務、停業整頓或吊銷營業執照等處罰，其所規範的法律效果值得有關企業重視。

同時由該草案全文也可略窺歐盟一般資料保護規則（General Data Protection Regulation, GDPR）的影子，雖然並未全部移植GDPR規範內容，然而不論是對於自然人的權利、企業的義務、罰款金額，甚至是域外效力的規範，均可看出該個人信息保護法草案試圖仿效GDPR就個人資料的處理與保護進行規範。以下簡要介紹該草案的內容

一、地域適用範圍

依該草案第3條，於下列情形，均有個人信息保護法的適用

（一）在中國大陸境內處理（包含個人信息的收集、儲存、使用、加工、傳輸、提供、公開等活動）自然人個人信息的活動。

（二）在中國大陸境外處理自然人個人信息的活動，且符合下列情形：
1.以向境內自然人提供產品或服務為目的。
2.為分析評估中國大陸境內自然人的行為。
3.法律、行政法規規定的其他情形。

二、個人信息的定義

依該草案第4條規定，所謂個人信息是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息（不包括匿名化處理後的信息）。同時於草案第29條第2項將種族、民族、宗教信仰、個人生物特徵、醫療健康、金融帳戶、個人行蹤與其他一旦洩漏或者非法使用可能導致個人受到歧視或者人身、財產安全受到嚴重危害的個人信息列為敏感個人信息，而需另外遵守特別規定（第29條至第32條）。

三、個人自主權保障

（一）自主同意與個人信息處理

倘個人信息的處理是基於個人的同意，應當在個人充分知情的前提下、自願、明確作出意思表示。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的，從其規定（第14條第1項），同時，個人有權撤回其同意（第16條）。

當個人信息的處理目的、處理方式和處理的個人信息種類發生變更的，應重新取得個人同意（第14條第2項）。另外，個人信息處理者知道或者應當知道其處理的個人信息為不滿14周歲未成年人個人信息時，應取得未成年人監護人的同意。

最後，除個人信息的處理是提供產品或服務所必須外，個人信息處理者不得以個人不同意處理個人信息或者撤回同意為由，拒絕提供產品或服務（第17條）。

（二）自動化決策相關權利

個人信息處理者利用個人信息進行自動化決策時，應保證決策的透明度和處理結果的公平合理。當個人認為自動化決策對其權益造成重大影響時，有權要求個人信息處理者說明，並有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。

同時通過自動化決策進行商業營銷、信息推送時，個人信息處理者應同時提供不針對其個人特徵的選項。

（三）個人關於個人信息的權利

1.知情權（第44條）
2.決定權（第44條）
3.限制或拒絕個人信息的處理（第44條）
4.請求查閱、複製個人信息（第45條）
5.請求補充更正（第46條）
6.刪除權（第47條）

四、企業個人信息保護的義務

（一）個人信息保護原則的遵循

1.誠實信用原則（第5條）
2.目的特定原則、資料最小化原則（第6條）
3.公開透明原則（第7條）

（二）維持個人信息正確性（第8條）

（三）採取安全措施（第9條）
1.必要安全措施（第50條）
2.指定個人信息保護負責人，在中國大陸境外的個人信息處理者應於中國大陸境內設立專門機構或指定代表（第51條）。
3.定期審計（第53條）
4.風險評估（第54條）
5.個人信息洩漏通知義務（第55條）

（四）告知義務（第18條）

個人信息處理者在處理個人信息前，原則應以顯著方式、清晰易懂的語言向個人告知：
1.個人信息處理者的身份和聯繫方式；
2.個人信息處理目的、處理方式、處理的個人信息種類、保存期限；
3.個人行使本法規定權利的方式與程序；
4.法律、行政法規規定應告知的其他事項。

前述應告知事項變更時，應將變更部分向個人告知。

（五）保存期限（第20條）

個人信息的保存期限，除法律或行政法規另有規定外，應為實現處理目的所必要的最短時間。

（六）共同個人信息處理者（第21條）

該草案第21條類似GDPR共同控制者（joint controllers）的規定，規定兩個或兩個以上的個人信息共同決定個人信息處理目的和處理方式時，應約定各自的權利義務，該約定不影響個人向任何一個個人信息處理者行使本法規定的權利。

同時，個人信息處理者共同處理個人信息，侵害個人信息權益時，應依法承擔連帶責任。

（七）委託監督義務（第22條）

（八）個人信息轉移、提供之告知義務（第23條、第24條第1項、第39條）

個人信息處理者因合併、分立等原因須要轉移個人信息時，應向個人告知接收方的身份、聯繫方式。接收方應繼續履行個人信息處理者義務。接收方變更原先處理目的、處理方式時，應依照本法重新向個人告知，並取得同意。

另外個人信息處理者向第三方提供其處理的個人信息時，也應向個人告知第三方的身份、聯繫方式、處理目的、處理方式與個人信息的種類，且應取得個人的單獨同意。

（九）禁止第三方再識別（第24條第2項）

個人信息處理者向第三方提供匿名化信息時，第三方不得利用技術等手段重新識別個人身份。

五、跨境提供個人信息（第38條）

個人信息處理者因業務等需要，確需向中國大陸境外提供個人信息時，應符合以下其中之一的條件：
1.通過國家網信部門組織的安全評估；
2.按照國家網信部門的規定經專業機構進行個人信息保護認證；
3.與境外接收方訂立合同，約定雙方的權利和義務，並監督其個人信息處理活動達到本法規定的個人信息保護水準：
4.法律、行政法規或者國家網信部門規定的其他條件。

六、處罰規定（第62條）

違反本法處理個人信息，或未按照規定採取必要的安全保護措施，情節嚴重時，將由履行個人信息保護職責的部門責令改正，沒收違法所得，並處5000萬元以下或者上一年度營業額5％以下之罰款，並可責令暫停相關業務、停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照。同時對直接負責的主管人員和其他直接責任人員最高處10萬元以上，100萬元以下的罰款。

綜觀中國大陸該份個人信息保護草案，儘管與我國個人資料保護法（下稱個資法）有許多相似之處（例如個人資料處理的合法事由、委託監督義務與部分當事人權利等），然而其個人信息保護法草案引入GDPR諸多概念，包含自動化決策、禁止再識別、個人信息保護負責人與個人信息跨境提供等規範，這些均為我國個資法所無。

另外該個人信息保護法草案有域外適用的規範，我國企業不僅與中國大陸通商頻繁，且均使用華語，倘該法通過，我國許多企業較其他國家業者容易被認定為有個人信息保護法之適用，我國企業宜密切注意該部草案立法動向，並事先部署個人資料保護管理制度，以利面對這波全球對於個人資料保護法立法或修法的浪潮。

※歡迎加入喵喵科技法律隨筆，持續接收科技法律的新知！

※你可能會對這些文章有興趣
1.從抖音案看中國大陸個人資料保護的發展
2.靠攏GDPR，日本通過新修正個人情報保護法
3.個資外洩，該怎麼辦？
4.如何落實GDPR法遵？英國ICO發布問責制框架
5.歐盟法院SCHREMS II案與常見問答