中國大陸個人信息保護法草案全文發布

中國大陸第13屆全國人大常委會日前於第22次會議針對《個人信息保護法(草案)》進行審議,並公布草案全文,徵求各界意見至2020年11月19日止。

鑑於我國不乏有企業與中國大陸進行商務往來,此次中國大陸個人信息保護法草案,倘通過立法,其對於我國企業於中國大陸的經營,將可能帶來不小的衝擊。該草案全文共70條,內容不僅賦予自然人就其個人資料之權利,更課與個人信息處理者相應義務,且違反者最高可處5000萬元以下或上一年度營業額5%的罰款,同時可能遭命暫停相關業務、停業整頓或吊銷營業執照等處罰,其所規範的法律效果值得有關企業重視。

同時由該草案全文也可略窺歐盟一般資料保護規則(General Data Protection Regulation, GDPR)的影子,雖然並未全部移植GDPR規範內容,然而不論是對於自然人的權利、企業的義務、罰款金額,甚至是域外效力的規範,均可看出該個人信息保護法草案試圖仿效GDPR就個人資料的處理與保護進行規範。以下簡要介紹該草案的內容

一、地域適用範圍

依該草案第3條,於下列情形,均有個人信息保護法的適用

(一)在中國大陸境內處理(包含個人信息的收集、儲存、使用、加工、傳輸、提供、公開等活動)自然人個人信息的活動。

(二)在中國大陸境外處理自然人個人信息的活動,且符合下列情形:
1.以向境內自然人提供產品或服務為目的。
2.為分析評估中國大陸境內自然人的行為。
3.法律、行政法規規定的其他情形。

二、個人信息的定義

依該草案第4條規定,所謂個人信息是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息(不包括匿名化處理後的信息)。同時於草案第29條第2項將種族、民族、宗教信仰、個人生物特徵、醫療健康、金融帳戶、個人行蹤與其他一旦洩漏或者非法使用可能導致個人受到歧視或者人身、財產安全受到嚴重危害的個人信息列為敏感個人信息,而需另外遵守特別規定(第29條至第32條)。

三、個人自主權保障

(一)自主同意與個人信息處理

倘個人信息的處理是基於個人的同意,應當在個人充分知情的前提下、自願、明確作出意思表示。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的,從其規定(第14條第1項),同時,個人有權撤回其同意(第16條)。

當個人信息的處理目的、處理方式和處理的個人信息種類發生變更的,應重新取得個人同意(第14條第2項)。另外,個人信息處理者知道或者應當知道其處理的個人信息為不滿14周歲未成年人個人信息時,應取得未成年人監護人的同意。

最後,除個人信息的處理是提供產品或服務所必須外,個人信息處理者不得以個人不同意處理個人信息或者撤回同意為由,拒絕提供產品或服務(第17條)。

(二)自動化決策相關權利

個人信息處理者利用個人信息進行自動化決策時,應保證決策的透明度和處理結果的公平合理。當個人認為自動化決策對其權益造成重大影響時,有權要求個人信息處理者說明,並有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。

同時通過自動化決策進行商業營銷、信息推送時,個人信息處理者應同時提供不針對其個人特徵的選項。

(三)個人關於個人信息的權利

1.知情權(第44條)
2.決定權(第44條)
3.限制或拒絕個人信息的處理(第44條)
4.請求查閱、複製個人信息(第45條)
5.請求補充更正(第46條)
6.刪除權(第47條)

四、企業個人信息保護的義務

(一)個人信息保護原則的遵循

1.誠實信用原則(第5條)
2.目的特定原則、資料最小化原則(第6條)
3.公開透明原則(第7條)

(二)維持個人信息正確性(第8條)

(三)採取安全措施(第9條)
1.必要安全措施(第50條)
2.指定個人信息保護負責人,在中國大陸境外的個人信息處理者應於中國大陸境內設立專門機構或指定代表(第51條)。
3.定期審計(第53條)
4.風險評估(第54條)
5.個人信息洩漏通知義務(第55條)

(四)告知義務(第18條)

個人信息處理者在處理個人信息前,原則應以顯著方式、清晰易懂的語言向個人告知:
1.個人信息處理者的身份和聯繫方式;
2.個人信息處理目的、處理方式、處理的個人信息種類、保存期限;
3.個人行使本法規定權利的方式與程序;
4.法律、行政法規規定應告知的其他事項。

前述應告知事項變更時,應將變更部分向個人告知。

(五)保存期限(第20條)

個人信息的保存期限,除法律或行政法規另有規定外,應為實現處理目的所必要的最短時間。

(六)共同個人信息處理者(第21條)

該草案第21條類似GDPR共同控制者(joint controllers)的規定,規定兩個或兩個以上的個人信息共同決定個人信息處理目的和處理方式時,應約定各自的權利義務,該約定不影響個人向任何一個個人信息處理者行使本法規定的權利。

同時,個人信息處理者共同處理個人信息,侵害個人信息權益時,應依法承擔連帶責任。

(七)委託監督義務(第22條)

(八)個人信息轉移、提供之告知義務(第23條、第24條第1項、第39條)

個人信息處理者因合併、分立等原因須要轉移個人信息時,應向個人告知接收方的身份、聯繫方式。接收方應繼續履行個人信息處理者義務。接收方變更原先處理目的、處理方式時,應依照本法重新向個人告知,並取得同意。

另外個人信息處理者向第三方提供其處理的個人信息時,也應向個人告知第三方的身份、聯繫方式、處理目的、處理方式與個人信息的種類,且應取得個人的單獨同意。

(九)禁止第三方再識別(第24條第2項)

個人信息處理者向第三方提供匿名化信息時,第三方不得利用技術等手段重新識別個人身份。

五、跨境提供個人信息(第38條)

個人信息處理者因業務等需要,確需向中國大陸境外提供個人信息時,應符合以下其中之一的條件:
1.通過國家網信部門組織的安全評估;
2.按照國家網信部門的規定經專業機構進行個人信息保護認證;
3.與境外接收方訂立合同,約定雙方的權利和義務,並監督其個人信息處理活動達到本法規定的個人信息保護水準:
4.法律、行政法規或者國家網信部門規定的其他條件。

六、處罰規定(第62條)

違反本法處理個人信息,或未按照規定採取必要的安全保護措施,情節嚴重時,將由履行個人信息保護職責的部門責令改正,沒收違法所得,並處5000萬元以下或者上一年度營業額5%以下之罰款,並可責令暫停相關業務、停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照。同時對直接負責的主管人員和其他直接責任人員最高處10萬元以上,100萬元以下的罰款。

綜觀中國大陸該份個人信息保護草案,儘管與我國個人資料保護法(下稱個資法)有許多相似之處(例如個人資料處理的合法事由、委託監督義務與部分當事人權利等),然而其個人信息保護法草案引入GDPR諸多概念,包含自動化決策、禁止再識別、個人信息保護負責人與個人信息跨境提供等規範,這些均為我國個資法所無。

另外該個人信息保護法草案有域外適用的規範,我國企業不僅與中國大陸通商頻繁,且均使用華語,倘該法通過,我國許多企業較其他國家業者容易被認定為有個人信息保護法之適用,我國企業宜密切注意該部草案立法動向,並事先部署個人資料保護管理制度,以利面對這波全球對於個人資料保護法立法或修法的浪潮。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.從抖音案看中國大陸個人資料保護的發展
2.靠攏GDPR,日本通過新修正個人情報保護法
3.個資外洩,該怎麼辦?
4.如何落實GDPR法遵?英國ICO發布問責制框架
5.歐盟法院SCHREMS II案與常見問答

寵物咖啡廳與動物展演法律議題

路上不乏知名的寵物餐廳或咖啡廳,店內有著狗、貓等可愛的寵物讓人觀賞、撫摸與放鬆身心,任由他們的可愛療癒因為現代社會忙碌而千瘡百孔的心靈。然而2018年6月13日動物保護法(下稱動保法)修法新增第6條之1關於動物展演的規定,除經申請許可者或屬公告免經許可者外,任何人原則不得以動物展演之。依照動保法第3條第13款的定義,所謂「展演」指的是「在公共場所或公眾得出入之場所以動物供展示、表演或與人互動。」到底寵物咖啡廳是不是屬於動保法所要規範的「動物展演」呢?

寵物咖啡廳可能有動物展演相關規定適用

由於動保法關於動物的定義包含犬貓等寵物,因此依照前述動保法關於動物展演的規定,似乎只要於公共場所或公眾得出入之場所以動物供展示、表演或與人互動,便屬於動物展演,因此公眾得出入的寵物咖啡廳店家讓貓狗與客人互動,依動保法規定似屬於動物展演。

違反動物展演的法律效果

違反動保法第6條之1動物展演的規定,除會受到新臺幣5萬元以上25萬元以下罰鍰的處罰,另外涉及動物展演的動物也可能會由主管機關所沒入。

寵物咖啡廳是否有「免經許可之動物展演類型條件方式或場所」的適用?

先前曾有媒體報導引述農委會人員說明:「若與羊駝互動不收費,牠就不屬於展演動物。」,然而依照行政院農業委員會於2019年9月3日依新修正動保法第6條之1所公告之「免經許可之動物展演類型條件方式或場所」第4條規定,寵物與飼主或公眾,於公共場所或公眾得出入場所,所進行「非營利性」之互動者,屬於免經許可之動物展演類型條件方式或場所。依照該規定,似乎可能會有以下兩種解釋:

1.與寵物互動不收費,便符合所謂的「非營利性」:例如不用額外付錢便可以撫摸、抱抱動物。
2.寵物咖啡廳均不收費,才符合「非營利性」:例如除不用額外付錢便可以撫摸、抱抱動物外,連所提供的餐飲均不收費。

目前該「免經許可之動物展演類型條件方式或場所」第4條對於「非營利性」的部分仍沒有較明確的規範,因此可能會有以上兩種解釋方法,而通常到寵物咖啡廳,如要與寵物互動,至少會須要最低消費,如此是否還能認為寵物咖啡廳屬於「非營利性」的情形呢?

另外一種可能適用的條文是「免經許可之動物展演類型條件方式或場所」第6條第3款「住宿或餐飲營業場所內,所進行之動物展演」,然而該條同時也規定「設置獨立區域供動物展演,或常態性進行動物展演者,仍應依動物保護法第6條之1第1項規定提出申請。」,寵物咖啡廳依常理而言應屬於「常態性進行動物展演」,因此仍然須依動保法規定提出申請才屬合法。

主管機關的看法

根據筆者分別致電農委會畜牧處動保科與台北市動保處人員確認相關問題,農委會畜牧處動保科人員表示如果是單純將寵物飼養於咖啡廳內,則沒有動物展演的問題,也不須要考量前面「免經許可之動物展演類型條件方式或場所」的問題,但是飼主仍必須善盡飼主責任。

而台北市動保處人員則表示將寵物單純飼養於咖啡廳內雖然沒有動物展演的問題,但是如果有以寵物招攬客人的情形(不一定是花錢與寵物互動的情形,業務招攬也算),則可能構成動物展演,同時其表示如果屬於常態性的話,依照「免經許可之動物展演類型條件方式或場所」第6條第3款,仍然必須要依法申請許可。

結論

目前「免經許可之動物展演類型條件方式或場所」立意雖然良善,然而對於「非營利性」的互動規範仍然有模糊空間,且寵物咖啡廳仍可能被認為屬於「常態性進行動物展演的餐飲營業場所」的情形,因此依照前述,寵物咖啡廳仍然須要依照動保法第6條之1提出申請許可才屬合法,否則可能會面臨相關處罰,不然就是須要在相關行銷的手法上須要多加注意,拿捏好動物展演、單純飼養、營利與非營利之間的分寸。

同時現行動保法對於展演僅就「在公共場所或公眾得出入之場所以動物供展示、表演或與人互動」的情形為規範,依照動保法第6條之1的修法理由,主要是為了保障動物權益,避免動物受傷或其他不當情事,然而隨著網路速度的提升、網路媒體的興起,網路上其實不乏關於動物的YouTube頻道,換一個角度思考,如果業者(例如馬戲團)透過線上的方式讓動物表演,這樣是否能夠透過現行動保法第6條之1規定去規範呢?

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

動物展演相關規定

動保法第3條第13款
在公共場所或公眾得出入之場所以動物供展示、表演或與人互動。

動保法第6條之1第1項
任何人不得以動物進行展演。但申請經直轄市、縣(市)主管機關許可,或屬中央主管機關公告免經許可之展演動物類型、條件、方式或場所者,不在此限。

動保法第26條第1項第1款
有下列情形之一者,處新臺幣5萬元以上25萬元以下罰鍰:1、違反第6條之1第1項規定,以動物進行展演。

動保法第26條第2項
前項第1款所涉動物,不問屬於何人所有,直轄市或縣(市)主管機關得沒入之。

行政院農業委員會公告之「免經許可之動物展演類型條件方式或場所」第4條
寵物與飼主或公眾,於公共場所或公眾得出入場所,所進行非營利性之互動。

行政院農業委員會公告之「免經許可之動物展演類型條件方式或場所」第6條第3款
於下列營業場所內所進行之動物展演。但設置獨立區域供動物展演,或常態性進行動物展演者,仍應依動物保護法第6條之1第1項規定提出申請: (三)住宿或餐飲營業場所內,所進行之動物展演。

※你可能還會對這些文章有興趣
1.個資外洩,該怎麼辦?
2.除了告他還能告誰,個資外洩與系統商責任
3.當個資外洩發生時,企業是否可以向系統商求償?