2020年10月13日,中華人民共和國個人信息保護法(草案)(下稱“本法”)首次提請人大常委會審議,並於2020年10月21日公佈徵求意見。本法分為八章,共70條。在通過後,將成為中華人民共和國首部關於個人資料保護專法,意義重大。
本法是中華人民共和國民法總則第111條的具體規定(嗣為將於2021年1月1日施行之民法典第111條) 。 該條明定,自然人的個人資料受法律保護。任何組織或者個人需要獲取他人個人資料,應依法取得並確保個人資料安全,不得非法收集、使用、加工、傳輸他人個人資料,不得非法買賣、提供或者公開他人個人資料。
以下簡單就本法中的重點進行介紹,並以電商平臺為例說明,希望能有助於臺灣電商平臺提前做好準備。
境外處理也適用
一般而言,法律通常只適用於國境之內,稱之為屬地原則或地域管轄,但在有特殊法益需要保護的情況下,也適用于境外行為,美國法稱之為長臂管轄(long arm jurisdiction)。
本法第3條規定,對於基於以下原因之一,在境外處理境內自然人個人資料者,也有本法的適用。
-
以向境內自然人提供產品或者服務為目的;
-
為分析、評估境內自然人的行為;
-
法律、行政法規規定的其他情形。
根據這個規定,臺灣提供產品或服務的企業(或個人)以將產品或服務提供給在大陸的臺灣個人為目的,在臺灣處理那位在大陸臺灣人的個人資料也有適用。
例如,臺灣的水果商人想把水果賣給在大陸的臺灣人,設置電商平臺,因而在臺灣處理在大陸臺灣人的個人資料也有適用,如加入會員享優惠,而加入會員需提供個人資料。
處理的合法基礎
1.處理一般個人資料:
本法第13條共規定6種合法基礎,除了取得個人同意外,其他5種包括履行契約所必
需,履行法定職責或者法定義務所必需,因突發公衛事件或緊急情況為保護自然人的
生命健康和財產安全所必需,為公共利益進行新聞報導或從事輿論監督等行為在合理
的範圍內處理個人資訊及法律、行政法規規定的其他情形。(詳參第13條)
例如,在電商平臺購買商品,提供姓名、送貨位址、電話等個人資料,賣家即便沒取 得買家的同意,也可以履行契約所必需處理個人資料。
2.處理敏感性個人資料:
(1)敏感性個人資料包括種族,民族,宗教信仰,個人生物特徵,醫療健康,金融帳
戶,個人行蹤等一旦洩露或者非法使用,可能導致個人受到歧視或者人身、財產安 全受到嚴重危害的個人資料。(詳參第29條第2項)
(2)處理此類個人資料必須在有特定目的和充分必要性的情況下,經個人的單獨同意,
如法律或行政法規規定需要書面還需有書面同意,同時除了告知處理一般個人信息
需告知的事項外,還必須將處理的必要性及對個人的影響告知個人(詳參第29條到
第31條)。
(3)例如,目前有許多線上健康服務平臺(如控制血糖等),此類平臺除處理一般個人
資訊外,也會處理到醫療健康的敏感性個人資料。平臺經營者除檢視有無第13條的
合法基礎及告知相關事項外,同時也必須就處理敏感性個人資訊取得單獨同意及告
知處理的必要性及對個人的影響,例如,提供相關健康檢查報告資料方能對血糖進
行監控。
個人資料跨境傳輸
本法採取原則禁止例外許可的規範模式。
在有業務需要,且有以下4種條件之一,包括經過國家安全評估,取得經專業機構的個人資料保護認證,與境外接收方訂立合同並監督處理達到本法規定的標準或符合其他國家規定的條件,才可以進行跨境傳輸個人資料(詳參第38條)。
此外,需向個人告知將何種個人資料提供與何人,聯絡方式,如何處理,目的為何以及個人在資訊處理活動中有何權利(詳參第4章),並且就跨境傳輸取得單獨同意。
對於關鍵資訊基礎設施營運者和處理個人資料達到國家規定數量的個人資訊處理者,必須將搜集及產生的個人資料儲存在境內,進過安全評估才能進行跨境傳輸,這項規定與個人資料在地化(data localization)規定有關,由於臺灣的電商平臺應屬中小型,就不在此展開討論。
例如,臺灣的電商平臺因為業務需要,有意將取得的中國人民共和國境內自然人個人資料交由在印度的企業或個人處理,就必須有上述4種條件之一,且必須告知上述相關資訊並另外取得跨境傳輸的同意。
處罰
違反相關規定,先責令改正,沒收違法所得,給與警告,拒不改正,並處100萬以下罰款,對直接負責人員處1萬元以上10萬元以下罰款。
情節嚴重的,責令改正,沒收違法所得,並處5000萬以上或者上一年度營業額百分之5的罰款,並可責令停業。對直接負責人員處10萬元以上100萬元以下罰款。
雖然今年因為疫情,兩岸經貿往來交往年不活絡,但是仍然有許多人投入電商平臺,希望以上簡要介紹能讓臺灣電商平臺及早做好因應準備。
文/李蒂娜律師