溫堅堅律師、莊薇馨實習律師、黃郁婷顧問[1]
隨著全球化、數位化的推進,跨境收集個人信息的情形也日益頻繁,為充分保護我國境內個人的權益,遏制大型數位巨頭濫用收集個人數據的行為,中國十三屆全國人大常委會第三十次會議表決通過之個人信息保護法(自2021年11月1日起施行,以下簡稱“個保法”),擴大我國個人信息保護法律的適用範圍至境外主體在境外之行為,要求有向境內自然人提供產品或者服務為目的,或者分析、評估境內自然人的行為之“境外個人信息處理者”應遵循個保法針對個人信息保護之規範。在網際網路發達之時代下,凡與大陸地區、大陸民眾有密切經貿往來之境外業者,有高度可能即已落入個保法之規範範圍,建議有關境外業者宜及早檢視自身是否為個保法規範之物件,以即時制定因應之措施。本文以下就針對個保法施行後可能對於境外個人信息處理者造成的影響進行摘要說明:
一、境外個人信息處理者定義及適用範圍
1. 法令規範
個保法第3條第2款規定,在中華人民共和國境外處理中華人民共和國境內自然人個人信息[2]的活動,有下列情形之一的也適用個保法:(一)以向境內自然人提供產品或者服務為目的;(二)分析、評估境內自然人的行為;(三)法律、行政法規規定的其他情形(以下簡稱“境外個人信息處理者”)。按2020年10月13日在第十三屆全國人民代表大會常務委員會第二十二次會議上全國人大常委會法制工作委員會副主任發布之【依據關於《中華人民共和國個人信息保護法(草案)》的說明】[3],本條旨在借鑒有關國家和地區的做法,賦予個保法必要的域外適用效力,以充分保護我國境內個人的權益。
2. 如何判斷是否構成“向境內自然人提供產品或者服務為目的”或“分析、評估境內自然人的行為”?
個保法中雖明文規定境外信息處理者應適用我國法之情形既包括個人信息處理者因提供產品或服務而產生的直接信息處理活動,也包括行為分析和評估的間接信息處理行為,惟截至本文撰擬之日,有關主管機關尚未對個保法第3條第2款之範圍作出明確規定或出臺相關通知或意見,故針對「向境內自然人提供產品或者服務為目的」或「分析、評估境內自然人的行為」的判斷標準仍不明確。
鑒於個保法第3條第2款規定主要系借鑒了歐盟General Data Protection Regulation(GDPR) 第3條規定[4]而來,故有關歐盟針對GDPR第3條所發佈之《關於GDPR的地域適用範圍指南(第3條)3/2018》[5](以下簡稱“歐盟指南”) ,應對于我國未來個保法域外適用的執法實踐和未來的配套規定均具有相當的參考價值。
根據“歐盟指南”,判斷一境外信息處理者「是否具有向處於歐盟境內的自然人(無論其是否具歐盟國籍或居住地在歐盟境內 )提供商品或服務的目的」、「是否構成對歐盟境內自然人行為所為之監測信息的活動」,皆需按個案情形具體判斷,綜合考慮下表所列之相關因素:
| 是否具有向處於歐盟境內的自然人提供商品或服務的目的之判斷因素 | 是否構成對歐盟境內自然人行為所為之監測信息的活動之判斷因素 |
|
|
3. 小結
鑒於我國監管機關尚未針對上述個保法第3條第2款規範之範圍進一步訂定具體之規範,本所建議在個保法相關細則出臺前,境外信息處理者可以先參照上述歐盟指南例示之相關因素判定自身行為適用個保法之可能性,並持續關注有關監管機關未來之立法動向,以隨時進行調整。
二、境外個人信息處理者應履行之義務及責任
1. 個人信息處理者之一般性義務及責任
個保法第51條規定,個人信息處理者應當根據個人信息的處理目的、處理方式、處理的個人信息種類以及對個人權益的影響、可能存在的安全風險等,採取下列措施確保個人信息處理活動符合法律、行政法規的規定,並防止未經授權的訪問以及個人信息洩露、篡改、丟失:(一)制定內部管理制度和操作規程;(二)對個人信息實行分類管理;(三)採取相應的加密、去標識化等安全技術措施;(四)合理確定個人信息處理的操作許可權,並定期對從業人員進行安全教育和培訓;(五)制定並組織實施個人信息安全事件應急預案;(六)法律、行政法規規定的其他措施。
其他有關個人信息處理者應遵循之法律規定可參照本所《大陸個人信息保護法專題文章(一) – 個人信息保護法重點簡介(中國大陸)》一文。
2. 境外個人信息處理者之特別責任
依據個保法第53條規定,境外個人信息處理者還應當在中華人民共和國境內設立專門機構或者指定代表,負責處理個人信息保護相關事務,並將有關機構的名稱或者代表的姓名、聯繫方式等報送履行個人信息保護職責的部門。參照歐盟實務,該等指定代表的主要義務應是保存信息處理之相關紀錄、與境內信息保護監管機構合作。
個保法並未規定上述境內專門機構或者指定代表的資質要求,也未規定境外個人信息處理者未設立境內專門機構或指定代表所應承擔的法律責任。因此針對該規定能否在實踐中得到有效實施還需後續出臺有關實施細則才能進一步明確。
3. 境外個人信息處理者違反個保法之法律責任
境外個人信息處理者違反個保法仍將承擔個保法第66條至第71條規定之責任,包括但不限於:
- 將違法行為記入信用檔案,並予以公示;
- 對違法處理個人信息的應用程式,責令暫停或者終止提供服務;
- 由履行個人信息保護職責的部門責令改正,沒收違法所得;拒不改正的,並處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款;違法情節嚴重的,並處五千萬元以下或者上一年度營業額百分之五以下罰款,並可以責令暫停相關業務或者停業整頓、吊銷相關業務許可或者吊銷營業執照;
- 處理個人信息侵害個人信息權益造成損害,個人信息處理者不能證明自己沒有過錯的,應當承擔損害賠償等侵權責任。
另外,對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,並可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。
個保法對違反個保法行為提升了懲罰金額及違法之法律責任,故境外個人信息處理者更應持續關注未來對於個保法遵循及要求相關的法令發展,在處理個人信息時應更加注意自身法令遵循之問題,把控信息處理之法律風險。
[1] 作者为上海理慈律师事务所律师与顾问,惟本文内容为个人意见,不代表事务所立场。
[2] 根据个保法第4条规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
[3] 关于《中华人民共和国个人信息保护法(草案)》的说明_中国人大网 (npc.gov.cn),网址: http://www.npc.gov.cn/npc/c30834/202108/fbc9ba044c2449c9bc6b6317b94694be.shtml(最后浏览日期:2021年10月21日)。
[4] Art. 3 of General Data Protection Regulation (GDPR):
1. This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.
2. This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to: the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or the monitoring of their behaviour as far as their behaviour takes place within the Union.
3. This Regulation applies to the processing of personal data by a controller not established in the Union, but in a place where Member State law applies by virtue of public international law.
[5] Guidelines 3/2018 on the territorial scope of the GDPR (Article 3),网站: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_en(最后浏览日期:2021年10月21日).