大陸台商經貿網,定位為大陸台商入口網,提供豐富的兩岸經貿資訊

一、前言

中國大陸對於《個人信息保護法》的關注起始於2003年，2005年相關學者完成了《個人信息保護法（專家建議稿）》，嗣以2012年《全國人大關於加強網絡信息保護的決定》為開端，先後於2016年、2017年、2021年陸續頒布《網絡安全法》、《電子商務法》、《數據安全法》。

除了專門的網絡法外，傳統法律的制定、修訂工作，也給予網絡空間前所未有的關注，例如《消費者權益保護法（修訂）》（2013）、《刑法修正案》（九）（2015）、《民法典《人格權編》（2020）都補充了個人信息保護相關條款。

直至2018年9月，《個人信息保護法》正式納入人大立法規劃，在歷經三年起草制定工作後，於2021年8月20日正式完成立法並於同年11月1日起施行。自此，中國大陸終於形成了以《網絡安全法》、《數據安全法》、《個人信息保護法》三法為核心的網絡法律體系，為數位時代的網絡安全、數據安全、個人信息權益保護提供了基礎制度保障。

二、個人信息保護法有關規範

臺商在大陸從事商業行為，不論對於外部客戶（上、中、下游廠商）的個人信息，或者對於內部客戶（即所屬員工）的個人信息，而且透過網路蒐集、處理的場所是在中國大陸境內或境外，均應格外注意。茲將個人信息保護法的相關規定分別簡要說明如下：

(一)名詞定義：

《個人信息保護法》共8章74條，分為總則、個人信息處理規則、個人信息跨境提供的規則、個人在個人信息處理活動中的權利、個人信息處理者的義務、履行個人信息保護職責的部門、法律責任、附則等8章，其中對於個人信息、敏感個人信息及信息的處理分別規定如下：

1.個人信息：是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理後的信息。

2.敏感個人信息：是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融帳戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。

3.個人信息的處理：包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等；只有在具有特定的目的和充分的必要性，並采取嚴格保護措施的情形下，方可處理敏感個人信息。

(二)處理原則：符合下列情形之一的個人信息處理者方可處理個人信息︰1.取得個人的同意；2.為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需；3.為履行法定職責或者法定義務所必需；4.為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；5.為公共利益實施新聞報導、輿論監督等行為，在合理的範圍內處理個人信息；6.依照本法規定在合理的範圍內處理個人自行公開或者其他已經合法公開的個人信息；7.法律、行政法規規定的其他情形。

(三)個人信息處理者的義務

1.保護負責人：處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人，負責對個人信息處理活動以及採取的保護措施等進行監督。

2.境內代表：該法第3條第2款規定的中國大陸境外的個人信息處理者，應當在中國大陸境內設立專門機構或者指定代表，負責處理個人信息保護相關事務，並將有關機構的名稱或者代表的姓名、聯繫方式等報送履行個人信息保護職責的部門。

3.合規審計：個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。

4.影響評估：有特定情形的，個人信息處理者應當事前進行個人信息保護影響評估，並對處理情況進行記錄。

5.補救措施：發生或者可能發生個人信息洩露、篡改、丟失的，個人信息處理者應當立即採取補救措施，並通知履行個人信息保護職責的部門和個人。

三、法律責任

 臺商對於個人信息之處理，如果違反相關法律規定，除依法記入信用檔案並予公示外，將分別面臨行政責任、民事責任、治安責任及刑事責任。

(一)行政責任：

1.違反本法規定處理個人信息，或者處理個人信息未履行本法規定的個人信息保護義務的，由履行個人信息保護職責的部門責令改正，給予警告，沒收違法所得，對違法處理個人信息的應用程式，責令暫停或者終止提供服務；拒不改正的，並處一百萬元以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

2.有前款規定的違法行為，情節嚴重的，由省級以上履行個人信息保護職責的部門責令改正，沒收違法所得，並處五千萬元以下或者上一年度營業額百分之五以下罰款，並可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款，並可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。

(二)民事責任：處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任。

(三)治安責任：違反本法規定，構成違反治安管理行為的，依法給予治安管理處罰。

(四)刑事責任：

構成犯罪的，依法追究刑事責任，即按中國大陸《刑法》第253條之1規定辦理：

1.違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，並處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，並處罰金。

2.違反國家有關規定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規定從重處罰。

3.竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規定處罰。

4.單位犯前三款罪的，對單位判處罰金，並對其直接負責的主管人員和其他直接責任人員，依照各該款的規定處罰。

四、結論與建議

 中國大陸對於個人信息之保護，除了個人《信息保護法》之外，分別在《民法典》、《電子商務法》、《消費者權益保護法》等法律著有規定；此外，對於個人信息、敏感個人信息之定義及範圍，個人對於信息所享有的權利，個人信息處理者對於中國大陸境內或境外的處理原則及處理義務，以及違反處理原則與處理義務的法律責任（包括行政、民事、刑事責任），都分別規定甚明，值得臺商關注瞭解，並教育訓練員工遵循，以善盡企業遵法合規之義務，俾免違反法律、法規規定而遭受法律責任，並降低信用評等，而有害商譽及經營績效。

(本文作者姜志俊現為翰笙法律事務所主持律師、臺商張老師)