第 273 期 (2022年5月份)
臺商如何合規進行個人資訊跨境處理作者:袁明仁
2021年11月1日,中國大陸《個人信息保護法》實施,該法規定了個人資訊跨境傳輸的要求。此一規定對臺商員工的個人資訊跨境,伺服器存放地點,個人金融資訊跨境傳輸,跨境電商數據跨境等都將造成衝擊,臺商應思考如何因應?
本文結合《個人信息保護法》及其他相關規定,針對個人資訊在什麼情況下可以出境、什麼情況下不得出境、出境時應遵循的程序、處理個人資訊的有關境外機構應注意的問題等四個方面進行探討,並提出個人資訊出境合規的建議。
一、中國大陸對個人資訊跨境提供的「三重跨境規則」
跨境規則一:具備四大條件之一可以出境
《個人信息保護法》明確了個人資訊處理者向中國大陸境外提供個人資訊應當具備的四大基本條件:一是關鍵資訊基礎設施運營者和處理個人資訊達到網信部門規定數量的處理者,確需向境外提供個人資訊的,應當通過網信部門組織的「安全評估」;二是對於其他需要跨境提供個人資訊的,應由專業機構進行個人資訊「保護認證」;三是個人資訊處理者因業務需要向境外提供個人資訊,需按照網信部門的「標準合同」與中國大陸境外接收方「訂立合同」;四是對中國大陸締結或者參加的國際條約、協定,可以按照其規定執行等。
跨境規則二:什麼情況下不得出境?
一是非經主管機關批准,不得向外國有關司法、執法機構提供境內個人資訊。二是列入負面清單的境外組織、個人。三是中國大陸對其採取對等限制措施的國家和地區。
跨境規則三:以下情況個人資訊需存儲在中國大陸境內
「關鍵信息基礎設施運營者」和「處理個人信息達到國家網信部門規定數量的個人資訊處理者」,應當將在中國大陸境內收集和產生的個人資訊存儲在中國大陸境內。
二、《個人信息保護法》具備哪些域外效力?
《個人信息保護法》規定,有下列三種情形之一的,也適用《個人信息保護法》:
一是「以向中國大陸境內自然人提供產品或者服務為目的」,例如:在臺灣運營的電子商務網站(例如:PChome)向中國大陸境內的自然人(包括本國人、外國人和無國籍人)提供產品或服務。
二是「分析、評估中國大陸境內自然人的行為」,例如:位於境外的社交網站分析、評估中國大陸境內自然人的行為。例如: Facebook、Line,發佈專門的用戶行為習慣報告;三是中國大陸法律、行政法規規定的。
三、中國大陸對個人資訊出境時應遵循什麼程序?
(一)告知並取得個人同意
應當向個人告知境外接收方的名稱或者姓名、聯繫方式、處理目的、處理方式、個人資訊的種類以及個人向境外接收方行使本法規定權利的方式和程序等事項,並取得個人的單獨同意。
(二)應當進行個人資訊保護影響評估
向中國大陸境外提供個人資訊的,個人資訊處理者應當事前進行個人資訊保護影響評估,並進行記錄。記錄應當保存三年。
(三)需要時應當進行安全評估
關鍵資訊基礎設施運營者和處理個人資訊達到網信部門規定數量的個人資訊處理者,應當進行安全評估。具體的評估參考《數據出境安全評估辦法》(徵求意見稿)。
(四)通過個人資訊保護認證和簽訂合同出境
若個人資訊出境尚未達到安全評估要求時,可選擇個人資訊保護認證、與境外方簽訂合同等辦法。認證需取得中國網路安全審查技術與認證中心「個人信息安全管理體系認證證書」。訂立合同參考《個人信息出境安全評估辦法(徵求意見稿)》。
四、《個人信息保護法》對個人資訊出境的合規要求
(一)境外的個人資訊處理者,應當在中國大陸境內設立專門機構或者指定代表,負責處理個人資訊保護相關事務,並報送相關部門。
(二)跨境電商企業參照《數據出境安全評估辦法(徵求意見稿)》的相關規定進行內部自查,並建立完善的使用者資訊保護制度。
(三)金融、徵信行業、網路車行業、網路出版和網路地圖行業、醫療衛生等特殊領域,伺服器需設置在中國大陸境內,或者是某類數據禁止跨境進行傳輸。
(四)中國大陸有關個人資訊保護的相關規定並未明確要求外商投資企業必須為了存儲員工資訊而在中國大陸境內設立IT伺服器。但個人資訊跨境,首先要實現個人資訊合規,即「單獨同意」和「事前風險評估」。其次要做個人資訊保護認證、簽訂合同、審批。
(五)企業內部應任命專門人員負責個人資訊保護的合規事宜。
