按Enter到主内容区
:::

财团法人海峡交流基金会

:::

中国大陆制定《个人资讯保护法》的意涵与可能影响◆文/王韵( 政治大学东亚所副教授 )《交流杂志109年12月号第174期(历史资料)》

  • 更新日期:112-07-13

今年10月21日,中共全国人大法制工作委员会(工法委)发布《中华人民共和国个人资讯保护法(草案)》(以下简称《个资法草案》)征求意见的讯息。这份草案在10月中旬的第十三届全国人大常委会第二十二次会议上进行审议,现将草案在中国人大网公布,中国大陆公民可以直接登录中国人大网(www.npc.gov.cn)提出意见。

《个资法草案》目前最大的争议是该法对政府滥用个资约束的忽视、高额度的罚款、其中牵涉治外法权(extraterritorial application)、以及对境外企业、新闻媒体、非政府组织与学术机构在中国大陆搜集资料可能产生的严厉限制等等。但值得注意的是几乎没有受到大陆网民与国内主要社群媒体太多的注意,仅有几位专业律师与学者对此发表非常客气的评论,这显示中国大陆社会之中因为长期个人资讯被企业以及国家控制与滥用的情形下,大多数人对于个资议题产生了麻木冷感的情况,加上境内公共知识份子、公民记者与网路「大V」都在这几年的打压下陆续「失声」,这个有关公民重要隐私权力保障的立法,目前受到的关注几乎是零。

《个资法草案》充满类似欧盟在2016年通过、2018年施行《一般资料保护规范》(GDPR)的进步语汇,但实质缺乏对于预防国家侵犯个人隐私的程序限制与相关的处罚。例如第三条规定「组织、个人在中华人民共和国境内处理自然人个人资讯的活动,适用本法」,其中并未明确说明本法适用于政府部门、政府委托的企业、国营企业处理个人资讯的行为,也就是该法可能仅限于企业与个人之间的侵权行为的处罚,但对于大陆境内真正个资侵犯的「元凶」:收集与利用从手机通讯与轨迹、公民生物特征、网路浏览行为以及消费资讯等等庞大个资以用来建立所谓「社会信用体系」的政府机关,可能毫无约束之力。虽然《草案》第三十三条提到「国家机关处理个人资讯的活动适用本法;本节有特别规定的,适用本节规定」,而这个「本节有特别规定」的大漏洞在第三十五条完全体现出来:「国家机关为履行法定职责处理个人资讯,应当依照本法规定向个人告知并取得其同意;法律、行政法规规定应当保密,或者告知、取得同意将妨碍国家机关履行法定职责的除外。」也就是说国家机关在自行认定知情当事人会影响情搜效果的情况之下可以不用通知当事人,等于是给了国家机关自由裁量的「空白支票」。这与一般国家,包括欧盟、美国、韩国、印度等类似立法的宗旨是避免国家无节制地侵犯个人隐私截然不同,中国大陆的立法者显然动机刚好相反,北京与上海执业律师陈国彧与范思佳撰文称之为「具有中国特色的立法」。

其中最有中国特色的可能是第三章「个人资讯跨境提供的规则」。如果确实实行,未来中国大陆公民记者、民调机构、学术团体以及维权人士与外界联络交付有关中国大陆的报导、案件、与研究都可能吃上「侵犯个人隐私」的巨额罚款而面临倒闭或歇业,这等于是给了中共箝制资讯交流另一个利器,不用凡是以国家安全为名(后作用相对来说太大),也同样会对这些团体与个人产生寒蝉效应。例如第三十八条规定,个人资讯处理者因业务等需要,确需向中华人民共和国境外提供个人资讯的,应当至少具备下列一项条件:

(一) 依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二) 按照国家网信部门的规定经专业机构进行个人资讯保护认证;
(三) 与境外接收方订立合同,约定双方的权利和义务,并监督其个人资讯处理活动达到本法规定的个人资讯保护标准;
(四) 法律、行政法规或者国家网信部门规定的其他条件。

也就是说,过去帮外国企业、大学与研究机构作民调的中国大陆民调公司必须要通过网信与安全部门申请特别许可,但我们也早就知道像这些部门申请许可几乎是不可能,过去几年国外学者都已经反应拜托大陆民调公司做调查已经非常困难,未来困难是否会到达到「完全不可能」的地步值得观察。其它如医院、学校、博物馆、纪念馆、档案馆等等储存大量个资机构的管理人,在未来必然会对外界索取资料更为保守与谨慎,凡事以「保护个资」为名自我设限拒绝与外界合作,这在台湾实施《个资法》之后就已经看得到,大陆只会更糟不可能更好,未来学术研究的合作必然会大受影响。

此外针对在境外批评中国大陆的民间团体、例如新闻机构、人权组织与倡议型非政府组织加强管制的意味也非常浓厚。第四十二条允许中央主管机关「中央网络安全和资讯化委员会办公室」制定境外资料接收者「黑名单」,禁止向其提供个资。第四十三条规定,其他国家和地区对中国大陆采取歧视性禁止、限制措施的,中国大陆得采取类似措施加以反制。原本CNN、国际特赦(AI)、绿色和平(Green Peace)这些机构的网站就是中国大陆公民禁止浏览的,但并未禁止公民接受这些团体的访问、资助与合作,但未来中国大陆公民这些行为可能等同私下传递讯息给这些团体,也因此将可能面临严厉的处罚。

另一个《个资法草案》的中国特色,是属地主义所产生的治外法权问题。欧盟的GDPR区分资讯的控管者(controller)和处理者(processor)的不同,但中国大陆的《个资法草案》遵循与2020年5月通过之《民法典》的模式,统一使用信息处理者的概念,而且以资讯处理者是否位于中国大陆境内为唯一的标准,也就是说不论资讯处理者的国籍是否为中国人、中国大陆学校或中国大陆企业,都要受到本法的规范。这可能会对于受雇于外国企业、NGO、与政府的研究调查人员产生冲击,也会对于这些外国机构在大陆派出的分公司与驻在单位产生一定的影响。例如今年美国驻华媒体在两国的「新闻记者驱逐战」中元气大伤,变得更依靠自由记者与中国大陆籍员工撰写新闻,但这样的行为未来也可能会触犯中国大陆的法律。谷歌、亚马逊、脸书等跨国企业虽然在中国大陆没有直接经营事业,但是它们拥有中国大陆公民的资料(例如跨境购买与开户)、中国大陆境内也有投资资料处理或研发中心,这都使得它们也成为本法的管理对象!

对于跨国企业与境外NGO来说,最高处罚金超越欧盟是一件非常值得担忧的部分:对情节严重的违法行为,会被处以五千万以下或者上一年度营业额5%以下的罚款,对直接负责的主管人员和其他直接责任人员处十万以上一百万以下罚款。值得注意的是5%的额度甚至超过了在个人信息保护规定最严格的欧盟GDPR。这款罚则会如何执行还有待观察,中国人民大学法学院未来法治研究副院长丁晓东副教授表示,草案中条款在实践中仍存在争议:「未来是否会按照5%满格进行处罚,还要根据监管机构能够执法到什么程度来看」。

如果仅仅是另一个侧重管理的讯息安全规则,中共不是在2016年11发布了《网路安全法》?又如果外国机构或国内的讯息机构获得了资料所有人的同意了,是否就可以自由的传递这些资讯?例如中国大陆民调机构可以要求受访者签署同意书与完成相关的报准程序、不就可以符合法律的要求?乐观者可能会认为本法的主要目的是健全中国大陆境内的网路商业活动模式,尤其是阿里巴巴、腾讯、京东商城这些平台与电商大鳄。不能否认「保护个资」是本法的立法宗旨之一,草案前十三到十八条规定个资处理需要个人同意的必要、详细说明有效同意之条件、「信息处理者」之资讯告知义务、以及第25条、第44条至第48条规定个人对其个资之处理享有知情权、决定权、拒绝权、查阅权、复制权、更正权、删除权、拒绝自动化决策权等等权利,这些也都和欧盟的GDPR的规范相符合,具有一定程度的进步成分。

但是徒法不足以自行,《个资法草案》要放在习近平「坚定不移走中国特色社会主义法治道路」之下来看,在2014年以来包括《外资法》、《境外非政府组织法》、《国家安全法》、《网路安全法》等等一连串的立法整体作为来看,总目标既然是「建设社会主义法治国家」,就是要把「坚持党的领导」、「人民当家作主」、「依法治国」三个事实上有矛盾的目标做「有机统一」,习认为要让党意凌驾民意之下还能够称为「人民当家」、还能称得上是「法治国家」,党必须以主动解决法治领域突出问题为著力点,也就是要运用法治手段「改善执政方式、提高执政能力」、最终巩固执政地位。这些立法都是针对特定「突出问题」要「补漏洞」,而《个资法草案》要补的大漏洞之一就是过去「境外势力」利用商业行为刺探、搜集、调查、与利用中国大陆境内资讯来批评中共的这个突出问题,想一想是谁泄漏中共高层家人在海外的财产资讯呢?《个资法草案》想要处理的可能就是这一类型突出的问题!

回页首