这几年来,中国内地一直在加强对保障个人信息的监管。虽然现时内地尚未有一套全面的法例专门针对个人信息保障,但已有相关的法律、行政法规、部门规章和指引涵盖这方面的内容。在这篇文章中,我会重点介绍内地最近采纳或建议的几项主要法规,以协助香港的法律专业人士和商界游刃于这个不断发展的监管环境。
近年出台或修订的与个人信息保障有关的法律包括《消费者权益保护法》(第2修正案,2013年)、《刑法》(第9修正案,2015年)、《网络安全法》(2017年)、《民法总则》(2017年)、《电子商务法》(2019年)。除了这些法律外,内地还发出了各项部门规章和指引,以补充和阐明法律要求。
《消费者权益保护法》(第2修正案)对购买商品和服务的消费者提供了个人信息保障。该法要求企业在收集和使用消费者个人信息时必须遵从合法、正当、必要和具透明度的原则。该法还禁止施加不公平或不合理的条款来限制消费者对其个人信息的权利。违反法律者可被处以罚款和吊销营业执照。
《网络安全法》对「网络运营者」处理个人信息施以全面(尽管较原则性)的规定,涵盖个人信息由收集到销毁的整个生命周期。网络运营者包括那些使用信息网络作销售商品和服务的机构,如零售商、酒店、航空公司、银行等。收集和使用个人信息需要征得个人同意。该法还对网络运营者施加严谨的法律责任以确保数据安全。
《数据安全管理办法》(征求意见稿,2019年5月)补充了《网络安全法》的规定,对个人信息保障和重要数据的安全管理提出了更详细(有时也更严谨)的要求。根据《办法》草案,打算收集敏感个人信息的网络运营者必须向网信部门备案,并任命一名数据安全责任人。一旦发生数据洩露,网络运营者必须通知监管机构和个人,并采取补救措施。
《儿童个人信息网络保护规定》(2019年)是《网络安全法》的另一项附属法规,对14岁以下儿童的个人信息提供了额外的保障,例如要求网络运营者在收集和使用儿童个人信息之前必须征得父母同意、任命数据保障负责人,并提供为儿童度身订造的私隐政策。
值得注意的是,《网络安全法》规定,「关键信息基础设施」的运营者在内地营运期间收集或产生的个人信息及重要数据,除非有业务需要转移至境外,并已进行订明的安全评估,否则必须储存于内地(即数据本地化)。《个人信息出境安全评估办法》(征求意见稿,2019年6月)建议将数据本地化要求扩大到所有网络运营者。《办法》草案还要求网络运营者将其安全评估报告提交省级网信部门审批。如果数据出境可能不利于国家安全、公共利益或缺乏数据安全,便可能不获批准。
违反《网络安全法》或其附属法规的要求,可能会被处以罚款、没收违法所得、吊销营业执照,某些行为甚至会受到刑事制裁。
与香港不同的是,内地没有一个专责的数据保障机构。内地保障个人信息的执法权力分散在多个监管机构,例如国家互联网信息办公室、工业和信息化部和公安部。这种分散的监管和执法方式增加了合规方面的挑战。
鉴于香港与内地在社会和经济方面的紧密联系,我们印制了一本名为《内地民商事务所涉个人信息及网络安全主要法规简介》的小册子,概述内地的信息保障制度,并比较香港和内地的制度。有关小册子可从公署的网站免费下载,网址是:https://www.pcpd.org.hk/tc_chi/resources_centre/publications/books/books.html
虽然内地的信息保障制度仍然被认为是分散和零碎的,但值得注意的是,第十三届全国人民代表大会常务委员会已将个人信息保护法纳入2020年的立法工作计划中。我们期望在不久的将来,内地会有一个更集中和全面的个人信息保障制度。