這幾年來,中國內地一直在加强對保障個人信息的監管。雖然現時內地尚未有一套全面的法例專門針對個人信息保障,但已有相關的法律、行政法規、部門規章和指引涵蓋這方面的內容。在這篇文章中,我會重點介紹內地最近採納或建議的幾項主要法規,以協助香港的法律專業人士和商界游刃於這個不斷發展的監管環境。
近年出台或修訂的與個人信息保障有關的法律包括《消費者權益保護法》(第2修正案,2013年)、《刑法》(第9修正案,2015年)、《網絡安全法》(2017年)、《民法總則》(2017年)、《電子商務法》(2019年)。除了這些法律外,內地還發出了各項部門規章和指引,以補充和闡明法律要求。
《消費者權益保護法》(第2修正案)對購買商品和服務的消費者提供了個人信息保障。該法要求企業在收集和使用消費者個人信息時必須遵從合法、正當、必要和具透明度的原則。該法還禁止施加不公平或不合理的條款來限制消費者對其個人信息的權利。違反法律者可被處以罰款和吊銷營業執照。
《網絡安全法》對「網絡運營者」處理個人信息施以全面(儘管較原則性)的規定,涵蓋個人信息由收集到銷毀的整個生命周期。網絡運營者包括那些使用信息網絡作銷售商品和服務的機構,如零售商、酒店、航空公司、銀行等。收集和使用個人信息需要徵得個人同意。該法還對網絡運營者施加嚴謹的法律責任以確保數據安全。
《數據安全管理辦法》(徵求意見稿,2019年5月)補充了《網絡安全法》的規定,對個人信息保障和重要數據的安全管理提出了更詳細(有時也更嚴謹)的要求。根據《辦法》草案,打算收集敏感個人信息的網絡運營者必須向網信部門備案,並任命一名數據安全責任人。一旦發生數據洩露,網絡運營者必須通知監管機構和個人,並採取補救措施。
《兒童個人信息網絡保護規定》(2019年)是《網絡安全法》的另一項附屬法規,對14歲以下兒童的個人信息提供了額外的保障,例如要求網絡運營者在收集和使用兒童個人信息之前必須徵得父母同意、任命數據保障負責人,並提供爲兒童度身訂造的私隱政策。
值得注意的是,《網絡安全法》規定,「關鍵信息基礎設施」的運營者在內地營運期間收集或産生的個人信息及重要數據,除非有業務需要轉移至境外,並已進行訂明的安全評估,否則必須儲存於內地(即數據本地化)。《個人信息出境安全評估辦法》(徵求意見稿,2019年6月)建議將數據本地化要求擴大到所有網絡運營者。《辦法》草案還要求網絡運營者將其安全評估報告提交省級網信部門審批。如果數據出境可能不利於國家安全、公共利益或缺乏數據安全,便可能不獲批准。
違反《網絡安全法》或其附屬法規的要求,可能會被處以罰款、沒收違法所得、吊銷營業執照,某些行爲甚至會受到刑事制裁。
與香港不同的是,內地沒有一個專責的數據保障機構。內地保障個人信息的執法權力分散在多個監管機構,例如國家互聯網信息辦公室、工業和信息化部和公安部。這種分散的監管和執法方式增加了合規方面的挑戰。
鑒於香港與內地在社會和經濟方面的緊密聯繫,我們印製了一本名爲《內地民商事務所涉個人信息及網絡安全主要法規簡介》的小册子,概述內地的信息保障制度,並比較香港和內地的制度。有關小册子可從公署的網站免費下載,網址是:https://www.pcpd.org.hk/tc_chi/resources_centre/publications/books/books.html
雖然內地的信息保障制度仍然被認爲是分散和零碎的,但值得注意的是,第十三届全國人民代表大會常務委員會已將個人信息保護法納入2020年的立法工作計劃中。我們期望在不久的將來,內地會有一個更集中和全面的個人信息保障制度。