中國第十三屆「全國人民代表大會常務委員會」第三十次會議於今(2021)年8月20日閉幕,會中表決通過《個人信息保護法》,該法旨在保護網路用戶資料隱私,將於今年11月1日實施。
《個人信息保護法》將與《數據安全法》共同成為中國網路監管兩大支柱,往後中國企業恐面臨更多法遵要求。《數據安全法》於今年9月1日實施,為企業制定一個劃分營利資料及涉及國安資料的框架;《個人信息保護法》則是參考歐洲《通用資料保護規則》(General Data Protection Regulation,GDPR),為用戶隱私設定保護框架。專家指出,這兩項法規皆要求中國企業檢視其儲存及處理資料之措施,以確保合規。
根據《個人信息保護法》,企業處理個資須出於明確且合理之目的,並應在能達成目標之最小範圍內取得資料。此外,該法還明訂,企業蒐集個資前須取得用戶知情同意,並為跨境資料傳輸訂定明確規則。最後,該法還要求個資處理者指定個資保護負責人,並定期執行稽核。
在上述兩法推出之際,中國監管機構頻頻對中國網路產業出手,造成眾多企業惶惶不安,相關案例包括:今年7月,國家互聯網信息辦公室(Cyberspace Administration of China,CAC)宣布將對滴滴出行涉嫌侵犯用戶隱私展開調查;今年8月17日,中國市場監管總局(State Administration for Market Regulation,SAMR)發布《禁止網路不正當競爭行為規定(公開徵求意見稿)》,規範內容包括促進公平競爭及禁止虛假評論;今年1月,由政府支持的中國消費者協會(China Consumers Association)發布聲明,批評科技公司濫用個資促銷旗下產品,此後,監管機構時常譴責企業及App侵犯用戶隱私。工業和信息化部也指控43款App非法傳輸用戶資料,並要求這些App於今年8月24日前修正做法。
相關連結:
Josh Horwitz (2021).China passes new personal data privacy law, to take effect Nov. 1. Reuters.
檢自:
https://www.reuters.com/world/china/china-passes-new-personal-data-privacy-law-take-effect-nov-1-2021-08-20/ (Aug. 27, 2021)
