文/姜志俊
(翰笙律師事務所主持律師、海基會臺商財經法律顧問)

壹、前言

中國大陸對於個人信息的保護，散見於2013年修訂的《消費者權益保護法》、2015年的《刑法》修正案（九）、2020年制定的《民法典》的人格權編。此外，以2012年《全國人大關於加強網絡信息保護的決定》為開端，《網絡安全法》、《電子商務法》、《數據安全法》於2016年、2017年、2021年陸續完成立法；2018年9月《個人信息保護法》納入人大立法規劃，在歷經三年起草制定工作後，於 2021年8月20日正式完成立法，並於同年11月1日起施行。自此，中國大陸形成了以《網絡安全法》、《數據安全法》、《個人信息保護法》三法為核心的網絡法律體系，為數位時代的網絡安全、數據安全、個人信息權益保護提供了基礎制度保障。

貳、中國大陸有關個人信息保護的法律規定

一、消費者權益保護法

（一）依法保護：第14條規定：「消費者在購買、使用商品和接受服務時，享有人格尊嚴、民族風俗習慣得到尊重的權利，享有個人信息依法得到保護的權利。」

（二）處理原則：第29條第1項規定：「經營者收集、使用消費者個人信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和範圍，並經消費者同意。經營者收集、使用消費者個人信息，應當公開其收集、使用規則，不得違反法律、法規的規定和雙方的約定收集、使用信息。」

（三）保密義務：第29條第2項規定：「經營者及其工作人員對收集的消費者個人信息必須嚴格保密，不得洩露、出售或者非法向他人提供。經營者應當採取技術措施和其他必要措施，確保信息安全，防止消費者個人信息洩露、丟失。在發生或者可能發生信息洩露、丟失的情況時，應當立即採取補救措施。」

（四）垃圾信息：第29條第3項規定：「經營者未經消費者同意或者請求，或者消費者明確表示拒絕的，不得向其發送商業性信息。」

（五）民事責任：第50條規定：「經營者侵害消費者的人格尊嚴、侵犯消費者人身自由或者侵害消費者個人信息依法得到保護的權利的，應當停止侵害、恢復名譽、消除影響、賠禮道歉，並賠償損失。」

（六）行政責任：第56條規定：「經營者有下列情形之一，除承擔相應的民事責任外，其他有關法律、法規對處罰機關和處罰方式有規定的，依照法律、法規的規定執行；法律、法規未作規定的，由工商行政管理部門或者其他有關行政部門責令改正，可以根據情節單處或者並處警告、沒收違法所得、處以違法所得1倍以上10倍以下的罰款，沒有違法所得的，處以50萬元以下的罰款；情節嚴重的，責令停業整頓、吊銷營業執照」，其中第9款：「侵害消費者人格尊嚴、侵犯消費者人身自由或者侵害消費者個人信息依法得到保護的權利的」。

二、電子商務法

（一）保護義務：第5條規定：「電子商務經營者從事經營活動，應當遵循自願、平等、公平、誠信的原則，遵守法律和商業道德，公平參與市場競爭，履行消費者權益保護、環境保護、智慧財產權保護、網路安全與個人信息保護等方面的義務，承擔產品和服務品質責任，接受政府和社會的監督。」

（二）收集原則：第23條規定：「電子商務經營者收集、使用其使用者的個人信息，應當遵守法律、行政法規有關個人信息保護的規定。」

（三）保密原則：第25條規定：「有關主管部門依照法律、行政法規的規定要求電子商務經營者提供有關電子商務資料信息的，電子商務經營者應當提供。有關主管部門應當採取必要措施保護電子商務經營者提供的資料信息的安全，並對其中的個人信息、隱私和商業秘密嚴格保密，不得洩露、出售或者非法向他人提供。」

（四）處理原則：第32條規定：「電子商務平臺經營者應當遵循公開、公平、公正的原則，制定平臺服務協定和交易規則，明確進入和退出平臺、商品和服務品質保障、消費者權益保護、個人信息保護等方面的權利和義務。」

（五）法律責任：第79條規定：「電子商務經營者違反法律、行政法規有關個人信息保護的規定，或者不履行本法第30條和有關法律、行政法規規定的網路安全保障義務的，依照《網路安全法》等法律、行政法規的規定處罰。」

三、民法典

（一）個人信息：第1034條第1項規定：「自然人的個人信息受法律保護。」所謂「個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。」又「個人信息中的私密信息，適用有關隱私權的規定；沒有規定的，適用有關個人信息保護的規定。」

（二）個人信息之處理原則：第1035條規定：「處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理，並符合下列條件：（一）徵得該自然人或者其監護人同意，但是法律、行政法規另有規定的除外；（二）公開處理信息的規則；（三）明示處理信息的目的、方式和範圍；（四）不違反法律、行政法規的規定和雙方的約定。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。」

（三）個人信息處理者之義務：第1038條規定：「信息處理者不得洩露或者篡改其收集、存儲的個人信息；未經自然人同意，不得向他人非法提供其個人信息，但是經過加工無法識別特定個人且不能復原的除外。信息處理者應當採取技術措施和其他必要措施，確保其收集、存儲的個人信息安全，防止信息洩露、篡改、丟失；發生或者可能發生個人信息洩露、篡改、丟失的，應當及時採取補救措施，按照規定告知自然人並向有關主管部門報告。」

四、個人信息保護法

（一）名詞定義：

《個人信息保護法》共8章74條，分為總則、個人信息處理規則、個人信息跨境提供的規則、個人在個人信息處理活動中的權利、個人信息處理者的義務、履行個人信息保護職責的部門、法律責任、附則等8章，其中對於個人信息及敏感個人信息分別訂有規定：

1、個人信息：第4條規定：「個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理後的信息。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。」

2、敏感個人信息：第28條規定：「敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿14周歲未成年人的個人信息。只有在具有特定的目的和充分的必要性，並採取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息。」

（二）處理原則：第13條規定：「符合下列情形之一的，個人信息處理者方可處理個人信息︰（一）取得個人的同意；（二）為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需；（三）為履行法定職責或者法定義務所必需；（四）為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；（五）為公共利益實施新聞報道、輿論監督等行為，在合理的範圍內處理個人信息；（六）依照本法規定在合理的範圍內處理個人自行公開或者其他已經合法公開的個人信息；（七）法律、行政法規規定的其他情形。」

（三）個人信息處理者的義務

1、保護負責人：第52條規定：「處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人，負責對個人信息處理活動以及採取的保護措施等進行監督。 」

2、境內代表：第53條規定：「本法第3條第2款規定的境外的個人信息處理者，應當在境內設立專門機構或者指定代表，負責處理個人信息保護相關事務，並將有關機構的名稱或者代表的姓名、聯系方式等報送履行個人信息保護職責的部門。」

3、合規審計：第54條規定：「個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。」

4、影響評估：第55條規定，有特定情形的，個人信息處理者應當事前進行個人信息保護影響評估，並對處理情況進行記錄。又第56條規定，個人信息保護影響評估應當包括下列內容︰（一）個人信息的處理目的、處理方式等是否合法、正當、必要；（二）對個人權益的影響及安全風險；（三）所採取的保護措施是否合法、有效並與風險程度相適應。個人信息保護影響評估報告和處理情況記錄應當至少保存3年。

5、補救措施：第57條規定：「發生或者可能發生個人信息洩露、篡改、丟失的，個人信息處理者應當立即採取補救措施，並通知履行個人信息保護職責的部門和個人。」

（四）法律責任

臺商對於個人信息之處理，如果違反相關法律規定，除依法記入信用檔案並予公示外，將分別產生行政責任、民事責任、治安責任及刑事責任。

1、行政責任：第66條規定如下：

（1）違反本法規定處理個人信息，或者處理個人信息未履行本法規定的個人信息保護義務的，由履行個人信息保護職責的部門責令改正，給予警告，沒收違法所得，對違法處理個人信息的應用程序，責令暫停或者終止提供服務；拒不改正的，並處100萬元以下罰款；對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款。

（2）有前款規定的違法行為，情節嚴重的，由省級以上履行個人信息保護職責的部門責令改正，沒收違法所得，並處5,000萬元以下或者上一年度營業額百分之五以下罰款，並可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照；

（3）對直接負責的主管人員和其他直接責任人員處10萬元以上100萬元以下罰款，並可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。

2、民事責任：第69條規定：「處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任。前款規定的損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定；個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的，根據實際情況確定賠償數額。」

3、治安責任：第71條前段規定：「違反本法規定，構成違反治安管理行為的，依法給予治安管理處罰」，即按《中國大陸治安管理處罰法》第29條規定辦理：

「有下列行為之一的，處5日以下拘留;情節較重的，處5日以上10日以下拘留:(一)違反國家規定，侵入電腦資訊系統，造成危害的;(二)違反國家規定，對電腦資訊系統功能進行刪除、修改、增加、干擾，造成電腦資訊系統不能正常運行的;(三)違反國家規定，對電腦資訊系統中存儲、處理、傳輸的資料和應用程序進行刪除、修改、增加的;(四)故意製作、傳播電腦病毒等破壞性程序，影響電腦資訊系統正常運行的。」

4、刑事責任：第71條後段規定：「構成犯罪的，依法追究刑事責任。」即按中國大陸《刑法》第253條之1規定辦理：

（1）違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處3年以下有期徒刑或者拘役，並處或者單處罰金；情節特別嚴重的，處3年以上7年以下有期徒刑，並處罰金。

（2）違反國家有關規定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規定從重處罰。

（3）竊取或者以其他方法非法獲取公民個人信息的，依照第1款的規定處罰。

（4）單位犯前三款罪的，對單位判處罰金，並對其直接負責的主管人員和其他直接責任人員，依照各該款的規定處罰。

參、對臺商的影響與因應

中國大陸對於個人信息之保護，除了《個人信息保護法》之外，分別在《消費者權益保護法》、《電子商務法》、《民法典》等法律著有規定，臺商應依各該法律規定的保護義務、收集處理原則、保密原則辦理，各該法律對於違反規定所產生的行政責任與民事責任亦有所不同；此外，《個人信息保護法》基於普通法與補充法的地位，對於個人信息、敏感個人信息之定義及範圍，個人對於信息所享有的權利，個人信息處理者對於中國大陸境內或境外的處理原則及處理義務，以及違反處理原則與處理義務的法律責任（包括行政、民事、刑事責任）亦有不同的規定，值得臺商特別關注與瞭解，並教育訓練員工遵循，依法指定信息保護負責人、境內代表，並應進行合規審計、影響評估及補救措施，以善盡企業遵法合規之義務，避免違反各該法律規定而遭受不同的行政、民事或治安、刑事等法律責任，並降低信用評等而有害商譽及經營績效。