中國出重拳保護個人信息 外商憂中國恐成「孤島」

美國之音
2021-08-28
image
2018年10月24日在北京中國國際展覽中心使用人臉識別技術示意圖。 (圖片來源:NICOLAS ASFOURI/AFP via Getty Images)

中國最新通過的《個人信息保護法》將於11月起開始生效。這項保護在線用戶隱私的新法,參考了歐洲《一般數據保護條例》的原則,對違規企業祭出史無前例的高額罰款,將可達5000萬人民幣(750萬美金)或該公司上年度營收的5%。 

部分法、商界人士認為,此一新法展現了中國與國際慣例接軌出重拳保障中國公民數據隱私的決心。不過,部分維權和異議人士卻不以為然,他們稱,此一新法是個「笑話」,因為中共政權才是個人隱私的最大敵人,根本不可能靠出台一部新法就能向平台或中共究責。

中國全國人大於8月20日所通過的《個人信息保護法》,全文八大章、共74條條文,涵蓋了互聯網用戶之個人信息或敏感數據,從知情、授權、收集、處理到使用、甚至數據跨境出海的詳細規範。 

中國隱私保護法全球最嚴? 

新法一出台,包括華爾街日報等外媒都以中國通過「全球最嚴的」隱私保護法來形容之。不過,位於北京的瑞柏律師事務所律師李曉蓓在接受美國之音採訪時表示,中國的《個人信息保護法》非常全面,和歐美國家所施行的相關隱私法一樣嚴格,也因為參考了歐盟的法規,所以,和《一般數據保護條例》有共通處,雖然也有中國特色的法條。 

李曉蓓說:「從11月1號之後開始正式生效,這可以顯示出,未來中國對數據保護,尤其是企業、公司在它運營的過程中,對於消費者、個人信息的保護是提出了一個更明確、更高的一個合規要求。」 

據官媒人民網報道,《個人信息保護法》和今年6月頒布的《數據安全法》以及2017年通過的《網絡安全法》建構起中國在數字時代之信息安全上的一個法律保障體系,也成為中國互聯網監管的三大法規。 

細化的《個人信息保護法》 

《個人信息保護法》嚴格要求收集用戶個資的企業或互聯網平台要尊重消費者的知情權,同時也要取得授權才能留存數據。不過,李曉蓓說,這些條件其實早在2017年6月生效的《網絡安全法》就已規定,只不過新通過的《個人信息保護法》與國際慣例全面接軌,更細化、也更具體。 

她說:「相對於以前(2017年)的《網絡安全法》的一大發展,就是說,它(《個人信息保護法》)規定的內容更加地細化,有很多更明確的指導企業在具體操作的時候,怎麼樣從具體運營上面,做到那些要求,是更加地細化了。」 

不過,李曉蓓說,中國在實施嚴格的《網絡安全法》數年後,發現在商業的實務操作上,以消費者授權為基礎的個資收集原則出現了不少「不好操作」的地方。因此,《個人信息保護法》給出了例外原則,希望在個人隱私之保護和數字經濟之發展間,取得平衡,這也是其和《網絡安全法》及歐美國家的隱私法最大的不同處。 

根據此例外原則,企業收集個人資料如果是建立在公共利益的性質上,如新冠疫情之防疫,或履行商業合同、新聞報道等之基礎上,根據新法,即便消費者沒有明確授權,也是可以收集的。例如,李律師說,新法允許旅行社為了安排出行計劃,可以收集消費者的護照或身分證資料,即便消費者未有明確授權。 

例外原則恐成濫權破口 

但這些例外會不會因此成為未來濫用個資和侵權的破口? 

對此,李曉蓓說,有可能,但中國正在實踐中測試,並強化例外收集情況的合法性和保密性,以期找出平衡點和「典範經驗(best practice)」,來兼顧個人信息的保護和數字經濟的發展。她說,這兩者的平衡是各國現今都面臨的挑戰,中國也不例外。 

《個人信息保護法》還祭出史上最高的罰款,分別是5000萬人民幣或企業上一個年度營收的5%。分析人士指出,這是一部有「牙齒」、具震攝效果的法律。 

人民網引述中國政法大學副教授朱巍的看法指出:「如此高的違法成本,勢必會震懾不法侵害行為,減少互聯網技術的濫用。」 

此外,《個人信息保護法》第三章共六條條文還特別針對數據的跨境輸出做出規範,要求中國企業及外資企業在中國的分支必須通過「國家網信部門組織的安全評估」,才能提供數據出海。 

跨境數據輸出 

中國叫車平台龍頭滴滴出行7月初可能就是因為未通過此類安全評估,才會突然在美國上市後,被中國監管單位要求下架app。而第三章條文也等同賦予權責部門,如網信部,「長臂管轄」的法源依據。 

李曉蓓說,不獨中國,歐美等國對本國用戶資料要放在境內的伺服器或做跨境輸出前的安全評估,都是持類似的思維。而中國政府和國際接軌,也正在起草制式的標準規則和協議,未來出台後,可以有制度性地進行此方面的安全評估。 

李曉蓓說:「據我了解,我們的監管部門現在也在制定起草一些標準版本的cross-border data transfer(跨境數據傳輸)的協議。那麼,這些協議一旦制定出台後,是可以比較好地幫助企業,去明確它在數據傳輸的時候,它和海外的數據接收者,對方應該履行什麼樣的義務。包括比如說,中國的data transfer(數據傳輸)要去傳給海外的時候,它在傳之前,要對對方,它的recipients(接收方),做一些基本的due diligence(盡職調查),做一些背景調查,這樣保證我們的數據傳到境外時,對方也是有一個比較強的法律的保護機制,來保護這些數據。」 

對於新法,李律師說,從通過到生效只有約兩個月的時間,這對企業來說過於倉促,企業必須在極短的時間針對新法建立起內控機制和相對應的文件和內部政策,否則就會有違規的風險。 

中國歐盟商會於8月27日以書面回復美國之音的採訪時表示,該會樂見《個人信息保護法》和《數據安全法》提供了中國在數據管理和個人隱私保護上的兩大重要法源,這代表中國在形塑網絡安全體系上的 一大進展。 

不過,歐盟商會擔心,這些新規,包括數據本地化的規定和數據跨境傳輸的限制,很可能會對在中國經 商的外資帶來極大的負面衝擊。尤其,中國政府對包括汽車業在內的產業祭出的限制越來越多。 

歐盟商會表示,外商公司希望中國政府能儘快提供詳細、明確且透明的執法標準,以協助其遵循新規,例如,各產業別到底要如何定義或分類所謂的「重要或敏感信息」。 

歐盟商會還說,中國的隱私保護架構與國際隱私保護的慣例仍有出入,例如,《個人信息保護法》有不 少迥異於歐盟《一般數據保護條例》的規定,也就是,具有中國特色的條文,這將讓包括外國籍和中國籍的跨國公司難以完全配合,甚至增加公司的運營成本。 

歐盟商會主席伍德克(Joerg Wuttke)以書面回復向美國之音表示:「所有的跨國公司都必須善用其全 球的系統。但這方面的運作現正面臨極大的挑戰,因為中國對於可(跨境)傳輸數據的定義太過模糊,再加上,其數據本土化的要求建立在政府一再擴大的國家安全定義上。」 

他說:「我們的擔憂是,中國最終可能變成與世界隔絕的孤島。」 

投資人的恐慌

《個人信息保護法》通過當日,中國科技股再度重挫,香港恒生指數一度急跌2.5%。當時市場人士大多解讀,此法重燃投資人對中國政府加大監管打壓科技業的恐慌。

對此,北京海豚智庫創始人李成東在接受美國之音採訪時指出,中國的股市投資客太過敏感。他認為,歐美國家已經實施的隱私保護法規其實比中國政府通過的《個人信息保護法》還要嚴格,但歐美股市並未如港股而因此慘跌。他認為,這和歐美國家推崇資本主義比較保護資本家有關,而且法規制定過程也有企業參與或申訴的空間。相較之下,中國體制以勞工為主體,不完全保護資本家,而政策也由當權者拍板定案,這反而在投資人間形塑更多的未來不確定性。 

雖然李成東推崇此一新法是為了更好保護用戶隱私,但他說,中國政府監管趨嚴確實已經對整個互聯網產業帶來負面的影響。至於《個人信息保護法》,首當其衝受到衝擊的是平台的廣告精準投放能力和業務運營,因為該法明確禁止「大數據殺熟」或以損害用戶隱私和購買記錄來做關連推薦等之商業手法。 

李成東說:「利用你的用戶隱私做算法的優化,等於做個性化推薦,這些事情(以後)做不了了,那這可能會影響這些平台,它廣告的效益和價值,肯定會影響它的廣告收入的能力!」 

線上廣告市場恐受衝擊 

不過,李成東也說,只要線上廣告市場還有其他生機,就不至於會有太大的萎縮。 

雖然中國法、商界人士普遍認為,中國重拳出台《個人信息保護法》,彰顯的是中國保護在線用戶隱私的決心。但大多數的中國維權和異議人士卻不以為然。 

現為美利堅大學訪問學者的前中國人權律師陳建剛以「笑話」和「謊言」來形容此一新法。他說,中共這種具有絕對權力之政權的存在,就是對個人信息、人權和個人私權的扼殺,中共出台《個人信息保護法》、大談個人信息之保護只是在欺騙全世界和中國人。

陳建剛告訴美國之音:「個人人權的最大敵對方,或者傷害人權的一方就是在於絕對的、不受限制的公權力。那麼,中共是掌握了所有的權力,不僅掌握公權力、而且它可以掌握全體中國人的私權,可以入侵你的一切信息,(也)可以對任何一個公民剝奪一切。」 

美國人權組織「公民力量」創辦人楊建利在接受美國之音採訪時指出,他對《個人信息保護法》「拭目以待」。他會觀察未來被政府侵犯人權者能不能在中國援引此法來為自己維權。若做不到,此法將形同虛設。 

中國重拳保護隱私 維權人士:沒信心 

他說,因為罰則重,此法或許可以限制平台在商業手法上對用戶隱私的侵害,但對於異議人士的隱私不太可能起到什麼保護作用。 

楊建利說,中國是人治社會,不是法治社會,因此,民間流傳一句話:「憲法不如法律大、法律不如政策大、政策不如意見大」,也就是說,只要領導有意見,上至國家大法的憲法,下至法律政策都起不了作用。例如中國憲法所保障的言論、出版、結社、信仰等自由,在中國都只是紙上自由,但在實踐上往往無法得到保障。 

他還說,幾年前,中國發布了《反間諜法》,明文規定,政府有權要求公司和個人配合,提供個資,這更助長了中國政府對人民隱私的侵害。 

楊建利說:「在中國,很多平台要服從政府的命令,跟政府分享信息。很多平台侵害了(用戶)個人的隱私,常常是因為要和政府進行配合。比如說,我們告微信,微信就必須把它得到的(用戶)個人隱私與中國政府進行分享。雖然法律上沒說政府的責任,但實際上很多平台背後就是政府,對這一塊,我們就沒有多大的信心。」 

「公民力量」之前發起一起集體訴訟,組織數名美國加州用戶狀告微信母公司騰訊。他們提出,包括微信「違反加州憲法賦予的隱私權和自由言論權」等在內的11項指控。有分析稱,這一起還在進行中的訴訟開啟了在美國通過司法途徑討伐微信廣泛侵權之戰。 

楊建利還說,據報載,電商龍頭阿里巴巴的創辦人馬雲就是因為不願釋出用戶個人資料給中國政府,才遭到整改。因此平台這種被要求泄漏用戶隱私給中共的慣列根本牴觸最新通過的《個人信息保護法》。 

他說,中國很多立法一開始都有良善的宗旨,但因為中國並非法治社會,很多法律最後淪為服務中共政權的工具。

猜你喜歡

一對大熊貓抵達阿德萊德

黎辰  2024-12-22

秦晉:川普與中國的關係

秦晉  2024-12-20

編輯推薦

image