《112-06-4192台商張老師月刊112年9月第289期》

李永然律師

台商諮詢問題摘要:

台商王先生在中國大陸上海經商，從事服務業，常需處理關於客戶的個人訊息，然不知何謂「敏感個人訊息」？又處理這類訊息時，應注意那些法律規定？

台商張老師諮詢解答:

    按「個人訊息」在大陸稱之為「個人信息」，大陸為保護個人信息權益，規範個人信息處理活動，訂有《個人信息保護法》。

    該法所規定的「個人信息」，乃指以電子或者其他方式記錄的與已識別或可識別的「自然人」有關的各種信息；但不包括「匿名化」處理後的信息（參見大陸《個人信息保護法》第4條第1款）。足見「個人信息」的構成有三個要素：(1)以電子或其他方式記錄，(2)與「自然人」有關的信息，(3)與已識別或者可識別的自然人有關。

    由於大陸《個人信息保護法》將個人信息分為「敏感信息」和「非敏感信息」；所謂「敏感個人信息」（personal sensitive information）乃指一旦洩露或者非法使用，容易導致自然人的人格尊嚴或到侵害或者人身、財產安全受到危害的個人信息。其包括：生物識別、宗教信仰、特定身分、醫療健康、金融帳戶，行蹤軌跡等信息，以及未滿十四週歲之未成年人的個人信息（參見大陸《個人信息保護法》第28條第1款）。

    敏感個人信息中的「敏感」，就是造成侵害或危害後果上的容易性；這種侵害或危害後果包括兩類：(1)是人格尊嚴受到侵害，(2)是自然人的人身、財產安全受到危害，即自然人的生命權、身體權、健康權等人身權益或者自然人的財產權益等受到侵害或有被侵害的風險（註1）。

    對於「敏感個人信息」，「個人信息處理者」只有在具有特定的目的和充分的必要性，並採取嚴格保護措施的情形下，才可以處理敏感個人信息（參見大陸《個人信息保護法》第28條第2款）；亦即處理敏感個人信息有三個層面的前提要件，包括：

    (1)、須具有特定目的：處理時不能隨意擴大或超出原有目的範圍，倘目的發生變化時，須重新獲得「信息主體」的同意（大陸《個人信息保護法》第14條第2款）；

    (2)、須具備充分的必要性；

    (3)、「個人信息處理者」須採取嚴格保護措施：處理的各個環節須採取安全、可靠的保護手段，保護敏感個人信息不被洩露、非法使用（註2）。

    以上說明，供大陸台商參酌運用，倘處理「敏感個人信息」，務必注意上述規定，俾免因違反上述規定致他人受有損害，導致遭到處罰及承擔相關的民事賠償責任（本文作者李永然現為台北企業經理協進會理事長、台商張老師）。

註1、程嘯著：個人信息保護法理解與適用，頁259，2021年9月第1版第1刷，

中國法制出版社出版。

註2、張平主編：個人信息保護法理解適用與案例解讀，頁118，2021年11月

第1版第1刷，中國法制出版社出版。