个人信息保护法的域外效力
2021-01-04 13:47 来源:法人杂志 作者:杨洪泉 车佳倩

文 律商联讯特约撰稿 杨洪泉 车佳倩

备受关注的《中华人民共和国个人信息保护法》(征求意见稿)(下称《草案》)于2020年10月21日公布。未来一旦正式通过,个人信息保护法将与网络安全法(已生效)和数据安全法(尚未通过)成为构建我国数据主权、数据安全、网络安全和个人信息保护法律框架的三个重要支柱,并对我国数字经济格局、个人信息保护、企业数据合规实践等产生重大且深远影响。

《草案》中许多条款与欧盟《通用数据保护条例》(General Data Protection Regulation, 简称“GDPR”)相似,其中也包括关于域外效力的若干条款。

粗看之下,《草案》有关域外效力的条款确有借鉴GDPR之处。但如果仔细比较GDPR第三条与《草案》第三条的措辞,仍然存在一些重要的区别,境外数据控制者和处理者尤其需要注意。

关于GDPR的域外效力问题,已有很多讨论。GDPR的地域适用范围由两个标准共同确立,即“经营场所所在地标准(Establishment Criterion)”和“目标指向标准(Targeting Criterion)”。如某一公司符合这两个标准之一,GDPR就将适用于该公司。《草案》下也存在两种标准,即 “处理行为发生地标准(Processing Activity Criterion)”和“目标指向标准(Purpose Criterion)”。

GDPR “经营场所所在地标准” VS《草案》“处理行为发生地标准”

GDPR “经营场所所在地标准”和《草案》“处理行为发生地标准” 的相关规定详见上表:

与GDPR不同的是,按照《草案》的规定,即便数据控制者或处理者在中国境内并未设立“经营场所”,但只要其处理个人信息的行为在中国境内发生(《草案》第三条第二款规定的境外处理活动除外),《草案》仍然适用。

换言之:

(a)若某一境外数据控制者或处理者在中国境内处理境外客户个人信息,即便它在中国没有经营场所,《草案》对其仍旧适用;

(b)若某一境外数据控制者或处理者在中国境外处理境内客户个人信息(第三条第二款规定的境外处理活动除外),即便它在中国设有经营场所,《草案》对其也不适用。

由于GDPR的 “经营场所所在地标准” 和《草案》的 “处理行为发生地标准” 着眼点不同,很难判断《草案》的适用范围究竟是比GDPR更宽或是更窄。但如站在《草案》的角度来看,值得思考的是:上述(a)和(b)下的两种情形是否会导致《草案》适用出现漏洞或出现境外控制者/处理者有意规避《草案》适用情况的发生?

GDPR “目标指向标准”VS《草案》“目标指向标准”

GDPR和《草案》中 “目标指向标准” 的相关规定详见下表:

欧盟数据保护委员会(EDPB)在《GDRP适用地域指南3/2018》(Guidelines 3/2018 on the territorial scope of the GDPR)(“《指南》”)中明确指出,GDPR的“目标指向标准”主要关注某个特定的“数据处理活动”是否与数据主体“相关”。尽管“相关”一词较为抽象且宽泛,但GDPR的序言、EDPB指南和欧洲法院的相关判例都有助于将此标准进行限缩。

“向欧盟境内的数据主体提供商品或服务”(GDPR) VS“向境内自然人提供产品或者服务”(《草案》)

要确认数据控制者或数据处理者的“数据处理活动是否与向欧盟境内的数据主体提供商品或服务有关”,GDPR序言第23条指出:“应明确企业是否明显(apparently)设想(envisage)到要向欧盟境内的数据主体提供商品或服务。”换句话说,境外数据控制者/数据处理者是否向欧盟境内的数据主体提供了商品或服务的实际结果不是判断GDPR能否适用的决定性因素。相反,境外数据控制者或处理者是否存在将其商品或服务提供给欧盟境内数据主体的明显期望(或目标),才是触发GDPR本款适用标准的关键因素之一。

相比之下,《草案》第三条第二款第(一)项规定,当“以向境内自然人提供产品或者服务为目的”时,《草案》也应得以适用。但是,对于本款似乎存在两种理解,即:

(a)境外数据控制者或处理者的目的是向中国境内的自然人提供产品或服务;或(b)境外处理活动的目的是向中国境内的自然人提供产品或服务。

如果将《草案》第三条第二款第(一)项按照上述(a)段的含义来解释,它将起到与GDPR第三条第二款(a)项相同或非常相似的作用(即,境外数据控制者或处理者有明显的期望将其商品或服务提供给欧盟境内的数据主体,因此应适用GDPR)。

但是,《草案》第三条第二款第(一)项的措辞似乎更偏向上述(b)段的含义,即“目的”是指“境外处理活动”的目的,而不是指“境外处理者”的目的。如按此解释,只要某一境外公司存在向中国境内自然人销售产品或服务的行为,并发生了处理这些自然人个人信息的境外处理活动,那么无论该境外公司是否有向中国境内自然人提供产品或服务的目的或期望,《草案》对其均适用。也就是说,向中国境内自然人提供产品或服务的实际结果将成为决定《草案》是否适用于境外数据控制者/处理者的决定性因素,而境外数据控制者或处理者自身的期望或目标并没有那么重要。

由于《草案》尚在立法过程中,现在就得出结论说《草案》在此点上的适用范围要大于GDPR还为时过早。与“是否发生向境内自然人提供产品或服务”这一客观结果判断标准相比,很显然GDPR下探究境外数据控制者/处理者目的这一做法的适用范围更小,但后者在实践中的适用要更复杂和难以驾驭,这种方法论本身也备受批评(例如一篇文章批评说,这种需要判断境外控制者/处理者主观意图的做法简直是法官的噩梦)。

“监控欧盟境内数据主体的行为”(GDPR) VS“分析和评估中国境内自然人的活动”(《草案》)

触发GDPR第三条第二款第二种类型的活动是境外控制者/处理者存在“监控数据主体的行为”,只要数据主体的行为发生在欧盟的领土内。EDPB在《指南》中指出,“监控”一词意味着控制者具有收集个人数据并进行后续加工利用的目的。《指南》还强调,不是任何在线收集或分析欧盟境内主体个人信息的行为都会自动认定为“监控”。需要综合考虑数据控制者处理数据的目的,特别是涉及该数据的后续利用的数据处理技术,如识别分析或行为分析技术。

《草案》第三条第二款第(二)项规定,《草案》还适用于“分析和评估”中国境内自然人行为的境外处理活动。“分析和评估”的含义非常广泛,似乎能够涵盖GDPR规定的“监控活动”,而且还可能涵盖针对中国境内自然人的行为进行的一切观察、分析、评估和研究活动。

《草案》下“法律、行政法规规定的其他情形”

根据《草案》第三条第二款第(三)项,若满足“法律和行政法规规定的其他情形”也可以触发《草案》的域外适用效力。 这一“其他情形”的兜底条款为中国未来的个人信息保护立法预留了空间,但也增加了《草案》域外效力范围的不确定性。

本文基于《草案》的第一版而讨论,《草案》后续征求意见稿和最终的成文稿可能对上述问题有更为清晰的规定。当然,在《草案》通过后,有关部门也有可能出台实施细则,希望能为本文所述问题提供较为明确的指引。(作者杨洪泉系安杰律师事务所数据业务合伙人) (责编 吕斌)

安杰律师事务所数据业务合伙人,有超过15年的公司内部法律顾问和外部律师的丰富经验。他在监管、商事和公司等事务上为客户提供广泛的法律服务,尤为擅长技术、媒体和电信(TMT)、数据保护及网络安全、合规和劳动法律事务。

  (版权属法治日报社《法人》杂志所有,任何媒体、网站或个人未经授权不得转载、摘编、链接、转贴或以其他方式使用。)

编辑:赵佳