文 律商聯(lián)訊特約撰稿 楊洪泉 車佳倩
備受關(guān)注的《中華人民共和國個人信息保護法》(征求意見稿)(下稱《草案》)于2020年10月21日公布。未來一旦正式通過�,個人信息保護法將與網(wǎng)絡(luò)安全法(已生效)和數(shù)據(jù)安全法(尚未通過)成為構(gòu)建我國數(shù)據(jù)主權(quán)、數(shù)據(jù)安全���、網(wǎng)絡(luò)安全和個人信息保護法律框架的三個重要支柱��,并對我國數(shù)字經(jīng)濟格局���、個人信息保護、企業(yè)數(shù)據(jù)合規(guī)實踐等產(chǎn)生重大且深遠影響����。
《草案》中許多條款與歐盟《通用數(shù)據(jù)保護條例》(General Data Protection Regulation, 簡稱“GDPR”)相似��,其中也包括關(guān)于域外效力的若干條款��。
粗看之下,《草案》有關(guān)域外效力的條款確有借鑒GDPR之處��。但如果仔細比較GDPR第三條與《草案》第三條的措辭��,仍然存在一些重要的區(qū)別��,境外數(shù)據(jù)控制者和處理者尤其需要注意����。
關(guān)于GDPR的域外效力問題,已有很多討論�����。GDPR的地域適用范圍由兩個標準共同確立��,即“經(jīng)營場所所在地標準(Establishment Criterion)”和“目標指向標準(Targeting Criterion)”��。如某一公司符合這兩個標準之一����,GDPR就將適用于該公司?���!恫莅浮废乱泊嬖趦煞N標準���,即 “處理行為發(fā)生地標準(Processing Activity Criterion)”和“目標指向標準(Purpose Criterion)”��。
GDPR “經(jīng)營場所所在地標準” VS《草案》“處理行為發(fā)生地標準”
GDPR “經(jīng)營場所所在地標準”和《草案》“處理行為發(fā)生地標準” 的相關(guān)規(guī)定詳見上表:
與GDPR不同的是�����,按照《草案》的規(guī)定�,即便數(shù)據(jù)控制者或處理者在中國境內(nèi)并未設(shè)立“經(jīng)營場所”,但只要其處理個人信息的行為在中國境內(nèi)發(fā)生(《草案》第三條第二款規(guī)定的境外處理活動除外)�,《草案》仍然適用。
換言之:
(a)若某一境外數(shù)據(jù)控制者或處理者在中國境內(nèi)處理境外客戶個人信息����,即便它在中國沒有經(jīng)營場所,《草案》對其仍舊適用;
(b)若某一境外數(shù)據(jù)控制者或處理者在中國境外處理境內(nèi)客戶個人信息(第三條第二款規(guī)定的境外處理活動除外)�����,即便它在中國設(shè)有經(jīng)營場所���,《草案》對其也不適用�����。
由于GDPR的 “經(jīng)營場所所在地標準” 和《草案》的 “處理行為發(fā)生地標準” 著眼點不同�����,很難判斷《草案》的適用范圍究竟是比GDPR更寬或是更窄�����。但如站在《草案》的角度來看�����,值得思考的是:上述(a)和(b)下的兩種情形是否會導(dǎo)致《草案》適用出現(xiàn)漏洞或出現(xiàn)境外控制者/處理者有意規(guī)避《草案》適用情況的發(fā)生?
GDPR “目標指向標準”VS《草案》“目標指向標準”
GDPR和《草案》中 “目標指向標準” 的相關(guān)規(guī)定詳見下表:
歐盟數(shù)據(jù)保護委員會(EDPB)在《GDRP適用地域指南3/2018》(Guidelines 3/2018 on the territorial scope of the GDPR)(“《指南》”)中明確指出,GDPR的“目標指向標準”主要關(guān)注某個特定的“數(shù)據(jù)處理活動”是否與數(shù)據(jù)主體“相關(guān)”。盡管“相關(guān)”一詞較為抽象且寬泛�����,但GDPR的序言����、EDPB指南和歐洲法院的相關(guān)判例都有助于將此標準進行限縮�。
“向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)”(GDPR) VS“向境內(nèi)自然人提供產(chǎn)品或者服務(wù)”(《草案》)
要確認數(shù)據(jù)控制者或數(shù)據(jù)處理者的“數(shù)據(jù)處理活動是否與向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)有關(guān)”,GDPR序言第23條指出:“應(yīng)明確企業(yè)是否明顯(apparently)設(shè)想(envisage)到要向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)?!睋Q句話說,境外數(shù)據(jù)控制者/數(shù)據(jù)處理者是否向歐盟境內(nèi)的數(shù)據(jù)主體提供了商品或服務(wù)的實際結(jié)果不是判斷GDPR能否適用的決定性因素����。相反,境外數(shù)據(jù)控制者或處理者是否存在將其商品或服務(wù)提供給歐盟境內(nèi)數(shù)據(jù)主體的明顯期望(或目標)���,才是觸發(fā)GDPR本款適用標準的關(guān)鍵因素之一。
相比之下���,《草案》第三條第二款第(一)項規(guī)定�,當“以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的”時�,《草案》也應(yīng)得以適用。但是����,對于本款似乎存在兩種理解,即:
(a)境外數(shù)據(jù)控制者或處理者的目的是向中國境內(nèi)的自然人提供產(chǎn)品或服務(wù);或(b)境外處理活動的目的是向中國境內(nèi)的自然人提供產(chǎn)品或服務(wù)�。
如果將《草案》第三條第二款第(一)項按照上述(a)段的含義來解釋,它將起到與GDPR第三條第二款(a)項相同或非常相似的作用(即��,境外數(shù)據(jù)控制者或處理者有明顯的期望將其商品或服務(wù)提供給歐盟境內(nèi)的數(shù)據(jù)主體�����,因此應(yīng)適用GDPR)。
但是��,《草案》第三條第二款第(一)項的措辭似乎更偏向上述(b)段的含義�����,即“目的”是指“境外處理活動”的目的���,而不是指“境外處理者”的目的����。如按此解釋����,只要某一境外公司存在向中國境內(nèi)自然人銷售產(chǎn)品或服務(wù)的行為,并發(fā)生了處理這些自然人個人信息的境外處理活動���,那么無論該境外公司是否有向中國境內(nèi)自然人提供產(chǎn)品或服務(wù)的目的或期望���,《草案》對其均適用。也就是說�����,向中國境內(nèi)自然人提供產(chǎn)品或服務(wù)的實際結(jié)果將成為決定《草案》是否適用于境外數(shù)據(jù)控制者/處理者的決定性因素,而境外數(shù)據(jù)控制者或處理者自身的期望或目標并沒有那么重要�����。
由于《草案》尚在立法過程中����,現(xiàn)在就得出結(jié)論說《草案》在此點上的適用范圍要大于GDPR還為時過早。與“是否發(fā)生向境內(nèi)自然人提供產(chǎn)品或服務(wù)”這一客觀結(jié)果判斷標準相比��,很顯然GDPR下探究境外數(shù)據(jù)控制者/處理者目的這一做法的適用范圍更小���,但后者在實踐中的適用要更復(fù)雜和難以駕馭,這種方法論本身也備受批評(例如一篇文章批評說�����,這種需要判斷境外控制者/處理者主觀意圖的做法簡直是法官的噩夢)��。
“監(jiān)控歐盟境內(nèi)數(shù)據(jù)主體的行為”(GDPR) VS“分析和評估中國境內(nèi)自然人的活動”(《草案》)
觸發(fā)GDPR第三條第二款第二種類型的活動是境外控制者/處理者存在“監(jiān)控數(shù)據(jù)主體的行為”�����,只要數(shù)據(jù)主體的行為發(fā)生在歐盟的領(lǐng)土內(nèi)。EDPB在《指南》中指出�����,“監(jiān)控”一詞意味著控制者具有收集個人數(shù)據(jù)并進行后續(xù)加工利用的目的�。《指南》還強調(diào)��,不是任何在線收集或分析歐盟境內(nèi)主體個人信息的行為都會自動認定為“監(jiān)控”����。需要綜合考慮數(shù)據(jù)控制者處理數(shù)據(jù)的目的,特別是涉及該數(shù)據(jù)的后續(xù)利用的數(shù)據(jù)處理技術(shù)�����,如識別分析或行為分析技術(shù)����。
《草案》第三條第二款第(二)項規(guī)定,《草案》還適用于“分析和評估”中國境內(nèi)自然人行為的境外處理活動��?��!胺治龊驮u估”的含義非常廣泛�,似乎能夠涵蓋GDPR規(guī)定的“監(jiān)控活動”,而且還可能涵蓋針對中國境內(nèi)自然人的行為進行的一切觀察�����、分析�、評估和研究活動。
《草案》下“法律��、行政法規(guī)規(guī)定的其他情形”
根據(jù)《草案》第三條第二款第(三)項��,若滿足“法律和行政法規(guī)規(guī)定的其他情形”也可以觸發(fā)《草案》的域外適用效力�。 這一“其他情形”的兜底條款為中國未來的個人信息保護立法預(yù)留了空間,但也增加了《草案》域外效力范圍的不確定性���。
本文基于《草案》的第一版而討論��,《草案》后續(xù)征求意見稿和最終的成文稿可能對上述問題有更為清晰的規(guī)定。當然���,在《草案》通過后���,有關(guān)部門也有可能出臺實施細則,希望能為本文所述問題提供較為明確的指引�����。(作者楊洪泉系安杰律師事務(wù)所數(shù)據(jù)業(yè)務(wù)合伙人) (責(zé)編 呂斌)
安杰律師事務(wù)所數(shù)據(jù)業(yè)務(wù)合伙人,有超過15年的公司內(nèi)部法律顧問和外部律師的豐富經(jīng)驗�����。他在監(jiān)管��、商事和公司等事務(wù)上為客戶提供廣泛的法律服務(wù)����,尤為擅長技術(shù)、媒體和電信(TMT)����、數(shù)據(jù)保護及網(wǎng)絡(luò)安全、合規(guī)和勞動法律事務(wù)�����。
(版權(quán)屬法治日報社《法人》雜志所有��,任何媒體���、網(wǎng)站或個人未經(jīng)授權(quán)不得轉(zhuǎn)載�、摘編、鏈接����、轉(zhuǎn)貼或以其他方式使用。)
e88ee732-d65f-4c1f-b52c-081081f10a9632cce3b0-304e-4a33-bacb-f19f9a78c53f.jpg){kind=spacer}
92f4011f-fa06-4d13-9c03-8adc497aae99.jpeg)
4cdd58ff-4730-4d0a-a07c-e33c5e2b81d1.jpeg)
a921a87c-ccc3-4d2e-9df9-446f14ea1bed.jpg)
