文 律商聯(lián)訊特約撰稿 楊洪泉 車佳倩
備受關(guān)注的《中華人民共和國(guó)個(gè)人信息保護(hù)法》(征求意見(jiàn)稿)(下稱《草案》)于2020年10月21日公布�����。未來(lái)一旦正式通過(guò)���,個(gè)人信息保護(hù)法將與網(wǎng)絡(luò)安全法(已生效)和數(shù)據(jù)安全法(尚未通過(guò))成為構(gòu)建我國(guó)數(shù)據(jù)主權(quán)、數(shù)據(jù)安全����、網(wǎng)絡(luò)安全和個(gè)人信息保護(hù)法律框架的三個(gè)重要支柱,并對(duì)我國(guó)數(shù)字經(jīng)濟(jì)格局����、個(gè)人信息保護(hù)、企業(yè)數(shù)據(jù)合規(guī)實(shí)踐等產(chǎn)生重大且深遠(yuǎn)影響����。
《草案》中許多條款與歐盟《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation, 簡(jiǎn)稱“GDPR”)相似���,其中也包括關(guān)于域外效力的若干條款。
粗看之下����,《草案》有關(guān)域外效力的條款確有借鑒GDPR之處。但如果仔細(xì)比較GDPR第三條與《草案》第三條的措辭����,仍然存在一些重要的區(qū)別,境外數(shù)據(jù)控制者和處理者尤其需要注意�����。
關(guān)于GDPR的域外效力問(wèn)題�����,已有很多討論�����。GDPR的地域適用范圍由兩個(gè)標(biāo)準(zhǔn)共同確立����,即“經(jīng)營(yíng)場(chǎng)所所在地標(biāo)準(zhǔn)(Establishment Criterion)”和“目標(biāo)指向標(biāo)準(zhǔn)(Targeting Criterion)”。如某一公司符合這兩個(gè)標(biāo)準(zhǔn)之一����,GDPR就將適用于該公司?��!恫莅浮废乱泊嬖趦煞N標(biāo)準(zhǔn)���,即 “處理行為發(fā)生地標(biāo)準(zhǔn)(Processing Activity Criterion)”和“目標(biāo)指向標(biāo)準(zhǔn)(Purpose Criterion)”。
GDPR “經(jīng)營(yíng)場(chǎng)所所在地標(biāo)準(zhǔn)” VS《草案》“處理行為發(fā)生地標(biāo)準(zhǔn)”
GDPR “經(jīng)營(yíng)場(chǎng)所所在地標(biāo)準(zhǔn)”和《草案》“處理行為發(fā)生地標(biāo)準(zhǔn)” 的相關(guān)規(guī)定詳見(jiàn)上表:
與GDPR不同的是�����,按照《草案》的規(guī)定�����,即便數(shù)據(jù)控制者或處理者在中國(guó)境內(nèi)并未設(shè)立“經(jīng)營(yíng)場(chǎng)所”���,但只要其處理個(gè)人信息的行為在中國(guó)境內(nèi)發(fā)生(《草案》第三條第二款規(guī)定的境外處理活動(dòng)除外)�����,《草案》仍然適用�����。
換言之:
(a)若某一境外數(shù)據(jù)控制者或處理者在中國(guó)境內(nèi)處理境外客戶個(gè)人信息����,即便它在中國(guó)沒(méi)有經(jīng)營(yíng)場(chǎng)所,《草案》對(duì)其仍舊適用;
(b)若某一境外數(shù)據(jù)控制者或處理者在中國(guó)境外處理境內(nèi)客戶個(gè)人信息(第三條第二款規(guī)定的境外處理活動(dòng)除外)���,即便它在中國(guó)設(shè)有經(jīng)營(yíng)場(chǎng)所����,《草案》對(duì)其也不適用�����。
由于GDPR的 “經(jīng)營(yíng)場(chǎng)所所在地標(biāo)準(zhǔn)” 和《草案》的 “處理行為發(fā)生地標(biāo)準(zhǔn)” 著眼點(diǎn)不同�����,很難判斷《草案》的適用范圍究竟是比GDPR更寬或是更窄����。但如站在《草案》的角度來(lái)看,值得思考的是:上述(a)和(b)下的兩種情形是否會(huì)導(dǎo)致《草案》適用出現(xiàn)漏洞或出現(xiàn)境外控制者/處理者有意規(guī)避《草案》適用情況的發(fā)生?
GDPR “目標(biāo)指向標(biāo)準(zhǔn)”VS《草案》“目標(biāo)指向標(biāo)準(zhǔn)”
GDPR和《草案》中 “目標(biāo)指向標(biāo)準(zhǔn)” 的相關(guān)規(guī)定詳見(jiàn)下表:
歐盟數(shù)據(jù)保護(hù)委員會(huì)(EDPB)在《GDRP適用地域指南3/2018》(Guidelines 3/2018 on the territorial scope of the GDPR)(“《指南》”)中明確指出����,GDPR的“目標(biāo)指向標(biāo)準(zhǔn)”主要關(guān)注某個(gè)特定的“數(shù)據(jù)處理活動(dòng)”是否與數(shù)據(jù)主體“相關(guān)”。盡管“相關(guān)”一詞較為抽象且寬泛�����,但GDPR的序言���、EDPB指南和歐洲法院的相關(guān)判例都有助于將此標(biāo)準(zhǔn)進(jìn)行限縮�����。
“向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)”(GDPR) VS“向境內(nèi)自然人提供產(chǎn)品或者服務(wù)”(《草案》)
要確認(rèn)數(shù)據(jù)控制者或數(shù)據(jù)處理者的“數(shù)據(jù)處理活動(dòng)是否與向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)有關(guān)”���,GDPR序言第23條指出:“應(yīng)明確企業(yè)是否明顯(apparently)設(shè)想(envisage)到要向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)?����!睋Q句話說(shuō),境外數(shù)據(jù)控制者/數(shù)據(jù)處理者是否向歐盟境內(nèi)的數(shù)據(jù)主體提供了商品或服務(wù)的實(shí)際結(jié)果不是判斷GDPR能否適用的決定性因素����。相反,境外數(shù)據(jù)控制者或處理者是否存在將其商品或服務(wù)提供給歐盟境內(nèi)數(shù)據(jù)主體的明顯期望(或目標(biāo))����,才是觸發(fā)GDPR本款適用標(biāo)準(zhǔn)的關(guān)鍵因素之一。
相比之下����,《草案》第三條第二款第(一)項(xiàng)規(guī)定,當(dāng)“以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的”時(shí)�����,《草案》也應(yīng)得以適用���。但是����,對(duì)于本款似乎存在兩種理解���,即:
(a)境外數(shù)據(jù)控制者或處理者的目的是向中國(guó)境內(nèi)的自然人提供產(chǎn)品或服務(wù);或(b)境外處理活動(dòng)的目的是向中國(guó)境內(nèi)的自然人提供產(chǎn)品或服務(wù)����。
如果將《草案》第三條第二款第(一)項(xiàng)按照上述(a)段的含義來(lái)解釋,它將起到與GDPR第三條第二款(a)項(xiàng)相同或非常相似的作用(即����,境外數(shù)據(jù)控制者或處理者有明顯的期望將其商品或服務(wù)提供給歐盟境內(nèi)的數(shù)據(jù)主體���,因此應(yīng)適用GDPR)�����。
但是���,《草案》第三條第二款第(一)項(xiàng)的措辭似乎更偏向上述(b)段的含義,即“目的”是指“境外處理活動(dòng)”的目的���,而不是指“境外處理者”的目的���。如按此解釋,只要某一境外公司存在向中國(guó)境內(nèi)自然人銷售產(chǎn)品或服務(wù)的行為���,并發(fā)生了處理這些自然人個(gè)人信息的境外處理活動(dòng)�����,那么無(wú)論該境外公司是否有向中國(guó)境內(nèi)自然人提供產(chǎn)品或服務(wù)的目的或期望����,《草案》對(duì)其均適用。也就是說(shuō)�����,向中國(guó)境內(nèi)自然人提供產(chǎn)品或服務(wù)的實(shí)際結(jié)果將成為決定《草案》是否適用于境外數(shù)據(jù)控制者/處理者的決定性因素���,而境外數(shù)據(jù)控制者或處理者自身的期望或目標(biāo)并沒(méi)有那么重要����。
由于《草案》尚在立法過(guò)程中�����,現(xiàn)在就得出結(jié)論說(shuō)《草案》在此點(diǎn)上的適用范圍要大于GDPR還為時(shí)過(guò)早�����。與“是否發(fā)生向境內(nèi)自然人提供產(chǎn)品或服務(wù)”這一客觀結(jié)果判斷標(biāo)準(zhǔn)相比,很顯然GDPR下探究境外數(shù)據(jù)控制者/處理者目的這一做法的適用范圍更小����,但后者在實(shí)踐中的適用要更復(fù)雜和難以駕馭,這種方法論本身也備受批評(píng)(例如一篇文章批評(píng)說(shuō)���,這種需要判斷境外控制者/處理者主觀意圖的做法簡(jiǎn)直是法官的噩夢(mèng))����。
“監(jiān)控歐盟境內(nèi)數(shù)據(jù)主體的行為”(GDPR) VS“分析和評(píng)估中國(guó)境內(nèi)自然人的活動(dòng)”(《草案》)
觸發(fā)GDPR第三條第二款第二種類型的活動(dòng)是境外控制者/處理者存在“監(jiān)控?cái)?shù)據(jù)主體的行為”����,只要數(shù)據(jù)主體的行為發(fā)生在歐盟的領(lǐng)土內(nèi)����。EDPB在《指南》中指出,“監(jiān)控”一詞意味著控制者具有收集個(gè)人數(shù)據(jù)并進(jìn)行后續(xù)加工利用的目的���?��!吨改稀愤€強(qiáng)調(diào),不是任何在線收集或分析歐盟境內(nèi)主體個(gè)人信息的行為都會(huì)自動(dòng)認(rèn)定為“監(jiān)控”���。需要綜合考慮數(shù)據(jù)控制者處理數(shù)據(jù)的目的����,特別是涉及該數(shù)據(jù)的后續(xù)利用的數(shù)據(jù)處理技術(shù),如識(shí)別分析或行為分析技術(shù)�����。
《草案》第三條第二款第(二)項(xiàng)規(guī)定����,《草案》還適用于“分析和評(píng)估”中國(guó)境內(nèi)自然人行為的境外處理活動(dòng)?���!胺治龊驮u(píng)估”的含義非常廣泛,似乎能夠涵蓋GDPR規(guī)定的“監(jiān)控活動(dòng)”���,而且還可能涵蓋針對(duì)中國(guó)境內(nèi)自然人的行為進(jìn)行的一切觀察�����、分析����、評(píng)估和研究活動(dòng)。
《草案》下“法律����、行政法規(guī)規(guī)定的其他情形”
根據(jù)《草案》第三條第二款第(三)項(xiàng),若滿足“法律和行政法規(guī)規(guī)定的其他情形”也可以觸發(fā)《草案》的域外適用效力�����。 這一“其他情形”的兜底條款為中國(guó)未來(lái)的個(gè)人信息保護(hù)立法預(yù)留了空間����,但也增加了《草案》域外效力范圍的不確定性。
本文基于《草案》的第一版而討論����,《草案》后續(xù)征求意見(jiàn)稿和最終的成文稿可能對(duì)上述問(wèn)題有更為清晰的規(guī)定���。當(dāng)然����,在《草案》通過(guò)后���,有關(guān)部門也有可能出臺(tái)實(shí)施細(xì)則�����,希望能為本文所述問(wèn)題提供較為明確的指引���。(作者楊洪泉系安杰律師事務(wù)所數(shù)據(jù)業(yè)務(wù)合伙人) (責(zé)編 呂斌)
安杰律師事務(wù)所數(shù)據(jù)業(yè)務(wù)合伙人�����,有超過(guò)15年的公司內(nèi)部法律顧問(wèn)和外部律師的豐富經(jīng)驗(yàn)�����。他在監(jiān)管�����、商事和公司等事務(wù)上為客戶提供廣泛的法律服務(wù)���,尤為擅長(zhǎng)技術(shù)、媒體和電信(TMT)���、數(shù)據(jù)保護(hù)及網(wǎng)絡(luò)安全����、合規(guī)和勞動(dòng)法律事務(wù)。
(版權(quán)屬法治日?qǐng)?bào)社《法人》雜志所有����,任何媒體、網(wǎng)站或個(gè)人未經(jīng)授權(quán)不得轉(zhuǎn)載���、摘編���、鏈接、轉(zhuǎn)貼或以其他方式使用�����。)
e88ee732-d65f-4c1f-b52c-081081f10a9632cce3b0-304e-4a33-bacb-f19f9a78c53f.jpg){kind=spacer}
92f4011f-fa06-4d13-9c03-8adc497aae99.jpeg)
4cdd58ff-4730-4d0a-a07c-e33c5e2b81d1.jpeg)
a921a87c-ccc3-4d2e-9df9-446f14ea1bed.jpg)
