文 律商聯訊特約撰稿 楊洪泉 車佳倩
備受關注的《中華人民共和國個人信息保護法》(征求意見稿)(下稱《草案》)于2020年10月21日公布。未來一旦正式通過,個人信息保護法將與網絡安全法(已生效)和數據安全法(尚未通過)成為構建我國數據主權、數據安全、網絡安全和個人信息保護法律框架的三個重要支柱,并對我國數字經濟格局、個人信息保護、企業數據合規實踐等產生重大且深遠影響。
《草案》中許多條款與歐盟《通用數據保護條例》(General Data Protection Regulation, 簡稱“GDPR”)相似,其中也包括關于域外效力的若干條款。
粗看之下,《草案》有關域外效力的條款確有借鑒GDPR之處。但如果仔細比較GDPR第三條與《草案》第三條的措辭,仍然存在一些重要的區別,境外數據控制者和處理者尤其需要注意。
關于GDPR的域外效力問題,已有很多討論。GDPR的地域適用范圍由兩個標準共同確立,即“經營場所所在地標準(Establishment Criterion)”和“目標指向標準(Targeting Criterion)”。如某一公司符合這兩個標準之一,GDPR就將適用于該公司?!恫莅浮废乱泊嬖趦煞N標準,即 “處理行為發生地標準(Processing Activity Criterion)”和“目標指向標準(Purpose Criterion)”。
GDPR “經營場所所在地標準” VS《草案》“處理行為發生地標準”
GDPR “經營場所所在地標準”和《草案》“處理行為發生地標準” 的相關規定詳見上表:
與GDPR不同的是,按照《草案》的規定,即便數據控制者或處理者在中國境內并未設立“經營場所”,但只要其處理個人信息的行為在中國境內發生(《草案》第三條第二款規定的境外處理活動除外),《草案》仍然適用。
換言之:
(a)若某一境外數據控制者或處理者在中國境內處理境外客戶個人信息,即便它在中國沒有經營場所,《草案》對其仍舊適用;
(b)若某一境外數據控制者或處理者在中國境外處理境內客戶個人信息(第三條第二款規定的境外處理活動除外),即便它在中國設有經營場所,《草案》對其也不適用。
由于GDPR的 “經營場所所在地標準” 和《草案》的 “處理行為發生地標準” 著眼點不同,很難判斷《草案》的適用范圍究竟是比GDPR更寬或是更窄。但如站在《草案》的角度來看,值得思考的是:上述(a)和(b)下的兩種情形是否會導致《草案》適用出現漏洞或出現境外控制者/處理者有意規避《草案》適用情況的發生?
GDPR “目標指向標準”VS《草案》“目標指向標準”
GDPR和《草案》中 “目標指向標準” 的相關規定詳見下表:
歐盟數據保護委員會(EDPB)在《GDRP適用地域指南3/2018》(Guidelines 3/2018 on the territorial scope of the GDPR)(“《指南》”)中明確指出,GDPR的“目標指向標準”主要關注某個特定的“數據處理活動”是否與數據主體“相關”。盡管“相關”一詞較為抽象且寬泛,但GDPR的序言、EDPB指南和歐洲法院的相關判例都有助于將此標準進行限縮。
“向歐盟境內的數據主體提供商品或服務”(GDPR) VS“向境內自然人提供產品或者服務”(《草案》)
要確認數據控制者或數據處理者的“數據處理活動是否與向歐盟境內的數據主體提供商品或服務有關”,GDPR序言第23條指出:“應明確企業是否明顯(apparently)設想(envisage)到要向歐盟境內的數據主體提供商品或服務?!睋Q句話說,境外數據控制者/數據處理者是否向歐盟境內的數據主體提供了商品或服務的實際結果不是判斷GDPR能否適用的決定性因素。相反,境外數據控制者或處理者是否存在將其商品或服務提供給歐盟境內數據主體的明顯期望(或目標),才是觸發GDPR本款適用標準的關鍵因素之一。
相比之下,《草案》第三條第二款第(一)項規定,當“以向境內自然人提供產品或者服務為目的”時,《草案》也應得以適用。但是,對于本款似乎存在兩種理解,即:
(a)境外數據控制者或處理者的目的是向中國境內的自然人提供產品或服務;或(b)境外處理活動的目的是向中國境內的自然人提供產品或服務。
如果將《草案》第三條第二款第(一)項按照上述(a)段的含義來解釋,它將起到與GDPR第三條第二款(a)項相同或非常相似的作用(即,境外數據控制者或處理者有明顯的期望將其商品或服務提供給歐盟境內的數據主體,因此應適用GDPR)。
但是,《草案》第三條第二款第(一)項的措辭似乎更偏向上述(b)段的含義,即“目的”是指“境外處理活動”的目的,而不是指“境外處理者”的目的。如按此解釋,只要某一境外公司存在向中國境內自然人銷售產品或服務的行為,并發生了處理這些自然人個人信息的境外處理活動,那么無論該境外公司是否有向中國境內自然人提供產品或服務的目的或期望,《草案》對其均適用。也就是說,向中國境內自然人提供產品或服務的實際結果將成為決定《草案》是否適用于境外數據控制者/處理者的決定性因素,而境外數據控制者或處理者自身的期望或目標并沒有那么重要。
由于《草案》尚在立法過程中,現在就得出結論說《草案》在此點上的適用范圍要大于GDPR還為時過早。與“是否發生向境內自然人提供產品或服務”這一客觀結果判斷標準相比,很顯然GDPR下探究境外數據控制者/處理者目的這一做法的適用范圍更小,但后者在實踐中的適用要更復雜和難以駕馭,這種方法論本身也備受批評(例如一篇文章批評說,這種需要判斷境外控制者/處理者主觀意圖的做法簡直是法官的噩夢)。
“監控歐盟境內數據主體的行為”(GDPR) VS“分析和評估中國境內自然人的活動”(《草案》)
觸發GDPR第三條第二款第二種類型的活動是境外控制者/處理者存在“監控數據主體的行為”,只要數據主體的行為發生在歐盟的領土內。EDPB在《指南》中指出,“監控”一詞意味著控制者具有收集個人數據并進行后續加工利用的目的?!吨改稀愤€強調,不是任何在線收集或分析歐盟境內主體個人信息的行為都會自動認定為“監控”。需要綜合考慮數據控制者處理數據的目的,特別是涉及該數據的后續利用的數據處理技術,如識別分析或行為分析技術。
《草案》第三條第二款第(二)項規定,《草案》還適用于“分析和評估”中國境內自然人行為的境外處理活動?!胺治龊驮u估”的含義非常廣泛,似乎能夠涵蓋GDPR規定的“監控活動”,而且還可能涵蓋針對中國境內自然人的行為進行的一切觀察、分析、評估和研究活動。
《草案》下“法律、行政法規規定的其他情形”
根據《草案》第三條第二款第(三)項,若滿足“法律和行政法規規定的其他情形”也可以觸發《草案》的域外適用效力。 這一“其他情形”的兜底條款為中國未來的個人信息保護立法預留了空間,但也增加了《草案》域外效力范圍的不確定性。
本文基于《草案》的第一版而討論,《草案》后續征求意見稿和最終的成文稿可能對上述問題有更為清晰的規定。當然,在《草案》通過后,有關部門也有可能出臺實施細則,希望能為本文所述問題提供較為明確的指引。(作者楊洪泉系安杰律師事務所數據業務合伙人) (責編 呂斌)
安杰律師事務所數據業務合伙人,有超過15年的公司內部法律顧問和外部律師的豐富經驗。他在監管、商事和公司等事務上為客戶提供廣泛的法律服務,尤為擅長技術、媒體和電信(TMT)、數據保護及網絡安全、合規和勞動法律事務。
(版權屬法治日報社《法人》雜志所有,任何媒體、網站或個人未經授權不得轉載、摘編、鏈接、轉貼或以其他方式使用。)