個人信息保護(hù)法的域外效力

◎ 文 律商聯(lián)訊特約撰稿 楊洪泉 車佳倩

律商聯(lián)訊（LexisNexis Legal & Professional）是一家全球領(lǐng)先的內(nèi)容和技術(shù)解決方案提供商，是全球領(lǐng)先信息解決方案提供商——勵訊集團(tuán)（RELX Group PLC ）的旗下公司，向全球175個國家的客戶提供服務(wù)，幫助法律、企業(yè)、稅務(wù)、政府、學(xué)術(shù)和非營利性組織的專業(yè)人員做出知情決策，實(shí)現(xiàn)更好的業(yè)務(wù)成果。在中國，律商聯(lián)訊服務(wù)于上千家企業(yè)、律所、政府機(jī)構(gòu)及近300所大學(xué)，不僅僅提供法律檢索，更提供360度解決方案。

備受關(guān)注的《中華人民共和國個人信息保護(hù)法》（征求意見稿）（下稱《草案》）于2020年10月21日公布。未來一旦正式通過，個人信息保護(hù)法將與網(wǎng)絡(luò)安全法（已生效）和數(shù)據(jù)安全法（尚未通過）成為構(gòu)建我國數(shù)據(jù)主權(quán)、數(shù)據(jù)安全、網(wǎng)絡(luò)安全和個人信息保護(hù)法律框架的三個重要支柱，并對我國數(shù)字經(jīng)濟(jì)格局、個人信息保護(hù)、企業(yè)數(shù)據(jù)合規(guī)實(shí)踐等產(chǎn)生重大且深遠(yuǎn)影響。

《草案》中許多條款與歐盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation， 簡稱“GDPR”）相似，其中也包括關(guān)于域外效力的若干條款。

GDPR 《草案》“經(jīng)營場所所在地標(biāo)準(zhǔn)”第三條第一款：本條例適用于在歐盟內(nèi)部設(shè)有經(jīng)營場所的數(shù)據(jù)控制者或處理者對個人數(shù)據(jù)的處理，不論其實(shí)際數(shù)據(jù)處理行為是否在歐盟內(nèi)進(jìn)行。“處理行為發(fā)生地標(biāo)準(zhǔn)”第三條第一款：組織、個人在中華人民共和國境內(nèi)處理自然人個人信息的活動，適用本法。

粗看之下，《草案》有關(guān)域外效力的條款確有借鑒GDPR之處。但如果仔細(xì)比較GDPR第三條與《草案》第三條的措辭，仍然存在一些重要的區(qū)別，境外數(shù)據(jù)控制者和處理者尤其需要注意。

關(guān)于GDPR的域外效力問題，已有很多討論。GDPR的地域適用范圍由兩個標(biāo)準(zhǔn)共同確立，即“經(jīng)營場所所在地標(biāo)準(zhǔn)（Establishment Criterion）”和“目標(biāo)指向標(biāo)準(zhǔn)（Targeting Criterion）”。如某一公司符合這兩個標(biāo)準(zhǔn)之一，GDPR就將適用于該公司。《草案》下也存在兩種標(biāo)準(zhǔn)，即 “處理行為發(fā)生地標(biāo)準(zhǔn)（Processing Activity Criterion）”和“目標(biāo)指向標(biāo)準(zhǔn)（Purpose Criterion）”。

GDPR “經(jīng)營場所所在地標(biāo)準(zhǔn)” VS《草案》“處理行為發(fā)生地標(biāo)準(zhǔn)”

GDPR “經(jīng)營場所所在地標(biāo)準(zhǔn)”和《草案》“處理行為發(fā)生地標(biāo)準(zhǔn)” 的相關(guān)規(guī)定詳見上表：

與GDPR不同的是，按照《草案》的規(guī)定，即便數(shù)據(jù)控制者或處理者在中國境內(nèi)并未設(shè)立“經(jīng)營場所”，但只要其處理個人信息的行為在中國境內(nèi)發(fā)生（《草案》第三條第二款規(guī)定的境外處理活動除外），《草案》仍然適用。

換言之：

（a）若某一境外數(shù)據(jù)控制者或處理者在中國境內(nèi)處理境外客戶個人信息，即便它在中國沒有經(jīng)營場所，《草案》對其仍舊適用；

（b）若某一境外數(shù)據(jù)控制者或處理者在中國境外處理境內(nèi)客戶個人信息（第三條第二款規(guī)定的境外處理活動除外），即便它在中國設(shè)有經(jīng)營場所，《草案》對其也不適用。

由于GDPR的 “經(jīng)營場所所在地標(biāo)準(zhǔn)” 和《草案》的 “處理行為發(fā)生地標(biāo)準(zhǔn)” 著眼點(diǎn)不同，很難判斷《草案》的適用范圍究竟是比GDPR更寬或是更窄。但如站在《草案》的角度來看，值得思考的是：上述（a）和（b）下的兩種情形是否會導(dǎo)致《草案》適用出現(xiàn)漏洞或出現(xiàn)境外控制者/處理者有意規(guī)避《草案》適用情況的發(fā)生？

GDPR “目標(biāo)指向標(biāo)準(zhǔn)”VS《草案》“目標(biāo)指向標(biāo)準(zhǔn)”

GDPR和《草案》中 “目標(biāo)指向標(biāo)準(zhǔn)” 的相關(guān)規(guī)定詳見下表：

歐盟數(shù)據(jù)保護(hù)委員會（EDPB）在《GDRP適用地域指南3/2018》（Guidelines 3/2018 on the territorial scope of the GDPR）（“《指南》”）中明確指出，GDPR的“目標(biāo)指向標(biāo)準(zhǔn)”主要關(guān)注某個特定的“數(shù)據(jù)處理活動”是否與數(shù)據(jù)主體“相關(guān)”。盡管“相關(guān)”一詞較為抽象且寬泛，但GDPR的序言、EDPB指南和歐洲法院的相關(guān)判例都有助于將此標(biāo)準(zhǔn)進(jìn)行限縮。

“向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)”（GDPR） VS“向境內(nèi)自然人提供產(chǎn)品或者服務(wù)”（《草案》）

要確認(rèn)數(shù)據(jù)控制者或數(shù)據(jù)處理者的“數(shù)據(jù)處理活動是否與向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)有關(guān)”，GDPR序言第23條指出：“應(yīng)明確企業(yè)是否明顯（apparently）設(shè)想（envisage）到要向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)?！睋Q句話說，境外數(shù)據(jù)控制者/數(shù)據(jù)處理者是否向歐盟境內(nèi)的數(shù)據(jù)主體提供了商品或服務(wù)的實(shí)際結(jié)果不是判斷GDPR能否適用的決定性因素。相反，境外數(shù)據(jù)控制者或處理者是否存在將其商品或服務(wù)提供給歐盟境內(nèi)數(shù)據(jù)主體的明顯期望（或目標(biāo)），才是觸發(fā)GDPR本款適用標(biāo)準(zhǔn)的關(guān)鍵因素之一。

相比之下，《草案》第三條第二款第（一）項(xiàng)規(guī)定，當(dāng)“以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的”時，《草案》也應(yīng)得以適用。但是，對于本款似乎存在兩種理解，即：

（a）境外數(shù)據(jù)控制者或處理者的目的是向中國境內(nèi)的自然人提供產(chǎn)品或服務(wù)；或（b）境外處理活動的目的是向中國境內(nèi)的自然人提供產(chǎn)品或服務(wù)。

GDPR 《草案》“目標(biāo)指向標(biāo)準(zhǔn)”第三條第二款：本條例適用于如下相關(guān)活動中的個人數(shù)據(jù)處理，即使數(shù)據(jù)控制者或處理者在歐盟沒有設(shè)立經(jīng)營場所：(a)向歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)——不論此項(xiàng)商品或服務(wù)是否要求數(shù)據(jù)主體支付對價；或(b)對發(fā)生在歐洲范圍內(nèi)的數(shù)據(jù)主體的活動進(jìn)行監(jiān)控?！澳繕?biāo)指向標(biāo)準(zhǔn)”第三條第二款：在中華人民共和國境外處理中華人民共和國境內(nèi)自然人個人信息的活動，有下列情形之一的，也適用本法：(一)以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的；(二)為分析、評估境內(nèi)自然人的行為；(三)法律、行政法規(guī)規(guī)定的其他情形。

如果將《草案》第三條第二款第（一）項(xiàng)按照上述（a）段的含義來解釋，它將起到與GDPR第三條第二款（a）項(xiàng)相同或非常相似的作用（即，境外數(shù)據(jù)控制者或處理者有明顯的期望將其商品或服務(wù)提供給歐盟境內(nèi)的數(shù)據(jù)主體，因此應(yīng)適用GDPR）。

但是，《草案》第三條第二款第（一）項(xiàng)的措辭似乎更偏向上述（b）段的含義，即“目的”是指“境外處理活動”的目的，而不是指“境外處理者”的目的。如按此解釋，只要某一境外公司存在向中國境內(nèi)自然人銷售產(chǎn)品或服務(wù)的行為，并發(fā)生了處理這些自然人個人信息的境外處理活動，那么無論該境外公司是否有向中國境內(nèi)自然人提供產(chǎn)品或服務(wù)的目的或期望，《草案》對其均適用。也就是說，向中國境內(nèi)自然人提供產(chǎn)品或服務(wù)的實(shí)際結(jié)果將成為決定《草案》是否適用于境外數(shù)據(jù)控制者/處理者的決定性因素，而境外數(shù)據(jù)控制者或處理者自身的期望或目標(biāo)并沒有那么重要。

由于《草案》尚在立法過程中，現(xiàn)在就得出結(jié)論說《草案》在此點(diǎn)上的適用范圍要大于GDPR還為時過早。與“是否發(fā)生向境內(nèi)自然人提供產(chǎn)品或服務(wù)”這一客觀結(jié)果判斷標(biāo)準(zhǔn)相比，很顯然GDPR下探究境外數(shù)據(jù)控制者/處理者目的這一做法的適用范圍更小，但后者在實(shí)踐中的適用要更復(fù)雜和難以駕馭，這種方法論本身也備受批評（例如一篇文章批評說，這種需要判斷境外控制者/處理者主觀意圖的做法簡直是法官的噩夢）。

“監(jiān)控歐盟境內(nèi)數(shù)據(jù)主體的行為”（GDPR）VS“分析和評估中國境內(nèi)自然人的活動”（《草案》）

觸發(fā)GDPR第三條第二款第二種類型的活動是境外控制者/處理者存在“監(jiān)控數(shù)據(jù)主體的行為”，只要數(shù)據(jù)主體的行為發(fā)生在歐盟的領(lǐng)土內(nèi)。EDPB在《指南》中指出，“監(jiān)控”一詞意味著控制者具有收集個人數(shù)據(jù)并進(jìn)行后續(xù)加工利用的目的。《指南》還強(qiáng)調(diào)，不是任何在線收集或分析歐盟境內(nèi)主體個人信息的行為都會自動認(rèn)定為“監(jiān)控”。需要綜合考慮數(shù)據(jù)控制者處理數(shù)據(jù)的目的，特別是涉及該數(shù)據(jù)的后續(xù)利用的數(shù)據(jù)處理技術(shù)，如識別分析或行為分析技術(shù)。

《草案》第三條第二款第（二）項(xiàng)規(guī)定，《草案》還適用于“分析和評估”中國境內(nèi)自然人行為的境外處理活動?！胺治龊驮u估”的含義非常廣泛，似乎能夠涵蓋GDPR規(guī)定的“監(jiān)控活動”，而且還可能涵蓋針對中國境內(nèi)自然人的行為進(jìn)行的一切觀察、分析、評估和研究活動。

《草案》下“法律、行政法規(guī)規(guī)定的其他情形”

根據(jù)《草案》第三條第二款第（三）項(xiàng)，若滿足“法律和行政法規(guī)規(guī)定的其他情形”也可以觸發(fā)《草案》的域外適用效力。 這一“其他情形”的兜底條款為中國未來的個人信息保護(hù)立法預(yù)留了空間，但也增加了《草案》域外效力范圍的不確定性。

本文基于《草案》的第一版而討論，《草案》后續(xù)征求意見稿和最終的成文稿可能對上述問題有更為清晰的規(guī)定。當(dāng)然，在《草案》通過后，有關(guān)部門也有可能出臺實(shí)施細(xì)則，希望能為本文所述問題提供較為明確的指引。