十国/地区数据保护法十大合规要点对比 | #1 法律适用范围与域外适用效力
2021-09-28
来源:出海互联网法律观察
十国/地区个人信息保护法十大合规要点大比对
摘要:
《中华人民共和国个人信息保护法》(以下简称《个保法》)已于2021年8月20日横空出世,并将于11月1日正式生效。作为中国第一部法典化的个人信息保护法,个保法不仅从内容上借鉴和吸收了先进海外地区的立法经验,以及包括《民法典》、《个人信息安全规范》、《网络安全法》、《电子商务法》,《数据安全法》等在内的涉及个人信息保护方面的有益内容,也从个人信息处理规则、个人信息跨境提供规则、个人信息主体权利、个人信息处理者的义务、以及个人信息保护和合规义务等具体方面,为个人信息主体的权益提供了全面的保障。
总体上来说,个保法的出台,正式宣告网络安全与数据合规三驾马车(《网络安全法》、《数据安全法》、《个人信息保护法》)的诞生,并确立了我国个人信息保护的法治架构与体系,体现出我国高度重视个人信息保护与治理的决心与态度。
笔者专注于互联网法律服务与合规工作,特别是全球数据与个人信息合规保护领域,一直特别关注海外数据隐私保护立法的动态与发展。
本文旨在通过将我国个保法与海外九大主要地区的个人信息保护法案,从十个维度进行横向对比,以帮助出海互联网企业及大量接触个人信息的相关岗位人员更好地了解各国/地区在数据保护方面的异同点,以及主要合规要点。
鉴于篇幅有限,笔者仅将主要比对维度按版块以要点的方式进行扼要列示,并期待个人信息保护同行专家朋友们的宝贵建议与指导。
本篇是第一部分内容,主要从各国/地区的个人信息保护法在法律适用范围及其是否具有域外适用效力方面进行解读与对比。
第一部分:法律适用范围与域外适用效力
法律适用范围,主要是指某一法律所具有或者赋予的约束力,以及其所适用的范围广度与深度,一般包括时间适用效力(开始生效和终止生效时间)、空间效力(生效的地域范围)、以及对人的效力(对哪些人员生效)。而对于个人信息保护法律而言,一般会关注地域适用范围、个人适用范围以及个人信息资料本身的适用范围。
(一)我国个保法解读:
《个保法》在第一章“总则”中就本法的适用范围进行了明确的规定。
首先,其明确规定过了“在中华人民共和国境内处理自然人个人信息的活动,适用本法”。可见,我国个保法采取了“属地原则”,明确了其适用范围之一针对的是“处理中国境内自然人信息的活动”,本法适用的个人信息主体,是指在中国境内的自然人个人,而无论该自然人是中国人还是外国人。换言之,即便是外国人主体,当其是在中国境内产生了个人数据,且被中国境内的组织、个人进行了个人信息的处理行为,则将会落入我国个保法的管辖和保护范围内。
举例说明
一款主要为境内用户提供购物服务的国内电商类App,在其服务过程中,收集了某位身处中国境内的外国人主体的个人信息时,则该电商类App在中国境内处理该等外国个人主体的个人信息时,需要遵守我国个保法的规定。而至于该电商类App对外国人主体个人信息的处理行为,是否还会落入该外国人所属国家或其他第三方国家/地区的个人信息保护法的适用范围,或海外地区的法律是否对本场景下的个人信息处理活动享有管辖权,则还需结合该海外地区的数据保护法案的适用范围进行分析(我们将在下文的图表对比中提供判断思路)。
其次,我国个保法明确了它也是具有域外适用效力的,体现在第三条第二款的规定:“在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:
(一)以向境内自然人提供产品或者服务为目的;
(二)分析、评估境内自然人的行为;
(三)法律、行政法规规定的其他情形。”
可见,我国个保法借鉴了欧盟GDPR,明确了其具有必要的域外适用效力,规定了当向境内自然人提供产品或服务,或分析、评估境内自然人的行为亦适用个保法的规定。
回到刚才的例子,假如该电商类App在新加坡部署了数据中心,并在新加坡(中国境外)处理该外国人的数据,鉴于该App是以向中国境内自然人提供服务的,且该外国人亦身处中国境内, 因此仍然落入我国个保法的适用范围,需要遵守我国数据保护法律法规的相关要求。
特别需要注意的是,对于境外的个人信息处理者,我国个保法明确要求了应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构或者代表的信息报送履行个人信息保护职责的部门。
但对比于欧盟GDPR的地域适用范围,我国个保法的规定还是有细微的区别。
欧盟GDPR是由“稳定的安排/组织设立机构(establishment)”,以及“服务目标/开展业务过程中(in the context of the activities)”两个标准共同确立的,而我国个保法的地域适用范围则是由“处理行为发生地”和“服务目标”确定的。这里的异同体现在“稳定的安排/组织设立机构(establishment)”与“在境内进行处理”,是不一样的。根据我国个保法的要求,只要处理自然人个人信息的活动发生在我国境内,或者以向我国境内自然人提供产品或者服务为目的,就会被纳入个保法的管辖,而不管是否需要在我国境内具有稳定的安排或设有机构(establishment)。
当然,我国个保法亦明确了其不适用的情形,包括:
(1) 自然人因个人或者家庭事务而处理个人信息的,不适用本法。
(2) 法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的,适用其规定。“
(二)海外主要个人信息保护法律对比:
总体来说
《个保法》在适用范围上借鉴了欧盟GDPR的相关规定,纵观上表其他国家/地区的数据保护法律的管辖范围,不难看出,在全球范围内扩大本国/本地区的数据保护法律的域外效力已成为立法趋势。企业在出海业务发展过程中,特别是当企业涉及处理海外主体的个人信息时,应特别关注是其个人信息处理行为,是否会落入该国或地区的个人信息保护法案管辖范围,以进一步确认是否遵守以及该如何遵守该国或地区的数据保护法律及与此相关的法律规定。