十國/地區(qū)個人信息保護法十大合規(guī)要點大比對
摘要:
《中華人民共和國個人信息保護法》(以下簡稱《個保法》)已于2021年8月20日橫空出世,并將于11月1日正式生效。作為中國第一部法典化的個人信息保護法,個保法不僅從內容上借鑒和吸收了先進海外地區(qū)的立法經驗,以及包括《民法典》、《個人信息安全規(guī)范》、《網絡安全法》、《電子商務法》,《數據安全法》等在內的涉及個人信息保護方面的有益內容,也從個人信息處理規(guī)則、個人信息跨境提供規(guī)則、個人信息主體權利、個人信息處理者的義務、以及個人信息保護和合規(guī)義務等具體方面,為個人信息主體的權益提供了全面的保障。
總體上來說,個保法的出臺,正式宣告網絡安全與數據合規(guī)三駕馬車(《網絡安全法》、《數據安全法》、《個人信息保護法》)的誕生,并確立了我國個人信息保護的法治架構與體系,體現出我國高度重視個人信息保護與治理的決心與態(tài)度。
筆者專注于互聯網法律服務與合規(guī)工作,特別是全球數據與個人信息合規(guī)保護領域,一直特別關注海外數據隱私保護立法的動態(tài)與發(fā)展。
本文旨在通過將我國個保法與海外九大主要地區(qū)的個人信息保護法案,從十個維度進行橫向對比,以幫助出海互聯網企業(yè)及大量接觸個人信息的相關崗位人員更好地了解各國/地區(qū)在數據保護方面的異同點,以及主要合規(guī)要點。
鑒于篇幅有限,筆者僅將主要比對維度按版塊以要點的方式進行扼要列示,并期待個人信息保護同行專家朋友們的寶貴建議與指導。
本篇是第一部分內容,主要從各國/地區(qū)的個人信息保護法在法律適用范圍及其是否具有域外適用效力方面進行解讀與對比。
第一部分:法律適用范圍與域外適用效力
法律適用范圍,主要是指某一法律所具有或者賦予的約束力,以及其所適用的范圍廣度與深度,一般包括時間適用效力(開始生效和終止生效時間)、空間效力(生效的地域范圍)、以及對人的效力(對哪些人員生效)。而對于個人信息保護法律而言,一般會關注地域適用范圍、個人適用范圍以及個人信息資料本身的適用范圍。
?。ㄒ唬┪覈鴤€保法解讀:
《個保法》在第一章“總則”中就本法的適用范圍進行了明確的規(guī)定。
首先,其明確規(guī)定過了“在中華人民共和國境內處理自然人個人信息的活動,適用本法”??梢姡覈鴤€保法采取了“屬地原則”,明確了其適用范圍之一針對的是“處理中國境內自然人信息的活動”,本法適用的個人信息主體,是指在中國境內的自然人個人,而無論該自然人是中國人還是外國人。換言之,即便是外國人主體,當其是在中國境內產生了個人數據,且被中國境內的組織、個人進行了個人信息的處理行為,則將會落入我國個保法的管轄和保護范圍內。
舉例說明
一款主要為境內用戶提供購物服務的國內電商類App,在其服務過程中,收集了某位身處中國境內的外國人主體的個人信息時,則該電商類App在中國境內處理該等外國個人主體的個人信息時,需要遵守我國個保法的規(guī)定。而至于該電商類App對外國人主體個人信息的處理行為,是否還會落入該外國人所屬國家或其他第三方國家/地區(qū)的個人信息保護法的適用范圍,或海外地區(qū)的法律是否對本場景下的個人信息處理活動享有管轄權,則還需結合該海外地區(qū)的數據保護法案的適用范圍進行分析(我們將在下文的圖表對比中提供判斷思路)。
其次,我國個保法明確了它也是具有域外適用效力的,體現在第三條第二款的規(guī)定:“在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動,有下列情形之一的,也適用本法:
(一)以向境內自然人提供產品或者服務為目的;
?。ǘ┓治觥⒃u估境內自然人的行為;
?。ㄈ┓?、行政法規(guī)規(guī)定的其他情形?!?/p>
可見,我國個保法借鑒了歐盟GDPR,明確了其具有必要的域外適用效力,規(guī)定了當向境內自然人提供產品或服務,或分析、評估境內自然人的行為亦適用個保法的規(guī)定。
回到剛才的例子,假如該電商類App在新加坡部署了數據中心,并在新加坡(中國境外)處理該外國人的數據,鑒于該App是以向中國境內自然人提供服務的,且該外國人亦身處中國境內, 因此仍然落入我國個保法的適用范圍,需要遵守我國數據保護法律法規(guī)的相關要求。
特別需要注意的是,對于境外的個人信息處理者,我國個保法明確要求了應當在中國境內設立專門機構或者指定代表,負責處理個人信息保護相關事務,并將有關機構或者代表的信息報送履行個人信息保護職責的部門。
但對比于歐盟GDPR的地域適用范圍,我國個保法的規(guī)定還是有細微的區(qū)別。
歐盟GDPR是由“穩(wěn)定的安排/組織設立機構(establishment)”,以及“服務目標/開展業(yè)務過程中(in the context of the activities)”兩個標準共同確立的,而我國個保法的地域適用范圍則是由“處理行為發(fā)生地”和“服務目標”確定的。這里的異同體現在“穩(wěn)定的安排/組織設立機構(establishment)”與“在境內進行處理”,是不一樣的。根據我國個保法的要求,只要處理自然人個人信息的活動發(fā)生在我國境內,或者以向我國境內自然人提供產品或者服務為目的,就會被納入個保法的管轄,而不管是否需要在我國境內具有穩(wěn)定的安排或設有機構(establishment)。
當然,我國個保法亦明確了其不適用的情形,包括:
?。?) 自然人因個人或者家庭事務而處理個人信息的,不適用本法。
?。?) 法律對各級人民政府及其有關部門組織實施的統計、檔案管理活動中的個人信息處理有規(guī)定的,適用其規(guī)定?!?/p>
?。ǘ┖M庵饕獋€人信息保護法律對比:
總體來說
《個保法》在適用范圍上借鑒了歐盟GDPR的相關規(guī)定,縱觀上表其他國家/地區(qū)的數據保護法律的管轄范圍,不難看出,在全球范圍內擴大本國/本地區(qū)的數據保護法律的域外效力已成為立法趨勢。企業(yè)在出海業(yè)務發(fā)展過程中,特別是當企業(yè)涉及處理海外主體的個人信息時,應特別關注是其個人信息處理行為,是否會落入該國或地區(qū)的個人信息保護法案管轄范圍,以進一步確認是否遵守以及該如何遵守該國或地區(qū)的數據保護法律及與此相關的法律規(guī)定。