十國(guó)/地區(qū)個(gè)人信息保護(hù)法十大合規(guī)要點(diǎn)大比對(duì)

　　摘要：

　　《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱《個(gè)保法》）已于2021年8月20日橫空出世，并將于11月1日正式生效。作為中國(guó)第一部法典化的個(gè)人信息保護(hù)法，個(gè)保法不僅從內(nèi)容上借鑒和吸收了先進(jìn)海外地區(qū)的立法經(jīng)驗(yàn)，以及包括《民法典》、《個(gè)人信息安全規(guī)范》、《網(wǎng)絡(luò)安全法》、《電子商務(wù)法》，《數(shù)據(jù)安全法》等在內(nèi)的涉及個(gè)人信息保護(hù)方面的有益內(nèi)容，也從個(gè)人信息處理規(guī)則、個(gè)人信息跨境提供規(guī)則、個(gè)人信息主體權(quán)利、個(gè)人信息處理者的義務(wù)、以及個(gè)人信息保護(hù)和合規(guī)義務(wù)等具體方面，為個(gè)人信息主體的權(quán)益提供了全面的保障。

　　總體上來(lái)說(shuō)，個(gè)保法的出臺(tái)，正式宣告網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)三駕馬車（《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》）的誕生，并確立了我國(guó)個(gè)人信息保護(hù)的法治架構(gòu)與體系，體現(xiàn)出我國(guó)高度重視個(gè)人信息保護(hù)與治理的決心與態(tài)度。

　　筆者專注于互聯(lián)網(wǎng)法律服務(wù)與合規(guī)工作，特別是全球數(shù)據(jù)與個(gè)人信息合規(guī)保護(hù)領(lǐng)域，一直特別關(guān)注海外數(shù)據(jù)隱私保護(hù)立法的動(dòng)態(tài)與發(fā)展。

　　本文旨在通過(guò)將我國(guó)個(gè)保法與海外九大主要地區(qū)的個(gè)人信息保護(hù)法案，從十個(gè)維度進(jìn)行橫向?qū)Ρ?，以幫助出?；ヂ?lián)網(wǎng)企業(yè)及大量接觸個(gè)人信息的相關(guān)崗位人員更好地了解各國(guó)/地區(qū)在數(shù)據(jù)保護(hù)方面的異同點(diǎn)，以及主要合規(guī)要點(diǎn)。

　　鑒于篇幅有限，筆者僅將主要比對(duì)維度按版塊以要點(diǎn)的方式進(jìn)行扼要列示，并期待個(gè)人信息保護(hù)同行專家朋友們的寶貴建議與指導(dǎo)。

　　本篇是第一部分內(nèi)容，主要從各國(guó)/地區(qū)的個(gè)人信息保護(hù)法在法律適用范圍及其是否具有域外適用效力方面進(jìn)行解讀與對(duì)比。

　　第一部分：法律適用范圍與域外適用效力

　　法律適用范圍，主要是指某一法律所具有或者賦予的約束力，以及其所適用的范圍廣度與深度，一般包括時(shí)間適用效力（開(kāi)始生效和終止生效時(shí)間）、空間效力（生效的地域范圍）、以及對(duì)人的效力（對(duì)哪些人員生效）。而對(duì)于個(gè)人信息保護(hù)法律而言，一般會(huì)關(guān)注地域適用范圍、個(gè)人適用范圍以及個(gè)人信息資料本身的適用范圍。

　?。ㄒ唬┪覈?guó)個(gè)保法解讀：

　　《個(gè)保法》在第一章“總則”中就本法的適用范圍進(jìn)行了明確的規(guī)定。

　　首先，其明確規(guī)定過(guò)了“在中華人民共和國(guó)境內(nèi)處理自然人個(gè)人信息的活動(dòng)，適用本法”?？梢?jiàn)，我國(guó)個(gè)保法采取了“屬地原則”，明確了其適用范圍之一針對(duì)的是“處理中國(guó)境內(nèi)自然人信息的活動(dòng)”，本法適用的個(gè)人信息主體，是指在中國(guó)境內(nèi)的自然人個(gè)人，而無(wú)論該自然人是中國(guó)人還是外國(guó)人。換言之，即便是外國(guó)人主體，當(dāng)其是在中國(guó)境內(nèi)產(chǎn)生了個(gè)人數(shù)據(jù)，且被中國(guó)境內(nèi)的組織、個(gè)人進(jìn)行了個(gè)人信息的處理行為，則將會(huì)落入我國(guó)個(gè)保法的管轄和保護(hù)范圍內(nèi)。

　　舉例說(shuō)明

　　一款主要為境內(nèi)用戶提供購(gòu)物服務(wù)的國(guó)內(nèi)電商類App，在其服務(wù)過(guò)程中，收集了某位身處中國(guó)境內(nèi)的外國(guó)人主體的個(gè)人信息時(shí)，則該電商類App在中國(guó)境內(nèi)處理該等外國(guó)個(gè)人主體的個(gè)人信息時(shí)，需要遵守我國(guó)個(gè)保法的規(guī)定。而至于該電商類App對(duì)外國(guó)人主體個(gè)人信息的處理行為，是否還會(huì)落入該外國(guó)人所屬國(guó)家或其他第三方國(guó)家/地區(qū)的個(gè)人信息保護(hù)法的適用范圍，或海外地區(qū)的法律是否對(duì)本場(chǎng)景下的個(gè)人信息處理活動(dòng)享有管轄權(quán)，則還需結(jié)合該海外地區(qū)的數(shù)據(jù)保護(hù)法案的適用范圍進(jìn)行分析（我們將在下文的圖表對(duì)比中提供判斷思路）。

　　其次，我國(guó)個(gè)保法明確了它也是具有域外適用效力的，體現(xiàn)在第三條第二款的規(guī)定：“在中華人民共和國(guó)境外處理中華人民共和國(guó)境內(nèi)自然人個(gè)人信息的活動(dòng)，有下列情形之一的，也適用本法：

　?。ㄒ唬┮韵蚓硟?nèi)自然人提供產(chǎn)品或者服務(wù)為目的；

　?。ǘ┓治?、評(píng)估境內(nèi)自然人的行為；

　?。ㄈ┓?、行政法規(guī)規(guī)定的其他情形?！?/p>

　　可見(jiàn)，我國(guó)個(gè)保法借鑒了歐盟GDPR，明確了其具有必要的域外適用效力，規(guī)定了當(dāng)向境內(nèi)自然人提供產(chǎn)品或服務(wù)，或分析、評(píng)估境內(nèi)自然人的行為亦適用個(gè)保法的規(guī)定。

　　回到剛才的例子，假如該電商類App在新加坡部署了數(shù)據(jù)中心，并在新加坡（中國(guó)境外）處理該外國(guó)人的數(shù)據(jù)，鑒于該App是以向中國(guó)境內(nèi)自然人提供服務(wù)的，且該外國(guó)人亦身處中國(guó)境內(nèi)， 因此仍然落入我國(guó)個(gè)保法的適用范圍，需要遵守我國(guó)數(shù)據(jù)保護(hù)法律法規(guī)的相關(guān)要求。

　　特別需要注意的是，對(duì)于境外的個(gè)人信息處理者，我國(guó)個(gè)保法明確要求了應(yīng)當(dāng)在中國(guó)境內(nèi)設(shè)立專門機(jī)構(gòu)或者指定代表，負(fù)責(zé)處理個(gè)人信息保護(hù)相關(guān)事務(wù)，并將有關(guān)機(jī)構(gòu)或者代表的信息報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門。

　　但對(duì)比于歐盟GDPR的地域適用范圍，我國(guó)個(gè)保法的規(guī)定還是有細(xì)微的區(qū)別。

　　歐盟GDPR是由“穩(wěn)定的安排/組織設(shè)立機(jī)構(gòu)（establishment）”，以及“服務(wù)目標(biāo)/開(kāi)展業(yè)務(wù)過(guò)程中（in the context of the activities）”兩個(gè)標(biāo)準(zhǔn)共同確立的，而我國(guó)個(gè)保法的地域適用范圍則是由“處理行為發(fā)生地”和“服務(wù)目標(biāo)”確定的。這里的異同體現(xiàn)在“穩(wěn)定的安排/組織設(shè)立機(jī)構(gòu)（establishment）”與“在境內(nèi)進(jìn)行處理”，是不一樣的。根據(jù)我國(guó)個(gè)保法的要求，只要處理自然人個(gè)人信息的活動(dòng)發(fā)生在我國(guó)境內(nèi)，或者以向我國(guó)境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的，就會(huì)被納入個(gè)保法的管轄，而不管是否需要在我國(guó)境內(nèi)具有穩(wěn)定的安排或設(shè)有機(jī)構(gòu)（establishment）。

　　當(dāng)然，我國(guó)個(gè)保法亦明確了其不適用的情形，包括：

　?。?）  自然人因個(gè)人或者家庭事務(wù)而處理個(gè)人信息的，不適用本法。

　?。?）  法律對(duì)各級(jí)人民政府及其有關(guān)部門組織實(shí)施的統(tǒng)計(jì)、檔案管理活動(dòng)中的個(gè)人信息處理有規(guī)定的，適用其規(guī)定?！?/p>

　?。ǘ┖Ｍ庵饕獋€(gè)人信息保護(hù)法律對(duì)比：

　　總體來(lái)說(shuō)

　　《個(gè)保法》在適用范圍上借鑒了歐盟GDPR的相關(guān)規(guī)定，縱觀上表其他國(guó)家/地區(qū)的數(shù)據(jù)保護(hù)法律的管轄范圍，不難看出，在全球范圍內(nèi)擴(kuò)大本國(guó)/本地區(qū)的數(shù)據(jù)保護(hù)法律的域外效力已成為立法趨勢(shì)。企業(yè)在出海業(yè)務(wù)發(fā)展過(guò)程中，特別是當(dāng)企業(yè)涉及處理海外主體的個(gè)人信息時(shí)，應(yīng)特別關(guān)注是其個(gè)人信息處理行為，是否會(huì)落入該國(guó)或地區(qū)的個(gè)人信息保護(hù)法案管轄范圍，以進(jìn)一步確認(rèn)是否遵守以及該如何遵守該國(guó)或地區(qū)的數(shù)據(jù)保護(hù)法律及與此相關(guān)的法律規(guī)定。