這其實並非中國首創,在2018年5月生效的歐盟《通用數據保護條例》(GDPR)引領了近年來域外效力擴張的浪潮
文 | 楊洪泉
《個人信息保護法》(草案)(以下簡稱《草案》)於2020年10月21日向社會公佈並徵求意見。未來一旦通過,《個人信息保護法》與《網絡安全法》(已生效)和《數據安全法》(尚未通過)將一起成為構建中國數據主權、數據安全、網絡安全和個人信息保護法律框架的三個重要支柱,並對中國公民信息保護、企業數據合規實踐、中國乃至世界數字經濟格局產生重大且深遠影響。
在《草案》諸多條款中,有關域外效力的規定格外引人關注。所謂“域外效力”(extraterritorial effect),是與“域內效力”(interterritorial effect)相對的法律名詞,是指一國法律擁有超越其國境、適用於境外的人或組織、或境外發生行為的效力。
《草案》規定:“組織、個人在中華人民共和國境內處理自然人個人信息的活動,適用本法;以向境內自然人提供產品或者服務為目的,或者為分析、評估境內自然人的行為等發生在我國境外的個人信息處理活動,也適用本法”。
根據該規定,《個人信息保護法》是否適用,不受個人信息主體國籍和個人信息處理者國籍的影響,而與兩個因素相關:第一, 處理個人信息行為是否發生在中國境內;第二,如個人信息處理行為發生在境外,該處理行為是否針對境內自然人。
舉例來説,《個人信息保護法》可以適用於以下四種情況:
場景1:中國公司在境內處理中國用户及境外用户個人信息;
場景2:中國出海企業在境內處理境外個人信息;
場景3:在華外企在境內處理境外客户個人信息;
場景4:境外網站因向境內用户提供服務而處理其個人信息;境外公司分析、評估境內自然人的行為(例如用於商業分析、科學研究等)。
以場景4為例,假設該網站因疏於防範發生數據泄露事件,其中包含了中國境內註冊用户(如在中國的外國人和中國公民)的個人信息,在中國法律沒有域外效力時,由於該網站服務器及運營主體均在境外,中國執法部門對該網站沒有管轄權,該網站也沒有向中國執法部門報告的義務。
但在《草案》生效後,中國執法部門則可根據《草案》中的上述規定對該網站進行處罰,該網站也需要根據《草案》的要求向中國執法部門報告與數據泄露事件有關的情況。
賦予本國個人信息保護法一定的域外效力,並非中國首創。在2018年5月生效的歐盟《通用數據保護條例》(General Data Protection Regulation,GDPR)引領了近年來域外效力擴張的浪潮。目前已有多個國家緊跟GDPR,在個人數據保護立法中借鑑了GDPR擴張域外效力的做法。中國的《草案》內容也反映了國際數據保護立法的趨勢。
全球個人數據保護立法域外效力擴張,背後深層次原因主要有兩個。
其一,在數字經濟時代,隨着智能設備的普及、數據傳輸和存儲技術的不斷進步,數據正在以前所未有的方式自由流動和跨境傳輸,僅有域內效力的法律無法充分保護本國公民的個人信息。
此外,各國已普遍認識到數據對本國經濟發展、社會穩定及國家安全的重要價值,將數據上升至“數據主權”的地位。通過賦予本國數據保護法律一定的域外效力,將有助增強該國在國際數據競爭中的地位,在制定全球數據利用規則上也將擁有更大的話語權。
《草案》如通過,中國個人信息保護部門可對境內外的個人信息處理者的違法行為進行處罰,處罰措施包括最高至人民幣5000萬、或上一年度營業額5%的高額罰款。
對於境外組織、個人,如其個人信息處理活動損害中國公民的個人信息權益,或者危害中國國家安全、公共利益的,中國網信部門還可將其列入限制或者禁止個人信息提供清單、予以公告,並採取限制或者禁止向其提供個人信息等措施。
這些處罰措施並非無的放矢:一方面,近年來一些境外互聯網公司特別是社交媒體巨頭已顯示出巨大的政治和輿論影響力,其權力一旦濫用,將可能對中國國家安全構成威脅;另一方面,中國公民的個人敏感信息(例如遺傳資源信息)如被境外處理者濫用,也會對中國公民個人權益甚至國家安全造成損害。
為便於對境外個人信息處理者進行監管,《草案》要求境外的個人信息處理者應當在境內設立專門機構或者指定代表,並將其名稱、聯繫方式等報送履行個人信息保護職責的部門。 在《草案》中,“國家網信部門”、“ 國務院有關部門”、“ 縣級以上地方人民政府有關部門”均被賦予保護個人信息的職責,但對境外個人信息處理者,《草案》尚未明確具體的監管部門,希望《草案》下一輪修改稿能夠予以澄清。
值得注意的是,《草案》還規定:“任何國家和地區在個人信息保護方面對中華人民共和國採取歧視性的禁止、限制或者其他類似措施的,中華人民共和國可以根據實際情況對該國家或者該地區採取相應措施。” 2020年7月發佈的《數據安全法》(草案)也有類似規定。
考慮到近幾年來多家中國企業在海外發展受阻,特別是華為和TikTok的坎坷經歷,《個人信息保護法》(草案)及《數據安全法》(草案)所體現的反制措施,可謂有的放矢,也折射出中國政府在複雜的國際政治經濟環境中不卑不亢的立場。
當然,讓《草案》中的域外效力真正發揮作用,不僅需要制度支撐,域外效力實際落地,還需要具體執法案例來樹立其嚴肅性、震懾性和邏輯性。而未來中國個人信息保護部門對境外公司的執法,也不可避免會被放在全球的閃光燈和放大鏡下,這對中國個人信息保護部門而言,既是機遇也是挑戰。
作者為安傑律師事務所合夥人;編輯:周源