本条是关于本法空间适用范围的规定。
《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》中提出“加快数字化发展”的战略规划,建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范,积极参与数字领域国际规则和标准制定,扩大基础公共信息数据有序开放,建设国家数据统一共享开放平台,保障国家数据安全,加强个人信息保护,确保产业数字化在公平、合理、非歧视的数字国际规则和标准的保驾护航下进行。
法律是国家意志的体现,在国家主权范围内保证其实施,其效力类型包括时间效力、空间效力和对人的效力。在法律的空间效力上,现代国家立法多以属地管辖为主,属人管辖、保护性管辖、普遍性管辖为辅,强调法律的域内效力。而网络空间具有超地域性的基本特征。伴随着大数据、云计算、物联网等技术的发展,数据的跨境流动给传统的属地管辖带来了巨大的冲击,构建数据全球化背景下的个人信息保护管辖规则,成为各国和地区立法都关注的问题,国际范围内不少国家(地区)都已经设立了域外适用条款,建立反信息保护管辖规则已成为抢占国际数字经济及数据治理话语权的重要方式。我国《个人信息保护法》的颁布,旗帜鲜明地提出了个人信息跨境治理的“中国方案”。
一、域内效力
法律的域内效力亦称属地效力,是国家主权在法律上的体现。本条第1款确认了我国《个人信息保护法》以属地管辖为原则,即本法对在中华人民共和国境内进行自然人个人信息处理活动的主体具有管辖权。2013年《电信和互联网用户个人信息保护规定》、2017年《
网络安全法》均对域内效力作出了规定。
从空间维度上看,域内即领域之内,本条表述为中华人民共和国境内,指的是中国大陆(内地),而不包括我国台湾地区、香港特别行政区、澳门特别行政区。这是我国“一国两制”的特殊国情下对属地管辖的限制。我国香港特别行政区、澳门特别行政区、台湾地区分别已有适用于本地区的个人信息保护立法,即我国香港特别行政区《个人资料(隐私)保护条例》、澳门特别行政区《个人资料保护法》、我国台湾地区“个人资料保护法”。从物理空间的角度看,本法的地域适用范围为中国大陆(内地)。[1]此外,根据旗国主义,一国的船舶和航空器在国际法上构成一国领土范围的延伸,因此,应该理解为在中华人民共和国船舶或者航空器内处理自然人个人信息的活动,也应适用本法。
从主体维度上看,只要是在我国境内开展处理自然人个人信息的活动,无论处理者是组织还是个人,无论是否为中国的组织和个人,均适用本法。
从行为维度上看,结合本法第4条第2款,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
二、域外效力
本条第2款规定了在我国领域外的个人信息处理活动适用本法的情形,即本法的“域外效力”。
(一)个人信息保护法域外效力的理论基础
由于各国对域外管辖制度的理解和认识存在分歧,目前对“域外管辖”的概念界定尚未形成共识。联合国国际法委员会曾经在2006年对域外管辖的含义进行界定:“国家主张域外管辖权是在没有国际法有关规则的情况下试图以本国的立法、司法或执行措施管辖在境外影响其利益的人、财产或行为。”在美国,域外管辖常被称为“长臂管辖”。域外管辖并不是一类独立的管辖权,而是主权国家在实践中发展出来的行使管辖权的一种具体方式。[2]在尊重主权、不干涉内政的前提下,承认通过国内法规定其域外效力已得到国际普遍认可。我国的《
刑法》《
反垄断法》等实体法均有域外效力的立法表述。例如,我国《刑法》第6条第2款、第3款规定:“凡在中华人民共和国船舶或者航空期内犯罪的,也适用本法。犯罪行为或者结果有一项发生在中国领域内,就认为是在中华人民共和国领域内犯罪”,在立法上对发生在境外的犯罪行为主张属地管辖权。又如,根据效果原则,我国《反垄断法》第2条主张对在我国境外发生但是对境内市场竞争产生排除、限制影响的垄断行为进行管辖。
个人信息保护法域外效力制度的理论基础来源于“数据主权”概念,即数据作为国家基础性战略资源,属于国家主权范畴。大数据时代,网络空间逐步发展成为继陆地、海洋、天空、外太空之外的第五空间,为规范针对网络空间的立法和司法活动,《网络行动国际法塔林手册2.0版》(以下简称《塔林手册2.0版》)应运而生。《塔林手册2.0版》规定了国家可对网络活动行使属地和域外管辖权,将网络活动国际管辖权的对象扩大到数据,从而第一次在国际管辖权规则创设上明确将数据作为独立的客体,体现了对数据主权观念的肯定。[3]
(二)主要国家和地区个人信息保护法域外效力的立法
1998年通过的《美国儿童网上隐私保护法》中将规范的主体规定为“面向儿童的网站或在线服务提供者”,这一规范普遍被认为并没有界定地域范围而实质上具有域外效力。虽然美国一直以来是数据自由流动的倡导者,但随着数据领域全球竞争的日益激烈,2018年通过《美国澄清境外数据合法使用法》(又称“云法案”),将美国政府的管辖范围延伸到所有美国公司控制的数据,建立了数据跨境中的“长臂管辖”。该法的主要内容包括两部分:一是明确美国执法机构获取境外数据的方式。这标志着美国在数据跨境实践中,放弃以属地原则为基础的“数据存储地”标准,转向了“数据访问地/控制者”标准。通过遍布世界的高科技公司,美国政府将自己的数据主权从物理国境延伸到了技术国境,可以对世界各地的数据行使管辖权。二是创设了跨境数据执法协作机制。“云法案”授权美国政府与“适格国家”签署双边协议,应外国政府请求向其提供美国公司控制的非美国人数据(个人信息)。“适格国家”应满足美国国会设立的标准,并且接受美国政府的监督。[4]可以说,“云法案”的规定事实上是美国单边主义在数据跨境领域的体现。
欧盟1995年《数据保护指令》(Data?Protection?Directive,通称“95指令”)被视为个人信息保护域外适用的典型,确立了以属地原则为主、效果原则为补充的管辖原则。95指令第4(1)条作为该法的地域范围条款,该条款根据“设立机构是否在欧盟境内”作为分类标准,明确了何种个人数据的处理行为将落入其地域适用范围;该条包含了是否应该适用欧盟成员国法的两项标准:其一,根据数据控制者“设立机构”的具体位置确定欧盟是否对此拥有管辖权,即“设立机构标准”(establishment?criterion)(第4条第1款a项);以数据处理为目的而使用的“设备”的具体位置确定欧盟对此是否拥有管辖权,即“设备使用标准”(第4条第1款c项)。
2016年GDPR的地域范围条款对95指令进行了继承与发展。在属地管辖方面,沿用了“设立机构标准”,同时进行了扩张。GDPR第3条规定:“1.本条例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,无论其数据处理是否位于欧盟内部。”更重要的是,GDPR新设的“靶向标准”(targeting criterion,也被称为“目标指向标准”)取代了原来的“设备使用标准”。其第3条第2款规定:“本条例适用于如下相关活动的个人数据处理,即使数据控制者或处理者不在欧盟设立:(a)为欧盟内的数据主体提供商品或服务——无论此项商品是否要求数据主体支付对价;或(b)对发生在欧洲范围内的数据主体的活动进行监控。”
在欧洲数据保护委员会(European Data Protection Board,以下简称“EDPB”)发布的《关于GDPR第3条地域范围的指南》中,对上述规定进行了进一步的解释:在“设立机构标准”的判断上,解释为“稳定的安排以实现真实有效的活动”,即该机构可能并非只是法人性质的数据控制者或处理者,即便是境外企业在欧洲的分支机构甚至一个员工,在满足一定条件的稳定性要求下,也可构成连接点,从而触发GDPR的域外适用。对于境外与境内的连接点上,需要结合境外机构与境内机构的业务联系与财务关系等,结合具体场景判断。
在“靶向标准”的判定上,从字面理解范围十分宽泛,即使个人数据处理者是否在欧盟境内设立机构,只要其数据处理行为对欧盟数据主体产生影响,则触发GDPR的适用,事实上构成了“效果原则”的适用。EDPB指出判断“向欧盟境内的数据主体提供商品或服务”的核心在于“有关”(Related?to)[5],对于数据处理行为的判断应当以其发生时为准,从数据控制者或处理者所使用的语言、货币支付方式、提供搜索引擎服务、网站顶级域名、商品运送服务等因素可以作为认定网络服务提供者针对欧盟境内数据主体提供商品或服务意图的根据。[6]
对于判断“数据主体发生在欧盟内的行为进行监控”,对根据GDPR序言(24),应当确认该自然人是否在网络中被追踪,包括以个人数据处理技术为潜在后续使用而将数据主体建档,特别是为了作出决策,或者是为分析或预测其个人偏好、行为和态度。这其实就是我们通常所称的“自动化决策”或“用户画像”。EDPB进一步认为,GDPR序言中规定的用户画像行为仅仅是数据控制者或处理者实施监控行为的一种方式,通过可穿戴设备或智能设备等其他方式实施的监控行为也应当被纳入考量范围。
(三)我国《个人信息保护法》的域外适用
GDPR的域外效力对许多国家的立法都产生了深刻影响。在我国《个人信息保护法》制定的过程中,如何通过立法来更好应对数字经济发展中的数据权利国际竞争成为社会各界广泛关注的重点。在第十三届全国人民代表大会常务委员会第二十二次会议上,时任全国人大常委会法工委副主任刘俊臣作的《关于〈中华人民共和国个人信息保护法(草案)〉的说明》中,明确“在我国境内处理个人信息的活动适用本法的同时,借鉴有关国家和地区的做法,赋予本法必要的域外适用效力,以充分保护我国境内个人的权益”。
本条第2款第1~2项基本借鉴了GDPR的“靶向标准”,明确了适用域外管辖的两种具体情形:一是以向境内自然人提供产品或服务为目的,与GDPR的目的性原则相一致。二是对境内自然人行为进行分析、评估的行为,与GDPR的“监控”内涵基本一致。两种行为共同指向“境内自然人”,实质上构成保护管辖。此外,设置了第3项“法律,行政法规规定的其他情形”作为兜底条款,《刑法》第9条所规定的普遍管辖权可以通过本项实现。
【条文适用】
一、“境内处理”的准确理解
本条第1款与GDPR的“设立标准”有明显的区别。GDPR第3条1要求在“欧盟内部设立”。而按照本条第1款规定,只要在我国境内处理个人信息,不问其是否为外国组织或个人,是否在中国设立主体,均要适用我国《个人信息保护法》。
二、域外管辖中的个人信息主体的判断
对于本条第2款所规定的“境内自然人”一般包括我国公民,也包括在我国境内的外国人、无国籍人等。但是否包括临时过境的旅客,值得进一步讨论。在GDPR对临时过境旅客是否适用的问题上,有学者认为,“中国游客即便短暂停留在欧盟境内,理论上也可能被认定为欧盟境内的数据主体”。[7]而EDPB指出,应当以考虑处理行为发生时的情景来判断,并举例道,一位美国人在欧洲度假,其下载了仅针对美国用户的新闻App,那么即使其身处欧盟境内,在这种情形下也不会触发GDPR的适用,原因在于该新闻App并不符合靶向标准。该例证反映出数据主体应当是一种较为稳定的存在,临时度假的游客难以受到GDPR保护。根据这一标准,可以在判断是否属于境内个人信息主体时,考虑一定的稳定性因素,结合具体信息处理的场景确定。
三、主观目的的判断因素
对“提供产品或服务为目的”应如何判断,可以参考GDPR和EDPB的相关内容。GDPR序言部分的第23条指出,为判断数据控制者或者处理者是否向位于欧盟境内的数据主体提供产品或服务,应确认控制者或者处理者是否具有向位于欧盟境内一个或数个成员国的数据主体提供服务的“明显企图”。控制者网站、处理者网站或其他中介网站仅可以获取邮件地址或者其他联系信息以及使用了控制者营业地所在的第三方国家的通用语言,上述行为均不足以确认其提供服务的动机和意图;一些判断因素使控制者的动机变得明显,例如使用一个或多个欧盟成员国的通用语言或货币用于订购其他语言标识的商品或服务,或者涉及欧盟境内的客户或用户。EDPB指出,对于数据处理行为的判断应当以其发生时为准,数据控制者或处理者所使用的语言、货币支付方式、提供搜索引擎服务、网站顶级域名、商品运送服务等因素可以作为认定网络服务提供者针对欧盟境内数据主体提供商品或服务意图的根据。
此外,根据GDPR第3条第2款a项规定,数据控制者或处理者所提供的商品或服务,不以向数据主体要求支付对价为限。结合该理解,在适用本条第2款第1项时,境外数据控制者或处理者向境内数据主体提供免费的商品或服务,也受到GDPR域外条款的管辖。
所以,在适用本条第2款第1项时,可以综合境外个人信息处理者所使用的语言、货币支付方式、提供搜索引擎服务、网站顶级域名、商品运送服务等因素,对“提供产品或服务为目的”进行判断。虽然法条中未列明所提供的商品或服务是否以要求支付对价为限,结合本域外效力条款的立法目的以及所借鉴的GDPR的内部逻辑,应当采取同GDPR相同的路径,即不以向个人信息主体要求支付对价为限。
四、“分析、评估”的认定
从广义上而言,任何对数据进行计算、处理从而得出一些有意义的结论的过程,都是数据分析。典型的对个人信息进行分析、评估的行为是进行“用户画像”(Profiling),即基于个人档案或用户数据集对该用户展开分析,形成其特征、特色和属性的描述。在网络环境下,在用户注册时一般分配独一无二的标识符(即用户ID),这样基于网络流量监测工具就会形成关于该用户的文档。用户画像针对的是数字身份,即网络用户和设备ID,从而形成第一层次的识别;再利用网络通信,则可以触达该用户,即用户ID对应的真实个人,从而形成第二层次的识别。进入网络时的实名注册和验证形成了两层次识别间的“枢纽”,使网络运营者可以实现对ID背后真实个人的个人信息的控制。[8]
“分析、评估”条款在GDPR中的对应表述是“监控”。对于“监控(Monitoring)”的界定,根据GDPR序言第24条的规定,应当确认该自然人是否在网络中被追踪,包括以个人数据处理技术为潜在后续使用而将数据主体建档,特别是为了做出决策,或者是为分析或预测其个人偏好、行为和态度。[9]EDPB进一步认为,GDPR序言中规定的用户画像行为仅仅是数据控制者或处理者实施监控行为的一种方式,通过可穿戴设备或智能设备等其他方式实施的监控行为也应当被纳入考量范围。EDPB也列举了常见的监控行为,包括行为广告、地理位置服务、利用Cookie或其他技术实施的网络追踪、个性化的饮食和健康分析服务、CCTV、基于个人档案的市场调研或行为研究、监控或定期报告个人健康状况等。[10]
《信息安全技术个人信息安全规范》对“用户画像”进行了定义:“通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如职业、经济、健康、教育、个人喜好、信用、行为等方面作出分析或预测,形成其个人特征模型的过程。”同时,该规范还将用户画像进行了两种不同形式的分类:“直接使用特定自然人的个人信息,形成该自然人的特征模型,称为直接用户画像。使用来源于特定自然人以外的个人信息,如其所在群体的数据,形成该自然人的特征模型,称为间接用户画像。”《个人信息保护法》第73条第2项对自动化决策进行了规定,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。以上规范均可以作为“评估、分析”活动的判断依据,具体方式可以参考EDPB列举的内容。此外,由于大数据、人工智能等技术的不断发展,计算机程序对自然人的评估、分析的方式、表现形式会不断发展,实践中应结合产业和技术的发展,对“分析、评估”的判断保持开放、发展的态度。
