《電子技術(shù)應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 十國/地區(qū)數(shù)據(jù)保護法十大合規(guī)要點對比 | #1 法律適用范圍與域外適用效力

十國/地區(qū)數(shù)據(jù)保護法十大合規(guī)要點對比 | #1 法律適用范圍與域外適用效力

2021-09-28
來源:出?;ヂ?lián)網(wǎng)法律觀察
關(guān)鍵詞: 數(shù)據(jù)保護法 法律

  十國/地區(qū)個人信息保護法十大合規(guī)要點大比對

  摘要:

  《中華人民共和國個人信息保護法》(以下簡稱《個保法》)已于2021年8月20日橫空出世,并將于11月1日正式生效,。作為中國第一部法典化的個人信息保護法,,個保法不僅從內(nèi)容上借鑒和吸收了先進海外地區(qū)的立法經(jīng)驗,,以及包括《民法典》、《個人信息安全規(guī)范》,、《網(wǎng)絡安全法》,、《電子商務法》,《數(shù)據(jù)安全法》等在內(nèi)的涉及個人信息保護方面的有益內(nèi)容,,也從個人信息處理規(guī)則,、個人信息跨境提供規(guī)則、個人信息主體權(quán)利,、個人信息處理者的義務,、以及個人信息保護和合規(guī)義務等具體方面,為個人信息主體的權(quán)益提供了全面的保障,。

  總體上來說,,個保法的出臺,正式宣告網(wǎng)絡安全與數(shù)據(jù)合規(guī)三駕馬車(《網(wǎng)絡安全法》,、《數(shù)據(jù)安全法》,、《個人信息保護法》)的誕生,并確立了我國個人信息保護的法治架構(gòu)與體系,,體現(xiàn)出我國高度重視個人信息保護與治理的決心與態(tài)度,。

  筆者專注于互聯(lián)網(wǎng)法律服務與合規(guī)工作,特別是全球數(shù)據(jù)與個人信息合規(guī)保護領(lǐng)域,,一直特別關(guān)注海外數(shù)據(jù)隱私保護立法的動態(tài)與發(fā)展,。

  本文旨在通過將我國個保法與海外九大主要地區(qū)的個人信息保護法案,從十個維度進行橫向?qū)Ρ龋詭椭龊,;ヂ?lián)網(wǎng)企業(yè)及大量接觸個人信息的相關(guān)崗位人員更好地了解各國/地區(qū)在數(shù)據(jù)保護方面的異同點,,以及主要合規(guī)要點。

  鑒于篇幅有限,,筆者僅將主要比對維度按版塊以要點的方式進行扼要列示,,并期待個人信息保護同行專家朋友們的寶貴建議與指導。

  本篇是第一部分內(nèi)容,,主要從各國/地區(qū)的個人信息保護法在法律適用范圍及其是否具有域外適用效力方面進行解讀與對比,。

  第一部分:法律適用范圍與域外適用效力

  法律適用范圍,主要是指某一法律所具有或者賦予的約束力,,以及其所適用的范圍廣度與深度,,一般包括時間適用效力(開始生效和終止生效時間)、空間效力(生效的地域范圍),、以及對人的效力(對哪些人員生效),。而對于個人信息保護法律而言,一般會關(guān)注地域適用范圍,、個人適用范圍以及個人信息資料本身的適用范圍,。

  (一)我國個保法解讀:

  《個保法》在第一章“總則”中就本法的適用范圍進行了明確的規(guī)定,。

  首先,,其明確規(guī)定過了“在中華人民共和國境內(nèi)處理自然人個人信息的活動,適用本法”,??梢姡覈鴤€保法采取了“屬地原則”,,明確了其適用范圍之一針對的是“處理中國境內(nèi)自然人信息的活動”,,本法適用的個人信息主體,,是指在中國境內(nèi)的自然人個人,,而無論該自然人是中國人還是外國人。換言之,,即便是外國人主體,,當其是在中國境內(nèi)產(chǎn)生了個人數(shù)據(jù),且被中國境內(nèi)的組織,、個人進行了個人信息的處理行為,,則將會落入我國個保法的管轄和保護范圍內(nèi)。

  舉例說明

  一款主要為境內(nèi)用戶提供購物服務的國內(nèi)電商類App,,在其服務過程中,,收集了某位身處中國境內(nèi)的外國人主體的個人信息時,則該電商類App在中國境內(nèi)處理該等外國個人主體的個人信息時,需要遵守我國個保法的規(guī)定,。而至于該電商類App對外國人主體個人信息的處理行為,,是否還會落入該外國人所屬國家或其他第三方國家/地區(qū)的個人信息保護法的適用范圍,或海外地區(qū)的法律是否對本場景下的個人信息處理活動享有管轄權(quán),,則還需結(jié)合該海外地區(qū)的數(shù)據(jù)保護法案的適用范圍進行分析(我們將在下文的圖表對比中提供判斷思路),。

  其次,我國個保法明確了它也是具有域外適用效力的,,體現(xiàn)在第三條第二款的規(guī)定:“在中華人民共和國境外處理中華人民共和國境內(nèi)自然人個人信息的活動,,有下列情形之一的,也適用本法:

 ?。ㄒ唬┮韵蚓硟?nèi)自然人提供產(chǎn)品或者服務為目的,;

  (二)分析,、評估境內(nèi)自然人的行為,;

  (三)法律,、行政法規(guī)規(guī)定的其他情形,。”

  可見,,我國個保法借鑒了歐盟GDPR,,明確了其具有必要的域外適用效力,規(guī)定了當向境內(nèi)自然人提供產(chǎn)品或服務,,或分析,、評估境內(nèi)自然人的行為亦適用個保法的規(guī)定。

  回到剛才的例子,,假如該電商類App在新加坡部署了數(shù)據(jù)中心,,并在新加坡(中國境外)處理該外國人的數(shù)據(jù),鑒于該App是以向中國境內(nèi)自然人提供服務的,,且該外國人亦身處中國境內(nèi),, 因此仍然落入我國個保法的適用范圍,需要遵守我國數(shù)據(jù)保護法律法規(guī)的相關(guān)要求,。

  特別需要注意的是,,對于境外的個人信息處理者,我國個保法明確要求了應當在中國境內(nèi)設立專門機構(gòu)或者指定代表,,負責處理個人信息保護相關(guān)事務,,并將有關(guān)機構(gòu)或者代表的信息報送履行個人信息保護職責的部門。

  但對比于歐盟GDPR的地域適用范圍,,我國個保法的規(guī)定還是有細微的區(qū)別,。

  歐盟GDPR是由“穩(wěn)定的安排/組織設立機構(gòu)(establishment)”,,以及“服務目標/開展業(yè)務過程中(in the context of the activities)”兩個標準共同確立的,而我國個保法的地域適用范圍則是由“處理行為發(fā)生地”和“服務目標”確定的,。這里的異同體現(xiàn)在“穩(wěn)定的安排/組織設立機構(gòu)(establishment)”與“在境內(nèi)進行處理”,,是不一樣的。根據(jù)我國個保法的要求,,只要處理自然人個人信息的活動發(fā)生在我國境內(nèi),,或者以向我國境內(nèi)自然人提供產(chǎn)品或者服務為目的,就會被納入個保法的管轄,,而不管是否需要在我國境內(nèi)具有穩(wěn)定的安排或設有機構(gòu)(establishment),。

  當然,我國個保法亦明確了其不適用的情形,,包括:

 ?。?)  自然人因個人或者家庭事務而處理個人信息的,不適用本法,。

 ?。?)  法律對各級人民政府及其有關(guān)部門組織實施的統(tǒng)計、檔案管理活動中的個人信息處理有規(guī)定的,,適用其規(guī)定,。“

 ?。ǘ┖M庵饕獋€人信息保護法律對比:

  總體來說

  《個保法》在適用范圍上借鑒了歐盟GDPR的相關(guān)規(guī)定,,縱觀上表其他國家/地區(qū)的數(shù)據(jù)保護法律的管轄范圍,不難看出,,在全球范圍內(nèi)擴大本國/本地區(qū)的數(shù)據(jù)保護法律的域外效力已成為立法趨勢,。企業(yè)在出海業(yè)務發(fā)展過程中,特別是當企業(yè)涉及處理海外主體的個人信息時,,應特別關(guān)注是其個人信息處理行為,,是否會落入該國或地區(qū)的個人信息保護法案管轄范圍,以進一步確認是否遵守以及該如何遵守該國或地區(qū)的數(shù)據(jù)保護法律及與此相關(guān)的法律規(guī)定,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]