温坚坚律师、庄薇馨实习律师、黄郁婷顾问[1]
随着全球化、数字化的推进,跨境收集个人信息的情形也日益频繁,为充分保护我国境内个人的权益,遏制大型数位巨头滥用收集个人数据的行为,中国十三届全国人大常委会第三十次会议表决通过之个人信息保护法(自2021年11月1日起施行,以下简称“个保法”),扩大我国个人信息保护法律的适用范围至境外主体在境外之行为,要求有向境内自然人提供产品或者服务为目的,或者分析、评估境内自然人的行为之“境外个人信息处理者”应遵循个保法针对个人信息保护之规范。在网际网络发达之时代下,凡与大陆地区、大陆民众有密切经贸往来之境外业者,有高度可能即已落入个保法之规范范围,建议有关境外业者宜及早检视自身是否为个保法规范之对象,以即时制定因应之措施。本文以下就针对个保法施行后可能对于境外个人信息处理者造成的影响进行摘要说明:
一、境外个人信息处理者定义及适用范围
1. 法令规范
个保法第3条第2款规定,在中华人民共和国境外处理中华人民共和国境内自然人个人信息[2]的活动,有下列情形之一的也适用个保法:(一)以向境内自然人提供产品或者服务为目的;(二)分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形(以下简称“境外个人信息处理者”)。按2020年10月13日在第十三届全国人民代表大会常务委员会第二十二次会议上全国人大常委会法制工作委员会副主任發布之【依據关于《中华人民共和国个人信息保护法(草案)》的说明】[3],本條旨在借鉴有关国家和地区的做法,赋予个保法必要的域外适用效力,以充分保护我国境内个人的权益。
2. 如何判断是否构成“向境内自然人提供产品或者服务为目的”或“分析、评估境内自然人的行为”?
个保法中虽明文规定境外信息处理者应适用我国法之情形既包括个人信息处理者因提供产品或服务而产生的直接信息处理活动,也包括行为分析和评估的间接信息处理行为,惟截至本文撰擬之日,有關主管機關尚未对个保法第3条第2款之範圍作出明确规定或出台相关通知或意见,故針對「向境内自然人提供产品或者服务为目的」或「分析、评估境内自然人的行为」的判断标准仍不明确。
鉴于个保法第3条第2款规定主要系借鉴了欧盟General Data Protection Regulation(GDPR) 第3条规定[4]而来,故有关欧盟针对GDPR第3条所发布之《关于GDPR的地域适用范围指南(第3条)3/2018》[5](以下简称“欧盟指南”) ,应对于我国未来个保法域外适用的执法实践和未来的配套规定均具有相当的参考价值。
根据“欧盟指南”,判断一境外信息处理者「是否具有向处于欧盟境内的自然人(无论其是否具欧盟国籍或居住地在欧盟境内 )提供商品或服务的目的」、「是否構成对欧盟境内自然人行为所为之监测信息的活动」,皆需按个案情形具体判断,综合考虑下表所列之相关因素:
| 是否具有向处于欧盟境内的自然人提供商品或服务的目的之判斷因素 | 是否構成对欧盟境内自然人行为所为之监测信息的活动之判斷因素 |
|
|
3. 小结
鉴于我国监管机关尚未针对上述个保法第3条第2款规范之范围进一步订定具体之规范,本所建议在个保法相关细则出台前,境外信息处理者可以先参照上述欧盟指南例示之相关因素判定自身行为适用个保法之可能性,并持续关注有关监管机关未来之立法动向,以随时进行调整。
二、境外个人信息处理者应履行之义务及责任
1. 个人信息处理者之一般性义务及责任
个保法第51条规定,个人信息处理者应当根据个人信息的处理目的、处理方式、处理的个人信息种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:(一)制定内部管理制度和操作规程;(二)对个人信息实行分类管理;(三)采取相应的加密、去标识化等安全技术措施;(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;(五)制定并组织实施个人信息安全事件应急预案;(六)法律、行政法规规定的其他措施。
其他有關个人信息处理者应遵循之法律规定可参照本所《大陆个人信息保护法专题文章(一) – 个人信息保护法重点简介(中国大陆)》一文。
2. 境外个人信息处理者之特別責任
依據个保法第53条規定,境外个人信息处理者还应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。参照欧盟实务,该等指定代表的主要义务应是保存信息处理之相关纪录、与境内信息保护监管机构合作。
个保法并未规定上述境内专门机构或者指定代表的资质要求,也未规定境外个人信息处理者未设立境内专门机构或指定代表所应承担的法律责任。因此针对该规定能否在实践中得到有效实施还需后续出台有关实施细则才能进一步明确。
3. 境外个人信息处理者违反个保法之法律责任
境外个人信息处理者违反个保法仍将承擔个保法第66条至第71条规定之責任,包括但不限于:
- 将违法行为记入信用档案,并予以公示;
- 对违法处理个人信息的应用程序,责令暂停或者终止提供服务;
- 由履行个人信息保护职责的部门责令改正,没收违法所得;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;違法情节严重的,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、吊销相关业务许可或者吊销营业执照;
- 处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
另外,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
个保法对违反个保法行为提升了惩罚金额及违法之法律责任,故境外个人信息处理者更应持续关注未来对于个保法遵循及要求相关的法令发展,在处理个人信息时应更加注意自身法令遵循之问题,把控信息处理之法律风险。
[1] 作者为上海理慈律师事务所律师与顾问,惟本文内容为个人意见,不代表事务所立场。
[2] 根据个保法第4条规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
[3] 关于《中华人民共和国个人信息保护法(草案)》的说明_中国人大网 (npc.gov.cn),网址: http://www.npc.gov.cn/npc/c30834/202108/fbc9ba044c2449c9bc6b6317b94694be.shtml(最后浏览日期:2021年10月21日)。
[4] Art. 3 of General Data Protection Regulation (GDPR):
1. This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.
2. This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to: the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or the monitoring of their behaviour as far as their behaviour takes place within the Union.
3. This Regulation applies to the processing of personal data by a controller not established in the Union, but in a place where Member State law applies by virtue of public international law.
[5] Guidelines 3/2018 on the territorial scope of the GDPR (Article 3),网站: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_en(最后浏览日期:2021年10月21日).