第三条 【适用范围】
在中华人民共和国境内处理自然人个人信息的活动,适用本法。
在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:
(一)以向境内自然人提供产品或者服务为目的;
(二)分析、评估境内自然人的行为;
(三)法律、行政法规规定的其他情形。
【释义】
本条规定了我国《个人信息保护法》的适用范围,也从侧面明确了我国对个人信息处理活动的管辖原则。本条第1款确立了明确的“属地原则”,即在我国境内进行的个人信息处理活动,均适用《个人信息保护法》。而本条第2款则可以被认为确立了一种“异化”的“属人原则”,即在特定情形下,针对位于我国境内的自然人进行的个人信息处理活动,也适用《个人信息保护法》,这些情形具有典型的“目的性”或“针对性”,主要包括“以向境内自然人提供产品或服务为目的,以及分析、评估境内自然人的行为”。
本条与欧盟《一般数据保护条例》(GDPR)第3条的规定[8]相似,但却更具创新性,法律适用的延展度更强,行为规制的效果也更为周延,在适用时需要特别注意以下几点规范性细节:
第一,本条第1款摒弃了GDPR第3条第1款中关于“设立地原则”的限制,并不要求个人信息处理者在我国境内拥有设立(establishment)的“实体”(例如中国公司、分公司或其他代理机构)。为此,包括我国和外国的所有个人和组织,只要在我国境内进行了针对自然人的个人信息处理活动,都应当适用我国的《个人信息保护法》,这大大简化了GDPR关于“适格数据控制者和处理者”烦琐而模糊的认定过程,使法律适用更具有确定性和便利性。
第二,本条第1款对于接受个人信息处理的自然人没有地域限制,也就是说,该自然人既可以位于我国境内,也可以位于我国境外(这一点需要注意和本条第2款的区分)。这可能产生非常极端的法律适用情况,例如位于A国的企业在我国境内存储和处理位于B国的自然人的个人信息(这一场景在云服务业务中极为常见)。为此,本条第1款可以被认为建立了非常清晰的“行为地原则”,即只要个人信息处理活动发生于我国境内,就均需要适用我国的《个人信息保护法》,而不论个人信息处理者和自然人与我国是否存在法律意义上的“关联性”。
第三,本条第2款是对第1款适用原则的例外补充,事实上明确了我国《个人信息保护法》的域外适用效力。通常,一国法律的适用范围应当以本国的司法管辖区为限,这是国家主权原则的必然要求。但在基于“属人管辖”、“保护管辖”或“普遍管辖”等一些特殊法益诉求下,一国法律的适用范围便可能有所突破。具体到本款规定,我国《个人信息保护法》的域外适用需要满足三个前提条件:一是个人信息处理活动发生在我国境外;二是接受个人信息处理的自然人位于我国境内;三是个人信息处理活动需要具备明确的“目的性”或“针对性”。
第四,在适用本条第2款时,需要特别注意对个人信息处理活动“目的性”或“针对性”的理解和把握。事实上,在通过“目的性”或“针对性”标准判断我国《个人信息保护法》的适用效力时可能会受到非常明显的挑战。例如,在通常情况下,发生个人信息处理活动时(典型的如前期个人信息的收集),提供产品和服务以及分析、评估自然人行为的活动往往并没有同步发生,那么,在“行为”和“目的”之间建立关联性可能就变得非常困难,这需要对个人信息处理者主观性进行认定。GDPR在序言中同样表达了这种担忧,认为确定数据控制者或处理者是否向欧盟境内的数据主体提供产品或服务,应当判定其是否“显然意欲为之”,但这可能因个案而有所不同。例如,可在欧盟境内访问数据控制者和处理者的网站、电子邮箱或使用数据控制者所在国家的常用语言,都不足以判定这种意图;但如果适用欧盟成员国的常用语言或货币,或者提及欧盟境内的数据主体,则可能会明显表明此种意图。欧盟数据保护委员会(EDPB)同样在3/2018号指南[9]中确认了这种复杂性,并对如何判定“为欧盟境内的数据主体提供产品或服务”给出了更为细致的建议[10]。同时,EDPB强调,单独考虑上述某一因素也并不足以明确表明数据控制者或处理者的意图,在具体分析中需要多因素综合考虑。为此,在我国《个人信息保护法》的域外适用时,需要首先辨明个人信息处理活动与“涵盖情况”之间的关联性。此外,我国《个人信息保护法》对于“涵盖情况”还设置了兜底条款(法律、行政法规规定的其他情形),使域外适用效力更加具有弹性,能够在法律的稳定性和数字经济发展的巨大变动性之间形成相对稳定的协调关系,并与我国《网络安全法》和《数据安全法》等重要立法之间实现衔接。在数据跨境“常态化”的态势下,这能够最大限度地保障我国境内自然人的个人信息合法权益。
第五,本条对于“自然人”没有作出限定,其是否专指我国公民目前尚不明确,这也会影响我国《个人信息保护法》的适用范围。典型的如,在我国境外针对位于我国境内的外国公民的个人信息进行处理,是否可能适用我国《个人信息保护法》?笔者认为,基于《个人信息保护法》对个人信息权利的尊重和保护意愿,其在一定程度上体现了国家个人信息保护的能力和水平。既然本条未使用“我国公民”的表述,那么就意味着我国《个人信息保护法》希望实现一种平等保护的状态,“自然人”不仅包括我国公民,也包括外国公民。为此,笔者在上述表达中将其称为一种“异化”的属人原则。事实上,GDPR也秉承相同的保护理念,其在序言第14条中明确阐述道,本条例提供的保护应适用于自然人,无论其国籍或居住地如何。[11]当然,这也会引发一些特殊场景的适用探讨,例如,个人信息处理者在我国境外对在我国临时过境或短期停留(例如旅游)的外国公民的个人信息进行处理,是否仍然有必要适用我国《个人信息保护法》。
第六,在适用本条时需要注意到《个人信息保护法》附则中的除外适用情形,自然人因个人或者家庭事务处理个人信息的,不适用本法。法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的,适用其规定。
【关联规定】
本法第1条,《中华人民共和国电子商务法》第2条,《电信和互联网用户个人信息保护规定》第2条,《网络交易监督管理办法》第2条
(撰稿人:马宁)