◎ 文 律商聯(lián)訊特約撰稿 楊洪泉 車佳倩

律商聯(lián)訊（LexisNexis Legal & Professional）是一家全球領(lǐng)先的內(nèi)容和技術(shù)解決方案提供商，是全球領(lǐng)先信息解決方案提供商——?jiǎng)?lì)訊集團(tuán)（RELX Group PLC ）的旗下公司，向全球175個(gè)國(guó)家的客戶提供服務(wù)，幫助法律、企業(yè)、稅務(wù)、政府、學(xué)術(shù)和非營(yíng)利性組織的專業(yè)人員做出知情決策，實(shí)現(xiàn)更好的業(yè)務(wù)成果。在中國(guó)，律商聯(lián)訊服務(wù)于上千家企業(yè)、律所、政府機(jī)構(gòu)及近300所大學(xué)，不僅僅提供法律檢索，更提供360度解決方案。

備受關(guān)注的《中華人民共和國(guó)個(gè)人信息保護(hù)法》（征求意見稿）（下稱《草案》）于2020年10月21日公布。未來(lái)一旦正式通過(guò)，個(gè)人信息保護(hù)法將與網(wǎng)絡(luò)安全法（已生效）和數(shù)據(jù)安全法（尚未通過(guò)）成為構(gòu)建我國(guó)數(shù)據(jù)主權(quán)、數(shù)據(jù)安全、網(wǎng)絡(luò)安全和個(gè)人信息保護(hù)法律框架的三個(gè)重要支柱，并對(duì)我國(guó)數(shù)字經(jīng)濟(jì)格局、個(gè)人信息保護(hù)、企業(yè)數(shù)據(jù)合規(guī)實(shí)踐等產(chǎn)生重大且深遠(yuǎn)影響。

《草案》中許多條款與歐盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation， 簡(jiǎn)稱“GDPR”）相似，其中也包括關(guān)于域外效力的若干條款。

GDPR 《草案》“經(jīng)營(yíng)場(chǎng)所所在地標(biāo)準(zhǔn)”第三條第一款：本條例適用于在歐盟內(nèi)部設(shè)有經(jīng)營(yíng)場(chǎng)所的數(shù)據(jù)控制者或處理者對(duì)個(gè)人數(shù)據(jù)的處理，不論其實(shí)際數(shù)據(jù)處理行為是否在歐盟內(nèi)進(jìn)行?！疤幚硇袨榘l(fā)生地標(biāo)準(zhǔn)”第三條第一款：組織、個(gè)人在中華人民共和國(guó)境內(nèi)處理自然人個(gè)人信息的活動(dòng)，適用本法。

粗看之下，《草案》有關(guān)域外效力的條款確有借鑒GDPR之處。但如果仔細(xì)比較GDPR第三條與《草案》第三條的措辭，仍然存在一些重要的區(qū)別，境外數(shù)據(jù)控制者和處理者尤其需要注意。

關(guān)于GDPR的域外效力問(wèn)題，已有很多討論。GDPR的地域適用范圍由兩個(gè)標(biāo)準(zhǔn)共同確立，即“經(jīng)營(yíng)場(chǎng)所所在地標(biāo)準(zhǔn)（Establishment Criterion）”和“目標(biāo)指向標(biāo)準(zhǔn)（Targeting Criterion）”。如某一公司符合這兩個(gè)標(biāo)準(zhǔn)之一，GDPR就將適用于該公司?！恫莅浮废乱泊嬖趦煞N標(biāo)準(zhǔn)，即 “處理行為發(fā)生地標(biāo)準(zhǔn)（Processing Activity Criterion）”和“目標(biāo)指向標(biāo)準(zhǔn)（Purpose Criterion）”。

GDPR “經(jīng)營(yíng)場(chǎng)所所在地標(biāo)準(zhǔn)” VS《草案》“處理行為發(fā)生地標(biāo)準(zhǔn)”

GDPR “經(jīng)營(yíng)場(chǎng)所所在地標(biāo)準(zhǔn)”和《草案》“處理行為發(fā)生地標(biāo)準(zhǔn)” 的相關(guān)規(guī)定詳見上表：

與GDPR不同的是，按照《草案》的規(guī)定，即便數(shù)據(jù)控制者或處理者在中國(guó)境內(nèi)并未設(shè)立“經(jīng)營(yíng)場(chǎng)所”，但只要其處理個(gè)人信息的行為在中國(guó)境內(nèi)發(fā)生（《草案》第三條第二款規(guī)定的境外處理活動(dòng)除外），《草案》仍然適用。

換言之：

（a）若某一境外數(shù)據(jù)控制者或處理者在中國(guó)境內(nèi)處理境外客戶個(gè)人信息，即便它在中國(guó)沒(méi)有經(jīng)營(yíng)場(chǎng)所，《草案》對(duì)其仍舊適用；

（b）若某一境外數(shù)據(jù)控制者或處理者在中國(guó)境外處理境內(nèi)客戶個(gè)人信息（第三條第二款規(guī)定的境外處理活動(dòng)除外），即便它在中國(guó)設(shè)有經(jīng)營(yíng)場(chǎng)所，《草案》對(duì)其也不適用。

由于GDPR的 “經(jīng)營(yíng)場(chǎng)所所在地標(biāo)準(zhǔn)” 和《草案》的 “處理行為發(fā)生地標(biāo)準(zhǔn)” 著眼點(diǎn)不同，很難判斷《草案》的適用范圍究竟是比GDPR更寬或是更窄。但如站在《草案》的角度來(lái)看，值得思考的是：上述（a）和（b）下的兩種情形是否會(huì)導(dǎo)致《草案》適用出現(xiàn)漏洞或出現(xiàn)境外控制者/處理者有意規(guī)避《草案》適用情況的發(fā)生？

GDPR “目標(biāo)指向標(biāo)準(zhǔn)”VS《草案》“目標(biāo)指向標(biāo)準(zhǔn)”

GDPR和《草案》中 “目標(biāo)指向標(biāo)準(zhǔn)” 的相關(guān)規(guī)定詳見下表：

歐盟數(shù)據(jù)保護(hù)委員會(huì)（EDPB）在《GDRP適用地域指南3/2018》（Guidelines 3/2018 on the territorial scope of the GDPR）（“《指南》”）中明確指出，GDPR的“目標(biāo)指向標(biāo)準(zhǔn)”主要關(guān)注某個(gè)特定的“數(shù)據(jù)處理活動(dòng)”是否與數(shù)據(jù)主體“相關(guān)”。盡管“相關(guān)”一詞較為抽象且寬泛，但GDPR的序言、EDPB指南和歐洲法院的相關(guān)判例都有助于將此標(biāo)準(zhǔn)進(jìn)行限縮。

“向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)”（GDPR） VS“向境內(nèi)自然人提供產(chǎn)品或者服務(wù)”（《草案》）

要確認(rèn)數(shù)據(jù)控制者或數(shù)據(jù)處理者的“數(shù)據(jù)處理活動(dòng)是否與向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)有關(guān)”，GDPR序言第23條指出：“應(yīng)明確企業(yè)是否明顯（apparently）設(shè)想（envisage）到要向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)?！睋Q句話說(shuō)，境外數(shù)據(jù)控制者/數(shù)據(jù)處理者是否向歐盟境內(nèi)的數(shù)據(jù)主體提供了商品或服務(wù)的實(shí)際結(jié)果不是判斷GDPR能否適用的決定性因素。相反，境外數(shù)據(jù)控制者或處理者是否存在將其商品或服務(wù)提供給歐盟境內(nèi)數(shù)據(jù)主體的明顯期望（或目標(biāo)），才是觸發(fā)GDPR本款適用標(biāo)準(zhǔn)的關(guān)鍵因素之一。

相比之下，《草案》第三條第二款第（一）項(xiàng)規(guī)定，當(dāng)“以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的”時(shí)，《草案》也應(yīng)得以適用。但是，對(duì)于本款似乎存在兩種理解，即：

（a）境外數(shù)據(jù)控制者或處理者的目的是向中國(guó)境內(nèi)的自然人提供產(chǎn)品或服務(wù)；或（b）境外處理活動(dòng)的目的是向中國(guó)境內(nèi)的自然人提供產(chǎn)品或服務(wù)。

GDPR 《草案》“目標(biāo)指向標(biāo)準(zhǔn)”第三條第二款：本條例適用于如下相關(guān)活動(dòng)中的個(gè)人數(shù)據(jù)處理，即使數(shù)據(jù)控制者或處理者在歐盟沒(méi)有設(shè)立經(jīng)營(yíng)場(chǎng)所：(a)向歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)——不論此項(xiàng)商品或服務(wù)是否要求數(shù)據(jù)主體支付對(duì)價(jià)；或(b)對(duì)發(fā)生在歐洲范圍內(nèi)的數(shù)據(jù)主體的活動(dòng)進(jìn)行監(jiān)控。“目標(biāo)指向標(biāo)準(zhǔn)”第三條第二款：在中華人民共和國(guó)境外處理中華人民共和國(guó)境內(nèi)自然人個(gè)人信息的活動(dòng)，有下列情形之一的，也適用本法：(一)以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的；(二)為分析、評(píng)估境內(nèi)自然人的行為；(三)法律、行政法規(guī)規(guī)定的其他情形。

如果將《草案》第三條第二款第（一）項(xiàng)按照上述（a）段的含義來(lái)解釋，它將起到與GDPR第三條第二款（a）項(xiàng)相同或非常相似的作用（即，境外數(shù)據(jù)控制者或處理者有明顯的期望將其商品或服務(wù)提供給歐盟境內(nèi)的數(shù)據(jù)主體，因此應(yīng)適用GDPR）。

但是，《草案》第三條第二款第（一）項(xiàng)的措辭似乎更偏向上述（b）段的含義，即“目的”是指“境外處理活動(dòng)”的目的，而不是指“境外處理者”的目的。如按此解釋，只要某一境外公司存在向中國(guó)境內(nèi)自然人銷售產(chǎn)品或服務(wù)的行為，并發(fā)生了處理這些自然人個(gè)人信息的境外處理活動(dòng)，那么無(wú)論該境外公司是否有向中國(guó)境內(nèi)自然人提供產(chǎn)品或服務(wù)的目的或期望，《草案》對(duì)其均適用。也就是說(shuō)，向中國(guó)境內(nèi)自然人提供產(chǎn)品或服務(wù)的實(shí)際結(jié)果將成為決定《草案》是否適用于境外數(shù)據(jù)控制者/處理者的決定性因素，而境外數(shù)據(jù)控制者或處理者自身的期望或目標(biāo)并沒(méi)有那么重要。

由于《草案》尚在立法過(guò)程中，現(xiàn)在就得出結(jié)論說(shuō)《草案》在此點(diǎn)上的適用范圍要大于GDPR還為時(shí)過(guò)早。與“是否發(fā)生向境內(nèi)自然人提供產(chǎn)品或服務(wù)”這一客觀結(jié)果判斷標(biāo)準(zhǔn)相比，很顯然GDPR下探究境外數(shù)據(jù)控制者/處理者目的這一做法的適用范圍更小，但后者在實(shí)踐中的適用要更復(fù)雜和難以駕馭，這種方法論本身也備受批評(píng)（例如一篇文章批評(píng)說(shuō)，這種需要判斷境外控制者/處理者主觀意圖的做法簡(jiǎn)直是法官的噩夢(mèng)）。

“監(jiān)控歐盟境內(nèi)數(shù)據(jù)主體的行為”（GDPR）VS“分析和評(píng)估中國(guó)境內(nèi)自然人的活動(dòng)”（《草案》）

觸發(fā)GDPR第三條第二款第二種類型的活動(dòng)是境外控制者/處理者存在“監(jiān)控?cái)?shù)據(jù)主體的行為”，只要數(shù)據(jù)主體的行為發(fā)生在歐盟的領(lǐng)土內(nèi)。EDPB在《指南》中指出，“監(jiān)控”一詞意味著控制者具有收集個(gè)人數(shù)據(jù)并進(jìn)行后續(xù)加工利用的目的?！吨改稀愤€強(qiáng)調(diào)，不是任何在線收集或分析歐盟境內(nèi)主體個(gè)人信息的行為都會(huì)自動(dòng)認(rèn)定為“監(jiān)控”。需要綜合考慮數(shù)據(jù)控制者處理數(shù)據(jù)的目的，特別是涉及該數(shù)據(jù)的后續(xù)利用的數(shù)據(jù)處理技術(shù)，如識(shí)別分析或行為分析技術(shù)。

《草案》第三條第二款第（二）項(xiàng)規(guī)定，《草案》還適用于“分析和評(píng)估”中國(guó)境內(nèi)自然人行為的境外處理活動(dòng)?！胺治龊驮u(píng)估”的含義非常廣泛，似乎能夠涵蓋GDPR規(guī)定的“監(jiān)控活動(dòng)”，而且還可能涵蓋針對(duì)中國(guó)境內(nèi)自然人的行為進(jìn)行的一切觀察、分析、評(píng)估和研究活動(dòng)。

《草案》下“法律、行政法規(guī)規(guī)定的其他情形”

根據(jù)《草案》第三條第二款第（三）項(xiàng)，若滿足“法律和行政法規(guī)規(guī)定的其他情形”也可以觸發(fā)《草案》的域外適用效力。 這一“其他情形”的兜底條款為中國(guó)未來(lái)的個(gè)人信息保護(hù)立法預(yù)留了空間，但也增加了《草案》域外效力范圍的不確定性。

本文基于《草案》的第一版而討論，《草案》后續(xù)征求意見稿和最終的成文稿可能對(duì)上述問(wèn)題有更為清晰的規(guī)定。當(dāng)然，在《草案》通過(guò)后，有關(guān)部門也有可能出臺(tái)實(shí)施細(xì)則，希望能為本文所述問(wèn)題提供較為明確的指引。