第三条 【适用范围】
在中华人民共和国境内处理自然人个人信息的活动,适用本法。
在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:
(一)以向境内自然人提供产品或者服务为目的;
(二)分析、评估境内自然人的行为;
(三)法律、行政法规规定的其他情形。
【条文主旨】
本条是关于本法适用范围的规定。
【条文理解】
本条对何种行为可以适用个人信息保护法进行了规定。
第一款明确了在判断个人信息保护法的适用时,应当采用“属地原则”,即以特定行为的发生地为标准,确定是否能够适用本法。无论个人信息处理者是否在境内,也无论个人信息主体是否为境内主体,只要个人信息处理活动发生在中华人民共和国境内,就应当适用本法。关于“处理自然人个人信息的活动”的内涵,在本法第四条中进行了明确,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
在第一款确定的基本原则基础上,第二款赋予了个人信息保护法一定的域外适用效力,规定在三种特定情况下,即使对境内自然人个人信息的处理活动发生在境外,也应适用本法。需要明确,这里针对的是对“境内自然人”的个人信息处理,也即不区分是境内的中国公民还是外国公民。三种特定情况中,第一种是以向境内自然人提供产品或者服务为目的进行个人信息处理,为了对个人信息进行充分保护,这里应当对“产品或者服务”进行广义的解释,将一些新兴的服务类型包括在内;此外,这里要求的是“以向境内自然人提供产品或者服务为目的”,也即不仅仅是提供产品或者服务过程中的数据,即使还未开始提供产品或者服务,在此之前以此为目的准备活动中对个人信息处理也应当适用本法。第二种是分析、评估境内自然人的行为时对个人信息的处理,这种情况包括对境内自然人的“数据画像”等,可能与第一种情况存在重合部分。第三种是法律行政法规规定的其他情形,这一项是为个人信息保护法的域外适用留下更多空间。
对于境外的个人信息处理者,个人信息保护法第五十三条进一步要求应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构或者代表的信息报送履行个人信息保护职责的部门。
对于一些特殊情况,个人信息保护法第七十二条也设置了适用的例外,即自然人因个人或者家庭事务处理个人信息的,不适用本法。法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的,适用其规定。
总体来看,个人信息保护法对于适用范围的规定与欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR)[8]的规定相似,都采用“属地+域外管辖”的设定方式,但是在具体设置上有所不同。个人信息保护法以数据处理行为发生地为标准,更直接地指向规范的行为本身;GDPR则以机构设立地为标准,如果数据控制者和数据处理者在欧盟境内设立实体机构,无论数据处理行为是否在欧盟境内,都受到GDPR的管辖;如果实体机构设立在欧盟境外,当它为欧盟境内的数据主体提供商品或服务,或者对发生在欧盟范围内的数据主体活动进行监控,也应当适用GDPR。两部法律分别将中国和欧盟境内的个人信息(数据)活动比较完整地纳入管辖范围。
【适用指南】
从个人维权的角度,只要是中国境内的自然人,在使用相关产品和服务的过程中,不论个人信息处理者对其个人信息的处理活动发生在中国境内还是境外,都可以依据个人信息保护法进行维权。如果是中国境外的自然人,则需要明确对其个人信息的处理活动发生在中国境内,才能够将个人信息保护法作为维权依据。
从企业合规的角度,首先要对企业性质进行判断,只有涉及对个人信息进行处理的企业才需要依据个人信息保护法进行合规审核,这里对个人信息进行处理,不仅仅是根据业务需求对个人信息进行处理,还应当包括因企业管理对员工个人信息进行处理等其他广泛的个人信息处理行为。其次需要对企业的数据处理行为进行分析,如果对个人信息的处理活动是在中国境内进行,则无论是中国企业还是外国企业,无论处理的是中国公民的个人信息还是外国公民的个人信息,该行为都要受到个人信息保护法的管辖;如果企业对个人信息的处理活动发生在境外,则需要进一步分析待处理个人信息的性质,如果处理的是中国境内自然人的个人信息(无论中国公民或外国公民),且满足特定情形,则应当受到个人信息保护法的管辖。特定情形包括:第一,以向境内自然人提供产品或服务为目的,比如境外的电商公司、网络平台、航空公司、物流公司等,如果其也向中国境内自然人提供服务,则对境内自然人信息的处理也受个人信息保护法规范;在判断是否向境内自然人提供产品或服务,或者有提供产品或服务的目的时,除了根据企业内部具体、真实的销售和服务记录以外,还可以将企业网站是否使用中文、是否可以使用人民币结算、配送范围是否及于中国境内等因素作为标准分析判断。第二,分析、评估境内自然人的行为,比如境外网站根据境内自然人的搜索浏览记录,对境内自然人进行画像,并据此进行个性化推送或者提升用户体验的更新,这种个人信息处理行为也属于个人信息保护法的规制范围。第三,法律、行政法规规定的其他情形,就目前的法律规定来看,除前面两种情形外,暂时没有其他在境外处理境内自然人个人信息的明确情形需要适用个人信息保护法,但是这一条为日后对个人信息保护法域外效力的扩张保留了可能性。
综合来看,只有在境外处理境外自然人的信息才不受个人信息保护法的规制,只要涉及在中国境内处理或者境内个人信息,都有较高的个人信息保护法合规风险,企业应当加以注意。此外,对在境外进行个人信息处理的企业来说,还有可能同时受到不同国家对个人信息(个人数据)处理的规制,比如设立在欧盟境内的企业处理中国境内自然人的个人信息,需要同时进行GDPR和个人信息保护法的合规审核。
【相关规定】
《中华人民共和国民法典》第一百一十一条;《中华人民共和国个人信息保护法》第四条、第五十三条、第七十二条。