国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

我國個人信息保護(hù)法域外效力

2021-02-28 01:56何明鑫
法制與經(jīng)濟(jì) 2021年6期
關(guān)鍵詞:信息處理保護(hù)法效力

何明鑫

隨著數(shù)字經(jīng)濟(jì)的發(fā)展,數(shù)據(jù)已成為與土地、勞動力、資本、技術(shù)并稱的生產(chǎn)要素,而個人數(shù)據(jù)是數(shù)據(jù)的重要組成部分[1]。由于各國數(shù)字產(chǎn)業(yè)發(fā)展水平的不同,對個人信息保護(hù)的價值取向不完全相同。許多法域的個人信息保護(hù)法為維護(hù)其數(shù)據(jù)利益、強(qiáng)調(diào)本國個人信息保護(hù)的價值觀、彌補國際法維權(quán)失靈或者引領(lǐng)國際法的構(gòu)建,對域外效力作了規(guī)定。美國2018年發(fā)布的《澄清域外合法使用數(shù)據(jù)法》(Clarifying Lawful Overseas Use of Data Act,下文簡稱CLOUD法)賦予美國政府調(diào)取本國企業(yè)在境外存儲的個人信息的權(quán)力,無需經(jīng)過他國同意即可在他國主權(quán)范圍內(nèi)適用。歐盟的《一般數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation,下文簡稱GDPR)第3條規(guī)定:“本條例適用于設(shè)立在歐盟境內(nèi)的控制者或處理者的場景下對個人數(shù)據(jù)的處理行為,無論該處理行為是否發(fā)生在歐盟境內(nèi);本條例適用于對歐盟境內(nèi)的數(shù)據(jù)主體的個人數(shù)據(jù)處理,即使控制者和處理者沒有設(shè)立在歐盟內(nèi),其處理行為:(a)發(fā)生在向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)的過程中,無論此項商品或服務(wù)是否需要數(shù)據(jù)主體支付費用;或(b)是對數(shù)據(jù)主體發(fā)生在歐盟境內(nèi)行為的監(jiān)控;本法適用于設(shè)立在歐盟之外,但依據(jù)國際公法歐盟成員國法律可適用地的控制者對個人數(shù)據(jù)的處理?!贝艘?guī)定賦予GDPR在歐盟境外的效力。歐盟認(rèn)為個人數(shù)據(jù)和隱私的保護(hù)是一項基本權(quán)利,應(yīng)該用高標(biāo)準(zhǔn)達(dá)到一個可信賴的數(shù)字經(jīng)濟(jì)或者貿(mào)易發(fā)展[2],GDPR體現(xiàn)了歐盟對個人信息的上述理解。從國家利益角度來看,歐洲互聯(lián)網(wǎng)產(chǎn)業(yè)本身較弱,如果歐洲喪失對本國數(shù)據(jù)的控制力,則意味著歐洲各國數(shù)據(jù)治理的獨立自主和安全將受到威脅。因此,GDPR的主要目的“不僅是防范歐洲的互聯(lián)網(wǎng)企業(yè)對其數(shù)據(jù)主體權(quán)利的侵犯,更是為了防止美國和其他國家利用數(shù)據(jù)優(yōu)勢地位,威脅主權(quán)獨立和國家安全。[3]”在Schrems II案[4]中,歐盟法院(Court of Justice of the European Union,下文簡稱CJEU)便以美國國家安全法未提供與歐盟同等的隱私保護(hù)為由,判決歐盟—美國有關(guān)個人信息的隱私盾協(xié)議(EU—USPrivacy Shield)無效。該判決影響到美國企業(yè)將歐盟個人數(shù)據(jù)轉(zhuǎn)移到美國的合法性。該判決體現(xiàn)了各國對個人信息權(quán)益賦予、保護(hù)與限制的內(nèi)在邏輯是國家利益的沖突與共存。

經(jīng)過十多年醞釀、論證,《個人信息保護(hù)法》即將于2021年11月1日起實施。全國人大常委會法工委經(jīng)濟(jì)法室副主任楊合慶表示,這是我國首部專門針對個人信息保護(hù)的系統(tǒng)性、綜合性法律。對法律的適用范圍、以“告知—同意”為核心的個人信息處理規(guī)則、個人信息處理活動中個人的權(quán)利和處理者義務(wù)、大型網(wǎng)絡(luò)平臺的特別義務(wù)、國家機(jī)關(guān)處理個人信息的規(guī)范、個人信息跨境流動及履行個人信息保護(hù)監(jiān)管體制、法律責(zé)任等內(nèi)容作出了具體規(guī)定[5]?!秱€人信息保護(hù)法》第3條第2款規(guī)定:“在中華人民共和國境外處理中華人民共和國境內(nèi)自然人個人信息的活動,有下列情形之一的,也適用本法:(一)以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的;(二)分析、評估境內(nèi)自然人的行為;(三)法律、行政法規(guī)規(guī)定的其他情形。”此規(guī)定也賦予個人信息保護(hù)法域外效力。實現(xiàn)保護(hù)我國數(shù)據(jù)利益與尊重他國數(shù)據(jù)利益的協(xié)調(diào),促進(jìn)互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展與保護(hù)個人信息權(quán)益的協(xié)調(diào),我國個人信息保護(hù)法域外適用的適度就顯得尤為重要?!捌胶庹f”強(qiáng)調(diào)域外適用的適度問題,認(rèn)為我國國內(nèi)法的域外適用應(yīng)該是有限度的,而不是無限制擴(kuò)張的。該說認(rèn)為,國內(nèi)法的域外效力應(yīng)該具有強(qiáng)調(diào)適用的擴(kuò)張以及限制擴(kuò)張的雙重涵義[6]78。在我國國情下,個人信息保護(hù)法的域外效力采“平衡說”更為合理。域外效力是指一國法律在領(lǐng)土之外所能產(chǎn)生的法律拘束力。我國通過立法制定具有在域外效力的法律,依據(jù)國際法賦予國家立法管轄權(quán),標(biāo)準(zhǔn)是效果原則,即按照個人信息處理者的行為具有影響一定規(guī)模公共利益的效果最終確定法律是否應(yīng)適用的管轄原則。效果原則以“目的意圖”或“處理行為”為標(biāo)準(zhǔn)。

一、我國個人信息保護(hù)法域外效力的“目的意圖”標(biāo)準(zhǔn)

尋求確定合理域外效力的平衡點關(guān)鍵在于尋求確定的方法而非認(rèn)定其具體位置。個人信息保護(hù)法的適度域外適用可以從域外適用的功能角度出發(fā)進(jìn)行限定。個人信息保護(hù)法域外適用的功能之一是保護(hù)國家利益,因此,如果某一案件對國家利益、公共秩序造成影響,就可能適用該法。個人信息保護(hù)案件是否會對國家利益、公共秩序造成影響,需要結(jié)合“境內(nèi)自然人”的數(shù)量規(guī)模、案件影響范圍、社會影響、自然人境內(nèi)逗留時間等因素綜合判斷。換言之,只要案件所涉及的“境內(nèi)自然人”足以影響國家利益、公共秩序,就有域外適用個人信息保護(hù)法的可能。自然人的數(shù)量規(guī)模、境內(nèi)逗留時間等因素是影響是否域外適用個人信息保護(hù)法的因素,而非決定因素。決定因素在于是否足以影響國家利益、公共秩序。

根據(jù)《個人信息保護(hù)法》第3條第2款的規(guī)定,在境外處理的“境內(nèi)自然人個人信息”符合“以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的”,“分析、評估境內(nèi)自然人的行為”為目的及其他規(guī)定情形時,應(yīng)存在足以對國家利益、公共利益造成影響的效果,才滿足“目的意圖”的標(biāo)準(zhǔn)。

在評估適用“目的意圖標(biāo)準(zhǔn)”時,首先要確定被處理的個人信息是否為我國“境內(nèi)自然人”的個人信息,其次要確定信息處理行為是否提供了產(chǎn)品或服務(wù),或是否分析、評估了自然人在我國境內(nèi)發(fā)生的行為。具體而言,如果個人信息處理者不在我國境內(nèi),那么在以下兩種情況下,其所實施的個人信息處理行為要受到個人信息保護(hù)法的約束。即考慮是否以向我國境內(nèi)自然人提供產(chǎn)品或服務(wù)為目的,或分析、評估自然人在我國境內(nèi)的行為。

(一)具有為我國境內(nèi)自然人提供產(chǎn)品或者服務(wù)的目的

個人信息處理者是否提供付費的產(chǎn)品或服務(wù)并不是影響適用個人信息保護(hù)法的因素[7]。在“目的意圖”標(biāo)準(zhǔn)中,是否有明確的為境內(nèi)自然人提供產(chǎn)品或者服務(wù)才是適用個人信息保護(hù)法的關(guān)鍵因素。在適用場景的具體判斷中,行政機(jī)關(guān)或者司法機(jī)關(guān)可以從個人信息處理者的用戶人群、消費人群及市場推廣范圍等因素綜合判斷。個人信息處理者的商業(yè)目的雖然是提供產(chǎn)品或者服務(wù)的常見目的,但并非唯一目的。判斷個人信息處理者是否具有明確的針對境內(nèi)自然人的目的,不是從境內(nèi)自然人的角度進(jìn)行判斷。換言之,即使境內(nèi)一定規(guī)模的自然人在某境外網(wǎng)站訪問量較為巨大,但該境外網(wǎng)站設(shè)計的目的并非是針對境內(nèi)自然人,該境外網(wǎng)站不適用個人信息保護(hù)法[8]。

(二)具有分析、評估境內(nèi)自然人行為的目的

因為個人信息保護(hù)法的適用范圍不考慮自然人的國籍、居所地等因素,所以存在境內(nèi)自然人轉(zhuǎn)變?yōu)榫惩庾匀蝗说那樾?,且在國際經(jīng)貿(mào)交往日益頻繁的今天,自然人的跨境移動已屬于常態(tài)。從自然人個體角度看,自然人的跨境移動造成了個人信息保護(hù)法適用的不確定性,但從自然人群體而言,自然人個體的跨境移動對個人信息保護(hù)的適用影響較小。因此,從法律適用穩(wěn)定的角度分析,個人信息處理者分析、評估境內(nèi)自然人的行為,一般指的是具有一定數(shù)量的群體自然人。

個人信息處理者在提供數(shù)據(jù)服務(wù)時,自然人經(jīng)常被要求允許訪問其位置信息,提供姓名、性別、愛好等個人信息。個人信息處理者收集數(shù)據(jù)的方式不僅可以通過網(wǎng)絡(luò)收集,還可以通過某種物理設(shè)備完成,比如小米運動手環(huán)收集佩戴者的個人心跳頻率、睡眠質(zhì)量檢測等信息。因為只有分析、評估,才有可能了解他人的習(xí)性愛好,但僅僅是收集存儲個人信息,不適用個人信息保護(hù)法。在大數(shù)據(jù)時代,通過大數(shù)據(jù)分析,自然人的行為習(xí)慣會被記錄,個人身份會被清晰地識別,比如自然人訪問某類網(wǎng)站的頻次、購買某種商品的次數(shù)等,能反映該自然人的習(xí)性愛好。個人信息處理者甚至比自然人更加了解其自身,在無形中,自然人的隱私被肆意侵犯,不愿為他人知曉的隱私信息從數(shù)據(jù)行為分析中被暴露無遺。但該情況是否適用個人信息保護(hù)法,關(guān)鍵在于個人信息處理者對收集的境內(nèi)自然人信息的分析、評估目的。

另外,如果個人信息處理者將收集的個人信息分享給第三方,而第三方有分析、評估的行為,個人信息收集者應(yīng)該與第三方一同適用個人信息保護(hù)法。因此,無論后續(xù)分析、評估的信息處理主體是否為信息收集者,只要該分析、評估行為是在信息收集者的幫助下完成的,信息收集者也應(yīng)適用個人信息保護(hù)法。

二、我國個人信息保護(hù)法域外效力的“處理行為”標(biāo)準(zhǔn)

運用“處理行為”標(biāo)準(zhǔn)分析我國《個人信息保護(hù)法》第3條第2款,可以有兩種解讀。一種解讀是組織、個人處理個人信息的行為發(fā)生在境內(nèi)或者行為產(chǎn)生的效果在境內(nèi),可以適用個人信息保護(hù)法。另一種解讀是只要組織、個人在境內(nèi),無論處理個人信息的行為是否發(fā)生在境內(nèi),都適用個人信息保護(hù)法。

第一種解讀屬于“處理行為”的“屬地管轄”解讀,強(qiáng)調(diào)行為發(fā)生地或者結(jié)果發(fā)生地至少有一項在我國境內(nèi),適用個人信息保護(hù)法。第二種解讀屬于組織、個人的“屬地管轄”解讀?!秱€人信息保護(hù)法》第3條第2款與GDPR第3條不同,前者未強(qiáng)調(diào)個人信息處理者與處理行為之間的關(guān)系。

就第一種解讀而言,其管轄理念與傳統(tǒng)“屬地管轄原則”相契合,不存在是否應(yīng)該管轄的問題。問題在于第二種解讀。如果個人信息處理行為發(fā)生在境外,該信息處理行為與境內(nèi)的組織、個人不存在直接聯(lián)系,是否應(yīng)該適用個人信息保護(hù)法,有以下兩種情形需要厘清。

第一,具有公益性質(zhì)的個人信息處理行為。例如,我國境內(nèi)網(wǎng)絡(luò)服務(wù)志愿者組織A派遣B在境外提供互聯(lián)網(wǎng)志愿服務(wù),B處理的是境外自然人的個人信息,服務(wù)的對象也是境外的自然人,A在該項服務(wù)中顯然沒有在我國境內(nèi)處理個人信息的行為。從個人信息保護(hù)法域外適用的功能及適度原則角度看,這種情形不應(yīng)該適用個人信息保護(hù)法。

第二,具有商業(yè)性質(zhì)的個人信息處理行為。例如,我國境內(nèi)企業(yè)A派遣B在境外從事互聯(lián)網(wǎng)服務(wù)業(yè)務(wù),B處理的是境外自然人的個人信息,服務(wù)的對象也是境外的自然人,或者B為他國用戶提供的信息服務(wù),是基于A已經(jīng)公開的我國境內(nèi)用戶群調(diào)查分析報告而改進(jìn)的,A在B的業(yè)務(wù)中顯然沒有以為B提供幫助為目的,特定地在我國境內(nèi)處理個人信息的行為。但B處理境外自然人的個人信息可能會影響A財務(wù)上的增長。B處理境外自然人個人信息的行為與A之間存在“不可分割的聯(lián)系”,這種情況應(yīng)該適用個人信息保護(hù)法。認(rèn)可這一管轄價值取向也是從個人信息保護(hù)法域外適用的功能角度出發(fā)。通過“不可分割的聯(lián)系”這一標(biāo)準(zhǔn),個人信息保護(hù)法域外適用可以保護(hù)我國境內(nèi)自然人個人信息的外延利益及國家的外延利益,進(jìn)而厘清個人信息保護(hù)法域外適用的內(nèi)涵和外延。

《個人信息保護(hù)法》第3條第2款措辭是“中華人民共和國境內(nèi)自然人”,顯然這是一個十分寬泛的描述,排除了以公民國籍、身份、居住地等慣常連接點來進(jìn)行定義,擴(kuò)大了自然人的概念和范圍。自然人即使與我國有很小的關(guān)系也可以視為“在我國境內(nèi)”。但對于《個人信息保護(hù)法》中“境內(nèi)自然人”概念的理解,應(yīng)當(dāng)采用場景(context)的定義,而非嚴(yán)格遵循地域的概念,需要結(jié)合域外適用的功能進(jìn)行分析。個人信息處理行為與“境內(nèi)”“境內(nèi)自然人”有“不可分割的聯(lián)系”時,個人信息保護(hù)法可以域外適用。其界限在于,當(dāng)個人信息案件足以影響公共利益、國家利益時,個人信息保護(hù)法可以域外適用,否則不應(yīng)適用。

如外國公民A來我國短期旅游,其手機(jī)上所用的是國外的APP服務(wù),隨著外國公民A進(jìn)入我國境內(nèi),APP服務(wù)提供者成為個人信息保護(hù)法規(guī)定的境外組織、個人,需要改變其原先的信息服務(wù)提供標(biāo)準(zhǔn),即獲取A的個人信息需要A同意才可以收集信息。但提供信息服務(wù)肯定有一個連續(xù)性,境外信息服務(wù)提供者未必知道A已經(jīng)進(jìn)入我國境內(nèi),將個人信息保護(hù)法適用于該軟件服務(wù)提供商,并不具備法的可期待性。

同樣理由,境外組織、個人為境內(nèi)短期訪學(xué)人員、短期勞務(wù)派遣人員等具有在我國境內(nèi)短時間停留特性的自然人提供服務(wù),如果該類人員數(shù)量少,可能僅有一個或兩個,個人信息保護(hù)法的適用會造成過度域外適用的可能。隨著我國對外開放水平的進(jìn)一步提高,入境人員流動頻繁,如果個人信息保護(hù)法將所有進(jìn)入我國境內(nèi)的自然人歸屬于“境內(nèi)自然人”,那么個人信息保護(hù)法將成為實質(zhì)上的全球規(guī)則。這與個人信息保護(hù)法域外適用需要適度的原則相違背。

總而言之,按照《個人信息保護(hù)法》第3條第2款的規(guī)定,無論是“目的意圖標(biāo)準(zhǔn)”,還是“處理行為標(biāo)準(zhǔn)”,均不考慮個人信息處理行為是否在我國境內(nèi)。只要個人信息處理行為與我國“境內(nèi)”或者“境內(nèi)自然人”具有“不可分割的聯(lián)系”,就有適用我國個人信息保護(hù)法的可能??梢哉f,《個人信息保護(hù)法》第3條第2款體現(xiàn)了立法的域外效力,充分考慮了個人信息保護(hù)法的域外適用問題,對個人信息保護(hù)法的域外適用具有期待性。同時,個人信息保護(hù)法考慮到了我國企業(yè)在海外利益的維護(hù),更重要的是國家在海外利益所應(yīng)發(fā)揮的重要功能。由此可見,個人信息保護(hù)法與GDPR一樣,在適用范圍上確立了以屬地原則為主、效果原則為輔的管轄原則。這是立法機(jī)關(guān)對個人信息收集、處理和跨境流動帶來的管轄問題作出的現(xiàn)實回應(yīng)。

三、我國個人信息保護(hù)法域外效力中的國際禮讓

個人信息保護(hù)中,不同國家的利益存在交叉和沖突[9]。各國傾向于通過個人信息保護(hù)法的域外效力來維護(hù)本國的數(shù)據(jù)利益,容易產(chǎn)生法律適用的沖突。數(shù)據(jù)利益的沖突對各國數(shù)據(jù)治理帶來挑戰(zhàn),個人信息保護(hù)法域外效力可能產(chǎn)生或者加劇數(shù)據(jù)本地化和數(shù)據(jù)全球化的沖突,加劇各國立法管轄權(quán)的沖突[10]。因此,各國在尋求擴(kuò)張數(shù)據(jù)法律域外效力的同時,也應(yīng)遵守國際禮讓原則,適當(dāng)限制管轄權(quán)無限度的行使,以解決管轄權(quán)沖突問題。

國際禮讓原則(international comity)強(qiáng)調(diào)國家之間對于主權(quán)與利益的相互尊重,尊重對方國家的立法、行政或司法行為[11]。這要求一國司法或行政機(jī)關(guān)在適用規(guī)定有域外效力的法律時要保持克制[12]126,避免與他國主權(quán)發(fā)生沖突[13]。該原則最初由荷蘭法學(xué)家烏爾里克斯·胡伯(Ulricus Huber)提出。他認(rèn)為,在適用外國法律時,禮讓是司法政策和互惠對等原則的體現(xiàn),其目的是使另一個國家的法律在本國繼續(xù)有效,只要另一國的法律不損害本國的國家權(quán)力或公民權(quán)利[6]79。但國際禮讓不是國家強(qiáng)制性義務(wù),而是國家在考慮自身主體權(quán)利的限制下作出的一種可選的適用行為,這只是對外國友好的一種表現(xiàn),對各國并無拘束力,不過可以作為各國法院解決問題的一種路徑,具體操作由各國法院自行決定,并無統(tǒng)一標(biāo)準(zhǔn)可循[12]126。我國個人信息保護(hù)法域外適用中的國際禮讓,需要我國行政機(jī)關(guān)或者司法機(jī)關(guān)了解他國個人信息保護(hù)法的相關(guān)規(guī)定。在信息網(wǎng)絡(luò)發(fā)達(dá)的今天,雖然本國行政機(jī)關(guān)或司法機(jī)關(guān)未必能窮極他國有關(guān)個人信息保護(hù)的法律規(guī)定,但還是可以收集到他國主要個人信息保護(hù)法律的,進(jìn)而判斷他國個人信息保護(hù)法律所涉及的國家利益。

國際禮讓原則能緩解各國個人信息保護(hù)立法管轄權(quán)的沖突,也是尊重他國主權(quán)的具體表現(xiàn)之一。適用該原則解決各國個人信息保護(hù)法效力的沖突問題,需要尊重他國合理的主權(quán)利益訴求,尊重他國對其域內(nèi)的個人信息保護(hù)規(guī)定,同時克制本國個人信息保護(hù)法的域外適用。

四、結(jié)語

2019年2月25日,習(xí)近平總書記在中央全面依法治國委員會第二次會議上的重要講話中指出,要加快推進(jìn)我國法域外適用的法律體系建設(shè)[14]。賦予個人信息保護(hù)法域外效力,在個人信息保護(hù)法中已有所規(guī)定。從世界范圍內(nèi)的個人信息保護(hù)立法來看,多數(shù)國家強(qiáng)調(diào)本國法律的域外效力。賦予個人信息保護(hù)法域外以效力,有利于更好地維護(hù)本國的數(shù)據(jù)利益。但我國對個人信息保護(hù)法域外適用應(yīng)注意國際禮讓原則,為網(wǎng)絡(luò)空間人類命運共同體的建設(shè)作出應(yīng)有的貢獻(xiàn)。

猜你喜歡
信息處理保護(hù)法效力
我國將加快制定耕地保護(hù)法
債權(quán)讓與效力探究
東營市智能信息處理實驗室
基于Revit和Dynamo的施工BIM信息處理
未成年人保護(hù)法 大幅修訂亮點多
保證合同中保證人違約責(zé)任條款的效力研究
地震烈度信息處理平臺研究
聚眾淫亂罪的保護(hù)法益及處罰限定
CTCS-3級列控系統(tǒng)RBC與ATP結(jié)合部異常信息處理
論違法建筑轉(zhuǎn)讓合同的效力
绵竹市| 抚州市| 新邵县| 邵东县| 剑阁县| 福建省| 西贡区| 大关县| 丘北县| 北安市| 澎湖县| 山东省| 道孚县| 屏东市| 通河县| 泰安市| 剑阁县| 清水县| 杂多县| 繁峙县| 华容县| 镇安县| 乌兰县| 边坝县| 韶关市| 泗洪县| 辉南县| 镶黄旗| 台中市| 新密市| 喀喇沁旗| 肇州县| 同仁县| 二连浩特市| 明水县| 济南市| 洱源县| 明光市| 周口市| 白银市| 苗栗市|