数安条例百问5、6:关于《条例》的适用范围
小贝案语
11月14日,国家互联网信息办公布了《网络数据安全管理条例(征求意见稿)》。为此,小贝说安全设立《网络数据安全管理条例(征求意见稿)》(后文简称《条例》)解读专栏,以百问百答的形式对《条例》进行系列解读。
需要指出,这些解读只是专家个人观点,不代表官方意见;且这些解读针对的是征求意见稿,未来条文本身可能会发生变化,不排除会有新增和删除。
对应条款
第二条 在中华人民共和国境内利用网络开展数据处理活动,以及网络数据安全的监督管理,适用本条例。
在中华人民共和国境外处理中华人民共和国境内个人和组织数据的活动,有下列情形之一的,适用本条例:
(一)以向境内提供产品或者服务为目的;
(二)分析、评估境内个人、组织的行为;
(三)涉及境内重要数据处理;
(四)法律、行政法规规定的其他情形。
自然人因个人或者家庭事务开展数据处理活动,不适用本条例。
第七十二条 在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
解读
《条例》的域内效力很明确,适用于在中华人民共和国境内利用网络开展数据处理活动,以及网络数据安全的监督管理。
但如何理解条例适用于境外的活动呢?在法学领域,“域外效力”“域外适用”“域外管辖”“长臂管辖”有着不同的内涵,本文不作阐述。但通俗讲,在数据立法的问题上,以欧盟《通用数据保护条例》(GDPR)为典型,国际上多支持将本国/本地区数据法的适用范围延伸至国外/境外,目的是尽最大可能保护本国/地区公民权益。
一、GDPR的规定
GDPR规定,欧盟境内控制者或处理者的营业机构在开展活动时进行的个人数据处理,无论处理是否发生在欧盟境内,都适用GDPR。即,欧盟机构在境外的活动要适用GDPR。
不仅如此,非欧盟机构在境外的活动,如果涉及欧盟公民,也要适用GDPR。为此,GDPR规定:
欧盟境外控制者或处理者对欧盟境内数据主体的个人数据进行处理时,若处理与以下事项相关,本条例适用:
(a)向欧盟境内数据主体提供商品或服务,无论数据主体是否需要付费;或
(b)当数据主体的行为发生在欧盟境内,并对数据主体行为进行监控。
二、我国《个人信息保护法》和《数据安全法》的规定
我国《个人信息保护法》借鉴了GDPR,在第二条规定如下:
在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:
(一)以向境内自然人提供产品或者服务为目的;
(二)分析、评估境内自然人的行为;
(三)法律、行政法规规定的其他情形。
可知,我国《个人信息保护法》的上述规定是符合国际惯例的。
我国《数据安全法》第二条指出:
在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
考虑到网络是跨国界的,发生在境外的网络行为可以直接影响我国国家安全、公共利益或境内公民、组织的权益,故我国《数据安全法》的上述规定有科学依据,也与GDPR的立法思路相一致。
此外,无论是《个人信息保护法》还是《数据安全法》的域外法律适用规定,实际上早在2017年6月1日实施的《网络安全法》中,已有类似表述,原理相同。
我国《网络安全法》第五条规定:
国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。
第七十五条规定:
境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任;国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。
三、《条例》对法律域外适用范围的处理
域外适用问题十分严肃,在这个问题上,《条例》不能突破上位法的规定。为此,《条例》作为执行《个人信息保护法》和《数据安全法》有关规定的一部行政法规,沿袭了上位法的域外适用范围。
即,《条例》首先照搬《个人信息保护法》对域外适用范围所作的规定。但考虑到《条例》不仅仅规范个人信息的处理,还包括其他数据,特别是要保护重要数据,为此删除了《个人信息保护法》“以向境内自然人提供产品或者服务为目的”中的“自然人”,并将《个人信息保护法》中“分析、评估境内自然人的行为”修改为“分析、评估境内个人、组织的行为”。此外,还增加了“涉及境内重要数据处理”。
但如果将《数据安全法》对域外适用范围的规定同上述修改放到一起,会有重复规定之感。且《数据安全法》的域外适用范围比较抽象和原则,实际上是对法律责任的规定。为此,《条例》照搬了《数据安全法》的上述规定,并将其置于第八章“法律责任”的第七十二条。
应该说,以上处理很妥帖地解决了《条例》的域外适用范围问题。
对应条款
第二条在中华人民共和国境内利用网络开展数据处理活动,以及网络数据安全的监督管理,适用本条例。
在中华人民共和国境外处理中华人民共和国境内个人和组织数据的活动,有下列情形之一的,适用本条例:
(一)以向境内提供产品或者服务为目的;
(二)分析、评估境内个人、组织的行为;
(三)涉及境内重要数据处理;
(四)法律、行政法规规定的其他情形。
自然人因个人或者家庭事务开展数据处理活动,不适用本条例。
解读
《条例》实际上有两种不适用情况。
一是不适用于非电子形式的数据,这是通过在第九章“附则”中对“网络数据”作定义而解决的。“附则”明确,网络数据(简称数据)是指任何以电子方式对信息的记录。
二是不适用于自然人因个人或者家庭事务开展数据处理活动。这是《条例》第二条第三款明确规定的。
为什么要作这样一个例外规定呢?
从立法原则上讲,《个人信息保护法》已经在第七十二条规定“自然人因个人或者家庭事务处理个人信息的,不适用本法”,《条例》自然应该与其保持一致。当然《条例》还涉及对数据处理活动的规范,故将“处理个人信息”修改为“处理数据”。考虑到个人或者家庭事务中一般不会涉及重要数据,故以上的处理不会影响对重要数据的保护。
从技术原理上讲,自然人因个人或者家庭事务开展数据处理活动,往往是主动且知情的,当然已经符合了个人信息保护规则的“知情、同意”原则。例如,个人购买机票、打电话、家庭成员之间交流,这显然是个人的主动意愿,再去通过法律对这些活动提出合规要求毫无必要。特别是在跨境情况下,如果个人打个国际长途电话都要履行一系列的繁琐合规程序,那完全无法容忍,实际上也是荒谬的。
从实践效果上讲,这是为了减少一些不必要的法律义务。自然人因个人或者家庭事务开展数据处理活动,往往没那么敏感,如果要遵循法律法规对个人信息保护的要求,会带来过高的社会成本,不利于个人或家庭正常事务的开展。
从国际惯例上讲,这与GDPR是一致的。GDPR规定,其不适用于自然人进行的纯粹个人或家庭活动。
需要指出,《条例》所作的上述例外规定,对于提高个人信息跨境管理效率、减轻个人出国出境负担也是十分必要的。
相关文章:
数安条例百问15、16、17、18、19:关于数据处理者安全保护义务
