數安條例百問5、6:關于《條例》的適用范圍
小貝案語
11月14日,國家互聯網信息辦公布了《網絡數據安全管理條例(征求意見稿)》。為此,小貝說安全設立《網絡數據安全管理條例(征求意見稿)》(后文簡稱《條例》)解讀專欄,以百問百答的形式對《條例》進行系列解讀。
需要指出,這些解讀只是專家個人觀點,不代表官方意見;且這些解讀針對的是征求意見稿,未來條文本身可能會發生變化,不排除會有新增和刪除。
對應條款
第二條 在中華人民共和國境內利用網絡開展數據處理活動,以及網絡數據安全的監督管理,適用本條例。
在中華人民共和國境外處理中華人民共和國境內個人和組織數據的活動,有下列情形之一的,適用本條例:
(一)以向境內提供產品或者服務為目的;
(二)分析、評估境內個人、組織的行為;
(三)涉及境內重要數據處理;
(四)法律、行政法規規定的其他情形。
自然人因個人或者家庭事務開展數據處理活動,不適用本條例。
第七十二條 在中華人民共和國境外開展數據處理活動,損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的,依法追究法律責任。
解讀
《條例》的域內效力很明確,適用于在中華人民共和國境內利用網絡開展數據處理活動,以及網絡數據安全的監督管理。
但如何理解條例適用于境外的活動呢?在法學領域,“域外效力”“域外適用”“域外管轄”“長臂管轄”有著不同的內涵,本文不作闡述。但通俗講,在數據立法的問題上,以歐盟《通用數據保護條例》(GDPR)為典型,國際上多支持將本國/本地區數據法的適用范圍延伸至國外/境外,目的是盡最大可能保護本國/地區公民權益。
一、GDPR的規定
GDPR規定,歐盟境內控制者或處理者的營業機構在開展活動時進行的個人數據處理,無論處理是否發生在歐盟境內,都適用GDPR。即,歐盟機構在境外的活動要適用GDPR。
不僅如此,非歐盟機構在境外的活動,如果涉及歐盟公民,也要適用GDPR。為此,GDPR規定:
歐盟境外控制者或處理者對歐盟境內數據主體的個人數據進行處理時,若處理與以下事項相關,本條例適用:
(a)向歐盟境內數據主體提供商品或服務,無論數據主體是否需要付費;或
(b)當數據主體的行為發生在歐盟境內,并對數據主體行為進行監控。
二、我國《個人信息保護法》和《數據安全法》的規定
我國《個人信息保護法》借鑒了GDPR,在第二條規定如下:
在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動,有下列情形之一的,也適用本法:
(一)以向境內自然人提供產品或者服務為目的;
(二)分析、評估境內自然人的行為;
(三)法律、行政法規規定的其他情形。
可知,我國《個人信息保護法》的上述規定是符合國際慣例的。
我國《數據安全法》第二條指出:
在中華人民共和國境外開展數據處理活動,損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的,依法追究法律責任。
考慮到網絡是跨國界的,發生在境外的網絡行為可以直接影響我國國家安全、公共利益或境內公民、組織的權益,故我國《數據安全法》的上述規定有科學依據,也與GDPR的立法思路相一致。
此外,無論是《個人信息保護法》還是《數據安全法》的域外法律適用規定,實際上早在2017年6月1日實施的《網絡安全法》中,已有類似表述,原理相同。
我國《網絡安全法》第五條規定:
國家采取措施,監測、防御、處置來源于中華人民共和國境內外的網絡安全風險和威脅,保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞,依法懲治網絡違法犯罪活動,維護網絡空間安全和秩序。
第七十五條規定:
境外的機構、組織、個人從事攻擊、侵入、干擾、破壞等危害中華人民共和國的關鍵信息基礎設施的活動,造成嚴重后果的,依法追究法律責任;國務院公安部門和有關部門并可以決定對該機構、組織、個人采取凍結財產或者其他必要的制裁措施。
三、《條例》對法律域外適用范圍的處理
域外適用問題十分嚴肅,在這個問題上,《條例》不能突破上位法的規定。為此,《條例》作為執行《個人信息保護法》和《數據安全法》有關規定的一部行政法規,沿襲了上位法的域外適用范圍。
即,《條例》首先照搬《個人信息保護法》對域外適用范圍所作的規定。但考慮到《條例》不僅僅規范個人信息的處理,還包括其他數據,特別是要保護重要數據,為此刪除了《個人信息保護法》“以向境內自然人提供產品或者服務為目的”中的“自然人”,并將《個人信息保護法》中“分析、評估境內自然人的行為”修改為“分析、評估境內個人、組織的行為”。此外,還增加了“涉及境內重要數據處理”。
但如果將《數據安全法》對域外適用范圍的規定同上述修改放到一起,會有重復規定之感。且《數據安全法》的域外適用范圍比較抽象和原則,實際上是對法律責任的規定。為此,《條例》照搬了《數據安全法》的上述規定,并將其置于第八章“法律責任”的第七十二條。
應該說,以上處理很妥帖地解決了《條例》的域外適用范圍問題。
對應條款
第二條在中華人民共和國境內利用網絡開展數據處理活動,以及網絡數據安全的監督管理,適用本條例。
在中華人民共和國境外處理中華人民共和國境內個人和組織數據的活動,有下列情形之一的,適用本條例:
(一)以向境內提供產品或者服務為目的;
(二)分析、評估境內個人、組織的行為;
(三)涉及境內重要數據處理;
(四)法律、行政法規規定的其他情形。
自然人因個人或者家庭事務開展數據處理活動,不適用本條例。
解讀
《條例》實際上有兩種不適用情況。
一是不適用于非電子形式的數據,這是通過在第九章“附則”中對“網絡數據”作定義而解決的。“附則”明確,網絡數據(簡稱數據)是指任何以電子方式對信息的記錄。
二是不適用于自然人因個人或者家庭事務開展數據處理活動。這是《條例》第二條第三款明確規定的。
為什么要作這樣一個例外規定呢?
從立法原則上講,《個人信息保護法》已經在第七十二條規定“自然人因個人或者家庭事務處理個人信息的,不適用本法”,《條例》自然應該與其保持一致。當然《條例》還涉及對數據處理活動的規范,故將“處理個人信息”修改為“處理數據”。考慮到個人或者家庭事務中一般不會涉及重要數據,故以上的處理不會影響對重要數據的保護。
從技術原理上講,自然人因個人或者家庭事務開展數據處理活動,往往是主動且知情的,當然已經符合了個人信息保護規則的“知情、同意”原則。例如,個人購買機票、打電話、家庭成員之間交流,這顯然是個人的主動意愿,再去通過法律對這些活動提出合規要求毫無必要。特別是在跨境情況下,如果個人打個國際長途電話都要履行一系列的繁瑣合規程序,那完全無法容忍,實際上也是荒謬的。
從實踐效果上講,這是為了減少一些不必要的法律義務。自然人因個人或者家庭事務開展數據處理活動,往往沒那么敏感,如果要遵循法律法規對個人信息保護的要求,會帶來過高的社會成本,不利于個人或家庭正常事務的開展。
從國際慣例上講,這與GDPR是一致的。GDPR規定,其不適用于自然人進行的純粹個人或家庭活動。
需要指出,《條例》所作的上述例外規定,對于提高個人信息跨境管理效率、減輕個人出國出境負擔也是十分必要的。
相關文章:
數安條例百問15、16、17、18、19:關于數據處理者安全保護義務
