十国/地区数据保护法十大合规要点对比 | #1 法律适用范围与域外适用效力

Original 王捷资深出海法律顾问出海互联网法律观察

2024-08-25

必读收藏

十国/地区个人信息保护法十大合规要点大比对

摘要：

《中华人民共和国个人信息保护法》（以下简称《个保法》）已于2021年8月20日横空出世，并将于11月1日正式生效。作为中国第一部法典化的个人信息保护法，个保法不仅从内容上借鉴和吸收了先进海外地区的立法经验，以及包括《民法典》、《个人信息安全规范》、《网络安全法》、《电子商务法》，《数据安全法》等在内的涉及个人信息保护方面的有益内容，也从个人信息处理规则、个人信息跨境提供规则、个人信息主体权利、个人信息处理者的义务、以及个人信息保护和合规义务等具体方面，为个人信息主体的权益提供了全面的保障。

总体上来说，个保法的出台，正式宣告网络安全与数据合规三驾马车（《网络安全法》、《数据安全法》、《个人信息保护法》）的诞生，并确立了我国个人信息保护的法治架构与体系，体现出我国高度重视个人信息保护与治理的决心与态度。

笔者专注于互联网法律服务与合规工作，特别是全球数据与个人信息合规保护领域，一直特别关注海外数据隐私保护立法的动态与发展。

本文旨在通过将我国个保法与海外九大主要地区的个人信息保护法案，从十个维度进行横向对比，以帮助出海互联网企业及大量接触个人信息的相关岗位人员更好地了解各国/地区在数据保护方面的异同点，以及主要合规要点。

鉴于篇幅有限，笔者仅将主要比对维度按版块以要点的方式进行扼要列示，并期待个人信息保护同行专家朋友们的宝贵建议与指导。

本篇是第一部分内容，主要从各国/地区的个人信息保护法在法律适用范围及其是否具有域外适用效力方面进行解读与对比。

第一部分：法律适用范围与域外适用效力

法律适用范围，主要是指某一法律所具有或者赋予的约束力，以及其所适用的范围广度与深度，一般包括时间适用效力（开始生效和终止生效时间）、空间效力（生效的地域范围）、以及对人的效力（对哪些人员生效）。而对于个人信息保护法律而言，一般会关注地域适用范围、个人适用范围以及个人信息资料本身的适用范围。

（一）我国个保法解读：

《个保法》在第一章“总则”中就本法的适用范围进行了明确的规定。

首先，其明确规定过了“在中华人民共和国境内处理自然人个人信息的活动，适用本法”。可见，我国个保法采取了“属地原则”，明确了其适用范围之一针对的是“处理中国境内自然人信息的活动”，本法适用的个人信息主体，是指在中国境内的自然人个人，而无论该自然人是中国人还是外国人。换言之，即便是外国人主体，当其是在中国境内产生了个人数据，且被中国境内的组织、个人进行了个人信息的处理行为，则将会落入我国个保法的管辖和保护范围内。

举例说明

一款主要为境内用户提供购物服务的国内电商类App，在其服务过程中，收集了某位身处中国境内的外国人主体的个人信息时，则该电商类App在中国境内处理该等外国个人主体的个人信息时，需要遵守我国个保法的规定。而至于该电商类App对外国人主体个人信息的处理行为，是否还会落入该外国人所属国家或其他第三方国家/地区的个人信息保护法的适用范围，或海外地区的法律是否对本场景下的个人信息处理活动享有管辖权，则还需结合该海外地区的数据保护法案的适用范围进行分析（我们将在下文的图表对比中提供判断思路）。

其次，我国个保法明确了它也是具有域外适用效力的，体现在第三条第二款的规定：“在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法：

（一）以向境内自然人提供产品或者服务为目的；

（二）分析、评估境内自然人的行为；

（三）法律、行政法规规定的其他情形。”

可见，我国个保法借鉴了欧盟GDPR，明确了其具有必要的域外适用效力，规定了当向境内自然人提供产品或服务，或分析、评估境内自然人的行为亦适用个保法的规定。

回到刚才的例子，假如该电商类App在新加坡部署了数据中心，并在新加坡（中国境外）处理该外国人的数据，鉴于该App是以向中国境内自然人提供服务的，且该外国人亦身处中国境内，因此仍然落入我国个保法的适用范围，需要遵守我国数据保护法律法规的相关要求。

特别需要注意的是，对于境外的个人信息处理者，我国个保法明确要求了应当在中国境内设立专门机构或者指定代表，负责处理个人信息保护相关事务，并将有关机构或者代表的信息报送履行个人信息保护职责的部门。

但对比于欧盟GDPR的地域适用范围，我国个保法的规定还是有细微的区别。

欧盟GDPR是由“稳定的安排/组织设立机构（establishment）”，以及“服务目标/开展业务过程中（in the context of the activities）”两个标准共同确立的，而我国个保法的地域适用范围则是由“处理行为发生地”和“服务目标”确定的。这里的异同体现在“稳定的安排/组织设立机构（establishment）”与“在境内进行处理”，是不一样的。根据我国个保法的要求，只要处理自然人个人信息的活动发生在我国境内，或者以向我国境内自然人提供产品或者服务为目的，就会被纳入个保法的管辖，而不管是否需要在我国境内具有稳定的安排或设有机构（establishment）。

当然，我国个保法亦明确了其不适用的情形，包括：

（1）自然人因个人或者家庭事务而处理个人信息的，不适用本法。

（2）法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的，适用其规定。”

（二）海外主要个人信息保护法律对比：

总体来说

《个保法》在适用范围上借鉴了欧盟GDPR的相关规定，纵观上表其他国家/地区的数据保护法律的管辖范围，不难看出，在全球范围内扩大本国/本地区的数据保护法律的域外效力已成为立法趋势。企业在出海业务发展过程中，特别是当企业涉及处理海外主体的个人信息时，应特别关注是其个人信息处理行为，是否会落入该国或地区的个人信息保护法案管辖范围，以进一步确认是否遵守以及该如何遵守该国或地区的数据保护法律及与此相关的法律规定。

作者介绍

王捷

执业律师，垦丁W&W国际法律团队创始人，联合国世界丝绸之路委员会专家，广东省法学会信息通讯法学研究会理事，荷兰RuG国际经济法与商法硕士，专注于网络法领域的研究和实务，特别是互联网产品合规、出海合规以及全球数据保护与个人信息保护合规，已为多家知名互联网公司及大中型外资企业提供专业法律服务，覆盖智能终端制造、IOT、人工智能、云计算与服务、社交网络平台、移动互联网、电子商务及平台、短视频视听直播、网络游戏、以及个人信息保护、数据安全等行业领域。

王捷律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作，拥有10年的科技型公司实务经验与中外律所从业背景，深耕海内外多条业务线。专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。她能更准确理解客户核心需求，快速响应并提供基础到战略的有效支持，并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。

同时为出海互联网法律观察公众号主理人，合著《互联网全球数据合规法律观察报告》，并输出多篇专业互联网与数据合规文章，部分文章刊登于威科先行专业数据库中。

联系方式：

夏律

垦丁律师事务所W&W国际法律团队律师助理。

协助全球数据合规资讯周刊编写，追踪各国数据合规执法状况。

近期更新：

大数据杀熟-互联网法律人的周末私享会

佛罗里达州众议院通过了《佛罗里达隐私保护法》

爱尔兰数据保护委员会：Facebook5.33亿用户数据泄露

欧盟委员会提出AI专门立法提案

爱尔兰DPC称Facebook发生5.33亿用户数据泄露

欧委会与韩国发表数据流通联合声明