备受重视的《中华人民共和国个人信息维护法》(征求意见稿)(下称《草案》)于2020年10月21日发布。未来一旦正式经过，个人信息维护法将与网络安全法(已收效)和数据安全法(没有经过)成为构建我国数据主权、数据安全、网络安全和个人信息维护法令结构的三个重要支柱，并对我国数字经济格式、个人信息维护、企业数据合规实践等产生严重且深远影响。

  《草案》中许多条款与欧盟《通用数据维护法令》(General Data Protection Regulation, 简称“GDPR”)类似，其间也包含关于域外效能的若干条款。

  粗看之下，《草案》有关域外效能的条款确有学习GDPR之处。但假如细心比较GDPR第三条与《草案》第三条的遣词，依然存在一些重要的差异，境外数据控制者和处理者特别需求留意。

  关于GDPR的域外效能问题，已有许多评论。GDPR的地域适用规模由两个规范一起建立，即“经营场所所在地规范(Establishment Criterion)”和“方针指向规范(Targeting Criterion)”。如某一公司契合这两个规范之一，GDPR就将适用于该公司。《草案》下也存在两种规范，即 “处理行为产生地规范(Processing Activity Criterion)”和“方针指向规范(Purpose Criterion)”。

  GDPR “经营场所所在地规范”和《草案》“处理行为产生地规范” 的相关规则详见上表：

  与GDPR不同的是，依照《草案》的规则，即使数据控制者或处理者在我国境内并未建立“经营场所”，但只需其处理个人信息的行为在我国境内产生(《草案》第三条第二款规则的境外处理活动在外)，《草案》依然适用。

  (a)若某一境外数据控制者或处理者在我国境内处理境外客户个人信息，即使它在我国没有经营场所，《草案》对其依旧适用;

  (b)若某一境外数据控制者或处理者在我国境外处理境内客户个人信息(第三条第二款规则的境外处理活动在外)，即使它在我国设有经营场所，《草案》对其也不适用。

  因为GDPR的 “经营场所所在地规范” 和《草案》的 “处理行为产生地规范” 着眼点不同，很难判别《草案》的适用规模究竟是比GDPR更宽或是更窄。但如站在《草案》的视点来看，值得考虑的是：上述(a)和(b)下的两种景象是否会导致《草案》适用呈现缝隙或呈现境外控制者/处理者有意躲避《草案》适用状况的产生?

  欧盟数据维护委员会(EDPB)在《GDRP适用地域攻略3/2018》(Guidelines 3/2018 on the territorial scope of the GDPR)(“《攻略》”)中明晰指出，GDPR的“方针指向规范”首要重视某个特定的“数据处理活动”是否与数据主体“相关”。虽然“相关”一词较为笼统且广泛，但GDPR的序文、EDPB攻略和欧洲法院的相关判例都有助于将此规范进行限缩。

  “向欧盟境内的数据主体供给产品或服务”(GDPR) VS“向境内自然人供给产品或许服务”(《草案》)

  要承认数据控制者或数据处理者的“数据处理活动是否与向欧盟境内的数据主体供给产品或服务有关”，GDPR序文第23条指出：“应明晰企业是否显着(apparently)想象(envisage)到要向欧盟境内的数据主体供给产品或服务。”换句话说，境外数据控制者/数据处理者是否向欧盟境内的数据主体供给了产品或服务的实践成果不是判别GDPR能否适用的决议性要素。相反，境外数据控制者或处理者是否存在将其产品或服务供给给欧盟境内数据主体的显着期望(或方针)，才是触发GDPR本款适用规范的关键要素之一。

  比较之下，《草案》第三条第二款第(一)项规则，当“以向境内自然人供给产品或许服务为意图”时，《草案》也应得以适用。可是，关于本款好像存在两种了解，即：

  (a)境外数据控制者或处理者的意图是向我国境内的自然人供给产品或服务;或(b)境外处理活动的意图是向我国境内的自然人供给产品或服务。

  假如将《草案》第三条第二款第(一)项依照上述(a)段的意义来解说，它将起到与GDPR第三条第二款(a)项相同或十分类似的效果(即，境外数据控制者或处理者有显着的期望将其产品或服务供给给欧盟境内的数据主体，因而应适用GDPR)。

  可是，《草案》第三条第二款第(一)项的遣词好像更倾向上述(b)段的意义，即“意图”是指“境外处理活动”的意图，而不是指“境外处理者”的意图。如按此解说，只需某一境外公司存在向我国境内自然人出售产品或服务的行为，并产生了处理这些自然人个人信息的境外处理活动，那么不管该境外公司是否有向我国境内自然人供给产品或服务的意图或期望，《草案》对其均适用。也就是说，向我国境内自然人供给产品或服务的实践成果将成为决议《草案》是否适用于境外数据控制者/处理者的决议性要素，而境外数据控制者或处理者自身的期望或方针并没有那么重要。

  因为《草案》尚在立法过程中，现在就得出结论说《草案》在此点上的适用规模要大于GDPR还为时过早。与“是否产生向境内自然人供给产品或服务”这一客观成果判别规范比较，很显然GDPR下探求境外数据控制者/处理者意图这一做法的适用规模更小，但后者在实践中的适用要更杂乱和难以驾御，这种方法论自身也备受批判(例如一篇文章批判说，这种需求判别境外控制者/处理者片面意图的做法简直是法官的噩梦)。

  “监控欧盟境内数据主体的行为”(GDPR) VS“剖析和评价我国境内自然人的活动”(《草案》)

  触发GDPR第三条第二款第二种类型的活动是境外控制者/处理者存在“监控数据主体的行为”，只需数据主体的行为产生在欧盟的疆域内。EDPB在《攻略》中指出，“监控”一词意味着控制者具有搜集个人数据并进行后续加工使用的意图。《攻略》还着重，不是任何在线搜集或剖析欧盟境内主体个人信息的行为都会主动认定为“监控”。需求归纳考虑数据控制者处理数据的意图，特别是触及该数据的后续使用的数据处理技能，如辨认剖析或行为剖析技能。

  《草案》第三条第二款第(二)项规则，《草案》还适用于“剖析和评价”我国境内自然人行为的境外处理活动。“剖析和评价”的意义十分广泛，好像能够包括GDPR规则的“监控活动”，并且还或许包括针对我国境内自然人的行为进行的全部调查、剖析、评价和研讨活动。

  依据《草案》第三条第二款第(三)项，若满意“法令和行政法规规则的其他景象”也能够触发《草案》的域外适用效能。 这一“其他景象”的兜底条款为我国未来的个人信息维护立法预留了空间，但也增加了《草案》域外效能规模的不确定性。

  本文根据《草案》的第一版而评论，《草案》后续征求意见稿和终究的成文稿或许对上述问题有更为明晰的规则。当然，在《草案》经往后，有关部门也有或许出台实施细则，期望能为本文所述问题供给较为明晰的指引。(作者杨洪泉系安杰律师业务所数据业务合伙人)(责编 吕斌)

  安杰律师业务所数据业务合伙人，有超越15年的公司内部法令顾问和外部律师的丰厚经历。他在监管、商事和公司等业务上为客户供给广泛的法令服务，尤为拿手技能、媒体和电信（TMT）、数据维护及网络安全、合规和劳作法令业务。