中国式“长臂管辖”：个人信息保护法（草案）的域外效力

2020年10月13日至17日，《个人信息保护法（草案）》首次接受全国人大常委会审议。2020年10月21日，全国人大常委会公布了《个人信息保护法（草案）》全文并向社会公众征求意见。 
        自2009年《刑法修正案（七）》将“非法出售个人信息”的行为明确纳入刑法规制以来，历经《电信和互联网用户个人信息保护规定》《刑法修正案（九）》《网络安全法》《民法总则》以及《民法典（人格权编）》等多部法律法规的颁布或修订，我国个人信息保护法律制度已经初具规模，并最终形成本次集中性、全面性的个人信息保护专门立法。本文将着意聚焦本次草案中新增的“域外效力”相关规定，即《个人信息保护法（草案）》第三条： 
        “组织、个人在中华人民共和国境内处理自然人个人信息的活动，适用本法。” 
        “在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法：（一）以向境内自然人提供产品或者服务为目的；（二）为分析、评估境内自然人的行为；（三）法律、行政法规规定的其他情形。” 
        这一条款具有双重意义：从个人信息保护的角度出发，它扩大了个人信息保护法律的适用范围，将更有效地保护我国自然人的个人信息；而从中国政府执法的角度出发，它是中国探索法律域外适用的又一次尝试，中国正越来越自信地通过国内法参与到国际网络空间的治理之中。 
        一、纵向：我国个人信息保护法律的效力首次延展到境外主体在境外的行为，限制跨国企业的法律规避，全面保护我国自然人的个人信息 
        2013年9月生效的《电信和互联网用户个人信息保护规定》以部门规章的层级明确了个人信息的定义，并规定了个人信息收集和使用规范、安全保障措施、以及相应的监督检查和法律责任[1]。 
        该规定第二条明确：“在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动，适用本规定。”换言之，这一规定仅能适用于在境内提供服务的主体，而没有溯及境外的效力。 
        2017年6月，《网络安全法》生效，将个人信息保护的相关制度从部门规章层级提升到法律层级。但《网络安全法》仍然沿用了《电信和互联网用户个人信息保护规定》关于法律适用范围的规定。 
        《网络安全法》第二条规定：“在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。”同样，《网络安全法》没有赋予主管机关管理境外主体在境外的活动的效力。 
        我国《刑法》第二百五十三条之一规定了侵犯公民个人信息罪。除了属地管辖、属人管辖、普遍管辖之外，我国《刑法》第八条还规定了保护管辖权，即外国人在境外对中国或中国公民犯罪的，仍可能适用《刑法》追究其刑事责任，但前提条件是最低刑为三年以上，且按照犯罪地法律不受处罚的除外。 
        在互联网领域，境外企业只需要将其软件上传到应用商店或其他分发平台，即可对全球的用户提供商品或服务。在这一过程中，只要有中国用户使用，就势必会涉及对中国用户的个人信息的收集和处理。 
        此前的法律法规，不论是行政监管还是刑事处罚，对于境外企业在境外收集和处理中国自然人的个人信息均没有实现有效管辖。如果境外企业选择个人信息保护相对宽松的国家或地区开展业务，将可能规避我国主管机关的监管。 
        《个人信息保护法（草案）》突破了过去的法律法规的效力范围，将我国的行政执法权推广到境外主体在境外的特定行为，在我国个人信息保护领域尚属首次。 
        二、横向：立法精神与欧盟GDPR高度一致，类似法律制度可能逐渐成为国际通例，我国立法或将产生示范作用 
        在全国人大常委会对媒体的说明中，提及“借鉴有关国家和地区的做法，草案还赋予了必要的域外适用效力，以充分保护我国境内个人的权益”。而这里的“有关国家和地区”，最重要的无疑是欧盟。 
        2016年4月，欧洲议会颁布《一般数据保护条例》（General Data Protection Regulation，简称GDPR），并规定在两年的过渡期满后直接适用于欧盟全体成员国。GDPR对个人信息的收集和使用原则、自然人所享有的权利等事项作出了严格的规定。在适用范围方面，GDPR第三条规定了三种情形： 
        第一，如果数据控制者或处理者在欧盟境内存在设立机构（establishment），则欧盟境内的该设立机构以及设立它的境外主体都应受到GDPR的约束。 
        第二，如果数据控制者或处理者在欧盟境内不存在设立机构，如果其为欧盟境内的数据主体提供商品或者服务，或者处理行为涉及对数据主体在欧盟境内的行为的监控，则也应受到GDPR的约束。 
        第三，如果数据控制者在欧盟境内不存在设立机构，也不存在上述第二条的情形，但如果由于国际公法，该数据控制者所在地区适用欧盟成员国的法律，其数据处理行为也应适用GDPR。典型的例子如欧盟成员国的使馆或使馆内设立的数据控制者。 
        对比GDPR和《个人信息保护法（草案）》的适用范围，可以很明显地看出《个人信息保护法（草案）》的规定与GDPR第3条第2款非常类似。它们都超脱了传统的属地管辖或属人管辖的原则，而是以是否涉及境内自然人的个人信息为原则确定管辖范围。这种确定管辖的范围在欧盟法中也被称为效果原则。 
        随着欧盟、中国等世界主要国家和地区相继立法，以保障本国自然人的个人信息为原则，扩大个人信息保护法的域外效力，以效果原则来确定管辖的立法方式可能会成为世界通例。从这个角度讲，中国本次的个人信息保护法立法不仅是中国法律制度的创新，更可能在世界范围内产生示范作用。 
        三、展望：中国式“长臂管辖”涉及的领域越加多元，配套的国际私法制度更加完善，跨国企业需要做好充分的法律准备 
        “长臂管辖”是美国法下的术语，通常指立法、司法、或执法的域外管辖权。长臂管辖最初源于美国各州之间的管辖权冲突，此后美国频繁地通过长臂管辖权以美国国内法管制外国公司和个人。 
        在过去，中国的学术和实务界通常对长臂管辖权持严厉的批评态度。有学者直言美国的长臂管辖“经常违反美国承担的国际义务、侵犯其他国家的主权，毫不顾及国际礼让和国际法上的‘合理性’要求”[2]。外交部也曾在记者会上说明“美方根据国内法对他国实施单边制裁和所谓‘长臂管辖’，损害别国正当、合法权益，这是不得人心的。”[3] 
        但不论中国过去如何评价以美国为首的其他国家的长臂管辖制度，都难以阻止其他国家一再行使长臂管辖权。在这样的背景下，中国开始探索中国式的“长臂管辖”制度，通过为中国国内法赋予域外效力来保护中国的核心利益。 
        可以预见，除了近期的《香港维护国家安全法》[4]《出口管制法》[5]和《个人信息保护法（草案）》之外，未来会有越来越多的中国国内法具有域外效力。当然，为了避免违反国际法、侵犯他国主权的指责，中国式“长臂管辖”立法需要符合国际惯例，且具有实质的合理性。 
        与此同时，中国也开始探索国际制裁制度。《个人信息保护法（草案）》第四十二条、第四十三条专门规定了“限制或禁止个人信息提供清单”，以及对其他国家和地区的歧视性禁止、限制措施采取相应措施的制度。这些制度如何实践值得进一步的观察。 
        在中国更多地行使域外管辖权的情况下，中国法律与境外法律的冲突将变得更为常见，中国的国际私法制度也需要予以配套性的调整。近期最高人民法院以行为保全裁定的方式作出的禁诉令正是应对中外法律冲突的一个典型案例[6]。 
        对于跨国企业而言，中国法律将不仅仅是他们在中国的分支机构所需要考虑的问题，更将成为他们全球战略中的重要一环。无疑，这会给跨国公司的法律规划带来新的挑战。 
        文章摘自网络，若有侵权，请联系删除。