[2] 《数据安全法》第二条规定:在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。[3] 《个人信息保护法》第三条规定:在中华人民共和国境内处理自然人个人信息的活动,适用本法。
在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一)以向境内自然人提供产品或者服务为目的;(二)分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形。
[4] 根据该指南第8页所提及的示例2,一家由中国公司运营的电商网站,所有个人信息处理的活动限于中国境内,该公司在柏林设立了其欧洲办公室,目的在于领导实施对于欧盟市场的商业开发及市场营销活动。指南明确指出,在此情况下,可以认为驻柏林的欧洲办公室的活动与中国电子商务网站对个人数据的处理活动密不可分。因为针对欧盟市场的商业开发和市场营销活动明显有助于使电子商务网站提供的服务盈利。中国公司处理与欧盟销售相关的个人数据,确实与柏林欧洲办事处针对欧盟市场的商业前景和营销活动有着千丝万缕的联系。因此,中国公司对与欧盟销售相关的个人数据的处理,可以被视为通过其欧洲办事处活动进行的,在欧盟境内存在机构。因此,中国公司的这一加工活动将受GDPR第3(1)条规定的约束。
https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_en,P8,最后访问时间2021年9月5日。
[5]http://uscode.house.gov/view.xhtml?path=/prelim@title18&edition=prelim#PARTI_4_target,最后访问时间2021年9月5日,引述自《美国法典》第18条,在其第2510款中,规定“任何在州际或国际之间通过电线、无线电、电磁、光电子或光学系统中,全部或部分传输任何性质的符号、信号、文字、图像、声音、数据或情报的服务商都属于电子通信服务商的范围”;在其第2711款中,则规定“远程计算服务提供商为通过电子通信系统向公众提供计算机存储或处理服务的服务商”。
尽管 CLOUD Act的条文本身并未明确规定其法律主体是否包括境外服务提供商,但是参考上述对于“电子通信服务服务提供商”及“远程计算服务提供商”的定义,可以将境外服务商划入主体范围之内,为 CLOUD Act 的境外适用预留了灵活解释空间,具有延及我国境内主体的可能性。
[6] 刘天骄. 数据主权与长臂管辖的理论分野与实践冲突[J]. 环球法律评论,42(2):13.
(3)礼让分析———为依据第(2)(B)(ii)款作出决定,法院须酌情考虑———
(A)美国利益,包括寻求披露的政府实体的调查利益;
(B)适格外国政府防止任何违禁披露的利益;
(C)由于服务者未满足法律要求,对服务者及其雇员的处罚的可能性、程度和性质;
(D)被获取通信内容的用户或客户的位置和国籍(若能知晓),以及用户或客户与美国发生关联的性质和程度,或若依据第3512节规定为外国行政机构利益而启动法律程序时,用户或客户与外国行政机构所在国发生关联的性质和程度;
(E)提供者与美国的联系及存在的性质和程度;
(F)调查所需披露的信息的重要性;
(G)通过产生更小严重消极后果的手段,实现及时有效地获取所需披露的信息的可能性;以及
(H)提出协助请求的外国执法机构的调查权益,若根据第3512节为外国行政机构的利益而启动法律程序。
[8] 《一般数据保护条例》第33条向监管机构报告对个人数据的泄露规定:
1.在个人数据泄露的情形中,如果可行,控制者在知悉后应当及时——至迟在72小时内——将个人数据泄露告知第55条所规定的有权监管机构,除非个人数据泄露对于自然人的权利与自由不太可能会带来风险。对于不能在72小时以内告知监管机构的情形,应当提供延迟告知的原因。
2.处理者在获知个人数据泄露后,应当及时告知控制者。
3.第1段所规定的告知应当至少包括:
(a)描述个人数据泄露的性质,在可能的情形下,描述包括相关数据主体的类型和大致数量,以及涉及到个人数据的类型与大致数量;
(b)告知数据保护官的姓名与详细联系方式,或者可以获取更多信息的其他联系方式;
(c)描述个人数据泄露的可能后果;
(d)描述控制者应对个人数据泄露已经采用或计划采用的措施,包括——如果合适的话——减少负面影响的措施。
……
[9]https://ico.org.uk/media/action-weve-taken/2618609/ticketmaster-uk-limited-mpn.pdf,最后访问时间2021年9月5日:2018年6月23日英国在线票务商Ticketmaster报告称,Ticketmaster的外部第三方供应商Inbenta Technologies托管的一款客户支持产品上存在恶意软件。ICO在收到该公司报告后,发起了相关调查,并在往来信件中多次要求公司为其进一步调查提供更多信息。
1.每个监管机构都具有所有如下调查权力:
(a)要求控制者和处理者,以及——在适合的情形下——控制者或处理者的代表提供履行其任务所需要的所有信息;
(b)以数据保护核查的方式进行调查;
……
(e)从控制者或处理者那里获取访问个人数据的权力,以及为了行使其任务而所需的所有信息;
(f)按照欧盟与成员国法律的程序法,获取对控制者和处理者的所有房屋建筑及场地,包括数据处理设施和方法的访问权。
[11]https://www.apple.com/legal/internet-services/icloud/cn_si/gcbd-terms.html,最后访问时间2021年9月5日[12]https://d18rn0p25nwr6d.cloudfront.net/CIK-0001764757/6aeb113a-2c08-4163-86c7-922fda5a30ea.pdf,最后访问时间2021年9月5日[13] 《个人信息保护及隐私政策》2021年7月8日版本—滴滴出行APP[14] 《汽车数据安全管理若干规定(试行)》第三条规定:本规定所称汽车数据,包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据。……
重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据,包括:
(一)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;
(二)车辆流量、物流等反映经济运行情况的数据;
(三)汽车充电网的运行数据;
(四)包含人脸信息、车牌信息等的车外视频、图像数据;
(五)涉及个人信息主体超过10万人的个人信息;
(六)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。
[15] 《中华人民共和国网络安全法》第三十七条规定:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。[16] 《汽车数据安全管理若干规定(试行)》第十一条规定:重要数据应当依法在境内存储,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估。未列入重要数据的涉及个人信息数据的出境安全管理,适用法律、行政法规的有关规定。我国缔结或者参加的国际条约、协定有不同规定的,适用该国际条约、协定,但我国声明保留的条款除外。[17] 《个人信息保护法》第第四十条规定:关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。[18] 《个人信息保护法》第三十八条 规定:个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。
个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
[19]《数据安全法》第三十八条国家机关为履行法定职责的需要收集使用数据,应当在其履行法定职责的范围内依照法律行政法规规定的条件和程序进行;对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。
第四十三条法律法规授权的具有管理公共事务职能的组织为履行法定职责开展数据处理活动,适用本章规定。
公共数据定义暂可参考《深圳经济特区数据条例》第一章(五)公共数据是指公共管理和服务机构在依法履行公共管理职责或者提供公共服务过程中产生、处理的数据。
打印本文章
