适用场景
所有在境外运营、但业务涉及处理中国境内自然人个人信息的出海企业,尤其是在境外设立实体、通过网站或APP向境内用户提供产品或服务,或分析评估境内用户行为的企业。
核心要点
1. 《个保法》的域外效力范围
根据《个人信息保护法》第三条,即使企业在境外处理中国境内自然人的个人信息,只要其活动是以向境内自然人提供产品或服务为目的,或涉及分析、评估境内自然人的行为,就同样适用该法。这意味着出海企业即使主体在海外,也可能需要履行《个保法》下的各项合规义务。
2. 如何判断是否“以向境内自然人提供产品或者服务为目的”
这是判断域外效力的关键。不能仅凭网站可访问或使用中文就简单认定,而应综合评估企业是否有“针对性”地指向中国境内用户。实务中可参考多项具体因素进行判断,例如是否提供简体中文界面、支持人民币支付、使用.cn域名、开展针对中国市场的营销活动等。
3. “分析、评估境内自然人行为”的界定
此情形与欧盟GDPR中的“监控”概念类似。主要指通过自动化决策等技术手段,分析、评估境内自然人的行为习惯、兴趣爱好、经济或信用状况等。其表现形式多样,并会随技术发展而变化,企业需对相关数据处理活动保持警惕。
4. 触发域外效力的严重后果
一旦被认定适用《个保法》,企业将面临全面的合规义务,包括但不限于制定隐私政策、获取个人同意、建立数据安全管理制度等,合规成本将显著增加。同时,还可能涉及数据出境安全评估、签订标准合同等复杂程序,并面临未合规带来的行政处罚风险。
实务建议
- 立即开展业务自查:使用提供的自查清单(如产品界面是否提及中国、是否提供中文版、是否支持人民币支付等),逐项评估业务是否可能触发《个保法》域外效力。
- 审视并调整对外材料:检查网站、APP、用户协议、隐私政策等,避免出现明确将中国境内用户作为目标服务对象的表述,除非已做好全面合规准备。
- 谨慎设计用户交互功能:避免专门提供仅限中国境内用户使用的注册方式(如+86手机号、中国身份证号验证)或物流配送服务。
- 寻求专业法律评估:由于判断标准复杂且无官方细则,建议在专业律师指导下,结合具体商业模式进行审慎的法律风险评估。
- 将《个保法》合规纳入出海整体规划:在业务设计初期就考虑数据合规问题,避免事后因合规调整而导致商业模式重大改变。
风险提示
- 误区:认为公司注册在海外就完全不受中国法律管辖。正解:《个保法》具有明确的域外效力条款,需根据业务实质判断。
- 误区:仅提供中文网站或可被中国用户访问就会触发适用。正解:关键在于是否有“针对性”或“目的性”,需综合多项因素判断,单一因素通常不够。
- 注意事项:对“境内自然人”的范围存在争议,可能不仅限于中国公民,也包括在中国境内的外国人,企业评估时应从宽考虑。
- 注意事项:一旦适用《个保法》,将同时触发数据出境合规要求,企业需提前规划由谁作为申报或签约主体。
- 注意事项:切勿因目前缺乏实施细则而心存侥幸,监管机构在执法时会进行实质性判断,合规风险始终存在。