境外个人信息处理者直接处理境内个人信息的法律问题｜MHP君悦评论

互联网的广泛发展及普及使很多人从中受益，而跨境电子商务尤其是跨境B2C（企业对个人）、跨境C2C（个人对个人）日益活跃。在上述过程中，境内个人的信息资料会主动、被动或通过其他方式直接传输到境外，以完成跨境电子商务交易。作为收集中国境内个人信息资料的境外主体，这些企业和个人面临中国《个人信息保护法》等法律法规的规制。

1、《个人信息保护法》的适用

《个人信息保护法》原则上适用于在中国境内（不包括港澳台地区）处理个人信息。“处理”则包括收集、存储、使用、加工、传输、提供、公开、删除等方式。而境外企业和个人从中国境内收集个人信息并在中国境外存储、使用等的行为仍然适用《个人信息保护法》，前提是其符合以下情形之一：（1）以向境内自然人提供产品或者服务为目的；（2）分析、评估境内自然人的行为；或（3）法律、法规规定的其他情形。该要求与欧盟《通用数据保护条例（GDPR）》下的域外效力规定一致，即《个人信息保护法》不仅关注地域范围内的个人信息保护，亦关注地域范围外但涉及地域内个人信息的保护。

所以，当境外企业和个人为跨境货物贸易或服务贸易目的收集境内个人信息，其符合适用法律下“个人信息处理者”的定义，并应遵守《个人信息保护法》对个人信息处理者的管制要求。典型的境外个人处理者包括了主体设立在中国境外（包括港澳台地区）的跨境电商平台及平台上的中国境外（包括港澳台地区）的卖家等。

一般而言，跨国公司根据公司内控制度或要求，为人员管理、调配、招聘等目的从中国境内个人处直接收集并以其他方式处理个人信息的行为不属于“境外个人信息处理者处理中国境内个人信息”的范畴，如果其收集及处理这些个人信息的目的不是为了向个人信息主体提供产品或服务或分析、评估这些个人的行为。

2、《个人信息保护法》的要求

若境外个人信息处理者确认适用《个人信息保护法》，除法律对一般“个人信息处理者”的相关要求外，其还应特别符合适用法律对境外个人信息处理者的相关要求。

（1）设立境内专门机构或指定代表

适用法律要求境外个人信息处理者应当在中国境内（不包括港澳台地区）设立专门机构（企业）或者指定代表（个人）。该专门机构及指定代表应负责处理个人信息保护的相关事务。境外个人信息处理者则有义务将机构或代表的名称或姓名、联系方式等报送给相关政府部门。

一般而言，境外个人信息处理者可以在中国境内设立子公司并将子公司作为“专门机构”负责从事个人信息保护的相关事务。但目前不得而知的是，设立子公司或指定其成为上述“专门机构”是否需要经过恰当程序。目前法律仅规定了境外个人信息处理者的“报备”义务，而如何报备、更换专门机构或撤销专门机构的程序有待立法机关和主管部门的进一步澄清。

值得注意的是，该“专门机构”有“代表境外个人信息处理者”处理个人信息保护相关事务的法定义务。该义务是否要求境外个人信息处理者必须通过“专门机构”收集（而不得直接收集）中国境内的个人信息尚不明晰。如果该“专门机构”并未被要求直接参与境外个人信息处理者收集并以其他方式处理从中国境内收集到的个人信息的任何过程，则很可能只在发生个人信息安全事件等特殊情况下，该“专门机构”才会以“救火队员”的身份面对政府部门的调查及信息主体的维权。至于该“专门机构”处理个人保护相关事务的具体内容以及其应履行的职责细节，以及如何避免“专门机构”成为“皮包公司”，也有待政府部门在实践中予以明确。

（2）境外个人信息处理者收集个人信息的前提要求

在向中国境外提供个人信息时，个人信息处理者应当完成个人信息保护认证（如网络安全等级保护等）及数据出境安全评估等前置要求。2021年10月发布的《数据出境安全评估办法（征求意见稿）》意在规范数据处理者（即《个人信息保护法》下的个人信息处理者）向境外（包括港澳台地区）提供其在中国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息时，开展安全评估的相关法律要求。

有观点认为该征求意见稿意在规范向境外提供（包括跨境访问）在中国境内运营中收集和产生的重要数据和个人信息，故其不适用境外实体直接向中国境内的个人收集个人信息的情形。但是，我们认为无论从立法本意还是从立法语言来看，境外个人信息处理者直接向中国境内的个人收集个人信息的行为，仍然应该受制于相关安全评估的要求。否则，这将成为逃避中国合规监管的明显漏洞。而需要商榷的问题是，安全评估的主体，特别是涉及向政府部门申报数据出境安全评估时的申报主体，是境外个人信息处理者本身还是必须在设立或指定上述“专门机构”/“代表”后以“专门机构”/“代表”名义开展。

3、未来展望

虽然存在一些细节及操作上的不确定性，但是境外个人信息处理者直接处理境内个人信息应遵守《个人信息保护法》及相关法规和指引的要求，在个人信息出境前、出境后履行相关义务。我们预计政府部门可能会出台与GDPR域外效力指引相类似的指导文件，进一步规范境外个人信息处理者的行为。在相关细节和操作要求明确前，境外个人信息处理者应做好积极准备，特别是准备好相关措施以应对突发的个人信息安全事件及政府核查。待相关细节和操作要求明确后，境外个人信息处理者应及时更新、修订相关内部政策、流程及文件以呼应适用法律的更新及变化。