黄楚芳、应品广:从滴滴被罚案看《个人信息保护法》域外适用效力

文章来源:贸易谈判学院 作者: 发布时间:2022-08-16 浏览次数:107

在推进区域数字经济贸易的同时,应扫除中国参与国际数据治理时域外司法及执法中的障碍。

20227月,滴滴全球股份有限公司(在开曼群岛注册成立,于美国纽约证券交易所上市)被罚80.26亿元。这不仅是中国《个人信息保护法》颁布以来首次开出高额罚单,也是该法首次对境外主体发挥效用,追究境外实际控制主体在中国境内业务所负的法律责任。

中国《个人信息保护法》第三条规定,“以向境内自然人提供产品或者服务为目的”或者“分析、评估境内自然人的行为”,均适用该法。虽然上述域外适用规定在较大程度上借鉴了欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR),但尚未能如GDPR产生全球性的域外适用效力。

首先,中国与欧盟对个人数据的法律定位有较大差异。欧盟将个人数据权利公法化,视为“基本权利”,从公法角度施以强有力的行政监管。中国对个人信息的保护主要依赖私法体系,公权力对个人信息的保护介入程度有限。《民法典》第111条、第999条等条款确立了“个人信息”的法律定位,纳入人格权编,将个人信息作为一种“人格权权益”加以保护。

其次,虽然《个人信息保护法》第66条补充了新的行政责任形式,明确了高管等责任人员的行政责任,引入了“限制从业”,并将处罚标准提升至上一年度营业额的5%,但不同于欧盟,中国未设立专门的数据监管机构。现行监管体系中,国家互联网信息办公室的职责主要是落实互联网信息传播方针政策、互联网信息内容管理、查处违法网站等,通常情况下,仍由市场监督管理、证券监督管理等部门按照各自监管原则,分头监管各领域的数据保护问题,监管模式较分散。

再者,GDPR通过“充分性保护白名单”、数据保护委员会等机制,向其他国家输出其监管框架工具,扩大了GDPR保护标准在全球市场的影响力。中国相关配套合作机制相对匮乏。

为进一步扩大《个人信息保护法》域外适用效力,有必要从两个方面继续完善配套机制。一是建立统一的个人信息监管部门,搭建常态化的行政监管机制,加快数据安全认证等各项数据治理实施细则的落地实施,提供可预期的规则指引;二是借助《区域全面经济伙伴关系协定》(RCEP)以及申请加入《数字经济贸易伙伴协定》(DEPA)的契机,推动“充分性保护白名单”、跨境数据调取等国际合作机制的建设,搭建数字经济合作伙伴关系。在推进区域数字经济贸易的同时,扫除中国参与国际数据治理时域外司法及执法中的障碍。



(黄楚芳系上海对外经贸大学贸易谈判学院研究生;应品广系上海对外经贸大学国际经贸治理与中国改革开放联合研究中心研究员)


Baidu
map