随着经济全球化、数字化的不断推进,国际经贸往来更加便利,与之相伴的个人信息跨境处理活动也大幅增加。与此同时,因各国法律制度和保护水平的差异,个人信息跨境处理的安全风险问题日益突出,单纯的属地管辖原则已不能适应个人信息保护的需要。个人信息保护法借鉴有关国家和地区的做法,明确本法必要的域外适用效力,以充分保护我国境内个人的权益。
本条第二款规定了三类境外处理活动的适用情形:
一是以向境内自然人提供产品或者服务为目的,即以我国境内为目标市场并以个人为对象的跨境交易。随着我国不断推进高水平对外开放,更加深度融入全球化进程中,一些境外商业主体不断加大中国市场的开拓力度,特别是电子商务的迅猛发展,为跨境供应产品和服务提供了更多便利,促使我国消费者的跨境消费日益频繁,而以我国消费者为目标人群的经营活动,也必然涉及大规模处理我国境内自然人的个人信息。对于相关境外个人信息处理者是否以我国境内为目标市场,应当综合多种因素对其商业意图作出判断,如境外处理者的网站、应用程序使用中文对相关产品和服务进行标识、介绍,将人民币作为支付货币或者接入我国境内支付工具,则可以表明该境外处理者将我国作为目标市场,其处理我国境内自然人个人信息的活动应当适用本法。如我国境内消费者仅凭其个人意愿自主跨境消费,或者境外处理者仅零星少量处理我国境内自然人的个人信息,并综合其他因素能够确认境外处理者不以我国为目标市场,则其处理我国境内自然人个人信息的活动不适用本法。
二是分析、评估境内自然人的行为。利用个人信息进行分析、评估活动,通常需要持续记录、追踪相关个人信息,并通过后续的处理技术,对个人的行为习惯、兴趣爱好或者经济、健康、信用状况等作出分析或预测,典型的如利用用户画像进行营销或者作出自动化决策。此类行为对个人信息的收集、挖掘相比一般的处理行为更易侵害个人隐私等权益。因此,个人信息保护法明确,在境外分析、评估境内自然人行为的个人信息处理活动适用本法,这一适用情形不区分该处理活动是商业行为还是非商业行为。
三是法律、行政法规规定的其他情形。考虑到当前在个人信息处理方面,新技术、新应用快速迭代发展并可能带来新的挑战,个人信息跨境处理的风险尚未充分显现,在今后实践中还可能遇到新情况、新问题,这样规定可以为相关法律、行政法规有针对性加强跨境处理活动的管理提供必要的空间。(www.xing528.com)
第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
[释义]本条是关于个人信息以及个人信息处理定义的规定。
个人信息和个人信息处理,是个人信息保护法中的两个基础性概念。不同国家和地区对个人信息和个人信息处理的界定有一定差异,我国个人信息保护法参考有关国家立法,并结合我国相关法律规定和个人信息保护实践情况,对个人信息和个人信息处理的定义作了规定。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。