首页> 图书频道> 政法> 法学

【境外个人信息处理者设立境内专门机构或指定代表的义务】

2026年02月27日
版权
第五十三条 【境外 个人信息处理者设立境内专门机构或指定 代表的义务】

本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

【条文主旨】

本条是关于境外个人信息处理者设立境内专门机构或指定代表的义务的规定。

【条文理解】

本条明确了中国境外个人信息处理者在境内设立专门机构或者指定代表的义务,是对个人信息保护法第三条第二款的延伸补充,[9]参考了GDPR第二十七条“指定在欧盟内的代表”的规定,[10]要求境外的个人信息处理者在境内设立专门机构或指定代表,并向履行个人信息保护职责的部门报送相关信息。个人信息保护法第三条第一款规定本法的适用范围采属地原则,无论数据处理者是否为境外主体,无论个人信息主体是否为外国人,只要数据处理活动发生在境内,即适用本法;除以属地原则为基础外,该条第二款规定了三种类型的境外的个人信息处理活动也应当适用本法,参考了GDPR第三条第二款关于地域范围适用的规定,[11]赋予个人信息保护法必要的域外适用效力。[12]

因此,符合本法第三条第二款规定的境外个人信息处理者应履行如下义务:一是需取得个人同意,由个人在充分知情的前提下自愿、明确作出或法律、行政法规规定的其他情形。二是需有公开的个人信息处理规则,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:个人信息处理者的名称或者姓名和联系方式;个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;个人行使本法规定权利的方式和程序;法律、行政法规规定应当告知的其他事项。前款规定事项发生变更的,应当将变更部分告知个人。个人信息处理者通过制定个人信息处理规则的方式告知以上规定事项的,处理规则应当公开,并且便于查阅和保存。三是个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。四是利用个人信息自动化决策的相关要求,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇等。五是个人信息处理者主动删除义务。六是个人信息处理者的信息安全风险管理义务。七是个人信息处理者的合规审计义务。八是事前的个人信息保护影响评估要求。九是发生或可能发生负面情况的,个人信息处理者需采取的补救措施等。

【适用指南】

除一般规则外,由于境外个人信息处理者在地理位置上具有管辖不便的客观性,个人信息保护法在本条明确了其特殊义务,具体包括四个要点。

第一,适用对象为在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动的个人信息处理者。实践中,对于中国境外个人信息处理者,因管辖问题,我国相关部门往往难以直接履行其监管职责,不利于个人信息保护和监管规则的执行落实。因此,个人信息保护法明确了境外的个人信息处理者应在境内通过专门机构或者指定代表处理个人信息保护相关事务,确保境外个人信息处理者通过其境内机构或代表履行义务,承担相应的责任,把对个人信息的保护落到了实处。

第二,其个人信息处理活动指向境内自然人。个人信息保护法第三条第二款具体情形为以向境内自然人提供产品或者服务为目的,分析、评估境内自然人的行为或法律、行政法规规定的其他情形的境外个人信息处理活动。或是个人信息处理活动的成果去向为境内自然人,或以境内自然人个人信息为分析、评估的客体,均是将个人信息处理活动指向境内自然人。

第三,处理个人信息相关事务的方式为通过境内专门机构或指定代表。本条规定通过境外个人信息处理者的境内专门机构或指定代表间接实现了监管部门对通过互联网等收集境内个人信息的境外机构的管辖。虽然本条并未明确设立专门机构或者指定代表的具体流程和要求,也并未明确其法律主体和责任,但由于相关机构或代表信息会报送至履行个人信息保护职责的部门,我国可以通过建立境外个人信息处理者“白名单制度”,有效加强对个人信息安全的必要管控,防止因个人信息非法出境等情况而使得我国境内公民人身权益遭受不必要的损害。此外,本条中所提及的境外个人信息处理者的境内专门机构,所指向的对象是其境内分公司、子公司还是办事处等其他机构,有待进一步明确。分公司是公司的分支机构,具有营业资格但不具有法人资格,其民事责任需要由成立分公司的公司承担;子公司具有独立的法人资格,对外能够独立地承担责任,其母公司无需承担子公司的债务;而办事处是公司分支机构的另一种形式,一般只能从事总公司营业范围内的业务联络活动,不具有经营资格。因为法人资格和经营资格的差异,不同机构在境内的事务活动范围和责任承担能力存在很大差异,是否需要明确有关机构的类型还有待进一步考究。

第四,境外个人信息处理者设立的专门机构或指定代表对个人信息保护职责的部门负有信息报送义务。该项规定填补了一直以来针对境外机构监管的敞口,确立了多头监管机制。不同行业的个人信息保护有着不同的特点和需求,个人信息保护法规定由国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。同时,按照国家有关规定,确定县级以上地方人民政府有关部门的个人信息保护和监督管理职责,从而形成了一个以行业为横轴的、从中央到地方的个人信息保护监管体系。在要求个人信息处理者加强内部个人信息保护制度建设的基础上,从外部施加监管压力,促进个人信息处理者落实个人信息保护要求。

【相关规定】

《中华人民共和国个人信息保护法》第三条、第六十条。