重点解读

本条明确了《个人信息保护法》的适用范围。

与世界各国和地区的主流实践相类似，《个人信息保护法》采取了属地与属人相结合的适用范围，并赋予了必要的域外适用效力，以更好地实现维护自然人个人信息权益的目的。在《个人信息保护法》生效前审议通过的《数据安全法》第二条也采取了类似的立法思路。考虑到个人信息与数据保护的特殊性，此类域外适用效力的规定或将成为未来该领域立法与规范性文件的常见条款。

此外，对于在中国境外处理的境内自然人个人信息的情形，《个人信息保护法》第五十三条提出了在中国境内设立专门机构或指定代表负责处理个人信息保护相关事务的要求，此举有助于有效实现本条第二款的立法目的，提高境内的自然人或监管机构与个人信息处理者的沟通效率，以切实维护自然人的权利，并改善对境外主体实施监管的效果。

实务要点

本条明确了《个人信息保护法》具有域外效力，境外个人信息处理者在符合本法规定情况下的个人信息处理行为亦可能被纳入本法监管。本条列举了《个人信息保护法》域外适用的几种情形：

其一为以向境内自然人提供产品或者服务为目的处理个人信息，如为向境内自然人提供物流配送服务而收集境内自然人地理位置信息，即可能纳入此条规定的范畴。其二为分析、评估境内自然人的行为，这里的分析、评估既包括自行收集个人信息并分析、评估境内自然人行为的情形，亦包括受托分析、评估境内自然人行为的情形。若境外个人信息处理者通过分析、评估境内自然人行为，无论是否基于此自行或协助第三方开展营销、推广等活动，该等分析、评估行为都可能被纳入本条的适用范围之内。其三为法律、行政法规规定的其他情形，为后续法律、行政法规增加其他域外适用情形留下了空间。

关联法条

《数据安全法》第二条。