俞勝杰

(華東政法大學，上海 200042)

2018年5月25日開始生效的《通用數(shù)據(jù)保護條例》(1)《通用數(shù)據(jù)保護條例》的英文表述為General data Protection Regulation(簡稱GDPR)，英文全稱為Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)。原文參見歐盟委員會官方網(wǎng)站：https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=152887467229 8&uri=CELEX%3A32016R067，最后訪問時間：2019年7月5日13時15分。(以下簡稱《條例》)是在數(shù)字經(jīng)濟重塑人類生活的大背景下歐盟數(shù)據(jù)治理改革的重要立法成果(2)吳沈括.歐盟《一般數(shù)據(jù)保護條例》與中國應對[J].信息安全與通信保密,2018,(1):13-16.，也是迄今為止全球范圍內(nèi)最具影響力的個人數(shù)據(jù)保護立法之一。

為了對歐盟公民的個人數(shù)據(jù)予以有效保護，推動數(shù)據(jù)保護法律框架的現(xiàn)代化，更好地實現(xiàn)建立歐盟數(shù)字單一市場的目標，《條例》超越了歐盟成員國個別立法的傳統(tǒng)模式，有效地消除成員國國內(nèi)法上的差異，建立起一套統(tǒng)一的個人數(shù)據(jù)權利體系、保護標準、執(zhí)法流程和監(jiān)管路徑。《條例》強調(diào)行政監(jiān)管在歐盟個人數(shù)據(jù)保護中的特殊功能，從而具有濃厚的公法色彩。

一、《條例》主張域外管轄的理論依據(jù)

在國際法視閾下，《條例》第3條(地域范圍)通過確立“經(jīng)營場所標準”(establishment criterion)和“目標指向標準”(targeting criterion)，設定了寬泛的地域管轄范圍(該條款的中文翻譯版本見下文表1)。根據(jù)該法第3(1)條確立的“經(jīng)營場所標準”，只要個人數(shù)據(jù)控制者或者處理者在歐盟境內(nèi)設立了經(jīng)營場所，無論在此場景下產(chǎn)生的數(shù)據(jù)處理行為是否發(fā)生在歐盟境內(nèi)，該法均有管轄權。此外，《條例》第3(2)條確立了“目標指向標準”，進一步將《條例》的適用范圍延伸至歐盟境外企業(yè)直接收集、處理或者監(jiān)控歐盟境內(nèi)數(shù)據(jù)主體個人數(shù)據(jù)的行為。該條款體現(xiàn)出積極擴張個人數(shù)據(jù)保護域外管轄權的立法意圖，這一立法動向值得高度關注。

(一)國內(nèi)公法域外管轄的理論依據(jù)

國內(nèi)公法的域外管轄現(xiàn)象并不少見，國際法并非絕對禁止一國立法的域外效力。國際法決定了國家可以采取各種形式的管轄權的可允許限度，而國內(nèi)法規(guī)定國家在事實上行使它的管轄權的范圍和方式(3)[英]詹寧斯,瓦茨修訂.奧本海國際法(第1卷第1分冊)[M].王鐵崖等譯.北京:中國大百科全書出版社,1995.327.。國際常設法院在1927年的“荷花號案”判決中對有關管轄權所作的權威論斷不斷為學術界所引述、為司法界所援引。關于國際法是否存在某項規(guī)則禁止本國對外國人在國外實施的犯罪行為行使管轄權的問題，國際常設法院認為不存在這樣的規(guī)則：“國際法不但沒有禁止國家把它的法律和法院的管轄權擴大適用于它境外的人、財產(chǎn)和行為，還在這方面給國家留下寬闊的選擇余地。這種選擇權力只在某些場合受到一些限制性規(guī)則的限制，但在其他場合，每個國家在采用它認為最好和最合適的原則方面是完全自由的?！?4)陳志中.國際法案例[M].北京:法律出版社,1998,41-42.根據(jù)“荷花號”案的裁判主旨可概而言之：對于一國而言，國際法對規(guī)則無明確禁止即可立法。由此，世界各國在國際法允許的情形下，出于自身實現(xiàn)法律規(guī)制目的的考慮，在不同程度上開展國內(nèi)公法域外管轄的國家實踐，曾經(jīng)先后出現(xiàn)過刑法、反壟斷法和證券法等部門法主張域外管轄的情況。

由于各國對域外管轄制度的理解和認識存在分歧，目前對“域外管轄”的概念界定尚未形成共識。聯(lián)合國國際法委員會曾經(jīng)在2006年對域外管轄的含義進行界定：“國家主張域外管轄權是在沒有國際法有關規(guī)則的情況下試圖以本國的立法、司法或執(zhí)行措施管轄在境外影響其利益的人、財產(chǎn)或行為?！?5)參見聯(lián)合國國際法委員會于2006年提交的A/61/10號報告中附件E有關“域外管轄權”的研究結論。國際法上的管轄權種類主要包括屬地管轄權、屬人管轄權、保護性管轄權和普遍性管轄權。域外管轄并不是一類獨立的管轄權，而是主權國家在實踐中發(fā)展出來的行使管轄權的一種具體方式(6)廖詩評.國內(nèi)法域外適用及其應對——以美國法域外適用措施為例[J].比較法研究,2019,(3):166-178.。

(二)《條例》第3條中的域外管轄類型

《條例》第3(1)條規(guī)定了“經(jīng)營場所標準”：在歐盟境內(nèi)設有經(jīng)營場所的數(shù)據(jù)控制者或數(shù)據(jù)處理者，只要數(shù)據(jù)處理行為發(fā)生在此經(jīng)營場所開展活動的場景中，即使實際的數(shù)據(jù)處理活動不在歐盟境內(nèi)發(fā)生，該數(shù)據(jù)處理活動也要受本法管轄。“經(jīng)營場所標準”具有域內(nèi)管轄和域外管轄的雙重面向，通過對“數(shù)據(jù)處理行為發(fā)生在此經(jīng)營場所開展活動的場景中”進行擴張解釋，從而實現(xiàn)將境外企業(yè)納入管轄范圍的規(guī)制目的。這種解釋方法實現(xiàn)了“屬地管轄權”的技術性擴張。

該條的第3(2)條規(guī)定了“目標指向標準”：本法適用于對歐盟境內(nèi)的數(shù)據(jù)主體個人數(shù)據(jù)的處理行為，該行為由在歐盟境內(nèi)沒有設立經(jīng)營場所的數(shù)據(jù)控制者或處理者實施；發(fā)生在向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務的過程中，無論此項商品或服務是否需要數(shù)據(jù)主體支付對價；或者對數(shù)據(jù)主體發(fā)生在歐盟內(nèi)的行為進行監(jiān)控?！澳繕酥赶驑藴省北砻鳎词鼓承?shù)據(jù)控制者或處理者在歐盟境內(nèi)沒有建立經(jīng)營場所，只要該數(shù)據(jù)處理行為對歐盟境內(nèi)的數(shù)據(jù)主體產(chǎn)生了實際上的“效果”或“影響”，《條例》仍然有可能對其數(shù)據(jù)處理行為進行管轄?！稐l例》以效果原則為正當性基礎主張該法的全球性管轄。效果原則是美國法院在反托拉斯案的裁判中發(fā)展起來的管轄原則，即國家對外國人在外國所做的，對本國商業(yè)產(chǎn)生影響的行為享有管轄權。因為這一原則針對的是外國人而被認為是屬地管轄原則的延伸，又由于它的目的是保護國家的重大利益而與保護性管轄相似(7)王虎華.國際公法學[M].北京:北京大學出版社,2015.85.。將效果原則作為個人數(shù)據(jù)保護立法的理論依據(jù)，其合理性引起了學界質(zhì)疑。有學者認為，效果原則作為網(wǎng)絡空間的管轄權依據(jù)過于虛無縹緲，由于經(jīng)濟全球化和網(wǎng)絡全球互聯(lián)，所有國家對網(wǎng)絡行為都存在或多或少的聯(lián)系，各國如果按照這一原則進行立法，管轄權沖突將非常頻繁(8)Lilian Mitrou.The General Data Protection Regulation: A Law for the Digital Age? Tatiana-Eleni Synodinou, Philippe Jougleux, Christiana Markou, Thalia Prastitou(eds). EU Internet Law: Regulation and Enforcement. Springer,2017.p32.。數(shù)據(jù)保護領域的管轄權立法還呈現(xiàn)出一個悖論：國際法給各國在數(shù)據(jù)保護領域的立法留有余地，在不違反國際法的情況下各國立法管轄權不受限制，但是一旦各國擴張管轄范圍，將引起國際法層面的管轄權沖突問題。盡管備受指責，但從合法性角度來說，《條例》在立法上主張積極的域外管轄并不違反國際法。由于第3條的規(guī)定過于原則和抽象，缺乏法律的確定性和可預見性，有關《條例》域外管轄權的合理性問題，需要在厘清域外管轄的合理邊界之后再加以判斷。

(三)《條例》中域外管轄問題的研究價值

從企業(yè)合規(guī)角度來看，《條例》積極主張域外管轄，企圖將發(fā)生在境外的數(shù)據(jù)處理行為納入管轄范圍，這一立法舉措增加了歐盟境外的企業(yè)(包括中國企業(yè)在內(nèi))開展“涉歐”個人數(shù)據(jù)處理業(yè)務的合規(guī)風險。企業(yè)擔心一旦違反《條例》，可能面臨高額罰款(9)根據(jù)《條例》第83條有關處以行政罰款的一般條件的規(guī)定，情節(jié)最重者可被罰款2千萬歐元或全球營業(yè)額4%(以金額較高者為準)。。隨著中歐經(jīng)貿(mào)往來日益頻繁，中國企業(yè)同樣高度關注該法的地域管轄范圍問題。

此外，從立法層面來看，目前我國正在研究制定《個人信息保護法》(10)2018年9月7日，《十三屆全國人大常委會立法規(guī)劃》公布，其中第一類項目為條件比較成熟、十三屆全國人大常委會任期內(nèi)擬提請審議的法律草案(共69件)，《個人信息保護法》被列入第一類項目之中。，是否應當在新法中納入域外管轄條款成為我國個人信息保護立法過程中的關鍵問題。歐盟的立法動向提供了有益的域外經(jīng)驗，為立法者的科學決策提供參考。

因此，無論是從中國企業(yè)如何有效應對域外立法，還是從中國相關立法如何借鑒域外經(jīng)驗的角度出發(fā)，以域外管轄為視角，對《條例》第3條(地域范圍)進行評注殊為必要。目前，國內(nèi)的國際法學者對《條例》的研究熱情主要集中在個人數(shù)據(jù)跨境流動議題，有關《條例》的地域范圍和域外管轄方面的研究成果相對較少(11)目前已有許多有關個人數(shù)據(jù)跨境流動問題的研究成果在CSSCI核心期刊中發(fā)表，例如(按照發(fā)表時間排序)：1.吳沈括.數(shù)據(jù)跨境流動與數(shù)據(jù)主權研究[J].新疆師范大學學報(哲學社會科學版),2016,(5):112-119. 2.陳詠梅，張姣.跨境數(shù)據(jù)流動國際規(guī)制新發(fā)展：困境與前路[J].上海對外經(jīng)貿(mào)大學學報,2017,(6):37-52. 3.黃寧、李楊.“三難選擇”下跨境數(shù)據(jù)流動規(guī)制的演進與成因[J].清華大學學報(哲學社會科學版),2017,(5):172-182. 4.胡煒.跨境數(shù)據(jù)流動的國際法挑戰(zhàn)及中國應對[J].社會科學家,2017,(11):107-112. 5.張舵.略論個人數(shù)據(jù)跨境流動的法律標準[J].中國政法大學學報,2018,(3):98-109. 6.許多奇.個人數(shù)據(jù)跨境流動規(guī)制的國際格局及中國應對[J].法學論壇,2018,(3):130-137；7.石靜霞,張舵.跨境數(shù)據(jù)流動規(guī)制的國家安全問題[J].廣西社會科學,2018,(8):128-133. 8.茶洪旺,付偉,鄭婷婷.數(shù)據(jù)跨境流動政策的國際比較與反思[J].電子政務,2019,(5):123-129. 相比之下，國內(nèi)研究成果中鮮有從國際法角度對個人數(shù)據(jù)保護立法的域外管轄問題進行系統(tǒng)梳理和論證的。齊愛民，王基巖在《社會科學家》2015年第11期上合作發(fā)表的論文《大數(shù)據(jù)時代個人信息保護法的適用與域外效力》雖然提及了數(shù)據(jù)保護立法的域外效力問題，但是由于當時GDPR尚未通過立法程序，因此也未有對第3條地域管轄范圍的討論。金晶在《歐洲研究》2018年第4期上發(fā)表的論文《歐盟〈一般數(shù)據(jù)保護條例〉:演進、要點與疑義》對GDPR的重要條款進行了全景式地剖析，其中亦論及地域管轄的擴張性問題，但并未展開大篇幅的論證。張建文、張哲在《重慶郵電大學學報(社會科學版)》2017年第2期合作發(fā)表的論文《個人信息保護法域外效力研究——以歐盟〈一般數(shù)據(jù)保護條例〉為視角》結合Google Spain案對個人數(shù)據(jù)保護法的域外效力進行了討論，但未對GDPR的域外管轄權邊界問題進行研究。。

在評注條款的過程中，從國際法角度反思個人數(shù)據(jù)保護立法主張域外管轄的正當性基礎。通過司法判例和立法背景文件來研究《條例》與1995年《歐盟個人數(shù)據(jù)保護指令》(12)該文件中文全稱為《關于涉及個人數(shù)據(jù)處理的個人保護以及此類數(shù)據(jù)自由流動的指令》，英文全稱為Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data；原文參見網(wǎng)址：https://eurlex.europa.eu/ LexUriServ/LexUriServ.do?uri=CELEX: 31995L 0046:en:HTML，最后訪問時間：2019年7月15日20時07分。(以下簡稱《95指令》)之間的內(nèi)部繼承關系。從立法意圖和實施效果兩個方面以檢視地域管轄范圍與數(shù)據(jù)跨境流動規(guī)則之間的區(qū)別。通過梳理歐盟數(shù)據(jù)保護機構發(fā)布的相關文件，從法律穩(wěn)定性和靈活性的角度，梳理《條例》域外管轄權的邊界，思考《條例》對中國的影響與啟示。

二、地域范圍條款的立法沿革：從《95指令》到《條例》

根據(jù)《條例》鑒于條款(Recital Clause)的第171段，《條例》一經(jīng)生效，《95指令》同時廢止。《95指令》第4條(應適用的國內(nèi)法)為《條例》第3條(地域范圍)所取代。對地域范圍條款的立法沿革進行梳理，有助于厘清前后兩部法律相關條文的流變關系，并進一步思考管轄權擴張的立法動因。

(一)傳承與突破：基于地域范圍條款的條文結構分析

《95指令》第4(1)條系該法的地域范圍條款。從條文結構和立法功能來看，該條款具有地域范圍和沖突規(guī)范的雙重作用。

一方面，該條款根據(jù)“經(jīng)營場所是否在歐盟境內(nèi)”作為分類標準，明確了何種個人數(shù)據(jù)的處理行為將落入《95指令》的地域管轄范圍(參見表1)。該條包含了是否應當適用歐盟成員國法的兩項衡量標準：其一，根據(jù)數(shù)據(jù)控制者“經(jīng)營場所”的具體位置確定歐盟是否對此擁有管轄權，即“經(jīng)營場所標準”(表1中《95指令》第4(1)a條)；其二，以數(shù)據(jù)處理為目的而使用的“設備”(equipment)的具體位置確定歐盟對此是否擁有管轄權，即“設備使用標準”(表1中《95指令》第4(1)c條)。另一方面，由于《95指令》不同于是條例(Regulation)性質(zhì)的歐盟法律，它并不為個人創(chuàng)設權利和義務，一般而言，指令的調(diào)整對象往往是成員國(13)邵景春.歐洲聯(lián)盟的法律與制度[M].北京:人民法院出版社,1999.60.。因此，第4條在很大程度上同時發(fā)揮了沖突規(guī)范的功能，主要用于緩解和消弭個人數(shù)據(jù)保護層面各國法律沖突(14)杜濤.國際私法國際前沿年度報告(2015—2016)[J].國際法研究,2017,(2):89-128.，在明確具體行為將會落入《95指令》的地域管轄范圍之后，進一步解決究竟適用哪一成員國的個人數(shù)據(jù)保護實體性規(guī)則的準據(jù)法問題。

表1 《95指令》與《條例》有關地域范圍規(guī)定的條文對照

通過對比表1中兩部法律地域范圍條款的條文結構可知：《條例》第3(1)條與《95指令》第4(1)a條一脈相承，呈現(xiàn)出明顯的內(nèi)部繼承關系，均為“經(jīng)營場所標準”，但是《條例》第3(1)條中存在“無論其處理行為是否發(fā)生在歐盟境內(nèi)”這一明顯具有域外管轄傾向的表達，而原來的《95指令》未指明這一點。如果將先有之條文稱為1.0版“經(jīng)營場所標準”，則后有之條文可稱為2.0版“經(jīng)營場所標準”?！稐l例》第3(3)條與《95指令》第4(1)b條基本含義相同?！?5指令》第4(1)c條的“設備使用標準”已經(jīng)被《條例》第3(2)條的“目標指向標準”所取代，但是，上述兩個條文均明確表達了域外管轄的立法意圖，試圖將經(jīng)營場所不在歐盟境內(nèi)但實施了特定數(shù)據(jù)處理行為的數(shù)據(jù)控制者(或者數(shù)據(jù)處理者)納入管轄范圍。申言之，《95指令》和《條例》有關地域范圍的規(guī)定有著“將域內(nèi)管轄和域外管轄雜糅于同一條文之中”的共同特點，這增加了剝離出“域外管轄”有關情形的難度，因為只有在具體案件中才會面臨涉案的歐盟境外企業(yè)是否將受到該法域外管轄的問題(在下文具體討論)。

研究條款的立法沿革不能簡單、機械地觀察相關條款之表面變化，筆者認為：從《95指令》第4條到《條例》第3條的立法轉(zhuǎn)變，既體現(xiàn)出對上世紀90年代互聯(lián)網(wǎng)萌發(fā)期的立法管轄模式的“傳承”，也折射出在大數(shù)據(jù)、云計算等信息技術飛速發(fā)展的時代背景下個人數(shù)據(jù)保護立法管轄思路的“突破”。這些變化的內(nèi)在機理值得深究：第一，《條例》第3(1)條的“經(jīng)營場所標準”為何會在《95指令》的基礎之上呈現(xiàn)出明確的域外管轄立場？第二，信息技術對歐盟有效管轄來自歐盟的個人數(shù)據(jù)帶來了哪些障礙，從而催生出“目標指向標準”這一積極主張域外管轄的重大立法“突破”？有必要將歐盟法院和有權解釋機關(第29條工作組)對《95指令》第4條的釋明活動予以回顧，對歐盟法的有權解釋活動內(nèi)蘊著歐盟個人數(shù)據(jù)保護如何逐步確立“域外管轄”主張的立法沿革。

(二) 歐盟法院和第29條工作組(15)根據(jù)《95指令》第29條的有關規(guī)定，歐盟成立的一個“在個人數(shù)據(jù)處理中保護個人的工作組”，一般稱之為“第29條工作組”。該工作組是一個獨立的咨詢機構，有成員國數(shù)據(jù)保護機構的代表組成。該工作組在歐盟數(shù)據(jù)保護法中發(fā)揮重要作用，它發(fā)布的解釋性文件具有巨大影響力?！锻ㄓ脭?shù)據(jù)保護條例》生效后，原先根據(jù)《95指令》第29條建立的個人數(shù)據(jù)保護工作組被新機構歐洲數(shù)據(jù)保護委員會(European Data Protection Board，簡稱EDPB)所取代。對“經(jīng)營場所標準”的技術性解釋

《95指令》第4(1)a條要求“數(shù)據(jù)處理行為發(fā)生在數(shù)據(jù)控制者經(jīng)營場所開展活動的場景中，而該控制者的經(jīng)營場所位于該成員國領域內(nèi)”，《條例》第3(1)條規(guī)定“在歐盟境內(nèi)設有經(jīng)營場所的數(shù)據(jù)控制者或數(shù)據(jù)處理者，只要數(shù)據(jù)處理行為發(fā)生在此經(jīng)營場所開展活動的場景中，即使實際的數(shù)據(jù)處理活動不在歐盟境內(nèi)發(fā)生，該數(shù)據(jù)處理活動也要受本法管轄”。前后兩款規(guī)定均要求經(jīng)營場所應當設立在歐盟境內(nèi)，對數(shù)據(jù)處理行為也有“在此經(jīng)營場所開展活動的場景中發(fā)生”(in the context of activities of an establishment)的特殊要求，從中可以看出兩個條款的“內(nèi)部繼承關系”。如何理解“經(jīng)營場所”以及“在此經(jīng)營場所開展活動的場景中發(fā)生”的含義？此外，該條如何能對歐盟境外企業(yè)產(chǎn)生域外管轄的效力？在《95指令》頒布實施的二十多年中，歐盟法院和第29條工作組分別通過判決(Decision)(16)歐盟法院先后通過Google Spain案(案號：Case C-131/12)和Weltimmo案(Case C-230/14)對《95指令》第4(1)a條的“經(jīng)營場所”判斷問題予以回應。值得指出的是，Google Spain案系歐盟個人數(shù)據(jù)保護領域最為經(jīng)典的司法案例之一，該案因為確立了個人數(shù)據(jù)“被遺忘權”(Right to be Forgotten)而聲名大噪。或意見(Opinion)(17)第29條工作組對準據(jù)法問題進行過專門研究，先后出臺了兩份意見性文件。第一份為Opinion 8/2010 on applicable law，該文件于2010年12月16日；后一份為Update of Opinion 8/2010 on applicable law in light of the CJEU judgement in Google Spain，該文件于2015年12月16日發(fā)布。的方式，對上述問題予以回應。

《95指令》鑒于條款第19段界定了“經(jīng)營場所”的基本含義：“鑒于在成員國境內(nèi)設立機構意味著它可以通過穩(wěn)定的安排開展真實而有效的活動；鑒于此類機構的法律形式(無論是簡單的分支機構還是具有法人資格的子公司)并不是在這方面的決定性因素?！?010年12月16日，第29條工作組發(fā)布意見性文件Opinion 8/2010 on applicable law。該文件提出，識別“經(jīng)營場所”的關鍵在于判斷涉案的數(shù)據(jù)控制者實施了有效而真實的活動，“開展活動的場景”說明處理案件的準據(jù)法不是數(shù)據(jù)控制者所在地的法律，而應當是經(jīng)營場所開展與個人數(shù)據(jù)處理活動有關的地點的法律。但是，對“穩(wěn)定的安排”(stable arrangement)、“真實而有效的活動”(the effective and real exercise of activity)等詞匯的含義亦有待釋明。例如，歐盟境外企業(yè)(數(shù)據(jù)控制者)在歐盟境內(nèi)設立了經(jīng)營場所，何種安排可謂“穩(wěn)定”？哪種活動可謂“真實而有效”？此外，“數(shù)據(jù)處理行為”在何種程度上可以視為發(fā)生在“經(jīng)營場所開展的場景中”？如何進行具有說服力的說理(reasoning)將境外企業(yè)的數(shù)據(jù)處理行為歸入《95指令》的管轄范圍之中從而實現(xiàn)該法的域外管轄效力？

歐盟法院通過Google Spain案對該法的域外效力問題予以澄清。該案與域外效力問題有關的案情如下(18)由于文章篇幅有限，Google Spain案的基本案情不再展開。詳細案情可以參見楊開湘.“被遺忘權”的司法確立——重探谷歌數(shù)據(jù)隱私案[J].經(jīng)濟法論叢,2018,(1):359-386.：Google西班牙公司是Google美國總部在西班牙設立的商業(yè)代表，幫助Google推廣和銷售在線廣告位置以獲取商業(yè)利潤，Google搜索引擎由Google美國總部運營和管理，Google西班牙公司不參與相關數(shù)據(jù)處理活動(將第三方網(wǎng)站上的信息或數(shù)據(jù)編入索引或?qū)χ苯雨P聯(lián)活動進行存儲的數(shù)據(jù)處理活動)。歐盟法院查明事實：Google西班牙公司符合“通過穩(wěn)定的安排開展真實而有效的活動”，系《95指令》中所指的“經(jīng)營場所”，數(shù)據(jù)處理行為是在Google美國總部發(fā)生的(在歐盟境外)，Google西班牙公司不參與相關數(shù)據(jù)處理活動。Google公司抗辯稱，爭議的個人數(shù)據(jù)處理行為并未發(fā)生在數(shù)據(jù)控制者經(jīng)營場所開展活動的場景中，兩項業(yè)務是相互獨立的。

歐盟法院認為：不應當僅對《95指令》鑒于條款第18-20段以及正式條文第4條進行限制性解釋，應當從該法的制定目的加以理解，歐盟立法機構希望通過設定一個較為寬泛的地域范圍以防止指令的立法目的無法實現(xiàn)，同時杜絕出現(xiàn)規(guī)避法律的行為。歐盟法院進一步指出，Google美國總部在歐盟設立經(jīng)營場所是為了在歐盟成員國境內(nèi)推廣和銷售使搜索引擎產(chǎn)生營利的廣告位，搜索引擎業(yè)務是在經(jīng)營場所開展活動(幫助Google推廣和銷售在線廣告位置)的場景下進行的，二者存在著“無法割裂的聯(lián)系”(inextricable link)。由于搜索引擎服務和廣告位出現(xiàn)在同一個頁面內(nèi)，故可以認定符合《95指令》有關“數(shù)據(jù)處理行為發(fā)生在數(shù)據(jù)控制者經(jīng)營場所開展活動的場景中”的要求。

該案判決結果一經(jīng)公布，引發(fā)了全球廣泛關注。第29條工作組于2015年12月16日發(fā)布了意見性文件Update of Opinion 8/2010 on applicable law in light of the CJEU judgement in Google Spain，對《95指令》第4(1)a條中的“開展活動的場景下”進行了詳細解釋，并對Google Spain案中提出的有關經(jīng)營場所與數(shù)據(jù)處理行為之間“無法割裂的聯(lián)系”的認定標準問題予以明確。第29條工作組進一步認為：只要“免費網(wǎng)絡服務+廣告”的商業(yè)模式促成了財務增長便可以認定為滿足了“無法割裂的聯(lián)系”的認定標準，此外，非歐盟企業(yè)以換取會員費、訂閱數(shù)量或利用并開發(fā)用戶數(shù)據(jù)營利為目的，甚至是以捐贈為目的，在歐盟境內(nèi)提供免費網(wǎng)絡服務，也可以認為存在“無法割裂的聯(lián)系”。

通過上述文件可以得知：在Google Spain案以后，數(shù)據(jù)處理行為并不一定必須由經(jīng)營場所親自實施，只要綜合考慮具體場景，該數(shù)據(jù)處理行為是在經(jīng)營機構的“活動背景下”實施的，便符合《95指令》第4(1)a條的適用要求，就可以啟動具體的準據(jù)法對個人數(shù)據(jù)處理行為予以監(jiān)管。

此外，歐盟法院通過Weltimmo案對“經(jīng)營場所”的判斷標準問題予以了明確，該案的佐審官Pedro Cruz Villalón認為應當采用“兩步分析法”：第一步為判斷數(shù)據(jù)控制者在歐盟成員國境內(nèi)是否建立了某個“經(jīng)營場所”；第二步為某項特殊的數(shù)據(jù)處理行為是否是在這一經(jīng)營場所開展活動的場景中發(fā)生的(19)參見Case C-230/14的佐審官意見第26段(該佐審官意見于2015年6月25日發(fā)布)。。該案判決書將“經(jīng)營場所”的概念延伸至通過穩(wěn)定的安排進行的任何真正而有效的活動，甚至是最小體量的活動。為了確定歐盟以外的實體在各成員國內(nèi)是否有經(jīng)營場所，必須基于活動和提供服務的特定性質(zhì)來判斷安排的穩(wěn)定性程度和在該成員國從事活動的有效性(尤其是對于那些通過互聯(lián)網(wǎng)提供服務的企業(yè))，當數(shù)據(jù)控制者的核心活動涉及在線提供服務時，“穩(wěn)定的安排”的認定標準實際上非常低。因此，在某些情形下，如果雇員和代理人的行為非常穩(wěn)定，非歐盟實體的單一雇員或代理人也能夠構成一項“穩(wěn)定的安排”(20)Case C-230/14，判決書第29-31段。。

歐盟法院和第29條工作組對《95指令》有關“經(jīng)營場所標準”的技術性解釋實現(xiàn)了從“紙面上的法”(law in book)到“現(xiàn)實中的法”(law in action)的功能性轉(zhuǎn)變，最終被《條例》充分“吸收”(21)《條例》的鑒于條款第22段有關“經(jīng)營場所”的闡述與《95指令》鑒于條款第19段的措辭相同。。從《條例》第3(1)條中“無論其處理行為是否發(fā)生在歐盟境內(nèi)”的表述可以窺見歐盟法院和第29條工作組對“經(jīng)營場所標準”技術性解釋的“影子”。申言之，數(shù)據(jù)處理行為發(fā)生的地點并不重要，重點在于如何精準把握“數(shù)據(jù)處理行為發(fā)生在此經(jīng)營場所開展活動的場景中”。不僅開展數(shù)據(jù)處理行為的數(shù)據(jù)控制者可能是歐盟境外企業(yè)，經(jīng)營場所開展活動的場景同樣可能發(fā)生在歐盟境外，二者只要符合“無法割裂的聯(lián)系”的認定標準，便可據(jù)此實施域外管轄權，將境外企業(yè)或者發(fā)生在境外的行為納入《條例》的地域管轄范圍。由此，原本具有“屬地主義”色彩的“經(jīng)營場所標準”便具有明顯的域外管轄傾向，而“無法割裂的聯(lián)系”的認定標準成為了實現(xiàn)域外管轄的“利器”。

(三) 技術改變法律：從“設備使用標準”到“目標指向標準”

如果《95指令》的地域范圍條款僅為“經(jīng)營場所標準”，《95指令》的管轄范圍便大大受限。為了解決對在歐盟境內(nèi)沒有經(jīng)營場所的情況下進行的數(shù)據(jù)處理行為行使域外管轄的問題，歐盟立法機關在《95指令》中楔入了第4(1)b條，將“數(shù)據(jù)控制者經(jīng)營場所不在該成員國境內(nèi)，但其所在地根據(jù)國際公法的規(guī)定應適用該國法律”的情形納入地域管轄范圍。第29條工作組在意見性文件Opinion 8/2010 on applicable law指出該條主要適用于國際公法下諸如飛機和船舶等“擬制領域”，以及歐盟成員國在海外的大使館或領事館，歐盟法對上述地方均享有國際公法意義上的管轄權(22)參見該意見性文件的第18頁。雖然這一意見對歐盟法院或相關成員國法院的司法裁判沒有法律拘束力，但是該意見以其較強的權威性和說服力構成對《95指令》的權威解釋。。《條例》第3(3)條對上述條文予以吸收，并在鑒于條款第25段中明確指出“成員國法律依據(jù)國際公法適用的情況。本法也適用于歐盟之外的控制者，例如成員國的使館或領事館”，這一表述與第29條工作組相關意見性文件中的措辭一致。

與《95指令》第4(1)b條具有類似功能，《95指令》第4(1)c條的“設備使用標準”對“經(jīng)營場所標準”進行了有效補充，將“使用成員國境內(nèi)的設備”作為域外管轄的連接點，擴張了《95指令》的域外效力，企圖能夠?qū)υ跉W盟境內(nèi)沒有經(jīng)營場所而在境外發(fā)生的個人數(shù)據(jù)處理行為進行有效管轄?！?5指令》鑒于條款第20段指出：在第三國設立的機構實施的數(shù)據(jù)處理行為不能妨礙本指令對個人之保護；在這些情況下，數(shù)據(jù)處理應當由使用方法(means)所在地的成員國法律來規(guī)制，并且應當有保證措施以確保本指令所規(guī)定的權利和義務在實踐中得到遵循?！?5指令》第4(1)c條使用的術語為“設備”(equipment)，而鑒于條款中使用的術語為“方法”(means)。在《95指令》的起草過程中，第4(1)c條的英文版本究竟應當用“means”還是“equipment”引發(fā)了長時間討論，最終的正式文本還是決定將后者的措辭寫入該條款，立法者有意通過后者以限制其概念的范圍(23)Lokke M. The long arm of EU data protection law: Does the Data Protection Directive apply to processing of personal data of EU citizens by websites worldwide? International Data Privacy Law, 2011, 1(1).pp28-46.。為了提升歐盟個人數(shù)據(jù)的保護水平，《95指令》在互聯(lián)網(wǎng)萌發(fā)期通過“設備使用標準”對域外數(shù)據(jù)處理行為實施管轄具有一定的合理性。在上世紀九十年代的語境下，“設備”一詞的內(nèi)涵和外延畢竟有限，僅指較為常見的電腦服務器、電腦終端以及調(diào)查表等計算機設備(24)Kuner C. Data Protection Law and International Jurisdiction on the Internet (Part 2). International Journal of Law and Information Technology, 2010, 18(3).pp227-247.。然而，隨著科學技術的蓬勃發(fā)展，《95指令》第4(1)c條項下的“設備”一詞的外延越來越廣泛，第29條工作組在意見性文件中指出“對該條款的理解應當順應新技術(尤其是網(wǎng)絡技術)的發(fā)展，新技術大大便利了個人數(shù)據(jù)的遠程收集和處理，數(shù)據(jù)控制者在歐盟成員國境內(nèi)是否存在實體的前提變得不再重要”(25)參見第29條工作組發(fā)布的意見性文件Opinion 8/2010 on applicable law第19頁。。在同一份文件中，該工作組進一步確認，‘設備’這一術語應當被解釋為‘方法’。第29條工作組的這一意見與當初制定《95指令》時特意限縮“設備”一詞外延的立法初衷相違背了。由于“設備”一詞的外延過于寬泛，對成員國法院公正裁判案件造成了妨害。例如，意大利某青年將虐待殘疾學生的視頻上傳至谷歌視頻，法院認定谷歌意大利公司構成位于意大利的“工具或手段”，服務器位于美國總部抑或是愛爾蘭的歐洲總部便不重要(26)參見第29條工作組發(fā)布的意見性文件Opinion 1/2008 on Data Protection Issues Related to Search Engines，WP 148(2008)第10頁。。在受到廣泛批評后，第29條工作組意識到：“對‘使用設備’的寬泛理解將極大地擴張歐盟數(shù)據(jù)保護法的地域管轄范圍，需要對該標準進行改革。”(27)參見第29條工作組發(fā)布的意見性文件Opinion 1/2008 on Data Protection Issues Related to Search Engines，WP 148(2008)第23-25頁。

《95指令》設定的地域管轄范圍已無法適應互聯(lián)網(wǎng)遠程化、全球化和虛擬化的特點，尤其是隨著云計算的發(fā)展，準確找到個人數(shù)據(jù)的存儲地和處理個人信息的設備所在地已經(jīng)變得非常困難。因此，《條例》通過確立“目標指向標準”，放棄了原來依據(jù)設備處理數(shù)據(jù)來確定法律適用地域范圍的做法，轉(zhuǎn)而依據(jù)特定域內(nèi)數(shù)據(jù)處理行為來確定法律適用的地域范圍(28)王志安.云計算和大數(shù)據(jù)時代的國家立法管轄權——數(shù)據(jù)本地化與數(shù)據(jù)全球化的大對抗？[J].交大法學,2019,(1):5-20.。

《條例》第3(2)條(目標指向標準)是歐盟個人數(shù)據(jù)保護立法改革的重大成果之一，甚至被稱之為“哥白尼式的改革”(29)Kuner C. The European Commission’s Proposed Data Protection Regulation: A Copernican Revolution in European Data Protection Law[J]. Social Science Electronic Publishing, 2012.(Copernican Revolution)。雖然沒有“超地域性”(extraterritoriality)的明確表述，但是這個條文在立法層面將歐盟境外的數(shù)據(jù)控制者和處理者納入到《條例》的管轄范圍之中。一旦它們的數(shù)據(jù)處理行為發(fā)生在向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務的過程中(無論此項商品或服務是否需要數(shù)據(jù)主體支付對價)，抑或是數(shù)據(jù)控制者或處理者對數(shù)據(jù)主體發(fā)生在歐盟內(nèi)的行為進行監(jiān)控，《條例》便對它們產(chǎn)生法律拘束力。

《條例》第3(2)a條對應鑒于條款第23段，為判斷該控制者或處理者是否向位于歐盟境內(nèi)的數(shù)據(jù)主體提供產(chǎn)品或服務，應確認控制者或處理者是否明顯企圖向位于歐盟境內(nèi)一個或數(shù)個成員國的數(shù)據(jù)主體提供服務?？刂普呔W(wǎng)站、處理者網(wǎng)站或其他中介網(wǎng)站僅可以獲取郵件地址或者其他聯(lián)系信息以及使用了控制者營業(yè)地所在的第三方國家的通用語言，上述行為均不足以確認其提供服務的動機和意圖；一些判斷因素使控制者的動機變得明顯，例如使用一個或多個歐盟成員國的通用語言或貨幣用于訂購以其他語言標識的商品或服務，或者涉及歐盟境內(nèi)的客戶或用戶?！稐l例》第3(2)b條對應鑒于條款第24段，該段指出，為了判斷上述處理活動是否可以被認定為是對數(shù)據(jù)主體在歐盟境內(nèi)發(fā)生的行為的監(jiān)控，需要確定自然人是否在互聯(lián)網(wǎng)上被跟蹤記錄，或者偷偷地后續(xù)使用個人數(shù)據(jù)處理技術，包括對自然人進行數(shù)據(jù)畫像特別是作出自動化決策，抑或是對其個人偏好、行為或態(tài)度作出分析或預測?？梢猿醪降玫浇Y論：在適用《條例》第3(2)條的“目標指向標準”時將重點考察“向特定數(shù)據(jù)主體提供產(chǎn)品或服務的主觀意圖”和“對數(shù)據(jù)主體在歐盟內(nèi)開展監(jiān)控行為的客觀表現(xiàn)”。

三、域外管轄條款與數(shù)據(jù)跨境流動規(guī)則之關系

《條例》第3條系該法的地域范圍條款，通過“經(jīng)營場所標準”和“目標指向標準”將歐盟境外的企業(yè)納入該法的管轄范圍。申言之，從立法角度來說，《條例》對歐盟境外的企業(yè)具有域外效力。同時，數(shù)據(jù)跨境流動規(guī)則也對境外企業(yè)提出了數(shù)據(jù)跨境傳輸?shù)臈l件(30)根據(jù)《條例》第5章的規(guī)定，這里的“數(shù)據(jù)跨境流動規(guī)則”主要是歐盟境內(nèi)的個人數(shù)據(jù)向境外傳輸?shù)那疤釛l件和程序性規(guī)定。《條例》不限制境外數(shù)據(jù)向歐盟境內(nèi)的傳輸。。

(一)《條例》中的個人數(shù)據(jù)跨境流動規(guī)則約束境外企業(yè)

《條例》第五章規(guī)定了一整套“多樣化”的個人數(shù)據(jù)跨境流動規(guī)則，將數(shù)據(jù)跨境流動分為“基于充分性認定的傳輸”“提供適當保障措施的傳輸”以及“特殊情況下的例外傳輸”三大類(31)詳細規(guī)定請參見《條例》第45-50條。。為了對數(shù)據(jù)跨境傳輸過程中來自歐盟境內(nèi)的個人數(shù)據(jù)予以充分保護，《條例》對歐盟境內(nèi)個人數(shù)據(jù)是否可以對外進行傳輸?shù)那疤釛l件設置了嚴格的標準。例如，根據(jù)《條例》第45條的規(guī)定，經(jīng)過歐盟委員會評估認定第三國、第三國境內(nèi)的地區(qū)一個或多個特定行業(yè)或者國際組織能確保充分的保護水平時，歐盟境內(nèi)的個人數(shù)據(jù)可以向該第三國或國際組織傳輸。歐盟委員會應當將被評估對象所在國的法律規(guī)則完備情況、監(jiān)督機構的有效運行情況以及參與國際條約實踐情況納入考量因素。歐盟委員會可以通過實施法案的方式給予充分性認定，并在未來的實施過程中定期予以評估。根據(jù)《條例》第46條的規(guī)定，在缺少充分性認定的情況下，控制者或者處理者應當且僅應當在其提供了適當?shù)谋Ｕ?，且一提供可?zhí)行的數(shù)據(jù)主體的權利和給予數(shù)據(jù)主體有效法律救濟途徑的情況下，可以將個人數(shù)據(jù)傳輸至第三國及國際組織。根據(jù)《條例》第47條的規(guī)定，歐盟對制定“有約束力的企業(yè)規(guī)則”的企業(yè)提出了非常高的要求，企業(yè)必須確保個人數(shù)據(jù)在每個時刻、每個分支機構、數(shù)據(jù)傳輸、存儲、加工的每個環(huán)節(jié)得到充分保障，否則將隨時面臨在歐盟境內(nèi)被起訴或申訴的法律風險。

綜上可知，歐盟委員會是實施充分性認定的主體之一，第三國或者第三國企業(yè)只有在完成“對標”歐盟的數(shù)據(jù)保護標準的情況下，歐盟境內(nèi)的個人數(shù)據(jù)才能被跨境傳輸至該第三國或第三國企業(yè)?！稐l例》(以及《95指令》)似乎對境外企業(yè)同樣具有法律拘束力，也就是具有域外效力。地域管轄范圍條款主張的域外管轄與這一類規(guī)則的域外效力存在相似之處，二者之間容易產(chǎn)生混淆,甚至有歐洲學者提出，區(qū)分二者是毫無意義的(32)Kuner, Christopher. Extraterritoriality and regulation of international data transfers in EU data protection law. International Data Privacy Law, 2015:ipv019.。

(二)應當區(qū)分“法律的域外管轄”與“法律的域外影響”

《條例》第3條的地域管轄范圍條款與第五章的跨境數(shù)據(jù)流動規(guī)則雖然體現(xiàn)“超地域性”(extraterritoriality)，似乎都體現(xiàn)了歐盟法律規(guī)則超越了屬地原則對境外企業(yè)產(chǎn)生了“規(guī)制效果”，二者均涉及對境外企業(yè)或者域外數(shù)據(jù)處理行為的監(jiān)管。從效果上看，均有歐盟法對境外產(chǎn)生影響的客觀效果。但是二者存在顯著區(qū)別，前者系法律的域外管轄問題，而后者系法律的域外影響問題。

事實上，歐洲學者Yves Poullet早在2007年便提出，歐盟數(shù)據(jù)傳輸規(guī)則(《95指令》第25-26條)不具有地域范圍上的域外效力，但是對域外具有影響力(33)Yves Poullet.Trans-border Data Flows and Extraterritoriality:The European Position. Journal of International Commercial Law and Technology,2007(2).pp141-148.。筆者認為，《條例》第3條的地域管轄范圍條款與第五章的跨境數(shù)據(jù)流動規(guī)則在法律效果、適用方式和規(guī)制對象等方面均存在顯著差異：

1. 從規(guī)制措施來看，前者是法律的域外效力問題；后者是法律的域外影響問題。前者關注的是法律能夠具體管轄哪些域外企業(yè)或者發(fā)生在域外的數(shù)據(jù)處理行為；后者關注的是歐盟可以通過哪些途徑對歐盟個人數(shù)據(jù)出境的標準施加影響。

2. 從適用方式來看，前者具有直接性；后者具有間接性。前者要求境外數(shù)據(jù)處理行為或者境外企業(yè)直接受到該法的約束，這部法律的所有條款(監(jiān)督、數(shù)據(jù)權利類型以及救濟等)均能夠?qū)ζ湔n以義務(34)《條例》第3條地域范圍條款在該法一般性規(guī)定部分，而跨境數(shù)據(jù)流動規(guī)則在《條例》第5章。；后者并非是將境外企業(yè)直接納入管轄范圍，而是間接地對數(shù)據(jù)跨境流動施加限制性措施，不產(chǎn)生直接的法律拘束力。

3. 從被規(guī)制對象來看，前者具有強迫性和被動性，后者具有任意性和主動性。一旦實施了某一數(shù)據(jù)處理行為，從立法層面來看，該法便有了管轄權，這種管轄具有強迫性，規(guī)制對象被迫受制于法律規(guī)則，具有被動性；后者是指跨境數(shù)據(jù)流動規(guī)則并非可以施加到境外企業(yè)上，只有產(chǎn)生了數(shù)據(jù)傳輸需求(即境外企業(yè)為了獲得從歐盟輸出的個人數(shù)據(jù))，才會考慮這套規(guī)則的實施問題(35)數(shù)據(jù)跨境流動規(guī)則并不涉及各國協(xié)調(diào)、分配立法管轄權問題，從歐盟和美國的《隱私盾協(xié)議》來看，數(shù)據(jù)跨境流動的關鍵在于建立合作機制。。

4. 從規(guī)制效果來看，前者的規(guī)制效果是境外企業(yè)會特別關注來自歐盟的個人數(shù)據(jù)的合規(guī)問題，對域外管轄權邊界問題加以研判，從而使歐盟數(shù)據(jù)保護法在域外發(fā)揮全方位的保護功能；后者的規(guī)制效果是第三國為了獲得來自歐盟的個人數(shù)據(jù)而修改國內(nèi)立法以符合歐盟設立的保護標準。由此，數(shù)據(jù)跨境流動規(guī)則并非法律的域外管轄問題，而是A國制定跨境數(shù)據(jù)流動規(guī)則迫使B國修改立法從而與其“對標”的制度銜接問題(36)Steve Coughlan.Law Beyond Borders: Extraterritorial Jurisdiction in an Age of Globalization . Toronto: Irwin Law,2014.pp46-47.。

“法律的域外管轄”與“法律的域外影響”的重要區(qū)分點在于是否涉及立法管轄權問題?！稐l例》第3條明確主張法律的效力范圍不以地域(territory)的地理空間為限，而跨境數(shù)據(jù)流動規(guī)則旨在通過設定法律標準以保證歐盟數(shù)據(jù)出境的安全性，一旦符合歐盟個人數(shù)據(jù)出境標準，個人數(shù)據(jù)出境后相關處理行為的準據(jù)法便不一定是歐盟個人數(shù)據(jù)保護法。注意區(qū)分地域范圍條款和跨境數(shù)據(jù)流動規(guī)則的不同功能有利于清晰把握《條例》第3條的法律性質(zhì)和立法目的。

四、域外管轄合理邊界之設定

《條例》第3條地域范圍條款中的“經(jīng)營場所標準”和“目標指向標準”均呈現(xiàn)域外管轄的立法意圖。經(jīng)營場所標準在立法上實現(xiàn)了屬地原則的技術性擴張，目標指向標準則以效果原則為正當性基礎主張該法的全球性管轄。域外管轄容易引發(fā)管轄權沖突，這種沖突不在于立法層面，而在于執(zhí)法層面。合理地設置歐盟個人數(shù)據(jù)保護立法域外管轄之邊界既能在一定程度上對跨境執(zhí)法等問題的妥善解決提供保障，也能夠有效釋明境外企業(yè)開展數(shù)據(jù)處理的合規(guī)標準。

同時，該條規(guī)定過于原則和抽象，造成域外管轄權的邊界尚未厘清，缺乏法律的確定性和可預見性，從而增加了歐盟境外企業(yè)(包括中國企業(yè)在內(nèi))開展歐盟個人數(shù)據(jù)處理業(yè)務的合規(guī)風險。如何準確界定域外管轄的合理邊界以協(xié)調(diào)法律的穩(wěn)定性和靈活性是《條例》第3條在實踐中面臨的最大問題。

(一)歐盟數(shù)據(jù)保護機構提出三項規(guī)制思路

為了更好地澄清《條例》的地域管轄范圍，2018年11月23日，歐盟數(shù)據(jù)保護機構(European Data Protection Body，以下簡稱EDPB)發(fā)布了《關于GDPR第3條地域范圍的指引(征求意見稿)》(以下簡稱《征求意見稿》)(37)全文參見網(wǎng)址：https://edpb.europa.eu/our-work-tools/public-consultations/2018/guidelines-32018-territorial -scope-gdpr-article-3_en，最后訪問時間：2019年7月25日17時23分。。EDPB是由歐盟各成員國的數(shù)據(jù)保護機構指派代表組成的獨立機構，其前身為第29條工作組(《條例》生效后EDPB代替了它的職能)，主要職能是確保數(shù)據(jù)保護規(guī)則在歐盟的統(tǒng)一適用以及促進歐盟各成員國監(jiān)管機構之間的合作。這份《征求意見稿》經(jīng)多次全體會議(plenary meeting)(38)歷次全體會議的會議議程參見網(wǎng)址：https://edpb.europa.eu/our-work-tools/our-documents/ publication- type/agenda-meetings_en，最后訪問時間：2019年7月25日18時10分。充分醞釀和討論后對外發(fā)布，在域外管轄的合理邊界問題上進行了三個方面的有益嘗試：

1. 審慎處理歐盟外數(shù)據(jù)控制者或處理者與歐盟內(nèi)經(jīng)營場所之關系

《條例》第3條第1款的適用不以數(shù)據(jù)處理行為是否由位于“歐盟境內(nèi)的經(jīng)營場所”開展為前提條件，只要該處理行為發(fā)生在“歐盟境內(nèi)經(jīng)營場所的活動場景下”，《條例》便對數(shù)據(jù)控制者或處理者的處理行為具有法律拘束力。對此，EDPB建議，第3條第1款的適用需要在個案中根據(jù)具體情況進行具體分析，每種情況都必須結合案件的具體事實和背景進行分析。

EDPB進一步指出：一方面，為了實現(xiàn)有效全面的保護目標，不應當對其含義進行限縮解釋(39)參見Weltimmo案判決書第25段以及Google Spain案判決書第53段。；另一方面，也不應進行過于寬泛的解釋，以至于當“歐盟境內(nèi)的經(jīng)營場所的活動場景”與“非歐盟實體的數(shù)據(jù)處理活動”的關聯(lián)度非常弱時，錯誤地將這種處理納入《條例》的管轄范圍。此外，如果歐盟境內(nèi)的經(jīng)營場所在歐盟從事了營利活動，且若該營利活動被視為在歐盟境外進行的個人數(shù)據(jù)處理活動和歐盟境內(nèi)的個人數(shù)據(jù)主體是“無法分割的”，則可以表明“非歐盟的數(shù)據(jù)控制者或處理者進行處理活動發(fā)生在歐盟境內(nèi)經(jīng)營場所的活動場景下”，《條例》對此便可適用于該數(shù)據(jù)處理行為(40)詳見《征求意見稿》第4頁，參見網(wǎng)址：https://edpb.europa.eu/our-work-tools/public-consultations/2018 /guidelines-32018-territorial-scope-gdpr-article-3_en，最后訪問時間：2019年7月26日9時6分。。

根據(jù)EDPB對該問題的解釋可知，“無法割裂的關系”是判斷歐盟外的數(shù)據(jù)控制者或處理者與歐盟內(nèi)經(jīng)營場所之間關系的關鍵。但是《征求意見稿》除了列舉兩例虛擬案例(參見該文件中的例2與例3)以外，未對這個詞的內(nèi)涵作進一步解讀。

2. 注意到數(shù)據(jù)控制者或處理者的不同設立地點對域外管轄的影響

數(shù)據(jù)控制者對數(shù)據(jù)的存儲、收集和處理起著決定性作用，而數(shù)據(jù)處理者僅僅是控制者的代表機構，接受控制者的指示以處理個人數(shù)據(jù)(41)參見《條例》第4條對“數(shù)據(jù)控制者”和“處理者”的定義。。EDPB特別指出，設立在歐盟境內(nèi)的數(shù)據(jù)處理者并不視作為數(shù)據(jù)控制者在歐盟境內(nèi)存在經(jīng)營場所。若數(shù)據(jù)控制者或處理者二者之一不在歐盟境內(nèi)，《條例》未必對二者均適用。

首先，EDPB指出，如果受《條例》調(diào)整的歐盟數(shù)據(jù)控制者委托歐盟境外的數(shù)據(jù)處理者處理數(shù)據(jù)時，數(shù)據(jù)控制者應當通過合同或者其他法律文件確保處理者會根據(jù)《條例》的要求處理數(shù)據(jù)。《條例》第28條第1款規(guī)定，若處理是代表控制者進行的，控制者應當僅使用提供了充分保證的處理者，以實施適當?shù)募夹g性和組織性措施，使處理達到本條例的要求。《條例》第28條第3款規(guī)定，數(shù)據(jù)處理者的數(shù)據(jù)處理行為應當受合同或其他法律文件約束。據(jù)此可知，即便數(shù)據(jù)處理者設立地不在歐盟境內(nèi)，數(shù)據(jù)控制者仍可以通過合同將《條例》的要求施加到數(shù)據(jù)處理者身上。其次，非歐盟的數(shù)據(jù)控制者是否會因為委托歐盟的數(shù)據(jù)處理者處理數(shù)據(jù)而受到《條例》的管轄？EDPB指出，如果數(shù)據(jù)處理者的處理行為發(fā)生在其位于歐盟的經(jīng)營場所的活動場景下進行的，《條例》能夠管轄該數(shù)據(jù)處理者，但是并不當然導致非歐盟的數(shù)據(jù)控制者承擔《條例》項下數(shù)據(jù)控制者的義務。

3. 評估數(shù)據(jù)控制者的主觀意圖和客觀表現(xiàn)

EDPB指出，根據(jù)《條例》第3條第2款，數(shù)據(jù)主體位于歐盟的領土內(nèi)是適用該目標指向標準的決定因素，數(shù)據(jù)主體的國籍和法律地位不能影響和限制本條的適用，應當重點考察相關數(shù)據(jù)處理活動發(fā)生之時數(shù)據(jù)主體是否位于歐盟境內(nèi)。如果數(shù)據(jù)活動發(fā)生之時，數(shù)據(jù)主體在歐盟境內(nèi)，《條例》便能管轄該數(shù)據(jù)控制者(無論該數(shù)據(jù)控制者的位置)。此外，數(shù)據(jù)控制者或處理者的行為是否表明了其向歐盟境內(nèi)數(shù)據(jù)主體提供商品或服務的意圖或者實施監(jiān)控，也是關鍵性考察因素之一。

值得指出的是，EDPB在考量有關“目標指向標準”的適用標準時，并未嚴格區(qū)分域內(nèi)管轄和域外管轄的不同情形，而且以“行為”的主觀意圖作為考量要素，只要符合了針對歐盟的數(shù)據(jù)主體提供服務或商品，抑或監(jiān)控行為的客觀標準，無論是歐盟境內(nèi)的數(shù)據(jù)控制者還是歐盟境外的數(shù)據(jù)控制者，《條例》均可適用。從這一意義上來說，“目標指向標準”體現(xiàn)出了歐盟從“行為主體”到“行為”的數(shù)據(jù)保護思維轉(zhuǎn)變，著眼于“行為”背后的主觀意圖，希望克服云計算等技術進步帶來的管轄困境，在立法上主張全球性管轄。

(二)法律確定性和靈活性的協(xié)調(diào)困境

EDPB試圖通過《征求意見稿》厘清“經(jīng)營場所標準”和“目標指向標準”域外管轄的合理邊界。一方面，EDPB力求盡可能全面保護歐盟市場和歐盟公民，另一方面，盡可能避免對管轄權進行過于寬泛的解釋從而導致未來的跨境執(zhí)法沖突難以協(xié)調(diào)。但是，筆者認為，即便《征求意見稿》苦心孤詣地追求域外管轄權的法律確定性以回應域外數(shù)據(jù)控制者或處理者對《條例》地域范圍過于抽象的質(zhì)疑，但是此類解釋性文件的作用有限，主要原因在于它無法兼顧和解決法律確定性和靈活性問題。

EDPB通過結合歐盟法院的判例、第29條工作組的意見性文件、《95指令》及其鑒于條款的表述和主旨精神，對《條例》第3條的規(guī)則進行“庖丁解?！笔降牟鸾?，甚至運用陳述虛擬案例的方式以解釋抽象的法律條文。這樣的解釋思路是否真的能夠合理地厘清域外管轄在立法層面的邊界問題暫且不論，單單這種“總結過去以啟示未來”的解釋思路似乎存在邏輯上的問題。例如，Google Spain案和Weltimmo案均是在《95指令》的法律框架下進行審理的，正是對《95指令》條文的技術性解釋，在原有的立法背景發(fā)生巨大變化的情況下創(chuàng)新性地提出了“無法割裂的聯(lián)系”，從而實現(xiàn)了對歐盟境外企業(yè)的域外管轄。這一司法裁判要旨遂成為《條例》的立法背景資料。

技術進步使得法律的滯后性問題日益凸顯，為了使現(xiàn)有之條文能夠解釋技術帶來的新現(xiàn)象，需要對法律條文進行技術性解釋，盡管技術性解釋增強了法律適用的靈活性，但是深刻妨礙了法律穩(wěn)定性和確定性的有效實現(xiàn)。如果法律條文已經(jīng)因為“超長服役”而無法解決技術帶來的法律適用方面的難題，制定新法便勢在必行。這就是《95指令》發(fā)展為《條例》的真正原因。從某種意義上來講，域外管轄的合理邊界難以通過立法予以明確界定，合理邊界的“拉鋸戰(zhàn)”可能出現(xiàn)在跨國訴訟和跨境執(zhí)法的個案之中。

五、《條例》主張域外管轄對中國的影響與啟示

《條例》第3條有關地域管轄范圍并未專門規(guī)定域外管轄，而是將域內(nèi)管轄和域外管轄雜糅于一條。歐盟通過對境外的數(shù)據(jù)控制者或者處理者針對歐盟境內(nèi)數(shù)據(jù)主體的數(shù)據(jù)處理行為進行管轄，重點關注管轄權的域內(nèi)側(cè)面，以保障在歐盟域內(nèi)收獲法律的規(guī)制效果，以實現(xiàn)這部國內(nèi)立法的基本價值(42)Szigeti, Péter D. The Illusion of Territorial Jurisdiction. Texas International Law Journal, 2017.p52.。這樣的立法動向?qū)χ袊髽I(yè)產(chǎn)生較大影響，同時對中國的相關立法具有積極的啟示意義。

(一)影響中國“涉歐”企業(yè)的合規(guī)策略

對中國企業(yè)而言，《條例》第3條以及EDPB計劃發(fā)布的指南將對我國企業(yè)涉及歐盟境內(nèi)數(shù)據(jù)主體的數(shù)據(jù)處理業(yè)務進行合規(guī)審查提供了重要參考和借鑒，我國企業(yè)應當對此給予高度重視。不論是否在歐盟境內(nèi)設立經(jīng)營場所的中國企業(yè)均有可能受到《條例》第3條的影響。

對已經(jīng)在歐盟境內(nèi)設立了經(jīng)營場所的中國企業(yè)而言，即便針對歐盟境內(nèi)數(shù)據(jù)主體的數(shù)據(jù)處理行為并未在經(jīng)營場所內(nèi)展開，只要“數(shù)據(jù)處理行為發(fā)生在此經(jīng)營場所開展活動的場景中”，《條例》也能將它納入管轄。企業(yè)應當高度重視歐盟法院的相關判例要旨，厘清“經(jīng)營場所”“開展活動的場景”等重要概念的適用標準，以免因為疏忽大意而被納入監(jiān)管范圍。符合《條例》管轄范圍的中國企業(yè)應認真評估合規(guī)成本，將《條例》對企業(yè)的影響上升到經(jīng)營決策的高度。對于在歐盟境內(nèi)的業(yè)務規(guī)模不大的企業(yè)來說，甚至可以考慮是否有必要撤出歐盟市場以另尋商機。

對于未在歐盟境內(nèi)設立經(jīng)營場所的中國企業(yè)而言，一旦它們的數(shù)據(jù)處理行為發(fā)生在向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務的過程中(無論此項商品或服務是否需要數(shù)據(jù)主體支付對價)，抑或是數(shù)據(jù)控制者或處理者對數(shù)據(jù)主體發(fā)生在歐盟內(nèi)的行為進行監(jiān)控，《條例》便對它們產(chǎn)生法律拘束力。中國企業(yè)應當高度重視歐盟數(shù)據(jù)保護立法從“規(guī)制行為主體”到“規(guī)制行為”的思維轉(zhuǎn)變，從“向特定數(shù)據(jù)主體提供產(chǎn)品或服務的主觀意圖”和“對數(shù)據(jù)主體在歐盟內(nèi)發(fā)生的監(jiān)控行為的客觀要素”兩個方面對數(shù)據(jù)處理行為進行綜合評估。對于這一類企業(yè)而言，應當認真研究《條例》第27條有關“設立代表”的具體規(guī)定。該條專門適用于歐盟境內(nèi)沒有經(jīng)營場所的境外數(shù)據(jù)控制者或處理者，要求這類主體應當以書面方式指定一名在歐盟的代表。代表一般為自然人或者法人，受制于數(shù)據(jù)控制者或者處理者的授權。歐盟境內(nèi)的數(shù)據(jù)保護機構可以通過代表與歐盟境外的數(shù)據(jù)控制者或者處理者建立聯(lián)系以便于執(zhí)法。企業(yè)應當高度重視這項新制度。

(二)促進我國立法機關的科學決策

雖然已經(jīng)有不少對《條例》的批評聲音，在第3條項下開展域外管轄的實際效果有待檢驗，但是并不妨礙我國立法機關從立法管轄權的角度，審慎思考是否有必要在未來的《個人信息保護法》中納入域外管轄條款。對立法機關而言，借鑒歐盟立法并不意味著“亦步亦趨”或者“照搬照抄”，而是結合中國國情，進行科學的立法決策。筆者認為，立法過程中應當妥善解決以下三大問題：

1. 主張域外管轄權應當以完善個人信息相關國內(nèi)立法為前提。目前我國的個人信息權的權利屬性尚未在民事立法中予以明確，要擴張域外管轄權必須完善國內(nèi)實體性立法。否則，即便實施此類保護也僅僅是“無根之木、無源之水”。

2. 制定和實施域外管轄權應當符合比例原則。國內(nèi)法的域外管轄應當符合比例原則，不能違反國際法基本原則，不能隨意地開展跨境執(zhí)法。立法時不應當隨心所欲，應當考慮法律的適用效果，厘清個人信息保護的域外管轄邊界。

3. 應當注意域外管轄規(guī)則與其他部門法之間的協(xié)調(diào)性問題。由于域外管轄制度的規(guī)制效果是將境外數(shù)據(jù)控制者或處理者納入到該法實體性規(guī)范的調(diào)整之中，立法機關應當充分考慮《個人信息保護法》的域外管轄規(guī)則與我國程序法律、刑事法律等法律的協(xié)調(diào)問題，從而實現(xiàn)“試圖管轄”到“有效管轄”的適用效果。

六、結語

《條例》第3條反映了個人數(shù)據(jù)保護法的域外管轄現(xiàn)象，從國際法角度來看，合法性問題不存在質(zhì)疑，合理性的判斷有賴于管轄邊界的進一步厘定。域外管轄的法律實施效果有待執(zhí)法和司法活動的實踐檢驗。我國的立法機關應當高度關注該法的域外實施情況，為設定我國《個人信息保護法》的地域管轄范圍提供域外經(jīng)驗，兼顧個人信息權和其他法律價值的實現(xiàn)；我國企業(yè)應該實時跟蹤外國企業(yè)的合規(guī)策略，在商業(yè)利益與隱私保護之間尋找合適的平衡點。