何葉華

（南京大學 法學院，江蘇 南京 210093）

近年來，以歐盟一系列數據保護規(guī)制為代表，國際社會興起數據保護立法的浪潮[1]。中國數據保護起步相對較晚，但通過頒布各項規(guī)范性文件，數據保護立法進程在不斷加快，特別是2019年全國人大常委會正式將個人信息保護法納入階段立法規(guī)劃，一部數據保護專門立法呼之欲出?？v觀世界范圍內數據保護立法，一個值得注意的立法細節(jié)是，歐盟最新數據保護立法規(guī)定，在一定條件下，歐盟數據規(guī)則將適用于歐盟之外的數據處理者及行為，以期實現本國數據保護以及數據市場開發(fā)利益的最大化。不僅歐盟如此，其他國家數據立法也相繼寫入域外效力條款，將法律規(guī)制的范圍擴張到域外①以歐盟數據立法為代表，俄羅斯、澳大利亞、新加坡、南非、日本等國家數據保護法中均含有域外適用的規(guī)定。。因此中國在數據立法將要出臺之際需要作出抉擇，是否應當增添域外效力之規(guī)定。

一般而言，國內法關注國內事項，效力范圍受制于一國主權領土，適用于主權管轄權范圍內的人、物和行為，并不需要對效力范圍問題作出特別規(guī)定[2]。但在國際社會實踐中，已出現采納域外效力規(guī)定的現象，將本國領土范圍之外的行為納入本國法規(guī)制范圍，如反壟斷法、證券法等領域。可以大膽猜想，數據保護領域是否屬于這類特殊領域，需要明確域外效力規(guī)定?；卮疬@一問題，不單取決于中國立法的自主選擇，還應將國際法理論與數據保護的特殊屬性一并進行謹慎考慮。目前中國學者更多關注國內法架構以及數據流轉的國際協(xié)調等實體規(guī)則方面，雖然也在論證中附帶提出應當重視域外效力規(guī)定，但對于國內數據保護法域外效力問題的國際法基礎、中國立場選擇等問題尚未形成充分討論②目前國內關于個人數據保護方面的研究主要集中在民法、憲法、行政法、刑法等領域，部分國際法學者對國際層面有所涉及，但主要側重于跨境數據流轉的多邊機制研究。[3-5]鑒于此，本文將首先闡述數據保護法產生域外效力問題的現實基礎，再從實然層面探討數據保護法域外效力實現的具體途徑，并論證在國際法層面的正當化基礎，最后綜合分析中國在數據保護域外效力問題上的應對之策。

一、數據保護法域外效力問題的現實基礎

自20世紀90年代以來，互聯網逐漸融入日常生活，依托互聯網科技進行信息收集、處理、轉移的過程隨之誕生，并在科技進步、文化交流、打擊犯罪等方面發(fā)揮著積極作用。發(fā)展與風險同在。隨著信息技術的廣泛應用以及個人生活與網絡世界的密切聯系，原本形式上匿名、分散的網絡數據可以通過技術分析處理合成“數據人像”，借助無處不在的網絡數據記錄準確鎖定信息主體已經成為現實，個人生活由此赤裸裸地暴露在數據使用者面前，一旦泄漏將直接危及個人隱私安全[6]；與此同時，對數據利用者而言，個人信息不再僅僅是標識符號，而是作為一種新型資源，影響著公共管理、商業(yè)活動中的具體決策，促使其通過技術手段最大化地獲取數據，進而實現數據背后的社會福利抑或經濟價值。由此，數據利用行為與個人信息保護之間發(fā)生不可避免的沖突。對于上述問題，國內學者從隱私權的憲法建構與私法救濟視角，試圖將粗線條的綜合立法與細化的特別領域立法相結合，自上而下為個人信息編織一張緊密的保護網，但忽略了一個重要因素，即數據保護法的效力邊界問題。在數據全球化現實面前，通過國內法對個人數據進行的規(guī)制行為并非單一國家所特有，網絡的無國界特點與各國立法上的分歧必然帶來數據保護法律之間的交叉與真空，而這些沖突的本源與結果都指向了個人數據保護法的域外效力問題。

具體來說，對于個人數據保護法域外效力問題的關注主要基于三方面的考慮。

其一，網絡信息技術的發(fā)展對以地理為邊界確定法律效力范圍的傳統(tǒng)立法模式形成挑戰(zhàn)。一般而言，一國的法律在本國主權范圍內具有拘束力，效力邊界相應受制于一國的物理空間[7]。在面對網絡信息技術問題時，這一原則發(fā)生了根本改變。就技術層面，大數據的運用使網絡服務提供者能夠在全球范圍內挖掘海量個人數據，另外結合云計算技術，數據中心將計算資源虛擬化，突破本地處理模式，在云計算終端完成網絡服務的跨境分配與聚合[8]。表面上這種技術操作只是呈現出技術的跨境潛質，即網絡數據資源的開發(fā)與分析架構很難局限在一國地域范圍。但深入分析可知，大數據與云計算技術的應用實質上是在地理界線之外創(chuàng)設出一個虛擬網絡空間[9]。在這一空間，個人數據的交換、存儲與分析等行為具有全面的空間自由與彈性，和物理空間的地域關聯甚微。因此當針對個人數據的行為規(guī)制與權利保護規(guī)則由物理空間延伸到網絡空間時，地理因素不再構成單一的確定性標準，法律效力與國家主權界限之間的邏輯關系隨之發(fā)生改變[10]46-47，個人數據保護立法的效力范圍由此成為必須重新審視的問題。

其二，個人數據保護法域外效力問題的產生并不僅僅是科技進步引發(fā)的客觀現象，更深層次原因在于，個人數據具有多元價值，價值利益的沖突與制衡促使國家通過擴張本國法律適用范圍的單邊方法，實現對個人數據最大限度的保護。數據保護對于個人信息主體而言，一端承載著人格尊嚴與隱私權利，需要法律的介入來限制個人信息的跨境流動，進而實現對個人信息者的良好保護；另一端，個人信息被視為寶藏資源，借助現代網絡技術可以從海量信息中識別出消費者的需求與偏好，為經營者調整規(guī)模與轉型升級提供行動指引[11]。信息利用者為獲取經濟利益追求個人數據的自由流轉，因此與個人信息主體的數據權利保護形成牽制?？梢哉f，個人數據保護法最核心的目標就是，“權利保護”與“數據利用”二者之間的平衡。將法律規(guī)制置于全球背景下，主權國家的絕對控制權力客觀喪失，價值目標的實現變得更為復雜。平衡任務不再以單一國家主權為邏輯起點，而是需要對“本國數據權利保護”“全球數據市場競爭”“國家主權利益”等多元價值目標進行綜合考量[12]。此外，結合權利認知、技術能力以及信息產業(yè)發(fā)展水平等方面的現實差異，各個國家在價值目標的選擇與權衡中各自得出立足本國視角的最優(yōu)解，除非根據既存共同規(guī)則來協(xié)調各國法律，主權國家將本能地通過擴張本國法適用范圍以保障自身絕對利益的滿足，由此引發(fā)的競爭與沖突使得各國數據保護立法必須在域外效力范圍問題上作出妥當安排[5]179。

其三，各國在數據保護立法方面的積極作為，不僅僅代表一種立法走向，現象背后國內法與國際法的互動關系值得重視。以歐盟立法為例，其在數據規(guī)制立法領域一直發(fā)揮引領作用，尤其通過域外效力規(guī)則的設定，歐盟規(guī)則的適用范圍得以擴張到歐盟域外[13]。這種通過國內法路徑來實現國際層面規(guī)則協(xié)調，不僅制約私人企業(yè)的具體行為與合規(guī)成本，也實然影響到他國規(guī)則的設定乃至國際社會數據保護標準的形成①一方面在歐盟內部，1995年《歐盟指令》和2016年《一般數據保護條例》的核心內容大多來源于德國、法國等成員國的國內立法，另一方面在與第三國展開的跨境數據談判協(xié)議中，也體現出歐盟規(guī)則的影響力。如2016年《歐美隱私盾框架》對美國企業(yè)規(guī)定了更為嚴格的數據傳輸與制裁規(guī)則，進一步強化對歐盟個人數據的保護與救濟。。尤其在數據保護領域國際共同規(guī)則尚未成型之時，國內法在國際層面實際發(fā)揮補充功能，更為完備、系統(tǒng)的國內數據保護規(guī)則意味著國內法將為國際社會中的行為提供更為充分的國內法依據，進而主權國家在全球數據保護與共同規(guī)制中擁有更多話語權。反之，國內數據保護法倘若一直處于“失語”狀態(tài)，也將失去與國際社會進行有效溝通與對話的機會。

綜上，可以肯定，數據跨境流轉趨勢不可逆轉，域外效力是數據保護立法必須認真對待的法律問題，繼而有必要根據各國數據保護的立法與司法實踐，對域外效力的實現途徑進行分析。

二、數據保護法域外效力的實現途徑

各國在數據保護具體規(guī)制方法及側重方面存在眾多分歧，但域外效力規(guī)則仍出現在多個國家立法文本與司法實踐中。以歐盟、美國為代表①鑒于美國與歐盟在數據治理體系中處于主導地位并形成兩大立法范式，本文重點探討美國、歐盟的立法司法實踐。，數據保護法域外效力的實現主要遵循兩種思路。一則對既有國內法規(guī)則進行擴張解釋，從而達到對域外主體的規(guī)制效果。另一則直接通過立法明確規(guī)定數據保護法域外適用的范圍。

（一）司法路徑

一般來看，各國在傳統(tǒng)數據保護立法中根據屬地原則進行空間效力的設定，即國內法效力及于一國主權領土范圍之內的數據主體、數據設備及數據處理行為，客觀上排除數據保護法適用于域外的情況[14]。但伴隨數據跨境特質的不斷凸顯與互聯網公司的全球膨脹，在成文法仍然根據傳統(tǒng)連結點成立立法管轄權，而對域外適用問題保持沉默之時，單純對境內數據的有限規(guī)制難以充分保障數據主體的權利。司法實踐于是對傳統(tǒng)連結點進行擴張解釋，借助域內規(guī)則約束域外實體的數據處理行為。

以2014年“谷歌公司案”為例②Google Spain SL and Google Inc. v. Agencia Espa ola de Protección de Datos (AEPD) and Mario Costeja González, Case C-131/12(2014)。。該案源于西班牙用戶針對谷歌公司及谷歌西班牙分公司提起的行政控告。在谷歌搜索引擎中輸入個人姓名時，該用戶發(fā)現其個人信息的債務清償內容出現在網頁搜索結果，因此以個人隱私權利受到侵犯為由，向西班牙數據保護局提出權利救濟申請。隨后西班牙數據保護局作出要求谷歌公司、谷歌西班牙分公司刪除相關信息的行政決定。谷歌公司和谷歌西班牙公司不服該決定，遂向西班牙國家法院提起訴訟。由于該案涉及對歐盟規(guī)則的解釋，西班牙國家法院隨后提請歐盟法院對法律的適用作出初步裁決③該案適用的《歐洲議會和歐盟理事會1995年10月24日關于對與個人數據處理有關的個人保護以及此類數據自由流動的95/46/EC號指令》（Directive 95/46/EC，簡稱95指令）已經被2018年生效的《一般數據保護條例》（General Data Protection Regulation，GDPR）所替代，但本案涉及的條文在GDPR第3條第一款被保留，且歐盟數據保護工作組WP29針對谷歌案出具一份專門報告（Update of Opinion 8/2010 on applicable law in light of the CJEU judgement in Google Spain）用于明確95指令的適用。。

根據歐盟95年指令第4條（1）（a）的規(guī)定，指令適用于“數據控制者在歐盟境內設立了營業(yè)機構，并在此營業(yè)機構的活動背景下所實施的個人數據處理行為”④Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, Official Journal of the European Communities, 23 November 1995, No L 281/39。。具體到本案，谷歌西班牙公司在西班牙有穩(wěn)定的經營活動與安排⑤Weltimmo s.r.o.v. Nemzeti Adatvédelmi és Információszabadság Hatóság, Case C-230/14(2015)。，當然滿足指令第4條（1）（a）中的“營業(yè)機構所在地”標準⑥歐盟法院在2015年Weltimmo案中進一步明確歐盟境內設立機構是一個寬泛的概念，不限于分公司、子公司等具體形式，只要數據控制者或處理者在歐盟境內通過穩(wěn)定的活動安排實施了真實有效的數據處理，均應認定為在歐盟境內成立設立機構。。需要進一步判斷的是歐盟立法能否規(guī)范谷歌美國總公司的爭議行為。若按照傳統(tǒng)“營業(yè)機構所在地”標準，指令的效力范圍限定在歐盟域內的營業(yè)機構所做出的數據處理行為，而本案中搜索引擎服務由谷歌美國公司排他完成，似乎可以規(guī)避歐盟指令的規(guī)制。對此歐盟法院指出，雖然谷歌西班牙公司并未直接承擔個人數據處理，但其提供的相關商業(yè)廣告與搜索結果出現在同一界面，廣告位銷售業(yè)務實際上是為谷歌公司搜索引擎服務獲取商業(yè)利益的重要途徑，二者之間具有無法擺脫的聯系。因此即使個人數據處理行為不是由西班牙谷歌公司實施，也應當認定該行為是在西班牙公司的活動背景下完成，因此受到歐盟規(guī)則的約束。從以上表述可以看出，歐盟法院試圖對以下概念進行擴張解釋：第一，設立機構的認定從傳統(tǒng)屬地性質的注冊地標準，擴張至在歐盟境內從事真實穩(wěn)定數據活動的所有機構，并且不考慮該設立機構的法律外觀；第二，“在該設立機構背景下”的數據處理行為，不僅包括由歐盟境內設立機構完成的數據處理行為，也包括當境外數據處理機構與境內設立機構存在“無法擺脫的聯系”時，發(fā)生在歐盟境外的數據處理行為①對于何種情況構成無法擺脫的聯系，歐盟法院認為應當進行個案判斷，并不局限于谷歌案中所體現的商業(yè)廣告與免費引擎服務這種特定業(yè)務模式。。由此法院突破以客觀屬地連接點為基礎的傳統(tǒng)標準，進一步將歐盟指令的效力范圍從歐盟境內延伸至歐盟境外。

與歐盟法院針對屬地規(guī)則的擴張闡釋不同，美國法院在微軟案中重點探討以屬人連接點為基礎的國內法規(guī)則的域外適用②Microsoft Corporation v. United States of America, 829 F.3d 197(2016)。。在微軟案中，美國緝毒局根據1986年《存儲通信法》（Stored Communications Act，SCA）向紐約南區(qū)聯邦地方法院申請搜查令，要求微軟公司提供涉嫌走私毒品的犯罪嫌疑人的電子郵件賬戶及相關信息。由于數據信息存儲在位于愛爾蘭的服務器內，微軟公司認為按照“數據存儲地標準”，存儲在國外的數據超出SCA搜查令的效力范圍，因此拒絕向執(zhí)法部門提供相關信息。初審法院則采納“數據控制者標準”，認為微軟是美國公司，且作為數據的控制者有能力調取，因此即使數據內容存儲在美國境外，也應當適用SCA規(guī)則披露相關數據。不難看出，盡管立法并未對域外效力問題作出明確規(guī)定，初審法院以數據控制者為連接點，要求美國數據企業(yè)對其所掌控的全球數據承擔披露義務，進一步認可了美國國內法的域外效力③值得注意的是，微軟公司后上訴至聯邦第二巡回法院，上訴法院以SCA并未明確規(guī)定域外適用為由，推翻初審判決，判定搜查令只能限制存儲在美國境內的數據資料。但在聯邦最高法院審理階段，美國國會又通過直接修法重新肯定初審法院立場，明確了SCA的域外適用。。

（二）立法路徑

在全球信息自由流動的沖擊下，數據保護逐漸成為各個國家所關注的焦點。而效力范圍的界定直接影響著國內數據保護政策的實現，因此可以發(fā)現，除卻對原有規(guī)則的擴張解釋，立法機關根據本國政策考量直接明確域外效力問題已經成為一種普遍現象。

考察多國立法實踐，包含域外效力問題的立法規(guī)定具體表現為：

第一，以利用境內數據處理設備為標準，確立本國法對境外個人數據控制者相關行為的約束。例如英國1998年《數據保護法案》（Data Protection Act 1998）、歐盟95年《指令》均有規(guī)定，當數據控制者在境內沒有設立營業(yè)機構時，除傳輸目的之外，如果利用了境內的數據處理設備，那么數據處理行為也將受到法律約束④Data Protection Act 1998 c.29。。該規(guī)則主要考慮到網絡數據具有虛擬屬性，境外數據控制者無需在境內設立營業(yè)機構就可以遠程完成數據處理行為。為了避免出現數據控制者故意將經營地設立在域外并利用國內數據設備逃避歐盟法律規(guī)制的情況⑤The Article 29 Working Party 5 035/01/EN/Final WP 56, p.7。，立法因此通過域內設備與相關數據處理行為之間的關聯，將境外信息控制者納入數據保護法的規(guī)制范圍⑥但由于數據處理設備的外延模糊，以及數據處理設備使用的不確定與偶然性，很可能出現國內規(guī)則適用于全球的極端情況，因此歐盟在最新數據立法中并未采納該標準。。

第二，通過效果原則設定域外效力規(guī)則。以數據保護立法一直領先的歐盟立法為例，在保留95指令對于域內設立營業(yè)機構的規(guī)定之外，2016年通過的GDPR新增第3條第2款規(guī)定：“該條例也適用于在歐盟域內不存在經營機構情況下，數據控制者對歐盟境內數據主體進行的相關個人數據處理行為，如果數據處理行為：(a) 是為歐盟境內數據主體提供商品或服務，無論該項商品或服務是有償或無償；或者(b)對歐盟境內數據主體的活動進行監(jiān)控”⑦Regulation 2016 /679 of the European Parliament and of the Council of April 27, 2016, on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95 /46 / EC (General Data Protection Regulation), 4 May 2016, L 119/33。。該條款專門針對歐盟境外的數據控制者或處理者，其中對于“為歐盟境內數據主體提供商品或服務”的情形，GDPR緒言第23條補充說明，應從數據處理者或控制者視角，判斷其是否明顯具備向歐盟數據主體提供商品或服務的目的。這一規(guī)定體現出對傳統(tǒng)屬地原則的突破，或者說引入“效果原則”，即無論數據處理者是否為歐盟主體，數據主體是否為歐盟公民，處理行為發(fā)生在何地，一旦行為對歐盟實際產生或意圖造成影響，都將受到歐盟規(guī)則約束⑧Guidelines 3/2018 on the territorial scope of GDPR(Article 3) version 2.0 (2019)。。類似的規(guī)定也出現在日本、美國等國數據保護立法條文之中①日本《個人信息保護法》第75條規(guī)定：對于在向國內的數據主體提供商品或服務的過程中獲取該數據主體個人信息的個人信息處理業(yè)者，并在國外處理該個人信息或者利用以該個人信息為基礎制作而成的匿名加工信息，第15、第16、第18條（第二款除外）、第19～第25條、第27～第36條、第41條、第42條第一款、第43條及后一條的規(guī)定也適用。個人情報の保護に関ⅩⅢtf法律（2003年5月30日法律第57號）。。

第三，依據數據處理者標準規(guī)定本國數據法的域外適用。在美國聯邦最高法院審理微軟案階段，美國國會通過《澄清合法利用海外數據法》（Clarifying Lawful Overseas Use of Data Act，CLOUD）②Clarifying Lawful Overseas Use of Data Act 18 U.S.C.A.§2 703 (2018)。，明確規(guī)定無論該通信、記錄等信息是位于美國境內還是國外,美國數據服務提供商必須對其占有、保護、控制下的客戶通信及記錄等信息的內容加以保存、備份或披露。雖然法案僅適用于執(zhí)法機關域外取證過程，但是考慮到美國數據企業(yè)的領先優(yōu)勢以及在世界范圍內的跨境發(fā)展，實際效果是以屬人連接點為基礎確立域外效力規(guī)則，將美國企業(yè)掌握的全球數據均納入管轄范圍。

（三）小結

綜上可以看出，以美國、歐洲為代表，個人數據保護法的效力范圍呈現出擴張趨勢，無論是通過對原有域內適用規(guī)則的擴張解釋抑或是經由立法直接予以肯定，均可以實現數據保護法的域外適用。但深入分析，兩種路徑的選擇實則對應著不同的歷史背景與現實需求。傳統(tǒng)數據保護立法一般根據屬地連結點行使立法管轄權，具體規(guī)制本國領域內的數據主體、數據處理者及數據資料。但面對網絡技術革新與數據價值的膨脹，立法尚未作出及時調整，需要更多交由法官在個案中判斷將國內法適用于域外的數據處理行為和主體的具體條件。這一定程度放松了傳統(tǒng)立法對嚴格屬地原則的堅持，但也填補了立法在域外效力問題上的缺失。同時應當注意，司法權力天然處于被動地位，法院并不能突破既有的立法框架，并根據新的連結點進行擴張解釋。尤其在需要通過創(chuàng)設新的連結點實現本國數據政策時，司法機關只能發(fā)揮間接作用，因此有必要通過立法對本國數據保護法的域外效力作出直接宣示。如歐盟綜合以往司法實踐，通過最新立法GDPR，在原有“設立機構標準”之外，針對歐盟外數據控制者、處理者又引入以效果原則為基礎的“意圖標準”。其目的，一則為了貫徹數據權利背后所承載的歐盟人權理念，二則是為了迎合歐盟數據產業(yè)的發(fā)展要求，通過效果原則將指向歐盟市場的域外數據處理行為均納入立法管轄范圍，最大程度地維護歐盟內部市場的利益。對比來看，美國以微軟案為契機推出CLOUD法案，以屬人連結點架構域外效力規(guī)則，實則也是立足本國數據產業(yè)的全球優(yōu)勢，服務于依托本國數據企業(yè)來實現控制全球數據的目的。

三、數據保護法域外效力的國際合法性分析

國內立法將在何種限度發(fā)揮作用取決于一國主權的自主選擇，但是如果做全面考量，國內法效力邊界的確定本質上需要經過國際層面的審視，即除卻國內法賦予其“自內向外”效力擴張之外，應當考慮國內立法在域外適用是否符合國際法的一般要求，如果域外效力的規(guī)定與國際法相沖突，那么將必然受到質疑，反之亦然。因此，數據保護法的域外效力問題也必須接受外部評價，以獲得國際法層面的正當性支撐。

（一）國際判例的默示承認

早在1973年，歐盟成員國德國的黑森州頒布第一部個人信息保護法，然而時至今日，在數據保護法領域各國尚未達成一部多邊公約，用于協(xié)調各國數據保護法的效力邊界問題[15]。有學者試圖從《公民權利和政治權利國際公約》中尋找數據保護法域外效力的正當化依據，但并未論證成功[16]。除國際公約之外，對于主權國家國內法效力范圍問題最為經典的解釋，可以追溯至1927年的“荷花號案”。在該案中，國際常設法院一方面肯定：“除非根據國際條約或國際習慣，一國不應當在他國領土上直接行使權力。”同時又指出：“在國際法中尚未衍生出一項普遍規(guī)則，即禁止主權國家將國內法的適用范圍和司法管轄權延伸到域外的人、事物及行為。這一問題可以交由各國自由裁量決定。在一般情形中，主權國家可以自主決定并采取本國認為最適合的管轄權原則”③S.S. Lotus (Fr. v. Turk.)1927 P.C.I.J.Series.A, No.10, p.19。。

從其表述可以看出，一般推定，主權國家只在其領土范圍之內享有立法管轄權，即自內向外肯定一國立法對其境內一切人、事物及行為的法律約束力。但是反向來看，國際公約或判例對于主權國家法律的效力范圍并沒有劃定任何外部限制，尤其是在具有正當依據的前提下，允許主權國家超越本國領土范圍賦予其本國法律以域外效力的作法。因此回到數據保護法領域，對于域外效力問題的判斷亦是可以做出內部視角與外部視角兩種解讀。從內部視角分析，國際法以是否允許為邏輯起點，數據保護法的效力范圍應當與本國主權范圍保持一致。就外部限制而言，由于數據保護領域國際公約及判例尚未形成任何禁止性規(guī)則，因而不能排除國內法效力擴張的可能空間，這種國際法層面的默示態(tài)度也就構成數據保護法域外效力的正當化基礎。應當承認，“荷花號案”判決的釋明意義有限，但站在更為宏觀的視角可以做出傾向于后者的決斷，這是因為，雖然國際法的主要功能是調整國家之間的關系，但作為約束國家的國際法規(guī)則始終源于國家意志，國家始終是國際法的主要立法者。因此，除非國際公約或判例明確禁止，國家有權基于自身利益考量對法律效力范圍進行擴張。

（二）支撐數據保護法域外效力的國際習慣法原則

在國際法框架下，如果無國際公約約束，主權國家一般依據自身與管轄客體之間的真實聯系確立立法管轄權，進而適用本國法律?；谡鎸嵚撓瞪系木唧w差異，國際社會逐漸沉淀出屬地管轄、屬人管轄、保護性管轄及普遍性管轄原則，作為國內法效力范圍設定的正當化基礎①Restatement (Fourth) of Foreign Relations Law, §407。。具體來看，屬地原則是指國內法的效力止于一國領土邊界。屬人管轄則指國家根據國籍、住所等屬人連結點行使立法管轄權。保護性管轄強調對危害本國國家利益的行為成立立法管轄權。最后普遍管轄權專門針對損失國際社會利益以及嚴重侵犯人權的行為，如對海盜行為，各國均有權行使管轄權[17]460-461。目前這四種管轄權基礎已經得到國際社會的普遍認可，因此對于數據保護立法而言，也只有基于上述管轄權主張域外效力，才符合國際法上的合法性要求。

歐盟GDPR以效果原則為基礎設定域外適用規(guī)則。效果原則最初應用在美國反壟斷法領域，曾飽受爭議。但在當前實踐中，效果原則在反壟斷法、證券法等市場法領域得到廣泛采納，并衍生成為一項相對獨立的立法管轄權依據。效果原則本身是對屬地管轄的拓展，仍指向國內，但是一種特殊的屬地原則。因為其關注法律規(guī)制行為對本國造成的影響，而非行為實際發(fā)生地，換言之，該原則淡化行為的客觀地理因素，對屬地原則的適用作出高度彈性的設計，進而將發(fā)生在領土范圍之外的行為一并納入本國法律的適用范圍。同時應當注意，效果原則作為域外效力的判斷標準大多出現在市場法領域[18]。這主要因為在經濟全球化背景下，即使行為發(fā)生在域外，也會對國內市場產生不利影響，立法因而具有強烈的域外適用需求[19]。實際上，這與GDPR引入效果原則具有相似之處。信息技術進步使信息處理行為脫離屬地原則的束縛，導致數據處理行為發(fā)生地與損害結果地相分離，為了保障歐盟數據主體的權利以及應對數據霸權國家對本國數據產業(yè)的威脅，歐盟立法因而在設定最高數據保護標準的同時，也通過效果原則最大限度地將這一國內標準擴張至域外。

此外屬人原則也可以為數據保護法的域外效力提供正當化依據。歐盟95指令和GDPR中皆根據屬人連結點提出“設立機構標準”。該標準對屬人連結點進行擴張，放寬對企業(yè)注冊地的限制，要求數據處理者或控制者在歐盟存在穩(wěn)定的安排和活動，因此有效確立了域外適用規(guī)則。此外，美國的CLOUD法案明確授權行政機關可以獲取美國公司在全球存儲的數據信息。以屬人連結點為基礎的設定本身并不違背國際法原則，但是由于美國數據公司向世界范圍提供服務，并在全球數據治理中占據領先地位，數據控制者標準的適用意味著美國可以對全球數據資源提出披露要求②法案同時規(guī)定數據服務商僅在兩種情況下可以提出抗辯：其一，用戶不是美國人且不居住在美國；其二，信息的披露將實質違背由美國認可的適格外國政府的法律。。這無疑將打破數據保護的主權壁壘，極大威脅各國對本國數據資源的控制以及國家安全[20]。

四、數據保護法域外效力問題的中國立場

在信息技術、數據多元價值等因素的推動下，數據保護規(guī)則的域外效力問題由此產生。實然層面，無論是通過明確規(guī)定還是做更為寬泛的解釋，域外效力問題在立法與司法實踐中都已經有所體現。司法與立法兩種路徑既相互關聯又各有側重。司法路徑相對被動，需要法院對傳統(tǒng)數據立法進行擴張解釋，在個案分析中積累域外適用的經驗。立法路徑更為直接，在需要通過創(chuàng)設新的連結點實現本國數據政策時，國家有必要通過立法方式對本國數據保護法的域外效力作出直接宣示。事實上，各國數據保護法在域外效力問題上的選擇是由國家意志決定，但是域外效力問題仍然需要放置在國際法框架下進行審視?？疾靽H公約、判例以及習慣法原則，國際法并不禁止本國數據保護法中域外效力規(guī)定，但各國在數據立法實踐中一般以國際社會廣泛接受的習慣法原則為正當性基礎，根據本國的數據政策選擇不同連結點來設定域外規(guī)則的范圍。

對于中國而言，數據保護法域外效力問題的討論具有更多意義。當前中國網絡用戶人數已位居世界首位，數字經濟規(guī)模位列全球第二，數字背后既反映出數據產業(yè)的強大實力，又對數據的保護與立法規(guī)制提出更高要求。除此之外，國際社會在數據保護法領域尚未形成共同規(guī)則，從單邊思路為本土數據保護規(guī)則的適用開通域外適用路徑，將有利于中國在積累本國數據立法經驗的同時，與全球數據治理建立內外聯動模式，推動數據保護國際規(guī)則的形成。但總體來看，中國數據法律體系仍存在一些問題：由國家互聯網信息辦公室主導已陸續(xù)制定《網絡安全審查辦法》《互聯網個人信息安全保護指南》《兒童個人信息網絡保護規(guī)定》等法律文件，但是尚未出臺一部統(tǒng)一的個人數據保護法，立法相對碎片化，規(guī)制目標不明確，對于個人數據保護問題的評價也主要停留在國家安全視角，難以兼顧數據權利保護與數據市場的需求[4]150。具體在數據保護立法的適用范圍問題上，缺少對域外效力條款的專門規(guī)定，中國難以在跨境數據規(guī)制中發(fā)揮積極作用。

中國在未來個人數據保護立法中，為直接彌補在域外適用規(guī)則方面的不足，應通過立法方式確立域外效力條款。對于域外效力條款的具體設定可以借鑒國外經驗，在不違反國際法規(guī)則的同時，更多考慮中國數據產業(yè)發(fā)展現狀與政策的規(guī)制目標。以美國CLOUD法的域外適用為例，數據控制者標準的選擇與美國跨國數據企業(yè)在全球市場的霸權地位密切相關，包括歐盟在內的任何國家實體顯然不能按照此種方式構建數據立法的域外效力條款。相形之下，以歐盟立法為代表，根據設立機構標準和效果原則設定域外效力的做法更符合中國需要。首先，根據設立機構標準，可以克服數據處理行為地認定的技術難題，將在本國范圍內從事穩(wěn)定數據活動的企業(yè)均納入規(guī)制范圍。其次，對于設立機構標準之外的情況，以效果原則為連接點，對于中國這種擁有巨型數據市場的大國來說尤為重要。一方面，可以盡量避免外國數據處理企業(yè)借助數據業(yè)務的特定模式利用中國數據市場，同時逃避中國數據立法約束；另一方面，這樣做可能加重中國數據企業(yè)“走出去”的合規(guī)成本，但從長遠角度看，可以更全面地保障中國企業(yè)和個人數據權益，提高企業(yè)核心競爭力。此外，在域外效力規(guī)則的實施過程中，應建立統(tǒng)一監(jiān)督機構，為中國數據權利主體提供行政控告以及司法訴訟多種救濟途徑。在司法層面，應強化法院在適用域外效力規(guī)則中所起的作用，支持法院綜合個案事實對中國數據保護立法的效力范圍進行解釋，與立法、行政機關之間形成良性互動，推動中國數據治理體系的構建。

有學者擔憂，一旦世界各國普遍對其法律賦予域外效力，是否將激化國家之間的法律沖突，為商業(yè)發(fā)展與權利保護帶來更多不確定性，阻礙個人數據的全球流通。對此假設應當理性看待，數據保護天然具有“跨境”特質，借助網絡在全球范圍內的流通勢必會動搖原本以主權為界限的國內立法，在此領域的域外效力規(guī)定是應有之義。更重要的，數據保護領域域外效力的立法實際上并不是可以任意為之，其實際效果根本取決于一國的國家實力。以中國強大的國家實力作為后盾，中國有需求同時有條件認可數據保護法的域外效力。與此同時，中國作為負責任有擔當的大國，一直以來致力于國際社會的和平穩(wěn)定發(fā)展，數據保護法域外效力的規(guī)定只是為中國參與國際數據市場的良性競爭、充分保護個人數據與維護國家安全等多重目標的平衡過程提供多一重法律路徑，并不排除中國參與國際協(xié)商以及自我約束機制的保留，這種立法上的探索不僅具有本土意義，也可以為國際社會的數據規(guī)制貢獻出中國智慧。