馬亞文　張? ?

摘要：大數(shù)據(jù)時(shí)代，跨境數(shù)據(jù)流動帶來的管轄權(quán)難題，使得數(shù)據(jù)立法的域外適用成為各國及地區(qū)保障本國數(shù)據(jù)主權(quán)與安全的重要手段。對歐盟GDPR域外適用的歷史背景和適用現(xiàn)狀進(jìn)行研究，有助于借鑒歐盟經(jīng)驗(yàn)，進(jìn)一步提高我國數(shù)據(jù)法域外適用的水平。本文運(yùn)用了文本研究法與案例研究法，并結(jié)合GDPR的具體內(nèi)容，分析了歐盟GDPR域外適用的發(fā)展歷程、適用標(biāo)準(zhǔn)、發(fā)展成效，總結(jié)了歐盟GDPR域外適用的優(yōu)勢與缺陷。研究發(fā)現(xiàn)：歐盟GDPR域外適用的內(nèi)容設(shè)置與實(shí)踐成效有利于中國《個(gè)人信息保護(hù)法》域外適用條款的現(xiàn)實(shí)適用。我國在借鑒歐盟有益經(jīng)驗(yàn)的基礎(chǔ)上，加強(qiáng)《個(gè)人信息保護(hù)法》域外適用條款的解釋適用，綜合提高我國數(shù)據(jù)治理話語權(quán)，同時(shí)吸取歐盟的歷史教訓(xùn)，強(qiáng)化域外執(zhí)法合作。

關(guān)鍵詞：GDPR；域外適用；數(shù)據(jù)保護(hù)；《個(gè)人信息保護(hù)法》

當(dāng)前，數(shù)據(jù)已成為國家基礎(chǔ)性戰(zhàn)略資源和關(guān)鍵生產(chǎn)要素。數(shù)據(jù)的跨境流動是數(shù)字經(jīng)濟(jì)發(fā)展的重要推動力，其在創(chuàng)造巨大經(jīng)濟(jì)價(jià)值的同時(shí)，也對個(gè)人信息保護(hù)和國家安全構(gòu)成了實(shí)質(zhì)性威脅。數(shù)據(jù)跨境帶來的管轄權(quán)難題，使各國開始思考如何擴(kuò)大本國法律的適用范圍至域外以充分保護(hù)本國數(shù)據(jù)主體的權(quán)利，數(shù)據(jù)立法的域外適用成為必然趨勢。所謂國內(nèi)法的域外適用，一般是指法律在本國管轄范圍之外產(chǎn)生確定拘束力，實(shí)現(xiàn)國內(nèi)法域外效力的過程。

2018年5月25日生效的歐盟《通用數(shù)據(jù)保護(hù)條例》（以下簡稱GDPR）是全球范圍內(nèi)影響最大的個(gè)人數(shù)據(jù)立法之一，其所設(shè)定的域外適用條款引發(fā)了國際上廣泛的爭議和討論。GDPR確立“經(jīng)營場所標(biāo)準(zhǔn)”和“目標(biāo)指向標(biāo)準(zhǔn)”作為確定域外適用的衡量標(biāo)準(zhǔn)，以對本國數(shù)據(jù)主體進(jìn)行保護(hù)。我國2021年11月通過的《個(gè)人信息保護(hù)法》也借鑒了GDPR的立法實(shí)踐，確立了該法的域外效力?；诖?，本文以GDPR域外適用條款為重點(diǎn)，分析GDPR域外適用制度設(shè)計(jì)及適用現(xiàn)狀，以期給我國《個(gè)人信息保護(hù)法》的解釋和適用提供參考。

一、歐盟GDPR域外適用的背景及成因

（一）歐盟GDPR域外適用的歷史背景

歐盟一直是數(shù)據(jù)立法的引領(lǐng)者。于1970年制定頒布的數(shù)據(jù)保護(hù)法令是世界上第一部數(shù)據(jù)保護(hù)法令。自《關(guān)于保護(hù)隱私和個(gè)人數(shù)據(jù)國際流通的指南》到《關(guān)于個(gè)人數(shù)據(jù)自動化處理的個(gè)人保護(hù)公約》，歐盟數(shù)據(jù)保護(hù)立法逐漸走向成熟。1995年，歐盟委員會頒布了《保護(hù)個(gè)人享有的與個(gè)人數(shù)據(jù)處理有關(guān)的權(quán)利以及個(gè)人數(shù)據(jù)自由流動的指令》（以下簡稱“95指令”），由于95指令在各成員國適用存在較大差異，因此，歐盟委員會最終決定以《通用數(shù)據(jù)保護(hù)條例》（GDPR）取代95指令。

2018年5月25日，GDPR的生效使歐盟數(shù)據(jù)保護(hù)水平達(dá)到了前所未有的高度。GDPR作為歐盟頒布的專門性數(shù)據(jù)保護(hù)條例，直接適用于歐盟各成員國。自此，歐盟開啟了數(shù)據(jù)立法域外適用的新局面。

（二）歐盟GDPR域外適用的現(xiàn)實(shí)成因

1．歐盟數(shù)字經(jīng)濟(jì)發(fā)展整體滯后。歐盟雖具備豐富的數(shù)據(jù)資源，但其數(shù)字經(jīng)濟(jì)發(fā)展卻相對滯后。根據(jù)世界銀行統(tǒng)計(jì)，2019年歐盟經(jīng)濟(jì)總量約占世界經(jīng)濟(jì)總量的15.77%，然而歐洲數(shù)字企業(yè)的市值占全球數(shù)字企業(yè)總市值卻不足4%。與此同時(shí)，臉書、谷歌等美國互聯(lián)網(wǎng)企業(yè)卻依托歐盟的數(shù)據(jù)市場優(yōu)勢獲得了發(fā)展。據(jù)統(tǒng)計(jì)，臉書在歐盟擁有超過2.5億用戶，歐洲市場的收入占臉書全球收入的25%。歐盟本土企業(yè)與非本土企業(yè)數(shù)據(jù)利用率的懸殊反映了歐盟數(shù)字經(jīng)濟(jì)發(fā)展的滯后，由此引發(fā)了歐盟對數(shù)據(jù)安全問題的擔(dān)憂。如何規(guī)制境外經(jīng)營者處理境內(nèi)數(shù)據(jù)，充分保護(hù)數(shù)據(jù)主體權(quán)利成為歐盟數(shù)據(jù)立法亟待解決的關(guān)鍵問題。

2．?dāng)?shù)據(jù)跨境傳輸協(xié)議的實(shí)踐困局。美國的行業(yè)自律模式與歐盟的統(tǒng)一監(jiān)管模式產(chǎn)生碰撞，使得歐美數(shù)據(jù)跨境傳輸協(xié)議危機(jī)重重。基于雙方經(jīng)濟(jì)利益和數(shù)據(jù)安全的考量，歐美先后制定了《安全港協(xié)議》、《隱私盾協(xié)議》，以及《跨大西洋數(shù)據(jù)隱私框架》數(shù)據(jù)跨境傳輸協(xié)議。然而，歐盟數(shù)據(jù)保護(hù)理念的分歧使雙邊數(shù)據(jù)跨境傳輸協(xié)議難以發(fā)揮作用，無法有效保護(hù)個(gè)人數(shù)據(jù)。

第一，安全港協(xié)議被判無效。2015年10月6日，歐盟法院判決安全港協(xié)議無效。2013年6月25日，奧地利律師馬克斯·施雷姆斯（Max Schrems），以其個(gè)人數(shù)據(jù)未得到充分保護(hù)為由向愛爾蘭數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)進(jìn)行申訴，要求禁止臉書愛爾蘭公司將其個(gè)人數(shù)據(jù)傳輸至美國總部。歐盟法院認(rèn)為，安全港協(xié)議存在數(shù)據(jù)安全隱患，其不再適合作為歐美數(shù)據(jù)傳輸?shù)摹凹~帶”。事實(shí)上，即使沒有棱鏡門事件，諸如美國數(shù)據(jù)保護(hù)水平的要求不符合95指令等安全港協(xié)議的自身問題也將導(dǎo)致安全港協(xié)議無效。

第二，隱私盾協(xié)議被判無效。2020年7月，隱私盾協(xié)議被歐盟法院裁定無效。2015年底，施雷姆斯再次以相同理由向愛爾蘭數(shù)據(jù)保護(hù)委員會投訴要求其暫停Facebook使用標(biāo)準(zhǔn)合同條款向美國傳輸歐盟公民數(shù)據(jù)。由于二審期間隱私盾協(xié)議生效，愛爾蘭高等法院對隱私盾協(xié)議一并發(fā)起審查，認(rèn)為隱私盾協(xié)議存在以下問題：第一，美國所開展的情報(bào)活動不符合比例原則。第二，美國未向歐盟數(shù)據(jù)主體提供有效救濟(jì)。由此可知，判決隱私盾協(xié)議無效合乎實(shí)際。

第三，《跨大西洋數(shù)據(jù)隱私框架》前途未知。2022年4月，歐盟數(shù)據(jù)保護(hù)委員會（EDPB）通過并宣布新的《跨大西洋數(shù)據(jù)隱私框架》的聲明。目前，《跨大西洋數(shù)據(jù)隱私框架》尚未出臺細(xì)致的法律規(guī)則，美國在初始協(xié)議中所做的承諾能否實(shí)現(xiàn)尚不確定。美國對外宣稱崇尚自由，數(shù)據(jù)保護(hù)理念傾向于行業(yè)自律，其法律傳統(tǒng)在此次協(xié)議中能否改變尚存疑問。并且，歐美數(shù)據(jù)跨境傳輸協(xié)議歷經(jīng)兩次失敗，美國能否吸取教訓(xùn)值得懷疑。

第四，互聯(lián)網(wǎng)新技術(shù)發(fā)展的立法回應(yīng)。95指令地域適用條款難以應(yīng)對信息技術(shù)的高速發(fā)展，無法有效保護(hù)歐盟數(shù)據(jù)主體的權(quán)利。2006年，云計(jì)算模式剛剛興起，企業(yè)可以依據(jù)行之有效的數(shù)據(jù)保護(hù)方法將依托云模式形成的商業(yè)潛力最大化。但云模式?jīng)]有物理界線，在一個(gè)國家產(chǎn)生的數(shù)據(jù)可在另一個(gè)國家被存儲，由此產(chǎn)生的數(shù)據(jù)保護(hù)問題應(yīng)當(dāng)適用哪個(gè)國家的法律具有不確定性。

雖然2010年岡薩雷斯案的判決在一定程度上確立了95指令的長臂管轄原則，但其無法有效解決信息技術(shù)發(fā)展帶來的歐盟數(shù)據(jù)保護(hù)問題。2010年2月西班牙公民岡薩雷斯向西班牙數(shù)據(jù)保護(hù)局提出對西班牙報(bào)紙發(fā)行商La Vanguardia以及谷歌公司及其西班牙分支機(jī)構(gòu)（Google Spain SL，以下簡稱谷歌西班牙）的申訴，稱網(wǎng)絡(luò)用戶可以使用谷歌搜索引擎搜索到顯示原告的房產(chǎn)因進(jìn)入追繳社保欠費(fèi)的扣押程序而被強(qiáng)制拍賣的公告。但是，原告認(rèn)為上述扣押程序早已被解決，因而要求西班牙報(bào)紙發(fā)行商La Vanguardia刪除或者修改有關(guān)頁面，并要求谷歌公司以及谷歌西班牙刪除或者屏蔽與之有關(guān)的個(gè)人信息。法院根據(jù)95指令的適用范圍條款判定該案適用95指令。此案件判決雖然表明95指令在符合一定條件時(shí)將產(chǎn)生域外適用的效果。然而，95指令在規(guī)定上的模糊性容易使案件的處理存在爭議，GDPR中設(shè)定的域外適用條款將有效避免上述爭議的發(fā)生。

二、歐盟GDPR域外適用標(biāo)準(zhǔn)認(rèn)定及成效評析

當(dāng)前，歐盟成員國通行的數(shù)據(jù)保護(hù)法為2018年發(fā)布的《通用數(shù)據(jù)保護(hù)條例》（以下簡稱GDPR），其取代95指令，成為歐盟各成員國可以直接適用的法律文件。其通過設(shè)置域外適用范圍條款的方式，擴(kuò)大歐盟的管轄范圍，將條例適用到歐盟以外的國家或地區(qū)，從而為歐盟數(shù)據(jù)的跨境流動保駕護(hù)航。GDPR的實(shí)施對于歐盟乃至全世界的數(shù)據(jù)隱私保護(hù)有著深遠(yuǎn)的影響。

（一）GDPR域外適用標(biāo)準(zhǔn)設(shè)立及認(rèn)定

域外適用標(biāo)準(zhǔn)是歐盟GDPR域外適用的基礎(chǔ)。如何能夠使管轄范圍延伸到一般情況下本國法涉及不到的區(qū)域，或者如何能夠管理發(fā)生在本國境外的數(shù)據(jù)處理行為，關(guān)鍵在于擴(kuò)大管轄權(quán)，即將域外行為納入本國法的管轄范圍之內(nèi)。對于管轄范圍的確定，GDPR第3條確立了兩種域外適用標(biāo)準(zhǔn)：經(jīng)營場所標(biāo)準(zhǔn)和目標(biāo)指向標(biāo)準(zhǔn)。

1．“經(jīng)營場所標(biāo)準(zhǔn)”的設(shè)立及認(rèn)定。GDPR第3條第1款確立了“經(jīng)營場所標(biāo)準(zhǔn)”，即如果數(shù)據(jù)控制者或處理者在歐盟境內(nèi)設(shè)置了經(jīng)營場所，且該行為屬于經(jīng)營場所的活動范圍內(nèi)，無論其處理數(shù)據(jù)的行為是否發(fā)生在歐盟境內(nèi)，均受到該條例的管轄。該標(biāo)準(zhǔn)的關(guān)鍵在于“經(jīng)營場所”和“數(shù)據(jù)處理行為是否屬于經(jīng)營場所的活動范圍之內(nèi)”的認(rèn)定。2019年11月12日，EDPB發(fā)布了《GDPR地域適用范圍的第3/2018號指南》，具體解釋了經(jīng)營場所標(biāo)準(zhǔn)的適用條件。

第一，關(guān)于“歐盟境內(nèi)是否存在經(jīng)營場所”的認(rèn)定。首先，根據(jù)GDPR序言第22條，經(jīng)營場所是通過穩(wěn)定的安排開展真實(shí)而有效的處理活動的機(jī)構(gòu)，該機(jī)構(gòu)的法律形式并不能就此決定該機(jī)構(gòu)的性質(zhì)。EDPB指出，判斷設(shè)立在歐盟境外的企業(yè)在歐盟成員國內(nèi)是否存在經(jīng)營場所，必須基于活動和提供服務(wù)的特定性質(zhì)來判斷安排的穩(wěn)定程度和在該成員國從事活動的有效性，尤其是在確認(rèn)專門通過互聯(lián)網(wǎng)提供服務(wù)的企業(yè)是否在歐盟境內(nèi)有商業(yè)存在。因此，在某些情況下，如果雇員或代理人在歐盟境內(nèi)的行為具有足夠穩(wěn)定性，則該非歐盟實(shí)體在歐盟境內(nèi)存在一個(gè)雇員或代理人可能構(gòu)成“穩(wěn)定的安排”這一要求。例如，總公司在美國的一家互聯(lián)網(wǎng)公司在布魯塞爾設(shè)立了分支機(jī)構(gòu)，負(fù)責(zé)監(jiān)督其在歐洲的營銷業(yè)務(wù)，那么布魯塞爾分支機(jī)構(gòu)就被認(rèn)為是經(jīng)營場所，符合經(jīng)營場所標(biāo)準(zhǔn)。Weltimmo案進(jìn)一步對“經(jīng)營場所”進(jìn)行擴(kuò)大解釋。在Weltimmo案中，鑒于Weltimmo公司在匈牙利有一名代表，且其負(fù)責(zé)與業(yè)務(wù)活動有關(guān)的事項(xiàng)，最終歐洲法院認(rèn)定該公司在匈牙利存在經(jīng)營場所而適用匈牙利數(shù)據(jù)保護(hù)相關(guān)規(guī)定。

第二，關(guān)于“數(shù)據(jù)處理行為是否屬于經(jīng)營場所的活動范圍之內(nèi)”的認(rèn)定。對此，EDPB提出了兩種分析：其一，要求數(shù)據(jù)處理行為與經(jīng)營場所的業(yè)務(wù)范圍之間存在無法割裂的緊密聯(lián)系，無論境內(nèi)的經(jīng)營場所是否參與了數(shù)據(jù)處理活動，均會導(dǎo)致GDPR的適用；其二，如果在歐盟境內(nèi)的經(jīng)營場所從事營利活動，且該活動被視為與歐盟境外的個(gè)人數(shù)據(jù)處理活動以及歐盟境內(nèi)個(gè)人具有不可分割的關(guān)聯(lián)性，即可以表明“非歐盟境內(nèi)的數(shù)據(jù)控制者或處理者進(jìn)行處理活動屬于在歐盟境內(nèi)經(jīng)營場所的經(jīng)營活動范圍內(nèi)”。聚焦“數(shù)據(jù)處理行為”本身而不是數(shù)據(jù)處理行為發(fā)生的位置，這種立法角度將有效避免出現(xiàn)法律規(guī)避現(xiàn)象。

2．“目標(biāo)指向標(biāo)準(zhǔn)”的設(shè)立及認(rèn)定。GDPR第3條第2款確立了“目標(biāo)指向標(biāo)準(zhǔn)”，即如果數(shù)據(jù)處理者、控制者沒有在歐盟境內(nèi)設(shè)立經(jīng)營場所，但其行為是向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或者服務(wù)，或者對歐盟境內(nèi)的數(shù)據(jù)主體進(jìn)行監(jiān)控，同樣屬于GDPR的管轄范圍。目標(biāo)指向標(biāo)準(zhǔn)的前身是95指令確立的設(shè)備使用標(biāo)準(zhǔn)，GDPR不再僅憑借處理數(shù)據(jù)的設(shè)備位置來確定法律的適用，而是將特定地域內(nèi)的數(shù)據(jù)處理行為作為確定法律適用的根據(jù)。一定程度上，目標(biāo)指向標(biāo)準(zhǔn)彌補(bǔ)了經(jīng)營場所標(biāo)準(zhǔn)的缺陷，即在滿足“經(jīng)營場所標(biāo)準(zhǔn)”的適用條件時(shí)，考慮該行為是否符合目標(biāo)指向標(biāo)準(zhǔn)中關(guān)于數(shù)據(jù)處理行為的要求。

（1）對歐盟內(nèi)的數(shù)據(jù)主體提供商品或者服務(wù)的理解。GDPR序言第23條指出，對于數(shù)據(jù)處理者或者控制者是否向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或者服務(wù)的理解，應(yīng)當(dāng)確定數(shù)據(jù)處理者或者控制者是否明確向歐盟境內(nèi)的數(shù)據(jù)主體提供服務(wù)。如果僅僅是訪問歐盟的控制者、處理者或者中介網(wǎng)站、電子郵件地址或者其他聯(lián)系方式，或者僅使用控制者成立的第三國通用的語言，不足以確定這種意圖。與之相反，如果使用一個(gè)或者多個(gè)成員國通用的語言或者貨幣，并有可能以該語言訂購商品和服務(wù)，或者提及在歐盟的客戶或者用戶，則表明控制者設(shè)想提供商品或者為歐盟境內(nèi)的數(shù)據(jù)主體提供服務(wù)。因此，在判斷數(shù)據(jù)控制者、處理者是否屬于向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或者服務(wù)時(shí)，應(yīng)當(dāng)綜合判斷行為的意圖。

（2）對發(fā)生在歐洲范圍內(nèi)的數(shù)據(jù)主體的活動進(jìn)行監(jiān)控的理解。GDPR序言第24段指出，在判斷是否對歐盟境內(nèi)的數(shù)據(jù)主體進(jìn)行監(jiān)控時(shí)，應(yīng)當(dāng)確定是否在互聯(lián)網(wǎng)上跟蹤自然人，以及是否根據(jù)行為人在互聯(lián)網(wǎng)上的遺留數(shù)據(jù)適用特別技術(shù)對數(shù)據(jù)主體的個(gè)人偏好等進(jìn)行分析。例如，利用數(shù)據(jù)主體的網(wǎng)頁瀏覽數(shù)據(jù)為其制作用戶畫像。

（二）GDPR域外適用成效評析

經(jīng)過歐盟委員會和歐洲理事會長達(dá)四年的醞釀和協(xié)商，GDPR開啟了歐盟數(shù)據(jù)保護(hù)的新征程。其中GDPR第3條明確規(guī)定了法律適用范圍，提出了域外適用的標(biāo)準(zhǔn)，對于保護(hù)數(shù)據(jù)主體權(quán)利具有里程碑意義。鑒于《個(gè)人信息保護(hù)法》借鑒了GDPR域外適用的立法實(shí)踐，因此有必要分析GDPR域外適用的實(shí)踐效果。

1．域外適用的積極效應(yīng)。GDPR確立域外適用效力以來，產(chǎn)生了一定的積極成效。不僅為數(shù)據(jù)主體權(quán)利提供充分的保護(hù)和救濟(jì)，也有效推廣了數(shù)據(jù)治理領(lǐng)域的“歐盟標(biāo)準(zhǔn)”，進(jìn)一步爭奪數(shù)據(jù)治理國際話語權(quán)。具體包括以下兩個(gè)方面：

一方面，充分保護(hù)數(shù)據(jù)主體權(quán)利。充分保護(hù)數(shù)據(jù)主體權(quán)利是GDPR域外適用的出發(fā)點(diǎn)和落腳點(diǎn)。歐盟數(shù)據(jù)市場優(yōu)勢來源于歐盟境內(nèi)的數(shù)據(jù)主體的力量，保障數(shù)據(jù)主體權(quán)利是有效促進(jìn)數(shù)據(jù)資源豐富和更新的關(guān)鍵。歐盟通過設(shè)置域外適用標(biāo)準(zhǔn)擴(kuò)大歐盟法管轄范圍，以實(shí)現(xiàn)對于傳輸至境外國家或者地區(qū)的數(shù)據(jù)主體權(quán)利的充分保護(hù)。主要體現(xiàn)在以下兩點(diǎn)：其一，GDPR域外適用能夠同等保護(hù)傳輸至境外的數(shù)據(jù)，防止因各國數(shù)據(jù)保護(hù)水平的參差而面臨數(shù)據(jù)安全問題。其二，數(shù)據(jù)主體申請權(quán)利救濟(jì)更加便捷。相較于跨境訴訟，數(shù)據(jù)主體更熟悉本國實(shí)體法和本國訴訟程序，其在本國起訴更為簡單高效，從而有效保障數(shù)據(jù)主體獲得權(quán)利救濟(jì)。因此，GDPR域外適用在一定程度上可以實(shí)現(xiàn)數(shù)據(jù)主體權(quán)利保護(hù)最大化。

另一方面，有效輸出數(shù)據(jù)保護(hù)“歐盟標(biāo)準(zhǔn)”。當(dāng)前，跨國公司是歐盟數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)向外輸出的載體。為了利用歐盟的數(shù)據(jù)資源，許多知名跨國互聯(lián)網(wǎng)公司（谷歌、微軟、臉書等）在歐盟境內(nèi)設(shè)立了分支機(jī)構(gòu)。根據(jù)GDPR經(jīng)營場所標(biāo)準(zhǔn)，分支機(jī)構(gòu)屬于經(jīng)營場所范疇。此外，跨國公司的最大特點(diǎn)在于業(yè)務(wù)具有相通性，即一項(xiàng)業(yè)務(wù)可能會由多個(gè)分支機(jī)構(gòu)共同操作。倘若歐盟境外的分支機(jī)構(gòu)或者總公司意圖同歐盟境內(nèi)的分支機(jī)構(gòu)一同處理某項(xiàng)涉及歐盟數(shù)據(jù)的任務(wù)，也將會受到GDPR的制約。因此，歐盟利用跨國公司的上述特點(diǎn)以實(shí)現(xiàn)其數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)的對外輸出，促進(jìn)歐盟標(biāo)準(zhǔn)走向世界，從而有效提升歐盟在數(shù)據(jù)保護(hù)領(lǐng)域的國際話語權(quán)和影響力。目前，國際上還沒有形成統(tǒng)一的數(shù)據(jù)保護(hù)法律體系，歐盟數(shù)據(jù)保護(hù)領(lǐng)域話語權(quán)的大小對今后全球數(shù)據(jù)保護(hù)體系的內(nèi)容建設(shè)具有重要作用。并且，歐盟希望未來能夠借此建立起統(tǒng)一規(guī)范化數(shù)字市場、把握數(shù)字經(jīng)濟(jì)主權(quán)，在數(shù)字經(jīng)濟(jì)領(lǐng)域成為與美、中比肩的第三極。

2．域外適用的執(zhí)行難題。執(zhí)行難是GDPR域外適用中存在的突出問題。歐盟的域外規(guī)制主要聚焦于數(shù)據(jù)保護(hù)領(lǐng)域，其意圖借助單一數(shù)據(jù)市場來實(shí)現(xiàn)對數(shù)據(jù)處理者和控制者的管轄。然而，由于缺乏對數(shù)據(jù)保護(hù)域外執(zhí)行方案的進(jìn)一步說明，也未解釋如何處理管轄權(quán)的沖突，GDPR域外適用在執(zhí)行方面正面臨一些風(fēng)險(xiǎn)和挑戰(zhàn)。

一方面，在尚未形成統(tǒng)一的數(shù)據(jù)保護(hù)體系之前，GDPR域外適用條款在執(zhí)行中容易同其他國家形成平行法上的沖突。有學(xué)者提出，個(gè)人數(shù)據(jù)保護(hù)法案在本質(zhì)上會涉及一國對數(shù)據(jù)領(lǐng)域的管制權(quán)，關(guān)系到國家數(shù)據(jù)主權(quán)和管轄利益，也在一定程度上反映了一國在數(shù)據(jù)治理方面的價(jià)值選擇。因此，由于每個(gè)國家價(jià)值選擇和數(shù)據(jù)治理理念的不同，其在數(shù)據(jù)保護(hù)方面也會形成不同的規(guī)制路徑和手段。GDPR域外適用條款僅為本地區(qū)法律管轄范圍的擴(kuò)張，與其他國家或地區(qū)的法律屬于平行關(guān)系，并不具備法律適用上的優(yōu)先性。

另一方面，歐盟域外執(zhí)行范圍過于寬泛化導(dǎo)致在實(shí)際執(zhí)行時(shí)出現(xiàn)選擇性執(zhí)行、理解性執(zhí)行的問題。例如，2019年歐盟法院在對Google v．CNIL案的判決中對被遺忘權(quán)的執(zhí)行范圍進(jìn)行了澄清，最終判決谷歌公司刪除歐盟境內(nèi)谷歌系統(tǒng)上的涉及數(shù)據(jù)主體的內(nèi)容。同時(shí)，歐盟法院認(rèn)為GDPR的條款并沒有對谷歌公司位于歐盟境外的搜索引擎版本施加義務(wù)，谷歌公司無需刪除歐盟境外的其他搜索引擎版本上的內(nèi)容。此案件中涉及的言論自由和個(gè)人數(shù)據(jù)保護(hù)的位階矛盾在全球各個(gè)國家有不同的認(rèn)知和理解。因而，本案中的執(zhí)行范圍很難涉及世界上其他與歐盟理念相悖的國家或者地區(qū)。故而在本案中，GDPR僅對歐盟境內(nèi)的主體具有域外適用的執(zhí)行權(quán)，歐盟境外主體并不在域外適用的執(zhí)行范圍內(nèi)。

三、歐盟GDPR域外適用的中國借鑒

歐盟GDPR域外適用有益于使數(shù)據(jù)權(quán)利得到足夠保護(hù)，有效提升歐盟數(shù)據(jù)治理國際話語權(quán)。與此同時(shí)，其內(nèi)在缺陷也導(dǎo)致實(shí)踐中的執(zhí)行難問題。我國《個(gè)人信息保護(hù)法》第3條在一定程度上借鑒GDPR立法實(shí)踐規(guī)定域外適用條款，但具體規(guī)定較為抽象，仍需進(jìn)一步澄清。因此，我國有必要在深入分析GDPR域外適用實(shí)踐情況的基礎(chǔ)上，進(jìn)一步完善我國《個(gè)人信息保護(hù)法》域外適用條款的解釋適用。

（一）加強(qiáng)對域外適用條款的解釋適用

《個(gè)人信息保護(hù)法》確立了域外適用的“處理行為發(fā)生地標(biāo)準(zhǔn)”和“目標(biāo)指向標(biāo)準(zhǔn)”，未來有必要進(jìn)一步細(xì)化解釋。第3條規(guī)定：“在中華人民共和國境內(nèi)處理自然人個(gè)人信息的活動，適用本法。在中華人民共和國境外處理中華人民共和國境內(nèi)自然人個(gè)人信息的活動，有下列情形之一的，也適用本法：（一）以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的；（二）分析、評估境內(nèi)自然人的行為；（三）法律、行政法規(guī)規(guī)定的其他情形?！狈治隹芍?，不同于GDPR的“經(jīng)營場所標(biāo)準(zhǔn)”，《個(gè)人信息保護(hù)法》第3條第1款確立了“處理行為發(fā)生地標(biāo)準(zhǔn)”，但在具體實(shí)踐中，精確定位“處理行為發(fā)生地”難度極大。在數(shù)據(jù)傳輸過程中，可能會涉及多個(gè)位于不同位置的服務(wù)器以及遍布全球的網(wǎng)絡(luò)線路，數(shù)據(jù)傳輸?shù)目缇承允沟锰幚硇袨榈陌l(fā)生地不易被確定在某一特定位置。因此，對數(shù)據(jù)處理行為發(fā)生地的認(rèn)定是一項(xiàng)技術(shù)性較強(qiáng)的工作，難以準(zhǔn)確把握。因此，我國未來應(yīng)對“處理行為發(fā)生地標(biāo)準(zhǔn)”作細(xì)化解釋，以增強(qiáng)其可適用性。例如，歐盟針對其“經(jīng)營場所標(biāo)準(zhǔn)”中“數(shù)據(jù)處理行為是否位于經(jīng)營場所的活動范圍之內(nèi)”這一要件作出細(xì)化解釋，即如果數(shù)據(jù)處理者或數(shù)據(jù)控制者的數(shù)據(jù)處理行為與該連接點(diǎn)具有緊密的聯(lián)系，即便數(shù)據(jù)處理行為本身沒有發(fā)生在歐盟境內(nèi)，亦受到GDPR的約束。此外，《個(gè)人信息保護(hù)法》第3條第2款受GDPR啟發(fā)，確立了“目標(biāo)指向標(biāo)準(zhǔn)”，對于何為“以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的”和“分析、評估境內(nèi)自然人的行為”有待于未來進(jìn)一步細(xì)化闡釋。例如，GDPR序言第23條對為歐盟內(nèi)的數(shù)據(jù)主體提供商品或者服務(wù)進(jìn)行闡釋，即應(yīng)確定數(shù)據(jù)控制者或處理者明顯地打算向歐盟一個(gè)或多個(gè)成員國的數(shù)據(jù)主體提供服務(wù)。

（二）強(qiáng)化域外執(zhí)法合作

順利執(zhí)法是衡量域外適用條款現(xiàn)實(shí)效果的關(guān)鍵因素，也是數(shù)據(jù)保護(hù)法域外適用的重要手段。其中，域外執(zhí)法合作是順利執(zhí)法的關(guān)鍵所在。在當(dāng)前國際背景下，盡管各國可以依據(jù)本國法對域外案件進(jìn)行審理和執(zhí)行，但是由于強(qiáng)制性權(quán)利所具有的地域限制，跨越國家疆界進(jìn)行信息查詢、扣押相關(guān)設(shè)備、執(zhí)行行政罰款等行為多數(shù)取決于他國的意愿，因而，若得不到案件所涉國家的同意或者協(xié)作，執(zhí)法效果將不盡如人意。并且，在未經(jīng)別國同意的情況下，為執(zhí)行本國法律而在別國領(lǐng)土上采取執(zhí)法措施，也將違反國際法的有關(guān)規(guī)定。不僅如此，實(shí)際案例中也凸顯了執(zhí)法合作的重要性。以“Ag-gre-gate IQ”案為例，本案中，英國數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)信息專員辦公室（ICO）積極與加拿大和不列顛哥倫比亞省的相關(guān)機(jī)構(gòu)進(jìn)行跨境執(zhí)法合作，并通過加拿大所屬機(jī)構(gòu)向加拿大公司Aggregate IQ Data Ser-vices Ltd（以下簡稱AIQ）施壓，最終使得AIQ承認(rèn)其違法數(shù)據(jù)處理行為，順利完成域外執(zhí)法活動，實(shí)現(xiàn)GDPR域外效力。但是，本案中兩國達(dá)成執(zhí)法合作主要是基于兩國相似的法律傳統(tǒng)、法律規(guī)定等先天優(yōu)勢，并不具備普適性。如前文所述，歐盟在GDPR域外適用的執(zhí)行方面仍存在平行法沖突、選擇性執(zhí)法等諸多妨礙域外適用效果的執(zhí)法難題，歐盟仍需要進(jìn)一步采取相關(guān)措施建立和完善具有普遍適用性的執(zhí)法合作機(jī)制。例如，歐盟積極參與全球合作網(wǎng)絡(luò)一“全球隱私執(zhí)法網(wǎng)絡(luò)”（GPEN），該網(wǎng)絡(luò)由全球60多個(gè)數(shù)據(jù)保護(hù)機(jī)構(gòu)組成，是目前唯一一個(gè)專門致力于數(shù)據(jù)執(zhí)法合作的全球網(wǎng)絡(luò)。同樣，為避免陷入與歐盟類似的執(zhí)法困境，保證我國《個(gè)人信息保護(hù)法》域外執(zhí)法活動的順利進(jìn)行，我國可以借鑒歐盟域外執(zhí)法經(jīng)驗(yàn)，加強(qiáng)域外執(zhí)法合作，通過提前與別國建立雙邊執(zhí)法合作框架，組織參與全球執(zhí)法合作網(wǎng)絡(luò)等方式在域外執(zhí)法中與別國開展合作，協(xié)調(diào)進(jìn)行限制本國權(quán)利的域外執(zhí)法活動，從而使得《個(gè)人信息保護(hù)法》等數(shù)據(jù)保護(hù)法規(guī)的域外效力條款不僅僅停留在文字上，而能切實(shí)發(fā)揮其域外效力。

（三）提升我國數(shù)據(jù)治理國際話語權(quán)

數(shù)據(jù)市場優(yōu)勢是我國提升數(shù)據(jù)治理體系國際話語權(quán)的重要支撐。我國的數(shù)據(jù)市場規(guī)模相當(dāng)龐大，根據(jù)第49次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示，截至2021年6月，我國網(wǎng)民規(guī)模為10.11億，互聯(lián)網(wǎng)普及率達(dá)71.6%。作為世界最大的消費(fèi)市場之一，歐盟僅憑自身市場力量就足以將歐盟標(biāo)準(zhǔn)轉(zhuǎn)化為全球標(biāo)準(zhǔn)。哥倫比亞大學(xué)歐洲法律研究中心主任阿努·布拉德福德將歐盟的此種立法影響比作布魯塞爾效應(yīng)。簡單來說，即歐盟境外跨國公司覬覦歐盟的數(shù)據(jù)資源，但獲取并利用歐盟數(shù)據(jù)資源就必須促使其企業(yè)相關(guān)規(guī)制符合歐盟的標(biāo)準(zhǔn)，如此便達(dá)到歐盟標(biāo)準(zhǔn)影響境外國家的效果。同樣，我國可以依據(jù)數(shù)據(jù)市場優(yōu)勢，借鑒歐盟經(jīng)驗(yàn)，形成中國版“布魯塞爾效應(yīng)”。在立法層面，我國可以借鑒GDPR域外規(guī)制的相關(guān)內(nèi)容擴(kuò)大法律管轄范圍，同時(shí)通過數(shù)據(jù)立法表達(dá)我國的數(shù)據(jù)保護(hù)理念和目的。在貿(mào)易制度層面，我國應(yīng)在保障經(jīng)濟(jì)安全的基礎(chǔ)上盡可能放寬外資企業(yè)進(jìn)入中國市場，為我國數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)境外輸出做好工具準(zhǔn)備。最后，整合各方面力量依據(jù)市場優(yōu)勢由跨國公司的境內(nèi)機(jī)構(gòu)作為引線觸發(fā)至境外的機(jī)構(gòu)，對跨國公司形成連鎖反應(yīng)，從而實(shí)現(xiàn)中國標(biāo)準(zhǔn)的境外輸出。如此便能讓我國在全球數(shù)據(jù)治理體系的構(gòu)建中獲得更多的支持，贏得更多的話語權(quán)，實(shí)現(xiàn)維護(hù)數(shù)據(jù)主權(quán)和數(shù)據(jù)安全的目的。

四、結(jié)語

在形成統(tǒng)一的全球數(shù)據(jù)治理體系之前，避免數(shù)據(jù)跨境傳輸產(chǎn)生的國內(nèi)數(shù)據(jù)安全問題，成為全球各國的關(guān)注焦點(diǎn)。歐盟將對人權(quán)的重視聚焦于對數(shù)據(jù)權(quán)利的保護(hù)，依據(jù)GDPR中的域外適用范圍內(nèi)容達(dá)成了對域外數(shù)據(jù)處理行為的有效規(guī)制。我國的域外適用內(nèi)容在《個(gè)人信息保護(hù)法》已經(jīng)有所體現(xiàn)，但仍存在諸多問題。并且，面對不斷更新的互聯(lián)網(wǎng)發(fā)展態(tài)勢，持續(xù)完善域外適用條款的解釋適用仍是我國現(xiàn)今數(shù)據(jù)立法的主要任務(wù)。我國應(yīng)在堅(jiān)持以本國國情為前提的基礎(chǔ)上，大膽借鑒和創(chuàng)新歐盟的數(shù)據(jù)保護(hù)域外適用內(nèi)容。針對管轄范圍條款的內(nèi)容設(shè)定，我國應(yīng)在原始條款的基礎(chǔ)上對其進(jìn)行合理化解釋，以發(fā)揮域外適用條款的主要功能。同時(shí)，針對歐盟出現(xiàn)的域外適用執(zhí)行難題，應(yīng)注重開展國際執(zhí)法合作，保障我國數(shù)據(jù)法域外適用的可執(zhí)行性。另外，全球數(shù)據(jù)治理體系話語權(quán)關(guān)乎我國數(shù)據(jù)主權(quán)和國家安全，應(yīng)當(dāng)憑借數(shù)據(jù)市場優(yōu)勢依托跨國公司輸出我國數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，在國際上形成公信力和影響力，以提高我國在構(gòu)建全球數(shù)據(jù)治理體系中的地位。

參考文獻(xiàn)：

[1]金晶．歐盟《一般數(shù)據(jù)保護(hù)條例》：演進(jìn)、要點(diǎn)與疑義[J].歐洲研究，2018（4）：1-26．

[2]廖詩評國內(nèi)法域外適用及其應(yīng)對——以美國法域外適用措施為例[J].環(huán)球法律評論，2019（3）：166-178

[3]王志安云計(jì)算和大數(shù)據(jù)時(shí)代的國家立法管轄權(quán)——數(shù)據(jù)本地化與數(shù)據(jù)全球化的大對抗？[J].交大法學(xué)，2019（1）：5-20．

[4]European Parliament， Council of the European Union. Gen-eral Data Protection Regulation[EB/OL].[2021-07-15]

[5]中國信通院．全球數(shù)字經(jīng)濟(jì)白皮書——疫情沖擊下的復(fù)蘇新曙光[EB/OL]．[2022-7-9]．

[6]黃三魯.GDPR實(shí)施三周年觀察：歐盟向左，創(chuàng)新向右[EB/OL].[2022-7-8]

[7]中技所研究部．科技監(jiān)管領(lǐng)域的“布魯塞爾效應(yīng)”將對數(shù)字經(jīng)濟(jì)產(chǎn)生什么影響[EB/OL].[2022-7-8]

[8]Davinia Brennan.The European Commission releases EU-US Privacy Shield[EB/OL].[2022-7-8]

[9]劉志雄跨境數(shù)據(jù)流動的全球態(tài)勢及對我國的啟示[J]人民論壇，2021（33）：102-105．

[10]單文華，鄧娜．歐美跨境數(shù)據(jù)流動規(guī)制：沖突、協(xié)調(diào)與借鑒——基于歐盟法院“隱私盾”無效案的考察[J].西安交通大學(xué)學(xué)報(bào)（社會科學(xué)版），2021，41（5）：94-103

[11]European Commission.European Commission and UnitedStates Joint Statement on Trans- Atlantic Data PrivacyFramework．[EB/OL]

[12]任曉玲個(gè)人數(shù)據(jù)保護(hù)立法推動技術(shù)創(chuàng)新——?dú)W盟擬修訂《數(shù)據(jù)保護(hù)指令》[J].中國發(fā)明與專利，2011（1）：100.

[13]漆彤，施小燕大數(shù)據(jù)時(shí)代的個(gè)人信息“被遺忘權(quán)”——評岡薩雷斯訴谷歌案[J].財(cái)經(jīng)法學(xué)，2015（3）：104-114

[14]Case C-131／12 Google Spain SL and Google Inc. v. Agen-cia Espanola de Proteccion de Datos （AEPD） andMarioCosteja Gonzalez.37.

[15]The European Data Protection Board. Guidelines 3/2018on the territorial scope of the GDPR （Article 3）.[EB/OL][2022-7-9].

[16]Case C230/14 Weltimmo s.r.o.v.Nemzeti Adatvedelmi ésInformacioszabadsag Hatosag

[17]洪延青，朱玲鳳，張朝，等歐盟提出“技術(shù)主權(quán)”概念引領(lǐng)歐盟數(shù)字化轉(zhuǎn)型戰(zhàn)略[J].中國信息安全，2020（03）：70-74．

[18]王雪，石?。?dāng)?shù)據(jù)立法域外管轄的全球化及中國的應(yīng)對[J].知識產(chǎn)權(quán)，2022（4）：54-75．

[19]曹亞偉．國內(nèi)法域外適用的沖突及應(yīng)對——基于國際造法的國家本位解釋[J].河北法學(xué)，2020，38（12）：81-101．

[20]Orla Lynskey.Extraterritorial Impact in Data ProtectionLaw through an EU Law Lens[J].Brexit Institute WorkingPaper Series-No.8， 2020：3.

[21]Google LLC， Successor in Law to Google Inc.v Com-mission nationale de l'informatique et des libertes （CNIL）（C-507/17）[2019]

[22]李揚(yáng)，林浩然我國應(yīng)當(dāng)移植被遺忘權(quán)嗎[J].知識產(chǎn)權(quán)，2021（6）：50-65

[23]陳詠梅，伍聰聰歐盟《通用數(shù)據(jù)保護(hù)條例》域外適用條件之解構(gòu)[J].德國研究，2022，37（2）：85-124

[24]Dan Jerker B Svantesson.Extraterritoriality and Targetingin EU Data Privacy Law： The Weak Spot Underminingthe Regulation[J].International DataPrivacy Law， 2015：226-234

[25]Benjamin J Keele.lnformation Sovereignty： Data Priva-cy， Sovereign Powers and the Rule of Law[J].Internation-aIJournalofLegallnformation， 2018： 123-124.

[26]Extraterritorial Application of The GDPR： Lessons fromRecent Developments[EB/OL].（2018-11-08）

[27]俞勝杰，林燕萍《通用數(shù)據(jù)保護(hù)條例》域外效力的規(guī)制邏輯、實(shí)踐反思與立法啟示[J].重慶社會科學(xué)，2020（06）：62-79.

[28]中國互聯(lián)網(wǎng)絡(luò)信息中心．中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告[EB/OL].[2022-7-9]

【基金項(xiàng)目】本文系北京市社會科學(xué)基金規(guī)劃項(xiàng)目“北京自動駕駛示范應(yīng)用中的人工智能關(guān)鍵技術(shù)法律規(guī)制問題及對策研究”（編號：20FXC028）研究成果之一。

【作者簡介】馬亞文（1997-），女，中國人民公安大學(xué)法學(xué)院碩士研究生：研究方向：國際法，數(shù)據(jù)法。張溪瑨（1990-），女，中國人民公安大學(xué)法學(xué)院講師；研究方向：國際法，數(shù)據(jù)法。