馬亞文　張? ?

摘要：大數(shù)據(jù)時代，跨境數(shù)據(jù)流動帶來的管轄權(quán)難題，使得數(shù)據(jù)立法的域外適用成為各國及地區(qū)保障本國數(shù)據(jù)主權(quán)與安全的重要手段。對歐盟GDPR域外適用的歷史背景和適用現(xiàn)狀進行研究，有助于借鑒歐盟經(jīng)驗，進一步提高我國數(shù)據(jù)法域外適用的水平。本文運用了文本研究法與案例研究法，并結(jié)合GDPR的具體內(nèi)容，分析了歐盟GDPR域外適用的發(fā)展歷程、適用標準、發(fā)展成效，總結(jié)了歐盟GDPR域外適用的優(yōu)勢與缺陷。研究發(fā)現(xiàn)：歐盟GDPR域外適用的內(nèi)容設(shè)置與實踐成效有利于中國《個人信息保護法》域外適用條款的現(xiàn)實適用。我國在借鑒歐盟有益經(jīng)驗的基礎(chǔ)上，加強《個人信息保護法》域外適用條款的解釋適用，綜合提高我國數(shù)據(jù)治理話語權(quán)，同時吸取歐盟的歷史教訓(xùn)，強化域外執(zhí)法合作。

關(guān)鍵詞：GDPR；域外適用；數(shù)據(jù)保護；《個人信息保護法》

當前，數(shù)據(jù)已成為國家基礎(chǔ)性戰(zhàn)略資源和關(guān)鍵生產(chǎn)要素。數(shù)據(jù)的跨境流動是數(shù)字經(jīng)濟發(fā)展的重要推動力，其在創(chuàng)造巨大經(jīng)濟價值的同時，也對個人信息保護和國家安全構(gòu)成了實質(zhì)性威脅。數(shù)據(jù)跨境帶來的管轄權(quán)難題，使各國開始思考如何擴大本國法律的適用范圍至域外以充分保護本國數(shù)據(jù)主體的權(quán)利，數(shù)據(jù)立法的域外適用成為必然趨勢。所謂國內(nèi)法的域外適用，一般是指法律在本國管轄范圍之外產(chǎn)生確定拘束力，實現(xiàn)國內(nèi)法域外效力的過程。

2018年5月25日生效的歐盟《通用數(shù)據(jù)保護條例》（以下簡稱GDPR）是全球范圍內(nèi)影響最大的個人數(shù)據(jù)立法之一，其所設(shè)定的域外適用條款引發(fā)了國際上廣泛的爭議和討論。GDPR確立“經(jīng)營場所標準”和“目標指向標準”作為確定域外適用的衡量標準，以對本國數(shù)據(jù)主體進行保護。我國2021年11月通過的《個人信息保護法》也借鑒了GDPR的立法實踐，確立了該法的域外效力?；诖耍疚囊訥DPR域外適用條款為重點，分析GDPR域外適用制度設(shè)計及適用現(xiàn)狀，以期給我國《個人信息保護法》的解釋和適用提供參考。

一、歐盟GDPR域外適用的背景及成因

（一）歐盟GDPR域外適用的歷史背景

歐盟一直是數(shù)據(jù)立法的引領(lǐng)者。于1970年制定頒布的數(shù)據(jù)保護法令是世界上第一部數(shù)據(jù)保護法令。自《關(guān)于保護隱私和個人數(shù)據(jù)國際流通的指南》到《關(guān)于個人數(shù)據(jù)自動化處理的個人保護公約》，歐盟數(shù)據(jù)保護立法逐漸走向成熟。1995年，歐盟委員會頒布了《保護個人享有的與個人數(shù)據(jù)處理有關(guān)的權(quán)利以及個人數(shù)據(jù)自由流動的指令》（以下簡稱“95指令”），由于95指令在各成員國適用存在較大差異，因此，歐盟委員會最終決定以《通用數(shù)據(jù)保護條例》（GDPR）取代95指令。

2018年5月25日，GDPR的生效使歐盟數(shù)據(jù)保護水平達到了前所未有的高度。GDPR作為歐盟頒布的專門性數(shù)據(jù)保護條例，直接適用于歐盟各成員國。自此，歐盟開啟了數(shù)據(jù)立法域外適用的新局面。

（二）歐盟GDPR域外適用的現(xiàn)實成因

1．歐盟數(shù)字經(jīng)濟發(fā)展整體滯后。歐盟雖具備豐富的數(shù)據(jù)資源，但其數(shù)字經(jīng)濟發(fā)展卻相對滯后。根據(jù)世界銀行統(tǒng)計，2019年歐盟經(jīng)濟總量約占世界經(jīng)濟總量的15.77%，然而歐洲數(shù)字企業(yè)的市值占全球數(shù)字企業(yè)總市值卻不足4%。與此同時，臉書、谷歌等美國互聯(lián)網(wǎng)企業(yè)卻依托歐盟的數(shù)據(jù)市場優(yōu)勢獲得了發(fā)展。據(jù)統(tǒng)計，臉書在歐盟擁有超過2.5億用戶，歐洲市場的收入占臉書全球收入的25%。歐盟本土企業(yè)與非本土企業(yè)數(shù)據(jù)利用率的懸殊反映了歐盟數(shù)字經(jīng)濟發(fā)展的滯后，由此引發(fā)了歐盟對數(shù)據(jù)安全問題的擔憂。如何規(guī)制境外經(jīng)營者處理境內(nèi)數(shù)據(jù)，充分保護數(shù)據(jù)主體權(quán)利成為歐盟數(shù)據(jù)立法亟待解決的關(guān)鍵問題。

2．數(shù)據(jù)跨境傳輸協(xié)議的實踐困局。美國的行業(yè)自律模式與歐盟的統(tǒng)一監(jiān)管模式產(chǎn)生碰撞，使得歐美數(shù)據(jù)跨境傳輸協(xié)議危機重重。基于雙方經(jīng)濟利益和數(shù)據(jù)安全的考量，歐美先后制定了《安全港協(xié)議》、《隱私盾協(xié)議》，以及《跨大西洋數(shù)據(jù)隱私框架》數(shù)據(jù)跨境傳輸協(xié)議。然而，歐盟數(shù)據(jù)保護理念的分歧使雙邊數(shù)據(jù)跨境傳輸協(xié)議難以發(fā)揮作用，無法有效保護個人數(shù)據(jù)。

第一，安全港協(xié)議被判無效。2015年10月6日，歐盟法院判決安全港協(xié)議無效。2013年6月25日，奧地利律師馬克斯·施雷姆斯（Max Schrems），以其個人數(shù)據(jù)未得到充分保護為由向愛爾蘭數(shù)據(jù)保護監(jiān)管機構(gòu)進行申訴，要求禁止臉書愛爾蘭公司將其個人數(shù)據(jù)傳輸至美國總部。歐盟法院認為，安全港協(xié)議存在數(shù)據(jù)安全隱患，其不再適合作為歐美數(shù)據(jù)傳輸?shù)摹凹~帶”。事實上，即使沒有棱鏡門事件，諸如美國數(shù)據(jù)保護水平的要求不符合95指令等安全港協(xié)議的自身問題也將導(dǎo)致安全港協(xié)議無效。

第二，隱私盾協(xié)議被判無效。2020年7月，隱私盾協(xié)議被歐盟法院裁定無效。2015年底，施雷姆斯再次以相同理由向愛爾蘭數(shù)據(jù)保護委員會投訴要求其暫停Facebook使用標準合同條款向美國傳輸歐盟公民數(shù)據(jù)。由于二審期間隱私盾協(xié)議生效，愛爾蘭高等法院對隱私盾協(xié)議一并發(fā)起審查，認為隱私盾協(xié)議存在以下問題：第一，美國所開展的情報活動不符合比例原則。第二，美國未向歐盟數(shù)據(jù)主體提供有效救濟。由此可知，判決隱私盾協(xié)議無效合乎實際。

第三，《跨大西洋數(shù)據(jù)隱私框架》前途未知。2022年4月，歐盟數(shù)據(jù)保護委員會（EDPB）通過并宣布新的《跨大西洋數(shù)據(jù)隱私框架》的聲明。目前，《跨大西洋數(shù)據(jù)隱私框架》尚未出臺細致的法律規(guī)則，美國在初始協(xié)議中所做的承諾能否實現(xiàn)尚不確定。美國對外宣稱崇尚自由，數(shù)據(jù)保護理念傾向于行業(yè)自律，其法律傳統(tǒng)在此次協(xié)議中能否改變尚存疑問。并且，歐美數(shù)據(jù)跨境傳輸協(xié)議歷經(jīng)兩次失敗，美國能否吸取教訓(xùn)值得懷疑。

第四，互聯(lián)網(wǎng)新技術(shù)發(fā)展的立法回應(yīng)。95指令地域適用條款難以應(yīng)對信息技術(shù)的高速發(fā)展，無法有效保護歐盟數(shù)據(jù)主體的權(quán)利。2006年，云計算模式剛剛興起，企業(yè)可以依據(jù)行之有效的數(shù)據(jù)保護方法將依托云模式形成的商業(yè)潛力最大化。但云模式?jīng)]有物理界線，在一個國家產(chǎn)生的數(shù)據(jù)可在另一個國家被存儲，由此產(chǎn)生的數(shù)據(jù)保護問題應(yīng)當適用哪個國家的法律具有不確定性。

雖然2010年岡薩雷斯案的判決在一定程度上確立了95指令的長臂管轄原則，但其無法有效解決信息技術(shù)發(fā)展帶來的歐盟數(shù)據(jù)保護問題。2010年2月西班牙公民岡薩雷斯向西班牙數(shù)據(jù)保護局提出對西班牙報紙發(fā)行商La Vanguardia以及谷歌公司及其西班牙分支機構(gòu)（Google Spain SL，以下簡稱谷歌西班牙）的申訴，稱網(wǎng)絡(luò)用戶可以使用谷歌搜索引擎搜索到顯示原告的房產(chǎn)因進入追繳社保欠費的扣押程序而被強制拍賣的公告。但是，原告認為上述扣押程序早已被解決，因而要求西班牙報紙發(fā)行商La Vanguardia刪除或者修改有關(guān)頁面，并要求谷歌公司以及谷歌西班牙刪除或者屏蔽與之有關(guān)的個人信息。法院根據(jù)95指令的適用范圍條款判定該案適用95指令。此案件判決雖然表明95指令在符合一定條件時將產(chǎn)生域外適用的效果。然而，95指令在規(guī)定上的模糊性容易使案件的處理存在爭議，GDPR中設(shè)定的域外適用條款將有效避免上述爭議的發(fā)生。

二、歐盟GDPR域外適用標準認定及成效評析

當前，歐盟成員國通行的數(shù)據(jù)保護法為2018年發(fā)布的《通用數(shù)據(jù)保護條例》（以下簡稱GDPR），其取代95指令，成為歐盟各成員國可以直接適用的法律文件。其通過設(shè)置域外適用范圍條款的方式，擴大歐盟的管轄范圍，將條例適用到歐盟以外的國家或地區(qū)，從而為歐盟數(shù)據(jù)的跨境流動保駕護航。GDPR的實施對于歐盟乃至全世界的數(shù)據(jù)隱私保護有著深遠的影響。

（一）GDPR域外適用標準設(shè)立及認定

域外適用標準是歐盟GDPR域外適用的基礎(chǔ)。如何能夠使管轄范圍延伸到一般情況下本國法涉及不到的區(qū)域，或者如何能夠管理發(fā)生在本國境外的數(shù)據(jù)處理行為，關(guān)鍵在于擴大管轄權(quán)，即將域外行為納入本國法的管轄范圍之內(nèi)。對于管轄范圍的確定，GDPR第3條確立了兩種域外適用標準：經(jīng)營場所標準和目標指向標準。

1．“經(jīng)營場所標準”的設(shè)立及認定。GDPR第3條第1款確立了“經(jīng)營場所標準”，即如果數(shù)據(jù)控制者或處理者在歐盟境內(nèi)設(shè)置了經(jīng)營場所，且該行為屬于經(jīng)營場所的活動范圍內(nèi)，無論其處理數(shù)據(jù)的行為是否發(fā)生在歐盟境內(nèi)，均受到該條例的管轄。該標準的關(guān)鍵在于“經(jīng)營場所”和“數(shù)據(jù)處理行為是否屬于經(jīng)營場所的活動范圍之內(nèi)”的認定。2019年11月12日，EDPB發(fā)布了《GDPR地域適用范圍的第3/2018號指南》，具體解釋了經(jīng)營場所標準的適用條件。

第一，關(guān)于“歐盟境內(nèi)是否存在經(jīng)營場所”的認定。首先，根據(jù)GDPR序言第22條，經(jīng)營場所是通過穩(wěn)定的安排開展真實而有效的處理活動的機構(gòu)，該機構(gòu)的法律形式并不能就此決定該機構(gòu)的性質(zhì)。EDPB指出，判斷設(shè)立在歐盟境外的企業(yè)在歐盟成員國內(nèi)是否存在經(jīng)營場所，必須基于活動和提供服務(wù)的特定性質(zhì)來判斷安排的穩(wěn)定程度和在該成員國從事活動的有效性，尤其是在確認專門通過互聯(lián)網(wǎng)提供服務(wù)的企業(yè)是否在歐盟境內(nèi)有商業(yè)存在。因此，在某些情況下，如果雇員或代理人在歐盟境內(nèi)的行為具有足夠穩(wěn)定性，則該非歐盟實體在歐盟境內(nèi)存在一個雇員或代理人可能構(gòu)成“穩(wěn)定的安排”這一要求。例如，總公司在美國的一家互聯(lián)網(wǎng)公司在布魯塞爾設(shè)立了分支機構(gòu)，負責監(jiān)督其在歐洲的營銷業(yè)務(wù)，那么布魯塞爾分支機構(gòu)就被認為是經(jīng)營場所，符合經(jīng)營場所標準。Weltimmo案進一步對“經(jīng)營場所”進行擴大解釋。在Weltimmo案中，鑒于Weltimmo公司在匈牙利有一名代表，且其負責與業(yè)務(wù)活動有關(guān)的事項，最終歐洲法院認定該公司在匈牙利存在經(jīng)營場所而適用匈牙利數(shù)據(jù)保護相關(guān)規(guī)定。

第二，關(guān)于“數(shù)據(jù)處理行為是否屬于經(jīng)營場所的活動范圍之內(nèi)”的認定。對此，EDPB提出了兩種分析：其一，要求數(shù)據(jù)處理行為與經(jīng)營場所的業(yè)務(wù)范圍之間存在無法割裂的緊密聯(lián)系，無論境內(nèi)的經(jīng)營場所是否參與了數(shù)據(jù)處理活動，均會導(dǎo)致GDPR的適用；其二，如果在歐盟境內(nèi)的經(jīng)營場所從事營利活動，且該活動被視為與歐盟境外的個人數(shù)據(jù)處理活動以及歐盟境內(nèi)個人具有不可分割的關(guān)聯(lián)性，即可以表明“非歐盟境內(nèi)的數(shù)據(jù)控制者或處理者進行處理活動屬于在歐盟境內(nèi)經(jīng)營場所的經(jīng)營活動范圍內(nèi)”。聚焦“數(shù)據(jù)處理行為”本身而不是數(shù)據(jù)處理行為發(fā)生的位置，這種立法角度將有效避免出現(xiàn)法律規(guī)避現(xiàn)象。

2．“目標指向標準”的設(shè)立及認定。GDPR第3條第2款確立了“目標指向標準”，即如果數(shù)據(jù)處理者、控制者沒有在歐盟境內(nèi)設(shè)立經(jīng)營場所，但其行為是向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或者服務(wù)，或者對歐盟境內(nèi)的數(shù)據(jù)主體進行監(jiān)控，同樣屬于GDPR的管轄范圍。目標指向標準的前身是95指令確立的設(shè)備使用標準，GDPR不再僅憑借處理數(shù)據(jù)的設(shè)備位置來確定法律的適用，而是將特定地域內(nèi)的數(shù)據(jù)處理行為作為確定法律適用的根據(jù)。一定程度上，目標指向標準彌補了經(jīng)營場所標準的缺陷，即在滿足“經(jīng)營場所標準”的適用條件時，考慮該行為是否符合目標指向標準中關(guān)于數(shù)據(jù)處理行為的要求。

（1）對歐盟內(nèi)的數(shù)據(jù)主體提供商品或者服務(wù)的理解。GDPR序言第23條指出，對于數(shù)據(jù)處理者或者控制者是否向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或者服務(wù)的理解，應(yīng)當確定數(shù)據(jù)處理者或者控制者是否明確向歐盟境內(nèi)的數(shù)據(jù)主體提供服務(wù)。如果僅僅是訪問歐盟的控制者、處理者或者中介網(wǎng)站、電子郵件地址或者其他聯(lián)系方式，或者僅使用控制者成立的第三國通用的語言，不足以確定這種意圖。與之相反，如果使用一個或者多個成員國通用的語言或者貨幣，并有可能以該語言訂購商品和服務(wù)，或者提及在歐盟的客戶或者用戶，則表明控制者設(shè)想提供商品或者為歐盟境內(nèi)的數(shù)據(jù)主體提供服務(wù)。因此，在判斷數(shù)據(jù)控制者、處理者是否屬于向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或者服務(wù)時，應(yīng)當綜合判斷行為的意圖。

（2）對發(fā)生在歐洲范圍內(nèi)的數(shù)據(jù)主體的活動進行監(jiān)控的理解。GDPR序言第24段指出，在判斷是否對歐盟境內(nèi)的數(shù)據(jù)主體進行監(jiān)控時，應(yīng)當確定是否在互聯(lián)網(wǎng)上跟蹤自然人，以及是否根據(jù)行為人在互聯(lián)網(wǎng)上的遺留數(shù)據(jù)適用特別技術(shù)對數(shù)據(jù)主體的個人偏好等進行分析。例如，利用數(shù)據(jù)主體的網(wǎng)頁瀏覽數(shù)據(jù)為其制作用戶畫像。

（二）GDPR域外適用成效評析

經(jīng)過歐盟委員會和歐洲理事會長達四年的醞釀和協(xié)商，GDPR開啟了歐盟數(shù)據(jù)保護的新征程。其中GDPR第3條明確規(guī)定了法律適用范圍，提出了域外適用的標準，對于保護數(shù)據(jù)主體權(quán)利具有里程碑意義。鑒于《個人信息保護法》借鑒了GDPR域外適用的立法實踐，因此有必要分析GDPR域外適用的實踐效果。

1．域外適用的積極效應(yīng)。GDPR確立域外適用效力以來，產(chǎn)生了一定的積極成效。不僅為數(shù)據(jù)主體權(quán)利提供充分的保護和救濟，也有效推廣了數(shù)據(jù)治理領(lǐng)域的“歐盟標準”，進一步爭奪數(shù)據(jù)治理國際話語權(quán)。具體包括以下兩個方面：

一方面，充分保護數(shù)據(jù)主體權(quán)利。充分保護數(shù)據(jù)主體權(quán)利是GDPR域外適用的出發(fā)點和落腳點。歐盟數(shù)據(jù)市場優(yōu)勢來源于歐盟境內(nèi)的數(shù)據(jù)主體的力量，保障數(shù)據(jù)主體權(quán)利是有效促進數(shù)據(jù)資源豐富和更新的關(guān)鍵。歐盟通過設(shè)置域外適用標準擴大歐盟法管轄范圍，以實現(xiàn)對于傳輸至境外國家或者地區(qū)的數(shù)據(jù)主體權(quán)利的充分保護。主要體現(xiàn)在以下兩點：其一，GDPR域外適用能夠同等保護傳輸至境外的數(shù)據(jù)，防止因各國數(shù)據(jù)保護水平的參差而面臨數(shù)據(jù)安全問題。其二，數(shù)據(jù)主體申請權(quán)利救濟更加便捷。相較于跨境訴訟，數(shù)據(jù)主體更熟悉本國實體法和本國訴訟程序，其在本國起訴更為簡單高效，從而有效保障數(shù)據(jù)主體獲得權(quán)利救濟。因此，GDPR域外適用在一定程度上可以實現(xiàn)數(shù)據(jù)主體權(quán)利保護最大化。

另一方面，有效輸出數(shù)據(jù)保護“歐盟標準”。當前，跨國公司是歐盟數(shù)據(jù)保護標準向外輸出的載體。為了利用歐盟的數(shù)據(jù)資源，許多知名跨國互聯(lián)網(wǎng)公司（谷歌、微軟、臉書等）在歐盟境內(nèi)設(shè)立了分支機構(gòu)。根據(jù)GDPR經(jīng)營場所標準，分支機構(gòu)屬于經(jīng)營場所范疇。此外，跨國公司的最大特點在于業(yè)務(wù)具有相通性，即一項業(yè)務(wù)可能會由多個分支機構(gòu)共同操作。倘若歐盟境外的分支機構(gòu)或者總公司意圖同歐盟境內(nèi)的分支機構(gòu)一同處理某項涉及歐盟數(shù)據(jù)的任務(wù)，也將會受到GDPR的制約。因此，歐盟利用跨國公司的上述特點以實現(xiàn)其數(shù)據(jù)保護標準的對外輸出，促進歐盟標準走向世界，從而有效提升歐盟在數(shù)據(jù)保護領(lǐng)域的國際話語權(quán)和影響力。目前，國際上還沒有形成統(tǒng)一的數(shù)據(jù)保護法律體系，歐盟數(shù)據(jù)保護領(lǐng)域話語權(quán)的大小對今后全球數(shù)據(jù)保護體系的內(nèi)容建設(shè)具有重要作用。并且，歐盟希望未來能夠借此建立起統(tǒng)一規(guī)范化數(shù)字市場、把握數(shù)字經(jīng)濟主權(quán)，在數(shù)字經(jīng)濟領(lǐng)域成為與美、中比肩的第三極。

2．域外適用的執(zhí)行難題。執(zhí)行難是GDPR域外適用中存在的突出問題。歐盟的域外規(guī)制主要聚焦于數(shù)據(jù)保護領(lǐng)域，其意圖借助單一數(shù)據(jù)市場來實現(xiàn)對數(shù)據(jù)處理者和控制者的管轄。然而，由于缺乏對數(shù)據(jù)保護域外執(zhí)行方案的進一步說明，也未解釋如何處理管轄權(quán)的沖突，GDPR域外適用在執(zhí)行方面正面臨一些風(fēng)險和挑戰(zhàn)。

一方面，在尚未形成統(tǒng)一的數(shù)據(jù)保護體系之前，GDPR域外適用條款在執(zhí)行中容易同其他國家形成平行法上的沖突。有學(xué)者提出，個人數(shù)據(jù)保護法案在本質(zhì)上會涉及一國對數(shù)據(jù)領(lǐng)域的管制權(quán)，關(guān)系到國家數(shù)據(jù)主權(quán)和管轄利益，也在一定程度上反映了一國在數(shù)據(jù)治理方面的價值選擇。因此，由于每個國家價值選擇和數(shù)據(jù)治理理念的不同，其在數(shù)據(jù)保護方面也會形成不同的規(guī)制路徑和手段。GDPR域外適用條款僅為本地區(qū)法律管轄范圍的擴張，與其他國家或地區(qū)的法律屬于平行關(guān)系，并不具備法律適用上的優(yōu)先性。

另一方面，歐盟域外執(zhí)行范圍過于寬泛化導(dǎo)致在實際執(zhí)行時出現(xiàn)選擇性執(zhí)行、理解性執(zhí)行的問題。例如，2019年歐盟法院在對Google v．CNIL案的判決中對被遺忘權(quán)的執(zhí)行范圍進行了澄清，最終判決谷歌公司刪除歐盟境內(nèi)谷歌系統(tǒng)上的涉及數(shù)據(jù)主體的內(nèi)容。同時，歐盟法院認為GDPR的條款并沒有對谷歌公司位于歐盟境外的搜索引擎版本施加義務(wù)，谷歌公司無需刪除歐盟境外的其他搜索引擎版本上的內(nèi)容。此案件中涉及的言論自由和個人數(shù)據(jù)保護的位階矛盾在全球各個國家有不同的認知和理解。因而，本案中的執(zhí)行范圍很難涉及世界上其他與歐盟理念相悖的國家或者地區(qū)。故而在本案中，GDPR僅對歐盟境內(nèi)的主體具有域外適用的執(zhí)行權(quán)，歐盟境外主體并不在域外適用的執(zhí)行范圍內(nèi)。

三、歐盟GDPR域外適用的中國借鑒

歐盟GDPR域外適用有益于使數(shù)據(jù)權(quán)利得到足夠保護，有效提升歐盟數(shù)據(jù)治理國際話語權(quán)。與此同時，其內(nèi)在缺陷也導(dǎo)致實踐中的執(zhí)行難問題。我國《個人信息保護法》第3條在一定程度上借鑒GDPR立法實踐規(guī)定域外適用條款，但具體規(guī)定較為抽象，仍需進一步澄清。因此，我國有必要在深入分析GDPR域外適用實踐情況的基礎(chǔ)上，進一步完善我國《個人信息保護法》域外適用條款的解釋適用。

（一）加強對域外適用條款的解釋適用

《個人信息保護法》確立了域外適用的“處理行為發(fā)生地標準”和“目標指向標準”，未來有必要進一步細化解釋。第3條規(guī)定：“在中華人民共和國境內(nèi)處理自然人個人信息的活動，適用本法。在中華人民共和國境外處理中華人民共和國境內(nèi)自然人個人信息的活動，有下列情形之一的，也適用本法：（一）以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的；（二）分析、評估境內(nèi)自然人的行為；（三）法律、行政法規(guī)規(guī)定的其他情形?！狈治隹芍煌贕DPR的“經(jīng)營場所標準”，《個人信息保護法》第3條第1款確立了“處理行為發(fā)生地標準”，但在具體實踐中，精確定位“處理行為發(fā)生地”難度極大。在數(shù)據(jù)傳輸過程中，可能會涉及多個位于不同位置的服務(wù)器以及遍布全球的網(wǎng)絡(luò)線路，數(shù)據(jù)傳輸?shù)目缇承允沟锰幚硇袨榈陌l(fā)生地不易被確定在某一特定位置。因此，對數(shù)據(jù)處理行為發(fā)生地的認定是一項技術(shù)性較強的工作，難以準確把握。因此，我國未來應(yīng)對“處理行為發(fā)生地標準”作細化解釋，以增強其可適用性。例如，歐盟針對其“經(jīng)營場所標準”中“數(shù)據(jù)處理行為是否位于經(jīng)營場所的活動范圍之內(nèi)”這一要件作出細化解釋，即如果數(shù)據(jù)處理者或數(shù)據(jù)控制者的數(shù)據(jù)處理行為與該連接點具有緊密的聯(lián)系，即便數(shù)據(jù)處理行為本身沒有發(fā)生在歐盟境內(nèi)，亦受到GDPR的約束。此外，《個人信息保護法》第3條第2款受GDPR啟發(fā)，確立了“目標指向標準”，對于何為“以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的”和“分析、評估境內(nèi)自然人的行為”有待于未來進一步細化闡釋。例如，GDPR序言第23條對為歐盟內(nèi)的數(shù)據(jù)主體提供商品或者服務(wù)進行闡釋，即應(yīng)確定數(shù)據(jù)控制者或處理者明顯地打算向歐盟一個或多個成員國的數(shù)據(jù)主體提供服務(wù)。

（二）強化域外執(zhí)法合作

順利執(zhí)法是衡量域外適用條款現(xiàn)實效果的關(guān)鍵因素，也是數(shù)據(jù)保護法域外適用的重要手段。其中，域外執(zhí)法合作是順利執(zhí)法的關(guān)鍵所在。在當前國際背景下，盡管各國可以依據(jù)本國法對域外案件進行審理和執(zhí)行，但是由于強制性權(quán)利所具有的地域限制，跨越國家疆界進行信息查詢、扣押相關(guān)設(shè)備、執(zhí)行行政罰款等行為多數(shù)取決于他國的意愿，因而，若得不到案件所涉國家的同意或者協(xié)作，執(zhí)法效果將不盡如人意。并且，在未經(jīng)別國同意的情況下，為執(zhí)行本國法律而在別國領(lǐng)土上采取執(zhí)法措施，也將違反國際法的有關(guān)規(guī)定。不僅如此，實際案例中也凸顯了執(zhí)法合作的重要性。以“Ag-gre-gate IQ”案為例，本案中，英國數(shù)據(jù)保護監(jiān)管機構(gòu)信息專員辦公室（ICO）積極與加拿大和不列顛哥倫比亞省的相關(guān)機構(gòu)進行跨境執(zhí)法合作，并通過加拿大所屬機構(gòu)向加拿大公司Aggregate IQ Data Ser-vices Ltd（以下簡稱AIQ）施壓，最終使得AIQ承認其違法數(shù)據(jù)處理行為，順利完成域外執(zhí)法活動，實現(xiàn)GDPR域外效力。但是，本案中兩國達成執(zhí)法合作主要是基于兩國相似的法律傳統(tǒng)、法律規(guī)定等先天優(yōu)勢，并不具備普適性。如前文所述，歐盟在GDPR域外適用的執(zhí)行方面仍存在平行法沖突、選擇性執(zhí)法等諸多妨礙域外適用效果的執(zhí)法難題，歐盟仍需要進一步采取相關(guān)措施建立和完善具有普遍適用性的執(zhí)法合作機制。例如，歐盟積極參與全球合作網(wǎng)絡(luò)一“全球隱私執(zhí)法網(wǎng)絡(luò)”（GPEN），該網(wǎng)絡(luò)由全球60多個數(shù)據(jù)保護機構(gòu)組成，是目前唯一一個專門致力于數(shù)據(jù)執(zhí)法合作的全球網(wǎng)絡(luò)。同樣，為避免陷入與歐盟類似的執(zhí)法困境，保證我國《個人信息保護法》域外執(zhí)法活動的順利進行，我國可以借鑒歐盟域外執(zhí)法經(jīng)驗，加強域外執(zhí)法合作，通過提前與別國建立雙邊執(zhí)法合作框架，組織參與全球執(zhí)法合作網(wǎng)絡(luò)等方式在域外執(zhí)法中與別國開展合作，協(xié)調(diào)進行限制本國權(quán)利的域外執(zhí)法活動，從而使得《個人信息保護法》等數(shù)據(jù)保護法規(guī)的域外效力條款不僅僅停留在文字上，而能切實發(fā)揮其域外效力。

（三）提升我國數(shù)據(jù)治理國際話語權(quán)

數(shù)據(jù)市場優(yōu)勢是我國提升數(shù)據(jù)治理體系國際話語權(quán)的重要支撐。我國的數(shù)據(jù)市場規(guī)模相當龐大，根據(jù)第49次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》顯示，截至2021年6月，我國網(wǎng)民規(guī)模為10.11億，互聯(lián)網(wǎng)普及率達71.6%。作為世界最大的消費市場之一，歐盟僅憑自身市場力量就足以將歐盟標準轉(zhuǎn)化為全球標準。哥倫比亞大學(xué)歐洲法律研究中心主任阿努·布拉德福德將歐盟的此種立法影響比作布魯塞爾效應(yīng)。簡單來說，即歐盟境外跨國公司覬覦歐盟的數(shù)據(jù)資源，但獲取并利用歐盟數(shù)據(jù)資源就必須促使其企業(yè)相關(guān)規(guī)制符合歐盟的標準，如此便達到歐盟標準影響境外國家的效果。同樣，我國可以依據(jù)數(shù)據(jù)市場優(yōu)勢，借鑒歐盟經(jīng)驗，形成中國版“布魯塞爾效應(yīng)”。在立法層面，我國可以借鑒GDPR域外規(guī)制的相關(guān)內(nèi)容擴大法律管轄范圍，同時通過數(shù)據(jù)立法表達我國的數(shù)據(jù)保護理念和目的。在貿(mào)易制度層面，我國應(yīng)在保障經(jīng)濟安全的基礎(chǔ)上盡可能放寬外資企業(yè)進入中國市場，為我國數(shù)據(jù)保護標準境外輸出做好工具準備。最后，整合各方面力量依據(jù)市場優(yōu)勢由跨國公司的境內(nèi)機構(gòu)作為引線觸發(fā)至境外的機構(gòu)，對跨國公司形成連鎖反應(yīng)，從而實現(xiàn)中國標準的境外輸出。如此便能讓我國在全球數(shù)據(jù)治理體系的構(gòu)建中獲得更多的支持，贏得更多的話語權(quán)，實現(xiàn)維護數(shù)據(jù)主權(quán)和數(shù)據(jù)安全的目的。

四、結(jié)語

在形成統(tǒng)一的全球數(shù)據(jù)治理體系之前，避免數(shù)據(jù)跨境傳輸產(chǎn)生的國內(nèi)數(shù)據(jù)安全問題，成為全球各國的關(guān)注焦點。歐盟將對人權(quán)的重視聚焦于對數(shù)據(jù)權(quán)利的保護，依據(jù)GDPR中的域外適用范圍內(nèi)容達成了對域外數(shù)據(jù)處理行為的有效規(guī)制。我國的域外適用內(nèi)容在《個人信息保護法》已經(jīng)有所體現(xiàn)，但仍存在諸多問題。并且，面對不斷更新的互聯(lián)網(wǎng)發(fā)展態(tài)勢，持續(xù)完善域外適用條款的解釋適用仍是我國現(xiàn)今數(shù)據(jù)立法的主要任務(wù)。我國應(yīng)在堅持以本國國情為前提的基礎(chǔ)上，大膽借鑒和創(chuàng)新歐盟的數(shù)據(jù)保護域外適用內(nèi)容。針對管轄范圍條款的內(nèi)容設(shè)定，我國應(yīng)在原始條款的基礎(chǔ)上對其進行合理化解釋，以發(fā)揮域外適用條款的主要功能。同時，針對歐盟出現(xiàn)的域外適用執(zhí)行難題，應(yīng)注重開展國際執(zhí)法合作，保障我國數(shù)據(jù)法域外適用的可執(zhí)行性。另外，全球數(shù)據(jù)治理體系話語權(quán)關(guān)乎我國數(shù)據(jù)主權(quán)和國家安全，應(yīng)當憑借數(shù)據(jù)市場優(yōu)勢依托跨國公司輸出我國數(shù)據(jù)保護標準，在國際上形成公信力和影響力，以提高我國在構(gòu)建全球數(shù)據(jù)治理體系中的地位。

參考文獻：

[1]金晶．歐盟《一般數(shù)據(jù)保護條例》：演進、要點與疑義[J].歐洲研究，2018（4）：1-26．

[2]廖詩評國內(nèi)法域外適用及其應(yīng)對——以美國法域外適用措施為例[J].環(huán)球法律評論，2019（3）：166-178

[3]王志安云計算和大數(shù)據(jù)時代的國家立法管轄權(quán)——數(shù)據(jù)本地化與數(shù)據(jù)全球化的大對抗？[J].交大法學(xué)，2019（1）：5-20．

[4]European Parliament， Council of the European Union. Gen-eral Data Protection Regulation[EB/OL].[2021-07-15]

[5]中國信通院．全球數(shù)字經(jīng)濟白皮書——疫情沖擊下的復(fù)蘇新曙光[EB/OL]．[2022-7-9]．

[6]黃三魯.GDPR實施三周年觀察：歐盟向左，創(chuàng)新向右[EB/OL].[2022-7-8]

[7]中技所研究部．科技監(jiān)管領(lǐng)域的“布魯塞爾效應(yīng)”將對數(shù)字經(jīng)濟產(chǎn)生什么影響[EB/OL].[2022-7-8]

[8]Davinia Brennan.The European Commission releases EU-US Privacy Shield[EB/OL].[2022-7-8]

[9]劉志雄跨境數(shù)據(jù)流動的全球態(tài)勢及對我國的啟示[J]人民論壇，2021（33）：102-105．

[10]單文華，鄧娜．歐美跨境數(shù)據(jù)流動規(guī)制：沖突、協(xié)調(diào)與借鑒——基于歐盟法院“隱私盾”無效案的考察[J].西安交通大學(xué)學(xué)報（社會科學(xué)版），2021，41（5）：94-103

[11]European Commission.European Commission and UnitedStates Joint Statement on Trans- Atlantic Data PrivacyFramework．[EB/OL]

[12]任曉玲個人數(shù)據(jù)保護立法推動技術(shù)創(chuàng)新——歐盟擬修訂《數(shù)據(jù)保護指令》[J].中國發(fā)明與專利，2011（1）：100.

[13]漆彤，施小燕大數(shù)據(jù)時代的個人信息“被遺忘權(quán)”——評岡薩雷斯訴谷歌案[J].財經(jīng)法學(xué)，2015（3）：104-114

[14]Case C-131／12 Google Spain SL and Google Inc. v. Agen-cia Espanola de Proteccion de Datos （AEPD） andMarioCosteja Gonzalez.37.

[15]The European Data Protection Board. Guidelines 3/2018on the territorial scope of the GDPR （Article 3）.[EB/OL][2022-7-9].

[16]Case C230/14 Weltimmo s.r.o.v.Nemzeti Adatvedelmi ésInformacioszabadsag Hatosag

[17]洪延青，朱玲鳳，張朝，等歐盟提出“技術(shù)主權(quán)”概念引領(lǐng)歐盟數(shù)字化轉(zhuǎn)型戰(zhàn)略[J].中國信息安全，2020（03）：70-74．

[18]王雪，石?。當?shù)據(jù)立法域外管轄的全球化及中國的應(yīng)對[J].知識產(chǎn)權(quán)，2022（4）：54-75．

[19]曹亞偉．國內(nèi)法域外適用的沖突及應(yīng)對——基于國際造法的國家本位解釋[J].河北法學(xué)，2020，38（12）：81-101．

[20]Orla Lynskey.Extraterritorial Impact in Data ProtectionLaw through an EU Law Lens[J].Brexit Institute WorkingPaper Series-No.8， 2020：3.

[21]Google LLC， Successor in Law to Google Inc.v Com-mission nationale de l'informatique et des libertes （CNIL）（C-507/17）[2019]

[22]李揚，林浩然我國應(yīng)當移植被遺忘權(quán)嗎[J].知識產(chǎn)權(quán)，2021（6）：50-65

[23]陳詠梅，伍聰聰歐盟《通用數(shù)據(jù)保護條例》域外適用條件之解構(gòu)[J].德國研究，2022，37（2）：85-124

[24]Dan Jerker B Svantesson.Extraterritoriality and Targetingin EU Data Privacy Law： The Weak Spot Underminingthe Regulation[J].International DataPrivacy Law， 2015：226-234

[25]Benjamin J Keele.lnformation Sovereignty： Data Priva-cy， Sovereign Powers and the Rule of Law[J].Internation-aIJournalofLegallnformation， 2018： 123-124.

[26]Extraterritorial Application of The GDPR： Lessons fromRecent Developments[EB/OL].（2018-11-08）

[27]俞勝杰，林燕萍《通用數(shù)據(jù)保護條例》域外效力的規(guī)制邏輯、實踐反思與立法啟示[J].重慶社會科學(xué)，2020（06）：62-79.

[28]中國互聯(lián)網(wǎng)絡(luò)信息中心．中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告[EB/OL].[2022-7-9]

【基金項目】本文系北京市社會科學(xué)基金規(guī)劃項目“北京自動駕駛示范應(yīng)用中的人工智能關(guān)鍵技術(shù)法律規(guī)制問題及對策研究”（編號：20FXC028）研究成果之一。

【作者簡介】馬亞文（1997-），女，中國人民公安大學(xué)法學(xué)院碩士研究生：研究方向：國際法，數(shù)據(jù)法。張溪瑨（1990-），女，中國人民公安大學(xué)法學(xué)院講師；研究方向：國際法，數(shù)據(jù)法。