王 雪，石 巍

（南開大學(xué) 法學(xué)院，天津 300350）

一、個人數(shù)據(jù)域外管轄權(quán)擴(kuò)張的背景

伴隨著互聯(lián)網(wǎng)、云計算等技術(shù)的高速發(fā)展，世界萬物皆可轉(zhuǎn)化為數(shù)據(jù)形式[1]?？萍嫉陌l(fā)展，尤其是數(shù)據(jù)技術(shù)的迅猛進(jìn)步，在一定程度上弱化了主權(quán)原則，引發(fā)管轄權(quán)爭端。在國際法框架下，關(guān)于一國對網(wǎng)絡(luò)空間管轄范圍的問題，學(xué)者們至今未達(dá)成共識。個人數(shù)據(jù)作為網(wǎng)絡(luò)空間的重要構(gòu)成部分，對其監(jiān)管同樣會面臨管轄權(quán)劃分的問題。隨著云計算技術(shù)的普及，在全球范圍內(nèi)個人數(shù)據(jù)的儲存地與處理地相分離已經(jīng)成為常態(tài)，甚至個人數(shù)據(jù)處理活動的發(fā)生地會模糊不清，傳統(tǒng)管轄權(quán)原則的運(yùn)用受到挑戰(zhàn)。

隨著個人數(shù)據(jù)成為當(dāng)代“生產(chǎn)要素”，大型跨國互聯(lián)網(wǎng)企業(yè)日常收集海量個人數(shù)據(jù)并挖掘其商業(yè)價值。顯然，僅局限于領(lǐng)土范圍內(nèi)保護(hù)個人數(shù)據(jù)已不合時宜，保護(hù)范圍從國內(nèi)延伸到國外已然成為現(xiàn)實需要。單方立法擴(kuò)張個人數(shù)據(jù)域外管轄權(quán)成為各國對科技進(jìn)步的回應(yīng)。正因如此，在國際社會對保護(hù)個人數(shù)據(jù)達(dá)成共識的同時，國內(nèi)法單方擴(kuò)張個人數(shù)據(jù)域外管轄權(quán)的現(xiàn)象逐步形成趨勢。值得注意的是，國際社會對域外管轄權(quán)的調(diào)整尚缺乏國際條約或協(xié)議，這一趨勢易引起法律沖突。那么在國際法框架下個人數(shù)據(jù)域外管轄權(quán)的單方擴(kuò)張會引發(fā)何種問題？面對引發(fā)的沖突，在尊重他國數(shù)據(jù)主權(quán)的前提下，我國如何推動本國個人數(shù)據(jù)域外執(zhí)法和司法判決的有效實施？從已有研究來看，我國學(xué)者集中于研究數(shù)據(jù)主體的各項權(quán)利，大型數(shù)據(jù)平臺的壟斷，以及數(shù)據(jù)跨境流動的規(guī)則等，對個人數(shù)據(jù)域外管轄權(quán)的關(guān)注較少。是故，本文借助對個人數(shù)據(jù)域外管轄權(quán)這一主題的探討，提出自身見解以供參考，期望起到拋磚引玉的效果。

二、個人數(shù)據(jù)域外管轄權(quán)三項權(quán)能的擴(kuò)張

在國際法的限制范圍內(nèi)，一國可以對個人數(shù)據(jù)領(lǐng)域的各項活動行使域外管轄權(quán)。域外管轄權(quán)可以分為三種不同類型的管轄權(quán)能，即域外立法管轄權(quán)、域外執(zhí)法管轄權(quán)和域外司法管轄權(quán)。個人數(shù)據(jù)域外管轄也是借助這三項權(quán)能在全球范圍內(nèi)普及。

（一）域外立法管轄權(quán)的規(guī)制路徑

不言而喻，立法管轄權(quán)是國家將制定的法律適用于特定的人、物或行為的權(quán)力[2]，而域外立法管轄權(quán)便是一國可對其境外的特定事項和人行使立法管轄權(quán)[3]100。2018 年歐盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，縮寫為GDPR）第3 條賦予了條例自身以域外效力，為個人數(shù)據(jù)保護(hù)全面確立了域外管轄制度。作為全球個人數(shù)據(jù)保護(hù)領(lǐng)域內(nèi)最具有影響力的立法之一，GDPR第3條成為眾多國家參考的藍(lán)本，其對個人數(shù)據(jù)域外管轄的規(guī)制邏輯逐步為更多的非歐盟國家所接受。這一條款為個人數(shù)據(jù)域外管轄創(chuàng)造性設(shè)立了兩項標(biāo)準(zhǔn)，分別為設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)（the establishment criterion）與目標(biāo)導(dǎo)向標(biāo)準(zhǔn)（the targeting criterion）。

第一，設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)。歐盟數(shù)據(jù)保護(hù)委員會（European Data Protection Board，縮寫為EDPB）建議采用三步驟來確定個人數(shù)據(jù)的處理是否屬于GDPR的管轄范圍[4]。首先，考慮是否符合歐盟個人數(shù)據(jù)保護(hù)法意義上“設(shè)立機(jī)構(gòu)”的定義。在Google Spain SL，Google Inc. v AEPD 判決后，“設(shè)立機(jī)構(gòu)”一詞的解釋早已偏離了形式主義，擴(kuò)展到通過穩(wěn)定的安排所進(jìn)行的任何真實有效的活動。為了確定總部位于歐盟外的數(shù)據(jù)控制者或處理者是否在歐盟內(nèi)存在“設(shè)立機(jī)構(gòu)”，必須根據(jù)所從事經(jīng)濟(jì)活動的具體性質(zhì)，來考慮所開展活動的穩(wěn)定性、有效性以及所提供服務(wù)的程度。其次，查看是否滿足“在歐盟設(shè)立機(jī)構(gòu)活動背景下”的條件。在司法實踐中，“設(shè)立機(jī)構(gòu)”的存在是否有助于為歐盟外的數(shù)據(jù)控制者或處理者增加收入是重要的考量因素。增加收入意味著數(shù)據(jù)控制者或處理者與設(shè)立機(jī)構(gòu)之間關(guān)系密切。再次，在設(shè)立機(jī)構(gòu)活動背景下進(jìn)行的個人數(shù)據(jù)處理活動無論是否在歐盟內(nèi)進(jìn)行，GDPR 均予以適用?？紤]到個人數(shù)據(jù)處理活動的各個環(huán)節(jié)相互分離，地理位置是否位于歐盟境內(nèi)已不再是考量因素，這也極大地擴(kuò)張了“設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)”的適用范圍。

第二，目標(biāo)導(dǎo)向標(biāo)準(zhǔn)。這一標(biāo)準(zhǔn)明顯地受到了歐洲消費者保護(hù)法領(lǐng)域判決的影響，展現(xiàn)了歐盟較高的立法技術(shù)。借鑒Pammer v Reederei Karl Schlüter GmbH 和Co and Hotel Alpenhof v Heller①案件中歐盟法院的判決，在與消費者簽訂任何合同之前，從網(wǎng)站和貿(mào)易商的整體活動中是否可以明顯看出貿(mào)易商打算與居住在成員國的消費者開展業(yè)務(wù)，或者有意與他們簽訂合同。對這一判決的吸收形成了“目標(biāo)導(dǎo)向標(biāo)準(zhǔn)”適用的前提條件，即該標(biāo)準(zhǔn)旨在管轄有意而非偶然地針對歐盟數(shù)據(jù)主體的活動?！澳繕?biāo)導(dǎo)向標(biāo)準(zhǔn)”主要從兩個方面對境外的數(shù)據(jù)控制者或處理者開展域外管轄：一是為歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)；二是監(jiān)控歐盟內(nèi)的數(shù)據(jù)主體。關(guān)于前者，EDPB主張綜合考慮網(wǎng)站域名、營銷活動、支付貨幣和語言等多項因素進(jìn)行判斷。至于后者，GDPR 序言第24 條闡釋著重考慮潛在的后續(xù)使用分析技術(shù)，例如可穿戴設(shè)備和其他智能設(shè)備。

由于GDPR 在個人數(shù)據(jù)保護(hù)領(lǐng)域的深遠(yuǎn)影響，為更好地保護(hù)本國數(shù)據(jù)主體的合法權(quán)益，較多國家同樣頒布了綜合性的個人數(shù)據(jù)保護(hù)法案②，并設(shè)置域外適用條款，確立本國對個人數(shù)據(jù)保護(hù)的域外立法管轄權(quán)。我國個人數(shù)據(jù)的域外管轄制度經(jīng)歷了從無到有、從粗到細(xì)的過程。2021 年我國《數(shù)據(jù)安全法》第二條確立了我國在數(shù)據(jù)領(lǐng)域的域外管轄制度，當(dāng)境外開展的數(shù)據(jù)處理活動損害我國國家安全、公共利益與公民合法利益時，需追究其法律責(zé)任。同年，對于發(fā)生在境外的個人數(shù)據(jù)處理活動，《個人信息保護(hù)法》第三條第二款③借鑒“目標(biāo)導(dǎo)向標(biāo)準(zhǔn)”詳細(xì)規(guī)定了法律的域外適用范圍。隨后《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》第二條第二款在《個人信息保護(hù)法》的域外適用的基礎(chǔ)上，增加“涉及境內(nèi)重要數(shù)據(jù)處理”的情形。美國、英國、巴西等國也紛紛以GDPR 為藍(lán)本設(shè)置域外適用條款，見表1。

表1 個人數(shù)據(jù)保護(hù)法案域外適用條款的立法現(xiàn)狀

除上述各國頒布的國內(nèi)法，2018年歐洲理事會修訂的《關(guān)于個人數(shù)據(jù)自動處理的個人保護(hù)公約》（Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data，以下簡稱《公約》）及其議定書作為全球數(shù)據(jù)保護(hù)領(lǐng)域最重要的國際協(xié)議之一，并沒繼承GDPR 的域外適用條款，而是在第18 條規(guī)定，不考慮數(shù)據(jù)主體的居住地和國籍，締約方均有義務(wù)保護(hù)數(shù)據(jù)主體行使權(quán)利。此條款更多是締約方出于“全球共管”的目的[5]，在對數(shù)據(jù)主體提供協(xié)助方面間接延伸《公約》的適用范圍以提高對數(shù)據(jù)主體的保護(hù)水平。

綜上，歐盟GDPR 域外管轄的規(guī)制路徑逐步成為全球個人數(shù)據(jù)域外管轄的標(biāo)準(zhǔn)，借助單邊立法賦予本國以域外立法管轄權(quán)已經(jīng)在全球普及。

（二）單邊立法下域外執(zhí)法管轄權(quán)的行使

執(zhí)法管轄權(quán)是一國行使的強(qiáng)制遵守法律的權(quán)力，根據(jù)主權(quán)原則，一國的執(zhí)法管轄權(quán)一般限于國內(nèi)。當(dāng)執(zhí)法管轄權(quán)的行使范圍超越領(lǐng)土邊界時，便會產(chǎn)生域外執(zhí)法管轄權(quán)的問題。域外執(zhí)法管轄權(quán)不僅包含對域外特定人、物的直接行政執(zhí)法，也包含為域外司法管轄權(quán)的順利行使而采取的司法輔助措施[6]。

相比于域外立法管轄權(quán)和域外司法管轄權(quán)，域外執(zhí)法管轄權(quán)具有明顯的侵略性，因此，國際法對域外執(zhí)法管轄權(quán)一直加以限制。一國行使域外執(zhí)法管轄權(quán)只能基于國際法賦予的特定權(quán)力或外國政府的有效同意[3]105。然而，在大數(shù)據(jù)時代，個人數(shù)據(jù)跨境流動的頻繁性致使原有域外執(zhí)法管轄權(quán)的行使條件已然無法滿足各國監(jiān)管的需求。因而，單方擴(kuò)張行政部門的執(zhí)法范圍成為各國行使個人數(shù)據(jù)域外執(zhí)法管轄權(quán)的方式之一。

其一，明確個人數(shù)據(jù)保護(hù)的監(jiān)管部門。GDPR作為全球最具影響力的數(shù)據(jù)法案，其第51條與第52條明文規(guī)定每個成員國應(yīng)當(dāng)建立一個或多個獨立公共機(jī)構(gòu)以負(fù)責(zé)條例實施，并進(jìn)一步要求監(jiān)管機(jī)構(gòu)應(yīng)當(dāng)具有完全的獨立性。英國的信息專員辦公室（Information Commissioner’s Office，縮寫為ICO）、西班牙數(shù)據(jù)保護(hù)機(jī)構(gòu)（Agencia Espa?ola de Protección de Datos）以及法國國家信息技術(shù)和自由委員會（Commission Nat Informatique et Liberté，縮 寫 為CNIL）等均是負(fù)責(zé)本國個人數(shù)據(jù)保護(hù)的監(jiān)管機(jī)構(gòu)。我國《個人信息保護(hù)法》第六十條賦予我國網(wǎng)信部門對個人信息保護(hù)享有監(jiān)管職責(zé)?！稊?shù)據(jù)安全法》第五條與第六條則對數(shù)據(jù)安全領(lǐng)域的職責(zé)在中央國家安全領(lǐng)導(dǎo)機(jī)構(gòu)、公安機(jī)關(guān)以及國家安全機(jī)關(guān)之間進(jìn)行分配。截止到2020 年11 月，全球已經(jīng)有80 多個國家和地區(qū)設(shè)立了數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)[7]。

其二，監(jiān)管部門具有行政執(zhí)法權(quán)限，不考慮他國的同意或授權(quán)直接針對域外特定的人或事項行使執(zhí)法管轄權(quán)。上述數(shù)據(jù)保護(hù)機(jī)構(gòu)絕對不僅僅限于監(jiān)督，更多是通過行政執(zhí)法的方式保障數(shù)據(jù)立法的實施。GDPR第58條賦予了數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)以調(diào)查權(quán)、矯正權(quán)、授權(quán)和建議權(quán)。在矯正權(quán)之下，數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)可以獨立行使警告、禁止數(shù)據(jù)處理、中止數(shù)據(jù)傳輸、撤回認(rèn)證以及行政罰款等多項權(quán)力。與此相似，我國《數(shù)據(jù)安全法》第六章與《個人信息保護(hù)法》第七章均明文規(guī)定了違法行為所應(yīng)當(dāng)承擔(dān)的法律責(zé)任，授權(quán)主管部門對違法開展數(shù)據(jù)處理活動的個人和組織實施警告、吊銷營業(yè)執(zhí)照、行政罰款等措施?！豆s》第15條基本繼承GDPR的規(guī)定，賦予監(jiān)管機(jī)構(gòu)調(diào)查權(quán)和干預(yù)權(quán)，以及有權(quán)對違反公約的行為做出行政處罰。2021年12月，法國CNIL 認(rèn)為谷歌公司對cookies 拒絕機(jī)制的設(shè)置過于復(fù)雜，拒絕cookies 并不像接受它一樣容易，因而對谷歌公司處以1.5億歐元的罰款[8]?？傊鎸ι嫱膺`法的個人數(shù)據(jù)處理行為，監(jiān)管部門更依賴國內(nèi)法行使域外執(zhí)法管轄權(quán)。

（三）域外司法管轄權(quán)的間接蔓延

司法管轄權(quán)，是一國通過其法院或行政法庭的程序處理特定的人、物或事項的權(quán)力。一般而言，對從事數(shù)據(jù)處理行為的人員或組織行使司法管轄權(quán)的實際范圍與立法管轄權(quán)相同。換言之，倘若在國際法框架下一國對域外的個人數(shù)據(jù)處理活動享有域外立法管轄權(quán)，那么也可對相應(yīng)的人員或事項行使域外司法管轄權(quán)，除非對方享有司法豁免。由前文可知，以GDPR 為代表的個人數(shù)據(jù)保護(hù)法案設(shè)置域外適用條款已經(jīng)逐步在全球普及，因而對數(shù)據(jù)處理活動的域外司法管轄權(quán)也相應(yīng)延伸，域外管轄的兩項標(biāo)準(zhǔn)在此不再贅述。但GDPR對司法管轄訴訟程序的規(guī)定，間接擴(kuò)張了域外司法管轄權(quán)。

GDPR 第79 條規(guī)定在個人數(shù)據(jù)保護(hù)民事訴訟中，數(shù)據(jù)主體所享有的針對控制者或處理者的司法救濟(jì)權(quán)。首先，這項救濟(jì)權(quán)利并不影響數(shù)據(jù)主體可以獲得的其他行政救濟(jì)，也不影響其向監(jiān)管機(jī)構(gòu)提交申訴。當(dāng)數(shù)據(jù)主體認(rèn)為，數(shù)據(jù)控制者或處理者違反GDPR處理其個人數(shù)據(jù)、侵犯其個人數(shù)據(jù)權(quán)的，均可獲取司法救濟(jì)。其次，明確規(guī)定了管轄法院。針對控制者或處理者的法律訴訟，依據(jù)被告人住所地的訴訟程序規(guī)則，數(shù)據(jù)主體應(yīng)當(dāng)在數(shù)據(jù)控制者或處理者擁有機(jī)構(gòu)的成員國的法庭提起訴訟。此類規(guī)定適用于設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)，即當(dāng)數(shù)據(jù)控制者或處理者在歐盟境內(nèi)存在設(shè)立機(jī)構(gòu)之時，數(shù)據(jù)主體以數(shù)據(jù)控制者或處理者為被告的訴訟，應(yīng)當(dāng)由設(shè)立機(jī)構(gòu)所在地的成員國法庭管轄。而在目標(biāo)導(dǎo)向標(biāo)準(zhǔn)之下，數(shù)據(jù)控制者或處理者在歐盟境內(nèi)并未有設(shè)立機(jī)構(gòu)。第79條第2款從弱者保護(hù)的角度，優(yōu)先保護(hù)數(shù)據(jù)主體的權(quán)益，明確規(guī)定，此類法律訴訟可以在數(shù)據(jù)主體經(jīng)常居住地的法庭提起。可見，無論適用何種域外管轄標(biāo)準(zhǔn)，歐盟成員國的法庭始終享有域外司法管轄權(quán)。再次，在選擇案件適用的準(zhǔn)據(jù)法時，GDPR域外適用條款并未給予國際私法下的沖突法規(guī)則以適用的空間。GDPR第3條名稱為“地域范圍”，以域外管轄為目的，第1款與第2款條文均具有“本例適用于……”的表述。對條文進(jìn)行文義解讀可以發(fā)現(xiàn)，若數(shù)據(jù)控制者或處理者處理個人數(shù)據(jù)的情形符合設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)或目標(biāo)導(dǎo)向標(biāo)準(zhǔn)，直接適用GDPR的規(guī)定。這就意味著，在歐盟成員國的法庭行使域外司法管轄權(quán)之時，直接適用GDPR的規(guī)定即可，無需依據(jù)沖突法指引選擇準(zhǔn)據(jù)法。因而，GDPR 第79條對數(shù)據(jù)主體司法救濟(jì)權(quán)利的程序規(guī)定，本質(zhì)上進(jìn)一步擴(kuò)張了歐盟成員國法院的司法管轄權(quán)。值得注意的是，我國《個人信息保護(hù)法》第三條也采用了“適用本法”的表述，即我國法院在審判過程中直接適用本法規(guī)定，但并未明文規(guī)定域外管轄情形下管轄法院的問題。

在域外執(zhí)法管轄權(quán)與域外司法管轄權(quán)相銜接的背景下[9]，域外司法管轄權(quán)有進(jìn)一步蔓延的可能。GDPR第58條在賦予獨立的監(jiān)管部門以行政執(zhí)法權(quán)力的同時，要求每個成員國通過國內(nèi)法的規(guī)定，允許監(jiān)管部門將違法行為訴諸司法機(jī)構(gòu)，并可以提起或參與訴訟。實質(zhì)上，監(jiān)管部門不僅具有行政執(zhí)法權(quán)，而且被授予了一部分司法職能。但GDPR并未對域外執(zhí)法管轄與域外司法管轄的銜接做出程序性的規(guī)定，這在《公約》中得到進(jìn)一步補(bǔ)充。由前文可知，《公約》第15條賦予監(jiān)管部門以調(diào)查權(quán)和干預(yù)權(quán)，監(jiān)管部門行政執(zhí)法的權(quán)限同GDPR的規(guī)定相比并無較大差別。但同時，這一條款規(guī)定締約方應(yīng)賦予監(jiān)管機(jī)構(gòu)進(jìn)行法律訴訟或?qū)⑷魏芜`反數(shù)據(jù)保護(hù)規(guī)則的行為提請司法機(jī)構(gòu)的權(quán)力。這項權(quán)力以調(diào)查權(quán)為前提，有助于司法機(jī)關(guān)發(fā)現(xiàn)侵犯數(shù)據(jù)主體權(quán)利的行為[10]。《公約》第15條將監(jiān)管部門的調(diào)查權(quán)與提起司法訴訟的權(quán)力相銜接，“調(diào)查”成為監(jiān)管部門提起司法訴訟的前提程序，實質(zhì)上是在行政執(zhí)法與司法訴訟之間搭建橋梁。監(jiān)管部門具有行政執(zhí)法與提起司法訴訟的雙重職能，這不僅模糊了域外執(zhí)法管轄權(quán)與域外司法管轄權(quán)之間的界限，更是伴隨著個人數(shù)據(jù)域外執(zhí)法管轄權(quán)的擴(kuò)張導(dǎo)致域外司法管轄權(quán)進(jìn)一步延伸。

三、個人數(shù)據(jù)域外管轄權(quán)擴(kuò)張的弊病

伴隨著諸多國家個人數(shù)據(jù)域外管轄權(quán)的擴(kuò)張，域外立法管轄范圍不明晰的缺陷暴露無遺，并引發(fā)域外執(zhí)法管轄與域外司法管轄諸多問題。

（一）域外立法管轄范圍寬泛模糊

以GDPR為代表的個人數(shù)據(jù)保護(hù)法案符合國際習(xí)慣法的管轄原則，但是其管轄范圍過于寬泛，邊界模糊不清。由于國際領(lǐng)域尚且缺乏對個人數(shù)據(jù)域外管轄調(diào)整的公約或協(xié)議，國際習(xí)慣法所包含的管轄原則就成為判斷管轄權(quán)合法性的重要標(biāo)準(zhǔn)?！霸O(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)”要求存在“設(shè)立機(jī)構(gòu)”這一連接點，這意味著其依舊要求存在領(lǐng)土聯(lián)系，所以其管轄以屬地管轄原則為基礎(chǔ)。從表面看，“設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)”的管轄權(quán)基礎(chǔ)并不屬于域外管轄的分類，但分析實際效果，EDPB對“設(shè)立機(jī)構(gòu)”含義的解釋寬泛，門檻較低，甚至自然人的存在即可被視為“設(shè)立機(jī)構(gòu)”。尤其是，“設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)”并不要求個人數(shù)據(jù)處理行為發(fā)生在境內(nèi)，Google Spain SL，Google Inc. v AEPD案件表明即使發(fā)生在境外的個人數(shù)據(jù)處理活動，只要滿足EDPB的考量因素，也將被納入管轄范圍。因而，“設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)”雖然以屬地原則為基礎(chǔ)，但或多或少具有虛擬性質(zhì)[11]，削弱了領(lǐng)土聯(lián)系，已經(jīng)發(fā)揮了域外管轄的效果。

“目標(biāo)導(dǎo)向標(biāo)準(zhǔn)”對效果原則的應(yīng)用更是加劇了對個人數(shù)據(jù)域外立法管轄范圍的爭議。在網(wǎng)絡(luò)環(huán)境之下，效果原則針對的是在國外發(fā)生或完成，但對其國內(nèi)產(chǎn)生效果的網(wǎng)絡(luò)行動[3]97?；ヂ?lián)網(wǎng)技術(shù)的出現(xiàn)致使以傳統(tǒng)疆域為界限開展管轄受到阻礙，效果原則在較大程度上彌補(bǔ)了傳統(tǒng)屬地管轄原則的缺憾，但其運(yùn)用也充滿了不確定性[12]。在“目標(biāo)導(dǎo)向標(biāo)準(zhǔn)”之下，數(shù)據(jù)控制者或處理者無論是提供商品或服務(wù)，抑或是監(jiān)控境內(nèi)數(shù)據(jù)主體，對境內(nèi)產(chǎn)生的實質(zhì)效果歸屬于數(shù)據(jù)保護(hù)機(jī)構(gòu)或法院單方解釋，管轄權(quán)易遭受懷疑。事實上，在這一標(biāo)準(zhǔn)之下，凡是涉及境內(nèi)數(shù)據(jù)主體的數(shù)據(jù)處理行為都可能被納入管轄范圍。盡管效果原則在個人數(shù)據(jù)保護(hù)領(lǐng)域逐步為更多的國家所接受，但其內(nèi)涵的不確定將進(jìn)一步導(dǎo)致域外立法管轄范圍的模糊。

可見，在國際習(xí)慣法框架下，盡管以GDPR為代表的個人數(shù)據(jù)保護(hù)法案的管轄權(quán)基礎(chǔ)符合國際習(xí)慣法，并未侵犯他國數(shù)據(jù)主權(quán)，但域外立法管轄權(quán)的邊界寬泛且不清晰。面對同一數(shù)據(jù)處理活動的案件多國有可能同時享有以客觀屬地原則或效果原則為基礎(chǔ)的立法管轄權(quán)，這極易在執(zhí)法管轄和司法管轄方面引發(fā)沖突。

（二）域外執(zhí)法的可行性受限

就域外執(zhí)法管轄權(quán)內(nèi)部因素而言，與域外立法管轄權(quán)和域外司法管轄權(quán)相比，其受地域性的限制影響最大。就外部配套措施而言，為域外執(zhí)法所設(shè)立的代表制度也無法解決行為義務(wù)的執(zhí)行難題。

1.內(nèi)部因素：地域性限制

數(shù)據(jù)保護(hù)機(jī)構(gòu)域外執(zhí)法的行為不可避免會受到地域性的限制。1927 年“荷花號”案件判決至今已接近百年，但其審判結(jié)論依舊是現(xiàn)下國家域外管轄的主要依據(jù)[13]。域外立法管轄權(quán)相對自由，但是域外執(zhí)法管轄權(quán)原則上依舊是禁止的，其行使應(yīng)當(dāng)具備其他國家的授權(quán)[13]。即使國際法框架下管轄權(quán)原則的內(nèi)涵在不斷變化，互聯(lián)網(wǎng)背景下屬地管轄與域外管轄的邊界更是逐漸模糊，但域外執(zhí)法管轄權(quán)以領(lǐng)土為界限的基本思路并未改變。以GDPR為代表的個人數(shù)據(jù)保護(hù)法案單方授予本國數(shù)據(jù)保護(hù)機(jī)構(gòu)域外執(zhí)法管轄權(quán)，但國內(nèi)法并不能構(gòu)成域外執(zhí)法的合法依據(jù)。倘若歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)以“目標(biāo)導(dǎo)向標(biāo)準(zhǔn)”為依據(jù)，未經(jīng)過我國監(jiān)管機(jī)構(gòu)同意，便對我國企業(yè)采取矯正、數(shù)據(jù)調(diào)取或行政處罰措施，不僅會涉嫌侵犯我國主權(quán)，更會引起雙方外交關(guān)系的緊張對立。由前文可知，個人數(shù)據(jù)域外立法管轄范圍寬泛模糊，無論是歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)抑或是我國監(jiān)管部門，域外執(zhí)法將不得不考慮選擇性執(zhí)行[14]。

2.外部因素：代表制度的“先天不足”

代表制度設(shè)置的目的正是為了保障個人數(shù)據(jù)保護(hù)法案的有效實施，但這一制度本身具有一定的缺陷。

首先，關(guān)于代表是否需要承擔(dān)“替代責(zé)任”的問題，各國立法或?qū)W者討論目前均未達(dá)成共識。在立法方面，2018 年《西班牙數(shù)據(jù)保護(hù)法案》（Spanish Data Protection Act 2018）第30（1）條直接規(guī)定監(jiān)管機(jī)構(gòu)可以對代表施加GDPR 中的所有“措施”，根據(jù)該法第30（2）條，代表將承擔(dān)連帶責(zé)任，就因數(shù)據(jù)控制者或處理者違反GDPR造成的任何損害向數(shù)據(jù)主體提供賠償。但值得注意的是，雖然我國《個人信息保護(hù)法》第五十三條借鑒了GDPR的代表制度，規(guī)定符合第三條第二款的個人信息處理者④應(yīng)在我國境內(nèi)指定代表，但對于最核心的法律責(zé)任立法卻沒有提及。換言之，在我國境內(nèi)設(shè)立的代表無需承擔(dān)“替代責(zé)任”。而學(xué)者對于代表“替代責(zé)任”的觀點也存在對立。支持者主要從有利于域外執(zhí)法的角度論證“替代責(zé)任”的必要性，而反對者更多從法理依據(jù)入手，認(rèn)為“替代責(zé)任”的立法設(shè)置沒有法理基礎(chǔ)，主要是依靠代表與網(wǎng)絡(luò)平臺的合同約定。

其次，境外的數(shù)據(jù)控制者或處理者逃避代表的設(shè)置。代表制度本身對境外的數(shù)據(jù)控制者或處理者而言沒有吸引力，在他國設(shè)置代表意味著境外的數(shù)據(jù)控制者或處理者自愿接受該國的管轄，這很可能抑制境外數(shù)據(jù)控制者或處理者設(shè)置代表的積極性[15]。2021年荷蘭數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)對總部位于美國的網(wǎng)站LOCATE FAMILY 處以52 萬歐元的行政罰款，依據(jù)便是該數(shù)據(jù)控制者服務(wù)的對象包括歐盟居民，符合GDPR 第3 條第2 款的規(guī)定，但是并未在歐盟任命代表[16]。

再次，應(yīng)當(dāng)區(qū)分?jǐn)?shù)據(jù)控制者或處理者的金錢給付義務(wù)與特定的行為義務(wù)[15]。即使代表能夠有效代替域外的數(shù)據(jù)控制者或處理者承擔(dān)行政罰款或民事賠償，但也只是局限于金錢給付義務(wù)。在需要境外的數(shù)據(jù)控制者或處理者遵守執(zhí)行某項行為的命令時，設(shè)置的代表很可能沒有權(quán)利同時也沒有實質(zhì)的可能性去遵守數(shù)據(jù)保護(hù)機(jī)構(gòu)的命令，具體的行為義務(wù)只有境外的數(shù)據(jù)控制者或處理者本身才能履行[15]。在A v Google New Zealand Ltd 一案中，因為谷歌公司沒有徹底刪除搜索鏈接，原告便將谷歌新西蘭子公司起訴至法院要求其履行，但法院支持了谷歌新西蘭子公司的主張，即盡管其可以對谷歌公司施加影響但新西蘭子公司根本不具備刪除搜索鏈接的權(quán)限，最終駁回了原告訴求。這一案件雖是以子公司為被告，但是同樣暴露了代表制度的缺陷，即子公司尚且可能不具備權(quán)限遵守保護(hù)個人數(shù)據(jù)的行為義務(wù)，與跨國公司關(guān)系更加松散的代表對行為義務(wù)的履行將更加有限。因而，正是因為代表制度本身存在的缺陷，其無法有效保障個人數(shù)據(jù)保護(hù)法案的實施。

（三）司法判決域外承認(rèn)受阻

除卻行政處罰，數(shù)據(jù)主體向數(shù)據(jù)控制者或處理者提出民事訴訟也是保護(hù)自身權(quán)益的重要手段。但跨境民事訴訟的司法判決是否能夠得到外國法院的承認(rèn)與執(zhí)行，的確存在諸多問題。

1.價值沖突

當(dāng)數(shù)據(jù)主體借助民事訴訟要求行使權(quán)益或索賠時，國際私法領(lǐng)域外國民商事判決承認(rèn)與執(zhí)行的規(guī)則可以獲得一定的應(yīng)用，但數(shù)據(jù)主體的權(quán)利可能會與他國公共利益相沖突[17]。2019 年在Google v CNIL一案中，歐盟法院對數(shù)據(jù)主體被遺忘權(quán)的執(zhí)行范圍進(jìn)行澄清，被遺忘權(quán)與公眾知情權(quán)、言論自由之間的沖突極為突出。歐盟法院認(rèn)為，個人數(shù)據(jù)的保護(hù)程度與信息自由之間的平衡在世界范圍內(nèi)可能會存在很大差異⑤。因而，雖然歐盟居民擁有被遺忘的合法權(quán)利，但該權(quán)利僅適用于歐盟27個成員國的邊界內(nèi)。這一判決看似谷歌公司取得了“勝利”，但判決的最后部分含蓄地承認(rèn)歐盟立法機(jī)構(gòu)有能力擴(kuò)大被遺忘權(quán)的范圍，即在充分權(quán)衡數(shù)據(jù)主體的權(quán)利與信息自由之后，成員國的司法機(jī)關(guān)或監(jiān)管機(jī)構(gòu)可以要求搜索引擎運(yùn)營商在全球范圍內(nèi)取消鏈接。這為以后歐盟各成員國的司法機(jī)關(guān)將被遺忘權(quán)在全球范圍內(nèi)實施敞開了大門。

但核心問題是，即使歐盟法院將被遺忘權(quán)的實施擴(kuò)展到全球范圍，也會因與言論自由不一致，在美國普通法下缺乏可執(zhí)行性[17]。依據(jù)美國憲法第一修正案，只有為防止對國家保護(hù)的合法利益造成嚴(yán)重和直接危險時，言論自由才可以被限制[17]。依據(jù)國際私法下“公共秩序保留”規(guī)則，一國可拒絕承認(rèn)與執(zhí)行與本國公共秩序相抵觸的外國判決[18]。雖不涉及個人數(shù)據(jù)，但Google Inc. v. Equustek Solutions Inc案件便是有力例證⑥。加拿大最高法院要求谷歌公司在全球范圍內(nèi)刪除鏈接以阻止知識產(chǎn)權(quán)侵權(quán)行為的判決，被美國加利福尼亞北部地區(qū)法院頒布禁令，主要依據(jù)便是這一判決與言論自由相矛盾，需要頒布禁令以保護(hù)公共利益。盡管我國《個人信息保護(hù)法》并未全面借鑒GDPR 被遺忘權(quán)的權(quán)利內(nèi)容，但第四十七條賦予我國數(shù)據(jù)主體以刪除權(quán)，而當(dāng)刪除權(quán)的執(zhí)行范圍延伸到我國領(lǐng)土以外時，同樣會涉及價值沖突的問題。

是故，數(shù)據(jù)保護(hù)的司法判決跨境的承認(rèn)與執(zhí)行會因價值沖突受到阻礙[19]。

2.司法管轄權(quán)遭受懷疑

由于個人數(shù)據(jù)域外立法管轄權(quán)的寬泛模糊，涉及數(shù)據(jù)主體民事索賠的司法判決在國外得到承認(rèn)與執(zhí)行時，管轄權(quán)的行使依據(jù)可能無法滿足合理性標(biāo)準(zhǔn)[17]。歐盟GDPR 第82 條和我國《個人信息保護(hù)法》第六十九條均賦予了數(shù)據(jù)主體因權(quán)益受損而請求賠償?shù)臋?quán)利。但承認(rèn)與執(zhí)行外國民商事判決最基本的要求是外國法院具有司法管轄權(quán)[15]。2019年在荷蘭海牙達(dá)成的《承認(rèn)與執(zhí)行外國民商事判決公約》規(guī)定了締約國相互承認(rèn)與執(zhí)行司法判決的重要條件之一便是原審法院要具有合格的管轄權(quán)[20]。然而，在個人數(shù)據(jù)域外管轄案件中，即使請求國法院以真實有效聯(lián)系為依據(jù)行使司法管轄權(quán)時，被請求國法院可能傾向于擔(dān)憂執(zhí)行裁決會進(jìn)一步擴(kuò)張請求國法院的管轄權(quán)[21]。早在2018 年GDPR 生效之時，學(xué)者Kurt Wimmer便指出，在對借助cookies跟蹤數(shù)據(jù)主體的境外公司行使司法管轄權(quán)時，即使請求國法院以效果原則為管轄權(quán)基礎(chǔ)，但由于cookies的使用不具有實質(zhì)性和直接影響，司法管轄權(quán)的行使很可能因不具備合理性而遭受被請求國法院質(zhì)疑[17]。在2014 年的Vidal-Hall & Ors v Google Inc 案件⑦中，英國法院認(rèn)為谷歌公司未經(jīng)數(shù)據(jù)主體同意利用cookies收集信息并發(fā)布有針對性的廣告，由于此類廣告具有泄露個人數(shù)據(jù)的風(fēng)險，法院參照誹謗法，認(rèn)為發(fā)布的針對性廣告在數(shù)據(jù)主體的計算機(jī)屏幕上可以觀看到，就如同誹謗的內(nèi)容在英國發(fā)布，英國法院有權(quán)管轄。但這一解釋是否能得到他國的認(rèn)可，還有賴于判例的進(jìn)一步發(fā)展。

因而，即使涉及數(shù)據(jù)主體索賠的司法判決并未與被請求國公共利益出現(xiàn)價值沖突，以“目標(biāo)導(dǎo)向標(biāo)準(zhǔn)”為依據(jù)的司法管轄權(quán)也可能因無法通過被請求國法院的管轄權(quán)審查而不被承認(rèn)和執(zhí)行。

四、我國進(jìn)取型路徑的構(gòu)建：反思與因應(yīng)

面對個人數(shù)據(jù)域外管轄權(quán)擴(kuò)張的趨勢，一味依靠阻斷法令開展“防守”不僅會使我國陷入被動，而且不利于我國參與全球數(shù)據(jù)治理。盡管對個人數(shù)據(jù)實施域外管轄存在諸多弊端，但不可否認(rèn)其存在的必要性。相比“防守”，構(gòu)建我國個人數(shù)據(jù)域外管轄的進(jìn)取型路徑才可以避免立法滯后。《個人信息保護(hù)法》與《數(shù)據(jù)安全法》只是初步完成了域外管轄的粗線條立法，缺乏對域外執(zhí)法配套措施的詳細(xì)規(guī)定。目前關(guān)鍵問題在于我國如何在不侵犯他國數(shù)據(jù)主權(quán)的前提下保障域外執(zhí)法和司法的有效實施。

（一）區(qū)分域外管轄涉及的條款類型

傳統(tǒng)域外管轄“全有或全無”的二元化和個人數(shù)據(jù)模糊不清的域外管轄范圍易使我國陷入管轄權(quán)沖突的境地。在確定是否要對個人數(shù)據(jù)的處理行使域外管轄權(quán)時，應(yīng)當(dāng)關(guān)注違反《個人信息保護(hù)法》的條款類型。Svantesson 教授將個人數(shù)據(jù)保護(hù)域外管轄的范圍分為三層：防止濫用層、權(quán)利層和行政層[22]。但本文認(rèn)為此種劃分有待進(jìn)一步商榷，主要原因有以下兩點：其一，盡管從法律條款的文義解釋分析，防止個人數(shù)據(jù)非法濫用和數(shù)據(jù)主體權(quán)利的內(nèi)容貌似容易辨析，但是在具體案件中二者是難以區(qū)分的。其二，即使防止個人數(shù)據(jù)濫用是目前各國個人數(shù)據(jù)保護(hù)法案立法的基本目標(biāo)，但這并不意味著域外管轄權(quán)可以隨意行使。在個人數(shù)據(jù)遭受非法泄露或利用的案件中，一國法院或政府依舊需要遵守域外管轄規(guī)則的基本要求。若如Svantesson 教授所述，以“市場主權(quán)”為依據(jù)，依靠市場力量對個人數(shù)據(jù)非法濫用行為實施無限制的域外管轄，此時域外管轄權(quán)的范圍等同于一國市場影響力的范圍。這反而容易導(dǎo)致較大經(jīng)濟(jì)體以數(shù)據(jù)保護(hù)為理由濫用管轄權(quán)，與國際法尊重主權(quán)原則背道而馳。考慮到《個人信息保護(hù)法》的主要監(jiān)管對象為個人信息處理者，可以從個人信息處理者的義務(wù)類型出發(fā)。其一，個人信息處理者需要維護(hù)所收集或處理的數(shù)據(jù)，并履行數(shù)據(jù)主體各項權(quán)益的要求。其二，個人信息處理者需要履行《個人信息保護(hù)法》所設(shè)定的各項具有行政管理性質(zhì)的義務(wù)。是故，本文傾向于以個人信息處理者的義務(wù)為基點，吸收并改進(jìn)“分層理論”，將我國《個人信息保護(hù)法》域外管轄的范圍分為兩層，即“數(shù)據(jù)主體權(quán)益保護(hù)層”與“行政管理義務(wù)層”。

第一，若個人數(shù)據(jù)處理行為涉及數(shù)據(jù)主體各項權(quán)益的保護(hù)，符合國際法管轄權(quán)理論中“最低限度聯(lián)系”，即可實施域外管轄[22]。《個人信息保護(hù)法》第一條明文規(guī)定以“保護(hù)個人信息權(quán)益，規(guī)范個人信息處理活動，促進(jìn)個人信息合理利用”為立法目的；第二條進(jìn)一步明確“任何組織、個人不得侵害自然人的個人信息權(quán)益”?？梢?，保護(hù)個人數(shù)據(jù)不被非法利用以及保障數(shù)據(jù)主體各項權(quán)益的有效行使是《個人信息保護(hù)法》最基本的立法目的。因而，對位于境外的個人信息處理者實行域外管轄不適宜設(shè)置較高的閾值。“最低限度聯(lián)系”理論起源于美國聯(lián)邦最高法院對International Shoe Co. v. Washington一案的判決⑧，即對非居民被告實施管轄，為符合正當(dāng)程序的要求，被告需與法庭有最低限度的接觸，此類訴訟不會冒犯“實質(zhì)性正義”[22]。以“最低限度聯(lián)系”作為個人數(shù)據(jù)域外管轄的閾值，不僅可以有效保護(hù)個人數(shù)據(jù)，且不會對他國數(shù)據(jù)主權(quán)造成困擾。

第二，若對位于境外的個人信息處理者采取行政管理措施，則實施域外管轄所要求的聯(lián)系程度會更加緊密。我國《個人信息保護(hù)法》第五章全面規(guī)定了個人信息處理者的義務(wù)，如設(shè)立個人信息保護(hù)負(fù)責(zé)人、定期進(jìn)行合規(guī)審計以及建立個人信息保護(hù)合規(guī)制度體系等。在適用“目標(biāo)導(dǎo)向標(biāo)準(zhǔn)”的前提下，我國網(wǎng)信部門要求任何位于他國的個人信息處理者均履行上述義務(wù)要求是不切實際的。況且，此類行政管理措施類的條款并非直接保護(hù)個人數(shù)據(jù)，而是通過加強(qiáng)日常管理來降低風(fēng)險，因而以“最低限度聯(lián)系”作為域外管轄的閾值已然不合時宜。美國在Helicoptoros Nacionales De Columbia S.A.v Hall一案⑨中對“一般管轄權(quán)”的判決可以提供啟示，即當(dāng)被告與法庭的聯(lián)系是連續(xù)的、系統(tǒng)的和持續(xù)的，法院可以行使一般管轄權(quán)[22]。在具體案件中，考慮境外個人信息處理者與我國之間的聯(lián)系是否具有連續(xù)性、系統(tǒng)性和持續(xù)性，換言之，同時考慮聯(lián)系的數(shù)量和持續(xù)的時間，進(jìn)而判斷是否需要適用行政管理措施類的條款。

總之，應(yīng)當(dāng)結(jié)合我國《個人信息保護(hù)法》的立法體系，借鑒并改進(jìn)Svantesson教授的“分層理論”，從個人信息處理者的義務(wù)出發(fā)對涉及的條款類型予以區(qū)分，從而為實施個人數(shù)據(jù)域外管轄權(quán)所需要的聯(lián)系程度提供閾值參考。

（二）構(gòu)建多維度跨境執(zhí)法機(jī)制

數(shù)據(jù)保護(hù)機(jī)構(gòu)之間的監(jiān)管合作可以有效減輕域外執(zhí)法的地域性障礙，彌補(bǔ)代表制度的不足，是克服跨境執(zhí)法問題的解決方案。我國應(yīng)當(dāng)依托自身數(shù)據(jù)大國的身份積極參與建立跨境執(zhí)法機(jī)制，包括多邊執(zhí)法機(jī)制和雙邊執(zhí)法機(jī)制，但二者在國際談判與合作的方向并不相同。

1.多邊執(zhí)法機(jī)制回歸國際軟法

在構(gòu)建多邊執(zhí)法機(jī)制方面，尋求達(dá)成具有法律效力的國際條約或協(xié)議并不具有現(xiàn)實性，我國應(yīng)著重發(fā)揮國際軟法的作用[23]。首先，個人數(shù)據(jù)保護(hù)法案具有公法屬性。以我國《個人信息保護(hù)法》為例，第一條“…根據(jù)憲法，制定本法”表明了立法以憲法為基礎(chǔ)，確立了將個人信息權(quán)作為新興公法權(quán)利的思路[24]。不可否認(rèn)，就數(shù)據(jù)主體對個人數(shù)據(jù)所享有的權(quán)利而言，其本質(zhì)具有民事權(quán)利的屬性，但我國《個人信息保護(hù)法》對個人數(shù)據(jù)的保護(hù)是多元化的、立體的。除民事賠償保護(hù)以外，我國《個人信息保護(hù)法》第六十六條對違反個人數(shù)據(jù)保護(hù)規(guī)定的個人信息處理者處以警告、罰款、沒收違法所得等行政處罰措施。正是因為這一公法屬性，個人數(shù)據(jù)權(quán)益的背后蘊(yùn)含著各國的公共政策，導(dǎo)致一國難以允許第三國數(shù)據(jù)保護(hù)機(jī)構(gòu)對本國境內(nèi)的個人信息處理者實施單邊執(zhí)法。其次，國際社會尚未就數(shù)據(jù)主權(quán)的理念達(dá)成一致。2015年我國國務(wù)院發(fā)布的《促進(jìn)大數(shù)據(jù)發(fā)展行動綱要》中強(qiáng)調(diào)“充分利用我國的數(shù)據(jù)規(guī)模優(yōu)勢……增強(qiáng)網(wǎng)絡(luò)空間數(shù)據(jù)主權(quán)保護(hù)能力”。2020 年歐盟在《歐洲數(shù)字主權(quán)》（Digital Sovereignty for Europe）中闡釋了歐盟“數(shù)字主權(quán)”的內(nèi)容，并將數(shù)據(jù)主權(quán)作為數(shù)字主權(quán)的下位概念。然而，最具有互聯(lián)網(wǎng)行業(yè)競爭優(yōu)勢的美國卻刻意模糊數(shù)據(jù)領(lǐng)域的主權(quán)概念，并采取“多利益攸關(guān)方模式”的數(shù)據(jù)治理政策[25]。正因為對國家數(shù)據(jù)主權(quán)這一根本內(nèi)容尚未達(dá)成一致，國際社會在數(shù)字貿(mào)易壁壘、跨境數(shù)據(jù)流通等問題上存在嚴(yán)重分歧。再次，在個人數(shù)據(jù)保護(hù)領(lǐng)域，具有強(qiáng)制執(zhí)行力的國際執(zhí)法合作條約或協(xié)議并不充分，國際社會缺乏相應(yīng)的實踐基礎(chǔ)。經(jīng)濟(jì)合作與發(fā)展組織（Organization for Economic Co-operation and Development）發(fā)布的報告顯示，個人數(shù)據(jù)保護(hù)的跨境聯(lián)合執(zhí)法在充分性和有效性方面依舊存在欠缺[26]。相比具有法律效力的國際條約或協(xié)議，國際軟法并不由國家保證實施，但其彈性較大，能更好地協(xié)調(diào)多方利益，因而我國對多邊執(zhí)法機(jī)制應(yīng)回歸國際軟法的軌道[23]。

目前，全球已然出現(xiàn)了一系列的制度安排和組織，以促進(jìn)數(shù)據(jù)保護(hù)機(jī)構(gòu)之間的執(zhí)法合作?！峨[私保護(hù)和個人數(shù)據(jù)跨境流動指南》（Guidelines on the Protection of Privacy and Transborder Flows of Personal Data）和《APEC 隱私框架》（APEC Privacy Framework）是多邊執(zhí)法機(jī)制國際軟法的主要組成部分。2012 年亞太經(jīng)濟(jì)合作組織（Asia-Pacific Economic Cooperation）構(gòu)建了“跨境隱私規(guī)則”，隱私執(zhí)法機(jī)構(gòu)、問責(zé)代理機(jī)構(gòu)和企業(yè)三方參與，對違法企業(yè)，問責(zé)代理機(jī)構(gòu)與隱私執(zhí)法機(jī)構(gòu)可以糾正并采取處罰措施[27]。盡管“跨境隱私規(guī)則”依舊依賴國內(nèi)監(jiān)管機(jī)構(gòu)處罰，但正如學(xué)者所言，一國監(jiān)管機(jī)構(gòu)對企業(yè)的包庇會令其喪失信譽(yù)，導(dǎo)致其他國家喪失與其合作的信心，從而無法在個人數(shù)據(jù)市場立足[28]。遺憾的是，我國尚未加入“跨境隱私規(guī)則”這一多邊執(zhí)法機(jī)制。盡管國內(nèi)外對數(shù)據(jù)主體權(quán)利的內(nèi)容和保護(hù)程度依舊存在差異，但是保護(hù)個人數(shù)據(jù)已經(jīng)成為基本目標(biāo)。由于在個人數(shù)據(jù)保護(hù)的國際合作方面尚處于起步階段，我國可以考慮指定現(xiàn)有數(shù)據(jù)保護(hù)機(jī)構(gòu)如國家網(wǎng)信部門作為隱私執(zhí)法機(jī)構(gòu)，積極申請加入“跨境隱私規(guī)則”，為我國個人數(shù)據(jù)域外管轄權(quán)的實施提供多邊執(zhí)法機(jī)制的依靠[28]。

2.雙邊執(zhí)法機(jī)制提供合法依據(jù)

相比多邊執(zhí)法機(jī)制，我國對雙邊執(zhí)法機(jī)制的構(gòu)建應(yīng)著重增強(qiáng)可執(zhí)行效力，從而補(bǔ)充多邊執(zhí)法機(jī)制的不足，為我國個人數(shù)據(jù)域外執(zhí)法管轄權(quán)的行使提供合法依據(jù)。雙邊執(zhí)法機(jī)制談判的成本比構(gòu)建多邊執(zhí)法機(jī)制更低，締約方所面臨的利益分歧會更小。首先，我國可以考慮率先與共建“一帶一路”的國家達(dá)成雙邊執(zhí)法合作協(xié)議，并依托“一帶一路”的影響力，將達(dá)成的雙邊執(zhí)法合作協(xié)議逐步轉(zhuǎn)化為多邊合作協(xié)議。其次，雙邊執(zhí)法機(jī)制的構(gòu)建應(yīng)當(dāng)明晰締約方數(shù)據(jù)保護(hù)機(jī)構(gòu)的執(zhí)法權(quán)限，將提供協(xié)助作為法定義務(wù)。明確雙方聯(lián)合開展合作的方式，包括但不局限于提供文件或信息、聯(lián)合調(diào)查或執(zhí)法等。只有被賦予聯(lián)合執(zhí)法的權(quán)限，我國數(shù)據(jù)保護(hù)機(jī)構(gòu)的域外執(zhí)法行為方具有正當(dāng)基礎(chǔ)。再次，在構(gòu)建雙邊執(zhí)法機(jī)制時，以比例原則界定我國域外執(zhí)法管轄權(quán)行使的邊界。其一，應(yīng)當(dāng)考慮侵犯個人數(shù)據(jù)權(quán)益行為所造成的損害程度。損害程度越高意味著我國行使域外執(zhí)法管轄權(quán)越具有必要性和正當(dāng)性。至于侵犯個人數(shù)據(jù)權(quán)益的違法行為是否需要在我國與締約國之間同時具有違法性，本文傾向于認(rèn)為，“雙重違反原則”可以作為簡化聯(lián)合執(zhí)法程序的條件，但不適宜作為建立雙邊執(zhí)法機(jī)制的前提。其二，應(yīng)當(dāng)考慮個人信息處理者與我國的聯(lián)系程度。聯(lián)系程度可以基于領(lǐng)土、效果、屬人等連接點進(jìn)行判斷。與我國實質(zhì)聯(lián)系程度越緊密，我國個人數(shù)據(jù)域外執(zhí)法管轄權(quán)越易于為被請求國所認(rèn)可。其三，我國個人數(shù)據(jù)保護(hù)域外執(zhí)法所采取的措施應(yīng)當(dāng)具有必要性。將執(zhí)法措施與個人數(shù)據(jù)違法處理行為相匹配，不僅有助于平衡公權(quán)與私權(quán)，更有利于兩國數(shù)據(jù)保護(hù)執(zhí)法機(jī)構(gòu)未來進(jìn)一步的執(zhí)法合作。我國數(shù)據(jù)保護(hù)機(jī)構(gòu)應(yīng)當(dāng)比較所能采取的行政執(zhí)法措施，綜合事實進(jìn)行判定。若個人數(shù)據(jù)違法處理行為涉及侵犯我國國家利益或公共利益，我國自然可以考慮采取更加嚴(yán)厲的執(zhí)法措施。

綜上，我國關(guān)于跨境執(zhí)法機(jī)制的構(gòu)建應(yīng)當(dāng)是多維度的。就多邊執(zhí)法機(jī)制而言，我國依舊以國際軟法為主要談判方向，考慮加入“跨境隱私規(guī)則”執(zhí)法體系。同時，以具有強(qiáng)制執(zhí)行力的雙邊執(zhí)法機(jī)制予以補(bǔ)充，為我國個人數(shù)據(jù)域外執(zhí)法管轄權(quán)的行使提供合法依據(jù)。

（三）完善司法判決域外實施的補(bǔ)充措施

與個人數(shù)據(jù)域外執(zhí)法不同，司法判決域外承認(rèn)所面臨的困境是難以通過國際談判解決的。各國個人數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)不同，對公共利益的界定更是千差萬別。正因如此，借助國際談判解決價值沖突的問題，從短期而言不切實際。進(jìn)一步細(xì)化司法判決域外實施的補(bǔ)充措施是當(dāng)下保障我國域外司法管轄權(quán)有效實施的重要舉措。依據(jù)是否具有強(qiáng)制執(zhí)行力，本文將補(bǔ)充措施劃分為“硬”措施與“軟”措施。

1.“硬”措施的有效運(yùn)用

為保護(hù)個人數(shù)據(jù)，應(yīng)借助立法完善“市場破壞措施”（market destroying measure），賦予其強(qiáng)制執(zhí)行的效力，可以有效避免司法判決淪為一紙空文。

Svantesson 教授在前文提到的“市場主權(quán)”理論的基礎(chǔ)上主張，政府可通過引入“市場破壞措施”來懲罰境外網(wǎng)絡(luò)運(yùn)營商，它的內(nèi)容包括禁止當(dāng)事人在國家管轄范圍內(nèi)進(jìn)行貿(mào)易或使其在國家管轄范圍內(nèi)享有的債權(quán)無法執(zhí)行[29]。這一措施更多是以自身市場為籌碼，借助境外主體對一國市場的依賴從而保障域外管轄權(quán)的有效實施。其不僅可以有效執(zhí)行判決涉及的金錢給付義務(wù)，同時也促使境外的個人信息處理者履行特定的行為義務(wù)。但需要注意的是，此類措施的采取應(yīng)當(dāng)以遵守域外管轄規(guī)則為基礎(chǔ)，并非依靠市場力量進(jìn)行不當(dāng)?shù)挠蛲夤茌?。毋庸置疑，在個人數(shù)據(jù)領(lǐng)域，我國廣闊的市場為“市場破壞措施”的設(shè)定提供了前提。以尊重主權(quán)和相互平等的國際法原則為基準(zhǔn)，將“市場破壞措施”有條件地引入個人數(shù)據(jù)域外管轄制度。這意味著違反我國個人數(shù)據(jù)立法的境外主體若不履行我國裁決，在我國管轄范圍內(nèi)的數(shù)據(jù)主體將不再向其提供數(shù)據(jù)或在一定范圍內(nèi)其債權(quán)將無法得到強(qiáng)制執(zhí)行。我國《個人信息保護(hù)法》第四十二條的內(nèi)容可歸屬于“市場破壞措施”，即對從事個人信息處理活動危害國家安全、公共利益以及個人信息權(quán)益的境外主體，國家網(wǎng)信部門將列入清單，限制或者禁止向其提供個人信息。本文更傾向于擴(kuò)大這一規(guī)定的涵蓋范圍，將對我國監(jiān)管部門行政處罰或司法機(jī)關(guān)判決不予執(zhí)行的境外主體也歸屬于這一清單。依據(jù)個案中境外主體的具體行為，采取不同程度的“市場破壞措施”以達(dá)到個人數(shù)據(jù)域外管轄的目的。是故，面對“市場破壞措施”的外在壓力，只有履行判決所涉及的金錢給付義務(wù)或特定行為義務(wù)的境外個人信息處理者才被中國市場所接受，反之，則拒之門外。

總之，依靠中國個人數(shù)據(jù)市場的吸引力，市場破壞措施可以有效解決司法判決域外承認(rèn)的困境，但具體內(nèi)容需要我國立法進(jìn)一步細(xì)化。

2.“軟”措施下的自覺執(zhí)行

除具有強(qiáng)制執(zhí)行力的“硬”措施，公眾輿論也是我國網(wǎng)信部門和司法機(jī)關(guān)可以有效運(yùn)用的工具[15]。對于大型的跨國企業(yè)，對其違法行為的行政處罰或判決所引發(fā)的宣傳效果，可能比處罰或判決本身更具破壞性[30]299。在Yahoo! Inc. v. La Ligue Contre Le Racisme Et L’Antisemitisme 一案中，美國第九巡回上訴法院作出裁決，主張“審查令人反感的言論并不適用于憲法第一修正案，限制一方主體在美國境內(nèi)言論的外國判決是無法執(zhí)行的”，從而禁止法國法院的判決在美國執(zhí)行。然而，雅虎公司為了保護(hù)自身在法國的商業(yè)形象，考慮到其違法行為已然受到社會公眾的關(guān)注，為了降低銷售納粹紀(jì)念品所帶來的聲譽(yù)損害，阻止商業(yè)訂單下降的趨勢，雅虎公司最終選擇自覺執(zhí)行法國法院的判決[31]。個人數(shù)據(jù)保護(hù)與言論自由的價值沖突是難以通過強(qiáng)制手段化解的。雖然公眾輿論并沒有法律效力，但是與“硬”措施的相互結(jié)合，可以彌補(bǔ)價值沖突的漏洞，從而有助于司法判決的真正實施。

提高行政處罰或司法判決的透明度是充分發(fā)揮公眾輿論的有效措施。眾所周知，我國網(wǎng)民數(shù)量眾多，針對跨國企業(yè)違反數(shù)據(jù)保護(hù)行為的處罰或判決極易引起輿論關(guān)注，而透明度的高低會直接關(guān)系到輿論宣傳的效果。我國網(wǎng)信部門或司法機(jī)關(guān)可以借助各方媒體平臺，及時公布個人信息處理者違法行為的具體表現(xiàn)、危害、裁決依據(jù)以及裁決結(jié)果。提高透明度可以產(chǎn)生兩方面效果：第一，起到威懾作用；第二，進(jìn)一步損害該個人信息處理者的商業(yè)信譽(yù)，降低其社會評價，影響其盈利[30]300。利用輿論這一“軟”措施已經(jīng)得到國外數(shù)據(jù)保護(hù)機(jī)構(gòu)的重視，如英國ICO 在其網(wǎng)站上發(fā)布執(zhí)法通知以供記者查找，旨在讓媒體對執(zhí)法活動進(jìn)行報道[30]300。因而，利用輿論這一“軟”措施，強(qiáng)化宣傳新型的或嚴(yán)重的個人數(shù)據(jù)違法處理行為，使位于境外的個人信息處理者不得不面臨負(fù)面宣傳所帶來的輿論壓力，從而促使其自覺履行法院判決。

綜上，即使司法判決在境外無法得到承認(rèn)與執(zhí)行，“硬”措施與“軟”措施的相互結(jié)合，以中國市場為籌碼，可以促使境外個人信息處理者自覺履行義務(wù)，達(dá)到保護(hù)個人數(shù)據(jù)的效果。

五、結(jié)語

個人數(shù)據(jù)域外管轄權(quán)的擴(kuò)張已經(jīng)在全球范圍內(nèi)普及，在保護(hù)個人數(shù)據(jù)的同時，已然引發(fā)了域外執(zhí)法管轄與司法管轄的沖突。在互聯(lián)網(wǎng)、大數(shù)據(jù)技術(shù)飛速發(fā)展的背景下，個人數(shù)據(jù)域外管轄權(quán)的單邊擴(kuò)張具有內(nèi)在動因，國際合作機(jī)制的局限意味著這一擴(kuò)張趨勢將長期存在。相比于一味地“防守”，我國更重要的是構(gòu)建個人數(shù)據(jù)域外管轄的進(jìn)取型路徑，平衡他國主權(quán)利益與我國域外管轄的現(xiàn)實需求。在參與構(gòu)建跨境個人數(shù)據(jù)保護(hù)執(zhí)法機(jī)制的同時，細(xì)化司法判決域外實施的補(bǔ)充措施，促使境外個人信息處理者履行義務(wù)。

注釋：

①參見Joined cases Peter Pammer v Reederei Karl Schlüter GmbH & Co. KG（C-585/08）and Hotel Alpenhof GesmbH v Oliver Heller（C-144/09）。

②由于各國所頒布的法案名稱并不相同，但法案核心均在于保護(hù)個人數(shù)據(jù)，因而本文將此類法案統(tǒng)稱為個人數(shù)據(jù)保護(hù)法案。

③《個人信息保護(hù)法》第三條第二款：在中華人民共和國境外處理中華人民共和國境內(nèi)自然人個人信息的活動，有下列情形之一的，也適用本法：（一）以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的；（二）分析、評估境內(nèi)自然人的行為；（三）法律、行政法規(guī)規(guī)定的其他情形。

④《個人信息保護(hù)法》并未采取“數(shù)據(jù)控制者或處理者”的稱謂，而是統(tǒng)一稱為“個人信息處理者”。

⑤參見Google LLC，successor in law to Google Inc.v Commission nationale de l’informatique et des libertés（CNIL）（C-507/17）。

⑥參見Google LLC v. Equustek Sols. Inc.（N.D. Cal.Nov. 2，2017）。

⑦參見Vidal-Hall & Ors v Google Inc [2014]EWHC 13（QB）。

⑧參見International Shoe Co.v.Washington，326 US 316（1945）。

⑨參見Helicoptoros Nacionales De Columbia，S.A. v Hall，466 U.S.（1984）。