張曉嵐 王鵬

（上海政法學(xué)院，上海 201602）

《中華人民共和國個(gè)人信息保護(hù)法》（以下簡稱《個(gè)人信息保護(hù)法》）作為我國針對(duì)個(gè)人信息處理行為進(jìn)行規(guī)范的法律，改變了長期以來我國個(gè)人信息保護(hù)領(lǐng)域缺乏專門法律規(guī)范的境況。《個(gè)人信息保護(hù)法》的出臺(tái)終結(jié)了以往對(duì)個(gè)人信息的保護(hù)只能依靠民法基本法和一系列行政法規(guī)進(jìn)行查缺補(bǔ)漏式規(guī)范的時(shí)代，與《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》共同構(gòu)成我國信息安全方面的法律基石。《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息提供的保護(hù)水平相當(dāng)之高：內(nèi)容上公私兼?zhèn)?，既明確“個(gè)人信息權(quán)益”的內(nèi)容范圍，也強(qiáng)調(diào)對(duì)“個(gè)人信息處理行為”的公法監(jiān)管；既統(tǒng)合私主體和公權(quán)力機(jī)關(guān)的義務(wù)與責(zé)任，也兼顧個(gè)人信息保護(hù)與利用。在效力范圍方面，《個(gè)人信息保護(hù)法》第三條突破了以地理邊界作為法律效力范圍的傳統(tǒng)做法，對(duì)境內(nèi)外處理我國境內(nèi)自然人個(gè)人信息的活動(dòng)進(jìn)行了分別安排，呈現(xiàn)出明顯的域外管轄的效果，擴(kuò)展了我國對(duì)公民個(gè)人信息保護(hù)的界限。

一、《個(gè)人信息保護(hù)法》域外管轄的法理基礎(chǔ)

《個(gè)人信息保護(hù)法》的調(diào)整對(duì)象是個(gè)人信息處理者與我國境內(nèi)自然人之間因個(gè)人信息處理活動(dòng)形成的社會(huì)關(guān)系，既包括平等民事主體間發(fā)生的個(gè)人信息處理關(guān)系；也包括國家機(jī)關(guān)與自然人間形成的個(gè)人信息處理關(guān)系。當(dāng)《個(gè)人信息保護(hù)法》在調(diào)整平等主體間個(gè)人信息處理關(guān)系時(shí)，作為被規(guī)范對(duì)象的信息處理行為并不必然發(fā)生于我國境內(nèi)?；ヂ?lián)網(wǎng)是沒有國界的，個(gè)人信息處理者即便沒有在我國境內(nèi)設(shè)立機(jī)構(gòu)，不曾在我國境內(nèi)直接開展過信息處理行為，也不妨礙其在任意時(shí)間通過委托或買賣等方式收集我國境內(nèi)的個(gè)人信息，并加以分析使用。例如，亞馬遜公司（Amazon）作為全球性的電子商務(wù)巨頭，在美國華盛頓州的總部完全可以通過其在中國設(shè)立的子公司獲取中國地區(qū)用戶的個(gè)人信息并進(jìn)行分析監(jiān)測(cè)。當(dāng)境外個(gè)人信息處理者能夠有效取得境內(nèi)用戶個(gè)人信息時(shí)，《個(gè)人信息保護(hù)法》如果僅針對(duì)境內(nèi)信息處理者適用而放棄對(duì)境外信息處理者的管轄，不僅違背了充分保護(hù)原則，實(shí)際上會(huì)減損《個(gè)人信息保護(hù)法》的權(quán)威性。由此可見，為了充分、完整保護(hù)個(gè)人信息主體的合法權(quán)益，《個(gè)人信息保護(hù)法》必須具有涉外效力。

國際法并不禁止一國法律擁有域外效力。內(nèi)國法的域外效力通常表現(xiàn)為某個(gè)外國對(duì)象的行為被內(nèi)國法加以管轄。目前，國際社會(huì)中以內(nèi)國法進(jìn)行域外管轄的情況并不鮮見，主要集中在證券金融法等國際法尚未形成統(tǒng)一國際規(guī)范的領(lǐng)域。在個(gè)人信息保護(hù)方面，歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）以及之前的一系列立法均規(guī)定了域外適用的效力。在涉外管轄方面，判斷一部法律的域外適用是否符合國際法，要看它所適用的事件、行為或人是否與立法國的和平、秩序和良好統(tǒng)治有關(guān)聯(lián)。國際常設(shè)法院在“荷花號(hào)案”的判決中論述道：“國際法沒有規(guī)定普遍禁止，即各國不得將其法律的適用和法院的管轄權(quán)擴(kuò)大到其領(lǐng)土以外的個(gè)人、財(cái)產(chǎn)和行為，而是在這方面為各國留下了廣泛的自由裁量權(quán)，只在某些情況下受到禁止性規(guī)則的限制；至于其他情況，每個(gè)國家仍然可以自由地采取它認(rèn)為最好和最合適的原則?！痹撆袥Q作出于100 年前，當(dāng)年國際法并沒有建立起一套“普遍禁止”的規(guī)定?？v觀當(dāng)今國際社會(huì)，國際法雖然在打擊國際犯罪、保護(hù)外交人員、國際貨物交易等方面形成具有相對(duì)一致性的國際規(guī)則，但在國際金融、個(gè)人信息保護(hù)等領(lǐng)域尚未形成統(tǒng)一的國際習(xí)慣。建立含有“普遍禁止”的規(guī)定尚且遙遙無期。由此觀之，賦予個(gè)人信息保護(hù)類法律以域外效力并不違法國際法，國際法甚至為各國留下了“廣泛的自由裁量權(quán)”。是故，當(dāng)一個(gè)法律領(lǐng)域尚且處于探索階段、尚未形成國際共識(shí)的時(shí)候，想要建立具有普適性的共同規(guī)范最好的方法是“留白”：首先國際法靜默不語，讓各個(gè)國際主體以自身實(shí)踐為藍(lán)本提出多種法律范式，不同法律范式之間“百家爭(zhēng)鳴”，繼而逐步“求同存異”，由此形成能為國際社會(huì)普遍接受的國際習(xí)慣，最終在此基礎(chǔ)上進(jìn)行總結(jié)、歸納而誕生國際成文法。觀察任何國際法規(guī)則的發(fā)展歷史，無不是遵循這樣的路徑。

二、《個(gè)人信息保護(hù)法》域外效力擴(kuò)張的現(xiàn)實(shí)基礎(chǔ)

法律是對(duì)既存社會(huì)關(guān)系進(jìn)行歸納后形成的具有普適性的社會(huì)規(guī)范，個(gè)人信息保護(hù)法必然反映當(dāng)下信息技術(shù)發(fā)展形成的數(shù)據(jù)社會(huì)關(guān)系。因此，想要在實(shí)然層面理解《個(gè)人信息保護(hù)法》所具有域外適用效力的合理性，就需要探究個(gè)人信息作為一種數(shù)據(jù)的獨(dú)特性質(zhì)和當(dāng)前個(gè)人信息保護(hù)立法的國際背景。

（一）個(gè)人信息數(shù)據(jù)的虛擬性要求個(gè)人信息的保護(hù)應(yīng)脫離地域限制

以超級(jí)計(jì)算機(jī)發(fā)展為基礎(chǔ)的信息技術(shù)革命改變了社會(huì)生產(chǎn)方式和人類生活方式。信息技術(shù)的勃興一方面使得個(gè)人信息能夠被事無巨細(xì)地記錄下來，這些信息能夠反映出信息主體的各種偏好和習(xí)慣，因而具有極大的經(jīng)濟(jì)潛能。另一方面，個(gè)人信息處理者處理數(shù)據(jù)的能力前所未有地增強(qiáng)。如今個(gè)人信息處理行為無孔不入，即便是某些單獨(dú)不足以識(shí)別信息主體，但與其他信息碎片結(jié)合卻能拼湊出信息主體形象的信息碎片也被大量收集、分析。其中“個(gè)人信息處理者”的概念不帶有任何地理色彩，境外企業(yè)同樣能通過互聯(lián)網(wǎng)向境內(nèi)自然人提供信息服務(wù)。個(gè)人信息保護(hù)法具備涉外效力的現(xiàn)實(shí)背景在于個(gè)人信息數(shù)據(jù)跨境流動(dòng)已經(jīng)成為現(xiàn)實(shí)。以國界作為確定一國法律效力范圍的傳統(tǒng)立法范式在涉及互聯(lián)網(wǎng)領(lǐng)域社會(huì)關(guān)系上顯得比較疲軟。因?yàn)閿?shù)據(jù)是去中心化、虛擬化的產(chǎn)品，個(gè)人信息處理者能夠在任何地點(diǎn)的任意一臺(tái)計(jì)算機(jī)上挖掘、分析、分配世界上任何一個(gè)信息主體的個(gè)人信息，云計(jì)算技術(shù)的發(fā)展更是使得數(shù)據(jù)處理行為能夠突破本地處理的限制。信息技術(shù)的突飛猛進(jìn)實(shí)際上形成了一個(gè)“無土地”的虛擬空間，這一空間中沒有界碑，只有無數(shù)個(gè)人信息數(shù)據(jù)恣意流動(dòng)。在此情況下想要保護(hù)個(gè)人信息權(quán)益、規(guī)制個(gè)人信息處理行為，無法僅依賴特定地理概念作為確定管轄的依據(jù)。法律效力與國家主權(quán)界限之間的邏輯關(guān)系隨之發(fā)生改變。個(gè)人信息保護(hù)立法的效力范圍必然會(huì)擺脫地理邊界的限制，并且不可能呈現(xiàn)為對(duì)本國主權(quán)范圍內(nèi)個(gè)人信息處理法律關(guān)系放棄管轄的“內(nèi)縮”范式，而只能表現(xiàn)為爭(zhēng)取對(duì)本國主權(quán)范圍外的個(gè)人信息處理行為的“擴(kuò)張”適用。

（二）國際實(shí)踐普遍賦予個(gè)人信息保護(hù)類法律以域外效力

目前，各國間個(gè)人信息保護(hù)水平不一、國際習(xí)慣尚未形成。各國網(wǎng)絡(luò)信息技術(shù)水平存在顯著差異，社會(huì)信息化程度高的國家個(gè)人信息保護(hù)法的水平較高，而社會(huì)信息化程度低的國家則缺乏進(jìn)行個(gè)人信息保護(hù)專門立法的現(xiàn)實(shí)基礎(chǔ)。在已經(jīng)建立個(gè)人信息保護(hù)體系的國家當(dāng)中，立法范式亦千差萬別，每個(gè)國家都會(huì)根據(jù)本國信息技術(shù)發(fā)展水平制定側(cè)重點(diǎn)不同的個(gè)人信息保護(hù)法。不過，基于個(gè)人信息數(shù)據(jù)脫離地域保護(hù)限制的特點(diǎn)，各國均為實(shí)現(xiàn)充分保護(hù)個(gè)人信息的目的而擴(kuò)張本國個(gè)人信息保護(hù)法的域外效力。

各國在個(gè)人信息保護(hù)立法方面無一例外地向信息主體提供“充分保護(hù)”，即對(duì)自然人個(gè)人信息提供的保護(hù)應(yīng)當(dāng)是有效的、全面的。充分保護(hù)原則要求國家盡可能擴(kuò)張個(gè)人信息受保護(hù)的范圍：凡本國自然人個(gè)人信息能夠流向的地方均應(yīng)當(dāng)受到本國個(gè)人信息保護(hù)法的調(diào)整。首先，個(gè)人信息基于其自身性質(zhì)和個(gè)人處分權(quán)的關(guān)系，應(yīng)由法律特殊保護(hù)。歐洲學(xué)者普遍認(rèn)為，對(duì)個(gè)人信息的保護(hù)屬于公民應(yīng)當(dāng)享有、不可剝奪的基本權(quán)利，2000年頒布的《歐盟基本權(quán)利憲章》更是將個(gè)人信息權(quán)利推到基本人權(quán)的高度。其次，在數(shù)據(jù)跨境流動(dòng)頻繁的背景下，如果一國保護(hù)個(gè)人信息的法律效力不能追及位于境外的個(gè)人信息處理者，則其保護(hù)功能便流于形式。國家的首要職能在于保護(hù)國民，而個(gè)人信息與基本人權(quán)密不可分，能夠深刻影響個(gè)人的生產(chǎn)、生活，其形成的個(gè)人信息權(quán)益與人身自由、人格尊嚴(yán)一樣應(yīng)受充分保護(hù)，是法律的應(yīng)有之義。

（三）構(gòu)建個(gè)人信息保護(hù)法域外效力的統(tǒng)一共識(shí)

數(shù)據(jù)自由流通的天性要求主權(quán)國家更多地參與到制定數(shù)據(jù)跨境流通規(guī)則的構(gòu)建當(dāng)中去，其中也包括構(gòu)建個(gè)人信息保護(hù)領(lǐng)域的國際規(guī)則。當(dāng)尚未形成統(tǒng)一國際規(guī)則的時(shí)候，國內(nèi)立法勢(shì)必通過擴(kuò)張本國個(gè)人信息保護(hù)法的域外效力對(duì)“無法之地”進(jìn)行填補(bǔ)。歐盟個(gè)人信息保護(hù)立法目前處于世界領(lǐng)先水平，通過域外效力規(guī)則的設(shè)定，將歐盟規(guī)則的適用范圍得以擴(kuò)張到歐盟之外。這種通過擴(kuò)張內(nèi)國法域外效力來實(shí)現(xiàn)國際層面規(guī)則協(xié)調(diào)的方式，勢(shì)必影響其他國家個(gè)人信息保護(hù)法規(guī)則的制定以及國際社會(huì)個(gè)人信息保護(hù)標(biāo)準(zhǔn)的最終水平。《個(gè)人信息保護(hù)法》擴(kuò)張其域外效力，有助于推動(dòng)我國在個(gè)人信息保護(hù)領(lǐng)域與其他擁有個(gè)人保護(hù)法律制度的國家進(jìn)行溝通交流，更多地了解其他國家個(gè)人信息保護(hù)立法、執(zhí)法的實(shí)際情況。優(yōu)化我國《個(gè)人信息保護(hù)法》，有助于提升我國個(gè)人信息保護(hù)職責(zé)部門工作人員的執(zhí)法能力。另一方面，適當(dāng)擴(kuò)張《個(gè)人信息保護(hù)法》的涉外效力有助于我國參與填補(bǔ)國際個(gè)人信息保護(hù)規(guī)則的空白，為其他國家個(gè)人信息保護(hù)立法提供參考對(duì)象。如此，則能夠在未來國際間統(tǒng)籌個(gè)人信息保護(hù)立法實(shí)踐時(shí)積累更多法律構(gòu)建和法律適用的經(jīng)驗(yàn)。這一過程也將提升我國在個(gè)人信息保護(hù)方面的法律影響力，為個(gè)人信息保護(hù)領(lǐng)域形成國際統(tǒng)一規(guī)則貢獻(xiàn)中國智慧。

三、《個(gè)人信息保護(hù)法》的域外適用范式

我國《個(gè)人信息保護(hù)法》的制定在一定程度上借鑒歐盟《個(gè)人信息保護(hù)法》（GDPR）的內(nèi)容，這主要由于我國同歐盟一樣在國際信息數(shù)據(jù)流通領(lǐng)域主要作為數(shù)據(jù)產(chǎn)生者的地位要強(qiáng)于作為數(shù)據(jù)處理者的地位；同時(shí)，GDPR 自身立法技術(shù)在國際個(gè)人信息保護(hù)領(lǐng)域獨(dú)步一時(shí)，其中許多內(nèi)容可供我國參考。與GDPR 第三條相似，《個(gè)人信息保護(hù)法》第三條所規(guī)定的適用范圍明顯不受地理限定性條件，其涉外效力不言自明。在適用標(biāo)準(zhǔn)方面《個(gè)人信息保護(hù)法》確立了以“個(gè)人信息處理行為”為主要依據(jù)的適用標(biāo)準(zhǔn)，這一點(diǎn)與GDPR“經(jīng)營場(chǎng)所標(biāo)準(zhǔn)”有所不同。

《個(gè)人信息保護(hù)法》第三條第一款規(guī)定，在中國境內(nèi)處理自然人個(gè)人信息的活動(dòng)適用本法。由于本款確定的適用依據(jù)以個(gè)人信息處理行為發(fā)生地為標(biāo)準(zhǔn)，因而無需考慮境外個(gè)人信息處理者是否在我國境內(nèi)設(shè)立機(jī)構(gòu)，無需考慮信息主體身份否是中國公民，外國人在我國境內(nèi)的個(gè)人信息被處理時(shí)同樣適用《個(gè)人信息保護(hù)法》。還無需考慮境外個(gè)人信息處理者是否在我國境內(nèi)配備有數(shù)據(jù)處理終端或代理處理單位等情況。只要境外個(gè)人信息處理者的行為經(jīng)過判斷系在我國境內(nèi)做出，即受《個(gè)人信息保護(hù)法》約束?！秱€(gè)人信息保護(hù)法》第三條第二款是關(guān)于個(gè)人信息處理行為發(fā)生于境外而可適用本法的規(guī)定。主要適用于三種情形：（1）個(gè)人信息處理行為系以向中國境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的；（2）個(gè)人信息處理行為屬于分析、評(píng)估中國境內(nèi)自然人個(gè)人信息的行為；（3）法律、行政法規(guī)規(guī)定的其他情形。除情形（3）以外，分段《個(gè)人信息保護(hù)法》第三條第二款與GDPR 第三條第二款（a）（b）項(xiàng)的規(guī)定略顯類似。GDPR 在使用范圍方面最大的特點(diǎn)在于引入“效果原則”作為確定是否適用于域外對(duì)象的標(biāo)準(zhǔn)，而《個(gè)人信息保護(hù)法》第三條第二款同樣以境外處理個(gè)人信息行為的效果作為管轄的標(biāo)準(zhǔn)，體現(xiàn)出“效果原則”的特點(diǎn)。所謂效果原則，指以行為結(jié)果是否影響本國作為判斷本國管轄權(quán)存在與否的管轄原則。效果原則對(duì)屬地原則的適用做出高度彈性的設(shè)計(jì)，本質(zhì)上屬于屬地管轄原則的一個(gè)分支。其發(fā)軔于刑法領(lǐng)域，后來被美國法院移植用于反壟斷法中，開啟這一領(lǐng)域法律域外適用的先河。由于效果原則刻意淡化行為的地理因素，重點(diǎn)關(guān)注被法律調(diào)整的行為對(duì)本國所造成的影響而非行為發(fā)生地或行為人住所地，因而能夠?qū)l(fā)生在領(lǐng)土外但影響到本國的行為全部納入本國法律的適用范圍。這樣的特質(zhì)十分適合調(diào)整個(gè)人信息處理行為這類天生具有“無國界”性質(zhì)的活動(dòng)。根據(jù)《個(gè)人信息保護(hù)法》第三條第二款的規(guī)定，即使個(gè)人信息處理者不在我國境內(nèi)，個(gè)人信息處理行為也沒有發(fā)生在我國境內(nèi)，只要個(gè)人信息處理者有對(duì)我國境內(nèi)的自然人進(jìn)行提供產(chǎn)品或服務(wù)的動(dòng)機(jī)，或者只要個(gè)人信息處理行為構(gòu)成對(duì)我國境內(nèi)的自然人個(gè)人信息的數(shù)據(jù)處理，則《個(gè)人信息保護(hù)法》仍然有可能對(duì)該行為進(jìn)行管轄。在情形（1）的情況下，“目的”主要是境外個(gè)人信息處理行為的目的，并非境外個(gè)人信息處理者的目的。這是因?yàn)椤秱€(gè)人信息保護(hù)法》第三條以個(gè)人信息處理行為作為管轄啟動(dòng)的唯一要件，不考慮個(gè)人信息處理者的情況，只有將“目的”理解為個(gè)人信息處理行為的目的才符合第三條的內(nèi)在邏輯。換而言之，《個(gè)人信息保護(hù)法》的適用與否并不考慮境外個(gè)人信息處理者的主觀意圖，當(dāng)存在向中國境內(nèi)自然人提供產(chǎn)品或服務(wù)的行為時(shí)，無論提供產(chǎn)品或服務(wù)的主體實(shí)際期望為何，均不影響《個(gè)人信息保護(hù)法》的適用。在情形（3）的情況下，“分析和評(píng)估”的含義十分豐富。其基本涵蓋了《個(gè)人信息保護(hù)法》第四條中的“加工”行為的全部情形。在判斷境外個(gè)人信息處理者的行為是否構(gòu)成對(duì)境內(nèi)自然人個(gè)人信息“分析和評(píng)估”時(shí)，可以考慮是否存在自然人被“數(shù)據(jù)跟蹤”、個(gè)人信息處理者對(duì)自然人進(jìn)行“數(shù)據(jù)畫像”等情形。

司法活動(dòng)中具體適用《個(gè)人信息保護(hù)法》第三條時(shí)，需要考慮個(gè)人信息處理行為與境外個(gè)人信息處理者之間的聯(lián)系緊密程度，只有當(dāng)二者間聯(lián)系足夠密切時(shí)方可將個(gè)人信息處理行為歸因于境外個(gè)人信息處理者。這種聯(lián)系的緊密程度應(yīng)當(dāng)達(dá)到“不可擺脫”的水平，即這種聯(lián)系應(yīng)當(dāng)是“不可擺脫的聯(lián)系”。關(guān)于如何理解“不可擺脫的聯(lián)系”，可以考慮以下幾個(gè)因素：（1）該行為是否屬于《個(gè)人信息保護(hù)法》列舉的八種個(gè)人信息處理行為之一；（2）個(gè)人信息處理者是否有可能通過該行為獲得利益，包括經(jīng)濟(jì)上的回報(bào)或商譽(yù)增長；（3）該行為在外觀上是否有充分理由使人相信是由該個(gè)人信息處理者做出的?！安豢蓴[脫的聯(lián)系”勢(shì)必會(huì)拓寬《個(gè)人信息保護(hù)法》的適用范圍，但在解釋過程中不宜過度擴(kuò)展至所有聯(lián)系的情況，否則容易導(dǎo)致《個(gè)人信息保護(hù)法》過度管轄而難以取得境外個(gè)人信息處理者的敬畏。

四、結(jié)語

我們已經(jīng)身處信息網(wǎng)絡(luò)時(shí)代，互聯(lián)網(wǎng)將世界各地的人們緊密聯(lián)系，各國經(jīng)濟(jì)休戚與共。但是，數(shù)字信息領(lǐng)域的國際法統(tǒng)一實(shí)踐進(jìn)程卻遠(yuǎn)遠(yuǎn)慢于互聯(lián)網(wǎng)發(fā)展進(jìn)程，為了實(shí)現(xiàn)保護(hù)個(gè)人信息權(quán)益的立法目的，不可避免地需要擴(kuò)張國家網(wǎng)絡(luò)主權(quán)，賦予《個(gè)人信息保護(hù)法》以域外適用效力。在司法實(shí)踐當(dāng)中，還需進(jìn)行個(gè)案分析，充分考慮影響本條適用的諸多因素，以便在將來通過司法解釋對(duì)本條的效力邊界做出更為精確的闡明。

[注釋]

①Lotus Case,PCIJ Series A,No.10,pp.19:Far from laying down a general prohibition to the effect that States may not extend the application of their laws and the jurisdiction of their courts to person,property and acts outside their territory,it leaves them in this respect a wide measure of discretion which is only limited in certain cases by prohibitive rules;as regards other cases,every State remains free to adopt the principles which it regards as best and most suitable.

②目前構(gòu)建了個(gè)人信息保護(hù)法律體系的主要有:歐盟及歐盟諸國、美國、日本、韓國、俄羅斯、加拿大等,但各國對(duì)個(gè)人信息權(quán)益的保護(hù)水平存在差異,其中歐盟的立法呈現(xiàn)出強(qiáng)烈的保護(hù)信息主體的意愿,美國則最為強(qiáng)調(diào)維護(hù)處理信息行為的自由程度。

③在“Google 被遺忘權(quán)案”中,歐盟數(shù)據(jù)保護(hù)第29 條工作組（ARTICLE 29 Data Protection Working Party）正是通過解釋“不可擺脫的聯(lián)系”的判定標(biāo)準(zhǔn)從而確定西班牙Google 和美國總部之間的聯(lián)系。這種“不可擺脫的聯(lián)系”同樣可以用作判斷《個(gè)人信息保護(hù)法》中個(gè)人信息處理者與其個(gè)人信息處理行為之間關(guān)聯(lián)的標(biāo)準(zhǔn)。