張哲，齊愛民

摘要：個人信息保護法域外效力制度是指一國對某一法域外處理個人信息的人、物或行為實施管轄，從而將其管轄范圍擴展至該國領土之外的一種法律制度，其不僅是建立在各方參與主體切實利益需求之上的制度創(chuàng)新，在更宏觀的意義上，也是一國實現政治、經濟等多元目的的法律武器。從《歐盟數據保護指令》到《歐盟通用數據保護條例》，歐盟進一步擴大法律域外效力范圍，確立了以屬地原則為主、效果原則為補充的管轄原則，并為多數國家所效仿，這種做法的實質是以整個歐洲市場作為籌碼參與國際博弈?！睹绹品ò浮芬约夹g和市場占優(yōu)的美國企業(yè)對全球數據的控制為籌碼，通過美國企業(yè)在全球的分布將法律武器延伸至世界各地，輸出美國式隱私保護標準，以最大化維護其國家利益。在尚未形成國際慣例和條約的現狀下，通過國內立法進行域外效力擴張是多數國家維護數據主權并參與網絡空間國際治理的共通做法。面對這一國際立法主流，我國應構建域外立法管轄和域外執(zhí)法管轄并存的法律制度，進一步提升個人信息保護法域外效力制度的適用性和體系性，積極參與并主導個人信息保護法國際條約的制定，推動互聯網全球治理體系變革中國方案的實現。

關鍵詞：個人信息保護法域外效力制度；GDPR；效果原則；美國云法案；域外立法管轄；域外執(zhí)法管轄

中圖分類號：D9223文獻標志碼：A文章編號：1008-5831（2022）05-0207-14

數字社會中，數據在全球范圍內的流動日益頻繁，數據處理全球化趨勢顯著，社會現實對傳統主權觀念的沖擊使得擴大個人信息保護法域外效力成為必然，由此也引發(fā)管轄權沖突這一國際法難題。近年來，歐美相繼出臺或革新個人信息保護相關法律，在實體法和程序法上確立域外效力制度，其他國家也相繼跟進，但在域外效力制度邊界問題上并未形成全球共識。與國外相比，在法域外適用上，“我國只有少數法律明確規(guī)定了其域外效力，多數法律沒有規(guī)定域外效力問題，甚至只規(guī)定其僅具域內效力”［1］。在理論研究方面也集中在國際私法、反壟斷法、證券法、勞動法、知識產權法等領域，個人信息保護法域外效力制度研究相對較少相關針對性研究參見：孔慶江、于華溢《數據立法域外適用現象及中國因應策略》（《法學雜志》，2020年第8期76-88頁）；俞勝杰《<通用數據保護條例>第3條（地域范圍）評注——以域外管轄為中心》（《時代法學》，2020年第2期94-106頁）;俞勝杰、林燕萍《<通用數據保護條例>域外效力的規(guī)制邏輯、實踐反思與立法啟示》（《重慶社會科學》，2020年第6期62-79頁）。，它的正當性基礎是什么？合理邊界又在哪里？這種制度供給和社會現實需求之間的鴻溝亟待法學理論和立法上的彌合。2021年8月20日，我國正式通過《個人信息保護法》，該法第3條創(chuàng)新性地規(guī)定了域外效力條款，為我國運用法律手段規(guī)制域外個人信息處理行為提供了法律依據。但與歐美等國家和地區(qū)相比，我國在個人信息保護法域外效力制度的適用性、體系性等問題上還有進一步完善的空間。為此，深入研究并借鑒國外數據保護立法對于我國個人信息保護法域外效力制度的完善具有重要而深遠的意義。

一、確立我國個人信息保護法域外效力制度的必要性

所謂個人信息保護法域外效力制度，是指一國對某一法域外處理個人信息的人、物或行為實施管轄，從而將其管轄范圍擴展至該國領土之外的一種法律制度，該制度實施的效果即體現為個人信息保護法的域外效力。法律是國家意志的體現并在國家主權范圍內保證其實施，其效力類型包括時間效力、空間效力和對人的效力。在法律的空間效力上，現代國家立法多以屬地管轄為主，屬人管轄、保護性管轄為輔，強調法律的域內效力。而所謂法律的域外效力，是指“法律的空間效力擴展到該國國家主權主管范圍之外”［2］，而域外適用是一國法律在本國領土外的適用，“域外效力正是基于法律的域外適用而產生拘束力”［3］。一般認為，一國法律的管轄權包括立法管轄權、司法管轄權和執(zhí)法管轄權。法律的域外效力來源于立法管轄權，是對他國主權的合理限制?；诜傻挠蛲庑Яχ贫犬a生域外管轄，其是指“一國將其法律的適用范圍或其司法和行政管轄范圍擴展至該國領土以外”［4］。在美國，域外管轄也被稱為“長臂管轄”（Long-arm Jurisdiction），我國國務院新聞辦公室發(fā)布的《關于中美經貿摩擦的事實與中方立場》白皮書將長臂管轄界定為“依托國內法規(guī)的觸角延伸到境外，管轄境外實體的做法”［5］。在內容上，域外管轄包括域外立法管轄、域外司法管轄和域外執(zhí)法管轄。

在理論層面，“數據主權”（Data Sovereignty）為個人信息保護法域外效力制度提供了較有解釋力的依據和理論基礎。在國際法中，“主權是一國最高的權力，是不受任何人世權力支配之權力”［6］，在1927年9月7日著名的“荷花號”（Lotus）案件判決中，國際法院肯定了土耳其對法國船員的刑事管轄權，并認為刑法的屬地性不是一項絕對性的國際法原則，也并不與領土主權完全一致S.S. Lotus （Fr. v. Turk.）， 1927 P.C.I.J. （ser. A） No. 10 （Sept. 7）. ?？梢?，突破屬地原則并允許法律域外適用早已具有國際司法實踐的基礎和支撐。《塔林手冊2.0版》肯定了一國法律在網絡空間中的域外管轄權，“在國際法的限制范圍內，國家可對網絡活動行使屬地和域外管轄權”［7］。大數據時代，網絡空間成為繼陸地、海洋、天空、外太空之外的第五空間，數據成為國家基礎性戰(zhàn)略資源進而受到國家主權的管控。在數據主權概念上，學者多強調其屬地性，“數據主權指一個國家對其政權管轄地域范圍內個人、企業(yè)和相關組織所產生的數據擁有的最高權力”參見：沈國麟《大數據時代的數據主權和國家數據戰(zhàn)略》（《南京社會科學》，2014年第6期113-119頁）。類似觀點亦可參見：孫南翔、張曉君《論數據主權——基于虛擬空間博弈與合作的考察》（《太平洋學報》，2015年第2期63-71頁）;曹磊《網絡空間的數據權研究》（《國際觀察》，2013年第1期53-58頁）。。也有學者認為，“數據主權意味著數據即使被傳輸到云端或遠距離服務器上，仍然應受其主體控制，而不會被第三方所操縱”［8］。因而有學者指出，“一國公民在境外形成的數據也屬于該國管轄的范圍”［9］。筆者認為，數據主權，“其對內體現為一國對其政權管轄地域內任何數據的生成、傳播、處理、分析、利用和交易等擁有最高權力；對外表現為一國有權決定以何種程序、何種方式參加到國際數據活動中，并有權采取必要措施保護數據權益免受其他國家侵害”［10］。在國際法理論上，“《塔林手冊2.0版》適應時代的需要，將網絡活動國際管轄權的對象擴大到數據，從而第一次在國際管轄權規(guī)則創(chuàng)設上明確將數據作為獨立的客體，體現了對數據主權觀念的肯定”［11］。由此可見，隨著網絡空間主權在各國立法上的確立，數據主權成為國家主權在網絡空間的自然延伸和新體現，其為個人信息保護法域外效力制度的構建提供了理論支撐。

大數據時代，自然人的個人信息是主要的數據類型并具有極高的潛在利用價值，其在全球范圍內的大規(guī)模和高頻次流動不可避免地帶來了國家主權間的沖突問題?？鐕ヂ摼W企業(yè)在促進貿易和服務全球化的同時，也存在通過數據收集和分析這一無形方式侵蝕一國主權的風險，這種社會現實使得在個人信息保護立法上擴大域外效力范圍成為各國維護國家利益，實現價值輸出和制度輸出，進而爭奪網絡空間國際治理規(guī)則制定主動權和話語權的重要方式。個人信息保護法域外效力制度不僅是建立在各方參與主體切實利益需求之上的制度創(chuàng)新，在更宏觀的意義上，也是一國實現政治、經濟等多元目的的法律武器。因此，構建科學完備并具有可適用性的個人信息保護法域外效力制度既是我國實現自然人人格利益保護的內在要求，也是邁向數據強國，參與并主導國際網絡空間治理的重要舉措，具有理論和實踐上的必要性。

二、歐盟個人信息保護法域外效力制度評析

（一）《歐盟數據保護指令》域外效力制度

早在1995年，《歐盟數據保護指令》（Data Protection Directive 95/46/EC，以下簡稱“95指令”）第4條就確立了域外效力制度該條的適用情形主要包括三種，第一種情形為在設立機構背景下實施的處理行為，第二種情形為國際公法原因，第三種情形為使用設備、自動化方式或其他方式的個人數據處理行為（除了使用該設備僅僅是為了通過共同體領土的數據傳輸情形）。See Data Protection Directive （95/46/EC）， Article 4. 。對于第一種情形中“設立機構”（Establishment）的界定，95指令序言（19）明確，設立機構意味著通過“穩(wěn)定安排”（Stable Arrangement）的有效且真實的活動實施，在法律形式上是法人的分支機構或子公司不是決定性因素See Data Protection Directive （95/46/EC）， Recital 19. 。對于第三種情形中“設備”（Equipment）的界定，原歐盟第29條工作組（Article 29 Data Protection Working Party，以下簡稱“WP29”）建議對其進行寬泛的解釋，包括人或技術中介，如調查或查詢活動See Article 29 Data Protection Working Party.Opinion 8/2010 on applicable law ［EB/OL］.（2010-12-16）［2021-01-16］.https：//ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp179_en.pdf 。由此可見，在受法律概念文義范圍限制的情況下，歐盟希望通過對概念解釋的技術性擴張來盡可能地擴大95指令的域外適用范圍，從而實現其立法目的。事實上，95指令序言（20）在一定程度上采納了國際法中的效果原則，其明確位于第三國的主體的數據處理行為不應阻礙95指令對個人的保護，在此等情形下，其應當受到“所使用的工具”（Means Used）所在地成員國的法律約束See Data Protection Directive （95/46/EC）， Recital 20. 。但細究之，即可發(fā)現，無論是設立機構還是設備，其立法思路仍強調處理行為與成員國領土之間的“物理連接”（Physical Link）［14］，因而并非完全的效果原則。領土上的連接固然是效果原則適用的主要動因，但卻并非唯一的觸發(fā)因素?？梢哉f，95指令在域外效力制度上邁出了重要一步，但在法律規(guī)定上仍以地域聯系為中心，這在一定程度上會導致其受法律條文本身的限制而影響其域外適用范圍。

司法實踐中，歐盟法院（Court of Justice of the European Union，簡稱“CJEU”）在“Weltimmo”案中摒棄了形式主義認定方式，對設立機構采取了更接近其實質的解釋。法院認為，只要特定的數據控制者在某個成員國領土范圍內通過穩(wěn)定的安排，甚至是一個最小的機構安排，實施了真實和有效力的活動，那么該數據控制者在這種背景條件下所實施的處理行為就要受到該成員國法律的約束歐盟法院在該案中做出裁決所考慮的因素包括：（1）數據控制者的處理行為構成對某個成員國境內的財產提供交易服務的網站的運營且網站內容以該成員國的通用語言來顯示，因而該處理行為在結果上是主要或完全針對某個成員國；（2）數據控制者在該成員國領土范圍內有一個代表，該代表負責償還由數據處理行為所產生的債務并在有關數據處理行為的行政和司法程序中代表數據控制者。See Weltimmo s. r. o. v. Nemzeti Adatvédelmi és Információszabadság Hatóság， Case C-230/14， EU：C：2015：639. 。在另一個案件中，法院明確指出，設立機構的認定需要評估特定安排穩(wěn)定性的程度和活動實施的有效性，僅僅是網站的訪問并不構成第4條（1）（a）中的設立機構Verein für Konsumenteninformation v. Amazon EU Sàrl， Case C-191/15， EU：C：2016：612.? 。在谷歌被遺忘權案件中，歐盟法院認為，谷歌西班牙公司在西班牙從事著通過穩(wěn)定安排的活動的真正有效執(zhí)行，構成95指令中的設立機構，谷歌西班牙公司意圖在其境內推廣和銷售旨在使谷歌搜索引擎盈利的廣告位，谷歌總公司的搜索結果和相關廣告在同一網站頁面顯示，這種為使谷歌搜索引擎盈利而為的數據處理行為是在谷歌西班牙公司這一設立機構活動背景下實施的，二者之間存在“無可擺脫的聯系”（Inextricable Link），故而認定發(fā)生在美國的搜索引擎索引行為受95指令的約束［15］。歐盟法院作出裁決后，WP29于2015年12月發(fā)布了關于該案適用的指引，WP29指出，對于“免費+廣告”這一常見的商業(yè)模式，成員國境內的設立機構從事銷售廣告位并盈利或其他相關行為的，可以被認定為存在無可擺脫的聯系。對于其他商業(yè)模式和行為，非歐盟企業(yè)通過提供網絡服務來獲得會員費或用戶訂閱的行為，甚至是為捐贈目的而實施的處理行為，都可以在特定情況下被納入歐盟法的適用范圍［16］。

雖然確立了域外效力制度，但95指令存在的問題在于：一方面，在法律適用上，需要綜合考慮設立機構對介入處理行為的程度、處理行為的性質和有效數據保護的需求進行認定［17］，這種基于個案的認定方式給了法院很大的自由裁量權，但卻難以滿足法律的確定性要求，使得境外企業(yè)在數據合規(guī)上面臨較大的不確定性。另一方面，95指令域外效力制度僅適用于數據控制者，不包括處理者，一些境外的云服務商便可以基于此條規(guī)避法律義務。此外，必須存在領土連接的要求也在一定程度上排除了95指令對雖與歐盟沒有領土連接，但其處理行為卻對歐盟境內數據主體產生實質性影響的數據處理主體的適用，造成對不同數據主體的區(qū)別保護，這也為歐盟個人信息保護法域外效力制度的革新奠定了基礎。

（二）《歐盟通用數據保護條例》域外效力制度

2018年5月25日，《歐盟通用數據保護條例》（General Data Protection Regulation，以下簡稱“GDPR”）正式生效，它在肯定95指令設立機構背景標準的基礎上，進一步擴大了域外效力范圍。在GDPR第3條中，第一和第二種情形均適用于數據控制者和處理者，加之GDPR第4章規(guī)定的各項法定義務，大大擴張了GDPR的域外適用范圍和強度。GDPR第3條（1）所確立的設立機構標準包含了屬地管轄原則，也即設立機構是數據控制者或處理者本身的情形，但是該標準又不限于此，而是具有了全球管轄的可能。此外，相較于95指令第4條（1）（c）將歐盟境內的設備作為地域連接點的情形，GDPR第3條（2）突破了歐盟境內設備的限制，通過對數據控制者或處理者的行為和目的是否針對歐盟市場進行直接管轄，從而將管轄權力真正擴大到全球。結合第3條（1）和（2）的內容，GDPR其實是將所有與歐盟境內的自然人存在密切聯系的處理行為都納入了條例管轄范圍，這種做法在事實上確立了一種新的管轄標準，即根據數據處理行為的實際效果來判斷個人信息保護法的適用與否，WP29將其稱為“效果原則”（Effects Principle）［19］。整體而言，GDPR在管轄原則上其實是以屬地原則為基礎，效果原則為補充，這種做法是歐盟立法者對大規(guī)模、常態(tài)化個人信息跨境處理行為的現實回應。2019年11月12日，歐洲數據保護委員會（European Data Protection Board，以下簡稱“EDPB”）發(fā)布了《關于GDPR第3條地域范圍的指南》（Guidelines 3/2018 on the territorial scope of the GDPR （Article 3）），對三種適用情形作出了更進一步的解釋。相較于95指令，由于國際公法標準并未發(fā)生變化且主要針對公務機關的數據處理活動，故接下來筆者主要就GDPR中的“設立機構標準”（Establishment Criterion）和“靶向標準”（Targeting Criterion）進行論述。

1.設立機構標準

關于設立機構標準，EDPB提出了一種“三重方法”（Threefold Approach），包括歐盟設立機構、在設立機構背景下實施的處理行為、GDPR對數據控制者或處理者設立機構的適用（無論處理行為是否發(fā)生在歐盟境內）。通過對這三個要件進行逐一判斷，最終確定GDPR第3條（1）是否適用。在上述三個要件中，EDPB認可了95指令以及司法實踐中關于設立機構的判斷標準并進一步認為，在滿足一定條件的穩(wěn)定性要求下，境外企業(yè)在歐盟境內設立的一個員工或一個機構均可構成一項穩(wěn)定的安排，從而觸發(fā)GDPR的域外適用。EDPB重點分析了設立機構與數據控制者或處理者之間的連接問題。該問題的判斷需要綜合評估設立機構與境外數據控制者或處理者之間是否存在無可擺脫的聯系，這是一項基于個案分析的判斷標準，法院具有較大的自由裁量權。在歐盟境內已經存在設立機構的前提下，歐盟境外數據控制者或處理者與歐盟境內設立機構之間的聯系（無論設立機構在數據處理活動中是否發(fā)揮作用），通過歐盟境內設立機構實現的財務增長就是判斷GDPR是否適用的兩個重要參考因素。EDPB也舉例道，一家位于南非的度假連鎖酒店通過網站提供交易服務，網站語言包括英語、德語、法語和西班牙語，但其并沒有在歐盟設立辦公室、代表或穩(wěn)定的安排。在這種情形下，EDPB認為此種處理行為就不會觸發(fā)GDPR第3條（1）的適用。但需要特別注意的是，這并不意味著該情形就不適用于GDPR，如果其滿足靶向標準，則可以基于GDPR第3條（2）而觸發(fā)域外適用。

2.靶向標準

關于靶向標準，GDPR第3條（2）作出了明確規(guī)定，對于在歐盟境內沒有設立機構的數據控制者或處理者，以下兩種情形將觸發(fā)GDPR的適用。需要注意的是，兩種情形的一個共同前提是數據主體位于歐盟境內，且這種判斷要基于處理行為發(fā)生時數據主體所在的具體位置并考慮處理行為所針對的用戶群體。對于針對歐盟境外用戶的網絡服務，臨時進入歐盟地區(qū)的境外用戶并不構成本情形中的數據主體，不會觸發(fā)GDPR的域外適用。EDPB就此舉例道，一位美國人在歐洲度假，其下載了僅針對美國用戶的新聞APP，那么即使其身處歐盟境內，在這種情形下也不會觸發(fā)GDPR的適用，原因在于該新聞APP并不符合靶向標準。該例證也反映出數據主體應當是一種較為穩(wěn)定的存在，臨時度假的游客難以受到GDPR保護。

（1）該數據控制者或處理者為歐盟境內的數據主體提供商品或者服務，無論該種商品或服務是否要求數據主體付費。從字面上看，這是一個非常抽象的表述。根據GDPR序言（23），應當確認是否明顯可知數據控制者或處理者意圖為歐盟成員國境內的數據主體提供服務。如果僅僅是對數據控制者、處理者或中介機構在歐盟境內的網站、電子郵箱地址或其他聯系信息的訪問，或者是對數據控制者所在地第三國的通用語言的使用，都不足以證明其具有針對性地向歐盟境內的數據主體提供商品或服務的意圖。而諸如所使用的語言或貨幣通常被用于一個或多個成員國境內且具有以該種語言或貨幣訂購商品或服務的可能性，或者所提及的消費者或使用者位于歐盟境內等情形，可以明顯可知數據控制者或處理者意圖為歐盟境內的數據主體提供商品或服務。EDPB指出它的核心在于界定“有關”（Related to）。對于數據處理行為的判斷應當以其發(fā)生時為準，數據控制者或處理者所使用的語言、貨幣支付方式、提供搜索引擎服務、網站頂級域名、商品運送服務等因素可以作為認定網絡服務提供者針對歐盟境內數據主體提供商品或服務意圖的根據。EDPB列舉的參考因素幾乎涵蓋了網絡服務的方方面面，倘若法院采取寬泛的界定標準或選擇性適用，勢必會引發(fā)GDPR域外適用的泛化，不僅不利于企業(yè)數據合規(guī)，反而會迫使境外企業(yè)因為營商環(huán)境嚴苛和不確定性而退出歐洲市場，損害歐洲消費者福利。

（2）該數據控制者或處理者的處理行為涉及對數據主體發(fā)生在歐盟境內的行為的監(jiān)控。對于“監(jiān)控（Monitoring）”的界定，根據GDPR序言（24），應當確認該自然人是否在網絡中被追蹤，包括以個人數據處理技術為潛在后續(xù)使用而將數據主體建檔，特別是為了作出決策，或者是為分析或預測其個人偏好、行為和態(tài)度。EDPB進一步認為，GDPR序言中規(guī)定的用戶畫像行為僅僅是數據控制者或處理者實施監(jiān)控行為的一種方式，通過可穿戴設備或智能設備等其他方式實施的監(jiān)控行為也應當被納入考量范圍。EDPB也列舉了常見的監(jiān)控行為，包括行為廣告、地理位置服務、利用Cookie或其他技術實施的網絡追蹤、個性化的飲食和健康分析服務、CCTV、基于個人檔案的市場調研或行為研究、監(jiān)控或定期報告?zhèn)€人健康狀況等。應當說，這種列舉也涵蓋了當前網絡服務的主要實踐做法，保持了歐盟盡可能擴張其個人信息保護法域外效力的一貫態(tài)度，但同樣帶來法律的不確定性。

總體而言，GDPR第3條所確立的域外效力制度使得對被規(guī)制對象的認定標準從行為的相關屬地過渡到行為的影響，這種立法方式更接近數據主權的抽象實質，但也帶來了法律適用上的不確定性。從國際法角度看，歐盟GDPR的規(guī)定“合法性問題不存在質疑，合理性的判斷有賴于管轄邊界的進一步厘定”［22］。尤其是靶向標準，需要結合數據主體、數據處理行為主體、行為目的、行為方式等具體細節(jié)進行個案認定，而不應當一概而論地進行籠統判斷。在戰(zhàn)略上，歐盟這種做法的實質是以整個歐洲市場作為籌碼參與國際博弈，通過GDPR來“扭轉其在全球互聯網產業(yè)中的劣勢地位”［23］。在社會效應上，GDPR的正式實施也引發(fā)了全球互聯網企業(yè)數據合規(guī)成本的增加，一些互聯網企業(yè)被迫放棄歐盟市場。美國國家經濟研究局（NBER）發(fā)布的報告顯示，在GDPR實施后，歐盟國家企業(yè)的融資總額、融資交易筆數以及每筆融資交易金額均大幅減少［25］。由此可見，GDPR域外效力的邊界也影響著歐盟地區(qū)數字經濟的未來發(fā)展，這對我國而言也是一個警醒。

在程序性立法方面，在美國通過云法案之后，歐盟也于2018年4月17日出臺了《涉刑事電子證據提交和保存命令條例（建議稿）》（Proposal for a Regulation of the European Parliament and of the Council on European Production and Preservation Orders for Electronic Evidence in Criminal Matters），以便執(zhí)法及司法當局能更快速地獲取電子證據，不論該數據存儲于歐盟境內還是境外。該條例適用于向歐洲提供服務并具有實質性連接的所有網絡服務商，在實施方式上包括兩種命令，即歐洲數據提交令（European Production Order）和歐洲數據保存令（European Preservation Order）The European Commission. Proposal for a Regulation of the European Parliament and of the Council on European Production and Preservation Orders for Electronic Evidence in Criminal Matters［EB/OL］. （2018-04-17）［2022-07-15］.https：//eur-lex.europa.eu/legal-content/EN/TXT/？uri=COM%3A2018%3A225%3AFIN. 。在符合條件的情況下，要求電子通信服務商、信息社會服務商、互聯網域名服務機構提供或保存電子證據，數據類型則包括用戶數據、訪問數據、交易數據和內容數據。在性質上，用戶數據中的身份信息、訪問數據中的登錄時間和IP地址、交易數據中的設備型號、內容數據中的視頻音頻信息等均可能因其具有可識別性而構成個人信息?？梢哉f，該條例雖然限于刑事領域，但其通過后將為歐盟成員國獲取境外用戶個人信息提供法律依據。

三、美國個人信息保護法域外效力制度利弊衡量

（一）美國信息隱私法律域外效力制度

在域外效力制度方面，2000年4月21日，《美國兒童在線隱私保護法》（Children’s Online Privacy Protection Act，以下簡稱“COPPA”）正式生效，其規(guī)制對象為針對美國13歲以下兒童的網站或者在線服務的運營者，在地域適用范圍上包括了在外國運營網站或提供在線服務的企業(yè)，但并未具體規(guī)定何種情形會觸發(fā)COPPA的域外適用。2018年6月28日，《2018加利福尼亞消費者隱私法》（California Consumer Privacy Act of 2018，以下簡稱“CCPA”）正式通過。該法在域外效力部分有所規(guī)定，將“在加州有業(yè)務”（do business in the State of California）并處理加州居民個人信息的行為納入規(guī)制范圍California Consumer Privacy Act 2018， Section 3，1798.140. ，而無須考慮數據處理主體是否位于加州境內，但并沒有對“在加州有業(yè)務”作出具體解釋，只是從反面規(guī)定，當處理行為“完全不在加州”（wholly outside of California）時不予適用。有學者指出，這一規(guī)定與歐盟的“設立機構的活動”相等同，但對于在加州之外的數據控制者，即使其對加州居民實施監(jiān)控行為，若不被認定為“在加州有業(yè)務”，也不會觸發(fā)CCPA的適用［26］。筆者認為，首先需要注意的是，CCPA并非適用于所有規(guī)模的數據處理主體，而是需要滿足三個條件之一根據CCPA的規(guī)定，所適用的企業(yè)應當滿足：（1）年度總收入為2500萬美元；（2）購買、銷售或基于商業(yè)目的接受或分享50 000或更多消費者、家庭或設備的個人信息；（3）從銷售消費者的個人信息中獲得 50% 或更多的收入。See California Consumer Privacy Act 2018， Section 3，1798.140.。其次，CCPA采取了類似于效果原則的管轄標準。根據法律的文義解釋和目的解釋，其包括兩層含義，第一是在加州境內有實際設立機構，那么根據屬地管轄原則自然要受到約束。第二是在加州境外處理加州居民的個人信息，根據邏輯反推，在該處理行為與加州居民存在一定程度的聯系時，應當受到約束，這一點類似于GDPR中的靶向標準。CCPA通過這一規(guī)定實現了兩種管轄原則的統一，但也存在進一步解釋的必要，以確定其邊界。

（二）《美國云法案》域外效力制度

《美國云法案》是刑事領域擴大境外數據調取執(zhí)法權限的一種新模式，旨在解決美國政府調取境外數據及外國政府獲取美國境內數據的合法性及程序問題。該法出臺的直接動因來自“微軟訴美國政府”案，該案反映出美國1986年《存儲通信法》（Stored Communication Act）在政府跨境調取數據上的合法性難題，而通過“共同法律協助條約”（Mutual Legal Assistance Treaty）的方式又因其門檻高和流程緩慢而無法滿足網絡時代的跨境執(zhí)法效率需求。為此，美國國會于2018年3月迅速通過了《美國云法案》，它代表了美國通過國內法而非國際會議等方式來設定國際新標準和規(guī)則的一次嘗試［27］，實質在于依托美國大型跨國公司對全球數據的控制而“將自己的企業(yè)變成領土的延伸”［21］。

在具體內容上，《美國云法案》第2713條規(guī)定：“一個提供電子通信服務或遠程計算服務的服務商應該遵守本章提到的義務，包括保存、備份或披露有線或電子通訊的通訊內容和任何記錄，以及任何供應商擁有、監(jiān)管、控制的消費者或者訂閱者的信息；不管這些通訊、記錄或者其他信息位于美國境內還是境外。”13See US. Clarifying Lawful Overseas Use of Data Act，§2713. Required preservation and disclosure of communications and records. 該規(guī)定并未限制企業(yè)或數據存儲的地域，美國司法部發(fā)布的白皮書進一步指出，考慮到位于境外，但向美國提供服務的企業(yè)與美國之間聯系的性質、數量和質量，只要這種聯系是充分的，那么就會觸發(fā)美國法律的適用［28］。因此，美國政府可以以此為由將其執(zhí)法權力擴張至全球。對于外國政府的跨境數據調取，《美國云法案》首先對外國適格政府的認定設置了較為嚴格的限制條件，且適格與否由美國當局裁定，具有較大的自由裁量權。即使?jié)M足了適格政府條件，外國政府的數據調取命令還應當滿足11項要求14See US. Clarifying Lawful Overseas Use of Data Act，§2523. Executive agreements on access to data by foreign governments. ，“這體現了對其他國家數據主權的不尊重，是單邊主義和以美國為中心的表現”［29］。基于美國和外國政府在跨境數據調取上的不平等條件，“《云法案》實際上單方面賦予美國政府對全球絕大多數互聯網數據的‘長臂管轄權’，這對于強調‘隱私保護’乃至‘數字主權’的國家構成了極大挑戰(zhàn)，必然會因此引發(fā)反彈”［30］。筆者認為，《美國云法案》的實質是美國以技術和市場占優(yōu)的美國企業(yè)對全球數據的控制為籌碼，通過美國企業(yè)在全球的分布將法律武器延伸至世界各地，輸出美國式隱私保護標準，以最大化維護其國家利益。此外，《美國云法案》雖然以刑事執(zhí)法為由擴大了美國和外國政府獲取數據的能力，但也威脅了美國和外國民眾的隱私和言論自由，其合理邊界的確定仍需通過多邊協定形成跨境數據調取的國際標準［31］。

除歐美外，世界上其他國家，如英國、日本、韓國、南非、巴西等國也在近年相繼出臺或革新了個人信息保護相關法律。雖然在具體制度設計上存在差異，但在法律地域適用范圍上，將符合法定條件的境外數據控制者和處理者納入管轄范圍成為多數國家（地區(qū)）的共通做法。例如，在《德國聯邦數據保護法》（Bundesdatenschutzgesetz，簡稱“BDSG”）第一節(jié)目的和范圍部分，區(qū)分了公共機構和私人機構，對于私人機構，數據控制者或處理者在德國境內或者是在德國設立機構背景下實施的處理行為要受到約束。此外，受GDPR管轄的境外機構同樣要受到該法的約束15See German. Federal Data Protection Act， Part I， Chapter 1， Section 1. ?！队鴶祿Ｗo法2018》（Data Protection Act of 2018，以下簡稱“DPA2018”）第207條基本上沿用了GDPR的效果原則，將在英國設立機構背景下實施的數據處理行為納入規(guī)制范圍。除此之外，對于在英國不存在設立機構的情況下實施的數據處理行為，在GDPR第4條規(guī)定的第二種情形基礎上，還要求處理行為與英國境內的數據主體有關，這一點與EDPB的意見一致。隨后，該條還規(guī)定了設立機構的四種情形，其中甚至包括了自然人16See UK. Data Protection Act 2018， 207 Territorial application of this Act.? 。相較于GDPR，英國DPA2018將效果原則規(guī)定得更加清晰，即凡是涉及英國境內數據主體的處理行為，原則上都要受到約束。除此之外，南非、印度、巴西、澳大利亞以及我國臺灣地區(qū)、澳門地區(qū)的個人信息保護立法均對域外效力進行了規(guī)定，這些規(guī)定雖然在表述和具體認定上存在些許不同，但在實質上，其內容基本與GDPR一致，均是通過境外企業(yè)與主權國家或地區(qū)的聯系來擴大域外管轄范圍。

綜上可見，在個人信息保護法域外效力制度上，無論是歐盟GDPR還是《美國云法案》，其域外管轄的基礎均在于某種聯系，個人信息保護法域外效力范圍的邊界就取決于一國立法者對這種聯系緊密性的認定。在立法上，多數國家或地區(qū)以GDPR為參考，基本上以更具彈性的地域連接點為主要觸發(fā)條件。這一國際立法主流表明，在尚未形成國際慣例和條約的現狀下，通過國內立法進行域外效力擴張是各國維護數據主權并參與網絡空間國際治理的共通做法，而由此引發(fā)的管轄權沖突也將加速雙邊或多邊國際條約的形成。

四、我國個人信息保護法域外效力制度的構建

2020年10月21日，全國人大法工委發(fā)布的《關于<中華人民共和國個人信息保護法（草案）>的說明》明確指出，“借鑒有關國家和地區(qū)的做法，賦予本法必要的域外適用效力，以充分保護我國境內個人的權益”。正式出臺的《個人信息保護法》在第3條規(guī)定了地域適用范圍，我國由此正式在法律層面確立了域外效力制度。這是一個大的突破，也是一次新的探索，但從域外法治實踐來看，個人信息保護法域外效力制度的構建是一項系統性工程，它牽涉一國的政治、經濟等多元利益考量，遠非一部《個人信息保護法》所能完成，還需要從執(zhí)法、司法、國際合作等方面豐富其內容并使其真正落到實處。筆者認為，立足于《個人信息保護法》第3條的規(guī)定，我國未來還應當從個人信息保護法域外效力制度的適用性、體系性和國際性三個層面進一步完善。

（一）強化個人信息保護法域外效力制度的適用性

我國《個人信息保護法》第3條第2款規(guī)定了三種域外適用情形。從其實質內容和表述上看，該項規(guī)定具有較為明顯的GDPR印跡，幾乎是GDPR第3條（2）在我國的翻版。但細究之可以發(fā)現，第一種情形直接采取了EDPB意見的核心，即目的決定論。第二種情形雖然與GDPR中的表述“監(jiān)控”不同，但是通過GDPR序言（24）可以看到，監(jiān)控包括對用戶的追蹤、畫像、分析和預測，也就是說，我國《個人信息保護法》直接將監(jiān)控行為進行了類型化列舉，二者在實質含義上并無太大區(qū)別。第三種情形作為兜底條款，為我國未來個人信息保護相關立法預留了空間。第3條第2款的規(guī)定充分吸收了國外的立法經驗，也幾乎囊括了所有可能的情形，但是這些規(guī)定在適用上仍存在進一步解釋的必要，例如對于第一種情形，按照EDPB的觀點，執(zhí)法和司法機關可以通過網站接入、語言和貨幣支付的使用、數據處理內容等因素來綜合判斷特定處理行為的意圖。我國可基于這一觀點，出臺更加詳細的認定標準和參考因素，如營銷活動、官方網站對中國信息主體的提及等。對于第二種情形，按照EDPB的觀點，可以參考的因素包括：基于行為的廣告、基于具體地點的活動、通過網絡追蹤器（Cookie）監(jiān)測、在線定制膳食或分析健康狀況、采用閉路電視監(jiān)測、基于個人畫像施行調查問卷或其他行為研究、監(jiān)測或定期報告?zhèn)€體健康狀況See European Data Protection Board， Guidelines 3/2018 on the territorial scope of the GDPR （Article 3）［EB/OL］.（2019-11-12）［2020-10-05］.https：//edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_3_2018_territorial_scope_after_public_consultation_en_1.pdf.。有學者指出，我國《個人信息保護法》中規(guī)定的分析和評估似乎涵蓋了GDPR中的監(jiān)控行為，其邊界不甚清楚［32］，因此，我國可以通過頒布相關實施細則對分析和評估的內涵做進一步的明確，尤其是結合自動化決策行為的相關認定，從而為執(zhí)法和司法活動提供更加清晰的指引。

此外，我國《個人信息保護法》在第7章法律責任部分涵蓋了民事、行政和刑事責任，因此，域外效力制度的構建不僅要考慮民事活動，還應當考慮其他涉及國家安全、公共利益甚至國際犯罪的行為，在目前的立法框架下補充保護性管轄、普遍性管轄和基于國際公法產生的管轄，以實現保護的全面性和周延性。具體而言，對于屬地管轄，一般認為，一國的船舶和航空器在國際法上構成一國領土范圍的延伸，因此，在未來的相關實施細則中，應當明確在中華人民共和國船舶或者航空器內處理自然人個人信息的活動，也適用《個人信息保護法》。對于保護性管轄，在境外個人信息處理行為涉及國家安全時，明確其適用我國《個人信息保護法》。對于普遍性管轄，在我國《刑法》第9條已經確立普遍性管轄的基礎上，無需在《個人信息保護法》中重復規(guī)定，可通過第3條第2款（3）實現。對于我國在境外的使領館等機構實施的個人信息處理行為，其也應當受到我國《個人信息保護法》的約束，因此，在未來的相關實施細則中，應當明確基于國際公法而適用《個人信息保護法》的個人信息處理活動。

（二）提升個人信息保護法域外效力制度的體系性

對于個人信息保護法域外效力制度而言，除了立法層面的明確規(guī)定外，執(zhí)法和司法層面的規(guī)則建構亦十分重要。在一國法律中規(guī)定域外效力制度并非十分困難的事情，域外效力制度真正的困難在于實施，因此有學者把域外效力制度比喻為“立法者的美夢和法官的夢魘”SVANTESSON D.Extraterritoriality and targeting in EU data privacy law： The weak spot undermining the regulation［J］.International Data Privacy Law，2015，5（4）：226-234.。因此，我國有必要構建域外立法管轄和域外執(zhí)法管轄并存的法律制度，同時通過程序性立法保證數據跨境執(zhí)法活動的真實有效實施。

我國《個人信息保護法》在域外效力執(zhí)法規(guī)則構建方面以防御為主。第41條對跨境數據調取作了基本性規(guī)定《個人信息保護法》第41條：中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定，或者按照平等互惠原則，處理外國司法或者執(zhí)法機構關于提供存儲于境內個人信息的請求。非經中華人民共和國主管機關批準，個人信息處理者不得向外國司法或者執(zhí)法機構提供存儲于中華人民共和國境內的個人信息。，根據這一規(guī)定，個人信息處理者在未經國家主管機關批準的情況下不得向外國司法或者執(zhí)法機構提供存儲于我國境內的個人信息，這一規(guī)定將跨境數據調取的決定權交予國家主管機關，有利于充分保障我國的數據主權。除此之外，對于危害個人權益、公共安全或國家安全的個人信息處理行為，第42條還規(guī)定，國家網信部門可以將其列入限制或者禁止個人信息提供清單，予以公告，并采取限制或者禁止向其提供個人信息等措施。該條增強了對境外個人信息違法行為的阻擊力度?？傮w來看，我國《個人信息保護法》在域外效力制度實施方面的規(guī)定以防御為主，并未將我國的執(zhí)法權力延伸至境外，這一點與《美國云法案》不同，后者強調在何種情況下可以調取存儲于境外的數據。

在國際層面，個人信息保護跨境執(zhí)法問題同樣困難重重，其根本原因在于一國執(zhí)法權力受國家主權的限制，一般只能在本國領土范圍內行使，而不能將執(zhí)法范圍擴張至他國領土，是否能夠得到執(zhí)行往往需要取決于他國的同意。為有效解決這一問題，國際上已經有了相關的實踐做法，第一種是通過成立國際組織進行法律援助、信息共享和聯合調查等執(zhí)法合作，例如在經濟合作組織（Organization for Economic Co-operation and Development，簡稱“OECD”）倡議下成立的“全球隱私執(zhí)法網絡”（Global Privacy Enforcement Network，簡稱“GPEN”），該組織致力于國際數據執(zhí)法合作，目前已經有美國、加拿大等多個國家加入了該組織。第二種做法就是通過雙邊協議或者多邊協議的方式開展執(zhí)法合作。有學者認為，“中國應加強與其他國家數據保護機構之間的合作，以解決對個人信息保護的跨境執(zhí)法，只有這樣，才能有效確?！秱€人信息保護法》域外適用的效果”。筆者認為，為確保個人信息保護法域外效力制度的合法有效執(zhí)行，我國還應當提供相關配套制度來保障域外執(zhí)法活動的實施。因此，我國在《個人信息保護法》中確立域外效力制度之余，還應當在程序性立法中予以跟進，不僅為域外效力制度的落地實施提供程序性操作指引，也為我國監(jiān)管機構實施域外執(zhí)法活動提供法律依據。

在個人信息保護法域外效力制度的司法適用上，我國尚未形成明確的裁判標準，尤其是外國判決的承認和執(zhí)行問題。從歐美的司法實踐看，盡管已經出臺了具體指引，但相關概念的界定仍存在較大的不確定性，而最終的裁判結果不僅會左右單個案件，還會影響其他境外企業(yè)的合規(guī)經營，甚至會在一定程度上阻礙數字經濟的全球化發(fā)展，造成網絡服務市場壁壘。尤其是基于效果原則實施的域外管轄，考慮到域外效力制度在一定程度上限制了他國的國家主權，“如果將管轄權擴大到與主張管轄權的國家沒有實質聯系的人或活動，或者行使管轄權會不必要地侵犯外國主權或處于該國境外的外國國民利益，這不僅會導致國際局勢緊張化，在某些情況下甚至會構成國際不法行為”［33］。因此，在司法適用方法上應當遵循比例原則并建立在個案分析的基礎上，在實體裁判上遵循國際禮讓原則并尊重他國利益。只有合理界定域外效力的邊界，才能夠在國家主權、產業(yè)發(fā)展和個人權利保障之間保持動態(tài)平衡。

此外，為解決美國等國家的長臂管轄問題，“我國應在立法、司法和行政層面形成組合拳，逐步實現從被動應付到主動預防的轉變”［34］。對此，“封阻法令”（Blocking Statutes）就是一種行之有效的方式。有學者認為，“中國也可結合本國國情參考通過阻斷立法阻止《澄清域外合法使用數據法案》《通用數據保護條例》等他國長臂管轄對中國數據主體的適用，有效保障我國的公民隱私、企業(yè)數據權和國家網絡主權”［35］。對此，我國已經采取了行動。2018年10月26日，我國通過《國際刑事司法協助法》，第4條的規(guī)定在一定程度上阻卻了外國司法執(zhí)法機關調取境內數據的活動《國際刑事司法協助法》第4條第3款：“非經中華人民共和國主管機關同意，外國機構、組織和個人不得在中華人民共和國境內進行本法規(guī)定的刑事訴訟活動，中華人民共和國境內的機構、組織和個人不得向外國提供證據材料和本法規(guī)定的協助?！?。針對近年美國頻繁通過長臂管轄等方式對我國實施的經濟制裁行為，2021年1月9日，我國商務部發(fā)布《阻斷外國法律與措施不當域外適用辦法》，授權相關工作機制通過禁令制度和必要的反制措施阻斷外國法律與措施的不當域外適用。

（三）加強個人信息保護法域外效力制度的國際性

與民法、刑法等傳統部門法不同的是，個人信息保護法具有鮮明的國際性。個人信息大規(guī)?？缇硞鬏數纳鐣F實使得一國為了維護本國信息主體的合法權益而不得不將國家主權的邊界擴張至其他國家，個人信息保護法域外效力制度就是這種國際性的重要體現。當前，世界多個國家通過國內立法擴大本國個人信息保護法的域外效力，為本國管轄域外個人信息處理活動提供了法律依據，但是與之相隨的一個問題就是各國主權國家之間的管轄權沖突問題。因為某一特定的個人信息處理行為在受到他國個人信息保護法約束的同時，也會因為屬地管轄而受到本國個人信息保護法的約束，由此引發(fā)管轄權沖突，“域外適用本國個人信息保護法的困境在于不同國家數據主權沖突下如何實現私權利保護的協調”［36］。對于這一問題，多數學者主張通過國際條約等方式來解決這一沖突，例如，有學者指出，面對美國的數據域外管轄，“中國應積極聯合新興國家與發(fā)展中國家，主動參與國際數據合作機制的創(chuàng)立，提升在數據管轄方面國際規(guī)則體系構建中的話語權”［37］。也有學者認為，域外效力條款沖突解決的方案之一是構建區(qū)域性的個人信息保護機制，我國可以“以數字貿易為基礎逐步推進周邊國家的個人數據保護的區(qū)域統一協作，形成區(qū)域性個人數據保護機制”［38］。

筆者認為，個人信息保護法域外效力制度在適用過程中的國家主權沖突不可避免，在通過《個人信息保護法》第3條初步構建起個人信息保護法域外效力制度之后，我國應當積極參與個人信息保護法相關國際規(guī)則的制定。目前，在網絡空間命運共同體和“雙循環(huán)”新發(fā)展格局的指引下，我國不斷深化數字經濟領域的國際合作，已經發(fā)布了《“中國＋中亞五國”數據安全合作倡議》并達成了《區(qū)域全面經濟伙伴關系協定》（Regional Comprehensive Economic Partnership，簡稱“RCEP”），后者由中國、日本、韓國、澳大利亞、新西蘭和東盟十國共15方成員制定，在第12章“電子商務”部分，第8條就涉及締約方之間就個人信息保護之間的合作，要求在制定保護個人信息的法律框架時，每一締約方應當考慮相關國際組織或機構的國際標準、原則、指南和準則。締約方應當在可能的范圍內合作，以保護從一締約方轉移來的個人信息。由此可見，我國已經在區(qū)域性的個人信息保護法律制度上取得了一定成效，未來應當進一步加強國際合作，積極參與并主導個人信息保護法國際條約的制定，促進個人信息保護法域外效力國際標準的形成。

五、結語

法乃公器，民為邦本。作為人類秩序的理性表達，法律既是公民權利的保障書，也是和平時期國家利益博弈的重要武器。歐盟和美國基于各自在全球數字經濟產業(yè)版圖中的處境和發(fā)展目標，分別以市場和跨國企業(yè)為籌碼，確立了不同的域外效力制度。近年，我國數字經濟規(guī)模不斷壯大，國內開放程度不斷提高，國際影響力也不斷增強；但在數據保護法治建設方面，尚缺乏對個人信息保護法域外效力制度正當性、合理性等方面的體系性研究與制度建構。由于該問題的復雜性，除了網絡法和國際法專家之外，還需要與宏觀政策專家以及執(zhí)法部門等多方參與主體的通力合作。在網絡強國戰(zhàn)略的推動下，我國應當以豐富的互聯網業(yè)態(tài)和執(zhí)法司法實踐為基礎，以更加積極的態(tài)度面對國際數字經濟發(fā)展環(huán)境，突破以本土規(guī)制為中心的立法思路，積極參與并推動網絡空間國際治理規(guī)則的制定，與其他國家合作共建網絡空間命運共同體。

參考文獻：

［1］肖永平，焦小丁.從司法視角看中國法域外適用體系的構建［J］.中國應用法學，2020（5）：56-72.

［2］齊愛民，王基巖.大數據時代個人信息保護法的適用與域外效力［J］.社會科學家，2015（11）：101-104.

［3］孫國平.論勞動法的域外效力［J］.清華法學，2014（4）：18-46.

［4］周曉林.美國法律的域外管轄與國際管轄權沖突［J］.國際問題研究，1984（3）：41-49.

［5］國務院新聞辦公室.《關于中美經貿摩擦的事實與中方立場》白皮書［R/OL］.（2018-09-24）［2021-01-19］. http：//www.scio.gov.cn/zfbps/32832/Document/1638292/1638292.htm.

［6］周鯁生.國際法大綱［M］.北京：商務印書館，2013：28.

［7］邁克爾·施密特.網絡行動國際法塔林手冊 ［M］.2版.黃志雄，譯.北京：社會科學文獻出版社，2017：92.

［8］蔡翠紅.云時代數據主權概念及其運用前景［J］.現代國際關系，2013（12）：58-65.

［9］杜雁蕓.大數據時代國家數據主權問題研究［J］.國際觀察，2016（3）：1-14.

［10］齊愛民，盤佳.數據權、數據主權的確立與大數據保護的基本原則［J］.蘇州大學學報（哲學社會科學版），2015 （1）：64-70，191.

［11］黃志雄.網絡空間國際規(guī)則新動向：《塔林手冊2.0版》研究文集［M］.北京：社會科學文獻出版社，2019：111.

［12］新華網.中共中央 國務院關于構建更加完善的要素市場化配置體制機制的意見［EB/OL］.（2020-04-09）［2021-01-15］.http：//www.xinhuanet.com/politics/zywj/2020-04/09/c_1125834458.htm.

［13］新華網.中共中央 國務院關于新時代加快完善社會主義市場經濟體制的意見［EB/OL］.（2020-05-18）［2021-01-15］.http：//www.xinhuanet.com/2020-05/18/c_1126001431.htm.

［14］MAIER B.How has the law attempted to tackle the borderless nature of the Internet？［J］. International Journal of Law and Information Technology，2010，18（2）：142-175.

［15］張建文，張哲.個人信息保護法域外效力研究：以歐盟《一般數據保護條例》為視角［J］.重慶郵電大學學報（社會科學版），2017 （2）：36-43.

［16］ARTICLE 29 DATA PROTECTION WORKING PARTY.Update of opinion 8/2010 on applicable law in light of the CJEU judgement in Google Spain［EB/OL］.（2015-12-16）［2019-12-10］.https：//ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2015/wp179_en_update.pdf.

［17］ARTICLE 29 DATA PROTECTION WORKING PARTY. Opinion 8/2010 on applicable law［EB/OL］.（2010-12-16）［2021-01-16］.https：//ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp179_en.pdf.

［18］PRESTHUS W， SRUM H.Are consumers concerned about privacy？ An online survey emphasizing the general data protection regulation［J］.Procedia Computer Science，2018，138：603-611.

［19］ARTICLE 29 DATA PROTECTION WORKING PARTY.Update of Opinion 8/2010 on applicable law in light of the CJEU judgement in Google Spain［EB/OL］.（2015-12-16）［2019-12-10］.https：//ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2015/wp179_en_update.pdf.

［20］郭戎晉.GDPR下互聯網企業(yè)的機遇與挑戰(zhàn)［J］.信息安全與通信保密，2018（8）：17-21.

［21］洪延青.“法律戰(zhàn)”旋渦中的執(zhí)法跨境調取數據：以美國、歐盟和中國為例［J］.環(huán)球法律評論，2021（1）：38-51.

［22］俞勝杰.《通用數據保護條例》第3條（地域范圍）評注：以域外管轄為中心［J］.時代法學，2020（2）：94-106.

［23］葉開儒.數據跨境流動規(guī)制中的“長臂管轄”：對歐盟GDPR的原旨主義考察［J］.法學評論，2020（1）：106-117.

［24］GREZE B.The extra-territorial enforcement of the GDPR：A genuine issue and the quest for alternatives［J］.International Data Privacy Law，2019，9（2）：109-128.

［25］JIA J，JIN G Z，WAGMAN L.The short-run effects of GDPR on technology venture investment，NBER Working Paper No.25248［EB/OL］.（2018-11-01）［2019-01-30］. https：//www.nber.org/papers/w25248.pdf.

［26］TORRE L.GDPR matchup：The California Consumer Privacy Act 2018［EB/OL］.（2018-07-31）［2019-01-30］.https：//iapp.org/news/a/gdpr-matchup-california-consumer-privacy-act/.

［27］ DASKAL J.Microsoft Ireland， the CLOUD Act， and international lawmaking 2.0［J］.Stanford Law Review Online，2018，71：9-16.

［28］U.S.DEPARTMENT OF JUSTICE.Promoting public safety，privacy，and the rule of law around the world： The purpose and impact of the CLOUD Act［R/OL］.（2019-04-01）［2021-01-26］.https：//www.justice.gov/dag/page/file/1153436/download.

［29］張曉君.數據主權規(guī)則建設的模式與借鑒：兼論中國數據主權的規(guī)則構建［J］現代法學，2020（6）：136-149.

［30］強世功.帝國的司法長臂：美國經濟霸權的法律支撐［J］.文化縱橫，2019（4）：84-93，143

［31］BILGIC S.Something old，something new，and something moot：The privacy crisis under the CLOUD Act［J］.Harvard Journal of Law & Technology，2018，32：321-356.

［32］陳詠梅，伍聰聰.歐盟《通用數據保護條例》域外適用條件之解構［J］.德國研究，2022（2）：85-101，123-124.

［33］邁克爾·施密特，麗斯·維芙爾.網絡行動國際法塔林手冊2.0版［M］.黃志雄，譯.北京：社會科學文獻出版社，2017：100.

［34］肖永平.“長臂管轄權”的法理分析與對策研究［J］.中國法學，2019（6）：39-65.

［35］劉天驕.數據主權與長臂管轄的理論分野與實踐沖突［J］.環(huán)球法律評論，2020（2）：180-192.

［36］丁漢韜.大數據時代下個人信息保護法的域外效力邊界［J］.中國國際私法與比較法年刊，2019（1）：33-50.

［37］楊永紅.美國域外數據管轄權研究［J］.法商研究，2022（2）：146-157.

［38］張新新.個人數據保護法的域外效力研究［J］.國際法學刊，2021（4）：124-145，158.

On the construction of extraterritorial effect system of

personal information protection law in China

ZHANG Zhe， QI Aimin

（Law School， Chongqing University， Chongqing 400044， P. R. China）

Abstract： The system of extraterritorial effect of personal information protection law refers to a legal system in which a country exercises jurisdiction over a person， object or behavior that processes personal information extraterritorially， thus extending its jurisdiction beyond the territory of the country. It is not only a system innovation based on the practical interests of all participants， but also a legal weapon for a country to achieve political， economic and other purposes in a more macroscopic sense. From Data Protection Directive 95/46/EC to GDPR， the European Union further expanded the extraterritorial effect scope of the law， establishing the principle of jurisdiction with the principle of territoriality as the main principle and the effects principle as the complementary principle， and became a model for most countries. The essence of this approach is to take the whole European market as a bargaining chip to participate in the international game. Depending on the advantage of technology and market-dominant of U.S. companies and their control of global data， the U.S. CLOUD Act extends its legal weapon to all parts of the world through the global distribution of American companies， exporting American-style privacy standards to maximize their national interests. In the current situation where international conventions and treaties have not been formed， expanding the extraterritorial effect scope through domestic legislation is a common practice for most countries to safeguard data sovereignty and participate in international cyberspace governance. Facing the international mainstream， China should establish an legal system in which extraterritorial legislative jurisdiction and extraterritorial law enforcement jurisdiction coexist， enhance the applicability and systemic nature of the system of extraterritorial effects of personal information protection law， actively participate in and lead the development of international treaties on personal information protection law， and promote the realization of China’s plan for the reform of the global internet governance system.

Key words：? the system of extraterritorial effect of personal information protection law; GDPR; effects principle; CLOUD Act; extraterritorial legislative jurisdiction; extraterritorial law enforcement jurisdiction

（責任編輯胡志平）