張建文++張哲

摘要：大數(shù)據(jù)時代，隨著智能設(shè)備的普及和數(shù)據(jù)處理技術(shù)的成熟，搜索引擎、社交網(wǎng)絡(luò)、電子商務(wù)等互聯(lián)網(wǎng)信息服務(wù)快速發(fā)展。信息以前所未有的方式自由流動和跨境傳輸，由此引發(fā)了個人數(shù)據(jù)保護法域外效力的擴張。相較于早期的《數(shù)據(jù)保護指令》， 新近通過的歐盟《一般數(shù)據(jù)保護條例》增加了域外適用情形，將為歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)以及監(jiān)控其行為的境外企業(yè)也納入了規(guī)制范圍?？v觀世界范圍內(nèi)的個人數(shù)據(jù)保護法，多數(shù)國家已設(shè)立域外適用條款，擴大法律的域外效力已經(jīng)成為國際社會的主流做法。就當(dāng)前信息產(chǎn)業(yè)發(fā)展和個人信息保護規(guī)范的現(xiàn)狀而言，我國應(yīng)借鑒歐盟立法經(jīng)驗，在未來的個人信息保護法中設(shè)立域外適用條款，擴大法律的地域適用范圍，以保障信息主體的合法權(quán)益。

關(guān)鍵詞：個人數(shù)據(jù)保護法；域外效力；《一般數(shù)據(jù)保護條例》；屬地原則；效果原則；個人信息保護法

中圖分類號：D913； D923.8文獻標(biāo)識碼：A文章編號：16738268（2017）02003608

一、問題的提出

在知識和經(jīng)濟快速變革的信息化社會中，技術(shù)的進步，包括互聯(lián)網(wǎng)、移動互聯(lián)、物聯(lián)網(wǎng)、云計算、人工智能等技術(shù)的發(fā)展和運用，使得個人網(wǎng)上行為的全方位記錄和大規(guī)模分析成為可能，由此產(chǎn)生的數(shù)據(jù)資源也正和土地、勞動力、資本等生產(chǎn)要素一樣成為促進經(jīng)濟增長和社會發(fā)展的基本要素。與之相應(yīng)的是，個人信息以一種前所未有的方式被企業(yè)和政府機關(guān)收集、存儲、利用和傳輸。我們的搜索記錄、瀏覽記錄、消費記錄、社交記錄等幾乎所有的網(wǎng)上行為記錄都有可能被傳輸至境外的信息服務(wù)提供者所在地或被分享至第三方。由此引發(fā)的一個疑問就是：當(dāng)境外企業(yè)違法收集和處理本國公民的個人數(shù)據(jù)時，一國的法律是否有權(quán)予以制裁？也即法律的域外效力。

在理論上，法律的域外效力是指“法律的空間效力擴展到該國國家主權(quán)主管范圍之外”[1]。按照國際法中的國家主權(quán)原則，一國制定的法律原則上應(yīng)當(dāng)僅適用于本國領(lǐng)土范圍之內(nèi)。但是隨著經(jīng)濟全球化的發(fā)展和信息自由流動的加快，法律的域外效力已經(jīng)不僅局限于破產(chǎn)法、消費者權(quán)益保護法、競爭法等傳統(tǒng)部門法，而是擴展到了個人信息保護法、電子商務(wù)法、信息財產(chǎn)法等新興的法律領(lǐng)域。網(wǎng)絡(luò)空間在本質(zhì)上是一個國際性的虛擬空間，其超越了傳統(tǒng)的國界，一個人上傳的照片和視頻很有可能被傳播至世界上任何一個連接至互聯(lián)網(wǎng)的終端設(shè)備。這種特性也使得傳統(tǒng)法律的屬地管轄原則已無法滿足當(dāng)今社會的發(fā)展，在個人信息保護上應(yīng)當(dāng)擴大法律的域外適用范圍。而從世界范圍內(nèi)的個人數(shù)據(jù)保護立法來看，強化本國法律的域外效力已經(jīng)成為國際社會達成的共識。為此，本文將以歐盟正式頒布的《一般數(shù)據(jù)保護條例（GDPR）》（以下簡稱GDPR）為視角，探析個人數(shù)據(jù)保護法的域外效力并為我國未來個人信息保護法的制定提出建議。

二、歐盟GDPR域外效力探析

2016年4月14日，歐洲議會在二讀立法程序中決議通過了被稱為“史上最嚴格的個人數(shù)據(jù)保護條例”GDPR，其正式文本于5月4日被公布在歐盟官方公報上，從而結(jié)束了歐盟自2012年提出立法草案以來長達四年之久的數(shù)據(jù)保護改革。根據(jù)該條例第99條關(guān)于生效和適用的規(guī)定，其將自官方公報發(fā)布滿20日，即2016年5月24日后生效，并自其生效滿兩年，即2018年5月25日后直接適用于歐盟全體成員國，在兩年的過渡期內(nèi)，歐盟各成員國可以將該條例轉(zhuǎn)化為自己的國內(nèi)法予以適用[2]。相較于早期頒布并仍在實施的歐盟《數(shù)據(jù)保護指令（95/46/EC）》（以下簡稱95指令），GDPR在地域適用范圍、權(quán)利義務(wù)配置、監(jiān)管體系設(shè)計、懲罰措施、救濟方式等方面都對原有立法框架進行了重大調(diào)整。加之歐盟法院（CJEU）于2014年5月13日以判例的方式裁決個人享有被遺忘的權(quán)利[3]，這份自2012年1月歐盟委員會的提議起就備受外界關(guān)注的立法在引領(lǐng)全球個人信息保護立法方面無疑具有重要意義。

隨著數(shù)字經(jīng)濟在全球范圍內(nèi)的快速發(fā)展，促進數(shù)據(jù)的自由流動并挖掘數(shù)據(jù)中的潛在商業(yè)價值已經(jīng)成為世界各國政府的共識，美國的《大數(shù)據(jù)：抓住機遇，保存價值》白皮書、歐盟的《數(shù)據(jù)價值鏈戰(zhàn)略計劃》《英國數(shù)據(jù)能力發(fā)展戰(zhàn)略規(guī)劃》以及我國的《國家信息化發(fā)展戰(zhàn)略綱要》都是加強數(shù)據(jù)資源利用的戰(zhàn)略規(guī)劃。但數(shù)據(jù)的自由流動必將帶來法律適用上的難題，單純規(guī)制境內(nèi)的個人數(shù)據(jù)處理行為已無法充分保護數(shù)據(jù)主體的權(quán)利。為此，GDPR第三條將境外企業(yè)對歐盟境內(nèi)自然人的個人數(shù)據(jù)所實施的特定處理行為也納入了規(guī)制范圍GDPR第3條“地域范圍”：

1.該條例適用于數(shù)據(jù)控制者或處理者在歐盟境內(nèi)存在設(shè)立機構(gòu)活動的背景下所實施個人數(shù)據(jù)處理行為，無論該處理行為是否發(fā)生在歐盟境內(nèi)。

2.該條例適用于在歐盟境內(nèi)不存在設(shè)立機構(gòu)的數(shù)據(jù)控制者或處理者對歐盟境內(nèi)數(shù)據(jù)主體的個人數(shù)據(jù)所實施的處理行為，如果該處理行為涉及：（a）對歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)，無論數(shù)據(jù)主體是否被要求付費；或者（b）監(jiān)控歐盟境內(nèi)數(shù)據(jù)主體的行為，只要他們的行為發(fā)生在歐盟境內(nèi)。

3.該條例適用于由不在歐盟境內(nèi)，而在憑借國際公法而適用成員國法律的地區(qū)的數(shù)據(jù)控制者所實施的個人數(shù)據(jù)處理行為。。具體而言，包括以下三種情形。

（一）歐盟境內(nèi)存在設(shè)立機構(gòu)

根據(jù)GDPR第3條第1款的規(guī)定，如果一個數(shù)據(jù)控制者或處理者，如Google美國總公司，其在歐盟境內(nèi)存在一個設(shè)立機構(gòu)（establishment），那么在此種情形下，數(shù)據(jù)控制者或處理者所實施的任何處理行為都要受到該條例的約束，不僅是歐盟境內(nèi)的設(shè)立機構(gòu)（如Google西班牙公司），設(shè)立該機構(gòu)的數(shù)據(jù)控制者或處理者（如Google美國總公司）所實施的處理行為也要受到約束。

對于該條中“the processing of personal data in the context of the activities of an establishment of a controller or a processor”的理解，由于其與95指令第4條（1）（a）的規(guī)定在表述方式上一致，且歐盟法院在Google被遺忘權(quán)案件中對此進行了擴張性解釋，因此，歐盟法院的判決觀點對于正確解釋該條文具有重要指引價值。除此之外，在該案判決之后，歐盟數(shù)據(jù)保護第29條工作組（以下簡稱WP29）亦于2015年12月發(fā)布了對該案地域適用范圍的意見。因此，本部分將從Google被遺忘權(quán)案裁判觀點、WP29地域適用范圍意見和設(shè)立機構(gòu)判定標(biāo)準(zhǔn)三個層面予以解析。endprint

1.Google被遺忘權(quán)案裁判觀點

在該案中，法院已經(jīng)查明的事實是：

（1）Google西班牙公司是Google集團在西班牙地區(qū)的商業(yè)代理人，幫助Google集團推廣和銷售線上廣告位以獲取商業(yè)利潤。

（2）Google搜索引擎由Google美國總公司來運營和管理， Google西班牙公司并未實施與將第三方網(wǎng)站上的信息或數(shù)據(jù)編入索引或存儲直接關(guān)聯(lián)的活動。

（3）Google西班牙公司在西班牙地區(qū)實施的對廣告位進行推廣和銷售的行為構(gòu)成了Google集團商業(yè)活動的一部分，可被視為與Google的搜索服務(wù)緊密相聯(lián)。

而Google西班牙公司和Google美國總公司則辯稱，本案的情況是，在主要進程中有爭議的個人數(shù)據(jù)處理行為由Google美國總公司排他性地實施，其對搜索引擎的運營沒有受到Google西班牙公司的任何干預(yù)；后者的行為限于為Google集團獨立于其搜索引擎服務(wù)的商業(yè)行為提供支持。

基于上述事實，歐盟法院的主要觀點及理由如下：

（1）根據(jù)95指令緒言（19）對設(shè)立機構(gòu)的界定[4]，在本案中，“毫無疑問的是，Google西班牙公司在西班牙從事著對通過穩(wěn)定安排活動的真正有效執(zhí)行。此外，其還擁有獨立的法律人格，構(gòu)成了Google美國總公司在西班牙領(lǐng)土上的一個子公司，因而成為95指令第4條（1）（a）中的‘設(shè)立機構(gòu)”[3]。

（2）但考慮到95指令旨在確保對自然人的基本權(quán)利和自由，尤其是關(guān)于他們在個人數(shù)據(jù)處理方面的隱私權(quán)的保護[5]。因此，關(guān)于個人數(shù)據(jù)的處理，不應(yīng)當(dāng)對這些文字進行限制性解釋。從95指令緒言（18）至（20）和第4條的規(guī)定中可以明確的是，“歐盟立法機構(gòu)希望通過規(guī)定一個特別寬泛的地域范圍來阻止個人被剝奪由該指令所確定的保護以及對那種保護的規(guī)避”[3]。

（3）對于在一個成員國內(nèi)有設(shè)立機構(gòu)的Google美國總公司而言，如果該設(shè)立機構(gòu)意圖為在成員國內(nèi)推廣和銷售旨在使搜索引擎盈利的廣告位的話，那么，為搜索引擎服務(wù)目的而為的個人數(shù)據(jù)處理行為就是在該設(shè)立機構(gòu)“活動背景下”實施的，二者之間的活動具有“無可擺脫的聯(lián)系（inextricable link）”。由于搜索結(jié)果和與搜索項相關(guān)聯(lián)的廣告在同一頁面展示，因此，該數(shù)據(jù)處理行為是在數(shù)據(jù)控制者位于一個成員國領(lǐng)土上（本案中的西班牙）的設(shè)立機構(gòu)的商業(yè)和廣告活動的背景下實施的。

由此，歐盟法院認定，已經(jīng)被轉(zhuǎn)化為西班牙國內(nèi)法的95指令第4條（1）（a）適用于Google美國總公司的個人數(shù)據(jù)處理行為。此外，從法院最終要求Google公司刪除有關(guān)原告岡薩雷斯新聞鏈接的判決來看，對于GDPR第3條第1款的理解，其應(yīng)當(dāng)是指“在數(shù)據(jù)控制者或處理者設(shè)立機構(gòu)活動的背景下所實施的個人數(shù)據(jù)處理行為”，立法者并未將此種處理行為限制在該設(shè)立機構(gòu)的范圍內(nèi)，并且從該項后半段“regardless of whether the processing takes place in the Union or not”來看，并不需要考慮處理行為的發(fā)生地。因此，對于發(fā)生在歐盟境外的個人數(shù)據(jù)處理行為，如本案中發(fā)生在美國的索引行為，因其是在西班牙公司商業(yè)活動的背景下實施的處理行為，所以應(yīng)受到該條例的約束。

2.WP29地域適用范圍意見

該案判決后，WP29于2015年12月16日發(fā)布了一份關(guān)于Google案件管轄問題的意見（以下簡稱意見）[6]，其中就包括對95指令第4條（1）（a）中“活動背景下”的詳細解釋以及設(shè)立機構(gòu)與控制者之間“無可擺脫的聯(lián)系”的認定標(biāo)準(zhǔn)，從而使95指令以及GDPR的地域適用范圍在法律適用上更具可操作性。

根據(jù)歐盟法院的裁決對95指令第4條（1）（a）的解釋，其并不必然要求所談及的個人數(shù)據(jù)處理行為是“由（by）”相關(guān)設(shè)立機構(gòu)自己實施的，而是只要個人數(shù)據(jù)處理行為是在設(shè)立機構(gòu)“活動背景下”實施的，即滿足法律適用的條件[7]。

對于這樣一個比較寬泛和抽象的法律概念，法院以Google美國總公司與Google西班牙公司之間“無可擺脫的聯(lián)系”為由進行了充分的論證。法院認為，Google西班牙公司雖未直接實施索引行為，但是其在西班牙地區(qū)銷售搜索引擎上廣告位的行為是使搜索引擎在“經(jīng)濟上可盈利（economically profitable）”的工具。因此，可以充分認定Google西班牙公司的廣告位銷售行為與Google的商業(yè)模式相關(guān)聯(lián)，沒有廣告位銷售行為，Google便不可能在經(jīng)濟上為全球提供搜索引擎服務(wù)。由此，在95指令的地域適用范圍上，“無可擺脫的聯(lián)系”就成為了一個重要的認定標(biāo)準(zhǔn)。對此，WP29認為，對于此種關(guān)聯(lián)應(yīng)當(dāng)結(jié)合具體場景，考慮每個情形中的具體條件來進行綜合評估，既不能過寬地認為所有的關(guān)聯(lián)活動都滿足要求，也不能過窄地認為僅僅是搜索引擎商業(yè)模式才受到約束[6]。

歐盟法院的判決已經(jīng)表明，即使設(shè)立機構(gòu)并未真正從事數(shù)據(jù)處理行為，只要設(shè)立機構(gòu)的行為與數(shù)據(jù)控制者之間有財務(wù)增長上的聯(lián)系即可被認定為存在“無可擺脫的聯(lián)系”。對此，結(jié)合法院的判決理由和95指令的目的，WP29認為，在“無可擺脫的聯(lián)系”的認定上應(yīng)當(dāng)考慮以下要素：

（1）設(shè)立機構(gòu)是否實施個人數(shù)據(jù)處理行為不是必要條件；

（2）在“免費網(wǎng)絡(luò)服務(wù)+廣告”的商業(yè)模式中，財務(wù)上的增長可以被視為存在“無可擺脫的聯(lián)系”；

（3）對于其他商業(yè)模式和行為，需要在個案的基礎(chǔ)上綜合評估。非歐盟企業(yè)在歐盟境內(nèi)提供免費網(wǎng)絡(luò)服務(wù)以換取用戶會員費或用戶訂閱以及利用用戶數(shù)據(jù)盈利，甚至是為了捐贈目的，這些行為也可以被視為存在“無可擺脫的聯(lián)系”。

由此可見，關(guān)于GDPR地域適用范圍的認定，應(yīng)當(dāng)考慮設(shè)立機構(gòu)與數(shù)據(jù)控制者之間是否存在“無可擺脫的聯(lián)系”。對這種聯(lián)系的認定既不能過度擴展至所有關(guān)聯(lián)，也不能在商業(yè)模式上過分限制，需要結(jié)合個案綜合評估。從目前法院的判決以及WP29的觀點來看，財務(wù)上的增長、提供免費網(wǎng)絡(luò)服務(wù)以換取用戶會員費或用戶訂閱以及利用用戶數(shù)據(jù)盈利可以被認定存在“無可擺脫的聯(lián)系”。endprint

3.設(shè)立機構(gòu)判定標(biāo)準(zhǔn)

對于設(shè)立機構(gòu)的認定，根據(jù)GDPR緒言（22），“設(shè)立機構(gòu)意味著經(jīng)過穩(wěn)定安排的活動的真正有效執(zhí)行。這種安排的法律形式，無論是一個分支機構(gòu)還是一個具有法律人格的子公司，不是決定性的因素”[8]。

除此之外，歐盟法院于2015年10月1日對“Weltimmo”案所做的判決第41段指出，只要數(shù)據(jù)控制者在一個成員國領(lǐng)土上通過穩(wěn)定的安排實施真正有效的活動，即使是一個最小的機構(gòu)，其在這樣的背景下所實施的處理行為就要受到該成員國法律的約束[9]。隨后，法院也列舉了認定這種情形需要考慮的事實，包括：（1）數(shù)據(jù)控制者的處理行為構(gòu)成對有關(guān)某個成員國境內(nèi)的財產(chǎn)交易網(wǎng)站的運營并以該國的語言來顯示，并在結(jié)果上主要或完全針對該成員國；（2）數(shù)據(jù)控制者在該成員國內(nèi)有一個代表機構(gòu)，該機構(gòu)負責(zé)恢復(fù)由這些活動所產(chǎn)生的債務(wù)以及在有關(guān)數(shù)據(jù)處理行為的行政和司法程序中代表數(shù)據(jù)控制者[9]。

綜上所述，對于在歐盟境內(nèi)存在設(shè)立機構(gòu)的境外企業(yè)，只要該設(shè)立機構(gòu)與其存在“無可擺脫的聯(lián)系”，那么，無論控制者的個人數(shù)據(jù)處理行為是否發(fā)生在歐盟境內(nèi)，均應(yīng)受到GDPR的約束。另外，僅從GDPR第3條以及緒言（22）的字面含義來看，仍存疑問的是，是否Google美國總公司實施的一切處理個人數(shù)據(jù)的行為都要受到約束？本文認為，從該條例的立法目的來看，由于其旨在為歐盟境內(nèi)的數(shù)據(jù)主體提供高水準(zhǔn)的法律保護，因此，對于Google美國總公司針對歐盟以外地區(qū)（如加拿大或中國）數(shù)據(jù)主體實施的處理行為，該條例并不適用。

（二）為歐盟境內(nèi)數(shù)據(jù)主體提供商品或服務(wù)或者監(jiān)控其行為

如果一個數(shù)據(jù)控制者或處理者在歐盟境內(nèi)不存在設(shè)立機構(gòu)，那么在以下兩種情況下，其所實施的個人數(shù)據(jù)處理行為要受到該條例的約束。

1.該數(shù)據(jù)控制者或處理者為歐盟境內(nèi)的數(shù)據(jù)主體提供商品或者服務(wù)，無論該種商品或服務(wù)是否要求數(shù)據(jù)主體付費。對于提供商品或服務(wù)的界定，根據(jù)GDPR緒言（23），應(yīng)當(dāng)查明數(shù)據(jù)控制者或處理者設(shè)想在歐盟境內(nèi)為一個或多個成員國的數(shù)據(jù)主體提供服務(wù)的意圖是否明顯。單單是對數(shù)據(jù)控制者、處理者或中介在歐盟境內(nèi)的網(wǎng)站、一個電子郵箱地址或其他聯(lián)系詳情的接入或者對數(shù)據(jù)控制者所在第三方國家通行語言的使用，并不足以明確此種意圖。而諸如以其他語種對一個或多個成員國國內(nèi)通行的能夠訂購商品或服務(wù)的語言或貨幣的使用，或者對歐盟境內(nèi)的消費者或用戶的提及等，可以認定這種意圖是明顯的[10]。

2.該數(shù)據(jù)控制者或處理者的處理行為涉及對數(shù)據(jù)主體發(fā)生在歐盟境內(nèi)的行為的監(jiān)控。對于監(jiān)控行為的界定，根據(jù)緒言（24），“應(yīng)當(dāng)查明自然人是否在互聯(lián)網(wǎng)上被追蹤，包括對構(gòu)成為自然人畫像的個人數(shù)據(jù)處理技術(shù)的潛在后續(xù)使用，尤其是為了做出關(guān)于他或她的決定或者是為了分析或預(yù)測他或她的個人偏好、行為和態(tài)度”[11]。

（三）國際公法原因

如果一個數(shù)據(jù)控制者在歐盟境內(nèi)不存在設(shè)立機構(gòu)，也不存在該條第二種情形中規(guī)定的為歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)或者對數(shù)據(jù)主體發(fā)生在歐盟境內(nèi)的行為的監(jiān)控，但由于國際公法，在該數(shù)據(jù)控制者所在地區(qū)適用了歐盟成員國的法律，那么基于第3條第3款的規(guī)定，該條例也將適用于在此地區(qū)實施的個人數(shù)據(jù)處理行為。對于此處國際公法的解釋，根據(jù)GDPR緒言（25），“在成員國的法律憑借國際公法而適用的地區(qū)，該條例也適用于不在歐盟境內(nèi)設(shè)立的數(shù)據(jù)控制者，諸如在一個成員國的使館或領(lǐng)館內(nèi)設(shè)立的數(shù)據(jù)控制者”[12]。

在法律的空間效力上，現(xiàn)代國家普遍遵循以屬地管轄為主、屬人管轄為輔的原則。但對于GDPR的地域適用范圍，從更加抽象的意義上講，其實是將所有涉及歐盟地區(qū)自然人個人數(shù)據(jù)的處理行為均納入了管轄范圍，這些規(guī)定與其說是屬地管轄的例外，不如說是確立了一種新的管轄原則，即按照行為的效果來確立法律是否適用的管轄原則，這一點被WP29稱之為“效果原則（Effects Principle）”[6]。由此可見，GDPR在地域適用范圍上其實是確立了以屬地原則為主、效果原則為輔的管轄原則，這也是立法機關(guān)對個人數(shù)據(jù)收集、處理和跨境流動的日益頻繁所帶來的管轄問題作出的現(xiàn)實回應(yīng)。

三、境外個人信息保護法的域外效力

隨著信息化社會的到來，加強個人信息的法律保護已經(jīng)成為世界各國的共識。除歐盟以外，德國、英國、日本、新加坡以及我國港澳臺地區(qū)均出臺了相應(yīng)的個人信息保護法，在這些國家和地區(qū)中，將境外的數(shù)據(jù)控制者的特定數(shù)據(jù)處理行為納入法律適用范圍也成了普遍做法。

美國于1998 年通過并自2000年4月21日起生效實施的《美國兒童網(wǎng)上隱私保護法》第1條開宗明義地指出，該法案將禁止互聯(lián)網(wǎng)上針對兒童實施的與個人信息收集、使用和/或泄露相連的不公平或欺詐行為[13]。法案針對的是“面向兒童的網(wǎng)站或在線服務(wù)”的提供者，但其并沒有限制網(wǎng)站地域范圍。對此，有學(xué)者就認為，該法案也適用于美國境外的網(wǎng)站，只要該網(wǎng)站符合法案第2條關(guān)于“面向兒童的網(wǎng)站或在線服務(wù)”的定義，那么其收集和處理美國13歲以下兒童個人信息的行為就將受到約束[14]。

1995年的歐盟《數(shù)據(jù)保護指令（95/46/EC）》第4條第1段（c）規(guī)定，對于數(shù)據(jù)處理控制者不在共同體境內(nèi)設(shè)立，但為了個人數(shù)據(jù)處理之目的使用了位于上述成員國境內(nèi)的自動化或者其他的設(shè)備的情形，除非使用該設(shè)備僅僅是為了在共同體境內(nèi)傳輸有關(guān)數(shù)據(jù)外，均要受到成員國根據(jù)該指令通過的國內(nèi)個人數(shù)據(jù)保護法的約束[15]。

1998年的英國《數(shù)據(jù)保護法案》第5條關(guān)于法律適用的規(guī)定，除了約束設(shè)立于英國并在存續(xù)期間從事數(shù)據(jù)處理行為的控制者之外，對沒有設(shè)立于英國或其他歐洲經(jīng)濟區(qū)（EEA）的企業(yè)，若其非以通過英國傳送數(shù)據(jù)為目的而使用位于英國的設(shè)備進行數(shù)據(jù)處理，那么其亦將受到該法案的約束，需要在英國任命一名代表[16]。

2011年修訂后的法國《數(shù)據(jù)處理、文檔和個人自由法案》第5條第1款規(guī)定，只要是數(shù)據(jù)控制者在法國境內(nèi)從事數(shù)據(jù)處理行為，不論其組織機構(gòu)形態(tài)采用何種法律形式，均受到該法案的約束。對于沒有設(shè)立于法國境內(nèi)或其他成員國境內(nèi)的控制者，如果其處理數(shù)據(jù)的手段位于法國，那么除單純通過法國傳輸數(shù)據(jù)外，該數(shù)據(jù)控制者將受到法案的約束[17]。endprint

2009年修訂后的德國《聯(lián)邦數(shù)據(jù)保護法案》第一節(jié)目的和范圍（5）規(guī)定，除非是由位于德國的分支機構(gòu)實施的處理行為，否則法案不適用于位于歐盟其他成員國或歐洲經(jīng)濟區(qū)域協(xié)議締約國范圍之外的數(shù)據(jù)控制者的個人數(shù)據(jù)收集、處理和使用行為；如果控制者位于歐盟成員國或歐洲經(jīng)濟區(qū)域協(xié)議締約國范圍之外，那么其在德國境內(nèi)實施的收集、處理和使用個人數(shù)據(jù)的行為將受到法案的約束，但僅為傳輸目的而在德國使用數(shù)據(jù)存儲媒介的除外[18]。

新加坡個人數(shù)據(jù)保護委員會（PDPC）于2016年7月15日發(fā)布的《關(guān)于個人數(shù)據(jù)保護法（PDPA）中重要概念的建議指南》中，第11條規(guī)定了新加坡境內(nèi)數(shù)據(jù)傳輸?shù)姆蛇m用問題。第1款規(guī)定，如果個人數(shù)據(jù)是在境外收集并在隨后被傳輸至新加坡境內(nèi)，那么法案將適用于有關(guān)新加坡境內(nèi)此類個人數(shù)據(jù)的處理活動[19]。委員會為解釋該款規(guī)定所舉的例子也表明，如果一個位于新加坡境內(nèi)的企業(yè)僅僅作為境外企業(yè)的數(shù)據(jù)媒介的話，那么，雖然數(shù)據(jù)收集行為發(fā)生在境外，但是在新加坡境內(nèi)的處理行為仍要受到法案的約束。

2010年我國臺灣地區(qū)的《個人資料保護法》第51條第2款規(guī)定，公務(wù)機關(guān)及非公務(wù)機關(guān)，在中華民國領(lǐng)域外對中華民國人民個人資料搜集、處理或利用者，亦適用本法。但該規(guī)定存在著過于原則性的問題，沒有列明具體的適用情形。

2005年我國澳門地區(qū)的《個人資料保護法》第3條第3款規(guī)定，本法律適用于對可以認別身份的人的聲音和影像進行的錄像監(jiān)視，以及以其他方式對這些聲音和影像的取得、處理和傳播，只要負責(zé)處理數(shù)據(jù)的實體的住所在澳門特別行政區(qū)（以下簡稱特區(qū)），或者通過在特區(qū)設(shè)立的提供信息和電信信息網(wǎng)絡(luò)服務(wù)的供貨商而實施。因此，即使境外的控制者僅僅是利用在澳門地區(qū)供貨商提供的設(shè)備從事數(shù)據(jù)處理行為，其也應(yīng)當(dāng)受到該法案的約束。

從域外的法律規(guī)定中可以看出，世界其他國家和地區(qū)在個人數(shù)據(jù)保護法的域外效力上，存在以下三個特點。

第一，擴大法律域外效力成為普遍共識。隨著全球數(shù)據(jù)自由流動的加快和國際電子商務(wù)的發(fā)展，人們獲取信息的方式得到了空前的擴展。但與此同時，境外企業(yè)收集和處理本國自然人的個人數(shù)據(jù)也成為一種必然，我們在網(wǎng)上的搜索、購物、社交、出行訂票等行為都有可能被國外的互聯(lián)網(wǎng)企業(yè)所收集和處理并用于精準(zhǔn)廣告的投放。因此，立法機構(gòu)需要擴大個人信息保護法的域外效力來增強個人的數(shù)據(jù)控制力，這一點也可以在歐盟95指令到GDPR的立法變遷中得到印證。

第二，歐盟法成為世界各國效仿對象。歐盟國家向來注重人權(quán)保障，因此在個人信息保護法方面一直走在世界前列[20]。自1995年通過95指令以來，其域外效力規(guī)定就成為了其他國家和地區(qū)的效仿對象。美國和我國臺灣地區(qū)的法律規(guī)范雖然也確認了個人信息保護法的域外效力，但這些規(guī)定并不具有很強的操作性。而歐盟地區(qū)的立法則呈現(xiàn)出精細化的特點，將關(guān)涉歐盟地區(qū)自然人的數(shù)據(jù)處理行為納入法律規(guī)制范圍。GDPR雖然在原有的基礎(chǔ)上繼續(xù)擴大了適用范圍，但這仍是在原有立法理念的基礎(chǔ)上對當(dāng)今以及未來世界信息經(jīng)濟發(fā)展的合理預(yù)判，此種做法既有效保障了數(shù)據(jù)主體的權(quán)利，又不會對他國主權(quán)完整造成不當(dāng)干涉。

第三，效果原則成為屬地原則的補充。屬地原則是國家主權(quán)在法律領(lǐng)域的體現(xiàn)，個人信息保護法適用于在一國領(lǐng)土內(nèi)發(fā)生的數(shù)據(jù)處理行為毋庸置疑，這一點也在英國、法國和我國澳門地區(qū)的法律中有了明確肯定。而在法律域外效力的規(guī)定上，除了美國和我國臺灣地區(qū)的規(guī)定相對模糊外，其他國家或地區(qū)的規(guī)定可以說均是WP29所謂的“效果原則”的體現(xiàn)。無論是利用位于本國的設(shè)備（英國）、利用在本國設(shè)立的分支機構(gòu)（法國和德國）或供應(yīng)商，還是為本國自然人提供服務(wù)（歐盟），究其本質(zhì)而言，都在客觀效果上構(gòu)成對本國或本地區(qū)自然人個人數(shù)據(jù)的處理。GDPR雖然增加了對境外企業(yè)提供商品或服務(wù)以及監(jiān)控行為的適用，但其仍是效果原則的體現(xiàn)，目的在于在更大的程度和范圍上保護歐盟地區(qū)數(shù)據(jù)主體的個人數(shù)據(jù)權(quán)。

四、對我國個人信息立法的建議

我國在互聯(lián)網(wǎng)產(chǎn)業(yè)快速發(fā)展的同時，也出現(xiàn)了嚴重的個人信息侵權(quán)事件，這些事件的發(fā)生也促使人們對個人信息保護的熱切關(guān)注。雖然我國早已出臺了《全國人大常委會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》和工信部《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》的法律規(guī)范和部門規(guī)章，并且也在征信、證券、保險、銀行等行業(yè)規(guī)范中規(guī)定了企業(yè)和員工的個人信息保密義務(wù)，但這些規(guī)定仍存在碎片化、保護利益不清晰、效力層級低、執(zhí)法部門定位和權(quán)限不明確等問題[21]?？梢哉f，系統(tǒng)性地整理我國當(dāng)前已經(jīng)出臺的相關(guān)規(guī)定并制定個人信息保護法已經(jīng)成為了社會各界的共識。對此，在2016年10月31日召開的十二屆全國人大常委會第二十四次會議中，委員會審議了民法總則草案二審稿并增加了被媒體稱之為“徐玉玉徐玉玉事件基本情況：18歲的山東女孩徐玉玉以高考568分的成績被南京郵電大學(xué)錄取。2016年8月19日，徐玉玉接到詐騙電話，對方聲稱有一筆2 600元助學(xué)金要發(fā)放給她，于是其將9 900元學(xué)費轉(zhuǎn)入了對方賬號。得知被騙后，徐玉玉傷心欲絕，郁結(jié)于心，最終導(dǎo)致心臟驟停，雖經(jīng)醫(yī)院全力搶救，但仍不幸于8月21日離世。（參見：《徐玉玉之死不是一個人的悲劇》，《青島早報》2016年8月25日）條款”的個人信息保護規(guī)定民法總則草案二審稿中，增加的個人信息保護條款為：“自然人的個人信息受法律保護，任何組織和個人不得非法收集、利用、加工、傳輸個人信息，不得非法提供、公開或出售個人信息?！保瑢€人信息權(quán)作為一項基本民事權(quán)利予以保護，從而為我國未來制定個人信息保護法奠定了基礎(chǔ)。

作為世界上最大的信息服務(wù)市場，我國已經(jīng)將大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展提升到國家戰(zhàn)略的高度，國務(wù)院《促進大數(shù)據(jù)發(fā)展行動綱要》以及中共中央辦公廳、國務(wù)院辦公廳《國家信息化發(fā)展戰(zhàn)略綱要》均明確提出要加強信息基礎(chǔ)設(shè)施的建設(shè)以促進社會的信息化轉(zhuǎn)型?？梢灶A(yù)見的是，隨著物聯(lián)網(wǎng)的普及和人工智能的應(yīng)用，個人數(shù)據(jù)將實現(xiàn)在更大范圍內(nèi)的自由流動和更高效的處理利用。因此，我國需要在未來的個人信息保護立法中借鑒世界各國在域外效力規(guī)定上的先進經(jīng)驗，并結(jié)合產(chǎn)業(yè)發(fā)展?fàn)顩r，合理設(shè)定法律的地域適用范圍。endprint

從前文對個人數(shù)據(jù)保護法域外效力的介紹和分析中可以看到，擴大地域適用范圍已經(jīng)成為世界各個國家和地區(qū)的普遍做法[22]。我國至今還未出臺專門的個人信息保護法，現(xiàn)行的法律、法規(guī)、行政規(guī)章、行業(yè)自律規(guī)范等也以規(guī)制國內(nèi)企業(yè)的數(shù)據(jù)處理行為為主，缺乏對域外效力的規(guī)定。而在個人信息保護立法理論研究領(lǐng)域，雖然已有學(xué)者提出了個人信息保護法專家建議稿[23]，但美中不足的是，該建議稿中也未規(guī)定法律的域外效力。

有鑒于此，筆者認為，在我國未來的個人信息保護立法中，為實現(xiàn)對我國領(lǐng)土范圍內(nèi)自然人個人信息的合理保護，應(yīng)當(dāng)在域外效力適用情形上參照歐盟地區(qū)的做法，但在立法技術(shù)上，還應(yīng)當(dāng)將屬地原則作為一項基本規(guī)定單獨列明，輔之以法律的域外效力適用情形，從而形成以屬地原則為主、效果原則為補充的立法格局。因此，筆者建議我國在個人信息保護法地域適用范圍上做如下規(guī)定。

本法適用于以下情形：

1.控制者或處理者在中華人民共和國領(lǐng)域內(nèi)實施的個人信息處理行為。

2.控制者或處理者不在中華人民共和國領(lǐng)域內(nèi)，但利用設(shè)立在中華人民共和國的組織機構(gòu)實施的個人信息處理行為。

3.控制者或處理者不在中華人民共和國領(lǐng)域內(nèi)，但其個人信息處理行為符合以下情形的：

（1）對中華人民共和國領(lǐng)域內(nèi)的信息主體提供商品或服務(wù)；或（2）監(jiān)測數(shù)據(jù)主體在中華人民共和國領(lǐng)域內(nèi)實施的行為。

4.控制者或處理者不在中華人民共和國領(lǐng)域內(nèi)，但其個人信息處理行為因國際公法而適用本法。參考文獻：

[1]齊愛民，王基巖.大數(shù)據(jù)時代個人信息保護法的適用與域外效力[J].社會科學(xué)家，2015（11）：103.

[2]General Data Protection Regulation， Article 99[EB/OL].（20160427）[20160515].http：//eurlex.europa.eu/legalcontent/EN/TXT/PDF/？uri=CELEX：32016R0679&from=EN.

[3]Google Spain v AEPD and Mario Costeja González [EB/OL].（20140513）[20160510]. http：//eurlex.europa.eu/legalcontent/EN/TXT/PDF/？uri=CELEX：62012CJ0131&qid=1461468702602&from=EN.

[4]Data Protection Directive，Recital 19[EB/OL]. （19951024）[20160504]. http：//ec.europa.eu/justice/policies/privacy/docs/9546ce/dir199546_part1_en.pdf.

[5]Data Protection Directive，Article 1[EB/OL].（19951024）[20160504]. http：//ec.europa.eu/justice/policies/privacy/docs/9546ce/dir199546_part1_en.pdf.

[6]Article 29 Data Protection Working Party，Update of Opinion 8/2010 on applicable law in light of the CJEU judgement in Google Spain[EB/OL]. （20151216）[20160510]. http：//ec.europa.eu/justice/dataprotection/article29/documentation/opinionrecommendation/files/2015/wp179_en_update.pdf.

[7]PATRIKIOS A. Getting to know the GDPR，Part 2Outofscope today， in scope in the future. What is caught[EB/OL]. （20151020）[20160810]. http：//privacylawblog.fieldfisher.com/2015/gettingtoknowthegdprpart2outofscopetodayinscopeinthefuturewhatiscaught/.

[8]General Data Protection Regulation， Recital 22[EB/OL]. （20160427）[20160510]. http：//eurlex.europa.eu/legalcontent/EN/TXT/PDF/？uri=CELEX：32016R0679&from=EN.

[9]Weltimmo s.r.o.v.Nemzeti Adatvédelmiés Információsza

badság Hatóság[EB/OL].（20151001）[20160512]. http：//curia.europa.eu/juris/document/document.jsf？text=&docid=168944&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=182564.

[10]General Data Protection Regulation， Recital 23[EB/OL]. （20160427）[20160512]. http：//eurlex.europa.eu/legalcontent/EN/TXT/PDF/？uri=CELEX：32016R0679&from=EN.endprint

[11]General Data Protection Regulation， Recital 24[EB/OL]. （20160427）[20160512]. http：//eurlex.europa.eu/legalcontent/EN/TXT/PDF/？uri=CELEX：32016R0679 &from=EN.

[12]General Data Protection Regulation， Recital 25[EB/OL]. （20160427）[20160512]. http：//eurlex.europa.eu/legalcontent/EN/TXT/PDF/？uri=CELEX：32016R0679&from=EN.

[13]Childrens Online Privacy Protection Rule，§312.1. [EB/OL].[20161012].http：//www.ecfr.gov/cgibin/textidx？SID=4939e77c77a1a1a08c1cbf905fc4b409&node=16%3A1.0.1.3.36&rgn=div5.

[14]周慧蓮.資訊隱私保護爭議之國際化[J].月旦法學(xué)雜志，2004（1）：112132.

[15]Data Protection Directive，Article 4[EB/OL].（19951024）[20160504].http：//ec.europa.eu/justice/policies/privacy/docs/9546ce/dir199546_part1_en.pdf.

[16]Data Protection Act 1998，Article 5[EB/OL]. [20161012].http：//www.legislation.gov.uk/ukpga/1998/29/contents.

[17]Act on Data Processing， Data Files and Individual Liberties，Article 5[EB/OL].[20161012].http：//www.legislationline.org/download/action/download/id/4541/file/Loi_n°_7817_du_6_janvier_1978_data_processing_data_files_indivd_libraries_am_2011_en.pdf.

[18]Federal Data Protection Act，Section 1[EB/OL].[20161012].http：//www.gesetzeiminternet.de/englisch_bdsg/englisch_bdsg.html#p0009.

[19]Personal Data Protection Commission （PDPC）.Advisory Guidelines On Key Concepts In The Personal Data Protection Act，chapter 11[EB/OL].（20160715）[20161012].https：//www.pdpc.gov.sg/docs/defaultsource/advisoryguidelines/advisoryguidelinesonkeyconceptsinthepdpa（15july16）.pdf？sfvrsn=2.

[20]周漢華.對《個人信息保護法》（專家建議稿）若干問題的說明[J].中國科技法學(xué)年刊，2005（1）：325.

[21]張新寶.從隱私到個人信息：利益再衡量的理論與制度安排[J].中國法學(xué)，2015（3）：4445.

[22]王楠.個人信息跨境轉(zhuǎn)移的法律保護——以公司隱私規(guī)則為視角[J].重慶工商大學(xué)學(xué)報（社會科學(xué)版），2016（1）：6874.

[23]齊愛民.中華人民共和國個人信息保護法示范法草案學(xué)者建議稿[J].河北法學(xué)，2005（6）：25.

Study on the Extraterritorial Effect of Personal Information

Protection Law： In the Perspective of General Data Protection

Regulation of EU

ZHANG Jianwen， ZHANG Zhe

（School of Civil and Commercial Law Studies， Southwest University of Political Science and Law， Chongqing 401120， China）

Abstract：In big data era， with the popularity of intelligent devices and maturation of data processing technology，search engine， social network， Ecommerce and other Internet information services are developing rapidly. Information flows and transfers acrossborders in an unprecedented way， which cause the expansion of the extraterritorial effect of the personal data protection law. Compared to the early data protection directive， the territorial scope of the newly adopted General Data Protection Regulation is much broader， and the NonEU companies which provide goods or services for EUs data subject as well as monitoring their behaviors shall be subject to this regulation. Throughout the personal data protection act worldwide， most countries have set extraterritorial effect provisions，extending the extraterritorial effect of law has become the mainstream of the international community. In terms of the development of Chinas information industry and the status of personal information protection regulations，China should learn from the legislative experience of the European Union，and set extraterritorial effect provisions as well as expand the territorial application scope in the personal information protection law in the future to protect the legitimate rights and interests of the data subjects.

Keywords：personal data protection law； extraterritorial effect； General Data Protection Regulation； territorial principle； effects principle； personal information protection law

（編輯：劉仲秋）endprint