俞勝杰

(華東政法大學(xué)，上海 200042)

2018年5月25日開始生效的《通用數(shù)據(jù)保護(hù)條例》(1)《通用數(shù)據(jù)保護(hù)條例》的英文表述為General data Protection Regulation(簡稱GDPR)，英文全稱為Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)。原文參見歐盟委員會官方網(wǎng)站：https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=152887467229 8&uri=CELEX%3A32016R067，最后訪問時間：2019年7月5日13時15分。(以下簡稱《條例》)是在數(shù)字經(jīng)濟(jì)重塑人類生活的大背景下歐盟數(shù)據(jù)治理改革的重要立法成果(2)吳沈括.歐盟《一般數(shù)據(jù)保護(hù)條例》與中國應(yīng)對[J].信息安全與通信保密,2018,(1):13-16.，也是迄今為止全球范圍內(nèi)最具影響力的個人數(shù)據(jù)保護(hù)立法之一。

為了對歐盟公民的個人數(shù)據(jù)予以有效保護(hù)，推動數(shù)據(jù)保護(hù)法律框架的現(xiàn)代化，更好地實(shí)現(xiàn)建立歐盟數(shù)字單一市場的目標(biāo)，《條例》超越了歐盟成員國個別立法的傳統(tǒng)模式，有效地消除成員國國內(nèi)法上的差異，建立起一套統(tǒng)一的個人數(shù)據(jù)權(quán)利體系、保護(hù)標(biāo)準(zhǔn)、執(zhí)法流程和監(jiān)管路徑。《條例》強(qiáng)調(diào)行政監(jiān)管在歐盟個人數(shù)據(jù)保護(hù)中的特殊功能，從而具有濃厚的公法色彩。

一、《條例》主張域外管轄的理論依據(jù)

在國際法視閾下，《條例》第3條(地域范圍)通過確立“經(jīng)營場所標(biāo)準(zhǔn)”(establishment criterion)和“目標(biāo)指向標(biāo)準(zhǔn)”(targeting criterion)，設(shè)定了寬泛的地域管轄范圍(該條款的中文翻譯版本見下文表1)。根據(jù)該法第3(1)條確立的“經(jīng)營場所標(biāo)準(zhǔn)”，只要個人數(shù)據(jù)控制者或者處理者在歐盟境內(nèi)設(shè)立了經(jīng)營場所，無論在此場景下產(chǎn)生的數(shù)據(jù)處理行為是否發(fā)生在歐盟境內(nèi)，該法均有管轄權(quán)。此外，《條例》第3(2)條確立了“目標(biāo)指向標(biāo)準(zhǔn)”，進(jìn)一步將《條例》的適用范圍延伸至歐盟境外企業(yè)直接收集、處理或者監(jiān)控歐盟境內(nèi)數(shù)據(jù)主體個人數(shù)據(jù)的行為。該條款體現(xiàn)出積極擴(kuò)張個人數(shù)據(jù)保護(hù)域外管轄權(quán)的立法意圖，這一立法動向值得高度關(guān)注。

(一)國內(nèi)公法域外管轄的理論依據(jù)

國內(nèi)公法的域外管轄現(xiàn)象并不少見，國際法并非絕對禁止一國立法的域外效力。國際法決定了國家可以采取各種形式的管轄權(quán)的可允許限度，而國內(nèi)法規(guī)定國家在事實(shí)上行使它的管轄權(quán)的范圍和方式(3)[英]詹寧斯,瓦茨修訂.奧本海國際法(第1卷第1分冊)[M].王鐵崖等譯.北京:中國大百科全書出版社,1995.327.。國際常設(shè)法院在1927年的“荷花號案”判決中對有關(guān)管轄權(quán)所作的權(quán)威論斷不斷為學(xué)術(shù)界所引述、為司法界所援引。關(guān)于國際法是否存在某項(xiàng)規(guī)則禁止本國對外國人在國外實(shí)施的犯罪行為行使管轄權(quán)的問題，國際常設(shè)法院認(rèn)為不存在這樣的規(guī)則：“國際法不但沒有禁止國家把它的法律和法院的管轄權(quán)擴(kuò)大適用于它境外的人、財產(chǎn)和行為，還在這方面給國家留下寬闊的選擇余地。這種選擇權(quán)力只在某些場合受到一些限制性規(guī)則的限制，但在其他場合，每個國家在采用它認(rèn)為最好和最合適的原則方面是完全自由的。”(4)陳志中.國際法案例[M].北京:法律出版社,1998,41-42.根據(jù)“荷花號”案的裁判主旨可概而言之：對于一國而言，國際法對規(guī)則無明確禁止即可立法。由此，世界各國在國際法允許的情形下，出于自身實(shí)現(xiàn)法律規(guī)制目的的考慮，在不同程度上開展國內(nèi)公法域外管轄的國家實(shí)踐，曾經(jīng)先后出現(xiàn)過刑法、反壟斷法和證券法等部門法主張域外管轄的情況。

由于各國對域外管轄制度的理解和認(rèn)識存在分歧，目前對“域外管轄”的概念界定尚未形成共識。聯(lián)合國國際法委員會曾經(jīng)在2006年對域外管轄的含義進(jìn)行界定：“國家主張域外管轄權(quán)是在沒有國際法有關(guān)規(guī)則的情況下試圖以本國的立法、司法或執(zhí)行措施管轄在境外影響其利益的人、財產(chǎn)或行為?！?5)參見聯(lián)合國國際法委員會于2006年提交的A/61/10號報告中附件E有關(guān)“域外管轄權(quán)”的研究結(jié)論。國際法上的管轄權(quán)種類主要包括屬地管轄權(quán)、屬人管轄權(quán)、保護(hù)性管轄權(quán)和普遍性管轄權(quán)。域外管轄并不是一類獨(dú)立的管轄權(quán)，而是主權(quán)國家在實(shí)踐中發(fā)展出來的行使管轄權(quán)的一種具體方式(6)廖詩評.國內(nèi)法域外適用及其應(yīng)對——以美國法域外適用措施為例[J].比較法研究,2019,(3):166-178.。

(二)《條例》第3條中的域外管轄類型

《條例》第3(1)條規(guī)定了“經(jīng)營場所標(biāo)準(zhǔn)”：在歐盟境內(nèi)設(shè)有經(jīng)營場所的數(shù)據(jù)控制者或數(shù)據(jù)處理者，只要數(shù)據(jù)處理行為發(fā)生在此經(jīng)營場所開展活動的場景中，即使實(shí)際的數(shù)據(jù)處理活動不在歐盟境內(nèi)發(fā)生，該數(shù)據(jù)處理活動也要受本法管轄?！敖?jīng)營場所標(biāo)準(zhǔn)”具有域內(nèi)管轄和域外管轄的雙重面向，通過對“數(shù)據(jù)處理行為發(fā)生在此經(jīng)營場所開展活動的場景中”進(jìn)行擴(kuò)張解釋，從而實(shí)現(xiàn)將境外企業(yè)納入管轄范圍的規(guī)制目的。這種解釋方法實(shí)現(xiàn)了“屬地管轄權(quán)”的技術(shù)性擴(kuò)張。

該條的第3(2)條規(guī)定了“目標(biāo)指向標(biāo)準(zhǔn)”：本法適用于對歐盟境內(nèi)的數(shù)據(jù)主體個人數(shù)據(jù)的處理行為，該行為由在歐盟境內(nèi)沒有設(shè)立經(jīng)營場所的數(shù)據(jù)控制者或處理者實(shí)施；發(fā)生在向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)的過程中，無論此項(xiàng)商品或服務(wù)是否需要數(shù)據(jù)主體支付對價；或者對數(shù)據(jù)主體發(fā)生在歐盟內(nèi)的行為進(jìn)行監(jiān)控?！澳繕?biāo)指向標(biāo)準(zhǔn)”表明，即使某些數(shù)據(jù)控制者或處理者在歐盟境內(nèi)沒有建立經(jīng)營場所，只要該數(shù)據(jù)處理行為對歐盟境內(nèi)的數(shù)據(jù)主體產(chǎn)生了實(shí)際上的“效果”或“影響”，《條例》仍然有可能對其數(shù)據(jù)處理行為進(jìn)行管轄?！稐l例》以效果原則為正當(dāng)性基礎(chǔ)主張該法的全球性管轄。效果原則是美國法院在反托拉斯案的裁判中發(fā)展起來的管轄原則，即國家對外國人在外國所做的，對本國商業(yè)產(chǎn)生影響的行為享有管轄權(quán)。因?yàn)檫@一原則針對的是外國人而被認(rèn)為是屬地管轄原則的延伸，又由于它的目的是保護(hù)國家的重大利益而與保護(hù)性管轄相似(7)王虎華.國際公法學(xué)[M].北京:北京大學(xué)出版社,2015.85.。將效果原則作為個人數(shù)據(jù)保護(hù)立法的理論依據(jù)，其合理性引起了學(xué)界質(zhì)疑。有學(xué)者認(rèn)為，效果原則作為網(wǎng)絡(luò)空間的管轄權(quán)依據(jù)過于虛無縹緲，由于經(jīng)濟(jì)全球化和網(wǎng)絡(luò)全球互聯(lián)，所有國家對網(wǎng)絡(luò)行為都存在或多或少的聯(lián)系，各國如果按照這一原則進(jìn)行立法，管轄權(quán)沖突將非常頻繁(8)Lilian Mitrou.The General Data Protection Regulation: A Law for the Digital Age? Tatiana-Eleni Synodinou, Philippe Jougleux, Christiana Markou, Thalia Prastitou(eds). EU Internet Law: Regulation and Enforcement. Springer,2017.p32.。數(shù)據(jù)保護(hù)領(lǐng)域的管轄權(quán)立法還呈現(xiàn)出一個悖論：國際法給各國在數(shù)據(jù)保護(hù)領(lǐng)域的立法留有余地，在不違反國際法的情況下各國立法管轄權(quán)不受限制，但是一旦各國擴(kuò)張管轄范圍，將引起國際法層面的管轄權(quán)沖突問題。盡管備受指責(zé)，但從合法性角度來說，《條例》在立法上主張積極的域外管轄并不違反國際法。由于第3條的規(guī)定過于原則和抽象，缺乏法律的確定性和可預(yù)見性，有關(guān)《條例》域外管轄權(quán)的合理性問題，需要在厘清域外管轄的合理邊界之后再加以判斷。

(三)《條例》中域外管轄問題的研究價值

從企業(yè)合規(guī)角度來看，《條例》積極主張域外管轄，企圖將發(fā)生在境外的數(shù)據(jù)處理行為納入管轄范圍，這一立法舉措增加了歐盟境外的企業(yè)(包括中國企業(yè)在內(nèi))開展“涉歐”個人數(shù)據(jù)處理業(yè)務(wù)的合規(guī)風(fēng)險。企業(yè)擔(dān)心一旦違反《條例》，可能面臨高額罰款(9)根據(jù)《條例》第83條有關(guān)處以行政罰款的一般條件的規(guī)定，情節(jié)最重者可被罰款2千萬歐元或全球營業(yè)額4%(以金額較高者為準(zhǔn))。。隨著中歐經(jīng)貿(mào)往來日益頻繁，中國企業(yè)同樣高度關(guān)注該法的地域管轄范圍問題。

此外，從立法層面來看，目前我國正在研究制定《個人信息保護(hù)法》(10)2018年9月7日，《十三屆全國人大常委會立法規(guī)劃》公布，其中第一類項(xiàng)目為條件比較成熟、十三屆全國人大常委會任期內(nèi)擬提請審議的法律草案(共69件)，《個人信息保護(hù)法》被列入第一類項(xiàng)目之中。，是否應(yīng)當(dāng)在新法中納入域外管轄條款成為我國個人信息保護(hù)立法過程中的關(guān)鍵問題。歐盟的立法動向提供了有益的域外經(jīng)驗(yàn)，為立法者的科學(xué)決策提供參考。

因此，無論是從中國企業(yè)如何有效應(yīng)對域外立法，還是從中國相關(guān)立法如何借鑒域外經(jīng)驗(yàn)的角度出發(fā)，以域外管轄為視角，對《條例》第3條(地域范圍)進(jìn)行評注殊為必要。目前，國內(nèi)的國際法學(xué)者對《條例》的研究熱情主要集中在個人數(shù)據(jù)跨境流動議題，有關(guān)《條例》的地域范圍和域外管轄方面的研究成果相對較少(11)目前已有許多有關(guān)個人數(shù)據(jù)跨境流動問題的研究成果在CSSCI核心期刊中發(fā)表，例如(按照發(fā)表時間排序)：1.吳沈括.數(shù)據(jù)跨境流動與數(shù)據(jù)主權(quán)研究[J].新疆師范大學(xué)學(xué)報(哲學(xué)社會科學(xué)版),2016,(5):112-119. 2.陳詠梅，張姣.跨境數(shù)據(jù)流動國際規(guī)制新發(fā)展：困境與前路[J].上海對外經(jīng)貿(mào)大學(xué)學(xué)報,2017,(6):37-52. 3.黃寧、李楊.“三難選擇”下跨境數(shù)據(jù)流動規(guī)制的演進(jìn)與成因[J].清華大學(xué)學(xué)報(哲學(xué)社會科學(xué)版),2017,(5):172-182. 4.胡煒.跨境數(shù)據(jù)流動的國際法挑戰(zhàn)及中國應(yīng)對[J].社會科學(xué)家,2017,(11):107-112. 5.張舵.略論個人數(shù)據(jù)跨境流動的法律標(biāo)準(zhǔn)[J].中國政法大學(xué)學(xué)報,2018,(3):98-109. 6.許多奇.個人數(shù)據(jù)跨境流動規(guī)制的國際格局及中國應(yīng)對[J].法學(xué)論壇,2018,(3):130-137；7.石靜霞,張舵.跨境數(shù)據(jù)流動規(guī)制的國家安全問題[J].廣西社會科學(xué),2018,(8):128-133. 8.茶洪旺,付偉,鄭婷婷.數(shù)據(jù)跨境流動政策的國際比較與反思[J].電子政務(wù),2019,(5):123-129. 相比之下，國內(nèi)研究成果中鮮有從國際法角度對個人數(shù)據(jù)保護(hù)立法的域外管轄問題進(jìn)行系統(tǒng)梳理和論證的。齊愛民，王基巖在《社會科學(xué)家》2015年第11期上合作發(fā)表的論文《大數(shù)據(jù)時代個人信息保護(hù)法的適用與域外效力》雖然提及了數(shù)據(jù)保護(hù)立法的域外效力問題，但是由于當(dāng)時GDPR尚未通過立法程序，因此也未有對第3條地域管轄范圍的討論。金晶在《歐洲研究》2018年第4期上發(fā)表的論文《歐盟〈一般數(shù)據(jù)保護(hù)條例〉:演進(jìn)、要點(diǎn)與疑義》對GDPR的重要條款進(jìn)行了全景式地剖析，其中亦論及地域管轄的擴(kuò)張性問題，但并未展開大篇幅的論證。張建文、張哲在《重慶郵電大學(xué)學(xué)報(社會科學(xué)版)》2017年第2期合作發(fā)表的論文《個人信息保護(hù)法域外效力研究——以歐盟〈一般數(shù)據(jù)保護(hù)條例〉為視角》結(jié)合Google Spain案對個人數(shù)據(jù)保護(hù)法的域外效力進(jìn)行了討論，但未對GDPR的域外管轄權(quán)邊界問題進(jìn)行研究。。

在評注條款的過程中，從國際法角度反思個人數(shù)據(jù)保護(hù)立法主張域外管轄的正當(dāng)性基礎(chǔ)。通過司法判例和立法背景文件來研究《條例》與1995年《歐盟個人數(shù)據(jù)保護(hù)指令》(12)該文件中文全稱為《關(guān)于涉及個人數(shù)據(jù)處理的個人保護(hù)以及此類數(shù)據(jù)自由流動的指令》，英文全稱為Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data；原文參見網(wǎng)址：https://eurlex.europa.eu/ LexUriServ/LexUriServ.do?uri=CELEX: 31995L 0046:en:HTML，最后訪問時間：2019年7月15日20時07分。(以下簡稱《95指令》)之間的內(nèi)部繼承關(guān)系。從立法意圖和實(shí)施效果兩個方面以檢視地域管轄范圍與數(shù)據(jù)跨境流動規(guī)則之間的區(qū)別。通過梳理歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)發(fā)布的相關(guān)文件，從法律穩(wěn)定性和靈活性的角度，梳理《條例》域外管轄權(quán)的邊界，思考《條例》對中國的影響與啟示。

二、地域范圍條款的立法沿革：從《95指令》到《條例》

根據(jù)《條例》鑒于條款(Recital Clause)的第171段，《條例》一經(jīng)生效，《95指令》同時廢止。《95指令》第4條(應(yīng)適用的國內(nèi)法)為《條例》第3條(地域范圍)所取代。對地域范圍條款的立法沿革進(jìn)行梳理，有助于厘清前后兩部法律相關(guān)條文的流變關(guān)系，并進(jìn)一步思考管轄權(quán)擴(kuò)張的立法動因。

(一)傳承與突破：基于地域范圍條款的條文結(jié)構(gòu)分析

《95指令》第4(1)條系該法的地域范圍條款。從條文結(jié)構(gòu)和立法功能來看，該條款具有地域范圍和沖突規(guī)范的雙重作用。

一方面，該條款根據(jù)“經(jīng)營場所是否在歐盟境內(nèi)”作為分類標(biāo)準(zhǔn)，明確了何種個人數(shù)據(jù)的處理行為將落入《95指令》的地域管轄范圍(參見表1)。該條包含了是否應(yīng)當(dāng)適用歐盟成員國法的兩項(xiàng)衡量標(biāo)準(zhǔn)：其一，根據(jù)數(shù)據(jù)控制者“經(jīng)營場所”的具體位置確定歐盟是否對此擁有管轄權(quán)，即“經(jīng)營場所標(biāo)準(zhǔn)”(表1中《95指令》第4(1)a條)；其二，以數(shù)據(jù)處理為目的而使用的“設(shè)備”(equipment)的具體位置確定歐盟對此是否擁有管轄權(quán)，即“設(shè)備使用標(biāo)準(zhǔn)”(表1中《95指令》第4(1)c條)。另一方面，由于《95指令》不同于是條例(Regulation)性質(zhì)的歐盟法律，它并不為個人創(chuàng)設(shè)權(quán)利和義務(wù)，一般而言，指令的調(diào)整對象往往是成員國(13)邵景春.歐洲聯(lián)盟的法律與制度[M].北京:人民法院出版社,1999.60.。因此，第4條在很大程度上同時發(fā)揮了沖突規(guī)范的功能，主要用于緩解和消弭個人數(shù)據(jù)保護(hù)層面各國法律沖突(14)杜濤.國際私法國際前沿年度報告(2015—2016)[J].國際法研究,2017,(2):89-128.，在明確具體行為將會落入《95指令》的地域管轄范圍之后，進(jìn)一步解決究竟適用哪一成員國的個人數(shù)據(jù)保護(hù)實(shí)體性規(guī)則的準(zhǔn)據(jù)法問題。

表1 《95指令》與《條例》有關(guān)地域范圍規(guī)定的條文對照

通過對比表1中兩部法律地域范圍條款的條文結(jié)構(gòu)可知：《條例》第3(1)條與《95指令》第4(1)a條一脈相承，呈現(xiàn)出明顯的內(nèi)部繼承關(guān)系，均為“經(jīng)營場所標(biāo)準(zhǔn)”，但是《條例》第3(1)條中存在“無論其處理行為是否發(fā)生在歐盟境內(nèi)”這一明顯具有域外管轄傾向的表達(dá)，而原來的《95指令》未指明這一點(diǎn)。如果將先有之條文稱為1.0版“經(jīng)營場所標(biāo)準(zhǔn)”，則后有之條文可稱為2.0版“經(jīng)營場所標(biāo)準(zhǔn)”。《條例》第3(3)條與《95指令》第4(1)b條基本含義相同。《95指令》第4(1)c條的“設(shè)備使用標(biāo)準(zhǔn)”已經(jīng)被《條例》第3(2)條的“目標(biāo)指向標(biāo)準(zhǔn)”所取代，但是，上述兩個條文均明確表達(dá)了域外管轄的立法意圖，試圖將經(jīng)營場所不在歐盟境內(nèi)但實(shí)施了特定數(shù)據(jù)處理行為的數(shù)據(jù)控制者(或者數(shù)據(jù)處理者)納入管轄范圍。申言之，《95指令》和《條例》有關(guān)地域范圍的規(guī)定有著“將域內(nèi)管轄和域外管轄雜糅于同一條文之中”的共同特點(diǎn)，這增加了剝離出“域外管轄”有關(guān)情形的難度，因?yàn)橹挥性诰唧w案件中才會面臨涉案的歐盟境外企業(yè)是否將受到該法域外管轄的問題(在下文具體討論)。

研究條款的立法沿革不能簡單、機(jī)械地觀察相關(guān)條款之表面變化，筆者認(rèn)為：從《95指令》第4條到《條例》第3條的立法轉(zhuǎn)變，既體現(xiàn)出對上世紀(jì)90年代互聯(lián)網(wǎng)萌發(fā)期的立法管轄模式的“傳承”，也折射出在大數(shù)據(jù)、云計算等信息技術(shù)飛速發(fā)展的時代背景下個人數(shù)據(jù)保護(hù)立法管轄思路的“突破”。這些變化的內(nèi)在機(jī)理值得深究：第一，《條例》第3(1)條的“經(jīng)營場所標(biāo)準(zhǔn)”為何會在《95指令》的基礎(chǔ)之上呈現(xiàn)出明確的域外管轄立場？第二，信息技術(shù)對歐盟有效管轄來自歐盟的個人數(shù)據(jù)帶來了哪些障礙，從而催生出“目標(biāo)指向標(biāo)準(zhǔn)”這一積極主張域外管轄的重大立法“突破”？有必要將歐盟法院和有權(quán)解釋機(jī)關(guān)(第29條工作組)對《95指令》第4條的釋明活動予以回顧，對歐盟法的有權(quán)解釋活動內(nèi)蘊(yùn)著歐盟個人數(shù)據(jù)保護(hù)如何逐步確立“域外管轄”主張的立法沿革。

(二) 歐盟法院和第29條工作組(15)根據(jù)《95指令》第29條的有關(guān)規(guī)定，歐盟成立的一個“在個人數(shù)據(jù)處理中保護(hù)個人的工作組”，一般稱之為“第29條工作組”。該工作組是一個獨(dú)立的咨詢機(jī)構(gòu)，有成員國數(shù)據(jù)保護(hù)機(jī)構(gòu)的代表組成。該工作組在歐盟數(shù)據(jù)保護(hù)法中發(fā)揮重要作用，它發(fā)布的解釋性文件具有巨大影響力?！锻ㄓ脭?shù)據(jù)保護(hù)條例》生效后，原先根據(jù)《95指令》第29條建立的個人數(shù)據(jù)保護(hù)工作組被新機(jī)構(gòu)歐洲數(shù)據(jù)保護(hù)委員會(European Data Protection Board，簡稱EDPB)所取代。對“經(jīng)營場所標(biāo)準(zhǔn)”的技術(shù)性解釋

《95指令》第4(1)a條要求“數(shù)據(jù)處理行為發(fā)生在數(shù)據(jù)控制者經(jīng)營場所開展活動的場景中，而該控制者的經(jīng)營場所位于該成員國領(lǐng)域內(nèi)”，《條例》第3(1)條規(guī)定“在歐盟境內(nèi)設(shè)有經(jīng)營場所的數(shù)據(jù)控制者或數(shù)據(jù)處理者，只要數(shù)據(jù)處理行為發(fā)生在此經(jīng)營場所開展活動的場景中，即使實(shí)際的數(shù)據(jù)處理活動不在歐盟境內(nèi)發(fā)生，該數(shù)據(jù)處理活動也要受本法管轄”。前后兩款規(guī)定均要求經(jīng)營場所應(yīng)當(dāng)設(shè)立在歐盟境內(nèi)，對數(shù)據(jù)處理行為也有“在此經(jīng)營場所開展活動的場景中發(fā)生”(in the context of activities of an establishment)的特殊要求，從中可以看出兩個條款的“內(nèi)部繼承關(guān)系”。如何理解“經(jīng)營場所”以及“在此經(jīng)營場所開展活動的場景中發(fā)生”的含義？此外，該條如何能對歐盟境外企業(yè)產(chǎn)生域外管轄的效力？在《95指令》頒布實(shí)施的二十多年中，歐盟法院和第29條工作組分別通過判決(Decision)(16)歐盟法院先后通過Google Spain案(案號：Case C-131/12)和Weltimmo案(Case C-230/14)對《95指令》第4(1)a條的“經(jīng)營場所”判斷問題予以回應(yīng)。值得指出的是，Google Spain案系歐盟個人數(shù)據(jù)保護(hù)領(lǐng)域最為經(jīng)典的司法案例之一，該案因?yàn)榇_立了個人數(shù)據(jù)“被遺忘權(quán)”(Right to be Forgotten)而聲名大噪?；蛞庖?Opinion)(17)第29條工作組對準(zhǔn)據(jù)法問題進(jìn)行過專門研究，先后出臺了兩份意見性文件。第一份為Opinion 8/2010 on applicable law，該文件于2010年12月16日；后一份為Update of Opinion 8/2010 on applicable law in light of the CJEU judgement in Google Spain，該文件于2015年12月16日發(fā)布。的方式，對上述問題予以回應(yīng)。

《95指令》鑒于條款第19段界定了“經(jīng)營場所”的基本含義：“鑒于在成員國境內(nèi)設(shè)立機(jī)構(gòu)意味著它可以通過穩(wěn)定的安排開展真實(shí)而有效的活動；鑒于此類機(jī)構(gòu)的法律形式(無論是簡單的分支機(jī)構(gòu)還是具有法人資格的子公司)并不是在這方面的決定性因素?！?010年12月16日，第29條工作組發(fā)布意見性文件Opinion 8/2010 on applicable law。該文件提出，識別“經(jīng)營場所”的關(guān)鍵在于判斷涉案的數(shù)據(jù)控制者實(shí)施了有效而真實(shí)的活動，“開展活動的場景”說明處理案件的準(zhǔn)據(jù)法不是數(shù)據(jù)控制者所在地的法律，而應(yīng)當(dāng)是經(jīng)營場所開展與個人數(shù)據(jù)處理活動有關(guān)的地點(diǎn)的法律。但是，對“穩(wěn)定的安排”(stable arrangement)、“真實(shí)而有效的活動”(the effective and real exercise of activity)等詞匯的含義亦有待釋明。例如，歐盟境外企業(yè)(數(shù)據(jù)控制者)在歐盟境內(nèi)設(shè)立了經(jīng)營場所，何種安排可謂“穩(wěn)定”？哪種活動可謂“真實(shí)而有效”？此外，“數(shù)據(jù)處理行為”在何種程度上可以視為發(fā)生在“經(jīng)營場所開展的場景中”？如何進(jìn)行具有說服力的說理(reasoning)將境外企業(yè)的數(shù)據(jù)處理行為歸入《95指令》的管轄范圍之中從而實(shí)現(xiàn)該法的域外管轄效力？

歐盟法院通過Google Spain案對該法的域外效力問題予以澄清。該案與域外效力問題有關(guān)的案情如下(18)由于文章篇幅有限，Google Spain案的基本案情不再展開。詳細(xì)案情可以參見楊開湘.“被遺忘權(quán)”的司法確立——重探谷歌數(shù)據(jù)隱私案[J].經(jīng)濟(jì)法論叢,2018,(1):359-386.：Google西班牙公司是Google美國總部在西班牙設(shè)立的商業(yè)代表，幫助Google推廣和銷售在線廣告位置以獲取商業(yè)利潤，Google搜索引擎由Google美國總部運(yùn)營和管理，Google西班牙公司不參與相關(guān)數(shù)據(jù)處理活動(將第三方網(wǎng)站上的信息或數(shù)據(jù)編入索引或?qū)χ苯雨P(guān)聯(lián)活動進(jìn)行存儲的數(shù)據(jù)處理活動)。歐盟法院查明事實(shí)：Google西班牙公司符合“通過穩(wěn)定的安排開展真實(shí)而有效的活動”，系《95指令》中所指的“經(jīng)營場所”，數(shù)據(jù)處理行為是在Google美國總部發(fā)生的(在歐盟境外)，Google西班牙公司不參與相關(guān)數(shù)據(jù)處理活動。Google公司抗辯稱，爭議的個人數(shù)據(jù)處理行為并未發(fā)生在數(shù)據(jù)控制者經(jīng)營場所開展活動的場景中，兩項(xiàng)業(yè)務(wù)是相互獨(dú)立的。

歐盟法院認(rèn)為：不應(yīng)當(dāng)僅對《95指令》鑒于條款第18-20段以及正式條文第4條進(jìn)行限制性解釋，應(yīng)當(dāng)從該法的制定目的加以理解，歐盟立法機(jī)構(gòu)希望通過設(shè)定一個較為寬泛的地域范圍以防止指令的立法目的無法實(shí)現(xiàn)，同時杜絕出現(xiàn)規(guī)避法律的行為。歐盟法院進(jìn)一步指出，Google美國總部在歐盟設(shè)立經(jīng)營場所是為了在歐盟成員國境內(nèi)推廣和銷售使搜索引擎產(chǎn)生營利的廣告位，搜索引擎業(yè)務(wù)是在經(jīng)營場所開展活動(幫助Google推廣和銷售在線廣告位置)的場景下進(jìn)行的，二者存在著“無法割裂的聯(lián)系”(inextricable link)。由于搜索引擎服務(wù)和廣告位出現(xiàn)在同一個頁面內(nèi)，故可以認(rèn)定符合《95指令》有關(guān)“數(shù)據(jù)處理行為發(fā)生在數(shù)據(jù)控制者經(jīng)營場所開展活動的場景中”的要求。

該案判決結(jié)果一經(jīng)公布，引發(fā)了全球廣泛關(guān)注。第29條工作組于2015年12月16日發(fā)布了意見性文件Update of Opinion 8/2010 on applicable law in light of the CJEU judgement in Google Spain，對《95指令》第4(1)a條中的“開展活動的場景下”進(jìn)行了詳細(xì)解釋，并對Google Spain案中提出的有關(guān)經(jīng)營場所與數(shù)據(jù)處理行為之間“無法割裂的聯(lián)系”的認(rèn)定標(biāo)準(zhǔn)問題予以明確。第29條工作組進(jìn)一步認(rèn)為：只要“免費(fèi)網(wǎng)絡(luò)服務(wù)+廣告”的商業(yè)模式促成了財務(wù)增長便可以認(rèn)定為滿足了“無法割裂的聯(lián)系”的認(rèn)定標(biāo)準(zhǔn)，此外，非歐盟企業(yè)以換取會員費(fèi)、訂閱數(shù)量或利用并開發(fā)用戶數(shù)據(jù)營利為目的，甚至是以捐贈為目的，在歐盟境內(nèi)提供免費(fèi)網(wǎng)絡(luò)服務(wù)，也可以認(rèn)為存在“無法割裂的聯(lián)系”。

通過上述文件可以得知：在Google Spain案以后，數(shù)據(jù)處理行為并不一定必須由經(jīng)營場所親自實(shí)施，只要綜合考慮具體場景，該數(shù)據(jù)處理行為是在經(jīng)營機(jī)構(gòu)的“活動背景下”實(shí)施的，便符合《95指令》第4(1)a條的適用要求，就可以啟動具體的準(zhǔn)據(jù)法對個人數(shù)據(jù)處理行為予以監(jiān)管。

此外，歐盟法院通過Weltimmo案對“經(jīng)營場所”的判斷標(biāo)準(zhǔn)問題予以了明確，該案的佐審官Pedro Cruz Villalón認(rèn)為應(yīng)當(dāng)采用“兩步分析法”：第一步為判斷數(shù)據(jù)控制者在歐盟成員國境內(nèi)是否建立了某個“經(jīng)營場所”；第二步為某項(xiàng)特殊的數(shù)據(jù)處理行為是否是在這一經(jīng)營場所開展活動的場景中發(fā)生的(19)參見Case C-230/14的佐審官意見第26段(該佐審官意見于2015年6月25日發(fā)布)。。該案判決書將“經(jīng)營場所”的概念延伸至通過穩(wěn)定的安排進(jìn)行的任何真正而有效的活動，甚至是最小體量的活動。為了確定歐盟以外的實(shí)體在各成員國內(nèi)是否有經(jīng)營場所，必須基于活動和提供服務(wù)的特定性質(zhì)來判斷安排的穩(wěn)定性程度和在該成員國從事活動的有效性(尤其是對于那些通過互聯(lián)網(wǎng)提供服務(wù)的企業(yè))，當(dāng)數(shù)據(jù)控制者的核心活動涉及在線提供服務(wù)時，“穩(wěn)定的安排”的認(rèn)定標(biāo)準(zhǔn)實(shí)際上非常低。因此，在某些情形下，如果雇員和代理人的行為非常穩(wěn)定，非歐盟實(shí)體的單一雇員或代理人也能夠構(gòu)成一項(xiàng)“穩(wěn)定的安排”(20)Case C-230/14，判決書第29-31段。。

歐盟法院和第29條工作組對《95指令》有關(guān)“經(jīng)營場所標(biāo)準(zhǔn)”的技術(shù)性解釋實(shí)現(xiàn)了從“紙面上的法”(law in book)到“現(xiàn)實(shí)中的法”(law in action)的功能性轉(zhuǎn)變，最終被《條例》充分“吸收”(21)《條例》的鑒于條款第22段有關(guān)“經(jīng)營場所”的闡述與《95指令》鑒于條款第19段的措辭相同。。從《條例》第3(1)條中“無論其處理行為是否發(fā)生在歐盟境內(nèi)”的表述可以窺見歐盟法院和第29條工作組對“經(jīng)營場所標(biāo)準(zhǔn)”技術(shù)性解釋的“影子”。申言之，數(shù)據(jù)處理行為發(fā)生的地點(diǎn)并不重要，重點(diǎn)在于如何精準(zhǔn)把握“數(shù)據(jù)處理行為發(fā)生在此經(jīng)營場所開展活動的場景中”。不僅開展數(shù)據(jù)處理行為的數(shù)據(jù)控制者可能是歐盟境外企業(yè)，經(jīng)營場所開展活動的場景同樣可能發(fā)生在歐盟境外，二者只要符合“無法割裂的聯(lián)系”的認(rèn)定標(biāo)準(zhǔn)，便可據(jù)此實(shí)施域外管轄權(quán)，將境外企業(yè)或者發(fā)生在境外的行為納入《條例》的地域管轄范圍。由此，原本具有“屬地主義”色彩的“經(jīng)營場所標(biāo)準(zhǔn)”便具有明顯的域外管轄傾向，而“無法割裂的聯(lián)系”的認(rèn)定標(biāo)準(zhǔn)成為了實(shí)現(xiàn)域外管轄的“利器”。

(三) 技術(shù)改變法律：從“設(shè)備使用標(biāo)準(zhǔn)”到“目標(biāo)指向標(biāo)準(zhǔn)”

如果《95指令》的地域范圍條款僅為“經(jīng)營場所標(biāo)準(zhǔn)”，《95指令》的管轄范圍便大大受限。為了解決對在歐盟境內(nèi)沒有經(jīng)營場所的情況下進(jìn)行的數(shù)據(jù)處理行為行使域外管轄的問題，歐盟立法機(jī)關(guān)在《95指令》中楔入了第4(1)b條，將“數(shù)據(jù)控制者經(jīng)營場所不在該成員國境內(nèi)，但其所在地根據(jù)國際公法的規(guī)定應(yīng)適用該國法律”的情形納入地域管轄范圍。第29條工作組在意見性文件Opinion 8/2010 on applicable law指出該條主要適用于國際公法下諸如飛機(jī)和船舶等“擬制領(lǐng)域”，以及歐盟成員國在海外的大使館或領(lǐng)事館，歐盟法對上述地方均享有國際公法意義上的管轄權(quán)(22)參見該意見性文件的第18頁。雖然這一意見對歐盟法院或相關(guān)成員國法院的司法裁判沒有法律拘束力，但是該意見以其較強(qiáng)的權(quán)威性和說服力構(gòu)成對《95指令》的權(quán)威解釋。。《條例》第3(3)條對上述條文予以吸收，并在鑒于條款第25段中明確指出“成員國法律依據(jù)國際公法適用的情況。本法也適用于歐盟之外的控制者，例如成員國的使館或領(lǐng)事館”，這一表述與第29條工作組相關(guān)意見性文件中的措辭一致。

與《95指令》第4(1)b條具有類似功能，《95指令》第4(1)c條的“設(shè)備使用標(biāo)準(zhǔn)”對“經(jīng)營場所標(biāo)準(zhǔn)”進(jìn)行了有效補(bǔ)充，將“使用成員國境內(nèi)的設(shè)備”作為域外管轄的連接點(diǎn)，擴(kuò)張了《95指令》的域外效力，企圖能夠?qū)υ跉W盟境內(nèi)沒有經(jīng)營場所而在境外發(fā)生的個人數(shù)據(jù)處理行為進(jìn)行有效管轄?！?5指令》鑒于條款第20段指出：在第三國設(shè)立的機(jī)構(gòu)實(shí)施的數(shù)據(jù)處理行為不能妨礙本指令對個人之保護(hù)；在這些情況下，數(shù)據(jù)處理應(yīng)當(dāng)由使用方法(means)所在地的成員國法律來規(guī)制，并且應(yīng)當(dāng)有保證措施以確保本指令所規(guī)定的權(quán)利和義務(wù)在實(shí)踐中得到遵循?！?5指令》第4(1)c條使用的術(shù)語為“設(shè)備”(equipment)，而鑒于條款中使用的術(shù)語為“方法”(means)。在《95指令》的起草過程中，第4(1)c條的英文版本究竟應(yīng)當(dāng)用“means”還是“equipment”引發(fā)了長時間討論，最終的正式文本還是決定將后者的措辭寫入該條款，立法者有意通過后者以限制其概念的范圍(23)Lokke M. The long arm of EU data protection law: Does the Data Protection Directive apply to processing of personal data of EU citizens by websites worldwide? International Data Privacy Law, 2011, 1(1).pp28-46.。為了提升歐盟個人數(shù)據(jù)的保護(hù)水平，《95指令》在互聯(lián)網(wǎng)萌發(fā)期通過“設(shè)備使用標(biāo)準(zhǔn)”對域外數(shù)據(jù)處理行為實(shí)施管轄具有一定的合理性。在上世紀(jì)九十年代的語境下，“設(shè)備”一詞的內(nèi)涵和外延畢竟有限，僅指較為常見的電腦服務(wù)器、電腦終端以及調(diào)查表等計算機(jī)設(shè)備(24)Kuner C. Data Protection Law and International Jurisdiction on the Internet (Part 2). International Journal of Law and Information Technology, 2010, 18(3).pp227-247.。然而，隨著科學(xué)技術(shù)的蓬勃發(fā)展，《95指令》第4(1)c條項(xiàng)下的“設(shè)備”一詞的外延越來越廣泛，第29條工作組在意見性文件中指出“對該條款的理解應(yīng)當(dāng)順應(yīng)新技術(shù)(尤其是網(wǎng)絡(luò)技術(shù))的發(fā)展，新技術(shù)大大便利了個人數(shù)據(jù)的遠(yuǎn)程收集和處理，數(shù)據(jù)控制者在歐盟成員國境內(nèi)是否存在實(shí)體的前提變得不再重要”(25)參見第29條工作組發(fā)布的意見性文件Opinion 8/2010 on applicable law第19頁。。在同一份文件中，該工作組進(jìn)一步確認(rèn)，‘設(shè)備’這一術(shù)語應(yīng)當(dāng)被解釋為‘方法’。第29條工作組的這一意見與當(dāng)初制定《95指令》時特意限縮“設(shè)備”一詞外延的立法初衷相違背了。由于“設(shè)備”一詞的外延過于寬泛，對成員國法院公正裁判案件造成了妨害。例如，意大利某青年將虐待殘疾學(xué)生的視頻上傳至谷歌視頻，法院認(rèn)定谷歌意大利公司構(gòu)成位于意大利的“工具或手段”，服務(wù)器位于美國總部抑或是愛爾蘭的歐洲總部便不重要(26)參見第29條工作組發(fā)布的意見性文件Opinion 1/2008 on Data Protection Issues Related to Search Engines，WP 148(2008)第10頁。。在受到廣泛批評后，第29條工作組意識到：“對‘使用設(shè)備’的寬泛理解將極大地擴(kuò)張歐盟數(shù)據(jù)保護(hù)法的地域管轄范圍，需要對該標(biāo)準(zhǔn)進(jìn)行改革?！?27)參見第29條工作組發(fā)布的意見性文件Opinion 1/2008 on Data Protection Issues Related to Search Engines，WP 148(2008)第23-25頁。

《95指令》設(shè)定的地域管轄范圍已無法適應(yīng)互聯(lián)網(wǎng)遠(yuǎn)程化、全球化和虛擬化的特點(diǎn)，尤其是隨著云計算的發(fā)展，準(zhǔn)確找到個人數(shù)據(jù)的存儲地和處理個人信息的設(shè)備所在地已經(jīng)變得非常困難。因此，《條例》通過確立“目標(biāo)指向標(biāo)準(zhǔn)”，放棄了原來依據(jù)設(shè)備處理數(shù)據(jù)來確定法律適用地域范圍的做法，轉(zhuǎn)而依據(jù)特定域內(nèi)數(shù)據(jù)處理行為來確定法律適用的地域范圍(28)王志安.云計算和大數(shù)據(jù)時代的國家立法管轄權(quán)——數(shù)據(jù)本地化與數(shù)據(jù)全球化的大對抗？[J].交大法學(xué),2019,(1):5-20.。

《條例》第3(2)條(目標(biāo)指向標(biāo)準(zhǔn))是歐盟個人數(shù)據(jù)保護(hù)立法改革的重大成果之一，甚至被稱之為“哥白尼式的改革”(29)Kuner C. The European Commission’s Proposed Data Protection Regulation: A Copernican Revolution in European Data Protection Law[J]. Social Science Electronic Publishing, 2012.(Copernican Revolution)。雖然沒有“超地域性”(extraterritoriality)的明確表述，但是這個條文在立法層面將歐盟境外的數(shù)據(jù)控制者和處理者納入到《條例》的管轄范圍之中。一旦它們的數(shù)據(jù)處理行為發(fā)生在向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)的過程中(無論此項(xiàng)商品或服務(wù)是否需要數(shù)據(jù)主體支付對價)，抑或是數(shù)據(jù)控制者或處理者對數(shù)據(jù)主體發(fā)生在歐盟內(nèi)的行為進(jìn)行監(jiān)控，《條例》便對它們產(chǎn)生法律拘束力。

《條例》第3(2)a條對應(yīng)鑒于條款第23段，為判斷該控制者或處理者是否向位于歐盟境內(nèi)的數(shù)據(jù)主體提供產(chǎn)品或服務(wù)，應(yīng)確認(rèn)控制者或處理者是否明顯企圖向位于歐盟境內(nèi)一個或數(shù)個成員國的數(shù)據(jù)主體提供服務(wù)?？刂普呔W(wǎng)站、處理者網(wǎng)站或其他中介網(wǎng)站僅可以獲取郵件地址或者其他聯(lián)系信息以及使用了控制者營業(yè)地所在的第三方國家的通用語言，上述行為均不足以確認(rèn)其提供服務(wù)的動機(jī)和意圖；一些判斷因素使控制者的動機(jī)變得明顯，例如使用一個或多個歐盟成員國的通用語言或貨幣用于訂購以其他語言標(biāo)識的商品或服務(wù)，或者涉及歐盟境內(nèi)的客戶或用戶。《條例》第3(2)b條對應(yīng)鑒于條款第24段，該段指出，為了判斷上述處理活動是否可以被認(rèn)定為是對數(shù)據(jù)主體在歐盟境內(nèi)發(fā)生的行為的監(jiān)控，需要確定自然人是否在互聯(lián)網(wǎng)上被跟蹤記錄，或者偷偷地后續(xù)使用個人數(shù)據(jù)處理技術(shù)，包括對自然人進(jìn)行數(shù)據(jù)畫像特別是作出自動化決策，抑或是對其個人偏好、行為或態(tài)度作出分析或預(yù)測。可以初步得到結(jié)論：在適用《條例》第3(2)條的“目標(biāo)指向標(biāo)準(zhǔn)”時將重點(diǎn)考察“向特定數(shù)據(jù)主體提供產(chǎn)品或服務(wù)的主觀意圖”和“對數(shù)據(jù)主體在歐盟內(nèi)開展監(jiān)控行為的客觀表現(xiàn)”。

三、域外管轄條款與數(shù)據(jù)跨境流動規(guī)則之關(guān)系

《條例》第3條系該法的地域范圍條款，通過“經(jīng)營場所標(biāo)準(zhǔn)”和“目標(biāo)指向標(biāo)準(zhǔn)”將歐盟境外的企業(yè)納入該法的管轄范圍。申言之，從立法角度來說，《條例》對歐盟境外的企業(yè)具有域外效力。同時，數(shù)據(jù)跨境流動規(guī)則也對境外企業(yè)提出了數(shù)據(jù)跨境傳輸?shù)臈l件(30)根據(jù)《條例》第5章的規(guī)定，這里的“數(shù)據(jù)跨境流動規(guī)則”主要是歐盟境內(nèi)的個人數(shù)據(jù)向境外傳輸?shù)那疤釛l件和程序性規(guī)定?！稐l例》不限制境外數(shù)據(jù)向歐盟境內(nèi)的傳輸。。

(一)《條例》中的個人數(shù)據(jù)跨境流動規(guī)則約束境外企業(yè)

《條例》第五章規(guī)定了一整套“多樣化”的個人數(shù)據(jù)跨境流動規(guī)則，將數(shù)據(jù)跨境流動分為“基于充分性認(rèn)定的傳輸”“提供適當(dāng)保障措施的傳輸”以及“特殊情況下的例外傳輸”三大類(31)詳細(xì)規(guī)定請參見《條例》第45-50條。。為了對數(shù)據(jù)跨境傳輸過程中來自歐盟境內(nèi)的個人數(shù)據(jù)予以充分保護(hù)，《條例》對歐盟境內(nèi)個人數(shù)據(jù)是否可以對外進(jìn)行傳輸?shù)那疤釛l件設(shè)置了嚴(yán)格的標(biāo)準(zhǔn)。例如，根據(jù)《條例》第45條的規(guī)定，經(jīng)過歐盟委員會評估認(rèn)定第三國、第三國境內(nèi)的地區(qū)一個或多個特定行業(yè)或者國際組織能確保充分的保護(hù)水平時，歐盟境內(nèi)的個人數(shù)據(jù)可以向該第三國或國際組織傳輸。歐盟委員會應(yīng)當(dāng)將被評估對象所在國的法律規(guī)則完備情況、監(jiān)督機(jī)構(gòu)的有效運(yùn)行情況以及參與國際條約實(shí)踐情況納入考量因素。歐盟委員會可以通過實(shí)施法案的方式給予充分性認(rèn)定，并在未來的實(shí)施過程中定期予以評估。根據(jù)《條例》第46條的規(guī)定，在缺少充分性認(rèn)定的情況下，控制者或者處理者應(yīng)當(dāng)且僅應(yīng)當(dāng)在其提供了適當(dāng)?shù)谋Ｕ?，且一提供可?zhí)行的數(shù)據(jù)主體的權(quán)利和給予數(shù)據(jù)主體有效法律救濟(jì)途徑的情況下，可以將個人數(shù)據(jù)傳輸至第三國及國際組織。根據(jù)《條例》第47條的規(guī)定，歐盟對制定“有約束力的企業(yè)規(guī)則”的企業(yè)提出了非常高的要求，企業(yè)必須確保個人數(shù)據(jù)在每個時刻、每個分支機(jī)構(gòu)、數(shù)據(jù)傳輸、存儲、加工的每個環(huán)節(jié)得到充分保障，否則將隨時面臨在歐盟境內(nèi)被起訴或申訴的法律風(fēng)險。

綜上可知，歐盟委員會是實(shí)施充分性認(rèn)定的主體之一，第三國或者第三國企業(yè)只有在完成“對標(biāo)”歐盟的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)的情況下，歐盟境內(nèi)的個人數(shù)據(jù)才能被跨境傳輸至該第三國或第三國企業(yè)?！稐l例》(以及《95指令》)似乎對境外企業(yè)同樣具有法律拘束力，也就是具有域外效力。地域管轄范圍條款主張的域外管轄與這一類規(guī)則的域外效力存在相似之處，二者之間容易產(chǎn)生混淆,甚至有歐洲學(xué)者提出，區(qū)分二者是毫無意義的(32)Kuner, Christopher. Extraterritoriality and regulation of international data transfers in EU data protection law. International Data Privacy Law, 2015:ipv019.。

(二)應(yīng)當(dāng)區(qū)分“法律的域外管轄”與“法律的域外影響”

《條例》第3條的地域管轄范圍條款與第五章的跨境數(shù)據(jù)流動規(guī)則雖然體現(xiàn)“超地域性”(extraterritoriality)，似乎都體現(xiàn)了歐盟法律規(guī)則超越了屬地原則對境外企業(yè)產(chǎn)生了“規(guī)制效果”，二者均涉及對境外企業(yè)或者域外數(shù)據(jù)處理行為的監(jiān)管。從效果上看，均有歐盟法對境外產(chǎn)生影響的客觀效果。但是二者存在顯著區(qū)別，前者系法律的域外管轄問題，而后者系法律的域外影響問題。

事實(shí)上，歐洲學(xué)者Yves Poullet早在2007年便提出，歐盟數(shù)據(jù)傳輸規(guī)則(《95指令》第25-26條)不具有地域范圍上的域外效力，但是對域外具有影響力(33)Yves Poullet.Trans-border Data Flows and Extraterritoriality:The European Position. Journal of International Commercial Law and Technology,2007(2).pp141-148.。筆者認(rèn)為，《條例》第3條的地域管轄范圍條款與第五章的跨境數(shù)據(jù)流動規(guī)則在法律效果、適用方式和規(guī)制對象等方面均存在顯著差異：

1. 從規(guī)制措施來看，前者是法律的域外效力問題；后者是法律的域外影響問題。前者關(guān)注的是法律能夠具體管轄哪些域外企業(yè)或者發(fā)生在域外的數(shù)據(jù)處理行為；后者關(guān)注的是歐盟可以通過哪些途徑對歐盟個人數(shù)據(jù)出境的標(biāo)準(zhǔn)施加影響。

2. 從適用方式來看，前者具有直接性；后者具有間接性。前者要求境外數(shù)據(jù)處理行為或者境外企業(yè)直接受到該法的約束，這部法律的所有條款(監(jiān)督、數(shù)據(jù)權(quán)利類型以及救濟(jì)等)均能夠?qū)ζ湔n以義務(wù)(34)《條例》第3條地域范圍條款在該法一般性規(guī)定部分，而跨境數(shù)據(jù)流動規(guī)則在《條例》第5章。；后者并非是將境外企業(yè)直接納入管轄范圍，而是間接地對數(shù)據(jù)跨境流動施加限制性措施，不產(chǎn)生直接的法律拘束力。

3. 從被規(guī)制對象來看，前者具有強(qiáng)迫性和被動性，后者具有任意性和主動性。一旦實(shí)施了某一數(shù)據(jù)處理行為，從立法層面來看，該法便有了管轄權(quán)，這種管轄具有強(qiáng)迫性，規(guī)制對象被迫受制于法律規(guī)則，具有被動性；后者是指跨境數(shù)據(jù)流動規(guī)則并非可以施加到境外企業(yè)上，只有產(chǎn)生了數(shù)據(jù)傳輸需求(即境外企業(yè)為了獲得從歐盟輸出的個人數(shù)據(jù))，才會考慮這套規(guī)則的實(shí)施問題(35)數(shù)據(jù)跨境流動規(guī)則并不涉及各國協(xié)調(diào)、分配立法管轄權(quán)問題，從歐盟和美國的《隱私盾協(xié)議》來看，數(shù)據(jù)跨境流動的關(guān)鍵在于建立合作機(jī)制。。

4. 從規(guī)制效果來看，前者的規(guī)制效果是境外企業(yè)會特別關(guān)注來自歐盟的個人數(shù)據(jù)的合規(guī)問題，對域外管轄權(quán)邊界問題加以研判，從而使歐盟數(shù)據(jù)保護(hù)法在域外發(fā)揮全方位的保護(hù)功能；后者的規(guī)制效果是第三國為了獲得來自歐盟的個人數(shù)據(jù)而修改國內(nèi)立法以符合歐盟設(shè)立的保護(hù)標(biāo)準(zhǔn)。由此，數(shù)據(jù)跨境流動規(guī)則并非法律的域外管轄問題，而是A國制定跨境數(shù)據(jù)流動規(guī)則迫使B國修改立法從而與其“對標(biāo)”的制度銜接問題(36)Steve Coughlan.Law Beyond Borders: Extraterritorial Jurisdiction in an Age of Globalization . Toronto: Irwin Law,2014.pp46-47.。

“法律的域外管轄”與“法律的域外影響”的重要區(qū)分點(diǎn)在于是否涉及立法管轄權(quán)問題?！稐l例》第3條明確主張法律的效力范圍不以地域(territory)的地理空間為限，而跨境數(shù)據(jù)流動規(guī)則旨在通過設(shè)定法律標(biāo)準(zhǔn)以保證歐盟數(shù)據(jù)出境的安全性，一旦符合歐盟個人數(shù)據(jù)出境標(biāo)準(zhǔn)，個人數(shù)據(jù)出境后相關(guān)處理行為的準(zhǔn)據(jù)法便不一定是歐盟個人數(shù)據(jù)保護(hù)法。注意區(qū)分地域范圍條款和跨境數(shù)據(jù)流動規(guī)則的不同功能有利于清晰把握《條例》第3條的法律性質(zhì)和立法目的。

四、域外管轄合理邊界之設(shè)定

《條例》第3條地域范圍條款中的“經(jīng)營場所標(biāo)準(zhǔn)”和“目標(biāo)指向標(biāo)準(zhǔn)”均呈現(xiàn)域外管轄的立法意圖。經(jīng)營場所標(biāo)準(zhǔn)在立法上實(shí)現(xiàn)了屬地原則的技術(shù)性擴(kuò)張，目標(biāo)指向標(biāo)準(zhǔn)則以效果原則為正當(dāng)性基礎(chǔ)主張該法的全球性管轄。域外管轄容易引發(fā)管轄權(quán)沖突，這種沖突不在于立法層面，而在于執(zhí)法層面。合理地設(shè)置歐盟個人數(shù)據(jù)保護(hù)立法域外管轄之邊界既能在一定程度上對跨境執(zhí)法等問題的妥善解決提供保障，也能夠有效釋明境外企業(yè)開展數(shù)據(jù)處理的合規(guī)標(biāo)準(zhǔn)。

同時，該條規(guī)定過于原則和抽象，造成域外管轄權(quán)的邊界尚未厘清，缺乏法律的確定性和可預(yù)見性，從而增加了歐盟境外企業(yè)(包括中國企業(yè)在內(nèi))開展歐盟個人數(shù)據(jù)處理業(yè)務(wù)的合規(guī)風(fēng)險。如何準(zhǔn)確界定域外管轄的合理邊界以協(xié)調(diào)法律的穩(wěn)定性和靈活性是《條例》第3條在實(shí)踐中面臨的最大問題。

(一)歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)提出三項(xiàng)規(guī)制思路

為了更好地澄清《條例》的地域管轄范圍，2018年11月23日，歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)(European Data Protection Body，以下簡稱EDPB)發(fā)布了《關(guān)于GDPR第3條地域范圍的指引(征求意見稿)》(以下簡稱《征求意見稿》)(37)全文參見網(wǎng)址：https://edpb.europa.eu/our-work-tools/public-consultations/2018/guidelines-32018-territorial -scope-gdpr-article-3_en，最后訪問時間：2019年7月25日17時23分。。EDPB是由歐盟各成員國的數(shù)據(jù)保護(hù)機(jī)構(gòu)指派代表組成的獨(dú)立機(jī)構(gòu)，其前身為第29條工作組(《條例》生效后EDPB代替了它的職能)，主要職能是確保數(shù)據(jù)保護(hù)規(guī)則在歐盟的統(tǒng)一適用以及促進(jìn)歐盟各成員國監(jiān)管機(jī)構(gòu)之間的合作。這份《征求意見稿》經(jīng)多次全體會議(plenary meeting)(38)歷次全體會議的會議議程參見網(wǎng)址：https://edpb.europa.eu/our-work-tools/our-documents/ publication- type/agenda-meetings_en，最后訪問時間：2019年7月25日18時10分。充分醞釀和討論后對外發(fā)布，在域外管轄的合理邊界問題上進(jìn)行了三個方面的有益嘗試：

1. 審慎處理歐盟外數(shù)據(jù)控制者或處理者與歐盟內(nèi)經(jīng)營場所之關(guān)系

《條例》第3條第1款的適用不以數(shù)據(jù)處理行為是否由位于“歐盟境內(nèi)的經(jīng)營場所”開展為前提條件，只要該處理行為發(fā)生在“歐盟境內(nèi)經(jīng)營場所的活動場景下”，《條例》便對數(shù)據(jù)控制者或處理者的處理行為具有法律拘束力。對此，EDPB建議，第3條第1款的適用需要在個案中根據(jù)具體情況進(jìn)行具體分析，每種情況都必須結(jié)合案件的具體事實(shí)和背景進(jìn)行分析。

EDPB進(jìn)一步指出：一方面，為了實(shí)現(xiàn)有效全面的保護(hù)目標(biāo)，不應(yīng)當(dāng)對其含義進(jìn)行限縮解釋(39)參見Weltimmo案判決書第25段以及Google Spain案判決書第53段。；另一方面，也不應(yīng)進(jìn)行過于寬泛的解釋，以至于當(dāng)“歐盟境內(nèi)的經(jīng)營場所的活動場景”與“非歐盟實(shí)體的數(shù)據(jù)處理活動”的關(guān)聯(lián)度非常弱時，錯誤地將這種處理納入《條例》的管轄范圍。此外，如果歐盟境內(nèi)的經(jīng)營場所在歐盟從事了營利活動，且若該營利活動被視為在歐盟境外進(jìn)行的個人數(shù)據(jù)處理活動和歐盟境內(nèi)的個人數(shù)據(jù)主體是“無法分割的”，則可以表明“非歐盟的數(shù)據(jù)控制者或處理者進(jìn)行處理活動發(fā)生在歐盟境內(nèi)經(jīng)營場所的活動場景下”，《條例》對此便可適用于該數(shù)據(jù)處理行為(40)詳見《征求意見稿》第4頁，參見網(wǎng)址：https://edpb.europa.eu/our-work-tools/public-consultations/2018 /guidelines-32018-territorial-scope-gdpr-article-3_en，最后訪問時間：2019年7月26日9時6分。。

根據(jù)EDPB對該問題的解釋可知，“無法割裂的關(guān)系”是判斷歐盟外的數(shù)據(jù)控制者或處理者與歐盟內(nèi)經(jīng)營場所之間關(guān)系的關(guān)鍵。但是《征求意見稿》除了列舉兩例虛擬案例(參見該文件中的例2與例3)以外，未對這個詞的內(nèi)涵作進(jìn)一步解讀。

2. 注意到數(shù)據(jù)控制者或處理者的不同設(shè)立地點(diǎn)對域外管轄的影響

數(shù)據(jù)控制者對數(shù)據(jù)的存儲、收集和處理起著決定性作用，而數(shù)據(jù)處理者僅僅是控制者的代表機(jī)構(gòu)，接受控制者的指示以處理個人數(shù)據(jù)(41)參見《條例》第4條對“數(shù)據(jù)控制者”和“處理者”的定義。。EDPB特別指出，設(shè)立在歐盟境內(nèi)的數(shù)據(jù)處理者并不視作為數(shù)據(jù)控制者在歐盟境內(nèi)存在經(jīng)營場所。若數(shù)據(jù)控制者或處理者二者之一不在歐盟境內(nèi)，《條例》未必對二者均適用。

首先，EDPB指出，如果受《條例》調(diào)整的歐盟數(shù)據(jù)控制者委托歐盟境外的數(shù)據(jù)處理者處理數(shù)據(jù)時，數(shù)據(jù)控制者應(yīng)當(dāng)通過合同或者其他法律文件確保處理者會根據(jù)《條例》的要求處理數(shù)據(jù)?！稐l例》第28條第1款規(guī)定，若處理是代表控制者進(jìn)行的，控制者應(yīng)當(dāng)僅使用提供了充分保證的處理者，以實(shí)施適當(dāng)?shù)募夹g(shù)性和組織性措施，使處理達(dá)到本條例的要求?！稐l例》第28條第3款規(guī)定，數(shù)據(jù)處理者的數(shù)據(jù)處理行為應(yīng)當(dāng)受合同或其他法律文件約束。據(jù)此可知，即便數(shù)據(jù)處理者設(shè)立地不在歐盟境內(nèi)，數(shù)據(jù)控制者仍可以通過合同將《條例》的要求施加到數(shù)據(jù)處理者身上。其次，非歐盟的數(shù)據(jù)控制者是否會因?yàn)槲袣W盟的數(shù)據(jù)處理者處理數(shù)據(jù)而受到《條例》的管轄？EDPB指出，如果數(shù)據(jù)處理者的處理行為發(fā)生在其位于歐盟的經(jīng)營場所的活動場景下進(jìn)行的，《條例》能夠管轄該數(shù)據(jù)處理者，但是并不當(dāng)然導(dǎo)致非歐盟的數(shù)據(jù)控制者承擔(dān)《條例》項(xiàng)下數(shù)據(jù)控制者的義務(wù)。

3. 評估數(shù)據(jù)控制者的主觀意圖和客觀表現(xiàn)

EDPB指出，根據(jù)《條例》第3條第2款，數(shù)據(jù)主體位于歐盟的領(lǐng)土內(nèi)是適用該目標(biāo)指向標(biāo)準(zhǔn)的決定因素，數(shù)據(jù)主體的國籍和法律地位不能影響和限制本條的適用，應(yīng)當(dāng)重點(diǎn)考察相關(guān)數(shù)據(jù)處理活動發(fā)生之時數(shù)據(jù)主體是否位于歐盟境內(nèi)。如果數(shù)據(jù)活動發(fā)生之時，數(shù)據(jù)主體在歐盟境內(nèi)，《條例》便能管轄該數(shù)據(jù)控制者(無論該數(shù)據(jù)控制者的位置)。此外，數(shù)據(jù)控制者或處理者的行為是否表明了其向歐盟境內(nèi)數(shù)據(jù)主體提供商品或服務(wù)的意圖或者實(shí)施監(jiān)控，也是關(guān)鍵性考察因素之一。

值得指出的是，EDPB在考量有關(guān)“目標(biāo)指向標(biāo)準(zhǔn)”的適用標(biāo)準(zhǔn)時，并未嚴(yán)格區(qū)分域內(nèi)管轄和域外管轄的不同情形，而且以“行為”的主觀意圖作為考量要素，只要符合了針對歐盟的數(shù)據(jù)主體提供服務(wù)或商品，抑或監(jiān)控行為的客觀標(biāo)準(zhǔn)，無論是歐盟境內(nèi)的數(shù)據(jù)控制者還是歐盟境外的數(shù)據(jù)控制者，《條例》均可適用。從這一意義上來說，“目標(biāo)指向標(biāo)準(zhǔn)”體現(xiàn)出了歐盟從“行為主體”到“行為”的數(shù)據(jù)保護(hù)思維轉(zhuǎn)變，著眼于“行為”背后的主觀意圖，希望克服云計算等技術(shù)進(jìn)步帶來的管轄困境，在立法上主張全球性管轄。

(二)法律確定性和靈活性的協(xié)調(diào)困境

EDPB試圖通過《征求意見稿》厘清“經(jīng)營場所標(biāo)準(zhǔn)”和“目標(biāo)指向標(biāo)準(zhǔn)”域外管轄的合理邊界。一方面，EDPB力求盡可能全面保護(hù)歐盟市場和歐盟公民，另一方面，盡可能避免對管轄權(quán)進(jìn)行過于寬泛的解釋從而導(dǎo)致未來的跨境執(zhí)法沖突難以協(xié)調(diào)。但是，筆者認(rèn)為，即便《征求意見稿》苦心孤詣地追求域外管轄權(quán)的法律確定性以回應(yīng)域外數(shù)據(jù)控制者或處理者對《條例》地域范圍過于抽象的質(zhì)疑，但是此類解釋性文件的作用有限，主要原因在于它無法兼顧和解決法律確定性和靈活性問題。

EDPB通過結(jié)合歐盟法院的判例、第29條工作組的意見性文件、《95指令》及其鑒于條款的表述和主旨精神，對《條例》第3條的規(guī)則進(jìn)行“庖丁解?！笔降牟鸾猓踔吝\(yùn)用陳述虛擬案例的方式以解釋抽象的法律條文。這樣的解釋思路是否真的能夠合理地厘清域外管轄在立法層面的邊界問題暫且不論，單單這種“總結(jié)過去以啟示未來”的解釋思路似乎存在邏輯上的問題。例如，Google Spain案和Weltimmo案均是在《95指令》的法律框架下進(jìn)行審理的，正是對《95指令》條文的技術(shù)性解釋，在原有的立法背景發(fā)生巨大變化的情況下創(chuàng)新性地提出了“無法割裂的聯(lián)系”，從而實(shí)現(xiàn)了對歐盟境外企業(yè)的域外管轄。這一司法裁判要旨遂成為《條例》的立法背景資料。

技術(shù)進(jìn)步使得法律的滯后性問題日益凸顯，為了使現(xiàn)有之條文能夠解釋技術(shù)帶來的新現(xiàn)象，需要對法律條文進(jìn)行技術(shù)性解釋，盡管技術(shù)性解釋增強(qiáng)了法律適用的靈活性，但是深刻妨礙了法律穩(wěn)定性和確定性的有效實(shí)現(xiàn)。如果法律條文已經(jīng)因?yàn)椤俺L服役”而無法解決技術(shù)帶來的法律適用方面的難題，制定新法便勢在必行。這就是《95指令》發(fā)展為《條例》的真正原因。從某種意義上來講，域外管轄的合理邊界難以通過立法予以明確界定，合理邊界的“拉鋸戰(zhàn)”可能出現(xiàn)在跨國訴訟和跨境執(zhí)法的個案之中。

五、《條例》主張域外管轄對中國的影響與啟示

《條例》第3條有關(guān)地域管轄范圍并未專門規(guī)定域外管轄，而是將域內(nèi)管轄和域外管轄雜糅于一條。歐盟通過對境外的數(shù)據(jù)控制者或者處理者針對歐盟境內(nèi)數(shù)據(jù)主體的數(shù)據(jù)處理行為進(jìn)行管轄，重點(diǎn)關(guān)注管轄權(quán)的域內(nèi)側(cè)面，以保障在歐盟域內(nèi)收獲法律的規(guī)制效果，以實(shí)現(xiàn)這部國內(nèi)立法的基本價值(42)Szigeti, Péter D. The Illusion of Territorial Jurisdiction. Texas International Law Journal, 2017.p52.。這樣的立法動向?qū)χ袊髽I(yè)產(chǎn)生較大影響，同時對中國的相關(guān)立法具有積極的啟示意義。

(一)影響中國“涉歐”企業(yè)的合規(guī)策略

對中國企業(yè)而言，《條例》第3條以及EDPB計劃發(fā)布的指南將對我國企業(yè)涉及歐盟境內(nèi)數(shù)據(jù)主體的數(shù)據(jù)處理業(yè)務(wù)進(jìn)行合規(guī)審查提供了重要參考和借鑒，我國企業(yè)應(yīng)當(dāng)對此給予高度重視。不論是否在歐盟境內(nèi)設(shè)立經(jīng)營場所的中國企業(yè)均有可能受到《條例》第3條的影響。

對已經(jīng)在歐盟境內(nèi)設(shè)立了經(jīng)營場所的中國企業(yè)而言，即便針對歐盟境內(nèi)數(shù)據(jù)主體的數(shù)據(jù)處理行為并未在經(jīng)營場所內(nèi)展開，只要“數(shù)據(jù)處理行為發(fā)生在此經(jīng)營場所開展活動的場景中”，《條例》也能將它納入管轄。企業(yè)應(yīng)當(dāng)高度重視歐盟法院的相關(guān)判例要旨，厘清“經(jīng)營場所”“開展活動的場景”等重要概念的適用標(biāo)準(zhǔn)，以免因?yàn)槭韬龃笠舛患{入監(jiān)管范圍。符合《條例》管轄范圍的中國企業(yè)應(yīng)認(rèn)真評估合規(guī)成本，將《條例》對企業(yè)的影響上升到經(jīng)營決策的高度。對于在歐盟境內(nèi)的業(yè)務(wù)規(guī)模不大的企業(yè)來說，甚至可以考慮是否有必要撤出歐盟市場以另尋商機(jī)。

對于未在歐盟境內(nèi)設(shè)立經(jīng)營場所的中國企業(yè)而言，一旦它們的數(shù)據(jù)處理行為發(fā)生在向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)的過程中(無論此項(xiàng)商品或服務(wù)是否需要數(shù)據(jù)主體支付對價)，抑或是數(shù)據(jù)控制者或處理者對數(shù)據(jù)主體發(fā)生在歐盟內(nèi)的行為進(jìn)行監(jiān)控，《條例》便對它們產(chǎn)生法律拘束力。中國企業(yè)應(yīng)當(dāng)高度重視歐盟數(shù)據(jù)保護(hù)立法從“規(guī)制行為主體”到“規(guī)制行為”的思維轉(zhuǎn)變，從“向特定數(shù)據(jù)主體提供產(chǎn)品或服務(wù)的主觀意圖”和“對數(shù)據(jù)主體在歐盟內(nèi)發(fā)生的監(jiān)控行為的客觀要素”兩個方面對數(shù)據(jù)處理行為進(jìn)行綜合評估。對于這一類企業(yè)而言，應(yīng)當(dāng)認(rèn)真研究《條例》第27條有關(guān)“設(shè)立代表”的具體規(guī)定。該條專門適用于歐盟境內(nèi)沒有經(jīng)營場所的境外數(shù)據(jù)控制者或處理者，要求這類主體應(yīng)當(dāng)以書面方式指定一名在歐盟的代表。代表一般為自然人或者法人，受制于數(shù)據(jù)控制者或者處理者的授權(quán)。歐盟境內(nèi)的數(shù)據(jù)保護(hù)機(jī)構(gòu)可以通過代表與歐盟境外的數(shù)據(jù)控制者或者處理者建立聯(lián)系以便于執(zhí)法。企業(yè)應(yīng)當(dāng)高度重視這項(xiàng)新制度。

(二)促進(jìn)我國立法機(jī)關(guān)的科學(xué)決策

雖然已經(jīng)有不少對《條例》的批評聲音，在第3條項(xiàng)下開展域外管轄的實(shí)際效果有待檢驗(yàn)，但是并不妨礙我國立法機(jī)關(guān)從立法管轄權(quán)的角度，審慎思考是否有必要在未來的《個人信息保護(hù)法》中納入域外管轄條款。對立法機(jī)關(guān)而言，借鑒歐盟立法并不意味著“亦步亦趨”或者“照搬照抄”，而是結(jié)合中國國情，進(jìn)行科學(xué)的立法決策。筆者認(rèn)為，立法過程中應(yīng)當(dāng)妥善解決以下三大問題：

1. 主張域外管轄權(quán)應(yīng)當(dāng)以完善個人信息相關(guān)國內(nèi)立法為前提。目前我國的個人信息權(quán)的權(quán)利屬性尚未在民事立法中予以明確，要擴(kuò)張域外管轄權(quán)必須完善國內(nèi)實(shí)體性立法。否則，即便實(shí)施此類保護(hù)也僅僅是“無根之木、無源之水”。

2. 制定和實(shí)施域外管轄權(quán)應(yīng)當(dāng)符合比例原則。國內(nèi)法的域外管轄?wèi)?yīng)當(dāng)符合比例原則，不能違反國際法基本原則，不能隨意地開展跨境執(zhí)法。立法時不應(yīng)當(dāng)隨心所欲，應(yīng)當(dāng)考慮法律的適用效果，厘清個人信息保護(hù)的域外管轄邊界。

3. 應(yīng)當(dāng)注意域外管轄規(guī)則與其他部門法之間的協(xié)調(diào)性問題。由于域外管轄制度的規(guī)制效果是將境外數(shù)據(jù)控制者或處理者納入到該法實(shí)體性規(guī)范的調(diào)整之中，立法機(jī)關(guān)應(yīng)當(dāng)充分考慮《個人信息保護(hù)法》的域外管轄規(guī)則與我國程序法律、刑事法律等法律的協(xié)調(diào)問題，從而實(shí)現(xiàn)“試圖管轄”到“有效管轄”的適用效果。

六、結(jié)語

《條例》第3條反映了個人數(shù)據(jù)保護(hù)法的域外管轄現(xiàn)象，從國際法角度來看，合法性問題不存在質(zhì)疑，合理性的判斷有賴于管轄邊界的進(jìn)一步厘定。域外管轄的法律實(shí)施效果有待執(zhí)法和司法活動的實(shí)踐檢驗(yàn)。我國的立法機(jī)關(guān)應(yīng)當(dāng)高度關(guān)注該法的域外實(shí)施情況，為設(shè)定我國《個人信息保護(hù)法》的地域管轄范圍提供域外經(jīng)驗(yàn)，兼顧個人信息權(quán)和其他法律價值的實(shí)現(xiàn)；我國企業(yè)應(yīng)該實(shí)時跟蹤外國企業(yè)的合規(guī)策略，在商業(yè)利益與隱私保護(hù)之間尋找合適的平衡點(diǎn)。