何葉華

（南京大學(xué) 法學(xué)院，江蘇 南京 210093）

近年來，以歐盟一系列數(shù)據(jù)保護(hù)規(guī)制為代表，國際社會(huì)興起數(shù)據(jù)保護(hù)立法的浪潮[1]。中國數(shù)據(jù)保護(hù)起步相對較晚，但通過頒布各項(xiàng)規(guī)范性文件，數(shù)據(jù)保護(hù)立法進(jìn)程在不斷加快，特別是2019年全國人大常委會(huì)正式將個(gè)人信息保護(hù)法納入階段立法規(guī)劃，一部數(shù)據(jù)保護(hù)專門立法呼之欲出?？v觀世界范圍內(nèi)數(shù)據(jù)保護(hù)立法，一個(gè)值得注意的立法細(xì)節(jié)是，歐盟最新數(shù)據(jù)保護(hù)立法規(guī)定，在一定條件下，歐盟數(shù)據(jù)規(guī)則將適用于歐盟之外的數(shù)據(jù)處理者及行為，以期實(shí)現(xiàn)本國數(shù)據(jù)保護(hù)以及數(shù)據(jù)市場開發(fā)利益的最大化。不僅歐盟如此，其他國家數(shù)據(jù)立法也相繼寫入域外效力條款，將法律規(guī)制的范圍擴(kuò)張到域外①以歐盟數(shù)據(jù)立法為代表，俄羅斯、澳大利亞、新加坡、南非、日本等國家數(shù)據(jù)保護(hù)法中均含有域外適用的規(guī)定。。因此中國在數(shù)據(jù)立法將要出臺(tái)之際需要作出抉擇，是否應(yīng)當(dāng)增添域外效力之規(guī)定。

一般而言，國內(nèi)法關(guān)注國內(nèi)事項(xiàng)，效力范圍受制于一國主權(quán)領(lǐng)土，適用于主權(quán)管轄權(quán)范圍內(nèi)的人、物和行為，并不需要對效力范圍問題作出特別規(guī)定[2]。但在國際社會(huì)實(shí)踐中，已出現(xiàn)采納域外效力規(guī)定的現(xiàn)象，將本國領(lǐng)土范圍之外的行為納入本國法規(guī)制范圍，如反壟斷法、證券法等領(lǐng)域。可以大膽猜想，數(shù)據(jù)保護(hù)領(lǐng)域是否屬于這類特殊領(lǐng)域，需要明確域外效力規(guī)定?；卮疬@一問題，不單取決于中國立法的自主選擇，還應(yīng)將國際法理論與數(shù)據(jù)保護(hù)的特殊屬性一并進(jìn)行謹(jǐn)慎考慮。目前中國學(xué)者更多關(guān)注國內(nèi)法架構(gòu)以及數(shù)據(jù)流轉(zhuǎn)的國際協(xié)調(diào)等實(shí)體規(guī)則方面，雖然也在論證中附帶提出應(yīng)當(dāng)重視域外效力規(guī)定，但對于國內(nèi)數(shù)據(jù)保護(hù)法域外效力問題的國際法基礎(chǔ)、中國立場選擇等問題尚未形成充分討論②目前國內(nèi)關(guān)于個(gè)人數(shù)據(jù)保護(hù)方面的研究主要集中在民法、憲法、行政法、刑法等領(lǐng)域，部分國際法學(xué)者對國際層面有所涉及，但主要側(cè)重于跨境數(shù)據(jù)流轉(zhuǎn)的多邊機(jī)制研究。[3-5]鑒于此，本文將首先闡述數(shù)據(jù)保護(hù)法產(chǎn)生域外效力問題的現(xiàn)實(shí)基礎(chǔ)，再從實(shí)然層面探討數(shù)據(jù)保護(hù)法域外效力實(shí)現(xiàn)的具體途徑，并論證在國際法層面的正當(dāng)化基礎(chǔ)，最后綜合分析中國在數(shù)據(jù)保護(hù)域外效力問題上的應(yīng)對之策。

一、數(shù)據(jù)保護(hù)法域外效力問題的現(xiàn)實(shí)基礎(chǔ)

自20世紀(jì)90年代以來，互聯(lián)網(wǎng)逐漸融入日常生活，依托互聯(lián)網(wǎng)科技進(jìn)行信息收集、處理、轉(zhuǎn)移的過程隨之誕生，并在科技進(jìn)步、文化交流、打擊犯罪等方面發(fā)揮著積極作用。發(fā)展與風(fēng)險(xiǎn)同在。隨著信息技術(shù)的廣泛應(yīng)用以及個(gè)人生活與網(wǎng)絡(luò)世界的密切聯(lián)系，原本形式上匿名、分散的網(wǎng)絡(luò)數(shù)據(jù)可以通過技術(shù)分析處理合成“數(shù)據(jù)人像”，借助無處不在的網(wǎng)絡(luò)數(shù)據(jù)記錄準(zhǔn)確鎖定信息主體已經(jīng)成為現(xiàn)實(shí)，個(gè)人生活由此赤裸裸地暴露在數(shù)據(jù)使用者面前，一旦泄漏將直接危及個(gè)人隱私安全[6]；與此同時(shí)，對數(shù)據(jù)利用者而言，個(gè)人信息不再僅僅是標(biāo)識(shí)符號(hào)，而是作為一種新型資源，影響著公共管理、商業(yè)活動(dòng)中的具體決策，促使其通過技術(shù)手段最大化地獲取數(shù)據(jù)，進(jìn)而實(shí)現(xiàn)數(shù)據(jù)背后的社會(huì)福利抑或經(jīng)濟(jì)價(jià)值。由此，數(shù)據(jù)利用行為與個(gè)人信息保護(hù)之間發(fā)生不可避免的沖突。對于上述問題，國內(nèi)學(xué)者從隱私權(quán)的憲法建構(gòu)與私法救濟(jì)視角，試圖將粗線條的綜合立法與細(xì)化的特別領(lǐng)域立法相結(jié)合，自上而下為個(gè)人信息編織一張緊密的保護(hù)網(wǎng)，但忽略了一個(gè)重要因素，即數(shù)據(jù)保護(hù)法的效力邊界問題。在數(shù)據(jù)全球化現(xiàn)實(shí)面前，通過國內(nèi)法對個(gè)人數(shù)據(jù)進(jìn)行的規(guī)制行為并非單一國家所特有，網(wǎng)絡(luò)的無國界特點(diǎn)與各國立法上的分歧必然帶來數(shù)據(jù)保護(hù)法律之間的交叉與真空，而這些沖突的本源與結(jié)果都指向了個(gè)人數(shù)據(jù)保護(hù)法的域外效力問題。

具體來說，對于個(gè)人數(shù)據(jù)保護(hù)法域外效力問題的關(guān)注主要基于三方面的考慮。

其一，網(wǎng)絡(luò)信息技術(shù)的發(fā)展對以地理為邊界確定法律效力范圍的傳統(tǒng)立法模式形成挑戰(zhàn)。一般而言，一國的法律在本國主權(quán)范圍內(nèi)具有拘束力，效力邊界相應(yīng)受制于一國的物理空間[7]。在面對網(wǎng)絡(luò)信息技術(shù)問題時(shí)，這一原則發(fā)生了根本改變。就技術(shù)層面，大數(shù)據(jù)的運(yùn)用使網(wǎng)絡(luò)服務(wù)提供者能夠在全球范圍內(nèi)挖掘海量個(gè)人數(shù)據(jù)，另外結(jié)合云計(jì)算技術(shù)，數(shù)據(jù)中心將計(jì)算資源虛擬化，突破本地處理模式，在云計(jì)算終端完成網(wǎng)絡(luò)服務(wù)的跨境分配與聚合[8]。表面上這種技術(shù)操作只是呈現(xiàn)出技術(shù)的跨境潛質(zhì)，即網(wǎng)絡(luò)數(shù)據(jù)資源的開發(fā)與分析架構(gòu)很難局限在一國地域范圍。但深入分析可知，大數(shù)據(jù)與云計(jì)算技術(shù)的應(yīng)用實(shí)質(zhì)上是在地理界線之外創(chuàng)設(shè)出一個(gè)虛擬網(wǎng)絡(luò)空間[9]。在這一空間，個(gè)人數(shù)據(jù)的交換、存儲(chǔ)與分析等行為具有全面的空間自由與彈性，和物理空間的地域關(guān)聯(lián)甚微。因此當(dāng)針對個(gè)人數(shù)據(jù)的行為規(guī)制與權(quán)利保護(hù)規(guī)則由物理空間延伸到網(wǎng)絡(luò)空間時(shí)，地理因素不再構(gòu)成單一的確定性標(biāo)準(zhǔn)，法律效力與國家主權(quán)界限之間的邏輯關(guān)系隨之發(fā)生改變[10]46-47，個(gè)人數(shù)據(jù)保護(hù)立法的效力范圍由此成為必須重新審視的問題。

其二，個(gè)人數(shù)據(jù)保護(hù)法域外效力問題的產(chǎn)生并不僅僅是科技進(jìn)步引發(fā)的客觀現(xiàn)象，更深層次原因在于，個(gè)人數(shù)據(jù)具有多元價(jià)值，價(jià)值利益的沖突與制衡促使國家通過擴(kuò)張本國法律適用范圍的單邊方法，實(shí)現(xiàn)對個(gè)人數(shù)據(jù)最大限度的保護(hù)。數(shù)據(jù)保護(hù)對于個(gè)人信息主體而言，一端承載著人格尊嚴(yán)與隱私權(quán)利，需要法律的介入來限制個(gè)人信息的跨境流動(dòng)，進(jìn)而實(shí)現(xiàn)對個(gè)人信息者的良好保護(hù)；另一端，個(gè)人信息被視為寶藏資源，借助現(xiàn)代網(wǎng)絡(luò)技術(shù)可以從海量信息中識(shí)別出消費(fèi)者的需求與偏好，為經(jīng)營者調(diào)整規(guī)模與轉(zhuǎn)型升級提供行動(dòng)指引[11]。信息利用者為獲取經(jīng)濟(jì)利益追求個(gè)人數(shù)據(jù)的自由流轉(zhuǎn)，因此與個(gè)人信息主體的數(shù)據(jù)權(quán)利保護(hù)形成牽制?？梢哉f，個(gè)人數(shù)據(jù)保護(hù)法最核心的目標(biāo)就是，“權(quán)利保護(hù)”與“數(shù)據(jù)利用”二者之間的平衡。將法律規(guī)制置于全球背景下，主權(quán)國家的絕對控制權(quán)力客觀喪失，價(jià)值目標(biāo)的實(shí)現(xiàn)變得更為復(fù)雜。平衡任務(wù)不再以單一國家主權(quán)為邏輯起點(diǎn)，而是需要對“本國數(shù)據(jù)權(quán)利保護(hù)”“全球數(shù)據(jù)市場競爭”“國家主權(quán)利益”等多元價(jià)值目標(biāo)進(jìn)行綜合考量[12]。此外，結(jié)合權(quán)利認(rèn)知、技術(shù)能力以及信息產(chǎn)業(yè)發(fā)展水平等方面的現(xiàn)實(shí)差異，各個(gè)國家在價(jià)值目標(biāo)的選擇與權(quán)衡中各自得出立足本國視角的最優(yōu)解，除非根據(jù)既存共同規(guī)則來協(xié)調(diào)各國法律，主權(quán)國家將本能地通過擴(kuò)張本國法適用范圍以保障自身絕對利益的滿足，由此引發(fā)的競爭與沖突使得各國數(shù)據(jù)保護(hù)立法必須在域外效力范圍問題上作出妥當(dāng)安排[5]179。

其三，各國在數(shù)據(jù)保護(hù)立法方面的積極作為，不僅僅代表一種立法走向，現(xiàn)象背后國內(nèi)法與國際法的互動(dòng)關(guān)系值得重視。以歐盟立法為例，其在數(shù)據(jù)規(guī)制立法領(lǐng)域一直發(fā)揮引領(lǐng)作用，尤其通過域外效力規(guī)則的設(shè)定，歐盟規(guī)則的適用范圍得以擴(kuò)張到歐盟域外[13]。這種通過國內(nèi)法路徑來實(shí)現(xiàn)國際層面規(guī)則協(xié)調(diào)，不僅制約私人企業(yè)的具體行為與合規(guī)成本，也實(shí)然影響到他國規(guī)則的設(shè)定乃至國際社會(huì)數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)的形成①一方面在歐盟內(nèi)部，1995年《歐盟指令》和2016年《一般數(shù)據(jù)保護(hù)條例》的核心內(nèi)容大多來源于德國、法國等成員國的國內(nèi)立法，另一方面在與第三國展開的跨境數(shù)據(jù)談判協(xié)議中，也體現(xiàn)出歐盟規(guī)則的影響力。如2016年《歐美隱私盾框架》對美國企業(yè)規(guī)定了更為嚴(yán)格的數(shù)據(jù)傳輸與制裁規(guī)則，進(jìn)一步強(qiáng)化對歐盟個(gè)人數(shù)據(jù)的保護(hù)與救濟(jì)。。尤其在數(shù)據(jù)保護(hù)領(lǐng)域國際共同規(guī)則尚未成型之時(shí)，國內(nèi)法在國際層面實(shí)際發(fā)揮補(bǔ)充功能，更為完備、系統(tǒng)的國內(nèi)數(shù)據(jù)保護(hù)規(guī)則意味著國內(nèi)法將為國際社會(huì)中的行為提供更為充分的國內(nèi)法依據(jù)，進(jìn)而主權(quán)國家在全球數(shù)據(jù)保護(hù)與共同規(guī)制中擁有更多話語權(quán)。反之，國內(nèi)數(shù)據(jù)保護(hù)法倘若一直處于“失語”狀態(tài)，也將失去與國際社會(huì)進(jìn)行有效溝通與對話的機(jī)會(huì)。

綜上，可以肯定，數(shù)據(jù)跨境流轉(zhuǎn)趨勢不可逆轉(zhuǎn)，域外效力是數(shù)據(jù)保護(hù)立法必須認(rèn)真對待的法律問題，繼而有必要根據(jù)各國數(shù)據(jù)保護(hù)的立法與司法實(shí)踐，對域外效力的實(shí)現(xiàn)途徑進(jìn)行分析。

二、數(shù)據(jù)保護(hù)法域外效力的實(shí)現(xiàn)途徑

各國在數(shù)據(jù)保護(hù)具體規(guī)制方法及側(cè)重方面存在眾多分歧，但域外效力規(guī)則仍出現(xiàn)在多個(gè)國家立法文本與司法實(shí)踐中。以歐盟、美國為代表①鑒于美國與歐盟在數(shù)據(jù)治理體系中處于主導(dǎo)地位并形成兩大立法范式，本文重點(diǎn)探討美國、歐盟的立法司法實(shí)踐。，數(shù)據(jù)保護(hù)法域外效力的實(shí)現(xiàn)主要遵循兩種思路。一則對既有國內(nèi)法規(guī)則進(jìn)行擴(kuò)張解釋，從而達(dá)到對域外主體的規(guī)制效果。另一則直接通過立法明確規(guī)定數(shù)據(jù)保護(hù)法域外適用的范圍。

（一）司法路徑

一般來看，各國在傳統(tǒng)數(shù)據(jù)保護(hù)立法中根據(jù)屬地原則進(jìn)行空間效力的設(shè)定，即國內(nèi)法效力及于一國主權(quán)領(lǐng)土范圍之內(nèi)的數(shù)據(jù)主體、數(shù)據(jù)設(shè)備及數(shù)據(jù)處理行為，客觀上排除數(shù)據(jù)保護(hù)法適用于域外的情況[14]。但伴隨數(shù)據(jù)跨境特質(zhì)的不斷凸顯與互聯(lián)網(wǎng)公司的全球膨脹，在成文法仍然根據(jù)傳統(tǒng)連結(jié)點(diǎn)成立立法管轄權(quán)，而對域外適用問題保持沉默之時(shí)，單純對境內(nèi)數(shù)據(jù)的有限規(guī)制難以充分保障數(shù)據(jù)主體的權(quán)利。司法實(shí)踐于是對傳統(tǒng)連結(jié)點(diǎn)進(jìn)行擴(kuò)張解釋，借助域內(nèi)規(guī)則約束域外實(shí)體的數(shù)據(jù)處理行為。

以2014年“谷歌公司案”為例②Google Spain SL and Google Inc. v. Agencia Espa ola de Protección de Datos (AEPD) and Mario Costeja González, Case C-131/12(2014)。。該案源于西班牙用戶針對谷歌公司及谷歌西班牙分公司提起的行政控告。在谷歌搜索引擎中輸入個(gè)人姓名時(shí)，該用戶發(fā)現(xiàn)其個(gè)人信息的債務(wù)清償內(nèi)容出現(xiàn)在網(wǎng)頁搜索結(jié)果，因此以個(gè)人隱私權(quán)利受到侵犯為由，向西班牙數(shù)據(jù)保護(hù)局提出權(quán)利救濟(jì)申請。隨后西班牙數(shù)據(jù)保護(hù)局作出要求谷歌公司、谷歌西班牙分公司刪除相關(guān)信息的行政決定。谷歌公司和谷歌西班牙公司不服該決定，遂向西班牙國家法院提起訴訟。由于該案涉及對歐盟規(guī)則的解釋，西班牙國家法院隨后提請歐盟法院對法律的適用作出初步裁決③該案適用的《歐洲議會(huì)和歐盟理事會(huì)1995年10月24日關(guān)于對與個(gè)人數(shù)據(jù)處理有關(guān)的個(gè)人保護(hù)以及此類數(shù)據(jù)自由流動(dòng)的95/46/EC號(hào)指令》（Directive 95/46/EC，簡稱95指令）已經(jīng)被2018年生效的《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR）所替代，但本案涉及的條文在GDPR第3條第一款被保留，且歐盟數(shù)據(jù)保護(hù)工作組WP29針對谷歌案出具一份專門報(bào)告（Update of Opinion 8/2010 on applicable law in light of the CJEU judgement in Google Spain）用于明確95指令的適用。。

根據(jù)歐盟95年指令第4條（1）（a）的規(guī)定，指令適用于“數(shù)據(jù)控制者在歐盟境內(nèi)設(shè)立了營業(yè)機(jī)構(gòu)，并在此營業(yè)機(jī)構(gòu)的活動(dòng)背景下所實(shí)施的個(gè)人數(shù)據(jù)處理行為”④Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, Official Journal of the European Communities, 23 November 1995, No L 281/39。。具體到本案，谷歌西班牙公司在西班牙有穩(wěn)定的經(jīng)營活動(dòng)與安排⑤Weltimmo s.r.o.v. Nemzeti Adatvédelmi és Információszabadság Hatóság, Case C-230/14(2015)。，當(dāng)然滿足指令第4條（1）（a）中的“營業(yè)機(jī)構(gòu)所在地”標(biāo)準(zhǔn)⑥歐盟法院在2015年Weltimmo案中進(jìn)一步明確歐盟境內(nèi)設(shè)立機(jī)構(gòu)是一個(gè)寬泛的概念，不限于分公司、子公司等具體形式，只要數(shù)據(jù)控制者或處理者在歐盟境內(nèi)通過穩(wěn)定的活動(dòng)安排實(shí)施了真實(shí)有效的數(shù)據(jù)處理，均應(yīng)認(rèn)定為在歐盟境內(nèi)成立設(shè)立機(jī)構(gòu)。。需要進(jìn)一步判斷的是歐盟立法能否規(guī)范谷歌美國總公司的爭議行為。若按照傳統(tǒng)“營業(yè)機(jī)構(gòu)所在地”標(biāo)準(zhǔn)，指令的效力范圍限定在歐盟域內(nèi)的營業(yè)機(jī)構(gòu)所做出的數(shù)據(jù)處理行為，而本案中搜索引擎服務(wù)由谷歌美國公司排他完成，似乎可以規(guī)避歐盟指令的規(guī)制。對此歐盟法院指出，雖然谷歌西班牙公司并未直接承擔(dān)個(gè)人數(shù)據(jù)處理，但其提供的相關(guān)商業(yè)廣告與搜索結(jié)果出現(xiàn)在同一界面，廣告位銷售業(yè)務(wù)實(shí)際上是為谷歌公司搜索引擎服務(wù)獲取商業(yè)利益的重要途徑，二者之間具有無法擺脫的聯(lián)系。因此即使個(gè)人數(shù)據(jù)處理行為不是由西班牙谷歌公司實(shí)施，也應(yīng)當(dāng)認(rèn)定該行為是在西班牙公司的活動(dòng)背景下完成，因此受到歐盟規(guī)則的約束。從以上表述可以看出，歐盟法院試圖對以下概念進(jìn)行擴(kuò)張解釋：第一，設(shè)立機(jī)構(gòu)的認(rèn)定從傳統(tǒng)屬地性質(zhì)的注冊地標(biāo)準(zhǔn)，擴(kuò)張至在歐盟境內(nèi)從事真實(shí)穩(wěn)定數(shù)據(jù)活動(dòng)的所有機(jī)構(gòu)，并且不考慮該設(shè)立機(jī)構(gòu)的法律外觀；第二，“在該設(shè)立機(jī)構(gòu)背景下”的數(shù)據(jù)處理行為，不僅包括由歐盟境內(nèi)設(shè)立機(jī)構(gòu)完成的數(shù)據(jù)處理行為，也包括當(dāng)境外數(shù)據(jù)處理機(jī)構(gòu)與境內(nèi)設(shè)立機(jī)構(gòu)存在“無法擺脫的聯(lián)系”時(shí)，發(fā)生在歐盟境外的數(shù)據(jù)處理行為①對于何種情況構(gòu)成無法擺脫的聯(lián)系，歐盟法院認(rèn)為應(yīng)當(dāng)進(jìn)行個(gè)案判斷，并不局限于谷歌案中所體現(xiàn)的商業(yè)廣告與免費(fèi)引擎服務(wù)這種特定業(yè)務(wù)模式。。由此法院突破以客觀屬地連接點(diǎn)為基礎(chǔ)的傳統(tǒng)標(biāo)準(zhǔn)，進(jìn)一步將歐盟指令的效力范圍從歐盟境內(nèi)延伸至歐盟境外。

與歐盟法院針對屬地規(guī)則的擴(kuò)張闡釋不同，美國法院在微軟案中重點(diǎn)探討以屬人連接點(diǎn)為基礎(chǔ)的國內(nèi)法規(guī)則的域外適用②Microsoft Corporation v. United States of America, 829 F.3d 197(2016)。。在微軟案中，美國緝毒局根據(jù)1986年《存儲(chǔ)通信法》（Stored Communications Act，SCA）向紐約南區(qū)聯(lián)邦地方法院申請搜查令，要求微軟公司提供涉嫌走私毒品的犯罪嫌疑人的電子郵件賬戶及相關(guān)信息。由于數(shù)據(jù)信息存儲(chǔ)在位于愛爾蘭的服務(wù)器內(nèi)，微軟公司認(rèn)為按照“數(shù)據(jù)存儲(chǔ)地標(biāo)準(zhǔn)”，存儲(chǔ)在國外的數(shù)據(jù)超出SCA搜查令的效力范圍，因此拒絕向執(zhí)法部門提供相關(guān)信息。初審法院則采納“數(shù)據(jù)控制者標(biāo)準(zhǔn)”，認(rèn)為微軟是美國公司，且作為數(shù)據(jù)的控制者有能力調(diào)取，因此即使數(shù)據(jù)內(nèi)容存儲(chǔ)在美國境外，也應(yīng)當(dāng)適用SCA規(guī)則披露相關(guān)數(shù)據(jù)。不難看出，盡管立法并未對域外效力問題作出明確規(guī)定，初審法院以數(shù)據(jù)控制者為連接點(diǎn)，要求美國數(shù)據(jù)企業(yè)對其所掌控的全球數(shù)據(jù)承擔(dān)披露義務(wù)，進(jìn)一步認(rèn)可了美國國內(nèi)法的域外效力③值得注意的是，微軟公司后上訴至聯(lián)邦第二巡回法院，上訴法院以SCA并未明確規(guī)定域外適用為由，推翻初審判決，判定搜查令只能限制存儲(chǔ)在美國境內(nèi)的數(shù)據(jù)資料。但在聯(lián)邦最高法院審理階段，美國國會(huì)又通過直接修法重新肯定初審法院立場，明確了SCA的域外適用。。

（二）立法路徑

在全球信息自由流動(dòng)的沖擊下，數(shù)據(jù)保護(hù)逐漸成為各個(gè)國家所關(guān)注的焦點(diǎn)。而效力范圍的界定直接影響著國內(nèi)數(shù)據(jù)保護(hù)政策的實(shí)現(xiàn)，因此可以發(fā)現(xiàn)，除卻對原有規(guī)則的擴(kuò)張解釋，立法機(jī)關(guān)根據(jù)本國政策考量直接明確域外效力問題已經(jīng)成為一種普遍現(xiàn)象。

考察多國立法實(shí)踐，包含域外效力問題的立法規(guī)定具體表現(xiàn)為：

第一，以利用境內(nèi)數(shù)據(jù)處理設(shè)備為標(biāo)準(zhǔn)，確立本國法對境外個(gè)人數(shù)據(jù)控制者相關(guān)行為的約束。例如英國1998年《數(shù)據(jù)保護(hù)法案》（Data Protection Act 1998）、歐盟95年《指令》均有規(guī)定，當(dāng)數(shù)據(jù)控制者在境內(nèi)沒有設(shè)立營業(yè)機(jī)構(gòu)時(shí)，除傳輸目的之外，如果利用了境內(nèi)的數(shù)據(jù)處理設(shè)備，那么數(shù)據(jù)處理行為也將受到法律約束④Data Protection Act 1998 c.29。。該規(guī)則主要考慮到網(wǎng)絡(luò)數(shù)據(jù)具有虛擬屬性，境外數(shù)據(jù)控制者無需在境內(nèi)設(shè)立營業(yè)機(jī)構(gòu)就可以遠(yuǎn)程完成數(shù)據(jù)處理行為。為了避免出現(xiàn)數(shù)據(jù)控制者故意將經(jīng)營地設(shè)立在域外并利用國內(nèi)數(shù)據(jù)設(shè)備逃避歐盟法律規(guī)制的情況⑤The Article 29 Working Party 5 035/01/EN/Final WP 56, p.7。，立法因此通過域內(nèi)設(shè)備與相關(guān)數(shù)據(jù)處理行為之間的關(guān)聯(lián)，將境外信息控制者納入數(shù)據(jù)保護(hù)法的規(guī)制范圍⑥但由于數(shù)據(jù)處理設(shè)備的外延模糊，以及數(shù)據(jù)處理設(shè)備使用的不確定與偶然性，很可能出現(xiàn)國內(nèi)規(guī)則適用于全球的極端情況，因此歐盟在最新數(shù)據(jù)立法中并未采納該標(biāo)準(zhǔn)。。

第二，通過效果原則設(shè)定域外效力規(guī)則。以數(shù)據(jù)保護(hù)立法一直領(lǐng)先的歐盟立法為例，在保留95指令對于域內(nèi)設(shè)立營業(yè)機(jī)構(gòu)的規(guī)定之外，2016年通過的GDPR新增第3條第2款規(guī)定：“該條例也適用于在歐盟域內(nèi)不存在經(jīng)營機(jī)構(gòu)情況下，數(shù)據(jù)控制者對歐盟境內(nèi)數(shù)據(jù)主體進(jìn)行的相關(guān)個(gè)人數(shù)據(jù)處理行為，如果數(shù)據(jù)處理行為：(a) 是為歐盟境內(nèi)數(shù)據(jù)主體提供商品或服務(wù)，無論該項(xiàng)商品或服務(wù)是有償或無償；或者(b)對歐盟境內(nèi)數(shù)據(jù)主體的活動(dòng)進(jìn)行監(jiān)控”⑦Regulation 2016 /679 of the European Parliament and of the Council of April 27, 2016, on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95 /46 / EC (General Data Protection Regulation), 4 May 2016, L 119/33。。該條款專門針對歐盟境外的數(shù)據(jù)控制者或處理者，其中對于“為歐盟境內(nèi)數(shù)據(jù)主體提供商品或服務(wù)”的情形，GDPR緒言第23條補(bǔ)充說明，應(yīng)從數(shù)據(jù)處理者或控制者視角，判斷其是否明顯具備向歐盟數(shù)據(jù)主體提供商品或服務(wù)的目的。這一規(guī)定體現(xiàn)出對傳統(tǒng)屬地原則的突破，或者說引入“效果原則”，即無論數(shù)據(jù)處理者是否為歐盟主體，數(shù)據(jù)主體是否為歐盟公民，處理行為發(fā)生在何地，一旦行為對歐盟實(shí)際產(chǎn)生或意圖造成影響，都將受到歐盟規(guī)則約束⑧Guidelines 3/2018 on the territorial scope of GDPR(Article 3) version 2.0 (2019)。。類似的規(guī)定也出現(xiàn)在日本、美國等國數(shù)據(jù)保護(hù)立法條文之中①日本《個(gè)人信息保護(hù)法》第75條規(guī)定：對于在向國內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)的過程中獲取該數(shù)據(jù)主體個(gè)人信息的個(gè)人信息處理業(yè)者，并在國外處理該個(gè)人信息或者利用以該個(gè)人信息為基礎(chǔ)制作而成的匿名加工信息，第15、第16、第18條（第二款除外）、第19～第25條、第27～第36條、第41條、第42條第一款、第43條及后一條的規(guī)定也適用。個(gè)人情報(bào)の保護(hù)に関ⅩⅢtf法律（2003年5月30日法律第57號(hào)）。。

第三，依據(jù)數(shù)據(jù)處理者標(biāo)準(zhǔn)規(guī)定本國數(shù)據(jù)法的域外適用。在美國聯(lián)邦最高法院審理微軟案階段，美國國會(huì)通過《澄清合法利用海外數(shù)據(jù)法》（Clarifying Lawful Overseas Use of Data Act，CLOUD）②Clarifying Lawful Overseas Use of Data Act 18 U.S.C.A.§2 703 (2018)。，明確規(guī)定無論該通信、記錄等信息是位于美國境內(nèi)還是國外,美國數(shù)據(jù)服務(wù)提供商必須對其占有、保護(hù)、控制下的客戶通信及記錄等信息的內(nèi)容加以保存、備份或披露。雖然法案僅適用于執(zhí)法機(jī)關(guān)域外取證過程，但是考慮到美國數(shù)據(jù)企業(yè)的領(lǐng)先優(yōu)勢以及在世界范圍內(nèi)的跨境發(fā)展，實(shí)際效果是以屬人連接點(diǎn)為基礎(chǔ)確立域外效力規(guī)則，將美國企業(yè)掌握的全球數(shù)據(jù)均納入管轄范圍。

（三）小結(jié)

綜上可以看出，以美國、歐洲為代表，個(gè)人數(shù)據(jù)保護(hù)法的效力范圍呈現(xiàn)出擴(kuò)張趨勢，無論是通過對原有域內(nèi)適用規(guī)則的擴(kuò)張解釋抑或是經(jīng)由立法直接予以肯定，均可以實(shí)現(xiàn)數(shù)據(jù)保護(hù)法的域外適用。但深入分析，兩種路徑的選擇實(shí)則對應(yīng)著不同的歷史背景與現(xiàn)實(shí)需求。傳統(tǒng)數(shù)據(jù)保護(hù)立法一般根據(jù)屬地連結(jié)點(diǎn)行使立法管轄權(quán)，具體規(guī)制本國領(lǐng)域內(nèi)的數(shù)據(jù)主體、數(shù)據(jù)處理者及數(shù)據(jù)資料。但面對網(wǎng)絡(luò)技術(shù)革新與數(shù)據(jù)價(jià)值的膨脹，立法尚未作出及時(shí)調(diào)整，需要更多交由法官在個(gè)案中判斷將國內(nèi)法適用于域外的數(shù)據(jù)處理行為和主體的具體條件。這一定程度放松了傳統(tǒng)立法對嚴(yán)格屬地原則的堅(jiān)持，但也填補(bǔ)了立法在域外效力問題上的缺失。同時(shí)應(yīng)當(dāng)注意，司法權(quán)力天然處于被動(dòng)地位，法院并不能突破既有的立法框架，并根據(jù)新的連結(jié)點(diǎn)進(jìn)行擴(kuò)張解釋。尤其在需要通過創(chuàng)設(shè)新的連結(jié)點(diǎn)實(shí)現(xiàn)本國數(shù)據(jù)政策時(shí)，司法機(jī)關(guān)只能發(fā)揮間接作用，因此有必要通過立法對本國數(shù)據(jù)保護(hù)法的域外效力作出直接宣示。如歐盟綜合以往司法實(shí)踐，通過最新立法GDPR，在原有“設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)”之外，針對歐盟外數(shù)據(jù)控制者、處理者又引入以效果原則為基礎(chǔ)的“意圖標(biāo)準(zhǔn)”。其目的，一則為了貫徹?cái)?shù)據(jù)權(quán)利背后所承載的歐盟人權(quán)理念，二則是為了迎合歐盟數(shù)據(jù)產(chǎn)業(yè)的發(fā)展要求，通過效果原則將指向歐盟市場的域外數(shù)據(jù)處理行為均納入立法管轄范圍，最大程度地維護(hù)歐盟內(nèi)部市場的利益。對比來看，美國以微軟案為契機(jī)推出CLOUD法案，以屬人連結(jié)點(diǎn)架構(gòu)域外效力規(guī)則，實(shí)則也是立足本國數(shù)據(jù)產(chǎn)業(yè)的全球優(yōu)勢，服務(wù)于依托本國數(shù)據(jù)企業(yè)來實(shí)現(xiàn)控制全球數(shù)據(jù)的目的。

三、數(shù)據(jù)保護(hù)法域外效力的國際合法性分析

國內(nèi)立法將在何種限度發(fā)揮作用取決于一國主權(quán)的自主選擇，但是如果做全面考量，國內(nèi)法效力邊界的確定本質(zhì)上需要經(jīng)過國際層面的審視，即除卻國內(nèi)法賦予其“自內(nèi)向外”效力擴(kuò)張之外，應(yīng)當(dāng)考慮國內(nèi)立法在域外適用是否符合國際法的一般要求，如果域外效力的規(guī)定與國際法相沖突，那么將必然受到質(zhì)疑，反之亦然。因此，數(shù)據(jù)保護(hù)法的域外效力問題也必須接受外部評價(jià)，以獲得國際法層面的正當(dāng)性支撐。

（一）國際判例的默示承認(rèn)

早在1973年，歐盟成員國德國的黑森州頒布第一部個(gè)人信息保護(hù)法，然而時(shí)至今日，在數(shù)據(jù)保護(hù)法領(lǐng)域各國尚未達(dá)成一部多邊公約，用于協(xié)調(diào)各國數(shù)據(jù)保護(hù)法的效力邊界問題[15]。有學(xué)者試圖從《公民權(quán)利和政治權(quán)利國際公約》中尋找數(shù)據(jù)保護(hù)法域外效力的正當(dāng)化依據(jù)，但并未論證成功[16]。除國際公約之外，對于主權(quán)國家國內(nèi)法效力范圍問題最為經(jīng)典的解釋，可以追溯至1927年的“荷花號(hào)案”。在該案中，國際常設(shè)法院一方面肯定：“除非根據(jù)國際條約或國際習(xí)慣，一國不應(yīng)當(dāng)在他國領(lǐng)土上直接行使權(quán)力?！蓖瑫r(shí)又指出：“在國際法中尚未衍生出一項(xiàng)普遍規(guī)則，即禁止主權(quán)國家將國內(nèi)法的適用范圍和司法管轄權(quán)延伸到域外的人、事物及行為。這一問題可以交由各國自由裁量決定。在一般情形中，主權(quán)國家可以自主決定并采取本國認(rèn)為最適合的管轄權(quán)原則”③S.S. Lotus (Fr. v. Turk.)1927 P.C.I.J.Series.A, No.10, p.19。。

從其表述可以看出，一般推定，主權(quán)國家只在其領(lǐng)土范圍之內(nèi)享有立法管轄權(quán)，即自內(nèi)向外肯定一國立法對其境內(nèi)一切人、事物及行為的法律約束力。但是反向來看，國際公約或判例對于主權(quán)國家法律的效力范圍并沒有劃定任何外部限制，尤其是在具有正當(dāng)依據(jù)的前提下，允許主權(quán)國家超越本國領(lǐng)土范圍賦予其本國法律以域外效力的作法。因此回到數(shù)據(jù)保護(hù)法領(lǐng)域，對于域外效力問題的判斷亦是可以做出內(nèi)部視角與外部視角兩種解讀。從內(nèi)部視角分析，國際法以是否允許為邏輯起點(diǎn)，數(shù)據(jù)保護(hù)法的效力范圍應(yīng)當(dāng)與本國主權(quán)范圍保持一致。就外部限制而言，由于數(shù)據(jù)保護(hù)領(lǐng)域國際公約及判例尚未形成任何禁止性規(guī)則，因而不能排除國內(nèi)法效力擴(kuò)張的可能空間，這種國際法層面的默示態(tài)度也就構(gòu)成數(shù)據(jù)保護(hù)法域外效力的正當(dāng)化基礎(chǔ)。應(yīng)當(dāng)承認(rèn)，“荷花號(hào)案”判決的釋明意義有限，但站在更為宏觀的視角可以做出傾向于后者的決斷，這是因?yàn)?，雖然國際法的主要功能是調(diào)整國家之間的關(guān)系，但作為約束國家的國際法規(guī)則始終源于國家意志，國家始終是國際法的主要立法者。因此，除非國際公約或判例明確禁止，國家有權(quán)基于自身利益考量對法律效力范圍進(jìn)行擴(kuò)張。

（二）支撐數(shù)據(jù)保護(hù)法域外效力的國際習(xí)慣法原則

在國際法框架下，如果無國際公約約束，主權(quán)國家一般依據(jù)自身與管轄客體之間的真實(shí)聯(lián)系確立立法管轄權(quán)，進(jìn)而適用本國法律?；谡鎸?shí)聯(lián)系上的具體差異，國際社會(huì)逐漸沉淀出屬地管轄、屬人管轄、保護(hù)性管轄及普遍性管轄原則，作為國內(nèi)法效力范圍設(shè)定的正當(dāng)化基礎(chǔ)①Restatement (Fourth) of Foreign Relations Law, §407。。具體來看，屬地原則是指國內(nèi)法的效力止于一國領(lǐng)土邊界。屬人管轄則指國家根據(jù)國籍、住所等屬人連結(jié)點(diǎn)行使立法管轄權(quán)。保護(hù)性管轄強(qiáng)調(diào)對危害本國國家利益的行為成立立法管轄權(quán)。最后普遍管轄權(quán)專門針對損失國際社會(huì)利益以及嚴(yán)重侵犯人權(quán)的行為，如對海盜行為，各國均有權(quán)行使管轄權(quán)[17]460-461。目前這四種管轄權(quán)基礎(chǔ)已經(jīng)得到國際社會(huì)的普遍認(rèn)可，因此對于數(shù)據(jù)保護(hù)立法而言，也只有基于上述管轄權(quán)主張域外效力，才符合國際法上的合法性要求。

歐盟GDPR以效果原則為基礎(chǔ)設(shè)定域外適用規(guī)則。效果原則最初應(yīng)用在美國反壟斷法領(lǐng)域，曾飽受爭議。但在當(dāng)前實(shí)踐中，效果原則在反壟斷法、證券法等市場法領(lǐng)域得到廣泛采納，并衍生成為一項(xiàng)相對獨(dú)立的立法管轄權(quán)依據(jù)。效果原則本身是對屬地管轄的拓展，仍指向國內(nèi)，但是一種特殊的屬地原則。因?yàn)槠潢P(guān)注法律規(guī)制行為對本國造成的影響，而非行為實(shí)際發(fā)生地，換言之，該原則淡化行為的客觀地理因素，對屬地原則的適用作出高度彈性的設(shè)計(jì)，進(jìn)而將發(fā)生在領(lǐng)土范圍之外的行為一并納入本國法律的適用范圍。同時(shí)應(yīng)當(dāng)注意，效果原則作為域外效力的判斷標(biāo)準(zhǔn)大多出現(xiàn)在市場法領(lǐng)域[18]。這主要因?yàn)樵诮?jīng)濟(jì)全球化背景下，即使行為發(fā)生在域外，也會(huì)對國內(nèi)市場產(chǎn)生不利影響，立法因而具有強(qiáng)烈的域外適用需求[19]。實(shí)際上，這與GDPR引入效果原則具有相似之處。信息技術(shù)進(jìn)步使信息處理行為脫離屬地原則的束縛，導(dǎo)致數(shù)據(jù)處理行為發(fā)生地與損害結(jié)果地相分離，為了保障歐盟數(shù)據(jù)主體的權(quán)利以及應(yīng)對數(shù)據(jù)霸權(quán)國家對本國數(shù)據(jù)產(chǎn)業(yè)的威脅，歐盟立法因而在設(shè)定最高數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)的同時(shí)，也通過效果原則最大限度地將這一國內(nèi)標(biāo)準(zhǔn)擴(kuò)張至域外。

此外屬人原則也可以為數(shù)據(jù)保護(hù)法的域外效力提供正當(dāng)化依據(jù)。歐盟95指令和GDPR中皆根據(jù)屬人連結(jié)點(diǎn)提出“設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)”。該標(biāo)準(zhǔn)對屬人連結(jié)點(diǎn)進(jìn)行擴(kuò)張，放寬對企業(yè)注冊地的限制，要求數(shù)據(jù)處理者或控制者在歐盟存在穩(wěn)定的安排和活動(dòng)，因此有效確立了域外適用規(guī)則。此外，美國的CLOUD法案明確授權(quán)行政機(jī)關(guān)可以獲取美國公司在全球存儲(chǔ)的數(shù)據(jù)信息。以屬人連結(jié)點(diǎn)為基礎(chǔ)的設(shè)定本身并不違背國際法原則，但是由于美國數(shù)據(jù)公司向世界范圍提供服務(wù)，并在全球數(shù)據(jù)治理中占據(jù)領(lǐng)先地位，數(shù)據(jù)控制者標(biāo)準(zhǔn)的適用意味著美國可以對全球數(shù)據(jù)資源提出披露要求②法案同時(shí)規(guī)定數(shù)據(jù)服務(wù)商僅在兩種情況下可以提出抗辯：其一，用戶不是美國人且不居住在美國；其二，信息的披露將實(shí)質(zhì)違背由美國認(rèn)可的適格外國政府的法律。。這無疑將打破數(shù)據(jù)保護(hù)的主權(quán)壁壘，極大威脅各國對本國數(shù)據(jù)資源的控制以及國家安全[20]。

四、數(shù)據(jù)保護(hù)法域外效力問題的中國立場

在信息技術(shù)、數(shù)據(jù)多元價(jià)值等因素的推動(dòng)下，數(shù)據(jù)保護(hù)規(guī)則的域外效力問題由此產(chǎn)生。實(shí)然層面，無論是通過明確規(guī)定還是做更為寬泛的解釋，域外效力問題在立法與司法實(shí)踐中都已經(jīng)有所體現(xiàn)。司法與立法兩種路徑既相互關(guān)聯(lián)又各有側(cè)重。司法路徑相對被動(dòng)，需要法院對傳統(tǒng)數(shù)據(jù)立法進(jìn)行擴(kuò)張解釋，在個(gè)案分析中積累域外適用的經(jīng)驗(yàn)。立法路徑更為直接，在需要通過創(chuàng)設(shè)新的連結(jié)點(diǎn)實(shí)現(xiàn)本國數(shù)據(jù)政策時(shí)，國家有必要通過立法方式對本國數(shù)據(jù)保護(hù)法的域外效力作出直接宣示。事實(shí)上，各國數(shù)據(jù)保護(hù)法在域外效力問題上的選擇是由國家意志決定，但是域外效力問題仍然需要放置在國際法框架下進(jìn)行審視?？疾靽H公約、判例以及習(xí)慣法原則，國際法并不禁止本國數(shù)據(jù)保護(hù)法中域外效力規(guī)定，但各國在數(shù)據(jù)立法實(shí)踐中一般以國際社會(huì)廣泛接受的習(xí)慣法原則為正當(dāng)性基礎(chǔ)，根據(jù)本國的數(shù)據(jù)政策選擇不同連結(jié)點(diǎn)來設(shè)定域外規(guī)則的范圍。

對于中國而言，數(shù)據(jù)保護(hù)法域外效力問題的討論具有更多意義。當(dāng)前中國網(wǎng)絡(luò)用戶人數(shù)已位居世界首位，數(shù)字經(jīng)濟(jì)規(guī)模位列全球第二，數(shù)字背后既反映出數(shù)據(jù)產(chǎn)業(yè)的強(qiáng)大實(shí)力，又對數(shù)據(jù)的保護(hù)與立法規(guī)制提出更高要求。除此之外，國際社會(huì)在數(shù)據(jù)保護(hù)法領(lǐng)域尚未形成共同規(guī)則，從單邊思路為本土數(shù)據(jù)保護(hù)規(guī)則的適用開通域外適用路徑，將有利于中國在積累本國數(shù)據(jù)立法經(jīng)驗(yàn)的同時(shí)，與全球數(shù)據(jù)治理建立內(nèi)外聯(lián)動(dòng)模式，推動(dòng)數(shù)據(jù)保護(hù)國際規(guī)則的形成。但總體來看，中國數(shù)據(jù)法律體系仍存在一些問題：由國家互聯(lián)網(wǎng)信息辦公室主導(dǎo)已陸續(xù)制定《網(wǎng)絡(luò)安全審查辦法》《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》等法律文件，但是尚未出臺(tái)一部統(tǒng)一的個(gè)人數(shù)據(jù)保護(hù)法，立法相對碎片化，規(guī)制目標(biāo)不明確，對于個(gè)人數(shù)據(jù)保護(hù)問題的評價(jià)也主要停留在國家安全視角，難以兼顧數(shù)據(jù)權(quán)利保護(hù)與數(shù)據(jù)市場的需求[4]150。具體在數(shù)據(jù)保護(hù)立法的適用范圍問題上，缺少對域外效力條款的專門規(guī)定，中國難以在跨境數(shù)據(jù)規(guī)制中發(fā)揮積極作用。

中國在未來個(gè)人數(shù)據(jù)保護(hù)立法中，為直接彌補(bǔ)在域外適用規(guī)則方面的不足，應(yīng)通過立法方式確立域外效力條款。對于域外效力條款的具體設(shè)定可以借鑒國外經(jīng)驗(yàn)，在不違反國際法規(guī)則的同時(shí)，更多考慮中國數(shù)據(jù)產(chǎn)業(yè)發(fā)展現(xiàn)狀與政策的規(guī)制目標(biāo)。以美國CLOUD法的域外適用為例，數(shù)據(jù)控制者標(biāo)準(zhǔn)的選擇與美國跨國數(shù)據(jù)企業(yè)在全球市場的霸權(quán)地位密切相關(guān)，包括歐盟在內(nèi)的任何國家實(shí)體顯然不能按照此種方式構(gòu)建數(shù)據(jù)立法的域外效力條款。相形之下，以歐盟立法為代表，根據(jù)設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)和效果原則設(shè)定域外效力的做法更符合中國需要。首先，根據(jù)設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)，可以克服數(shù)據(jù)處理行為地認(rèn)定的技術(shù)難題，將在本國范圍內(nèi)從事穩(wěn)定數(shù)據(jù)活動(dòng)的企業(yè)均納入規(guī)制范圍。其次，對于設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)之外的情況，以效果原則為連接點(diǎn)，對于中國這種擁有巨型數(shù)據(jù)市場的大國來說尤為重要。一方面，可以盡量避免外國數(shù)據(jù)處理企業(yè)借助數(shù)據(jù)業(yè)務(wù)的特定模式利用中國數(shù)據(jù)市場，同時(shí)逃避中國數(shù)據(jù)立法約束；另一方面，這樣做可能加重中國數(shù)據(jù)企業(yè)“走出去”的合規(guī)成本，但從長遠(yuǎn)角度看，可以更全面地保障中國企業(yè)和個(gè)人數(shù)據(jù)權(quán)益，提高企業(yè)核心競爭力。此外，在域外效力規(guī)則的實(shí)施過程中，應(yīng)建立統(tǒng)一監(jiān)督機(jī)構(gòu)，為中國數(shù)據(jù)權(quán)利主體提供行政控告以及司法訴訟多種救濟(jì)途徑。在司法層面，應(yīng)強(qiáng)化法院在適用域外效力規(guī)則中所起的作用，支持法院綜合個(gè)案事實(shí)對中國數(shù)據(jù)保護(hù)立法的效力范圍進(jìn)行解釋，與立法、行政機(jī)關(guān)之間形成良性互動(dòng)，推動(dòng)中國數(shù)據(jù)治理體系的構(gòu)建。

有學(xué)者擔(dān)憂，一旦世界各國普遍對其法律賦予域外效力，是否將激化國家之間的法律沖突，為商業(yè)發(fā)展與權(quán)利保護(hù)帶來更多不確定性，阻礙個(gè)人數(shù)據(jù)的全球流通。對此假設(shè)應(yīng)當(dāng)理性看待，數(shù)據(jù)保護(hù)天然具有“跨境”特質(zhì)，借助網(wǎng)絡(luò)在全球范圍內(nèi)的流通勢必會(huì)動(dòng)搖原本以主權(quán)為界限的國內(nèi)立法，在此領(lǐng)域的域外效力規(guī)定是應(yīng)有之義。更重要的，數(shù)據(jù)保護(hù)領(lǐng)域域外效力的立法實(shí)際上并不是可以任意為之，其實(shí)際效果根本取決于一國的國家實(shí)力。以中國強(qiáng)大的國家實(shí)力作為后盾，中國有需求同時(shí)有條件認(rèn)可數(shù)據(jù)保護(hù)法的域外效力。與此同時(shí)，中國作為負(fù)責(zé)任有擔(dān)當(dāng)?shù)拇髧?，一直以來致力于國際社會(huì)的和平穩(wěn)定發(fā)展，數(shù)據(jù)保護(hù)法域外效力的規(guī)定只是為中國參與國際數(shù)據(jù)市場的良性競爭、充分保護(hù)個(gè)人數(shù)據(jù)與維護(hù)國家安全等多重目標(biāo)的平衡過程提供多一重法律路徑，并不排除中國參與國際協(xié)商以及自我約束機(jī)制的保留，這種立法上的探索不僅具有本土意義，也可以為國際社會(huì)的數(shù)據(jù)規(guī)制貢獻(xiàn)出中國智慧。