張 哲，齊愛民

(重慶大學 法學院，重慶 400044)

數(shù)字社會中，數(shù)據(jù)在全球范圍內(nèi)的流動日益頻繁，數(shù)據(jù)處理全球化趨勢顯著，社會現(xiàn)實對傳統(tǒng)主權(quán)觀念的沖擊使得擴大個人信息保護法域外效力成為必然，由此也引發(fā)管轄權(quán)沖突這一國際法難題。近年來，歐美相繼出臺或革新個人信息保護相關(guān)法律，在實體法和程序法上確立域外效力制度，其他國家也相繼跟進，但在域外效力制度邊界問題上并未形成全球共識。與國外相比，在法域外適用上，“我國只有少數(shù)法律明確規(guī)定了其域外效力，多數(shù)法律沒有規(guī)定域外效力問題，甚至只規(guī)定其僅具域內(nèi)效力”[1]。在理論研究方面也集中在國際私法、反壟斷法、證券法、勞動法、知識產(chǎn)權(quán)法等領(lǐng)域，個人信息保護法域外效力制度研究相對較少(1)相關(guān)針對性研究參見：孔慶江、于華溢《數(shù)據(jù)立法域外適用現(xiàn)象及中國因應(yīng)策略》(《法學雜志》,2020年第8期76-88頁)；俞勝杰《<通用數(shù)據(jù)保護條例>第3條(地域范圍)評注——以域外管轄為中心》(《時代法學》,2020年第2期94-106頁);俞勝杰、林燕萍《<通用數(shù)據(jù)保護條例>域外效力的規(guī)制邏輯、實踐反思與立法啟示》(《重慶社會科學》,2020年第6期62-79頁)。，它的正當性基礎(chǔ)是什么？合理邊界又在哪里？這種制度供給和社會現(xiàn)實需求之間的鴻溝亟待法學理論和立法上的彌合。2021年8月20日，我國正式通過《個人信息保護法》，該法第3條創(chuàng)新性地規(guī)定了域外效力條款，為我國運用法律手段規(guī)制域外個人信息處理行為提供了法律依據(jù)。但與歐美等國家和地區(qū)相比，我國在個人信息保護法域外效力制度的適用性、體系性等問題上還有進一步完善的空間。為此，深入研究并借鑒國外數(shù)據(jù)保護立法對于我國個人信息保護法域外效力制度的完善具有重要而深遠的意義。

一、確立我國個人信息保護法域外效力制度的必要性

所謂個人信息保護法域外效力制度，是指一國對某一法域外處理個人信息的人、物或行為實施管轄，從而將其管轄范圍擴展至該國領(lǐng)土之外的一種法律制度，該制度實施的效果即體現(xiàn)為個人信息保護法的域外效力。法律是國家意志的體現(xiàn)并在國家主權(quán)范圍內(nèi)保證其實施，其效力類型包括時間效力、空間效力和對人的效力。在法律的空間效力上，現(xiàn)代國家立法多以屬地管轄為主，屬人管轄、保護性管轄為輔，強調(diào)法律的域內(nèi)效力。而所謂法律的域外效力，是指“法律的空間效力擴展到該國國家主權(quán)主管范圍之外”[2]，而域外適用是一國法律在本國領(lǐng)土外的適用，“域外效力正是基于法律的域外適用而產(chǎn)生拘束力”[3]。一般認為，一國法律的管轄權(quán)包括立法管轄權(quán)、司法管轄權(quán)和執(zhí)法管轄權(quán)。法律的域外效力來源于立法管轄權(quán)，是對他國主權(quán)的合理限制?；诜傻挠蛲庑Яχ贫犬a(chǎn)生域外管轄，其是指“一國將其法律的適用范圍或其司法和行政管轄范圍擴展至該國領(lǐng)土以外”[4]。在美國，域外管轄也被稱為“長臂管轄”(Long-arm Jurisdiction)，我國國務(wù)院新聞辦公室發(fā)布的《關(guān)于中美經(jīng)貿(mào)摩擦的事實與中方立場》白皮書將長臂管轄界定為“依托國內(nèi)法規(guī)的觸角延伸到境外，管轄境外實體的做法”[5]。在內(nèi)容上，域外管轄包括域外立法管轄、域外司法管轄和域外執(zhí)法管轄。

在理論層面，“數(shù)據(jù)主權(quán)”(Data Sovereignty)為個人信息保護法域外效力制度提供了較有解釋力的依據(jù)和理論基礎(chǔ)。在國際法中，“主權(quán)是一國最高的權(quán)力，是不受任何人世權(quán)力支配之權(quán)力”[6]，在1927年9月7日著名的“荷花號”(Lotus)案件判決中，國際法院肯定了土耳其對法國船員的刑事管轄權(quán)，并認為刑法的屬地性不是一項絕對性的國際法原則，也并不與領(lǐng)土主權(quán)完全一致(2)S.S. Lotus (Fr. v. Turk.), 1927 P.C.I.J. (ser. A) No. 10 (Sept. 7).?？梢?，突破屬地原則并允許法律域外適用早已具有國際司法實踐的基礎(chǔ)和支撐?！端质謨?.0版》肯定了一國法律在網(wǎng)絡(luò)空間中的域外管轄權(quán)，“在國際法的限制范圍內(nèi)，國家可對網(wǎng)絡(luò)活動行使屬地和域外管轄權(quán)”[7]。大數(shù)據(jù)時代，網(wǎng)絡(luò)空間成為繼陸地、海洋、天空、外太空之外的第五空間，數(shù)據(jù)成為國家基礎(chǔ)性戰(zhàn)略資源進而受到國家主權(quán)的管控。在數(shù)據(jù)主權(quán)概念上，學者多強調(diào)其屬地性，“數(shù)據(jù)主權(quán)指一個國家對其政權(quán)管轄地域范圍內(nèi)個人、企業(yè)和相關(guān)組織所產(chǎn)生的數(shù)據(jù)擁有的最高權(quán)力”(3)參見：沈國麟《大數(shù)據(jù)時代的數(shù)據(jù)主權(quán)和國家數(shù)據(jù)戰(zhàn)略》(《南京社會科學》,2014年第6期113-119頁)。類似觀點亦可參見：孫南翔、張曉君《論數(shù)據(jù)主權(quán)——基于虛擬空間博弈與合作的考察》(《太平洋學報》,2015年第2期63-71頁);曹磊《網(wǎng)絡(luò)空間的數(shù)據(jù)權(quán)研究》(《國際觀察》,2013年第1期53-58頁)。。也有學者認為，“數(shù)據(jù)主權(quán)意味著數(shù)據(jù)即使被傳輸?shù)皆贫嘶蜻h距離服務(wù)器上，仍然應(yīng)受其主體控制，而不會被第三方所操縱”[8]。因而有學者指出，“一國公民在境外形成的數(shù)據(jù)也屬于該國管轄的范圍”[9]。筆者認為，數(shù)據(jù)主權(quán)，“其對內(nèi)體現(xiàn)為一國對其政權(quán)管轄地域內(nèi)任何數(shù)據(jù)的生成、傳播、處理、分析、利用和交易等擁有最高權(quán)力；對外表現(xiàn)為一國有權(quán)決定以何種程序、何種方式參加到國際數(shù)據(jù)活動中，并有權(quán)采取必要措施保護數(shù)據(jù)權(quán)益免受其他國家侵害”[10]。在國際法理論上，“《塔林手冊2.0版》適應(yīng)時代的需要，將網(wǎng)絡(luò)活動國際管轄權(quán)的對象擴大到數(shù)據(jù)，從而第一次在國際管轄權(quán)規(guī)則創(chuàng)設(shè)上明確將數(shù)據(jù)作為獨立的客體，體現(xiàn)了對數(shù)據(jù)主權(quán)觀念的肯定”[11]。由此可見，隨著網(wǎng)絡(luò)空間主權(quán)在各國立法上的確立，數(shù)據(jù)主權(quán)成為國家主權(quán)在網(wǎng)絡(luò)空間的自然延伸和新體現(xiàn)，其為個人信息保護法域外效力制度的構(gòu)建提供了理論支撐。

大數(shù)據(jù)時代，自然人的個人信息是主要的數(shù)據(jù)類型并具有極高的潛在利用價值，其在全球范圍內(nèi)的大規(guī)模和高頻次流動不可避免地帶來了國家主權(quán)間的沖突問題?？鐕ヂ?lián)網(wǎng)企業(yè)在促進貿(mào)易和服務(wù)全球化的同時，也存在通過數(shù)據(jù)收集和分析這一無形方式侵蝕一國主權(quán)的風險，這種社會現(xiàn)實使得在個人信息保護立法上擴大域外效力范圍成為各國維護國家利益，實現(xiàn)價值輸出和制度輸出，進而爭奪網(wǎng)絡(luò)空間國際治理規(guī)則制定主動權(quán)和話語權(quán)的重要方式。個人信息保護法域外效力制度不僅是建立在各方參與主體切實利益需求之上的制度創(chuàng)新，在更宏觀的意義上，也是一國實現(xiàn)政治、經(jīng)濟等多元目的的法律武器。因此，構(gòu)建科學完備并具有可適用性的個人信息保護法域外效力制度既是我國實現(xiàn)自然人人格利益保護的內(nèi)在要求，也是邁向數(shù)據(jù)強國，參與并主導國際網(wǎng)絡(luò)空間治理的重要舉措，具有理論和實踐上的必要性。

二、歐盟個人信息保護法域外效力制度評析

(一)《歐盟數(shù)據(jù)保護指令》域外效力制度

早在1995年，《歐盟數(shù)據(jù)保護指令》(Data Protection Directive 95/46/EC，以下簡稱“95指令”)第4條就確立了域外效力制度(4)該條的適用情形主要包括三種，第一種情形為在設(shè)立機構(gòu)背景下實施的處理行為，第二種情形為國際公法原因，第三種情形為使用設(shè)備、自動化方式或其他方式的個人數(shù)據(jù)處理行為(除了使用該設(shè)備僅僅是為了通過共同體領(lǐng)土的數(shù)據(jù)傳輸情形)。See Data Protection Directive (95/46/EC), Article 4.。對于第一種情形中“設(shè)立機構(gòu)”(Establishment)的界定，95指令序言(19)明確，設(shè)立機構(gòu)意味著通過“穩(wěn)定安排”(Stable Arrangement)的有效且真實的活動實施，在法律形式上是法人的分支機構(gòu)或子公司不是決定性因素(5)See Data Protection Directive (95/46/EC), Recital 19.。對于第三種情形中“設(shè)備”(Equipment)的界定，原歐盟第29條工作組(Article 29 Data Protection Working Party，以下簡稱“WP29”)建議對其進行寬泛的解釋，包括人或技術(shù)中介，如調(diào)查或查詢活動(6)See Article 29 Data Protection Working Party.Opinion 8/2010 on applicable law [EB/OL].(2010-12-16)[2021-01-16].https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp179_en.pdf。由此可見，在受法律概念文義范圍限制的情況下，歐盟希望通過對概念解釋的技術(shù)性擴張來盡可能地擴大95指令的域外適用范圍，從而實現(xiàn)其立法目的。事實上，95指令序言(20)在一定程度上采納了國際法中的效果原則，其明確位于第三國的主體的數(shù)據(jù)處理行為不應(yīng)阻礙95指令對個人的保護，在此等情形下，其應(yīng)當受到“所使用的工具”(Means Used)所在地成員國的法律約束(7)See Data Protection Directive (95/46/EC), Recital 20.。但細究之，即可發(fā)現(xiàn)，無論是設(shè)立機構(gòu)還是設(shè)備，其立法思路仍強調(diào)處理行為與成員國領(lǐng)土之間的“物理連接”(Physical Link)[14]，因而并非完全的效果原則。領(lǐng)土上的連接固然是效果原則適用的主要動因，但卻并非唯一的觸發(fā)因素?？梢哉f，95指令在域外效力制度上邁出了重要一步，但在法律規(guī)定上仍以地域聯(lián)系為中心，這在一定程度上會導致其受法律條文本身的限制而影響其域外適用范圍。

司法實踐中，歐盟法院(Court of Justice of the European Union，簡稱“CJEU”)在“Weltimmo”案中摒棄了形式主義認定方式，對設(shè)立機構(gòu)采取了更接近其實質(zhì)的解釋。法院認為，只要特定的數(shù)據(jù)控制者在某個成員國領(lǐng)土范圍內(nèi)通過穩(wěn)定的安排，甚至是一個最小的機構(gòu)安排，實施了真實和有效力的活動，那么該數(shù)據(jù)控制者在這種背景條件下所實施的處理行為就要受到該成員國法律的約束(8)歐盟法院在該案中做出裁決所考慮的因素包括：(1)數(shù)據(jù)控制者的處理行為構(gòu)成對某個成員國境內(nèi)的財產(chǎn)提供交易服務(wù)的網(wǎng)站的運營且網(wǎng)站內(nèi)容以該成員國的通用語言來顯示，因而該處理行為在結(jié)果上是主要或完全針對某個成員國；(2)數(shù)據(jù)控制者在該成員國領(lǐng)土范圍內(nèi)有一個代表，該代表負責償還由數(shù)據(jù)處理行為所產(chǎn)生的債務(wù)并在有關(guān)數(shù)據(jù)處理行為的行政和司法程序中代表數(shù)據(jù)控制者。See Weltimmo s. r. o. v. Nemzeti Adatvédelmi és Információszabadság Hatóság, Case C-230/14, EU:C:2015:639.。在另一個案件中，法院明確指出，設(shè)立機構(gòu)的認定需要評估特定安排穩(wěn)定性的程度和活動實施的有效性，僅僅是網(wǎng)站的訪問并不構(gòu)成第4條(1)(a)中的設(shè)立機構(gòu)(9)Verein für Konsumenteninformation v. Amazon EU Sàrl, Case C-191/15, EU:C:2016:612.。在谷歌被遺忘權(quán)案件中，歐盟法院認為，谷歌西班牙公司在西班牙從事著通過穩(wěn)定安排的活動的真正有效執(zhí)行，構(gòu)成95指令中的設(shè)立機構(gòu)，谷歌西班牙公司意圖在其境內(nèi)推廣和銷售旨在使谷歌搜索引擎盈利的廣告位，谷歌總公司的搜索結(jié)果和相關(guān)廣告在同一網(wǎng)站頁面顯示，這種為使谷歌搜索引擎盈利而為的數(shù)據(jù)處理行為是在谷歌西班牙公司這一設(shè)立機構(gòu)活動背景下實施的，二者之間存在“無可擺脫的聯(lián)系”(Inextricable Link)，故而認定發(fā)生在美國的搜索引擎索引行為受95指令的約束[15]。歐盟法院作出裁決后，WP29于2015年12月發(fā)布了關(guān)于該案適用的指引，WP29指出，對于“免費+廣告”這一常見的商業(yè)模式，成員國境內(nèi)的設(shè)立機構(gòu)從事銷售廣告位并盈利或其他相關(guān)行為的，可以被認定為存在無可擺脫的聯(lián)系。對于其他商業(yè)模式和行為，非歐盟企業(yè)通過提供網(wǎng)絡(luò)服務(wù)來獲得會員費或用戶訂閱的行為，甚至是為捐贈目的而實施的處理行為，都可以在特定情況下被納入歐盟法的適用范圍[16]。

雖然確立了域外效力制度，但95指令存在的問題在于：一方面，在法律適用上，需要綜合考慮設(shè)立機構(gòu)對介入處理行為的程度、處理行為的性質(zhì)和有效數(shù)據(jù)保護的需求進行認定[17]，這種基于個案的認定方式給了法院很大的自由裁量權(quán)，但卻難以滿足法律的確定性要求，使得境外企業(yè)在數(shù)據(jù)合規(guī)上面臨較大的不確定性。另一方面，95指令域外效力制度僅適用于數(shù)據(jù)控制者，不包括處理者，一些境外的云服務(wù)商便可以基于此條規(guī)避法律義務(wù)。此外，必須存在領(lǐng)土連接的要求也在一定程度上排除了95指令對雖與歐盟沒有領(lǐng)土連接，但其處理行為卻對歐盟境內(nèi)數(shù)據(jù)主體產(chǎn)生實質(zhì)性影響的數(shù)據(jù)處理主體的適用，造成對不同數(shù)據(jù)主體的區(qū)別保護，這也為歐盟個人信息保護法域外效力制度的革新奠定了基礎(chǔ)。

(二)《歐盟通用數(shù)據(jù)保護條例》域外效力制度

2018年5月25日，《歐盟通用數(shù)據(jù)保護條例》(General Data Protection Regulation，以下簡稱“GDPR”)正式生效，它在肯定95指令設(shè)立機構(gòu)背景標準的基礎(chǔ)上，進一步擴大了域外效力范圍。在GDPR第3條中，第一和第二種情形均適用于數(shù)據(jù)控制者和處理者，加之GDPR第4章規(guī)定的各項法定義務(wù)，大大擴張了GDPR的域外適用范圍和強度。GDPR第3條(1)所確立的設(shè)立機構(gòu)標準包含了屬地管轄原則，也即設(shè)立機構(gòu)是數(shù)據(jù)控制者或處理者本身的情形，但是該標準又不限于此，而是具有了全球管轄的可能。此外，相較于95指令第4條(1)(c)將歐盟境內(nèi)的設(shè)備作為地域連接點的情形，GDPR第3條(2)突破了歐盟境內(nèi)設(shè)備的限制，通過對數(shù)據(jù)控制者或處理者的行為和目的是否針對歐盟市場進行直接管轄，從而將管轄權(quán)力真正擴大到全球。結(jié)合第3條(1)和(2)的內(nèi)容，GDPR其實是將所有與歐盟境內(nèi)的自然人存在密切聯(lián)系的處理行為都納入了條例管轄范圍，這種做法在事實上確立了一種新的管轄標準，即根據(jù)數(shù)據(jù)處理行為的實際效果來判斷個人信息保護法的適用與否，WP29將其稱為“效果原則”(Effects Principle)[19]。整體而言，GDPR在管轄原則上其實是以屬地原則為基礎(chǔ)，效果原則為補充，這種做法是歐盟立法者對大規(guī)模、常態(tài)化個人信息跨境處理行為的現(xiàn)實回應(yīng)。2019年11月12日，歐洲數(shù)據(jù)保護委員會(European Data Protection Board，以下簡稱“EDPB”)發(fā)布了《關(guān)于GDPR第3條地域范圍的指南》(Guidelines 3/2018 on the territorial scope of the GDPR (Article 3))，對三種適用情形作出了更進一步的解釋。相較于95指令，由于國際公法標準并未發(fā)生變化且主要針對公務(wù)機關(guān)的數(shù)據(jù)處理活動，故接下來筆者主要就GDPR中的“設(shè)立機構(gòu)標準”(Establishment Criterion)和“靶向標準”(Targeting Criterion)進行論述。

1.設(shè)立機構(gòu)標準

關(guān)于設(shè)立機構(gòu)標準，EDPB提出了一種“三重方法”(Threefold Approach)，包括歐盟設(shè)立機構(gòu)、在設(shè)立機構(gòu)背景下實施的處理行為、GDPR對數(shù)據(jù)控制者或處理者設(shè)立機構(gòu)的適用(無論處理行為是否發(fā)生在歐盟境內(nèi))。通過對這三個要件進行逐一判斷，最終確定GDPR第3條(1)是否適用。在上述三個要件中，EDPB認可了95指令以及司法實踐中關(guān)于設(shè)立機構(gòu)的判斷標準并進一步認為，在滿足一定條件的穩(wěn)定性要求下，境外企業(yè)在歐盟境內(nèi)設(shè)立的一個員工或一個機構(gòu)均可構(gòu)成一項穩(wěn)定的安排，從而觸發(fā)GDPR的域外適用。EDPB重點分析了設(shè)立機構(gòu)與數(shù)據(jù)控制者或處理者之間的連接問題。該問題的判斷需要綜合評估設(shè)立機構(gòu)與境外數(shù)據(jù)控制者或處理者之間是否存在無可擺脫的聯(lián)系，這是一項基于個案分析的判斷標準，法院具有較大的自由裁量權(quán)。在歐盟境內(nèi)已經(jīng)存在設(shè)立機構(gòu)的前提下，歐盟境外數(shù)據(jù)控制者或處理者與歐盟境內(nèi)設(shè)立機構(gòu)之間的聯(lián)系(無論設(shè)立機構(gòu)在數(shù)據(jù)處理活動中是否發(fā)揮作用)，通過歐盟境內(nèi)設(shè)立機構(gòu)實現(xiàn)的財務(wù)增長就是判斷GDPR是否適用的兩個重要參考因素。EDPB也舉例道，一家位于南非的度假連鎖酒店通過網(wǎng)站提供交易服務(wù)，網(wǎng)站語言包括英語、德語、法語和西班牙語，但其并沒有在歐盟設(shè)立辦公室、代表或穩(wěn)定的安排。在這種情形下，EDPB認為此種處理行為就不會觸發(fā)GDPR第3條(1)的適用。但需要特別注意的是，這并不意味著該情形就不適用于GDPR，如果其滿足靶向標準，則可以基于GDPR第3條(2)而觸發(fā)域外適用。

2.靶向標準

關(guān)于靶向標準，GDPR第3條(2)作出了明確規(guī)定，對于在歐盟境內(nèi)沒有設(shè)立機構(gòu)的數(shù)據(jù)控制者或處理者，以下兩種情形將觸發(fā)GDPR的適用。需要注意的是，兩種情形的一個共同前提是數(shù)據(jù)主體位于歐盟境內(nèi)，且這種判斷要基于處理行為發(fā)生時數(shù)據(jù)主體所在的具體位置并考慮處理行為所針對的用戶群體。對于針對歐盟境外用戶的網(wǎng)絡(luò)服務(wù)，臨時進入歐盟地區(qū)的境外用戶并不構(gòu)成本情形中的數(shù)據(jù)主體，不會觸發(fā)GDPR的域外適用。EDPB就此舉例道，一位美國人在歐洲度假，其下載了僅針對美國用戶的新聞APP，那么即使其身處歐盟境內(nèi)，在這種情形下也不會觸發(fā)GDPR的適用，原因在于該新聞APP并不符合靶向標準。該例證也反映出數(shù)據(jù)主體應(yīng)當是一種較為穩(wěn)定的存在，臨時度假的游客難以受到GDPR保護。

(1)該數(shù)據(jù)控制者或處理者為歐盟境內(nèi)的數(shù)據(jù)主體提供商品或者服務(wù)，無論該種商品或服務(wù)是否要求數(shù)據(jù)主體付費。從字面上看，這是一個非常抽象的表述。根據(jù)GDPR序言(23)，應(yīng)當確認是否明顯可知數(shù)據(jù)控制者或處理者意圖為歐盟成員國境內(nèi)的數(shù)據(jù)主體提供服務(wù)。如果僅僅是對數(shù)據(jù)控制者、處理者或中介機構(gòu)在歐盟境內(nèi)的網(wǎng)站、電子郵箱地址或其他聯(lián)系信息的訪問，或者是對數(shù)據(jù)控制者所在地第三國的通用語言的使用，都不足以證明其具有針對性地向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)的意圖。而諸如所使用的語言或貨幣通常被用于一個或多個成員國境內(nèi)且具有以該種語言或貨幣訂購商品或服務(wù)的可能性，或者所提及的消費者或使用者位于歐盟境內(nèi)等情形，可以明顯可知數(shù)據(jù)控制者或處理者意圖為歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)。EDPB指出它的核心在于界定“有關(guān)”(Related to)。對于數(shù)據(jù)處理行為的判斷應(yīng)當以其發(fā)生時為準，數(shù)據(jù)控制者或處理者所使用的語言、貨幣支付方式、提供搜索引擎服務(wù)、網(wǎng)站頂級域名、商品運送服務(wù)等因素可以作為認定網(wǎng)絡(luò)服務(wù)提供者針對歐盟境內(nèi)數(shù)據(jù)主體提供商品或服務(wù)意圖的根據(jù)。EDPB列舉的參考因素幾乎涵蓋了網(wǎng)絡(luò)服務(wù)的方方面面，倘若法院采取寬泛的界定標準或選擇性適用，勢必會引發(fā)GDPR域外適用的泛化，不僅不利于企業(yè)數(shù)據(jù)合規(guī)，反而會迫使境外企業(yè)因為營商環(huán)境嚴苛和不確定性而退出歐洲市場，損害歐洲消費者福利。

(2)該數(shù)據(jù)控制者或處理者的處理行為涉及對數(shù)據(jù)主體發(fā)生在歐盟境內(nèi)的行為的監(jiān)控。對于“監(jiān)控(Monitoring)”的界定，根據(jù)GDPR序言(24)，應(yīng)當確認該自然人是否在網(wǎng)絡(luò)中被追蹤，包括以個人數(shù)據(jù)處理技術(shù)為潛在后續(xù)使用而將數(shù)據(jù)主體建檔，特別是為了作出決策，或者是為分析或預測其個人偏好、行為和態(tài)度。EDPB進一步認為，GDPR序言中規(guī)定的用戶畫像行為僅僅是數(shù)據(jù)控制者或處理者實施監(jiān)控行為的一種方式，通過可穿戴設(shè)備或智能設(shè)備等其他方式實施的監(jiān)控行為也應(yīng)當被納入考量范圍。EDPB也列舉了常見的監(jiān)控行為，包括行為廣告、地理位置服務(wù)、利用Cookie或其他技術(shù)實施的網(wǎng)絡(luò)追蹤、個性化的飲食和健康分析服務(wù)、CCTV、基于個人檔案的市場調(diào)研或行為研究、監(jiān)控或定期報告?zhèn)€人健康狀況等。應(yīng)當說，這種列舉也涵蓋了當前網(wǎng)絡(luò)服務(wù)的主要實踐做法，保持了歐盟盡可能擴張其個人信息保護法域外效力的一貫態(tài)度，但同樣帶來法律的不確定性。

總體而言，GDPR第3條所確立的域外效力制度使得對被規(guī)制對象的認定標準從行為的相關(guān)屬地過渡到行為的影響，這種立法方式更接近數(shù)據(jù)主權(quán)的抽象實質(zhì)，但也帶來了法律適用上的不確定性。從國際法角度看，歐盟GDPR的規(guī)定“合法性問題不存在質(zhì)疑，合理性的判斷有賴于管轄邊界的進一步厘定”[22]。尤其是靶向標準，需要結(jié)合數(shù)據(jù)主體、數(shù)據(jù)處理行為主體、行為目的、行為方式等具體細節(jié)進行個案認定，而不應(yīng)當一概而論地進行籠統(tǒng)判斷。在戰(zhàn)略上，歐盟這種做法的實質(zhì)是以整個歐洲市場作為籌碼參與國際博弈，通過GDPR來“扭轉(zhuǎn)其在全球互聯(lián)網(wǎng)產(chǎn)業(yè)中的劣勢地位”[23]。在社會效應(yīng)上，GDPR的正式實施也引發(fā)了全球互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)合規(guī)成本的增加，一些互聯(lián)網(wǎng)企業(yè)被迫放棄歐盟市場。美國國家經(jīng)濟研究局(NBER)發(fā)布的報告顯示，在GDPR實施后，歐盟國家企業(yè)的融資總額、融資交易筆數(shù)以及每筆融資交易金額均大幅減少[25]。由此可見，GDPR域外效力的邊界也影響著歐盟地區(qū)數(shù)字經(jīng)濟的未來發(fā)展，這對我國而言也是一個警醒。

在程序性立法方面，在美國通過云法案之后，歐盟也于2018年4月17日出臺了《涉刑事電子證據(jù)提交和保存命令條例(建議稿)》(Proposal for a Regulation of the European Parliament and of the Council on European Production and Preservation Orders for Electronic Evidence in Criminal Matters)，以便執(zhí)法及司法當局能更快速地獲取電子證據(jù)，不論該數(shù)據(jù)存儲于歐盟境內(nèi)還是境外。該條例適用于向歐洲提供服務(wù)并具有實質(zhì)性連接的所有網(wǎng)絡(luò)服務(wù)商，在實施方式上包括兩種命令，即歐洲數(shù)據(jù)提交令(European Production Order)和歐洲數(shù)據(jù)保存令(European Preservation Order)(10)The European Commission. Proposal for a Regulation of the European Parliament and of the Council on European Production and Preservation Orders for Electronic Evidence in Criminal Matters[EB/OL]. (2018-04-17)[2022-07-15].https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM%3A2018%3A225%3AFIN.。在符合條件的情況下，要求電子通信服務(wù)商、信息社會服務(wù)商、互聯(lián)網(wǎng)域名服務(wù)機構(gòu)提供或保存電子證據(jù)，數(shù)據(jù)類型則包括用戶數(shù)據(jù)、訪問數(shù)據(jù)、交易數(shù)據(jù)和內(nèi)容數(shù)據(jù)。在性質(zhì)上，用戶數(shù)據(jù)中的身份信息、訪問數(shù)據(jù)中的登錄時間和IP地址、交易數(shù)據(jù)中的設(shè)備型號、內(nèi)容數(shù)據(jù)中的視頻音頻信息等均可能因其具有可識別性而構(gòu)成個人信息。可以說，該條例雖然限于刑事領(lǐng)域，但其通過后將為歐盟成員國獲取境外用戶個人信息提供法律依據(jù)。

三、美國個人信息保護法域外效力制度利弊衡量

(一)美國信息隱私法律域外效力制度

在域外效力制度方面，2000年4月21日，《美國兒童在線隱私保護法》(Children’s Online Privacy Protection Act，以下簡稱“COPPA”)正式生效，其規(guī)制對象為針對美國13歲以下兒童的網(wǎng)站或者在線服務(wù)的運營者，在地域適用范圍上包括了在外國運營網(wǎng)站或提供在線服務(wù)的企業(yè)，但并未具體規(guī)定何種情形會觸發(fā)COPPA的域外適用。2018年6月28日，《2018加利福尼亞消費者隱私法》(California Consumer Privacy Act of 2018，以下簡稱“CCPA”)正式通過。該法在域外效力部分有所規(guī)定，將“在加州有業(yè)務(wù)”(do business in the State of California)并處理加州居民個人信息的行為納入規(guī)制范圍(11)California Consumer Privacy Act 2018, Section 3,1798.140.，而無須考慮數(shù)據(jù)處理主體是否位于加州境內(nèi)，但并沒有對“在加州有業(yè)務(wù)”作出具體解釋，只是從反面規(guī)定，當處理行為“完全不在加州”(wholly outside of California)時不予適用。有學者指出，這一規(guī)定與歐盟的“設(shè)立機構(gòu)的活動”相等同，但對于在加州之外的數(shù)據(jù)控制者，即使其對加州居民實施監(jiān)控行為，若不被認定為“在加州有業(yè)務(wù)”，也不會觸發(fā)CCPA的適用[26]。筆者認為，首先需要注意的是，CCPA并非適用于所有規(guī)模的數(shù)據(jù)處理主體，而是需要滿足三個條件之一(12)根據(jù)CCPA的規(guī)定，所適用的企業(yè)應(yīng)當滿足：(1)年度總收入為2500萬美元；(2)購買、銷售或基于商業(yè)目的接受或分享50 000或更多消費者、家庭或設(shè)備的個人信息；(3)從銷售消費者的個人信息中獲得 50% 或更多的收入。See California Consumer Privacy Act 2018, Section 3,1798.140.。其次，CCPA采取了類似于效果原則的管轄標準。根據(jù)法律的文義解釋和目的解釋，其包括兩層含義，第一是在加州境內(nèi)有實際設(shè)立機構(gòu)，那么根據(jù)屬地管轄原則自然要受到約束。第二是在加州境外處理加州居民的個人信息，根據(jù)邏輯反推，在該處理行為與加州居民存在一定程度的聯(lián)系時，應(yīng)當受到約束，這一點類似于GDPR中的靶向標準。CCPA通過這一規(guī)定實現(xiàn)了兩種管轄原則的統(tǒng)一，但也存在進一步解釋的必要，以確定其邊界。

(二)《美國云法案》域外效力制度

《美國云法案》是刑事領(lǐng)域擴大境外數(shù)據(jù)調(diào)取執(zhí)法權(quán)限的一種新模式，旨在解決美國政府調(diào)取境外數(shù)據(jù)及外國政府獲取美國境內(nèi)數(shù)據(jù)的合法性及程序問題。該法出臺的直接動因來自“微軟訴美國政府”案，該案反映出美國1986年《存儲通信法》(Stored Communication Act)在政府跨境調(diào)取數(shù)據(jù)上的合法性難題，而通過“共同法律協(xié)助條約”(Mutual Legal Assistance Treaty)的方式又因其門檻高和流程緩慢而無法滿足網(wǎng)絡(luò)時代的跨境執(zhí)法效率需求。為此，美國國會于2018年3月迅速通過了《美國云法案》，它代表了美國通過國內(nèi)法而非國際會議等方式來設(shè)定國際新標準和規(guī)則的一次嘗試[27]，實質(zhì)在于依托美國大型跨國公司對全球數(shù)據(jù)的控制而“將自己的企業(yè)變成領(lǐng)土的延伸”[21]。

在具體內(nèi)容上，《美國云法案》第2713條規(guī)定：“一個提供電子通信服務(wù)或遠程計算服務(wù)的服務(wù)商應(yīng)該遵守本章提到的義務(wù)，包括保存、備份或披露有線或電子通訊的通訊內(nèi)容和任何記錄，以及任何供應(yīng)商擁有、監(jiān)管、控制的消費者或者訂閱者的信息；不管這些通訊、記錄或者其他信息位于美國境內(nèi)還是境外?！?13)13See US. Clarifying Lawful Overseas Use of Data Act,§2713. Required preservation and disclosure of communications and records.該規(guī)定并未限制企業(yè)或數(shù)據(jù)存儲的地域，美國司法部發(fā)布的白皮書進一步指出，考慮到位于境外，但向美國提供服務(wù)的企業(yè)與美國之間聯(lián)系的性質(zhì)、數(shù)量和質(zhì)量，只要這種聯(lián)系是充分的，那么就會觸發(fā)美國法律的適用[28]。因此，美國政府可以以此為由將其執(zhí)法權(quán)力擴張至全球。對于外國政府的跨境數(shù)據(jù)調(diào)取，《美國云法案》首先對外國適格政府的認定設(shè)置了較為嚴格的限制條件，且適格與否由美國當局裁定，具有較大的自由裁量權(quán)。即使?jié)M足了適格政府條件，外國政府的數(shù)據(jù)調(diào)取命令還應(yīng)當滿足11項要求(14)14See US. Clarifying Lawful Overseas Use of Data Act,§2523. Executive agreements on access to data by foreign governments.,“這體現(xiàn)了對其他國家數(shù)據(jù)主權(quán)的不尊重，是單邊主義和以美國為中心的表現(xiàn)”[29]?；诿绹屯鈬诳缇硵?shù)據(jù)調(diào)取上的不平等條件，“《云法案》實際上單方面賦予美國政府對全球絕大多數(shù)互聯(lián)網(wǎng)數(shù)據(jù)的‘長臂管轄權(quán)’，這對于強調(diào)‘隱私保護’乃至‘數(shù)字主權(quán)’的國家構(gòu)成了極大挑戰(zhàn)，必然會因此引發(fā)反彈”[30]。筆者認為，《美國云法案》的實質(zhì)是美國以技術(shù)和市場占優(yōu)的美國企業(yè)對全球數(shù)據(jù)的控制為籌碼，通過美國企業(yè)在全球的分布將法律武器延伸至世界各地，輸出美國式隱私保護標準，以最大化維護其國家利益。此外，《美國云法案》雖然以刑事執(zhí)法為由擴大了美國和外國政府獲取數(shù)據(jù)的能力，但也威脅了美國和外國民眾的隱私和言論自由，其合理邊界的確定仍需通過多邊協(xié)定形成跨境數(shù)據(jù)調(diào)取的國際標準[31]。

除歐美外，世界上其他國家，如英國、日本、韓國、南非、巴西等國也在近年相繼出臺或革新了個人信息保護相關(guān)法律。雖然在具體制度設(shè)計上存在差異，但在法律地域適用范圍上，將符合法定條件的境外數(shù)據(jù)控制者和處理者納入管轄范圍成為多數(shù)國家(地區(qū))的共通做法。例如，在《德國聯(lián)邦數(shù)據(jù)保護法》(Bundesdatenschutzgesetz，簡稱“BDSG”)第一節(jié)目的和范圍部分，區(qū)分了公共機構(gòu)和私人機構(gòu)，對于私人機構(gòu)，數(shù)據(jù)控制者或處理者在德國境內(nèi)或者是在德國設(shè)立機構(gòu)背景下實施的處理行為要受到約束。此外，受GDPR管轄的境外機構(gòu)同樣要受到該法的約束(15)15See German. Federal Data Protection Act, Part I, Chapter 1, Section 1.。《英國數(shù)據(jù)保護法2018》(Data Protection Act of 2018，以下簡稱“DPA2018”)第207條基本上沿用了GDPR的效果原則，將在英國設(shè)立機構(gòu)背景下實施的數(shù)據(jù)處理行為納入規(guī)制范圍。除此之外，對于在英國不存在設(shè)立機構(gòu)的情況下實施的數(shù)據(jù)處理行為，在GDPR第4條規(guī)定的第二種情形基礎(chǔ)上，還要求處理行為與英國境內(nèi)的數(shù)據(jù)主體有關(guān)，這一點與EDPB的意見一致。隨后，該條還規(guī)定了設(shè)立機構(gòu)的四種情形，其中甚至包括了自然人(16)16See UK. Data Protection Act 2018, 207 Territorial application of this Act.。相較于GDPR，英國DPA2018將效果原則規(guī)定得更加清晰，即凡是涉及英國境內(nèi)數(shù)據(jù)主體的處理行為，原則上都要受到約束。除此之外，南非、印度、巴西、澳大利亞以及我國臺灣地區(qū)、澳門地區(qū)的個人信息保護立法均對域外效力進行了規(guī)定，這些規(guī)定雖然在表述和具體認定上存在些許不同，但在實質(zhì)上，其內(nèi)容基本與GDPR一致，均是通過境外企業(yè)與主權(quán)國家或地區(qū)的聯(lián)系來擴大域外管轄范圍。

綜上可見，在個人信息保護法域外效力制度上，無論是歐盟GDPR還是《美國云法案》，其域外管轄的基礎(chǔ)均在于某種聯(lián)系，個人信息保護法域外效力范圍的邊界就取決于一國立法者對這種聯(lián)系緊密性的認定。在立法上，多數(shù)國家或地區(qū)以GDPR為參考，基本上以更具彈性的地域連接點為主要觸發(fā)條件。這一國際立法主流表明，在尚未形成國際慣例和條約的現(xiàn)狀下，通過國內(nèi)立法進行域外效力擴張是各國維護數(shù)據(jù)主權(quán)并參與網(wǎng)絡(luò)空間國際治理的共通做法，而由此引發(fā)的管轄權(quán)沖突也將加速雙邊或多邊國際條約的形成。

四、我國個人信息保護法域外效力制度的構(gòu)建

2020年10月21日，全國人大法工委發(fā)布的《關(guān)于<中華人民共和國個人信息保護法(草案)>的說明》明確指出，“借鑒有關(guān)國家和地區(qū)的做法，賦予本法必要的域外適用效力，以充分保護我國境內(nèi)個人的權(quán)益”。正式出臺的《個人信息保護法》在第3條規(guī)定了地域適用范圍，我國由此正式在法律層面確立了域外效力制度。這是一個大的突破，也是一次新的探索，但從域外法治實踐來看，個人信息保護法域外效力制度的構(gòu)建是一項系統(tǒng)性工程，它牽涉一國的政治、經(jīng)濟等多元利益考量，遠非一部《個人信息保護法》所能完成，還需要從執(zhí)法、司法、國際合作等方面豐富其內(nèi)容并使其真正落到實處。筆者認為，立足于《個人信息保護法》第3條的規(guī)定，我國未來還應(yīng)當從個人信息保護法域外效力制度的適用性、體系性和國際性三個層面進一步完善。

(一)強化個人信息保護法域外效力制度的適用性

我國《個人信息保護法》第3條第2款規(guī)定了三種域外適用情形。從其實質(zhì)內(nèi)容和表述上看，該項規(guī)定具有較為明顯的GDPR印跡，幾乎是GDPR第3條(2)在我國的翻版。但細究之可以發(fā)現(xiàn)，第一種情形直接采取了EDPB意見的核心，即目的決定論。第二種情形雖然與GDPR中的表述“監(jiān)控”不同，但是通過GDPR序言(24)可以看到，監(jiān)控包括對用戶的追蹤、畫像、分析和預測，也就是說，我國《個人信息保護法》直接將監(jiān)控行為進行了類型化列舉，二者在實質(zhì)含義上并無太大區(qū)別。第三種情形作為兜底條款，為我國未來個人信息保護相關(guān)立法預留了空間。第3條第2款的規(guī)定充分吸收了國外的立法經(jīng)驗，也幾乎囊括了所有可能的情形，但是這些規(guī)定在適用上仍存在進一步解釋的必要，例如對于第一種情形，按照EDPB的觀點，執(zhí)法和司法機關(guān)可以通過網(wǎng)站接入、語言和貨幣支付的使用、數(shù)據(jù)處理內(nèi)容等因素來綜合判斷特定處理行為的意圖。我國可基于這一觀點，出臺更加詳細的認定標準和參考因素，如營銷活動、官方網(wǎng)站對中國信息主體的提及等。對于第二種情形，按照EDPB的觀點，可以參考的因素包括：基于行為的廣告、基于具體地點的活動、通過網(wǎng)絡(luò)追蹤器(Cookie)監(jiān)測、在線定制膳食或分析健康狀況、采用閉路電視監(jiān)測、基于個人畫像施行調(diào)查問卷或其他行為研究、監(jiān)測或定期報告?zhèn)€體健康狀況(17)See European Data Protection Board, Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)[EB/OL].(2019-11-12)[2020-10-05].https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_3_2018_territorial_scope_after_public_consultation_en_1.pdf.。有學者指出，我國《個人信息保護法》中規(guī)定的分析和評估似乎涵蓋了GDPR中的監(jiān)控行為，其邊界不甚清楚[32]，因此，我國可以通過頒布相關(guān)實施細則對分析和評估的內(nèi)涵做進一步的明確，尤其是結(jié)合自動化決策行為的相關(guān)認定，從而為執(zhí)法和司法活動提供更加清晰的指引。

此外，我國《個人信息保護法》在第7章法律責任部分涵蓋了民事、行政和刑事責任，因此，域外效力制度的構(gòu)建不僅要考慮民事活動，還應(yīng)當考慮其他涉及國家安全、公共利益甚至國際犯罪的行為，在目前的立法框架下補充保護性管轄、普遍性管轄和基于國際公法產(chǎn)生的管轄，以實現(xiàn)保護的全面性和周延性。具體而言，對于屬地管轄，一般認為，一國的船舶和航空器在國際法上構(gòu)成一國領(lǐng)土范圍的延伸，因此，在未來的相關(guān)實施細則中，應(yīng)當明確在中華人民共和國船舶或者航空器內(nèi)處理自然人個人信息的活動，也適用《個人信息保護法》。對于保護性管轄，在境外個人信息處理行為涉及國家安全時，明確其適用我國《個人信息保護法》。對于普遍性管轄，在我國《刑法》第9條已經(jīng)確立普遍性管轄的基礎(chǔ)上，無需在《個人信息保護法》中重復規(guī)定，可通過第3條第2款(3)實現(xiàn)。對于我國在境外的使領(lǐng)館等機構(gòu)實施的個人信息處理行為，其也應(yīng)當受到我國《個人信息保護法》的約束，因此，在未來的相關(guān)實施細則中，應(yīng)當明確基于國際公法而適用《個人信息保護法》的個人信息處理活動。

(二)提升個人信息保護法域外效力制度的體系性

對于個人信息保護法域外效力制度而言，除了立法層面的明確規(guī)定外，執(zhí)法和司法層面的規(guī)則建構(gòu)亦十分重要。在一國法律中規(guī)定域外效力制度并非十分困難的事情，域外效力制度真正的困難在于實施，因此有學者把域外效力制度比喻為“立法者的美夢和法官的夢魘”(18)SVANTESSON D.Extraterritoriality and targeting in EU data privacy law: The weak spot undermining the regulation[J].International Data Privacy Law,2015,5(4):226-234.。因此，我國有必要構(gòu)建域外立法管轄和域外執(zhí)法管轄并存的法律制度，同時通過程序性立法保證數(shù)據(jù)跨境執(zhí)法活動的真實有效實施。

我國《個人信息保護法》在域外效力執(zhí)法規(guī)則構(gòu)建方面以防御為主。第41條對跨境數(shù)據(jù)調(diào)取作了基本性規(guī)定(19)《個人信息保護法》第41條：中華人民共和國主管機關(guān)根據(jù)有關(guān)法律和中華人民共和國締結(jié)或者參加的國際條約、協(xié)定，或者按照平等互惠原則，處理外國司法或者執(zhí)法機構(gòu)關(guān)于提供存儲于境內(nèi)個人信息的請求。非經(jīng)中華人民共和國主管機關(guān)批準，個人信息處理者不得向外國司法或者執(zhí)法機構(gòu)提供存儲于中華人民共和國境內(nèi)的個人信息。，根據(jù)這一規(guī)定，個人信息處理者在未經(jīng)國家主管機關(guān)批準的情況下不得向外國司法或者執(zhí)法機構(gòu)提供存儲于我國境內(nèi)的個人信息，這一規(guī)定將跨境數(shù)據(jù)調(diào)取的決定權(quán)交予國家主管機關(guān)，有利于充分保障我國的數(shù)據(jù)主權(quán)。除此之外，對于危害個人權(quán)益、公共安全或國家安全的個人信息處理行為，第42條還規(guī)定，國家網(wǎng)信部門可以將其列入限制或者禁止個人信息提供清單，予以公告，并采取限制或者禁止向其提供個人信息等措施。該條增強了對境外個人信息違法行為的阻擊力度?？傮w來看，我國《個人信息保護法》在域外效力制度實施方面的規(guī)定以防御為主，并未將我國的執(zhí)法權(quán)力延伸至境外，這一點與《美國云法案》不同，后者強調(diào)在何種情況下可以調(diào)取存儲于境外的數(shù)據(jù)。

在國際層面，個人信息保護跨境執(zhí)法問題同樣困難重重，其根本原因在于一國執(zhí)法權(quán)力受國家主權(quán)的限制，一般只能在本國領(lǐng)土范圍內(nèi)行使，而不能將執(zhí)法范圍擴張至他國領(lǐng)土，是否能夠得到執(zhí)行往往需要取決于他國的同意。為有效解決這一問題，國際上已經(jīng)有了相關(guān)的實踐做法，第一種是通過成立國際組織進行法律援助、信息共享和聯(lián)合調(diào)查等執(zhí)法合作，例如在經(jīng)濟合作組織(Organization for Economic Co-operation and Development，簡稱“OECD”)倡議下成立的“全球隱私執(zhí)法網(wǎng)絡(luò)”(Global Privacy Enforcement Network，簡稱“GPEN”)，該組織致力于國際數(shù)據(jù)執(zhí)法合作，目前已經(jīng)有美國、加拿大等多個國家加入了該組織。第二種做法就是通過雙邊協(xié)議或者多邊協(xié)議的方式開展執(zhí)法合作。有學者認為，“中國應(yīng)加強與其他國家數(shù)據(jù)保護機構(gòu)之間的合作，以解決對個人信息保護的跨境執(zhí)法，只有這樣，才能有效確保《個人信息保護法》域外適用的效果”。筆者認為，為確保個人信息保護法域外效力制度的合法有效執(zhí)行，我國還應(yīng)當提供相關(guān)配套制度來保障域外執(zhí)法活動的實施。因此，我國在《個人信息保護法》中確立域外效力制度之余，還應(yīng)當在程序性立法中予以跟進，不僅為域外效力制度的落地實施提供程序性操作指引，也為我國監(jiān)管機構(gòu)實施域外執(zhí)法活動提供法律依據(jù)。

在個人信息保護法域外效力制度的司法適用上，我國尚未形成明確的裁判標準，尤其是外國判決的承認和執(zhí)行問題。從歐美的司法實踐看，盡管已經(jīng)出臺了具體指引，但相關(guān)概念的界定仍存在較大的不確定性，而最終的裁判結(jié)果不僅會左右單個案件，還會影響其他境外企業(yè)的合規(guī)經(jīng)營，甚至會在一定程度上阻礙數(shù)字經(jīng)濟的全球化發(fā)展，造成網(wǎng)絡(luò)服務(wù)市場壁壘。尤其是基于效果原則實施的域外管轄，考慮到域外效力制度在一定程度上限制了他國的國家主權(quán)，“如果將管轄權(quán)擴大到與主張管轄權(quán)的國家沒有實質(zhì)聯(lián)系的人或活動，或者行使管轄權(quán)會不必要地侵犯外國主權(quán)或處于該國境外的外國國民利益，這不僅會導致國際局勢緊張化，在某些情況下甚至會構(gòu)成國際不法行為”[33]。因此，在司法適用方法上應(yīng)當遵循比例原則并建立在個案分析的基礎(chǔ)上，在實體裁判上遵循國際禮讓原則并尊重他國利益。只有合理界定域外效力的邊界，才能夠在國家主權(quán)、產(chǎn)業(yè)發(fā)展和個人權(quán)利保障之間保持動態(tài)平衡。

此外，為解決美國等國家的長臂管轄問題，“我國應(yīng)在立法、司法和行政層面形成組合拳，逐步實現(xiàn)從被動應(yīng)付到主動預防的轉(zhuǎn)變”[34]。對此，“封阻法令”(Blocking Statutes)就是一種行之有效的方式。有學者認為，“中國也可結(jié)合本國國情參考通過阻斷立法阻止《澄清域外合法使用數(shù)據(jù)法案》《通用數(shù)據(jù)保護條例》等他國長臂管轄對中國數(shù)據(jù)主體的適用，有效保障我國的公民隱私、企業(yè)數(shù)據(jù)權(quán)和國家網(wǎng)絡(luò)主權(quán)”[35]。對此，我國已經(jīng)采取了行動。2018年10月26日，我國通過《國際刑事司法協(xié)助法》，第4條的規(guī)定在一定程度上阻卻了外國司法執(zhí)法機關(guān)調(diào)取境內(nèi)數(shù)據(jù)的活動(20)《國際刑事司法協(xié)助法》第4條第3款：“非經(jīng)中華人民共和國主管機關(guān)同意，外國機構(gòu)、組織和個人不得在中華人民共和國境內(nèi)進行本法規(guī)定的刑事訴訟活動，中華人民共和國境內(nèi)的機構(gòu)、組織和個人不得向外國提供證據(jù)材料和本法規(guī)定的協(xié)助?！薄ａ槍昝绹l繁通過長臂管轄等方式對我國實施的經(jīng)濟制裁行為，2021年1月9日，我國商務(wù)部發(fā)布《阻斷外國法律與措施不當域外適用辦法》，授權(quán)相關(guān)工作機制通過禁令制度和必要的反制措施阻斷外國法律與措施的不當域外適用。

(三)加強個人信息保護法域外效力制度的國際性

與民法、刑法等傳統(tǒng)部門法不同的是，個人信息保護法具有鮮明的國際性。個人信息大規(guī)?？缇硞鬏?shù)纳鐣F(xiàn)實使得一國為了維護本國信息主體的合法權(quán)益而不得不將國家主權(quán)的邊界擴張至其他國家，個人信息保護法域外效力制度就是這種國際性的重要體現(xiàn)。當前，世界多個國家通過國內(nèi)立法擴大本國個人信息保護法的域外效力，為本國管轄域外個人信息處理活動提供了法律依據(jù)，但是與之相隨的一個問題就是各國主權(quán)國家之間的管轄權(quán)沖突問題。因為某一特定的個人信息處理行為在受到他國個人信息保護法約束的同時，也會因為屬地管轄而受到本國個人信息保護法的約束，由此引發(fā)管轄權(quán)沖突，“域外適用本國個人信息保護法的困境在于不同國家數(shù)據(jù)主權(quán)沖突下如何實現(xiàn)私權(quán)利保護的協(xié)調(diào)”[36]。對于這一問題，多數(shù)學者主張通過國際條約等方式來解決這一沖突，例如，有學者指出，面對美國的數(shù)據(jù)域外管轄，“中國應(yīng)積極聯(lián)合新興國家與發(fā)展中國家，主動參與國際數(shù)據(jù)合作機制的創(chuàng)立，提升在數(shù)據(jù)管轄方面國際規(guī)則體系構(gòu)建中的話語權(quán)”[37]。也有學者認為，域外效力條款沖突解決的方案之一是構(gòu)建區(qū)域性的個人信息保護機制，我國可以“以數(shù)字貿(mào)易為基礎(chǔ)逐步推進周邊國家的個人數(shù)據(jù)保護的區(qū)域統(tǒng)一協(xié)作，形成區(qū)域性個人數(shù)據(jù)保護機制”[38]。

筆者認為，個人信息保護法域外效力制度在適用過程中的國家主權(quán)沖突不可避免，在通過《個人信息保護法》第3條初步構(gòu)建起個人信息保護法域外效力制度之后，我國應(yīng)當積極參與個人信息保護法相關(guān)國際規(guī)則的制定。目前，在網(wǎng)絡(luò)空間命運共同體和“雙循環(huán)”新發(fā)展格局的指引下，我國不斷深化數(shù)字經(jīng)濟領(lǐng)域的國際合作，已經(jīng)發(fā)布了《“中國+中亞五國”數(shù)據(jù)安全合作倡議》并達成了《區(qū)域全面經(jīng)濟伙伴關(guān)系協(xié)定》(Regional Comprehensive Economic Partnership，簡稱“RCEP”)，后者由中國、日本、韓國、澳大利亞、新西蘭和東盟十國共15方成員制定，在第12章“電子商務(wù)”部分，第8條就涉及締約方之間就個人信息保護之間的合作，要求在制定保護個人信息的法律框架時，每一締約方應(yīng)當考慮相關(guān)國際組織或機構(gòu)的國際標準、原則、指南和準則。締約方應(yīng)當在可能的范圍內(nèi)合作，以保護從一締約方轉(zhuǎn)移來的個人信息。由此可見，我國已經(jīng)在區(qū)域性的個人信息保護法律制度上取得了一定成效，未來應(yīng)當進一步加強國際合作，積極參與并主導個人信息保護法國際條約的制定，促進個人信息保護法域外效力國際標準的形成。

五、結(jié)語

法乃公器，民為邦本。作為人類秩序的理性表達，法律既是公民權(quán)利的保障書，也是和平時期國家利益博弈的重要武器。歐盟和美國基于各自在全球數(shù)字經(jīng)濟產(chǎn)業(yè)版圖中的處境和發(fā)展目標，分別以市場和跨國企業(yè)為籌碼，確立了不同的域外效力制度。近年，我國數(shù)字經(jīng)濟規(guī)模不斷壯大，國內(nèi)開放程度不斷提高，國際影響力也不斷增強；但在數(shù)據(jù)保護法治建設(shè)方面，尚缺乏對個人信息保護法域外效力制度正當性、合理性等方面的體系性研究與制度建構(gòu)。由于該問題的復雜性，除了網(wǎng)絡(luò)法和國際法專家之外，還需要與宏觀政策專家以及執(zhí)法部門等多方參與主體的通力合作。在網(wǎng)絡(luò)強國戰(zhàn)略的推動下，我國應(yīng)當以豐富的互聯(lián)網(wǎng)業(yè)態(tài)和執(zhí)法司法實踐為基礎(chǔ)，以更加積極的態(tài)度面對國際數(shù)字經(jīng)濟發(fā)展環(huán)境，突破以本土規(guī)制為中心的立法思路，積極參與并推動網(wǎng)絡(luò)空間國際治理規(guī)則的制定，與其他國家合作共建網(wǎng)絡(luò)空間命運共同體。