歐盟GDPR的域外適用及對(duì)我國(guó)的借鑒

馬亞文　張? ?

摘要：大數(shù)據(jù)時(shí)代，跨境數(shù)據(jù)流動(dòng)帶來(lái)的管轄權(quán)難題，使得數(shù)據(jù)立法的域外適用成為各國(guó)及地區(qū)保障本國(guó)數(shù)據(jù)主權(quán)與安全的重要手段。對(duì)歐盟GDPR域外適用的歷史背景和適用現(xiàn)狀進(jìn)行研究，有助于借鑒歐盟經(jīng)驗(yàn)，進(jìn)一步提高我國(guó)數(shù)據(jù)法域外適用的水平。本文運(yùn)用了文本研究法與案例研究法，并結(jié)合GDPR的具體內(nèi)容，分析了歐盟GDPR域外適用的發(fā)展歷程、適用標(biāo)準(zhǔn)、發(fā)展成效，總結(jié)了歐盟GDPR域外適用的優(yōu)勢(shì)與缺陷。研究發(fā)現(xiàn)：歐盟GDPR域外適用的內(nèi)容設(shè)置與實(shí)踐成效有利于中國(guó)《個(gè)人信息保護(hù)法》域外適用條款的現(xiàn)實(shí)適用。我國(guó)在借鑒歐盟有益經(jīng)驗(yàn)的基礎(chǔ)上，加強(qiáng)《個(gè)人信息保護(hù)法》域外適用條款的解釋適用，綜合提高我國(guó)數(shù)據(jù)治理話語(yǔ)權(quán)，同時(shí)吸取歐盟的歷史教訓(xùn)，強(qiáng)化域外執(zhí)法合作。

關(guān)鍵詞：GDPR；域外適用；數(shù)據(jù)保護(hù)；《個(gè)人信息保護(hù)法》

當(dāng)前，數(shù)據(jù)已成為國(guó)家基礎(chǔ)性戰(zhàn)略資源和關(guān)鍵生產(chǎn)要素。數(shù)據(jù)的跨境流動(dòng)是數(shù)字經(jīng)濟(jì)發(fā)展的重要推動(dòng)力，其在創(chuàng)造巨大經(jīng)濟(jì)價(jià)值的同時(shí)，也對(duì)個(gè)人信息保護(hù)和國(guó)家安全構(gòu)成了實(shí)質(zhì)性威脅。數(shù)據(jù)跨境帶來(lái)的管轄權(quán)難題，使各國(guó)開(kāi)始思考如何擴(kuò)大本國(guó)法律的適用范圍至域外以充分保護(hù)本國(guó)數(shù)據(jù)主體的權(quán)利，數(shù)據(jù)立法的域外適用成為必然趨勢(shì)。所謂國(guó)內(nèi)法的域外適用，一般是指法律在本國(guó)管轄范圍之外產(chǎn)生確定拘束力，實(shí)現(xiàn)國(guó)內(nèi)法域外效力的過(guò)程。

2018年5月25日生效的歐盟《通用數(shù)據(jù)保護(hù)條例》（以下簡(jiǎn)稱(chēng)GDPR）是全球范圍內(nèi)影響最大的個(gè)人數(shù)據(jù)立法之一，其所設(shè)定的域外適用條款引發(fā)了國(guó)際上廣泛的爭(zhēng)議和討論。GDPR確立“經(jīng)營(yíng)場(chǎng)所標(biāo)準(zhǔn)”和“目標(biāo)指向標(biāo)準(zhǔn)”作為確定域外適用的衡量標(biāo)準(zhǔn)，以對(duì)本國(guó)數(shù)據(jù)主體進(jìn)行保護(hù)。我國(guó)2021年11月通過(guò)的《個(gè)人信息保護(hù)法》也借鑒了GDPR的立法實(shí)踐，確立了該法的域外效力?；诖耍疚囊訥DPR域外適用條款為重點(diǎn)，分析GDPR域外適用制度設(shè)計(jì)及適用現(xiàn)狀，以期給我國(guó)《個(gè)人信息保護(hù)法》的解釋和適用提供參考。

一、歐盟GDPR域外適用的背景及成因

（一）歐盟GDPR域外適用的歷史背景

歐盟一直是數(shù)據(jù)立法的引領(lǐng)者。于1970年制定頒布的數(shù)據(jù)保護(hù)法令是世界上第一部數(shù)據(jù)保護(hù)法令。自《關(guān)于保護(hù)隱私和個(gè)人數(shù)據(jù)國(guó)際流通的指南》到《關(guān)于個(gè)人數(shù)據(jù)自動(dòng)化處理的個(gè)人保護(hù)公約》，歐盟數(shù)據(jù)保護(hù)立法逐漸走向成熟。1995年，歐盟委員會(huì)頒布了《保護(hù)個(gè)人享有的與個(gè)人數(shù)據(jù)處理有關(guān)的權(quán)利以及個(gè)人數(shù)據(jù)自由流動(dòng)的指令》（以下簡(jiǎn)稱(chēng)“95指令”），由于95指令在各成員國(guó)適用存在較大差異，因此，歐盟委員會(huì)最終決定以《通用數(shù)據(jù)保護(hù)條例》（GDPR）取代95指令。

2018年5月25日，GDPR的生效使歐盟數(shù)據(jù)保護(hù)水平達(dá)到了前所未有的高度。GDPR作為歐盟頒布的專(zhuān)門(mén)性數(shù)據(jù)保護(hù)條例，直接適用于歐盟各成員國(guó)。自此，歐盟開(kāi)啟了數(shù)據(jù)立法域外適用的新局面。

（二）歐盟GDPR域外適用的現(xiàn)實(shí)成因

1．歐盟數(shù)字經(jīng)濟(jì)發(fā)展整體滯后。歐盟雖具備豐富的數(shù)據(jù)資源，但其數(shù)字經(jīng)濟(jì)發(fā)展卻相對(duì)滯后。根據(jù)世界銀行統(tǒng)計(jì)，2019年歐盟經(jīng)濟(jì)總量約占世界經(jīng)濟(jì)總量的15.77%，然而歐洲數(shù)字企業(yè)的市值占全球數(shù)字企業(yè)總市值卻不足4%。與此同時(shí)，臉書(shū)、谷歌等美國(guó)互聯(lián)網(wǎng)企業(yè)卻依托歐盟的數(shù)據(jù)市場(chǎng)優(yōu)勢(shì)獲得了發(fā)展。據(jù)統(tǒng)計(jì)，臉書(shū)在歐盟擁有超過(guò)2.5億用戶(hù)，歐洲市場(chǎng)的收入占臉書(shū)全球收入的25%。歐盟本土企業(yè)與非本土企業(yè)數(shù)據(jù)利用率的懸殊反映了歐盟數(shù)字經(jīng)濟(jì)發(fā)展的滯后，由此引發(fā)了歐盟對(duì)數(shù)據(jù)安全問(wèn)題的擔(dān)憂(yōu)。如何規(guī)制境外經(jīng)營(yíng)者處理境內(nèi)數(shù)據(jù)，充分保護(hù)數(shù)據(jù)主體權(quán)利成為歐盟數(shù)據(jù)立法亟待解決的關(guān)鍵問(wèn)題。

2．?dāng)?shù)據(jù)跨境傳輸協(xié)議的實(shí)踐困局。美國(guó)的行業(yè)自律模式與歐盟的統(tǒng)一監(jiān)管模式產(chǎn)生碰撞，使得歐美數(shù)據(jù)跨境傳輸協(xié)議危機(jī)重重?；陔p方經(jīng)濟(jì)利益和數(shù)據(jù)安全的考量，歐美先后制定了《安全港協(xié)議》、《隱私盾協(xié)議》，以及《跨大西洋數(shù)據(jù)隱私框架》數(shù)據(jù)跨境傳輸協(xié)議。然而，歐盟數(shù)據(jù)保護(hù)理念的分歧使雙邊數(shù)據(jù)跨境傳輸協(xié)議難以發(fā)揮作用，無(wú)法有效保護(hù)個(gè)人數(shù)據(jù)。

第一，安全港協(xié)議被判無(wú)效。2015年10月6日，歐盟法院判決安全港協(xié)議無(wú)效。2013年6月25日，奧地利律師馬克斯·施雷姆斯（Max Schrems），以其個(gè)人數(shù)據(jù)未得到充分保護(hù)為由向愛(ài)爾蘭數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)進(jìn)行申訴，要求禁止臉書(shū)愛(ài)爾蘭公司將其個(gè)人數(shù)據(jù)傳輸至美國(guó)總部。歐盟法院認(rèn)為，安全港協(xié)議存在數(shù)據(jù)安全隱患，其不再適合作為歐美數(shù)據(jù)傳輸?shù)摹凹~帶”。事實(shí)上，即使沒(méi)有棱鏡門(mén)事件，諸如美國(guó)數(shù)據(jù)保護(hù)水平的要求不符合95指令等安全港協(xié)議的自身問(wèn)題也將導(dǎo)致安全港協(xié)議無(wú)效。

第二，隱私盾協(xié)議被判無(wú)效。2020年7月，隱私盾協(xié)議被歐盟法院裁定無(wú)效。2015年底，施雷姆斯再次以相同理由向愛(ài)爾蘭數(shù)據(jù)保護(hù)委員會(huì)投訴要求其暫停Facebook使用標(biāo)準(zhǔn)合同條款向美國(guó)傳輸歐盟公民數(shù)據(jù)。由于二審期間隱私盾協(xié)議生效，愛(ài)爾蘭高等法院對(duì)隱私盾協(xié)議一并發(fā)起審查，認(rèn)為隱私盾協(xié)議存在以下問(wèn)題：第一，美國(guó)所開(kāi)展的情報(bào)活動(dòng)不符合比例原則。第二，美國(guó)未向歐盟數(shù)據(jù)主體提供有效救濟(jì)。由此可知，判決隱私盾協(xié)議無(wú)效合乎實(shí)際。

第三，《跨大西洋數(shù)據(jù)隱私框架》前途未知。2022年4月，歐盟數(shù)據(jù)保護(hù)委員會(huì)（EDPB）通過(guò)并宣布新的《跨大西洋數(shù)據(jù)隱私框架》的聲明。目前，《跨大西洋數(shù)據(jù)隱私框架》尚未出臺(tái)細(xì)致的法律規(guī)則，美國(guó)在初始協(xié)議中所做的承諾能否實(shí)現(xiàn)尚不確定。美國(guó)對(duì)外宣稱(chēng)崇尚自由，數(shù)據(jù)保護(hù)理念傾向于行業(yè)自律，其法律傳統(tǒng)在此次協(xié)議中能否改變尚存疑問(wèn)。并且，歐美數(shù)據(jù)跨境傳輸協(xié)議歷經(jīng)兩次失敗，美國(guó)能否吸取教訓(xùn)值得懷疑。

第四，互聯(lián)網(wǎng)新技術(shù)發(fā)展的立法回應(yīng)。95指令地域適用條款難以應(yīng)對(duì)信息技術(shù)的高速發(fā)展，無(wú)法有效保護(hù)歐盟數(shù)據(jù)主體的權(quán)利。2006年，云計(jì)算模式剛剛興起，企業(yè)可以依據(jù)行之有效的數(shù)據(jù)保護(hù)方法將依托云模式形成的商業(yè)潛力最大化。但云模式?jīng)]有物理界線，在一個(gè)國(guó)家產(chǎn)生的數(shù)據(jù)可在另一個(gè)國(guó)家被存儲(chǔ)，由此產(chǎn)生的數(shù)據(jù)保護(hù)問(wèn)題應(yīng)當(dāng)適用哪個(gè)國(guó)家的法律具有不確定性。

雖然2010年岡薩雷斯案的判決在一定程度上確立了95指令的長(zhǎng)臂管轄原則，但其無(wú)法有效解決信息技術(shù)發(fā)展帶來(lái)的歐盟數(shù)據(jù)保護(hù)問(wèn)題。2010年2月西班牙公民岡薩雷斯向西班牙數(shù)據(jù)保護(hù)局提出對(duì)西班牙報(bào)紙發(fā)行商La Vanguardia以及谷歌公司及其西班牙分支機(jī)構(gòu)（Google Spain SL，以下簡(jiǎn)稱(chēng)谷歌西班牙）的申訴，稱(chēng)網(wǎng)絡(luò)用戶(hù)可以使用谷歌搜索引擎搜索到顯示原告的房產(chǎn)因進(jìn)入追繳社保欠費(fèi)的扣押程序而被強(qiáng)制拍賣(mài)的公告。但是，原告認(rèn)為上述扣押程序早已被解決，因而要求西班牙報(bào)紙發(fā)行商La Vanguardia刪除或者修改有關(guān)頁(yè)面，并要求谷歌公司以及谷歌西班牙刪除或者屏蔽與之有關(guān)的個(gè)人信息。法院根據(jù)95指令的適用范圍條款判定該案適用95指令。此案件判決雖然表明95指令在符合一定條件時(shí)將產(chǎn)生域外適用的效果。然而，95指令在規(guī)定上的模糊性容易使案件的處理存在爭(zhēng)議，GDPR中設(shè)定的域外適用條款將有效避免上述爭(zhēng)議的發(fā)生。

二、歐盟GDPR域外適用標(biāo)準(zhǔn)認(rèn)定及成效評(píng)析

當(dāng)前，歐盟成員國(guó)通行的數(shù)據(jù)保護(hù)法為2018年發(fā)布的《通用數(shù)據(jù)保護(hù)條例》（以下簡(jiǎn)稱(chēng)GDPR），其取代95指令，成為歐盟各成員國(guó)可以直接適用的法律文件。其通過(guò)設(shè)置域外適用范圍條款的方式，擴(kuò)大歐盟的管轄范圍，將條例適用到歐盟以外的國(guó)家或地區(qū)，從而為歐盟數(shù)據(jù)的跨境流動(dòng)保駕護(hù)航。GDPR的實(shí)施對(duì)于歐盟乃至全世界的數(shù)據(jù)隱私保護(hù)有著深遠(yuǎn)的影響。

（一）GDPR域外適用標(biāo)準(zhǔn)設(shè)立及認(rèn)定

域外適用標(biāo)準(zhǔn)是歐盟GDPR域外適用的基礎(chǔ)。如何能夠使管轄范圍延伸到一般情況下本國(guó)法涉及不到的區(qū)域，或者如何能夠管理發(fā)生在本國(guó)境外的數(shù)據(jù)處理行為，關(guān)鍵在于擴(kuò)大管轄權(quán)，即將域外行為納入本國(guó)法的管轄范圍之內(nèi)。對(duì)于管轄范圍的確定，GDPR第3條確立了兩種域外適用標(biāo)準(zhǔn)：經(jīng)營(yíng)場(chǎng)所標(biāo)準(zhǔn)和目標(biāo)指向標(biāo)準(zhǔn)。

1．“經(jīng)營(yíng)場(chǎng)所標(biāo)準(zhǔn)”的設(shè)立及認(rèn)定。GDPR第3條第1款確立了“經(jīng)營(yíng)場(chǎng)所標(biāo)準(zhǔn)”，即如果數(shù)據(jù)控制者或處理者在歐盟境內(nèi)設(shè)置了經(jīng)營(yíng)場(chǎng)所，且該行為屬于經(jīng)營(yíng)場(chǎng)所的活動(dòng)范圍內(nèi)，無(wú)論其處理數(shù)據(jù)的行為是否發(fā)生在歐盟境內(nèi)，均受到該條例的管轄。該標(biāo)準(zhǔn)的關(guān)鍵在于“經(jīng)營(yíng)場(chǎng)所”和“數(shù)據(jù)處理行為是否屬于經(jīng)營(yíng)場(chǎng)所的活動(dòng)范圍之內(nèi)”的認(rèn)定。2019年11月12日，EDPB發(fā)布了《GDPR地域適用范圍的第3/2018號(hào)指南》，具體解釋了經(jīng)營(yíng)場(chǎng)所標(biāo)準(zhǔn)的適用條件。

第一，關(guān)于“歐盟境內(nèi)是否存在經(jīng)營(yíng)場(chǎng)所”的認(rèn)定。首先，根據(jù)GDPR序言第22條，經(jīng)營(yíng)場(chǎng)所是通過(guò)穩(wěn)定的安排開(kāi)展真實(shí)而有效的處理活動(dòng)的機(jī)構(gòu)，該機(jī)構(gòu)的法律形式并不能就此決定該機(jī)構(gòu)的性質(zhì)。EDPB指出，判斷設(shè)立在歐盟境外的企業(yè)在歐盟成員國(guó)內(nèi)是否存在經(jīng)營(yíng)場(chǎng)所，必須基于活動(dòng)和提供服務(wù)的特定性質(zhì)來(lái)判斷安排的穩(wěn)定程度和在該成員國(guó)從事活動(dòng)的有效性，尤其是在確認(rèn)專(zhuān)門(mén)通過(guò)互聯(lián)網(wǎng)提供服務(wù)的企業(yè)是否在歐盟境內(nèi)有商業(yè)存在。因此，在某些情況下，如果雇員或代理人在歐盟境內(nèi)的行為具有足夠穩(wěn)定性，則該非歐盟實(shí)體在歐盟境內(nèi)存在一個(gè)雇員或代理人可能構(gòu)成“穩(wěn)定的安排”這一要求。例如，總公司在美國(guó)的一家互聯(lián)網(wǎng)公司在布魯塞爾設(shè)立了分支機(jī)構(gòu)，負(fù)責(zé)監(jiān)督其在歐洲的營(yíng)銷(xiāo)業(yè)務(wù)，那么布魯塞爾分支機(jī)構(gòu)就被認(rèn)為是經(jīng)營(yíng)場(chǎng)所，符合經(jīng)營(yíng)場(chǎng)所標(biāo)準(zhǔn)。Weltimmo案進(jìn)一步對(duì)“經(jīng)營(yíng)場(chǎng)所”進(jìn)行擴(kuò)大解釋。在Weltimmo案中，鑒于Weltimmo公司在匈牙利有一名代表，且其負(fù)責(zé)與業(yè)務(wù)活動(dòng)有關(guān)的事項(xiàng)，最終歐洲法院認(rèn)定該公司在匈牙利存在經(jīng)營(yíng)場(chǎng)所而適用匈牙利數(shù)據(jù)保護(hù)相關(guān)規(guī)定。

第二，關(guān)于“數(shù)據(jù)處理行為是否屬于經(jīng)營(yíng)場(chǎng)所的活動(dòng)范圍之內(nèi)”的認(rèn)定。對(duì)此，EDPB提出了兩種分析：其一，要求數(shù)據(jù)處理行為與經(jīng)營(yíng)場(chǎng)所的業(yè)務(wù)范圍之間存在無(wú)法割裂的緊密聯(lián)系，無(wú)論境內(nèi)的經(jīng)營(yíng)場(chǎng)所是否參與了數(shù)據(jù)處理活動(dòng)，均會(huì)導(dǎo)致GDPR的適用；其二，如果在歐盟境內(nèi)的經(jīng)營(yíng)場(chǎng)所從事?tīng)I(yíng)利活動(dòng)，且該活動(dòng)被視為與歐盟境外的個(gè)人數(shù)據(jù)處理活動(dòng)以及歐盟境內(nèi)個(gè)人具有不可分割的關(guān)聯(lián)性，即可以表明“非歐盟境內(nèi)的數(shù)據(jù)控制者或處理者進(jìn)行處理活動(dòng)屬于在歐盟境內(nèi)經(jīng)營(yíng)場(chǎng)所的經(jīng)營(yíng)活動(dòng)范圍內(nèi)”。聚焦“數(shù)據(jù)處理行為”本身而不是數(shù)據(jù)處理行為發(fā)生的位置，這種立法角度將有效避免出現(xiàn)法律規(guī)避現(xiàn)象。

2．“目標(biāo)指向標(biāo)準(zhǔn)”的設(shè)立及認(rèn)定。GDPR第3條第2款確立了“目標(biāo)指向標(biāo)準(zhǔn)”，即如果數(shù)據(jù)處理者、控制者沒(méi)有在歐盟境內(nèi)設(shè)立經(jīng)營(yíng)場(chǎng)所，但其行為是向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或者服務(wù)，或者對(duì)歐盟境內(nèi)的數(shù)據(jù)主體進(jìn)行監(jiān)控，同樣屬于GDPR的管轄范圍。目標(biāo)指向標(biāo)準(zhǔn)的前身是95指令確立的設(shè)備使用標(biāo)準(zhǔn)，GDPR不再僅憑借處理數(shù)據(jù)的設(shè)備位置來(lái)確定法律的適用，而是將特定地域內(nèi)的數(shù)據(jù)處理行為作為確定法律適用的根據(jù)。一定程度上，目標(biāo)指向標(biāo)準(zhǔn)彌補(bǔ)了經(jīng)營(yíng)場(chǎng)所標(biāo)準(zhǔn)的缺陷，即在滿(mǎn)足“經(jīng)營(yíng)場(chǎng)所標(biāo)準(zhǔn)”的適用條件時(shí)，考慮該行為是否符合目標(biāo)指向標(biāo)準(zhǔn)中關(guān)于數(shù)據(jù)處理行為的要求。

（1）對(duì)歐盟內(nèi)的數(shù)據(jù)主體提供商品或者服務(wù)的理解。GDPR序言第23條指出，對(duì)于數(shù)據(jù)處理者或者控制者是否向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或者服務(wù)的理解，應(yīng)當(dāng)確定數(shù)據(jù)處理者或者控制者是否明確向歐盟境內(nèi)的數(shù)據(jù)主體提供服務(wù)。如果僅僅是訪問(wèn)歐盟的控制者、處理者或者中介網(wǎng)站、電子郵件地址或者其他聯(lián)系方式，或者僅使用控制者成立的第三國(guó)通用的語(yǔ)言，不足以確定這種意圖。與之相反，如果使用一個(gè)或者多個(gè)成員國(guó)通用的語(yǔ)言或者貨幣，并有可能以該語(yǔ)言訂購(gòu)商品和服務(wù)，或者提及在歐盟的客戶(hù)或者用戶(hù)，則表明控制者設(shè)想提供商品或者為歐盟境內(nèi)的數(shù)據(jù)主體提供服務(wù)。因此，在判斷數(shù)據(jù)控制者、處理者是否屬于向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或者服務(wù)時(shí)，應(yīng)當(dāng)綜合判斷行為的意圖。

（2）對(duì)發(fā)生在歐洲范圍內(nèi)的數(shù)據(jù)主體的活動(dòng)進(jìn)行監(jiān)控的理解。GDPR序言第24段指出，在判斷是否對(duì)歐盟境內(nèi)的數(shù)據(jù)主體進(jìn)行監(jiān)控時(shí)，應(yīng)當(dāng)確定是否在互聯(lián)網(wǎng)上跟蹤自然人，以及是否根據(jù)行為人在互聯(lián)網(wǎng)上的遺留數(shù)據(jù)適用特別技術(shù)對(duì)數(shù)據(jù)主體的個(gè)人偏好等進(jìn)行分析。例如，利用數(shù)據(jù)主體的網(wǎng)頁(yè)瀏覽數(shù)據(jù)為其制作用戶(hù)畫(huà)像。

（二）GDPR域外適用成效評(píng)析

經(jīng)過(guò)歐盟委員會(huì)和歐洲理事會(huì)長(zhǎng)達(dá)四年的醞釀和協(xié)商，GDPR開(kāi)啟了歐盟數(shù)據(jù)保護(hù)的新征程。其中GDPR第3條明確規(guī)定了法律適用范圍，提出了域外適用的標(biāo)準(zhǔn)，對(duì)于保護(hù)數(shù)據(jù)主體權(quán)利具有里程碑意義。鑒于《個(gè)人信息保護(hù)法》借鑒了GDPR域外適用的立法實(shí)踐，因此有必要分析GDPR域外適用的實(shí)踐效果。

1．域外適用的積極效應(yīng)。GDPR確立域外適用效力以來(lái)，產(chǎn)生了一定的積極成效。不僅為數(shù)據(jù)主體權(quán)利提供充分的保護(hù)和救濟(jì)，也有效推廣了數(shù)據(jù)治理領(lǐng)域的“歐盟標(biāo)準(zhǔn)”，進(jìn)一步爭(zhēng)奪數(shù)據(jù)治理國(guó)際話語(yǔ)權(quán)。具體包括以下兩個(gè)方面：

一方面，充分保護(hù)數(shù)據(jù)主體權(quán)利。充分保護(hù)數(shù)據(jù)主體權(quán)利是GDPR域外適用的出發(fā)點(diǎn)和落腳點(diǎn)。歐盟數(shù)據(jù)市場(chǎng)優(yōu)勢(shì)來(lái)源于歐盟境內(nèi)的數(shù)據(jù)主體的力量，保障數(shù)據(jù)主體權(quán)利是有效促進(jìn)數(shù)據(jù)資源豐富和更新的關(guān)鍵。歐盟通過(guò)設(shè)置域外適用標(biāo)準(zhǔn)擴(kuò)大歐盟法管轄范圍，以實(shí)現(xiàn)對(duì)于傳輸至境外國(guó)家或者地區(qū)的數(shù)據(jù)主體權(quán)利的充分保護(hù)。主要體現(xiàn)在以下兩點(diǎn)：其一，GDPR域外適用能夠同等保護(hù)傳輸至境外的數(shù)據(jù)，防止因各國(guó)數(shù)據(jù)保護(hù)水平的參差而面臨數(shù)據(jù)安全問(wèn)題。其二，數(shù)據(jù)主體申請(qǐng)權(quán)利救濟(jì)更加便捷。相較于跨境訴訟，數(shù)據(jù)主體更熟悉本國(guó)實(shí)體法和本國(guó)訴訟程序，其在本國(guó)起訴更為簡(jiǎn)單高效，從而有效保障數(shù)據(jù)主體獲得權(quán)利救濟(jì)。因此，GDPR域外適用在一定程度上可以實(shí)現(xiàn)數(shù)據(jù)主體權(quán)利保護(hù)最大化。

另一方面，有效輸出數(shù)據(jù)保護(hù)“歐盟標(biāo)準(zhǔn)”。當(dāng)前，跨國(guó)公司是歐盟數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)向外輸出的載體。為了利用歐盟的數(shù)據(jù)資源，許多知名跨國(guó)互聯(lián)網(wǎng)公司（谷歌、微軟、臉書(shū)等）在歐盟境內(nèi)設(shè)立了分支機(jī)構(gòu)。根據(jù)GDPR經(jīng)營(yíng)場(chǎng)所標(biāo)準(zhǔn)，分支機(jī)構(gòu)屬于經(jīng)營(yíng)場(chǎng)所范疇。此外，跨國(guó)公司的最大特點(diǎn)在于業(yè)務(wù)具有相通性，即一項(xiàng)業(yè)務(wù)可能會(huì)由多個(gè)分支機(jī)構(gòu)共同操作。倘若歐盟境外的分支機(jī)構(gòu)或者總公司意圖同歐盟境內(nèi)的分支機(jī)構(gòu)一同處理某項(xiàng)涉及歐盟數(shù)據(jù)的任務(wù)，也將會(huì)受到GDPR的制約。因此，歐盟利用跨國(guó)公司的上述特點(diǎn)以實(shí)現(xiàn)其數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)的對(duì)外輸出，促進(jìn)歐盟標(biāo)準(zhǔn)走向世界，從而有效提升歐盟在數(shù)據(jù)保護(hù)領(lǐng)域的國(guó)際話語(yǔ)權(quán)和影響力。目前，國(guó)際上還沒(méi)有形成統(tǒng)一的數(shù)據(jù)保護(hù)法律體系，歐盟數(shù)據(jù)保護(hù)領(lǐng)域話語(yǔ)權(quán)的大小對(duì)今后全球數(shù)據(jù)保護(hù)體系的內(nèi)容建設(shè)具有重要作用。并且，歐盟希望未來(lái)能夠借此建立起統(tǒng)一規(guī)范化數(shù)字市場(chǎng)、把握數(shù)字經(jīng)濟(jì)主權(quán)，在數(shù)字經(jīng)濟(jì)領(lǐng)域成為與美、中比肩的第三極。

2．域外適用的執(zhí)行難題。執(zhí)行難是GDPR域外適用中存在的突出問(wèn)題。歐盟的域外規(guī)制主要聚焦于數(shù)據(jù)保護(hù)領(lǐng)域，其意圖借助單一數(shù)據(jù)市場(chǎng)來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)處理者和控制者的管轄。然而，由于缺乏對(duì)數(shù)據(jù)保護(hù)域外執(zhí)行方案的進(jìn)一步說(shuō)明，也未解釋如何處理管轄權(quán)的沖突，GDPR域外適用在執(zhí)行方面正面臨一些風(fēng)險(xiǎn)和挑戰(zhàn)。

一方面，在尚未形成統(tǒng)一的數(shù)據(jù)保護(hù)體系之前，GDPR域外適用條款在執(zhí)行中容易同其他國(guó)家形成平行法上的沖突。有學(xué)者提出，個(gè)人數(shù)據(jù)保護(hù)法案在本質(zhì)上會(huì)涉及一國(guó)對(duì)數(shù)據(jù)領(lǐng)域的管制權(quán)，關(guān)系到國(guó)家數(shù)據(jù)主權(quán)和管轄利益，也在一定程度上反映了一國(guó)在數(shù)據(jù)治理方面的價(jià)值選擇。因此，由于每個(gè)國(guó)家價(jià)值選擇和數(shù)據(jù)治理理念的不同，其在數(shù)據(jù)保護(hù)方面也會(huì)形成不同的規(guī)制路徑和手段。GDPR域外適用條款僅為本地區(qū)法律管轄范圍的擴(kuò)張，與其他國(guó)家或地區(qū)的法律屬于平行關(guān)系，并不具備法律適用上的優(yōu)先性。

另一方面，歐盟域外執(zhí)行范圍過(guò)于寬泛化導(dǎo)致在實(shí)際執(zhí)行時(shí)出現(xiàn)選擇性執(zhí)行、理解性執(zhí)行的問(wèn)題。例如，2019年歐盟法院在對(duì)Google v．CNIL案的判決中對(duì)被遺忘權(quán)的執(zhí)行范圍進(jìn)行了澄清，最終判決谷歌公司刪除歐盟境內(nèi)谷歌系統(tǒng)上的涉及數(shù)據(jù)主體的內(nèi)容。同時(shí)，歐盟法院認(rèn)為GDPR的條款并沒(méi)有對(duì)谷歌公司位于歐盟境外的搜索引擎版本施加義務(wù)，谷歌公司無(wú)需刪除歐盟境外的其他搜索引擎版本上的內(nèi)容。此案件中涉及的言論自由和個(gè)人數(shù)據(jù)保護(hù)的位階矛盾在全球各個(gè)國(guó)家有不同的認(rèn)知和理解。因而，本案中的執(zhí)行范圍很難涉及世界上其他與歐盟理念相悖的國(guó)家或者地區(qū)。故而在本案中，GDPR僅對(duì)歐盟境內(nèi)的主體具有域外適用的執(zhí)行權(quán)，歐盟境外主體并不在域外適用的執(zhí)行范圍內(nèi)。

三、歐盟GDPR域外適用的中國(guó)借鑒

歐盟GDPR域外適用有益于使數(shù)據(jù)權(quán)利得到足夠保護(hù)，有效提升歐盟數(shù)據(jù)治理國(guó)際話語(yǔ)權(quán)。與此同時(shí)，其內(nèi)在缺陷也導(dǎo)致實(shí)踐中的執(zhí)行難問(wèn)題。我國(guó)《個(gè)人信息保護(hù)法》第3條在一定程度上借鑒GDPR立法實(shí)踐規(guī)定域外適用條款，但具體規(guī)定較為抽象，仍需進(jìn)一步澄清。因此，我國(guó)有必要在深入分析GDPR域外適用實(shí)踐情況的基礎(chǔ)上，進(jìn)一步完善我國(guó)《個(gè)人信息保護(hù)法》域外適用條款的解釋適用。

（一）加強(qiáng)對(duì)域外適用條款的解釋適用

《個(gè)人信息保護(hù)法》確立了域外適用的“處理行為發(fā)生地標(biāo)準(zhǔn)”和“目標(biāo)指向標(biāo)準(zhǔn)”，未來(lái)有必要進(jìn)一步細(xì)化解釋。第3條規(guī)定：“在中華人民共和國(guó)境內(nèi)處理自然人個(gè)人信息的活動(dòng)，適用本法。在中華人民共和國(guó)境外處理中華人民共和國(guó)境內(nèi)自然人個(gè)人信息的活動(dòng)，有下列情形之一的，也適用本法：（一）以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的；（二）分析、評(píng)估境內(nèi)自然人的行為；（三）法律、行政法規(guī)規(guī)定的其他情形。”分析可知，不同于GDPR的“經(jīng)營(yíng)場(chǎng)所標(biāo)準(zhǔn)”，《個(gè)人信息保護(hù)法》第3條第1款確立了“處理行為發(fā)生地標(biāo)準(zhǔn)”，但在具體實(shí)踐中，精確定位“處理行為發(fā)生地”難度極大。在數(shù)據(jù)傳輸過(guò)程中，可能會(huì)涉及多個(gè)位于不同位置的服務(wù)器以及遍布全球的網(wǎng)絡(luò)線路，數(shù)據(jù)傳輸?shù)目缇承允沟锰幚硇袨榈陌l(fā)生地不易被確定在某一特定位置。因此，對(duì)數(shù)據(jù)處理行為發(fā)生地的認(rèn)定是一項(xiàng)技術(shù)性較強(qiáng)的工作，難以準(zhǔn)確把握。因此，我國(guó)未來(lái)應(yīng)對(duì)“處理行為發(fā)生地標(biāo)準(zhǔn)”作細(xì)化解釋?zhuān)栽鰪?qiáng)其可適用性。例如，歐盟針對(duì)其“經(jīng)營(yíng)場(chǎng)所標(biāo)準(zhǔn)”中“數(shù)據(jù)處理行為是否位于經(jīng)營(yíng)場(chǎng)所的活動(dòng)范圍之內(nèi)”這一要件作出細(xì)化解釋?zhuān)慈绻麛?shù)據(jù)處理者或數(shù)據(jù)控制者的數(shù)據(jù)處理行為與該連接點(diǎn)具有緊密的聯(lián)系，即便數(shù)據(jù)處理行為本身沒(méi)有發(fā)生在歐盟境內(nèi)，亦受到GDPR的約束。此外，《個(gè)人信息保護(hù)法》第3條第2款受GDPR啟發(fā)，確立了“目標(biāo)指向標(biāo)準(zhǔn)”，對(duì)于何為“以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的”和“分析、評(píng)估境內(nèi)自然人的行為”有待于未來(lái)進(jìn)一步細(xì)化闡釋。例如，GDPR序言第23條對(duì)為歐盟內(nèi)的數(shù)據(jù)主體提供商品或者服務(wù)進(jìn)行闡釋?zhuān)磻?yīng)確定數(shù)據(jù)控制者或處理者明顯地打算向歐盟一個(gè)或多個(gè)成員國(guó)的數(shù)據(jù)主體提供服務(wù)。

（二）強(qiáng)化域外執(zhí)法合作

順利執(zhí)法是衡量域外適用條款現(xiàn)實(shí)效果的關(guān)鍵因素，也是數(shù)據(jù)保護(hù)法域外適用的重要手段。其中，域外執(zhí)法合作是順利執(zhí)法的關(guān)鍵所在。在當(dāng)前國(guó)際背景下，盡管各國(guó)可以依據(jù)本國(guó)法對(duì)域外案件進(jìn)行審理和執(zhí)行，但是由于強(qiáng)制性權(quán)利所具有的地域限制，跨越國(guó)家疆界進(jìn)行信息查詢(xún)、扣押相關(guān)設(shè)備、執(zhí)行行政罰款等行為多數(shù)取決于他國(guó)的意愿，因而，若得不到案件所涉國(guó)家的同意或者協(xié)作，執(zhí)法效果將不盡如人意。并且，在未經(jīng)別國(guó)同意的情況下，為執(zhí)行本國(guó)法律而在別國(guó)領(lǐng)土上采取執(zhí)法措施，也將違反國(guó)際法的有關(guān)規(guī)定。不僅如此，實(shí)際案例中也凸顯了執(zhí)法合作的重要性。以“Ag-gre-gate IQ”案為例，本案中，英國(guó)數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)信息專(zhuān)員辦公室（ICO）積極與加拿大和不列顛哥倫比亞省的相關(guān)機(jī)構(gòu)進(jìn)行跨境執(zhí)法合作，并通過(guò)加拿大所屬機(jī)構(gòu)向加拿大公司Aggregate IQ Data Ser-vices Ltd（以下簡(jiǎn)稱(chēng)AIQ）施壓，最終使得AIQ承認(rèn)其違法數(shù)據(jù)處理行為，順利完成域外執(zhí)法活動(dòng)，實(shí)現(xiàn)GDPR域外效力。但是，本案中兩國(guó)達(dá)成執(zhí)法合作主要是基于兩國(guó)相似的法律傳統(tǒng)、法律規(guī)定等先天優(yōu)勢(shì)，并不具備普適性。如前文所述，歐盟在GDPR域外適用的執(zhí)行方面仍存在平行法沖突、選擇性執(zhí)法等諸多妨礙域外適用效果的執(zhí)法難題，歐盟仍需要進(jìn)一步采取相關(guān)措施建立和完善具有普遍適用性的執(zhí)法合作機(jī)制。例如，歐盟積極參與全球合作網(wǎng)絡(luò)一“全球隱私執(zhí)法網(wǎng)絡(luò)”（GPEN），該網(wǎng)絡(luò)由全球60多個(gè)數(shù)據(jù)保護(hù)機(jī)構(gòu)組成，是目前唯一一個(gè)專(zhuān)門(mén)致力于數(shù)據(jù)執(zhí)法合作的全球網(wǎng)絡(luò)。同樣，為避免陷入與歐盟類(lèi)似的執(zhí)法困境，保證我國(guó)《個(gè)人信息保護(hù)法》域外執(zhí)法活動(dòng)的順利進(jìn)行，我國(guó)可以借鑒歐盟域外執(zhí)法經(jīng)驗(yàn)，加強(qiáng)域外執(zhí)法合作，通過(guò)提前與別國(guó)建立雙邊執(zhí)法合作框架，組織參與全球執(zhí)法合作網(wǎng)絡(luò)等方式在域外執(zhí)法中與別國(guó)開(kāi)展合作，協(xié)調(diào)進(jìn)行限制本國(guó)權(quán)利的域外執(zhí)法活動(dòng)，從而使得《個(gè)人信息保護(hù)法》等數(shù)據(jù)保護(hù)法規(guī)的域外效力條款不僅僅停留在文字上，而能切實(shí)發(fā)揮其域外效力。

（三）提升我國(guó)數(shù)據(jù)治理國(guó)際話語(yǔ)權(quán)

數(shù)據(jù)市場(chǎng)優(yōu)勢(shì)是我國(guó)提升數(shù)據(jù)治理體系國(guó)際話語(yǔ)權(quán)的重要支撐。我國(guó)的數(shù)據(jù)市場(chǎng)規(guī)模相當(dāng)龐大，根據(jù)第49次《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示，截至2021年6月，我國(guó)網(wǎng)民規(guī)模為10.11億，互聯(lián)網(wǎng)普及率達(dá)71.6%。作為世界最大的消費(fèi)市場(chǎng)之一，歐盟僅憑自身市場(chǎng)力量就足以將歐盟標(biāo)準(zhǔn)轉(zhuǎn)化為全球標(biāo)準(zhǔn)。哥倫比亞大學(xué)歐洲法律研究中心主任阿努·布拉德福德將歐盟的此種立法影響比作布魯塞爾效應(yīng)。簡(jiǎn)單來(lái)說(shuō)，即歐盟境外跨國(guó)公司覬覦歐盟的數(shù)據(jù)資源，但獲取并利用歐盟數(shù)據(jù)資源就必須促使其企業(yè)相關(guān)規(guī)制符合歐盟的標(biāo)準(zhǔn)，如此便達(dá)到歐盟標(biāo)準(zhǔn)影響境外國(guó)家的效果。同樣，我國(guó)可以依據(jù)數(shù)據(jù)市場(chǎng)優(yōu)勢(shì)，借鑒歐盟經(jīng)驗(yàn)，形成中國(guó)版“布魯塞爾效應(yīng)”。在立法層面，我國(guó)可以借鑒GDPR域外規(guī)制的相關(guān)內(nèi)容擴(kuò)大法律管轄范圍，同時(shí)通過(guò)數(shù)據(jù)立法表達(dá)我國(guó)的數(shù)據(jù)保護(hù)理念和目的。在貿(mào)易制度層面，我國(guó)應(yīng)在保障經(jīng)濟(jì)安全的基礎(chǔ)上盡可能放寬外資企業(yè)進(jìn)入中國(guó)市場(chǎng)，為我國(guó)數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)境外輸出做好工具準(zhǔn)備。最后，整合各方面力量依據(jù)市場(chǎng)優(yōu)勢(shì)由跨國(guó)公司的境內(nèi)機(jī)構(gòu)作為引線觸發(fā)至境外的機(jī)構(gòu)，對(duì)跨國(guó)公司形成連鎖反應(yīng)，從而實(shí)現(xiàn)中國(guó)標(biāo)準(zhǔn)的境外輸出。如此便能讓我國(guó)在全球數(shù)據(jù)治理體系的構(gòu)建中獲得更多的支持，贏得更多的話語(yǔ)權(quán)，實(shí)現(xiàn)維護(hù)數(shù)據(jù)主權(quán)和數(shù)據(jù)安全的目的。

四、結(jié)語(yǔ)

在形成統(tǒng)一的全球數(shù)據(jù)治理體系之前，避免數(shù)據(jù)跨境傳輸產(chǎn)生的國(guó)內(nèi)數(shù)據(jù)安全問(wèn)題，成為全球各國(guó)的關(guān)注焦點(diǎn)。歐盟將對(duì)人權(quán)的重視聚焦于對(duì)數(shù)據(jù)權(quán)利的保護(hù)，依據(jù)GDPR中的域外適用范圍內(nèi)容達(dá)成了對(duì)域外數(shù)據(jù)處理行為的有效規(guī)制。我國(guó)的域外適用內(nèi)容在《個(gè)人信息保護(hù)法》已經(jīng)有所體現(xiàn)，但仍存在諸多問(wèn)題。并且，面對(duì)不斷更新的互聯(lián)網(wǎng)發(fā)展態(tài)勢(shì)，持續(xù)完善域外適用條款的解釋適用仍是我國(guó)現(xiàn)今數(shù)據(jù)立法的主要任務(wù)。我國(guó)應(yīng)在堅(jiān)持以本國(guó)國(guó)情為前提的基礎(chǔ)上，大膽借鑒和創(chuàng)新歐盟的數(shù)據(jù)保護(hù)域外適用內(nèi)容。針對(duì)管轄范圍條款的內(nèi)容設(shè)定，我國(guó)應(yīng)在原始條款的基礎(chǔ)上對(duì)其進(jìn)行合理化解釋?zhuān)园l(fā)揮域外適用條款的主要功能。同時(shí)，針對(duì)歐盟出現(xiàn)的域外適用執(zhí)行難題，應(yīng)注重開(kāi)展國(guó)際執(zhí)法合作，保障我國(guó)數(shù)據(jù)法域外適用的可執(zhí)行性。另外，全球數(shù)據(jù)治理體系話語(yǔ)權(quán)關(guān)乎我國(guó)數(shù)據(jù)主權(quán)和國(guó)家安全，應(yīng)當(dāng)憑借數(shù)據(jù)市場(chǎng)優(yōu)勢(shì)依托跨國(guó)公司輸出我國(guó)數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，在國(guó)際上形成公信力和影響力，以提高我國(guó)在構(gòu)建全球數(shù)據(jù)治理體系中的地位。

參考文獻(xiàn)：

[1]金晶．歐盟《一般數(shù)據(jù)保護(hù)條例》：演進(jìn)、要點(diǎn)與疑義[J].歐洲研究，2018（4）：1-26．

[2]廖詩(shī)評(píng)國(guó)內(nèi)法域外適用及其應(yīng)對(duì)——以美國(guó)法域外適用措施為例[J].環(huán)球法律評(píng)論，2019（3）：166-178

[3]王志安云計(jì)算和大數(shù)據(jù)時(shí)代的國(guó)家立法管轄權(quán)——數(shù)據(jù)本地化與數(shù)據(jù)全球化的大對(duì)抗？[J].交大法學(xué)，2019（1）：5-20．

[4]European Parliament， Council of the European Union. Gen-eral Data Protection Regulation[EB/OL].[2021-07-15]

[5]中國(guó)信通院．全球數(shù)字經(jīng)濟(jì)白皮書(shū)——疫情沖擊下的復(fù)蘇新曙光[EB/OL]．[2022-7-9]．

[6]黃三魯.GDPR實(shí)施三周年觀察：歐盟向左，創(chuàng)新向右[EB/OL].[2022-7-8]

[7]中技所研究部．科技監(jiān)管領(lǐng)域的“布魯塞爾效應(yīng)”將對(duì)數(shù)字經(jīng)濟(jì)產(chǎn)生什么影響[EB/OL].[2022-7-8]

[8]Davinia Brennan.The European Commission releases EU-US Privacy Shield[EB/OL].[2022-7-8]

[9]劉志雄跨境數(shù)據(jù)流動(dòng)的全球態(tài)勢(shì)及對(duì)我國(guó)的啟示[J]人民論壇，2021（33）：102-105．

[10]單文華，鄧娜．歐美跨境數(shù)據(jù)流動(dòng)規(guī)制：沖突、協(xié)調(diào)與借鑒——基于歐盟法院“隱私盾”無(wú)效案的考察[J].西安交通大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2021，41（5）：94-103

[11]European Commission.European Commission and UnitedStates Joint Statement on Trans- Atlantic Data PrivacyFramework．[EB/OL]

[12]任曉玲個(gè)人數(shù)據(jù)保護(hù)立法推動(dòng)技術(shù)創(chuàng)新——?dú)W盟擬修訂《數(shù)據(jù)保護(hù)指令》[J].中國(guó)發(fā)明與專(zhuān)利，2011（1）：100.

[13]漆彤，施小燕大數(shù)據(jù)時(shí)代的個(gè)人信息“被遺忘權(quán)”——評(píng)岡薩雷斯訴谷歌案[J].財(cái)經(jīng)法學(xué)，2015（3）：104-114

[14]Case C-131／12 Google Spain SL and Google Inc. v. Agen-cia Espanola de Proteccion de Datos （AEPD） andMarioCosteja Gonzalez.37.

[15]The European Data Protection Board. Guidelines 3/2018on the territorial scope of the GDPR （Article 3）.[EB/OL][2022-7-9].

[16]Case C230/14 Weltimmo s.r.o.v.Nemzeti Adatvedelmi ésInformacioszabadsag Hatosag

[17]洪延青，朱玲鳳，張朝，等歐盟提出“技術(shù)主權(quán)”概念引領(lǐng)歐盟數(shù)字化轉(zhuǎn)型戰(zhàn)略[J].中國(guó)信息安全，2020（03）：70-74．

[18]王雪，石?。?dāng)?shù)據(jù)立法域外管轄的全球化及中國(guó)的應(yīng)對(duì)[J].知識(shí)產(chǎn)權(quán)，2022（4）：54-75．

[19]曹亞偉．國(guó)內(nèi)法域外適用的沖突及應(yīng)對(duì)——基于國(guó)際造法的國(guó)家本位解釋[J].河北法學(xué)，2020，38（12）：81-101．

[20]Orla Lynskey.Extraterritorial Impact in Data ProtectionLaw through an EU Law Lens[J].Brexit Institute WorkingPaper Series-No.8， 2020：3.

[21]Google LLC， Successor in Law to Google Inc.v Com-mission nationale de l'informatique et des libertes （CNIL）（C-507/17）[2019]

[22]李揚(yáng)，林浩然我國(guó)應(yīng)當(dāng)移植被遺忘權(quán)嗎[J].知識(shí)產(chǎn)權(quán)，2021（6）：50-65

[23]陳詠梅，伍聰聰歐盟《通用數(shù)據(jù)保護(hù)條例》域外適用條件之解構(gòu)[J].德國(guó)研究，2022，37（2）：85-124

[24]Dan Jerker B Svantesson.Extraterritoriality and Targetingin EU Data Privacy Law： The Weak Spot Underminingthe Regulation[J].International DataPrivacy Law， 2015：226-234

[25]Benjamin J Keele.lnformation Sovereignty： Data Priva-cy， Sovereign Powers and the Rule of Law[J].Internation-aIJournalofLegallnformation， 2018： 123-124.

[26]Extraterritorial Application of The GDPR： Lessons fromRecent Developments[EB/OL].（2018-11-08）

[27]俞勝杰，林燕萍《通用數(shù)據(jù)保護(hù)條例》域外效力的規(guī)制邏輯、實(shí)踐反思與立法啟示[J].重慶社會(huì)科學(xué)，2020（06）：62-79.

[28]中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心．中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告[EB/OL].[2022-7-9]

【基金項(xiàng)目】本文系北京市社會(huì)科學(xué)基金規(guī)劃項(xiàng)目“北京自動(dòng)駕駛示范應(yīng)用中的人工智能關(guān)鍵技術(shù)法律規(guī)制問(wèn)題及對(duì)策研究”（編號(hào)：20FXC028）研究成果之一。

【作者簡(jiǎn)介】馬亞文（1997-），女，中國(guó)人民公安大學(xué)法學(xué)院碩士研究生：研究方向：國(guó)際法，數(shù)據(jù)法。張溪瑨（1990-），女，中國(guó)人民公安大學(xué)法學(xué)院講師；研究方向：國(guó)際法，數(shù)據(jù)法。