張曉嵐 王鵬

（上海政法學(xué)院，上海 201602）

《中華人民共和國個人信息保護(hù)法》（以下簡稱《個人信息保護(hù)法》）作為我國針對個人信息處理行為進(jìn)行規(guī)范的法律，改變了長期以來我國個人信息保護(hù)領(lǐng)域缺乏專門法律規(guī)范的境況?！秱€人信息保護(hù)法》的出臺終結(jié)了以往對個人信息的保護(hù)只能依靠民法基本法和一系列行政法規(guī)進(jìn)行查缺補漏式規(guī)范的時代，與《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》共同構(gòu)成我國信息安全方面的法律基石?！秱€人信息保護(hù)法》對個人信息提供的保護(hù)水平相當(dāng)之高：內(nèi)容上公私兼?zhèn)?，既明確“個人信息權(quán)益”的內(nèi)容范圍，也強調(diào)對“個人信息處理行為”的公法監(jiān)管；既統(tǒng)合私主體和公權(quán)力機關(guān)的義務(wù)與責(zé)任，也兼顧個人信息保護(hù)與利用。在效力范圍方面，《個人信息保護(hù)法》第三條突破了以地理邊界作為法律效力范圍的傳統(tǒng)做法，對境內(nèi)外處理我國境內(nèi)自然人個人信息的活動進(jìn)行了分別安排，呈現(xiàn)出明顯的域外管轄的效果，擴展了我國對公民個人信息保護(hù)的界限。

一、《個人信息保護(hù)法》域外管轄的法理基礎(chǔ)

《個人信息保護(hù)法》的調(diào)整對象是個人信息處理者與我國境內(nèi)自然人之間因個人信息處理活動形成的社會關(guān)系，既包括平等民事主體間發(fā)生的個人信息處理關(guān)系；也包括國家機關(guān)與自然人間形成的個人信息處理關(guān)系。當(dāng)《個人信息保護(hù)法》在調(diào)整平等主體間個人信息處理關(guān)系時，作為被規(guī)范對象的信息處理行為并不必然發(fā)生于我國境內(nèi)。互聯(lián)網(wǎng)是沒有國界的，個人信息處理者即便沒有在我國境內(nèi)設(shè)立機構(gòu)，不曾在我國境內(nèi)直接開展過信息處理行為，也不妨礙其在任意時間通過委托或買賣等方式收集我國境內(nèi)的個人信息，并加以分析使用。例如，亞馬遜公司（Amazon）作為全球性的電子商務(wù)巨頭，在美國華盛頓州的總部完全可以通過其在中國設(shè)立的子公司獲取中國地區(qū)用戶的個人信息并進(jìn)行分析監(jiān)測。當(dāng)境外個人信息處理者能夠有效取得境內(nèi)用戶個人信息時，《個人信息保護(hù)法》如果僅針對境內(nèi)信息處理者適用而放棄對境外信息處理者的管轄，不僅違背了充分保護(hù)原則，實際上會減損《個人信息保護(hù)法》的權(quán)威性。由此可見，為了充分、完整保護(hù)個人信息主體的合法權(quán)益，《個人信息保護(hù)法》必須具有涉外效力。

國際法并不禁止一國法律擁有域外效力。內(nèi)國法的域外效力通常表現(xiàn)為某個外國對象的行為被內(nèi)國法加以管轄。目前，國際社會中以內(nèi)國法進(jìn)行域外管轄的情況并不鮮見，主要集中在證券金融法等國際法尚未形成統(tǒng)一國際規(guī)范的領(lǐng)域。在個人信息保護(hù)方面，歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）以及之前的一系列立法均規(guī)定了域外適用的效力。在涉外管轄方面，判斷一部法律的域外適用是否符合國際法，要看它所適用的事件、行為或人是否與立法國的和平、秩序和良好統(tǒng)治有關(guān)聯(lián)。國際常設(shè)法院在“荷花號案”的判決中論述道：“國際法沒有規(guī)定普遍禁止，即各國不得將其法律的適用和法院的管轄權(quán)擴大到其領(lǐng)土以外的個人、財產(chǎn)和行為，而是在這方面為各國留下了廣泛的自由裁量權(quán)，只在某些情況下受到禁止性規(guī)則的限制；至于其他情況，每個國家仍然可以自由地采取它認(rèn)為最好和最合適的原則。”該判決作出于100 年前，當(dāng)年國際法并沒有建立起一套“普遍禁止”的規(guī)定?？v觀當(dāng)今國際社會，國際法雖然在打擊國際犯罪、保護(hù)外交人員、國際貨物交易等方面形成具有相對一致性的國際規(guī)則，但在國際金融、個人信息保護(hù)等領(lǐng)域尚未形成統(tǒng)一的國際習(xí)慣。建立含有“普遍禁止”的規(guī)定尚且遙遙無期。由此觀之，賦予個人信息保護(hù)類法律以域外效力并不違法國際法，國際法甚至為各國留下了“廣泛的自由裁量權(quán)”。是故，當(dāng)一個法律領(lǐng)域尚且處于探索階段、尚未形成國際共識的時候，想要建立具有普適性的共同規(guī)范最好的方法是“留白”：首先國際法靜默不語，讓各個國際主體以自身實踐為藍(lán)本提出多種法律范式，不同法律范式之間“百家爭鳴”，繼而逐步“求同存異”，由此形成能為國際社會普遍接受的國際習(xí)慣，最終在此基礎(chǔ)上進(jìn)行總結(jié)、歸納而誕生國際成文法。觀察任何國際法規(guī)則的發(fā)展歷史，無不是遵循這樣的路徑。

二、《個人信息保護(hù)法》域外效力擴張的現(xiàn)實基礎(chǔ)

法律是對既存社會關(guān)系進(jìn)行歸納后形成的具有普適性的社會規(guī)范，個人信息保護(hù)法必然反映當(dāng)下信息技術(shù)發(fā)展形成的數(shù)據(jù)社會關(guān)系。因此，想要在實然層面理解《個人信息保護(hù)法》所具有域外適用效力的合理性，就需要探究個人信息作為一種數(shù)據(jù)的獨特性質(zhì)和當(dāng)前個人信息保護(hù)立法的國際背景。

（一）個人信息數(shù)據(jù)的虛擬性要求個人信息的保護(hù)應(yīng)脫離地域限制

以超級計算機發(fā)展為基礎(chǔ)的信息技術(shù)革命改變了社會生產(chǎn)方式和人類生活方式。信息技術(shù)的勃興一方面使得個人信息能夠被事無巨細(xì)地記錄下來，這些信息能夠反映出信息主體的各種偏好和習(xí)慣，因而具有極大的經(jīng)濟(jì)潛能。另一方面，個人信息處理者處理數(shù)據(jù)的能力前所未有地增強。如今個人信息處理行為無孔不入，即便是某些單獨不足以識別信息主體，但與其他信息碎片結(jié)合卻能拼湊出信息主體形象的信息碎片也被大量收集、分析。其中“個人信息處理者”的概念不帶有任何地理色彩，境外企業(yè)同樣能通過互聯(lián)網(wǎng)向境內(nèi)自然人提供信息服務(wù)。個人信息保護(hù)法具備涉外效力的現(xiàn)實背景在于個人信息數(shù)據(jù)跨境流動已經(jīng)成為現(xiàn)實。以國界作為確定一國法律效力范圍的傳統(tǒng)立法范式在涉及互聯(lián)網(wǎng)領(lǐng)域社會關(guān)系上顯得比較疲軟。因為數(shù)據(jù)是去中心化、虛擬化的產(chǎn)品，個人信息處理者能夠在任何地點的任意一臺計算機上挖掘、分析、分配世界上任何一個信息主體的個人信息，云計算技術(shù)的發(fā)展更是使得數(shù)據(jù)處理行為能夠突破本地處理的限制。信息技術(shù)的突飛猛進(jìn)實際上形成了一個“無土地”的虛擬空間，這一空間中沒有界碑，只有無數(shù)個人信息數(shù)據(jù)恣意流動。在此情況下想要保護(hù)個人信息權(quán)益、規(guī)制個人信息處理行為，無法僅依賴特定地理概念作為確定管轄的依據(jù)。法律效力與國家主權(quán)界限之間的邏輯關(guān)系隨之發(fā)生改變。個人信息保護(hù)立法的效力范圍必然會擺脫地理邊界的限制，并且不可能呈現(xiàn)為對本國主權(quán)范圍內(nèi)個人信息處理法律關(guān)系放棄管轄的“內(nèi)縮”范式，而只能表現(xiàn)為爭取對本國主權(quán)范圍外的個人信息處理行為的“擴張”適用。

（二）國際實踐普遍賦予個人信息保護(hù)類法律以域外效力

目前，各國間個人信息保護(hù)水平不一、國際習(xí)慣尚未形成。各國網(wǎng)絡(luò)信息技術(shù)水平存在顯著差異，社會信息化程度高的國家個人信息保護(hù)法的水平較高，而社會信息化程度低的國家則缺乏進(jìn)行個人信息保護(hù)專門立法的現(xiàn)實基礎(chǔ)。在已經(jīng)建立個人信息保護(hù)體系的國家當(dāng)中，立法范式亦千差萬別，每個國家都會根據(jù)本國信息技術(shù)發(fā)展水平制定側(cè)重點不同的個人信息保護(hù)法。不過，基于個人信息數(shù)據(jù)脫離地域保護(hù)限制的特點，各國均為實現(xiàn)充分保護(hù)個人信息的目的而擴張本國個人信息保護(hù)法的域外效力。

各國在個人信息保護(hù)立法方面無一例外地向信息主體提供“充分保護(hù)”，即對自然人個人信息提供的保護(hù)應(yīng)當(dāng)是有效的、全面的。充分保護(hù)原則要求國家盡可能擴張個人信息受保護(hù)的范圍：凡本國自然人個人信息能夠流向的地方均應(yīng)當(dāng)受到本國個人信息保護(hù)法的調(diào)整。首先，個人信息基于其自身性質(zhì)和個人處分權(quán)的關(guān)系，應(yīng)由法律特殊保護(hù)。歐洲學(xué)者普遍認(rèn)為，對個人信息的保護(hù)屬于公民應(yīng)當(dāng)享有、不可剝奪的基本權(quán)利，2000年頒布的《歐盟基本權(quán)利憲章》更是將個人信息權(quán)利推到基本人權(quán)的高度。其次，在數(shù)據(jù)跨境流動頻繁的背景下，如果一國保護(hù)個人信息的法律效力不能追及位于境外的個人信息處理者，則其保護(hù)功能便流于形式。國家的首要職能在于保護(hù)國民，而個人信息與基本人權(quán)密不可分，能夠深刻影響個人的生產(chǎn)、生活，其形成的個人信息權(quán)益與人身自由、人格尊嚴(yán)一樣應(yīng)受充分保護(hù)，是法律的應(yīng)有之義。

（三）構(gòu)建個人信息保護(hù)法域外效力的統(tǒng)一共識

數(shù)據(jù)自由流通的天性要求主權(quán)國家更多地參與到制定數(shù)據(jù)跨境流通規(guī)則的構(gòu)建當(dāng)中去，其中也包括構(gòu)建個人信息保護(hù)領(lǐng)域的國際規(guī)則。當(dāng)尚未形成統(tǒng)一國際規(guī)則的時候，國內(nèi)立法勢必通過擴張本國個人信息保護(hù)法的域外效力對“無法之地”進(jìn)行填補。歐盟個人信息保護(hù)立法目前處于世界領(lǐng)先水平，通過域外效力規(guī)則的設(shè)定，將歐盟規(guī)則的適用范圍得以擴張到歐盟之外。這種通過擴張內(nèi)國法域外效力來實現(xiàn)國際層面規(guī)則協(xié)調(diào)的方式，勢必影響其他國家個人信息保護(hù)法規(guī)則的制定以及國際社會個人信息保護(hù)標(biāo)準(zhǔn)的最終水平?！秱€人信息保護(hù)法》擴張其域外效力，有助于推動我國在個人信息保護(hù)領(lǐng)域與其他擁有個人保護(hù)法律制度的國家進(jìn)行溝通交流，更多地了解其他國家個人信息保護(hù)立法、執(zhí)法的實際情況。優(yōu)化我國《個人信息保護(hù)法》，有助于提升我國個人信息保護(hù)職責(zé)部門工作人員的執(zhí)法能力。另一方面，適當(dāng)擴張《個人信息保護(hù)法》的涉外效力有助于我國參與填補國際個人信息保護(hù)規(guī)則的空白，為其他國家個人信息保護(hù)立法提供參考對象。如此，則能夠在未來國際間統(tǒng)籌個人信息保護(hù)立法實踐時積累更多法律構(gòu)建和法律適用的經(jīng)驗。這一過程也將提升我國在個人信息保護(hù)方面的法律影響力，為個人信息保護(hù)領(lǐng)域形成國際統(tǒng)一規(guī)則貢獻(xiàn)中國智慧。

三、《個人信息保護(hù)法》的域外適用范式

我國《個人信息保護(hù)法》的制定在一定程度上借鑒歐盟《個人信息保護(hù)法》（GDPR）的內(nèi)容，這主要由于我國同歐盟一樣在國際信息數(shù)據(jù)流通領(lǐng)域主要作為數(shù)據(jù)產(chǎn)生者的地位要強于作為數(shù)據(jù)處理者的地位；同時，GDPR 自身立法技術(shù)在國際個人信息保護(hù)領(lǐng)域獨步一時，其中許多內(nèi)容可供我國參考。與GDPR 第三條相似，《個人信息保護(hù)法》第三條所規(guī)定的適用范圍明顯不受地理限定性條件，其涉外效力不言自明。在適用標(biāo)準(zhǔn)方面《個人信息保護(hù)法》確立了以“個人信息處理行為”為主要依據(jù)的適用標(biāo)準(zhǔn)，這一點與GDPR“經(jīng)營場所標(biāo)準(zhǔn)”有所不同。

《個人信息保護(hù)法》第三條第一款規(guī)定，在中國境內(nèi)處理自然人個人信息的活動適用本法。由于本款確定的適用依據(jù)以個人信息處理行為發(fā)生地為標(biāo)準(zhǔn)，因而無需考慮境外個人信息處理者是否在我國境內(nèi)設(shè)立機構(gòu)，無需考慮信息主體身份否是中國公民，外國人在我國境內(nèi)的個人信息被處理時同樣適用《個人信息保護(hù)法》。還無需考慮境外個人信息處理者是否在我國境內(nèi)配備有數(shù)據(jù)處理終端或代理處理單位等情況。只要境外個人信息處理者的行為經(jīng)過判斷系在我國境內(nèi)做出，即受《個人信息保護(hù)法》約束?！秱€人信息保護(hù)法》第三條第二款是關(guān)于個人信息處理行為發(fā)生于境外而可適用本法的規(guī)定。主要適用于三種情形：（1）個人信息處理行為系以向中國境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的；（2）個人信息處理行為屬于分析、評估中國境內(nèi)自然人個人信息的行為；（3）法律、行政法規(guī)規(guī)定的其他情形。除情形（3）以外，分段《個人信息保護(hù)法》第三條第二款與GDPR 第三條第二款（a）（b）項的規(guī)定略顯類似。GDPR 在使用范圍方面最大的特點在于引入“效果原則”作為確定是否適用于域外對象的標(biāo)準(zhǔn)，而《個人信息保護(hù)法》第三條第二款同樣以境外處理個人信息行為的效果作為管轄的標(biāo)準(zhǔn)，體現(xiàn)出“效果原則”的特點。所謂效果原則，指以行為結(jié)果是否影響本國作為判斷本國管轄權(quán)存在與否的管轄原則。效果原則對屬地原則的適用做出高度彈性的設(shè)計，本質(zhì)上屬于屬地管轄原則的一個分支。其發(fā)軔于刑法領(lǐng)域，后來被美國法院移植用于反壟斷法中，開啟這一領(lǐng)域法律域外適用的先河。由于效果原則刻意淡化行為的地理因素，重點關(guān)注被法律調(diào)整的行為對本國所造成的影響而非行為發(fā)生地或行為人住所地，因而能夠?qū)l(fā)生在領(lǐng)土外但影響到本國的行為全部納入本國法律的適用范圍。這樣的特質(zhì)十分適合調(diào)整個人信息處理行為這類天生具有“無國界”性質(zhì)的活動。根據(jù)《個人信息保護(hù)法》第三條第二款的規(guī)定，即使個人信息處理者不在我國境內(nèi)，個人信息處理行為也沒有發(fā)生在我國境內(nèi)，只要個人信息處理者有對我國境內(nèi)的自然人進(jìn)行提供產(chǎn)品或服務(wù)的動機，或者只要個人信息處理行為構(gòu)成對我國境內(nèi)的自然人個人信息的數(shù)據(jù)處理，則《個人信息保護(hù)法》仍然有可能對該行為進(jìn)行管轄。在情形（1）的情況下，“目的”主要是境外個人信息處理行為的目的，并非境外個人信息處理者的目的。這是因為《個人信息保護(hù)法》第三條以個人信息處理行為作為管轄啟動的唯一要件，不考慮個人信息處理者的情況，只有將“目的”理解為個人信息處理行為的目的才符合第三條的內(nèi)在邏輯。換而言之，《個人信息保護(hù)法》的適用與否并不考慮境外個人信息處理者的主觀意圖，當(dāng)存在向中國境內(nèi)自然人提供產(chǎn)品或服務(wù)的行為時，無論提供產(chǎn)品或服務(wù)的主體實際期望為何，均不影響《個人信息保護(hù)法》的適用。在情形（3）的情況下，“分析和評估”的含義十分豐富。其基本涵蓋了《個人信息保護(hù)法》第四條中的“加工”行為的全部情形。在判斷境外個人信息處理者的行為是否構(gòu)成對境內(nèi)自然人個人信息“分析和評估”時，可以考慮是否存在自然人被“數(shù)據(jù)跟蹤”、個人信息處理者對自然人進(jìn)行“數(shù)據(jù)畫像”等情形。

司法活動中具體適用《個人信息保護(hù)法》第三條時，需要考慮個人信息處理行為與境外個人信息處理者之間的聯(lián)系緊密程度，只有當(dāng)二者間聯(lián)系足夠密切時方可將個人信息處理行為歸因于境外個人信息處理者。這種聯(lián)系的緊密程度應(yīng)當(dāng)達(dá)到“不可擺脫”的水平，即這種聯(lián)系應(yīng)當(dāng)是“不可擺脫的聯(lián)系”。關(guān)于如何理解“不可擺脫的聯(lián)系”，可以考慮以下幾個因素：（1）該行為是否屬于《個人信息保護(hù)法》列舉的八種個人信息處理行為之一；（2）個人信息處理者是否有可能通過該行為獲得利益，包括經(jīng)濟(jì)上的回報或商譽增長；（3）該行為在外觀上是否有充分理由使人相信是由該個人信息處理者做出的?！安豢蓴[脫的聯(lián)系”勢必會拓寬《個人信息保護(hù)法》的適用范圍，但在解釋過程中不宜過度擴展至所有聯(lián)系的情況，否則容易導(dǎo)致《個人信息保護(hù)法》過度管轄而難以取得境外個人信息處理者的敬畏。

四、結(jié)語

我們已經(jīng)身處信息網(wǎng)絡(luò)時代，互聯(lián)網(wǎng)將世界各地的人們緊密聯(lián)系，各國經(jīng)濟(jì)休戚與共。但是，數(shù)字信息領(lǐng)域的國際法統(tǒng)一實踐進(jìn)程卻遠(yuǎn)遠(yuǎn)慢于互聯(lián)網(wǎng)發(fā)展進(jìn)程，為了實現(xiàn)保護(hù)個人信息權(quán)益的立法目的，不可避免地需要擴張國家網(wǎng)絡(luò)主權(quán)，賦予《個人信息保護(hù)法》以域外適用效力。在司法實踐當(dāng)中，還需進(jìn)行個案分析，充分考慮影響本條適用的諸多因素，以便在將來通過司法解釋對本條的效力邊界做出更為精確的闡明。

[注釋]

①Lotus Case,PCIJ Series A,No.10,pp.19:Far from laying down a general prohibition to the effect that States may not extend the application of their laws and the jurisdiction of their courts to person,property and acts outside their territory,it leaves them in this respect a wide measure of discretion which is only limited in certain cases by prohibitive rules;as regards other cases,every State remains free to adopt the principles which it regards as best and most suitable.

②目前構(gòu)建了個人信息保護(hù)法律體系的主要有:歐盟及歐盟諸國、美國、日本、韓國、俄羅斯、加拿大等,但各國對個人信息權(quán)益的保護(hù)水平存在差異,其中歐盟的立法呈現(xiàn)出強烈的保護(hù)信息主體的意愿,美國則最為強調(diào)維護(hù)處理信息行為的自由程度。

③在“Google 被遺忘權(quán)案”中,歐盟數(shù)據(jù)保護(hù)第29 條工作組（ARTICLE 29 Data Protection Working Party）正是通過解釋“不可擺脫的聯(lián)系”的判定標(biāo)準(zhǔn)從而確定西班牙Google 和美國總部之間的聯(lián)系。這種“不可擺脫的聯(lián)系”同樣可以用作判斷《個人信息保護(hù)法》中個人信息處理者與其個人信息處理行為之間關(guān)聯(lián)的標(biāo)準(zhǔn)。