張哲，齊愛民

摘要：個(gè)人信息保護(hù)法域外效力制度是指一國對某一法域外處理個(gè)人信息的人、物或行為實(shí)施管轄，從而將其管轄范圍擴(kuò)展至該國領(lǐng)土之外的一種法律制度，其不僅是建立在各方參與主體切實(shí)利益需求之上的制度創(chuàng)新，在更宏觀的意義上，也是一國實(shí)現(xiàn)政治、經(jīng)濟(jì)等多元目的的法律武器。從《歐盟數(shù)據(jù)保護(hù)指令》到《歐盟通用數(shù)據(jù)保護(hù)條例》，歐盟進(jìn)一步擴(kuò)大法律域外效力范圍，確立了以屬地原則為主、效果原則為補(bǔ)充的管轄原則，并為多數(shù)國家所效仿，這種做法的實(shí)質(zhì)是以整個(gè)歐洲市場作為籌碼參與國際博弈。《美國云法案》以技術(shù)和市場占優(yōu)的美國企業(yè)對全球數(shù)據(jù)的控制為籌碼，通過美國企業(yè)在全球的分布將法律武器延伸至世界各地，輸出美國式隱私保護(hù)標(biāo)準(zhǔn)，以最大化維護(hù)其國家利益。在尚未形成國際慣例和條約的現(xiàn)狀下，通過國內(nèi)立法進(jìn)行域外效力擴(kuò)張是多數(shù)國家維護(hù)數(shù)據(jù)主權(quán)并參與網(wǎng)絡(luò)空間國際治理的共通做法。面對這一國際立法主流，我國應(yīng)構(gòu)建域外立法管轄和域外執(zhí)法管轄并存的法律制度，進(jìn)一步提升個(gè)人信息保護(hù)法域外效力制度的適用性和體系性，積極參與并主導(dǎo)個(gè)人信息保護(hù)法國際條約的制定，推動(dòng)互聯(lián)網(wǎng)全球治理體系變革中國方案的實(shí)現(xiàn)。

關(guān)鍵詞：個(gè)人信息保護(hù)法域外效力制度；GDPR；效果原則；美國云法案；域外立法管轄；域外執(zhí)法管轄

中圖分類號：D9223文獻(xiàn)標(biāo)志碼：A文章編號：1008-5831（2022）05-0207-14

數(shù)字社會(huì)中，數(shù)據(jù)在全球范圍內(nèi)的流動(dòng)日益頻繁，數(shù)據(jù)處理全球化趨勢顯著，社會(huì)現(xiàn)實(shí)對傳統(tǒng)主權(quán)觀念的沖擊使得擴(kuò)大個(gè)人信息保護(hù)法域外效力成為必然，由此也引發(fā)管轄權(quán)沖突這一國際法難題。近年來，歐美相繼出臺或革新個(gè)人信息保護(hù)相關(guān)法律，在實(shí)體法和程序法上確立域外效力制度，其他國家也相繼跟進(jìn)，但在域外效力制度邊界問題上并未形成全球共識。與國外相比，在法域外適用上，“我國只有少數(shù)法律明確規(guī)定了其域外效力，多數(shù)法律沒有規(guī)定域外效力問題，甚至只規(guī)定其僅具域內(nèi)效力”［1］。在理論研究方面也集中在國際私法、反壟斷法、證券法、勞動(dòng)法、知識產(chǎn)權(quán)法等領(lǐng)域，個(gè)人信息保護(hù)法域外效力制度研究相對較少相關(guān)針對性研究參見：孔慶江、于華溢《數(shù)據(jù)立法域外適用現(xiàn)象及中國因應(yīng)策略》（《法學(xué)雜志》，2020年第8期76-88頁）；俞勝杰《<通用數(shù)據(jù)保護(hù)條例>第3條（地域范圍）評注——以域外管轄為中心》（《時(shí)代法學(xué)》，2020年第2期94-106頁）;俞勝杰、林燕萍《<通用數(shù)據(jù)保護(hù)條例>域外效力的規(guī)制邏輯、實(shí)踐反思與立法啟示》（《重慶社會(huì)科學(xué)》，2020年第6期62-79頁）。，它的正當(dāng)性基礎(chǔ)是什么？合理邊界又在哪里？這種制度供給和社會(huì)現(xiàn)實(shí)需求之間的鴻溝亟待法學(xué)理論和立法上的彌合。2021年8月20日，我國正式通過《個(gè)人信息保護(hù)法》，該法第3條創(chuàng)新性地規(guī)定了域外效力條款，為我國運(yùn)用法律手段規(guī)制域外個(gè)人信息處理行為提供了法律依據(jù)。但與歐美等國家和地區(qū)相比，我國在個(gè)人信息保護(hù)法域外效力制度的適用性、體系性等問題上還有進(jìn)一步完善的空間。為此，深入研究并借鑒國外數(shù)據(jù)保護(hù)立法對于我國個(gè)人信息保護(hù)法域外效力制度的完善具有重要而深遠(yuǎn)的意義。

一、確立我國個(gè)人信息保護(hù)法域外效力制度的必要性

所謂個(gè)人信息保護(hù)法域外效力制度，是指一國對某一法域外處理個(gè)人信息的人、物或行為實(shí)施管轄，從而將其管轄范圍擴(kuò)展至該國領(lǐng)土之外的一種法律制度，該制度實(shí)施的效果即體現(xiàn)為個(gè)人信息保護(hù)法的域外效力。法律是國家意志的體現(xiàn)并在國家主權(quán)范圍內(nèi)保證其實(shí)施，其效力類型包括時(shí)間效力、空間效力和對人的效力。在法律的空間效力上，現(xiàn)代國家立法多以屬地管轄為主，屬人管轄、保護(hù)性管轄為輔，強(qiáng)調(diào)法律的域內(nèi)效力。而所謂法律的域外效力，是指“法律的空間效力擴(kuò)展到該國國家主權(quán)主管范圍之外”［2］，而域外適用是一國法律在本國領(lǐng)土外的適用，“域外效力正是基于法律的域外適用而產(chǎn)生拘束力”［3］。一般認(rèn)為，一國法律的管轄權(quán)包括立法管轄權(quán)、司法管轄權(quán)和執(zhí)法管轄權(quán)。法律的域外效力來源于立法管轄權(quán)，是對他國主權(quán)的合理限制?；诜傻挠蛲庑Яχ贫犬a(chǎn)生域外管轄，其是指“一國將其法律的適用范圍或其司法和行政管轄范圍擴(kuò)展至該國領(lǐng)土以外”［4］。在美國，域外管轄也被稱為“長臂管轄”（Long-arm Jurisdiction），我國國務(wù)院新聞辦公室發(fā)布的《關(guān)于中美經(jīng)貿(mào)摩擦的事實(shí)與中方立場》白皮書將長臂管轄界定為“依托國內(nèi)法規(guī)的觸角延伸到境外，管轄境外實(shí)體的做法”［5］。在內(nèi)容上，域外管轄包括域外立法管轄、域外司法管轄和域外執(zhí)法管轄。

在理論層面，“數(shù)據(jù)主權(quán)”（Data Sovereignty）為個(gè)人信息保護(hù)法域外效力制度提供了較有解釋力的依據(jù)和理論基礎(chǔ)。在國際法中，“主權(quán)是一國最高的權(quán)力，是不受任何人世權(quán)力支配之權(quán)力”［6］，在1927年9月7日著名的“荷花號”（Lotus）案件判決中，國際法院肯定了土耳其對法國船員的刑事管轄權(quán)，并認(rèn)為刑法的屬地性不是一項(xiàng)絕對性的國際法原則，也并不與領(lǐng)土主權(quán)完全一致S.S. Lotus （Fr. v. Turk.）， 1927 P.C.I.J. （ser. A） No. 10 （Sept. 7）. ?？梢?，突破屬地原則并允許法律域外適用早已具有國際司法實(shí)踐的基礎(chǔ)和支撐?！端质謨?.0版》肯定了一國法律在網(wǎng)絡(luò)空間中的域外管轄權(quán)，“在國際法的限制范圍內(nèi)，國家可對網(wǎng)絡(luò)活動(dòng)行使屬地和域外管轄權(quán)”［7］。大數(shù)據(jù)時(shí)代，網(wǎng)絡(luò)空間成為繼陸地、海洋、天空、外太空之外的第五空間，數(shù)據(jù)成為國家基礎(chǔ)性戰(zhàn)略資源進(jìn)而受到國家主權(quán)的管控。在數(shù)據(jù)主權(quán)概念上，學(xué)者多強(qiáng)調(diào)其屬地性，“數(shù)據(jù)主權(quán)指一個(gè)國家對其政權(quán)管轄地域范圍內(nèi)個(gè)人、企業(yè)和相關(guān)組織所產(chǎn)生的數(shù)據(jù)擁有的最高權(quán)力”參見：沈國麟《大數(shù)據(jù)時(shí)代的數(shù)據(jù)主權(quán)和國家數(shù)據(jù)戰(zhàn)略》（《南京社會(huì)科學(xué)》，2014年第6期113-119頁）。類似觀點(diǎn)亦可參見：孫南翔、張曉君《論數(shù)據(jù)主權(quán)——基于虛擬空間博弈與合作的考察》（《太平洋學(xué)報(bào)》，2015年第2期63-71頁）;曹磊《網(wǎng)絡(luò)空間的數(shù)據(jù)權(quán)研究》（《國際觀察》，2013年第1期53-58頁）。。也有學(xué)者認(rèn)為，“數(shù)據(jù)主權(quán)意味著數(shù)據(jù)即使被傳輸?shù)皆贫嘶蜻h(yuǎn)距離服務(wù)器上，仍然應(yīng)受其主體控制，而不會(huì)被第三方所操縱”［8］。因而有學(xué)者指出，“一國公民在境外形成的數(shù)據(jù)也屬于該國管轄的范圍”［9］。筆者認(rèn)為，數(shù)據(jù)主權(quán)，“其對內(nèi)體現(xiàn)為一國對其政權(quán)管轄地域內(nèi)任何數(shù)據(jù)的生成、傳播、處理、分析、利用和交易等擁有最高權(quán)力；對外表現(xiàn)為一國有權(quán)決定以何種程序、何種方式參加到國際數(shù)據(jù)活動(dòng)中，并有權(quán)采取必要措施保護(hù)數(shù)據(jù)權(quán)益免受其他國家侵害”［10］。在國際法理論上，“《塔林手冊2.0版》適應(yīng)時(shí)代的需要，將網(wǎng)絡(luò)活動(dòng)國際管轄權(quán)的對象擴(kuò)大到數(shù)據(jù)，從而第一次在國際管轄權(quán)規(guī)則創(chuàng)設(shè)上明確將數(shù)據(jù)作為獨(dú)立的客體，體現(xiàn)了對數(shù)據(jù)主權(quán)觀念的肯定”［11］。由此可見，隨著網(wǎng)絡(luò)空間主權(quán)在各國立法上的確立，數(shù)據(jù)主權(quán)成為國家主權(quán)在網(wǎng)絡(luò)空間的自然延伸和新體現(xiàn)，其為個(gè)人信息保護(hù)法域外效力制度的構(gòu)建提供了理論支撐。

大數(shù)據(jù)時(shí)代，自然人的個(gè)人信息是主要的數(shù)據(jù)類型并具有極高的潛在利用價(jià)值，其在全球范圍內(nèi)的大規(guī)模和高頻次流動(dòng)不可避免地帶來了國家主權(quán)間的沖突問題?？鐕ヂ?lián)網(wǎng)企業(yè)在促進(jìn)貿(mào)易和服務(wù)全球化的同時(shí)，也存在通過數(shù)據(jù)收集和分析這一無形方式侵蝕一國主權(quán)的風(fēng)險(xiǎn)，這種社會(huì)現(xiàn)實(shí)使得在個(gè)人信息保護(hù)立法上擴(kuò)大域外效力范圍成為各國維護(hù)國家利益，實(shí)現(xiàn)價(jià)值輸出和制度輸出，進(jìn)而爭奪網(wǎng)絡(luò)空間國際治理規(guī)則制定主動(dòng)權(quán)和話語權(quán)的重要方式。個(gè)人信息保護(hù)法域外效力制度不僅是建立在各方參與主體切實(shí)利益需求之上的制度創(chuàng)新，在更宏觀的意義上，也是一國實(shí)現(xiàn)政治、經(jīng)濟(jì)等多元目的的法律武器。因此，構(gòu)建科學(xué)完備并具有可適用性的個(gè)人信息保護(hù)法域外效力制度既是我國實(shí)現(xiàn)自然人人格利益保護(hù)的內(nèi)在要求，也是邁向數(shù)據(jù)強(qiáng)國，參與并主導(dǎo)國際網(wǎng)絡(luò)空間治理的重要舉措，具有理論和實(shí)踐上的必要性。

二、歐盟個(gè)人信息保護(hù)法域外效力制度評析

（一）《歐盟數(shù)據(jù)保護(hù)指令》域外效力制度

早在1995年，《歐盟數(shù)據(jù)保護(hù)指令》（Data Protection Directive 95/46/EC，以下簡稱“95指令”）第4條就確立了域外效力制度該條的適用情形主要包括三種，第一種情形為在設(shè)立機(jī)構(gòu)背景下實(shí)施的處理行為，第二種情形為國際公法原因，第三種情形為使用設(shè)備、自動(dòng)化方式或其他方式的個(gè)人數(shù)據(jù)處理行為（除了使用該設(shè)備僅僅是為了通過共同體領(lǐng)土的數(shù)據(jù)傳輸情形）。See Data Protection Directive （95/46/EC）， Article 4. 。對于第一種情形中“設(shè)立機(jī)構(gòu)”（Establishment）的界定，95指令序言（19）明確，設(shè)立機(jī)構(gòu)意味著通過“穩(wěn)定安排”（Stable Arrangement）的有效且真實(shí)的活動(dòng)實(shí)施，在法律形式上是法人的分支機(jī)構(gòu)或子公司不是決定性因素See Data Protection Directive （95/46/EC）， Recital 19. 。對于第三種情形中“設(shè)備”（Equipment）的界定，原歐盟第29條工作組（Article 29 Data Protection Working Party，以下簡稱“WP29”）建議對其進(jìn)行寬泛的解釋，包括人或技術(shù)中介，如調(diào)查或查詢活動(dòng)See Article 29 Data Protection Working Party.Opinion 8/2010 on applicable law ［EB/OL］.（2010-12-16）［2021-01-16］.https：//ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp179_en.pdf 。由此可見，在受法律概念文義范圍限制的情況下，歐盟希望通過對概念解釋的技術(shù)性擴(kuò)張來盡可能地?cái)U(kuò)大95指令的域外適用范圍，從而實(shí)現(xiàn)其立法目的。事實(shí)上，95指令序言（20）在一定程度上采納了國際法中的效果原則，其明確位于第三國的主體的數(shù)據(jù)處理行為不應(yīng)阻礙95指令對個(gè)人的保護(hù)，在此等情形下，其應(yīng)當(dāng)受到“所使用的工具”（Means Used）所在地成員國的法律約束See Data Protection Directive （95/46/EC）， Recital 20. 。但細(xì)究之，即可發(fā)現(xiàn)，無論是設(shè)立機(jī)構(gòu)還是設(shè)備，其立法思路仍強(qiáng)調(diào)處理行為與成員國領(lǐng)土之間的“物理連接”（Physical Link）［14］，因而并非完全的效果原則。領(lǐng)土上的連接固然是效果原則適用的主要?jiǎng)右?，但卻并非唯一的觸發(fā)因素?？梢哉f，95指令在域外效力制度上邁出了重要一步，但在法律規(guī)定上仍以地域聯(lián)系為中心，這在一定程度上會(huì)導(dǎo)致其受法律條文本身的限制而影響其域外適用范圍。

司法實(shí)踐中，歐盟法院（Court of Justice of the European Union，簡稱“CJEU”）在“Weltimmo”案中摒棄了形式主義認(rèn)定方式，對設(shè)立機(jī)構(gòu)采取了更接近其實(shí)質(zhì)的解釋。法院認(rèn)為，只要特定的數(shù)據(jù)控制者在某個(gè)成員國領(lǐng)土范圍內(nèi)通過穩(wěn)定的安排，甚至是一個(gè)最小的機(jī)構(gòu)安排，實(shí)施了真實(shí)和有效力的活動(dòng)，那么該數(shù)據(jù)控制者在這種背景條件下所實(shí)施的處理行為就要受到該成員國法律的約束歐盟法院在該案中做出裁決所考慮的因素包括：（1）數(shù)據(jù)控制者的處理行為構(gòu)成對某個(gè)成員國境內(nèi)的財(cái)產(chǎn)提供交易服務(wù)的網(wǎng)站的運(yùn)營且網(wǎng)站內(nèi)容以該成員國的通用語言來顯示，因而該處理行為在結(jié)果上是主要或完全針對某個(gè)成員國；（2）數(shù)據(jù)控制者在該成員國領(lǐng)土范圍內(nèi)有一個(gè)代表，該代表負(fù)責(zé)償還由數(shù)據(jù)處理行為所產(chǎn)生的債務(wù)并在有關(guān)數(shù)據(jù)處理行為的行政和司法程序中代表數(shù)據(jù)控制者。See Weltimmo s. r. o. v. Nemzeti Adatvédelmi és Információszabadság Hatóság， Case C-230/14， EU：C：2015：639. 。在另一個(gè)案件中，法院明確指出，設(shè)立機(jī)構(gòu)的認(rèn)定需要評估特定安排穩(wěn)定性的程度和活動(dòng)實(shí)施的有效性，僅僅是網(wǎng)站的訪問并不構(gòu)成第4條（1）（a）中的設(shè)立機(jī)構(gòu)Verein für Konsumenteninformation v. Amazon EU Sàrl， Case C-191/15， EU：C：2016：612.? 。在谷歌被遺忘權(quán)案件中，歐盟法院認(rèn)為，谷歌西班牙公司在西班牙從事著通過穩(wěn)定安排的活動(dòng)的真正有效執(zhí)行，構(gòu)成95指令中的設(shè)立機(jī)構(gòu)，谷歌西班牙公司意圖在其境內(nèi)推廣和銷售旨在使谷歌搜索引擎盈利的廣告位，谷歌總公司的搜索結(jié)果和相關(guān)廣告在同一網(wǎng)站頁面顯示，這種為使谷歌搜索引擎盈利而為的數(shù)據(jù)處理行為是在谷歌西班牙公司這一設(shè)立機(jī)構(gòu)活動(dòng)背景下實(shí)施的，二者之間存在“無可擺脫的聯(lián)系”（Inextricable Link），故而認(rèn)定發(fā)生在美國的搜索引擎索引行為受95指令的約束［15］。歐盟法院作出裁決后，WP29于2015年12月發(fā)布了關(guān)于該案適用的指引，WP29指出，對于“免費(fèi)+廣告”這一常見的商業(yè)模式，成員國境內(nèi)的設(shè)立機(jī)構(gòu)從事銷售廣告位并盈利或其他相關(guān)行為的，可以被認(rèn)定為存在無可擺脫的聯(lián)系。對于其他商業(yè)模式和行為，非歐盟企業(yè)通過提供網(wǎng)絡(luò)服務(wù)來獲得會(huì)員費(fèi)或用戶訂閱的行為，甚至是為捐贈(zèng)目的而實(shí)施的處理行為，都可以在特定情況下被納入歐盟法的適用范圍［16］。

雖然確立了域外效力制度，但95指令存在的問題在于：一方面，在法律適用上，需要綜合考慮設(shè)立機(jī)構(gòu)對介入處理行為的程度、處理行為的性質(zhì)和有效數(shù)據(jù)保護(hù)的需求進(jìn)行認(rèn)定［17］，這種基于個(gè)案的認(rèn)定方式給了法院很大的自由裁量權(quán)，但卻難以滿足法律的確定性要求，使得境外企業(yè)在數(shù)據(jù)合規(guī)上面臨較大的不確定性。另一方面，95指令域外效力制度僅適用于數(shù)據(jù)控制者，不包括處理者，一些境外的云服務(wù)商便可以基于此條規(guī)避法律義務(wù)。此外，必須存在領(lǐng)土連接的要求也在一定程度上排除了95指令對雖與歐盟沒有領(lǐng)土連接，但其處理行為卻對歐盟境內(nèi)數(shù)據(jù)主體產(chǎn)生實(shí)質(zhì)性影響的數(shù)據(jù)處理主體的適用，造成對不同數(shù)據(jù)主體的區(qū)別保護(hù)，這也為歐盟個(gè)人信息保護(hù)法域外效力制度的革新奠定了基礎(chǔ)。

（二）《歐盟通用數(shù)據(jù)保護(hù)條例》域外效力制度

2018年5月25日，《歐盟通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，以下簡稱“GDPR”）正式生效，它在肯定95指令設(shè)立機(jī)構(gòu)背景標(biāo)準(zhǔn)的基礎(chǔ)上，進(jìn)一步擴(kuò)大了域外效力范圍。在GDPR第3條中，第一和第二種情形均適用于數(shù)據(jù)控制者和處理者，加之GDPR第4章規(guī)定的各項(xiàng)法定義務(wù)，大大擴(kuò)張了GDPR的域外適用范圍和強(qiáng)度。GDPR第3條（1）所確立的設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)包含了屬地管轄原則，也即設(shè)立機(jī)構(gòu)是數(shù)據(jù)控制者或處理者本身的情形，但是該標(biāo)準(zhǔn)又不限于此，而是具有了全球管轄的可能。此外，相較于95指令第4條（1）（c）將歐盟境內(nèi)的設(shè)備作為地域連接點(diǎn)的情形，GDPR第3條（2）突破了歐盟境內(nèi)設(shè)備的限制，通過對數(shù)據(jù)控制者或處理者的行為和目的是否針對歐盟市場進(jìn)行直接管轄，從而將管轄權(quán)力真正擴(kuò)大到全球。結(jié)合第3條（1）和（2）的內(nèi)容，GDPR其實(shí)是將所有與歐盟境內(nèi)的自然人存在密切聯(lián)系的處理行為都納入了條例管轄范圍，這種做法在事實(shí)上確立了一種新的管轄標(biāo)準(zhǔn)，即根據(jù)數(shù)據(jù)處理行為的實(shí)際效果來判斷個(gè)人信息保護(hù)法的適用與否，WP29將其稱為“效果原則”（Effects Principle）［19］。整體而言，GDPR在管轄原則上其實(shí)是以屬地原則為基礎(chǔ)，效果原則為補(bǔ)充，這種做法是歐盟立法者對大規(guī)模、常態(tài)化個(gè)人信息跨境處理行為的現(xiàn)實(shí)回應(yīng)。2019年11月12日，歐洲數(shù)據(jù)保護(hù)委員會(huì)（European Data Protection Board，以下簡稱“EDPB”）發(fā)布了《關(guān)于GDPR第3條地域范圍的指南》（Guidelines 3/2018 on the territorial scope of the GDPR （Article 3）），對三種適用情形作出了更進(jìn)一步的解釋。相較于95指令，由于國際公法標(biāo)準(zhǔn)并未發(fā)生變化且主要針對公務(wù)機(jī)關(guān)的數(shù)據(jù)處理活動(dòng)，故接下來筆者主要就GDPR中的“設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)”（Establishment Criterion）和“靶向標(biāo)準(zhǔn)”（Targeting Criterion）進(jìn)行論述。

1.設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)

關(guān)于設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)，EDPB提出了一種“三重方法”（Threefold Approach），包括歐盟設(shè)立機(jī)構(gòu)、在設(shè)立機(jī)構(gòu)背景下實(shí)施的處理行為、GDPR對數(shù)據(jù)控制者或處理者設(shè)立機(jī)構(gòu)的適用（無論處理行為是否發(fā)生在歐盟境內(nèi)）。通過對這三個(gè)要件進(jìn)行逐一判斷，最終確定GDPR第3條（1）是否適用。在上述三個(gè)要件中，EDPB認(rèn)可了95指令以及司法實(shí)踐中關(guān)于設(shè)立機(jī)構(gòu)的判斷標(biāo)準(zhǔn)并進(jìn)一步認(rèn)為，在滿足一定條件的穩(wěn)定性要求下，境外企業(yè)在歐盟境內(nèi)設(shè)立的一個(gè)員工或一個(gè)機(jī)構(gòu)均可構(gòu)成一項(xiàng)穩(wěn)定的安排，從而觸發(fā)GDPR的域外適用。EDPB重點(diǎn)分析了設(shè)立機(jī)構(gòu)與數(shù)據(jù)控制者或處理者之間的連接問題。該問題的判斷需要綜合評估設(shè)立機(jī)構(gòu)與境外數(shù)據(jù)控制者或處理者之間是否存在無可擺脫的聯(lián)系，這是一項(xiàng)基于個(gè)案分析的判斷標(biāo)準(zhǔn)，法院具有較大的自由裁量權(quán)。在歐盟境內(nèi)已經(jīng)存在設(shè)立機(jī)構(gòu)的前提下，歐盟境外數(shù)據(jù)控制者或處理者與歐盟境內(nèi)設(shè)立機(jī)構(gòu)之間的聯(lián)系（無論設(shè)立機(jī)構(gòu)在數(shù)據(jù)處理活動(dòng)中是否發(fā)揮作用），通過歐盟境內(nèi)設(shè)立機(jī)構(gòu)實(shí)現(xiàn)的財(cái)務(wù)增長就是判斷GDPR是否適用的兩個(gè)重要參考因素。EDPB也舉例道，一家位于南非的度假連鎖酒店通過網(wǎng)站提供交易服務(wù)，網(wǎng)站語言包括英語、德語、法語和西班牙語，但其并沒有在歐盟設(shè)立辦公室、代表或穩(wěn)定的安排。在這種情形下，EDPB認(rèn)為此種處理行為就不會(huì)觸發(fā)GDPR第3條（1）的適用。但需要特別注意的是，這并不意味著該情形就不適用于GDPR，如果其滿足靶向標(biāo)準(zhǔn)，則可以基于GDPR第3條（2）而觸發(fā)域外適用。

2.靶向標(biāo)準(zhǔn)

關(guān)于靶向標(biāo)準(zhǔn)，GDPR第3條（2）作出了明確規(guī)定，對于在歐盟境內(nèi)沒有設(shè)立機(jī)構(gòu)的數(shù)據(jù)控制者或處理者，以下兩種情形將觸發(fā)GDPR的適用。需要注意的是，兩種情形的一個(gè)共同前提是數(shù)據(jù)主體位于歐盟境內(nèi)，且這種判斷要基于處理行為發(fā)生時(shí)數(shù)據(jù)主體所在的具體位置并考慮處理行為所針對的用戶群體。對于針對歐盟境外用戶的網(wǎng)絡(luò)服務(wù)，臨時(shí)進(jìn)入歐盟地區(qū)的境外用戶并不構(gòu)成本情形中的數(shù)據(jù)主體，不會(huì)觸發(fā)GDPR的域外適用。EDPB就此舉例道，一位美國人在歐洲度假，其下載了僅針對美國用戶的新聞APP，那么即使其身處歐盟境內(nèi)，在這種情形下也不會(huì)觸發(fā)GDPR的適用，原因在于該新聞APP并不符合靶向標(biāo)準(zhǔn)。該例證也反映出數(shù)據(jù)主體應(yīng)當(dāng)是一種較為穩(wěn)定的存在，臨時(shí)度假的游客難以受到GDPR保護(hù)。

（1）該數(shù)據(jù)控制者或處理者為歐盟境內(nèi)的數(shù)據(jù)主體提供商品或者服務(wù)，無論該種商品或服務(wù)是否要求數(shù)據(jù)主體付費(fèi)。從字面上看，這是一個(gè)非常抽象的表述。根據(jù)GDPR序言（23），應(yīng)當(dāng)確認(rèn)是否明顯可知數(shù)據(jù)控制者或處理者意圖為歐盟成員國境內(nèi)的數(shù)據(jù)主體提供服務(wù)。如果僅僅是對數(shù)據(jù)控制者、處理者或中介機(jī)構(gòu)在歐盟境內(nèi)的網(wǎng)站、電子郵箱地址或其他聯(lián)系信息的訪問，或者是對數(shù)據(jù)控制者所在地第三國的通用語言的使用，都不足以證明其具有針對性地向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)的意圖。而諸如所使用的語言或貨幣通常被用于一個(gè)或多個(gè)成員國境內(nèi)且具有以該種語言或貨幣訂購商品或服務(wù)的可能性，或者所提及的消費(fèi)者或使用者位于歐盟境內(nèi)等情形，可以明顯可知數(shù)據(jù)控制者或處理者意圖為歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)。EDPB指出它的核心在于界定“有關(guān)”（Related to）。對于數(shù)據(jù)處理行為的判斷應(yīng)當(dāng)以其發(fā)生時(shí)為準(zhǔn)，數(shù)據(jù)控制者或處理者所使用的語言、貨幣支付方式、提供搜索引擎服務(wù)、網(wǎng)站頂級域名、商品運(yùn)送服務(wù)等因素可以作為認(rèn)定網(wǎng)絡(luò)服務(wù)提供者針對歐盟境內(nèi)數(shù)據(jù)主體提供商品或服務(wù)意圖的根據(jù)。EDPB列舉的參考因素幾乎涵蓋了網(wǎng)絡(luò)服務(wù)的方方面面，倘若法院采取寬泛的界定標(biāo)準(zhǔn)或選擇性適用，勢必會(huì)引發(fā)GDPR域外適用的泛化，不僅不利于企業(yè)數(shù)據(jù)合規(guī)，反而會(huì)迫使境外企業(yè)因?yàn)闋I商環(huán)境嚴(yán)苛和不確定性而退出歐洲市場，損害歐洲消費(fèi)者福利。

（2）該數(shù)據(jù)控制者或處理者的處理行為涉及對數(shù)據(jù)主體發(fā)生在歐盟境內(nèi)的行為的監(jiān)控。對于“監(jiān)控（Monitoring）”的界定，根據(jù)GDPR序言（24），應(yīng)當(dāng)確認(rèn)該自然人是否在網(wǎng)絡(luò)中被追蹤，包括以個(gè)人數(shù)據(jù)處理技術(shù)為潛在后續(xù)使用而將數(shù)據(jù)主體建檔，特別是為了作出決策，或者是為分析或預(yù)測其個(gè)人偏好、行為和態(tài)度。EDPB進(jìn)一步認(rèn)為，GDPR序言中規(guī)定的用戶畫像行為僅僅是數(shù)據(jù)控制者或處理者實(shí)施監(jiān)控行為的一種方式，通過可穿戴設(shè)備或智能設(shè)備等其他方式實(shí)施的監(jiān)控行為也應(yīng)當(dāng)被納入考量范圍。EDPB也列舉了常見的監(jiān)控行為，包括行為廣告、地理位置服務(wù)、利用Cookie或其他技術(shù)實(shí)施的網(wǎng)絡(luò)追蹤、個(gè)性化的飲食和健康分析服務(wù)、CCTV、基于個(gè)人檔案的市場調(diào)研或行為研究、監(jiān)控或定期報(bào)告?zhèn)€人健康狀況等。應(yīng)當(dāng)說，這種列舉也涵蓋了當(dāng)前網(wǎng)絡(luò)服務(wù)的主要實(shí)踐做法，保持了歐盟盡可能擴(kuò)張其個(gè)人信息保護(hù)法域外效力的一貫態(tài)度，但同樣帶來法律的不確定性。

總體而言，GDPR第3條所確立的域外效力制度使得對被規(guī)制對象的認(rèn)定標(biāo)準(zhǔn)從行為的相關(guān)屬地過渡到行為的影響，這種立法方式更接近數(shù)據(jù)主權(quán)的抽象實(shí)質(zhì)，但也帶來了法律適用上的不確定性。從國際法角度看，歐盟GDPR的規(guī)定“合法性問題不存在質(zhì)疑，合理性的判斷有賴于管轄邊界的進(jìn)一步厘定”［22］。尤其是靶向標(biāo)準(zhǔn)，需要結(jié)合數(shù)據(jù)主體、數(shù)據(jù)處理行為主體、行為目的、行為方式等具體細(xì)節(jié)進(jìn)行個(gè)案認(rèn)定，而不應(yīng)當(dāng)一概而論地進(jìn)行籠統(tǒng)判斷。在戰(zhàn)略上，歐盟這種做法的實(shí)質(zhì)是以整個(gè)歐洲市場作為籌碼參與國際博弈，通過GDPR來“扭轉(zhuǎn)其在全球互聯(lián)網(wǎng)產(chǎn)業(yè)中的劣勢地位”［23］。在社會(huì)效應(yīng)上，GDPR的正式實(shí)施也引發(fā)了全球互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)合規(guī)成本的增加，一些互聯(lián)網(wǎng)企業(yè)被迫放棄歐盟市場。美國國家經(jīng)濟(jì)研究局（NBER）發(fā)布的報(bào)告顯示，在GDPR實(shí)施后，歐盟國家企業(yè)的融資總額、融資交易筆數(shù)以及每筆融資交易金額均大幅減少［25］。由此可見，GDPR域外效力的邊界也影響著歐盟地區(qū)數(shù)字經(jīng)濟(jì)的未來發(fā)展，這對我國而言也是一個(gè)警醒。

在程序性立法方面，在美國通過云法案之后，歐盟也于2018年4月17日出臺了《涉刑事電子證據(jù)提交和保存命令條例（建議稿）》（Proposal for a Regulation of the European Parliament and of the Council on European Production and Preservation Orders for Electronic Evidence in Criminal Matters），以便執(zhí)法及司法當(dāng)局能更快速地獲取電子證據(jù)，不論該數(shù)據(jù)存儲(chǔ)于歐盟境內(nèi)還是境外。該條例適用于向歐洲提供服務(wù)并具有實(shí)質(zhì)性連接的所有網(wǎng)絡(luò)服務(wù)商，在實(shí)施方式上包括兩種命令，即歐洲數(shù)據(jù)提交令（European Production Order）和歐洲數(shù)據(jù)保存令（European Preservation Order）The European Commission. Proposal for a Regulation of the European Parliament and of the Council on European Production and Preservation Orders for Electronic Evidence in Criminal Matters［EB/OL］. （2018-04-17）［2022-07-15］.https：//eur-lex.europa.eu/legal-content/EN/TXT/？uri=COM%3A2018%3A225%3AFIN. 。在符合條件的情況下，要求電子通信服務(wù)商、信息社會(huì)服務(wù)商、互聯(lián)網(wǎng)域名服務(wù)機(jī)構(gòu)提供或保存電子證據(jù)，數(shù)據(jù)類型則包括用戶數(shù)據(jù)、訪問數(shù)據(jù)、交易數(shù)據(jù)和內(nèi)容數(shù)據(jù)。在性質(zhì)上，用戶數(shù)據(jù)中的身份信息、訪問數(shù)據(jù)中的登錄時(shí)間和IP地址、交易數(shù)據(jù)中的設(shè)備型號、內(nèi)容數(shù)據(jù)中的視頻音頻信息等均可能因其具有可識別性而構(gòu)成個(gè)人信息?？梢哉f，該條例雖然限于刑事領(lǐng)域，但其通過后將為歐盟成員國獲取境外用戶個(gè)人信息提供法律依據(jù)。

三、美國個(gè)人信息保護(hù)法域外效力制度利弊衡量

（一）美國信息隱私法律域外效力制度

在域外效力制度方面，2000年4月21日，《美國兒童在線隱私保護(hù)法》（Children’s Online Privacy Protection Act，以下簡稱“COPPA”）正式生效，其規(guī)制對象為針對美國13歲以下兒童的網(wǎng)站或者在線服務(wù)的運(yùn)營者，在地域適用范圍上包括了在外國運(yùn)營網(wǎng)站或提供在線服務(wù)的企業(yè)，但并未具體規(guī)定何種情形會(huì)觸發(fā)COPPA的域外適用。2018年6月28日，《2018加利福尼亞消費(fèi)者隱私法》（California Consumer Privacy Act of 2018，以下簡稱“CCPA”）正式通過。該法在域外效力部分有所規(guī)定，將“在加州有業(yè)務(wù)”（do business in the State of California）并處理加州居民個(gè)人信息的行為納入規(guī)制范圍California Consumer Privacy Act 2018， Section 3，1798.140. ，而無須考慮數(shù)據(jù)處理主體是否位于加州境內(nèi)，但并沒有對“在加州有業(yè)務(wù)”作出具體解釋，只是從反面規(guī)定，當(dāng)處理行為“完全不在加州”（wholly outside of California）時(shí)不予適用。有學(xué)者指出，這一規(guī)定與歐盟的“設(shè)立機(jī)構(gòu)的活動(dòng)”相等同，但對于在加州之外的數(shù)據(jù)控制者，即使其對加州居民實(shí)施監(jiān)控行為，若不被認(rèn)定為“在加州有業(yè)務(wù)”，也不會(huì)觸發(fā)CCPA的適用［26］。筆者認(rèn)為，首先需要注意的是，CCPA并非適用于所有規(guī)模的數(shù)據(jù)處理主體，而是需要滿足三個(gè)條件之一根據(jù)CCPA的規(guī)定，所適用的企業(yè)應(yīng)當(dāng)滿足：（1）年度總收入為2500萬美元；（2）購買、銷售或基于商業(yè)目的接受或分享50 000或更多消費(fèi)者、家庭或設(shè)備的個(gè)人信息；（3）從銷售消費(fèi)者的個(gè)人信息中獲得 50% 或更多的收入。See California Consumer Privacy Act 2018， Section 3，1798.140.。其次，CCPA采取了類似于效果原則的管轄標(biāo)準(zhǔn)。根據(jù)法律的文義解釋和目的解釋，其包括兩層含義，第一是在加州境內(nèi)有實(shí)際設(shè)立機(jī)構(gòu)，那么根據(jù)屬地管轄原則自然要受到約束。第二是在加州境外處理加州居民的個(gè)人信息，根據(jù)邏輯反推，在該處理行為與加州居民存在一定程度的聯(lián)系時(shí)，應(yīng)當(dāng)受到約束，這一點(diǎn)類似于GDPR中的靶向標(biāo)準(zhǔn)。CCPA通過這一規(guī)定實(shí)現(xiàn)了兩種管轄原則的統(tǒng)一，但也存在進(jìn)一步解釋的必要，以確定其邊界。

（二）《美國云法案》域外效力制度

《美國云法案》是刑事領(lǐng)域擴(kuò)大境外數(shù)據(jù)調(diào)取執(zhí)法權(quán)限的一種新模式，旨在解決美國政府調(diào)取境外數(shù)據(jù)及外國政府獲取美國境內(nèi)數(shù)據(jù)的合法性及程序問題。該法出臺的直接動(dòng)因來自“微軟訴美國政府”案，該案反映出美國1986年《存儲(chǔ)通信法》（Stored Communication Act）在政府跨境調(diào)取數(shù)據(jù)上的合法性難題，而通過“共同法律協(xié)助條約”（Mutual Legal Assistance Treaty）的方式又因其門檻高和流程緩慢而無法滿足網(wǎng)絡(luò)時(shí)代的跨境執(zhí)法效率需求。為此，美國國會(huì)于2018年3月迅速通過了《美國云法案》，它代表了美國通過國內(nèi)法而非國際會(huì)議等方式來設(shè)定國際新標(biāo)準(zhǔn)和規(guī)則的一次嘗試［27］，實(shí)質(zhì)在于依托美國大型跨國公司對全球數(shù)據(jù)的控制而“將自己的企業(yè)變成領(lǐng)土的延伸”［21］。

在具體內(nèi)容上，《美國云法案》第2713條規(guī)定：“一個(gè)提供電子通信服務(wù)或遠(yuǎn)程計(jì)算服務(wù)的服務(wù)商應(yīng)該遵守本章提到的義務(wù)，包括保存、備份或披露有線或電子通訊的通訊內(nèi)容和任何記錄，以及任何供應(yīng)商擁有、監(jiān)管、控制的消費(fèi)者或者訂閱者的信息；不管這些通訊、記錄或者其他信息位于美國境內(nèi)還是境外?！?3See US. Clarifying Lawful Overseas Use of Data Act，§2713. Required preservation and disclosure of communications and records. 該規(guī)定并未限制企業(yè)或數(shù)據(jù)存儲(chǔ)的地域，美國司法部發(fā)布的白皮書進(jìn)一步指出，考慮到位于境外，但向美國提供服務(wù)的企業(yè)與美國之間聯(lián)系的性質(zhì)、數(shù)量和質(zhì)量，只要這種聯(lián)系是充分的，那么就會(huì)觸發(fā)美國法律的適用［28］。因此，美國政府可以以此為由將其執(zhí)法權(quán)力擴(kuò)張至全球。對于外國政府的跨境數(shù)據(jù)調(diào)取，《美國云法案》首先對外國適格政府的認(rèn)定設(shè)置了較為嚴(yán)格的限制條件，且適格與否由美國當(dāng)局裁定，具有較大的自由裁量權(quán)。即使?jié)M足了適格政府條件，外國政府的數(shù)據(jù)調(diào)取命令還應(yīng)當(dāng)滿足11項(xiàng)要求14See US. Clarifying Lawful Overseas Use of Data Act，§2523. Executive agreements on access to data by foreign governments. ，“這體現(xiàn)了對其他國家數(shù)據(jù)主權(quán)的不尊重，是單邊主義和以美國為中心的表現(xiàn)”［29］?；诿绹屯鈬诳缇硵?shù)據(jù)調(diào)取上的不平等條件，“《云法案》實(shí)際上單方面賦予美國政府對全球絕大多數(shù)互聯(lián)網(wǎng)數(shù)據(jù)的‘長臂管轄權(quán)’，這對于強(qiáng)調(diào)‘隱私保護(hù)’乃至‘?dāng)?shù)字主權(quán)’的國家構(gòu)成了極大挑戰(zhàn)，必然會(huì)因此引發(fā)反彈”［30］。筆者認(rèn)為，《美國云法案》的實(shí)質(zhì)是美國以技術(shù)和市場占優(yōu)的美國企業(yè)對全球數(shù)據(jù)的控制為籌碼，通過美國企業(yè)在全球的分布將法律武器延伸至世界各地，輸出美國式隱私保護(hù)標(biāo)準(zhǔn)，以最大化維護(hù)其國家利益。此外，《美國云法案》雖然以刑事執(zhí)法為由擴(kuò)大了美國和外國政府獲取數(shù)據(jù)的能力，但也威脅了美國和外國民眾的隱私和言論自由，其合理邊界的確定仍需通過多邊協(xié)定形成跨境數(shù)據(jù)調(diào)取的國際標(biāo)準(zhǔn)［31］。

除歐美外，世界上其他國家，如英國、日本、韓國、南非、巴西等國也在近年相繼出臺或革新了個(gè)人信息保護(hù)相關(guān)法律。雖然在具體制度設(shè)計(jì)上存在差異，但在法律地域適用范圍上，將符合法定條件的境外數(shù)據(jù)控制者和處理者納入管轄范圍成為多數(shù)國家（地區(qū)）的共通做法。例如，在《德國聯(lián)邦數(shù)據(jù)保護(hù)法》（Bundesdatenschutzgesetz，簡稱“BDSG”）第一節(jié)目的和范圍部分，區(qū)分了公共機(jī)構(gòu)和私人機(jī)構(gòu)，對于私人機(jī)構(gòu)，數(shù)據(jù)控制者或處理者在德國境內(nèi)或者是在德國設(shè)立機(jī)構(gòu)背景下實(shí)施的處理行為要受到約束。此外，受GDPR管轄的境外機(jī)構(gòu)同樣要受到該法的約束15See German. Federal Data Protection Act， Part I， Chapter 1， Section 1. ?！队鴶?shù)據(jù)保護(hù)法2018》（Data Protection Act of 2018，以下簡稱“DPA2018”）第207條基本上沿用了GDPR的效果原則，將在英國設(shè)立機(jī)構(gòu)背景下實(shí)施的數(shù)據(jù)處理行為納入規(guī)制范圍。除此之外，對于在英國不存在設(shè)立機(jī)構(gòu)的情況下實(shí)施的數(shù)據(jù)處理行為，在GDPR第4條規(guī)定的第二種情形基礎(chǔ)上，還要求處理行為與英國境內(nèi)的數(shù)據(jù)主體有關(guān)，這一點(diǎn)與EDPB的意見一致。隨后，該條還規(guī)定了設(shè)立機(jī)構(gòu)的四種情形，其中甚至包括了自然人16See UK. Data Protection Act 2018， 207 Territorial application of this Act.? 。相較于GDPR，英國DPA2018將效果原則規(guī)定得更加清晰，即凡是涉及英國境內(nèi)數(shù)據(jù)主體的處理行為，原則上都要受到約束。除此之外，南非、印度、巴西、澳大利亞以及我國臺灣地區(qū)、澳門地區(qū)的個(gè)人信息保護(hù)立法均對域外效力進(jìn)行了規(guī)定，這些規(guī)定雖然在表述和具體認(rèn)定上存在些許不同，但在實(shí)質(zhì)上，其內(nèi)容基本與GDPR一致，均是通過境外企業(yè)與主權(quán)國家或地區(qū)的聯(lián)系來擴(kuò)大域外管轄范圍。

綜上可見，在個(gè)人信息保護(hù)法域外效力制度上，無論是歐盟GDPR還是《美國云法案》，其域外管轄的基礎(chǔ)均在于某種聯(lián)系，個(gè)人信息保護(hù)法域外效力范圍的邊界就取決于一國立法者對這種聯(lián)系緊密性的認(rèn)定。在立法上，多數(shù)國家或地區(qū)以GDPR為參考，基本上以更具彈性的地域連接點(diǎn)為主要觸發(fā)條件。這一國際立法主流表明，在尚未形成國際慣例和條約的現(xiàn)狀下，通過國內(nèi)立法進(jìn)行域外效力擴(kuò)張是各國維護(hù)數(shù)據(jù)主權(quán)并參與網(wǎng)絡(luò)空間國際治理的共通做法，而由此引發(fā)的管轄權(quán)沖突也將加速雙邊或多邊國際條約的形成。

四、我國個(gè)人信息保護(hù)法域外效力制度的構(gòu)建

2020年10月21日，全國人大法工委發(fā)布的《關(guān)于<中華人民共和國個(gè)人信息保護(hù)法（草案）>的說明》明確指出，“借鑒有關(guān)國家和地區(qū)的做法，賦予本法必要的域外適用效力，以充分保護(hù)我國境內(nèi)個(gè)人的權(quán)益”。正式出臺的《個(gè)人信息保護(hù)法》在第3條規(guī)定了地域適用范圍，我國由此正式在法律層面確立了域外效力制度。這是一個(gè)大的突破，也是一次新的探索，但從域外法治實(shí)踐來看，個(gè)人信息保護(hù)法域外效力制度的構(gòu)建是一項(xiàng)系統(tǒng)性工程，它牽涉一國的政治、經(jīng)濟(jì)等多元利益考量，遠(yuǎn)非一部《個(gè)人信息保護(hù)法》所能完成，還需要從執(zhí)法、司法、國際合作等方面豐富其內(nèi)容并使其真正落到實(shí)處。筆者認(rèn)為，立足于《個(gè)人信息保護(hù)法》第3條的規(guī)定，我國未來還應(yīng)當(dāng)從個(gè)人信息保護(hù)法域外效力制度的適用性、體系性和國際性三個(gè)層面進(jìn)一步完善。

（一）強(qiáng)化個(gè)人信息保護(hù)法域外效力制度的適用性

我國《個(gè)人信息保護(hù)法》第3條第2款規(guī)定了三種域外適用情形。從其實(shí)質(zhì)內(nèi)容和表述上看，該項(xiàng)規(guī)定具有較為明顯的GDPR印跡，幾乎是GDPR第3條（2）在我國的翻版。但細(xì)究之可以發(fā)現(xiàn)，第一種情形直接采取了EDPB意見的核心，即目的決定論。第二種情形雖然與GDPR中的表述“監(jiān)控”不同，但是通過GDPR序言（24）可以看到，監(jiān)控包括對用戶的追蹤、畫像、分析和預(yù)測，也就是說，我國《個(gè)人信息保護(hù)法》直接將監(jiān)控行為進(jìn)行了類型化列舉，二者在實(shí)質(zhì)含義上并無太大區(qū)別。第三種情形作為兜底條款，為我國未來個(gè)人信息保護(hù)相關(guān)立法預(yù)留了空間。第3條第2款的規(guī)定充分吸收了國外的立法經(jīng)驗(yàn)，也幾乎囊括了所有可能的情形，但是這些規(guī)定在適用上仍存在進(jìn)一步解釋的必要，例如對于第一種情形，按照EDPB的觀點(diǎn)，執(zhí)法和司法機(jī)關(guān)可以通過網(wǎng)站接入、語言和貨幣支付的使用、數(shù)據(jù)處理內(nèi)容等因素來綜合判斷特定處理行為的意圖。我國可基于這一觀點(diǎn)，出臺更加詳細(xì)的認(rèn)定標(biāo)準(zhǔn)和參考因素，如營銷活動(dòng)、官方網(wǎng)站對中國信息主體的提及等。對于第二種情形，按照EDPB的觀點(diǎn)，可以參考的因素包括：基于行為的廣告、基于具體地點(diǎn)的活動(dòng)、通過網(wǎng)絡(luò)追蹤器（Cookie）監(jiān)測、在線定制膳食或分析健康狀況、采用閉路電視監(jiān)測、基于個(gè)人畫像施行調(diào)查問卷或其他行為研究、監(jiān)測或定期報(bào)告?zhèn)€體健康狀況See European Data Protection Board， Guidelines 3/2018 on the territorial scope of the GDPR （Article 3）［EB/OL］.（2019-11-12）［2020-10-05］.https：//edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_3_2018_territorial_scope_after_public_consultation_en_1.pdf.。有學(xué)者指出，我國《個(gè)人信息保護(hù)法》中規(guī)定的分析和評估似乎涵蓋了GDPR中的監(jiān)控行為，其邊界不甚清楚［32］，因此，我國可以通過頒布相關(guān)實(shí)施細(xì)則對分析和評估的內(nèi)涵做進(jìn)一步的明確，尤其是結(jié)合自動(dòng)化決策行為的相關(guān)認(rèn)定，從而為執(zhí)法和司法活動(dòng)提供更加清晰的指引。

此外，我國《個(gè)人信息保護(hù)法》在第7章法律責(zé)任部分涵蓋了民事、行政和刑事責(zé)任，因此，域外效力制度的構(gòu)建不僅要考慮民事活動(dòng)，還應(yīng)當(dāng)考慮其他涉及國家安全、公共利益甚至國際犯罪的行為，在目前的立法框架下補(bǔ)充保護(hù)性管轄、普遍性管轄和基于國際公法產(chǎn)生的管轄，以實(shí)現(xiàn)保護(hù)的全面性和周延性。具體而言，對于屬地管轄，一般認(rèn)為，一國的船舶和航空器在國際法上構(gòu)成一國領(lǐng)土范圍的延伸，因此，在未來的相關(guān)實(shí)施細(xì)則中，應(yīng)當(dāng)明確在中華人民共和國船舶或者航空器內(nèi)處理自然人個(gè)人信息的活動(dòng)，也適用《個(gè)人信息保護(hù)法》。對于保護(hù)性管轄，在境外個(gè)人信息處理行為涉及國家安全時(shí)，明確其適用我國《個(gè)人信息保護(hù)法》。對于普遍性管轄，在我國《刑法》第9條已經(jīng)確立普遍性管轄的基礎(chǔ)上，無需在《個(gè)人信息保護(hù)法》中重復(fù)規(guī)定，可通過第3條第2款（3）實(shí)現(xiàn)。對于我國在境外的使領(lǐng)館等機(jī)構(gòu)實(shí)施的個(gè)人信息處理行為，其也應(yīng)當(dāng)受到我國《個(gè)人信息保護(hù)法》的約束，因此，在未來的相關(guān)實(shí)施細(xì)則中，應(yīng)當(dāng)明確基于國際公法而適用《個(gè)人信息保護(hù)法》的個(gè)人信息處理活動(dòng)。

（二）提升個(gè)人信息保護(hù)法域外效力制度的體系性

對于個(gè)人信息保護(hù)法域外效力制度而言，除了立法層面的明確規(guī)定外，執(zhí)法和司法層面的規(guī)則建構(gòu)亦十分重要。在一國法律中規(guī)定域外效力制度并非十分困難的事情，域外效力制度真正的困難在于實(shí)施，因此有學(xué)者把域外效力制度比喻為“立法者的美夢和法官的夢魘”SVANTESSON D.Extraterritoriality and targeting in EU data privacy law： The weak spot undermining the regulation［J］.International Data Privacy Law，2015，5（4）：226-234.。因此，我國有必要構(gòu)建域外立法管轄和域外執(zhí)法管轄并存的法律制度，同時(shí)通過程序性立法保證數(shù)據(jù)跨境執(zhí)法活動(dòng)的真實(shí)有效實(shí)施。

我國《個(gè)人信息保護(hù)法》在域外效力執(zhí)法規(guī)則構(gòu)建方面以防御為主。第41條對跨境數(shù)據(jù)調(diào)取作了基本性規(guī)定《個(gè)人信息保護(hù)法》第41條：中華人民共和國主管機(jī)關(guān)根據(jù)有關(guān)法律和中華人民共和國締結(jié)或者參加的國際條約、協(xié)定，或者按照平等互惠原則，處理外國司法或者執(zhí)法機(jī)構(gòu)關(guān)于提供存儲(chǔ)于境內(nèi)個(gè)人信息的請求。非經(jīng)中華人民共和國主管機(jī)關(guān)批準(zhǔn)，個(gè)人信息處理者不得向外國司法或者執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于中華人民共和國境內(nèi)的個(gè)人信息。，根據(jù)這一規(guī)定，個(gè)人信息處理者在未經(jīng)國家主管機(jī)關(guān)批準(zhǔn)的情況下不得向外國司法或者執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于我國境內(nèi)的個(gè)人信息，這一規(guī)定將跨境數(shù)據(jù)調(diào)取的決定權(quán)交予國家主管機(jī)關(guān)，有利于充分保障我國的數(shù)據(jù)主權(quán)。除此之外，對于危害個(gè)人權(quán)益、公共安全或國家安全的個(gè)人信息處理行為，第42條還規(guī)定，國家網(wǎng)信部門可以將其列入限制或者禁止個(gè)人信息提供清單，予以公告，并采取限制或者禁止向其提供個(gè)人信息等措施。該條增強(qiáng)了對境外個(gè)人信息違法行為的阻擊力度?？傮w來看，我國《個(gè)人信息保護(hù)法》在域外效力制度實(shí)施方面的規(guī)定以防御為主，并未將我國的執(zhí)法權(quán)力延伸至境外，這一點(diǎn)與《美國云法案》不同，后者強(qiáng)調(diào)在何種情況下可以調(diào)取存儲(chǔ)于境外的數(shù)據(jù)。

在國際層面，個(gè)人信息保護(hù)跨境執(zhí)法問題同樣困難重重，其根本原因在于一國執(zhí)法權(quán)力受國家主權(quán)的限制，一般只能在本國領(lǐng)土范圍內(nèi)行使，而不能將執(zhí)法范圍擴(kuò)張至他國領(lǐng)土，是否能夠得到執(zhí)行往往需要取決于他國的同意。為有效解決這一問題，國際上已經(jīng)有了相關(guān)的實(shí)踐做法，第一種是通過成立國際組織進(jìn)行法律援助、信息共享和聯(lián)合調(diào)查等執(zhí)法合作，例如在經(jīng)濟(jì)合作組織（Organization for Economic Co-operation and Development，簡稱“OECD”）倡議下成立的“全球隱私執(zhí)法網(wǎng)絡(luò)”（Global Privacy Enforcement Network，簡稱“GPEN”），該組織致力于國際數(shù)據(jù)執(zhí)法合作，目前已經(jīng)有美國、加拿大等多個(gè)國家加入了該組織。第二種做法就是通過雙邊協(xié)議或者多邊協(xié)議的方式開展執(zhí)法合作。有學(xué)者認(rèn)為，“中國應(yīng)加強(qiáng)與其他國家數(shù)據(jù)保護(hù)機(jī)構(gòu)之間的合作，以解決對個(gè)人信息保護(hù)的跨境執(zhí)法，只有這樣，才能有效確?！秱€(gè)人信息保護(hù)法》域外適用的效果”。筆者認(rèn)為，為確保個(gè)人信息保護(hù)法域外效力制度的合法有效執(zhí)行，我國還應(yīng)當(dāng)提供相關(guān)配套制度來保障域外執(zhí)法活動(dòng)的實(shí)施。因此，我國在《個(gè)人信息保護(hù)法》中確立域外效力制度之余，還應(yīng)當(dāng)在程序性立法中予以跟進(jìn)，不僅為域外效力制度的落地實(shí)施提供程序性操作指引，也為我國監(jiān)管機(jī)構(gòu)實(shí)施域外執(zhí)法活動(dòng)提供法律依據(jù)。

在個(gè)人信息保護(hù)法域外效力制度的司法適用上，我國尚未形成明確的裁判標(biāo)準(zhǔn)，尤其是外國判決的承認(rèn)和執(zhí)行問題。從歐美的司法實(shí)踐看，盡管已經(jīng)出臺了具體指引，但相關(guān)概念的界定仍存在較大的不確定性，而最終的裁判結(jié)果不僅會(huì)左右單個(gè)案件，還會(huì)影響其他境外企業(yè)的合規(guī)經(jīng)營，甚至?xí)谝欢ǔ潭壬献璧K數(shù)字經(jīng)濟(jì)的全球化發(fā)展，造成網(wǎng)絡(luò)服務(wù)市場壁壘。尤其是基于效果原則實(shí)施的域外管轄，考慮到域外效力制度在一定程度上限制了他國的國家主權(quán)，“如果將管轄權(quán)擴(kuò)大到與主張管轄權(quán)的國家沒有實(shí)質(zhì)聯(lián)系的人或活動(dòng)，或者行使管轄權(quán)會(huì)不必要地侵犯外國主權(quán)或處于該國境外的外國國民利益，這不僅會(huì)導(dǎo)致國際局勢緊張化，在某些情況下甚至?xí)?gòu)成國際不法行為”［33］。因此，在司法適用方法上應(yīng)當(dāng)遵循比例原則并建立在個(gè)案分析的基礎(chǔ)上，在實(shí)體裁判上遵循國際禮讓原則并尊重他國利益。只有合理界定域外效力的邊界，才能夠在國家主權(quán)、產(chǎn)業(yè)發(fā)展和個(gè)人權(quán)利保障之間保持動(dòng)態(tài)平衡。

此外，為解決美國等國家的長臂管轄問題，“我國應(yīng)在立法、司法和行政層面形成組合拳，逐步實(shí)現(xiàn)從被動(dòng)應(yīng)付到主動(dòng)預(yù)防的轉(zhuǎn)變”［34］。對此，“封阻法令”（Blocking Statutes）就是一種行之有效的方式。有學(xué)者認(rèn)為，“中國也可結(jié)合本國國情參考通過阻斷立法阻止《澄清域外合法使用數(shù)據(jù)法案》《通用數(shù)據(jù)保護(hù)條例》等他國長臂管轄對中國數(shù)據(jù)主體的適用，有效保障我國的公民隱私、企業(yè)數(shù)據(jù)權(quán)和國家網(wǎng)絡(luò)主權(quán)”［35］。對此，我國已經(jīng)采取了行動(dòng)。2018年10月26日，我國通過《國際刑事司法協(xié)助法》，第4條的規(guī)定在一定程度上阻卻了外國司法執(zhí)法機(jī)關(guān)調(diào)取境內(nèi)數(shù)據(jù)的活動(dòng)《國際刑事司法協(xié)助法》第4條第3款：“非經(jīng)中華人民共和國主管機(jī)關(guān)同意，外國機(jī)構(gòu)、組織和個(gè)人不得在中華人民共和國境內(nèi)進(jìn)行本法規(guī)定的刑事訴訟活動(dòng)，中華人民共和國境內(nèi)的機(jī)構(gòu)、組織和個(gè)人不得向外國提供證據(jù)材料和本法規(guī)定的協(xié)助?！?。針對近年美國頻繁通過長臂管轄等方式對我國實(shí)施的經(jīng)濟(jì)制裁行為，2021年1月9日，我國商務(wù)部發(fā)布《阻斷外國法律與措施不當(dāng)域外適用辦法》，授權(quán)相關(guān)工作機(jī)制通過禁令制度和必要的反制措施阻斷外國法律與措施的不當(dāng)域外適用。

（三）加強(qiáng)個(gè)人信息保護(hù)法域外效力制度的國際性

與民法、刑法等傳統(tǒng)部門法不同的是，個(gè)人信息保護(hù)法具有鮮明的國際性。個(gè)人信息大規(guī)?？缇硞鬏?shù)纳鐣?huì)現(xiàn)實(shí)使得一國為了維護(hù)本國信息主體的合法權(quán)益而不得不將國家主權(quán)的邊界擴(kuò)張至其他國家，個(gè)人信息保護(hù)法域外效力制度就是這種國際性的重要體現(xiàn)。當(dāng)前，世界多個(gè)國家通過國內(nèi)立法擴(kuò)大本國個(gè)人信息保護(hù)法的域外效力，為本國管轄域外個(gè)人信息處理活動(dòng)提供了法律依據(jù)，但是與之相隨的一個(gè)問題就是各國主權(quán)國家之間的管轄權(quán)沖突問題。因?yàn)槟骋惶囟ǖ膫€(gè)人信息處理行為在受到他國個(gè)人信息保護(hù)法約束的同時(shí)，也會(huì)因?yàn)閷俚毓茌牰艿奖緡鴤€(gè)人信息保護(hù)法的約束，由此引發(fā)管轄權(quán)沖突，“域外適用本國個(gè)人信息保護(hù)法的困境在于不同國家數(shù)據(jù)主權(quán)沖突下如何實(shí)現(xiàn)私權(quán)利保護(hù)的協(xié)調(diào)”［36］。對于這一問題，多數(shù)學(xué)者主張通過國際條約等方式來解決這一沖突，例如，有學(xué)者指出，面對美國的數(shù)據(jù)域外管轄，“中國應(yīng)積極聯(lián)合新興國家與發(fā)展中國家，主動(dòng)參與國際數(shù)據(jù)合作機(jī)制的創(chuàng)立，提升在數(shù)據(jù)管轄方面國際規(guī)則體系構(gòu)建中的話語權(quán)”［37］。也有學(xué)者認(rèn)為，域外效力條款沖突解決的方案之一是構(gòu)建區(qū)域性的個(gè)人信息保護(hù)機(jī)制，我國可以“以數(shù)字貿(mào)易為基礎(chǔ)逐步推進(jìn)周邊國家的個(gè)人數(shù)據(jù)保護(hù)的區(qū)域統(tǒng)一協(xié)作，形成區(qū)域性個(gè)人數(shù)據(jù)保護(hù)機(jī)制”［38］。

筆者認(rèn)為，個(gè)人信息保護(hù)法域外效力制度在適用過程中的國家主權(quán)沖突不可避免，在通過《個(gè)人信息保護(hù)法》第3條初步構(gòu)建起個(gè)人信息保護(hù)法域外效力制度之后，我國應(yīng)當(dāng)積極參與個(gè)人信息保護(hù)法相關(guān)國際規(guī)則的制定。目前，在網(wǎng)絡(luò)空間命運(yùn)共同體和“雙循環(huán)”新發(fā)展格局的指引下，我國不斷深化數(shù)字經(jīng)濟(jì)領(lǐng)域的國際合作，已經(jīng)發(fā)布了《“中國＋中亞五國”數(shù)據(jù)安全合作倡議》并達(dá)成了《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》（Regional Comprehensive Economic Partnership，簡稱“RCEP”），后者由中國、日本、韓國、澳大利亞、新西蘭和東盟十國共15方成員制定，在第12章“電子商務(wù)”部分，第8條就涉及締約方之間就個(gè)人信息保護(hù)之間的合作，要求在制定保護(hù)個(gè)人信息的法律框架時(shí)，每一締約方應(yīng)當(dāng)考慮相關(guān)國際組織或機(jī)構(gòu)的國際標(biāo)準(zhǔn)、原則、指南和準(zhǔn)則。締約方應(yīng)當(dāng)在可能的范圍內(nèi)合作，以保護(hù)從一締約方轉(zhuǎn)移來的個(gè)人信息。由此可見，我國已經(jīng)在區(qū)域性的個(gè)人信息保護(hù)法律制度上取得了一定成效，未來應(yīng)當(dāng)進(jìn)一步加強(qiáng)國際合作，積極參與并主導(dǎo)個(gè)人信息保護(hù)法國際條約的制定，促進(jìn)個(gè)人信息保護(hù)法域外效力國際標(biāo)準(zhǔn)的形成。

五、結(jié)語

法乃公器，民為邦本。作為人類秩序的理性表達(dá)，法律既是公民權(quán)利的保障書，也是和平時(shí)期國家利益博弈的重要武器。歐盟和美國基于各自在全球數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)版圖中的處境和發(fā)展目標(biāo)，分別以市場和跨國企業(yè)為籌碼，確立了不同的域外效力制度。近年，我國數(shù)字經(jīng)濟(jì)規(guī)模不斷壯大，國內(nèi)開放程度不斷提高，國際影響力也不斷增強(qiáng)；但在數(shù)據(jù)保護(hù)法治建設(shè)方面，尚缺乏對個(gè)人信息保護(hù)法域外效力制度正當(dāng)性、合理性等方面的體系性研究與制度建構(gòu)。由于該問題的復(fù)雜性，除了網(wǎng)絡(luò)法和國際法專家之外，還需要與宏觀政策專家以及執(zhí)法部門等多方參與主體的通力合作。在網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略的推動(dòng)下，我國應(yīng)當(dāng)以豐富的互聯(lián)網(wǎng)業(yè)態(tài)和執(zhí)法司法實(shí)踐為基礎(chǔ)，以更加積極的態(tài)度面對國際數(shù)字經(jīng)濟(jì)發(fā)展環(huán)境，突破以本土規(guī)制為中心的立法思路，積極參與并推動(dòng)網(wǎng)絡(luò)空間國際治理規(guī)則的制定，與其他國家合作共建網(wǎng)絡(luò)空間命運(yùn)共同體。

參考文獻(xiàn)：

［1］肖永平，焦小丁.從司法視角看中國法域外適用體系的構(gòu)建［J］.中國應(yīng)用法學(xué)，2020（5）：56-72.

［2］齊愛民，王基巖.大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)法的適用與域外效力［J］.社會(huì)科學(xué)家，2015（11）：101-104.

［3］孫國平.論勞動(dòng)法的域外效力［J］.清華法學(xué)，2014（4）：18-46.

［4］周曉林.美國法律的域外管轄與國際管轄權(quán)沖突［J］.國際問題研究，1984（3）：41-49.

［5］國務(wù)院新聞辦公室.《關(guān)于中美經(jīng)貿(mào)摩擦的事實(shí)與中方立場》白皮書［R/OL］.（2018-09-24）［2021-01-19］. http：//www.scio.gov.cn/zfbps/32832/Document/1638292/1638292.htm.

［6］周鯁生.國際法大綱［M］.北京：商務(wù)印書館，2013：28.

［7］邁克爾·施密特.網(wǎng)絡(luò)行動(dòng)國際法塔林手冊 ［M］.2版.黃志雄，譯.北京：社會(huì)科學(xué)文獻(xiàn)出版社，2017：92.

［8］蔡翠紅.云時(shí)代數(shù)據(jù)主權(quán)概念及其運(yùn)用前景［J］.現(xiàn)代國際關(guān)系，2013（12）：58-65.

［9］杜雁蕓.大數(shù)據(jù)時(shí)代國家數(shù)據(jù)主權(quán)問題研究［J］.國際觀察，2016（3）：1-14.

［10］齊愛民，盤佳.數(shù)據(jù)權(quán)、數(shù)據(jù)主權(quán)的確立與大數(shù)據(jù)保護(hù)的基本原則［J］.蘇州大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版），2015 （1）：64-70，191.

［11］黃志雄.網(wǎng)絡(luò)空間國際規(guī)則新動(dòng)向：《塔林手冊2.0版》研究文集［M］.北京：社會(huì)科學(xué)文獻(xiàn)出版社，2019：111.

［12］新華網(wǎng).中共中央 國務(wù)院關(guān)于構(gòu)建更加完善的要素市場化配置體制機(jī)制的意見［EB/OL］.（2020-04-09）［2021-01-15］.http：//www.xinhuanet.com/politics/zywj/2020-04/09/c_1125834458.htm.

［13］新華網(wǎng).中共中央 國務(wù)院關(guān)于新時(shí)代加快完善社會(huì)主義市場經(jīng)濟(jì)體制的意見［EB/OL］.（2020-05-18）［2021-01-15］.http：//www.xinhuanet.com/2020-05/18/c_1126001431.htm.

［14］MAIER B.How has the law attempted to tackle the borderless nature of the Internet？［J］. International Journal of Law and Information Technology，2010，18（2）：142-175.

［15］張建文，張哲.個(gè)人信息保護(hù)法域外效力研究：以歐盟《一般數(shù)據(jù)保護(hù)條例》為視角［J］.重慶郵電大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2017 （2）：36-43.

［16］ARTICLE 29 DATA PROTECTION WORKING PARTY.Update of opinion 8/2010 on applicable law in light of the CJEU judgement in Google Spain［EB/OL］.（2015-12-16）［2019-12-10］.https：//ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2015/wp179_en_update.pdf.

［17］ARTICLE 29 DATA PROTECTION WORKING PARTY. Opinion 8/2010 on applicable law［EB/OL］.（2010-12-16）［2021-01-16］.https：//ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp179_en.pdf.

［18］PRESTHUS W， SRUM H.Are consumers concerned about privacy？ An online survey emphasizing the general data protection regulation［J］.Procedia Computer Science，2018，138：603-611.

［19］ARTICLE 29 DATA PROTECTION WORKING PARTY.Update of Opinion 8/2010 on applicable law in light of the CJEU judgement in Google Spain［EB/OL］.（2015-12-16）［2019-12-10］.https：//ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2015/wp179_en_update.pdf.

［20］郭戎晉.GDPR下互聯(lián)網(wǎng)企業(yè)的機(jī)遇與挑戰(zhàn)［J］.信息安全與通信保密，2018（8）：17-21.

［21］洪延青.“法律戰(zhàn)”旋渦中的執(zhí)法跨境調(diào)取數(shù)據(jù)：以美國、歐盟和中國為例［J］.環(huán)球法律評論，2021（1）：38-51.

［22］俞勝杰.《通用數(shù)據(jù)保護(hù)條例》第3條（地域范圍）評注：以域外管轄為中心［J］.時(shí)代法學(xué)，2020（2）：94-106.

［23］葉開儒.數(shù)據(jù)跨境流動(dòng)規(guī)制中的“長臂管轄”：對歐盟GDPR的原旨主義考察［J］.法學(xué)評論，2020（1）：106-117.

［24］GREZE B.The extra-territorial enforcement of the GDPR：A genuine issue and the quest for alternatives［J］.International Data Privacy Law，2019，9（2）：109-128.

［25］JIA J，JIN G Z，WAGMAN L.The short-run effects of GDPR on technology venture investment，NBER Working Paper No.25248［EB/OL］.（2018-11-01）［2019-01-30］. https：//www.nber.org/papers/w25248.pdf.

［26］TORRE L.GDPR matchup：The California Consumer Privacy Act 2018［EB/OL］.（2018-07-31）［2019-01-30］.https：//iapp.org/news/a/gdpr-matchup-california-consumer-privacy-act/.

［27］ DASKAL J.Microsoft Ireland， the CLOUD Act， and international lawmaking 2.0［J］.Stanford Law Review Online，2018，71：9-16.

［28］U.S.DEPARTMENT OF JUSTICE.Promoting public safety，privacy，and the rule of law around the world： The purpose and impact of the CLOUD Act［R/OL］.（2019-04-01）［2021-01-26］.https：//www.justice.gov/dag/page/file/1153436/download.

［29］張曉君.數(shù)據(jù)主權(quán)規(guī)則建設(shè)的模式與借鑒：兼論中國數(shù)據(jù)主權(quán)的規(guī)則構(gòu)建［J］現(xiàn)代法學(xué)，2020（6）：136-149.

［30］強(qiáng)世功.帝國的司法長臂：美國經(jīng)濟(jì)霸權(quán)的法律支撐［J］.文化縱橫，2019（4）：84-93，143

［31］BILGIC S.Something old，something new，and something moot：The privacy crisis under the CLOUD Act［J］.Harvard Journal of Law & Technology，2018，32：321-356.

［32］陳詠梅，伍聰聰.歐盟《通用數(shù)據(jù)保護(hù)條例》域外適用條件之解構(gòu)［J］.德國研究，2022（2）：85-101，123-124.

［33］邁克爾·施密特，麗斯·維芙爾.網(wǎng)絡(luò)行動(dòng)國際法塔林手冊2.0版［M］.黃志雄，譯.北京：社會(huì)科學(xué)文獻(xiàn)出版社，2017：100.

［34］肖永平.“長臂管轄權(quán)”的法理分析與對策研究［J］.中國法學(xué)，2019（6）：39-65.

［35］劉天驕.數(shù)據(jù)主權(quán)與長臂管轄的理論分野與實(shí)踐沖突［J］.環(huán)球法律評論，2020（2）：180-192.

［36］丁漢韜.大數(shù)據(jù)時(shí)代下個(gè)人信息保護(hù)法的域外效力邊界［J］.中國國際私法與比較法年刊，2019（1）：33-50.

［37］楊永紅.美國域外數(shù)據(jù)管轄權(quán)研究［J］.法商研究，2022（2）：146-157.

［38］張新新.個(gè)人數(shù)據(jù)保護(hù)法的域外效力研究［J］.國際法學(xué)刊，2021（4）：124-145，158.

On the construction of extraterritorial effect system of

personal information protection law in China

ZHANG Zhe， QI Aimin

（Law School， Chongqing University， Chongqing 400044， P. R. China）

Abstract： The system of extraterritorial effect of personal information protection law refers to a legal system in which a country exercises jurisdiction over a person， object or behavior that processes personal information extraterritorially， thus extending its jurisdiction beyond the territory of the country. It is not only a system innovation based on the practical interests of all participants， but also a legal weapon for a country to achieve political， economic and other purposes in a more macroscopic sense. From Data Protection Directive 95/46/EC to GDPR， the European Union further expanded the extraterritorial effect scope of the law， establishing the principle of jurisdiction with the principle of territoriality as the main principle and the effects principle as the complementary principle， and became a model for most countries. The essence of this approach is to take the whole European market as a bargaining chip to participate in the international game. Depending on the advantage of technology and market-dominant of U.S. companies and their control of global data， the U.S. CLOUD Act extends its legal weapon to all parts of the world through the global distribution of American companies， exporting American-style privacy standards to maximize their national interests. In the current situation where international conventions and treaties have not been formed， expanding the extraterritorial effect scope through domestic legislation is a common practice for most countries to safeguard data sovereignty and participate in international cyberspace governance. Facing the international mainstream， China should establish an legal system in which extraterritorial legislative jurisdiction and extraterritorial law enforcement jurisdiction coexist， enhance the applicability and systemic nature of the system of extraterritorial effects of personal information protection law， actively participate in and lead the development of international treaties on personal information protection law， and promote the realization of China’s plan for the reform of the global internet governance system.

Key words：? the system of extraterritorial effect of personal information protection law; GDPR; effects principle; CLOUD Act; extraterritorial legislative jurisdiction; extraterritorial law enforcement jurisdiction

（責(zé)任編輯胡志平）