張建文++張哲

摘要：大數據時代，隨著智能設備的普及和數據處理技術的成熟，搜索引擎、社交網絡、電子商務等互聯網信息服務快速發(fā)展。信息以前所未有的方式自由流動和跨境傳輸，由此引發(fā)了個人數據保護法域外效力的擴張。相較于早期的《數據保護指令》， 新近通過的歐盟《一般數據保護條例》增加了域外適用情形，將為歐盟境內的數據主體提供商品或服務以及監(jiān)控其行為的境外企業(yè)也納入了規(guī)制范圍。縱觀世界范圍內的個人數據保護法，多數國家已設立域外適用條款，擴大法律的域外效力已經成為國際社會的主流做法。就當前信息產業(yè)發(fā)展和個人信息保護規(guī)范的現狀而言，我國應借鑒歐盟立法經驗，在未來的個人信息保護法中設立域外適用條款，擴大法律的地域適用范圍，以保障信息主體的合法權益。

關鍵詞：個人數據保護法；域外效力；《一般數據保護條例》；屬地原則；效果原則；個人信息保護法

中圖分類號：D913； D923.8文獻標識碼：A文章編號：16738268（2017）02003608

一、問題的提出

在知識和經濟快速變革的信息化社會中，技術的進步，包括互聯網、移動互聯、物聯網、云計算、人工智能等技術的發(fā)展和運用，使得個人網上行為的全方位記錄和大規(guī)模分析成為可能，由此產生的數據資源也正和土地、勞動力、資本等生產要素一樣成為促進經濟增長和社會發(fā)展的基本要素。與之相應的是，個人信息以一種前所未有的方式被企業(yè)和政府機關收集、存儲、利用和傳輸。我們的搜索記錄、瀏覽記錄、消費記錄、社交記錄等幾乎所有的網上行為記錄都有可能被傳輸至境外的信息服務提供者所在地或被分享至第三方。由此引發(fā)的一個疑問就是：當境外企業(yè)違法收集和處理本國公民的個人數據時，一國的法律是否有權予以制裁？也即法律的域外效力。

在理論上，法律的域外效力是指“法律的空間效力擴展到該國國家主權主管范圍之外”[1]。按照國際法中的國家主權原則，一國制定的法律原則上應當僅適用于本國領土范圍之內。但是隨著經濟全球化的發(fā)展和信息自由流動的加快，法律的域外效力已經不僅局限于破產法、消費者權益保護法、競爭法等傳統部門法，而是擴展到了個人信息保護法、電子商務法、信息財產法等新興的法律領域。網絡空間在本質上是一個國際性的虛擬空間，其超越了傳統的國界，一個人上傳的照片和視頻很有可能被傳播至世界上任何一個連接至互聯網的終端設備。這種特性也使得傳統法律的屬地管轄原則已無法滿足當今社會的發(fā)展，在個人信息保護上應當擴大法律的域外適用范圍。而從世界范圍內的個人數據保護立法來看，強化本國法律的域外效力已經成為國際社會達成的共識。為此，本文將以歐盟正式頒布的《一般數據保護條例（GDPR）》（以下簡稱GDPR）為視角，探析個人數據保護法的域外效力并為我國未來個人信息保護法的制定提出建議。

二、歐盟GDPR域外效力探析

2016年4月14日，歐洲議會在二讀立法程序中決議通過了被稱為“史上最嚴格的個人數據保護條例”GDPR，其正式文本于5月4日被公布在歐盟官方公報上，從而結束了歐盟自2012年提出立法草案以來長達四年之久的數據保護改革。根據該條例第99條關于生效和適用的規(guī)定，其將自官方公報發(fā)布滿20日，即2016年5月24日后生效，并自其生效滿兩年，即2018年5月25日后直接適用于歐盟全體成員國，在兩年的過渡期內，歐盟各成員國可以將該條例轉化為自己的國內法予以適用[2]。相較于早期頒布并仍在實施的歐盟《數據保護指令（95/46/EC）》（以下簡稱95指令），GDPR在地域適用范圍、權利義務配置、監(jiān)管體系設計、懲罰措施、救濟方式等方面都對原有立法框架進行了重大調整。加之歐盟法院（CJEU）于2014年5月13日以判例的方式裁決個人享有被遺忘的權利[3]，這份自2012年1月歐盟委員會的提議起就備受外界關注的立法在引領全球個人信息保護立法方面無疑具有重要意義。

隨著數字經濟在全球范圍內的快速發(fā)展，促進數據的自由流動并挖掘數據中的潛在商業(yè)價值已經成為世界各國政府的共識，美國的《大數據：抓住機遇，保存價值》白皮書、歐盟的《數據價值鏈戰(zhàn)略計劃》《英國數據能力發(fā)展戰(zhàn)略規(guī)劃》以及我國的《國家信息化發(fā)展戰(zhàn)略綱要》都是加強數據資源利用的戰(zhàn)略規(guī)劃。但數據的自由流動必將帶來法律適用上的難題，單純規(guī)制境內的個人數據處理行為已無法充分保護數據主體的權利。為此，GDPR第三條將境外企業(yè)對歐盟境內自然人的個人數據所實施的特定處理行為也納入了規(guī)制范圍GDPR第3條“地域范圍”：

1.該條例適用于數據控制者或處理者在歐盟境內存在設立機構活動的背景下所實施個人數據處理行為，無論該處理行為是否發(fā)生在歐盟境內。

2.該條例適用于在歐盟境內不存在設立機構的數據控制者或處理者對歐盟境內數據主體的個人數據所實施的處理行為，如果該處理行為涉及：（a）對歐盟境內的數據主體提供商品或服務，無論數據主體是否被要求付費；或者（b）監(jiān)控歐盟境內數據主體的行為，只要他們的行為發(fā)生在歐盟境內。

3.該條例適用于由不在歐盟境內，而在憑借國際公法而適用成員國法律的地區(qū)的數據控制者所實施的個人數據處理行為。。具體而言，包括以下三種情形。

（一）歐盟境內存在設立機構

根據GDPR第3條第1款的規(guī)定，如果一個數據控制者或處理者，如Google美國總公司，其在歐盟境內存在一個設立機構（establishment），那么在此種情形下，數據控制者或處理者所實施的任何處理行為都要受到該條例的約束，不僅是歐盟境內的設立機構（如Google西班牙公司），設立該機構的數據控制者或處理者（如Google美國總公司）所實施的處理行為也要受到約束。

對于該條中“the processing of personal data in the context of the activities of an establishment of a controller or a processor”的理解，由于其與95指令第4條（1）（a）的規(guī)定在表述方式上一致，且歐盟法院在Google被遺忘權案件中對此進行了擴張性解釋，因此，歐盟法院的判決觀點對于正確解釋該條文具有重要指引價值。除此之外，在該案判決之后，歐盟數據保護第29條工作組（以下簡稱WP29）亦于2015年12月發(fā)布了對該案地域適用范圍的意見。因此，本部分將從Google被遺忘權案裁判觀點、WP29地域適用范圍意見和設立機構判定標準三個層面予以解析。endprint

1.Google被遺忘權案裁判觀點

在該案中，法院已經查明的事實是：

（1）Google西班牙公司是Google集團在西班牙地區(qū)的商業(yè)代理人，幫助Google集團推廣和銷售線上廣告位以獲取商業(yè)利潤。

（2）Google搜索引擎由Google美國總公司來運營和管理， Google西班牙公司并未實施與將第三方網站上的信息或數據編入索引或存儲直接關聯的活動。

（3）Google西班牙公司在西班牙地區(qū)實施的對廣告位進行推廣和銷售的行為構成了Google集團商業(yè)活動的一部分，可被視為與Google的搜索服務緊密相聯。

而Google西班牙公司和Google美國總公司則辯稱，本案的情況是，在主要進程中有爭議的個人數據處理行為由Google美國總公司排他性地實施，其對搜索引擎的運營沒有受到Google西班牙公司的任何干預；后者的行為限于為Google集團獨立于其搜索引擎服務的商業(yè)行為提供支持。

基于上述事實，歐盟法院的主要觀點及理由如下：

（1）根據95指令緒言（19）對設立機構的界定[4]，在本案中，“毫無疑問的是，Google西班牙公司在西班牙從事著對通過穩(wěn)定安排活動的真正有效執(zhí)行。此外，其還擁有獨立的法律人格，構成了Google美國總公司在西班牙領土上的一個子公司，因而成為95指令第4條（1）（a）中的‘設立機構”[3]。

（2）但考慮到95指令旨在確保對自然人的基本權利和自由，尤其是關于他們在個人數據處理方面的隱私權的保護[5]。因此，關于個人數據的處理，不應當對這些文字進行限制性解釋。從95指令緒言（18）至（20）和第4條的規(guī)定中可以明確的是，“歐盟立法機構希望通過規(guī)定一個特別寬泛的地域范圍來阻止個人被剝奪由該指令所確定的保護以及對那種保護的規(guī)避”[3]。

（3）對于在一個成員國內有設立機構的Google美國總公司而言，如果該設立機構意圖為在成員國內推廣和銷售旨在使搜索引擎盈利的廣告位的話，那么，為搜索引擎服務目的而為的個人數據處理行為就是在該設立機構“活動背景下”實施的，二者之間的活動具有“無可擺脫的聯系（inextricable link）”。由于搜索結果和與搜索項相關聯的廣告在同一頁面展示，因此，該數據處理行為是在數據控制者位于一個成員國領土上（本案中的西班牙）的設立機構的商業(yè)和廣告活動的背景下實施的。

由此，歐盟法院認定，已經被轉化為西班牙國內法的95指令第4條（1）（a）適用于Google美國總公司的個人數據處理行為。此外，從法院最終要求Google公司刪除有關原告岡薩雷斯新聞鏈接的判決來看，對于GDPR第3條第1款的理解，其應當是指“在數據控制者或處理者設立機構活動的背景下所實施的個人數據處理行為”，立法者并未將此種處理行為限制在該設立機構的范圍內，并且從該項后半段“regardless of whether the processing takes place in the Union or not”來看，并不需要考慮處理行為的發(fā)生地。因此，對于發(fā)生在歐盟境外的個人數據處理行為，如本案中發(fā)生在美國的索引行為，因其是在西班牙公司商業(yè)活動的背景下實施的處理行為，所以應受到該條例的約束。

2.WP29地域適用范圍意見

該案判決后，WP29于2015年12月16日發(fā)布了一份關于Google案件管轄問題的意見（以下簡稱意見）[6]，其中就包括對95指令第4條（1）（a）中“活動背景下”的詳細解釋以及設立機構與控制者之間“無可擺脫的聯系”的認定標準，從而使95指令以及GDPR的地域適用范圍在法律適用上更具可操作性。

根據歐盟法院的裁決對95指令第4條（1）（a）的解釋，其并不必然要求所談及的個人數據處理行為是“由（by）”相關設立機構自己實施的，而是只要個人數據處理行為是在設立機構“活動背景下”實施的，即滿足法律適用的條件[7]。

對于這樣一個比較寬泛和抽象的法律概念，法院以Google美國總公司與Google西班牙公司之間“無可擺脫的聯系”為由進行了充分的論證。法院認為，Google西班牙公司雖未直接實施索引行為，但是其在西班牙地區(qū)銷售搜索引擎上廣告位的行為是使搜索引擎在“經濟上可盈利（economically profitable）”的工具。因此，可以充分認定Google西班牙公司的廣告位銷售行為與Google的商業(yè)模式相關聯，沒有廣告位銷售行為，Google便不可能在經濟上為全球提供搜索引擎服務。由此，在95指令的地域適用范圍上，“無可擺脫的聯系”就成為了一個重要的認定標準。對此，WP29認為，對于此種關聯應當結合具體場景，考慮每個情形中的具體條件來進行綜合評估，既不能過寬地認為所有的關聯活動都滿足要求，也不能過窄地認為僅僅是搜索引擎商業(yè)模式才受到約束[6]。

歐盟法院的判決已經表明，即使設立機構并未真正從事數據處理行為，只要設立機構的行為與數據控制者之間有財務增長上的聯系即可被認定為存在“無可擺脫的聯系”。對此，結合法院的判決理由和95指令的目的，WP29認為，在“無可擺脫的聯系”的認定上應當考慮以下要素：

（1）設立機構是否實施個人數據處理行為不是必要條件；

（2）在“免費網絡服務+廣告”的商業(yè)模式中，財務上的增長可以被視為存在“無可擺脫的聯系”；

（3）對于其他商業(yè)模式和行為，需要在個案的基礎上綜合評估。非歐盟企業(yè)在歐盟境內提供免費網絡服務以換取用戶會員費或用戶訂閱以及利用用戶數據盈利，甚至是為了捐贈目的，這些行為也可以被視為存在“無可擺脫的聯系”。

由此可見，關于GDPR地域適用范圍的認定，應當考慮設立機構與數據控制者之間是否存在“無可擺脫的聯系”。對這種聯系的認定既不能過度擴展至所有關聯，也不能在商業(yè)模式上過分限制，需要結合個案綜合評估。從目前法院的判決以及WP29的觀點來看，財務上的增長、提供免費網絡服務以換取用戶會員費或用戶訂閱以及利用用戶數據盈利可以被認定存在“無可擺脫的聯系”。endprint

3.設立機構判定標準

對于設立機構的認定，根據GDPR緒言（22），“設立機構意味著經過穩(wěn)定安排的活動的真正有效執(zhí)行。這種安排的法律形式，無論是一個分支機構還是一個具有法律人格的子公司，不是決定性的因素”[8]。

除此之外，歐盟法院于2015年10月1日對“Weltimmo”案所做的判決第41段指出，只要數據控制者在一個成員國領土上通過穩(wěn)定的安排實施真正有效的活動，即使是一個最小的機構，其在這樣的背景下所實施的處理行為就要受到該成員國法律的約束[9]。隨后，法院也列舉了認定這種情形需要考慮的事實，包括：（1）數據控制者的處理行為構成對有關某個成員國境內的財產交易網站的運營并以該國的語言來顯示，并在結果上主要或完全針對該成員國；（2）數據控制者在該成員國內有一個代表機構，該機構負責恢復由這些活動所產生的債務以及在有關數據處理行為的行政和司法程序中代表數據控制者[9]。

綜上所述，對于在歐盟境內存在設立機構的境外企業(yè)，只要該設立機構與其存在“無可擺脫的聯系”，那么，無論控制者的個人數據處理行為是否發(fā)生在歐盟境內，均應受到GDPR的約束。另外，僅從GDPR第3條以及緒言（22）的字面含義來看，仍存疑問的是，是否Google美國總公司實施的一切處理個人數據的行為都要受到約束？本文認為，從該條例的立法目的來看，由于其旨在為歐盟境內的數據主體提供高水準的法律保護，因此，對于Google美國總公司針對歐盟以外地區(qū)（如加拿大或中國）數據主體實施的處理行為，該條例并不適用。

（二）為歐盟境內數據主體提供商品或服務或者監(jiān)控其行為

如果一個數據控制者或處理者在歐盟境內不存在設立機構，那么在以下兩種情況下，其所實施的個人數據處理行為要受到該條例的約束。

1.該數據控制者或處理者為歐盟境內的數據主體提供商品或者服務，無論該種商品或服務是否要求數據主體付費。對于提供商品或服務的界定，根據GDPR緒言（23），應當查明數據控制者或處理者設想在歐盟境內為一個或多個成員國的數據主體提供服務的意圖是否明顯。單單是對數據控制者、處理者或中介在歐盟境內的網站、一個電子郵箱地址或其他聯系詳情的接入或者對數據控制者所在第三方國家通行語言的使用，并不足以明確此種意圖。而諸如以其他語種對一個或多個成員國國內通行的能夠訂購商品或服務的語言或貨幣的使用，或者對歐盟境內的消費者或用戶的提及等，可以認定這種意圖是明顯的[10]。

2.該數據控制者或處理者的處理行為涉及對數據主體發(fā)生在歐盟境內的行為的監(jiān)控。對于監(jiān)控行為的界定，根據緒言（24），“應當查明自然人是否在互聯網上被追蹤，包括對構成為自然人畫像的個人數據處理技術的潛在后續(xù)使用，尤其是為了做出關于他或她的決定或者是為了分析或預測他或她的個人偏好、行為和態(tài)度”[11]。

（三）國際公法原因

如果一個數據控制者在歐盟境內不存在設立機構，也不存在該條第二種情形中規(guī)定的為歐盟境內的數據主體提供商品或服務或者對數據主體發(fā)生在歐盟境內的行為的監(jiān)控，但由于國際公法，在該數據控制者所在地區(qū)適用了歐盟成員國的法律，那么基于第3條第3款的規(guī)定，該條例也將適用于在此地區(qū)實施的個人數據處理行為。對于此處國際公法的解釋，根據GDPR緒言（25），“在成員國的法律憑借國際公法而適用的地區(qū)，該條例也適用于不在歐盟境內設立的數據控制者，諸如在一個成員國的使館或領館內設立的數據控制者”[12]。

在法律的空間效力上，現代國家普遍遵循以屬地管轄為主、屬人管轄為輔的原則。但對于GDPR的地域適用范圍，從更加抽象的意義上講，其實是將所有涉及歐盟地區(qū)自然人個人數據的處理行為均納入了管轄范圍，這些規(guī)定與其說是屬地管轄的例外，不如說是確立了一種新的管轄原則，即按照行為的效果來確立法律是否適用的管轄原則，這一點被WP29稱之為“效果原則（Effects Principle）”[6]。由此可見，GDPR在地域適用范圍上其實是確立了以屬地原則為主、效果原則為輔的管轄原則，這也是立法機關對個人數據收集、處理和跨境流動的日益頻繁所帶來的管轄問題作出的現實回應。

三、境外個人信息保護法的域外效力

隨著信息化社會的到來，加強個人信息的法律保護已經成為世界各國的共識。除歐盟以外，德國、英國、日本、新加坡以及我國港澳臺地區(qū)均出臺了相應的個人信息保護法，在這些國家和地區(qū)中，將境外的數據控制者的特定數據處理行為納入法律適用范圍也成了普遍做法。

美國于1998 年通過并自2000年4月21日起生效實施的《美國兒童網上隱私保護法》第1條開宗明義地指出，該法案將禁止互聯網上針對兒童實施的與個人信息收集、使用和/或泄露相連的不公平或欺詐行為[13]。法案針對的是“面向兒童的網站或在線服務”的提供者，但其并沒有限制網站地域范圍。對此，有學者就認為，該法案也適用于美國境外的網站，只要該網站符合法案第2條關于“面向兒童的網站或在線服務”的定義，那么其收集和處理美國13歲以下兒童個人信息的行為就將受到約束[14]。

1995年的歐盟《數據保護指令（95/46/EC）》第4條第1段（c）規(guī)定，對于數據處理控制者不在共同體境內設立，但為了個人數據處理之目的使用了位于上述成員國境內的自動化或者其他的設備的情形，除非使用該設備僅僅是為了在共同體境內傳輸有關數據外，均要受到成員國根據該指令通過的國內個人數據保護法的約束[15]。

1998年的英國《數據保護法案》第5條關于法律適用的規(guī)定，除了約束設立于英國并在存續(xù)期間從事數據處理行為的控制者之外，對沒有設立于英國或其他歐洲經濟區(qū)（EEA）的企業(yè)，若其非以通過英國傳送數據為目的而使用位于英國的設備進行數據處理，那么其亦將受到該法案的約束，需要在英國任命一名代表[16]。

2011年修訂后的法國《數據處理、文檔和個人自由法案》第5條第1款規(guī)定，只要是數據控制者在法國境內從事數據處理行為，不論其組織機構形態(tài)采用何種法律形式，均受到該法案的約束。對于沒有設立于法國境內或其他成員國境內的控制者，如果其處理數據的手段位于法國，那么除單純通過法國傳輸數據外，該數據控制者將受到法案的約束[17]。endprint

2009年修訂后的德國《聯邦數據保護法案》第一節(jié)目的和范圍（5）規(guī)定，除非是由位于德國的分支機構實施的處理行為，否則法案不適用于位于歐盟其他成員國或歐洲經濟區(qū)域協議締約國范圍之外的數據控制者的個人數據收集、處理和使用行為；如果控制者位于歐盟成員國或歐洲經濟區(qū)域協議締約國范圍之外，那么其在德國境內實施的收集、處理和使用個人數據的行為將受到法案的約束，但僅為傳輸目的而在德國使用數據存儲媒介的除外[18]。

新加坡個人數據保護委員會（PDPC）于2016年7月15日發(fā)布的《關于個人數據保護法（PDPA）中重要概念的建議指南》中，第11條規(guī)定了新加坡境內數據傳輸的法律適用問題。第1款規(guī)定，如果個人數據是在境外收集并在隨后被傳輸至新加坡境內，那么法案將適用于有關新加坡境內此類個人數據的處理活動[19]。委員會為解釋該款規(guī)定所舉的例子也表明，如果一個位于新加坡境內的企業(yè)僅僅作為境外企業(yè)的數據媒介的話，那么，雖然數據收集行為發(fā)生在境外，但是在新加坡境內的處理行為仍要受到法案的約束。

2010年我國臺灣地區(qū)的《個人資料保護法》第51條第2款規(guī)定，公務機關及非公務機關，在中華民國領域外對中華民國人民個人資料搜集、處理或利用者，亦適用本法。但該規(guī)定存在著過于原則性的問題，沒有列明具體的適用情形。

2005年我國澳門地區(qū)的《個人資料保護法》第3條第3款規(guī)定，本法律適用于對可以認別身份的人的聲音和影像進行的錄像監(jiān)視，以及以其他方式對這些聲音和影像的取得、處理和傳播，只要負責處理數據的實體的住所在澳門特別行政區(qū)（以下簡稱特區(qū)），或者通過在特區(qū)設立的提供信息和電信信息網絡服務的供貨商而實施。因此，即使境外的控制者僅僅是利用在澳門地區(qū)供貨商提供的設備從事數據處理行為，其也應當受到該法案的約束。

從域外的法律規(guī)定中可以看出，世界其他國家和地區(qū)在個人數據保護法的域外效力上，存在以下三個特點。

第一，擴大法律域外效力成為普遍共識。隨著全球數據自由流動的加快和國際電子商務的發(fā)展，人們獲取信息的方式得到了空前的擴展。但與此同時，境外企業(yè)收集和處理本國自然人的個人數據也成為一種必然，我們在網上的搜索、購物、社交、出行訂票等行為都有可能被國外的互聯網企業(yè)所收集和處理并用于精準廣告的投放。因此，立法機構需要擴大個人信息保護法的域外效力來增強個人的數據控制力，這一點也可以在歐盟95指令到GDPR的立法變遷中得到印證。

第二，歐盟法成為世界各國效仿對象。歐盟國家向來注重人權保障，因此在個人信息保護法方面一直走在世界前列[20]。自1995年通過95指令以來，其域外效力規(guī)定就成為了其他國家和地區(qū)的效仿對象。美國和我國臺灣地區(qū)的法律規(guī)范雖然也確認了個人信息保護法的域外效力，但這些規(guī)定并不具有很強的操作性。而歐盟地區(qū)的立法則呈現出精細化的特點，將關涉歐盟地區(qū)自然人的數據處理行為納入法律規(guī)制范圍。GDPR雖然在原有的基礎上繼續(xù)擴大了適用范圍，但這仍是在原有立法理念的基礎上對當今以及未來世界信息經濟發(fā)展的合理預判，此種做法既有效保障了數據主體的權利，又不會對他國主權完整造成不當干涉。

第三，效果原則成為屬地原則的補充。屬地原則是國家主權在法律領域的體現，個人信息保護法適用于在一國領土內發(fā)生的數據處理行為毋庸置疑，這一點也在英國、法國和我國澳門地區(qū)的法律中有了明確肯定。而在法律域外效力的規(guī)定上，除了美國和我國臺灣地區(qū)的規(guī)定相對模糊外，其他國家或地區(qū)的規(guī)定可以說均是WP29所謂的“效果原則”的體現。無論是利用位于本國的設備（英國）、利用在本國設立的分支機構（法國和德國）或供應商，還是為本國自然人提供服務（歐盟），究其本質而言，都在客觀效果上構成對本國或本地區(qū)自然人個人數據的處理。GDPR雖然增加了對境外企業(yè)提供商品或服務以及監(jiān)控行為的適用，但其仍是效果原則的體現，目的在于在更大的程度和范圍上保護歐盟地區(qū)數據主體的個人數據權。

四、對我國個人信息立法的建議

我國在互聯網產業(yè)快速發(fā)展的同時，也出現了嚴重的個人信息侵權事件，這些事件的發(fā)生也促使人們對個人信息保護的熱切關注。雖然我國早已出臺了《全國人大常委會關于加強網絡信息保護的決定》和工信部《電信和互聯網用戶個人信息保護規(guī)定》的法律規(guī)范和部門規(guī)章，并且也在征信、證券、保險、銀行等行業(yè)規(guī)范中規(guī)定了企業(yè)和員工的個人信息保密義務，但這些規(guī)定仍存在碎片化、保護利益不清晰、效力層級低、執(zhí)法部門定位和權限不明確等問題[21]?？梢哉f，系統性地整理我國當前已經出臺的相關規(guī)定并制定個人信息保護法已經成為了社會各界的共識。對此，在2016年10月31日召開的十二屆全國人大常委會第二十四次會議中，委員會審議了民法總則草案二審稿并增加了被媒體稱之為“徐玉玉徐玉玉事件基本情況：18歲的山東女孩徐玉玉以高考568分的成績被南京郵電大學錄取。2016年8月19日，徐玉玉接到詐騙電話，對方聲稱有一筆2 600元助學金要發(fā)放給她，于是其將9 900元學費轉入了對方賬號。得知被騙后，徐玉玉傷心欲絕，郁結于心，最終導致心臟驟停，雖經醫(yī)院全力搶救，但仍不幸于8月21日離世。（參見：《徐玉玉之死不是一個人的悲劇》，《青島早報》2016年8月25日）條款”的個人信息保護規(guī)定民法總則草案二審稿中，增加的個人信息保護條款為：“自然人的個人信息受法律保護，任何組織和個人不得非法收集、利用、加工、傳輸個人信息，不得非法提供、公開或出售個人信息?！保瑢€人信息權作為一項基本民事權利予以保護，從而為我國未來制定個人信息保護法奠定了基礎。

作為世界上最大的信息服務市場，我國已經將大數據產業(yè)的發(fā)展提升到國家戰(zhàn)略的高度，國務院《促進大數據發(fā)展行動綱要》以及中共中央辦公廳、國務院辦公廳《國家信息化發(fā)展戰(zhàn)略綱要》均明確提出要加強信息基礎設施的建設以促進社會的信息化轉型?？梢灶A見的是，隨著物聯網的普及和人工智能的應用，個人數據將實現在更大范圍內的自由流動和更高效的處理利用。因此，我國需要在未來的個人信息保護立法中借鑒世界各國在域外效力規(guī)定上的先進經驗，并結合產業(yè)發(fā)展狀況，合理設定法律的地域適用范圍。endprint

從前文對個人數據保護法域外效力的介紹和分析中可以看到，擴大地域適用范圍已經成為世界各個國家和地區(qū)的普遍做法[22]。我國至今還未出臺專門的個人信息保護法，現行的法律、法規(guī)、行政規(guī)章、行業(yè)自律規(guī)范等也以規(guī)制國內企業(yè)的數據處理行為為主，缺乏對域外效力的規(guī)定。而在個人信息保護立法理論研究領域，雖然已有學者提出了個人信息保護法專家建議稿[23]，但美中不足的是，該建議稿中也未規(guī)定法律的域外效力。

有鑒于此，筆者認為，在我國未來的個人信息保護立法中，為實現對我國領土范圍內自然人個人信息的合理保護，應當在域外效力適用情形上參照歐盟地區(qū)的做法，但在立法技術上，還應當將屬地原則作為一項基本規(guī)定單獨列明，輔之以法律的域外效力適用情形，從而形成以屬地原則為主、效果原則為補充的立法格局。因此，筆者建議我國在個人信息保護法地域適用范圍上做如下規(guī)定。

本法適用于以下情形：

1.控制者或處理者在中華人民共和國領域內實施的個人信息處理行為。

2.控制者或處理者不在中華人民共和國領域內，但利用設立在中華人民共和國的組織機構實施的個人信息處理行為。

3.控制者或處理者不在中華人民共和國領域內，但其個人信息處理行為符合以下情形的：

（1）對中華人民共和國領域內的信息主體提供商品或服務；或（2）監(jiān)測數據主體在中華人民共和國領域內實施的行為。

4.控制者或處理者不在中華人民共和國領域內，但其個人信息處理行為因國際公法而適用本法。參考文獻：

[1]齊愛民，王基巖.大數據時代個人信息保護法的適用與域外效力[J].社會科學家，2015（11）：103.

[2]General Data Protection Regulation， Article 99[EB/OL].（20160427）[20160515].http：//eurlex.europa.eu/legalcontent/EN/TXT/PDF/？uri=CELEX：32016R0679&from=EN.

[3]Google Spain v AEPD and Mario Costeja González [EB/OL].（20140513）[20160510]. http：//eurlex.europa.eu/legalcontent/EN/TXT/PDF/？uri=CELEX：62012CJ0131&qid=1461468702602&from=EN.

[4]Data Protection Directive，Recital 19[EB/OL]. （19951024）[20160504]. http：//ec.europa.eu/justice/policies/privacy/docs/9546ce/dir199546_part1_en.pdf.

[5]Data Protection Directive，Article 1[EB/OL].（19951024）[20160504]. http：//ec.europa.eu/justice/policies/privacy/docs/9546ce/dir199546_part1_en.pdf.

[6]Article 29 Data Protection Working Party，Update of Opinion 8/2010 on applicable law in light of the CJEU judgement in Google Spain[EB/OL]. （20151216）[20160510]. http：//ec.europa.eu/justice/dataprotection/article29/documentation/opinionrecommendation/files/2015/wp179_en_update.pdf.

[7]PATRIKIOS A. Getting to know the GDPR，Part 2Outofscope today， in scope in the future. What is caught[EB/OL]. （20151020）[20160810]. http：//privacylawblog.fieldfisher.com/2015/gettingtoknowthegdprpart2outofscopetodayinscopeinthefuturewhatiscaught/.

[8]General Data Protection Regulation， Recital 22[EB/OL]. （20160427）[20160510]. http：//eurlex.europa.eu/legalcontent/EN/TXT/PDF/？uri=CELEX：32016R0679&from=EN.

[9]Weltimmo s.r.o.v.Nemzeti Adatvédelmiés Információsza

badság Hatóság[EB/OL].（20151001）[20160512]. http：//curia.europa.eu/juris/document/document.jsf？text=&docid=168944&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=182564.

[10]General Data Protection Regulation， Recital 23[EB/OL]. （20160427）[20160512]. http：//eurlex.europa.eu/legalcontent/EN/TXT/PDF/？uri=CELEX：32016R0679&from=EN.endprint

[11]General Data Protection Regulation， Recital 24[EB/OL]. （20160427）[20160512]. http：//eurlex.europa.eu/legalcontent/EN/TXT/PDF/？uri=CELEX：32016R0679 &from=EN.

[12]General Data Protection Regulation， Recital 25[EB/OL]. （20160427）[20160512]. http：//eurlex.europa.eu/legalcontent/EN/TXT/PDF/？uri=CELEX：32016R0679&from=EN.

[13]Childrens Online Privacy Protection Rule，§312.1. [EB/OL].[20161012].http：//www.ecfr.gov/cgibin/textidx？SID=4939e77c77a1a1a08c1cbf905fc4b409&node=16%3A1.0.1.3.36&rgn=div5.

[14]周慧蓮.資訊隱私保護爭議之國際化[J].月旦法學雜志，2004（1）：112132.

[15]Data Protection Directive，Article 4[EB/OL].（19951024）[20160504].http：//ec.europa.eu/justice/policies/privacy/docs/9546ce/dir199546_part1_en.pdf.

[16]Data Protection Act 1998，Article 5[EB/OL]. [20161012].http：//www.legislation.gov.uk/ukpga/1998/29/contents.

[17]Act on Data Processing， Data Files and Individual Liberties，Article 5[EB/OL].[20161012].http：//www.legislationline.org/download/action/download/id/4541/file/Loi_n°_7817_du_6_janvier_1978_data_processing_data_files_indivd_libraries_am_2011_en.pdf.

[18]Federal Data Protection Act，Section 1[EB/OL].[20161012].http：//www.gesetzeiminternet.de/englisch_bdsg/englisch_bdsg.html#p0009.

[19]Personal Data Protection Commission （PDPC）.Advisory Guidelines On Key Concepts In The Personal Data Protection Act，chapter 11[EB/OL].（20160715）[20161012].https：//www.pdpc.gov.sg/docs/defaultsource/advisoryguidelines/advisoryguidelinesonkeyconceptsinthepdpa（15july16）.pdf？sfvrsn=2.

[20]周漢華.對《個人信息保護法》（專家建議稿）若干問題的說明[J].中國科技法學年刊，2005（1）：325.

[21]張新寶.從隱私到個人信息：利益再衡量的理論與制度安排[J].中國法學，2015（3）：4445.

[22]王楠.個人信息跨境轉移的法律保護——以公司隱私規(guī)則為視角[J].重慶工商大學學報（社會科學版），2016（1）：6874.

[23]齊愛民.中華人民共和國個人信息保護法示范法草案學者建議稿[J].河北法學，2005（6）：25.

Study on the Extraterritorial Effect of Personal Information

Protection Law： In the Perspective of General Data Protection

Regulation of EU

ZHANG Jianwen， ZHANG Zhe

（School of Civil and Commercial Law Studies， Southwest University of Political Science and Law， Chongqing 401120， China）

Abstract：In big data era， with the popularity of intelligent devices and maturation of data processing technology，search engine， social network， Ecommerce and other Internet information services are developing rapidly. Information flows and transfers acrossborders in an unprecedented way， which cause the expansion of the extraterritorial effect of the personal data protection law. Compared to the early data protection directive， the territorial scope of the newly adopted General Data Protection Regulation is much broader， and the NonEU companies which provide goods or services for EUs data subject as well as monitoring their behaviors shall be subject to this regulation. Throughout the personal data protection act worldwide， most countries have set extraterritorial effect provisions，extending the extraterritorial effect of law has become the mainstream of the international community. In terms of the development of Chinas information industry and the status of personal information protection regulations，China should learn from the legislative experience of the European Union，and set extraterritorial effect provisions as well as expand the territorial application scope in the personal information protection law in the future to protect the legitimate rights and interests of the data subjects.

Keywords：personal data protection law； extraterritorial effect； General Data Protection Regulation； territorial principle； effects principle； personal information protection law

（編輯：劉仲秋）endprint