肖 夏

個(gè)人數(shù)據(jù)保護(hù)由于涉及各國憲法層面的價(jià)值選擇，導(dǎo)致實(shí)體法之間的差異難以協(xié)調(diào)。為了緩解這種實(shí)體規(guī)則差異導(dǎo)致的法律漏洞及法律沖突，尋求更具科學(xué)性及實(shí)用性的沖突規(guī)則就變得尤為重要。現(xiàn)有一般沖突規(guī)則是否能夠滿足個(gè)人數(shù)據(jù)保護(hù)領(lǐng)域特殊的調(diào)整需求及價(jià)值目標(biāo)，特殊的連結(jié)點(diǎn)如何選取及適用，特殊沖突規(guī)則與一般沖突規(guī)則如何排序等問題，均需考察及論證。

一、個(gè)人數(shù)據(jù)保護(hù)領(lǐng)域沖突規(guī)則的價(jià)值目標(biāo)

沖突規(guī)則是為了解決國際法律沖突而存在的，其所追求的價(jià)值目標(biāo)分為形式正義和實(shí)質(zhì)正義兩個(gè)層面：形式正義即實(shí)現(xiàn)法律適用的確定性和可預(yù)見性，實(shí)質(zhì)正義即實(shí)現(xiàn)法律適用結(jié)果的正當(dāng)性。具體到個(gè)人數(shù)據(jù)保護(hù)領(lǐng)域的沖突規(guī)則，其所追求的實(shí)質(zhì)正義目標(biāo)與數(shù)據(jù)保護(hù)實(shí)體法規(guī)則并無不同?？v觀當(dāng)今世界主要的數(shù)據(jù)保護(hù)立法文件，可發(fā)現(xiàn)均以實(shí)現(xiàn)“數(shù)據(jù)保護(hù)”和“數(shù)據(jù)流通”的雙重價(jià)值追求為目標(biāo)。因而，不同于一般沖突規(guī)則所追求的單一實(shí)質(zhì)正義，如物權(quán)領(lǐng)域的產(chǎn)權(quán)保護(hù)、合同領(lǐng)域的交易安全等，數(shù)據(jù)保護(hù)領(lǐng)域的沖突規(guī)則需要實(shí)現(xiàn)的實(shí)質(zhì)正義是雙重價(jià)值目標(biāo)的平衡。正是這種特殊的價(jià)值追求導(dǎo)致數(shù)據(jù)保護(hù)領(lǐng)域的沖突規(guī)則需要比一般沖突規(guī)則面臨更復(fù)雜的協(xié)調(diào)要求：它不但需要協(xié)調(diào)沖突規(guī)則本身形式正義和實(shí)質(zhì)正義之間的沖突，還需要協(xié)調(diào)實(shí)質(zhì)正義層面數(shù)據(jù)保護(hù)與數(shù)據(jù)流通之間的沖突。

歐盟委員會(huì)在歐盟數(shù)據(jù)保護(hù)指令①Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data,at:,accessed 15 July 2018.［hereinafter referred to as Directive 95/46/EC］的解釋性備忘錄中明確指出法律適用條款的任務(wù)主要在于避免兩種可能：數(shù)據(jù)主體因控制人刻意規(guī)避法律而處于所有保護(hù)體系之外，同一數(shù)據(jù)處理行為受到兩個(gè)以上國家法律的規(guī)制。②European Commission,“Amended proposal for a Council Directive on the protection of individuals with regard to the processing of personal data and the free movement of such data”,COM(92)422 final-SYN 287,p.13.很明顯，雖然對(duì)數(shù)據(jù)主體的保護(hù)十分重要，但法律的確定性及減輕數(shù)據(jù)控制人守法負(fù)擔(dān)的要求亦是選擇連結(jié)因素的重要考量依據(jù)。正如部分學(xué)者指出的，數(shù)據(jù)保護(hù)領(lǐng)域復(fù)雜的平衡需求導(dǎo)致傳統(tǒng)國際私法所能提供的解決方案十分有限，③See Jiahong Chen,“How the Best-laid Plans Go Away:the(Unsolved)Issues of Applicable Law in the General Data Protection Regulation”,in International Data Privacy Law,2016,Vol.6,No.4,p.321.需要進(jìn)一步探索這一領(lǐng)域?qū)ｉT的沖突規(guī)則。這一專門沖突規(guī)則不僅應(yīng)在技術(shù)上解決數(shù)據(jù)位置難以確定的困難，還應(yīng)特別關(guān)注到數(shù)據(jù)主體在數(shù)據(jù)交易和流通中的弱勢(shì)地位。

二、個(gè)人數(shù)據(jù)保護(hù)領(lǐng)域的專門沖突規(guī)則及其完善

數(shù)據(jù)保護(hù)領(lǐng)域的專門沖突規(guī)則主要指以“數(shù)據(jù)控制人機(jī)構(gòu)設(shè)立地”作為連結(jié)點(diǎn)的沖突規(guī)則。這一規(guī)則來源于歐盟1995年通過的數(shù)據(jù)保護(hù)指令第4（1）（a）條。根據(jù)該條的規(guī)定，適用控制人機(jī)構(gòu)設(shè)立地國法的前提是：控制人在成員國境內(nèi)設(shè)有一個(gè)機(jī)構(gòu)，數(shù)據(jù)處理系在該機(jī)構(gòu)活動(dòng)范圍內(nèi)實(shí)施。④See Arts 4(1)(a)of Directive 95/46/EC.歐洲法院因而需承擔(dān)起兩項(xiàng)解釋任務(wù)：其一是解釋“機(jī)構(gòu)（establishment）”并明晰構(gòu)成指令意義上的“機(jī)構(gòu)”所需要的最低條件；其二是解釋機(jī)構(gòu)“活動(dòng)范圍內(nèi)（in the context of activities）”，并進(jìn)而決定哪一個(gè)機(jī)構(gòu)設(shè)立地與數(shù)據(jù)處理最相關(guān)。然而，通過對(duì)歐洲法院近年判例的梳理可發(fā)現(xiàn)，這一標(biāo)準(zhǔn)在適用時(shí)面臨一些自我矛盾的困境，可能會(huì)帶來法律選擇結(jié)果價(jià)值取向的偏差。

（一）控制人機(jī)構(gòu)設(shè)立地法的適用困境

1.對(duì)控制人“機(jī)構(gòu)”的解釋缺乏明確界限

關(guān)于“機(jī)構(gòu)”這一概念，指令本身并沒有明確定義。指令前言19條中闡述“在一成員國領(lǐng)土上設(shè)立機(jī)構(gòu)意味著通過穩(wěn)定的安排實(shí)施真實(shí)有效的活動(dòng)”并且“其法律形式——是否為具有獨(dú)立法律人格的分支或附屬機(jī)構(gòu)，并不是構(gòu)成指令第4條意義上‘機(jī)構(gòu)’的決定性因素”。⑤See Ecital 19 of Directive 95/46/EC.歐洲法院在其一系列判決中沿用了這一解釋，并進(jìn)一步加以說明。

Weltimmo案⑥Weltimmo案的主要案情是：在斯洛伐克注冊(cè)的Weltimmo公司經(jīng)營了一個(gè)網(wǎng)站，售賣葡萄牙境內(nèi)的房產(chǎn)。為了這一目的，Weltimmo需要處理這些房產(chǎn)的廣告商的個(gè)人數(shù)據(jù)。Weltimmo為潛在廣告客戶提供一個(gè)月的免費(fèi)廣告以鼓勵(lì)他們簽署服務(wù)，但在一個(gè)月后卻忽視所有要求取消合同的申請(qǐng)，繼續(xù)提供廣告服務(wù)。當(dāng)廣告客戶拒絕支付費(fèi)用時(shí)，Weltimmo公司就把客戶的信息移轉(zhuǎn)給一家討債公司。由此引發(fā)了糾紛。中，一家房地產(chǎn)中介公司在斯洛伐克登記注冊(cè)，但卻在網(wǎng)站上使用匈牙利語言銷售匈牙利境內(nèi)的房產(chǎn)。該公司在其注冊(cè)的地方未開展任何活動(dòng)，⑦Case C-230/14 Weltimmo(CJEU,1 October 2015)ECLI:EU:C:201 5:639,para 16.［hereinafter referred to as Weltimmo judgment］.并且頻繁變更注冊(cè)地以逃避數(shù)據(jù)保護(hù)監(jiān)管。①para 11-12 of the Weltimmo judgment.歐洲法院為了防止Weltimmo逃避歐盟法的監(jiān)管，對(duì)“機(jī)構(gòu)”的定義進(jìn)行了擴(kuò)張解釋，認(rèn)為公司一名代表在匈牙利常駐的事實(shí)就足以滿足“安排穩(wěn)定性”標(biāo)準(zhǔn)的要求，“該代表通過必要的設(shè)施在匈牙利境內(nèi)提供特定服務(wù)，行為已符合穩(wěn)定性標(biāo)準(zhǔn)”。②para 28 of the Weltimmo judgment.歐洲法院還進(jìn)一步指出，即使僅有“最低限度（a minimal one）”③para 31 of the Weltimmo judgment.真實(shí)而有效的活動(dòng)通過穩(wěn)定性安排實(shí)施，也足以達(dá)到第4條意義上“機(jī)構(gòu)”的標(biāo)準(zhǔn)。由于Weltimmo營運(yùn)著數(shù)個(gè)有關(guān)匈牙利房產(chǎn)的不動(dòng)產(chǎn)交易網(wǎng)站，這些網(wǎng)站使用匈牙利語，并對(duì)超過一個(gè)月以上的廣告收取費(fèi)用，可以認(rèn)為這個(gè)公司在匈牙利實(shí)施了真實(shí)而有效的活動(dòng)。④para 32 of the Weltimmo judgment.

亞馬遜案⑤主要案情是：一個(gè)奧地利的消費(fèi)者權(quán)益保護(hù)組織（VKI）在奧地利法院起訴亞馬遜（歐盟），指控該公司電子商務(wù)合同中的一般性條款和條件屬于濫用權(quán)力，并要求奧地利法院禁止相關(guān)條件使用。亞馬遜（歐盟）設(shè)立于盧森堡，隸屬于一個(gè)國際郵購集團(tuán)（亞馬遜集團(tuán)）。這一盧森堡公司通過域名擴(kuò)展名為“.de”（德國域名）的網(wǎng)站向消費(fèi)者提供服務(wù)，它同時(shí)也通過簽訂電子銷售合同向奧地利消費(fèi)者銷售產(chǎn)品。爭議條款中有一項(xiàng)規(guī)定盧森堡法律是解決亞馬遜（歐盟）與其客戶之間糾紛的準(zhǔn)據(jù)法；另一項(xiàng)條款規(guī)定，買方提供的個(gè)人資料將與亞馬遜集團(tuán)的其他公司以及經(jīng)濟(jì)信息機(jī)構(gòu)交換。案件在經(jīng)過一、二審之后，奧地利最高法院在審理過程中向歐洲法院提出先行裁決申請(qǐng)。中，歐洲法院參照Weltimmo案的判決，再次重申“機(jī)構(gòu)”這一概念應(yīng)當(dāng)被寬泛地解釋為包含“實(shí)施任何真實(shí)有效活動(dòng)的穩(wěn)定安排，哪怕是最小的一種”。⑥Case C-191/15 Verein fur Konsumenten Information v Amazon EU 5rl (CJEU, 28 July 2016) ECL:EU:C:2016:612,para 75.[hereinafter referred to as Amazon judgment]歐洲法院法律總顧問認(rèn)為，在奧地利（消費(fèi)者所在地）境內(nèi)恐怕并不存在一個(gè)與數(shù)據(jù)處理相關(guān)的亞馬遜機(jī)構(gòu)，單純的網(wǎng)站可訪問性不能構(gòu)成所謂的“機(jī)構(gòu)”，應(yīng)該選擇的準(zhǔn)據(jù)法要么是盧森堡［亞馬遜（歐盟）公司注冊(cè)地］法律，要么是德國（網(wǎng)站域名擴(kuò)展名標(biāo)示地）法。由于奧地利消費(fèi)者訪問的是亞馬遜的德國域名網(wǎng)站（www.amazon.de），通過這種數(shù)據(jù)處理的特定安排，德國成為與數(shù)據(jù)處理相關(guān)的機(jī)構(gòu)設(shè)立地。⑦Opinion of the Advocate General Saugmandsgaard Oe,in Case C-191/15 Verein fur Konsumenten Information v Amazon EU 5rl(CJEU,2 June 2016)ECLI:EU:C:2016:388,para 119.［hereinafter referred to Amazon EU,Opinion of the Advocate General Saugmandsgaard Oe］最終，歐洲法院采納了法律總顧問的意見，為構(gòu)成“機(jī)構(gòu)”的標(biāo)準(zhǔn)劃定了新的界限：一方面，建立一個(gè)分支或附屬機(jī)構(gòu)并不一定滿足指令對(duì)“機(jī)構(gòu)”設(shè)立的要求；另一方面，僅僅網(wǎng)站在某一成員國可訪問的事實(shí)本身也并未達(dá)到在該成員國設(shè)有“機(jī)構(gòu)”的標(biāo)準(zhǔn)。法庭通過此案判決明確指出單純的網(wǎng)站可訪問性是不足以形成“機(jī)構(gòu)”的物理存在的，為原本寬泛的解釋標(biāo)準(zhǔn)設(shè)置了一定的限制。

從上述分析可知，歐洲法院雖然明確了“機(jī)構(gòu)”設(shè)定的兩個(gè)要件——“穩(wěn)定的安排”和“真實(shí)有效的活動(dòng)”，但卻未闡明“穩(wěn)定”的程度和“活動(dòng)”的限度。此外，為了消除歐盟法的監(jiān)管盲點(diǎn)，歐洲法院對(duì)“機(jī)構(gòu)”做出了超出常規(guī)范圍的擴(kuò)張性解釋，無疑更加削減了控制人機(jī)構(gòu)設(shè)立地標(biāo)準(zhǔn)的確定性。

2.對(duì)控制人“活動(dòng)范圍”的解釋寬窄不一

2014年的谷歌西班牙（Google Spain）案中，歐洲法院發(fā)現(xiàn)數(shù)據(jù)處理并未在歐盟境內(nèi)谷歌的任何機(jī)構(gòu)控制下實(shí)施。為了避免谷歌（總部設(shè)立于美國）逃避歐盟數(shù)據(jù)保護(hù)法規(guī)的監(jiān)管，歐洲法院對(duì)“in the context of”進(jìn)行了寬泛的解釋，認(rèn)為谷歌（西班牙）有關(guān)廣告空間的商業(yè)營銷活動(dòng)與谷歌搜索引擎運(yùn)營中所發(fā)生的數(shù)據(jù)處理行為“不可分割地聯(lián)系在一起”，因此滿足了第4（1）（a）條對(duì)數(shù)據(jù)處理屬于控制人所設(shè)機(jī)構(gòu)“活動(dòng)范圍內(nèi)”的要求。⑧Case C-131/12 Google Spain and Google (CJEU,13 May 2014) ECLI:EU:C:2014:317,para 56.［hereinafter referred to as Google Spain judgment］

Weltimmo案中，歐洲法院參照了谷歌（西班牙）案的判決，重申對(duì)“in the context of”應(yīng)進(jìn)行寬泛的解釋，該標(biāo)準(zhǔn)并不要求數(shù)據(jù)處理行為一定是由控制人機(jī)構(gòu)自己實(shí)施，但是數(shù)據(jù)處理必須與該機(jī)構(gòu)的業(yè)務(wù)活動(dòng)有密切的聯(lián)系。①Para 78 of the Amazon judgment.

然而，與上述兩案相反的是，在德國臉書訴石勒蘇益格-荷爾斯泰因數(shù)據(jù)保護(hù)局案中，德國行政法院認(rèn)為，臉書在歐盟內(nèi)部有兩個(gè)符合指令第4（1）（a）條規(guī)定的潛在機(jī)構(gòu)，可適用的法律將由與數(shù)據(jù)處理行為“有最密切聯(lián)系”的機(jī)構(gòu)所在地決定。法院最終判定德國法并不應(yīng)適用于臉書對(duì)德國用戶的數(shù)據(jù)處理行為，因?yàn)槟槙牡聡庸静]有實(shí)際處理數(shù)據(jù)，只負(fù)責(zé)公共關(guān)系和市場(chǎng)營銷。②Case 8 B 60/12 Facebook Ireland Ltd.v Independent Data Protection Authority of Schleswig-Holstein,Germany,para 6.［hereinafter referred to as Facebook Ireland judgement］See from Carlo Piltz,“Facebook Ireland Ltd./Facebook Inc.v Independent Data Protection Authority of Schleswig-Holstein,Germany—Facebook is not subject to German Data Protection Law”,in International Data Privacy Law,2013,Vol.3,No.3,p.211.而臉書的愛爾蘭子公司負(fù)責(zé)處理歐洲用戶的數(shù)據(jù)信息，所以愛爾蘭法才應(yīng)是排他適用的準(zhǔn)據(jù)法。③Para 7 and 9 of Facebook Ireland judgement.然而，值得注意的是，谷歌案中歐洲法院認(rèn)為在成員國境內(nèi)銷售廣告空間就足以建立起谷歌與該成員國之間的聯(lián)系。如臉書案亦適用該標(biāo)準(zhǔn)，則似乎德國法亦可以成為準(zhǔn)據(jù)法。因?yàn)槟槙聡止倦m未處理數(shù)據(jù)卻從事了大量商業(yè)活動(dòng)，符合谷歌案所建立的標(biāo)準(zhǔn)。這樣就會(huì)導(dǎo)致德國法與愛爾蘭法的雙重適用問題。

此外，在亞馬遜案中，歐洲法院法律總顧問認(rèn)為該案的一個(gè)特殊之處在于，“歐洲法院在谷歌（西班牙）案中對(duì)指令第4（1）（a）條的擴(kuò)張性解釋不能適用于此案。除了事實(shí)上的不同之外，前案需要評(píng)價(jià)相關(guān)數(shù)據(jù)的處理是否由指令建立的保護(hù)框架所涵蓋，而本案則需要確定若干成員國法律，哪一個(gè)適用于數(shù)據(jù)處理行為。也就是說需確定哪個(gè)（控制人）機(jī)構(gòu)經(jīng)營范圍內(nèi)的活動(dòng)與數(shù)據(jù)處理最相關(guān)”。④See Amazon EU,Opinion of the Advocate General Saugmandsgaard Oe,para.125.法律總顧問最終排除了奧地利法的適用，認(rèn)為雖然被處理的是奧地利消費(fèi)者的數(shù)據(jù)，但是亞馬遜（歐盟）合同的一般性條款中第6、9和11條規(guī)定的內(nèi)容（有關(guān)數(shù)據(jù)保護(hù)）與其在奧地利提供的售后服務(wù)沒有任何直接聯(lián)系。⑤See Amazon EU,Opinion of the Advocate General Saugmandsgaard Oe,para.125.歐洲法院雖然最終將數(shù)據(jù)保護(hù)法律選擇的問題留給了奧地利法院自己決定，但對(duì)法律總顧問的意見卻予以全盤接受，并在其答復(fù)中兩次引用。⑥See the Amazon judgment,at para.76 and 80 as regards the views on the application of Directive 95/46/EC.

通過對(duì)前述案例的分析，可以發(fā)現(xiàn)：由于裁判目的的不同，歐洲法院在谷歌案和Weltimmo案中對(duì)“in the context of activities”的擴(kuò)展性解釋方法在臉書案和亞馬遜案中并未采用。因?yàn)榍皟砂钢?，控制人在歐盟內(nèi)部均未設(shè)有超過一個(gè)以上的機(jī)構(gòu)，因此無須判斷哪一機(jī)構(gòu)與數(shù)據(jù)處理行為有更密切的聯(lián)系；相反，如果控制人在歐盟內(nèi)本就設(shè)有一個(gè)以上的機(jī)構(gòu)，依照此種擴(kuò)張性解釋可能會(huì)產(chǎn)生多個(gè)與數(shù)據(jù)處理有聯(lián)系的機(jī)構(gòu)，導(dǎo)致法律的重疊適用。這種相互矛盾的工具性解釋方法，將使當(dāng)事人無所適從，嚴(yán)重降低控制人機(jī)構(gòu)設(shè)立地規(guī)則的科學(xué)性。

（二）以價(jià)值目標(biāo)為指引調(diào)整控制人機(jī)構(gòu)設(shè)立地規(guī)則

1.避免不當(dāng)?shù)臄U(kuò)張性解釋

正如前文所述，從平衡實(shí)質(zhì)正義與形式正義價(jià)值的角度出發(fā)，避免控制人逃避法律監(jiān)管以及各國法律的重疊適用，是確定法律選擇規(guī)則的主要標(biāo)準(zhǔn)。因此，控制人設(shè)立地標(biāo)準(zhǔn)的建立應(yīng)當(dāng)限制在恰當(dāng)范圍以內(nèi)，不能將歐洲法院在谷歌案和Weltimmo案中的擴(kuò)張性解釋作為判定“機(jī)構(gòu)與數(shù)據(jù)處理間密切聯(lián)系”的普遍標(biāo)準(zhǔn)。法院必須在事實(shí)的基礎(chǔ)上，通過考量處理操作的“目的（purpose）”和“方式（means）”判定哪一個(gè)機(jī)構(gòu)擔(dān)負(fù)著關(guān)鍵的數(shù)據(jù)處理角色。如果爭議所涉數(shù)據(jù)處理行為與某一機(jī)構(gòu)的聯(lián)系明顯大于另一機(jī)構(gòu)，則前者就應(yīng)當(dāng)被視為掌握數(shù)據(jù)控制的關(guān)鍵角色，只有該機(jī)構(gòu)設(shè)立地的法律才能規(guī)制當(dāng)前的數(shù)據(jù)處理行為。①Paul Lefebvre，Cecilia Lahaye,“EU Data Protection and the Conflict of Laws:The Usual Bag of Tricks or a Fight against the Evasion of the Law”,in Defense Counsel Journal,2017,Vol.84,No.3,p.20.這里的數(shù)據(jù)處理“方式”不僅與技術(shù)問題（例如是使用硬件還是軟件），還與僅能由數(shù)據(jù)控制人處理或回答的核心實(shí)質(zhì)問題相關(guān)，例如“哪些數(shù)據(jù)應(yīng)被處理”“處理這些數(shù)據(jù)需要多長時(shí)間”，以及“誰可以獲得這些數(shù)據(jù)”等。

需要注意的是，歐盟通用數(shù)據(jù)保護(hù)條例（General Data Protection Regulation，簡稱GDPR）增添了“主要機(jī)構(gòu)（main establishment）”②See Arts 4(16)of Regulation(EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons with Regard to the Processing of Personal Data and on the Free Movement of Such Data[hereinafter referred to as GDPR].該條規(guī)定：“控制人主要機(jī)構(gòu)是其在歐盟的主要管理地,除非另一個(gè)控制人機(jī)構(gòu)決定了個(gè)人數(shù)據(jù)處理的目的和手段,且后者有權(quán)實(shí)現(xiàn)這樣的決定。在這種情況下,做出此種決定的機(jī)構(gòu)被認(rèn)為是主要的機(jī)構(gòu)。”的概念，被一些人認(rèn)為是解決法律多重適用的曙光。然而，應(yīng)當(dāng)注意的是，GDPR屬于公法性質(zhì)的規(guī)則，其設(shè)定控制人“主要機(jī)構(gòu)”的目的在于確定控制人在歐盟的主導(dǎo)數(shù)據(jù)監(jiān)管當(dāng)局，這是建立在GDPR實(shí)體標(biāo)準(zhǔn)高度統(tǒng)一和一站式（one-stop-shop）爭端解決要求的基礎(chǔ)之上的。雖然選擇主要機(jī)構(gòu)作為唯一的連結(jié)因素，將法律適用問題與主要監(jiān)管當(dāng)局的權(quán)限捆綁起來可大幅提高法律選擇的確定性，但卻忽視了國際私法對(duì)于法律關(guān)系最密切聯(lián)系的需求，不僅會(huì)為控制人“挑選法院”提供機(jī)會(huì)，更可能剝奪對(duì)數(shù)據(jù)主體的合理保護(hù)。

2.增補(bǔ)控制人機(jī)構(gòu)設(shè)立地法的逃避條款

歐盟委員會(huì)在其2008年公布的《27成員國關(guān)于侵害隱私及與人格有關(guān)權(quán)利而生之非合同之債法律適用狀況的比較研究》（以下簡稱《歐盟27國比較研究報(bào)告》）中指出：“以控制人設(shè)立地法為準(zhǔn)據(jù)法的主要目標(biāo)在于減輕跨國公司的成本。這一連結(jié)因素的選擇因此被視為一種‘經(jīng)濟(jì)性考量’?！雹跾ee“Comparative study on the situation in the 27 Member States as regards the law applicable to non-contractual obligations arising out of violations of privacy and rights relating to personality”,(2009) JLS/ 2007/C4/028,Final Report accessed 15 July 2018,pp.64-65.［hereinafter referred to as Report of EU 27 National Comparative study］不可否認(rèn)，單一的控制人機(jī)構(gòu)設(shè)立地法過于偏向?qū)?shù)據(jù)流通價(jià)值的關(guān)注，必須尋求其他的法律選擇規(guī)則作為逃避條款，才能矯正數(shù)據(jù)保護(hù)和數(shù)據(jù)流通價(jià)值之間的失衡狀態(tài)。一個(gè)可以考慮的選項(xiàng)是“目標(biāo)/指向”規(guī)則。在亞馬遜案中，奧地利最高法院向歐洲法院提出的先行裁決申請(qǐng)包含一個(gè)重要的問題：“根據(jù)歐盟數(shù)據(jù)保護(hù)指令的規(guī)定，控制人在電子商務(wù)交易中從事的數(shù)據(jù)處理行為是否應(yīng)當(dāng)由控制人業(yè)務(wù)活動(dòng)所指向的成員國的法律來規(guī)制？”④Para 70 of the Amazon judgment.指令第29條工作組（以下簡稱A29WP）曾建議參考《布魯塞爾條例Ⅰ》第17（1）（c）條關(guān)于消費(fèi)者合同司法管轄權(quán)方面的規(guī)定設(shè)置數(shù)據(jù)保護(hù)領(lǐng)域新的法律選擇規(guī)則。⑤Article 29 Data Protection Working Party,Opinion 8/2010 on Applicable Law,0836-02/10/EN WP179,Dec.16,2010,p.31根據(jù)該規(guī)則，消費(fèi)者合同的對(duì)方當(dāng)事人以任何方式針對(duì)消費(fèi)者住所地成員國或者針對(duì)包括該成員國在內(nèi)的幾個(gè)國家從事商業(yè)或職業(yè)活動(dòng)，且該合同屬于這些活動(dòng)的范圍之內(nèi)，則消費(fèi)者得在其住所地法院起訴對(duì)方。⑥See Art.17(1)(c)of Regulation(EU)No 1215/2012 of the European Parliament and of the Council of 12 December 2012 on Jurisdiction and the Recognition and Enforcement of Judgments in Civil and Commercial Matters,at:,accessed May 15,2019.［hereinafter referred to as Regulation(EU)No 1215/2012］這一規(guī)則以消費(fèi)者住所地國為起點(diǎn)，如果套用于數(shù)據(jù)保護(hù)法律適用方面，必然將法律選擇的天平適度調(diào)向數(shù)據(jù)主體一方。由此，可以將控制人機(jī)構(gòu)設(shè)立地法的逃避條款設(shè)置為：“如果控制人的經(jīng)營活動(dòng)指向數(shù)據(jù)主體住所地或慣常居所地國，且數(shù)據(jù)處理活動(dòng)發(fā)生在其經(jīng)營活動(dòng)范圍以內(nèi)，則該國的數(shù)據(jù)保護(hù)法應(yīng)當(dāng)適用。”

三、個(gè)人數(shù)據(jù)保護(hù)領(lǐng)域?qū)ｉT沖突規(guī)則與一般沖突規(guī)則的協(xié)調(diào)

個(gè)人數(shù)據(jù)保護(hù)領(lǐng)域的訴訟類型包含行政訴訟、民事訴訟和刑事訴訟三種。其中，只有數(shù)據(jù)主體或其集體代表人起訴數(shù)據(jù)處理（控制）者的索賠訴訟才涉及法律選擇或沖突法的問題。這類私法訴訟包含契約之訴和非契約之訴兩類。個(gè)人數(shù)據(jù)保護(hù)領(lǐng)域?qū)ｉT沖突規(guī)則的出現(xiàn)，必然帶來一個(gè)問題——如何協(xié)調(diào)專門沖突規(guī)則與傳統(tǒng)契約之訴、侵權(quán)之訴中一般沖突規(guī)則的關(guān)系。

（一）個(gè)人數(shù)據(jù)保護(hù)契約之訴中沖突規(guī)則的協(xié)調(diào)

個(gè)人數(shù)據(jù)保護(hù)領(lǐng)域的契約分為數(shù)據(jù)主體與數(shù)據(jù)控制人之間簽訂的購買商品或服務(wù)的消費(fèi)者合同、數(shù)據(jù)主體和數(shù)據(jù)控制人之間簽訂的商業(yè)或?qū)I(yè)合同。①See Maja Brkan,“Data protection and European Private International Law:Observing a Bull in a China Shop”,in International Data Privacy Law,2015,Vol.5,No.4,p.260.這兩種合同的沖突規(guī)則顯然應(yīng)有一定的區(qū)別。

1.消費(fèi)者合同方面沖突規(guī)則的協(xié)調(diào)

出于對(duì)消費(fèi)者弱勢(shì)地位的考慮，世界主要國家在管轄以及沖突法方面均采用特殊的規(guī)則對(duì)消費(fèi)者施以適當(dāng)傾斜：消極方面，規(guī)定可排除對(duì)消費(fèi)者不利的協(xié)議約定準(zhǔn)據(jù)法；積極方面，傾向于選擇消費(fèi)者慣常居所地法為準(zhǔn)據(jù)法。數(shù)據(jù)主體與數(shù)據(jù)控制者（或處理者）之間達(dá)成的契約，在很多國家被歸類為消費(fèi)者合同。美國聯(lián)邦貿(mào)易委員會(huì)（Federal Trade Commission，F(xiàn)TC）1914法案第5部分授權(quán)FTC處理對(duì)消費(fèi)者不公平和欺騙性的行為，該法案同一部分也同時(shí)授權(quán)FTC保護(hù)消費(fèi)者隱私相關(guān)的權(quán)利。②See P.Bernal,Internet Privacy Rights.Rights to Protect Autonomy,New York:Cambridge University Press,2014,p.113.雖然數(shù)據(jù)保護(hù)法在歐盟并未被視為消費(fèi)者法律的一部分，但事實(shí)上相當(dāng)一部分有關(guān)數(shù)據(jù)保護(hù)的民事訴訟涉及個(gè)人為私人目的在網(wǎng)上與數(shù)據(jù)控制人簽訂合同購買貨物或服務(wù)，只要他的數(shù)據(jù)是在合同的框架內(nèi)處理的，那么他就可以依賴《布魯塞爾條例Ⅰ》第18條的規(guī)定主張作為消費(fèi)者向其住所地的法院起訴數(shù)據(jù)控制人。③See Arts 18(1)of Regulation(EU)No 1215/2012.該條規(guī)定：消費(fèi)者可以在其所在國的法庭上對(duì)合同另一方當(dāng)事人提起訴訟，無論對(duì)方的住所在哪里。

基于此，數(shù)據(jù)主體可以要求推翻數(shù)據(jù)控制人提供的消費(fèi)合同中約定的對(duì)己不利的準(zhǔn)據(jù)法。亞馬遜案中，歐洲法院在先行裁決中認(rèn)定“如果消費(fèi)者沒有被告知其可以援引《羅馬規(guī)則Ⅰ》第6（2）條④Arts 6(2)of Rome I.該條規(guī)定當(dāng)事人所做的法律選擇不得剝奪消費(fèi)者慣常居所地國法律的強(qiáng)制性規(guī)則對(duì)其提供的保護(hù)。享受強(qiáng)制性法律條款的保護(hù)，那么合同中關(guān)于法律適用的約定條款應(yīng)該被認(rèn)為是不公平的?！雹軸ee para 71 of the Amazon judgment.此處歐洲法院即是通過消費(fèi)者保護(hù)法的特殊規(guī)定排除了合同約定的準(zhǔn)據(jù)法。然而，在排除了合同約定的盧森堡法后，歐洲法院卻在判定奧地利不能成為亞馬遜機(jī)構(gòu)設(shè)立地之一的基礎(chǔ)上，同樣排除了消費(fèi)者慣常居所地（奧地利）法的適用。這樣僵化適用控制人機(jī)構(gòu)設(shè)立地法所帶來的不良后果是，數(shù)據(jù)主體可能會(huì)越來越多地被迫在外國法律下尋求救濟(jì)，相比于其他領(lǐng)域的消費(fèi)者，反而電子消費(fèi)領(lǐng)域的消費(fèi)者在尋求權(quán)利保護(hù)方面較為不利。⑥Maja Brkan,“Data Protection and European Private International Law”,in EUI Working Papers,Robert Schuman Centre for Advanced Studies,RSCAS 2015/40,p.15.因而，適當(dāng)?shù)剡m用逃避條款，在數(shù)據(jù)控制人經(jīng)營活動(dòng)指向數(shù)據(jù)主體慣常居所地法時(shí)，適用該法，才能實(shí)現(xiàn)跨境電子消費(fèi)領(lǐng)域管轄與法律適用的平行對(duì)應(yīng)。由此可得出結(jié)論，這種包含逃避條款的專門沖突規(guī)則與消費(fèi)者合同一般沖突規(guī)則之間并不存在矛盾。

2.非消費(fèi)者合同方面的沖突規(guī)則協(xié)調(diào)

如數(shù)據(jù)主體不符合消費(fèi)者的條件，其與數(shù)據(jù)控制人訂立的合同包含有專業(yè)或商業(yè)的因素，則應(yīng)遵循一般合同領(lǐng)域的法律適用規(guī)則。首當(dāng)其沖的沖突規(guī)則自然是當(dāng)事人意思自治選擇的法律。然而，關(guān)于合同雙方能否自由選擇適用于數(shù)據(jù)處理及合同框架內(nèi)數(shù)據(jù)保護(hù)違約行為的數(shù)據(jù)保護(hù)法的問題，目前存在一定的爭議。

德國臉書案中，德國法院認(rèn)為雖然臉書服務(wù)合同的一般性條款中包含了法律適用條款，約定針對(duì)德國用戶應(yīng)適用德國法，但在處理國際案件時(shí)，只有歐盟指令的第4條和德國聯(lián)邦數(shù)據(jù)保護(hù)法案第5（1）條決定的數(shù)據(jù)保護(hù)法可適用。這些條款屬于《羅馬規(guī)則Ⅰ》第9條意義上的強(qiáng)制性條款。①Para 4-5 of Facebook Ireland judgment.德國法院的推理似乎起始于基本權(quán)利的觀點(diǎn)，認(rèn)為：既然個(gè)人數(shù)據(jù)保護(hù)權(quán)屬于基本權(quán)利的范圍，指令系對(duì)這一基本權(quán)利的具體化，那么當(dāng)事人就不得以約定偏離基本權(quán)利或其實(shí)施規(guī)則。②Jan-Jaap Kuipers,EU law and private international law:the interrelationship in contractual obligations,Boston,Martinus Nijhoff Publishers,2011,at:accessed 20 July 2019,p.75.遺憾的是，雖然德國聯(lián)邦最高行政法院向歐洲法院提出了先行裁決申請(qǐng)，歐洲法院卻未對(duì)數(shù)據(jù)保護(hù)規(guī)則是否屬于強(qiáng)制性條款作出處理。③Para 4 of Facebook Ireland judgment.此外，當(dāng)前歐盟部分學(xué)者亦認(rèn)同數(shù)據(jù)保護(hù)規(guī)則符合《羅馬規(guī)則Ⅰ》第9條有關(guān)強(qiáng)制性法律規(guī)定的要求，可以被視為“一國維護(hù)其公共利益的關(guān)鍵”，畢竟無論是個(gè)人數(shù)據(jù)的自由流通還是公民的數(shù)據(jù)權(quán)均是重要的公共利益。④See Maja Brkan,“Data Protection and European Private International Law”,in EUI Working Papers,Robert Schuman Centre for Advanced Studies,RSCAS 2015/40,p.31.Also See Carlo Piltz,“Facebook Ireland Ltd./Facebook Inc.v Independent Data Protection Authority of Schleswig-Holstein,Germany—Facebook is not subject to German Data Protection Law”,in International Data Privacy Law,2013,Vol.3,No.3,pp.210-212.雖然在非消費(fèi)者合同領(lǐng)域，很難說數(shù)據(jù)主體相比較數(shù)據(jù)控制人一定是交易中的弱者，不需要像消費(fèi)者保護(hù)法一樣使用強(qiáng)行性條款對(duì)其特殊照顧；但不可否認(rèn)的是，各國數(shù)據(jù)保護(hù)法規(guī)已然在數(shù)據(jù)流通和數(shù)據(jù)保護(hù)兩項(xiàng)價(jià)值之間進(jìn)行了平衡取舍，能夠在一定程度上體現(xiàn)該國在此領(lǐng)域公共價(jià)值追求的統(tǒng)一方向。如果允許當(dāng)事人在控制人機(jī)構(gòu)設(shè)立地國法或數(shù)據(jù)主體慣常居所地法，甚至是不相干的第三國法間自由取舍，自然會(huì)有損該國政策目標(biāo)的實(shí)現(xiàn)。實(shí)踐中，只要雙方約定的準(zhǔn)據(jù)法剝奪了任何一方依據(jù)本來應(yīng)該適用的數(shù)據(jù)保護(hù)法（專門沖突規(guī)則所指向的準(zhǔn)據(jù)法）規(guī)定的權(quán)利，該約定均應(yīng)無效。

（二）個(gè)人數(shù)據(jù)保護(hù)非契約之訴中沖突規(guī)則的協(xié)調(diào)

當(dāng)代侵權(quán)沖突法由三種規(guī)則組成，分別是一般規(guī)則（即侵權(quán)行為地法），作為一般規(guī)則的例外規(guī)則(即共同屬人法之例外與最密切聯(lián)系原則之例外)以及特殊規(guī)則(例如產(chǎn)品責(zé)任、知識(shí)產(chǎn)權(quán)侵權(quán)或不正當(dāng)競(jìng)爭等的法律適用規(guī)則)。數(shù)據(jù)主體對(duì)于個(gè)人數(shù)據(jù)擁有人格權(quán)和財(cái)產(chǎn)權(quán)的雙重權(quán)益，各自承載或?qū)崿F(xiàn)不同的功能。⑤參見龍衛(wèi)球：《數(shù)據(jù)新型財(cái)產(chǎn)權(quán)構(gòu)建及其體系研究》，《政法論壇》2017年第4期，第63—77頁。從這一點(diǎn)而言，應(yīng)將個(gè)人數(shù)據(jù)保護(hù)領(lǐng)域的侵權(quán)之訴分為數(shù)據(jù)人格權(quán)侵權(quán)之訴與數(shù)據(jù)財(cái)產(chǎn)權(quán)侵權(quán)之訴。

1.數(shù)據(jù)人格權(quán)侵權(quán)之訴中沖突規(guī)則的協(xié)調(diào)

人格權(quán)侵權(quán)之訴因涉及憲法層面及引發(fā)多地?fù)p害的問題而有其特殊性，導(dǎo)致該領(lǐng)域有關(guān)侵權(quán)行為實(shí)施地法與損害結(jié)果發(fā)生地法的爭論經(jīng)久不衰。目前各國對(duì)該領(lǐng)域的法律適用規(guī)則并無統(tǒng)一規(guī)定，歐盟《羅馬條例Ⅱ》回避了這一問題，美國各州對(duì)隱私侵權(quán)的法律選擇規(guī)則亦不相同。歐洲議會(huì)法律事務(wù)委員會(huì)在2012年公布的《關(guān)于修改非合同之債法律適用的歐共體第864/2007號(hào)條例的最終報(bào)告及對(duì)委員會(huì)之建議》（以下簡稱《最終建議案》）⑥D(zhuǎn)raft Report with Recommendation to the Commission on the Amendment of Regulation (EC) No 864/2007 on the Law Applicable to Non-Contractual Obligations(Rome II),A7-0152/2012,at:accessed 20 July 2019.中規(guī)定，對(duì)隱私權(quán)和其他相關(guān)人格權(quán)，包括毀譽(yù)所生非合同之債的法律適用問題，原則上適用損失或損害的一個(gè)或多個(gè)最重要聯(lián)系因素所在地國法；如被告不能合理預(yù)見其行為在前款指定國家的實(shí)質(zhì)性結(jié)果時(shí)，應(yīng)適用被告慣常居所地國法。①劉仁山：歐盟平衡人格權(quán)與言論自由的立法實(shí)踐——以人格權(quán)侵權(quán)法律適用規(guī)則之立法嘗試為視角，《環(huán)球法律評(píng)論》2014年第6期，180頁。這一建議是歐盟各國在反復(fù)搖擺及多年討論后達(dá)成的最新結(jié)論。它將偏向于受害人的損害結(jié)果發(fā)生地法作為人格權(quán)侵權(quán)之訴的首選，而偏向于加害人的被告慣常居所地法則成為逃避條款。這顯然與個(gè)人數(shù)據(jù)保護(hù)領(lǐng)域以控制人機(jī)構(gòu)設(shè)立地為核心的法律選擇規(guī)則相反。

歐盟委員會(huì)于《歐盟27國比較研究報(bào)告》中對(duì)加害行為實(shí)施地和損害結(jié)果發(fā)生地之間的分歧進(jìn)行了詳細(xì)的比較法分析，指出：在媒體侵犯人格權(quán)的非契約之訴領(lǐng)域，對(duì)實(shí)體法規(guī)則最低限度的協(xié)調(diào)是正當(dāng)化出版人機(jī)構(gòu)設(shè)立地標(biāo)準(zhǔn)的決定性因素。②See Report of EU 27 National Comparative Study,p.146.在非契約之訴中受害人對(duì)于加害行為的發(fā)生一無所知更沒有與加害人協(xié)商的能力，反而是加害人掌握了行動(dòng)的所有主動(dòng)權(quán)。在這種本就不公平的情況下，如果以出版人機(jī)構(gòu)設(shè)立地法為準(zhǔn)據(jù)法，意味著出版人可以通過選定設(shè)立地點(diǎn)的方式在損害發(fā)生之前就事先確定對(duì)自己最為有利的法律。正是基于此，為保證沖突規(guī)則的適用能夠?qū)崿F(xiàn)雙方當(dāng)事人間最低限度的利益平衡，應(yīng)選擇損害結(jié)果發(fā)生地法作為人格權(quán)侵權(quán)之訴的準(zhǔn)據(jù)法。然而，損害發(fā)生地標(biāo)準(zhǔn)要求出版人在遵守設(shè)立地國法的基礎(chǔ)上還要保證遵守所有潛在受害人所在國的法律，實(shí)屬強(qiáng)人所難；且當(dāng)損害在多國同時(shí)發(fā)生時(shí)，會(huì)產(chǎn)生多重法律適用的問題?？紤]到這種左右兩難的境況，應(yīng)通過確立一些實(shí)體法上的最低共同標(biāo)準(zhǔn)來糾正市場(chǎng)上的不平等或缺陷，為人格權(quán)利受侵犯的受害人提供相同的最低保護(hù)水平，引導(dǎo)經(jīng)營人放棄伺機(jī)擇法的投機(jī)主義行為。歐盟數(shù)據(jù)保護(hù)指令正是實(shí)體法和沖突法互為補(bǔ)充的成功例子，指令之所以能夠在第4條中包含控制人機(jī)構(gòu)設(shè)立地標(biāo)準(zhǔn)是以實(shí)現(xiàn)數(shù)據(jù)保護(hù)領(lǐng)域?qū)嶓w性規(guī)則一定程度的協(xié)調(diào)為前提的。③See Report of EU 27 National Comparative Study,p.148.這里，報(bào)告將控制人機(jī)構(gòu)設(shè)立地法的合理性歸結(jié)于實(shí)體規(guī)則對(duì)基本權(quán)利的保障。

但我們應(yīng)當(dāng)認(rèn)識(shí)到，損害結(jié)果發(fā)生地法面臨的最大問題是法律域外適用所帶來的執(zhí)行困難。理論上任何國家的數(shù)據(jù)保護(hù)法都可以對(duì)其意圖規(guī)制的對(duì)象產(chǎn)生域外效力，只要糾紛屬于該國管轄的范圍。實(shí)際上，在實(shí)踐中亦有相當(dāng)一部分國家（如德國、波蘭、法國、南斯拉夫、葡萄牙）在媒體侵犯人格權(quán)的非合同之債領(lǐng)域堅(jiān)持以加害行為實(shí)施地法為核心沖突規(guī)則，同時(shí)規(guī)定了“加害人可預(yù)見后果發(fā)生地”等適用損害結(jié)果發(fā)生地法的例外情況和條件。④See Report of EU 27 National Comparative Study,p.89.同樣為受害人保留了在其利益中心尋求救濟(jì)的機(jī)會(huì)，彌補(bǔ)了加害行為實(shí)施地國實(shí)體法上對(duì)受害人保障的欠缺。由此可見，在數(shù)據(jù)人格權(quán)侵權(quán)領(lǐng)域保留控制人機(jī)構(gòu)設(shè)立地法的首選地位并無不妥，只要同時(shí)補(bǔ)充以損害結(jié)果發(fā)生地法為“逃避條款”，并設(shè)置適當(dāng)?shù)倪m用條件。另外，受害人的慣常居所地作為受害人人格利益最集中的地方，是損害發(fā)生地法的重要表現(xiàn)形式，且消除了損害多地同時(shí)發(fā)生的法律重疊適用問題。而以“控制人經(jīng)營活動(dòng)指向”為限制條件，比單純的“加害人可預(yù)見”更加具體和精確，在技術(shù)上更能發(fā)揮過濾作用。因而，以“目標(biāo)/指向”為限制條件的數(shù)據(jù)主體慣常居所地法是數(shù)據(jù)人格權(quán)侵權(quán)之訴最為適當(dāng)?shù)奶颖軛l款。

2.數(shù)據(jù)財(cái)產(chǎn)權(quán)侵權(quán)之訴中沖突規(guī)則的協(xié)調(diào)

數(shù)據(jù)財(cái)產(chǎn)權(quán)具有無形性和非獨(dú)占性的特征，使其與一般有形物之財(cái)產(chǎn)權(quán)區(qū)分開來，為“侵權(quán)行為地法”規(guī)則的適用帶來一些挑戰(zhàn)：一方面數(shù)據(jù)“無形”導(dǎo)致侵權(quán)損害結(jié)果的地點(diǎn)難以確定和容易多發(fā)，減損了損害結(jié)果發(fā)生地法適用的準(zhǔn)確性；另一方面，數(shù)據(jù)的“非獨(dú)占”導(dǎo)致加害行為與領(lǐng)土之間的聯(lián)系極為模糊，違法數(shù)據(jù)處理行為可遠(yuǎn)距離實(shí)施，且在不同國家間同時(shí)進(jìn)行。此時(shí)再堅(jiān)持加害行為實(shí)施地標(biāo)準(zhǔn)就可能導(dǎo)致多國法律的重疊適用，減損法律適用結(jié)果的可預(yù)測(cè)性。在個(gè)人數(shù)據(jù)跨境流通的背景下，加害行為實(shí)施地這一連結(jié)點(diǎn)應(yīng)具體化為個(gè)人數(shù)據(jù)處理行為的發(fā)生地。實(shí)踐中數(shù)據(jù)處理行為的發(fā)生地通常表現(xiàn)為數(shù)據(jù)控制人機(jī)構(gòu)設(shè)立地。此時(shí)，以數(shù)據(jù)控制人設(shè)立地取代侵權(quán)行為實(shí)施地法，可以避免違法行為發(fā)生地難以確定或違法行為多地同時(shí)發(fā)生所帶來的法律選擇的不確定性。①See Report of EU 27 National Comparative Study,p.64.此外，通過設(shè)置數(shù)據(jù)處理行為與控制人機(jī)構(gòu)之間的從屬性要求，可建立機(jī)構(gòu)設(shè)立地與侵權(quán)行為之間的密切聯(lián)系，中和設(shè)立地標(biāo)準(zhǔn)所帶來的“挑選法院”問題。更為重要的是，數(shù)據(jù)新型財(cái)產(chǎn)權(quán)是近年來引起關(guān)注和討論的新課題，其表現(xiàn)形式和法律屬性尚在探索與研究階段，②參見李愛君：《數(shù)據(jù)權(quán)利屬性與法律特征》，《東方法學(xué)》2018年第3期，第64—74頁。從而導(dǎo)致數(shù)據(jù)人格權(quán)和數(shù)據(jù)財(cái)產(chǎn)權(quán)在一些情形下難以明確劃分。③例如，數(shù)據(jù)出口人和進(jìn)口人未經(jīng)允許以第三人的非敏感信息進(jìn)行交易，可以視為侵害了第三人的數(shù)據(jù)人格權(quán)，亦可以視為侵害了數(shù)據(jù)財(cái)產(chǎn)權(quán)。此時(shí)，如果以控制人設(shè)立地法取代侵權(quán)行為實(shí)施地法作為數(shù)據(jù)財(cái)產(chǎn)權(quán)侵權(quán)之訴的核心沖突規(guī)則，就可以實(shí)現(xiàn)數(shù)據(jù)保護(hù)領(lǐng)域侵權(quán)沖突規(guī)則的統(tǒng)一，從而繞開數(shù)據(jù)人格權(quán)和數(shù)據(jù)財(cái)產(chǎn)權(quán)難以區(qū)分的難題。

另外，侵權(quán)行為地法這一一般規(guī)則時(shí)常會(huì)附帶一個(gè)基于最密切聯(lián)系標(biāo)準(zhǔn)的逃避條款。然而，在數(shù)據(jù)保護(hù)領(lǐng)域，最密切聯(lián)系原則適宜作為法律適用的指導(dǎo)性原則，卻不適宜作為逃避條款。實(shí)際上，最密切聯(lián)系原則已體現(xiàn)于控制人機(jī)構(gòu)設(shè)立地規(guī)則之中。如上文所述，歐盟指令第4（1）（a）條所規(guī)定的設(shè)立地就是與數(shù)據(jù)處理行為聯(lián)系最密切的設(shè)立地。且在控制人機(jī)構(gòu)設(shè)立地法對(duì)數(shù)據(jù)主體保護(hù)不周時(shí)，適用數(shù)據(jù)主體慣常居所地法亦是最密切聯(lián)系原則的一種體現(xiàn)。另外，最密切聯(lián)系這一逃避條款的存在雖然增加了法律選擇的靈活性，但也意味著降低了法律選擇的可預(yù)測(cè)性。當(dāng)今網(wǎng)絡(luò)環(huán)境下，數(shù)據(jù)信息泄漏或傳播原本就牽涉范圍廣泛，難尋軌跡，除卻與數(shù)據(jù)處理及損害發(fā)生相關(guān)的地點(diǎn)之外，再另留活口既無必要，又可能帶來不可預(yù)期的后果。

四、啟示：我國個(gè)人數(shù)據(jù)保護(hù)領(lǐng)域沖突規(guī)則的完善

我國個(gè)人數(shù)據(jù)保護(hù)領(lǐng)域并未有專門的沖突規(guī)則，2010年通過的《涉外民事關(guān)系法律適用法》（以下簡稱《法律適用法》）第46條是我國立法機(jī)關(guān)首次就網(wǎng)絡(luò)人格權(quán)侵權(quán)的法律適用問題作出明確規(guī)定，也是我國個(gè)人數(shù)據(jù)權(quán)侵權(quán)之訴能夠直接援引的核心沖突規(guī)則。此外，第42條有關(guān)消費(fèi)者合同的法律適用規(guī)則，以及第44條的侵權(quán)責(zé)任法律適用規(guī)則也可以在一定條件下援引。但相關(guān)規(guī)則具體到個(gè)人數(shù)據(jù)保護(hù)方面均有值得商榷的地方。

（一）增加“控制人機(jī)構(gòu)設(shè)立地”作為個(gè)人數(shù)據(jù)權(quán)侵權(quán)之訴的連結(jié)點(diǎn)

根據(jù)上文所述可知，按照《法律適用法》第46條規(guī)定將受害人慣常居所地作為數(shù)據(jù)權(quán)侵權(quán)之訴的唯一連結(jié)點(diǎn)，存在以下幾個(gè)問題：首先，將造成跨國公司守法成本過高，影響數(shù)據(jù)流通和信息產(chǎn)業(yè)在我國的發(fā)展。其次，減損法律適用結(jié)果的穩(wěn)定性和可預(yù)見性，加劇國際范圍內(nèi)數(shù)據(jù)保護(hù)法律的沖突。第三，將造成域外效力的過度擴(kuò)張以及跨境法律執(zhí)行的困難。正如歐盟指令第4（1）（c）條以及GDPR第3（2）條④Arts 3(2)of GDPR.該條規(guī)定：本條例適用于對(duì)歐盟內(nèi)的數(shù)據(jù)主體的個(gè)人數(shù)據(jù)處理，即使控制者和處理者沒有設(shè)立在歐盟內(nèi)，其處理行為：(a)發(fā)生在向歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)的過程中，無論此項(xiàng)商品或服務(wù)是否需要數(shù)據(jù)主體支付對(duì)價(jià)；或(b)是對(duì)數(shù)據(jù)主體發(fā)生在歐盟內(nèi)的行為進(jìn)行的監(jiān)控。被指責(zé)域外效力過度擴(kuò)張，違反了國際禮讓原則，⑤參見Omer Tene and Christopher Wolf,“Overextended:Jurisdiction and Applicable Law under the EU General Data Protection Regulation”,paper represented at the Future of Privacy Forum,Washington DC,January 2013。GDPR公布后受到眾多指責(zé)，認(rèn)為其效果造成了歐盟標(biāo)準(zhǔn)在全球范圍內(nèi)的適用，明顯違反了國際禮讓規(guī)則，存在嚴(yán)重的執(zhí)行困難。被害人慣常居所地法的適用結(jié)果如違反了控制人設(shè)立地國的法律規(guī)定或公序良俗，亦不能獲得執(zhí)行。

隨著“阿里巴巴”“騰訊”等電子商務(wù)企業(yè)的蓬勃發(fā)展，我國也應(yīng)當(dāng)考慮如何保護(hù)本國信息產(chǎn)業(yè)在跨境數(shù)據(jù)流通方面的利益?！翱刂迫藱C(jī)構(gòu)設(shè)立地”這一連結(jié)點(diǎn)，為人民法院在我國企業(yè)為被告的跨境數(shù)據(jù)侵權(quán)之訴中適用本國法提供了重要的依據(jù)。當(dāng)然，有關(guān)“設(shè)立地”標(biāo)準(zhǔn)的解釋應(yīng)當(dāng)寬窄適中，可以參照歐盟指令第4（1）（a）條的規(guī)定，通過對(duì)控制人“機(jī)構(gòu)”、數(shù)據(jù)處理與“機(jī)構(gòu)”之間的從屬性要求將設(shè)立地標(biāo)準(zhǔn)限制在合理范圍內(nèi)：一方面避免規(guī)定過于僵化、不符合現(xiàn)實(shí)，另一方面避免域外效力的不當(dāng)擴(kuò)張。

（二）為“受害人慣常居所地”設(shè)置限制條件

正如上文所述，受害人慣常居所地法作為控制人機(jī)構(gòu)設(shè)立地法的例外和補(bǔ)充，需設(shè)置“控制人經(jīng)營活動(dòng)所指向”為限制條件，以降低控制人的守法負(fù)擔(dān)。我國《法律適用法》第46條的規(guī)定卻沒有任何限制條件，無疑是不適當(dāng)?shù)?。?6條即使是作為更為廣泛的網(wǎng)絡(luò)侵犯人格權(quán)的沖突規(guī)則，也不應(yīng)當(dāng)毫無限制，例如“加害人可預(yù)見”等限制條件仍然是應(yīng)當(dāng)具備的。

（三）關(guān)于當(dāng)事人約定準(zhǔn)據(jù)法的效力

在我國，涉外電子消費(fèi)合同中作為消費(fèi)者的數(shù)據(jù)主體可直接援引《法律適用法》第42條①《法律適用法》第42條規(guī)定：消費(fèi)者合同，適用消費(fèi)者經(jīng)常居所地法律；消費(fèi)者選擇適用商品、服務(wù)提供地法律或者經(jīng)營者在消費(fèi)者經(jīng)常居所地沒有從事相關(guān)經(jīng)營活動(dòng)的，適用商品、服務(wù)提供地法律。的規(guī)定，排除合同約定的對(duì)己不利的控制人注冊(cè)地法。針對(duì)不屬于消費(fèi)者合同的專業(yè)或商業(yè)合同，人民法院仍可適用《法律適用法》第5條公共秩序保留的規(guī)定，排除嚴(yán)重?fù)p害數(shù)據(jù)主體權(quán)利的合同約定準(zhǔn)據(jù)法。但公共秩序保留規(guī)則靈活性太強(qiáng)，標(biāo)準(zhǔn)過于模糊。更具準(zhǔn)確性和說服力的方案是，以即將出臺(tái)的《個(gè)人信息保護(hù)法》屬強(qiáng)行法規(guī)范為由排除不適當(dāng)?shù)暮贤s定法律。