俞勝杰

(華東政法大學(xué)，上海 200042)

2018年5月25日開(kāi)始生效的《通用數(shù)據(jù)保護(hù)條例》(1)《通用數(shù)據(jù)保護(hù)條例》的英文表述為General data Protection Regulation(簡(jiǎn)稱GDPR)，英文全稱為Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)。原文參見(jiàn)歐盟委員會(huì)官方網(wǎng)站：https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=152887467229 8&uri=CELEX%3A32016R067，最后訪問(wèn)時(shí)間：2019年7月5日13時(shí)15分。(以下簡(jiǎn)稱《條例》)是在數(shù)字經(jīng)濟(jì)重塑人類生活的大背景下歐盟數(shù)據(jù)治理改革的重要立法成果(2)吳沈括.歐盟《一般數(shù)據(jù)保護(hù)條例》與中國(guó)應(yīng)對(duì)[J].信息安全與通信保密,2018,(1):13-16.，也是迄今為止全球范圍內(nèi)最具影響力的個(gè)人數(shù)據(jù)保護(hù)立法之一。

為了對(duì)歐盟公民的個(gè)人數(shù)據(jù)予以有效保護(hù)，推動(dòng)數(shù)據(jù)保護(hù)法律框架的現(xiàn)代化，更好地實(shí)現(xiàn)建立歐盟數(shù)字單一市場(chǎng)的目標(biāo)，《條例》超越了歐盟成員國(guó)個(gè)別立法的傳統(tǒng)模式，有效地消除成員國(guó)國(guó)內(nèi)法上的差異，建立起一套統(tǒng)一的個(gè)人數(shù)據(jù)權(quán)利體系、保護(hù)標(biāo)準(zhǔn)、執(zhí)法流程和監(jiān)管路徑。《條例》強(qiáng)調(diào)行政監(jiān)管在歐盟個(gè)人數(shù)據(jù)保護(hù)中的特殊功能，從而具有濃厚的公法色彩。

一、《條例》主張域外管轄的理論依據(jù)

在國(guó)際法視閾下，《條例》第3條(地域范圍)通過(guò)確立“經(jīng)營(yíng)場(chǎng)所標(biāo)準(zhǔn)”(establishment criterion)和“目標(biāo)指向標(biāo)準(zhǔn)”(targeting criterion)，設(shè)定了寬泛的地域管轄范圍(該條款的中文翻譯版本見(jiàn)下文表1)。根據(jù)該法第3(1)條確立的“經(jīng)營(yíng)場(chǎng)所標(biāo)準(zhǔn)”，只要個(gè)人數(shù)據(jù)控制者或者處理者在歐盟境內(nèi)設(shè)立了經(jīng)營(yíng)場(chǎng)所，無(wú)論在此場(chǎng)景下產(chǎn)生的數(shù)據(jù)處理行為是否發(fā)生在歐盟境內(nèi)，該法均有管轄權(quán)。此外，《條例》第3(2)條確立了“目標(biāo)指向標(biāo)準(zhǔn)”，進(jìn)一步將《條例》的適用范圍延伸至歐盟境外企業(yè)直接收集、處理或者監(jiān)控歐盟境內(nèi)數(shù)據(jù)主體個(gè)人數(shù)據(jù)的行為。該條款體現(xiàn)出積極擴(kuò)張個(gè)人數(shù)據(jù)保護(hù)域外管轄權(quán)的立法意圖，這一立法動(dòng)向值得高度關(guān)注。

(一)國(guó)內(nèi)公法域外管轄的理論依據(jù)

國(guó)內(nèi)公法的域外管轄現(xiàn)象并不少見(jiàn)，國(guó)際法并非絕對(duì)禁止一國(guó)立法的域外效力。國(guó)際法決定了國(guó)家可以采取各種形式的管轄權(quán)的可允許限度，而國(guó)內(nèi)法規(guī)定國(guó)家在事實(shí)上行使它的管轄權(quán)的范圍和方式(3)[英]詹寧斯,瓦茨修訂.奧本海國(guó)際法(第1卷第1分冊(cè))[M].王鐵崖等譯.北京:中國(guó)大百科全書(shū)出版社,1995.327.。國(guó)際常設(shè)法院在1927年的“荷花號(hào)案”判決中對(duì)有關(guān)管轄權(quán)所作的權(quán)威論斷不斷為學(xué)術(shù)界所引述、為司法界所援引。關(guān)于國(guó)際法是否存在某項(xiàng)規(guī)則禁止本國(guó)對(duì)外國(guó)人在國(guó)外實(shí)施的犯罪行為行使管轄權(quán)的問(wèn)題，國(guó)際常設(shè)法院認(rèn)為不存在這樣的規(guī)則：“國(guó)際法不但沒(méi)有禁止國(guó)家把它的法律和法院的管轄權(quán)擴(kuò)大適用于它境外的人、財(cái)產(chǎn)和行為，還在這方面給國(guó)家留下寬闊的選擇余地。這種選擇權(quán)力只在某些場(chǎng)合受到一些限制性規(guī)則的限制，但在其他場(chǎng)合，每個(gè)國(guó)家在采用它認(rèn)為最好和最合適的原則方面是完全自由的?！?4)陳志中.國(guó)際法案例[M].北京:法律出版社,1998,41-42.根據(jù)“荷花號(hào)”案的裁判主旨可概而言之：對(duì)于一國(guó)而言，國(guó)際法對(duì)規(guī)則無(wú)明確禁止即可立法。由此，世界各國(guó)在國(guó)際法允許的情形下，出于自身實(shí)現(xiàn)法律規(guī)制目的的考慮，在不同程度上開(kāi)展國(guó)內(nèi)公法域外管轄的國(guó)家實(shí)踐，曾經(jīng)先后出現(xiàn)過(guò)刑法、反壟斷法和證券法等部門法主張域外管轄的情況。

由于各國(guó)對(duì)域外管轄制度的理解和認(rèn)識(shí)存在分歧，目前對(duì)“域外管轄”的概念界定尚未形成共識(shí)。聯(lián)合國(guó)國(guó)際法委員會(huì)曾經(jīng)在2006年對(duì)域外管轄的含義進(jìn)行界定：“國(guó)家主張域外管轄權(quán)是在沒(méi)有國(guó)際法有關(guān)規(guī)則的情況下試圖以本國(guó)的立法、司法或執(zhí)行措施管轄在境外影響其利益的人、財(cái)產(chǎn)或行為。”(5)參見(jiàn)聯(lián)合國(guó)國(guó)際法委員會(huì)于2006年提交的A/61/10號(hào)報(bào)告中附件E有關(guān)“域外管轄權(quán)”的研究結(jié)論。國(guó)際法上的管轄權(quán)種類主要包括屬地管轄權(quán)、屬人管轄權(quán)、保護(hù)性管轄權(quán)和普遍性管轄權(quán)。域外管轄并不是一類獨(dú)立的管轄權(quán)，而是主權(quán)國(guó)家在實(shí)踐中發(fā)展出來(lái)的行使管轄權(quán)的一種具體方式(6)廖詩(shī)評(píng).國(guó)內(nèi)法域外適用及其應(yīng)對(duì)——以美國(guó)法域外適用措施為例[J].比較法研究,2019,(3):166-178.。

(二)《條例》第3條中的域外管轄類型

《條例》第3(1)條規(guī)定了“經(jīng)營(yíng)場(chǎng)所標(biāo)準(zhǔn)”：在歐盟境內(nèi)設(shè)有經(jīng)營(yíng)場(chǎng)所的數(shù)據(jù)控制者或數(shù)據(jù)處理者，只要數(shù)據(jù)處理行為發(fā)生在此經(jīng)營(yíng)場(chǎng)所開(kāi)展活動(dòng)的場(chǎng)景中，即使實(shí)際的數(shù)據(jù)處理活動(dòng)不在歐盟境內(nèi)發(fā)生，該數(shù)據(jù)處理活動(dòng)也要受本法管轄?！敖?jīng)營(yíng)場(chǎng)所標(biāo)準(zhǔn)”具有域內(nèi)管轄和域外管轄的雙重面向，通過(guò)對(duì)“數(shù)據(jù)處理行為發(fā)生在此經(jīng)營(yíng)場(chǎng)所開(kāi)展活動(dòng)的場(chǎng)景中”進(jìn)行擴(kuò)張解釋，從而實(shí)現(xiàn)將境外企業(yè)納入管轄范圍的規(guī)制目的。這種解釋方法實(shí)現(xiàn)了“屬地管轄權(quán)”的技術(shù)性擴(kuò)張。

該條的第3(2)條規(guī)定了“目標(biāo)指向標(biāo)準(zhǔn)”：本法適用于對(duì)歐盟境內(nèi)的數(shù)據(jù)主體個(gè)人數(shù)據(jù)的處理行為，該行為由在歐盟境內(nèi)沒(méi)有設(shè)立經(jīng)營(yíng)場(chǎng)所的數(shù)據(jù)控制者或處理者實(shí)施；發(fā)生在向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)的過(guò)程中，無(wú)論此項(xiàng)商品或服務(wù)是否需要數(shù)據(jù)主體支付對(duì)價(jià)；或者對(duì)數(shù)據(jù)主體發(fā)生在歐盟內(nèi)的行為進(jìn)行監(jiān)控。“目標(biāo)指向標(biāo)準(zhǔn)”表明，即使某些數(shù)據(jù)控制者或處理者在歐盟境內(nèi)沒(méi)有建立經(jīng)營(yíng)場(chǎng)所，只要該數(shù)據(jù)處理行為對(duì)歐盟境內(nèi)的數(shù)據(jù)主體產(chǎn)生了實(shí)際上的“效果”或“影響”，《條例》仍然有可能對(duì)其數(shù)據(jù)處理行為進(jìn)行管轄?！稐l例》以效果原則為正當(dāng)性基礎(chǔ)主張?jiān)摲ǖ娜蛐怨茌牎ＰЧ瓌t是美國(guó)法院在反托拉斯案的裁判中發(fā)展起來(lái)的管轄原則，即國(guó)家對(duì)外國(guó)人在外國(guó)所做的，對(duì)本國(guó)商業(yè)產(chǎn)生影響的行為享有管轄權(quán)。因?yàn)檫@一原則針對(duì)的是外國(guó)人而被認(rèn)為是屬地管轄原則的延伸，又由于它的目的是保護(hù)國(guó)家的重大利益而與保護(hù)性管轄相似(7)王虎華.國(guó)際公法學(xué)[M].北京:北京大學(xué)出版社,2015.85.。將效果原則作為個(gè)人數(shù)據(jù)保護(hù)立法的理論依據(jù)，其合理性引起了學(xué)界質(zhì)疑。有學(xué)者認(rèn)為，效果原則作為網(wǎng)絡(luò)空間的管轄權(quán)依據(jù)過(guò)于虛無(wú)縹緲，由于經(jīng)濟(jì)全球化和網(wǎng)絡(luò)全球互聯(lián)，所有國(guó)家對(duì)網(wǎng)絡(luò)行為都存在或多或少的聯(lián)系，各國(guó)如果按照這一原則進(jìn)行立法，管轄權(quán)沖突將非常頻繁(8)Lilian Mitrou.The General Data Protection Regulation: A Law for the Digital Age? Tatiana-Eleni Synodinou, Philippe Jougleux, Christiana Markou, Thalia Prastitou(eds). EU Internet Law: Regulation and Enforcement. Springer,2017.p32.。數(shù)據(jù)保護(hù)領(lǐng)域的管轄權(quán)立法還呈現(xiàn)出一個(gè)悖論：國(guó)際法給各國(guó)在數(shù)據(jù)保護(hù)領(lǐng)域的立法留有余地，在不違反國(guó)際法的情況下各國(guó)立法管轄權(quán)不受限制，但是一旦各國(guó)擴(kuò)張管轄范圍，將引起國(guó)際法層面的管轄權(quán)沖突問(wèn)題。盡管備受指責(zé)，但從合法性角度來(lái)說(shuō)，《條例》在立法上主張積極的域外管轄并不違反國(guó)際法。由于第3條的規(guī)定過(guò)于原則和抽象，缺乏法律的確定性和可預(yù)見(jiàn)性，有關(guān)《條例》域外管轄權(quán)的合理性問(wèn)題，需要在厘清域外管轄的合理邊界之后再加以判斷。

(三)《條例》中域外管轄問(wèn)題的研究?jī)r(jià)值

從企業(yè)合規(guī)角度來(lái)看，《條例》積極主張域外管轄，企圖將發(fā)生在境外的數(shù)據(jù)處理行為納入管轄范圍，這一立法舉措增加了歐盟境外的企業(yè)(包括中國(guó)企業(yè)在內(nèi))開(kāi)展“涉歐”個(gè)人數(shù)據(jù)處理業(yè)務(wù)的合規(guī)風(fēng)險(xiǎn)。企業(yè)擔(dān)心一旦違反《條例》，可能面臨高額罰款(9)根據(jù)《條例》第83條有關(guān)處以行政罰款的一般條件的規(guī)定，情節(jié)最重者可被罰款2千萬(wàn)歐元或全球營(yíng)業(yè)額4%(以金額較高者為準(zhǔn))。。隨著中歐經(jīng)貿(mào)往來(lái)日益頻繁，中國(guó)企業(yè)同樣高度關(guān)注該法的地域管轄范圍問(wèn)題。

此外，從立法層面來(lái)看，目前我國(guó)正在研究制定《個(gè)人信息保護(hù)法》(10)2018年9月7日，《十三屆全國(guó)人大常委會(huì)立法規(guī)劃》公布，其中第一類項(xiàng)目為條件比較成熟、十三屆全國(guó)人大常委會(huì)任期內(nèi)擬提請(qǐng)審議的法律草案(共69件)，《個(gè)人信息保護(hù)法》被列入第一類項(xiàng)目之中。，是否應(yīng)當(dāng)在新法中納入域外管轄條款成為我國(guó)個(gè)人信息保護(hù)立法過(guò)程中的關(guān)鍵問(wèn)題。歐盟的立法動(dòng)向提供了有益的域外經(jīng)驗(yàn)，為立法者的科學(xué)決策提供參考。

因此，無(wú)論是從中國(guó)企業(yè)如何有效應(yīng)對(duì)域外立法，還是從中國(guó)相關(guān)立法如何借鑒域外經(jīng)驗(yàn)的角度出發(fā)，以域外管轄為視角，對(duì)《條例》第3條(地域范圍)進(jìn)行評(píng)注殊為必要。目前，國(guó)內(nèi)的國(guó)際法學(xué)者對(duì)《條例》的研究熱情主要集中在個(gè)人數(shù)據(jù)跨境流動(dòng)議題，有關(guān)《條例》的地域范圍和域外管轄方面的研究成果相對(duì)較少(11)目前已有許多有關(guān)個(gè)人數(shù)據(jù)跨境流動(dòng)問(wèn)題的研究成果在CSSCI核心期刊中發(fā)表，例如(按照發(fā)表時(shí)間排序)：1.吳沈括.數(shù)據(jù)跨境流動(dòng)與數(shù)據(jù)主權(quán)研究[J].新疆師范大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版),2016,(5):112-119. 2.陳詠梅，張姣.跨境數(shù)據(jù)流動(dòng)國(guó)際規(guī)制新發(fā)展：困境與前路[J].上海對(duì)外經(jīng)貿(mào)大學(xué)學(xué)報(bào),2017,(6):37-52. 3.黃寧、李楊.“三難選擇”下跨境數(shù)據(jù)流動(dòng)規(guī)制的演進(jìn)與成因[J].清華大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版),2017,(5):172-182. 4.胡煒.跨境數(shù)據(jù)流動(dòng)的國(guó)際法挑戰(zhàn)及中國(guó)應(yīng)對(duì)[J].社會(huì)科學(xué)家,2017,(11):107-112. 5.張舵.略論個(gè)人數(shù)據(jù)跨境流動(dòng)的法律標(biāo)準(zhǔn)[J].中國(guó)政法大學(xué)學(xué)報(bào),2018,(3):98-109. 6.許多奇.個(gè)人數(shù)據(jù)跨境流動(dòng)規(guī)制的國(guó)際格局及中國(guó)應(yīng)對(duì)[J].法學(xué)論壇,2018,(3):130-137；7.石靜霞,張舵.跨境數(shù)據(jù)流動(dòng)規(guī)制的國(guó)家安全問(wèn)題[J].廣西社會(huì)科學(xué),2018,(8):128-133. 8.茶洪旺,付偉,鄭婷婷.數(shù)據(jù)跨境流動(dòng)政策的國(guó)際比較與反思[J].電子政務(wù),2019,(5):123-129. 相比之下，國(guó)內(nèi)研究成果中鮮有從國(guó)際法角度對(duì)個(gè)人數(shù)據(jù)保護(hù)立法的域外管轄問(wèn)題進(jìn)行系統(tǒng)梳理和論證的。齊愛(ài)民，王基巖在《社會(huì)科學(xué)家》2015年第11期上合作發(fā)表的論文《大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)法的適用與域外效力》雖然提及了數(shù)據(jù)保護(hù)立法的域外效力問(wèn)題，但是由于當(dāng)時(shí)GDPR尚未通過(guò)立法程序，因此也未有對(duì)第3條地域管轄范圍的討論。金晶在《歐洲研究》2018年第4期上發(fā)表的論文《歐盟〈一般數(shù)據(jù)保護(hù)條例〉:演進(jìn)、要點(diǎn)與疑義》對(duì)GDPR的重要條款進(jìn)行了全景式地剖析，其中亦論及地域管轄的擴(kuò)張性問(wèn)題，但并未展開(kāi)大篇幅的論證。張建文、張哲在《重慶郵電大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)》2017年第2期合作發(fā)表的論文《個(gè)人信息保護(hù)法域外效力研究——以歐盟〈一般數(shù)據(jù)保護(hù)條例〉為視角》結(jié)合Google Spain案對(duì)個(gè)人數(shù)據(jù)保護(hù)法的域外效力進(jìn)行了討論，但未對(duì)GDPR的域外管轄權(quán)邊界問(wèn)題進(jìn)行研究。。

在評(píng)注條款的過(guò)程中，從國(guó)際法角度反思個(gè)人數(shù)據(jù)保護(hù)立法主張域外管轄的正當(dāng)性基礎(chǔ)。通過(guò)司法判例和立法背景文件來(lái)研究《條例》與1995年《歐盟個(gè)人數(shù)據(jù)保護(hù)指令》(12)該文件中文全稱為《關(guān)于涉及個(gè)人數(shù)據(jù)處理的個(gè)人保護(hù)以及此類數(shù)據(jù)自由流動(dòng)的指令》，英文全稱為Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data；原文參見(jiàn)網(wǎng)址：https://eurlex.europa.eu/ LexUriServ/LexUriServ.do?uri=CELEX: 31995L 0046:en:HTML，最后訪問(wèn)時(shí)間：2019年7月15日20時(shí)07分。(以下簡(jiǎn)稱《95指令》)之間的內(nèi)部繼承關(guān)系。從立法意圖和實(shí)施效果兩個(gè)方面以檢視地域管轄范圍與數(shù)據(jù)跨境流動(dòng)規(guī)則之間的區(qū)別。通過(guò)梳理歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)發(fā)布的相關(guān)文件，從法律穩(wěn)定性和靈活性的角度，梳理《條例》域外管轄權(quán)的邊界，思考《條例》對(duì)中國(guó)的影響與啟示。

二、地域范圍條款的立法沿革：從《95指令》到《條例》

根據(jù)《條例》鑒于條款(Recital Clause)的第171段，《條例》一經(jīng)生效，《95指令》同時(shí)廢止?！?5指令》第4條(應(yīng)適用的國(guó)內(nèi)法)為《條例》第3條(地域范圍)所取代。對(duì)地域范圍條款的立法沿革進(jìn)行梳理，有助于厘清前后兩部法律相關(guān)條文的流變關(guān)系，并進(jìn)一步思考管轄權(quán)擴(kuò)張的立法動(dòng)因。

(一)傳承與突破：基于地域范圍條款的條文結(jié)構(gòu)分析

《95指令》第4(1)條系該法的地域范圍條款。從條文結(jié)構(gòu)和立法功能來(lái)看，該條款具有地域范圍和沖突規(guī)范的雙重作用。

一方面，該條款根據(jù)“經(jīng)營(yíng)場(chǎng)所是否在歐盟境內(nèi)”作為分類標(biāo)準(zhǔn)，明確了何種個(gè)人數(shù)據(jù)的處理行為將落入《95指令》的地域管轄范圍(參見(jiàn)表1)。該條包含了是否應(yīng)當(dāng)適用歐盟成員國(guó)法的兩項(xiàng)衡量標(biāo)準(zhǔn)：其一，根據(jù)數(shù)據(jù)控制者“經(jīng)營(yíng)場(chǎng)所”的具體位置確定歐盟是否對(duì)此擁有管轄權(quán)，即“經(jīng)營(yíng)場(chǎng)所標(biāo)準(zhǔn)”(表1中《95指令》第4(1)a條)；其二，以數(shù)據(jù)處理為目的而使用的“設(shè)備”(equipment)的具體位置確定歐盟對(duì)此是否擁有管轄權(quán)，即“設(shè)備使用標(biāo)準(zhǔn)”(表1中《95指令》第4(1)c條)。另一方面，由于《95指令》不同于是條例(Regulation)性質(zhì)的歐盟法律，它并不為個(gè)人創(chuàng)設(shè)權(quán)利和義務(wù)，一般而言，指令的調(diào)整對(duì)象往往是成員國(guó)(13)邵景春.歐洲聯(lián)盟的法律與制度[M].北京:人民法院出版社,1999.60.。因此，第4條在很大程度上同時(shí)發(fā)揮了沖突規(guī)范的功能，主要用于緩解和消弭個(gè)人數(shù)據(jù)保護(hù)層面各國(guó)法律沖突(14)杜濤.國(guó)際私法國(guó)際前沿年度報(bào)告(2015—2016)[J].國(guó)際法研究,2017,(2):89-128.，在明確具體行為將會(huì)落入《95指令》的地域管轄范圍之后，進(jìn)一步解決究竟適用哪一成員國(guó)的個(gè)人數(shù)據(jù)保護(hù)實(shí)體性規(guī)則的準(zhǔn)據(jù)法問(wèn)題。

表1 《95指令》與《條例》有關(guān)地域范圍規(guī)定的條文對(duì)照

通過(guò)對(duì)比表1中兩部法律地域范圍條款的條文結(jié)構(gòu)可知：《條例》第3(1)條與《95指令》第4(1)a條一脈相承，呈現(xiàn)出明顯的內(nèi)部繼承關(guān)系，均為“經(jīng)營(yíng)場(chǎng)所標(biāo)準(zhǔn)”，但是《條例》第3(1)條中存在“無(wú)論其處理行為是否發(fā)生在歐盟境內(nèi)”這一明顯具有域外管轄傾向的表達(dá)，而原來(lái)的《95指令》未指明這一點(diǎn)。如果將先有之條文稱為1.0版“經(jīng)營(yíng)場(chǎng)所標(biāo)準(zhǔn)”，則后有之條文可稱為2.0版“經(jīng)營(yíng)場(chǎng)所標(biāo)準(zhǔn)”?！稐l例》第3(3)條與《95指令》第4(1)b條基本含義相同?！?5指令》第4(1)c條的“設(shè)備使用標(biāo)準(zhǔn)”已經(jīng)被《條例》第3(2)條的“目標(biāo)指向標(biāo)準(zhǔn)”所取代，但是，上述兩個(gè)條文均明確表達(dá)了域外管轄的立法意圖，試圖將經(jīng)營(yíng)場(chǎng)所不在歐盟境內(nèi)但實(shí)施了特定數(shù)據(jù)處理行為的數(shù)據(jù)控制者(或者數(shù)據(jù)處理者)納入管轄范圍。申言之，《95指令》和《條例》有關(guān)地域范圍的規(guī)定有著“將域內(nèi)管轄和域外管轄雜糅于同一條文之中”的共同特點(diǎn)，這增加了剝離出“域外管轄”有關(guān)情形的難度，因?yàn)橹挥性诰唧w案件中才會(huì)面臨涉案的歐盟境外企業(yè)是否將受到該法域外管轄的問(wèn)題(在下文具體討論)。

研究條款的立法沿革不能簡(jiǎn)單、機(jī)械地觀察相關(guān)條款之表面變化，筆者認(rèn)為：從《95指令》第4條到《條例》第3條的立法轉(zhuǎn)變，既體現(xiàn)出對(duì)上世紀(jì)90年代互聯(lián)網(wǎng)萌發(fā)期的立法管轄模式的“傳承”，也折射出在大數(shù)據(jù)、云計(jì)算等信息技術(shù)飛速發(fā)展的時(shí)代背景下個(gè)人數(shù)據(jù)保護(hù)立法管轄思路的“突破”。這些變化的內(nèi)在機(jī)理值得深究：第一，《條例》第3(1)條的“經(jīng)營(yíng)場(chǎng)所標(biāo)準(zhǔn)”為何會(huì)在《95指令》的基礎(chǔ)之上呈現(xiàn)出明確的域外管轄立場(chǎng)？第二，信息技術(shù)對(duì)歐盟有效管轄來(lái)自歐盟的個(gè)人數(shù)據(jù)帶來(lái)了哪些障礙，從而催生出“目標(biāo)指向標(biāo)準(zhǔn)”這一積極主張域外管轄的重大立法“突破”？有必要將歐盟法院和有權(quán)解釋機(jī)關(guān)(第29條工作組)對(duì)《95指令》第4條的釋明活動(dòng)予以回顧，對(duì)歐盟法的有權(quán)解釋活動(dòng)內(nèi)蘊(yùn)著歐盟個(gè)人數(shù)據(jù)保護(hù)如何逐步確立“域外管轄”主張的立法沿革。

(二) 歐盟法院和第29條工作組(15)根據(jù)《95指令》第29條的有關(guān)規(guī)定，歐盟成立的一個(gè)“在個(gè)人數(shù)據(jù)處理中保護(hù)個(gè)人的工作組”，一般稱之為“第29條工作組”。該工作組是一個(gè)獨(dú)立的咨詢機(jī)構(gòu)，有成員國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)的代表組成。該工作組在歐盟數(shù)據(jù)保護(hù)法中發(fā)揮重要作用，它發(fā)布的解釋性文件具有巨大影響力?！锻ㄓ脭?shù)據(jù)保護(hù)條例》生效后，原先根據(jù)《95指令》第29條建立的個(gè)人數(shù)據(jù)保護(hù)工作組被新機(jī)構(gòu)歐洲數(shù)據(jù)保護(hù)委員會(huì)(European Data Protection Board，簡(jiǎn)稱EDPB)所取代。對(duì)“經(jīng)營(yíng)場(chǎng)所標(biāo)準(zhǔn)”的技術(shù)性解釋

《95指令》第4(1)a條要求“數(shù)據(jù)處理行為發(fā)生在數(shù)據(jù)控制者經(jīng)營(yíng)場(chǎng)所開(kāi)展活動(dòng)的場(chǎng)景中，而該控制者的經(jīng)營(yíng)場(chǎng)所位于該成員國(guó)領(lǐng)域內(nèi)”，《條例》第3(1)條規(guī)定“在歐盟境內(nèi)設(shè)有經(jīng)營(yíng)場(chǎng)所的數(shù)據(jù)控制者或數(shù)據(jù)處理者，只要數(shù)據(jù)處理行為發(fā)生在此經(jīng)營(yíng)場(chǎng)所開(kāi)展活動(dòng)的場(chǎng)景中，即使實(shí)際的數(shù)據(jù)處理活動(dòng)不在歐盟境內(nèi)發(fā)生，該數(shù)據(jù)處理活動(dòng)也要受本法管轄”。前后兩款規(guī)定均要求經(jīng)營(yíng)場(chǎng)所應(yīng)當(dāng)設(shè)立在歐盟境內(nèi)，對(duì)數(shù)據(jù)處理行為也有“在此經(jīng)營(yíng)場(chǎng)所開(kāi)展活動(dòng)的場(chǎng)景中發(fā)生”(in the context of activities of an establishment)的特殊要求，從中可以看出兩個(gè)條款的“內(nèi)部繼承關(guān)系”。如何理解“經(jīng)營(yíng)場(chǎng)所”以及“在此經(jīng)營(yíng)場(chǎng)所開(kāi)展活動(dòng)的場(chǎng)景中發(fā)生”的含義？此外，該條如何能對(duì)歐盟境外企業(yè)產(chǎn)生域外管轄的效力？在《95指令》頒布實(shí)施的二十多年中，歐盟法院和第29條工作組分別通過(guò)判決(Decision)(16)歐盟法院先后通過(guò)Google Spain案(案號(hào)：Case C-131/12)和Weltimmo案(Case C-230/14)對(duì)《95指令》第4(1)a條的“經(jīng)營(yíng)場(chǎng)所”判斷問(wèn)題予以回應(yīng)。值得指出的是，Google Spain案系歐盟個(gè)人數(shù)據(jù)保護(hù)領(lǐng)域最為經(jīng)典的司法案例之一，該案因?yàn)榇_立了個(gè)人數(shù)據(jù)“被遺忘權(quán)”(Right to be Forgotten)而聲名大噪。或意見(jiàn)(Opinion)(17)第29條工作組對(duì)準(zhǔn)據(jù)法問(wèn)題進(jìn)行過(guò)專門研究，先后出臺(tái)了兩份意見(jiàn)性文件。第一份為Opinion 8/2010 on applicable law，該文件于2010年12月16日；后一份為Update of Opinion 8/2010 on applicable law in light of the CJEU judgement in Google Spain，該文件于2015年12月16日發(fā)布。的方式，對(duì)上述問(wèn)題予以回應(yīng)。

《95指令》鑒于條款第19段界定了“經(jīng)營(yíng)場(chǎng)所”的基本含義：“鑒于在成員國(guó)境內(nèi)設(shè)立機(jī)構(gòu)意味著它可以通過(guò)穩(wěn)定的安排開(kāi)展真實(shí)而有效的活動(dòng)；鑒于此類機(jī)構(gòu)的法律形式(無(wú)論是簡(jiǎn)單的分支機(jī)構(gòu)還是具有法人資格的子公司)并不是在這方面的決定性因素?！?010年12月16日，第29條工作組發(fā)布意見(jiàn)性文件Opinion 8/2010 on applicable law。該文件提出，識(shí)別“經(jīng)營(yíng)場(chǎng)所”的關(guān)鍵在于判斷涉案的數(shù)據(jù)控制者實(shí)施了有效而真實(shí)的活動(dòng)，“開(kāi)展活動(dòng)的場(chǎng)景”說(shuō)明處理案件的準(zhǔn)據(jù)法不是數(shù)據(jù)控制者所在地的法律，而應(yīng)當(dāng)是經(jīng)營(yíng)場(chǎng)所開(kāi)展與個(gè)人數(shù)據(jù)處理活動(dòng)有關(guān)的地點(diǎn)的法律。但是，對(duì)“穩(wěn)定的安排”(stable arrangement)、“真實(shí)而有效的活動(dòng)”(the effective and real exercise of activity)等詞匯的含義亦有待釋明。例如，歐盟境外企業(yè)(數(shù)據(jù)控制者)在歐盟境內(nèi)設(shè)立了經(jīng)營(yíng)場(chǎng)所，何種安排可謂“穩(wěn)定”？哪種活動(dòng)可謂“真實(shí)而有效”？此外，“數(shù)據(jù)處理行為”在何種程度上可以視為發(fā)生在“經(jīng)營(yíng)場(chǎng)所開(kāi)展的場(chǎng)景中”？如何進(jìn)行具有說(shuō)服力的說(shuō)理(reasoning)將境外企業(yè)的數(shù)據(jù)處理行為歸入《95指令》的管轄范圍之中從而實(shí)現(xiàn)該法的域外管轄效力？

歐盟法院通過(guò)Google Spain案對(duì)該法的域外效力問(wèn)題予以澄清。該案與域外效力問(wèn)題有關(guān)的案情如下(18)由于文章篇幅有限，Google Spain案的基本案情不再展開(kāi)。詳細(xì)案情可以參見(jiàn)楊開(kāi)湘.“被遺忘權(quán)”的司法確立——重探谷歌數(shù)據(jù)隱私案[J].經(jīng)濟(jì)法論叢,2018,(1):359-386.：Google西班牙公司是Google美國(guó)總部在西班牙設(shè)立的商業(yè)代表，幫助Google推廣和銷售在線廣告位置以獲取商業(yè)利潤(rùn)，Google搜索引擎由Google美國(guó)總部運(yùn)營(yíng)和管理，Google西班牙公司不參與相關(guān)數(shù)據(jù)處理活動(dòng)(將第三方網(wǎng)站上的信息或數(shù)據(jù)編入索引或?qū)χ苯雨P(guān)聯(lián)活動(dòng)進(jìn)行存儲(chǔ)的數(shù)據(jù)處理活動(dòng))。歐盟法院查明事實(shí)：Google西班牙公司符合“通過(guò)穩(wěn)定的安排開(kāi)展真實(shí)而有效的活動(dòng)”，系《95指令》中所指的“經(jīng)營(yíng)場(chǎng)所”，數(shù)據(jù)處理行為是在Google美國(guó)總部發(fā)生的(在歐盟境外)，Google西班牙公司不參與相關(guān)數(shù)據(jù)處理活動(dòng)。Google公司抗辯稱，爭(zhēng)議的個(gè)人數(shù)據(jù)處理行為并未發(fā)生在數(shù)據(jù)控制者經(jīng)營(yíng)場(chǎng)所開(kāi)展活動(dòng)的場(chǎng)景中，兩項(xiàng)業(yè)務(wù)是相互獨(dú)立的。

歐盟法院認(rèn)為：不應(yīng)當(dāng)僅對(duì)《95指令》鑒于條款第18-20段以及正式條文第4條進(jìn)行限制性解釋，應(yīng)當(dāng)從該法的制定目的加以理解，歐盟立法機(jī)構(gòu)希望通過(guò)設(shè)定一個(gè)較為寬泛的地域范圍以防止指令的立法目的無(wú)法實(shí)現(xiàn)，同時(shí)杜絕出現(xiàn)規(guī)避法律的行為。歐盟法院進(jìn)一步指出，Google美國(guó)總部在歐盟設(shè)立經(jīng)營(yíng)場(chǎng)所是為了在歐盟成員國(guó)境內(nèi)推廣和銷售使搜索引擎產(chǎn)生營(yíng)利的廣告位，搜索引擎業(yè)務(wù)是在經(jīng)營(yíng)場(chǎng)所開(kāi)展活動(dòng)(幫助Google推廣和銷售在線廣告位置)的場(chǎng)景下進(jìn)行的，二者存在著“無(wú)法割裂的聯(lián)系”(inextricable link)。由于搜索引擎服務(wù)和廣告位出現(xiàn)在同一個(gè)頁(yè)面內(nèi)，故可以認(rèn)定符合《95指令》有關(guān)“數(shù)據(jù)處理行為發(fā)生在數(shù)據(jù)控制者經(jīng)營(yíng)場(chǎng)所開(kāi)展活動(dòng)的場(chǎng)景中”的要求。

該案判決結(jié)果一經(jīng)公布，引發(fā)了全球廣泛關(guān)注。第29條工作組于2015年12月16日發(fā)布了意見(jiàn)性文件Update of Opinion 8/2010 on applicable law in light of the CJEU judgement in Google Spain，對(duì)《95指令》第4(1)a條中的“開(kāi)展活動(dòng)的場(chǎng)景下”進(jìn)行了詳細(xì)解釋，并對(duì)Google Spain案中提出的有關(guān)經(jīng)營(yíng)場(chǎng)所與數(shù)據(jù)處理行為之間“無(wú)法割裂的聯(lián)系”的認(rèn)定標(biāo)準(zhǔn)問(wèn)題予以明確。第29條工作組進(jìn)一步認(rèn)為：只要“免費(fèi)網(wǎng)絡(luò)服務(wù)+廣告”的商業(yè)模式促成了財(cái)務(wù)增長(zhǎng)便可以認(rèn)定為滿足了“無(wú)法割裂的聯(lián)系”的認(rèn)定標(biāo)準(zhǔn)，此外，非歐盟企業(yè)以換取會(huì)員費(fèi)、訂閱數(shù)量或利用并開(kāi)發(fā)用戶數(shù)據(jù)營(yíng)利為目的，甚至是以捐贈(zèng)為目的，在歐盟境內(nèi)提供免費(fèi)網(wǎng)絡(luò)服務(wù)，也可以認(rèn)為存在“無(wú)法割裂的聯(lián)系”。

通過(guò)上述文件可以得知：在Google Spain案以后，數(shù)據(jù)處理行為并不一定必須由經(jīng)營(yíng)場(chǎng)所親自實(shí)施，只要綜合考慮具體場(chǎng)景，該數(shù)據(jù)處理行為是在經(jīng)營(yíng)機(jī)構(gòu)的“活動(dòng)背景下”實(shí)施的，便符合《95指令》第4(1)a條的適用要求，就可以啟動(dòng)具體的準(zhǔn)據(jù)法對(duì)個(gè)人數(shù)據(jù)處理行為予以監(jiān)管。

此外，歐盟法院通過(guò)Weltimmo案對(duì)“經(jīng)營(yíng)場(chǎng)所”的判斷標(biāo)準(zhǔn)問(wèn)題予以了明確，該案的佐審官Pedro Cruz Villalón認(rèn)為應(yīng)當(dāng)采用“兩步分析法”：第一步為判斷數(shù)據(jù)控制者在歐盟成員國(guó)境內(nèi)是否建立了某個(gè)“經(jīng)營(yíng)場(chǎng)所”；第二步為某項(xiàng)特殊的數(shù)據(jù)處理行為是否是在這一經(jīng)營(yíng)場(chǎng)所開(kāi)展活動(dòng)的場(chǎng)景中發(fā)生的(19)參見(jiàn)Case C-230/14的佐審官意見(jiàn)第26段(該佐審官意見(jiàn)于2015年6月25日發(fā)布)。。該案判決書(shū)將“經(jīng)營(yíng)場(chǎng)所”的概念延伸至通過(guò)穩(wěn)定的安排進(jìn)行的任何真正而有效的活動(dòng)，甚至是最小體量的活動(dòng)。為了確定歐盟以外的實(shí)體在各成員國(guó)內(nèi)是否有經(jīng)營(yíng)場(chǎng)所，必須基于活動(dòng)和提供服務(wù)的特定性質(zhì)來(lái)判斷安排的穩(wěn)定性程度和在該成員國(guó)從事活動(dòng)的有效性(尤其是對(duì)于那些通過(guò)互聯(lián)網(wǎng)提供服務(wù)的企業(yè))，當(dāng)數(shù)據(jù)控制者的核心活動(dòng)涉及在線提供服務(wù)時(shí)，“穩(wěn)定的安排”的認(rèn)定標(biāo)準(zhǔn)實(shí)際上非常低。因此，在某些情形下，如果雇員和代理人的行為非常穩(wěn)定，非歐盟實(shí)體的單一雇員或代理人也能夠構(gòu)成一項(xiàng)“穩(wěn)定的安排”(20)Case C-230/14，判決書(shū)第29-31段。。

歐盟法院和第29條工作組對(duì)《95指令》有關(guān)“經(jīng)營(yíng)場(chǎng)所標(biāo)準(zhǔn)”的技術(shù)性解釋實(shí)現(xiàn)了從“紙面上的法”(law in book)到“現(xiàn)實(shí)中的法”(law in action)的功能性轉(zhuǎn)變，最終被《條例》充分“吸收”(21)《條例》的鑒于條款第22段有關(guān)“經(jīng)營(yíng)場(chǎng)所”的闡述與《95指令》鑒于條款第19段的措辭相同。。從《條例》第3(1)條中“無(wú)論其處理行為是否發(fā)生在歐盟境內(nèi)”的表述可以窺見(jiàn)歐盟法院和第29條工作組對(duì)“經(jīng)營(yíng)場(chǎng)所標(biāo)準(zhǔn)”技術(shù)性解釋的“影子”。申言之，數(shù)據(jù)處理行為發(fā)生的地點(diǎn)并不重要，重點(diǎn)在于如何精準(zhǔn)把握“數(shù)據(jù)處理行為發(fā)生在此經(jīng)營(yíng)場(chǎng)所開(kāi)展活動(dòng)的場(chǎng)景中”。不僅開(kāi)展數(shù)據(jù)處理行為的數(shù)據(jù)控制者可能是歐盟境外企業(yè)，經(jīng)營(yíng)場(chǎng)所開(kāi)展活動(dòng)的場(chǎng)景同樣可能發(fā)生在歐盟境外，二者只要符合“無(wú)法割裂的聯(lián)系”的認(rèn)定標(biāo)準(zhǔn)，便可據(jù)此實(shí)施域外管轄權(quán)，將境外企業(yè)或者發(fā)生在境外的行為納入《條例》的地域管轄范圍。由此，原本具有“屬地主義”色彩的“經(jīng)營(yíng)場(chǎng)所標(biāo)準(zhǔn)”便具有明顯的域外管轄傾向，而“無(wú)法割裂的聯(lián)系”的認(rèn)定標(biāo)準(zhǔn)成為了實(shí)現(xiàn)域外管轄的“利器”。

(三) 技術(shù)改變法律：從“設(shè)備使用標(biāo)準(zhǔn)”到“目標(biāo)指向標(biāo)準(zhǔn)”

如果《95指令》的地域范圍條款僅為“經(jīng)營(yíng)場(chǎng)所標(biāo)準(zhǔn)”，《95指令》的管轄范圍便大大受限。為了解決對(duì)在歐盟境內(nèi)沒(méi)有經(jīng)營(yíng)場(chǎng)所的情況下進(jìn)行的數(shù)據(jù)處理行為行使域外管轄的問(wèn)題，歐盟立法機(jī)關(guān)在《95指令》中楔入了第4(1)b條，將“數(shù)據(jù)控制者經(jīng)營(yíng)場(chǎng)所不在該成員國(guó)境內(nèi)，但其所在地根據(jù)國(guó)際公法的規(guī)定應(yīng)適用該國(guó)法律”的情形納入地域管轄范圍。第29條工作組在意見(jiàn)性文件Opinion 8/2010 on applicable law指出該條主要適用于國(guó)際公法下諸如飛機(jī)和船舶等“擬制領(lǐng)域”，以及歐盟成員國(guó)在海外的大使館或領(lǐng)事館，歐盟法對(duì)上述地方均享有國(guó)際公法意義上的管轄權(quán)(22)參見(jiàn)該意見(jiàn)性文件的第18頁(yè)。雖然這一意見(jiàn)對(duì)歐盟法院或相關(guān)成員國(guó)法院的司法裁判沒(méi)有法律拘束力，但是該意見(jiàn)以其較強(qiáng)的權(quán)威性和說(shuō)服力構(gòu)成對(duì)《95指令》的權(quán)威解釋。?！稐l例》第3(3)條對(duì)上述條文予以吸收，并在鑒于條款第25段中明確指出“成員國(guó)法律依據(jù)國(guó)際公法適用的情況。本法也適用于歐盟之外的控制者，例如成員國(guó)的使館或領(lǐng)事館”，這一表述與第29條工作組相關(guān)意見(jiàn)性文件中的措辭一致。

與《95指令》第4(1)b條具有類似功能，《95指令》第4(1)c條的“設(shè)備使用標(biāo)準(zhǔn)”對(duì)“經(jīng)營(yíng)場(chǎng)所標(biāo)準(zhǔn)”進(jìn)行了有效補(bǔ)充，將“使用成員國(guó)境內(nèi)的設(shè)備”作為域外管轄的連接點(diǎn)，擴(kuò)張了《95指令》的域外效力，企圖能夠?qū)υ跉W盟境內(nèi)沒(méi)有經(jīng)營(yíng)場(chǎng)所而在境外發(fā)生的個(gè)人數(shù)據(jù)處理行為進(jìn)行有效管轄。《95指令》鑒于條款第20段指出：在第三國(guó)設(shè)立的機(jī)構(gòu)實(shí)施的數(shù)據(jù)處理行為不能妨礙本指令對(duì)個(gè)人之保護(hù)；在這些情況下，數(shù)據(jù)處理應(yīng)當(dāng)由使用方法(means)所在地的成員國(guó)法律來(lái)規(guī)制，并且應(yīng)當(dāng)有保證措施以確保本指令所規(guī)定的權(quán)利和義務(wù)在實(shí)踐中得到遵循?！?5指令》第4(1)c條使用的術(shù)語(yǔ)為“設(shè)備”(equipment)，而鑒于條款中使用的術(shù)語(yǔ)為“方法”(means)。在《95指令》的起草過(guò)程中，第4(1)c條的英文版本究竟應(yīng)當(dāng)用“means”還是“equipment”引發(fā)了長(zhǎng)時(shí)間討論，最終的正式文本還是決定將后者的措辭寫(xiě)入該條款，立法者有意通過(guò)后者以限制其概念的范圍(23)Lokke M. The long arm of EU data protection law: Does the Data Protection Directive apply to processing of personal data of EU citizens by websites worldwide? International Data Privacy Law, 2011, 1(1).pp28-46.。為了提升歐盟個(gè)人數(shù)據(jù)的保護(hù)水平，《95指令》在互聯(lián)網(wǎng)萌發(fā)期通過(guò)“設(shè)備使用標(biāo)準(zhǔn)”對(duì)域外數(shù)據(jù)處理行為實(shí)施管轄具有一定的合理性。在上世紀(jì)九十年代的語(yǔ)境下，“設(shè)備”一詞的內(nèi)涵和外延畢竟有限，僅指較為常見(jiàn)的電腦服務(wù)器、電腦終端以及調(diào)查表等計(jì)算機(jī)設(shè)備(24)Kuner C. Data Protection Law and International Jurisdiction on the Internet (Part 2). International Journal of Law and Information Technology, 2010, 18(3).pp227-247.。然而，隨著科學(xué)技術(shù)的蓬勃發(fā)展，《95指令》第4(1)c條項(xiàng)下的“設(shè)備”一詞的外延越來(lái)越廣泛，第29條工作組在意見(jiàn)性文件中指出“對(duì)該條款的理解應(yīng)當(dāng)順應(yīng)新技術(shù)(尤其是網(wǎng)絡(luò)技術(shù))的發(fā)展，新技術(shù)大大便利了個(gè)人數(shù)據(jù)的遠(yuǎn)程收集和處理，數(shù)據(jù)控制者在歐盟成員國(guó)境內(nèi)是否存在實(shí)體的前提變得不再重要”(25)參見(jiàn)第29條工作組發(fā)布的意見(jiàn)性文件Opinion 8/2010 on applicable law第19頁(yè)。。在同一份文件中，該工作組進(jìn)一步確認(rèn)，‘設(shè)備’這一術(shù)語(yǔ)應(yīng)當(dāng)被解釋為‘方法’。第29條工作組的這一意見(jiàn)與當(dāng)初制定《95指令》時(shí)特意限縮“設(shè)備”一詞外延的立法初衷相違背了。由于“設(shè)備”一詞的外延過(guò)于寬泛，對(duì)成員國(guó)法院公正裁判案件造成了妨害。例如，意大利某青年將虐待殘疾學(xué)生的視頻上傳至谷歌視頻，法院認(rèn)定谷歌意大利公司構(gòu)成位于意大利的“工具或手段”，服務(wù)器位于美國(guó)總部抑或是愛(ài)爾蘭的歐洲總部便不重要(26)參見(jiàn)第29條工作組發(fā)布的意見(jiàn)性文件Opinion 1/2008 on Data Protection Issues Related to Search Engines，WP 148(2008)第10頁(yè)。。在受到廣泛批評(píng)后，第29條工作組意識(shí)到：“對(duì)‘使用設(shè)備’的寬泛理解將極大地?cái)U(kuò)張歐盟數(shù)據(jù)保護(hù)法的地域管轄范圍，需要對(duì)該標(biāo)準(zhǔn)進(jìn)行改革。”(27)參見(jiàn)第29條工作組發(fā)布的意見(jiàn)性文件Opinion 1/2008 on Data Protection Issues Related to Search Engines，WP 148(2008)第23-25頁(yè)。

《95指令》設(shè)定的地域管轄范圍已無(wú)法適應(yīng)互聯(lián)網(wǎng)遠(yuǎn)程化、全球化和虛擬化的特點(diǎn)，尤其是隨著云計(jì)算的發(fā)展，準(zhǔn)確找到個(gè)人數(shù)據(jù)的存儲(chǔ)地和處理個(gè)人信息的設(shè)備所在地已經(jīng)變得非常困難。因此，《條例》通過(guò)確立“目標(biāo)指向標(biāo)準(zhǔn)”，放棄了原來(lái)依據(jù)設(shè)備處理數(shù)據(jù)來(lái)確定法律適用地域范圍的做法，轉(zhuǎn)而依據(jù)特定域內(nèi)數(shù)據(jù)處理行為來(lái)確定法律適用的地域范圍(28)王志安.云計(jì)算和大數(shù)據(jù)時(shí)代的國(guó)家立法管轄權(quán)——數(shù)據(jù)本地化與數(shù)據(jù)全球化的大對(duì)抗？[J].交大法學(xué),2019,(1):5-20.。

《條例》第3(2)條(目標(biāo)指向標(biāo)準(zhǔn))是歐盟個(gè)人數(shù)據(jù)保護(hù)立法改革的重大成果之一，甚至被稱之為“哥白尼式的改革”(29)Kuner C. The European Commission’s Proposed Data Protection Regulation: A Copernican Revolution in European Data Protection Law[J]. Social Science Electronic Publishing, 2012.(Copernican Revolution)。雖然沒(méi)有“超地域性”(extraterritoriality)的明確表述，但是這個(gè)條文在立法層面將歐盟境外的數(shù)據(jù)控制者和處理者納入到《條例》的管轄范圍之中。一旦它們的數(shù)據(jù)處理行為發(fā)生在向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)的過(guò)程中(無(wú)論此項(xiàng)商品或服務(wù)是否需要數(shù)據(jù)主體支付對(duì)價(jià))，抑或是數(shù)據(jù)控制者或處理者對(duì)數(shù)據(jù)主體發(fā)生在歐盟內(nèi)的行為進(jìn)行監(jiān)控，《條例》便對(duì)它們產(chǎn)生法律拘束力。

《條例》第3(2)a條對(duì)應(yīng)鑒于條款第23段，為判斷該控制者或處理者是否向位于歐盟境內(nèi)的數(shù)據(jù)主體提供產(chǎn)品或服務(wù)，應(yīng)確認(rèn)控制者或處理者是否明顯企圖向位于歐盟境內(nèi)一個(gè)或數(shù)個(gè)成員國(guó)的數(shù)據(jù)主體提供服務(wù)?？刂普呔W(wǎng)站、處理者網(wǎng)站或其他中介網(wǎng)站僅可以獲取郵件地址或者其他聯(lián)系信息以及使用了控制者營(yíng)業(yè)地所在的第三方國(guó)家的通用語(yǔ)言，上述行為均不足以確認(rèn)其提供服務(wù)的動(dòng)機(jī)和意圖；一些判斷因素使控制者的動(dòng)機(jī)變得明顯，例如使用一個(gè)或多個(gè)歐盟成員國(guó)的通用語(yǔ)言或貨幣用于訂購(gòu)以其他語(yǔ)言標(biāo)識(shí)的商品或服務(wù)，或者涉及歐盟境內(nèi)的客戶或用戶?！稐l例》第3(2)b條對(duì)應(yīng)鑒于條款第24段，該段指出，為了判斷上述處理活動(dòng)是否可以被認(rèn)定為是對(duì)數(shù)據(jù)主體在歐盟境內(nèi)發(fā)生的行為的監(jiān)控，需要確定自然人是否在互聯(lián)網(wǎng)上被跟蹤記錄，或者偷偷地后續(xù)使用個(gè)人數(shù)據(jù)處理技術(shù)，包括對(duì)自然人進(jìn)行數(shù)據(jù)畫(huà)像特別是作出自動(dòng)化決策，抑或是對(duì)其個(gè)人偏好、行為或態(tài)度作出分析或預(yù)測(cè)?？梢猿醪降玫浇Y(jié)論：在適用《條例》第3(2)條的“目標(biāo)指向標(biāo)準(zhǔn)”時(shí)將重點(diǎn)考察“向特定數(shù)據(jù)主體提供產(chǎn)品或服務(wù)的主觀意圖”和“對(duì)數(shù)據(jù)主體在歐盟內(nèi)開(kāi)展監(jiān)控行為的客觀表現(xiàn)”。

三、域外管轄條款與數(shù)據(jù)跨境流動(dòng)規(guī)則之關(guān)系

《條例》第3條系該法的地域范圍條款，通過(guò)“經(jīng)營(yíng)場(chǎng)所標(biāo)準(zhǔn)”和“目標(biāo)指向標(biāo)準(zhǔn)”將歐盟境外的企業(yè)納入該法的管轄范圍。申言之，從立法角度來(lái)說(shuō)，《條例》對(duì)歐盟境外的企業(yè)具有域外效力。同時(shí)，數(shù)據(jù)跨境流動(dòng)規(guī)則也對(duì)境外企業(yè)提出了數(shù)據(jù)跨境傳輸?shù)臈l件(30)根據(jù)《條例》第5章的規(guī)定，這里的“數(shù)據(jù)跨境流動(dòng)規(guī)則”主要是歐盟境內(nèi)的個(gè)人數(shù)據(jù)向境外傳輸?shù)那疤釛l件和程序性規(guī)定?！稐l例》不限制境外數(shù)據(jù)向歐盟境內(nèi)的傳輸。。

(一)《條例》中的個(gè)人數(shù)據(jù)跨境流動(dòng)規(guī)則約束境外企業(yè)

《條例》第五章規(guī)定了一整套“多樣化”的個(gè)人數(shù)據(jù)跨境流動(dòng)規(guī)則，將數(shù)據(jù)跨境流動(dòng)分為“基于充分性認(rèn)定的傳輸”“提供適當(dāng)保障措施的傳輸”以及“特殊情況下的例外傳輸”三大類(31)詳細(xì)規(guī)定請(qǐng)參見(jiàn)《條例》第45-50條。。為了對(duì)數(shù)據(jù)跨境傳輸過(guò)程中來(lái)自歐盟境內(nèi)的個(gè)人數(shù)據(jù)予以充分保護(hù)，《條例》對(duì)歐盟境內(nèi)個(gè)人數(shù)據(jù)是否可以對(duì)外進(jìn)行傳輸?shù)那疤釛l件設(shè)置了嚴(yán)格的標(biāo)準(zhǔn)。例如，根據(jù)《條例》第45條的規(guī)定，經(jīng)過(guò)歐盟委員會(huì)評(píng)估認(rèn)定第三國(guó)、第三國(guó)境內(nèi)的地區(qū)一個(gè)或多個(gè)特定行業(yè)或者國(guó)際組織能確保充分的保護(hù)水平時(shí)，歐盟境內(nèi)的個(gè)人數(shù)據(jù)可以向該第三國(guó)或國(guó)際組織傳輸。歐盟委員會(huì)應(yīng)當(dāng)將被評(píng)估對(duì)象所在國(guó)的法律規(guī)則完備情況、監(jiān)督機(jī)構(gòu)的有效運(yùn)行情況以及參與國(guó)際條約實(shí)踐情況納入考量因素。歐盟委員會(huì)可以通過(guò)實(shí)施法案的方式給予充分性認(rèn)定，并在未來(lái)的實(shí)施過(guò)程中定期予以評(píng)估。根據(jù)《條例》第46條的規(guī)定，在缺少充分性認(rèn)定的情況下，控制者或者處理者應(yīng)當(dāng)且僅應(yīng)當(dāng)在其提供了適當(dāng)?shù)谋Ｕ?，且一提供可?zhí)行的數(shù)據(jù)主體的權(quán)利和給予數(shù)據(jù)主體有效法律救濟(jì)途徑的情況下，可以將個(gè)人數(shù)據(jù)傳輸至第三國(guó)及國(guó)際組織。根據(jù)《條例》第47條的規(guī)定，歐盟對(duì)制定“有約束力的企業(yè)規(guī)則”的企業(yè)提出了非常高的要求，企業(yè)必須確保個(gè)人數(shù)據(jù)在每個(gè)時(shí)刻、每個(gè)分支機(jī)構(gòu)、數(shù)據(jù)傳輸、存儲(chǔ)、加工的每個(gè)環(huán)節(jié)得到充分保障，否則將隨時(shí)面臨在歐盟境內(nèi)被起訴或申訴的法律風(fēng)險(xiǎn)。

綜上可知，歐盟委員會(huì)是實(shí)施充分性認(rèn)定的主體之一，第三國(guó)或者第三國(guó)企業(yè)只有在完成“對(duì)標(biāo)”歐盟的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)的情況下，歐盟境內(nèi)的個(gè)人數(shù)據(jù)才能被跨境傳輸至該第三國(guó)或第三國(guó)企業(yè)?！稐l例》(以及《95指令》)似乎對(duì)境外企業(yè)同樣具有法律拘束力，也就是具有域外效力。地域管轄范圍條款主張的域外管轄與這一類規(guī)則的域外效力存在相似之處，二者之間容易產(chǎn)生混淆,甚至有歐洲學(xué)者提出，區(qū)分二者是毫無(wú)意義的(32)Kuner, Christopher. Extraterritoriality and regulation of international data transfers in EU data protection law. International Data Privacy Law, 2015:ipv019.。

(二)應(yīng)當(dāng)區(qū)分“法律的域外管轄”與“法律的域外影響”

《條例》第3條的地域管轄范圍條款與第五章的跨境數(shù)據(jù)流動(dòng)規(guī)則雖然體現(xiàn)“超地域性”(extraterritoriality)，似乎都體現(xiàn)了歐盟法律規(guī)則超越了屬地原則對(duì)境外企業(yè)產(chǎn)生了“規(guī)制效果”，二者均涉及對(duì)境外企業(yè)或者域外數(shù)據(jù)處理行為的監(jiān)管。從效果上看，均有歐盟法對(duì)境外產(chǎn)生影響的客觀效果。但是二者存在顯著區(qū)別，前者系法律的域外管轄問(wèn)題，而后者系法律的域外影響問(wèn)題。

事實(shí)上，歐洲學(xué)者Yves Poullet早在2007年便提出，歐盟數(shù)據(jù)傳輸規(guī)則(《95指令》第25-26條)不具有地域范圍上的域外效力，但是對(duì)域外具有影響力(33)Yves Poullet.Trans-border Data Flows and Extraterritoriality:The European Position. Journal of International Commercial Law and Technology,2007(2).pp141-148.。筆者認(rèn)為，《條例》第3條的地域管轄范圍條款與第五章的跨境數(shù)據(jù)流動(dòng)規(guī)則在法律效果、適用方式和規(guī)制對(duì)象等方面均存在顯著差異：

1. 從規(guī)制措施來(lái)看，前者是法律的域外效力問(wèn)題；后者是法律的域外影響問(wèn)題。前者關(guān)注的是法律能夠具體管轄哪些域外企業(yè)或者發(fā)生在域外的數(shù)據(jù)處理行為；后者關(guān)注的是歐盟可以通過(guò)哪些途徑對(duì)歐盟個(gè)人數(shù)據(jù)出境的標(biāo)準(zhǔn)施加影響。

2. 從適用方式來(lái)看，前者具有直接性；后者具有間接性。前者要求境外數(shù)據(jù)處理行為或者境外企業(yè)直接受到該法的約束，這部法律的所有條款(監(jiān)督、數(shù)據(jù)權(quán)利類型以及救濟(jì)等)均能夠?qū)ζ湔n以義務(wù)(34)《條例》第3條地域范圍條款在該法一般性規(guī)定部分，而跨境數(shù)據(jù)流動(dòng)規(guī)則在《條例》第5章。；后者并非是將境外企業(yè)直接納入管轄范圍，而是間接地對(duì)數(shù)據(jù)跨境流動(dòng)施加限制性措施，不產(chǎn)生直接的法律拘束力。

3. 從被規(guī)制對(duì)象來(lái)看，前者具有強(qiáng)迫性和被動(dòng)性，后者具有任意性和主動(dòng)性。一旦實(shí)施了某一數(shù)據(jù)處理行為，從立法層面來(lái)看，該法便有了管轄權(quán)，這種管轄具有強(qiáng)迫性，規(guī)制對(duì)象被迫受制于法律規(guī)則，具有被動(dòng)性；后者是指跨境數(shù)據(jù)流動(dòng)規(guī)則并非可以施加到境外企業(yè)上，只有產(chǎn)生了數(shù)據(jù)傳輸需求(即境外企業(yè)為了獲得從歐盟輸出的個(gè)人數(shù)據(jù))，才會(huì)考慮這套規(guī)則的實(shí)施問(wèn)題(35)數(shù)據(jù)跨境流動(dòng)規(guī)則并不涉及各國(guó)協(xié)調(diào)、分配立法管轄權(quán)問(wèn)題，從歐盟和美國(guó)的《隱私盾協(xié)議》來(lái)看，數(shù)據(jù)跨境流動(dòng)的關(guān)鍵在于建立合作機(jī)制。。

4. 從規(guī)制效果來(lái)看，前者的規(guī)制效果是境外企業(yè)會(huì)特別關(guān)注來(lái)自歐盟的個(gè)人數(shù)據(jù)的合規(guī)問(wèn)題，對(duì)域外管轄權(quán)邊界問(wèn)題加以研判，從而使歐盟數(shù)據(jù)保護(hù)法在域外發(fā)揮全方位的保護(hù)功能；后者的規(guī)制效果是第三國(guó)為了獲得來(lái)自歐盟的個(gè)人數(shù)據(jù)而修改國(guó)內(nèi)立法以符合歐盟設(shè)立的保護(hù)標(biāo)準(zhǔn)。由此，數(shù)據(jù)跨境流動(dòng)規(guī)則并非法律的域外管轄問(wèn)題，而是A國(guó)制定跨境數(shù)據(jù)流動(dòng)規(guī)則迫使B國(guó)修改立法從而與其“對(duì)標(biāo)”的制度銜接問(wèn)題(36)Steve Coughlan.Law Beyond Borders: Extraterritorial Jurisdiction in an Age of Globalization . Toronto: Irwin Law,2014.pp46-47.。

“法律的域外管轄”與“法律的域外影響”的重要區(qū)分點(diǎn)在于是否涉及立法管轄權(quán)問(wèn)題?！稐l例》第3條明確主張法律的效力范圍不以地域(territory)的地理空間為限，而跨境數(shù)據(jù)流動(dòng)規(guī)則旨在通過(guò)設(shè)定法律標(biāo)準(zhǔn)以保證歐盟數(shù)據(jù)出境的安全性，一旦符合歐盟個(gè)人數(shù)據(jù)出境標(biāo)準(zhǔn)，個(gè)人數(shù)據(jù)出境后相關(guān)處理行為的準(zhǔn)據(jù)法便不一定是歐盟個(gè)人數(shù)據(jù)保護(hù)法。注意區(qū)分地域范圍條款和跨境數(shù)據(jù)流動(dòng)規(guī)則的不同功能有利于清晰把握《條例》第3條的法律性質(zhì)和立法目的。

四、域外管轄合理邊界之設(shè)定

《條例》第3條地域范圍條款中的“經(jīng)營(yíng)場(chǎng)所標(biāo)準(zhǔn)”和“目標(biāo)指向標(biāo)準(zhǔn)”均呈現(xiàn)域外管轄的立法意圖。經(jīng)營(yíng)場(chǎng)所標(biāo)準(zhǔn)在立法上實(shí)現(xiàn)了屬地原則的技術(shù)性擴(kuò)張，目標(biāo)指向標(biāo)準(zhǔn)則以效果原則為正當(dāng)性基礎(chǔ)主張?jiān)摲ǖ娜蛐怨茌?。域外管轄容易引發(fā)管轄權(quán)沖突，這種沖突不在于立法層面，而在于執(zhí)法層面。合理地設(shè)置歐盟個(gè)人數(shù)據(jù)保護(hù)立法域外管轄之邊界既能在一定程度上對(duì)跨境執(zhí)法等問(wèn)題的妥善解決提供保障，也能夠有效釋明境外企業(yè)開(kāi)展數(shù)據(jù)處理的合規(guī)標(biāo)準(zhǔn)。

同時(shí)，該條規(guī)定過(guò)于原則和抽象，造成域外管轄權(quán)的邊界尚未厘清，缺乏法律的確定性和可預(yù)見(jiàn)性，從而增加了歐盟境外企業(yè)(包括中國(guó)企業(yè)在內(nèi))開(kāi)展歐盟個(gè)人數(shù)據(jù)處理業(yè)務(wù)的合規(guī)風(fēng)險(xiǎn)。如何準(zhǔn)確界定域外管轄的合理邊界以協(xié)調(diào)法律的穩(wěn)定性和靈活性是《條例》第3條在實(shí)踐中面臨的最大問(wèn)題。

(一)歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)提出三項(xiàng)規(guī)制思路

為了更好地澄清《條例》的地域管轄范圍，2018年11月23日，歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)(European Data Protection Body，以下簡(jiǎn)稱EDPB)發(fā)布了《關(guān)于GDPR第3條地域范圍的指引(征求意見(jiàn)稿)》(以下簡(jiǎn)稱《征求意見(jiàn)稿》)(37)全文參見(jiàn)網(wǎng)址：https://edpb.europa.eu/our-work-tools/public-consultations/2018/guidelines-32018-territorial -scope-gdpr-article-3_en，最后訪問(wèn)時(shí)間：2019年7月25日17時(shí)23分。。EDPB是由歐盟各成員國(guó)的數(shù)據(jù)保護(hù)機(jī)構(gòu)指派代表組成的獨(dú)立機(jī)構(gòu)，其前身為第29條工作組(《條例》生效后EDPB代替了它的職能)，主要職能是確保數(shù)據(jù)保護(hù)規(guī)則在歐盟的統(tǒng)一適用以及促進(jìn)歐盟各成員國(guó)監(jiān)管機(jī)構(gòu)之間的合作。這份《征求意見(jiàn)稿》經(jīng)多次全體會(huì)議(plenary meeting)(38)歷次全體會(huì)議的會(huì)議議程參見(jiàn)網(wǎng)址：https://edpb.europa.eu/our-work-tools/our-documents/ publication- type/agenda-meetings_en，最后訪問(wèn)時(shí)間：2019年7月25日18時(shí)10分。充分醞釀和討論后對(duì)外發(fā)布，在域外管轄的合理邊界問(wèn)題上進(jìn)行了三個(gè)方面的有益嘗試：

1. 審慎處理歐盟外數(shù)據(jù)控制者或處理者與歐盟內(nèi)經(jīng)營(yíng)場(chǎng)所之關(guān)系

《條例》第3條第1款的適用不以數(shù)據(jù)處理行為是否由位于“歐盟境內(nèi)的經(jīng)營(yíng)場(chǎng)所”開(kāi)展為前提條件，只要該處理行為發(fā)生在“歐盟境內(nèi)經(jīng)營(yíng)場(chǎng)所的活動(dòng)場(chǎng)景下”，《條例》便對(duì)數(shù)據(jù)控制者或處理者的處理行為具有法律拘束力。對(duì)此，EDPB建議，第3條第1款的適用需要在個(gè)案中根據(jù)具體情況進(jìn)行具體分析，每種情況都必須結(jié)合案件的具體事實(shí)和背景進(jìn)行分析。

EDPB進(jìn)一步指出：一方面，為了實(shí)現(xiàn)有效全面的保護(hù)目標(biāo)，不應(yīng)當(dāng)對(duì)其含義進(jìn)行限縮解釋(39)參見(jiàn)Weltimmo案判決書(shū)第25段以及Google Spain案判決書(shū)第53段。；另一方面，也不應(yīng)進(jìn)行過(guò)于寬泛的解釋，以至于當(dāng)“歐盟境內(nèi)的經(jīng)營(yíng)場(chǎng)所的活動(dòng)場(chǎng)景”與“非歐盟實(shí)體的數(shù)據(jù)處理活動(dòng)”的關(guān)聯(lián)度非常弱時(shí)，錯(cuò)誤地將這種處理納入《條例》的管轄范圍。此外，如果歐盟境內(nèi)的經(jīng)營(yíng)場(chǎng)所在歐盟從事了營(yíng)利活動(dòng)，且若該營(yíng)利活動(dòng)被視為在歐盟境外進(jìn)行的個(gè)人數(shù)據(jù)處理活動(dòng)和歐盟境內(nèi)的個(gè)人數(shù)據(jù)主體是“無(wú)法分割的”，則可以表明“非歐盟的數(shù)據(jù)控制者或處理者進(jìn)行處理活動(dòng)發(fā)生在歐盟境內(nèi)經(jīng)營(yíng)場(chǎng)所的活動(dòng)場(chǎng)景下”，《條例》對(duì)此便可適用于該數(shù)據(jù)處理行為(40)詳見(jiàn)《征求意見(jiàn)稿》第4頁(yè)，參見(jiàn)網(wǎng)址：https://edpb.europa.eu/our-work-tools/public-consultations/2018 /guidelines-32018-territorial-scope-gdpr-article-3_en，最后訪問(wèn)時(shí)間：2019年7月26日9時(shí)6分。。

根據(jù)EDPB對(duì)該問(wèn)題的解釋可知，“無(wú)法割裂的關(guān)系”是判斷歐盟外的數(shù)據(jù)控制者或處理者與歐盟內(nèi)經(jīng)營(yíng)場(chǎng)所之間關(guān)系的關(guān)鍵。但是《征求意見(jiàn)稿》除了列舉兩例虛擬案例(參見(jiàn)該文件中的例2與例3)以外，未對(duì)這個(gè)詞的內(nèi)涵作進(jìn)一步解讀。

2. 注意到數(shù)據(jù)控制者或處理者的不同設(shè)立地點(diǎn)對(duì)域外管轄的影響

數(shù)據(jù)控制者對(duì)數(shù)據(jù)的存儲(chǔ)、收集和處理起著決定性作用，而數(shù)據(jù)處理者僅僅是控制者的代表機(jī)構(gòu)，接受控制者的指示以處理個(gè)人數(shù)據(jù)(41)參見(jiàn)《條例》第4條對(duì)“數(shù)據(jù)控制者”和“處理者”的定義。。EDPB特別指出，設(shè)立在歐盟境內(nèi)的數(shù)據(jù)處理者并不視作為數(shù)據(jù)控制者在歐盟境內(nèi)存在經(jīng)營(yíng)場(chǎng)所。若數(shù)據(jù)控制者或處理者二者之一不在歐盟境內(nèi)，《條例》未必對(duì)二者均適用。

首先，EDPB指出，如果受《條例》調(diào)整的歐盟數(shù)據(jù)控制者委托歐盟境外的數(shù)據(jù)處理者處理數(shù)據(jù)時(shí)，數(shù)據(jù)控制者應(yīng)當(dāng)通過(guò)合同或者其他法律文件確保處理者會(huì)根據(jù)《條例》的要求處理數(shù)據(jù)?！稐l例》第28條第1款規(guī)定，若處理是代表控制者進(jìn)行的，控制者應(yīng)當(dāng)僅使用提供了充分保證的處理者，以實(shí)施適當(dāng)?shù)募夹g(shù)性和組織性措施，使處理達(dá)到本條例的要求?！稐l例》第28條第3款規(guī)定，數(shù)據(jù)處理者的數(shù)據(jù)處理行為應(yīng)當(dāng)受合同或其他法律文件約束。據(jù)此可知，即便數(shù)據(jù)處理者設(shè)立地不在歐盟境內(nèi)，數(shù)據(jù)控制者仍可以通過(guò)合同將《條例》的要求施加到數(shù)據(jù)處理者身上。其次，非歐盟的數(shù)據(jù)控制者是否會(huì)因?yàn)槲袣W盟的數(shù)據(jù)處理者處理數(shù)據(jù)而受到《條例》的管轄？EDPB指出，如果數(shù)據(jù)處理者的處理行為發(fā)生在其位于歐盟的經(jīng)營(yíng)場(chǎng)所的活動(dòng)場(chǎng)景下進(jìn)行的，《條例》能夠管轄該數(shù)據(jù)處理者，但是并不當(dāng)然導(dǎo)致非歐盟的數(shù)據(jù)控制者承擔(dān)《條例》項(xiàng)下數(shù)據(jù)控制者的義務(wù)。

3. 評(píng)估數(shù)據(jù)控制者的主觀意圖和客觀表現(xiàn)

EDPB指出，根據(jù)《條例》第3條第2款，數(shù)據(jù)主體位于歐盟的領(lǐng)土內(nèi)是適用該目標(biāo)指向標(biāo)準(zhǔn)的決定因素，數(shù)據(jù)主體的國(guó)籍和法律地位不能影響和限制本條的適用，應(yīng)當(dāng)重點(diǎn)考察相關(guān)數(shù)據(jù)處理活動(dòng)發(fā)生之時(shí)數(shù)據(jù)主體是否位于歐盟境內(nèi)。如果數(shù)據(jù)活動(dòng)發(fā)生之時(shí)，數(shù)據(jù)主體在歐盟境內(nèi)，《條例》便能管轄該數(shù)據(jù)控制者(無(wú)論該數(shù)據(jù)控制者的位置)。此外，數(shù)據(jù)控制者或處理者的行為是否表明了其向歐盟境內(nèi)數(shù)據(jù)主體提供商品或服務(wù)的意圖或者實(shí)施監(jiān)控，也是關(guān)鍵性考察因素之一。

值得指出的是，EDPB在考量有關(guān)“目標(biāo)指向標(biāo)準(zhǔn)”的適用標(biāo)準(zhǔn)時(shí)，并未嚴(yán)格區(qū)分域內(nèi)管轄和域外管轄的不同情形，而且以“行為”的主觀意圖作為考量要素，只要符合了針對(duì)歐盟的數(shù)據(jù)主體提供服務(wù)或商品，抑或監(jiān)控行為的客觀標(biāo)準(zhǔn)，無(wú)論是歐盟境內(nèi)的數(shù)據(jù)控制者還是歐盟境外的數(shù)據(jù)控制者，《條例》均可適用。從這一意義上來(lái)說(shuō)，“目標(biāo)指向標(biāo)準(zhǔn)”體現(xiàn)出了歐盟從“行為主體”到“行為”的數(shù)據(jù)保護(hù)思維轉(zhuǎn)變，著眼于“行為”背后的主觀意圖，希望克服云計(jì)算等技術(shù)進(jìn)步帶來(lái)的管轄困境，在立法上主張全球性管轄。

(二)法律確定性和靈活性的協(xié)調(diào)困境

EDPB試圖通過(guò)《征求意見(jiàn)稿》厘清“經(jīng)營(yíng)場(chǎng)所標(biāo)準(zhǔn)”和“目標(biāo)指向標(biāo)準(zhǔn)”域外管轄的合理邊界。一方面，EDPB力求盡可能全面保護(hù)歐盟市場(chǎng)和歐盟公民，另一方面，盡可能避免對(duì)管轄權(quán)進(jìn)行過(guò)于寬泛的解釋從而導(dǎo)致未來(lái)的跨境執(zhí)法沖突難以協(xié)調(diào)。但是，筆者認(rèn)為，即便《征求意見(jiàn)稿》苦心孤詣地追求域外管轄權(quán)的法律確定性以回應(yīng)域外數(shù)據(jù)控制者或處理者對(duì)《條例》地域范圍過(guò)于抽象的質(zhì)疑，但是此類解釋性文件的作用有限，主要原因在于它無(wú)法兼顧和解決法律確定性和靈活性問(wèn)題。

EDPB通過(guò)結(jié)合歐盟法院的判例、第29條工作組的意見(jiàn)性文件、《95指令》及其鑒于條款的表述和主旨精神，對(duì)《條例》第3條的規(guī)則進(jìn)行“庖丁解?！笔降牟鸾?，甚至運(yùn)用陳述虛擬案例的方式以解釋抽象的法律條文。這樣的解釋思路是否真的能夠合理地厘清域外管轄在立法層面的邊界問(wèn)題暫且不論，單單這種“總結(jié)過(guò)去以啟示未來(lái)”的解釋思路似乎存在邏輯上的問(wèn)題。例如，Google Spain案和Weltimmo案均是在《95指令》的法律框架下進(jìn)行審理的，正是對(duì)《95指令》條文的技術(shù)性解釋，在原有的立法背景發(fā)生巨大變化的情況下創(chuàng)新性地提出了“無(wú)法割裂的聯(lián)系”，從而實(shí)現(xiàn)了對(duì)歐盟境外企業(yè)的域外管轄。這一司法裁判要旨遂成為《條例》的立法背景資料。

技術(shù)進(jìn)步使得法律的滯后性問(wèn)題日益凸顯，為了使現(xiàn)有之條文能夠解釋技術(shù)帶來(lái)的新現(xiàn)象，需要對(duì)法律條文進(jìn)行技術(shù)性解釋，盡管技術(shù)性解釋增強(qiáng)了法律適用的靈活性，但是深刻妨礙了法律穩(wěn)定性和確定性的有效實(shí)現(xiàn)。如果法律條文已經(jīng)因?yàn)椤俺L(zhǎng)服役”而無(wú)法解決技術(shù)帶來(lái)的法律適用方面的難題，制定新法便勢(shì)在必行。這就是《95指令》發(fā)展為《條例》的真正原因。從某種意義上來(lái)講，域外管轄的合理邊界難以通過(guò)立法予以明確界定，合理邊界的“拉鋸戰(zhàn)”可能出現(xiàn)在跨國(guó)訴訟和跨境執(zhí)法的個(gè)案之中。

五、《條例》主張域外管轄對(duì)中國(guó)的影響與啟示

《條例》第3條有關(guān)地域管轄范圍并未專門規(guī)定域外管轄，而是將域內(nèi)管轄和域外管轄雜糅于一條。歐盟通過(guò)對(duì)境外的數(shù)據(jù)控制者或者處理者針對(duì)歐盟境內(nèi)數(shù)據(jù)主體的數(shù)據(jù)處理行為進(jìn)行管轄，重點(diǎn)關(guān)注管轄權(quán)的域內(nèi)側(cè)面，以保障在歐盟域內(nèi)收獲法律的規(guī)制效果，以實(shí)現(xiàn)這部國(guó)內(nèi)立法的基本價(jià)值(42)Szigeti, Péter D. The Illusion of Territorial Jurisdiction. Texas International Law Journal, 2017.p52.。這樣的立法動(dòng)向?qū)?duì)中國(guó)企業(yè)產(chǎn)生較大影響，同時(shí)對(duì)中國(guó)的相關(guān)立法具有積極的啟示意義。

(一)影響中國(guó)“涉歐”企業(yè)的合規(guī)策略

對(duì)中國(guó)企業(yè)而言，《條例》第3條以及EDPB計(jì)劃發(fā)布的指南將對(duì)我國(guó)企業(yè)涉及歐盟境內(nèi)數(shù)據(jù)主體的數(shù)據(jù)處理業(yè)務(wù)進(jìn)行合規(guī)審查提供了重要參考和借鑒，我國(guó)企業(yè)應(yīng)當(dāng)對(duì)此給予高度重視。不論是否在歐盟境內(nèi)設(shè)立經(jīng)營(yíng)場(chǎng)所的中國(guó)企業(yè)均有可能受到《條例》第3條的影響。

對(duì)已經(jīng)在歐盟境內(nèi)設(shè)立了經(jīng)營(yíng)場(chǎng)所的中國(guó)企業(yè)而言，即便針對(duì)歐盟境內(nèi)數(shù)據(jù)主體的數(shù)據(jù)處理行為并未在經(jīng)營(yíng)場(chǎng)所內(nèi)展開(kāi)，只要“數(shù)據(jù)處理行為發(fā)生在此經(jīng)營(yíng)場(chǎng)所開(kāi)展活動(dòng)的場(chǎng)景中”，《條例》也能將它納入管轄。企業(yè)應(yīng)當(dāng)高度重視歐盟法院的相關(guān)判例要旨，厘清“經(jīng)營(yíng)場(chǎng)所”“開(kāi)展活動(dòng)的場(chǎng)景”等重要概念的適用標(biāo)準(zhǔn)，以免因?yàn)槭韬龃笠舛患{入監(jiān)管范圍。符合《條例》管轄范圍的中國(guó)企業(yè)應(yīng)認(rèn)真評(píng)估合規(guī)成本，將《條例》對(duì)企業(yè)的影響上升到經(jīng)營(yíng)決策的高度。對(duì)于在歐盟境內(nèi)的業(yè)務(wù)規(guī)模不大的企業(yè)來(lái)說(shuō)，甚至可以考慮是否有必要撤出歐盟市場(chǎng)以另尋商機(jī)。

對(duì)于未在歐盟境內(nèi)設(shè)立經(jīng)營(yíng)場(chǎng)所的中國(guó)企業(yè)而言，一旦它們的數(shù)據(jù)處理行為發(fā)生在向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)的過(guò)程中(無(wú)論此項(xiàng)商品或服務(wù)是否需要數(shù)據(jù)主體支付對(duì)價(jià))，抑或是數(shù)據(jù)控制者或處理者對(duì)數(shù)據(jù)主體發(fā)生在歐盟內(nèi)的行為進(jìn)行監(jiān)控，《條例》便對(duì)它們產(chǎn)生法律拘束力。中國(guó)企業(yè)應(yīng)當(dāng)高度重視歐盟數(shù)據(jù)保護(hù)立法從“規(guī)制行為主體”到“規(guī)制行為”的思維轉(zhuǎn)變，從“向特定數(shù)據(jù)主體提供產(chǎn)品或服務(wù)的主觀意圖”和“對(duì)數(shù)據(jù)主體在歐盟內(nèi)發(fā)生的監(jiān)控行為的客觀要素”兩個(gè)方面對(duì)數(shù)據(jù)處理行為進(jìn)行綜合評(píng)估。對(duì)于這一類企業(yè)而言，應(yīng)當(dāng)認(rèn)真研究《條例》第27條有關(guān)“設(shè)立代表”的具體規(guī)定。該條專門適用于歐盟境內(nèi)沒(méi)有經(jīng)營(yíng)場(chǎng)所的境外數(shù)據(jù)控制者或處理者，要求這類主體應(yīng)當(dāng)以書(shū)面方式指定一名在歐盟的代表。代表一般為自然人或者法人，受制于數(shù)據(jù)控制者或者處理者的授權(quán)。歐盟境內(nèi)的數(shù)據(jù)保護(hù)機(jī)構(gòu)可以通過(guò)代表與歐盟境外的數(shù)據(jù)控制者或者處理者建立聯(lián)系以便于執(zhí)法。企業(yè)應(yīng)當(dāng)高度重視這項(xiàng)新制度。

(二)促進(jìn)我國(guó)立法機(jī)關(guān)的科學(xué)決策

雖然已經(jīng)有不少對(duì)《條例》的批評(píng)聲音，在第3條項(xiàng)下開(kāi)展域外管轄的實(shí)際效果有待檢驗(yàn)，但是并不妨礙我國(guó)立法機(jī)關(guān)從立法管轄權(quán)的角度，審慎思考是否有必要在未來(lái)的《個(gè)人信息保護(hù)法》中納入域外管轄條款。對(duì)立法機(jī)關(guān)而言，借鑒歐盟立法并不意味著“亦步亦趨”或者“照搬照抄”，而是結(jié)合中國(guó)國(guó)情，進(jìn)行科學(xué)的立法決策。筆者認(rèn)為，立法過(guò)程中應(yīng)當(dāng)妥善解決以下三大問(wèn)題：

1. 主張域外管轄權(quán)應(yīng)當(dāng)以完善個(gè)人信息相關(guān)國(guó)內(nèi)立法為前提。目前我國(guó)的個(gè)人信息權(quán)的權(quán)利屬性尚未在民事立法中予以明確，要擴(kuò)張域外管轄權(quán)必須完善國(guó)內(nèi)實(shí)體性立法。否則，即便實(shí)施此類保護(hù)也僅僅是“無(wú)根之木、無(wú)源之水”。

2. 制定和實(shí)施域外管轄權(quán)應(yīng)當(dāng)符合比例原則。國(guó)內(nèi)法的域外管轄?wèi)?yīng)當(dāng)符合比例原則，不能違反國(guó)際法基本原則，不能隨意地開(kāi)展跨境執(zhí)法。立法時(shí)不應(yīng)當(dāng)隨心所欲，應(yīng)當(dāng)考慮法律的適用效果，厘清個(gè)人信息保護(hù)的域外管轄邊界。

3. 應(yīng)當(dāng)注意域外管轄規(guī)則與其他部門法之間的協(xié)調(diào)性問(wèn)題。由于域外管轄制度的規(guī)制效果是將境外數(shù)據(jù)控制者或處理者納入到該法實(shí)體性規(guī)范的調(diào)整之中，立法機(jī)關(guān)應(yīng)當(dāng)充分考慮《個(gè)人信息保護(hù)法》的域外管轄規(guī)則與我國(guó)程序法律、刑事法律等法律的協(xié)調(diào)問(wèn)題，從而實(shí)現(xiàn)“試圖管轄”到“有效管轄”的適用效果。

六、結(jié)語(yǔ)

《條例》第3條反映了個(gè)人數(shù)據(jù)保護(hù)法的域外管轄現(xiàn)象，從國(guó)際法角度來(lái)看，合法性問(wèn)題不存在質(zhì)疑，合理性的判斷有賴于管轄邊界的進(jìn)一步厘定。域外管轄的法律實(shí)施效果有待執(zhí)法和司法活動(dòng)的實(shí)踐檢驗(yàn)。我國(guó)的立法機(jī)關(guān)應(yīng)當(dāng)高度關(guān)注該法的域外實(shí)施情況，為設(shè)定我國(guó)《個(gè)人信息保護(hù)法》的地域管轄范圍提供域外經(jīng)驗(yàn)，兼顧個(gè)人信息權(quán)和其他法律價(jià)值的實(shí)現(xiàn)；我國(guó)企業(yè)應(yīng)該實(shí)時(shí)跟蹤外國(guó)企業(yè)的合規(guī)策略，在商業(yè)利益與隱私保護(hù)之間尋找合適的平衡點(diǎn)。