俞勝杰 林燕萍

摘 要：《通用數(shù)據(jù)保護條例》（簡稱GDPR）在立法上擴張地域適用范圍。根據(jù)“經(jīng)營場所標(biāo)準(zhǔn)”，如果歐盟境外數(shù)據(jù)控制者或處理者的數(shù)據(jù)處理行為被認(rèn)定與歐盟境內(nèi)經(jīng)營場所開展的業(yè)務(wù)存在“無法割裂的聯(lián)系”，GDPR有權(quán)管轄該行為;“目標(biāo)指向標(biāo)準(zhǔn)”適用于歐盟境外的數(shù)據(jù)控制者或處理者開展針對歐盟境內(nèi)數(shù)據(jù)主體的個人數(shù)據(jù)處理行為。實踐中，“經(jīng)營場所標(biāo)準(zhǔn)”客觀上引起不同法域間法律價值沖突，應(yīng)當(dāng)運用比例原則進行協(xié)調(diào)，與“目標(biāo)指向標(biāo)準(zhǔn)”相配套的“代表制度”存在明顯的適用困境。我國應(yīng)該借鑒GDPR的立法經(jīng)驗，吸收“經(jīng)營場所標(biāo)準(zhǔn)”，將“雙重違反原則”引入“目標(biāo)指向標(biāo)準(zhǔn)”，并以此建立雙邊執(zhí)法合作機制，充分保護我國公民的個人信息。

關(guān)鍵詞：地域適用范圍;域外效力;云計算;個人信息保護法;立法管轄權(quán)

基金項目：國家社會科學(xué)基金項目“數(shù)字貿(mào)易國際規(guī)則的新發(fā)展及中國法律對策研究”（17BFX216）;司法部國家法治與法學(xué)理論研究項目重點課題“美國經(jīng)濟制裁法律的域外適用與中國對策研究”（19SFB1009）;華東政法大學(xué)優(yōu)秀博士論文培育項目“個人數(shù)據(jù)保護法的域外適用研究”（2019-1-013）。

[中圖分類號] DF96 [文章編號] 1673-0186（2020）006-0062-018

[文獻標(biāo)識碼] A? ? ? [DOI編碼] 10.19631/j.cnki.css.2020.006.006

一、問題的提出

21世紀(jì)以來，隨著社會網(wǎng)絡(luò)、云計算、無線射頻識別、設(shè)備定位和運用定位、數(shù)據(jù)挖掘和大數(shù)據(jù)分析等現(xiàn)代信息技術(shù)的不斷進步，互聯(lián)網(wǎng)深度融入了人類生活和工作的方方面面，同時促進了數(shù)字經(jīng)濟的蓬勃發(fā)展。但是，個人信息保護的形勢卻不容樂觀。近年來，全球性大企業(yè)的數(shù)據(jù)泄露事件頻頻曝出①。在“萬物互聯(lián)”的背景下，一項亟待解決的網(wǎng)絡(luò)治理難題擺在世界各國政府的面前：如何在合理兼顧商業(yè)利益的同時，及時、充分和有效地保護本國公民的個人信息？①

目前我國正在研究、制定《個人信息保護法》②，國內(nèi)民法學(xué)界針對個人信息權(quán)的權(quán)屬性質(zhì)、個人信息權(quán)與人格權(quán)的關(guān)系、個人信息權(quán)的私法保護等問題展開了熱烈討論。從另一個視角看：由于互聯(lián)網(wǎng)的無界性、個人數(shù)據(jù)的跨境性以及數(shù)據(jù)處理活動的全球性，未來出臺的《個人信息保護法》應(yīng)該具備國際視野。甚至有學(xué)者認(rèn)為，個人信息保護早已突破了國內(nèi)法的藩籬，成為國際法上的重要議題[1]。有一個重要問題值得在國際法框架下進行討論：如果我國境外的數(shù)據(jù)控制者或處理者處理了我國公民的個人信息，我國未來出臺的《個人信息保護法》是否可以對該行為進行管轄？即《個人信息保護法》的域外效力問題。

2018年5月25日開始生效的歐盟《通用數(shù)據(jù)保護條例》是在數(shù)字經(jīng)濟重塑人類生活的大背景下歐盟數(shù)據(jù)治理改革的里程碑事件，也是迄今為止全球范圍內(nèi)最具影響力的個人數(shù)據(jù)保護立法之一。歐盟立法機關(guān)通過制定寬泛的地域適用范圍條款以賦予GDPR域外效力，旨在對作為基本權(quán)利的個人數(shù)據(jù)權(quán)提供全球范圍內(nèi)的充分保護，并試圖通過該法擴張地域管轄，這種擴張具有全球影響力。

本文試圖通過研究并分析GDPR地域范圍的適用標(biāo)準(zhǔn)和規(guī)制思路，評估GDPR生效一年以來的域外實施效果，反思GDPR設(shè)定管轄邊界的合理性，進而為我國正在制定中的《個人信息保護法》的域外效力規(guī)則提出合理建議。

二、GDPR域外效力的規(guī)制邏輯

法律的域外效力是指一國法律對發(fā)生在其管轄領(lǐng)土范圍以外的某些事項具有法律拘束力[2]。

國家可以在國際法允許的范圍內(nèi)，通過在立法上擴張某一項法律的地域適用范圍或?qū)ο筮m用范圍以賦予該法的域外效力[3]，這本身是國家行使立法管轄權(quán)的外在表現(xiàn)?？v觀世界各國的立法進程，包括刑法、反壟斷法、證券法在內(nèi)的許多部門法都曾先后出現(xiàn)主張法律域外效力的情形。一國可以通過巧妙地制定法律的地域適用范圍條款，對發(fā)生在該國境外的行為主張管轄權(quán)。國家行使這類立法管轄權(quán)的前提條件是：該行為與管轄權(quán)之間應(yīng)該存在“實質(zhì)且善意”的聯(lián)系，且這種管轄不能干涉他國國內(nèi)管轄權(quán)或?qū)俚毓茌牂?quán)[4]。

歐盟雖然不是國家，但同樣具備國際法主體資格，歐盟層面制定的條例對歐盟內(nèi)部成員國具有直接適用性[5]。GDPR作為歐盟個人數(shù)據(jù)保護領(lǐng)域的立法成果，雖是歐盟立法，但該法的適用卻未止于歐盟疆界。GDPR第3條系地域適用范圍條款①，通過“經(jīng)營場所標(biāo)準(zhǔn)”（establishment criterion）和“目標(biāo)指向標(biāo)準(zhǔn)”（targeting criterion）設(shè)定了寬泛的地域管轄范圍[6]。根據(jù)第3（1）條的 “經(jīng)營場所標(biāo)準(zhǔn)”，如果個人數(shù)據(jù)的控制者或者處理者在歐盟境內(nèi)設(shè)立了經(jīng)營場所（establishment），在經(jīng)營場所開展業(yè)務(wù)的場景下發(fā)生的數(shù)據(jù)處理行為受到該法管轄，無論數(shù)據(jù)處理行為的具體位置是否在歐盟境內(nèi);根據(jù)第3（2）條的“目標(biāo)指向標(biāo)準(zhǔn)”，該法的地域適用范圍進一步延展至在歐盟境內(nèi)沒有設(shè)立經(jīng)營場所的數(shù)據(jù)控制者或處理者，它們直接收集、處理或者監(jiān)控歐盟境內(nèi)數(shù)據(jù)主體個人數(shù)據(jù)的行為也將被納入GDPR的管轄范圍。

歐盟在GDPR立法過程中主張擴張地域范圍，在數(shù)據(jù)處理行為的監(jiān)管思路上之所以選擇單邊主義的立場，在一定程度上，囿于現(xiàn)有國際法規(guī)則提供個人數(shù)據(jù)保護具有局限性和非充分性。從技術(shù)發(fā)展角度和歐盟自身處境看，既有應(yīng)對云計算技術(shù)引發(fā)管轄困境的考慮，也充分體現(xiàn)了歐盟通過個人數(shù)據(jù)權(quán)以爭奪全球數(shù)據(jù)競爭話語權(quán)的決心。

（一）GDPR主張域外效力的立法動因

1.現(xiàn)有國際合作機制無法充分保護個人數(shù)據(jù)權(quán)

無論從雙邊或者多邊層面來看，個人數(shù)據(jù)保護的國際合作效果均比較有限。

從雙邊層面看，現(xiàn)有合作呈現(xiàn)出“規(guī)則碎片化”“理念差異化”和“談判高成本”的特點。由于美國和歐盟在個人信息權(quán)利性質(zhì)、隱私內(nèi)涵理解、數(shù)據(jù)分享方式、執(zhí)法監(jiān)督路徑等各方面均未能達(dá)成共識[7]，美歐僅在諸如《歐盟—美國雙邊司法互助協(xié)定》《旅客訂座記錄協(xié)定》《環(huán)球銀行金融電信協(xié)會協(xié)定》等跨境數(shù)據(jù)交換協(xié)定中制定特殊的數(shù)據(jù)保護條款，條款分布呈現(xiàn)“碎片化”特征，且不同領(lǐng)域的數(shù)據(jù)保護標(biāo)準(zhǔn)各不相同。在個人數(shù)據(jù)跨境傳輸方面，美歐先后制定了《安全港協(xié)議》和《隱私盾協(xié)議》。因為“斯諾登事件”的曝光，《安全港協(xié)議》于2015年10月6日被歐盟法院裁定無效②。經(jīng)過反復(fù)磋商和談判，美歐終于在2016年7月12日達(dá)成《隱私盾協(xié)議》。由于雙方在個人數(shù)據(jù)保護方式、思路、宗旨等方面存在著巨大差異，該協(xié)議從本質(zhì)上看，仍然是相互妥協(xié)、讓步的產(chǎn)物。該協(xié)議在一定程度上為歐盟和美國企業(yè)的商業(yè)活動提供了制度支持和保障，進一步強調(diào)了對歐盟公民個人數(shù)據(jù)的保護力度，但是程序性規(guī)章的宣示意義大于實質(zhì)意義[8]。如果以歐盟公民的個人數(shù)據(jù)在全球范圍內(nèi)得到充分保護為目的，商簽雙邊條約的談判成本過高，效果具有明顯的局限性。

從多邊角度來看，現(xiàn)有國際規(guī)則普遍缺乏法律拘束力。無論是1980年經(jīng)濟合作與發(fā)展組織（OECD）制定的《隱私保護和個人數(shù)據(jù)跨境流動指南》（經(jīng)2013年修訂）、1990年聯(lián)合國制定的《關(guān)于計算機化個人資料的處理指南》，還是2004年亞太經(jīng)合組織（APEC）制定的《APEC隱私框架》，均僅有軟法色彩，并不具有法律拘束力[9]。即便是于2012年正式啟動的、以《APEC隱私框架》為基礎(chǔ)構(gòu)建起來的《跨境隱私規(guī)則體系》（CBPR）也僅僅約束自愿加入的成員經(jīng)濟體的企業(yè)，對體系外的企業(yè)沒有約束力[10]。

此外，歐盟制定的國際條約提出了非常嚴(yán)格的數(shù)據(jù)保護標(biāo)準(zhǔn)。1981年制定的《關(guān)于個人數(shù)據(jù)自動化處理的個人保護公約》（以下簡稱“《108公約》”）經(jīng)過1999年、2001年和2012年三次補充和修訂，完成了該條約的現(xiàn)代化改革。雖然該條約向非歐盟國家開放加入，根據(jù)第27條（非成員國或國際組織的加入）規(guī)定，該公約的加入方式并非采用“申請制”，而是“邀請制”。公約委員會應(yīng)該在新的締約國加入前，充分評估該國的個人數(shù)據(jù)保護水平是否符合本公約的規(guī)定，能夠確保在締約方管轄的公共和私人領(lǐng)域范圍內(nèi)，所有個體的個人數(shù)據(jù)在被處理時均得到有效的保護，從而使個體權(quán)利（尤其是隱私權(quán)）和基本自由得到尊重。到目前為止，締約方中歐洲理事會成員國26個，非歐洲理事會成員國僅有烏拉圭。歐盟以外的大部分國家均未加入該條約。

正是由于雙邊規(guī)則存在規(guī)則碎片化、理念差異化和談判成本高的特點，多邊規(guī)則呈現(xiàn)軟法特征而缺乏法律拘束力，歐盟主導(dǎo)的國際條約設(shè)定了過于嚴(yán)苛的數(shù)據(jù)保護標(biāo)準(zhǔn)等客觀事實的存在，歐盟只能寄希望于擴大GDPR的地域適用范圍，將單邊方法運用于在全球范圍內(nèi)開展的涉及歐盟個人數(shù)據(jù)的處理行為。

2.有必要對信息技術(shù)的迅猛發(fā)展作出立法回應(yīng)

傳統(tǒng)法律大多在民族國家范圍內(nèi)實施，國家地理疆域一般便是法律的地域適用范圍[11]。但是隨著信息技術(shù)的迅猛發(fā)展，互聯(lián)網(wǎng)越來越呈現(xiàn)出遠(yuǎn)程化、全球化和虛擬化的特點。在大數(shù)據(jù)時代，各類互聯(lián)網(wǎng)企業(yè)開展的數(shù)據(jù)收集和處理活動往往有賴于云計算提供技術(shù)支持①，全球性的互聯(lián)網(wǎng)公司通過移動終端、應(yīng)用軟件收集來自世界各國數(shù)據(jù)主體的海量數(shù)據(jù)，通過云計算開展數(shù)據(jù)挖掘和大數(shù)據(jù)分析業(yè)務(wù)，以期攫取更大的商業(yè)價值;小型互聯(lián)網(wǎng)企業(yè)同樣可以通過向云計算公司購買有關(guān)個人數(shù)據(jù)的收集、分析和處理服務(wù)。

從服務(wù)方式分類來看，大致可以分為“軟件服務(wù)”（Cloud Software as a Service）、“平臺服務(wù)”（Cloud Platform as a Service）和“基礎(chǔ)設(shè)施服務(wù)”（Cloud Infrastructure as a Service）三種類型①。以云計算平臺為例，目前大致分為以數(shù)據(jù)存儲為主的存儲型云平臺、以數(shù)據(jù)處理為主的計算型云平臺以及兼具計算和數(shù)據(jù)存儲處理的綜合云平臺[12]。云服務(wù)提供者可能兼具數(shù)據(jù)控制者和處理者的雙重身份：當(dāng)他控制著基礎(chǔ)設(shè)施時，則是數(shù)據(jù)處理者;當(dāng)他可以按照一定目的自由地決定個人數(shù)據(jù)處理時，則是數(shù)據(jù)控制者。更為復(fù)雜的是，在云計算環(huán)境下，個人數(shù)據(jù)存儲地和處理特定個人信息的設(shè)備所在地難以精準(zhǔn)確定，數(shù)據(jù)處理行為的發(fā)生地具有模糊性[13]。在歐盟境外，大量依托云計算技術(shù)開展的針對歐盟公民的個人數(shù)據(jù)處理行為頻繁發(fā)生。

毫不夸張地說，云計算技術(shù)的迅猛發(fā)展使得互聯(lián)網(wǎng)經(jīng)濟發(fā)展業(yè)態(tài)“日新月異”。歐盟立法機關(guān)在制定GDPR過程中已經(jīng)充分意識到這一現(xiàn)象，并在GDPR序言部分的第6段指出，科技快速發(fā)展及全球化進程為個人數(shù)據(jù)保護帶來了新的挑戰(zhàn)。收集和分享個人數(shù)據(jù)的規(guī)模顯著提高。因此，對信息技術(shù)迅猛發(fā)展作出有效的立法回應(yīng)成為GDPR主張域外效力的立法動因之一。

3.歐盟試圖將個人數(shù)據(jù)權(quán)作為參與互聯(lián)網(wǎng)產(chǎn)業(yè)競爭的工具

在互聯(lián)網(wǎng)的虛擬空間里，個人用戶處于相對弱勢的地位。例如，個人用戶向互聯(lián)網(wǎng)企業(yè)提交了享受線上服務(wù)所必需的個人信息之后，便成為了數(shù)據(jù)主體?！按_保數(shù)據(jù)主體能夠在互聯(lián)網(wǎng)產(chǎn)業(yè)中得到充分保護”成為歐盟個人信息保護立法的邏輯起點。

根據(jù)《歐盟基本權(quán)利憲章》第8條②，歐盟公民享有個人信息權(quán)。這類權(quán)利僅僅是歐盟內(nèi)部的基本權(quán)利，僅歐盟公民才能享有。同時，《歐盟基本權(quán)利憲章》第51條（適用范圍）規(guī)定：“本憲章之各項規(guī)定依輔助原則適用于歐洲聯(lián)盟各機構(gòu)及部門并適用于各成員國實踐歐盟法的過程中”。歐洲議會以充分保護個人信息權(quán)為目的研究和制定了GDPR。從更有效地實踐歐盟法的角度出發(fā)，如果一項數(shù)據(jù)處理行為可能影響（或者妨礙）歐盟公民個人信息權(quán)的實現(xiàn)，即便該數(shù)據(jù)處理行為發(fā)生在歐盟境外，GDPR依然能夠?qū)υ撔袨橹鲝埞茌?。為保護歐盟基本權(quán)利視閾下的個人信息權(quán)，確乎可以從歐盟法法理上為GDPR主張域外效力提供正當(dāng)性基礎(chǔ)。

在“互聯(lián)網(wǎng)女皇”瑪麗·米克爾（Mary Meeker）發(fā)布的《2018互聯(lián)網(wǎng)發(fā)展趨勢報告》中③，全球市值最大的20個互聯(lián)網(wǎng)領(lǐng)軍企業(yè)中有11個來自美國，9個來自中國。作為世界主要經(jīng)濟體的歐盟竟然沒有一家企業(yè)上榜，歐盟互聯(lián)網(wǎng)企業(yè)在全球互聯(lián)網(wǎng)產(chǎn)業(yè)中已經(jīng)幾乎沒有競爭優(yōu)勢。

谷歌、臉書、支付寶等全球性互聯(lián)網(wǎng)公司通過搜索引擎、瀏覽器、聊天工具、支付工具等各類應(yīng)用軟件收集來自歐盟境內(nèi)數(shù)據(jù)主體的海量數(shù)據(jù)，利用大數(shù)據(jù)分析技術(shù)來識別包括用戶興趣愛好、工作地點、消費能力以及日常活動軌跡在內(nèi)的各類個人信息，并據(jù)此開展深度數(shù)據(jù)開發(fā)，以期攫取更大的商業(yè)價值。歐盟陷入了“互聯(lián)網(wǎng)服務(wù)輸入國”和“個人數(shù)據(jù)輸出國”的尷尬境地。有學(xué)者認(rèn)為，歐盟只有通過“權(quán)利”這個最具正當(dāng)性的工具，以強調(diào)個人信息權(quán)保護為由，以一種正義的姿態(tài)打壓包括谷歌公司在內(nèi)的美國互聯(lián)網(wǎng)企業(yè)，防止其形成事實壟斷[14]。互聯(lián)網(wǎng)的無界性、個人數(shù)據(jù)天然的跨境屬性決定了歐盟需要強調(diào)個人數(shù)據(jù)權(quán)，通過設(shè)定嚴(yán)格的數(shù)據(jù)保護標(biāo)準(zhǔn)，調(diào)整用戶（數(shù)據(jù)主體）和全球范圍內(nèi)的互聯(lián)網(wǎng)企業(yè)（數(shù)據(jù)控制者或者處理者）之間的力量對比。據(jù)此，歐盟才有可能成為全球互聯(lián)網(wǎng)產(chǎn)業(yè)競爭中的重要組成部分。

（二）地域適用范圍條款的立法沿革：從《指令》到GDPR

根據(jù)GDPR序言部分的第171段，《條例》一經(jīng)生效，1995年制定的《歐盟個人數(shù)據(jù)保護指令》（以下簡稱《指令》）同時廢止?！吨噶睢返?條（應(yīng)適用的國內(nèi)法）①為《條例》第3條（地域范圍）所取代。

值得注意的是，由于《指令》不同于條例性質(zhì)的歐盟法律，其并不對個人創(chuàng)設(shè)權(quán)利義務(wù)，一般而言，其調(diào)整的對象往往是成員國[15]。因此，第4條在很大程度上同時發(fā)揮了沖突規(guī)范的功能，主要用于緩解和消弭個人數(shù)據(jù)保護層面各國法律沖突[16]，在明確具體行為將會落入《指令》的地域范圍之后，進一步解決究竟適用哪一成員國的個人數(shù)據(jù)保護實體性規(guī)則的準(zhǔn)據(jù)法問題。

《指令》第4（1）條作為該法的地域范圍條款，該條款根據(jù)“經(jīng)營場所是否在歐盟境內(nèi)”作為分類標(biāo)準(zhǔn)，明確了何種個人數(shù)據(jù)的處理行為將落入《指令》的地域適用范圍;該條包含了是否應(yīng)該適用歐盟成員國法的兩項標(biāo)準(zhǔn)：其一，根據(jù)數(shù)據(jù)控制者“經(jīng)營場所”的具體位置確定歐盟是否對此擁有管轄權(quán)，即“經(jīng)營場所標(biāo)準(zhǔn)”（《指令》第4（1）a條）;以數(shù)據(jù)處理為目的而使用的“設(shè)備”（equipment）的具體位置確定歐盟對此是否擁有管轄權(quán)，即“設(shè)備使用標(biāo)準(zhǔn)”（《指令》第4（1）c條）。通過對比條文，可以發(fā)現(xiàn)兩部法律地域范圍條款之間存在著明顯的內(nèi)部繼承關(guān)系：一方面，“經(jīng)營場所標(biāo)準(zhǔn)”得到保留，但是GDPR第3（1）條中有“無論其處理行為是否發(fā)生在歐盟境內(nèi)”的表述，該條具有主張域外效力的特點，而《指令》未明確這一點。另一方面，“目標(biāo)指向標(biāo)準(zhǔn)”取代了原來的“設(shè)備使用標(biāo)準(zhǔn)”，GDPR放棄了原來依據(jù)處理數(shù)據(jù)的設(shè)備位置來確定準(zhǔn)據(jù)法的做法，轉(zhuǎn)變成為依據(jù)特定域內(nèi)數(shù)據(jù)處理行為來確定法律適用的地域范圍[17]。

（三）通過“經(jīng)營場所標(biāo)準(zhǔn)”主張域外效力

根據(jù)“經(jīng)營場所標(biāo)準(zhǔn)”，在歐盟境內(nèi)設(shè)有經(jīng)營場所的數(shù)據(jù)控制者或數(shù)據(jù)處理者，只要數(shù)據(jù)處理行為發(fā)生在此經(jīng)營場所開展活動的場景中，即使實際的數(shù)據(jù)處理活動不在歐盟境內(nèi)發(fā)生，GDPR有權(quán)管轄該數(shù)據(jù)處理行為。

1.對“經(jīng)營場所”的理解

《指令》序言部分的第19段界定了“經(jīng)營場所”的基本含義：“在成員國境內(nèi)設(shè)立機構(gòu)意味著它可以通過穩(wěn)定的安排開展真實而有效的活動;此類機構(gòu)的法律形式（無論是簡單的分支機構(gòu)還是具有法人資格的子公司）并不是在這方面的決定性因素?！?010年12月16日，第29條工作組①發(fā)布意見性文件Opinion 8/2010 on applicable law。該文件提出，識別“經(jīng)營場所”的關(guān)鍵在于判斷涉案的數(shù)據(jù)控制者實施了有效而真實的活動。歐盟法院通過Weltimmo案對“經(jīng)營場所”的判斷標(biāo)準(zhǔn)問題予以了明確，該案的佐審官Pedro Cruz Villalón認(rèn)為應(yīng)該采用“兩步分析法”：第一步為判斷數(shù)據(jù)控制者在歐盟成員國境內(nèi)是否建立了某個“經(jīng)營場所”;第二步為某項特殊的數(shù)據(jù)處理行為是否是在這一經(jīng)營場所開展活動的場景中發(fā)生的②。該案的判決意見將“經(jīng)營場所”的概念延伸至通過穩(wěn)定的安排進行的任何真正而有效的活動，甚至是最小體量的活動。為了確定歐盟以外的實體在成員國是否有經(jīng)營場所，必須基于活動和提供服務(wù)的特定性質(zhì)來判斷安排的穩(wěn)定性程度和在該成員國從事活動的有效性（尤其是對于那些通過互聯(lián)網(wǎng)提供服務(wù)的企業(yè)），當(dāng)數(shù)據(jù)控制者的核心活動涉及在線提供服務(wù)時，“穩(wěn)定的安排”的認(rèn)定標(biāo)準(zhǔn)實際上非常低。因此，在某些情形下，如果雇員和代理人的行為非常穩(wěn)定，非歐盟實體的單一雇員或代理人的存在足以構(gòu)成“穩(wěn)定的安排”。在2019年11月12日EDPB③發(fā)布的《關(guān)于GDPR地域范圍的第3/2018號指南》（以下簡稱《指南》）④中，EDPB確認(rèn)了上述分析，并進一步指出，GDPR是否管轄某一數(shù)據(jù)處理行為，取決于數(shù)據(jù)處理行為是否是在歐盟雇員開展活動的場景中發(fā)生的。經(jīng)營場所的概念較為寬泛，因此需要有所限制：如果在歐盟境內(nèi)可以訪問某一企業(yè)的網(wǎng)站，僅憑這一點，并不能夠認(rèn)定非歐盟實體在歐盟境內(nèi)設(shè)立了經(jīng)營場所。

2.對“數(shù)據(jù)處理行為發(fā)生在此經(jīng)營場所開展活動的場景中”的理解

EDPB在《指南》中指出，在判斷“特定的數(shù)據(jù)處理行為”是否可以被認(rèn)定為“發(fā)生在此經(jīng)營場所開展活動的場景中”時，應(yīng)該秉承個案分析的思路，結(jié)合具體案情展開分析。一方面，為了確保對歐盟個人數(shù)據(jù)提供充分有效的保護，不應(yīng)該對該問題進行限縮解釋;另一方面，某些數(shù)據(jù)處理行為雖然發(fā)生在歐盟境內(nèi)但是與歐盟鮮有聯(lián)系（或者偶有聯(lián)系），也不能對該行為的法律適用進行過度擴大解釋，最終導(dǎo)致將GDPR錯誤地適用于上述行為。

在判斷“特定的數(shù)據(jù)處理行為”是否可以被認(rèn)定為“發(fā)生在此經(jīng)營場所開展活動的場景中”時，EDPB建議圍繞兩大因素進行考慮：第一，歐盟境外的數(shù)據(jù)控制者或處理者與他設(shè)立在歐盟境內(nèi)的經(jīng)營場所之間的關(guān)系。第二，是否在歐盟境內(nèi)產(chǎn)生盈利。

上述兩項考量因素來源于Google Spain案。在該案中，歐盟法院查明：Google西班牙公司是《指令》中的“經(jīng)營場所”，因為它“通過穩(wěn)定的安排開展真實而有效的活動”，而數(shù)據(jù)處理行為是在Google公司美國總部（在歐盟境外）發(fā)生的，Google西班牙公司未參與相關(guān)數(shù)據(jù)處理活動。Google公司辯稱，系爭的個人數(shù)據(jù)處理行為并未發(fā)生在數(shù)據(jù)控制者經(jīng)營場所開展活動的場景中，兩項業(yè)務(wù)是相互獨立的。歐盟法院并未認(rèn)可Google公司的主張，并最終認(rèn)定：由于Google公司的搜索引擎服務(wù)與出售廣告位的活動存在著“無法割裂的聯(lián)系”（inextricable link），因為《指令》適用于歐盟境外的個人數(shù)據(jù)處理行為①。

在屬地管轄原則的視角下，可以對“經(jīng)營場所標(biāo)準(zhǔn)”進行如下解讀：“經(jīng)營場所”構(gòu)成了一個主張管轄權(quán)的連接因素（nexus），GDPR可以通過屬地聯(lián)系獲得對境內(nèi)實體的管轄權(quán)，但是在互聯(lián)網(wǎng)環(huán)境下，這種管轄效果將收效甚微，因為真正可能對個人信息權(quán)保護產(chǎn)生不利影響的數(shù)據(jù)處理行為，并不一定發(fā)生在歐盟境內(nèi)。歐盟便據(jù)此設(shè)計出第二個概念，即“經(jīng)營場所開展活動的場景”，如果這種場景與歐盟境外的數(shù)據(jù)處理行為產(chǎn)生關(guān)聯(lián)，并且構(gòu)成了一種“無法割裂的聯(lián)系”，發(fā)生在境外的數(shù)據(jù)處理行為便“順理成章”地被納入GDPR的地域管轄范圍。

這種立法思路確乎是一種高明的制度設(shè)計，它是對信息技術(shù)迅猛發(fā)展作出的強有力的立法回應(yīng)，將管轄重點放在“數(shù)據(jù)處理行為”本身，而不是數(shù)據(jù)處理行為發(fā)生的具體位置，避免出現(xiàn)法律規(guī)避的情況。同時，將管轄權(quán)作為“有力武器”，強調(diào)對個人數(shù)據(jù)權(quán)的保護，以權(quán)利保護為口號，投入互聯(lián)網(wǎng)產(chǎn)業(yè)競爭。由于“經(jīng)營場所標(biāo)準(zhǔn)”的適用需要進行個案分析，在實踐中具有一定的模糊性和不確定性，導(dǎo)致企業(yè)在對發(fā)生于歐盟境外的數(shù)據(jù)處理行為進行合規(guī)審查時常常擔(dān)心：數(shù)據(jù)處理行為是否會被納入GDPR的管轄范圍。根據(jù)GDPR第83條有關(guān)“處以行政罰款一般條件”的規(guī)定，情節(jié)最重者可被罰款2千萬歐元或全球營業(yè)額4%（以金額較高者為準(zhǔn)）。境外企業(yè)將在“承擔(dān)高昂合規(guī)成本”和“放棄歐盟市場份額”之間進行兩難抉擇。有趣的是，這種立法管轄權(quán)的設(shè)計確實收獲了不錯的宣示效果。例如，在GDPR臨近生效前，QQ國際版宣布從2018年5月20日起不再為歐洲用戶提供服務(wù)②。

（四）通過“目標(biāo)指向標(biāo)準(zhǔn)”主張域外效力

1.“目標(biāo)指向標(biāo)準(zhǔn)”彌補“經(jīng)營場所標(biāo)準(zhǔn)”的功能缺陷

與“經(jīng)營場所標(biāo)準(zhǔn)”相比，它有著完全不同的立法邏輯，能夠彌補“經(jīng)營場所標(biāo)準(zhǔn)”在管轄范圍方面存在的不足?！敖?jīng)營場所標(biāo)準(zhǔn)”存在著天然缺陷：該標(biāo)準(zhǔn)的適用前提是歐盟境外數(shù)據(jù)控制者或者處理者已經(jīng)在歐盟境內(nèi)設(shè)立了經(jīng)營場所，如果上述主體在歐盟境內(nèi)未設(shè)立經(jīng)營場所，該標(biāo)準(zhǔn)便無法適用。實踐中，歐盟境外的數(shù)據(jù)控制者或者處理者為了實現(xiàn)規(guī)避“經(jīng)營場所標(biāo)準(zhǔn)”的效果，完全可以選擇不在歐盟設(shè)立經(jīng)營場所，或者關(guān)閉該經(jīng)營場所。在做出應(yīng)對方案之前，他們需要考慮的重點是上述兩種方法是否會導(dǎo)致已占有的歐盟市場份額變少或者從歐盟境內(nèi)獲取商業(yè)利潤出現(xiàn)縮水的情況。如果歐盟用戶對他們提供的商品和服務(wù)存在很強的“用戶黏度”，或者他們提供的商品或服務(wù)是其他的數(shù)據(jù)控制者或者處理者無法替代的，他們完全可以關(guān)閉歐盟境內(nèi)的經(jīng)營場所。如果發(fā)生上述情況，歐盟以“保護個人數(shù)據(jù)權(quán)為口號，投入互聯(lián)網(wǎng)產(chǎn)業(yè)競爭”的深層次立法目的便無法實現(xiàn)。

因此，歐盟立法機關(guān)在GDPR的地域范圍條款中增加了“目標(biāo)指向標(biāo)準(zhǔn)”。該標(biāo)準(zhǔn)適用于歐盟境外的數(shù)據(jù)控制者或者處理者開展針對歐盟境內(nèi)數(shù)據(jù)主體的個人數(shù)據(jù)處理行為。具體而言，如果歐盟境外的數(shù)據(jù)控制者或者處理者實施的數(shù)據(jù)處理行為發(fā)生在向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)的過程中（無論此項商品或服務(wù)是否需要數(shù)據(jù)主體支付對價），或者對數(shù)據(jù)主體發(fā)生在歐盟內(nèi)的行為進行監(jiān)控，GDPR有權(quán)管轄該行為?！澳繕?biāo)指向標(biāo)準(zhǔn)”是歐盟個人數(shù)據(jù)保護立法改革的重大成果之一。有學(xué)者認(rèn)為，根據(jù)該標(biāo)準(zhǔn)，一旦數(shù)據(jù)處理行為指向歐盟個人數(shù)據(jù)，該行為將落入歐盟法的管轄范圍[18]。還有學(xué)者將該標(biāo)準(zhǔn)的確立比喻為“哥白尼式的改革”[19]。

歐盟將 “效果原則”作為“目標(biāo)指向標(biāo)準(zhǔn)”的理論依據(jù)。效果原則是美國法院在反托拉斯案的裁判中發(fā)展起來的管轄原則，即國家對外國人在外國所作的，對本國商業(yè)產(chǎn)生影響的行為享有管轄權(quán)。因為這一原則針對的是外國人而被認(rèn)為是屬地管轄原則的延伸，又由于它的目的是保護國家的重大利益而與保護性管轄相似[20]。將“效果原則”作為個人數(shù)據(jù)保護立法的理論依據(jù)，其合理性引起了學(xué)界質(zhì)疑。有學(xué)者認(rèn)為，將“效果原則”作為網(wǎng)絡(luò)空間活動的管轄權(quán)依據(jù)過于虛無縹緲，由于經(jīng)濟全球化和網(wǎng)絡(luò)全球互聯(lián)，所有國家對網(wǎng)絡(luò)行為都存在或多或少的聯(lián)系，各國如果按照這一原則進行立法，管轄權(quán)沖突將非常頻繁[21]。但是歐盟為了保護個人數(shù)據(jù)權(quán)主張GDPR的域外效力，從合法性角度看，制定“目標(biāo)指向標(biāo)準(zhǔn)”并未違反國際法，有關(guān)該標(biāo)準(zhǔn)的討論應(yīng)該更多地在合理性視角下展開。

2.對“向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)”的理解

在判斷特定的數(shù)據(jù)處理行為是否應(yīng)該被GDPR納入管轄范圍時，應(yīng)該重點考察向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)的“主觀意圖”。GDPR序言部分的第23段指出，為判斷數(shù)據(jù)控制者或者處理者是否向位于歐盟境內(nèi)的數(shù)據(jù)主體提供產(chǎn)品或服務(wù)，應(yīng)確認(rèn)控制者或者處理者是否明顯企圖向位于歐盟境內(nèi)一個或數(shù)個成員國的數(shù)據(jù)主體提供服務(wù)。控制者網(wǎng)站、處理者網(wǎng)站或其他中介網(wǎng)站僅可以獲取郵件地址或者其他聯(lián)系信息以及使用了控制者營業(yè)地所在的第三方國家的通用語言，上述行為均不足以確認(rèn)其提供服務(wù)的動機和意圖;一些判斷因素使控制者的動機變得明顯，例如使用一個或多個歐盟成員國的通用語言或貨幣用于訂購其他語言標(biāo)識的商品或服務(wù)，或者涉及歐盟境內(nèi)的客戶或用戶。

3.對“數(shù)據(jù)主體發(fā)生在歐盟內(nèi)的行為進行監(jiān)控”的理解

在判斷特定的數(shù)據(jù)處理行為是否應(yīng)該被GDPR納入管轄范圍時，應(yīng)該重點考察對數(shù)據(jù)主體發(fā)生在歐盟內(nèi)的行為進行監(jiān)控的“客觀表現(xiàn)”。GDPR序言部分的第24段指出，為了判斷上述處理活動是否可以被認(rèn)定為是對數(shù)據(jù)主體在歐盟境內(nèi)發(fā)生的行為的監(jiān)控，需要確定自然人是否在互聯(lián)網(wǎng)上被跟蹤記錄，或者偷偷地后續(xù)使用個人數(shù)據(jù)處理技術(shù)，包括對自然人進行數(shù)據(jù)畫像特別是作出自動化決策，抑或是對其個人偏好、行為或態(tài)度作出分析或預(yù)測。由此可見，GDPR第3條的域外管轄權(quán)邊界不夠明確，缺乏法律的穩(wěn)定性。有學(xué)者認(rèn)為，GDPR第3條中的“目標(biāo)指向標(biāo)準(zhǔn)”與美國憲法第一修正案、普通法以及成文法典均格格不入，缺乏可執(zhí)行性[22]。

4.引入“代表制度”以增強域外效力

“目標(biāo)指向標(biāo)準(zhǔn)”存在先天不足：如果一項數(shù)據(jù)處理行為符合該標(biāo)準(zhǔn)而落入GDPR的管轄范圍，成員國數(shù)據(jù)監(jiān)管機構(gòu)一旦發(fā)現(xiàn)該行為未符合GDPR的實體性規(guī)定，卻面臨因為“鞭長莫及”而無法真正實施調(diào)查、警告、行政罰款等執(zhí)法工作。

為了避免陷入尷尬的“執(zhí)法困境”，歐盟立法機關(guān)引入了“代表制度”①。根據(jù)GDPR第27（1）條，未在歐盟設(shè)立經(jīng)營場所的數(shù)據(jù)控制者或者處理者應(yīng)該以書面方式指定一名在歐盟的代表。EDPB在《指南》中明確指出，代表的職能與數(shù)據(jù)保護官不同，數(shù)據(jù)控制者或者處理者根據(jù)第38條的要求在其內(nèi)部設(shè)立的數(shù)據(jù)保護官應(yīng)該具有獨立性，而代表應(yīng)該受雇于數(shù)據(jù)控制者或者處理者，按照后者的命令完成既定的任務(wù)②。由此可見，GDPR希望“代表制度”能夠在數(shù)據(jù)控制者或處理者、數(shù)據(jù)主體以及數(shù)據(jù)監(jiān)管機構(gòu)三方主體之間發(fā)揮“橋梁”作用。

三、GDPR域外效力的實施效果反思

GDPR生效至今不到兩年，歐盟真正實施域外管轄權(quán)的案例尚不豐富。但是，“管中窺豹，可見一斑”，通過對現(xiàn)有的域外管轄案例進行分析，不難發(fā)現(xiàn)：歐盟及其成員國在行使GDPR第3條中的域外管轄權(quán)時存在著適用困境。對于“經(jīng)營場所標(biāo)準(zhǔn)”而言，以被遺忘權(quán)的執(zhí)行范圍為例，行使域外管轄權(quán)將引發(fā)不同法域間的法律價值沖突;對于“目標(biāo)指向標(biāo)準(zhǔn)”而言，代表制度存在著明顯的適用困境，由于缺乏雙邊執(zhí)法的合作基礎(chǔ)導(dǎo)致歐盟個人數(shù)據(jù)權(quán)難以在境外實現(xiàn)。

（一）被遺忘權(quán)與信息自由權(quán)的有效平衡

1.案件背景與爭議焦點

Google Spain案的裁決意見中并未指明“被遺忘權(quán)”的執(zhí)行范圍。Google Spain案以后，谷歌公司便采用基于域名的執(zhí)行方案[23]，將搜索結(jié)果的調(diào)整限制在歐洲范圍內(nèi)。雖然某些搜索結(jié)果可能已經(jīng)從google.es或google.be中刪除，但只要切換到google.com或任何其他非歐洲經(jīng)濟區(qū)的域名擴展（例如google.ca），用戶仍然可以獲得這些搜索結(jié)果。然而，法國國家信息與自由委員會（以下簡稱“CNIL”）對此執(zhí)行方案并不滿意，要求應(yīng)該在其搜索引擎的所有擴展域名中刪除相應(yīng)鏈接，CNIL認(rèn)為現(xiàn)行的執(zhí)行方案可能會妨礙“被遺忘權(quán)”的充分保護，違背了《第95/46號指令》對歐盟個人數(shù)據(jù)權(quán)利提供高水平保護的立法初衷。雙方遂產(chǎn)生爭議，法國最高行政法院將該案①提交至歐盟法院，請求歐盟法院作出先行裁決（preliminary ruling）。

2.“經(jīng)營場所標(biāo)準(zhǔn)”的適用以及判決主旨

在Google案中，歐盟法院先通過“經(jīng)營場所標(biāo)準(zhǔn)”明確了GDPR的可適用性。谷歌公司在法國境內(nèi)設(shè)立機構(gòu)開展商業(yè)和廣告活動，該活動與為了運營搜索引擎而進行的個人數(shù)據(jù)處理行為具有無法割裂的聯(lián)系;其次，由于谷歌搜索引擎在不同國家版本之間存在網(wǎng)關(guān)，所以各國實際上是單獨進行數(shù)據(jù)處理行為?；谏鲜隼碛桑ㄔ赫J(rèn)定：本案中的數(shù)據(jù)處理行為是在法國境內(nèi)的經(jīng)營場所開展活動的場景下進行的。因此，這種行為落入了《指令》與GDPR的地域適用范圍。在確定準(zhǔn)據(jù)法后，歐盟法院重點討論了有關(guān)“被遺忘權(quán)”執(zhí)行范圍的問題，法院比較客觀地指出，世界各國在隱私權(quán)、個人數(shù)據(jù)保護與網(wǎng)絡(luò)用戶言論自由之間的權(quán)衡可能會有很大差異，到目前為止，歐盟域外刪除鏈接權(quán)的適用范圍關(guān)于上述權(quán)利和自由尚未取得平衡。并據(jù)此最終認(rèn)定：搜索引擎運營商僅應(yīng)該刪除其歐盟版本網(wǎng)站的搜索結(jié)果，谷歌公司不必在歐洲以外的全球范圍內(nèi)執(zhí)行“被遺忘權(quán)”②。

3.案件的意義與啟示

本案的意義有如下三點：第一，該案通過“經(jīng)營場所標(biāo)準(zhǔn)”明確了GDPR的可適用性，解決了法律適用的準(zhǔn)據(jù)法問題;第二，該案提出在處理歐盟內(nèi)部各項權(quán)利時，應(yīng)該“采用比例原則以動態(tài)平衡諸項基本權(quán)利”的權(quán)利協(xié)調(diào)思路;第三，該案創(chuàng)造性地提出：即使歐盟境外企業(yè)的數(shù)據(jù)處理行為被納入歐盟個人數(shù)據(jù)保護法③的域外管轄范圍，該企業(yè)運用技術(shù)手段來保護歐盟個人數(shù)據(jù)權(quán)利的實際效果（范圍）原則上應(yīng)該以歐盟的地域為界，只有在特殊情況下，才會要求實際效果溢出歐盟。

由此可見，在互聯(lián)網(wǎng)環(huán)境下，“經(jīng)營場所標(biāo)準(zhǔn)”僅僅解決數(shù)據(jù)處理行為的可管轄性。在Google案中，如果歐盟法院堅持要求在全球范圍內(nèi)執(zhí)行“被遺忘權(quán)”，可能會帶來不同法域的法律價值沖突，尤其是隱私保護與言論自由方面的沖突。本案的裁判精神在于平衡歐盟基本權(quán)利和歐盟之外的法律價值，這是成熟運用“經(jīng)營場所標(biāo)準(zhǔn)”后產(chǎn)生的新問題，其內(nèi)在原因是：由于互聯(lián)網(wǎng)的無界性、個人數(shù)據(jù)的跨境性以及數(shù)據(jù)處理活動的全球性，通過“經(jīng)營場所標(biāo)準(zhǔn)”將歐盟境外數(shù)據(jù)控制者或者處理者的數(shù)據(jù)處理行為納入管轄，將不可避免地導(dǎo)致歐盟境外的法律價值與歐盟內(nèi)部的個人數(shù)據(jù)權(quán)在法院訴訟中產(chǎn)生了“正面交鋒”。歐盟法院雖然在Google案中作出了妥協(xié)，但是這種妥協(xié)是暫時的。歐盟法院在判決第72段指出，現(xiàn)行歐盟法雖然并不要求在所有搜索引擎版本中刪除鏈接，但也沒有禁止該行為。因此，成員國的監(jiān)管機構(gòu)或者司法機關(guān)仍有權(quán)依據(jù)本國基本人權(quán)保護標(biāo)準(zhǔn)，在數(shù)據(jù)主體的隱私權(quán)、個人數(shù)據(jù)保護和信息自由權(quán)之間進行權(quán)衡，并有權(quán)在特定情形下命令搜索引擎運營商在所有搜索引擎版本中刪除相關(guān)鏈接。

（二）個人數(shù)據(jù)保護雙邊執(zhí)法合作機制的建立

根據(jù)管轄權(quán)的一般原理，立法管轄權(quán)越寬泛，行使執(zhí)法管轄權(quán)的難度越大[24]。由于“代表制度”存在適用缺陷，“目標(biāo)指向標(biāo)準(zhǔn)”在實踐中像一只沒有牙齒的老虎，缺乏執(zhí)法的強制力保障。從目前來看，這項立法管轄權(quán)的宣示意義大于實際效果。

1.GDPR域外執(zhí)法第一案

2018年7月，英國數(shù)據(jù)保護監(jiān)管機構(gòu)信息專員辦公室（ICO）開啟了GDPR域外執(zhí)法第一案“AggregateIQ”案①的調(diào)查程序。涉案公司是加拿大公司AggregateIQ Data Services Ltd（以下簡稱AIQ）。

經(jīng)過ICO調(diào)查，AIQ涉嫌幫助Cambridge Analytica Ltd（劍橋分析），通過處理歐盟公民的Facebook數(shù)據(jù)進行英國脫歐公投的民意分析。ICO按照“目標(biāo)指向標(biāo)準(zhǔn)”，對其數(shù)據(jù)處理行為主張管轄，認(rèn)定AIQ對數(shù)據(jù)主體發(fā)生在歐盟境內(nèi)的行為進行監(jiān)控②。AIQ對它隸屬于Cambridge Analytica的指控提出異議，并拒絕完全支持ICO的調(diào)查，并認(rèn)為它不受ICO管轄。但是，根據(jù)已經(jīng)收集到的證據(jù)，ICO認(rèn)定AIQ違反了GDPR，該公司違法獲取并處理了英國公民的個人數(shù)據(jù)，并用于未經(jīng)授權(quán)的定向政治廣告推送等非法目的。

ICO發(fā)布的GDRP執(zhí)行通知要求AIQ在通知日期后的30天內(nèi)停止處理“從英國政治組織或出于數(shù)據(jù)分析，政治競選或任何其他廣告目的而從英國政治組織獲得的任何英國或歐盟公民的個人數(shù)據(jù)”。如果不遵守此類通知，可能會收到最高2 000萬歐元或公司年度全球收入4%的罰款（以較高者為準(zhǔn)）。

AIQ遂向法庭上訴，稱ICO對公司無管轄權(quán)，GDPR對其不適用，因為所謂的行為是在GDPR生效之前發(fā)生的，且通知范圍太廣。ICO隨后發(fā)布了修正的執(zhí)行通知，指出適用GDPR的原因在于該數(shù)據(jù)處理行為一直延續(xù)至GDPR生效以后。該通知還闡明了AIQ為遵守通知必須采取的步驟。ICO的修訂通知命令A(yù)IQ刪除該公司已于2018年5月以前服務(wù)器上的所有英國個人數(shù)據(jù)。AIQ自此撤回了上訴，并表示將遵守該執(zhí)法通知。

該案是適用“目的指向標(biāo)準(zhǔn)”開展域外執(zhí)法的第一案，具有深遠(yuǎn)的意義。在該案中，英國和加拿大數(shù)據(jù)保護執(zhí)法機構(gòu)間的跨境合作之密切遠(yuǎn)超想象。一般認(rèn)為，由于歐盟境外的企業(yè)，在歐盟內(nèi)無實際可供各歐盟成員國數(shù)據(jù)執(zhí)法機構(gòu)接觸、調(diào)查或限制的財產(chǎn)和營業(yè)場所，GDPR寬泛的域外效力將大打折扣。然而，本案中，ICO積極與加拿大隱私事務(wù)專員辦公室和不列顛哥倫比亞省的信息和隱私委員會展開配合，彼此共享信息，并通過加拿大數(shù)據(jù)執(zhí)法機構(gòu)向AIQ施壓，迫使AIQ與其合作，并最終令A(yù)IQ承認(rèn)違法數(shù)據(jù)處理行為。

兩國數(shù)據(jù)保護執(zhí)法機構(gòu)之所以密切配合，有兩個原因：第一，英國和加拿大歷史淵源頗深，兩國有相似的法律傳統(tǒng)和理念。第二，加拿大的《個人信息保護和電子文檔法》（PIPEDA）于2018年11月1日生效，AIQ的數(shù)據(jù)處理行為同樣違反了加拿大法律①。AIQ的不當(dāng)數(shù)據(jù)處理行為構(gòu)成雙重違法，這可能是加拿大數(shù)據(jù)保護執(zhí)法機構(gòu)愿意緊密配合執(zhí)法合作的深層次原因。GDPR生效僅僅一年，尚未建立起成熟、完善的雙邊執(zhí)法框架，執(zhí)法機構(gòu)間長效協(xié)作機制和跨境執(zhí)法活動有待進一步觀察。

2. “代表制度”存在明顯的適用困境

為了避免陷入尷尬的“執(zhí)法困境”，GDPR第27條引入了“代表制度”。其實，代表制度早已存在于《指令》第4條的“設(shè)備使用標(biāo)準(zhǔn)”之中。由于GDPR擴大了地域適用范圍，這一制度顯得尤為重要，歐盟立法機關(guān)希望該制度能夠促使歐盟境外的數(shù)據(jù)控制者或者處理者更好地遵守GDPR項下的各項合規(guī)義務(wù)。根據(jù)GDPR第30（1）條的要求，因此，處于歐盟境內(nèi)的代表應(yīng)該妥善處理好一切與數(shù)據(jù)處理有關(guān)的事情，代表應(yīng)該掌握數(shù)據(jù)控制者的處理活動記錄，并且密切配合監(jiān)管機構(gòu)的執(zhí)法要求。

那么，如果任命一名代表并不妨礙對歐盟以外的控制者或者處理者提起法律訴訟，那么該代表是否可以對數(shù)據(jù)控制者或處理者的違規(guī)行為承擔(dān)責(zé)任？GDPR第27條并未釋明這個重要問題。但是，序言部分的第80段提到，如果數(shù)據(jù)控制者或處理者不遵守，指定的代表應(yīng)接受強制執(zhí)行程序。此外， EDPB在《指南》中明確指出，設(shè)立代表的根本目的在于“使執(zhí)法者能夠像對數(shù)據(jù)控制者或者處理者那樣，對代表發(fā)起執(zhí)法活動”②。按照上述兩處措辭，代表應(yīng)該承擔(dān)責(zé)任以及接受行政罰款和處罰，是應(yīng)有之義。

但是，GDPR內(nèi)部條文之間對該問題的認(rèn)識存在著矛盾。GDPR第58（2）（a）至（j）條以及第83條規(guī)定了數(shù)據(jù)保護機構(gòu)的糾正權(quán)，上述規(guī)定未提及代表，GDPR第58（1）（a）條明確規(guī)定代表可以接收請求信息。在《2018年英國數(shù)據(jù)保護法》也有類似規(guī)定，信息通知可以發(fā)送給代表③，但執(zhí)行通知的接收者予以明確①，處罰通知發(fā)給“某一特定個人” ②。

筆者認(rèn)為，強制執(zhí)行措施的實施對象不應(yīng)該包括代表，因為違反GDPR的數(shù)據(jù)處理行為是由數(shù)據(jù)控制者或者處理者實施的，代表受其雇傭，不應(yīng)該成為責(zé)任承擔(dān)者。但是，以此為思路，又會產(chǎn)生一個新問題：如果代表不承擔(dān)責(zé)任，如何真正落實對“遙遠(yuǎn)的”境外數(shù)據(jù)控制者或者處理者的行政處罰？代表制度現(xiàn)存的適用困境，直接導(dǎo)致“目標(biāo)指向標(biāo)準(zhǔn)”成為一項具有宣示意義的標(biāo)準(zhǔn)，缺乏執(zhí)法的強制力。

對于兩項標(biāo)準(zhǔn)在實踐中引發(fā)的適用困境，需要運用國際法思維加以解決。在個案中應(yīng)當(dāng)靈活運用比例原則，根據(jù)案件具體情況協(xié)調(diào)個人數(shù)據(jù)權(quán)與信息自由權(quán)的關(guān)系，不能一味地追求個人數(shù)據(jù)權(quán)的實現(xiàn)。歐盟法院在判決中也承認(rèn)了個人數(shù)據(jù)權(quán)不是絕對權(quán)，即使在歐盟內(nèi)部亦需要與信息自由等法律價值進行動態(tài)協(xié)調(diào)。有學(xué)者認(rèn)為，GDPR的地域范圍條款具有很強的屬地特征，根據(jù)該條主張域外管轄權(quán)時，應(yīng)當(dāng)恪守比例原則，避免侵犯他國主權(quán)[25]。此外，從長遠(yuǎn)來看，GDPR已經(jīng)樹立起了全球個人數(shù)據(jù)保護立法的“標(biāo)桿”，隨著越來越多地國家立法對此進行效仿，客觀上實現(xiàn)了全球個人數(shù)據(jù)保護立法的趨同化，使得與特定國家建立雙邊執(zhí)法合作機制具備了一定可能性。

四、對中國的立法啟示

立法機關(guān)應(yīng)當(dāng)改變立法上固守“屬地主義”的慣性思維，充分利用目前尚未形成具有拘束力的相關(guān)國際法規(guī)則的有利條件，不自我設(shè)限，應(yīng)當(dāng)留有余地，在立法上設(shè)定域外管轄權(quán)。立法機關(guān)應(yīng)當(dāng)適度借鑒GDPR中的“經(jīng)營場所標(biāo)準(zhǔn)”和“目標(biāo)指向標(biāo)準(zhǔn)”，在未來的《個人信息保護法》中明確該法具有域外效力，使未來處理個案時能夠游刃有余，避免在法律適用過程中陷入進退失據(jù)的尷尬境地。另一方面，增設(shè)域外管轄權(quán)規(guī)則有利于與其他國家搭建個人信息保護雙邊執(zhí)法機制。

（一） 應(yīng)該在立法上賦予《個人信息保護法》域外效力

立法機關(guān)在制定《個人信息保護法》時，將面臨是否應(yīng)該賦予該法域外效力的立法選擇。法律的域外效力一般分為屬人適用范圍和屬地適用范圍。

從中國立法實踐看，凡是規(guī)定有地域適用范圍條款的立法，學(xué)術(shù)界都圍繞該條款開展過相關(guān)學(xué)術(shù)討論，提出過爭鳴意見[26]。我國的《刑法》《反壟斷法》等實體法均有域外效力的立法表述。例如，根據(jù)我國《刑法》第6條有關(guān)空間效力的規(guī)定，犯罪行為或犯罪結(jié)果只要有一項發(fā)生在中國領(lǐng)域內(nèi)，便認(rèn)為是在中華人民共和國領(lǐng)域內(nèi)犯罪，在立法上對發(fā)生在境外的犯罪行為主張屬地管轄權(quán)。又如，根據(jù)效果原則，我國《反壟斷法》第2條主張對在我國境外發(fā)生但是對境內(nèi)市場競爭產(chǎn)生排除、限制影響的壟斷行為進行管轄。有學(xué)者認(rèn)為，《反壟斷法》第2條應(yīng)該被理解為一種行政公法的地域適用范圍規(guī)范[27]。

由此可見，雖然公法體現(xiàn)國家和社會的公共利益，但是由于受到經(jīng)濟全球化的深遠(yuǎn)影響，某些公法部門也出現(xiàn)了放松屬地主義的現(xiàn)象。事實上，任何一種法律是否應(yīng)該賦予域外效力，取決于國家意志，而這種國家意志的產(chǎn)生不僅源自于國際交往中維護本國利益及相互合作的需要，還取決于所調(diào)整的現(xiàn)實社會關(guān)系[28]。由于互聯(lián)網(wǎng)的無界性、個人數(shù)據(jù)的跨境性以及數(shù)據(jù)處理活動的全球性，個人信息保護形勢嚴(yán)峻，同時，個人信息保護的國際保護標(biāo)準(zhǔn)尚未建立起來，中國立法機關(guān)應(yīng)當(dāng)改變立法上固守“屬地主義”的慣性思維，充分利用目前尚未形成具有拘束力的相關(guān)國際法規(guī)則的有利條件，站在充分保護本國國民合法權(quán)益的角度，在立法上賦予《個人信息保護法》域外效力。

（二）確立“經(jīng)營場所標(biāo)準(zhǔn)”和“雙重違反標(biāo)準(zhǔn)”的管轄思路

國內(nèi)法的域外管轄?wèi)?yīng)該符合比例原則，不能違反國際法基本原則，不能隨意地開展跨境執(zhí)法。立法時不能隨心所欲，應(yīng)該考慮法律的適用效果，厘清個人信息保護的域外管轄邊界。

中國學(xué)界曾經(jīng)出現(xiàn)過三版有關(guān)個人信息保護法的專家建議稿①，在管轄權(quán)設(shè)置方面，與前兩版有所不同的是，最新一版的專家建議稿（以下簡稱“《建議稿》”）中的第2條設(shè)置了域外管轄權(quán)條款。但是規(guī)制思路與GDPR域外效力規(guī)則的規(guī)制思路存在不同。

《建議稿》第2（1）條規(guī)定：“在中華人民共和國境內(nèi)處理個人信息，以及對個人信息處理行為的監(jiān)督管理，適用本法?！边@一款將個人信息處理行為發(fā)生地作為確定管轄權(quán)的依據(jù)。如果個人信息處理行為發(fā)生在我國境內(nèi)，則適用中國法?！督ㄗh稿》第2（2）條對發(fā)生在我國境外的個人信息處理行為的管轄權(quán)問題進行了明確：“在中華人民共和國境外處理中華人民共和國公民的個人信息，應(yīng)遵守本法?！?/p>

上述兩款規(guī)則，按照“處理行為是否發(fā)生在我國境內(nèi)”進行分類規(guī)定，具有積極意義，但是忽略了精準(zhǔn)錨定“處理行為發(fā)生地”的現(xiàn)實難度。在云計算的環(huán)境下，個人數(shù)據(jù)存儲地和處理特定個人信息的設(shè)備所在地難以精準(zhǔn)確定，數(shù)據(jù)處理行為的發(fā)生地具有模糊性。此外，按照《建議稿》第2（2）條的要求，第一個問題是如何判斷數(shù)據(jù)控制者或者處理者在境外處理了中國公民的個人信息？此外，即使有證據(jù)證明境外的數(shù)據(jù)控制者或者處理者未能遵照中國法律來處理中國公民的個人信息，我國的執(zhí)法機關(guān)可以通過何種途徑開展執(zhí)法活動呢？《建議稿》中未提出以上問題的解決方案。

筆者認(rèn)為，我國立法機關(guān)應(yīng)當(dāng)在立法中充分借鑒GDPR域外效力規(guī)則中的“經(jīng)營場所標(biāo)準(zhǔn)”和“目標(biāo)指向標(biāo)準(zhǔn)”。

1.應(yīng)當(dāng)弱化對“行為發(fā)生地”的考察，而強化“數(shù)據(jù)處理行為”本身的考察。根據(jù)歐盟的“經(jīng)營場所標(biāo)準(zhǔn)”， 在歐盟境內(nèi)設(shè)有經(jīng)營場所的數(shù)據(jù)控制者或者處理者，只要數(shù)據(jù)處理行為發(fā)生在此經(jīng)營場所開展活動的場景中，即使實際的數(shù)據(jù)處理活動不在歐盟境內(nèi)發(fā)生，GDPR便有權(quán)管轄。未來《個人信息保護法》同樣應(yīng)當(dāng)對信息技術(shù)迅猛發(fā)展作出強有力的立法回應(yīng)，將管轄重點放在“數(shù)據(jù)處理行為”本身，而不是數(shù)據(jù)處理行為發(fā)生的具體位置，避免出現(xiàn)法律規(guī)避的情況。

2.借鑒歐盟經(jīng)驗，制定中國版的“經(jīng)營場所標(biāo)準(zhǔn)”。歐盟通過作為屬地因素的“經(jīng)營場所”，將“經(jīng)營場所開展活動的場景”與“歐盟境外的數(shù)據(jù)處理行為”的關(guān)系進行分析，如果構(gòu)成了一種“無法割裂的聯(lián)系”，境外的數(shù)據(jù)處理行為便“順理成章”地被納入GDPR的地域管轄范圍。中國法也可以參考這樣的立法思路。通過在《個人信息保護法》中創(chuàng)設(shè)一種類似“經(jīng)營場所”的屬地因素，按照數(shù)據(jù)處理行為與該屬地因素的關(guān)聯(lián)度來決定是否需要對此進行管轄。

3. 將“雙重違反原則”引入“目標(biāo)指向標(biāo)準(zhǔn)”。GDPR中的“目標(biāo)指向標(biāo)準(zhǔn)”通過考察“向歐盟公民提供商品或者服務(wù)”的主觀意圖以及“監(jiān)控歐盟境內(nèi)的數(shù)據(jù)主體行為”的客觀表現(xiàn)來判斷是否需要對該行為進行管轄。此類管轄權(quán)邊界過于寬泛，在執(zhí)行過程中可能會引發(fā)管轄權(quán)沖突，從國際禮讓的角度來看，如果該處理行為同時違反了中國法與行為發(fā)生地國的法律，可以通過雙邊執(zhí)法合作的方式。中國的立法機關(guān)應(yīng)當(dāng)以單邊性質(zhì)的域外效力規(guī)則為基礎(chǔ)，將搭建具有可執(zhí)行性的個人信息保護雙邊合作機制作為實踐中不斷追求的目標(biāo)。

五、結(jié)語

GDPR域外效力規(guī)則的規(guī)制邏輯給中國《個人信息保護法》的立法工作提供了新的視角，為了加快推進中國法域外適用的法律體系建設(shè)①，立法機關(guān)應(yīng)當(dāng)審慎考慮該法的地域范圍條款。徒法不足以自行，還應(yīng)當(dāng)在立法以后搭建雙邊合作機制，從而真正實現(xiàn)“試圖管轄”到“有效管轄”的適用效果，最終實現(xiàn)商業(yè)利益與個人信息保護之間的動態(tài)平衡。

參考文獻

[1]? 張新寶.我國個人信息保護法立法主要矛盾研討[J].吉林大學(xué)社會科學(xué)學(xué)報，2018（5）：45-56+204-205.

[2]? 石佳友.我國證券法的域外效力研究[J].法律科學(xué)（西北政法大學(xué)學(xué)報），2014（5）：129-137.

[3]? 江國青.國際法中的立法管轄權(quán)與司法管轄權(quán)[J].比較法研究，1989（1）：34-36.

[4]? 伊恩·布朗利.國際公法原理[M].曾令良，余敏友，等，譯.北京：法律出版社，2007：271.

[5]? 蔡高強，劉健.論歐盟法在成員國的適用[J].河北法學(xué)，2004（4）：116-119.

[6]? 金晶.歐盟《一般數(shù)據(jù)保護條例》：演進、要點與疑義[J].歐洲研究，2018（4）：1-26.

[7]? 伍藝.大數(shù)據(jù)時代執(zhí)法合作中個人數(shù)據(jù)跨境保護問題研究[J].重慶郵電大學(xué)學(xué)報（社會科學(xué)版），2018（3）：52-59.

[8]? 許多奇.個人數(shù)據(jù)跨境流動規(guī)制的國際格局及中國應(yīng)對[J].法學(xué)論壇，2018（3）：130-137.

[9]? 馮碩.網(wǎng)絡(luò)個人信息保護國際合作的障礙與選擇——以軟法為路徑[J].網(wǎng)絡(luò)法律評論，2016（2）：123-136.

[10]? 弓永欽，王健.APEC跨境隱私規(guī)則體系與我國的對策[J].國際商務(wù)，2014（3）：30-35.

[11]? 夏燕.“被遺忘權(quán)”之爭——基于歐盟個人數(shù)據(jù)保護立法改革的考察[J].北京理工大學(xué)學(xué)報（社會科學(xué)版），2015（3）：129-135.

[12]? 齊愛明，王基巖.大數(shù)據(jù)時代個人信息保護法的適用與域外效力[J].社會科學(xué)家， 2015（11）：101-104.

[13]? Faye Fangfei Wang. Jurisdiction and Cloud Computing： Further Challenges to Internet Jurisdiction[J]. European Business Law Review， 2013（24）： 589-616.

[14]? 劉澤剛.歐盟個人數(shù)據(jù)保護的“后隱私權(quán)”變革[J].華東政法大學(xué)學(xué)報，2018（4）：54-64.

[15]? 邵景春.歐洲聯(lián)盟的法律與制度[M].北京：人民法院出版社，1999：60.

[16]? 杜濤.國際私法國際前沿年度報告（2015—2016）[J].國際法研究，2017（2）：89-128.

[17]? 王志安.云計算和大數(shù)據(jù)時代的國家立法管轄權(quán)——數(shù)據(jù)本地化與數(shù)據(jù)全球化的大對抗？[J].交大法學(xué)，2019（1）：5-20.

[18]? Paul de Hert and Michal Czerniawski. Expanding the European Data Protection Scope beyond Territory： Article 3 of the General Data Protection Regulation in Its Wider Context[J]. International Data Privacy Law ， 2016（3）： 230-243.

[19]? Christopher Kuner.The European Commissions Proposed Data Protection Regulation： A Copernican Revolution in European Data Protection Law[R]. Bloomberg BNA Privacy and Security Law Report ， 2012： 1-15.

[20]? 王虎華.國際公法學(xué)[M].北京：北京大學(xué)出版社，2015：85.

[21]? Lilian Mitrou.The General Data Protection Regulation： A Law for the Digital Age？[G]//Tatiana Eleni Synodinou， Philippe Jougleux， Christiana Markou， Thalia Prastitou. EU Internet Law： Regulation and Enforcement，Springer， 2017： 32.

[22]? Kurt Wimmer.Free Expression and EU Privacy Regulation： Can the GDPR Reach U.S. Publishers？[J]. Syracuse Law Review， 2018（3）： 545-576.

[23]? Brendan Van Alsenoy and Marieke Koekkoek. Internet and Jurisdiction after Google Spain： the Extraterritorial Reach of the “Right to Be Delisted”[J]. International Data Privacy Law， 2015（2）： 105-120.

[24]? Christopher Kuner.Data Protection Law and International Jurisdiction on the Internet（Part 2）[J]. International Journal of Law and Information Technology ， 2010（3）： 227-247.

[25]? Stefano Saluzzo. The Principle of Territoriality in EU Data Protection Law[G]// Marise Cremona， Joanne Scott. EU Law Beyond EU Borders： The Extraterritorial Reach of EU Law，Oxford University Press， 2019： 55.

[26]? 袁發(fā)強.國家管轄海域與司法管轄權(quán)的行使[J].國際法研究，2017（3）：102-114.

[27]? 杜濤.論反壟斷跨國民事訴訟中域外管轄權(quán)和域外適用問題的區(qū)分——以中美新近案例為視角[J].國際經(jīng)濟法學(xué)刊，2019（1）：72-84.

[28]? 呂巖峰.刑法的域外效力辨析──來自國際私法學(xué)的觀照[J].法制與社會發(fā)展，1998（4）：49-53.

Regulatory Logic， Practical Reflection and Legislative Enlightenment on the Extraterritorial Effect of GDPR

Yu Shengjie? ?Lin Yanping

（East China University of Political Science and Law，? Shanghai，? 200042）

Abstract： GDPR expands its territorial scope in legislation. According to the "establishment criterion"， if the data processing behavior of data controllers or processors outside EU is found to have "inextricable link" with the activities carried out in the context of the eatablishment within EU， GDPR has the right to govern the behavior; "targeting criterion" is applicable to the personal data processing behavior of data controllers or processors outside EU for data subjects within EU. In practice， the "establishment criterion" objectively caused conflicts of legal values between different jurisdictions， which should be coordinated by using the principle of proportion， and the "representative system" matching with the "targeting criterion" has obvious difficulties in application. China should learn from the legislative experience of GDPR， absorb the "establishment criterion"， introduce the "double violation principle" into the "targeting criterion"， and establish a bilateral law enforcement cooperation mechanism to fully protect the personal information of Chinese citizens.

Key Words： Territorial scope; Extraterritorial effect; Cloud computing; Personal information protection law; Prescriptive jurisdiction

（責(zé)任編輯：許志敏）

作者簡介：俞勝杰（1992—），男，漢族，上海浦東人，華東政法大學(xué)國際法博士研究生，研究方向：國際經(jīng)濟法、數(shù)據(jù)保護法。林燕萍（1959—），女，漢族，上海靜安人，華東政法大學(xué)國際法學(xué)院教授、博士生導(dǎo)師，研究方向：國際私法、歐盟法。

①僅2019年上半年，曾先后曝出包括云存儲服務(wù)平臺MEGA、服裝品牌優(yōu)衣庫、全球頂尖求職平臺LinkedIn、社交平臺Facebook以及網(wǎng)絡(luò)軟件公司Citrix Systems等多家全球性企業(yè)數(shù)據(jù)泄露事件。