田新月

(武汉大学 国际法研究所，湖北 武汉 430072)



云计算环境中数据处理行为的法律规制研究*

田新月

(武汉大学 国际法研究所，湖北 武汉 430072)

摘要：目前很多国家和地区的个人数据保护法都主张其具有域外效力，适用于跨境数据处理行为。而现行冲突规范中有关物权、知识产权的规则无法涵盖所有的数据处理行为，由于数据可能涉及国家安全，也无法适用合同法规则。在涉及数据处理行为的立法中明确其地域适用范围的，只有欧盟指令和即将生效的条例以及欧盟成员国的数据保护立法。欧盟立法主要采用“数据控制者的机构所在地”和“数据处理行为发生地”两种适用标准，而云计算技术的广泛应用给这两项标准带来了新的问题。“数据处理行为发生地”逐渐被淡化，相较之下，“数据控制者的机构所在地”成为更可靠的标准。我国的数据处理立法也应当确立其域外效力，规制跨境数据处理行为。

关键词：数据处理行为；云计算；法律适用

一、引　言

“良性云环境的标志是数据安全与数据自由流动”，云服务在全球范围内的有效运行以数据资源的跨境自由流转为前提，却面临着违反流经国家和地区调整规则、司法机构调查与执行困难等诸多风险，尤其是流经区域间隐私与数据保护规则的冲突是全球云协作的最大障碍[1]。

作为一种以互联网为依托的资源提供和处理模式，云计算具有服务多层次性和资源共享性的特征。云计算在进行数据存储时采用的是一种分散型的存储方式，用户数据信息再提交后被分散存储在不同的存储器中，具体的存储位置也在不断变化，因此，用户根本无法判定其数据信息的具体存储地点，这给数据的保护带来了极大障碍，用户自己无法完成数据的保护，而是将数据的控制和保护交给云服务商来完成[2]。用户与云服务商之间往往签订有服务协议来确定双方的权利义务，协议中一般订立有数据保护的措施，在有些协议中还规定有“责任”和“赔偿”条款。然而云计算数据存储的分散性和多变性给数据保护带来很多法律适用方面的问题。不同国家和地区对数据保护的规定差异很大，有些国家或地区(如欧盟)对个人数据保护的规定较为严格，而另一些地区则较为宽松。数据保护的法律属于公法性质的法律，其中规定的数据保护措施和标准是强制性的，云计算服务提供商需要遵循其中的措施和标准，提供不低于其标准的数据保护服务，否则其所签订的服务协议可能由于违反强制性规定而无效，或者面临赔偿责任。

如前所述，云计算服务提供商往往在世界各地设有数据处理中心，用户的数据可能被分散存储在不同的服务器上，其提供的服务是面向所有企业和个人的，用户也分散于世界各地。而不同国家和地区对数据保护的规定差异很大，哪一国的法律应当适用，关系着提供服务的方式和成本，理所当然是商家最关注的法律问题。此外，服务提供商还可能将服务分派给第三方，第三方是否应当保证提供与分包方相同等级的数据保护措施，都是云计算环境中有关数据保护的法律适用方面亟待回答的问题。然而目前这些复杂的问题并不能获得确定的答案，各国家和地区有关数据保护的法律已有不少，但其中涉及法律适用的规定却常常付之阙如。目前除了欧盟的法律以外，在数据保护的法律适用方面，几乎没有条约和国际文件对该领域的规则作出规定[3]。

二、云计算环境下的数据处理行为及其特殊性

(一)云计算环境下数据处理行为

目前立法技术中对“处理”有广义和狭义两种立法模式。广义的“处理” 是指通过自动或非自动方式对数据进行的任何操作或一组操作；而狭义的“处理” 是指除“收集”与“利用”行为外，对个人信息进行的任何操作。广义的“处理”包括数据的收集和加工。欧盟《数据保护指令》(以下简称《指令》)[4]和英国1998年《资料法保护法》采取广义的立法模式，几乎将所有可能对数据进行的操作都包括在内。《指令》第2条(b)项规定，处理是指通过自动或非自动方式对个人信息进行的任何操作或一组操作，如收集、记录、组织、储存、改编，或更改、检索、咨询、利用，或通过传输进行公开、传播，或使其可利用、排列，或组合、封锁、删除、破坏。英国《资料保护法》第1条规定，处理是指取得、记录、持有信息或资料，或者对信息或资料进行的任何操作。德国资料法采狭义的定义，其第3条第(5)款规定，处理是指个人信息的存储、变更、传输、封锁和删除，不包括收集和利用[5]。

但随着云计算技术的广泛应用，实际上不仅数据的使用，数据的大量采集、深度分析、高速传播本身就已经对数据所有人的权利和自由构成威胁。对个人隐私、商业数据的威胁不仅与数据的使用方法相关，而且与数据的采集、加工方法相关，如果只对数据适用进行调整，调整是不全面不彻底的[6]。并且，数据的应用都是基于数据的存储之上的，只有将数据的收集和加工同时纳入调整范围，才能全面地规范数据处理行为。

(二)法律规制的特殊性

目前很多国家和地区已经制定了个人数据保护法，用以规范对个人数据的处理行为。在云计算技术的推动下，大量的数据可跨越国界，在位于世界各地的多个资料使用人间不断流转。这就使数据的位置和处理行为往往不在同一地区，同时各地区之间的保护标准不同，适用哪国法律成为了云计算服务提供商需要考虑的法律风险之一。但目前各国的数据保护法除了欧盟以外，很少有关于地域适用范围的规定。而在现行的冲突法规范中，也没有专门涉及数据处理行为的规范。数据处理行为很难归入到现行的物权或者债权法律选择规范中。

第一，数据在性质上不属于动产，不适用有关物权规范。《中华人民共和国涉外民事关系法律适用法》(以下简称《法律适用法》)第37条规定了当事人协议选择动产物权适用的法律。当事人没有选择的，适用法律事实发生时动产所在地法律。这一规定与目前其他国家地区的规定相类似。这种传统的对于动产物权法律适用的规定，是基于动产的物理属性和可移动性决定的。数据虽有存储的物理介质，但事实上它是无形的，并且随着信息技术的发展，数据的复制和迁移更加便捷和频繁，可以在不同地区的服务器之间自由传输，而不再依靠介质的间接传递。这使得数据所在地可能处于频繁的变化之中，数据的控制者或者处理者并不知晓数据此时位于哪一服务器之上，而在云计算环境中，位于世界各地的数据资源形成一个资源池，可以随意被调用，这使得数据的所在地并不再重要。传统的依据物之所在地确定准据法的方法，对于处于云计算环境下的数据并不可靠。

第二，知识产权规范无法涵盖所有的数据类型。《法律适用法》第48、49、50条规定了知识产权的法律适用规范，涉及到知识产权的归属、内容、转让协议和侵权责任适用的法律。确实有一部分数据已经通过专利和著作权的形式被保护，但是更多的数据无法纳入到知识产权的框架之中，同时这部分数据同样具有经济价值[7]。

第三，数据处理行为可能威胁国家安全，受制于强制性法律规范规制，合同的法律适用规范只能规制一部分数据处理行为。合同作为私人主体的交易行为，在国际私法规范中都有合同准据法规则。《法律适用法》第41条规定当事人可以协议选择合同适用的法律。当事人没有选择的，适用履行义务最能体现该合同特征的一方当事人经常居所地法律或者其他与该合同有最密切联系的法律。

虽然大部分的数据处理行为是基于云计算服务提供商与服务使用方签订的合同，在合同范围内的数据处理行为，由合同双方合意决定其适用的法律。当然每个自然人有自由处置其个人数据的权利，企业法人也有处置其商业秘密的自由，可以选择是否需要云服务，是否愿意将其数据上载到云端被云服务商处理。但数据的大量集合就可能会危及某一行业的整体效益和安全。

某些数据其内容本身可能包含有害信息，比如颠覆国家政权、煽动国家分裂和恐怖主义等威胁社会稳定和国家安全的信息，如果被服务商加工处理之后加以传播，将危及国家安全。同时，执法机关往往需要对信息网络进行监控以侦察刑事犯罪和防范恐怖主义，这需要赋予政府一定程度的对信息合法拦截的权力。

因此在数据的跨境流动方面，大部分国家和地区的信息保护法都对数据的流动进行了限制，有些规定了数据只能流入符合一定数据保护标准的国家和地区。还有些对特定方面的数据进行了规制，如我国《商用密码产品销售管理规定》第15条规定，商用密码产品销售许可单位将商用密码产品销售给在华的境外组织或者个人的，应当核验其持有的密码产品准用证。《科学技术保密规定》第21条规定，在对外科学技术交流合作中，确需对外提供国家科学技术秘密的，应当按照国家有关规定办理审批手续。

综上，正是由于数据处理行为的特殊性，目前已有的冲突法规则难以涵盖。各国虽已开始注意到数据跨境流动的趋势，但在现有的信息保护法中很少有关于法律适用的规则，这将是未来可能争议的焦点和立法的方向。

三、数据处理行为的法律规制现状与渊源

由于数据的云计算的广泛应用，使跨境数据处理更加频繁和便捷，随之产生的服务商的层级化和运营地的分散化使这一问题更加复杂。联合国国际贸易法委员会第47届会议将影响云计算的法律问题列为计划中的工作和今后可能开展的工作的一部分，并指出几项需要解决的问题，其中一项包括云服务协议有可能产生法律冲突问题，并指出“鉴于许多云服务商将其服务器和运营地放在多个管辖权，这些问题很有可能日趋普遍，更加复杂”*UNCITRAL：《加拿大政府的建议：今后可能在电子商务领域开展的工作——影响云计算的法律问题》，A/CN.9/823，第3页。。

(一)国际文件

国际文件有关数据处理行为的内容，主要集中在数据的跨境流通方面。目前除了欧盟和美国之间的安全港协议具有法律效力，其他文件均属指导建议类，还没有在全球范围内具有法律效力的法律文件。

1.OECD关于隐私保护和个人数据跨境流动指南

《经济合作与发展组织理事会1980年9月23日关于隐私保护和个人数据跨境流动的指南》(Guidelines on the Protection of Privacy and Transporter Flows of Personal Data)(以下简称《指南》)是有关数据流动最早的国际文件。《指南》为各国指定本国的数据保护法提供了一些原则建议，如建议各国不要过度限制跨境数据流动，不能以保护个人隐私为名设置不合理的障碍。《指南》虽然已经预见到不久的将来各国在数据保护方面不可避免地存在法律冲突，但由于《指南》出台的时间较早，当时还未出现各国规则林立的状况，并未对可能的冲突提出解决建议。

2013年，经合组织对1980年的《指南》进行了修订，形成了隐私保护框架(The OECD Privacy Framework)。修订过程中考虑到的因素包括：由于新技术的应用带来的数据处理主体数量和类型的增多、数据交换的频繁和复杂性、社交和网络平台建设带来的数据获取的便捷性[8]。修订后的指南在跨境数据流动方面给了成员国更具体的建议，比如数据控制者对数据负责(无论数据位于何处)，对于遵守指令或者提供了足够安全措施的国家，成员国应当减少对数据流动的限制，限制措施应当与风险成比例，同时考虑到数据的敏感性、数据处理目的和处理环境[8]。在国际合作方面建议各国在私法领域的执法阶段信息共享，鼓励建立类似的数据处理标准[8]。修订后的《指南》目的在于促使成员国采纳相似的数据保护措施，促进数据的流动。

2.安全港协议

由于欧盟一直采取严格的数据保护标准，禁止向未达到欧盟标准的国家或地区传输个人数据。2000年7月，欧洲议会认定美国隐私保护不满足欧盟的最低标准，不具备获取证据的资格。美欧双方经过协商后达成了“安全港计划”*《安全港原则》的第一份草案于1998年11月公布，经过二次修改后在2000年5月正式通过，其主要包括两大部分：“安全港隐私原则”(Safe Harbor Privacy Principles)和“常见问题及答案”(Frequent Asked Question, FAQs)。(参见王孛：《美国与欧盟个人信息跨国流通安全港协议简论》，《知识经济》2008年第4期，第46页)， 美国公司可自愿加入，加入安全港计划意味着该公司已经符合欧盟的数据保护标准，可以获得来自欧盟方面的证据。“安全港计划”中规定了7项原则，即知情原则(notice)、同意原则(choice)、向第三方转移原则(onward transfer)、安全原则(security)、资料品质原则(data integrity)、参与原则(access)、救济原则(enforcement)*各原则内容参见http://export.gov/safeharbor/eu/eg_main_018475.asp。。一个组织如果希望加入此计划，首先需要遵守这7项原则，其次需要其自身建立一个遵守方案。如果已加入的组织涉嫌违反原则，美国联邦贸易委员会将会通过负责监督计划实施的非官方监管机构和欧盟成员国的重新评估来决定该组织是否继续享有协议带来利益。虽然此计划给美国当事人的数据调取提供了不少便利，但是也存在局限性。首先，某些不受美国联邦贸易委员会等政府机构(或其他有法律强制权力的机构)监管的行业，不得加入安全港计划，如电信业、银行业、保险业、信用联盟业，以及任何非盈利性机构等，这使得美国这些行业的大型企业在欧洲市场的业务受阻[9]；其次，安全港计划并不允许为诉讼目的传送电子数据，也就是说，安全港计划不适用于向美国法官提供数据的美国调查取证程序。因此遵守安全港计划的多国实体仍有可能因有关国家的障碍法规或数据保护指令以及其国内实施有关包含欧盟公民个人信息的电子数据传送的立法等而受到制裁[10]。

3.1990年联合国《关于自动资料档案中个人资料的指南》

《关于自动资料档案中个人资料的指南》(以下简称《个人资料指南》)为各成员国进行个人资料保护国内立法设定了6项基本原则*6项基本原则为：(1)合法合理原则；(2)准确性原则；(3)目的明确原则；(4)当事人查阅原则；(5)无歧视原则；(6)安全原则。。在数据的跨国流通方面，《个人资料指南》第9条推定，当两个或两个以上国家的立法对个人资料保护提供了彼此相当的保护措施时，个人资料应在国家之间自由流通，同时还应确保对网络隐私权的保护不会阻碍个人资料的跨国自由流通。但当各国的法律对个人资料规定的保护措施不同，发生冲突时，应当遵循哪国的法律，《个人资料指南》没有给出建议。

(二)国内立法

目前各国规制数据处理行为的法律规则很多，包括消费者保护法规、隐私保护法规和保护机密信息法规，各种不同的法律相互影响。在法律适用范围方面，除欧盟成员国以外，其他各国和地区的数据保护法中还未有有关适用范围的规定。欧盟成员国法的规定目前是参照欧盟《指令》制定的，所以在范围界定上大同小异，只是措辞略有不同。

1.德国2002年《德国联邦数据保护法》

《德国联邦数据保护法》第1条第5款规定，本法不适用于位于欧盟其他成员国或签署了欧洲经济区协议的其他成员国内的数据控制者，除非是其在德国境内的分支机构收集、处理或使用个人数据。本法适用于不位于欧盟其他成员国或欧州经济区协议的其他签署国内而在德国收集、处理或使用数据的数据控制者。对于本法定义的控制者，并且数据亦由在德国成立的代表主体提供。与《指令》第4条不同，德国法没有适用《指令》中对于非欧盟控制者的复杂规定，而是笼统地规定“在德国收集、处理或使用个人数据”，这就给德国法的适用留出宽泛的空间。

2.英国1998年《资料保护法》

英国《资料保护法》第5条规定，(1)除第54条另有规定外，本法适用于与资料有关的资料管理者，只要其符合以下条件之一：(a)资料管理者设立于联合王国并且在其设立后进行了资料处理；(b)资料管理者既不在联合王国也不在欧洲经济区内的其他国家设立，但却利用大不列颠联合王国内的设备处理资料的，但为路经联合王国而处理资料的除外[11]298。英国法严格执行了欧盟《指令》，但对其中核心概念没有做出阐释，导致适用的不确定性。

3.荷兰1998年《个人资料保护法》

荷兰《个人资料保护法》第4条规定，(1)本法适用于荷兰国内的与责任方的建立活动有关的个人数据处理。(2)本法适用于非欧盟国家建立之责任方所进行的个人数据处理，并且其处理方式必须是荷兰国内确定的自动或非自动方式。但专用于发送个人数据的方式除外。(3)本条(2)款规定之责任方被禁止进行数据处理的，责任方可依法制定荷兰本土公民代理进行数据处理。依据本法施行之目的，上述代理人视为责任方[11]299。荷兰法没有使用指令中的“控制者”和“处理者”的概念，转而使用了“责任方”的概念，将二者涵盖进去，但与《指令》区分“控制者”和“处理者”责任的立法模式有偏差。

欧盟成员国的数据保护立法都是根据欧盟《指令》制定的，其立法模式与《指令》中规定的相同，即以数据保护者机构所在地为标准。不同之处在于其对于概念范围的界定，如“处理”是否包括数据的搜集行为，“数据控制者”和“数据处理者”的区别标准。对于欧盟《指令》第29条，虽然工作小组引用“特殊数据处理者”的概念来指导各成员国进行界定，但收效甚微。各成员国的数据保护执行机构在执行法律阶段，也拥有一定的裁量权，导致《指令》在成员国内执行程度存在差异[12]。

四、数据控制者的机构所在地法

目前有关数据处理行为法律适用的规定，主要是在欧盟《指令》和欧盟成员国的法律中能够找到。而欧盟在数据保护立法中处于领头羊的地位，其立法模式对其他国家和地区有很大影响，因此本文主要分析目前欧盟数据保护法律适用的规则。

根据数据控制者(controller)的机构(establishment)所在地来确定数据处理行为所应适用的法律，是欧盟现行数据保护法的做法。欧盟现行有关数据保护的法律是1995年施行的《指令》，关于《指令》适用范围的内容规定在《指令》第4条中。第4条第1款规定了该《指令》适用的第1条标准，即数据控制者在欧盟设有机构*Art. 4 of the Data Protection Directive Each Member State shall apply the national provisions it adopts pursuant to this Directive to the processing of personal data where: (a) the processing is carried out in the context of the activities of an establishment of the controller on the territory of the Member State; when the same controller is established on the territory of several Member States, he must take the necessary measures to ensure that each of these establishments complies with the obligations laid down by the national law applicable.。这条标准的满足主要涉及到两个概念的范围和一项条件的认定，两个概念是“机构”和“控制者”，一项条件是数据处理行为和所设机构“相关联”。由于《指令》不能在欧盟成员国内直接生效，需要成员国国内法的转化，这就造成了各国数据监管部门在执行《指令》时的差异，在具体案件中也存在争议。

《指令》已经施行了20年，各成员国在执行层面宽严不一，使欧盟境内难以执行一致的数据保护标准。《指令》中制定的标准已经不再适应新的信息技术的发展，尤其是近些年社交网络和云计算技术的崛起，欧盟也意识到这些困境，所以，于2012年1月25日发布了欧盟《数据保护条例》(以下简称《条例》)[13]草案，从此拉开欧盟数据保护立法改革的大幕。该《条例》目前正处于欧洲议会、欧盟理事会和委员会提议及修订阶段，预计在2015年底或2016年初通过，通过之后两年生效。该《条例》生效后将取代《指令》，成为欧盟新的数据保护标准。由于其效力层级是条例而非指令，在通过之后两年过渡期后，直接对欧盟28个成员国生效，而不需通过成员国国内法转化，这将解决欧盟成员国之间的规定冲突问题，也有利于解决法律适用问题，确定准据法。欧盟期望用新的《条例》取代原先的《指令》以在法律层面上促进新技术的发展。

在云计算领域，欧盟往往被看作为一个阻碍者而不是推动者，原因在于其施行的严格的数据保护指令在一定程度上阻碍了数据的流动。而欧盟正竭力逆转这一趋势，欧盟委员会曾提出“释放云计算在欧洲的潜力”*参见“…unleash the potential of cloud computing in Europe”。，与这一口号相对应的措施是启动了更新数据保护法的进程。

《条例》第3条第1款沿用了《指令》第4条，将“数据控制者的机构所在地”作为适用标准。值得注意的是，《条例》与《指令》在此规定上存在以下两点不同：

第一，《指令》仅对“控制者”(controller)作出规定，而《条例》包括了“控制者”和“处理者”(processor)。《指令》规定了“数据控制者”“数据处理者”以及“第三方主体”(通常指通过云获取相关数据信息的其他云用户)这三类主体，他们在云计算服务提供过程中所应承担的责任和义务差异很大。根据该《指令》的定义，数据控制者是指有权决定私人数据处理具体目的和方式的一方，而数据处理者则是受数据控制者委托处理私人数据的一方。《指令》中，“数据控制者”承担绝大部分的责任和义务，相反“数据处理者”责任义务很少。这使得如何区分“控制者”和“处理者”成为《指令》适用与否和责任承担大小的关键。云服务提供商性质上属于“控制者”还是“处理者”，在具体案件中有很大争议。欧盟数据保护工作小组为了缓和概念判断的不确定性，引入“特殊控制者”和“特殊处理者”的概念，并就此制定了一系列指南[14]。但这并没有达到厘清概念的目的，各成员国依然在服务商行为定性的问题上争论不休*参见Google Spain SL, Google Inc. v. Agencia Espaola de Protección de Datos (AEPD), Case C-131/12, 2012。。

《条例》对于在欧盟境内设有机构的情形，一改《指令》区分“控制者”和“处理者”的立法方式，而将二者都涵盖进去，无论是数据的“控制者”还是“使用方”，只要在欧盟设有机构，都适用条例。在云计算环境下，往往不同服务提供方对数据进行多层次处理，硬件提供方、平台服务提供方和软件提供方对同一数据同时进行着存储和处理过程，难以区分谁是“控制者”谁是“处理者”。《条例》将二者同时纳入，无疑扩大了《条例》适用的范围，同时也避免了在云计算环境下陷入概念区分的泥淖。

第二，明确数据处理行为地点不作为适用条件。欧盟委员会公布的《条例》草案中未对数据处理行为地点作规定，在欧洲议会公布的修订草案[15]中，在原文第4条第1款后加入“无论数据处理行为是否位于欧盟境内”*Amendment 97, “This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, whether the processing takes place in the Union or not”.。欧盟理事会公布的修订草案也未在条文文本中直接规定“无论数据处理行为是否位于欧盟境内”，但在其修订案的解释中，指出数据处理行为是否发生在欧盟境内并不作为《条例》适用与否的考量因素[16]。这表明数据无论是在哪个地区的服务器上被处理，只要数据的控制者或者处理者至少其中一方在欧盟境内设有机构，并且处理的数据与其所设机构的活动有关联，则适用条例*虽然在随后欧洲议会的建议稿中并没有明确说明数据处理地点的作用。See Committee on Civil Liberties, Justice and Home Affairs, European Parliament, Report on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), PE 501.927v05-00, 2013.。

按照NIST对云计算的定义[17]，云计算具有广泛的网络接入(broad network access)和资源池(resource pooling)的特点，这意味着分散于世界各地的服务使用者可以随时使用网络上的IT运算资源。资源池汇集了各服务商的运算资源，根据客户的需求，自动分配或重新分配不同的实体及虚拟资源，用户无法控制或了解资源的所在位置，但在较高的抽象层(如国家、州或数据中心)可以指定资源所在地[18]。这表明用户的数据常常是被分派到各地的服务器处理的，并且具体某一部分数据由哪一地区的服务器处理是可以指定和追溯的。然而即便在技术层面确定数据处理的地点并不是难事，但在云计算环境中数据的跨地区交换是非常频繁的，由一个运营商控制或处理的数据将在不同地区的服务器上被处理，而这恰恰是云计算的优势所在——云数据跨境流动削减了与信息交互的经济和社会成本，扩大了信息存储与流动的渠道。因此在云计算的环境中，降低数据处理地在确定准据法中的作用，是符合技术发展的趋势的，降低了法律适用的不确定性。

《条例》沿袭了《指令》中“机构”(establishment)这一概念。在《指令》施行期，这一概念就引发了很多争议。《条例》继续使用这一概念，在目前新的信息技术迭起的时期，《条例》一旦施行，面临的概念范围厘定的争议会更多。

在云计算的环境中，“机构”这一概念首先面临的问题在于数据处理中心是否能够被看作为“机构”。欧盟理事会在2013年公布的修改草案中对“机构”作出了说明——“数据控制者在欧盟境内的主要机构应当根据客观标准来认定，应当反映其决策程序的管理活动和稳定的数据处理日程。……处理个人数据的技术措施的存在与使用不能被看作为‘机构’。数据处理者的主要‘机构’应当是其中心行政机构所在地，如果其在欧盟境内没有中心行政机构，应当是主要处理行为发生的地方。”[19]这样看来，运营商设在欧盟的数据中心也可以被看作为“机构”，因为数据中心即便没有行政机构，也是主要数据处理行为发生的地方。

考虑到“与其活动相关联”这一条件的满足没有客观的标准，一旦数据中心被认定为“机构”，《条例》很可能将广泛适用于在欧盟境内设立数据中心的云计算服务运营商。然而在《条例》文本没有最终确定之前，数据中心是否可以被看作“机构”还没有确定的答案。境外云计算服务运营商租用境内数据中心进行数据处理和备份是很常见的，这种情形中，运营商对数据的处理行为是否受《条例》的规范，还需《条例》修订过程中进一步明确。有学者建议这种情形中的数据中心不应当被视作“机构”，《条例》不适用，以免过于扩大《条例》的适用范围而使境外服务商望而生畏[20]。2010年，欧盟启动“数字欧洲计划”，作为“欧洲2020”(Europe 2020)的七大支柱之一，其中提出要提供符合欧盟标准的云计算服务，保证服务的竞争力、开放性和安全性。欧盟各成员国也正在建立各自的云计算平台[21]。欧盟一方面希望吸引全球云服务提供商使用欧盟境内的数据中心，另一方面又需要保护境内数据的安全，必须在二者之间找到平衡点。排除法律适用的不确定性带来的风险，是欧盟数据安全条例制定和修订过程中应当考虑的方面。

五、数据处理行为发生地法

目前采数据行为发生地标准的法律是欧盟《隐私与电子通信指令》[22]和《数据留存指令》[23]。

欧盟《隐私与电子通信指令》和《数据留存指令》缺乏诸如《指令》第4条那样的法律适用规范，欧盟委员会和数据保护机构通常在与保护消费者的指令(如《远程销售指令》)相似的基础上，确定《隐私与电子通信指令》的适用范围。《隐私与电子通信指令》第3条第1款规定，“本指令适用于共同体内与公共通信网络中的公用电子通信服务的提供有关的个人数据处理”。可见，其适用的依据是数据处理行为的发生地。该指令适用的条件是：个人数据的处理必须发生在欧盟境内；或者公共通信网络必须位于欧盟境内。由此可见，只要适用该指令，公用电子通信服务必须通过欧盟境内的公共通信网络提供。这实质上意味着，对实际位于欧盟境内网络的适用都应受指令的调整。《数据留存指令》第1条规定，该指令调整“共用电子通信服务或公共通信网络的提供者”，这和《隐私与电子通信指令》相似。

《隐私与电子通信指令》适用于“共同体公共通信网络”中与“公用电子通信服务”有关的任何数据处理，而网络是通过线路、转换器、路由器和其他物理设备运转的，这些物理设备必须位于欧盟境内，它是以属地原则为基础的。这就与以数据控制者的机构所在地为标准的《数据保护指令》和即将通过的《数据保护条例》相冲突。而这一冲突在云计算环境中会更加突出，比如机构设置于德国的数据控制者通常会使用位于欧盟其他国家的云计算中心的物理设备，按照《指令》应当适用数据控制者机构所在地的法律，即德国法，而按照“数据控制者的机构所在地”需要适用数据处理行为发生地的法律。

采取不同的适用规则的法律之间相互冲突，是目前欧盟有关数据处理的一系列指令存在的很大的问题。欧盟企图通过新的《条例》来解决这一类冲突，由于该《条例》可在成员国内直接适用，可见，数据处理行为发生地被数据控制者机构所在地取代，是欧盟立法的取向之一。

六、对中国的立法建议

我国目前有关数据处理方面的规则已经很多，分散于各法律法规之中，其中有其适用范围的规定[24]。例如，《中华人民共和国电信条例》第2条规定，在中华人民共和国境内从事电信活动或者与电信有关的活动，必须遵守本条例。《互联网信息服务管理办法》第2条规定，在中华人民共和国境内从事互联网信息服务活动，必须遵守本办法。本办法所称互联网信息服务，是指通过互联网向上网用户提供信息的服务活动。《电信和互联网用户个人信息保护规定》第2条规定，在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动，适用本规定。《计算机信息网络国际联网管理暂行规定实施办法》第2条规定，中华人民共和国境内的计算机信息网络进行国际联网，依照本办法办理。

我国有关数据处理的法律法规都将其适用范围限制在中国境内，并不规制境外的数据处理行为，与国外普遍主张域外效力的法律相反。而《信息安全技术公共及商用服务信息系统个人信息保护指南》却采取了国际上普遍的做法，对“个人信息处理者”“个人信息获得者”“处理”等概念作出了界定，将收集、加工、转移、删除都纳入到数据处理的范畴。这就意味着现行立法中的数据处理行为都应当被纳入到个人信息保护的范畴。而目前云计算已深入到日常生活的各个领域，数据处理往往牵涉到不同国家和地区的设备和服务提供商，将数据处理法律的适用范围限制在境内的立法模式显然已经不能实现立法目的。

我国目前还没有专门的保护个人信息的立法，全国人大正在考虑起草《个人信息保护法》，为了更好地保护个人数据，应将境外数据处理行为也纳入到规制范围内。首先，应在概念界定中明确“个人信息”“处理”的范围，采较宽泛的立法模式，将收集、加工、转移、删除都纳入到数据处理的范畴，扩大其适用范围。其次，结合目前云计算技术的发展和数据处理行为发生地的重要性降低，建议我国的信息保护法中采取数据控制者机构所在地作为适用的主要标准，将数据处理行为发生地作为补充适用的条件。对于机构位于境外，数据处理行为也发生在境外的情形，可以参考欧盟数据保护条例中的立法模式，规定与境内提供的商品或服务相关的数据处理行为，也受其规制。

参考文献：

[1]蒋杰.云数据跨境流动的法律调整机制[J].图书与情报,2012(6):57.

[2]金华,陈平凡.云计算法律问题研究[M].北京:法律出版社,2012:71.

[3]BYGRAVE L A. Determining Applicable Law Pursuant To European Data Protection Legislation[J]. Computer Law & Security Review,2000(16):252-253.

[4]Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995: On the protection of individuals with regard to the processing of personal data and on the free movement of such data[J]. Official Journal of the European Communities,1995(11):281-331.

[5]齐爱民.个人信息保护法研究[J].河北法学,2008(4):20.

[6]郭瑜.个人数据保护法研究[M].北京：北京大学出版社,2012:129.

[7]寿步,王晓燕.云计算知识产权问题研究[M].上海:上海交通大学出版社,2014:114.

[8]OECD. The OECD Privacy Framework, foreword[EB/OL]. [2015-10- 01]. http://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf .

[9]王孛.美国与欧盟个人信息跨国流通安全港协议简论[J].知识经济,2008(4):47.

[10] 郭玉军.论美国与欧盟国家域外取证领域的冲突及其解决[J].河北法学,2011(4):25.

[11] 齐爱民.拯救信息社会中的人格:个人信息保护法总论[M].北京：北京大学出版社,2009.

[12] 库勒.欧洲数据保护法[M].旷野，杨含永，译.北京:法律出版社,2008:55.

[13] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), COM(2012) 11 final[EB/OL].(2012- 01-25)[2015-10-10].http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf.

[14] EU Article 29 Data Protection Working Party Opinion 1/2010 on the concepts of “controller” and “processor” [EB/OL]. (2010- 02-16) [2015- 07-23]. http://ec.europa.eu/justice/policies/privacy/ docs/wpdocs/2010/wp169_en.pdf.

[15] Committee on Civil Liberties, Justice and Home Affairs, European Parliament. Report on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)[R/OL]. (2013-12-23) [2015- 07-23]. http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+REPORT+A7-2013-0402+0+DOC+PDF+V0//EN.

[16] Council of the European Union. Amendments by the Council to the Commission Draft suggested in a 28 February 2014 note to the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) [EB/OL].(2014- 02-28) [2015- 07-23].http://register.consilium.europa.eu/doc/srv?l=EN&f=ST%2017831%202013%20INIT.[17] NIST. The NIST Definition of Cloud Computing[EB/OL]. (2011- 09- 01)[2015- 06-10]. http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf.[18] HOKKWARTH T.向云环境迁移[M].中治研(北京)国际信息技术研究院，译.北京:北京理工大学出版社,2014:75.

[19] Council of the European Union. Amendments by the Council to the Commission Draft suggested in a 16 December 2013, note 27[EB/OL].(2013-12-16)[2015- 06-10].http://register.consilium.europa.eu/doc/srv?l=EN&t=PDF&gc=true&sc=false&f=ST%2017831%202013%20INIT.

[20] HON W K. Cloud Accountability: The Likely Impact of the Proposed EU Data Protection Regulation [J/OL]. SSRN Electronic Journal,2014(3):23[2015- 07-15].https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact=8&ved=0CB0QFjAAahUKEwjRnZmL-InHAhWSLogKHUDqDIw&url=http%3A%2F%2Fssrn.com%2Fabstract%3D2405971&ei=Gs-9VdGoH5LdoATA1LPgCA&usg=AFQjCNFAmX-5DOwPLFh_EDpsbGR2h0NOnw.[21] MAUGHAN A. Europe Offers Incentives to Cloud Computing Growth[EB/OL]. (2012-11- 06)[2015- 07-15].http://media.mofo.com/files/Uploads/Images/121029-Cloud-Computing-in-Europe.pdf.

[22] Directive 2002/21/EC of the European Parliament and of the Council of 7 March 2002 on a common regulatory framework for electronic communications networks and services (Framework Directive)[EB/OL]. [2015-10-10]. http://eur-lex.europa.eu/legal-content/EN/ALL/?uri=celex%3A32002L0021.

[23] Directive 2006/24/EC of the European Parliament and of the Council of 15 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks and amending Directive 2002/58/EC[EB/OL]. [2015-10-10].http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32006L0024.

[24] 齐爱民，盘佳.大数据安全法律保障机制研究[J].重庆邮电大学学报(社会科学版)，2015(3)：24-29.

(编辑:刘仲秋)

DOI：10.3969/j.issn.1673- 8268.2016.04.007

*收稿日期：2015-12-29

基金项目：国家社会科学基金重点项目：中国积极参与互联网国际规则制定研究(14AZD140)

作者简介：田新月(1990-)，女，湖北襄阳人，博士研究生，主要从事网络国际法问题研究。

中图分类号：D912.1

文献标识码：A

文章编号：1673- 8268(2016)04- 0037- 09

Legal Regulation of Data Processing in Cloud Computing Context

TIAN Xinyue

(InstituteofInternationalLaw,WuhanUniversity,Wuhan430072,China)

Abstract:Many domestic personal data protection laws literally state their exterritorial effect and are applicable to cross-boarder data processing activity. The current choice of law rules governing property and intellectual property cannot cover all data processing activities. Because of some data concerning nation security, in these cases choice of law rules governing contracts cannot be applicable. Now only the European data protection directive and regulation, which are expected to put into effect in the near future, and member states of EU, have clear rules of territorial scope in their data protection laws. The two criterions, “Establishment of data controller” and “place of data processing”, are adopted in EU laws, which are now being challenged by wide use of cloud computing technology. “Place of data processing” becomes less important and “Establishment of data controller” is the more reliable criterion. Chinese data protection law should literally definite its exterritorial effect and applicable to cross-boarder all data processing activities.

Keywords:data processing; cloud computing; applicable law