张 哲，齐爱民

(重庆大学 法学院，重庆 400044)

数字社会中，数据在全球范围内的流动日益频繁，数据处理全球化趋势显著，社会现实对传统主权观念的冲击使得扩大个人信息保护法域外效力成为必然，由此也引发管辖权冲突这一国际法难题。近年来，欧美相继出台或革新个人信息保护相关法律，在实体法和程序法上确立域外效力制度，其他国家也相继跟进，但在域外效力制度边界问题上并未形成全球共识。与国外相比，在法域外适用上，“我国只有少数法律明确规定了其域外效力，多数法律没有规定域外效力问题，甚至只规定其仅具域内效力”[1]。在理论研究方面也集中在国际私法、反垄断法、证券法、劳动法、知识产权法等领域，个人信息保护法域外效力制度研究相对较少(1)相关针对性研究参见：孔庆江、于华溢《数据立法域外适用现象及中国因应策略》(《法学杂志》,2020年第8期76-88页)；俞胜杰《<通用数据保护条例>第3条(地域范围)评注——以域外管辖为中心》(《时代法学》,2020年第2期94-106页);俞胜杰、林燕萍《<通用数据保护条例>域外效力的规制逻辑、实践反思与立法启示》(《重庆社会科学》,2020年第6期62-79页)。，它的正当性基础是什么？合理边界又在哪里？这种制度供给和社会现实需求之间的鸿沟亟待法学理论和立法上的弥合。2021年8月20日，我国正式通过《个人信息保护法》，该法第3条创新性地规定了域外效力条款，为我国运用法律手段规制域外个人信息处理行为提供了法律依据。但与欧美等国家和地区相比，我国在个人信息保护法域外效力制度的适用性、体系性等问题上还有进一步完善的空间。为此，深入研究并借鉴国外数据保护立法对于我国个人信息保护法域外效力制度的完善具有重要而深远的意义。

一、确立我国个人信息保护法域外效力制度的必要性

所谓个人信息保护法域外效力制度，是指一国对某一法域外处理个人信息的人、物或行为实施管辖，从而将其管辖范围扩展至该国领土之外的一种法律制度，该制度实施的效果即体现为个人信息保护法的域外效力。法律是国家意志的体现并在国家主权范围内保证其实施，其效力类型包括时间效力、空间效力和对人的效力。在法律的空间效力上，现代国家立法多以属地管辖为主，属人管辖、保护性管辖为辅，强调法律的域内效力。而所谓法律的域外效力，是指“法律的空间效力扩展到该国国家主权主管范围之外”[2]，而域外适用是一国法律在本国领土外的适用，“域外效力正是基于法律的域外适用而产生拘束力”[3]。一般认为，一国法律的管辖权包括立法管辖权、司法管辖权和执法管辖权。法律的域外效力来源于立法管辖权，是对他国主权的合理限制。基于法律的域外效力制度产生域外管辖，其是指“一国将其法律的适用范围或其司法和行政管辖范围扩展至该国领土以外”[4]。在美国，域外管辖也被称为“长臂管辖”(Long-arm Jurisdiction)，我国国务院新闻办公室发布的《关于中美经贸摩擦的事实与中方立场》白皮书将长臂管辖界定为“依托国内法规的触角延伸到境外，管辖境外实体的做法”[5]。在内容上，域外管辖包括域外立法管辖、域外司法管辖和域外执法管辖。

在理论层面，“数据主权”(Data Sovereignty)为个人信息保护法域外效力制度提供了较有解释力的依据和理论基础。在国际法中，“主权是一国最高的权力，是不受任何人世权力支配之权力”[6]，在1927年9月7日著名的“荷花号”(Lotus)案件判决中，国际法院肯定了土耳其对法国船员的刑事管辖权，并认为刑法的属地性不是一项绝对性的国际法原则，也并不与领土主权完全一致(2)S.S. Lotus (Fr. v. Turk.), 1927 P.C.I.J. (ser. A) No. 10 (Sept. 7).。可见，突破属地原则并允许法律域外适用早已具有国际司法实践的基础和支撑。《塔林手册2.0版》肯定了一国法律在网络空间中的域外管辖权，“在国际法的限制范围内，国家可对网络活动行使属地和域外管辖权”[7]。大数据时代，网络空间成为继陆地、海洋、天空、外太空之外的第五空间，数据成为国家基础性战略资源进而受到国家主权的管控。在数据主权概念上，学者多强调其属地性，“数据主权指一个国家对其政权管辖地域范围内个人、企业和相关组织所产生的数据拥有的最高权力”(3)参见：沈国麟《大数据时代的数据主权和国家数据战略》(《南京社会科学》,2014年第6期113-119页)。类似观点亦可参见：孙南翔、张晓君《论数据主权——基于虚拟空间博弈与合作的考察》(《太平洋学报》,2015年第2期63-71页);曹磊《网络空间的数据权研究》(《国际观察》,2013年第1期53-58页)。。也有学者认为，“数据主权意味着数据即使被传输到云端或远距离服务器上，仍然应受其主体控制，而不会被第三方所操纵”[8]。因而有学者指出，“一国公民在境外形成的数据也属于该国管辖的范围”[9]。笔者认为，数据主权，“其对内体现为一国对其政权管辖地域内任何数据的生成、传播、处理、分析、利用和交易等拥有最高权力；对外表现为一国有权决定以何种程序、何种方式参加到国际数据活动中，并有权采取必要措施保护数据权益免受其他国家侵害”[10]。在国际法理论上，“《塔林手册2.0版》适应时代的需要，将网络活动国际管辖权的对象扩大到数据，从而第一次在国际管辖权规则创设上明确将数据作为独立的客体，体现了对数据主权观念的肯定”[11]。由此可见，随着网络空间主权在各国立法上的确立，数据主权成为国家主权在网络空间的自然延伸和新体现，其为个人信息保护法域外效力制度的构建提供了理论支撑。

大数据时代，自然人的个人信息是主要的数据类型并具有极高的潜在利用价值，其在全球范围内的大规模和高频次流动不可避免地带来了国家主权间的冲突问题。跨国互联网企业在促进贸易和服务全球化的同时，也存在通过数据收集和分析这一无形方式侵蚀一国主权的风险，这种社会现实使得在个人信息保护立法上扩大域外效力范围成为各国维护国家利益，实现价值输出和制度输出，进而争夺网络空间国际治理规则制定主动权和话语权的重要方式。个人信息保护法域外效力制度不仅是建立在各方参与主体切实利益需求之上的制度创新，在更宏观的意义上，也是一国实现政治、经济等多元目的的法律武器。因此，构建科学完备并具有可适用性的个人信息保护法域外效力制度既是我国实现自然人人格利益保护的内在要求，也是迈向数据强国，参与并主导国际网络空间治理的重要举措，具有理论和实践上的必要性。

二、欧盟个人信息保护法域外效力制度评析

(一)《欧盟数据保护指令》域外效力制度

早在1995年，《欧盟数据保护指令》(Data Protection Directive 95/46/EC，以下简称“95指令”)第4条就确立了域外效力制度(4)该条的适用情形主要包括三种，第一种情形为在设立机构背景下实施的处理行为，第二种情形为国际公法原因，第三种情形为使用设备、自动化方式或其他方式的个人数据处理行为(除了使用该设备仅仅是为了通过共同体领土的数据传输情形)。See Data Protection Directive (95/46/EC), Article 4.。对于第一种情形中“设立机构”(Establishment)的界定，95指令序言(19)明确，设立机构意味着通过“稳定安排”(Stable Arrangement)的有效且真实的活动实施，在法律形式上是法人的分支机构或子公司不是决定性因素(5)See Data Protection Directive (95/46/EC), Recital 19.。对于第三种情形中“设备”(Equipment)的界定，原欧盟第29条工作组(Article 29 Data Protection Working Party，以下简称“WP29”)建议对其进行宽泛的解释，包括人或技术中介，如调查或查询活动(6)See Article 29 Data Protection Working Party.Opinion 8/2010 on applicable law [EB/OL].(2010-12-16)[2021-01-16].https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp179_en.pdf。由此可见，在受法律概念文义范围限制的情况下，欧盟希望通过对概念解释的技术性扩张来尽可能地扩大95指令的域外适用范围，从而实现其立法目的。事实上，95指令序言(20)在一定程度上采纳了国际法中的效果原则，其明确位于第三国的主体的数据处理行为不应阻碍95指令对个人的保护，在此等情形下，其应当受到“所使用的工具”(Means Used)所在地成员国的法律约束(7)See Data Protection Directive (95/46/EC), Recital 20.。但细究之，即可发现，无论是设立机构还是设备，其立法思路仍强调处理行为与成员国领土之间的“物理连接”(Physical Link)[14]，因而并非完全的效果原则。领土上的连接固然是效果原则适用的主要动因，但却并非唯一的触发因素。可以说，95指令在域外效力制度上迈出了重要一步，但在法律规定上仍以地域联系为中心，这在一定程度上会导致其受法律条文本身的限制而影响其域外适用范围。

司法实践中，欧盟法院(Court of Justice of the European Union，简称“CJEU”)在“Weltimmo”案中摒弃了形式主义认定方式，对设立机构采取了更接近其实质的解释。法院认为，只要特定的数据控制者在某个成员国领土范围内通过稳定的安排，甚至是一个最小的机构安排，实施了真实和有效力的活动，那么该数据控制者在这种背景条件下所实施的处理行为就要受到该成员国法律的约束(8)欧盟法院在该案中做出裁决所考虑的因素包括：(1)数据控制者的处理行为构成对某个成员国境内的财产提供交易服务的网站的运营且网站内容以该成员国的通用语言来显示，因而该处理行为在结果上是主要或完全针对某个成员国；(2)数据控制者在该成员国领土范围内有一个代表，该代表负责偿还由数据处理行为所产生的债务并在有关数据处理行为的行政和司法程序中代表数据控制者。See Weltimmo s. r. o. v. Nemzeti Adatvédelmi és Információszabadság Hatóság, Case C-230/14, EU:C:2015:639.。在另一个案件中，法院明确指出，设立机构的认定需要评估特定安排稳定性的程度和活动实施的有效性，仅仅是网站的访问并不构成第4条(1)(a)中的设立机构(9)Verein für Konsumenteninformation v. Amazon EU Sàrl, Case C-191/15, EU:C:2016:612.。在谷歌被遗忘权案件中，欧盟法院认为，谷歌西班牙公司在西班牙从事着通过稳定安排的活动的真正有效执行，构成95指令中的设立机构，谷歌西班牙公司意图在其境内推广和销售旨在使谷歌搜索引擎盈利的广告位，谷歌总公司的搜索结果和相关广告在同一网站页面显示，这种为使谷歌搜索引擎盈利而为的数据处理行为是在谷歌西班牙公司这一设立机构活动背景下实施的，二者之间存在“无可摆脱的联系”(Inextricable Link)，故而认定发生在美国的搜索引擎索引行为受95指令的约束[15]。欧盟法院作出裁决后，WP29于2015年12月发布了关于该案适用的指引，WP29指出，对于“免费+广告”这一常见的商业模式，成员国境内的设立机构从事销售广告位并盈利或其他相关行为的，可以被认定为存在无可摆脱的联系。对于其他商业模式和行为，非欧盟企业通过提供网络服务来获得会员费或用户订阅的行为，甚至是为捐赠目的而实施的处理行为，都可以在特定情况下被纳入欧盟法的适用范围[16]。

虽然确立了域外效力制度，但95指令存在的问题在于：一方面，在法律适用上，需要综合考虑设立机构对介入处理行为的程度、处理行为的性质和有效数据保护的需求进行认定[17]，这种基于个案的认定方式给了法院很大的自由裁量权，但却难以满足法律的确定性要求，使得境外企业在数据合规上面临较大的不确定性。另一方面，95指令域外效力制度仅适用于数据控制者，不包括处理者，一些境外的云服务商便可以基于此条规避法律义务。此外，必须存在领土连接的要求也在一定程度上排除了95指令对虽与欧盟没有领土连接，但其处理行为却对欧盟境内数据主体产生实质性影响的数据处理主体的适用，造成对不同数据主体的区别保护，这也为欧盟个人信息保护法域外效力制度的革新奠定了基础。

(二)《欧盟通用数据保护条例》域外效力制度

2018年5月25日，《欧盟通用数据保护条例》(General Data Protection Regulation，以下简称“GDPR”)正式生效，它在肯定95指令设立机构背景标准的基础上，进一步扩大了域外效力范围。在GDPR第3条中，第一和第二种情形均适用于数据控制者和处理者，加之GDPR第4章规定的各项法定义务，大大扩张了GDPR的域外适用范围和强度。GDPR第3条(1)所确立的设立机构标准包含了属地管辖原则，也即设立机构是数据控制者或处理者本身的情形，但是该标准又不限于此，而是具有了全球管辖的可能。此外，相较于95指令第4条(1)(c)将欧盟境内的设备作为地域连接点的情形，GDPR第3条(2)突破了欧盟境内设备的限制，通过对数据控制者或处理者的行为和目的是否针对欧盟市场进行直接管辖，从而将管辖权力真正扩大到全球。结合第3条(1)和(2)的内容，GDPR其实是将所有与欧盟境内的自然人存在密切联系的处理行为都纳入了条例管辖范围，这种做法在事实上确立了一种新的管辖标准，即根据数据处理行为的实际效果来判断个人信息保护法的适用与否，WP29将其称为“效果原则”(Effects Principle)[19]。整体而言，GDPR在管辖原则上其实是以属地原则为基础，效果原则为补充，这种做法是欧盟立法者对大规模、常态化个人信息跨境处理行为的现实回应。2019年11月12日，欧洲数据保护委员会(European Data Protection Board，以下简称“EDPB”)发布了《关于GDPR第3条地域范围的指南》(Guidelines 3/2018 on the territorial scope of the GDPR (Article 3))，对三种适用情形作出了更进一步的解释。相较于95指令，由于国际公法标准并未发生变化且主要针对公务机关的数据处理活动，故接下来笔者主要就GDPR中的“设立机构标准”(Establishment Criterion)和“靶向标准”(Targeting Criterion)进行论述。

1.设立机构标准

关于设立机构标准，EDPB提出了一种“三重方法”(Threefold Approach)，包括欧盟设立机构、在设立机构背景下实施的处理行为、GDPR对数据控制者或处理者设立机构的适用(无论处理行为是否发生在欧盟境内)。通过对这三个要件进行逐一判断，最终确定GDPR第3条(1)是否适用。在上述三个要件中，EDPB认可了95指令以及司法实践中关于设立机构的判断标准并进一步认为，在满足一定条件的稳定性要求下，境外企业在欧盟境内设立的一个员工或一个机构均可构成一项稳定的安排，从而触发GDPR的域外适用。EDPB重点分析了设立机构与数据控制者或处理者之间的连接问题。该问题的判断需要综合评估设立机构与境外数据控制者或处理者之间是否存在无可摆脱的联系，这是一项基于个案分析的判断标准，法院具有较大的自由裁量权。在欧盟境内已经存在设立机构的前提下，欧盟境外数据控制者或处理者与欧盟境内设立机构之间的联系(无论设立机构在数据处理活动中是否发挥作用)，通过欧盟境内设立机构实现的财务增长就是判断GDPR是否适用的两个重要参考因素。EDPB也举例道，一家位于南非的度假连锁酒店通过网站提供交易服务，网站语言包括英语、德语、法语和西班牙语，但其并没有在欧盟设立办公室、代表或稳定的安排。在这种情形下，EDPB认为此种处理行为就不会触发GDPR第3条(1)的适用。但需要特别注意的是，这并不意味着该情形就不适用于GDPR，如果其满足靶向标准，则可以基于GDPR第3条(2)而触发域外适用。

2.靶向标准

关于靶向标准，GDPR第3条(2)作出了明确规定，对于在欧盟境内没有设立机构的数据控制者或处理者，以下两种情形将触发GDPR的适用。需要注意的是，两种情形的一个共同前提是数据主体位于欧盟境内，且这种判断要基于处理行为发生时数据主体所在的具体位置并考虑处理行为所针对的用户群体。对于针对欧盟境外用户的网络服务，临时进入欧盟地区的境外用户并不构成本情形中的数据主体，不会触发GDPR的域外适用。EDPB就此举例道，一位美国人在欧洲度假，其下载了仅针对美国用户的新闻APP，那么即使其身处欧盟境内，在这种情形下也不会触发GDPR的适用，原因在于该新闻APP并不符合靶向标准。该例证也反映出数据主体应当是一种较为稳定的存在，临时度假的游客难以受到GDPR保护。

(1)该数据控制者或处理者为欧盟境内的数据主体提供商品或者服务，无论该种商品或服务是否要求数据主体付费。从字面上看，这是一个非常抽象的表述。根据GDPR序言(23)，应当确认是否明显可知数据控制者或处理者意图为欧盟成员国境内的数据主体提供服务。如果仅仅是对数据控制者、处理者或中介机构在欧盟境内的网站、电子邮箱地址或其他联系信息的访问，或者是对数据控制者所在地第三国的通用语言的使用，都不足以证明其具有针对性地向欧盟境内的数据主体提供商品或服务的意图。而诸如所使用的语言或货币通常被用于一个或多个成员国境内且具有以该种语言或货币订购商品或服务的可能性，或者所提及的消费者或使用者位于欧盟境内等情形，可以明显可知数据控制者或处理者意图为欧盟境内的数据主体提供商品或服务。EDPB指出它的核心在于界定“有关”(Related to)。对于数据处理行为的判断应当以其发生时为准，数据控制者或处理者所使用的语言、货币支付方式、提供搜索引擎服务、网站顶级域名、商品运送服务等因素可以作为认定网络服务提供者针对欧盟境内数据主体提供商品或服务意图的根据。EDPB列举的参考因素几乎涵盖了网络服务的方方面面，倘若法院采取宽泛的界定标准或选择性适用，势必会引发GDPR域外适用的泛化，不仅不利于企业数据合规，反而会迫使境外企业因为营商环境严苛和不确定性而退出欧洲市场，损害欧洲消费者福利。

(2)该数据控制者或处理者的处理行为涉及对数据主体发生在欧盟境内的行为的监控。对于“监控(Monitoring)”的界定，根据GDPR序言(24)，应当确认该自然人是否在网络中被追踪，包括以个人数据处理技术为潜在后续使用而将数据主体建档，特别是为了作出决策，或者是为分析或预测其个人偏好、行为和态度。EDPB进一步认为，GDPR序言中规定的用户画像行为仅仅是数据控制者或处理者实施监控行为的一种方式，通过可穿戴设备或智能设备等其他方式实施的监控行为也应当被纳入考量范围。EDPB也列举了常见的监控行为，包括行为广告、地理位置服务、利用Cookie或其他技术实施的网络追踪、个性化的饮食和健康分析服务、CCTV、基于个人档案的市场调研或行为研究、监控或定期报告个人健康状况等。应当说，这种列举也涵盖了当前网络服务的主要实践做法，保持了欧盟尽可能扩张其个人信息保护法域外效力的一贯态度，但同样带来法律的不确定性。

总体而言，GDPR第3条所确立的域外效力制度使得对被规制对象的认定标准从行为的相关属地过渡到行为的影响，这种立法方式更接近数据主权的抽象实质，但也带来了法律适用上的不确定性。从国际法角度看，欧盟GDPR的规定“合法性问题不存在质疑，合理性的判断有赖于管辖边界的进一步厘定”[22]。尤其是靶向标准，需要结合数据主体、数据处理行为主体、行为目的、行为方式等具体细节进行个案认定，而不应当一概而论地进行笼统判断。在战略上，欧盟这种做法的实质是以整个欧洲市场作为筹码参与国际博弈，通过GDPR来“扭转其在全球互联网产业中的劣势地位”[23]。在社会效应上，GDPR的正式实施也引发了全球互联网企业数据合规成本的增加，一些互联网企业被迫放弃欧盟市场。美国国家经济研究局(NBER)发布的报告显示，在GDPR实施后，欧盟国家企业的融资总额、融资交易笔数以及每笔融资交易金额均大幅减少[25]。由此可见，GDPR域外效力的边界也影响着欧盟地区数字经济的未来发展，这对我国而言也是一个警醒。

在程序性立法方面，在美国通过云法案之后，欧盟也于2018年4月17日出台了《涉刑事电子证据提交和保存命令条例(建议稿)》(Proposal for a Regulation of the European Parliament and of the Council on European Production and Preservation Orders for Electronic Evidence in Criminal Matters)，以便执法及司法当局能更快速地获取电子证据，不论该数据存储于欧盟境内还是境外。该条例适用于向欧洲提供服务并具有实质性连接的所有网络服务商，在实施方式上包括两种命令，即欧洲数据提交令(European Production Order)和欧洲数据保存令(European Preservation Order)(10)The European Commission. Proposal for a Regulation of the European Parliament and of the Council on European Production and Preservation Orders for Electronic Evidence in Criminal Matters[EB/OL]. (2018-04-17)[2022-07-15].https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM%3A2018%3A225%3AFIN.。在符合条件的情况下，要求电子通信服务商、信息社会服务商、互联网域名服务机构提供或保存电子证据，数据类型则包括用户数据、访问数据、交易数据和内容数据。在性质上，用户数据中的身份信息、访问数据中的登录时间和IP地址、交易数据中的设备型号、内容数据中的视频音频信息等均可能因其具有可识别性而构成个人信息。可以说，该条例虽然限于刑事领域，但其通过后将为欧盟成员国获取境外用户个人信息提供法律依据。

三、美国个人信息保护法域外效力制度利弊衡量

(一)美国信息隐私法律域外效力制度

在域外效力制度方面，2000年4月21日，《美国儿童在线隐私保护法》(Children’s Online Privacy Protection Act，以下简称“COPPA”)正式生效，其规制对象为针对美国13岁以下儿童的网站或者在线服务的运营者，在地域适用范围上包括了在外国运营网站或提供在线服务的企业，但并未具体规定何种情形会触发COPPA的域外适用。2018年6月28日，《2018加利福尼亚消费者隐私法》(California Consumer Privacy Act of 2018，以下简称“CCPA”)正式通过。该法在域外效力部分有所规定，将“在加州有业务”(do business in the State of California)并处理加州居民个人信息的行为纳入规制范围(11)California Consumer Privacy Act 2018, Section 3,1798.140.，而无须考虑数据处理主体是否位于加州境内，但并没有对“在加州有业务”作出具体解释，只是从反面规定，当处理行为“完全不在加州”(wholly outside of California)时不予适用。有学者指出，这一规定与欧盟的“设立机构的活动”相等同，但对于在加州之外的数据控制者，即使其对加州居民实施监控行为，若不被认定为“在加州有业务”，也不会触发CCPA的适用[26]。笔者认为，首先需要注意的是，CCPA并非适用于所有规模的数据处理主体，而是需要满足三个条件之一(12)根据CCPA的规定，所适用的企业应当满足：(1)年度总收入为2500万美元；(2)购买、销售或基于商业目的接受或分享50 000或更多消费者、家庭或设备的个人信息；(3)从销售消费者的个人信息中获得 50% 或更多的收入。See California Consumer Privacy Act 2018, Section 3,1798.140.。其次，CCPA采取了类似于效果原则的管辖标准。根据法律的文义解释和目的解释，其包括两层含义，第一是在加州境内有实际设立机构，那么根据属地管辖原则自然要受到约束。第二是在加州境外处理加州居民的个人信息，根据逻辑反推，在该处理行为与加州居民存在一定程度的联系时，应当受到约束，这一点类似于GDPR中的靶向标准。CCPA通过这一规定实现了两种管辖原则的统一，但也存在进一步解释的必要，以确定其边界。

(二)《美国云法案》域外效力制度

《美国云法案》是刑事领域扩大境外数据调取执法权限的一种新模式，旨在解决美国政府调取境外数据及外国政府获取美国境内数据的合法性及程序问题。该法出台的直接动因来自“微软诉美国政府”案，该案反映出美国1986年《存储通信法》(Stored Communication Act)在政府跨境调取数据上的合法性难题，而通过“共同法律协助条约”(Mutual Legal Assistance Treaty)的方式又因其门槛高和流程缓慢而无法满足网络时代的跨境执法效率需求。为此，美国国会于2018年3月迅速通过了《美国云法案》，它代表了美国通过国内法而非国际会议等方式来设定国际新标准和规则的一次尝试[27]，实质在于依托美国大型跨国公司对全球数据的控制而“将自己的企业变成领土的延伸”[21]。

在具体内容上，《美国云法案》第2713条规定：“一个提供电子通信服务或远程计算服务的服务商应该遵守本章提到的义务，包括保存、备份或披露有线或电子通讯的通讯内容和任何记录，以及任何供应商拥有、监管、控制的消费者或者订阅者的信息；不管这些通讯、记录或者其他信息位于美国境内还是境外。”(13)13See US. Clarifying Lawful Overseas Use of Data Act,§2713. Required preservation and disclosure of communications and records.该规定并未限制企业或数据存储的地域，美国司法部发布的白皮书进一步指出，考虑到位于境外，但向美国提供服务的企业与美国之间联系的性质、数量和质量，只要这种联系是充分的，那么就会触发美国法律的适用[28]。因此，美国政府可以以此为由将其执法权力扩张至全球。对于外国政府的跨境数据调取，《美国云法案》首先对外国适格政府的认定设置了较为严格的限制条件，且适格与否由美国当局裁定，具有较大的自由裁量权。即使满足了适格政府条件，外国政府的数据调取命令还应当满足11项要求(14)14See US. Clarifying Lawful Overseas Use of Data Act,§2523. Executive agreements on access to data by foreign governments.,“这体现了对其他国家数据主权的不尊重，是单边主义和以美国为中心的表现”[29]。基于美国和外国政府在跨境数据调取上的不平等条件，“《云法案》实际上单方面赋予美国政府对全球绝大多数互联网数据的‘长臂管辖权’，这对于强调‘隐私保护’乃至‘数字主权’的国家构成了极大挑战，必然会因此引发反弹”[30]。笔者认为，《美国云法案》的实质是美国以技术和市场占优的美国企业对全球数据的控制为筹码，通过美国企业在全球的分布将法律武器延伸至世界各地，输出美国式隐私保护标准，以最大化维护其国家利益。此外，《美国云法案》虽然以刑事执法为由扩大了美国和外国政府获取数据的能力，但也威胁了美国和外国民众的隐私和言论自由，其合理边界的确定仍需通过多边协定形成跨境数据调取的国际标准[31]。

除欧美外，世界上其他国家，如英国、日本、韩国、南非、巴西等国也在近年相继出台或革新了个人信息保护相关法律。虽然在具体制度设计上存在差异，但在法律地域适用范围上，将符合法定条件的境外数据控制者和处理者纳入管辖范围成为多数国家(地区)的共通做法。例如，在《德国联邦数据保护法》(Bundesdatenschutzgesetz，简称“BDSG”)第一节目的和范围部分，区分了公共机构和私人机构，对于私人机构，数据控制者或处理者在德国境内或者是在德国设立机构背景下实施的处理行为要受到约束。此外，受GDPR管辖的境外机构同样要受到该法的约束(15)15See German. Federal Data Protection Act, Part I, Chapter 1, Section 1.。《英国数据保护法2018》(Data Protection Act of 2018，以下简称“DPA2018”)第207条基本上沿用了GDPR的效果原则，将在英国设立机构背景下实施的数据处理行为纳入规制范围。除此之外，对于在英国不存在设立机构的情况下实施的数据处理行为，在GDPR第4条规定的第二种情形基础上，还要求处理行为与英国境内的数据主体有关，这一点与EDPB的意见一致。随后，该条还规定了设立机构的四种情形，其中甚至包括了自然人(16)16See UK. Data Protection Act 2018, 207 Territorial application of this Act.。相较于GDPR，英国DPA2018将效果原则规定得更加清晰，即凡是涉及英国境内数据主体的处理行为，原则上都要受到约束。除此之外，南非、印度、巴西、澳大利亚以及我国台湾地区、澳门地区的个人信息保护立法均对域外效力进行了规定，这些规定虽然在表述和具体认定上存在些许不同，但在实质上，其内容基本与GDPR一致，均是通过境外企业与主权国家或地区的联系来扩大域外管辖范围。

综上可见，在个人信息保护法域外效力制度上，无论是欧盟GDPR还是《美国云法案》，其域外管辖的基础均在于某种联系，个人信息保护法域外效力范围的边界就取决于一国立法者对这种联系紧密性的认定。在立法上，多数国家或地区以GDPR为参考，基本上以更具弹性的地域连接点为主要触发条件。这一国际立法主流表明，在尚未形成国际惯例和条约的现状下，通过国内立法进行域外效力扩张是各国维护数据主权并参与网络空间国际治理的共通做法，而由此引发的管辖权冲突也将加速双边或多边国际条约的形成。

四、我国个人信息保护法域外效力制度的构建

2020年10月21日，全国人大法工委发布的《关于<中华人民共和国个人信息保护法(草案)>的说明》明确指出，“借鉴有关国家和地区的做法，赋予本法必要的域外适用效力，以充分保护我国境内个人的权益”。正式出台的《个人信息保护法》在第3条规定了地域适用范围，我国由此正式在法律层面确立了域外效力制度。这是一个大的突破，也是一次新的探索，但从域外法治实践来看，个人信息保护法域外效力制度的构建是一项系统性工程，它牵涉一国的政治、经济等多元利益考量，远非一部《个人信息保护法》所能完成，还需要从执法、司法、国际合作等方面丰富其内容并使其真正落到实处。笔者认为，立足于《个人信息保护法》第3条的规定，我国未来还应当从个人信息保护法域外效力制度的适用性、体系性和国际性三个层面进一步完善。

(一)强化个人信息保护法域外效力制度的适用性

我国《个人信息保护法》第3条第2款规定了三种域外适用情形。从其实质内容和表述上看，该项规定具有较为明显的GDPR印迹，几乎是GDPR第3条(2)在我国的翻版。但细究之可以发现，第一种情形直接采取了EDPB意见的核心，即目的决定论。第二种情形虽然与GDPR中的表述“监控”不同，但是通过GDPR序言(24)可以看到，监控包括对用户的追踪、画像、分析和预测，也就是说，我国《个人信息保护法》直接将监控行为进行了类型化列举，二者在实质含义上并无太大区别。第三种情形作为兜底条款，为我国未来个人信息保护相关立法预留了空间。第3条第2款的规定充分吸收了国外的立法经验，也几乎囊括了所有可能的情形，但是这些规定在适用上仍存在进一步解释的必要，例如对于第一种情形，按照EDPB的观点，执法和司法机关可以通过网站接入、语言和货币支付的使用、数据处理内容等因素来综合判断特定处理行为的意图。我国可基于这一观点，出台更加详细的认定标准和参考因素，如营销活动、官方网站对中国信息主体的提及等。对于第二种情形，按照EDPB的观点，可以参考的因素包括：基于行为的广告、基于具体地点的活动、通过网络追踪器(Cookie)监测、在线定制膳食或分析健康状况、采用闭路电视监测、基于个人画像施行调查问卷或其他行为研究、监测或定期报告个体健康状况(17)See European Data Protection Board, Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)[EB/OL].(2019-11-12)[2020-10-05].https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_3_2018_territorial_scope_after_public_consultation_en_1.pdf.。有学者指出，我国《个人信息保护法》中规定的分析和评估似乎涵盖了GDPR中的监控行为，其边界不甚清楚[32]，因此，我国可以通过颁布相关实施细则对分析和评估的内涵做进一步的明确，尤其是结合自动化决策行为的相关认定，从而为执法和司法活动提供更加清晰的指引。

此外，我国《个人信息保护法》在第7章法律责任部分涵盖了民事、行政和刑事责任，因此，域外效力制度的构建不仅要考虑民事活动，还应当考虑其他涉及国家安全、公共利益甚至国际犯罪的行为，在目前的立法框架下补充保护性管辖、普遍性管辖和基于国际公法产生的管辖，以实现保护的全面性和周延性。具体而言，对于属地管辖，一般认为，一国的船舶和航空器在国际法上构成一国领土范围的延伸，因此，在未来的相关实施细则中，应当明确在中华人民共和国船舶或者航空器内处理自然人个人信息的活动，也适用《个人信息保护法》。对于保护性管辖，在境外个人信息处理行为涉及国家安全时，明确其适用我国《个人信息保护法》。对于普遍性管辖，在我国《刑法》第9条已经确立普遍性管辖的基础上，无需在《个人信息保护法》中重复规定，可通过第3条第2款(3)实现。对于我国在境外的使领馆等机构实施的个人信息处理行为，其也应当受到我国《个人信息保护法》的约束，因此，在未来的相关实施细则中，应当明确基于国际公法而适用《个人信息保护法》的个人信息处理活动。

(二)提升个人信息保护法域外效力制度的体系性

对于个人信息保护法域外效力制度而言，除了立法层面的明确规定外，执法和司法层面的规则建构亦十分重要。在一国法律中规定域外效力制度并非十分困难的事情，域外效力制度真正的困难在于实施，因此有学者把域外效力制度比喻为“立法者的美梦和法官的梦魇”(18)SVANTESSON D.Extraterritoriality and targeting in EU data privacy law: The weak spot undermining the regulation[J].International Data Privacy Law,2015,5(4):226-234.。因此，我国有必要构建域外立法管辖和域外执法管辖并存的法律制度，同时通过程序性立法保证数据跨境执法活动的真实有效实施。

我国《个人信息保护法》在域外效力执法规则构建方面以防御为主。第41条对跨境数据调取作了基本性规定(19)《个人信息保护法》第41条：中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准，个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。，根据这一规定，个人信息处理者在未经国家主管机关批准的情况下不得向外国司法或者执法机构提供存储于我国境内的个人信息，这一规定将跨境数据调取的决定权交予国家主管机关，有利于充分保障我国的数据主权。除此之外，对于危害个人权益、公共安全或国家安全的个人信息处理行为，第42条还规定，国家网信部门可以将其列入限制或者禁止个人信息提供清单，予以公告，并采取限制或者禁止向其提供个人信息等措施。该条增强了对境外个人信息违法行为的阻击力度。总体来看，我国《个人信息保护法》在域外效力制度实施方面的规定以防御为主，并未将我国的执法权力延伸至境外，这一点与《美国云法案》不同，后者强调在何种情况下可以调取存储于境外的数据。

在国际层面，个人信息保护跨境执法问题同样困难重重，其根本原因在于一国执法权力受国家主权的限制，一般只能在本国领土范围内行使，而不能将执法范围扩张至他国领土，是否能够得到执行往往需要取决于他国的同意。为有效解决这一问题，国际上已经有了相关的实践做法，第一种是通过成立国际组织进行法律援助、信息共享和联合调查等执法合作，例如在经济合作组织(Organization for Economic Co-operation and Development，简称“OECD”)倡议下成立的“全球隐私执法网络”(Global Privacy Enforcement Network，简称“GPEN”)，该组织致力于国际数据执法合作，目前已经有美国、加拿大等多个国家加入了该组织。第二种做法就是通过双边协议或者多边协议的方式开展执法合作。有学者认为，“中国应加强与其他国家数据保护机构之间的合作，以解决对个人信息保护的跨境执法，只有这样，才能有效确保《个人信息保护法》域外适用的效果”。笔者认为，为确保个人信息保护法域外效力制度的合法有效执行，我国还应当提供相关配套制度来保障域外执法活动的实施。因此，我国在《个人信息保护法》中确立域外效力制度之余，还应当在程序性立法中予以跟进，不仅为域外效力制度的落地实施提供程序性操作指引，也为我国监管机构实施域外执法活动提供法律依据。

在个人信息保护法域外效力制度的司法适用上，我国尚未形成明确的裁判标准，尤其是外国判决的承认和执行问题。从欧美的司法实践看，尽管已经出台了具体指引，但相关概念的界定仍存在较大的不确定性，而最终的裁判结果不仅会左右单个案件，还会影响其他境外企业的合规经营，甚至会在一定程度上阻碍数字经济的全球化发展，造成网络服务市场壁垒。尤其是基于效果原则实施的域外管辖，考虑到域外效力制度在一定程度上限制了他国的国家主权，“如果将管辖权扩大到与主张管辖权的国家没有实质联系的人或活动，或者行使管辖权会不必要地侵犯外国主权或处于该国境外的外国国民利益，这不仅会导致国际局势紧张化，在某些情况下甚至会构成国际不法行为”[33]。因此，在司法适用方法上应当遵循比例原则并建立在个案分析的基础上，在实体裁判上遵循国际礼让原则并尊重他国利益。只有合理界定域外效力的边界，才能够在国家主权、产业发展和个人权利保障之间保持动态平衡。

此外，为解决美国等国家的长臂管辖问题，“我国应在立法、司法和行政层面形成组合拳，逐步实现从被动应付到主动预防的转变”[34]。对此，“封阻法令”(Blocking Statutes)就是一种行之有效的方式。有学者认为，“中国也可结合本国国情参考通过阻断立法阻止《澄清域外合法使用数据法案》《通用数据保护条例》等他国长臂管辖对中国数据主体的适用，有效保障我国的公民隐私、企业数据权和国家网络主权”[35]。对此，我国已经采取了行动。2018年10月26日，我国通过《国际刑事司法协助法》，第4条的规定在一定程度上阻却了外国司法执法机关调取境内数据的活动(20)《国际刑事司法协助法》第4条第3款：“非经中华人民共和国主管机关同意，外国机构、组织和个人不得在中华人民共和国境内进行本法规定的刑事诉讼活动，中华人民共和国境内的机构、组织和个人不得向外国提供证据材料和本法规定的协助。”。针对近年美国频繁通过长臂管辖等方式对我国实施的经济制裁行为，2021年1月9日，我国商务部发布《阻断外国法律与措施不当域外适用办法》，授权相关工作机制通过禁令制度和必要的反制措施阻断外国法律与措施的不当域外适用。

(三)加强个人信息保护法域外效力制度的国际性

与民法、刑法等传统部门法不同的是，个人信息保护法具有鲜明的国际性。个人信息大规模跨境传输的社会现实使得一国为了维护本国信息主体的合法权益而不得不将国家主权的边界扩张至其他国家，个人信息保护法域外效力制度就是这种国际性的重要体现。当前，世界多个国家通过国内立法扩大本国个人信息保护法的域外效力，为本国管辖域外个人信息处理活动提供了法律依据，但是与之相随的一个问题就是各国主权国家之间的管辖权冲突问题。因为某一特定的个人信息处理行为在受到他国个人信息保护法约束的同时，也会因为属地管辖而受到本国个人信息保护法的约束，由此引发管辖权冲突，“域外适用本国个人信息保护法的困境在于不同国家数据主权冲突下如何实现私权利保护的协调”[36]。对于这一问题，多数学者主张通过国际条约等方式来解决这一冲突，例如，有学者指出，面对美国的数据域外管辖，“中国应积极联合新兴国家与发展中国家，主动参与国际数据合作机制的创立，提升在数据管辖方面国际规则体系构建中的话语权”[37]。也有学者认为，域外效力条款冲突解决的方案之一是构建区域性的个人信息保护机制，我国可以“以数字贸易为基础逐步推进周边国家的个人数据保护的区域统一协作，形成区域性个人数据保护机制”[38]。

笔者认为，个人信息保护法域外效力制度在适用过程中的国家主权冲突不可避免，在通过《个人信息保护法》第3条初步构建起个人信息保护法域外效力制度之后，我国应当积极参与个人信息保护法相关国际规则的制定。目前，在网络空间命运共同体和“双循环”新发展格局的指引下，我国不断深化数字经济领域的国际合作，已经发布了《“中国+中亚五国”数据安全合作倡议》并达成了《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership，简称“RCEP”)，后者由中国、日本、韩国、澳大利亚、新西兰和东盟十国共15方成员制定，在第12章“电子商务”部分，第8条就涉及缔约方之间就个人信息保护之间的合作，要求在制定保护个人信息的法律框架时，每一缔约方应当考虑相关国际组织或机构的国际标准、原则、指南和准则。缔约方应当在可能的范围内合作，以保护从一缔约方转移来的个人信息。由此可见，我国已经在区域性的个人信息保护法律制度上取得了一定成效，未来应当进一步加强国际合作，积极参与并主导个人信息保护法国际条约的制定，促进个人信息保护法域外效力国际标准的形成。

五、结语

法乃公器，民为邦本。作为人类秩序的理性表达，法律既是公民权利的保障书，也是和平时期国家利益博弈的重要武器。欧盟和美国基于各自在全球数字经济产业版图中的处境和发展目标，分别以市场和跨国企业为筹码，确立了不同的域外效力制度。近年，我国数字经济规模不断壮大，国内开放程度不断提高，国际影响力也不断增强；但在数据保护法治建设方面，尚缺乏对个人信息保护法域外效力制度正当性、合理性等方面的体系性研究与制度建构。由于该问题的复杂性，除了网络法和国际法专家之外，还需要与宏观政策专家以及执法部门等多方参与主体的通力合作。在网络强国战略的推动下，我国应当以丰富的互联网业态和执法司法实践为基础，以更加积极的态度面对国际数字经济发展环境，突破以本土规制为中心的立法思路，积极参与并推动网络空间国际治理规则的制定，与其他国家合作共建网络空间命运共同体。