郑 军

（对外经济贸易大学 法学院，北京 100029）

一、引 言

国家主权是一个历史久远、历久弥新的概念，而网络主权正是这一概念在网络时代的新发展[1]3。网络空间是一个与地理空间既相对疏离又紧密联系的全新虚拟空间。国家主权原则来源于现实空间的治理需要，其如何适应新的空间治理需求是一个不容回避的根本性问题。随着传统国家间的利益博弈向网络空间延伸，网络空间来到了一个秩序构建和规则博弈的关键时期，国家主权在网络空间如何有效适用，是具有根本性但却异常复杂的问题。此外，承载个人信息的数据因存储地与控制者可能位于不同法域，将导致个人信息保护治理面临数据管辖碎片化难题。个人信息保护制度不仅涉及公民个人的私权保护，还涉及国家安全利益能否得到有效保障，被认为是数字社会的基础性法律制度[2]47。能否有效满足新需求与解决新问题的关键，在于立法者能否准确把握移动互联的时代问题特点，以作出与时俱进的立法回应。

《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）已于2021年11月1日生效，该部法律体现了我国在个人信息域外保护方面最新的进展：将作为国内法的保护规则适用范围扩展至境外机构与个人，为企业有关个人信息跨境提供了确定规则，对外国司法或者执法机构提供个人信息明确了条件，对域外个人信息保护方面的歧视性措施提供了反制措施等等。

《个人信息保护法》有关域外效力的规定，为中国参与国际数据市场的良性竞争、充分保护我国公民个人信息权益、维护国家信息安全等多重目标提供了又一重要的法律路径。其反映出中国网络空间治理在治理思路、规制主体、责任机制等方面与世界主流的网络空间治理具有相似之处，但在治理机构、治理模式、治理程度、具体规制等方面仍存在差异，中国网络空间治理尚有许多领域有待具体规范出台。伴随整体制度框架纵深化发展，中国网络空间治理将以《中华人民共和国网络安全法》（以下简称《网络安全法》）、《中华人民共和国数据安全法》（以下简称《数据安全法》）、《个人信息保护法》为核心，各领域法律法规相互衔接补充，形成覆盖各行各业的网络空间安全保护网。

尽管我国在个人信息保护和数据安全领域具有域外效力的立法规制已经取得较大发展，但就整体而言中国法域外适用规则趋于保守，距离“充分维护国家利益需求的目标”尚有较大发展空间[3]27。推进我国法律域外适用是全面依法治国战略的重要组成部分①习近平总书记指出：“要加快推进我国法域外适用的法律体系建设。”参见《习近平主持召开中央全面依法治国委员会第二次会议并发表重要讲话》，载新华网，http://www.xinhuanet.com/politics/leaders/2019－02/25/c_1124161654.htm，最后访问时间:2019年9月25日。，进行国内法域外适用法律体系建设，需要我国借鉴更加积极进取的管辖权理论，确立更广泛的域外管辖联系，这是对传统属地主义的重大突破和立场转变，更需要坚实的法理论证作为支撑[4]。

二、《个人信息保护法》域外保护相关条文述评

基于网络空间开放性的特点，各国管辖权并存甚至冲突的情况屡见不鲜。在美欧等发达国家及地区相继推出个人信息保护和跨境数据管理规则的背景下，我国个人信息保护制度在立法供给不足的问题也逐渐凸显，域外跨国主体滥用算法非法获取我国公民信息的行为没有得到有效防范，我国互联网企业在国际市场竞争时面临被动局面。尽管《个人信息保护法》文本仍然存在进一步优化的空间，但仍有许多亮点，可在一定程度上弥补我国网络信息管理在国内法域外效力方面的不足。

（一）体现“效果原则”的域外效力条款

基于本国领土范围进行管辖的“属地管辖”原则，是国际公认的原则，是探讨公法效力范围的逻辑起点[5]187，但其无法有效应对开放的网络空间的多样化规制需求。“效果原则”的出现，使各国网络空间规制面临的困境得以有效缓解②晚近以来，一些国家为扩张其国内法域外效力探寻国际法依据，“效果原则”是相关成果之一。依据该原则，在境外发生的行为，如果对国家产生有害影响，国家即可以行使管辖权。参见贾兵兵《国际公法:和平时期的解释和适用》,清华大学出版社，2015年，第335-336页。。欧盟《通用数据保护条例》（以下简称“GDPR”）第3（2）条实际采纳了“效果原则”，在美国“效果原则”是联邦法院确定美国法是否具有域外效力的主要标准[6]，在我国国内立法中“效果原则”亦有体现①参见《中华人民共和国反垄断法》第2条：“中华人民共和国境外的垄断行为，对境内市场竞争产生排除、限制影响的，适用本法。”。

《个人信息保护法》第3条是有关域外效力的规定②参见《个人信息保护法》第3条：“在中华人民共和国境内处理自然人个人信息的活动，适用本法。在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法：（一）以向境内自然人提供产品或者服务为目的；（二）分析、评估境内自然人的行为；（三）法律、行政法规规定的其他情形。”，其借鉴了欧盟GDPR的立法思路，将“数据处理行为”而非“数据处理行为发生的具体位置”作为管辖重点，最大化降低法律规避导致的负面效应。在数据传输高度发达的移动互联时代，根据传统的属地原则，通过“经营场所标准”的联系获得对境内主体的管辖权，其规制效果的局限性愈发明显，数据处理者可通过境内和境外的操作行为，对个人信息权益产生不当影响。欧盟提出了“经营场所开展活动的场景”，尽管相关数据处理行为发生在境外，但具体场景与相关行为具有关联而且“无法割裂”，该数据处理行为也将被纳入欧盟GDPR的地域管辖范围[7]69。这样的制度设计体现了立法者突破了旧的观念束缚，是对信息技术迅猛发展作出的强有力的立法回应。

在法律保护主体方面，比较《个人信息保护法》与《网络安全法》和《数据安全法》，法律保护主体范围从“国内公民”合法权益扩展至“自然人”（不再区分自然人国籍）个人信息，理论上可能包含在针对外国人的个人信息处理活动。该制度设计相对于《网络安全法》和《数据安全法》而言，是向前迈进了一大步。

在法律适用范围方面，相较于《网络安全法》③参见《网络安全法》第2条：“在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。”和《数据安全法》④参见《数据安全法》第2条：“在中华人民共和国境内开展数据处理活动及其安全监管，适用本法。在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。”泛化的规定，《个人信息保护法》对于域外效力的适用范围规定更加清晰，所规制对象进一步明确为“境外自然人个人信息的活动”，并制定了体现“效果原则”法律使用条件⑤具体使用条件为“以向境内自然人提供产品或者服务为目的‘或者’分析、评估境内自然人的行为。”。此外，《个人信息保护法》作为信息保护的基础性法律，设定了“其他情形”作为兜底条款，为处理将来可能出现的规制需要做好准备。

（二）个人信息跨境提供

《个人信息保护法》第36条、第38条、第39条、第40条是“个人信息跨境提供”一般规则，涵盖多个方面。

1.跨境提供个人信息的条件

对跨境提供个人信息的条件，对于不同的主体分别作出相应安排。第一，国家机关对个人信息跨境传输应当进行安全评估⑥参见《个人信息保护法》第36条：“国家机关处理的个人信息应当在中华人民共和国境内存储；确需向境外提供的，应当进行安全评估。安全评估可以要求有关部门提供支持与协助。”。第二，个人信息处理者（非国家机关）对个人信息跨境传输时，须满足四项条件其中之一（通过网信部门安全评估、通过第三方机构个人信息保护认证、与境外接收方订立标准合同、符合法律法规网信部门规定），或者符合我国参与的国际条约或协定，此外，还须采取“必要措施”确保境外接收者达到个人信息保护标准⑦参见《个人信息保护法》第38条：“个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；（四）法律、行政法规或者国家网信部门规定的其他条件。中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。”。国家机关开展的评估是“自我评估”，个人信息处理者（非国家机关开展）进行的是网信部门组织的“外部评估”[8]101。

关于个人信息出境的安全评估要求，首见于《网络安全法》第37条，此后《个人信息出境安全评估办法（征求意见稿）》将适用范围扩大。安全评估范围在“狭小”和“宽大”之间的回摆对个人信息保护不利，也可能给相关行业发展带来一定的不确定性。《个人信息保护法》第40条试图在以上两者之间找到一个平衡，使安全评估的适用范围落在一个合理区间。“关键信息基础设施”与“超大量个人信息处理”的认定和监管，都会有专门的配套制度予以落实。相关规定体现了更加务实的立法态度——保护信息安全和规制信息跨境流动的目标都要实现①参见王一楠、张奕欣，等《数字时代个人信息的“保护神”——〈个人信息保护法〉解读》，微信公众号：网络安全应急技术国家工程实验室，网址：https://mp.weixin.qq.com/s/GaLQKUgrM8TpY_4xs_8p1A，访问时间2021年10月4日。。

关于“专业机构认证”，在准入和运行程序方面尚缺乏统一的国家标准。于2022年2月15日实施的《网络安全审查办法》已明确了具体网络安全认证机构——中国网络安全审查技术与认证中心②参见中国网信网《网络安全审查办法》答记者问，网址：http://www.cac.gov.cn/2022-01/04/c_1642894602460572.htm，最近访问时间2022年2月16日。。但是需注意的是，网络安全审查不等同于一般的数据安全审查，前者聚焦可能影响国家安全的情形③参见《网络安全审查办法》第1条：“为了确保关键信息基础设施供应链安全，保障网络安全和数据安全，维护国家安全，根据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》，制定本办法。”第5条：“关键信息基础设施运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。”，后者涵盖更广泛的数据安全审查问题④参见《数据安全法》第24条：“国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。”。

关于标准合同，采取合同管理的方式，通过协议条款的“刚性化和标准化”，提升跨境信息处理行为的可信任度[7]101。尽管此种标准化在一定程度上影响到当事人意思自治的效果，但却更有助于保障自然人的个人信息权益。对于标准合同，国内目前尚未出台统一细则，但一些学者已参考国外先进经验，提出了合理化建议[9]171。此外，安全评估或专业机构认证标准等文件的出台，由于涉及广泛调研与科学论证流程，相关规范性文件颁布具有较大不确定性。鉴于此，有学者认为早日出台“标准合同”文本可能更适应实践需要，也更能够体现指导性和便利性[10]43。

2.关于“知情—单独同意规则”

“知情—单独同意规则”旨在于“处理其个人信息的前提是应该让自然人充分知情，并取得同意”⑤参见《个人信息保护法》第39条：“个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。”。该规则包含“告知内容扩大化”和“单独同意”两个方面，属于信息处理者跨境提供信息的必要条件。

告知内容扩大化。对自然人而言，“信息跨境提供行为”相比其他信息处理行为，在信息控制和权益保护难度方面有明显不同[8]103。因此，需要加强自然人信息被处理的知情权与自决权。《个人信息保护法》第39条有关“知情—单独同意”方面的规定，有助于对个人信息跨境提供必要的权益保障。相比《个人信息保护法》第17条的告知义务，《个人信息保护法》第39条具有“告知内容扩大化”的特点，即除了个人信息处理者的信息，还需要提供境外接收方的信息。以上规定，对于发生信息安全事件后的有效维权具有重要意义。但是，过于细致和高标准的信息告知义务，可能也会较大程度地提升信息处理者的合规成本，并对信息的自由流动产生一定的负面影响。

“单独同意”规则是指信息处理者在个人信息跨境提供之前，要采取“一对一”方式取得个人同意，其目的在于提升自然人的重视程度，使其作出决定时更加谨慎和理性[11]92-93。或许立法者考虑到对于“单独同意”过于细致的形式要求可能产生一定负面影响，现有规则对于单独同意的实现形式并未作出具体规定。实践中单独同意可能包括多种方式，例如书面方式、口头方式、软件弹窗、单独协议、在线勾选、确认点击等等[12]102。

3.重要信息的本土存储和出境安全评估

对于数据规制旧的管理模式是“数据本地化+限制出境”，其已经无法适应数字经济全球化和我国企业出海的需求[10]39。根据《个人信息保护法》第40条，关键信息基础设施运营者和达到规定数量的个人信息处理者，需将数据本地化存储，确需出境的应通过安全评估。我国个人信息跨境提供采取分类处理机制，对于特定主体信息处理行为“特别关注”，但对于普通主体的信息（尤其是敏感信息）跨境提供缺乏足够的监管力度。应当考虑建立多元化分类监管机制，“特定主体+敏感个人信息”可以作为参考模式[8]103。就产生的负面影响而言，敏感个人信息出境后遭遇侵权导致的后果可能比一般信息被侵权更严重，更需要国家周延的保护[13]86。此外，应进一步出台细则，明确“处理个人信息达到规定数量”的理解。例如，根据《网络安全审查办法》，“掌握超过100万用户个人信息”是网络信息平台境外上市前安全审查的标准①参见《网络安全审查办法》第7条：“掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。”。毫无疑问，仅从数量界定需要本地化存储的个人信息并不能完全满足国家安全的需要。在评估信息出境时，除了“信息数量”和“企业规模”作为必要的参考指标，“信息自身的敏感程度”应当着重考量。

（三）向外国司法或者执法机构提供个人信息

《个人信息保护法》第41条涉及“向外国司法或者执法机构提供个人信息”②参见《个人信息保护法》第41条：“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准，个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。”，其明确“经主管部门批准”是向境外司法或者执法机构提供个人信息的必要条件。此项内容与《数据安全法》第36条和《中华人民共和国民事诉讼法》第277条的要求相同，均充分体现了我国司法主权需优先维护的立法要旨。此外，将“执法机构”加入规范之列是为了减少我国个人信息数据权益遭受境外“长臂管辖”的不当侵害，也是对近年来很多域外“不断扩大跨境数据调取权利的境外执法行为”的必要回应③例如，美国《澄清境外数据合法使用法案》《外国公司问责法》等。。个人信息具有弱主权的特性，源于其在主体、法益和意愿表达上倾向于私法层面的保护。但是特殊个人信息及其组合仍然可能涉及公共领域和主权性权利。各个国家因“长臂管辖权”引发的数据管辖权冲突，根源在于对个人信息跨境问题中“境”的含义理解不同[13]80。传统的国家法管辖权框架已无法适应数字经济迅猛发展中对于数据规制权的较高需求。

（四）反制和限制措施

《个人信息保护法》第43条是针对国外采取个人信息保护方面的歧视性措施时，赋予我国采取反制措施的权力④参见《个人信息保护法》第43条：“任何国家或者地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。”，这体现了国际法上的对等原则，并且与《数据安全法》第26条“反制域外歧视性措施”具有相同立法宗旨⑤参见《数据安全法》第26条：“任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。”。此外，范围不再局限于“投资、贸易相关”，实际上扩大了对等反制措施的适用范围。相较于《数据安全法》，《个人信息保护法》第42条增设了一个“黑名单”制度，即“限制或禁止提供个人信息的清单”⑥参见《个人信息保护法》第42条：“境外的组织、个人从事侵害中华人民共和国公民的个人信息权益，或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的，国家网信部门可以将其列入限制或者禁止个人信息提供清单，予以公告，并采取限制或者禁止向其提供个人信息等措施。”。个人信息保护黑名单（第42条）是《网络安全法》第75条的革新，《数据安全法》第2条亦有涉及，但个人信息保护黑名单制度适用的前提是“违反规定+损害权益”。此处的规定具有“防御性”特点，既坚决回应了国外无理制裁，也体现出我国国内法域外效力的谦抑性[10]47。

总体而言，区别于一般部门法，《个人信息保护法》的域外效力和适用范围适度扩展至境外主体，这对于限制跨国主体的法律规避有重要作用，也将更有效地保护我国公民的个人信息权益。相关条款可以很好地与欧盟GDPR条例等国际网络空间治理主流规范相衔接，也是我国探索法律域外效力与适用的又一次尝试，有助于我国参与国际网络空间的治理，提升我国在国际法领域的地位及话语权。

三、个人信息域外保护的制度逻辑

关于《个人信息保护法》的域外效力和具体适用，不仅是一国立法方面的自主选择，还应结合国际法理论与数据保护的特殊属性全面统筹考虑，并参考域外相关经验，进行系统筹划。

（一）国内法域外效力的国际法考量

在国际法上存在多种管辖权理论，例如属地管辖、属人管辖、保护性管辖与普遍管辖等等。在经济全球化背景下，一个特定的人及其行为可能面临“被多重管辖”的局面，例如，自然人甲在A国做出某种行为，而该行为造成的结果或者影响发生在B国，A国政府依据属地管辖理论对甲适用A国国内法，B国政府凭借保护性管辖理论主张对甲适用其国内法。解决A、B两国管辖权冲突的理想途径是遵循国际礼让原则或者缔结条约，或考虑域外行为与管辖国家的联系程度：联系越紧密则合法性越强，反之越弱。一国以属地管辖原则以外的主张，意图使其国内法发生域外效力，总是难以避免发生争议。对于该域外管辖措施的认定结论包括：推定符合国际法、可能违反国际法、确定违反国际法。“在国际法上是否存在明确的禁止性原则”是判断该域外管辖措施是否合法的重要标准[14]185。

（二）公法域外效力的正当性分析

个人信息保护法在立法属性上属于公法，相当一部分的条文具有禁止性和管制性，其具体条款的域外适用效力既是源于保护本国公民的数据信息合法权益的需要，也是维护我国国家利益和保护数据主权的需要。从国际法角度审视，公法本质上涉及一个国家的管制权力。

对他国主权的尊重是维护良好国际秩序的基本前提，探讨公法效力范围的逻辑起点应为属地原则。换句话说，出于对他国主权的尊重，公法效力范围应当局限于本国管辖领域。然而，经济全球化背景下跨国不法行为频繁发生，域外不法行为经常对主权国家域内造成种种不良影响。多边机制在协调多方行动和维护国际社会整体利益方面具有一定优势，但数量有限和能力不足的短板，导致其在面临跨国不法行为时往往缺乏应对能力。因此，出于维护国家利益的现实需求，将本国公法效力延伸至域外的主张和行为不断出现。但是，擅自闯入他国领域适用本国公法，将不可避免地形成对他国管制权力的限制甚至剥夺，由此引发主权国家间外交冲突和国际争端。在管制跨境不法行为和尊重他国规制主权之间存在一定的张力。在国际习惯法上存在对公法域外管辖的限制，即在管制国和对象之间存在“真正联系”。但是其仅构成一个抽象的标准，“是否具有联系”以及“联系的程度”始终难以真实量化和明确判断。评估公法域外适用的正当性必须在具体案例中进行分析[5]187。

赋予《个人信息保护法》一定的域外效力，既是我国在立法方面的自主选择，也是立法者从全球化背景出发，全面思考和认真考量的结果。在保留公共执行路径的同时，也开辟私人执行路径，适当地赋予私人以民事赔偿的诉权。不同于行为保护和利益保护，个人信息的权利保护是动态的、积极的和全周期的，它既应为信息的收集者和控制者设定义务，也应为个人提供主动行使权利和寻求救济的渠道，充分发挥私力救济和公力救济在维权方面的“复合效果”[2]49。

四、个人信息域外保护的挑战

（一）法律域外效力的激烈竞争——以美国为例

国内学者多主张美国司法的“长臂管辖”是国内法域外适用的反面典型，不符合以《联合国宪章》为基础的国际法体系，然而客观来看，国际法也在动态发展。主权国家是国际法最重要的参与主体，大国是推动国际法发展的重要力量，对国际法治发展方向产生较大影响。以联合国和世界贸易组织为代表的政府间多边组织在维护国际经济政治格局方面发挥了重要的作用，然而不可否认的是随着大国博弈与地缘政治交锋愈演愈烈，多边组织的作用出现了一定的弱化甚至是被边缘化。增强国内法律的域外效果，进而影响全球治理规则，已经成为部分大国主动追求的潜规则[5]190。

“使国内法域外发挥效力”滥觞于美国在世界大战期间，为夺取战争胜利配合武力手段的特殊武器——经济战工具，其后来逐步发展成为在国际经贸领域内维护美国国家利益常规工具。美国通过联邦立法和条例的不断颁布和更新①例如，1977年《国际紧急状态经济权利法》、1979年《出口管理法》、1982年《控制苏联石油和天然气修正案》、1992年《古巴民主法》、1996年《赫尔姆斯—伯顿法》和《伊朗利比亚制裁法》、2001年《爱国者法》、2010年《全面伊朗制裁、究责和撤资法》和《海外账户税收遵从法》，等等。，逐步发展成为以“经济制裁法”为核心的，融合“一级制裁”和“次级制裁”的双层制裁体系[14]178。尽管美国一直宣扬权力分立与制衡是评价一国法治环境完善程度的必要标准，然而仔细研究就会发现，权力制衡仅仅是在国内法治环境下的产物，在国际竞争中维护自身国家利益为首要目标，此时相互制衡的权力则转换为相互配合和支撑的重要手段，在“法治”外表的掩护下，滥用美元作为全球支付工具的优势，凭借其雄厚的国家实力，协助其国内企业在国际经贸竞争中攻城略地，打压国外竞争对手，牟取全球范围市场份额与垄断利益。

总之，对于美国而言，扩张其国内法域外效力源于维护其全球利益的战略需求和国家利益导向，强大的国家实力和以美元为主导的国际货币金融体系是保障其国内法效力得以扩张的有效保障[14]182。

（二）我国法律域外效力制度供给不足

我国目前数据保护立法对于“域外数据的保护”仅具有框架性，缺乏实体部门法层面的有力支撑，更缺乏规范行为模式的具体指导，具有域外效力的数据保护立法亟待完善[15]122。例如，在依据《个人信息保护法》确认域外行为侵害个人信息权益后，如何落实侵害个人信息权益的民事责任承担问题？即使依据我国涉外法律规定，法院应适用侵权行为地法律，按照通行的解释，网络空间中信息侵权行为地难以确立的问题，也会导致该问题可能陷入难以解决的僵局②参见《涉外民事关系法律适用法》第44条：“侵权责任，适用侵权行为地法律，但当事人有共同经常居所地的，适用共同经常居所地法律。侵权行为发生后，当事人协议选择适用法律的，按照其协议。”此外，一般学理上认为侵权行为地包括侵权行为实施地和侵权结果发生地。。

目前我国法律域外效力主要体现在以刑事责任为主的后果承担上，对行政制裁措施重视程度不足。由于与我国缔结引渡条约的国家数量有限，追究域外行为人刑事责任的难度非常大。此外，对于违反我国法尚不构成刑事犯罪的域外行为，现行法律中缺乏必要的行政制裁手段。

（三）法院域外管辖过于被动

司法域外管辖涉及一些深层次的国际法问题。我国司法机关主要关注国内法治问题，对国际法问题缺乏足够的关注，在如何准确适用国际规则方面更是存在准备性不足问题[16]8。我国法院对涉外案件的处理非常谨慎，法院处理涉外案件适用的条约均为涉及私法层面的商事条约，很少触及其他涉及公法层面的国际法规则[17]137。此种现象既有立法缺失问题，也有实践中相关部门思维固化和协调机制运行效率不高等原因。

在立法层面存在两方面突出问题。一方面，制度供给明显不足和规范层级较低。例如，现行有效的《关于处理涉外案件若干问题的规定》是1995年外交部联合最高人民法院等六部门出具的“司法解释性文件”。从效力上看，该类文件仅具有事实性效力，并不会产生“规范意义上的法律效力”[18]221。另一方面，立法层面的不足还体现在涉外案件的民事实体法与程序法难以有机衔接。

在实践层面，处理涉外案件时，我国法院需要与其他行政部门配合完成。此外，在处理“涉外案件”时，法院不能“擅自决定”，而需要基于同其他行政部门确立的“联系机制”，在完成密切配合、征求意见、相互通报等必要的工作流程之后，方可作出处理。此外，若案件属于“涉外重大案件”，在判决公布前，还需履行更加严格的内容通报流程③参见《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释（2020修正）》第1条：“民事诉讼法第18条第1项规定的重大涉外案件，包括争议标的额大的案件、案情复杂的案件，或者一方当事人人数众多等具有重大影响的案件。”《关于处理涉外案件若干问题的规定》第1条第（4）款：“处理涉外案件，必须依照有关规定和分工，密切配合，互相协调，严格执行请示报告，征求意见和通报情况等制度。”。

综上所述，在全球化与网络技术飞速发展的背景下，我国个人信息域外保护在外部层面和内部层面面临严峻挑战。这些问题实质上是个人信息保护框架失衡的客观反映，国内信息保护制度供给的短板产生的传导效应不仅使我国公民信息权益在境外受损时投诉无门，执法机关缺少跨境执法的明确依据。个人信息保护的法规不完善是制约数据产业发展的重要障碍，更严重制约了国内企业“走出去”的国际化发展前景。

五、个人信息域外保护的因应

在个人信息保护方面扩展国内法的域外效力，应在立法、司法与执法等方面统筹推进，以构建具有域外效力的法治体系为理念与目标[14]188，从加大制度研究与供给、完善执法和司法的必要配合，发挥跨国司法治理权等多个方面作出回应。

（一）个人信息域外保护制度供给完善与配套措施落实

网络空间司法管辖制度的及早确立，在当前全球各国关注“数据跨境流动”安全性的背景下具有重大战略意义。其有助于网络空间主权的主张在司法层面的落地，也有助于我国在数字经济全球治理方案占据先机[19]125。相比于传统国内法体系，目前我国法域外适用规则的实施效果尚缺乏配套制度的保障。与实体法域外效力条款相配套的程序法规则，应当在将来《中华人民共和国民事诉讼法》和《中华人民共和国涉外民事法律关系适用法》条文修订时充分考虑。司法机关可尝试将实践中处理较好的经验做法纳入“指导性案例”，在将来时机成熟时纳入立法流程。

此外，在立法层面可主张在特定条件下保护管辖原则“优先”于属地保护原则，基于国家安全与公共利益保护的前提下，对保护管辖原则的优先适用对于我国关键利益的保护具有重要意义[15]128。加大对管辖权基础理论研究，充分认识三方面问题：一是管辖权本身具有立法管辖、司法管辖和执法管辖三个层次的属性；二是执法管辖权同时包含行政机关对数据主体的直接执法，也包含司法机关基于“调查利益”而对域外数据控制主体的调查行为；三是执法管辖权的合法性源于国家对国内事项进行管理，具有当然合法性[15]123。

（二）加强行政责任在域外适用法律责任体系的研究

域外适用法律责任体系除了民事责任和刑事责任以外，还应当包含行政责任。对于域外网络空间违法行为施加必要的行政管制措施已经得到世界各国的广泛共识。例如，在欧盟GDPR条例下，相关监督机构在特定情况被赋予具有鲜明行政执法色彩的调查权和纠正权，在巴西和印度等国家的数据保护立法中，也含有赋予执法机关在特定情况下作出高额行政处罚的明确规定[20]79。对于我国而言，可以考虑对行政强制措施中“行为发生地”作出扩大解释，或者灵活解释属人管辖连接点[3]35。例如，在个人信息域外保护方面适当突破传统属地管辖原则的桎梏，参考国际常设法院观点，将信息接收点、信息发出点、信息在我国领土内的传播均纳入属地管辖范围[21]1571，与之对应的执法管辖权直接视为域内管辖。概言之，我国一方面应当适当使用规制工具箱，综合运用包括行政和解、行政调查、通报批评等软措施和冻结财产、罚款、没收违法所得等硬措施，构建多元化的域外行政执法体系；另一方面，尊重他国主权，避免与他国管辖措施构成直接冲突，积极参与国际网络空间治理多边机制，努力推动国际社会早日达成在网络空间治理方面实现“全球协商共管”的解决方案。

（三）强化国内法院在国内法域外适用中的角色

司法功能具有被动性的特点，但法院可以结合对国内法律的适当阐释，为国内法律域外适用提供必要支持[3]28。随着我国“一带一路”建设有序推进，涉外案件的执法司法不仅局限于国际刑事案司法合作，还涉及经贸磋商、知识产权纠纷、商事争议解决等多个方面。司法机关在许多方面为维护国家利益保驾护航，例如，依法运用我国域外适用条款，重视有国际影响力案件的处理，为执法机关对法域外措施提供支撑，对他国无理的法律扩张进行有效应对和反击等[19]115。

在个人信息域外保护方面，最高法院应当开拓思路，积极与外交部、商务部、网信办、市场监管总局等部委进行信息共享与机制联动，提升工作效率。在涉外司法执法方面，司法机关在“维护国家主权和安全、服务保障高水平对外开放、营造法制化营商环境、积极参与国际规则制定、完善涉外审判机制”等多方面发挥了重要作用。在后续工作中，还应从推进“一站式”国际商事纠纷解决机制、加强涉外司法与行政衔接与联动、扩大国际司法交流合作等方面着手，进一步保护国家数字主权，并真正提升我国个人信息域外保护方面司法执法效能[22]。

此外，可考虑通过适当拓展“私法路径”，强化国内法域外适用中的作用，即法院在处理私人法律关系案件的过程中，通过适用公法性质的规则，达到国内法域外适用的目的，如各级人民法院以《中华人民共和国反垄断法》第2条为依据审理的案件即是如此[3]36。为了使《个人信息保护法》域外效力得到更好发挥，可以考虑将“效果原则”引入《中华人民共和国涉外民事关系法律适用法》。借鉴欧盟《罗马第二条例》的经验，规定“涉外反垄断行为的民事责任，适用受到影响的市场所在地国法律”[23]83。这种双边化冲突规范有两方面好处:一方面，它赋予我国《个人信息保护法》域外效力，有利于保护我国公民和企业的信息权益；另一方面，它有助于我国法院通过适用外国个人信息保护法，使违规行为主体承担民事责任。

我国应破解“司法消极论”的误区，在不违反国际法的前提下，充分利用国内司法资源维护我国海外利益。在未来立法过程中，注重研究涉外民事管辖理论，探索“积极管辖理念”[19]122。此外，应支持法院综合个案事实对中国数据保护立法的效力范围进行解释，与立法、行政机关之间形成良性互动，推动中国数据治理体系的构建[24]167。