我國個(gè)人信息保護(hù)法域外效力

何明鑫

隨著數(shù)字經(jīng)濟(jì)的發(fā)展，數(shù)據(jù)已成為與土地、勞動(dòng)力、資本、技術(shù)并稱的生產(chǎn)要素，而個(gè)人數(shù)據(jù)是數(shù)據(jù)的重要組成部分[1]。由于各國數(shù)字產(chǎn)業(yè)發(fā)展水平的不同，對個(gè)人信息保護(hù)的價(jià)值取向不完全相同。許多法域的個(gè)人信息保護(hù)法為維護(hù)其數(shù)據(jù)利益、強(qiáng)調(diào)本國個(gè)人信息保護(hù)的價(jià)值觀、彌補(bǔ)國際法維權(quán)失靈或者引領(lǐng)國際法的構(gòu)建，對域外效力作了規(guī)定。美國2018年發(fā)布的《澄清域外合法使用數(shù)據(jù)法》（Clarifying Lawful Overseas Use of Data Act，下文簡稱CLOUD法）賦予美國政府調(diào)取本國企業(yè)在境外存儲(chǔ)的個(gè)人信息的權(quán)力，無需經(jīng)過他國同意即可在他國主權(quán)范圍內(nèi)適用。歐盟的《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，下文簡稱GDPR）第3條規(guī)定：“本條例適用于設(shè)立在歐盟境內(nèi)的控制者或處理者的場景下對個(gè)人數(shù)據(jù)的處理行為，無論該處理行為是否發(fā)生在歐盟境內(nèi)；本條例適用于對歐盟境內(nèi)的數(shù)據(jù)主體的個(gè)人數(shù)據(jù)處理，即使控制者和處理者沒有設(shè)立在歐盟內(nèi)，其處理行為：（a）發(fā)生在向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)的過程中，無論此項(xiàng)商品或服務(wù)是否需要數(shù)據(jù)主體支付費(fèi)用；或（b）是對數(shù)據(jù)主體發(fā)生在歐盟境內(nèi)行為的監(jiān)控；本法適用于設(shè)立在歐盟之外，但依據(jù)國際公法歐盟成員國法律可適用地的控制者對個(gè)人數(shù)據(jù)的處理。”此規(guī)定賦予GDPR在歐盟境外的效力。歐盟認(rèn)為個(gè)人數(shù)據(jù)和隱私的保護(hù)是一項(xiàng)基本權(quán)利，應(yīng)該用高標(biāo)準(zhǔn)達(dá)到一個(gè)可信賴的數(shù)字經(jīng)濟(jì)或者貿(mào)易發(fā)展[2]，GDPR體現(xiàn)了歐盟對個(gè)人信息的上述理解。……