論我國個人信息保護法域外管轄條款的效力

張曉嵐 王鵬

（上海政法學院，上海 201602）

《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）作為我國針對個人信息處理行為進行規范的法律，改變了長期以來我國個人信息保護領域缺乏專門法律規范的境況。《個人信息保護法》的出臺終結了以往對個人信息的保護只能依靠民法基本法和一系列行政法規進行查缺補漏式規范的時代，與《中華人民共和國網絡安全法》《中華人民共和國數據安全法》共同構成我國信息安全方面的法律基石。《個人信息保護法》對個人信息提供的保護水平相當之高：內容上公私兼備，既明確“個人信息權益”的內容范圍，也強調對“個人信息處理行為”的公法監管；既統合私主體和公權力機關的義務與責任，也兼顧個人信息保護與利用。在效力范圍方面，《個人信息保護法》第三條突破了以地理邊界作為法律效力范圍的傳統做法，對境內外處理我國境內自然人個人信息的活動進行了分別安排，呈現出明顯的域外管轄的效果，擴展了我國對公民個人信息保護的界限。

一、《個人信息保護法》域外管轄的法理基礎

《個人信息保護法》的調整對象是個人信息處理者與我國境內自然人之間因個人信息處理活動形成的社會關系，既包括平等民事主體間發生的個人信息處理關系；也包括國家機關與自然人間形成的個人信息處理關系。當《個人信息保護法》在調整平等主體間個人信息處理關系時，作為被規范對象的信息處理行為并不必然發生于我國境內。互聯網是沒有國界的，個人信息處理者即便沒有在我國境內設立機構，不曾在我國境內直接開展過信息處理行為，也不妨礙其在任意時間通過委托或買賣等方式收集我國境內的個人信息，并加以分析使用。例如，亞馬遜公司（Amazon）作為全球性的電子商務巨頭，在美國華盛頓州的總部完全可以通過其在中國設立的子公司獲取中國地區用戶的個人信息并進行分析監測。當境外個人信息處理者能夠有效取得境內用戶個人信息時，《個人信息保護法》如果僅針對境內信息處理者適用而放棄對境外信息處理者的管轄，不僅違背了充分保護原則，實際上會減損《個人信息保護法》的權威性。由此可見，為了充分、完整保護個人信息主體的合法權益，《個人信息保護法》必須具有涉外效力。

國際法并不禁止一國法律擁有域外效力。內國法的域外效力通常表現為某個外國對象的行為被內國法加以管轄。目前，國際社會中以內國法進行域外管轄的情況并不鮮見，主要集中在證券金融法等國際法尚未形成統一國際規范的領域。在個人信息保護方面，歐盟《通用數據保護條例》（GDPR）以及之前的一系列立法均規定了域外適用的效力。在涉外管轄方面，判斷一部法律的域外適用是否符合國際法，要看它所適用的事件、行為或人是否與立法國的和平、秩序和良好統治有關聯。國際常設法院在“荷花號案”的判決中論述道：“國際法沒有規定普遍禁止，即各國不得將其法律的適用和法院的管轄權擴大到其領土以外的個人、財產和行為，而是在這方面為各國留下了廣泛的自由裁量權，只在某些情況下受到禁止性規則的限制；至于其他情況，每個國家仍然可以自由地采取它認為最好和最合適的原則。”該判決作出于100 年前，當年國際法并沒有建立起一套“普遍禁止”的規定。縱觀當今國際社會，國際法雖然在打擊國際犯罪、保護外交人員、國際貨物交易等方面形成具有相對一致性的國際規則，但在國際金融、個人信息保護等領域尚未形成統一的國際習慣。建立含有“普遍禁止”的規定尚且遙遙無期。由此觀之，賦予個人信息保護類法律以域外效力并不違法國際法，國際法甚至為各國留下了“廣泛的自由裁量權”。是故，當一個法律領域尚且處于探索階段、尚未形成國際共識的時候，想要建立具有普適性的共同規范最好的方法是“留白”：首先國際法靜默不語，讓各個國際主體以自身實踐為藍本提出多種法律范式，不同法律范式之間“百家爭鳴”，繼而逐步“求同存異”，由此形成能為國際社會普遍接受的國際習慣，最終在此基礎上進行總結、歸納而誕生國際成文法。觀察任何國際法規則的發展歷史，無不是遵循這樣的路徑。

二、《個人信息保護法》域外效力擴張的現實基礎

法律是對既存社會關系進行歸納后形成的具有普適性的社會規范，個人信息保護法必然反映當下信息技術發展形成的數據社會關系。因此，想要在實然層面理解《個人信息保護法》所具有域外適用效力的合理性，就需要探究個人信息作為一種數據的獨特性質和當前個人信息保護立法的國際背景。

（一）個人信息數據的虛擬性要求個人信息的保護應脫離地域限制

以超級計算機發展為基礎的信息技術革命改變了社會生產方式和人類生活方式。信息技術的勃興一方面使得個人信息能夠被事無巨細地記錄下來，這些信息能夠反映出信息主體的各種偏好和習慣，因而具有極大的經濟潛能。另一方面，個人信息處理者處理數據的能力前所未有地增強。如今個人信息處理行為無孔不入，即便是某些單獨不足以識別信息主體，但與其他信息碎片結合卻能拼湊出信息主體形象的信息碎片也被大量收集、分析。其中“個人信息處理者”的概念不帶有任何地理色彩，境外企業同樣能通過互聯網向境內自然人提供信息服務。個人信息保護法具備涉外效力的現實背景在于個人信息數據跨境流動已經成為現實。以國界作為確定一國法律效力范圍的傳統立法范式在涉及互聯網領域社會關系上顯得比較疲軟。因為數據是去中心化、虛擬化的產品，個人信息處理者能夠在任何地點的任意一臺計算機上挖掘、分析、分配世界上任何一個信息主體的個人信息，云計算技術的發展更是使得數據處理行為能夠突破本地處理的限制。信息技術的突飛猛進實際上形成了一個“無土地”的虛擬空間，這一空間中沒有界碑，只有無數個人信息數據恣意流動。在此情況下想要保護個人信息權益、規制個人信息處理行為，無法僅依賴特定地理概念作為確定管轄的依據。法律效力與國家主權界限之間的邏輯關系隨之發生改變。個人信息保護立法的效力范圍必然會擺脫地理邊界的限制，并且不可能呈現為對本國主權范圍內個人信息處理法律關系放棄管轄的“內縮”范式，而只能表現為爭取對本國主權范圍外的個人信息處理行為的“擴張”適用。

（二）國際實踐普遍賦予個人信息保護類法律以域外效力

目前，各國間個人信息保護水平不一、國際習慣尚未形成。各國網絡信息技術水平存在顯著差異，社會信息化程度高的國家個人信息保護法的水平較高，而社會信息化程度低的國家則缺乏進行個人信息保護專門立法的現實基礎。在已經建立個人信息保護體系的國家當中，立法范式亦千差萬別，每個國家都會根據本國信息技術發展水平制定側重點不同的個人信息保護法。不過，基于個人信息數據脫離地域保護限制的特點，各國均為實現充分保護個人信息的目的而擴張本國個人信息保護法的域外效力。

各國在個人信息保護立法方面無一例外地向信息主體提供“充分保護”，即對自然人個人信息提供的保護應當是有效的、全面的。充分保護原則要求國家盡可能擴張個人信息受保護的范圍：凡本國自然人個人信息能夠流向的地方均應當受到本國個人信息保護法的調整。首先，個人信息基于其自身性質和個人處分權的關系，應由法律特殊保護。歐洲學者普遍認為，對個人信息的保護屬于公民應當享有、不可剝奪的基本權利，2000年頒布的《歐盟基本權利憲章》更是將個人信息權利推到基本人權的高度。其次，在數據跨境流動頻繁的背景下，如果一國保護個人信息的法律效力不能追及位于境外的個人信息處理者，則其保護功能便流于形式。國家的首要職能在于保護國民，而個人信息與基本人權密不可分，能夠深刻影響個人的生產、生活，其形成的個人信息權益與人身自由、人格尊嚴一樣應受充分保護，是法律的應有之義。

（三）構建個人信息保護法域外效力的統一共識

數據自由流通的天性要求主權國家更多地參與到制定數據跨境流通規則的構建當中去，其中也包括構建個人信息保護領域的國際規則。當尚未形成統一國際規則的時候，國內立法勢必通過擴張本國個人信息保護法的域外效力對“無法之地”進行填補。歐盟個人信息保護立法目前處于世界領先水平，通過域外效力規則的設定，將歐盟規則的適用范圍得以擴張到歐盟之外。這種通過擴張內國法域外效力來實現國際層面規則協調的方式，勢必影響其他國家個人信息保護法規則的制定以及國際社會個人信息保護標準的最終水平。《個人信息保護法》擴張其域外效力，有助于推動我國在個人信息保護領域與其他擁有個人保護法律制度的國家進行溝通交流，更多地了解其他國家個人信息保護立法、執法的實際情況。優化我國《個人信息保護法》，有助于提升我國個人信息保護職責部門工作人員的執法能力。另一方面，適當擴張《個人信息保護法》的涉外效力有助于我國參與填補國際個人信息保護規則的空白，為其他國家個人信息保護立法提供參考對象。如此，則能夠在未來國際間統籌個人信息保護立法實踐時積累更多法律構建和法律適用的經驗。這一過程也將提升我國在個人信息保護方面的法律影響力，為個人信息保護領域形成國際統一規則貢獻中國智慧。

三、《個人信息保護法》的域外適用范式

我國《個人信息保護法》的制定在一定程度上借鑒歐盟《個人信息保護法》（GDPR）的內容，這主要由于我國同歐盟一樣在國際信息數據流通領域主要作為數據產生者的地位要強于作為數據處理者的地位；同時，GDPR 自身立法技術在國際個人信息保護領域獨步一時，其中許多內容可供我國參考。與GDPR 第三條相似，《個人信息保護法》第三條所規定的適用范圍明顯不受地理限定性條件，其涉外效力不言自明。在適用標準方面《個人信息保護法》確立了以“個人信息處理行為”為主要依據的適用標準，這一點與GDPR“經營場所標準”有所不同。

《個人信息保護法》第三條第一款規定，在中國境內處理自然人個人信息的活動適用本法。由于本款確定的適用依據以個人信息處理行為發生地為標準，因而無需考慮境外個人信息處理者是否在我國境內設立機構，無需考慮信息主體身份否是中國公民，外國人在我國境內的個人信息被處理時同樣適用《個人信息保護法》。還無需考慮境外個人信息處理者是否在我國境內配備有數據處理終端或代理處理單位等情況。只要境外個人信息處理者的行為經過判斷系在我國境內做出，即受《個人信息保護法》約束。《個人信息保護法》第三條第二款是關于個人信息處理行為發生于境外而可適用本法的規定。主要適用于三種情形：（1）個人信息處理行為系以向中國境內自然人提供產品或者服務為目的；（2）個人信息處理行為屬于分析、評估中國境內自然人個人信息的行為；（3）法律、行政法規規定的其他情形。除情形（3）以外，分段《個人信息保護法》第三條第二款與GDPR 第三條第二款（a）（b）項的規定略顯類似。GDPR 在使用范圍方面最大的特點在于引入“效果原則”作為確定是否適用于域外對象的標準，而《個人信息保護法》第三條第二款同樣以境外處理個人信息行為的效果作為管轄的標準，體現出“效果原則”的特點。所謂效果原則，指以行為結果是否影響本國作為判斷本國管轄權存在與否的管轄原則。效果原則對屬地原則的適用做出高度彈性的設計，本質上屬于屬地管轄原則的一個分支。其發軔于刑法領域，后來被美國法院移植用于反壟斷法中，開啟這一領域法律域外適用的先河。由于效果原則刻意淡化行為的地理因素，重點關注被法律調整的行為對本國所造成的影響而非行為發生地或行為人住所地，因而能夠將發生在領土外但影響到本國的行為全部納入本國法律的適用范圍。這樣的特質十分適合調整個人信息處理行為這類天生具有“無國界”性質的活動。根據《個人信息保護法》第三條第二款的規定，即使個人信息處理者不在我國境內，個人信息處理行為也沒有發生在我國境內，只要個人信息處理者有對我國境內的自然人進行提供產品或服務的動機，或者只要個人信息處理行為構成對我國境內的自然人個人信息的數據處理，則《個人信息保護法》仍然有可能對該行為進行管轄。在情形（1）的情況下，“目的”主要是境外個人信息處理行為的目的，并非境外個人信息處理者的目的。這是因為《個人信息保護法》第三條以個人信息處理行為作為管轄啟動的唯一要件，不考慮個人信息處理者的情況，只有將“目的”理解為個人信息處理行為的目的才符合第三條的內在邏輯。換而言之，《個人信息保護法》的適用與否并不考慮境外個人信息處理者的主觀意圖，當存在向中國境內自然人提供產品或服務的行為時，無論提供產品或服務的主體實際期望為何，均不影響《個人信息保護法》的適用。在情形（3）的情況下，“分析和評估”的含義十分豐富。其基本涵蓋了《個人信息保護法》第四條中的“加工”行為的全部情形。在判斷境外個人信息處理者的行為是否構成對境內自然人個人信息“分析和評估”時，可以考慮是否存在自然人被“數據跟蹤”、個人信息處理者對自然人進行“數據畫像”等情形。

司法活動中具體適用《個人信息保護法》第三條時，需要考慮個人信息處理行為與境外個人信息處理者之間的聯系緊密程度，只有當二者間聯系足夠密切時方可將個人信息處理行為歸因于境外個人信息處理者。這種聯系的緊密程度應當達到“不可擺脫”的水平，即這種聯系應當是“不可擺脫的聯系”。關于如何理解“不可擺脫的聯系”，可以考慮以下幾個因素：（1）該行為是否屬于《個人信息保護法》列舉的八種個人信息處理行為之一；（2）個人信息處理者是否有可能通過該行為獲得利益，包括經濟上的回報或商譽增長；（3）該行為在外觀上是否有充分理由使人相信是由該個人信息處理者做出的。“不可擺脫的聯系”勢必會拓寬《個人信息保護法》的適用范圍，但在解釋過程中不宜過度擴展至所有聯系的情況，否則容易導致《個人信息保護法》過度管轄而難以取得境外個人信息處理者的敬畏。

四、結語

我們已經身處信息網絡時代，互聯網將世界各地的人們緊密聯系，各國經濟休戚與共。但是，數字信息領域的國際法統一實踐進程卻遠遠慢于互聯網發展進程，為了實現保護個人信息權益的立法目的，不可避免地需要擴張國家網絡主權，賦予《個人信息保護法》以域外適用效力。在司法實踐當中，還需進行個案分析，充分考慮影響本條適用的諸多因素，以便在將來通過司法解釋對本條的效力邊界做出更為精確的闡明。

[注釋]

①Lotus Case,PCIJ Series A,No.10,pp.19:Far from laying down a general prohibition to the effect that States may not extend the application of their laws and the jurisdiction of their courts to person,property and acts outside their territory,it leaves them in this respect a wide measure of discretion which is only limited in certain cases by prohibitive rules;as regards other cases,every State remains free to adopt the principles which it regards as best and most suitable.

②目前構建了個人信息保護法律體系的主要有:歐盟及歐盟諸國、美國、日本、韓國、俄羅斯、加拿大等,但各國對個人信息權益的保護水平存在差異,其中歐盟的立法呈現出強烈的保護信息主體的意愿,美國則最為強調維護處理信息行為的自由程度。

③在“Google 被遺忘權案”中,歐盟數據保護第29 條工作組（ARTICLE 29 Data Protection Working Party）正是通過解釋“不可擺脫的聯系”的判定標準從而確定西班牙Google 和美國總部之間的聯系。這種“不可擺脫的聯系”同樣可以用作判斷《個人信息保護法》中個人信息處理者與其個人信息處理行為之間關聯的標準。