张建文++张哲

摘要：大数据时代，随着智能设备的普及和数据处理技术的成熟，搜索引擎、社交网络、电子商务等互联网信息服务快速发展。信息以前所未有的方式自由流动和跨境传输，由此引发了个人数据保护法域外效力的扩张。相较于早期的《数据保护指令》， 新近通过的欧盟《一般数据保护条例》增加了域外适用情形，将为欧盟境内的数据主体提供商品或服务以及监控其行为的境外企业也纳入了规制范围。纵观世界范围内的个人数据保护法，多数国家已设立域外适用条款，扩大法律的域外效力已经成为国际社会的主流做法。就当前信息产业发展和个人信息保护规范的现状而言，我国应借鉴欧盟立法经验，在未来的个人信息保护法中设立域外适用条款，扩大法律的地域适用范围，以保障信息主体的合法权益。

关键词：个人数据保护法；域外效力；《一般数据保护条例》；属地原则；效果原则；个人信息保护法

中图分类号：D913； D923.8文献标识码：A文章编号：16738268（2017）02003608

一、问题的提出

在知识和经济快速变革的信息化社会中，技术的进步，包括互联网、移动互联、物联网、云计算、人工智能等技术的发展和运用，使得个人网上行为的全方位记录和大规模分析成为可能，由此产生的数据资源也正和土地、劳动力、资本等生产要素一样成为促进经济增长和社会发展的基本要素。与之相应的是，个人信息以一种前所未有的方式被企业和政府机关收集、存储、利用和传输。我们的搜索记录、浏览记录、消费记录、社交记录等几乎所有的网上行为记录都有可能被传输至境外的信息服务提供者所在地或被分享至第三方。由此引发的一个疑问就是：当境外企业违法收集和处理本国公民的个人数据时，一国的法律是否有权予以制裁？也即法律的域外效力。

在理论上，法律的域外效力是指“法律的空间效力扩展到该国国家主权主管范围之外”[1]。按照国际法中的国家主权原则，一国制定的法律原则上应当仅适用于本国领土范围之内。但是随着经济全球化的发展和信息自由流动的加快，法律的域外效力已经不仅局限于破产法、消费者权益保护法、竞争法等传统部门法，而是扩展到了个人信息保护法、电子商务法、信息财产法等新兴的法律领域。网络空间在本质上是一个国际性的虚拟空间，其超越了传统的国界，一个人上传的照片和视频很有可能被传播至世界上任何一个连接至互联网的终端设备。这种特性也使得传统法律的属地管辖原则已无法满足当今社会的发展，在个人信息保护上应当扩大法律的域外适用范围。而从世界范围内的个人数据保护立法来看，强化本国法律的域外效力已经成为国际社会达成的共识。为此，本文将以欧盟正式颁布的《一般数据保护条例（GDPR）》（以下简称GDPR）为视角，探析个人数据保护法的域外效力并为我国未来个人信息保护法的制定提出建议。

二、欧盟GDPR域外效力探析

2016年4月14日，欧洲议会在二读立法程序中决议通过了被称为“史上最严格的个人数据保护条例”GDPR，其正式文本于5月4日被公布在欧盟官方公报上，从而结束了欧盟自2012年提出立法草案以来长达四年之久的数据保护改革。根据该条例第99条关于生效和适用的规定，其将自官方公报发布满20日，即2016年5月24日后生效，并自其生效满两年，即2018年5月25日后直接适用于欧盟全体成员国，在两年的过渡期内，欧盟各成员国可以将该条例转化为自己的国内法予以适用[2]。相较于早期颁布并仍在实施的欧盟《数据保护指令（95/46/EC）》（以下简称95指令），GDPR在地域适用范围、权利义务配置、监管体系设计、惩罚措施、救济方式等方面都对原有立法框架进行了重大调整。加之欧盟法院（CJEU）于2014年5月13日以判例的方式裁决个人享有被遗忘的权利[3]，这份自2012年1月欧盟委员会的提议起就备受外界关注的立法在引领全球个人信息保护立法方面无疑具有重要意义。

随着数字经济在全球范围内的快速发展，促进数据的自由流动并挖掘数据中的潜在商业价值已经成为世界各国政府的共识，美国的《大数据：抓住机遇，保存价值》白皮书、欧盟的《数据价值链战略计划》《英国数据能力发展战略规划》以及我国的《国家信息化发展战略纲要》都是加强数据资源利用的战略规划。但数据的自由流动必将带来法律适用上的难题，单纯规制境内的个人数据处理行为已无法充分保护数据主体的权利。为此，GDPR第三条将境外企业对欧盟境内自然人的个人数据所实施的特定处理行为也纳入了规制范围GDPR第3条“地域范围”：

1.该条例适用于数据控制者或处理者在欧盟境内存在设立机构活动的背景下所实施个人数据处理行为，无论该处理行为是否发生在欧盟境内。

2.该条例适用于在欧盟境内不存在设立机构的数据控制者或处理者对欧盟境内数据主体的个人数据所实施的处理行为，如果该处理行为涉及：（a）对欧盟境内的数据主体提供商品或服务，无论数据主体是否被要求付费；或者（b）监控欧盟境内数据主体的行为，只要他们的行为发生在欧盟境内。

3.该条例适用于由不在欧盟境内，而在凭借国际公法而适用成员国法律的地区的数据控制者所实施的个人数据处理行为。。具体而言，包括以下三种情形。

（一）欧盟境内存在设立机构

根据GDPR第3条第1款的规定，如果一个数据控制者或处理者，如Google美国总公司，其在欧盟境内存在一个设立机构（establishment），那么在此种情形下，数据控制者或处理者所实施的任何处理行为都要受到该条例的约束，不仅是欧盟境内的设立机构（如Google西班牙公司），设立该机构的数据控制者或处理者（如Google美國总公司）所实施的处理行为也要受到约束。

对于该条中“the processing of personal data in the context of the activities of an establishment of a controller or a processor”的理解，由于其与95指令第4条（1）（a）的规定在表述方式上一致，且欧盟法院在Google被遗忘权案件中对此进行了扩张性解释，因此，欧盟法院的判决观点对于正确解释该条文具有重要指引价值。除此之外，在该案判决之后，欧盟数据保护第29条工作组（以下简称WP29）亦于2015年12月发布了对该案地域适用范围的意见。因此，本部分将从Google被遗忘权案裁判观点、WP29地域适用范围意见和设立机构判定标准三个层面予以解析。endprint

1.Google被遗忘权案裁判观点

在该案中，法院已经查明的事实是：

（1）Google西班牙公司是Google集团在西班牙地区的商业代理人，帮助Google集团推广和销售线上广告位以获取商业利润。

（2）Google搜索引擎由Google美国总公司来运营和管理， Google西班牙公司并未实施与将第三方网站上的信息或数据编入索引或存储直接关联的活动。

（3）Google西班牙公司在西班牙地区实施的对广告位进行推广和销售的行为构成了Google集团商业活动的一部分，可被视为与Google的搜索服务紧密相联。

而Google西班牙公司和Google美国总公司则辩称，本案的情况是，在主要进程中有争议的个人数据处理行为由Google美国总公司排他性地实施，其对搜索引擎的运营没有受到Google西班牙公司的任何干预；后者的行为限于为Google集团独立于其搜索引擎服务的商业行为提供支持。

基于上述事实，欧盟法院的主要观点及理由如下：

（1）根据95指令绪言（19）对设立机构的界定[4]，在本案中，“毫无疑问的是，Google西班牙公司在西班牙从事着对通过稳定安排活动的真正有效执行。此外，其还拥有独立的法律人格，构成了Google美国总公司在西班牙领土上的一个子公司，因而成为95指令第4条（1）（a）中的‘设立机构”[3]。

（2）但考虑到95指令旨在确保对自然人的基本权利和自由，尤其是关于他们在个人数据处理方面的隐私权的保护[5]。因此，关于个人数据的处理，不应当对这些文字进行限制性解释。从95指令绪言（18）至（20）和第4条的规定中可以明确的是，“欧盟立法机构希望通过规定一个特别宽泛的地域范围来阻止个人被剥夺由该指令所确定的保护以及对那种保护的规避”[3]。

（3）對于在一个成员国内有设立机构的Google美国总公司而言，如果该设立机构意图为在成员国内推广和销售旨在使搜索引擎盈利的广告位的话，那么，为搜索引擎服务目的而为的个人数据处理行为就是在该设立机构“活动背景下”实施的，二者之间的活动具有“无可摆脱的联系（inextricable link）”。由于搜索结果和与搜索项相关联的广告在同一页面展示，因此，该数据处理行为是在数据控制者位于一个成员国领土上（本案中的西班牙）的设立机构的商业和广告活动的背景下实施的。

由此，欧盟法院认定，已经被转化为西班牙国内法的95指令第4条（1）（a）适用于Google美国总公司的个人数据处理行为。此外，从法院最终要求Google公司删除有关原告冈萨雷斯新闻链接的判决来看，对于GDPR第3条第1款的理解，其应当是指“在数据控制者或处理者设立机构活动的背景下所实施的个人数据处理行为”，立法者并未将此种处理行为限制在该设立机构的范围内，并且从该项后半段“regardless of whether the processing takes place in the Union or not”来看，并不需要考虑处理行为的发生地。因此，对于发生在欧盟境外的个人数据处理行为，如本案中发生在美国的索引行为，因其是在西班牙公司商业活动的背景下实施的处理行为，所以应受到该条例的约束。

2.WP29地域适用范围意见

该案判决后，WP29于2015年12月16日发布了一份关于Google案件管辖问题的意见（以下简称意见）[6]，其中就包括对95指令第4条（1）（a）中“活动背景下”的详细解释以及设立机构与控制者之间“无可摆脱的联系”的认定标准，从而使95指令以及GDPR的地域适用范围在法律适用上更具可操作性。

根据欧盟法院的裁决对95指令第4条（1）（a）的解释，其并不必然要求所谈及的个人数据处理行为是“由（by）”相关设立机构自己实施的，而是只要个人数据处理行为是在设立机构“活动背景下”实施的，即满足法律适用的条件[7]。

对于这样一个比较宽泛和抽象的法律概念，法院以Google美国总公司与Google西班牙公司之间“无可摆脱的联系”为由进行了充分的论证。法院认为，Google西班牙公司虽未直接实施索引行为，但是其在西班牙地区销售搜索引擎上广告位的行为是使搜索引擎在“经济上可盈利（economically profitable）”的工具。因此，可以充分认定Google西班牙公司的广告位销售行为与Google的商业模式相关联，没有广告位销售行为，Google便不可能在经济上为全球提供搜索引擎服务。由此，在95指令的地域适用范围上，“无可摆脱的联系”就成为了一个重要的认定标准。对此，WP29认为，对于此种关联应当结合具体场景，考虑每个情形中的具体条件来进行综合评估，既不能过宽地认为所有的关联活动都满足要求，也不能过窄地认为仅仅是搜索引擎商业模式才受到约束[6]。

欧盟法院的判决已经表明，即使设立机构并未真正从事数据处理行为，只要设立机构的行为与数据控制者之间有财务增长上的联系即可被认定为存在“无可摆脱的联系”。对此，结合法院的判决理由和95指令的目的，WP29认为，在“无可摆脱的联系”的认定上应当考虑以下要素：

（1）设立机构是否实施个人数据处理行为不是必要条件；

（2）在“免费网络服务+广告”的商业模式中，财务上的增长可以被视为存在“无可摆脱的联系”；

（3）对于其他商业模式和行为，需要在个案的基础上综合评估。非欧盟企业在欧盟境内提供免费网络服务以换取用户会员费或用户订阅以及利用用户数据盈利，甚至是为了捐赠目的，这些行为也可以被视为存在“无可摆脱的联系”。

由此可见，关于GDPR地域适用范围的认定，应当考虑设立机构与数据控制者之间是否存在“无可摆脱的联系”。对这种联系的认定既不能过度扩展至所有关联，也不能在商业模式上过分限制，需要结合个案综合评估。从目前法院的判决以及WP29的观点来看，财务上的增长、提供免费网络服务以换取用户会员费或用户订阅以及利用用户数据盈利可以被认定存在“无可摆脱的联系”。endprint

3.设立机构判定标准

对于设立机构的认定，根据GDPR绪言（22），“设立机构意味着经过稳定安排的活动的真正有效执行。这种安排的法律形式，无论是一个分支机构还是一个具有法律人格的子公司，不是决定性的因素”[8]。

除此之外，欧盟法院于2015年10月1日对“Weltimmo”案所做的判决第41段指出，只要数据控制者在一个成员国领土上通过稳定的安排实施真正有效的活动，即使是一个最小的机构，其在这样的背景下所实施的处理行为就要受到该成员国法律的约束[9]。随后，法院也列举了认定这种情形需要考虑的事实，包括：（1）数据控制者的处理行为构成对有关某个成员国境内的财产交易网站的运营并以该国的语言来显示，并在结果上主要或完全针对该成员国；（2）数据控制者在该成员国内有一个代表机构，该机构负责恢复由这些活动所产生的债务以及在有关数据处理行为的行政和司法程序中代表数据控制者[9]。

综上所述，对于在欧盟境内存在设立机构的境外企业，只要该设立机构与其存在“无可摆脱的联系”，那么，无论控制者的个人数据处理行为是否发生在欧盟境内，均应受到GDPR的约束。另外，仅从GDPR第3条以及绪言（22）的字面含义来看，仍存疑问的是，是否Google美国总公司实施的一切处理个人数据的行为都要受到约束？本文认为，从该条例的立法目的来看，由于其旨在为欧盟境内的数据主体提供高水准的法律保护，因此，对于Google美国总公司针对欧盟以外地区（如加拿大或中国）数据主体实施的处理行为，该条例并不适用。

（二）为欧盟境内数据主体提供商品或服务或者监控其行为

如果一个数据控制者或处理者在欧盟境内不存在设立机构，那么在以下两种情况下，其所实施的个人数据处理行为要受到该条例的约束。

1.该数据控制者或处理者为欧盟境内的数据主体提供商品或者服务，无论该种商品或服务是否要求数据主体付费。对于提供商品或服务的界定，根据GDPR绪言（23），应当查明数据控制者或处理者设想在欧盟境内为一个或多个成员国的数据主体提供服务的意图是否明显。单单是对数据控制者、处理者或中介在欧盟境内的网站、一个电子邮箱地址或其他联系详情的接入或者对数据控制者所在第三方国家通行语言的使用，并不足以明确此种意图。而诸如以其他语种对一个或多个成员国国内通行的能够订购商品或服务的语言或货币的使用，或者对欧盟境内的消费者或用户的提及等，可以认定这种意图是明显的[10]。

2.该数据控制者或处理者的处理行为涉及对数据主体发生在欧盟境内的行为的监控。对于监控行为的界定，根据绪言（24），“应当查明自然人是否在互联网上被追踪，包括对构成为自然人画像的个人数据处理技术的潜在后续使用，尤其是为了做出关于他或她的决定或者是为了分析或预测他或她的个人偏好、行为和态度”[11]。

（三）国际公法原因

如果一个数据控制者在欧盟境内不存在设立机构，也不存在該条第二种情形中规定的为欧盟境内的数据主体提供商品或服务或者对数据主体发生在欧盟境内的行为的监控，但由于国际公法，在该数据控制者所在地区适用了欧盟成员国的法律，那么基于第3条第3款的规定，该条例也将适用于在此地区实施的个人数据处理行为。对于此处国际公法的解释，根据GDPR绪言（25），“在成员国的法律凭借国际公法而适用的地区，该条例也适用于不在欧盟境内设立的数据控制者，诸如在一个成员国的使馆或领馆内设立的数据控制者”[12]。

在法律的空间效力上，现代国家普遍遵循以属地管辖为主、属人管辖为辅的原则。但对于GDPR的地域适用范围，从更加抽象的意义上讲，其实是将所有涉及欧盟地区自然人个人数据的处理行为均纳入了管辖范围，这些规定与其说是属地管辖的例外，不如说是确立了一种新的管辖原则，即按照行为的效果来确立法律是否适用的管辖原则，这一点被WP29称之为“效果原则（Effects Principle）”[6]。由此可见，GDPR在地域适用范围上其实是确立了以属地原则为主、效果原则为辅的管辖原则，这也是立法机关对个人数据收集、处理和跨境流动的日益频繁所带来的管辖问题作出的现实回应。

三、境外个人信息保护法的域外效力

随着信息化社会的到来，加强个人信息的法律保护已经成为世界各国的共识。除欧盟以外，德国、英国、日本、新加坡以及我国港澳台地区均出台了相应的个人信息保护法，在这些国家和地区中，将境外的数据控制者的特定数据处理行为纳入法律适用范围也成了普遍做法。

美国于1998 年通过并自2000年4月21日起生效实施的《美国儿童网上隐私保护法》第1条开宗明义地指出，该法案将禁止互联网上针对儿童实施的与个人信息收集、使用和/或泄露相连的不公平或欺诈行为[13]。法案针对的是“面向儿童的网站或在线服务”的提供者，但其并没有限制网站地域范围。对此，有学者就认为，该法案也适用于美国境外的网站，只要该网站符合法案第2条关于“面向儿童的网站或在线服务”的定义，那么其收集和处理美国13岁以下儿童个人信息的行为就将受到约束[14]。

1995年的欧盟《数据保护指令（95/46/EC）》第4条第1段（c）规定，对于数据处理控制者不在共同体境内设立，但为了个人数据处理之目的使用了位于上述成员国境内的自动化或者其他的设备的情形，除非使用该设备仅仅是为了在共同体境内传输有关数据外，均要受到成员国根据该指令通过的国内个人数据保护法的约束[15]。

1998年的英国《数据保护法案》第5条关于法律适用的规定，除了约束设立于英国并在存续期间从事数据处理行为的控制者之外，对没有设立于英国或其他欧洲经济区（EEA）的企业，若其非以通过英国传送数据为目的而使用位于英国的设备进行数据处理，那么其亦将受到该法案的约束，需要在英国任命一名代表[16]。

2011年修订后的法国《数据处理、文档和个人自由法案》第5条第1款规定，只要是数据控制者在法国境内从事数据处理行为，不论其组织机构形态采用何种法律形式，均受到该法案的约束。对于没有设立于法国境内或其他成员国境内的控制者，如果其处理数据的手段位于法国，那么除单纯通过法国传输数据外，该数据控制者将受到法案的约束[17]。endprint

2009年修订后的德国《联邦数据保护法案》第一节目的和范围（5）规定，除非是由位于德国的分支机构实施的处理行为，否则法案不适用于位于欧盟其他成员国或欧洲经济区域协议缔约国范围之外的数据控制者的个人数据收集、处理和使用行为；如果控制者位于欧盟成员国或欧洲经济区域协议缔约国范围之外，那么其在德国境内实施的收集、处理和使用个人数据的行为将受到法案的约束，但仅为传输目的而在德国使用数据存储媒介的除外[18]。

新加坡个人数据保护委员会（PDPC）于2016年7月15日发布的《关于个人数据保护法（PDPA）中重要概念的建议指南》中，第11条规定了新加坡境内数据传输的法律适用问题。第1款规定，如果個人数据是在境外收集并在随后被传输至新加坡境内，那么法案将适用于有关新加坡境内此类个人数据的处理活动[19]。委员会为解释该款规定所举的例子也表明，如果一个位于新加坡境内的企业仅仅作为境外企业的数据媒介的话，那么，虽然数据收集行为发生在境外，但是在新加坡境内的处理行为仍要受到法案的约束。

2010年我国台湾地区的《个人资料保护法》第51条第2款规定，公务机关及非公务机关，在中华民国领域外对中华民国人民个人资料搜集、处理或利用者，亦适用本法。但该规定存在着过于原则性的问题，没有列明具体的适用情形。

2005年我国澳门地区的《个人资料保护法》第3条第3款规定，本法律适用于对可以认别身份的人的声音和影像进行的录像监视，以及以其他方式对这些声音和影像的取得、处理和传播，只要负责处理数据的实体的住所在澳门特别行政区（以下简称特区），或者通过在特区设立的提供信息和电信信息网络服务的供货商而实施。因此，即使境外的控制者仅仅是利用在澳门地区供货商提供的设备从事数据处理行为，其也应当受到该法案的约束。

从域外的法律规定中可以看出，世界其他国家和地区在个人数据保护法的域外效力上，存在以下三个特点。

第一，扩大法律域外效力成为普遍共识。随着全球数据自由流动的加快和国际电子商务的发展，人们获取信息的方式得到了空前的扩展。但与此同时，境外企业收集和处理本国自然人的个人数据也成为一种必然，我们在网上的搜索、购物、社交、出行订票等行为都有可能被国外的互联网企业所收集和处理并用于精准广告的投放。因此，立法机构需要扩大个人信息保护法的域外效力来增强个人的数据控制力，这一点也可以在欧盟95指令到GDPR的立法变迁中得到印证。

第二，欧盟法成为世界各国效仿对象。欧盟国家向来注重人权保障，因此在个人信息保护法方面一直走在世界前列[20]。自1995年通过95指令以来，其域外效力规定就成为了其他国家和地区的效仿对象。美国和我国台湾地区的法律规范虽然也确认了个人信息保护法的域外效力，但这些规定并不具有很强的操作性。而欧盟地区的立法则呈现出精细化的特点，将关涉欧盟地区自然人的数据处理行为纳入法律规制范围。GDPR虽然在原有的基础上继续扩大了适用范围，但这仍是在原有立法理念的基础上对当今以及未来世界信息经济发展的合理预判，此种做法既有效保障了数据主体的权利，又不会对他国主权完整造成不当干涉。

第三，效果原则成为属地原则的补充。属地原则是国家主权在法律领域的体现，个人信息保护法适用于在一国领土内发生的数据处理行为毋庸置疑，这一点也在英国、法国和我国澳门地区的法律中有了明确肯定。而在法律域外效力的规定上，除了美国和我国台湾地区的规定相对模糊外，其他国家或地区的规定可以说均是WP29所谓的“效果原则”的体现。无论是利用位于本国的设备（英国）、利用在本国设立的分支机构（法国和德国）或供应商，还是为本国自然人提供服务（欧盟），究其本质而言，都在客观效果上构成对本国或本地区自然人个人数据的处理。GDPR虽然增加了对境外企业提供商品或服务以及监控行为的适用，但其仍是效果原则的体现，目的在于在更大的程度和范围上保护欧盟地区数据主体的个人数据权。

四、对我国个人信息立法的建议

我国在互联网产业快速发展的同时，也出现了严重的个人信息侵权事件，这些事件的发生也促使人们对个人信息保护的热切关注。虽然我国早已出台了《全国人大常委会关于加强网络信息保护的决定》和工信部《电信和互联网用户个人信息保护规定》的法律规范和部门规章，并且也在征信、证券、保险、银行等行业规范中规定了企业和员工的个人信息保密义务，但这些规定仍存在碎片化、保护利益不清晰、效力层级低、执法部门定位和权限不明确等问题[21]。可以说，系统性地整理我国当前已经出台的相关规定并制定个人信息保护法已经成为了社会各界的共识。对此，在2016年10月31日召开的十二届全国人大常委会第二十四次会议中，委员会审议了民法总则草案二审稿并增加了被媒体称之为“徐玉玉徐玉玉事件基本情况：18岁的山东女孩徐玉玉以高考568分的成绩被南京邮电大学录取。2016年8月19日，徐玉玉接到诈骗电话，对方声称有一笔2 600元助学金要发放给她，于是其将9 900元学费转入了对方账号。得知被骗后，徐玉玉伤心欲绝，郁结于心，最终导致心脏骤停，虽经医院全力抢救，但仍不幸于8月21日离世。（参见：《徐玉玉之死不是一个人的悲剧》，《青岛早报》2016年8月25日）条款”的个人信息保护规定民法总则草案二审稿中，增加的个人信息保护条款为：“自然人的个人信息受法律保护，任何组织和个人不得非法收集、利用、加工、传输个人信息，不得非法提供、公开或出售个人信息。”，将个人信息权作为一项基本民事权利予以保护，从而为我国未来制定个人信息保护法奠定了基础。

作为世界上最大的信息服务市场，我国已经将大数据产业的发展提升到国家战略的高度，国务院《促进大数据发展行动纲要》以及中共中央办公厅、国务院办公厅《国家信息化发展战略纲要》均明确提出要加强信息基础设施的建设以促进社会的信息化转型。可以预见的是，随着物联网的普及和人工智能的应用，个人数据将实现在更大范围内的自由流动和更高效的处理利用。因此，我国需要在未来的个人信息保护立法中借鉴世界各国在域外效力规定上的先进经验，并结合产业发展状况，合理设定法律的地域适用范围。endprint

從前文对个人数据保护法域外效力的介绍和分析中可以看到，扩大地域适用范围已经成为世界各个国家和地区的普遍做法[22]。我国至今还未出台专门的个人信息保护法，现行的法律、法规、行政规章、行业自律规范等也以规制国内企业的数据处理行为为主，缺乏对域外效力的规定。而在个人信息保护立法理论研究领域，虽然已有学者提出了个人信息保护法专家建议稿[23]，但美中不足的是，该建议稿中也未规定法律的域外效力。

有鉴于此，笔者认为，在我国未来的个人信息保护立法中，为实现对我国领土范围内自然人个人信息的合理保护，应当在域外效力适用情形上参照欧盟地区的做法，但在立法技术上，还应当将属地原则作为一项基本规定单独列明，辅之以法律的域外效力适用情形，从而形成以属地原则为主、效果原则为补充的立法格局。因此，笔者建议我国在个人信息保护法地域适用范围上做如下规定。

本法适用于以下情形：

1.控制者或处理者在中华人民共和国领域内实施的个人信息处理行为。

2.控制者或处理者不在中华人民共和国领域内，但利用设立在中华人民共和国的组织机构实施的个人信息处理行为。

3.控制者或处理者不在中华人民共和国领域内，但其个人信息处理行为符合以下情形的：

（1）对中华人民共和国领域内的信息主体提供商品或服务；或（2）监测数据主体在中华人民共和国领域内实施的行为。

4.控制者或处理者不在中华人民共和国领域内，但其个人信息处理行为因国际公法而适用本法。参考文献：

[1]齐爱民，王基岩.大数据时代个人信息保护法的适用与域外效力[J].社会科学家，2015（11）：103.

[2]General Data Protection Regulation， Article 99[EB/OL].（20160427）[20160515].http：//eurlex.europa.eu/legalcontent/EN/TXT/PDF/？uri=CELEX：32016R0679&from=EN.

[3]Google Spain v AEPD and Mario Costeja González [EB/OL].（20140513）[20160510]. http：//eurlex.europa.eu/legalcontent/EN/TXT/PDF/？uri=CELEX：62012CJ0131&qid=1461468702602&from=EN.

[4]Data Protection Directive，Recital 19[EB/OL]. （19951024）[20160504]. http：//ec.europa.eu/justice/policies/privacy/docs/9546ce/dir199546_part1_en.pdf.

[5]Data Protection Directive，Article 1[EB/OL].（19951024）[20160504]. http：//ec.europa.eu/justice/policies/privacy/docs/9546ce/dir199546_part1_en.pdf.

[6]Article 29 Data Protection Working Party，Update of Opinion 8/2010 on applicable law in light of the CJEU judgement in Google Spain[EB/OL]. （20151216）[20160510]. http：//ec.europa.eu/justice/dataprotection/article29/documentation/opinionrecommendation/files/2015/wp179_en_update.pdf.

[7]PATRIKIOS A. Getting to know the GDPR，Part 2Outofscope today， in scope in the future. What is caught[EB/OL]. （20151020）[20160810]. http：//privacylawblog.fieldfisher.com/2015/gettingtoknowthegdprpart2outofscopetodayinscopeinthefuturewhatiscaught/.

[8]General Data Protection Regulation， Recital 22[EB/OL]. （20160427）[20160510]. http：//eurlex.europa.eu/legalcontent/EN/TXT/PDF/？uri=CELEX：32016R0679&from=EN.

[9]Weltimmo s.r.o.v.Nemzeti Adatvédelmiés Információsza

badság Hatóság[EB/OL].（20151001）[20160512]. http：//curia.europa.eu/juris/document/document.jsf？text=&docid=168944&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=182564.

[10]General Data Protection Regulation， Recital 23[EB/OL]. （20160427）[20160512]. http：//eurlex.europa.eu/legalcontent/EN/TXT/PDF/？uri=CELEX：32016R0679&from=EN.endprint

[11]General Data Protection Regulation， Recital 24[EB/OL]. （20160427）[20160512]. http：//eurlex.europa.eu/legalcontent/EN/TXT/PDF/？uri=CELEX：32016R0679 &from=EN.

[12]General Data Protection Regulation， Recital 25[EB/OL]. （20160427）[20160512]. http：//eurlex.europa.eu/legalcontent/EN/TXT/PDF/？uri=CELEX：32016R0679&from=EN.

[13]Childrens Online Privacy Protection Rule，§312.1. [EB/OL].[20161012].http：//www.ecfr.gov/cgibin/textidx？SID=4939e77c77a1a1a08c1cbf905fc4b409&node=16%3A1.0.1.3.36&rgn=div5.

[14]周慧莲.资讯隐私保护争议之国际化[J].月旦法学杂志，2004（1）：112132.

[15]Data Protection Directive，Article 4[EB/OL].（19951024）[20160504].http：//ec.europa.eu/justice/policies/privacy/docs/9546ce/dir199546_part1_en.pdf.

[16]Data Protection Act 1998，Article 5[EB/OL]. [20161012].http：//www.legislation.gov.uk/ukpga/1998/29/contents.

[17]Act on Data Processing， Data Files and Individual Liberties，Article 5[EB/OL].[20161012].http：//www.legislationline.org/download/action/download/id/4541/file/Loi_n°_7817_du_6_janvier_1978_data_processing_data_files_indivd_libraries_am_2011_en.pdf.

[18]Federal Data Protection Act，Section 1[EB/OL].[20161012].http：//www.gesetzeiminternet.de/englisch_bdsg/englisch_bdsg.html#p0009.

[19]Personal Data Protection Commission （PDPC）.Advisory Guidelines On Key Concepts In The Personal Data Protection Act，chapter 11[EB/OL].（20160715）[20161012].https：//www.pdpc.gov.sg/docs/defaultsource/advisoryguidelines/advisoryguidelinesonkeyconceptsinthepdpa（15july16）.pdf？sfvrsn=2.

[20]周汉华.对《个人信息保护法》（专家建议稿）若干问题的说明[J].中国科技法学年刊，2005（1）：325.

[21]张新宝.从隐私到个人信息：利益再衡量的理论与制度安排[J].中国法学，2015（3）：4445.

[22]王楠.个人信息跨境转移的法律保护——以公司隐私规则为视角[J].重庆工商大学学报（社会科学版），2016（1）：6874.

[23]齐爱民.中华人民共和国个人信息保护法示范法草案学者建议稿[J].河北法学，2005（6）：25.

Study on the Extraterritorial Effect of Personal Information

Protection Law： In the Perspective of General Data Protection

Regulation of EU

ZHANG Jianwen， ZHANG Zhe

（School of Civil and Commercial Law Studies， Southwest University of Political Science and Law， Chongqing 401120， China）

Abstract：In big data era， with the popularity of intelligent devices and maturation of data processing technology，search engine， social network， Ecommerce and other Internet information services are developing rapidly. Information flows and transfers acrossborders in an unprecedented way， which cause the expansion of the extraterritorial effect of the personal data protection law. Compared to the early data protection directive， the territorial scope of the newly adopted General Data Protection Regulation is much broader， and the NonEU companies which provide goods or services for EUs data subject as well as monitoring their behaviors shall be subject to this regulation. Throughout the personal data protection act worldwide， most countries have set extraterritorial effect provisions，extending the extraterritorial effect of law has become the mainstream of the international community. In terms of the development of Chinas information industry and the status of personal information protection regulations，China should learn from the legislative experience of the European Union，and set extraterritorial effect provisions as well as expand the territorial application scope in the personal information protection law in the future to protect the legitimate rights and interests of the data subjects.

Keywords：personal data protection law； extraterritorial effect； General Data Protection Regulation； territorial principle； effects principle； personal information protection law

（編辑：刘仲秋）endprint