张晓岚 王鹏

（上海政法学院，上海 201602）

《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）作为我国针对个人信息处理行为进行规范的法律，改变了长期以来我国个人信息保护领域缺乏专门法律规范的境况。《个人信息保护法》的出台终结了以往对个人信息的保护只能依靠民法基本法和一系列行政法规进行查缺补漏式规范的时代，与《中华人民共和国网络安全法》《中华人民共和国数据安全法》共同构成我国信息安全方面的法律基石。《个人信息保护法》对个人信息提供的保护水平相当之高：内容上公私兼备，既明确“个人信息权益”的内容范围，也强调对“个人信息处理行为”的公法监管；既统合私主体和公权力机关的义务与责任，也兼顾个人信息保护与利用。在效力范围方面，《个人信息保护法》第三条突破了以地理边界作为法律效力范围的传统做法，对境内外处理我国境内自然人个人信息的活动进行了分别安排，呈现出明显的域外管辖的效果，扩展了我国对公民个人信息保护的界限。

一、《个人信息保护法》域外管辖的法理基础

《个人信息保护法》的调整对象是个人信息处理者与我国境内自然人之间因个人信息处理活动形成的社会关系，既包括平等民事主体间发生的个人信息处理关系；也包括国家机关与自然人间形成的个人信息处理关系。当《个人信息保护法》在调整平等主体间个人信息处理关系时，作为被规范对象的信息处理行为并不必然发生于我国境内。互联网是没有国界的，个人信息处理者即便没有在我国境内设立机构，不曾在我国境内直接开展过信息处理行为，也不妨碍其在任意时间通过委托或买卖等方式收集我国境内的个人信息，并加以分析使用。例如，亚马逊公司（Amazon）作为全球性的电子商务巨头，在美国华盛顿州的总部完全可以通过其在中国设立的子公司获取中国地区用户的个人信息并进行分析监测。当境外个人信息处理者能够有效取得境内用户个人信息时，《个人信息保护法》如果仅针对境内信息处理者适用而放弃对境外信息处理者的管辖，不仅违背了充分保护原则，实际上会减损《个人信息保护法》的权威性。由此可见，为了充分、完整保护个人信息主体的合法权益，《个人信息保护法》必须具有涉外效力。

国际法并不禁止一国法律拥有域外效力。内国法的域外效力通常表现为某个外国对象的行为被内国法加以管辖。目前，国际社会中以内国法进行域外管辖的情况并不鲜见，主要集中在证券金融法等国际法尚未形成统一国际规范的领域。在个人信息保护方面，欧盟《通用数据保护条例》（GDPR）以及之前的一系列立法均规定了域外适用的效力。在涉外管辖方面，判断一部法律的域外适用是否符合国际法，要看它所适用的事件、行为或人是否与立法国的和平、秩序和良好统治有关联。国际常设法院在“荷花号案”的判决中论述道：“国际法没有规定普遍禁止，即各国不得将其法律的适用和法院的管辖权扩大到其领土以外的个人、财产和行为，而是在这方面为各国留下了广泛的自由裁量权，只在某些情况下受到禁止性规则的限制；至于其他情况，每个国家仍然可以自由地采取它认为最好和最合适的原则。”该判决作出于100 年前，当年国际法并没有建立起一套“普遍禁止”的规定。纵观当今国际社会，国际法虽然在打击国际犯罪、保护外交人员、国际货物交易等方面形成具有相对一致性的国际规则，但在国际金融、个人信息保护等领域尚未形成统一的国际习惯。建立含有“普遍禁止”的规定尚且遥遥无期。由此观之，赋予个人信息保护类法律以域外效力并不违法国际法，国际法甚至为各国留下了“广泛的自由裁量权”。是故，当一个法律领域尚且处于探索阶段、尚未形成国际共识的时候，想要建立具有普适性的共同规范最好的方法是“留白”：首先国际法静默不语，让各个国际主体以自身实践为蓝本提出多种法律范式，不同法律范式之间“百家争鸣”，继而逐步“求同存异”，由此形成能为国际社会普遍接受的国际习惯，最终在此基础上进行总结、归纳而诞生国际成文法。观察任何国际法规则的发展历史，无不是遵循这样的路径。

二、《个人信息保护法》域外效力扩张的现实基础

法律是对既存社会关系进行归纳后形成的具有普适性的社会规范，个人信息保护法必然反映当下信息技术发展形成的数据社会关系。因此，想要在实然层面理解《个人信息保护法》所具有域外适用效力的合理性，就需要探究个人信息作为一种数据的独特性质和当前个人信息保护立法的国际背景。

（一）个人信息数据的虚拟性要求个人信息的保护应脱离地域限制

以超级计算机发展为基础的信息技术革命改变了社会生产方式和人类生活方式。信息技术的勃兴一方面使得个人信息能够被事无巨细地记录下来，这些信息能够反映出信息主体的各种偏好和习惯，因而具有极大的经济潜能。另一方面，个人信息处理者处理数据的能力前所未有地增强。如今个人信息处理行为无孔不入，即便是某些单独不足以识别信息主体，但与其他信息碎片结合却能拼凑出信息主体形象的信息碎片也被大量收集、分析。其中“个人信息处理者”的概念不带有任何地理色彩，境外企业同样能通过互联网向境内自然人提供信息服务。个人信息保护法具备涉外效力的现实背景在于个人信息数据跨境流动已经成为现实。以国界作为确定一国法律效力范围的传统立法范式在涉及互联网领域社会关系上显得比较疲软。因为数据是去中心化、虚拟化的产品，个人信息处理者能够在任何地点的任意一台计算机上挖掘、分析、分配世界上任何一个信息主体的个人信息，云计算技术的发展更是使得数据处理行为能够突破本地处理的限制。信息技术的突飞猛进实际上形成了一个“无土地”的虚拟空间，这一空间中没有界碑，只有无数个人信息数据恣意流动。在此情况下想要保护个人信息权益、规制个人信息处理行为，无法仅依赖特定地理概念作为确定管辖的依据。法律效力与国家主权界限之间的逻辑关系随之发生改变。个人信息保护立法的效力范围必然会摆脱地理边界的限制，并且不可能呈现为对本国主权范围内个人信息处理法律关系放弃管辖的“内缩”范式，而只能表现为争取对本国主权范围外的个人信息处理行为的“扩张”适用。

（二）国际实践普遍赋予个人信息保护类法律以域外效力

目前，各国间个人信息保护水平不一、国际习惯尚未形成。各国网络信息技术水平存在显著差异，社会信息化程度高的国家个人信息保护法的水平较高，而社会信息化程度低的国家则缺乏进行个人信息保护专门立法的现实基础。在已经建立个人信息保护体系的国家当中，立法范式亦千差万别，每个国家都会根据本国信息技术发展水平制定侧重点不同的个人信息保护法。不过，基于个人信息数据脱离地域保护限制的特点，各国均为实现充分保护个人信息的目的而扩张本国个人信息保护法的域外效力。

各国在个人信息保护立法方面无一例外地向信息主体提供“充分保护”，即对自然人个人信息提供的保护应当是有效的、全面的。充分保护原则要求国家尽可能扩张个人信息受保护的范围：凡本国自然人个人信息能够流向的地方均应当受到本国个人信息保护法的调整。首先，个人信息基于其自身性质和个人处分权的关系，应由法律特殊保护。欧洲学者普遍认为，对个人信息的保护属于公民应当享有、不可剥夺的基本权利，2000年颁布的《欧盟基本权利宪章》更是将个人信息权利推到基本人权的高度。其次，在数据跨境流动频繁的背景下，如果一国保护个人信息的法律效力不能追及位于境外的个人信息处理者，则其保护功能便流于形式。国家的首要职能在于保护国民，而个人信息与基本人权密不可分，能够深刻影响个人的生产、生活，其形成的个人信息权益与人身自由、人格尊严一样应受充分保护，是法律的应有之义。

（三）构建个人信息保护法域外效力的统一共识

数据自由流通的天性要求主权国家更多地参与到制定数据跨境流通规则的构建当中去，其中也包括构建个人信息保护领域的国际规则。当尚未形成统一国际规则的时候，国内立法势必通过扩张本国个人信息保护法的域外效力对“无法之地”进行填补。欧盟个人信息保护立法目前处于世界领先水平，通过域外效力规则的设定，将欧盟规则的适用范围得以扩张到欧盟之外。这种通过扩张内国法域外效力来实现国际层面规则协调的方式，势必影响其他国家个人信息保护法规则的制定以及国际社会个人信息保护标准的最终水平。《个人信息保护法》扩张其域外效力，有助于推动我国在个人信息保护领域与其他拥有个人保护法律制度的国家进行沟通交流，更多地了解其他国家个人信息保护立法、执法的实际情况。优化我国《个人信息保护法》，有助于提升我国个人信息保护职责部门工作人员的执法能力。另一方面，适当扩张《个人信息保护法》的涉外效力有助于我国参与填补国际个人信息保护规则的空白，为其他国家个人信息保护立法提供参考对象。如此，则能够在未来国际间统筹个人信息保护立法实践时积累更多法律构建和法律适用的经验。这一过程也将提升我国在个人信息保护方面的法律影响力，为个人信息保护领域形成国际统一规则贡献中国智慧。

三、《个人信息保护法》的域外适用范式

我国《个人信息保护法》的制定在一定程度上借鉴欧盟《个人信息保护法》（GDPR）的内容，这主要由于我国同欧盟一样在国际信息数据流通领域主要作为数据产生者的地位要强于作为数据处理者的地位；同时，GDPR 自身立法技术在国际个人信息保护领域独步一时，其中许多内容可供我国参考。与GDPR 第三条相似，《个人信息保护法》第三条所规定的适用范围明显不受地理限定性条件，其涉外效力不言自明。在适用标准方面《个人信息保护法》确立了以“个人信息处理行为”为主要依据的适用标准，这一点与GDPR“经营场所标准”有所不同。

《个人信息保护法》第三条第一款规定，在中国境内处理自然人个人信息的活动适用本法。由于本款确定的适用依据以个人信息处理行为发生地为标准，因而无需考虑境外个人信息处理者是否在我国境内设立机构，无需考虑信息主体身份否是中国公民，外国人在我国境内的个人信息被处理时同样适用《个人信息保护法》。还无需考虑境外个人信息处理者是否在我国境内配备有数据处理终端或代理处理单位等情况。只要境外个人信息处理者的行为经过判断系在我国境内做出，即受《个人信息保护法》约束。《个人信息保护法》第三条第二款是关于个人信息处理行为发生于境外而可适用本法的规定。主要适用于三种情形：（1）个人信息处理行为系以向中国境内自然人提供产品或者服务为目的；（2）个人信息处理行为属于分析、评估中国境内自然人个人信息的行为；（3）法律、行政法规规定的其他情形。除情形（3）以外，分段《个人信息保护法》第三条第二款与GDPR 第三条第二款（a）（b）项的规定略显类似。GDPR 在使用范围方面最大的特点在于引入“效果原则”作为确定是否适用于域外对象的标准，而《个人信息保护法》第三条第二款同样以境外处理个人信息行为的效果作为管辖的标准，体现出“效果原则”的特点。所谓效果原则，指以行为结果是否影响本国作为判断本国管辖权存在与否的管辖原则。效果原则对属地原则的适用做出高度弹性的设计，本质上属于属地管辖原则的一个分支。其发轫于刑法领域，后来被美国法院移植用于反垄断法中，开启这一领域法律域外适用的先河。由于效果原则刻意淡化行为的地理因素，重点关注被法律调整的行为对本国所造成的影响而非行为发生地或行为人住所地，因而能够将发生在领土外但影响到本国的行为全部纳入本国法律的适用范围。这样的特质十分适合调整个人信息处理行为这类天生具有“无国界”性质的活动。根据《个人信息保护法》第三条第二款的规定，即使个人信息处理者不在我国境内，个人信息处理行为也没有发生在我国境内，只要个人信息处理者有对我国境内的自然人进行提供产品或服务的动机，或者只要个人信息处理行为构成对我国境内的自然人个人信息的数据处理，则《个人信息保护法》仍然有可能对该行为进行管辖。在情形（1）的情况下，“目的”主要是境外个人信息处理行为的目的，并非境外个人信息处理者的目的。这是因为《个人信息保护法》第三条以个人信息处理行为作为管辖启动的唯一要件，不考虑个人信息处理者的情况，只有将“目的”理解为个人信息处理行为的目的才符合第三条的内在逻辑。换而言之，《个人信息保护法》的适用与否并不考虑境外个人信息处理者的主观意图，当存在向中国境内自然人提供产品或服务的行为时，无论提供产品或服务的主体实际期望为何，均不影响《个人信息保护法》的适用。在情形（3）的情况下，“分析和评估”的含义十分丰富。其基本涵盖了《个人信息保护法》第四条中的“加工”行为的全部情形。在判断境外个人信息处理者的行为是否构成对境内自然人个人信息“分析和评估”时，可以考虑是否存在自然人被“数据跟踪”、个人信息处理者对自然人进行“数据画像”等情形。

司法活动中具体适用《个人信息保护法》第三条时，需要考虑个人信息处理行为与境外个人信息处理者之间的联系紧密程度，只有当二者间联系足够密切时方可将个人信息处理行为归因于境外个人信息处理者。这种联系的紧密程度应当达到“不可摆脱”的水平，即这种联系应当是“不可摆脱的联系”。关于如何理解“不可摆脱的联系”，可以考虑以下几个因素：（1）该行为是否属于《个人信息保护法》列举的八种个人信息处理行为之一；（2）个人信息处理者是否有可能通过该行为获得利益，包括经济上的回报或商誉增长；（3）该行为在外观上是否有充分理由使人相信是由该个人信息处理者做出的。“不可摆脱的联系”势必会拓宽《个人信息保护法》的适用范围，但在解释过程中不宜过度扩展至所有联系的情况，否则容易导致《个人信息保护法》过度管辖而难以取得境外个人信息处理者的敬畏。

四、结语

我们已经身处信息网络时代，互联网将世界各地的人们紧密联系，各国经济休戚与共。但是，数字信息领域的国际法统一实践进程却远远慢于互联网发展进程，为了实现保护个人信息权益的立法目的，不可避免地需要扩张国家网络主权，赋予《个人信息保护法》以域外适用效力。在司法实践当中，还需进行个案分析，充分考虑影响本条适用的诸多因素，以便在将来通过司法解释对本条的效力边界做出更为精确的阐明。

[注释]

①Lotus Case,PCIJ Series A,No.10,pp.19:Far from laying down a general prohibition to the effect that States may not extend the application of their laws and the jurisdiction of their courts to person,property and acts outside their territory,it leaves them in this respect a wide measure of discretion which is only limited in certain cases by prohibitive rules;as regards other cases,every State remains free to adopt the principles which it regards as best and most suitable.

②目前构建了个人信息保护法律体系的主要有:欧盟及欧盟诸国、美国、日本、韩国、俄罗斯、加拿大等,但各国对个人信息权益的保护水平存在差异,其中欧盟的立法呈现出强烈的保护信息主体的意愿,美国则最为强调维护处理信息行为的自由程度。

③在“Google 被遗忘权案”中,欧盟数据保护第29 条工作组（ARTICLE 29 Data Protection Working Party）正是通过解释“不可摆脱的联系”的判定标准从而确定西班牙Google 和美国总部之间的联系。这种“不可摆脱的联系”同样可以用作判断《个人信息保护法》中个人信息处理者与其个人信息处理行为之间关联的标准。