GDPR域外效力對我國互聯(lián)網(wǎng)企業(yè)的挑戰(zhàn)與應(yīng)對

董京波，蘇希春

[摘要]歐洲是中國互聯(lián)網(wǎng)企業(yè)發(fā)展的重要市場，GDPR第3條極大地擴大了其域外效力，直接把中國企業(yè)納入GDPR管轄之下。在數(shù)據(jù)跨境場景下，跨境數(shù)據(jù)流動規(guī)則和域外效力制度對于“域外的歐盟數(shù)據(jù)”起到雙重保障，二者結(jié)合對涉歐中國互聯(lián)網(wǎng)企業(yè)產(chǎn)生巨大挑戰(zhàn)，企業(yè)需要在GDPR下合規(guī)經(jīng)營。國家層面，中國需要在制度層面建設(shè)域外效力法治體系，并注重法院在域外效力規(guī)則構(gòu)建中的作用。企業(yè)層面，中國涉歐的互聯(lián)網(wǎng)企業(yè)需結(jié)合自身情況做出經(jīng)營策略選擇，判斷自己是否屬于GDPR的域外管轄范圍，遵守適用于其業(yè)務(wù)的GDPR具體規(guī)則，并積極利用標準數(shù)據(jù)保護條款（SCCs）方式以及有約束力的企業(yè)規(guī)則體系應(yīng)對GDPR下的合規(guī)要求。

[關(guān)鍵詞]GDPR;域外效力;設(shè)立標準;目標指向標準;跨境數(shù)據(jù)流動規(guī)則;涉歐互聯(lián)網(wǎng)企業(yè)

[中圖分類號]D95[文獻標識碼]A[文章編號]1008—1763（2022）04—0113—10

ChallengesandResponsestotheExtraterritorialEffect

ofGDPRonChineseInternetEnterprises

DONGJingbo，SUXichun

（InternationalLawSchool，ChinaUniversityofPoliticalScienceandLaw，Beijing100088，China）

Abstract：InEurope，theextraterritorialeffectoftheGDPRhasbeengreatlyexpanded，whichdirectlybuildsanextraterritorialjurisdictionoverChineseinternetenterprises.Inthecaseofcrossbordertransferofpersonaldata，crossborderdataflowrulesplayanalternativeroleinprotectingEUdata.EurelatedChineseInternetcompaniesfacewithgreatchallengesbroughtbythecombinationofthetworules，whichneedtooperateincompliancewithGDPR.Chinashouldestablishextraterritorialeffectrulesandemphasizetheroleofthecourtinbuildingtheextraterritorialeffectrules.EUrelatedChineseInternetcompaniesshouldmakebusinesschoicesbasedontheirownconditions，determinewhethertheyfallwithintheextraterritorialjurisdictionofGDPR，complywiththespecificGDPRrulesapplicabletotheirbusinessandconsiderSCCsandBCRstomeetcompliancerequirementsunderGDPR.

Keywords：GDPR;extraterritorialeffect;establishmentcriteria;targetingcriteria;crossborderdataflowrules;EuropeanrelatedInternetcompanies

近年來我國互聯(lián)網(wǎng)企業(yè)迅速發(fā)展，這些互聯(lián)網(wǎng)企業(yè)在國際化過程中，歐洲是重要的市場，國家發(fā)表了一系列經(jīng)貿(mào)合作聲明與倡議，表明了歐洲經(jīng)濟合作的動向。早在2015年，蘇州舉行的經(jīng)貿(mào)論壇分論壇就以“互聯(lián)網(wǎng)+中國-中東歐經(jīng)貿(mào)合作”為主題。2019年，中國-中東歐國家領(lǐng)導(dǎo)人會議達成一系列會晤成果，決定進一步促進電子商務(wù)發(fā)展。[1]2020年中國成為歐盟最大貿(mào)易合作伙伴，[2]我國與歐洲經(jīng)貿(mào)聯(lián)系越趨緊密。

中國互聯(lián)網(wǎng)企業(yè)100強榜單中，阿里巴巴、騰訊連年位列一二名，數(shù)據(jù)來源于中華人民共和國工業(yè)和信息化部官網(wǎng)。二者都在歐洲發(fā)展市場。2017年，騰訊云法蘭克福數(shù)據(jù)中心開通，此后，騰訊云在歐洲的業(yè)務(wù)逐步走上正軌;[3]阿里巴巴全球速賣通（AliExpress）是阿里巴巴集團旗下面向海外市場的新外貿(mào)零售平臺，2019年，阿里巴巴允許外國商家在全球速賣通平臺上銷售商品，初步開放的四個國家中兩個國家是歐盟國家。[4]以騰訊、阿里巴巴為代表的中國涉歐互聯(lián)網(wǎng)企業(yè)開展業(yè)務(wù)的領(lǐng)域，包括但不限于電商、社交平臺、云計算等新興領(lǐng)域，這些領(lǐng)域的發(fā)展離不開對于個人數(shù)據(jù)的收集與處理，而在歐洲這一重要市場，《一般數(shù)據(jù)保護條例》（以下簡稱GDPR）的出臺對個人數(shù)據(jù)施以空前嚴格的保護，并擴張了個人數(shù)據(jù)保護的域外效力，這對中國涉歐互聯(lián)網(wǎng)企業(yè)的國際化帶來巨大挑戰(zhàn)。要研究GDPR的域外效力，首先需要明確對域外效力本身的界定。國內(nèi)學(xué)者對域外效力與域外適用相關(guān)概念的區(qū)別、域外效力的理論基礎(chǔ)與發(fā)展進行研究探討。域外效力在英文中為“extraterritorialeffect”“extraterritoriality”，國外學(xué)者研究GDPR域外效力條款，主要從立法和實施層面予以探討。從立法及實施雙層面進行考量，域外效力是國內(nèi)法超越地域邊界，對本國領(lǐng)域外發(fā)生的人或行為進行管轄，從而對發(fā)生在其管轄領(lǐng)土范圍以外的某些事項具有的法律約束力。[5]129這種法律約束力，以在立法上通過設(shè)置域外條款將國外的人、事、行為納入管轄為基礎(chǔ)，以執(zhí)法和司法作為實施途徑。GDPR第3條是域外效力條款，該條款將域外企業(yè)納入GDPR管轄下，對我國涉歐互聯(lián)網(wǎng)企業(yè)帶來挑戰(zhàn)，有必要研究相關(guān)應(yīng)對策略，以幫助我國涉歐互聯(lián)網(wǎng)企業(yè)在GDPR下合規(guī)經(jīng)營，避免受到嚴厲的處罰。

一GDPR第三條域外效力之規(guī)定

（一）GDPR域外效力規(guī)則之背景

學(xué)者認為1995《數(shù)據(jù)保護指令》（以下簡稱《指令》）第4條到GDPR第3條的發(fā)展體現(xiàn)出了“大數(shù)據(jù)、云計算等技術(shù)發(fā)展之下個人數(shù)據(jù)保護立法管轄思路的變化”。[6]98

《指令》的適用范圍在第4條與序言19條部分，其中主要內(nèi)容有：（1）在歐盟成員國地域范圍內(nèi)設(shè)立機構(gòu)并在該機構(gòu)活動范圍內(nèi)的數(shù)據(jù)處理受《指令》規(guī)制，而“設(shè)立”意味著通過穩(wěn)定的安排，真正有效地進行活動的“設(shè)立”的機構(gòu)是分公司或子公司都無決定性影響;（2）雖然機構(gòu)不設(shè)立在歐盟內(nèi)，但依據(jù)國際公法享有管轄權(quán);（3）雖然機構(gòu)不在歐盟成員國之內(nèi)，但使用成員國境內(nèi)的自動化設(shè)備。

《指令》中沒有明確條文規(guī)制“未在歐盟設(shè)立機構(gòu)”的數(shù)據(jù)處理，但在GDPR第3條之前，在“谷歌西班牙剛薩雷斯案”中，歐盟法院認定《指令》對于域外數(shù)據(jù)處理行為有約束力，體現(xiàn)了歐洲數(shù)據(jù)保護立法在域外效力上的擴張趨勢。該案判決認定了《指令》適用于設(shè)立在歐盟之外（美國）的谷歌公司，因為美國的谷歌公司在西班牙有分支機構(gòu)，且該分支機構(gòu)從事了幫助谷歌推廣和銷售廣告位置的活動，該分支機構(gòu)的活動與設(shè)立在歐盟之外的谷歌總部的數(shù)據(jù)處理活動有不可分割的聯(lián)系，因而谷歌總部需要刪掉涉案主體的個人數(shù)據(jù)相關(guān)鏈接。

該案中谷歌西班牙是谷歌總部在西班牙的分支機構(gòu)，谷歌總部設(shè)立于美國，谷歌西班牙主要負責幫助谷歌推廣和銷售廣告位置獲取商業(yè)利潤。谷歌西班牙認為其經(jīng)營活動不是數(shù)據(jù)處理行為，而谷歌總部不受《指令》的約束;就算存在數(shù)據(jù)處理活動，谷歌和谷歌西班牙并不是《指令》下的數(shù)據(jù)控制者或者數(shù)據(jù)處理者，所以剛薩雷斯不能要求其根據(jù)《指令》刪除相關(guān)的個人數(shù)據(jù)。歐盟法院裁決先認定谷歌作為搜索引擎經(jīng)營者，可以決定個人數(shù)據(jù)處理的方式手段，屬于《指令》中的“控制者”;再認定谷歌西班牙是谷歌總公司（歐盟境外）在西班牙境內(nèi)設(shè)立的機構(gòu)，穩(wěn)定開展真實有效的活動，它究竟是分支機構(gòu)還是子公司都無影響;最后，法院認為，谷歌西班牙的活動密切聯(lián)系于谷歌公司的活動，通過谷歌搜索出來的剛薩雷斯的相關(guān)鏈接和谷歌西班牙的廣告顯示在同一頁面，基于此，該案中的數(shù)據(jù)處理行為是在谷歌西班牙的經(jīng)營活動范圍內(nèi)進行的，谷歌西班牙的經(jīng)營活動為谷歌公司搜索引擎活動提供便利，所以谷歌的數(shù)據(jù)處理活動受《指令》規(guī)制。該案件確立《指令》具有一定的域外效力，有學(xué)者稱該案確立了《指令》的長臂管轄。[7]114

該案判決之后，《指令》第29條工作組發(fā)布關(guān)于該案的指導(dǎo)意見，[8]其中有以下幾點需要注意。

一，歐盟境內(nèi)設(shè)有機構(gòu)的情況下進行的數(shù)據(jù)處理會受到《指令》的約束。在歐盟成員國內(nèi)設(shè)立機構(gòu)的標準是“穩(wěn)定安排”，即通過“穩(wěn)定安排”在某一成員國境內(nèi)進行“一項真正有效的活動，即使是最低限度的活動”，本案中谷歌西班牙進行的最低限度的活動是廣告宣傳，因而谷歌西班牙是成員國內(nèi)設(shè)立的機構(gòu)。

二，一項數(shù)據(jù)處理活動由境外的機構(gòu)進行，只要是在該歐盟境內(nèi)設(shè)立的機構(gòu)的活動范圍內(nèi)，也能受《指令》的約束。

三，怎么去判斷一項數(shù)據(jù)處理活動在“機構(gòu)的活動范圍內(nèi)”呢？這項數(shù)據(jù)處理活動需要與“活動范圍”有“不可分割的聯(lián)系”?！安豢煞指畹穆?lián)系”在認定上不能過于寬泛，應(yīng)當考慮以下要素：（1）不以設(shè)立機構(gòu)處理數(shù)據(jù)為前提。本案中谷歌在西班牙當?shù)貦C構(gòu)產(chǎn)生的銷售額與通過數(shù)據(jù)處理活動產(chǎn)生的利潤“不可分割地聯(lián)系在一起”，所以即使谷歌西班牙實際上沒有處理數(shù)據(jù)，數(shù)據(jù)處理活動實際上發(fā)生歐盟境外，但由于“不可分割的聯(lián)系”，所以他們的活動都受《指令》約束。（2）在免費網(wǎng)絡(luò)與廣告結(jié)合的經(jīng)營活動下，財務(wù)上的增長可用來判定存在“不可分割的聯(lián)系”;（3）其他行為需要結(jié)合個案評價。

該案確認了《指令》適用的廣泛領(lǐng)土范圍，一個歐盟外建立的數(shù)據(jù)控制者在符合具體條件的情形下將受到《指令》的約束。其中“不可分割的聯(lián)系”標準的引入，比起僅僅對“在歐盟境內(nèi)設(shè)立機構(gòu)”進行的數(shù)據(jù)處理進行規(guī)制，擴大了《指令》的適用范圍，體現(xiàn)出歐洲個人數(shù)據(jù)保護法域外效力的擴張趨勢，而結(jié)合個案進行評價則避免了僵硬的評判標準造成的過分的、不合理的“效力擴張”。相較于《指令》，GDPR增加了歐盟數(shù)據(jù)保護法的域外效力情形。[9]36

（二）GDPR域外效力之規(guī)定

1.GDPR第3條地域范圍之規(guī)定

GDPR第3條為地域管轄的規(guī)定，確立了GDPR的域外管轄效力，該條直接將符合條文條件的域外互聯(lián)網(wǎng)企業(yè)納入歐盟GDPR的管轄，域外互聯(lián)網(wǎng)企業(yè)符合第3條規(guī)定的，GDPR將予以直接適用。

第1款規(guī)定以“設(shè)立”為核心

本條例適用于設(shè)立（establishment）在歐盟的數(shù)據(jù)控制者或數(shù)據(jù)處理者活動范圍內(nèi)的個人數(shù)據(jù)處理，無論該處理行為是否在歐盟內(nèi)進行。，即無論處理行為本身在哪里進行，只要數(shù)據(jù)控制者、處理者是在歐盟境內(nèi)設(shè)立的，存在這一連接點，那么就受GDPR的管轄。

第2款

本條例適用于由歐盟外設(shè)立的數(shù)據(jù)控制者或數(shù)據(jù)處理者對屬歐盟內(nèi)的個人數(shù)據(jù)進行處理的行為，這種處理活動有關(guān)于：（a）向本聯(lián)盟內(nèi)的數(shù)據(jù)主體提供貨物或服務(wù)，而不論是否要求數(shù)據(jù)主體為商品或服務(wù)支付對價;（b）監(jiān)測聯(lián)盟范圍內(nèi)的數(shù)據(jù)主體的活動。是域外管轄的規(guī)定，其中關(guān)鍵點在于“不在歐盟境內(nèi)設(shè)立”，但針對歐盟的數(shù)據(jù)進行處理，就受GDPR規(guī)制，這一條指向域外數(shù)據(jù)處理活動對于歐盟數(shù)據(jù)主體產(chǎn)生了實際效果或影響的情形。

從文義出發(fā)，第3條區(qū)分了歐盟境內(nèi)設(shè)立機構(gòu)與歐盟境內(nèi)沒有設(shè)立機構(gòu)的數(shù)據(jù)處理行為分別受GDPR規(guī)制的情況，但對第3條僅從文義進行理解，是不夠的，需要進一步對其內(nèi)容進行澄清。

2.《關(guān)于GDPR適用的地域范圍的指南》之規(guī)定[10]

以上僅從文本內(nèi)容進行解釋，容易出現(xiàn)歧義，2018年歐盟數(shù)據(jù)保護機構(gòu)（EDPB）發(fā)布了《關(guān)于GDPR第3條地域范圍的指南》（后簡稱《指南》），該《指南》細化了第3條的規(guī)則，數(shù)據(jù)控制者或者處理者需要認真研究以下標準，確定自己是否屬于GDPR的規(guī)制范圍。具體來講有以下內(nèi)容：

（1）在歐盟境內(nèi)設(shè)立機構(gòu)。

第3條第1款，《指南》確立了設(shè)立機構(gòu)標準（establishmentcriterion），也就是在歐盟境內(nèi)設(shè)有機構(gòu)時GDPR予以適用。具體來說：

首先，需要考慮存在歐盟境內(nèi)設(shè)立的機構(gòu)。這一步驟下，又有以下分步驟：一，確定是否在歐盟境內(nèi)設(shè)立機構(gòu)時，首先要確定具體案件中的主體是歐盟數(shù)據(jù)保護法中的控制者或者處理者，這是適用GDPR的關(guān)鍵。GDPR第4條第7、8項對二者分別做了解釋。二，判斷“設(shè)立機構(gòu)”最關(guān)鍵的點，在于通過穩(wěn)定的安排，真正有效地進行活動，而這一“設(shè)立”的機構(gòu)的法律形式是分公司或子公司都無決定性影響，這是從“實質(zhì)”內(nèi)容進行判定，而非形式判定的體現(xiàn)。

其次，需要考慮在歐盟境內(nèi)存在機構(gòu)的域外企業(yè)所進行的相關(guān)數(shù)據(jù)處理是否在歐盟設(shè)立機構(gòu)的“活動范圍內(nèi)”?！吨改稀方o出了兩個判斷的參考因素：一，境內(nèi)外機構(gòu)關(guān)系的不可分割性，如上文提到的谷歌案中，谷歌與谷歌西班牙之間的關(guān)系不可分割，所以受GDPR規(guī)制;二，有來自歐盟的收入，并且這種“營收”與“歐盟境內(nèi)的數(shù)據(jù)主體”之間的聯(lián)系不可分割，那么境外的數(shù)據(jù)控制者、處理者進行的數(shù)據(jù)處理就在歐盟設(shè)立機構(gòu)的活動范圍內(nèi)。

最后，滿足上述兩點，那么不管這項數(shù)據(jù)處理活動在歐盟境內(nèi)，還是歐盟境外，都受GDPR管轄。

（2）為歐盟境內(nèi)的數(shù)據(jù)主體提供服務(wù)、貨物或?qū)W盟數(shù)據(jù)主體進行監(jiān)控。

第3條第2款，《指南》確立了“目標指向標準”（targetingcriterion），未在歐盟境內(nèi)設(shè)立機構(gòu)的，其處理活動如果指向歐盟數(shù)據(jù)主體，并符合第3條第2款a項和b項，則受GDPR約束。

在理解第3條第2款時，首先需注意，數(shù)據(jù)主體的國籍、法律地位不影響GDPR適用，重點在于“歐盟境內(nèi)的數(shù)據(jù)主體”。在此定義下，歐盟境內(nèi)的游客也是歐盟境內(nèi)數(shù)據(jù)主體，而地理位置在歐盟之外的歐盟居民則不在此規(guī)則規(guī)制之中。比如某中國企業(yè)在歐盟沒有任何機構(gòu)，提供特定地點（包括歐盟境內(nèi)的城市）地圖應(yīng)用服務(wù)，它的用戶在旅游的城市使用該應(yīng)用程序時，應(yīng)用程序就會處理用戶的數(shù)據(jù)，那么一個游客在歐盟境內(nèi)的城市使用這個應(yīng)用程序時，不論該游客的國籍是什么，該應(yīng)用程序的數(shù)據(jù)處理行為都要受GDPR管轄。但如果一個歐盟居民在中國境內(nèi)旅游時使用中國應(yīng)用程序所產(chǎn)生的中國境內(nèi)的數(shù)據(jù)處理顯然就不屬于“目標指向標準”的范圍。

對于第2款a項中為歐盟境內(nèi)的數(shù)據(jù)主體提供服務(wù)或貨物，《指南》要求這種“提供”是明顯的、故意的，如果向歐盟領(lǐng)土上的人提供商品或服務(wù)不是有意的，那么就不受GDPR約束，因而確定這種“明顯有意”十分重要?！吨改稀穼τ凇懊黠@有意”也做出了一些示例性解釋，如可能體現(xiàn)為通過收集歐盟主體的數(shù)據(jù)進行個性化推薦，再如使用一個或多個歐盟成員國的通用語言或貨幣用于提供服務(wù)、貨物。

對于第3條第2款b項，如果監(jiān)控歐盟境內(nèi)數(shù)據(jù)主體“發(fā)生在歐盟范圍內(nèi)的行為”，則受GDPR約束，這里需要被監(jiān)控的對象和行為兩個要素都在歐盟境內(nèi);而對于如何判斷“監(jiān)控”，需要考慮是否在互聯(lián)網(wǎng)上后續(xù)被追蹤、被分析偏好等。

（3）國際公法的原因。

當一個數(shù)據(jù)控制者、處理者不符合第3條第1款“機構(gòu)”標準，也不符合第3條第2款的“目標指向標準”，但其所設(shè)立的地區(qū)根據(jù)國際公法規(guī)則適用GDPR，那么根據(jù)GDPR第3條第3款，GDPR在此情況下予以適用。

（4）避免成為“數(shù)據(jù)處理避風(fēng)港”。

我們需注意，GDPR下，判斷控制者和處理者是否屬“在歐盟內(nèi)設(shè)立了機構(gòu)”時，對兩者進行單獨、分別判斷很重要。比如，一個數(shù)據(jù)控制者開展一項數(shù)據(jù)處理活動，當其不屬于第3條標準下的機構(gòu)，則該控制者不承擔GDPR下的責任，如果其委托歐盟境內(nèi)的處理者進行數(shù)據(jù)處理，該“非歐盟”控制者不會僅僅因為委托歐盟境內(nèi)處理者處理數(shù)據(jù)而受GDPR規(guī)制;但該處理者應(yīng)遵守GDPR對于數(shù)據(jù)處理者的一系列規(guī)定。該規(guī)定是為了避免歐盟成為“數(shù)據(jù)處理的避風(fēng)港”，歐盟境內(nèi)的數(shù)據(jù)處理者，或者符合第3條第2款的數(shù)據(jù)處理者，是不能逃避GDPR下的義務(wù)的，不受GDPR規(guī)制的數(shù)據(jù)控制者就無法借“避風(fēng)港”之手進行非法的數(shù)據(jù)處理活動。

二GDPR域外效力規(guī)則之成因分析

（一）國際法未禁止國內(nèi)法域外效力規(guī)則

“判斷某項國內(nèi)法具有域外效力的主張是否符合國際法，其基本原則是：一國主張國內(nèi)法的域外效力應(yīng)推定為合法的，除非能夠證明存在禁止這種主張的國際法原則?！盵11]184這是由“荷花號”案判決確立的原則。國際常設(shè)法院在該案判決中認為國際法沒有禁止國家把它的法律和法院管轄權(quán)擴大適用于它領(lǐng)土之外的人、財產(chǎn)和行為，在“一國將其管轄適用于域外”這方面，國際法留下了較大選擇余地。[12]13如果認為某種管轄權(quán)不合法，需要有禁止該種管轄權(quán)的國際法依據(jù)。所以，在國際法上，國內(nèi)法的域外效力主張并不違反國際法。歐盟作為國際法主體，其制定的適用于其境內(nèi)的GDPR為“國內(nèi)法”，在當前的國際法下，其納入域外效力條款具有合法性。

在國際法上普遍接受的管轄權(quán)原則有屬地管轄原則、屬人管轄原則、保護性管轄原則、普遍性管轄原則。GDPR域外效力條款中既包含屬地原則下的“設(shè)立標準”，又包含側(cè)重于對歐盟影響的“目標指向標準”，基于“域外主體的域外行為對于本國產(chǎn)生影響”立法，是屬地為主、效果原則為輔的立法選擇。[13]77

（二）GDPR域外效力規(guī)則捍衛(wèi)歐盟數(shù)據(jù)主權(quán)

不同國家地域間的數(shù)據(jù)治理有兩種理論，“數(shù)據(jù)自由論”和“數(shù)據(jù)主權(quán)論”。GDPR域外效力規(guī)則是數(shù)據(jù)主權(quán)論的理論選擇的體現(xiàn)。這種數(shù)據(jù)域外擴張的適用，極大地保護了歐盟的數(shù)字產(chǎn)業(yè)，推動該地區(qū)的數(shù)據(jù)主權(quán)優(yōu)勢進一步擴大。[13]84

“數(shù)據(jù)自由論”認為由于人類在各方面都廣泛地實行數(shù)字化，并通過全球通信網(wǎng)絡(luò)進行發(fā)送，因此要確定地域位置愈加艱難，國際法律秩序的傳統(tǒng)組織原則——領(lǐng)土在數(shù)字世界中喪失了原有的在國際法上的基礎(chǔ)地位，[14]1網(wǎng)絡(luò)世界可以構(gòu)成自己的“全球公域”，獨立于傳統(tǒng)的領(lǐng)土主權(quán)，數(shù)據(jù)得以跨國界地自由流動。這種理論在當前跨境數(shù)據(jù)治理實踐中難以適用，有學(xué)者指出，數(shù)據(jù)自由不需要借助公權(quán)力機關(guān)，自己形成公共領(lǐng)域并發(fā)展出自己的無領(lǐng)土界限的規(guī)則體系，但實踐中，以數(shù)據(jù)自由為主張的國家也借助公權(quán)力機關(guān)的立法進行長臂管轄。[15]188GDPR的域外效力規(guī)則顯然不屬于“數(shù)據(jù)自由論”，數(shù)據(jù)自由論下的全球數(shù)據(jù)有自己的“公域”，但域外效力條款并非網(wǎng)絡(luò)世界自己的秩序規(guī)則，而是歐盟公權(quán)力機構(gòu)的立法，關(guān)注對“歐盟境內(nèi)的影響”，依托于國家權(quán)力機關(guān)。

“數(shù)據(jù)主權(quán)論”認為網(wǎng)絡(luò)世界的主權(quán)是傳統(tǒng)國家主權(quán)延伸出去的部分，“數(shù)據(jù)主權(quán)是國家主權(quán)在數(shù)字化空間的表現(xiàn)形式”。[16]75數(shù)據(jù)主權(quán)的立法選擇是在當前國際社會主權(quán)國家體系不變的情況下，為應(yīng)對互聯(lián)網(wǎng)無國界性和大數(shù)據(jù)時代之挑戰(zhàn)而發(fā)展出來的理論體系。數(shù)據(jù)主權(quán)作為國家主權(quán)，對外不受另一主權(quán)控制，對內(nèi)具有最高性，歐盟作為國際法主體，有權(quán)獨立自主地規(guī)制其領(lǐng)土范圍內(nèi)收集的數(shù)據(jù)，[15]182進行數(shù)據(jù)域外效力立法。在這種域外效力規(guī)則下，納入其管轄下的數(shù)據(jù)控制者、處理者也需遵守GDPR規(guī)則，從而加大對歐盟數(shù)據(jù)的控制力，建立保護水平統(tǒng)一的數(shù)據(jù)流通市場，促進歐盟數(shù)字產(chǎn)業(yè)的發(fā)展。

（三）全球化數(shù)字經(jīng)濟時代的歐盟立法應(yīng)對

1.歐盟主權(quán)國家體系下的法律對互聯(lián)網(wǎng)無邊界性的立法回應(yīng)

我們當前是全球化的數(shù)字經(jīng)濟時代，在這個背景下，數(shù)據(jù)幾乎嵌入滲透到每個國家的各個生產(chǎn)消費環(huán)節(jié)。數(shù)據(jù)具有巨大經(jīng)濟價值，個人數(shù)據(jù)對于個人隱私保護、人權(quán)保護至關(guān)重要。主權(quán)國家需要對本國的個人數(shù)據(jù)進行保護，也需要通過數(shù)據(jù)獲得經(jīng)濟優(yōu)勢，對于數(shù)據(jù)進行規(guī)制治理十分重要。然而，數(shù)據(jù)在互聯(lián)網(wǎng)上的根本屬性是無國界性，這打破了傳統(tǒng)主權(quán)國家體系下的領(lǐng)土邊界，網(wǎng)絡(luò)空間的行為很難以地理位置界定并予以規(guī)制。主權(quán)國家體系不變的國際環(huán)境下，如何合理地規(guī)制跨境的數(shù)據(jù)是各國面臨的重大挑戰(zhàn)。

歐盟GDPR規(guī)則是歐盟基于自身安全利益、產(chǎn)業(yè)發(fā)展需求以及個人數(shù)據(jù)保護等做出的高標準立法，域外效力條款盡可能地擴張歐盟的領(lǐng)土范圍，通過“設(shè)立機構(gòu)的營業(yè)活動背景”以及“目標指向歐盟境內(nèi)的主體的活動”為連接點，將本來不受其管轄的境外的數(shù)據(jù)控制者、處理者納入GDPR管轄，以控制境外數(shù)據(jù)處理行為通過互聯(lián)網(wǎng)給歐盟帶來的影響。在主權(quán)國家體系不變、全球化數(shù)字經(jīng)濟時代持續(xù)深入發(fā)展的大背景下，各國都要應(yīng)對如上挑戰(zhàn)，域外效力規(guī)則將會是個人數(shù)據(jù)保護立法中的普遍規(guī)則。

2.歐盟在數(shù)據(jù)時代通過法律擴大全球影響力的體現(xiàn)

法律對歐盟十分重要，通過法律，歐盟擴大其包括域外效力在內(nèi)的全球影響力。并且歐盟存在一些制度確保其法律在第三國的執(zhí)行，如國家間的相互承認，再如簽訂國際合作協(xié)議確保法律在域外的執(zhí)行（如在競爭法領(lǐng)域的合作協(xié)議允許聯(lián)合調(diào)查）。

歐盟法律影響互聯(lián)網(wǎng)，互聯(lián)網(wǎng)也改變歐盟法律，互聯(lián)網(wǎng)是在日益復(fù)雜的全球化世界中發(fā)揮歐盟法律作用的理想工具，[17]113GDPR是互聯(lián)網(wǎng)、數(shù)據(jù)、法律的結(jié)合體。同時，歐盟法律依賴基于效果的管轄權(quán)，例如《歐盟衍生產(chǎn)品條例》對在第三國簽訂合同的合同主體施加了義務(wù)，只要該合同在歐盟范圍內(nèi)具有直接、實質(zhì)性和可預(yù)見的影響。[18]95這種對于效果管轄的依賴也是GDPR域外效力條款設(shè)計的重要因素。

3.歐盟在數(shù)字貿(mào)易規(guī)則制定中推廣歐盟域外效力立法模式的嘗試

將GDPR域外效力條款的制定理解為歐盟立法先行并推廣歐盟立法模式未嘗不可。歐盟通過法律，將自己構(gòu)建為一個自主的國際行為體，其總體外部目標之一是發(fā)展國際法。[17]109它試圖通過創(chuàng)新域外效力條款立法模式，細化域外效力條款規(guī)則的內(nèi)容，制定數(shù)字貿(mào)易規(guī)則中的國內(nèi)個人數(shù)據(jù)保護法域外效力條款的范本，吸引他國借鑒采用歐盟模式的立法，從而掌握國際規(guī)則制定話語權(quán)，發(fā)揮全球影響力。

三GDPR域外效力下涉歐互聯(lián)網(wǎng)企業(yè)面臨挑戰(zhàn)

GDPR域外效力制度下，中國的企業(yè)可能會由于對歐洲境內(nèi)的個人數(shù)據(jù)進行處理而受到GDPR管轄，需要承擔嚴格的個人數(shù)據(jù)保護義務(wù)，且在數(shù)據(jù)跨境流動場景下，還有跨境數(shù)據(jù)流動規(guī)則與其雙重影響數(shù)據(jù)流動，這對中國的涉歐互聯(lián)網(wǎng)企業(yè)在歐洲的發(fā)展造成了巨大的挑戰(zhàn)。

（一）域外效力制度擴大了對中國涉歐互聯(lián)網(wǎng)企業(yè)管轄的范圍

1.立法層面擴大對中國涉歐互聯(lián)網(wǎng)企業(yè)的管轄范圍

（1）設(shè)立標準下的中國涉歐互聯(lián)網(wǎng)企業(yè)。

在第3條下，歐洲境內(nèi)設(shè)立了分支機構(gòu)并在其活動范圍內(nèi)進行數(shù)據(jù)處理的中國企業(yè)受GDPR管轄，即使該分支機構(gòu)只是從事最低限度的活動，比如“谷歌西班牙剛薩雷斯案”中的谷歌西班牙從事給谷歌提供廣告位的活動，只要這些活動和數(shù)據(jù)處理活動有無法分割的聯(lián)系，就受管轄。且該條文基于屬地原則，是主權(quán)國家接受的規(guī)則，谷歌西班牙剛薩雷斯案也是該條文下已有的司法實踐，因而該種類型的立法可能在各國立法中越來越普遍，在各國對于該條款的接受度提高情況下，對于該規(guī)則下的執(zhí)法活動的互助會越來越緊密，所以該標準范圍內(nèi)的涉歐中國互聯(lián)網(wǎng)企業(yè)必須謹慎關(guān)注自身經(jīng)營的合規(guī)性。

（2）“目標指向標準”下的中國涉歐互聯(lián)網(wǎng)企業(yè)。

未在歐洲境內(nèi)設(shè)立機構(gòu)但符合第3條第2款“目標指向標準”，會受到GDPR的規(guī)制，這極大地擴大了其對我國境內(nèi)互聯(lián)網(wǎng)企業(yè)的影響程度。比如，對于跨境電商來說，只要歐洲境內(nèi)的數(shù)據(jù)主體買了產(chǎn)品，就會涉及對個人數(shù)據(jù)的收集，收集后如果要根據(jù)這些數(shù)據(jù)，結(jié)合大數(shù)據(jù)進行喜好推薦，那么就要承擔GDPR的責任;中國的視頻、音樂類網(wǎng)站只要提供了服務(wù)，且有針對歐洲境內(nèi)主體的表現(xiàn)就要受規(guī)制，比如中國公司新開發(fā)出社交平臺，歐洲境內(nèi)數(shù)據(jù)主體進行下載使用，而平臺在某些服務(wù)方面體現(xiàn)出便利歐洲數(shù)據(jù)主體的服務(wù)特征，這種服務(wù)特征能表現(xiàn)以歐盟為目標，就要受GDPR管轄。

GDPR的域外效力之立法將符合其標準的域外企業(yè)納入管轄，在其管轄內(nèi)的域外企業(yè)直接被GDPR施加義務(wù)，須遵守所有GDPR下的規(guī)則;如果不遵守，可能直接面臨歐盟數(shù)據(jù)主體提起的訴訟或者歐盟數(shù)據(jù)監(jiān)管機構(gòu)罰款、切斷數(shù)據(jù)流等制裁。

2.GDPR域外效力規(guī)則執(zhí)法層面的可實施性

GDPR域外效力規(guī)則在法律強制實施層面不能直接適用于其他主權(quán)國家，這影響了域外效力規(guī)則的實際約束力。將基于領(lǐng)土的主權(quán)國家體系直接適用于網(wǎng)絡(luò)空間，意味著對于數(shù)據(jù)跨境的治理需基于目前的國際公法秩序。[15]181-183歐盟在數(shù)據(jù)主權(quán)論下域外效力制度的實施，需尊重各國國家主權(quán)。

“荷花案”中確立了關(guān)于強制執(zhí)行管轄權(quán)的一般國際法規(guī)定，但“國際法價值與國家的第一個、也是最重要的限制是國家不得以任何形式在他國領(lǐng)土內(nèi)行使權(quán)力，除非在國際條約或者國際習(xí)慣法中找到允許這么做的規(guī)則”，[12]13這意味著域外效力制度有效性存在缺陷，歐洲執(zhí)法機構(gòu)不能直接對域外的企業(yè)進行調(diào)查、罰款，歐盟法院的判決不能在域外直接執(zhí)行。

但在雙邊合作機制下，域外效力制度可以獲得實施。目前已有隱私執(zhí)法中的國際合作的例子。如荷蘭和加拿大隱私監(jiān)管機構(gòu)對WhatsApp移動應(yīng)用程序處理個人數(shù)據(jù)的活動進行跨大西洋聯(lián)合調(diào)查，以確保該應(yīng)用程序遵守兩國的數(shù)據(jù)保護法。再如法國數(shù)據(jù)保護局領(lǐng)導(dǎo)聯(lián)合調(diào)查，與六個歐洲機構(gòu)合作，對谷歌采取了正式的執(zhí)法行動。[19]116此外，若存在“司法互助”雙邊合作機制，又或者域外企業(yè)在歐盟有資產(chǎn)，則其基于第3條第2款“目標指向標準”下的管轄可以落實。

在各國進行域外效力立法的情況下，對于各國都認可的違法行為進行雙邊執(zhí)法的可能性將增大。我國正在推進“一帶一路”，在歐洲作為重要貿(mào)易伙伴的當下，可以預(yù)測與歐洲的雙邊合作機制會更緊密。

3.跨境數(shù)據(jù)流動規(guī)則是域外效力規(guī)則在數(shù)據(jù)跨境場景下的雙重保障措施

GDPR域外效力制度通過納入管轄保障域外企業(yè)在GDPR下合規(guī)，達到GDPR的保護水平;跨境數(shù)據(jù)流動規(guī)則也是為了保障數(shù)據(jù)流動向歐盟之外時達到GDPR的保護水平。數(shù)據(jù)在域外進行處理首先需要傳輸至境外，跨境數(shù)據(jù)流動規(guī)則在此層面上與域外效力制度相通。因此需要考慮跨境數(shù)據(jù)流動規(guī)則與域外效力制度的關(guān)系。

（1）域外效力規(guī)則與跨境數(shù)據(jù)流動是不同規(guī)制路徑。

如學(xué)者所述，域外管轄產(chǎn)生域外效力，而跨境數(shù)據(jù)流動規(guī)則是一種域外影響力，它并不將域外的數(shù)據(jù)處理活動納入GDPR的管轄。[6]103GDPR的域外效力之立法將符合其標準的域外企業(yè)納入管轄，而跨境流動規(guī)則的規(guī)制路徑是“只有達到GDPR的標準，才允許跨境流動”，它并不直接對于境外的企業(yè)進行約束，而是通過施加一定標準約束歐盟境內(nèi)的數(shù)據(jù)出口者從而間接影響域外企業(yè)?？缇硵?shù)據(jù)流動規(guī)則下，執(zhí)法措施體現(xiàn)為不符合標準，監(jiān)管機構(gòu)可以暫?；蚪瓜鄳?yīng)的數(shù)據(jù)傳輸，這對于企業(yè)經(jīng)營業(yè)務(wù)有十分重要的影響，對于域外企業(yè)的規(guī)制實際上更有效。美國的安全港協(xié)議、隱私盾協(xié)議目前雖都已失效，但二者都一定程度上體現(xiàn)出了美國為了滿足歐盟的個人數(shù)據(jù)保護要求做出的努力與讓步，[20]38-43也體現(xiàn)出跨境數(shù)據(jù)流動規(guī)則在實際執(zhí)法中的重要作用。

（2）跨境數(shù)據(jù)流動規(guī)則與域外效力制度的雙重保障。

跨境數(shù)據(jù)流動規(guī)則是域外效力制度在數(shù)據(jù)跨境場景下的雙重保障，同時也是一種執(zhí)法較為有效的措施，有學(xué)者甚至稱之為“域外強制執(zhí)行的替代辦法”。[19]122

跨境數(shù)據(jù)流動規(guī)則側(cè)重“歐盟-非歐盟”數(shù)據(jù)流動中GDPR保護水平的有效性，GDPR在序言中強調(diào)，跨境數(shù)據(jù)流動規(guī)則需要保障歐盟的數(shù)據(jù)從歐盟轉(zhuǎn)移到第三國的控制者、處理者或其他接受者或國際組織時，GDPR保護水平不應(yīng)受到損害，只要數(shù)據(jù)流出歐盟，跨境數(shù)據(jù)流動規(guī)則就能適用，且實際規(guī)制中已被證明對于保護域外的歐盟數(shù)據(jù)有重要作用。在具體“歐盟-第三國”的數(shù)據(jù)跨境場景下，如果該數(shù)據(jù)去向的第三國企業(yè)符合第3條域外效力規(guī)則下的“設(shè)立標準”或“目標指向標準”，則受GDPR域外效力規(guī)則管轄的同時，也受跨境數(shù)據(jù)流動規(guī)則規(guī)制，二者共同保障域外的歐盟數(shù)據(jù)達到GDPR的保護水平。

當前GDPR域外效力制度已經(jīng)建立，受GDPR域外管轄的企業(yè)不應(yīng)由于其可執(zhí)行性存在不足就報以僥幸心理，合規(guī)經(jīng)營對于企業(yè)自身歐洲業(yè)務(wù)開展及國際化都有重要作用。域外效力規(guī)則與跨境數(shù)據(jù)流動規(guī)則雙重保障下，域外企業(yè)如果不遵守GDPR進行違法經(jīng)營，則存在不確定的被執(zhí)法威脅，這會對業(yè)務(wù)造成包括股價下跌、喪失消費者信任在內(nèi)的諸多不良影響。企業(yè)出于自身聲譽保護及業(yè)務(wù)國際化等諸多因素考量，需要遵守GDPR進行合規(guī)經(jīng)營。如在2018年5月25日，微信海外版、AliExpress等多家中國互聯(lián)網(wǎng)巨頭，更新適用于歐洲客戶的隱私政策、請求重新授權(quán)。[21]46這體現(xiàn)出受管轄的中國涉歐互聯(lián)網(wǎng)企業(yè)要想在歐洲開展業(yè)務(wù)，則必須遵守GDPR。

（二）GDPR下企業(yè)個人數(shù)據(jù)保護責任加重

一，GDPR賦予數(shù)據(jù)主體各種權(quán)利，如知情同意權(quán)、更正權(quán)等，個人數(shù)據(jù)主體可以直接根據(jù)這些權(quán)利提出救濟要求，企業(yè)侵害到這些權(quán)利，會受到嚴重的處罰。

二，對數(shù)據(jù)控制者與處理者有更多更嚴格的義務(wù)要求。如GDPR第33、34條規(guī)定了數(shù)據(jù)泄露后72小時內(nèi)報告制度，規(guī)定了企業(yè)需要有“應(yīng)對數(shù)據(jù)泄露機制”，如對員工進行技能培訓(xùn)，內(nèi)部分工與責任分配，還規(guī)定了數(shù)據(jù)安全保障措施評估機制，以確保發(fā)生泄露后能有效地調(diào)查并補救。GDPR第35、36條規(guī)定特定風(fēng)險數(shù)據(jù)影響評估與事先咨詢義務(wù)。部分企業(yè)需設(shè)立數(shù)據(jù)保護官，

GDPR對于需設(shè)立數(shù)據(jù)保護官的組織機構(gòu)做出了具體要求，參見GDPR第37條。對企業(yè)是否合規(guī)進行監(jiān)督，增加了合規(guī)成本。

三，GDPR處罰力度大，制定出了嚴格的責任與救濟制度。第83條對于個案中決定是否加以行政處罰以及處罰額度的考量因素加以列舉，且規(guī)定極其高的處罰款額，企業(yè)一旦違反，將面臨巨額罰款。截止2021年7月6日，GDPR下發(fā)出692項罰款，罰款總額超過2.9億歐元。

數(shù)據(jù)來源參見https：//www.privacyaffairs.com/gdpr-fines/.

四GDPR域外效力下涉歐互聯(lián)網(wǎng)企業(yè)之應(yīng)對

（一）國家層面之應(yīng)對

前文提到，當前主權(quán)國家體系內(nèi)，域外管轄與跨境數(shù)據(jù)流動規(guī)則將是普遍做法，為保證我國互聯(lián)網(wǎng)企業(yè)良好發(fā)展，國家層面需要采取措施應(yīng)對挑戰(zhàn)。

1.借鑒GDPR經(jīng)驗，構(gòu)建我國個人數(shù)據(jù)保護法的域外效力體系

GDPR立法將歐盟外的涉歐互聯(lián)網(wǎng)企業(yè)納入管轄范圍內(nèi)，以保護歐盟的個人數(shù)據(jù)，我國也有必要進行個人數(shù)據(jù)法的域外效力立法，保護我國個人數(shù)據(jù)。我國可在國際法允許范圍內(nèi)，借鑒歐盟的域外管轄模式，輔之以跨境數(shù)據(jù)流動規(guī)則，構(gòu)建起我國自己的域外效力法律體系。當前，《中華人民共和國個人信息保護法》剛剛生效，其中有關(guān)于域外效力和跨境數(shù)據(jù)傳輸?shù)南嚓P(guān)條款，但相關(guān)細則仍需完善，有以下問題需要注意：

首先，個人數(shù)據(jù)保護的域外效力條款應(yīng)盡量避免效力過度擴張造成的沖突。當前國際法原則上不禁止各國制定具有域外效力的國內(nèi)法，[22]66但各

主權(quán)國家的域外管轄條款可能引起管轄權(quán)沖突，最為理想的途徑需要國家間通過締結(jié)條約來劃分管轄權(quán)，如果無法達成條約，就需要以“是否存在禁止性國際法原則”作為域外效力合法性的衡量標準。[11]184

其次，應(yīng)借鑒已有的立法經(jīng)驗，在明確規(guī)定個人信息保護法的域外效力的同時，完善符合我國情況的跨境數(shù)據(jù)流動規(guī)則，并輔之以具體規(guī)則。前文已經(jīng)論述了GDPR的域外效力規(guī)制模式，其中最重要的兩點就是：（1）數(shù)據(jù)處理行為雖然在域外，只要該處理行為是由歐盟境內(nèi)有分支機構(gòu)的數(shù)據(jù)控制者、處理者進行的，且該處理行為在分支機構(gòu)的活動范圍內(nèi)進行，那么這項數(shù)據(jù)處理行為就受GDPR管轄;（2）“目標指向”標準下，為歐盟境內(nèi)的數(shù)據(jù)主體提供服務(wù)、貨物或?qū)ζ溥M行監(jiān)控的數(shù)據(jù)控制者、處理者，受GDPR約束。同時，GDPR的條文與EDPB的指南相配合，盡力讓GDPR的規(guī)則細化并落到實處?！吨腥A人民共和國個人信息保護法》的規(guī)定

《個人信息保護法》第3條。是借鑒GDPR第3條的體現(xiàn)，我們需要做的是，后續(xù)制定具體規(guī)則，解釋條文的具體內(nèi)涵，細化規(guī)則，同時利用我國的跨境數(shù)據(jù)流動規(guī)則為域外效力條款提供保障與輔助。

2.提升國內(nèi)個人數(shù)據(jù)保護水平，建立雙邊協(xié)作機制

GDPR的跨境數(shù)據(jù)流通規(guī)則主要規(guī)制歐盟境內(nèi)數(shù)據(jù)向外的流動，在當今全球化數(shù)字經(jīng)濟時代，數(shù)據(jù)跨境業(yè)務(wù)場景繁雜多樣，國家需要建立雙邊協(xié)作機制，提升國內(nèi)立法保護水平，從而應(yīng)對GDPR下“充分性決定”和“適當保障”對于“保護水平”的高要求與執(zhí)法威脅。當然，可考慮設(shè)立專門的數(shù)據(jù)保護機構(gòu)，與歐盟數(shù)據(jù)保護機構(gòu)之間進行合作。

3.提升法院在域外效力法律體系建設(shè)中的作用

歐盟法院在歐盟個人數(shù)據(jù)保護法律的域外效力中占據(jù)重要席位，我國法院也應(yīng)該在個人數(shù)據(jù)法律的域外效力法治體系建設(shè)中發(fā)揮作用。學(xué)者指出，法院參與對外制度的構(gòu)建中具有獨立性與溫和性，所以我國法院需要在司法實踐中適用具有域外效力的法律，形成判例，從而推進域外效力法治體系的構(gòu)建。[11]189

（二）企業(yè)層面之應(yīng)對

首先，要明確自己要不要開展歐洲業(yè)務(wù)。GDPR下合規(guī)產(chǎn)生的成本高，如果沒有較多的受眾，利潤低，企業(yè)提供的服務(wù)本身對于個人數(shù)據(jù)的保護力度不夠，且提升自身服務(wù)成本過高，那么在面臨巨額處罰的情況下，退出歐洲市場未必不可。又或者企業(yè)只是開展委托歐洲數(shù)據(jù)處理者進行數(shù)據(jù)處理的業(yè)務(wù)模式，自身并不屬于第3條管轄范圍，則可繼續(xù)開展業(yè)務(wù)。

如果歐洲是重要市場，那么需要分清楚自己是否屬于第3條的管轄范圍。一，符合3條標準的互聯(lián)網(wǎng)企業(yè)，受GDPR規(guī)制，在開展活動時就要合規(guī)。GDPR下的知情同意原則、數(shù)據(jù)主體的各項權(quán)利、自身承擔的各種義務(wù)都要合規(guī);企業(yè)需要提升員工法律素養(yǎng)，進行法律培訓(xùn)，也需要聘請高質(zhì)量的法務(wù)人員;達到要求的企業(yè)需要設(shè)立數(shù)據(jù)保護官，事先審查，進行風(fēng)險評估，從源頭上減少風(fēng)險，確保數(shù)據(jù)控制者和處理者在數(shù)據(jù)保護問題上合法合規(guī)。同時，需要時刻注意監(jiān)管機構(gòu)對核心業(yè)務(wù)運營部門的監(jiān)管最新要求，并可考慮咨詢經(jīng)驗豐富的當?shù)貙I(yè)人士，從而克服語言障礙和法律體系不一的障礙。二，符合第3條標準，受GDPR管轄的涉歐中國互聯(lián)網(wǎng)企業(yè)，如果向非歐盟的第三國再轉(zhuǎn)移歐盟的數(shù)據(jù)，而該非歐盟第三國不受GDPR管轄，則該傳輸也要滿足GDPR數(shù)據(jù)跨境流動規(guī)則，即通過GDPR認可的傳輸方式進行數(shù)據(jù)“再轉(zhuǎn)移”

第44條規(guī)定歐盟數(shù)據(jù)的“轉(zhuǎn)移”與“再轉(zhuǎn)移”都需符合GDPR，即個人數(shù)據(jù)從歐盟轉(zhuǎn)移到第三國或國際組織，以及從該第三國或國際組織再轉(zhuǎn)移至另一第三國或國際組織時，都需要滿足GDPR的要求。。三，如果自身不受GDPR的管轄，沒有在歐盟設(shè)立機構(gòu)，也沒有向歐盟提供服務(wù)、貨物或監(jiān)控歐盟數(shù)據(jù)，只因為某些業(yè)務(wù)需求進口歐盟的數(shù)據(jù)，那企業(yè)需要配合歐盟的出口商以歐盟認可的傳輸方式傳輸數(shù)據(jù)，以確保業(yè)務(wù)正常開展。

不管是域外效力制度，還是跨境數(shù)據(jù)流動規(guī)則，其立法目的中重要一點是保護在域外的歐盟數(shù)據(jù)。而跨境數(shù)據(jù)流動規(guī)則下的幾種數(shù)據(jù)傳輸方式，被認為滿足了歐盟保護水平，[23]因而是GDPR下合規(guī)的重要方式與指引。對企業(yè)來說，GDPR下合規(guī)的數(shù)據(jù)跨境傳輸方式有以下三種：（1）基于充分性認定的傳輸方式。

據(jù)GDPR第45條的規(guī)定，經(jīng)過歐盟委員會評估認定第三國、國際組織能確保充分的保護水平時，歐盟境內(nèi)的個人數(shù)據(jù)可以向該第三國或國際組織傳輸。該決定有可能被撤銷，所以需要及時跟進所屬國家或組織、傳輸?shù)臄?shù)據(jù)類型。（2）提供適當保障的傳輸方式。

GDPR第46條規(guī)定，不存在第45條充分性認定時，只有數(shù)據(jù)控制者或處理者對于數(shù)據(jù)的傳輸提供了適當?shù)谋Ｕ喜趴梢赃M行數(shù)據(jù)傳輸。第46條下列出一些傳輸方式（transfertool）能提供適當保障，包括標準數(shù)據(jù)保護條款、有約束力的公司規(guī)則、行為準則、認證機制等。其中標準數(shù)據(jù)保護條款（SCCs）和有約束力的公司規(guī)則（BCRs）在實踐中對于公司跨境數(shù)據(jù)業(yè)務(wù)有重要作用。SCCs是指一系列歐盟給出的條款范式，將這些條款納入數(shù)據(jù)出口方與進口方的合同義務(wù)中，從而提供適當?shù)谋Ｕ?。BCRs是企業(yè)自行制定的規(guī)則，約束公司內(nèi)部各機構(gòu)、各環(huán)節(jié)的數(shù)據(jù)傳輸。只選擇第46條下的傳輸方式還不足夠，還需要確保這些方式以“數(shù)據(jù)主體權(quán)利可獲得強制執(zhí)行”和“存在法律救濟”為構(gòu)成要素，

第44條文本為“…onlyifthecontrollerorprocessorhasprovidedappropriatesafeguards，andonconditionthatenforceabledatasubjectrightsandeffectivelegalremediesfordatasubjectsareavailable”.確保這些保障是有效的。（3）某些特定例外情況下允許的跨境數(shù)據(jù)流動。

GDPR第49條允許在某些特定情況下的個人數(shù)據(jù)的跨境流動，并作出了特定情況的列舉，如數(shù)據(jù)主體同意、履行合同、公共利益所必須等。但這些是例外規(guī)則，不能作為普遍實踐做法，第49條的適用需要嚴格的個案審查，以確定是否符合第49條的條件。

中國涉歐互聯(lián)網(wǎng)企業(yè)在具體場景下需遵守跨境數(shù)據(jù)流動規(guī)則，具體合規(guī)應(yīng)對措施有：提升數(shù)據(jù)保護水平，證明能夠提供適當?shù)谋Ｕ?提升企業(yè)自律機制，加入約束性企業(yè)規(guī)則體系。“到2019年8月，達到‘充分性認定的地區(qū)只有13個”，[24]2021年“充分性決定”有所進展，歐盟委員會啟動通過韓國充分性認定的程序，[25]但總體來說該種方式十分有限，中國并未在“充分性認定”之列。對于企業(yè)來說，SCCs是很好的選擇，選擇簽訂歐洲委員會通過的合同條款，能被認為提供了適當保障，可以合法合規(guī)地進行跨境數(shù)據(jù)流動。此外，BCRs是對于跨國公司有重大作用的傳輸方式，GDPR把BCR納入了法條就說明GDPR給予了行業(yè)自律機制充分的認可。[26]78“當前，包括埃森哲、寶馬汽車、惠普、摩托羅拉等在內(nèi)的72家跨國公司獲得了歐盟BCR認可”，[27]45涉歐的跨國公司可以考慮采取該種方式實現(xiàn)GDPR業(yè)務(wù)合規(guī)，能夠高效地解決跨國公司內(nèi)多方、高頻率的數(shù)據(jù)流。

五結(jié)語

國際化的互聯(lián)網(wǎng)公司需要遵守開展業(yè)務(wù)所在國的法律，中國涉歐互聯(lián)網(wǎng)企業(yè)開展業(yè)務(wù)進行數(shù)據(jù)跨境流通時，需要遵守歐盟個人數(shù)據(jù)保護的法律規(guī)定。在歐洲，GDPR第3條作為域外管轄條款，直接把中國企業(yè)納入GDPR管轄之下。該立法符合國際法，是歐盟捍衛(wèi)數(shù)據(jù)主權(quán)，迎接全球化數(shù)字經(jīng)濟時代挑戰(zhàn)的立法應(yīng)對。

GDPR的域外效力條款有“設(shè)立標準”和“目標指向標準”，該立法大大擴張了歐盟國內(nèi)法的域外法律約束力。由于目前國際法下國家不得以任何形式在他國領(lǐng)土內(nèi)行使權(quán)力，其可執(zhí)行性存在缺陷，但在雙邊合作機制下其具有可實施性，且跨境數(shù)據(jù)流動規(guī)則作為“歐盟-非歐盟”數(shù)據(jù)流動的保護規(guī)則，在數(shù)據(jù)跨境場景下與域外效力制度對于“域外的歐盟數(shù)據(jù)”起到雙重保障作用。同時，GDPR下，中國涉歐互聯(lián)網(wǎng)企業(yè)責任加重，合規(guī)成本增加，且面臨潛在的巨額罰款。立法上的威脅與受制裁的不確定性無法避免，互聯(lián)網(wǎng)企業(yè)出于自身聲譽保護及業(yè)務(wù)國際化等諸多因素考量，若要開展涉歐業(yè)務(wù)，需要遵守GDPR進行合規(guī)經(jīng)營。

國家層面，中國需要在制度層面建設(shè)域外效力法治體系，可學(xué)習(xí)歐盟的立法經(jīng)驗，完善域外效力規(guī)則，同時需要提升國內(nèi)個人數(shù)據(jù)保護水平，并注重法院在域外效力規(guī)則構(gòu)建中的作用。企業(yè)層面，中國涉歐互聯(lián)網(wǎng)企業(yè)需結(jié)合自身情況做出經(jīng)營策略選擇，判斷自己是否屬于GDPR的域外管轄范圍，遵守適用于其業(yè)務(wù)的GDPR具體規(guī)則，不侵犯數(shù)據(jù)主體的各項權(quán)利，嚴格遵守自身承擔的各種義務(wù)?？缇硵?shù)據(jù)流動規(guī)則下提供的數(shù)據(jù)傳輸方式是達到歐盟保護水平的有效方式，是企業(yè)GDPR合規(guī)的重要指引，企業(yè)可積極利用標準數(shù)據(jù)保護條款方式以及有約束力的公司規(guī)則體系等合法傳輸方式應(yīng)對GDPR下業(yè)務(wù)合規(guī)要求。

[參考文獻]

[1]中華人民共和國商務(wù)部.中國-中東歐國家合作杜布羅夫尼克綱要[EB/OL].（20190418）[20210701].http：//ozs.mofcom.gov.cn/article/hzcg/？

[2]中國國際貿(mào)易促進委員會.2020年中國成歐盟最大貿(mào)易合作伙伴[EB/OL].（20210216）[20210701].http：//www.ccpit.org/Contents/Channel_4113/2021/0216/1326803/content_1326803.htm.

[3]騰訊云的歐洲戰(zhàn)局：競爭、機會與挑戰(zhàn)[EB/OL].（20191210）[20210701].https：//baijiahao.baidu.com/s？id=1652537037129629032&wfr=spider&for=pc.

[4]阿里巴巴和亞馬遜的“歐洲戰(zhàn)事”[EB/OL].（202100107）[20210701].https：//baijiahao.baidu.com/s？id=1655965307364860904&wfr=spider&for=pc.

[5]石佳友.我國證券法的域外效力研究[J].法律科學(xué)（西北政法大學(xué)學(xué)報），2014，32（5）：129-137.

[6]俞勝杰.《通用數(shù)據(jù)保護條例》第3條（地域范圍）評注——以域外管轄為中心[J].時代法學(xué)，2020，18（2）：94-106.

[7]漆彤，施小燕.大數(shù)據(jù)時代的個人信息“被遺忘權(quán)”——評岡薩雷斯訴谷歌案[J].財經(jīng)法學(xué)，2015（3）：104-114.

[8]UpdateofOpinion8/2010onapplicablelawinlightoftheCJEUjudgementinGoogleSpain.[EB/OL].[20210701].https：//ec.europa.eu/newsroom/article29/items/640614/en.

[9]張建文，張哲.個人信息保護法域外效力研究——以歐盟《一般數(shù)據(jù)保護條例》為視角[J].重慶郵電大學(xué)學(xué)報（社會科學(xué)版），2017，29（2）：36-43.

[10]敖海靜.關(guān)于《一般數(shù)據(jù)保護條例》適用的地域范圍的指南[J].經(jīng)貿(mào)法律評論，2020（2）：135-158.

[11]霍政欣.國內(nèi)法的域外效力：美國機制、學(xué)理解構(gòu)與中國路徑[J].政法論壇，2020，38（2）：173-191.

[12]何鐵軍.國際法上的管轄權(quán)制度芻議——以“荷花號案”為視角[J].齊齊哈爾大學(xué)學(xué)報（哲學(xué)社會科學(xué)版），2008（4）：12-15.

[13]孔慶江，于華溢.數(shù)據(jù)立法域外適用現(xiàn)象及中國因應(yīng)策略[J].法學(xué)雜志，2020，41（8）：76-88.

[14]FrancescaBignami&GiorgioResta，HumanRightsExtraterritoriality：TheRighttoPrivacyandNationalSecuritySurveillance[EB/OL].（20170929）[20210701].http：//ssrn.com/abstract=3043771.

[15]劉天驕.數(shù)據(jù)主權(quán)與長臂管轄的理論分野與實踐沖突[J].環(huán)球法律評論，2020，42（2）：180-192.

[16]吳玄.數(shù)據(jù)主權(quán)視野下個人信息跨境規(guī)則的建構(gòu)[J].清華法學(xué)，2021，15（3）74-91.

[17]CremonaM，Scott，J.EUlawbeyondEUborders：theextraterritorialreachofEUlaw[M].Oxford：OxfordUniversityPress，2019.

[18]ScottJ.ExtraterritorialityandterritorialextensioninEUlaw[J].AmericanJournalofComparativeLaw，2014，62（1）：87-126.

[19]GrezeB.TheextraterritorialenforcementoftheGDPR：agenuineissueandthequestforalternatives[J].InternationalDataPrivacyLaw，2019，9（2）：109-128.

[20]張繼紅.個人數(shù)據(jù)跨境傳輸限制及其解決方案[J].東方法學(xué)，2018（6）：37-48.

[21]王孔祥.GDPR對互聯(lián)網(wǎng)企業(yè)的影響[J].中國信息安全，2018（7）：45-47.

[22]肖永平，焦小丁.從司法視角看中國法域外適用體系的構(gòu)建[J].中國應(yīng)用法學(xué)，2020（5）：56-72.

[23]Recommendations01/2020onmeasuresthatsupplementtransfertoolstoensurecompliancewiththeEUlevelofprotectionofpersonaldata.[EB/OL].（20210618）[20210701].https：//edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en.

[24]阿里巴巴數(shù)據(jù)安全研究院.全球數(shù)據(jù)跨境流動政策與中國戰(zhàn)略研究報告[EB/OL].（20190828）[20210701].https：//www.secrss.com/articles/13274.

[25]Dataprotection：EuropeanCommissionlaunchestheprocesstowardsadoptionoftheadequacydecisionfortheRepublicofKorea.[EB/OL].（20210616）[20210701].https：//ec.europa.eu/commission/presscorner/detail/en/ip_21_2964.

[26]弓永欽.歐盟數(shù)據(jù)隱私新規(guī)則對我國“涉歐”數(shù)字企業(yè)的影響及應(yīng)對[J].國際經(jīng)濟合作，2019（2）：70-79.

[27]王融.數(shù)據(jù)跨境流動政策認知與建議——從美歐政策比較及反思視角[J].信息安全與通信保密，2018（3）：41-53.