個(gè)人數(shù)據(jù)域外管轄權(quán)的擴(kuò)張及中國(guó)進(jìn)取型路徑的構(gòu)建

王 雪，石 巍

（南開(kāi)大學(xué) 法學(xué)院，天津 300350）

一、個(gè)人數(shù)據(jù)域外管轄權(quán)擴(kuò)張的背景

伴隨著互聯(lián)網(wǎng)、云計(jì)算等技術(shù)的高速發(fā)展，世界萬(wàn)物皆可轉(zhuǎn)化為數(shù)據(jù)形式[1]?？萍嫉陌l(fā)展，尤其是數(shù)據(jù)技術(shù)的迅猛進(jìn)步，在一定程度上弱化了主權(quán)原則，引發(fā)管轄權(quán)爭(zhēng)端。在國(guó)際法框架下，關(guān)于一國(guó)對(duì)網(wǎng)絡(luò)空間管轄范圍的問(wèn)題，學(xué)者們至今未達(dá)成共識(shí)。個(gè)人數(shù)據(jù)作為網(wǎng)絡(luò)空間的重要構(gòu)成部分，對(duì)其監(jiān)管同樣會(huì)面臨管轄權(quán)劃分的問(wèn)題。隨著云計(jì)算技術(shù)的普及，在全球范圍內(nèi)個(gè)人數(shù)據(jù)的儲(chǔ)存地與處理地相分離已經(jīng)成為常態(tài)，甚至個(gè)人數(shù)據(jù)處理活動(dòng)的發(fā)生地會(huì)模糊不清，傳統(tǒng)管轄權(quán)原則的運(yùn)用受到挑戰(zhàn)。

隨著個(gè)人數(shù)據(jù)成為當(dāng)代“生產(chǎn)要素”，大型跨國(guó)互聯(lián)網(wǎng)企業(yè)日常收集海量個(gè)人數(shù)據(jù)并挖掘其商業(yè)價(jià)值。顯然，僅局限于領(lǐng)土范圍內(nèi)保護(hù)個(gè)人數(shù)據(jù)已不合時(shí)宜，保護(hù)范圍從國(guó)內(nèi)延伸到國(guó)外已然成為現(xiàn)實(shí)需要。單方立法擴(kuò)張個(gè)人數(shù)據(jù)域外管轄權(quán)成為各國(guó)對(duì)科技進(jìn)步的回應(yīng)。正因如此，在國(guó)際社會(huì)對(duì)保護(hù)個(gè)人數(shù)據(jù)達(dá)成共識(shí)的同時(shí)，國(guó)內(nèi)法單方擴(kuò)張個(gè)人數(shù)據(jù)域外管轄權(quán)的現(xiàn)象逐步形成趨勢(shì)。值得注意的是，國(guó)際社會(huì)對(duì)域外管轄權(quán)的調(diào)整尚缺乏國(guó)際條約或協(xié)議，這一趨勢(shì)易引起法律沖突。那么在國(guó)際法框架下個(gè)人數(shù)據(jù)域外管轄權(quán)的單方擴(kuò)張會(huì)引發(fā)何種問(wèn)題？面對(duì)引發(fā)的沖突，在尊重他國(guó)數(shù)據(jù)主權(quán)的前提下，我國(guó)如何推動(dòng)本國(guó)個(gè)人數(shù)據(jù)域外執(zhí)法和司法判決的有效實(shí)施？從已有研究來(lái)看，我國(guó)學(xué)者集中于研究數(shù)據(jù)主體的各項(xiàng)權(quán)利，大型數(shù)據(jù)平臺(tái)的壟斷，以及數(shù)據(jù)跨境流動(dòng)的規(guī)則等，對(duì)個(gè)人數(shù)據(jù)域外管轄權(quán)的關(guān)注較少。是故，本文借助對(duì)個(gè)人數(shù)據(jù)域外管轄權(quán)這一主題的探討，提出自身見(jiàn)解以供參考，期望起到拋磚引玉的效果。

二、個(gè)人數(shù)據(jù)域外管轄權(quán)三項(xiàng)權(quán)能的擴(kuò)張

在國(guó)際法的限制范圍內(nèi)，一國(guó)可以對(duì)個(gè)人數(shù)據(jù)領(lǐng)域的各項(xiàng)活動(dòng)行使域外管轄權(quán)。域外管轄權(quán)可以分為三種不同類型的管轄權(quán)能，即域外立法管轄權(quán)、域外執(zhí)法管轄權(quán)和域外司法管轄權(quán)。個(gè)人數(shù)據(jù)域外管轄也是借助這三項(xiàng)權(quán)能在全球范圍內(nèi)普及。

（一）域外立法管轄權(quán)的規(guī)制路徑

不言而喻，立法管轄權(quán)是國(guó)家將制定的法律適用于特定的人、物或行為的權(quán)力[2]，而域外立法管轄權(quán)便是一國(guó)可對(duì)其境外的特定事項(xiàng)和人行使立法管轄權(quán)[3]100。2018 年歐盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，縮寫為GDPR）第3 條賦予了條例自身以域外效力，為個(gè)人數(shù)據(jù)保護(hù)全面確立了域外管轄制度。作為全球個(gè)人數(shù)據(jù)保護(hù)領(lǐng)域內(nèi)最具有影響力的立法之一，GDPR第3條成為眾多國(guó)家參考的藍(lán)本，其對(duì)個(gè)人數(shù)據(jù)域外管轄的規(guī)制邏輯逐步為更多的非歐盟國(guó)家所接受。這一條款為個(gè)人數(shù)據(jù)域外管轄創(chuàng)造性設(shè)立了兩項(xiàng)標(biāo)準(zhǔn)，分別為設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)（the establishment criterion）與目標(biāo)導(dǎo)向標(biāo)準(zhǔn)（the targeting criterion）。

第一，設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)。歐盟數(shù)據(jù)保護(hù)委員會(huì)（European Data Protection Board，縮寫為EDPB）建議采用三步驟來(lái)確定個(gè)人數(shù)據(jù)的處理是否屬于GDPR的管轄范圍[4]。首先，考慮是否符合歐盟個(gè)人數(shù)據(jù)保護(hù)法意義上“設(shè)立機(jī)構(gòu)”的定義。在Google Spain SL，Google Inc. v AEPD 判決后，“設(shè)立機(jī)構(gòu)”一詞的解釋早已偏離了形式主義，擴(kuò)展到通過(guò)穩(wěn)定的安排所進(jìn)行的任何真實(shí)有效的活動(dòng)。為了確定總部位于歐盟外的數(shù)據(jù)控制者或處理者是否在歐盟內(nèi)存在“設(shè)立機(jī)構(gòu)”，必須根據(jù)所從事經(jīng)濟(jì)活動(dòng)的具體性質(zhì)，來(lái)考慮所開(kāi)展活動(dòng)的穩(wěn)定性、有效性以及所提供服務(wù)的程度。其次，查看是否滿足“在歐盟設(shè)立機(jī)構(gòu)活動(dòng)背景下”的條件。在司法實(shí)踐中，“設(shè)立機(jī)構(gòu)”的存在是否有助于為歐盟外的數(shù)據(jù)控制者或處理者增加收入是重要的考量因素。增加收入意味著數(shù)據(jù)控制者或處理者與設(shè)立機(jī)構(gòu)之間關(guān)系密切。再次，在設(shè)立機(jī)構(gòu)活動(dòng)背景下進(jìn)行的個(gè)人數(shù)據(jù)處理活動(dòng)無(wú)論是否在歐盟內(nèi)進(jìn)行，GDPR 均予以適用?？紤]到個(gè)人數(shù)據(jù)處理活動(dòng)的各個(gè)環(huán)節(jié)相互分離，地理位置是否位于歐盟境內(nèi)已不再是考量因素，這也極大地?cái)U(kuò)張了“設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)”的適用范圍。

第二，目標(biāo)導(dǎo)向標(biāo)準(zhǔn)。這一標(biāo)準(zhǔn)明顯地受到了歐洲消費(fèi)者保護(hù)法領(lǐng)域判決的影響，展現(xiàn)了歐盟較高的立法技術(shù)。借鑒Pammer v Reederei Karl Schlüter GmbH 和Co and Hotel Alpenhof v Heller①案件中歐盟法院的判決，在與消費(fèi)者簽訂任何合同之前，從網(wǎng)站和貿(mào)易商的整體活動(dòng)中是否可以明顯看出貿(mào)易商打算與居住在成員國(guó)的消費(fèi)者開(kāi)展業(yè)務(wù)，或者有意與他們簽訂合同。對(duì)這一判決的吸收形成了“目標(biāo)導(dǎo)向標(biāo)準(zhǔn)”適用的前提條件，即該標(biāo)準(zhǔn)旨在管轄有意而非偶然地針對(duì)歐盟數(shù)據(jù)主體的活動(dòng)。“目標(biāo)導(dǎo)向標(biāo)準(zhǔn)”主要從兩個(gè)方面對(duì)境外的數(shù)據(jù)控制者或處理者開(kāi)展域外管轄：一是為歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)；二是監(jiān)控歐盟內(nèi)的數(shù)據(jù)主體。關(guān)于前者，EDPB主張綜合考慮網(wǎng)站域名、營(yíng)銷活動(dòng)、支付貨幣和語(yǔ)言等多項(xiàng)因素進(jìn)行判斷。至于后者，GDPR 序言第24 條闡釋著重考慮潛在的后續(xù)使用分析技術(shù)，例如可穿戴設(shè)備和其他智能設(shè)備。

由于GDPR 在個(gè)人數(shù)據(jù)保護(hù)領(lǐng)域的深遠(yuǎn)影響，為更好地保護(hù)本國(guó)數(shù)據(jù)主體的合法權(quán)益，較多國(guó)家同樣頒布了綜合性的個(gè)人數(shù)據(jù)保護(hù)法案②，并設(shè)置域外適用條款，確立本國(guó)對(duì)個(gè)人數(shù)據(jù)保護(hù)的域外立法管轄權(quán)。我國(guó)個(gè)人數(shù)據(jù)的域外管轄制度經(jīng)歷了從無(wú)到有、從粗到細(xì)的過(guò)程。2021 年我國(guó)《數(shù)據(jù)安全法》第二條確立了我國(guó)在數(shù)據(jù)領(lǐng)域的域外管轄制度，當(dāng)境外開(kāi)展的數(shù)據(jù)處理活動(dòng)損害我國(guó)國(guó)家安全、公共利益與公民合法利益時(shí)，需追究其法律責(zé)任。同年，對(duì)于發(fā)生在境外的個(gè)人數(shù)據(jù)處理活動(dòng)，《個(gè)人信息保護(hù)法》第三條第二款③借鑒“目標(biāo)導(dǎo)向標(biāo)準(zhǔn)”詳細(xì)規(guī)定了法律的域外適用范圍。隨后《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》第二條第二款在《個(gè)人信息保護(hù)法》的域外適用的基礎(chǔ)上，增加“涉及境內(nèi)重要數(shù)據(jù)處理”的情形。美國(guó)、英國(guó)、巴西等國(guó)也紛紛以GDPR 為藍(lán)本設(shè)置域外適用條款，見(jiàn)表1。

表1 個(gè)人數(shù)據(jù)保護(hù)法案域外適用條款的立法現(xiàn)狀

除上述各國(guó)頒布的國(guó)內(nèi)法，2018年歐洲理事會(huì)修訂的《關(guān)于個(gè)人數(shù)據(jù)自動(dòng)處理的個(gè)人保護(hù)公約》（Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data，以下簡(jiǎn)稱《公約》）及其議定書作為全球數(shù)據(jù)保護(hù)領(lǐng)域最重要的國(guó)際協(xié)議之一，并沒(méi)繼承GDPR 的域外適用條款，而是在第18 條規(guī)定，不考慮數(shù)據(jù)主體的居住地和國(guó)籍，締約方均有義務(wù)保護(hù)數(shù)據(jù)主體行使權(quán)利。此條款更多是締約方出于“全球共管”的目的[5]，在對(duì)數(shù)據(jù)主體提供協(xié)助方面間接延伸《公約》的適用范圍以提高對(duì)數(shù)據(jù)主體的保護(hù)水平。

綜上，歐盟GDPR 域外管轄的規(guī)制路徑逐步成為全球個(gè)人數(shù)據(jù)域外管轄的標(biāo)準(zhǔn)，借助單邊立法賦予本國(guó)以域外立法管轄權(quán)已經(jīng)在全球普及。

（二）單邊立法下域外執(zhí)法管轄權(quán)的行使

執(zhí)法管轄權(quán)是一國(guó)行使的強(qiáng)制遵守法律的權(quán)力，根據(jù)主權(quán)原則，一國(guó)的執(zhí)法管轄權(quán)一般限于國(guó)內(nèi)。當(dāng)執(zhí)法管轄權(quán)的行使范圍超越領(lǐng)土邊界時(shí)，便會(huì)產(chǎn)生域外執(zhí)法管轄權(quán)的問(wèn)題。域外執(zhí)法管轄權(quán)不僅包含對(duì)域外特定人、物的直接行政執(zhí)法，也包含為域外司法管轄權(quán)的順利行使而采取的司法輔助措施[6]。

相比于域外立法管轄權(quán)和域外司法管轄權(quán)，域外執(zhí)法管轄權(quán)具有明顯的侵略性，因此，國(guó)際法對(duì)域外執(zhí)法管轄權(quán)一直加以限制。一國(guó)行使域外執(zhí)法管轄權(quán)只能基于國(guó)際法賦予的特定權(quán)力或外國(guó)政府的有效同意[3]105。然而，在大數(shù)據(jù)時(shí)代，個(gè)人數(shù)據(jù)跨境流動(dòng)的頻繁性致使原有域外執(zhí)法管轄權(quán)的行使條件已然無(wú)法滿足各國(guó)監(jiān)管的需求。因而，單方擴(kuò)張行政部門的執(zhí)法范圍成為各國(guó)行使個(gè)人數(shù)據(jù)域外執(zhí)法管轄權(quán)的方式之一。

其一，明確個(gè)人數(shù)據(jù)保護(hù)的監(jiān)管部門。GDPR作為全球最具影響力的數(shù)據(jù)法案，其第51條與第52條明文規(guī)定每個(gè)成員國(guó)應(yīng)當(dāng)建立一個(gè)或多個(gè)獨(dú)立公共機(jī)構(gòu)以負(fù)責(zé)條例實(shí)施，并進(jìn)一步要求監(jiān)管機(jī)構(gòu)應(yīng)當(dāng)具有完全的獨(dú)立性。英國(guó)的信息專員辦公室（Information Commissioner’s Office，縮寫為ICO）、西班牙數(shù)據(jù)保護(hù)機(jī)構(gòu)（Agencia Espa?ola de Protección de Datos）以及法國(guó)國(guó)家信息技術(shù)和自由委員會(huì)（Commission Nat Informatique et Liberté，縮 寫 為CNIL）等均是負(fù)責(zé)本國(guó)個(gè)人數(shù)據(jù)保護(hù)的監(jiān)管機(jī)構(gòu)。我國(guó)《個(gè)人信息保護(hù)法》第六十條賦予我國(guó)網(wǎng)信部門對(duì)個(gè)人信息保護(hù)享有監(jiān)管職責(zé)?！稊?shù)據(jù)安全法》第五條與第六條則對(duì)數(shù)據(jù)安全領(lǐng)域的職責(zé)在中央國(guó)家安全領(lǐng)導(dǎo)機(jī)構(gòu)、公安機(jī)關(guān)以及國(guó)家安全機(jī)關(guān)之間進(jìn)行分配。截止到2020 年11 月，全球已經(jīng)有80 多個(gè)國(guó)家和地區(qū)設(shè)立了數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)[7]。

其二，監(jiān)管部門具有行政執(zhí)法權(quán)限，不考慮他國(guó)的同意或授權(quán)直接針對(duì)域外特定的人或事項(xiàng)行使執(zhí)法管轄權(quán)。上述數(shù)據(jù)保護(hù)機(jī)構(gòu)絕對(duì)不僅僅限于監(jiān)督，更多是通過(guò)行政執(zhí)法的方式保障數(shù)據(jù)立法的實(shí)施。GDPR第58條賦予了數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)以調(diào)查權(quán)、矯正權(quán)、授權(quán)和建議權(quán)。在矯正權(quán)之下，數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)可以獨(dú)立行使警告、禁止數(shù)據(jù)處理、中止數(shù)據(jù)傳輸、撤回認(rèn)證以及行政罰款等多項(xiàng)權(quán)力。與此相似，我國(guó)《數(shù)據(jù)安全法》第六章與《個(gè)人信息保護(hù)法》第七章均明文規(guī)定了違法行為所應(yīng)當(dāng)承擔(dān)的法律責(zé)任，授權(quán)主管部門對(duì)違法開(kāi)展數(shù)據(jù)處理活動(dòng)的個(gè)人和組織實(shí)施警告、吊銷營(yíng)業(yè)執(zhí)照、行政罰款等措施?！豆s》第15條基本繼承GDPR的規(guī)定，賦予監(jiān)管機(jī)構(gòu)調(diào)查權(quán)和干預(yù)權(quán)，以及有權(quán)對(duì)違反公約的行為做出行政處罰。2021年12月，法國(guó)CNIL 認(rèn)為谷歌公司對(duì)cookies 拒絕機(jī)制的設(shè)置過(guò)于復(fù)雜，拒絕cookies 并不像接受它一樣容易，因而對(duì)谷歌公司處以1.5億歐元的罰款[8]?？傊?，面對(duì)涉外違法的個(gè)人數(shù)據(jù)處理行為，監(jiān)管部門更依賴國(guó)內(nèi)法行使域外執(zhí)法管轄權(quán)。

（三）域外司法管轄權(quán)的間接蔓延

司法管轄權(quán)，是一國(guó)通過(guò)其法院或行政法庭的程序處理特定的人、物或事項(xiàng)的權(quán)力。一般而言，對(duì)從事數(shù)據(jù)處理行為的人員或組織行使司法管轄權(quán)的實(shí)際范圍與立法管轄權(quán)相同。換言之，倘若在國(guó)際法框架下一國(guó)對(duì)域外的個(gè)人數(shù)據(jù)處理活動(dòng)享有域外立法管轄權(quán)，那么也可對(duì)相應(yīng)的人員或事項(xiàng)行使域外司法管轄權(quán)，除非對(duì)方享有司法豁免。由前文可知，以GDPR 為代表的個(gè)人數(shù)據(jù)保護(hù)法案設(shè)置域外適用條款已經(jīng)逐步在全球普及，因而對(duì)數(shù)據(jù)處理活動(dòng)的域外司法管轄權(quán)也相應(yīng)延伸，域外管轄的兩項(xiàng)標(biāo)準(zhǔn)在此不再贅述。但GDPR對(duì)司法管轄訴訟程序的規(guī)定，間接擴(kuò)張了域外司法管轄權(quán)。

GDPR 第79 條規(guī)定在個(gè)人數(shù)據(jù)保護(hù)民事訴訟中，數(shù)據(jù)主體所享有的針對(duì)控制者或處理者的司法救濟(jì)權(quán)。首先，這項(xiàng)救濟(jì)權(quán)利并不影響數(shù)據(jù)主體可以獲得的其他行政救濟(jì)，也不影響其向監(jiān)管機(jī)構(gòu)提交申訴。當(dāng)數(shù)據(jù)主體認(rèn)為，數(shù)據(jù)控制者或處理者違反GDPR處理其個(gè)人數(shù)據(jù)、侵犯其個(gè)人數(shù)據(jù)權(quán)的，均可獲取司法救濟(jì)。其次，明確規(guī)定了管轄法院。針對(duì)控制者或處理者的法律訴訟，依據(jù)被告人住所地的訴訟程序規(guī)則，數(shù)據(jù)主體應(yīng)當(dāng)在數(shù)據(jù)控制者或處理者擁有機(jī)構(gòu)的成員國(guó)的法庭提起訴訟。此類規(guī)定適用于設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)，即當(dāng)數(shù)據(jù)控制者或處理者在歐盟境內(nèi)存在設(shè)立機(jī)構(gòu)之時(shí)，數(shù)據(jù)主體以數(shù)據(jù)控制者或處理者為被告的訴訟，應(yīng)當(dāng)由設(shè)立機(jī)構(gòu)所在地的成員國(guó)法庭管轄。而在目標(biāo)導(dǎo)向標(biāo)準(zhǔn)之下，數(shù)據(jù)控制者或處理者在歐盟境內(nèi)并未有設(shè)立機(jī)構(gòu)。第79條第2款從弱者保護(hù)的角度，優(yōu)先保護(hù)數(shù)據(jù)主體的權(quán)益，明確規(guī)定，此類法律訴訟可以在數(shù)據(jù)主體經(jīng)常居住地的法庭提起。可見(jiàn)，無(wú)論適用何種域外管轄標(biāo)準(zhǔn)，歐盟成員國(guó)的法庭始終享有域外司法管轄權(quán)。再次，在選擇案件適用的準(zhǔn)據(jù)法時(shí)，GDPR域外適用條款并未給予國(guó)際私法下的沖突法規(guī)則以適用的空間。GDPR第3條名稱為“地域范圍”，以域外管轄為目的，第1款與第2款條文均具有“本例適用于……”的表述。對(duì)條文進(jìn)行文義解讀可以發(fā)現(xiàn)，若數(shù)據(jù)控制者或處理者處理個(gè)人數(shù)據(jù)的情形符合設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)或目標(biāo)導(dǎo)向標(biāo)準(zhǔn)，直接適用GDPR的規(guī)定。這就意味著，在歐盟成員國(guó)的法庭行使域外司法管轄權(quán)之時(shí)，直接適用GDPR的規(guī)定即可，無(wú)需依據(jù)沖突法指引選擇準(zhǔn)據(jù)法。因而，GDPR 第79條對(duì)數(shù)據(jù)主體司法救濟(jì)權(quán)利的程序規(guī)定，本質(zhì)上進(jìn)一步擴(kuò)張了歐盟成員國(guó)法院的司法管轄權(quán)。值得注意的是，我國(guó)《個(gè)人信息保護(hù)法》第三條也采用了“適用本法”的表述，即我國(guó)法院在審判過(guò)程中直接適用本法規(guī)定，但并未明文規(guī)定域外管轄情形下管轄法院的問(wèn)題。

在域外執(zhí)法管轄權(quán)與域外司法管轄權(quán)相銜接的背景下[9]，域外司法管轄權(quán)有進(jìn)一步蔓延的可能。GDPR第58條在賦予獨(dú)立的監(jiān)管部門以行政執(zhí)法權(quán)力的同時(shí)，要求每個(gè)成員國(guó)通過(guò)國(guó)內(nèi)法的規(guī)定，允許監(jiān)管部門將違法行為訴諸司法機(jī)構(gòu)，并可以提起或參與訴訟。實(shí)質(zhì)上，監(jiān)管部門不僅具有行政執(zhí)法權(quán)，而且被授予了一部分司法職能。但GDPR并未對(duì)域外執(zhí)法管轄與域外司法管轄的銜接做出程序性的規(guī)定，這在《公約》中得到進(jìn)一步補(bǔ)充。由前文可知，《公約》第15條賦予監(jiān)管部門以調(diào)查權(quán)和干預(yù)權(quán)，監(jiān)管部門行政執(zhí)法的權(quán)限同GDPR的規(guī)定相比并無(wú)較大差別。但同時(shí)，這一條款規(guī)定締約方應(yīng)賦予監(jiān)管機(jī)構(gòu)進(jìn)行法律訴訟或?qū)⑷魏芜`反數(shù)據(jù)保護(hù)規(guī)則的行為提請(qǐng)司法機(jī)構(gòu)的權(quán)力。這項(xiàng)權(quán)力以調(diào)查權(quán)為前提，有助于司法機(jī)關(guān)發(fā)現(xiàn)侵犯數(shù)據(jù)主體權(quán)利的行為[10]?！豆s》第15條將監(jiān)管部門的調(diào)查權(quán)與提起司法訴訟的權(quán)力相銜接，“調(diào)查”成為監(jiān)管部門提起司法訴訟的前提程序，實(shí)質(zhì)上是在行政執(zhí)法與司法訴訟之間搭建橋梁。監(jiān)管部門具有行政執(zhí)法與提起司法訴訟的雙重職能，這不僅模糊了域外執(zhí)法管轄權(quán)與域外司法管轄權(quán)之間的界限，更是伴隨著個(gè)人數(shù)據(jù)域外執(zhí)法管轄權(quán)的擴(kuò)張導(dǎo)致域外司法管轄權(quán)進(jìn)一步延伸。

三、個(gè)人數(shù)據(jù)域外管轄權(quán)擴(kuò)張的弊病

伴隨著諸多國(guó)家個(gè)人數(shù)據(jù)域外管轄權(quán)的擴(kuò)張，域外立法管轄范圍不明晰的缺陷暴露無(wú)遺，并引發(fā)域外執(zhí)法管轄與域外司法管轄諸多問(wèn)題。

（一）域外立法管轄范圍寬泛模糊

以GDPR為代表的個(gè)人數(shù)據(jù)保護(hù)法案符合國(guó)際習(xí)慣法的管轄原則，但是其管轄范圍過(guò)于寬泛，邊界模糊不清。由于國(guó)際領(lǐng)域尚且缺乏對(duì)個(gè)人數(shù)據(jù)域外管轄調(diào)整的公約或協(xié)議，國(guó)際習(xí)慣法所包含的管轄原則就成為判斷管轄權(quán)合法性的重要標(biāo)準(zhǔn)?！霸O(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)”要求存在“設(shè)立機(jī)構(gòu)”這一連接點(diǎn)，這意味著其依舊要求存在領(lǐng)土聯(lián)系，所以其管轄以屬地管轄原則為基礎(chǔ)。從表面看，“設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)”的管轄權(quán)基礎(chǔ)并不屬于域外管轄的分類，但分析實(shí)際效果，EDPB對(duì)“設(shè)立機(jī)構(gòu)”含義的解釋寬泛，門檻較低，甚至自然人的存在即可被視為“設(shè)立機(jī)構(gòu)”。尤其是，“設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)”并不要求個(gè)人數(shù)據(jù)處理行為發(fā)生在境內(nèi)，Google Spain SL，Google Inc. v AEPD案件表明即使發(fā)生在境外的個(gè)人數(shù)據(jù)處理活動(dòng)，只要滿足EDPB的考量因素，也將被納入管轄范圍。因而，“設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)”雖然以屬地原則為基礎(chǔ)，但或多或少具有虛擬性質(zhì)[11]，削弱了領(lǐng)土聯(lián)系，已經(jīng)發(fā)揮了域外管轄的效果。

“目標(biāo)導(dǎo)向標(biāo)準(zhǔn)”對(duì)效果原則的應(yīng)用更是加劇了對(duì)個(gè)人數(shù)據(jù)域外立法管轄范圍的爭(zhēng)議。在網(wǎng)絡(luò)環(huán)境之下，效果原則針對(duì)的是在國(guó)外發(fā)生或完成，但對(duì)其國(guó)內(nèi)產(chǎn)生效果的網(wǎng)絡(luò)行動(dòng)[3]97?；ヂ?lián)網(wǎng)技術(shù)的出現(xiàn)致使以傳統(tǒng)疆域?yàn)榻缦揲_(kāi)展管轄受到阻礙，效果原則在較大程度上彌補(bǔ)了傳統(tǒng)屬地管轄原則的缺憾，但其運(yùn)用也充滿了不確定性[12]。在“目標(biāo)導(dǎo)向標(biāo)準(zhǔn)”之下，數(shù)據(jù)控制者或處理者無(wú)論是提供商品或服務(wù)，抑或是監(jiān)控境內(nèi)數(shù)據(jù)主體，對(duì)境內(nèi)產(chǎn)生的實(shí)質(zhì)效果歸屬于數(shù)據(jù)保護(hù)機(jī)構(gòu)或法院?jiǎn)畏浇忉?，管轄?quán)易遭受懷疑。事實(shí)上，在這一標(biāo)準(zhǔn)之下，凡是涉及境內(nèi)數(shù)據(jù)主體的數(shù)據(jù)處理行為都可能被納入管轄范圍。盡管效果原則在個(gè)人數(shù)據(jù)保護(hù)領(lǐng)域逐步為更多的國(guó)家所接受，但其內(nèi)涵的不確定將進(jìn)一步導(dǎo)致域外立法管轄范圍的模糊。

可見(jiàn)，在國(guó)際習(xí)慣法框架下，盡管以GDPR為代表的個(gè)人數(shù)據(jù)保護(hù)法案的管轄權(quán)基礎(chǔ)符合國(guó)際習(xí)慣法，并未侵犯他國(guó)數(shù)據(jù)主權(quán)，但域外立法管轄權(quán)的邊界寬泛且不清晰。面對(duì)同一數(shù)據(jù)處理活動(dòng)的案件多國(guó)有可能同時(shí)享有以客觀屬地原則或效果原則為基礎(chǔ)的立法管轄權(quán)，這極易在執(zhí)法管轄和司法管轄方面引發(fā)沖突。

（二）域外執(zhí)法的可行性受限

就域外執(zhí)法管轄權(quán)內(nèi)部因素而言，與域外立法管轄權(quán)和域外司法管轄權(quán)相比，其受地域性的限制影響最大。就外部配套措施而言，為域外執(zhí)法所設(shè)立的代表制度也無(wú)法解決行為義務(wù)的執(zhí)行難題。

1.內(nèi)部因素：地域性限制

數(shù)據(jù)保護(hù)機(jī)構(gòu)域外執(zhí)法的行為不可避免會(huì)受到地域性的限制。1927 年“荷花號(hào)”案件判決至今已接近百年，但其審判結(jié)論依舊是現(xiàn)下國(guó)家域外管轄的主要依據(jù)[13]。域外立法管轄權(quán)相對(duì)自由，但是域外執(zhí)法管轄權(quán)原則上依舊是禁止的，其行使應(yīng)當(dāng)具備其他國(guó)家的授權(quán)[13]。即使國(guó)際法框架下管轄權(quán)原則的內(nèi)涵在不斷變化，互聯(lián)網(wǎng)背景下屬地管轄與域外管轄的邊界更是逐漸模糊，但域外執(zhí)法管轄權(quán)以領(lǐng)土為界限的基本思路并未改變。以GDPR為代表的個(gè)人數(shù)據(jù)保護(hù)法案單方授予本國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)域外執(zhí)法管轄權(quán)，但國(guó)內(nèi)法并不能構(gòu)成域外執(zhí)法的合法依據(jù)。倘若歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)以“目標(biāo)導(dǎo)向標(biāo)準(zhǔn)”為依據(jù)，未經(jīng)過(guò)我國(guó)監(jiān)管機(jī)構(gòu)同意，便對(duì)我國(guó)企業(yè)采取矯正、數(shù)據(jù)調(diào)取或行政處罰措施，不僅會(huì)涉嫌侵犯我國(guó)主權(quán)，更會(huì)引起雙方外交關(guān)系的緊張對(duì)立。由前文可知，個(gè)人數(shù)據(jù)域外立法管轄范圍寬泛模糊，無(wú)論是歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)抑或是我國(guó)監(jiān)管部門，域外執(zhí)法將不得不考慮選擇性執(zhí)行[14]。

2.外部因素：代表制度的“先天不足”

代表制度設(shè)置的目的正是為了保障個(gè)人數(shù)據(jù)保護(hù)法案的有效實(shí)施，但這一制度本身具有一定的缺陷。

首先，關(guān)于代表是否需要承擔(dān)“替代責(zé)任”的問(wèn)題，各國(guó)立法或?qū)W者討論目前均未達(dá)成共識(shí)。在立法方面，2018 年《西班牙數(shù)據(jù)保護(hù)法案》（Spanish Data Protection Act 2018）第30（1）條直接規(guī)定監(jiān)管機(jī)構(gòu)可以對(duì)代表施加GDPR 中的所有“措施”，根據(jù)該法第30（2）條，代表將承擔(dān)連帶責(zé)任，就因數(shù)據(jù)控制者或處理者違反GDPR造成的任何損害向數(shù)據(jù)主體提供賠償。但值得注意的是，雖然我國(guó)《個(gè)人信息保護(hù)法》第五十三條借鑒了GDPR的代表制度，規(guī)定符合第三條第二款的個(gè)人信息處理者④應(yīng)在我國(guó)境內(nèi)指定代表，但對(duì)于最核心的法律責(zé)任立法卻沒(méi)有提及。換言之，在我國(guó)境內(nèi)設(shè)立的代表無(wú)需承擔(dān)“替代責(zé)任”。而學(xué)者對(duì)于代表“替代責(zé)任”的觀點(diǎn)也存在對(duì)立。支持者主要從有利于域外執(zhí)法的角度論證“替代責(zé)任”的必要性，而反對(duì)者更多從法理依據(jù)入手，認(rèn)為“替代責(zé)任”的立法設(shè)置沒(méi)有法理基礎(chǔ)，主要是依靠代表與網(wǎng)絡(luò)平臺(tái)的合同約定。

其次，境外的數(shù)據(jù)控制者或處理者逃避代表的設(shè)置。代表制度本身對(duì)境外的數(shù)據(jù)控制者或處理者而言沒(méi)有吸引力，在他國(guó)設(shè)置代表意味著境外的數(shù)據(jù)控制者或處理者自愿接受該國(guó)的管轄，這很可能抑制境外數(shù)據(jù)控制者或處理者設(shè)置代表的積極性[15]。2021年荷蘭數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)對(duì)總部位于美國(guó)的網(wǎng)站LOCATE FAMILY 處以52 萬(wàn)歐元的行政罰款，依據(jù)便是該數(shù)據(jù)控制者服務(wù)的對(duì)象包括歐盟居民，符合GDPR 第3 條第2 款的規(guī)定，但是并未在歐盟任命代表[16]。

再次，應(yīng)當(dāng)區(qū)分?jǐn)?shù)據(jù)控制者或處理者的金錢給付義務(wù)與特定的行為義務(wù)[15]。即使代表能夠有效代替域外的數(shù)據(jù)控制者或處理者承擔(dān)行政罰款或民事賠償，但也只是局限于金錢給付義務(wù)。在需要境外的數(shù)據(jù)控制者或處理者遵守執(zhí)行某項(xiàng)行為的命令時(shí)，設(shè)置的代表很可能沒(méi)有權(quán)利同時(shí)也沒(méi)有實(shí)質(zhì)的可能性去遵守?cái)?shù)據(jù)保護(hù)機(jī)構(gòu)的命令，具體的行為義務(wù)只有境外的數(shù)據(jù)控制者或處理者本身才能履行[15]。在A v Google New Zealand Ltd 一案中，因?yàn)楣雀韫緵](méi)有徹底刪除搜索鏈接，原告便將谷歌新西蘭子公司起訴至法院要求其履行，但法院支持了谷歌新西蘭子公司的主張，即盡管其可以對(duì)谷歌公司施加影響但新西蘭子公司根本不具備刪除搜索鏈接的權(quán)限，最終駁回了原告訴求。這一案件雖是以子公司為被告，但是同樣暴露了代表制度的缺陷，即子公司尚且可能不具備權(quán)限遵守保護(hù)個(gè)人數(shù)據(jù)的行為義務(wù)，與跨國(guó)公司關(guān)系更加松散的代表對(duì)行為義務(wù)的履行將更加有限。因而，正是因?yàn)榇碇贫缺旧泶嬖诘娜毕?，其無(wú)法有效保障個(gè)人數(shù)據(jù)保護(hù)法案的實(shí)施。

（三）司法判決域外承認(rèn)受阻

除卻行政處罰，數(shù)據(jù)主體向數(shù)據(jù)控制者或處理者提出民事訴訟也是保護(hù)自身權(quán)益的重要手段。但跨境民事訴訟的司法判決是否能夠得到外國(guó)法院的承認(rèn)與執(zhí)行，的確存在諸多問(wèn)題。

1.價(jià)值沖突

當(dāng)數(shù)據(jù)主體借助民事訴訟要求行使權(quán)益或索賠時(shí)，國(guó)際私法領(lǐng)域外國(guó)民商事判決承認(rèn)與執(zhí)行的規(guī)則可以獲得一定的應(yīng)用，但數(shù)據(jù)主體的權(quán)利可能會(huì)與他國(guó)公共利益相沖突[17]。2019 年在Google v CNIL一案中，歐盟法院對(duì)數(shù)據(jù)主體被遺忘權(quán)的執(zhí)行范圍進(jìn)行澄清，被遺忘權(quán)與公眾知情權(quán)、言論自由之間的沖突極為突出。歐盟法院認(rèn)為，個(gè)人數(shù)據(jù)的保護(hù)程度與信息自由之間的平衡在世界范圍內(nèi)可能會(huì)存在很大差異⑤。因而，雖然歐盟居民擁有被遺忘的合法權(quán)利，但該權(quán)利僅適用于歐盟27個(gè)成員國(guó)的邊界內(nèi)。這一判決看似谷歌公司取得了“勝利”，但判決的最后部分含蓄地承認(rèn)歐盟立法機(jī)構(gòu)有能力擴(kuò)大被遺忘權(quán)的范圍，即在充分權(quán)衡數(shù)據(jù)主體的權(quán)利與信息自由之后，成員國(guó)的司法機(jī)關(guān)或監(jiān)管機(jī)構(gòu)可以要求搜索引擎運(yùn)營(yíng)商在全球范圍內(nèi)取消鏈接。這為以后歐盟各成員國(guó)的司法機(jī)關(guān)將被遺忘權(quán)在全球范圍內(nèi)實(shí)施敞開(kāi)了大門。

但核心問(wèn)題是，即使歐盟法院將被遺忘權(quán)的實(shí)施擴(kuò)展到全球范圍，也會(huì)因與言論自由不一致，在美國(guó)普通法下缺乏可執(zhí)行性[17]。依據(jù)美國(guó)憲法第一修正案，只有為防止對(duì)國(guó)家保護(hù)的合法利益造成嚴(yán)重和直接危險(xiǎn)時(shí)，言論自由才可以被限制[17]。依據(jù)國(guó)際私法下“公共秩序保留”規(guī)則，一國(guó)可拒絕承認(rèn)與執(zhí)行與本國(guó)公共秩序相抵觸的外國(guó)判決[18]。雖不涉及個(gè)人數(shù)據(jù)，但Google Inc. v. Equustek Solutions Inc案件便是有力例證⑥。加拿大最高法院要求谷歌公司在全球范圍內(nèi)刪除鏈接以阻止知識(shí)產(chǎn)權(quán)侵權(quán)行為的判決，被美國(guó)加利福尼亞北部地區(qū)法院頒布禁令，主要依據(jù)便是這一判決與言論自由相矛盾，需要頒布禁令以保護(hù)公共利益。盡管我國(guó)《個(gè)人信息保護(hù)法》并未全面借鑒GDPR 被遺忘權(quán)的權(quán)利內(nèi)容，但第四十七條賦予我國(guó)數(shù)據(jù)主體以刪除權(quán)，而當(dāng)刪除權(quán)的執(zhí)行范圍延伸到我國(guó)領(lǐng)土以外時(shí)，同樣會(huì)涉及價(jià)值沖突的問(wèn)題。

是故，數(shù)據(jù)保護(hù)的司法判決跨境的承認(rèn)與執(zhí)行會(huì)因價(jià)值沖突受到阻礙[19]。

2.司法管轄權(quán)遭受懷疑

由于個(gè)人數(shù)據(jù)域外立法管轄權(quán)的寬泛模糊，涉及數(shù)據(jù)主體民事索賠的司法判決在國(guó)外得到承認(rèn)與執(zhí)行時(shí)，管轄權(quán)的行使依據(jù)可能無(wú)法滿足合理性標(biāo)準(zhǔn)[17]。歐盟GDPR 第82 條和我國(guó)《個(gè)人信息保護(hù)法》第六十九條均賦予了數(shù)據(jù)主體因權(quán)益受損而請(qǐng)求賠償?shù)臋?quán)利。但承認(rèn)與執(zhí)行外國(guó)民商事判決最基本的要求是外國(guó)法院具有司法管轄權(quán)[15]。2019年在荷蘭海牙達(dá)成的《承認(rèn)與執(zhí)行外國(guó)民商事判決公約》規(guī)定了締約國(guó)相互承認(rèn)與執(zhí)行司法判決的重要條件之一便是原審法院要具有合格的管轄權(quán)[20]。然而，在個(gè)人數(shù)據(jù)域外管轄案件中，即使請(qǐng)求國(guó)法院以真實(shí)有效聯(lián)系為依據(jù)行使司法管轄權(quán)時(shí)，被請(qǐng)求國(guó)法院可能傾向于擔(dān)憂執(zhí)行裁決會(huì)進(jìn)一步擴(kuò)張請(qǐng)求國(guó)法院的管轄權(quán)[21]。早在2018 年GDPR 生效之時(shí)，學(xué)者Kurt Wimmer便指出，在對(duì)借助cookies跟蹤數(shù)據(jù)主體的境外公司行使司法管轄權(quán)時(shí)，即使請(qǐng)求國(guó)法院以效果原則為管轄權(quán)基礎(chǔ)，但由于cookies的使用不具有實(shí)質(zhì)性和直接影響，司法管轄權(quán)的行使很可能因不具備合理性而遭受被請(qǐng)求國(guó)法院質(zhì)疑[17]。在2014 年的Vidal-Hall & Ors v Google Inc 案件⑦中，英國(guó)法院認(rèn)為谷歌公司未經(jīng)數(shù)據(jù)主體同意利用cookies收集信息并發(fā)布有針對(duì)性的廣告，由于此類廣告具有泄露個(gè)人數(shù)據(jù)的風(fēng)險(xiǎn)，法院參照誹謗法，認(rèn)為發(fā)布的針對(duì)性廣告在數(shù)據(jù)主體的計(jì)算機(jī)屏幕上可以觀看到，就如同誹謗的內(nèi)容在英國(guó)發(fā)布，英國(guó)法院有權(quán)管轄。但這一解釋是否能得到他國(guó)的認(rèn)可，還有賴于判例的進(jìn)一步發(fā)展。

因而，即使涉及數(shù)據(jù)主體索賠的司法判決并未與被請(qǐng)求國(guó)公共利益出現(xiàn)價(jià)值沖突，以“目標(biāo)導(dǎo)向標(biāo)準(zhǔn)”為依據(jù)的司法管轄權(quán)也可能因無(wú)法通過(guò)被請(qǐng)求國(guó)法院的管轄權(quán)審查而不被承認(rèn)和執(zhí)行。

四、我國(guó)進(jìn)取型路徑的構(gòu)建：反思與因應(yīng)

面對(duì)個(gè)人數(shù)據(jù)域外管轄權(quán)擴(kuò)張的趨勢(shì)，一味依靠阻斷法令開(kāi)展“防守”不僅會(huì)使我國(guó)陷入被動(dòng)，而且不利于我國(guó)參與全球數(shù)據(jù)治理。盡管對(duì)個(gè)人數(shù)據(jù)實(shí)施域外管轄存在諸多弊端，但不可否認(rèn)其存在的必要性。相比“防守”，構(gòu)建我國(guó)個(gè)人數(shù)據(jù)域外管轄的進(jìn)取型路徑才可以避免立法滯后?！秱€(gè)人信息保護(hù)法》與《數(shù)據(jù)安全法》只是初步完成了域外管轄的粗線條立法，缺乏對(duì)域外執(zhí)法配套措施的詳細(xì)規(guī)定。目前關(guān)鍵問(wèn)題在于我國(guó)如何在不侵犯他國(guó)數(shù)據(jù)主權(quán)的前提下保障域外執(zhí)法和司法的有效實(shí)施。

（一）區(qū)分域外管轄涉及的條款類型

傳統(tǒng)域外管轄“全有或全無(wú)”的二元化和個(gè)人數(shù)據(jù)模糊不清的域外管轄范圍易使我國(guó)陷入管轄權(quán)沖突的境地。在確定是否要對(duì)個(gè)人數(shù)據(jù)的處理行使域外管轄權(quán)時(shí)，應(yīng)當(dāng)關(guān)注違反《個(gè)人信息保護(hù)法》的條款類型。Svantesson 教授將個(gè)人數(shù)據(jù)保護(hù)域外管轄的范圍分為三層：防止濫用層、權(quán)利層和行政層[22]。但本文認(rèn)為此種劃分有待進(jìn)一步商榷，主要原因有以下兩點(diǎn)：其一，盡管從法律條款的文義解釋分析，防止個(gè)人數(shù)據(jù)非法濫用和數(shù)據(jù)主體權(quán)利的內(nèi)容貌似容易辨析，但是在具體案件中二者是難以區(qū)分的。其二，即使防止個(gè)人數(shù)據(jù)濫用是目前各國(guó)個(gè)人數(shù)據(jù)保護(hù)法案立法的基本目標(biāo)，但這并不意味著域外管轄權(quán)可以隨意行使。在個(gè)人數(shù)據(jù)遭受非法泄露或利用的案件中，一國(guó)法院或政府依舊需要遵守域外管轄規(guī)則的基本要求。若如Svantesson 教授所述，以“市場(chǎng)主權(quán)”為依據(jù)，依靠市場(chǎng)力量對(duì)個(gè)人數(shù)據(jù)非法濫用行為實(shí)施無(wú)限制的域外管轄，此時(shí)域外管轄權(quán)的范圍等同于一國(guó)市場(chǎng)影響力的范圍。這反而容易導(dǎo)致較大經(jīng)濟(jì)體以數(shù)據(jù)保護(hù)為理由濫用管轄權(quán)，與國(guó)際法尊重主權(quán)原則背道而馳?？紤]到《個(gè)人信息保護(hù)法》的主要監(jiān)管對(duì)象為個(gè)人信息處理者，可以從個(gè)人信息處理者的義務(wù)類型出發(fā)。其一，個(gè)人信息處理者需要維護(hù)所收集或處理的數(shù)據(jù)，并履行數(shù)據(jù)主體各項(xiàng)權(quán)益的要求。其二，個(gè)人信息處理者需要履行《個(gè)人信息保護(hù)法》所設(shè)定的各項(xiàng)具有行政管理性質(zhì)的義務(wù)。是故，本文傾向于以個(gè)人信息處理者的義務(wù)為基點(diǎn)，吸收并改進(jìn)“分層理論”，將我國(guó)《個(gè)人信息保護(hù)法》域外管轄的范圍分為兩層，即“數(shù)據(jù)主體權(quán)益保護(hù)層”與“行政管理義務(wù)層”。

第一，若個(gè)人數(shù)據(jù)處理行為涉及數(shù)據(jù)主體各項(xiàng)權(quán)益的保護(hù)，符合國(guó)際法管轄權(quán)理論中“最低限度聯(lián)系”，即可實(shí)施域外管轄[22]。《個(gè)人信息保護(hù)法》第一條明文規(guī)定以“保護(hù)個(gè)人信息權(quán)益，規(guī)范個(gè)人信息處理活動(dòng)，促進(jìn)個(gè)人信息合理利用”為立法目的；第二條進(jìn)一步明確“任何組織、個(gè)人不得侵害自然人的個(gè)人信息權(quán)益”。可見(jiàn)，保護(hù)個(gè)人數(shù)據(jù)不被非法利用以及保障數(shù)據(jù)主體各項(xiàng)權(quán)益的有效行使是《個(gè)人信息保護(hù)法》最基本的立法目的。因而，對(duì)位于境外的個(gè)人信息處理者實(shí)行域外管轄不適宜設(shè)置較高的閾值?！白畹拖薅嚷?lián)系”理論起源于美國(guó)聯(lián)邦最高法院對(duì)International Shoe Co. v. Washington一案的判決⑧，即對(duì)非居民被告實(shí)施管轄，為符合正當(dāng)程序的要求，被告需與法庭有最低限度的接觸，此類訴訟不會(huì)冒犯“實(shí)質(zhì)性正義”[22]。以“最低限度聯(lián)系”作為個(gè)人數(shù)據(jù)域外管轄的閾值，不僅可以有效保護(hù)個(gè)人數(shù)據(jù)，且不會(huì)對(duì)他國(guó)數(shù)據(jù)主權(quán)造成困擾。

第二，若對(duì)位于境外的個(gè)人信息處理者采取行政管理措施，則實(shí)施域外管轄所要求的聯(lián)系程度會(huì)更加緊密。我國(guó)《個(gè)人信息保護(hù)法》第五章全面規(guī)定了個(gè)人信息處理者的義務(wù)，如設(shè)立個(gè)人信息保護(hù)負(fù)責(zé)人、定期進(jìn)行合規(guī)審計(jì)以及建立個(gè)人信息保護(hù)合規(guī)制度體系等。在適用“目標(biāo)導(dǎo)向標(biāo)準(zhǔn)”的前提下，我國(guó)網(wǎng)信部門要求任何位于他國(guó)的個(gè)人信息處理者均履行上述義務(wù)要求是不切實(shí)際的。況且，此類行政管理措施類的條款并非直接保護(hù)個(gè)人數(shù)據(jù)，而是通過(guò)加強(qiáng)日常管理來(lái)降低風(fēng)險(xiǎn)，因而以“最低限度聯(lián)系”作為域外管轄的閾值已然不合時(shí)宜。美國(guó)在Helicoptoros Nacionales De Columbia S.A.v Hall一案⑨中對(duì)“一般管轄權(quán)”的判決可以提供啟示，即當(dāng)被告與法庭的聯(lián)系是連續(xù)的、系統(tǒng)的和持續(xù)的，法院可以行使一般管轄權(quán)[22]。在具體案件中，考慮境外個(gè)人信息處理者與我國(guó)之間的聯(lián)系是否具有連續(xù)性、系統(tǒng)性和持續(xù)性，換言之，同時(shí)考慮聯(lián)系的數(shù)量和持續(xù)的時(shí)間，進(jìn)而判斷是否需要適用行政管理措施類的條款。

總之，應(yīng)當(dāng)結(jié)合我國(guó)《個(gè)人信息保護(hù)法》的立法體系，借鑒并改進(jìn)Svantesson教授的“分層理論”，從個(gè)人信息處理者的義務(wù)出發(fā)對(duì)涉及的條款類型予以區(qū)分，從而為實(shí)施個(gè)人數(shù)據(jù)域外管轄權(quán)所需要的聯(lián)系程度提供閾值參考。

（二）構(gòu)建多維度跨境執(zhí)法機(jī)制

數(shù)據(jù)保護(hù)機(jī)構(gòu)之間的監(jiān)管合作可以有效減輕域外執(zhí)法的地域性障礙，彌補(bǔ)代表制度的不足，是克服跨境執(zhí)法問(wèn)題的解決方案。我國(guó)應(yīng)當(dāng)依托自身數(shù)據(jù)大國(guó)的身份積極參與建立跨境執(zhí)法機(jī)制，包括多邊執(zhí)法機(jī)制和雙邊執(zhí)法機(jī)制，但二者在國(guó)際談判與合作的方向并不相同。

1.多邊執(zhí)法機(jī)制回歸國(guó)際軟法

在構(gòu)建多邊執(zhí)法機(jī)制方面，尋求達(dá)成具有法律效力的國(guó)際條約或協(xié)議并不具有現(xiàn)實(shí)性，我國(guó)應(yīng)著重發(fā)揮國(guó)際軟法的作用[23]。首先，個(gè)人數(shù)據(jù)保護(hù)法案具有公法屬性。以我國(guó)《個(gè)人信息保護(hù)法》為例，第一條“…根據(jù)憲法，制定本法”表明了立法以憲法為基礎(chǔ)，確立了將個(gè)人信息權(quán)作為新興公法權(quán)利的思路[24]。不可否認(rèn)，就數(shù)據(jù)主體對(duì)個(gè)人數(shù)據(jù)所享有的權(quán)利而言，其本質(zhì)具有民事權(quán)利的屬性，但我國(guó)《個(gè)人信息保護(hù)法》對(duì)個(gè)人數(shù)據(jù)的保護(hù)是多元化的、立體的。除民事賠償保護(hù)以外，我國(guó)《個(gè)人信息保護(hù)法》第六十六條對(duì)違反個(gè)人數(shù)據(jù)保護(hù)規(guī)定的個(gè)人信息處理者處以警告、罰款、沒(méi)收違法所得等行政處罰措施。正是因?yàn)檫@一公法屬性，個(gè)人數(shù)據(jù)權(quán)益的背后蘊(yùn)含著各國(guó)的公共政策，導(dǎo)致一國(guó)難以允許第三國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)對(duì)本國(guó)境內(nèi)的個(gè)人信息處理者實(shí)施單邊執(zhí)法。其次，國(guó)際社會(huì)尚未就數(shù)據(jù)主權(quán)的理念達(dá)成一致。2015年我國(guó)國(guó)務(wù)院發(fā)布的《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》中強(qiáng)調(diào)“充分利用我國(guó)的數(shù)據(jù)規(guī)模優(yōu)勢(shì)……增強(qiáng)網(wǎng)絡(luò)空間數(shù)據(jù)主權(quán)保護(hù)能力”。2020 年歐盟在《歐洲數(shù)字主權(quán)》（Digital Sovereignty for Europe）中闡釋了歐盟“數(shù)字主權(quán)”的內(nèi)容，并將數(shù)據(jù)主權(quán)作為數(shù)字主權(quán)的下位概念。然而，最具有互聯(lián)網(wǎng)行業(yè)競(jìng)爭(zhēng)優(yōu)勢(shì)的美國(guó)卻刻意模糊數(shù)據(jù)領(lǐng)域的主權(quán)概念，并采取“多利益攸關(guān)方模式”的數(shù)據(jù)治理政策[25]。正因?yàn)閷?duì)國(guó)家數(shù)據(jù)主權(quán)這一根本內(nèi)容尚未達(dá)成一致，國(guó)際社會(huì)在數(shù)字貿(mào)易壁壘、跨境數(shù)據(jù)流通等問(wèn)題上存在嚴(yán)重分歧。再次，在個(gè)人數(shù)據(jù)保護(hù)領(lǐng)域，具有強(qiáng)制執(zhí)行力的國(guó)際執(zhí)法合作條約或協(xié)議并不充分，國(guó)際社會(huì)缺乏相應(yīng)的實(shí)踐基礎(chǔ)。經(jīng)濟(jì)合作與發(fā)展組織（Organization for Economic Co-operation and Development）發(fā)布的報(bào)告顯示，個(gè)人數(shù)據(jù)保護(hù)的跨境聯(lián)合執(zhí)法在充分性和有效性方面依舊存在欠缺[26]。相比具有法律效力的國(guó)際條約或協(xié)議，國(guó)際軟法并不由國(guó)家保證實(shí)施，但其彈性較大，能更好地協(xié)調(diào)多方利益，因而我國(guó)對(duì)多邊執(zhí)法機(jī)制應(yīng)回歸國(guó)際軟法的軌道[23]。

目前，全球已然出現(xiàn)了一系列的制度安排和組織，以促進(jìn)數(shù)據(jù)保護(hù)機(jī)構(gòu)之間的執(zhí)法合作?！峨[私保護(hù)和個(gè)人數(shù)據(jù)跨境流動(dòng)指南》（Guidelines on the Protection of Privacy and Transborder Flows of Personal Data）和《APEC 隱私框架》（APEC Privacy Framework）是多邊執(zhí)法機(jī)制國(guó)際軟法的主要組成部分。2012 年亞太經(jīng)濟(jì)合作組織（Asia-Pacific Economic Cooperation）構(gòu)建了“跨境隱私規(guī)則”，隱私執(zhí)法機(jī)構(gòu)、問(wèn)責(zé)代理機(jī)構(gòu)和企業(yè)三方參與，對(duì)違法企業(yè)，問(wèn)責(zé)代理機(jī)構(gòu)與隱私執(zhí)法機(jī)構(gòu)可以糾正并采取處罰措施[27]。盡管“跨境隱私規(guī)則”依舊依賴國(guó)內(nèi)監(jiān)管機(jī)構(gòu)處罰，但正如學(xué)者所言，一國(guó)監(jiān)管機(jī)構(gòu)對(duì)企業(yè)的包庇會(huì)令其喪失信譽(yù)，導(dǎo)致其他國(guó)家喪失與其合作的信心，從而無(wú)法在個(gè)人數(shù)據(jù)市場(chǎng)立足[28]。遺憾的是，我國(guó)尚未加入“跨境隱私規(guī)則”這一多邊執(zhí)法機(jī)制。盡管國(guó)內(nèi)外對(duì)數(shù)據(jù)主體權(quán)利的內(nèi)容和保護(hù)程度依舊存在差異，但是保護(hù)個(gè)人數(shù)據(jù)已經(jīng)成為基本目標(biāo)。由于在個(gè)人數(shù)據(jù)保護(hù)的國(guó)際合作方面尚處于起步階段，我國(guó)可以考慮指定現(xiàn)有數(shù)據(jù)保護(hù)機(jī)構(gòu)如國(guó)家網(wǎng)信部門作為隱私執(zhí)法機(jī)構(gòu)，積極申請(qǐng)加入“跨境隱私規(guī)則”，為我國(guó)個(gè)人數(shù)據(jù)域外管轄權(quán)的實(shí)施提供多邊執(zhí)法機(jī)制的依靠[28]。

2.雙邊執(zhí)法機(jī)制提供合法依據(jù)

相比多邊執(zhí)法機(jī)制，我國(guó)對(duì)雙邊執(zhí)法機(jī)制的構(gòu)建應(yīng)著重增強(qiáng)可執(zhí)行效力，從而補(bǔ)充多邊執(zhí)法機(jī)制的不足，為我國(guó)個(gè)人數(shù)據(jù)域外執(zhí)法管轄權(quán)的行使提供合法依據(jù)。雙邊執(zhí)法機(jī)制談判的成本比構(gòu)建多邊執(zhí)法機(jī)制更低，締約方所面臨的利益分歧會(huì)更小。首先，我國(guó)可以考慮率先與共建“一帶一路”的國(guó)家達(dá)成雙邊執(zhí)法合作協(xié)議，并依托“一帶一路”的影響力，將達(dá)成的雙邊執(zhí)法合作協(xié)議逐步轉(zhuǎn)化為多邊合作協(xié)議。其次，雙邊執(zhí)法機(jī)制的構(gòu)建應(yīng)當(dāng)明晰締約方數(shù)據(jù)保護(hù)機(jī)構(gòu)的執(zhí)法權(quán)限，將提供協(xié)助作為法定義務(wù)。明確雙方聯(lián)合開(kāi)展合作的方式，包括但不局限于提供文件或信息、聯(lián)合調(diào)查或執(zhí)法等。只有被賦予聯(lián)合執(zhí)法的權(quán)限，我國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)的域外執(zhí)法行為方具有正當(dāng)基礎(chǔ)。再次，在構(gòu)建雙邊執(zhí)法機(jī)制時(shí)，以比例原則界定我國(guó)域外執(zhí)法管轄權(quán)行使的邊界。其一，應(yīng)當(dāng)考慮侵犯?jìng)€(gè)人數(shù)據(jù)權(quán)益行為所造成的損害程度。損害程度越高意味著我國(guó)行使域外執(zhí)法管轄權(quán)越具有必要性和正當(dāng)性。至于侵犯?jìng)€(gè)人數(shù)據(jù)權(quán)益的違法行為是否需要在我國(guó)與締約國(guó)之間同時(shí)具有違法性，本文傾向于認(rèn)為，“雙重違反原則”可以作為簡(jiǎn)化聯(lián)合執(zhí)法程序的條件，但不適宜作為建立雙邊執(zhí)法機(jī)制的前提。其二，應(yīng)當(dāng)考慮個(gè)人信息處理者與我國(guó)的聯(lián)系程度。聯(lián)系程度可以基于領(lǐng)土、效果、屬人等連接點(diǎn)進(jìn)行判斷。與我國(guó)實(shí)質(zhì)聯(lián)系程度越緊密，我國(guó)個(gè)人數(shù)據(jù)域外執(zhí)法管轄權(quán)越易于為被請(qǐng)求國(guó)所認(rèn)可。其三，我國(guó)個(gè)人數(shù)據(jù)保護(hù)域外執(zhí)法所采取的措施應(yīng)當(dāng)具有必要性。將執(zhí)法措施與個(gè)人數(shù)據(jù)違法處理行為相匹配，不僅有助于平衡公權(quán)與私權(quán)，更有利于兩國(guó)數(shù)據(jù)保護(hù)執(zhí)法機(jī)構(gòu)未來(lái)進(jìn)一步的執(zhí)法合作。我國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)應(yīng)當(dāng)比較所能采取的行政執(zhí)法措施，綜合事實(shí)進(jìn)行判定。若個(gè)人數(shù)據(jù)違法處理行為涉及侵犯我國(guó)國(guó)家利益或公共利益，我國(guó)自然可以考慮采取更加嚴(yán)厲的執(zhí)法措施。

綜上，我國(guó)關(guān)于跨境執(zhí)法機(jī)制的構(gòu)建應(yīng)當(dāng)是多維度的。就多邊執(zhí)法機(jī)制而言，我國(guó)依舊以國(guó)際軟法為主要談判方向，考慮加入“跨境隱私規(guī)則”執(zhí)法體系。同時(shí)，以具有強(qiáng)制執(zhí)行力的雙邊執(zhí)法機(jī)制予以補(bǔ)充，為我國(guó)個(gè)人數(shù)據(jù)域外執(zhí)法管轄權(quán)的行使提供合法依據(jù)。

（三）完善司法判決域外實(shí)施的補(bǔ)充措施

與個(gè)人數(shù)據(jù)域外執(zhí)法不同，司法判決域外承認(rèn)所面臨的困境是難以通過(guò)國(guó)際談判解決的。各國(guó)個(gè)人數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)不同，對(duì)公共利益的界定更是千差萬(wàn)別。正因如此，借助國(guó)際談判解決價(jià)值沖突的問(wèn)題，從短期而言不切實(shí)際。進(jìn)一步細(xì)化司法判決域外實(shí)施的補(bǔ)充措施是當(dāng)下保障我國(guó)域外司法管轄權(quán)有效實(shí)施的重要舉措。依據(jù)是否具有強(qiáng)制執(zhí)行力，本文將補(bǔ)充措施劃分為“硬”措施與“軟”措施。

1.“硬”措施的有效運(yùn)用

為保護(hù)個(gè)人數(shù)據(jù)，應(yīng)借助立法完善“市場(chǎng)破壞措施”（market destroying measure），賦予其強(qiáng)制執(zhí)行的效力，可以有效避免司法判決淪為一紙空文。

Svantesson 教授在前文提到的“市場(chǎng)主權(quán)”理論的基礎(chǔ)上主張，政府可通過(guò)引入“市場(chǎng)破壞措施”來(lái)懲罰境外網(wǎng)絡(luò)運(yùn)營(yíng)商，它的內(nèi)容包括禁止當(dāng)事人在國(guó)家管轄范圍內(nèi)進(jìn)行貿(mào)易或使其在國(guó)家管轄范圍內(nèi)享有的債權(quán)無(wú)法執(zhí)行[29]。這一措施更多是以自身市場(chǎng)為籌碼，借助境外主體對(duì)一國(guó)市場(chǎng)的依賴從而保障域外管轄權(quán)的有效實(shí)施。其不僅可以有效執(zhí)行判決涉及的金錢給付義務(wù)，同時(shí)也促使境外的個(gè)人信息處理者履行特定的行為義務(wù)。但需要注意的是，此類措施的采取應(yīng)當(dāng)以遵守域外管轄規(guī)則為基礎(chǔ)，并非依靠市場(chǎng)力量進(jìn)行不當(dāng)?shù)挠蛲夤茌?。毋庸置疑，在個(gè)人數(shù)據(jù)領(lǐng)域，我國(guó)廣闊的市場(chǎng)為“市場(chǎng)破壞措施”的設(shè)定提供了前提。以尊重主權(quán)和相互平等的國(guó)際法原則為基準(zhǔn)，將“市場(chǎng)破壞措施”有條件地引入個(gè)人數(shù)據(jù)域外管轄制度。這意味著違反我國(guó)個(gè)人數(shù)據(jù)立法的境外主體若不履行我國(guó)裁決，在我國(guó)管轄范圍內(nèi)的數(shù)據(jù)主體將不再向其提供數(shù)據(jù)或在一定范圍內(nèi)其債權(quán)將無(wú)法得到強(qiáng)制執(zhí)行。我國(guó)《個(gè)人信息保護(hù)法》第四十二條的內(nèi)容可歸屬于“市場(chǎng)破壞措施”，即對(duì)從事個(gè)人信息處理活動(dòng)危害國(guó)家安全、公共利益以及個(gè)人信息權(quán)益的境外主體，國(guó)家網(wǎng)信部門將列入清單，限制或者禁止向其提供個(gè)人信息。本文更傾向于擴(kuò)大這一規(guī)定的涵蓋范圍，將對(duì)我國(guó)監(jiān)管部門行政處罰或司法機(jī)關(guān)判決不予執(zhí)行的境外主體也歸屬于這一清單。依據(jù)個(gè)案中境外主體的具體行為，采取不同程度的“市場(chǎng)破壞措施”以達(dá)到個(gè)人數(shù)據(jù)域外管轄的目的。是故，面對(duì)“市場(chǎng)破壞措施”的外在壓力，只有履行判決所涉及的金錢給付義務(wù)或特定行為義務(wù)的境外個(gè)人信息處理者才被中國(guó)市場(chǎng)所接受，反之，則拒之門外。

總之，依靠中國(guó)個(gè)人數(shù)據(jù)市場(chǎng)的吸引力，市場(chǎng)破壞措施可以有效解決司法判決域外承認(rèn)的困境，但具體內(nèi)容需要我國(guó)立法進(jìn)一步細(xì)化。

2.“軟”措施下的自覺(jué)執(zhí)行

除具有強(qiáng)制執(zhí)行力的“硬”措施，公眾輿論也是我國(guó)網(wǎng)信部門和司法機(jī)關(guān)可以有效運(yùn)用的工具[15]。對(duì)于大型的跨國(guó)企業(yè)，對(duì)其違法行為的行政處罰或判決所引發(fā)的宣傳效果，可能比處罰或判決本身更具破壞性[30]299。在Yahoo! Inc. v. La Ligue Contre Le Racisme Et L’Antisemitisme 一案中，美國(guó)第九巡回上訴法院作出裁決，主張“審查令人反感的言論并不適用于憲法第一修正案，限制一方主體在美國(guó)境內(nèi)言論的外國(guó)判決是無(wú)法執(zhí)行的”，從而禁止法國(guó)法院的判決在美國(guó)執(zhí)行。然而，雅虎公司為了保護(hù)自身在法國(guó)的商業(yè)形象，考慮到其違法行為已然受到社會(huì)公眾的關(guān)注，為了降低銷售納粹紀(jì)念品所帶來(lái)的聲譽(yù)損害，阻止商業(yè)訂單下降的趨勢(shì)，雅虎公司最終選擇自覺(jué)執(zhí)行法國(guó)法院的判決[31]。個(gè)人數(shù)據(jù)保護(hù)與言論自由的價(jià)值沖突是難以通過(guò)強(qiáng)制手段化解的。雖然公眾輿論并沒(méi)有法律效力，但是與“硬”措施的相互結(jié)合，可以彌補(bǔ)價(jià)值沖突的漏洞，從而有助于司法判決的真正實(shí)施。

提高行政處罰或司法判決的透明度是充分發(fā)揮公眾輿論的有效措施。眾所周知，我國(guó)網(wǎng)民數(shù)量眾多，針對(duì)跨國(guó)企業(yè)違反數(shù)據(jù)保護(hù)行為的處罰或判決極易引起輿論關(guān)注，而透明度的高低會(huì)直接關(guān)系到輿論宣傳的效果。我國(guó)網(wǎng)信部門或司法機(jī)關(guān)可以借助各方媒體平臺(tái)，及時(shí)公布個(gè)人信息處理者違法行為的具體表現(xiàn)、危害、裁決依據(jù)以及裁決結(jié)果。提高透明度可以產(chǎn)生兩方面效果：第一，起到威懾作用；第二，進(jìn)一步損害該個(gè)人信息處理者的商業(yè)信譽(yù)，降低其社會(huì)評(píng)價(jià)，影響其盈利[30]300。利用輿論這一“軟”措施已經(jīng)得到國(guó)外數(shù)據(jù)保護(hù)機(jī)構(gòu)的重視，如英國(guó)ICO 在其網(wǎng)站上發(fā)布執(zhí)法通知以供記者查找，旨在讓媒體對(duì)執(zhí)法活動(dòng)進(jìn)行報(bào)道[30]300。因而，利用輿論這一“軟”措施，強(qiáng)化宣傳新型的或嚴(yán)重的個(gè)人數(shù)據(jù)違法處理行為，使位于境外的個(gè)人信息處理者不得不面臨負(fù)面宣傳所帶來(lái)的輿論壓力，從而促使其自覺(jué)履行法院判決。

綜上，即使司法判決在境外無(wú)法得到承認(rèn)與執(zhí)行，“硬”措施與“軟”措施的相互結(jié)合，以中國(guó)市場(chǎng)為籌碼，可以促使境外個(gè)人信息處理者自覺(jué)履行義務(wù)，達(dá)到保護(hù)個(gè)人數(shù)據(jù)的效果。

五、結(jié)語(yǔ)

個(gè)人數(shù)據(jù)域外管轄權(quán)的擴(kuò)張已經(jīng)在全球范圍內(nèi)普及，在保護(hù)個(gè)人數(shù)據(jù)的同時(shí)，已然引發(fā)了域外執(zhí)法管轄與司法管轄的沖突。在互聯(lián)網(wǎng)、大數(shù)據(jù)技術(shù)飛速發(fā)展的背景下，個(gè)人數(shù)據(jù)域外管轄權(quán)的單邊擴(kuò)張具有內(nèi)在動(dòng)因，國(guó)際合作機(jī)制的局限意味著這一擴(kuò)張趨勢(shì)將長(zhǎng)期存在。相比于一味地“防守”，我國(guó)更重要的是構(gòu)建個(gè)人數(shù)據(jù)域外管轄的進(jìn)取型路徑，平衡他國(guó)主權(quán)利益與我國(guó)域外管轄的現(xiàn)實(shí)需求。在參與構(gòu)建跨境個(gè)人數(shù)據(jù)保護(hù)執(zhí)法機(jī)制的同時(shí)，細(xì)化司法判決域外實(shí)施的補(bǔ)充措施，促使境外個(gè)人信息處理者履行義務(wù)。

注釋：

①參見(jiàn)Joined cases Peter Pammer v Reederei Karl Schlüter GmbH & Co. KG（C-585/08）and Hotel Alpenhof GesmbH v Oliver Heller（C-144/09）。

②由于各國(guó)所頒布的法案名稱并不相同，但法案核心均在于保護(hù)個(gè)人數(shù)據(jù)，因而本文將此類法案統(tǒng)稱為個(gè)人數(shù)據(jù)保護(hù)法案。

③《個(gè)人信息保護(hù)法》第三條第二款：在中華人民共和國(guó)境外處理中華人民共和國(guó)境內(nèi)自然人個(gè)人信息的活動(dòng)，有下列情形之一的，也適用本法：（一）以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的；（二）分析、評(píng)估境內(nèi)自然人的行為；（三）法律、行政法規(guī)規(guī)定的其他情形。

④《個(gè)人信息保護(hù)法》并未采取“數(shù)據(jù)控制者或處理者”的稱謂，而是統(tǒng)一稱為“個(gè)人信息處理者”。

⑤參見(jiàn)Google LLC，successor in law to Google Inc.v Commission nationale de l’informatique et des libertés（CNIL）（C-507/17）。

⑥參見(jiàn)Google LLC v. Equustek Sols. Inc.（N.D. Cal.Nov. 2，2017）。

⑦參見(jiàn)Vidal-Hall & Ors v Google Inc [2014]EWHC 13（QB）。

⑧參見(jiàn)International Shoe Co.v.Washington，326 US 316（1945）。

⑨參見(jiàn)Helicoptoros Nacionales De Columbia，S.A. v Hall，466 U.S.（1984）。