個人數據保護之沖突規則研究

肖 夏

個人數據保護由于涉及各國憲法層面的價值選擇，導致實體法之間的差異難以協調。為了緩解這種實體規則差異導致的法律漏洞及法律沖突，尋求更具科學性及實用性的沖突規則就變得尤為重要?，F有一般沖突規則是否能夠滿足個人數據保護領域特殊的調整需求及價值目標，特殊的連結點如何選取及適用，特殊沖突規則與一般沖突規則如何排序等問題，均需考察及論證。

一、個人數據保護領域沖突規則的價值目標

沖突規則是為了解決國際法律沖突而存在的，其所追求的價值目標分為形式正義和實質正義兩個層面：形式正義即實現法律適用的確定性和可預見性，實質正義即實現法律適用結果的正當性。具體到個人數據保護領域的沖突規則，其所追求的實質正義目標與數據保護實體法規則并無不同?？v觀當今世界主要的數據保護立法文件，可發現均以實現“數據保護”和“數據流通”的雙重價值追求為目標。因而，不同于一般沖突規則所追求的單一實質正義，如物權領域的產權保護、合同領域的交易安全等，數據保護領域的沖突規則需要實現的實質正義是雙重價值目標的平衡。正是這種特殊的價值追求導致數據保護領域的沖突規則需要比一般沖突規則面臨更復雜的協調要求：它不但需要協調沖突規則本身形式正義和實質正義之間的沖突，還需要協調實質正義層面數據保護與數據流通之間的沖突。

歐盟委員會在歐盟數據保護指令①Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data,at:,accessed 15 July 2018.［hereinafter referred to as Directive 95/46/EC］的解釋性備忘錄中明確指出法律適用條款的任務主要在于避免兩種可能：數據主體因控制人刻意規避法律而處于所有保護體系之外，同一數據處理行為受到兩個以上國家法律的規制。②European Commission,“Amended proposal for a Council Directive on the protection of individuals with regard to the processing of personal data and the free movement of such data”,COM(92)422 final-SYN 287,p.13.很明顯，雖然對數據主體的保護十分重要，但法律的確定性及減輕數據控制人守法負擔的要求亦是選擇連結因素的重要考量依據。正如部分學者指出的，數據保護領域復雜的平衡需求導致傳統國際私法所能提供的解決方案十分有限，③See Jiahong Chen,“How the Best-laid Plans Go Away:the(Unsolved)Issues of Applicable Law in the General Data Protection Regulation”,in International Data Privacy Law,2016,Vol.6,No.4,p.321.需要進一步探索這一領域專門的沖突規則。這一專門沖突規則不僅應在技術上解決數據位置難以確定的困難，還應特別關注到數據主體在數據交易和流通中的弱勢地位。

二、個人數據保護領域的專門沖突規則及其完善

數據保護領域的專門沖突規則主要指以“數據控制人機構設立地”作為連結點的沖突規則。這一規則來源于歐盟1995年通過的數據保護指令第4（1）（a）條。根據該條的規定，適用控制人機構設立地國法的前提是：控制人在成員國境內設有一個機構，數據處理系在該機構活動范圍內實施。④See Arts 4(1)(a)of Directive 95/46/EC.歐洲法院因而需承擔起兩項解釋任務：其一是解釋“機構（establishment）”并明晰構成指令意義上的“機構”所需要的最低條件；其二是解釋機構“活動范圍內（in the context of activities）”，并進而決定哪一個機構設立地與數據處理最相關。然而，通過對歐洲法院近年判例的梳理可發現，這一標準在適用時面臨一些自我矛盾的困境，可能會帶來法律選擇結果價值取向的偏差。

（一）控制人機構設立地法的適用困境

1.對控制人“機構”的解釋缺乏明確界限

關于“機構”這一概念，指令本身并沒有明確定義。指令前言19條中闡述“在一成員國領土上設立機構意味著通過穩定的安排實施真實有效的活動”并且“其法律形式——是否為具有獨立法律人格的分支或附屬機構，并不是構成指令第4條意義上‘機構’的決定性因素”。⑤See Ecital 19 of Directive 95/46/EC.歐洲法院在其一系列判決中沿用了這一解釋，并進一步加以說明。

Weltimmo案⑥Weltimmo案的主要案情是：在斯洛伐克注冊的Weltimmo公司經營了一個網站，售賣葡萄牙境內的房產。為了這一目的，Weltimmo需要處理這些房產的廣告商的個人數據。Weltimmo為潛在廣告客戶提供一個月的免費廣告以鼓勵他們簽署服務，但在一個月后卻忽視所有要求取消合同的申請，繼續提供廣告服務。當廣告客戶拒絕支付費用時，Weltimmo公司就把客戶的信息移轉給一家討債公司。由此引發了糾紛。中，一家房地產中介公司在斯洛伐克登記注冊，但卻在網站上使用匈牙利語言銷售匈牙利境內的房產。該公司在其注冊的地方未開展任何活動，⑦Case C-230/14 Weltimmo(CJEU,1 October 2015)ECLI:EU:C:201 5:639,para 16.［hereinafter referred to as Weltimmo judgment］.并且頻繁變更注冊地以逃避數據保護監管。①para 11-12 of the Weltimmo judgment.歐洲法院為了防止Weltimmo逃避歐盟法的監管，對“機構”的定義進行了擴張解釋，認為公司一名代表在匈牙利常駐的事實就足以滿足“安排穩定性”標準的要求，“該代表通過必要的設施在匈牙利境內提供特定服務，行為已符合穩定性標準”。②para 28 of the Weltimmo judgment.歐洲法院還進一步指出，即使僅有“最低限度（a minimal one）”③para 31 of the Weltimmo judgment.真實而有效的活動通過穩定性安排實施，也足以達到第4條意義上“機構”的標準。由于Weltimmo營運著數個有關匈牙利房產的不動產交易網站，這些網站使用匈牙利語，并對超過一個月以上的廣告收取費用，可以認為這個公司在匈牙利實施了真實而有效的活動。④para 32 of the Weltimmo judgment.

亞馬遜案⑤主要案情是：一個奧地利的消費者權益保護組織（VKI）在奧地利法院起訴亞馬遜（歐盟），指控該公司電子商務合同中的一般性條款和條件屬于濫用權力，并要求奧地利法院禁止相關條件使用。亞馬遜（歐盟）設立于盧森堡，隸屬于一個國際郵購集團（亞馬遜集團）。這一盧森堡公司通過域名擴展名為“.de”（德國域名）的網站向消費者提供服務，它同時也通過簽訂電子銷售合同向奧地利消費者銷售產品。爭議條款中有一項規定盧森堡法律是解決亞馬遜（歐盟）與其客戶之間糾紛的準據法；另一項條款規定，買方提供的個人資料將與亞馬遜集團的其他公司以及經濟信息機構交換。案件在經過一、二審之后，奧地利最高法院在審理過程中向歐洲法院提出先行裁決申請。中，歐洲法院參照Weltimmo案的判決，再次重申“機構”這一概念應當被寬泛地解釋為包含“實施任何真實有效活動的穩定安排，哪怕是最小的一種”。⑥Case C-191/15 Verein fur Konsumenten Information v Amazon EU 5rl (CJEU, 28 July 2016) ECL:EU:C:2016:612,para 75.[hereinafter referred to as Amazon judgment]歐洲法院法律總顧問認為，在奧地利（消費者所在地）境內恐怕并不存在一個與數據處理相關的亞馬遜機構，單純的網站可訪問性不能構成所謂的“機構”，應該選擇的準據法要么是盧森堡［亞馬遜（歐盟）公司注冊地］法律，要么是德國（網站域名擴展名標示地）法。由于奧地利消費者訪問的是亞馬遜的德國域名網站（www.amazon.de），通過這種數據處理的特定安排，德國成為與數據處理相關的機構設立地。⑦Opinion of the Advocate General Saugmandsgaard Oe,in Case C-191/15 Verein fur Konsumenten Information v Amazon EU 5rl(CJEU,2 June 2016)ECLI:EU:C:2016:388,para 119.［hereinafter referred to Amazon EU,Opinion of the Advocate General Saugmandsgaard Oe］最終，歐洲法院采納了法律總顧問的意見，為構成“機構”的標準劃定了新的界限：一方面，建立一個分支或附屬機構并不一定滿足指令對“機構”設立的要求；另一方面，僅僅網站在某一成員國可訪問的事實本身也并未達到在該成員國設有“機構”的標準。法庭通過此案判決明確指出單純的網站可訪問性是不足以形成“機構”的物理存在的，為原本寬泛的解釋標準設置了一定的限制。

從上述分析可知，歐洲法院雖然明確了“機構”設定的兩個要件——“穩定的安排”和“真實有效的活動”，但卻未闡明“穩定”的程度和“活動”的限度。此外，為了消除歐盟法的監管盲點，歐洲法院對“機構”做出了超出常規范圍的擴張性解釋，無疑更加削減了控制人機構設立地標準的確定性。

2.對控制人“活動范圍”的解釋寬窄不一

2014年的谷歌西班牙（Google Spain）案中，歐洲法院發現數據處理并未在歐盟境內谷歌的任何機構控制下實施。為了避免谷歌（總部設立于美國）逃避歐盟數據保護法規的監管，歐洲法院對“in the context of”進行了寬泛的解釋，認為谷歌（西班牙）有關廣告空間的商業營銷活動與谷歌搜索引擎運營中所發生的數據處理行為“不可分割地聯系在一起”，因此滿足了第4（1）（a）條對數據處理屬于控制人所設機構“活動范圍內”的要求。⑧Case C-131/12 Google Spain and Google (CJEU,13 May 2014) ECLI:EU:C:2014:317,para 56.［hereinafter referred to as Google Spain judgment］

Weltimmo案中，歐洲法院參照了谷歌（西班牙）案的判決，重申對“in the context of”應進行寬泛的解釋，該標準并不要求數據處理行為一定是由控制人機構自己實施，但是數據處理必須與該機構的業務活動有密切的聯系。①Para 78 of the Amazon judgment.

然而，與上述兩案相反的是，在德國臉書訴石勒蘇益格-荷爾斯泰因數據保護局案中，德國行政法院認為，臉書在歐盟內部有兩個符合指令第4（1）（a）條規定的潛在機構，可適用的法律將由與數據處理行為“有最密切聯系”的機構所在地決定。法院最終判定德國法并不應適用于臉書對德國用戶的數據處理行為，因為臉書的德國子公司并沒有實際處理數據，只負責公共關系和市場營銷。②Case 8 B 60/12 Facebook Ireland Ltd.v Independent Data Protection Authority of Schleswig-Holstein,Germany,para 6.［hereinafter referred to as Facebook Ireland judgement］See from Carlo Piltz,“Facebook Ireland Ltd./Facebook Inc.v Independent Data Protection Authority of Schleswig-Holstein,Germany—Facebook is not subject to German Data Protection Law”,in International Data Privacy Law,2013,Vol.3,No.3,p.211.而臉書的愛爾蘭子公司負責處理歐洲用戶的數據信息，所以愛爾蘭法才應是排他適用的準據法。③Para 7 and 9 of Facebook Ireland judgement.然而，值得注意的是，谷歌案中歐洲法院認為在成員國境內銷售廣告空間就足以建立起谷歌與該成員國之間的聯系。如臉書案亦適用該標準，則似乎德國法亦可以成為準據法。因為臉書德國分公司雖未處理數據卻從事了大量商業活動，符合谷歌案所建立的標準。這樣就會導致德國法與愛爾蘭法的雙重適用問題。

此外，在亞馬遜案中，歐洲法院法律總顧問認為該案的一個特殊之處在于，“歐洲法院在谷歌（西班牙）案中對指令第4（1）（a）條的擴張性解釋不能適用于此案。除了事實上的不同之外，前案需要評價相關數據的處理是否由指令建立的保護框架所涵蓋，而本案則需要確定若干成員國法律，哪一個適用于數據處理行為。也就是說需確定哪個（控制人）機構經營范圍內的活動與數據處理最相關”。④See Amazon EU,Opinion of the Advocate General Saugmandsgaard Oe,para.125.法律總顧問最終排除了奧地利法的適用，認為雖然被處理的是奧地利消費者的數據，但是亞馬遜（歐盟）合同的一般性條款中第6、9和11條規定的內容（有關數據保護）與其在奧地利提供的售后服務沒有任何直接聯系。⑤See Amazon EU,Opinion of the Advocate General Saugmandsgaard Oe,para.125.歐洲法院雖然最終將數據保護法律選擇的問題留給了奧地利法院自己決定，但對法律總顧問的意見卻予以全盤接受，并在其答復中兩次引用。⑥See the Amazon judgment,at para.76 and 80 as regards the views on the application of Directive 95/46/EC.

通過對前述案例的分析，可以發現：由于裁判目的的不同，歐洲法院在谷歌案和Weltimmo案中對“in the context of activities”的擴展性解釋方法在臉書案和亞馬遜案中并未采用。因為前兩案中，控制人在歐盟內部均未設有超過一個以上的機構，因此無須判斷哪一機構與數據處理行為有更密切的聯系；相反，如果控制人在歐盟內本就設有一個以上的機構，依照此種擴張性解釋可能會產生多個與數據處理有聯系的機構，導致法律的重疊適用。這種相互矛盾的工具性解釋方法，將使當事人無所適從，嚴重降低控制人機構設立地規則的科學性。

（二）以價值目標為指引調整控制人機構設立地規則

1.避免不當的擴張性解釋

正如前文所述，從平衡實質正義與形式正義價值的角度出發，避免控制人逃避法律監管以及各國法律的重疊適用，是確定法律選擇規則的主要標準。因此，控制人設立地標準的建立應當限制在恰當范圍以內，不能將歐洲法院在谷歌案和Weltimmo案中的擴張性解釋作為判定“機構與數據處理間密切聯系”的普遍標準。法院必須在事實的基礎上，通過考量處理操作的“目的（purpose）”和“方式（means）”判定哪一個機構擔負著關鍵的數據處理角色。如果爭議所涉數據處理行為與某一機構的聯系明顯大于另一機構，則前者就應當被視為掌握數據控制的關鍵角色，只有該機構設立地的法律才能規制當前的數據處理行為。①Paul Lefebvre，Cecilia Lahaye,“EU Data Protection and the Conflict of Laws:The Usual Bag of Tricks or a Fight against the Evasion of the Law”,in Defense Counsel Journal,2017,Vol.84,No.3,p.20.這里的數據處理“方式”不僅與技術問題（例如是使用硬件還是軟件），還與僅能由數據控制人處理或回答的核心實質問題相關，例如“哪些數據應被處理”“處理這些數據需要多長時間”，以及“誰可以獲得這些數據”等。

需要注意的是，歐盟通用數據保護條例（General Data Protection Regulation，簡稱GDPR）增添了“主要機構（main establishment）”②See Arts 4(16)of Regulation(EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons with Regard to the Processing of Personal Data and on the Free Movement of Such Data[hereinafter referred to as GDPR].該條規定：“控制人主要機構是其在歐盟的主要管理地,除非另一個控制人機構決定了個人數據處理的目的和手段,且后者有權實現這樣的決定。在這種情況下,做出此種決定的機構被認為是主要的機構?！钡母拍?，被一些人認為是解決法律多重適用的曙光。然而，應當注意的是，GDPR屬于公法性質的規則，其設定控制人“主要機構”的目的在于確定控制人在歐盟的主導數據監管當局，這是建立在GDPR實體標準高度統一和一站式（one-stop-shop）爭端解決要求的基礎之上的。雖然選擇主要機構作為唯一的連結因素，將法律適用問題與主要監管當局的權限捆綁起來可大幅提高法律選擇的確定性，但卻忽視了國際私法對于法律關系最密切聯系的需求，不僅會為控制人“挑選法院”提供機會，更可能剝奪對數據主體的合理保護。

2.增補控制人機構設立地法的逃避條款

歐盟委員會在其2008年公布的《27成員國關于侵害隱私及與人格有關權利而生之非合同之債法律適用狀況的比較研究》（以下簡稱《歐盟27國比較研究報告》）中指出：“以控制人設立地法為準據法的主要目標在于減輕跨國公司的成本。這一連結因素的選擇因此被視為一種‘經濟性考量’?！雹跾ee“Comparative study on the situation in the 27 Member States as regards the law applicable to non-contractual obligations arising out of violations of privacy and rights relating to personality”,(2009) JLS/ 2007/C4/028,Final Report accessed 15 July 2018,pp.64-65.［hereinafter referred to as Report of EU 27 National Comparative study］不可否認，單一的控制人機構設立地法過于偏向對數據流通價值的關注，必須尋求其他的法律選擇規則作為逃避條款，才能矯正數據保護和數據流通價值之間的失衡狀態。一個可以考慮的選項是“目標/指向”規則。在亞馬遜案中，奧地利最高法院向歐洲法院提出的先行裁決申請包含一個重要的問題：“根據歐盟數據保護指令的規定，控制人在電子商務交易中從事的數據處理行為是否應當由控制人業務活動所指向的成員國的法律來規制？”④Para 70 of the Amazon judgment.指令第29條工作組（以下簡稱A29WP）曾建議參考《布魯塞爾條例Ⅰ》第17（1）（c）條關于消費者合同司法管轄權方面的規定設置數據保護領域新的法律選擇規則。⑤Article 29 Data Protection Working Party,Opinion 8/2010 on Applicable Law,0836-02/10/EN WP179,Dec.16,2010,p.31根據該規則，消費者合同的對方當事人以任何方式針對消費者住所地成員國或者針對包括該成員國在內的幾個國家從事商業或職業活動，且該合同屬于這些活動的范圍之內，則消費者得在其住所地法院起訴對方。⑥See Art.17(1)(c)of Regulation(EU)No 1215/2012 of the European Parliament and of the Council of 12 December 2012 on Jurisdiction and the Recognition and Enforcement of Judgments in Civil and Commercial Matters,at:,accessed May 15,2019.［hereinafter referred to as Regulation(EU)No 1215/2012］這一規則以消費者住所地國為起點，如果套用于數據保護法律適用方面，必然將法律選擇的天平適度調向數據主體一方。由此，可以將控制人機構設立地法的逃避條款設置為：“如果控制人的經營活動指向數據主體住所地或慣常居所地國，且數據處理活動發生在其經營活動范圍以內，則該國的數據保護法應當適用?！?/p>

三、個人數據保護領域專門沖突規則與一般沖突規則的協調

個人數據保護領域的訴訟類型包含行政訴訟、民事訴訟和刑事訴訟三種。其中，只有數據主體或其集體代表人起訴數據處理（控制）者的索賠訴訟才涉及法律選擇或沖突法的問題。這類私法訴訟包含契約之訴和非契約之訴兩類。個人數據保護領域專門沖突規則的出現，必然帶來一個問題——如何協調專門沖突規則與傳統契約之訴、侵權之訴中一般沖突規則的關系。

（一）個人數據保護契約之訴中沖突規則的協調

個人數據保護領域的契約分為數據主體與數據控制人之間簽訂的購買商品或服務的消費者合同、數據主體和數據控制人之間簽訂的商業或專業合同。①See Maja Brkan,“Data protection and European Private International Law:Observing a Bull in a China Shop”,in International Data Privacy Law,2015,Vol.5,No.4,p.260.這兩種合同的沖突規則顯然應有一定的區別。

1.消費者合同方面沖突規則的協調

出于對消費者弱勢地位的考慮，世界主要國家在管轄以及沖突法方面均采用特殊的規則對消費者施以適當傾斜：消極方面，規定可排除對消費者不利的協議約定準據法；積極方面，傾向于選擇消費者慣常居所地法為準據法。數據主體與數據控制者（或處理者）之間達成的契約，在很多國家被歸類為消費者合同。美國聯邦貿易委員會（Federal Trade Commission，FTC）1914法案第5部分授權FTC處理對消費者不公平和欺騙性的行為，該法案同一部分也同時授權FTC保護消費者隱私相關的權利。②See P.Bernal,Internet Privacy Rights.Rights to Protect Autonomy,New York:Cambridge University Press,2014,p.113.雖然數據保護法在歐盟并未被視為消費者法律的一部分，但事實上相當一部分有關數據保護的民事訴訟涉及個人為私人目的在網上與數據控制人簽訂合同購買貨物或服務，只要他的數據是在合同的框架內處理的，那么他就可以依賴《布魯塞爾條例Ⅰ》第18條的規定主張作為消費者向其住所地的法院起訴數據控制人。③See Arts 18(1)of Regulation(EU)No 1215/2012.該條規定：消費者可以在其所在國的法庭上對合同另一方當事人提起訴訟，無論對方的住所在哪里。

基于此，數據主體可以要求推翻數據控制人提供的消費合同中約定的對己不利的準據法。亞馬遜案中，歐洲法院在先行裁決中認定“如果消費者沒有被告知其可以援引《羅馬規則Ⅰ》第6（2）條④Arts 6(2)of Rome I.該條規定當事人所做的法律選擇不得剝奪消費者慣常居所地國法律的強制性規則對其提供的保護。享受強制性法律條款的保護，那么合同中關于法律適用的約定條款應該被認為是不公平的?！雹軸ee para 71 of the Amazon judgment.此處歐洲法院即是通過消費者保護法的特殊規定排除了合同約定的準據法。然而，在排除了合同約定的盧森堡法后，歐洲法院卻在判定奧地利不能成為亞馬遜機構設立地之一的基礎上，同樣排除了消費者慣常居所地（奧地利）法的適用。這樣僵化適用控制人機構設立地法所帶來的不良后果是，數據主體可能會越來越多地被迫在外國法律下尋求救濟，相比于其他領域的消費者，反而電子消費領域的消費者在尋求權利保護方面較為不利。⑥Maja Brkan,“Data Protection and European Private International Law”,in EUI Working Papers,Robert Schuman Centre for Advanced Studies,RSCAS 2015/40,p.15.因而，適當地適用逃避條款，在數據控制人經營活動指向數據主體慣常居所地法時，適用該法，才能實現跨境電子消費領域管轄與法律適用的平行對應。由此可得出結論，這種包含逃避條款的專門沖突規則與消費者合同一般沖突規則之間并不存在矛盾。

2.非消費者合同方面的沖突規則協調

如數據主體不符合消費者的條件，其與數據控制人訂立的合同包含有專業或商業的因素，則應遵循一般合同領域的法律適用規則。首當其沖的沖突規則自然是當事人意思自治選擇的法律。然而，關于合同雙方能否自由選擇適用于數據處理及合同框架內數據保護違約行為的數據保護法的問題，目前存在一定的爭議。

德國臉書案中，德國法院認為雖然臉書服務合同的一般性條款中包含了法律適用條款，約定針對德國用戶應適用德國法，但在處理國際案件時，只有歐盟指令的第4條和德國聯邦數據保護法案第5（1）條決定的數據保護法可適用。這些條款屬于《羅馬規則Ⅰ》第9條意義上的強制性條款。①Para 4-5 of Facebook Ireland judgment.德國法院的推理似乎起始于基本權利的觀點，認為：既然個人數據保護權屬于基本權利的范圍，指令系對這一基本權利的具體化，那么當事人就不得以約定偏離基本權利或其實施規則。②Jan-Jaap Kuipers,EU law and private international law:the interrelationship in contractual obligations,Boston,Martinus Nijhoff Publishers,2011,at:accessed 20 July 2019,p.75.遺憾的是，雖然德國聯邦最高行政法院向歐洲法院提出了先行裁決申請，歐洲法院卻未對數據保護規則是否屬于強制性條款作出處理。③Para 4 of Facebook Ireland judgment.此外，當前歐盟部分學者亦認同數據保護規則符合《羅馬規則Ⅰ》第9條有關強制性法律規定的要求，可以被視為“一國維護其公共利益的關鍵”，畢竟無論是個人數據的自由流通還是公民的數據權均是重要的公共利益。④See Maja Brkan,“Data Protection and European Private International Law”,in EUI Working Papers,Robert Schuman Centre for Advanced Studies,RSCAS 2015/40,p.31.Also See Carlo Piltz,“Facebook Ireland Ltd./Facebook Inc.v Independent Data Protection Authority of Schleswig-Holstein,Germany—Facebook is not subject to German Data Protection Law”,in International Data Privacy Law,2013,Vol.3,No.3,pp.210-212.雖然在非消費者合同領域，很難說數據主體相比較數據控制人一定是交易中的弱者，不需要像消費者保護法一樣使用強行性條款對其特殊照顧；但不可否認的是，各國數據保護法規已然在數據流通和數據保護兩項價值之間進行了平衡取舍，能夠在一定程度上體現該國在此領域公共價值追求的統一方向。如果允許當事人在控制人機構設立地國法或數據主體慣常居所地法，甚至是不相干的第三國法間自由取舍，自然會有損該國政策目標的實現。實踐中，只要雙方約定的準據法剝奪了任何一方依據本來應該適用的數據保護法（專門沖突規則所指向的準據法）規定的權利，該約定均應無效。

（二）個人數據保護非契約之訴中沖突規則的協調

當代侵權沖突法由三種規則組成，分別是一般規則（即侵權行為地法），作為一般規則的例外規則(即共同屬人法之例外與最密切聯系原則之例外)以及特殊規則(例如產品責任、知識產權侵權或不正當競爭等的法律適用規則)。數據主體對于個人數據擁有人格權和財產權的雙重權益，各自承載或實現不同的功能。⑤參見龍衛球：《數據新型財產權構建及其體系研究》，《政法論壇》2017年第4期，第63—77頁。從這一點而言，應將個人數據保護領域的侵權之訴分為數據人格權侵權之訴與數據財產權侵權之訴。

1.數據人格權侵權之訴中沖突規則的協調

人格權侵權之訴因涉及憲法層面及引發多地損害的問題而有其特殊性，導致該領域有關侵權行為實施地法與損害結果發生地法的爭論經久不衰。目前各國對該領域的法律適用規則并無統一規定，歐盟《羅馬條例Ⅱ》回避了這一問題，美國各州對隱私侵權的法律選擇規則亦不相同。歐洲議會法律事務委員會在2012年公布的《關于修改非合同之債法律適用的歐共體第864/2007號條例的最終報告及對委員會之建議》（以下簡稱《最終建議案》）⑥Draft Report with Recommendation to the Commission on the Amendment of Regulation (EC) No 864/2007 on the Law Applicable to Non-Contractual Obligations(Rome II),A7-0152/2012,at:accessed 20 July 2019.中規定，對隱私權和其他相關人格權，包括毀譽所生非合同之債的法律適用問題，原則上適用損失或損害的一個或多個最重要聯系因素所在地國法；如被告不能合理預見其行為在前款指定國家的實質性結果時，應適用被告慣常居所地國法。①劉仁山：歐盟平衡人格權與言論自由的立法實踐——以人格權侵權法律適用規則之立法嘗試為視角，《環球法律評論》2014年第6期，180頁。這一建議是歐盟各國在反復搖擺及多年討論后達成的最新結論。它將偏向于受害人的損害結果發生地法作為人格權侵權之訴的首選，而偏向于加害人的被告慣常居所地法則成為逃避條款。這顯然與個人數據保護領域以控制人機構設立地為核心的法律選擇規則相反。

歐盟委員會于《歐盟27國比較研究報告》中對加害行為實施地和損害結果發生地之間的分歧進行了詳細的比較法分析，指出：在媒體侵犯人格權的非契約之訴領域，對實體法規則最低限度的協調是正當化出版人機構設立地標準的決定性因素。②See Report of EU 27 National Comparative Study,p.146.在非契約之訴中受害人對于加害行為的發生一無所知更沒有與加害人協商的能力，反而是加害人掌握了行動的所有主動權。在這種本就不公平的情況下，如果以出版人機構設立地法為準據法，意味著出版人可以通過選定設立地點的方式在損害發生之前就事先確定對自己最為有利的法律。正是基于此，為保證沖突規則的適用能夠實現雙方當事人間最低限度的利益平衡，應選擇損害結果發生地法作為人格權侵權之訴的準據法。然而，損害發生地標準要求出版人在遵守設立地國法的基礎上還要保證遵守所有潛在受害人所在國的法律，實屬強人所難；且當損害在多國同時發生時，會產生多重法律適用的問題?？紤]到這種左右兩難的境況，應通過確立一些實體法上的最低共同標準來糾正市場上的不平等或缺陷，為人格權利受侵犯的受害人提供相同的最低保護水平，引導經營人放棄伺機擇法的投機主義行為。歐盟數據保護指令正是實體法和沖突法互為補充的成功例子，指令之所以能夠在第4條中包含控制人機構設立地標準是以實現數據保護領域實體性規則一定程度的協調為前提的。③See Report of EU 27 National Comparative Study,p.148.這里，報告將控制人機構設立地法的合理性歸結于實體規則對基本權利的保障。

但我們應當認識到，損害結果發生地法面臨的最大問題是法律域外適用所帶來的執行困難。理論上任何國家的數據保護法都可以對其意圖規制的對象產生域外效力，只要糾紛屬于該國管轄的范圍。實際上，在實踐中亦有相當一部分國家（如德國、波蘭、法國、南斯拉夫、葡萄牙）在媒體侵犯人格權的非合同之債領域堅持以加害行為實施地法為核心沖突規則，同時規定了“加害人可預見后果發生地”等適用損害結果發生地法的例外情況和條件。④See Report of EU 27 National Comparative Study,p.89.同樣為受害人保留了在其利益中心尋求救濟的機會，彌補了加害行為實施地國實體法上對受害人保障的欠缺。由此可見，在數據人格權侵權領域保留控制人機構設立地法的首選地位并無不妥，只要同時補充以損害結果發生地法為“逃避條款”，并設置適當的適用條件。另外，受害人的慣常居所地作為受害人人格利益最集中的地方，是損害發生地法的重要表現形式，且消除了損害多地同時發生的法律重疊適用問題。而以“控制人經營活動指向”為限制條件，比單純的“加害人可預見”更加具體和精確，在技術上更能發揮過濾作用。因而，以“目標/指向”為限制條件的數據主體慣常居所地法是數據人格權侵權之訴最為適當的逃避條款。

2.數據財產權侵權之訴中沖突規則的協調

數據財產權具有無形性和非獨占性的特征，使其與一般有形物之財產權區分開來，為“侵權行為地法”規則的適用帶來一些挑戰：一方面數據“無形”導致侵權損害結果的地點難以確定和容易多發，減損了損害結果發生地法適用的準確性；另一方面，數據的“非獨占”導致加害行為與領土之間的聯系極為模糊，違法數據處理行為可遠距離實施，且在不同國家間同時進行。此時再堅持加害行為實施地標準就可能導致多國法律的重疊適用，減損法律適用結果的可預測性。在個人數據跨境流通的背景下，加害行為實施地這一連結點應具體化為個人數據處理行為的發生地。實踐中數據處理行為的發生地通常表現為數據控制人機構設立地。此時，以數據控制人設立地取代侵權行為實施地法，可以避免違法行為發生地難以確定或違法行為多地同時發生所帶來的法律選擇的不確定性。①See Report of EU 27 National Comparative Study,p.64.此外，通過設置數據處理行為與控制人機構之間的從屬性要求，可建立機構設立地與侵權行為之間的密切聯系，中和設立地標準所帶來的“挑選法院”問題。更為重要的是，數據新型財產權是近年來引起關注和討論的新課題，其表現形式和法律屬性尚在探索與研究階段，②參見李愛君：《數據權利屬性與法律特征》，《東方法學》2018年第3期，第64—74頁。從而導致數據人格權和數據財產權在一些情形下難以明確劃分。③例如，數據出口人和進口人未經允許以第三人的非敏感信息進行交易，可以視為侵害了第三人的數據人格權，亦可以視為侵害了數據財產權。此時，如果以控制人設立地法取代侵權行為實施地法作為數據財產權侵權之訴的核心沖突規則，就可以實現數據保護領域侵權沖突規則的統一，從而繞開數據人格權和數據財產權難以區分的難題。

另外，侵權行為地法這一一般規則時常會附帶一個基于最密切聯系標準的逃避條款。然而，在數據保護領域，最密切聯系原則適宜作為法律適用的指導性原則，卻不適宜作為逃避條款。實際上，最密切聯系原則已體現于控制人機構設立地規則之中。如上文所述，歐盟指令第4（1）（a）條所規定的設立地就是與數據處理行為聯系最密切的設立地。且在控制人機構設立地法對數據主體保護不周時，適用數據主體慣常居所地法亦是最密切聯系原則的一種體現。另外，最密切聯系這一逃避條款的存在雖然增加了法律選擇的靈活性，但也意味著降低了法律選擇的可預測性。當今網絡環境下，數據信息泄漏或傳播原本就牽涉范圍廣泛，難尋軌跡，除卻與數據處理及損害發生相關的地點之外，再另留活口既無必要，又可能帶來不可預期的后果。

四、啟示：我國個人數據保護領域沖突規則的完善

我國個人數據保護領域并未有專門的沖突規則，2010年通過的《涉外民事關系法律適用法》（以下簡稱《法律適用法》）第46條是我國立法機關首次就網絡人格權侵權的法律適用問題作出明確規定，也是我國個人數據權侵權之訴能夠直接援引的核心沖突規則。此外，第42條有關消費者合同的法律適用規則，以及第44條的侵權責任法律適用規則也可以在一定條件下援引。但相關規則具體到個人數據保護方面均有值得商榷的地方。

（一）增加“控制人機構設立地”作為個人數據權侵權之訴的連結點

根據上文所述可知，按照《法律適用法》第46條規定將受害人慣常居所地作為數據權侵權之訴的唯一連結點，存在以下幾個問題：首先，將造成跨國公司守法成本過高，影響數據流通和信息產業在我國的發展。其次，減損法律適用結果的穩定性和可預見性，加劇國際范圍內數據保護法律的沖突。第三，將造成域外效力的過度擴張以及跨境法律執行的困難。正如歐盟指令第4（1）（c）條以及GDPR第3（2）條④Arts 3(2)of GDPR.該條規定：本條例適用于對歐盟內的數據主體的個人數據處理，即使控制者和處理者沒有設立在歐盟內，其處理行為：(a)發生在向歐盟內的數據主體提供商品或服務的過程中，無論此項商品或服務是否需要數據主體支付對價；或(b)是對數據主體發生在歐盟內的行為進行的監控。被指責域外效力過度擴張，違反了國際禮讓原則，⑤參見Omer Tene and Christopher Wolf,“Overextended:Jurisdiction and Applicable Law under the EU General Data Protection Regulation”,paper represented at the Future of Privacy Forum,Washington DC,January 2013。GDPR公布后受到眾多指責，認為其效果造成了歐盟標準在全球范圍內的適用，明顯違反了國際禮讓規則，存在嚴重的執行困難。被害人慣常居所地法的適用結果如違反了控制人設立地國的法律規定或公序良俗，亦不能獲得執行。

隨著“阿里巴巴”“騰訊”等電子商務企業的蓬勃發展，我國也應當考慮如何保護本國信息產業在跨境數據流通方面的利益?！翱刂迫藱C構設立地”這一連結點，為人民法院在我國企業為被告的跨境數據侵權之訴中適用本國法提供了重要的依據。當然，有關“設立地”標準的解釋應當寬窄適中，可以參照歐盟指令第4（1）（a）條的規定，通過對控制人“機構”、數據處理與“機構”之間的從屬性要求將設立地標準限制在合理范圍內：一方面避免規定過于僵化、不符合現實，另一方面避免域外效力的不當擴張。

（二）為“受害人慣常居所地”設置限制條件

正如上文所述，受害人慣常居所地法作為控制人機構設立地法的例外和補充，需設置“控制人經營活動所指向”為限制條件，以降低控制人的守法負擔。我國《法律適用法》第46條的規定卻沒有任何限制條件，無疑是不適當的。第46條即使是作為更為廣泛的網絡侵犯人格權的沖突規則，也不應當毫無限制，例如“加害人可預見”等限制條件仍然是應當具備的。

（三）關于當事人約定準據法的效力

在我國，涉外電子消費合同中作為消費者的數據主體可直接援引《法律適用法》第42條①《法律適用法》第42條規定：消費者合同，適用消費者經常居所地法律；消費者選擇適用商品、服務提供地法律或者經營者在消費者經常居所地沒有從事相關經營活動的，適用商品、服務提供地法律。的規定，排除合同約定的對己不利的控制人注冊地法。針對不屬于消費者合同的專業或商業合同，人民法院仍可適用《法律適用法》第5條公共秩序保留的規定，排除嚴重損害數據主體權利的合同約定準據法。但公共秩序保留規則靈活性太強，標準過于模糊。更具準確性和說服力的方案是，以即將出臺的《個人信息保護法》屬強行法規范為由排除不適當的合同約定法律。