歐盟GDPR的域外適用及對我國的借鑒

馬亞文　張? ?

摘要：大數據時代，跨境數據流動帶來的管轄權難題，使得數據立法的域外適用成為各國及地區保障本國數據主權與安全的重要手段。對歐盟GDPR域外適用的歷史背景和適用現狀進行研究，有助于借鑒歐盟經驗，進一步提高我國數據法域外適用的水平。本文運用了文本研究法與案例研究法，并結合GDPR的具體內容，分析了歐盟GDPR域外適用的發展歷程、適用標準、發展成效，總結了歐盟GDPR域外適用的優勢與缺陷。研究發現：歐盟GDPR域外適用的內容設置與實踐成效有利于中國《個人信息保護法》域外適用條款的現實適用。我國在借鑒歐盟有益經驗的基礎上，加強《個人信息保護法》域外適用條款的解釋適用，綜合提高我國數據治理話語權，同時吸取歐盟的歷史教訓，強化域外執法合作。

關鍵詞：GDPR；域外適用；數據保護；《個人信息保護法》

當前，數據已成為國家基礎性戰略資源和關鍵生產要素。數據的跨境流動是數字經濟發展的重要推動力，其在創造巨大經濟價值的同時，也對個人信息保護和國家安全構成了實質性威脅。數據跨境帶來的管轄權難題，使各國開始思考如何擴大本國法律的適用范圍至域外以充分保護本國數據主體的權利，數據立法的域外適用成為必然趨勢。所謂國內法的域外適用，一般是指法律在本國管轄范圍之外產生確定拘束力，實現國內法域外效力的過程。

2018年5月25日生效的歐盟《通用數據保護條例》（以下簡稱GDPR）是全球范圍內影響最大的個人數據立法之一，其所設定的域外適用條款引發了國際上廣泛的爭議和討論。GDPR確立“經營場所標準”和“目標指向標準”作為確定域外適用的衡量標準，以對本國數據主體進行保護。我國2021年11月通過的《個人信息保護法》也借鑒了GDPR的立法實踐，確立了該法的域外效力。基于此，本文以GDPR域外適用條款為重點，分析GDPR域外適用制度設計及適用現狀，以期給我國《個人信息保護法》的解釋和適用提供參考。

一、歐盟GDPR域外適用的背景及成因

（一）歐盟GDPR域外適用的歷史背景

歐盟一直是數據立法的引領者。于1970年制定頒布的數據保護法令是世界上第一部數據保護法令。自《關于保護隱私和個人數據國際流通的指南》到《關于個人數據自動化處理的個人保護公約》，歐盟數據保護立法逐漸走向成熟。1995年，歐盟委員會頒布了《保護個人享有的與個人數據處理有關的權利以及個人數據自由流動的指令》（以下簡稱“95指令”），由于95指令在各成員國適用存在較大差異，因此，歐盟委員會最終決定以《通用數據保護條例》（GDPR）取代95指令。

2018年5月25日，GDPR的生效使歐盟數據保護水平達到了前所未有的高度。GDPR作為歐盟頒布的專門性數據保護條例，直接適用于歐盟各成員國。自此，歐盟開啟了數據立法域外適用的新局面。

（二）歐盟GDPR域外適用的現實成因

1．歐盟數字經濟發展整體滯后。歐盟雖具備豐富的數據資源，但其數字經濟發展卻相對滯后。根據世界銀行統計，2019年歐盟經濟總量約占世界經濟總量的15.77%，然而歐洲數字企業的市值占全球數字企業總市值卻不足4%。與此同時，臉書、谷歌等美國互聯網企業卻依托歐盟的數據市場優勢獲得了發展。據統計，臉書在歐盟擁有超過2.5億用戶，歐洲市場的收入占臉書全球收入的25%。歐盟本土企業與非本土企業數據利用率的懸殊反映了歐盟數字經濟發展的滯后，由此引發了歐盟對數據安全問題的擔憂。如何規制境外經營者處理境內數據，充分保護數據主體權利成為歐盟數據立法亟待解決的關鍵問題。

2．數據跨境傳輸協議的實踐困局。美國的行業自律模式與歐盟的統一監管模式產生碰撞，使得歐美數據跨境傳輸協議危機重重。基于雙方經濟利益和數據安全的考量，歐美先后制定了《安全港協議》、《隱私盾協議》，以及《跨大西洋數據隱私框架》數據跨境傳輸協議。然而，歐盟數據保護理念的分歧使雙邊數據跨境傳輸協議難以發揮作用，無法有效保護個人數據。

第一，安全港協議被判無效。2015年10月6日，歐盟法院判決安全港協議無效。2013年6月25日，奧地利律師馬克斯·施雷姆斯（Max Schrems），以其個人數據未得到充分保護為由向愛爾蘭數據保護監管機構進行申訴，要求禁止臉書愛爾蘭公司將其個人數據傳輸至美國總部。歐盟法院認為，安全港協議存在數據安全隱患，其不再適合作為歐美數據傳輸的“紐帶”。事實上，即使沒有棱鏡門事件，諸如美國數據保護水平的要求不符合95指令等安全港協議的自身問題也將導致安全港協議無效。

第二，隱私盾協議被判無效。2020年7月，隱私盾協議被歐盟法院裁定無效。2015年底，施雷姆斯再次以相同理由向愛爾蘭數據保護委員會投訴要求其暫停Facebook使用標準合同條款向美國傳輸歐盟公民數據。由于二審期間隱私盾協議生效，愛爾蘭高等法院對隱私盾協議一并發起審查，認為隱私盾協議存在以下問題：第一，美國所開展的情報活動不符合比例原則。第二，美國未向歐盟數據主體提供有效救濟。由此可知，判決隱私盾協議無效合乎實際。

第三，《跨大西洋數據隱私框架》前途未知。2022年4月，歐盟數據保護委員會（EDPB）通過并宣布新的《跨大西洋數據隱私框架》的聲明。目前，《跨大西洋數據隱私框架》尚未出臺細致的法律規則，美國在初始協議中所做的承諾能否實現尚不確定。美國對外宣稱崇尚自由，數據保護理念傾向于行業自律，其法律傳統在此次協議中能否改變尚存疑問。并且，歐美數據跨境傳輸協議歷經兩次失敗，美國能否吸取教訓值得懷疑。

第四，互聯網新技術發展的立法回應。95指令地域適用條款難以應對信息技術的高速發展，無法有效保護歐盟數據主體的權利。2006年，云計算模式剛剛興起，企業可以依據行之有效的數據保護方法將依托云模式形成的商業潛力最大化。但云模式沒有物理界線，在一個國家產生的數據可在另一個國家被存儲，由此產生的數據保護問題應當適用哪個國家的法律具有不確定性。

雖然2010年岡薩雷斯案的判決在一定程度上確立了95指令的長臂管轄原則，但其無法有效解決信息技術發展帶來的歐盟數據保護問題。2010年2月西班牙公民岡薩雷斯向西班牙數據保護局提出對西班牙報紙發行商La Vanguardia以及谷歌公司及其西班牙分支機構（Google Spain SL，以下簡稱谷歌西班牙）的申訴，稱網絡用戶可以使用谷歌搜索引擎搜索到顯示原告的房產因進入追繳社保欠費的扣押程序而被強制拍賣的公告。但是，原告認為上述扣押程序早已被解決，因而要求西班牙報紙發行商La Vanguardia刪除或者修改有關頁面，并要求谷歌公司以及谷歌西班牙刪除或者屏蔽與之有關的個人信息。法院根據95指令的適用范圍條款判定該案適用95指令。此案件判決雖然表明95指令在符合一定條件時將產生域外適用的效果。然而，95指令在規定上的模糊性容易使案件的處理存在爭議，GDPR中設定的域外適用條款將有效避免上述爭議的發生。

二、歐盟GDPR域外適用標準認定及成效評析

當前，歐盟成員國通行的數據保護法為2018年發布的《通用數據保護條例》（以下簡稱GDPR），其取代95指令，成為歐盟各成員國可以直接適用的法律文件。其通過設置域外適用范圍條款的方式，擴大歐盟的管轄范圍，將條例適用到歐盟以外的國家或地區，從而為歐盟數據的跨境流動保駕護航。GDPR的實施對于歐盟乃至全世界的數據隱私保護有著深遠的影響。

（一）GDPR域外適用標準設立及認定

域外適用標準是歐盟GDPR域外適用的基礎。如何能夠使管轄范圍延伸到一般情況下本國法涉及不到的區域，或者如何能夠管理發生在本國境外的數據處理行為，關鍵在于擴大管轄權，即將域外行為納入本國法的管轄范圍之內。對于管轄范圍的確定，GDPR第3條確立了兩種域外適用標準：經營場所標準和目標指向標準。

1．“經營場所標準”的設立及認定。GDPR第3條第1款確立了“經營場所標準”，即如果數據控制者或處理者在歐盟境內設置了經營場所，且該行為屬于經營場所的活動范圍內，無論其處理數據的行為是否發生在歐盟境內，均受到該條例的管轄。該標準的關鍵在于“經營場所”和“數據處理行為是否屬于經營場所的活動范圍之內”的認定。2019年11月12日，EDPB發布了《GDPR地域適用范圍的第3/2018號指南》，具體解釋了經營場所標準的適用條件。

第一，關于“歐盟境內是否存在經營場所”的認定。首先，根據GDPR序言第22條，經營場所是通過穩定的安排開展真實而有效的處理活動的機構，該機構的法律形式并不能就此決定該機構的性質。EDPB指出，判斷設立在歐盟境外的企業在歐盟成員國內是否存在經營場所，必須基于活動和提供服務的特定性質來判斷安排的穩定程度和在該成員國從事活動的有效性，尤其是在確認專門通過互聯網提供服務的企業是否在歐盟境內有商業存在。因此，在某些情況下，如果雇員或代理人在歐盟境內的行為具有足夠穩定性，則該非歐盟實體在歐盟境內存在一個雇員或代理人可能構成“穩定的安排”這一要求。例如，總公司在美國的一家互聯網公司在布魯塞爾設立了分支機構，負責監督其在歐洲的營銷業務，那么布魯塞爾分支機構就被認為是經營場所，符合經營場所標準。Weltimmo案進一步對“經營場所”進行擴大解釋。在Weltimmo案中，鑒于Weltimmo公司在匈牙利有一名代表，且其負責與業務活動有關的事項，最終歐洲法院認定該公司在匈牙利存在經營場所而適用匈牙利數據保護相關規定。

第二，關于“數據處理行為是否屬于經營場所的活動范圍之內”的認定。對此，EDPB提出了兩種分析：其一，要求數據處理行為與經營場所的業務范圍之間存在無法割裂的緊密聯系，無論境內的經營場所是否參與了數據處理活動，均會導致GDPR的適用；其二，如果在歐盟境內的經營場所從事營利活動，且該活動被視為與歐盟境外的個人數據處理活動以及歐盟境內個人具有不可分割的關聯性，即可以表明“非歐盟境內的數據控制者或處理者進行處理活動屬于在歐盟境內經營場所的經營活動范圍內”。聚焦“數據處理行為”本身而不是數據處理行為發生的位置，這種立法角度將有效避免出現法律規避現象。

2．“目標指向標準”的設立及認定。GDPR第3條第2款確立了“目標指向標準”，即如果數據處理者、控制者沒有在歐盟境內設立經營場所，但其行為是向歐盟境內的數據主體提供商品或者服務，或者對歐盟境內的數據主體進行監控，同樣屬于GDPR的管轄范圍。目標指向標準的前身是95指令確立的設備使用標準，GDPR不再僅憑借處理數據的設備位置來確定法律的適用，而是將特定地域內的數據處理行為作為確定法律適用的根據。一定程度上，目標指向標準彌補了經營場所標準的缺陷，即在滿足“經營場所標準”的適用條件時，考慮該行為是否符合目標指向標準中關于數據處理行為的要求。

（1）對歐盟內的數據主體提供商品或者服務的理解。GDPR序言第23條指出，對于數據處理者或者控制者是否向歐盟境內的數據主體提供商品或者服務的理解，應當確定數據處理者或者控制者是否明確向歐盟境內的數據主體提供服務。如果僅僅是訪問歐盟的控制者、處理者或者中介網站、電子郵件地址或者其他聯系方式，或者僅使用控制者成立的第三國通用的語言，不足以確定這種意圖。與之相反，如果使用一個或者多個成員國通用的語言或者貨幣，并有可能以該語言訂購商品和服務，或者提及在歐盟的客戶或者用戶，則表明控制者設想提供商品或者為歐盟境內的數據主體提供服務。因此，在判斷數據控制者、處理者是否屬于向歐盟境內的數據主體提供商品或者服務時，應當綜合判斷行為的意圖。

（2）對發生在歐洲范圍內的數據主體的活動進行監控的理解。GDPR序言第24段指出，在判斷是否對歐盟境內的數據主體進行監控時，應當確定是否在互聯網上跟蹤自然人，以及是否根據行為人在互聯網上的遺留數據適用特別技術對數據主體的個人偏好等進行分析。例如，利用數據主體的網頁瀏覽數據為其制作用戶畫像。

（二）GDPR域外適用成效評析

經過歐盟委員會和歐洲理事會長達四年的醞釀和協商，GDPR開啟了歐盟數據保護的新征程。其中GDPR第3條明確規定了法律適用范圍，提出了域外適用的標準，對于保護數據主體權利具有里程碑意義。鑒于《個人信息保護法》借鑒了GDPR域外適用的立法實踐，因此有必要分析GDPR域外適用的實踐效果。

1．域外適用的積極效應。GDPR確立域外適用效力以來，產生了一定的積極成效。不僅為數據主體權利提供充分的保護和救濟，也有效推廣了數據治理領域的“歐盟標準”，進一步爭奪數據治理國際話語權。具體包括以下兩個方面：

一方面，充分保護數據主體權利。充分保護數據主體權利是GDPR域外適用的出發點和落腳點。歐盟數據市場優勢來源于歐盟境內的數據主體的力量，保障數據主體權利是有效促進數據資源豐富和更新的關鍵。歐盟通過設置域外適用標準擴大歐盟法管轄范圍，以實現對于傳輸至境外國家或者地區的數據主體權利的充分保護。主要體現在以下兩點：其一，GDPR域外適用能夠同等保護傳輸至境外的數據，防止因各國數據保護水平的參差而面臨數據安全問題。其二，數據主體申請權利救濟更加便捷。相較于跨境訴訟，數據主體更熟悉本國實體法和本國訴訟程序，其在本國起訴更為簡單高效，從而有效保障數據主體獲得權利救濟。因此，GDPR域外適用在一定程度上可以實現數據主體權利保護最大化。

另一方面，有效輸出數據保護“歐盟標準”。當前，跨國公司是歐盟數據保護標準向外輸出的載體。為了利用歐盟的數據資源，許多知名跨國互聯網公司（谷歌、微軟、臉書等）在歐盟境內設立了分支機構。根據GDPR經營場所標準，分支機構屬于經營場所范疇。此外，跨國公司的最大特點在于業務具有相通性，即一項業務可能會由多個分支機構共同操作。倘若歐盟境外的分支機構或者總公司意圖同歐盟境內的分支機構一同處理某項涉及歐盟數據的任務，也將會受到GDPR的制約。因此，歐盟利用跨國公司的上述特點以實現其數據保護標準的對外輸出，促進歐盟標準走向世界，從而有效提升歐盟在數據保護領域的國際話語權和影響力。目前，國際上還沒有形成統一的數據保護法律體系，歐盟數據保護領域話語權的大小對今后全球數據保護體系的內容建設具有重要作用。并且，歐盟希望未來能夠借此建立起統一規范化數字市場、把握數字經濟主權，在數字經濟領域成為與美、中比肩的第三極。

2．域外適用的執行難題。執行難是GDPR域外適用中存在的突出問題。歐盟的域外規制主要聚焦于數據保護領域，其意圖借助單一數據市場來實現對數據處理者和控制者的管轄。然而，由于缺乏對數據保護域外執行方案的進一步說明，也未解釋如何處理管轄權的沖突，GDPR域外適用在執行方面正面臨一些風險和挑戰。

一方面，在尚未形成統一的數據保護體系之前，GDPR域外適用條款在執行中容易同其他國家形成平行法上的沖突。有學者提出，個人數據保護法案在本質上會涉及一國對數據領域的管制權，關系到國家數據主權和管轄利益，也在一定程度上反映了一國在數據治理方面的價值選擇。因此，由于每個國家價值選擇和數據治理理念的不同，其在數據保護方面也會形成不同的規制路徑和手段。GDPR域外適用條款僅為本地區法律管轄范圍的擴張，與其他國家或地區的法律屬于平行關系，并不具備法律適用上的優先性。

另一方面，歐盟域外執行范圍過于寬泛化導致在實際執行時出現選擇性執行、理解性執行的問題。例如，2019年歐盟法院在對Google v．CNIL案的判決中對被遺忘權的執行范圍進行了澄清，最終判決谷歌公司刪除歐盟境內谷歌系統上的涉及數據主體的內容。同時，歐盟法院認為GDPR的條款并沒有對谷歌公司位于歐盟境外的搜索引擎版本施加義務，谷歌公司無需刪除歐盟境外的其他搜索引擎版本上的內容。此案件中涉及的言論自由和個人數據保護的位階矛盾在全球各個國家有不同的認知和理解。因而，本案中的執行范圍很難涉及世界上其他與歐盟理念相悖的國家或者地區。故而在本案中，GDPR僅對歐盟境內的主體具有域外適用的執行權，歐盟境外主體并不在域外適用的執行范圍內。

三、歐盟GDPR域外適用的中國借鑒

歐盟GDPR域外適用有益于使數據權利得到足夠保護，有效提升歐盟數據治理國際話語權。與此同時，其內在缺陷也導致實踐中的執行難問題。我國《個人信息保護法》第3條在一定程度上借鑒GDPR立法實踐規定域外適用條款，但具體規定較為抽象，仍需進一步澄清。因此，我國有必要在深入分析GDPR域外適用實踐情況的基礎上，進一步完善我國《個人信息保護法》域外適用條款的解釋適用。

（一）加強對域外適用條款的解釋適用

《個人信息保護法》確立了域外適用的“處理行為發生地標準”和“目標指向標準”，未來有必要進一步細化解釋。第3條規定：“在中華人民共和國境內處理自然人個人信息的活動，適用本法。在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動，有下列情形之一的，也適用本法：（一）以向境內自然人提供產品或者服務為目的；（二）分析、評估境內自然人的行為；（三）法律、行政法規規定的其他情形。”分析可知，不同于GDPR的“經營場所標準”，《個人信息保護法》第3條第1款確立了“處理行為發生地標準”，但在具體實踐中，精確定位“處理行為發生地”難度極大。在數據傳輸過程中，可能會涉及多個位于不同位置的服務器以及遍布全球的網絡線路，數據傳輸的跨境性使得處理行為的發生地不易被確定在某一特定位置。因此，對數據處理行為發生地的認定是一項技術性較強的工作，難以準確把握。因此，我國未來應對“處理行為發生地標準”作細化解釋，以增強其可適用性。例如，歐盟針對其“經營場所標準”中“數據處理行為是否位于經營場所的活動范圍之內”這一要件作出細化解釋，即如果數據處理者或數據控制者的數據處理行為與該連接點具有緊密的聯系，即便數據處理行為本身沒有發生在歐盟境內，亦受到GDPR的約束。此外，《個人信息保護法》第3條第2款受GDPR啟發，確立了“目標指向標準”，對于何為“以向境內自然人提供產品或者服務為目的”和“分析、評估境內自然人的行為”有待于未來進一步細化闡釋。例如，GDPR序言第23條對為歐盟內的數據主體提供商品或者服務進行闡釋，即應確定數據控制者或處理者明顯地打算向歐盟一個或多個成員國的數據主體提供服務。

（二）強化域外執法合作

順利執法是衡量域外適用條款現實效果的關鍵因素，也是數據保護法域外適用的重要手段。其中，域外執法合作是順利執法的關鍵所在。在當前國際背景下，盡管各國可以依據本國法對域外案件進行審理和執行，但是由于強制性權利所具有的地域限制，跨越國家疆界進行信息查詢、扣押相關設備、執行行政罰款等行為多數取決于他國的意愿，因而，若得不到案件所涉國家的同意或者協作，執法效果將不盡如人意。并且，在未經別國同意的情況下，為執行本國法律而在別國領土上采取執法措施，也將違反國際法的有關規定。不僅如此，實際案例中也凸顯了執法合作的重要性。以“Ag-gre-gate IQ”案為例，本案中，英國數據保護監管機構信息專員辦公室（ICO）積極與加拿大和不列顛哥倫比亞省的相關機構進行跨境執法合作，并通過加拿大所屬機構向加拿大公司Aggregate IQ Data Ser-vices Ltd（以下簡稱AIQ）施壓，最終使得AIQ承認其違法數據處理行為，順利完成域外執法活動，實現GDPR域外效力。但是，本案中兩國達成執法合作主要是基于兩國相似的法律傳統、法律規定等先天優勢，并不具備普適性。如前文所述，歐盟在GDPR域外適用的執行方面仍存在平行法沖突、選擇性執法等諸多妨礙域外適用效果的執法難題，歐盟仍需要進一步采取相關措施建立和完善具有普遍適用性的執法合作機制。例如，歐盟積極參與全球合作網絡一“全球隱私執法網絡”（GPEN），該網絡由全球60多個數據保護機構組成，是目前唯一一個專門致力于數據執法合作的全球網絡。同樣，為避免陷入與歐盟類似的執法困境，保證我國《個人信息保護法》域外執法活動的順利進行，我國可以借鑒歐盟域外執法經驗，加強域外執法合作，通過提前與別國建立雙邊執法合作框架，組織參與全球執法合作網絡等方式在域外執法中與別國開展合作，協調進行限制本國權利的域外執法活動，從而使得《個人信息保護法》等數據保護法規的域外效力條款不僅僅停留在文字上，而能切實發揮其域外效力。

（三）提升我國數據治理國際話語權

數據市場優勢是我國提升數據治理體系國際話語權的重要支撐。我國的數據市場規模相當龐大，根據第49次《中國互聯網絡發展狀況統計報告》顯示，截至2021年6月，我國網民規模為10.11億，互聯網普及率達71.6%。作為世界最大的消費市場之一，歐盟僅憑自身市場力量就足以將歐盟標準轉化為全球標準。哥倫比亞大學歐洲法律研究中心主任阿努·布拉德福德將歐盟的此種立法影響比作布魯塞爾效應。簡單來說，即歐盟境外跨國公司覬覦歐盟的數據資源，但獲取并利用歐盟數據資源就必須促使其企業相關規制符合歐盟的標準，如此便達到歐盟標準影響境外國家的效果。同樣，我國可以依據數據市場優勢，借鑒歐盟經驗，形成中國版“布魯塞爾效應”。在立法層面，我國可以借鑒GDPR域外規制的相關內容擴大法律管轄范圍，同時通過數據立法表達我國的數據保護理念和目的。在貿易制度層面，我國應在保障經濟安全的基礎上盡可能放寬外資企業進入中國市場，為我國數據保護標準境外輸出做好工具準備。最后，整合各方面力量依據市場優勢由跨國公司的境內機構作為引線觸發至境外的機構，對跨國公司形成連鎖反應，從而實現中國標準的境外輸出。如此便能讓我國在全球數據治理體系的構建中獲得更多的支持，贏得更多的話語權，實現維護數據主權和數據安全的目的。

四、結語

在形成統一的全球數據治理體系之前，避免數據跨境傳輸產生的國內數據安全問題，成為全球各國的關注焦點。歐盟將對人權的重視聚焦于對數據權利的保護，依據GDPR中的域外適用范圍內容達成了對域外數據處理行為的有效規制。我國的域外適用內容在《個人信息保護法》已經有所體現，但仍存在諸多問題。并且，面對不斷更新的互聯網發展態勢，持續完善域外適用條款的解釋適用仍是我國現今數據立法的主要任務。我國應在堅持以本國國情為前提的基礎上，大膽借鑒和創新歐盟的數據保護域外適用內容。針對管轄范圍條款的內容設定，我國應在原始條款的基礎上對其進行合理化解釋，以發揮域外適用條款的主要功能。同時，針對歐盟出現的域外適用執行難題，應注重開展國際執法合作，保障我國數據法域外適用的可執行性。另外，全球數據治理體系話語權關乎我國數據主權和國家安全，應當憑借數據市場優勢依托跨國公司輸出我國數據保護標準，在國際上形成公信力和影響力，以提高我國在構建全球數據治理體系中的地位。

參考文獻：

[1]金晶．歐盟《一般數據保護條例》：演進、要點與疑義[J].歐洲研究，2018（4）：1-26．

[2]廖詩評國內法域外適用及其應對——以美國法域外適用措施為例[J].環球法律評論，2019（3）：166-178

[3]王志安云計算和大數據時代的國家立法管轄權——數據本地化與數據全球化的大對抗？[J].交大法學，2019（1）：5-20．

[4]European Parliament， Council of the European Union. Gen-eral Data Protection Regulation[EB/OL].[2021-07-15]

[5]中國信通院．全球數字經濟白皮書——疫情沖擊下的復蘇新曙光[EB/OL]．[2022-7-9]．

[6]黃三魯.GDPR實施三周年觀察：歐盟向左，創新向右[EB/OL].[2022-7-8]

[7]中技所研究部．科技監管領域的“布魯塞爾效應”將對數字經濟產生什么影響[EB/OL].[2022-7-8]

[8]Davinia Brennan.The European Commission releases EU-US Privacy Shield[EB/OL].[2022-7-8]

[9]劉志雄跨境數據流動的全球態勢及對我國的啟示[J]人民論壇，2021（33）：102-105．

[10]單文華，鄧娜．歐美跨境數據流動規制：沖突、協調與借鑒——基于歐盟法院“隱私盾”無效案的考察[J].西安交通大學學報（社會科學版），2021，41（5）：94-103

[11]European Commission.European Commission and UnitedStates Joint Statement on Trans- Atlantic Data PrivacyFramework．[EB/OL]

[12]任曉玲個人數據保護立法推動技術創新——歐盟擬修訂《數據保護指令》[J].中國發明與專利，2011（1）：100.

[13]漆彤，施小燕大數據時代的個人信息“被遺忘權”——評岡薩雷斯訴谷歌案[J].財經法學，2015（3）：104-114

[14]Case C-131／12 Google Spain SL and Google Inc. v. Agen-cia Espanola de Proteccion de Datos （AEPD） andMarioCosteja Gonzalez.37.

[15]The European Data Protection Board. Guidelines 3/2018on the territorial scope of the GDPR （Article 3）.[EB/OL][2022-7-9].

[16]Case C230/14 Weltimmo s.r.o.v.Nemzeti Adatvedelmi ésInformacioszabadsag Hatosag

[17]洪延青，朱玲鳳，張朝，等歐盟提出“技術主權”概念引領歐盟數字化轉型戰略[J].中國信息安全，2020（03）：70-74．

[18]王雪，石巍．數據立法域外管轄的全球化及中國的應對[J].知識產權，2022（4）：54-75．

[19]曹亞偉．國內法域外適用的沖突及應對——基于國際造法的國家本位解釋[J].河北法學，2020，38（12）：81-101．

[20]Orla Lynskey.Extraterritorial Impact in Data ProtectionLaw through an EU Law Lens[J].Brexit Institute WorkingPaper Series-No.8， 2020：3.

[21]Google LLC， Successor in Law to Google Inc.v Com-mission nationale de l'informatique et des libertes （CNIL）（C-507/17）[2019]

[22]李揚，林浩然我國應當移植被遺忘權嗎[J].知識產權，2021（6）：50-65

[23]陳詠梅，伍聰聰歐盟《通用數據保護條例》域外適用條件之解構[J].德國研究，2022，37（2）：85-124

[24]Dan Jerker B Svantesson.Extraterritoriality and Targetingin EU Data Privacy Law： The Weak Spot Underminingthe Regulation[J].International DataPrivacy Law， 2015：226-234

[25]Benjamin J Keele.lnformation Sovereignty： Data Priva-cy， Sovereign Powers and the Rule of Law[J].Internation-aIJournalofLegallnformation， 2018： 123-124.

[26]Extraterritorial Application of The GDPR： Lessons fromRecent Developments[EB/OL].（2018-11-08）

[27]俞勝杰，林燕萍《通用數據保護條例》域外效力的規制邏輯、實踐反思與立法啟示[J].重慶社會科學，2020（06）：62-79.

[28]中國互聯網絡信息中心．中國互聯網絡發展狀況統計報告[EB/OL].[2022-7-9]

【基金項目】本文系北京市社會科學基金規劃項目“北京自動駕駛示范應用中的人工智能關鍵技術法律規制問題及對策研究”（編號：20FXC028）研究成果之一。

【作者簡介】馬亞文（1997-），女，中國人民公安大學法學院碩士研究生：研究方向：國際法，數據法。張溪瑨（1990-），女，中國人民公安大學法學院講師；研究方向：國際法，數據法。