個人數據域外管轄權的擴張及中國進取型路徑的構建

王 雪，石 巍

（南開大學 法學院，天津 300350）

一、個人數據域外管轄權擴張的背景

伴隨著互聯網、云計算等技術的高速發展，世界萬物皆可轉化為數據形式[1]。科技的發展，尤其是數據技術的迅猛進步，在一定程度上弱化了主權原則，引發管轄權爭端。在國際法框架下，關于一國對網絡空間管轄范圍的問題，學者們至今未達成共識。個人數據作為網絡空間的重要構成部分，對其監管同樣會面臨管轄權劃分的問題。隨著云計算技術的普及，在全球范圍內個人數據的儲存地與處理地相分離已經成為常態，甚至個人數據處理活動的發生地會模糊不清，傳統管轄權原則的運用受到挑戰。

隨著個人數據成為當代“生產要素”，大型跨國互聯網企業日常收集海量個人數據并挖掘其商業價值。顯然，僅局限于領土范圍內保護個人數據已不合時宜，保護范圍從國內延伸到國外已然成為現實需要。單方立法擴張個人數據域外管轄權成為各國對科技進步的回應。正因如此，在國際社會對保護個人數據達成共識的同時，國內法單方擴張個人數據域外管轄權的現象逐步形成趨勢。值得注意的是，國際社會對域外管轄權的調整尚缺乏國際條約或協議，這一趨勢易引起法律沖突。那么在國際法框架下個人數據域外管轄權的單方擴張會引發何種問題？面對引發的沖突，在尊重他國數據主權的前提下，我國如何推動本國個人數據域外執法和司法判決的有效實施？從已有研究來看，我國學者集中于研究數據主體的各項權利，大型數據平臺的壟斷，以及數據跨境流動的規則等，對個人數據域外管轄權的關注較少。是故，本文借助對個人數據域外管轄權這一主題的探討，提出自身見解以供參考，期望起到拋磚引玉的效果。

二、個人數據域外管轄權三項權能的擴張

在國際法的限制范圍內，一國可以對個人數據領域的各項活動行使域外管轄權。域外管轄權可以分為三種不同類型的管轄權能，即域外立法管轄權、域外執法管轄權和域外司法管轄權。個人數據域外管轄也是借助這三項權能在全球范圍內普及。

（一）域外立法管轄權的規制路徑

不言而喻，立法管轄權是國家將制定的法律適用于特定的人、物或行為的權力[2]，而域外立法管轄權便是一國可對其境外的特定事項和人行使立法管轄權[3]100。2018 年歐盟《通用數據保護條例》（General Data Protection Regulation，縮寫為GDPR）第3 條賦予了條例自身以域外效力，為個人數據保護全面確立了域外管轄制度。作為全球個人數據保護領域內最具有影響力的立法之一，GDPR第3條成為眾多國家參考的藍本，其對個人數據域外管轄的規制邏輯逐步為更多的非歐盟國家所接受。這一條款為個人數據域外管轄創造性設立了兩項標準，分別為設立機構標準（the establishment criterion）與目標導向標準（the targeting criterion）。

第一，設立機構標準。歐盟數據保護委員會（European Data Protection Board，縮寫為EDPB）建議采用三步驟來確定個人數據的處理是否屬于GDPR的管轄范圍[4]。首先，考慮是否符合歐盟個人數據保護法意義上“設立機構”的定義。在Google Spain SL，Google Inc. v AEPD 判決后，“設立機構”一詞的解釋早已偏離了形式主義，擴展到通過穩定的安排所進行的任何真實有效的活動。為了確定總部位于歐盟外的數據控制者或處理者是否在歐盟內存在“設立機構”，必須根據所從事經濟活動的具體性質，來考慮所開展活動的穩定性、有效性以及所提供服務的程度。其次，查看是否滿足“在歐盟設立機構活動背景下”的條件。在司法實踐中，“設立機構”的存在是否有助于為歐盟外的數據控制者或處理者增加收入是重要的考量因素。增加收入意味著數據控制者或處理者與設立機構之間關系密切。再次，在設立機構活動背景下進行的個人數據處理活動無論是否在歐盟內進行，GDPR 均予以適用。考慮到個人數據處理活動的各個環節相互分離，地理位置是否位于歐盟境內已不再是考量因素，這也極大地擴張了“設立機構標準”的適用范圍。

第二，目標導向標準。這一標準明顯地受到了歐洲消費者保護法領域判決的影響，展現了歐盟較高的立法技術。借鑒Pammer v Reederei Karl Schlüter GmbH 和Co and Hotel Alpenhof v Heller①案件中歐盟法院的判決，在與消費者簽訂任何合同之前，從網站和貿易商的整體活動中是否可以明顯看出貿易商打算與居住在成員國的消費者開展業務，或者有意與他們簽訂合同。對這一判決的吸收形成了“目標導向標準”適用的前提條件，即該標準旨在管轄有意而非偶然地針對歐盟數據主體的活動。“目標導向標準”主要從兩個方面對境外的數據控制者或處理者開展域外管轄：一是為歐盟內的數據主體提供商品或服務；二是監控歐盟內的數據主體。關于前者，EDPB主張綜合考慮網站域名、營銷活動、支付貨幣和語言等多項因素進行判斷。至于后者，GDPR 序言第24 條闡釋著重考慮潛在的后續使用分析技術，例如可穿戴設備和其他智能設備。

由于GDPR 在個人數據保護領域的深遠影響，為更好地保護本國數據主體的合法權益，較多國家同樣頒布了綜合性的個人數據保護法案②，并設置域外適用條款，確立本國對個人數據保護的域外立法管轄權。我國個人數據的域外管轄制度經歷了從無到有、從粗到細的過程。2021 年我國《數據安全法》第二條確立了我國在數據領域的域外管轄制度，當境外開展的數據處理活動損害我國國家安全、公共利益與公民合法利益時，需追究其法律責任。同年，對于發生在境外的個人數據處理活動，《個人信息保護法》第三條第二款③借鑒“目標導向標準”詳細規定了法律的域外適用范圍。隨后《網絡數據安全管理條例（征求意見稿）》第二條第二款在《個人信息保護法》的域外適用的基礎上，增加“涉及境內重要數據處理”的情形。美國、英國、巴西等國也紛紛以GDPR 為藍本設置域外適用條款，見表1。

表1 個人數據保護法案域外適用條款的立法現狀

除上述各國頒布的國內法，2018年歐洲理事會修訂的《關于個人數據自動處理的個人保護公約》（Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data，以下簡稱《公約》）及其議定書作為全球數據保護領域最重要的國際協議之一，并沒繼承GDPR 的域外適用條款，而是在第18 條規定，不考慮數據主體的居住地和國籍，締約方均有義務保護數據主體行使權利。此條款更多是締約方出于“全球共管”的目的[5]，在對數據主體提供協助方面間接延伸《公約》的適用范圍以提高對數據主體的保護水平。

綜上，歐盟GDPR 域外管轄的規制路徑逐步成為全球個人數據域外管轄的標準，借助單邊立法賦予本國以域外立法管轄權已經在全球普及。

（二）單邊立法下域外執法管轄權的行使

執法管轄權是一國行使的強制遵守法律的權力，根據主權原則，一國的執法管轄權一般限于國內。當執法管轄權的行使范圍超越領土邊界時，便會產生域外執法管轄權的問題。域外執法管轄權不僅包含對域外特定人、物的直接行政執法，也包含為域外司法管轄權的順利行使而采取的司法輔助措施[6]。

相比于域外立法管轄權和域外司法管轄權，域外執法管轄權具有明顯的侵略性，因此，國際法對域外執法管轄權一直加以限制。一國行使域外執法管轄權只能基于國際法賦予的特定權力或外國政府的有效同意[3]105。然而，在大數據時代，個人數據跨境流動的頻繁性致使原有域外執法管轄權的行使條件已然無法滿足各國監管的需求。因而，單方擴張行政部門的執法范圍成為各國行使個人數據域外執法管轄權的方式之一。

其一，明確個人數據保護的監管部門。GDPR作為全球最具影響力的數據法案，其第51條與第52條明文規定每個成員國應當建立一個或多個獨立公共機構以負責條例實施，并進一步要求監管機構應當具有完全的獨立性。英國的信息專員辦公室（Information Commissioner’s Office，縮寫為ICO）、西班牙數據保護機構（Agencia Espa?ola de Protección de Datos）以及法國國家信息技術和自由委員會（Commission Nat Informatique et Liberté，縮 寫 為CNIL）等均是負責本國個人數據保護的監管機構。我國《個人信息保護法》第六十條賦予我國網信部門對個人信息保護享有監管職責。《數據安全法》第五條與第六條則對數據安全領域的職責在中央國家安全領導機構、公安機關以及國家安全機關之間進行分配。截止到2020 年11 月，全球已經有80 多個國家和地區設立了數據保護監管機構[7]。

其二，監管部門具有行政執法權限，不考慮他國的同意或授權直接針對域外特定的人或事項行使執法管轄權。上述數據保護機構絕對不僅僅限于監督，更多是通過行政執法的方式保障數據立法的實施。GDPR第58條賦予了數據保護監管機構以調查權、矯正權、授權和建議權。在矯正權之下，數據保護監管機構可以獨立行使警告、禁止數據處理、中止數據傳輸、撤回認證以及行政罰款等多項權力。與此相似，我國《數據安全法》第六章與《個人信息保護法》第七章均明文規定了違法行為所應當承擔的法律責任，授權主管部門對違法開展數據處理活動的個人和組織實施警告、吊銷營業執照、行政罰款等措施。《公約》第15條基本繼承GDPR的規定，賦予監管機構調查權和干預權，以及有權對違反公約的行為做出行政處罰。2021年12月，法國CNIL 認為谷歌公司對cookies 拒絕機制的設置過于復雜，拒絕cookies 并不像接受它一樣容易，因而對谷歌公司處以1.5億歐元的罰款[8]。總之，面對涉外違法的個人數據處理行為，監管部門更依賴國內法行使域外執法管轄權。

（三）域外司法管轄權的間接蔓延

司法管轄權，是一國通過其法院或行政法庭的程序處理特定的人、物或事項的權力。一般而言，對從事數據處理行為的人員或組織行使司法管轄權的實際范圍與立法管轄權相同。換言之，倘若在國際法框架下一國對域外的個人數據處理活動享有域外立法管轄權，那么也可對相應的人員或事項行使域外司法管轄權，除非對方享有司法豁免。由前文可知，以GDPR 為代表的個人數據保護法案設置域外適用條款已經逐步在全球普及，因而對數據處理活動的域外司法管轄權也相應延伸，域外管轄的兩項標準在此不再贅述。但GDPR對司法管轄訴訟程序的規定，間接擴張了域外司法管轄權。

GDPR 第79 條規定在個人數據保護民事訴訟中，數據主體所享有的針對控制者或處理者的司法救濟權。首先，這項救濟權利并不影響數據主體可以獲得的其他行政救濟，也不影響其向監管機構提交申訴。當數據主體認為，數據控制者或處理者違反GDPR處理其個人數據、侵犯其個人數據權的，均可獲取司法救濟。其次，明確規定了管轄法院。針對控制者或處理者的法律訴訟，依據被告人住所地的訴訟程序規則，數據主體應當在數據控制者或處理者擁有機構的成員國的法庭提起訴訟。此類規定適用于設立機構標準，即當數據控制者或處理者在歐盟境內存在設立機構之時，數據主體以數據控制者或處理者為被告的訴訟，應當由設立機構所在地的成員國法庭管轄。而在目標導向標準之下，數據控制者或處理者在歐盟境內并未有設立機構。第79條第2款從弱者保護的角度，優先保護數據主體的權益，明確規定，此類法律訴訟可以在數據主體經常居住地的法庭提起。可見，無論適用何種域外管轄標準，歐盟成員國的法庭始終享有域外司法管轄權。再次，在選擇案件適用的準據法時，GDPR域外適用條款并未給予國際私法下的沖突法規則以適用的空間。GDPR第3條名稱為“地域范圍”，以域外管轄為目的，第1款與第2款條文均具有“本例適用于……”的表述。對條文進行文義解讀可以發現，若數據控制者或處理者處理個人數據的情形符合設立機構標準或目標導向標準，直接適用GDPR的規定。這就意味著，在歐盟成員國的法庭行使域外司法管轄權之時，直接適用GDPR的規定即可，無需依據沖突法指引選擇準據法。因而，GDPR 第79條對數據主體司法救濟權利的程序規定，本質上進一步擴張了歐盟成員國法院的司法管轄權。值得注意的是，我國《個人信息保護法》第三條也采用了“適用本法”的表述，即我國法院在審判過程中直接適用本法規定，但并未明文規定域外管轄情形下管轄法院的問題。

在域外執法管轄權與域外司法管轄權相銜接的背景下[9]，域外司法管轄權有進一步蔓延的可能。GDPR第58條在賦予獨立的監管部門以行政執法權力的同時，要求每個成員國通過國內法的規定，允許監管部門將違法行為訴諸司法機構，并可以提起或參與訴訟。實質上，監管部門不僅具有行政執法權，而且被授予了一部分司法職能。但GDPR并未對域外執法管轄與域外司法管轄的銜接做出程序性的規定，這在《公約》中得到進一步補充。由前文可知，《公約》第15條賦予監管部門以調查權和干預權，監管部門行政執法的權限同GDPR的規定相比并無較大差別。但同時，這一條款規定締約方應賦予監管機構進行法律訴訟或將任何違反數據保護規則的行為提請司法機構的權力。這項權力以調查權為前提，有助于司法機關發現侵犯數據主體權利的行為[10]。《公約》第15條將監管部門的調查權與提起司法訴訟的權力相銜接，“調查”成為監管部門提起司法訴訟的前提程序，實質上是在行政執法與司法訴訟之間搭建橋梁。監管部門具有行政執法與提起司法訴訟的雙重職能，這不僅模糊了域外執法管轄權與域外司法管轄權之間的界限，更是伴隨著個人數據域外執法管轄權的擴張導致域外司法管轄權進一步延伸。

三、個人數據域外管轄權擴張的弊病

伴隨著諸多國家個人數據域外管轄權的擴張，域外立法管轄范圍不明晰的缺陷暴露無遺，并引發域外執法管轄與域外司法管轄諸多問題。

（一）域外立法管轄范圍寬泛模糊

以GDPR為代表的個人數據保護法案符合國際習慣法的管轄原則，但是其管轄范圍過于寬泛，邊界模糊不清。由于國際領域尚且缺乏對個人數據域外管轄調整的公約或協議，國際習慣法所包含的管轄原則就成為判斷管轄權合法性的重要標準。“設立機構標準”要求存在“設立機構”這一連接點，這意味著其依舊要求存在領土聯系，所以其管轄以屬地管轄原則為基礎。從表面看，“設立機構標準”的管轄權基礎并不屬于域外管轄的分類，但分析實際效果，EDPB對“設立機構”含義的解釋寬泛，門檻較低，甚至自然人的存在即可被視為“設立機構”。尤其是，“設立機構標準”并不要求個人數據處理行為發生在境內，Google Spain SL，Google Inc. v AEPD案件表明即使發生在境外的個人數據處理活動，只要滿足EDPB的考量因素，也將被納入管轄范圍。因而，“設立機構標準”雖然以屬地原則為基礎，但或多或少具有虛擬性質[11]，削弱了領土聯系，已經發揮了域外管轄的效果。

“目標導向標準”對效果原則的應用更是加劇了對個人數據域外立法管轄范圍的爭議。在網絡環境之下，效果原則針對的是在國外發生或完成，但對其國內產生效果的網絡行動[3]97。互聯網技術的出現致使以傳統疆域為界限開展管轄受到阻礙，效果原則在較大程度上彌補了傳統屬地管轄原則的缺憾，但其運用也充滿了不確定性[12]。在“目標導向標準”之下，數據控制者或處理者無論是提供商品或服務，抑或是監控境內數據主體，對境內產生的實質效果歸屬于數據保護機構或法院單方解釋，管轄權易遭受懷疑。事實上，在這一標準之下，凡是涉及境內數據主體的數據處理行為都可能被納入管轄范圍。盡管效果原則在個人數據保護領域逐步為更多的國家所接受，但其內涵的不確定將進一步導致域外立法管轄范圍的模糊。

可見，在國際習慣法框架下，盡管以GDPR為代表的個人數據保護法案的管轄權基礎符合國際習慣法，并未侵犯他國數據主權，但域外立法管轄權的邊界寬泛且不清晰。面對同一數據處理活動的案件多國有可能同時享有以客觀屬地原則或效果原則為基礎的立法管轄權，這極易在執法管轄和司法管轄方面引發沖突。

（二）域外執法的可行性受限

就域外執法管轄權內部因素而言，與域外立法管轄權和域外司法管轄權相比，其受地域性的限制影響最大。就外部配套措施而言，為域外執法所設立的代表制度也無法解決行為義務的執行難題。

1.內部因素：地域性限制

數據保護機構域外執法的行為不可避免會受到地域性的限制。1927 年“荷花號”案件判決至今已接近百年，但其審判結論依舊是現下國家域外管轄的主要依據[13]。域外立法管轄權相對自由，但是域外執法管轄權原則上依舊是禁止的，其行使應當具備其他國家的授權[13]。即使國際法框架下管轄權原則的內涵在不斷變化，互聯網背景下屬地管轄與域外管轄的邊界更是逐漸模糊，但域外執法管轄權以領土為界限的基本思路并未改變。以GDPR為代表的個人數據保護法案單方授予本國數據保護機構域外執法管轄權，但國內法并不能構成域外執法的合法依據。倘若歐盟數據保護機構以“目標導向標準”為依據，未經過我國監管機構同意，便對我國企業采取矯正、數據調取或行政處罰措施，不僅會涉嫌侵犯我國主權，更會引起雙方外交關系的緊張對立。由前文可知，個人數據域外立法管轄范圍寬泛模糊，無論是歐盟數據保護機構抑或是我國監管部門，域外執法將不得不考慮選擇性執行[14]。

2.外部因素：代表制度的“先天不足”

代表制度設置的目的正是為了保障個人數據保護法案的有效實施，但這一制度本身具有一定的缺陷。

首先，關于代表是否需要承擔“替代責任”的問題，各國立法或學者討論目前均未達成共識。在立法方面，2018 年《西班牙數據保護法案》（Spanish Data Protection Act 2018）第30（1）條直接規定監管機構可以對代表施加GDPR 中的所有“措施”，根據該法第30（2）條，代表將承擔連帶責任，就因數據控制者或處理者違反GDPR造成的任何損害向數據主體提供賠償。但值得注意的是，雖然我國《個人信息保護法》第五十三條借鑒了GDPR的代表制度，規定符合第三條第二款的個人信息處理者④應在我國境內指定代表，但對于最核心的法律責任立法卻沒有提及。換言之，在我國境內設立的代表無需承擔“替代責任”。而學者對于代表“替代責任”的觀點也存在對立。支持者主要從有利于域外執法的角度論證“替代責任”的必要性，而反對者更多從法理依據入手，認為“替代責任”的立法設置沒有法理基礎，主要是依靠代表與網絡平臺的合同約定。

其次，境外的數據控制者或處理者逃避代表的設置。代表制度本身對境外的數據控制者或處理者而言沒有吸引力，在他國設置代表意味著境外的數據控制者或處理者自愿接受該國的管轄，這很可能抑制境外數據控制者或處理者設置代表的積極性[15]。2021年荷蘭數據保護監管機構對總部位于美國的網站LOCATE FAMILY 處以52 萬歐元的行政罰款，依據便是該數據控制者服務的對象包括歐盟居民，符合GDPR 第3 條第2 款的規定，但是并未在歐盟任命代表[16]。

再次，應當區分數據控制者或處理者的金錢給付義務與特定的行為義務[15]。即使代表能夠有效代替域外的數據控制者或處理者承擔行政罰款或民事賠償，但也只是局限于金錢給付義務。在需要境外的數據控制者或處理者遵守執行某項行為的命令時，設置的代表很可能沒有權利同時也沒有實質的可能性去遵守數據保護機構的命令，具體的行為義務只有境外的數據控制者或處理者本身才能履行[15]。在A v Google New Zealand Ltd 一案中，因為谷歌公司沒有徹底刪除搜索鏈接，原告便將谷歌新西蘭子公司起訴至法院要求其履行，但法院支持了谷歌新西蘭子公司的主張，即盡管其可以對谷歌公司施加影響但新西蘭子公司根本不具備刪除搜索鏈接的權限，最終駁回了原告訴求。這一案件雖是以子公司為被告，但是同樣暴露了代表制度的缺陷，即子公司尚且可能不具備權限遵守保護個人數據的行為義務，與跨國公司關系更加松散的代表對行為義務的履行將更加有限。因而，正是因為代表制度本身存在的缺陷，其無法有效保障個人數據保護法案的實施。

（三）司法判決域外承認受阻

除卻行政處罰，數據主體向數據控制者或處理者提出民事訴訟也是保護自身權益的重要手段。但跨境民事訴訟的司法判決是否能夠得到外國法院的承認與執行，的確存在諸多問題。

1.價值沖突

當數據主體借助民事訴訟要求行使權益或索賠時，國際私法領域外國民商事判決承認與執行的規則可以獲得一定的應用，但數據主體的權利可能會與他國公共利益相沖突[17]。2019 年在Google v CNIL一案中，歐盟法院對數據主體被遺忘權的執行范圍進行澄清，被遺忘權與公眾知情權、言論自由之間的沖突極為突出。歐盟法院認為，個人數據的保護程度與信息自由之間的平衡在世界范圍內可能會存在很大差異⑤。因而，雖然歐盟居民擁有被遺忘的合法權利，但該權利僅適用于歐盟27個成員國的邊界內。這一判決看似谷歌公司取得了“勝利”，但判決的最后部分含蓄地承認歐盟立法機構有能力擴大被遺忘權的范圍，即在充分權衡數據主體的權利與信息自由之后，成員國的司法機關或監管機構可以要求搜索引擎運營商在全球范圍內取消鏈接。這為以后歐盟各成員國的司法機關將被遺忘權在全球范圍內實施敞開了大門。

但核心問題是，即使歐盟法院將被遺忘權的實施擴展到全球范圍，也會因與言論自由不一致，在美國普通法下缺乏可執行性[17]。依據美國憲法第一修正案，只有為防止對國家保護的合法利益造成嚴重和直接危險時，言論自由才可以被限制[17]。依據國際私法下“公共秩序保留”規則，一國可拒絕承認與執行與本國公共秩序相抵觸的外國判決[18]。雖不涉及個人數據，但Google Inc. v. Equustek Solutions Inc案件便是有力例證⑥。加拿大最高法院要求谷歌公司在全球范圍內刪除鏈接以阻止知識產權侵權行為的判決，被美國加利福尼亞北部地區法院頒布禁令，主要依據便是這一判決與言論自由相矛盾，需要頒布禁令以保護公共利益。盡管我國《個人信息保護法》并未全面借鑒GDPR 被遺忘權的權利內容，但第四十七條賦予我國數據主體以刪除權，而當刪除權的執行范圍延伸到我國領土以外時，同樣會涉及價值沖突的問題。

是故，數據保護的司法判決跨境的承認與執行會因價值沖突受到阻礙[19]。

2.司法管轄權遭受懷疑

由于個人數據域外立法管轄權的寬泛模糊，涉及數據主體民事索賠的司法判決在國外得到承認與執行時，管轄權的行使依據可能無法滿足合理性標準[17]。歐盟GDPR 第82 條和我國《個人信息保護法》第六十九條均賦予了數據主體因權益受損而請求賠償的權利。但承認與執行外國民商事判決最基本的要求是外國法院具有司法管轄權[15]。2019年在荷蘭海牙達成的《承認與執行外國民商事判決公約》規定了締約國相互承認與執行司法判決的重要條件之一便是原審法院要具有合格的管轄權[20]。然而，在個人數據域外管轄案件中，即使請求國法院以真實有效聯系為依據行使司法管轄權時，被請求國法院可能傾向于擔憂執行裁決會進一步擴張請求國法院的管轄權[21]。早在2018 年GDPR 生效之時，學者Kurt Wimmer便指出，在對借助cookies跟蹤數據主體的境外公司行使司法管轄權時，即使請求國法院以效果原則為管轄權基礎，但由于cookies的使用不具有實質性和直接影響，司法管轄權的行使很可能因不具備合理性而遭受被請求國法院質疑[17]。在2014 年的Vidal-Hall & Ors v Google Inc 案件⑦中，英國法院認為谷歌公司未經數據主體同意利用cookies收集信息并發布有針對性的廣告，由于此類廣告具有泄露個人數據的風險，法院參照誹謗法，認為發布的針對性廣告在數據主體的計算機屏幕上可以觀看到，就如同誹謗的內容在英國發布，英國法院有權管轄。但這一解釋是否能得到他國的認可，還有賴于判例的進一步發展。

因而，即使涉及數據主體索賠的司法判決并未與被請求國公共利益出現價值沖突，以“目標導向標準”為依據的司法管轄權也可能因無法通過被請求國法院的管轄權審查而不被承認和執行。

四、我國進取型路徑的構建：反思與因應

面對個人數據域外管轄權擴張的趨勢，一味依靠阻斷法令開展“防守”不僅會使我國陷入被動，而且不利于我國參與全球數據治理。盡管對個人數據實施域外管轄存在諸多弊端，但不可否認其存在的必要性。相比“防守”，構建我國個人數據域外管轄的進取型路徑才可以避免立法滯后。《個人信息保護法》與《數據安全法》只是初步完成了域外管轄的粗線條立法，缺乏對域外執法配套措施的詳細規定。目前關鍵問題在于我國如何在不侵犯他國數據主權的前提下保障域外執法和司法的有效實施。

（一）區分域外管轄涉及的條款類型

傳統域外管轄“全有或全無”的二元化和個人數據模糊不清的域外管轄范圍易使我國陷入管轄權沖突的境地。在確定是否要對個人數據的處理行使域外管轄權時，應當關注違反《個人信息保護法》的條款類型。Svantesson 教授將個人數據保護域外管轄的范圍分為三層：防止濫用層、權利層和行政層[22]。但本文認為此種劃分有待進一步商榷，主要原因有以下兩點：其一，盡管從法律條款的文義解釋分析，防止個人數據非法濫用和數據主體權利的內容貌似容易辨析，但是在具體案件中二者是難以區分的。其二，即使防止個人數據濫用是目前各國個人數據保護法案立法的基本目標，但這并不意味著域外管轄權可以隨意行使。在個人數據遭受非法泄露或利用的案件中，一國法院或政府依舊需要遵守域外管轄規則的基本要求。若如Svantesson 教授所述，以“市場主權”為依據，依靠市場力量對個人數據非法濫用行為實施無限制的域外管轄，此時域外管轄權的范圍等同于一國市場影響力的范圍。這反而容易導致較大經濟體以數據保護為理由濫用管轄權，與國際法尊重主權原則背道而馳。考慮到《個人信息保護法》的主要監管對象為個人信息處理者，可以從個人信息處理者的義務類型出發。其一，個人信息處理者需要維護所收集或處理的數據，并履行數據主體各項權益的要求。其二，個人信息處理者需要履行《個人信息保護法》所設定的各項具有行政管理性質的義務。是故，本文傾向于以個人信息處理者的義務為基點，吸收并改進“分層理論”，將我國《個人信息保護法》域外管轄的范圍分為兩層，即“數據主體權益保護層”與“行政管理義務層”。

第一，若個人數據處理行為涉及數據主體各項權益的保護，符合國際法管轄權理論中“最低限度聯系”，即可實施域外管轄[22]。《個人信息保護法》第一條明文規定以“保護個人信息權益，規范個人信息處理活動，促進個人信息合理利用”為立法目的；第二條進一步明確“任何組織、個人不得侵害自然人的個人信息權益”。可見，保護個人數據不被非法利用以及保障數據主體各項權益的有效行使是《個人信息保護法》最基本的立法目的。因而，對位于境外的個人信息處理者實行域外管轄不適宜設置較高的閾值。“最低限度聯系”理論起源于美國聯邦最高法院對International Shoe Co. v. Washington一案的判決⑧，即對非居民被告實施管轄，為符合正當程序的要求，被告需與法庭有最低限度的接觸，此類訴訟不會冒犯“實質性正義”[22]。以“最低限度聯系”作為個人數據域外管轄的閾值，不僅可以有效保護個人數據，且不會對他國數據主權造成困擾。

第二，若對位于境外的個人信息處理者采取行政管理措施，則實施域外管轄所要求的聯系程度會更加緊密。我國《個人信息保護法》第五章全面規定了個人信息處理者的義務，如設立個人信息保護負責人、定期進行合規審計以及建立個人信息保護合規制度體系等。在適用“目標導向標準”的前提下，我國網信部門要求任何位于他國的個人信息處理者均履行上述義務要求是不切實際的。況且，此類行政管理措施類的條款并非直接保護個人數據，而是通過加強日常管理來降低風險，因而以“最低限度聯系”作為域外管轄的閾值已然不合時宜。美國在Helicoptoros Nacionales De Columbia S.A.v Hall一案⑨中對“一般管轄權”的判決可以提供啟示，即當被告與法庭的聯系是連續的、系統的和持續的，法院可以行使一般管轄權[22]。在具體案件中，考慮境外個人信息處理者與我國之間的聯系是否具有連續性、系統性和持續性，換言之，同時考慮聯系的數量和持續的時間，進而判斷是否需要適用行政管理措施類的條款。

總之，應當結合我國《個人信息保護法》的立法體系，借鑒并改進Svantesson教授的“分層理論”，從個人信息處理者的義務出發對涉及的條款類型予以區分，從而為實施個人數據域外管轄權所需要的聯系程度提供閾值參考。

（二）構建多維度跨境執法機制

數據保護機構之間的監管合作可以有效減輕域外執法的地域性障礙，彌補代表制度的不足，是克服跨境執法問題的解決方案。我國應當依托自身數據大國的身份積極參與建立跨境執法機制，包括多邊執法機制和雙邊執法機制，但二者在國際談判與合作的方向并不相同。

1.多邊執法機制回歸國際軟法

在構建多邊執法機制方面，尋求達成具有法律效力的國際條約或協議并不具有現實性，我國應著重發揮國際軟法的作用[23]。首先，個人數據保護法案具有公法屬性。以我國《個人信息保護法》為例，第一條“…根據憲法，制定本法”表明了立法以憲法為基礎，確立了將個人信息權作為新興公法權利的思路[24]。不可否認，就數據主體對個人數據所享有的權利而言，其本質具有民事權利的屬性，但我國《個人信息保護法》對個人數據的保護是多元化的、立體的。除民事賠償保護以外，我國《個人信息保護法》第六十六條對違反個人數據保護規定的個人信息處理者處以警告、罰款、沒收違法所得等行政處罰措施。正是因為這一公法屬性，個人數據權益的背后蘊含著各國的公共政策，導致一國難以允許第三國數據保護機構對本國境內的個人信息處理者實施單邊執法。其次，國際社會尚未就數據主權的理念達成一致。2015年我國國務院發布的《促進大數據發展行動綱要》中強調“充分利用我國的數據規模優勢……增強網絡空間數據主權保護能力”。2020 年歐盟在《歐洲數字主權》（Digital Sovereignty for Europe）中闡釋了歐盟“數字主權”的內容，并將數據主權作為數字主權的下位概念。然而，最具有互聯網行業競爭優勢的美國卻刻意模糊數據領域的主權概念，并采取“多利益攸關方模式”的數據治理政策[25]。正因為對國家數據主權這一根本內容尚未達成一致，國際社會在數字貿易壁壘、跨境數據流通等問題上存在嚴重分歧。再次，在個人數據保護領域，具有強制執行力的國際執法合作條約或協議并不充分，國際社會缺乏相應的實踐基礎。經濟合作與發展組織（Organization for Economic Co-operation and Development）發布的報告顯示，個人數據保護的跨境聯合執法在充分性和有效性方面依舊存在欠缺[26]。相比具有法律效力的國際條約或協議，國際軟法并不由國家保證實施，但其彈性較大，能更好地協調多方利益，因而我國對多邊執法機制應回歸國際軟法的軌道[23]。

目前，全球已然出現了一系列的制度安排和組織，以促進數據保護機構之間的執法合作。《隱私保護和個人數據跨境流動指南》（Guidelines on the Protection of Privacy and Transborder Flows of Personal Data）和《APEC 隱私框架》（APEC Privacy Framework）是多邊執法機制國際軟法的主要組成部分。2012 年亞太經濟合作組織（Asia-Pacific Economic Cooperation）構建了“跨境隱私規則”，隱私執法機構、問責代理機構和企業三方參與，對違法企業，問責代理機構與隱私執法機構可以糾正并采取處罰措施[27]。盡管“跨境隱私規則”依舊依賴國內監管機構處罰，但正如學者所言，一國監管機構對企業的包庇會令其喪失信譽，導致其他國家喪失與其合作的信心，從而無法在個人數據市場立足[28]。遺憾的是，我國尚未加入“跨境隱私規則”這一多邊執法機制。盡管國內外對數據主體權利的內容和保護程度依舊存在差異，但是保護個人數據已經成為基本目標。由于在個人數據保護的國際合作方面尚處于起步階段，我國可以考慮指定現有數據保護機構如國家網信部門作為隱私執法機構，積極申請加入“跨境隱私規則”，為我國個人數據域外管轄權的實施提供多邊執法機制的依靠[28]。

2.雙邊執法機制提供合法依據

相比多邊執法機制，我國對雙邊執法機制的構建應著重增強可執行效力，從而補充多邊執法機制的不足，為我國個人數據域外執法管轄權的行使提供合法依據。雙邊執法機制談判的成本比構建多邊執法機制更低，締約方所面臨的利益分歧會更小。首先，我國可以考慮率先與共建“一帶一路”的國家達成雙邊執法合作協議，并依托“一帶一路”的影響力，將達成的雙邊執法合作協議逐步轉化為多邊合作協議。其次，雙邊執法機制的構建應當明晰締約方數據保護機構的執法權限，將提供協助作為法定義務。明確雙方聯合開展合作的方式，包括但不局限于提供文件或信息、聯合調查或執法等。只有被賦予聯合執法的權限，我國數據保護機構的域外執法行為方具有正當基礎。再次，在構建雙邊執法機制時，以比例原則界定我國域外執法管轄權行使的邊界。其一，應當考慮侵犯個人數據權益行為所造成的損害程度。損害程度越高意味著我國行使域外執法管轄權越具有必要性和正當性。至于侵犯個人數據權益的違法行為是否需要在我國與締約國之間同時具有違法性，本文傾向于認為，“雙重違反原則”可以作為簡化聯合執法程序的條件，但不適宜作為建立雙邊執法機制的前提。其二，應當考慮個人信息處理者與我國的聯系程度。聯系程度可以基于領土、效果、屬人等連接點進行判斷。與我國實質聯系程度越緊密，我國個人數據域外執法管轄權越易于為被請求國所認可。其三，我國個人數據保護域外執法所采取的措施應當具有必要性。將執法措施與個人數據違法處理行為相匹配，不僅有助于平衡公權與私權，更有利于兩國數據保護執法機構未來進一步的執法合作。我國數據保護機構應當比較所能采取的行政執法措施，綜合事實進行判定。若個人數據違法處理行為涉及侵犯我國國家利益或公共利益，我國自然可以考慮采取更加嚴厲的執法措施。

綜上，我國關于跨境執法機制的構建應當是多維度的。就多邊執法機制而言，我國依舊以國際軟法為主要談判方向，考慮加入“跨境隱私規則”執法體系。同時，以具有強制執行力的雙邊執法機制予以補充，為我國個人數據域外執法管轄權的行使提供合法依據。

（三）完善司法判決域外實施的補充措施

與個人數據域外執法不同，司法判決域外承認所面臨的困境是難以通過國際談判解決的。各國個人數據保護標準不同，對公共利益的界定更是千差萬別。正因如此，借助國際談判解決價值沖突的問題，從短期而言不切實際。進一步細化司法判決域外實施的補充措施是當下保障我國域外司法管轄權有效實施的重要舉措。依據是否具有強制執行力，本文將補充措施劃分為“硬”措施與“軟”措施。

1.“硬”措施的有效運用

為保護個人數據，應借助立法完善“市場破壞措施”（market destroying measure），賦予其強制執行的效力，可以有效避免司法判決淪為一紙空文。

Svantesson 教授在前文提到的“市場主權”理論的基礎上主張，政府可通過引入“市場破壞措施”來懲罰境外網絡運營商，它的內容包括禁止當事人在國家管轄范圍內進行貿易或使其在國家管轄范圍內享有的債權無法執行[29]。這一措施更多是以自身市場為籌碼，借助境外主體對一國市場的依賴從而保障域外管轄權的有效實施。其不僅可以有效執行判決涉及的金錢給付義務，同時也促使境外的個人信息處理者履行特定的行為義務。但需要注意的是，此類措施的采取應當以遵守域外管轄規則為基礎，并非依靠市場力量進行不當的域外管轄。毋庸置疑，在個人數據領域，我國廣闊的市場為“市場破壞措施”的設定提供了前提。以尊重主權和相互平等的國際法原則為基準，將“市場破壞措施”有條件地引入個人數據域外管轄制度。這意味著違反我國個人數據立法的境外主體若不履行我國裁決，在我國管轄范圍內的數據主體將不再向其提供數據或在一定范圍內其債權將無法得到強制執行。我國《個人信息保護法》第四十二條的內容可歸屬于“市場破壞措施”，即對從事個人信息處理活動危害國家安全、公共利益以及個人信息權益的境外主體，國家網信部門將列入清單，限制或者禁止向其提供個人信息。本文更傾向于擴大這一規定的涵蓋范圍，將對我國監管部門行政處罰或司法機關判決不予執行的境外主體也歸屬于這一清單。依據個案中境外主體的具體行為，采取不同程度的“市場破壞措施”以達到個人數據域外管轄的目的。是故，面對“市場破壞措施”的外在壓力，只有履行判決所涉及的金錢給付義務或特定行為義務的境外個人信息處理者才被中國市場所接受，反之，則拒之門外。

總之，依靠中國個人數據市場的吸引力，市場破壞措施可以有效解決司法判決域外承認的困境，但具體內容需要我國立法進一步細化。

2.“軟”措施下的自覺執行

除具有強制執行力的“硬”措施，公眾輿論也是我國網信部門和司法機關可以有效運用的工具[15]。對于大型的跨國企業，對其違法行為的行政處罰或判決所引發的宣傳效果，可能比處罰或判決本身更具破壞性[30]299。在Yahoo! Inc. v. La Ligue Contre Le Racisme Et L’Antisemitisme 一案中，美國第九巡回上訴法院作出裁決，主張“審查令人反感的言論并不適用于憲法第一修正案，限制一方主體在美國境內言論的外國判決是無法執行的”，從而禁止法國法院的判決在美國執行。然而，雅虎公司為了保護自身在法國的商業形象，考慮到其違法行為已然受到社會公眾的關注，為了降低銷售納粹紀念品所帶來的聲譽損害，阻止商業訂單下降的趨勢，雅虎公司最終選擇自覺執行法國法院的判決[31]。個人數據保護與言論自由的價值沖突是難以通過強制手段化解的。雖然公眾輿論并沒有法律效力，但是與“硬”措施的相互結合，可以彌補價值沖突的漏洞，從而有助于司法判決的真正實施。

提高行政處罰或司法判決的透明度是充分發揮公眾輿論的有效措施。眾所周知，我國網民數量眾多，針對跨國企業違反數據保護行為的處罰或判決極易引起輿論關注，而透明度的高低會直接關系到輿論宣傳的效果。我國網信部門或司法機關可以借助各方媒體平臺，及時公布個人信息處理者違法行為的具體表現、危害、裁決依據以及裁決結果。提高透明度可以產生兩方面效果：第一，起到威懾作用；第二，進一步損害該個人信息處理者的商業信譽，降低其社會評價，影響其盈利[30]300。利用輿論這一“軟”措施已經得到國外數據保護機構的重視，如英國ICO 在其網站上發布執法通知以供記者查找，旨在讓媒體對執法活動進行報道[30]300。因而，利用輿論這一“軟”措施，強化宣傳新型的或嚴重的個人數據違法處理行為，使位于境外的個人信息處理者不得不面臨負面宣傳所帶來的輿論壓力，從而促使其自覺履行法院判決。

綜上，即使司法判決在境外無法得到承認與執行，“硬”措施與“軟”措施的相互結合，以中國市場為籌碼，可以促使境外個人信息處理者自覺履行義務，達到保護個人數據的效果。

五、結語

個人數據域外管轄權的擴張已經在全球范圍內普及，在保護個人數據的同時，已然引發了域外執法管轄與司法管轄的沖突。在互聯網、大數據技術飛速發展的背景下，個人數據域外管轄權的單邊擴張具有內在動因，國際合作機制的局限意味著這一擴張趨勢將長期存在。相比于一味地“防守”，我國更重要的是構建個人數據域外管轄的進取型路徑，平衡他國主權利益與我國域外管轄的現實需求。在參與構建跨境個人數據保護執法機制的同時，細化司法判決域外實施的補充措施，促使境外個人信息處理者履行義務。

注釋：

①參見Joined cases Peter Pammer v Reederei Karl Schlüter GmbH & Co. KG（C-585/08）and Hotel Alpenhof GesmbH v Oliver Heller（C-144/09）。

②由于各國所頒布的法案名稱并不相同，但法案核心均在于保護個人數據，因而本文將此類法案統稱為個人數據保護法案。

③《個人信息保護法》第三條第二款：在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動，有下列情形之一的，也適用本法：（一）以向境內自然人提供產品或者服務為目的；（二）分析、評估境內自然人的行為；（三）法律、行政法規規定的其他情形。

④《個人信息保護法》并未采取“數據控制者或處理者”的稱謂，而是統一稱為“個人信息處理者”。

⑤參見Google LLC，successor in law to Google Inc.v Commission nationale de l’informatique et des libertés（CNIL）（C-507/17）。

⑥參見Google LLC v. Equustek Sols. Inc.（N.D. Cal.Nov. 2，2017）。

⑦參見Vidal-Hall & Ors v Google Inc [2014]EWHC 13（QB）。

⑧參見International Shoe Co.v.Washington，326 US 316（1945）。

⑨參見Helicoptoros Nacionales De Columbia，S.A. v Hall，466 U.S.（1984）。