論《個人信息保護法》的空間效力

一、問題之提出

個人信息跨境流動關涉國家主權行使與個人信息權益保護。我國《個人信息保護法》第3條規定了該法的空間效力（territorial scope），該條以個人信息處理活動發生地作為管轄依據，區分境內和境外個人信息處理活動適用不同構成要件。但在適用范圍、構成要件、法律效果等方面存在諸多爭議與模糊之處。從適用范圍來看，該條產生域外效力，但我國并未選擇國際流行的個人信息控制者標準，而是以個人信息處理活動的發生地為準區分境內與境外分別設計管轄權;從構成要件看，該條適用對象是否僅為個人信息處理者？與第53條中提及的專門機構和代表是何關系？如何理解“以向境內自然人提供產品或服務為目的”、“分析、評估境內自然人的行為\"？與個人信息跨境流通規范如何協調？以上問題均有必要通過解釋進一步明確。本文首先探尋《個人信息保護法》第3條的規范目的，確定我國個人信息域外管轄的模式選擇，進而明確本條各構成要件的內涵與法律效果，最后探討證明責任的配置問題，以期探查《個人信息保護法》的空間效力。

二、《個人信息保護法》第3條的規范目的

“法律規范乃為實現特定的目的或目標而創設，是為了‘最終考慮的誡命'”②規范目的構成一切解釋方法的目標。因而在解釋《個人信息保護法》第3條的適用條件時，需首先確定第3條的規范目的。本條的作用是“明確在我國境內處理個人信息的活動適用本法的同時，借鑒有關國家和地區的做法，賦予本法必要的域外適用效力，以充分保護我國境內個人的權益”。法律的空間適用范圍是一個國家管轄權的體現。一國的國內管轄權來源于主權。《個人信息保護法》對中國境內個人信息處理活動的管轄，與我國數據主權（data sovereignty）相關聯。故而本條的規范目的有兩個面向，一者是我國貫徹數據主權的體現，二者是憲法所規定的國家保護義務在個人信息保護領域的體現。

1.規范目的面向一：數據主權的行使

對個人信息糾紛施行管轄，首要的問題是確立是否存在管轄的正當性。通常認為，將領土與主權聯系起來源自威斯特伐利亞體系，管轄權與疆域開始對應。但由于數據和個人信息的特殊性，傳統主權概念在解釋管轄正當性時解釋力不足。對數據和個人信息進行管轄難點有二：一是能否管轄;二是如何管轄。數據傳輸主要以網絡為載體，因此數據主權與網絡主權監管難點相似。對于難點一有否定說與肯定說兩種觀點，否定說認為網絡空間并非物質實體，不存在政府亦無主權，因而不受國家主權的管轄和約束。肯定說認為互聯網的法律管轄與現實世界中的跨境交易并無不同，本質都是一國領土管轄范圍內的人與另一方的人進行接觸，因而具有相似性。目前各國對網絡空間和數據保護能夠監管已不存在分歧，世界上已有71% 的國家和地區擁有數據保護和隱私方面的相關立法。但對于難點二仍有不同看法，以美國為首的“多利益攸關方治理模式\"強調國際協作與產業優勢，而網絡新興大國則強調網絡空間的主權屬性。這一爭議焦點也反映在了《網絡行動國際法塔林手冊 2.0?? （以下簡稱《塔林手冊 2.0? ）中，《塔林手冊 2.0?? 認為主權原則上適用于存儲在一國境內的數據，有爭議的是，對存儲在境外的數據一國是否享有管轄權。我國將“尊重網絡主權\"列為“全球互聯網治理體系四項原則\"的核心，視為推動互聯網全球治理體系變革的首要原則。因此在數據立法方面，我國實行數據存儲本地化，《個人信息保護法》第40條亦規定了個人信息保護本地化要求。《個人信息保護法》中相應的域外管轄條款正是我國行使數據主權，保護我國國家利益和個人信息權益的體現。

2.規范目的面向二：國家保護義務的實現

本條的規范目的中亦包含憲法上的國家保護義務（Staatliche Schutzpflichtung）的實現。國家保護義務在個人信息權益中具有兩個面向，一是消極義務面向，表現為個人基于信息自決免受國家對其信息的無限收集和不當使用；一個是積極義務面向，要求國家必須積極作為以幫助和促進個人基本權利的實現，在面對與信息主體地位不對等的信息控制者和處理者時，國家必須承擔介人和保護義務。因而數據保護法的空間效力背后亦關涉主權國家或地區對于個人基本權利的保障。我國個人信息國家保護義務的規范路徑主要體現在《憲法》第33條第3款規定的“國家尊重和保障人權”。其中“保障\"更側重個人信息受保護權的客觀方面，要求國家積極通過立法和其他公權力行為保護基本權利主體在個人信息處理中免于受支配或陷入信息處理者制造的危險或風險之中。由于個人信息處理活動常不受地域范圍限制，單純屬地管轄的效果往往并不理想，因而各國立法為了實現對公民基本權利保護的目的，在個人信息保護的問題上不斷擴張域外管轄效力。

三、個人信息保護域外管轄模式的選擇

（一）管轄模式分類

比較法上對于個人信息保護的域外管轄立法模式可以歸納為以下幾種：

1.以數據控制者/處理者為管轄依據。代表立法例如歐盟《一般數據保護條例》（General Data ProtectionRegulation，以下簡稱\"GDPR\"）第3條第1款的設立機構原則（establishment），美國的《澄清域外合法使用數據法案》（ClarifyingLawful OverseasUseofDataAct，以下簡稱“Cloud法案\"）。

Cloud法案的出臺是在“微軟愛爾蘭”案的背景下進行的，美國聯邦第二巡回法院恪守《存儲通訊法案》的\"數據存儲地\"立場，未支持美國刑事執法機構對微軟存儲在愛爾蘭的數據申請調查令。Cloud法案改變了這一立場，采用了“數據控制者標準”。該法案主要適用于在經營活動中與美國存在足夠聯系的服務提供者，包括電子通信服務提供商和遠程計算機服務提供商。執法機構可以要求保存、備份或披露有線或電子通信的內容，或要求提供其擁有、保管或控制的客戶或訂戶有關的任何記錄或其他信息，無論此類通信、記錄或其他信息位于美國境內或境外。

美國Cloud法案和歐盟GDPR雖然都是以數據控制者和處理者作為管轄依據，但二者亦有區別。前者的視角是數據全球化立法模式，后者的視角是數據本地化立法模式。美國Cloud法案的思路主要是利用美國實力強大的跨國互聯網企業充當網絡中間人（Intemet intermediaries）。網絡中間人是數據的生產者、控制者或管理者，使美國能夠通過控制者標準輕松實現域外數據的執法管轄權。

不過，Cloud法案的適用場景主要限于執法管轄中刑事調查調取境外數據的場景，與我國《個人信息保護法》相比，二者主要有以下不同：

第一，控制標準不同。Cloud法案是否適用域外管轄依賴控制者標準，取決于數據服務提供商是否控制數據。而我國的《個人信息保護法》采取的是處理行為地和市場地原則，個人信息活動處理者是否在境外控制數據并非關鍵。

第二，適用場景不同。Cloud法案主要適用于執法機構在刑事調查中調取境外數據，而我國《個人信息保護法》第3條則適用于一切符合條件的個人信息處理行為，并不限于公權力機關跨境調取存儲在他國的個人數據的情形。

第三，限制措施不同。由于Cloud法案授權執法機構可以單方調取數據服務提供商存儲在美國境外的數據，結合美國網絡中間人的強大影響力，極易引發與其他國家的主權沖突，因而設置了一定的限制和豁免條款。我國《個人信息保護法》以保護我國境內自然人個人信息權益為主，采取了國際通行做法，對域外管轄的限制主要體現在第3條第2款的若干特定情形下，采取了較為克制的態度。

第四，保護對象和范圍不同。Cloud法案適用的數據主體主要是美國公民或居民。我國《個人信息保護法》以自然人而非國籍作為判斷標準。

GDPR中的設立機構原則主要關注的是個人數據的控制者和處理者。這點與美國Cloud法案有相似之處。GDPR第3條第1款規定，該條例適用于控制者或處理者在歐盟境內設立機構的活動范圍內進行的個人數據處理，無論處理是否在歐盟境內進行。而該原則難以歸人國際法上傳統的屬地管轄或屬人管轄，管轄依據并非是控制者或處理者的國籍，而是是否在歐盟境內存在設立機構，其保護的也不限于歐盟公民。可以看到，基于個人信息處理活動的特點，已難以簡單用傳統管轄原則進行分類。判斷是否存在設立機構的核心是通過固定機構有效且實際地開展活動。該固定機構并不要求具備獨立法人地位，并不以是否能訂立合同作為判斷依據。

2.以行為發生地為管轄依據。多數立法例關注的是數據處理行為的所在地，代表立法例如德國《聯邦數據保護法》（Bundesdatenschutzgesetz，以下簡稱\"BDSG\"）第1條第4款第2句第1項，該項規定BDSG適用于非公共機構在德國境內處理個人數據的行為，體現了對行為的屬地管轄。我國《個人信息保護法》第3條第1款亦以行為地作為管轄依據，關注的是個人信息處理活動的發生地。有研究認為墨西哥、秘魯、南非等國立法也屬于將行為地作為管轄的連接點。

3.以市場所在地為管轄依據。該立法模式又稱市場地原則（targeting/Marktortprinzip），或“效果原則”。其立法的出發點是保護本國公民的個人信息不受境外個人信息處理活動的侵害。代表立法例如GDPR第3條第2款。該立法模式影響了日本、巴西等國的相關立法。通常認為我國《個人信息保護法》第3條第2款借鑒了GDPR第3條第2款的立法思路。歐盟市場地原則的內涵是只要個人數據處理指向了歐盟境內的數據主體，對其產生了實質上的\"效果\"或\"影響”，即有可能適用GDPR。

美國也有法律采取了類似的標準，例如《兒童在線隱私保護法》（Children's Online Privacy Protection Rule，以下簡稱\"COPPA\"）。該法主要針對面向美國兒童提供在線服務或故意收集美國兒童個人信息的外國網站。美國聯邦貿易委員會（Federal Trade Commission，以下簡稱\"FTC\"）有權對違反COPPA的外國網站進行處罰。

在地方立法上，美國加州2018年頒布的《加州消費者隱私法案》（California Consumer Privacy Act of2018，以下簡稱\"CCPA\"）規定其適用對象為在加州開展業務并達到一定標準的企業。如果企業能夠證明不在加州市場經營，則可不受CCPA約束。盡管《加州消費者隱私法案》亦采取市場地原則，但相較于我國《個人信息保護法》第3條，在適用上存在較大差別：

第一，適用范圍不同。《加州消費者隱私法案》的管轄范圍主要以州為界，其與《個人信息保護法》主要適用于跨境個人信息糾紛不同。

第二，適用門檻不同。《加州消費者隱私法案》針對的州外企業主要是在加州從事業務的企業，認定這一標準需滿足：（1）上一年度總收入超過2500萬美元;（2）單獨或合并計算，每年購買、出售或共享100，000名及以上消費者或住戶的個人信息；（3）至少 50% 的年收入來自于出售或共享消費者個人信息。我國《個人信息保護法》針對的對象是境內外處理者，無論是企業還是其他非營利組織、政府機關或個人處理者，亦不考慮企業的營利規模。

第三，適用領域不同。《加州消費者隱私法案》的適用場景是消費者保護領域，相關監管措施主要是行政罰款。我國《個人信息保護法》第3條不限于消費者保護場景，如果存在通過刑事犯罪侵害我國自然人的個人信息權益，還要追究刑事責任。

4.以數據處理設備所在地為管轄依據。如原歐盟《數據保護指令》（Directive95/46/EC）第4條第1款c項針對的是境外控制者為處理個人數據使用位于成員國領土上的自動化或非自動化設備的情形。該立法模式關注的是處理個人數據的設備所在地。但是隨著互聯網技術的進步，個人數據處理活動已不拘泥于一國主權境內的設備上，因而該管轄標準為后續的GDPR所取代。

我國對于管轄依據的選擇與比較法上的若干立法例既有相似又有不同。我國并未嘗試通過數據控制者標準實現域外管轄的擴展，而是將個人信息處理活動的發生地作為首要的管轄依據。《個人信息保護法》第3條第1款規定發生在我國境內的個人信息處理活動我國均擁有管轄權，體現的是個人信息處理活動的屬地性，遵循的是屬地管轄原則。而我國《個人信息保護法》第3條第2款的管轄原則采納了市場地原則。從保護我國境內自然人個人信息權益的角度看，可歸為保護管轄;從關注處理行為的效果指向看，亦符合客觀屬地管轄和效果管轄特征。？

（二）管轄范圍比較

有觀點認為，我國這一分類模式會因缺少屬人的設立原則使我國管轄范圍變得狹窄。因而有必要分析，我國這一管轄標準較之比較法上的立法模式是否存在保護不足的問題。將控制者/處理者所在地、個人信息處理行為地和數據主體所在地作為衡量因素，在邏輯上可作以下分類：

從以上對比不難看出，盡管我國采取的是以個人信息處理活動發生地作為管轄依據，仍能夠對各類場景提供足夠保護。設立機構原則也并非唯一準則，實際上已有研究指出了GDPR第3條可能存在的保護漏洞，即境外控制者或處理者只在歐盟境內設立分支機構時，若個人數據的處理不是在該分支機構的活動范圍內進行，則既不符合GDPR第3條第1款的構成要件，又不符合GDPR第3條第2款的構成要件。可見設立機構原則的意義不應被盲目擴大，任何一種管轄依據都可能有其不足之處，對本國境內自然人的個人信息保護應通過法律體系的協力予以實現。

四、適用《個人信息保護法》的條件

（一）適用對象

本條適用對象主要是個人信息活動的處理者和相關的參與者。與GDPR不同，我國《個人信息保護法》并未區分控制者與處理者概念，而統一稱為“個人信息處理者”。最終通過的《個人信息保護法》在第3條第1款第1句中去掉了草案稿中的\"組織、個人”，學界認為這囊括了所有類型的主體。但是指向具體哪些主體有待明確。有觀點將個人信息處理者細化為“網絡服務提供者”“公共機構”“線下經營主體”，但仍較為籠統。本條關注的是“處理活動\"的參與人，因此不限于個人信息處理者。受托處理個人信息的受托人，以及境外處理者設置在我國境內的專門機構和指定代表均可適用。共同處理情形中，即使有共同處理者位于境外，如處理活動發生在境內，仍應一體適用《個人信息保護法》第3條第1款。無論是共同處理還是委托處理，區分本法第3條第1款和第2款情形的重點在于處理活動的發生地。

保護對象是位于我國境內的所有自然人。在這里沒有使用“公民”，而是使用“自然人\"概念，表明本法保護范圍并不限于我國公民，也包括我國境內的外國公民。有疑問的是，《個人信息保護法》第3條第2款第1項針對的是“境內自然人”，如果境外個人信息處理者向境內法人提供產品或服務，是否可以規避第3條第2款？為了本條規范目的的實現，這里對\"境內自然人\"的劃定范圍應采廣義理解，即使提供產品或服務的主要目標是境內的法人，但在信息處理的過程中只要涉及到自然人個人信息的，其處理目的可以理解為向自然人提供產品或服務，畢竟法人在現實世界中的活動仍依賴于組成法人的自然人。如果處理活動中不涉及自然人而僅涉及法人的相關信息，則不會落人《個人信息保護法》第3條第2款第1項的保護范圍，但有可能會觸發《數據安全法》第2條的適用。

（二）空間范圍

本條第1款所稱的“中華人民共和國境內”，可參照《出境人境管理法》第89條的規定：“本法下列用語的含義：出境，是指由中國內地前往其他國家或者地區，由中國內地前往香港特別行政區、澳門特別行政區，由中國大陸前往臺灣地區。人境，是指由其他國家或者地區進人中國內地，由香港特別行政區、澳門特別行政區進入中國內地，由臺灣地區進入中國大陸。”因此，在沒有特別說明的情況下，《個人信息保護法》中所指\"中華人民共和國境內\"應與《出境入境管理法》保持一致。不包括我國臺灣地區、香港特別行政區、澳門特別行政區。但是\"境內\"的范圍延伸至我國的船舶和航空器。

此時需要注意，“境內”是否包含我國駐外使領館？國際公法理論雖曾認為外交使館視為派遣國領土的一部分，但現有主流觀點認為外交代表是派遣國的代表。歐盟GDPR第3條第3款即對外交使領館適用GDPR作出規定，該款規定，設立在歐盟境外的控制者，如果其設立地依據國際公法而要適用歐盟成員國法律的，其對個人數據的處理適用于該條例。依國際公法適用歐盟成員國法律的情形，如成員國派往他國的外交使領館和外交使團。雖有反對意見，但多數觀點認為GDPR第3條第3款將GDPR的適用范圍直接擴展至其在境外的使領館。這一點為GDPR序言第25條所確認。《塔林手冊2.0》第七章亦認為，外交和領事的特權與豁免在網絡空間亦同樣適用。所以，雖然現在國際公法主流理論不再將駐外使領館視為一國領土在接受國的延伸，但由于外交使領館仍是派遣國的外交代表機關，在內部管理上，我國駐外使領館處理個人信息活動也適用我國《個人信息保護法》的相關規定。相應地，依據《維也納外交關系公約》，位于我國的外國外交代表機關及成員享有相應的外交特權與豁免，亦適用其本國相關個人信息保護法律，例如德國駐華大使館發布的《關于收集和使用個人資料的聲明》1.3中提到，該使館處理個人數據的法律依據是GDPR第6條第1款的a，b，c，d，e項。

（三）處理行為

1.在我國境內從事自然人的個人信息處理活動

我國以個人信息處理活動的發生地作為本條的管轄依據，具體個人信息處理行為應結合《個人信息保護法》及相關法律法規的規定加以認定。對于處理行為如何認定為發生在我國境內，有觀點認為可以考慮實際發生地或服務器所在地作為標準，純粹的、不經停留的網絡數據過境傳輸通常不視為在我國境內處理個人信息。不過，服務器所在地僅是諸多參考標準中的一項，例如云計算服務往往在世界多地存在多個服務器實現信息處理活動，不能簡單以服務器不設立在我國境內為由主張不屬于我國管轄。

盡管《個人信息保護法》第3條對“處理\"活動沒有作立法定義，但在其他條文中用多種方式或抽象、或具體地列舉了處理個人信息的活動。例如《個人信息保護法》第4條第2款規定：“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。\"第10條以禁止性規范的方式規定：“任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息;不得從事危害國家安全、公共利益的個人信息處理活動”;第22條規定個人信息因合并、分立、解散、被宣告破產等原因發生的移轉等情形。

從上述規定來看，個人信息處理行為應當包含收集、存儲、使用、加工、傳輸、提供、公開、刪除、買賣、移轉等行為，以及禁止從事可能會危害國家安全、公共利益的行為。處理行為具體內涵的界定，除參考《個人信息保護法》第4條第2款、第10條、第22條外，還可參考《信息安全技術個人信息安全規范》（以下簡稱《個人信息安全規范》）對“收集”、“公開”概念的界定，《互聯網個人信息安全保護指南》3.6對個人信息“使用\"的界定。同時需注意按照《個人信息保護法》第72條第1款的規定：“自然人因個人或者家庭事務處理個人信息的，不適用本法。”

有疑問的點在于，《個人信息保護法》第10條禁止的對象是處理“他人”個人信息，那么，個人處理自己的個人信息的行為是否包括在內？例如向他人出賣或傳輸自己的個人信息是否屬于這部分規制的范圍？這里需要結合條文的規范目的來認定。當自然人處理自己的個人信息，有可能屬于第10條第3分句所稱\"危害國家安全、公共利益的個人信息活動\"時，也屬于本條規制范圍，例如崗位涉密人員違反保密規定向他人提供自己的任職和工作情況等與涉密相關的個人信息。

2.在我國境外從事特定的自然人個人信息處理活動（1）以向境內自然人提供產品或服務為目的

在GDPR第3條第2款（a）項中，“商品\"（goods）主要指\"有形動產”。我國《個人信息保護法》第3條第2款第1項中使用的是“產品\"概念。從漢語詞典中收錄的“產品\"概念來看，“產品\"指\"生產出來的物品”，日常含義中，產品一般指有體物。

我國法律對各類具體的“產品\"概念有相應的規定。例如《產品質量法》第2條第2款規定：“本法所稱產品是指經過加工、制作，用于銷售的產品。”《農產品質量安全法》第2條第1款規定：“本法所稱農產品，是指來源于種植業、林業、畜牧業和漁業等的初級產品，即在農業活動中獲得的植物、動物、微生物及其產品。”其他涉及“產品\"范圍的如《工業產品生產許可證管理條例》第2條劃定了實行生產許可證制度的“重要工業產品范圍”，《農業化學物質產品行政保護條例》第2條規定的“農業化學物質產品”，《缺陷汽車產品召回管理條例》第2條規定的“汽車產品。\"以上法律、行政法規、部門規章中的\"產品\"概念仍限于有體物。

除以上“產品\"概念和分類之外，也有的法律、法規和規范性文件中使用的\"產品\"超出了有體物概念，例如《中國銀監會關于保險資金投資有關金融產品的通知》第1條的規定，金融產品的范圍主要指商業銀行等各類金融機構依法發行的資產管理產品和資產證券化產品。資產證券化從法律性質上講可以理解為“股權或債權憑證的出售”，其本質多為債權或股權的變體，所以并非有體物。雖然在各類理財產品中涉及到的擔保物為有體物，但往往只是理財產品所涉及的對象，而不是理財產品本身。例如銀監會發布的《銀行業金融機構衍生產品交易業務管理暫行辦法（2011修訂）》第3條第1分句規定：“本辦法所稱衍生產品是一種金融合約”。衍生工具通常被視為一種金融產品，但其本質是法律上的合同，其內容類似于傳統的買賣或互易合同。當然金融產品的概念大于衍生產品概念，不僅包含買賣或互易的合同類型，還包括債權轉讓、股權轉讓、信托、擔保、借款等多種類型合同以及其混合形成的合同。例如資產證券化就是債權讓與的主流交易形式之一。

所以在我國法律體系中，“產品”概念具有多種表現形式，并不局限于有體物，亦包含債權讓與等債權或股權交易。在解釋《個人信息保護法》第3條第2款第1項中的“產品\"概念時，應采廣義“產品\"概念。這一解釋方案有利于對個人信息處理活動中的個人合法權益予以全面保護。在涉及跨境交易的場景下，如企業跨境并購活動中，常常涉及到處理自然人的個人信息。有觀點認為，對于商品和服務區分的意義不大，例如GDPR第3條第2款（a）項同時涵蓋商品和服務。但是就《個人信息保護法》第3條第2款第1項的解釋而言，盡量明確\"產品”和“服務\"的含義有利于司法裁判中明確該項對應的內涵和外延。特別是對于數字產品和帶有數字元素的產品，其物理載體和內中包含的服務可能分別受不同的個人信息處理活動影響。

《個人信息保護法》第3條第2款第1項將“服務\"與“產品\"概念并列規定。對于“服務\"的理解可以民法上的諸多服務合同展開。典型者如電信服務合同、醫療服務合同、法律服務合同、旅游服務合同、教育培訓合同等。以互聯網軟件為主的應用程序多數屬于“服務\"的范疇。廣義服務合同亦可包括如承攬合同、建設工程合同、運輸合同、委托合同、保管合同、倉儲合同、物業服務合同、行紀合同、中介合同、技術合同等。在互聯網時代，云計算服務等服務形式也被認為是服務合同之一。例如在左某訴某琴商務咨詢（上海）有限公司等個人信息保護糾紛案中，為左某提供酒店服務的公司為注冊地在法國的跨國酒店管理集團，其在中國的關聯公司某高公司為左某提供酒店會員服務時收集了左某的相關個人信息，基于管理中央預訂系統、處理個人預定、客戶服務管理、營銷傳播管理、業務分析活動、信息存儲等處理目的向六個國家的七個境外接收方傳輸了左某的個人信息，并基于營銷傳播的目的向位于美國和愛爾蘭的某公司實施了信息傳輸及信息處理行為。又如在陳某銳訴南京泊某網絡科技有限公司網絡服務合同糾紛案中境外公司為核查賬戶來往情況需要我國公民的身份信息，這些都屬于《個人信息保護法》第3條第2款的情形。

從現實社會的交易形態看，對于《個人信息保護法》第3條第2款第1項中“服務\"概念的界定可參考以《民法典》為基礎的私法規范對于服務形態的總結。“服務\"并不局限于線上服務，因為線下服務的需要而搜集的個人信息亦受《個人信息保護法》的保護，例如在跨境旅游和簽證辦理過程中，信息的傳遞可能以紙質材料為載體，此時對于個人信息的處理亦適用《個人信息保護法》第3條第2款第1項。

關于提供產品或服務的意圖，如本項文義所顯示，并不要求一定具有實際的提供行為，只需存在提供目的即可。如GDPR在認定主觀目的時，往往不要求使合同成立，發出要約甚至要約邀請都可能被認為是具有提供服務的目的。亦不要求是控制者或處理者的積極主動行為，在網站上被動地保持一個服務的提供狀態也可以構成該規定意義上的提供服務。為了更全面地保護信息主體的權利，本條的涵攝范圍還可能規制與提供服務間接相關的數據處理，這意味著在時間上處于要約前或要約后的數據處理也應納入“以提供服務為目的\"的范疇，特別是為了廣告目的而進行的數據處理，例如在酒店網站上訂購服務時向客戶顯示的廣告或其他信息。但是僅用于展示目的的公司網站通常不構成該意義上的服務。

需要注意的是，所提供的服務不僅限于由私主體通過合同約定的服務，還有可能是公共機構的服務。

例如國外的大學在錄取考生時亦會發生信息的收集和處理。從法律性質來看，國外存在許多由政府支持運營的公立高校，他們亦可能是公共服務的提供者，因此這里的服務必須采取廣義解釋。社會公益事業相關的服務亦包括在內。類似的還比如相關的語言考試過程中搜集的考生信息，申請簽證過程中的申請人個人信息等。

（2）分析、評估我國境內自然人的行為

《個人信息保護法》第3條第2款第（2）項使用了“分析、評估境內自然人行為\"的概念，但內涵尚不明確。國內研究多將其等同于歐盟GDPR第3條第2款（b）項中的“監測（monitoring/beobachten）”，這一表述易引起混淆，使人誤以為主要用于公權力機關或商業主體對自然人的監視控制，實際上其內涵與我國漢語中\"監控”一詞的日常含義有較大不同。GDPR中的\"監測\"使用的是相對中性的含義而非負面含義。

從比較法上的實踐來看，監測行為的典型場景主要包括： 行為廣告； ② 地理定位活動，特別是基于市場營銷目的； ③ 使用Cookies或其他技術進行的在線追蹤，例如使用指紋識別技術、在線個性化飲食和健康分析服務； ④ 閉路電視； ⑤ 基于個人用戶畫像的市場調查和其他行為研究； ⑥ 對個人健康狀況的監測或定期報告;除了上述形式外，還可能包括插件和互聯網上的按鈕，如社交軟件上的點贊按鈕（Like-Button）可以用于分析用戶行為。

在主觀意圖方面，《個人信息保護法》第3條第2款第2項在草案一審稿為\"（二）為分析、評估境內自然人的行為”。草案二審稿中去掉\"為\"字，最終正式文本中的表述為\"（二）分析、評估境內自然人的行為”。立法者這一改動或許意在放松對本項的主觀要件的要求，只需檢查是否存在客觀的分析、評估行為。相類似的，GDPR第3條第2款（b）項也未規定需要主觀上的監測意圖，無意中的監測也可能被GDPR第3條第2款（b）項所涵蓋。但主流觀點認為，監測是一種積極實施的行為，應該是一種有意識、有目的的行為。這里的有意識主要區別于無意中被傳輸給控制者或處理者的個人數據，或是控制者無意中得知的相關個人數據。這里的有目的主要是指追蹤技術被用于對個人數據進行分析或生成用戶畫像。但是目的可以非常廣泛，即使是生成的用戶畫像用于研究而非商業目的，也屬于本條的規制范圍。GDPR序言第24條即建議通過自然人是否在互聯網上被追蹤來判斷是否構成監測。這一條件具備兩個要素，一是以在線方式進行；二是采取了追蹤的相應技術手段，如用戶畫像。因此，可以說在線追蹤和用戶畫像是典型的監測行為。

具體到我國《個人信息保護法》第3條第2款第2項，其表述使用的是“分析、評估境內自然人的行為”。從應對新技術發展的角度看，第3條第2款第2項不應設置主觀要件，即無需對分析、評估行為的主觀目的進行考察。隨著生成式人工智能的推廣普及，生成用戶畫像的過程往往與生成式人工智能技術的使用緊密相關，不采主觀構成要件，有助于強化生成式人工智能使用者和服務提供者的風險防范意識，減少使用過程中的多種信息侵害風險。從體系解釋的角度看，分析、評估的范圍可以與自動化決策相比對。《個人信息保護法》第73條第2項對“自動化決策”做了界定，指：“通過計算機程序自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等，并進行決策的活動。”在定義中也使用了“分析、評估”的表述。例如在麥海波訴北京法先生科技有限公司等網絡侵權責任糾紛案中，法院在總結產業實踐經驗的基礎上認為，自動化決策包含兩個環節，一是用戶畫像，二是利用用戶畫像結果對個人做出決策。條文的表述也可以看出，“并\"字區分了前后兩個不同階段，即第一階段是分析、評估，第二階段是做出決策，所以分析、評估主要與用戶畫像有關，是自動化決策的一個環節，而非全部。用戶畫像的定義可以參考《個人信息安全規范》中的描述。司法實踐也認可“通過計算機程序自動分析、評估\"的活動屬于《個人信息安全規范》中所稱的“作出分析或預測，形成其個人特征模型的過程”。

從分析、評估的對象看，第3條第2款第2項有兩種解釋方案：

第一種解釋方案是，境外處理者分析、評估的對象是境內自然人的“行為”，此時“境內自然人的行為”是分析、評估的賓語。但顯然這種解釋結論過窄，不利于依法保護我國自然人個人信息。

第二種解釋方案是，法條關注的是處理者對境內的“自然人\"進行分析、評估。這里當然包含自然人各類個人信息，并不一定是行為，還有可能包含展現自然人人身、財產等基本情況的個人信息。例如《個人信息安全規范》中提到的\"職業、經濟、健康、教育\"等信息。這一解釋內涵較寬，有利于在跨境個人信息糾紛中擴展管轄權，實現規范目的。

我國《個人信息保護法》第3條第2款第2項只使用了“分析、評估\"的表述，并未限定于自動化處理手段。這意味著在解釋上我國并不能將分析、評估行為限定為自動化的個人信息處理技術。這一點區別于歐盟的GDPR，其只將生成用戶畫像的行為限定在自動化處理方式上，這與其立法史有關。境外處理者如果采用人工處理方式，在一組個人信息中得出特定的個人信息特征，形成用戶畫像，也應屬于本項的范圍。例如境外小型商業公司通過人為的數據分析得出目的客戶群體通過郵件進行商業廣告投放，又如境外處理者通過傳感器或紙質調查方式收集自然人個人信息并傳輸至境外進行分析等行為。用戶畫像多被用于算法自動化決策，容易帶來“信息繭房”隱私泄露和算法歧視等多種風險。從保護個人信息免受侵害，確保我國對跨境個人信息糾紛享有管轄權的角度看，應當將分析、評估行為解釋為在線或非在線方式對自然人追蹤、生成用戶畫像等典型行為。其類型化可以參考前文提出的監測行為的類型。特別是以ChatGPT為代表的生成式人工智能的應用，極大地加強了個人信息處理者收集、分析、評估自然人行為并生成用戶畫像的能力。現階段生成式人工智能收集的海量信息缺乏較為完善的信息清洗技術，對冗余信息的信息泄露風險保護不足。在數據出境評估中，應著重考慮對生成式人工智能的分析、評估行為的風險進行審查。

3.引致情形

本法第2款第3項為引致條款（Verweisungsnorm），其僅僅具有引致其他法律規范的功能。《個人信息保護法》第3條第2款第3項相當于對構成要件保持開放性規定，并未具體指明應引致哪一具體規范，因此中國法律體系中所有可能的條款都在其引致范圍之內。設立這一兜底性的規定，有助于保持《個人信息保護法》適用范圍的靈活性，避免在將來出現新型社會實踐時本法無法提供相應的保護。例如《生成式人工智能服務管理暫行辦法》第2條中規定的利用生成式人工智能技術向中華人民共和國境內公眾提供生成式人工智能服務的情形。

五、適用第3條的法律效果

（一）取得管轄權并產生域外效力

本條為管轄權條款，符合本條構成要件的，我國法院取得對相應案件的管轄權。本法第3條第2款有域外效力當無疑問，因為立法用語中明確指“中華人民共和國境外”。但是本法第3條第1款是否具有域外效力，存有疑問。有觀點建議在后續的立法或司法解釋中進一步將第3條第1款的范圍明確為無論個人信息處理者是否位于境內，均適用本法。

從本法第3條第1款的文義看，立法者并未明確是否將處于境外的個人信息處理者納入第1款的文義范圍，例如個人信息處理者為法人時，以主營業地還是登記地作為認定標準？如果未在我國境內設立專門機構或代表的境外處理者，利用位于我國的服務器和面向我國的應用程序收集我國境內自然人的個人信息，是在我國境內處理個人信息，還是在境外處理個人信息？相關釋義認為，對于《個人信息保護法》第3條第1款的適用范圍從主體維度上說，“無論是否為中國的組織和個人，均適用本法”。無論處理者是否為我國公民或在我國登記注冊的法人。第1款的適用對象包括我國和外國的所有個人和組織。本文認為，從實現規范目的的角度看，第3條第1款雖然以屬地管轄為原則，但實際上也應賦予域外效力。

（二）與個人信息跨境流動的關系

在內部體系中，特別要注意區分域外管轄條款與個人數據跨境流動規范之間的關系。數據跨境流動與個人信息保護相伴相生，如果缺乏針對“跨境數據自由流動\"的合理監管，將無法有效保障個人的隱私安全。《個人信息保護法》第40條對個人信息的本地化存儲有所規定，國內的個人信息如需為境外處理者獲取需先經過跨境傳輸。比較法上域外管轄通常與跨境傳輸聯系緊密，甚至有觀點認為向他國傳輸數據也屬于數據保護法的域外效力。歐盟GDPR不僅在第3條第2款將管轄權擴展至域外的數據控制者和處理者，還通過建立數據跨境傳輸的永久最低標準（perpetuierter Mindeststandard）實現個人數據保護水平的地域擴張。因而GDPR中第3條域外管轄條款與第44條跨境數據傳輸存在體系關聯，二者都存在擴張GDPR域外適用效力的情形。GDPR第3條與第五章“向第三國或國際組織傳輸個人數據”之間存在交叉關系。在符合GDPR第3條的情形下，可以徑行適用第3條。對第五章而言，解釋數據跨境轉移規則時，對等效性模式的判斷需要考慮第3條。這主要與數據\"轉移”行為的認定有關。EDPB關于《GDPR第3條與第五章規則適用關系指南》中提到了三種情形：

（1）控制者或處理者（數據出口方）對特定的處理行為受GDPR的約束。這里主要指符合GDPR第3條所規定的情形。

（2）數據出口方通過傳輸或者其他方式向另一控制者、共同控制者或處理者（即進口方）披露個人數據。

（3）該進口方位于第三國，無論該進口方是否因特定處理行為依第3條適用GDPR或是一個國際組織。

此時跨境數據傳輸與域外管轄條款建立了體系關聯。是否直接受GDPR約束構成跨境數據傳輸的判斷前提。如果處理行為本身直接適用GDPR，則無需考慮在跨境情形下適用第五章，如果判斷處理行為本身并不依管轄條款適用GDPR，則需要根據第五章的規定，將跨境傳輸限定在有歐盟委員會的充分性決定（GDPR第45條）或提供適當保障措施（GDPR第46條）的前提下進行，以確保數據傳輸至第三國后能得到相當水平的保護。在非歐盟控制者和處理者在第三國收集個人數據的情形下，適用GDPR第3條第2款，在向第三國傳輸數據的情況下，才涉及第45條以下條款評估第三國數據保護水平。

我國《個人信息保護法》相關的個人信息跨境傳輸主要涉及數據進口和數據出口。數據進口主要是指非我國境內的個人信息處理者或處理活動的委托方委托我方處理來自境外的個人信息。因處理活動發生在我國境內，故應適用我國《個人信息保護法》的相關規定。數據出口主要是指將我國的個人數據向境外個人數據處理者傳輸或提供個人信息的行為。《個人信息保護法》第38條以下規定的向境外提供個人信息，以及《促進和規范數據跨境流動規定》中規定的數據出境情形即屬于此類。例如《促進和規范數據跨境流動規定》第4條規定了數據進口后再出口，屬于我國《個人信息保護法》第3條第1款規定的發生在我國境內的個人信息處理活動。出境后的數據如果被境外個人信息處理者用于向我國提供產品、服務或分析、評估我國自然人的行為，亦可能受我國《個人信息保護法》第3條第2款的管轄。

需注意的是國內并非所有出境個人數據都需要經過數據出境安全評估、個人信息出境標準合同以及個人信息保護認證。例如《促進和規范數據跨境流動規定》第5條規定的出境豁免申報情形。上述情形下雖無需出境評估，但仍會落人《個人信息保護法》第3條第2款第1項和第2項所保護的范圍。

目前我國個人信息保護領域立法已經較為完善，《數據出境安全評估辦法》《數據出境安全評估申報指南》《個人信息出境標準合同辦法》《促進和規范數據跨境流動規定》等法規和規范性文件為出境評估提供了細致的評估標準。下一步，考慮到我國具備龐大的市場規模和有力的數字產業政策優勢，我國可以通過《個人信息保護法》第38條中的安全評估、個人信息保護認證和標準合同等手段，積極對境外數據進口方所在國的法律環境施加國際影響。打造屬于我國個人信息跨境傳輸的“中國標準\"和\"中國范式”，提升我國個人信息標準在國際上的影響力。我國《個人信息保護法》的諸多條款可隨個人信息的跨境提供規則對個人信息處理者產生影響，例如在《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規范 V2.0??5.4 “個人信息保護影響評估\"（b）中要求考慮跨境處理個人信息的\"規模、范圍、類型、敏感程度、頻率\"等要素，我國敏感個人信息的定義有別于歐盟和美國，定義和分類具有本土化特色，有著豐富的內涵。可通過個人信息安全認證的方式輸出我國個人信息保護的獨特方案。通過標準輸出、標準合同等方式在個人信息出境端降低境外可能存在的侵害風險。在法律適用上，可以根據法律實踐需要及時對《個人信息保護法》中第3條與第3章“個人信息跨境提供的規則”的適用關系予以明確。在標準合同應用的實踐過程中總結和發布典型案例，形成我國個人信息跨境傳輸監管的實質標準。

（三）管轄權沖突與協調

域外管轄雖然在立法層面得到確立，但在司法管轄上能否得到適用，一直是個問題。例如\"法國雅虎”案中，法國法院雖通過裁決方式對美國雅虎行使域外司法管轄權，但雅虎公司以該裁決產生域外效力為由拒絕履行并訴至美國法院主張該裁決侵犯其在美言論自由權利。類似情形還有谷歌公司向美國相關法院提起訴訟，拒絕執行加拿大法院的相關裁決。因此，即使各國采取不同形式的立法方式對個人信息處理活動實行域外管轄，其引發的管轄權沖突與協調仍是未來的新課題。現有比較法上，各國在擴張域外管轄時通常也會匹配一定的弱化沖突措施。例如歐盟GDPR第五章跨境傳輸部分，除了直接適用GDPR的情形外，還通過等效性原則允許歐盟承認第三國在數據保護領域的實體法規定、監督和執行達到相似水平，淡化歐盟法域外適用的負面影響；美國的Cloud法案雖受到諸多批評，但是也規定了若披露可能導致企業違反適格外國政府法律，可根據整體情況評估、司法公正等原因修改或撤銷法律程序。在個人信息保護的管轄權沖突問題上，我國總體采取了克制態度。在執法管轄上，雖然《個人信息保護法》第41條規定未經主管機關批準個人信息處理者不得擅自向境外司法或執法機構提供我國境內個人信息，但在拓展我國調取境外數據方面，有待進一步探索合作機制。實踐中我國已與德國政府簽訂《關于中德數據跨境流動合作的諒解備忘錄》，但從實現我國《個人信息保護法》域外效力的角度看，如果缺乏相應的域外執行合作機制將較難實現對個人信息權益的全方位保護。

（四）法律責任

符合上述構成要件，意味著本法對該處理行為具有約束力，并適用我國《個人信息保護法》的評價體系。從救濟角度看我國境內自然人可通過我國法院向境外個人信息處理者主張知情權、決定權、查閱權、復制權、可攜帶權等權利。如果處理行為侵害我國公民的合法權益，還要依照《個人信息保護法》第七章的規定，要求個人信息處理者承擔相應的民事、刑事和行政責任。我國監管機構亦可對境外個人信息處理者實施處罰。例如在2022年國家網信辦對注冊地為開曼群島的滴滴全球股份有限公司處以人民幣80.26億元罰款。在適用處罰時，監管部門通常會對以下因素進行綜合考量：違法行為性質的惡劣程度;違法行為持續時間、危害程度;違法處理的個人信息數量和違法處理個人信息的情形等。

六、證明責任的配置

本條并非關于實體法上權利、義務與法律責任的規定，而是確定管轄權條款。因而本條的證明責任屬于訴訟法上的證明責任，針對的是程序法上的要件事實而非實體法上的要件事實。訴訟自身涉及的問題也可能出現真偽不明的情況，因此也存在證明責任問題。在證明責任的分配上，依適用的程序法不同，而有不同的證明責任分配。

民事訴訟中，任何一方當事人均需對申請所依據的訴訟法規范的前提條件承擔證明責任，就主張管轄權而言，原告在申請指定管轄法院時需對申請的前提條件承擔證明責任。在證明責任方面，民事訴訟中主要是由原被告雙方對案件事實舉證。原告在法院起訴時，需就起訴符合條件承擔舉證責任。訴訟法的證明責任多只發生于一方當事人和法院這兩個主體之間，例如在起訴中，法院收到原告起訴狀后需要依照《民事訴訟法》第122條的規定對是否符合起訴條件進行審查。由于本條屬于管轄權條款，所以當事人可能就是否具有管轄權提出管轄權異議，對管轄權提出異議的，應由持有不同意見的當事人向法院表示反對，證明責任在提出異議的當事人一方。由于管轄權異議只能由本訴被告提出，因此需由本訴被告負擔管轄權異議的證明責任。

刑事訴訟程序中，根據《刑事訴訟法》第51條的規定，公訴案件中被告人有罪的舉證責任由人民檢察院承擔，自訴案件中被告人有罪的舉證責任由自訴人承擔。就程序事項而言，對管轄權異議存在證明責任分配問題。《最高人民法院關于適用lt;中華人民共和國刑事訴訟法gt;的解釋（2021）》（法釋[2021]1號）第228條第1項規定法院在庭前會議時可以就是否對案件管轄有異議聽取控辯雙方意見，2024年發布的《辦理刑事案件庭前會議規程》（法發[2024]12號）第12條規定了被告人及其辯護人可以對案件管轄提出異議，并應當說明理由。因此就刑事案件的管轄權異議，應當由被告人及其辯護人承擔證明責任。

行政訴訟程序中，對管轄權存在異議的，根據《最高人民法院關于適用lt;中華人民共和國行政訴訟法》的解釋》（法釋[2018]1號）第10條第1款的規定，行政訴訟程序管轄權異議的證明責任由被告一方承擔。

Abstract：Article3ofthePersonal Information Protection Law establishes jurisdictionbasedonthelocationof personal information processing. It focuses on data sovereignty and national protection obligations.Paragraphs 1 and 2 respectively applyto domesticand cross-border processing activities，yet both have extrateritorial ffcts. Key points for interpretation include the scope of processing，the provision of products or services，including financial products，and analysis or assessment activities.The burden of proof concerns procedural law，not substantive law.China's framework ensures enough extrateritorial protection compared to other systems.

Keywords： spatial effect; extraterritorial jurisdiction; cross-border data flow;burden of proof