何葉華

（南京大學(xué) 法學(xué)院，江蘇 南京 210093）

近年來，以歐盟一系列數(shù)據(jù)保護(hù)規(guī)制為代表，國(guó)際社會(huì)興起數(shù)據(jù)保護(hù)立法的浪潮[1]。中國(guó)數(shù)據(jù)保護(hù)起步相對(duì)較晚，但通過頒布各項(xiàng)規(guī)范性文件，數(shù)據(jù)保護(hù)立法進(jìn)程在不斷加快，特別是2019年全國(guó)人大常委會(huì)正式將個(gè)人信息保護(hù)法納入階段立法規(guī)劃，一部數(shù)據(jù)保護(hù)專門立法呼之欲出?？v觀世界范圍內(nèi)數(shù)據(jù)保護(hù)立法，一個(gè)值得注意的立法細(xì)節(jié)是，歐盟最新數(shù)據(jù)保護(hù)立法規(guī)定，在一定條件下，歐盟數(shù)據(jù)規(guī)則將適用于歐盟之外的數(shù)據(jù)處理者及行為，以期實(shí)現(xiàn)本國(guó)數(shù)據(jù)保護(hù)以及數(shù)據(jù)市場(chǎng)開發(fā)利益的最大化。不僅歐盟如此，其他國(guó)家數(shù)據(jù)立法也相繼寫入域外效力條款，將法律規(guī)制的范圍擴(kuò)張到域外①以歐盟數(shù)據(jù)立法為代表，俄羅斯、澳大利亞、新加坡、南非、日本等國(guó)家數(shù)據(jù)保護(hù)法中均含有域外適用的規(guī)定。。因此中國(guó)在數(shù)據(jù)立法將要出臺(tái)之際需要作出抉擇，是否應(yīng)當(dāng)增添域外效力之規(guī)定。

一般而言，國(guó)內(nèi)法關(guān)注國(guó)內(nèi)事項(xiàng)，效力范圍受制于一國(guó)主權(quán)領(lǐng)土，適用于主權(quán)管轄權(quán)范圍內(nèi)的人、物和行為，并不需要對(duì)效力范圍問題作出特別規(guī)定[2]。但在國(guó)際社會(huì)實(shí)踐中，已出現(xiàn)采納域外效力規(guī)定的現(xiàn)象，將本國(guó)領(lǐng)土范圍之外的行為納入本國(guó)法規(guī)制范圍，如反壟斷法、證券法等領(lǐng)域?？梢源竽懖孪耄瑪?shù)據(jù)保護(hù)領(lǐng)域是否屬于這類特殊領(lǐng)域，需要明確域外效力規(guī)定?；卮疬@一問題，不單取決于中國(guó)立法的自主選擇，還應(yīng)將國(guó)際法理論與數(shù)據(jù)保護(hù)的特殊屬性一并進(jìn)行謹(jǐn)慎考慮。目前中國(guó)學(xué)者更多關(guān)注國(guó)內(nèi)法架構(gòu)以及數(shù)據(jù)流轉(zhuǎn)的國(guó)際協(xié)調(diào)等實(shí)體規(guī)則方面，雖然也在論證中附帶提出應(yīng)當(dāng)重視域外效力規(guī)定，但對(duì)于國(guó)內(nèi)數(shù)據(jù)保護(hù)法域外效力問題的國(guó)際法基礎(chǔ)、中國(guó)立場(chǎng)選擇等問題尚未形成充分討論②目前國(guó)內(nèi)關(guān)于個(gè)人數(shù)據(jù)保護(hù)方面的研究主要集中在民法、憲法、行政法、刑法等領(lǐng)域，部分國(guó)際法學(xué)者對(duì)國(guó)際層面有所涉及，但主要側(cè)重于跨境數(shù)據(jù)流轉(zhuǎn)的多邊機(jī)制研究。[3-5]鑒于此，本文將首先闡述數(shù)據(jù)保護(hù)法產(chǎn)生域外效力問題的現(xiàn)實(shí)基礎(chǔ)，再?gòu)膶?shí)然層面探討數(shù)據(jù)保護(hù)法域外效力實(shí)現(xiàn)的具體途徑，并論證在國(guó)際法層面的正當(dāng)化基礎(chǔ)，最后綜合分析中國(guó)在數(shù)據(jù)保護(hù)域外效力問題上的應(yīng)對(duì)之策。

一、數(shù)據(jù)保護(hù)法域外效力問題的現(xiàn)實(shí)基礎(chǔ)

自20世紀(jì)90年代以來，互聯(lián)網(wǎng)逐漸融入日常生活，依托互聯(lián)網(wǎng)科技進(jìn)行信息收集、處理、轉(zhuǎn)移的過程隨之誕生，并在科技進(jìn)步、文化交流、打擊犯罪等方面發(fā)揮著積極作用。發(fā)展與風(fēng)險(xiǎn)同在。隨著信息技術(shù)的廣泛應(yīng)用以及個(gè)人生活與網(wǎng)絡(luò)世界的密切聯(lián)系，原本形式上匿名、分散的網(wǎng)絡(luò)數(shù)據(jù)可以通過技術(shù)分析處理合成“數(shù)據(jù)人像”，借助無處不在的網(wǎng)絡(luò)數(shù)據(jù)記錄準(zhǔn)確鎖定信息主體已經(jīng)成為現(xiàn)實(shí)，個(gè)人生活由此赤裸裸地暴露在數(shù)據(jù)使用者面前，一旦泄漏將直接危及個(gè)人隱私安全[6]；與此同時(shí)，對(duì)數(shù)據(jù)利用者而言，個(gè)人信息不再僅僅是標(biāo)識(shí)符號(hào)，而是作為一種新型資源，影響著公共管理、商業(yè)活動(dòng)中的具體決策，促使其通過技術(shù)手段最大化地獲取數(shù)據(jù)，進(jìn)而實(shí)現(xiàn)數(shù)據(jù)背后的社會(huì)福利抑或經(jīng)濟(jì)價(jià)值。由此，數(shù)據(jù)利用行為與個(gè)人信息保護(hù)之間發(fā)生不可避免的沖突。對(duì)于上述問題，國(guó)內(nèi)學(xué)者從隱私權(quán)的憲法建構(gòu)與私法救濟(jì)視角，試圖將粗線條的綜合立法與細(xì)化的特別領(lǐng)域立法相結(jié)合，自上而下為個(gè)人信息編織一張緊密的保護(hù)網(wǎng)，但忽略了一個(gè)重要因素，即數(shù)據(jù)保護(hù)法的效力邊界問題。在數(shù)據(jù)全球化現(xiàn)實(shí)面前，通過國(guó)內(nèi)法對(duì)個(gè)人數(shù)據(jù)進(jìn)行的規(guī)制行為并非單一國(guó)家所特有，網(wǎng)絡(luò)的無國(guó)界特點(diǎn)與各國(guó)立法上的分歧必然帶來數(shù)據(jù)保護(hù)法律之間的交叉與真空，而這些沖突的本源與結(jié)果都指向了個(gè)人數(shù)據(jù)保護(hù)法的域外效力問題。

具體來說，對(duì)于個(gè)人數(shù)據(jù)保護(hù)法域外效力問題的關(guān)注主要基于三方面的考慮。

其一，網(wǎng)絡(luò)信息技術(shù)的發(fā)展對(duì)以地理為邊界確定法律效力范圍的傳統(tǒng)立法模式形成挑戰(zhàn)。一般而言，一國(guó)的法律在本國(guó)主權(quán)范圍內(nèi)具有拘束力，效力邊界相應(yīng)受制于一國(guó)的物理空間[7]。在面對(duì)網(wǎng)絡(luò)信息技術(shù)問題時(shí)，這一原則發(fā)生了根本改變。就技術(shù)層面，大數(shù)據(jù)的運(yùn)用使網(wǎng)絡(luò)服務(wù)提供者能夠在全球范圍內(nèi)挖掘海量個(gè)人數(shù)據(jù)，另外結(jié)合云計(jì)算技術(shù)，數(shù)據(jù)中心將計(jì)算資源虛擬化，突破本地處理模式，在云計(jì)算終端完成網(wǎng)絡(luò)服務(wù)的跨境分配與聚合[8]。表面上這種技術(shù)操作只是呈現(xiàn)出技術(shù)的跨境潛質(zhì)，即網(wǎng)絡(luò)數(shù)據(jù)資源的開發(fā)與分析架構(gòu)很難局限在一國(guó)地域范圍。但深入分析可知，大數(shù)據(jù)與云計(jì)算技術(shù)的應(yīng)用實(shí)質(zhì)上是在地理界線之外創(chuàng)設(shè)出一個(gè)虛擬網(wǎng)絡(luò)空間[9]。在這一空間，個(gè)人數(shù)據(jù)的交換、存儲(chǔ)與分析等行為具有全面的空間自由與彈性，和物理空間的地域關(guān)聯(lián)甚微。因此當(dāng)針對(duì)個(gè)人數(shù)據(jù)的行為規(guī)制與權(quán)利保護(hù)規(guī)則由物理空間延伸到網(wǎng)絡(luò)空間時(shí)，地理因素不再構(gòu)成單一的確定性標(biāo)準(zhǔn)，法律效力與國(guó)家主權(quán)界限之間的邏輯關(guān)系隨之發(fā)生改變[10]46-47，個(gè)人數(shù)據(jù)保護(hù)立法的效力范圍由此成為必須重新審視的問題。

其二，個(gè)人數(shù)據(jù)保護(hù)法域外效力問題的產(chǎn)生并不僅僅是科技進(jìn)步引發(fā)的客觀現(xiàn)象，更深層次原因在于，個(gè)人數(shù)據(jù)具有多元價(jià)值，價(jià)值利益的沖突與制衡促使國(guó)家通過擴(kuò)張本國(guó)法律適用范圍的單邊方法，實(shí)現(xiàn)對(duì)個(gè)人數(shù)據(jù)最大限度的保護(hù)。數(shù)據(jù)保護(hù)對(duì)于個(gè)人信息主體而言，一端承載著人格尊嚴(yán)與隱私權(quán)利，需要法律的介入來限制個(gè)人信息的跨境流動(dòng)，進(jìn)而實(shí)現(xiàn)對(duì)個(gè)人信息者的良好保護(hù)；另一端，個(gè)人信息被視為寶藏資源，借助現(xiàn)代網(wǎng)絡(luò)技術(shù)可以從海量信息中識(shí)別出消費(fèi)者的需求與偏好，為經(jīng)營(yíng)者調(diào)整規(guī)模與轉(zhuǎn)型升級(jí)提供行動(dòng)指引[11]。信息利用者為獲取經(jīng)濟(jì)利益追求個(gè)人數(shù)據(jù)的自由流轉(zhuǎn)，因此與個(gè)人信息主體的數(shù)據(jù)權(quán)利保護(hù)形成牽制?？梢哉f，個(gè)人數(shù)據(jù)保護(hù)法最核心的目標(biāo)就是，“權(quán)利保護(hù)”與“數(shù)據(jù)利用”二者之間的平衡。將法律規(guī)制置于全球背景下，主權(quán)國(guó)家的絕對(duì)控制權(quán)力客觀喪失，價(jià)值目標(biāo)的實(shí)現(xiàn)變得更為復(fù)雜。平衡任務(wù)不再以單一國(guó)家主權(quán)為邏輯起點(diǎn)，而是需要對(duì)“本國(guó)數(shù)據(jù)權(quán)利保護(hù)”“全球數(shù)據(jù)市場(chǎng)競(jìng)爭(zhēng)”“國(guó)家主權(quán)利益”等多元價(jià)值目標(biāo)進(jìn)行綜合考量[12]。此外，結(jié)合權(quán)利認(rèn)知、技術(shù)能力以及信息產(chǎn)業(yè)發(fā)展水平等方面的現(xiàn)實(shí)差異，各個(gè)國(guó)家在價(jià)值目標(biāo)的選擇與權(quán)衡中各自得出立足本國(guó)視角的最優(yōu)解，除非根據(jù)既存共同規(guī)則來協(xié)調(diào)各國(guó)法律，主權(quán)國(guó)家將本能地通過擴(kuò)張本國(guó)法適用范圍以保障自身絕對(duì)利益的滿足，由此引發(fā)的競(jìng)爭(zhēng)與沖突使得各國(guó)數(shù)據(jù)保護(hù)立法必須在域外效力范圍問題上作出妥當(dāng)安排[5]179。

其三，各國(guó)在數(shù)據(jù)保護(hù)立法方面的積極作為，不僅僅代表一種立法走向，現(xiàn)象背后國(guó)內(nèi)法與國(guó)際法的互動(dòng)關(guān)系值得重視。以歐盟立法為例，其在數(shù)據(jù)規(guī)制立法領(lǐng)域一直發(fā)揮引領(lǐng)作用，尤其通過域外效力規(guī)則的設(shè)定，歐盟規(guī)則的適用范圍得以擴(kuò)張到歐盟域外[13]。這種通過國(guó)內(nèi)法路徑來實(shí)現(xiàn)國(guó)際層面規(guī)則協(xié)調(diào)，不僅制約私人企業(yè)的具體行為與合規(guī)成本，也實(shí)然影響到他國(guó)規(guī)則的設(shè)定乃至國(guó)際社會(huì)數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)的形成①一方面在歐盟內(nèi)部，1995年《歐盟指令》和2016年《一般數(shù)據(jù)保護(hù)條例》的核心內(nèi)容大多來源于德國(guó)、法國(guó)等成員國(guó)的國(guó)內(nèi)立法，另一方面在與第三國(guó)展開的跨境數(shù)據(jù)談判協(xié)議中，也體現(xiàn)出歐盟規(guī)則的影響力。如2016年《歐美隱私盾框架》對(duì)美國(guó)企業(yè)規(guī)定了更為嚴(yán)格的數(shù)據(jù)傳輸與制裁規(guī)則，進(jìn)一步強(qiáng)化對(duì)歐盟個(gè)人數(shù)據(jù)的保護(hù)與救濟(jì)。。尤其在數(shù)據(jù)保護(hù)領(lǐng)域國(guó)際共同規(guī)則尚未成型之時(shí)，國(guó)內(nèi)法在國(guó)際層面實(shí)際發(fā)揮補(bǔ)充功能，更為完備、系統(tǒng)的國(guó)內(nèi)數(shù)據(jù)保護(hù)規(guī)則意味著國(guó)內(nèi)法將為國(guó)際社會(huì)中的行為提供更為充分的國(guó)內(nèi)法依據(jù)，進(jìn)而主權(quán)國(guó)家在全球數(shù)據(jù)保護(hù)與共同規(guī)制中擁有更多話語權(quán)。反之，國(guó)內(nèi)數(shù)據(jù)保護(hù)法倘若一直處于“失語”狀態(tài)，也將失去與國(guó)際社會(huì)進(jìn)行有效溝通與對(duì)話的機(jī)會(huì)。

綜上，可以肯定，數(shù)據(jù)跨境流轉(zhuǎn)趨勢(shì)不可逆轉(zhuǎn)，域外效力是數(shù)據(jù)保護(hù)立法必須認(rèn)真對(duì)待的法律問題，繼而有必要根據(jù)各國(guó)數(shù)據(jù)保護(hù)的立法與司法實(shí)踐，對(duì)域外效力的實(shí)現(xiàn)途徑進(jìn)行分析。

二、數(shù)據(jù)保護(hù)法域外效力的實(shí)現(xiàn)途徑

各國(guó)在數(shù)據(jù)保護(hù)具體規(guī)制方法及側(cè)重方面存在眾多分歧，但域外效力規(guī)則仍出現(xiàn)在多個(gè)國(guó)家立法文本與司法實(shí)踐中。以歐盟、美國(guó)為代表①鑒于美國(guó)與歐盟在數(shù)據(jù)治理體系中處于主導(dǎo)地位并形成兩大立法范式，本文重點(diǎn)探討美國(guó)、歐盟的立法司法實(shí)踐。，數(shù)據(jù)保護(hù)法域外效力的實(shí)現(xiàn)主要遵循兩種思路。一則對(duì)既有國(guó)內(nèi)法規(guī)則進(jìn)行擴(kuò)張解釋，從而達(dá)到對(duì)域外主體的規(guī)制效果。另一則直接通過立法明確規(guī)定數(shù)據(jù)保護(hù)法域外適用的范圍。

（一）司法路徑

一般來看，各國(guó)在傳統(tǒng)數(shù)據(jù)保護(hù)立法中根據(jù)屬地原則進(jìn)行空間效力的設(shè)定，即國(guó)內(nèi)法效力及于一國(guó)主權(quán)領(lǐng)土范圍之內(nèi)的數(shù)據(jù)主體、數(shù)據(jù)設(shè)備及數(shù)據(jù)處理行為，客觀上排除數(shù)據(jù)保護(hù)法適用于域外的情況[14]。但伴隨數(shù)據(jù)跨境特質(zhì)的不斷凸顯與互聯(lián)網(wǎng)公司的全球膨脹，在成文法仍然根據(jù)傳統(tǒng)連結(jié)點(diǎn)成立立法管轄權(quán)，而對(duì)域外適用問題保持沉默之時(shí)，單純對(duì)境內(nèi)數(shù)據(jù)的有限規(guī)制難以充分保障數(shù)據(jù)主體的權(quán)利。司法實(shí)踐于是對(duì)傳統(tǒng)連結(jié)點(diǎn)進(jìn)行擴(kuò)張解釋，借助域內(nèi)規(guī)則約束域外實(shí)體的數(shù)據(jù)處理行為。

以2014年“谷歌公司案”為例②Google Spain SL and Google Inc. v. Agencia Espa ola de Protección de Datos (AEPD) and Mario Costeja González, Case C-131/12(2014)。。該案源于西班牙用戶針對(duì)谷歌公司及谷歌西班牙分公司提起的行政控告。在谷歌搜索引擎中輸入個(gè)人姓名時(shí)，該用戶發(fā)現(xiàn)其個(gè)人信息的債務(wù)清償內(nèi)容出現(xiàn)在網(wǎng)頁搜索結(jié)果，因此以個(gè)人隱私權(quán)利受到侵犯為由，向西班牙數(shù)據(jù)保護(hù)局提出權(quán)利救濟(jì)申請(qǐng)。隨后西班牙數(shù)據(jù)保護(hù)局作出要求谷歌公司、谷歌西班牙分公司刪除相關(guān)信息的行政決定。谷歌公司和谷歌西班牙公司不服該決定，遂向西班牙國(guó)家法院提起訴訟。由于該案涉及對(duì)歐盟規(guī)則的解釋，西班牙國(guó)家法院隨后提請(qǐng)歐盟法院對(duì)法律的適用作出初步裁決③該案適用的《歐洲議會(huì)和歐盟理事會(huì)1995年10月24日關(guān)于對(duì)與個(gè)人數(shù)據(jù)處理有關(guān)的個(gè)人保護(hù)以及此類數(shù)據(jù)自由流動(dòng)的95/46/EC號(hào)指令》（Directive 95/46/EC，簡(jiǎn)稱95指令）已經(jīng)被2018年生效的《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR）所替代，但本案涉及的條文在GDPR第3條第一款被保留，且歐盟數(shù)據(jù)保護(hù)工作組WP29針對(duì)谷歌案出具一份專門報(bào)告（Update of Opinion 8/2010 on applicable law in light of the CJEU judgement in Google Spain）用于明確95指令的適用。。

根據(jù)歐盟95年指令第4條（1）（a）的規(guī)定，指令適用于“數(shù)據(jù)控制者在歐盟境內(nèi)設(shè)立了營(yíng)業(yè)機(jī)構(gòu)，并在此營(yíng)業(yè)機(jī)構(gòu)的活動(dòng)背景下所實(shí)施的個(gè)人數(shù)據(jù)處理行為”④Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, Official Journal of the European Communities, 23 November 1995, No L 281/39。。具體到本案，谷歌西班牙公司在西班牙有穩(wěn)定的經(jīng)營(yíng)活動(dòng)與安排⑤Weltimmo s.r.o.v. Nemzeti Adatvédelmi és Információszabadság Hatóság, Case C-230/14(2015)。，當(dāng)然滿足指令第4條（1）（a）中的“營(yíng)業(yè)機(jī)構(gòu)所在地”標(biāo)準(zhǔn)⑥歐盟法院在2015年Weltimmo案中進(jìn)一步明確歐盟境內(nèi)設(shè)立機(jī)構(gòu)是一個(gè)寬泛的概念，不限于分公司、子公司等具體形式，只要數(shù)據(jù)控制者或處理者在歐盟境內(nèi)通過穩(wěn)定的活動(dòng)安排實(shí)施了真實(shí)有效的數(shù)據(jù)處理，均應(yīng)認(rèn)定為在歐盟境內(nèi)成立設(shè)立機(jī)構(gòu)。。需要進(jìn)一步判斷的是歐盟立法能否規(guī)范谷歌美國(guó)總公司的爭(zhēng)議行為。若按照傳統(tǒng)“營(yíng)業(yè)機(jī)構(gòu)所在地”標(biāo)準(zhǔn)，指令的效力范圍限定在歐盟域內(nèi)的營(yíng)業(yè)機(jī)構(gòu)所做出的數(shù)據(jù)處理行為，而本案中搜索引擎服務(wù)由谷歌美國(guó)公司排他完成，似乎可以規(guī)避歐盟指令的規(guī)制。對(duì)此歐盟法院指出，雖然谷歌西班牙公司并未直接承擔(dān)個(gè)人數(shù)據(jù)處理，但其提供的相關(guān)商業(yè)廣告與搜索結(jié)果出現(xiàn)在同一界面，廣告位銷售業(yè)務(wù)實(shí)際上是為谷歌公司搜索引擎服務(wù)獲取商業(yè)利益的重要途徑，二者之間具有無法擺脫的聯(lián)系。因此即使個(gè)人數(shù)據(jù)處理行為不是由西班牙谷歌公司實(shí)施，也應(yīng)當(dāng)認(rèn)定該行為是在西班牙公司的活動(dòng)背景下完成，因此受到歐盟規(guī)則的約束。從以上表述可以看出，歐盟法院試圖對(duì)以下概念進(jìn)行擴(kuò)張解釋：第一，設(shè)立機(jī)構(gòu)的認(rèn)定從傳統(tǒng)屬地性質(zhì)的注冊(cè)地標(biāo)準(zhǔn)，擴(kuò)張至在歐盟境內(nèi)從事真實(shí)穩(wěn)定數(shù)據(jù)活動(dòng)的所有機(jī)構(gòu)，并且不考慮該設(shè)立機(jī)構(gòu)的法律外觀；第二，“在該設(shè)立機(jī)構(gòu)背景下”的數(shù)據(jù)處理行為，不僅包括由歐盟境內(nèi)設(shè)立機(jī)構(gòu)完成的數(shù)據(jù)處理行為，也包括當(dāng)境外數(shù)據(jù)處理機(jī)構(gòu)與境內(nèi)設(shè)立機(jī)構(gòu)存在“無法擺脫的聯(lián)系”時(shí)，發(fā)生在歐盟境外的數(shù)據(jù)處理行為①對(duì)于何種情況構(gòu)成無法擺脫的聯(lián)系，歐盟法院認(rèn)為應(yīng)當(dāng)進(jìn)行個(gè)案判斷，并不局限于谷歌案中所體現(xiàn)的商業(yè)廣告與免費(fèi)引擎服務(wù)這種特定業(yè)務(wù)模式。。由此法院突破以客觀屬地連接點(diǎn)為基礎(chǔ)的傳統(tǒng)標(biāo)準(zhǔn)，進(jìn)一步將歐盟指令的效力范圍從歐盟境內(nèi)延伸至歐盟境外。

與歐盟法院針對(duì)屬地規(guī)則的擴(kuò)張闡釋不同，美國(guó)法院在微軟案中重點(diǎn)探討以屬人連接點(diǎn)為基礎(chǔ)的國(guó)內(nèi)法規(guī)則的域外適用②Microsoft Corporation v. United States of America, 829 F.3d 197(2016)。。在微軟案中，美國(guó)緝毒局根據(jù)1986年《存儲(chǔ)通信法》（Stored Communications Act，SCA）向紐約南區(qū)聯(lián)邦地方法院申請(qǐng)搜查令，要求微軟公司提供涉嫌走私毒品的犯罪嫌疑人的電子郵件賬戶及相關(guān)信息。由于數(shù)據(jù)信息存儲(chǔ)在位于愛爾蘭的服務(wù)器內(nèi)，微軟公司認(rèn)為按照“數(shù)據(jù)存儲(chǔ)地標(biāo)準(zhǔn)”，存儲(chǔ)在國(guó)外的數(shù)據(jù)超出SCA搜查令的效力范圍，因此拒絕向執(zhí)法部門提供相關(guān)信息。初審法院則采納“數(shù)據(jù)控制者標(biāo)準(zhǔn)”，認(rèn)為微軟是美國(guó)公司，且作為數(shù)據(jù)的控制者有能力調(diào)取，因此即使數(shù)據(jù)內(nèi)容存儲(chǔ)在美國(guó)境外，也應(yīng)當(dāng)適用SCA規(guī)則披露相關(guān)數(shù)據(jù)。不難看出，盡管立法并未對(duì)域外效力問題作出明確規(guī)定，初審法院以數(shù)據(jù)控制者為連接點(diǎn)，要求美國(guó)數(shù)據(jù)企業(yè)對(duì)其所掌控的全球數(shù)據(jù)承擔(dān)披露義務(wù)，進(jìn)一步認(rèn)可了美國(guó)國(guó)內(nèi)法的域外效力③值得注意的是，微軟公司后上訴至聯(lián)邦第二巡回法院，上訴法院以SCA并未明確規(guī)定域外適用為由，推翻初審判決，判定搜查令只能限制存儲(chǔ)在美國(guó)境內(nèi)的數(shù)據(jù)資料。但在聯(lián)邦最高法院審理階段，美國(guó)國(guó)會(huì)又通過直接修法重新肯定初審法院立場(chǎng)，明確了SCA的域外適用。。

（二）立法路徑

在全球信息自由流動(dòng)的沖擊下，數(shù)據(jù)保護(hù)逐漸成為各個(gè)國(guó)家所關(guān)注的焦點(diǎn)。而效力范圍的界定直接影響著國(guó)內(nèi)數(shù)據(jù)保護(hù)政策的實(shí)現(xiàn)，因此可以發(fā)現(xiàn)，除卻對(duì)原有規(guī)則的擴(kuò)張解釋，立法機(jī)關(guān)根據(jù)本國(guó)政策考量直接明確域外效力問題已經(jīng)成為一種普遍現(xiàn)象。

考察多國(guó)立法實(shí)踐，包含域外效力問題的立法規(guī)定具體表現(xiàn)為：

第一，以利用境內(nèi)數(shù)據(jù)處理設(shè)備為標(biāo)準(zhǔn)，確立本國(guó)法對(duì)境外個(gè)人數(shù)據(jù)控制者相關(guān)行為的約束。例如英國(guó)1998年《數(shù)據(jù)保護(hù)法案》（Data Protection Act 1998）、歐盟95年《指令》均有規(guī)定，當(dāng)數(shù)據(jù)控制者在境內(nèi)沒有設(shè)立營(yíng)業(yè)機(jī)構(gòu)時(shí)，除傳輸目的之外，如果利用了境內(nèi)的數(shù)據(jù)處理設(shè)備，那么數(shù)據(jù)處理行為也將受到法律約束④Data Protection Act 1998 c.29。。該規(guī)則主要考慮到網(wǎng)絡(luò)數(shù)據(jù)具有虛擬屬性，境外數(shù)據(jù)控制者無需在境內(nèi)設(shè)立營(yíng)業(yè)機(jī)構(gòu)就可以遠(yuǎn)程完成數(shù)據(jù)處理行為。為了避免出現(xiàn)數(shù)據(jù)控制者故意將經(jīng)營(yíng)地設(shè)立在域外并利用國(guó)內(nèi)數(shù)據(jù)設(shè)備逃避歐盟法律規(guī)制的情況⑤The Article 29 Working Party 5 035/01/EN/Final WP 56, p.7。，立法因此通過域內(nèi)設(shè)備與相關(guān)數(shù)據(jù)處理行為之間的關(guān)聯(lián)，將境外信息控制者納入數(shù)據(jù)保護(hù)法的規(guī)制范圍⑥但由于數(shù)據(jù)處理設(shè)備的外延模糊，以及數(shù)據(jù)處理設(shè)備使用的不確定與偶然性，很可能出現(xiàn)國(guó)內(nèi)規(guī)則適用于全球的極端情況，因此歐盟在最新數(shù)據(jù)立法中并未采納該標(biāo)準(zhǔn)。。

第二，通過效果原則設(shè)定域外效力規(guī)則。以數(shù)據(jù)保護(hù)立法一直領(lǐng)先的歐盟立法為例，在保留95指令對(duì)于域內(nèi)設(shè)立營(yíng)業(yè)機(jī)構(gòu)的規(guī)定之外，2016年通過的GDPR新增第3條第2款規(guī)定：“該條例也適用于在歐盟域內(nèi)不存在經(jīng)營(yíng)機(jī)構(gòu)情況下，數(shù)據(jù)控制者對(duì)歐盟境內(nèi)數(shù)據(jù)主體進(jìn)行的相關(guān)個(gè)人數(shù)據(jù)處理行為，如果數(shù)據(jù)處理行為：(a) 是為歐盟境內(nèi)數(shù)據(jù)主體提供商品或服務(wù)，無論該項(xiàng)商品或服務(wù)是有償或無償；或者(b)對(duì)歐盟境內(nèi)數(shù)據(jù)主體的活動(dòng)進(jìn)行監(jiān)控”⑦Regulation 2016 /679 of the European Parliament and of the Council of April 27, 2016, on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95 /46 / EC (General Data Protection Regulation), 4 May 2016, L 119/33。。該條款專門針對(duì)歐盟境外的數(shù)據(jù)控制者或處理者，其中對(duì)于“為歐盟境內(nèi)數(shù)據(jù)主體提供商品或服務(wù)”的情形，GDPR緒言第23條補(bǔ)充說明，應(yīng)從數(shù)據(jù)處理者或控制者視角，判斷其是否明顯具備向歐盟數(shù)據(jù)主體提供商品或服務(wù)的目的。這一規(guī)定體現(xiàn)出對(duì)傳統(tǒng)屬地原則的突破，或者說引入“效果原則”，即無論數(shù)據(jù)處理者是否為歐盟主體，數(shù)據(jù)主體是否為歐盟公民，處理行為發(fā)生在何地，一旦行為對(duì)歐盟實(shí)際產(chǎn)生或意圖造成影響，都將受到歐盟規(guī)則約束⑧Guidelines 3/2018 on the territorial scope of GDPR(Article 3) version 2.0 (2019)。。類似的規(guī)定也出現(xiàn)在日本、美國(guó)等國(guó)數(shù)據(jù)保護(hù)立法條文之中①日本《個(gè)人信息保護(hù)法》第75條規(guī)定：對(duì)于在向國(guó)內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)的過程中獲取該數(shù)據(jù)主體個(gè)人信息的個(gè)人信息處理業(yè)者，并在國(guó)外處理該個(gè)人信息或者利用以該個(gè)人信息為基礎(chǔ)制作而成的匿名加工信息，第15、第16、第18條（第二款除外）、第19～第25條、第27～第36條、第41條、第42條第一款、第43條及后一條的規(guī)定也適用。個(gè)人情報(bào)の保護(hù)に関ⅩⅢtf法律（2003年5月30日法律第57號(hào)）。。

第三，依據(jù)數(shù)據(jù)處理者標(biāo)準(zhǔn)規(guī)定本國(guó)數(shù)據(jù)法的域外適用。在美國(guó)聯(lián)邦最高法院審理微軟案階段，美國(guó)國(guó)會(huì)通過《澄清合法利用海外數(shù)據(jù)法》（Clarifying Lawful Overseas Use of Data Act，CLOUD）②Clarifying Lawful Overseas Use of Data Act 18 U.S.C.A.§2 703 (2018)。，明確規(guī)定無論該通信、記錄等信息是位于美國(guó)境內(nèi)還是國(guó)外,美國(guó)數(shù)據(jù)服務(wù)提供商必須對(duì)其占有、保護(hù)、控制下的客戶通信及記錄等信息的內(nèi)容加以保存、備份或披露。雖然法案僅適用于執(zhí)法機(jī)關(guān)域外取證過程，但是考慮到美國(guó)數(shù)據(jù)企業(yè)的領(lǐng)先優(yōu)勢(shì)以及在世界范圍內(nèi)的跨境發(fā)展，實(shí)際效果是以屬人連接點(diǎn)為基礎(chǔ)確立域外效力規(guī)則，將美國(guó)企業(yè)掌握的全球數(shù)據(jù)均納入管轄范圍。

（三）小結(jié)

綜上可以看出，以美國(guó)、歐洲為代表，個(gè)人數(shù)據(jù)保護(hù)法的效力范圍呈現(xiàn)出擴(kuò)張趨勢(shì)，無論是通過對(duì)原有域內(nèi)適用規(guī)則的擴(kuò)張解釋抑或是經(jīng)由立法直接予以肯定，均可以實(shí)現(xiàn)數(shù)據(jù)保護(hù)法的域外適用。但深入分析，兩種路徑的選擇實(shí)則對(duì)應(yīng)著不同的歷史背景與現(xiàn)實(shí)需求。傳統(tǒng)數(shù)據(jù)保護(hù)立法一般根據(jù)屬地連結(jié)點(diǎn)行使立法管轄權(quán)，具體規(guī)制本國(guó)領(lǐng)域內(nèi)的數(shù)據(jù)主體、數(shù)據(jù)處理者及數(shù)據(jù)資料。但面對(duì)網(wǎng)絡(luò)技術(shù)革新與數(shù)據(jù)價(jià)值的膨脹，立法尚未作出及時(shí)調(diào)整，需要更多交由法官在個(gè)案中判斷將國(guó)內(nèi)法適用于域外的數(shù)據(jù)處理行為和主體的具體條件。這一定程度放松了傳統(tǒng)立法對(duì)嚴(yán)格屬地原則的堅(jiān)持，但也填補(bǔ)了立法在域外效力問題上的缺失。同時(shí)應(yīng)當(dāng)注意，司法權(quán)力天然處于被動(dòng)地位，法院并不能突破既有的立法框架，并根據(jù)新的連結(jié)點(diǎn)進(jìn)行擴(kuò)張解釋。尤其在需要通過創(chuàng)設(shè)新的連結(jié)點(diǎn)實(shí)現(xiàn)本國(guó)數(shù)據(jù)政策時(shí)，司法機(jī)關(guān)只能發(fā)揮間接作用，因此有必要通過立法對(duì)本國(guó)數(shù)據(jù)保護(hù)法的域外效力作出直接宣示。如歐盟綜合以往司法實(shí)踐，通過最新立法GDPR，在原有“設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)”之外，針對(duì)歐盟外數(shù)據(jù)控制者、處理者又引入以效果原則為基礎(chǔ)的“意圖標(biāo)準(zhǔn)”。其目的，一則為了貫徹?cái)?shù)據(jù)權(quán)利背后所承載的歐盟人權(quán)理念，二則是為了迎合歐盟數(shù)據(jù)產(chǎn)業(yè)的發(fā)展要求，通過效果原則將指向歐盟市場(chǎng)的域外數(shù)據(jù)處理行為均納入立法管轄范圍，最大程度地維護(hù)歐盟內(nèi)部市場(chǎng)的利益。對(duì)比來看，美國(guó)以微軟案為契機(jī)推出CLOUD法案，以屬人連結(jié)點(diǎn)架構(gòu)域外效力規(guī)則，實(shí)則也是立足本國(guó)數(shù)據(jù)產(chǎn)業(yè)的全球優(yōu)勢(shì)，服務(wù)于依托本國(guó)數(shù)據(jù)企業(yè)來實(shí)現(xiàn)控制全球數(shù)據(jù)的目的。

三、數(shù)據(jù)保護(hù)法域外效力的國(guó)際合法性分析

國(guó)內(nèi)立法將在何種限度發(fā)揮作用取決于一國(guó)主權(quán)的自主選擇，但是如果做全面考量，國(guó)內(nèi)法效力邊界的確定本質(zhì)上需要經(jīng)過國(guó)際層面的審視，即除卻國(guó)內(nèi)法賦予其“自內(nèi)向外”效力擴(kuò)張之外，應(yīng)當(dāng)考慮國(guó)內(nèi)立法在域外適用是否符合國(guó)際法的一般要求，如果域外效力的規(guī)定與國(guó)際法相沖突，那么將必然受到質(zhì)疑，反之亦然。因此，數(shù)據(jù)保護(hù)法的域外效力問題也必須接受外部評(píng)價(jià)，以獲得國(guó)際法層面的正當(dāng)性支撐。

（一）國(guó)際判例的默示承認(rèn)

早在1973年，歐盟成員國(guó)德國(guó)的黑森州頒布第一部個(gè)人信息保護(hù)法，然而時(shí)至今日，在數(shù)據(jù)保護(hù)法領(lǐng)域各國(guó)尚未達(dá)成一部多邊公約，用于協(xié)調(diào)各國(guó)數(shù)據(jù)保護(hù)法的效力邊界問題[15]。有學(xué)者試圖從《公民權(quán)利和政治權(quán)利國(guó)際公約》中尋找數(shù)據(jù)保護(hù)法域外效力的正當(dāng)化依據(jù)，但并未論證成功[16]。除國(guó)際公約之外，對(duì)于主權(quán)國(guó)家國(guó)內(nèi)法效力范圍問題最為經(jīng)典的解釋，可以追溯至1927年的“荷花號(hào)案”。在該案中，國(guó)際常設(shè)法院一方面肯定：“除非根據(jù)國(guó)際條約或國(guó)際習(xí)慣，一國(guó)不應(yīng)當(dāng)在他國(guó)領(lǐng)土上直接行使權(quán)力?！蓖瑫r(shí)又指出：“在國(guó)際法中尚未衍生出一項(xiàng)普遍規(guī)則，即禁止主權(quán)國(guó)家將國(guó)內(nèi)法的適用范圍和司法管轄權(quán)延伸到域外的人、事物及行為。這一問題可以交由各國(guó)自由裁量決定。在一般情形中，主權(quán)國(guó)家可以自主決定并采取本國(guó)認(rèn)為最適合的管轄權(quán)原則”③S.S. Lotus (Fr. v. Turk.)1927 P.C.I.J.Series.A, No.10, p.19。。

從其表述可以看出，一般推定，主權(quán)國(guó)家只在其領(lǐng)土范圍之內(nèi)享有立法管轄權(quán)，即自內(nèi)向外肯定一國(guó)立法對(duì)其境內(nèi)一切人、事物及行為的法律約束力。但是反向來看，國(guó)際公約或判例對(duì)于主權(quán)國(guó)家法律的效力范圍并沒有劃定任何外部限制，尤其是在具有正當(dāng)依據(jù)的前提下，允許主權(quán)國(guó)家超越本國(guó)領(lǐng)土范圍賦予其本國(guó)法律以域外效力的作法。因此回到數(shù)據(jù)保護(hù)法領(lǐng)域，對(duì)于域外效力問題的判斷亦是可以做出內(nèi)部視角與外部視角兩種解讀。從內(nèi)部視角分析，國(guó)際法以是否允許為邏輯起點(diǎn)，數(shù)據(jù)保護(hù)法的效力范圍應(yīng)當(dāng)與本國(guó)主權(quán)范圍保持一致。就外部限制而言，由于數(shù)據(jù)保護(hù)領(lǐng)域國(guó)際公約及判例尚未形成任何禁止性規(guī)則，因而不能排除國(guó)內(nèi)法效力擴(kuò)張的可能空間，這種國(guó)際法層面的默示態(tài)度也就構(gòu)成數(shù)據(jù)保護(hù)法域外效力的正當(dāng)化基礎(chǔ)。應(yīng)當(dāng)承認(rèn)，“荷花號(hào)案”判決的釋明意義有限，但站在更為宏觀的視角可以做出傾向于后者的決斷，這是因?yàn)?，雖然國(guó)際法的主要功能是調(diào)整國(guó)家之間的關(guān)系，但作為約束國(guó)家的國(guó)際法規(guī)則始終源于國(guó)家意志，國(guó)家始終是國(guó)際法的主要立法者。因此，除非國(guó)際公約或判例明確禁止，國(guó)家有權(quán)基于自身利益考量對(duì)法律效力范圍進(jìn)行擴(kuò)張。

（二）支撐數(shù)據(jù)保護(hù)法域外效力的國(guó)際習(xí)慣法原則

在國(guó)際法框架下，如果無國(guó)際公約約束，主權(quán)國(guó)家一般依據(jù)自身與管轄客體之間的真實(shí)聯(lián)系確立立法管轄權(quán)，進(jìn)而適用本國(guó)法律?；谡鎸?shí)聯(lián)系上的具體差異，國(guó)際社會(huì)逐漸沉淀出屬地管轄、屬人管轄、保護(hù)性管轄及普遍性管轄原則，作為國(guó)內(nèi)法效力范圍設(shè)定的正當(dāng)化基礎(chǔ)①Restatement (Fourth) of Foreign Relations Law, §407。。具體來看，屬地原則是指國(guó)內(nèi)法的效力止于一國(guó)領(lǐng)土邊界。屬人管轄則指國(guó)家根據(jù)國(guó)籍、住所等屬人連結(jié)點(diǎn)行使立法管轄權(quán)。保護(hù)性管轄強(qiáng)調(diào)對(duì)危害本國(guó)國(guó)家利益的行為成立立法管轄權(quán)。最后普遍管轄權(quán)專門針對(duì)損失國(guó)際社會(huì)利益以及嚴(yán)重侵犯人權(quán)的行為，如對(duì)海盜行為，各國(guó)均有權(quán)行使管轄權(quán)[17]460-461。目前這四種管轄權(quán)基礎(chǔ)已經(jīng)得到國(guó)際社會(huì)的普遍認(rèn)可，因此對(duì)于數(shù)據(jù)保護(hù)立法而言，也只有基于上述管轄權(quán)主張域外效力，才符合國(guó)際法上的合法性要求。

歐盟GDPR以效果原則為基礎(chǔ)設(shè)定域外適用規(guī)則。效果原則最初應(yīng)用在美國(guó)反壟斷法領(lǐng)域，曾飽受爭(zhēng)議。但在當(dāng)前實(shí)踐中，效果原則在反壟斷法、證券法等市場(chǎng)法領(lǐng)域得到廣泛采納，并衍生成為一項(xiàng)相對(duì)獨(dú)立的立法管轄權(quán)依據(jù)。效果原則本身是對(duì)屬地管轄的拓展，仍指向國(guó)內(nèi)，但是一種特殊的屬地原則。因?yàn)槠潢P(guān)注法律規(guī)制行為對(duì)本國(guó)造成的影響，而非行為實(shí)際發(fā)生地，換言之，該原則淡化行為的客觀地理因素，對(duì)屬地原則的適用作出高度彈性的設(shè)計(jì)，進(jìn)而將發(fā)生在領(lǐng)土范圍之外的行為一并納入本國(guó)法律的適用范圍。同時(shí)應(yīng)當(dāng)注意，效果原則作為域外效力的判斷標(biāo)準(zhǔn)大多出現(xiàn)在市場(chǎng)法領(lǐng)域[18]。這主要因?yàn)樵诮?jīng)濟(jì)全球化背景下，即使行為發(fā)生在域外，也會(huì)對(duì)國(guó)內(nèi)市場(chǎng)產(chǎn)生不利影響，立法因而具有強(qiáng)烈的域外適用需求[19]。實(shí)際上，這與GDPR引入效果原則具有相似之處。信息技術(shù)進(jìn)步使信息處理行為脫離屬地原則的束縛，導(dǎo)致數(shù)據(jù)處理行為發(fā)生地與損害結(jié)果地相分離，為了保障歐盟數(shù)據(jù)主體的權(quán)利以及應(yīng)對(duì)數(shù)據(jù)霸權(quán)國(guó)家對(duì)本國(guó)數(shù)據(jù)產(chǎn)業(yè)的威脅，歐盟立法因而在設(shè)定最高數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)的同時(shí)，也通過效果原則最大限度地將這一國(guó)內(nèi)標(biāo)準(zhǔn)擴(kuò)張至域外。

此外屬人原則也可以為數(shù)據(jù)保護(hù)法的域外效力提供正當(dāng)化依據(jù)。歐盟95指令和GDPR中皆根據(jù)屬人連結(jié)點(diǎn)提出“設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)”。該標(biāo)準(zhǔn)對(duì)屬人連結(jié)點(diǎn)進(jìn)行擴(kuò)張，放寬對(duì)企業(yè)注冊(cè)地的限制，要求數(shù)據(jù)處理者或控制者在歐盟存在穩(wěn)定的安排和活動(dòng)，因此有效確立了域外適用規(guī)則。此外，美國(guó)的CLOUD法案明確授權(quán)行政機(jī)關(guān)可以獲取美國(guó)公司在全球存儲(chǔ)的數(shù)據(jù)信息。以屬人連結(jié)點(diǎn)為基礎(chǔ)的設(shè)定本身并不違背國(guó)際法原則，但是由于美國(guó)數(shù)據(jù)公司向世界范圍提供服務(wù)，并在全球數(shù)據(jù)治理中占據(jù)領(lǐng)先地位，數(shù)據(jù)控制者標(biāo)準(zhǔn)的適用意味著美國(guó)可以對(duì)全球數(shù)據(jù)資源提出披露要求②法案同時(shí)規(guī)定數(shù)據(jù)服務(wù)商僅在兩種情況下可以提出抗辯：其一，用戶不是美國(guó)人且不居住在美國(guó)；其二，信息的披露將實(shí)質(zhì)違背由美國(guó)認(rèn)可的適格外國(guó)政府的法律。。這無疑將打破數(shù)據(jù)保護(hù)的主權(quán)壁壘，極大威脅各國(guó)對(duì)本國(guó)數(shù)據(jù)資源的控制以及國(guó)家安全[20]。

四、數(shù)據(jù)保護(hù)法域外效力問題的中國(guó)立場(chǎng)

在信息技術(shù)、數(shù)據(jù)多元價(jià)值等因素的推動(dòng)下，數(shù)據(jù)保護(hù)規(guī)則的域外效力問題由此產(chǎn)生。實(shí)然層面，無論是通過明確規(guī)定還是做更為寬泛的解釋，域外效力問題在立法與司法實(shí)踐中都已經(jīng)有所體現(xiàn)。司法與立法兩種路徑既相互關(guān)聯(lián)又各有側(cè)重。司法路徑相對(duì)被動(dòng)，需要法院對(duì)傳統(tǒng)數(shù)據(jù)立法進(jìn)行擴(kuò)張解釋，在個(gè)案分析中積累域外適用的經(jīng)驗(yàn)。立法路徑更為直接，在需要通過創(chuàng)設(shè)新的連結(jié)點(diǎn)實(shí)現(xiàn)本國(guó)數(shù)據(jù)政策時(shí)，國(guó)家有必要通過立法方式對(duì)本國(guó)數(shù)據(jù)保護(hù)法的域外效力作出直接宣示。事實(shí)上，各國(guó)數(shù)據(jù)保護(hù)法在域外效力問題上的選擇是由國(guó)家意志決定，但是域外效力問題仍然需要放置在國(guó)際法框架下進(jìn)行審視?？疾靽?guó)際公約、判例以及習(xí)慣法原則，國(guó)際法并不禁止本國(guó)數(shù)據(jù)保護(hù)法中域外效力規(guī)定，但各國(guó)在數(shù)據(jù)立法實(shí)踐中一般以國(guó)際社會(huì)廣泛接受的習(xí)慣法原則為正當(dāng)性基礎(chǔ)，根據(jù)本國(guó)的數(shù)據(jù)政策選擇不同連結(jié)點(diǎn)來設(shè)定域外規(guī)則的范圍。

對(duì)于中國(guó)而言，數(shù)據(jù)保護(hù)法域外效力問題的討論具有更多意義。當(dāng)前中國(guó)網(wǎng)絡(luò)用戶人數(shù)已位居世界首位，數(shù)字經(jīng)濟(jì)規(guī)模位列全球第二，數(shù)字背后既反映出數(shù)據(jù)產(chǎn)業(yè)的強(qiáng)大實(shí)力，又對(duì)數(shù)據(jù)的保護(hù)與立法規(guī)制提出更高要求。除此之外，國(guó)際社會(huì)在數(shù)據(jù)保護(hù)法領(lǐng)域尚未形成共同規(guī)則，從單邊思路為本土數(shù)據(jù)保護(hù)規(guī)則的適用開通域外適用路徑，將有利于中國(guó)在積累本國(guó)數(shù)據(jù)立法經(jīng)驗(yàn)的同時(shí)，與全球數(shù)據(jù)治理建立內(nèi)外聯(lián)動(dòng)模式，推動(dòng)數(shù)據(jù)保護(hù)國(guó)際規(guī)則的形成。但總體來看，中國(guó)數(shù)據(jù)法律體系仍存在一些問題：由國(guó)家互聯(lián)網(wǎng)信息辦公室主導(dǎo)已陸續(xù)制定《網(wǎng)絡(luò)安全審查辦法》《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》等法律文件，但是尚未出臺(tái)一部統(tǒng)一的個(gè)人數(shù)據(jù)保護(hù)法，立法相對(duì)碎片化，規(guī)制目標(biāo)不明確，對(duì)于個(gè)人數(shù)據(jù)保護(hù)問題的評(píng)價(jià)也主要停留在國(guó)家安全視角，難以兼顧數(shù)據(jù)權(quán)利保護(hù)與數(shù)據(jù)市場(chǎng)的需求[4]150。具體在數(shù)據(jù)保護(hù)立法的適用范圍問題上，缺少對(duì)域外效力條款的專門規(guī)定，中國(guó)難以在跨境數(shù)據(jù)規(guī)制中發(fā)揮積極作用。

中國(guó)在未來個(gè)人數(shù)據(jù)保護(hù)立法中，為直接彌補(bǔ)在域外適用規(guī)則方面的不足，應(yīng)通過立法方式確立域外效力條款。對(duì)于域外效力條款的具體設(shè)定可以借鑒國(guó)外經(jīng)驗(yàn)，在不違反國(guó)際法規(guī)則的同時(shí)，更多考慮中國(guó)數(shù)據(jù)產(chǎn)業(yè)發(fā)展現(xiàn)狀與政策的規(guī)制目標(biāo)。以美國(guó)CLOUD法的域外適用為例，數(shù)據(jù)控制者標(biāo)準(zhǔn)的選擇與美國(guó)跨國(guó)數(shù)據(jù)企業(yè)在全球市場(chǎng)的霸權(quán)地位密切相關(guān)，包括歐盟在內(nèi)的任何國(guó)家實(shí)體顯然不能按照此種方式構(gòu)建數(shù)據(jù)立法的域外效力條款。相形之下，以歐盟立法為代表，根據(jù)設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)和效果原則設(shè)定域外效力的做法更符合中國(guó)需要。首先，根據(jù)設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)，可以克服數(shù)據(jù)處理行為地認(rèn)定的技術(shù)難題，將在本國(guó)范圍內(nèi)從事穩(wěn)定數(shù)據(jù)活動(dòng)的企業(yè)均納入規(guī)制范圍。其次，對(duì)于設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)之外的情況，以效果原則為連接點(diǎn)，對(duì)于中國(guó)這種擁有巨型數(shù)據(jù)市場(chǎng)的大國(guó)來說尤為重要。一方面，可以盡量避免外國(guó)數(shù)據(jù)處理企業(yè)借助數(shù)據(jù)業(yè)務(wù)的特定模式利用中國(guó)數(shù)據(jù)市場(chǎng)，同時(shí)逃避中國(guó)數(shù)據(jù)立法約束；另一方面，這樣做可能加重中國(guó)數(shù)據(jù)企業(yè)“走出去”的合規(guī)成本，但從長(zhǎng)遠(yuǎn)角度看，可以更全面地保障中國(guó)企業(yè)和個(gè)人數(shù)據(jù)權(quán)益，提高企業(yè)核心競(jìng)爭(zhēng)力。此外，在域外效力規(guī)則的實(shí)施過程中，應(yīng)建立統(tǒng)一監(jiān)督機(jī)構(gòu)，為中國(guó)數(shù)據(jù)權(quán)利主體提供行政控告以及司法訴訟多種救濟(jì)途徑。在司法層面，應(yīng)強(qiáng)化法院在適用域外效力規(guī)則中所起的作用，支持法院綜合個(gè)案事實(shí)對(duì)中國(guó)數(shù)據(jù)保護(hù)立法的效力范圍進(jìn)行解釋，與立法、行政機(jī)關(guān)之間形成良性互動(dòng)，推動(dòng)中國(guó)數(shù)據(jù)治理體系的構(gòu)建。

有學(xué)者擔(dān)憂，一旦世界各國(guó)普遍對(duì)其法律賦予域外效力，是否將激化國(guó)家之間的法律沖突，為商業(yè)發(fā)展與權(quán)利保護(hù)帶來更多不確定性，阻礙個(gè)人數(shù)據(jù)的全球流通。對(duì)此假設(shè)應(yīng)當(dāng)理性看待，數(shù)據(jù)保護(hù)天然具有“跨境”特質(zhì)，借助網(wǎng)絡(luò)在全球范圍內(nèi)的流通勢(shì)必會(huì)動(dòng)搖原本以主權(quán)為界限的國(guó)內(nèi)立法，在此領(lǐng)域的域外效力規(guī)定是應(yīng)有之義。更重要的，數(shù)據(jù)保護(hù)領(lǐng)域域外效力的立法實(shí)際上并不是可以任意為之，其實(shí)際效果根本取決于一國(guó)的國(guó)家實(shí)力。以中國(guó)強(qiáng)大的國(guó)家實(shí)力作為后盾，中國(guó)有需求同時(shí)有條件認(rèn)可數(shù)據(jù)保護(hù)法的域外效力。與此同時(shí)，中國(guó)作為負(fù)責(zé)任有擔(dān)當(dāng)?shù)拇髧?guó)，一直以來致力于國(guó)際社會(huì)的和平穩(wěn)定發(fā)展，數(shù)據(jù)保護(hù)法域外效力的規(guī)定只是為中國(guó)參與國(guó)際數(shù)據(jù)市場(chǎng)的良性競(jìng)爭(zhēng)、充分保護(hù)個(gè)人數(shù)據(jù)與維護(hù)國(guó)家安全等多重目標(biāo)的平衡過程提供多一重法律路徑，并不排除中國(guó)參與國(guó)際協(xié)商以及自我約束機(jī)制的保留，這種立法上的探索不僅具有本土意義，也可以為國(guó)際社會(huì)的數(shù)據(jù)規(guī)制貢獻(xiàn)出中國(guó)智慧。