我国个人信息保护法域外效力

何明鑫

随着数字经济的发展，数据已成为与土地、劳动力、资本、技术并称的生产要素，而个人数据是数据的重要组成部分[1]。由于各国数字产业发展水平的不同，对个人信息保护的价值取向不完全相同。许多法域的个人信息保护法为维护其数据利益、强调本国个人信息保护的价值观、弥补国际法维权失灵或者引领国际法的构建，对域外效力作了规定。美国2018年发布的《澄清域外合法使用数据法》（Clarifying Lawful Overseas Use of Data Act，下文简称CLOUD法）赋予美国政府调取本国企业在境外存储的个人信息的权力，无需经过他国同意即可在他国主权范围内适用。欧盟的《一般数据保护条例》（General Data Protection Regulation，下文简称GDPR）第3条规定：“本条例适用于设立在欧盟境内的控制者或处理者的场景下对个人数据的处理行为，无论该处理行为是否发生在欧盟境内；本条例适用于对欧盟境内的数据主体的个人数据处理，即使控制者和处理者没有设立在欧盟内，其处理行为：（a）发生在向欧盟境内的数据主体提供商品或服务的过程中，无论此项商品或服务是否需要数据主体支付费用；或（b）是对数据主体发生在欧盟境内行为的监控；本法适用于设立在欧盟之外，但依据国际公法欧盟成员国法律可适用地的控制者对个人数据的处理。”此规定赋予GDPR在欧盟境外的效力。欧盟认为个人数据和隐私的保护是一项基本权利，应该用高标准达到一个可信赖的数字经济或者贸易发展[2]，GDPR体现了欧盟对个人信息的上述理解。从国家利益角度来看，欧洲互联网产业本身较弱，如果欧洲丧失对本国数据的控制力，则意味着欧洲各国数据治理的独立自主和安全将受到威胁。因此，GDPR的主要目的“不仅是防范欧洲的互联网企业对其数据主体权利的侵犯，更是为了防止美国和其他国家利用数据优势地位，威胁主权独立和国家安全。[3]”在Schrems II案[4]中，欧盟法院（Court of Justice of the European Union,下文简称CJEU）便以美国国家安全法未提供与欧盟同等的隐私保护为由，判决欧盟—美国有关个人信息的隐私盾协议（EU—USPrivacy Shield）无效。该判决影响到美国企业将欧盟个人数据转移到美国的合法性。该判决体现了各国对个人信息权益赋予、保护与限制的内在逻辑是国家利益的冲突与共存。

经过十多年酝酿、论证,《个人信息保护法》即将于2021年11月1日起实施。全国人大常委会法工委经济法室副主任杨合庆表示，这是我国首部专门针对个人信息保护的系统性、综合性法律。对法律的适用范围、以“告知—同意”为核心的个人信息处理规则、个人信息处理活动中个人的权利和处理者义务、大型网络平台的特别义务、国家机关处理个人信息的规范、个人信息跨境流动及履行个人信息保护监管体制、法律责任等内容作出了具体规定[5]。《个人信息保护法》第3条第2款规定：“在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法:（一）以向境内自然人提供产品或者服务为目的；（二）分析、评估境内自然人的行为；（三）法律、行政法规规定的其他情形。”此规定也赋予个人信息保护法域外效力。实现保护我国数据利益与尊重他国数据利益的协调，促进互联网产业发展与保护个人信息权益的协调，我国个人信息保护法域外适用的适度就显得尤为重要。“平衡说”强调域外适用的适度问题，认为我国国内法的域外适用应该是有限度的，而不是无限制扩张的。该说认为，国内法的域外效力应该具有强调适用的扩张以及限制扩张的双重涵义[6]78。在我国国情下，个人信息保护法的域外效力采“平衡说”更为合理。域外效力是指一国法律在领土之外所能产生的法律拘束力。我国通过立法制定具有在域外效力的法律，依据国际法赋予国家立法管辖权，标准是效果原则，即按照个人信息处理者的行为具有影响一定规模公共利益的效果最终确定法律是否应适用的管辖原则。效果原则以“目的意图”或“处理行为”为标准。

一、我国个人信息保护法域外效力的“目的意图”标准

寻求确定合理域外效力的平衡点关键在于寻求确定的方法而非认定其具体位置。个人信息保护法的适度域外适用可以从域外适用的功能角度出发进行限定。个人信息保护法域外适用的功能之一是保护国家利益，因此，如果某一案件对国家利益、公共秩序造成影响，就可能适用该法。个人信息保护案件是否会对国家利益、公共秩序造成影响，需要结合“境内自然人”的数量规模、案件影响范围、社会影响、自然人境内逗留时间等因素综合判断。换言之，只要案件所涉及的“境内自然人”足以影响国家利益、公共秩序，就有域外适用个人信息保护法的可能。自然人的数量规模、境内逗留时间等因素是影响是否域外适用个人信息保护法的因素，而非决定因素。决定因素在于是否足以影响国家利益、公共秩序。

根据《个人信息保护法》第3条第2款的规定，在境外处理的“境内自然人个人信息”符合“以向境内自然人提供产品或者服务为目的”，“分析、评估境内自然人的行为”为目的及其他规定情形时，应存在足以对国家利益、公共利益造成影响的效果，才满足“目的意图”的标准。

在评估适用“目的意图标准”时，首先要确定被处理的个人信息是否为我国“境内自然人”的个人信息，其次要确定信息处理行为是否提供了产品或服务，或是否分析、评估了自然人在我国境内发生的行为。具体而言，如果个人信息处理者不在我国境内，那么在以下两种情况下，其所实施的个人信息处理行为要受到个人信息保护法的约束。即考虑是否以向我国境内自然人提供产品或服务为目的，或分析、评估自然人在我国境内的行为。

（一）具有为我国境内自然人提供产品或者服务的目的

个人信息处理者是否提供付费的产品或服务并不是影响适用个人信息保护法的因素[7]。在“目的意图”标准中，是否有明确的为境内自然人提供产品或者服务才是适用个人信息保护法的关键因素。在适用场景的具体判断中，行政机关或者司法机关可以从个人信息处理者的用户人群、消费人群及市场推广范围等因素综合判断。个人信息处理者的商业目的虽然是提供产品或者服务的常见目的，但并非唯一目的。判断个人信息处理者是否具有明确的针对境内自然人的目的，不是从境内自然人的角度进行判断。换言之，即使境内一定规模的自然人在某境外网站访问量较为巨大，但该境外网站设计的目的并非是针对境内自然人，该境外网站不适用个人信息保护法[8]。

（二）具有分析、评估境内自然人行为的目的

因为个人信息保护法的适用范围不考虑自然人的国籍、居所地等因素，所以存在境内自然人转变为境外自然人的情形，且在国际经贸交往日益频繁的今天，自然人的跨境移动已属于常态。从自然人个体角度看，自然人的跨境移动造成了个人信息保护法适用的不确定性，但从自然人群体而言，自然人个体的跨境移动对个人信息保护的适用影响较小。因此，从法律适用稳定的角度分析，个人信息处理者分析、评估境内自然人的行为，一般指的是具有一定数量的群体自然人。

个人信息处理者在提供数据服务时，自然人经常被要求允许访问其位置信息，提供姓名、性别、爱好等个人信息。个人信息处理者收集数据的方式不仅可以通过网络收集，还可以通过某种物理设备完成，比如小米运动手环收集佩戴者的个人心跳频率、睡眠质量检测等信息。因为只有分析、评估，才有可能了解他人的习性爱好，但仅仅是收集存储个人信息，不适用个人信息保护法。在大数据时代，通过大数据分析，自然人的行为习惯会被记录，个人身份会被清晰地识别，比如自然人访问某类网站的频次、购买某种商品的次数等，能反映该自然人的习性爱好。个人信息处理者甚至比自然人更加了解其自身，在无形中，自然人的隐私被肆意侵犯，不愿为他人知晓的隐私信息从数据行为分析中被暴露无遗。但该情况是否适用个人信息保护法，关键在于个人信息处理者对收集的境内自然人信息的分析、评估目的。

另外，如果个人信息处理者将收集的个人信息分享给第三方，而第三方有分析、评估的行为，个人信息收集者应该与第三方一同适用个人信息保护法。因此，无论后续分析、评估的信息处理主体是否为信息收集者，只要该分析、评估行为是在信息收集者的帮助下完成的，信息收集者也应适用个人信息保护法。

二、我国个人信息保护法域外效力的“处理行为”标准

运用“处理行为”标准分析我国《个人信息保护法》第3条第2款，可以有两种解读。一种解读是组织、个人处理个人信息的行为发生在境内或者行为产生的效果在境内，可以适用个人信息保护法。另一种解读是只要组织、个人在境内，无论处理个人信息的行为是否发生在境内，都适用个人信息保护法。

第一种解读属于“处理行为”的“属地管辖”解读，强调行为发生地或者结果发生地至少有一项在我国境内，适用个人信息保护法。第二种解读属于组织、个人的“属地管辖”解读。《个人信息保护法》第3条第2款与GDPR第3条不同，前者未强调个人信息处理者与处理行为之间的关系。

就第一种解读而言，其管辖理念与传统“属地管辖原则”相契合，不存在是否应该管辖的问题。问题在于第二种解读。如果个人信息处理行为发生在境外，该信息处理行为与境内的组织、个人不存在直接联系，是否应该适用个人信息保护法，有以下两种情形需要厘清。

第一，具有公益性质的个人信息处理行为。例如，我国境内网络服务志愿者组织A派遣B在境外提供互联网志愿服务，B处理的是境外自然人的个人信息，服务的对象也是境外的自然人，A在该项服务中显然没有在我国境内处理个人信息的行为。从个人信息保护法域外适用的功能及适度原则角度看，这种情形不应该适用个人信息保护法。

第二，具有商业性质的个人信息处理行为。例如，我国境内企业A派遣B在境外从事互联网服务业务，B处理的是境外自然人的个人信息，服务的对象也是境外的自然人，或者B为他国用户提供的信息服务，是基于A已经公开的我国境内用户群调查分析报告而改进的，A在B的业务中显然没有以为B提供帮助为目的，特定地在我国境内处理个人信息的行为。但B处理境外自然人的个人信息可能会影响A财务上的增长。B处理境外自然人个人信息的行为与A之间存在“不可分割的联系”，这种情况应该适用个人信息保护法。认可这一管辖价值取向也是从个人信息保护法域外适用的功能角度出发。通过“不可分割的联系”这一标准，个人信息保护法域外适用可以保护我国境内自然人个人信息的外延利益及国家的外延利益，进而厘清个人信息保护法域外适用的内涵和外延。

《个人信息保护法》第3条第2款措辞是“中华人民共和国境内自然人”，显然这是一个十分宽泛的描述，排除了以公民国籍、身份、居住地等惯常连接点来进行定义，扩大了自然人的概念和范围。自然人即使与我国有很小的关系也可以视为“在我国境内”。但对于《个人信息保护法》中“境内自然人”概念的理解，应当采用场景（context）的定义，而非严格遵循地域的概念，需要结合域外适用的功能进行分析。个人信息处理行为与“境内”“境内自然人”有“不可分割的联系”时，个人信息保护法可以域外适用。其界限在于，当个人信息案件足以影响公共利益、国家利益时，个人信息保护法可以域外适用，否则不应适用。

如外国公民A来我国短期旅游，其手机上所用的是国外的APP服务，随着外国公民A进入我国境内，APP服务提供者成为个人信息保护法规定的境外组织、个人，需要改变其原先的信息服务提供标准，即获取A的个人信息需要A同意才可以收集信息。但提供信息服务肯定有一个连续性，境外信息服务提供者未必知道A已经进入我国境内，将个人信息保护法适用于该软件服务提供商，并不具备法的可期待性。

同样理由，境外组织、个人为境内短期访学人员、短期劳务派遣人员等具有在我国境内短时间停留特性的自然人提供服务，如果该类人员数量少，可能仅有一个或两个，个人信息保护法的适用会造成过度域外适用的可能。随着我国对外开放水平的进一步提高，入境人员流动频繁，如果个人信息保护法将所有进入我国境内的自然人归属于“境内自然人”，那么个人信息保护法将成为实质上的全球规则。这与个人信息保护法域外适用需要适度的原则相违背。

总而言之，按照《个人信息保护法》第3条第2款的规定，无论是“目的意图标准”，还是“处理行为标准”，均不考虑个人信息处理行为是否在我国境内。只要个人信息处理行为与我国“境内”或者“境内自然人”具有“不可分割的联系”，就有适用我国个人信息保护法的可能。可以说，《个人信息保护法》第3条第2款体现了立法的域外效力，充分考虑了个人信息保护法的域外适用问题，对个人信息保护法的域外适用具有期待性。同时，个人信息保护法考虑到了我国企业在海外利益的维护，更重要的是国家在海外利益所应发挥的重要功能。由此可见，个人信息保护法与GDPR一样，在适用范围上确立了以属地原则为主、效果原则为辅的管辖原则。这是立法机关对个人信息收集、处理和跨境流动带来的管辖问题作出的现实回应。

三、我国个人信息保护法域外效力中的国际礼让

个人信息保护中，不同国家的利益存在交叉和冲突[9]。各国倾向于通过个人信息保护法的域外效力来维护本国的数据利益，容易产生法律适用的冲突。数据利益的冲突对各国数据治理带来挑战，个人信息保护法域外效力可能产生或者加剧数据本地化和数据全球化的冲突，加剧各国立法管辖权的冲突[10]。因此，各国在寻求扩张数据法律域外效力的同时，也应遵守国际礼让原则，适当限制管辖权无限度的行使，以解决管辖权冲突问题。

国际礼让原则（international comity）强调国家之间对于主权与利益的相互尊重，尊重对方国家的立法、行政或司法行为[11]。这要求一国司法或行政机关在适用规定有域外效力的法律时要保持克制[12]126，避免与他国主权发生冲突[13]。该原则最初由荷兰法学家乌尔里克斯·胡伯（Ulricus Huber）提出。他认为，在适用外国法律时，礼让是司法政策和互惠对等原则的体现，其目的是使另一个国家的法律在本国继续有效，只要另一国的法律不损害本国的国家权力或公民权利[6]79。但国际礼让不是国家强制性义务，而是国家在考虑自身主体权利的限制下作出的一种可选的适用行为，这只是对外国友好的一种表现，对各国并无拘束力，不过可以作为各国法院解决问题的一种路径，具体操作由各国法院自行决定，并无统一标准可循[12]126。我国个人信息保护法域外适用中的国际礼让，需要我国行政机关或者司法机关了解他国个人信息保护法的相关规定。在信息网络发达的今天，虽然本国行政机关或司法机关未必能穷极他国有关个人信息保护的法律规定，但还是可以收集到他国主要个人信息保护法律的，进而判断他国个人信息保护法律所涉及的国家利益。

国际礼让原则能缓解各国个人信息保护立法管辖权的冲突，也是尊重他国主权的具体表现之一。适用该原则解决各国个人信息保护法效力的冲突问题，需要尊重他国合理的主权利益诉求，尊重他国对其域内的个人信息保护规定，同时克制本国个人信息保护法的域外适用。

四、结语

2019年2月25日，习近平总书记在中央全面依法治国委员会第二次会议上的重要讲话中指出，要加快推进我国法域外适用的法律体系建设[14]。赋予个人信息保护法域外效力，在个人信息保护法中已有所规定。从世界范围内的个人信息保护立法来看，多数国家强调本国法律的域外效力。赋予个人信息保护法域外以效力，有利于更好地维护本国的数据利益。但我国对个人信息保护法域外适用应注意国际礼让原则，为网络空间人类命运共同体的建设作出应有的贡献。