科学技术的快速发展,革新了人们的日常工作和生活状态。在搜索引擎、社交网络以及电子商务便利工作和生活的同时,依托于互联网流转的个人数据保护问题接踵而至。个人数据权利一直被欧盟视为一项基本权利和自由。在目前双边和多边合作机制无法充分保障个人数据权利的情况下,为了规制个人数据的收集、处理以及统一欧盟内部的数据市场,欧盟力图通过单方扩展域外管辖权建造内外平等的个人数据保护体系。2018年实施的《通用数据保护条例》(以下简称GDPR)在1995年生效的《关于涉及个人数据处理的个人保护及此类数据自由流动的指令》(以下简称《指令》)基础上设置了更为严格的惩戒体系以及更为广泛的域外适用范围。GDPR一经出台,备受关注,其中的地域范围(Territorial scope)条款更是如此。《指令》第4条准据法(National law applicable)条款以“经营场所标准”为主,“设备使用标准”为补充,具备典型的属人和属地主义色彩。GDPR第3条第1款在《指令》第4条第1款a项的基础上未做实质性改动,规定可以管辖境内设立“经营机构”的数据控制者和处理者的相关数据处理行为。在司法实践中,欧洲法院通过扩大解释该条款中“经营机构”以及“在经营活动背景下”两个关键要素,架空“属人主义”实现域外适用,这其中的合理性引发争议。GDPR第3条第2款确立的“目标指向标准”取代了《指令》第4条第1款c项的“设备使用标准”,规定当境外实体的数据处理活动对境内产生一定的效果或者影响,GDPR得以适用。“目标指向标准”以效果原则作为理论基础,是典型的域外适用条款。效果原则产生于反垄断法的域外适用,经历了从国际法基础存疑到有一定坚实国际法基础的过程。个人数据保护法不同于反垄断法,效果原则作为域外适用理论基础有其特殊的质疑理由:一方面,个人数据依托于互联网,互联网的虚拟性和无界性,让各国多少与数据流转存在联系,通过效果原则主张域外适用极容易引发频繁的立法管辖权冲突;另一方面,国际法并不禁止一国国内法的域外适用,基于个人数据的自由流动性,个人数据保护势必要突破一国的地域范围,此时,效果原则具备相对优越性。除了理论基础所引发的争议外,“目标指向标准”适用边界的合理性也存在诸多有待完善之处。“提供商品或服务标准”作为“目标指向标准”的子标准之一,要求数据控制者和处理者以欧盟境内数据主体为活动指向,即具备主观上的意图。“意图”这一元素曾被运用到欧盟其他相关法域当中,在相似的法律领域运用相似的规则,具备相对合理性。但从实践中的相关案例来看,欧盟存在过分强调“意图”,弱化对“结果”考察的失衡倾向。因欧盟认为“监测”这一行为本就具备一定的指向性,“目标指向标准”下的“监测数据主体行为标准”不要求具备针对欧盟数据主体的活动导向性,然而“意图”的缺失引发了“监测数据主体行为标准”无止境扩张的可能。结合目前实践案例来看,该标准下的部分管辖权主张尤其缺乏可执行性,长远来看,执行有效性的缺失会进一步损害该标准所体现的价值。GDPR出台后,各国在制定个人数据保护法时开始将域外影响考虑在内。我国于2020年10月21日颁布了《个人信息保护法(草案)》,草案域外适用范围的设置,与GDPR的立法思路高度相似。基于前述提及GDPR域外适用范围的设置尚存不合理之处,就“监测数据主体行为标准”而言,可以引入“双重违反原则”限制我国立法管辖权的扩张。此外,我国作为欧盟第一大贸易伙伴,GDPR的生效无疑会对我国企业和个人造成重大影响,研究GDPR的域外适用范围同时也具有现实意义。当我国企业成为GDPR域外适用下的数据控制者和处理者时,明确GDPR在我国的主要适用情形,有助于我国企业积极更新隐私政策,履行GDPR的代表制度,降低被GDPR惩戒的可能性。从我国公民的角度来看,其受GDPR影响主要有两种主要情形:一是当我国公民成为GDPR域外适用下的数据主体,在提起针对数据控制者和处理者的民事诉讼时,要求我国公民灵活把握欧盟个人数据保护领域的冲突规则;二是我国公民极有可能因GDPR的不当域外适用遭受损失,此时可以结合我国商务部于2021年1月9号公布的《阻断外国法律与措施不当域外适用办法》,寻求国内法保护。
暂无评论