个人信息保护法域外效力的研究.docVIP

个人信息保护法域外效力的研究 　　摘要：大数据时代，随着智能设备的普及和数据处理技术的成熟，搜索引擎、社交网络、电子商务等互联网信息服务快速发展。信息以前所未有的方式自由流动和跨境传输，由此引发了个人数据保护法域外效力的扩张。相较于早期的《数据保护指令》， 新近通过的欧盟《一般数据保护条例》增加了域外适用情形，将为欧盟境内的数据主体提供商品或服务以及监控其行为的境外企业也纳入了规制范围。纵观世界范围内的个人数据保护法，多数国家已设立域外适用条款，扩大法律的域外效力已经成为国际社会的主流做法。就当前信息产业发展和个人信息保护规范的现状而言，我国应借鉴欧盟立法经验，在未来的个人信息保护法中设立域外适用条款，扩大法律的地域适用范围，以保障信息主体的合法权益。 　　关键词：个人数据保护法；域外效力；《一般数据保护条例》；属地原则；效果原则；个人信息保护法 　　中图分类号：D913； D923.8文献标识码：A文章编号2017 　　一、问题的提出 　　在知识和经济快速变革的信息化社会中，技术的进步，包括互联网、移动互联、物联网、云计算、人工智能等技术的发展和运用，使得个人网上行为的全方位记录和大规模分析成为可能，由此产生的数据资源也正和土地、劳动力、资本等生产要素一样成为促进经济增长和社会发展的基本要素。与之相应的是，个人信息以一种前所未有的方式被企业和政府机关收集、存储、利用和传输。我们的搜索记录、浏览记录、消费记录、社交记录等几乎所有的网上行为记录都有可能被传输至境外的信息服务提供者所在地或被分享至第三方。由此引发的一个疑问就是：当境外企业违法收集和处理本国公民的个人数据时，一国的法律是否有权予以制裁？也即法律的域外效力。 　　在理论上，法律的域外效力是指“法律的空间效力扩展到该国国家主权主管范围之外”[1]。按照国际法中的国家主权原则，一国制定的法律原则上应当仅适用于本国领土范围之内。但是随着经济全球化的发展和信息自由流动的加快，法律的域外效力已经不仅局限于破产法、消费者权益保护法、竞争法等传统部门法，而是扩展到了个人信息保护法、电子商务法、信息财产法等新兴的法律领域。网络空间在本质上是一个国际性的虚拟空间，其超越了传统的国界，一个人上传的照片和视频很有可能被传播至世界上任何一个连接至互联网的终端设备。这种特性也使得传统法律的属地管辖原则已无法满足当今社会的发展，在个人信息保护上应当扩大法律的域外适用范围。而从世界范围内的个人数据保护立法来看，强化本国法律的域外效力已经成为国际社会达成的共识。为此，本文将以欧盟正式颁布的《一般数据保护条例（GDPR）》（以下简称GDPR）为视角，探析个人数据保护法的域外效力并为我国未来个人信息保护法的制定提出建议。 　　二、欧盟GDPR域外效力探析 　　2016年4月14日，欧洲议会在二读立法程序中决议通过了被称为“史上最严格的个人数据保护条例”GDPR，其正式文本于5月4日被公布在欧盟官方公报上，从而结束了欧盟自2012年提出立法草案以来长达四年之久的数据保护改革。根据该条例第99条关于生效和适用的规定，其将自官方公报发布满20日，即2016年5月24日后生效，并自其生效满两年，即2018年5月25日后直接适用于欧盟全体成员国，在两年的过渡期内，欧盟各成员国可以将该条例转化为自己的国内法予以适用[2]。相较于早期颁布并仍在实施的欧盟《数据保护指令（95/46/EC）》（以下简称95指令），GDPR在地域适用范围、权利义务配置、监管体系设计、惩罚措施、救济方式等方面都对原有立法框架进行了重大调整。加之欧盟法院（CJEU）于2014年5月13日以判例的方式裁决个人享有被遗忘的权利[3]，这份自2012年1月欧盟委员会的提议起就备受外界关注的立法在引领全球个人信息保护立法方面无疑具有重要意义。 　　随着数字经济在全球范围内的快速发展，促进数据的自由流动并挖掘数据中的潜在商业价值已经成为世界各国政府的共识，美国的《大数据：抓住机遇，保存价值》白皮书、欧盟的《数据价值链战略计划》《英国数据能力发展战略规划》以及我国的《国家信息化发展战略纲要》都是加强数据资源利用的战略规划。但数据的自由流动必将带来法律适用上的难题，单纯规制境内的个人数据处理行为已无法充分保护数据主体的权利。为此，GDPR第三条将境外企业对欧盟境内自然人的个人数据所实施的特定处理行为也纳入了规制范围GDPR第3条“地域范围”： 　　1.该条例适用于数据控制者或处理者在欧盟境内存在设立机构活动的背景下所实施个人数据处理行为，无论该处理行为是否发生在欧盟境内。 　　2.该条例适用于在欧盟境内不存在设立机构的数据控制者或处理者对欧盟境内数据主体的个人数据所实施的处理行为，如果该处理行为