摘要
在全球数字化环境中,个人数据跨境流动日益频繁,世界各国纷纷制定本国个人信息保护法域外效力条款来遏制他国对本国国民个人信息进行不法侵害。2021年11月1日起,我国《个人信息保护法》正式施行,根据《个人信息保护法》第3条第2款的规定,不论是“目的意图”的标准,或者“处理行为”的标准,都不会考虑个人信息处理行为是不是在我国的领土上。个人信息处理行为只要与我国“境内”或“境内自然人”存在“密不可分的关系”,就符合了我国个人信息保护法域外适用的条件。同欧盟的《通用数据保护条例》(General Data Protection Regulation,以下简称:GDPR)的适用方式类似,在适用范围上我国《个人信息保护法》确定了以属地管辖为主、效果原则为辅的管辖原则。但该法域外效力制度还存在进一步完善的空间,例如更加明确的适用标准、体系性的配套措施、国际性地应对国际间法律域外效力冲突等。 就现有域外经验而言,欧盟GDPR在第三条关于地域范围条款一节中不仅设定了域外效力,而且还重新规定了域外适用范围,使规制对象确定标准由属地原则主导,行为方式辅助模式向行为影响主导模式转变。而美国《澄清合法使用境外数据法》(Clarifying Lawful Overseas Use of Data Act,以下简称:CLOUD法案)不仅为外国政府调取存储在美国境内的数据设置了相应的法律程序,还可以使美国政府不需征得资料所在国同意,就能在符合特定条件时调取世界各国其所需信息资料。欧盟与美国的个人信息域外保护立法及实践对我国个人信息保护法域外效力制度的完善具有启发意义。我国可在沿用《个人信息保护法》以主体行为为主线的立法模式下,参照欧盟和美国的经验逐步厘清域外适用界限,强化域外适用的执法和司法配套,加强国际合作并引领建设国际间法域外效力的新秩序。
NETL