欧盟GDPR的域外适用及对我国的借鉴-《对外经贸实务》(2022年10期).docx

龙源版权所有 欧盟GDPR的域外适用及对我国的借鉴作者：马亚文　张溪瑨来源：《对外经贸实务》2022年第10期 摘要：大数据时代，跨境数据流动带来的管辖权难题，使得数据立法的域外适用成为各国及地区保障本国数据主权与安全的重要手段。对欧盟GDPR域外适用的历史背景和适用现状进行研究，有助于借鉴欧盟经验，进一步提高我国数据法域外适用的水平。本文运用了文本研究法与案例研究法，并结合GDPR的具体内容，分析了欧盟GDPR域外适用的发展历程、适用标准、发展成效，总结了欧盟GDPR域外适用的优势与缺陷。研究发现：欧盟GDPR域外适用的内容设置与实践成效有利于中国《个人信息保护法》域外适用条款的现实适用。我国在借鉴欧盟有益经验的基础上，加强《个人信息保护法》域外适用条款的解释适用，综合提高我国数据治理话语权，同时吸取欧盟的历史教训，强化域外执法合作。 关键词：GDPR；域外适用；数据保护；《个人信息保护法》 当前，数据已成为国家基础性战略资源和关键生产要素。数据的跨境流动是数字经济发展的重要推动力，其在创造巨大经济价值的同时，也对个人信息保护和国家安全构成了实质性威胁。数据跨境带来的管辖权难题，使各国开始思考如何扩大本国法律的适用范围至域外以充分保护本国数据主体的权利，数据立法的域外适用成为必然趋势。所谓国内法的域外适用，一般是指法律在本国管辖范围之外产生确定拘束力，实现国内法域外效力的过程。 2018年5月25日生效的欧盟《通用数据保护条例》（以下简称GDPR）是全球范围内影响最大的个人数据立法之一，其所设定的域外适用条款引发了国际上广泛的争议和讨论。GDPR确立“经营场所标准”和“目标指向标准”作为确定域外适用的衡量标准，以对本国数据主体进行保护。我国2021年11月通过的《个人信息保护法》也借鉴了GDPR的立法实践，确立了该法的域外效力。基于此，本文以GDPR域外适用条款为重点，分析GDPR域外适用制度设计及适用现状，以期给我国《个人信息保护法》的解释和适用提供参考。 一、欧盟GDPR域外适用的背景及成因 （一）欧盟GDPR域外适用的历史背景 欧盟一直是数据立法的引领者。于1970年制定颁布的数据保护法令是世界上第一部数据保护法令。自《关于保护隐私和个人数据国际流通的指南》到《关于个人数据自动化处理的个人保护公约》，欧盟数据保护立法逐渐走向成熟。1995年，欧盟委员会颁布了《保护个人享有的与个人数据处理有关的权利以及个人数据自由流动的指令》（以下简称“95指令”），由于95指令在各成员国适用存在较大差异，因此，欧盟委员会最终决定以《通用数据保护条例》（GDPR）取代95指令。 2018年5月25日，GDPR的生效使欧盟数据保护水平达到了前所未有的高度。GDPR作为欧盟颁布的专门性数据保护条例，直接适用于欧盟各成员国。自此，欧盟开启了数据立法域外适用的新局面。 （二）欧盟GDPR域外适用的现实成因 1．欧盟数字经济发展整体滞后。欧盟虽具备丰富的数据资源，但其数字经济发展却相对滞后。根据世界银行统计，2019年欧盟经济总量约占世界经济总量的15.77%，然而欧洲数字企业的市值占全球数字企业总市值却不足4%。与此同时，脸书、谷歌等美国互联网企业却依托欧盟的数据市场优势获得了发展。据统计，脸书在欧盟拥有超过2.5亿用户，欧洲市场的收入占脸书全球收入的25%。欧盟本土企业与非本土企业数据利用率的悬殊反映了欧盟数字经济发展的滞后，由此引发了欧盟对数据安全问题的担忧。如何规制境外经营者处理境内数据，充分保护数据主体权利成为欧盟数据立法亟待解决的关键问题。 2．数据跨境传输协议的实践困局。美国的行业自律模式与欧盟的统一监管模式产生碰撞，使得欧美数据跨境传输协议危机重重。基于双方经济利益和数据安全的考量，欧美先后制定了《安全港协议》、《隐私盾协议》，以及《跨大西洋数据隐私框架》数据跨境传输协议。然而，欧盟数据保护理念的分歧使双边数据跨境传输协议难以发挥作用，无法有效保护个人数据。 第一，安全港协议被判无效。2015年10月6日，欧盟法院判决安全港协议无效。2013年6月25日，奥地利律师马克斯·施雷姆斯（Max Schrems），以其个人数据未得到充分保护为由向爱尔兰数据保护监管机构进行申诉，要求禁止脸书爱尔兰公司将其个人数据传输至美国总部。欧盟法院认为，安全港协议存在数据安全隐患，其不再适合作为欧美数据传输的“纽带”。事实上，即使没有棱镜门事件，诸如美国数据保护水平的要求不符合95指令等安全港协议的自身问题也将导致安全港协议无效。 第二，隐私盾协议被判无效。2020年7月，隐私盾协议被欧盟法院裁定无效。2015年底，施雷姆斯再次以相同理由向爱尔兰数据保护委员会投诉要求其暂停Facebook使用标准合同条款向美国传输欧盟公