《通用数据保护条例》第3条(地域范围)评注
——以域外管辖为中心*

俞胜杰

(华东政法大学，上海 200042)

2018年5月25日开始生效的《通用数据保护条例》(1)《通用数据保护条例》的英文表述为General data Protection Regulation(简称GDPR)，英文全称为Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)。原文参见欧盟委员会官方网站：https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=152887467229 8&uri=CELEX%3A32016R067，最后访问时间：2019年7月5日13时15分。(以下简称《条例》)是在数字经济重塑人类生活的大背景下欧盟数据治理改革的重要立法成果(2)吴沈括.欧盟《一般数据保护条例》与中国应对[J].信息安全与通信保密,2018,(1):13-16.，也是迄今为止全球范围内最具影响力的个人数据保护立法之一。

为了对欧盟公民的个人数据予以有效保护，推动数据保护法律框架的现代化，更好地实现建立欧盟数字单一市场的目标，《条例》超越了欧盟成员国个别立法的传统模式，有效地消除成员国国内法上的差异，建立起一套统一的个人数据权利体系、保护标准、执法流程和监管路径。《条例》强调行政监管在欧盟个人数据保护中的特殊功能，从而具有浓厚的公法色彩。

一、《条例》主张域外管辖的理论依据

在国际法视阈下，《条例》第3条(地域范围)通过确立“经营场所标准”(establishment criterion)和“目标指向标准”(targeting criterion)，设定了宽泛的地域管辖范围(该条款的中文翻译版本见下文表1)。根据该法第3(1)条确立的“经营场所标准”，只要个人数据控制者或者处理者在欧盟境内设立了经营场所，无论在此场景下产生的数据处理行为是否发生在欧盟境内，该法均有管辖权。此外，《条例》第3(2)条确立了“目标指向标准”，进一步将《条例》的适用范围延伸至欧盟境外企业直接收集、处理或者监控欧盟境内数据主体个人数据的行为。该条款体现出积极扩张个人数据保护域外管辖权的立法意图，这一立法动向值得高度关注。

(一)国内公法域外管辖的理论依据

国内公法的域外管辖现象并不少见，国际法并非绝对禁止一国立法的域外效力。国际法决定了国家可以采取各种形式的管辖权的可允许限度，而国内法规定国家在事实上行使它的管辖权的范围和方式(3)[英]詹宁斯,瓦茨修订.奥本海国际法(第1卷第1分册)[M].王铁崖等译.北京:中国大百科全书出版社,1995.327.。国际常设法院在1927年的“荷花号案”判决中对有关管辖权所作的权威论断不断为学术界所引述、为司法界所援引。关于国际法是否存在某项规则禁止本国对外国人在国外实施的犯罪行为行使管辖权的问题，国际常设法院认为不存在这样的规则：“国际法不但没有禁止国家把它的法律和法院的管辖权扩大适用于它境外的人、财产和行为，还在这方面给国家留下宽阔的选择余地。这种选择权力只在某些场合受到一些限制性规则的限制，但在其他场合，每个国家在采用它认为最好和最合适的原则方面是完全自由的。”(4)陈志中.国际法案例[M].北京:法律出版社,1998,41-42.根据“荷花号”案的裁判主旨可概而言之：对于一国而言，国际法对规则无明确禁止即可立法。由此，世界各国在国际法允许的情形下，出于自身实现法律规制目的的考虑，在不同程度上开展国内公法域外管辖的国家实践，曾经先后出现过刑法、反垄断法和证券法等部门法主张域外管辖的情况。

由于各国对域外管辖制度的理解和认识存在分歧，目前对“域外管辖”的概念界定尚未形成共识。联合国国际法委员会曾经在2006年对域外管辖的含义进行界定：“国家主张域外管辖权是在没有国际法有关规则的情况下试图以本国的立法、司法或执行措施管辖在境外影响其利益的人、财产或行为。”(5)参见联合国国际法委员会于2006年提交的A/61/10号报告中附件E有关“域外管辖权”的研究结论。国际法上的管辖权种类主要包括属地管辖权、属人管辖权、保护性管辖权和普遍性管辖权。域外管辖并不是一类独立的管辖权，而是主权国家在实践中发展出来的行使管辖权的一种具体方式(6)廖诗评.国内法域外适用及其应对——以美国法域外适用措施为例[J].比较法研究,2019,(3):166-178.。

(二)《条例》第3条中的域外管辖类型

《条例》第3(1)条规定了“经营场所标准”：在欧盟境内设有经营场所的数据控制者或数据处理者，只要数据处理行为发生在此经营场所开展活动的场景中，即使实际的数据处理活动不在欧盟境内发生，该数据处理活动也要受本法管辖。“经营场所标准”具有域内管辖和域外管辖的双重面向，通过对“数据处理行为发生在此经营场所开展活动的场景中”进行扩张解释，从而实现将境外企业纳入管辖范围的规制目的。这种解释方法实现了“属地管辖权”的技术性扩张。

该条的第3(2)条规定了“目标指向标准”：本法适用于对欧盟境内的数据主体个人数据的处理行为，该行为由在欧盟境内没有设立经营场所的数据控制者或处理者实施；发生在向欧盟境内的数据主体提供商品或服务的过程中，无论此项商品或服务是否需要数据主体支付对价；或者对数据主体发生在欧盟内的行为进行监控。“目标指向标准”表明，即使某些数据控制者或处理者在欧盟境内没有建立经营场所，只要该数据处理行为对欧盟境内的数据主体产生了实际上的“效果”或“影响”，《条例》仍然有可能对其数据处理行为进行管辖。《条例》以效果原则为正当性基础主张该法的全球性管辖。效果原则是美国法院在反托拉斯案的裁判中发展起来的管辖原则，即国家对外国人在外国所做的，对本国商业产生影响的行为享有管辖权。因为这一原则针对的是外国人而被认为是属地管辖原则的延伸，又由于它的目的是保护国家的重大利益而与保护性管辖相似(7)王虎华.国际公法学[M].北京:北京大学出版社,2015.85.。将效果原则作为个人数据保护立法的理论依据，其合理性引起了学界质疑。有学者认为，效果原则作为网络空间的管辖权依据过于虚无缥缈，由于经济全球化和网络全球互联，所有国家对网络行为都存在或多或少的联系，各国如果按照这一原则进行立法，管辖权冲突将非常频繁(8)Lilian Mitrou.The General Data Protection Regulation: A Law for the Digital Age? Tatiana-Eleni Synodinou, Philippe Jougleux, Christiana Markou, Thalia Prastitou(eds). EU Internet Law: Regulation and Enforcement. Springer,2017.p32.。数据保护领域的管辖权立法还呈现出一个悖论：国际法给各国在数据保护领域的立法留有余地，在不违反国际法的情况下各国立法管辖权不受限制，但是一旦各国扩张管辖范围，将引起国际法层面的管辖权冲突问题。尽管备受指责，但从合法性角度来说，《条例》在立法上主张积极的域外管辖并不违反国际法。由于第3条的规定过于原则和抽象，缺乏法律的确定性和可预见性，有关《条例》域外管辖权的合理性问题，需要在厘清域外管辖的合理边界之后再加以判断。

(三)《条例》中域外管辖问题的研究价值

从企业合规角度来看，《条例》积极主张域外管辖，企图将发生在境外的数据处理行为纳入管辖范围，这一立法举措增加了欧盟境外的企业(包括中国企业在内)开展“涉欧”个人数据处理业务的合规风险。企业担心一旦违反《条例》，可能面临高额罚款(9)根据《条例》第83条有关处以行政罚款的一般条件的规定，情节最重者可被罚款2千万欧元或全球营业额4%(以金额较高者为准)。。随着中欧经贸往来日益频繁，中国企业同样高度关注该法的地域管辖范围问题。

此外，从立法层面来看，目前我国正在研究制定《个人信息保护法》(10)2018年9月7日，《十三届全国人大常委会立法规划》公布，其中第一类项目为条件比较成熟、十三届全国人大常委会任期内拟提请审议的法律草案(共69件)，《个人信息保护法》被列入第一类项目之中。，是否应当在新法中纳入域外管辖条款成为我国个人信息保护立法过程中的关键问题。欧盟的立法动向提供了有益的域外经验，为立法者的科学决策提供参考。

因此，无论是从中国企业如何有效应对域外立法，还是从中国相关立法如何借鉴域外经验的角度出发，以域外管辖为视角，对《条例》第3条(地域范围)进行评注殊为必要。目前，国内的国际法学者对《条例》的研究热情主要集中在个人数据跨境流动议题，有关《条例》的地域范围和域外管辖方面的研究成果相对较少(11)目前已有许多有关个人数据跨境流动问题的研究成果在CSSCI核心期刊中发表，例如(按照发表时间排序)：1.吴沈括.数据跨境流动与数据主权研究[J].新疆师范大学学报(哲学社会科学版),2016,(5):112-119. 2.陈咏梅，张姣.跨境数据流动国际规制新发展：困境与前路[J].上海对外经贸大学学报,2017,(6):37-52. 3.黄宁、李杨.“三难选择”下跨境数据流动规制的演进与成因[J].清华大学学报(哲学社会科学版),2017,(5):172-182. 4.胡炜.跨境数据流动的国际法挑战及中国应对[J].社会科学家,2017,(11):107-112. 5.张舵.略论个人数据跨境流动的法律标准[J].中国政法大学学报,2018,(3):98-109. 6.许多奇.个人数据跨境流动规制的国际格局及中国应对[J].法学论坛,2018,(3):130-137；7.石静霞,张舵.跨境数据流动规制的国家安全问题[J].广西社会科学,2018,(8):128-133. 8.茶洪旺,付伟,郑婷婷.数据跨境流动政策的国际比较与反思[J].电子政务,2019,(5):123-129. 相比之下，国内研究成果中鲜有从国际法角度对个人数据保护立法的域外管辖问题进行系统梳理和论证的。齐爱民，王基岩在《社会科学家》2015年第11期上合作发表的论文《大数据时代个人信息保护法的适用与域外效力》虽然提及了数据保护立法的域外效力问题，但是由于当时GDPR尚未通过立法程序，因此也未有对第3条地域管辖范围的讨论。金晶在《欧洲研究》2018年第4期上发表的论文《欧盟〈一般数据保护条例〉:演进、要点与疑义》对GDPR的重要条款进行了全景式地剖析，其中亦论及地域管辖的扩张性问题，但并未展开大篇幅的论证。张建文、张哲在《重庆邮电大学学报(社会科学版)》2017年第2期合作发表的论文《个人信息保护法域外效力研究——以欧盟〈一般数据保护条例〉为视角》结合Google Spain案对个人数据保护法的域外效力进行了讨论，但未对GDPR的域外管辖权边界问题进行研究。。

在评注条款的过程中，从国际法角度反思个人数据保护立法主张域外管辖的正当性基础。通过司法判例和立法背景文件来研究《条例》与1995年《欧盟个人数据保护指令》(12)该文件中文全称为《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》，英文全称为Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data；原文参见网址：https://eurlex.europa.eu/ LexUriServ/LexUriServ.do?uri=CELEX: 31995L 0046:en:HTML，最后访问时间：2019年7月15日20时07分。(以下简称《95指令》)之间的内部继承关系。从立法意图和实施效果两个方面以检视地域管辖范围与数据跨境流动规则之间的区别。通过梳理欧盟数据保护机构发布的相关文件，从法律稳定性和灵活性的角度，梳理《条例》域外管辖权的边界，思考《条例》对中国的影响与启示。

二、地域范围条款的立法沿革：从《95指令》到《条例》

根据《条例》鉴于条款(Recital Clause)的第171段，《条例》一经生效，《95指令》同时废止。《95指令》第4条(应适用的国内法)为《条例》第3条(地域范围)所取代。对地域范围条款的立法沿革进行梳理，有助于厘清前后两部法律相关条文的流变关系，并进一步思考管辖权扩张的立法动因。

(一)传承与突破：基于地域范围条款的条文结构分析

《95指令》第4(1)条系该法的地域范围条款。从条文结构和立法功能来看，该条款具有地域范围和冲突规范的双重作用。

一方面，该条款根据“经营场所是否在欧盟境内”作为分类标准，明确了何种个人数据的处理行为将落入《95指令》的地域管辖范围(参见表1)。该条包含了是否应当适用欧盟成员国法的两项衡量标准：其一，根据数据控制者“经营场所”的具体位置确定欧盟是否对此拥有管辖权，即“经营场所标准”(表1中《95指令》第4(1)a条)；其二，以数据处理为目的而使用的“设备”(equipment)的具体位置确定欧盟对此是否拥有管辖权，即“设备使用标准”(表1中《95指令》第4(1)c条)。另一方面，由于《95指令》不同于是条例(Regulation)性质的欧盟法律，它并不为个人创设权利和义务，一般而言，指令的调整对象往往是成员国(13)邵景春.欧洲联盟的法律与制度[M].北京:人民法院出版社,1999.60.。因此，第4条在很大程度上同时发挥了冲突规范的功能，主要用于缓解和消弭个人数据保护层面各国法律冲突(14)杜涛.国际私法国际前沿年度报告(2015—2016)[J].国际法研究,2017,(2):89-128.，在明确具体行为将会落入《95指令》的地域管辖范围之后，进一步解决究竟适用哪一成员国的个人数据保护实体性规则的准据法问题。

表1 《95指令》与《条例》有关地域范围规定的条文对照

通过对比表1中两部法律地域范围条款的条文结构可知：《条例》第3(1)条与《95指令》第4(1)a条一脉相承，呈现出明显的内部继承关系，均为“经营场所标准”，但是《条例》第3(1)条中存在“无论其处理行为是否发生在欧盟境内”这一明显具有域外管辖倾向的表达，而原来的《95指令》未指明这一点。如果将先有之条文称为1.0版“经营场所标准”，则后有之条文可称为2.0版“经营场所标准”。《条例》第3(3)条与《95指令》第4(1)b条基本含义相同。《95指令》第4(1)c条的“设备使用标准”已经被《条例》第3(2)条的“目标指向标准”所取代，但是，上述两个条文均明确表达了域外管辖的立法意图，试图将经营场所不在欧盟境内但实施了特定数据处理行为的数据控制者(或者数据处理者)纳入管辖范围。申言之，《95指令》和《条例》有关地域范围的规定有着“将域内管辖和域外管辖杂糅于同一条文之中”的共同特点，这增加了剥离出“域外管辖”有关情形的难度，因为只有在具体案件中才会面临涉案的欧盟境外企业是否将受到该法域外管辖的问题(在下文具体讨论)。

研究条款的立法沿革不能简单、机械地观察相关条款之表面变化，笔者认为：从《95指令》第4条到《条例》第3条的立法转变，既体现出对上世纪90年代互联网萌发期的立法管辖模式的“传承”，也折射出在大数据、云计算等信息技术飞速发展的时代背景下个人数据保护立法管辖思路的“突破”。这些变化的内在机理值得深究：第一，《条例》第3(1)条的“经营场所标准”为何会在《95指令》的基础之上呈现出明确的域外管辖立场？第二，信息技术对欧盟有效管辖来自欧盟的个人数据带来了哪些障碍，从而催生出“目标指向标准”这一积极主张域外管辖的重大立法“突破”？有必要将欧盟法院和有权解释机关(第29条工作组)对《95指令》第4条的释明活动予以回顾，对欧盟法的有权解释活动内蕴着欧盟个人数据保护如何逐步确立“域外管辖”主张的立法沿革。

(二) 欧盟法院和第29条工作组(15)根据《95指令》第29条的有关规定，欧盟成立的一个“在个人数据处理中保护个人的工作组”，一般称之为“第29条工作组”。该工作组是一个独立的咨询机构，有成员国数据保护机构的代表组成。该工作组在欧盟数据保护法中发挥重要作用，它发布的解释性文件具有巨大影响力。《通用数据保护条例》生效后，原先根据《95指令》第29条建立的个人数据保护工作组被新机构欧洲数据保护委员会(European Data Protection Board，简称EDPB)所取代。对“经营场所标准”的技术性解释

《95指令》第4(1)a条要求“数据处理行为发生在数据控制者经营场所开展活动的场景中，而该控制者的经营场所位于该成员国领域内”，《条例》第3(1)条规定“在欧盟境内设有经营场所的数据控制者或数据处理者，只要数据处理行为发生在此经营场所开展活动的场景中，即使实际的数据处理活动不在欧盟境内发生，该数据处理活动也要受本法管辖”。前后两款规定均要求经营场所应当设立在欧盟境内，对数据处理行为也有“在此经营场所开展活动的场景中发生”(in the context of activities of an establishment)的特殊要求，从中可以看出两个条款的“内部继承关系”。如何理解“经营场所”以及“在此经营场所开展活动的场景中发生”的含义？此外，该条如何能对欧盟境外企业产生域外管辖的效力？在《95指令》颁布实施的二十多年中，欧盟法院和第29条工作组分别通过判决(Decision)(16)欧盟法院先后通过Google Spain案(案号：Case C-131/12)和Weltimmo案(Case C-230/14)对《95指令》第4(1)a条的“经营场所”判断问题予以回应。值得指出的是，Google Spain案系欧盟个人数据保护领域最为经典的司法案例之一，该案因为确立了个人数据“被遗忘权”(Right to be Forgotten)而声名大噪。或意见(Opinion)(17)第29条工作组对准据法问题进行过专门研究，先后出台了两份意见性文件。第一份为Opinion 8/2010 on applicable law，该文件于2010年12月16日；后一份为Update of Opinion 8/2010 on applicable law in light of the CJEU judgement in Google Spain，该文件于2015年12月16日发布。的方式，对上述问题予以回应。

《95指令》鉴于条款第19段界定了“经营场所”的基本含义：“鉴于在成员国境内设立机构意味着它可以通过稳定的安排开展真实而有效的活动；鉴于此类机构的法律形式(无论是简单的分支机构还是具有法人资格的子公司)并不是在这方面的决定性因素。”2010年12月16日，第29条工作组发布意见性文件Opinion 8/2010 on applicable law。该文件提出，识别“经营场所”的关键在于判断涉案的数据控制者实施了有效而真实的活动，“开展活动的场景”说明处理案件的准据法不是数据控制者所在地的法律，而应当是经营场所开展与个人数据处理活动有关的地点的法律。但是，对“稳定的安排”(stable arrangement)、“真实而有效的活动”(the effective and real exercise of activity)等词汇的含义亦有待释明。例如，欧盟境外企业(数据控制者)在欧盟境内设立了经营场所，何种安排可谓“稳定”？哪种活动可谓“真实而有效”？此外，“数据处理行为”在何种程度上可以视为发生在“经营场所开展的场景中”？如何进行具有说服力的说理(reasoning)将境外企业的数据处理行为归入《95指令》的管辖范围之中从而实现该法的域外管辖效力？

欧盟法院通过Google Spain案对该法的域外效力问题予以澄清。该案与域外效力问题有关的案情如下(18)由于文章篇幅有限，Google Spain案的基本案情不再展开。详细案情可以参见杨开湘.“被遗忘权”的司法确立——重探谷歌数据隐私案[J].经济法论丛,2018,(1):359-386.：Google西班牙公司是Google美国总部在西班牙设立的商业代表，帮助Google推广和销售在线广告位置以获取商业利润，Google搜索引擎由Google美国总部运营和管理，Google西班牙公司不参与相关数据处理活动(将第三方网站上的信息或数据编入索引或对直接关联活动进行存储的数据处理活动)。欧盟法院查明事实：Google西班牙公司符合“通过稳定的安排开展真实而有效的活动”，系《95指令》中所指的“经营场所”，数据处理行为是在Google美国总部发生的(在欧盟境外)，Google西班牙公司不参与相关数据处理活动。Google公司抗辩称，争议的个人数据处理行为并未发生在数据控制者经营场所开展活动的场景中，两项业务是相互独立的。

欧盟法院认为：不应当仅对《95指令》鉴于条款第18-20段以及正式条文第4条进行限制性解释，应当从该法的制定目的加以理解，欧盟立法机构希望通过设定一个较为宽泛的地域范围以防止指令的立法目的无法实现，同时杜绝出现规避法律的行为。欧盟法院进一步指出，Google美国总部在欧盟设立经营场所是为了在欧盟成员国境内推广和销售使搜索引擎产生营利的广告位，搜索引擎业务是在经营场所开展活动(帮助Google推广和销售在线广告位置)的场景下进行的，二者存在着“无法割裂的联系”(inextricable link)。由于搜索引擎服务和广告位出现在同一个页面内，故可以认定符合《95指令》有关“数据处理行为发生在数据控制者经营场所开展活动的场景中”的要求。

该案判决结果一经公布，引发了全球广泛关注。第29条工作组于2015年12月16日发布了意见性文件Update of Opinion 8/2010 on applicable law in light of the CJEU judgement in Google Spain，对《95指令》第4(1)a条中的“开展活动的场景下”进行了详细解释，并对Google Spain案中提出的有关经营场所与数据处理行为之间“无法割裂的联系”的认定标准问题予以明确。第29条工作组进一步认为：只要“免费网络服务+广告”的商业模式促成了财务增长便可以认定为满足了“无法割裂的联系”的认定标准，此外，非欧盟企业以换取会员费、订阅数量或利用并开发用户数据营利为目的，甚至是以捐赠为目的，在欧盟境内提供免费网络服务，也可以认为存在“无法割裂的联系”。

通过上述文件可以得知：在Google Spain案以后，数据处理行为并不一定必须由经营场所亲自实施，只要综合考虑具体场景，该数据处理行为是在经营机构的“活动背景下”实施的，便符合《95指令》第4(1)a条的适用要求，就可以启动具体的准据法对个人数据处理行为予以监管。

此外，欧盟法院通过Weltimmo案对“经营场所”的判断标准问题予以了明确，该案的佐审官Pedro Cruz Villalón认为应当采用“两步分析法”：第一步为判断数据控制者在欧盟成员国境内是否建立了某个“经营场所”；第二步为某项特殊的数据处理行为是否是在这一经营场所开展活动的场景中发生的(19)参见Case C-230/14的佐审官意见第26段(该佐审官意见于2015年6月25日发布)。。该案判决书将“经营场所”的概念延伸至通过稳定的安排进行的任何真正而有效的活动，甚至是最小体量的活动。为了确定欧盟以外的实体在各成员国内是否有经营场所，必须基于活动和提供服务的特定性质来判断安排的稳定性程度和在该成员国从事活动的有效性(尤其是对于那些通过互联网提供服务的企业)，当数据控制者的核心活动涉及在线提供服务时，“稳定的安排”的认定标准实际上非常低。因此，在某些情形下，如果雇员和代理人的行为非常稳定，非欧盟实体的单一雇员或代理人也能够构成一项“稳定的安排”(20)Case C-230/14，判决书第29-31段。。

欧盟法院和第29条工作组对《95指令》有关“经营场所标准”的技术性解释实现了从“纸面上的法”(law in book)到“现实中的法”(law in action)的功能性转变，最终被《条例》充分“吸收”(21)《条例》的鉴于条款第22段有关“经营场所”的阐述与《95指令》鉴于条款第19段的措辞相同。。从《条例》第3(1)条中“无论其处理行为是否发生在欧盟境内”的表述可以窥见欧盟法院和第29条工作组对“经营场所标准”技术性解释的“影子”。申言之，数据处理行为发生的地点并不重要，重点在于如何精准把握“数据处理行为发生在此经营场所开展活动的场景中”。不仅开展数据处理行为的数据控制者可能是欧盟境外企业，经营场所开展活动的场景同样可能发生在欧盟境外，二者只要符合“无法割裂的联系”的认定标准，便可据此实施域外管辖权，将境外企业或者发生在境外的行为纳入《条例》的地域管辖范围。由此，原本具有“属地主义”色彩的“经营场所标准”便具有明显的域外管辖倾向，而“无法割裂的联系”的认定标准成为了实现域外管辖的“利器”。

(三) 技术改变法律：从“设备使用标准”到“目标指向标准”

如果《95指令》的地域范围条款仅为“经营场所标准”，《95指令》的管辖范围便大大受限。为了解决对在欧盟境内没有经营场所的情况下进行的数据处理行为行使域外管辖的问题，欧盟立法机关在《95指令》中楔入了第4(1)b条，将“数据控制者经营场所不在该成员国境内，但其所在地根据国际公法的规定应适用该国法律”的情形纳入地域管辖范围。第29条工作组在意见性文件Opinion 8/2010 on applicable law指出该条主要适用于国际公法下诸如飞机和船舶等“拟制领域”，以及欧盟成员国在海外的大使馆或领事馆，欧盟法对上述地方均享有国际公法意义上的管辖权(22)参见该意见性文件的第18页。虽然这一意见对欧盟法院或相关成员国法院的司法裁判没有法律拘束力，但是该意见以其较强的权威性和说服力构成对《95指令》的权威解释。。《条例》第3(3)条对上述条文予以吸收，并在鉴于条款第25段中明确指出“成员国法律依据国际公法适用的情况。本法也适用于欧盟之外的控制者，例如成员国的使馆或领事馆”，这一表述与第29条工作组相关意见性文件中的措辞一致。

与《95指令》第4(1)b条具有类似功能，《95指令》第4(1)c条的“设备使用标准”对“经营场所标准”进行了有效补充，将“使用成员国境内的设备”作为域外管辖的连接点，扩张了《95指令》的域外效力，企图能够对在欧盟境内没有经营场所而在境外发生的个人数据处理行为进行有效管辖。《95指令》鉴于条款第20段指出：在第三国设立的机构实施的数据处理行为不能妨碍本指令对个人之保护；在这些情况下，数据处理应当由使用方法(means)所在地的成员国法律来规制，并且应当有保证措施以确保本指令所规定的权利和义务在实践中得到遵循。《95指令》第4(1)c条使用的术语为“设备”(equipment)，而鉴于条款中使用的术语为“方法”(means)。在《95指令》的起草过程中，第4(1)c条的英文版本究竟应当用“means”还是“equipment”引发了长时间讨论，最终的正式文本还是决定将后者的措辞写入该条款，立法者有意通过后者以限制其概念的范围(23)Lokke M. The long arm of EU data protection law: Does the Data Protection Directive apply to processing of personal data of EU citizens by websites worldwide? International Data Privacy Law, 2011, 1(1).pp28-46.。为了提升欧盟个人数据的保护水平，《95指令》在互联网萌发期通过“设备使用标准”对域外数据处理行为实施管辖具有一定的合理性。在上世纪九十年代的语境下，“设备”一词的内涵和外延毕竟有限，仅指较为常见的电脑服务器、电脑终端以及调查表等计算机设备(24)Kuner C. Data Protection Law and International Jurisdiction on the Internet (Part 2). International Journal of Law and Information Technology, 2010, 18(3).pp227-247.。然而，随着科学技术的蓬勃发展，《95指令》第4(1)c条项下的“设备”一词的外延越来越广泛，第29条工作组在意见性文件中指出“对该条款的理解应当顺应新技术(尤其是网络技术)的发展，新技术大大便利了个人数据的远程收集和处理，数据控制者在欧盟成员国境内是否存在实体的前提变得不再重要”(25)参见第29条工作组发布的意见性文件Opinion 8/2010 on applicable law第19页。。在同一份文件中，该工作组进一步确认，‘设备’这一术语应当被解释为‘方法’。第29条工作组的这一意见与当初制定《95指令》时特意限缩“设备”一词外延的立法初衷相违背了。由于“设备”一词的外延过于宽泛，对成员国法院公正裁判案件造成了妨害。例如，意大利某青年将虐待残疾学生的视频上传至谷歌视频，法院认定谷歌意大利公司构成位于意大利的“工具或手段”，服务器位于美国总部抑或是爱尔兰的欧洲总部便不重要(26)参见第29条工作组发布的意见性文件Opinion 1/2008 on Data Protection Issues Related to Search Engines，WP 148(2008)第10页。。在受到广泛批评后，第29条工作组意识到：“对‘使用设备’的宽泛理解将极大地扩张欧盟数据保护法的地域管辖范围，需要对该标准进行改革。”(27)参见第29条工作组发布的意见性文件Opinion 1/2008 on Data Protection Issues Related to Search Engines，WP 148(2008)第23-25页。

《95指令》设定的地域管辖范围已无法适应互联网远程化、全球化和虚拟化的特点，尤其是随着云计算的发展，准确找到个人数据的存储地和处理个人信息的设备所在地已经变得非常困难。因此，《条例》通过确立“目标指向标准”，放弃了原来依据设备处理数据来确定法律适用地域范围的做法，转而依据特定域内数据处理行为来确定法律适用的地域范围(28)王志安.云计算和大数据时代的国家立法管辖权——数据本地化与数据全球化的大对抗？[J].交大法学,2019,(1):5-20.。

《条例》第3(2)条(目标指向标准)是欧盟个人数据保护立法改革的重大成果之一，甚至被称之为“哥白尼式的改革”(29)Kuner C. The European Commission’s Proposed Data Protection Regulation: A Copernican Revolution in European Data Protection Law[J]. Social Science Electronic Publishing, 2012.(Copernican Revolution)。虽然没有“超地域性”(extraterritoriality)的明确表述，但是这个条文在立法层面将欧盟境外的数据控制者和处理者纳入到《条例》的管辖范围之中。一旦它们的数据处理行为发生在向欧盟境内的数据主体提供商品或服务的过程中(无论此项商品或服务是否需要数据主体支付对价)，抑或是数据控制者或处理者对数据主体发生在欧盟内的行为进行监控，《条例》便对它们产生法律拘束力。

《条例》第3(2)a条对应鉴于条款第23段，为判断该控制者或处理者是否向位于欧盟境内的数据主体提供产品或服务，应确认控制者或处理者是否明显企图向位于欧盟境内一个或数个成员国的数据主体提供服务。控制者网站、处理者网站或其他中介网站仅可以获取邮件地址或者其他联系信息以及使用了控制者营业地所在的第三方国家的通用语言，上述行为均不足以确认其提供服务的动机和意图；一些判断因素使控制者的动机变得明显，例如使用一个或多个欧盟成员国的通用语言或货币用于订购以其他语言标识的商品或服务，或者涉及欧盟境内的客户或用户。《条例》第3(2)b条对应鉴于条款第24段，该段指出，为了判断上述处理活动是否可以被认定为是对数据主体在欧盟境内发生的行为的监控，需要确定自然人是否在互联网上被跟踪记录，或者偷偷地后续使用个人数据处理技术，包括对自然人进行数据画像特别是作出自动化决策，抑或是对其个人偏好、行为或态度作出分析或预测。可以初步得到结论：在适用《条例》第3(2)条的“目标指向标准”时将重点考察“向特定数据主体提供产品或服务的主观意图”和“对数据主体在欧盟内开展监控行为的客观表现”。

三、域外管辖条款与数据跨境流动规则之关系

《条例》第3条系该法的地域范围条款，通过“经营场所标准”和“目标指向标准”将欧盟境外的企业纳入该法的管辖范围。申言之，从立法角度来说，《条例》对欧盟境外的企业具有域外效力。同时，数据跨境流动规则也对境外企业提出了数据跨境传输的条件(30)根据《条例》第5章的规定，这里的“数据跨境流动规则”主要是欧盟境内的个人数据向境外传输的前提条件和程序性规定。《条例》不限制境外数据向欧盟境内的传输。。

(一)《条例》中的个人数据跨境流动规则约束境外企业

《条例》第五章规定了一整套“多样化”的个人数据跨境流动规则，将数据跨境流动分为“基于充分性认定的传输”“提供适当保障措施的传输”以及“特殊情况下的例外传输”三大类(31)详细规定请参见《条例》第45-50条。。为了对数据跨境传输过程中来自欧盟境内的个人数据予以充分保护，《条例》对欧盟境内个人数据是否可以对外进行传输的前提条件设置了严格的标准。例如，根据《条例》第45条的规定，经过欧盟委员会评估认定第三国、第三国境内的地区一个或多个特定行业或者国际组织能确保充分的保护水平时，欧盟境内的个人数据可以向该第三国或国际组织传输。欧盟委员会应当将被评估对象所在国的法律规则完备情况、监督机构的有效运行情况以及参与国际条约实践情况纳入考量因素。欧盟委员会可以通过实施法案的方式给予充分性认定，并在未来的实施过程中定期予以评估。根据《条例》第46条的规定，在缺少充分性认定的情况下，控制者或者处理者应当且仅应当在其提供了适当的保障，且一提供可执行的数据主体的权利和给予数据主体有效法律救济途径的情况下，可以将个人数据传输至第三国及国际组织。根据《条例》第47条的规定，欧盟对制定“有约束力的企业规则”的企业提出了非常高的要求，企业必须确保个人数据在每个时刻、每个分支机构、数据传输、存储、加工的每个环节得到充分保障，否则将随时面临在欧盟境内被起诉或申诉的法律风险。

综上可知，欧盟委员会是实施充分性认定的主体之一，第三国或者第三国企业只有在完成“对标”欧盟的数据保护标准的情况下，欧盟境内的个人数据才能被跨境传输至该第三国或第三国企业。《条例》(以及《95指令》)似乎对境外企业同样具有法律拘束力，也就是具有域外效力。地域管辖范围条款主张的域外管辖与这一类规则的域外效力存在相似之处，二者之间容易产生混淆,甚至有欧洲学者提出，区分二者是毫无意义的(32)Kuner, Christopher. Extraterritoriality and regulation of international data transfers in EU data protection law. International Data Privacy Law, 2015:ipv019.。

(二)应当区分“法律的域外管辖”与“法律的域外影响”

《条例》第3条的地域管辖范围条款与第五章的跨境数据流动规则虽然体现“超地域性”(extraterritoriality)，似乎都体现了欧盟法律规则超越了属地原则对境外企业产生了“规制效果”，二者均涉及对境外企业或者域外数据处理行为的监管。从效果上看，均有欧盟法对境外产生影响的客观效果。但是二者存在显著区别，前者系法律的域外管辖问题，而后者系法律的域外影响问题。

事实上，欧洲学者Yves Poullet早在2007年便提出，欧盟数据传输规则(《95指令》第25-26条)不具有地域范围上的域外效力，但是对域外具有影响力(33)Yves Poullet.Trans-border Data Flows and Extraterritoriality:The European Position. Journal of International Commercial Law and Technology,2007(2).pp141-148.。笔者认为，《条例》第3条的地域管辖范围条款与第五章的跨境数据流动规则在法律效果、适用方式和规制对象等方面均存在显著差异：

1. 从规制措施来看，前者是法律的域外效力问题；后者是法律的域外影响问题。前者关注的是法律能够具体管辖哪些域外企业或者发生在域外的数据处理行为；后者关注的是欧盟可以通过哪些途径对欧盟个人数据出境的标准施加影响。

2. 从适用方式来看，前者具有直接性；后者具有间接性。前者要求境外数据处理行为或者境外企业直接受到该法的约束，这部法律的所有条款(监督、数据权利类型以及救济等)均能够对其课以义务(34)《条例》第3条地域范围条款在该法一般性规定部分，而跨境数据流动规则在《条例》第5章。；后者并非是将境外企业直接纳入管辖范围，而是间接地对数据跨境流动施加限制性措施，不产生直接的法律拘束力。

3. 从被规制对象来看，前者具有强迫性和被动性，后者具有任意性和主动性。一旦实施了某一数据处理行为，从立法层面来看，该法便有了管辖权，这种管辖具有强迫性，规制对象被迫受制于法律规则，具有被动性；后者是指跨境数据流动规则并非可以施加到境外企业上，只有产生了数据传输需求(即境外企业为了获得从欧盟输出的个人数据)，才会考虑这套规则的实施问题(35)数据跨境流动规则并不涉及各国协调、分配立法管辖权问题，从欧盟和美国的《隐私盾协议》来看，数据跨境流动的关键在于建立合作机制。。

4. 从规制效果来看，前者的规制效果是境外企业会特别关注来自欧盟的个人数据的合规问题，对域外管辖权边界问题加以研判，从而使欧盟数据保护法在域外发挥全方位的保护功能；后者的规制效果是第三国为了获得来自欧盟的个人数据而修改国内立法以符合欧盟设立的保护标准。由此，数据跨境流动规则并非法律的域外管辖问题，而是A国制定跨境数据流动规则迫使B国修改立法从而与其“对标”的制度衔接问题(36)Steve Coughlan.Law Beyond Borders: Extraterritorial Jurisdiction in an Age of Globalization . Toronto: Irwin Law,2014.pp46-47.。

“法律的域外管辖”与“法律的域外影响”的重要区分点在于是否涉及立法管辖权问题。《条例》第3条明确主张法律的效力范围不以地域(territory)的地理空间为限，而跨境数据流动规则旨在通过设定法律标准以保证欧盟数据出境的安全性，一旦符合欧盟个人数据出境标准，个人数据出境后相关处理行为的准据法便不一定是欧盟个人数据保护法。注意区分地域范围条款和跨境数据流动规则的不同功能有利于清晰把握《条例》第3条的法律性质和立法目的。

四、域外管辖合理边界之设定

《条例》第3条地域范围条款中的“经营场所标准”和“目标指向标准”均呈现域外管辖的立法意图。经营场所标准在立法上实现了属地原则的技术性扩张，目标指向标准则以效果原则为正当性基础主张该法的全球性管辖。域外管辖容易引发管辖权冲突，这种冲突不在于立法层面，而在于执法层面。合理地设置欧盟个人数据保护立法域外管辖之边界既能在一定程度上对跨境执法等问题的妥善解决提供保障，也能够有效释明境外企业开展数据处理的合规标准。

同时，该条规定过于原则和抽象，造成域外管辖权的边界尚未厘清，缺乏法律的确定性和可预见性，从而增加了欧盟境外企业(包括中国企业在内)开展欧盟个人数据处理业务的合规风险。如何准确界定域外管辖的合理边界以协调法律的稳定性和灵活性是《条例》第3条在实践中面临的最大问题。

(一)欧盟数据保护机构提出三项规制思路

为了更好地澄清《条例》的地域管辖范围，2018年11月23日，欧盟数据保护机构(European Data Protection Body，以下简称EDPB)发布了《关于GDPR第3条地域范围的指引(征求意见稿)》(以下简称《征求意见稿》)(37)全文参见网址：https://edpb.europa.eu/our-work-tools/public-consultations/2018/guidelines-32018-territorial -scope-gdpr-article-3_en，最后访问时间：2019年7月25日17时23分。。EDPB是由欧盟各成员国的数据保护机构指派代表组成的独立机构，其前身为第29条工作组(《条例》生效后EDPB代替了它的职能)，主要职能是确保数据保护规则在欧盟的统一适用以及促进欧盟各成员国监管机构之间的合作。这份《征求意见稿》经多次全体会议(plenary meeting)(38)历次全体会议的会议议程参见网址：https://edpb.europa.eu/our-work-tools/our-documents/ publication- type/agenda-meetings_en，最后访问时间：2019年7月25日18时10分。充分酝酿和讨论后对外发布，在域外管辖的合理边界问题上进行了三个方面的有益尝试：

1. 审慎处理欧盟外数据控制者或处理者与欧盟内经营场所之关系

《条例》第3条第1款的适用不以数据处理行为是否由位于“欧盟境内的经营场所”开展为前提条件，只要该处理行为发生在“欧盟境内经营场所的活动场景下”，《条例》便对数据控制者或处理者的处理行为具有法律拘束力。对此，EDPB建议，第3条第1款的适用需要在个案中根据具体情况进行具体分析，每种情况都必须结合案件的具体事实和背景进行分析。

EDPB进一步指出：一方面，为了实现有效全面的保护目标，不应当对其含义进行限缩解释(39)参见Weltimmo案判决书第25段以及Google Spain案判决书第53段。；另一方面，也不应进行过于宽泛的解释，以至于当“欧盟境内的经营场所的活动场景”与“非欧盟实体的数据处理活动”的关联度非常弱时，错误地将这种处理纳入《条例》的管辖范围。此外，如果欧盟境内的经营场所在欧盟从事了营利活动，且若该营利活动被视为在欧盟境外进行的个人数据处理活动和欧盟境内的个人数据主体是“无法分割的”，则可以表明“非欧盟的数据控制者或处理者进行处理活动发生在欧盟境内经营场所的活动场景下”，《条例》对此便可适用于该数据处理行为(40)详见《征求意见稿》第4页，参见网址：https://edpb.europa.eu/our-work-tools/public-consultations/2018 /guidelines-32018-territorial-scope-gdpr-article-3_en，最后访问时间：2019年7月26日9时6分。。

根据EDPB对该问题的解释可知，“无法割裂的关系”是判断欧盟外的数据控制者或处理者与欧盟内经营场所之间关系的关键。但是《征求意见稿》除了列举两例虚拟案例(参见该文件中的例2与例3)以外，未对这个词的内涵作进一步解读。

2. 注意到数据控制者或处理者的不同设立地点对域外管辖的影响

数据控制者对数据的存储、收集和处理起着决定性作用，而数据处理者仅仅是控制者的代表机构，接受控制者的指示以处理个人数据(41)参见《条例》第4条对“数据控制者”和“处理者”的定义。。EDPB特别指出，设立在欧盟境内的数据处理者并不视作为数据控制者在欧盟境内存在经营场所。若数据控制者或处理者二者之一不在欧盟境内，《条例》未必对二者均适用。

首先，EDPB指出，如果受《条例》调整的欧盟数据控制者委托欧盟境外的数据处理者处理数据时，数据控制者应当通过合同或者其他法律文件确保处理者会根据《条例》的要求处理数据。《条例》第28条第1款规定，若处理是代表控制者进行的，控制者应当仅使用提供了充分保证的处理者，以实施适当的技术性和组织性措施，使处理达到本条例的要求。《条例》第28条第3款规定，数据处理者的数据处理行为应当受合同或其他法律文件约束。据此可知，即便数据处理者设立地不在欧盟境内，数据控制者仍可以通过合同将《条例》的要求施加到数据处理者身上。其次，非欧盟的数据控制者是否会因为委托欧盟的数据处理者处理数据而受到《条例》的管辖？EDPB指出，如果数据处理者的处理行为发生在其位于欧盟的经营场所的活动场景下进行的，《条例》能够管辖该数据处理者，但是并不当然导致非欧盟的数据控制者承担《条例》项下数据控制者的义务。

3. 评估数据控制者的主观意图和客观表现

EDPB指出，根据《条例》第3条第2款，数据主体位于欧盟的领土内是适用该目标指向标准的决定因素，数据主体的国籍和法律地位不能影响和限制本条的适用，应当重点考察相关数据处理活动发生之时数据主体是否位于欧盟境内。如果数据活动发生之时，数据主体在欧盟境内，《条例》便能管辖该数据控制者(无论该数据控制者的位置)。此外，数据控制者或处理者的行为是否表明了其向欧盟境内数据主体提供商品或服务的意图或者实施监控，也是关键性考察因素之一。

值得指出的是，EDPB在考量有关“目标指向标准”的适用标准时，并未严格区分域内管辖和域外管辖的不同情形，而且以“行为”的主观意图作为考量要素，只要符合了针对欧盟的数据主体提供服务或商品，抑或监控行为的客观标准，无论是欧盟境内的数据控制者还是欧盟境外的数据控制者，《条例》均可适用。从这一意义上来说，“目标指向标准”体现出了欧盟从“行为主体”到“行为”的数据保护思维转变，着眼于“行为”背后的主观意图，希望克服云计算等技术进步带来的管辖困境，在立法上主张全球性管辖。

(二)法律确定性和灵活性的协调困境

EDPB试图通过《征求意见稿》厘清“经营场所标准”和“目标指向标准”域外管辖的合理边界。一方面，EDPB力求尽可能全面保护欧盟市场和欧盟公民，另一方面，尽可能避免对管辖权进行过于宽泛的解释从而导致未来的跨境执法冲突难以协调。但是，笔者认为，即便《征求意见稿》苦心孤诣地追求域外管辖权的法律确定性以回应域外数据控制者或处理者对《条例》地域范围过于抽象的质疑，但是此类解释性文件的作用有限，主要原因在于它无法兼顾和解决法律确定性和灵活性问题。

EDPB通过结合欧盟法院的判例、第29条工作组的意见性文件、《95指令》及其鉴于条款的表述和主旨精神，对《条例》第3条的规则进行“庖丁解牛”式的拆解，甚至运用陈述虚拟案例的方式以解释抽象的法律条文。这样的解释思路是否真的能够合理地厘清域外管辖在立法层面的边界问题暂且不论，单单这种“总结过去以启示未来”的解释思路似乎存在逻辑上的问题。例如，Google Spain案和Weltimmo案均是在《95指令》的法律框架下进行审理的，正是对《95指令》条文的技术性解释，在原有的立法背景发生巨大变化的情况下创新性地提出了“无法割裂的联系”，从而实现了对欧盟境外企业的域外管辖。这一司法裁判要旨遂成为《条例》的立法背景资料。

技术进步使得法律的滞后性问题日益凸显，为了使现有之条文能够解释技术带来的新现象，需要对法律条文进行技术性解释，尽管技术性解释增强了法律适用的灵活性，但是深刻妨碍了法律稳定性和确定性的有效实现。如果法律条文已经因为“超长服役”而无法解决技术带来的法律适用方面的难题，制定新法便势在必行。这就是《95指令》发展为《条例》的真正原因。从某种意义上来讲，域外管辖的合理边界难以通过立法予以明确界定，合理边界的“拉锯战”可能出现在跨国诉讼和跨境执法的个案之中。

五、《条例》主张域外管辖对中国的影响与启示

《条例》第3条有关地域管辖范围并未专门规定域外管辖，而是将域内管辖和域外管辖杂糅于一条。欧盟通过对境外的数据控制者或者处理者针对欧盟境内数据主体的数据处理行为进行管辖，重点关注管辖权的域内侧面，以保障在欧盟域内收获法律的规制效果，以实现这部国内立法的基本价值(42)Szigeti, Péter D. The Illusion of Territorial Jurisdiction. Texas International Law Journal, 2017.p52.。这样的立法动向将对中国企业产生较大影响，同时对中国的相关立法具有积极的启示意义。

(一)影响中国“涉欧”企业的合规策略

对中国企业而言，《条例》第3条以及EDPB计划发布的指南将对我国企业涉及欧盟境内数据主体的数据处理业务进行合规审查提供了重要参考和借鉴，我国企业应当对此给予高度重视。不论是否在欧盟境内设立经营场所的中国企业均有可能受到《条例》第3条的影响。

对已经在欧盟境内设立了经营场所的中国企业而言，即便针对欧盟境内数据主体的数据处理行为并未在经营场所内展开，只要“数据处理行为发生在此经营场所开展活动的场景中”，《条例》也能将它纳入管辖。企业应当高度重视欧盟法院的相关判例要旨，厘清“经营场所”“开展活动的场景”等重要概念的适用标准，以免因为疏忽大意而被纳入监管范围。符合《条例》管辖范围的中国企业应认真评估合规成本，将《条例》对企业的影响上升到经营决策的高度。对于在欧盟境内的业务规模不大的企业来说，甚至可以考虑是否有必要撤出欧盟市场以另寻商机。

对于未在欧盟境内设立经营场所的中国企业而言，一旦它们的数据处理行为发生在向欧盟境内的数据主体提供商品或服务的过程中(无论此项商品或服务是否需要数据主体支付对价)，抑或是数据控制者或处理者对数据主体发生在欧盟内的行为进行监控，《条例》便对它们产生法律拘束力。中国企业应当高度重视欧盟数据保护立法从“规制行为主体”到“规制行为”的思维转变，从“向特定数据主体提供产品或服务的主观意图”和“对数据主体在欧盟内发生的监控行为的客观要素”两个方面对数据处理行为进行综合评估。对于这一类企业而言，应当认真研究《条例》第27条有关“设立代表”的具体规定。该条专门适用于欧盟境内没有经营场所的境外数据控制者或处理者，要求这类主体应当以书面方式指定一名在欧盟的代表。代表一般为自然人或者法人，受制于数据控制者或者处理者的授权。欧盟境内的数据保护机构可以通过代表与欧盟境外的数据控制者或者处理者建立联系以便于执法。企业应当高度重视这项新制度。

(二)促进我国立法机关的科学决策

虽然已经有不少对《条例》的批评声音，在第3条项下开展域外管辖的实际效果有待检验，但是并不妨碍我国立法机关从立法管辖权的角度，审慎思考是否有必要在未来的《个人信息保护法》中纳入域外管辖条款。对立法机关而言，借鉴欧盟立法并不意味着“亦步亦趋”或者“照搬照抄”，而是结合中国国情，进行科学的立法决策。笔者认为，立法过程中应当妥善解决以下三大问题：

1. 主张域外管辖权应当以完善个人信息相关国内立法为前提。目前我国的个人信息权的权利属性尚未在民事立法中予以明确，要扩张域外管辖权必须完善国内实体性立法。否则，即便实施此类保护也仅仅是“无根之木、无源之水”。

2. 制定和实施域外管辖权应当符合比例原则。国内法的域外管辖应当符合比例原则，不能违反国际法基本原则，不能随意地开展跨境执法。立法时不应当随心所欲，应当考虑法律的适用效果，厘清个人信息保护的域外管辖边界。

3. 应当注意域外管辖规则与其他部门法之间的协调性问题。由于域外管辖制度的规制效果是将境外数据控制者或处理者纳入到该法实体性规范的调整之中，立法机关应当充分考虑《个人信息保护法》的域外管辖规则与我国程序法律、刑事法律等法律的协调问题，从而实现“试图管辖”到“有效管辖”的适用效果。

六、结语

《条例》第3条反映了个人数据保护法的域外管辖现象，从国际法角度来看，合法性问题不存在质疑，合理性的判断有赖于管辖边界的进一步厘定。域外管辖的法律实施效果有待执法和司法活动的实践检验。我国的立法机关应当高度关注该法的域外实施情况，为设定我国《个人信息保护法》的地域管辖范围提供域外经验，兼顾个人信息权和其他法律价值的实现；我国企业应该实时跟踪外国企业的合规策略，在商业利益与隐私保护之间寻找合适的平衡点。