欧盟GDPR的域外适用及对我国的借鉴

马亚文　张� �

摘要：大数据时代，跨境数据流动带来的管辖权难题，使得数据立法的域外适用成为各国及地区保障本国数据主权与安全的重要手段。对欧盟GDPR域外适用的历史背景和适用现状进行研究，有助于借鉴欧盟经验，进一步提高我国数据法域外适用的水平。本文运用了文本研究法与案例研究法，并结合GDPR的具体内容，分析了欧盟GDPR域外适用的发展历程、适用标准、发展成效，总结了欧盟GDPR域外适用的优势与缺陷。研究发现：欧盟GDPR域外适用的内容设置与实践成效有利于中国《个人信息保护法》域外适用条款的现实适用。我国在借鉴欧盟有益经验的基础上，加强《个人信息保护法》域外适用条款的解释适用，综合提高我国数据治理话语权，同时吸取欧盟的历史教训，强化域外执法合作。

关键词：GDPR；域外适用；数据保护；《个人信息保护法》

当前，数据已成为国家基础性战略资源和关键生产要素。数据的跨境流动是数字经济发展的重要推动力，其在创造巨大经济价值的同时，也对个人信息保护和国家安全构成了实质性威胁。数据跨境带来的管辖权难题，使各国开始思考如何扩大本国法律的适用范围至域外以充分保护本国数据主体的权利，数据立法的域外适用成为必然趋势。所谓国内法的域外适用，一般是指法律在本国管辖范围之外产生确定拘束力，实现国内法域外效力的过程。

2018年5月25日生效的欧盟《通用数据保护条例》（以下简称GDPR）是全球范围内影响最大的个人数据立法之一，其所设定的域外适用条款引发了国际上广泛的争议和讨论。GDPR确立“经营场所标准”和“目标指向标准”作为确定域外适用的衡量标准，以对本国数据主体进行保护。我国2021年11月通过的《个人信息保护法》也借鉴了GDPR的立法实践，确立了该法的域外效力。基于此，本文以GDPR域外适用条款为重点，分析GDPR域外适用制度设计及适用现状，以期给我国《个人信息保护法》的解释和适用提供参考。

一、欧盟GDPR域外适用的背景及成因

（一）欧盟GDPR域外适用的历史背景

欧盟一直是数据立法的引领者。于1970年制定颁布的数据保护法令是世界上第一部数据保护法令。自《关于保护隐私和个人数据国际流通的指南》到《关于个人数据自动化处理的个人保护公约》，欧盟数据保护立法逐渐走向成熟。1995年，欧盟委员会颁布了《保护个人享有的与个人数据处理有关的权利以及个人数据自由流动的指令》（以下简称“95指令”），由于95指令在各成员国适用存在较大差异，因此，欧盟委员会最终决定以《通用数据保护条例》（GDPR）取代95指令。

2018年5月25日，GDPR的生效使欧盟数据保护水平达到了前所未有的高度。GDPR作为欧盟颁布的专门性数据保护条例，直接适用于欧盟各成员国。自此，欧盟开启了数据立法域外适用的新局面。

（二）欧盟GDPR域外适用的现实成因

1．欧盟数字经济发展整体滞后。欧盟虽具备丰富的数据资源，但其数字经济发展却相对滞后。根据世界银行统计，2019年欧盟经济总量约占世界经济总量的15.77%，然而欧洲数字企业的市值占全球数字企业总市值却不足4%。与此同时，脸书、谷歌等美国互联网企业却依托欧盟的数据市场优势获得了发展。据统计，脸书在欧盟拥有超过2.5亿用户，欧洲市场的收入占脸书全球收入的25%。欧盟本土企业与非本土企业数据利用率的悬殊反映了欧盟数字经济发展的滞后，由此引发了欧盟对数据安全问题的担忧。如何规制境外经营者处理境内数据，充分保护数据主体权利成为欧盟数据立法亟待解决的关键问题。

2．数据跨境传输协议的实践困局。美国的行业自律模式与欧盟的统一监管模式产生碰撞，使得欧美数据跨境传输协议危机重重。基于双方经济利益和数据安全的考量，欧美先后制定了《安全港协议》、《隐私盾协议》，以及《跨大西洋数据隐私框架》数据跨境传输协议。然而，欧盟数据保护理念的分歧使双边数据跨境传输协议难以发挥作用，无法有效保护个人数据。

第一，安全港协议被判无效。2015年10月6日，欧盟法院判决安全港协议无效。2013年6月25日，奥地利律师马克斯·施雷姆斯（Max Schrems），以其个人数据未得到充分保护为由向爱尔兰数据保护监管机构进行申诉，要求禁止脸书爱尔兰公司将其个人数据传输至美国总部。欧盟法院认为，安全港协议存在数据安全隐患，其不再适合作为欧美数据传输的“纽带”。事实上，即使没有棱镜门事件，诸如美国数据保护水平的要求不符合95指令等安全港协议的自身问题也将导致安全港协议无效。

第二，隐私盾协议被判无效。2020年7月，隐私盾协议被欧盟法院裁定无效。2015年底，施雷姆斯再次以相同理由向爱尔兰数据保护委员会投诉要求其暂停Facebook使用标准合同条款向美国传输欧盟公民数据。由于二审期间隐私盾协议生效，爱尔兰高等法院对隐私盾协议一并发起审查，认为隐私盾协议存在以下问题：第一，美国所开展的情报活动不符合比例原则。第二，美国未向欧盟數据主体提供有效救济。由此可知，判决隐私盾协议无效合乎实际。

第三，《跨大西洋数据隐私框架》前途未知。2022年4月，欧盟数据保护委员会（EDPB）通过并宣布新的《跨大西洋数据隐私框架》的声明。目前，《跨大西洋数据隐私框架》尚未出台细致的法律规则，美国在初始协议中所做的承诺能否实现尚不确定。美国对外宣称崇尚自由，数据保护理念倾向于行业自律，其法律传统在此次协议中能否改变尚存疑问。并且，欧美数据跨境传输协议历经两次失败，美国能否吸取教训值得怀疑。

第四，互联网新技术发展的立法回应。95指令地域适用条款难以应对信息技术的高速发展，无法有效保护欧盟数据主体的权利。2006年，云计算模式刚刚兴起，企业可以依据行之有效的数据保护方法将依托云模式形成的商业潜力最大化。但云模式没有物理界线，在一个国家产生的数据可在另一个国家被存储，由此产生的数据保护问题应当适用哪个国家的法律具有不确定性。

虽然2010年冈萨雷斯案的判决在一定程度上确立了95指令的长臂管辖原则，但其无法有效解决信息技术发展带来的欧盟数据保护问题。2010年2月西班牙公民冈萨雷斯向西班牙数据保护局提出对西班牙报纸发行商La Vanguardia以及谷歌公司及其西班牙分支机构（Google Spain SL，以下简称谷歌西班牙）的申诉，称网络用户可以使用谷歌搜索引擎搜索到显示原告的房产因进入追缴社保欠费的扣押程序而被强制拍卖的公告。但是，原告认为上述扣押程序早已被解决，因而要求西班牙报纸发行商La Vanguardia删除或者修改有关页面，并要求谷歌公司以及谷歌西班牙删除或者屏蔽与之有关的个人信息。法院根据95指令的适用范围条款判定该案适用95指令。此案件判决虽然表明95指令在符合一定条件时将产生域外适用的效果。然而，95指令在规定上的模糊性容易使案件的处理存在争议，GDPR中设定的域外适用条款将有效避免上述争议的发生。

二、欧盟GDPR域外适用标准认定及成效评析

当前，欧盟成员国通行的数据保护法为2018年发布的《通用数据保护条例》（以下简称GDPR），其取代95指令，成为欧盟各成员国可以直接适用的法律文件。其通过设置域外适用范围条款的方式，扩大欧盟的管辖范围，将条例适用到欧盟以外的国家或地区，从而为欧盟数据的跨境流动保驾护航。GDPR的实施对于欧盟乃至全世界的数据隐私保护有着深远的影响。

（一）GDPR域外适用标准设立及认定

域外适用标准是欧盟GDPR域外适用的基础。如何能够使管辖范围延伸到一般情况下本国法涉及不到的区域，或者如何能够管理发生在本国境外的数据处理行为，关键在于扩大管辖权，即将域外行为纳入本国法的管辖范围之内。对于管辖范围的确定，GDPR第3条确立了两种域外适用标准：经营场所标准和目标指向标准。

1．“经营场所标准”的设立及认定。GDPR第3条第1款确立了“经营场所标准”，即如果数据控制者或处理者在欧盟境内设置了经营场所，且该行为属于经营场所的活动范围内，无论其处理数据的行为是否发生在欧盟境内，均受到该条例的管辖。该标准的关键在于“经营场所”和“数据处理行为是否属于经营场所的活动范围之内”的认定。2019年11月12日，EDPB发布了《GDPR地域适用范围的第3/2018号指南》，具体解释了经营场所标准的适用条件。

第一，关于“欧盟境内是否存在经营场所”的认定。首先，根据GDPR序言第22条，经营场所是通过稳定的安排开展真实而有效的处理活动的机构，该机构的法律形式并不能就此决定该机构的性质。EDPB指出，判断设立在欧盟境外的企业在欧盟成员国内是否存在经营场所，必须基于活动和提供服务的特定性质来判断安排的稳定程度和在该成员国从事活动的有效性，尤其是在确认专门通过互联网提供服务的企业是否在欧盟境内有商业存在。因此，在某些情况下，如果雇员或代理人在欧盟境内的行为具有足够稳定性，则该非欧盟实体在欧盟境内存在一个雇员或代理人可能构成“稳定的安排”这一要求。例如，总公司在美国的一家互联网公司在布鲁塞尔设立了分支机构，负责监督其在欧洲的营销业务，那么布鲁塞尔分支机构就被认为是经营场所，符合经营场所标准。Weltimmo案进一步对“经营场所”进行扩大解释。在Weltimmo案中，鉴于Weltimmo公司在匈牙利有一名代表，且其负责与业务活动有关的事项，最终欧洲法院认定该公司在匈牙利存在经营场所而适用匈牙利数据保护相关规定。

第二，关于“数据处理行为是否属于经营场所的活动范围之内”的认定。对此，EDPB提出了两种分析：其一，要求数据处理行为与经营场所的业务范围之间存在无法割裂的紧密联系，无论境内的经营场所是否参与了数据处理活动，均会导致GDPR的适用；其二，如果在欧盟境内的经營场所从事营利活动，且该活动被视为与欧盟境外的个人数据处理活动以及欧盟境内个人具有不可分割的关联性，即可以表明“非欧盟境内的数据控制者或处理者进行处理活动属于在欧盟境内经营场所的经营活动范围内”。聚焦“数据处理行为”本身而不是数据处理行为发生的位置，这种立法角度将有效避免出现法律规避现象。

2．“目标指向标准”的设立及认定。GDPR第3条第2款确立了“目标指向标准”，即如果数据处理者、控制者没有在欧盟境内设立经营场所，但其行为是向欧盟境内的数据主体提供商品或者服务，或者对欧盟境内的数据主体进行监控，同样属于GDPR的管辖范围。目标指向标准的前身是95指令确立的设备使用标准，GDPR不再仅凭借处理数据的设备位置来确定法律的适用，而是将特定地域内的数据处理行为作为确定法律适用的根据。一定程度上，目标指向标准弥补了经营场所标准的缺陷，即在满足“经营场所标准”的适用条件时，考虑该行为是否符合目标指向标准中关于数据处理行为的要求。

（1）对欧盟内的数据主体提供商品或者服务的理解。GDPR序言第23条指出，对于数据处理者或者控制者是否向欧盟境内的数据主体提供商品或者服务的理解，应当确定数据处理者或者控制者是否明确向欧盟境内的数据主体提供服务。如果仅仅是访问欧盟的控制者、处理者或者中介网站、电子邮件地址或者其他联系方式，或者仅使用控制者成立的第三国通用的语言，不足以确定这种意图。与之相反，如果使用一个或者多个成员国通用的语言或者货币，并有可能以该语言订购商品和服务，或者提及在欧盟的客户或者用户，则表明控制者设想提供商品或者为欧盟境内的数据主体提供服务。因此，在判断数据控制者、处理者是否属于向欧盟境内的数据主体提供商品或者服务时，应当综合判断行为的意图。

（2）对发生在欧洲范围内的数据主体的活动进行监控的理解。GDPR序言第24段指出，在判断是否对欧盟境内的数据主体进行监控时，应当确定是否在互联网上跟踪自然人，以及是否根据行为人在互联网上的遗留数据适用特别技术对数据主体的个人偏好等进行分析。例如，利用数据主体的网页浏览数据为其制作用户画像。

（二）GDPR域外适用成效评析

经过欧盟委员会和欧洲理事会长达四年的酝酿和协商，GDPR开启了欧盟数据保护的新征程。其中GDPR第3条明确规定了法律适用范围，提出了域外适用的标准，对于保护数据主体权利具有里程碑意义。鉴于《个人信息保护法》借鉴了GDPR域外适用的立法实践，因此有必要分析GDPR域外适用的实践效果。

1．域外适用的积极效应。GDPR确立域外适用效力以来，产生了一定的积极成效。不仅为数据主体权利提供充分的保护和救濟，也有效推广了数据治理领域的“欧盟标准”，进一步争夺数据治理国际话语权。具体包括以下两个方面：

一方面，充分保护数据主体权利。充分保护数据主体权利是GDPR域外适用的出发点和落脚点。欧盟数据市场优势来源于欧盟境内的数据主体的力量，保障数据主体权利是有效促进数据资源丰富和更新的关键。欧盟通过设置域外适用标准扩大欧盟法管辖范围，以实现对于传输至境外国家或者地区的数据主体权利的充分保护。主要体现在以下两点：其一，GDPR域外适用能够同等保护传输至境外的数据，防止因各国数据保护水平的参差而面临数据安全问题。其二，数据主体申请权利救济更加便捷。相较于跨境诉讼，数据主体更熟悉本国实体法和本国诉讼程序，其在本国起诉更为简单高效，从而有效保障数据主体获得权利救济。因此，GDPR域外适用在一定程度上可以实现数据主体权利保护最大化。

另一方面，有效输出数据保护“欧盟标准”。当前，跨国公司是欧盟数据保护标准向外输出的载体。为了利用欧盟的数据资源，许多知名跨国互联网公司（谷歌、微软、脸书等）在欧盟境内设立了分支机构。根据GDPR经营场所标准，分支机构属于经营场所范畴。此外，跨国公司的最大特点在于业务具有相通性，即一项业务可能会由多个分支机构共同操作。倘若欧盟境外的分支机构或者总公司意图同欧盟境内的分支机构一同处理某项涉及欧盟数据的任务，也将会受到GDPR的制约。因此，欧盟利用跨国公司的上述特点以实现其数据保护标准的对外输出，促进欧盟标准走向世界，从而有效提升欧盟在数据保护领域的国际话语权和影响力。目前，国际上还没有形成统一的数据保护法律体系，欧盟数据保护领域话语权的大小对今后全球数据保护体系的内容建设具有重要作用。并且，欧盟希望未来能够借此建立起统一规范化数字市场、把握数字经济主权，在数字经济领域成为与美、中比肩的第三极。

2．域外适用的执行难题。执行难是GDPR域外适用中存在的突出问题。欧盟的域外规制主要聚焦于数据保护领域，其意图借助单一数据市场来实现对数据处理者和控制者的管辖。然而，由于缺乏对数据保护域外执行方案的进一步说明，也未解释如何处理管辖权的冲突，GDPR域外适用在执行方面正面临一些风险和挑战。

一方面，在尚未形成统一的数据保护体系之前，GDPR域外适用条款在执行中容易同其他国家形成平行法上的冲突。有学者提出，个人数据保护法案在本质上会涉及一国对数据领域的管制权，关系到国家数据主权和管辖利益，也在一定程度上反映了一国在数据治理方面的价值选择。因此，由于每个国家价值选择和数据治理理念的不同，其在数据保护方面也会形成不同的规制路径和手段。GDPR域外适用条款仅为本地区法律管辖范围的扩张，与其他国家或地区的法律属于平行关系，并不具备法律适用上的优先性。

另一方面，欧盟域外执行范围过于宽泛化导致在实际执行时出现选择性执行、理解性执行的问题。例如，2019年欧盟法院在对Google v．CNIL案的判决中对被遗忘权的执行范围进行了澄清，最终判决谷歌公司删除欧盟境内谷歌系统上的涉及数据主体的内容。同时，欧盟法院认为GDPR的条款并没有对谷歌公司位于欧盟境外的搜索引擎版本施加义务，谷歌公司无需删除欧盟境外的其他搜索引擎版本上的内容。此案件中涉及的言论自由和个人数据保护的位阶矛盾在全球各个国家有不同的认知和理解。因而，本案中的执行范围很难涉及世界上其他与欧盟理念相悖的国家或者地区。故而在本案中，GDPR仅对欧盟境内的主体具有域外适用的执行权，欧盟境外主体并不在域外适用的执行范围内。

三、欧盟GDPR域外适用的中国借鉴

欧盟GDPR域外适用有益于使数据权利得到足够保护，有效提升欧盟数据治理国际话语权。与此同时，其内在缺陷也导致实践中的执行难问题。我国《个人信息保护法》第3条在一定程度上借鉴GDPR立法实践规定域外适用条款，但具体规定较为抽象，仍需进一步澄清。因此，我国有必要在深入分析GDPR域外适用实践情况的基础上，进一步完善我国《个人信息保护法》域外适用条款的解释适用。

（一）加强对域外适用条款的解释适用

《个人信息保护法》确立了域外适用的“处理行为发生地标准”和“目标指向标准”，未来有必要进一步细化解释。第3条规定：“在中华人民共和国境内处理自然人个人信息的活动，适用本法。在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法：（一）以向境内自然人提供产品或者服务为目的；（二）分析、评估境内自然人的行为；（三）法律、行政法规规定的其他情形。”分析可知，不同于GDPR的“经营场所标准”，《个人信息保护法》第3条第1款确立了“处理行为发生地标准”，但在具体实践中，精确定位“处理行为发生地”难度极大。在数据传输过程中，可能会涉及多个位于不同位置的服务器以及遍布全球的网络线路，数据传输的跨境性使得处理行为的发生地不易被确定在某一特定位置。因此，对数据处理行为发生地的认定是一项技术性较强的工作，难以准确把握。因此，我国未来应对“处理行为发生地标准”作细化解释，以增强其可适用性。例如，欧盟针对其“经营场所标准”中“数据处理行为是否位于经营场所的活动范围之内”这一要件作出细化解释，即如果数据处理者或数据控制者的数据处理行为与该连接点具有紧密的联系，即便数据处理行为本身没有发生在欧盟境内，亦受到GDPR的约束。此外，《个人信息保护法》第3条第2款受GDPR启发，确立了“目标指向标准”，对于何为“以向境内自然人提供产品或者服务为目的”和“分析、评估境内自然人的行为”有待于未来进一步细化阐释。例如，GDPR序言第23条对为欧盟内的数据主体提供商品或者服务进行阐释，即应确定数据控制者或处理者明显地打算向欧盟一个或多个成员国的数据主体提供服务。

（二）强化域外执法合作

顺利执法是衡量域外适用条款现实效果的关键因素，也是数据保护法域外适用的重要手段。其中，域外执法合作是顺利执法的关键所在。在当前国际背景下，尽管各国可以依据本国法对域外案件进行审理和执行，但是由于强制性权利所具有的地域限制，跨越国家疆界进行信息查询、扣押相关设备、执行行政罚款等行为多数取决于他国的意愿，因而，若得不到案件所涉国家的同意或者协作，执法效果将不尽如人意。并且，在未经别国同意的情况下，为执行本国法律而在别国领土上采取执法措施，也将违反国际法的有关规定。不仅如此，实际案例中也凸显了执法合作的重要性。以“Ag-gre-gate IQ”案为例，本案中，英国数据保护监管机构信息专员办公室（ICO）积极与加拿大和不列颠哥伦比亚省的相关机构进行跨境执法合作，并通过加拿大所属机构向加拿大公司Aggregate IQ Data Ser-vices Ltd（以下简称AIQ）施压，最终使得AIQ承认其违法数据处理行为，顺利完成域外执法活动，实现GDPR域外效力。但是，本案中两国达成执法合作主要是基于两国相似的法律传统、法律规定等先天优势，并不具备普适性。如前文所述，欧盟在GDPR域外适用的执行方面仍存在平行法冲突、选择性执法等诸多妨碍域外适用效果的执法难题，欧盟仍需要进一步采取相关措施建立和完善具有普遍适用性的执法合作机制。例如，欧盟积极参与全球合作网络一“全球隐私执法网络”（GPEN），该网络由全球60多个数据保护机构组成，是目前唯一一个专门致力于数据执法合作的全球网络。同样，为避免陷入与欧盟类似的执法困境，保证我国《个人信息保护法》域外执法活动的顺利进行，我国可以借鉴欧盟域外执法经验，加强域外执法合作，通过提前与别国建立双边执法合作框架，组织参与全球执法合作网络等方式在域外执法中与别国开展合作，协调进行限制本国权利的域外执法活动，从而使得《个人信息保护法》等数据保护法规的域外效力条款不仅仅停留在文字上，而能切实发挥其域外效力。

（三）提升我国数据治理国际话语权

数据市场优势是我国提升数据治理体系国际话语权的重要支撑。我国的数据市场规模相当庞大，根据第49次《中国互联网络发展状况统计报告》显示，截至2021年6月，我国网民规模为10.11亿，互联网普及率达71.6%。作为世界最大的消费市场之一，欧盟仅凭自身市场力量就足以将欧盟标准转化为全球标准。哥伦比亚大学欧洲法律研究中心主任阿努·布拉德福德将欧盟的此种立法影响比作布鲁塞尔效应。简单来说，即欧盟境外跨国公司觊觎欧盟的数据资源，但获取并利用欧盟数据资源就必须促使其企业相关规制符合欧盟的标准，如此便达到欧盟标准影响境外国家的效果。同样，我国可以依据数据市场优势，借鉴欧盟经验，形成中国版“布鲁塞尔效应”。在立法层面，我国可以借鉴GDPR域外规制的相关内容扩大法律管辖范围，同时通过数据立法表达我国的数据保护理念和目的。在贸易制度层面，我国应在保障经济安全的基础上尽可能放宽外资企业进入中国市场，为我国数据保护标准境外输出做好工具准备。最后，整合各方面力量依据市场优势由跨国公司的境内机构作为引线触发至境外的机构，对跨国公司形成连锁反应，从而实现中国标准的境外输出。如此便能让我国在全球数据治理体系的构建中获得更多的支持，赢得更多的话语权，实现维护数据主权和数据安全的目的。

四、结语

在形成统一的全球数据治理体系之前，避免数据跨境传输产生的国内数据安全问题，成为全球各国的关注焦点。欧盟将对人权的重视聚焦于对数据权利的保护，依据GDPR中的域外适用范围内容达成了对域外数据处理行为的有效规制。我国的域外适用内容在《个人信息保护法》已经有所体现，但仍存在诸多问题。并且，面对不断更新的互联网发展态势，持续完善域外适用条款的解释适用仍是我国现今数据立法的主要任务。我国应在坚持以本国国情为前提的基础上，大胆借鉴和创新欧盟的数据保护域外适用内容。针对管辖范围条款的内容设定，我国应在原始条款的基础上对其进行合理化解释，以发挥域外适用条款的主要功能。同时，针对欧盟出现的域外适用执行难题，应注重开展国际执法合作，保障我国数据法域外适用的可执行性。另外，全球数据治理体系话语权关乎我国数据主权和国家安全，应当凭借数据市场优势依托跨国公司输出我国数据保护标准，在国际上形成公信力和影响力，以提高我国在构建全球数据治理体系中的地位。

参考文献：

[1]金晶．欧盟《一般数据保护条例》：演进、要点与疑义[J].欧洲研究，2018（4）：1-26．

[2]廖诗评国内法域外适用及其应对——以美国法域外适用措施为例[J].环球法律评论，2019（3）：166-178

[3]王志安云计算和大数据时代的国家立法管辖权——数据本地化与数据全球化的大对抗？[J].交大法学，2019（1）：5-20．

[4]European Parliament， Council of the European Union. Gen-eral Data Protection Regulation[EB/OL].[2021-07-15]

[5]中国信通院．全球数字经济白皮书——疫情冲击下的复苏新曙光[EB/OL]．[2022-7-9]．

[6]黃三鲁.GDPR实施三周年观察：欧盟向左，创新向右[EB/OL].[2022-7-8]

[7]中技所研究部．科技监管领域的“布鲁塞尔效应”将对数字经济产生什么影响[EB/OL].[2022-7-8]

[8]Davinia Brennan.The European Commission releases EU-US Privacy Shield[EB/OL].[2022-7-8]

[9]刘志雄跨境数据流动的全球态势及对我国的启示[J]人民论坛，2021（33）：102-105．

[10]单文华，邓娜．欧美跨境数据流动规制：冲突、协调与借鉴——基于欧盟法院“隐私盾”无效案的考察[J].西安交通大学学报（社会科学版），2021，41（5）：94-103

[11]European Commission.European Commission and UnitedStates Joint Statement on Trans- Atlantic Data PrivacyFramework．[EB/OL]

[12]任晓玲个人数据保护立法推动技术创新——欧盟拟修订《数据保护指令》[J].中国发明与专利，2011（1）：100.

[13]漆彤，施小燕大数据时代的个人信息“被遗忘权”——评冈萨雷斯诉谷歌案[J].财经法学，2015（3）：104-114

[14]Case C-131／12 Google Spain SL and Google Inc. v. Agen-cia Espanola de Proteccion de Datos （AEPD） andMarioCosteja Gonzalez.37.

[15]The European Data Protection Board. Guidelines 3/2018on the territorial scope of the GDPR （Article 3）.[EB/OL][2022-7-9].

[16]Case C230/14 Weltimmo s.r.o.v.Nemzeti Adatvedelmi ésInformacioszabadsag Hatosag

[17]洪延青，朱玲鳳，张朝，等欧盟提出“技术主权”概念引领欧盟数字化转型战略[J].中国信息安全，2020（03）：70-74．

[18]王雪，石巍．数据立法域外管辖的全球化及中国的应对[J].知识产权，2022（4）：54-75．

[19]曹亚伟．国内法域外适用的冲突及应对——基于国际造法的国家本位解释[J].河北法学，2020，38（12）：81-101．

[20]Orla Lynskey.Extraterritorial Impact in Data ProtectionLaw through an EU Law Lens[J].Brexit Institute WorkingPaper Series-No.8， 2020：3.

[21]Google LLC， Successor in Law to Google Inc.v Com-mission nationale de l'informatique et des libertes （CNIL）（C-507/17）[2019]

[22]李扬，林浩然我国应当移植被遗忘权吗[J].知识产权，2021（6）：50-65

[23]陈咏梅，伍聪聪欧盟《通用数据保护条例》域外适用条件之解构[J].德国研究，2022，37（2）：85-124

[24]Dan Jerker B Svantesson.Extraterritoriality and Targetingin EU Data Privacy Law： The Weak Spot Underminingthe Regulation[J].International DataPrivacy Law， 2015：226-234

[25]Benjamin J Keele.lnformation Sovereignty： Data Priva-cy， Sovereign Powers and the Rule of Law[J].Internation-aIJournalofLegallnformation， 2018： 123-124.

[26]Extraterritorial Application of The GDPR： Lessons fromRecent Developments[EB/OL].（2018-11-08）

[27]俞胜杰，林燕萍《通用数据保护条例》域外效力的规制逻辑、实践反思与立法启示[J].重庆社会科学，2020（06）：62-79.

[28]中国互联网络信息中心．中国互联网络发展状况统计报告[EB/OL].[2022-7-9]

【基金项目】本文系北京市社会科学基金规划项目“北京自动驾驶示范应用中的人工智能关键技术法律规制问题及对策研究”（编号：20FXC028）研究成果之一。

【作者简介】马亚文（1997-），女，中国人民公安大学法学院硕士研究生：研究方向：国际法，数据法。张溪瑨（1990-），女，中国人民公安大学法学院讲师；研究方向：国际法，数据法。