《通用数据保护条例》第3条(地域范围)评注——以域外管辖为中心

摘要

《通用数据保护条例》的地域管辖范围条款注重域外管辖效果。应当厘清该条款与数据跨境流动规则之关系,前者指明法律在地理空间上的效力范围,后者通过设定法律标准以保证欧盟数据出境的安全性。经营场所标准在立法上实现了属地原则的技术性扩张,目标指向标准则以效果原则为正当性基础主张该法的全球性管辖。欧盟将域内管辖与域外管辖杂糅于一条,造成域外管辖权边界模糊。尽管欧盟数据保护机构为了厘清域外管辖的合理边界,提出应当审慎处理欧盟外数据控制者或处理者与欧盟内经营场所之关系,考虑数据控制者或处理者的不同设立地点对域外适用的影响以及综合考量境外数据控制者向欧盟数据主体提供商品或服务的主观意图等若干规制思路,但仍然难以兼顾域外管辖的稳定性和灵活性问题。中国企业应当高度重视该法第27条中的“代表制度”以及欧盟法院的相关判例,把握该法的规制思路设计数据合规路径。我国立法机关应当借鉴欧盟,根据比例原则,适当扩张《个人信息保护法》的管辖范围,维护我国公民的个人信息安全。