| 2,478 | 90 | 56 |
| 下载次数 | 被引频次 | 阅读次数 |
《通用数据保护条例》(简称GDPR)在立法上扩张地域适用范围。根据"经营场所标准",如果欧盟境外数据控制者或处理者的数据处理行为被认定与欧盟境内经营场所开展的业务存在"无法割裂的联系",GDPR有权管辖该行为;"目标指向标准"适用于欧盟境外的数据控制者或处理者开展针对欧盟境内数据主体的个人数据处理行为。实践中,"经营场所标准"客观上引起不同法域间法律价值冲突,应当运用比例原则进行协调,与"目标指向标准"相配套的"代表制度"存在明显的适用困境。我国应该借鉴GDPR的立法经验,吸收"经营场所标准",将"双重违反原则"引入"目标指向标准",并以此建立双边执法合作机制,充分保护我国公民的个人信息。
Abstract:GDPR expands its territorial scope in legislation. According to the "establishment criterion",if the data processing behavior of data controllers or processors outside EU is found to have "inextricable link" with the activities carried out in the context of the eatablishment within EU, GDPR has the right to govern the behavior; "targeting criterion" is applicable to the personal data processing behavior of data controllers or processors outside EU for data subjects within EU. In practice, the "establishment criterion" objectively caused conflicts of legal values between different jurisdictions, which should be coordinated by using the principle of proportion, and the "representative system" matching with the "targeting criterion" has obvious difficulties in application. China should learn from the legislative experience of GDPR, absorb the "establishment criterion", introduce the "double violation principle" into the "targeting criterion", and establish a bilateral law enforcement cooperation mechanism to fully protect the personal information of Chinese citizens.
[1]张新宝.我国个人信息保护法立法主要矛盾研讨[J].吉林大学社会科学学报,2018(5):45-56+204-205.
[2]石佳友.我国证券法的域外效力研究[J].法律科学(西北政法大学学报),2014(5):129-137.
[3]江国青.国际法中的立法管辖权与司法管辖权[J].比较法研究,1989(1):34-36.
[4]伊恩·布朗利.国际公法原理[M].曾令良,余敏友,等,译.北京:法律出版社,2007:271.
[5]蔡高强,刘健.论欧盟法在成员国的适用[J].河北法学,2004(4):116-119.
[6]金晶.欧盟《一般数据保护条例》:演进、要点与疑义[J].欧洲研究,2018(4):1-26.
[7]伍艺.大数据时代执法合作中个人数据跨境保护问题研究[J].重庆邮电大学学报(社会科学版),2018(3):52-59.
[8]许多奇.个人数据跨境流动规制的国际格局及中国应对[J].法学论坛,2018(3):130-137.
[9]冯硕.网络个人信息保护国际合作的障碍与选择——以软法为路径[J].网络法律评论,2016(2):123-136.
[10]弓永钦,王健.APEC跨境隐私规则体系与我国的对策[J].国际商务,2014(3):30-35.
[11]夏燕.“被遗忘权”之争——基于欧盟个人数据保护立法改革的考察[J].北京理工大学学报(社会科学版),2015(3):129-135.
[12]齐爱明,王基岩.大数据时代个人信息保护法的适用与域外效力[J].社会科学家,2015(11):101-104.
[13] Faye Fangfei Wang. Jurisdiction and Cloud Computing:Further Challenges to Internet Jurisdiction[J]. European Business Law Review, 2013(24):589-616.
[14]刘泽刚.欧盟个人数据保护的“后隐私权”变革[J].华东政法大学学报,2018(4):54-64.
[15]邵景春.欧洲联盟的法律与制度[M].北京:人民法院出版社,1999:60.
[16]杜涛.国际私法国际前沿年度报告(2015—2016)[J].国际法研究,2017(2):89-128.
[17]王志安.云计算和大数据时代的国家立法管辖权——数据本地化与数据全球化的大对抗?[J].交大法学,2019(1):5-20.
[18] Paul de Hert and Michal Czerniawski. Expanding the European Data Protection Scope beyond Territory:Article 3 of the General Data Protection Regulation in Its Wider Context[J]. International Data Privacy Law, 2016(3):230-243.
[19] Christopher Kuner.The European Commission’s Proposed Data Protection Regulation:A Copernican Revolution in European Data Protection Law[R]. Bloomberg BNA Privacy and Security Law Report, 2012:1-15.
[20]王虎华.国际公法学[M].北京:北京大学出版社,2015:85.
[21] Lilian Mitrou.The General Data Protection Regulation:A Law for the Digital Age?[G]//Tatiana Eleni Synodinou,Philippe Jougleux, Christiana Markou, Thalia Prastitou. EU Internet Law:Regulation and Enforcement,Springer, 2017:32.
[22] Kurt Wimmer.Free Expression and EU Privacy Regulation:Can the GDPR Reach U.S. Publishers?[J]. Syracuse Law Review, 2018(3):545-576.
[23] Brendan Van Alsenoy and Marieke Koekkoek. Internet and Jurisdiction after Google Spain:the Extraterritorial Reach of the “Right to Be Delisted”[J]. International Data Privacy Law, 2015(2):105-120.
[24] Christopher Kuner.Data Protection Law and International Jurisdiction on the Internet(Part 2)[J]. International Journal of Law and Information Technology, 2010(3):227-247.
[25] Stefano Saluzzo. The Principle of Territoriality in EU Data Protection Law[G]//Marise Cremona, Joanne Scott. EU Law Beyond EU Borders:The Extraterritorial Reach of EU Law,Oxford University Press, 2019:55.
[26]袁发强.国家管辖海域与司法管辖权的行使[J].国际法研究,2017(3):102-114.
[27]杜涛.论反垄断跨国民事诉讼中域外管辖权和域外适用问题的区分——以中美新近案例为视角[J].国际经济法学刊,2019(1):72-84.
[28]吕岩峰.刑法的域外效力辨析──来自国际私法学的观照[J].法制与社会发展,1998(4):49-53.
(1)仅2019年上半年,曾先后曝出包括云存储服务平台MEGA、服装品牌优衣库、全球顶尖求职平台Linked In、社交平台Facebook以及网络软件公司Citrix Systems等多家全球性企业数据泄露事件。
(1)“个人信息”与“个人数据”存在着一定差异,个人数据产生自互联网的虚拟环境,是个人信息的电子化表达。个人信息能够以非数据形式存在。为了防止读者在理解上产生歧义,笔者特别指出:由于欧盟习惯将“个人信息”统称为“个人数据”,本文在讨论GDPR域外效力及其实施效果时,统一采用“个人数据”的用词。由于我国目前计划立法的法律名称为《个人信息保护法》,故在第四部分讨论“对中国的启示”时,为了符合我国立法的表达,采用“个人信息”的表述。有关“个人信息”与“个人数据”的区别问题,参见王成.个人信息民法保护的模式选择[J].中国社会科学,2019(6):124-146+207.
(2)2018年9月7日,《十三届全国人大常委会立法规划》公布,其中第一类项目为条件比较成熟、十三届全国人大常委会任期内拟提请审议的法律草案(共69件),《个人信息保护法》被列入第一类项目之中。
(1)GDPR第3条的翻译:(1)数据控制者或处理者在欧盟境内设有经营场所,只要数据处理行为发生在此经营场所开展活动的场景中,无论数据处理行为是否发生在欧盟境内,本法对该行为有管辖权。(2)本法适用于对欧盟境内的数据主体个人数据的处理行为,该行为由在欧盟境内没有设立经营场所的数据控制者或处理者实施:(a)发生在向欧盟境内的数据主体提供商品或服务的过程中,无论此项商品或服务是否需要数据主体支付对价;或者(b)对数据主体发生在欧盟内的行为进行监控。(3)本法适用于在欧盟境内没有经营场所的控制者实施的个人数据处理行为,但该控制者的经营场所根据国际公法应适用该成员国法律。
(2)Communication from the commission to the European parliament and the council on the transfer of personal data from the EU to the United States of America under Directive 95/46/EC following the judgment by the Court of Justice in Case C-362/14[EB/OL].(2015-11-06).https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52015DC0566.
(1)按照美国国家标准与技术研究院(NTSI)对云计算概念的权威定义:云计算是一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问,进入可配置的计算资源共享池(资源包括网络、服务器、存储、应用软件、服务),只需要投入少量的管理工作,或者与服务供应商进行少量的交互,这些资源能够被快速提供。
(1)“云软件即服务”具有方便终端用户获得信息和收发邮件的功能,从技术上看,它是最为简单的一种服务类型,例如Google Docs;“云基础设施即服务”广泛运用于电子商务,为云消费者提供建立和管理应用的平台,例如Facebook或者Google App;“云基础设施即服务”允许云消费者使用以云服务提供商的硬件设备和计算机资源为基础建立起来的操作系统,例如存储功能和网络功能等。上述三种服务可以满足云消费者的各种使用需求。
(2)《欧盟基本权利宪章》第8条第1款规定:人人均有权享有个人数据之保护。
(3)Internet Trends 2018.[EB/OL].(2018-05-30).https://www.kleinerperkins.com/files/INTERNET_TRENDS_REPORT_2018.pdf.
(1)《指令》第4条的翻译:(1)如果出现下列情况之一,各成员国在处理个人数据时应根据本指令适用其国内法:a.数据处理行为发生在数据控制者经营场所开展活动的场景中,而该控制者的经营场所位于该成员国领域内;如果该控制者的经营场所位于若干个成员国领域内,其必须采取必要措施以确保每一经营场所都遵守所适用的法律规定的义务;b.该控制者经营场所不在该成员国境内,但其所在地根据国际公法的规定应适用该国法律;c.该控制者经营场所不在欧共体境内,并且出于处理个人数据的目的而使用了位于上述成员国境内的设备,除非使用该设备只是为了穿过欧共体全境。(2)在第(1)c条的情形下,控制者必须指派一名经营场所位于该成员国境内的代表,并且不得妨碍针对该控制者本人而提起的法律诉讼。
(1)根据《95指令》第29条的有关规定,欧盟成立的一个“在个人数据处理中保护个人的工作组”,一般称之为“第29条工作组”。该工作组是一个独立的咨询机构,有成员国数据保护机构的代表组成。该工作组在欧盟数据保护法中发挥重要作用,它发布的解释性文件具有巨大影响力。
(2)参见Case C-230/14的佐审官意见第26段(该佐审官意见于2015年6月25日发布)。
(3)《通用数据保护条例》生效后,原先根据《95指令》第29条建立的个人数据保护工作组被新成立的欧洲数据保护委员会(European Data Protection Board,简称EDPB)所取代。该机构承担着欧盟个人数据保护领域的解释立法和合规咨询职能。
(4)Guidelines 3/2018 on the territorial scope of the GDPR[EB/OL].(2019-11-12).https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_3_2018_territorial_scope_after_public_consultation_en.pdf.
(1)由于文章篇幅有限,Google Spain案的基本案情不再展开,详情请参见杨开湘.“被遗忘权”的司法确立——重探谷歌数据隐私案[J].经济法论丛,2018(1):359-386.
(2)欧盟隐私保护新规实施在即,QQ国际版将停止欧洲服务[EB/OL].(2018-04-13).https://baijiahao.baidu.com/s?id=1597638 078853539586&wfr=spider&for=pc.
(1)参见GDPR第27条。
(2)Guidelines 3/2018 on the territorial scope of the GDPR[EB/OL].(2019-11-12).https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_3_2018_territorial_scope_after_public_consultation_en.pdf.
(1)该案全称为Google LLC, successor in law to Google Inc. v Commission nationale de l'informatique et des libertés(CNIL),案号:C-507/17,判决发布时间:2019年9月24日。
(2)参见欧盟法院案例Case C 507/17判决书的第60-61段以及第73段。
(3)此处的“欧盟个人数据保护法”是指《第95/46号指令》和GDPR。在Google案中,欧盟法院以“上述两部法律均赋予数据主体要求搜索引擎运营商删除链接的权利”为由,肯定了上述两部法律在本案中的可适用性。
(1)Extraterritorial Application of The GDPR:Lessons from Recent Developments[EB/OL].(2018-11-08).https://thetmca.com/extraterritorial-application-of-the-gdpr-lessons-from-recent-developments/.
(2)First GDPR Enforcement Action Is Against A Canadian Data Controller[EB/OL].(2019-03-18). https://www.stevensbolton.com/site/insights/articles/first-gdpr-enforcement-action-against-canadian-data-controller.
(1)Extraterritorial Application of The GDPR-Lessons from Recent Developments,at https://thetmca.com/extraterritorial-application-of-the-gdpr-lessons-from-recent-developments/,Nov. 20, 2019.
(2)Guidelines 3/2018 on the territorial scope of the GDPR[EB/OL].(2019-11-12).https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_3_2018_territorial_scope_after_public_consultation_en.pdf.
(3)《2018年英国数据保护法》第142(1)条与第142(9)条。
(1)《2018年英国数据保护法》第149条。
(2)《2018年英国数据保护法》第155(1)条。
(1)3份建议稿分别为中国社科院周汉华研究员牵头负责的个人数据保护法研究课题组所起草的《中华人民共和国个人信息保护法(专家建议稿)》、重庆大学齐爱民教授拟定的《中华人民共和国个人信息保护法示范法草案学者建议稿》以及中国人民大学张新宝教授《个人信息保护法(专家建议稿)》。
(1)2019年11月5日,《中共中央关于坚持和完善中国特色社会主义制度推进国家治理体系和治理能力现代化若干重大问题的决定》发布,该文件中提出“加快中国法域外适用的法律体系建设”。
基本信息:
DOI:10.19631/j.cnki.css.2020.006.006
中图分类号:D95;DD913;D923
引用信息:
[1]俞胜杰,林燕萍.《通用数据保护条例》域外效力的规制逻辑、实践反思与立法启示[J].重庆社会科学,2020,No.307(06):62-79.DOI:10.19631/j.cnki.css.2020.006.006.
基金信息:
国家社会科学基金项目“数字贸易国际规则的新发展及中国法律对策研究”(17BFX216);; 司法部国家法治与法学理论研究项目重点课题“美国经济制裁法律的域外适用与中国对策研究”(19SFB1009);; 华东政法大学优秀博士论文培育项目“个人数据保护法的域外适用研究”(2019-1-013)
2020-06-16
2020-06-16