【文章內(nèi)容簡介】 反制，還是虛擬空間推動的時代潮流？草案規(guī)定的域外適用效力，毫無疑問是最受關(guān)注、最廣為探討的立法亮點之一。根據(jù)草案第三條，該法適用于境內(nèi)處理個人信息，還適用于三種境外處理境內(nèi)自然人個人信息的活動：（1）以向境內(nèi)自然人提供產(chǎn)品或服務(wù)為目的；（2）為分析、評估境內(nèi)自然人的行為；或（3）法律、行政法規(guī)規(guī)定的其他情形。1.“ 長臂管轄”的出發(fā)點與實踐困局 隨著數(shù)據(jù)主權(quán)意識的不斷強(qiáng)調(diào)與深化，各國在數(shù)據(jù)權(quán)屬與域外管轄領(lǐng)域內(nèi)存在客觀的競爭需要。面對歐盟 GDPR、美國《澄清域外合法使用數(shù)據(jù)法案》（“Cloud 法案”）等一系列域外立法中存在的 “長臂管轄” 規(guī)定，以及近段時間以來美國、印度政府對我國出海企業(yè)以國家安全、公民數(shù)據(jù)保護(hù)等為由的一系列調(diào)查與糾紛，草案有必要給予相對積極的回應(yīng)。積極順應(yīng)與面對國際立法是我們的基本立場，但作為一種付諸執(zhí)行的具體立法實踐，“長臂管轄”規(guī)定本身的合理性以及應(yīng)用方式值得我們謹(jǐn)慎審視。有觀點認(rèn)為，歐盟 GDPR的域外適用并非國際法上的“最佳實踐”，在尚未形成數(shù)據(jù)保護(hù)國際規(guī)則的情形下，GDPR的域外適用的規(guī)定在事實上構(gòu)成了對非歐盟區(qū)公民數(shù)據(jù)權(quán)利的限制[10]和對分享全球數(shù)據(jù)產(chǎn)業(yè)紅利的不合理障礙。這種管轄可能將會帶來對其他主權(quán)國家執(zhí)法權(quán)完整性的挑戰(zhàn)、增加引發(fā)貿(mào)易乃至外交沖突的可能性。[11]此外，歐盟內(nèi)部執(zhí)法機(jī)構(gòu)也認(rèn)為，要求境外企業(yè)在境內(nèi)設(shè)立分支機(jī)構(gòu)與指定代表的相關(guān)規(guī)定無法落地。[12] 另外，高昂的數(shù)據(jù)合規(guī)成本使得包括跨國公司在內(nèi)企業(yè)“望而卻步”，有數(shù)據(jù)統(tǒng)計 68%的公司預(yù)計將花費 100萬到 1000萬美元的合規(guī)成本。[13]盡管國際法共識認(rèn)為長臂管轄可能不符合國際法規(guī)則，且各國深知限制或禁止離岸數(shù)據(jù)運營模式將限制跨國企業(yè)的經(jīng)營動力，但時下各國數(shù)據(jù)立法賦予必要的域外效力儼然成為了一種潮流。除上述 GDPR的域外適用效力規(guī)定外，新近通過立法如新加坡的 PDPA、南非 POPIA和埃及 PDPL等國的個人數(shù)據(jù)保護(hù)法，以及印度的個人信息保護(hù)法案草案等，均涉及針對域外企業(yè)處理域內(nèi)數(shù)據(jù)的規(guī)定。但從具體條文規(guī)定的細(xì)節(jié)對比來看，相較于 GDPR、Cloud法案等積極尋求域外適用的立法態(tài)度，草案則更多地體現(xiàn)出保護(hù)我國境內(nèi)個人信息的基本立場和回應(yīng)姿態(tài)。例如，根據(jù) GDPR以及歐盟數(shù)據(jù)保護(hù)委員會（“EDPB”）就域外適用的相關(guān)指引文件[14]，GDPR規(guī)定無論在何處設(shè)立和處理歐盟境內(nèi)個人數(shù)據(jù)，凡是向歐盟境內(nèi)提供貨物或服務(wù)的實體，均受到 GDPR的管轄；此外，還規(guī)定了域外監(jiān)控行為的適用?？鐕咎幚黻P(guān)聯(lián)公司所在國用戶或者本集團(tuán)內(nèi)部員工的數(shù)據(jù)是企業(yè)運營的普遍及必要情況，而盡管 GDPR在各類指南及實踐中也在盡可能地糾正過于擴(kuò)張的管轄，但 GDPR“以提供服務(wù)的事實”為標(biāo)準(zhǔn)的規(guī)定理論上幾乎可以涵蓋所有向歐盟區(qū)提供服務(wù)的跨國企業(yè)，因此必將帶來大量的管轄沖突問題。相比 GDPR，草案的域外適用條款則顯得更為克制，規(guī)定“以向境內(nèi)自然人產(chǎn)品或服務(wù)為目的”而處理境內(nèi)個人信息才受約束，相當(dāng)于對域外適用的要求新增“數(shù)據(jù)處理的目的限制”。另外，我國企業(yè)近年來愈發(fā)陷于各國長臂管轄的合規(guī)困境，但與之相對，如果跨國企業(yè)通過運營離岸數(shù)據(jù)中心向境內(nèi)提供網(wǎng)絡(luò)服務(wù)，在缺乏監(jiān)管的條件下，大量境內(nèi)個人信息可能在數(shù)據(jù)跨境中“裸奔”而無法得到保障。唯有推進(jìn)域外適用，使跨國企業(yè)的離岸模式逐漸成為過去式，境內(nèi)個人的信息安全方能在當(dāng)今全球形勢下獲得對等的保護(hù)。但拋開對國際立法對等規(guī)則以及境內(nèi)個人信息對等保護(hù)等考慮，我們會發(fā)現(xiàn)基于數(shù)據(jù)或者網(wǎng)絡(luò)的域外適用規(guī)則在數(shù)字經(jīng)濟(jì)全球化時代幾乎無法避免。當(dāng)前國際經(jīng)濟(jì)的驅(qū)動力包括網(wǎng)絡(luò)的互聯(lián)互通以及數(shù)據(jù)的全球流通及整合，盡管我們要避免無序管轄對全球經(jīng)濟(jì)發(fā)展的阻礙，同時虛擬空間全球化交互從數(shù)據(jù)安全以及數(shù)據(jù)主權(quán)等多個角度都要求國家適度地擴(kuò)展域外管轄，維護(hù)市場經(jīng)濟(jì)秩序和公共安全與利益。從長遠(yuǎn)考慮，如果缺乏域外管轄的規(guī)則，從實質(zhì)上將會影響個人信息權(quán)益的保護(hù)以及數(shù)據(jù)主權(quán)的行使。順帶一提，除了本草案，為應(yīng)對各國域外長臂管轄帶來的消極影響，從立法層面看我國以近期出臺的《數(shù)據(jù)安全法（草案）》為代表主要做了兩方面努力：其一，做好針對個人信息保護(hù)的數(shù)據(jù)本地化和關(guān)鍵基礎(chǔ)設(shè)施、重要數(shù)據(jù)的安全審查等自我保護(hù)制度的建設(shè)；其二，為境內(nèi)法律的境外適用留有必要的空間，以靈活根據(jù)國際法的“對等原則”，采取維護(hù)國家和公民合法利益的必要的反制措施。例如，《數(shù)據(jù)安全法（草案）》的第二十四條和草案的第四十三條對外國歧視性措施的反制措施。在數(shù)據(jù)主權(quán)化浪潮當(dāng)下，各國數(shù)據(jù)立法普遍帶有域外適用效力，跨國企業(yè)經(jīng)營的確需要在日常業(yè)務(wù)中謹(jǐn)慎經(jīng)營、做好合規(guī)，以盡可能提前避免落入域外管轄的“爭執(zhí)”之中。三、個人信息主體對信息處理“ 絕對” 權(quán)利的利弊 草案第十三條首次明確個人信息處理多達(dá)六項的合法性依據(jù)，分別是同意、履行合同所必需、履行法定職責(zé)或法定義務(wù)所必需、應(yīng)對突發(fā)公共衛(wèi)生事件或緊急情況下保護(hù)自然人生命健康和財產(chǎn)安全所必需、為公共利益在合理范圍內(nèi)處理、法律和行政法規(guī)另行規(guī)定。盡管草案增加了個人信息處理的合法性依據(jù)，但其與歐盟 GDPR的規(guī)定仍存在一些差別。草案第四項合法性基礎(chǔ)是緊急情況下對自然人生命健康和財產(chǎn)安全保護(hù)所必需，而 GDPR則是表述為對自然人重大利益（vital interests）的保護(hù)。對比來看，草案規(guī)定得更為具體，避免“重大利益”這一概念的模糊不清。同時，草案沒有規(guī)定類似 GDPR中對保護(hù)控制者或第三方合法利益（legitimate interests）必要的情形，但是其兜底條款“法律法規(guī)規(guī)定的其他情形”可以在很大程度上涵蓋這一情況，并且法律明確規(guī)定的形式也更具有確定性和可操作性，避免濫用相關(guān)條款從而造成對信息主體權(quán)益的損害。草案中“為履行法定職責(zé)或者法定義務(wù)所必需”與“法律、行政法規(guī)規(guī)定的其他情形”這兩項合法性基礎(chǔ)之間的關(guān)系也值得探討。前者的“法定” 要求需要其所適用的情形有法律法規(guī)的依據(jù)，與后者含義一致。但前者在 “法定” 的基礎(chǔ)上加上了 “必需” 要求，實踐中可能更多指向法律法規(guī)未對個人信息收集有明確例外規(guī)定，但法定要求必需處理個人信息的場景。此外應(yīng)當(dāng)肯定的是，草案還結(jié)合疫情防控經(jīng)驗，加入了 “為應(yīng)對突發(fā)公共衛(wèi)生事件所必需” 這一合法性基礎(chǔ)，充分體現(xiàn)法律與時俱進(jìn)的時代特色。 自 2012年全國人民代表大會常務(wù)委員會《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》中首次提出收集和使用個人信息應(yīng)當(dāng)征得個人信息被收集者的同意以來，除法律及行政法規(guī)另有規(guī)定以外，個人信息主體的“同意”一直是我國個人信息處理的主要合法性依據(jù)，甚至學(xué)者認(rèn)為賦予了個人信息主體對于個人信息的“絕對權(quán)利”。此次草案第十三條首次從法律層面對于個人信息處理活動的合法性基礎(chǔ)進(jìn)行擴(kuò)充，其由單一到多元化的轉(zhuǎn)變是否合理？這背后又有哪些考量？ 個人信息權(quán)益的定位其人格屬性盡管在《民法典》出臺后才相對清晰，在個人信息保護(hù)的初級階段，尤其是隱私權(quán)與個人信息權(quán)利尚未完全厘清關(guān)系的時期，賦予個人信息主體較為“絕對”的控制權(quán)對于個人信息權(quán)益尤其是人格權(quán)益保護(hù)具有積極意義。但在大數(shù)據(jù)與高科技浪潮的推動下，個人信息逐漸體現(xiàn)出其所附著的信息主體利益、信息使用者利益與公共利益等多重利益。信息主體的利益主要體現(xiàn)為對個人尊嚴(yán)與自由的保護(hù)。同時，個人信息還具有社會性、工具性與功能性，因此還應(yīng)保障信息使用者的利益，促進(jìn)個人信息的使用與流通。此外，在遇到公共利益時，信息主體可能需要讓渡或犧牲部分個人利益以保障公共管理目的的實現(xiàn)。[15] 鑒于此，將知情同意作為個人信息處理的唯一合法性基礎(chǔ)在事實上賦予了信息主體對個人信息較為絕對的支配權(quán)利，但不同于知識產(chǎn)權(quán)等相對成熟的權(quán)利，考慮到個人信息“所有權(quán)”或“控制權(quán)”當(dāng)前尚未有定論，較為絕對的支配權(quán)利將可能對建立個人信息的權(quán)利束制度造成不利影響，并且會對不同主體的權(quán)利分配造成阻礙。因此，這種絕對性支配權(quán)制度在多主體參與的個人信息處理中會導(dǎo)致較高的授權(quán)成本并可能阻礙科技和社會發(fā)展，造成經(jīng)濟(jì)實踐的巨大困境。從比較法上來看，歐盟 GDPR除同意外還規(guī)定了五種合法性基礎(chǔ)，以實現(xiàn)個人數(shù)據(jù)保護(hù)與數(shù)據(jù)流通之間的平衡。美國 CCPA 則在保障數(shù)據(jù)流動方面走的更遠(yuǎn)，甚至未嚴(yán)格將同意作為處理的前提性條件，而是以 “告知+選擇退出” 作為保障消費者權(quán)益的方式。國際社會更傾向于不將保護(hù)個人數(shù)據(jù)主體權(quán)益作為個人數(shù)據(jù)保護(hù)的唯一目的，而是盡可能地在數(shù)據(jù)保護(hù)與數(shù)據(jù)流通之間尋求平衡。，打開數(shù)據(jù)權(quán)益大門 《民法典》已將“法律法規(guī)另有規(guī)定”作為同意的例外，留下變通空間，并將處理已合法公開的個人信息、維護(hù)公共利益或自然人合法權(quán)利作為免責(zé)情形。草案更進(jìn)一步，具體規(guī)定了除同意和法律法規(guī)另有規(guī)定以外的其他四種合法性基礎(chǔ)，體現(xiàn)出個人信息保護(hù)制度正逐步從個人控制走向社會控制[16]、多方控制，既符合時代發(fā)展需要，也順應(yīng)國際社會潮流。從個人控制到多方控制并不妨礙保護(hù)個人信息主體對于個人信息的人格權(quán)益，并讓參與個人信息處理不同環(huán)節(jié)的主體一定程度上脫離個人信息主體基于絕對同意的控制權(quán)，有空間來尋求對于個人信息可能主張的財產(chǎn)權(quán)益。當(dāng)前數(shù)據(jù)立法中重點和難點問題集中在數(shù)據(jù)確權(quán)之上，通過對個人信息控制權(quán)主體的擴(kuò)展，有利于從理論和實務(wù)兩個方面打破禁錮，有望實現(xiàn)平衡個人信息主體和其他處理主體權(quán)益的新型數(shù)據(jù)權(quán)益規(guī)則。四、“ 同意” 的兩難 草案對于不同情形的“同意”規(guī)則做了細(xì)化。草案第十四條要求同意應(yīng)當(dāng)“由個人在充分知情的前提下，自愿、明確作出意思表示”，并規(guī)定法定應(yīng)當(dāng)取得單獨同意或書面同意的，從其規(guī)定。同時，草案第二十四條規(guī)定，在對個人信息進(jìn)行共享時應(yīng)取得信息主體的單獨同意。與此相關(guān)的還有草案第三十條，要求對敏感個人信息的處理應(yīng)取得個人的單獨同意，并且法律法規(guī)規(guī)定處理敏感個人信息應(yīng)當(dāng)取得書面同意的，從其規(guī)定。草案第一次嘗試在法律層面根據(jù)處理的不同情形對 “同意” 進(jìn)行分類，如何準(zhǔn)確的界定 “同意”、“單獨同意” 與 “書面同意” 將需要從實務(wù)角度探尋可行性。 縱觀全球數(shù)據(jù)保護(hù)立法，“同意”的概念均有所涉及但又有所差異。草案將“同意” 定義為 “由個人在充分知情的前提下，自愿、明確作出意思表示”，與 GDPR所定義的 “通過陳述或積極行為表示” 的主要區(qū)別在于意思表示實現(xiàn)方式的多樣性。單獨同意與一般同意相比，更強(qiáng)調(diào)信息主體對個人信息處理在充分知情和審慎考慮基礎(chǔ)上的授權(quán)，屬于對一般同意的補(bǔ)強(qiáng)措施，從理論上看具有必要性。對于向第三方共享個人信息與處理敏感個人信息這兩種敏感度較高的情形而言，單獨同意確實可以在一定程度上征得信息主體更充分和有效的同意。由于草案中并未給出單獨同意的具體定義，實踐中多將其理解為與概括同意相對的授權(quán)同意方式，并常以單獨提示或者彈窗的形式實現(xiàn)。但單獨同意需要在線上實現(xiàn)，尤其是數(shù)據(jù)收集或共享要求實時性時，則實現(xiàn)方式會出現(xiàn)侵?jǐn)_用戶同時達(dá)不到保護(hù)個人信息主體自由意志的情況。比如根據(jù)草案第二十四條，個人信息處理者向第三方提供其處理的個人信息的，應(yīng)當(dāng)取得個人的單獨同意。但是實踐中以 SDK方式向第三方共享個人信息的情形已屢見不鮮，這也成為了一種常見且高效的商業(yè)合作模式。對于大型企業(yè)來說，其服務(wù)中可能包含多種來自不同第三方的、具有不同處理目的和處理方式的 SDK，并可能在其提供服務(wù)過程中不斷更新，若按照每種 SDK都分別用一個彈窗的形式來征得單獨同意，則可能成本過高且會給用戶帶來不良交互體驗。因此結(jié)合實踐合規(guī)成本與落地難度來看，如何設(shè)計同意機(jī)制，使得既達(dá)到單獨同意的要求又不造成侵?jǐn)_用戶的后果，仍值得探討。書面同意對比一般同意不僅突出信息主體的充分知情權(quán)與授權(quán)有效性，其還強(qiáng)調(diào)信息主體同意的可驗證性。草案中雖提及此概念，我們更期待明確其具體適用的場景，以及有效書面同意的定義。比如俄羅斯個人信息保護(hù)法（Federal Law of 27 July 2006）中規(guī)定“以電子簽名簽署的電子文檔形式的同意應(yīng)被視為等同于包含個人數(shù)據(jù)主體手寫簽名的書面同意書”。類似的規(guī)定有助于明確新經(jīng)濟(jì)環(huán)境下，尤其是互聯(lián)網(wǎng)經(jīng)濟(jì)中書面同意的邊界。 應(yīng)當(dāng)肯定立法針對不同情形區(qū)分同意的類型，但由于不同同意類型的界定將在很大程度上影響各相關(guān)主體的權(quán)益，具體對同意的界定與適用可能亟待相關(guān)法規(guī)或指南進(jìn)一步明確。與此同時，如何實現(xiàn)不同的同意要求以匹配新型的同意機(jī)制將是企業(yè)重點關(guān)注的難題。實踐中，必須承認(rèn)隱私政策與同意提示等對于個人信息主體的提醒作用十分有限。借由同意機(jī)制發(fā)生變化的契機(jī)，企業(yè)應(yīng)當(dāng)進(jìn)一步研究如何增加個人信息主體對同意的管理路徑，比如讓個人信息主體通過 dashboard等方式自行管理其對個人信息的同意，即增加告知及同意的強(qiáng)度，又降低反復(fù)提醒降低產(chǎn)品體感的影響。盡管上述要求可能進(jìn)一步增加企業(yè)合規(guī)成本，但在尊重個人信息主體意志大原則不變的前提下，可以預(yù)見的是以適當(dāng)、透明的方式使得個人信息主體享有一定的個人信息管理權(quán)限，將有助于自證合規(guī)并提高消費者體驗。與此同時，考慮到個人信息權(quán)利束理論形成后，個人信息附著的財產(chǎn)性權(quán)益同樣有突出的管理需求，企業(yè)對合規(guī)的投資可能轉(zhuǎn)換為類似 privacy box 等可商業(yè)化的新業(yè)態(tài)。五、處理者法律責(zé)任分配背后的政策考慮，如何實現(xiàn)個人信息權(quán)益保護(hù)與促進(jìn)產(chǎn)業(yè)發(fā)展的矛盾統(tǒng)一？ 草案第二十一條規(guī)定，兩個或兩個以上的個人信息共同處理者承擔(dān)連帶責(zé)任，成為一大亮點。具體而言，受共同處理行為侵害個人信息權(quán)益的個人，有權(quán)向任何一個處理者主張全部損害賠償。從個人信息的強(qiáng)保護(hù)立場來看，連帶責(zé)任固然有利于保障個人求償權(quán)的實現(xiàn)，鼓勵共同處理者之間充分約定共同處理的安全保護(hù)義務(wù)，促使共同處理者積極就數(shù)據(jù)保護(hù)進(jìn)行互相監(jiān)督。但在推動數(shù)字經(jīng)濟(jì)的大背景下，處理者連帶責(zé)任所代表的強(qiáng)保護(hù)政策導(dǎo)向，應(yīng)如何響應(yīng) “促進(jìn)企業(yè)聯(lián)動轉(zhuǎn)型、跨界合作”[17]的新業(yè)態(tài)發(fā)展需求？ 我們不妨假設(shè)一個場景：整車制造廠商（OEM）希望搭建自己的車聯(lián)網(wǎng)系統(tǒng)，而其中的地圖導(dǎo)航服務(wù)則作由第三方運營。第三方導(dǎo)航服務(wù)直接調(diào)用傳感器收集用戶個人位置信息以提供導(dǎo)航定位服務(wù)，屬于直接的個人信息處理者；而 OEM 將導(dǎo)航服務(wù)獲取并處理的位置信息用于智慧加油、智能停車、旅游信息等車聯(lián)網(wǎng)服務(wù)，屬于位置信息的共同個人信息處理者。根據(jù)草案，若 OEM 在車載外賣服務(wù)中泄露了個人位置信息，第三方共同處理者亦需承擔(dān)連帶責(zé)任。考慮到車聯(lián)網(wǎng)方案的開放性，第三方無法充分預(yù)見位置信息泄露的可能性與風(fēng)險，為避免承擔(dān)連帶責(zé)任，很可能會因此減少與