大数据时代,个人数据的商业利用价值越来越高,数据控制者和处理者正在处理越来越多的个人数据,侵犯个人数据的事件已屡见不鲜。互联网的虚拟性使得个人数据保护存在较大难度,各国个人数据保护法越来越倾向于扩大管辖权范围。欧盟率先一步,在《95指令》的基础上于《一般数据保护条例》中大大拓宽其域外管辖范围,在其地域之外对全球产生影响。本文旨在探究欧盟个人数据保护法——《95指令》和《条例》,尤其是已取代指令的《条例》采取何种方法以及基于何种正当理由扩大管辖范围。本文首先对相关概念进行界定,然后简要概括欧盟个人数据保护法域外效力的产生原因和发展情况。欧盟个人数据保护法保护的“个人数据”是存在于互联网上的具有可识别性的个人数据,不包括所有的个人信息,也不限于个人隐私。本文研究的欧盟个人数据保护法的域外效力问题实质是域外立法管辖权问题。用于处理个人数据的方法和技术手段已成为跨国问题,自《95指令》开个人数据保护单独立法的先河,欧盟各国纷纷在其国内个人数据保护法中增加域外效力条款,直至目前,《条例》已取代《95指令》。接下来,本文具体分析欧盟个人数据保护法域外效力条款——《95指令》第四条和《条例》第三条。《条例》继承和创新了《95指令》的地域范围适用条款。《95指令》设置了“营业地”和“设备”两种标准,欧洲法院在Google Spain案和Weltimmo案的裁决中对其内涵都进行了扩展,《95指令》的域外效力越来越明显体现。《条例》继承《95指令》的“营业地”标准,并增加“为欧盟内数据主体提供商品或服务”以及“监控欧盟内数据主体”两项标准。新的标准之下,虽数据控制者或者处理者在欧盟内不存在营业地,但只要为欧盟境内的数据主体提供商品或服务以及监控欧盟内数据主体都属于《条例》管辖范围。在判断是否构成这些情形时都要进行具体考量,包括“营业地”的认定、什么是“在营业地活动背景”下的处理行为以及如何判断是否构成“为欧盟内数据主体提供商品或服务”和“监控欧盟内数据主体”等。欧洲法院对Google Spain案和Weltimmo案的判决以及欧盟数据保护委员会发布的一系列文件,尤其是《关于GDPR第三条地域适用范围的指南(公开征求意见版)》等都是解释相关考量因素的来源。第三章探究欧盟个人数据保护法域外效力的合法性来源。判断一国的法律主张域外效力的一个基本原则应该是是否符合国际法。就如何构成对国际法的符合问题,奥康耐尔认为“判断一部法律的域外适用是否符合国际法,要看它所适用的事件、行为或人是否与立法国的和平、秩序和良好统治有关联。”而欧盟个人数据保护法的管辖范围扩大与欧盟数据保护越来越重视基本权利有关。保护个人数据是保护人权的一部分,欧盟需遵守国际人权法下的尊重、保护和履行义务,国际人权法的域外可适用性为欧盟个人数据保护法的域外效力带来正当理由。欧盟也将个人数据保护视为一项基本权利,《108号公约》、《欧盟基本权利宪章》以及《欧盟运作条约》重视对个人数据的保护,为实现“全面有效”的保护目的,欧盟有义务且有必要扩大其管辖范围。此外,根据国际公法,在国家可以主张立法性管辖权之前,必须存在一个“充分的联系”,合理的管辖权基础可以视为存在“充分的联系”。管辖权基础也是一国得以主张域外管辖权的依据。《条例》以属地原则作为基础,以“效果原则”和“目标指向方法”作为补充,弥补属地原则的不足。依据“效果原则”,将会对欧盟境内数据主体产生实际“影响”的境外行为纳入管辖范围。依据“目标指向方法”,“为欧盟内数据主体提供商品或服务”和“监控欧盟内数据主体”尤其强调“有意针对”。采用目标指向方法,在效果之上设置更多门槛,一定程度上限制效果原则的扩张,有助于防止司法管辖范围的延伸。最后本文讨论了中国对欧盟《一般数据保护条例》域外效力的应对。互联网技术飞速发展以及经济的全球化,势必会存在某些中国企业须受《条例》管辖的情况,《条例》高昂的行政罚款数额令中国企业不得不增加合规成本,做好预防工作。而《条例》单方面扩大管辖范围可能会导致管辖权冲突,法律确定性和可执行性的缺乏以及与我国相关法律规定的不一致或许会引发冲突的产生。借鉴英国与加拿大AIQ案的经验,为避免冲突,国家层面遵循国际礼让原则和寻求多边合作机制将是有效可行的方法;企业自身应当全面解读《条例》以及欧盟成员国的数据保护法,做好事前、事中、事后的合规工作。