法律的域外效力分为积极和消极两个层次,前者指一国法律及执行机关主动将本国法律适用于该国域外,主要为立法执法层面的强制拘束力,另有部分影响力;后者指一个国家主动适用其他国家的法律,主要表现为影响力。故从法律效力的角度,则可认为域外效力分为立法拘束力、执法拘束力与影响力三类。《一般数据保护条例》的域外效力主要体现为积极方面,集中表现在第3条和第44-50条中,前者具有一般性,后者具有特殊性。《条例》第3条包括三种情形。第一种情形适用于在欧盟建立了“机构”的相关数据处理行为;第二种情形适用于在欧盟境内没有建立机构的数据处理行为;第三种情形则为国际公法引起的域外适用。但《条例》对这三种情形的核心要素均未统一标准,用语模糊。基于个人数据权利属于基本人权,欧盟法院等机构对这些核心要素的解释宽泛,使与欧盟有微弱联系的主体即属《条例》的适用范围。因此,第3条使《条例》的适用范围远超欧盟地域范围,产生了强大的域外效力。《条例》第44-50条对从欧盟的跨境数据传输行为进行严格限制,只有符合特定条件才可向欧盟境外传输。第一种情形是欧盟委员作出认可第三国数据保护水平的“充分性决议”。这事实上构成对他国立法的审查与干预,是《条例》域外效力的体现。但仅少数国家满足充分性的要求,这无法满足数据流通的需要。因此,《条例》还允许通过标准合同条款、约束性公司规则等机制来实现前述目的。但欧盟对这些制度有严格限制,干预意思自由,使涉及欧盟个人信息的案件均受欧盟成员国法院管辖并应适用《条例》,这强化了《条例》的域外效力。除了前述规定,支撑《一般数据保护条例》域外效力的制度还包括强制性适用方式、突破传统的侵权管辖权规则和国际合作机制。这些制度和机制的相互协作,造就了《条例》强大的域外效力。对于中国而言,《条例》既是需克服的挑战也是可学习的对象。在设计我国个人信息保护法的域外效力制度时,首先要确定个人信息权利的法律地位。其次,结合我国现有的规定和困难,在法律适用范围及方式、管辖权、数据跨境传输以及国际合作方面进行深入考察和抉择,以确定个人信息保护法的域外效力范围。对于业务涉及欧盟的企业而言,首要任务是合规,防止违反《条例》的规定。