问题——个人信息跨境流动促进数字贸易、跨国服务和产业协作的同时,也带来泄露、滥用和不当共享等风险。境外处理活动一旦超出国内监管视野,个体权利救济、监管调查取证、违法成本约束等环节容易出现断裂,公共利益与市场秩序随之面临不确定性。此外,国际社会尚缺乏专门规范个人信息跨境流动的全球性多边条约;现有国际贸易与投资规则虽涉及数据与隐私,但体系化程度和可操作性仍不足,难以为各国提供统一、稳定的行为预期。 原因——一上,跨境数据活动天然具有“无国界”特征,个人信息不同法域间高速流转,容易形成监管套利空间;另一上,各国出于公民权利保护、国家安全和产业竞争力等多重考量,往往通过赋予国内个人信息保护法律一定域外适用来回应现实需求,并将其作为影响跨境数据流动的重要政策工具。对我国而言,赋予个人信息保护法一定域外效力具有必要性,有助于境外主体面向境内人群开展业务、收集使用信息等场景中建立基本约束。但也需看到,法律适用范围的扩张并不意味着执行能力同步增强。受执法措施属地性限制,立法管辖权与执行管辖权之间存在客观“鸿沟”。若缺乏有效的跨境协作渠道和可落地的执行工具,规则可能停留在纸面,甚至引发更多法域冲突并推高企业合规成本。 影响——域外适用边界把握不当,可能带来三上后果:其一,过度扩张易与他国立法管辖权发生摩擦,增加争端风险,削弱跨境业务稳定性;其二,执法可及性不足会影响规则权威,形成“高标准、弱落地”的落差,降低市场主体对合规体系的信心;其三,在数字经济快速发展的背景下,若规则缺乏精细化分层,可能误伤正常数据流动与创新活动,影响国际合作、服务贸易与平台出海等实际需求。相反,边界清晰、要件明确的制度安排,有助于提升可预期性,兼顾权利保护与发展空间,并在国际竞争与合作中形成更稳定的制度信誉。 对策——专家建议,个人信息保护法域外适用应坚持理性、务实取向,避免将域外效力简单理解为“越强越好”。在维护境内自然人基本权利的前提下,应结合国际礼让原则,适度协调与外国立法管辖权的潜在冲突,并充分考虑域外执法的实际效能。具体而言,可在适用要件上更细化、限缩和澄清:一是对“向境内自然人提供产品或服务”的情形,应综合交易对象、业务指向、语言币种、物流与售后安排、营销投放等事实因素,判断是否具有明确面向境内人群的目的,避免仅凭“可访问”即推定适用。二是对“分析、评估境内自然人行为”的情形,可增加更具体的目的要件,明确需达到以画像、预测、定向推送或差异化决策为目的的程度,从而与一般统计分析、基础运维等活动相区分。三是对法律、行政法规规定的“其他情形”,可附加“对境内个人信息权利人利益造成实际或可识别损害”的条件,并推动形成可操作的认定标准,实现制度必要性与谦抑性的平衡。四是同步强化跨境执法与司法协作机制,通过证据调取、监管沟通、合规互认、争端解决等渠道提升可执行性,让规则从“可适用”走向“可落地”。 前景——面向未来,个人信息保护与跨境数据流动将长期处于动态平衡。随着数字贸易扩展、跨境服务常态化以及新技术应用深化,监管议题将从“是否适用”逐步转向“如何精准适用、如何有效协同”。在全球规则碎片化的背景下,我国需要以更清晰的边界设定和更具操作性的要件体系,提升法律适用的稳定性与国际沟通能力;同时也需制度供给与执法能力建设并行,形成既能保护权利、又能服务发展的治理框架,为企业合规、个人权益救济以及跨境合作提供更确定的预期。
个人信息保护法的域外效力既是法律技术问题,也是国家治理能力的体现。在全球化与数字化交织的背景下,我国应以更开放的姿态参与规则讨论与制定,在捍卫主权与公民权益的同时,推动形成更公平、合理的国际数据治理秩序。