◆ 条文要旨

本条是对本法的空间适用范围的规定。

◆ 理解与适用

一、法律的空间适用范围与域外效力

法律的空间适用范围要解决的是一国法律在什么地域，对什么人适用的问题。法律的空间适用范围是一个国家的管辖权的体现。当今世界，国内法的空间适用范围问题不仅是单纯的一国主权范围内的事情，也受到国际法的制约，应当尊重其他国家的主权。在国际法上，根据行使的依据不同，可以将国家立法管辖权分为四类，即属地管辖、属人管辖、保护管辖以及普遍管辖。[63]所谓属地管辖，就是依据领土所行使的管辖权，即国内法对于发生在本国领土范围内的一切人、物和所发生的事件予以适用。属人管辖是依据国籍所行使的管辖权，即对于一国的公民，无论其在国内还是国外，该国的法律对其从事的相关行为都可以适用。保护管辖是指为了保护本国的安全和重大利益，对于外国人在该国领域外的侵害行为行使管辖的权力。普遍管辖以保护各国的共同利益为标准，认为凡是国际条约所规定的侵犯各国共同利益的违法犯罪行为，无论行为人的国籍与行为地的属性，缔约国或参加国只要发现该行为人在其领域内，其法律便可以行使管辖权。基于主权平等原则，原则上一个国家的国内法具有属地性，只能规范本国领域内发生的行为，这就是国内法的域内效力。与之对应的是国内法的域外效力，即一国权力机关针对本国领域外发生的行为在本国域内适用或执行国内法。[64]应当说，属人管辖、保护管辖和普遍管辖都是对属地管辖原则的突破，体现了国内法的域外效力。在尊重主权、不干涉内政和国际礼让等原则的前提下，法律的域外效力也是得到承认的。

在我国法律中，《刑法》对于属地管辖、属人管辖、保护管辖以及普遍管辖都有相应的规定。《刑法》第6条规定：“凡在中华人民共和国领域内犯罪的，除法律有特别规定的以外，都适用本法。凡在中华人民共和国船舶或者航空器内犯罪的，也适用本法。犯罪的行为或者结果有一项发生在中华人民共和国领域内的，就认为是在中华人民共和国领域内犯罪。”该条规定的就是属地管辖原则，也是最基本的原则。第7条规定：“中华人民共和国公民在中华人民共和国领域外犯本法规定之罪的，适用本法，但是按本法规定的最高刑为三年以下有期徒刑的，可以不予追究。中华人民共和国国家工作人员和军人在中华人民共和国领域外犯本法规定之罪的，适用本法。”第8条规定：“外国人在中华人民共和国领域外对中华人民共和国国家或者公民犯罪，而按本法规定的最低刑为三年以上有期徒刑的，可以适用本法，但是按照犯罪地的法律不受处罚的除外。”第9条规定：“对于中华人民共和国缔结或者参加的国际条约所规定的罪行，中华人民共和国在所承担条约义务的范围内行使刑事管辖权的，适用本法。”上述三条分别是对属人管辖、保护管辖和普遍管辖的规定，但是都可以看出是有相应的限制的。例如，就属人管辖而言，除了国家机关工作人员和军人犯罪以外，《刑法》原则上只是对我国公民在我国领域外实施的严重犯罪行使管辖权。[65]保护管辖也同样只适用于外国人对我国和我国公民实施的严重犯罪且同时按照犯罪地的法律也应当受到处罚。

随着经济的全球化，现代世界各国各地区的交往联系越来越密切，货物、服务、资本等生产要素的全球流动日益频繁，尤其是在网络信息科技高速发展的今天，互联网的虚拟性、开放性和全球性打破了国家主权实体边界的物理限制，数据和个人信息通过网络科技可以在全世界范围内流动。例如，设在A国的公司可以通过网络收集B国自然人的个人信息，被收集的这些个人信息交由C国的公司加工，并与D国的公司进行共享。这样一来，就产生了作为一国国内法的数据保护法或个人信息保护法，对于在该国境外实施的个人信息处理行为能否适用以及如何适用的问题。

在个人信息和数据保护法的域外效力扩张方面，最典型的立法就是欧盟《一般数据保护条例》。该法虽然只是一部欧盟立法，但是其适用的空间范围却不限于欧盟的领土边界。考虑到全球经济中的跨国集团和跨境数据传输，故此，《一般数据保护条例》充分考虑了国际方面的因素。一方面，为了实现数据跨境传输中个人隐私的充分保护以及维护欧盟内部市场的公平竞争秩序；另一方面，为了防止出现“挑选法院”（forum shopping）的现象，即因为欧盟成员国内部的数据保护标准不同，导致跨国公司根据最低的国家数据保护标准（以及其他因素）来选择其经营地。[66]故此，《一般数据保护条例》规定了非常广泛的空间适用范围。该条例第3条规定：“1.本条例适用于在欧盟境内设有经营场所的控制者或处理者所开展的活动场景中的个人数据处理行为，无论该处理行为是否发生在欧盟境内。2.本条例适用于虽然并未在欧盟境内设立经营场所的控制者或处理者对欧盟数据主体的个人数据处理，只要其处理行为涉及以下方面：（a）向欧盟境内的数据主体提供商品或服务，无论该商品或服务是否需要数据主体支付对价；或（b）对上述数据主体发生在欧盟的行为进行监控的。3.本条例适用于非在欧盟境内设立的控制者的个人数据处理活动，只要该控制者所在地的欧盟成员国的法律根据国际公法对其具有管辖权。”从这一规定可以看出，其极大地扩大了欧盟《一般数据保护条例》的适用范围。也就是说，通过“经营场所原则”（establishment principle）与“目标指向”（targeting）这两个标准，《一般数据保护条例》的域外效力得到了极大的扩张，具体阐述如下。

1.《一般数据保护条例》第3条第1款通过确立所谓的“经营场所原则”（establishment principle）将欧盟境外的个人数据的控制者和处理者纳入了条例的管辖范围，实现了“属地管辖权”的技术性扩张。[67]依据该原则，只要数据的控制者或处理者在欧盟境内设有经营场所，且该经营场所从事的活动场景中只要有个人数据处理活动，那么无论个人数据的处理行为发生在何处，也无论个人数据的控制者或处理者是否属于欧盟成员国的公民、法人或非法人组织，均适用条例的规定。《一般数据保护条例》在导言部分第22条指出：“欧盟境内设立经营场所的控制者或处理者开展的活动场景中的任何个人数据处理行为，均应遵守本条例，无论该处理行为本身是否发生在欧盟境内。所谓经营场所是指通过稳定的安排而进行的有效和真实的活动。至于此种安排究竟是通过分支机构还是具有法律人格的子公司实现的，并非决定因素。”具体而言，判断的标准有二：

其一，经营场所（establishment）意味着“通过稳定安排实现有效与真实的活动”（the effective and real exercise of activity through stable arrangements）。所谓稳定安排并不取决于控制者或处理者在欧盟境内设立的机构或组织所采取的法律形式，也就是说，无论控制者或处理者在欧盟境内设立的是不具有法人资格的分支机构、代表处、办事处，还是具有法人资格的子公司，都不影响。即便控制者只是在欧盟成员国内拥有银行账户或邮政信箱，也可以构成一种稳定的安排。[68]所谓的稳定程度，需要根据其经济活动的性质和所提供的服务来确定。即使在欧盟成员国的代表处中仅有一名员工，如果该代表处所提供的服务具有一定程度的稳定性，那么也足以构成在欧盟境内设立的经营场所。[69]

其二，个人数据处理活动是在控制者或处理者在欧盟境内设立的经营场所所从事的活动的场景中进行的（in the context of the activities of the establishment）。至于该经营场所本身是否进行数据处理活动在所不问。也就是说，只要经营场所在经济上支持其母公司进行的数据处理活动即可，[70]例如，通过搜索引擎来销售或者推广广告位，从而使得其服务有利可图，这就使得经营场所的经济活动与母公司的数据处理活动之间建立了联系。至于该数据处理活动是发生在欧盟境内还是境外，在所不问。

2.《一般数据保护条例》第3条第2款确立了“目标指向”（targeting）原则，[71]即只要个人数据处理指向了欧盟境内的数据主体，对其产生了影响，则无论数据控制者或处理者是否在欧盟境内设有经营场所，无论数据处理行为发生在何处，条例也要适用于该处理行为。目标指向原则意味着，即使某些数据控制者或处理者在欧盟境内没有建立经营场所，只要该数据处理行为对欧盟境内的数据主体产生了实际上的“效果”或“影响”，条例仍然适用。实际上就是以效果原则来正当性地扩张《一般数据保护条例》的域外效力。所谓效果原则是美国法院在反托拉斯案的裁判中发展起来的管辖原则，即国家对外国人在外国所做的，对本国商业产生影响的行为享有管辖权。由于该原则针对的是外国人，故此被认为是属地管辖原则的延伸，又由于它的目的是保护国家的重大利益，所以也与保护性管辖相似。[72]具体而言，《一般数据保护条例》第3条第2款的规定，将对欧盟境内的数据主体的影响限定为以下两种情形之一：

其一，向欧盟境内的数据主体提供商品或服务（Offering of Goods or Services to Data Subjects in the EU），无论数据主体是否支付对价。判断控制者或处理者是否向欧盟境内的数据主体提供商品或服务时的主要参考因素包括：使用一个或多个欧盟成员国通用的语言；使用的是公认的货币（尤其是欧元）；提及来自欧洲的客户或用户；存在交付给一个或多个成员国的可能性；网站的域名指向一个或多个欧盟成员国。[73]例如，某公司H位于澳大利亚，经营一家网店。该公司在国外并无子公司或分支机构，其网店也只有英文版。H存储了客户的数据，其接受顾客以澳元和欧元付款，也可以向德国、法国和意大利交货。如果来自这些欧盟成员国的客户访问H公司的网站时，他们将被从域名“H.au”定向至“H.com/de”“H.com/fr”等。在这个例子中，根据欧洲客户登录H公司运营的网店时有独立的域名、可以用欧元支付以及该公司可以向某些欧盟成员国交付等因素就可以得出结论，H公司目标指向了欧盟的顾客。因此，欧盟《一般数据保护条例》适用于H公司的个人数据处理行为。[74]

其二，对欧盟境内的数据主体发生在欧盟的行为进行监控，即监控欧盟消费者的行为（Monitoring of EU Customers’Behaviour）。《一般数据保护条例》在导言部分第24条提出了认定监控的标准，即“为了判断上述处理活动是否可以被认定为是对数据主体在欧盟境内发生行为的监控，需要确定自然人是否在互联网上被跟踪记录，或者潜在地后续使用个人数据处理技术，包括对自然人进行数据画像特别是做出自动化决策，或者对其个人偏好、行为或态度做出分析或预测”。简单来说，任何形式的网络追踪（web tracking）都将被视为监控，如借助cookies或社交媒体插件。网络跟踪工具允许网络服务体用这些分析用户的行为，例如，通过测量网站被访问的时间、频率或方式（如通过搜索引擎或在线广告）。通常，分析工具会在网站用户的计算机上存储一个包含唯一标识的cookie。该工具将在用户每次访问网站时使用该标识来识别浏览器，并随后分析其行为。分析可以通过各种不同的形式和不同的工具进行。即使没有cookie，用户的浏览器也可能允许网络服务提供者识别用户并监控他们的行为。因为在访问网站时，每个浏览器都不可避免地会向网络服务提供者传送许多数据，以便能够优化相应网站的显示，例如，浏览器的类型和版本、操作系统、安装的插件（如闪存插件）、语言、标题和cookie设置，所使用的显示器分辨率和时区等。[75]这些数据允许提供商生成唯一的浏览器指纹（browser fingerprint），在结合IP地址（网络地址）等附加信息后就能够在用户再次访问该网站时识别该用户。

欧盟《一般数据保护条例》第3条对其域外效力的扩张对许多国家的数据保护和个人信息保护立法产生了影响，不少国家或地区纷纷加以借鉴。例如，2018年巴西《通用数据保护法》第3条规定：“不论法律实体总部所在国或数据所在国是在何处，本法适用于自然人或者受公法或私法管辖的法律实体所进行的任何数据处理操作，但需要符合下列条件：I.处理操作是在巴西境内进行；II.以提供货物或服务为目的的处理活动，或者处理位于巴西境内的个人数据；III.所处理的个人数据在巴西境内收集。第1款在巴西境内收集的数据视为数据主体被收集数据时处于巴西境内。第2款本法第4条IV项规定的数据处理活动系本条I项规定之例外情形。”再如，日本《个人信息保护法》第75条规定：“对于在向国内的某人提供商品或服务的环节中获取了以该人为本人的个人信息的个人信息处理业者在国外处理该个人信息或者用该个人信息制作而成的匿名加工信息的情形，第十五条、第十六条、第十八条（第二款除外）、第十九条至第二十五条、第二十七条至第三十六条、第四十一条、第四十二条第一款、第四十三条及后一条的规定也适用。”

二、我国个人信息保护法的空间适用范围

我国《个人信息保护法》起草中，就如何确立该法的空间适用范围存在不同的看法。有观点主张采取属地管辖权、保护管辖权与普遍管辖权相结合的方式规定个人信息保护法的空间适用范围。例如，张新宝教授和葛鑫起草的《个人信息保护法草案专家建议稿》第2条第1款规定：“在中华人民共和国境内处理个人信息，以及对个人信息处理行为的监督管理，适用本法。”这是对属地管辖权的规定。第2款规定：“在中华人民共和国境外处理中华人民共和国公民的个人信息，应遵守本法。”这是对保护管辖权的规定。第3款规定：“中华人民共和国缔结或者参加的国际条约中规定的个人信息保护事项，中华人民共和国在所承担条约义务的范围内行使管辖权的，适用本法。”这是对普遍管辖权的规定。[76]然而，这种观点存在的问题是，一方面，过度扩张了个人信息保护法的域外效力。不做限制地采取保护管辖，对于在我国境外处理我国公民（无论其是否在我国境内）个人信息的行为都适用我国《个人信息保护法》的话，势必使得我国《个人信息保护法》的域外效力被极大扩张，不仅实践中根本无法做到，也不符合尊重主权和国际礼让原则。另一方面，如果我国《个人信息保护法》仅仅适用于在我国境外处理我国公民个人信息的行为，即便是针对我国境内的非我国公民的自然人的处理行为也不能适用，显然范围又过于狭窄了。

在我国，基于对主权原则的尊重，对域外管辖总体上持一种比较排斥的态度，尽量避免我国司法的过度管辖给他国主权造成影响。[77]但是，考虑到互联网的开发性与全球性以及数据信息流动性的特点，为了充分保护我国境内自然人的个人信息权益，也有必要赋予我国《个人信息保护法》必要的域外效力。[78]此外，《数据安全法》第2条已经明确规定：“在中华人民共和国境内开展数据处理活动及其安全监管，适用本法。在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。”故此，《个人信息保护法》在《数据安全法》第2条的基础上，借鉴国外立法的优秀成果，在本条对于空间适用范围作出了规定。

（一）以属地管辖为原则

属地管辖意味着，一个主权国家的法律当然适用于该国主权所及的领土范围内的需要调整的活动，对此没有疑问。我国以往的许多法律在规定该法的地域范围时，往往都表述为“中华人民共和国境内的某某活动，适用本法”。例如，《电子商务法》第2条第1款规定：“中华人民共和国境内的电子商务活动，适用本法。”再如，《网络安全法》第2条规定：“在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。”所谓中华人民共和国境内，就是指在中华人民共和国领域范围内。《个人信息保护法》调整的对象就是处理自然人的个人信息的活动。本条第1款规定：“在中华人民共和国境内处理自然人个人信息的活动，适用本法。”这就意味着：

1.任何组织或者个人，只要是在我国境内进行处理自然人的个人信息的活动，都适用本法，无论处理者是组织还是个人，无论是法人组织还是非法人组织，无论是我国的还是外国的组织，无论是我国的个人还是外国的个人。依据《民法典》的规定，法人是具有民事权利能力和民事行为能力，依法独立享有民事权利和承担民事义务的组织（第57条）。法人可以分为营利法人、非营利法人以及特别法人。营利法人是指以取得利润并分配给股东等出资人为目的成立的法人，包括有限责任公司、股份有限公司和其他企业法人等（第76条）。非营利法人是指为公益目的或者其他非营利目的成立，不向出资人、设立人或者会员分配所取得利润的法人，包括事业单位、社会团体、基金会、社会服务机构等（第87条）。特别法人包括机关法人、农村集体经济组织法人、城镇农村的合作经济组织法人、基层群众性自治组织法人（第96条）。至于非法人组织，依据《民法典》第102条，是指不具有法人资格，但是能够依法以自己的名义从事民事活动的组织，包括个人独资企业、合伙企业、不具有法人资格的专业服务机构等。依据法人或非法人组织是否依据我国法律成立，可以将之分为中国法人、中国非法人组织与外国法人、外国非法人组织。例如，我国《公司法》第191条规定：“本法所称外国公司是指依照外国法律在中国境外设立的公司。”外国公司在我国境内设立分支机构必须向中国主管机关提出申请，并提交其公司章程、所属国的公司登记证书等有关文件，经批准后，向公司登记机关依法办理登记，领取营业执照。无论是外国公司、外国公司在我国设立的分支机构、外国企业常驻代表机构、外国常驻新闻机构等，还是外国政府组织或国际组织依据我国政府签订或参加条约和公约等在我国设立的机构，只要它们在我国境内处理自然人的个人信息，就要适用我国《个人信息保护法》的规定。例如，A国驻华大使馆在接受各种签证时收集申请人的个人信息，联合国儿童基金会驻华代表机构在官网上进行募捐活动时，收集募捐者的个人信息等，都属于在我国境内处理自然人的个人信息的活动。

2.只要是在我国境内处理自然人的个人信息的活动，都适用《个人信息保护法》的规定。依据《个人信息保护法》第4条第2款的规定，个人信息的处理包括个人信息的收集、储存、使用、加工、传输、提供、公开、删除等。当然这种列举是不完全的，还包括其他很多没有列举的个人信息处理活动。这些活动都适用本法的规定。

（二）辅以必要的保护性管辖

为了充分保护我国境内自然人的个人信息权益，《个人信息保护法》第3条第2款借鉴了欧盟《一般数据保护条例》的目标原则或指向原则，即对于特定的一些在我国境外处理我国境内自然人个人信息的活动，也适用本法的规定。这些处理行为包括以下三类：

1.以向境内自然人提供产品或者服务为目的

所谓“以向境内自然人提供产品或者服务为目的”，是指在我国境外处理我国境内自然人的个人信息的目的是向该自然人出售各种产品或者提供相应的服务，至于该产品或者服务的提供是有偿的还是无偿的，在所不问。所谓我国境内的自然人，不限于我国公民，还包括在我国境内停留的外国人、无国籍人等。在判断境外的个人信息处理行为是否属于以向我国境内自然人提供产品或者服务为目的，可以参考的因素包括：是否使用中文或我国其他民族的语言文字；为该产品或服务支付对价的货币是否为人民币或者采取的电子支付方式是否为我国境内常用的支付方式，如可以使用支付宝、微信或者我国的银行信用卡等进行支付；是否可以向我国以快递等方式交付相应的产品或者以网络传输方式提供相应的服务；网站的域名是否指向我国等。

2.分析、评估境内自然人的行为

所谓分析、评估境内自然人的行为，其内涵与欧盟《一般数据保护条例》第3条中的监控是相同的，即通过各种网络方式对我国境内自然人的行为进行分析和评估，包括对自然人进行数据画像特别是作出自动化决策，或者对其个人偏好、行为或态度作出分析或预测。《个人信息保护法》第73条第2项规定，自动化决策，是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。

3.法律、行政法规规定的其他情形

为了避免列举不全面，《个人信息保护法》第3条第2款第3项将法律、行政法规规定的其他情形作为兜底条款。

◆ 相关规定

《刑法》第6条至第9条；《数据安全法》第2条