数据保护法的域外适用
域外适用是指管辖范围之外,而非法域之外,范围要大于领土的范围。[12]欧盟通过制定域外管辖规则,使欧盟数据保护法的域外适用有了依据,适用范围超过了欧盟的管辖范围之外。此外,域外适用与域外管辖是不同的法律概念,但欧盟《通用数据保护条例》(下文简称GDPR)使法律选择与管辖权之间界限更加模糊。除欧盟外,多国制定的数据保护法都具有域外适用的效力,包括美国《儿童在线隐私保护法》、加拿大《个人信息保护和电子文件法》、澳大利亚《垃圾邮件法》《隐私法》。
(一)欧盟《通用数据保护条例》
如GDPR第3条[13]地域范围规定:
1.本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。
2.本条例适用于如下相关活动中的个人数据处理,即使数据控制者或处理者不在欧盟设立:(a)为欧盟内的数据主体提供商品或服务—不论此项商品或服务是否要求数据主体支付对价;或(b)对发生在欧洲范围内的数据主体的活动进行监控。
3.本条例适用于在欧盟之外设立,但基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。
GDPR第3条既是法律选择条款,同时也确定了管辖权的范围,即不仅适用于在欧盟的数据控制者,而且也适用于位于欧盟以外,但会向欧盟数据主体提供商品和服务或监控欧盟数据主体行为,并因此处理欧盟数据控制者。欧盟国家的数据保护主管部门通常将管辖权和法律选择等同起来。例如,西班牙数据保护局制定的2009年起草的全球数据保护法采用相同的标准来确定法律选择与管辖权。
在GDPR的背景下,法律选择与管辖权规则皆源于该法的保护性宗旨。
一般情况下,个人数据被传输到国外,国内机构对处理数据的控制者无法采取强制措施,但是GDPR以保护欧盟公民隐私权为名,以扩大法律适用的范围,对外国违反GDPR的主体处以严厉处罚。从本质上说,法院对跨境数据的法律选择,可以强调对该数据的监管权,出于保护性原因,主张对跨境流出数据的管辖权。
目前,越来越多的案例显示,各国数据保护机构将本国的数据保护法适用于外国数据控制者,或适用外国数据保护法。数据的管辖权规则侧重于国家之间数据监管权限的分配,不仅涉及法律选择和判决的承认与执行。由于数据保护法中管辖权与法律选择规则之间的紧密联系,可以将关于法律选择的规则用于管辖权规则。
(二)美国《儿童在线隐私保护法》
《儿童在线隐私保护法》是美国针对在线收集13岁以下儿童个人信息的行为而制定的法律。该法覆盖面向儿童的网站或在线服务,包括使用可以收集儿童信息的插件或广告网络,涉及儿童的图像、照片、音频、视频等,收集13岁以下儿童个人信息需要经过他们父母的许可。该法可能具有的域外效力在于适用收集美国儿童个人信息的任何网站,无论网站的服务器位于美国境内还是境外,由此引发该法扩大适用范围。
(三)加拿大《个人信息保护和电子文件法》
加拿大《个人信息保护和电子文件法》旨在保护加拿大公民个人数据的隐私权,规范企业在商业活动过程中收集、处理、披露个人信息的行为。尽管该法适用的范围仅为加拿大境内,不具有域外效力。但是加拿大隐私专员有权调查境外机构非法收集加拿大个人数据的行为。
(四)澳大利亚《垃圾邮件法》《隐私法》
澳大利亚《垃圾邮件法》旨在规范商业电子邮件信息,对电子邮件地址的收集以及对垃圾邮件进行规定,禁止与澳大利亚有关但是未经用户许可的电子邮件。澳大利亚《隐私法》对政府机构收集个人信息做出规定,只有与其职能相关才能收集个人信息,此外该法适用于处理澳大利亚公民信息的境外机构。