资料保护法的适用范围与涉外资料处理中资料隐私的法律适用

二、资料保护法的适用范围与涉外资料处理中资料隐私的法律适用

乍来看，为了保护资料当事人的权利，适用资料当事人的本国法似乎具有合理性。但是，如果位于A国的资料使用者侵犯了33个不同国家和地区的资料当事人的权利，而有些国家根本没有资料保护法，仍必须适用资料当事人的本国法吗?此外，B国的资料保护机构对A国的资料使用者具有哪些权力呢?适用A国法有助于判决的执行，但资料使用者能够轻易地将其住所转移至资料保护水平较低的国家。资料使用者的住所甚至不需要位于资料系统的所在地。^[179]

——FritsW.Hondius

资料处理包括针对个人资料实施的各种操作活动，诸如资料的收集、记录、编排、储存、改编、使用、转移、比对、互联以及资料的封存、删除和销毁等。^[180]信息技术的发展使得资料处理涉及的当事方可能位于世界各地，资料处理操作也跨越国界与不同的地域相关。由于当前各国资料保护法仍存在一定的差异和冲突，资料保护法的适用范围与涉外资料处理中资料隐私的法律适用就成为两个不可回避的难题。

从内容上看，欧盟各国的资料保护法为个人创设了资料权利，为资料控制者和处理者施加了相关的责任和义务，同时还要求设立资料保护机构监督法律的实施。资料保护法的内容跨越了公法和私法的界限，涵盖了民法、行政法和刑法等领域。^[181]原则上，一国公法的适用范围属于主权的范畴，仅可在其境内实施，但在满足了特定条件的情况下，也可扩展适用于其境外的活动。严格而言，资料保护法的适用范围规则旨在界定其在地域上的适用范围，限定一国对资料处理的管辖范围，避免国家间在资料处理管辖上出现积极和消极的冲突，并主要涉及资料保护法中的公法性规则。涉外资料处理中资料隐私的法律适用规则或方法则属于私法冲突，旨在为涉外信息流转关系中的资料保护指明准据法，涉及资料保护法中的私法规则及相关的民事法律规则。^[182]

在《欧盟资料保护指令》公布之前，国内资料保护法多以资料库所在地为标准贯彻地域主义管辖原则，同时也根据不同的标准将本国法扩展适用于境外的资料处理活动。这致使各国在资料处理管辖上潜在的积极和消极冲突极易成为现实。考虑到问题的复杂性与实践经验的不足，国际性的资料保护立法均未明确资料保护法的适用范围，而主要期望通过资料保护原则统一国内法，尽量避免和消除实体法上的潜在冲突。《资料保护指令》以资料控制者的设立地为标准，确立了内外有别的法律适用规则。对此，成员国法与指令的规定不尽一致。这一方面是由各国对指令的不同转化所导致的，另一方面可归咎于指令自身规定的缺陷和不足。尤其是随着互联网的普及，指令的管辖范围遭到了前所未有的挑战。

关于涉外资料处理中资料隐私的法律适用，目前尚处于学者讨论阶段，还缺乏充分的法律实践。我们应从涉外资料处理涉及的法律关系的性质入手，把握法律选择的价值导向，以保护个人的资料隐私为着眼点和落脚点，构建合理可行的法律适用规则或方法，保障个人的资料隐私与控制者的正当利益，并提高法律适用的明确性、可预见性和灵活性。

(一)资料保护法适用范围规则的立法历程

1.《资料保护指令》制定前的立法情况

欧盟制定《资料保护指令》前，欧洲国家多采取地域主义标准，根据资料控制者和资料库同其之间的地域关联确定资料保护法的适用范围。换言之，对在本国境内设立的资料控制者或位于本国境内的资料库，一国有权根据资料保护法进行管辖。资料当事人的国籍或住所并非资料保护法适用范围的决定因素。^[183]例如，德国、比利时与荷兰等国均将资料库所在地作为资料保护法适用范围的基本标准。^[184]作为例外，资料保护法也适用于一国境外的资料处理或资料库，并因此造成更多的管辖冲突。^[185]对该例外情形，各国的规定也不尽相同。例如，1988年的《荷兰资料保护法》适用于荷兰境外的资料库，若资料库的控制者设立于荷兰境内，且该资料库含有关于住所在荷兰的个人的资料。^[186]根据1992年的《比利时资料保护法》，若能够在比利时通过作为资料处理一部分的设备查阅该资料，在其境外实施的个人资料自动处理可适用比利时法。^[187]根据挪威司法部的解释，1978年的《挪威资料保护法》可适用于位于挪威境外的资料库，若能够在挪威境内控制资料库。^[188]

早期的国际性资料隐私立法已讨论了法律适用问题，但考虑到问题的复杂性与实践经验的不足，它们并未对此作出明确的规定。欧盟于1995年通过的《资料保护指令》也成为最先规定资料保护法适用范围规则的国际立法。例如，在制定1980年《资料保护指导原则》过程中，OECD的专家组对法律冲突问题进行了深入的探讨，但未达成一致意见，最终仅建议成员国“致力发展关于个人资料跨境流动法律适用的国内和国际原则”。^[189]与OECD类似，负责起草欧洲理事会1981年《资料保护公约》的专家组指出，即使各国具有非常类似的资料保护法，法律本身和具体适用仍会出现冲突。若资料处理涉及不同国家的当事方，确定哪个国家具有管辖权与适用哪个国家的法律并非易事。^[190]公约中的核心原则可确保缔约方境内的资料当事人享受最低限度的保护。通过适用这些原则，缔约方相互取消对资料跨境流动的限制，并避免任何形式的保护主义对信息自由流动构成的威胁。这些核心原则将统一缔约方的国内实体法，并减少法律和管辖权的潜在冲突。^[191]同时，专家组建议应继续研究资料处理的法律适用问题，并可在必要时通过补充协定明确法律适用规则。^[192]

2.《资料保护指令》适用范围规则的制定

适用范围规则是完备的涉外资料保护法律体系不可或缺的组成部分。首先，《资料保护指令》为各国确立了较高的资料保护水平，要求成员国不得以资料保护为由限制欧盟内部的跨境资料流动，避免出现非法处理个人资料的“天堂”(Data Heaven);^[193]其次，为避免成员国在境外资料处理管辖上出现积极和消极的冲突，指令不得不明确国内法的适用范围;最后，指令还构建了完备的资料保护跨境执行协作机制。^[194]

在适用范围规则上，欧盟委员会的理念经历了根本性的转变。与早期各国的立法一脉相承，1990年的指令草案曾以资料库所在地为基本标准。考虑到信息技术革新对资料处理操作的影响，尤其是随着指令的管辖对象由资料库转向资料处理，严格按照地域关联标准确定资料处理地更加不具可行性。^[195]为此，1992年的指令草案修改了该标准，将资料控制者的设立地确立为限定资料保护法适用范围及一国对资料处理管辖范围的基本标准。^[196]根据1992年的草案，国内资料保护法的适用范围规则旨在避免如下两种可能性:

“一、资料当事人可能发现自己被置于资料保护体系之外;二、同一资料处理操作可能适用两个或两个以上国家的法律。”^[197]

为此，《欧盟资料保护指令》第4条最终规定:

“1.成员国应在下列情形下适用其依据本指令制定的国内法:

(1)资料控制者设立于成员国境内的机构在其活动中实施的处理。若同一资料控制者设立于几个成员国境内，它应采取必要措施确保其任一机构遵守所适用的国内法规定的义务;

(2)控制者非设立于成员国境内，但其设立地依据国际公法应适用成员国的国内法;

(3)控制者非设立于欧盟境内，但为处理个人资料而运用位于成员国境内的自动化或其他设备，除非该设备仅用于经欧盟境内传送资料。

2.在第1款(3)规定的情形下，控制者应指定一名设立于该成员国境内的代表，但这不影响对控制者可能提起的法律程序。”^[198]

(二)《资料保护指令》适用范围规则的内涵探悉

为准确把握其内涵，我们需要明确指令在法律适用上的目标，弄清第4条的逻辑结构，界定其中的术语，并考察成员国法对本条的转化情况。

1.规则的双重目标

上文已经指出，《资料保护指令》在法律适用上旨在避免如下两种可能性:资料当事人无法依据任何法律寻求救济;同一资料处理行为适用两个或两个以上相关国家的法律。^[199]如指令序言所述，“为确保个人不被剥夺指令提供的保护，在欧盟境内实施的任何资料处理必须适用一个成员国法。为此，设立于一成员国境内的资料控制者负责实施的资料处理应适用该国法”。^[200]换言之，指令法律适用规则的首要目标为避免成员国在资料处理管辖上的消极冲突，确保较高的资料保护水平，为个人提供适当的法律救济;第二个目标则是避免成员国在资料处理管辖上的积极冲突，增强法律适用的明确性和可预见性，为资料处理涉及的当事方提供明确的法律指引。

2.内外有别的规则

以保护欧盟公民的资料隐私为主旨，以消除欧盟内部的资料流动障碍为目标，《资料保护指令》归根结底属区域法。^[201]指令的适用范围规则明确反映了欧盟内外有别的立法理念。对内，指令以消除成员国法管辖范围的积极和消极冲突为目标。对外，指令旨在扩大指令的适用范围及成员国对境外资料处理的管辖范围，保护欧盟公民的资料隐私。

对内，资料控制者设立于欧盟一成员国境内意味着与控制者相关的资料处理，不论是否在其境内实施，均应适用该国的资料保护法。指令赋予了资料控制者设立地国专属性的管辖权和法律适用权，也限制其他成员国主张依据本国法管辖该控制者于其境内实施的资料处理，避免欧盟内部成员国法在适用范围上的消极和积极冲突。同时，若控制者在多个成员国境内设有机构，他应确保每个机构均遵守其设立地国法。^[202]

对外，为保护欧盟公民的资料隐私，扩大指令的域外效力及成员国对境外资料处理的管辖，对设立于欧盟境外的资料控制者，只要他在处理资料过程中使用了位于欧盟境内的设备，就应受设备所在地国法的管辖。如指令序言所述，“设立于第三国的控制者处理个人资料不得影响指令为个人提供的保护。为此，对其在成员国境内实施的资料处理，应适用设备所在地国法，并应通过其在该国境内指定代表人保障指令的实施”。^[203]这不仅有助于扩大指令的适用范围，还可以减少成员国在设立于欧盟境外的资料控制者实施的资料处理上的管辖冲突。^[204]但是，它也存在一定的缺陷，因为境外的资料控制者可能使用位于多个成员国的设备处理资料，同时也可能使用欧盟境内的设备处理第三国公民的资料。

3.个人资料、资料控制者、设立机构与设备

为准确把握指令第4条的含义，我们需要明确四个术语的内涵，即个人资料、控制者、设立与设备。指令将“个人资料”界定为:“指与确定或可确定的自然人(资料当事人)相关的任何信息。可确定的人是指可直接或间接的，特别是通过参考身份识别编号，或根据其身体、生理、心理、经济、文化或社会特征中的一个或多个具体因素，确定其身份的人。”^[205]一信息即使只在表面上与个人具有微弱的关联，但只要能借助其他信息确定个人身份，也属于个人资料。^[206]因此，个人资料的范围非常宽泛。^[207]

根据指令，“资料控制者”是指“就个人资料处理的目的和方法，单独或与他人共同作出决定的自然人或法人、公共机关、部门或任何其他机构”。^[208]由于资料控制者“单独”或与他人“共同”决定资料处理的目的和方法，一个资料处理可能存在两个或多个资料控制者。资料控制者不一定实际持有个人资料。一资料处理过程中的资料控制者可能发生变化。断定资料控制者的决定性因素不是谁在形式上对资料处理负责，而是谁实际控制了资料处理的目的和方法。^[209]

根据指令序言，资料控制者“设立”于成员国境内是指“他在该国设有稳定的机构，并由该机构实施有效和真实的活动。设立机构可以是具有法人人格的分支或机构，但其法律形式和地位并不具有决定性”。^[210]对“设立”一词，英国法的规定更为详尽，“设立于英国境内”是指:“

(a)经常居住在英国境内的个人;

(b)根据英国法或英国任何领域的法律设立的机构;

(c)根据英国任何领域的法律设立的合伙或任何非企业组织;

(d)不属于上述情形，但在英国具有如下事项的任何人:

(i)用以开展任何活动的办公室、分支或代理机构;

(ii)经常性的活动。”^[211]

因此，“设立”一词的外延也相当宽泛。

指令第4条涉及的另外一个概念为“设备”(Equipment)。指令的序言^[212]与不少成员国法使用了外延更为宽泛的“方式”(Means)一词。实际上，任何资料处理均有赖于一定形式的设备和媒介。因此，境外的资料控制者在欧盟境内处理资料就必然使用位于欧盟境内的“方式”，也需受设备所在地国法管辖。

4.成员国法对《资料保护指令》第4条的转化

统一适用指令第4条可以避免成员国资料保护法在适用范围上及成员国间在资料处理管辖上的积极和消极冲突。如上所述，第4条以欧盟为中心，以资料控制者为着眼点，根据资料控制者的设立地将其分为两类。对设立于欧盟境内的资料控制者，为避免成员国法间的积极和消极冲突，指令要求适用设立地国法。对设立于欧盟境外的资料控制者，若其使用了位于欧盟境内的设备，为扩大指令的适用范围，应适用设备所在地国法。对第一项法律适用规则，多数成员国法与指令的规定基本一致，而在第二项规则上，少数成员国法与指令的规定仍存在一定的差异。

(1)设立于欧盟境内的资料控制者

根据指令，资料控制者在成员国境内设立的机构在其活动中实施的资料处理，应适用该国的资料保护法。该规则要求两个基本条件:①资料控制者在一成员国设有机构;②该机构在其活动中实施了资料处理。总体上看，多数成员国法吸纳了该法律适用规则，丹麦、德国、奥地利法虽然在用语上与指令不尽相同，但它们只是对其作出了更明确的解释，与指令并无实质差异。

荷兰^[213]、葡萄牙^[214]和英国法与指令的规定完全一致。如英国法规定，若控制者设立于英国境内，且在该机构的活动中实施了个人资料处理，适用英国法。^[215]根据比利时法，资料控制者在其境内设立的长期性机构在其有效和真正的活动中实施的个人资料处理，应适用比利时法。法国法也明确规定，资料控制者设立于法国境内，在其位于法国境内的机构开展的活动中实施资料处理，适用法国法，且不论该机构的法律形式如何，均应被视为设立于法国境内。^[216]虽然用语和指令不同，但它们只是按照指令的序言^[217]对“立机构”和“活动”作出了解释性的规定。

芬兰^[218]、希腊^[219]、瑞典^[220]和意大利^[221]法均规定，设立于其境内的资料控制者实施的资料处理适用本国法。它们并未明确该处理须由控制者在其境内设立的机构在其活动中实施，但在实际适用中同指令的规定仍保持一致。^[222]卢森堡法的规定比较含糊，“受卢森堡法管辖的资料控制者实施的个人资料处理适用卢森堡法”。^[223]实际上，一资料控制者受卢森堡法管辖意味着其要么设立于卢森堡境内，要么设立于根据国际公法适用卢森堡法的地方。

根据《德国联邦资料保护法》，若资料控制者设立于欧盟其他成员国或《欧洲经济区协定》(EEA)的其他缔约方境内，并自行收集、处理或使用个人资料，不适用德国法。如果资料的收集、处理或使用行为由上述资料控制者在德国境内的分支机构实施，则应适用德国法。此外，若资料控制者非设立于欧盟其他成员国或《欧洲经济区协定》的其他缔约方境内，但在德国境内收集、处理或使用个人资料，也应适用德国法。^[224]上述规定与指令并不存在差异，只是对后者更明确的解释。对此，奥地利法与德国法作出了类似的规定。^[225]

(2)设立于欧盟境外的资料控制者

根据指令，设立于欧盟境外的资料控制者为处理个人资料而使用位于成员国境内的自动化或其他设备，应适用设备所在国的资料保护法。这种情况下，资料控制者应在该国境内指定一名代表人。该规定还存在一个例外，即上述设备仅用于经欧盟领域内传送资料。^[226]在该原则上，成员国法与指令具有一定的差异。

指令与一些国内法使用了“设备”(Equipment)一词，^[227]如丹麦^[228]、芬兰^[229]、希腊^[230]、意大利^[231]、葡萄牙^[232]、瑞典^[233]、英国^[234]和爱尔兰法^[235]。而卢森堡^[236]、荷兰^[237]、西班牙^[238]、比利时^[239]和法国法则使用了“方式”(Means)一词。如根据法国法，“若资料控制者非设立于法国或任何其他欧盟成员国境内，但使用了位于法国境内的处理方式(Moyens de Traitement)，应适用法国法”。^[240]“设备”一般指有形的工具或器械，而“方式”的外延相对而言更为宽泛。法国国家信息与自由委员会(CNIL)认为，设立于欧盟境外的资料控制者通过向法国境内的资料当事人发送纸面的表格收集个人资料，就构成资料处理的“方式”。同样，设立于欧盟境外的资料控制者利用位于欧盟境外的服务器，通过资料当事人使用位于法国境内的计算机浏览网页而收集其个人资料，该计算机也应被视为资料处理的“方式”。实际上，所有的资料处理均必须借助一定的方式，很多国内法也未使用“设备”或“方式”。^[241]

不少成员国，如爱尔兰^[242]、瑞典^[243]和英国^[244]将设立于欧洲经济区的成员国(冰岛、列支敦士登和挪威)的资料控制者，视为设立于欧盟境内。因此，设立于冰岛、列支敦士登和挪威的资料控制者使用位于上述四国境内的设备，仍适用其设立地法。

指令规定“若设备仅用于经欧盟境内传送资料”，不适用设备所在地国法。在这一点上，意大利^[245]、葡萄牙^[246]、芬兰^[247]和希腊法^[248]与指令的规定完全一致。法国法^[249]规定了“经法国或其他欧盟成员国传送资料”也与指令一致。丹麦法使用了“经欧盟境内传送资料”，^[250]且欧盟在该法中包括欧洲经济区的成员国。比利时^[251]、爱尔兰^[252]和英国法^[253]却规定了“经本国境内传送资料”。换言之，若设立于欧盟境外的资料控制者使用了位于比利时等国的设备处理资料，只有该设备用于经其本国境内传送资料，才不适用其本国法。从国内的角度看，规定“经本国境内传送资料”似乎更合乎逻辑，而指令的规定不仅包括设备所在地国，还包括其他成员国。瑞典法使用了“若设备仅用于在第三国与另一此类国家间转移资料”，^[254]因此，即使控制者使用设备经欧盟境内传送资料，仍可适用瑞典法。

根据德国法，设立于欧盟境外的资料控制者在德国境内实施的资料处理行为均适用德国法，而不论该行为是否使用了位于德国境内的设备或方式。^[255]丹麦法明确指出该法适用于设立于第三国的资料控制者，若控制者实施资料处理时使用了位于丹麦境内的设备，除非该设备仅用于经欧盟境内传送资料，或以在第三国境内处理资料为目的，在丹麦境内收集资料。^[256]

(三)指令适用范围规则评析

对于指令的域外效力，人们更关注关于跨境资料转移的第25条和第26条。^[257]实际上，有关法律适用范围的第4条对指令的域外效力具有更直接的影响。如上所述，指令的法律适用规则旨在实现两个目标:对内避免成员国在同一资料处理上的管辖冲突，对外扩大指令的适用范围。相对于其他标准，资料控制者的设立地可以更好地实现上述目标。但是，它仍有一定的不足之处，也需要面对互联网等信息技术带来的挑战。

1.设立地规则的优势

相对于资料库所在地、资料处理地和资料当事人的住所或居所地，资料控制者的设立地可以更好地避免各国资料保护法在适用范围上积极和消极的管辖冲突，并可扩大指令的域外适用范围。首先，早期的资料保护法以资料库为调整对象，而科技的发展淘汰了这种静态的方法，而且资料库的地理位置与资料处理以及资料当事人和资料控制者之间的关联也日趋减弱。其次，设立于A国的资料控制者可能在B国实施资料处理行为，而该行为的结果可能发生于C国。若以资料处理地为标准，对资料控制者而言，他们需要受不同国家资料保护法的约束，并导致成员国之间在同一资料处理上产生管辖冲突。最后，若以资料当事人的住所或居所地为管辖标准，设立于欧盟内部的控制者在欧盟处理住所位于多个国家的资料当事人的资料，将受多国法律管辖。同时，该规则也将减弱指令的域外效力，因为根据该规则，指令将无法适用于欧盟境内的控制者在境外实施的资料处理。

2.设立地规则的不足

设立地规则的上述优势并非绝对的，它也具有一定的不足之处。它无法避免成员国法间积极的管辖冲突。一般情况下，一个资料处理仅存在一个资料控制者，且只设立于一个成员国境内，或虽然控制者在多个成员国境内设有机构，但处理操作由一个机构在其实际活动中实施。但如上所述，一个资料处理操作可能具有多个控制者，且他们可能设立于不同的成员国境内，同一资料处理也就可能受多国法管辖。

资料控制者设立地也可能并非资料当事人的住所或居所地。资料当事人可能因此要根据外国法寻求救济，并遇到更多的障碍和困难。此外，根据设备所在地决定设立于欧盟境外的资料控制者应适用的法律也存在缺陷。英国的信息专员指出，按照指令的规定，若美国的公司使用位于英国境内的服务器收集美国境内本国公民的资料，也应适用英国法。这种情形下，对境外的资料控制者适用英国法对英国而言毫无意义。它不仅在执行上困难重重，而且也影响国外公司将其资料处理设备落户到欧盟境内。若他们在欧盟境外控制和使用个人资料，不论资料的实际处理地在何处，指令都很难得到有效的执行。此外，指令虽然要求设立于欧盟境外的资料控制者在资料处理设备所在地国境内指定代表人，但对设立于欧盟境外违反英国法的控制者，英国信息专员不具有任何明显依据对该代表人采取相关的措施。^[258]

3.互联网对设立地规则的挑战

互联网改变了传统的资料处理方式，对资料控制者设立地规则构成了严峻的挑战。网上活动不可规避适用于其他领域的基本法律原则，互联网也非不适用任何社会规则的真空地带，^[259]但是，在实践中将传统的法律，包括资料保护法适用于网上活动难免会遇到一些问题。对网上资料处理而言，指令的法律适用规则必须明确如下问题:①谁是资料控制者;②资料控制者的哪个机构与资料处理相关，它们设立于何处;③这些机构在哪些活动中实施了资料处理;④若设立于欧盟境外，控制者是否使用了位于欧盟境内的设备。

如前文所述，谁决定资料处理的目的和方式，谁就是资料控制者。对个人的网页浏览资料(Clickstream Data)而言，服务器提供商决定处理的目的和方式，因此他们就是此类资料的控制者。对利用Cookies收集的资料而言，网站决定是否设置Cookies，是否通过Cookies收集个人资料，以及如何使用和转移资料，他们是此类资料的控制者。

指令的第4条要求确定资料控制者的设立地。若一公司在欧盟境内设有机构，并由该机构在其活动中实施资料处理，那么就应适用该机构所在地国法。同样，“设立于欧盟境内的公司、组织和个人，在通过网络提供服务过程中，收集和处理任何个人资料，必须遵守《资料保护指令》规定的资料保护规则”。^[260]

设立于欧盟境内的公司通过其网站处理个人资料，必须遵守其设立地国法。指令要求设立于其境内的公司、组织和个人通过网络提供服务必须遵守《资料保护指令》有关资料收集和处理的规定。^[261]若一公司在不同的欧盟国家设有分支机构，且每个机构均拥有自己独立的网站，那么运营网站的公司分支机构设立地国法应适用于通过这些网站实施的资料处理。若一公司的网站不以国别而以语言为基础，对其通过网站收集和处理资料的行为，仍应适用负责运营网站的公司机构设立地国法。

若设立于欧盟境外的公司为欧洲客户创建了专门的网站，由其在欧盟成员国的分支机构负责运营，那么通过该网站处理个人资料应被认定为发生在该欧洲分支机构的活动中，并应适用该机构设立地国法。若设立于欧盟境外的公司在欧盟境内未设立机构，但通过网站收集位于欧洲的访问者的资料，那么该公司是否使用了位于欧盟境内的设备呢?人们通过自己的计算机访问公司的网页，但我们似乎不可认定公司利用访问者的计算机收集他们的信息。当然，该公司利用了网线和服务器等设备，但这些设备的地理位置同资料处理之间的关联日趋减弱。在实践中，网页浏览资料的控制者越来越难以辨明。该资料由网络提供商收集，并同网上交易的多个利益方进行分享，资料处理活动也可能散布于世界各地，而所有这些事项对确定应适用的法律均至关重要。

欧盟也注意到互联网给第4条适用带来的问题，但未作出明确的解释。如欧盟资料保护工作组指出:“《资料保护指令》可被解释为适用于第三国网站在欧盟境内收集欧盟用户的资料，当然对此需要进行深入和细致的考察。”^[262]欧盟委员会在与美国缔结的“安全港协议”中也指出，该协议不影响与个人资料处理有关的其他指令条款，特别是第4条在欧盟成员国内部的适用。^[263]为确保《资料保护指令》同样适用于网上资料处理活动，欧盟采取了比较务实的策略:一方面，它强调互联网不可规避资料保护法的规定，指令中的基本原则和规则应全面适用于网上个人资料收集、传送、使用和转移活动。换言之，仍应根据指令的第4条确定网上资料处理应适用的法律;另一方面，欧盟也意识到互联网对指令的适用构成了新的挑战，并主张将指令的基本原则转化为适当的规则以规制网上资料处理活动。

(四)涉外资料处理中资料隐私保护的法律适用

以上论述表明一国资料保护法的适用范围跨越了国界，若资料处理具有涉外因素，就会造成法律冲突，并招致涉外资料处理中资料隐私保护的法律适用问题。与国内法的适用范围不同，它是一个国际私法问题，即冲突法中的法律选择问题。换言之，前者旨在限定一国资料保护法的适用范围及该国对资料处理的管辖，不存在适用他国法的可能。后者则是平等主体，即资料当事人与资料控制者之间的法律关系因资料处理具有涉外因素导致私法冲突，并需要确定法律关系的准据法。管辖法院可能适用法院地法，也可能适用外国法。而且，准据法也不以资料保护法中的私法规则为限，可能包括民法等其他私法规则。^[264]

冲突法自身堪称“一片阴暗、地震不断的沼泽地。里面住着博学而古怪的学者们。他们通过奇怪但却不全面的专有名词将神秘的事物理论化。每一位研究该问题的古怪学者都坚信他致力于照亮、耕耘这片沼泽，并给其通风。但这些努力却很少转化为肥料”。^[265]涉外资料处理牵涉资料当事人、资料控制者、资料处理者和资料保护机构等当事方，且他们之间法律关系的性质也各不相同，在资料保护上的利害关系也可能针锋相对。因此，该问题的复杂性不言而喻。

1.问题的复杂性

有关涉外资料处理中资料隐私法律适用的研究并不多，且以欧洲学者为主。^[266]早期的学者已经认识到该问题的复杂性，如洪笛斯就曾指出，由于国内法间的积极和消极冲突，具有同等资料保护水平的国家还面临法律适用问题。“若资料使用者的住所在A国，资料当事人的住所位于B国，那么在出现法律冲突的情况下应适用哪个国家的法律”?^[267]“乍看来，为了保护资料当事人的权利，适用资料当事人的本国法似乎更具有合理性。但是，如果位于A国的资料使用者侵犯了33个不同国家和地区的资料当事人的权利，而有些国家根本没有资料保护法，仍必须适用资料当事人的本国法吗?此外，B国的资料保护机构对A国的资料使用者具有哪些权力呢?适用A国法有助于判决的执行，但是资料使用者能够轻易地将其住所转移至资料保护水平较低的国家。资料使用者的住所甚至不需要位于资料系统的所在地。”^[268]虽然囿于科技发展水平的限制仍使用“资料系统”一词，洪笛斯所述的涉外资料处理中资料隐私的法律适用问题的复杂性，在当今随着互联网等信息技术的兴起有增无减。

在立法上，考虑到问题的复杂性与法律实践经验的匮乏，OECD和欧洲理事会的专家组虽经深入探讨，但均未作出明确的规定。^[269]制定《资料保护指导原则》的OECD专家组着重考虑了法院对特定事项的管辖权(管辖权选择)以及应对特定问题适用什么法律(法律选择)。对上述问题，专家们提出了各种原则和方法。从理论上而言，很难选择一个合理的解决方法，而且，当时也缺乏必要的法律实践来检验各种建议。^[270]考虑到这些困难，认识到只有在资料保护的整体框架内才能最好地解决法律冲突问题，专家组认为不宜对该问题作出明确、具体的规定，决定仅指明有关问题，并建议成员国继续探讨和发展有关的规则和方法。^[271]欧洲理事会负责起草《资料保护公约》的专家组指出:“若资料处理涉及不同国家的当事方，确定哪个国家具有管辖权与适用哪个国家的法律并非易事。”^[272]专家组认为公约对该问题规定具体的规则为时尚早，建议继续研究资料处理的法律适用问题，且可在必要时通过补充协定明确法律适用规则。^[273]

为解决涉外资料处理中资料隐私在法律适用上面临的困境，我们需要从涉外资料处理涉及的具体法律关系入手，根据其性质断定法律冲突的性质，明确法律适用规则的价值导向，构建合理可行的法律适用规则或方法。

2.涉外资料处理中的法律关系

由于资料保护跨越了公法与私法的界限，资料处理涉及的法律关系的性质也大不相同。其中，资料当事人与资料控制者之间具有平等的民事法律关系，如合同与侵权关系。由于数字化信息流转打破了个人同企业面对面信息传递中的权力均衡，为平衡二者对资料的控制力，提高个人对信息流转过程的参与，资料保护法为资料当事人设定了权利，为控制者规定了相应的权利和义务。例如，个人对资料具有查阅、修改和删除权，对资料处理具有反对权等，资料控制者在资料处理上对个人负有义务，一旦其违法行为侵害个人的权利和利益，个人可通过诉讼、仲裁和调解等方式主张赔偿。若资料处理行为在两个或两个以上的国家境内实施或资料处理涉及的当事方，特别是资料当事人和资料控制者的住所位于不同的国家，就会出现管辖和法律冲突问题。^[274]资料当事人与控制者间的此类法律关系正是涉外资料处理中资料隐私法律选择的调整对象。

3.法律适用方法

对于法律选择问题，传统的法律选择规则一般根据法律关系与一国的关联，尤其是地域关联，确定一个或多个连结点，并由其指明应适用的准据法。^[275]该方法很难解决信息时代涉外资料处理的法律适用问题。随着互联网等信息技术的发展，处理涉及的个人资料可能散布于世界各地，且可不断转移，资料处理活动和设备所在地等也飘忽不定，而且它们同资料处理间的关联也日趋减弱。我们很难按照传统的方法确定法律关系的地域性连结点。^[276]此外，严格按照僵硬的法律选择规则，机械地选择某一国内法也受到法律选择价值的挑战。^[277]至少，法律选择规则的有效运作有赖于类似的法律概念以及各国对个人资料保护原则的一致解释和适用。缺少这些前提条件，我们需要制定更加灵活的法律适用原则，寻找所谓的“自体法”，并以有效地保护个人隐私、自由和其他基本权利为价值导向。因此，若几个法律均可适用于一种情形，适用对个人资料提供最优保护的国内法可能是一种解决方法。然而，该方法过于灵活，并存在太大的不确定性。对资料控制者而言，他们期望预知涉外资料处理的准据法。^[278]

4.跨境资料转移合同与涉外资料隐私侵权的法律适用

跨境资料转移既涉及位于不同国家的资料转移人和资料接收人的经济利益，还涉及资料当事人的资料隐私。欧盟的标准合同条款旨在保护向不具备适当资料保护水平的第三国转移资料中的资料隐私。在法律适用上，它以保护个人资料为着眼点，同其他机构的格式合同^[279]以调整资料转移人和接收人间的交易关系为着眼点大不相同。^[280]例如，根据香港个人隐私专员公署的格式合同，“资料转移人和接收人有权自由选择合同的准据法，并应在合同中订明”。^[281]对这种商事交易关系，当事方根据意思自治原则自然可选择准据法。但是，这对跨境资料转移中的资料保护并不奏效，因为该法律关系涉及的当事方及其法律性质与前者具有质的差异。

为确保资料转移合同有效的保护个人的资料隐私，欧盟的标准合同条款要求将个人界定为合同的第三方受益人，使之有权根据合同约定直接执行“第三方受益性条款”(Third-Party Beneficiary Clause)。^[282]“第三方受益性条款不仅有利于资料当事人全面执行其在合同项下的权利，还有助于行使国内立法所规定的权利。”^[283]为扩大《资料保护指令》的适用范围，在法律适用上，欧盟的标准合同条款均规定合同应适用资料转移人设立地国法。^[284]标准合同条款的调整对象为资料转移当事方在资料保护上的责任分配关系，不涉及双方在资料转移上的商业性权利和义务，还为资料当事人创设了第三方受益权。因此，从保护个人资料隐私的角度看，适用欧盟境内成员国的资料保护法可以为转移后的个人资料提供更好的保护。

除跨境资料转移外，个人与资料控制者还可能产生契约性的涉外资料处理关系。例如，个人可能通过口头或书面形式同意境外的资料控制者收集、处理和转移其个人资料。^[285]对此类合同，意思自治原则，即个人与资料控制者共同选择某国法作为他们之间法律关系的准据法，是否可以作为其法律适用规则呢?固然，对双方而言，意思自治原则可提高法律适用的明确性、确定性和可预见性，但是，在此类法律关系上，这些价值应以保护个人的资料隐私为前提。在涉外资料处理中，个人同企业间存在严重的权力失衡与信息不对称。个人很难同企业在平等的基础上，在知情的前提下，就个人资料的收集、处理和转移达成自由、自愿的协议。个人也很难监督企业是否履行了承诺。个人资料与其他商品不同，它关涉到个人人格的自由健全发展及人权和自由的保护，不可随意遗弃。在这种情形下，资料当事人的住所地法似乎更有利于保护个人的资料隐私。^[286]当然，该法律适用规则可能使企业在涉外资料处理中面临不同国家资料保护法的约束。^[287]

除契约性关系外，资料隐私侵权是资料当事人同控制者之间在涉外资料处理中最普遍的法律关系。以既得权理论为基础，传统的侵权法律选择规则对涉外侵权关系适用侵权行为地法(lex locus delicti commissi)。^[288]对涉外资料隐私侵权而言，侵权行为地不仅越来越难以确定，而且它与当事人间侵权关系的关联也日趋弱化。而且，对涉外资料隐私侵权，该规则无法确保法律适用的明确性、确定性和可预见性。

侵权行为地外，侵权法律关系还与资料当事人的隐私以及资料控制者的资料处理利益密切相关。以资料控制者的住所为法律选择的连结点虽然可以保证法律适用的明确性，但对资料当事人而言可能不利于保护其资料隐私。相反，以资料当事人的住所为法律选择的连结点有利于保护其资料隐私，但却可能导致资料控制者对同一资料处理行为在世界各地适用不同的法律。立法者需要权衡两种方法的利弊。有学者还对资料当事人住所地法这一法律适用规则进行了修正，将资料控制者的正当期望纳入其中，即若资料控制者应该合理地预期个人资料处理将可能侵害资料当事人的权益，应适用资料当事人的住所地法。^[289]白格拉伍教授认为该规则看似更具吸引力，但它似乎并未切实减轻资料控制者的负担。^[290]

此外，美国冲突法革命批判了机械化的侵权法律选择规则，主张推行法律适用方法，并最终导致《美国冲突法重述》(第二次)将最密切联系原则确立为法律适用的基本原则。^[291]考虑到《欧盟资料保护指令》仅规定个人有权对资料控制者给其造成的侵害主张赔偿，但具体的权责认定仍应参照国内的民法规则，郑兵(Bing Jon)教授认为，由于各国立法，尤其是大陆和普通法系在非经济性损害赔偿上的做法大相径庭，应根据最密切联系原则确定涉外资料处理中资料隐私侵权的准据法。但是，他并未分析确定最密切联系应权衡的因素与方法。^[292]毋庸置疑，最密切联系原则将提高涉外资料隐私侵权法律适用的灵活性，但法律适用的明确性却不可兼得。

此外，国际私法上的公共秩序保留制度也与涉外资料处理的法律适用密切相关。^[293]按照该制度，若根据法律选择规则适用外国法有损国内的公共秩序或公共政策，法院可不适用该法并代之以法院地法。在欧洲，《资料保护指令》明确指出资料隐私旨在保护个人的自由和基本权利。^[294]《欧洲人权与基本自由保护公约》^[295]和《欧盟基本权利宪章》也将资料保护确立为个人的一项基本权利。^[296]而且，当今制定资料保护法的国家仍以欧洲为主，且为数不多，经欧盟认定具备适当资料保护水平的国家更是少之又少。^[297]这样，欧盟国家可能以损害公共秩序为由拒绝适用外国法。^[298]

总之，不论是资料当事人与控制者在涉外资料处理中的合同关系还是侵权关系，保护个人的资料隐私应被确立为法律适用规则或方法的首要价值标准。^[299]资料隐私问题产生的根源在于个人同企业在信息流转上的力量失衡，法律适用规则和原则虽非实体性的资料保护法，也应以此为出发点和落脚点。否则不论设计多么华丽和完美的法律适用规则，所有的努力都因与资料隐私的价值背道而驰而化为乌有。一言蔽之，只有经得起实践的考验，法律适用规则和方法才具有生命力。