作为数据领域的我国首部地方立法，《条例》并没有明确规定适用的管辖范围和标准，而仅仅在《条例》第一条中规定了其规范的对象是数据处理活动，以及《条例》第二条第（六）项解释了数据处理是指数据的收集、存储、使用、加工、传输、提供、开放等活动。”因此要想《条例》在之后的实施中发挥其应有之义，达到法律立法的目的，还需要进一步明晰《条例》适用的管辖范围和标准。

在中国之声记者对《条例》的立法参与者之一—中国政法大学李爱君教授的采访中，李教授谈到，数据的收集、传输、交换以互联网为载体实现，具有没有区域性的特点。如果只规范在深圳的自然人或者注册地在深圳的法人及非法人组织，那么基于其没有区域性的特点，很多违法违规的数据处理行为将被规避，法律法规的效力将大打折扣。《条例》的管辖实际上类似“长臂管辖”，不仅仅局限于管辖在深圳的自然人、注册地在深圳的法人及非法人组织，只要数据处理行为发生在深圳特区的区域内，只要其形成的法律关系与深圳特区有关系，那么就受《条例》的调整。另外北京师范大学网络法治国际中心主任吴沈括在接受中国之声采访时表示，基于互联网不受地域限制的特点，《条例》的管辖更多地是基于“效果原则”即如果数据处理活动对于深圳或者深圳市民造成影响，则在《条例》的管辖范围之内。

综上，无论是从数据处理行为本身的特性，还是从立法专家、学者对《条例》应有之义的考量，《条例》管辖范围的内涵不同于传统的限制主体，而是类似于“长臂管辖”或者“效果原则”，具备更加广泛的效力。国际上，欧盟的《通用数据保护条例》（GDPR，以下简称“GDPR”）中对管辖范围的确定就体现了一定的“长臂管辖”和“效果原则”的思维。笔者通过比较法的视角，结合相关案例，结合中国国情以期对《条例》管辖范围和标准的适用有更加明确的认知。

2.1“经营场所标准”

GDPR第3条设定了条例的管辖范围，其中第3（1）条确定了“经营场所标准” (establishment criterion)：“只要个人数据控制者或者处理者在欧盟境内设立了经营场所，无论在此场景下产生的数据处理行为是否发生在欧盟境内，该法均有管辖权。”GDPR中该标准的建立完全吸收了欧盟法院和第29条工作组对1995年欧盟《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》(以下简称《95指令》)有关“经营场所标准”的技术性解释，因此，要进一步明确“经营场所标准”的应有之义，有必要对前述技术性解释进行补充介绍和了解。

2.1.1谷歌数据隐私案（Google Spain SL, Google Inc. v AEPD and Mario Costeja González）确立“无法割裂联系”标准

本案中，原告认为其个人的二手房拍卖声明出现在谷歌搜索引擎的网页上，且可以随时被网络用户搜索发现，致使他的个人数据隐私权受到侵犯，因此请求法律保护。被告Google西班牙公司是Google美国总部在西班牙设立的商业代表，帮助Google推广和销售在线广告位置以获取商业利润，Google搜索引擎由Google美国总部运营和管理,Google西班牙公司不参与相关数据处理活动(将第三方网站上的信息或数据编入索引或对直接关联活动进行存储的数据处理活动)。

本案管辖方面的争议焦点为，争议个人数据处理行为发生在美国而非Google西班牙公司经营场所开展活动的场景中，欧盟能否基于《95指令》对谷歌公司行使管辖权。欧盟法院认为: 不应当仅对《95指令》进行限制性解释，而应当从该法的制定目的加以理解，欧盟立法机构希望通过设定一个较为宽泛的地域范围以防止《95指令》的立法目的无法实现，同时杜绝出现规避法律的行为。此外，Google 美国总部在欧盟设立经营场所是为了在欧盟成员国境内推广和销售使搜索引擎产生营利的广告位，搜索引擎业务是在经营场所开展活动(帮助Google推广和销售在线广告位置)的场景下进行的，二者存在着“无法割裂的联系”( Inextricable link)。由于搜索引擎服务和广告位出现在同一个页面内，故可以认定符合《95指令》有关“数据处理行为发生在数据控制者经营场所开展活动的场景中”的要求。

本案中，欧洲法院大法庭确定了“无法割裂联系”的判断标准，只要数据处理行为与欧盟域内经营场所开展的活动有无法割裂的联系，即使该数据处理行为不实际发生在欧盟域内，也应当被认为符合《95指令》的要求而纳入管辖范围。基于此案第29条工作组进一步认为: 只要“免费网络服务 + 广告”的商业模式促成了财务增长便可以认定为满足了“无法割裂的联系”的认定标准，此外，非欧盟企业以换取会员费、订阅数量或利用并开发用户数据营利为目的，甚至是以捐赠为目的，在欧盟境内提供免费网络服务，也可以认为存在“无法割裂的联系”。

2.1.2 Weltimmo案确立两步分析标准

欧盟法院通过Weltimmo案对“经营场所”的判断标准问题予以了明确，该案的佐审官Pedro Cruz Villalón认为应当采用“两步分析法”：第一步为判断数据控制者在欧盟成员国境内是否建立了某个“经营场所”；第二步为某项特殊的数据处理行为是否是在这一经营场所开展活动的场景中发生的。需要明确的是该经营场所并不局限于实际存在的经营场地，只要公司在欧盟域内有“稳定的安排”，例如雇佣非欧盟实体的代理人或者单一雇员也可能被认定为适格的“经营场所”。

2.2“目标指向标准”

GDPR的第3(2)条规定了“目标指向标准”：“本法适用于对欧盟境内的数据主体个人数据的处理行为，该行为由在欧盟境内没有设立经营场所的数据控制者或处理者实施; 发生在向欧盟境内的数据主体提供商品或服务的过程中，无论此项商品或服务是否需要数据主体支付对价; 或者对数据主体发生在欧盟内的行为进行监控。”该标准是GDPR区别于《95指令》创设的新标准，区别于《95指令》仍受限于“经营场所”，GDPR将管辖原则扩展为“影响主义原则”，即便数据控制者或处理者在欧盟境内没有设立实体机构，但其对数据主体的个人数据处理行为依然适用该法。

2.3 GDPR的“取”与“舍”-贯彻“人格尊严”保护

相比于商业数据和公共数据，个人数据构成了全球数据跨境流动管理的主要对象。有研究对全球47个主要国家和地区进行了调查，发现其中94％的国家和地区对个人数据的跨境流动进行了一定限制，89％的国家和地区拥有管理规则，并可依法对违背个人数据跨境流动规则的行为进行制裁。而个人数据的保护也恰恰是欧盟数据规制的重中之重。GDPR设立的管辖范围和标准也是主要基于保护个人数据之目的。

GDPR在《95指令》的基础上设置了强个人数据保护机制，该制度的建立与欧盟对人格尊严的独特理解分不开，在欧洲传统的立法和司法实践中，个人数据保护与人权保护密不可分，而人权保护的基础则是欧洲特有的“人格尊严”（human dignity）的理念。但是大数据时代数据的特征与传统个人信息又有明显的区别，数据产生本身就具有共享性，没有服务器就没有数据产生。这就打破了原来机械的公私边界。此外,大数据时代个人信息并非以个人占有为前提，其产生的过程本身具有公共性和共享性。基于传统强人权保护思维建立的GDPR在保护个人数据的同时势必以牺牲部分大数据时代的市场效率和利益为代价。

《欧盟〈一般数据保护条例>GDPR》，瑞栢律师事务所译，法律出版社2018年版。译文略有改动。

 俞胜杰：《<通用数据保护条例>第3条（地域范围评注）-以域外管辖为中心》，载《时代法学》2020年4月第18卷第2期。

杨开湘：《“被遗忘权”的司法确立-重探谷歌数据隐私案》，载《经济法论丛》2018年第1期。

 俞胜杰：《<通用数据保护条例>第3条（地域范围评注）-以域外管辖为中心》，载《时代法学》2020年4月第18卷第2期。

根据前述分析，GDPR的立法基础是欧洲传统对人格尊严的强保护，这一概念已经根植于欧盟国家及人民的行为处事中，是GDPR设置广管辖范围和严格标准的社会基础。而《条例》立法者之一李爱君教授及北京师范大学网络法治国际中心主任吴沈括对《条例》的管辖范围进行解释时，分别提到了“长臂管辖”和“效果原则”，似乎《条例》在对于管辖范围和标准采取了欧盟的思路，但要把握《条例》管辖范围的应有之义，使条例在适用的过程中能够切实地解决现实问题，还应综合考虑个人数据信息在深圳乃至我国的现实地位。

不同于欧洲，虽然我国没有基于个体主义的隐私文化的传统，我们对个人信息的理解，某种意义上依然具有社群主义的特征。但近年，我国积极颁布的法律无一不传递着大力加强个人信息保护的信号。《中华人民共和国民法典》第四编在对传统人格权保护的基础上，有针对性地对网络时代公民隐私权做出了新规定，尤其是加大了对个人信息保护的力度。《网络安全法》《数据安全法》《个人信息保护法》（草案）的颁布，无一不展示着国家加强个人信息保护的决心。

此外，2015年的最高人民法院公报案例“王某与张某、北京凌云互动信息技术有限公司、海南天涯在线网络科技有限公司侵犯名誉权纠纷系列案”更是在司法实践上对个人信息保护的力度迈出了实质性的一步。不同于社会传统中对披露有关个人隐私的负面信息的谴责往往让位于群体和社会中的道德评价，法院认为公民的个人感情生活包括婚外男女关系均属个人隐私。即便是基于控诉婚外男女关系的目的披露当事人个人信息的行为仍然侵害了相关当事人的隐私权。网络公司在其经营的网站上对该事件的专题网页报道未对当事人姓名等个人信息和照片进行技术处理，侵害了当事人的隐私权并导致当事人的名誉权遭受损害，应当承担包括精神损害赔偿在内的侵权责任。

在这样的背景下，《条例》作为地方立法有必要也应该与前述法律和司法实践的精神内核一脉相承。那么，《条例》在管辖范围和标准的应用上应当实行较强的个人信息保护。

但另一方面，数字经济在我国经济中重要性远远大于欧盟各国。数字经济正在深圳蓬勃发展，正在向各个领域渗透。2020年1至11月，深圳规模以上信息传输、软件和信息技术服务业营业收入近5500亿元，产业增加值占GDP比重突破10%，成为支柱产业之一。根据《深圳市数字经济产业创新发展实施方案（2021－2023年）》，深圳市政府要抢抓数字经济产业密集创新和高速增长的战略机遇，加快推动数字经济产业创新发展，着力打造国家数字经济创新发展试验区。如若一味参照《通用条例》对管辖范围和标准的解释，势必会影响深圳数字经济的蓬勃发展。因此，在积极响应国家释放的加大个人数据保护信号，加强整治侵犯个人数据信息的乱象的同时，我们不能照搬GDPR的管辖范围和标准，要结合经济发展的需求，最大限度地保证个人信息保护与数字经济发展的平衡。

《深圳经济特区数据条例》中没有明确规定适用的范围和管辖标准，虽然根据参与《条例》立法的专家学者解释，《条例》中管辖的应有之义更多地类似于《通用数据保护条例》中确定的管辖范围和标准。应当注意的是，《通用条例》设立的社会基础是欧盟社会对个人隐私和人格权的重视，这与深圳乃至我国的国情有所不同。但是无论是从上位法的颁布还是司法实践上，国家都释放出大力加强个人信息数据保护和整治侵犯个人信息数据行为乱象的信号。《条例》与国家相关立法一脉相承，其在确定管辖范围和标准的情况下可以借鉴GDPR的强数据保护，但同时考虑到，深圳乃至我国的数字经济发展十分迅速，经济体量非常巨大，对数据处理行为规制过强势必会影响深圳数字经济的发展与建设，因此在适用《条例》规制数据处理行为的时候，要立足于我国国情，不能照搬欧盟的标准，要处理好隐私保护与经济发展的平衡。让《条例》在保护个人数据的同时，为深圳数字经济的健康发展保驾护航！

 深圳数字经济产业“枝繁叶茂”，深圳数字经济产业“枝繁叶茂”经济参考网，新华社《经济参考报》官方网站 (jjckb.cn)，最后访问日期2021年7月12日。

《深圳市数字经济产业创新发展实施方案（2021-2023）》，深圳市人民政府办公厅关于印发《深圳市数字经济产业创新发展实施方案（2021－2023年）》的通知 (sz.gov.cn)，最后访问日期2021年7月12日日。