孙登科：个人数据保护法律适用规则构建的基本逻辑-法治前沿-中国法学创新网

内容摘要

个人数据既不同于现实空间的有体物，也不同于具有创造性无形的智力成果，它是一种新型的客体，与人的身份有关，但不属于身份权范畴。传统的“物之所在地法”规则和知识产权法律适用规则并不能有效地解决个人数据保护法律冲突。同时，个人数据权是一种复合型权利，不仅包括人格权和财产权，还包括遗忘权、更正权、访问权等多种权利，物理空间单一的侵权行为地规则在互联网领域内显得单薄。由于数据具有虚拟性、瞬间性及流动的无界性等特点，而且地理空间的分散，连结点增多，传统的法律适用规则在虚拟的网络中受到了很大的挑战。因此，为回应这一挑战，应从个人数据的本质属性和隶属的法律关系两个方面去探寻个人数保护法律适用的一般规则，并结合引起法律冲突的特殊问题，适当借鉴“数据来源国法”“最强保护国法”和“保护弱势方利益”等规则。

关键词：冲突法个人数据保护物之所在地法法律适用规则

在信息经济加速全球化的进程中，个人数据被大量使用和传播，为全球经济的发展和繁荣带来了巨大的红利。但与此同时，个人数据也存在被非法收集、非法处理和滥用情况，数据主体的合法权益受到了严峻的挑战。近年来，随着个人数据侵权引发的案件日益增多，世界各国都纷纷加强个人数据立法保护。截至目前，全球已经有120多个国家和地区颁布个人数据保护法，还有40多个国家和地区正在准备筹备。由于不同的历史传统和法律文化的差异，各国在个人数据保护的方式和水平上就略显不同，导致法律冲突现象严重。如何解决这些冲突现象是现在国际社会上面临的一个重要问题。一、个人数据保护法律适用规则对传统的挑战

“传统冲突法是一种建立在以领土为标准划分各国法律管辖范围基础上的法律体系，通过运用一种所谓的‘分配法’的方法，将发生争议的涉外民商事关系分配给某一国家的法律处理”，从而解决外国法律的域外效力与内国法律的域内效力，或内国法律的域外效力与外国法律的域内效力之间的冲突。地域因素或空间场所在法律选择和审判中起着基础性的控制作用，成为制约人类生存和活动的自然性的客观标志。然而，随着科技的发展和信息化时代的到来，互联网得到广泛的普及运用，网络把成千上万的网络用户联系在一起，整个世界形成一个巨大无边的网络疆域。在网络空间里，人们的生活方式和交往方式都发生了改变，移动支付、网络平台、电子商务等新型的事物逐渐出现，网民可以自由进入各个国家的网络空间，自由浏览和查找需求，进行网上交易和网上服务，所有的一切几乎都可以在网上瞬间完成，而不受传统地域的管辖限制。传统的地域模式很难再对这些过程和环节进行确定或场所化，冲突法中的地域要素和空间场所在网络领域中受到了极大挑战。

（一）“物之所在地法”规则在个人数据保护法律适用中的障碍

“物之所在地法”的产生最早可追溯到13、14世纪的意大利，由巴托鲁斯提出，他主张不动产应当适用不动产所在地的法律，但是动产应当适用当事人的属人法，即“动产随人”原则。然而，随着资本主义经济和国际民商事交往的进一步发展，动产所有者与动产分离的现象日趋正常化，即使是同一动产所有者，其动产也可能位于多个国家，动产所在地的国家也不愿意用属人法来处理本国的动产，于是巴托鲁斯的主张遭到很多学者反对和批判，很多国家开始抛弃“动产随人”原则，直接适用“物之所在地法”，即法律关系的标的物所在地的法律。其主要适用于物权领域，范围包括动产与不动产的识别问题，物权的客体范围、物权的内容范围、物权的取得、消灭和变更的方式和条件、以及物权的保护方法等，这一原则的确具有广泛的运用价值，但是对于一些特殊的物权则不能适用“物之所在地法”规则。例如，运输途中的货物、船舶、飞机、汽车和其他运输工具、与人身关系密切的动产、外国法人的财产清算以及外国的国家财产等。

“在民法上，物权是一个法律范畴，系指由法律确认的主体对物的直接管领并排除他人干涉的权利”。在物权法律关系中，物权的客体通常是物，是权利人在法律规定范围内直接支配的特定物，不仅具有客观实在性、特定性、唯一性等特征，而且其最主要的特征就是物的所有人对物进行占有、使用、收益和处分的权利，并排除他人的干涉。在国际私法中，“一些观点运用‘财产权’来表达国际私法中的物权内容，并认为财产权的内容大于物权”。“在更早期的一些国际私法著作中，也有直接论述‘国际私法中的所有权’的观点”。目前，学界对数据权讨论的观点在某种程度上与以上观点具有一致性。物就是财产，这是一种简单的客观事实或客观现象的总结。物可以说是财产权最基本的表现形式，因为它的确表现为一种财产权利，而且这种财产权具有特定性，对物享有支配的权利。虽然物权的种类和内容通常具有法定性，但是并不意味着在所有的历史阶段和所有的国家中二者总是保持一致的，但是对于物权的法律冲突，无论是动产物权的法律冲突抑或不动产的法律冲突，各国在法律适用上一般都主张用“物之所在地法”规则加以解决，“‘物之所在地法’是最普遍的适用法则，也是国际私法上经常用来解决有关涉外物权法律关系的法律冲突原则”。

与物相比，个人数据也具有物权的某些特征。通过对个人数据的识别能够让商家精准识别顾客的需求，及时地调整经营方式并合理的预测未来企业发展方向，个人数据的财产价值日益凸显，并能够让自身成为交易的对象，使得数据能够作为买卖的对象，成为数据法律关系的客体。个人数据不仅能够成为数据权利支配的客体，而且还具有物权的排他性质，这种排他性主要体现在个人数据所有权的性质上。例如，针对个人数据的所有权属性，巴西个人数据保护法、奥地利联邦个人数据保护法中都对专门对个人数据的所有权做出规定。尽管个人数据主体在行使这四种权利时经常处于静态或被动状态，但是并不能否定其基于所有权基础上的支配权，数据所有权主体对个人数据同样具有占有、使用、收益和处分的四种权利。事实上，各国的个人数据保护法对此也都给予承认，例如，各国个人数据保护都相应规定个人数据的收集、加工、处理和使用必须经过数据主体的同意，尤其是对于特殊的数据，往往还要求必须经过数据主体的明确书面形式同意后才可以进行加工和处理。正因为个人数据具有财产的属性和数据所有权的排他性，使得其与物有着重要的相似性。当个人数据能够成为交易的对象或者合同法律关系对象时，数据似乎具有了完整意义上的准物性。然而，就个人数据而言，个人数据的本质是信息，其并不是一项独立的实体物，在网络空间中虚拟的状态并且必须依靠一定的载体而存在，而且载体可以无限制地被复制、传播，任何人都可以在同一时间、不同的地方收到同一个个人数据。在此种情景下，数据的适用空间具有多变性，很难去判断何处是真正的物之所在地。因此，数据本体法律适用很难按照“物之所在法”规则去适用。一方面，因为“物之所在地”的法通常是有体物，这种物具有可控性和实体性，并且能够独立存在其处所通常是固定的，确定起来相对比较容易；另一方面，这种物具有唯一性，虽然其消灭或损坏后可以用同类或同种物所代替，但是其已经发生了改变。如果个人数据按照“物之所在地法”规则去适用，不但会出现实践上的操作性困境，而且在理论上也会面临很大的障碍。从物权法律适用的范围来看，与人身权密切关系的物通常被“物之所在地法”适用规则所排出，即使把个人数据作为无形财产的“准物权”来看待，“物之所在地法”仍然不能够适用，因为个人数据本质体现为个人信息，是与个人的身份紧密相连的，或者说人格权构成其重要的内容，如果适用的话，势必会造成理论上的困境。实际上，每一种学说的背后都有一种或几种理论作为支撑，尽管“主权说”“法律关系本座说”和“利益需要说”并不能完全为“物之所在地”规则提供完美证成，不能充分揭示物之所在地法的客观依据，但是其却揭示出一定历史时期认识的必要性，具有一定的合理性。“物之所在地法”这一适用规则是由物的本身属性和所属的法律关系性质决定，是最直接的原因，也是最根本的原因。与物权法律适用的理论基础相比，个人数据法律关系的适用理论相对不足，需要从进一步去探索个人数据的权属和法律关系才能找到适合自身的适用规则。

（二）知识产权适用规则在个人数据保护法律适用中的困境

知识产权又被称为“无形财产权”或“智慧财产权”，是指“个人或集体对其从事科学、技术、文学艺术等智力活动创造的智力成果依法所享有的权利。物权在通常意义上仅指就有体财产设定的权利，而无体财产特别是就智力成果设定的财产权，则成为‘准物权’”。知识产权作为一种特殊的财产权，与有形财产权不同，具有独占性、时间性和地域性等特点，其包括工业产权和著作权两大类，具体包括著作权、专利、商标等。“知识产权是一种新型的民事权利，是一种有别于有体财产所有权的无形财产权，权利客体的非物质性是知识产权区别于有体财产所有权的本质特征”。目前，学界还有部分学者对知识产权的认识仍然停留在传统的认识基础之上，在概念上界定为“无形财产权”或“智慧财产权”，在网络发达的今天，似乎知识产权与无形财产权并不能天然画等号，必定像比特币、游戏币等一大批为代表的虚拟财产也成为无形财产的重要构成部分，科技技术的进步为无形财产内容的认识起到推动作用。其实，知识产权和无形财产权只是一种种属关系而已，知识产权属于无形财产，而无形财产并不局限于知识产权，这一点无可否认。从个人数据的法律性质来看，个人数据不仅具有人身性质，还具有财产性，网络空间的虚拟性决定个人数据的无形性，个人数据虽然具有知识产权的无形财产性质，但是个人数据又不同于知识产权。目前，尽管知识产权界的部分学者对数据知识产权的研究表现出极大的兴趣和热情，但是个人数据仍然不具有知识产权的特征，因为知识产权有很强的地域性和创新性，创新性构成了知识产权的重要标志，而个人数据是一个人的生理特征、社会特征或者活动等信息的客观记载，并不具有创新的内容，不符合知识产权要求的创新性。另外，虽然个人数据经过第三方加工和处理后能够形成知识产权，但是其本身已经脱离了个人数据保护的范畴，这种加工处理是建立在海量数据的聚合基础之上，必须以数据主体的同意为前提，并经过脱敏而形成，构成知识产权的重要标志是其处理方式或编排方式，而非数据本身。从权利本身关系看，如若赋予个人数据以知识产权，就可能会导致个人数据权和知识产权之间的相互冲突，必然导致最终将在二者之间进行法律上的抉择。

目前，各国针对无形财产法律适用的立法相对不足，而对于知识产权的法律适用规则相对来说较多，因此，从知识产权作为无形财产的法律适用方法去探寻个人数据保护法律适用一般规则只能是一种方法的尝试，而不代表必然的确定性。在国际私法中，“知识产权的法律适用问题实质就是利用冲突规范援引准据法来调整涉外知识产权关系，也就是讨论用什么样的法律来保护一国界限的知识产权”。从知识产权法律适用的体系来看，知识产权的法律适用体系主要由知识产权的本体问题法律适用、合同关系法律适用、侵权关系法律适用和法律责任及时效等。而有关知识产权的主体资格、客体内容，权利范围、效力以及归属等知识产权本体问题一般适用权利授予国的法律，即赋予知识产权权利国家的法律。例如，专利和商标一般采取注册地原则，而著作权则适用最初发表地法。这种法律适用规则具有确定性和预见性，为知识产权的国际保护提供了最基本的遵循。“但是由于发达国家和发展中国家知识产权的保护力度不同，在国际知识产权中权利和义务如若按照权利授予国的标准去适用，势必会给发展中国家带来很大的压力，也没有做到实质的公平”。

在数据法律关系中，个人数据作为数据法律关系的客体并不能按照知识产权的“权利授予国”的法律标准，因为个人数据作为一种客体的存在，数据主体享有的权利并不需要经过特别程序进行确认，而是与数据主体人身权利与生俱来的基本权利，因此，数据知识产权的客体适用规则受到一定限制，这种依靠权利授予国的规则只能适用于极少数国家。例如，奥地利联邦个人数据保护法第2章第13条中规定对一些特殊数据的传输和委托必须经过许可，第46条第3款规定：“为科学研究或者统计目的，数据保护委员会可以对数据使用者颁发许可”，获得许可证书是使用数据的前提条件，否则为违法使用，在这种法律关系中，权利的授予国的适用规则将能够发挥一定的作用。针对无形财产的法律适用，国际上存在相关的法律规定，例如，1978年奥地利联邦国际私法法规第6章关于无形财产的规定，第34条规定：“无形财产（包括知识产权）的创立、内容和消灭，依使用行为或侵权行为发生地国家的法律”。这一规定主要从侵犯财产权的角度进行规定，实质上是从侵权法律关系角度对无形财产的法律进行规定，虽然个人数据的无形财产性质表现并不明显，但是却为我们从具体法律关系探寻无形财产的法律适用规则提供了借鉴作用。

（三）人格侵权法律适用规则在个人数据保护中的局限性

有关人格权的法律适用规则各国都有相应的规定，例如我国涉外民事关系法律适用法第46条就有关网络侵犯隐私权、名誉权、姓名权等人格权的法律适用进行明确规定，也经常作为提起诉讼和进行法律审理的依据。但是这一条适用规则是否能完全适用个人数据的保护？需要从源头对个人数据性质和权属进行探析。

由于不同的立法传统和使用，各国在个人数据保护的文本冠名上并不一致。欧洲的一些国家通常习惯在文本上使用“个人数据”命名，美国、加拿大、澳大利亚等国家以及APEC等组织冠名以“个人隐私”称谓，而中国、日本等亚洲国家则冠名以“个人信息”。其他国家或组织也也要使用“个人资料”命名。但无论是以信息、隐私、数据或个人资料等称谓命名，在网络语境下，其内容和含义有共同的本质属性，能直接识别或者间接识别个人的相关信息，涵盖个人的心理、生理、家庭和社会生活各个方面的事项，不仅与数据主体的人身权益有重要的联系，而且与数据主体的财产权益也有重要的联系，是数据主体的基本权利和自由的重要体现。一方面，个人数据保护的法益具有多样性，包含人格、隐私、财产等综合性的权益。个人数据保护的人格权主要体现在数据的内容与主体的人格权有密切的关系。一些数据通常记载个人的身体健康状况、私密生活、宗教信仰等情况，构成个人隐私的重要内容，一旦泄露可能会对个人的人格权构成侵害，也可能会损害当事人的名誉，因而，应当受到法律严格保护。个人数据的财产权主要体现在两个方面：一是指因个人数据涉及的隐私被泄露时对当事人的名誉、荣誉产生不良影响，导致个人的信用降低，从而造成财产上的损失；二是指个人数据本身具有价值。就单个主体的数据价值来说，其价值本身依赖于数据的内容，并从原始个人数据内容中获取价值，当然这种获得是直观的，并通过一定的形式表现出来。例如，通过手机扫码、关注获得相应的补偿，或者扫码获得优惠券、小额现金等。当然，这种价值体现可能微不足道，但是当存在海量个人数据时，这时的数据价值主要是通过算法对个人数据进行加工处理，并从加工后的数据总量中获取相应的价值。例如，通过对个人的消费数据进行加工，获取消费者的消费信息，从而有利于推广新产品或者开发新项目。由于加工后的数据要通过可读的方式进行识别才能实现数据的价值，因此需要投入大量的成本去识别和加工数据，从而进一步推动个人数据价值在数据交易中的稳步增长。另一方面，个人数据权利具有复合性，包括遗忘权、查阅权、知情同意权、修改更正权等，与传统的民事权利相比有自己的特征，是一种新型的权利，具有复杂性，人格权并不能涵盖个人数据权利所有的内容。因此，尽管个人数据与个人的人格有关联，在内容上具有人格权的利益，但是个人数据权利的内容和属性都不同人格权，人格权适用规则并不能完全适用于个人数据保护。

二、个人数据保护法律适用规则对传统挑战的回应

互联网的全球发展促进了数据资源在全球范围内自由流动和优化配置，为个人数据保护的法律适用提供了更为广阔的发展空间。如若传统的国际法律适用规则以开放式的态度对未来的个人数据保护法律关系进行全方位包容，那么在未来的立法和实践中必然走向僵化和教条。但若抛开传统的法律适用规则一意孤行，把现实空间和虚拟空间割裂对立，最终也必将走向失败。事实上，在传统的国际法律适用规则基础之上，并以此为改良或许是当前面对挑战的可行方法，因为传统的法律适用规则经历数百年的发展不但能够经得起理论检验，更能经得起实践检验，具有很强的操作性，能够为个人数据保护法律适用提供一般规则指引，在此基础上进行适度的改良，必将进一步促进法律适用体系的完善。

一般来说，在冲突法上，“对于法律关系及争议客体性质识别，尽管在理论上有各种学说，但在司法实践领域各国普遍接受的规则是适用法院地法”。“法院地法一般用来解决涉外民商事诉讼程序方面的法律适用问题，对于其他问题如识别冲突的解决，也多以法院地为依据”。法院地原则在适用法律时容易查明法律，具有一定的合理性，但是在实践中容易导致当事人为规避法律而挑法院的现象，尤其是在数据法律关系中，如若侵权人实施的侵权行为在法院地不被认为是侵权，或者侵权人泄露的数据在法院地不被认为是敏感数据的情况下，可能会做出对当事人不利的判决。例如，A国同性恋男子John把自己和中国的男朋友李某在A国同志酒吧中拍照上传到网上的照片发到网上并配有文字说明，后李某被其朋友认出并把相关信息传给家人，最后李某老婆提出离婚，其父母也因生气住院，其家庭生活受到了严重的影响。后来，李某在A国提起诉讼，认为John侵犯其个人隐私，要求承担责任。法院则认为，根据A国的法律规定，与个人性取向的信息是否属于敏感数据在法律上并没有明确做出规定，而且A国是一个同性恋合法化的国家，关于同性恋个人的信息通常都被认为是一般信息，而且John发布的个人照片是在公共空间中拍摄，其文字只是客观性事实描述，并且当事人也无法认识到自己的行为是侵权，因此，A国法院不认为存在侵权。在该案件中，侵权行为地和法院地都在A国，在适用法律上不存在问题，但是由于对数据客体的法律认识不一致，导致结果可能就会不同，如果在结果损害发生地的中国进行起诉，可能会被认为是属于侵权行为。

卡弗斯认为，“在冲突法领域内，法律的最高目标不可能同时获得一致性和确定，否则其本身可能就不存在”。他认为，法院在解决从法律冲突时通常有四种方法，其中“第一种方法是确定案件的法律关系类型，依据法律关系选择连结点。第二种是确认引起法律冲突的特殊问题，并对引起冲突的每一个问题适用正确的连结点，然后选择适用法律”。笔者认为，这两种方法在为个人数据客体法律适用方面提供了很好的借鉴。在探寻个人数据作为客体的适用规则实质就是在从数据的本质特征或者个人数据法律关系中对连结点做出选择。在传统的法律选择方法中，依法律的性质、法律关系的性质、密切联系原则、利益分析等方法为我们提供了选择的思路，但是数据作为一种新型的客体，其法律适应规则的选择必须从两个方面进行考虑：一是个人数据的本质属性；二是个人数据所属的法律关系，从这个两个方面入手，是找到适合个人数据保护法律适用规则的理想途径。

1.从个人数据的本质属性探讨从个人数据的本质特征来看，其实质是个人信息，是主体的各种属性的计算机语体形式的记载。从数据与主体的关系来看，个人数据的本质属性中实质是包含一种根源性的法律关系，这种法律关系来源于一种天赋人权理论的支撑。个人数据主体权利的实现需要与社会发生一种动态的关系，但是并不能否定个人对数据的一种静态支配状态，这种支配具有民法上所有权属性，其本身就是一种法律关系，只不过这种法律关系是隐性的，不像其他法律关系表现那么明显而已。尽管有学者提出个人数据不一定属于个人所有，但是其表达的仅仅是一种状态下的表现形式，即使属于他人所有，这种所有权的获得也是基于源个人数据权人的所有权基础之上。因此，无论是从宪法、民法法律规定的正当性抑或从自然正义理论支配性的理性视角，个人对其数据的支配权具有合法性和合理性。个人数据与数据主体的人身权具有密不可分的关系无论各国的个人数据保护法在名称上或保护的内容上差异有多大，个人数据的界定与数据主体的人身权始终都分不开，个人数据的保护更突出对个人数据主体人身权的保护。在实践中，关于人身权的法律适用，只有少数国家或地区规定了总括性人格权或人身权的法律适用，一般适用属人法。大陆法系国家多概括性规定，人的身份和能力适用其本国法；而普通法系国家和一些南美洲国家则规定人的身份和能力适用其住所地法。这也就是说，世界各国原则上均主张人身权适用属人法。属人法是以法律关系当事人的国籍、住所或惯常居所作为连接点的系属公式，一般是用来解决人的身份、能力、亲属、继承关系等方面的为其属人法。“但在理论上很少在国际私法著作中系统探讨人身权问题，特别是人身权的法律适用问题”，但也有一些国家对人身权的法律适用规则作出特别或例外的规定，例如1966年葡萄牙民法典第27条就人格权规定：“有关人格权之存在、保护即对其行使时所施加之限制，适用属人法，但是外国人或无国籍人不享有不为葡萄牙法所认可之法律保”。1979年匈牙利的国际私法令第10条规定：“个人身份和人格权依人的属人法决定，但因人格权受到侵犯所发生的请求权适用损害发生当地和当时的法律；而且，如果匈牙利的法律规定对受害人的赔偿更为有利，则依匈牙利法”。1978年奥地利联邦国际私法法规第12条规定：“人的姓名的使用，依适用于他的属人法决定，而不问其获得姓名的根据如何，但对姓名的保护，依侵权行为发生地法”。我国涉外民事关系法律适用法第15条规定：“人格权的内容法律适用权利人经常居所地法”。由此可见，由于个人数据与数据主体之间的存在重要的人身附属关系，属人法适用规则自然就应当能够成为个人数据跨境保护客体法律适用的一项重要规则。2.从个人数据所属的法律关系探讨诚然，对客体的适用规则的探讨都不能脱离具体的法律关系，如果说个人数据的本质属性是个人数据保护的内部法律关系，那么个人数据的合同法律关系与侵权法律关系则为个人数据保护的外部法律关系。在个人数据合同法律关系中，个人数据之所以能够作为合同法律关系调整的对象，主要是因为个人数据具有财产属性。个人数据的财产属性具有唯一性，也是个人数据的价值体现，个人数据内容的冲突并不影响个人数据的财产属性，因此，从个人数据的财产性来看，个人数据作为合同法律关系的客体本身并不存在冲突，其法律冲突主要体现在个人数据侵权法律关系中，其客体内容的冲突直接影响到个人数据法律关系主体权利义务的履行，共同包含于个人数据侵权法律关系中，但是就每一个具体法律关系来说，其客体的内容与权利义务的内容和范围总是相互统一，权利义务的履行决定着客体的保护程度，而权利义务的履行通常是客体内容支配的前提，客体的适用规则与权利义务的适用规则都应当在具体的法律关系中体现，因此，个人数据侵权法律关系的适用规则与个人数据客体的法律适用规则具有一致性。

三、个人数据保护法律适用规则的构建

个人数据保护法律适用规则的构建不能脱离传统的框架和原则。传统的国际私法的基本理论经过几百年的沉淀是被实践证明的科学的理论，尤其是国际私法中的法律选择方法、连结点的确立、准据法的确定等理论仍然为我们提供指引作用，制定个人数据保护法律适用规则仍然不能脱离传统理论的支撑。同时，由于传统法律适用规则在互联网领域的适用又有一定的局限性和滞后性，不能适用冲突法的发展趋势，因此，在构建中不仅要对传统的法律适用规则及时进行调整，而且对于个人数据保护中的一些新的适用规则更要大胆运用，力争制定出科学、规范的法律适用法。

（一）传统法律适用规则的借鉴

1.属人法——个人数据保护法律适用的首要规则

在前文已经论述，“属人法是以当事人的国籍、住所或惯常居所作为连结点的系属公式，一般用于解决人的身份、能力、亲属、继承关系等方面的民事法律冲突”。由于自然人的身份和能力是与人的自然属性有着密切联系，同时该能力和属性受到其生存的社会经济、政治、宗教、道德、信仰等方面条件影响，因此，各国在法律上对涉及人身权内容的适用规则都采用属人法规则。在我国相关的涉外法律适用法中，有关属人法的规定主要体现在涉外民事关系法律适用法的第2章中，专门针对民事主体的民事权利能力和行为能力，以及人格权的法律适用作出具体规定，主要体现在11条、12条和15条中。由于我国在民事法中还没有把隐私权、数据权作为一项独立的民事权利进行规定，所以在适用上还采用人格权的方法。因此，为了适用未来个人数据法律关系的适用，需要作进一步调整。众所周知，属人法规则的适用与民事主体的人身有着重要的关系，它对民事主体权利的行使起到关键性作用。从各国个人数据保护法规定的内容来看，个人数据的本质是与个人自然属性和社会属性的已知或未知的信息，是个人的人格和身份的在互联网空间内的数字化的表达形式，虽然其自身表现为0和1的虚拟数字形式，但是却指向生活中的现实个体，主要涉及数据主体的隐私、名誉、姓名、人格等内容，与个体的人身权具有密切的联系。因此，无论从形式还是从逻辑结构上看，适用法律关系当事人的国籍、住所地或惯常居所地的法都具有合理性。属人法之所以能够成为人身关系的法律首要选择，因为“属人法在时间上对自然人具有持久的决定性，这种决定性与法律的目的相关，这些目的包括对个人和第三人利益或社会利益或各国的政治利益的保护”。在空间上与自然人具有密切关联性，这种关联性是一种法律上的必然联系，而非偶然联系。在内容上与自然人的权利能力和行为能力也有着直接关系，个人数据法律关系的本质特征恰好与属人法的特征具有相同的属性。适用属人法规则并不意味着国籍、住所和惯常居所地法在适用上的平等性。通常，在选择适用上存在一定的差序格局，这种格局一方面受到国际私法理论整体发展的制约，更重要的是在经济全球化的发展趋势下，国籍法原则的局限性已经日益凸显。“当代属人法的发展出现两大发展趋势：一是本国法原则已经大为弱化，住所地法原则得到加强；二是传统的属人法领域受罪密切联系原则的影响越来越广泛”。诚然，在我国的民法通则、涉外民事关系法律适用法和相关的司法解释中，这一规则也得到了相应的体现。目前个人数据保护的法律法规还不够完善，但是从各国的个人数据保护的立法和实践的案例来看，个人数据的法律适用存在本体法律适用、个人数据合同法律适用和个人数据侵权法律适用。在某种意义上，个人数据合同关系并不是个人数据保护的主要法律关系，数据合同关系主要存在与非个人数据中，而侵权关系是个人数据保护的重要法律关系。在数据本体关系中，对数据法律关系的客体、主体的法律适用应遵循属人原则，在侵权关系中，而在互联网空间中，无论侵权行为发生地还是结果发生地都比较难以确定，因此，侵权行为地并在互联网的模式下呈现出僵化的趋势，需要密切联系原则基于补充，以达到适用的公平性，另外，这两个连结点往往与主体的住所地和惯常居所地会相一致。因此，属人原则作为个人数据法律适用的首要原则，但不排除密切联系等规则的适用。

2.密切联系——个人数据保护法律适用的保障

“密切联系”的适用规则在我国涉外法律适用的立法中也得到相应的回应。我国的海商法、民法通则和涉外民事关系法律适用法等相关规定中都作出进一步规定。例如，海商法第269条、涉外民事关系法律适用法第2条、第6条、第19条和第41条，中华人民共和国民法通则的第145条和148条也做出相关规定。另外，我国涉外经济合同法第5条都对此作出具体规定。可见，“密切联系”的适用规则已经在我国的法律适用规则中占有重要的位置。目前，我国“密切联系”的适用规则主要用于合同、国籍、抚养及住所等几个方面，适用的范围相对来说比较窄。在传统疆域管辖为主的法律适用规则中，因为联系点相对较少，密切联系规则的适用具有一定优势。但是在互联网模式下，密切联系的范围可能被无限扩大，重心的位置不容易确定，如何适用密切联系规则是一个值得深入探讨的问题。结合我国现阶段“密切联系”的适用现状，笔者认为，在未来的个人数据保护法律适用规则，密切联系适用规则应当起到保障性的作用对个人数据法律关系中的实质正义的实现起到关键作用，应当从以下几个方面作出努力：首先，扩大密切联系适用规则的适用范围，确定密切联系在个人数据保护法律适用中地位。除了传统的合同、抚养、不当得利等领域内外，应扩大在互联网领域内的适用。尤其是针对人格、隐私、个人数据等侵权领域，让“密切联系”这一适用规则成为个人数据主体的权利救济的最后保障；其次，规范“密切联系”规则的适用标准。在考虑传统的具体内容、立法目的、政策等内容的同时，还要考虑先关的案情及案件所涉及的具体问题，包括结果的预测、当事人的期望、当事人与法院的经济成本，以及国家利益和第三人的是相关利益等因素；最后，确定“密切联系”法律适用的排除规则。尽管密切联系适用规则具有灵活性和适用性等优势，但是其仍存在一些弊端。在个人数据实体法律保护还没有形成国际共识之前，可以规定一些限制性的条款，以避免选择的重叠性和不确定。

3.意思自治——个人数据保护的有限法律适用规则

意思自治最早是由法国学者杜摩兰提出，主要确立于合同领域内，并发展为合同法律适用的首要规则。后逐渐扩展到侵权、婚姻家庭等领域。目前，有很多学者认为，在一些案件中，“应当赋予受害人适当的选择权以选择对自己有利的法律，让受害人来代替法官决定何国法律对受害人有利，更能体现一种正义的立场，达到公平的结果”，世界上许多国家在立法和私法判例中对这一适用原则都得到相应的体现。意思自治也被我国的立法给予确认。最早我国的我国涉外经济合同法第5条规定合同当事人可以自由选择是由合同的有关法律。1986年的民法通则第145条和海商法的第269条同样贯彻这一精神。我国涉外民事关系法律适用法第3条明确规定当事人可以通过明示的方式选择涉外关系适用的法律。在债权关系中，第41条规定合同领域内的意思自治，44条则是对侵权责任的法律适用做出选择，47条针对不当得利、无因管理等债权行为的法律适用也进行了相关的规定。但同时，相关的司法解释对意思自治这一适用规则又做出必要的限制。最高人民法院关于适用涉外民事关系法律适用法若干问题的解释（一）中第6条规定对相关的自由选择做出必要的限制，其目的主要有两个方面：一是区别我国相关法律的规避；二是限制违反强制法规定的自由选择，同时对相关选择的效力也进行了解释。

在互联网领域内，意思自治的适用规则将会为法律的选择提供更广阔的适用空间，克服传统法律适用规则带来的弊端，有利于避免因个人数据法律关系中连结点过多引起的复杂性问题，不仅体现了对私权主体的尊重，也有利于及时高效地化解矛盾纠纷，但是意思自治应当受到必要的限制。因为在个人数据法律关系中，数据控制者、管理者或者提供数据服务者在收集或者处理个人数据时，往往采用事先拟制好的格式条款，数据个人的意思并不能得到充分的表达，有时违背当事人的意思。当然，这种情况并不否认法律适用时当事人的选择权，即使在一些格式条款中规定了管辖权，这种单方面规定效力值得商榷，如若按照格式条款中的管辖权适用，则会剥夺数据主体的诉讼权利，数据主体可能面临着二次伤害，将对数据主体极大的不公，这是法律所不能允许的。但是鉴于实际情况，笔者认为，规定的意思自治应当是有限的意思自治，是在与个人数据法律关系有联系的连结点范围内选择，而不是任意选择，更不能违反强行法的相关规定。否则，意思自治将违背其立法精神，走向其对立面。

4.结果选择——个人数据保护法律适用的补充规则

在法律关系中，程序正义和结果正义共同构成了法律正义的内容，如果说程序正义是结果正义的保障，那么结果正义则是程序价值的体现。当然，这里并不否认两者作为自身存在物所具有的价值。从法律适用的结果去探寻法律适用的过程既是一种方法，也是一种逻辑，其目的都是为法律适用提供一种新的规则或者方法。事实上，“不论是法律制度还是法学理论，都应该按照人们所能够认识的时代的需要来塑造”。在个人数据法律关系中，如何对受害人提供最有效的救济或者弥补受害人受到损害是法律适用规则的选择最重要的切入点。如何通过灵活、开放的法律冲突规范在多个不确定的连结点中精准找到准据法以避免对受害人的不公正审判是国际私法使命所在。笔者认为，结果是诉讼产生的终点，其也应当成为探求法律适用规则的起点。在已有的冲突法中，人们能够通过冲突规范的指引而精确地找到准据法，但在尚未制定出冲突规范的领域内，只有通过法律关系中最有可能影响结果的连结点中去找出适用的一般规则，而这种连结点需要从结果中去寻找。说到底，个人数据法律关系本身就是互联网法律关系，网络必定具有虚拟性，产生于现实而又不同于现实，“网络中的各种关系虽然在一定的网址上产生，但是网址这种泛泛的、虚拟的联系不能作为有效的连结点适用”。因此，在虚拟的网络空间中从众多的侵权人、行为地或结果地去找出精准的冲突规范作为准据法实属不易，这就需要抛开多余的干扰因素连结点，选择最有利的准据法。从我国当前涉外法律适用法的适用规则来看，我国的立法也吸收了相关的精神，但是其适用范围相对来说比较狭窄，仅局限于婚姻家庭范围内，具体体现在涉外民事关系法律适用法第25条、第29条和30条规定之中，这三条规范的选择标准是从对弱势方最有利的结果去考虑，值得去借鉴。笔者认为，所谓弱者的地位判断标准由很多，通常与自身的经济地位、政治地位、社会的认知、在法律关系中所处的地位等多种因素有关。从目前个人数据保护法律关系来看，数据主体在数据的收集、加工、处理、使用和传播的整个过程的地位一致出于弱势者的地位，数据主体往往很难判断个人数据究竟被何人收集、利用，即使其知道被侵权后，证据也很难收集，在诉讼中往往处于被动状态。因此，我国未来的法律适用规则应当适当的借鉴结果选择这一适用规则，选择最有利于个人数据主体的结果法律进行适用，以达到维护法律适用的正义目的。

（二）个人数据保护法律适用的特殊规则选择

在互联网领域内，针对个人数据保护的法律适用，可以突破传统的法律适用规则，以新的连结点作为法律适用规则的探寻，结合我国法律适用的立法实际情况，个人数据保护法的适用新规则可以从以下几个方面考虑：

1.数据来源国法可以作为立法的一种选择

通常来说，数据来源国通常与数据主体有着较为密切的关系，可能数据主体的住所所在地国、行为所在地国或者与数据主体有着其他相关联系的国家，例如，其亲属、朋友或同事所在地。数据来源国与数据主体有着直接或者间接的联系，是数据主体个人数据传播的源泉地，适用来源国主要基于两点正当性理由：一是数据来源地往往是侵权行为发生地，在此种情况下，适用侵权行为地法与适用来源国法具有一致性；二是数据来源国是数据主体信息的产生地，该地与数据主体有着密切的联系，数据本身的内容所包含的价值判断与数据来源地有着较为密切的联系，当事人在传输数据时，通常是根据数据来源国的法律做出判断，其在行为时，应当可以推定其同意接受数据来源国的法律约束，并接受制裁。因此，适用来源国的法律具有一定的合理性。当然，数据来源国法适用规则当然不是数据保护法律适用首要选择，由于其自身具有的局限性，在适用时应当在通过其他连结点因素不能找到准据法时，这一规则可以作为有效的补充。未来的个人数据保护的法律适用可以借鉴这一规则，把它当作立法的一种选择。适用这一原则时，如若违法强制法规定或者违反公序良俗，则可以拒绝适用这一原则。选择适用数据来源国有两种设计：一是可以通过机构赋予第三方使用数据的权利，第三方通过申请许可的方式使用数据，那么权利的授权国则为数据的来源国；二是如若使用数据没有经过授权，那么数据的来源国应当以数据的初次传播或使用地为数据的来源国。当然，这种设计需要国内法在实体上进行保障，尽管操作起来比较困难，但是却是一种比较合理的模式。

2.可以借鉴最强保护国法规则

最强保护国法规则是一个综合的概念，这里的最强不仅包括对数据主体个人权利的保护，而且包括适用这种法律的经济效益和社会效益，并非是仅仅对数据主体的个人权利保护越好越是最强的，要突出适用这种法律的投入与产出，个案正义的实现与社会的正义的实现问题，从实施的过程、效果等多种因素去判断。如果适用某国法律的结果仅仅只是对数据主体的利益较好，但是这个过程中有可能会造成更多资源的浪费，或造成了更大的不公，甚至违背了国家的公共秩序和善良风俗。因此，在此种情况下，适用的规则可能就脱离了最强保护国法规则的本质要求。数据最强国的保护是一个需要综合判断和价值平衡的过程，我国的法律可以做出相应的规定，但是如何去适用？笔者认为，由于这是一个综合的价值和法律适用程序及结果的判断过程，绝不仅仅是受害人自身利益衡量的过程，因此，适用该规则时应当以法官依照职权去查明法律，在进行相应的判断后进而选择适用。适用该规则有利于从整体上兼顾法治进程中的个体利益和整体利益之间的关系，达到个案效果与社会效果的统一，从而促进国际私法向着公正民主的方向发展。

3.可以适用最有利于保护弱势方利益规则

由于个人数据的特殊性的原因，数据主体通常是个人数据保护法律关系中较为弱势的一方。诚如第四章中所述，数据主体在个人数据法律关系中往往处于被动状态，数据主体一般很难对有关自身的数据进行控制，更不知道有关自身的数据被何人所收集、处理和传播，往往只能在被侵权后才能知道数据存在网络的何处，面对互联网上铺天盖地的数据，究竟谁是侵权主体，更不知道如何去收集数据的证据，其权利从被收集时的知情同意权至被侵害时的寻求救济权都处于一个弱势的状态。因此，选择适用最有利于数据主体这一弱势方的法律具有一定的合理性和正当性。这里需要指出的是，最有利于弱势方利益的规则与最强保护国原则并不是相矛盾的，二者之存在利益上层次的问题，最强保护国规则包含着对弱势方利益的考量，最有利于弱势方利益的规则也包含对国家和社会利益及整个法律适用效果的尊重，也就是说，最强保护国规则是涵盖弱势方利益在内的整体上的最强，具有整体性和全局性，而最有利于弱势方利益的原则则是整体利益衡量下的个人利益最大化的保护，两个规则适用的直接目的不同，但是从根本上看，二者具有利益的一致性。从适用的方式上来看，一方面，法院可以依照职权查明法律，主动适用这一规则以确保弱势方利益的实现，体现司法的人文关怀；另一方面，弱势一方当事人也可以主动查明申请适用对自己有利的法律，法院应尊重当事人的自由选择权，这体现对个人尊重和满足的私法理念。无论是法院依职权主动适用还是当事人主动申请适用，都应充分体现弱势方的意志性，把当事人的意思表示放在首要位置去衡量，当事人这种选择权包含两个方面：当事人可以选择最优的法律，也可以放弃选择对自己有利的法律。在我国的法律适用法中也存在对弱者利益保护的法律规定，但是其仅局限于婚姻家庭领域内，而不适用于其他领域。因此，个人数据保护的法律适用规则中可以采用有利于弱势方利益的规则，以加强对数据主体权利的保障。

结语

在个人数据保护法律适用中，由于连结点的增多，传统的属人法、行为地法、法院地法等规则在适用中受到了极大的挑战，在没有统一实体法的情况下，可以通过增加连结点的数量或者设定复数连结点来软化冲突规范，增强冲突规范适用的灵活性以确保案件的实质正义的实现。一方面，在尊重传统的基础上，对居所地、行为地、法院地等连结点进行选择性的适用；另一方面，根据个人数据发展的特点适当的借鉴数据来源地、服务器终端所在地、最强保护地等连结地等法律适用规则，争取建立一个适当、协调、多边路径的个人数据保护法律适用规则。

（孙登科江苏海洋大学文法学院校聘副教授，东南大学法学院博士后。）