2022年7月，滴滴全球股份有限公司(在开曼群岛注册成立，于美国纽约证券交易所上市)被罚80.26亿元。这不仅是中国《个人信息保护法》颁布以来首次开出高额罚单，也是该法首次对境外主体发挥效用，追究境外实际控制主体在中国境内业务所负的法律责任。

中国《个人信息保护法》第三条规定，“以向境内自然人提供产品或者服务为目的”或者“分析、评估境内自然人的行为”，均适用该法。虽然上述域外适用规定在较大程度上借鉴了欧盟《通用数据保护条例》(General Data Protection Regulation，简称GDPR)，但尚未能如GDPR产生全球性的域外适用效力。

首先，中国与欧盟对个人数据的法律定位有较大差异。欧盟将个人数据权利公法化，视为“基本权利”，从公法角度施以强有力的行政监管。中国对个人信息的保护主要依赖私法体系，公权力对个人信息的保护介入程度有限。《民法典》第111条、第999条等条款确立了“个人信息”的法律定位，纳入人格权编，将个人信息作为一种“人格权权益”加以保护。

其次，虽然《个人信息保护法》第66条补充了新的行政责任形式，明确了高管等责任人员的行政责任，引入了“限制从业”，并将处罚标准提升至上一年度营业额的5%，但不同于欧盟，中国未设立专门的数据监管机构。现行监管体系中，国家互联网信息办公室的职责主要是落实互联网信息传播方针政策、互联网信息内容管理、查处违法网站等，通常情况下，仍由市场监督管理、证券监督管理等部门按照各自监管原则，分头监管各领域的数据保护问题，监管模式较分散。

再者，GDPR通过“充分性保护白名单”、数据保护委员会等机制，向其他国家输出其监管框架工具，扩大了GDPR保护标准在全球市场的影响力。中国相关配套合作机制相对匮乏。

为进一步扩大《个人信息保护法》域外适用效力，有必要从两个方面继续完善配套机制。一是建立统一的个人信息监管部门，搭建常态化的行政监管机制，加快数据安全认证等各项数据治理实施细则的落地实施，提供可预期的规则指引;二是借助《区域全面经济伙伴关系协定》(RCEP)以及申请加入《数字经济贸易伙伴协定》(DEPA)的契机，推动“充分性保护白名单”、跨境数据调取等国际合作机制的建设，搭建数字经济合作伙伴关系。在推进区域数字经济贸易的同时，扫除中国参与国际数据治理时域外司法及执法中的障碍。(黄楚芳 应品广)

关键词： 个人信息保护法 滴滴被罚80 个人数据权利 数字经济贸易