拓展管辖范围与强化监督机构权力

（一）适用与管辖范围的扩张

《数据保护指令》适用范围取决于属地因素，即要么机构的成立地在欧盟，要么利用了欧盟境内的设备进行了个人数据的处理活动，仅作为信息处理的传输通道的情况除外。当涉及非欧盟境内的公司通过互联网提供服务时，《通用数据保护条例》采用了明显不同于原数据保护指令的处理方法。当然，不论是《数据保护指令》还是《通用数据保护条例》，都可适用于在欧盟境内设有机构的信息控制者处理个人信息的行为，以及在欧盟境内尚未设立机构，但欧盟成员国的国内法通过国际公法与国家间的双边协议安排能够予以适用的地方。《通用数据保护条例》新增了对信息处理者的规制，信息处理者也须通过稳定且有效的安排，使得自身信息处理的行为符合条例的要求，而非仅受与信息控制者间订立合同的约束。这样的要求构建了信息处理者独立义务的基础。

《通用数据保护条例》第3条明确规定，条例适用于在欧盟境内设有机构的信息控制者或信息处理者处理个人信息的行为，且不论该信息处理的行为是否发生在欧盟境内。为了确保自然人所享有的信息权利不被剥夺，即便信息的控制者或处理者在欧盟境内没有设立机构，但如果其对居住在欧盟境内的人进行监测，或提供产品或服务，则不论接受服务的信息主体是否需要支付费用，条例都可予以适用。^[30]条例的适用范围从属地主义向属人主义扩展。

叙文第23条提供了判断信息控制者是否向信息主体提供商品或服务的指引：应当确认信息控制者或信息处理者是否有明显向居住在欧盟成员国境内的信息主体提供服务的意图。^[31]如果使用了某一成员国通用的语言或货币，具有使用这一语言订购商品或服务的可能性，或提到了成员国内的某一客户或用户，则这样的意图应当认定为是明显的。

对于监测信息主体信息处理的活动，叙文第24条对何种行为属于“监测信息主体”的活动进行了说明。条文指出为了判断一项信息处理的活动是否是对信息主体的监测，应确定自然人是否在网络上受到追踪，如果相关的企业、机构后续使用了个人信息处理技术，对自然人的行为进行剖析，分析与预测他们的喜好、行为、态度，并由此做出相关决策，则应确定企业实施了监测行为。

有学者曾指出，条例如果可以适用于监测信息主体的行为，将会导致条例的适用面太广，对于网络智能化所提供的基于为用户生活、工作、学习提供便利，且没有侵犯到用户隐私的互联网应用与服务，条例没有必要进行限制。施瓦茨指出，《数据保护指令》至少在设备仅用于过境传输目的时是豁免适用指令条款的。^[32]因此，他认为“监测”应作狭义解释，其仅适用于对个人隐私会带来潜在风险与影响的情形。

应注意的是，叙文第24条的规定对监测行为的框定采用了一个较广的认定，这当中会包含一些没有侵犯到公民个人隐私的行为。适用与管辖条款的不足之处在于，即使条例对适用范围进行的澄清受到了欢迎，但在对一些关键概念的解释上，仍然存在不确定性，比如对信息主体的监测与对提供商品或服务的信息处理活动的解释上。

（二）信息保护机构的联合行动

条例的一个总的目标是要强化信息保护的监管与执行。以《数据保护指令》第28条为基础，《通用数据保护条例》在确立独立的监管机构的权利与义务时，规定了与指令第28条相似的规则，并增加了一些新元素。(www.xing528.com)

《通用数据保护条例》文本中提到了主管监督机构。该机构的存在是为了确保联合行动的相关监管机构间在采取行动措施上的协调性，并使主管监督机构成为与信息控制者或处理者进行联系的单一联络者。主管监督机构由信息控制者或信息处理者主营机构所在地的监管当局担任。

《通用数据保护条例》叙文第124条和125条指出，当信息控制者或处理者在欧盟境内设有多个机构，或仅有一个机构，但进行的信息处理活动可能会对欧盟境内其他成员国的公民产生实质影响时，企业将不再需要与多个不同成员国的数据监管机构打交道，一个单一的监管机构应该有能力在欧盟境内监测信息控制者或信息处理者的信息处理活动，并有权做出相应的决定，以增加法律适用的一致性和确定性，同时也相应地减少信息控制者与信息处理者的行政负担。而企业主营机构所在地的监管当局将作为主导监管机构，担负监管职责与权力，提供一站式服务，其作出决定的效力辐射全欧境内。当然，为保证监管的协调统一性，对于向欧盟不同国家提供业务的企业或者在不同国家都有设立地的企业来说，《通用数据保护条例》精心设计了一套复杂的咨询机制。主导监管机构的监管决定要最大程度上反映其他成员国监管机构的意见。如果不能达成一致意见，则交由欧盟数据保护委员会来处理。^[33]

跨境信息处理活动会给监管当局的执法增加难度与障碍。最具革新性的是，针对合作与一致性问题，《通用数据保护条例》专门用了一章的内容——第7章，进行规定。

第50条确定了国际合作的基础，委员会和监管当局需要采取适当的措施来制定有效的国际合作机制。需要采取的步骤包括：发展国际合作机制，投诉转介、调查协助、分享信息、提供国际互助等，以确保条例在适用与执行上的一致性。调查的进行往往由监管当局主动发起或基于投诉或基于另一个监管机构的请求。而监管机构间的互助合作在第七章“合作及一致性”中被进一步论及。

联合行动的灵感源自理事会决定（2008/615/JHA37）中第17条的规定。^[34]《通用数据保护条例》第61条引入了联合行动的规定。一个数据保护机构在一个月的时间内有义务去响应另一个数据保护机构的请求，并在其管辖范围内采取强制或合规的措施。如果超过给定时间没有响应其他数据保护机构的请求，则其他数据保护机构将有机会自己采取临时性措施。明确的规则和义务有利于推动联合管理的发展，但允许其他数据保护机构自己采取措施，这也是对国家主权原则的挑战。^[35]

联合行动的概念得到了“一致性机制”的支持以确保数据处理操作在执行上的统一性。这可能会涉及处于不同成员国的多个信息主体。《通用数据保护条例》引入了“一致性机制”，同时在第63—67条对其进行了进一步阐释。该机制是一套关于特定措施如何实施的程序性机制。

有学者指出，条例中互助与合作这章至少存在两个问题：第一，“一致性机制”带来的监管当局的独立性、国家主权相互冲突的问题；第二，联合行动在实践操作中能否取得成功还需取决于监管当局是否能拿到充足的预算。^[36]与国家主权相互冲突之问题，在实践操作中能否被妥善解决，资金需求是否能得到充分保障，都有待时间的检验。

对欧盟数据保护立法改革的分析是在批判性审视欧委会草案与议会修订文本的基础上进行的。其中，特别关注了条例往财产权方向的演进，适用与管辖上的改进，对同意要求的强化，目的限制原则及一些新创设的权利、义务（如数据的可移植原则、问责制、信息控制者与信息处理者间的责任划分）及程序要求（如信息保护的影响性评定、默认数据保护的设计要求）等。