近年来，现代技术得到飞速发展，互联网的无界性、数据传输的跨境性、数据处理的全球性客观上决定了各国对数据的保护超越其国境。对于数据保护法的域外适用，欧盟通过《通用数据保护条例》(GDPR)和《关于GDPR地域范围的第3/2018号指南》,扩展并更新了原《欧盟数据保护指令》基于属地管辖的原则，综合采用了“设立机构”标准、“目标指向”标准以及“因国际公法而导致的适用”,明确了欧盟数据保护法域外效力的界限。在立法层面，由于对数据处理行为发生地的认定存在技术上的困难，我国可以考虑将“设立机构”标准和效果原则相结合，以此确定《个人信息保护法》的域外效力。另外，可以通过与国外数据保护机构的执法合作来确保国内法域外适用的实施效果。

• 单位
  西南政法大学