我國跨境數據流動域外管轄的困境與對策

摘要：域外管轄權在跨境數據流動中發揮著保障數據主權與規范數據流動的重要功能。然而，檢視我國跨境數據流動域外管轄權實踐，發現其面臨著域外執法管轄權濫用威脅、域外司法管轄權地位邊緣化和跨境數據企業合規風險重重的困境。其癥結主要在于我國相關法律法規的缺漏、“域”的理解分歧以及管轄權理念的國別差異。對此，可通過比較法經驗的本土化予以因應。先抽象出以“合理性”“國際禮讓原則”“多邊主義”為內核的數據域外管轄權基本范式和基調轉向。再結合我國數據法體系，從促進管轄權理念由“保守型”轉向“進取型”，推動國內數據保護立法具化與擴張適用，加強國家間域外管轄權機制的協調與合作三個維度完善我國數據域外管轄權。

關鍵詞：跨境數據流動；域外管轄權；數據主權；“進取型”管轄權

中圖分類號：D997文獻標識碼：A文章編號：1674-3652（2023）03-0056-10

DOI：10.19933/j.cnki.ISSN1674-3652.2023.03.007

基金項目：貴州省哲學社會科學規劃一般課題“跨境數據流通例外條款研究”（21GZYB27）；貴州大學法學院博士研究生科研創新項目“數據主權視閾下長臂執法管轄權研究”（FXCX004）。

進入后互聯網時代，數據安全侵害事件頻發，例如Schrems案和SchremsⅡ案等①。數據大國長臂管轄權②的肆意行使，不僅會侵害數據主體的合法權益，而且會引發兩國管轄權的沖突。數據域外管轄權③的爭奪也成為大國間博弈的重要戰場。面對上述問題，已有研究主要涉及歐美跨境數據流動法律規范和政策規則、跨境數據流動域外管轄權理論和實踐的介紹以及跨境數據流動管轄權擴張背景下我國的應對策略。這些研究在一定程度上為跨境數據流動管轄權正當行使提供了指引，但研究視角較為籠統，研究結論尚不能有效解決跨境數據流動所引起的現實問題。鑒于此，筆者在既有研究基礎上，通過比較研究方法、法解釋學研究方法，從跨境數據流動背景下域外管轄權的現實困難與癥結、域外管轄權調適的應然機理以及我國域外管轄權完善路徑等維度展開論述。通過研究，期待能對我國跨境數據流動域外管轄權之完善有所助益，為保障我國數據安全和數據主體權益提供理論和制度上的支撐。

一、我國跨境數據流動域外管轄權之困境

對跨境數據流動域外管轄權的檢視離不開對管轄權的劃分。參考美國對域外管轄權的分類，我國學界主流觀點將域外管轄權劃分為域外立法管轄權、域外司法管轄權和域外執法管轄權[ 1 ]。對跨境數據流動域外管轄權的檢視有必要從立法、司法和執法實踐、國內層面和國際層面等多個維度展開。筆者發現，我國跨境數據流動域外管轄權主要存在以下三個方面的尖銳問題。

（一）外國域外執法管轄權濫用的威脅

近年來，伴隨著中美之間的對峙，我國數據企業及其數據利益受到美國域外執法管轄權的嚴重干涉和侵害。域外執法管轄權作為域外管轄權的組成部分，其主流的界定是國家有權通過法庭或執行行為、行政行為、警察或其他非司法行為誘導或強迫守法，針對的是其一國領土內，或領土之外但具有本國國籍的對象[ 2 ]。域外執法管轄權在跨境數據流動背景下獲得了美國、歐盟等發達經濟體的廣泛承認和運用，故不可否認執法管轄權具備相較于司法管轄權的優點。從TikTok案來看，其在美國被封殺的法律依據是《澄清境外數據的合法使用法》（以下簡稱“CLOUD法案”）。該法案授權美國執法部門通過服務提供者獲取境外數據或在無須滿足互惠標準的前提下繞開他國政府獲取數據的權力[ 3 ]，使域外數據調查與獲取得以在更為高效和可預測性的程序中展開。

同時，跨境數據域外執法管轄權被我國學界、業界廣為詬病。有學者認為美國利用“中間人”對域外數據的管轄侵害了數據所在國的主權[ 4 ]。從數據安全治理實踐的角度看，美國實施的數據安全審查機制、數據擴張性域外管轄權與促進跨境數據自由流動的主張相悖，呈現出貿易保護主義的傾向[ 5 ]。從美國強制我國銀行提供客戶信息系列案件也可發現域外執法管轄權的濫用。2012年，“古馳案”（Gu？ cci）中紐約南區聯邦地方法院認為中國銀行沒有按照法院的命令提交位于中國境內被告的銀行資料而裁定其藐視法庭，銀行最終不得不提交原告所要求的客戶信息。2019年，美國法院進一步在刑事訴訟中要求我國3家銀行，包括沒有在美國設立分行的銀行，直接向美國提供犯罪嫌疑人的銀行記錄[ 6 ]。剖析這類案件可以發現，這種司法性執法行為不僅繞開了中美之間簽訂的司法協助協定，而且嚴重侵犯了中國主權。無論是美國打壓TikTok這樣的數據企業，還是強制我國銀行提供客戶信息，均可以明顯發現在跨境數據流動背景下，美國在保護所謂的公民隱私、社會公共利益抑或在涉及提供個人信息的刑事訴訟中直接適用域外執法管轄權。可見，我國跨境數據流動面臨著域外執法管轄權濫用和威脅的現實問題。

（二）域外司法管轄權的地位邊緣化

域外司法管轄權自身具有獨特優勢。域外司法管轄權作為域外管轄權的另一組成部分，有學者給出的界定是一國法院對位于域外的人或物適用法律的管轄權。域外司法管轄權不同于長臂管轄權，前者在一定條件下具有合法性與合理性。《美國對外關系法重述》（第三版）第421節規定，行使司法管轄權的前提是管轄權的行使具有合理性，并列舉了合理的考量因素[ 7 ]。域外司法管轄權在跨境數據領域的適用相較于域外執法管轄權具有獨特的優勢。它能依據司法管轄的要素和聯結點標準，合理地確定和分配國家間的管轄權，不僅有望避免對一國數據主權的侵犯，而且可以保障跨境數據的自由流動。此外，還有學者認為司法管轄權可以在一定程度上防止國內公法域外適用私人執行時個體的濫用行為[ 8 ]，從而有利于維護我國國家利益和社會公共秩序。

然而，域外司法管轄權的運用很少。分析近年來與我國有關的跨境數據流動案件可知，很少有案件涉及司法管轄權的行使。以TikTok案為例，2020年8月6日美國前總統特朗普首次簽署“封殺”Tik？ Tok總統令之際，字節跳動公司并沒有積極在美國或中國起訴，而是美國微信聯合會（非營利組織）同年8月21日才對美國總統和商務部部長提起訴訟[ 9 ]。由此可見，在跨境數據流動引發的案件中，我國海外中資企業并沒有將司法救濟機制作為維護合法權益的重要手段，其結果往往是在與美國政府的博弈過程中失去先機，淪為被動防守地位。即使在跨境數據流動事件中采取的司法手段，也多出現在爭議解決的中后階段，甚至只能看作海外中資企業尋求補救、減少損失的一種手段。司法管轄權的適用處于邊緣化狀態，遠遠未能發揮域外司法管轄權的應有功能。

（三）跨境數據企業的合規風險重重

一方面，跨境數據企業面臨巨大的外部合規風險。美國《加州消費者隱私法案》為企業創設嚴格的合規義務和法則，通過數據訪問地、業務關聯者等“長臂管轄”規則拓寬本國法案的域外效力，特別是熱衷于以“數據控制者標準”實施域外執法管轄權。以TikTok案為例，可窺見我國跨境數據企業在國外面臨巨大的數據合規風險。有學者對信息傳輸等三個行業開展實證研究，發現其最薄弱的領域均為外部威脅。歐盟將人工智能等信息技術行業納入外國對歐投資的敏感行業，金融、保險行業嚴格的市場準入規定讓很多商事主體心生敬畏。新冠疫情更是加大了合規難度，與歐盟境內個人信息緊密關聯的行業不僅要遵守歐盟市場監管新規（EU）2019/1020，還須踐行GDPR的監管條例[ 10 ]。

另一方面，跨境數據企業暗藏巨大的內部合規風險。除了外部環境的打壓和排擠，我國跨境數據企業內部也存在較為嚴重的數據合規問題。我國多數企業的數據保護合規體系存在諸多不足，主要體現在合規政策違反對外合規和對內合規相分離的原則，且合規政策也沒有針對特定的業務場景進行細化[11]。由于缺乏數據保護規范域外效力、域外管轄權的國內法指引，中資企業跨境數據保護的隱私安全設置水平、數據跨境傳輸保護水平、網絡協議安全性、隱私保護技術代差水平總體上不高。總之，美國、歐盟通過法律賦予數據監管機構以執法管轄權，動輒以我國海外數據企業侵害個人隱私或社會公共利益實施制裁或予以巨額罰款，我國海外數據企業無疑面臨著巨大的合規風險。

二、我國跨境數據流動域外管轄權困境之癥結

海外中資數據企業身陷法律困境是多重原因導致的，其癥結主要歸納為三個方面：一是我國域外管轄權法律法規的缺漏；二是跨境數據流動管轄權中“域”的理解分歧；三是跨境數據流動管轄權理念的國家差異。

（一）域外管轄權法律法規的缺漏

我國跨境數據流動法律法規在理念和規則上雖取得明顯進步但仍相對滯后。在立法理念上，我國過于重視數據安全而非數據跨境利用，由此導致我國有關跨境數據流動管理的法律法規多集中于域內適用。保守性立法理念導致法律法規存在兩方面重大缺漏：一是我國數據立法未明文規定域外管轄權內容。涉及數據出境時，《中華人民共和國數據安全法》（以下簡稱《數據安全法》）第三十一條規定參照《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）的規定，《網絡安全法》第三十七條規定了分類分級數據的出境條件，即數據本地化存儲和數據出境的評估機制。雖然立法上僅將數據的管轄范圍限定在域內，但實踐中海外中資數據企業在我國領土之外收集和處理本國數據已是常態。這樣不僅存留了數據域外管轄權空白，實踐中的取證行為還涉嫌侵犯一國數據主權。不同于我國立法路徑，美國“CLOUD法案”的“數據控制者”標準和歐盟《一般數據保護條例》的“效果原則”都為行使域外管轄權提供了法律依據。我國立法管轄的屬地性局限，加之簽署的雙邊司法協助協定數量少，導致的結果是我國域外管轄只能基于有關數據法律條款和一般性涉外案件管轄規則勉強實施管轄權。二是數據保護立法缺少國內法域外適用的條款。我國數據保護立法的保守性傾向，使《網絡安全法》《數據安全法》《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）等法律在數據保護范圍上缺少域外效力條款的專門性規定和實操性細則。這在客觀上導致國內數據保護立法的域外適用面臨困境，制約了法律在跨境數據流動中發揮規制作用。實踐中，我國處理涉外案件時通常以國內法的域外適用是否具備合法性為前提，以傳統管轄權理論為基礎進行主權確證，以期獲得新形勢下域外適用范圍的擴張[ 12 ]，但這種路徑已無法滿足域外數據管轄的現實需求。不同于我國的數據保護立法，歐盟《一般數據保護條例》進一步擴大了法律的域外效力，確立了以屬地原則為主、效果原則為補充的管轄原則。2019年，美國司法部發布的白皮書規定，若境外向美國提供服務的企業與美國之間是充分聯系的，那么就會觸發美國的法律適用[ 13 ]。數據保護立法域外效力的規定不僅是各方數據主體切實需求，也是一國實現政治、經濟目的的武器，具有理論和實踐上的必要性。

（二）跨境數據流動中“域”的理解分歧

大數據時代網絡空間的“域”的理解分歧影響主權觀。在大數據時代，技術的變革導致跨境數據流動涉及的“域”不同于傳統意義上的“域”，繼而引起跨境數據流動管轄權的爭議。事實上，國內外學者一直以來對“域”有不同的理解，在法律語境中則有“領域”“法域”之分，學界主流觀點認為域外效力中的“域”參照法域為基礎似乎更合適[ 14 ]。“領域”和“法域”有三種可能關系，即法域范圍與領域完全一致、法域小于領域以及法域大于領域。中國作為多法域國家的代表，其法域小于領域。然而，也有部分數據大量擴張國內法的域外效力，使法域大于領域。跨境數據在網絡空間流動必然涉及網絡主權。網絡空間也誕生了兩種不同的網絡主權觀，分別是威斯特伐利亞主權觀和相互依賴主權觀。主張前者的國家往往采取數據本地化措施，主張后者的國家則強調國際的協調與互助[ 15 ]。不同國家對網絡主權中“域”的認識和界定大相徑庭，這些理解差異會導致數據主權爭端。

不同數據主權觀下“域”的分歧導致管轄權規則沖突。就我國而言，對數據主權、數據安全的重視度高于數據跨境自由流動。因此，我國更偏向于威斯特伐利亞主權觀，即基于一國領土的最高性和排他性。在沒有法律明文規定的背景下，我國對跨境數據流動“域”的認定接近于“法域”的概念，這意味著我國將嚴格執行數據本地化規定。《數據安全法》第三十條、第三十一條規定的重要數據出境評估制度是我國對數據跨境流動的基本管理制度——“評估+管制”機制組成部分，與其他法律規定在一定程度上實現了數據本地化的安全訴求[ 16 ]。不同于我國對“域”的傳統理解，美歐對“域”理解更傾向于“去領土化”的相互依賴主權觀。因此，美歐語境下的“域”具有更多的彈性，并可以從兩方面進行理解：一是它會促使一國適當讓渡領土主權，通過簽訂條約的形式達成跨境數據流動協作機制。二是多元主體參與到跨境數據流動中，跨國數據公司的行為不時與一國的數據保護規則相沖突。

（三）跨境數據流動管轄理念的國別差異

歐盟、美國、中國等國家或地區采取的數據跨境流動域外管轄模式各有千秋，有必要從管轄權理論上進行比較分析。跨境數據流動管轄權理念存在明顯的國別差異，這主要是由于數據產業成熟度、數據主權或個人權利保護、數據話語權的追求等多重因素導致的。跨境數據流動管轄理念的差異主要體現在以下幾方面：第一，數據自由流動與數據本地化理念上的差異。美國是數據跨境自由流動理念的倡導者，并基于“CLOUD法案”主張“數據者控制”標準維護和擴張自己的數據霸權；中國、俄羅斯等國家是“數據本地化存儲”的擁護者，在跨境數據流動中主要基于“屬地管轄原則”維護數據安全。可見，主張“數據控制者”標準的管轄權與主張“屬地原則”標準的管轄權因理念差異而導致沖突。

第二，管轄權擴張理念與管轄權保守理念上的差異。數據作為一種新興資源，成為爭奪國際話語權的重要陣地，且西方國家在管轄權擴張理念上最明顯。歐盟《一般數據保護條例》的管轄范圍表現為雙重管轄的標準：一是地域管轄，適用于在歐盟設立的對歐盟公民數據進行操作的所有企業和組織；二是公民管轄，適用于歐盟以外的實體向歐盟個人提供商品、服務或監控歐盟個人的行為[ 17 ]。相較而言，我國的域外管轄權理念偏保守，不能較好地適應和保障跨境數據流動的需要。正如有學者指出的，我國目前的管轄權體系對域外聯系因素考慮較少，相關國內法未充分規定針對他國法律行動的管轄權基礎，呈現出較為明顯的保守型特征[ 18 ]。

第三，西方國家踐行“單邊管轄權”與中國倡導“多邊管轄權”理念上的差異。美國“CLOUD法案”的出臺，為美國實施跨境數據流動單邊管轄權提供了法律依據。對于在美注冊的數據公司，“CLOUD法案”授權數據監管機構對數據企業確立執法管轄權，可實施禁令、罰款等措施。美國“CLOUD法案”《加州消費者隱私法案》等規定將美國政府的管轄范圍延伸到所有由美國公司控制的數據，形成數據跨境中流動中的“長臂管轄”，使美國可以數據執法管轄為目的，在無須申請司法協助的前提下，要求位于境外的美國企業向美國政府提供個人隱私數據。這種由大國主導的跨境數據流動規則，容易形成擠壓其他國家利益的極端局面。與之相對，我國一直倡導簽訂跨境數據流動雙邊或多邊協定協調數據流動與數據安全問題，重視建立國際數據治理的合作模式。2020年10月，中國政府《全球數據安全倡議》呼吁全球數字治理應遵循秉持多邊主義、兼顧發展安全、堅守公平正義三原則。同年11月，我國正式簽署加入《區域全面經濟伙伴關系協定》（RCEP），意味我國在倡議多邊合作機制上邁出實質性的步伐。

三、范式調適：跨境數據流動域外管轄權之應然基調

誠如前述，跨境數據流動域外管轄權沿襲傳統管轄權理論的同時，為滿足現實需要呈現出不斷演變的趨勢。美國、歐盟在跨境數據流動中實施“長臂管轄權”的政策遭受國際社會非議后，完善了一些自我限制的規定。這些規則上的轉變實質上是跨境數據流動域外管轄權理念的積極調適。這不僅符合歐盟、美國爭奪跨境數據流動規則制定主導權的戰略訴求，也符合跨境數據流動域外管轄權正義理念。

（一）從“擴張性”轉向“合理性”

從域外立法管轄權看，呈現出從“擴張性”向“合理性”的轉變。以歐盟、美國為代表的發達經濟體以擴張域外管轄權的方式展開了對全球數據資源的激烈爭奪，這在相關立法上得以充分呈現。歐盟《一般數據保護條例》以“地域管轄”“公民管轄”的雙重管轄標準擴張自身的域外管轄范圍。美國“CLOUD法案”以“數據控制者標準”擴張跨境數據流動的域外管轄權。眾所周知，行使擴張性的域外管轄權雖然一定程度上有助于實現人權保障或者經濟效益的提升，但也帶來了諸多不良后果。一是“擴張性”域外管轄權可能會侵犯一國數據主權，引發管轄權的沖突。二是“擴張性”域外管轄權侵犯一國公民的個人隱私信息。現代社會個人權利的威脅主要來自公權力[ 19 ]，正如包含隱私的信息自決權侵害由管轄權過度擴張所致。例如，“SchremsII案”中Google公司對歐盟成員國民眾隱私信息的收集和侵害。三是“擴張性”域外管轄權假道技術壁壘阻礙跨境數據的流動。例如，歐盟《一般數據保護條例》對“充分性”條件的規定，一定程度上阻礙了歐盟數據的輸出。

隨著國際社會對跨境數據流動“擴張性”域外管轄權弊端的認識日益深入，以美國、歐盟為代表的發達經濟體出現域外管轄權由“擴張性”向“合理性”轉變的趨勢。“合理性”或合理原則作為涉外經濟管制立法域外適用的一項基本原則，對“效果”的認定僅是確定管轄權的最低要求。此外，法院還必須運用平衡分析方法，即考慮當事人的國籍、對法院地國的影響與對其他相關國家的影響輕重對比、行使管轄權導致沖突的可能性以及這些影響的可預見性等因素來滿足“合理性”[ 20 ]。以美國為例，“CLOUD法案”規定了獲取域外數據的限制性條件，即只有在涉嫌危害美國國家安全的犯罪或嚴重的刑事犯罪的情形下，美國人和美國公司控制的域外數據才可能被美國執法機構所獲取。歐盟也發展出類似的“合理性”要求趨勢。2018年，歐洲理事會通過的《有關個人數據自動化處理之個人保護公約》及其議定書出于避免管轄權沖突的考慮，轉而采用了依據個人請求的“全球共管”模式。以上實踐均表明，美國、歐盟在維系跨境數據流動長臂管轄基本規則的同時，愈發重視對域外管轄權“合理性”的考慮，總體上呈現出域外管轄權“擴張性”到“合理性”的轉變。

（二）從“效果原則”轉向“國際禮讓原則”

在跨境數據流動的背景下，歐盟、美國的立法和司法、執法實踐中均對“效果原則”有獨特的闡述。歐盟法院對“效果原則”的系統的闡釋中特別強調了主觀領土管轄原則與客觀領土管轄原則。《美國對外關系法重述》（第三版）列舉了確定一國管轄權的五個標準，并據此在判斷數據管轄權問題上也列舉了五個相關標準①。雖然依據“效果原則”援用“實質聯系”實施域外管轄措施的合法性存疑，但由于管轄的迫切性和必要性，效果原則正逐漸為越來越多的國家所接受，幾乎成為一項獨立的管轄原則[ 21 ]。不可否認的是，“效果原則”的適用帶來諸多無法克服的弊端。歐美國家在“效果原則”的適用上不以行為結果發生在管轄國內為前提，只要求在該國內產生一定程度的影響，國家就可以行使對數據的管轄權[ 22 ]，導致適用上存在不確定性的風險。此外，該原則使法官擁有極大的自由裁量權，它的適用可能會加劇各國之間的管轄權沖突，造成國際關系的緊張。

當各國以不同方式擴大國內法的域外管轄權時，“國際禮讓原則”的重要性就愈加凸顯。荷蘭法學家胡伯（Huber）提出的“國際禮讓說”在內容上引入國家主權觀念，實現了屬地主義的延續[ 23 ]。面對“效果原則”帶來的諸多消極影響，部分國家開始有意識地依據“國際禮讓原則”從域外司法管轄權的實施路徑緩解域外管轄權的沖突，并在立法和司法實踐都對“效果原則”的運用予以了一定范圍的限縮。《美國對外關系法重述》（第四版）將國際禮讓作為限制因素，使之發揮更大的作用。在跨境數據流動中，一國可以基于“國際禮讓原則”，或根據“國際禮讓原則”項下的主權強制理論等放棄或限制國內法原本具有的數據域外立法管轄權，從而讓位于國外法的數據域外管轄權，以此緩和各國相互之間跨境數據流動域外管轄權的沖突。跨境數據流動的“禮讓原則”也體現在有關跨境取證等國內立法中。美國“CLOUD法案”規定的“適格外國政府”制度實際上是“國際禮讓原則”的體現。《中華人民共和國國際刑事司法協助法》規定我國應本著禮讓互惠原則開展刑事司法工作。然而，不可否認的是，跨境數據流動的禮讓原則還存在“少數國家的國際禮讓”，我國平等互惠式的跨境電子取證也存在程序復雜的困境。總之，“國際禮讓原則”的運用是大勢所趨，有待后續立法層面進一步規范和解釋[ 24 ]。

（三）從“單邊主義”轉向“多邊主義”

理論上，具有絕對性的威斯特伐利亞主權觀使主權與管轄權范圍一一對應。美國跨境數據流動域外管轄政策是單邊主義的典型體現。它以輸出自身的“美國優先”理念使得多邊主義全球治理陷入困境，特別是以“規鎖”（confinement）政策把中國的發展方向和增長極限控制在無力挑戰美國世界主導權的范圍內[ 25 ]。例如，2019年，美國法院因中國公司涉嫌違反美國對朝鮮的制裁令，即在刑事調查中要求中國銀行提供該公司交易數據。從該案中可以窺見，美國依據其“長臂管轄權”侵害他國司法主權，鞏固其單邊主義的行徑昭然若揭。在大數據時代，主權國家無法憑借一己之力單方面處理數據革命所引發的管轄權沖突問題，因此，各國之間相互聯系形成了相互依賴之主權[ 26 ]。單邊主義方法一般只考慮國內法的域外適用，但如果它同時考慮國外法的域外效力而成為法律選擇時，便是向多邊主義方法的邁進。

在跨境數據流動實踐中，雖然以美國為代表的單邊域外執法管轄權依然強勢，但多邊主義的跨境數據流動規制框架正在努力構建和形成。多邊主義的原則和規范已載入《聯合國憲章》，是全球范圍內公認的普遍性原則聲明。當前，以WTO為中心的跨境數據治理體系受到挑戰，但是區域性的數據治理協定卻蓬勃發展。《區域全面經濟伙伴關系協定》（RCEP）重視尊重各主權國家的互聯網及數據主權，《數字經濟伙伴關系協定》（DEPA）具備約束性規則少、聚焦于數字貿易便利化等特點。雖然區域性數據治理協定可能導致規則的碎片化，但筆者認為這是當前治理路徑的最佳選擇，也是形成全球性治理框架的前期準備。此外，2021年9月，中國還向《全面與進步跨太平洋伙伴關系協定》（CPTPP）保存方新西蘭提交了中國正式申請加入CPTPP的書面信函[ 27 ]，表明了中國積極參與多邊跨境數據流動治理的態度和決心。總之，跨境數據流動域外管轄權規則體系從“單邊主義”轉向“多邊主義”已成為國際社會廣泛共識。

四、我國跨境數據流動域外管轄權完善之因應

數據主權和國家安全問題已然朝著國際戰略博弈的層面發展，人們應正視圍繞數據安全和數據自由流動訴求展開的管轄競爭態勢，并在明確以數據安全為基礎的前提下討論跨境數據域外管轄權。我國的完善路徑應是推動管轄權理念的轉向，并從國內和國際兩個層面構建和優化域外管轄權規則體系。

（一）域外管轄權理念轉向：從“保守型”到“進取型”

當前，我國跨境數據流動規則及其理念呈現出過于“保守型”特征，給跨境數據流動的治理和權利保障帶來諸多弊端。“保守型”的域外管轄權理念不僅在遭受域外執法管轄權濫用時無計可施，而且在企業涉及合規風險時難以為之提供法律救濟；不僅導致在域外管轄權概念的理解上產生分歧，而且與主流的域外管轄權理念相背離。我國側重防御且較為保守的跨境數據流動域外管轄權理念無法為我國的現有應對措施提供相應的理論支撐，也沒有考慮到未來面對國際形勢變化的必要戰略需求，因此我國有必要摒棄域外管轄權“保守型”理念，推動管轄權理念的轉變。

“進取型”域外管轄權理念是理念轉向的最優選擇。所謂“進取型”管轄權體系，是指一國在本國法律體系內盡可能廣泛地以屬地管轄權、屬人管轄權方面確立管轄聯系，特別是域外管轄聯系和合理的普遍管轄權；在遵循正當程序的基礎上充分發揮管轄權功能，以保護本國國家利益和國民利益。“進取型”管轄權體系的構建主要是通過在公法體系中確立廣泛的管轄聯系和在國內法體系中確立行使條件寬松的普遍管轄權。對于此觀點，筆者認為，“進取型”管轄權還應注重在私法體系中適用，擴張域外管轄權的連接點。擴張管轄連接點需要通過對屬地管轄中“領土”概念和屬人管轄中的“國籍”概念進行重構。跨境數據流動域外管轄權中的“領土”不應做傳統解讀，而是網絡空間中的“域”。域外管轄權涉及的“國籍”，可揚棄地借鑒美國“數據控制者”標準。

（二）國內法治：推動數據保護立法的具化與擴張適用

誠如所言，我國個人信息保護、與數據安全有關的法律在規定上較為粗放，它不能充分有效地指引跨境數據流動糾紛，特別是管轄權沖突問題的解決。目前，國內法關于跨境數據流動中個人信息保護和數據安全的規定以實體法為主，程序法內容規定較少。程序法內容需要援用《中華人民共和國民事訴訟法》《阻斷外國法律與措施不當域外適用辦法》（以下簡稱《阻斷辦法》）等法律，跨境數據流動域外管轄權特別機制缺失。且上述立法在參考國外相關法律時，與我國數字經濟發展實際結合不夠深入，影響了法律實施效果[ 28 ]。為有效應對域外管轄權沖突，需對相關法律規定予以細化，適當擴張法律域外適用。

首先，應進一步細化跨境電子數據取證條款，提升司法管轄權的地位。《數據安全法》第三十一條就關鍵信息基礎設施的運營者收集和產生的重要數據出境予以規定，第三十六條規定了跨境取證、司法協助的內容。《個人信息保護法》第四十條、第四十一條也分別對重要數據出境、跨境取證和司法協助進行了規定。從具體條文分析，《數據安全法》第三十六條規定：“中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定，或者按照平等互惠原則，處理外國司法或者執法機構關于提供數據的請求。非經中華人民共和國主管機關批準，境內的組織、個人不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據。”然而，該條文規定的傳統司法協助程序在實踐中已不能滿足跨電子證據取證的現實需求。有學者認為應規定請求國執法機構與被請求國執法機構直接合作的“一字形”取證程序，減少請求國、被請求國機關的多重審核，規定一國執法機構可直接電子取證，探索建立“電子化”的司法協助程序[ 29 ]。這一思路具有啟發性，應考慮通過修訂法律或頒發司法解釋的方式具體規定跨境電子證據取證的條款。

其次，應根據不同等級、類型的數據規定不同的司法管轄權，降低數據合規風險。域外管轄權是國內管轄權的延伸，我國國內司法管轄權的劃分標準在一定程度上也可適用于域外司法管轄權。其中，有一種分類將管轄權分為專屬管轄權和任意管轄權，前者即是把那些與國家公共政策與重大利益密切相關的法律關系無條件地隸屬于國內專屬管轄權，排除其他國家法院的管轄[ 30 ]。依據《國家互聯網信息辦公室關于〈網絡數據安全管理條例（征求意見稿）〉公開征求意見的通知》第五條國家對數據的分類，可將數據分為一般數據、重要數據和核心數據。國家對個人信息和重要數據進行重點保護，對核心數據實行嚴格保護。據此，可以考慮對跨境數據流動中核心數據采取專屬管轄，或者必要時利用不方便法院管轄原則、《阻斷辦法》的規定阻止外國法院對我國核心數據的管轄。對跨境數據流動中的個人信息和重要數據，由法官依據不同場景下數據（信息）重要程度就是否適用專屬管轄行使自由裁量權。對一般數據應適用任意管轄權。

最后，借鑒歐美有益經驗，明確跨境數據流動的管轄權法律標準。我國傳統上對國際民商事案件的管轄主要適用屬地管轄原則和實際聯系標準，但是在跨境數據流動案件適用屬地管轄原則和實際聯系標準具有一定程度的片面性和保守性。為應對這方面問題，我國可借鑒美國“CLOUD法案”中的合理內容，在跨境數據流動中實施“數據控制者標準”；也可借鑒歐盟對跨境數據流動“雙重管轄標準”，即基于“地域管轄”和“公民管轄”的標準，維護我國數據安全和利益。但與此同時，應警惕我國在跨境數據流動管轄權上擴張可能遭受的國際社會非議。歐盟通過法院判例審慎確立實施的原則，避免過度域外管轄[ 31 ]，這一做法值得我國借鑒。

（三）國際法治：加強國家間域外管轄權機制的協調與合作

中國的多邊主義理念強調關系平等、開放包容、協商治理與互利互惠，以構建人類命運共同體為目標[ 32 ]。在數據主權對抗局勢下，數據大國通過單邊規則危害他國數據主權安全，由此形成多重管轄沖突局面和國家數據安全困境。在“相互依賴主權觀”的現實驅動下，應考慮通過數據主權合作，構建相應的國際協調機制與合作路徑。

通過簽訂雙邊或多邊協議，協調國家間的域外管轄權理念分歧。鑒于當前在世界范圍內統一數據管理、域外管轄權理念和標準的非現實性，協調跨境數據流動背景下域外管轄權的路徑需要更多地從雙邊協定或者區域性多邊協定切入。我國應積極與各類經濟體、“一帶一路”沿線國家簽訂跨境數據流動協定，在條文中明確規定域外管轄權的行使范圍和規則。一方面，考慮以RCEP數據流動規則為藍本共建“一帶一路”規則體系[ 33 ]。RCEP成員與“一帶一路”沿線國家在范圍上存在重疊，我國在國家間交往上應考慮數字經濟發展水平的差異性，求同存異，可通過“原則+例外”的模式協調跨境數據流動的域外管轄權問題。另一方面，發展更廣泛的“朋友圈”，積極融入CPTPP。考慮到美國、歐盟均更傾向于單邊主導跨境數據流動規則話語權，為防止被孤立，中國需要積極同韓國、日本等美國“盟友”發展更為親密的數據流動伙伴關系，通過雙邊協定規范域外管轄權沖突問題。

重視跨境數據流動中的司法管轄權功能，優化國際司法協助程序。歐盟《一般數據保護條例》和美國的“CLOUD法案”均以執法管轄權作為跨境數據流動規制的基本方式，這存在無法克服的缺陷，而域外司法管轄權在化解管轄權沖突上具有天然優勢。域外司法管轄權實質上是對管轄權進行國家間分配，在跨境數據流動管轄理念從“擴張性”轉向“合理性”、從“效果原則”轉向“國際禮讓原則”的全球背景下，司法管轄權比執法管轄權在協調管轄權競合上具有更大的靈活性和柔和度。另外，以斗爭求團結，發揮《阻斷辦法》和《中華人民共和國反外國制裁法》（以下簡稱《反外國制裁法》）的威懾作用。在數據鴻溝和數據霸權的雙重壓力下，以《阻斷辦法》和《反外國制裁法》為斗爭依據，才能更有效地震懾外國不合理、不合法的執法管轄行為。面對外國執法機構強制數據主體提供電子證據時，我國應依據《阻斷辦法》實施阻斷，并通過國際司法協助解決糾紛。

五、結語

互聯網時代跨境數據流動不僅加劇了域外管轄權的沖突，而且給個人數據保護帶來威脅。我國跨境數據流動域外管轄權面臨數據大國域外執法管轄權濫用威脅、域外司法管轄權地位邊緣化以及域外中資數據企業不合規的困境。這些困境主要是因國家或地區間的域外管轄權理念差異和我國立法不完善所導致。通過總結域外管轄權機制的演變規律，我國從域外管轄權的理念轉向、國內相關立法的細化與擴張適用以及國家間域外管轄機制的協調與合作等方面來應對具有必要性和可行性。

參考文獻：

[1]李慶明.論美國域外管轄：概念、實踐及中國因應[J].國際法研究，2019（3）：3-19.

[2]邵懌.論域外數據執法管轄權的單方擴張[J].社會科學，2021（10）：119-129.

[3]馮碩. TikTok被禁中的數據博弈與法律回應[J].東方法學，2021（1）：74-89.

[4]楊永紅.美國域外數據管轄權研究[J].法商研究，2022（2）：146-157.

[5]董京波.跨境數據流動安全治理[J].科技導報，2021（21）：9-17.

[6]肖永平.“長臂管轄權”的法理分析與對策研究[J].中國法學，2019（6）：39-65.

[7]郭玉軍，王巖.美國域外管轄權限制因素研究——以第三和第四版《美國對外關系法重述》為中心[J].國際法研究，2021（6）：82-97.

[8]宋曉.域外管轄的體系構造：立法管轄與司法管轄之界分[J].法學研究，2021（3）：171-191.

[9]潘星容.國際關系與法學雙重視角下TikTok及微信等如何突破在美困境[J].法治社會，2020（5）：65-73.

[10]齊佳音，池雅瓊，劉峰.企業跨境數據保護成熟度研究：以面向歐盟區域為例[J].情報雜志，2020（8）：121-130.

[11]毛逸瀟.數據保護合規體系研究[J].國家檢察官學院學報，2022（2）：84-100.

[12]賈濟東，胡揚.論我國反洗錢法域外適用的困境和出路[J].華中科技大學學報（社會科學版），2021（2）：116-126.

[13] U. S. Department of Justice. Promoting Public Safety，Privacy，and the Rule of Law Around the World：The Purpose and Impact of the CLOUD Act[EB/OL].（2019-04-01）[2022-08-06]. https：//www. justice. gov/ opa/press-release/file/1153446/download.

[14]孫國平.勞動法域外效力研究[M].北京：中國政法大學出版社，2016：25-26.

[15]劉晗，葉開儒.網絡主權的分層法律形態[J].華東政法大學學報，2020（4）：78-79.

[16]龍衛球.中華人民共和國數據安全法釋義[M].北京：中國法制出版社，2021：81-82.

[17]肖宛晴，劉傳平.歐美數字主權與數字貿易政策比較分析[J].世界經濟與政治論壇，2021（6）：105-126.

[18]宋杰.進取型管轄權體系的功能及其構建[J].上海對外經貿大學學報，2020（5）：22-23.

[19]徐超華.論信息自決權的制度規范功能及其權利體系[J].長江師范學院學報，2007（4）：112-115.

[20]何智慧.論經濟管制立法的域外適用——兼評我國《反壟斷法》第2條[J].河北法學，2008（10）：137-140.

[21]吳培琦.何為“域外管轄”：溯源、正名與理論調適[J].南大法學，2022（1）：18-36.

[22] GOLDSMITH J. Unilateral Regulation of the Internet： a modest defence[J]. European journal of Interna？ tional law，2000（1）：136-139.

[23]方杰.荷屬“國際禮讓說”[J].河北法學，2013（5）：141-142.

[24]廖斌，劉敏嫻.數據主權沖突下的跨境電子數據取證研究[J].法學雜志，2021（8）：154-155.

[25]張宇燕，馮維江.從“接觸”到“規鎖”：美國對華戰略意圖及中美博弈的四種前景[J].清華金融評論， 2018（7）：24-25.

[26] STEPHEN D K. Sovereignty： organized hypocrisy[M]. Princeton： Princeton university press，1999：12-20.

[27]中方正式提出申請加入《全面與進步跨太平洋伙伴關系協定》（CPTPP）[EB/OL].（2021-09-16）[2022-10-01]. http：//www. mofcom. gov. cn/article/syxwfb/202109/20210903199707. shtml.

[28]馮國凱.數字經濟背景下個人信息保護的重要性及實踐路徑[J].長江師范學院學報，2021（6）：102-107.

[29]馮俊偉.跨境電子取證制度的發展與反思[J].法學雜志，2019（6）：25-36.

[30]霍政欣.國際私法[M].北京：中國政法大學出版社，2017：277.

[31]許慶坤.美國長臂管轄權的多維檢視及我國因應之策[J].環球法律評論，2021（6）：172-186

[32]李垣螢.多邊主義理念競爭：中美湄公河次區域合作機制之比較[J].外交評論，2021（9）：118-154.

[33]謝卓君，楊署東.全球治理中的跨境數據流動規制與中國參與——基于WTO、CPTPP和RCEP的比較分析[J].國際觀察，2021（5）：98-126.

作者貢獻聲明：郝詩樂負責構思、撰寫初稿；沈旦負責修改、定稿。

Dilemmas and Countermeasures of Extraterritorial Jurisdiction of Cross-border Data Flow in China

Hao Shi-Yue， Shen Dan

（College of Law， Guizhou University， Guiyang 550000， Guizhou， China）

Abstract： Extraterritorial jurisdiction is of great importance in guaranteeing data sovereignty and regulating data flow in crossborder data flow. However， by examining the extraterritorial jurisdiction practice of cross-border data flow in China， it is found that the jurisdiction is faced with the dilemmas of threat of abuse of extraterritorial law enforcement jurisdiction， the marginaliza？ tion of extraterritorial jurisdiction status and the severe compliance risks of cross-border data enterprises. The crux mainly lies in the deficiencies of relevant laws and regulations， the divergences of understanding of“domain”and discrepancies in the con？ cept of jurisdiction between countries. China can solve this problem through the localization of comparative law experience. Firstly， it needs to abstract the basic paradigms of extraterritorial jurisdiction of data with“reasonableness”，“the principle of interna？ tional comity”and“multilateralism”as the core and its benchmark transformation. Furthermore， it needs to integrate with data law system in China and perfect extraterritorial jurisdiction from three dimensions： accelerating the theoretical transformation of jurisdiction from“conservative”to“aggressive”， promoting the embodiment and extensive application of domestic data protec？ tion legislation， and strengthening the coordination and cooperation of extraterritorial jurisdiction mechanisms between countries.

Key words： cross-border data flows； extraterritorial jurisdiction； data sovereignty；“aggressive”jurisdiction

（責任編輯：趙慶來）

①“Schrems案”在美國就讀的奧地利學生Max Schrems就Facebook收集的歐盟數據轉移到美國并未得到充分保護為由，向愛爾蘭數據保護委員會起訴，《安全港協議》因不能確保歐盟公民數據在美國得到充分保護而被判定失效；“SchremsⅡ案”因Schrems再次投訴，美國對個人數據的訪問權沒有限制在“必要”和“適度”的范圍內，導致《隱私盾協議》被歐盟法院裁定無效。

②“長臂管轄權”根據《布萊克法律詞典》的詞條解釋，是法院對不在法院地居住但與法院有某種聯系的被告所享有的管轄權。

③“域外管轄”是指一國將其法律的適用范圍或其司法和行政管轄范圍擴展至該國領土以外。

①張曉君在《數據主權規則建設的模式與借鑒——兼論中國數據主權的規則構建》指出五個相關標準：數據所在地；與數據相關的損害情形發生地；與數據相關的嫌疑人經常居住地或國籍所在地；與數據相關的受害人經常居住地或受害人國籍所在地；數據控制者經常居住地或國籍所在地。