外國數據法效力的域外擴張與中國范式研究

摘要：數據已成為當今社會發展的重要因素，但目前全球尚未形成統一的數據跨境流動規則。在此背景下，美國與歐盟相繼構建起“外向干涉型”和“內向保護型”數據法域外適用體系，以加強對網絡空間的規制力。此舉存在濫用數據法域外效力的隱憂，增加了各國數據的被動開放風險，也抬高了企業全球經營的合規門檻。作為數字產業大國，我國亦應加強數據立法，構建“能動回應型”數據法域外適用體系，既要順應國內數字市場發展的內向性要求，也應兼顧互聯網企業走出去的外向性需要，推動我國數據法域外效力的合理適度延伸，并完善外國數據法不當域外適用的阻斷機制，以此探索全球數據治理的中國范式。

關鍵詞：涉外法治；數據法；域外適用；數據流動

DOI： 10.13734/j.cnki.1000-5315.2024.0315

收稿日期：2024-05-02

基金項目：本文系四川大學博士后研發基金“外國數據立法不當域外適用的中國涉外法治應對”（skbsh2023-16）、教育部哲學社會科學研究重大課題攻關項目“加快推進自由貿易港建設研究”（23JZD27）、2023年四川大學中央高校基本科研業務費（法學）研究課題（2023fxzy-04）的階段性成果。

作者簡介：林福辰，男，遼寧大連人，法學博士，四川大學法學院助理研究員、專職博士后，四川大學“自貿區暨‘一帶一路’法律研究中心”助理研究員，E-mail： Linfc_SCU@163.com。

當前，數字革命幾乎滲透到了社會經濟關系的各個方面，數據經濟成為重組全球經濟要素資源、重塑全球經濟結構、改變全球競爭格局的關鍵性力量梅宏《大數據與數字經濟》，《求是》2022年第2期，第28頁。。大變局之下的當今世界，全球治理體系亟待改革與完善，國際競爭越來越體現為制度、規則、法律的競爭周強《在習近平法治思想指引下 奮力推進新時代司法為民公正司法》，《求是》2022年第4期，第22頁。。確保數字經濟的供應鏈安全對提升國家競爭優勢至關重要，因此，數據立法成為各國在國際社會爭奪數據治理話語權、輸出本國數據治理規則、擴大本國數據優勢的主要路徑王燕《數據法域外適用及其沖突與應對——以歐盟〈通用數據保護條例〉與美國〈澄清域外合法使用數據法〉為例》，《比較法研究》2023年第1期，第187頁。。以美國為代表的西方國家爭相制定具有域外適用效力的數據法律法規，以期維護本國數據產業的競爭優勢，爭奪國際數據治理話語權。近年來，我國數據法律體系雖初具輪廓，國內數字經濟治理體系和治理能力現代化水平顯著提高，但尚未形成數據法域外適用體系，難以防控域外數據行為對國家安全、公共利益與個人權益的潛在危害，運用法治手段應對外國數據法不當域外適用的能力亟待提升。有鑒于此，本文擬在梳理美歐數據法域外效力規則體系的基礎上，探究數據法域外適用體系的中國范式，并就外國數據法不當域外適用的中國應對方案進行探討。

一" 國家數據法效力域外擴張的理論歸因

（一）規制數據跨境流動目標的合理性

據統計，在2010至2019年間，全球數據跨境流量以每年45%的驚人速度增長，從45Tbps增長到1500Tbps成政珉、華強森、Sven Smit等《全球流動：世界互聯互通的紐帶》，2023年1月發布，2024年3月18日訪問，https：//www.mckinsey.com.cn/wp-content/uploads/2023/02/MGI_Global-Flows_Dicsussion-paper-CN-20230215.pdf。。數據作為新興的生產要素，為全球經濟增長提供新動能的同時，也改變了社會的責任配比勞倫斯·萊斯格《代碼2.0：網絡空間中的法律》，李旭、沈偉偉譯，清華大學出版社2018年第2版，第95頁。。

首先，大型互聯網企業對用戶數據的商業化利用，致使個人隱私保護問題尤為突出。當前，個體的社會生活在相當大的程度上被“數字化”，在網絡空間和存儲設備中留下自身的“數字痕跡”，隨之而來則是個人數據跨境流動存在的隱私泄漏風險。例如，Facebook曾在用戶不知情或“非自由”同意的情況下從第三方網站或應用搜集用戶信息，對此，德國聯邦最高法院曾于2020年6月裁定Facebook構成對公民隱私的侵犯，責令其調整服務條款和數據處理活動The German Federal Supreme Court， Bundesgerichtshof besttigt vorlufig den Vorwurf der missbruchlichen Ausnutzung einer marktbeherrschenden Stellung durch Facebook， Juni 23， 2020， https：//www.bundesgerichtshof.de/SharedDocs/Pressemitteilungen/DE/2020/2020080.html.。不僅如此，在數字技術的加持下，數據處理者對個人信息的大規模、自動化搜集弱化了傳統匿名化技術的實際效果，進而加劇了個人數據被過度商業化利用的風險。因此，基于個人隱私信息保護的目的，規制數據流動是各國政府當前的重要責任。

其次，數據跨境流動，對公共安全利益帶來挑戰。公眾在享受互聯網便利性的同時，也面臨著虛假信息泛濫、有害信息傳播、網絡犯罪發生等諸多危害。立足國家治理層面，各國往往基于一定的保護義務，推動網絡空間規制的變革，強化網絡空間架構的控制性。一般而言，網絡空間的規制程度取決于網絡空間的架構，而該架構的屬性由價值觀決定勞倫斯·萊斯格《代碼2.0：網絡空間中的法律》，第36頁。。例如，德國通過限制數據跨境流動，禁止公民通過互聯網平臺售賣與納粹有關的紀念品Germany， Strafgesetzbuch ［Penal Code］ § 86a （2021）.；越南亦曾頒布立法，限制危及越南公共秩序的信息在網絡空間中傳播Vietnam， Decree No. 72/2013/ND-CP §4（4） （2013）.。所以，各國對公共安全的維護，使規制數據流動有了天然的合理性。

最后，利用大數據分析等數據手段，一國可能有針對性地開展對他國信息情報的收集和處理工作，從而威脅到他國國家安全。例如，美國自2007年起啟動了代號為“棱鏡”的秘密監控項目，直接進入美國網際網絡公司的中心服務器里挖掘數據、收集情報，微軟、雅虎、谷歌、蘋果等在內的9家國際網絡巨頭參與其中Barton Gellman， Laura Poitras， “U.S.， British Intelligence Mining Date from Nine U.S. Internet Copmanies in Broad Secret Program，” Washington Post， June 7， 2013， https：//www.washingtonpost.com/investigations/us-intelligence-mining-data-from-nine-us-internet-companies-in-broad-secret-program/2013/06/06/3a0c0da8-cebf-11e2-8845-d970ccb04497_story.html.。可見，數據的自由流動對國家安全構成了新的挑戰，各國對數據行為的監管需求更為迫切。

綜上，放任國家數據的自由流動，會觸及到該國經濟和社會生活的核心部分，這與該國特定公共政策目標之間存在著不可避免的沖突。面對數據跨境流動對個人信息、公共利益和國家安全的沖擊，各國近年來愈發重視數據安全風險的法律防范，并通過完善國內立法、參與國際合作等方式，強化對數據流動的規制，以此落實網絡空間中的國家保護義務、滿足規制數據跨境流動的合理性國家要求。

（二）數據法效力域外擴張的現實必要性與國際合法性

數據法效力域外擴張具有現實必要性。面對因數據跨境流動而產生的全球性威脅，各國目前難以在短期內形成具有統一性、全球性的數據跨境傳輸規則徐峰《網絡空間國際法體系的新發展》，《信息安全與通信保密》2017年第1期，第75頁。。網絡空間的出現，使法律屬地主義被不斷削弱，傳統的國家界限變得愈加模糊，這使國際法成為應對數據跨境流動諸多現實挑戰的理想平臺。2003年，聯合國信息社會世界峰會在《日內瓦原則宣言》中指出，“與互聯網有關的公共政策的決策權是各國的主權”《日內瓦原則宣言》，《信息社會世界高峰會議成果文件》，國際電信聯盟2005年，日內瓦，第19頁，https：//www.itu.int/net/wsis/outcome/booklet-zh.pdf。。聯合國相關專家組的報告亦明確了《聯合國憲章》對網絡空間的適用性從國際安全角度促進網絡空間負責任國家行為政府專家組《從國際安全角度促進網絡空間負責任國家行為政府專家組的報告（A/76/135）》，聯合國大會，2021年7月14日，中文版第16頁。。據此，既有國際法體系重申了主權原則對網絡空間的適用性，各國享有對境內網絡設施的管轄權。除此之外，國際法拓展有限，且多停留于倡議的層面，實踐中可操作性欠佳。同樣的敘事也體現在數字貿易的國際規制層面，CPTPP、RCEP等協定確立了以數據跨境自由流動為原則、本地化為例外的規制進路杜玉瓊、羅新雨《RCEP數據跨境流動規則例外條款的適用及中國應對》，《四川師范大學學報（社會科學版）》2023年第5期，第75頁。，但就數據跨境流動例外條款的具體適用，各區域一體化協定缺乏明確指引。傳統的國內立法管轄權是以屬地管轄為基礎，以屬人管轄、保護性管轄和普遍性管轄等為補充。然而，互聯網具有虛擬性、開放性和無邊界的特征，大規模的數據跨境流動對以屬地為基礎的國際管轄秩序形成了嚴重挑戰。同時，一個借助互聯網實施的行為不僅在地理空間上難以界定行為發生地，其影響范圍也非地理意義上的領土邊界所能阻隔，這進一步削弱了屬地管轄的規范意義。對此，以美國和歐盟為代表的國家或實體探索創新立法管轄模式，延伸數據法域外效力，希冀提升其對數據跨境流動的規制力。由此，各國開始將注意力轉向國內，嘗試通過強化涉外立法以監管數據跨境流動。

數據法效力域外擴張具有國際合法性。一般認為，法律屬地主義式微是社會、技術等一系列因素疊加的結果蔣小紅《歐盟法的域外適用：價值目標、生成路徑和自我限制》，《國際法研究》2022年第6期，第106頁。。1927年，國際常設法院在“荷花號”案中對國家實施域外管轄的行為進行了闡明，認為：“國際法非但遠沒有設立一般禁止性規定以要求各國不得將其法律的適用及其法院的管轄權擴展至領土外的人、財產和行為，反而在這方面為各國留下了廣泛的自由權利，僅在特定情形中以禁止性規則限制之；除特定情形，各國皆得自由采取其認為最好與最適合的原則”S.S. Lotus （Fr. V. Turk.）， 1927 P.C.I.J. （ser. A） No. 10 （Sept. 7）.。據此，國際常設法院確立了“國際法不禁止即為允許”的原則，奠定了國內法域外適用的合法性基礎。目前，全球并未形成具有普遍約束力的數據保護國際規則，沒有對國家管轄權向域外延伸進行過多限制，寬松的國際環境為各國擴張數據法域外效力奠定了合法性基礎孔慶江、于華溢《數據立法域外適用現象及中國因應策略》，《法學雜志》2020年第8期，第86頁。。

二" 美歐數據法域外適用體系的范式考察

（一）美國“外向干涉型”數據法域外適用體系

美國在全球互聯網產業擁有近乎壟斷的市場地位，憑借數字技術與產業規模的巨大優勢，美國數據法域外適用體系秉持“外向性”姿態，致力于獲得調取全球數據的能力。以2018年《澄清域外合法使用數據法案》（Clarifying Lawful Overseas Use of Data Act，以下簡稱CLOUD法案）為代表的數據立法就試圖突破美國域外取證瓶頸，賦權政府可以調取本國企業在境外存儲的數據信息。

1.依托全球數字市場壟斷地位的“外向性”姿態

作為美國數據立法的基礎性法案，1986年《存儲通信法案》（Stored Communications Act，以下簡稱SCA）主要關注發生在其國內的數據行為，但未明確美國政府是否有權要求通信服務商提交存儲在境外的數據。在微軟案中，美國當局試圖獲取存儲于境外的數據。對此，微軟公司認為涉案數據存儲在愛爾蘭境內，基于屬地管轄的限制，美國當局搜查令的效力不能及于該數據。區別于微軟所主張的“數據存儲地標準”，美國政府認為微軟是數據的實際控制者，其在本土通過互聯網即可完成數據的調取；作為美國境內企業，微軟公司應當執行美國當局依據SCA簽發的搜查令。美國法院最終裁判，搜查令的實施地點是決定該案能否援引SCA的重要因素，微軟公司在美國境內的情況不足以替代對數據位置的關注United States v. Microsoft Corp.， 138 S. Ct. 1186 （2018）.。

為破解域外數據的可及性限制，美國出臺了CLOUD法案，引入“數據控制者標準”來弱化數據與物理空間的關聯性。CLOUD法案規定，只要互聯網企業擁有、監控或控制用戶數據，那么無論該數據是否存儲在美國境內，相關企業作為數據控制者都應承擔向美國政府披露數據的義務Clarifying Lawful Overseas Use of Data Act §103. 。在實踐中，微軟、谷歌、蘋果等美國科技企業占據著全球絕大多數數字市場的份額，獲得了海量數據資源，這讓它們成為美國獲取域外數據的關鍵橋梁。盡管這些公司仍必須服從所在國的數據監管規則，但是借助“數據控制者標準”，CLOUD法案可以讓美國在事實上具備獲取全球數據的能力，并且不需要考慮數據的實際存儲地。

為進一步提升調取全球數據的有效性，CLOUD法案還設置了嚴格的責任豁免條件。CLOUD法案規定域外數據控制者如欲免除數據披露義務，需同時滿足三個條件：第一，法案對域外數據控制者施加的數據披露義務違反了“適格外國政府”法律；第二，美國法院根據案件情況和公平理念，依國際禮讓原則主動放棄CLOUD法案的域外適用；第三，數據控制者所服務的用戶不是美國人且不在美國居住Clarify Lawful Overseas Use of Data Act §103.。然而，美國法院在實踐中認定的“適格外國政府”相當有限，目前，僅英國和澳大利亞獲得了認定并簽訂了數據調取協議U.S. Department of Justice， U.S. And UK Sign Landmark Cross-Border Data Access Agreement to Combat Criminals and Terrorists Online，October 3， 2019， https：//www.justice.gov/opa/pr/us-and-uk-sign-landmark-cross-border-data-access-agreement-combat-criminals-and-terrorists; U.S. Department of Justice， United States and Australia Enter CLOUD Act Agreement to Facilitate Investigations of Serious Crime， December 15， 2021， https：//www.justice.gov/opa/pr/united-states-and-australia-enter-cloud-act-agreement-facilitate-investigations-serious-crime.，也缺乏明確的國際禮讓分析思路郭爍《云存儲的數據主權維護——以阻斷法案規制“長臂管轄”為例》，《中國法律評論》2022年第6期，第78頁。。同時，作為法律概念的“美國人”的涵蓋范圍相當寬泛。在美國對外制裁中，“美國人”不僅包括美國公民、合法獲得永久居住的外國人以及在美注冊的公司等主體18 U.S. C. § 2523 （2018）.，甚至還覆蓋了美國公司的外國子公司和美國人管理的外國公司覃俊豪《國內法域外適用：研究路徑、美國實踐與中國應對》，《學術論壇》2024年第2期，第144頁。。對此，美國政府曾毫不掩飾地表示，CLOUD法案代表著一種新的范式，一種高效獲取電子數據的保護辦法U.S. Department of Justice， Promoting Public Safety， Privacy， and the Rule of Law Around the World： The Purpose and Impact of the CLOUD Act， （April， 2019）. https：//www.justice.gov/opa/press-release/file/1153446/dl.。

2.致力于獲得調取全球數據能力的“干涉性”追求

作為美國行使域外管轄的合法性依據，CLOUD法案的“數據控制者標準”雖具有客觀屬地原則或效果原則的特征客觀屬地原則是指當試圖管轄之行為的構成因素出現在領土國境內時，一國可對其領土外的人、財產或行為行使管轄權；效果原則是指一國可以根據外國國民于一國領土外發生的行為，卻在該領土上產生重大影響而主張管轄權。參見：聯合國《國際法委員會報告——第五十八屆會議》（2006年5月1日至6月9日和7月3日至8月11日），聯合國2006年版，第393頁。，但是，法案的調整對象十分寬泛，適用也具有相當程度的靈活性，這對干涉他國數據監管權的正常行使以及削減其他國家保護公民隱私、國家安全的能力造成了影響。例如，CLOUD法案規定的數據控制者涵蓋了電子通信服務和遠距離計算服務提供者18 U.S.C. § 2510（15） （2018）.，這意味著提供電子郵件、社交媒體、云存儲等服務的相關企業，甚至電商平臺都是數據披露義務的承擔者。不僅如此，美國司法部認為，域外的數據控制者如與美國有足夠的聯系也可觸發CLOUD法案的適用U.S. Department of Justice， Promoting Public Safety， Privacy， and the Rule of Law Around the World： The Purpose and Impact of the CLOUD Act， （April， 2019）. https：//documents.un.org/doc/undoc/gen/g06/636/19/pdf/g0663619.pdf？token=QziVvJEmXouUsyVOJd amp;fe=true.，此種聯系包含了擁有、監控和控制等數據處理活動的全周期數據全生命周期包括數據處理者進行數據收集、存儲、使用、加工、傳輸、提供、公開、刪除等環節。參見：王玎《論數據處理者的數據安全保護義務》，《當代法學》2023年第2期，第44頁。。這進一步擴大了法案的潛在適用范圍，體現了美國對數據法域外效力的極致追求。

同時，美國與其他國家間的數據調取具有非互惠性。SCA規定通信服務商不得向外國政府提供有關通信內容的數據，導致他國在偵查打擊犯罪時，難以通過雙邊司法協助請求而從美國當局獲得涉案數據。相比之下，CLOUD法案雖規定“適格外國政府”也可通過數據控制者獲取存儲于美國境內的數據18 U.S. C. § 2523 （2018）.，但是，“適格外國政府”的構成標準非常嚴苛，相關國家不僅被要求與美國簽訂數據調取協定，同時還要為數據控制者免除數據披露義務提供實質性或程序性的救濟途徑，這讓外國在實踐中近乎無法獲取美國境內存儲的數據。不僅如此，“適格外國政府”還要給予美國同等的數據訪問權，并面臨美國定期的單邊審核與“隨時開除”的壓力。非互惠性的標準，加上調取全球數據的干涉性追求，會在客觀層面幾乎造成“全球→美國”的數據單向流動，折射出“美國優先”的立法思路和主導全球數據流動秩序的野心。

（二）歐盟“內向保護型”數據法域外適用體系

1.服從于歐洲數字市場統一需要的“內向性”姿態

不同于美國龐大數字產業對CLOUD法案實施的支撐，歐盟數字市場的發展整體滯后，對外國技術的依存度較高，因而加劇了歐盟加強內部數據保護的現實緊迫性。歐盟內部幾乎沒有大型數字平臺，數字產業規模僅占全球70個大型數字平臺市值的4%“Communication on Online Platforms and the Digital Single Market ｛SWD（2016） 172 final｝， ” accessed March 18， 2024， https：//eur-lex.europa.eu/legal-content/EN/TXT/？uri=CELEX：52016DC0288.。谷歌、臉書和微軟等美國互聯網企業幾乎壟斷了歐盟數據市場，收集大量用戶數據，并通過精準推送創造了海量廣告收入。不僅如此，上述企業還可能妨礙歐洲國家政府開展工作。如在新型冠狀病毒流行期間，法國當局曾開發出“Stop Covid”的病毒密接者追蹤程序，但遭到蘋果和谷歌公司的技術阻攔，致使軟件無法實際投入應用。在此背景下，歐盟數據監管的自主性面臨嚴峻挑戰，歐盟公民對個人數據和隱私保護的擔憂與日俱增。

針對由外國互聯網企業主導的在線環境，歐盟試圖通過數據法的域外適用，強化內部市場監管，調整數據主體和數據控制者之間的力量對比。歐盟早在1995年便頒布了數據相關立法，即《關于個人數據處理及其自由流動的個人保護第95/46/EC號指令》（Directive 95/46/EC of the Enropenan Parlianment and of the Council： on the protection of individuals with regard to the processing of personal data and on the free movement of such data，以下簡稱《數據保護指令》）。但遺憾的是，《數據保護指令》需經歐盟成員國轉化為國內法后方可實施，這導致了歐盟內部數據保護水平的差異。因此，歐盟于2016年通過了《一般數據保護條例》（General Data Protection Regulation，以下簡稱GDPR），并將其作為一項直接適用的數據基礎性立法。與《數據保護指令》相比，GDPR加重了數據控制者義務，力求切實落實數據主體權利的保護。

在域外管轄權方面，GDPR首先承繼了《數據保護指令》的“設立機構標準”。其第3.1條規定，不論數據處理行為實際是否在歐盟內進行，GDPR都適用于在歐盟內部設立機構的數據控制者。這雖未明確GDPR能否進行域外適用，但實際上保證了GDPR規制域外數據處理行為的可能。在此基礎上，歐盟通過“目標指向標準”拓寬了數據法的域外效力。得益于數據的無邊界屬性，現實中數據控制者在境外亦可完成對歐盟用戶數據的收集、分析和處理。因此GDPR第3.2條規定，即使數據控制者未在歐盟設立機構，GDPR依然適用于為歐盟內的數據主體提供商品或服務的數據控制者，以及對發生在歐盟內部的數據主體活動進行監控的數據控制者。這就是“目標指向標準”。可見，相較于“設立機構標準”，“目標指向標準”在事實上更具有域外效力擴張的色彩。

晚近以來，“設立機構標準+目標指向標準”的管轄權模式也被吸收到歐盟新近頒布的數據立法之中。2022年7月，歐盟委員會頒布的《數字服務法》（Digital Services Act，以下簡稱DSA）第2.1條規定，該法案適用于向擁有其設立地或位于歐盟的服務接受者提供的中介服務，而服務提供者的設立地點不受限制。歐盟2023年5月生效的《數字市場法》（Digital Markets Act，以下簡稱DMA）也遵循相似進路，其第1.2條規定，面向歐盟境內用戶或平臺提供服務的互聯網企業，都是該法案的調整對象，至于企業的設立地或營業地并非該法案是否適用的因素。

2.致力于強化保障數據主體權利的“保護性”追求

就數據權利保護的限度而言，歐盟始終圍繞《歐洲人權公約》第8條展開，將個人數據權利理解為一項基本人權，認為數字技術的發展并不能影響對個人隱私權利的保護。在此觀念指導下，GDPR創設了用戶刪除權、被遺忘權等新型數據權利，強化個人信息保護水平。同時，為確保相關規則能夠在實踐中發揮實效，歐盟通過擴大解釋延伸“設立機構標準”和“目標指向標準”的涵蓋范圍，拓寬數據法域外適用的場景。

關于“設立機構標準”，歐盟數據保護委員會曾指出，只要域外的數據控制者與其在歐盟境內的“設立機構”之間存在真實有效的聯系即可認定為滿足該標準Article 29 Data Protection Working Party， “Opinion 8/2010 on Applicable Law （0836-02/10/EN WP 179），” accessed March 18， 2024， https：//ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp179_en.pdf.。在Google Spain案中，位于美國的谷歌公司負責處理西班牙的用戶數據，而位于西班牙的谷歌分公司僅負責當地的搜索引擎業務。針對此種情況的法律適用問題，歐盟法院認為，分公司的創設為總公司的廣告業務提供了盈利空間，谷歌公司也與分公司之間存在真實有效的聯系，進而認定谷歌公司的域外個人數據處理行為應適用《數據保護指令》Google Spain SL， Google Inc.v. Agencia Espaola de Proteccin de Datos （AEPD）， Mario Costeja Gonzlez， Case C-131/12 Court of Justice of the Europeon Union （2014）.。可見，歐盟對“設立機構標準”的理解十分寬泛，域外的數據控制者可能因為域外的個人數據處理活動而適用歐盟的數據法。

在“目標指向標準”中，GDPR著眼于歐盟范圍內數據的保護，而不僅停留在歐盟公民數據保護的層面。關于GDPR第3.2條中“數據主體”的界定，歐盟采用了與美國CLOUD法案相近的規制方式，指出“GDPR提供的保護應適用于個人數據受到處理的自然人，無論其國籍或居住地如何”。同時，歐盟力圖保持數據處理行為定義的寬泛性，GDPR在序言中規定，該法中的“監控”是指在互聯網對自然人進行的追蹤，包括后續個人數據處理技術的潛在使用，此類個人數據的技術處理包括對個人進行特征分析，并預測個人的偏好、行為和態度。由此表明，實踐中域外數據控制者若以歐盟為對象進行相關的數據處理活動，那么其行為很有可能構成GDPR第3.2條中“對歐盟內數據主體進行監控”，從而觸發歐盟數據法的域外適用。例如，在Judith VIdal-Hall， Robert Hann， Marc Bradshaw v. Google Inc案中，歐盟法院曾認定谷歌公司通過Cookie存儲用戶數據并推送個性化廣告的行為構成對用戶的監控追蹤Judith Vidal-Hall， Robert Hann， Marc Bradshaw v. Google Inc， Case No： A2/2014/0403 Court of Appeal （2014）.。

三" 美歐濫用數據法域外效力規則的消極影響

數據法域外效力的擴張有其內在合理性，但未經來源國允許的數據跨境調取，將被視為對一國數據主權的侵犯，而被界定為外國數據法的不當域外適用。美國意欲繞過各國監管實現對全球數據的調取，其數據法的域外適用呈現恣意擴張的態勢，各國亟須重視并加以應對。相較之下，歐盟的數據法域外適用體系雖呈現“內向性”姿態，但設立高標準權利保護機制的原因是歐盟對外輸出數據監管模式的政策需求，以此尋求影響全球數據流動規則的話語權。

（一）增加各國數據被動開放的風險

隨著信息技術的迅猛發展，互聯網活動呈現遠程化、全球化和虛擬化的特點，極大地沖擊了傳統立法的管轄模式。然而，數據的存儲仍要依托計算機實體，這為國家主權原則向網絡空間治理領域拓展提供了基礎。在2023年11月召開的首屆全球人工智能安全峰會上，中國、歐盟等多個國家代表共同簽署《布萊切利宣言》，在宣言中表示要攜手合作應對人工智能所引發的相關風險，并尊重各國規制數據活動的自主權和靈活性GOV.UK， The Bletchley Declaration by Countries Attending the AI Safety Summit， November 1， 2023， https：//www.gov.uk/government/publications/ai-safety-summit-2023-the-bletchley-declaration/the-bletchley-declaration-by-countries-attending-the-ai-safety-summit -1-2-november-2023.。可見，數據主權是國家主權在網絡空間的自然延伸和表現，國家主權原則依然是全球數據規則治理的基礎。在數據主權原則的指引下，各國普遍主張不能以嚴格的自由流動義務或完全禁止本地化的要求來限制主權國家出于正當理由治理互聯網的能力。截至目前，已涉及32個國家的27項自貿協定包含了有關數據本地化的條款Chiara Del Giovane， Janos Fcrencz， Javier López-González， “The Nature， Evolution and Potential Implications of Data Localisation Measures，” OECD Trade Policy Papers， no. 278 （November 10， 2023）： 16.。

然而，數據的本地化存儲并不能削減互聯網企業對數據的現實支配力。鑒于微軟、谷歌、蘋果等美國企業近乎掌控了全球數據設備終端和傳輸通道，美國傾向于將數據支配力作為數據監管權力行使的邊界。美國司法部認為，只要可以從美國領土訪問到有關數據，這些數據就屬于美國法律可以輕松“領土化”的地區U.S. Department of Justice， “Promoting Public Safety， Privacy， and the Rule of Law Around the World： The Purpose and Impact of the CLOUD Act”， accessed March 18， 2024， https：//www.justice.gov/d9/pages/attachments/2019/04/10/doj_cloud_act_white_paper_2019_04_10.pdf.。這無疑是對他國數據主權的否定，并為自身數據霸權的行使提供依據。

數字產業的強大競爭力疊加CLOUD法案的“數據控制者標準”，致使美國政府的數據調取之手可方便地延伸到國境之外，實現了“境內外一盤棋”。從尋求國家間司法協助到要求企業提供數據，數據提供主體的轉變極大地減少了美國獲取域外數據的阻力。加之調取全球數據的干涉性追求，美國數據法存在恣意濫用的趨向，這勢必會加劇美國與他國數據管轄權的沖突，增加他國境內存儲數據被動開放的風險。在此背景下，由于缺乏與美國數字產業相抗衡的經濟實力，大部分國家尤其是最不發達國家難以通過雙邊談判達成雙向數據流動安排，只能被迫遵循CLOUD法案的“適格外國政府”標準和美國政府的審查。

歐盟數據法雖致力于內部市場的統一化建設，但也存在侵犯他國數據主權的隱憂問題。例如，歐盟在《電子證據條例（草案）》中規定了與美國CLOUD法案相似的“數據控制者義務”，以期單方面獲取域外數據European Commission， “Proposal for a Regulation of the European Parliament and of the Council on European Production and Preservation Orders for electronic evidence in criminal matters，” accessed March 18， 2024， https：//eur-lex.europa.eu/legal-content/EN/TXT/？qid=1524129181403amp;uri=COM：2018：225：FIN.。另外，GDPR的域外適用以數據行為構成“設立機構標準”或“目標指向標準”為要件，但面對紛繁復雜且日新月異的網絡空間，從事實要件到構成要件的投射過程存在高度的不確定性。例如，針對域外數據控制者提供商品或服務的行為，GDPR還要求判斷域外數據處理者是否有向歐盟數據主體提供商品、服務的主觀目的。對此，歐盟數據保護委員會認為，應結合具體的案件事實加以判斷，并綜合考慮其他因素European Data Protection Board， Guidelines 3/2018 on the territorial scope of the GDPR （Article 3）， https：//www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_en， November 12， 2019： 7.。由于立法措辭的模糊性，歐盟執法機關或法院可以在實踐中放寬境內主體與域外數據處理行為的實際聯系要求，采取相關措施，進而影響他國的監管自主性。

（二）抬高企業全球經營的合規門檻

近年來，歐盟數據立法不斷更新迭代，對公民數據權利的保護力度漸次加大。通過數據法域外適用，歐盟能夠塑造其他國家及市場行為主體的議程設置和偏好界定，進而重塑各國的相對優勢與國際競爭格局。例如，高標準的權利保護搭配數據法的域外適用，容易在事實上造成數據本地化的效果，即造成間接型數據本地化Organization for Economic Co-operation and Development， Data localisation trends and challenges， December 22， 2020， https：//www.oecd.org/sti/data-localisation-trends-and-challenges-7fbaed62-en.htm.，大幅增加企業的合規成本。2023年4月，歐盟依據DSA要求17個超大在線平臺和兩個超大型在線搜索引擎承擔更嚴格的平臺義務，否則相關企業將面臨全球年營業額6%的罰款 European Commission Questions and answers on the Digital Services Act， February 23， 2024， https：//ec.europa.eu/commission/presscorner/detail/en/QANDA_20_2348.。迫于巨大的監管壓力，許多大型在線平臺開始有針對性地調整其數據合規政策。例如，TikTok推出“三葉草項目”，花費12億歐元在愛爾蘭和挪威新建三個數據中心，用于存儲1.5億歐洲用戶的個人數據，以滿足歐盟的合規要求Beth Maundrill， “TikTok Initiates Project Clover Amid European Data Security Concerns”， accessed February 23， 2024， https：//www.infosecurity-magazine.com/news/tiktok-initiates-project-clover/.。

同時，歐盟數據法的域外適用可能加重境外企業的法律責任。在Google Spain案后，谷歌公司遵循判決結果，有針對性地調整了在歐盟境內的搜索程序，但歐盟數據保護機構認為，谷歌公司應在全球范圍內刪除鏈接，實現用戶的被遺忘權。在Schrems II案中，歐盟法院同樣認為，無論是否在歐盟境內，歐盟用戶的個人數據保護水平應實質等同Data Protection Commissioner v. Facebook Ireland Ltd， Maximillian Schrems， Case C-311/18.。為了強化與歐盟的實際聯系，GDPR還要求域外互聯網企業在歐盟境內設立代表處General Data Protection Regulation， Chapter 4， Article 27.。相關代表處即便不進行具體的經營活動，也可以作為歐盟數據保護機構調查執法的對象。如此一來，歐盟數據保護機構在依據GDPR域外效力規則認定域外數據控制者違反歐盟數據保護標準時，可以通過代表機構提高執法的有效性。

不僅如此，域外企業始終在被動適應歐盟的數據保護標準。隨著數據立法的完善，歐盟數據保護標準不斷提高。為實現“保護性”追求，歐盟強勢地將其數據保護標準全球化，從而導致歐盟與其他國家的數據跨境流動合作具有較強的不確定性。以歐盟與美國間的數據傳輸合作為例，安全港協議（Safe Harbor）、隱私盾協議（Privacy Shield）曾于2015年和2020年被歐盟相繼宣告無效，此種反復給美國企業帶來了極大的數據合規壓力。更值得關注的是，美歐前兩次合作的失效源自歐盟法院Maximillian Schrems v. Data Protection Commissioner案和Schrems II案的判決，這意味著歐盟法院是通過司法審查的方式實現對數據流動的全球監管金晶《個人數據跨境傳輸的歐盟標準——規則建構、司法推動與范式擴張》，《歐洲研究》2021年第4期，第99頁。。在這一過程中，美國更多的是在被動地面對歐盟數據保護標準的變化。2023年，新達成的“歐盟-美國數據隱私框架”（EU-U.S. Data Privacy Framework，以下簡稱EU-U.S. DPF）協議生效，該協議是美歐第三次嘗試建立穩定的跨大西洋數據流動安排所作的努力。美國企業的數據合規責任再次加碼，在個人權利保護方面，框架內企業應向歐盟用戶告知收集數據的類型與使用的目的，給予個人訪問其數據的權利，為個人提供限制其個人數據的使用和披露的選擇和手段。與此同時，為滿足國家安全的需要，企業仍要承擔向當局披露用戶信息或轉移給第三方的責任，相關企業還需每年向美國主管部門提供材料以證明其合規性，否則將受到美國商務部、聯邦貿易委員會（FTC）等機構的制裁。根據附件的規定，EU-U.S. DPF還構建了獨立的糾紛解決程序，允許歐盟個人提起仲裁，以解決“任何EU-U.S. DPF其他機制未解決的違反該框架的行為”International Trade Administration and U.S. Department of Commerce The U.S. Department of Commerce， EU-U.S. Data Privacy Framework， https：//privacyshielddev.blob.core.windows.net/publicsiteassets/Full%20Text_EU-U.S.%20DPF.pdf， April 2024， 25.。值得注意的是，EU-U.S. DPF的實施也不影響GDPR對歐盟成員國個人數據處理行為的適用性。可見，歐盟對外開展數據跨境流動合作的前提，是域外企業充分遵守歐盟的數據保護標準，并以此作為域外企業進入歐盟市場的條件。而隨著歐盟數據保護標準的提升，強調數據自由流動的美國公司不得不調整原有的數據運營模式安怡寧、田野《數字經濟多賽道競爭的權力機制——以美國和歐盟數字經濟政策為例》，《國際關系研究》2023年第6期，第34頁。。

四" 數據法域外適用的中國范式及其建構路徑

2022年，我國數字經濟規模達50.2萬億元，總量穩居世界第二，占GDP比重提升至41.5%《國家互聯網信息辦公室發布〈數字中國發展報告（2022年）〉》，中國網信網，2023年5月23日發布，2024年1月30日訪問，http：//www.cac.gov.cn/2023-05/22/c_1686402318492248.htm？eqid=e964285800089bd4000。，數字經濟已成為實現創新發展、重塑國民生活的重要力量。為規范引導數字產業發展，我國現已出臺《網絡安全法》、《數據安全法》、《個人信息保護法》等基礎性法律，國內數字經濟治理體系和治理能力現代化水平顯著提升。然而，相較于歐美的數據立法，我國數據法僅有個別條款涉及域外適用，規則的體系性不足，可適用性有待提高。我國《數據安全法》第二條規定，在我國境外開展數據處理活動，損害我國國家安全、公共利益或個體合法權益的，依法追究法律責任。在境外處理我國境內自然人個人信息的活動應受《個人信息保護法》調整。同時，針對歐美數據法的不當域外適用，我國也缺乏必要的應對措施。對此，我國亟須在現有分散式立法的基礎上，省思數據法域外適用體系的中國范式。

（一）構建我國“能動回應型”數據法域外適用體系

1.秉持“能動性”姿態

美國數據法域外適用體系的“外向性”姿態與其互聯網企業在全球的產業優勢密切相關，歐盟的“內向性”姿態則是其加強內部數字市場統一化監管的結果。相比之下，我國數字產業的發展兼具歐美的特點。一方面，我國數字市場日新月異，但互聯網企業的經營行為仍需加強規范引導。2021年，在對滴滴公司的網絡安全審查中，國家網信辦查明滴滴公司存在違法收集用戶手機相冊中的信息、人臉識別信息、乘客地址信息等16項違法事實《國家互聯網信息辦公室有關負責人就對滴滴全球股份有限公司依法作出網絡安全審查相關行政處罰的決定答記者問》，中國網信網，2022年7月21日發布，2023年12月24日訪問，http：//www.cac.gov.cn/2022-07/21/c_16600215343064976.htm。。在國家安全領域，2023年，我國在對美光公司進行網絡安全審查時發現，該公司在華銷售的產品和提供的服務涉及對我國基礎設施相關關鍵信息數據的收集，存在嚴重涉外網絡安全隱患《美光公司在華銷售的產品未通過網絡安全審查》，中國網信網2023年5月21日發布，2023年12月24日訪問，http：//www.cac.gov.cn/2023-05/21/c_1686348043518073.htm。。另一方面，自2017年習近平總書記提出“數字絲綢之路”倡議以來，我國持續加強與“一帶一路”共建國家在數字經濟前沿領域的合作，國內數字產業的發展成果正惠及全球。當前，我國已與17個國家簽署“數字絲綢之路”合作諒解備忘錄，與23個國家建立“絲路電商”雙邊合作機制，與周邊國家累計建設34條跨境陸纜和多條國際海纜林子涵《中國“數字絲綢之路”創造新機遇》，《人民日報海外版》2022年10月10日，第10版。。“在尼日利亞，中尼兩國企業合作成立的電子商務及支付企業OPay，已成為該國最大的移動支付網絡之一，擁有700萬用戶和30萬家合作商戶，每月交易額達30億美元”科菲·庫阿庫《攜手共建“數字絲綢之路”（觀點）》，《人民日報》2023年5月29日，第17版。。因此，我國數據法域外適用體系的建構應秉承兼收并蓄的理念，積極參與全球數據治理，既要順應引導本國數字市場發展的內向性要求，也應兼顧保障互聯網企業走出去的外向性需要，保護企業的海外合法權益，推動“數字絲綢之路”的高質量發展。

2.致力“應對性”追求

一方面，應對域外數據控制者的不當行為影響，維護國家安全、公共利益與公民權益。在實踐中，以逐利為目的的數據控制者存在過度收集、使用和處理數據的傾向。對此，我國近年來不斷完善數據法律體系，總結數據治理的中國經驗。不同于歐盟以人格與身份為核心的“保護性”數據立法，我國《個人信息保護法》更加具有實用主義的特點，其保護的法益涵蓋了人格與人身財產安全等多項權益丁曉東《〈個人信息保護法〉的比較法重思：中國道路與解釋原理》，《華東政法大學學報》2022年第2期，第73頁。。同時，作為發展中國家，我國強調數據的跨境流動不能有損國家安全。在此基礎上，我國應協調內外部數據市場，探尋中國特色數據法域外效力的系統性延伸方案。不僅如此，通過完善數據法域外適用體系，我國亦可與全球數據治理建立內外聯動模式，推動數據流動國際規則的形成，為全球數據治理貢獻中國方案。

另一方面，主動解決外國數據法域外效力規則的濫用問題，積極有效地應對外部風險挑戰。習近平指出，在信息領域沒有雙重標準，各國都有權維護自己的信息安全，不能犧牲別國安全謀求自身所謂絕對安全習近平《弘揚傳統友好 共譜合作新篇——在巴西國會的演講》（2014年7月16日，巴西利亞），《人民日報》2014年7月18日，第3版。。我國于2020年提出《全球數據安全倡議》，呼吁“各國應尊重他國主權、司法管轄權和對數據的安全管理權，未經他國法律允許不得直接向企業或個人獲取位于他國的數據”《全球數據安全倡議》，《人民日報》2020年9月9日，第16版。。然而，以美國CLOUD法案為代表的“干涉性”數據域外適用體系存在較高的濫用風險，我國應充實數據法律工具箱，建立完善阻斷制度，賦予企業國內救濟途徑，以避免我國境內數據的被動開放風險。

（二）推動我國數據法域外效力的合理適度延伸

目前，我國《個人信息保護法》與《數據安全法》采用數據處理的“行為發生地標準”，即無論數據處理者是否在中國境內，只要其數據處理行為發生在我國，就應受我國數據法的調整。“行為發生地標準”看似適用范圍廣泛，但數據在傳輸過程中，可能會涉及多個位于不同位置的服務器以及遍布全球的網絡線路，致使在實踐中數據處理行為地難以被準確認定。同時，我國《個人信息保護法》第三條規定的具有域外效力的條件，包括“以向境內自然人提供產品或服務為目的”或“分析、評估境內自然人的行為”等情形，在表達上具有模糊性，在實踐中較難界定。對此，我國可借鑒域外立法模式，完善數據法域外效力規則。

首先，采用“設立機構標準”的域外適用模式。相較“行為發生地標準”，歐盟數據法的“設立機構標準”作為客觀的連接點，在實踐中更容易聚焦物理地點的關聯性。為保障數據法調整范圍的周延性，“設立機構標準”應包含域外企業在我國境內設立的分支機構或具有法人資格的子公司。

其次，吸納“目標指向標準”作為補充。當前中國網絡用戶人數已位居世界首位，數字經濟規模位列全球第二，這既反映出我國數據產業的強大實力，也對數據保護提出了更高要求，因此，以效果原則為連接點，對擁有巨型數據市場的我國尤為重要。在此基礎上，發揮我國司法的能動作用，也有助于提高數據法域外適用的靈活性。作為技術日新月異的新興領域，與數據相關糾紛的產生，往往也會創設一個部分或者全部不受規范所約束的新場域，沖突成為促使新規范建立的催化劑，致使新規則不斷地被創造、舊規則不斷地被改進林福辰《全球治理體系變革視域下的中國國際商事法庭：功能承載與發展展望》，《四川大學學報（哲學社會科學版）》2024年第2期，第196頁。。因此，我國法院應秉持能動司法的姿態，將行為對國家安全和利益的影響作為連接點，探尋域外數據處理行為與我國的實際聯系方案。同時，不僅應關注個案的審理，更應積極評估糾紛所涉及的各方利益與多元價值，分析闡釋數據跨境流動治理的中國立場。

再次，我國數據法域外適用體系的建構應堅守國際法治軌道。美國“外向干涉型”數據法域外適用體系是“美國優先”理念下的產物，存在濫用傾向。因此，我國應防范美國CLOUD法案不當適用所引發的消極影響，而不是將“數據控制者標準”作為借鑒模板。構建我國域外適用的法律體系，應以得到國際法認可的管轄原則或與相關國家締結的國際條約作為依據，從而與美式“長臂管轄”劃清界限。如出現法律沖突，應秉持多邊主義，考慮其他國家的合理利益與關切，通過協商談判予以妥善解決。

（三）完善外國數據法不當域外適用的阻斷機制

我國《數據安全法》第三十六條規定，非經我國主管機關批準，境內主體不得向外國司法或執法機構提供存儲于我國境內的數據。然而，在外國強制數據調取的證據開示要求和我國數據監管的雙重壓力下，企業履行任何一方的義務都會遭到另一方的懲罰，進而陷入左右為難的境地。為避免給企業帶來不必要的合規義務，衡平關鍵數據本地化監管與外國數據披露要求的內在張力，成為當前亟待解決的問題。

針對外國數據法的不當域外適用，我國應完善阻斷立法，豐富企業救濟途徑。通常而言，阻斷法是指在管轄權沖突的情況下，禁止在本國管轄范圍內適用外國具有域外效力的法律并消除其影響的一類國內法的統稱葉研《歐盟〈阻斷法案〉述評與啟示》，《太平洋學報》2020年第3期，第53頁。。廣義的阻斷法包含了應對不當域外證據開示的法律，以及應對次級經濟制裁的法律徐偉功《論次級經濟制裁之阻斷立法》，《法商研究》2021年第2期，第188頁。。目前，我國《阻斷外國法律與措施不當域外適用辦法》（以下簡稱《阻斷辦法》）的適用前提僅限于在“違反國際法和國際關系基本準則”的條件下，不當禁止或者限制我國主體與第三國（地區）進行正常的經貿及相關活動的情形，即針對次級制裁的阻斷，無法涵蓋外國濫用數據法域外效力規則要求數據控制者開示證據的情形。因此，在《阻斷辦法》基礎上，我國可從公力阻斷與私人救濟兩方面建構數據法阻斷規則。其一，以美國CLOUD法案為代表的數據法域外效力規則，本質上是借助單邊手段獲取電子化的司法證據，符合廣義阻斷語境下的損害他國司法主權的取證情形。對此，法國2022年修訂的《阻斷法》，明確企業在面對外國數據披露要求時，有向法國政府報告的義務French Law No. 2022-207.。目前我國《阻斷辦法》的法律位階偏低，考慮到外國數據法不當域外適用的現實威脅，應打破《阻斷辦法》規則供給不足及法律位階低的掣肘，推動制定《阻斷法》王淑敏、李倩雨《中國阻斷美國次級制裁的最新立法及其完善》，《國際商務研究》2021年第4期，第27頁；郭爍《云存儲的數據主權維護——以阻斷法案規制“長臂管轄”為例》，《中國法律評論》2022年第6期，第81頁。，并將外國數據法不當域外適用所涉及的證據開示納入阻斷范圍。同時，考慮到數據無邊界的屬性，數據傳輸阻斷禁令的申請主體可由“中國公民、法人或者其他組織”，擴展為“在中國有經常居所地的公民和在中國有營業地的法人或者其他組織”。其二，拓展私人救濟途徑，突破企業的“兩難困境”。《阻斷辦法》第十一條規定，我國企業因未遵守外國法律受到重大損失的，我國政府可以根據具體情況給予必要的支持。針對數據產業的特殊性和敏感性，我國應細化企業申請政府支持的標準以及政府提供補償的形式。2023年9月，我國頒布《外國國家豁免法》，其第四條授權我國法院在特定情形下管轄以外國國家為被告的民事案件。在此背景下，我國應完善追償程序，明確追索求償訴訟的請求權基礎和案件的管轄范圍，準許因外國濫用數據法域外效力規則而遭受損失的我國自然人、法人或者其他組織在國內法院起訴并要求賠償。

［責任編輯：蘇雪梅］