閆飛

摘? ?要：大數(shù)據(jù)、云計算時代的數(shù)據(jù)信息跨境存儲已成為新常態(tài)，涉外網(wǎng)絡安全問題尤為突出。因此，各國網(wǎng)絡安全法律在規(guī)制其國內(nèi)網(wǎng)絡安全的同時，普遍采取擴大本國網(wǎng)絡安全法律涉外管轄權(quán)的立法原則。文章以國際法基本理論出發(fā)，結(jié)合當前歐美網(wǎng)絡安全法律涉外管轄權(quán)規(guī)定，探討我國《網(wǎng)絡安全法》涉外管轄權(quán)相關(guān)條款的完善問題。

關(guān)鍵詞：網(wǎng)絡安全;數(shù)據(jù)保護;涉外管轄權(quán);網(wǎng)絡空間主權(quán)

中圖分類號：D90? ? ? ? ? 文獻標識碼：A

Abstract： In the era of big data and cloud computing， cross-border storage of data information has become the new normal， and cross-border network security issues are particularly prominent. Therefore， while cybersecurity laws of various countries mainly regulate their domestic cybersecurity， they also generally adopt the legislative principle of expanding the foreign-related jurisdiction of their cybersecurity laws. Based on the basic theory of international law， this paper studies the cybersecurity laws concerning foreign-related jurisdiction in Europe and the United States to explore the improvement of the relevant provisions of China's "Network Security Law".

Key words： network security; data protection; foreign-related jurisdiction; cyberspace sovereignty

1 引言

第四次工業(yè)革命的時代特征是互聯(lián)，數(shù)據(jù)信息已經(jīng)成為當今最重要的經(jīng)濟資源之一，網(wǎng)絡及數(shù)據(jù)信息安全問題深入影響政治、經(jīng)濟、軍事、外交等各個社會領(lǐng)域。人工智能（Artificial Intelligence）、大數(shù)據(jù)（Big Data）、云計算（Cloud Computing）、物聯(lián)網(wǎng)（Internet of Things）、區(qū)塊鏈（Blockchain）等名詞，從原來的技術(shù)、學術(shù)前沿概念，逐漸成為個人日常生活以及經(jīng)濟活動的一部分，數(shù)據(jù)信息資源在互聯(lián)網(wǎng)以及現(xiàn)代數(shù)據(jù)處理技術(shù)下加速被開發(fā)、轉(zhuǎn)移及利用。與此同時，掌握網(wǎng)絡平臺及數(shù)據(jù)信息的主體擁有越來越大的網(wǎng)絡力量，世界各國在涉外網(wǎng)絡安全事件頻發(fā)背景下，紛紛開始加強網(wǎng)絡安全立法，并在立法中明確涉外管轄權(quán)問題。

2 涉外網(wǎng)絡安全事件國際法規(guī)制基本問題

2.1 涉外網(wǎng)絡安全事件頻發(fā)

近年來，國際網(wǎng)絡安全事件頻發(fā)，如何維護信息網(wǎng)絡安全，保障數(shù)據(jù)主體權(quán)利，平衡各方利益成為了時代的難題。歸納起來，可以將近年具有代表性的網(wǎng)絡安全相關(guān)事件歸為三類。

第一類是泄密及監(jiān)聽。2013年英國《衛(wèi)報》《華盛頓郵報》同時報道了美國代號為US-984XN的秘密監(jiān)控項目。該計劃由美國國家安全局（NSA）與美國聯(lián)邦調(diào)查局（FBI）共同啟動，其為人熟知的另一個代號是棱鏡計劃（PRISM）。在此計劃中，美國NSA及FBI直接進入美國網(wǎng)絡服務供應商的中心服務器中收集情報數(shù)據(jù)，其中涉及配合參與監(jiān)聽的美國公司有微軟、谷歌、蘋果等互聯(lián)網(wǎng)服務及終端供應商巨頭。在此次事件中，包括德國總理默克爾在內(nèi)的歐洲及世界多國政要的移動電話遭到美國政府監(jiān)聽，一度引起嚴重外交風波。類似事件還有通過互聯(lián)網(wǎng)竊取并公布美軍阿富汗戰(zhàn)爭數(shù)萬份機密文件的維基解密（WikiLeaks）事件。

第二類是個人數(shù)據(jù)商業(yè)侵權(quán)。世界上最大的互聯(lián)網(wǎng)社交媒體平臺臉書（Facebook）在長達4年的時間內(nèi)，致使數(shù)千萬用戶的個人信息被“劍橋分析”公司不當獲取，甚至被指控涉嫌利用非法獲取的數(shù)據(jù)操縱美國大選及英國脫歐公投。谷歌的移動終端操作系統(tǒng)安卓（Android）于GDPR生效當日即被以不當收集并使用個人數(shù)據(jù)為由提起控訴，經(jīng)過法國數(shù)據(jù)保護監(jiān)管機構(gòu)CNIL為期半年的調(diào)查，谷歌被處罰金5000萬歐元。

第三類是利用互聯(lián)網(wǎng)實施犯罪。這類網(wǎng)絡安全事件包括近年來屢見不鮮的勒索病毒事件、通過互聯(lián)網(wǎng)實施恐怖襲擊以及頻見報端的跨境網(wǎng)絡電信詐騙等。

上述各類網(wǎng)絡安全事件幾乎都有一個共同的特點，即國際化，這反映了互聯(lián)網(wǎng)時代的特點。此外，另一個共同特點是，當網(wǎng)絡安全事件持續(xù)發(fā)酵，往往會牽涉到不同國家的政府部門或跨國互聯(lián)網(wǎng)巨頭公司。

2.2 國際法規(guī)制的必要性及可行性

數(shù)據(jù)安全保障是擺在每一個國家政府面前的重要任務。各國必須采取適當手段進行互聯(lián)網(wǎng)管控，以確保大規(guī)模網(wǎng)絡安全事件不會對本國主權(quán)、公民及企業(yè)造成不利影響。在此背景下，通過國際法手段實現(xiàn)網(wǎng)絡安全規(guī)制成為了首選解決途徑。其原因在于兩點。

首先，互聯(lián)網(wǎng)秩序仍需要法制維系。在各國法律體系中，政府維護并確保法律的強制執(zhí)行力，因此通過法律制度固化的社會規(guī)則得以成為最穩(wěn)定的社會行為準則。在應對網(wǎng)絡安全危機時，各國政府首選通過立法實現(xiàn)維護網(wǎng)絡安全的目的。例如，在棱鏡門事件爆出多位歐洲國家領(lǐng)導人遭到監(jiān)聽的隨后幾年，歐洲加快了《一般個人數(shù)據(jù)保護條例》（General Data Protection Regulation，GDPR）的立法程序，最終在棱鏡門東窗事發(fā)后第三年的2016年正式公布了“史上最嚴”的個人數(shù)據(jù)保護法。GDPR加強了對跨國公司數(shù)據(jù)控制者及數(shù)據(jù)處理者的法律規(guī)制，同時確定了違法者全球營業(yè)額4%為上限的違規(guī)處罰。GDPR在生效后第一時間，便展開了對美國谷歌和臉書等互聯(lián)網(wǎng)巨頭的調(diào)查。

其次，國際法是網(wǎng)絡安全維護法制中的核心環(huán)節(jié)。在互聯(lián)網(wǎng)時代，物理的國界已經(jīng)被超高速數(shù)據(jù)傳輸所打破，數(shù)據(jù)信息甚至是資產(chǎn)需要以不通過傳統(tǒng)的中介機構(gòu)實現(xiàn)跨境流通。在此背景下，如果僅依靠國內(nèi)法制解決網(wǎng)絡安全問題，則勢必掛一漏萬。具體而言，國際法的最主要淵源應當是國際條約，即政府間或國際組織針對網(wǎng)絡安全問題所締結(jié)的國際公約、區(qū)域性公約或雙邊多邊條約。然而，在世界各國均已認識到網(wǎng)絡數(shù)據(jù)權(quán)利涉及到根本利益的背景下，通過國際條約形式制定國際網(wǎng)絡安全規(guī)則的努力宛如水中撈月。因此，在無法達成協(xié)商一致的情況下，各國紛紛轉(zhuǎn)而通過國內(nèi)法制中的涉外規(guī)定擴大涉外管轄權(quán)，以實現(xiàn)維護網(wǎng)絡安全的目的。

3 網(wǎng)絡安全法律涉外管轄權(quán)原理及管轄權(quán)擴張

3.1 國際法管轄權(quán)基本原理

國際法中的管轄權(quán)基本原理肇始于國際法學誕生之初，其以民族國家的主權(quán)為原則，以主權(quán)項下所代表的領(lǐng)土為最基本載體得以確認。國際法理論中的管轄權(quán)原則包括屬地管轄（Territorial Jurisdiction）、屬人管轄（Personal Jurisdiction）、保護性管轄（Protective Jurisdiction）等。

在網(wǎng)絡安全涉外管轄領(lǐng)域中，傳統(tǒng)的管轄權(quán)理論與互聯(lián)網(wǎng)發(fā)展存在著一定的失配。首先，屬地管轄無法徹底完成網(wǎng)絡空間的覆蓋，其只能針對相關(guān)主體、固定終端設備進行管轄規(guī)制，卻無法完成針對網(wǎng)絡行為、移動終端設備進行法律規(guī)制，因為在網(wǎng)絡數(shù)據(jù)交互領(lǐng)域，網(wǎng)絡行為跨境無以計數(shù)、移動終端自由移動。其次，屬人管轄在網(wǎng)絡領(lǐng)域更難以發(fā)揮實際作用，多數(shù)的互聯(lián)網(wǎng)行為都是匿名形式進行的，當行為發(fā)生在境外，即便一國監(jiān)管機關(guān)有能力實時監(jiān)控，也很難直接將本國人在境外的互聯(lián)網(wǎng)行為及時切斷。至于保護性管轄等，更無法在網(wǎng)絡安全法律中發(fā)揮重要作用。

鑒于此，世界各國在當下選擇了不同的網(wǎng)絡安全法律管轄權(quán)模式。

3.2 歐盟：GDPR中的域外管轄擴張

GDPR作為歐盟最新的個人數(shù)據(jù)保護法，是為了實現(xiàn)對歐洲自然人和在歐洲境內(nèi)發(fā)生的數(shù)據(jù)處理行為進行立法規(guī)制的。通過擴大管轄事項以及個人數(shù)據(jù)（Personal Data）、數(shù)據(jù)控制者（Data Controller）及數(shù)據(jù)處理者（Data Processor）的定義范圍而實現(xiàn)其域外管轄權(quán)擴張目的。

如果運用國際法管轄權(quán)傳統(tǒng)理論分析，GDPR的涉外管轄權(quán)首先采取了“屬地+屬人”原則。GDPR第3條首先規(guī)定，其適用于在歐盟內(nèi)部設立的數(shù)據(jù)控制者或處理者對個人數(shù)據(jù)的處理，不論其實際數(shù)據(jù)處理行為是否在歐盟內(nèi)進行。同時，進一步規(guī)定：GDPR適用于如下相關(guān)活動中的個人數(shù)據(jù)處理，即使數(shù)據(jù)控制者或處理者不在歐盟設立——為歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務——不論此項商品或服務是否要求數(shù)據(jù)主體支付對價;或?qū)Πl(fā)生在歐洲范圍內(nèi)的數(shù)據(jù)主體的活動進行監(jiān)控，即如果主體或行為有一端與歐盟存在連接點，則屬于GDPR管轄范圍。同時，GDPR也規(guī)定，如果身處歐洲境內(nèi)，非歐盟自然人的個人數(shù)據(jù)仍然受到GDPR同等標準的保護。

此外，GDPR通過限制數(shù)據(jù)出境而避免數(shù)據(jù)控制者或數(shù)據(jù)處理者（主要是針對跨國互聯(lián)網(wǎng)巨頭），通過數(shù)據(jù)出境而規(guī)避GDPR的涉外管轄權(quán)。GDPR第5章對數(shù)據(jù)轉(zhuǎn)移至歐盟境外第三國進行了嚴格的限制，GDPR第45條規(guī)定：當歐盟委員會作出認定，認為相關(guān)的第三國、第三國中的某區(qū)域或一個或多個特定部門、或國際組織具有充足保護，可以將個人數(shù)據(jù)轉(zhuǎn)移到第三國或國際組織。此類轉(zhuǎn)移不需要特定的授權(quán)。事實上，包括中國、美國在內(nèi)的絕大多數(shù)國家均不在列。

通過“屬地+屬人”原則配合限制跨境轉(zhuǎn)移，GDPR實現(xiàn)了立法層面的涉外數(shù)據(jù)保護“全覆蓋”。

3.3 美國：長臂管轄原則

美國的網(wǎng)絡安全法律并未采取專門法典化的形式進行編纂，而是散見于不同的法案中。近年來最具代表性的就是《澄清域外合法使用數(shù)據(jù)法》（the Clarifying Lawful Overseas Use of Data Act，CLOUD Act），也稱CLOUD法案。2018年初，由美國數(shù)位參議員提交的CLOUD法案并入《2018年綜合撥款提案》獲得生效實施。CLOUD法案延續(xù)了美國在涉外管轄權(quán)領(lǐng)域一貫追求的長臂管轄原則（Long-arm Jurisdiction）。

CLOUD法案涉外長臂管轄首先體現(xiàn)在其對網(wǎng)絡服務提供主體的管轄范圍定義上。注冊在美國，或面向美國公眾提供電子通信服務的提供商、遠程計算服務提供商在美國有實質(zhì)性商業(yè)存在時，即受到CLOUD管轄。如一個中國網(wǎng)絡運營商，在美國有分支機構(gòu)并從事網(wǎng)絡服務業(yè)務，該公司受CLOUD管轄。這實現(xiàn)了長臂管轄的第一步主體歸入。

進而，該法案采用“數(shù)據(jù)控制者標準”，除非滿足少數(shù)排除條件，當上述數(shù)據(jù)服務商被識別為美國數(shù)據(jù)控制者，必須與美國政府配合從全球各地調(diào)取數(shù)據(jù)信息。

一方面，該法案實現(xiàn)了對美國主體信息的絕對控制，另一方面CLOUD利用美國互聯(lián)網(wǎng)公司的巨大商業(yè)優(yōu)勢，實現(xiàn)了控制其他國家境內(nèi)存儲、處理的網(wǎng)絡數(shù)據(jù)的域外管轄權(quán)，可謂將美國的網(wǎng)絡空間行政管轄版圖擴展至全球。

鑒于屬地管轄是各國網(wǎng)絡安全相關(guān)法律所必然采納的基礎原則，在長臂管轄原則背景下，可以說美國網(wǎng)絡安全法律必然與世界其他國家的網(wǎng)絡安全法律發(fā)生沖突。

4 涉外管轄權(quán)沖突與國際協(xié)調(diào)

4.1 涉外管轄權(quán)沖突

鑒于歐盟GDPR及美國CLOUD都對涉外管轄權(quán)進行擴張行為，當其意圖行使域外管轄權(quán)時，必然與他國網(wǎng)絡安全法律發(fā)生沖突。這種管轄權(quán)沖突應當屬于國際法領(lǐng)域中的公法沖突。

公法沖突伴隨著現(xiàn)代社會公法私法二元化弱化而產(chǎn)生。在經(jīng)濟立法中，為了調(diào)整涉外商業(yè)或經(jīng)濟活動，一國立法機關(guān)規(guī)定了公法的域外效力。在法律實施階段，當其意圖實施域外效力時，相關(guān)公法規(guī)定將與行使屬地管轄權(quán)的所在國公法發(fā)生沖突。最具典型代表性的就是競爭法領(lǐng)域。近年來，在諸多以跨國企業(yè)為并購投資標的項目中，由于其中涉及不同國家的商業(yè)實體，這些項目需要獲得多個甚至數(shù)十個國家反壟斷法機關(guān)的審批通過。例如，發(fā)生在2014年的全球最大航運業(yè)聯(lián)合：丹麥馬士基集團、地中海航運公司與法國達飛海運集團P3聯(lián)盟計劃，在完成了多國反壟斷機構(gòu)審批后，因未能獲得中國反壟斷機構(gòu)審批而終告失敗。

在網(wǎng)絡安全領(lǐng)域，涉外管轄權(quán)沖突問題遠比反壟斷領(lǐng)域沖突問題尖銳。

首先，網(wǎng)絡安全法律涉外管轄權(quán)的行使標志著網(wǎng)絡數(shù)據(jù)信息的控制權(quán)。誠如前文所述，當美國行政部門依據(jù)CLOUD法案的長臂管轄原則行使信息調(diào)取權(quán)利，在理論上可以掌握管轄范圍內(nèi)所有互聯(lián)網(wǎng)服務平臺上的境內(nèi)外數(shù)據(jù)信息，管轄權(quán)直接轉(zhuǎn)化為數(shù)據(jù)控制權(quán)。而在數(shù)據(jù)信息時代，數(shù)據(jù)控制權(quán)已經(jīng)實際成為了一國主權(quán)的重要組成部分。當發(fā)生管轄權(quán)沖突，其必將引發(fā)政治、外交、經(jīng)濟連鎖反應。

其次，網(wǎng)絡安全法律涉外管轄權(quán)沖突是排他性沖突，無法自然調(diào)和。由于網(wǎng)絡安全法律的特殊性原因，涉外管轄權(quán)的行使必然是非此即彼的，不存在兩國機關(guān)同時針對同一事項行使管轄權(quán)的情況，這與競爭法領(lǐng)域中的公法沖突存在顯著區(qū)別。

綜上，涉外管轄權(quán)沖突作為一種公法沖突，需要采取外部機制進行調(diào)和。

4.2 涉外管轄權(quán)沖突的國際協(xié)調(diào)

涉外管轄權(quán)沖突在國際法層面上可以利用硬性或軟性的國際法工具進行軟化，以實現(xiàn)國際協(xié)調(diào)。硬性工具指國際條約，軟性工具指國際慣例及一般法律原則。

以締結(jié)國際公約、區(qū)域性公約或雙邊條約的形式進行涉外管轄權(quán)沖突調(diào)和的優(yōu)勢在于其穩(wěn)定性，但前文已提及，當前締結(jié)國際條約實現(xiàn)網(wǎng)絡安全法律協(xié)作的難度很大，應當首先考慮雙邊條約領(lǐng)域的嘗試。2016年美歐簽署雙邊條約《歐美隱私盾協(xié)議》（EU-U.S. Privacy Shield）以結(jié)束早前因廢除《安全港協(xié)議》（Safe Harbor）后雙方?jīng)]有數(shù)據(jù)跨境流通雙邊協(xié)議的狀態(tài)。通過該項條約，美歐之間的個人數(shù)據(jù)得以跨大西洋流通，同時歐洲得以要求美國相關(guān)數(shù)據(jù)控制者及處理者承擔更為嚴格的數(shù)據(jù)保護義務。

在沒有硬性國際法條約的前提下，各國可以依據(jù)互惠原則（Principle of Reciprocity）解決涉外管轄權(quán)沖突的問題?；セ菰瓌t源于國際私法中的國際禮讓原則（Principle of Comity），即一國給予另一國權(quán)力讓步，另一國也應當相應給與禮讓?；セ菰瓌t需要經(jīng)過長期反復實踐才能夠成為國際法淵源中的國際慣例或一般法律原則，在當下的網(wǎng)絡安全國際法領(lǐng)域，尚不能說有已形成的國際慣例或一般法律原則，因此雙邊互惠關(guān)系的形成尚待時日。

事實上，無論是雙邊條約還是互惠關(guān)系，都只能解決雙邊層面的涉外管轄權(quán)沖突協(xié)調(diào)問題。在互聯(lián)網(wǎng)領(lǐng)域，涉外管轄權(quán)沖突往往是復邊的甚至是多邊的，最終仍然需要國際條約或國際組織規(guī)范進行有效的多邊協(xié)調(diào)。

5 中國網(wǎng)絡安全法涉外管轄條款完善建議

2016年11月，《中華人民共和國網(wǎng)絡安全法》正式通過，次年6月起施行。《中華人民共和國網(wǎng)絡安全法》是我國第一部全面規(guī)范網(wǎng)絡空間安全管理方面問題的基礎性法律，是我國網(wǎng)絡空間法治建設的重要里程碑。其第2條規(guī)定：在中華人民共和國境內(nèi)建設、運營、維護和使用網(wǎng)絡，以及網(wǎng)絡安全的監(jiān)督管理，適用本法。盡管實現(xiàn)了立法突破，但是在涉外管轄權(quán)問題上，仍然存在一定的完善空間。

5.1 細化網(wǎng)絡空間主權(quán)原則的管轄依據(jù)

網(wǎng)絡空間主權(quán)是中國政府向全世界發(fā)出的共同構(gòu)建網(wǎng)絡空間命運共同體倡議的一部分，網(wǎng)絡空間主權(quán)原則首次寫入立法是在《中華人民共和國國家安全法》《網(wǎng)絡安全法》第1條以立法形式再次重申了網(wǎng)絡空間主權(quán)的概念。

區(qū)別于歐盟GDPR的擴張式立法和美國CLOUD法案的長臂管轄，我國《網(wǎng)絡安全法》并未具體擴張解釋涉外管轄權(quán)的具體內(nèi)容，而是使用網(wǎng)絡空間主權(quán)進行原則性宣示。根據(jù)國際法基本理論，主權(quán)內(nèi)容包括對內(nèi)最高權(quán)和對外平等權(quán)，網(wǎng)絡空間主權(quán)原則的確立也說明了中國在網(wǎng)絡安全法律領(lǐng)域不追求擴張式域外管轄。

為了實現(xiàn)上述立法目的，應當在《網(wǎng)絡安全法》中進一步細化網(wǎng)絡空間主權(quán)原則的具體內(nèi)容，可以嘗試對外國法律的擴張適用進行負面排除，以確保對內(nèi)最高權(quán)的妥善實施。

5.2 加強以數(shù)據(jù)跨境為控制點

鑒于《網(wǎng)絡安全法》的涉外管轄并未采取擴張適用原則，因此為確保法律實施，應當進一步以數(shù)據(jù)跨境為主要控制點，規(guī)范數(shù)據(jù)跨境傳輸、存儲、處理等行為。

《網(wǎng)絡安全法》第37條及第50條分別規(guī)定了數(shù)據(jù)出入境的控制規(guī)則。然而，并沒有進一步細化實施規(guī)則。在《網(wǎng)絡安全法》實施與完善過程中，應當明確細化數(shù)據(jù)跨境控制的關(guān)鍵原則，避免政策闕如。

此外，關(guān)于違規(guī)跨境的處罰僅在第66條規(guī)定違反第37條之規(guī)定最高50萬元人民幣的罰款。相對GDPR動輒數(shù)千萬歐元的違規(guī)處罰，我國《網(wǎng)絡安全法》的處罰上限有待商榷。

6 結(jié)束語

網(wǎng)絡安全法律涉外管轄權(quán)問題，首先是立法問題，其次是法律實施問題，在明確管轄權(quán)原則的基礎上準確制定和完善相關(guān)法律法規(guī)，有利于實現(xiàn)網(wǎng)絡安全法律的立法目的，也有利于相關(guān)法律的有效實施。

參考文獻

[1] 丁偉.國際私法學（第三版）[M].上海：上海人民出版社，2013.

[2] 王虎華.國際公法學（第四版）[M].北京：北京大學出版社，2015.

[3] 邵國松.國家安全視野下的網(wǎng)絡治理體系構(gòu)建[J].南京社會科學，2018（4）：100-107.

[4] 胡天雄.網(wǎng)絡空間主權(quán)與網(wǎng)絡空間國際秩序構(gòu)建研究[D].華東政法大學，2018.

[5] 胡麗，齊愛民，何金海.國家網(wǎng)絡空間主權(quán)戰(zhàn)略（學者建議稿）[J].河北法學，2018，36（6）：80-88.

[6] 韓冰.法制保障機制是落實網(wǎng)絡主權(quán)的重要舉措[J].中國信息安全，2018（11）：76-78.

[7] 楊嶸均.論網(wǎng)絡空間治理國際合作面臨的難題及其應對策略[J].南京工業(yè)大學學報（社會科學版），2014，13（4）：78-90.

[8] 崔文波.芻議網(wǎng)絡空間主權(quán)[J].江南社會學院學報，2017，19（1）：7-13.

[9] 張新寶，許可.網(wǎng)絡空間主權(quán)的治理模式及其制度構(gòu)建[J].中國社會科學，2016（8）：139-158+207-208.

[10] 沈逸.全球網(wǎng)絡空間治理原則之爭與中國的戰(zhàn)略選擇[J].外交評論（外交學院學報），2015，32（2）：65-79.

[11] 李傳軍.網(wǎng)絡空間全球治理的秩序變遷與模式構(gòu)建[J].武漢科技大學學報（社會科學版），2019，21（1）：20-25.