黃志鵬

（中南財經政法大學，湖北 武漢 430073）

跨境數據獲取是當今國家之間跨境取證的新的表現形式。隨著科技的發(fā)展，云儲存技術得到廣泛地運用，服務商都傾向于將其在運營過程中產生、收集的數據存儲在不同國家的服務器上。國家在具有獲取數據的需要時，就必須向多個國家發(fā)起刑事司法協助請求。雙邊司法協助協議進程確保所有訪問要求都必須通過數據存儲所在國的法律系統(tǒng)，而不是由外國政府直接向存儲數據的私營實體提出要求。這一過程進展非常緩慢，浪費檢察官在刑事調查中的時間。[1]在此背景下，2018 年美國國會迅速通過了《澄清合法使用海外數據法案》（Clarifying Lawful Overseas Use of Data Act，以下簡稱CLOUD 法案），旨在允許執(zhí)法部門收集存儲在外國的數據來協助刑事調查。其一大特點是在跨境數據獲取方面，改“數據存儲地模式”為“數據控制者模式”。數據控制者模式在域外取證方面突破了刑事雙邊司法協助協議的限制，可以直接在所需數據的所在國獲取數據而無需征得目標國的同意。從效率上看，CLOUD 法案固然提供了一種新的快速獲取數據證據的方式，但若與其他國家沒有相關合作，則極易引起沖突。本文旨在分析CLOUD 法案的頒布對跨境數據獲取的挑戰(zhàn)，并提出相關沖突解決方案。

一、CLOUD 法案帶來的挑戰(zhàn)

2013 年12 月，聯邦執(zhí)法人員向美國紐約南區(qū)地方法院要求微軟披露與其客戶賬戶相關的所有電子郵件和其他信息。一名治安法官確信特工人員有充分理由相信該賬戶正被用于進一步非法販毒，于是簽發(fā)了2703 號逮捕令。微軟公司認為，美國《存儲通信法案》（Stored Electronic Communications Act，以下簡稱SCA 法案）只規(guī)定了通訊服務提供商有向美國執(zhí)法機構提供其所擁有的數據的義務，但并沒有指出美國執(zhí)法機構是否能夠獲取服務商存儲在境外的數據。微軟以美國所需的數據在愛爾蘭為由，采取行動撤銷了對存儲在愛爾蘭的信息的搜查令。也就是在該背景下，CLOUD 法案應運而生，以彌補SCA 法案效力范圍上的不足。其在《美國法典》第18 卷2713 條中規(guī)定，電子通信服務或遠程計算服務的提供商應遵守本章的義務，無論信息是否位于美國境內，服務提供商應該備份、披露電子通信內容以及服務提供商所管控的其他數據信息。根據該條規(guī)定，CLOUD 法案拓寬了SCA 中效力范圍的規(guī)定。只要該數據是服務提供商所擁有、保管和控制的，那么美國執(zhí)法機構就可以請求服務提供商提供其所需要的數據。為此，美國確立了一種高效的單邊跨境數據獲取方式，即“數據控制者模式”。然而，這種單邊的跨境數據獲取方式會帶來諸多問題，如使跨國企業(yè)陷入兩難境地、造成不同國家之間的網絡主權沖突、管轄沖突和法律沖突等。

（一）跨境獲取數據的企業(yè)合規(guī)困境

對于在境外設立了營業(yè)地的企業(yè)來說，不管在實踐中是否配合執(zhí)法機關跨境調取數據的要求，均可能面臨引發(fā)法律和經營方面的風險。[2]根據CLOUD 法案的規(guī)定，服務提供商必須將所有的數據提供給美國執(zhí)法機構，數據存儲地所在國會以違背國家主權為由禁止企業(yè)將數據傳輸至境外，這與有關法律沖突。在這種情況下，企業(yè)將面臨著選擇遵守哪一國家法律的尷尬境地。為了逃避法律責任，企業(yè)很有可能選擇將數據信息轉交給美國執(zhí)法部門，但此舉會引發(fā)客戶對企業(yè)的信用危機，侵害客戶的隱私。

（二）跨境獲取數據的數據主權沖突與網絡主權沖突

跨境獲取數據易導致主權國家數據主權之間的沖突。數據主權即國家對本國涉外跨境的數據以及位于本國境內的數據擁有所有權、控制權，使用權以及管轄權，對內表現為擁有對本國數據及本國國民跨境數據的最高管控權，對外體現為不受干涉、平等地處理數據。[3]但在CLOUD 法案的規(guī)定下，美國執(zhí)法機構可以徑直要求數據所在國提供其所需要的數據，干涉了數據所在國對其本國數據的管轄權、所有權和控制權等。在此情形下，一國并不能夠做到獨立且平等地管控本國的數據。當今世界正經歷百年未有之大變局，新一輪的科技革命和產業(yè)變革正悄無聲息地發(fā)生，數據資源成為新的生產要素。[4]它關系到數據主權乃至國家主權，數據主權的沖突在CLOUD 法案的這一規(guī)定下是不可避免的。

在CLOUD法案背景下的跨境數據獲取除了會引發(fā)數據主權的沖突外，還極有可能引起網絡主權的紛爭。網絡數據主權是網絡主權的組成部分之一，網絡主權是網絡數據控制權的上位概念。[5]我國《國家安全法》第25 條和《網絡安全法》第1 條均表明，我國處理網絡問題的一個基本原則就是牢牢把握網絡主權。國家對網絡空間主張主權具有合法性基礎，同樣，對網絡空間的數據資源施加主權也有合法性基礎。然而，美國對于此問題持相反態(tài)度。為了掩蓋憑借其在互聯網領域絕對的技術優(yōu)勢而削弱他國數據掌控能力的真實目的，其認為網絡空間并不存在主權。[6]這勢必會造成網絡主權認定上的沖突。

（三）跨境獲取數據的管轄沖突

CLOUD 法案規(guī)定，只要數據歸服務提供商所有、控制，不管數據位于本國境內還是境外，美國執(zhí)法機構出于需要即可向提供商索取。但是，在美國全球監(jiān)控計劃“棱鏡門”監(jiān)控事件后，包括我國在內的許多國家都在本國的法律條文中加入了數據本地化的要求。CLOUD 法案的這一規(guī)定實質上對沿襲已久的數據本地化模式帶來了巨大的沖擊，因為美國擁有極具影響力的互聯網公司，可以獲得大量的用戶數據。正是因為CLOUD 法案旨在從數據本地化模式向數據控制者模式的轉化導致美國延伸了其對于數據的司法管轄權范圍，一意孤行地單方面對境外數據主張管轄權，從而在數據問題方面確立長臂管轄模式，改變了以往數據所在地的屬地管轄模式，取而代之的是對數據控制者的屬人管轄模式，管轄權沖突才慢慢浮現出來。

二、從CLOUD 法案規(guī)定分析沖突成因

（一）外國適格政府的規(guī)定

CLOUD 法案有關跨境數據的調取主要針對美國政府獲取他國數據和他國獲取位于美國境內的數據。然若他國政府欲獲取位于美國境內的數據，其必須是CLOUD 法案所認定的適格外國政府且已與美國簽署了獲取數據的行政協議。美國為了體現其向境外獲取跨境數據與其他國家向美國獲取跨境數據對等，在CLOUD 法案（h）項中規(guī)定了外國適格政府，即與美國簽訂行政協議并根據《美國法典》第2523 條已經生效，其法律向電子通信服務提供商和遠程計算服務提供商提供類似于第（2）和第（5）款規(guī)定的實質性和程序性機會的國家。此外，通過行政協議成為外國適格政府的主體還需要滿足法案所作出的限定，而其中的核心判斷標準是外國政府的立法包括國內法律的執(zhí)行在數據收集以及政府活動方面是否在隱私和公民權利方面提供了足夠的實質和程序上的保護。其還得對下述情況進行考量：第一，外國政府是否制定關于網絡犯罪和電子證據方面實質性和程序性的法律規(guī)定以及是否加入《布達佩斯網絡犯罪公約》或者國內法與《布達佩斯網絡犯罪公約》第一章和第二章的內容是否相一致；第二，尊重法治和非歧視原則；第三，遵守國際人權義務或者尊重國際普遍人權；第四，通過行政協議獲取數據的外國政府有清晰的法律要求和程序，包括這些機關收集、獲取、使用和分享數據的程序；第五，在外國政府收集和使用電子數據方面有提供責任和恰當透明度的足夠機制；第六，展現出對全球信息自由流動的促進和保護的承諾。

除了在實體方面對適格外國政府作出限定外，在程序方面，CLOUD法案也作出了相應的限制：第一，外國政府只有在遵守行政協議所約定的外國政府不得針對具有美國國籍的人或者在美國境內具有住所的個人這一條件后，才能夠調取存儲在美國境內的數據；第二，獲取數據應具有針對性而不能傷及無辜，若只需獲取具有美國國籍的公民或者在美國境內有住所的人的信息，則不能以其他國家的人為目的；第三，所獲得的信息不能與第三國乃至美國政府共享；第四，外國政府發(fā)出的獲取數據的要求應該與嚴重犯罪相關等。

從CLOUD法案有關適格外國政府的規(guī)定可以看出，雖然美國表面上考慮在國家之間進行互惠以獲取數據，但是其條文設置了諸多障礙，僅憑適格外國政府必須是《布達佩斯網絡犯罪公約》的成員國這一條件就排除了許多國家，遑論其他條件。

（二）有限定的禮讓

美國立法者在制定CLOUD法案時顯然預見到采用數據控制者模式將會導致管轄沖突、企業(yè)陷入合規(guī)的尷尬境地等問題出現。其在CLOUD 法案第103 條（b）款中作出了禮讓分析的規(guī)定：在符合規(guī)定的條件下，服務提供商可以拒絕美國執(zhí)法機構的要求，對其所擁有的數據不予披露。

首先，客戶或者訂戶不是美國人并且其在美國沒有住所；其次，披露數據的行為會導致服務提供商承擔違反外國適格政府法律的實質性風險。在滿足以上條件之外，拒絕披露數據的請求還需要在法律程序進行中的14 天之內提出，最后由法官根據案件的總體情況考量是否予以采納。這些情況包括美國和要求披露數據的政府部門的利益、外國適格政府防止禁止披露的數據外泄的利益、服務提供商及其雇員因違反施加其身上的法律義務（披露數據）而可能遭受的懲罰、訂戶或用戶所處的位置及國籍以及服務提供商與美國的聯系程度等內容。相較服務提供商提出拒絕披露數據因素的明確性，法院所要考慮的情況則模糊得多，[7]法官具有極大的自由裁量權。例如，美國和要求數據披露的政府部門的利益究竟是何種利益尚不明確，服務提供商及雇員違反數據披露義務而可能遭受的懲罰是指何種懲罰從條文中也不得而知。更為重要的是，該法案（h）（2）（B）項規(guī)定，法官可能（may）修改或者撤銷。簡言之，即使?jié)M足上述條件，法官也有拒絕的可能。因此，從條文的內容可以看出，雖然規(guī)定禮讓分析為美國行使數據控制者模式帶來了一定的便利，有利于緩解其與他國在主權以及管轄權等方面的沖突，但實際上有諸多限制條件。美國基于CLOUD 法案所確立的數據控制者模式與他國所產生的數據管轄權的沖突發(fā)生在國家與國家層面，但禮讓分析針對的是企業(yè)對披露數據的抗辯，調整國家與企業(yè)（個人）的關系。[8]質言之，即使美國法官在分析完企業(yè)的申訴以及考慮相關情況后決定采納企業(yè)不披露數據的請求，但這也并不意味著美國放棄對數據的管轄。因為在國家與國家層面，美國仍然可以根據數據控制者模式向數據存儲地所在國的法院主張管轄權。由是觀之，美國法院依舊可以向外擴張其數據管轄權，禮讓分析并沒有消弭國家之間的管轄權沖突。

（三）制定的雙重標準

根據上文可以看出，CLOUD 法案實質上構建了雙重標準。美國對外獲取數據的標準與外國獲取位于美國境內數據的標準完全不同，同時國家之間的地位也并不一樣。CLOUD 法案從實體方面和程序方面都介紹了適格外國政府獲取美國境內數據的種種條件，但對于美國執(zhí)法機構獲取外國境內數據的條件卻規(guī)定得十分精簡。另外，對于適格的外國政府，CLOUD 法案允許法官通過禮讓分析放寬獲取數據的限制，但目前我國并不符合CLOUD 法案定義下的適格外國政府標準，當然也就無法享受禮讓待遇。在數據采取的模式上，CLOUD 法案也采取了雙重標準：對位于本國境外的數據采用數據控制者模式，對位于本國境內的數據仍然采取數據本地化模式。這也就意味著美國可以隨意獲取位于本國境外的數據而無需經過他國的同意，但外國欲獲取美國境內的數據，還需要得到美國政府的同意?？梢哉f，CLOUD 法案其實并不對等，表面上以互惠為幌子顧及國家之間的數據流動，而實質上是將其數據主權擴張到其他領域，并沒有落實法案所稱的互惠理念。[9]

（四）內容之沖突

造成沖突的原因除了CLOUD法案規(guī)定的適格外國政府以及禮讓分析不對等之外，更為明顯的是CLOUD 法案條文本身的內容與國際公約和其他國家法律存在矛盾。CLOUD 法案的規(guī)定與在打擊網絡犯罪方面具有較大影響力的《布達佩斯網絡犯罪公約》相比稍顯齟齬。[10]《布達佩斯網絡犯罪公約》第29 條明確指出，若一國調取存儲于非本國境內的數據，其須向存儲地國請求司法協助后方能獲取。由此可知，公約秉持存儲地標準而反對CLOUD 法案數據控制者的立場。此外，網絡空間國際習慣法規(guī)則的權威編纂——《網絡行動國際法塔林手冊2.0 版》第11 條規(guī)定，一國實施域外管轄的前提只能是國際法的特定授權以及屬地管轄國的同意。除了國際公約之外，CLOUD 法案還與《歐盟通用數據保護條例》存在沖突?！稓W盟通用數據保護條例》第48 條規(guī)定，只有在以任何方式得到承認或強制執(zhí)行時，才能基于請求國與歐盟或成員國之間生效的國際協定（如司法協助條約）進行數據的跨境轉移。在該規(guī)定下，美國若想獲得歐盟的數據，只能通過雙邊協助的方式而不能依據CLOUD 法案的規(guī)定直接調取。就我國而言，我國有關法律與CLOUD 法案也存在諸多沖突。如《網絡安全法》第37 條規(guī)定，關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲，采用數據本地化模式，這與CLOUD 法案中的數據控制者模式相沖突。又如，根據我國《國際刑事司法協助法》第二章第二節(jié)的規(guī)定，我國數據出境采用的是分段式審查模式。[11]此外，根據該法第4 條的規(guī)定，外國并不能直接通過刑事司法協助的方式獲得電子數據，而必須得經過我國主管機關同意。

（五）沖突發(fā)生的其他原因

跨境數據的特點也決定司法管轄權與數據主權沖突的必然存在。數據流動是在虛擬的網絡中進行的，而網絡空間并不限制在領土的范圍內，也就不存在物理邊界。數據可以自由流動，可能跨越多個國家。例如，數據由甲國產生，經跨國公司流入乙國的數據存儲服務器，可能被丙國等多國使用。當甲乙丙三國同時對該數據主張權利時，就必然造成數據主權沖突，進而造成管轄權沖突。此外，數據存儲方式的分散化以及存儲介質的虛擬化特點也是造成沖突的原因之一。數據不再局限于一國境內或者特定的一臺機器中，而有可能分塊或者分區(qū)存儲于數個國家或者數臺機器上。[12]隨著科技的發(fā)展，數據的儲存方式也從實體服務器轉移到云端，給管轄問題造成巨大挑戰(zhàn)，因為此類數據涉及多國數據中心，當相關國家紛紛主張數據主權時，各國又將競相管轄。

三、我國應對CLOUD 法案的策略

（一）國際禮讓原則的運用

國際禮讓即一個國家對另外一個國家政府利益的尊重。它是本土的聯邦普通法，以最高法院的判例法為基礎，以習慣國際法為依據。[13]荷蘭法學家胡伯在其所主張的三原則中首次提出禮讓的概念，并經過美國法學家斯托雷的繼承和發(fā)展，對后期沖突法產生了重大的影響。[14]美國法院將“真實沖突”作為適用國際禮讓原則的核心考量因素始于“哈特福德案”，亦即只有在國內法和外國法之間存在真實沖突才可以適用國際禮讓原則。

由于我國在數據方面所采取的仍是傳統(tǒng)的數據本地化模式，與數據控制者模式難免會產生沖突，在傳統(tǒng)數據存儲地模式下，對于境外的數據獲取必須通過雙邊司法協助途徑才能進行，但這種做法耗時長且容易使數據證據失去有效性。因此，我國可以嘗試運用國際禮讓原則，將其運用在涉外取證方面，并與多種數據管轄權模式相結合。這不僅可以彌補數據存儲地標準的不足，緩解我國固守數據本地化模式的僵化，為獲取境外數據提供合法合理的管轄權基礎，同時也符合國際禮讓原則所強調的主權平等原則；另一方面能有效限縮美國法律的域外適用，以合理確定案件的管轄范圍以避免管轄沖突。

總而言之，國際禮讓是習慣國際法規(guī)則所提倡并付諸實踐的，依舊體現習慣國際法中的主權平等原則。在具體習慣國際法規(guī)則還沒有成型的情形下，國際禮讓是對習慣國際法的補充，各個國家仍舊基于主權平等原則以及互惠原則以相互禮讓的方式保證國際交往。國際禮讓原則的規(guī)則因各國之間的反復實踐而轉化成為國際法，因此，真正的國際禮讓是與國際法息息相關的，受制于主權平等原則。[15]

（二）數據本地化存儲方式的取舍

我國《網絡安全法》和《數據安全法》對于數據的存儲模式采用的都是傳統(tǒng)的數據本地化模式。從國內的角度來看，該做法的確有助于解決跨境電子數據獲取的問題，便于限制他國任意調取位于本國的數據。此外，為了保障國家數據主權安全這一重要目標的實現，大多數國家都通過法律強制性規(guī)定，要求服務提供者將其在自己境內收集到的數據進行本地化儲存，[16]但是學者Vivek Krishnamurthy 認為，數據本地化的努力有可能會使云計算服務——以及更廣泛的全球互聯網——沿著國家的路線分裂，對思想和信息的自由交流、互聯網的有效運行以及人權也有嚴重的影響——特別是在進行數據本地化的政府并不完全尊重權利時。[17]通過《數據安全法》是為了更好地發(fā)揮數據的作用，而并不是讓數據處于一種閉塞的狀態(tài)以追求絕對的安全。因此，我們應該改變傳統(tǒng)思維，適度放開對數據主權的限制。數據本地化模式保護國家數據主權是毋庸置疑的，但也帶來了許多弊端。

第一，數據本地化的存儲模式可能有損公民的數據隱私。所有的數據都匯集在同一個服務器中，為黑客入侵數據提供了便利。也就是說，數據本地化不僅會使政府更容易得到用戶的數據，也便于個人使用其他非法手段獲得用戶數據。學者Tatevik Sargsyan 認為，憑借數據本地化模式的采用，政府通過法律手段“操縱和控制”公民通信的能力將會變得更強。他還認為，數據的集中管理也會增加人權的風險。[18]第二，數據本地化存儲模式與跨境電子取證的需求相違背。首先，數據本地化儲存旨在牢牢抓住數據的控制權。當外國政府進行跨境電子取證時，數據的存儲國就得對申請國的請求、數據的性質以及是否符合本國利益進行考量，這種模式下的程序在某種程度上可以看作是與雙邊司法協助相配套的，嚴重降低了取證的效率。其次，在數據存儲模式下，存儲國很可能為保護本國數據主權而以數據獲取會損害其主權、安全、公共秩序為由予以拒絕，[19]而公共秩序又是極其模糊的一個概念，能否成功獲取數據證據難以預見。最后，數據本地化模式要求的范圍是有限的，一國不能預知也無法掌握在刑事辦案中所需要的所有電子數據，跨境數據取證的問題仍然存在。[20]在構建人類命運共同體的倡議下，過分強調數據本地化的存儲模式并擴大存儲對象的范圍會導致電子數據形成一種封閉狀態(tài)，與高效打擊犯罪的目標南轅北轍。數據局限于本地化而形成“數據孤島”，就無法在全球范圍內建構國際化的跨境電子數據取證新舉措，犯罪分子將利用該漏洞逃避法律。

為了克服在跨國犯罪中獲取數據證據的困難，減少與他國之間的法律沖突，我國應該在堅持對等原則和互惠原則的前提下適度縮小對數據主權的限制范圍，有限度地放開數據管控，不論是單方面徑直獲取還是經過我國主管機關的同意。[21]當然，并不是所有的數據都是不經我國同意就可獲取的。我國可以像CLOUD 法案一樣單方面設置一定的數據獲取條件，如依據《數據安全法》第21 條，對數據實行分類分級保護，允許外國政府可以單方面獲取我國非內容的數據信息并予以公用，而對于涉及秘密級別的數據則不允許直接獲取。我國同樣可以根據《關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規(guī)定》，對于原始存儲介質位于境外或者遠程計算機信息系統(tǒng)上的電子數據，通過網絡在線提取。

在獲取案件的事實層面，電子數據是獲取犯罪案件事實一種必不可少的證據形式。[22]我國作為數據大國，在信息領域占有一席之地，一味堅守數據本地化政策不利于數據的流通和數據經濟的發(fā)展。[23]尤其是在全球化發(fā)展的大背景下，單單主張數據本地化儲存已不能滿足時代的需求。誠然，數據本地化給國家的數據主權安全提供了保障。在充分保護國家主權安全的前提下，我國可以采取更加開放的態(tài)度，在嚴守數據本地化模式與適度放開之間尋求動態(tài)平衡，在保護本國數據主權安全的同時又能獲取他國數據。

（三）完善我國相關法律的規(guī)定

CLOUD法案中不經外國的同意便能直接獲取位于外國境內數據的規(guī)定與我國《國際刑事司法協助法》第4 條第3 款相矛盾。我國強調外國政府若要獲取位于我國境內的數據，需要得到我國主管機關的同意，否則我國境內的機構、組織和個人不能對外國政府提供任何證據。此規(guī)定禁止服務商擅自向外國機關提供我國的數據證據，可以看作我國對CLOUD 法案的阻卻立法。但正如上文所述，由于我國并沒有對當事人違反《國際刑事司法協助法》后所應承擔的責任作出規(guī)定，在權衡利弊之后，服務提供商為了避免在美國法院可能構成藐視法庭罪而選擇違背我國法律規(guī)定。如此一來，在刑事偵查需要跨境獲取數據證據時，即使被美國執(zhí)法機構要求提供位于中國境內數據的服務商在規(guī)定的時間內提出了抗辯，美國法院也極有可能認為我國《國際刑事司法協助法》與CLOUD法案所規(guī)定的數據提供并不存在真實沖突，進而也就無法滿足禮讓原則的外國法強制條件，服務提供商由此將面臨抗辯失敗的境地。因此，我國應盡快完善《國際刑事司法協助法》第4 條第3 款的規(guī)定，增加違反該款規(guī)定的后果，具體明確有關主體所應承擔的刑事責任。筆者認為，該款可以借鑒《數據安全法》第48 條第2 款的規(guī)定，制造與美國CLOUD 法案的真實沖突，在美國執(zhí)法機構向中國服務提供商索取數據時，就可以滿足外國法強制這一條件以提出抗辯。

統(tǒng)籌推進國內法治和涉外法治，要加快涉外法治工作布局，而涉外法治工作的布局要抓緊建立阻斷立法，加快我國法的域外適用法律體系建設。[24]我國商務部公布的《阻斷外國法律與措施不當域外適用辦法》為拒絕承認、執(zhí)行和遵守相關外國法律提供了法律依據。我國《國家安全法》和《網絡安全法》雖然規(guī)定了數據主權和網絡主權的問題，規(guī)制數據在中國的管理，在一定程度上維護了我國的主權安全，但并未明確法律的域外管轄適用問題。阻斷立法只能緩解矛盾，我國法律要在域外適用，應考慮加入域外管轄適用的內容。除此之外，我國《網絡安全法》第37 條雖然規(guī)定在中國境內運營中收集和產生的個人信息和重要數據應當在中國境內儲存，但是并沒有規(guī)定外國政府通過數據控制者模式獲取儲存在我國境內數據的情況，這就導致我國無法通過CLOUD法案獲取儲存在美國境內的數據，而本國境內數據則向美國政府敞開。因此，有必要對《網絡安全法》予以完善。我國已通過的《數據安全法》規(guī)定了域外的管轄效力和監(jiān)督效力，這是對數據主權觀念的體現，也是對美國數據控制者模式的回應。完善后的《國家安全法》和《網絡安全法》將和《數據安全法》一同對數據主權安全問題進行規(guī)范，在數據保護方面形成一套更加全面的法律規(guī)范體系。

結語

習總書記強調單邊主義沒有出路，要堅持共商共建共享，由各國共同維護普遍安全，共同分享發(fā)展成果。美國CLOUD 法案所確立的跨境數據獲取的內容仍舊體現其美國利益優(yōu)先的立場，其通過確定數據控制者模式的途徑以徑直獲取位于外國境內的數據，由此帶來管轄權沖突、數據主權和網絡主權沖突以及CLOUD 法案條文內容本身和國際公約與其他國家的國內法之間的沖突。構建制度型開放的數據治理規(guī)則是我國的立場。沒有數據安全就沒有國家安全。面對CLOUD 法案帶來的一系列問題，筆者建議采取三個解決路徑：第一，CLOUD法案所規(guī)定的禮讓分析并沒有體現平等原則，其設置了諸多限制，而國際禮讓原則是以國家主權平等為原則的。因此，可以合理運用國際禮讓原則解決CLOUD 法案頒布后所引發(fā)的管轄沖突。第二，為了使非內容數據能夠在國與國之間進行良性高效地流動，我國在數據存儲模式上可適度放開數據本地化模式，依據《數據安全法》對數據加以分類，在嚴守數據本地化模式與適度放開之間尋求一個動態(tài)平衡。第三，由于CLOUD 法案的法律條文內容與我國的現行法有許多沖突，有必要完善我國相關法律，在《國際刑事司法協助法》中增加違反該規(guī)定的法律后果，改變《國家安全法》《網絡安全法》中嚴守數據本地化的模式。加強我國的阻斷立法，保護我國的主權安全和利益，協作治理網絡空間，加強國際數據管轄的平等合作，有效應對CLOUD 法案對跨境數據獲取帶來的挑戰(zhàn)。