王 雪 石 巍

內(nèi)容提要：數(shù)據(jù)跨境流動的實際需要與掌控數(shù)據(jù)資源的迫切需求致使較多國家單方面立法擴張本國在數(shù)據(jù)領(lǐng)域的域外管轄權(quán)，這一現(xiàn)象在全球范圍內(nèi)形成明顯趨勢。數(shù)據(jù)領(lǐng)域域外管轄的立法模式并非雜亂無章，大致劃分為兩種：一是依托個人數(shù)據(jù)保護法案的歐盟模式；二是依托跨境取證法案的美國模式。在國際習(xí)慣法框架下，前者以屬地管轄原則和效果原則為合法性基礎(chǔ)，后者以屬人管轄原則為依據(jù)。但同時，在數(shù)據(jù)領(lǐng)域，各國域外管轄權(quán)的擴張注定會在國際范圍內(nèi)引起管轄權(quán)沖突，且很可能侵犯他國數(shù)據(jù)主權(quán)。我國已經(jīng)初步建立了個人信息保護法的域外適用制度，面對這一趨勢帶來的危機與挑戰(zhàn)，我國應(yīng)當(dāng)界定數(shù)據(jù)立法域外管轄的邊界，在堅決維護我國主權(quán)利益的同時有條件地承認與執(zhí)行外國判決，進一步完善數(shù)據(jù)存儲地模式并且強化阻斷立法的執(zhí)行性來應(yīng)對他國不當(dāng)?shù)挠蛲夤茌牎?/p>

一、問題的提出

大數(shù)據(jù)時代下，由于數(shù)據(jù)自身虛擬性和可重復(fù)利用的特征，數(shù)據(jù)收集和處理的全球化也更加明顯。僅以領(lǐng)土范圍為界對數(shù)據(jù)的收集、存儲、處理、傳輸進行監(jiān)管，已然忽視了數(shù)據(jù)跨境流通頻繁的現(xiàn)實，更會造成數(shù)據(jù)法律制度監(jiān)管的疏漏。2018年《歐盟通用數(shù)據(jù)保護條例》（General Data Protection Regulation，以下簡稱GDPR）正式生效，成為全球數(shù)據(jù)領(lǐng)域內(nèi)最具有影響力的立法之一。GDPR為個人數(shù)據(jù)的利用和保護設(shè)立的各項制度，成為眾多國家數(shù)據(jù)立法參考的藍本。其中，GDPR第3條賦予了條例自身以域外效力，構(gòu)建了數(shù)據(jù)法律的域外管轄制度。2021年11月，我國《個人信息保護法》正式施行，其第3條借鑒了GDPR的立法思路，創(chuàng)設(shè)了我國《個人信息保護法》的域外管轄制度。不僅如此，英國、印度、巴西、南非、澳大利亞等國家均以GDPR域外管轄法律制度為藍本，將本國法案的域外效力在全球范圍內(nèi)延伸?？梢姡瑪U張本國數(shù)據(jù)領(lǐng)域立法的域外效力，已經(jīng)成為眾多國家參與全球數(shù)據(jù)治理、維護本國數(shù)據(jù)主權(quán)的通行做法。數(shù)據(jù)立法域外管轄這一現(xiàn)象已經(jīng)形成了全球化的趨勢。

但不可否認的是，這一趨勢也給世界各國帶來了法律挑戰(zhàn)。縱觀全球，數(shù)據(jù)法律制度發(fā)展的歷史并不悠久，缺乏涉及數(shù)據(jù)立法域外管轄的國際條約和協(xié)議，由此管轄權(quán)的沖突已無法避免。那么，數(shù)據(jù)立法域外管轄的正當(dāng)性基礎(chǔ)是什么？其是否會引發(fā)法律層面的挑戰(zhàn)與危機？面對數(shù)據(jù)立法域外管轄的全球化趨勢，我國又如何保障我國的數(shù)據(jù)主權(quán)？研究上述法律問題有利于為數(shù)據(jù)立法的管轄權(quán)沖突提供中國方案，同時為我國開啟《個人信息保護法》的域外適用提供參考意見。對數(shù)據(jù)立法域外管轄這一主題的探討，不僅具有實踐價值，也具備理論意義。

二、數(shù)據(jù)立法域外管轄的動因與模式

數(shù)據(jù)立法域外管轄的背后是對數(shù)據(jù)資源的爭奪，也是對國際合作不足的回應(yīng)。目前，世界主要國家或地區(qū)授予本國數(shù)據(jù)立法域外管轄的模式包括以下兩類：第一，頒布數(shù)據(jù)保護領(lǐng)域的基本法案，全方位規(guī)定了數(shù)據(jù)領(lǐng)域各項主體的權(quán)利義務(wù)，并設(shè)置域外適用條款。雖然各國所頒布的法案的名稱表述并不一致，但均以保護數(shù)據(jù)主體的權(quán)利為核心，本文將此類法案統(tǒng)稱為個人數(shù)據(jù)保護法案。第二，頒布跨境取證法案，規(guī)定在特定情形下行政機關(guān)或司法機關(guān)享有調(diào)取域外數(shù)據(jù)的權(quán)限，從而賦予法案域外效力。下文將對數(shù)據(jù)立法域外管轄的動因與兩類立法模式進行闡釋。

（一）數(shù)據(jù)立法域外管轄擴張的動因

第一，現(xiàn)有的國際合作機制無法滿足數(shù)據(jù)保護和跨境調(diào)取數(shù)據(jù)的需求。在數(shù)據(jù)保護領(lǐng)域，國際合作的成果并不顯著。就多邊協(xié)議而言，雖然《隱私保護和個人數(shù)據(jù)跨境流動指南》與《APEC隱私框架》較早關(guān)注到了數(shù)據(jù)保護的問題，但并未構(gòu)建具有法律約束力的合作機制。就雙邊合作而言，由于高昂的談判成本與理念的差異，雙邊條約呈現(xiàn)出碎片化的特點。以美歐為例，雙方于2000年簽訂了《安全港協(xié)議》，但該協(xié)議只能對自愿加入的美國企業(yè)生效而無法約束美國政府，因而無法為歐盟數(shù)據(jù)主體提供充分保護，于2015年被歐盟法院宣布無效。經(jīng)過艱難的談判，雙方于2016年達成《隱私盾協(xié)議》，卻因數(shù)據(jù)保護理念存在差異，2020年該協(xié)議再次被宣布無效。可見，無論是多邊協(xié)議還是雙邊條約，尚未在數(shù)據(jù)保護方面形成有效的國際合作機制，無法滿足數(shù)據(jù)保護的迫切需求。此外，關(guān)于跨境調(diào)取數(shù)據(jù)，在單邊擴張數(shù)據(jù)域外管轄之前，國家跨境調(diào)取存儲在境外的數(shù)據(jù)更多的是借助司法互助協(xié)定。但司法互助協(xié)定的缺陷非常明顯，首先，司法互助協(xié)定僅限于締約方之間，未與他國簽訂司法互助協(xié)定將無法跨境調(diào)取所需要的數(shù)據(jù)?，F(xiàn)如今，司法互助協(xié)定締約方的覆蓋范圍遠遠無法與跨境調(diào)取數(shù)據(jù)的需求相匹配。其次，即使締約方簽訂了司法互助協(xié)定，調(diào)取數(shù)據(jù)仍然需要對方政府批準，數(shù)據(jù)的調(diào)取存在不確定性。尤其當(dāng)各國對數(shù)據(jù)流動政策收緊時，數(shù)據(jù)調(diào)取的難度會進一步增大。最后，通過司法互助協(xié)定跨境調(diào)取數(shù)據(jù)程序繁瑣，工作效率較低，運行時間長。美國前總統(tǒng)奧巴馬的情報和通信技術(shù)審查小組曾深入研究司法互助協(xié)定程序，發(fā)現(xiàn)借助司法互助協(xié)定來調(diào)取數(shù)據(jù)平均大概會耗費10個月的時間。Chris Cook,,29 Stanford Law &Policy Review 205,225 (2018).但在刑事案件中行政部門或司法機關(guān)需要迅速獲取相關(guān)數(shù)據(jù)，因此原有的司法互助合作機制根本無法滿足現(xiàn)今跨境調(diào)取數(shù)據(jù)的需要。

第二，各國借助國內(nèi)立法擴張域外管轄權(quán)，提升在全球數(shù)據(jù)領(lǐng)域的國家競爭力。當(dāng)代社會數(shù)據(jù)資源的重要性不言而喻，其已經(jīng)成為互聯(lián)網(wǎng)企業(yè)運營的“生產(chǎn)要素”。但由于互聯(lián)網(wǎng)產(chǎn)業(yè)在世界范圍內(nèi)發(fā)展并不均勻，各國在數(shù)據(jù)領(lǐng)域的競爭力不同，掌握數(shù)據(jù)資源的能力自然有較大差異。通過國內(nèi)數(shù)據(jù)立法擴張域外管轄權(quán)有利于保護境內(nèi)數(shù)據(jù)主體的權(quán)益，防止境外互聯(lián)網(wǎng)企業(yè)規(guī)避法律，并可以對非法獲取或處理境內(nèi)個人數(shù)據(jù)的境外企業(yè)實施處罰。此外，域外管轄權(quán)的延伸更有利于借助法律的“外衣”，幫助各國進一步掌握更多的數(shù)據(jù)資源，提升本國在全球數(shù)據(jù)領(lǐng)域中的競爭力，扭轉(zhuǎn)在原有互聯(lián)網(wǎng)格局中的劣勢或進一步鞏固自身的優(yōu)勢。

（二）依托個人數(shù)據(jù)保護法案的歐盟模式

為保護本國數(shù)據(jù)主體的權(quán)益并提高自身參與制定國際社會數(shù)據(jù)領(lǐng)域規(guī)則的競爭力，各國紛紛頒布個人數(shù)據(jù)保護法案并以歐盟的GDPR為藍本，通過域外適用條款的形式規(guī)定了法案在全球范圍內(nèi)的域外管轄權(quán)。此種依托個人數(shù)據(jù)保護法案擴張數(shù)據(jù)立法域外管轄的模式，即歐盟模式。在歐盟模式之下，GDPR第3條為法案的域外管轄設(shè)立了三項標準：設(shè)立機構(gòu)標準（The Establishment Criterion）、目標導(dǎo)向標準（The Targeting Criterion）以及依照國際公法適用標準。其中的“依照國際公法適用”標準是指在符合國際公法的情形下GDPR可以域外適用，不需要特殊解釋，本文著重對前兩項標準進行探討。

GDPR第3條第1款規(guī)定“條例適用于在歐盟內(nèi)數(shù)據(jù)控制者或處理者設(shè)立機構(gòu)活動的背景下對個人數(shù)據(jù)的處理，不論其實際數(shù)據(jù)處理行為是否在歐盟內(nèi)進行”。歐盟數(shù)據(jù)保護委員會（European Data Protection Board，以下簡稱EDPB）主張考慮兩項因素來確定個人數(shù)據(jù)的處理是否屬于GDPR第3條第1款的適用范圍。第一，數(shù)據(jù)控制者或處理者在歐盟設(shè)立的場所是否符合GDPR意義上的“設(shè)立機構(gòu)”的定義。第二，處理行為是否滿足“在設(shè)立機構(gòu)活動的背景下”這一含義。See ,The European Data Protection Board (12 November 2019),https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_en.

第一，關(guān)于“設(shè)立機構(gòu)”的內(nèi)涵，GDPR序言第22條提供了解釋，即設(shè)立機構(gòu)意味著通過穩(wěn)定的安排而有效和真實地開展活動。設(shè)立機構(gòu)的法律形式并不局限于具有法人資格的子公司或分支機構(gòu)。通過分析歐盟法院關(guān)于WeltimmoNAIH、Verein für KonsumenteninformationAmazon EU以及 Google Spain SL,Google Inc.AEPD等案件的判決，可以發(fā)現(xiàn)法院對設(shè)立機構(gòu)的界定較為寬泛，主要考量穩(wěn)定的安排和真實有效的活動兩項因素。設(shè)立機構(gòu)的概念幾乎可以延展到通過穩(wěn)定的安排開展任何真實有效的活動，即使是最小的活動。Weltimmo s.r.o. Nemzeti Adatvédelmi és Információszabadság Hatóság (Case C-230/14) [2015].當(dāng)數(shù)據(jù)控制者的活動涉及在線服務(wù)提供時，穩(wěn)定的安排的門檻實際上可能很低。甚至在某些情況下，非歐盟企業(yè)在歐盟內(nèi)部聘用一名雇員或代理人即可能構(gòu)成穩(wěn)定的安排，只要該員工或代理人開展活動的行為足夠穩(wěn)定。

第二，關(guān)于數(shù)據(jù)控制者或處理者的個人數(shù)據(jù)處理行為是否滿足“在設(shè)立機構(gòu)活動的背景下”這一條件，應(yīng)當(dāng)基于案件具體分析。EDPB主張，可以考慮以下兩個因素進行判定。一是歐盟以外的數(shù)據(jù)控制者或處理者與其在歐盟內(nèi)設(shè)立機構(gòu)之間的關(guān)系。若歐盟外的數(shù)據(jù)控制者或處理者的數(shù)據(jù)處理行為與成員國當(dāng)?shù)卦O(shè)立機構(gòu)的活動密不可分，則可能觸發(fā)GDPR的適用。即使設(shè)立機構(gòu)事實上并未在數(shù)據(jù)處理過程中發(fā)揮任何作用，亦不影響GDPR的域外適用。二是設(shè)立機構(gòu)是否增加數(shù)據(jù)控制者或處理者的收入。若設(shè)立機構(gòu)的行為有助于歐盟外數(shù)據(jù)控制者或處理者收入增加，則設(shè)立機構(gòu)的行為可被視為與數(shù)據(jù)控制者或處理者的個人數(shù)據(jù)處理行為密不可分。例如，在Google Spain SL,Google Inc.AEPD案中，谷歌西班牙公司是谷歌公司在西班牙設(shè)立的子公司，訴訟中涉及的個人數(shù)據(jù)處理行為完全由母公司谷歌公司進行，谷歌西班牙公司沒有任何干預(yù)，其僅為谷歌公司搜索引擎服務(wù)的廣告活動提供支持。歐盟法院認為，若谷歌西班牙公司在歐盟成員國推廣和銷售谷歌公司搜索引擎提供的廣告空間，從而使該引擎提供的服務(wù)有利可圖，則谷歌公司的活動與其位于西班牙的子公司的活動密不可分，滿足 “在設(shè)立機構(gòu)活動的背景下”這一條件。Google Spain SL,Google Inc. Agencia Espa?ola de Protección de Datos (AEPD),Mario Costeja González (Case C-131/12) [2014].數(shù)據(jù)控制者或處理者的行為一旦滿足上述兩項條件，即可觸發(fā)GDPR對個人數(shù)據(jù)處理行為的適用，至于個人數(shù)據(jù)處理行為的地點與適用GDPR無關(guān)。

與歐盟“設(shè)立機構(gòu)標準”相比，我國《個人信息保護法》第3條第1款規(guī)定得較為簡單，即“在中華人民共和國境內(nèi)處理自然人個人信息的活動，適用本法”。與GDPR不同，《個人信息保護法》第3條第1款更關(guān)注個人數(shù)據(jù)處理行為的地理位置。除非滿足第3條第2款的規(guī)定，否則發(fā)生在境外的個人數(shù)據(jù)處理行為不適用我國《個人信息保護法》?？梢姡覈@一條款的規(guī)制范圍與歐盟“設(shè)立機構(gòu)標準”相比稍窄。

設(shè)立機構(gòu)標準有著明顯的缺陷，若歐盟境外的數(shù)據(jù)控制者或處理者不在歐盟境內(nèi)設(shè)立機構(gòu)或關(guān)停原有的設(shè)立機構(gòu)，則可以繞開GDPR第3條第1款的規(guī)定。為了防止規(guī)避法律，“目標導(dǎo)向標準”應(yīng)運而生。GDPR第3條第2款規(guī)定，即使數(shù)據(jù)控制者或處理者不在歐盟設(shè)立，但下列兩種情形下仍然適用GDPR：（a）為歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)——不論此項商品或服務(wù)是否要求數(shù)據(jù)主體支付對價；（b）對發(fā)生在歐盟范圍內(nèi)的數(shù)據(jù)主體的活動進行監(jiān)控。在評估適用目標導(dǎo)向標準的條件時，EDPB建議采用雙重方法：其一，確定個人數(shù)據(jù)處理行為是否與歐盟境內(nèi)數(shù)據(jù)主體有關(guān)；其二，確定處理行為是否與提供商品、服務(wù)或監(jiān)控數(shù)據(jù)主體在歐盟中的行為相關(guān)。

首先，關(guān)于“歐盟內(nèi)數(shù)據(jù)主體的個人數(shù)據(jù)”，GDPR序言第14條規(guī)定“本條例提供的保護應(yīng)適用于與處理個人數(shù)據(jù)有關(guān)的自然人，無論其國籍或居住地如何”。EDPB認為，目標導(dǎo)向標準的適用不受數(shù)據(jù)主體的公民身份、居住地或其他類型的法律地位的限制?？梢姡繕藢?dǎo)向標準所指的歐盟境內(nèi)數(shù)據(jù)主體不局限于歐盟公民。

其次，關(guān)于處理行為是否與提供商品、服務(wù)或監(jiān)控歐盟數(shù)據(jù)主體相關(guān)，應(yīng)當(dāng)在個案中判斷。判斷是否存在提供商品或服務(wù)的情形，對價的支付并不是決定因素。GDPR序言第23條進一步解釋考量因素，如使用成員國普遍使用的語言或貨幣，或提及歐盟用戶等。EDPB主張，應(yīng)結(jié)合案件事實，綜合考量多項因素，如是否向歐盟受眾發(fā)起營銷活動，是否提供專用地址或聯(lián)系電話，是否使用成員國的語言、貨幣，以及是否向歐盟內(nèi)的消費者或使用者提供商品或服務(wù)等。無意或偶然地向歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)時，個人數(shù)據(jù)的相關(guān)處理不屬于GDPR的適用范圍。

此外，關(guān)于“監(jiān)控數(shù)據(jù)主體的行為”，被監(jiān)控的行為必須與歐盟內(nèi)的數(shù)據(jù)主體相關(guān)且必須發(fā)生在歐盟境內(nèi)?！氨O(jiān)控”一詞意味著數(shù)據(jù)控制者或處理者將收集或重復(fù)利用歐盟內(nèi)主體的相關(guān)數(shù)據(jù)。GDPR序言第24條指出，個人數(shù)據(jù)的處理是否涉及對數(shù)據(jù)主體行為的監(jiān)控，潛在的后續(xù)使用分析技術(shù)是一個關(guān)鍵考慮因素，包括通過其他類型的網(wǎng)絡(luò)或技術(shù)進行跟蹤，例如可穿戴設(shè)備和其他智能設(shè)備。

不可否認，目標導(dǎo)向標準較好地防止歐盟境外公司規(guī)避法律的行為，立法水平較高。我國《個人信息保護法》第3條第2款的規(guī)定與這一標準相似，前兩項所規(guī)定的情形正是對“目標導(dǎo)向標準”的借鑒。

（三）依托跨境取證法案的美國模式

為掌控數(shù)據(jù)資源，通過擴大自身跨境調(diào)取電子數(shù)據(jù)的權(quán)限實現(xiàn)國家利益的最大化也是擴張域外管轄的途徑之一。此種依托跨境取證法案擴張數(shù)據(jù)立法域外管轄的模式，即美國模式。

2018年美國國會通過《美國澄清境外數(shù)據(jù)合法使用法案》（Clarifying Lawful Overseas Use of Data Act，以下簡稱CLOUD法案），標志著美國刑事案件跨境調(diào)取數(shù)據(jù)模式從“數(shù)據(jù)存儲地模式”向“數(shù)據(jù)控制者模式”轉(zhuǎn)變?！皵?shù)據(jù)存儲地模式”是指依據(jù)數(shù)據(jù)存儲的地理位置來判斷一國調(diào)取數(shù)據(jù)的管轄權(quán)范圍；“數(shù)據(jù)控制者模式”則是要求為本國提供服務(wù)的運營商在特定情形下，尤其是在重大刑事案件中，提交自身掌握或控制范圍內(nèi)的數(shù)據(jù)。一直以來，“數(shù)據(jù)存儲地模式”在取證中占據(jù)主導(dǎo)地位，這是由于多年前各國的數(shù)據(jù)以存儲在本國境內(nèi)為主，也是國家主權(quán)原則的體現(xiàn)。在CLOUD法案出臺之前，關(guān)于能否調(diào)取由美國數(shù)據(jù)控制者掌控卻存儲在境外的數(shù)據(jù)這一問題，《美國存儲通信法案》（Stored Communication Act，以下簡稱SCA）語焉不詳，引發(fā)了美國司法部與微軟公司長達五年的糾紛。在Microsoft Corp.United States案中，訴訟起因是美國執(zhí)法部門在調(diào)查一起毒品犯罪案件時，要求微軟公司向政府提供存儲在愛爾蘭的某一郵件用戶的全部信息，但微軟公司強調(diào)其主動披露的行為可能會違反歐盟關(guān)于個人信息保護的規(guī)定，拒絕提供相關(guān)數(shù)據(jù)。Microsoft Corporation,Appellant, United States of America,Appellee.,855 F.3d 53,58 (2d Cir.2017).美國聯(lián)邦第二巡回法院作出支持微軟公司的判決，認為搜查令不具有域外效力。這一案件引起美國法律學(xué)者和其他法院的激烈討論，有觀點認為二審法院對域外性的理解不當(dāng)。在這一背景下，CLOUD法案應(yīng)運而生，法案全文主要解決兩項問題：第一，在刑事案件中，允許美國政府跨境調(diào)取存儲在外國的數(shù)據(jù)，即“調(diào)取”；第二，在特定條件下，允許外國政府調(diào)取美國境內(nèi)的數(shù)據(jù)，即“供應(yīng)”。

CLOUD法案超越了國家領(lǐng)土的界限，單方面延伸了美國執(zhí)法機關(guān)刑事跨境調(diào)取數(shù)據(jù)的管轄權(quán)，更是利用了美國在數(shù)字領(lǐng)域擁有眾多跨國互聯(lián)網(wǎng)企業(yè)的巨大優(yōu)勢，最大化地幫助美國執(zhí)法機構(gòu)掌控數(shù)據(jù)資源?？缇痴{(diào)取數(shù)據(jù)的關(guān)鍵因素也從國家領(lǐng)土界限轉(zhuǎn)移到數(shù)據(jù)控制者的地理位置，突破了原有的“數(shù)據(jù)存儲地”模式。

在美國以CLOUD法案開啟“數(shù)據(jù)控制者模式”后，其他國家相繼效仿其立法路徑，頒布法案擴張本國跨境取證的域外管轄權(quán)。2018年澳大利亞通過了《電信和其他法律修正（協(xié)助和訪問）法案》，授權(quán)執(zhí)法和情報部門可以要求私營機構(gòu)提供技術(shù)協(xié)助。無論向澳大利亞提供通信服務(wù)的組織或個人是否在澳大利亞境內(nèi)設(shè)立機構(gòu)，只要其提供的服務(wù)為澳大利亞境內(nèi)的終端用戶所享有，通信服務(wù)提供者均屬于該法案的適用范圍。與此相似的是，2019年英國出臺《犯罪（海外生產(chǎn)訂單）法案》，賦予執(zhí)法機構(gòu)和檢察官直接從英國境外的服務(wù)提供商處獲取電子數(shù)據(jù)的權(quán)力，以便對嚴重犯罪進行刑事調(diào)查和起訴。2020年歐盟議會修訂《歐盟刑事程序電子證據(jù)提交令和保存令條例》草案，允許歐盟成員國政府部門針對所有刑事犯罪可以發(fā)布“提交令”，用于從服務(wù)提供商處獲取用戶數(shù)據(jù)或IP地址；若涉及至少3年監(jiān)禁的刑事犯罪，還可要求服務(wù)提供商提供交易數(shù)據(jù)（traffic data）或內(nèi)容數(shù)據(jù)（content data）?？傊谛淌掳讣?，澳大利亞、英國和歐盟借鑒美國CLOUD法案，單方擴大自身跨境調(diào)取數(shù)據(jù)的權(quán)限，從而達到域外管轄的目的。

與英美等國家不同，我國立法堅持嚴格的“數(shù)據(jù)存儲地模式”，且對他國在我國的跨境取證持保守態(tài)度。我國《國際刑事司法協(xié)助法》第4條第3款規(guī)定：“非經(jīng)中華人民共和國主管機關(guān)同意，外國機構(gòu)、組織和個人不得在中華人民共和國境內(nèi)進行本法規(guī)定的刑事訴訟活動，中華人民共和國境內(nèi)的機構(gòu)、組織和個人不得向外國提供證據(jù)材料和本法規(guī)定的協(xié)助?！睋?jù)此，外國機構(gòu)、組織和個人在我國境內(nèi)從事刑事訴訟活動或獲取證據(jù)資料，必須經(jīng)過我國境內(nèi)主管機關(guān)的同意。我國《個人信息保護法》第41條也作出相似規(guī)定：“……非經(jīng)中華人民共和國主管機關(guān)批準，個人信息處理者不得向外國司法或者執(zhí)法機構(gòu)提供存儲于中華人民共和國境內(nèi)的個人信息?！边@表明我國立法堅持對跨境調(diào)取數(shù)據(jù)采取“數(shù)據(jù)存儲地模式”。不僅如此，在國際社會協(xié)商涉及打擊網(wǎng)絡(luò)犯罪條約的過程中，我國明確對跨境數(shù)據(jù)直接調(diào)取持否定態(tài)度。早在2011年，中國代表團出席聯(lián)合國網(wǎng)絡(luò)犯罪問題專家組首次會議并發(fā)言，指出《網(wǎng)絡(luò)犯罪公約》（Convention on Cybercrime）第32條（b）款的實質(zhì)是域外取證，因涉及到主權(quán)和管轄權(quán)，極易引起爭議。這也成為中國并未加入這一公約的理由之一。綜上，我國對跨境調(diào)取電子數(shù)據(jù)堅守“數(shù)據(jù)存儲地模式”，且對跨境調(diào)取數(shù)據(jù)模式的轉(zhuǎn)變持否定態(tài)度。

三、數(shù)據(jù)立法域外管轄模式的評析

盡管各國數(shù)據(jù)立法域外管轄的不斷擴張與當(dāng)今世界數(shù)據(jù)領(lǐng)域的競爭緊密相關(guān)，但其域外管轄模式依舊需要遵循國際法的約束。在缺少相關(guān)國際條約或協(xié)議予以充分協(xié)調(diào)的情形下，數(shù)據(jù)域外管轄權(quán)的不斷擴大不可避免地引發(fā)各國管轄權(quán)沖突。

（一）歐盟模式的管轄權(quán)基礎(chǔ)與困境

歐盟模式集中于數(shù)據(jù)保護領(lǐng)域，借助歐盟單一市場來實現(xiàn)對數(shù)據(jù)控制者或處理者的管轄，但缺乏對數(shù)據(jù)保護域外執(zhí)行方案的進一步說明，也并未解釋如何處理管轄權(quán)沖突的問題。

《美國對外關(guān)系法重述》總結(jié)了國際習(xí)慣法框架下立法管轄權(quán)的依據(jù)，包括屬地管轄（主觀屬地管轄與客觀屬地管轄）、屬人管轄（積極屬人管轄與消極屬人管轄）、普遍管轄、保護性管轄與效果原則。其中，前四項管轄權(quán)原則承繼于1935年美國哈佛研究所擬定的《關(guān)于犯罪的管轄權(quán)公約草案》）（Draft Convention on Jurisdiction with Respect to Crime），也被普遍作為判斷管轄權(quán)行使是否合法的標準；效果原則由美國于1945年在United StatesAluminium Co.of America案中創(chuàng)設(shè)，并逐步由反壟斷領(lǐng)域向證券、數(shù)據(jù)等領(lǐng)域延伸。以GDPR第3條為代表的域外適用條款在國際法框架下具有合法性基礎(chǔ)。盡管有關(guān)數(shù)據(jù)立法域外管轄的國際條約或協(xié)議較少，但GDPR第3條的規(guī)定符合國際習(xí)慣法上管轄權(quán)公認的依據(jù)。

“設(shè)立機構(gòu)標準”下的域外管轄以屬地管轄原則為基礎(chǔ)。領(lǐng)土是行使管轄權(quán)最古老、最常見、爭議最少的依據(jù)。第一，根據(jù)主觀屬地管轄原則，雖然某一行為的后果發(fā)生在境外，但一國可以對在其領(lǐng)土內(nèi)發(fā)生或開始的行為行使立法管轄權(quán)。第二，根據(jù)客觀屬地管轄原則，一國可以對在該國以外開始或發(fā)生的行為行使立法管轄權(quán)，如果該行為在該國境內(nèi)完成，或者構(gòu)成要件發(fā)生在該國境內(nèi)?！霸O(shè)立機構(gòu)標準”正是對客觀屬地管轄原則的應(yīng)用。一旦外國網(wǎng)站或在線服務(wù)提供商在歐盟境內(nèi)設(shè)置機構(gòu)，存在“設(shè)立機構(gòu)”的連接點，無論個人數(shù)據(jù)的處理行為是否發(fā)生在歐盟境內(nèi)，只要滿足“在設(shè)立機構(gòu)活動的背景下”這一條件，則歐洲監(jiān)管機構(gòu)享有監(jiān)管權(quán)限。歐洲學(xué)者也將這一管轄權(quán)依據(jù)稱為“領(lǐng)土原則”。 Data Protection Working Party (16 December 2015),https://ec.europa.eu/newsroom/article29/items/640614.

“目標導(dǎo)向標準”下的域外管轄以效果原則為基礎(chǔ)。國際法承認一國有權(quán)就對其領(lǐng)土產(chǎn)生實質(zhì)性影響的行為制定法律。在“效果主義”學(xué)說下，國家可以根據(jù)境外發(fā)生的行為在國家內(nèi)部產(chǎn)生實質(zhì)性影響這一事實來主張管轄權(quán)。Kurt Wimmer, 68 Syracuse Law Review 547,557 (2018).這一概念與客觀領(lǐng)土觀念密切相關(guān)，但它并不要求被規(guī)制行為的任何要素實際上發(fā)生在國家領(lǐng)土內(nèi)，是對屬地原則的進一步演化。效果原則通常被認為是最具爭議性的管轄權(quán)基礎(chǔ)，盡管法律學(xué)者提出諸多批評，但它已被廣泛用于互聯(lián)網(wǎng)領(lǐng)域。當(dāng)涉及外國數(shù)據(jù)控制者在歐盟的個人數(shù)據(jù)處理活動時，“目標導(dǎo)向標準”更明確地依賴“效果原則”來補充“領(lǐng)土原則”的缺漏。數(shù)據(jù)控制者或處理者的處理行為無論是向歐盟境內(nèi)主體提供商品或服務(wù)，還是與監(jiān)控數(shù)據(jù)主體的行為有關(guān)，均在歐盟產(chǎn)生實質(zhì)性影響，符合效果原則的內(nèi)涵。

總之，以GDPR第3條為代表的域外管轄條款，以客觀屬地原則和效果原則作為管轄權(quán)的依據(jù)，其域外管轄的擴張具有國際習(xí)慣法下的合法性基礎(chǔ)。

盡管歐盟模式在立法層面具有合法性基礎(chǔ)，但是其立法管轄范圍的單邊擴張不僅會引起各國在數(shù)據(jù)領(lǐng)域管轄權(quán)的平行沖突，也會加劇域外執(zhí)行的困難。

（1）單邊主義下域外管轄的平行沖突

與普通民商法法律域外適用所產(chǎn)生的法律沖突不同，個人數(shù)據(jù)保護法案具有公法性質(zhì)，一旦對同一案件的管轄權(quán)發(fā)生沖突，則無法通過國際私法的法律選擇方法決定法律適用。不可否認，各國的個人數(shù)據(jù)保護法案均規(guī)定了數(shù)據(jù)主體的權(quán)利與數(shù)據(jù)控制者或處理者的義務(wù)，但同時也對國家機關(guān)的職責(zé)和數(shù)據(jù)控制者或處理者的法律責(zé)任進行規(guī)定。以我國《個人信息保護法》為例，其第4章和第5章明文規(guī)定了自然人所享有的個人信息權(quán)益和個人信息處理者的義務(wù)，同時對國家網(wǎng)信部門的法定職責(zé)和個人信息處理者的行政責(zé)任也有著大篇幅的規(guī)定，因而《個人信息保護法》具有“半公半私”的法律性質(zhì)。與私法不同，由于公法會涉及國家利益或社會公共利益，一國公法在內(nèi)、外國的地位是不同的，外國公法幾乎沒有法律適用的余地。即便可以通過國際條約的方式對公法的域外管轄予以協(xié)調(diào)，但極其艱辛與耗時的國際談判并不能滿足實際需求。正因如此，一國公法的域外適用是以單邊主義方法為基礎(chǔ)，在反壟斷、證券等領(lǐng)域各國通過設(shè)定法律域外適用條款擴張域外管轄權(quán)。個人數(shù)據(jù)保護法案在本質(zhì)上會涉及一國對數(shù)據(jù)領(lǐng)域的管制權(quán)，關(guān)系到國家的數(shù)據(jù)主權(quán)和管轄利益，也反映一國在數(shù)據(jù)治理方面的價值選擇。目前，各國紛紛單邊設(shè)置本國個人數(shù)據(jù)保護法案的域外適用條款，數(shù)據(jù)立法域外管轄權(quán)的平行沖突無法避免。在單邊主義立法背景下，域外管轄關(guān)系到各國數(shù)據(jù)利益的博弈，即使個人數(shù)據(jù)保護法案借助了諸如設(shè)立機構(gòu)、效果發(fā)生地等連接點，但這也只是擴大內(nèi)國數(shù)據(jù)保護域外管轄的方式，并不是為了確定在何種情形下適用外國個人數(shù)據(jù)保護法案。是故，歐盟模式下管轄權(quán)的平行沖突無法借助沖突法律規(guī)范調(diào)整。

（2）域外適用的執(zhí)行困境

除卻各國個人數(shù)據(jù)保護法案的域外管轄權(quán)可能出現(xiàn)平行沖突，域外適用條款的可執(zhí)行性也頗受質(zhì)疑。GDPR第3條在域外適用的道路上走得太遠，導(dǎo)致 GDPR在國際舞臺上難以證明其適用范圍的合理性。更糟糕的是，GDPR的實際執(zhí)行難以保證，最終導(dǎo)致條款的選擇性執(zhí)行。Orla Lynskey,,Brexit Institute Working Paper Series-No.8,2020,p.3.2019年歐盟法院在GoogleCNIL案中對數(shù)據(jù)主體被遺忘權(quán)的執(zhí)行范圍進行澄清，歐盟法院裁決谷歌公司作為搜索引擎運營商必須刪除歐盟范圍內(nèi)所有版本上涉及數(shù)據(jù)主體的特定鏈接，但同時主張GDPR的條款并沒有對谷歌公司位于歐盟以外的搜索引擎版本施加義務(wù)，即谷歌公司無須刪除歐盟境外其他搜索引擎版本的鏈接。Google LLC,Successor in Law to Google Inc. Commission nationale de l'informatique et des libertés (CNIL)(C-507/17)[2019].換言之，數(shù)據(jù)主體被遺忘權(quán)的執(zhí)行范圍局限于歐盟內(nèi)部，而非全球。歐盟法院強調(diào)了在全球刪除鏈接的困難，并指出對公共利益的理解在國與國之間有很大差異，因此，面對言論自由與個人數(shù)據(jù)保護的沖突，不同國家可能會作出不同的利益平衡。然而，即使歐盟法院將這一判決的執(zhí)行范圍延伸至全球，這一判決在美國幾乎無法執(zhí)行。針對報紙執(zhí)行被遺忘權(quán)幾乎注定違反美國憲法第一修正案對言論自由的保護。盡管美國聯(lián)邦最高法院承認個人隱私權(quán)的重要性，但只有在對國家保護的利益造成直接危險時才會對媒體的言論自由予以限制。Bartnicki Vopper,532 U.S.514,534 (2001).一旦涉及發(fā)布具有公共重要性內(nèi)容的情形，隱私權(quán)應(yīng)予以讓位。

法律條款域外管轄的范圍越廣泛，其在境外執(zhí)行的難度傾向于更高。迄今為止，國際社會還沒有建立起跨境數(shù)據(jù)保護執(zhí)法體系。至少在全球不同司法管轄區(qū)域的數(shù)據(jù)保護層次統(tǒng)一達到合理水平之前，此類執(zhí)法體系不太可能構(gòu)建。只要各國對數(shù)據(jù)保護的程度和采取的方法不同，現(xiàn)有關(guān)于相互承認和執(zhí)行判決的國際安排對于數(shù)據(jù)主體權(quán)利和對個人信息處理者責(zé)任的執(zhí)行可能并不有效。由于對他國個人數(shù)據(jù)保護法案立法理念的把握并不精準，且考慮到不能讓本國成為保護他國數(shù)據(jù)主權(quán)利益的代理人，有關(guān)數(shù)據(jù)域外管轄案件的判決難以在境外得到執(zhí)行。

（二）美國模式的管轄原則與執(zhí)法沖突

與歐盟模式不同，美國所采取的數(shù)據(jù)控制者模式從法案頒布之初，便是為了調(diào)取存儲在他國的數(shù)據(jù)，具有鮮明的域外執(zhí)法色彩。在缺乏國際條約授權(quán)和外國政府有效同意的條件下，美國模式很可能引發(fā)跨境調(diào)取數(shù)據(jù)與他國主權(quán)的尖銳沖突。

“數(shù)據(jù)控制者模式”突破了國家領(lǐng)土的界限，將管轄權(quán)范圍確立為數(shù)據(jù)控制者所在地，強化了屬人管轄原則的運用。屬人管轄原則包含積極屬人管轄原則與消極屬人管轄原則。積極屬人管轄原則是指一國可以對其國民（包括自然人和公司）在境外的行為、利益、地位和關(guān)系行使立法管轄權(quán)，是國際法最古老和爭議最少的管轄權(quán)基礎(chǔ)之一。消極屬人管轄原則是指一國可對外國國民在境外對本國國民所實施的特定行為行使管轄權(quán)。雖然這一原則在特定網(wǎng)絡(luò)犯罪行為上已經(jīng)被整體接受為行使域外管轄權(quán)的基礎(chǔ)，但是其是否可以廣泛適用于網(wǎng)絡(luò)領(lǐng)域，仍然存在爭議。毋庸置疑，國際法承認一國對其本國國民在境外的行為所制定法律的管轄權(quán)，一國可以通過將國內(nèi)法適用于本國國民在境外的行為來行使立法管轄權(quán)。在網(wǎng)絡(luò)領(lǐng)域，一國可以將國內(nèi)法適用于該國自然人、法人所實施的完全發(fā)生在境外的網(wǎng)絡(luò)行動。“數(shù)據(jù)控制者模式”下美國域外管轄權(quán)的行使依據(jù)接近屬人管轄原則。在Microsoft Corp.United States案件中，微軟公司作為美國的服務(wù)提供商，將數(shù)據(jù)存儲在愛爾蘭的行為屬于美國公司在境外的網(wǎng)絡(luò)活動。CLOUD法案便是以積極屬人管轄原則為基礎(chǔ)，將微軟公司在境外的數(shù)據(jù)活動納入管轄范圍。

值得注意的是，盡管CLOUD法案的立法看似尊重了國際習(xí)慣法下的屬人管轄原則，但并不代表美國域外執(zhí)法調(diào)取數(shù)據(jù)的行為自然獲得正當(dāng)性。域外立法管轄與域外執(zhí)法管轄所受到的國際法限制是截然不同的，前者側(cè)重于具備實質(zhì)聯(lián)系，后者需要國際條約授予的特定權(quán)力和外國政府的有效同意。雖然美國司法部宣傳CLOUD法案并未超出美國憲法的限制，,U.S.Department of Justice (April 2019),https://www.justice.gov/dag/page/file/1153436/download.但是這其實是模糊了立法管轄與執(zhí)法管轄的差異，只會進一步加深跨境調(diào)取數(shù)據(jù)與外國國家主權(quán)的沖突。

美國模式雖然彌補了司法互助協(xié)定的弊端，但執(zhí)法機構(gòu)單方對刑事案件跨境調(diào)取數(shù)據(jù)的域外執(zhí)法行為欠缺合法性基礎(chǔ)，美國政府調(diào)取數(shù)據(jù)與供應(yīng)數(shù)據(jù)的立法規(guī)定也明顯不對等。

（1）域外執(zhí)法的合法性不足

屬人管轄原則無法為美國模式在刑事案件中單邊調(diào)取境外數(shù)據(jù)的執(zhí)法行為提供符合國際法的法律依據(jù)。一國行政機關(guān)在境外的行政執(zhí)法，包括處罰、強制等，或司法協(xié)助如調(diào)查、逮捕、執(zhí)行判決或司法程序等歸屬于一國域外執(zhí)法管轄權(quán)的范圍。執(zhí)法管轄權(quán)受到的國際法限制要大于立法管轄權(quán)受到的限制。執(zhí)法管轄權(quán)必須以存在立法管轄權(quán)為基礎(chǔ)，但是僅僅存在立法管轄權(quán)并不足以行使執(zhí)法管轄權(quán)?；谥鳈?quán)原則，一國的執(zhí)法管轄權(quán)一般限于國內(nèi)，包括在該國登記的船舶和航空器上。只有在國際法賦予特定權(quán)利或獲得他國政府有效同意的情況下，一國才可行使域外執(zhí)法管轄權(quán)，否則便有可能構(gòu)成對他國主權(quán)的侵犯。由前文分析可知，以CLOUD法案為代表的美國模式，借助屬人原則單邊擴張在數(shù)據(jù)領(lǐng)域的域外立法管轄權(quán)。單邊主義下一國制定的法案并不足以構(gòu)成執(zhí)法機構(gòu)調(diào)取境外數(shù)據(jù)的合法性基礎(chǔ)。在未簽訂國際條約或未獲得他國授權(quán)的前提下，強制要求未在本國注冊的他國數(shù)據(jù)控制者提供數(shù)據(jù)，存在侵犯他國主權(quán)的嫌疑。由于數(shù)據(jù)領(lǐng)域已經(jīng)被視為國家未來競爭和發(fā)展的重要領(lǐng)域，缺乏合法性基礎(chǔ)的域外執(zhí)法很可能引起他國的激烈反對并實施對等行為。

（2）數(shù)據(jù)“調(diào)取”與“供應(yīng)”的不對等

CLOUD法案對“適格政府”的限制性要求導(dǎo)致數(shù)據(jù)在“調(diào)取”與“供應(yīng)”方面出現(xiàn)失衡。前者著重利用美國互聯(lián)網(wǎng)技術(shù)的優(yōu)勢，允許美國較為容易地“調(diào)取”存儲在外國的數(shù)據(jù)，將美國在全球互聯(lián)網(wǎng)行業(yè)中的市場份額轉(zhuǎn)化為管轄范圍；后者強調(diào)美國向外國政府“供應(yīng)”數(shù)據(jù)的限制條件，并引入“適格外國政府”這一概念，致使數(shù)據(jù)的“調(diào)取”與“供應(yīng)”根本不對等。

其一，限制“適格外國政府”的范圍。并不是所有的外國政府均有資格依據(jù)CLOUD法案向美國申請調(diào)取數(shù)據(jù)，只有被美國認定的“適格外國政府”方能享有法案所規(guī)定的權(quán)利。CLOUD法案規(guī)定的“適格外國政府”的前提條件整體而言較為苛刻。首先，外國的國內(nèi)法在隱私與公民權(quán)利保護領(lǐng)域能夠提供實質(zhì)和程序上的充分保護。而在作出認定時對外國政府的考慮因素包含11項，尤其側(cè)重考慮該外國政府是否是《網(wǎng)絡(luò)犯罪公約》的締約方以及其對國際人權(quán)義務(wù)的遵守情況。其次，采取適當(dāng)?shù)某绦颍瑢⑸婕懊绹诵畔⒌墨@取、留存和散布降低至最小化。最后，在滿足以上法律化條件的情況下，與美國簽訂獲取數(shù)據(jù)的行政協(xié)議。從上述條件來看，中國實質(zhì)被排除在“適格外國政府”之外。

其二，即使外國政府被認定為“適格外國政府”，CLOUD法案對調(diào)取數(shù)據(jù)的范圍、程序有著較為繁瑣的限定。首先，外國政府不得將美國公民或美國境內(nèi)的居民作為調(diào)取數(shù)據(jù)的目標，這意味著可供調(diào)取的數(shù)據(jù)類型的范圍被嚴格限縮。其次，對外國政府發(fā)布的命令進行嚴格的程序限制。外國政府調(diào)取數(shù)據(jù)的命令必須與嚴重的犯罪行為相關(guān)，符合該國國內(nèi)法并應(yīng)當(dāng)受到法院的獨立審核。外國政府的命令不得侵犯言論自由且應(yīng)保證通信存儲在安全的系統(tǒng)中。最后，美國政府保留認定行政協(xié)議對命令不適用的權(quán)利。當(dāng)美國政府認為行政協(xié)議被不當(dāng)援引時，外國政府將無法依據(jù)該協(xié)議調(diào)取存儲在美國的數(shù)據(jù)。

總之，美國模式在實現(xiàn)數(shù)據(jù)域外管轄的同時，卻嚴格限制外國政府調(diào)取數(shù)據(jù)的請求，這容易招致外國政府的反制措施，進一步引發(fā)更加激烈的沖突。

四、中國數(shù)據(jù)立法的應(yīng)對

面對數(shù)據(jù)立法域外管轄所帶來的挑戰(zhàn)與危機，我國應(yīng)當(dāng)制定相應(yīng)配套策略，并對未來有可能侵犯我國主權(quán)利益的行為采取阻斷措施。

（一）界定數(shù)據(jù)保護域外立法管轄的邊界

為應(yīng)對各國個人數(shù)據(jù)保護法案域外管轄擴張所帶來的管轄權(quán)沖突，我國應(yīng)當(dāng)進一步界定域外立法管轄的邊界。只有確定數(shù)據(jù)保護域外立法管轄的邊界，才能緩和各國當(dāng)前管轄權(quán)的平行沖突。

由于國際條約或協(xié)議并無相關(guān)規(guī)定，所以數(shù)據(jù)保護域外立法管轄應(yīng)當(dāng)受到國際習(xí)慣法的約束。如果受監(jiān)管的主體與監(jiān)管國之間存在真正的聯(lián)系，國際習(xí)慣法允許該國行使立法管轄權(quán)。在管轄權(quán)原則中，屬地管轄與積極屬人管轄是最基礎(chǔ)、爭議最少并獲得國際社會廣泛認可的管轄權(quán)依據(jù)。以屬地管轄和積極屬人管轄為基礎(chǔ)，對數(shù)據(jù)涉外案件行使域外管轄權(quán)符合國際習(xí)慣法對管轄權(quán)的規(guī)制。相反，若不是以上述兩項管轄權(quán)依據(jù)為基礎(chǔ)，數(shù)據(jù)保護域外立法管轄的合法性應(yīng)當(dāng)接受嚴格的審查。

在歐盟模式下，效果原則在個人數(shù)據(jù)保護法案中應(yīng)用廣泛，而在此之前，各國普遍接受以效果原則為基礎(chǔ)，主要針對市場壟斷行為與證券欺詐行為采取域外管轄。當(dāng)然，這并不意味著效果原則只能應(yīng)用于反壟斷與證券領(lǐng)域，而是同屬地管轄和積極屬人管轄原則相比，以效果原則為基礎(chǔ)在數(shù)據(jù)領(lǐng)域行使域外管轄權(quán)應(yīng)當(dāng)受到更多的限制。盡管國際法對效果原則應(yīng)當(dāng)受到的限制條件并不十分明確，但國際法學(xué)者已然對四項條件達成一致意見。首先，以效果原則為管轄權(quán)基礎(chǔ)制定法律的國家應(yīng)當(dāng)具有明確的利益。其次，立法意圖規(guī)制的效果應(yīng)當(dāng)是可預(yù)見的。再次，必須存在實質(zhì)性的效果才能開展域外管轄。最后，不得因為缺乏聯(lián)系導(dǎo)致侵犯他國主權(quán)。數(shù)據(jù)處理行為與在一國產(chǎn)生的效果之間聯(lián)系越緊密，域外管轄權(quán)的行使就更具有合法性，反之，效果原則的應(yīng)用缺乏理由。歸根結(jié)底，判斷以效果原則為基礎(chǔ)行使域外管轄權(quán)是否具有合法性，關(guān)鍵在于判斷個案中數(shù)據(jù)控制者或處理者與行使域外管轄權(quán)的國家之間的聯(lián)系是否緊密。是故，關(guān)于歐盟模式中域外立法管轄權(quán)的邊界，若域外適用條款以屬地管轄和積極屬人管轄為立法管轄權(quán)的依據(jù)，其合法性毋庸置疑；若以效果原則為依據(jù)，則應(yīng)當(dāng)嚴格審查其是否滿足條件的限制，數(shù)據(jù)處理行為與效果之間是否具有真正的聯(lián)系。若二者不具有聯(lián)系或聯(lián)系較為疏遠，域外管轄很可能超越合法邊界。

當(dāng)對同一數(shù)據(jù)涉外案件多國均具有合法管轄權(quán)時，國際禮讓原則的重要性會凸顯。各國平行的個人數(shù)據(jù)保護法案域外管轄權(quán)只要滿足合法性的要求，那么就沒有高低之分。目前國際法框架下并不存在可以為合法的立法管轄權(quán)排列先后順序的方法。基于屬地管轄原則的域外管轄權(quán)并不當(dāng)然優(yōu)先于其他合法管轄權(quán)。針對數(shù)據(jù)領(lǐng)域域外管轄權(quán)沖突的這一問題，簽署國際條約或協(xié)議無疑是最為徹底的路徑，但此種方式過于理想化，各國不僅要付出十分艱辛的努力且會耗費大量時間。此時，一國可以采用國際禮讓原則以應(yīng)對管轄權(quán)沖突。國際禮讓原則本身并不否認域外管轄，其核心在于利益衡量，即查詢是否存在外國主權(quán)利益，探究相關(guān)利益是否需要得到尊重。運用國際禮讓原則解決管轄權(quán)沖突的過程實質(zhì)是通過利益衡量分析來判斷何者位于優(yōu)先地位的過程。但不應(yīng)忽視的是，國際禮讓原則具有局限性。其一，禮讓并不是國際法賦予各國的義務(wù)。禮讓的內(nèi)容具有模糊性，它的運用并未有清晰的程序。其二，以我國為例，利益衡量的過程要求我國法院在個案中能夠精準地了解他國數(shù)據(jù)法律制度背后的目的和所涉及的管轄利益，這無疑是苛刻的，也無法保證我國所有法院在涉外案件中均可以達到這一程度?？傊?，在面臨多種合法管轄權(quán)的平行沖突時，國際禮讓原則是解決這一問題的途徑之一，但其缺點也是國際法的無奈之處。

（二）外國判決承認與執(zhí)行制度在數(shù)據(jù)領(lǐng)域的特殊運用

國際經(jīng)貿(mào)與互聯(lián)網(wǎng)技術(shù)的發(fā)展導(dǎo)致以領(lǐng)土劃分公法的適用范圍已不合時宜，在當(dāng)代社會中，公法域外適用的合理性已不受質(zhì)疑。公法與私法二元界限的劃分逐步弱化，國際私法制度下域外判決的承認與執(zhí)行規(guī)則可以為數(shù)據(jù)主體個人數(shù)據(jù)權(quán)益的域外執(zhí)行提供指引。

符合我國公共秩序是我國承認與執(zhí)行外國判決的前提。公共秩序是一國在特定時間內(nèi)、特定條件下和特定問題上的重大或根本利益所在。在承認與執(zhí)行外國生效的裁決時，若承認與執(zhí)行會違反法院地國的公共秩序，則可以拒絕承認與執(zhí)行，這也被稱為公共秩序保留制度。就“公共秩序”而言，在不同社會與法律背景下其定義并不固定，因而其內(nèi)涵具有一定的彈性。我國《涉外民事關(guān)系法律適用法》第5條使用了“社會公共利益”這一表述。在審查外國民商事判決中，法院對適用公共秩序保留制度傾向于保持克制立場。2018—2020年，我國并未出現(xiàn)因不符合我國公共秩序而被人民法院拒絕承認和執(zhí)行外國判決的情形。但外國個人數(shù)據(jù)案件不同，外國的判決在我國的執(zhí)行很可能會涉及我國的數(shù)據(jù)主權(quán)。數(shù)據(jù)主權(quán)來源于國家主權(quán)，包含了我國在數(shù)據(jù)領(lǐng)域的國家利益與公共利益。我國法院應(yīng)當(dāng)嚴格審查他國在個人數(shù)據(jù)案件中的判決是否不利于我國數(shù)據(jù)主權(quán)，換言之，公共秩序保留制度應(yīng)當(dāng)在法院審查外國個人數(shù)據(jù)保護案件的判決中扮演重要角色，而不是被克制運用。歐盟法院在GoogleCNIL案中之所以將谷歌公司執(zhí)行被遺忘權(quán)的范圍限于歐盟內(nèi)部而不是全球，主要原因正是在于考慮到與他國的公共利益可能相沖突。公共秩序保留可以起到安全閥的作用，我國立法或司法應(yīng)當(dāng)進一步解釋數(shù)據(jù)領(lǐng)域中公共秩序的邊界。只有在符合我國公共秩序的前提下，才需要進一步考慮承認與執(zhí)行外國判決涉及的其他因素。

《民事訴訟法》第288條和第289條僅對我國的外國民商事判決承認和執(zhí)行制度作了原則性規(guī)定，對外國判決的審查有賴于國際條約的規(guī)定和對互惠原則的理解。我國《個人信息保護法》第41條明文規(guī)定，主管機關(guān)應(yīng)參照我國參加的國際條約、互惠原則來處理外國跨境調(diào)取數(shù)據(jù)的請求。雖然這一條款針對的是跨境調(diào)取數(shù)據(jù)而并非外國判決的執(zhí)行情形，但也表明互惠原則是我國處理數(shù)據(jù)領(lǐng)域涉外案件的原則之一。我國《民事訴訟法》并未對互惠原則有進一步的解釋，因而，如何認定互惠關(guān)系是關(guān)鍵問題。互惠關(guān)系大致包括條約互惠、事實互惠、法律互惠以及推定互惠。《最高人民法院關(guān)于人民法院進一步為“一帶一路”建設(shè)提供司法服務(wù)和保障的意見》第24條規(guī)定：“采取推定互惠的司法態(tài)度，以點帶面不斷推動國際商事法庭判決的相互承認與執(zhí)行?！蓖贫ɑセ菔侵灰麌鴽]有拒絕承認我國判決的先例，就可以推定兩國之間存在互惠關(guān)系。這一判定標準是在“一帶一路”的背景下，為了改善外國民商事判決在我國承認與執(zhí)行的難題而對互惠采取更為開放的認定立場。盡管在我國個人數(shù)據(jù)權(quán)益被視為一項民事權(quán)益，但不可忽視的是，《個人信息保護法》具有公法性質(zhì)并采用行政手段對數(shù)據(jù)主體權(quán)益加以保護。個人數(shù)據(jù)權(quán)益的背后涉及各國在數(shù)據(jù)領(lǐng)域的主權(quán)利益和公共利益。尤其是在各國紛紛采取數(shù)據(jù)本土化措施的背景下，適用推定互惠作為互惠關(guān)系的判定標準將導(dǎo)致我國承擔(dān)一定風(fēng)險。很有可能出現(xiàn)我國承認和執(zhí)行外國個人數(shù)據(jù)保護案件的裁決或提供他國司法機關(guān)、行政機關(guān)所需數(shù)據(jù)后，我國的判決和跨境取證的請求遭遇他國的拒絕。是故，推定互惠并不適合作為外國數(shù)據(jù)案件判決承認和執(zhí)行的依據(jù)。

由我國《個人信息保護法》第43條可知，我國可以根據(jù)他國所采取歧視性的禁止、限制的實際情況采取對等措施。根據(jù)前文所述，我國對跨境調(diào)取數(shù)據(jù)采取非常保守的態(tài)度?？梢院侠硗茢?，我國對涉及數(shù)據(jù)域外管轄的案件的態(tài)度不同于普通的外國民商事案件，傾向于優(yōu)先保護我國主權(quán)利益并與他國保持實質(zhì)對等。因而，本文認為，對于涉及數(shù)據(jù)的域外判決，我國應(yīng)當(dāng)采用法律互惠的判定標準，方與我國的立法態(tài)度保持一致。法律互惠的原意是比較兩國在外國判決承認與執(zhí)行制度之間立法的規(guī)定是否相似，但不可否認，由于歷史傳統(tǒng)、語言表述、以及法律文化等多種因素的影響，兩國之間的法律會存在很大差異，且比較兩國法律會給法官帶來較大的工作量。結(jié)合司法實踐，本文認為，可以借鑒德國司法機關(guān)的做法采取反向推定，即關(guān)于承認和執(zhí)行外國個人數(shù)據(jù)領(lǐng)域案件的判決，他國立法條件不比我國規(guī)定更為嚴格或比我國立法更為寬松，就認定兩國之間存在互惠關(guān)系。此外，若我國個人數(shù)據(jù)涉外案件的判決一旦遭遇他國拒絕執(zhí)行，我國自然可以采取對等措施，否定互惠關(guān)系存在。

（三）完善我國數(shù)據(jù)的跨境取證模式

由于“數(shù)據(jù)控制者模式”順應(yīng)了國家掌控數(shù)據(jù)的需要，在未來一段時間內(nèi)注定與“數(shù)據(jù)存儲地模式”共存。我國應(yīng)當(dāng)堅持在維護數(shù)據(jù)主權(quán)的前提下，對我國的“數(shù)據(jù)存儲地模式”予以完善并阻斷他國不正當(dāng)?shù)挠蛲夤茌牎?/p>

在堅持“數(shù)據(jù)存儲地模式”理念的前提下，例外情形的設(shè)置是必要的。其一，我國司法機關(guān)或行政機關(guān)同樣具有跨境調(diào)取數(shù)據(jù)的需求?！皵?shù)據(jù)控制者模式”之所以產(chǎn)生并逐步延伸，根本原因在于有助于國家機構(gòu)便利地獲取數(shù)據(jù)，符合了大數(shù)據(jù)時代跨境取證的實際需求。一味地全盤固守原本的“數(shù)據(jù)存儲地模式”且不予靈活變通，抗拒他國獲取存儲在本國的數(shù)據(jù)，看似保護了本國的數(shù)據(jù)主權(quán)，實則也使本國喪失了與他國建立良好國際執(zhí)法合作機制的機會。其二，針對跨境調(diào)取數(shù)據(jù)，我國對國內(nèi)外跨境調(diào)取數(shù)據(jù)的立法態(tài)度有所不同。由上文可知，我國對外國跨境調(diào)取存儲在我國的數(shù)據(jù)采取嚴格的“數(shù)據(jù)存儲地模式”。但另一方面，我國立法對我國國家機關(guān)跨境調(diào)取電子數(shù)據(jù)的規(guī)定稍有突破。2016年發(fā)布的《最高人民法院 最高人民檢察院 公安部關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》第9條第2款和第3款允許我國機構(gòu)通過網(wǎng)絡(luò)在線提取存儲在他國的電子數(shù)據(jù)以及進行網(wǎng)絡(luò)遠程勘驗。2019年發(fā)布的《公安機關(guān)辦理刑事案件電子數(shù)據(jù)取證規(guī)則》第23條也有類似規(guī)定，對公開發(fā)布的電子數(shù)據(jù)、境內(nèi)遠程計算機信息系統(tǒng)上的電子數(shù)據(jù)，可以通過網(wǎng)絡(luò)在線提取?？梢?，我國立法允許我國機構(gòu)在線提取存儲在他國的公開數(shù)據(jù)，以及通過網(wǎng)絡(luò)遠程勘驗獲取存儲在境外的數(shù)據(jù)，在一定程度上突破了“數(shù)據(jù)存儲地模式”。

跨境調(diào)取電子數(shù)據(jù)并不一定意味著損害他國的主權(quán)利益。就學(xué)理分析而言，國際法專家認為如果數(shù)據(jù)存儲在境外的服務(wù)器，則訪問互聯(lián)網(wǎng)上可公開獲取的電子數(shù)據(jù)屬于一國行使域內(nèi)管轄權(quán)而非域外管轄權(quán)的情形。就國際條約而言，《網(wǎng)絡(luò)犯罪公約》第32條（a）和（b）兩個條款分別規(guī)定，對于可公開獲取的數(shù)據(jù)以及經(jīng)過有權(quán)披露數(shù)據(jù)的主體的同意，無須獲取他國授權(quán)即可跨境訪問存儲在他國的數(shù)據(jù)。雖然就可以豁免他國授權(quán)的跨境調(diào)取數(shù)據(jù)的情形尚未在全球達成一致，但無論是學(xué)理分析抑或是國際條約，在特定情形下的跨境取證并不被認為損害他國正當(dāng)利益。

國與國之間跨境調(diào)取數(shù)據(jù)所提供的協(xié)助是相互的，在不損害本國主權(quán)利益的前提下，允許他國跨境調(diào)取數(shù)據(jù)，有助于在雙方之間形成良好的合作氛圍，更進一步為跨境執(zhí)法活動的相互協(xié)助提供良好的基礎(chǔ)。若只寄希望于依托先進的互聯(lián)網(wǎng)技術(shù)或單方面國內(nèi)法的立法許可，從而獲取自身所需要的數(shù)據(jù)，而不愿他國用相同方式獲取存儲在本國的數(shù)據(jù)，那么跨境調(diào)取數(shù)據(jù)的國際合作是無法開展的。我國可以在“數(shù)據(jù)存儲地模式”之外設(shè)定例外情形，允許他國執(zhí)法機關(guān)可以在線提取網(wǎng)絡(luò)數(shù)據(jù)，以及進行網(wǎng)絡(luò)遠程勘驗。

面對美國模式下域外管轄的不斷擴張，將互惠原則與數(shù)據(jù)分類分級保護制度相協(xié)調(diào)可以較好地平衡我國的需求。目前，《數(shù)據(jù)安全法》第21條第1款建立了數(shù)據(jù)分類分級保護制度?！毒W(wǎng)絡(luò)安全標準實踐指南——網(wǎng)絡(luò)數(shù)據(jù)分類分級指引》根據(jù)影響對象和影響程度的不同，將網(wǎng)絡(luò)數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)以及核心數(shù)據(jù)三個級別。《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》第5條擬對不同級別的數(shù)據(jù)采取不同的保護措施，國家對核心數(shù)據(jù)實行嚴格保護，對個人信息和重要數(shù)據(jù)進行重點保護。

依前文所述，我國主管機關(guān)應(yīng)當(dāng)采取變通的法律互惠標準認定互惠關(guān)系的存在。面對他國跨境調(diào)取數(shù)據(jù)的請求，我國主管機關(guān)需要依據(jù)數(shù)據(jù)的不同分類與級別作出審查。一旦重要數(shù)據(jù)和核心數(shù)據(jù)遭遇破壞、非法利用，我國的國家安全、公共利益便會遭受嚴重損害。是故，關(guān)于這兩類數(shù)據(jù)的跨境調(diào)取，立法應(yīng)當(dāng)予以禁止。一般數(shù)據(jù)，依據(jù)其遭遇非法獲取或非法利用后對個人、組織合法權(quán)益造成的危害程度不同，從低到高可劃分為四個級別。1級數(shù)據(jù)具有公共傳播屬性，可對外公開發(fā)布、轉(zhuǎn)發(fā)傳播。即使數(shù)據(jù)遭遇非法獲取或非法利用，也不會對個人與組織的合法權(quán)益造成損害。他國執(zhí)法機關(guān)可以通過互聯(lián)網(wǎng)直接獲取，無須經(jīng)過我國主管機關(guān)的批準。這也與“數(shù)據(jù)存儲地模式”的例外情形相一致?；セ菰瓌t的適用主要針對2-4級一般數(shù)據(jù)的跨境調(diào)取。我國主管機關(guān)應(yīng)當(dāng)考慮他國跨境調(diào)取數(shù)據(jù)的條件是否比我國立法寬松，若不比我國嚴格或更加寬松，則可以認定兩國之間存在互惠關(guān)系。相反，若他國跨境調(diào)取數(shù)據(jù)的立法條件更為嚴格，且對我國具有跨境調(diào)取數(shù)據(jù)的立法限制，那么我國主管機關(guān)就可不認定存在互惠關(guān)系，并且對該國施加對等限制措施。如前文所言，CLOUD法案所規(guī)定的立法條件對美國政府和外國政府跨境調(diào)取數(shù)據(jù)具有實質(zhì)的不對等，我國不符合其所謂的“適格外國政府”的限定條件，從法律互惠標準的角度，很難認定中美互惠關(guān)系存在。

為應(yīng)對他國不當(dāng)?shù)挠蛲夤茌牐?021年1月我國商務(wù)部發(fā)布《阻斷外國法律與措施不當(dāng)域外適用辦法》（以下簡稱《辦法》），以阻斷外國法律與措施不當(dāng)域外適用對中國的影響。事實上，我國《個人信息保護法》第41條與《國際刑事司法協(xié)助法》第4條第3款的規(guī)定已經(jīng)具有了阻斷措施的效果。我國采取阻斷措施已經(jīng)有法可依，但目前阻斷立法的體系仍需要進一步細化與完善。

其一，強化阻斷立法的執(zhí)行，并配合豁免程序予以實施?！掇k法》第13條規(guī)定，不遵守阻斷立法的中國公民、法人或者其他組織將受到警告與罰款的處罰。只有對這一規(guī)定貫徹執(zhí)行才能使阻斷立法不成為一紙空文。2010年6月，在Gucci America,Inc.v.Weixing Li案中，中國銀行紐約分行（以下簡稱“中行”）被要求提供被告在中國境內(nèi)的賬戶信息。盡管中行盡全力證明在中國境外披露客戶信息的行為將違反中國法律，但紐約地區(qū)法院仍然以其藐視法庭為由處以高額罰款。Gucci America,Inc.Weixing Li,135 F.Supp.3d 87,100 (S.D.N.Y.2015).為力爭遵守中國法律，在隨后的5年時間里中行先后兩次上訴，兩次被裁定藐視法庭，還在中國就此單獨提起訴訟。2016年，高昂的罰款最終迫使中行提交了來自中國境內(nèi)客戶信息。美國法院聲稱之所以不認可中行的抗辯事由，原因在于美國法院并不相信中行違法后會真的招到中國監(jiān)管機構(gòu)的處罰，尤其是中行無法提供相關(guān)案例予以證明?？梢?，阻斷立法的執(zhí)行性會直接影響他國司法機關(guān)的評價，強化阻斷立法的實施有助于受到他國法院的認可。但一味加強執(zhí)行亦可能導(dǎo)致個人信息處理者陷入兩難。在這一案件背景下若適用阻斷立法，中行若遵守中國法律規(guī)定，則需要承擔(dān)來自美國法院的高額罰款；若遵守美國法院的命令，則仍然需要在國內(nèi)承擔(dān)罰款。這就迫使中行承擔(dān)國內(nèi)與國外的雙重風(fēng)險。是故，面對他國行政機關(guān)或司法機關(guān)跨境調(diào)取數(shù)據(jù)的要求，應(yīng)依據(jù)具體案件作出不同分析。若調(diào)取的數(shù)據(jù)牽涉國家安全與公共利益，那么即使我國的個人信息處理者面臨他國法律的處罰，仍然需要遵守阻斷立法，否則將承擔(dān)我國法律責(zé)任。但若調(diào)取數(shù)據(jù)未涉及國家安全與公共利益，且他國域外管轄符合前文所述的管轄權(quán)依據(jù)，那么個人信息處理者可以依據(jù)《辦法》第8條申請豁免遵守禁令。因而，我國應(yīng)當(dāng)結(jié)合實踐需求，在強化阻斷立法執(zhí)行性的同時對豁免程序進一步優(yōu)化，以緩解個人信息處理者的壓力。

其二，在數(shù)據(jù)領(lǐng)域的涉外案件中，進一步明確遵守我國阻斷禁令的國內(nèi)企業(yè)所獲取的支持。國務(wù)院商務(wù)主管部門可對外國法律不當(dāng)?shù)挠蛲膺m用發(fā)布阻斷禁令。依據(jù)《辦法》第11條，若中國公民、法人或者其他組織未遵守他國法律而遭受重大損失的，政府部門可以給予必要的支持。但這一支持究竟是什么，并沒有詳細解釋。這一條款是為遵守禁令的中國企業(yè)提供補償，然而，我國政府可以對企業(yè)從哪些方面進行補償尚不清晰。由于《辦法》的效力等級只是部門規(guī)章且只有15條，是故，可以將其看作是對阻斷立法框架的初步嘗試?？傊?，我國應(yīng)進一步完善阻斷立法體系和執(zhí)法體系，明確給予遵守阻斷禁令的中國個人信息處理者支持的內(nèi)容，緩解中國企業(yè)遭遇的雙重風(fēng)險。

結(jié)語

在形成有效的國際協(xié)議之前，單邊擴張數(shù)據(jù)立法的域外管轄權(quán)限將是各國的主要選擇。不假思索地反對這一趨勢或無限擴張域外管轄權(quán)限都會陷入極端。單邊主義下數(shù)據(jù)域外管轄不可避免將引發(fā)管轄權(quán)沖突，也可能侵犯他國主權(quán)利益。我國已經(jīng)初步建立了數(shù)據(jù)域外管轄制度，面對國際兩種立法模式所引發(fā)的挑戰(zhàn)與危機，應(yīng)當(dāng)分別制定因應(yīng)策略。針對依托個人數(shù)據(jù)保護法案的歐盟模式，可以考慮判定他國行使域外管轄權(quán)是否超越邊界，并對他國數(shù)據(jù)領(lǐng)域司法判決的承認與執(zhí)行進行特殊考量。對于依托跨境取證法案的美國模式下的域外管轄，明晰“數(shù)據(jù)存儲地模式”的例外情形、協(xié)調(diào)互惠與數(shù)據(jù)分級分類保護制度更有利于我國在跨境調(diào)取數(shù)據(jù)方面與他國開展國際合作。面對不當(dāng)?shù)挠蛲夤茌?，?yīng)當(dāng)進一步完善阻斷立法，以保障我國阻斷禁令的執(zhí)行性，配合豁免程序，減輕私主體的雙重法律風(fēng)險。