摘要：數(shù)據(jù)已成為當(dāng)今社會發(fā)展的重要因素，但目前全球尚未形成統(tǒng)一的數(shù)據(jù)跨境流動規(guī)則。在此背景下，美國與歐盟相繼構(gòu)建起“外向干涉型”和“內(nèi)向保護型”數(shù)據(jù)法域外適用體系，以加強對網(wǎng)絡(luò)空間的規(guī)制力。此舉存在濫用數(shù)據(jù)法域外效力的隱憂，增加了各國數(shù)據(jù)的被動開放風(fēng)險，也抬高了企業(yè)全球經(jīng)營的合規(guī)門檻。作為數(shù)字產(chǎn)業(yè)大國，我國亦應(yīng)加強數(shù)據(jù)立法，構(gòu)建“能動回應(yīng)型”數(shù)據(jù)法域外適用體系，既要順應(yīng)國內(nèi)數(shù)字市場發(fā)展的內(nèi)向性要求，也應(yīng)兼顧互聯(lián)網(wǎng)企業(yè)走出去的外向性需要，推動我國數(shù)據(jù)法域外效力的合理適度延伸，并完善外國數(shù)據(jù)法不當(dāng)域外適用的阻斷機制，以此探索全球數(shù)據(jù)治理的中國范式。

關(guān)鍵詞：涉外法治；數(shù)據(jù)法；域外適用；數(shù)據(jù)流動

DOI： 10.13734/j.cnki.1000-5315.2024.0315

收稿日期：2024-05-02

基金項目：本文系四川大學(xué)博士后研發(fā)基金“外國數(shù)據(jù)立法不當(dāng)域外適用的中國涉外法治應(yīng)對”（skbsh2023-16）、教育部哲學(xué)社會科學(xué)研究重大課題攻關(guān)項目“加快推進自由貿(mào)易港建設(shè)研究”（23JZD27）、2023年四川大學(xué)中央高校基本科研業(yè)務(wù)費（法學(xué)）研究課題（2023fxzy-04）的階段性成果。

作者簡介：林福辰，男，遼寧大連人，法學(xué)博士，四川大學(xué)法學(xué)院助理研究員、專職博士后，四川大學(xué)“自貿(mào)區(qū)暨‘一帶一路’法律研究中心”助理研究員，E-mail： Linfc_SCU@163.com。

當(dāng)前，數(shù)字革命幾乎滲透到了社會經(jīng)濟關(guān)系的各個方面，數(shù)據(jù)經(jīng)濟成為重組全球經(jīng)濟要素資源、重塑全球經(jīng)濟結(jié)構(gòu)、改變?nèi)蚋偁幐窬值年P(guān)鍵性力量梅宏《大數(shù)據(jù)與數(shù)字經(jīng)濟》，《求是》2022年第2期，第28頁。。大變局之下的當(dāng)今世界，全球治理體系亟待改革與完善，國際競爭越來越體現(xiàn)為制度、規(guī)則、法律的競爭周強《在習(xí)近平法治思想指引下 奮力推進新時代司法為民公正司法》，《求是》2022年第4期，第22頁。。確保數(shù)字經(jīng)濟的供應(yīng)鏈安全對提升國家競爭優(yōu)勢至關(guān)重要，因此，數(shù)據(jù)立法成為各國在國際社會爭奪數(shù)據(jù)治理話語權(quán)、輸出本國數(shù)據(jù)治理規(guī)則、擴大本國數(shù)據(jù)優(yōu)勢的主要路徑王燕《數(shù)據(jù)法域外適用及其沖突與應(yīng)對——以歐盟〈通用數(shù)據(jù)保護條例〉與美國〈澄清域外合法使用數(shù)據(jù)法〉為例》，《比較法研究》2023年第1期，第187頁。。以美國為代表的西方國家爭相制定具有域外適用效力的數(shù)據(jù)法律法規(guī)，以期維護本國數(shù)據(jù)產(chǎn)業(yè)的競爭優(yōu)勢，爭奪國際數(shù)據(jù)治理話語權(quán)。近年來，我國數(shù)據(jù)法律體系雖初具輪廓，國內(nèi)數(shù)字經(jīng)濟治理體系和治理能力現(xiàn)代化水平顯著提高，但尚未形成數(shù)據(jù)法域外適用體系，難以防控域外數(shù)據(jù)行為對國家安全、公共利益與個人權(quán)益的潛在危害，運用法治手段應(yīng)對外國數(shù)據(jù)法不當(dāng)域外適用的能力亟待提升。有鑒于此，本文擬在梳理美歐數(shù)據(jù)法域外效力規(guī)則體系的基礎(chǔ)上，探究數(shù)據(jù)法域外適用體系的中國范式，并就外國數(shù)據(jù)法不當(dāng)域外適用的中國應(yīng)對方案進行探討。

一" 國家數(shù)據(jù)法效力域外擴張的理論歸因

（一）規(guī)制數(shù)據(jù)跨境流動目標(biāo)的合理性

據(jù)統(tǒng)計，在2010至2019年間，全球數(shù)據(jù)跨境流量以每年45%的驚人速度增長，從45Tbps增長到1500Tbps成政珉、華強森、Sven Smit等《全球流動：世界互聯(lián)互通的紐帶》，2023年1月發(fā)布，2024年3月18日訪問，https：//www.mckinsey.com.cn/wp-content/uploads/2023/02/MGI_Global-Flows_Dicsussion-paper-CN-20230215.pdf。。數(shù)據(jù)作為新興的生產(chǎn)要素，為全球經(jīng)濟增長提供新動能的同時，也改變了社會的責(zé)任配比勞倫斯·萊斯格《代碼2.0：網(wǎng)絡(luò)空間中的法律》，李旭、沈偉偉譯，清華大學(xué)出版社2018年第2版，第95頁。。

首先，大型互聯(lián)網(wǎng)企業(yè)對用戶數(shù)據(jù)的商業(yè)化利用，致使個人隱私保護問題尤為突出。當(dāng)前，個體的社會生活在相當(dāng)大的程度上被“數(shù)字化”，在網(wǎng)絡(luò)空間和存儲設(shè)備中留下自身的“數(shù)字痕跡”，隨之而來則是個人數(shù)據(jù)跨境流動存在的隱私泄漏風(fēng)險。例如，F(xiàn)acebook曾在用戶不知情或“非自由”同意的情況下從第三方網(wǎng)站或應(yīng)用搜集用戶信息，對此，德國聯(lián)邦最高法院曾于2020年6月裁定Facebook構(gòu)成對公民隱私的侵犯，責(zé)令其調(diào)整服務(wù)條款和數(shù)據(jù)處理活動The German Federal Supreme Court， Bundesgerichtshof besttigt vorlufig den Vorwurf der missbruchlichen Ausnutzung einer marktbeherrschenden Stellung durch Facebook， Juni 23， 2020， https：//www.bundesgerichtshof.de/SharedDocs/Pressemitteilungen/DE/2020/2020080.html.。不僅如此，在數(shù)字技術(shù)的加持下，數(shù)據(jù)處理者對個人信息的大規(guī)模、自動化搜集弱化了傳統(tǒng)匿名化技術(shù)的實際效果，進而加劇了個人數(shù)據(jù)被過度商業(yè)化利用的風(fēng)險。因此，基于個人隱私信息保護的目的，規(guī)制數(shù)據(jù)流動是各國政府當(dāng)前的重要責(zé)任。

其次，數(shù)據(jù)跨境流動，對公共安全利益帶來挑戰(zhàn)。公眾在享受互聯(lián)網(wǎng)便利性的同時，也面臨著虛假信息泛濫、有害信息傳播、網(wǎng)絡(luò)犯罪發(fā)生等諸多危害。立足國家治理層面，各國往往基于一定的保護義務(wù)，推動網(wǎng)絡(luò)空間規(guī)制的變革，強化網(wǎng)絡(luò)空間架構(gòu)的控制性。一般而言，網(wǎng)絡(luò)空間的規(guī)制程度取決于網(wǎng)絡(luò)空間的架構(gòu)，而該架構(gòu)的屬性由價值觀決定勞倫斯·萊斯格《代碼2.0：網(wǎng)絡(luò)空間中的法律》，第36頁。。例如，德國通過限制數(shù)據(jù)跨境流動，禁止公民通過互聯(lián)網(wǎng)平臺售賣與納粹有關(guān)的紀(jì)念品Germany， Strafgesetzbuch ［Penal Code］ § 86a （2021）.；越南亦曾頒布立法，限制危及越南公共秩序的信息在網(wǎng)絡(luò)空間中傳播Vietnam， Decree No. 72/2013/ND-CP §4（4） （2013）.。所以，各國對公共安全的維護，使規(guī)制數(shù)據(jù)流動有了天然的合理性。

最后，利用大數(shù)據(jù)分析等數(shù)據(jù)手段，一國可能有針對性地開展對他國信息情報的收集和處理工作，從而威脅到他國國家安全。例如，美國自2007年起啟動了代號為“棱鏡”的秘密監(jiān)控項目，直接進入美國網(wǎng)際網(wǎng)絡(luò)公司的中心服務(wù)器里挖掘數(shù)據(jù)、收集情報，微軟、雅虎、谷歌、蘋果等在內(nèi)的9家國際網(wǎng)絡(luò)巨頭參與其中Barton Gellman， Laura Poitras， “U.S.， British Intelligence Mining Date from Nine U.S. Internet Copmanies in Broad Secret Program，” Washington Post， June 7， 2013， https：//www.washingtonpost.com/investigations/us-intelligence-mining-data-from-nine-us-internet-companies-in-broad-secret-program/2013/06/06/3a0c0da8-cebf-11e2-8845-d970ccb04497_story.html.?？梢姡瑪?shù)據(jù)的自由流動對國家安全構(gòu)成了新的挑戰(zhàn)，各國對數(shù)據(jù)行為的監(jiān)管需求更為迫切。

綜上，放任國家數(shù)據(jù)的自由流動，會觸及到該國經(jīng)濟和社會生活的核心部分，這與該國特定公共政策目標(biāo)之間存在著不可避免的沖突。面對數(shù)據(jù)跨境流動對個人信息、公共利益和國家安全的沖擊，各國近年來愈發(fā)重視數(shù)據(jù)安全風(fēng)險的法律防范，并通過完善國內(nèi)立法、參與國際合作等方式，強化對數(shù)據(jù)流動的規(guī)制，以此落實網(wǎng)絡(luò)空間中的國家保護義務(wù)、滿足規(guī)制數(shù)據(jù)跨境流動的合理性國家要求。

（二）數(shù)據(jù)法效力域外擴張的現(xiàn)實必要性與國際合法性

數(shù)據(jù)法效力域外擴張具有現(xiàn)實必要性。面對因數(shù)據(jù)跨境流動而產(chǎn)生的全球性威脅，各國目前難以在短期內(nèi)形成具有統(tǒng)一性、全球性的數(shù)據(jù)跨境傳輸規(guī)則徐峰《網(wǎng)絡(luò)空間國際法體系的新發(fā)展》，《信息安全與通信保密》2017年第1期，第75頁。。網(wǎng)絡(luò)空間的出現(xiàn)，使法律屬地主義被不斷削弱，傳統(tǒng)的國家界限變得愈加模糊，這使國際法成為應(yīng)對數(shù)據(jù)跨境流動諸多現(xiàn)實挑戰(zhàn)的理想平臺。2003年，聯(lián)合國信息社會世界峰會在《日內(nèi)瓦原則宣言》中指出，“與互聯(lián)網(wǎng)有關(guān)的公共政策的決策權(quán)是各國的主權(quán)”《日內(nèi)瓦原則宣言》，《信息社會世界高峰會議成果文件》，國際電信聯(lián)盟2005年，日內(nèi)瓦，第19頁，https：//www.itu.int/net/wsis/outcome/booklet-zh.pdf。。聯(lián)合國相關(guān)專家組的報告亦明確了《聯(lián)合國憲章》對網(wǎng)絡(luò)空間的適用性從國際安全角度促進網(wǎng)絡(luò)空間負責(zé)任國家行為政府專家組《從國際安全角度促進網(wǎng)絡(luò)空間負責(zé)任國家行為政府專家組的報告（A/76/135）》，聯(lián)合國大會，2021年7月14日，中文版第16頁。。據(jù)此，既有國際法體系重申了主權(quán)原則對網(wǎng)絡(luò)空間的適用性，各國享有對境內(nèi)網(wǎng)絡(luò)設(shè)施的管轄權(quán)。除此之外，國際法拓展有限，且多停留于倡議的層面，實踐中可操作性欠佳。同樣的敘事也體現(xiàn)在數(shù)字貿(mào)易的國際規(guī)制層面，CPTPP、RCEP等協(xié)定確立了以數(shù)據(jù)跨境自由流動為原則、本地化為例外的規(guī)制進路杜玉瓊、羅新雨《RCEP數(shù)據(jù)跨境流動規(guī)則例外條款的適用及中國應(yīng)對》，《四川師范大學(xué)學(xué)報（社會科學(xué)版）》2023年第5期，第75頁。，但就數(shù)據(jù)跨境流動例外條款的具體適用，各區(qū)域一體化協(xié)定缺乏明確指引。傳統(tǒng)的國內(nèi)立法管轄權(quán)是以屬地管轄為基礎(chǔ)，以屬人管轄、保護性管轄和普遍性管轄等為補充。然而，互聯(lián)網(wǎng)具有虛擬性、開放性和無邊界的特征，大規(guī)模的數(shù)據(jù)跨境流動對以屬地為基礎(chǔ)的國際管轄秩序形成了嚴(yán)重挑戰(zhàn)。同時，一個借助互聯(lián)網(wǎng)實施的行為不僅在地理空間上難以界定行為發(fā)生地，其影響范圍也非地理意義上的領(lǐng)土邊界所能阻隔，這進一步削弱了屬地管轄的規(guī)范意義。對此，以美國和歐盟為代表的國家或?qū)嶓w探索創(chuàng)新立法管轄模式，延伸數(shù)據(jù)法域外效力，希冀提升其對數(shù)據(jù)跨境流動的規(guī)制力。由此，各國開始將注意力轉(zhuǎn)向國內(nèi)，嘗試通過強化涉外立法以監(jiān)管數(shù)據(jù)跨境流動。

數(shù)據(jù)法效力域外擴張具有國際合法性。一般認(rèn)為，法律屬地主義式微是社會、技術(shù)等一系列因素疊加的結(jié)果蔣小紅《歐盟法的域外適用：價值目標(biāo)、生成路徑和自我限制》，《國際法研究》2022年第6期，第106頁。。1927年，國際常設(shè)法院在“荷花號”案中對國家實施域外管轄的行為進行了闡明，認(rèn)為：“國際法非但遠沒有設(shè)立一般禁止性規(guī)定以要求各國不得將其法律的適用及其法院的管轄權(quán)擴展至領(lǐng)土外的人、財產(chǎn)和行為，反而在這方面為各國留下了廣泛的自由權(quán)利，僅在特定情形中以禁止性規(guī)則限制之；除特定情形，各國皆得自由采取其認(rèn)為最好與最適合的原則”S.S. Lotus （Fr. V. Turk.）， 1927 P.C.I.J. （ser. A） No. 10 （Sept. 7）.。據(jù)此，國際常設(shè)法院確立了“國際法不禁止即為允許”的原則，奠定了國內(nèi)法域外適用的合法性基礎(chǔ)。目前，全球并未形成具有普遍約束力的數(shù)據(jù)保護國際規(guī)則，沒有對國家管轄權(quán)向域外延伸進行過多限制，寬松的國際環(huán)境為各國擴張數(shù)據(jù)法域外效力奠定了合法性基礎(chǔ)孔慶江、于華溢《數(shù)據(jù)立法域外適用現(xiàn)象及中國因應(yīng)策略》，《法學(xué)雜志》2020年第8期，第86頁。。

二" 美歐數(shù)據(jù)法域外適用體系的范式考察

（一）美國“外向干涉型”數(shù)據(jù)法域外適用體系

美國在全球互聯(lián)網(wǎng)產(chǎn)業(yè)擁有近乎壟斷的市場地位，憑借數(shù)字技術(shù)與產(chǎn)業(yè)規(guī)模的巨大優(yōu)勢，美國數(shù)據(jù)法域外適用體系秉持“外向性”姿態(tài)，致力于獲得調(diào)取全球數(shù)據(jù)的能力。以2018年《澄清域外合法使用數(shù)據(jù)法案》（Clarifying Lawful Overseas Use of Data Act，以下簡稱CLOUD法案）為代表的數(shù)據(jù)立法就試圖突破美國域外取證瓶頸，賦權(quán)政府可以調(diào)取本國企業(yè)在境外存儲的數(shù)據(jù)信息。

1.依托全球數(shù)字市場壟斷地位的“外向性”姿態(tài)

作為美國數(shù)據(jù)立法的基礎(chǔ)性法案，1986年《存儲通信法案》（Stored Communications Act，以下簡稱SCA）主要關(guān)注發(fā)生在其國內(nèi)的數(shù)據(jù)行為，但未明確美國政府是否有權(quán)要求通信服務(wù)商提交存儲在境外的數(shù)據(jù)。在微軟案中，美國當(dāng)局試圖獲取存儲于境外的數(shù)據(jù)。對此，微軟公司認(rèn)為涉案數(shù)據(jù)存儲在愛爾蘭境內(nèi)，基于屬地管轄的限制，美國當(dāng)局搜查令的效力不能及于該數(shù)據(jù)。區(qū)別于微軟所主張的“數(shù)據(jù)存儲地標(biāo)準(zhǔn)”，美國政府認(rèn)為微軟是數(shù)據(jù)的實際控制者，其在本土通過互聯(lián)網(wǎng)即可完成數(shù)據(jù)的調(diào)??；作為美國境內(nèi)企業(yè)，微軟公司應(yīng)當(dāng)執(zhí)行美國當(dāng)局依據(jù)SCA簽發(fā)的搜查令。美國法院最終裁判，搜查令的實施地點是決定該案能否援引SCA的重要因素，微軟公司在美國境內(nèi)的情況不足以替代對數(shù)據(jù)位置的關(guān)注United States v. Microsoft Corp.， 138 S. Ct. 1186 （2018）.。

為破解域外數(shù)據(jù)的可及性限制，美國出臺了CLOUD法案，引入“數(shù)據(jù)控制者標(biāo)準(zhǔn)”來弱化數(shù)據(jù)與物理空間的關(guān)聯(lián)性。CLOUD法案規(guī)定，只要互聯(lián)網(wǎng)企業(yè)擁有、監(jiān)控或控制用戶數(shù)據(jù)，那么無論該數(shù)據(jù)是否存儲在美國境內(nèi)，相關(guān)企業(yè)作為數(shù)據(jù)控制者都應(yīng)承擔(dān)向美國政府披露數(shù)據(jù)的義務(wù)Clarifying Lawful Overseas Use of Data Act §103. 。在實踐中，微軟、谷歌、蘋果等美國科技企業(yè)占據(jù)著全球絕大多數(shù)數(shù)字市場的份額，獲得了海量數(shù)據(jù)資源，這讓它們成為美國獲取域外數(shù)據(jù)的關(guān)鍵橋梁。盡管這些公司仍必須服從所在國的數(shù)據(jù)監(jiān)管規(guī)則，但是借助“數(shù)據(jù)控制者標(biāo)準(zhǔn)”，CLOUD法案可以讓美國在事實上具備獲取全球數(shù)據(jù)的能力，并且不需要考慮數(shù)據(jù)的實際存儲地。

為進一步提升調(diào)取全球數(shù)據(jù)的有效性，CLOUD法案還設(shè)置了嚴(yán)格的責(zé)任豁免條件。CLOUD法案規(guī)定域外數(shù)據(jù)控制者如欲免除數(shù)據(jù)披露義務(wù)，需同時滿足三個條件：第一，法案對域外數(shù)據(jù)控制者施加的數(shù)據(jù)披露義務(wù)違反了“適格外國政府”法律；第二，美國法院根據(jù)案件情況和公平理念，依國際禮讓原則主動放棄CLOUD法案的域外適用；第三，數(shù)據(jù)控制者所服務(wù)的用戶不是美國人且不在美國居住Clarify Lawful Overseas Use of Data Act §103.。然而，美國法院在實踐中認(rèn)定的“適格外國政府”相當(dāng)有限，目前，僅英國和澳大利亞獲得了認(rèn)定并簽訂了數(shù)據(jù)調(diào)取協(xié)議U.S. Department of Justice， U.S. And UK Sign Landmark Cross-Border Data Access Agreement to Combat Criminals and Terrorists Online，October 3， 2019， https：//www.justice.gov/opa/pr/us-and-uk-sign-landmark-cross-border-data-access-agreement-combat-criminals-and-terrorists; U.S. Department of Justice， United States and Australia Enter CLOUD Act Agreement to Facilitate Investigations of Serious Crime， December 15， 2021， https：//www.justice.gov/opa/pr/united-states-and-australia-enter-cloud-act-agreement-facilitate-investigations-serious-crime.，也缺乏明確的國際禮讓分析思路郭爍《云存儲的數(shù)據(jù)主權(quán)維護——以阻斷法案規(guī)制“長臂管轄”為例》，《中國法律評論》2022年第6期，第78頁。。同時，作為法律概念的“美國人”的涵蓋范圍相當(dāng)寬泛。在美國對外制裁中，“美國人”不僅包括美國公民、合法獲得永久居住的外國人以及在美注冊的公司等主體18 U.S. C. § 2523 （2018）.，甚至還覆蓋了美國公司的外國子公司和美國人管理的外國公司覃俊豪《國內(nèi)法域外適用：研究路徑、美國實踐與中國應(yīng)對》，《學(xué)術(shù)論壇》2024年第2期，第144頁。。對此，美國政府曾毫不掩飾地表示，CLOUD法案代表著一種新的范式，一種高效獲取電子數(shù)據(jù)的保護辦法U.S. Department of Justice， Promoting Public Safety， Privacy， and the Rule of Law Around the World： The Purpose and Impact of the CLOUD Act， （April， 2019）. https：//www.justice.gov/opa/press-release/file/1153446/dl.。

2.致力于獲得調(diào)取全球數(shù)據(jù)能力的“干涉性”追求

作為美國行使域外管轄的合法性依據(jù)，CLOUD法案的“數(shù)據(jù)控制者標(biāo)準(zhǔn)”雖具有客觀屬地原則或效果原則的特征客觀屬地原則是指當(dāng)試圖管轄之行為的構(gòu)成因素出現(xiàn)在領(lǐng)土國境內(nèi)時，一國可對其領(lǐng)土外的人、財產(chǎn)或行為行使管轄權(quán)；效果原則是指一國可以根據(jù)外國國民于一國領(lǐng)土外發(fā)生的行為，卻在該領(lǐng)土上產(chǎn)生重大影響而主張管轄權(quán)。參見：聯(lián)合國《國際法委員會報告——第五十八屆會議》（2006年5月1日至6月9日和7月3日至8月11日），聯(lián)合國2006年版，第393頁。，但是，法案的調(diào)整對象十分寬泛，適用也具有相當(dāng)程度的靈活性，這對干涉他國數(shù)據(jù)監(jiān)管權(quán)的正常行使以及削減其他國家保護公民隱私、國家安全的能力造成了影響。例如，CLOUD法案規(guī)定的數(shù)據(jù)控制者涵蓋了電子通信服務(wù)和遠距離計算服務(wù)提供者18 U.S.C. § 2510（15） （2018）.，這意味著提供電子郵件、社交媒體、云存儲等服務(wù)的相關(guān)企業(yè)，甚至電商平臺都是數(shù)據(jù)披露義務(wù)的承擔(dān)者。不僅如此，美國司法部認(rèn)為，域外的數(shù)據(jù)控制者如與美國有足夠的聯(lián)系也可觸發(fā)CLOUD法案的適用U.S. Department of Justice， Promoting Public Safety， Privacy， and the Rule of Law Around the World： The Purpose and Impact of the CLOUD Act， （April， 2019）. https：//documents.un.org/doc/undoc/gen/g06/636/19/pdf/g0663619.pdf？token=QziVvJEmXouUsyVOJd amp;fe=true.，此種聯(lián)系包含了擁有、監(jiān)控和控制等數(shù)據(jù)處理活動的全周期數(shù)據(jù)全生命周期包括數(shù)據(jù)處理者進行數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開、刪除等環(huán)節(jié)。參見：王玎《論數(shù)據(jù)處理者的數(shù)據(jù)安全保護義務(wù)》，《當(dāng)代法學(xué)》2023年第2期，第44頁。。這進一步擴大了法案的潛在適用范圍，體現(xiàn)了美國對數(shù)據(jù)法域外效力的極致追求。

同時，美國與其他國家間的數(shù)據(jù)調(diào)取具有非互惠性。SCA規(guī)定通信服務(wù)商不得向外國政府提供有關(guān)通信內(nèi)容的數(shù)據(jù)，導(dǎo)致他國在偵查打擊犯罪時，難以通過雙邊司法協(xié)助請求而從美國當(dāng)局獲得涉案數(shù)據(jù)。相比之下，CLOUD法案雖規(guī)定“適格外國政府”也可通過數(shù)據(jù)控制者獲取存儲于美國境內(nèi)的數(shù)據(jù)18 U.S. C. § 2523 （2018）.，但是，“適格外國政府”的構(gòu)成標(biāo)準(zhǔn)非常嚴(yán)苛，相關(guān)國家不僅被要求與美國簽訂數(shù)據(jù)調(diào)取協(xié)定，同時還要為數(shù)據(jù)控制者免除數(shù)據(jù)披露義務(wù)提供實質(zhì)性或程序性的救濟途徑，這讓外國在實踐中近乎無法獲取美國境內(nèi)存儲的數(shù)據(jù)。不僅如此，“適格外國政府”還要給予美國同等的數(shù)據(jù)訪問權(quán)，并面臨美國定期的單邊審核與“隨時開除”的壓力。非互惠性的標(biāo)準(zhǔn)，加上調(diào)取全球數(shù)據(jù)的干涉性追求，會在客觀層面幾乎造成“全球→美國”的數(shù)據(jù)單向流動，折射出“美國優(yōu)先”的立法思路和主導(dǎo)全球數(shù)據(jù)流動秩序的野心。

（二）歐盟“內(nèi)向保護型”數(shù)據(jù)法域外適用體系

1.服從于歐洲數(shù)字市場統(tǒng)一需要的“內(nèi)向性”姿態(tài)

不同于美國龐大數(shù)字產(chǎn)業(yè)對CLOUD法案實施的支撐，歐盟數(shù)字市場的發(fā)展整體滯后，對外國技術(shù)的依存度較高，因而加劇了歐盟加強內(nèi)部數(shù)據(jù)保護的現(xiàn)實緊迫性。歐盟內(nèi)部幾乎沒有大型數(shù)字平臺，數(shù)字產(chǎn)業(yè)規(guī)模僅占全球70個大型數(shù)字平臺市值的4%“Communication on Online Platforms and the Digital Single Market ｛SWD（2016） 172 final｝， ” accessed March 18， 2024， https：//eur-lex.europa.eu/legal-content/EN/TXT/？uri=CELEX：52016DC0288.。谷歌、臉書和微軟等美國互聯(lián)網(wǎng)企業(yè)幾乎壟斷了歐盟數(shù)據(jù)市場，收集大量用戶數(shù)據(jù)，并通過精準(zhǔn)推送創(chuàng)造了海量廣告收入。不僅如此，上述企業(yè)還可能妨礙歐洲國家政府開展工作。如在新型冠狀病毒流行期間，法國當(dāng)局曾開發(fā)出“Stop Covid”的病毒密接者追蹤程序，但遭到蘋果和谷歌公司的技術(shù)阻攔，致使軟件無法實際投入應(yīng)用。在此背景下，歐盟數(shù)據(jù)監(jiān)管的自主性面臨嚴(yán)峻挑戰(zhàn)，歐盟公民對個人數(shù)據(jù)和隱私保護的擔(dān)憂與日俱增。

針對由外國互聯(lián)網(wǎng)企業(yè)主導(dǎo)的在線環(huán)境，歐盟試圖通過數(shù)據(jù)法的域外適用，強化內(nèi)部市場監(jiān)管，調(diào)整數(shù)據(jù)主體和數(shù)據(jù)控制者之間的力量對比。歐盟早在1995年便頒布了數(shù)據(jù)相關(guān)立法，即《關(guān)于個人數(shù)據(jù)處理及其自由流動的個人保護第95/46/EC號指令》（Directive 95/46/EC of the Enropenan Parlianment and of the Council： on the protection of individuals with regard to the processing of personal data and on the free movement of such data，以下簡稱《數(shù)據(jù)保護指令》）。但遺憾的是，《數(shù)據(jù)保護指令》需經(jīng)歐盟成員國轉(zhuǎn)化為國內(nèi)法后方可實施，這導(dǎo)致了歐盟內(nèi)部數(shù)據(jù)保護水平的差異。因此，歐盟于2016年通過了《一般數(shù)據(jù)保護條例》（General Data Protection Regulation，以下簡稱GDPR），并將其作為一項直接適用的數(shù)據(jù)基礎(chǔ)性立法。與《數(shù)據(jù)保護指令》相比，GDPR加重了數(shù)據(jù)控制者義務(wù)，力求切實落實數(shù)據(jù)主體權(quán)利的保護。

在域外管轄權(quán)方面，GDPR首先承繼了《數(shù)據(jù)保護指令》的“設(shè)立機構(gòu)標(biāo)準(zhǔn)”。其第3.1條規(guī)定，不論數(shù)據(jù)處理行為實際是否在歐盟內(nèi)進行，GDPR都適用于在歐盟內(nèi)部設(shè)立機構(gòu)的數(shù)據(jù)控制者。這雖未明確GDPR能否進行域外適用，但實際上保證了GDPR規(guī)制域外數(shù)據(jù)處理行為的可能。在此基礎(chǔ)上，歐盟通過“目標(biāo)指向標(biāo)準(zhǔn)”拓寬了數(shù)據(jù)法的域外效力。得益于數(shù)據(jù)的無邊界屬性，現(xiàn)實中數(shù)據(jù)控制者在境外亦可完成對歐盟用戶數(shù)據(jù)的收集、分析和處理。因此GDPR第3.2條規(guī)定，即使數(shù)據(jù)控制者未在歐盟設(shè)立機構(gòu)，GDPR依然適用于為歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)的數(shù)據(jù)控制者，以及對發(fā)生在歐盟內(nèi)部的數(shù)據(jù)主體活動進行監(jiān)控的數(shù)據(jù)控制者。這就是“目標(biāo)指向標(biāo)準(zhǔn)”。可見，相較于“設(shè)立機構(gòu)標(biāo)準(zhǔn)”，“目標(biāo)指向標(biāo)準(zhǔn)”在事實上更具有域外效力擴張的色彩。

晚近以來，“設(shè)立機構(gòu)標(biāo)準(zhǔn)+目標(biāo)指向標(biāo)準(zhǔn)”的管轄權(quán)模式也被吸收到歐盟新近頒布的數(shù)據(jù)立法之中。2022年7月，歐盟委員會頒布的《數(shù)字服務(wù)法》（Digital Services Act，以下簡稱DSA）第2.1條規(guī)定，該法案適用于向擁有其設(shè)立地或位于歐盟的服務(wù)接受者提供的中介服務(wù)，而服務(wù)提供者的設(shè)立地點不受限制。歐盟2023年5月生效的《數(shù)字市場法》（Digital Markets Act，以下簡稱DMA）也遵循相似進路，其第1.2條規(guī)定，面向歐盟境內(nèi)用戶或平臺提供服務(wù)的互聯(lián)網(wǎng)企業(yè)，都是該法案的調(diào)整對象，至于企業(yè)的設(shè)立地或營業(yè)地并非該法案是否適用的因素。

2.致力于強化保障數(shù)據(jù)主體權(quán)利的“保護性”追求

就數(shù)據(jù)權(quán)利保護的限度而言，歐盟始終圍繞《歐洲人權(quán)公約》第8條展開，將個人數(shù)據(jù)權(quán)利理解為一項基本人權(quán)，認(rèn)為數(shù)字技術(shù)的發(fā)展并不能影響對個人隱私權(quán)利的保護。在此觀念指導(dǎo)下，GDPR創(chuàng)設(shè)了用戶刪除權(quán)、被遺忘權(quán)等新型數(shù)據(jù)權(quán)利，強化個人信息保護水平。同時，為確保相關(guān)規(guī)則能夠在實踐中發(fā)揮實效，歐盟通過擴大解釋延伸“設(shè)立機構(gòu)標(biāo)準(zhǔn)”和“目標(biāo)指向標(biāo)準(zhǔn)”的涵蓋范圍，拓寬數(shù)據(jù)法域外適用的場景。

關(guān)于“設(shè)立機構(gòu)標(biāo)準(zhǔn)”，歐盟數(shù)據(jù)保護委員會曾指出，只要域外的數(shù)據(jù)控制者與其在歐盟境內(nèi)的“設(shè)立機構(gòu)”之間存在真實有效的聯(lián)系即可認(rèn)定為滿足該標(biāo)準(zhǔn)Article 29 Data Protection Working Party， “Opinion 8/2010 on Applicable Law （0836-02/10/EN WP 179），” accessed March 18， 2024， https：//ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp179_en.pdf.。在Google Spain案中，位于美國的谷歌公司負責(zé)處理西班牙的用戶數(shù)據(jù)，而位于西班牙的谷歌分公司僅負責(zé)當(dāng)?shù)氐乃阉饕鏄I(yè)務(wù)。針對此種情況的法律適用問題，歐盟法院認(rèn)為，分公司的創(chuàng)設(shè)為總公司的廣告業(yè)務(wù)提供了盈利空間，谷歌公司也與分公司之間存在真實有效的聯(lián)系，進而認(rèn)定谷歌公司的域外個人數(shù)據(jù)處理行為應(yīng)適用《數(shù)據(jù)保護指令》Google Spain SL， Google Inc.v. Agencia Espaola de Proteccin de Datos （AEPD）， Mario Costeja Gonzlez， Case C-131/12 Court of Justice of the Europeon Union （2014）.?？梢?，歐盟對“設(shè)立機構(gòu)標(biāo)準(zhǔn)”的理解十分寬泛，域外的數(shù)據(jù)控制者可能因為域外的個人數(shù)據(jù)處理活動而適用歐盟的數(shù)據(jù)法。

在“目標(biāo)指向標(biāo)準(zhǔn)”中，GDPR著眼于歐盟范圍內(nèi)數(shù)據(jù)的保護，而不僅停留在歐盟公民數(shù)據(jù)保護的層面。關(guān)于GDPR第3.2條中“數(shù)據(jù)主體”的界定，歐盟采用了與美國CLOUD法案相近的規(guī)制方式，指出“GDPR提供的保護應(yīng)適用于個人數(shù)據(jù)受到處理的自然人，無論其國籍或居住地如何”。同時，歐盟力圖保持?jǐn)?shù)據(jù)處理行為定義的寬泛性，GDPR在序言中規(guī)定，該法中的“監(jiān)控”是指在互聯(lián)網(wǎng)對自然人進行的追蹤，包括后續(xù)個人數(shù)據(jù)處理技術(shù)的潛在使用，此類個人數(shù)據(jù)的技術(shù)處理包括對個人進行特征分析，并預(yù)測個人的偏好、行為和態(tài)度。由此表明，實踐中域外數(shù)據(jù)控制者若以歐盟為對象進行相關(guān)的數(shù)據(jù)處理活動，那么其行為很有可能構(gòu)成GDPR第3.2條中“對歐盟內(nèi)數(shù)據(jù)主體進行監(jiān)控”，從而觸發(fā)歐盟數(shù)據(jù)法的域外適用。例如，在Judith VIdal-Hall， Robert Hann， Marc Bradshaw v. Google Inc案中，歐盟法院曾認(rèn)定谷歌公司通過Cookie存儲用戶數(shù)據(jù)并推送個性化廣告的行為構(gòu)成對用戶的監(jiān)控追蹤Judith Vidal-Hall， Robert Hann， Marc Bradshaw v. Google Inc， Case No： A2/2014/0403 Court of Appeal （2014）.。

三" 美歐濫用數(shù)據(jù)法域外效力規(guī)則的消極影響

數(shù)據(jù)法域外效力的擴張有其內(nèi)在合理性，但未經(jīng)來源國允許的數(shù)據(jù)跨境調(diào)取，將被視為對一國數(shù)據(jù)主權(quán)的侵犯，而被界定為外國數(shù)據(jù)法的不當(dāng)域外適用。美國意欲繞過各國監(jiān)管實現(xiàn)對全球數(shù)據(jù)的調(diào)取，其數(shù)據(jù)法的域外適用呈現(xiàn)恣意擴張的態(tài)勢，各國亟須重視并加以應(yīng)對。相較之下，歐盟的數(shù)據(jù)法域外適用體系雖呈現(xiàn)“內(nèi)向性”姿態(tài)，但設(shè)立高標(biāo)準(zhǔn)權(quán)利保護機制的原因是歐盟對外輸出數(shù)據(jù)監(jiān)管模式的政策需求，以此尋求影響全球數(shù)據(jù)流動規(guī)則的話語權(quán)。

（一）增加各國數(shù)據(jù)被動開放的風(fēng)險

隨著信息技術(shù)的迅猛發(fā)展，互聯(lián)網(wǎng)活動呈現(xiàn)遠程化、全球化和虛擬化的特點，極大地沖擊了傳統(tǒng)立法的管轄模式。然而，數(shù)據(jù)的存儲仍要依托計算機實體，這為國家主權(quán)原則向網(wǎng)絡(luò)空間治理領(lǐng)域拓展提供了基礎(chǔ)。在2023年11月召開的首屆全球人工智能安全峰會上，中國、歐盟等多個國家代表共同簽署《布萊切利宣言》，在宣言中表示要攜手合作應(yīng)對人工智能所引發(fā)的相關(guān)風(fēng)險，并尊重各國規(guī)制數(shù)據(jù)活動的自主權(quán)和靈活性GOV.UK， The Bletchley Declaration by Countries Attending the AI Safety Summit， November 1， 2023， https：//www.gov.uk/government/publications/ai-safety-summit-2023-the-bletchley-declaration/the-bletchley-declaration-by-countries-attending-the-ai-safety-summit -1-2-november-2023.?？梢姡瑪?shù)據(jù)主權(quán)是國家主權(quán)在網(wǎng)絡(luò)空間的自然延伸和表現(xiàn)，國家主權(quán)原則依然是全球數(shù)據(jù)規(guī)則治理的基礎(chǔ)。在數(shù)據(jù)主權(quán)原則的指引下，各國普遍主張不能以嚴(yán)格的自由流動義務(wù)或完全禁止本地化的要求來限制主權(quán)國家出于正當(dāng)理由治理互聯(lián)網(wǎng)的能力。截至目前，已涉及32個國家的27項自貿(mào)協(xié)定包含了有關(guān)數(shù)據(jù)本地化的條款Chiara Del Giovane， Janos Fcrencz， Javier López-González， “The Nature， Evolution and Potential Implications of Data Localisation Measures，” OECD Trade Policy Papers， no. 278 （November 10， 2023）： 16.。

然而，數(shù)據(jù)的本地化存儲并不能削減互聯(lián)網(wǎng)企業(yè)對數(shù)據(jù)的現(xiàn)實支配力。鑒于微軟、谷歌、蘋果等美國企業(yè)近乎掌控了全球數(shù)據(jù)設(shè)備終端和傳輸通道，美國傾向于將數(shù)據(jù)支配力作為數(shù)據(jù)監(jiān)管權(quán)力行使的邊界。美國司法部認(rèn)為，只要可以從美國領(lǐng)土訪問到有關(guān)數(shù)據(jù)，這些數(shù)據(jù)就屬于美國法律可以輕松“領(lǐng)土化”的地區(qū)U.S. Department of Justice， “Promoting Public Safety， Privacy， and the Rule of Law Around the World： The Purpose and Impact of the CLOUD Act”， accessed March 18， 2024， https：//www.justice.gov/d9/pages/attachments/2019/04/10/doj_cloud_act_white_paper_2019_04_10.pdf.。這無疑是對他國數(shù)據(jù)主權(quán)的否定，并為自身數(shù)據(jù)霸權(quán)的行使提供依據(jù)。

數(shù)字產(chǎn)業(yè)的強大競爭力疊加CLOUD法案的“數(shù)據(jù)控制者標(biāo)準(zhǔn)”，致使美國政府的數(shù)據(jù)調(diào)取之手可方便地延伸到國境之外，實現(xiàn)了“境內(nèi)外一盤棋”。從尋求國家間司法協(xié)助到要求企業(yè)提供數(shù)據(jù)，數(shù)據(jù)提供主體的轉(zhuǎn)變極大地減少了美國獲取域外數(shù)據(jù)的阻力。加之調(diào)取全球數(shù)據(jù)的干涉性追求，美國數(shù)據(jù)法存在恣意濫用的趨向，這勢必會加劇美國與他國數(shù)據(jù)管轄權(quán)的沖突，增加他國境內(nèi)存儲數(shù)據(jù)被動開放的風(fēng)險。在此背景下，由于缺乏與美國數(shù)字產(chǎn)業(yè)相抗衡的經(jīng)濟實力，大部分國家尤其是最不發(fā)達國家難以通過雙邊談判達成雙向數(shù)據(jù)流動安排，只能被迫遵循CLOUD法案的“適格外國政府”標(biāo)準(zhǔn)和美國政府的審查。

歐盟數(shù)據(jù)法雖致力于內(nèi)部市場的統(tǒng)一化建設(shè)，但也存在侵犯他國數(shù)據(jù)主權(quán)的隱憂問題。例如，歐盟在《電子證據(jù)條例（草案）》中規(guī)定了與美國CLOUD法案相似的“數(shù)據(jù)控制者義務(wù)”，以期單方面獲取域外數(shù)據(jù)European Commission， “Proposal for a Regulation of the European Parliament and of the Council on European Production and Preservation Orders for electronic evidence in criminal matters，” accessed March 18， 2024， https：//eur-lex.europa.eu/legal-content/EN/TXT/？qid=1524129181403amp;uri=COM：2018：225：FIN.。另外，GDPR的域外適用以數(shù)據(jù)行為構(gòu)成“設(shè)立機構(gòu)標(biāo)準(zhǔn)”或“目標(biāo)指向標(biāo)準(zhǔn)”為要件，但面對紛繁復(fù)雜且日新月異的網(wǎng)絡(luò)空間，從事實要件到構(gòu)成要件的投射過程存在高度的不確定性。例如，針對域外數(shù)據(jù)控制者提供商品或服務(wù)的行為，GDPR還要求判斷域外數(shù)據(jù)處理者是否有向歐盟數(shù)據(jù)主體提供商品、服務(wù)的主觀目的。對此，歐盟數(shù)據(jù)保護委員會認(rèn)為，應(yīng)結(jié)合具體的案件事實加以判斷，并綜合考慮其他因素European Data Protection Board， Guidelines 3/2018 on the territorial scope of the GDPR （Article 3）， https：//www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_en， November 12， 2019： 7.。由于立法措辭的模糊性，歐盟執(zhí)法機關(guān)或法院可以在實踐中放寬境內(nèi)主體與域外數(shù)據(jù)處理行為的實際聯(lián)系要求，采取相關(guān)措施，進而影響他國的監(jiān)管自主性。

（二）抬高企業(yè)全球經(jīng)營的合規(guī)門檻

近年來，歐盟數(shù)據(jù)立法不斷更新迭代，對公民數(shù)據(jù)權(quán)利的保護力度漸次加大。通過數(shù)據(jù)法域外適用，歐盟能夠塑造其他國家及市場行為主體的議程設(shè)置和偏好界定，進而重塑各國的相對優(yōu)勢與國際競爭格局。例如，高標(biāo)準(zhǔn)的權(quán)利保護搭配數(shù)據(jù)法的域外適用，容易在事實上造成數(shù)據(jù)本地化的效果，即造成間接型數(shù)據(jù)本地化Organization for Economic Co-operation and Development， Data localisation trends and challenges， December 22， 2020， https：//www.oecd.org/sti/data-localisation-trends-and-challenges-7fbaed62-en.htm.，大幅增加企業(yè)的合規(guī)成本。2023年4月，歐盟依據(jù)DSA要求17個超大在線平臺和兩個超大型在線搜索引擎承擔(dān)更嚴(yán)格的平臺義務(wù)，否則相關(guān)企業(yè)將面臨全球年營業(yè)額6%的罰款 European Commission Questions and answers on the Digital Services Act， February 23， 2024， https：//ec.europa.eu/commission/presscorner/detail/en/QANDA_20_2348.。迫于巨大的監(jiān)管壓力，許多大型在線平臺開始有針對性地調(diào)整其數(shù)據(jù)合規(guī)政策。例如，TikTok推出“三葉草項目”，花費12億歐元在愛爾蘭和挪威新建三個數(shù)據(jù)中心，用于存儲1.5億歐洲用戶的個人數(shù)據(jù)，以滿足歐盟的合規(guī)要求Beth Maundrill， “TikTok Initiates Project Clover Amid European Data Security Concerns”， accessed February 23， 2024， https：//www.infosecurity-magazine.com/news/tiktok-initiates-project-clover/.。

同時，歐盟數(shù)據(jù)法的域外適用可能加重境外企業(yè)的法律責(zé)任。在Google Spain案后，谷歌公司遵循判決結(jié)果，有針對性地調(diào)整了在歐盟境內(nèi)的搜索程序，但歐盟數(shù)據(jù)保護機構(gòu)認(rèn)為，谷歌公司應(yīng)在全球范圍內(nèi)刪除鏈接，實現(xiàn)用戶的被遺忘權(quán)。在Schrems II案中，歐盟法院同樣認(rèn)為，無論是否在歐盟境內(nèi)，歐盟用戶的個人數(shù)據(jù)保護水平應(yīng)實質(zhì)等同Data Protection Commissioner v. Facebook Ireland Ltd， Maximillian Schrems， Case C-311/18.。為了強化與歐盟的實際聯(lián)系，GDPR還要求域外互聯(lián)網(wǎng)企業(yè)在歐盟境內(nèi)設(shè)立代表處General Data Protection Regulation， Chapter 4， Article 27.。相關(guān)代表處即便不進行具體的經(jīng)營活動，也可以作為歐盟數(shù)據(jù)保護機構(gòu)調(diào)查執(zhí)法的對象。如此一來，歐盟數(shù)據(jù)保護機構(gòu)在依據(jù)GDPR域外效力規(guī)則認(rèn)定域外數(shù)據(jù)控制者違反歐盟數(shù)據(jù)保護標(biāo)準(zhǔn)時，可以通過代表機構(gòu)提高執(zhí)法的有效性。

不僅如此，域外企業(yè)始終在被動適應(yīng)歐盟的數(shù)據(jù)保護標(biāo)準(zhǔn)。隨著數(shù)據(jù)立法的完善，歐盟數(shù)據(jù)保護標(biāo)準(zhǔn)不斷提高。為實現(xiàn)“保護性”追求，歐盟強勢地將其數(shù)據(jù)保護標(biāo)準(zhǔn)全球化，從而導(dǎo)致歐盟與其他國家的數(shù)據(jù)跨境流動合作具有較強的不確定性。以歐盟與美國間的數(shù)據(jù)傳輸合作為例，安全港協(xié)議（Safe Harbor）、隱私盾協(xié)議（Privacy Shield）曾于2015年和2020年被歐盟相繼宣告無效，此種反復(fù)給美國企業(yè)帶來了極大的數(shù)據(jù)合規(guī)壓力。更值得關(guān)注的是，美歐前兩次合作的失效源自歐盟法院Maximillian Schrems v. Data Protection Commissioner案和Schrems II案的判決，這意味著歐盟法院是通過司法審查的方式實現(xiàn)對數(shù)據(jù)流動的全球監(jiān)管金晶《個人數(shù)據(jù)跨境傳輸?shù)臍W盟標(biāo)準(zhǔn)——規(guī)則建構(gòu)、司法推動與范式擴張》，《歐洲研究》2021年第4期，第99頁。。在這一過程中，美國更多的是在被動地面對歐盟數(shù)據(jù)保護標(biāo)準(zhǔn)的變化。2023年，新達成的“歐盟-美國數(shù)據(jù)隱私框架”（EU-U.S. Data Privacy Framework，以下簡稱EU-U.S. DPF）協(xié)議生效，該協(xié)議是美歐第三次嘗試建立穩(wěn)定的跨大西洋數(shù)據(jù)流動安排所作的努力。美國企業(yè)的數(shù)據(jù)合規(guī)責(zé)任再次加碼，在個人權(quán)利保護方面，框架內(nèi)企業(yè)應(yīng)向歐盟用戶告知收集數(shù)據(jù)的類型與使用的目的，給予個人訪問其數(shù)據(jù)的權(quán)利，為個人提供限制其個人數(shù)據(jù)的使用和披露的選擇和手段。與此同時，為滿足國家安全的需要，企業(yè)仍要承擔(dān)向當(dāng)局披露用戶信息或轉(zhuǎn)移給第三方的責(zé)任，相關(guān)企業(yè)還需每年向美國主管部門提供材料以證明其合規(guī)性，否則將受到美國商務(wù)部、聯(lián)邦貿(mào)易委員會（FTC）等機構(gòu)的制裁。根據(jù)附件的規(guī)定，EU-U.S. DPF還構(gòu)建了獨立的糾紛解決程序，允許歐盟個人提起仲裁，以解決“任何EU-U.S. DPF其他機制未解決的違反該框架的行為”International Trade Administration and U.S. Department of Commerce The U.S. Department of Commerce， EU-U.S. Data Privacy Framework， https：//privacyshielddev.blob.core.windows.net/publicsiteassets/Full%20Text_EU-U.S.%20DPF.pdf， April 2024， 25.。值得注意的是，EU-U.S. DPF的實施也不影響GDPR對歐盟成員國個人數(shù)據(jù)處理行為的適用性?？梢?，歐盟對外開展數(shù)據(jù)跨境流動合作的前提，是域外企業(yè)充分遵守歐盟的數(shù)據(jù)保護標(biāo)準(zhǔn)，并以此作為域外企業(yè)進入歐盟市場的條件。而隨著歐盟數(shù)據(jù)保護標(biāo)準(zhǔn)的提升，強調(diào)數(shù)據(jù)自由流動的美國公司不得不調(diào)整原有的數(shù)據(jù)運營模式安怡寧、田野《數(shù)字經(jīng)濟多賽道競爭的權(quán)力機制——以美國和歐盟數(shù)字經(jīng)濟政策為例》，《國際關(guān)系研究》2023年第6期，第34頁。。

四" 數(shù)據(jù)法域外適用的中國范式及其建構(gòu)路徑

2022年，我國數(shù)字經(jīng)濟規(guī)模達50.2萬億元，總量穩(wěn)居世界第二，占GDP比重提升至41.5%《國家互聯(lián)網(wǎng)信息辦公室發(fā)布〈數(shù)字中國發(fā)展報告（2022年）〉》，中國網(wǎng)信網(wǎng)，2023年5月23日發(fā)布，2024年1月30日訪問，http：//www.cac.gov.cn/2023-05/22/c_1686402318492248.htm？eqid=e964285800089bd4000。，數(shù)字經(jīng)濟已成為實現(xiàn)創(chuàng)新發(fā)展、重塑國民生活的重要力量。為規(guī)范引導(dǎo)數(shù)字產(chǎn)業(yè)發(fā)展，我國現(xiàn)已出臺《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個人信息保護法》等基礎(chǔ)性法律，國內(nèi)數(shù)字經(jīng)濟治理體系和治理能力現(xiàn)代化水平顯著提升。然而，相較于歐美的數(shù)據(jù)立法，我國數(shù)據(jù)法僅有個別條款涉及域外適用，規(guī)則的體系性不足，可適用性有待提高。我國《數(shù)據(jù)安全法》第二條規(guī)定，在我國境外開展數(shù)據(jù)處理活動，損害我國國家安全、公共利益或個體合法權(quán)益的，依法追究法律責(zé)任。在境外處理我國境內(nèi)自然人個人信息的活動應(yīng)受《個人信息保護法》調(diào)整。同時，針對歐美數(shù)據(jù)法的不當(dāng)域外適用，我國也缺乏必要的應(yīng)對措施。對此，我國亟須在現(xiàn)有分散式立法的基礎(chǔ)上，省思數(shù)據(jù)法域外適用體系的中國范式。

（一）構(gòu)建我國“能動回應(yīng)型”數(shù)據(jù)法域外適用體系

1.秉持“能動性”姿態(tài)

美國數(shù)據(jù)法域外適用體系的“外向性”姿態(tài)與其互聯(lián)網(wǎng)企業(yè)在全球的產(chǎn)業(yè)優(yōu)勢密切相關(guān)，歐盟的“內(nèi)向性”姿態(tài)則是其加強內(nèi)部數(shù)字市場統(tǒng)一化監(jiān)管的結(jié)果。相比之下，我國數(shù)字產(chǎn)業(yè)的發(fā)展兼具歐美的特點。一方面，我國數(shù)字市場日新月異，但互聯(lián)網(wǎng)企業(yè)的經(jīng)營行為仍需加強規(guī)范引導(dǎo)。2021年，在對滴滴公司的網(wǎng)絡(luò)安全審查中，國家網(wǎng)信辦查明滴滴公司存在違法收集用戶手機相冊中的信息、人臉識別信息、乘客地址信息等16項違法事實《國家互聯(lián)網(wǎng)信息辦公室有關(guān)負責(zé)人就對滴滴全球股份有限公司依法作出網(wǎng)絡(luò)安全審查相關(guān)行政處罰的決定答記者問》，中國網(wǎng)信網(wǎng)，2022年7月21日發(fā)布，2023年12月24日訪問，http：//www.cac.gov.cn/2022-07/21/c_16600215343064976.htm。。在國家安全領(lǐng)域，2023年，我國在對美光公司進行網(wǎng)絡(luò)安全審查時發(fā)現(xiàn)，該公司在華銷售的產(chǎn)品和提供的服務(wù)涉及對我國基礎(chǔ)設(shè)施相關(guān)關(guān)鍵信息數(shù)據(jù)的收集，存在嚴(yán)重涉外網(wǎng)絡(luò)安全隱患《美光公司在華銷售的產(chǎn)品未通過網(wǎng)絡(luò)安全審查》，中國網(wǎng)信網(wǎng)2023年5月21日發(fā)布，2023年12月24日訪問，http：//www.cac.gov.cn/2023-05/21/c_1686348043518073.htm。。另一方面，自2017年習(xí)近平總書記提出“數(shù)字絲綢之路”倡議以來，我國持續(xù)加強與“一帶一路”共建國家在數(shù)字經(jīng)濟前沿領(lǐng)域的合作，國內(nèi)數(shù)字產(chǎn)業(yè)的發(fā)展成果正惠及全球。當(dāng)前，我國已與17個國家簽署“數(shù)字絲綢之路”合作諒解備忘錄，與23個國家建立“絲路電商”雙邊合作機制，與周邊國家累計建設(shè)34條跨境陸纜和多條國際海纜林子涵《中國“數(shù)字絲綢之路”創(chuàng)造新機遇》，《人民日報海外版》2022年10月10日，第10版。?！霸谀崛绽麃?，中尼兩國企業(yè)合作成立的電子商務(wù)及支付企業(yè)OPay，已成為該國最大的移動支付網(wǎng)絡(luò)之一，擁有700萬用戶和30萬家合作商戶，每月交易額達30億美元”科菲·庫阿庫《攜手共建“數(shù)字絲綢之路”（觀點）》，《人民日報》2023年5月29日，第17版。。因此，我國數(shù)據(jù)法域外適用體系的建構(gòu)應(yīng)秉承兼收并蓄的理念，積極參與全球數(shù)據(jù)治理，既要順應(yīng)引導(dǎo)本國數(shù)字市場發(fā)展的內(nèi)向性要求，也應(yīng)兼顧保障互聯(lián)網(wǎng)企業(yè)走出去的外向性需要，保護企業(yè)的海外合法權(quán)益，推動“數(shù)字絲綢之路”的高質(zhì)量發(fā)展。

2.致力“應(yīng)對性”追求

一方面，應(yīng)對域外數(shù)據(jù)控制者的不當(dāng)行為影響，維護國家安全、公共利益與公民權(quán)益。在實踐中，以逐利為目的的數(shù)據(jù)控制者存在過度收集、使用和處理數(shù)據(jù)的傾向。對此，我國近年來不斷完善數(shù)據(jù)法律體系，總結(jié)數(shù)據(jù)治理的中國經(jīng)驗。不同于歐盟以人格與身份為核心的“保護性”數(shù)據(jù)立法，我國《個人信息保護法》更加具有實用主義的特點，其保護的法益涵蓋了人格與人身財產(chǎn)安全等多項權(quán)益丁曉東《〈個人信息保護法〉的比較法重思：中國道路與解釋原理》，《華東政法大學(xué)學(xué)報》2022年第2期，第73頁。。同時，作為發(fā)展中國家，我國強調(diào)數(shù)據(jù)的跨境流動不能有損國家安全。在此基礎(chǔ)上，我國應(yīng)協(xié)調(diào)內(nèi)外部數(shù)據(jù)市場，探尋中國特色數(shù)據(jù)法域外效力的系統(tǒng)性延伸方案。不僅如此，通過完善數(shù)據(jù)法域外適用體系，我國亦可與全球數(shù)據(jù)治理建立內(nèi)外聯(lián)動模式，推動數(shù)據(jù)流動國際規(guī)則的形成，為全球數(shù)據(jù)治理貢獻中國方案。

另一方面，主動解決外國數(shù)據(jù)法域外效力規(guī)則的濫用問題，積極有效地應(yīng)對外部風(fēng)險挑戰(zhàn)。習(xí)近平指出，在信息領(lǐng)域沒有雙重標(biāo)準(zhǔn)，各國都有權(quán)維護自己的信息安全，不能犧牲別國安全謀求自身所謂絕對安全習(xí)近平《弘揚傳統(tǒng)友好 共譜合作新篇——在巴西國會的演講》（2014年7月16日，巴西利亞），《人民日報》2014年7月18日，第3版。。我國于2020年提出《全球數(shù)據(jù)安全倡議》，呼吁“各國應(yīng)尊重他國主權(quán)、司法管轄權(quán)和對數(shù)據(jù)的安全管理權(quán)，未經(jīng)他國法律允許不得直接向企業(yè)或個人獲取位于他國的數(shù)據(jù)”《全球數(shù)據(jù)安全倡議》，《人民日報》2020年9月9日，第16版。。然而，以美國CLOUD法案為代表的“干涉性”數(shù)據(jù)域外適用體系存在較高的濫用風(fēng)險，我國應(yīng)充實數(shù)據(jù)法律工具箱，建立完善阻斷制度，賦予企業(yè)國內(nèi)救濟途徑，以避免我國境內(nèi)數(shù)據(jù)的被動開放風(fēng)險。

（二）推動我國數(shù)據(jù)法域外效力的合理適度延伸

目前，我國《個人信息保護法》與《數(shù)據(jù)安全法》采用數(shù)據(jù)處理的“行為發(fā)生地標(biāo)準(zhǔn)”，即無論數(shù)據(jù)處理者是否在中國境內(nèi)，只要其數(shù)據(jù)處理行為發(fā)生在我國，就應(yīng)受我國數(shù)據(jù)法的調(diào)整?！靶袨榘l(fā)生地標(biāo)準(zhǔn)”看似適用范圍廣泛，但數(shù)據(jù)在傳輸過程中，可能會涉及多個位于不同位置的服務(wù)器以及遍布全球的網(wǎng)絡(luò)線路，致使在實踐中數(shù)據(jù)處理行為地難以被準(zhǔn)確認(rèn)定。同時，我國《個人信息保護法》第三條規(guī)定的具有域外效力的條件，包括“以向境內(nèi)自然人提供產(chǎn)品或服務(wù)為目的”或“分析、評估境內(nèi)自然人的行為”等情形，在表達上具有模糊性，在實踐中較難界定。對此，我國可借鑒域外立法模式，完善數(shù)據(jù)法域外效力規(guī)則。

首先，采用“設(shè)立機構(gòu)標(biāo)準(zhǔn)”的域外適用模式。相較“行為發(fā)生地標(biāo)準(zhǔn)”，歐盟數(shù)據(jù)法的“設(shè)立機構(gòu)標(biāo)準(zhǔn)”作為客觀的連接點，在實踐中更容易聚焦物理地點的關(guān)聯(lián)性。為保障數(shù)據(jù)法調(diào)整范圍的周延性，“設(shè)立機構(gòu)標(biāo)準(zhǔn)”應(yīng)包含域外企業(yè)在我國境內(nèi)設(shè)立的分支機構(gòu)或具有法人資格的子公司。

其次，吸納“目標(biāo)指向標(biāo)準(zhǔn)”作為補充。當(dāng)前中國網(wǎng)絡(luò)用戶人數(shù)已位居世界首位，數(shù)字經(jīng)濟規(guī)模位列全球第二，這既反映出我國數(shù)據(jù)產(chǎn)業(yè)的強大實力，也對數(shù)據(jù)保護提出了更高要求，因此，以效果原則為連接點，對擁有巨型數(shù)據(jù)市場的我國尤為重要。在此基礎(chǔ)上，發(fā)揮我國司法的能動作用，也有助于提高數(shù)據(jù)法域外適用的靈活性。作為技術(shù)日新月異的新興領(lǐng)域，與數(shù)據(jù)相關(guān)糾紛的產(chǎn)生，往往也會創(chuàng)設(shè)一個部分或者全部不受規(guī)范所約束的新場域，沖突成為促使新規(guī)范建立的催化劑，致使新規(guī)則不斷地被創(chuàng)造、舊規(guī)則不斷地被改進林福辰《全球治理體系變革視域下的中國國際商事法庭：功能承載與發(fā)展展望》，《四川大學(xué)學(xué)報（哲學(xué)社會科學(xué)版）》2024年第2期，第196頁。。因此，我國法院應(yīng)秉持能動司法的姿態(tài)，將行為對國家安全和利益的影響作為連接點，探尋域外數(shù)據(jù)處理行為與我國的實際聯(lián)系方案。同時，不僅應(yīng)關(guān)注個案的審理，更應(yīng)積極評估糾紛所涉及的各方利益與多元價值，分析闡釋數(shù)據(jù)跨境流動治理的中國立場。

再次，我國數(shù)據(jù)法域外適用體系的建構(gòu)應(yīng)堅守國際法治軌道。美國“外向干涉型”數(shù)據(jù)法域外適用體系是“美國優(yōu)先”理念下的產(chǎn)物，存在濫用傾向。因此，我國應(yīng)防范美國CLOUD法案不當(dāng)適用所引發(fā)的消極影響，而不是將“數(shù)據(jù)控制者標(biāo)準(zhǔn)”作為借鑒模板。構(gòu)建我國域外適用的法律體系，應(yīng)以得到國際法認(rèn)可的管轄原則或與相關(guān)國家締結(jié)的國際條約作為依據(jù)，從而與美式“長臂管轄”劃清界限。如出現(xiàn)法律沖突，應(yīng)秉持多邊主義，考慮其他國家的合理利益與關(guān)切，通過協(xié)商談判予以妥善解決。

（三）完善外國數(shù)據(jù)法不當(dāng)域外適用的阻斷機制

我國《數(shù)據(jù)安全法》第三十六條規(guī)定，非經(jīng)我國主管機關(guān)批準(zhǔn)，境內(nèi)主體不得向外國司法或執(zhí)法機構(gòu)提供存儲于我國境內(nèi)的數(shù)據(jù)。然而，在外國強制數(shù)據(jù)調(diào)取的證據(jù)開示要求和我國數(shù)據(jù)監(jiān)管的雙重壓力下，企業(yè)履行任何一方的義務(wù)都會遭到另一方的懲罰，進而陷入左右為難的境地。為避免給企業(yè)帶來不必要的合規(guī)義務(wù)，衡平關(guān)鍵數(shù)據(jù)本地化監(jiān)管與外國數(shù)據(jù)披露要求的內(nèi)在張力，成為當(dāng)前亟待解決的問題。

針對外國數(shù)據(jù)法的不當(dāng)域外適用，我國應(yīng)完善阻斷立法，豐富企業(yè)救濟途徑。通常而言，阻斷法是指在管轄權(quán)沖突的情況下，禁止在本國管轄范圍內(nèi)適用外國具有域外效力的法律并消除其影響的一類國內(nèi)法的統(tǒng)稱葉研《歐盟〈阻斷法案〉述評與啟示》，《太平洋學(xué)報》2020年第3期，第53頁。。廣義的阻斷法包含了應(yīng)對不當(dāng)域外證據(jù)開示的法律，以及應(yīng)對次級經(jīng)濟制裁的法律徐偉功《論次級經(jīng)濟制裁之阻斷立法》，《法商研究》2021年第2期，第188頁。。目前，我國《阻斷外國法律與措施不當(dāng)域外適用辦法》（以下簡稱《阻斷辦法》）的適用前提僅限于在“違反國際法和國際關(guān)系基本準(zhǔn)則”的條件下，不當(dāng)禁止或者限制我國主體與第三國（地區(qū)）進行正常的經(jīng)貿(mào)及相關(guān)活動的情形，即針對次級制裁的阻斷，無法涵蓋外國濫用數(shù)據(jù)法域外效力規(guī)則要求數(shù)據(jù)控制者開示證據(jù)的情形。因此，在《阻斷辦法》基礎(chǔ)上，我國可從公力阻斷與私人救濟兩方面建構(gòu)數(shù)據(jù)法阻斷規(guī)則。其一，以美國CLOUD法案為代表的數(shù)據(jù)法域外效力規(guī)則，本質(zhì)上是借助單邊手段獲取電子化的司法證據(jù)，符合廣義阻斷語境下的損害他國司法主權(quán)的取證情形。對此，法國2022年修訂的《阻斷法》，明確企業(yè)在面對外國數(shù)據(jù)披露要求時，有向法國政府報告的義務(wù)French Law No. 2022-207.。目前我國《阻斷辦法》的法律位階偏低，考慮到外國數(shù)據(jù)法不當(dāng)域外適用的現(xiàn)實威脅，應(yīng)打破《阻斷辦法》規(guī)則供給不足及法律位階低的掣肘，推動制定《阻斷法》王淑敏、李倩雨《中國阻斷美國次級制裁的最新立法及其完善》，《國際商務(wù)研究》2021年第4期，第27頁；郭爍《云存儲的數(shù)據(jù)主權(quán)維護——以阻斷法案規(guī)制“長臂管轄”為例》，《中國法律評論》2022年第6期，第81頁。，并將外國數(shù)據(jù)法不當(dāng)域外適用所涉及的證據(jù)開示納入阻斷范圍。同時，考慮到數(shù)據(jù)無邊界的屬性，數(shù)據(jù)傳輸阻斷禁令的申請主體可由“中國公民、法人或者其他組織”，擴展為“在中國有經(jīng)常居所地的公民和在中國有營業(yè)地的法人或者其他組織”。其二，拓展私人救濟途徑，突破企業(yè)的“兩難困境”。《阻斷辦法》第十一條規(guī)定，我國企業(yè)因未遵守外國法律受到重大損失的，我國政府可以根據(jù)具體情況給予必要的支持。針對數(shù)據(jù)產(chǎn)業(yè)的特殊性和敏感性，我國應(yīng)細化企業(yè)申請政府支持的標(biāo)準(zhǔn)以及政府提供補償?shù)男问健?023年9月，我國頒布《外國國家豁免法》，其第四條授權(quán)我國法院在特定情形下管轄以外國國家為被告的民事案件。在此背景下，我國應(yīng)完善追償程序，明確追索求償訴訟的請求權(quán)基礎(chǔ)和案件的管轄范圍，準(zhǔn)許因外國濫用數(shù)據(jù)法域外效力規(guī)則而遭受損失的我國自然人、法人或者其他組織在國內(nèi)法院起訴并要求賠償。

［責(zé)任編輯：蘇雪梅］