外國(guó)數(shù)據(jù)法效力的域外擴(kuò)張與中國(guó)范式研究

摘要：數(shù)據(jù)已成為當(dāng)今社會(huì)發(fā)展的重要因素，但目前全球尚未形成統(tǒng)一的數(shù)據(jù)跨境流動(dòng)規(guī)則。在此背景下，美國(guó)與歐盟相繼構(gòu)建起“外向干涉型”和“內(nèi)向保護(hù)型”數(shù)據(jù)法域外適用體系，以加強(qiáng)對(duì)網(wǎng)絡(luò)空間的規(guī)制力。此舉存在濫用數(shù)據(jù)法域外效力的隱憂，增加了各國(guó)數(shù)據(jù)的被動(dòng)開放風(fēng)險(xiǎn)，也抬高了企業(yè)全球經(jīng)營(yíng)的合規(guī)門檻。作為數(shù)字產(chǎn)業(yè)大國(guó)，我國(guó)亦應(yīng)加強(qiáng)數(shù)據(jù)立法，構(gòu)建“能動(dòng)回應(yīng)型”數(shù)據(jù)法域外適用體系，既要順應(yīng)國(guó)內(nèi)數(shù)字市場(chǎng)發(fā)展的內(nèi)向性要求，也應(yīng)兼顧互聯(lián)網(wǎng)企業(yè)走出去的外向性需要，推動(dòng)我國(guó)數(shù)據(jù)法域外效力的合理適度延伸，并完善外國(guó)數(shù)據(jù)法不當(dāng)域外適用的阻斷機(jī)制，以此探索全球數(shù)據(jù)治理的中國(guó)范式。

關(guān)鍵詞：涉外法治；數(shù)據(jù)法；域外適用；數(shù)據(jù)流動(dòng)

DOI： 10.13734/j.cnki.1000-5315.2024.0315

收稿日期：2024-05-02

基金項(xiàng)目：本文系四川大學(xué)博士后研發(fā)基金“外國(guó)數(shù)據(jù)立法不當(dāng)域外適用的中國(guó)涉外法治應(yīng)對(duì)”（skbsh2023-16）、教育部哲學(xué)社會(huì)科學(xué)研究重大課題攻關(guān)項(xiàng)目“加快推進(jìn)自由貿(mào)易港建設(shè)研究”（23JZD27）、2023年四川大學(xué)中央高?；究蒲袠I(yè)務(wù)費(fèi)（法學(xué)）研究課題（2023fxzy-04）的階段性成果。

作者簡(jiǎn)介：林福辰，男，遼寧大連人，法學(xué)博士，四川大學(xué)法學(xué)院助理研究員、專職博士后，四川大學(xué)“自貿(mào)區(qū)暨‘一帶一路’法律研究中心”助理研究員，E-mail： Linfc_SCU@163.com。

當(dāng)前，數(shù)字革命幾乎滲透到了社會(huì)經(jīng)濟(jì)關(guān)系的各個(gè)方面，數(shù)據(jù)經(jīng)濟(jì)成為重組全球經(jīng)濟(jì)要素資源、重塑全球經(jīng)濟(jì)結(jié)構(gòu)、改變?nèi)蚋?jìng)爭(zhēng)格局的關(guān)鍵性力量梅宏《大數(shù)據(jù)與數(shù)字經(jīng)濟(jì)》，《求是》2022年第2期，第28頁(yè)。。大變局之下的當(dāng)今世界，全球治理體系亟待改革與完善，國(guó)際競(jìng)爭(zhēng)越來越體現(xiàn)為制度、規(guī)則、法律的競(jìng)爭(zhēng)周強(qiáng)《在習(xí)近平法治思想指引下 奮力推進(jìn)新時(shí)代司法為民公正司法》，《求是》2022年第4期，第22頁(yè)。。確保數(shù)字經(jīng)濟(jì)的供應(yīng)鏈安全對(duì)提升國(guó)家競(jìng)爭(zhēng)優(yōu)勢(shì)至關(guān)重要，因此，數(shù)據(jù)立法成為各國(guó)在國(guó)際社會(huì)爭(zhēng)奪數(shù)據(jù)治理話語(yǔ)權(quán)、輸出本國(guó)數(shù)據(jù)治理規(guī)則、擴(kuò)大本國(guó)數(shù)據(jù)優(yōu)勢(shì)的主要路徑王燕《數(shù)據(jù)法域外適用及其沖突與應(yīng)對(duì)——以歐盟〈通用數(shù)據(jù)保護(hù)條例〉與美國(guó)〈澄清域外合法使用數(shù)據(jù)法〉為例》，《比較法研究》2023年第1期，第187頁(yè)。。以美國(guó)為代表的西方國(guó)家爭(zhēng)相制定具有域外適用效力的數(shù)據(jù)法律法規(guī)，以期維護(hù)本國(guó)數(shù)據(jù)產(chǎn)業(yè)的競(jìng)爭(zhēng)優(yōu)勢(shì)，爭(zhēng)奪國(guó)際數(shù)據(jù)治理話語(yǔ)權(quán)。近年來，我國(guó)數(shù)據(jù)法律體系雖初具輪廓，國(guó)內(nèi)數(shù)字經(jīng)濟(jì)治理體系和治理能力現(xiàn)代化水平顯著提高，但尚未形成數(shù)據(jù)法域外適用體系，難以防控域外數(shù)據(jù)行為對(duì)國(guó)家安全、公共利益與個(gè)人權(quán)益的潛在危害，運(yùn)用法治手段應(yīng)對(duì)外國(guó)數(shù)據(jù)法不當(dāng)域外適用的能力亟待提升。有鑒于此，本文擬在梳理美歐數(shù)據(jù)法域外效力規(guī)則體系的基礎(chǔ)上，探究數(shù)據(jù)法域外適用體系的中國(guó)范式，并就外國(guó)數(shù)據(jù)法不當(dāng)域外適用的中國(guó)應(yīng)對(duì)方案進(jìn)行探討。

一" 國(guó)家數(shù)據(jù)法效力域外擴(kuò)張的理論歸因

（一）規(guī)制數(shù)據(jù)跨境流動(dòng)目標(biāo)的合理性

據(jù)統(tǒng)計(jì)，在2010至2019年間，全球數(shù)據(jù)跨境流量以每年45%的驚人速度增長(zhǎng)，從45Tbps增長(zhǎng)到1500Tbps成政珉、華強(qiáng)森、Sven Smit等《全球流動(dòng)：世界互聯(lián)互通的紐帶》，2023年1月發(fā)布，2024年3月18日訪問，https：//www.mckinsey.com.cn/wp-content/uploads/2023/02/MGI_Global-Flows_Dicsussion-paper-CN-20230215.pdf。。數(shù)據(jù)作為新興的生產(chǎn)要素，為全球經(jīng)濟(jì)增長(zhǎng)提供新動(dòng)能的同時(shí)，也改變了社會(huì)的責(zé)任配比勞倫斯·萊斯格《代碼2.0：網(wǎng)絡(luò)空間中的法律》，李旭、沈偉偉譯，清華大學(xué)出版社2018年第2版，第95頁(yè)。。

首先，大型互聯(lián)網(wǎng)企業(yè)對(duì)用戶數(shù)據(jù)的商業(yè)化利用，致使個(gè)人隱私保護(hù)問題尤為突出。當(dāng)前，個(gè)體的社會(huì)生活在相當(dāng)大的程度上被“數(shù)字化”，在網(wǎng)絡(luò)空間和存儲(chǔ)設(shè)備中留下自身的“數(shù)字痕跡”，隨之而來則是個(gè)人數(shù)據(jù)跨境流動(dòng)存在的隱私泄漏風(fēng)險(xiǎn)。例如，F(xiàn)acebook曾在用戶不知情或“非自由”同意的情況下從第三方網(wǎng)站或應(yīng)用搜集用戶信息，對(duì)此，德國(guó)聯(lián)邦最高法院曾于2020年6月裁定Facebook構(gòu)成對(duì)公民隱私的侵犯，責(zé)令其調(diào)整服務(wù)條款和數(shù)據(jù)處理活動(dòng)The German Federal Supreme Court， Bundesgerichtshof besttigt vorlufig den Vorwurf der missbruchlichen Ausnutzung einer marktbeherrschenden Stellung durch Facebook， Juni 23， 2020， https：//www.bundesgerichtshof.de/SharedDocs/Pressemitteilungen/DE/2020/2020080.html.。不僅如此，在數(shù)字技術(shù)的加持下，數(shù)據(jù)處理者對(duì)個(gè)人信息的大規(guī)模、自動(dòng)化搜集弱化了傳統(tǒng)匿名化技術(shù)的實(shí)際效果，進(jìn)而加劇了個(gè)人數(shù)據(jù)被過度商業(yè)化利用的風(fēng)險(xiǎn)。因此，基于個(gè)人隱私信息保護(hù)的目的，規(guī)制數(shù)據(jù)流動(dòng)是各國(guó)政府當(dāng)前的重要責(zé)任。

其次，數(shù)據(jù)跨境流動(dòng)，對(duì)公共安全利益帶來挑戰(zhàn)。公眾在享受互聯(lián)網(wǎng)便利性的同時(shí)，也面臨著虛假信息泛濫、有害信息傳播、網(wǎng)絡(luò)犯罪發(fā)生等諸多危害。立足國(guó)家治理層面，各國(guó)往往基于一定的保護(hù)義務(wù)，推動(dòng)網(wǎng)絡(luò)空間規(guī)制的變革，強(qiáng)化網(wǎng)絡(luò)空間架構(gòu)的控制性。一般而言，網(wǎng)絡(luò)空間的規(guī)制程度取決于網(wǎng)絡(luò)空間的架構(gòu)，而該架構(gòu)的屬性由價(jià)值觀決定勞倫斯·萊斯格《代碼2.0：網(wǎng)絡(luò)空間中的法律》，第36頁(yè)。。例如，德國(guó)通過限制數(shù)據(jù)跨境流動(dòng)，禁止公民通過互聯(lián)網(wǎng)平臺(tái)售賣與納粹有關(guān)的紀(jì)念品Germany， Strafgesetzbuch ［Penal Code］ § 86a （2021）.；越南亦曾頒布立法，限制危及越南公共秩序的信息在網(wǎng)絡(luò)空間中傳播Vietnam， Decree No. 72/2013/ND-CP §4（4） （2013）.。所以，各國(guó)對(duì)公共安全的維護(hù)，使規(guī)制數(shù)據(jù)流動(dòng)有了天然的合理性。

最后，利用大數(shù)據(jù)分析等數(shù)據(jù)手段，一國(guó)可能有針對(duì)性地開展對(duì)他國(guó)信息情報(bào)的收集和處理工作，從而威脅到他國(guó)國(guó)家安全。例如，美國(guó)自2007年起啟動(dòng)了代號(hào)為“棱鏡”的秘密監(jiān)控項(xiàng)目，直接進(jìn)入美國(guó)網(wǎng)際網(wǎng)絡(luò)公司的中心服務(wù)器里挖掘數(shù)據(jù)、收集情報(bào)，微軟、雅虎、谷歌、蘋果等在內(nèi)的9家國(guó)際網(wǎng)絡(luò)巨頭參與其中Barton Gellman， Laura Poitras， “U.S.， British Intelligence Mining Date from Nine U.S. Internet Copmanies in Broad Secret Program，” Washington Post， June 7， 2013， https：//www.washingtonpost.com/investigations/us-intelligence-mining-data-from-nine-us-internet-companies-in-broad-secret-program/2013/06/06/3a0c0da8-cebf-11e2-8845-d970ccb04497_story.html.?？梢姡瑪?shù)據(jù)的自由流動(dòng)對(duì)國(guó)家安全構(gòu)成了新的挑戰(zhàn)，各國(guó)對(duì)數(shù)據(jù)行為的監(jiān)管需求更為迫切。

綜上，放任國(guó)家數(shù)據(jù)的自由流動(dòng)，會(huì)觸及到該國(guó)經(jīng)濟(jì)和社會(huì)生活的核心部分，這與該國(guó)特定公共政策目標(biāo)之間存在著不可避免的沖突。面對(duì)數(shù)據(jù)跨境流動(dòng)對(duì)個(gè)人信息、公共利益和國(guó)家安全的沖擊，各國(guó)近年來愈發(fā)重視數(shù)據(jù)安全風(fēng)險(xiǎn)的法律防范，并通過完善國(guó)內(nèi)立法、參與國(guó)際合作等方式，強(qiáng)化對(duì)數(shù)據(jù)流動(dòng)的規(guī)制，以此落實(shí)網(wǎng)絡(luò)空間中的國(guó)家保護(hù)義務(wù)、滿足規(guī)制數(shù)據(jù)跨境流動(dòng)的合理性國(guó)家要求。

（二）數(shù)據(jù)法效力域外擴(kuò)張的現(xiàn)實(shí)必要性與國(guó)際合法性

數(shù)據(jù)法效力域外擴(kuò)張具有現(xiàn)實(shí)必要性。面對(duì)因數(shù)據(jù)跨境流動(dòng)而產(chǎn)生的全球性威脅，各國(guó)目前難以在短期內(nèi)形成具有統(tǒng)一性、全球性的數(shù)據(jù)跨境傳輸規(guī)則徐峰《網(wǎng)絡(luò)空間國(guó)際法體系的新發(fā)展》，《信息安全與通信保密》2017年第1期，第75頁(yè)。。網(wǎng)絡(luò)空間的出現(xiàn)，使法律屬地主義被不斷削弱，傳統(tǒng)的國(guó)家界限變得愈加模糊，這使國(guó)際法成為應(yīng)對(duì)數(shù)據(jù)跨境流動(dòng)諸多現(xiàn)實(shí)挑戰(zhàn)的理想平臺(tái)。2003年，聯(lián)合國(guó)信息社會(huì)世界峰會(huì)在《日內(nèi)瓦原則宣言》中指出，“與互聯(lián)網(wǎng)有關(guān)的公共政策的決策權(quán)是各國(guó)的主權(quán)”《日內(nèi)瓦原則宣言》，《信息社會(huì)世界高峰會(huì)議成果文件》，國(guó)際電信聯(lián)盟2005年，日內(nèi)瓦，第19頁(yè)，https：//www.itu.int/net/wsis/outcome/booklet-zh.pdf。。聯(lián)合國(guó)相關(guān)專家組的報(bào)告亦明確了《聯(lián)合國(guó)憲章》對(duì)網(wǎng)絡(luò)空間的適用性從國(guó)際安全角度促進(jìn)網(wǎng)絡(luò)空間負(fù)責(zé)任國(guó)家行為政府專家組《從國(guó)際安全角度促進(jìn)網(wǎng)絡(luò)空間負(fù)責(zé)任國(guó)家行為政府專家組的報(bào)告（A/76/135）》，聯(lián)合國(guó)大會(huì)，2021年7月14日，中文版第16頁(yè)。。據(jù)此，既有國(guó)際法體系重申了主權(quán)原則對(duì)網(wǎng)絡(luò)空間的適用性，各國(guó)享有對(duì)境內(nèi)網(wǎng)絡(luò)設(shè)施的管轄權(quán)。除此之外，國(guó)際法拓展有限，且多停留于倡議的層面，實(shí)踐中可操作性欠佳。同樣的敘事也體現(xiàn)在數(shù)字貿(mào)易的國(guó)際規(guī)制層面，CPTPP、RCEP等協(xié)定確立了以數(shù)據(jù)跨境自由流動(dòng)為原則、本地化為例外的規(guī)制進(jìn)路杜玉瓊、羅新雨《RCEP數(shù)據(jù)跨境流動(dòng)規(guī)則例外條款的適用及中國(guó)應(yīng)對(duì)》，《四川師范大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版）》2023年第5期，第75頁(yè)。，但就數(shù)據(jù)跨境流動(dòng)例外條款的具體適用，各區(qū)域一體化協(xié)定缺乏明確指引。傳統(tǒng)的國(guó)內(nèi)立法管轄權(quán)是以屬地管轄為基礎(chǔ)，以屬人管轄、保護(hù)性管轄和普遍性管轄等為補(bǔ)充。然而，互聯(lián)網(wǎng)具有虛擬性、開放性和無邊界的特征，大規(guī)模的數(shù)據(jù)跨境流動(dòng)對(duì)以屬地為基礎(chǔ)的國(guó)際管轄秩序形成了嚴(yán)重挑戰(zhàn)。同時(shí)，一個(gè)借助互聯(lián)網(wǎng)實(shí)施的行為不僅在地理空間上難以界定行為發(fā)生地，其影響范圍也非地理意義上的領(lǐng)土邊界所能阻隔，這進(jìn)一步削弱了屬地管轄的規(guī)范意義。對(duì)此，以美國(guó)和歐盟為代表的國(guó)家或?qū)嶓w探索創(chuàng)新立法管轄模式，延伸數(shù)據(jù)法域外效力，希冀提升其對(duì)數(shù)據(jù)跨境流動(dòng)的規(guī)制力。由此，各國(guó)開始將注意力轉(zhuǎn)向國(guó)內(nèi)，嘗試通過強(qiáng)化涉外立法以監(jiān)管數(shù)據(jù)跨境流動(dòng)。

數(shù)據(jù)法效力域外擴(kuò)張具有國(guó)際合法性。一般認(rèn)為，法律屬地主義式微是社會(huì)、技術(shù)等一系列因素疊加的結(jié)果蔣小紅《歐盟法的域外適用：價(jià)值目標(biāo)、生成路徑和自我限制》，《國(guó)際法研究》2022年第6期，第106頁(yè)。。1927年，國(guó)際常設(shè)法院在“荷花號(hào)”案中對(duì)國(guó)家實(shí)施域外管轄的行為進(jìn)行了闡明，認(rèn)為：“國(guó)際法非但遠(yuǎn)沒有設(shè)立一般禁止性規(guī)定以要求各國(guó)不得將其法律的適用及其法院的管轄權(quán)擴(kuò)展至領(lǐng)土外的人、財(cái)產(chǎn)和行為，反而在這方面為各國(guó)留下了廣泛的自由權(quán)利，僅在特定情形中以禁止性規(guī)則限制之；除特定情形，各國(guó)皆得自由采取其認(rèn)為最好與最適合的原則”S.S. Lotus （Fr. V. Turk.）， 1927 P.C.I.J. （ser. A） No. 10 （Sept. 7）.。據(jù)此，國(guó)際常設(shè)法院確立了“國(guó)際法不禁止即為允許”的原則，奠定了國(guó)內(nèi)法域外適用的合法性基礎(chǔ)。目前，全球并未形成具有普遍約束力的數(shù)據(jù)保護(hù)國(guó)際規(guī)則，沒有對(duì)國(guó)家管轄權(quán)向域外延伸進(jìn)行過多限制，寬松的國(guó)際環(huán)境為各國(guó)擴(kuò)張數(shù)據(jù)法域外效力奠定了合法性基礎(chǔ)孔慶江、于華溢《數(shù)據(jù)立法域外適用現(xiàn)象及中國(guó)因應(yīng)策略》，《法學(xué)雜志》2020年第8期，第86頁(yè)。。

二" 美歐數(shù)據(jù)法域外適用體系的范式考察

（一）美國(guó)“外向干涉型”數(shù)據(jù)法域外適用體系

美國(guó)在全球互聯(lián)網(wǎng)產(chǎn)業(yè)擁有近乎壟斷的市場(chǎng)地位，憑借數(shù)字技術(shù)與產(chǎn)業(yè)規(guī)模的巨大優(yōu)勢(shì)，美國(guó)數(shù)據(jù)法域外適用體系秉持“外向性”姿態(tài)，致力于獲得調(diào)取全球數(shù)據(jù)的能力。以2018年《澄清域外合法使用數(shù)據(jù)法案》（Clarifying Lawful Overseas Use of Data Act，以下簡(jiǎn)稱CLOUD法案）為代表的數(shù)據(jù)立法就試圖突破美國(guó)域外取證瓶頸，賦權(quán)政府可以調(diào)取本國(guó)企業(yè)在境外存儲(chǔ)的數(shù)據(jù)信息。

1.依托全球數(shù)字市場(chǎng)壟斷地位的“外向性”姿態(tài)

作為美國(guó)數(shù)據(jù)立法的基礎(chǔ)性法案，1986年《存儲(chǔ)通信法案》（Stored Communications Act，以下簡(jiǎn)稱SCA）主要關(guān)注發(fā)生在其國(guó)內(nèi)的數(shù)據(jù)行為，但未明確美國(guó)政府是否有權(quán)要求通信服務(wù)商提交存儲(chǔ)在境外的數(shù)據(jù)。在微軟案中，美國(guó)當(dāng)局試圖獲取存儲(chǔ)于境外的數(shù)據(jù)。對(duì)此，微軟公司認(rèn)為涉案數(shù)據(jù)存儲(chǔ)在愛爾蘭境內(nèi)，基于屬地管轄的限制，美國(guó)當(dāng)局搜查令的效力不能及于該數(shù)據(jù)。區(qū)別于微軟所主張的“數(shù)據(jù)存儲(chǔ)地標(biāo)準(zhǔn)”，美國(guó)政府認(rèn)為微軟是數(shù)據(jù)的實(shí)際控制者，其在本土通過互聯(lián)網(wǎng)即可完成數(shù)據(jù)的調(diào)取；作為美國(guó)境內(nèi)企業(yè)，微軟公司應(yīng)當(dāng)執(zhí)行美國(guó)當(dāng)局依據(jù)SCA簽發(fā)的搜查令。美國(guó)法院最終裁判，搜查令的實(shí)施地點(diǎn)是決定該案能否援引SCA的重要因素，微軟公司在美國(guó)境內(nèi)的情況不足以替代對(duì)數(shù)據(jù)位置的關(guān)注United States v. Microsoft Corp.， 138 S. Ct. 1186 （2018）.。

為破解域外數(shù)據(jù)的可及性限制，美國(guó)出臺(tái)了CLOUD法案，引入“數(shù)據(jù)控制者標(biāo)準(zhǔn)”來弱化數(shù)據(jù)與物理空間的關(guān)聯(lián)性。CLOUD法案規(guī)定，只要互聯(lián)網(wǎng)企業(yè)擁有、監(jiān)控或控制用戶數(shù)據(jù)，那么無論該數(shù)據(jù)是否存儲(chǔ)在美國(guó)境內(nèi)，相關(guān)企業(yè)作為數(shù)據(jù)控制者都應(yīng)承擔(dān)向美國(guó)政府披露數(shù)據(jù)的義務(wù)Clarifying Lawful Overseas Use of Data Act §103. 。在實(shí)踐中，微軟、谷歌、蘋果等美國(guó)科技企業(yè)占據(jù)著全球絕大多數(shù)數(shù)字市場(chǎng)的份額，獲得了海量數(shù)據(jù)資源，這讓它們成為美國(guó)獲取域外數(shù)據(jù)的關(guān)鍵橋梁。盡管這些公司仍必須服從所在國(guó)的數(shù)據(jù)監(jiān)管規(guī)則，但是借助“數(shù)據(jù)控制者標(biāo)準(zhǔn)”，CLOUD法案可以讓美國(guó)在事實(shí)上具備獲取全球數(shù)據(jù)的能力，并且不需要考慮數(shù)據(jù)的實(shí)際存儲(chǔ)地。

為進(jìn)一步提升調(diào)取全球數(shù)據(jù)的有效性，CLOUD法案還設(shè)置了嚴(yán)格的責(zé)任豁免條件。CLOUD法案規(guī)定域外數(shù)據(jù)控制者如欲免除數(shù)據(jù)披露義務(wù)，需同時(shí)滿足三個(gè)條件：第一，法案對(duì)域外數(shù)據(jù)控制者施加的數(shù)據(jù)披露義務(wù)違反了“適格外國(guó)政府”法律；第二，美國(guó)法院根據(jù)案件情況和公平理念，依國(guó)際禮讓原則主動(dòng)放棄CLOUD法案的域外適用；第三，數(shù)據(jù)控制者所服務(wù)的用戶不是美國(guó)人且不在美國(guó)居住Clarify Lawful Overseas Use of Data Act §103.。然而，美國(guó)法院在實(shí)踐中認(rèn)定的“適格外國(guó)政府”相當(dāng)有限，目前，僅英國(guó)和澳大利亞獲得了認(rèn)定并簽訂了數(shù)據(jù)調(diào)取協(xié)議U.S. Department of Justice， U.S. And UK Sign Landmark Cross-Border Data Access Agreement to Combat Criminals and Terrorists Online，October 3， 2019， https：//www.justice.gov/opa/pr/us-and-uk-sign-landmark-cross-border-data-access-agreement-combat-criminals-and-terrorists; U.S. Department of Justice， United States and Australia Enter CLOUD Act Agreement to Facilitate Investigations of Serious Crime， December 15， 2021， https：//www.justice.gov/opa/pr/united-states-and-australia-enter-cloud-act-agreement-facilitate-investigations-serious-crime.，也缺乏明確的國(guó)際禮讓分析思路郭爍《云存儲(chǔ)的數(shù)據(jù)主權(quán)維護(hù)——以阻斷法案規(guī)制“長(zhǎng)臂管轄”為例》，《中國(guó)法律評(píng)論》2022年第6期，第78頁(yè)。。同時(shí)，作為法律概念的“美國(guó)人”的涵蓋范圍相當(dāng)寬泛。在美國(guó)對(duì)外制裁中，“美國(guó)人”不僅包括美國(guó)公民、合法獲得永久居住的外國(guó)人以及在美注冊(cè)的公司等主體18 U.S. C. § 2523 （2018）.，甚至還覆蓋了美國(guó)公司的外國(guó)子公司和美國(guó)人管理的外國(guó)公司覃俊豪《國(guó)內(nèi)法域外適用：研究路徑、美國(guó)實(shí)踐與中國(guó)應(yīng)對(duì)》，《學(xué)術(shù)論壇》2024年第2期，第144頁(yè)。。對(duì)此，美國(guó)政府曾毫不掩飾地表示，CLOUD法案代表著一種新的范式，一種高效獲取電子數(shù)據(jù)的保護(hù)辦法U.S. Department of Justice， Promoting Public Safety， Privacy， and the Rule of Law Around the World： The Purpose and Impact of the CLOUD Act， （April， 2019）. https：//www.justice.gov/opa/press-release/file/1153446/dl.。

2.致力于獲得調(diào)取全球數(shù)據(jù)能力的“干涉性”追求

作為美國(guó)行使域外管轄的合法性依據(jù)，CLOUD法案的“數(shù)據(jù)控制者標(biāo)準(zhǔn)”雖具有客觀屬地原則或效果原則的特征客觀屬地原則是指當(dāng)試圖管轄之行為的構(gòu)成因素出現(xiàn)在領(lǐng)土國(guó)境內(nèi)時(shí)，一國(guó)可對(duì)其領(lǐng)土外的人、財(cái)產(chǎn)或行為行使管轄權(quán)；效果原則是指一國(guó)可以根據(jù)外國(guó)國(guó)民于一國(guó)領(lǐng)土外發(fā)生的行為，卻在該領(lǐng)土上產(chǎn)生重大影響而主張管轄權(quán)。參見：聯(lián)合國(guó)《國(guó)際法委員會(huì)報(bào)告——第五十八屆會(huì)議》（2006年5月1日至6月9日和7月3日至8月11日），聯(lián)合國(guó)2006年版，第393頁(yè)。，但是，法案的調(diào)整對(duì)象十分寬泛，適用也具有相當(dāng)程度的靈活性，這對(duì)干涉他國(guó)數(shù)據(jù)監(jiān)管權(quán)的正常行使以及削減其他國(guó)家保護(hù)公民隱私、國(guó)家安全的能力造成了影響。例如，CLOUD法案規(guī)定的數(shù)據(jù)控制者涵蓋了電子通信服務(wù)和遠(yuǎn)距離計(jì)算服務(wù)提供者18 U.S.C. § 2510（15） （2018）.，這意味著提供電子郵件、社交媒體、云存儲(chǔ)等服務(wù)的相關(guān)企業(yè)，甚至電商平臺(tái)都是數(shù)據(jù)披露義務(wù)的承擔(dān)者。不僅如此，美國(guó)司法部認(rèn)為，域外的數(shù)據(jù)控制者如與美國(guó)有足夠的聯(lián)系也可觸發(fā)CLOUD法案的適用U.S. Department of Justice， Promoting Public Safety， Privacy， and the Rule of Law Around the World： The Purpose and Impact of the CLOUD Act， （April， 2019）. https：//documents.un.org/doc/undoc/gen/g06/636/19/pdf/g0663619.pdf？token=QziVvJEmXouUsyVOJd amp;fe=true.，此種聯(lián)系包含了擁有、監(jiān)控和控制等數(shù)據(jù)處理活動(dòng)的全周期數(shù)據(jù)全生命周期包括數(shù)據(jù)處理者進(jìn)行數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等環(huán)節(jié)。參見：王玎《論數(shù)據(jù)處理者的數(shù)據(jù)安全保護(hù)義務(wù)》，《當(dāng)代法學(xué)》2023年第2期，第44頁(yè)。。這進(jìn)一步擴(kuò)大了法案的潛在適用范圍，體現(xiàn)了美國(guó)對(duì)數(shù)據(jù)法域外效力的極致追求。

同時(shí)，美國(guó)與其他國(guó)家間的數(shù)據(jù)調(diào)取具有非互惠性。SCA規(guī)定通信服務(wù)商不得向外國(guó)政府提供有關(guān)通信內(nèi)容的數(shù)據(jù)，導(dǎo)致他國(guó)在偵查打擊犯罪時(shí)，難以通過雙邊司法協(xié)助請(qǐng)求而從美國(guó)當(dāng)局獲得涉案數(shù)據(jù)。相比之下，CLOUD法案雖規(guī)定“適格外國(guó)政府”也可通過數(shù)據(jù)控制者獲取存儲(chǔ)于美國(guó)境內(nèi)的數(shù)據(jù)18 U.S. C. § 2523 （2018）.，但是，“適格外國(guó)政府”的構(gòu)成標(biāo)準(zhǔn)非常嚴(yán)苛，相關(guān)國(guó)家不僅被要求與美國(guó)簽訂數(shù)據(jù)調(diào)取協(xié)定，同時(shí)還要為數(shù)據(jù)控制者免除數(shù)據(jù)披露義務(wù)提供實(shí)質(zhì)性或程序性的救濟(jì)途徑，這讓外國(guó)在實(shí)踐中近乎無法獲取美國(guó)境內(nèi)存儲(chǔ)的數(shù)據(jù)。不僅如此，“適格外國(guó)政府”還要給予美國(guó)同等的數(shù)據(jù)訪問權(quán)，并面臨美國(guó)定期的單邊審核與“隨時(shí)開除”的壓力。非互惠性的標(biāo)準(zhǔn)，加上調(diào)取全球數(shù)據(jù)的干涉性追求，會(huì)在客觀層面幾乎造成“全球→美國(guó)”的數(shù)據(jù)單向流動(dòng)，折射出“美國(guó)優(yōu)先”的立法思路和主導(dǎo)全球數(shù)據(jù)流動(dòng)秩序的野心。

（二）歐盟“內(nèi)向保護(hù)型”數(shù)據(jù)法域外適用體系

1.服從于歐洲數(shù)字市場(chǎng)統(tǒng)一需要的“內(nèi)向性”姿態(tài)

不同于美國(guó)龐大數(shù)字產(chǎn)業(yè)對(duì)CLOUD法案實(shí)施的支撐，歐盟數(shù)字市場(chǎng)的發(fā)展整體滯后，對(duì)外國(guó)技術(shù)的依存度較高，因而加劇了歐盟加強(qiáng)內(nèi)部數(shù)據(jù)保護(hù)的現(xiàn)實(shí)緊迫性。歐盟內(nèi)部幾乎沒有大型數(shù)字平臺(tái)，數(shù)字產(chǎn)業(yè)規(guī)模僅占全球70個(gè)大型數(shù)字平臺(tái)市值的4%“Communication on Online Platforms and the Digital Single Market ｛SWD（2016） 172 final｝， ” accessed March 18， 2024， https：//eur-lex.europa.eu/legal-content/EN/TXT/？uri=CELEX：52016DC0288.。谷歌、臉書和微軟等美國(guó)互聯(lián)網(wǎng)企業(yè)幾乎壟斷了歐盟數(shù)據(jù)市場(chǎng)，收集大量用戶數(shù)據(jù)，并通過精準(zhǔn)推送創(chuàng)造了海量廣告收入。不僅如此，上述企業(yè)還可能妨礙歐洲國(guó)家政府開展工作。如在新型冠狀病毒流行期間，法國(guó)當(dāng)局曾開發(fā)出“Stop Covid”的病毒密接者追蹤程序，但遭到蘋果和谷歌公司的技術(shù)阻攔，致使軟件無法實(shí)際投入應(yīng)用。在此背景下，歐盟數(shù)據(jù)監(jiān)管的自主性面臨嚴(yán)峻挑戰(zhàn)，歐盟公民對(duì)個(gè)人數(shù)據(jù)和隱私保護(hù)的擔(dān)憂與日俱增。

針對(duì)由外國(guó)互聯(lián)網(wǎng)企業(yè)主導(dǎo)的在線環(huán)境，歐盟試圖通過數(shù)據(jù)法的域外適用，強(qiáng)化內(nèi)部市場(chǎng)監(jiān)管，調(diào)整數(shù)據(jù)主體和數(shù)據(jù)控制者之間的力量對(duì)比。歐盟早在1995年便頒布了數(shù)據(jù)相關(guān)立法，即《關(guān)于個(gè)人數(shù)據(jù)處理及其自由流動(dòng)的個(gè)人保護(hù)第95/46/EC號(hào)指令》（Directive 95/46/EC of the Enropenan Parlianment and of the Council： on the protection of individuals with regard to the processing of personal data and on the free movement of such data，以下簡(jiǎn)稱《數(shù)據(jù)保護(hù)指令》）。但遺憾的是，《數(shù)據(jù)保護(hù)指令》需經(jīng)歐盟成員國(guó)轉(zhuǎn)化為國(guó)內(nèi)法后方可實(shí)施，這導(dǎo)致了歐盟內(nèi)部數(shù)據(jù)保護(hù)水平的差異。因此，歐盟于2016年通過了《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，以下簡(jiǎn)稱GDPR），并將其作為一項(xiàng)直接適用的數(shù)據(jù)基礎(chǔ)性立法。與《數(shù)據(jù)保護(hù)指令》相比，GDPR加重了數(shù)據(jù)控制者義務(wù)，力求切實(shí)落實(shí)數(shù)據(jù)主體權(quán)利的保護(hù)。

在域外管轄權(quán)方面，GDPR首先承繼了《數(shù)據(jù)保護(hù)指令》的“設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)”。其第3.1條規(guī)定，不論數(shù)據(jù)處理行為實(shí)際是否在歐盟內(nèi)進(jìn)行，GDPR都適用于在歐盟內(nèi)部設(shè)立機(jī)構(gòu)的數(shù)據(jù)控制者。這雖未明確GDPR能否進(jìn)行域外適用，但實(shí)際上保證了GDPR規(guī)制域外數(shù)據(jù)處理行為的可能。在此基礎(chǔ)上，歐盟通過“目標(biāo)指向標(biāo)準(zhǔn)”拓寬了數(shù)據(jù)法的域外效力。得益于數(shù)據(jù)的無邊界屬性，現(xiàn)實(shí)中數(shù)據(jù)控制者在境外亦可完成對(duì)歐盟用戶數(shù)據(jù)的收集、分析和處理。因此GDPR第3.2條規(guī)定，即使數(shù)據(jù)控制者未在歐盟設(shè)立機(jī)構(gòu)，GDPR依然適用于為歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)的數(shù)據(jù)控制者，以及對(duì)發(fā)生在歐盟內(nèi)部的數(shù)據(jù)主體活動(dòng)進(jìn)行監(jiān)控的數(shù)據(jù)控制者。這就是“目標(biāo)指向標(biāo)準(zhǔn)”?？梢姡噍^于“設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)”，“目標(biāo)指向標(biāo)準(zhǔn)”在事實(shí)上更具有域外效力擴(kuò)張的色彩。

晚近以來，“設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)+目標(biāo)指向標(biāo)準(zhǔn)”的管轄權(quán)模式也被吸收到歐盟新近頒布的數(shù)據(jù)立法之中。2022年7月，歐盟委員會(huì)頒布的《數(shù)字服務(wù)法》（Digital Services Act，以下簡(jiǎn)稱DSA）第2.1條規(guī)定，該法案適用于向擁有其設(shè)立地或位于歐盟的服務(wù)接受者提供的中介服務(wù)，而服務(wù)提供者的設(shè)立地點(diǎn)不受限制。歐盟2023年5月生效的《數(shù)字市場(chǎng)法》（Digital Markets Act，以下簡(jiǎn)稱DMA）也遵循相似進(jìn)路，其第1.2條規(guī)定，面向歐盟境內(nèi)用戶或平臺(tái)提供服務(wù)的互聯(lián)網(wǎng)企業(yè)，都是該法案的調(diào)整對(duì)象，至于企業(yè)的設(shè)立地或營(yíng)業(yè)地并非該法案是否適用的因素。

2.致力于強(qiáng)化保障數(shù)據(jù)主體權(quán)利的“保護(hù)性”追求

就數(shù)據(jù)權(quán)利保護(hù)的限度而言，歐盟始終圍繞《歐洲人權(quán)公約》第8條展開，將個(gè)人數(shù)據(jù)權(quán)利理解為一項(xiàng)基本人權(quán)，認(rèn)為數(shù)字技術(shù)的發(fā)展并不能影響對(duì)個(gè)人隱私權(quán)利的保護(hù)。在此觀念指導(dǎo)下，GDPR創(chuàng)設(shè)了用戶刪除權(quán)、被遺忘權(quán)等新型數(shù)據(jù)權(quán)利，強(qiáng)化個(gè)人信息保護(hù)水平。同時(shí)，為確保相關(guān)規(guī)則能夠在實(shí)踐中發(fā)揮實(shí)效，歐盟通過擴(kuò)大解釋延伸“設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)”和“目標(biāo)指向標(biāo)準(zhǔn)”的涵蓋范圍，拓寬數(shù)據(jù)法域外適用的場(chǎng)景。

關(guān)于“設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)”，歐盟數(shù)據(jù)保護(hù)委員會(huì)曾指出，只要域外的數(shù)據(jù)控制者與其在歐盟境內(nèi)的“設(shè)立機(jī)構(gòu)”之間存在真實(shí)有效的聯(lián)系即可認(rèn)定為滿足該標(biāo)準(zhǔn)Article 29 Data Protection Working Party， “Opinion 8/2010 on Applicable Law （0836-02/10/EN WP 179），” accessed March 18， 2024， https：//ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp179_en.pdf.。在Google Spain案中，位于美國(guó)的谷歌公司負(fù)責(zé)處理西班牙的用戶數(shù)據(jù)，而位于西班牙的谷歌分公司僅負(fù)責(zé)當(dāng)?shù)氐乃阉饕鏄I(yè)務(wù)。針對(duì)此種情況的法律適用問題，歐盟法院認(rèn)為，分公司的創(chuàng)設(shè)為總公司的廣告業(yè)務(wù)提供了盈利空間，谷歌公司也與分公司之間存在真實(shí)有效的聯(lián)系，進(jìn)而認(rèn)定谷歌公司的域外個(gè)人數(shù)據(jù)處理行為應(yīng)適用《數(shù)據(jù)保護(hù)指令》Google Spain SL， Google Inc.v. Agencia Espaola de Proteccin de Datos （AEPD）， Mario Costeja Gonzlez， Case C-131/12 Court of Justice of the Europeon Union （2014）.?？梢?，歐盟對(duì)“設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)”的理解十分寬泛，域外的數(shù)據(jù)控制者可能因?yàn)橛蛲獾膫€(gè)人數(shù)據(jù)處理活動(dòng)而適用歐盟的數(shù)據(jù)法。

在“目標(biāo)指向標(biāo)準(zhǔn)”中，GDPR著眼于歐盟范圍內(nèi)數(shù)據(jù)的保護(hù)，而不僅停留在歐盟公民數(shù)據(jù)保護(hù)的層面。關(guān)于GDPR第3.2條中“數(shù)據(jù)主體”的界定，歐盟采用了與美國(guó)CLOUD法案相近的規(guī)制方式，指出“GDPR提供的保護(hù)應(yīng)適用于個(gè)人數(shù)據(jù)受到處理的自然人，無論其國(guó)籍或居住地如何”。同時(shí)，歐盟力圖保持?jǐn)?shù)據(jù)處理行為定義的寬泛性，GDPR在序言中規(guī)定，該法中的“監(jiān)控”是指在互聯(lián)網(wǎng)對(duì)自然人進(jìn)行的追蹤，包括后續(xù)個(gè)人數(shù)據(jù)處理技術(shù)的潛在使用，此類個(gè)人數(shù)據(jù)的技術(shù)處理包括對(duì)個(gè)人進(jìn)行特征分析，并預(yù)測(cè)個(gè)人的偏好、行為和態(tài)度。由此表明，實(shí)踐中域外數(shù)據(jù)控制者若以歐盟為對(duì)象進(jìn)行相關(guān)的數(shù)據(jù)處理活動(dòng)，那么其行為很有可能構(gòu)成GDPR第3.2條中“對(duì)歐盟內(nèi)數(shù)據(jù)主體進(jìn)行監(jiān)控”，從而觸發(fā)歐盟數(shù)據(jù)法的域外適用。例如，在Judith VIdal-Hall， Robert Hann， Marc Bradshaw v. Google Inc案中，歐盟法院曾認(rèn)定谷歌公司通過Cookie存儲(chǔ)用戶數(shù)據(jù)并推送個(gè)性化廣告的行為構(gòu)成對(duì)用戶的監(jiān)控追蹤Judith Vidal-Hall， Robert Hann， Marc Bradshaw v. Google Inc， Case No： A2/2014/0403 Court of Appeal （2014）.。

三" 美歐濫用數(shù)據(jù)法域外效力規(guī)則的消極影響

數(shù)據(jù)法域外效力的擴(kuò)張有其內(nèi)在合理性，但未經(jīng)來源國(guó)允許的數(shù)據(jù)跨境調(diào)取，將被視為對(duì)一國(guó)數(shù)據(jù)主權(quán)的侵犯，而被界定為外國(guó)數(shù)據(jù)法的不當(dāng)域外適用。美國(guó)意欲繞過各國(guó)監(jiān)管實(shí)現(xiàn)對(duì)全球數(shù)據(jù)的調(diào)取，其數(shù)據(jù)法的域外適用呈現(xiàn)恣意擴(kuò)張的態(tài)勢(shì)，各國(guó)亟須重視并加以應(yīng)對(duì)。相較之下，歐盟的數(shù)據(jù)法域外適用體系雖呈現(xiàn)“內(nèi)向性”姿態(tài)，但設(shè)立高標(biāo)準(zhǔn)權(quán)利保護(hù)機(jī)制的原因是歐盟對(duì)外輸出數(shù)據(jù)監(jiān)管模式的政策需求，以此尋求影響全球數(shù)據(jù)流動(dòng)規(guī)則的話語(yǔ)權(quán)。

（一）增加各國(guó)數(shù)據(jù)被動(dòng)開放的風(fēng)險(xiǎn)

隨著信息技術(shù)的迅猛發(fā)展，互聯(lián)網(wǎng)活動(dòng)呈現(xiàn)遠(yuǎn)程化、全球化和虛擬化的特點(diǎn)，極大地沖擊了傳統(tǒng)立法的管轄模式。然而，數(shù)據(jù)的存儲(chǔ)仍要依托計(jì)算機(jī)實(shí)體，這為國(guó)家主權(quán)原則向網(wǎng)絡(luò)空間治理領(lǐng)域拓展提供了基礎(chǔ)。在2023年11月召開的首屆全球人工智能安全峰會(huì)上，中國(guó)、歐盟等多個(gè)國(guó)家代表共同簽署《布萊切利宣言》，在宣言中表示要攜手合作應(yīng)對(duì)人工智能所引發(fā)的相關(guān)風(fēng)險(xiǎn)，并尊重各國(guó)規(guī)制數(shù)據(jù)活動(dòng)的自主權(quán)和靈活性GOV.UK， The Bletchley Declaration by Countries Attending the AI Safety Summit， November 1， 2023， https：//www.gov.uk/government/publications/ai-safety-summit-2023-the-bletchley-declaration/the-bletchley-declaration-by-countries-attending-the-ai-safety-summit -1-2-november-2023.?？梢?，數(shù)據(jù)主權(quán)是國(guó)家主權(quán)在網(wǎng)絡(luò)空間的自然延伸和表現(xiàn)，國(guó)家主權(quán)原則依然是全球數(shù)據(jù)規(guī)則治理的基礎(chǔ)。在數(shù)據(jù)主權(quán)原則的指引下，各國(guó)普遍主張不能以嚴(yán)格的自由流動(dòng)義務(wù)或完全禁止本地化的要求來限制主權(quán)國(guó)家出于正當(dāng)理由治理互聯(lián)網(wǎng)的能力。截至目前，已涉及32個(gè)國(guó)家的27項(xiàng)自貿(mào)協(xié)定包含了有關(guān)數(shù)據(jù)本地化的條款Chiara Del Giovane， Janos Fcrencz， Javier López-González， “The Nature， Evolution and Potential Implications of Data Localisation Measures，” OECD Trade Policy Papers， no. 278 （November 10， 2023）： 16.。

然而，數(shù)據(jù)的本地化存儲(chǔ)并不能削減互聯(lián)網(wǎng)企業(yè)對(duì)數(shù)據(jù)的現(xiàn)實(shí)支配力。鑒于微軟、谷歌、蘋果等美國(guó)企業(yè)近乎掌控了全球數(shù)據(jù)設(shè)備終端和傳輸通道，美國(guó)傾向于將數(shù)據(jù)支配力作為數(shù)據(jù)監(jiān)管權(quán)力行使的邊界。美國(guó)司法部認(rèn)為，只要可以從美國(guó)領(lǐng)土訪問到有關(guān)數(shù)據(jù)，這些數(shù)據(jù)就屬于美國(guó)法律可以輕松“領(lǐng)土化”的地區(qū)U.S. Department of Justice， “Promoting Public Safety， Privacy， and the Rule of Law Around the World： The Purpose and Impact of the CLOUD Act”， accessed March 18， 2024， https：//www.justice.gov/d9/pages/attachments/2019/04/10/doj_cloud_act_white_paper_2019_04_10.pdf.。這無疑是對(duì)他國(guó)數(shù)據(jù)主權(quán)的否定，并為自身數(shù)據(jù)霸權(quán)的行使提供依據(jù)。

數(shù)字產(chǎn)業(yè)的強(qiáng)大競(jìng)爭(zhēng)力疊加CLOUD法案的“數(shù)據(jù)控制者標(biāo)準(zhǔn)”，致使美國(guó)政府的數(shù)據(jù)調(diào)取之手可方便地延伸到國(guó)境之外，實(shí)現(xiàn)了“境內(nèi)外一盤棋”。從尋求國(guó)家間司法協(xié)助到要求企業(yè)提供數(shù)據(jù)，數(shù)據(jù)提供主體的轉(zhuǎn)變極大地減少了美國(guó)獲取域外數(shù)據(jù)的阻力。加之調(diào)取全球數(shù)據(jù)的干涉性追求，美國(guó)數(shù)據(jù)法存在恣意濫用的趨向，這勢(shì)必會(huì)加劇美國(guó)與他國(guó)數(shù)據(jù)管轄權(quán)的沖突，增加他國(guó)境內(nèi)存儲(chǔ)數(shù)據(jù)被動(dòng)開放的風(fēng)險(xiǎn)。在此背景下，由于缺乏與美國(guó)數(shù)字產(chǎn)業(yè)相抗衡的經(jīng)濟(jì)實(shí)力，大部分國(guó)家尤其是最不發(fā)達(dá)國(guó)家難以通過雙邊談判達(dá)成雙向數(shù)據(jù)流動(dòng)安排，只能被迫遵循CLOUD法案的“適格外國(guó)政府”標(biāo)準(zhǔn)和美國(guó)政府的審查。

歐盟數(shù)據(jù)法雖致力于內(nèi)部市場(chǎng)的統(tǒng)一化建設(shè)，但也存在侵犯他國(guó)數(shù)據(jù)主權(quán)的隱憂問題。例如，歐盟在《電子證據(jù)條例（草案）》中規(guī)定了與美國(guó)CLOUD法案相似的“數(shù)據(jù)控制者義務(wù)”，以期單方面獲取域外數(shù)據(jù)European Commission， “Proposal for a Regulation of the European Parliament and of the Council on European Production and Preservation Orders for electronic evidence in criminal matters，” accessed March 18， 2024， https：//eur-lex.europa.eu/legal-content/EN/TXT/？qid=1524129181403amp;uri=COM：2018：225：FIN.。另外，GDPR的域外適用以數(shù)據(jù)行為構(gòu)成“設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)”或“目標(biāo)指向標(biāo)準(zhǔn)”為要件，但面對(duì)紛繁復(fù)雜且日新月異的網(wǎng)絡(luò)空間，從事實(shí)要件到構(gòu)成要件的投射過程存在高度的不確定性。例如，針對(duì)域外數(shù)據(jù)控制者提供商品或服務(wù)的行為，GDPR還要求判斷域外數(shù)據(jù)處理者是否有向歐盟數(shù)據(jù)主體提供商品、服務(wù)的主觀目的。對(duì)此，歐盟數(shù)據(jù)保護(hù)委員會(huì)認(rèn)為，應(yīng)結(jié)合具體的案件事實(shí)加以判斷，并綜合考慮其他因素European Data Protection Board， Guidelines 3/2018 on the territorial scope of the GDPR （Article 3）， https：//www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_en， November 12， 2019： 7.。由于立法措辭的模糊性，歐盟執(zhí)法機(jī)關(guān)或法院可以在實(shí)踐中放寬境內(nèi)主體與域外數(shù)據(jù)處理行為的實(shí)際聯(lián)系要求，采取相關(guān)措施，進(jìn)而影響他國(guó)的監(jiān)管自主性。

（二）抬高企業(yè)全球經(jīng)營(yíng)的合規(guī)門檻

近年來，歐盟數(shù)據(jù)立法不斷更新迭代，對(duì)公民數(shù)據(jù)權(quán)利的保護(hù)力度漸次加大。通過數(shù)據(jù)法域外適用，歐盟能夠塑造其他國(guó)家及市場(chǎng)行為主體的議程設(shè)置和偏好界定，進(jìn)而重塑各國(guó)的相對(duì)優(yōu)勢(shì)與國(guó)際競(jìng)爭(zhēng)格局。例如，高標(biāo)準(zhǔn)的權(quán)利保護(hù)搭配數(shù)據(jù)法的域外適用，容易在事實(shí)上造成數(shù)據(jù)本地化的效果，即造成間接型數(shù)據(jù)本地化Organization for Economic Co-operation and Development， Data localisation trends and challenges， December 22， 2020， https：//www.oecd.org/sti/data-localisation-trends-and-challenges-7fbaed62-en.htm.，大幅增加企業(yè)的合規(guī)成本。2023年4月，歐盟依據(jù)DSA要求17個(gè)超大在線平臺(tái)和兩個(gè)超大型在線搜索引擎承擔(dān)更嚴(yán)格的平臺(tái)義務(wù)，否則相關(guān)企業(yè)將面臨全球年?duì)I業(yè)額6%的罰款 European Commission Questions and answers on the Digital Services Act， February 23， 2024， https：//ec.europa.eu/commission/presscorner/detail/en/QANDA_20_2348.。迫于巨大的監(jiān)管壓力，許多大型在線平臺(tái)開始有針對(duì)性地調(diào)整其數(shù)據(jù)合規(guī)政策。例如，TikTok推出“三葉草項(xiàng)目”，花費(fèi)12億歐元在愛爾蘭和挪威新建三個(gè)數(shù)據(jù)中心，用于存儲(chǔ)1.5億歐洲用戶的個(gè)人數(shù)據(jù)，以滿足歐盟的合規(guī)要求Beth Maundrill， “TikTok Initiates Project Clover Amid European Data Security Concerns”， accessed February 23， 2024， https：//www.infosecurity-magazine.com/news/tiktok-initiates-project-clover/.。

同時(shí)，歐盟數(shù)據(jù)法的域外適用可能加重境外企業(yè)的法律責(zé)任。在Google Spain案后，谷歌公司遵循判決結(jié)果，有針對(duì)性地調(diào)整了在歐盟境內(nèi)的搜索程序，但歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)認(rèn)為，谷歌公司應(yīng)在全球范圍內(nèi)刪除鏈接，實(shí)現(xiàn)用戶的被遺忘權(quán)。在Schrems II案中，歐盟法院同樣認(rèn)為，無論是否在歐盟境內(nèi)，歐盟用戶的個(gè)人數(shù)據(jù)保護(hù)水平應(yīng)實(shí)質(zhì)等同Data Protection Commissioner v. Facebook Ireland Ltd， Maximillian Schrems， Case C-311/18.。為了強(qiáng)化與歐盟的實(shí)際聯(lián)系，GDPR還要求域外互聯(lián)網(wǎng)企業(yè)在歐盟境內(nèi)設(shè)立代表處General Data Protection Regulation， Chapter 4， Article 27.。相關(guān)代表處即便不進(jìn)行具體的經(jīng)營(yíng)活動(dòng)，也可以作為歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)調(diào)查執(zhí)法的對(duì)象。如此一來，歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)在依據(jù)GDPR域外效力規(guī)則認(rèn)定域外數(shù)據(jù)控制者違反歐盟數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)時(shí)，可以通過代表機(jī)構(gòu)提高執(zhí)法的有效性。

不僅如此，域外企業(yè)始終在被動(dòng)適應(yīng)歐盟的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)。隨著數(shù)據(jù)立法的完善，歐盟數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)不斷提高。為實(shí)現(xiàn)“保護(hù)性”追求，歐盟強(qiáng)勢(shì)地將其數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)全球化，從而導(dǎo)致歐盟與其他國(guó)家的數(shù)據(jù)跨境流動(dòng)合作具有較強(qiáng)的不確定性。以歐盟與美國(guó)間的數(shù)據(jù)傳輸合作為例，安全港協(xié)議（Safe Harbor）、隱私盾協(xié)議（Privacy Shield）曾于2015年和2020年被歐盟相繼宣告無效，此種反復(fù)給美國(guó)企業(yè)帶來了極大的數(shù)據(jù)合規(guī)壓力。更值得關(guān)注的是，美歐前兩次合作的失效源自歐盟法院Maximillian Schrems v. Data Protection Commissioner案和Schrems II案的判決，這意味著歐盟法院是通過司法審查的方式實(shí)現(xiàn)對(duì)數(shù)據(jù)流動(dòng)的全球監(jiān)管金晶《個(gè)人數(shù)據(jù)跨境傳輸?shù)臍W盟標(biāo)準(zhǔn)——規(guī)則建構(gòu)、司法推動(dòng)與范式擴(kuò)張》，《歐洲研究》2021年第4期，第99頁(yè)。。在這一過程中，美國(guó)更多的是在被動(dòng)地面對(duì)歐盟數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)的變化。2023年，新達(dá)成的“歐盟-美國(guó)數(shù)據(jù)隱私框架”（EU-U.S. Data Privacy Framework，以下簡(jiǎn)稱EU-U.S. DPF）協(xié)議生效，該協(xié)議是美歐第三次嘗試建立穩(wěn)定的跨大西洋數(shù)據(jù)流動(dòng)安排所作的努力。美國(guó)企業(yè)的數(shù)據(jù)合規(guī)責(zé)任再次加碼，在個(gè)人權(quán)利保護(hù)方面，框架內(nèi)企業(yè)應(yīng)向歐盟用戶告知收集數(shù)據(jù)的類型與使用的目的，給予個(gè)人訪問其數(shù)據(jù)的權(quán)利，為個(gè)人提供限制其個(gè)人數(shù)據(jù)的使用和披露的選擇和手段。與此同時(shí)，為滿足國(guó)家安全的需要，企業(yè)仍要承擔(dān)向當(dāng)局披露用戶信息或轉(zhuǎn)移給第三方的責(zé)任，相關(guān)企業(yè)還需每年向美國(guó)主管部門提供材料以證明其合規(guī)性，否則將受到美國(guó)商務(wù)部、聯(lián)邦貿(mào)易委員會(huì)（FTC）等機(jī)構(gòu)的制裁。根據(jù)附件的規(guī)定，EU-U.S. DPF還構(gòu)建了獨(dú)立的糾紛解決程序，允許歐盟個(gè)人提起仲裁，以解決“任何EU-U.S. DPF其他機(jī)制未解決的違反該框架的行為”International Trade Administration and U.S. Department of Commerce The U.S. Department of Commerce， EU-U.S. Data Privacy Framework， https：//privacyshielddev.blob.core.windows.net/publicsiteassets/Full%20Text_EU-U.S.%20DPF.pdf， April 2024， 25.。值得注意的是，EU-U.S. DPF的實(shí)施也不影響GDPR對(duì)歐盟成員國(guó)個(gè)人數(shù)據(jù)處理行為的適用性。可見，歐盟對(duì)外開展數(shù)據(jù)跨境流動(dòng)合作的前提，是域外企業(yè)充分遵守歐盟的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，并以此作為域外企業(yè)進(jìn)入歐盟市場(chǎng)的條件。而隨著歐盟數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)的提升，強(qiáng)調(diào)數(shù)據(jù)自由流動(dòng)的美國(guó)公司不得不調(diào)整原有的數(shù)據(jù)運(yùn)營(yíng)模式安怡寧、田野《數(shù)字經(jīng)濟(jì)多賽道競(jìng)爭(zhēng)的權(quán)力機(jī)制——以美國(guó)和歐盟數(shù)字經(jīng)濟(jì)政策為例》，《國(guó)際關(guān)系研究》2023年第6期，第34頁(yè)。。

四" 數(shù)據(jù)法域外適用的中國(guó)范式及其建構(gòu)路徑

2022年，我國(guó)數(shù)字經(jīng)濟(jì)規(guī)模達(dá)50.2萬億元，總量穩(wěn)居世界第二，占GDP比重提升至41.5%《國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布〈數(shù)字中國(guó)發(fā)展報(bào)告（2022年）〉》，中國(guó)網(wǎng)信網(wǎng)，2023年5月23日發(fā)布，2024年1月30日訪問，http：//www.cac.gov.cn/2023-05/22/c_1686402318492248.htm？eqid=e964285800089bd4000。，數(shù)字經(jīng)濟(jì)已成為實(shí)現(xiàn)創(chuàng)新發(fā)展、重塑國(guó)民生活的重要力量。為規(guī)范引導(dǎo)數(shù)字產(chǎn)業(yè)發(fā)展，我國(guó)現(xiàn)已出臺(tái)《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等基礎(chǔ)性法律，國(guó)內(nèi)數(shù)字經(jīng)濟(jì)治理體系和治理能力現(xiàn)代化水平顯著提升。然而，相較于歐美的數(shù)據(jù)立法，我國(guó)數(shù)據(jù)法僅有個(gè)別條款涉及域外適用，規(guī)則的體系性不足，可適用性有待提高。我國(guó)《數(shù)據(jù)安全法》第二條規(guī)定，在我國(guó)境外開展數(shù)據(jù)處理活動(dòng)，損害我國(guó)國(guó)家安全、公共利益或個(gè)體合法權(quán)益的，依法追究法律責(zé)任。在境外處理我國(guó)境內(nèi)自然人個(gè)人信息的活動(dòng)應(yīng)受《個(gè)人信息保護(hù)法》調(diào)整。同時(shí)，針對(duì)歐美數(shù)據(jù)法的不當(dāng)域外適用，我國(guó)也缺乏必要的應(yīng)對(duì)措施。對(duì)此，我國(guó)亟須在現(xiàn)有分散式立法的基礎(chǔ)上，省思數(shù)據(jù)法域外適用體系的中國(guó)范式。

（一）構(gòu)建我國(guó)“能動(dòng)回應(yīng)型”數(shù)據(jù)法域外適用體系

1.秉持“能動(dòng)性”姿態(tài)

美國(guó)數(shù)據(jù)法域外適用體系的“外向性”姿態(tài)與其互聯(lián)網(wǎng)企業(yè)在全球的產(chǎn)業(yè)優(yōu)勢(shì)密切相關(guān)，歐盟的“內(nèi)向性”姿態(tài)則是其加強(qiáng)內(nèi)部數(shù)字市場(chǎng)統(tǒng)一化監(jiān)管的結(jié)果。相比之下，我國(guó)數(shù)字產(chǎn)業(yè)的發(fā)展兼具歐美的特點(diǎn)。一方面，我國(guó)數(shù)字市場(chǎng)日新月異，但互聯(lián)網(wǎng)企業(yè)的經(jīng)營(yíng)行為仍需加強(qiáng)規(guī)范引導(dǎo)。2021年，在對(duì)滴滴公司的網(wǎng)絡(luò)安全審查中，國(guó)家網(wǎng)信辦查明滴滴公司存在違法收集用戶手機(jī)相冊(cè)中的信息、人臉識(shí)別信息、乘客地址信息等16項(xiàng)違法事實(shí)《國(guó)家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人就對(duì)滴滴全球股份有限公司依法作出網(wǎng)絡(luò)安全審查相關(guān)行政處罰的決定答記者問》，中國(guó)網(wǎng)信網(wǎng)，2022年7月21日發(fā)布，2023年12月24日訪問，http：//www.cac.gov.cn/2022-07/21/c_16600215343064976.htm。。在國(guó)家安全領(lǐng)域，2023年，我國(guó)在對(duì)美光公司進(jìn)行網(wǎng)絡(luò)安全審查時(shí)發(fā)現(xiàn)，該公司在華銷售的產(chǎn)品和提供的服務(wù)涉及對(duì)我國(guó)基礎(chǔ)設(shè)施相關(guān)關(guān)鍵信息數(shù)據(jù)的收集，存在嚴(yán)重涉外網(wǎng)絡(luò)安全隱患《美光公司在華銷售的產(chǎn)品未通過網(wǎng)絡(luò)安全審查》，中國(guó)網(wǎng)信網(wǎng)2023年5月21日發(fā)布，2023年12月24日訪問，http：//www.cac.gov.cn/2023-05/21/c_1686348043518073.htm。。另一方面，自2017年習(xí)近平總書記提出“數(shù)字絲綢之路”倡議以來，我國(guó)持續(xù)加強(qiáng)與“一帶一路”共建國(guó)家在數(shù)字經(jīng)濟(jì)前沿領(lǐng)域的合作，國(guó)內(nèi)數(shù)字產(chǎn)業(yè)的發(fā)展成果正惠及全球。當(dāng)前，我國(guó)已與17個(gè)國(guó)家簽署“數(shù)字絲綢之路”合作諒解備忘錄，與23個(gè)國(guó)家建立“絲路電商”雙邊合作機(jī)制，與周邊國(guó)家累計(jì)建設(shè)34條跨境陸纜和多條國(guó)際海纜林子涵《中國(guó)“數(shù)字絲綢之路”創(chuàng)造新機(jī)遇》，《人民日?qǐng)?bào)海外版》2022年10月10日，第10版。?！霸谀崛绽麃?，中尼兩國(guó)企業(yè)合作成立的電子商務(wù)及支付企業(yè)OPay，已成為該國(guó)最大的移動(dòng)支付網(wǎng)絡(luò)之一，擁有700萬用戶和30萬家合作商戶，每月交易額達(dá)30億美元”科菲·庫(kù)阿庫(kù)《攜手共建“數(shù)字絲綢之路”（觀點(diǎn)）》，《人民日?qǐng)?bào)》2023年5月29日，第17版。。因此，我國(guó)數(shù)據(jù)法域外適用體系的建構(gòu)應(yīng)秉承兼收并蓄的理念，積極參與全球數(shù)據(jù)治理，既要順應(yīng)引導(dǎo)本國(guó)數(shù)字市場(chǎng)發(fā)展的內(nèi)向性要求，也應(yīng)兼顧保障互聯(lián)網(wǎng)企業(yè)走出去的外向性需要，保護(hù)企業(yè)的海外合法權(quán)益，推動(dòng)“數(shù)字絲綢之路”的高質(zhì)量發(fā)展。

2.致力“應(yīng)對(duì)性”追求

一方面，應(yīng)對(duì)域外數(shù)據(jù)控制者的不當(dāng)行為影響，維護(hù)國(guó)家安全、公共利益與公民權(quán)益。在實(shí)踐中，以逐利為目的的數(shù)據(jù)控制者存在過度收集、使用和處理數(shù)據(jù)的傾向。對(duì)此，我國(guó)近年來不斷完善數(shù)據(jù)法律體系，總結(jié)數(shù)據(jù)治理的中國(guó)經(jīng)驗(yàn)。不同于歐盟以人格與身份為核心的“保護(hù)性”數(shù)據(jù)立法，我國(guó)《個(gè)人信息保護(hù)法》更加具有實(shí)用主義的特點(diǎn)，其保護(hù)的法益涵蓋了人格與人身財(cái)產(chǎn)安全等多項(xiàng)權(quán)益丁曉東《〈個(gè)人信息保護(hù)法〉的比較法重思：中國(guó)道路與解釋原理》，《華東政法大學(xué)學(xué)報(bào)》2022年第2期，第73頁(yè)。。同時(shí)，作為發(fā)展中國(guó)家，我國(guó)強(qiáng)調(diào)數(shù)據(jù)的跨境流動(dòng)不能有損國(guó)家安全。在此基礎(chǔ)上，我國(guó)應(yīng)協(xié)調(diào)內(nèi)外部數(shù)據(jù)市場(chǎng)，探尋中國(guó)特色數(shù)據(jù)法域外效力的系統(tǒng)性延伸方案。不僅如此，通過完善數(shù)據(jù)法域外適用體系，我國(guó)亦可與全球數(shù)據(jù)治理建立內(nèi)外聯(lián)動(dòng)模式，推動(dòng)數(shù)據(jù)流動(dòng)國(guó)際規(guī)則的形成，為全球數(shù)據(jù)治理貢獻(xiàn)中國(guó)方案。

另一方面，主動(dòng)解決外國(guó)數(shù)據(jù)法域外效力規(guī)則的濫用問題，積極有效地應(yīng)對(duì)外部風(fēng)險(xiǎn)挑戰(zhàn)。習(xí)近平指出，在信息領(lǐng)域沒有雙重標(biāo)準(zhǔn)，各國(guó)都有權(quán)維護(hù)自己的信息安全，不能犧牲別國(guó)安全謀求自身所謂絕對(duì)安全習(xí)近平《弘揚(yáng)傳統(tǒng)友好 共譜合作新篇——在巴西國(guó)會(huì)的演講》（2014年7月16日，巴西利亞），《人民日?qǐng)?bào)》2014年7月18日，第3版。。我國(guó)于2020年提出《全球數(shù)據(jù)安全倡議》，呼吁“各國(guó)應(yīng)尊重他國(guó)主權(quán)、司法管轄權(quán)和對(duì)數(shù)據(jù)的安全管理權(quán)，未經(jīng)他國(guó)法律允許不得直接向企業(yè)或個(gè)人獲取位于他國(guó)的數(shù)據(jù)”《全球數(shù)據(jù)安全倡議》，《人民日?qǐng)?bào)》2020年9月9日，第16版。。然而，以美國(guó)CLOUD法案為代表的“干涉性”數(shù)據(jù)域外適用體系存在較高的濫用風(fēng)險(xiǎn)，我國(guó)應(yīng)充實(shí)數(shù)據(jù)法律工具箱，建立完善阻斷制度，賦予企業(yè)國(guó)內(nèi)救濟(jì)途徑，以避免我國(guó)境內(nèi)數(shù)據(jù)的被動(dòng)開放風(fēng)險(xiǎn)。

（二）推動(dòng)我國(guó)數(shù)據(jù)法域外效力的合理適度延伸

目前，我國(guó)《個(gè)人信息保護(hù)法》與《數(shù)據(jù)安全法》采用數(shù)據(jù)處理的“行為發(fā)生地標(biāo)準(zhǔn)”，即無論數(shù)據(jù)處理者是否在中國(guó)境內(nèi)，只要其數(shù)據(jù)處理行為發(fā)生在我國(guó)，就應(yīng)受我國(guó)數(shù)據(jù)法的調(diào)整?！靶袨榘l(fā)生地標(biāo)準(zhǔn)”看似適用范圍廣泛，但數(shù)據(jù)在傳輸過程中，可能會(huì)涉及多個(gè)位于不同位置的服務(wù)器以及遍布全球的網(wǎng)絡(luò)線路，致使在實(shí)踐中數(shù)據(jù)處理行為地難以被準(zhǔn)確認(rèn)定。同時(shí)，我國(guó)《個(gè)人信息保護(hù)法》第三條規(guī)定的具有域外效力的條件，包括“以向境內(nèi)自然人提供產(chǎn)品或服務(wù)為目的”或“分析、評(píng)估境內(nèi)自然人的行為”等情形，在表達(dá)上具有模糊性，在實(shí)踐中較難界定。對(duì)此，我國(guó)可借鑒域外立法模式，完善數(shù)據(jù)法域外效力規(guī)則。

首先，采用“設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)”的域外適用模式。相較“行為發(fā)生地標(biāo)準(zhǔn)”，歐盟數(shù)據(jù)法的“設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)”作為客觀的連接點(diǎn)，在實(shí)踐中更容易聚焦物理地點(diǎn)的關(guān)聯(lián)性。為保障數(shù)據(jù)法調(diào)整范圍的周延性，“設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)”應(yīng)包含域外企業(yè)在我國(guó)境內(nèi)設(shè)立的分支機(jī)構(gòu)或具有法人資格的子公司。

其次，吸納“目標(biāo)指向標(biāo)準(zhǔn)”作為補(bǔ)充。當(dāng)前中國(guó)網(wǎng)絡(luò)用戶人數(shù)已位居世界首位，數(shù)字經(jīng)濟(jì)規(guī)模位列全球第二，這既反映出我國(guó)數(shù)據(jù)產(chǎn)業(yè)的強(qiáng)大實(shí)力，也對(duì)數(shù)據(jù)保護(hù)提出了更高要求，因此，以效果原則為連接點(diǎn)，對(duì)擁有巨型數(shù)據(jù)市場(chǎng)的我國(guó)尤為重要。在此基礎(chǔ)上，發(fā)揮我國(guó)司法的能動(dòng)作用，也有助于提高數(shù)據(jù)法域外適用的靈活性。作為技術(shù)日新月異的新興領(lǐng)域，與數(shù)據(jù)相關(guān)糾紛的產(chǎn)生，往往也會(huì)創(chuàng)設(shè)一個(gè)部分或者全部不受規(guī)范所約束的新場(chǎng)域，沖突成為促使新規(guī)范建立的催化劑，致使新規(guī)則不斷地被創(chuàng)造、舊規(guī)則不斷地被改進(jìn)林福辰《全球治理體系變革視域下的中國(guó)國(guó)際商事法庭：功能承載與發(fā)展展望》，《四川大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版）》2024年第2期，第196頁(yè)。。因此，我國(guó)法院應(yīng)秉持能動(dòng)司法的姿態(tài)，將行為對(duì)國(guó)家安全和利益的影響作為連接點(diǎn)，探尋域外數(shù)據(jù)處理行為與我國(guó)的實(shí)際聯(lián)系方案。同時(shí)，不僅應(yīng)關(guān)注個(gè)案的審理，更應(yīng)積極評(píng)估糾紛所涉及的各方利益與多元價(jià)值，分析闡釋數(shù)據(jù)跨境流動(dòng)治理的中國(guó)立場(chǎng)。

再次，我國(guó)數(shù)據(jù)法域外適用體系的建構(gòu)應(yīng)堅(jiān)守國(guó)際法治軌道。美國(guó)“外向干涉型”數(shù)據(jù)法域外適用體系是“美國(guó)優(yōu)先”理念下的產(chǎn)物，存在濫用傾向。因此，我國(guó)應(yīng)防范美國(guó)CLOUD法案不當(dāng)適用所引發(fā)的消極影響，而不是將“數(shù)據(jù)控制者標(biāo)準(zhǔn)”作為借鑒模板。構(gòu)建我國(guó)域外適用的法律體系，應(yīng)以得到國(guó)際法認(rèn)可的管轄原則或與相關(guān)國(guó)家締結(jié)的國(guó)際條約作為依據(jù)，從而與美式“長(zhǎng)臂管轄”劃清界限。如出現(xiàn)法律沖突，應(yīng)秉持多邊主義，考慮其他國(guó)家的合理利益與關(guān)切，通過協(xié)商談判予以妥善解決。

（三）完善外國(guó)數(shù)據(jù)法不當(dāng)域外適用的阻斷機(jī)制

我國(guó)《數(shù)據(jù)安全法》第三十六條規(guī)定，非經(jīng)我國(guó)主管機(jī)關(guān)批準(zhǔn)，境內(nèi)主體不得向外國(guó)司法或執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于我國(guó)境內(nèi)的數(shù)據(jù)。然而，在外國(guó)強(qiáng)制數(shù)據(jù)調(diào)取的證據(jù)開示要求和我國(guó)數(shù)據(jù)監(jiān)管的雙重壓力下，企業(yè)履行任何一方的義務(wù)都會(huì)遭到另一方的懲罰，進(jìn)而陷入左右為難的境地。為避免給企業(yè)帶來不必要的合規(guī)義務(wù)，衡平關(guān)鍵數(shù)據(jù)本地化監(jiān)管與外國(guó)數(shù)據(jù)披露要求的內(nèi)在張力，成為當(dāng)前亟待解決的問題。

針對(duì)外國(guó)數(shù)據(jù)法的不當(dāng)域外適用，我國(guó)應(yīng)完善阻斷立法，豐富企業(yè)救濟(jì)途徑。通常而言，阻斷法是指在管轄權(quán)沖突的情況下，禁止在本國(guó)管轄范圍內(nèi)適用外國(guó)具有域外效力的法律并消除其影響的一類國(guó)內(nèi)法的統(tǒng)稱葉研《歐盟〈阻斷法案〉述評(píng)與啟示》，《太平洋學(xué)報(bào)》2020年第3期，第53頁(yè)。。廣義的阻斷法包含了應(yīng)對(duì)不當(dāng)域外證據(jù)開示的法律，以及應(yīng)對(duì)次級(jí)經(jīng)濟(jì)制裁的法律徐偉功《論次級(jí)經(jīng)濟(jì)制裁之阻斷立法》，《法商研究》2021年第2期，第188頁(yè)。。目前，我國(guó)《阻斷外國(guó)法律與措施不當(dāng)域外適用辦法》（以下簡(jiǎn)稱《阻斷辦法》）的適用前提僅限于在“違反國(guó)際法和國(guó)際關(guān)系基本準(zhǔn)則”的條件下，不當(dāng)禁止或者限制我國(guó)主體與第三國(guó)（地區(qū)）進(jìn)行正常的經(jīng)貿(mào)及相關(guān)活動(dòng)的情形，即針對(duì)次級(jí)制裁的阻斷，無法涵蓋外國(guó)濫用數(shù)據(jù)法域外效力規(guī)則要求數(shù)據(jù)控制者開示證據(jù)的情形。因此，在《阻斷辦法》基礎(chǔ)上，我國(guó)可從公力阻斷與私人救濟(jì)兩方面建構(gòu)數(shù)據(jù)法阻斷規(guī)則。其一，以美國(guó)CLOUD法案為代表的數(shù)據(jù)法域外效力規(guī)則，本質(zhì)上是借助單邊手段獲取電子化的司法證據(jù)，符合廣義阻斷語(yǔ)境下的損害他國(guó)司法主權(quán)的取證情形。對(duì)此，法國(guó)2022年修訂的《阻斷法》，明確企業(yè)在面對(duì)外國(guó)數(shù)據(jù)披露要求時(shí)，有向法國(guó)政府報(bào)告的義務(wù)French Law No. 2022-207.。目前我國(guó)《阻斷辦法》的法律位階偏低，考慮到外國(guó)數(shù)據(jù)法不當(dāng)域外適用的現(xiàn)實(shí)威脅，應(yīng)打破《阻斷辦法》規(guī)則供給不足及法律位階低的掣肘，推動(dòng)制定《阻斷法》王淑敏、李倩雨《中國(guó)阻斷美國(guó)次級(jí)制裁的最新立法及其完善》，《國(guó)際商務(wù)研究》2021年第4期，第27頁(yè)；郭爍《云存儲(chǔ)的數(shù)據(jù)主權(quán)維護(hù)——以阻斷法案規(guī)制“長(zhǎng)臂管轄”為例》，《中國(guó)法律評(píng)論》2022年第6期，第81頁(yè)。，并將外國(guó)數(shù)據(jù)法不當(dāng)域外適用所涉及的證據(jù)開示納入阻斷范圍。同時(shí)，考慮到數(shù)據(jù)無邊界的屬性，數(shù)據(jù)傳輸阻斷禁令的申請(qǐng)主體可由“中國(guó)公民、法人或者其他組織”，擴(kuò)展為“在中國(guó)有經(jīng)常居所地的公民和在中國(guó)有營(yíng)業(yè)地的法人或者其他組織”。其二，拓展私人救濟(jì)途徑，突破企業(yè)的“兩難困境”。《阻斷辦法》第十一條規(guī)定，我國(guó)企業(yè)因未遵守外國(guó)法律受到重大損失的，我國(guó)政府可以根據(jù)具體情況給予必要的支持。針對(duì)數(shù)據(jù)產(chǎn)業(yè)的特殊性和敏感性，我國(guó)應(yīng)細(xì)化企業(yè)申請(qǐng)政府支持的標(biāo)準(zhǔn)以及政府提供補(bǔ)償?shù)男问健?023年9月，我國(guó)頒布《外國(guó)國(guó)家豁免法》，其第四條授權(quán)我國(guó)法院在特定情形下管轄以外國(guó)國(guó)家為被告的民事案件。在此背景下，我國(guó)應(yīng)完善追償程序，明確追索求償訴訟的請(qǐng)求權(quán)基礎(chǔ)和案件的管轄范圍，準(zhǔn)許因外國(guó)濫用數(shù)據(jù)法域外效力規(guī)則而遭受損失的我國(guó)自然人、法人或者其他組織在國(guó)內(nèi)法院起訴并要求賠償。

［責(zé)任編輯：蘇雪梅］