個人數據跨境傳輸中域外立法管轄權的適用研究

李芷馨

（北京師范大學 法學院，北京 100875）

一、問題的提出

于2018 年落下帷幕的“微軟訴美國跨境數據索取案”（Microsoft Corp.v.United States）①國外相關報道文字中也常用“微軟愛爾蘭案”（Microsoft Ireland case）來指代此案。首次將域外管轄引入了個人數據跨境傳輸領域，該案背景如下。在一起發生在美國的毒品走私案中，美國聯邦調查局（FBI）意欲獲取由微軟公司存儲的關鍵電子證據（該案中為電子郵件），而后者認為該電子證據存儲于愛爾蘭境內的數據庫，美國政府無權使用數據調用指令要求其披露用戶數據。雙方因此產生嚴重分歧，微軟公司作為原告正式起訴。一審法院認為，依據美國的存儲通信法案（the Stored Communication Act，以下簡稱SCA），數據位于何國境內并不重要，關鍵在于該數據由何國企業控制，故微軟公司必須披露其控制的涉訴數據，而不受國境的限制。②《存儲通信法案》（Stored Communication Act, SCA）是美國執法機構強制個人或企業披露私人電子通信數據所依據的重要法律，其核心在于嚴格限定境外獲取美國境內數據的行為及對象，但并未對美國索取境外數據的行為及對象給出明確標準。See 18 U.S.C.§2702-2703, §2711（4）。與此截然不同的是，當案件進入二審程序后，曼哈頓巡回法院推翻了上述論斷，認為美國政府要求提供的電子郵件屬于用戶的隱私而非SCA 所謂的“記錄”，并且涉案數據存儲在愛爾蘭境內，故該案具有涉外性，涉訴數據必受一國主權管轄，美國政府只可通過涉外司法協助的方式取得。同時，上訴法院認為，根據美國的立法慣例，國會立法的效力僅僅及于美國境內，除非在立法中存在著明顯相反的表述。一審法院審判的法律依據SCA并無相反表述，因此其不具有適用于境外的效力，與之相關的數據調用指令因本案涉外的性質而無效。①梁坤：《美國〈澄清合法使用境外數據法〉背景闡釋》，《國家檢察官學院學報》2018年第5期，第157頁。

作為回應，美國司法部向美國最高法院提出上訴，而在美國最高法院審理期間，美國國會通過了澄清境外合法使用數據法（以下簡稱CLOUD 法案），該法案修訂了SCA。美國最高法院依據新的“數據控制者標準”，撤銷了曼哈頓巡回法院的判決。不久后，歐盟也推出了針對個人數據跨境傳輸領域相關問題的立法，即《通用數據保護條例》（以下簡稱為GDPR 法案）。自此，通過創設國內法依據，在個人數據跨境傳輸領域拓展域外立法管轄權，以維護國家安全為由，搶占數據信息市場的國家實踐開始頻繁出現。

誠然，常設國際法院在“荷花號案”中認為，立法管轄權的行使規則是“法無禁止則許可”。②See “Lotus”（France v.Turkey）, 1927 PCIJ Series A10, Judgment of 7 September 1927, p.18-19.這意味著國際法給予了主權國家廣泛的自由裁量權，且并不禁止其將自身國內法適用到領域之外（territorial），除非這種適用本身被國際法禁止性規定排除。實際上，這里的但書規則的效果是十分有限的，在國際法中，對主權國家域外立法的禁止性規定非常罕見，③例如WTO上訴機構在DS 58: US - Shrimp案中認為，盡管美國對蝦和蝦產品的進口禁令是與保護可耗盡的自然資源有關，但由于該瀕危物種法對外國作出的具體政策決定產生了實際上的強制作用，因此該禁令構成對WTO 成員方“任意和不合理”的歧視，故不滿足GATT第20條一般例外條款序言中的構成要件。更多是通過聯合國大會決議中的“建議”“譴責”的方式體現，但這些行動并非國際法院規約第38條中的國際法淵源，故并不具有強制力。大國往往以“荷花號案”及之后經過反復的國家實踐和不斷形成的法律確信來佐證這一習慣國際法的形成，意欲為其濫用域外立法管轄權的行為尋找正當性基礎。但顯然這些國家只考慮到了自己的利益，而忽視了對他國領域內事務形成干涉的實質效果，這種做法是否符合國際法基本原則，成為需要探索的問題之一。

具體到個人數據跨境傳輸領域，上述案件中的爭議點在于，SCA 法案是否能夠收集存儲在境外的電子數據，即能否依據SCA法案中的長臂條款，對“存儲在境外，但被境內實體實際控制”的數據行使管轄權。該案很好地展現了當前數據出境與域外取證間的尖銳矛盾，并隨之引發了在域外立法管轄中的相關問題與思考。④See Privacy-Stored Communications Act-Second Circuit Holds the Government Cannot Compel An Internet Service Provider to Produce Information Stored Overseas.Microsoft Corp.v.United States, 829 F.3d 197（2d Cir.2016）,130 Harv.L.Rev.769（2016）.域外立法管轄權延伸至個人數據跨境傳輸領域的做法，及時回應了當前司法實踐中對數據獲取的現實需求。但對于堅持“數據主權”原則的國家來說，這種適用恰恰污染了個人數據跨境傳輸這片“凈土”，既與傳統“屬地管轄”做法不符，又違背了國際禮讓原則，其體現出來的正當性與非正當性之爭，以及如何探索符合各方利益的域外立法管轄制度，恰是本文探討的重點。

二、個人數據跨境傳輸中域外立法管轄權的適用路徑

主權國家如何確定域外立法管轄權，是牽涉國際法律規范、外交禮儀等因素的復雜問題，故絕大多數國家會對其形成和適用持克制態度。①江國青：《演變中的國際法問題》，法律出版社，2002，第55頁。但在個人數據跨境傳輸領域，由于資源稀缺，不乏在霸權主義和單邊思想指導下反其道而行之的國家，其將國內法中跨法域管轄的實踐延伸至跨國事務中，對域外立法管轄制度進行隨意的“長臂化”改造，單方面將國內法的適用范圍強行擴展到全球之中。

（一）美國的適用路徑：全球化擴張屬人管轄模式

美國的數據保障體系奉行的仍是“霸權”和“強權”的美式政治傳統，即對外宣稱應該在全球實現數據和信息的自由流動與利用，但只準他國的數據和信息流入美國，不準美國的數據和信息流入他國。通過參與APEC“跨境隱私規則體系”（CBPR）的方式，美國不斷深化和鞏固自己作為全球最大數據流入國的地位。結合CLOUD 法案中確立的“數據控制者標準”來看，美國已經完成了自己對全球數據市場管轄的進一步擴張，傳統的屬地管轄原則失去了作用，可以說，只要是美國想要參與的數據市場，該數據的管轄權就會落入美國法院的口袋。

在CLOUD 法案中，美國提出了兩大數據管轄原則。其一，即便數據的儲存地不在美國本土，但只要數據的所有權被美國控制，其就擁有絕對的管轄權。其二，基于對等原則，如果外國政府想要獲取位于本國境內，但由美國政府實際控制的數據，那么當美國政府存在同樣的需求時，外國政府也必須同意。同時，美國還有權單方面關閉數據獲取通道。除此之外，CLOUD 法案的最大特征就是明確了通過數據控制者標準主張數據管轄權的原則，即只要數據的控制者（無論是企業、組織或個人）具有“美國籍”的身份，其依照SCA 規定義務所保存的任何信息的管轄權，都屬于美國，而不問該信息儲存主體的所在地。由此可知，美國從主張“美國籍”數據服務商的屬人管轄，進化到對“美國籍”數據服務商所持數據的所有權管轄，并最終實現“美國籍”數據服務商所在國的數據主權管轄。這無疑是濫用數據技術優勢和域外立法管轄權，間接搶占他國數據信息市場的行為，是對他國獨立主權的嚴重干預。但歸根結底，這是一種管轄權在數據領域的不當延伸行為。

但是，針對美國本土的數據，美國又主張適用屬地原則。即只要數據服務提供商注冊地在美國，或者數據服務提供商的數據儲存在美國本土，美國就具有當然的數據管轄權。為了不讓外國政府獲取美國本土的數據和信息，美國政府嚴格限制本土數據服務提供商的對外數據提供行為，以確保屬地管轄原則的適用。另一方面，美國政府還會嚴格監控外國數據服務提供商的美國“登陸”行為，對在美發展的數據行業巨頭紛紛采取打壓和限制策略。例如，華為公司就被美國貼上了負面標簽，認為其是我國施行霸權主義的工具，有礙美國數據市場管轄的單一性，必須依據屬地管轄原則予以嚴厲驅逐。

（二）歐盟的適用路徑：區域內效果管轄模式

與美國類似，歐盟也在2018年跟進了數據信息的保護立法，推出了GDPR法案，其最大特征為在數據跨境傳輸規范中添加了個人數據信息保護的標準。GDPR 法案一方面為出境數據設定了最低保護標準，另一方面實現了歐盟數據保護的域外擴張。根據歐盟的數據保護立法設想，GDPR 法案的適用范圍不是無邊界的，一旦跨出法案的適用范圍，就會產生不受拘束、無限制使用的數據風險。因此，在歐盟的數據保護立法模式中，數據傳輸和流動行為原則上是被禁止的，只有當出現法案第五章規定的特別情形時，才允許數據信息的個別跨境傳輸。易言之，“原則上禁止+例外中許可”構成了歐盟數據保護立法的基本架構。

在GDPR 法案中，無論是正在處理的數據，還是待傳輸后再處理的數據，也不論傳輸的主體是國家、組織還是個人，只要不能夠滿足第五章的例外規定，就禁止任何形式的數據跨境傳輸，為使自然人的基本權利不受減損提供了一種最低的和永久性的保護標準。換言之，在實踐中即使通過了歐盟的數據安全評估，出境后的數據仍然不能低于GDPR 法案設定的最低保護標準。如此一來，出境數據仍然受到歐盟的管轄，因為數據進口國仍然受制于GDPR 法案。這種基于個人基本權利的最低保護標準，實現了歐盟數據保護管轄權的變相擴張。此外，即使實際情況中滿足了第五章的例外許可規定，出口數據仍需滿足歐盟設置的合法性審查框架。①一般規定見GDPR 法案第5條至第8條，特別規定見GDPR 法案第13條第1款第f項、第14條第1款第f項、第15條第1款第c項和第2款、第28條第3款第a項、第30條第1款第d項和第e項及第2款第c項。該審查共分為兩個階段，在第一階段中，主要是以傳輸行為本身為對象，依據GDPR 法案的所有規定進行合法性審查；在第二階段中，則規定了“充分性認定”的實質審查標準，需要抽離傳輸行為本身，對數據出境目的國的數據處理規定進行特別審查，以此避免數據出口到不受GDPR 法案控制的法域或地區，從源頭上杜絕數據濫用風險的出現。②一方面需要審查數據出境目的國的數據使用和保護水平，看其是否達到了GDPR 法案要求的同等水平；另一方面需要審查數據出境目的國的法律適用和法律救濟，看其是否達到了“有效的數據保護監管”的標準。

（三）我國的適用路徑：探索兼顧安全與自由的管轄模式

相較于美國和歐盟的“進攻型”數據保護立法，我國在數據信息保護領域向來以尊重國家主權為原則，強調遵循傳統的地理國家界線，遵循合作而非對抗的數據信息執法策略。③洪延青：《“法律戰”旋渦中的執法跨境調取數據：以美國、歐盟和中國為例》，《環球法律評論》2021 年第1 期，第48頁。但是，為了有效應對國家域外立法管轄權的無限擴張，從近幾年的立法實踐來看，我國也在發生細微的轉變，一種探索式的管轄模式正在生成。

通過考察我國當前已有的數據保護立法體系可以發現，無論是跨境數據的獲取，還是防御他國的跨境數據獲取行為，我國堅持的基本立場都是國家主權不容侵犯，必須基于平等和互惠原則進行跨境數據的傳輸活動。這一立場貫穿我國的所有數據跨境傳輸立法，從《中華人民共和國數據安全法》（以下簡稱《數據安全法》），到《國際刑事司法協助法》，再到《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》），可以說立法精神一脈相承，維護國家主權的基本內核從未改變。與此同時，屬地管轄和數據本地化成為數據保護立法的兩大基本原則，只要是發生在我國境內的一切與網絡相關的活動，包括但不限于建設、維護、使用等，都受到我國法律的管轄。此外，任何在我國境內提供網絡運營的服務商，都有義務配合國家機關的刑事偵查活動，并在必要的時候提供法定協助。就數據本地化原則而言，任何在我國境內提供網絡運營的服務商，都必須將數據儲存在本地的數據儲存中心，未經主管政府部門的批準，任何個人不得擅自向境外傳輸數據與信息。事實上，早在《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）確立這兩大原則之前，我國已經在金融和保險領域進行了率先試點。例如，央行在2011 年就提出，任何銀行從業機構，在沒有取得政府批準的情況下，不得私自向境外的組織或個人，提供我國公民的個人金融信息。任何在我國境內收集的個人金融信息，后續的一切活動與行為，都有且只能在我國境內進行。①中國人民銀行《關于銀行業金融機構做好個人金融信息保護工作的通知》第六條。隨后，這一做法也開始拓展到保險領域，即我國境內的保險公司，在運營過程中收集的任何數據信息，都應當儲存在我國境內。②《保險公司開業驗收指引》第三條第九款。直至《網絡安全法》對兩大原則加以吸收，并不斷向其他領域發展壯大，網絡預約汽車收集的數據信息、出版行業收集的數據信息、電信行業收集的數據信息等，都要求遵循屬地管轄和數據本地化原則。③交通運輸部、工信部等七部委2016年聯合發布的《網絡預約出租汽車經營服務管理暫行辦法》第二十七條。

但實踐證明，我國在參與全球自由貿易的同時，往往會被卷入各種涉外訴訟之中，原告方往往以國內立法為依據，在司法過程中要求我國（作為被告）提供數據證據。例如，在2021 年結案的Cadence Design Systems Inc v.Syntronic AB, et al案中，原告在證據開示階段，根據美國《聯邦法院民事訴訟規則》，要求被告方從我國境內將24臺員工電腦提交給美國法院進行檢查。如果被告方拒絕提供，很有可能需要承擔敗訴的風險。這就需要立法者為了我國公民個人的信息保護和國家的數據信息安全，適當擴展域外立法管轄權。作為國內第一部綜合性互聯網安全保障法，《網絡安全法》周密構建了網絡空間參與者的行為規范，為其行為提供了明確的準則和依據，規定凡是在我國境內的數據服務提供商，都必須建立數據本地化儲存中心，將商業運營過程中獲得的數據統一儲存在我國境內，并且任何數據出境之前，都必須進行嚴格的數據安全評估，實現了對數據的全過程監控?？梢钥闯?，這是一種基于屬地管轄原則的數據信息保護模式，也是一種具有中國特色的數據跨境流動屬地管理模式。這一立法模式也在2021 年頒布的《個人信息保護法》中得到了延續。在司法部公布的《國際民商事司法協助常見問題解答》的調查取證部分，第八條也明確說明，④中華人民共和國司法部：《國際民商事司法協助常見問題解答》。中國境內當事人可以處于自愿，直接向外國司法機關或司法人員提交位于境內的證據材料，但前提是相關材料的出境要符合《中華人民共和國民事訴訟法》（以下簡稱《民事訴訟法》）、《數據安全法》、《個人信息保護法》的相關規定。

三、個人數據跨境傳輸中域外立法管轄權適用所存在的主要問題

當前我國主動獲取涉外數據案件管轄權的立法，以及防御他國濫用域外立法管轄權進行不合理管轄的阻斷性立法，均處于起步階段。數據案件的虛擬性、交互性與多節點性特征，使得案件與管轄地間難以建立起我國涉外案件管轄中所要求的連接點，進而使得我國的管轄權制度難以適用于涉外數據案件。

（一）現有管轄制度與個人數據跨境傳輸案件不兼容

各國涉外民事訴訟立法所采取的不同模式，有學者將其總結為單軌制和雙軌制。①在雙軌制立法模式下，涉外民事訴訟和國內民事訴訟被規定在不同的法律文本中；在單軌制立法模式下，立法機關就涉外民事訴訟和國內民事訴訟進行統一立法，對二者不加以明確的區分。劉懿彤：《我國涉外民事訴訟管轄權制度存在的問題及完善》，《法治研究》2015年第3期，第136頁?？v觀我國現有的涉外民事訴訟管轄立法，總體呈現“總—分”的分布態勢，即主體規定可見于《民事訴訟法》，只有少部分民事訴訟的內容規定在其他單行法律中。②例如《中華人民共和國審計法》第十四條、《中華人民共和國環境保護稅法》第二十二條。但民訴法規定的內容也十分有限，只有合同等其他權益糾紛，以及專屬管轄的規定。其他諸多類型的案件，都沒有納入民訴法的調整范圍。對于這些尚未明文確定的案件，只能參照民訴法的相關規定確定案件的管轄。正是由于國內立法的不完善，在與個人數據跨境傳輸案件相關的管轄制度方面，主要存在以下幾個方面的問題。

第一，現有涉外管轄制度適用范圍狹窄。有關國際民事訴訟管轄權方面的規定集中于我國的兩部法律和三部最高院司法解釋之中。③兩部法律為《中華人民共和國民事訴訟法》《中華人民共和國海事訴訟特別程序法》，三部司法解釋為《最高人民法院關于適用〈中華人民共和國民事訴訟法〉若干問題的意見》《最高人民法院關于涉外民商事案件訴訟管轄若干問題的規定》《最高人民法院關于適用〈中華人民共和國海事訴訟特別程序法〉若干問題的解釋》。除專屬管轄之外，涉外案件需要與管轄法院建立起連接點，即某些具有“最密切聯系”特征的點，如合同簽訂地等。按照傳統的管轄權原則，只要能夠識別案件的連接點，就能夠迅速定位其管轄權所在地。但是，互聯網信息技術的高速發展，使得傳統的管轄權原則陷入了巨大的困境，主要表現為數據案件管轄權與國家主權之間的沖突。即傳統的管轄權識別，以具有地域限制的國家主權為前提。但是，互聯網空間并沒有明顯的地理疆域限制和國家主權特征，以至于互聯網公司可以選擇不同的數據儲存地和服務提供地。④夏燕、沈天月：《美國CLOUD法案的實踐及其啟示》，《中國社會科學院研究生院學報》2019年第5期，第105頁。這就使得在確定涉外數據傳輸案件管轄權的過程中，很難確定具體的連接點，無法取得明確的案件單一管轄權歸屬。⑤王天恩：《信息及其基本特性的當代開顯》，《中國社會科學》2022年第1期，第101頁。正因如此，涉外數據案件時常會引起消極或積極的管轄權沖突，并且在形成不同的判決之后，難以獲得有效執行，這已經成為當前最為常見的國際法現象。

第二，個人數據保護立法缺乏統籌，法律內容缺乏體系性。當前，我國已經出臺實施了《個人信息保護法》，該法對個人數據保護做了相對集中統一的規定。但是，《個人信息保護法》并沒有涵蓋所有的個人數據保護的相關內容，仍然有大量的內容分散在各類法律法規中。根據學者的不完全統計，在我國當前的法律法規以及司法解釋中，涉及個人數據保護的至少有200多部。⑥《代表委員呼吁個人信息保護單獨立法》，《時代金融》2013年第10期，第49頁。這些法律、法規等的規定都非常原則、抽象。另外，雖然立法的數量很多，但是關于數據跨境流動的規定很少。數據跨境流動領域的法律規范供給嚴重缺乏。

第三，現行立法忽視了企業的監管責任，數據類型的劃分也缺乏科學性?，F行立法只是規定政府對數據的跨境流動進行監管，忽視了企業在其中的監管責任，既給政府增加了巨大的負擔，也不利于發揮企業監管的優勢。數據的形式多種多樣，不同的數據具有不同的屬性，需要采取不同的保護方式。但是，現行立法忽視了不同種類數據的差異，采取了單一的立法模式。

綜上所述，我國在跨境數據流動方面的立法起步較晚，立法技術不夠成熟，導致現行法律中關于數據跨境流動方面的法律規定過于簡單、原則、抽象，法律的體系性也不夠強，跨境企業難以從法律規定中得到明確的指引。

（二）個人數據跨境傳輸專門性阻斷立法缺失

為了應對他國以行使域外立法管轄權為由，屢次實施制裁行為所產生的壓力，我國于2021年6月頒布了《中華人民共和國反外國制裁法》（以下簡稱《反外國制裁法》），該法的出臺無疑給處于搖擺中的跨國企業提供了光明的未來。①劉華東：《為我國依法反制裁提供有力法治保障——就全國人大常委會通過反外國制裁法訪中國政法大學教授霍政欣》，《光明日報》2021年6月12日，第2版?！斗赐鈬撇梅ā酚?6 個條文構成，由于其并非在國際組織章程或國際條約授權下制定，其性質為單邊制裁，②《中華人民共和國反外國制裁法》第四條規定，國務院有關部門可以決定將直接或者間接參與制定、決定、實施本法第三條規定的歧視性限制措施的個人、組織列入反制清單。并且依據該法第四條的規定，其制裁對象為精準的小范圍群體，故其采用的模式為聰明制裁。③霍政欣：《〈反外國制裁法〉的國際法意涵》，《比較法研究》2021年第10期，第145—146頁。作為我國首部“反制性”立法文件，《反外國制裁法》邁出了反擊濫用域外立法管轄權的第一步，表現出立法機關構筑起針對他國“超過度管轄”防御系統的立場?？v然《反外國制裁法》的實施已成為里程碑式事件，但在實踐中由于國內對于制裁性立法的經驗與實踐不足，該法的許多條款，可操作性有所欠缺，僅僅具有宣誓的作用。

首先，該法的性質和立法宗旨并不明確，以至于后續的不少條款規范性不足，大部分條款難以在實踐中進行具體操作，僅僅具有授權的作用。具體到數據跨境傳輸領域，該法規定國務院有關部門，可以直接或者間接決定將已經或者可能采取歧視性限制措施的個人或組織列入反制清單。例如，在Tik Tok 封禁案中，我國就應該對美、印等國的封禁行為進行識別和界定，具體判斷封禁國以可能泄露國家秘密為由的封禁措施是否構成了不正當的歧視性限制。而這往往涉及對數據性質的分級、分類認定，需要從數據法的角度對其進行細化規定。④廖詩評：《〈阻斷外國法律與措施不當域外適用辦法〉的屬事適用范圍》，《國際法研究》2021年第2期，第57頁。其次，該法中規定的制裁程序也存在問題。根據國家責任條款草案第52條的規定，采取反措施的形式，對他國實施制裁需要事先通報，被制裁的國家收到通報之后有權進行談判。但是，《反外國制裁法》并沒有做出相關規定。再次，受到制裁的對象應當享有獲得救濟的權利，但是《反外國制裁法》卻剝奪了受制裁對象取得救濟的權利。⑤《中華人民共和國反外國制裁法》第七條規定，國務院有關部門依據本法第四條至第六條規定作出的決定為最終決定。在國家安全領域排除救濟的法律規定并不少見，但從國際通行的做法來看，對別的國家采取制裁措施應當符合正當程序的要求。

除去《反外國制裁法》這一新晉法律外，筆者在“北大法寶”官網上以“制裁”為關鍵詞檢索法律法規，共檢索出現行有效的法律文件共26部，包括5部司法解釋、20部部門規章及1部行業規定，經過整理與分析，形成以下表1。

表1 中國國內法中與“制裁”相關的法律文件

可以看到，我國在“制裁與反制”問題上的既有立法性文件對域外侵犯我國案件管轄權的反擊仍處于初步階段。由于五部司法解釋與本文主題無關，故在所不問，除此之外，大量文件是為了履行應當承擔的國際法義務，而執行聯合國安理會的相關制裁決議。與金融、豁免以及刑事相關的部門規章，較多涉及程序性事項，對實質性問題的回應僅是淺淺帶過或從宏觀的角度回應，這顯然難以形成我國應對實踐中存在的大量對我國不合理制裁的“防御系統”，也難以使我國作出有力反擊。由此可見，當前我國的阻斷性立法具有客觀上的滯后性特征。在網絡與數據已經成為國際交往潮流的時代，主要任務就是細化法規范中的反制措施，并在具體的法律適用和解釋中，充分把握反制措施的核心要義與精神，最大限度地保護我國公民的個人數據信息和國家的數據安全。

四、個人數據跨境傳輸中域外立法管轄權適用的未來路徑

雖然個人數據跨境傳輸仍然存在著諸多問題，但在厘清背后的原因后，還是應當進一步探索規范個人數據跨境傳輸的正當路徑，以及我國的具體應對策略。具體而言，無論是個人數據的“取”還是“防”，我國之于跨境調取個人數據的基本立場，都是國家主權不容侵犯，平等互惠合作才是解決個人信息跨境傳輸管轄爭議的必由之路。

（一）完善專項數據立法，保障國家數據主權

1.使用保護管轄權激活個人數據跨境傳輸域外效力條款

根據保護管轄權的原理，主權國家可以將那些會對本國安全利益產生影響的行為，作為國內法域外適用的合理連接點，創設國內法域外適用條款。雖然關于保護管轄權的傳統理解只局限于刑事犯罪領域，而一般不在其他領域予以適用，但是依據“荷花號案”所確立的習慣國際法規則，既然國際法沒有明確禁止保護管轄權的擴展適用，那么對其適用范圍予以適當擴張也未嘗不可。我國的《反外國制裁法》就充分吸收了這一理念，規定行政法規、部門規章以及地方政府規章，都可以就危害我國國家安全的行為設置反制措施。但是，主權、安全和發展利益，都是意含不明確的不確定法律概念，其具體內涵是什么，尚需下位法規范的進一步細化?？梢詫⑵湟曌饕环N概括性授權，并在日后的立法工作中予以重點關注。

如何激活現行法規范中的域外效力條款，為其設置相應的實施路徑至關重要，實施路徑主要存在著公法和私法兩個方向。①廖詩評：《中國法中的域外效力條款及其完善：基本理念與思路》，《中國法律評論》2022年第1期，第60頁。通常來講，當出現私主體侵害私主體權益的時候，被侵害私主體可以通過民事訴訟的方式予以救濟，這在英美法系國家中稱作“私人執法”。但是，隨著國際交往活動的日益復雜多樣，私人行為的性質已經不再簡單可辨，其不僅侵害私主體利益，往往還伴隨著對國家利益和社會公共利益的侵犯，這個時候就需要引入公法責任機制，即通過行政行為或者刑事訴訟擴張國內法的域外適用效力。例如，當存在外國人在境外危害我國國家安全的行為時，根據我國現行法的規定，可以采取公法手段對其予以制裁，即針對犯罪提起刑事訴訟程序，尚未犯罪則作出制裁的行政決定。但是，這里存在的一個問題是“如何執行相應判決和決定”，特別是當被告人或者被執行人在我國境內無可執行財產時。此時，可行的路徑無疑是引入“私人執法”模式，綜合運用公私法提供的手段，提升執行的效果。特別是可以考慮引入民事訴訟制度中的檢察公益訴訟制度，適當擴大檢察公益訴訟的受案范圍，將損害國家發展和安全利益的案件也納入其中，以便在判決生效后，通過民訴法和相關國際條約規定的司法執法協助條款，及時推動責任的落實。

2.完善國內阻斷立法

想要針對他國濫用立法管轄權的行為予以精準反擊，最有效的方式當然還是制定并完善我國的阻斷法，推動我國國內法的域外適用。但是，阻斷立法仍然需要注意以下三個問題。第一，阻卻立法會增加企業的合規成本，因而有必要進行充分的立法前評估，衡量阻斷立法的成本與收益，設置足夠的法律遵從激勵，避免成為“觀賞法”。第二，域外許多國家都制定了阻卻法，但大多效果不彰，主要原因是美國政府不承認外國阻卻立法的效力，以至于為了符合美國標準，跨國公司紛紛選擇違反內國的阻斷法。因此，有必要制定具體可執行的阻斷法，并加強法律的執行，科以違法人嚴重的違法后果。②M.J.Hodaa.The Aérospatiale Dilemma,“Why U.S.Courts Ignore Blocking Statutes and What Foreign States Can Do about It,”California Law Review, 2018, 106（3）: 231-251.第三，有必要做好阻卻立法的域外銜接，通過采納國際通行的監管標準，讓企業的合法權益得到充分保障，不至于出現“左右為難”的情況，即遵守一國阻卻立法就意味著違反另一國的監管要求。

3.數據分類化管理

20 世紀初，諸如微軟等大型互聯網公司主要出現在歐美國家。但是，隨著我國市場經濟的建立，高速騰飛的經濟助推了我國互聯網企業的誕生。以BAT為開端，近年來又誕生了諸如“字節跳動”等的新興互聯網巨頭?？梢哉f，我國的互聯網行業正在以前所未有的姿態瘋狂生長。與互聯網企業相伴而生的，自然是大量數據和信息的生產、儲存與利用。以我國龐大的網民數量為基礎，國內每個互聯網行業巨頭至少都掌握了數以億計的用戶個人數據和平臺交易信息。毫不夸張地講，用戶生產的數據就是互聯網企業得以正常運轉的石油，離開了數據，互聯網平臺無非就是一個無人問津的空殼。因此，才會出現平臺之間的搶人大戰，想盡辦法增加平臺用戶的黏性，培養用戶的平臺使用依賴。這背后的根本目的就是獲取用戶每天生產的諸多數據。

互聯網企業擁有如此龐大的數據占用量，作為監管者的政府除了擔心企業惡意收集和使用平臺用戶的個人數據信息之外，還需要擔心域外國家之于我國互聯網企業的數據索取要求。我國的互聯網企業都是跨國運營的巨頭企業，難免受到業務所在國的“屬地管轄權”要求，被迫提供平臺用戶的個人數據信息。①洪延青：《國家安全視野中的數據分類分級保護》，《中國法律評論》2021年第5期，第75頁。因此，為了避免互聯網企業中的重要數據被外國政府強制索取，我國有必要加強專項數據規則的制定，從數據的特征入手，對數據進行分級分類管理，既保證數據的充分流動，又堅定維護我國公民的個人信息安全和國家數據安全，切實維護國家的數據主權，并做好國家安全、企業經營和個人隱私三方的平衡工作，實現數據的安全有序利用，充分釋放數據的潛能。

（二）積極參與國際合作，擴大國內法域外適用范圍

1.在司法實踐中擴大聯系原則的適用范圍

應當在司法實踐中擴大聯系原則的適用范圍，其必要性理由大致有三點。其一，隨著我國成為世界第二大經濟體，越來越多的聲音出現，要求擴大司法實踐中的聯系原則適用范圍，因為這是經濟進一步發展的必然要求。通過觀察美國的域外立法管轄權發展歷程，可以發現，制度的寬與緊，大致與其經濟發展軌跡相吻合。其二，隨著全球化進程的日益加深，我國公民正在以前所未有的姿態參與境外貿易交往，這也意味著我國公民與境外人員發生的法律糾紛將會逐漸增多。擴大聯系原則的適用范圍，實際上可以為不熟悉域外國家法律的我國公民提供更加周全的利益保護途徑。②廖詩評：《中國法中的域外效力條款及其完善：基本理念與思路》，《中國法律評論》2022年第1期，第58頁。其三，與我國公民參與境外貿易一樣，當前存在著越來越多的外商來華投資行為。③國家外匯管理局國際收支分析小組：《2022年中國國際收支報告》。以聯系原則為基礎，擴大我國法院的管轄權范圍，有利于更好地保護外資利益，營造良好的國際化、法治化營商環境。

從可行性角度來說。首先，聯系原則可以成為屬地原則的補充。按照經典的民事訴訟管轄權理論，一般將被告住所地的法院，視為具有案件管轄權的法院。但是，如果非居民被告表示自己愿意遵守法院地的規則，就可以得出其服從法院地司法權威的推論。此時，再以聯系原則確定非居民被告的管轄標準，并不會與屬地原則相沖突。④張絲路：《長臂管轄效果辨正及對我國的啟示》，《甘肅社會科學》2017年第5期，第184頁。其次，我國的現有立法并不排斥聯系原則的適用。例如，《民事訴訟法》已經在被告所在地之外，確立了合同履行地等連接點，從而擴大了我國法院的管轄權范圍。最后，聯系原則不會過分擴大法院的管轄權范圍，因為“不方便管轄原則”可以有效阻擋與我國公民利益保護無涉的案件進入法院，這在我國民事訴訟法的司法解釋中就有體現。

2.加入區域性數據跨境傳輸規則體系

推動形成全球統一的數據保護規則，無疑是數據治理的理想圖景。然而，囿于主權國家之間的利益角逐，目前尚未形成這樣一個統一的數據治理規則。但是，值得欣喜的是，為了促進本地區個人數據信息的自由流動和利用，實現區域經濟的高速發展，各個區域性國際組織正在不斷推動這一工作向前發展。例如，亞太經合組織（APEC）就在2012年推出了CBPR。①弓永欽：《歐盟數據隱私新規則對我國“涉歐”數字企業的影響及應對》，《國際經濟合作》2019 年第2 期，第78頁。這一規則體系的最大特征就是，法律規制與行業自治并行不悖。具有家族親緣性特征的CBPR 和“有約束力的公司規則”（BCR），自然也走上了合作與對接之路。雖然目前還未進入歐盟認可的行列，但作為區域性隱私保護規則的一個標桿，CBPR 遲早會獲得歐盟的認可。屆時，所有加入CBPR 的國家，就能夠順利獲得歐盟的認可和保護。因為根據GDPR 法案的規定，只要一個國家選擇加入某個隱私規則體系，就可以視作其具有了充分的、與該規則體系相當的隱私保護水平。具體到我國而言，如果想要參與全球統一數據保護規則體系的建構，較為現實的辦法就是申請加入CBPR，著手全面提升我國的數據保護水平。

結語

互聯網時代的到來，使得各主權國家看到了數據這一稀缺資源的價值所在。同時，隨著跨境數據傳輸逐漸成為國際社會交往不可或缺的環節之一，如何最大化以及最便捷地獲取數據，已經成為各國維護非傳統安全領域中主權利益的重要工作。因此，許多數據大國做出了新的嘗試，以制定國內法拓展域外立法管轄權，CLOUD法案和GDPR法案即為最亮眼的實踐范式。雖然二者的目的均為擴張域外管轄權，以及時攫取全球數據資源，但是二者的立法價值卻迥然不同。其中，美國以效率至上，追求便利與經濟；歐盟則以人權至上，追求對基本權利的保護。需要注意的是，這些價值追求并非其濫用域外立法管轄權的合法依據。面對他國日漸完備的立法和無端數據制裁，我國也應當反思自身存在的問題，汲取他國法律制度的優勢，積極構建制裁防御體系，同時完善自身的域外管轄體制。

通過分析我國的個人數據跨境傳輸法治現狀可知，在面對他國無端數據制裁和無理數據管轄時，我國仍處于被動應對之勢。若想在短時間內應對他國在數據跨境傳輸領域中的威脅并構建起自身的有效管轄制度，最佳的途徑應該是學習借鑒歐盟與美國的規制方法，同時分步推進國內的規制實踐，根據實踐效果確立最合適的個人數據跨境傳輸規制模式。一方面，我國應當完善自身立法，建立起能夠適應個人數據跨境傳輸特征的涉外管轄制度，同時加快阻卻立法在數據領域的細化。另一方面，我國應當積極參與國際合作，適當擴張國內法的域外適用范圍，充分發揮我國法院的管轄能動性。