論域外數據執法管轄權的單方擴張

邵懌

摘 要：當前，數據基于網絡媒介的跨境流動與存儲成為常態，這造成了數據來源地與儲存地的割裂、數據控制者與所有者的分離、以及數據管轄權與治理權的模糊。考慮到數據之于國家安全與公民隱私的重要價值，面對上述困境，部分國家或區域間組織以立法為背書，針對域外數據加以了擴張性的執法管轄權行使。這其中以美國與歐盟的模式最具代表性與影響力，前者立足于刑事執法管轄權的域外行使，強調對于域外數據的獲取由“數據儲存地”向“數據控制者”的轉變;后者側重于行政機構的域外直接執法，包括行政處罰、強制等，以實現對域外數據相關主體的直接管控。為應對、監測、防御與處置境外數據風險與威脅，架構執法管轄權域外行使的“中國模式”應是我國下一階段數據立法的重點所在，并且這一模式的構建應當在兼顧管轄擴張與網絡主權的基礎之上，以數據本土化為防御措施，以數據控制者管轄為戰略對沖，進而實現國家對數據的最高控制權。

關鍵詞：執法管轄權;跨境數據流動;數據主權;司法管轄權

中圖分類號：DF49 文獻標識碼：A 文章編號：0257-5833（2020）10-0119-11

作者簡介：邵 懌，北京化工大學文法學院講師 （北京 100020）

當前，數據的跨境流動已經愈發成為常態，這種常態也帶來了兩方面的隱憂：首先，數據的流動并非是國家間的均勻流動，而是由發展中國家流入發達國家的態勢;其次，大數據與云計算的發展也使得數據的跨境儲存逐漸成為常態，數據的儲存地與數據所有者往往會位于不同的主權領土之內，這種跨境數據流動帶來的最為直接的后果便是數據所有權與執法權的逐漸分離，以及數據管轄權的碎片化與治理主體的不確定化。考慮到數據之于國家安全、數據主權以及個人隱私權的重要價值，為了更好地掌控域外數據，同時對數據控制者與處理者加以直接規范，部分國家開始以擴張的姿態來對域外數據行使執法管轄權，開始以立法管轄為背書，將域外數據及相關主體單方納入本國司法與行政部門管轄之下，但由于缺少健全的全球性跨境數據流動規范與機制，這種依托于網絡技術與市場規模優勢的單方擴張往往建立在對他國網絡主權與數據安全的侵害之上。

一、域外數據執法管轄權行使的當前樣態

當前，“云儲存”與大數據的發展一方面加劇了數據跨境流動的常態化趨勢，另一方面也對執法管轄權的域外行使提出了更為迫切的轉型需求。這種需求建立在執法管轄權所具有的兩個先天性優勢之上：首先，程序的便利性，執法管轄權的域外行使不同于司法管轄權，不存在與他國管轄權沖突以及爭訴的情況，并且在充分利用網絡的信息媒介功能與數據的流動屬性的基礎上，單一的行政主體便可完整覆蓋管轄的全部程序。同時，包括域外數據調查與取證在內的執法管轄權行使也為司法管轄權的域外行使提供了便利，直接賦予了長臂管轄權網絡行使的可能，并且這一便利也隨著“云儲存”的發展被加以空前的放大。其次，結果的可預測性，執法管轄權不同于司法管轄權的域外行使需要考慮本國法的域外適用問題，執法管轄權往往基于確定的國內法或國際性公約，尤其是在擴張性數據立法成為普遍趨勢的大背景之下，執法管轄權往往建立在針對性的專門立法之上，可預測性與可期待性也進一步得到了加強，而這種確定性又會進一步推動程序的簡化以及效率的提升，進而形成一個連續性的內部“良性”循環。

（一）擴張性數據立法的國際樣態

執法管轄權（enforcement jurisdiction）其首先是管轄權“jurisdiction”的下位概念，與其平行的概念還包括有：立法管轄（legislative jurisdiction）與司法管轄（judicial jurisdiction）。作為管轄權的一種，關于執法管轄權的定義，目前得到普遍認同的為：國家有權通過法庭或執行（executive）行為、行政行為、警察或其他非司法行為（non-judicial action）來誘導（induce）或強迫守法與懲罰違法，針對的是其一國領土內，或者領土之外但具有本國國籍的對象。當管轄權的行使超出了一國的領土范圍，則會引發域外管轄的問題，域外管轄是一國將其法律的適用范圍或其司法和行政管轄范圍擴展至該國領土以外。一國在其領土之外亦可行使立法、司法以及執法三種類型的管轄權，考慮到域外執法管轄（extraterritorial enforcement jurisdiction）是所有管轄權中最具侵略性的（intrusive），因此，其行使通常會受到極大的限制，一國非因國際習慣或公約的寬容性規則（permissive rule），不得在其領土之外行使執法權力。但執法管轄權作為域內權力，其域外的行使也并非全然禁止，首先需基于特定的管轄規則，包括屬人管轄、保護管轄以及普遍管轄，其次亦需要經過他國的同意。此外，雖然當前對于執法管轄權的域外行使并沒有一個明確的權力清單，但可粗略地歸納為以下四個類型，包括：在他國領土之上直接行使武力;通過國與國之間的雙邊或多邊條約機制賦權的行政執法;以“商業國家”（l'Etat Commerant）的身份進行刑事、行政或者財政調查;國家間的司法協助，包括引渡、合法移交以及司法互助協定。域外執法管轄權既有獨立性價值，亦有輔助性價值，獨立性價值體現在其對于相關域外主體的直接行政執法，包括處罰、強制等，針對的可以是民事、刑事以及行政三方的事項。而輔助性價值在于司法協助功能，包括調查、逮捕、執行判決或司法程序等，這些程序是司法管轄權域外行使所基于的先決條件。

然而，當傳統的執法管轄權直接規制無邊界的網絡空間與無形的網絡數據，則無法回避來自跨境數據流動（Transborder Data Flow）的挑戰。數據的流動性為也“域內”與“域外”的區分帶來了一定的難度，這一區分服務于執法調查（law enforcement investigations）的行使。對于何為“域外”，當前得到較多接受的觀點是儲存地模式，即：對于一國而言，其依據屬地管轄無法獲取的數據都可以被視為“域外數據”。結合上文介紹，針對域外數據，執法管轄權的行使是可以從傳統國際法理論中得到合法性支持與背書，然而，傳統管轄模式并沒有預期到互聯網技術的高速發展以及其對于效率與可預測性的相關需求。面對常態化的跨境數據流動，傳統管轄規則出現了嚴重的“水土不服”，為此，構建脫離乃至突破傳統規則的域外數據執法管轄新模式便具有了迫切的現實需求。截止2020年，以“七國集團”為對象，目前只有俄羅斯一國沒有明確本國執法管轄權對域外數據及相關主體的行使，如果把對象擴張到“二十國集團”，也只有俄羅斯、澳大利亞、沙特阿拉伯的相關立法處于空白狀態，除了我國以外，其余各國相關實踐與立法可參照下表。

若對上述國家的立法條款加以分析與比照，同時結合上述執法管轄權域外行使的四個傳統路徑，我們又可以將上述十六個國家大致分為兩個主要類別，分別是：一是針對傳統“公約機制”的突破，代表性立法為歐盟《一般數據保護條例》;二是針對國家間“司法協助”模式的突破，代表性立法為美國《域外數據澄清法案》。

（二）我國的立法實踐與學術研究現狀

反觀我國的相關實踐與研究，首先，就當前的數據立法而言，依舊處于起步階段，2016年通過的《網絡安全法》以及于2020年6月頒布的《數據安全法（草案）》已經開始嘗試為域外數據執法管轄行使的中國模式提供法律背書。這一背書主要體現在以下兩個方面：第一，在《網絡安全法》第5條明確規定：“監測、防御、處置來源于中華人民共和國境內外的數據安全風險和威脅”。《數據安全法》第2條規定：“中華人民共和國境外的組織、個人開展數據活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的，依法追究法律責任。”上述表述實際上肯定了相關立法的域外效力與適用，為域外執法管轄權的行使提供了合法性的支持。第二，在《網絡安全法》第74條規定：“有關部門依照相關法律、行政法規的規定，根據情節給予公開曝光、沒收違法所得、暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或吊銷營業執照等處罰;構成犯罪的，依法追究刑事責任”。《數據安全法草案》第42條也規定了對開展數據活動的相關主體的罰款、吊銷營業執照等處罰措施。上述規定可以視為一個良好的開端，但卻也存在著一定的空白亟待補充，主要涉及三個基礎性的層面：首先是管轄規則的適用。雖然，從《數據安全法（草案）》第2條可以確定，我國對于域外數據主體的管轄兼采了屬地管轄與保護管轄兩種規則，但管轄規則的順位如何，是否依舊堅持“屬地優先”傳統，亦或是賦予了保護管轄在部分情況下更高的適用順位，目前并無明確。其次，《數據安全法（草案）》對于境外執法機構獲取我國數據加以了規定，但對于我國執法機構獲取域外數據的程序則并未涉及，即對于刑事執法管轄權的規范缺失。最后，《數據安全法（草案）》第24條賦予了我國依據“對等原則”對他國采取反制的可能，然而僅限于貿易與投資領域，面對歧視性的域外執法管轄，尤其是刑事執法管轄，是否可以采納“對等原則”則未涉及，簡言之，即缺乏對域外惡意管轄與管轄沖突的應對。可以說，立法規制的模糊與缺失限制了兩法域外效力的進一步落實。同時，上述兩法從規范內容來看，也不具有獨立性，對于部門法的依賴性較高，多次強調“依據”而非“參照”相關法律、行政法規的規定，雖然上述兩法的域外效力已經得到了確認，然而我國主要部門法依舊遵從“絕對屬地主義”加以架構，同時，我國對于域外數據的獲取依舊采取傳統的司法互助模式，當面對美國等采納“數據控制者”模式的國家，我國則完全可能由于“屬地優先”或國際禮讓的傳統而“讓管于外”。因此，無論是《網絡安全法》亦或是《數據安全法（草案）》僅僅確立了針對域外數據及其相關主體執法管轄權的存在，其具體實現缺乏民事、行政與刑事法律規范的支持，更缺乏具體行為模式的規范指導，這也阻礙了我國數據相關立法域外效力的進一步落實。

此外，具體到我國國內的相關學術研究，也正是因為上述輔助性功能的存在，使得執法管轄權與司法管轄權在域外行使這一層面存在著一定的交叉與銜接，也為二者在概念層面的區分提出了一定的挑戰。這一情況當前在我國國內學界并沒有得到很好的正視，執法管轄權雖然是一個得到國際學界所廣泛使用與接受的概念，但是這一概念在我國當前的學術語境中卻很難找到具體的對應，在我國部門法的視域中，“執法管轄”更多地為行政法研究所關注，強調的是不同行政區域之間行政機關的權責分配，但實際上，執法管轄權包含了司法與行政兩個主體的行為，并非是單純的行政行為，因而也有學者認為“執法管轄權”其實應當粗略地對應我國的“執行管轄權”概念。此外，考慮到執法管轄權也與司法管轄權在概念上存在著一定的交叉，有學者甚至認為司法管轄權在刑事領域屬于執法管轄權的一種，因而可以加以忽略。更有部分學者，選擇避開“執法管轄權”這一概念，以其他形式的表述來加以代替，如在2019年第六屆世界互聯網大會上發布的《網絡主權：理論與實踐》成果文件中，則使用了“行政管轄權”這一概念，并基于網絡主權，將之表述為主權國家為維護良好的網絡空間秩序，有權依法對本國網絡設施、網絡主體、網絡行為、網絡信息等進行管理。可以說，雖然由于上述概念層面的分離，使得當前對于執法管轄權的研究存在著一定的分歧，但就如下三個層面還是在一定范圍內形成了共識：首先，執法管轄、立法管轄與司法管轄作為管轄權的一體三面，其正當性得到了主權的背書;其次，管轄權屬性的認定不應基于權力主體而加以區分，當前執法管轄權的行使既包括了司法機關基于國家的“調查利益”而對域外網絡數據行使的調查、偵查等行為，亦包括行政機關對數據相關主體的直接執法;最后，雖由不同主體加以實施，雖面向不同法益，但究其根本，執法管轄權依舊是國家對本國內的事項進行管理的公權力行為。

（三）大數據背景下的執法新挑戰

但隨著技術的發展，基于網絡空間的無國界性以及虛擬性，跨境數據流動天然地對傳統的管轄規則提出了挑戰，尤其是執法管轄權的域外行使，這種挑戰具體可以歸納為如下三個層面：第一，數據本土化與數據跨境流動常態化的沖突。“云儲存”技術的發展進一步加劇了數據儲存地與數據來源地的割裂，為此，越來越多的國家開始以立法的形式對本國數據的域外流動采取嚴格限制出境的措施。然而，一味地強調數據本土化也會產生矯枉過正的效果，如加劇全球信息不對稱現象、增加數據相關主體的運營成本進而影響其盈利能力等。因此，面對上述沖突，如何理解二者的差異化訴求，如何區分規制對象及規則將是執法管轄權面對域外數據時所面對的主要挑戰。第二，“云儲存”與數據控制者模式的沖突，“云儲存”所帶來的割裂不僅僅體現在數據的來源地與儲存地兩個層面，也體現在數據的來源者與控制者之間，尤其是涉及域外調查權的行使，則可能進一步造成保護管轄原則以及被動國籍原則與屬地優先主義的沖突，面對存儲于域外服務器的本國數據，屬地優先的正當性與數據安全以及個人隱私的保障存在著難以調和的沖突。第三，全球執法與公約機制之間的沖突，正如上文所介紹的，執法管轄權的域外行使，尤其是行政執法，往往基于公約機制的授權而展開，任意的域外執法管轄則可視為是對他國主權的威脅與侵害，然而，當前數據的跨境流動卻帶來了“域內”與“域外”界限的模糊，網絡自由主義更是將網絡空間刻畫為一個與現實領土截然相反的“公共領域（global common/ res communis）”，而基于這一主張，執法管轄權行使也開始逐步尋求對公約機制的突破，進而實現域內執法機構的“全球共管”。

正是由于上述矛盾與沖突的存在，如何在尊重數據主權的前提下，高效地獲取域外數據，如何在維護網絡主權的前提下，針對數據相關主體合理地行使執法權力，當傳統國際法規制面對日新月異的網絡技術以及無邊無際的網絡空間，上述問題看似是一個無解的僵局。面對現實的緊迫需求，部分國家選擇以犧牲他國數據主權的方式來維護自身對數據的掌控，選擇以侵害他國網絡主權的方式來維持自身在標準制定領域的優勢話語權。上述執法管轄權的單方擴張可以簡單地區分為美國模式與歐盟模式，前者強調通過執法管轄權行使來便利域外數據的獲取，考慮到長久以來對于域外民事與刑事爭議的長臂管轄傳統，美國模式更多側重于對傳統司法互助協議的突破而存在，對于行政主體的直接執法則并未積極地予以跟進，簡言之，以執法管轄權服務司法管轄權。而與之相反的歐盟模式則強調對于域外數據及其相關主體的直接執法，從現有的相關數據立法來看，歐盟的制度設計充分考慮到了可能的管轄權沖突與爭訴情況，因而其更加側重執法管轄權行使對于域外數據及其相關主體的直接行政處罰與強制。上述兩種模式的具體分析如下文所述。

二、美國《域外數據澄清法案》：基于屬人管轄擴張的刑事執法管轄權行使

（一）“微軟訴美國”案：數據儲存地向數據控制者轉變的導火索

如上所述，“云儲存”與數據常態化的跨境流動會進一步放大數據儲存地與數據控制者的矛盾，這一矛盾也是促進美國《域外數據澄清法案》通過的主要動因之一。法案的制定可以追溯到“微軟訴美國”一案。2013年12月，美國紐約南區聯邦地區法院助理法官詹姆斯·佛朗西斯（James C. Francis）簽發搜查令，要求微軟公司協助聯邦調查局正在調查的一起毒品案件，將由其控制的毒品犯罪嫌疑人的往來電子郵件信息和其他賬戶信息提交給美國政府。本案中，該名用戶電子郵件的內容數據存儲于微軟位于愛爾蘭的數據中心而非美國境內，依照彼時國際刑事司法協助體制，兩國之間需要簽署條約對司法協助的途徑和程序作出規定;同時出于對他國主權的尊重，通常不允許一國（申請國）司法機關直接在另一國（被申請國）境內采取包括調查取證等在內的執法強制措施，而需向被申請國司法機關提出申請，經被申請國司法機關批準后由被申請國自行實施相關強制措施再移交至申請國。基于此，微軟拒絕了提供該名用戶的電子郵件內容并提出廢除搜查令的動議。紐約南區聯邦地區法院以搜查令是基于《儲存通信保護法（Stored Communications Act）》簽發為由，駁回了微軟的動議。微軟其后提出了上訴，認為依據《儲存通信保護法》所簽發的搜查證只能適用于本國領土之內。2016年7月14日，美國聯邦第二巡回上訴法院做出了有利于微軟的判決，上訴法院的三位法官一致認為，聯邦調查局的搜查令不具域外效力（extraterritorial effects）。不可否認，在該案中，執法管轄權域外行使的主要困境便在于數據控制者與數據儲存地之間的割裂，若嚴格依據傳統的執法管轄權域外行使模式，那么對于刑事犯罪偵查和預防，尤其是各國境外取證，都會造成一定的阻礙。也正是基于上述背景，為了便利網絡時代的刑事執法管轄權的行使，美國國會引入《域外數據澄清法案》以賦予美國司法機構對于美國公司控制的境外數據的獲取。據此，美國司法部也最終出具了新的搜查令，該搜查令的效力也得到了微軟公司的認可。

（二）數據控制者模式的確立

結合上述案件與《域外數據澄清法案》的相關規范可以發現，通過對屬人管轄的擴張解讀，法案徹底改變了傳統的域外刑事執法管轄程序，使得域外數據調查與獲取得以在更為高效與可預測性的程序中展開。可以說，《域外數據澄清法案》對于執法管轄權的域外行使進行了兩項具體的程序性的擴張：首先明確網絡運營者具有調查取證的配合義務，以確保美國政府能夠獲得儲存于海外的美國公民的個人數據，其規定了“電子通信服務或遠程計算機服務提供者有義務披露其所擁有、監護或控制的美國公民的個人信息，包括有線或電子通信的內容、相關記錄及其他相關信息，無論上述信息是否儲存在美國境內”。上述規范首先以數據的控制者而非存儲地或來源地來確定執法管轄的對象，尤其體現在對非美國公民數據以及域外數據的執法管轄，只要數據為美國公司所享有，那么其就應當接受美司法機構的直接管轄;其次，屬人管轄與屬地管轄的沖突適用規則，當前，無論是在國際亦或區際管轄之中，面對域外數據的管轄，屬地管轄都天然地被加以優先適用，然而，《域外數據澄清法案》的出現卻實際上打破了上述傳統，賦予了屬人管轄更為優先的適用順位，其開宗明義指出，其立法目的就是授權美國執法部門在云計算技術的背景下通過服務提供者獲取境外數據。可以說，《域外數據澄清法案》的出臺標志著美國在域外網絡數據的刑事執法管轄層面由數據存儲地國模式轉向了數據控制者模式。

需要加以補充的是，《域外數據澄清法案》所確立的域外刑事執法管轄權行使并非個案，類似的立法還包括英國2016年的《調查權法（investigatory powers act）》、加拿大2018年新版《個人信息保護和電子文件法案》、歐盟2018年《電子證據跨境調取提案》等。雖然，上述立法架構解決了數據來源地與數據控制者之間的沖突，但在賦予了本國司法機關對域外數據的執法管轄權之外，《域外數據澄清法案》還形式上賦予了域外公權力機構對本國數據執法管轄權的行使。具體來說，其賦予了“適格外國政府”在同美國達成執行協議（executive agreement）的基礎上，向美國境內組織直接調取數據的權力。但這種權力的賦予只是形式上的，其塑造的雙邊數據執法管轄程序可以如下圖所示。通過下圖我們不難發現，無論一國是否適格，也無論一國與美國是否達成執行協議、是否訂立共同司法互助協議，最終結果的導向必然包括美國對域外數據的“合法”獲取。

三、歐盟《一般數據保護條例》：基于保護管轄擴張解讀的行政執法管轄權行使

數據跨境流動的常態化也直接推動了域外數據執法的常態化，但執法管轄權的域外行使，尤其是直接性的行政執法，出于對他國主權的尊重，通常必須在他國同意的基礎上，依照特定程序而展開，如雙邊或多邊條約機制。正如《維也納條約法公約》所規定的，非因第三國同意不得為該國創設權利或義務。因此，脫離了雙邊或多邊條約機制，未獲得他國同意，執法管轄權在他國境內的行使依舊缺乏法理的背書與程序執行的可能。基于此，部分區域性立法，如歐盟《一般數據保護條例》（以下簡稱《條例》）開始尋求對保護管轄原則加以單方的效果解釋與擴張解讀，并尋求突破條約機制的束縛，為執法管轄權的域外適用，尤其是針對境外主體的直接行政執法，提供可行的規制支持。

（一）基于保護管轄原則擴張解讀的域外行政執法模式

具體對《條例》的相關規制加以解讀可以發現，就保護管轄的擴張解讀，其在第3條規定：“本法適用于對歐盟內的數據主體的個人數據處理，即使控制者和處理者沒有設立在歐盟內，其處理行為：發生在向歐盟內的數據主體提供商品或服務的過程中，無論此項商品或服務是否需要數據主體支付費用;或是對數據主體發生在歐盟內行為的監控。”考慮到歐盟龐大的經濟體量與市場規模，上述具有保護管轄色彩的最低聯系標準實際上以保障公民基本權利為表象，強行性地擴張了《條例》的適用范圍，在縱向上已經實現了“全球適用”。此外，在“全球適用”以外，《條例》還期望達成“全產業鏈適用”，具體來說，對于管轄的主體，《條例》進行了細致的橫向分類，除了具有直接關聯的數據控制者（controller）、處理者（processor）、接收者（recipient）以外，間接或者利益相關第三方（third party），如上下游供應商等，都被納入了《條例》的管轄之中。

然而，對保護管轄擴張解讀，只是為執法管轄權的擴張行使提供了一個先導性條件，其立足于國內公權力主體對域外數據及相關主體的直接執法管轄權，最終的落腳點還在于將國內或區域性規范納入全球相關主體的日常生產經營活動之中，以確保自身在標準制定層面的話語權。為此，基于保護管轄的擴張解讀，條約機制的突破往往還伴隨著執法管轄權的實體性擴張。以《條例》為例，其第51條規定了各成員國應提供一個或多個獨立的政府公共機構，即監督機構。機構的職責根據《條例》第57條可以總結為兩個方面：首先，服務于數據主體，即締約國公民，保障其權利的享有;其次，監督數據的控制者、處理者等全產業鏈主體，保障其數據處理、轉移等過程的規范。然而監督機構的職責并不僅限于監督，其也被賦予了遠超“監督”所需的權力，包括有調查權、糾正權以及授權與建議權（authorisation and advisory powers）。其中，糾正權的設立具有明顯的行政執法色彩，《條例》規定了種類繁多的糾正權，如對數據處理者與控制者的警告、懲戒、對于數據處理施以臨時的或終局性（definitive）的限制、撤回許可證、行政罰款（fine pursuant）、暫停數據向第三國的接收者或國際組織的流入等。總的來看，監督機構雖名為“監督”，但實際上其由政府設立，同時被賦予了包括許可、處罰、強制等一系列的具有行政色彩的職權，是遠超“監督”的實際需要的，加之其以區域立法為執法依據，面向的是全球范圍內的相關數據控制者、處理者、接收者以及第三人，因而，不可否認的是，對于域外數據而言，《條例》實際上在未經他國同意的前提下，賦予了監督機構對全球數據相關主體直接行政執法的權力，以確保能夠規范與管控相關主體的日常生產經營活動。

（二）執法管轄與司法管轄的銜接

然而，《條例》對于行政執法的青睞并不意味著對于刑事執法管轄權的完全忽視。實際上，對于締約國的長臂管轄權行使，《條例》也提出了總體性的架構設計，具體而言，其在第58條第五款表示：“監管機構為了執行本條例的條款，有權將違反本條例的情形訴諸司法機構，在合適的情形下可以提起或參與法律訴訟”。這一表述在充分利用監督機構調查權的基礎之上，實際上賦予了其向司法機構提出訴訟的權力，進而將其打造成為了一個介于立法與行政機構之間的主體。此外，與美國的《域外數據澄清法案》類似，歐盟于2018年通過了《電子證據跨境調取的議案》，將不以數據存儲位置作為確定管轄權的決定因素，歐盟成員國的執法或司法當局可直接向為歐盟境內提供服務的服務提供商要求提交電子證據，只要同時滿足以下條件：（1）被要求提交的數據為刑事訴訟所需;（2）被要求提交的數據與服務提供商在歐盟境內提供的服務有關。并且，上述思想在同年通過的《有關個人數據自動化處理之個人保護公約》及其議定書中也得到了繼承，其在第15條中也明確：“監督機構應當參與到訴訟程序中，并將違反公約的行為提交至司法機構”。但略有不同之處在于，對于執法管轄權的輔助性價值，《條例》只是簡單地架構了締約國域外司法管轄權行使，并未明確上升至長臂管轄的層面，而《公約》一方面繼承了《條例》對于監督機構提起與參與訴訟的相關規定，另一方面摒棄了保護管轄原則的適用，轉而采用基于個人來文的直接全球共管，其在第18條明確規定，任何締約國都有義務為協助數據主體實現其權利，根據官方的解釋，此處的數據主體為不分國籍、住所等的任意個人主體。

可以說，《條例》對于執法管轄權域外行使的創新性規定的影響是巨大的，僅僅在《條例》生效后的一個月，巴西參議院便參照《條例》的相關規定，于2018年7月10日通過了《一般數據保護條例的》“鏡像版”，即巴西《一般數據保護法》，其覆蓋巴西所有的經營行業，影響全部私營和公共實體，且無論個人數據的處理是否發生在數字和物理環境中，同時，該法案還明確國家機構有權處以最高全年收入百分之二或者五千萬雷亞爾的“行政處罰”。類似的情況還包括印度最高法院的高級別專門委員會所提交的《個人數據保護法案2019》等。

四、中國模式的構建：反思與因應

跨境數據流動的常態化以及網絡技術的發展對執法管轄權域外行使的傳統模式提出了新需求與新挑戰。預期有效應對，我們需要正視兩個關鍵性的問題，即是否應正視并著手制定域外數據執法管轄的“中國模式”，以及“中國模式”如何架構。對于前者，答案是顯而易見的，中國模式的構建既符合了我國國情與當前的互聯網發展訴求，有利于實現國家對數據的最高控制權，也有利于在形成戰略緩沖的前提之上，更為有效地抵御與反制來自境外的惡意管轄與可能的管轄沖突。其次，對于如何構建中國模式，這需要我們一方面在分析歐美模式成因與發展的基礎之上，探究其規制設計與價值導向，另一方面在結合當前國際法規制與國際關系基本準則的基礎上，統籌研判數據主權和數據治理的內在邏輯聯系和外在規范支撐，進而實現如下三方面的平衡。

（一）制度防范與數據跨境流動的平衡

面對當前國際間已成趨勢的擴張性域外數據執法管轄權行使，我們首先要重視制度的防御性作用，可以說，缺乏沖突解決機制與惡意管轄應對的域外管轄只會演變成為一場零和博弈。而數據本土化措施是發展中國家所普遍采納的防御型數據治理規則。以我國2016年通過的《網絡安全法》為例，其首次對數據的本土化進行了立法上的背書，其第37條規定：“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的，依照其規定。”上述規定對關鍵信息基礎設施的數據跨境傳輸從法律層面上進行了規制，以立法防范了他國可能的執法管轄權惡意擴張，尤其是他國單方刑事執法管轄權行使，避免了潛在的國家安全隱患與個人隱私風險。

數據本土化也并非一勞永逸，其負面作用也應當值得我們加以警惕，過分推薦數據本土化也會產生矯枉過正的效果，影響我國的國際競爭力，據統計，如果我國的數據本地化策略得到全面的實施，可能減少GDP 的1.1%，減少推動中國出口和長期增長的境外對我國直接投資的1.8%和出口的1.7%。這就要求我們兼顧數據本土化與數據流動性二者間的平衡，積極地尋求以國際協作的方式將本土化的負面影響降到最低，上述思想也體現在了《數據安全法（草案）》第10條的規定之中。為此，我國可采取與他國點對點地建立包括“安全港”協議在內的更為高效便捷的雙邊網絡數據協作機制，或者有條件地加入如亞太經合組織跨境隱私規則這一類體系，并將規則的認證標準與模式推向各潛在締約方。當然，我國亦可將域外數據管轄相關內容納入“區域全面經濟伙伴關系協定（RECP）”、“自由貿易協定（FTA）”等談判之中，進而將跨境數據流動規則納入具有法律約束力的協議中。可以說，這不僅是維護我國國內利益的需要，也是確保我國數據立法域外效力、保證跨境數據流動國際合作的健康開展與可持續發展的要求。

（二）管轄權擴張與網絡主權的平衡

在利用規制防御以及積極參與國際協作的同時，我國也應當著手制定針對域外數據執法管轄權行使的中國模式，域外數據執法管轄權基于網路需求與技術特征的擴張并不必然會對網絡主權造成侵犯，這也與我國所倡導的網絡主權原則并不相沖突，二者并非處于非此即彼的關系之中，合理的域外管轄權行使存在著可能的架構，這也是我國所應尋求的。總的來說，我國可以以屬地管轄與保護管轄原則的再解讀作為兩個有針對性的突破口，適當地擴張我國相關公權力主體執法管轄權針對域外數據及相關主體的行使。具體來說：首先，對于何為“域內”，結合互聯網背景加以再解讀，然而網絡空間的基本特征之一除了虛擬性以外，還包括其信息性。在此，我國有必要參考國際常設法院的觀點，其對于“域內”也提供了如下三種場景：信息接受點（point of reception）在該國領土內;信息發出點（point of delivery）在該國領土內;當信息在一國領土內的線路或網絡（wires and lines）中傳播。上述場景都可以視為信息位于一國領土之內，相應的，一國也可以直接依據屬地原則對相關數據加以管轄。可以說，上述架構是為我國當前立法所忽視的，若將接收點與發出點在我國國內的數據，以及在我國領土內的線路或網絡中傳播的數據納入屬地管轄的范圍，那么對其行使包括行政處罰在內的執法管轄權都可直接視為域內而非域外管轄。

其次，確立保護管轄原則在基于國家安全與公共利益前提下適用的優先順位。面對物理聯系式微的網絡空間，一味地推崇屬地優先與當前的國際實踐以及我國的現實需求存在著一定的偏差。當前，無論是《網絡安全法》，亦或是《數據安全法（草案）》的相關規范，都包含“國家安全”與“社會公共利益”保障的相關條款，基于此，對于關鍵領域與核心利益，面對域外違法行為，我們應當在管轄原則的適用上摒棄“絕對屬地主義”的思想，從立法的層面將保護主義原則的適用優先性加以提升，以便利我國司法機構對關鍵利益的維護以及全球治理的參與，但對于這一擴張應采取嚴格限制適用的措施，既要防止走入歐盟式的“全球共管”模式，亦要與被動國籍原則的擴張加以嚴格區分，畢竟，執法管轄的域外行使應以尊重他國的網絡主權與司法主權為前提。

（三）區別執法與對等原則的平衡

在實體領土之上，刑事執法管轄權的域外行使無論是域外調查權或是文書的送達，缺少協作的單方行為不但難以操作，更有可能被視為是對主權的威脅與侵犯。但在無邊際的網絡空間之中，上述阻礙則并非難以逾越，基于云計算的發展，考慮到數據的常態性跨境流動與“離散型儲存”，司法協助與合作的價值也被互聯網技術所削弱，以美歐為代表的刑事執法管轄權的行使往往建立在單方域外調查權的基礎之上，即基于數據控制者模式，單邊授權收集儲存于境外服務器或處于跨境流動中的數據。然而，對我國而言，一味地借鑒或參考美國模式，對于他國網絡主權與數據安全而言無疑構成了侵害，但如果因循當前《刑法》第9條的規定，即嚴格遵從傳統司法互助模式，那么，在面對域外惡意管轄時，則將失去“戰略上的對沖”。面對這一兩難處境，我國應當在充分利用數據流動性的基礎上，確立我國刑事執法管轄權的域外效力，保留基于“數據控制者”模式行使域外數據調查權的權力。一方面，對于“發出點”與“接收點”為我國的數據，以及在我國領土內線路或網絡傳播的數據，無論其實際控制者或者處理者所處位置，直接比照為我國領土內數據，進而依據屬地管轄加以執法;另一方面，對于我國數據控制者存儲于域外的數據，則依據對等原則判斷是否采納或保留“數據控制者”模式。對等原則的適用不僅僅應針對貿易、投資等環節，也應考慮執法這一環節，這是為《數據安全法（草案）》所忽視的，上述措施一方面可以為我國司法管轄權域外行使提供有效的前置性程序保障，同時便利國內公權力主體對于域外數據主體的直接執法，另一方面也可以為我國參與國際間數據合作提供競爭力與話語權，進而實現從參與者到規則制定者的轉變。

結 語

隨著大數據時代的到來，數據，作為新時代的石油與黃金，其常態性的跨境流動對于各個國家而言，既是發展的機遇，亦是主權的挑戰，但無論網絡數據全球化的程度有多高，作為“新疆域”的網絡空間也不應當是“法外之地”。在當前執法管轄權擴張已漸成趨勢的大背景下，我國作為網絡強國與數據大國，應正視并加以跟進，應基于國際法規則，構建符合我國國情與社會需求的執法管轄權域外行使模式。新模式的構建將有利于于保障與維護我國數據主權及網絡主權，彌補我國相關公權力主體的執法空白，加強我國對域外數據的獲取，為我國管轄境內外的數據及相關主體提供合法的規制前提。同時，針對域外數據，我國執法管轄權的域外行使應當有法可依，但也不應排斥規范之外的國際協作，應在有法可依的前提下，構建“法中法”與“法外法”，積極尋求更多新模式與新可能。最后，制定執法管轄權域外行使的中國模式，也是進一步構建網絡空間命運共同體，維護和平安全、促進開放合作、構建良好秩序的重要法律保障。

（責任編輯：李林華）