中國在網絡安全領域構建長臂管轄機制之思考

□ 文 鄧紀璇

在互聯網時代，物理國界已經被打破，國家間的信息數據多是通過網絡連接實現跨境傳輸，網絡安全關系到國家的根本利益。近年來，各國政府紛紛通過構建國內法律規定中的相關涉外機制來擴大國家的管轄權，從而到達維護網絡秩序和保障國內信息安全的目的。歐盟于2018年通過最新修訂的《一般數據保護條例》（簡稱GDPR）；巴西《通用數據保護法》于2020年2月正式生效。在此背景下，中國也應該順應網絡發展趨勢，在網絡安全領域構建適當的長臂管轄機制。

1 概念厘定：長臂管轄實質上是一種域外管轄

國際法上的“長臂管轄”指的是當非法院地居民與法院地之間存在某種限度的聯系，并且原告提起的訴訟又產生于這種聯系時，法院對于被告所主張的管轄權。這一概念最初起源于美國民事訴訟領域，本質上是一種司法管轄權。根據國務院新聞辦公室2018年9月24日發布的《關于中美經貿摩擦的事實與中方立場》白皮書，“長臂管轄”指的是國家或者地區依據其國內法規管轄境外實體。而這一文件出臺的背景，正是近年來美國不斷擴張其管轄“長臂”，從國內州際民事爭端擴展到涉外民事侵權、金融投資、反壟斷、出口管制、網絡安全等眾多領域。美國此種強硬要求他國企業或個人服從其國內法律規定，動輒對他國企業或個人發出民事、刑事、貿易等制裁的行為顯然已經超出“長臂管轄權”的原本內涵，本質上屬于一種“域外管轄”。

域外管轄權可以分為立法管轄權、司法管轄權和執法管轄權，它指的是國家行使立法管轄權，制定域外管轄規則的權力，以及國家通過執法管轄權和司法管轄權適用這類規則的權力。具體而言，一國通過立法權確立國內法的域外效力，為國內法的域外適用提供依據，再通過司法機關和執法機關的職權行為保證國內法得到域外適用。而國內法的域外適用指的是國家將具有域外效力的法律適用于其管轄領域之外的人、物和行為的過程。因此，域外管轄權是國內法域外適用的前提，國內法域外適用是國家行使域外管轄的過程和結果。此外，域外管轄權是主權國家在實踐中發展出來的一種行使管轄權的具體方式，而并非一種獨立的管轄權類型。

2 中國在網絡安全領域擴張管轄權的必要性

近年來，國際上的網絡安全事件頻發，這表明互聯網安全問題日益突出，中國也面臨著嚴重的網絡安全威脅，與此同時，這些威脅也在挑戰著中國的互聯網主權。國家的互聯網主權是國家主權在網絡空間的拓展和延伸，是國家主權的重要組成部分。然而，對主權國家來說，網絡空間的全球性導致傳統管轄區域的界限變得模糊，網絡空間的不確定性也使得傳統的管轄基礎難堪重任。因此，在中國網絡空間領域構建長臂管轄權已經成為亟待解決的重要議題。在網絡空間適度擴張管轄權，不僅有利于維護中國的互聯網健康與發展，而且有助于彰顯中國的國家主權，提升中國在國際規則制定中的對外話語權。

3 中國在網絡安全領域構建長臂管轄機制的措施

3.1 完善立法：明確網絡安全相關法律的域外效力

3.1.1 《網絡安全法》

《網絡安全法》第二條確立了屬地管轄為基本原則。第七十五條體現出一定的域外效力，在屬地管轄原則的基礎上，如果“關鍵信息基礎設施”位于中國境外，這項規則的連接點既是以保護管轄為基礎，也是以客觀屬地管轄為基礎，甚至是以“效果原則”為基礎。

《網絡安全法》的配套法規《關鍵信息基礎設施安全保護條例》的第二章對關鍵基礎設施的認定做出了較為詳細的規定。主要認定要素有三：第一，“對本行業、本領域關鍵核心業務的重要程度”；第二，“一旦遭到破壞、喪失功能或者數據泄露可能帶來的危害程度”；第三，“對其他行業和領域的關聯性影響”。上述要素均采用了較為寬松和富有彈性的表述，實際上給執法部門留下不小的解釋空間。而遺憾在于仍然缺少明確該法規的域外效力的相關條款。可以借鑒歐美國家的做法，明確規定一旦被識別為該條例中規定的“關鍵信息基礎設施”，即使該基礎設施位于中國境外，也應受到《網絡安全法》的管轄。

3.1.2 《個人信息保護法》

新近發布的《個人信息保護法》第三條明確了該法的域外效力。其中的許多條款與歐盟GDPR都有著極大的相似性，但進一步對比兩部法律的有關措辭，可以發現該法第三條與GDPR第三條規定的域外管轄范圍仍然存在不小的差別。

GDPR采用“經營場所所在地標準+目標指向標準”共同確立了其域外適用范圍。觀察《個人信息保護法》第三條，其適用范圍分為兩種情形：第一種是在中華人民共和國領域內實施個人信息處理的行為，第二種是信息處理行為雖未發生在中華人民共和國領域內，但以向中華人民共和國領域內的數據主體提供商品、服務為目的，或涉及對境內數據主體的分析和評估行為。可見，我國采用的是“處理行為發生地標準+目標指向標準”。GDPR一經發布，即被評為“史上最嚴的個人數據保護條例”，其他國家或地區紛紛效仿，擴大本國或本地區內個人信息保護的域外適用范圍。目前我國創新采用“處理行為發生地”標準，其適用范圍相比“經營場所所在地”標準是否更寬泛，是否會出現法律漏洞情形，導致境外信息處理者利用此點“鉆法律的空子”，這些問題有待實踐檢驗。

3.1.3 《數據安全法》

在《網絡安全法》與《個人信息保護法》均規定域外效力的背景下，《數據安全法》作為配套法律，其域外效力規定仍有較大的完善空間。該法第二條通過“數據活動在中國境內開展”和“數據活動開展在境外，但損害中國國家安全、公共利益或者公民權益”兩個層次的規范模式，堅持了屬地原則——以數據活動發生于境內為適用標準，附加效果原則——境外組織和個人開展的數據活動損害國家安全和公共利益的做法。采用屬地原則+效果原則的判斷標準明確并在一定程度上擴充了該法的域外效力。但是仔細推敲第二條的措辭，可以發現這一規定仍然存在兩個問題：首先，結合第二條的兩款規定，不難看出其適用范圍仍然漏掉了一種情形——境內的組織或個人在境外開展數據活動，也就是說，假如主營業地點在境內的某公司，利用其境外的分支機構和相關設備，在境外開展數據活動的，只要無法證明其損害了國家安全或社會公共利益，《數據安全法》無法得到適用。對此，建議將第一款修改為“在中華人民共和國境內的個人或組織開展數據活動，無論該數據活動是否發生在中華人民共和國領域內，適用本法。”其次，第二款規定僅宣誓性地規定了“依法追究法律責任”，但在“法律責任”一章中，并未規定相對應的法律責任，這將大大削弱該法域外適用的實際效果，也不利于發揮法律的威懾作用。建議參考歐盟GDPR或其他國家或地區在數據立法中設置的法律責任和處罰幅度。

3.1.4 《阻斷辦法》

商務部于2021年1月9日發布《阻斷外國法律與措施不當域外適用辦法》（簡稱《阻斷辦法》），旨在阻斷外國法律與措施不當域外適用對中國的影響，維護國家主權、安全、發展利益，保護中國公民、法人或者其他組織的合法權益。《阻斷辦法》主要就五項制度安排作出規定：及時報告、評估確認、發布禁令、司法救濟和處罰制度。《阻斷辦法》與歐盟《阻斷法令》的主要規定是相似的，但存在以下差別仍值得我們注意。首先，從該《阻斷辦法》第二條規定的適用范圍來看，我國并非“一刀切”地阻斷外國法律和措施的域外適用，而是反對境外法律和措施的不當域外適用，而“不當”的具體評估因素則規定于第六條。而就適用范圍而言，第二條并未明確在中國境內不同實體之間的交易受到他國法律或措施限制時，是否適用該辦法。其次，禁令的適用主體，即《阻斷辦法》所稱的“當事人”，是否包括境外企業尚存爭議，從條文中也無法得出明確的答案，但有實務工作者指出，傾向性認為境外企業并不受禁令制度的約束，理由有二：一是根據第八條之規定，申請豁免遵守禁令的主體為中國公民、法人或其他組織，如果禁令適用主體包括境外企業，則申請豁免遵守禁令的主體就不應當僅限于中國公民、法人或其他組織；二是境外企業由于違反禁令而遭到主管部分警告或罰款面臨著執行難的問題，如果禁令適用主體包括境外企業，違反禁令的處罰措施幾乎形同虛設。再次，相關制度規定仍然比較模糊。如第九條雖然規定了追償制度，但并未對賠償范圍、追償對象、追償手段、追償適用的法律等問題設置具體規范；而第十一條規定政府有關部門可對遭受重大損失的公民、法人或其他組織提供必要支持，但“必要性”如何界定，具體包括哪些支持措施等問題均未明晰。這類籠統性規定一方面賦予了法官較大的自由裁量權，另一方面也有待在后續司法和執法實踐中加以明確。最后，除了制度上的具體操作問題需要進一步細化規定之外，相比歐盟采用的“條例”的形式進行阻斷立法，中國《阻斷辦法》屬于部門規章，法律效力層級較低。這種立法模式符合現階段中國國情，未來隨著實踐的不斷推進，或許有望實現《阻斷辦法》到《阻斷法》的蛻變升級。

3.2 積極司法：加強國內法院在長臂管轄中的作用

前述立法雖然可以為中國在網絡安全領域構建長臂管轄機制提供國內法依據，但是中國法院對外行使長臂管轄權的態度仍然過于謹慎。有了確立國內法域外效力的規則，保證長臂管轄權的實施就要依靠司法管轄權和執法管轄權。對此，中國法院要學會擅于適用法律規定的長臂管轄基礎，以此為依據，主動在網絡安全領域行使司法管轄權。而且，可以結合中國司法實踐的慣常做法——由最高法發布指導性案例，為法院將“網絡運營者”或“信息處理主體”等法律術語做擴大解釋的做法提供司法依據，從而保證《網絡安全法》和《個人信息保護法》等法律的域外實施效力。

3.3 強化執法：轉變行政機關舊有管轄方式

強化行政機關在網絡安全領域的執法管轄權也是保證國內法域外實施效力的必要手段。傳統的行政執法觀念認為行政機關只對本國的人、物或行為具有管轄權。因此，行政機關必須充分意識到國際法賦予自身實施域外管轄時的廣闊空間，在法律法規的框架下解釋相關連結點和抽象概念，追求在執法過程中實現域外適用的目標。其次，行政機關要適時行使自由裁量權，比如擴大解釋“網絡運營者”或“信息處理主體”的適用范圍，認為法律并未將這兩者的范圍限制于中國境內等。

4 結束語

網絡安全關系主權國家的根本利益，網絡空間主權是國家主權的重要組成部分。國家在不違反國際法的前提下，可以行使長臂管轄權。中國可以借鑒國外經驗，同時結合國情，從立法、司法和執法三個方面，在網絡安全領域構建適當的長臂管轄機制。《網絡安全法》已于2017年開始實施，但其域外適用的規定不明確導致實踐中難以發揮實際的域外管轄作用。《數據安全法》與《個人信息保護法》都已頒布，域外適用范圍仍然存在規定模糊或者有所遺漏的問題。上述三部法律是構建我國網絡安全、數據主權與個人信息保護的重要支柱，將對我國數字經濟發展、個人信息保護以及互聯網法治等方面產生深遠影響。因此，要構建中國在網絡空間的長臂管轄，首先要在這些與網絡安全密切相關的法律中明確域外效力，為實現域外管轄構建合理的法律基礎。與此同時，有關部門和相應機關要做到積極司法和強化執法，充分發揮司法機關和行政機關在網絡安全領域行使長臂管轄權應有的作用。