數(shù)據(jù)規(guī)則域外適用的擴張與中國的策略

李 晴

（遼寧大學(xué) 法學(xué)院，遼寧 沈陽110036；沈陽師范大學(xué) 法學(xué)院，遼寧 沈陽 110034）

人類正在快步跨入信息時代，在信息化時代，數(shù)據(jù)成為新的生產(chǎn)要素，數(shù)據(jù)資源成為全球經(jīng)濟與貿(mào)易發(fā)展的主要驅(qū)動因素，新的全球經(jīng)濟增長越來越依賴數(shù)字的增長。除了商業(yè)價值外，數(shù)據(jù)也會促進人類共同利益和安全。數(shù)據(jù)流動和共享在全球恐怖主義、環(huán)境保護、生命健康等涉及人類共同利益和安全的領(lǐng)域發(fā)揮重要作用。各國將數(shù)據(jù)治理作為法治的重要內(nèi)容之一。歐盟、美國等正努力通過擴張數(shù)據(jù)規(guī)則的域外適用來實施數(shù)據(jù)領(lǐng)域的長臂管轄。歐盟基于保護基本人權(quán)的理念賦予歐盟數(shù)據(jù)規(guī)則域外效力，美國依托“自由”和“高效”的價值理念擴大美國單方調(diào)取域外數(shù)據(jù)的權(quán)力。從世界范圍內(nèi)的數(shù)據(jù)保護法來看，數(shù)據(jù)規(guī)則域外適用的擴張趨勢明顯。數(shù)據(jù)規(guī)則域外適用擴張產(chǎn)生的原因和影響有哪些，以及中國在他國數(shù)據(jù)規(guī)則域外適用擴張下如何應(yīng)對是值得研究的重大問題。

一、數(shù)據(jù)規(guī)則域外適用的擴張現(xiàn)象

數(shù)據(jù)規(guī)則域外適用的擴張是數(shù)據(jù)時代背景下的產(chǎn)物。歐盟、美國等已率先通過地區(qū)或國內(nèi)立法加強數(shù)據(jù)規(guī)則的域外適用，擴大管轄權(quán)范圍。

（一）歐盟數(shù)據(jù)規(guī)則域外適用現(xiàn)狀

2018 年生效的《歐盟數(shù)據(jù)保護通用條例》（General Data Protection Regulation，GDPR）在地域適用范圍上確立了以屬地原則為主、效果原則為輔的管轄原則。GDPR 適用范圍具體規(guī)定如下。

1.設(shè)立機構(gòu)標(biāo)準(zhǔn)。根據(jù)GDPR 第3 條第（1）款①GDPR 第3 條第（1）款規(guī)定：“數(shù)據(jù)控制者或處理者在歐盟境內(nèi)設(shè)立機構(gòu)，只要數(shù)據(jù)處理行為發(fā)生在此設(shè)立機構(gòu)開展活動的場景中，無論數(shù)據(jù)處理行為是否發(fā)生在歐盟境內(nèi)，本法對該行為有管轄權(quán)。”的規(guī)定，數(shù)據(jù)處理行為發(fā)生在數(shù)據(jù)控制者或處理者在歐盟境內(nèi)的設(shè)立機構(gòu)開展活動的場景中，均應(yīng)適用GDPR[1]。歐洲數(shù)據(jù)保護委員會發(fā)布的《關(guān)于GDPR 地域范圍的第3/2018 號指南》對“設(shè)立機構(gòu)”及“數(shù)據(jù)處理行為發(fā)生在此設(shè)立機構(gòu)開展活動的場景中”的理解進行了進一步闡釋。GDPR“設(shè)立機構(gòu)標(biāo)準(zhǔn)”是以屬地連接點為基礎(chǔ)的域外適用規(guī)則。這種域外適用規(guī)則以屬地連接點為基礎(chǔ)，客觀上根據(jù)屬地原則對發(fā)生在境外的行為行使了管轄權(quán)。GDPR在屬地管轄原則的視角下，以“數(shù)據(jù)處理行為發(fā)生在此設(shè)立機構(gòu)開展活動的場景中”構(gòu)成一個主張管轄權(quán)的連接因素。GDPR 并非將管轄重點放在數(shù)據(jù)處理行為發(fā)生的具體位置，而是放在“數(shù)據(jù)處理行為本身”，因此能夠避免出現(xiàn)法律規(guī)避的情況[2]。

2.目標(biāo)指向標(biāo)準(zhǔn)。根據(jù)GDPR 第3 條第（2）款①GDPR 第3 條第（2）款規(guī)定：“本條例適用于由未在歐盟設(shè)立的控制方或處理方處理在歐盟內(nèi)的數(shù)據(jù)主體的個人數(shù)據(jù)，如果處理活動涉及：（a）向歐盟境內(nèi)的數(shù)據(jù)主體提供產(chǎn)品或服務(wù)，不論數(shù)據(jù)主體是否需要支付費用。或（b）對數(shù)據(jù)主體在歐盟境內(nèi)的行為進行監(jiān)控”。的規(guī)定，如果歐盟境外的數(shù)據(jù)控制者或者處理者實施的數(shù)據(jù)處理行為發(fā)生在向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)的過程中，或者對數(shù)據(jù)主體發(fā)生在歐盟內(nèi)的行為進行監(jiān)控，GDPR 有權(quán)管轄該行為[3]。GDPR“目標(biāo)指向標(biāo)準(zhǔn)”是以效果原則為理論基礎(chǔ)的域外適用規(guī)則。歐盟享有了對非歐盟企業(yè)在歐盟境外所作的對歐盟產(chǎn)生影響力的數(shù)據(jù)處理行為的管轄權(quán)。GDPR“目標(biāo)指向標(biāo)準(zhǔn)”擴大了GDPR 的適用范圍，使得GDPR 成為一種事實上的世界法律，因為許多機構(gòu)實體都希望和需要連接歐洲市場[4]。

（二）美國數(shù)據(jù)規(guī)則的域外適用

1.美國《澄清域外合法使用數(shù)據(jù)法案》（CLOUD 法案）域外效力。2018 年3 月，美國出臺了CLOUD法案。CLOUD 法案采用“數(shù)據(jù)控制者標(biāo)準(zhǔn)”，規(guī)定只要是美國的數(shù)據(jù)服務(wù)者，就應(yīng)當(dāng)在一定的條件下按照《存儲通信法案》的要求保存、備份、披露通信內(nèi)容、記錄或其他信息[5]。美國采用的是以屬人連接點為基礎(chǔ)的域外適用規(guī)則，通過屬人管轄實現(xiàn)了對美國服務(wù)商所擁有、監(jiān)管或控制的數(shù)據(jù)的管轄，具有明顯的域外適用表現(xiàn)。服務(wù)提供者只能在特殊法定情形存在的情況下②當(dāng)接到服務(wù)提供者提出的“撤銷或修正法律流程的動議”后，具有管轄權(quán)的法院在確認(rèn)同時存在以下情形后，方可撤銷或修正法律流程：一是披露義務(wù)將會導(dǎo)致服務(wù)提供者違反“符合資格的外國政府”的立法；二是基于該個案的所有情況，為維護司法公正，該法律流程應(yīng)被撤銷或修改；三是數(shù)據(jù)主體確不是“美國人”且不在美國居住。才能對管轄予以抗辯并可提出“撤銷或修正法律流程的動議”。同時，CLOUD 法案規(guī)定了美國網(wǎng)絡(luò)服務(wù)提供者向“有資格的外國政府”快捷提供電子數(shù)據(jù)的情形。然而，CLOUD 法案卻規(guī)定了十分嚴(yán)格苛刻的“有資格的外國政府”的認(rèn)定條件。主要表現(xiàn)為：這個國家必須是《布達(dá)佩斯網(wǎng)絡(luò)犯罪公約》成員國或其國內(nèi)法至少與公約第1、2章規(guī)則相吻合；在獲取數(shù)據(jù)過程中程序是否具有透明度并有適當(dāng)?shù)膯栘?zé)機制；該國需要遵守國際人權(quán)義務(wù)，包括尊重表達(dá)結(jié)社與和平游行自由、禁止任意逮捕和監(jiān)禁、禁止限制言論自由等。美國政府對外國政府是否能夠調(diào)取存儲于美國的數(shù)據(jù)具有很大的自由裁量權(quán)。美國與外國政府在調(diào)取跨境數(shù)據(jù)的程序和實質(zhì)條件上并不對等。

2.《2018 年加州消費者隱私法案》（CCPA）的域外效力。CCPA同樣具有域外效力，其規(guī)定適用于在該州收集及處理消費者個人信息的所有企業(yè)③這些企業(yè)在加利福尼亞州從事商業(yè)經(jīng)營活動并且滿足以下一個或多個條件：（1）年收入超過$25 000 000；（2）為了商業(yè)目的，每年單獨或組合購買、收取、出售或共享50 000 人甚至更多的消費者、家庭或設(shè)備的個人信息；（3）通過銷售消費者的個人信息獲得其年收入的50%甚至更多。。同時，CCPA 規(guī)定如果企業(yè)的商業(yè)行為每個方面完全在加州以外進行，則不受CCPA的管轄[6]。顯然，相對于GDPR，CCPA 僅對有一定業(yè)務(wù)量的域外企業(yè)進行規(guī)制，是從風(fēng)險影響程度和范圍出發(fā)，聚焦重點企業(yè)。

二、數(shù)據(jù)規(guī)則域外適用擴張的原因分析

各國政治、經(jīng)濟、文化、技術(shù)水平的差異，導(dǎo)致各國數(shù)據(jù)規(guī)則域外適用的原因不盡相同，但總體來看，數(shù)據(jù)規(guī)則域外適用擴張的原因主要包括以下幾個方面。

（一）最大限度保護數(shù)據(jù)主體權(quán)利

歐盟之所以對GDPR 作出了廣泛域外適用的規(guī)定，首先是因為其對個人數(shù)據(jù)有著特殊的理解。歐盟從傳統(tǒng)上將數(shù)據(jù)權(quán)理解為一種基本人權(quán)，將數(shù)據(jù)權(quán)利保護上升到公民基本權(quán)利的高度，并在此理論基礎(chǔ)上制定了強有力的數(shù)據(jù)保護措施①數(shù)據(jù)保護措施主要包括1995 年頒布的《關(guān)于涉及個人數(shù)據(jù)處理的個人保護以及此類數(shù)據(jù)自由流動的第95／46／EC 號指令》、2002 年頒布的《關(guān)于電子通信領(lǐng)域個人數(shù)據(jù)處理和隱私保護的第2002／58／EC 號指令》，以及GDPR 第1 條。。歐盟頒布的眾多法規(guī)中，均包含有保護個人數(shù)據(jù)權(quán)利是保證對個人基本權(quán)利和自由的尊重的內(nèi)容。可見，從基本權(quán)利高度保護數(shù)據(jù)隱私與人格權(quán)幾乎成為歐盟的一以貫之的傳統(tǒng)。GDPR 通過賦予數(shù)據(jù)主體更大權(quán)利、加重數(shù)據(jù)控制者或處理者責(zé)任義務(wù)，以及強調(diào)條例域外效力（長臂管轄）的方式，試圖最大限度地保護歐盟公民的數(shù)據(jù)權(quán)利[7]。

（二）增強域外執(zhí)法便利性，擴張主權(quán)管轄范圍

互聯(lián)網(wǎng)具有虛擬性、開放性和全球性，借助互聯(lián)網(wǎng)實施的行為，其影響范圍也非地理意義上的領(lǐng)土邊界所能阻隔[8]。同時，數(shù)據(jù)保護法下的監(jiān)管決定和判決并不存在允許全球強制執(zhí)行和承認(rèn)的總體法律依據(jù)[9]282。在全球化的背景下，人類面臨著全球恐怖主義、環(huán)境保護、生命健康等涉及人類共同利益和安全的領(lǐng)域的挑戰(zhàn)。單靠一個國家有時很難應(yīng)對這些挑戰(zhàn)，往往需要通過雙邊或多邊的合作等。而域外執(zhí)法效果將受到合作程度的影響，增加了不可預(yù)測性和不確定性，這就給國家擴張其國內(nèi)法的域外效力提供了某種正當(dāng)性依據(jù)。

微軟訴美國案是推動CLOUD 法案產(chǎn)生的重大案件。如何讓美國政府有效完成電子數(shù)據(jù)的跨境取證，成為美國推出CLOUD 法案的重要動力。國際法體系發(fā)展的相對滯后，導(dǎo)致當(dāng)代國際法的強制性仍主要通過自助方式實現(xiàn)，這賦予國家，特別是大國以維護國際法權(quán)威或?qū)嵤﹪H法為由擴張其國內(nèi)法的正當(dāng)性理由[8]。正如美國學(xué)者曾辯稱，美國擴張其國內(nèi)法的域外效力，因增強了國際法的強制執(zhí)行力，在結(jié)果上增強了國際法的權(quán)威[10]。

（三）提高互聯(lián)網(wǎng)產(chǎn)業(yè)的競爭力和話語權(quán)，將國家利益向全球延伸

由于歐盟的數(shù)字平臺并不具優(yōu)勢②根據(jù)《中國互聯(lián)網(wǎng)行業(yè)發(fā)展態(tài)勢暨景氣指數(shù)報告》，全球排名前20 的互聯(lián)網(wǎng)公司中，有13 個美國公司和7 個中國公司。，因而歐盟對數(shù)字經(jīng)濟和數(shù)據(jù)監(jiān)管主要以防御性或反應(yīng)性的方式進行，旨在解決全球數(shù)字平臺活動帶來的困擾。歐盟雖然沒有世界排名靠前的跨國數(shù)字平臺企業(yè)，但卻是跨國數(shù)字企業(yè)的重要市場。歐盟不是數(shù)字領(lǐng)跑者，為保持全球競爭力，近年來歐盟一直采取更積極主動的立場來發(fā)展數(shù)據(jù)驅(qū)動的數(shù)字經(jīng)濟，并在此背景下采取了多項政策舉措。一方面，歐盟努力加快數(shù)字轉(zhuǎn)型。歐盟在其發(fā)布的多份文件中③2020 年2 月，歐盟委員會陸續(xù)發(fā)布了《塑造歐洲數(shù)字未來》（Shaping Europe's Digital Future）、《歐洲數(shù)據(jù)戰(zhàn)略》（A European strategyfor data）和《歐洲人工智能白皮書——通往卓越和信任的歐洲路徑》（White Paper on Artificial Intelligence:a European approach to excellence and trust）三份數(shù)字轉(zhuǎn)型戰(zhàn)略文件。2020 年9 月，歐盟委員會下屬的通信網(wǎng)絡(luò)、網(wǎng)絡(luò)數(shù)據(jù)和技術(shù)總司發(fā)布研究報告《塑造歐洲數(shù)字化轉(zhuǎn)型》。，表達(dá)了要奪回“技術(shù)主權(quán)”、積極推廣其安全并開放的全球互聯(lián)網(wǎng)模式的強烈愿望。另一方面，歐盟憑借巨大的市場資源優(yōu)勢，主要通過GDPR 這一高標(biāo)準(zhǔn)的、先進的個人數(shù)據(jù)立法推廣其數(shù)據(jù)規(guī)制策略。同時，歐盟為GDPR 設(shè)置寬泛的域外效力，通過數(shù)據(jù)規(guī)則的域外適用，歐盟可以將其對數(shù)據(jù)保護的理解和規(guī)則擴展到全球，將“歐盟標(biāo)準(zhǔn)”變成“國際標(biāo)準(zhǔn)”，從而達(dá)到數(shù)據(jù)全球治理的目標(biāo)。

美國數(shù)據(jù)治理規(guī)則背后的一個關(guān)鍵動機是保持其在全球數(shù)字市場的領(lǐng)導(dǎo)地位，并進一步擴展到新市場。美國在開發(fā)數(shù)據(jù)驅(qū)動的產(chǎn)品和服務(wù)方面具有優(yōu)勢，而這些產(chǎn)品和服務(wù)已滲透到世界上大多數(shù)市場，美國進而可以收集更多的數(shù)據(jù)，開發(fā)更好的數(shù)據(jù)產(chǎn)品。因此，他們在全球市場取得成功的能力就越強，形成“正反饋循環(huán)”[11]。通過CLOUD 法案，美國現(xiàn)在可以合法地以打擊犯罪或維護國家安全的事由獲取由美國服務(wù)供應(yīng)者掌控的他國公民的數(shù)據(jù)，進而達(dá)到美國法律域外適用的效果。CLOUD法案豐富了美國控制全球數(shù)據(jù)的渠道，提高了美國互聯(lián)網(wǎng)產(chǎn)業(yè)的競爭力和話語權(quán)。

三、數(shù)據(jù)規(guī)則域外適用的擴張對全球數(shù)據(jù)治理的影響

在全球數(shù)據(jù)治理格局尚未完全形成之時，數(shù)據(jù)規(guī)則域外適用的擴張對全球數(shù)據(jù)治理產(chǎn)生了一定的影響。

（一）數(shù)據(jù)規(guī)則域外適用的擴張，容易引起管轄權(quán)積極沖突

數(shù)據(jù)規(guī)則域外適用的擴張，可能會導(dǎo)致某個國家的數(shù)據(jù)規(guī)則更廣泛地適用于其他國家的數(shù)據(jù)處理行為。而國際法中并不禁止一國立法的域外效力。1927 年，常設(shè)國際法院對“荷花號案”作出判決：“國際法不存在各國不得將其法律的適用范圍和法院的管轄權(quán)擴大到其領(lǐng)土以外的人、財產(chǎn)和行為的禁止性規(guī)定。”[12]自那以來，人們已經(jīng)接受法律可以適用于在一國境內(nèi)產(chǎn)生影響的境外行為。雖然大多數(shù)觀點認(rèn)為國際立法管轄權(quán)確實應(yīng)該存在一些限制[13]39-43，但對于這些限制的具體范圍幾乎沒有達(dá)成一致意見。因而，數(shù)據(jù)規(guī)則域外適用的擴張趨勢必然引起管轄權(quán)的積極沖突。

（二）數(shù)據(jù)規(guī)則域外適用的擴張，增加了既有數(shù)據(jù)規(guī)則協(xié)調(diào)統(tǒng)一的困難

目前，全球并未建立起統(tǒng)一的數(shù)據(jù)治理規(guī)則。統(tǒng)一全球數(shù)據(jù)治理規(guī)則的缺失導(dǎo)致數(shù)據(jù)規(guī)則呈碎片化趨勢，影響數(shù)字經(jīng)濟的發(fā)展。全球范圍內(nèi)普遍和最有影響力的數(shù)字經(jīng)濟方法及數(shù)據(jù)治理法規(guī)截然不同[14]，而數(shù)據(jù)規(guī)則的域外適用則加劇了數(shù)字規(guī)則的碎片化。2020 年世界經(jīng)濟論壇報告中，強調(diào)了數(shù)字經(jīng)濟碎片化是全球主要風(fēng)險之一。數(shù)據(jù)規(guī)則的差異和碎片化趨勢，引發(fā)了人們對互聯(lián)網(wǎng)和數(shù)據(jù)驅(qū)動型數(shù)字經(jīng)濟碎片化可能性的擔(dān)憂。第一，數(shù)據(jù)規(guī)則的碎片化會使發(fā)展中國家陷入做出影響其他經(jīng)濟關(guān)系的選擇困境。例如，在跨境數(shù)據(jù)流動和數(shù)據(jù)保護規(guī)則方面，拉丁美洲國家經(jīng)常不得不在歐盟GDPR 和美國模式之間做出艱難的選擇[15]。第二，數(shù)據(jù)規(guī)則的碎片化，迫使企業(yè)在跨境數(shù)據(jù)傳輸過程中采取多種數(shù)據(jù)保護措施，這會影響數(shù)據(jù)流動的國際互操作性。企業(yè)不得不了解相關(guān)規(guī)則的差別，采取不同的數(shù)據(jù)保護和數(shù)據(jù)跨境傳輸措施。這增加了企業(yè)商業(yè)成本，不利于數(shù)字經(jīng)濟的發(fā)展。雖然互聯(lián)網(wǎng)和數(shù)字經(jīng)濟是否會分裂的最終結(jié)果是不確定的，但是潛在的碎片化風(fēng)險使得我們意識到，各國在沒有國際共識的情況下采用內(nèi)向型數(shù)據(jù)政策并將數(shù)據(jù)政策予以域外適用，將導(dǎo)致全球數(shù)字創(chuàng)新和發(fā)展的機會減少，無法實現(xiàn)基于數(shù)據(jù)流動的數(shù)據(jù)驅(qū)動型經(jīng)濟的潛在利益。

（三）數(shù)據(jù)規(guī)則域外適用的擴張，加劇了數(shù)據(jù)規(guī)則競爭

歐盟基于保護基本人權(quán)的理念賦予歐盟GDPR 域外效力，美國依托“自由”和“高效”的價值理念擴大美國單方調(diào)取域外數(shù)據(jù)的權(quán)力。究其根本，歐盟和美國均是想要通過數(shù)據(jù)法規(guī)的域外適用來爭奪全球數(shù)據(jù)話語權(quán)。GDPR 較強的域外效力，使得眾多在歐盟境外的涉歐業(yè)務(wù)企業(yè)不得不遵守其規(guī)定。而美國CLOUD 法案通過屬人管轄實現(xiàn)了對美國服務(wù)商所擁有、監(jiān)管或控制的數(shù)據(jù)的管轄，具有明顯的域外適用表現(xiàn)。美國紐約州針對金融機構(gòu)的網(wǎng)絡(luò)安全法規(guī)《23 NYCRR 500》與美國加州《2018 年加州消費者隱私法案》等法規(guī)，均是積極主動創(chuàng)設(shè)各種連接因素，尋求法規(guī)的域外適用。數(shù)據(jù)規(guī)則域外適用的擴張體現(xiàn)了歐美利益向全球的延伸，以增加它們獲得數(shù)據(jù)的渠道，提高其市場主導(dǎo)地位。數(shù)據(jù)規(guī)則域外適用的擴張是歐美爭奪數(shù)據(jù)規(guī)則全球主導(dǎo)權(quán)的一個重要手段。

四、中國在他國數(shù)據(jù)規(guī)則域外適用擴張下的應(yīng)對策略

中國數(shù)據(jù)法律規(guī)則以維護“安全”為核心，數(shù)據(jù)規(guī)則體系呈防御性特征。中國數(shù)據(jù)規(guī)則域外適用未成體系，具有被動性和防守性。在歐美等數(shù)據(jù)規(guī)則域外適用擴張的背景下，中國應(yīng)結(jié)合自身數(shù)字經(jīng)濟發(fā)展?fàn)顩r，改變原來防御型數(shù)據(jù)治理理念，主動利用自身的比較優(yōu)勢，更為積極主動地介入全球數(shù)據(jù)治理的大格局中。

（一）建構(gòu)中國數(shù)據(jù)規(guī)則域外適用的法律體系

建構(gòu)中國數(shù)據(jù)規(guī)則域外適用的法律體系，既可以維護中國數(shù)據(jù)利益，又可以擴大中國數(shù)據(jù)法律的影響力。

1.應(yīng)完善中國法域外適用法律體系。目前，中國法域外適用缺乏憲法頂層設(shè)計，只在某些部門法中有相關(guān)域外適用條款。在立法供應(yīng)不足且全面修法存在一定困難的現(xiàn)狀下，建議以行政解釋的方式推動法律域外適用，以司法解釋的方式推導(dǎo)立法意圖和目標(biāo)[16]。

2.修改數(shù)據(jù)相關(guān)法律，明確數(shù)據(jù)規(guī)則的域外適用效力。《網(wǎng)絡(luò)安全法》第75 條及《數(shù)據(jù)安全法》第2 條均采取“境外的機構(gòu)、組織、個人開展……活動，依法應(yīng)當(dāng)追究責(zé)任”的類似表述。首先，作為法總則的一項內(nèi)容，其不應(yīng)涉及法律責(zé)任部分的規(guī)制，法律責(zé)任部分的規(guī)制應(yīng)當(dāng)在“第六章法律責(zé)任”中進行針對性的條文設(shè)計。其次，該種表述并未直接表明法律的域外效力，而是以維護安全為核心的防守性立法模式，缺乏主動性，不利于中國爭奪全球數(shù)據(jù)話語權(quán)。為積極響應(yīng)“加快推進我國法域外適用的法律體系建設(shè)”的要求①2019 年2 月，中央全面依法治國委員會召開的第二次會議明確提出將“加快推進我國法域外適用的法律體系建設(shè)”列入推進依法治國的重點工作。2019 年10 月，黨的十九屆四中全會在《中共中央關(guān)于堅持和完善中國特色社會主義制度 推進國家治理體系和治理能力現(xiàn)代化若干重大問題的決定》中提出，加快中國法域外適用的法律體系建設(shè)，以良法保障善治。，增強中國數(shù)據(jù)規(guī)則的域外適用的效果，并賦予中國司法和執(zhí)法機構(gòu)充分的裁判和執(zhí)法依據(jù)，建議《網(wǎng)絡(luò)安全法》第75 條及《數(shù)據(jù)安全法》第2 條采取“境外的機構(gòu)、組織、個人開展……活動，適用本法”的表述。

（二）擴大數(shù)據(jù)規(guī)則域外適用范圍

通過上文分析可以看到，從歐、美立法來看，數(shù)據(jù)規(guī)則域外適用擴張是一種全球趨勢。數(shù)據(jù)天然具有流動便利性，相關(guān)立法必須考量國際交往中的數(shù)據(jù)流動和數(shù)據(jù)處理等問題。尤其是個人數(shù)據(jù)較為敏感，也是數(shù)據(jù)跨境需求最為強烈的一類數(shù)據(jù)。因此，中國在針對數(shù)據(jù)立法及個人數(shù)據(jù)立法時，應(yīng)當(dāng)擴大數(shù)據(jù)相關(guān)法律域外適用范圍，從而全面維護中國的數(shù)據(jù)利益。

1.完善《個人信息保護法》。隨著全球經(jīng)貿(mào)交易、技術(shù)交流、資源分享等跨國合作日益頻繁，本國境內(nèi)的個人或組織對個人信息處理活動的地域適用范圍已經(jīng)遠(yuǎn)遠(yuǎn)超出了本國境內(nèi)。《個人信息保護法》第3 條第1 款以個人信息“處理行為地”標(biāo)準(zhǔn)作為中國實施管轄權(quán)的依據(jù)，存在著中國的個人信息處理者通過在境外處理個人信息從而規(guī)避中國《個人信息保護法》的可能。建議可在保留“處理行為地”標(biāo)準(zhǔn)的同時，借鑒歐盟GDPR 的“經(jīng)營場所設(shè)立地”標(biāo)準(zhǔn)，擴大《個人信息保護法》的域外適用范圍，將“數(shù)據(jù)處理行為發(fā)生在我國境內(nèi)設(shè)立機構(gòu)開展活動的場景中”作為主張管轄權(quán)的連接因素。鑒于GDPR已在世界范圍內(nèi)有較大的影響力，故這種域外適用的法律條款也同樣易被其他國家接受。

2.修改《網(wǎng)絡(luò)安全法》第75 條，使其與《數(shù)據(jù)安全法》相協(xié)調(diào)。根據(jù)《數(shù)據(jù)安全法》第2 條第2 款的規(guī)定，在將《數(shù)據(jù)安全法》域外適用時，刪除了《網(wǎng)絡(luò)安全法》第75 條之中的“造成嚴(yán)重后果”的要件，進而增加了法律的域外適用范圍及適用效力。故建議修訂《網(wǎng)絡(luò)安全法》第75 條，刪除“造成嚴(yán)重后果”的要件，使之與《數(shù)據(jù)安全法》第2 條相協(xié)調(diào)，增加其域外效力。

3.通過建立國際合作機制，間接擴大中國數(shù)據(jù)相關(guān)法律域外效力。在全球數(shù)據(jù)治理規(guī)則尚未形成之時，中國應(yīng)抓住促進跨境數(shù)據(jù)流動的契機，積極參與跨境數(shù)據(jù)國際規(guī)則的制定和談判，爭取將跨境數(shù)據(jù)流動嵌入國際貿(mào)易投資協(xié)定中，推動建立全球性的跨境數(shù)據(jù)流動國際規(guī)制。引導(dǎo)數(shù)據(jù)國際規(guī)則的建立，達(dá)到將中國的數(shù)據(jù)規(guī)則域外輸出的效果，從而間接擴大中國數(shù)據(jù)法律域外適用的范圍和效力。

（三）加強數(shù)據(jù)流動，應(yīng)對數(shù)據(jù)域外法律制裁挑戰(zhàn)

1.加強數(shù)據(jù)的內(nèi)循環(huán)。近年來，數(shù)據(jù)成為新的生產(chǎn)要素，新的全球經(jīng)濟增長越來越依賴數(shù)字的增長。數(shù)據(jù)的運用產(chǎn)生了建立在數(shù)據(jù)流動基礎(chǔ)上的數(shù)字經(jīng)濟，數(shù)據(jù)就是生產(chǎn)力，數(shù)據(jù)能夠作為金融等領(lǐng)域反制的要害和威懾力量源泉。加強數(shù)據(jù)的內(nèi)循環(huán)是應(yīng)對域外法律制裁挑戰(zhàn)的一個基礎(chǔ)策略。我們應(yīng)立足于本國，完善數(shù)據(jù)共享和交易的法律秩序，促進國內(nèi)數(shù)據(jù)安全、有序的流動。

2.加強數(shù)據(jù)跨境流動，吸引境外數(shù)據(jù)進入中國。為吸引更多境外數(shù)據(jù)進入中國，擴大中國數(shù)據(jù)資源優(yōu)勢，我們建議：首先，循序漸進，構(gòu)建數(shù)據(jù)跨境流動法律城墻。完善的數(shù)據(jù)跨境流動立法，不僅有助于促進經(jīng)濟的發(fā)展，保護流動中的數(shù)據(jù)安全，也是我國吸引境外數(shù)據(jù)進入中國、應(yīng)對境外法律制裁的有效武器。其次，應(yīng)當(dāng)提高數(shù)據(jù)流動中的安全性。數(shù)據(jù)流動中的安全性也是吸引境外數(shù)據(jù)進入我國境內(nèi)的一個關(guān)鍵。我們應(yīng)當(dāng)確立數(shù)據(jù)安全發(fā)展和開放并行的核心目標(biāo)，利用先進的數(shù)據(jù)流動保護規(guī)則吸引更多境外數(shù)據(jù)進入。再次，應(yīng)持續(xù)擴大對外開放。守住數(shù)據(jù)安全的底線，持續(xù)加大中國對外開放力度，吸引更多的外資企業(yè)來華發(fā)展，實現(xiàn)雙方的利益捆綁，利用數(shù)據(jù)的自由流動性，吸收境外數(shù)據(jù)向中國境內(nèi)的流入，集聚數(shù)據(jù)資產(chǎn)。最后，應(yīng)提高數(shù)據(jù)基礎(chǔ)設(shè)施建設(shè)。數(shù)據(jù)基礎(chǔ)設(shè)施建設(shè)的提高，有利于打造開放的數(shù)據(jù)生態(tài)環(huán)境，將數(shù)據(jù)資源轉(zhuǎn)變?yōu)閿?shù)據(jù)資產(chǎn)，也有利于中國獲得更多的境外數(shù)據(jù)。

（四）完善數(shù)據(jù)相關(guān)“阻斷”立法

中國既不能像美國那樣任意擴大國內(nèi)法的域外適用范圍，也不能不在國際法許可的范圍內(nèi)構(gòu)建我國法的域外適用法律體系[17]。因此，中國可結(jié)合本國國情，阻止CLOUD 法案、GDPR等他國長臂管轄對中國數(shù)據(jù)主體的適用，有效保障中國的公民隱私、企業(yè)數(shù)據(jù)權(quán)和國家網(wǎng)絡(luò)主權(quán)。

1.完善中國阻斷立法法律體系。商務(wù)部于2019 年公布的《阻斷外國法律與措施不當(dāng)域外適用辦法》（以下簡稱《阻斷辦法》）規(guī)定了外國法律與措施不當(dāng)域外適用的阻斷機制。然而，《阻斷辦法》雖然對于維護中國的國際利益和保護企業(yè)合法權(quán)益具有重要的意義，但也存在著一定的問題。首先，《阻斷辦法》屬于行政規(guī)章，法律位階偏低，法律位階過低的部門規(guī)章不利于多部門聯(lián)合行動，也無法實現(xiàn)大陸阻斷法同香港阻斷法的有效銜接[18]，更不利于未來實施細(xì)則的制定。因此，有必要在其基礎(chǔ)上制定一部更高位階的阻斷法律。其次，《阻斷辦法》的規(guī)定較為宏觀和模糊，建議對《阻斷辦法》的部分規(guī)定予以細(xì)化或出臺配套的解釋說明。例如，未來可以針對第8 條規(guī)定的“禁令的豁免”程序細(xì)節(jié)作出規(guī)定；對中國法院受理相關(guān)案件的級別管轄問題作出規(guī)定等。再如，作為政府對于因遵守阻斷法而利益受損的國內(nèi)私主體的補償，《阻斷辦法》第11 條①《阻斷辦法》第11 條規(guī)定：“中國公民、法人或者其他組織根據(jù)禁令，未遵守有關(guān)外國法律與措施并因此受到重大損失的，政府有關(guān)部門可以根據(jù)具體情況給予必要支持。”規(guī)定應(yīng)根據(jù)具體情況給予“必要支持”。未來可以對給予何種支持進一步明確，也應(yīng)考慮這種支持是否有可能違反WTO 的禁止性規(guī)定。

2.在數(shù)據(jù)立法中，對“數(shù)據(jù)自由”下長臂管轄規(guī)則進行立法阻斷。明確規(guī)定，對于危害國家安全、損害國家利益的境外法院判決或行政決定，不予認(rèn)可或執(zhí)行。同時，可以制定相關(guān)國家涉及長臂管轄的法律附錄，從立法源頭上否認(rèn)相關(guān)條款的域外效力[7]。但應(yīng)當(dāng)注意，域外管轄的過度限制可能會導(dǎo)致國家間的摩擦。因而，為保證正常的國際交往，域外管轄的限制應(yīng)當(dāng)適當(dāng)。