數據出境安全審查管轄權沖突及國際應對

孫 丹

（遼寧大學法學院，遼寧 沈陽 110036）

在數字經濟迅速發展的背景下，無論是發展中國家還是發達國家，都開始重視數據出境背后的國家安全問題，由此產生了數據出境安全審查制度，數據出境安全審查中管轄權沖突問題日益凸顯。主要是出于國家安全考慮，越來越多國家的數據主權意識在覺醒，它們謀求數據主權獨立，對數據的跨境流動采取治理和控制措施，設置數據出境安全審查程序。同時，網絡技術的發展讓各個國家對數據的控制很難實現。以上因素綜合在一起，進一步加劇了數據出境安全審查管轄權沖突問題。如何應對數據出境安全審查的管轄權沖突，不僅直接影響各國的國家安全問題，而且已經成為國際社會關注的焦點。

一、數據出境安全審查管轄權沖突的成因

為了爭奪更多的數據主權和數據利益，各國通過立法的形式鞏固本國的數據權利。在經濟基礎決定上層建筑的原則背景下，世界上的數據強國不斷出臺的立法成果逐漸形成對他國數據主權的制約，以此滿足本國數據出境流動的需要和數據戰略的發展。

（一）美國長臂管轄原則的應用及影響

1.美國《云法案》確立的長臂管轄原則

美國出臺的《云法案》其核心內容就是不管數據產生國、數據傳輸國的法律如何規定，只要數據實際掌握在美國企業或者外國企業在美國的分支機構或者在與美國相關的數據控制者手里，美國政府就有權調取，而數據持有者、數據掌握者必須提供。①David Callaway，Lothar Determann，The New US Cloud Act-History，Rules，and Effects，The computer&internet lawyer，2018(8)，pp.1-14.即便美國政府沒有直接調取域外數據，按照《云法案》確立的“最低程度聯系”原則，它也可以合法地、無障礙地追蹤監控其他國家產生的數據或者從美國產生但是進入其他國家的個人數據。

《云法案》的出臺影響深遠，該法案強調數據自由并通過貿易、協議、合作等多種方式推動數據調取合法化、規范化、程序化。但是，美國在出臺《云法案》的同時，幾乎同時期出臺了《加州消費者隱私法》，來強化本國公民的個人數據保護水平。2022 年美國繼續出臺《數據隱私和保護法》，從隱私政策的透明度、個人數據所有權和控制權、兒童和未成年人數據保護、數據安全和數據保護多個層面強化國民個人數據保護措施。可見，美國政府對國外公民的個人數據與本國公民的個人數據保護采取了兩套標準。正如有學者指出的那樣，美國的數據治理模式可以總結為“以自我為中心的非對稱跨域管轄”模式，①張曉：《數字化轉型與數字治理》，北京：電子工業出版社，2021年，第264-266頁。其真正的目的在于利用其優勢技術地位構建以美國為中心的全球數據治理體系。

2.美國跨境調取數據的范圍及例外

《云法案》關于調取數據范圍的規定主要體現在第103 條，在數據權屬判定上采取了“數據控制者”標準。與“數據控制者”緊密相關的一個概念是數據服務提供者，也即為數據傳輸提供技術服務的網絡公司。由于美國互聯網技術發達，依托先進的技術，美國將數據服務的觸角延伸的廣闊而深遠，像微軟、蘋果、谷歌、亞馬遜等公司，他們的技術服務涵蓋IT 基礎設施、軟件支撐、信息技術服務、全球服務、商用和家用多種場合，在提供服務的過程中，掌控了其他主權國家大量的數據，處于“數據控制者”的地位。相對而言，互聯網技術不發達的國家，在國際數據市場上很難處于控制者的地位，更多的是數據產生國、數據存儲國，因此為了最大限度地掌控數據，它們更傾向于根據數據來源標準或者數據位置標準來確定數據的權屬。“數據控制者”標準之所以被詬病為數據霸權主義，最主要的原因在于它將數據主權的概念從傳統的物理上的控制邊界延伸至技術上的控制邊界，誰的技術強大，誰在數據市場就擁有絕對的主權優勢，而相應的其他國家的數據主權就受到壓制和限縮，形成數據利用上的不平等和霸凌。《云法案》只強調了數據控制者的權利，沒有認真規定數據控制者的義務，是導致這種不平等產生的根本原因。②高楚南：《數據控制者安全保護義務研究》，湘潭大學博士學位論文，2019年。

根據《云法案》的規定，對于美國政府要求調取數據的要求，數據控制者可以就提供數據違反數據產生國、數據存儲國數據管理規定事宜提出抗辯，在抗辯成立的情況下，美國政府應中止調取行為，這構成美國向外調取證據的一個例外。但《云法案》規定的抗辯理由成立的條件非常苛刻，它要求抗辯的理由在于提供數據的對象不是美國人，且提供其信息違反用戶所屬國的法律，且要求用戶所屬國必須是“適格的外國政府”。據查證，至少截至該方案出臺的時候，美國并未認可任何一個國家屬于“適格的外國政府”。

3.“適格外國政府”調取美國境內數據困難

根據《云法案》第105條的規定，按照對等原則，美國以外的外國政府或國際組織為了打擊恐怖主義犯罪和維護公共安全，也可以要求美國境內的數據服務者提供數據。但并非所有的國家都具備向美國政府提出調取數據要求的資格，如前所述具備提出調取數據資格的政府被稱為“適格的外國政府”，按照美國的法律規定，大部分國家是不“適格”的。根據當前法律規定，認定“適格的外國政府”的條件有兩個途徑：一是通過“適格的外國政府”的資格認定，這主要體現在“適格的外國政府”的法律條件限定上；二是美國政府通過發布命令的辦法來認定“適格外國政府”，其前提條件依然是滿足“適格的外國政府”的限定條件。

要滿足美國法律規定的“適格外國政府”，首先必須承認美國的數據開放思想，但僅有思想上的開放，沒有強大的網絡技術支撐是難以實現數據權利主張的。司法實踐中在認定“適格的外國政府”的時候，判定依據主要來自《美國法典》第18 卷第2523 條，要求滿足且必須滿足6 個條件。①朱子勤：《國際法專題研究：航空與空間法前沿問題探索》，北京：清華大學出版社，2021年，第402、403頁。一是加入《布達佩斯網絡犯罪公約》（也即《網絡犯罪公約》）；二是遵守國際人權公約，在保護隱私、公平審判、游行自由、人道待遇等方面有實質規定；三是就行政協定獲取本國數據事項出臺法律規定，并對調取程序有清晰規定；四是建立健全數據出境責任追究制度，包括對外國政府調取和收集的本國數據能履行有效監管；五是在數據出境安全審查方面堅持信息自由流動的立場；六是對美國公民的信息獲取、儲存、處理等事項堅持最小干預原則。這其實是美國政府對本國公民個人數據保護的立場反應。由于《布達佩斯網絡犯罪公約》是歐美國家牽頭制定的，目前只在歐盟和其他少數國家生效，故無論是通過資格認定還是命令發布，絕大多數國家難以達到“適格的外國政府”條件，相應的科技網絡公司也不會為國外政府或者國際組織調取數據。例如根據蘋果公司的聲明，2013 年至2017 年，中國政府及執法機構共計提出176項調取數據請求，但是最終蘋果公司沒有向中國政府提供任何一項數據。

（二）歐盟數據出境安全審查權實質擴張

1.對歐盟外的其他主權國家數據治理的管轄權

歐盟的《通用數據保護條例》被稱為史上最嚴格的數據保護方案，②連玉明：《大數據藍皮書：中國大數據發展報告》，北京：社會科學文獻出版社，2020年，第42-47頁。該條例出臺引發了世界范圍內對數據出境安全審查的研究和關注。因為其廣泛的影響力和嚴格的責任體系，導致該條例在影響力和聲威方面甚至超過《云法案》的影響力。《通用數據保護條例》采取了極為嚴格的數據保護標準。推動歐盟出臺《通用數據保護條例》的因素是多方面的，一方面歐盟原來的個人數據保護標準就十分嚴格，另一方面美國出臺《云法案》直接影響到歐盟成員國作為數據主體的數據權益，歐盟認為有必要進行反制，甚至通過該條例實現歐盟在數據領域的“布魯塞爾效應”，③李艷華：《隱私盾案后歐美數據的跨境流動監管及中國對策——軟數據本地化機制的走向與標準合同條款路徑的革新》，《歐洲研究》2021年第6期。因此，《通用數據保護條例》域外管轄色彩也十分突出。

《通用數據保護條例》適用于位于歐盟之外的數據處理者和數據控制者，只要相應的產品或者服務過程中涉及歐盟境內公民的個人信息，《通用數據保護條例》就對其具有管轄權。盡管有學者認為《通用數據保護條例》對個人數據的追蹤保護可以看作是屬人主義管轄的體現，④周漢華、周輝：《網絡信息法學研究》，北京：中國社會科學出版社，2019年，第182頁。但是本文認為事實并非如此。理由在于，傳統國際法上的屬人管轄，管轄依據來自被管轄主體的國籍歸屬，但是《通用數據保護條例》中確定管轄依據的并非數據主體的國籍，而是數據主體的個人信息及處理信息的行為。個人信息是數據主體的情況反映并非公民本身，其權利客體具有“物”的屬性，而非人的屬性。從另一個層面來看，歐盟成員國國民主動登錄網絡或者各類APP 的，同樣導致《通用數據保護條例》適用，這極大拓展了《通用數據保護條例》的適用范圍。故《通用數據保護條例》對公民個人信息的延伸保護，其實已經超越了傳統的屬人管轄范疇，是新的管轄依據的體現。2019年，歐洲數據保護委員會根據需要發布了《通用數據保護條例》域外適用指南。根據該指南的規定，提供技術服務和基礎設施的供應商或者互聯網公司受到管轄，因為這些數據處理器收集、存儲、處理的是歐盟成員國國民的個人信息。與美國類似，歐盟通過高額罰款來提升《通用數據保護條例》的權威。比如愛爾蘭已經對谷歌、臉書、蘋果和推特等大型科技公司發起調查，調查事項多達20余項，部分調查已經取得明顯進展，上述公司面臨罰款。根據《通用數據保護條例》的規定，歐盟成員國執法機構還可以行使警告、申誡、責令整改、中止數據傳輸等措施。

由此可見，歐盟依照其一貫強勢的個人數據保護體系，通過對歐盟成員國國民數據的嚴苛保護，依據《通用數據保護條例》來影響其他數據主權國家，最終目的也是拓展其域外管轄權。

2.歐盟內部無障礙數據傳輸的立法嘗試

《通用數據保護條例》致力于建立“內通外圓”的數據治理體系。事實上，追求連貫一致單一的數據出境治理市場正是其背負的歷史使命。①Gil Banyas. A Dawn of a New Day in EU Data Protection，International In-house Counsel Journal Autumn，2016(37)，p.6.作為一部法案，它可以直接適用于整個歐盟所有國家的法案，歐盟成員國不需要通過國內法的轉化即可直接適用該條例；就歐盟外部而言，該條例做到了真正意義上的區域數據保護標準統一，就歐盟成員國內部而言，它的出臺直接解決了成員國國內法在數據保護方面的制度差異問題，試圖在歐盟內部實現無障礙數據傳輸。

為了將《通用數據保護條例》在數據出境流動方面造成的限制影響降到最低，歐盟數據委員會還要求歐盟成員國對《通用數據保護條例》的法條含義解釋應當保持一致。在《通用數據保護條例》運行之前，歐盟各個成員國設有各自的數據保護組織，在《通用數據保護條例》之后，各成員國的數據保護機構的管轄權與其他成員國家之間的數據管轄權互相融合，執行同一解釋體系下同一數據保護標準。

幾乎同時段出臺的《電子證據跨境調取的議案》《歐洲企業間數據共享研究報告》《非個人數據在歐盟境內自由流動框架條例》，可以視為《通用數據保護條例》的特別法。根據《電子證據跨境調取的議案》，在歐盟運營的企業可以直接調取其存在歐盟境外的數據，歐盟據此消除歐盟區域內的數字壁壘，支持數據在歐盟內部自由流動。根據《歐洲企業間數據共享研究報告》，歐盟企業間可以共享數據。根據《非個人數據在歐盟境內自由流動框架條例》，非個人數據也可以在歐盟內部自由流動。《通用數據保護條例》第1 條即強調不應出于對個人信息權利的保護而限制個人信息自由流動，但是，很顯然，對數據自由流動的保障僅限于歐盟內部。

（三）發展中國家數據出境本地化策略影響消極

1.俄羅斯相關立法中的數據本地化策略

根據2018年歐洲國際政治經濟研究中心發布的《數字貿易限制指數》，俄羅斯的各項數據政策在65個國家中排名第一，這說明俄羅斯是嚴格限制數據出境流動的代表性國家。2015年俄羅斯總統普京簽署了《就“進一步明確互聯網個人數據處理規范”對俄羅斯聯邦系列法律的修正案》，要求公民個人數據需在俄羅斯境內保存且數據庫必須位于本國境內，這便是數據本地化存儲策略的具體表現。不僅如此，企業還需向政府報告其數據庫的地址，以便檢查順利進行。對于違反數據本地化策略的企業，《聯邦個人數據法》規定了罰款和責令整改兩個處罰措施，但是在執行力度和處罰金額方面較為溫和。

但數據在發展中國家的價值還是被充分估計到了，數字經濟帶來的好處正在從企業、政府向其他普通民眾轉移。②Heeks Richard，Rakesh Vanya，Sengupta Ritam，Chattapadhyay Sumandro，Foster Christopher:Datafication，Value and Power in Developing Countries: Big Data in Two Indian Public Service Organizations，Development Policy Review，2021(1)，pp.1-21.即便是對數據出境流動限制最為嚴格的俄羅斯，也在立法中規定了數據自由流動的例外情形，但是這需要通過國際合作來實現。首先，俄羅斯是歐盟《個人數據自動化處理中的個人保護公約》的締約國，對于加入該公約的俄羅斯承諾其數據保護水平達到充分性的認定標準。其次，俄羅斯也建立了數據保護標準認證白名單制度，對于白名單目錄中的國家適度放寬對其數據出境流動限制等級。①張麗、孫菲陽：《跨境數據流動：全球治理趨勢與我國規制策略》，北京：電子工業出版社，2022 年，第125、126 頁。

2.中國相關立法中展現的域外效力

當前中國跨境數據出境安全審查體系可概括為“1+3+N”的格局，其中，“1”是指國家安全法，這是我國跨境數據法律規范體系的基石，凸顯了數據出境合規首要目的是保護國家的利益和安全。“3”是指網絡安全法、數據安全法和個人信息保護法，這三部法律是我國數據保護三大基本法，多個法律條文規定重要數據出境應當經過安全審查。“N”是指數據出境安全評估辦法、關鍵信息基礎設施安全保護條例、網絡數據安全管理條例（征求意見稿）、數據安全管理辦法（征求意見稿）以及工業和信息化領域數據安全管理辦法（試行）（征求意見稿）等規范和一系列相關的國家標準，旨在為數據出境規范提供詳細補充。

我國在數據領域的立法重點當然在于規范國內數據市場，但是放在國際數據霸權和數字經濟爭奪的背景下，對內保護個人數據和限制數據出境的舉措，與美國、歐盟出臺的數據調取策略難免形成沖突，域內數據立法也便顯現出域外效力。例如，我國個人信息保護法第40條、第41條規定的非經批準不得向外國政府提供國民數據；數據安全法第24條規定的數據出境安全審查制度和第31條規定的服務器管轄原則，都要求達到一定規模的企業必須遵守中國數據安全立法的規定。從行業來看，我國相關法律法規也早就對金融業、醫療業、會計業、基因行業、網約車用戶信息等領域的信息收集和跨境流動作出特別限定，涉及國家秘密、國家安全、社會公共利益、商業秘密和個人隱私的數據，不得出境流動且須遵守相應的安全保密審查制度。

當然，我國個人信息保護法規定了在數據主體同意下，數據出境流動的傳輸工具包括安全評估、認證機制和標準合同三種，這可以看作是我國在推動數據出境流動方面所做的努力，通過調整本國數據保護政策向歐盟《通用數據保護條例》靠攏。

二、數據出境安全審查管轄權沖突的表現

網絡的虛擬性和無限性沖擊了傳統的國家管轄權，屬地管轄、屬人管轄、保護性管轄和普遍性管轄在網絡背景下延伸適用并不理想。②楊帆：《網絡環境下的國家管轄權沖突與重構》，《理論觀察》2015年第3期。特別是當各國對數據出境安全審查時，管轄權沖突問題就成為確保貿易正常進行和保障國家安全的首要問題。

（一）美國數據出境安全審查管轄權沖突的體現

1.單邊跨境調取抵消數據存儲國的數據出境安全審查管轄權

《云法案》確立的直接向數據控制者調取數據的模式，又被稱為單邊跨境數據調取模式，③陳東陽：《論單邊跨境數據調取中的管轄權沖突》，《南大法學》2023年第2期。其試圖繞開數據存儲國的管轄權限制，直接無視數據存儲國的數據出境安全審查管轄權，導致數據出境安全審查管轄權背后承載的國家安全觀念無從落實。事實上，國際法領域，管轄權被制約乃至被架空的情形也是比較常見的，而像這種徹底繞開管轄權的數據出境，應認定為是對管轄權沖擊最大的一種情形，而由此引發的數據出境安全審查管轄權沖突十分常見。2000年，美國聯邦調查局繞開俄羅斯的數據本地化存儲政策，在線直接向數據控制者調取數據的行為，引發了俄羅斯的外交抗議。不僅如此，美國單邊跨境調取數據的行為，還引起了中國、德國等國家的外交抗議，中國政府甚至出臺專門的國內法來抵制《云法案》域外管轄效力。

2.屬人管轄沖擊數據存儲國數據出境安全審查管轄權

根據《云法案》的安排，美國之所以能確立單邊跨境數據調取模式，其理論基礎在于，數據控制者屬于美國公司或者數據控制者受美國法律管轄。依據屬人管轄原則，美國可以直接調取數據存儲國所存儲的數據。在國家安全審查這個背景下，數據出境安全審查管轄權作為數據管轄權的一部分，自然也在這種屬人管轄與數據存儲國屬地管轄的沖突中被侵犯。事實證明，隨著美國的勢力范圍不斷擴展，美國通過對數據控制者的屬人管轄就可以不斷挑戰數據出境安全審查管轄權。反之，當美國作為數據存儲國，外國政府試圖向其調取數據時，要受到美國的數據出境安全審查管轄權的制約，而美國的數據出境安全審查管轄權不僅體現在數據領域，更多地體現在外商投資領域，且隨著國家安全審查制度的發展，還可以擴展到更加廣泛的領域。

3.屬地管轄沖擊數據存儲國數據出境安全審查管轄權

如前所述，當數據入境時，美國奉行“最低程度聯系”原則。“最低程度聯系”原則最初的含義是指在美國內部，一個企業跟一個州有連續的商業活動，就可認定該企業與這個州有聯系，從而這個州就獲得對該企業的管轄權。它原本是美國的國內法，但是在其建立以后，美國通過一系列的案例，逐漸將其變成了國際法律武器，確立了“長臂管轄”原則。美國將“最低限度聯系”原則的情形不斷細化分化，導致越來越多的行為被納入“最低限度聯系”的范疇，例如使用美元結算、電子郵件的服務器設在美國，等等。對于不服從美國數據調取令狀的當事人，美國有權予以處罰，而不論該當事人遵守美國法律同時違反本國法律可能帶來的義務沖突。2010年世界著名奢侈品牌古馳品牌方起訴中國公民造假案具有代表意義。當時古馳公司在美國起訴多名中國人，理由是這些人制造并銷售假的古馳品牌產品并將違法所得存入中國銀行國內分行賬戶。因此，古馳品牌方要求法院調取被告在中國境內開設的銀行賬戶信息。2015 年美國紐約州法院法官簽發數據調取命令，中國人民銀行紐約分行拒絕提供中國境內銀行賬戶信息，紐約州法院因此認為中國人民銀行構成藐視法庭罪，并對中國人民銀行作出每日5萬美元的罰款。

此外，美國國會還出臺了《反海外腐敗法》《出口管制條例》和《薩班斯法案》，共同構成了“長臂管轄”權的三大基石，讓美國的管轄權從國內延伸到國際。當數據出境時，美國奉行“適格的外國政府”原則，大部分國家根本無權提出調取美國數據。這意味著，作為數據調取國，美國希望繞過數據存儲國數據出境安全審查管轄權的限制；而作為數據存儲國，美國又堅持屬地管轄原則，不接受他國單方面調取本國境內數據。

（二）歐盟數據出境安全審查管轄權沖突的體現

1.間接調取數據出境，排斥數據出境國安全審查管轄權

比利時訴雅虎案確立了歐盟間接調取域外數據的權力。在該案中，嫌疑人通過雅虎的郵箱對比利時境內的公民實施了欺詐行為。比利時根據本國的刑事訴訟法向雅虎公司美國辦公室發出指令，要求后者披露犯罪嫌疑人郵箱信息。雅虎公司以屬人管轄原則推脫執行，要求雅虎公司通過外交途徑向美國政府請求協助執行，但比利時并未采納該建議，而是直接對該公司提起訴訟。最終比利時以雅虎網站上彈出的信息可直接連接比利時境內的用戶，判定雅虎公司“事實上位于比利時”，判決其披露信息。①梁坤：《數據主權與安全：跨境電子取證》，北京：清華大學出版社，2023年，第24頁。該案雖然表面上看通過“屬人原則”確立了比利時對域外的雅虎公司享有管轄權，但是這種間接調取數據的行為，同樣侵犯了美國的數據出境安全審查管轄權。

在刑事犯罪領域，歐盟亦主張單邊跨境調取數據，這種思想集中體現在由其主導出臺的《網絡犯罪公約》中。《網絡犯罪公約》規定了兩種單邊跨境調取數據的情形：一是直接調取境外公開的數據；二是經數據權利人同意，可以直接調取境外非公開的數據。①陳東陽：《論單邊跨境數據調取中的管轄權沖突》，《南大法學》2023年第2期。調取非公開數據出境無須數據存儲國出境安全審查，只要取得數據權利人同意即可，這說明數據出境過程中的國家安全利益并未被考慮到。對于歐盟來說，依據屬地管轄原則提出的數據出境安全審查文件，并不具有法律效力，卻是數據出境安全審查實際遵循的原則。

2.歐盟成員國之間關于數據出境安全審查沖突

《通用數據保護條例》要求歐盟各成員國在數據出境安全審查中遵循統一的標準、原則、審查辦法，但是這并不意味著各個成員國之間就不存在數據出境安全審查管轄權沖突。較之于美國，歐盟的特殊之處在于：首先，歐盟成員國與歐盟都是國際法主體，《通用數據保護條例》說到底是國際法，其與歐盟各個成員國國內法關于數據出境安全審查的規定可能并不一致。對域外執法標準的承認屬于間接管轄權部分，2019年海牙《承認與執行外國民商事判決公約》規定了間接管轄權審查依據，確立了間接管轄權原則。②劉陽、歐盟：《“禁止間接管轄權審查”規則的適用》，《大連海事大學學報（社會科學版）》2021年第2期。但是隨著網絡發展和危害國家安全新問題的出現，歐盟成員國不可避免地要在國內法中對數據出境安全審查問題進行規定，而這種規定即便與《通用數據保護條例》規定的一致，也會引發數據出境安全審查管轄權沖突的問題。更何況，與此同時發展起來的間接管轄權審查及禁止間接管轄權審查規則讓承認域外民商事判決效力的問題變得更加復雜。其次，從歐盟層面來說，《通用數據保護條例》與《非個人數據在歐盟境內自由流動跨境條例》對個人數據與非個人數據出境采取了不同程度的限制標準，而準確區分個人數據與非個人數據，有賴于各個國家國內法的規定，這構成了數據出境安全審查管轄權沖突的第二個層面。再次，當歐盟及其成員國處于數據出境國時，其對數據出境安全審查設置了統一的規則，而當歐盟及其成員國處于數據流入國，而數據存儲國作為數據出境國時，數據出境國對數據出境安全審查管轄權的規定，與《通用數據保護條例》《非個人數據在歐盟境內自由流動跨境條例》對數據出境安全審查管轄權的規定發生沖突，這構成了數據出境安全審查管轄權沖突的第三個層面。

三、數據出境安全審查管轄權沖突的國際應對

（一）美國從構建雙邊規則向多邊規則的轉型

1.歐美之間不斷被推翻的跨境數據保護規則

歐盟和美國作為重要的戰略合作伙伴，伴隨著雙方數據保護標準的不斷提升，戰略合作也在不斷升級。其達成的國際協議既要確保雙方之間數據自由跨境流動，又要為數據提供較高的保護水平，還要避免因為數據出境安全審查管轄權沖突而阻礙雙方之間數據出境交流，因此經歷了合作協定不斷被推翻又不斷被重新構建的過程。從2000年歐盟和美國締結的《安全港協議》，到2016年歐盟與美國重新達成了《隱私盾協議》，到2020 年歐洲法院再次認定《隱私盾協議》無效，歐盟與美國之間的數據出境流動不斷通過制定標準合同條款來實現，2021 年修訂通過的數據控制者向數據處理者之間傳輸數據的標準合同條款文本運用較多。直到2021 年3 月歐盟委員會和美國宣布，已經就跨大西洋數據隱私達成新的原則性協議。

2.逐步擴大的區域合作戰略

美國憑借其強大的經濟實力，在貿易談判中將跨境數據自由流動納入協議條款，以便為其提供更多獲取境外數據的機會。與此同時，美國利用其國際影響力積極推動區域多邊對話，通過簽訂合作協議確保其在全球范圍內順利獲取數據。2013年6月美國與歐盟簽訂《跨大西洋貿易與投資伙伴協議》（簡稱TTIP），有效彌補了雙方在數據出境流動監管理念、立場和監管方式等方面存在的分歧。2013年美國還與澳大利亞發起《服務貿易協定》規則談判，有望重塑國際數據貿易新規則。2018年美國、墨西哥、加拿大三國簽署了《美加墨協定》，該協定經審議通過后于2020年7月1日正式生效。《美加墨協定》是《北美自由貿易協定》的升級版本，強調數據出境自由流動，強調保護消費者在數字貿易中的隱私權，但更多的目的在于保護這些國家已經取得的數字經濟利益，限制政府要求披露源代碼和算法的權限。《美加墨協定》是特朗普上任后達成的首個多邊貿易協定，被認為是“美國利益優先”的新經貿規則的代表。2019年美國還與歐盟、日本、新加坡、澳大利亞、中國、巴西、俄羅斯等共計76個國家簽訂了《關于電子商務的聯合聲明》，該聲明再次重申禁止數據本地化存儲的立場，要求各國對電子數據出境傳輸免征關稅，試圖在更大范圍內獲取數據利益。2022年美國、歐盟、英國、澳大利亞、日本等60多個國家和組織推出《互聯網未來宣言》，提出全面開展網絡安全風險評估，促使技術問題非政治化，以打造開放、自由、安全、可靠的數據交易體系。此外，美國還利用G20峰會、亞太經合組織會議等契機，推動開辟雙邊多邊數據出境流動規則體系建設，加大與其他數據實體開展跨境數據流動合作。

3.“全球跨境隱私規則”形成的開放體系

2022年4月，美國發布《全球跨境隱私規則宣言》，宣布建立全球跨境隱私規則體系（簡稱CBPR）。“全球跨境隱私規則”體系達成途徑有兩條：一是建立全球跨境隱私規則論壇，促成信息交流與合作；二是建立跨境隱私規則和隱私認可制度國際認證體系，來推廣全球跨境隱私規則和處理者隱私認可機制。其最終目標是通過認證全球隱私保護規則和數據交易，支持數據自由流動，促進數據保護和數據出境流動，提升跨境隱私執法協作效率。目前加入“全球跨境隱私規則”體系的國家有加拿大、日本、韓國、菲律賓、新加坡、美國。雖然“全球跨境隱私規則”體系是非強制性的多邊性規則體系，但是由于美國的積極推廣和日本、韓國等東亞發達國家的加入，讓該規則體系的影響力與日俱增。當前印度正在積極推動本國法律修訂，試圖加入這一組織，可見其積極影響力。

美國試圖通過這個體系將亞太經合組織框架下的數據出境傳輸機制拓展到全球范圍內，除了重點關注與歐盟之間數據出境傳輸規則之外，將更多的重心放在構建全球數據出境規則構建上。即便是不能達成以美國為中心的數據出境傳輸治理格局，美國也試圖借助“全球跨境隱私規則”體系宣傳其數據治理主張，借機打壓限制中國、俄羅斯在數據治理中發揮作用，以構建以美國為中心的全球數據治理格局。

（二）歐盟推動數據出境安全審查的國際模式

1.數據保護白名單制度

雖然《通用數據保護條例》規定了歷史上最為嚴格的個人數據隱私保護標準，但是歐盟也清楚地認識到，禁止向達到“充分性保護”水平的國家跨境傳輸數據是不現實的，故《通用數據保護條例》吸收和發展的數據出境傳輸白名單制度為數據出境安全審查提供了另一條路徑，為全球數據保護多樣化提供了歐洲方案。目前，已經有12個國家被歐盟委員會納入數據出境流動“白名單”目錄，日本、印度正在積極爭取通過認證。一旦得到通過，白名單國家陣營將進一步擴大。為了確保數據保護水平被歐盟委員會認可，通過或者正在試圖加入數據保護白名單的國家無一例外采取了向《通用數據保護條例》靠攏的立場和觀點。這直接推動了以歐盟為中心的數據出境流動治理格局的形成。

《通用數據保護條例》通過設立白名單制度，間接地將本國數據出境標準施加于其他國家，促使其他國家接受歐盟制定的數據出境標準，有利于維護歐盟數據保護基本價值觀念，強化了歐盟委員會和歐盟成員國在數據出境治理領域的話語權。同時，歐盟委員會還可以通過執行更加嚴格的標準來進一步操縱和影響其他主權國家的數據立法，推動整個數據出境流動市場越來越“歐盟化”，讓部分國家始終處于白名單制度之外，以此來影響國際貿易和數字經濟的發展趨勢。

2.替代性審查規則的建立

標準合同條款為歐盟數據出境傳輸和保護提供了替代性方案，是與充分性保護認定和有約束性企業規則一樣重要的數據出境傳輸規則。某種程度上，標準合同條款發揮的作用甚至更為重要。在《隱私盾協議》被判決失效后，歐盟和美國主要依靠標準合同條款來實現數據出境傳輸，標準合同條款的出現彌補了國際數據出境傳輸方面出現的空白，確保了數據出境傳輸的正常進行。截至目前，歐盟通過了3個版本的數據出境傳輸合同，進一步優化了數據出境傳輸規則，增強了《通用數據保護一般條例》的操作性，提高了歐盟數據保護水平，滿足了歐盟企業商業模式日益復雜化的數據傳輸訴求。在《通用數據保護條例》確立的標準合同條款的基礎上，也同樣倒逼著歐盟成員國之外的其他國家完善數據出境流動立法規范，在這方面，中國、日本、東盟等國家或國際組織在數據出境傳輸的框架搭建上不同程度地借鑒了歐盟的標準合同條款智慧。前文提到歐盟正在著手制定從數據控制者到數據處理者的數據出境傳輸標準合同，新的標準合同條款的制定不僅可以彌補法律固定性的缺陷，對之前已經制定的標準合同條款不足之處進行修正，而且可以根據實踐需要補充新的合同條款以適應現實需要，更可以避免《通用數據保護條例》嚴格適用帶來的管轄權沖突問題。標準合同條款可以達成更為自由的數據傳輸目的，而標準合同條款的適用讓最終形成的數據出境安全審查系統帶有歐盟單一數字市場的色彩。①李仁真、羅琳娜：《歐盟數據跨境傳輸標準合同條款新發展及啟示》，《情報雜志》2022年第5期。

3.“適當保護措施”在歐盟內外的區別保護

與數據保護充分性水平認證和標準合同條款、具有約束力的企業規則指向數據流入國的數據保護水平不同，“適當保護措施”更關注數據存儲、利用和跨境傳輸過程中的安全性。《通用數據保護條例》要求數據處理應當以確保個人信息的適當安全性為前提，為了達到這種適當安全性的目的，需要在數據處理過程中采取技術性的或者組織性的措施來保護數據免遭泄漏或者未經授權跨境傳輸或者意外丟失、銷毀、被破壞，又或者在發生了數據侵權事件時，及時阻斷數據流動鏈，啟動數據侵權維權應對措施。為了確保數據保護措施得到嚴格的執行，《通用數據保護條例》設立了“數據保護官”制度。《通用數據保護條例》第38條第1款規定，數據控制者和數據處理者應當確保數據保護官能夠及時、適當地參與到任何與個人數據保護有關的事務中，第2 款要求數據控制者和數據處理者應當為數據保護官履行職責提供必要的協助。第3款規定數據保護官直接對數據控制者和數據處理者最高管理層負責，不因其正當履職而被解雇。第39 條詳細規定了數據保護官在數據保護過程中具體的職責，包括通知數據控制者和數據處理者履行法定義務，監督數據控制者和數據處理者遵守數據保護的相關法律法規，對數據保護工作提供建議，監督數據保護措施的執行，接收數據主體的投訴、咨詢、溝通、交流，配合數據出境安全審查機構執法，等等，數據保護官進行的活動大多屬于適當保護措施的范疇。具體而言，“適當保護措施”要求數據輸入方和數據輸出方對用戶個人信息采取的保護措施更加細化，對數據保護進行協議約定，且協議內容要更加細致，并且在平時的工作中要適時公布公民個人信息保護實踐中存在的問題。“適當保護措施”的法源依據在于數據主體的信息權利，這些權利包括信息收集知情權、信息處理同意權、個人信息訪問權、拒絕提供個人信息權、個人信息的可攜帶權、要求刪除個人信息權、個人信息更正權、個人信息持續控制權等。針對數據主體的各項數據權利，數據處理者在處理數據過程中需要采取的必要保護措施有：對數據進行適當的脫敏處理，使其不可追溯；信息控制者在信息系統中應設置隱私保護條款，使得數據不能被公開獲取；發生信息泄露事件以后，企業必須及時報告，監管機構應當跟進處罰；等等。

一般來說，數據治理水平較高的國家，其數據出境傳輸過程中的數據保密技術也較高。通過對適當保護措施的評估和認證，從另一個層面反向推動數據出境傳輸雙方統一數據出境保護措施水平，也為歐盟將其數據保護技術推向全球提供了契機。在《隱私盾協議》中，歐洲法院最終就認定美國對數據保護沒有提供適當的保護措施。

（三）印度和俄羅斯應對管轄權沖突的實踐

1.印度向美國建立的數據出境安全審查體系融入

網絡技術發展帶來的全球網絡空間不對稱問題，早已是數據治理領域乃至大國交往過程中不公開的秘密。比起發達國家因為技術爆炸帶來的跨越式發展，發展中國家反倒面臨著被數據技術邊緣化的危險，二者之間的差距越來越明顯。而對于印度等發展中國家而言，這種不對稱就更加明顯。為了對抗這種不對稱性，印度采取了更為激進的數據出境安全審查政策，雖然《信息技術法案》規定在“必要的”情況下，“敏感的個人數據或信息可以出境”，但是到底何為“必要的”情形，法律沒有做出明確規定。不過，印度法律規定，法人團體或者其委托人、代表人可以將敏感的個人數據或信息傳輸給該團體位于印度以外任何地方和國家，其目的自然是為了保障跨國公司的利益。但是在實際操作中，由于個人信息出境采取了知情同意的原則，印度的個人數據出境傳輸要求以書面形式取得數據主體的同意，而且數據主體有權利取消“我同意”的網頁設置，這就導致其實際的傳輸標準比歐盟的傳輸標準還要嚴格，①Rahul Matthan，Recent Developments under Indias Data Privacy Rules，Journal of Internet Law，2012(1)，pp.3-7.大量數據實際無法傳輸。2014年，印度更是提出了數據本地化策略，要求在印度產生的數據必須存儲在印度境內的服務器上；印度國家安全委員會甚至呼吁電信部對所有通過印度互聯網交換產生的數據都留在印度境內。綜上，印度在數據出境安全審查方面，雖然試圖采取和美國一樣的監管策略，但是在后期的發展中，隨著數據泄露事件的發生和對數據大國抗衡的目標要求，也逐漸根據本國國情轉而采用了限制個人數據出境的基本策略。

2.俄羅斯確立了內外同嚴數據出境安全審查宗旨

對數據出境安全審查帶來的數據出境管轄權沖突問題，發展中國家不約而同地采取了統一的抵制態度，這一點在俄羅斯體現得更為明顯。2013 年的數據泄露事件對俄羅斯數據出境安全審查政策的影響十分深遠，自此之后，俄羅斯出臺法律要求數據本地化存儲；但是為了打擊恐怖主義等目的，可以不受該條件制約。②Hernandez Simon，Raina Akhil，Legal Problems with Data Localization Requirements:The Case of the Russian Federation，Global trade and customs journal，2020(9)，pp.445-459.大部分發展中國家雖然強調數據出境本地化要求，但是在外界的干擾和促進下，同時也在發展數據出境保障措施，而俄羅斯卻一直沿著數據本地化存儲的策略越走越遠。2023年3月1日起開始生效的《關于批準在違反聯邦法律〈個人數據法〉的情況下可能對個人數據主體造成損害的評估要求》要求，所有在俄羅斯處理個人信息系統的運輸商及所有權人都必須遵守該規則。

也正是俄羅斯這種“內外雙嚴”的數據出境安全審查策略，導致當發生數據出境安全審查管轄權沖突的時候，俄羅斯自然要求無條件適用本國法律，但是對于造成的沖突應該如何彌合，俄羅斯立法并未作出明確具體的規定。

四、結論

通過本文的分析，可以看出數據出境安全審查管轄權沖突的實質，主要是數據出境安全審查立法管轄權沖突。原因主要是各個主權國家對“數據出境”的含義和范圍的界定不同。③吳琦：《網絡空間中的司法管轄權沖突與解決方案》，《西南政法大學學報》2021年第1期。例如，就數據出境而言，很可能在中國不屬于準許數據出境的情形，在美國卻無限制。由于數據的特殊性，依據屬人原則或者屬地原則，或者基于公平保護原則，主權國家可以將數據出境安全審查的職責擴展到本國領土之外，也就是通過國內立法達到域外立法權限。

因此，應對數據出境安全審查出現的管轄權沖突問題，國際社會應該通過加入或者簽訂國際協作，就數據出境安全審查在一定區域內達成統一規則。從某種程度上來看，數據是否可以出境，更多受制于數據出境企業，而不是數據存儲國政府，因為數據所屬企業可以不讓出境數據進入數據存儲國數據出境安全審查程序。即便國際法上不承認直接侵入數據存儲國調取數據的行為的合法性，也無法避免發生這種情況的可能性。而對于數據出境安全審查管轄權沖突導致的糾紛，需要通過數據出境安全審查司法活動來化解。在這方面，目前適用較為廣泛的制度有兩種：一是國際禮讓原則，二是國際協作。實際上，大部分數據出境安全審查的管轄沖突是通過國際協作來實現的。在網絡發展與數據安全交織的背景下，管轄權沖突不僅是雙邊的，更是多邊的，最終需要國際條約或者國際組織規范進行有效的多邊協調。①閆飛：《網絡安全法律涉外管轄權問題研究》，《網絡空間安全》2019年第3期。在這方面，無論是美國、歐盟，還是印度、俄羅斯、中國，都做出了積極的努力。