數(shù)據(jù)規(guī)則域外適用的擴(kuò)張與中國的策略

李 晴

（遼寧大學(xué) 法學(xué)院，遼寧 沈陽110036；沈陽師范大學(xué) 法學(xué)院，遼寧 沈陽 110034）

人類正在快步跨入信息時(shí)代，在信息化時(shí)代，數(shù)據(jù)成為新的生產(chǎn)要素，數(shù)據(jù)資源成為全球經(jīng)濟(jì)與貿(mào)易發(fā)展的主要驅(qū)動(dòng)因素，新的全球經(jīng)濟(jì)增長越來越依賴數(shù)字的增長。除了商業(yè)價(jià)值外，數(shù)據(jù)也會(huì)促進(jìn)人類共同利益和安全。數(shù)據(jù)流動(dòng)和共享在全球恐怖主義、環(huán)境保護(hù)、生命健康等涉及人類共同利益和安全的領(lǐng)域發(fā)揮重要作用。各國將數(shù)據(jù)治理作為法治的重要內(nèi)容之一。歐盟、美國等正努力通過擴(kuò)張數(shù)據(jù)規(guī)則的域外適用來實(shí)施數(shù)據(jù)領(lǐng)域的長臂管轄。歐盟基于保護(hù)基本人權(quán)的理念賦予歐盟數(shù)據(jù)規(guī)則域外效力，美國依托“自由”和“高效”的價(jià)值理念擴(kuò)大美國單方調(diào)取域外數(shù)據(jù)的權(quán)力。從世界范圍內(nèi)的數(shù)據(jù)保護(hù)法來看，數(shù)據(jù)規(guī)則域外適用的擴(kuò)張趨勢(shì)明顯。數(shù)據(jù)規(guī)則域外適用擴(kuò)張產(chǎn)生的原因和影響有哪些，以及中國在他國數(shù)據(jù)規(guī)則域外適用擴(kuò)張下如何應(yīng)對(duì)是值得研究的重大問題。

一、數(shù)據(jù)規(guī)則域外適用的擴(kuò)張現(xiàn)象

數(shù)據(jù)規(guī)則域外適用的擴(kuò)張是數(shù)據(jù)時(shí)代背景下的產(chǎn)物。歐盟、美國等已率先通過地區(qū)或國內(nèi)立法加強(qiáng)數(shù)據(jù)規(guī)則的域外適用，擴(kuò)大管轄權(quán)范圍。

（一）歐盟數(shù)據(jù)規(guī)則域外適用現(xiàn)狀

2018 年生效的《歐盟數(shù)據(jù)保護(hù)通用條例》（General Data Protection Regulation，GDPR）在地域適用范圍上確立了以屬地原則為主、效果原則為輔的管轄原則。GDPR 適用范圍具體規(guī)定如下。

1.設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)。根據(jù)GDPR 第3 條第（1）款①GDPR 第3 條第（1）款規(guī)定：“數(shù)據(jù)控制者或處理者在歐盟境內(nèi)設(shè)立機(jī)構(gòu)，只要數(shù)據(jù)處理行為發(fā)生在此設(shè)立機(jī)構(gòu)開展活動(dòng)的場(chǎng)景中，無論數(shù)據(jù)處理行為是否發(fā)生在歐盟境內(nèi)，本法對(duì)該行為有管轄權(quán)?！钡囊?guī)定，數(shù)據(jù)處理行為發(fā)生在數(shù)據(jù)控制者或處理者在歐盟境內(nèi)的設(shè)立機(jī)構(gòu)開展活動(dòng)的場(chǎng)景中，均應(yīng)適用GDPR[1]。歐洲數(shù)據(jù)保護(hù)委員會(huì)發(fā)布的《關(guān)于GDPR 地域范圍的第3/2018 號(hào)指南》對(duì)“設(shè)立機(jī)構(gòu)”及“數(shù)據(jù)處理行為發(fā)生在此設(shè)立機(jī)構(gòu)開展活動(dòng)的場(chǎng)景中”的理解進(jìn)行了進(jìn)一步闡釋。GDPR“設(shè)立機(jī)構(gòu)標(biāo)準(zhǔn)”是以屬地連接點(diǎn)為基礎(chǔ)的域外適用規(guī)則。這種域外適用規(guī)則以屬地連接點(diǎn)為基礎(chǔ)，客觀上根據(jù)屬地原則對(duì)發(fā)生在境外的行為行使了管轄權(quán)。GDPR在屬地管轄原則的視角下，以“數(shù)據(jù)處理行為發(fā)生在此設(shè)立機(jī)構(gòu)開展活動(dòng)的場(chǎng)景中”構(gòu)成一個(gè)主張管轄權(quán)的連接因素。GDPR 并非將管轄重點(diǎn)放在數(shù)據(jù)處理行為發(fā)生的具體位置，而是放在“數(shù)據(jù)處理行為本身”，因此能夠避免出現(xiàn)法律規(guī)避的情況[2]。

2.目標(biāo)指向標(biāo)準(zhǔn)。根據(jù)GDPR 第3 條第（2）款①GDPR 第3 條第（2）款規(guī)定：“本條例適用于由未在歐盟設(shè)立的控制方或處理方處理在歐盟內(nèi)的數(shù)據(jù)主體的個(gè)人數(shù)據(jù)，如果處理活動(dòng)涉及：（a）向歐盟境內(nèi)的數(shù)據(jù)主體提供產(chǎn)品或服務(wù)，不論數(shù)據(jù)主體是否需要支付費(fèi)用。或（b）對(duì)數(shù)據(jù)主體在歐盟境內(nèi)的行為進(jìn)行監(jiān)控”。的規(guī)定，如果歐盟境外的數(shù)據(jù)控制者或者處理者實(shí)施的數(shù)據(jù)處理行為發(fā)生在向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)的過程中，或者對(duì)數(shù)據(jù)主體發(fā)生在歐盟內(nèi)的行為進(jìn)行監(jiān)控，GDPR 有權(quán)管轄該行為[3]。GDPR“目標(biāo)指向標(biāo)準(zhǔn)”是以效果原則為理論基礎(chǔ)的域外適用規(guī)則。歐盟享有了對(duì)非歐盟企業(yè)在歐盟境外所作的對(duì)歐盟產(chǎn)生影響力的數(shù)據(jù)處理行為的管轄權(quán)。GDPR“目標(biāo)指向標(biāo)準(zhǔn)”擴(kuò)大了GDPR 的適用范圍，使得GDPR 成為一種事實(shí)上的世界法律，因?yàn)樵S多機(jī)構(gòu)實(shí)體都希望和需要連接歐洲市場(chǎng)[4]。

（二）美國數(shù)據(jù)規(guī)則的域外適用

1.美國《澄清域外合法使用數(shù)據(jù)法案》（CLOUD 法案）域外效力。2018 年3 月，美國出臺(tái)了CLOUD法案。CLOUD 法案采用“數(shù)據(jù)控制者標(biāo)準(zhǔn)”，規(guī)定只要是美國的數(shù)據(jù)服務(wù)者，就應(yīng)當(dāng)在一定的條件下按照《存儲(chǔ)通信法案》的要求保存、備份、披露通信內(nèi)容、記錄或其他信息[5]。美國采用的是以屬人連接點(diǎn)為基礎(chǔ)的域外適用規(guī)則，通過屬人管轄實(shí)現(xiàn)了對(duì)美國服務(wù)商所擁有、監(jiān)管或控制的數(shù)據(jù)的管轄，具有明顯的域外適用表現(xiàn)。服務(wù)提供者只能在特殊法定情形存在的情況下②當(dāng)接到服務(wù)提供者提出的“撤銷或修正法律流程的動(dòng)議”后，具有管轄權(quán)的法院在確認(rèn)同時(shí)存在以下情形后，方可撤銷或修正法律流程：一是披露義務(wù)將會(huì)導(dǎo)致服務(wù)提供者違反“符合資格的外國政府”的立法；二是基于該個(gè)案的所有情況，為維護(hù)司法公正，該法律流程應(yīng)被撤銷或修改；三是數(shù)據(jù)主體確不是“美國人”且不在美國居住。才能對(duì)管轄予以抗辯并可提出“撤銷或修正法律流程的動(dòng)議”。同時(shí)，CLOUD 法案規(guī)定了美國網(wǎng)絡(luò)服務(wù)提供者向“有資格的外國政府”快捷提供電子數(shù)據(jù)的情形。然而，CLOUD 法案卻規(guī)定了十分嚴(yán)格苛刻的“有資格的外國政府”的認(rèn)定條件。主要表現(xiàn)為：這個(gè)國家必須是《布達(dá)佩斯網(wǎng)絡(luò)犯罪公約》成員國或其國內(nèi)法至少與公約第1、2章規(guī)則相吻合；在獲取數(shù)據(jù)過程中程序是否具有透明度并有適當(dāng)?shù)膯栘?zé)機(jī)制；該國需要遵守國際人權(quán)義務(wù)，包括尊重表達(dá)結(jié)社與和平游行自由、禁止任意逮捕和監(jiān)禁、禁止限制言論自由等。美國政府對(duì)外國政府是否能夠調(diào)取存儲(chǔ)于美國的數(shù)據(jù)具有很大的自由裁量權(quán)。美國與外國政府在調(diào)取跨境數(shù)據(jù)的程序和實(shí)質(zhì)條件上并不對(duì)等。

2.《2018 年加州消費(fèi)者隱私法案》（CCPA）的域外效力。CCPA同樣具有域外效力，其規(guī)定適用于在該州收集及處理消費(fèi)者個(gè)人信息的所有企業(yè)③這些企業(yè)在加利福尼亞州從事商業(yè)經(jīng)營活動(dòng)并且滿足以下一個(gè)或多個(gè)條件：（1）年收入超過$25 000 000；（2）為了商業(yè)目的，每年單獨(dú)或組合購買、收取、出售或共享50 000 人甚至更多的消費(fèi)者、家庭或設(shè)備的個(gè)人信息；（3）通過銷售消費(fèi)者的個(gè)人信息獲得其年收入的50%甚至更多。。同時(shí)，CCPA 規(guī)定如果企業(yè)的商業(yè)行為每個(gè)方面完全在加州以外進(jìn)行，則不受CCPA的管轄[6]。顯然，相對(duì)于GDPR，CCPA 僅對(duì)有一定業(yè)務(wù)量的域外企業(yè)進(jìn)行規(guī)制，是從風(fēng)險(xiǎn)影響程度和范圍出發(fā)，聚焦重點(diǎn)企業(yè)。

二、數(shù)據(jù)規(guī)則域外適用擴(kuò)張的原因分析

各國政治、經(jīng)濟(jì)、文化、技術(shù)水平的差異，導(dǎo)致各國數(shù)據(jù)規(guī)則域外適用的原因不盡相同，但總體來看，數(shù)據(jù)規(guī)則域外適用擴(kuò)張的原因主要包括以下幾個(gè)方面。

（一）最大限度保護(hù)數(shù)據(jù)主體權(quán)利

歐盟之所以對(duì)GDPR 作出了廣泛域外適用的規(guī)定，首先是因?yàn)槠鋵?duì)個(gè)人數(shù)據(jù)有著特殊的理解。歐盟從傳統(tǒng)上將數(shù)據(jù)權(quán)理解為一種基本人權(quán)，將數(shù)據(jù)權(quán)利保護(hù)上升到公民基本權(quán)利的高度，并在此理論基礎(chǔ)上制定了強(qiáng)有力的數(shù)據(jù)保護(hù)措施①數(shù)據(jù)保護(hù)措施主要包括1995 年頒布的《關(guān)于涉及個(gè)人數(shù)據(jù)處理的個(gè)人保護(hù)以及此類數(shù)據(jù)自由流動(dòng)的第95／46／EC 號(hào)指令》、2002 年頒布的《關(guān)于電子通信領(lǐng)域個(gè)人數(shù)據(jù)處理和隱私保護(hù)的第2002／58／EC 號(hào)指令》，以及GDPR 第1 條。。歐盟頒布的眾多法規(guī)中，均包含有保護(hù)個(gè)人數(shù)據(jù)權(quán)利是保證對(duì)個(gè)人基本權(quán)利和自由的尊重的內(nèi)容?？梢?，從基本權(quán)利高度保護(hù)數(shù)據(jù)隱私與人格權(quán)幾乎成為歐盟的一以貫之的傳統(tǒng)。GDPR 通過賦予數(shù)據(jù)主體更大權(quán)利、加重?cái)?shù)據(jù)控制者或處理者責(zé)任義務(wù)，以及強(qiáng)調(diào)條例域外效力（長臂管轄）的方式，試圖最大限度地保護(hù)歐盟公民的數(shù)據(jù)權(quán)利[7]。

（二）增強(qiáng)域外執(zhí)法便利性，擴(kuò)張主權(quán)管轄范圍

互聯(lián)網(wǎng)具有虛擬性、開放性和全球性，借助互聯(lián)網(wǎng)實(shí)施的行為，其影響范圍也非地理意義上的領(lǐng)土邊界所能阻隔[8]。同時(shí)，數(shù)據(jù)保護(hù)法下的監(jiān)管決定和判決并不存在允許全球強(qiáng)制執(zhí)行和承認(rèn)的總體法律依據(jù)[9]282。在全球化的背景下，人類面臨著全球恐怖主義、環(huán)境保護(hù)、生命健康等涉及人類共同利益和安全的領(lǐng)域的挑戰(zhàn)。單靠一個(gè)國家有時(shí)很難應(yīng)對(duì)這些挑戰(zhàn)，往往需要通過雙邊或多邊的合作等。而域外執(zhí)法效果將受到合作程度的影響，增加了不可預(yù)測(cè)性和不確定性，這就給國家擴(kuò)張其國內(nèi)法的域外效力提供了某種正當(dāng)性依據(jù)。

微軟訴美國案是推動(dòng)CLOUD 法案產(chǎn)生的重大案件。如何讓美國政府有效完成電子數(shù)據(jù)的跨境取證，成為美國推出CLOUD 法案的重要?jiǎng)恿?。國際法體系發(fā)展的相對(duì)滯后，導(dǎo)致當(dāng)代國際法的強(qiáng)制性仍主要通過自助方式實(shí)現(xiàn)，這賦予國家，特別是大國以維護(hù)國際法權(quán)威或?qū)嵤﹪H法為由擴(kuò)張其國內(nèi)法的正當(dāng)性理由[8]。正如美國學(xué)者曾辯稱，美國擴(kuò)張其國內(nèi)法的域外效力，因增強(qiáng)了國際法的強(qiáng)制執(zhí)行力，在結(jié)果上增強(qiáng)了國際法的權(quán)威[10]。

（三）提高互聯(lián)網(wǎng)產(chǎn)業(yè)的競(jìng)爭(zhēng)力和話語權(quán)，將國家利益向全球延伸

由于歐盟的數(shù)字平臺(tái)并不具優(yōu)勢(shì)②根據(jù)《中國互聯(lián)網(wǎng)行業(yè)發(fā)展態(tài)勢(shì)暨景氣指數(shù)報(bào)告》，全球排名前20 的互聯(lián)網(wǎng)公司中，有13 個(gè)美國公司和7 個(gè)中國公司。，因而歐盟對(duì)數(shù)字經(jīng)濟(jì)和數(shù)據(jù)監(jiān)管主要以防御性或反應(yīng)性的方式進(jìn)行，旨在解決全球數(shù)字平臺(tái)活動(dòng)帶來的困擾。歐盟雖然沒有世界排名靠前的跨國數(shù)字平臺(tái)企業(yè)，但卻是跨國數(shù)字企業(yè)的重要市場(chǎng)。歐盟不是數(shù)字領(lǐng)跑者，為保持全球競(jìng)爭(zhēng)力，近年來歐盟一直采取更積極主動(dòng)的立場(chǎng)來發(fā)展數(shù)據(jù)驅(qū)動(dòng)的數(shù)字經(jīng)濟(jì)，并在此背景下采取了多項(xiàng)政策舉措。一方面，歐盟努力加快數(shù)字轉(zhuǎn)型。歐盟在其發(fā)布的多份文件中③2020 年2 月，歐盟委員會(huì)陸續(xù)發(fā)布了《塑造歐洲數(shù)字未來》（Shaping Europe's Digital Future）、《歐洲數(shù)據(jù)戰(zhàn)略》（A European strategyfor data）和《歐洲人工智能白皮書——通往卓越和信任的歐洲路徑》（White Paper on Artificial Intelligence:a European approach to excellence and trust）三份數(shù)字轉(zhuǎn)型戰(zhàn)略文件。2020 年9 月，歐盟委員會(huì)下屬的通信網(wǎng)絡(luò)、網(wǎng)絡(luò)數(shù)據(jù)和技術(shù)總司發(fā)布研究報(bào)告《塑造歐洲數(shù)字化轉(zhuǎn)型》。，表達(dá)了要奪回“技術(shù)主權(quán)”、積極推廣其安全并開放的全球互聯(lián)網(wǎng)模式的強(qiáng)烈愿望。另一方面，歐盟憑借巨大的市場(chǎng)資源優(yōu)勢(shì)，主要通過GDPR 這一高標(biāo)準(zhǔn)的、先進(jìn)的個(gè)人數(shù)據(jù)立法推廣其數(shù)據(jù)規(guī)制策略。同時(shí)，歐盟為GDPR 設(shè)置寬泛的域外效力，通過數(shù)據(jù)規(guī)則的域外適用，歐盟可以將其對(duì)數(shù)據(jù)保護(hù)的理解和規(guī)則擴(kuò)展到全球，將“歐盟標(biāo)準(zhǔn)”變成“國際標(biāo)準(zhǔn)”，從而達(dá)到數(shù)據(jù)全球治理的目標(biāo)。

美國數(shù)據(jù)治理規(guī)則背后的一個(gè)關(guān)鍵動(dòng)機(jī)是保持其在全球數(shù)字市場(chǎng)的領(lǐng)導(dǎo)地位，并進(jìn)一步擴(kuò)展到新市場(chǎng)。美國在開發(fā)數(shù)據(jù)驅(qū)動(dòng)的產(chǎn)品和服務(wù)方面具有優(yōu)勢(shì)，而這些產(chǎn)品和服務(wù)已滲透到世界上大多數(shù)市場(chǎng)，美國進(jìn)而可以收集更多的數(shù)據(jù)，開發(fā)更好的數(shù)據(jù)產(chǎn)品。因此，他們?cè)谌蚴袌?chǎng)取得成功的能力就越強(qiáng)，形成“正反饋循環(huán)”[11]。通過CLOUD 法案，美國現(xiàn)在可以合法地以打擊犯罪或維護(hù)國家安全的事由獲取由美國服務(wù)供應(yīng)者掌控的他國公民的數(shù)據(jù)，進(jìn)而達(dá)到美國法律域外適用的效果。CLOUD法案豐富了美國控制全球數(shù)據(jù)的渠道，提高了美國互聯(lián)網(wǎng)產(chǎn)業(yè)的競(jìng)爭(zhēng)力和話語權(quán)。

三、數(shù)據(jù)規(guī)則域外適用的擴(kuò)張對(duì)全球數(shù)據(jù)治理的影響

在全球數(shù)據(jù)治理格局尚未完全形成之時(shí)，數(shù)據(jù)規(guī)則域外適用的擴(kuò)張對(duì)全球數(shù)據(jù)治理產(chǎn)生了一定的影響。

（一）數(shù)據(jù)規(guī)則域外適用的擴(kuò)張，容易引起管轄權(quán)積極沖突

數(shù)據(jù)規(guī)則域外適用的擴(kuò)張，可能會(huì)導(dǎo)致某個(gè)國家的數(shù)據(jù)規(guī)則更廣泛地適用于其他國家的數(shù)據(jù)處理行為。而國際法中并不禁止一國立法的域外效力。1927 年，常設(shè)國際法院對(duì)“荷花號(hào)案”作出判決：“國際法不存在各國不得將其法律的適用范圍和法院的管轄權(quán)擴(kuò)大到其領(lǐng)土以外的人、財(cái)產(chǎn)和行為的禁止性規(guī)定。”[12]自那以來，人們已經(jīng)接受法律可以適用于在一國境內(nèi)產(chǎn)生影響的境外行為。雖然大多數(shù)觀點(diǎn)認(rèn)為國際立法管轄權(quán)確實(shí)應(yīng)該存在一些限制[13]39-43，但對(duì)于這些限制的具體范圍幾乎沒有達(dá)成一致意見。因而，數(shù)據(jù)規(guī)則域外適用的擴(kuò)張趨勢(shì)必然引起管轄權(quán)的積極沖突。

（二）數(shù)據(jù)規(guī)則域外適用的擴(kuò)張，增加了既有數(shù)據(jù)規(guī)則協(xié)調(diào)統(tǒng)一的困難

目前，全球并未建立起統(tǒng)一的數(shù)據(jù)治理規(guī)則。統(tǒng)一全球數(shù)據(jù)治理規(guī)則的缺失導(dǎo)致數(shù)據(jù)規(guī)則呈碎片化趨勢(shì)，影響數(shù)字經(jīng)濟(jì)的發(fā)展。全球范圍內(nèi)普遍和最有影響力的數(shù)字經(jīng)濟(jì)方法及數(shù)據(jù)治理法規(guī)截然不同[14]，而數(shù)據(jù)規(guī)則的域外適用則加劇了數(shù)字規(guī)則的碎片化。2020 年世界經(jīng)濟(jì)論壇報(bào)告中，強(qiáng)調(diào)了數(shù)字經(jīng)濟(jì)碎片化是全球主要風(fēng)險(xiǎn)之一。數(shù)據(jù)規(guī)則的差異和碎片化趨勢(shì)，引發(fā)了人們對(duì)互聯(lián)網(wǎng)和數(shù)據(jù)驅(qū)動(dòng)型數(shù)字經(jīng)濟(jì)碎片化可能性的擔(dān)憂。第一，數(shù)據(jù)規(guī)則的碎片化會(huì)使發(fā)展中國家陷入做出影響其他經(jīng)濟(jì)關(guān)系的選擇困境。例如，在跨境數(shù)據(jù)流動(dòng)和數(shù)據(jù)保護(hù)規(guī)則方面，拉丁美洲國家經(jīng)常不得不在歐盟GDPR 和美國模式之間做出艱難的選擇[15]。第二，數(shù)據(jù)規(guī)則的碎片化，迫使企業(yè)在跨境數(shù)據(jù)傳輸過程中采取多種數(shù)據(jù)保護(hù)措施，這會(huì)影響數(shù)據(jù)流動(dòng)的國際互操作性。企業(yè)不得不了解相關(guān)規(guī)則的差別，采取不同的數(shù)據(jù)保護(hù)和數(shù)據(jù)跨境傳輸措施。這增加了企業(yè)商業(yè)成本，不利于數(shù)字經(jīng)濟(jì)的發(fā)展。雖然互聯(lián)網(wǎng)和數(shù)字經(jīng)濟(jì)是否會(huì)分裂的最終結(jié)果是不確定的，但是潛在的碎片化風(fēng)險(xiǎn)使得我們意識(shí)到，各國在沒有國際共識(shí)的情況下采用內(nèi)向型數(shù)據(jù)政策并將數(shù)據(jù)政策予以域外適用，將導(dǎo)致全球數(shù)字創(chuàng)新和發(fā)展的機(jī)會(huì)減少，無法實(shí)現(xiàn)基于數(shù)據(jù)流動(dòng)的數(shù)據(jù)驅(qū)動(dòng)型經(jīng)濟(jì)的潛在利益。

（三）數(shù)據(jù)規(guī)則域外適用的擴(kuò)張，加劇了數(shù)據(jù)規(guī)則競(jìng)爭(zhēng)

歐盟基于保護(hù)基本人權(quán)的理念賦予歐盟GDPR 域外效力，美國依托“自由”和“高效”的價(jià)值理念擴(kuò)大美國單方調(diào)取域外數(shù)據(jù)的權(quán)力。究其根本，歐盟和美國均是想要通過數(shù)據(jù)法規(guī)的域外適用來爭(zhēng)奪全球數(shù)據(jù)話語權(quán)。GDPR 較強(qiáng)的域外效力，使得眾多在歐盟境外的涉歐業(yè)務(wù)企業(yè)不得不遵守其規(guī)定。而美國CLOUD 法案通過屬人管轄實(shí)現(xiàn)了對(duì)美國服務(wù)商所擁有、監(jiān)管或控制的數(shù)據(jù)的管轄，具有明顯的域外適用表現(xiàn)。美國紐約州針對(duì)金融機(jī)構(gòu)的網(wǎng)絡(luò)安全法規(guī)《23 NYCRR 500》與美國加州《2018 年加州消費(fèi)者隱私法案》等法規(guī)，均是積極主動(dòng)創(chuàng)設(shè)各種連接因素，尋求法規(guī)的域外適用。數(shù)據(jù)規(guī)則域外適用的擴(kuò)張?bào)w現(xiàn)了歐美利益向全球的延伸，以增加它們獲得數(shù)據(jù)的渠道，提高其市場(chǎng)主導(dǎo)地位。數(shù)據(jù)規(guī)則域外適用的擴(kuò)張是歐美爭(zhēng)奪數(shù)據(jù)規(guī)則全球主導(dǎo)權(quán)的一個(gè)重要手段。

四、中國在他國數(shù)據(jù)規(guī)則域外適用擴(kuò)張下的應(yīng)對(duì)策略

中國數(shù)據(jù)法律規(guī)則以維護(hù)“安全”為核心，數(shù)據(jù)規(guī)則體系呈防御性特征。中國數(shù)據(jù)規(guī)則域外適用未成體系，具有被動(dòng)性和防守性。在歐美等數(shù)據(jù)規(guī)則域外適用擴(kuò)張的背景下，中國應(yīng)結(jié)合自身數(shù)字經(jīng)濟(jì)發(fā)展?fàn)顩r，改變?cè)瓉矸烙蛿?shù)據(jù)治理理念，主動(dòng)利用自身的比較優(yōu)勢(shì)，更為積極主動(dòng)地介入全球數(shù)據(jù)治理的大格局中。

（一）建構(gòu)中國數(shù)據(jù)規(guī)則域外適用的法律體系

建構(gòu)中國數(shù)據(jù)規(guī)則域外適用的法律體系，既可以維護(hù)中國數(shù)據(jù)利益，又可以擴(kuò)大中國數(shù)據(jù)法律的影響力。

1.應(yīng)完善中國法域外適用法律體系。目前，中國法域外適用缺乏憲法頂層設(shè)計(jì)，只在某些部門法中有相關(guān)域外適用條款。在立法供應(yīng)不足且全面修法存在一定困難的現(xiàn)狀下，建議以行政解釋的方式推動(dòng)法律域外適用，以司法解釋的方式推導(dǎo)立法意圖和目標(biāo)[16]。

2.修改數(shù)據(jù)相關(guān)法律，明確數(shù)據(jù)規(guī)則的域外適用效力。《網(wǎng)絡(luò)安全法》第75 條及《數(shù)據(jù)安全法》第2 條均采取“境外的機(jī)構(gòu)、組織、個(gè)人開展……活動(dòng)，依法應(yīng)當(dāng)追究責(zé)任”的類似表述。首先，作為法總則的一項(xiàng)內(nèi)容，其不應(yīng)涉及法律責(zé)任部分的規(guī)制，法律責(zé)任部分的規(guī)制應(yīng)當(dāng)在“第六章法律責(zé)任”中進(jìn)行針對(duì)性的條文設(shè)計(jì)。其次，該種表述并未直接表明法律的域外效力，而是以維護(hù)安全為核心的防守性立法模式，缺乏主動(dòng)性，不利于中國爭(zhēng)奪全球數(shù)據(jù)話語權(quán)。為積極響應(yīng)“加快推進(jìn)我國法域外適用的法律體系建設(shè)”的要求①2019 年2 月，中央全面依法治國委員會(huì)召開的第二次會(huì)議明確提出將“加快推進(jìn)我國法域外適用的法律體系建設(shè)”列入推進(jìn)依法治國的重點(diǎn)工作。2019 年10 月，黨的十九屆四中全會(huì)在《中共中央關(guān)于堅(jiān)持和完善中國特色社會(huì)主義制度 推進(jìn)國家治理體系和治理能力現(xiàn)代化若干重大問題的決定》中提出，加快中國法域外適用的法律體系建設(shè)，以良法保障善治。，增強(qiáng)中國數(shù)據(jù)規(guī)則的域外適用的效果，并賦予中國司法和執(zhí)法機(jī)構(gòu)充分的裁判和執(zhí)法依據(jù)，建議《網(wǎng)絡(luò)安全法》第75 條及《數(shù)據(jù)安全法》第2 條采取“境外的機(jī)構(gòu)、組織、個(gè)人開展……活動(dòng)，適用本法”的表述。

（二）擴(kuò)大數(shù)據(jù)規(guī)則域外適用范圍

通過上文分析可以看到，從歐、美立法來看，數(shù)據(jù)規(guī)則域外適用擴(kuò)張是一種全球趨勢(shì)。數(shù)據(jù)天然具有流動(dòng)便利性，相關(guān)立法必須考量國際交往中的數(shù)據(jù)流動(dòng)和數(shù)據(jù)處理等問題。尤其是個(gè)人數(shù)據(jù)較為敏感，也是數(shù)據(jù)跨境需求最為強(qiáng)烈的一類數(shù)據(jù)。因此，中國在針對(duì)數(shù)據(jù)立法及個(gè)人數(shù)據(jù)立法時(shí)，應(yīng)當(dāng)擴(kuò)大數(shù)據(jù)相關(guān)法律域外適用范圍，從而全面維護(hù)中國的數(shù)據(jù)利益。

1.完善《個(gè)人信息保護(hù)法》。隨著全球經(jīng)貿(mào)交易、技術(shù)交流、資源分享等跨國合作日益頻繁，本國境內(nèi)的個(gè)人或組織對(duì)個(gè)人信息處理活動(dòng)的地域適用范圍已經(jīng)遠(yuǎn)遠(yuǎn)超出了本國境內(nèi)?！秱€(gè)人信息保護(hù)法》第3 條第1 款以個(gè)人信息“處理行為地”標(biāo)準(zhǔn)作為中國實(shí)施管轄權(quán)的依據(jù)，存在著中國的個(gè)人信息處理者通過在境外處理個(gè)人信息從而規(guī)避中國《個(gè)人信息保護(hù)法》的可能。建議可在保留“處理行為地”標(biāo)準(zhǔn)的同時(shí)，借鑒歐盟GDPR 的“經(jīng)營場(chǎng)所設(shè)立地”標(biāo)準(zhǔn)，擴(kuò)大《個(gè)人信息保護(hù)法》的域外適用范圍，將“數(shù)據(jù)處理行為發(fā)生在我國境內(nèi)設(shè)立機(jī)構(gòu)開展活動(dòng)的場(chǎng)景中”作為主張管轄權(quán)的連接因素。鑒于GDPR已在世界范圍內(nèi)有較大的影響力，故這種域外適用的法律條款也同樣易被其他國家接受。

2.修改《網(wǎng)絡(luò)安全法》第75 條，使其與《數(shù)據(jù)安全法》相協(xié)調(diào)。根據(jù)《數(shù)據(jù)安全法》第2 條第2 款的規(guī)定，在將《數(shù)據(jù)安全法》域外適用時(shí)，刪除了《網(wǎng)絡(luò)安全法》第75 條之中的“造成嚴(yán)重后果”的要件，進(jìn)而增加了法律的域外適用范圍及適用效力。故建議修訂《網(wǎng)絡(luò)安全法》第75 條，刪除“造成嚴(yán)重后果”的要件，使之與《數(shù)據(jù)安全法》第2 條相協(xié)調(diào)，增加其域外效力。

3.通過建立國際合作機(jī)制，間接擴(kuò)大中國數(shù)據(jù)相關(guān)法律域外效力。在全球數(shù)據(jù)治理規(guī)則尚未形成之時(shí)，中國應(yīng)抓住促進(jìn)跨境數(shù)據(jù)流動(dòng)的契機(jī)，積極參與跨境數(shù)據(jù)國際規(guī)則的制定和談判，爭(zhēng)取將跨境數(shù)據(jù)流動(dòng)嵌入國際貿(mào)易投資協(xié)定中，推動(dòng)建立全球性的跨境數(shù)據(jù)流動(dòng)國際規(guī)制。引導(dǎo)數(shù)據(jù)國際規(guī)則的建立，達(dá)到將中國的數(shù)據(jù)規(guī)則域外輸出的效果，從而間接擴(kuò)大中國數(shù)據(jù)法律域外適用的范圍和效力。

（三）加強(qiáng)數(shù)據(jù)流動(dòng)，應(yīng)對(duì)數(shù)據(jù)域外法律制裁挑戰(zhàn)

1.加強(qiáng)數(shù)據(jù)的內(nèi)循環(huán)。近年來，數(shù)據(jù)成為新的生產(chǎn)要素，新的全球經(jīng)濟(jì)增長越來越依賴數(shù)字的增長。數(shù)據(jù)的運(yùn)用產(chǎn)生了建立在數(shù)據(jù)流動(dòng)基礎(chǔ)上的數(shù)字經(jīng)濟(jì)，數(shù)據(jù)就是生產(chǎn)力，數(shù)據(jù)能夠作為金融等領(lǐng)域反制的要害和威懾力量源泉。加強(qiáng)數(shù)據(jù)的內(nèi)循環(huán)是應(yīng)對(duì)域外法律制裁挑戰(zhàn)的一個(gè)基礎(chǔ)策略。我們應(yīng)立足于本國，完善數(shù)據(jù)共享和交易的法律秩序，促進(jìn)國內(nèi)數(shù)據(jù)安全、有序的流動(dòng)。

2.加強(qiáng)數(shù)據(jù)跨境流動(dòng)，吸引境外數(shù)據(jù)進(jìn)入中國。為吸引更多境外數(shù)據(jù)進(jìn)入中國，擴(kuò)大中國數(shù)據(jù)資源優(yōu)勢(shì)，我們建議：首先，循序漸進(jìn)，構(gòu)建數(shù)據(jù)跨境流動(dòng)法律城墻。完善的數(shù)據(jù)跨境流動(dòng)立法，不僅有助于促進(jìn)經(jīng)濟(jì)的發(fā)展，保護(hù)流動(dòng)中的數(shù)據(jù)安全，也是我國吸引境外數(shù)據(jù)進(jìn)入中國、應(yīng)對(duì)境外法律制裁的有效武器。其次，應(yīng)當(dāng)提高數(shù)據(jù)流動(dòng)中的安全性。數(shù)據(jù)流動(dòng)中的安全性也是吸引境外數(shù)據(jù)進(jìn)入我國境內(nèi)的一個(gè)關(guān)鍵。我們應(yīng)當(dāng)確立數(shù)據(jù)安全發(fā)展和開放并行的核心目標(biāo)，利用先進(jìn)的數(shù)據(jù)流動(dòng)保護(hù)規(guī)則吸引更多境外數(shù)據(jù)進(jìn)入。再次，應(yīng)持續(xù)擴(kuò)大對(duì)外開放。守住數(shù)據(jù)安全的底線，持續(xù)加大中國對(duì)外開放力度，吸引更多的外資企業(yè)來華發(fā)展，實(shí)現(xiàn)雙方的利益捆綁，利用數(shù)據(jù)的自由流動(dòng)性，吸收境外數(shù)據(jù)向中國境內(nèi)的流入，集聚數(shù)據(jù)資產(chǎn)。最后，應(yīng)提高數(shù)據(jù)基礎(chǔ)設(shè)施建設(shè)。數(shù)據(jù)基礎(chǔ)設(shè)施建設(shè)的提高，有利于打造開放的數(shù)據(jù)生態(tài)環(huán)境，將數(shù)據(jù)資源轉(zhuǎn)變?yōu)閿?shù)據(jù)資產(chǎn)，也有利于中國獲得更多的境外數(shù)據(jù)。

（四）完善數(shù)據(jù)相關(guān)“阻斷”立法

中國既不能像美國那樣任意擴(kuò)大國內(nèi)法的域外適用范圍，也不能不在國際法許可的范圍內(nèi)構(gòu)建我國法的域外適用法律體系[17]。因此，中國可結(jié)合本國國情，阻止CLOUD 法案、GDPR等他國長臂管轄對(duì)中國數(shù)據(jù)主體的適用，有效保障中國的公民隱私、企業(yè)數(shù)據(jù)權(quán)和國家網(wǎng)絡(luò)主權(quán)。

1.完善中國阻斷立法法律體系。商務(wù)部于2019 年公布的《阻斷外國法律與措施不當(dāng)域外適用辦法》（以下簡稱《阻斷辦法》）規(guī)定了外國法律與措施不當(dāng)域外適用的阻斷機(jī)制。然而，《阻斷辦法》雖然對(duì)于維護(hù)中國的國際利益和保護(hù)企業(yè)合法權(quán)益具有重要的意義，但也存在著一定的問題。首先，《阻斷辦法》屬于行政規(guī)章，法律位階偏低，法律位階過低的部門規(guī)章不利于多部門聯(lián)合行動(dòng)，也無法實(shí)現(xiàn)大陸阻斷法同香港阻斷法的有效銜接[18]，更不利于未來實(shí)施細(xì)則的制定。因此，有必要在其基礎(chǔ)上制定一部更高位階的阻斷法律。其次，《阻斷辦法》的規(guī)定較為宏觀和模糊，建議對(duì)《阻斷辦法》的部分規(guī)定予以細(xì)化或出臺(tái)配套的解釋說明。例如，未來可以針對(duì)第8 條規(guī)定的“禁令的豁免”程序細(xì)節(jié)作出規(guī)定；對(duì)中國法院受理相關(guān)案件的級(jí)別管轄問題作出規(guī)定等。再如，作為政府對(duì)于因遵守阻斷法而利益受損的國內(nèi)私主體的補(bǔ)償，《阻斷辦法》第11 條①《阻斷辦法》第11 條規(guī)定：“中國公民、法人或者其他組織根據(jù)禁令，未遵守有關(guān)外國法律與措施并因此受到重大損失的，政府有關(guān)部門可以根據(jù)具體情況給予必要支持?！币?guī)定應(yīng)根據(jù)具體情況給予“必要支持”。未來可以對(duì)給予何種支持進(jìn)一步明確，也應(yīng)考慮這種支持是否有可能違反WTO 的禁止性規(guī)定。

2.在數(shù)據(jù)立法中，對(duì)“數(shù)據(jù)自由”下長臂管轄規(guī)則進(jìn)行立法阻斷。明確規(guī)定，對(duì)于危害國家安全、損害國家利益的境外法院判決或行政決定，不予認(rèn)可或執(zhí)行。同時(shí)，可以制定相關(guān)國家涉及長臂管轄的法律附錄，從立法源頭上否認(rèn)相關(guān)條款的域外效力[7]。但應(yīng)當(dāng)注意，域外管轄的過度限制可能會(huì)導(dǎo)致國家間的摩擦。因而，為保證正常的國際交往，域外管轄的限制應(yīng)當(dāng)適當(dāng)。