长臂执法背景下的数据出境管制

2022-12-31梁坤

国家检察官学院学报 2022年5期

梁坤

一、问题的提出

数字时代的到来令数据冲破了传统意义上的国家疆界，跨境流动已经成为常态。特别是随着云计算、区块链等技术的飞速发展，越来越多的网络或数据服务提供者大范围地占有或掌控分布于全球各地的海量数据。在此背景下，一些国家近年来依托这些服务提供者，以长臂执法的方式调取存储于境外的数据，从而避开了冗长复杂的司法协助程序。

所谓长臂执法，乃是从美国民事诉讼中的长臂管辖（long-arm jurisdiction）发展而来，是指“当非法院地居民与法院地间存在某种限度的联系，同时原告提起的诉讼又产生于这种联系时，法院对于被告所主张的管辖权”。在实践中，美国法院多是根据长臂管辖权理论对网络案件行使管辖权。〔1〕郭玉军、向在胜：《网络案件中美国法院的长臂管辖权》，《中国法学》2002年第6期。此后，长臂执法逐步扩展到美国跨越国境对其他国家的执法活动。〔2〕在中文语境中，“长臂执法”或“长臂管辖”经常是与美国对外奉行的“霸权主义”联系在一起的术语。本文结合欧盟法中《电子证据条例（草案）》的内容进行论证，只是表明相关规则具有“长臂执法”的特征，并不强调其具有“霸权主义”的性质。由于依托服务提供者跨境获取数据在一定程度上造成了对第三国数据主权的负面影响，〔3〕李彦：《网络犯罪国际法律机制建构的困境与路径设计》，《云南民族大学学报》（哲学社会科学版）2019年第6期。这引发了全球范围的广泛关注和争议。

我国坚持强调网络犯罪虽然没有国界，但国家主权则有疆界。依托服务提供者跨境调取电子数据必须尊重证据所在地的国家主权，不能仅因国际司法协助和执法合作取证效率低下便对其简单予以否定。为此，我国近年来出台了一系列法律法规，通过对数据出境进行严格管制的方式来应对长臂执法的巨大威胁。例如，2021年9月1日起施行的《数据安全法》第36条规定：“非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”在此基础上，根据该法第48条第2款的规定，相关主体未经主管机关批准向外国司法或者执法机构提供数据的，将遭到警告、罚款、责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等处罚。

然而，以上述条款为代表的数据出境管制规则到底是否能够有效应对外来长臂执法的负面影响？面对长臂执法与我国数据出境管制所呈现出来的法律冲突，我国应当如何继续完善对于数据出境的管制规定？这些问题不仅涉及到国家主权的维护与国家对数据资源的有效管控，而且还关系到数据服务提供者是否能够有效做到跨境合规运营，以及相关数据所有者、使用者的合法权益是否能够得到妥善保护，因此有必要深入加以研究。本文首先对我国于数据层面面临的长臂执法的突出表现及近年来对数据进行出境管制的法律法规进行梳理和解读，然后就外国法〔4〕本文主要结合美国《云法》、“中资银行案”判决、欧盟《电子证据条例（草案）》的内容进行论证。为表述的方便，文中所涉及的欧美相关的成文法和判例，统称为“外国法”。关于我国数据出境管制的基本态度与处理方案进行分析，最后立足《数据安全法》等相关法律法规，对我国数据出境管制的未来发展提供学理建议。

二、我国于数据层面面临长臂执法的突出表现

在执法过程中通过特定主体获取存储于境外的数据，并不是一个新鲜事物。近年来，许多国家都在考虑或者已经着手通过跨境运营的服务提供者收集存储于境外的数据。由于美国和欧盟在这方面的立法和司法实践表现得较为突出，因此本部分将主要从这两个区域的情况出发，举例分析我国近期于数据层面面临长臂执法的紧迫形势。

（一）美国“丰业银行传票”及《云法》的适用

1.“丰业银行传票”对中资银行的适用

所谓的“丰业银行传票”（Bank of Nova Scotia Subpoena），系美国判例法体系的产物。1981年，美国联邦大陪审团在一起涉税和麻醉药品案件中，向在其境内经营的加拿大籍的丰业银行发出传票，要求后者提供特定客户在加拿大总行和巴拿马分支机构的账户信息和交易记录。丰业银行拒绝执行，然而却被裁决为蔑视法庭的违法行为。〔5〕参见招商银行单证中心课题组：《中资银行“直面”挑战》，《中国外汇》2019年第14期；United States v.Bank of Nova Scotia，691 F.2d 1384（11th Cir. 1982）.

近年来，我国银行业也频繁受到“丰业银行传票”的影响。招商银行、交通银行、浦发银行受美国法院长臂执法的案件（下文简称“中资银行案”）更是受到了广泛关注。2017年12月，美国执法机构在一起案件中对香港某公司开展调查，持传票要求三家银行提供该公司的账户交易记录。对此，三家银行均主张，该传票应当通过两国的刑事司法协助程序执行。2019年4月和8月，美国联邦法院系统的一审和二审均裁定，支持传票的强制执行。〔6〕See Stefan D. Cassella，Obtaining Records from a Foreign Bank：Note on the Decision of the Federal Court，Washington DC，the European Criminal Law Associations’ Forum，Issue 2，p.145-148（2019）.

此案在我国国内引发了强烈反响。中国银行业协会首席法律顾问卜祥瑞表示：“上述事件属于美国典型的对中资银行行使长臂管辖权，中资银行依法不应履行美国法院判决。”〔7〕转引自孟凡霞、宋亦桐：《三家银行澄清美法院调查传闻》，《北京商报》2019年6月25日。理由在于，美国法院的做法明显违反商业银行法、民事诉讼法、国际刑事司法协助法等一系列中国法律的相关规定。不过，拒绝执行美国法院的裁决，必然会令中资银行在开展跨境业务时面临巨大的合规压力。如何在跨境合规运营的同时又能遵守我国的数据出境管制规定，这是摆在中国银行业面前的一道难题。

2.美国《云法》〔8〕该法英文全称为“Clarifying Lawful Overseas Use of Data Act”，因其主要涉及跨境云数据取证从而简称为“CLOUD Act”。本文为表述方便，统一使用《云法》的简称。对中资云服务提供者的适用

与“丰业银行传票”作为判例法上的规则仅适用于银行不同，2018年3月23日生效的《云法》则是以制定法的形式，在跨境数据执法方面的适用范围上明显扩大。该法对云服务提供者应当遵守的数据披露〔9〕在本文所援引的资料中，外国执法部门要求服务提供者跨境交出存储于境外的数据，有“披露”（disclose）、“提供”（provide）等表达。本文视其为同义，而且与中国法律程序中的“调取”一词不作细致区分。义务进行了详细的规定。所谓的数据乃是云服务提供者拥有、监管或控制的范围内应当保存、备份或披露的有线通讯或电子通讯的内容，以及与用户或信息订阅者有关的所有记录及其他信息。只要美国执法机构根据法定程序向在其境内设有云服务分支机构或向用户提供云服务的主体发出了数据披露指令，后者除了特定情况以外，必须予以披露，而不论相应的电子数据是否位于美国境内。

根据其他国家是否与美国签署有专门的行政协议，《云法》在跨境数据执法方面表现出了不同的思路。如果存在这样的协议，美国执法机构通过其境内的云服务提供者获取存储于相应国家的数据，在法律上自然没有障碍。然而即使没有这样的协议，实际上也不影响美国执法机构依据该法规定而获得存储于境外的数据。就此而论，无论中国与美国是否签署这样的行政协议，中资云服务提供者只要在美国境内运营，或者只是向美国境内远程提供云服务，其存储于中国境内的数据都可能在个案中遭受美国相关部门的长臂执法。〔10〕梁坤：《美国〈澄清合法使用境外数据法〉背景阐释》，《国家检察官学院学报》2018第5期。

（二）欧盟主导的法律及法律草案的影响

1.《布达佩斯公约》第二附加议定书对中国的预期影响

欧洲理事会于2001年制定的《布达佩斯公约》（以下简称《布约》）第18条规定了一种名为“提供令”（Production order）的制度。缔约国执法机构在调整其自身国内法的情况下，可以根据其中“1b”部分的规定，要求其境内的服务提供者提交其所占有或控制的“订户信息”（subscriber information）。然而在实践中，服务提供者通常只有在符合本国法律规定和公司政策的情况下，才会予以执行。因此，不同的服务运营者在处理数据披露请求的时候，在确定性、透明度、责任性、可持续性方面都表现出了显著的差异。〔11〕梁坤：《欧盟跨境快捷电子取证制度的发展动向及启示》，《中国人民公安大学学报》（社会科学版）2019年第1期。由于中国未加入《布约》，因此在过去的20年间，上述“提供令”实际上对中国境内的数据安全影响不大。

在此背景下，《布约》的官方委员会于2017年9月启动了第二项附加议定书的谈判，目标之一就是要对强制服务提供者跨境披露相关数据的机制做出针对性的安排。2021年11月17日，该附加议定书获得欧洲理事会部长委员会（Committee of Ministers of the Council of Europe）采纳，并于2022年5月开启缔约国的签署程序。议定书最为重要的内容，就是授权缔约国的侦查机关根据差异化的程序要求，直接指令位于另一缔约国境内的云服务提供者披露“订户信息”（subscriber information）以及“域名注册信息”（domain name registration）。〔12〕Cybercrime Convention Committee，Second Additional Protocol to the Convention on Cybercrime on Enhanced Cooperation and Disclosure of Electronic Evidence：Explanatory Report，Council of Europe，https：//search.coe.int/cm/pages/result_details.aspx?objectid=0900001680a48e4b，Last Accessed on Nov.17，2021.在此背景下，我国在相应缔约国境内的网络或数据服务提供者未来就可能会因被强制要求披露某些数据而遭受影响。这样一来，我国在对境内存储的数据享有管辖权的同时，也将同时面临《布约》缔约国以跨境数据披露的方式单边获取。〔13〕林小娟：《与服务供应商合作的跨境电子取证的困境与出路——以〈网络犯罪公约〉第二附加议定书（草案）强制服务供应商披露数据为视角》，《信息安全与通信保密》2020年第7期。

2.欧盟《电子证据条例》未来对中国的跨境适用

2018年4月17日，欧盟委员会发布了《电子证据条例（草案）》（Electronic Evidence Regulation），计划在刑事程序中建立具有强制执行效力的“欧洲数据提交令”（European Production Order）和“欧洲数据保存令”（European Preservation Order）制度。根据这两项制度，成员国的执法或司法当局可直接指令欧盟境内的服务提供者或设有代表机构的服务提供者提交或保存电子数据，而不用考虑相应数据是否存储于欧盟境内。

根据“欧洲数据提交令”，为了保证该程序快捷开展，执法或司法当局可以要求服务提供者必须在10天之内做出响应；而在紧急情况下，后者在6小时内就必须做出响应。此外还需要注意的是，服务提供者需要提交或保存的数据范围相较过往的法律规定明显扩大，不仅包括订户数据（subscriber data）、访问数据（access data）、交易数据（transactional data）等非内容数据，而且还扩展到了内容数据。〔14〕Mari Tuominen，Initial Appraisal of a European Commission Impact Assessment：European Production and Preservation Orders and the Appointment of Legal Representatives for Gathering Electronic Evidence，European Parliament，http：//www.europarl.europa.eu/RegData/etudes/BRIE/2018/621844/EPRS_BRI（2018）621844_EN.pdf.这两项制度一旦通过全新的立法加以确立，无疑将实质性地改变当前来自于服务运营者的自愿合作形式，从而令欧盟成员国的跨境数据披露制度转向明显的强制性。〔15〕同前注［11］。

三、我国针对长臂执法的数据出境管制的规范解读

面对绕开司法协助渠道的长臂执法，我国近年来密集出台相关法律法规及草案，对包括电子数据在内的证据的出境做出了针对性的制度应对。除此之外，有关数据出境管制的一些专门性规定也可以适用于长臂执法的应对，本部分将一并予以分析。

（一）我国关于数据出境管制的规则类型与内容

除了开篇提到的《数据安全法》第36条关于数据出境管制的规定而外，我国近年来还在相关领域出台了一系列的法律法规及征求意见稿。从适用范围的角度来看，相关规则可以划分为三种类型：

其一，适用于特定行业的概括性数据出境管制规则。例如，2011年5月1日施行的《中国人民银行关于银行业金融机构做好个人金融信息保护工作有关问题的通知》第6条规定，“除法律法规及中国人民银行另有规定外，银行业金融机构不得向境外提供境内个人金融信息。”又如，工信部于2021年9月30日发布的《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》第24条指出，工业和电信数据处理者在中华人民共和国境内收集和产生的重要数据“确需向境外提供的，应当依法依规进行数据出境安全评估，在确保安全的前提下进行数据出境，并加强对数据出境后的跟踪掌握”。由于并未指明对个人金融信息、工信领域重要数据进行出境管制的具体原因，因此这些规定可以称之为概括性的数据出境管制规则，适用范围很大。

其二，专门指向开展跨境业务的数据出境管制规则。例如，2017年6月1日施行的《网络安全法》第37条和2021年10月1日施行的《汽车数据安全管理若干规定（试行》第11条，均规定了关键信息基础设施的运营者、汽车数据处理者“因业务需要”而“向境外提供”数据的内容。以后者为例，其规定，“重要数据应当依法在境内存储，因业务需要确需向境外提供的，应当通过国家网信部门会同国务院有关部门组织的安全评估”。与上一类规则不同，这类规则考虑到了关键信息基础设施的运营者、汽车数据处理者因越来越多开展跨境业务而可能频繁向境外提供或转移数据的情况，具有明显的针对性。

其三，明确用于抵制跨境执法及司法活动的数据出境管制规则。2018年10月26日施行的《国际刑事司法协助法》聚焦于刑事诉讼活动，对外国绕避刑事司法协助程序进行刑事取证的情况进行了坚决抵制。第4条规定：“中华人民共和国境内的机构、组织和个人不得向外国提供证据材料和本法规定的协助。”由于该规定指向所有的“证据”，因而也包含对数据出境的管制。此外，《数据安全法》第36条和《个人信息保护法》第41条也明确指向来自境外的长臂执法和司法活动，禁止境内的组织、个人和个人信息处理者在非经主管机关批准的情况下向外国司法或者执法机构提供存储于我国境内的数据或个人信息，只是并未仅仅局限于刑事诉讼。

综上，我国从多个方面对数据出境的管制进行了规范。首先，境内多种类型的主体受到约束。这些主体包括银行业金融机构、关键信息基础设施的运营者、境内的组织和个人、汽车数据处理者、个人信息处理者，等等。随着相关法律法规的持续完善，受到调整的主体的范围大概率还会继续扩大。其次，不得向境外提供的数据类型多样。除了部分法律法规中的一般性规定而外，相关数据还涵盖个人金融信息、汽车数据处理者掌握的特定行业的重要数据。最后，多种类型的数据出境管制规则均可用于抵制长臂执法。部分法律法规虽然只是概括性地禁止相关主体向境外提供数据，但是也可以用于对长臂执法的抵制。除此之外，《国际刑事司法协助法》等法律则是非常鲜明地指向了外国开展的执法和司法活动。

（二）关于我国数据出境管制规则的综合评析

1.从生成背景来看，数据出境管制的规则设计存在差异性极大的意图

从上述适用于特定行业的概括性数据出境管制规则和指向开展跨境业务的数据出境管制规则来看，制定这些规则的目的显然是为了维护金融安全、数据安全。与此相对的是，从本文的研究主题来看，部分规则则具有非常明显的抗衡长臂执法的意图。例如，从《国际刑事司法协助法》第4条规定的立法背景来看，实践中，“有外国司法、执法机关未经我国主管机关准许调取我国境内证据材料，或者要求我国境内的机构、组织和个人提供相关协助，损害我国司法主权和有关机构、组织和个人的合法权益的情况。这实际上是外国滥用所谓的‘长臂管辖权’，将其司法权凌驾于我国的司法主权之上。”〔16〕王爱立：《中华人民共和国国际刑事司法协助法解读》，中国法制出版社2019年版，第26页。

因此，从部分规则的生成背景可以反映出，我国对包括数据在内的证据材料的出境进行管制的规则很大程度上就是在面临长臂执法威胁的背景下产生的。在对跨境执法调取数据的利益进行考量时，我国在国家主权、安全和发展利益的平衡之上，在回应或对抗的过程中更多地是遵循“防守”策略，考虑国家主权和安全利益。〔17〕洪延青：《“法律战”旋涡中的执法跨境调取数据：以美国、欧盟和中国为例》，《环球法律评论》2021年第1期。

而从相关法律法规的内容发展来看，我国对数据出境进行的管制越发严格，反映出对长臂执法越发强硬的抵制姿态。例如，《个人信息保护法》第41条要求，境外的司法或者执法机构要求提供存储于中华人民共和国境内的个人信息的，非经中华人民共和国主管机关批准，“不得提供”。而对比之后就可以发现，该法一审稿第41条虽然也说明相关活动“应当依法申报有关主管部门批准”，但是缺少了“不得提供”之表述，〔18〕刘俊臣：《关于〈中华人民共和国个人信息保护法（草案）〉的说明》，全国人大网http：//www.npc.gov.cn/npc/c30834/202108/fbc9ba044c2449c9bc6b6317b94694be.shtml最后访问日期：2022年7月3日。从而反映出最终的法律文本对长臂执法调取我国境内个人信息的态度趋于更加强硬。

2.从具体内容来看，数据出境管制的具体规则设计尚有待细化和明确

一方面，对外国所调取数据的出境是否需要主管机关批准，并未保持一致。这个问题的实质在于，面对长臂执法，我国对数据的出境到底是绝对禁止的，还是具有一定的灵活性，实际上还存在着疑问。例如，从《国际刑事司法协助法》第4条的表述来看，实际上可以理解为绝对禁止我国境内的相关主体向外国刑事执法及司法机关跨境提供数据。从国务委员兼外长王毅于2020年9月8日在北京举行的“抓住数字机遇，共谋合作发展”国际研讨会上提出的《全球数据安全倡议》来看，也可以认为官方也持相应的态度。具体而言，“各国应尊重他国主权、司法管辖权和对数据的安全管理权，未经他国法律允许不得直接向企业或个人调取位于他国的数据。各国如因打击犯罪等执法需要跨境调取数据，应通过司法协助渠道或其他相关多双边协议解决。国家间缔结跨境调取数据双边协议，不得侵犯第三国司法主权和数据安全。”〔19〕《全球数据安全倡议》，新华网http：//www.xinhuanet.com/2020-09/08/c_1126466972.htm最后访问日期：2022年7月3日。据此，在没有强调是否需要主管机关批准的情况下，我国境内的有关组织、个人并不能在双边或多边渠道之外向境外执法或司法机关提供任何数据。

然而，《数据安全法》第36条的类似规定则出现了松动，未再绝对禁止有关组织、个人向境外执法机构提供相应数据，而是强调要“经过主管机关批准”。《网络安全法》第37条由于强调关键信息基础设施的运营者因业务需要，确需向境外提供数据的，应当“按照国家网信部门会同国务院有关部门制定的办法进行安全评估”，这实际上也没有绝对禁止在面临长臂执法等情形时相关数据的出境，而是需要进行具体问题具体分析。

另一方面，出境管制的到底是全部数据还是部分数据，仍需要厘清。以《国际刑事司法协助法》第4条为例，我国境内的机构、组织和个人不得向外国提供包括数据在内的证据材料。由于没有对数据类型进行任何区分，这便可以理解为该法禁止相关主体在刑事诉讼中私自向境外提供所有的数据。

与此相对的是，上述部分法律法规却对出境管制的数据进行了区分。以《网络安全法》第37条为例，关键信息基础设施的运营者向境外提供重要数据时必须经受管制。换言之，出境管制只是针对重要数据，而非全部数据。再以《个人信息保护法》为例，全国人大宪法和法律委员会经研究，在立法过程中便注意到，“按照我国缔结或者参加的经贸合作等国际条约，可以向境外提供个人信息，草案中应当考虑规定这种情形”。〔20〕全国人民代表大会宪法和法律委员会：《关于〈中华人民共和国个人信息保护法（草案）〉审议结果的报告》，全国人大网http：//www.npc.gov.cn/npc/c30834/202108/a528d76d41c44f33980eaffe0e329ffe.shtml最后访问日期：2022年7月3日。由于该法第41条强调可以“按照平等互惠原则，处理外国司法或者执法机构关于提供存储于境内个人信息的请求”，这也可以理解为没有绝对禁止所有个人信息的出境。

3.从实施效果来看，国家数据安全的维护与国际法上的冲突有待消解

如果严格执行上述数据出境管制规则，无疑会引发一个无法回避的问题，那就是中国法和授权执行跨境数据调取的外国法会处于直接冲突的状态，而且这种情况必定会在个案中越来越多地表现出来。这种局面反映出来的本质问题在于，各国基于自身主权和安全利益考虑而对数据资源的争夺会愈演愈烈，对数据的管辖权的主张和抗衡会趋于常态化。

在此背景下，处于国际法律冲突状态下的数据服务提供者必然会处于十分困难的境地。如果听命于某些国家长臂执法的指令，就很可能会违反我国的数据出境管制规则；如果遵循数据出境管制规则，则会相应地违反开展长臂执法的国家的法律规定。对于我国在境外开展运营的大量网络及数据服务提供者而言，也必然会于未来在个案中频繁地处于中国法和外国法冲突的困境之中。对此，如何保障相关服务提供者的合法权益，并且对其开展涉外数据服务提供针对性的合规指引，上述法律法规实际上还没有给予特别的关照。

四、外国法关于中国数据出境管制的态度与处理方案

从维护本国利益并有效推动数据跨境合法合规流动的目标出发，不同国家有必要针对他国数据出境管制的相关法令做出回应，从而视情况调整本国数据跨境流动及长臂执法的相关规则和实践。本部分将以中国数据出境管制的上述规则为讨论背景，分析欧美执法机构在开展长臂执法的过程中所依据的相关规则，将如何处理中国对数据出境的管制。

（一）外国法处理中国数据出境管制的基本态度

一方面，外国法对中国数据出境的管制会给予一定关注。由于中国关于数据出境管制的法律法规必然会与授权跨境调取数据的外国法构成国际法上的直接冲突，因此外国法必然需要对这种冲突予以回应。从欧美国家的情况来看，其对这种冲突不会全然无视，而是在一定程度上会加以注意，甚至不排除可能对本国法律的跨境执行进行一定程度的调整。

以《云法》为例，美国司法部发布的白皮书指出，当一国与美国未签署《云法》框架下的政府间协议的情况下，如果美国法院发布的跨境数据收集指令会与相应国家的数据出境管制法律相冲突，那么美国的执法机构可以选择替代性的执法方案加以解决。具体而言，这些方案包括限缩或调整跨境执法指令的内容以避免法律冲突，通过更为紧密的意向探寻或善意的沟通协调来解决冲突，抑或在一项可适用的双边司法协助框架下发布跨境执法请求。〔21〕U.S. Department of Justice，Promoting Public Safety，Privacy，and the Rule of Law Around the World：The Purpose and Impact of the CLOUD Act，U.S. Department of Justice，https：//www. justice.gov/opa/press-release/file/1153446/download，p.15.据此，在中国未加入《云法》框架的情况下，美国执法机构也有可能会在一定程度上考虑因中国对数据出境的管制而构成的法律冲突，并通过相应机制加以解决。

另一方面，外国法对中国数据出境的管制不会全盘接受。尽管会在一定程度上对中国的数据出境管制予以关注，但这并不意味着欧美国家会过度侧重于考虑中国的数据安全保护和数据出境管制方面的利益，而是从总体上会尽可能满足自身的执法需求。以欧盟《电子证据条例（草案）》为例，其中第1条拟规定，无论数据位于何处，成员国当局均有权要求在欧盟境内的网络服务提供者生成或保存电子证据。这里传达的信息在于，长臂执法的需求所反映的成员国的利益，一定是摆在第一位的。据此，中国的网络或数据服务提供者如果在欧盟境内开展运营活动，就必须要接受欧盟成员国基于其执法需求所出示的数据提交或保存指令，我国对数据出境的管制只会成为相关国家在个案程序运行中的一个考量因素而已。

（二）外国法处理中国数据出境管制的“平衡测试”方案解析

为了回应以中国数据出境管制规则为代表的一些国家的法律法规的适用，美国与欧盟近年来越发表现出采取所谓的“平衡测试”（balancing test）方案来满足执法需求并开展长臂执法的趋势。对这种趋势及“平衡测试”的具体做法展开深入研究，不仅关系到我国相关数据出境管制规则能否得到有效适用，并且也关系到我国的服务提供者在境外的合规运营能否顺利开展，因此值得高度关注。本部分将从美国《云法》、中资银行案裁决及欧盟《电子证据条例（草案）》的相关内容出发，分别进行详细探讨。

1.美国《云法》的“平衡测试”

美国司法部就《云法》发布的白皮书指出，当美国政府部门在跨境数据执法过程中面临法律冲突的时候，法院便有望适用所谓的长久以来所遵循的美国法律及国际法律的准则，也即采取一种考虑多种因素的“平衡测试”方案，以此确保国际礼让能够得到恰当尊重。〔22〕Ibid，p.16.

《云法》对服务提供者在面临法律冲突时可以开展的“抗辩”提供了指引。具体而言，当网络服务提供者合理地认为存在如下情况时，可提出“撤销或修正法律流程的动议”：一是目标对象不是“美国人”且不在美国居住；二是披露义务将会导致服务提供者违反“适格外国政府”的法律规定；三是基于该个案的所有情况，为维护司法公正，该法律流程应被撤销或修改。

针对前述第二、三种情况而言，如果美国执法机构仍试图执行会导致与外国法律相冲突的跨境数据披露指令，需要通过多种因素的平衡、考虑美国和其他国家利益的方式确保国际礼让能够得到适当尊重。为此，当法院收到服务提供者因法律冲突所提出的撤销或修改数据披露指令的动议时，可根据《美国法典》在第121章第2703条款部分针对披露客户通讯信息或记录的内容规定，在对多种因素进行“礼让分析”（comity analysis）后，可酌情修改或撤销法律程序。

这些具体的衡量因素涉及8个方面，分别是：（A）美国的利益，包括要求披露数据的政府机构的调查利益；（B）适格外国政府在避免任何被其法律禁止的数据遭到披露方面的利益；（C）由于对服务提供者施加了不相一致的法律要求，而对服务提供者或其任何雇员进行处罚的可能性、范围和性质；（D）所要调查的通讯信息所属的订户或客户所处的地点和国籍（如知晓的话），以及订户、客户与美国及外国相联系的性质和程度；（E）服务提供者与美国的联系及其于美国“存在”（presence）的性质和程度；（F）调查活动所要求披露的信息的重要性；（G）及时有效地获取所需要披露之信息的手段造成较少的消极严重后果的可能性；（H）在法律程序是由外国当局所提起的情况下，其提出协助请求的相关调查利益。〔23〕18 U.S.C. § 2703（h）（3）.

需要注意的是，根据《云法》的相关内容及具体运行，“平衡测试”方案主要适用于美国法律与同美国政府签署有行政协议的“适格外国政府”的法律之间的冲突。但是从美国司法部所发布的上述《云法》白皮书的内容来看，在强调进行礼让分析时，只是说明需要一种考虑多重因素的“平衡测试”方案，而没有特别指出只能适用于“适格外国政府”。因此，在中国与美国没有于《云法》框架下签署行政协议的情况下，当美国执法机构依托中资服务提供者要求披露存储于中国境内的数据时，后者实际上也可以尝试提出修改或撤销相应法律程序的动议，以维护自身的合规权益。

2.中资银行案裁判中的“平衡测试”

在上述中资银行案中，面对美国司法机构发布的跨境金融数据提供指令，三家银行在法律程序中明确提出，如果提供相应数据，便会违反中国的数据出境管制法律法规，进而主张美国执法机构应当通过中美两国间既有的刑事司法协助程序加以收集。对此，正如前文所述，美国法院会对这种主张予以关注，而且其实际上也承认，向外资银行发布的传票虽然具有执行效力，但是并不意味着其在所有情况下都必须要得到执行。

在该案中，法院便依据国际法上的礼让原则进行了判断。具体的标准包括：所要调查获取的资料的重要性，是否存在获取这些资料的其他途径，所涉及到的存在法律冲突的两个国家的利益，资料保管者如果执行传票则会违反本国法律而可能面对的潜在难题，等等。

法院最终认定，“国际礼让原则并非中资银行不执行传票指令的理由”。在上述多项具体标准中，虽然从数据信息来源于中国、银行存有善意等方面来看，中资银行提出的主张是有理的，但是仍维持了传票的执行。法院认为，最为重要的原因在于，这项调查关系到美国的安全问题，而涉及其中的中国的国家利益并不具有同等的重要性。除此之外，法院基于政府的过往经验认定，双边司法协助程序不太可能为获取相应的资料提供令人满意的替代方案。虽然中资银行遵从传票的指令可能会在中国国内受到官方惩罚，但是考虑到三家银行都有国有资产的背景，因而这样的惩罚可能并不会实际得到执行。〔24〕Re Grand Jury Investigation，2019 WL 2170776.

综上，美国法院虽然在裁决中所开展的“国际礼让”分析并没有采用“平衡测试”的术语，但是从具体论证和表述来看，其所考虑的多种因素实际上构成了国际法律冲突状态下开展“平衡测试”的基础要素。具体从法院对美国和中国在案件调查过程中涉及的国家利益的分析来看，裁决意见从本质上讲就是在对两国的相关利益进行“测试”，以此对双方利益的重要程度进行衡量。因此，美国法院在中资银行案中，其实也是在对中国的国家利益进行一定程度的关注之后，进行了“平衡测试”，与《云法》中规定的涉及国际法律冲突的“平衡测试”并不存在本质的区别。

3.欧盟《电子证据条例（草案）》中的“平衡测试”

欧盟委员会（European Commission）在2018年4月17日发布的《电子证据条例（草案）》建议稿的第四章“救济”（Remedies）部分第15条、第16条中，规定了总部设在域外的网络服务提供者在面临数据调取执法时与第三国相关法律法规存在冲突情形的审查程序。如果成员国的执法机构签发“欧洲数据提交令”会与第三国禁止跨境披露相关数据的法律相冲突，那么收到相应指令的服务提供者便可以提出合理的异议，将具体的冲突理由通知签发机构。〔25〕See Proposal for a Regulation of the European Parliament and of the Council on European Production and Preservation Orders for Electronic Evidence in Criminal Matters，Eurocrim-database，https：//db.eurocrim.org/db/en/doc/2950.pdf，p.48.

不过，服务提供者提出所谓“合理的异议”，不能仅仅基于第三国法律中不存在类似的规定，而且也不能仅仅因为数据存储于相应国家便拒绝披露。欧盟成员国的签发机构会对“合理的异议”进行审查，选择撤回数据提交指令，抑或维持相应的指令。如果维持，签发机构会将案件移交到所在成员国的主管法院。法院根据相关理由，结合案件中的具体情况，再评估第三国的法律是否适用于该案，且在法律的适用问题上是否存在冲突。与此同时，法院还会考虑第三国法律的适用可能并非致力于与国家安全或国防相关的根本性的权利或利益保护，而是明显在于试图保护其他某种利益，抑或是在刑事调查过程中旨在为非法活动提供庇护。如果成员国法院明确了数据提交令与第三国有关保护国家安全或个人基本权益的法律确实存在事实上的冲突，从程序上讲就需要征求该第三国中央当局的意见。如果后者确认存在法律冲突，并反对数据提交令的执行，那么法院就要撤销该数据提交令。但是，如果基于有关国家的立法情况，相应的法律冲突与该国国防与国民利益无关，那么法院也可以从支持和反对数据提交令的执行这两个方面进行利益衡量，从而做出最终决定。〔26〕Ibid p49-50.

但随后在当年的11月30日，欧盟理事会（Council of the European Union）在其所发布的《电子证据条例（草案）》修订稿中，删除了上述建议稿第四章第15条所规定的出现国际法律冲突时所采取的审查程序的内容，取而代之的是在第16条第5段中直接使用一种所谓的应对所有法律冲突的“评估”（assessment）方案。〔27〕欧盟理事会于2018年12月12日发布了《电子证据条例（草案）》的更新修订版本文件，第16条第5段规定的“评估”方案没有再发生变化。因此，本文仅根据11月30日修订版本的内容进行论证。See Proposal for a Regulation of the European Parliament and of the Council on European Production and Preservation Orders for Electronic Evidence in Criminal Matters，Eurocrim-database. https：//db.eurocrim.org/db/en/doc/3120.pdf，p.47.如果数据调取指令的接收者即网络服务提供者认为，遵守欧洲数据提交令将与数据存储地所在国家的法律相冲突，那么应当自指令送达之日起不迟于10日内，将拒绝执行的理由通知签发机构，并由后者将案件移交给主管法院进行评估。

综上可知，相较于《电子证据条例（草案）》最初的建议稿，修订稿的内容侧重于依据统一的标准进行法律冲突的评估。具体而言，评估过程中相应的考量因素包括网络服务提供者与第三国之间有无紧密的联系，签发机构所在国家在获取有关证据时所指向的犯罪的严重性和取证的重要性，网络服务提供者若执行数据提交指令可能与第三国法律所产生冲突的严重程度，等等。〔28〕See Proposal for a Regulation of the European Parliament and of the Council on European Production and Preservation Orders for Electronic Evidence in Criminal Matters，Eurocrim，https：//db.eurocrim.org/db/en/doc/3116.pdf，p.46.当出现法律冲突时，由于修订稿不再要求成员国的主管法院需要咨询数据存储地国家即第三国的中央当局，这明显反映出欧盟在制定《电子证据条例（草案）》的过程中，态度发生了重要的变化。

如果说最初的建议稿要求咨询第三国中央当局的规定较大程度上表现出对第三国数据相关利益的关照和尊重的话，那么修订稿中所设计的实质上等同于“平衡测试”的评估方案则反映出，欧盟未来在开展跨境数据调取的长臂执法时会更加侧重于考虑成员国的执法利益，未再展现出对相关国家权利或利益予以特别关照的倾向。〔29〕Jennifer Daskal，Privacy and Security Across Borders，The Yale Law Journal Forum，Vol.128（2019）.无论是对于我国近年来不断发展的数据出境管制规则，还是对于跨境开展运营活动的中资服务提供者而言，《电子证据条例（草案）》所传递出来的强化长臂执法的态度，显然不是一个好消息。

五、数据出境管制的“两位一体”结构与规则完善

为了缓解欧美国家开展长臂执法带来的压力，同时为了采取有针对性的举措来应对“平衡测试”，本文认为，这需要深刻理解我国数据出境管制的内在结构，并在此基础上完善相关的规则。

（一）数据出境管制的“两位一体”结构：制度逻辑与调整方向

从本文第二部分的规范分析来看，我国数据出境管制规则的设计意图存在明显的差异，一部分指向金融安全、数据安全的维护，另一部分则指向长臂执法的抗衡。这说明，长臂执法背景下对数据出境进行管制的现有规则存在两套体系，而背后则反映出两种截然不同的制度建构逻辑，形成了极具特色的“两位一体”结构。完善数据出境管制规则并切实缓解长臂执法的压力，需要从两个维度理解这种结构：

其一，数据出境管制规则的完善涉及到两类涉外法律法规的调整。一方面，数据出境管制受数据安全类法律法规的调整。基于数据的互联互通和跨域流动特性，对数据进行适度的出境管制，本身就是以《数据安全法》为代表的法律法规的重点内容。另一方面，数据出境管制在长臂执法的背景下又受证据出境管制法律法规的调整。由于数据在司法活动中本身就是证据的表现形态，因此外国执法部门跨境调取的数据显然又必须同时满足证据出境管制规则的要求。

其二，数据出境管制规则的完善受到两种规制逻辑的影响。以刑事数据为例，其出境“直接涉及国家主权和国家间司法协助问题，因此往往受一国主权观念和国际政治关系等因素影响，必须极其审慎地考虑可能给国家主权带来的影响。”〔30〕郑曦：《刑事数据出境规则研究》，《法律科学》2022年第2期。但是需要注意的是，数据出境与国家主权的关系需要从两个角度加以分析。一方面，数据出境管制是维护数据主权与安全的反映。数据主权与安全是总体国家安全观的重要组成部分。因此，对数据出境进行有效管制，本身就是维护数据主权与安全，践行总体国家安全观的具体举措。另一方面，数据出境管制在长臂执法的背景下又是维护国家司法主权的题中之义。外国执法部门跨境调取数据，从性质上界定为执法或司法活动应无疑问。由于执法或司法活动是司法主权的典型表现，因此我国对跨境调取数据持抵制态度，实际上反映的就是对司法主权的维护。

综上，在长臂执法的背景下完善数据出境的管制规则，需要对两种类型的涉外法律法规加以通盘考虑，同时需要将数据主权与司法主权的设定与协调问题一并加以考量。然而，结合本文第三部分的规范分析和我国面临长臂执法及“平衡测试”的相关压力来看，数据出境管制的“两位一体”结构并不协调。从司法主权的视角来看，现有的证据出境规则可以说是非常刚性的，上述《刑事司法协助法》第4条、《数据安全法》第36条和《个人信息保护法》第41条的规定显然是排斥外国执法机构调取我国境内包括数据在内的所有证据的。然而从数据主权的视角来看，现有的数据出境管制规则则是留有一定余地的。例如，上文已经提到，某些概括性的数据出境管制规则只是适用于金融、工业和信息化领域的特定行业，某些适用于开展跨境业务的数据出境管制目前也只是指向关键信息基础设计的运营者、汽车数据的处理者等主体。虽然从数据安全的角度对数据出境进行管制的范围大概率会继续扩大，但是发展的方向并不是要对未经主管机关批准的数据跨境流动予以绝对禁止。

于是，如果坚守以《刑事司法协助法》为代表的法律法规所反映的司法主权，实质上就是从证据层面对我国境内数据都主张主权，那么我国法律法规必然会与数据调取长臂执法所反映的外国法的跨境适用形成直接冲突。然而从数据主权的视角来看，我国实际上并没有对境内所有数据均强烈主张主权，于是在数据出境方面避免法律冲突实际上是存在一定空间的。

因此，在长臂执法的背景下，出于在一定程度上避免遭遇“平衡测试”的考虑，我国可以将数据主权与司法主权加以有机协调。一方面，应当坚守司法主权并否定外来长臂执法，这一原则适用于所有的证据的出境管制。另一方面，应当基于数据保护的特殊考虑和跨境流动管制的实际需要而谨慎设定数据主权，从而为作为证据之表现形态的数据的出境留下一定的空间。为了从数据出境管制的“两位一体”结构的角度对这两方面加以协调，可以在证据出境管制规则的原则性规定的基础上，明确当数据出境管制的规则存在例外规定的，可以适用相应的专门性规定，从而在数据出境的问题上对司法主权与数据主权的主张加以适度的平衡。

从数据出境管制的具体规则在近期的发展思路来看，我国在《数据安全法》第21条第1款中确立了数据的分类分级保护制度，这已经反映出数据主权设定的类型化考量。从分类分级保护的具体数据类型来看，该条第2、3款具体确立了需要保护的两种类型的数据，一是“关系国家安全、国民经济命脉、重要民生、重大公共利益等”的国家核心数据，二是各地区、各部门所确定的“本地区、本部门以及相关行业、领域的重要数据”。据此，相关行业、领域已经着手从制度层面对数据进行分类分级保护。例如，《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》第7条就根据数据遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益等造成的危害程度，将工业和电信数据也分为了一般数据、重要数据和核心数据这3种类型。

在此基础上，关于重要数据的界定，已经成为近期相关规范着力的重点。除了《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》中的第9条〔31〕除了第9条外，该征求意见稿还在第8、10条对一般数据和核心数据的内涵和范围进行了明确。以及《汽车数据安全管理若干规定（试行）》第3条对重要数据的范围进行了规定而外，近期还有多份规范性文件的征求意见稿也密集出现关于重要数据的表述。限于篇幅和主题，本文无法对这些规定的内容进行详细引注和分析。总体来看，近期对重要数据的规范工作主要集中于对重要数据的定义、范围、识别规则与流程等进行表述，虽然目前尚无统一权威的表述，但是已经为重要数据的保护提供了基本的制度框架。

综上可知，我国目前对数据进行分类分级保护的现状及发展趋势在于，首先确定国家核心数据，其次根据特定地区、领域和行业的特点，拟定重要数据的清单，从而体现出数据主权的主张范围。对于前述两种类型之外的数据，便可以认为是原则上无涉数据主权和安全的无需特别保护的一般数据。据此，在长臂执法的背景下完善数据出境的管制规则，可以在“两位一体”结构的基础之上重点完善数据出境管制的内容体系，在强化国家核心数据和特定重要数据保护的基础上分化出可以自由流动的数据类型，从而尽可能避免法律冲突，以此消解长臂执法带来的压力。

（二）数据出境管制规则完善的重点：数据的分类分级保护

对数据进行分类分级保护，主要是基于数据安全的考虑。但是也需要注意到，从总体上讲，相关法律法规还没有从数据出境的层面对数据进行非常细致的分类指示，难以满足数据多样化的出境需求。〔32〕参见刘金瑞：《关于〈个人信息和重要数据出境安全评估办法（征求意见稿）〉的意见建议》，《信息安全与通信保密》2017年第6期。尽管如此，分类分级保护的思路也应适用于基于数据主权与安全因素而对数据出境的管制。实际上，这从《数据安全法》的内容体系中也可以找到相应的答案。具体而言，该法第21条规定的数据分类分级保护制度属于第三章“数据安全制度”的组成部分，而第36条规定的执法数据的出境管制则属于第四章“数据安全保护义务”的组成部分。从该法内容体系的逻辑架构来看，由于第四章“数据安全保护义务”的落实显然服务于第三章“数据安全制度”的确立和保护，因此执法数据的出境管制也应当以数据分类分级保护为指导方针，而无需另行设计制度体系。这实际上也说明，从数据出境管制的“两位一体”结构来看，执法数据出境所反映的司法主权，不能简单套用证据出境的一般性原理和规则，而是需要在考虑数据本身特性的情况下在数据主权的统辖下加以设定。

在对数据进行分类分级保护的基础上，对执法数据的出境进行明确的区分处理，便可以在一定程度上避免因长臂执法带来的主权国家间的法律冲突。具体而言，可以从三个层面对执法数据的出境管制进行制度设计：

其一，国家核心数据直接关涉国家主权与安全方面的重大事项，无论如何都不应属于长臂执法调取数据的范围。即使这类数据可能由一些服务提供者掌握，但是也应当绝对禁止其向境外执法部门提供。就此而论，司法主权与数据主权是完全重合的，不需要针对这类数据而加以区分对待。例如，《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》第24条便明确指出，“核心数据不得出境”，这一规定可以直接适用于执法数据出境的严格管制。

其二，对于服务提供者所掌握的特定行业的重要数据，原则上也不能任由相关主体提供给外国执法机构。就此而论，司法主权与数据主权也是完全重合的。当然，实践中需要考虑一些特殊情况。例如，服务提供者可以根据上述《网络安全法》第37条、《刑事司法协助法》第4条、《数据安全法》第36条、《汽车数据安全管理若干规定（试行》第11条、《个人信息保护法》第41条、《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》第24条等规定，在个案中经国家网信部门或其他主管机关进行数据出境安全评估或审批同意后，方可向境外执法机构提供。换言之，虽然对重要数据同时主张司法主权和数据主权，但是法律法规中的例外规定为重要数据的对外提供留下了一定的空间。

其三，对于前述两类数据之外的与数据主权与安全关系不大的数据，一般可以由服务提供者在落实相关数据出境安全评估和监管机制的情况下，自行决定是否向外国执法机构提供。对此，司法主权与数据主权需要加以区分处理。国家一方面通过主张司法主权的方式，对包括数据在内的证据的出境进行统一管制，但是另一方面则需要在数据主权分类设定的框架下对部分执法数据的出境做出特殊的制度安排。实际上，《数据安全法》对核心数据、重要数据之外的一般数据，并没有明确要求进行特别保护，而且也未就相应数据的出境规定明确的法律责任，〔33〕《数据安全法》第31条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。”在此基础上，第46条只是针对关键信息基础设施的运营者和其他数据处理者，对其向境外提供“重要数据”而需要承担的法律责任进行了规定。这种思路也相应地可以适用于执法数据的出境。

不过，这里应注意例外情况，即上述两种数据范围之外的一般数据在特定情况下可能转化为重要数据。根据2021年9月23日发布的《信息安全技术重要数据识别指南（征求意见稿）》第3.2部分在对“重要数据”进行定义之后的注释，〔34〕注释内容是：“重要数据不包括国家秘密和个人信息，但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。”以个人信息为例，一般不属于重要数据，但是当个人信息形成大数据之后，就可能成为重要数据，应受执法数据出境管制的约束。〔35〕这里可以参考2022年2月15日施行的《网络安全审查办法》第6条的规定：“掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。”因此，未来有必要在《数据安全法》等相关法律的体系下细化数据出境的审查规则。如果服务提供者被外国执法部门要求提供明显超越个案需求的批量数据或大数据时，抑或频繁被特定国家的执法部门要求提供特定类型的数据时，应当明确其向网信等部门申报网络安全审查的法定义务，相关部门也有必要建立定期核查机制，以此切实维护国家数据安全。

综上，在长臂执法的背景下设计数据出境管制规则，应当牢固树立数据主权和安全意识，但同时也需要在“两位一体”结构的基础上有机协调司法主权与数据主权的关系。对于前两类数据，由于直接指向国家主权与安全，因此应当严格保护，需要明确对外主张独立的数据主权。〔36〕有研究者将数据主权细分为数据平等权、数据独立权、数据自卫权、数据管辖权。其中，“数据独立权是指本国的数据管辖使用完全独立自主，不受他国支配影响。”参见黄志雄：《数据治理的法律逻辑》，武汉大学出版社2021年版，第411-413页。当然，对这两类数据也需要区分处理。正如本文第三部分第（二）点关于数据出境管制的具体规则设计的分析来看，现有规则在是否需要主管机关批准、对全部数据还是部分数据进行出境管制方面还存在着不一致的表述。但是根据数据主权和安全对数据出境进行分类处理之后，就可以明确：对于国家核心数据，应当绝对否定长臂执法，因此无需考虑主管机关批准以及出境管制的数据类型；对于行业重要数据，则可以为执法合作留出一定空间，允许服务提供者在个案中经过主管机关批准的情况下将部分数据向境外执法机构提供。至于国家核心数据和行业重要数据的具体范围和内容，目前国家相关法律法规正在进行规范。由于这个问题一定程度已经超出了本文研究的范围，这里不再详细展开。

六、余论：对外国法中“平衡测试”方案的回应与反制

对执法数据进行分类分级出境管制，虽然可以在一定程度上缓解长臂执法带来的压力，但无法从根本上解决受到出境管制的数据仍然会遭遇长臂执法的问题，法律冲突还是不可避免。如果欧美国家的执法机构在进行“平衡测试”后，执意指令服务提供者交出存储于我国但受到出境管制的国家核心数据，抑或主管机关经审查后不同意出境的行业重要数据，我国又当如何回应，这是一个必须正视的问题。为此，可以加强以下两方面的工作，进一步消解我国所面临的长臂执法压力，并且推动数据出境管制的法律法规能够在最大程度上起到实效。

其一，“平衡测试”背景下的积极沟通。前文已经指出，外国执法机构在进行的“平衡测试”过程中实际上有可能在一定程度上关照数据存储地国家的法律要求，而不是倾向于绝对满足其执法需求。〔37〕例如，从2021年2月9日所反映出来的欧盟《电子证据条例》的立法动向来看，专家组认为，当出现同第三国的法律冲突时，该立法建设稿提供了成员国签发机构不予执行跨境数据提交令的可能性，从而认可了执法过程中的不确定性。See European Judicial Network’s Working Group on E-evidence，Second Statement on the Proposal for a Regulation on European Production and Preservation Orders for Electronic Evidence in Criminal Matters，Eurocrim-database，https：//db.eurocrim.org/db/en/doc/3583.pdf，p.3.为此，我国官方可以发布统一的白皮书的形式，协助服务提供者阐明关于执法数据出境管制的法律法规及政策，从而在最大程度上助力服务提供者的业务合规以及我国数据主权与安全的保障。此外，我国需要在未来根据电子取证的特点打造适应时代发展需求的快捷协助程序。如果相关程序能够在个案中实现快捷展开，欧美国家在很大程度上也就没有必要再通过向服务提供者发布数据跨境提交指令的方式开展长臂执法了。通过积极寻求沟通并提供快捷司法协助，外国执法机构也就可能转而通过快捷司法协助程序开展跨境电子取证，从而避免继续依托服务提供者进行长臂执法。

其二，“平衡测试”的对等反制。如果外国执法机构在进行“平衡测试”执意开展长臂执法，“国家层面既要理性借鉴美国‘长臂管辖权’的方式方法，加大国内法制度供给，又要有效应对美国恶意或任意行使‘长臂管辖权’”。〔38〕肖永平：《“长臂管辖权”的法理分析与对策研究》，《中国法学》2019年第6期。为此，我国可以采取国际法上通行的对等原则，针对长臂执法及“平衡测试”方案进行坚决反制，〔39〕《个人信息保护法》第43条的规定便体现出这样的思路：“任何国家或者地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。”从而充分维护我国数据出境管制的法律实效。实际上，从立法背景来看，欧盟委员会之所以提出《电子证据条例（草案）》，其中一个重要的目的就是希望在美国《云法》施行的背景下借此增加其与美国谈判的筹码，从而与美国当局达成互惠。〔40〕See Julia Fioretti，Europe Seeks Power to Seize Overseas Data in Challenge to Tech Giants，Reuters（Feb.26，2018），https：//www.reuters.com/article/uk-eu-data-order-idUKKCN1GA0LN.于是，为了有效制衡长臂执法，特别是为了应对当我国服务提供者在个案中可能违反跨境数据提交指令而受到欧美国家处罚的情况，我国也可以对在境内运营的相应国家的服务提供者施加同样的跨境数据披露义务，形成“战略上的对冲”，〔41〕洪延青：《美国快速通过CLOUD法案，明确数据主权战略》，《中国信息安全》2018年第4期。并在此基础上尽力促使开展长臂执法的国家妥协或提供互惠。