余 文 清

(福建警察学院 法律系，福建 福州 350007)

传统管辖权通常与国家主权相伴，与一定的地理空间相关联，但在全球化、数字化表达的今天，通信信息技术的快速发展产生了超越时空的数据传播、共享和使用。由于云端的全球化，跨地区、跨国家的数据存储割裂传统管辖权与领土的相关性，阻断了彼此的空间关联性。政府基于公共利益的数据管制面临着如何界定其跨境数据访问范围的拷问。政府管制跨境数据的权力边界在何处？可否将传统的管辖规则植入跨境数据管辖？抑或是弱化地理空间相关性，建立全球化的数据管辖新规则？在大数据背景下，落实对跨境数据的管辖成为当前全球互联网发展治理中的重要问题。

一、大数据时代下跨境数据的管辖问题

大数据时代，数据全球化不可逆，由此产生的数据跨境流动也不可避免。伴随着数据资源价值的增加和战略地位的提升，数据跨境产生的不仅是数据的输入与输出的问题，还包括跨境数据管辖的治理性问题。

(一)跨境数据对国家主权的冲击

根据《威斯特伐利亚和约》，国家主权意味着主权国可以对其所属的全部领土和领土范围内的一切人、事、物享有完全的、排他的管辖权，包括立法管辖权、司法管辖权和执法管辖权[1]。分解国家主权的内涵，包含两个向度：对内和对外。对内的向度具有最高统治性，对外的向度具有完全的独立自主性。无论国家管辖权的具体指向为何，这两个向度都坚持一个最根本的逻辑起点：领土。早期，各国遵循严格的国界障碍，限制个人和财产的自由流动[2]182。到了20世纪，人和财产的地理边界逐步消融，部分国家试图以“监管政策”，禁止数据控制者将数据处理移至管制较为宽松的国家以规避本国数据管制。21世纪以来，数据的跨境流动使基于地缘的国家主权不断遭受冲击。

表现之一：虚化主权国家的地理边界。互联网、云端等技术创造了一个存在于传统地理边界之外的虚拟的、去中心化的网络世界，它由位于各主权国的小型网络组成。借助互联网、云端的技术架构，数据可以在同一时间或者不同时间的不同位置被分享给位于不同国家的云用户。从数据流动和主权国家的地缘政治角度看，数据跨境空间与主权国家的地理空间之间存在较大的张力，前者以跨越国家地理边界实现数据资源共享为目标，后者以约束无边界行为实现国家安全和独立为目标。数据跨境流动范围越广、数量越大，对主权国家的地理边界的虚化也就越大。从目前数据流动的情况看，数据的全球性和无边界性正不断消解国家在数据管辖方面的边界。

表现之二：消解主权的对内性和对外性。面对大量存储于云端的数据，美国和欧洲部分国家为强化自身的数据资源禀赋，不断扩张其对跨境数据的管辖权。最典型的事例是2013年的微软公司案。在该案中，美国纽约南区地方法官根据联邦特工的申请，签发搜查令，要求微软向联邦特工提交目标客户存储在爱尔兰数据中心的数据。微软拒绝提交相关数据。思科、苹果、亚马逊等二十多家科技媒体公司的“法庭之友意见书”(briefs of amici curiae )也提出，允许美国政府强迫微软提交用户数据将侵犯爱尔兰的主权，美国不能基于本国的制定法，单方决定搜查受其他主权国家保护的数据[3]。此类例子不一而足。跨境数据加剧了主权国对跨境数据管辖权的争夺，产生数据强国对数据弱国的“数据鸿沟”，尤其是消解了数据弱国主权的对内最高性和对外独立性。在微软案中，尽管微软公司最终并未提供其位于爱尔兰数据中心的数据，但现实情况是，受制于相关因素的影响，美国也有办法迫使爱尔兰披露其拥有的数据。

(二)跨境数据对数据管辖权基础的改变

国家对某一行为拥有管辖权的基础通常有五个：(1)在其领土范围内发生的行为；(2)在其领土上的人或物；(3)已经或者打算在其领土内产生实质性影响的域外行为；(4)该国公民的活动，不论其身处何地；(5)在国外危害国家安全或者国家利益的行为[4]207。这些基础主要源于国际法，在长期的国家交往实践中，各国逐渐认可，并以此为依据构建本国管辖权基础。但随着数据流动的加速，跨境数据在一定程度上改变了传统的管辖权基础，形成了以数据、数据控制者、数据处理者为主的管辖权基础。

改变之一：数据位置。数据位置是指数据存储服务器的所在地。以数据位置确定管辖权的底层逻辑仍然体现的是主权国对领土的控制。数据具有无形性，但总要存储在位于某一地理位置的有形的网络存储驱动器中。只要主权国能够控制在其领土上的物理硬盘，数据位置就会成为主权国获得管辖权的基础。然而，在全球范围内广泛采用的监管套利(regulatory arbitrage)事实上已经延伸到互联网数据世界的现实背景中，数据位置主要由大型互联网公司对目标存储地法律和政策的判断决定，主权国尤其是数据弱国相对被动，甚至有可能受到大型互联网注册地所在国的控制。

改变之二：数据控制者。数据控制者(Data Controller)是指有权决定数据被处理的目的和方式的主体。以数据控制者获取管辖权是指通过在本国范围内注册的数据控制者向处在外国的数据处理者发出指令或者寻求合作，以获取其控制的数据。受制于技术发展的限制，数据控制者注册地较为集中、多数在数据强国，以数据控制者为基础确定管辖通常会成为数据强国单方延伸域外数据治理长臂的依据，例如欧盟通过的《一般数据保护法案》及附属解释政策、美国通过的《澄清域外合法使用数据法》确定了跨境数据管辖的“数据控制者”模式[5]。虽然数据控制者基础在很大程度上可以打破各国通过数据本土化创造的数据保护屏障，但该基础完全不考虑国家领土的限制，很可能成为数据强国侵犯数据弱国主权的另一种方式[6]。

改变之三：数据用户。数据用户是指合法收集、拥有以及使用数据的主体，以数据用户为基础获取管辖权必须处理用户身份与用户位置、数据控制地、存储地不一的艰难境地。假设一个A国人在本国犯罪，已知此嫌疑人经常使用Dropbox账户，但Dropbox总部设在B国，采用的是亚马逊云服务进行数据存储，而亚马逊将数据存储在C国的存储器上。无疑，A国拥有管控本国公民的坚实基础，且A国也不会放弃这种管辖权，但实现这种管辖的数据证据存储在域外，产生了域外执法管辖的问题。根据主权理论，A国只能对其领土范围内的个人或者物行使管辖权，一旦管辖权超出其领土范围，就会引发域外管辖的问题[7]。概念上，执法管辖权属于完全的域内权力，但跨境数据事实上将该权力向境外延伸，传统的管辖权基础发生改变。

跨境数据对国家主权的冲击、对数据管辖权基础的改变对网络安全和数据治理主体产生了宽泛的影响，尽管管辖权基础的改变在一定程度上可以为主权国访问云数据提供一个初始依据，但由于不同的主权国可以基于不同的基础主张其对跨境数据的管辖权，跨境数据将经常遭遇管辖重叠(overlapping jurisdictions)的问题，如何处理跨境数据管辖治理难题，引发了理论界和实务界对跨境数据管辖的大规模探索。

二、跨境数据管辖的未定定律引发的探索

跨境数据管辖的界定，本质上是数据权利和利益在全球范围内再分配的过程。在技术的加持下，这一过程变得更加不确定和多变，形成跨境数据管辖的例外主义和反例外主义主张。

(一)基于数据特征的管辖主张：数据例外主义

传统物理性世界到数字化虚拟世界的深刻变革使大批学者呼吁创建新的数据管辖规则，以应对大数据时代下的数据管辖问题。然而，新规则的确立不仅需要厘清数据的性质，还需厘清数据在云端的作用。一般情况下，数据的流动性不会产生域外管辖问题，除非数据在跨国网络中传输。单纯的物理书写变成电子书写也不会产生域外管辖问题，除非电子书写的内容被备份于云端，而云端处于另一个国家的服务器中。数据可能是唯一的，但它的流经可能包括多个主权国家，涉及多个司法管辖权，数据也可能被分割为数个组成部分，分布在不同主权国家。为此，有学者提出了数据管辖的“例外主义”[8]。数据例外主义源于数据的无形性、无边界性、可分离性和超经济性，该主张认为这些特征将数据与其他物理世界的信息相区别，在管辖上，不能沿用物理世界的传统管辖规则，尤其是属地管辖规则。

首先，在数据例外主义者看来，人们无法以“全有或全无”的方式将数据把控在手中。在虚拟世界中，数据由各种无形的编码组成，这些编码以声、光、电磁等形式存在于互联网媒介上，不存在有形实体，只能通过特定的技术手段为肉眼所见。数据字段的修改、传输等活动均发生于互联网。较之物理实体，数据传输、使用路径也无法轻易辨别。这种无形性增加了数据管控和界分政府正当权力范围的难度。

其次，虚拟世界的特殊之处在于没有物理世界的地理边界。全球化、数字化表达以及通信信息技术将数据用户和数据分隔开来，形成二者相对的“独立空间”，产生了跨国界、跨地区的数据传播。在数据处理中，人们无法获知数据处理的开始或结束，只能将其作为连续的数据流。云计算使数据分析无处不在，但也强化了数据的无边界性，任何一次数据分析都有可能将数据扩展到其他地区。这种扩展性加剧了无边界性，而无边界性反过来促进数据的扩展性。数据的无边界性与属地管辖权的严格地理边界存在张力，导致数据与现行管辖规则限制根本不相兼容。

再次，互联网、物联网以及云计算等IT和通讯技术的发展产生了“人、机、物”的三元网络空间。与物理实体不同，数据可被轻易分割为不同组成部分，被分割的数据可以同时共存、彼此交互和融合。此前，数据被相对独立的保存于各个独立的空间或个人手中。如今，互联网的无边界性打破了数据存储的空间限制，同一数据的不同片段可以在同一时间被存放于不同地点或终端，并由不同系统或人支配。在大数据场域中，数据控制者、存储者、使用者大多相互分离。当数据的分离性越大，数据跨越的地区就越大，随之而来的是数据管辖范围的不确定。

最后，随着互联网技术的进步、实时性社交媒介的普及以及数据挖掘行业的兴起，人类保存、生产以及使用数据的能力呈几何速度增长。“大数据”成为新时代的代言词，这种“大”不仅表现为数据“数量”之大，也表现在数据“价值”之大。数量之“大”仅是表象，价值之“大”才是本质。基于资本逐利性，以大型跨国企业为代表的经济实体为了获取最大化经济利益，需要大量的聚合、分析、使用和披露各种流经在互联网的数据[9]。数据事实上已渗透到当今各行各业的方方面面，成为互联网经济中不可获取的重要生产资源，公民、组织或者法人对数据的聚合和使用将产生新一轮的经济增长。据报道，某家分析公司几乎拥有美国、英国以及澳大利亚这些国家中每一个消费者的个人和私有的信息，为直销行业的生存提供了数据命脉[10]。数据的超经济性也促进了数据的跨境流动，增加了主权国管制跨境数据的难度。基于此，数据例外主义者主张数据管辖的去领土化，即通过签订一个全球性的国际公约(Global Treaty)，对跨境数据实行全球共管。

(二)基于主权场域的管辖主张：反数据例外主义

数据例外主义将网络空间刻画为一个与现实领土截然不同的“公共领域”(res communis)，以让人们相信旧的领土规则无法被轻易地适用于数据[11]1199。针对数据例外主义，有学者提出了反数据例外主义，认为数据管辖权演化自数据主权，而数据主权又源于国家主权[12]。尽管数据本身的固有特征会使人们质疑物理世界所援用的管辖规则，并相信不宜将过去旧的管辖规则适用于数据，但事实上，虚拟世界和物理世界仍存在共通之处。数据很容易被比作物理性产品，例如跨境数据就与全球贸易存在共通之处。虽然在全球贸易中贸易者的交易横跨多个司法管辖区，资产转移遍布不同国家和地区，但立法、司法和执法机构仍会设法将传统的领土规则适用于跨境资产。有时，数据就像电子账户中的金钱和债务这样的无形资产，即使具有无形性，它也具备物理性产品的特性，也受制于物理世界中的一般规则。概念上，由全球云引起的管辖权挑战并不像数据例外主义者看起来的那样，需要创建全新的数据管辖规则。尽管这些数据在某种程度上存储于自由浮动的以太中，但在形式上，与其他的无形财产没有太大的区别。因为数据必须固定在特定区域内的网络存储驱动器上，不管这些存储驱动器放置于何处，它们都受制于一国的领土管辖权。换言之，数据兼具物理性和无形性特征，二者均可以为政府管辖数据提供有利的基础。

简言之，在反数据例外主义者看来，不管数据的特征如何新颖，由来已久的属地管辖规则为国家管制影响本国公民和财产的跨境数据提供了坚实的基础。跨境数据与其他跨境行为没有什么不同，同样受制于属地管辖权的限制。通过准确定位数据的位置、犯罪地等，对跨境数据的管辖权可以援用许多既定的管辖规则。当然，这些不同的管辖权基础意味着同一数据在同一时间里可能受到不同国家的管辖，但这也并不足以打破现有的管辖权体系，政府无需致力于狭义地界定其对数据的管辖权或者创建新的管辖规则。例如，在2014年克丽尔克莱科特公司诉美国国际贸易委员会案中，美国国际贸易委员会(ITC)根据1930年《关税法》(the Tariff Act)第337条裁定，克丽尔克莱科特公司将从巴基斯坦公司收到的数字文件(digital files)打印并生产成产品的行为构成了专利侵权。在上诉过程中，克丽尔克莱科特公司以数字文件不属于“进口‘物品’”、不是数据跨境为由质疑美国国际贸易委员会的管辖权。最终，联邦巡回法院通过分析《关税法》制定之时该条款中的“物品”是否包含数字文件，支持了克丽尔克莱科特公司的主张[13]。虽然该案并没有就跨境数据管辖权的最终归属作出判断，但似乎表明，尽管数据流动创造了新的市场安排，却并没有给人们在领土世界中思考管辖权的方式带来根本性的挑战。

三、跨境数据管辖冲突的化解之道

数据在概念上并没有什么例外性，即使数据具备一些前所未有的特征，也不足以动摇领土的核心地位并否认基于主权的管辖。跨境数据仍可以在传统管辖理论和规则中寻找冲突解决之道。国家主权始终是管辖权实现的最坚实的基础。互联网世界中，国家主权衍生出网络主权，在数据领域，又形成数据主权。数据主权意味着主权国仍可基于领土而合法地对数据主张权利，并基于此构建统一的跨境数据管辖规则。

(一)坚持尊重数据主权的基本管辖立场

在互联网发展初期，鼓励数据自由流动，坚持数据无主权的主张占据主流地位。但是，随着数据强国单边主义思潮的回归和数据超强战略价值的体现，主权肯定论显示出更强大的生命力。数据具有无形性、无边界性、可分离性等特征，但这些事实并没有从根本上改变主权国对在其领土范围内的数据进行管辖的能力。数据与主权并非完全两分，互不关联。实际上，主权国对数据的管控仍可在主权的概念下求索，数据主权因应而生。中国是数据主权的坚定主张者和追随者，早在2005年，我国就在国务院发布的《促进大数据发展行动纲要》中对数据主权作了描述，数据主权诞生于网络主权，网络主权又源自于国家主权，是国家主权在网络空间的延伸。作为国家主权的下下位概念，数据主权具有国家主权的相应属性，强调主权国家对本国网络空间中的特定数据享有管辖权。在规范上，表现为各国在主权范围内制定跨境数据法律规范以实现本国在数据安全保障和主权维护方面享有极其宽泛的自由。当下，数据争夺愈发激烈，冲突解决规则的国际共识尚未达成，坚持和尊重数据主权并使其成为数据管辖冲突处理的基本立场将是全球数据治理的必然趋势。

需要注意的是，强调主权国对数据的管辖只是尊重数据主权基本立场的一个方面。基于数据主权的对外独立性，尊重数据主权还有另一个方面：各主权国家基于国际法尊重他国数据主权，即各主权国在对外行使数据管辖权时，不得侵犯其他主权国家对内的数据主权。当然，数据主权的实现本质上取决于各国对数据、参与数据活动的人和数据设施设备的控制。因此，尊重数据主权在多大程度上能够得到实现以及如何与其他国家价值共生，仍需要各国通过行使数据管辖权的实践来证实。

(二)构建统一的跨境数据管辖规则

数据例外主义者提出的全球性国际公约虽为跨境数据管辖权冲突的处理提供了一个新的思路，但却是一个危险的思路。因为在全球范围内，各国数据发展水平并不均衡，数据体量也不一致，数据例外主义者主张的全球性国际公约只能建立在最小公分母的基础上，这种操作很可能导致更大的“数据鸿沟”[14]。因此，仍应以数据主权为基础建立统一的跨境数据管辖规则。

首先是以属地管辖规则为基础明确主权国对跨境数据相关主体行使管辖权的连接点。从当前实践看，数据位置、数据控制者所在位置是目前各国确定数据管辖权的两个主要连接点，数据位置以属地管辖为基础，数据控制者所在位置以属人管辖为基础。较之数据位置，以数据控制者所在位置为连接点的做法旨在延伸本国制度的域外效力，虽然这种做法有助于强化本国在跨境数据流动治理中的主权权力，但也会引发一系列消极效果：一方面，容易使数据所在地的服务器经营者受制于其从未接触过的国家的管辖，加重经营成本；另一方面，容易构成对外国主权的超越，甚至侵犯。面对跨境数据，各主权国仍应强化属地管辖规则较之属人管辖规则的优先适用性，尊重其他国家的主权。需要注意的是，强化属地管辖规则的优先适用并不等于主张绝对的属地管辖主义，在面对域外恶意管辖时，主权国仍可在一定程度上保留基于数据控制者的管辖权连接点，但仍应以尊重外国的数据主权为前提[15]。

其次是坚持平等互惠规则。冲突处理的基本规则之一是承认和执行外国请求的互惠思想，尤其是对那些经常要处理管辖权冲突的国家而言，平等互惠会随着时间的推移对其越有利。当请求来自一个能够快速处理政府数据请求的国家时，被请求国家通常会同意在加速处理的基础上回应外国司法或者执法机构的数据请求。我国《网络数据安全法》第36条、《刑事诉讼法》第18条均规定了“互惠规则”，这意味着当外国司法或执法机构欲获取我国数据时，我国相关主管机关可以根据平等互惠规则处理外国司法或执法数据请求。但实践中，也有部分国家并未遵循该规则，例如美国通过的《澄清域外合法使用数据法》，一方面授权美国司法和执法机构基于数据控制者单边获取存储于境外服务器的数据或者处于跨境流动的数据，另一方面又对其他国家获取美国数据设置了严格的资格限制，实际上采用了明显的“非互惠”规则。为了促进跨境数据治理的国际合作与协同，各国仍需要回归平等互惠的国际共识，推动具体规则的建构。例如，通过构建全球化的跨境国际合作机制和平台，进行双边或者多边合作，建立国与国的跨境数据流通白名单；或者在双方已签订协议、条约或者其他正当文件的条件下，基于对等规则为特定情形中本国的单位或个人协助外国政府获取国际公认的重点犯罪所需的跨境数据设置必要的追认程序或为一定条件下的外国数据协助申请设置审批快速通道，促进互惠合作。

最后是权衡相争国家利益规则。从主权属性和管辖权的功能上看，国家管辖权的实现有赖于国家主权权力和对国家利益的分析。主权国是否权衡相争的国家利益而非仅仅依靠相关活动或者行为地点来处理法律冲突问题，将对管辖权冲突的有效解决起着决定性作用[16]183—184。置于跨境数据的语境中，这意味着主权国在处理跨境数据管辖纠纷时，不能简单地以数据的存储地或者数据控制者所在地作为判断基础。因为在数据全球化视角下跨境数据管辖权的确立和行使从来就不是某一国家单边行为的结果，必然存在着对相关国家利益的权衡与协调。即通过考察国内有关数据的法律和政策以及该法律和政策实施过程中的目的、利益，同时也考察相争国家的数据法律和政策及该法律和政策在实施过程中的目的、利益，力求实现各国国家利益的合理平衡。

四、结语

解决全球云引发的跨境数据管辖问题的可靠做法是从传统管辖理论和规则出发，在尊重数据主权的基础上，构建合适的“数字和网络空间国际规则”，而不是宣称数据是全新的，从而呼吁构建一个完全新颖的全球性国际公约。就我国而言，我国已通过《数据安全法》《网络安全法》《国家安全法》等，为数据本土化作法律背书。适度的制度防范是确保国家数据安全的重要前提，但同时我国也应致力于维护数据跨境流动和国家数据安全的平衡。即以数据属地管辖规则为基础，考虑平等互惠和国家利益权衡规则，适度提升属人管辖规则的适用地位，并在特定情形下，允许基于数据控制者对境外数据行使管辖权的作法，以实现战略对冲，维护我国的数据主权。