摘要：域外管辖权在跨境数据流动中发挥着保障数据主权与规范数据流动的重要功能。然而，检视我国跨境数据流动域外管辖权实践，发现其面临着域外执法管辖权滥用威胁、域外司法管辖权地位边缘化和跨境数据企业合规风险重重的困境。其症结主要在于我国相关法律法规的缺漏、“域”的理解分歧以及管辖权理念的国别差异。对此，可通过比较法经验的本土化予以因应。先抽象出以“合理性”“国际礼让原则”“多边主义”为内核的数据域外管辖权基本范式和基调转向。再结合我国数据法体系，从促进管辖权理念由“保守型”转向“进取型”，推动国内数据保护立法具化与扩张适用，加强国家间域外管辖权机制的协调与合作三个维度完善我国数据域外管辖权。

关键词：跨境数据流动；域外管辖权；数据主权；“进取型”管辖权

中图分类号：D997文献标识码：A文章编号：1674-3652（2023）03-0056-10

DOI：10.19933/j.cnki.ISSN1674-3652.2023.03.007

基金项目：贵州省哲学社会科学规划一般课题“跨境数据流通例外条款研究”（21GZYB27）；贵州大学法学院博士研究生科研创新项目“数据主权视阈下长臂执法管辖权研究”（FXCX004）。

进入后互联网时代，数据安全侵害事件频发，例如Schrems案和SchremsⅡ案等①。数据大国长臂管辖权②的肆意行使，不仅会侵害数据主体的合法权益，而且会引发两国管辖权的冲突。数据域外管辖权③的争夺也成为大国间博弈的重要战场。面对上述问题，已有研究主要涉及欧美跨境数据流动法律规范和政策规则、跨境数据流动域外管辖权理论和实践的介绍以及跨境数据流动管辖权扩张背景下我国的应对策略。这些研究在一定程度上为跨境数据流动管辖权正当行使提供了指引，但研究视角较为笼统，研究结论尚不能有效解决跨境数据流动所引起的现实问题。鉴于此，笔者在既有研究基础上，通过比较研究方法、法解释学研究方法，从跨境数据流动背景下域外管辖权的现实困难与症结、域外管辖权调适的应然机理以及我国域外管辖权完善路径等维度展开论述。通过研究，期待能对我国跨境数据流动域外管辖权之完善有所助益，为保障我国数据安全和数据主体权益提供理论和制度上的支撑。

一、我国跨境数据流动域外管辖权之困境

对跨境数据流动域外管辖权的检视离不开对管辖权的划分。参考美国对域外管辖权的分类，我国学界主流观点将域外管辖权划分为域外立法管辖权、域外司法管辖权和域外执法管辖权[ 1 ]。对跨境数据流动域外管辖权的检视有必要从立法、司法和执法实践、国内层面和国际层面等多个维度展开。笔者发现，我国跨境数据流动域外管辖权主要存在以下三个方面的尖锐问题。

（一）外国域外执法管辖权滥用的威胁

近年来，伴随着中美之间的对峙，我国数据企业及其数据利益受到美国域外执法管辖权的严重干涉和侵害。域外执法管辖权作为域外管辖权的组成部分，其主流的界定是国家有权通过法庭或执行行为、行政行为、警察或其他非司法行为诱导或强迫守法，针对的是其一国领土内，或领土之外但具有本国国籍的对象[ 2 ]。域外执法管辖权在跨境数据流动背景下获得了美国、欧盟等发达经济体的广泛承认和运用，故不可否认执法管辖权具备相较于司法管辖权的优点。从TikTok案来看，其在美国被封杀的法律依据是《澄清境外数据的合法使用法》（以下简称“CLOUD法案”）。该法案授权美国执法部门通过服务提供者获取境外数据或在无须满足互惠标准的前提下绕开他国政府获取数据的权力[ 3 ]，使域外数据调查与获取得以在更为高效和可预测性的程序中展开。

同时，跨境数据域外执法管辖权被我国学界、业界广为诟病。有学者认为美国利用“中间人”对域外数据的管辖侵害了数据所在国的主权[ 4 ]。从数据安全治理实践的角度看，美国实施的数据安全审查机制、数据扩张性域外管辖权与促进跨境数据自由流动的主张相悖，呈现出贸易保护主义的倾向[ 5 ]。从美国强制我国银行提供客户信息系列案件也可发现域外执法管辖权的滥用。2012年，“古驰案”（Gu？ cci）中纽约南区联邦地方法院认为中国银行没有按照法院的命令提交位于中国境内被告的银行资料而裁定其藐视法庭，银行最终不得不提交原告所要求的客户信息。2019年，美国法院进一步在刑事诉讼中要求我国3家银行，包括没有在美国设立分行的银行，直接向美国提供犯罪嫌疑人的银行记录[ 6 ]。剖析这类案件可以发现，这种司法性执法行为不仅绕开了中美之间签订的司法协助协定，而且严重侵犯了中国主权。无论是美国打压TikTok这样的数据企业，还是强制我国银行提供客户信息，均可以明显发现在跨境数据流动背景下，美国在保护所谓的公民隐私、社会公共利益抑或在涉及提供个人信息的刑事诉讼中直接适用域外执法管辖权。可见，我国跨境数据流动面临着域外执法管辖权滥用和威胁的现实问题。

（二）域外司法管辖权的地位边缘化

域外司法管辖权自身具有独特优势。域外司法管辖权作为域外管辖权的另一组成部分，有学者给出的界定是一国法院对位于域外的人或物适用法律的管辖权。域外司法管辖权不同于长臂管辖权，前者在一定条件下具有合法性与合理性。《美国对外关系法重述》（第三版）第421节规定，行使司法管辖权的前提是管辖权的行使具有合理性，并列举了合理的考量因素[ 7 ]。域外司法管辖权在跨境数据领域的适用相较于域外执法管辖权具有独特的优势。它能依据司法管辖的要素和联结点标准，合理地确定和分配国家间的管辖权，不仅有望避免对一国数据主权的侵犯，而且可以保障跨境数据的自由流动。此外，还有学者认为司法管辖权可以在一定程度上防止国内公法域外适用私人执行时个体的滥用行为[ 8 ]，从而有利于维护我国国家利益和社会公共秩序。

然而，域外司法管辖权的运用很少。分析近年来与我国有关的跨境数据流动案件可知，很少有案件涉及司法管辖权的行使。以TikTok案为例，2020年8月6日美国前总统特朗普首次签署“封杀”Tik？ Tok总统令之际，字节跳动公司并没有积极在美国或中国起诉，而是美国微信联合会（非营利组织）同年8月21日才对美国总统和商务部部长提起诉讼[ 9 ]。由此可见，在跨境数据流动引发的案件中，我国海外中资企业并没有将司法救济机制作为维护合法权益的重要手段，其结果往往是在与美国政府的博弈过程中失去先机，沦为被动防守地位。即使在跨境数据流动事件中采取的司法手段，也多出现在争议解决的中后阶段，甚至只能看作海外中资企业寻求补救、减少损失的一种手段。司法管辖权的适用处于边缘化状态，远远未能发挥域外司法管辖权的应有功能。

（三）跨境数据企业的合规风险重重

一方面，跨境数据企业面临巨大的外部合规风险。美国《加州消费者隐私法案》为企业创设严格的合规义务和法则，通过数据访问地、业务关联者等“长臂管辖”规则拓宽本国法案的域外效力，特别是热衷于以“数据控制者标准”实施域外执法管辖权。以TikTok案为例，可窥见我国跨境数据企业在国外面临巨大的数据合规风险。有学者对信息传输等三个行业开展实证研究，发现其最薄弱的领域均为外部威胁。欧盟将人工智能等信息技术行业纳入外国对欧投资的敏感行业，金融、保险行业严格的市场准入规定让很多商事主体心生敬畏。新冠疫情更是加大了合规难度，与欧盟境内个人信息紧密关联的行业不仅要遵守欧盟市场监管新规（EU）2019/1020，还须践行GDPR的监管条例[ 10 ]。

另一方面，跨境数据企业暗藏巨大的内部合规风险。除了外部环境的打压和排挤，我国跨境数据企业内部也存在较为严重的数据合规问题。我国多数企业的数据保护合规体系存在诸多不足，主要体现在合规政策违反对外合规和对内合规相分离的原则，且合规政策也没有针对特定的业务场景进行细化[11]。由于缺乏数据保护规范域外效力、域外管辖权的国内法指引，中资企业跨境数据保护的隐私安全设置水平、数据跨境传输保护水平、网络协议安全性、隐私保护技术代差水平总体上不高。总之，美国、欧盟通过法律赋予数据监管机构以执法管辖权，动辄以我国海外数据企业侵害个人隐私或社会公共利益实施制裁或予以巨额罚款，我国海外数据企业无疑面临着巨大的合规风险。

二、我国跨境数据流动域外管辖权困境之症结

海外中资数据企业身陷法律困境是多重原因导致的，其症结主要归纳为三个方面：一是我国域外管辖权法律法规的缺漏；二是跨境数据流动管辖权中“域”的理解分歧；三是跨境数据流动管辖权理念的国家差异。

（一）域外管辖权法律法规的缺漏

我国跨境数据流动法律法规在理念和规则上虽取得明显进步但仍相对滞后。在立法理念上，我国过于重视数据安全而非数据跨境利用，由此导致我国有关跨境数据流动管理的法律法规多集中于域内适用。保守性立法理念导致法律法规存在两方面重大缺漏：一是我国数据立法未明文规定域外管辖权内容。涉及数据出境时，《中华人民共和国数据安全法》（以下简称《数据安全法》）第三十一条规定参照《中华人民共和国网络安全法》（以下简称《网络安全法》）的规定，《网络安全法》第三十七条规定了分类分级数据的出境条件，即数据本地化存储和数据出境的评估机制。虽然立法上仅将数据的管辖范围限定在域内，但实践中海外中资数据企业在我国领土之外收集和处理本国数据已是常态。这样不仅存留了数据域外管辖权空白，实践中的取证行为还涉嫌侵犯一国数据主权。不同于我国立法路径，美国“CLOUD法案”的“数据控制者”标准和欧盟《一般数据保护条例》的“效果原则”都为行使域外管辖权提供了法律依据。我国立法管辖的属地性局限，加之签署的双边司法协助协定数量少，导致的结果是我国域外管辖只能基于有关数据法律条款和一般性涉外案件管辖规则勉强实施管辖权。二是数据保护立法缺少国内法域外适用的条款。我国数据保护立法的保守性倾向，使《网络安全法》《数据安全法》《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）等法律在数据保护范围上缺少域外效力条款的专门性规定和实操性细则。这在客观上导致国内数据保护立法的域外适用面临困境，制约了法律在跨境数据流动中发挥规制作用。实践中，我国处理涉外案件时通常以国内法的域外适用是否具备合法性为前提，以传统管辖权理论为基础进行主权确证，以期获得新形势下域外适用范围的扩张[ 12 ]，但这种路径已无法满足域外数据管辖的现实需求。不同于我国的数据保护立法，欧盟《一般数据保护条例》进一步扩大了法律的域外效力，确立了以属地原则为主、效果原则为补充的管辖原则。2019年，美国司法部发布的白皮书规定，若境外向美国提供服务的企业与美国之间是充分联系的，那么就会触发美国的法律适用[ 13 ]。数据保护立法域外效力的规定不仅是各方数据主体切实需求，也是一国实现政治、经济目的的武器，具有理论和实践上的必要性。

（二）跨境数据流动中“域”的理解分歧

大数据时代网络空间的“域”的理解分歧影响主权观。在大数据时代，技术的变革导致跨境数据流动涉及的“域”不同于传统意义上的“域”，继而引起跨境数据流动管辖权的争议。事实上，国内外学者一直以来对“域”有不同的理解，在法律语境中则有“领域”“法域”之分，学界主流观点认为域外效力中的“域”参照法域为基础似乎更合适[ 14 ]。“领域”和“法域”有三种可能关系，即法域范围与领域完全一致、法域小于领域以及法域大于领域。中国作为多法域国家的代表，其法域小于领域。然而，也有部分数据大量扩张国内法的域外效力，使法域大于领域。跨境数据在网络空间流动必然涉及网络主权。网络空间也诞生了两种不同的网络主权观，分别是威斯特伐利亚主权观和相互依赖主权观。主张前者的国家往往采取数据本地化措施，主张后者的国家则强调国际的协调与互助[ 15 ]。不同国家对网络主权中“域”的认识和界定大相径庭，这些理解差异会导致数据主权争端。

不同数据主权观下“域”的分歧导致管辖权规则冲突。就我国而言，对数据主权、数据安全的重视度高于数据跨境自由流动。因此，我国更偏向于威斯特伐利亚主权观，即基于一国领土的最高性和排他性。在没有法律明文规定的背景下，我国对跨境数据流动“域”的认定接近于“法域”的概念，这意味着我国将严格执行数据本地化规定。《数据安全法》第三十条、第三十一条规定的重要数据出境评估制度是我国对数据跨境流动的基本管理制度——“评估+管制”机制组成部分，与其他法律规定在一定程度上实现了数据本地化的安全诉求[ 16 ]。不同于我国对“域”的传统理解，美欧对“域”理解更倾向于“去领土化”的相互依赖主权观。因此，美欧语境下的“域”具有更多的弹性，并可以从两方面进行理解：一是它会促使一国适当让渡领土主权，通过签订条约的形式达成跨境数据流动协作机制。二是多元主体参与到跨境数据流动中，跨国数据公司的行为不时与一国的数据保护规则相冲突。

（三）跨境数据流动管辖理念的国别差异

欧盟、美国、中国等国家或地区采取的数据跨境流动域外管辖模式各有千秋，有必要从管辖权理论上进行比较分析。跨境数据流动管辖权理念存在明显的国别差异，这主要是由于数据产业成熟度、数据主权或个人权利保护、数据话语权的追求等多重因素导致的。跨境数据流动管辖理念的差异主要体现在以下几方面：第一，数据自由流动与数据本地化理念上的差异。美国是数据跨境自由流动理念的倡导者，并基于“CLOUD法案”主张“数据者控制”标准维护和扩张自己的数据霸权；中国、俄罗斯等国家是“数据本地化存储”的拥护者，在跨境数据流动中主要基于“属地管辖原则”维护数据安全。可见，主张“数据控制者”标准的管辖权与主张“属地原则”标准的管辖权因理念差异而导致冲突。

第二，管辖权扩张理念与管辖权保守理念上的差异。数据作为一种新兴资源，成为争夺国际话语权的重要阵地，且西方国家在管辖权扩张理念上最明显。欧盟《一般数据保护条例》的管辖范围表现为双重管辖的标准：一是地域管辖，适用于在欧盟设立的对欧盟公民数据进行操作的所有企业和组织；二是公民管辖，适用于欧盟以外的实体向欧盟个人提供商品、服务或监控欧盟个人的行为[ 17 ]。相较而言，我国的域外管辖权理念偏保守，不能较好地适应和保障跨境数据流动的需要。正如有学者指出的，我国目前的管辖权体系对域外联系因素考虑较少，相关国内法未充分规定针对他国法律行动的管辖权基础，呈现出较为明显的保守型特征[ 18 ]。

第三，西方国家践行“单边管辖权”与中国倡导“多边管辖权”理念上的差异。美国“CLOUD法案”的出台，为美国实施跨境数据流动单边管辖权提供了法律依据。对于在美注册的数据公司，“CLOUD法案”授权数据监管机构对数据企业确立执法管辖权，可实施禁令、罚款等措施。美国“CLOUD法案”《加州消费者隐私法案》等规定将美国政府的管辖范围延伸到所有由美国公司控制的数据，形成数据跨境中流动中的“长臂管辖”，使美国可以数据执法管辖为目的，在无须申请司法协助的前提下，要求位于境外的美国企业向美国政府提供个人隐私数据。这种由大国主导的跨境数据流动规则，容易形成挤压其他国家利益的极端局面。与之相对，我国一直倡导签订跨境数据流动双边或多边协定协调数据流动与数据安全问题，重视建立国际数据治理的合作模式。2020年10月，中国政府《全球数据安全倡议》呼吁全球数字治理应遵循秉持多边主义、兼顾发展安全、坚守公平正义三原则。同年11月，我国正式签署加入《区域全面经济伙伴关系协定》（RCEP），意味我国在倡议多边合作机制上迈出实质性的步伐。

三、范式调适：跨境数据流动域外管辖权之应然基调

诚如前述，跨境数据流动域外管辖权沿袭传统管辖权理论的同时，为满足现实需要呈现出不断演变的趋势。美国、欧盟在跨境数据流动中实施“长臂管辖权”的政策遭受国际社会非议后，完善了一些自我限制的规定。这些规则上的转变实质上是跨境数据流动域外管辖权理念的积极调适。这不仅符合欧盟、美国争夺跨境数据流动规则制定主导权的战略诉求，也符合跨境数据流动域外管辖权正义理念。

（一）从“扩张性”转向“合理性”

从域外立法管辖权看，呈现出从“扩张性”向“合理性”的转变。以欧盟、美国为代表的发达经济体以扩张域外管辖权的方式展开了对全球数据资源的激烈争夺，这在相关立法上得以充分呈现。欧盟《一般数据保护条例》以“地域管辖”“公民管辖”的双重管辖标准扩张自身的域外管辖范围。美国“CLOUD法案”以“数据控制者标准”扩张跨境数据流动的域外管辖权。众所周知，行使扩张性的域外管辖权虽然一定程度上有助于实现人权保障或者经济效益的提升，但也带来了诸多不良后果。一是“扩张性”域外管辖权可能会侵犯一国数据主权，引发管辖权的冲突。二是“扩张性”域外管辖权侵犯一国公民的个人隐私信息。现代社会个人权利的威胁主要来自公权力[ 19 ]，正如包含隐私的信息自决权侵害由管辖权过度扩张所致。例如，“SchremsII案”中Google公司对欧盟成员国民众隐私信息的收集和侵害。三是“扩张性”域外管辖权假道技术壁垒阻碍跨境数据的流动。例如，欧盟《一般数据保护条例》对“充分性”条件的规定，一定程度上阻碍了欧盟数据的输出。

随着国际社会对跨境数据流动“扩张性”域外管辖权弊端的认识日益深入，以美国、欧盟为代表的发达经济体出现域外管辖权由“扩张性”向“合理性”转变的趋势。“合理性”或合理原则作为涉外经济管制立法域外适用的一项基本原则，对“效果”的认定仅是确定管辖权的最低要求。此外，法院还必须运用平衡分析方法，即考虑当事人的国籍、对法院地国的影响与对其他相关国家的影响轻重对比、行使管辖权导致冲突的可能性以及这些影响的可预见性等因素来满足“合理性”[ 20 ]。以美国为例，“CLOUD法案”规定了获取域外数据的限制性条件，即只有在涉嫌危害美国国家安全的犯罪或严重的刑事犯罪的情形下，美国人和美国公司控制的域外数据才可能被美国执法机构所获取。欧盟也发展出类似的“合理性”要求趋势。2018年，欧洲理事会通过的《有关个人数据自动化处理之个人保护公约》及其议定书出于避免管辖权冲突的考虑，转而采用了依据个人请求的“全球共管”模式。以上实践均表明，美国、欧盟在维系跨境数据流动长臂管辖基本规则的同时，愈发重视对域外管辖权“合理性”的考虑，总体上呈现出域外管辖权“扩张性”到“合理性”的转变。

（二）从“效果原则”转向“国际礼让原则”

在跨境数据流动的背景下，欧盟、美国的立法和司法、执法实践中均对“效果原则”有独特的阐述。欧盟法院对“效果原则”的系统的阐释中特别强调了主观领土管辖原则与客观领土管辖原则。《美国对外关系法重述》（第三版）列举了确定一国管辖权的五个标准，并据此在判断数据管辖权问题上也列举了五个相关标准①。虽然依据“效果原则”援用“实质联系”实施域外管辖措施的合法性存疑，但由于管辖的迫切性和必要性，效果原则正逐渐为越来越多的国家所接受，几乎成为一项独立的管辖原则[ 21 ]。不可否认的是，“效果原则”的适用带来诸多无法克服的弊端。欧美国家在“效果原则”的适用上不以行为结果发生在管辖国内为前提，只要求在该国内产生一定程度的影响，国家就可以行使对数据的管辖权[ 22 ]，导致适用上存在不确定性的风险。此外，该原则使法官拥有极大的自由裁量权，它的适用可能会加剧各国之间的管辖权冲突，造成国际关系的紧张。

当各国以不同方式扩大国内法的域外管辖权时，“国际礼让原则”的重要性就愈加凸显。荷兰法学家胡伯（Huber）提出的“国际礼让说”在内容上引入国家主权观念，实现了属地主义的延续[ 23 ]。面对“效果原则”带来的诸多消极影响，部分国家开始有意识地依据“国际礼让原则”从域外司法管辖权的实施路径缓解域外管辖权的冲突，并在立法和司法实践都对“效果原则”的运用予以了一定范围的限缩。《美国对外关系法重述》（第四版）将国际礼让作为限制因素，使之发挥更大的作用。在跨境数据流动中，一国可以基于“国际礼让原则”，或根据“国际礼让原则”项下的主权强制理论等放弃或限制国内法原本具有的数据域外立法管辖权，从而让位于国外法的数据域外管辖权，以此缓和各国相互之间跨境数据流动域外管辖权的冲突。跨境数据流动的“礼让原则”也体现在有关跨境取证等国内立法中。美国“CLOUD法案”规定的“适格外国政府”制度实际上是“国际礼让原则”的体现。《中华人民共和国国际刑事司法协助法》规定我国应本着礼让互惠原则开展刑事司法工作。然而，不可否认的是，跨境数据流动的礼让原则还存在“少数国家的国际礼让”，我国平等互惠式的跨境电子取证也存在程序复杂的困境。总之，“国际礼让原则”的运用是大势所趋，有待后续立法层面进一步规范和解释[ 24 ]。

（三）从“单边主义”转向“多边主义”

理论上，具有绝对性的威斯特伐利亚主权观使主权与管辖权范围一一对应。美国跨境数据流动域外管辖政策是单边主义的典型体现。它以输出自身的“美国优先”理念使得多边主义全球治理陷入困境，特别是以“规锁”（confinement）政策把中国的发展方向和增长极限控制在无力挑战美国世界主导权的范围内[ 25 ]。例如，2019年，美国法院因中国公司涉嫌违反美国对朝鲜的制裁令，即在刑事调查中要求中国银行提供该公司交易数据。从该案中可以窥见，美国依据其“长臂管辖权”侵害他国司法主权，巩固其单边主义的行径昭然若揭。在大数据时代，主权国家无法凭借一己之力单方面处理数据革命所引发的管辖权冲突问题，因此，各国之间相互联系形成了相互依赖之主权[ 26 ]。单边主义方法一般只考虑国内法的域外适用，但如果它同时考虑国外法的域外效力而成为法律选择时，便是向多边主义方法的迈进。

在跨境数据流动实践中，虽然以美国为代表的单边域外执法管辖权依然强势，但多边主义的跨境数据流动规制框架正在努力构建和形成。多边主义的原则和规范已载入《联合国宪章》，是全球范围内公认的普遍性原则声明。当前，以WTO为中心的跨境数据治理体系受到挑战，但是区域性的数据治理协定却蓬勃发展。《区域全面经济伙伴关系协定》（RCEP）重视尊重各主权国家的互联网及数据主权，《数字经济伙伴关系协定》（DEPA）具备约束性规则少、聚焦于数字贸易便利化等特点。虽然区域性数据治理协定可能导致规则的碎片化，但笔者认为这是当前治理路径的最佳选择，也是形成全球性治理框架的前期准备。此外，2021年9月，中国还向《全面与进步跨太平洋伙伴关系协定》（CPTPP）保存方新西兰提交了中国正式申请加入CPTPP的书面信函[ 27 ]，表明了中国积极参与多边跨境数据流动治理的态度和决心。总之，跨境数据流动域外管辖权规则体系从“单边主义”转向“多边主义”已成为国际社会广泛共识。

四、我国跨境数据流动域外管辖权完善之因应

数据主权和国家安全问题已然朝着国际战略博弈的层面发展，人们应正视围绕数据安全和数据自由流动诉求展开的管辖竞争态势，并在明确以数据安全为基础的前提下讨论跨境数据域外管辖权。我国的完善路径应是推动管辖权理念的转向，并从国内和国际两个层面构建和优化域外管辖权规则体系。

（一）域外管辖权理念转向：从“保守型”到“进取型”

当前，我国跨境数据流动规则及其理念呈现出过于“保守型”特征，给跨境数据流动的治理和权利保障带来诸多弊端。“保守型”的域外管辖权理念不仅在遭受域外执法管辖权滥用时无计可施，而且在企业涉及合规风险时难以为之提供法律救济；不仅导致在域外管辖权概念的理解上产生分歧，而且与主流的域外管辖权理念相背离。我国侧重防御且较为保守的跨境数据流动域外管辖权理念无法为我国的现有应对措施提供相应的理论支撑，也没有考虑到未来面对国际形势变化的必要战略需求，因此我国有必要摒弃域外管辖权“保守型”理念，推动管辖权理念的转变。

“进取型”域外管辖权理念是理念转向的最优选择。所谓“进取型”管辖权体系，是指一国在本国法律体系内尽可能广泛地以属地管辖权、属人管辖权方面确立管辖联系，特别是域外管辖联系和合理的普遍管辖权；在遵循正当程序的基础上充分发挥管辖权功能，以保护本国国家利益和国民利益。“进取型”管辖权体系的构建主要是通过在公法体系中确立广泛的管辖联系和在国内法体系中确立行使条件宽松的普遍管辖权。对于此观点，笔者认为，“进取型”管辖权还应注重在私法体系中适用，扩张域外管辖权的连接点。扩张管辖连接点需要通过对属地管辖中“领土”概念和属人管辖中的“国籍”概念进行重构。跨境数据流动域外管辖权中的“领土”不应做传统解读，而是网络空间中的“域”。域外管辖权涉及的“国籍”，可扬弃地借鉴美国“数据控制者”标准。

（二）国内法治：推动数据保护立法的具化与扩张适用

诚如所言，我国个人信息保护、与数据安全有关的法律在规定上较为粗放，它不能充分有效地指引跨境数据流动纠纷，特别是管辖权冲突问题的解决。目前，国内法关于跨境数据流动中个人信息保护和数据安全的规定以实体法为主，程序法内容规定较少。程序法内容需要援用《中华人民共和国民事诉讼法》《阻断外国法律与措施不当域外适用办法》（以下简称《阻断办法》）等法律，跨境数据流动域外管辖权特别机制缺失。且上述立法在参考国外相关法律时，与我国数字经济发展实际结合不够深入，影响了法律实施效果[ 28 ]。为有效应对域外管辖权冲突，需对相关法律规定予以细化，适当扩张法律域外适用。

首先，应进一步细化跨境电子数据取证条款，提升司法管辖权的地位。《数据安全法》第三十一条就关键信息基础设施的运营者收集和产生的重要数据出境予以规定，第三十六条规定了跨境取证、司法协助的内容。《个人信息保护法》第四十条、第四十一条也分别对重要数据出境、跨境取证和司法协助进行了规定。从具体条文分析，《数据安全法》第三十六条规定：“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”然而，该条文规定的传统司法协助程序在实践中已不能满足跨电子证据取证的现实需求。有学者认为应规定请求国执法机构与被请求国执法机构直接合作的“一字形”取证程序，减少请求国、被请求国机关的多重审核，规定一国执法机构可直接电子取证，探索建立“电子化”的司法协助程序[ 29 ]。这一思路具有启发性，应考虑通过修订法律或颁发司法解释的方式具体规定跨境电子证据取证的条款。

其次，应根据不同等级、类型的数据规定不同的司法管辖权，降低数据合规风险。域外管辖权是国内管辖权的延伸，我国国内司法管辖权的划分标准在一定程度上也可适用于域外司法管辖权。其中，有一种分类将管辖权分为专属管辖权和任意管辖权，前者即是把那些与国家公共政策与重大利益密切相关的法律关系无条件地隶属于国内专属管辖权，排除其他国家法院的管辖[ 30 ]。依据《国家互联网信息办公室关于〈网络数据安全管理条例（征求意见稿）〉公开征求意见的通知》第五条国家对数据的分类，可将数据分为一般数据、重要数据和核心数据。国家对个人信息和重要数据进行重点保护，对核心数据实行严格保护。据此，可以考虑对跨境数据流动中核心数据采取专属管辖，或者必要时利用不方便法院管辖原则、《阻断办法》的规定阻止外国法院对我国核心数据的管辖。对跨境数据流动中的个人信息和重要数据，由法官依据不同场景下数据（信息）重要程度就是否适用专属管辖行使自由裁量权。对一般数据应适用任意管辖权。

最后，借鉴欧美有益经验，明确跨境数据流动的管辖权法律标准。我国传统上对国际民商事案件的管辖主要适用属地管辖原则和实际联系标准，但是在跨境数据流动案件适用属地管辖原则和实际联系标准具有一定程度的片面性和保守性。为应对这方面问题，我国可借鉴美国“CLOUD法案”中的合理内容，在跨境数据流动中实施“数据控制者标准”；也可借鉴欧盟对跨境数据流动“双重管辖标准”，即基于“地域管辖”和“公民管辖”的标准，维护我国数据安全和利益。但与此同时，应警惕我国在跨境数据流动管辖权上扩张可能遭受的国际社会非议。欧盟通过法院判例审慎确立实施的原则，避免过度域外管辖[ 31 ]，这一做法值得我国借鉴。

（三）国际法治：加强国家间域外管辖权机制的协调与合作

中国的多边主义理念强调关系平等、开放包容、协商治理与互利互惠，以构建人类命运共同体为目标[ 32 ]。在数据主权对抗局势下，数据大国通过单边规则危害他国数据主权安全，由此形成多重管辖冲突局面和国家数据安全困境。在“相互依赖主权观”的现实驱动下，应考虑通过数据主权合作，构建相应的国际协调机制与合作路径。

通过签订双边或多边协议，协调国家间的域外管辖权理念分歧。鉴于当前在世界范围内统一数据管理、域外管辖权理念和标准的非现实性，协调跨境数据流动背景下域外管辖权的路径需要更多地从双边协定或者区域性多边协定切入。我国应积极与各类经济体、“一带一路”沿线国家签订跨境数据流动协定，在条文中明确规定域外管辖权的行使范围和规则。一方面，考虑以RCEP数据流动规则为蓝本共建“一带一路”规则体系[ 33 ]。RCEP成员与“一带一路”沿线国家在范围上存在重叠，我国在国家间交往上应考虑数字经济发展水平的差异性，求同存异，可通过“原则+例外”的模式协调跨境数据流动的域外管辖权问题。另一方面，发展更广泛的“朋友圈”，积极融入CPTPP。考虑到美国、欧盟均更倾向于单边主导跨境数据流动规则话语权，为防止被孤立，中国需要积极同韩国、日本等美国“盟友”发展更为亲密的数据流动伙伴关系，通过双边协定规范域外管辖权冲突问题。

重视跨境数据流动中的司法管辖权功能，优化国际司法协助程序。欧盟《一般数据保护条例》和美国的“CLOUD法案”均以执法管辖权作为跨境数据流动规制的基本方式，这存在无法克服的缺陷，而域外司法管辖权在化解管辖权冲突上具有天然优势。域外司法管辖权实质上是对管辖权进行国家间分配，在跨境数据流动管辖理念从“扩张性”转向“合理性”、从“效果原则”转向“国际礼让原则”的全球背景下，司法管辖权比执法管辖权在协调管辖权竞合上具有更大的灵活性和柔和度。另外，以斗争求团结，发挥《阻断办法》和《中华人民共和国反外国制裁法》（以下简称《反外国制裁法》）的威慑作用。在数据鸿沟和数据霸权的双重压力下，以《阻断办法》和《反外国制裁法》为斗争依据，才能更有效地震慑外国不合理、不合法的执法管辖行为。面对外国执法机构强制数据主体提供电子证据时，我国应依据《阻断办法》实施阻断，并通过国际司法协助解决纠纷。

五、结语

互联网时代跨境数据流动不仅加剧了域外管辖权的冲突，而且给个人数据保护带来威胁。我国跨境数据流动域外管辖权面临数据大国域外执法管辖权滥用威胁、域外司法管辖权地位边缘化以及域外中资数据企业不合规的困境。这些困境主要是因国家或地区间的域外管辖权理念差异和我国立法不完善所导致。通过总结域外管辖权机制的演变规律，我国从域外管辖权的理念转向、国内相关立法的细化与扩张适用以及国家间域外管辖机制的协调与合作等方面来应对具有必要性和可行性。

参考文献：

[1]李庆明.论美国域外管辖：概念、实践及中国因应[J].国际法研究，2019（3）：3-19.

[2]邵怿.论域外数据执法管辖权的单方扩张[J].社会科学，2021（10）：119-129.

[3]冯硕. TikTok被禁中的数据博弈与法律回应[J].东方法学，2021（1）：74-89.

[4]杨永红.美国域外数据管辖权研究[J].法商研究，2022（2）：146-157.

[5]董京波.跨境数据流动安全治理[J].科技导报，2021（21）：9-17.

[6]肖永平.“长臂管辖权”的法理分析与对策研究[J].中国法学，2019（6）：39-65.

[7]郭玉军，王岩.美国域外管辖权限制因素研究——以第三和第四版《美国对外关系法重述》为中心[J].国际法研究，2021（6）：82-97.

[8]宋晓.域外管辖的体系构造：立法管辖与司法管辖之界分[J].法学研究，2021（3）：171-191.

[9]潘星容.国际关系与法学双重视角下TikTok及微信等如何突破在美困境[J].法治社会，2020（5）：65-73.

[10]齐佳音，池雅琼，刘峰.企业跨境数据保护成熟度研究：以面向欧盟区域为例[J].情报杂志，2020（8）：121-130.

[11]毛逸潇.数据保护合规体系研究[J].国家检察官学院学报，2022（2）：84-100.

[12]贾济东，胡扬.论我国反洗钱法域外适用的困境和出路[J].华中科技大学学报（社会科学版），2021（2）：116-126.

[13] U. S. Department of Justice. Promoting Public Safety，Privacy，and the Rule of Law Around the World：The Purpose and Impact of the CLOUD Act[EB/OL].（2019-04-01）[2022-08-06]. https：//www. justice. gov/ opa/press-release/file/1153446/download.

[14]孙国平.劳动法域外效力研究[M].北京：中国政法大学出版社，2016：25-26.

[15]刘晗，叶开儒.网络主权的分层法律形态[J].华东政法大学学报，2020（4）：78-79.

[16]龙卫球.中华人民共和国数据安全法释义[M].北京：中国法制出版社，2021：81-82.

[17]肖宛晴，刘传平.欧美数字主权与数字贸易政策比较分析[J].世界经济与政治论坛，2021（6）：105-126.

[18]宋杰.进取型管辖权体系的功能及其构建[J].上海对外经贸大学学报，2020（5）：22-23.

[19]徐超华.论信息自决权的制度规范功能及其权利体系[J].长江师范学院学报，2007（4）：112-115.

[20]何智慧.论经济管制立法的域外适用——兼评我国《反垄断法》第2条[J].河北法学，2008（10）：137-140.

[21]吴培琦.何为“域外管辖”：溯源、正名与理论调适[J].南大法学，2022（1）：18-36.

[22] GOLDSMITH J. Unilateral Regulation of the Internet： a modest defence[J]. European journal of Interna？ tional law，2000（1）：136-139.

[23]方杰.荷属“国际礼让说”[J].河北法学，2013（5）：141-142.

[24]廖斌，刘敏娴.数据主权冲突下的跨境电子数据取证研究[J].法学杂志，2021（8）：154-155.

[25]张宇燕，冯维江.从“接触”到“规锁”：美国对华战略意图及中美博弈的四种前景[J].清华金融评论， 2018（7）：24-25.

[26] STEPHEN D K. Sovereignty： organized hypocrisy[M]. Princeton： Princeton university press，1999：12-20.

[27]中方正式提出申请加入《全面与进步跨太平洋伙伴关系协定》（CPTPP）[EB/OL].（2021-09-16）[2022-10-01]. http：//www. mofcom. gov. cn/article/syxwfb/202109/20210903199707. shtml.

[28]冯国凯.数字经济背景下个人信息保护的重要性及实践路径[J].长江师范学院学报，2021（6）：102-107.

[29]冯俊伟.跨境电子取证制度的发展与反思[J].法学杂志，2019（6）：25-36.

[30]霍政欣.国际私法[M].北京：中国政法大学出版社，2017：277.

[31]许庆坤.美国长臂管辖权的多维检视及我国因应之策[J].环球法律评论，2021（6）：172-186

[32]李垣萤.多边主义理念竞争：中美湄公河次区域合作机制之比较[J].外交评论，2021（9）：118-154.

[33]谢卓君，杨署东.全球治理中的跨境数据流动规制与中国参与——基于WTO、CPTPP和RCEP的比较分析[J].国际观察，2021（5）：98-126.

作者贡献声明：郝诗乐负责构思、撰写初稿；沈旦负责修改、定稿。

Dilemmas and Countermeasures of Extraterritorial Jurisdiction of Cross-border Data Flow in China

Hao Shi-Yue， Shen Dan

（College of Law， Guizhou University， Guiyang 550000， Guizhou， China）

Abstract： Extraterritorial jurisdiction is of great importance in guaranteeing data sovereignty and regulating data flow in crossborder data flow. However， by examining the extraterritorial jurisdiction practice of cross-border data flow in China， it is found that the jurisdiction is faced with the dilemmas of threat of abuse of extraterritorial law enforcement jurisdiction， the marginaliza？ tion of extraterritorial jurisdiction status and the severe compliance risks of cross-border data enterprises. The crux mainly lies in the deficiencies of relevant laws and regulations， the divergences of understanding of“domain”and discrepancies in the con？ cept of jurisdiction between countries. China can solve this problem through the localization of comparative law experience. Firstly， it needs to abstract the basic paradigms of extraterritorial jurisdiction of data with“reasonableness”，“the principle of interna？ tional comity”and“multilateralism”as the core and its benchmark transformation. Furthermore， it needs to integrate with data law system in China and perfect extraterritorial jurisdiction from three dimensions： accelerating the theoretical transformation of jurisdiction from“conservative”to“aggressive”， promoting the embodiment and extensive application of domestic data protec？ tion legislation， and strengthening the coordination and cooperation of extraterritorial jurisdiction mechanisms between countries.

Key words： cross-border data flows； extraterritorial jurisdiction； data sovereignty；“aggressive”jurisdiction

（责任编辑：赵庆来）

①“Schrems案”在美国就读的奥地利学生Max Schrems就Facebook收集的欧盟数据转移到美国并未得到充分保护为由，向爱尔兰数据保护委员会起诉，《安全港协议》因不能确保欧盟公民数据在美国得到充分保护而被判定失效；“SchremsⅡ案”因Schrems再次投诉，美国对个人数据的访问权没有限制在“必要”和“适度”的范围内，导致《隐私盾协议》被欧盟法院裁定无效。

②“长臂管辖权”根据《布莱克法律词典》的词条解释，是法院对不在法院地居住但与法院有某种联系的被告所享有的管辖权。

③“域外管辖”是指一国将其法律的适用范围或其司法和行政管辖范围扩展至该国领土以外。

①张晓君在《数据主权规则建设的模式与借鉴——兼论中国数据主权的规则构建》指出五个相关标准：数据所在地；与数据相关的损害情形发生地；与数据相关的嫌疑人经常居住地或国籍所在地；与数据相关的受害人经常居住地或受害人国籍所在地；数据控制者经常居住地或国籍所在地。