袁康 赵宛如

收稿日期：2023 04 13

基金项目：教育部哲学社会科学重大攻关项目：科学构建数据治理体系研究（21JZD036）

作者简介：

袁康，副教授，法学博士，硕士生导师，武汉大学网络治理研究院副院长，主要从事经济法、金融法和网络法研究，Email：yuankang@whu.edu.cn。

摘要：

在数字经济时代，为了实现跨境数据流动中的国家利益，各国借助数据立法单方扩张本国的域外管辖范围，因此司法管辖权与执法管辖权的行使面临与他国管辖权冲突的危险。云计算技术的不断发展，数据与领土连接的弱化，冲击了传统管辖权理论在数据领域的直接适用。据此，可以依据国家管辖权的具体权能，从立法、司法和执法三个角度对数据流动中出现的管辖权冲突进行讨论。首先，数据立法模式上，数据全球化与数据本地化的分歧暗含着管辖权全面积极冲突的危险；其次，数据域外法权制约共识的松动与国家数据管辖能力的天然差异，决定了国际礼让原则与不方便法院原则在数据管辖权冲突协调上的局限性；最后，在数据跨境执法问题上，数据流动导致的域内与域外界分困难造成了公约机制的适用困境，各国执法管辖权开始突破传统的域外行使规则，数据执法管辖权出现“长臂化”倾向。尽管目前已经出现了相关的学说以及国际实践，但这部分内容对数据流动中出现的管辖权冲突问题，并未进行全然回应或提出具体协调路径。因此，还需要充分顾及跨境数据流动本身的特性以进行调整，限制数据域外立法范围，并据此在坚持属地最高原则的基础上重塑数据属地管辖规则，同时推动各国积极构建跨境数据调取机制，为管辖权冲突提出有效的协调路径。

关键词：跨境数据流动；数据管辖权；管辖权冲突；域外管辖

中图分类号：D915；D997

文献标识码：A

文章编号：16738268（2024）02006611

一、引言

近年来，伴随数字经济的发展与大数据技术的进步，跨境数据流动日趋频繁，数据的管辖权问题逐步显现。数据的跨境流动过程涉及多个数据主体及地区，与不同法域之间产生联结，使同一数据面临多重管辖的情形。理论界对于跨境流动中的数据管辖规则也已作出一些探讨，主要围绕如何界定国家数据管辖边界展开，并提出“领土内可访问性”标准［1］92、“数据国籍”［2］2等方法。上述研究成果为跨境流动中的数据管辖权问题研究打下了一定基础，有利于数据管辖权的确定和合法性标准的认定，但并未触及管辖权冲突的协调问题，故有待进一步研究明确。数据管辖权的行使依据缺乏基本的国际共识，各国之间的数据管辖权冲突缺乏协调机制，导致各国间本就难以消解的数据规则之间的矛盾随着数据的跨境流动变得越发激烈和突出。由于主權国家行使管辖权的权能及范围建立在国际法的基础上，这种权力冲突也只能依托国际法来解决。本文以跨境数据流动中出现的国家管辖权冲突现象为分析对象，深入探讨管辖权冲突出现的成因及其内在逻辑，并对管辖权冲突的协调路径进行归纳，希冀构建适用于跨境数据流动背景下的管辖权冲突协调机制。

二、跨境数据流动中的管辖权冲突

在新一轮数字全球化背景下，全球范围内的数据量呈现指数级增长，数据产品及服务成为主要的国际贸易输出产品；跨境数据流动不仅超越以商品、服务、资本、贸易、投资为代表的传统形态，更是成为数字经济背景下的新经济形态而发挥独立作用，成为经济发展的增长引擎。因此，对于国家而言，跨境移动、存储和处理数据的能力已然成为现代经济背景下国家实力的体现。

（一）跨境数据流动的界定

在跨境数据流动的背景下讨论数据管辖权冲突，难以回避的问题是跨境数据流动的“跨境”问题。物理国境已在网络空间被弱化，该如何认定数据何时进行了跨境流动以及以何种边界作为出境流动标准呢？

早在1980年，在经济合作与发展组织（Organization for Economic Cooperation and Development，OECD）发布的《关于隐私保护与个人数据跨境流动的指南》中，跨境数据流动的概念就被界定为“个人数据跨境流动”，即跨越国境的个人数据移动；后来，联合国跨国公司中心将其界定为“跨越国界对机器可读的数据进行处理、存储和读取等活动”［3］。由此可见，早期的跨境流动认定标准主要指在地理上的转移，并在数据流动主体及流动行为方面形成普遍共识。而后随着互联网、云计算技术的发展，跨境数据流动变得更加频繁；随之有学者提出，应当将法域的转移作为跨境标准，并提出跨境数据流动面临的主要问题在于数据流出国与数据流入国之间对于数据保护和数据跨境监管的法律冲突与调和［3］。

目前，在国际立法实践中，主要形成两种不同的标准。其一，依据物理国界认定数据是否进行跨境流动。新加坡2012年《个人数据保护法》规定，“将数据转移至新加坡之外的国家和地区”即视为数据跨境。《中华人民共和国网络安全法》（以下简称《网络安全法》）为行文简洁，以下涉及我国法律文本名称时，均将“中华人民共和国”省略。第37条也规定了“在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储”。同时，《网络行动国际法——塔林手册2.0版》（以下简称《塔林手册2.0版》）也涉及数据跨境的认定，其中将数据视为网络活动的产物，提出一国对境内的网络基础设施以及网络活动享有主权，可依据网络主权原则对网络实施管控，进行限制。可见“其境内”的认定标准就是物理意义上的国家领土范围。其二，将数据控制权转移至域外主体作为判断标准。由此派生出“实控说”，即数据只要被境外主体“实际控制”，则认为数据实现了出境和跨境流动［2］4。欧盟的《通用数据保护条例》（General Data Protection Regulation，GDPR）第五章就数据出境的标准，进行了混合适用，即数据转移至“第三国”与“控制者和处理者”的两种认定标准。对此，可以认为对于数据跨境标准的适用分歧所造成的国家管辖权边界的模糊，是跨境数据流动面临管辖权冲突问题的伊始。

（二）跨境数据流动中涉及的管辖权争议

在国际法上，管辖权问题中一个关键内容是如何在国家之间有效地分配管辖权。就跨境数据流动领域来看，管辖权的核心在于哪个国家对流动中的数据拥有充分且有效的实际控制权。

在常态化的跨境数据流动中，国家对于数据的管辖权，受到数据“非领土性”的挑战。从既有实践来看，一方面数据由字节组成，可以随时跨境移动、复制并分布存储在多个法域内而不影响领土内的访问［4］；另一方面，云计算的发展促使数据被逐步转移至云端，云服务商可选择将数据存储于全球各地的离岸数据中心，并在多个司法辖区进行处理，对于数据的控制由政府向云服务商过渡［5］296。此外，为保障数据访问的稳定性，云服务商通常将存储在云端的数据复制并保存在多个位置，以确保用户可以在服务器出现故障时继续从备份位置访问，于是数据复制备份的便利性和快速性催生了多国多站点存储的指数级增长［6］368。由此可见，数据所具有的非排他性与非竞争性意味着，数据能被不同主体同时使用，并且主体数量的变化并不会对数据的效用产生影响［7］。

因此，数据的“非领土性”削弱了数据位置的稳定性，而传统国家管辖权理论以物体在领土内具有稳定且可识别的位置为关键前提［5］305。但是，对于跨境流动中的数据而言，数据与领土连接的标准失灵，国家管辖权行使依据被其他关系所取代。数据的“非领土性”决定了适用规则的任意性，数据流动过程中途经的任意国家都可以对数据主张管辖权，从而造成多重管辖权的重叠。

在多重管辖权重叠的情形下，云计算服务商将会在对比各国不同的立法政策以后，通过数据转移来逃避主权国家对数据保护的国内立法规制，进而影响一国的数据安全。而各主权国家为了应对这一情形，则会以数据主权为由对数据基础设施的选址施加法律限制，通过数据基础设施的本地化要求将流动数据纳入本国的领土管辖范围，以实现对数据的实际控制。由此可见，针对跨境流动的数据，各国之间管辖权的行使边界并不清晰，西方国家单方扩张的长臂管辖权加剧了国家间的不信任，进一步刺激各国的“跟风立法”，进而间接造成了管辖权冲突的泛滥。

三、跨境数据流动中管辖权冲突的体现

对于跨境数据流动中的管辖权冲突，可以主要从国家管辖权的消极冲突和积极冲突这两个方面来理解。国家管辖权的消极冲突体现为潜在的管辖权冲突，意味着一国依据国际法所认可的管辖权原理对网络空间进行了法律规制，而其他受影响国家并未采取任何对应的法律调整措施；管辖权的积极冲突则体现为直接的管辖权冲突，即各国依据国际法所认可的不同管辖权原理对同一网络行为实行规制而产生的冲突形态。无论哪种冲突形态，都会造成国家无法有效确立管辖权、即法律无法有效适用的情形［6］379。

（一）数据立法模式的差异

基于数据跨境流动的特性，各国选择了不同的立法模式来确定本国的数据管辖权。数据立法模式差异将各国引向了数据本地化模式与数据全球化模式之间的对峙。

数据本地化立法模式试图尽可能地将所有数据掌握在国家领土之内或领土管辖范围内，从而依据属地原则实现对数据的有效管辖。欧盟数据立法正是通过将法律严格适用于域内数据收集和处理的行为，对域内数据打上鲜明的欧盟数据标签或国籍烙印，来寻求持续且无限制的保护［8］。首先，明确域内数据认定标准。GDPR规定，只要数据收集处理行为或主体位于欧盟域内，则可适用本法。以营业机构所在地在欧盟域内作为连结点，GDPR第3条（1）款规定“本条例适用于在欧盟内部设立的数据控制者或处理者的活动范围中对个人数据的处理，不论其实际数据处理行为是否在欧盟内进行”。而当营业机构不在欧盟域内时，则以数据主体在欧盟域内作为连结点，GDPR第3条（2）款规定“本条例适用于如下相关活动中的个人数据处理，即使数据控制者或处理者在欧盟内没有据点：（a）为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价;或（b）对发生在欧盟范围内的数据主体的活动进行监控”。其次，将域内数据赋予欧盟国籍，以保护个人数据为目的而提高数据出境门槛。欧盟要求数据控制者在进行欧盟数据域外移送以及二次移送时，受到GDPR的法律制约［9］。GDPR第44条规定：“对于正在处理或计划进行处理的个人数据，将其转移到第三国或国际组织，包括将个人数据从第三国或国际组织转移到另一第三国或另一国际组织，控制者和处理者只有满足本条例的其他条款，以及满足本章规定的条件才能进行转移。”由此可见，欧盟数据立法将领土原则和属人原则加以新形态的建构，立足域内层面强化对数据的实效保护，具有鲜明的本地化立法特征。

数据全球化立法模式将企业作为中介机构，将本国企业控制下的全球数据纳入管辖范围，从而依据属人原则来实现有效管辖。为应对欧盟立法对美国全球数据获取能力的制约，美国在立法中对本国云服务商设立全球数据披露义务，借助其中间人地位来实现美国执法机构对于域外数据的直接管辖［10］。美国政府出台的《澄清境外数据合法使用法案》（Clarifying Lawful Overseas Use of Data Act）也稱“CLOUD法案”，其明确规定云服务提供商必须根据合法程序披露其拥有、保管或控制的所有数据，无论数据位于何处［11］。这一规定明确了数据控制者对海外数据的强制披露义务，使得美国可以通过对数据控制者的管辖权将域外数据纳入属人管辖的范畴。尽管这一域外立法管辖权建立在数据控制者的属人连接基础之上，并未完全扩张至与美国毫无关系的域外数据，但美国云服务商控制着全球绝大部分的数据流动。因此不难看出，美国在立法上有意利用这一特征，将其在全球互联网行业的市场份额转化为国内的数据管辖权，从而实现全球数据监管［12］147。

数据本地化立法立足于领土原则而具有稳定的管辖权基础，能够抵御域外国家的立法管辖权挑战，多数国家采用这一立法手段来确保对本国数据的立法管辖权。因此，一般情况下，各国会选择相互容忍彼此的本地化主张，除非出现需要通过积极对抗才能保障重大利益的情形，才会出现立法管辖权的直接冲突。而数据全球化立法则放弃对于本地化的容忍态度，对云服务企业数据存储和披露的全球化要求，暗含了与本地化立法全面积极冲突的危险［13］824。

（二）数据域外法权制约共识的松动

回顾域外法权与数据的结合伊始，早期数据作为确立域外司法管辖权所依据的连接点，其服务的主要对象依旧是数据背后的实体权益［14］。而后随着数据价值的发掘，数据逐渐成为立法保护的权利和管辖权直接针对的对象，数据常态化的跨境流动推动各国探求更加广泛的域外法权，促使司法管辖权的域外行使走向不同以往的“长臂管辖权”模式。长臂管辖权将效果原则置于较领土原则与国籍原则更为优先的地位，属于在他国领土之上行使司法管辖权，对他国主权构成严重威胁［13］832。但在国际法基本原则中，每个国家都有义务在持有外国因素的情况下保持温和和克制，以避免不当侵犯其他国家的管辖权，因此，一般情形下适用国际礼让原则与不方便法院原则来约束各国行使域外管辖权［15］。

依据国际礼让原则，出于对外国主权的尊重，国家行使域外管辖权时有义务考虑到所有受影响的主权国家的公共利益，并积极平衡各国之间的竞争性利益，以应对可能产生的利益冲突［16］。然而，在数据流动的司法实践中，各国之间很难为了更大互惠利益而实现相互克制的实际合作［12］149。原因在于，国家数据管辖能力以数据技术发展水平为基础，而目前数据市场的寡头垄断现状导致小部分云运营商控制了绝大部分的国际数据处理与流动。这一现象意味着各国在数据管辖能力上存在天然差异，因此发达国家单方即可通过管辖权的扩张行使来实现自身目的，无需考虑与发展中国家通过实际合作来实现更大的互惠利益。此外，礼让原则多通过国内法院的裁判实现，且适用于双边环境下的数据诉讼。而在数据跨境流动中，司法合作由双边环境转向多边环境。法院作为实行主体，缺乏与域外司法机关的沟通渠道，难以识别具体的克制行为，且各国之间对数据公共利益的多样化主张更是加剧了适用困难［12］156。如果说礼让原则是法院积极选择法律以主动平衡冲突，那么不方便法院原则则站在消极的角度，允许具有管辖权的法院在有更适合的诉讼法院出现的情况下暂停或驳回起诉［17］。《海牙管辖权和判决公约》（Convention on the Recognition and Enforcement of Foreign Judgments in Civil or Commercial Matters）第22条指出：“当存在另一国法院拥有管辖权且更适合解决争端的情况下，法院可以在显著不适合行使管辖权时依当事人申请暂停诉讼。”因此，在国家行使域外司法管辖权时，面临本地法院更适合解决争端的情况下，应当将本地法院的管辖权置于优先顺位。由于跨境数据流动中涉及连接点众多，在技术特征上各区域数据混同，故而难以判定到底哪国更适合解决争端，从而造成法律适用的模糊。由此可见，在数据跨境流动的冲击下，传统国际礼让原则与不方便法院原则对国家域外管辖权的制约共识开始出现松动，长臂管辖权的行使随着全球流动的数据逐渐蔓延。

随着近年来在数据流动领域的司法实践中传统制约共识的松动，美国应用长臂管辖权肆意拓展本国管辖范围的现象更加突出。以美国益华电脑公司诉新拓尼克（北京）科技研发中心公司（CADENCE DESIGN SYSTEMS， INC. v. SYNTRONIC AB， et al） 为例根据美国《联邦民事诉讼程序规则》，证据开示的范围非常广泛，几乎涉及所有与案情有关的问题。一方当事人可以通过证据开示程序强迫诉讼对方当事人、甚至第三方提交与诉讼相关的文件和信息。对于上述规则下的披露义务，中方当事人目前以我国法律中的数据出境规则（《个人信息保护法》第39条、第41条以及《数据安全法》第36条）进行了抗辩。，本案中北加州地方法院认为我国的《个人信息保护法》第39条的跨境个人信息提供义务的履行，并不能阻却美国诉讼法下的证据开示义务；同时，北加州地方法院拒绝将第13条的法律义务限制为我国法律下的义务参见CADENCE DESIGN SYSTEMS，INC.v. SYNTRONIC AB， et al，U.S 137（2022）。该案中对于《个人信息保护法》第13条第3项中“法定义务”，法官解释为适用于所有“法律规定的义务”，而不仅仅是法定义务。至关重要的是，他还将例外解释为适用于外国法律义务，而不仅仅是我国的法律义务。。可见，虽然我国《个人信息保护法》第39条要求经过员工个人同意才能将他们的信息转移到我国境外，以及《数据安全法》第36条禁止“未经中华人民共和国主管部门批准，将存储在中华人民共和国境内的数据转交给外国司法或执法机构”，但是美国法院依旧拒绝限制证据开示请求以尊重我国的阻断法规，坚持将本国的法律适用凌驾于他国之上，并未依据国际礼让原则来平衡可能涉及的他国利益，这不仅挑战了我国的数据司法管辖权，而且也是对国际法上长臂管辖权制约共识的背反。

（三）数据执法管辖权“长臂化”

《网络犯罪公约》云证据工作小组（Cloud Evidence Group）提出“数据的流动性和不稳定性挑战了通过领土定义的执法管辖权”，其流动性为“域内”与“域外”的区分带来一定的难度［18］。因此，跨境數据流动天然地对传统执法管辖权行使规则提出了挑战，主要体现在单方跨境数据调取上：一方面数据调取国希望单方直接调取域外数据以绕开数据存储地国管辖；另一方面，数据存储地国基于属地管辖，出于维护数据主权以及数据安全等目的，严格限制本国数据的出境流动，由此便产生了单边域外数据调取的管辖权冲突［19］。此外，由于执法管辖权的域外行使往往基于公约机制而展开，而数据流动导致的域内界分困境又造成公约机制的适用困难，因此，各国执法管辖权开始突破传统的域外行使规则，并寻求域内执法机构的全球执法，开始出现数据执法管辖权的“长臂化”倾向。

当前美欧的数据立法中体现的扩张性域外数据执法管辖权已然成为国际新趋势，而执法管辖权所独具的惩罚性和强制性，意味着任意进行的域外执法必然造成对他国主权的威胁。借助CLOUD法案，美国一方面通过明确网络运营商的数据披露义务，确保能够获取存储在其全球数据中心的公民个人数据；另一方面，赋予属人原则在管辖权冲突适用规则中更优先的顺位，授权美国执法部门在云计算技术的背景下通过服务提供者获取域外数据［20］。此外，在

“适格外国政府”

同美国达成执行协议的基础上，美国还赋予其向美国境内组织直接调取数据的权力。因此不难看出，美国模式侧重于对传统司法互助协议的突破，因此对于行政主体的域外直接执法行为并未积极地予以跟进［21］189。因此，美国的全球数据获取模式与GDPR中对于欧盟数据出境的限制，产生了就域外数据执法管辖权的新冲突。根据GDPR第48条规定，只有在基于国际协议（如司法互助条约）的情况下，才予以承认非欧盟国家法院发布的数据调取命令。鉴于没有此类协议授权在欧盟运营的美国企业，依据美国法院发布的数据调取命令来传输欧盟持有的数据，因此履行数据披露义务的美国实体将触犯欧盟关于个人数据保护的法律，造成执法管辖权的积极冲突。然而，美国借助云服务运营商控制全球数据的模式，同时可能造成执法管辖权的消极冲突。执法管辖权的消极冲突主要指在某些情况下，没有任何一个国家有权调取其所寻求的数据。以谷歌为例，谷歌的云计算处理系统将数据分片并分包发送给世界各地的服务器存储，这意味着只有在谷歌重建这些数据后才能进行识别，且唯一有权访问这些用户通讯数据的人员位于美国境内。由于谷歌数据处理过程的特殊性且能进行数据提取技术操作的人员位于美国境内，因此相关政府与谷歌控制的数据存储地之间的司法互助条约将毫无用处。这意味着，即使是在调查严重的刑事犯罪时，也没有任何国家具有确定的执法管辖权，进而能够要求谷歌强制披露涉案相关数据［21］217。

四、跨境数据流动管辖权冲突协调的实践与局限

目前，对于数据管辖权冲突协调问题，已经出现了相关的学者学说以及国际实践。对于当下数据监管碎片化的局面，国际上多数经贸协定主要侧重于协调各国之间的立法差异，支持跨境数据管辖以“贸易自由”为导向，促进跨境数据的完全自由流动。世界贸易组织（World Trade Organization，WTO）框架下的《多边贸易协定》为在不同数据保护体系和跨境数据流动监管之间搭建桥梁提供了良好的起点，为各国在双边贸易协定中平衡数据立法主张的差异提供了谈判的平台。如今，由于WTO的谈判停滞不前，多数成员国转向双边、多边区域贸易协定，以期达成“全面协议”从而进一步促进数据流动自由化。《全面与进步跨太平洋伙伴关系协定》（Comprehensive and Progressive Agreement for TransPacific Partnership，CPTPP）、《跨大西洋贸易与投资伙伴关系协定》（Transatlantic Trade and Investment Partnership，TTIP）等已经就跨境数据流动有关的数字贸易规则展开磋商。可见，当下涉及数据流动相关的数字经贸协定的关注重点在于降低数据流动壁垒，促进数据自由流动，均衡缩小数据差距，对于因流动所产生的管辖权冲突并未提出协调意见及思路。此外，对于各国企业间因数据流动产生的商事纠纷管辖权冲突，主要的争议并非在于数据本身或其流动行为，而是回归到各方主体间的合同关系与商事行为。因此，现有的司法管辖原则已然可以为此类冲突提供坚实基础，对于立法管辖权及执法管辖权等涉及数据本身对传统规则的挑战，还须充分顾及跨境数据流动本身的特性加以调整，且提出可行的协调方案。

（一）《塔林手册2.0版》：域外数据管辖权规则的学者学说

《塔林手册2.0版》是在学者层面探究国际法适用于网络空间的一次重要尝试，其确立了一套在网络空间行使国际管辖权的规则指引；对于数据管辖权问题，其编纂专家组认为，数据作为网络活动的结果，当然地受制于属地管辖权［1］95。

《塔林手册2.0版》中有关数据管辖权的表述主要有三点。其一，明确数据作为国际管辖权的客体。虽然手册并未明确数据为财产客体还是行为客体，但多次论及数据所在国对数据的属地管辖权。其二，对于域外管辖，认为数据管辖权根本区别于国民网络活动的管辖权。编纂专家组试图明确区分针对国民网络活动的属地管辖权以及针对该国网民网络活动所创建的数据的管辖权，并认为数据所在国对数据享有完全的属地管辖权。其三，对于存储在域外的数据执法管辖权，手册否定了企业国籍国的单边域外执行效力。对于一国国民或者企业存储在域外的数据，该国并不因此而获得对该数据實施单方执行措施的管辖权。但是，如果个人或企业位于该国，则该国可以对个人或企业本体行使执法管辖权。总之，《塔林手册2.0版》肯定了数据的管辖权客体地位，并探究了数据管辖权行使的基本原则。

同时，《塔林手册2.0版》针对数据管辖权冲突也提出了一些观点。首先，针对数据立法管辖权，手册认为各国可以基于普遍认可的国际法依据而享有平行的立法管辖权。对于此种并存的立法管辖权的交叉可能导致的法律冲突，则采用属地优先原则，援用管辖权行使的合理性原则以及国际礼让原则。其次，就执法管辖权问题，手册则主要讨论了关于域外数据获取的管辖权冲突，并依据不同的情形区分了域内执法管辖权和域外执法管辖权。其一，对于可在域内公开访问的电子数据，有专家认为，基于这类数据在境外国家的公开事实，一国在这种情形下可行使域内执法管辖权。其二，对于可被获取的非公开数据，则依据可访问性标准，即只要数据能从境内访问获取，则行使域内执法管辖权，而不论数据是否为加密数据或受保护数据。其三，对于执法机关通过域外私人托管服务商获取域外数据的情形，部分专家认为构成域外执法管辖权的行使，因为该私人服务商不承担提供数据的法律义务，且其持有的数据并非公开数据，因此应当通过司法协助程序来寻求享有管辖权国家的同意［1］97。此外，还有部分专家认为，仅向私人实体提出的数据调取请求并未达到干涉他国行使域内管辖权的程度，因此并不构成域外管辖权的行使，而应当认定为行使域内管辖权。

总之，虽然《塔林手册2.0版》有针对性地探讨了数据的国际管辖权规则，并提出了管辖权冲突的协调观点，但是其最终成果属于《国际法院规约》第38条（b）项中所指向的学者学说，既不代表任何国家和国际组织，也不具备任何国际法上的约束力，其影响力完全取决于学者学说所具有的说服力和权威性，并在国际法上被认定为“确定法律原则之辅助资料”［22］。因此，对于跨境数据流动中出现的管辖权冲突，《塔林手册2.0版》只能作为填补现有规则空白的“软法”一般认为，国际法上的“软法”包括由国家缔结但仅规定“软义务”的国际条约、政府间国际组织通过的决议和守则，以及由非政府力量制定的示范法、商业惯例和行业标准等。［23］来发挥规则指引作用，而不能在事实上提供具有国际法效力的协调方案。

（二）《网络犯罪公约》：域外数据执法管辖权行使的國际协定

《网络犯罪公约》（Cybercrime Convention）是打击网络犯罪的第一个国际公约，其主要目标是在缔约方之间建立打击网络犯罪的共同的刑事政策、一致的法律体系和国际协助［24］。其中关于跨国犯罪域外证据调取的内容，就涉及有关域外数据执法管辖权的行使以及冲突协调。

《网络犯罪公约》坚持以数据存储地模式为基础，即以数据存储地位置确定国家管辖范围，并在刑事取证制度上不对其作特殊安排，是传统的属地原则在数据调取领域的延续。该公约第18条第1款规定的“提供令（Production order）”制度规定，各缔约方应调整必要的国内法或者规定，授权其有权机关可以命令国内的个人提交其持有或者控制的特定计算机数据，以及要求国内的服务者提供其持有或者在其控制范围内的用户数据；但无论何种情形，提供令所涉及的目标数据都应当“在发出提供令的缔约国境内”［25］。在数据存储地模式下，域外数据调取原则上需要通过传统的司法协助程序进行。随着技术的发展，严格的数据存储地模式已经无法适应数字时代背景下的跨境数据调取需求。因此，为了缓解这一困境并有效提升数据调取的效率，《网络犯罪公约》第32条有针对性地作出了两种无需告知数据存储国的单边调取的规定。其中a款规定，缔约国执法部门可以“提取公众能够获得的存储于计算机中的数据，而不论数据的具体位置位于何处”。由于这类数据可以在执法国的域内公开获得，所以在一定程度上被认为是行使域内管辖权的表现。在b款中规定的另外一种情形则是，“通过一方境内的计算机系统提取、接受存储于另一方境内的计算机系统中的数据，前提是相应行为获得了拥有法定权限而通过计算机系统向取证方披露数据的个体的合法且自愿的同意”。针对这一特殊情形，网络犯罪公约委员会于2014年发布的《跨境电子数据取证指引注释（第32条）》中特别强调，第32条第b款规定的单边数据调取情形，在性质上属于领土管辖原则的特殊适用［26］。

由此可见，《网络犯罪公约》所涉及的数据调取相关规定，实质上是适用于普通实物的传统司法协助程序在数据领域的延续，其中的例外规定也并未完全回应出现在数据流动过程中的数据调取相关问题，因此对于数据跨境流动中的域外数据调取的执法管辖权问题存在适用困境。首先，数据存储地模式不适用于流动数据。相较于存储在固定司法辖区内的静态数据，跨境流动中的数据在调取前很难预测其流向，因此难以判断具体的司法辖区，无法依据这一原则确定其管辖权归属。其次，数据存储地模式不适用于位置不明的数据。云计算的发展促使数据被逐步转移至云端，云服务商可选择将数据存储于全球各地的离岸数据中心，并在多个司法辖区进行处理，数据位置难以辨明。再次，数据存储地模式效率低下。随着数据跨境流动的常态化，依据数据存储地模式采用司法协助程序调取域外数据，程序冗杂时间过长，难以满足各国的数据调取需求。最后，即便是为了适用技术发展而有针对性地作出的例外规定，也面临着数据主权相关的争议。根据国际电信联盟对《网络犯罪公约》第32条的阐释，缔约国签署该公约的行为实际上是放弃部分国家主权，以换取国家间更加高效的跨境数据调取体系，从而允许其他国家实施影响其领土主权完整的调查行为［27］。

五、数据跨境中管辖权冲突协调机制的优化

跨境数据流动的常态化发展，对传统管辖权协调规则提出了新的需求与挑战。因此，在总结现有实践经验的基础上，围绕数据管辖权的立法、司法以及执法三项权能，提出进一步的优化机制，可以更加适应数据流动中管辖权冲突的特征，推动国家利益的平衡。

（一）限定数据域外立法管辖范围

联合国国际法委员会表示，最新的技术发展和世界经济全球化限制了国家完全依靠传统管辖权原则保护本国利益的能力，导致域外管辖权相关法律在某些方面的分歧和不稳定程度上升［28］。在数据跨境流动的管辖权问题上，可以通过引入新的协调路径以更好地协调各国之间的域外立法管辖权冲突。“弹性禁止说”又称为“弱化的禁止说”［28］，该路径考虑到域外立法管辖权和习惯国际法的特点，以“法无授权即禁止”为基础，设立弹性标准，依据流动中的数据与国家之间的“真实联系”，来授予主权国家对于数据的域外立法管辖权；同时，引入国际法限制性原则来规范域外立法管辖权的行使。

首先，通过真实联系原则，建立域外数据立法的管辖权基础。真实联系原则要求域外立法与受立法管制的实体或事项之间具有实质的、真实的联系［29］。因此，确定数据与主权国家之间的真实联系需要探究两个要素。其一，数据必须与立法国之间有联系，联系必须是直接客观且已经存在的。立法国必须有切实的证据，证明数据流动行为切实地影响到了本国社会秩序和经济利益。此外，间接的、非故意的效果也无法证实真实联系。当数据处理者对数据来源地国的数据进行多次的颗粒度处理，并达到难以识别个人信息的程度，则数据的二次转移以及后续的多次转移行为无法被认定与数据来源国之间具有真实联系。其二，联系必须是真实的。真实首先体现在质的方面，即联系必须是实质性的，而非形式上的［30］。对于流动中的数据，必须以数据来源、数据性质、数据控制者或数据主体的社会联系以及数据流动目的等为基础，来判断数据与立法国之间确实具有实质性的联系。其三，对于量的方面，联系必须是长期的、持续的。对于数据在流动过程中，如果偶发性地在某国境内的数据基础设施中进行中转，那么当数据离境后，该国并不因此而具有对该数据的立法管辖权。其四，由于同一数据可能涉及多个国家利益，或国际社会的共同利益，因此，国际法允许对同一事项存在多个国家平行的立法管辖权，对于真实联系的判定并不需要判定各国与同一数据的紧密联系程度，而是认定只要存在真实联系即可认为立法国存在立法管辖权基础。

其次，通过适度性原则，限制数据立法权的滥用，维护国家利益平衡。适度性原则也称为比例原则，指用较为客观的评价方法衡量手段对实现目的的适度性，要求用对其他国家影响最小的方式来达到立法目的，实现国家间利益的平衡［31］。因此，对于跨境数据流动中的域外立法管辖权的限制，应当考虑以下因素。其一，域外数据立法时都以保护重要的合法利益为目的，例如保护该国的宪法制度，保护国防和国家安全、社会和国家利益；又或是保护公民的个人数据安全以及重要的社会秩序等。在国际法上，保护性管辖允许国家为保护国家核心利益而规制外国人在外国领土上的行为。其二，域外立法是否可以保证或促进立法目的的实现。如果通过数据域外立法能够有效地达到立法目的，则认为这一管辖权的行使是适当的。其三，是否存在其他更温和的措施以实现相同的立法目的。数据域外立法必然是对他国主权的威胁，当存在其他的国际法途径能够达到同样的立法目的时，国家则不能强行规定本国法的域外效力［32］。

（二）重塑数据属地管辖规则

司法管轄权冲突的实质在于，在认可了“真实联系原则”下各国平行的域外立法管辖权后，各国必然面对针对同一数据的多重管辖问题。相互重叠的主权之间是平等的，不存在最高的主权位次，且目前国际法框架中并不存在进行统一立法的可能性。因此，对于跨境数据流动管辖权的确定，应该结合特定事项，依据最密切联系原则确定司法管辖权的归属以及法律适用的优先顺位。最密切联系原则又称最强联系原则，是指在处理涉外法律关系或案件时，全面权衡法律关系的有关联结因素，通过分析判断出与该法律关系最直接、最本质和最真实的联系的法律加以适用［33］。

首先，明确国家对境内的一切与数据流动相关的行为主体及相应的基础设施享有属地最高权。在国际法中，属地管辖意指国家对本国领土内一切人和事享有管辖权。而在数据跨境流动中，基于数据流动特性，国家属地管辖权受到一定限制，其限制主要体现在对于数据本身的主权之上。具体而言，网络行为发生地与网络行为产生数据的存储地之间，数据存储地与数据访问地、数据处理地之间，皆具备不相关性。若是将数据作为管辖权的连接主体，则缺乏基础架构支撑且连接范围过大而具有不稳定性。因此，有必要基于行为主体来进行辖区的划分，同时国家对于跨境流动中的数据管辖必然会涉及境外数据，需要各国之间就此进行合作与妥协，以国家对境内进行数据流动相关行为主体的属地管辖权优先为基础，构建新的司法管辖制度。其次，符合最密切联系原则的域外管辖优位于针对域外本国国民的国籍管辖。在明确了国家对境内的一切数据流动相关行为主体享有属地最高管辖权之后，对于域外的数据控制者和数据处理者管辖权的确定，符合与数据之间具有最密切联系国家的管辖权必然优先于数据处理者和控制者的国籍管辖。认定存在最密切联系的考量因素包括：数据控制者或数据处理者实体在其境内设有机构，且在该国存在大量用户或存在一项以上针对该国的数据活动等。此外，还可以要求判断一国境内的用户是否能够访问以及获取该数据控制者或处理者所提供的数据。在综合各类考量因素后，采取一定的分析方法，比较数据流动过程中所包含的因素，最终可找出与数据流动行为具有最密切联系的法律，并予以适用。

（三）构建数据跨境执法管辖体系

面临目前数据域外执法的“长臂化”倾向，以及域外数据调取的国际规则缺位的现状，各国应当积极参与构建数据跨境执法体系，以协调在数据流动中出现的管辖权冲突。

首先，构建数据执法的多、双边机制，提高数据域外立法的可执行性。在多边机制方面，应回归国际软法。在国际数据跨境执法管辖权问题上，不存在真正的国际立法。因此，相比具有法律效力的国际条约或协议，国际软法不由国家强制力保证实施，但其弹性较大，能够更好地协调多方利益，实现数据执法目的。可以考虑加强各国数据执法部门之间的联系，依据不同的执法目的构建相应的执法规制。以数据隐私保护为例，目前全球已经出现了一系列的制度安排以促进数据保护机构之间的执法合作。2021年亚太经济合作组织（AsiaPacific Economic Cooperation）构建的“跨境隐私规则”，由隐私执法机构、问责代理机构和企业三方参与，问责代理机构和隐私执法机构可以对违法企业采取纠正和处罚措施［34］。在双边机制上，增强可执行效力，补充多边机制的不足。相较于多边机制，双边机制缔约双方之间所面临的利益分歧更小，更容易协调因利益问题而产生的管辖冲突。其一，明晰双方执法权限，将提供协助作为协议义务。限定双方在对方领域内的执法内容，明确联合开展执法合作的方式，包括但不限于提供数据、协助调查、移交设施等。其二，以比例原则界定双方域外管辖权的行使边界。双方应当在采取措施之前，依据比例原则判定执法措施与违法处理行为是否相匹配，是否具有域外执法的必要性。

其次，完善数据域外调取机制，在坚持数据主权原则的基础上提高数据调取效率。原则上坚持数据存储地模式，尊重他国数据主权。第一，严格限制各国通过单边立法确定的域外数据调取效力。对于存储在他国境内的非公开数据，不论是否属于本国数据控制者和处理者控制下的数据，都应当通过司法协助程序获得数据存储地国同意后进行调取。第二，允许在特殊情况下的单边跨境数据调取行为。为了应对在数据跨境流动环境下数据存储地模式的局限性，可以允许在特定情形下的单边跨境数据调取行为。其一，在对等原则的基础上，采取有限的数据控制者模式。本着相互尊重数据主权的原则，在面临他国依据数据控者模式恶意管辖时，为了维护本国的数据主权，则可以相对应地采取数据控制者模式，通过数据控制者的国籍管辖来单边调取位于其控制之下的数据。其二，在国内法授权的前提下，获取存储地不明数据。对于难以辨明存储地的数据，可以依据国内立法来进行跨境调取。其三，提高司法协助程序的数据调取效率。为适应数据跨境的流动速度，对于需要快速回应和协助的数据调取需求，各国可以在没有签署司法协助条约的前提下，相互发送特定的“司法协助函”美国在查办“丝路（silk road）”暗网黑市交易案中，在与冰岛缺乏司法协助条约的前提下，向冰岛政府发送了“司法协助函”，请求冰岛政府允许美国对位于其境内的服务器进行在线的实时监控。，以请求对方及时回应和协助其需求［35］。此外，还可以考虑打造多边数据共享平台，推动在更大范围内更高效的数据共享。

参考文献：

［1］迈克尔·施密特.网络行动国际法——塔林手册2.0版［M］.黄志雄，等译.北京：社会科学文献出版社，2017.

［2］周明.数据国籍概念的提出及证成［J/OL］.北京航空航天大学学报（社会科学版），110［20240117］.https：//doi.org/10.13766/j.bhsk.10082204.2022.0464.

［3］张金平.跨境数据转移的国际规制及我国法律的应对——兼评我国《网络安全法》上的跨境数据转移限制规则［J］.政治与法律，2016（12）：136154.

［4］KUSHWAHA N，ROGUSKI P，WATSON B W.Up in the air：Ensuring government data sovereignty in the cloud［C］//2020 12th International Conference on Cyber Conflict （CyCon）.Estonia：IEEE，2020：4361.

［5］MAIER H G.Extraterritorial jurisdiction at a crossroads：An intersection between public and private international law［J］.American Journal of International Law，1982（2）.

［6］WOODS A K.Litigating data sovereignty［J］.The Yale Law Journal，2018（2）.

［7］苏平，马静.数字经济背景下数据产权的综述研究［J］.重庆邮电大学学报（社会科学版），2023（6）：7279.

［8］杜沁怡.网络治理中的管辖权扩张及对策——以GDPR域外适用为视角［J］.国际关系与国际法学刊，2020（00）：353365.

［9］DE FILLIPPI P，MCCARTHY S.Cloud computing：Centralization and data sovereignty［J］.European Journal of Law and Technology，2012（2）：121.

［10］IRION K.Government cloud computing and national data sovereignty［J］.Policy & Internet，2012（3/4）：4071.

［11］DASKAL J.Microsoft Ireland，the CLOUD Act，and International Law making 2.0［J］.Stanford Law Review Online，2018，71：916.

［12］杨永红.美国域外数据管辖权研究［J］.法商研究，2022（2）.

［13］GOLDSMITH J.Sovereign difference and sovereign deference on the internet［J］.The Yale Law Journal Forum，2019（128）：818826.

［14］邵怿.网络数据长臂管辖权——从“最低限度联系”标准到“全球共管”模式［J］.法商研究，2021（6）：77.

［15］NARAYANAN V.Harnessing the cloud：International law implications of cloudcomputing［J］.Chicago Journal of International Law，2011（2）：783809.

［16］PAUL  J R.The transformation of international comity［J］.Law & Contemporary Problems，2008（3）：1938.

［17］COLANGELO A J.What is extraterritorial jurisdiction［J］.Cornell Law Review，2013（6）：13031352.

［18］邵懌.论域外数据执法管辖权的单方扩张［J］.社会科学，2020（10）：119129.

［19］陈东阳.论单边跨境数据调取中的管辖权冲突［J］.南大法学，2023（2）：103117.

［20］KIRSCHENBAUM A.Beyond Microsoft：A legislative solution to the SCAs extraterritoriality problem［J］.Forham Law Review，2017（4）：19231962.

［21］DASKAL J.Borders and bits［J］.Vanderbilt Law Review，2018（1）.

［22］黄志雄. 网络空间国际规则制定的新趋向——基于《塔林手册2.0版》的考察［J］.厦门大学学报（哲学社会科学版），2018（1）：111.

［23］CHINKIN C M.The challenge of soft law：Development and change in international law［J］.International & Comparative Law Quarterly，1989（4）：850866.

［24］WEBER A M.The council of Europes convention on cybercrime［J］.Berkeley Technology Law Journal，2003（1）：425446.

［25］皮勇. 《网络犯罪公约》中的证据调查制度与我国相关刑事程序法比较［J］.中国法学，2003（4）：146161.

［26］CLOUGH J.A world of difference：The Budapest convention on cybercrime and the challenges of harmonisation［J］.Monash University Law Review，2014（3）：698736.

［27］MARCO GERCHE.了解网络犯罪：现象、挑战及法律对策［R］.瑞士：国际电信联盟电信发展部门，2014：284.

［28］汤诤.域外立法管辖权的第三条路径［J］.当代法学，2022（3）：140151.

［29］CRAWFORD J，BROWNLIE I.Brownlies principles of public international law［M］.New York：Oxford University Press，2019：457459.

［30］LISSITZYN O J.Nottebohm Case （Liechtenstein v. Guatemala）［J］.American Journal of International Law，1955（3）：396403.

［31］韩秀丽.寻找WTO法中的比例原则［J］.现代法学，2005（4）：181190.

［32］张奕欣，王一楠，陈继鑫，等.从数据跨境流动的域外规制看中国对策［J］.重庆邮电大学学报（社会科学版），2022（2）：5162.

［33］肖永平，任明艳.最密切联系原则对传统冲突规范的突破及“硬化”处理［J］.河南司法警官职业学院学报，2003（3）：1520.

［34］弓永钦，王健.APEC与欧盟个人数据跨境流动规则的研究［J］.亚太经济，2015（5）：913.

［35］SWIRE P，HEMMINGS J D.Mutual legal assistance in an era of globalized communications：The analogy to the Visa Waiver Program［J］.New York University Survey of American Law，2015，71：687800.

（编辑：刁胜先）