1. 引言

联合国贸易与发展委员会在其2019年发布的《数字经济报告》中指出，数字革命以前所未有的速度和规模改变了我们的社会和生活。数字技术的进步不仅创造了大量的财富，也带来了新的危机与风险。其中，跨境流动是保障数字经济发展的重要支撑。而数据的跨境流动也会影响到国家安全、公民个人数据隐私保护和数据资源战略的实施。各国根据本国国情都对数据流动管理制定相关法律，体现其在数据跨境流动方面的立法价值取向，并制定相关的法律法规和管理体系以实现其所追求的价值。中国在跨境数据流动立法方面不仅要注重本国在此方面的立法价值取向，也要对有关法律域外适用的问题予以重视。

2. 跨境数据流动立法域外适用的合法性分析

通常来说，本国所制定的法律能够在其领域内予以适用，是其因主权而在本国管辖范围内获得天然的管辖权。国内法域外适用本质是国家主权权力的扩张与延伸。在数字经济领域，随着科技以及实践的发展，数据跨境流动行为的频繁出现，对其实行有效的规制会导致有关法律域外适用的情况出现。而跨境数据流动法律域外适用的合法性可以从国际法对法律域外适用效力的正当性以及跨境数据保护法律域外适用的必然性两方面进行分析。

2.1. 国际法对法律域外适用效力的正当性之分析

2.1.1. 国家取得正当的域外管辖权

与法律域外适用密不可分的概念即为域外管辖。主权国家制定的法律能够在国家管辖领域范围内得到适用，是因为一国在其主权范围内享有完全的管辖权，这一点毋庸置疑。在国内法语境下，管辖权一般分立为立法管辖权、司法管辖权和执法管辖权 [1]。而一国国内法要在国家管辖的领域外进行适用是以域外管辖为基础和前提，与管辖权行使具有密切关联 [2]。从美国和欧盟对于跨境数据流动的立法规定来看，其域外适用的正当性主要来源于以下两种原则：

第一、“效果原则”

“效果原则”是一种特殊的属地原则¹ [3]，最初是美国在反垄断法领域内予以适用，即无论行为发生地有多远，只要该行为的影响或效果及于美国境内，美国就主张域外管辖权 [4]。与传统的属地管辖原则相比，“效果原则”并不重视行为发生的客观地理位置，而是以行为所带来的后果是否会对本国造成影响为标准来决定国内法是否可以对行为进行规制。该原则的适用，也曾遭到许多国家的反对。但是不可否认的是，效果原则在反垄断法、证券法等市场法领域得到广泛采纳，并衍生成为一项相对独立的立法管辖权依据 [5]。其原因在于，经济全球化深背景下，传统的国家界限和国家主权观念变得愈加模糊，法律属地主义被不断削弱 [6]，即使行为发生在域外，也会对国内市场产生不利影响，立法因而具有强烈的域外适用的需求。而数据的跨境流动治理中面临着一种困境，即数据的跨境流动借助互联网技术得以实现，这种特殊的技术性难以在地理空间范围内界定行为的发生地，但行为发生后造成的损害结果发生在本国境内，与市场法领域所面临的情况如出一辙，因此在立法上采取效果原则以达到对数据行为的有效规制也是数据跨境流动方面立法的迫切需要。

第二、属人管辖原则

依属人管辖原则获得的管辖权，是国家获取域外管辖权的传统方式。其是指国家对本国国民在其领域外行为的管辖。这里的本国国民应该包括在具有该国国籍的法人，其连结点包括国籍、住所、经常居住地等。欧盟在1995年发布的《数据保护指令》(以下简称《95指令》)以及在2018年生效的《一般数据保护条例》(General Data Protection Regulation，以下简称《条例》或GDPR)中提出的“设立机构标准”以及美国在2018年发布的《澄清域外合法使用数据法案》(Clarifying Lawful Overseas Use of Data Act，以下简称CLOUD法案)中明确授权行政机关可以获取美国公司在全球存储的数据信息，两者均是以属人连结点为基础来获得行为的管辖权。此种获得域外管辖权的方式其在适用时可能会对其他国家的主权与国家安全产生消极影响，但是本身并不违反国际法规则。

2.1.2. 国际判例的默示承认

国际法上对于国家法律的效力范围并未划定任何限制。在1927年国际法院审理的“荷花号案”中，国际常设法院持有如下观点：主权国家在其领土范围内具有相应的管辖权，即对于其领域内的人、事物以及行为具有法律约束力。但是现行的国际法规则并未对主权国家法律的外部效力范围进行限制。其在有正当理由或具备某种条件时，允许主权国家的法律超越其本身所属的领土范围，赋予本国法律以一定的域外效力来维护国家利益。

对于数据的跨境流动立法上，从国内层面来看，主权国家关于数据保护的立法，其效力范围自然而然的及于其主权领域范围内。从国际法规则来看，对于数据跨境流动方面的国际条约和判例尚未形成禁止性规则，故不能排除国内法效力向域外扩张的可能性。

国际法是调整国家之间关系的法律，其效力来源于国家的自由意志。国家推动某一项规则的出现并且主动遵守规则，使规则在国家间普遍具有约束力才形成了国际法规则。因此，除非国际公约或判例明确禁止，国家有权基于自身利益考量对法律效力范围进行扩张 [5]。

2.2. 数据保护法域外适用的必然性

2.2.1. 数据跨境流动本身的特点必不可免的导致域外适用的问题

数据跨境流动本身即是在不同国家或者地区流动，而这种跨国流动性会导致对数据的收集、处理、储存等不同行为发生在不同的国家领域范围内。本国基于对本国公民的利益、国家利益等考虑，会产生对数据主体的行为进行规制的需求，从而出现了本国法律需要域外适用的情况出现。

2.2.2. 其他国家法律适用的扩张

从欧盟和美国立法可知，数据保护立法上，已经规定了本国法律具有域外效力，并且在司法实践中也在不断推进本国法律的域外适用以期获得数据跨境治理国际规则形成中的主导地位。面对此种情况，各国在制定本国有关数据治理相关的国内法规则时，也应对本国法律域外适用的情况予以重视，以待更好的保护本国在数据治理方面的国家利益。

3. 美国与欧盟关于数据跨境流动法律域外适用的立法标准变化

3.1. 欧盟法律域外适用标准的变化

欧盟在跨境数据流动方面的立法经历了从1981年欧洲委员会制定的《有关个人数据自动化处理的个人保护公约》(以下简称1981《公约》)到《95指令》以及2016年实行的《条例》。欧盟在跨境数据流动方面的立法采取了严格模式，其立法基础和价值取向是保障个人基本人权，即个人权利优先。

1981《公约》是欧洲第一个针对跨境数据流动进行规制的区域性法律文件，但仅进行了原则性的规定，发挥的作用有限。在《95指令》的第4条规定，《95指令》予以适用的情况分为两种：其一，“营业机构所在地”标准，即营业机构是在欧盟境内设立的，或者是根据国际公法的规定属于欧盟的领土内设立的；其二，营业机构虽未在欧盟境内成立，但是处理数据的设备或其他工具是在欧盟境内。即对于不属于欧盟的营业机构，《95指令》以处理数据的有关设备在欧盟境内为连结点，赋予了指令可以对营业机构的行为进行规制，这实际上就构成了《95指令》域外适用的情形。但是数据依托互联网技术进行跨境流动的特质，若企业在其他国家境内，向欧盟提供数据跨境服务，则似乎可以规避《95指令》的适用。在2014年的“谷歌公司案”中²和在2015年的“Weltimmo案”中³可以看出，欧盟法院试图通过对概念解释以达到《95指令》扩张适用的目的。而上述两个案件中，对概念的解释，其本质反映了“效果原则”的适用，即营业机构的数据处理行为对欧盟范围内产生了影响，《95指令》即可适用于该机构。

在2016年的《条例》中，则吸收了法院的意见，其在第3条规定了《条例》直接适用的地域范围，包括：其一，第1款规定了《95指令》中已经确定的“营业机构标准”；其二，在第2款⁴中，采取“效果原则”规定了《条例》域外适用的情形。即欧盟在数据跨境保护立法上由《95指令》中以属人管辖原则和“数据处理设备所在地”为标准实现本国法律的域外适用，扩展至GDPR所采取的属人管辖原则与效果原则的混合适用标准。

3.2. 美国有关立法之域外适用标准变化

美国在20世纪80年代初期就已经对数据治理相关规则予以了关注和重视。与欧盟不同，美国在对数据治理相关规则中对于数据的跨境自由流动采取的是支持的态度，对跨境数据流动采取宽松立法，强调行业自律 [7]。

从1998年发布的《保护美国关键基础设施总统令》到2018年发布的CLOUD法案，美国已经形成了较为完善的数据治理体系。在CLOUD法案出台以前，美国政府对于数据监管的法律渊源主要是《存储通信法案》 [8]。该法案采取的是“数据存储地标准”，没能明确美国政府是否能要求通信服务商提交存储在境外的数据。在“微软公司诉美国案”中，法院在司法实践中以数据控制者为连结点，使得美国法律能产生域外适用的效力。随后，在CLOUD法案中明确采用“数据控制者标准”，其规定“无论通信、记录或其他信息是否存储在美国境内，服务提供者均应当按照本章(即《存储通信法案》)所规定的义务要求保存、备份、披露通信内容、记录或其他信息，只要上述通信内容、记录或其他信息为该服务提供者所拥有、监管或控制。”

CLOUD法案颁布后，“数据控制者”标准的采用使得美国以数据控制者是美国企业为连结点，将本国对于数据的管辖权扩张至美国境外，突破了传统的属地管辖的限制，以属人管辖权为依据赋予了CLOUD法案域外适用的效力。CLOUD法案中“数据控制者”标准的采取实质上是允许美国政府通过对美企业的管辖转变成对其所拥有、监管或者控制数据的管辖，实现了美国对于其境外非美国本土数据的管理。“数据控制者”标准的本质是一种属人管辖权在全球的拓展延伸。

4. 中国相关法律域外适用存在的问题

2017年《中华人民共和国网络安全法》(以下简称《网络安全法》)的颁布，明确了维护国家网络空间主权、数据安全、公共利益的要求 [7]。《网络安全法》是我国为保障网络安全发展及安全利益的重大举措，但是其在第2条中规定了本法的效力范围仅限于发生在本国境内的行为，并未赋予其域外适用的效力。并且在其第37条对于关键基础信息做出了规定，数据存储本地化为一般情况，若是有特殊情况，数据出境需要审批。

在2020年我国公布了《个人信息保护法(草案)》与《数据安全法(草案)》相继公布，在这两部草案中，均对其具有域外适用的效力予以了规定。《个人信息保护法(草案)》的第3条第2款中以境内自然人为连结点确认了法律予以域外适用的情形，包括两种情况：其一是向境内自然人提供产品或者服务；其二是分析、评估境内自然人的行为。而《数据安全法(草案)》则是在第2条中则是以保护管辖为依据确认了在我国国家利益以及公民利益受损时，本法可以对发生在我国域外的行为进行规制。

4.1. 数据跨境流动未形成完善的立法体系

我国在数据方面立法与欧美国家相比起步时间晚，虽然在2017年颁布了《网络安全法》，在2020年又相继公布了两部草案，但我国在数据跨境流动的保护立法上尚未形成完善的立法体系。《网络安全法》只是在法律上明确了我国维护数据安全的立法价值取向，但是根据规定，其只能在我国进内适用，对于数据跨境流动行为我国政府并不能依据该法获得管辖权。该法对数据安全的规定比较片面，仅对数据安全有所提及，却没有对数据信息安全做出专门系统规定。

从《数据安全法(草案)》的规定上看，其内容大多是一些原则性的规定，虽然草案中设置了域外适用的条款，但是由于规定还需要进一步细化才具有实际的可操作性，其域外适用的效果难以保证。

《个人信息保护法(草案)》对于个人信息的处理规则、跨境流动规则、数据处理者的义务等方面进行了规定，也同时规定了该法予以域外适用的情形，但其现在还尚未正式颁布并生效，所以对其法律效果还处于尚未确定的状态。

我国在数据跨境流动方面的法律还存在已经制定的法律是否能与现行有效的法律相衔接以及相应的司法解释、配套的行政法规、地方性法规等都处于缺位状态两方面的问题。我国在数据跨境流动方面尚未形成完善的法律体系，仍然处于法律体系呈现碎片化状态。我国关于数据保护方面的法律能否得以域外适用以实现对数据行为的有效监管也处于尚未确定状态。

4.2. 数据跨境流动法律域外适用规定笼统

现行立法主要集中在个人信息数据的跨境流动保护，对其有《个人信息保护法(草案)》规定。跨境流动的数据不仅限于个人信息数据这一种类型，还存在其他类型的数据流动，虽然《数据安全法(草案)》是针对数据安全的立法，但是从规定内容上来看，并未对不同类型的数据进行区分保护，而只是以“数据活动”进行笼统的规定，在其他类型数据的流动规则与程序上存在着立法空白。对数据类型的区分，对其以不同的程序、标准进行规制，可以更好地促进数据有序跨境流动的同时实现我国法律对于发生在域外的数据处理行为的有效、合理的监管以更好的保护我国数据安全与公民的合法权利。

此外，《数据安全法(草案)》中对于其域外适用的情形规定过于宽泛。从欧盟与美国对于数据安全方面的立法规定上来看，欧盟以属人管辖原则与效果原则为依据，实现其本国法效力的域外扩张，美国则是利用其在数据产业方面的优势，以企业为美国企业为连结点，对属人管辖原则的扩张实现了美国政府对域外数据监管的权利。而我国对于本法可以域外适用的情形在草案中的规定是：“在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。”从规定内容来看，我国是以保护管辖原则为依据实现本法的域外适用，存在以下两个问题：其一，以保护管辖为原则即只有在数据处理行为对我国国家安全、公共利益或者公民合法权益造成损害时，我国有关政府机关才能依据本法对行为进行规制，这仅仅只是一种事后监管机制，一些重要的数据行为后果一旦产生，无法得到有效的弥补，仅存在事后监管机制无法实现对数据的有效监管；其二，仅仅依托保护管辖原则，法律适用时处于被动情形。欧盟与美国在对数据安全立法上，无论其价值取向为何，都积极地对数据保护、数据跨境以及数据处理行为主体的规制上持主动且积极地立场。从其所采用的标准即可窥见一二，而草案在立法中，对于法律域外适用的标准的采取，却仅以保护管辖为原则，与欧美立法相比，其对数据处理行为主体的规制的有效性效果较弱。

4.3. 并未对于有关法律衔接及协调问题予以规定

对于《数据安全法(草案)》、《个人信息保护法(草案)》和《网络安全法》之间衔接和协调适用问题也未进行有关规定。《网络安全法》并非对数据的专门立法，但却对数据安全做出了规定。但是该法本身并不具备域外适用的效力。并且《网络安全法》第37条规定可以看出，我国对于数据流动持保守态度，要求个人信息和重要数据存储本地化。但是却未明确重要数据的概念以及个人信息存储本地化的程序规则以及可以跨境流动的条件。

在未来《数据安全法》《个人信息保护法》并存的背景下，应做好《数据安全法》、《个人信息保护法》以及《网络安全法》三者之间的协调与衔接问题。三部法律应由各自不同的立法重点，但同时也要注重三者之间的协调。

5. 中国法律域外适用的建议

5.1. 对我国跨境数据流动立法价值取向进行确定

对比欧盟与美国在数据跨境流动上立法的价值取向不难发现，无论是欧盟坚持对个人数据保护的价值取向，还是美国在立法上倡导数据自由跨境流动，两者都是支持数据的跨境流动的。我国在《网络安全法》上对于个人信息以及重要数据要求存储本地化，从此条规定中可以看出我国对于数据的跨境流动是持否定态度的，只有在特殊情况下才允许数据的跨境流动。《网络安全法》的立法取向也与其并未在立法时赋予该法域外适用的效力有关。《网络安全法》在我国主权范围内当然可以对数据处理行为进行规制，而未在立法中赋予其域外效力，这与数据存储本地化两者之间是相辅相成的。通过要求数据存储本地化，我国相关机构自然可以依据《网络安全法》对行为主体进行规制，取得案件的管辖权。但这种规定本身不符合数据跨境流动的发展趋势，也不符合数据流动的特性。因此，我国在对跨境数据流动以及数据安全立法上的价值取向应当重新审视。在数据安全立法上，我国应该借鉴欧盟与美国立法，对属地和属人原则适用扩大解释来确定本国法的管辖范围，但也应注意，本国法律管辖范围的扩张也要兼顾其他国家的主权权益。

5.2. 明确行政执法主体，行政权责清晰划分，行政程序进行界定

《数据安全法(草案)》的许多规定并不完善，可以借鉴欧盟以及美国的立法规定对数据跨境流动进行细化规定。同时也应该对数据跨境流动的监管主体进行明确。例如，针对不同类型的数据，跨境流动的不同条件，而对数据跨境行为监管的行政主体应予以明确并且明确其相应的权利义务。对于某些类型的数据若需要采取审批的形式来审核是否可以跨境，则应规定相应的报批程序。而对于涉及到需要对数据主体的域外行为予以规制时，针对不同类型的程序是否需要不同的启动条件以及程序以及对于数据处理主体应赋予何种救济途径等都应该有相应的法律规定。

5.3. 形成关于数据跨境流动立法的不同法律协调适用的法律体系

对于数据跨境流动的立法，不应仅注重某一部法律的立法，而是应该形成不同法律之间协调适用的局面。突出不同法律的立法价值取向。例如《网络安全法》其在第37条规定中，对于个人信息和重要数据要求数据存储本地化，是我国出于国家安全利益和网络安全方面考虑而做出的规定。《个人信息保护法(草案)》是针对个人信息保护法领域的数据的跨境流动。虽然《网络安全法》的规定要求个人信息数据存储本地化，但这并不是完全否认了个人信息的跨境数据流动，《个人信息保护法(草案)》可以对于个人信息跨境流动的问题进行具体的规定时也应该考虑《网络安全法》的规定，对个人信息的存储问题不应与《网络安全法》发生冲突，并且对于37条中所涉及的评估方法进行具体的界定。而《数据安全法(草案)》应关注除个人信息以外的其他类型的数据在跨境流动方面的问题，并且针对《网络安全法》第37条的规定，对于数据进行分类，对于何为重要数据做出界定以达到两者之间协调适用的问题。

5.4. 注重与其他国家间的合作，积极推动数据跨境流动国际规则的形成

数据跨境流动立法呈现扩张趋势，各国为维护自身利益，都主张本国法律的域外适用，而关于数据跨境流动的国际规则却尚未形成。在此种情况下，为了避免不同国家之间法律适用的冲突，我国应该加强同其他国家间的合作，可以从与其他国家先缔结双边条约或者协定的方式，对数据跨境流动治理规则方面进行国际合作的尝试，充分考虑不同国家的经济、文化和立法等相关情况。利用一带一路下的国家间双边合作扩展至多国合作，以期达成在不同国家对于数据跨境流动治理规则的认同，建立能够得到多国认同的多边规则体系，积极推动数据跨境流动国际规则的形成，在跨境数据流动问题上建造自己的话语权。

NOTES

¹一般认为属地原则包括“主管属地”和“客观属地”，但是“效果原则”与客观属地原则不同之处在于，客观属地原则要求的效果是作为犯罪构成要件的效果，而效果原则中的效果则不是作为犯罪构成要件的效果。

²欧盟法院则对第四条进行了扩张解释：根据规定，与数据有关的处理行为不仅包括处理数据的有关工具即数据处理行为实质发生在欧盟境内，也包括当境外数据处理机构与境内设立机构存在“无法摆脱的联系”时，发生在欧盟境外的数据处理行为。

³欧盟法院对于“营业机构所在地”标准进行了解释，其认为在欧盟境内设立机构是一个宽泛的概念，不限于有具体的例如分公司等实体形式，而是只要数据控制着或处理者在欧盟境内通过稳定的活动安排实施了真实有效的数据处理，均应认定为在欧盟境内成立设立机构。

⁴第3条第2款规定：“本条例适用于在欧盟领域内没有设立机构的数据控制者或数据处理者对欧盟内的数据主体的个人数据…。”

参考文献