专栏名称: 新技术法学

究新技术法理，铸未来法基石

张晓君：论数据管辖权的冲突与协调

新技术法学 · 公众号 · · 2025-02-11 16:55

正文

【内容摘要】 随着数字经济的快速发展，数据流动的跨国性和复杂性使得数据管辖权的冲突日益凸显，如何协调各国数据管辖权，已成为国际上亟待解决的关键议题。在厘清数据管辖权的性质与内涵属性的基础上，结合数据管辖权冲突的诸多表征进行分析，揭示出数据管辖权价值取向的博弈、国家权力结构的力量对比、数据主权与长臂管辖的对抗等因素，是构成数据管辖权冲突的内在根源。通过自我约束、依赖双边与区域合作机制以及遵循传统国际法原则等已有方式协调数据管辖权存在着效用的局限与规则的缺位等问题。因此，需要通过国家层面自我协调的优化区域合作的深化、全球治理机制的构建等多维进路，舒缓和解决国家之间数据管辖权的冲突，以保障数据管辖权的行使与平衡，推动构建公平合理的全球数据治理体系。

【关键词】 数据管辖权数据主权冲突与协调跨境数据流动全球数据治理

文章来源：《政法论丛》2025年第1期

因篇幅所限，省略原文注释及参考文献。

近年来，经济全球化愈来愈呈现数字化发展趋势，为了有效应对这一趋势，2023年中共中央、国务院印发的《数字中国建设整体布局规划》明确提出“全面提升数字中国建设的整体性、系统性、协同性，促进数字经济和实体经济深度融合；数字安全保障能力全面提升，数字治理体系更加完善，数字领域国际合作打开新局面”等战略目标。党的二十届三中全会审议通过的《中共中央关于进一步全面深化改革推进中国式现代化的决定》中“数据”“数字”等关键词亦出现了多次，充分彰显了数字治理在我国国家治理当中的重要性。在当前数字经济的背景下，新的增长动力持续增效，得益于互联网与云计算技术的不断进步，跨境数据流动呈现出日益频繁的趋势，正是基于数据具有跨越国界进行传输和处理的特性，由此产生了数据管辖权归属的争议。不同国家之间因对数据管辖权的理解和行使存在差异，且在国际层面上缺乏统一的协调规则，导致数据管辖权问题引发的冲突和矛盾日益加剧。因此，本文旨在明确阐释数据管辖权的内涵，并深入分析数据管辖权冲突的表现形式及其根本原因，进而探索构建一个有效的协调机制，以期为解决跨境数据流动中出现的数据管辖权冲突问题提供参考方案。

一、数据管辖权的内涵阐释

数据管辖权的确立与行使，对于维护国家安全、促进经济发展、保护个人隐私等方面都具有重要的意义，它不仅只是关乎数据的归属、使用和保护，还涉及到数据主权、数据跨境流动等更加复杂的问题，因此，如何在全球化背景下协调各国数据管辖权，构建公平、合理的国际数据治理体系，已成为当前亟待解决的重要课题。为了避免数据管辖权的无限扩张以及全球数据治理的无序与混乱局面，首先进一步厘清其概念、内涵、适用原则等问题是非常必要的。

（一）数据管辖权的性质

“管辖权”一词有多种起源，一部分借用自法语“Etymons”，一部分借用自拉丁语“jurisdiction-em”，意为司法或行政权力的内容或范围，以及这种权力所覆盖的领土范围。管辖权是国家主权的实现方式，是国家根据国际法对特定的人、物和事件进行管理或对其施加影响的权力，反映了国家主权平等原则和不干涉内政原则。数据管辖权作为数字时代国家主权的重要组成部分，其定义是一个复杂而多维的概念，它涉及国家主权、数据安全、隐私保护、数字经济发展以及国际合作等多方面内涵属性。数据管辖权的确立与行使不仅是对国家主权的维护，更是对国家安全、经济利益和国际关系的保障。数据管辖权的内涵和性质，可从以下四个方面来加以理解。

第一，数据管辖权的主权属性。数据管辖权是国家主权在数字空间中的延伸和体现。传统国家主权理论强调国家对领土内事务的最高权威，而数据管辖权则将这一权威扩展至数据领域。随着互联网平台企业的规模与影响力迅速扩张，国家开始警惕跨国数据巨头对本国数据资源的聚合与控制，因为这不仅涉及经济利益的再分配，更关联国家安全、社会稳定以及产业自主能力的塑造。国家行使数据管辖权，这具有延续传统主权原则的底色，即在数字时代强调国家对于数据资源、数字基础设施和数据处理规则的自主决定权。这种自主权力不仅包括对数据存储、传输与使用的控制，也涵盖对数据相关技术标准、法律法规制定的主导，从而有效确保数据的流动不会损害国家的主权和利益。

第二，数据管辖权的法律维度。数据管辖权突出国家在数据治理上的公权力属性。管辖权本质上是国家对于特定数据行为和活动制定法律规范、监管和实施法律并裁判的权力，它不以数据控制的技术能力为前提，也不以数据的所有权归属为必要条件。一个国家的法律框架、行政监管机构及司法制度，决定其对数据领域的调控能力与执法半径。这种公共性与法理依据，使数据管辖权成为国际数据流动与争议处理中关键的法律构造。通过法律手段确保数据的安全存储和传输，防止敏感信息被非法获取和利用，是对数据价值的法律确认和保护。确立数据管辖权不仅能够为数据法律体系的完善提供理论基础，还能够为数据法律的执行提供支持，进而维护数据法律的权威性和有效性。

第三，数据管辖权的经济意蕴。数据作为数字经济的基础要素，也是国家战略资源的重要组成部分。数据管辖权的合理行使能够促进数据的合法流动和共享，从而推动数字经济的繁荣。国家对数据实施管辖的实质动机中，经常夹杂经济利益衡量、产业竞争力考虑、国际谈判技巧等，致使数据管辖权的行使不仅是单纯的法律问题，更是一种在多层次国际经济关系中交织的谈判与妥协。因此，数据管辖权的界定不再是静态的国别法域划分，而是随技术创新、产业转型、国际市场规则变动而动态演化，并不断影响国际经济秩序的重塑。

第四，数据管辖权的国际面向。我们对于数据主权的强调，并非意味着各国一味地走向数据领域的自我封闭和“数据信息孤岛化”，数据主权在一国维度予以强化的同时，也面临着国际协作的现实需要。考虑到数字经济的跨境属性与全球供应链的复杂性，数据已经成为国际贸易、产业合作与技术创新不可或缺的资源要素。在这样的背景下，仅依赖特定国家数据主权的强化，可能会引发数字经济“割裂化”的风险，阻碍跨国数据流动与协作，影响全球创新体系的稳定与发展。因此，各国在强化数据主权的同时，亦需要探索通过双边或多边协议、区域性数据治理框架与国际组织平台来实现数据跨境流动的有序化和安全化，在维护国家利益与推进全球治理之间寻求动态平衡，以求在国际数据治理中占据主动地位，推动国际数据规则的制定和实施。

由此可以得出，数据管辖权不仅是国家对数据相关行为、活动与资源进行法律适用、执法和司法管控的权力范畴，更是国家在数字经济时代维护自身经济利益、掌控跨境数据资源流动与配置的一项关键策略。数据管辖权作为主权国家基于实现本国经济发展目标进行管理和处置本国数据的权力，以法律形式明确数据管理的责任边界，确保在国际合作交往之中，充分保障数据的安全与合规性，同时促进数据资源的有效利用和开放共享。

（二）数据管辖权的权能

管辖权从国家的职能上可以划分为立法管辖权、执法管辖权和司法管辖权，这三种分类实际上也体现了管辖权的权能，是管辖权的具体内容和实现方式进一步适用在数据领域，则体现为通过立法确定数据相关权力行为及其实施的行为方式，并以此作为管辖的依据。借助数据立法管辖权、执法管辖权与司法管辖权这三项权能的确立与延伸，使得数据行为具备了有序性，从而保障了立法目的的实现。

1.数据管辖权的立法权能。立法权具有独立性、自裁性的特点。独立性指国家立法机关可以不受外国干涉，独立行使立法权。自裁性指国家可以自行确定立法的内容和范围。在数据领域，各国可以自行独立决定自己的数据管辖权规则。美国在全球互联网治理的早期布局中处于先行者位置，其互联网企业和平台对全球数据流动影响深远;欧盟则通过《通用数据保护条例》（GDPR）等高标准隐私与数据保护规范，将“欧洲模式”嵌入国际数据治理议程，强化了自身在数据保护领域的“规则输出者”角色。我国相继颁布了《网络安全法》《数据安全法》《个人信息保护法》《数据出境安全评估办法》等相关规定，以更好规范和促进跨境数据流动、加强我国的数据保护水平。此外，印度、俄罗斯等国家根据自身发展需求，强调数据主权与安全，自觉或不自觉地通过数据本地化、数据出境安全评估和严苛的合规要求，确保境内数据资源不受外部势力操纵。这些实践反映了各国数据管辖权立法规则模式的多样化。

2.数据管辖权的执法权能。执法权表现为国家执行法律的权力，执法管辖权的有效行使既关乎法律的尊严，也直接影响法律实施的效果。在数据领域，执法管辖权关系到国家监管机构在多边或双边框架下能否有效行使调查、取证和处罚权力,这包括政府对跨境数据访问的可行性、对违规经济主体进行惩处的能力，以及在国际执法合作下能否顺利调取境外服务器资料。例如，2024年8月26日，荷兰数据保护局 (DPA)在其官网发布了一项处罚决定，对全球网约车服务运营商 Uber 公司处以 2.9 亿欧元罚款，原因在于Uber 收集了欧洲司机的敏感信息将并这些数据传输到了 Uber 位于美国的总部，这严重违反了GDPR。从执法管辖权实施的地域来看，数据的跨境流动会突破一国的国境，存在数据出境与数据入境两种面向，当国家执法权力的行使超过领土边界时,便会产生域外执法管辖权的问题，因此数据的流入国与数据的流出国均涉及对数据的监管权力。

3.数据管辖权的司法权能。数据的司法管辖权源于数据的立法管辖权，与数据执法管辖权一样，是对数据立法管辖权的实施和运用。自美国“棱镜门”事件发生后，数据对于国家整体发展与安全的重要性越发显现。当数据跨境流动危及一国的国家安全、公共利益以及个人权利时，数据的司法管辖权便发挥其对相关行为主体的惩罚权能、救济权能和监督权能。例如，2020年7月16日，欧盟法院在“C-311/18 - Facebook Ireland and Schrems”一案的判决中援引GDPR以及《欧洲联盟基本权利宪章》等相关规定，认定欧盟委员会关于“认定《欧盟-美国隐私保护盾》（EU-US Privacy Shield Agreement，下称Privacy Shield）提供的保护是否充分”的第2016/1250号决议无效，据此使得Privacy Shield归于无效。该法院认为该决议实质上确立了美国国家安全、公共利益和执法要求具有首要地位的立场，从而宽恕了对数据被转移到该第三国的人的基本权利的干涉。这一判决充分体现欧盟对其司法管辖权的有效行使。

（三）数据管辖权的适用原则

在国际法上，对管辖权的适用原则一般分为属地管辖原则、属人管辖原则、保护性管辖原则和普遍性管辖原则，后两者是主要针对犯罪行为的管辖原则。而集中在数据管辖权领域，则可体现为属地原则、属人原则和域外适用原则。

1.数据管辖权的属地原则。数据管辖权的属地性通常基于数据存储或处理的地理位置来确定。例如，如果数据存储在某个国家的服务器上，那么该国家的法律可能对这些数据拥有管辖权。“数据存储地”成为数据立法的重要管辖依据，在缺乏有力的管辖权国际协调机制的情况下，数据管辖问题更有可能通过参考网络的物理基础设施来解决，服务器的位置和数据的存储位置最终可能决定了谁的规则适用。然而，对于属地原则适用的难处在于，服务器所在地与企业实际运营地之间往往并不一致，跨国公司可能将数据中心设立于监管宽松或基础设施完备的地区，从而在一定程度上规避或削弱其他国家对数据的管辖权行使。这种“数据迁移”策略虽然在现实经济活动中普遍存在，却容易引发国家间的法律冲突与管辖缠绕：一方面，数据实际使用地与利益受损地的政府机构可能强调其对跨境数据活动的监管权；另一方面，数据最终存储地的政府则基于属地原则强调其拥有对该数据的法律适用权。在这种情形下，数据的“落地”问题不再仅仅是技术选择，也映射出国家在数字经济博弈与数据资源分配上的深层考量。尤其当涉及金融、医疗、公共安全等敏感领域时，各国更倾向于将数据留存在本国，以确保风险可控和法律实施的可及性，从而进一步强化属地管辖所带来的数据有界性。通过此种方式，国家得以在地理空间上牢牢掌握对数据资源的监管主动权。与此同时，这种基于属地原则的管辖理念也在一定程度上与数据跨境流动需求相冲突，目前国家间尚缺乏形成兼顾效率与安全的国际化协调框架，使跨境数据业务既面临合规难题，也加剧了全球数据治理的碎片化风险。

2.数据管辖权的属人原则。数据管辖权的属人原则的依据为数据主体，当数据属于某个国家的公司或个人时，该国家的法律可能对数据的使用和处理拥有管辖权，与此相关的概念主要集中于数据控制权，并形成了属人原则的“数据控制者标准”。“数据控制者标准”是以“数据的实际控制者”为属人连结点来确定跨境数据的管辖权,其指向的是跨境网络服务提供者控制的能够作为证据的各类境外电子数据。属人原则在跨境数据流动中具有重要意义。随着数字化时代的到来，越来越多的数据进行跨境流动，而这些数据往往涉及个人隐私、商业秘密等敏感信息。因此，确定数据的管辖权对于保护个人隐私、维护商业利益以及促进跨境数据流动具有重要意义。然而，属人原则在实际应用中也面临诸多挑战。在跨境数据流动中，数据的实际控制者可能构成一个复杂的网络结构，从而使得确定数据的实际控制者变得颇具难度，这往往涉及多个国家和实体的参与。此外，“数据控制者”将面临一种双重困境和多重义务的承担，其不仅需应对域外主体要求其提供数据信息的义务，同时也要承受适用属地原则国家的管辖，导致了法律适用上的重叠现象。

3.数据管辖权的域外适用原则。数据跨境流动的固有特性决定了其超越地理界限的天然属性，根据实施范围的不同，管辖权可分为域内管辖与域外管辖两种类型。有学者将域外数据管辖界定为非存储地国家对存储在其他国家或地区的数据的管辖。从本质上说，域外管辖权属于国家管辖权范畴，是国家的固有权利。域外管辖指的是国家在本国领土范围内针对境外的人、物或行为确立和行使管辖权，域外管辖包括域外适用，但不等同于长臂管辖,国家行使域外管辖权是国际关系中的正常现象。按照国际法，一国对域外人员或实体行使管辖一般要求该人员或实体或其行为与该国存在真实、足够的联系，同时，域外管辖权的行使亦衍生出两个相关联的原则，即“最低联系原则”与“效果原则”。这两个原则并非必然导致长臂管辖权的实施，但它们构成了长臂管辖权的法理基础，并对传统管辖权适用原则提出了挑战。“最低联系原则”最初系由美国最高法院在1945年“国际鞋业公司诉华盛顿州案”中形成，进一步发展出“效果原则”，在这一原则下即只要发生在国外的行为在美国境内产生所谓“效果”，不管行为人是否具有美国国籍或住所，也不论该行为是否符合行为发生地法律，美国法院均可行使管辖权。因此，尽管上述原则赋予了国家对跨国数字服务提供者更强的干预能力，但也容易被滥用，如美国以此无节制地扩张域外管辖权，最终使其变演变为长臂管辖，成为实现本国利益而罔顾国际法的禁止性规定，强行对外国人实施管辖和制裁的工具。

二、数据管辖权的冲突解析

数据的跨境流动过程涉及多个数据主体及地区，与不同法域之间产生联结，使同一数据面临多重管辖的情形。然而在当今世界，国际竞争越来越体现为制度、规则、法律之争。在全球数字经济迅速崛起的背景下，数据管辖权冲突最突出的表现为由谁来制定规则，用谁的规则，怎样适用规则等方面，其内在根源归根到底在于不同数据价值观的博弈、国际权力结构的对比以及长臂管辖与数据主权之间的对抗，各国都试图在数据时代获取自己的战略优势，以确保自身在全球数据生态中的地位。

（一）数据管辖权冲突的表征

数据管辖权冲突的表征主要体现在数据立法模式、规则的选择和规则的适用方式领域。

1.立法模式差异性导致的冲突。各国均拥有自身的法律体系和规则制定权，部分国家出于对核心数据资源管控的需要，可能会采取措施限制数据的自由流动，或者要求数据在本国境内存储和处理。此类本地化要求的初衷不仅是为了减少本国数字基础设施受到外部干扰的可能性，也旨在应对潜在数据安全风险与防范隐私泄露，以期在紧急情况下迅速调取本土数据资源并实行有效管控。然而跨境数据流动是数字经济发展的必然需求，它对于促进全球贸易、加强国际合作以及推动技术进步具有至关重要的作用，因此有的国家极力主张数据的自由流动模式。这种法律上的差异导致在跨境数据流动管辖时，各国的理解和执行标准不一致，不同国家的规则之间便可能产生互斥，加剧国家间在数据管辖权上的冲突。

一是欧盟严格的数据保护立法。从监管强度来看，数据治理模式的原则主要表现为“弱监管”和“强监管”两种模式。其中 “弱监管”是指政府较少干预数字要素市场，坚持市场自由的原则；而 “强监管”是指统一数据立法，政府部门较多地干预数字市场，规范数据要素市场行为。欧盟数据治理模式的原则就是典型的“强监管”特征，其将数据保护作为基本人权。2016年，欧盟颁布的GDPR明确了个人数据的处理、存储和保护规则，以及对个人数据泄露的处罚规则，极大程度上体现了“强监管”“强规范”的治理特征。例如，GDPR通过增强的数据主体权利、严格的数据处理要求、设立数据保护官以及严厉的处罚措施等特点，构建了一个全面而严格的数据保护框架。具体体现在GDPR第三章第13条至第22条分别规定了数据主体所享有的知情权、访问权、纠正权、被遗忘权、限制处理权、可携权等权利内容，同时对数据处理要求非常严格，第四章明确了数据控制者和处理者的义务，包括第35条规定在进行数据处理之前，控制者应当就个人数据保护所设想的处理操作方式的影响进行评估，第37-39条规定控制者和处理者需要指派专门的数据保护官负责降低数据风险，确保数据合规，响应请求，报告违规，乃至创建一个良好的数据安全策略。更为重要的是，GDPR设定了严厉的行政处罚和民事处罚措施，第83条规定了征收行政罚款的一般情形，规定了两级罚款，每级对应不同的违规类别，第一级所产生的违规行为将被处以最高 1000 万欧元或对企业处以上一财政年度全球年收入总额的2%，且以较高的数额为准。第二级所产生的违规行为将被处以最高2000 万欧元或就一项经营而言，对企业处以上一财政年度全球年收入总额的 4%，且以较高的数额为准。

二是俄罗斯、澳大利亚等国数据本地化政策。该模式注重禁止数据离境，强力保护数据安全，尤其是对核心数据、敏感数据的控制更是如此，要求特定类型的数据必须存储在本国境内。长期以来对国家安全的关注是俄罗斯实施数据本地化的历史原因，为了提高网络安全和数据安全的应对和管理，俄罗斯适时推出了数据留存本地化的管理要求。2014年俄罗斯通过第242-FZ号法令确定了数据本地化的基本规则，外国技术企业必须将俄用户的个人数据存储在俄境内的服务器。俄罗斯第242-FZ号联邦法在第二条中作出规定：“在个人数据收集期间，包括通过因特网，运营人应确保使用位于俄罗斯联邦境内的数据库以记录、系统化、积累、存储、澄清（更新或修改）和取回俄罗斯联邦公民的个人数据。除本联邦法第6条第1部分第2、3、4、8条规定的情况以外。”2015年8月3日，俄罗斯通信和大众传媒部发布了详细的、也是唯一的一份书面指南，阐明了第242-FZ号联邦法实施的新的个人数据本地化要求。相类似，澳大利亚专门针对个人医疗数据做出了禁止出境的立法规定，2012 年该国《个人控制电子健康记录法案》在第五部分其他民事处罚规定中第77条明文要求，不得将个人电子健康记录移至澳大利亚境外，也不得在境外加工或处理这些记录。

三是美国数据自由流动模式。美国以其技术和经济领先地位，倡导数据自由流动，并且其所倡导的自由流动与市场驱动模式长期为国际网络经济秩序提供基调。具体而言，美国试图通过数据霸权为全球数据套利提供事实依据，长臂管辖为全球数据套利提供法律保障，从而构建起美国全球数据套利机制。这种主张充分体现在其国内规则、政策领域，并带有极强的效力域外扩张属性。2018年美国《数据科学战略计划》的制定旨在对生物医药研究产生的海量数据进行存储和管理，并进行标准化建设和数据公开。其核心目标包括提升数据存储效能和增强安全性；使尽可能多的人能够使用数据（包括研究学者、科研机构和社会大众）。同年，美国通过了《澄清海外合法使用数据法》（简称CLOUD法案），该法案通过引入灵活的“数据控制者标准”来弱化数据与物理空间的关联性并设置了严格的数据披露者责任豁免条件，以增加美国获得境外数据的可能性。然而，该法案所体现的数据自由流动却不具有互惠性，即美国只主张其政府可利用境外数据，却通过设定严格的“适格外国政府”限制外国政府利用美国境内数据，客观层面几乎造成“全球至美国”的数据单向流动，折射出“美国优先”的立法思路和主导全球数据流动秩序的野心。

2.规则标准主导权的争夺。这又反映出适用规则的选择导致的冲突。在解决数据管辖权争议时，必须明确适用哪一国家的数据管辖权规则，以作为判定标准。鉴于各国均设有自身的数据管辖权规则，在特定的法律体系内，随着法律规定的管辖权适用范围面向域外的逐步扩展，不同法域的法律规范在界限上趋于模糊化，导致对同一数据争议事项的管辖权出现重叠，面对此种情形，各国都想用自己的数据管辖权规则来解决问题，以有利于自己争取更多的数据权益，由此引发规则适用上的冲突，其中具有代表性的是欧盟与美国两种规则标准输出模式。

一是欧盟通过运用“充分保护”标准的规则输出。根据GDPR第45条第1款规定“对第三方或国际组织进行个人数据的传输，发生在如下情形时，不需要任何的授权：即当欧洲委员会已确定了的要求信息的第三国或其中某一地区或一个或多个特定的地区、或国际组织，有足够级别的保护”，以及第3款“委员会在对保护级别的充足性进行评估之后，可通过实施法案的方式，决定第三国，或其某一地区或某些特定部门，或某一国际组织确保本条第2款所指的适当保护水平”，也即实践常提的“数据出境白名单”。GDPR 对世界范围内的数据跨境流动规则产生显著影响，许多国家都依照 GDPR 规则完善自身数据保护机制，以期达到 GDPR 规定的“充分保护”标准，GDPR由此在对外合作中实现对其他国家产生的“规则外溢”效应，推动其重新评估自身的数据保护法律与跨境规则。例如，韩国于 2016年修订了《个人信息保护法》，并积极与欧盟委员会谈判，希望能借此加入“充分性认定”白色清单。同时欧盟相继与瑞士、以色列、日本等国家达成《GDPR框架下的个人数据传输充分性协议》，通过白名单的方式要求他国接受自身数据规则。

二是美国通过运用“适格外国政府”标准的规则输出。如果外国政府需要调取存储在美国的数据，应当首先符合“有资格的外国政府”的认定条件。CLOUD 法案规定了能与其进行境外数据执法合作的 “适格外国政府”，认定条件为“美国与之签订的已根据第2523条生效的行政协议；以及法律为电子通信服务提供商和远程计算服务提供商提供了实质性和程序性机会”；同时对外国政府获取数据的执行协议予以明确，主要体现为以下几个方面：第一，有充分的关于网络犯罪和电子证据的实体法和程序法，如2001年11月23日在布达佩斯缔结并于2004年1月7日生效的《网络犯罪公约》所证明的那样，或通过符合该公约第一章和第二章所列定义和要求的国内法；第二，表明尊重法治和不歧视原则；第三，遵守适用的国际人权义务和承诺，或表明尊重国际普遍人权；第四，有明确的法律授权和程序，管理那些根据行政协议被授权寻求数据的外国政府实体；第五，有充分的机制，对外国政府收集和使用电子数据提供责任和适当的透明度；第六，表明致力于促进和保护全球信息自由流动以及互联网的开放、分布和互联性质；并且外国政府已采取适当程序，尽量减少获取、保留和传播有关受该协议约束的美国人的信息。依据此规定，美国扩展了其标准体系的国际化应用，构建了以美国为主导的规则框架。任何意图与美国进行数据跨境合作的国家，均须首先符合美国所设定的规则体系。基于这一规定，美国分别于英国、澳大利亚缔结了CLOUD法案协议就是具体的实践例证。

3.长臂管辖的滥施与扩张。这反映出规则适用方式的冲突。当前以欧盟、美国等为代表的国家不断扩张本国法律适用范围的域外效力，试图通过单边立法将自身标准推向全球。这种域外管辖权的扩张，不仅引发了数据调取国与数据存储国之间的法律冲突，更对传统国际法秩序构成了挑战。

一是数据域外司法管辖权的滥施。欧盟GDPR第3条明确了地域范围，具体为第1款规定：本条例适用于在欧盟境内设有机构的数据控制者或处理者，在该机构活动范围内对个人数据的处理，不论其数据处理是否发生在欧盟内部。第2款规定：本条例适用于如下相关活动中的个人数据处理，即使数据控制者或处理者不在欧盟设立：(a)为欧盟内的数据主体提供商品或服务—不论此项商品或服务是否要求数据主体支付对价；或 (b)对发生在欧洲范围内的数据主体的活动进行监控。第3款规定：本条例适用于在欧盟之外设立，但基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。可见，欧盟GDPR第3条结合属地、属人、效果以及国际公法等多种适用原则，以使得欧盟能够对在欧盟境内有业务活动的非欧盟企业施加数据保护义务，从而实现了对全球数据的“长臂管辖”。

例如，对GDPR第3条第1款的适用，不论其实际数据处理行为是否在欧盟内进行”，实际上就构成了管辖权适用的“机构标准”，结合GDPR在序言第22条的规定“商业存在（Establishment）意味着通过稳定的安排有效且真实地开展经营活动。而该等商业存在的法律形式（无论是否通过具有法律人格的分支机构或子公司）并非判断其是否可以成为商业存在的决定性因素。”例如在欧盟法院审理Google v. AEPD和Weltimmo v NAIH的案件中，法庭判决书将这一规定予以明确“鉴于在某一成员国领土内设立机构意味着通过稳定的安排有效且真实地开展活动；鉴于这种机构的法律形式，无论是简单的分支机构还是具有法人资格的子公司，都不是决定性因素；鉴于当单一控制人以子公司的方式在数个成员国领土内设立时，该控制人必须确保每一机构均履行适用于其活动的国家法律所规定的义务，以避免规避国家规则”。而GDPR第3条第2款则是以“目标导向”为原则，对未被“机构标准”所涵盖的领域进行了有效的补充。其明确规定了针对在欧盟境内无商业实体的数据控制者或处理者的相关要求，使得GDPR的管辖范围得以大幅扩展，不再局限于欧盟境内的实体机构，而是涵盖了全球范围内的数据处理活动。这种“目标导向”的管辖原则，体现了GDPR在数据保护领域的广泛影响力和强制力，其长臂管辖的实施带有明显的侵略性。

二是数据域外执法管辖权的单边扩张。与立法管辖权和司法管辖权相比，执法管辖权的属地性最为突出。国际执法合作中并未形成关于数据搜集、取证与司法协助的有效机制，于是部分国家在单边跨境数据调取中，以保护本国公民数据权利为出发点，基于实际联系标准扩张自我管辖权。

2000年比利时修改本国《刑事诉讼法》，增加的第88条第3款赋予了比利时侦查法官搜查境外计算机系统中数据的权力。具体为侦查法官可以在特定情形下授权搜查计算机系统，而且该搜查行为在符合法定情形时还可以延伸到与令状所注明的系统相连接的其他系统。如果搜查中发现相应的数据并不位于境内，那么只能进行“复制”。2007年比利时警方在侦查一起网络诈骗案件时，请求雅虎提供涉案邮箱注册信息，以识别嫌疑人身份，但雅虎拒绝配合，理由是美国《电子通信隐私法》不允许该种数据被分享。比利时方面则坚持依据其国内《刑事诉讼法》要求雅虎履行数据提供义务，这种对涉案数据管辖权的主张得到比利时最高法院的肯定。

在CLOUD 法案出台之前，美国采取查询信件和法律互助条约两种执行模式来获取域外数据。2013年，作为大量数据持有者的微软抵制了美国司法部发出的对存储在爱尔兰内容数据的搜查令。微软认为，《美国存储通信法》并未授权域外数据访问，而这些数据受欧盟数据保护法的管辖，被禁止向欧盟以外转移。但2018年美国国会以查询信件和法律互助条约两种执行模式效率低下为由通过了CLOUD 法案，该法案确立了以“数据控制者为标准”的域外数据管辖权，具体规定对数据控制者行使属人管辖，数据控制者与美国应存在实质性联系，但不限于国籍联系，符合判例法中“最低程度联系”原则即可，从而将《美国存储通信法》的适用扩张到海外，改变了过去域外数据的执法管辖权需要数据所在国同意的原则，由此美国获取数据的范围从美国本土延伸至全世界，大幅提高了其行政执法的效率。

（二）数据管辖权冲突的根源

数据管辖权冲突的根源在于数据主权、数据共享特性及数据权益的享有。集中反映为数据管辖权功能实现的价值博弈、国家权力结构的对比和长臂管辖与数据主权的对抗等原因。

1.数据管辖权价值取向的博弈。在不同国家和地区，数据管辖权的价值取向差异主要体现在对数据的保护程度、开放程度以及数据跨境流动的限制上。各国基于数据跨境流动的功能价值偏好造就了数据政策的差异性。不同国家、经济体之间对数据自由流动与数据安全的取舍往往反映出利益再分配的博弈过程：前者多希望促进数据跨境传输以维持已建立的数字产业优势与数据驱动型商业模式，后者则可能倾向于通过严格的数据管制政策来培育本土数字经济生态、保护本国消费者与产业安全。这种政策上的分歧不仅加剧了国际间的数据管辖权冲突，也对全球数据治理体系的构建提出了挑战。

具体而言，这种博弈集中反映为各国在追求经济效益与保障数据安全之间的选择。在当代全球数字经济格局下，数据管辖权的冲突已不再仅仅是法律与技术层面的问题，更是包含经济利益与数据安全、隐私保护在内的多重价值诉求的博弈过程。在此多维博弈中，数据安全、隐私与经济利益相互交织与牵制，令跨境数据治理的难度大幅提升。安全与隐私保护的强化可能在短期内抑制数据跨境流动，从而延缓数字经济的增长与创新进程；经济利益的驱动又可能弱化部分国家在隐私与安全标准上的坚持，引发潜在的个人信息滥用与安全漏洞。这种多向拉锯使得国际规则制定愈发困难：各国既不愿放弃数据驱动的经济增长机会，又必须在地缘政治与国家安全考量下严格控制数据走向；规则制定者既想确保公民隐私与数字权益，又需面对新兴技术背景下的政策不确定性。

2.国家权力的力量对比。数据的经济价值和战略意义日益凸显，各国为了维护自身利益，纷纷出台相关法律法规，试图在数据治理中占据主导地位，这种竞争态势加剧了数据管辖权的冲突。集中反映为从国家利益层面出发，基于国家权力结构的力量对比，进而产生国家实力的博弈与全球话语权的争夺。

数据所蕴含的时代价值已经成为国家发展创新经济、维护产业竞争力及提升国际影响力的重要路径。无论是传统的经济大国，还是发展中的新兴经济体，纷纷制定符合自身国情的数据治理规则，并期望在国际层面输出本土标准，以将其国内法律与技术要求转化为国际通行的范式，从而在数字时代的规则制定权与话语权上占据主导地位。各国不同政策走向与制度安排的背后，是国家对数字经济时代核心资源与战略资产的充分考量，将数据视为具有潜在政治、经济和安全价值的要素进行管控与争夺，国家实力在此过程中发挥着决定性作用。

进一步延伸至国际经贸谈判的场景下，数据管辖权冲突作为全球数字经济秩序重塑的前沿阵地，成为了国家间的政治和经济利益博弈在数据领域集中展现，对数据管辖权的争夺是各国在后工业时代谋求战略主动权的具体体现，背后关联着新经济形态下的资源配置与全球话语权的塑造。在全球数据治理体系中，拥有强大数据管辖权的国家通常能够主导规则的制定，从而在国际竞争中占据有利地位。

3.数据主权与长臂管辖的对抗。数据管辖权冲突还会反映在各国对数据主权的界定与行使方式存在显著差异。每个国家都希望在自己的主权范围内对数据进行管理和控制，各国普遍将数据管辖权视为数据主权的重要组成部分。数据主权作为数字时代国家在数据领域的基本主张，对内体现了国家对数据的最高管辖权，对外体现了国家在网络数据上的独立自主权与合作权。国家对数据主权的管辖权应该理解为“国家使用法定权力裁决某项行为是否构成对该国数据的侵犯”。

然而，由于数据跨境流动的复杂性和多变性，使得数据不同于传统的物理资产，它可以在瞬间跨越国界，不受地理限制。该特性致使传统属地原则在数据管辖领域难以适用，导致对现行管辖权原则的突破。传统主权理论将地域作为主权行使的边界，一国主权的行使限于本国领土或管辖领域范围之内。随着互联网技术的普及和数字经济的崛起，数据的跨国流动使得传统的属地管辖原则面临挑战。全球范围内的云计算基础设施、分布式存储和多国镜像服务器，使数据不再定于单一地域之中，从而颠覆了以地理疆域为基础的传统法律逻辑。

数据跨境流动为域外管辖权的产生建立了联系，进一步衍生出“长臂管辖权”问题。数据的重要性日益凸显，越来越多的国家明确本国公权力主体对域外网络数据的管辖，当前针对域外网络数据,扩张性的管辖权行使已经成为一种趋势。以单边立法的方式确立数据长臂管辖的规则体系，属于管辖权的单方扩张和滥用。这种方式扩大了管辖权的适用范围，却造成对他国主权的侵犯，由此激化了国家间在数据管辖权上的摩擦和冲突。

三、数据管辖权的协调方式与现实困境

在应对当前数据管辖权冲突的问题上，无论是在国家层面还是双边或多边层面，抑或在国际法的框架内，均在努力探索有效的协调机制，以期通过规则的制定明确数据管辖权的归属。然而各国在数据管辖权方面的利益诉求存在差异，国家合作机制尚不成熟以及欠缺对统一规则的确认，这些因素为数据管辖权的确定带来了新的挑战。因此，有必要对数据管辖权现行协调现状进行深入剖析，针对目前面临的挑战，对完善路径的提出进行积极探索。

（一）数据管辖权的协调方式

现行数据管辖权的协调方式，主要通过国家对其管辖权扩张的自我约束、双边、区域和多边机制以及国际法原则等来实施。

第一，管辖权对外扩张的自我约束。在数据跨境案件中，为舒缓国家安全与国际合作之间的紧张关系，部分国家在行使域外管辖时逐步确立了自我约束机制，以避免给跨国数据流动带来不必要的障碍。美国CLOUD 法案所设定的门槛便是此种思路的体现：只有在涉嫌威胁国家安全或严重刑事犯罪的情况下，执法机构才能行使域外数据获取权。在实践层面，一些国家也会根据案件性质、对国内公共利益的影响程度以及与外国司法体系的配合情况，合理界定域外适用的边界，防止产生国际法意义上的过度干涉或域外管辖滥用。通过明确客观标准与分级审查程序，各国既能够维护自身法律秩序与安全利益，也为跨境电商、云服务及数据分析等新兴行业的全球运营预留了一定的合规空间。例如，德国在2018年通过了《网络执法法》（NetzDG），要求全球运营的社交媒体平台对其境内用户产生的内容进行审查和管理。该法律在行使管辖权时采取了分级制约机制，要求平台在未满足特定安全标准的情况下对跨境数据处理进行自我约束。此种审慎与克制的规定不仅有助于各国间的司法互信与协同，也为持续推进全球数据治理合作奠定了重要基础。此外，不方便法院原则的适用的逻辑起点也是从管辖权自我约束的角度出发，致力于解决跨境数据管辖权之间可能产生冲突的实践问题。根据这一原则，当存在一个更加适合处理案件的法院时，拥有管辖权的法院可以主动选择放弃其管辖权，从而确保案件能够在最适宜的司法环境中得到审理。

第二，依据区域和多边合作的协调机制。随着数字经济的快速发展，双边或多边合作机制正在成为应对数据跨境管辖权冲突的重要途径。美国、加拿大和墨西哥之间签署的《美墨加贸易协定》（USMCA）明确缔约国应当认可对个人信息收集限制原则、安全保障原则等关键原则。亚太经济合作组织（APEC）通过《跨境隐私规则体系》（CBPR），为成员国之间的数据流动提供了区域性框架。此框架类似于欧盟的GDPR提出的数据保护标准，但APEC的框架更侧重于促使跨境数据流动的自由化，同时保障数据隐私与安全的平衡。与此同时，世界贸易组织（WTO）、国际电信联盟（ITU）、联合国国际贸易法委员会（UNCITRAL）以及经济合作与发展组织（OECD）等多边机构，也在各自的议程下对数字贸易、网络基础设施及数据主权的相关议题进行研讨或规则尝试。中国、美国、欧盟、俄罗斯、日本、巴西等共76个世界贸易组织成员签署的《关于电子商务的联合声明》，在数据管辖权冲突的协调中发挥了独特作用。ITU在技术标准方面的努力为数据流动的兼容性提供了基础，而UNCITRAL则通过《跨境电子商务示范法》等文件，为数据交易的合法性与管辖权问题提供了法律指引。OECD通过的《隐私保护与个人数据跨境流通指南》等文件，为数据管辖权的协调提供了原则性框架。其核心在于平衡数据自由流动与隐私保护之间的关系，强调各国在数据管辖权问题上的合作与互信。此外，OECD还通过定期发布研究报告和政策建议，为各国提供了数据治理的最佳实践，推动了全球数据治理的标准化进程。此类合作路径意在消解各国法律冲突的同时，打造更具包容性与可操作性的全球数据治理框架，为跨境数据运营与技术创新提供更稳定的法律环境与制度保障。

第三，遵循传统的国际法原则。国际礼让原则是国际法中的一个重要原则，它从理性的角度表达自愿性与克制性，强调对国家权力的扩张进行限制，其为解决数据跨境管辖权冲突提供了重要的方案。基于这一原则，各国在对域外数据活动或境外涉案企业进行调查或起诉时，通常会首先权衡对方国家主权、社会利益与安全保障等要素，避免以单方面扩张管辖权的方式损害双边或多边合作关系。例如，1909年美国法院在American Banana Co. v. United Fruit Co.案中适用了国际礼让原则，明确拒绝对涉及外国公司行为的案件行使管辖权，强调应尊重国际交往中的自愿与克制。此外，法国的Google v. CNIL案也运用了国际礼让原则，法国最高行政法院在审理该案时，限制了对全球范围内搜索结果的适用范围，表明对域外数据活动的管辖应尊重其他国家的法律和社会利益，从而减少不必要的跨国法律冲突。

通过国际礼让原则进行自我约束与利益衡量，不仅能在一定程度上消弭双方在司法体系与法律文化方面的差异，也能为国际数据执法的衔接与协同创造更大的余地。事实上，从反垄断执法到国际刑事司法合作，礼让原则在传统国际法中已有成功应用的先例，因此其核心思想在数字时代依旧富有生命力，引导各国在行使域外管辖时谨慎行事，通过跨境程序对接、技术共享与信息互助等方式实现合作共赢，使数据跨境流动能在维护国家主权与公共利益的前提下，为全球数字经济注入可持续发展的动力。

（二）数据管辖权协调的现实困境

从国家层面审视，各国政府致力于保障本国数据权益，通过实施数据管辖权以控制跨境数据流动，进而实现国家战略目标。在此协调过程中，弱势经济体寄希望于数据强国的自我约束，但国家根据自己意志处理与他国关系的单边方法所具有的主观性决定了必然无法根除数据域外管辖权冲突，因此依靠数据强国自我约束的效果不会太显著。弱势经济体往往处于不利地位，这些国家或地区缺乏先进的技术基础设施与相应的谈判筹码，在国际规则谈判中话语权不足。大国在数据管辖权规则中占据主导，以自身利益为导向的规则制定往往排挤弱势经济体的诉求，使得后者被迫接受既定规范与技术标准，并在实践中面临合规成本、技术壁垒与治理能力不足的问题。例如，巴西的《通用数据保护法》（LGPD）在保障数据主权方面表现出强烈的自我保护倾向，但在国际数据流动的协调上仍然面临挑战，尤其是在与欧美发达国家的数据互操作性上，存在较大差距。这种不平衡的关系进一步加剧了全球数据治理的不公平性与不对称性，增加整体协调的难度与成本。

在跨境数据传输案件中，传统不方便法院原则的适用范围也显著受限。鉴于数据跨境流动牵涉众多连接点，难以明确判定何国对案件拥有合理的司法管辖权，各国基于自身利益考虑，往往倾向于扩大自身对数据跨境流动的管辖权，进而在司法实践中采取保护主义立场。这种立场不仅不利于全球数据治理体系的建立，还可能对国际贸易和投资自由化产生负面影响。因此，如何在尊重各国数据主权的基础上，合理界定数据跨境流动的司法管辖权，成为当前全球数据治理领域亟待解决的问题。

2023年6月美英发布关于建立“数据桥梁”的联合声明，以促进两国之间的数据流动。随后，在2023年7月10日，欧盟委员会投票通过欧盟-美国数据隐私框架 (DPF) 的充分性决定，该决定允许个人数据在无需额外授权的情况下，从欧盟的数据控制者和处理者直接流向美国的认证组织。然而，这类以加强盟友之间跨境数据交流的便利化政策，表面上以加强促进跨境数据流动之名，实际上行小集团主义和本国利益优先主义之实，将盟友国与其他国家区别对待，变向造成了数据传输领域的贸易壁垒。上述国家的这类举措把多边制度视为个别国家或某些少数国家在世界上巩固或扩展其支配地位的工具,通过多边制度把自己的价值、规范、规则等强加给其他国家，严重损害其他国家的主权平等地位和在世界事务中的发言权。

此外，不同区域之间各自为政，同样会进一步加剧数据管辖权规则的差异性。区域合作机制建立在相同或近似的区域经济文化、法律传统与社会价值观之上，在此基础上的差异更是为数据协调增添阻碍。在一些较为强调国家安全与公共秩序的国家，对数据的管控更为严苛，例如东盟发布的《东盟数字数据治理框架》、《东盟跨境数据流动机制的关键方法》等文件，重点发展示范合同条款及跨境流动认证，强调个人数据的隐私保护与数据安全。相较之下，《全面与进步跨太平伙伴关系协定》（CPTPP）的规则更强调数据的跨境流动与自由，第14.11条规定了个人数据自由跨境流动原则，该条要求 CPTPP 缔约方“允许通过电子手段进行跨境信息传输，包括个人信息，只要是为了所涵盖的人的业务的开展”。第14.13条是对禁止数据本地化的规定，该条禁止缔约方以要求涵盖的人使用其本国领土内的计算机设备或将计算机设置在其境内，作为在本国开展业务的条件。由于各区域框架在价值观、监管程度与制度严密性上存在显著差异，不同区域间的标准难以协同，甚至可能形成“数据区隔”（data realms），导致全球数据环境进一步碎片化与区域化。

目前，国际社会尚缺乏统一而成熟的全球数据治理框架，以致各国在国际经济法层面争相以本土法律体系行使数据管辖权，从而对跨境数字贸易、云服务出口与国际数据分析产业链产生深远影响，例如，英国法院在Google Inc. v. Vidal-Hall案中，拒绝了Google依据其美国总部所在国家的法律来主张对跨境数据使用的管辖权。澳大利亚的《数据可访问性法案》在处理跨境数据请求时强调数据主权和国家利益，拒绝适用外国法律的优先地位。这些案例均反映出在全球数据流动规则尚未统一，数据管辖权在国际统一规则适用缺位的情况下，各国仍然强调依据自身法律体系行使管辖权。传统的国际礼让原则在数据管辖权冲突中虽具有一定的适用性，但其模糊性和非强制性难以应对复杂的现实问题。

张晓君：论数据管辖权的冲突与协调

正文

请到「今天看啥」查看全文