网络安全法律涉外管辖权问题研究

闫飞

摘   要：大数据、云计算时代的数据信息跨境存储已成为新常态，涉外网络安全问题尤为突出。因此，各国网络安全法律在规制其国内网络安全的同时，普遍采取扩大本国网络安全法律涉外管辖权的立法原则。文章以国际法基本理论出发，结合当前欧美网络安全法律涉外管辖权规定，探讨我国《网络安全法》涉外管辖权相关条款的完善问题。

关键词：网络安全;数据保护;涉外管辖权;网络空间主权

中图分类号：D90          文献标识码：A

Abstract： In the era of big data and cloud computing， cross-border storage of data information has become the new normal， and cross-border network security issues are particularly prominent. Therefore， while cybersecurity laws of various countries mainly regulate their domestic cybersecurity， they also generally adopt the legislative principle of expanding the foreign-related jurisdiction of their cybersecurity laws. Based on the basic theory of international law， this paper studies the cybersecurity laws concerning foreign-related jurisdiction in Europe and the United States to explore the improvement of the relevant provisions of China's "Network Security Law".

Key words： network security; data protection; foreign-related jurisdiction; cyberspace sovereignty

1 引言

第四次工业革命的时代特征是互联，数据信息已经成为当今最重要的经济资源之一，网络及数据信息安全问题深入影响政治、经济、军事、外交等各个社会领域。人工智能（Artificial Intelligence）、大数据（Big Data）、云计算（Cloud Computing）、物联网（Internet of Things）、区块链（Blockchain）等名词，从原来的技术、学术前沿概念，逐渐成为个人日常生活以及经济活动的一部分，数据信息资源在互联网以及现代数据处理技术下加速被开发、转移及利用。与此同时，掌握网络平台及数据信息的主体拥有越来越大的网络力量，世界各国在涉外网络安全事件频发背景下，纷纷开始加强网络安全立法，并在立法中明确涉外管辖权问题。

2 涉外网络安全事件国际法规制基本问题

2.1 涉外网络安全事件频发

近年来，国际网络安全事件频发，如何维护信息网络安全，保障数据主体权利，平衡各方利益成为了时代的难题。归纳起来，可以将近年具有代表性的网络安全相关事件归为三类。

第一类是泄密及监听。2013年英国《卫报》《华盛顿邮报》同时报道了美国代号为US-984XN的秘密监控项目。该计划由美国国家安全局（NSA）与美国联邦调查局（FBI）共同启动，其為人熟知的另一个代号是棱镜计划（PRISM）。在此计划中，美国NSA及FBI直接进入美国网络服务供应商的中心服务器中收集情报数据，其中涉及配合参与监听的美国公司有微软、谷歌、苹果等互联网服务及终端供应商巨头。在此次事件中，包括德国总理默克尔在内的欧洲及世界多国政要的移动电话遭到美国政府监听，一度引起严重外交风波。类似事件还有通过互联网窃取并公布美军阿富汗战争数万份机密文件的维基解密（WikiLeaks）事件。

第二类是个人数据商业侵权。世界上最大的互联网社交媒体平台脸书（Facebook）在长达4年的时间内，致使数千万用户的个人信息被“剑桥分析”公司不当获取，甚至被指控涉嫌利用非法获取的数据操纵美国大选及英国脱欧公投。谷歌的移动终端操作系统安卓（Android）于GDPR生效当日即被以不当收集并使用个人数据为由提起控诉，经过法国数据保护监管机构CNIL为期半年的调查，谷歌被处罚金5000万欧元。

第三类是利用互联网实施犯罪。这类网络安全事件包括近年来屡见不鲜的勒索病毒事件、通过互联网实施恐怖袭击以及频见报端的跨境网络电信诈骗等。

上述各类网络安全事件几乎都有一个共同的特点，即国际化，这反映了互联网时代的特点。此外，另一个共同特点是，当网络安全事件持续发酵，往往会牵涉到不同国家的政府部门或跨国互联网巨头公司。

2.2 国际法规制的必要性及可行性

数据安全保障是摆在每一个国家政府面前的重要任务。各国必须采取适当手段进行互联网管控，以确保大规模网络安全事件不会对本国主权、公民及企业造成不利影响。在此背景下，通过国际法手段实现网络安全规制成为了首选解决途径。其原因在于两点。

首先，互联网秩序仍需要法制维系。在各国法律体系中，政府维护并确保法律的强制执行力，因此通过法律制度固化的社会规则得以成为最稳定的社会行为准则。在应对网络安全危机时，各国政府首选通过立法实现维护网络安全的目的。例如，在棱镜门事件爆出多位欧洲国家领导人遭到监听的随后几年，欧洲加快了《一般个人数据保护条例》（General Data Protection Regulation，GDPR）的立法程序，最终在棱镜门东窗事发后第三年的2016年正式公布了“史上最严”的个人数据保护法。GDPR加强了对跨国公司数据控制者及数据处理者的法律规制，同时确定了违法者全球营业额4%为上限的违规处罚。GDPR在生效后第一时间，便展开了对美国谷歌和脸书等互联网巨头的调查。

其次，国际法是网络安全维护法制中的核心环节。在互联网时代，物理的国界已经被超高速数据传输所打破，数据信息甚至是资产需要以不通过传统的中介机构实现跨境流通。在此背景下，如果仅依靠国内法制解决网络安全问题，则势必挂一漏万。具体而言，国际法的最主要渊源应当是国际条约，即政府间或国际组织针对网络安全问题所缔结的国际公约、区域性公约或双边多边条约。然而，在世界各国均已认识到网络数据权利涉及到根本利益的背景下，通过国际条约形式制定国际网络安全规则的努力宛如水中捞月。因此，在无法达成协商一致的情况下，各国纷纷转而通过国内法制中的涉外规定扩大涉外管辖权，以实现维护网络安全的目的。

3 网络安全法律涉外管辖权原理及管辖权扩张

3.1 国际法管辖权基本原理

国际法中的管辖权基本原理肇始于国际法学诞生之初，其以民族国家的主权为原则，以主权项下所代表的领土为最基本载体得以确认。国际法理论中的管辖权原则包括属地管辖（Territorial Jurisdiction）、属人管辖（Personal Jurisdiction）、保护性管辖（Protective Jurisdiction）等。

在网络安全涉外管辖领域中，传统的管辖权理论与互联网发展存在着一定的失配。首先，属地管辖无法彻底完成网络空间的覆盖，其只能针对相关主体、固定终端设备进行管辖规制，却无法完成针对网络行为、移动终端设备进行法律规制，因为在网络数据交互领域，网络行为跨境无以计数、移动终端自由移动。其次，属人管辖在网络领域更难以发挥实际作用，多数的互联网行为都是匿名形式进行的，当行为发生在境外，即便一国监管机关有能力实时监控，也很难直接将本国人在境外的互联网行为及时切断。至于保护性管辖等，更无法在网络安全法律中发挥重要作用。

鉴于此，世界各国在当下选择了不同的网络安全法律管辖权模式。

3.2 欧盟：GDPR中的域外管辖扩张

GDPR作为欧盟最新的个人数据保护法，是为了实现对欧洲自然人和在欧洲境内发生的数据处理行为进行立法规制的。通过扩大管辖事项以及个人数据（Personal Data）、数据控制者（Data Controller）及数据处理者（Data Processor）的定义范围而实现其域外管辖权扩张目的。

如果运用国际法管辖权传统理论分析，GDPR的涉外管辖权首先采取了“属地+属人”原则。GDPR第3条首先规定，其适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不论其实际数据处理行为是否在欧盟内进行。同时，进一步规定：GDPR适用于如下相关活动中的个人数据处理，即使数据控制者或处理者不在欧盟设立——为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价;或对发生在欧洲范围内的数据主体的活动进行监控，即如果主体或行为有一端与欧盟存在连接点，则属于GDPR管辖范围。同时，GDPR也规定，如果身处欧洲境内，非欧盟自然人的个人数据仍然受到GDPR同等标准的保护。

此外，GDPR通过限制数据出境而避免数据控制者或数据处理者（主要是针对跨国互联网巨头），通过数据出境而规避GDPR的涉外管辖权。GDPR第5章对数据转移至欧盟境外第三国进行了严格的限制，GDPR第45条规定：当欧盟委员会作出认定，认为相关的第三国、第三国中的某区域或一个或多个特定部门、或国际组织具有充足保护，可以将个人数据转移到第三国或国际组织。此类转移不需要特定的授权。事实上，包括中国、美国在内的绝大多数国家均不在列。

通过“属地+属人”原则配合限制跨境转移，GDPR实现了立法层面的涉外数据保护“全覆盖”。

3.3 美国：长臂管辖原则

美国的网络安全法律并未采取专门法典化的形式进行编纂，而是散见于不同的法案中。近年来最具代表性的就是《澄清域外合法使用数据法》（the Clarifying Lawful Overseas Use of Data Act，CLOUD Act），也称CLOUD法案。2018年初，由美国数位参议员提交的CLOUD法案并入《2018年综合拨款提案》获得生效实施。CLOUD法案延续了美国在涉外管辖权领域一贯追求的长臂管辖原则（Long-arm Jurisdiction）。

CLOUD法案涉外长臂管辖首先体现在其对网络服务提供主体的管辖范围定义上。注册在美国，或面向美国公众提供电子通信服务的提供商、远程计算服务提供商在美国有实质性商业存在时，即受到CLOUD管辖。如一个中国网络运营商，在美国有分支机构并从事网络服务业务，该公司受CLOUD管辖。这实现了长臂管辖的第一步主体归入。

进而，该法案采用“数据控制者标准”，除非满足少数排除条件，当上述数据服务商被识别为美国数据控制者，必须与美国政府配合从全球各地调取数据信息。

一方面，该法案实现了对美国主体信息的绝对控制，另一方面CLOUD利用美国互联网公司的巨大商业优势，实现了控制其他国家境内存储、处理的网络数据的域外管辖权，可谓将美国的网络空间行政管辖版图扩展至全球。

鉴于属地管辖是各国网络安全相关法律所必然采纳的基础原则，在长臂管辖原则背景下，可以说美国网络安全法律必然与世界其他国家的网络安全法律发生冲突。

4 涉外管辖权冲突与国际协调

4.1 涉外管辖权冲突

鉴于欧盟GDPR及美国CLOUD都对涉外管辖权进行扩张行为，当其意图行使域外管辖权时，必然与他国网络安全法律发生冲突。这种管辖权冲突应当属于国际法领域中的公法冲突。

公法冲突伴随着现代社会公法私法二元化弱化而产生。在经济立法中，为了调整涉外商业或经济活动，一国立法机关规定了公法的域外效力。在法律实施阶段，当其意图实施域外效力时，相关公法规定将与行使属地管辖权的所在国公法发生冲突。最具典型代表性的就是竞争法领域。近年来，在诸多以跨国企业为并购投资标的项目中，由于其中涉及不同国家的商业实体，这些项目需要获得多个甚至数十个国家反垄断法机关的审批通过。例如，发生在2014年的全球最大航运业联合：丹麦马士基集团、地中海航运公司与法国达飞海运集团P3联盟计划，在完成了多国反垄断机构审批后，因未能获得中國反垄断机构审批而终告失败。

在网络安全领域，涉外管辖权冲突问题远比反垄断领域冲突问题尖锐。

首先，网络安全法律涉外管辖权的行使标志着网络数据信息的控制权。诚如前文所述，当美国行政部门依据CLOUD法案的长臂管辖原则行使信息调取权利，在理论上可以掌握管辖范围内所有互联网服务平台上的境内外数据信息，管辖权直接转化为数据控制权。而在数据信息时代，数据控制权已经实际成为了一国主权的重要组成部分。当发生管辖权冲突，其必将引发政治、外交、经济连锁反应。

其次，网络安全法律涉外管辖权冲突是排他性冲突，无法自然调和。由于网络安全法律的特殊性原因，涉外管辖权的行使必然是非此即彼的，不存在两国机关同时针对同一事项行使管辖权的情况，这与竞争法领域中的公法冲突存在显著区别。

综上，涉外管辖权冲突作为一种公法冲突，需要采取外部机制进行调和。

4.2 涉外管辖权冲突的国际协调

涉外管辖权冲突在国际法层面上可以利用硬性或软性的国际法工具进行软化，以实现国际协调。硬性工具指国际条约，软性工具指国际惯例及一般法律原则。

以缔结国际公约、区域性公约或双边条约的形式进行涉外管辖权冲突调和的优势在于其稳定性，但前文已提及，当前缔结国际条约实现网络安全法律协作的难度很大，应当首先考虑双边条约领域的尝试。2016年美欧签署双边条约《欧美隐私盾协议》（EU-U.S. Privacy Shield）以结束早前因废除《安全港协议》（Safe Harbor）后双方没有数据跨境流通双边协议的状态。通过该项条约，美欧之间的个人数据得以跨大西洋流通，同时欧洲得以要求美国相关数据控制者及处理者承担更为严格的数据保护义务。

在没有硬性国际法条约的前提下，各国可以依据互惠原则（Principle of Reciprocity）解决涉外管辖权冲突的问题。互惠原则源于国际私法中的国际礼让原则（Principle of Comity），即一国给予另一国权力让步，另一国也应当相应给与礼让。互惠原则需要经过长期反复实践才能够成为国际法渊源中的国际惯例或一般法律原则，在当下的网络安全国际法领域，尚不能说有已形成的国际惯例或一般法律原则，因此双边互惠关系的形成尚待时日。

事实上，无论是双边条约还是互惠关系，都只能解决双边层面的涉外管辖权冲突协调问题。在互联网领域，涉外管辖权冲突往往是复边的甚至是多边的，最终仍然需要国际条约或国际组织规范进行有效的多边协调。

5 中国网络安全法涉外管辖条款完善建议

2016年11月，《中华人民共和国网络安全法》正式通过，次年6月起施行。《中华人民共和国网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律，是我国网络空间法治建设的重要里程碑。其第2条规定：在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。尽管实现了立法突破，但是在涉外管辖权问题上，仍然存在一定的完善空间。

5.1 细化网络空间主权原则的管辖依据

网络空间主权是中国政府向全世界发出的共同构建网络空间命运共同体倡议的一部分，网络空间主权原则首次写入立法是在《中华人民共和国国家安全法》《网络安全法》第1条以立法形式再次重申了网络空间主权的概念。

区别于欧盟GDPR的扩张式立法和美国CLOUD法案的长臂管辖，我国《网络安全法》并未具体扩张解释涉外管辖权的具体内容，而是使用网络空间主权进行原则性宣示。根据国际法基本理论，主权内容包括对内最高权和对外平等权，网络空间主权原则的确立也说明了中国在网络安全法律领域不追求扩张式域外管辖。

为了实现上述立法目的，应当在《网络安全法》中进一步细化网络空间主权原则的具体内容，可以尝试对外国法律的扩张适用进行负面排除，以确保对内最高权的妥善实施。

5.2 加强以数据跨境为控制点

鉴于《网络安全法》的涉外管辖并未采取扩张适用原则，因此为确保法律实施，应当进一步以数据跨境为主要控制点，规范数据跨境传输、存储、处理等行为。

《网络安全法》第37条及第50条分别规定了数据出入境的控制规则。然而，并没有进一步细化实施规则。在《网络安全法》实施与完善过程中，应当明确细化数据跨境控制的关键原则，避免政策阙如。

此外，关于违规跨境的处罚仅在第66条规定违反第37条之规定最高50万元人民币的罚款。相对GDPR动辄数千万欧元的违规处罚，我国《网络安全法》的处罚上限有待商榷。

6 结束语

网络安全法律涉外管辖权问题，首先是立法问题，其次是法律实施问题，在明确管辖权原则的基础上准确制定和完善相关法律法规，有利于实现网络安全法律的立法目的，也有利于相关法律的有效实施。

参考文献

[1] 丁伟.国际私法学（第三版）[M].上海：上海人民出版社，2013.

[2] 王虎华.国际公法学（第四版）[M].北京：北京大学出版社，2015.

[3] 邵国松.国家安全视野下的网络治理体系构建[J].南京社会科学，2018（4）：100-107.

[4] 胡天雄.网络空间主权与网络空间国际秩序构建研究[D].华东政法大学，2018.

[5] 胡丽，齐爱民，何金海.国家网络空间主权战略（学者建议稿）[J].河北法学，2018，36（6）：80-88.

[6] 韩冰.法制保障机制是落实网络主权的重要举措[J].中国信息安全，2018（11）：76-78.

[7] 杨嵘均.论网络空间治理国际合作面临的难题及其应对策略[J].南京工业大学学报（社会科学版），2014，13（4）：78-90.

[8] 崔文波.芻议网络空间主权[J].江南社会学院学报，2017，19（1）：7-13.

[9] 张新宝，许可.网络空间主权的治理模式及其制度构建[J].中国社会科学，2016（8）：139-158+207-208.

[10] 沈逸.全球网络空间治理原则之争与中国的战略选择[J].外交评论（外交学院学报），2015，32（2）：65-79.

[11] 李传军.网络空间全球治理的秩序变迁与模式构建[J].武汉科技大学学报（社会科学版），2019，21（1）：20-25.