数据领域中长臂管辖对中国的影响及应对

朱鸿宇

【摘要】欧盟的《通用数据保护条例》的生效在世界范围内产生了巨大的影响，在数据领域中确立的长臂管辖的规则受到了广泛的研究和讨论。而当我国在受到长臂管辖的影响时，我们也必须作出相应的应对措施。在国家层面，我们可以通过立法进行反制，阻断长臂管辖对于我国数据管辖权的侵犯，同时我们可以还学习借鉴西方立法思路，抢占全球数据领域规则制定的话语权;在企业层面，要更加注重对相关法律规则的学习，根据自身实际情况选择合适的合规路径，从而避免因违反相应规定而受到的处罚。

【关键词】长臂管辖 通用数据保护条例 数据保护

引言

随着科技的进步与发展，当今社会已经进入了数据时代，数据逐渐成为了驱动经济发展的核心资源之一。但是，由于网络社会中国家与国家之间的边界存在一定的模糊性，数据的跨境流动难以受到有效的规制;基于这种现实情形，各国之间在数据主权的领域展开了博弈。对于数据及其权利的归属问题学术界目前有两种观点，分别为“数据主权论”与“数据自由论”[1]，其在现实中主要表现为在数据领域内所实施的长臂管辖。“数据自由论”的初衷是为了是网络空间能够摆脱现实空间中的原有秩序，但是在实践中，这一理论反而被一些国家利用，以数据自由的名义通过立法的方式构建出长臂管辖的制度，对他国的数据管辖权进行了侵犯。

基于这一现实问题，本文将以欧盟出台的《通用数据保护条例》（General Data Protection Regulation，下文简称“GDPR”）中的规定去探讨长臂管辖对中国的影响以及中国应如何应对他国的长臂管辖权。

一、GDPR中的长臂管辖权

（一）GDPR内容介绍

欧洲议会在2016年4月27日通过了GDPR，并于2018年5月25日正式生效，从而正式取代了1995年颁布实施的《数据保护指令》（下文简称《指令》），虽然两部规则是继承与被继承的关系，但是二者在管辖原则上却有着明显的变化，在《指令》中适用的是传统的属地管辖原则[2]，即只有在欧盟设立了机构或者通过欧盟境内的设备处理数据的企业会受到欧盟的管辖，这一种规则将欧盟的管辖权限制在了其境内，因而可以将其理解为属地管辖原则;而在GDPR确立的“效果原则”（又称“影响主义原则”）将欧盟的管辖权扩张到了域外;依照这个原则，只要是向欧盟境内的数据主体提供了商品服务时处理个人数据或监控欧盟境内的行为所搜集到的信息都要受到欧盟的管辖[3]，这也导致了GDPR成为了实质意义上的“世界性法律”。

GDPR所保护的是欧盟境内居民的个人数据权，在欧洲人们将这种权利视为是人权的一部分，是一项关乎个人尊严与隐私的重要权利，其法理基础来源于《欧洲人权公约》的第八条第一款中“人人有权享有使自己的私人和家庭生活、家庭和通信得到尊重的权利[2]。”因此，欧洲人对个人数据的理解也是将其人格属性放在了首位。

尽管是建立在保護人权的基础之上，GDPR本质上仍是一部针对欧盟自身的区域性立法，其对长臂管辖权的实施必然会侵犯到他国的数据主权以及他国公民与企业正当权益。从中国的角度来看，主权是始终要高于人权的，对人权的保护并不足以支撑欧盟实施侵害他国数据主权的行为，因此，GDPR中依托人权所建立的长臂管辖制度实际上是不足以支撑对于数据实施域外管辖权的。

（二）对于欧洲数据领域长臂管辖权的评价

GDPR法案的实施使得欧盟在数据领域的管辖权扩张的趋势愈发明显。欧盟GDPR以欧盟境内居民的利益保障为核心，限制他国企业跨境获取欧盟的数据，但是却对自身获取他国境内数据不设限。

二、数据领域中长臂管辖对中国的影响

长臂管辖行为本质上是一种单方行为，这一性质使得欧盟在确立与适用这项权利的时候主要是从自身的利益出发，因而其可能会忽视其他国家的利益，从而对其他国家在多方面造成不良影响。

（一）国家层面

由于文化与经济发展水平的差异，各国间的立法也是各不相同。在我国2017年颁布实施的《网络安全法》中的第37条中规定了重要信息基础设施的运营者在我国境内运营中收集和产生的数据应当在我国的境内存储，如果有相关业务需求，必须向境外提供的，应当按照相关的规定进行安全评估之后才能进行提供。由此我们可知，我国在数据管辖方面所持的是“数据主权论”，在此基础上实施“存储地标准”对我国的数据进行控制。

在中国除了《网络安全法》以外，有关数据的立法几乎仍是空白，而在《网络安全法》中对于如何让应对外国长臂管辖行为也没有具体规定，这也就导致在面对欧美的长臂管辖之时我们无法找到有效的法律途径对这种行为去进行回应。

（二）企业层面

在GDPR中，正文条款有99条之多，再加上序言中带有释法意义的173个条款，其所规范的行为主事项庞杂丰富，此外它还包括很多其他区域立法没有的具有开创性和实验性的条款，这给我国企业提出了一个巨大的合规难题。在给企业设立了严格的义务要求的同时，GDOR中对于违规企业还设立了高额的罚款，在GDOR二点第85条中规定，针对一般违反行为处罚1000万欧元或者企业全球营业额的2%（二者取高者）;性质严重的，处罚2000万欧元或者企业全球年营业额的4%（二者取高者）。据不完全统计，截止至2019年9月24日，有22国的数据保护机构对87起案件一共做出了373，650，857 欧元的行政处罚决定，其中最大罚单超过了2亿欧元，时至今日，这一态势并未缓和，其处罚力度反而明显加大。在面对如此骇人的处罚力度，我国企业不得不实施相应措施去避免巨额罚单。

三、面对长臂管辖中国的应对措施

（一）切断长臂管辖，进行阻断立法

长臂管辖权可以视为一种单边措施，而国际规则之中对于单边措施并没有进行太多的规定，而在现有的规则体系之下，一国是可以对本国领土外的行为行使管辖权的，除非有国际法规则对这种行为进行明确的禁止。因为世界各国的在文化、价值观、发展水平的巨大差异，因此现阶段想要建立起一套完整的国际体系也是十分困难的，在这种情形之下，利用国内法对域外行使管辖权的行为进行规制就尤为重要。

（二）学习欧美立法经验，完善我国数据立法

中国早期对数据流动、网络空间以及数据主权的认识不足，沒有形成系统的数据主权战略方案，现如今在有关数据的上层立法仍只有《网络安全法》一部，在个人数据保护上的立法更仍是空白。在当今的时代背景之下，国家网络安全与个人数据的保护的休戚相关，拥有同等重要的地位，因而有关个人数据保护的《个人信息保护法》的订立也是迫在眉睫。在欧美这些互联网技术发展较早较成熟的地区，对于数据保护的立法已是十分的完善，因此我们可以从他们的立法经验中适当借鉴学习，来完善我国的数据立法。这里说的借鉴学习并不代表着全盘照搬，还要结合我国的实际情况进行综合考量，最终制定出适合中国的数据保护法。比如在GDPR中对于被遗忘权的规定就明显不符合我国的社会秩序。被遗忘权赋予了个人删除自己信息数据的权利，这种权利过分主张了数据主体对于自己数据得控制权，若直接将其移至到中国，会导致我国一些公共政策的难以得到有效的贯彻实施。因此，在学习他国经验的同时，更重要的是要基于我国的实际情况。

我国的立法不仅要注重国内的数据保护，对于外国数据的管辖也同样重要。从欧盟的立法来看，长臂管辖已经是一种世界性的趋势，欧盟的GDPR基于自身市场优势实施“效果原则”对域外的数据实施管辖。对于我国而言，我国的互联网公司在外国市场上有着不错的发展前景;在市场方面我国拥有着庞大的体量;因而，综合来看我国可以在继续实施“数据本地化”的基础之上，适用“效果原则”与“控制地标准”从而达到对我国数据管辖权扩张的目的，据此使得我国执法机关、司法机关获得长臂管辖权，从而能更加全面的维护我国的数据利益。

（三）加强法规研习，促进企业合规

在欧盟的GDPR中对于外国企业获取数据、使用数据的行为进行了严格的立法管制，稍有不慎就会违反规则，同时GDPR中的惩罚措施也是十分的严格，违规的成本高昂。所以我国的企业要加强对于国外法规的学习，完善自身的行为，避免因违规而遭受处罚。

对于大型的跨国企业如华为、字节跳动等企业，自然不可能放弃欧盟这般庞大的市场，所以对于这些企业而言，需要设立专门的合规部门，在企业内部作出有关于数据问题的决策时，部门对决策可以进行审查，使得企业的决策能够符合外国数据保护法规的规定。对于中小型企业来说，由于在外国市场没有相称的利益，因而也没有必要去单独设立合规部门，对于他们而言，可以直接借鉴大型公司的合规成果或向大型公司购买合规服务，从而避免因违规而造成的更大损失。

四、结语

长臂管辖是当今世界的数据保护立法的趋势，各国也争相通过制定本国法的方式确立长臂管辖，从而抢占国际规则制定的话语权。在这种背景之下，我国企业在面对他国的长臂管辖的影响时，各类型企业要明确自身定位，选择适合自己的合规方案，减少贸易中的纠纷;在国家层面，我们不仅要积极回应，通过阻断立法方式停止外国长臂管辖权对于我国数据管辖的侵害，同时也要完善自身的数据保护体系，以自身市场优势与资源优势建立连接点，构建出我国自己的数据管辖权范围，从而争夺数据领域内的国际话语权。

参考文献：

[1]刘天骄.数据主权与长臂管辖的理论分野与实践冲突[J].环球法律评论，2020，42（02）：180-192.

[2]叶开儒.数据跨境流动规制中的“长臂管辖”——对欧盟GDPR的原旨主义考察[J].法学评论，2020，38（01）：106-117.

[3]陈瑞华.论企业合规的中国化问题[J].法律科学（西北政法大学报），2020，38（03）：34-48.

[4]黄志雄.网络空间国际规则制定的新趋向——基于《塔林手册2.0版》的考察[J].厦门大学学报（哲学社会科学版），2018（01）：1-11.

[5]张继红.个人数据跨境传输限制及其解决方案[J].东方法学，2018（06）：37-48.

[6]董少鹏. 切断“长臂管辖”才能夯实“多边合作”[N]. 中华工商时报，2021-01-18（003）.

[7]周梦迪.美国CLOUD法案：全球数据管辖新“铁幕”[J].国际经济法刊，2021（01）：14-24.

[8]翟志勇.数据主权的兴起及其双重属性[J].中国法律评论，2018（06）：196-202.

参与科研项目名称：大数据时代数据跨境传输中的法律问题研究（省社科基金项目）;项目负责人：贺琼琼 ;项目编号：S202010512033