·主题研讨·


内容摘要：数字时代的到来令数据的跨境流动成为常态，也便利了一些国家依托数据服务提供者对他国进行长臂执法。我国坚持数据主权并着力维护数据安全，必须采取法律手段强化数据出境管制，从而有效应对外来长臂执法。为此，我国已出台包括《数据安全法》在内的一系列法律法规来建构数据出境管制规则。外国执法机构虽然会对此进行一定关注，但绝不会全盘接受，而是已经表现出采取“平衡测试”方案来适应其执法需求的明显态势。我国需要立足数据出境管制的“两位一体”结构，协调司法主权与数据主权的关系，以数据的分类分级保护制度为依据完善相关规则。具体而言，需要在强化国家核心数据和特定重要数据保护的基础上分化出可以自由流动的数据类型，从而尽可能避免法律冲突，以此缓解长臂执法带来的压力。此外，在回应外国法中“平衡测试”方案的同时，可以视情况予以对等反制，从而于数据层面对长臂执法进行有效制衡。
关键词：长臂执法；电子数据；出境管制；平衡测试；数据分类分级保护
中图分类号：D924.3　　文献标识码：A　　文章编号：1004-9428（2022）05-0041-17
一、问题的提出
　　数字时代的到来令数据冲破了传统意义上的国家疆界，跨境流动已经成为常态。特别是随着云计算、区块链等技术的飞速发展，越来越多的网络或数据服务提供者大范围地占有或掌控分布于全球各地的海量数据。在此背景下，一些国家近年来依托这些服务提供者，以长臂执法的方式调取存储于境外的数据，从而避开了冗长复杂的司法协助程序。
　　所谓长臂执法，乃是从美国民事诉讼中的长臂管辖（long-arm jurisdiction）发展而来，是指“当非法院地居民与法院地间存在某种限度的联系，同时原告提起的诉讼又产生于这种联系时，法院对于被告所主张的管辖权”。在实践中，美国法院多是根据长臂管辖权理论对网络案件行使管辖权。〔1〕此后，长臂执法逐步扩展到美国跨越国境对其他国家的执法活动。〔2〕由于依托服务提供者跨境获取数据在一定程度上造成了对第三国数据主权的负面影响，〔3〕这引发了全球范围的广泛关注和争议。
　　我国坚持强调网络犯罪虽然没有国界，但国家主权则有疆界。依托服务提供者跨境调取电子数据必须尊重证据所在地的国家主权，不能仅因国际司法协助和执法合作取证效率低下便对其简单予以否定。为此，我国近年来出台了一系列法律法规，通过对数据出境进行严格管制的方式来应对长臂执法的巨大威胁。例如，2021年9月1日起施行的《数据安全法》第36条规定：“非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”在此基础上，根据该法第48条第2款的规定，相关主体未经主管机关批准向外国司法或者执法机构提供数据的，将遭到警告、罚款、责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等处罚。
　　然而，以上述条款为代表的数据出境管制规则到底是否能够有效应对外来长臂执法的负面影响？面对长臂执法与我国数据出境管制所呈现出来的法律冲突，我国应当如何继续完善对于数据出境的管制规定？这些问题不仅涉及到国家主权的维护与国家对数据资源的有效管控，而且还关系到数据服务提供者是否能够有效做到跨境合规运营，以及相关数据所有者、使用者的合法权益是否能够得到妥善保护，因此有必要深入加以研究。本文首先对我国于数据层面面临的长臂执法的突出表现及近年来对数据进行出境管制的法律法规进行梳理和解读，然后就外国法〔4〕关于我国数据出境管制的基本态度与处理方案进行分析，最后立足《数据安全法》等相关法律法规，对我国数据出境管制的未来发展提供学理建议。
二、我国于数据层面面临长臂执法的突出表现
　　在执法过程中通过特定主体获取存储于境外的数据，并不是一个新鲜事物。近年来，许多国家都在考虑或者已经着手通过跨境运营的服务提供者收集存储于境外的数据。由于美国和欧盟在这方面的立法和司法实践表现得较为突出，因此本部分将主要从这两个区域的情况出发，举例分析我国近期于数据层面面临长臂执法的紧迫形势。
（一）美国“丰业银行传票”及《云法》的适用
　　1.“丰业银行传票”对中资银行的适用
　　所谓的“丰业银行传票”（Bank of Nova Scotia Subpoena），系美国判例法体系的产物。1981年，美国联邦大陪审团在一起涉税和麻醉药品案件中，向在其境内经营的加拿大籍的丰业银行发出传票，要求后者提供特定客户在加拿大总行和巴拿马分支机构的账户信息和交易记录。丰业银行拒绝执行，然而却被裁决为蔑视法庭的违法行为。〔5〕
　　近年来，我国银行业也频繁受到“丰业银行传票”的影响。招商银行、交通银行、浦发银行受美国法院长臂执法的案件（下文简称“中资银行案”）更是受到了广泛关注。2017年12月，美国执法机构在一起案件中对香港某公司开展调查，持传票要求三家银行提供该公司的账户交易记录。对此，三家银行均主张，该传票应当通过两国的刑事司法协助程序执行。2019年4月和8月，美国联邦法院系统的一审和二审均裁定，支持传票的强制执行。〔6〕
　　此案在我国国内引发了强烈反响。中国银行业协会首席法律顾问卜祥瑞表示：“上述事件属于美国典型的对中资银行行使长臂管辖权，中资银行依法不应履行美国法院判决。”〔7〕理由在于，美国法院的做法明显违反商业银行法、民事诉讼法、国际刑事司法协助法等一系列中国法律的相关规定。不过，拒绝执行美国法院的裁决，必然会令中资银行在开展跨境业务时面临巨大的合规压力。如何在跨境合规运营的同时又能遵守我国的数据出境管制规定，这是摆在中国银行业面前的一道难题。
　　2.美国《云法》〔8〕对中资云服务提供者的适用
　　与“丰业银行传票”作为判例法上的规则仅适用于银行不同，2018年3月23日生效的《云法》则是以制定法的形式，在跨境数据执法方面的适用范围上明显扩大。该法对云服务提供者应当遵守的数据披露〔9〕义务进行了详细的规定。所谓的数据乃是云服务提供者拥有、监管或控制的范围内应当保存、备份或披露的有线通讯或电子通讯的内容，以及与用户或信息订阅者有关的所有记录及其他信息。只要美国执法机构根据法定程序向在其境内设有云服务分支机构或向用户提供云服务的主体发出了数据披露指令，后者除了特定情况以外，必须予以披露，而不论相应的电子数据是否位于美国境内。
　　根据其他国家是否与美国签署有专门的行政协议，《云法》在跨境数据执法方面表现出了不同的思路。如果存在这样的协议，美国执法机构通过其境内的云服务提供者获取存储于相应国家的数据，在法律上自然没有障碍。然而即使没有这样的协议，实际上也不影响美国执法机构依据该法规定而获得存储于境外的数据。就此而论，无论中国与美国是否签署这样的行政协议，中资云服务提供者只要在美国境内运营，或者只是向美国境内远程提供云服务，其存储于中国境内的数据都可能在个案中遭受美国相关部门的长臂执法。〔10〕
（二）欧盟主导的法律及法律草案的影响
　　1.《布达佩斯公约》第二附加议定书对中国的预期影响
　　欧洲理事会于2001年制定的《布达佩斯公约》（以下简称《布约》）第18条规定了一种名为“提供令”（Production order）的制度。缔约国执法机构在调整其自身国内法的情况下，可以根据其中“1b”部分的规定，要求其境内的服务提供者提交其所占有或控制的“订户信息”（subscriber information）。然而在实践中，服务提供者通常只有在符合本国法律规定和公司政策的情况下，才会予以执行。因此，不同的服务运营者在处理数据披露请求的时候，在确定性、透明度、责任性、可持续性方面都表现出了显著的差异。〔11〕由于中国未加入《布约》，因此在过去的20年间，上述“提供令”实际上对中国境内的数据安全影响不大。
　　在此背景下，《布约》的官方委员会于2017年9月启动了第二项附加议定书的谈判，目标之一就是要对强制服务提供者跨境披露相关数据的机制做出针对性的安排。2021年11月17日，该附加议定书获得欧洲理事会部长委员会（Committee of Ministers of the Council of Europe）采纳，并于2022年5月开启缔约国的签署程序。议定书最为重要的内容，就是授权缔约国的侦查机关根据差异化的程序要求，直接指令位于另一缔约国境内的云服务提供者披露“订户信息”（subscriber information）以及“域名注册信息”（domain name registration）。〔12〕在此背景下，我国在相应缔约国境内的网络或数据服务提供者未来就可能会因被强制要求披露某些数据而遭受影响。这样一来，我国在对境内存储的数据享有管辖权的同时，也将同时面临《布约》缔约国以跨境数据披露的方式单边获取。〔13〕
　　2.欧盟《电子证据条例》未来对中国的跨境适用
　　2018年4月17日，欧盟委员会发布了《电子证据条例（草案）》（Electronic Evidence Regulation），计划在刑事程序中建立具有强制执行效力的“欧洲数据提交令”（European Production Order）和“欧洲数据保存令”（European Preservation Order）制度。根据这两项制度，成员国的执法或司法当局可直接指令欧盟境内的服务提供者或设有代表机构的服务提供者提交或保存电子数据，而不用考虑相应数据是否存储于欧盟境内。
　　根据“欧洲数据提交令”，为了保证该程序快捷开展，执法或司法当局可以要求服务提供者必须在10天之内做出响应；而在紧急情况下，后者在6小时内就必须做出响应。此外还需要注意的是，服务提供者需要提交或保存的数据范围相较过往的法律规定明显扩大，不仅包括订户数据（subscriber data）、访问数据（access data）、交易数据（transactional data）等非内容数据，而且还扩展到了内容数据。〔14〕这两项制度一旦通过全新的立法加以确立，无疑将实质性地改变当前来自于服务运营者的自愿合作形式，从而令欧盟成员国的跨境数据披露制度转向明显的强制性。〔15〕
三、我国针对长臂执法的数据出境管制的规范解读
　　面对绕开司法协助渠道的长臂执法，我国近年来密集出台相关法律法规及草案，对包括电子数据在内的证据的出境做出了针对性的制度应对。除此之外，有关数据出境管制的一些专门性规定也可以适用于长臂执法的应对，本部分将一并予以分析。
（一）我国关于数据出境管制的规则类型与内容
　　除了开篇提到的《数据安全法》第36条关于数据出境管制的规定而外，我国近年来还在相关领域出台了一系列的法律法规及征求意见稿。从适用范围的角度来看，相关规则可以划分为三种类型：
　　其一，适用于特定行业的概括性数据出境管制规则。例如，2011年5月1日施行的《中国人民银行关于银行业金融机构做好个人金融信息保护工作有关问题的通知》第6条规定，“除法律法规及中国人民银行另有规定外，银行业金融机构不得向境外提供境内个人金融信息。”又如，工信部于2021年9月30日发布的《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》第24条指出，工业和电信数据处理者在中华人民共和国境内收集和产生的重要数据“确需向境外提供的，应当依法依规进行数据出境安全评估，在确保安全的前提下进行数据出境，并加强对数据出境后的跟踪掌握”。由于并未指明对个人金融信息、工信领域重要数据进行出境管制的具体原因，因此这些规定可以称之为概括性的数据出境管制规则，适用范围很大。
　　其二，专门指向开展跨境业务的数据出境管制规则。例如，2017年6月1日施行的《网络安全法》第37条和2021年10月1日施行的《汽车数据安全管理若干规定（试行》第11条，均规定了关键信息基础设施的运营者、汽车数据处理者“因业务需要”而“向境外提供”数据的内容。以后者为例，其规定，“重要数据应当依法在境内存储，因业务需要确需向境外提供的，应当通过国家网信部门会同国务院有关部门组织的安全评估”。与上一类规则不同，这类规则考虑到了关键信息基础设施的运营者、汽车数据处理者因越来越多开展跨境业务而可能频繁向境外提供或转移数据的情况，具有明显的针对性。
　　其三，明确用于抵制跨境执法及司法活动的数据出境管制规则。2018年10月26日施行的《国际刑事司法协助法》聚焦于刑事诉讼活动，对外国绕避刑事司法协助程序进行刑事取证的情况进行了坚决抵制。第4条规定：“中华人民共和国境内的机构、组织和个人不得向外国提供证据材料和本法规定的协助。”由于该规定指向所有的“证据”，因而也包含对数据出境的管制。此外，《数据安全法》第36条和《个人信息保护法》第41条也明确指向来自境外的长臂执法和司法活动，禁止境内的组织、个人和个人信息处理者在非经主管机关批准的情况下向外国司法或者执法机构提供存储于我国境内的数据或个人信息，只是并未仅仅局限于刑事诉讼。
　　综上，我国从多个方面对数据出境的管制进行了规范。首先，境内多种类型的主体受到约束。这些主体包括银行业金融机构、关键信息基础设施的运营者、境内的组织和个人、汽车数据处理者、个人信息处理者，等等。随着相关法律法规的持续完善，受到调整的主体的范围大概率还会继续扩大。其次，不得向境外提供的数据类型多样。除了部分法律法规中的一般性规定而外，相关数据还涵盖个人金融信息、汽车数据处理者掌握的特定行业的重要数据。最后，多种类型的数据出境管制规则均可用于抵制长臂执法。部分法律法规虽然只是概括性地禁止相关主体向境外提供数据，但是也可以用于对长臂执法的抵制。除此之外，《国际刑事司法协助法》等法律则是非常鲜明地指向了外国开展的执法和司法活动。
（二）关于我国数据出境管制规则的综合评析
　　1.从生成背景来看，数据出境管制的规则设计存在差异性极大的意图
　　从上述适用于特定行业的概括性数据出境管制规则和指向开展跨境业务的数据出境管制规则来看，制定这些规则的目的显然是为了维护金融安全、数据安全。与此相对的是，从本文的研究主题来看，部分规则则具有非常明显的抗衡长臂执法的意图。例如，从《国际刑事司法协助法》第4条规定的立法背景来看，实践中，“有外国司法、执法机关未经我国主管机关准许调取我国境内证据材料，或者要求我国境内的机构、组织和个人提供相关协助，损害我国司法主权和有关机构、组织和个人的合法权益的情况。这实际上是外国滥用所谓的‘长臂管辖权’，将其司法权凌驾于我国的司法主权之上。”〔16〕
　　因此，从部分规则的生成背景可以反映出，我国对包括数据在内的证据材料的出境进行管制的规则很大程度上就是在面临长臂执法威胁的背景下产生的。在对跨境执法调取数据的利益进行考量时，我国在国家主权、安全和发展利益的平衡之上，在回应或对抗的过程中更多地是遵循“防守”策略，考虑国家主权和安全利益。〔17〕
　　而从相关法律法规的内容发展来看，我国对数据出境进行的管制越发严格，反映出对长臂执法越发强硬的抵制姿态。例如，《个人信息保护法》第41条要求，境外的司法或者执法机构要求提供存储于中华人民共和国境内的个人信息的，非经中华人民共和国主管机关批准，“不得提供”。而对比之后就可以发现，该法一审稿第41条虽然也说明相关活动“应当依法申报有关主管部门批准”，但是缺少了“不得提供”之表述，〔18〕从而反映出最终的法律文本对长臂执法调取我国境内个人信息的态度趋于更加强硬。
　　2.从具体内容来看，数据出境管制的具体规则设计尚有待细化和明确
　　一方面，对外国所调取数据的出境是否需要主管机关批准，并未保持一致。这个问题的实质在于，面对长臂执法，我国对数据的出境到底是绝对禁止的，还是具有一定的灵活性，实际上还存在着疑问。例如，从《国际刑事司法协助法》第4条的表述来看，实际上可以理解为绝对禁止我国境内的相关主体向外国刑事执法及司法机关跨境提供数据。从国务委员兼外长王毅于2020年9月8日在北京举行的“抓住数字机遇，共谋合作发展”国际研讨会上提出的《全球数据安全倡议》来看，也可以认为官方也持相应的态度。具体而言，“各国应尊重他国主权、司法管辖权和对数据的安全管理权，未经他国法律允许不得直接向企业或个人调取位于他国的数据。各国如因打击犯罪等执法需要跨境调取数据，应通过司法协助渠道或其他相关多双边协议解决。国家间缔结跨境调取数据双边协议，不得侵犯第三国司法主权和数据安全。”〔19〕据此，在没有强调是否需要主管机关批准的情况下，我国境内的有关组织、个人并不能在双边或多边渠道之外向境外执法或司法机关提供任何数据。
　　然而，《数据安全法》第36条的类似规定则出现了松动，未再绝对禁止有关组织、个人向境外执法机构提供相应数据，而是强调要“经过主管机关批准”。《网络安全法》第37条由于强调关键信息基础设施的运营者因业务需要，确需向境外提供数据的，应当“按照国家网信部门会同国务院有关部门制定的办法进行安全评估”，这实际上也没有绝对禁止在面临长臂执法等情形时相关数据的出境，而是需要进行具体问题具体分析。
　　另一方面，出境管制的到底是全部数据还是部分数据，仍需要厘清。以《国际刑事司法协助法》第4条为例，我国境内的机构、组织和个人不得向外国提供包括数据在内的证据材料。由于没有对数据类型进行任何区分，这便可以理解为该法禁止相关主体在刑事诉讼中私自向境外提供所有的数据。
　　与此相对的是，上述部分法律法规却对出境管制的数据进行了区分。以《网络安全法》第37条为例，关键信息基础设施的运营者向境外提供重要数据时必须经受管制。换言之，出境管制只是针对重要数据，而非全部数据。再以《个人信息保护法》为例，全国人大宪法和法律委员会经研究，在立法过程中便注意到，“按照我国缔结或者参加的经贸合作等国际条约，可以向境外提供个人信息，草案中应当考虑规定这种情形”。〔20〕由于该法第41条强调可以“按照平等互惠原则，处理外国司法或者执法机构关于提供存储于境内个人信息的请求”，这也可以理解为没有绝对禁止所有个人信息的出境。
　　3.从实施效果来看，国家数据安全的维护与国际法上的冲突有待消解
　　如果严格执行上述数据出境管制规则，无疑会引发一个无法回避的问题，那就是中国法和授权执行跨境数据调取的外国法会处于直接冲突的状态，而且这种情况必定会在个案中越来越多地表现出来。这种局面反映出来的本质问题在于，各国基于自身主权和安全利益考虑而对数据资源的争夺会愈演愈烈，对数据的管辖权的主张和抗衡会趋于常态化。
　　在此背景下，处于国际法律冲突状态下的数据服务提供者必然会处于十分困难的境地。如果听命于某些国家长臂执法的指令，就很可能会违反我国的数据出境管制规则；如果遵循数据出境管制规则，则会相应地违反开展长臂执法的国家的法律规定。对于我国在境外开展运营的大量网络及数据服务提供者而言，也必然会于未来在个案中频繁地处于中国法和外国法冲突的困境之中。对此，如何保障相关服务提供者的合法权益，并且对其开展涉外数据服务提供针对性的合规指引，上述法律法规实际上还没有给予特别的关照。