李元婷 上海對外經貿大學法學院碩士研究生

內容摘要：具有域外效力的內國法律已經從刑事立法延伸至涉外經濟相關立法，並有進一步擴張趨勢。從立法層面看，國內法的域外適用規定與國際法中的管轄規則近乎一致。在數據治理規則中，由于數據大多以電子的形式、依托網絡而存在，網絡空間的無國界性對傳統的國際管轄規則造成巨大挑戰。實踐中，歐盟、美國、亞太各國均擴大其數據治理規則的域外效力，以尋求各自數據規則的域外適用以及國際法層面的數據規制話語權。這一擴張這不可避免地導致了數據治理規則的域外適用的無序與沖突。因此，應當根據國際法規定，在數據立法中兼顧域外適用的謙抑；並在國際法層面進行合作，探索各國數據規則的兼容機制。

一、引言

2019年10月，黨的十九屆四中全會通過的決定指出，要“加強重要領域立法，加快我國法域外適用的法律體系建設，以良法保障善治”。2021年《“十四五”規劃綱要》要求構建“放管並重”的國內數字規則。可見，數據治理規則的域外適用值得重視。相較于國內私法的域外適用問題，數據治理涉及公法和私法兩個法律部門，具有領域法的性質。因此，數據規則的域外適用問題更加複雜。首先，公法涉及國家機關對國內事務的管轄權，是規定國家機關權利義務的法律。將國內公法的效力擴張到一國領域之外，可能侵犯其他國家的主權。其次，公法通常不會被外國法院適用。一國司法或執法機構根據國內公法所作的判決或決定，通常也難以在該國域外執行。再者，公法的域外適用問題與國家管轄權問題難以區分。Christopher教授指出，在數據保護法的語境下，沖突法規則和管轄權規則都服務于同樣的目的，其界限非常相近。實踐中，國內數據保護機構通常會將“法律適用”等同于“管轄”，例如2009年西班牙數據保護機構對其數據法下的法律適用和管轄適用同一規定。基于此，判斷國內公法域外適用是否合法，關鍵在于：1）是否具有國際法上的管轄權基礎；2）該國是否對某一行爲具有不可替代或重要的管轄利益。

然而，考慮到數據信息主要依托信息技術而存在，而信息技術對傳統法律體系中時間和領土空間的突破，使得傳統國際法管轄規則難以直接適用于網絡空間的數據處理行爲，對于判斷國內數據治理規則的域外適用的合法性問題造成阻礙。例如，我國絕大多數法律將適用範圍規定爲“適用于中華人民共和國境內”，即使是個人信息保護法和數據安全法亦區分了“境內”和“境外”的數據或信息處理行爲。那麽，網絡空間中如何定義“境內”？對于這個問題的解釋要考慮兩個層面：第一，如何區分數據處理行爲是否存在于境內；第二，如何判斷數據是否位于境內。對此，各國法律規定不同，學者亦衆說紛纭。

實踐中，歐盟與美國在2018年分別生效的GDPR、CLOUD法案均將其司法或執法的“觸角”伸向別國，意圖擴大本國數據治理規則的域外效力，積極參與並強占國際規則制定的話語權，構造統一保護水平的國際數據保護規則。除此之外，日本、澳大利亞、新加坡等國家亦有通過設置專門的連接點，擴大數據治理規則的域外適用的現象。上述現象造成了不同國家之間法律適用重疊或沖突，亦存在違反國際禮讓原則、侵犯他國數據主權之嫌。1980年經濟合作與發展組織在《隱私保護和個人數據跨界流動指南》在宏觀上規定了個人數據保護的基本原則，但是沒有回答各國數據規則的適用沖突問題血。亞太經濟合作組織在2016年《APEC隱私框架》中僅強調合作，而沒有提出更有建設性的解決方案。此外，國際法上也沒有條約或習慣國際法規則對各國的數據治理規則進行統一協調，僅在各種貿易協定的電子商務部分淺嘗辄止。因此，各國國內數據治理規制的沖突問題以及我國現有數據治理規則的域外效力條款不清晰、對域外適用的謙抑性關注不夠的問題，尚待解決。

二、相關概念界定

（一）數據治理規則的性質

根據2021年《“十四五”規劃綱要》，數據治理規則包括數據保護規則和鼓勵數字經濟發展相關規則，一體兩面。兩項主要規則中即體現了對公權力機關對數據主體的個人信息權的保護、對數據處理者行爲的規範等公法義務，也體現了私人主體間侵犯個人信息權的損害賠償等私法責任。因此，數據治理規則整體屬于領域法。又因爲，私法的域外適用可以通過准據法確定規則解決，文本不對其進行討論。因此，本文僅將數據治理規則視爲國際公法，對其域外適用問題進行討論。

（二）域外適用相關概念辨析

對于國內法域外適用的概念，筆者認爲，國內法域外適用是指“一國權力機構對在本國域外發生的行爲、不具有本國國籍的主體或位于本國域外的客體適用本國法律進行規制”。這一概念中有以下兩點需要關注：首先，“域外”一般指一國領土範圍之外，但是一國對其所管轄的毗連區、專屬經濟區也享有有限的國家主權或管轄權。其次，“域外適用”與“域外效力”和“域外管轄”的區別。

1.域外效力

法的效力是指法律所固有的對其規制對象的約束力；法的適用是指將法律規範適用于具體案件以獲得判決的全過程，包括探尋可以適用的法律、確定法律規範的構成要件和法律效果、將案件事實置于構成要件之下以獲得特定結論的邏輯思維過程。孫南翔指出，法的域外效力是其域外適用的前提商。此外，國內法的域外效力一般體現在具體規則中，例如個人信息保護法第3條關于適用範圍的規定、網絡安全法第75條關于域外違法行爲的法律責任的規定等。而國內法的域外適用則體現在國內法院適用本國法律對域外人、物、行爲進行判決，或本國執法機構適用本國法律對域外違法行爲進行裁決或在域外執行本國法院判決的具體行爲。

2.域外管轄

國際法上的“管轄權”涉及一國對人、財産和行爲進行規範或施加影響的權力，反映了國家主權原則、國家平等原則和不幹涉內政原則。域外管轄既包括一國制訂法律規制域外發生的行爲的權力，又包括一國法院和執法機構對域外行爲適用國內法的權力。因此，根據管轄權行使的方式，可以將其分爲立法管轄權、司法管轄權和執法管轄權。立法管轄權，又稱規範管轄權或立法能力，是指憲法承認的國家機關在其領域內制定具有約束力的法律的至高無上的權力。司法管轄權是指一國法院審理案件、處理爭議的權力。執法管轄是指國家機關通過行政或管理行爲（如執法措施）以適用和執行法律法規的權力這三種管轄權均涉及國內法的域外適用問題，或者說，法律的域外適用就是國內機關通過立法、司法、執法手段行使域外管轄權的過程。

盡管立法、行政、司法機關對相關權利的行使是一項各國國內法律和政治體系的問題，管轄權的域外適用還是會依賴于國際法規則。傳統的國際法管轄規則（或稱“管轄依據”）包括屬人管轄原則、屬地管轄原則、保護原則和普遍管轄原則。屬地管轄原則又延申至“效果學說”，即一國可以對發生在境外但對境內造成影響的行爲主張管轄。

三、中國數據治理規則之域外適用的立法現狀

由于國內數據安全法和個人信息保護法分別于2021年9月和11月生效，數據立法較爲年輕，因而缺乏其域外適用的實踐案例，以下僅對國內數據治理相關立法進行列舉分析。數據規則的域外適用立法包括法律適用條款和對域外行爲或主體進行規制的法律責任條款。以管轄依據進行劃分，可以分爲以下三類規定。

（一）基于屬地原則的域外效力條款

數據安全法第2條和個人信息保護法第3條分別將在我國境內進行的數據、自然人個人信息的處理活動納入適用範圍；網絡安全法第2條規定的適用範圍包括在我國境內建設、運營、維護和使用網絡，以及網絡安全的監督管理活動；電子商務法第2條第1款規定了我國境內的電子商務活動適用該法規定。信息技術使得數據處理者可以遠程操控計算機設備，在我國境內進行數據處理活動。因此，通過屬地原則的確立，使得我國數據治理規則能夠適用于境外數據處理者在境內進行的數據處理活動。問題在于，如何在數據處理常用的網絡空間中確定某一具體的數據處理行爲位于境內還是境外？

（二）基于效果原則的域外效力條款

我國個人信息保護法第3條第規定了在我國境外進行的個人信息處理活動時，適用我國個人信息保護法的條件：第一，以向境內自然人提供産品或者服務爲目的，處理境內自然人的個人信息；第二，通過處理境內自然人的個人信息，分析、評估境內自然人的行爲；第三，法律、行政法規規定的其他處理境內自然人個人信息的行爲。相比于歐盟GDPR第3條的規定，我國個人信息保護法的這一條規定顯然擴張了其適用範圍。目前尚未出台司法解釋對“境內自然人”的概念和“其他情形”的條件進行解釋“境內自然人”是否包含偶然出現在我國境內的自然人，難以確定；“其他情形”應當符合哪些具體條件也難以確定。可見，我國個人信息保護法給予了法院和執法機關極大的自由裁量權。但針對境內自然人的數據處理行爲必然會對我國境內産生一定影響，因此，筆者將其歸納爲基于效果原則的域外效力條款。

（三）基于保護原則的域外效力條款

數據安全法第2條在個人信息保護法第42條和網絡安全法第75條的基礎上進一步擴大了我國數據治理規則的域外適用範圍——不僅對于危害關鍵設施並造成嚴重後果或危害個人信息權益（屬于基本權益）的行爲適用中國法，只要對公民、組織的合法權益造成損害，就適用我國數據安全法。可見，數據安全法給予了立法者極大的立法空間，以立法行爲豐富“合法權益”的範疇，從而具有不斷擴大其域外適用範圍的可能。

然而，只要損害了我國公民、組織合法權益的境外數據處理活動即適用我國法律進行追責，這並不符合保護原則之對“國家主權或其他核心利益”的損害要求，而是對保護原則的擴大。那麽，這一規定是否過度擴張了數據安全法的域外適用範圍，而忽視了相關數據處理活動與我國之間的聯系的真實性、忽略了其他國家對于該活動的管轄利益，亦是值得思考的問題。

四、他國數據治理規則域外適用現象

本文從比較法的角度出發，重點分析歐盟與美國的數據立法，同時對亞洲國家的數據規則進行概括分析，意圖探索各國數據治理規則域外適用的影響。

（一）歐美數據規則域外適用現象

1.歐盟數據規則域外適用現象

歐盟對數據的保護是基于對隱私權的高度重視，歐盟法中的個人數據權利隸屬于個人隱私權。因此，歐盟的數據保護規則起源于1953年歐洲人權公約。1981年個人數據自動處理相關私人保護公約（簡稱“Convention 108”）是第一個對歐盟境外的第三國有約束力的已生效國際法律文件。1995年的數據保護指令第4條規定了域外效力。2018年GDPR進一步擴大了其域外適用範圍，並在對各成員國監管機構的協調方面建立了“合作和一致性”機制。

GDPR第3條規定：“本條例適用于數據控制者或數據處理者設立在歐盟境內的機構進行的個人數據處理行爲，不論該處理行爲是否發生在歐盟境內”。根據《GDPR第3條域外效力指南》（簡稱“《效力指南》”），即使歐盟境內的機構沒有參與某一數據處理行爲，但是對個案的事實分析表明非歐盟數據機構的數據處理行爲與其在歐盟境內設立的機構之間存在“密不可分的聯系”，則歐盟法對該非歐盟機構産生約束力。在S.R.O.案中，法院認爲“機構”是指某一組織通過制定穩定的安排，開展真正有效的活動的地方。那麽，一家外國數據處理公司可以在多個成員國境內設立機構，那麽如何協調各成員國內監管機構對GDPR的實施？GDPR創造性地提出了“合作和一致性”機制，即外國公司在歐盟境內的主要跨境數據處理機構所在國的監管機構作爲牽頭監管機構，對于該機構違反GDPR進行跨境數據處理的行爲享有采取禁止措施、提起國內法院訴訟的權力；其他有關監管部門對跨境數據處理的監管權限通常是基于LSA的授權，而這一授權被視爲“例外情形”。這種“合作和一致性”機制不僅協調了成員國內監管機構的監管沖突，也提高了GDPR爲國際社會接受的可能，從側面提高了GDPR作爲事實上的國際數據保護規則的可能性。

GDPR第3條規定了“靶向標准”的構成要件包括：1）針對的是位于歐盟境內的數據主體，不受數據主體的國籍、居住地和其他法律地位的限制；2）具有針對歐盟進內數據主體的意圖，排除了無意和偶然性的對臨時出現在歐盟境內的數據主體的監控或數據處理行爲；3）控制者的處理目的和方式是否表明其向歐盟的數據主體提供産品或服務的意圖，例如使用歐盟成員國的語言和貨幣；或者4）監控數據主體的行爲，例如通過可穿戴設備在互聯網上對自然人進行追蹤，以及之後的數據處理行爲，包括對自然人偏好的分析和預測。該條款與我國個人信息保護法第3款的區別在于沒有規定兜底條款。正如《效力指南》所規定，並非所有的針對歐盟境內數據主體的數據處理行爲都適用GDPR。因此，雖然GDPR第3條的規定符合效果原則，但是其域外效力範圍小于我國個人信息保護法。但需要承認的是，《效力指南》對GDPR第3條的解釋明確了其域外適用的邊界，便利了企業和監管機構的實際操作，是走在我國個人信息保護法之先的。

GDPR第3條延續了《指令》的規定，即在成員國根據國際公法得以將其國內法適用于非設立在歐盟境內的數據控制者或處理者時，GDPR也適用。

2.美國數據規則域外適用現象

美國沒有頒布綜合性的數據治理法律文件，而是采取一系列政策與分散的立法形式，逐步探索完善數據保護體系。後來，美國數據安全立法重點放在對全球信息流動的監控上。此時，美國當局已經開始試圖通過本國互聯網企業獲取存儲于境外的數據，例如SWIFT案成。微軟案的初審法院也認爲即使數據內容存儲在美國境外，但是微軟作爲在美國設立的數據控制者具有調取數據的權力，因此應當適用1986年存儲通信法（簡稱“SCA法案”）披露相關數據。這一結論在之後被第二巡回法庭駁回，第二巡回法庭認爲：首先，執行令的實施地點是決定SCA法案是否具有域外執法權的重要因素，微軟公司在美國境內的情況不足以替代對數據位置的關注；其次，在缺乏國會明確意願的情況下，聯邦法律僅能夠在國內適用，顯然國會並不打算將SCA法案的執行令進行域外適用，因此，SCA法案主要關注的是發生在美國的行爲。因此，第二巡回法庭認爲“由于執行令的主要內容是獲取存儲于都柏林數據處理中心的記錄，而SCA法案主要關注的行爲是發生在美國境內的，該執行令的執行將具有域外效力”由于沒有經過愛爾蘭政府的同意，因此無法實施該執行令。盡管如此，仍有地方法院同意初審法院的做法，認爲政府對國內互聯網企業發布調取信息的執行令屬于域內執法行爲，無需經數據存儲地國家有關當局的同意即可執行。

可見，判斷美國國內法是否可以域外適用，首先要確定某一法律具有域外效力，此時美國法院會判斷國會是否具有使之域外適用的意圖以及該法律的關注要點是否限于美國境內；其次，判斷該行爲與美國的聯系因素是否“實質”或“重要”以至足以強有力地推翻“反域外性推定”；再者，判斷美國法院在某一具體案件事實中的域外適用是否會觸發某些限制，例如合理性原則、正當程序原則、對他國管轄利益的考慮等。

此外，2018年澄清境外數據合法使用法案（簡稱“CLOUD法案”），將“數據控制者標准”正式納入美國聯邦法律體系。CLOUD法案是對SCA法案的修正，第2713條規定“無論通信、記錄或其他信息是否存儲在美國境內，服務提供者均應當按照本章所規定的義務要求保存、備份、披露通信內容、記錄或其他信息，只要上述通信內容、記錄或其他信息爲該服務提供者所擁有、監管或控制方。”爲了緩解沖突，CLOUD法案規定了企業申請豁免該法案義務的條件：“（1）披露義務會導致服務提供者對適格外國政府相關法律的破壞；（2）基于個案的整體情況、公平正義，該法律程序應當被修正或停止；（3）服務用戶（訂閱者）不是美國居民，並且居住地不在美國；”同時，該法案規定了法院在對國際禮讓要求的分析中應當考慮的七大要件：第一，美國利益，包括政府尋求披露外國數據方面的調查利益；第二，適格外國政府的禁止披露保密數據的利益；第三，不遵守法律義務的服務提供者或其員工的可能受到的處罰、範圍和性質；第四，被調查對象的位置、國籍以及與美國的聯系，或者當該法律程序是代表外國權力機關進行的，被調查對象與該外國的聯系；第五，服務提供者與美國的關聯性；第六，所要求披露的信息對于調查的重要性；第七，及時有效地獲取相關信息的方式造成消極後果的可能性。對于這七個因素，首先，美國利益永遠是美國當局所要考慮的第一大因素；其次，只有“適格外國政府”的利益才會被納入美國法院的禮讓考慮範圍。同時，CLOUD法案僅允許“符合資格的外國政府”在與美國政府簽訂行政協定後，向美國境內的組織直接發出調取數據的命令。對于何爲“適格外國政府”，CLOUD法案規定了一系列嚴格要求，以判斷該外國政府是否提供了對隱私和公民權利足夠的實質和程序上的保護。同時，對于外國政府向美國發布調取數據命令的條件亦十分嚴苛，例如“不得有意地針對“美國人”或位于美國境內的個人，且必須采取滿足該要求的目標鎖定程序”“不得用于限制言論自由”“外國政府應提供數據訪問的相互權利”“外國政府應同意美國政府定期開展的審核”“美國政府保留停止外國政府的某項執行令的權利”等。

CLOUD法案與美國互聯網産業在全球的壟斷地位相輔相成。根據該法案，美國政府有權調取位于世界各地的在美國互聯網企業控制下的數據信息。這在事實上擴大了美國的“網絡數據主權邊界”。而外國政府想要獲取美國境內數據，則需要通過“適格外國政府”等層層限制，並且還需授權美國政府同等的國內數據訪問權，以及受美國政府的定期審核與“隨時開除”的監管壓力。因此，CLOUD法案是美國政府進一步鞏固其在信息網絡領域的域外執行管轄權，也是美國利益第一的體現。

3.亞太國家數據規則域外適用現象

澳大利亞將數據保護納入隱私保護規則，包括1988隱私法、2009年國家消費者信用保護法大綱中的隱私保護原則等，隱私法第5B條規定：“本法適用于機構或小型商業運營者在澳大利亞和其外部領土以外所做的與澳大利亞有聯系的行爲或從事的實踐，但該實踐是爲外國法律所要求的除外……”，采取了屬地兼屬人原則作爲域外適用的基礎。在屬人原則方面，其範圍從澳大利亞公民或“機構設立地標准”擴大到“不受法定時間限制持續留在澳大利亞的人”。此處的法定時間一般于稅法項下的“183天”規則一致。在屬地原則方面，規定境外機構在澳大利亞境內從事商業活動，並且收集或控制個人信息也適用隱私法。此外，APP第8條規定向第三國傳輸或披露來自澳大利亞的個人數據只有在披露機構已經采取合理步驟證明接收方將不會違背隱私保護原則時才被允許；澳大利亞亦接受了對于個人健康信息的數據本地化要求。

日本新修訂的個人信息保護法第75條規定了：“…適用于通過向日本人提供商品或服務而獲取日本人的個人信息的個人信息處理業務經營者在外國處理、使用該等個人信息以做成匿名化信息的場合”。此外，在跨境數據傳輸方面，數據進口國政府應當提供與日本相同水平的保護，以確保該外國能夠采取措施對經營者提供個人數據給予充分的保護。

2017年，新加坡濫用電腦和網絡安全法案（簡稱“CMCA”），采取了效果原則進行域外效力擴張，可以適用于對新加坡造成“嚴重損害”的情形。“嚴重損害”可以包括引起個人的疾病、損傷或死亡，抑或是破壞新加坡境內的基本服務設施，即對新加坡國家安全、政府和機構造成巨大破壞。2018年新加坡網絡安全法第3條規定了基于設備地點的適用範圍，即“本法適用于全部或部分位于新加坡境內的重要信息基礎設施。

（二）他國數據規則域外適用現象的比較與影響

各國數據保護當局有意願對與本國相關的外國實體行使管轄權。各國均對其數據治理規則制訂了或寬或窄的域外效力條款，以期將其域外適用。其中，影響最廣的要屬歐盟的數據保護模式——歐盟GDPR借助域外效力條款、國際條約的簽訂等行爲將其影響擴大到全球範圍，成爲事實上的全球隱私監管者。僅2018年，就有75個非歐盟地區國家頒布了歐盟模式的數據保護法，並且有超過10個國家接受了GDPR的新規則。歐盟委員會還積極鼓勵非洲地區國家加入Convention 108。即使是美國也沒有對歐盟模式完全免疫：在立法方面，加利福尼亞消費者保護法被稱爲“精簡版GDPR”；奧巴馬政府頒布的消費者隱私法案學習歐盟原則等；在司法方面，美國內地法院對被告引用GDPR拒絕披露歐盟國籍人員信息的裁判，說明GDPR對美國具有一定影響。

盡管如此，美國地方法院一般不會輕易認可GDPR。例如在“Ironburg Inventions v. Valve Corp.”案中，法院認爲僅僅是由于被調查對象是歐盟公民和引用GDPR不足以反駁提供保密信息的要求。Mercer亦認爲，美國不能照搬歐盟的數據保護模式，應當基于其國內利益，建立一個新的基于自由的商業友好型數據保護模式。這是基于美國和歐盟對于隱私權的價值基礎和來源的認定不同。歐盟的隱私權價值基礎在于保護公民的個人權利，包括對其個人數據的控制權；美國沒有明確的憲法性隱私權，其隱私權來源于針對某些特殊類型的隱私保護的立法和裁判，如政府入侵，其價值基礎在于保護法人組織的自由權利。這與美國和歐盟的數據産業發展向匹配：歐盟的互聯網産業發展相對落後，市場幾乎被谷歌、臉書等美國企業壟斷。相比于歐盟對數據主體的著重保護，美國更傾向于通過寬泛的隱私解釋保護國內互聯網企業的發展利益和自由。

可見，目前全球並沒有統一的數據保護模式，但各國通過其國內數據規則的域外適用，擴大了自身數據保護模式的全球影響力。然而，各國對于其國內數據規則中確定數據規則具有域外效力的條款之管轄依據各不相同：

歐盟GDPR第3條分別基于“機構設立地標准”和“靶向標准”，通過屬地兼效果原則進行法律域外適用擴張；美國將“數據控制者標准”納入法律體系中，擴大了國內數據監管法律的域外執行管轄範圍；澳大利亞采用屬地兼屬人原則作爲域外適用的管轄依據，並且規定了外國法律沖突例外條款和數據本地化條款；日本采用有限制的效果原則，並規定了與歐盟類似的“同等數據保護水平”作爲數據跨境傳輸的前提；新加坡數據法本身沒有域外效力，但在網絡安全法上采取限于“嚴重危害”標准的效果原則和“設備所在地”管轄標准。

相比較可得，歐盟GDPR的域外效力範圍最爲寬泛。亞太國家雖然都有數據治理方面的確定域外效力的規定，但其數據規則的域外適用場景較窄。在域外執行管轄權方面，美國通過“數據控制者標准”，配合國內互聯網企業的全球壟斷地位，事實上獲得了接近全球範圍內的域外執行管轄權；歐盟GDPR通過“合作和一致性”機制，協調各成員國監管機構之間的監管沖突問題，不僅GDPR的具體實施是有利的，還提高了其爲其他國家所接受的可能性。

五、中外數據治理規則域外適用的沖突協調

各國數據治理規則的域外擴張勢必帶來沖突。爲此，應當根據國際法規定，在數據立法中兼顧域外適用的謙抑；並在國際法層面進行合作，探索各國數據規則的兼容機制。

根據“荷花號”案的法理，在主權國家的管轄權問題上，國際法無禁止即可爲。因此，應當在不違反國際法禁止性原則的邊界內，以國際法許可性原則爲基礎，對我國數據規則中的模糊概念進行法律解釋，使之符合法律的謙抑性。

首先，在互聯網背景下如何定義“境內”？雖然網絡行爲可以定位到任何地方，但是行爲的構成要件並非完全無法定位。因此，可以從網絡行爲的主體、客體、主觀要件、客觀要件四個方面進行解釋。首先，可以根據行爲人的國籍、所處的地理位置進行定位。例如歐盟GDPR第3（1）條的“機構設立地標准”。澳大利亞隱私法中，行爲人可以是澳大利亞公民、澳大利亞境內成立的組織機構或在其境內持續停留183天的個人等。其次，網絡行爲的客體是處理對象，即數據。國際法上，數據的定位有“數據存儲地標准”和“數據控制者標准”，我國的數據立法顯然是采取“數據存儲地標准”再者，主觀要件包括“明知”和“故意”，但網絡活動中，行爲人可能不知道其行爲發生在哪裏，但至少應當知道其行爲的目的是針對哪些國家的數據主體進行的數據處理。主觀要件的證明可以通過行爲人使用的網絡設備所處的地理位置或行爲人所收集的數據的所有人的國籍或地理位置來判斷，例如新加坡網絡安全法中規定的“互聯網基礎設施所在地”標准。最後，客觀要件即行爲人客觀實施了數據處理行爲，這一行爲難以定位，因此，僅以其他三個構成要件進行定位，可以實現國家對網絡空間中發生的數據處理行爲的控制。但是，不論何種標准都會不可避免地使國內數據規則的適用範圍擴張到國外，因此對于具體標准的選取或創新，則需要根據國家實力和國際形勢進行甚至選擇。

對于明顯的“境外”行爲，一國國內數據規則的域外適用往往需要該行爲與該國具有“真實聯系”。我國數據規則將“真實聯系”規定在個人信息保護法第3條、第42條和數據安全法第4條中，具有模糊性和寬泛性，在具體適用中應當加以限制，並關注到以下因素：第一，對外國管轄利益的考量；第二，引入美國法律域外適用體系中的“真實聯系”測試。巴斯庫尼安訴艾爾莎卡案（II）中，法院認爲被告利用國內的郵件或電信促成詐騙計劃，而利用郵件或電信構成了詐騙計劃的核心組成部分，因此，爭議詐騙計劃的核心部分在美國境內，原告主張郵件或電信欺詐的訴訟請求涉及足夠的國內行爲由。除了考察行爲的核心部分是否發生在一國境內，還可以關注行爲人是否存在受本法保護或約束的預期、相關數據規制對于對國際政治、法律或經濟體系的重要性等因素進行綜合判斷。第三，引入“虛假沖突”測試。有時，各國的法律適用沖突體現在司法管轄權的沖突上,而對于國內立法的規定，則沒有太大差別。例如日本、中國和歐盟在跨境數據傳輸上均規定了需要取得數據主體的明確同意，若與某一行爲有實質聯系的幾個國家或地區的數據規則沒有實質上的沖突，那麽，最先采取司法或執法措施進行管制的國家應當享有優先的管轄和法律適用資格。

最後，2017年1月，習近平總書記在瑞士日內瓦萬國宮出席“共商共築人類命運共同體”高級別會議發表了以“共同構建人類命運共同體”爲主旨的演講。數字信息時代的到來使得數字經濟成爲國際經濟領域不可忽視的一部分，對“人類命運共同體”的構建不能也無法忽略數據治理這一話題。因此，可以將“人類命運共同體”與國際法上的數據治理兼容機制相結合，通過與“一帶一路”沿線國家現行簽訂包含數據治理規則的條約，慢慢推動以中國數據治理價值爲核心的全球數據治理模式的構建。

目前，在雙邊自由貿易協定中，僅有中國與澳大利亞、毛裏求斯和韓國的自由貿易協定裏有涉及個人信息或在線數據保護。有學者指出，構建國際數據條約並不是一蹴而就的事情闵。因此，通過國際法協調沖突，除了對兼容機制的探索之外，更重要的是加強與其他國家在數據治理方面的合作，以合作共贏爲促進國內和國際數字經濟發展的主要手段。

六、結論

數據時代，各國越來越重視對于國內數據治理規則的制訂和效力擴張。在數字經濟領域，我國具有先天的大數據發展優勢，國內骨幹企業已經具備自主開發建設和運維大規模大數據平台的能力，國內大數據技術、産業得到長足發展。在此情況下，我國數據立法的模糊性和寬泛性上賦予了司法者或執法者較大的自由裁量權，即有意擴大我國數據規則的域外適用，又意圖阻礙他國數據規則在我國的適用。如此規定勢必會與其他國家的數據規則産生沖突。因此，我國首先應當通過司法解釋明確域外效力條款的範圍邊界，其解釋應當在符合國際法的基礎上，根據我國國家實體和國際形勢的變化作出適合我國的法律適用依據；其次應當與外國數據規則的管轄利益相互協調，注意法律域外適用的謙抑性；最後可以在構建人類命運共同體的過程中探索協調各國數據規則的兼容機制，以合作共贏爲基本手段促進各國數據治理規則在域外適用方面的禮讓與互諒。

來源：《上海法學研究》集刊2022年第3卷（上海對外經貿大學文集）