摘要：由于数据所特有的位置无知性、来源混合性以及第三方占有问题，导致数据跨境执法管辖权的规则配置与以属地主义、属人主义为基础的传统管辖权结构无法有效衔接。当前，发达经济体普遍综合采取单边、双边和多边主义的方法和工具，创设数据域外管辖制度。为解决数据域外不当管辖以及缓和国家间管辖冲突的难题，需要在评价数据域外管辖中引入合理性要求，特别是考察数据与管辖国家之间的关联程度、当事人和第三方对执法行为的可预期性、不管辖产生的严重后果以及不同国家在数据管辖上的利益程度。虽然我国在数据领域建立了初步的域外管辖机制，但仍面临管辖理念滞后、法律实效性不足等问题。为此，应探索建立“适当联系”的数据域外管辖理念，即在符合国际法基本原则和合理性要求的基础上，对域外与我国主权、安全和发展利益密切相关的数据实施主动管辖，以此建构合理正当的、攻防兼备的域外数据管辖机制。针对个别国家侵害我国数据主权的不当行为，我国应探索建立应对数据“长臂管辖”的反制措施，系统性地遏制或削弱对我国数据利益的侵害。

关键词：数据；域外管辖；涉外法治；合理性

一、问题的提出

域外管辖并不是新鲜事物。 [1]早在古希腊时期，国家已开始探索对外管辖的机制。1929年，常设国际法院在“荷花号案”中明确了域外管辖的基本理念，这成为近百年来国家主张域外管辖的主要国际法依据。然而，与域外管辖机制的传统发展脉络不同，网络空间产生了新的生产要素——数据。这一新的人类构造物，在历史长河中前所未见。近年来，数据与国家主权、传统管辖制度的适配性问题，被学界广泛关注。

作为国家主权权力的表现形式，管辖权长期与公民、领土紧密相关，管辖权的本质是国家对管辖对象的控制权力。当前国际法并未对国家实施管辖权的类型进行严格限定，不同国家因此得以主张不同类型的管辖权。虽然管辖权在不同语境下具有多重含义，但是在国际法体系下，该术语一般被认定为是国家在制定、执行和裁决针对人、事物、行为和场所的规范中行使法律权力的能力，可细分为立法管辖、司法管辖和执法管辖。[2] 有观点认为，有必要在“呼吁”（bark）管辖权和“实施”（bite）管辖权之间进行区分。[3]由于立法行动不具有直接执行性，此类“呼吁”管辖权并未对其他国家的主权造成系统性挑战，但执法管辖对此类“实施”管辖权的威胁性更大。执法管辖权通常被定义为“国家有权通过法庭或执行行为、行政行为、警察或其他非司法行为来诱导、规制或强迫相关主体守法，并惩罚违法行为”[4]。域外调查取证、引渡等在内的权力属于执法管辖权的典型类型。在现行国际法框架下，一国的执法管辖权被认为严格限定于其领土范围内。国家在领土之外行使执法管辖权必须符合以下条件：获得执法行为发生地的所在国同意；或者习惯国际法或条约法明确赋予域外国家相应的权力。[5]这意味着国际法原则上不允许国家在外国领土上进行执法，因此拘留在境外的逃犯需要依赖引渡条约，境外取证需要利用司法协助条约。

对数据这一新兴要素而言，其域外执法管辖权的合法性依据国际法原则而确定。作为汇聚全球数十位专家学者共识的产物，《网络行动国际法塔林手册（2.0版）》认为，一国只能在如下情况下对人、物和网络活动行使域外执法管辖权，即要么由国际法赋予特定权力，要么外国政府对在其境内行使管辖权达成有效同意。[6]此外，《网络行动国际法塔林手册（2.0版）》还指出，一国将本国法律适用于外国国民在境外实施，并且未对该国产生实质性效果的网络行动，这是不被许可的。[7]依此逻辑，如果一个网站是由外国国民在一国境外运行，且未具体指向特定国家的人或物，就不受该国管辖，除非在该国境内产生了实质性和可预见的后果。反过来，网络执法管辖权是在网络行为对本国产生实质性和可预见后果时，国家有权在不违反国际法或获得外国政府许可的情形下，对该网络行为进行域外管辖，包括但不限于域外调查取证。此类观点为数据的域外管辖预留了一定的行动空间。欧盟《通用数据保护条例》（GDPR）、美国加州《消费者数据保护法》等均以网络空间领域的数据作为对象进行建章立制。其中，一国的网络和数据法的适用范围已悄然拓展到境外。如在“伊娃-格劳威齐尼格-皮斯泽克诉脸书案（Eva Glawischnig-Piesczek v.Facebook）”中，欧盟法院指出，基于电子商务活动的全球辐射范围，欧盟法潜在地拓展到全球。[8]

在数据域外管辖层面，对电子证据的跨境调取是近年来理论和实务界关注的重点事项。随着数字经济的跨国界发展，全球产业链的兴起，国家域外管辖的类型和形式更加多元。正如《布达佩斯网络犯罪公约》云证据工作组所指出的，在传统司法协助机制难以满足取证需求的情况下，各国政府越来越多地寻求单方面执法措施，以获得存在于境外的电子证据。[9] 国家单边获取域外数据主要体现为两种形式：直接收集、间接收集。直接收集通常是政府执行机构为获取犯罪证据而强制进入某地（包括“黑客攻击”），这一过程通常需要搜查令。相比之下，间接收集涉及通过提供令规定接收者（通常为互联网平台）有义务出示其控制的数据，否则将因不遵守命令而受到制裁。[10]原则上，未获得外国政府同意的直接收集，构成禁止行使域外执法管辖权的情形，而向私人实体提出请求的间接收集的合法性尚存在争论。[11]实践中，美欧之间关于数据隐私协议、隐私盾与《通用数据保护条例》的兼容性争议的焦点因素之一，均包括政府机构访问企业数据，即公共部门数据处理的正当性和合法性问题。[12]

近年来，与美欧实践相似，我国逐渐认识到网络和数据领域立法的重要性，陆续颁布执行了《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》（以下分别简称《网络安全法》《数据安全法》《个人信息保护法》）和《促进和规范数据跨境流动规定》。然而，与个人数据流动逐步便利化趋势相左的是，我国对数据跨境调查取证等公权力行使以及数据域外管辖仍保持高度谨慎的立场。实际上，基于业务目的的数据跨境和基于执法司法目的的数据跨境之间存在内在的联系。[13]对数据分而治之地规制无法有效解决数据的一体保护、一体利用的目标。在数据取证层面，《公安机关办理刑事案件电子数据取证规则》《市场监督管理行政执法电子数据取证暂行规定》等对网络在线提取电子证据限定在境内储存或境外公开发布的数据。我国以“防守”立场对待数据域外管辖不利于维护我国的数据安全、国家安全。鉴于此，本文拟围绕数据的本质以及数据跨境管辖权的国别经验展开研究，试图对我国数据跨境执法管辖的机制设置提供启示。

二、数据与传统域外管辖方法的不适配性

近代以来，国家管辖权的行使范围主要以领土界分为方式，一方面，国家对领土的管辖权力具有当然的合法性和控制力，另一方面，通过创设领土管辖权区分此处和彼此，减少多重管辖的冲突。随着网络信息科技发展，越来越多的人将个人数据储存在云服务器上，而云服务器的远程服务分布在全球。因此，针对域外数据，当国家主张对其进行获取和控制时，管辖权配置成为了无法回避的问题。

（一）数据无需新的域外管辖方法理由

针对数据是否需要新的管辖方式，有观点认为，以云服务为基础的数据全球布局现象并不新奇。一方面，云服务为基础的数据依赖于服务器，特别是大型硬件设备。不管这些服务器居于何处，其都受到领土管辖权的约束。另一方面即使数据储存在无形介质中，对数据的规制和知识产权、资产债务的规制方式并无差别。[14]

第一，数据的高流动性。有形物体从一处转移到另一处，其受限于经典物理学定律。虽然数据的快速流动性和不可预测性，使得通常无法确定数据的具体位置。但有观点认为，数据可快速地流动，但数据的高流动性不是数据的独有属性，不是创设特殊管辖规则的理由。如传统的管辖工具对快速流动的资金依然发挥作用。[15]

第二，数据的无形性。数据的无形性问题本身不是新议题。实践中，法院能够裁决诸多股份、债务等无形资产的法律问题。如商标类的知识产权主要被认定受发明创造地或企业登记地所管辖。债务主要是由债务人所在地进行管辖。在财产类争议中，企业股份是以企业所在地为主进行管辖，而不是股份所载凭证所在地。从此层面，无形数据也可以确定管辖场所。

第三，数据的可分割性和可互换性。个人数据能够被分割为不同部分，并分配给位于不同场所的服务器。云服务器上的数据经常储存在不同位置，更遑论数据具有易复制性，在多数情形中，数据所在地是可人为操纵的。事实上，在银行账户中储存的资金也是如此，用户在银行中储存的资金不一定在一个分行中保存，而是被分配到银行的不同分支机构。用户的资金也会和其他用户的资金共同保存和分配，这可类比于多条元数据合并成为新的数据，此类特征也无需产生特殊的管辖规范。

第四，数据和数据持有者之间的分离。数据和数据用户之间处于不同位置，并且用户不知晓数据的所在地。该现象也并非数据所独有的，诸如在海外银行账户储存的资金以及购买其他国家的债券等。特别是如果用户选择将数据储存在云服务器上，那么从用户的预期角度而言，其无法确保数据仅在其国籍国进行处理。

（二）数据需要独特的域外管辖方法理由

虽然数据可类比于银行账户、知识产权、债券等权益形态，但数据域外管辖存在独有的三重困境，这是其无法与传统管辖权方法进行有效匹配的根本原因。

第一，数据位置的未知性，是对属地管辖的挑战。传统上，行为作出者应知晓其行为作出的后果，以此实现意图和行为相统一。但在网络空间中，数据传输的恣意性导致用户无法知晓数据所在地，更遑论数据所受的法律规制。当个人将数据储存在云服务器上，其时常不具备控制力，或无从知晓数据所在的场所，因为数据储存决定一般受到计算机的算法所规范。[16]即使是专业化的行政机关，对数据所在地的辨别难度及其成本也较大。数据流动的不可测性，使得以属地原则为主的管辖权难以实现。正如在“美国微软案”中，美国政府指出，如果政府获得数据依赖于提供者在给定的时间点是否持有数据，这将会产生“恣意性的结果”，因为数据储存的位置本身具有随机性。[17]更为重要的是，互联网中的大量信息面临无法知晓其位置的局面。数据的匿名化导致数据的地理位置被隐藏，甚至被操纵。互联网上存在大量无法被核实所在位置的数据，这使得传统以属地主义为理念的管辖权无法适用。暗网类的技术开发进一步使得数据存储地难以发现，特别是暗网使得政府无法利用从第三方平台获得的通讯“元数据”，判断数据的具体位置。

第二，数据与用户分离和数据的混合性，是对属人管辖的挑战。数据和用户的分离是执法实践中的难题。在“莱利诉加利福尼亚案”中，即使执法人员找到目标的智能手机、电脑或其他电子设备，他们通常也无法知晓设备上存储的数据实际存放在哪里。[18]这便阻碍了执法行动，因为即使执法部门拥有设备和所需的密码，也不一定能确定它正在访问的是境内抑或境外存储的数据。实际上，当执法人员认定数据的所在地后，其时常并不知晓关于数据用户的位置信息，更遑论其与特定国家的关联程度。“谷歌宾州案”的主审法官指出，即使特定的服务器被识别，也没有人知道需要询问哪个国家。数据可能在服务器所在地被识别之时，已离开此处。[19]在云模式下，惯常的数据被碎片化保存，企业的云数据位于不同国家。简单的文件可以被分割为不同的组成部分，并且在不同的国家进行储存，同时，互联网中对于向何处发送和储存数据的决定是随机的、高度智能的。[20]数据的混合性加剧了传统域外管辖方法的不匹配性。在数据时代，单一数据的价值微乎其微。数据本身因为其关联性和混合性，才具备更大的价值。然而在跨境多人聊天中，如何确定共同数据的所在地及数据主体的地位，这仍是实践的难题。数据的混合性导致单一的、排他性的属人管辖制度无法适用。

第三，第三方占有的实践难题，对传统管辖关系形成挑战。有形财产者原则上采取自我保护财产的方式，少数情况才会涉及第三方的控制和执行问题。[21]相反地，在网络空间，原则上数据被第三方平台所持有、控制。第三方占有产生了两个问题。一是关于第三方位置信息的作用，这与数据位置和数据用户位置不完全相同。例如在“美国微软案”中，美国政府主张微软是在美国进行注册的，不管数据储存在何处，政府可要求该企业提交受到其控制的数据。[22]第三方占有的现象实际上导致传统的主体客体二分法的管辖关系无法有效适用。二是用户对数据及其位置场所脱离控制。大量的电子数据被第三方所持有或以其他方式控制，同时通常是第三方而不是用户作出关于数据传输路径及存储位置的决定。当然，用户可通过与第三方签订合同，或通过数据本地化法确保数据存储的特定位置。但目前，大多数数据用户对其数据不享有此类控制力。[23]事实上，云服务和互联网实现跨境连接的关键在于，第三方能够以最快的、最低成本的方式移动数据，无需事先获取用户的偏好和控制。[24]

如上所述，重新建构数据域外管辖的方法具有必要性。虽然数据在传统社会存在可类比物，但是互联网的特殊架构和数字通讯的技术模式，使得数据和传统域外管辖方法出现了不适配性。具言之，第一，数据存储的恣意性、不确定性以及数据和用户的分离，导致属地管辖模式难以适用。第二，数据的混合性意味着属人管辖模式的适用存在困难，多国数据的混合本身是相互连接的网络世界的客观需要。第三，第三方占有数据的普遍现象使得一些国家绕开用户和主权国家，直接从第三方中获取数据。因此，需要建构与数据的属性相匹配的域外管辖方法。

三、数据域外管辖的当代创新实践

（一）单边主义方法：第三方平台的披露与获取

一些国家通过创设单边地针对第三方平台的管辖方式，主张对数据的域外管辖。实践中，政府时常面临对云服务器上的数据进行开示的要求，但云服务器管理的服务提供者位于其他国家。典型的案件如微软与美国司法部的争议。[25]当美国司法部要求获得储存于爱尔兰的相关邮件账户内容时，微软拒绝提供。其理由在于，美国《储存通信法》不能域外适用。[26]在此案件中，有观点认为美国政府的搜查场所在美国，微软接受搜查令发生在美国，因此案件没有涉及法律的域外适用问题。换言之，要求国内的互联网企业提供记录的行为，不是美国法的跨境适用，而是搜查令的国内适用。与法院长期强制公司披露证据的能力相似，这些证据是企业能够在美国本土获取的证据。[27]然而，本案上诉法官认为，对于管辖权问题，应考虑管辖权力的内容以及美国法的适用范围是否符合国际礼让的要求，即依据传统上调整跨境刑事调查的判断标准。简言之，本案法官认为该争议涉及主权事项，于是通过法定解释和美国反域外性假定的使用，支持了微软主张。[28]

但美国巡回法院的“保守”立场并未持续多久。2018年，美国国会出台《美国澄清境外数据合法使用法》（Clarifying Lawful Overseas Use of Data Act），部分“解绑”了美国政府对远程数据的调取限制。美国政府能够取得针对数据的搜查令，不管数据位于何处。该法修改了《储存通信法》的相关规定，增加了“不管通讯、记录或其他信息是否位于美国境内还是境外，只要在其占有、监控或控制之下，服务提供者必须遵守本法义务，保留、复制或披露属于消费者或订阅者的有线的或电子通讯的内容”。换言之，针对美国通讯服务提供商所拥有、监管或控制的数据，即使位于美国境外，美国政府都可对其进行监管。

实际上，《美国澄清境外数据合法使用法》规定的数据取证的方式本身赋予了国家向第三方直接取证域外数据的权力，相应的是，拥有越多第三方的国家将能够掌控遍布全球的数据和信息。这显然也将对其他国家的数据管辖权造成不当干预。为此，该法明确美国能够获取域外电子数据的同时，也为获取域外电子数据设定了门槛，即只有在涉嫌危害美国国家安全的犯罪或严重的刑事犯罪的情形下，美国人和美国公司控制的域外数据才能被美国执法机构获取。同时，该法也建立起与相关国家的数据调取的合作协议。

欧盟也有类似的规则。若境外行为人向欧盟境内居民提供服务，欧盟法可对境外行为人进行管辖。在推断境外行为人是否具备向境内居民提供服务或产品的主观意图时，欧盟通过外在的行为表示设定了一系列客观的推断标准，如使用欧盟成员国的语言或货币、向搜索引擎运营商支付互联网检索服务费用等客观事实，[29] 以此证立域外管辖权。又如欧盟《通用数据保护条例》中规定了“目标导向标准”，设立地方网站、投放广告、支持当地货币、市场或用户调查等行为，均被视为互联网平台在欧盟境内“有效且真实开展活动”的证据。[30]欧盟《通用数据保护条例》第3条的指导原则规定，在判断所进行的个人数据处理活动是否构成对个人数据行为的监控时，需要考虑其是否在网上对自然人进行追踪，包括随后是否在网上对自然人进行画像，特别是作出与其有关的决策，以及分析或预测其个人偏好、行为和态度等。典型的监控活动包括用户行为广告、通过使用Cookies或其他跟踪技术（如指纹识别）进行在线跟踪、基于用户画像的市场调查等。如若存在这些指向性的行为，则可以认定欧盟对此类行为具有管辖权。

（二）双边合作的方式：强制适用法律协助条约程序

根据主权平等原则，一国行政机构在其他国家和地区不具备行政权力。有观点认为，若数据和信息能够清楚地确定所在地，那么以属地原则为基础建构的双边法律协助条约程序应得到适用。[31]强制使用双边法律协助条约的程序，建立在严格属地管辖的基础之上。由于认定数据位置是管辖权的决定性因素，一些国家要求互联网企业将所有的数据进行本地化储存，这也为属地主义的数据管辖权提供了现实基础。扩大双边法律协助条约的体系，使其能够包含数据取证事项，是一些国家和互联网企业认为避免数据管辖冲突的方法。例如，微软等企业认为，美国政府有义务通过双边法律协助条约机制，与爱尔兰达成搜查数据的协定，否则将违反国际法。

实践中，我国对域外数据的调查取证的要求体现严格的属地主义。2019年公安部《公安机关办理刑事案件电子数据取证规则》第23条将网络在线提取电子证据限定在：境内远程计算机信息系统上的电子数据、境外公开发布的电子数据。2024年发布的《市场监督管理行政执法电子数据取证暂行规定》第24条也有相似规定，即对公开发布的电子数据、境内远程计算机信息系统上的电子数据，可通过网络在线提取。能够看出，实际上，我国以严格的领土性作为判断是否可以开展域外调查的依据。我国认可的数据调查取证也仅限于境外公开发布的数据以及储存在我国境内的数据，其他类型的域外数据需要通过执法协助或司法协助才能完成。在我国立法中，《数据安全法》第36条和《个人信息保护法》第41条分别规定，我国根据有关法律和我国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据和个人信息的请求。非经我国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于我国境内的数据和个人信息。

但是历史上，双边法律协助条约体系的运行被证明是缓慢的和笨拙的，这是一些政府不愿意选择传统的调查取证方式开展域外数据管辖的直接原因。据统计，美国的双边法律协助流程平均需要长达十个月，其他国家一般将花费更长的时间。[32]进一步，双边法律协助条约也不是涵盖全球的体系，美国也只和大概一半的国家签署双边法律协助公约。更为重要的是，确定数据所在地是双边法律协助条约的前提，改革双边法律协助条约也无法系统回应数据的流动性、操纵性和分割性等问题。

（三）多边合作的路径：对严重网络犯罪的集体打击

协调域外数据管辖的一个理想愿景是，依托彰显多边主义的工具。即各国通过制定国际公约和区域协定，在数据取证和执法方面进行合作，以应对跨国犯罪和数据安全挑战。欧盟推动的《布达佩斯网络犯罪公约》以及中俄推动的《联合国打击网络犯罪公约》立基于此。《布达佩斯网络犯罪公约》第32条规定，在特定情况下，缔约方执法部门可在不通知数据存储地国的情况下提取数据。《布达佩斯公约第二附加议定书》进一步对此类域外数据执法进行了规定。[33]《联合国打击网络犯罪公约》第27条“提交令”规定，一国主管机关可下令，位于本国境内的某人提交其所拥有或控制的，存储在信息和通信技术系统或电子数据存储介质中的指定电子数据，以及在本缔约国境内提供服务的服务提供商提交其所拥有或控制的，与此类服务有关的订户信息。这种多边合作机制通过构建新的国际授权方式，简化跨国数据取证程序，有效地提高了域外数据执法的效率。通过国际合作，各国能够更有效地应对跨国数据犯罪和网络安全威胁。

多边主义的数据域外管辖模式不仅有助于解决法律冲突，还能够促进国际社会的互信和合作。如上条约实践表明，通过多边主义的合作路径，不同国家可以有效地应对网络犯罪的跨境挑战。通过共享信息、协调执法行动和提供技术培训，各国能够更好地维护网络空间的安全与稳定。但是较为遗憾的是，域外数据管辖的国际合作路径的范围仍较为狭窄，只限于特定的网络犯罪类型。如《联合国打击网络犯罪公约》仅针对非法访问、非法拦截以及儿童色情材料传播等11种网络犯罪。现行有效的网络犯罪公约的缔约方数量规模仍较少，换言之，国际合作的路径虽然前景光明，但是仍处于发展的初期阶段。

综上，由于数据所特有的位置无知性、来源混合性以及第三方占有问题，导致数据面临的域外管辖方法与传统的属地主义、属人主义为基础的管辖权配置无法有效衔接。毫无疑问的是，基于数据的特殊性，无法简单运用单边、双边或多边主义的工具调整数据的域外管辖。因此，当前任一国家或地区对域外数据主张管辖权时，均必须综合采取单边、双边和多边主义的立场和工具。

四、数据域外不当管辖的限制：引入合理性要求

数据的特殊属性导致传统管辖理论难以直接适用，特别是属地主义为原则的数据调取模式无法解决域外执法的现实需求。当前全球主要经济体不得不综合采取单边、双边和多边主义的方式创设数据域外管辖制度。但是，全球数据市场分布的不均衡导致个别国家具有实施不当管辖的能力，尤其是向平台第三方的调取模式导致美国在数据领域呈现“长臂管辖”倾向。同时实践中，云服务企业经常面临同一数据存在义务冲突的情形。为解决数据域外不当管辖以及缓和管辖冲突的难题，需要在评价数据域外管辖中引入合理性要求。

（一）域外数据具有持续的和体系性的联系

对域外数据进行管辖，一刀切地禁止或者允许是不恰当的。数据天生具有高流动性，应结合具体场景对数据域外管辖的合理性进行判断。在域外管辖实践中，连接点是规定管辖权的必要条件。某种程度上，除地域性外，以“联系”（contacts）为焦点的路径来确定管辖权更具实际意义，只要一国与规制事项之间的“联系”是紧密的、实质性、直接的和重要的，其对事项的规制就能符合国际法要求。根据联合国国际法委员会报告，国家的“合法利益”建立在将“连接点”作为域外管辖权基础的“共同因素”。《美国外交关系法重述（第四次）》认可将“连接点”作为管辖的依据，即若国家和规制对象之间存在“真实的联系”，则允许行使管辖权。[34] 换言之，合理管辖的判断依据在于“连接”，管辖因素也可称为“连接因素”。实践中，以美国为代表的国家时常用联系的充分性，论证对域外事项管辖的适格性。[35]因此，数据与规制国的关联性是管辖的合理性关切之一。

现实中，数据管辖相关的场所包括控制数据运行或维护公司的所在地、企业总部所在地、用户国籍以及用户所在地。[36]在多种管辖依据并存的情况下，管辖对象与规制国的关联性，成为评价是否开展合理域外管辖的理由。美国联邦最高法院曾指出，规制对象是否建立与法院地的“持续和体系性的联系”，是确定允许行使管辖权的依据。在网络空间，互联网允许企业与境外用户建立全天候的“虚拟联系”。但在普遍的虚拟联系之下，应在网络空间中引入“持续和体系性的联系”概念作为判断管辖的理由，这能够更好地建构合理的域外数据管辖权。[37]

以针对欺诈性的远程商业实践的管辖权为例。“明尼苏达州诉花岗岩门度假村案（ Minnesota v.Granite Gate Resorts）”涉及美国州检察官起诉其他州的企业提供网络体育赌博服务问题。由于针对域外的规制对象，法院考察了“长臂管辖”和最低联系的法理。虽然企业主张，跨境网站上的信息发布不能构成对本地商业利益的有目的利用，但是法院详细考察了关联性的紧密程度，包括联系的数量、联系的本质和质量、诉因和联系的关联性、法院地的利益以及当事方的便利程度，以此认定是否具有管辖权。[38] 例如，针对联系的数量，法院考察了访问远程网站和接收网址信息的本地居民的数量，以及本地居民受到远程网站的营销服务程度。针对联系的本质和质量，法院分析了网站广告和发布的信息是否旨在针对本地，以此判断是否存在持续的和体系性的联系。

与此相对的是，消极的联系无法证成域外数据管辖权的存在。[39]例如，美国在司法实践中指出，仅仅是消极提供信息的网站，即主要功能是在全球范围上发布广告，将不满足管辖的最低联系要求。在数字时代，若是数据与本国具有持续的和体系性的联系，即使储存在海外，也能够通过平台第三方进行合理调取。反过来，若数据与本国不存在密切的联系，甚至仅仅是技术上“穿越”本国境内，国家原则上不应对数据进行调查，以此确保跨境数据的全球流动。

（二）当事人和第三方对域外管辖的可预期性

对于数据域外管辖合理性的判断，应结合数据主体和平台第三方的可预期性。在数字服务中，只有数据主体和平台第三方具有对连接点预见的可能性，才能产生数据管辖中的真实联系。[40]在“谷歌诉CNIL案”中，法院指出，若互联网用户接入特定链接将对处于欧盟内的个人产生立即、实质的效果，则搜索引擎运营者应当承担在所有版本的搜索引擎中删除内容的义务，[41]由此实现了对域外数据的规制。在“谷歌诉西班牙数据保护局案”中，欧盟法院通过考虑谷歌西班牙网站在欧盟内从事经济活动的稳定性、有效性以及所提供服务的程度，最终认可对境外美国谷歌总公司的数据处理行为进行域外管辖。[42] 其中，针对域外管辖行为的法律可预期性是开展法律分析的焦点因素。

具体而言，虽然搜索引擎的活动事实上是以领土为基础，但是法院认为谷歌搜索引擎提供服务的目的是获取利益，因此，谷歌的远程广告和营销活动与欧盟用户的关系是紧密的。通过建立此类关系，虽然用户位于西班牙、谷歌公司位于美国加州，二者不存在直接的物理联系，但是其关联的焦点发生在欧洲社会，可被欧盟法律体系所管辖。对于用户来说，作为欧洲的公民，其不仅有权免受互联网巨头的损害，而且也能预期到需要遵守欧盟法律维护自身形象。谷歌作为在欧盟领土内从事营利活动，其需要阻止任何冒犯性的网页通过网上搜索被呈现。由此，互联网平台即使处于境外，但是其通过建立实质性的盈利关系，与本地发生真实联系，那么其理应具有被境外国家进行管辖的合理预期。

（三）不管辖域外数据后果的严重程度

在考虑是否进行域外管辖上，有观点认为，域外管辖权的行使可基于犯罪的本质，以及申请国政府的利益。[43]对境外行为进行管辖原则上要求管辖的国家证明：一是域外行为旨在本国产生效果；二是域外行为对本国产生的严重后果。如前所述，根据《美国澄清境外数据合法使用法》的规定，美国获取境外的电子数据应当是涉及美国公民并属于美国公司控制下的数据，并且只有在涉及危害国家安全的犯罪、严重的刑事犯罪等重大案件，才能依据该法启动调取域外数据的程序。实际上，美国法院的实践也表明，对美国领土之外的行为，若旨在对美国产生以及已产生严重危害，且国家可成功规制此类行为，那么可对该行为进行惩罚。由此，是否进行数据域外管辖，与犯罪或执法的目标相关联，其涉及的国家利益越强，那么其域外管辖的合理性更加充分。必须指出的是，美国在实践中泛化国家安全关切，时常以域外数据涉国家安全为由，要求企业配合美国行政机构的调查，[44]这显然已突破域外管辖的合理范围。

欧盟长期将自身视为“全球行动者”，其核心考量之一也是进行域外管辖与不管辖产生的后果的比较。作为欧盟“全球行动者”的功能所在，“管辖权缝隙”（jurisdiction gap）概念频繁被提出。实践中，如果欧盟所追求的目标事实上是普遍的，其将预示欧盟法的适用没有领土界限。[45] 由此可见，应将不开展数据域外管辖对本国产生的后果，作为衡量是否进行域外管辖的因素。此类要求能够回应对位置未知数据的执法问题。若不进行管辖的结果将是产生“规制真空”，削弱了本国法的功能和价值，那么国家应当对此类数据进行管辖。

（四）在数据域外管辖中引入国际礼让原则

在数据域外管辖中，最为核心的焦点问题在于，若一国的管辖利益与其他国家的利益出现冲突，如何进行有效协调。这需要引入国际礼让原则。国际礼让原则的引入对全球云上的执法合作具有显著意义。[46] 国际礼让是“一国在解决争议中触及另一个国家的法律和利益时所体现的合作精神”[47]。礼让是国际法中长期存在的概念，本质是互惠观念，即考虑和认可其他国家法律及其相应行动的有效性。《美国澄清境外数据合法使用法》第103（c）条和103（b）条规定了国际礼让的规则。实践中，在评价域外调查令的合法性时，美国法院一般考虑5个考量因素：证据和其信息获得对诉讼的重要性；请求的精确程度；信息是否来源于美国；确保信息替代性方式的可获得性；以及不遵守请求将会损害美国重要利益的程度，或者是遵守请求将会损害信息所在地的国家的重要利益的程度。其中，最后一项为国际礼让分析的规则。

引入不同国家利益衡量的分析，不仅仅包括考察争议中的域外行为是否制造了法律冲突，或者是否产生外国刑事制裁的风险，而且还包括调查外国政府的利益，对当事方产生的潜在困难，本国执行法律的利益，以及当事方主张诉讼请求的实质利益。[48]国际礼让原则的判断核心在于，针对外国对数据的管辖与本国对数据的管辖之间的利益进行比较。如寻求云数据的国家是否在数据利益上，超过了其他国家的相竞争的利益。在国际礼让分析中，一国会决定另一国家的利益是否超过了寻求数据披露的国家。当然，礼让的要求不是绝对的遵从外国利益，而是要求尊重不同国家的主权并平衡相应的国家利益。这与欧盟在处理欧盟宪章条约产生的规制溢出效应的方法相似。[49]虽然引入礼让分析的结果是不可预计的，但是此类不确定性能够实现管辖冲突的协调化解决，充分考虑其他国家关切，并且采取去中心化的、一事一议的处理争议方式。[50]

五、建构数据域外管辖的中国方案

党的二十届三中全会通过的《中共中央关于进一步全面深化改革推进中国式现代化的决定》提出：“加强涉外法治建设。”[51]管辖权配置是加强涉外法治建设的关键问题。我国在数据领域长期采取相对保守的管辖权主张，大多数法律法规的适用范围限定于“中华人民共和国境内”。这虽能够节约行政调查和法律适用的资源，但过度保守的管辖制度不利于预防和惩治境外不法行为，降低了我国在大国博弈中的反制能力。结合别国实践经验、他国对我国数据调取的关切以及维护国家利益的现实需求，我国对域外数据的合理规制和法治机制建设具有必要性与正当性，这不仅有利于完善数据领域的涉外法治建设、维护公平的市场竞争环境，而且有利于惩治国际公认的犯罪行为、推进国际法治并最终实现全球善治。

（一）建立“适当联系”的数据域外管辖理念

在全球化、数字化背景下，数据对国家安全、数字经济发展具有重要价值。但目前在国际层面上缺乏协调数据管辖权的国际条约，各国实践也纷繁不一。面对日渐增多的网络问题和跨境执法需求，严格的属地理念具有滞后性和不确定性。各国普遍通过国内法的域外适用治理网络空间，寻求跨境数据的域外保护路径。鉴于此，强化数据域外管辖机制是完善涉外法治体系，实现网络安全与数据安全治理现代化、法治化，有效维护国家利益的必然选择。总体上，数据的跨境提供有三类场景：一是个人信息处理者的业务需要；二是我国参加的国际条约、协定对个人信息跨境有规定；三是外国司法或者执法机构提出请求。[52]虽然我国个人信息数据跨境已有“松绑”趋势，但是与之配套的数据域外管辖的机制建设仍相对迟缓。这显然不利于数据的跨境保护，也与涉外执法的实践需求不相匹配。

2023年《中华人民共和国民事诉讼法》修订后，我国在涉外民商事案件管辖中确立了“适当联系”标准。然而在数据领域，我国域外管辖制度仍属“防守”模式，连接因素的硬性要求较高。《网络安全法》《数据安全法》《个人信息保护法》均以属地管辖为基本原则，辅之以属人管辖保护管辖作为补充。但其中的连接点过于僵化，无法有效调整相关法律关系。例如，《个人信息保护法》第 3 条第 1 款确立了“处理行为发生地标准”，但在具体实践中，精确定位“处理行为发生地”的难度和成本极大。在数据跨境传输过程中，由于服务器遍布全球，数据传输的快速流动性导致处理行为发生地难以被认定。

因此，笔者认为，我国可在数据域外管辖中引入“适当联系”的标准，而不再要求规制对象与我国具有实质性的联系，通过连接点的灵活选取和管辖原则的多样化适用实现网络空间法治化，依法维护我国利益。与美国提出的“最低联系”管辖标准以及欧洲国家提出的“补充必要管辖”不同，“适当联系”管辖标准不是单个因素的考量，而是体系性的、结构性的认定方法。其需要在国际法基本原则和合理性要求的基础上，充分考虑具体案件发生的实际情况以及管辖利益，作出是否进行域外管辖的客观判断。

“适当联系”管辖标准适用应重点考察管辖的行为、目标和本质等因素。主要包括：第一，对数据主体行为的考察。数据域外管辖的前提必须不构成对其他主权国家的干涉，这就要求域外管辖的数据与我国的联系具有持续性和系统性。例如，境外平台企业以我国相关的数据作为盈利工具或者定向针对我国相关的数据进行收集、分析，而非仅仅作为被动的信息接收平台，那么鉴于此类行为与我国的关联紧密，我国域外管辖的依据满足关联充分性的要求。第二，对管辖目标的考察。对数据域外管辖的考量应将国家的管辖利益纳入其中。若不对数据进行管辖将对我国产生重要影响时，尤其是对我国的主权、安全和发展利益造成严重损害或严重损害威胁，我国应依据规制国和规制对象之间的联系以及不管辖对我国产生的严重损害进行域外管辖。第三，对管辖本质的考察。对已经过合理地检验仍无法认定所在位置的数据，故意匿名化规避管辖的数据，我国可依法进行有效管辖。由此，避免管辖“真空”现象的存在。

（二）建构自主的、合理的域外数据管辖机制

通过将合理性和尊重国际法的理念纳入单边的域外数据执法行动，尤其是针对第三方平台占有的域外数据，有助于化解他国对我国政府数据调取问题的关切。具言之，一是数据域外管辖的动机应具备合理性。合理性原则要求管辖国与管辖对象有可预见的真实联系，且通过利益衡量证明管辖国具有更强的利益。[53]《美国澄清境外数据合法使用法》和欧盟《关于刑事犯罪电子证据的调取令和保全令的规定的提案》均将可以采取单边跨境数据调取的适用情形限定为严重犯罪。此类规则与实践对中国数据法域外适用法律体系的建设具有重要的启发意义。只有在域外数据行为与我国存在关联，并对我国产生显著影响，我国才可主动行使域外管辖权。根据合理性原则，在跨境数据调取中，相关执法机构考虑的因素包括所涉刑事司法措施的性质、所涉犯罪的本国属性、所涉犯罪的严重程度、目标数据的相关性、所涉公民权利的性质等。[54]

二是数据的域外管辖应避免与现行国际条约与习惯国际法的精神相冲突。虽然数据管辖并未形成有效的国际协定，但作为国际法基石的主权平等原则，依然是限制域外不当管辖的依据。当前，一些国家在数据执法管辖中要求数字平台在全球范围内履行删除义务，这种在他国领土范围内行使执法行为对他国主权造成了明显的冲击，因此饱受质疑和批评。对于管辖权的分配，现行国际法确认了属地原则、属人原则、保护原则和普遍管辖原则的合法性。当前，我国绝大多数的国内法律对是否具有域外效力未作出明确规定，执法和司法机关在判断是否具有数据域外管辖权时，应避免与现行国际条约与习惯国际法的精神相冲突，特别是应尽可能以保护管辖权和普遍管辖权为管辖理由。

三是数据的域外管辖行动应充分考虑国际礼让因素。从司法实践看，主权国家在明确数字平台下数据域外管辖范围时，会以相当的权重考量其他国家的管辖利益，包括公共利益、属地权威、属人权威等。[55]例如在“谷歌诉法国国家信息与自由委员会案（Google v.CNIL）”中，虽然欧盟法院认为，采用地理封锁技术对欧盟用户实际上意义不大，并且将破坏裁决的有效性。但如果在全球范围内要求谷歌修改搜索结果，又会损害非欧盟国家在言论自由和隐私保护上的主权权利。通过衡量两种利益，欧盟法院最终不强制在非欧盟地区实施判决结果。这为典型的国际礼让的分析方法。鉴于此，在实际行使域外管辖权之前，需将我国数据管辖利益与他国管辖利益进行平衡，只有我国具有更强的利益时，我国执法和司法机关才应行使域外管辖权。简言之，在通过行为与效果主义决定域外管辖时，应充分考虑国际礼让原则与互惠观念，并在个案中对数据域外管辖的合理性进行充分阐述。

（三）探索应对数据不当管辖的反制工作

数据的域外管辖绝非纯粹的法律问题，其也容易陷入大国博弈和科技制裁的“泥潭”。一方面，美国通过《美国澄清境外数据合法使用法》泛化国家安全概念，对域外数据开展不当的“长臂管辖”。另一方面，与数据跨境自由流动拥趸的形象相左的是，美国将中国定义为“竞争敌手”，通过《防止受关注国家及相关人员访问美国敏感个人数据和政府相关数据的规定》，阻止美国数据向中国传输，干涉正常的商业和经贸活动。[56]尤其是美国凭借第三方平台资源的垄断性优势，在数据管辖领域实施霸权主义。作为负责任的大国，我国在坚持国际法基本原则的基础上，必须强化应对不当数据管辖的反制能力。当前，我国《数据安全法》第26条、《个人信息保护法》第43条、《中华人民共和国反外国制裁法》第3、13条等规定对涉及我国的歧视性禁止、限制或者其他类似措施采取反制措施。但这些法律需要行政法规的落实和施行。

具体而言，第一，我国可探索建立中国的域外数据管辖规定，一定程度上放宽对域外数据的执法标准。同时依据“实质性互惠”原则，针对域外允许我国进行数据管辖的国家，我国可在不干涉主权利益的情况下，允许这些国家对存储于我国并与其紧密相关的数据进行调取。进一步，也可以批判性地借鉴欧盟的“充分保护”模式，与具有高标准数据保护水平的国家建立数据跨境执法的合作。第二，针对个别国家实施的故意侵犯我国数据主权的数据跨境调取执法行动及不公正的单边制裁，我国应加大对域外不当数据调取的技术追踪能力，并通过阻断法禁止域外行政命令在我国的效力。我国明确要求企业在向外传输敏感和重要数据时，必须履行数据出境安全评估义务。针对其他国家单方面颁布的对其他国家域外数据调取规则，我国应明确对其效力不予认可，并要求在我国境内运营的企业不得违规提供数据调取的协助工作。第三，针对个别企业违规对境外提供数据的情况，我国相关部门可适时采取反措施，系统性地遏制或削弱对我国数据利益的侵害。如可相应阻止特定企业获取我国的数据资源或切断其与我国在数据领域的商业往来，以此维护我国的数据主权利益。

（四）加强双多边的数据执法合作

以抖音（TikTok）、深度求索（Deepseek）为代表的中资数字企业已形成显著的“出海”规模。国内数据和域外数据的连通性越来越强。面对数据治理的共同需求，国际合作是必然的选项。近年来我国持续为全球数据治理提供公共产品。我国不仅是《全球数据安全倡议》和《全球人工智能治理倡议》的发起方，而且在《关于全球治理变革和建设的中国方案》表示愿与各方一道为数字发展以及全球数字治理的突出问题寻求解决思路。《数据安全法》第11条也体现我国积极参与数据安全相关的国际合作。在多边层面，我国是《联合国打击网络犯罪公约》的推动方，有必要积极推动各国接受公约，及时推进国内批准的可行性研究，为公约的跨境适用提供有利条件。

除此之外，还应加强双边数据执法合作。在“AggregateIQ案”中，英国数据保护监管机构信息专员办公室与加拿大隐私事务专员办公室和不列颠哥伦比亚省的信息和隐私委员会展开配合，彼此共享信息，并通过加拿大数据执法机构向违法企业AggregateIQ施压，迫使其遵守法规，并最终纠正违法数据处理行为。某种程度上，在观点相近的国家之间达成双边合作的谈判成本较低，且可执行性较强。我国可依托“一带一路” 率先与共建国家合作，也可借助《区域全面经济伙伴关系协定》已构建的数据跨境流动保护合作为基础，积极尝试与数据来往较为密切的国家达成数据交换协议或改进数据交换机制，[57]从根本上减少域外数据管辖难、调取难、执法难的问题。

参考文献：

[1]参见屈文生：《从治外法权到域外规治——以管辖理论为视角》，载《中国社会科学》2021年第4期，第44-66页；宋晓：《域外管辖的体系构造:立法管辖与司法管辖之界分》，载《法学研究》2021年第3期，第171-191页；廖诗评：《中国法域外适用法律体系视野下的行政执法》，载《行政法学研究》2023年第2期，第55-67页。

[2]See Bruno Simma, Andreas Müller, “Exercise and Limits of Jurisdiction”,in James Crawford and Martti Koskenniemi eds., The Cambridge Companion to International Law, Cambridge University Press, 2012, p.134.

[3]See J William Rowley QC, D Martin Low QC and Omar K Wakil,“Increasing the Bite behind the Bark: Extradition in Antitrust Cases”, Business Law International, Vol.8, 2007, pp.298-310.

[4]邵怿：《网络数据长臂管辖权——从“最低限度联系”标准到“全球共管”模式》，载《法商研究》2021年第6期，第76页。

[5]See Cedric Ryngaert, “Extraterritorial Enforcement Jurisdiction in Cyberspace:Normative Shifts”,German Law Journal, Vol.24, 2023, p.539.

[6]参见［美］迈克尔·施密特总主编：《网络行动国际法塔林手册2.0版》，黄志雄等译，社会科学文献出版社2017年版，第105页。

[7]参见［美］迈克尔·施密特总主编：《网络行动国际法塔林手册2.0版》，黄志雄等译，社会科学文献出版社2017年版，第99页。

[8]See Case C-18/18 Eva Glawischnig-Piesczek v.Facebook Ireland Limited, ECLI: EU: C: 2019: 821, paras.48-52.

[9]See Jan Kleijssen and Pierluigi Perri, Cybercrime, “Evidence and Territoriality: Issues and Options”, in M.Kuijer and W.Werner eds., The Changing Nature of Territoriality in International Law,Springer, 2016, p.162.

[10]See Ahmed Ghappour, “Searching Places Unknown: Law Enforcement Jurisdiction on the Dark Web”, Stanford Law Review, Vol.69, 2017, p.1102.

[11]参见［美］迈克尔·施密特总主编：《网络行动国际法塔林手册2.0版》，黄志雄等译，社会科学文献出版社2017年版，第108页。

[12]参见刘业：《美欧数据跨境流动博弈中的欧盟技术主权战略及其实现》，载《国际法研究》2023年第6期，第64-85页。

[13]参见文铭、谭榕：《数据主权视阈下数据跨境流动监管合作及中国因应》，载《国际贸易》2024年第6期，第13页。

[14]See Andrew Keane Woods, “Against Data Exceptionalism”, Stanford Law Review, Vol.68, 2016, pp.734-735.

[15]See Andrew Keane Woods,“Against Data Exceptionalism”, Stanford Law Review, Vol.68, 2016, pp.734-735.

[16]See Jennifer Daskal, “The Un-Territoriality of Data”, Yale Law Journal, Vol.125, 2015, p.368.

[17]See In re Warrant To Search a Certain E-mail Account Controlled & Maintained by Microsoft Corp., 15 F.Supp.3d 466 (2014).

[18]See Riley v.California,134 S.Ct.2473 (2014).

[19]See In re Search Warrant to Google, 232 F.Supp.3d 708 (2017).

[20]See Paul M.Schwartz, “Legal Access to the Global Cloud”, Columbia Law Review, Vol.118, 2018, p.1695.

[21]See Jennifer Daskal, “The Un-Territoriality of Data”, Yale Law Journal, Vol.125, 2015, p.377.

[22]See In re Warrant to Search a Certain E-mail Account Controlled & Maintained by Microsoft Corp., 15 F.Supp.3d 466 (2014).

[23]See Anupam Chander, Uyén P.Lé, “Data Nationalism”, Emory Law Journal, Vol.64, 2015, p.677.

[24]See Jennifer Daskal, “The Un-Territoriality of Data”, Yale Law Journal, Vol.125, 2015, p.378.

[25]See Andrew Keane Woods, “Litigating Data Sovereignty”, Yale Law Journal, Vol.128, 2018, p.332.

[26]See Microsoft Corp.v. United States, 855 F.3d 53 (2017).

[27]See In re Search Warrant to Google, 232 F.Supp.3d 708 (2017).

[28]See Microsoft Corp. v.United States, 855 F.3d 53 (2017).

[29]参见刘业：《个人数据保护域外管辖的合理性原则》，载《财经法学》2024年第2期，第55-59页。

[30]See Google Inc.v.Equustek Solutions Inc., 2017 SCC 34 (2017) 1 SCR 824.

[31]双边法律协助条约是20世纪70年代开始出现的获取域外数据的方式，其建立了在刑事领域跨国共享某些证据的标准化程序，参见杨永红：《美国域外数据管辖权研究》，载《法商研究》2022年第2期，第149页。

[32]See Andrew Keane Woods, “Against Data Exceptionalism”, Stanford Law Review, Vol.68, 2016, p.749.

[33]参见梁坤：《网络犯罪国际公约中的跨境调取数据条款》，载《当代法学》2024年第2期，第125-126页。

[34]参见孙南翔：《法律域外适用体系建设中的管辖权：演化规则与关联结构》，载《法学》2024年第1期，第182页。

[35]一般而言，如果国家与个人具有关联，一国能够基于存在、居住和其他行为合法地规制个人,See Lea Brilmayer, “Interstate Preemption: The Right to Travel, the Right to Life, and the Right to Die”, Michigan Law Review, Vol.91, 1993, p.877.

[36]See Jennifer Daskal, “The Un-Territoriality of Data”, Yale Law Journal, Vol.125, 2015, p.395.

[37]See Terrence Berg, “WWW.Wildwest.gov: The Impact of the Internet on State Power to Enforce the Law”, Brigham Young University Law Review, Vol.2000, 2000, pp.1305-1362.

[38]See Minnesota v. Granite Gate Resorts, 568 N.W.2d 715 (1997).

[39]See Morantz v. Hang & Shine Ultrasonics, 79 F.Supp.2d 537 (1999).

[40]参见孙南翔、刘燕莎：《因应互联网3.0时期的域外管辖：历史演进与中国方案》，载《江汉大学学报》（社会科学版）2025年第2期，第14-24页。

[41]See C-507/17 Google v.CNIL, EU:C:772（2019）.

[42]See C-131/12 Google Spain SL and Google Inc.v.Agencia Espa?ola de Protección de Datos (AEPD) and Mario Costeja González, ECLI:EU:C:317（2014）.

[43]See Jennifer Daskal, “The Un-Territoriality of Data”, Yale Law Journal, Vol.125, 2015, p.395.

[44]参见梁坤：《美国〈澄清合法使用境外数据法〉背景阐释》，载《国家检察官学院学报》2018年第5期，第152-158页。

[45]See Toni Marzal, “The Territorial Reach of European Union Law: A Private International Law Enquiry into the European Union's Spatial Identity”, International & Comparative Law Quarterly, Vol.73, 2024, p.29-63.

[46]See Paul M.Schwartz, “Legal Access to the Global Cloud”, Columbia Law Review, Vol.118, 2018, p.1715.

[47]Societe Nationale Industrielle Arospatiale v. U.S.Dist.Court, 482 U.S.522 (1987).

[48]See Courtney linde v. Arab bank, 706 F.3d 92 (2013).

[49]See Ruth Mason, Michael S.Knoll, “Bounded Extraterritoriality”, Michigan Law Review, Vol.122, 2024, p.1677.

[50]See Andrew Keane Woods, “Against Data Exceptionalism”, Standard Law Review, Vol.68, 2016, pp.774、778.

[51]《中共中央关于进一步全面深化改革推进中国式现代化的决定》，载《人民日报》2024年7月22日第1版。

[52]参见叶传星、闫文光：《论中国数据跨境制度的现状、问题与纾困路径》，载《北京航空航天大学学报》（社会科学版）2024年第1期，第58页。

[53]参见刘业：《个人数据保护域外管辖的合理性原则》，载《财经法学》2024年第2期，第52页。

[54]参见裴炜:《论网络犯罪跨境数据取证中的执法管辖权》，载《比较法研究》2021年第6期，第41页。

[55]参见周智琦：《全球法律实践下数据域外管辖边界的成案研究：扩张与限缩中的利益平衡》，载《国际经济法学刊》2023年第4期，第48页。

[56]参见陶然：《美国对华数据出境政策最新动向和应对建议》，载《中国经贸导刊》2024年第7期，第71-72页。

[57]参见周智琦：《全球法律实践下数据域外管辖边界的成案研究:扩张与限缩中的利益平衡》，载《国际经济法学刊》2023年第4期，第52页。

作者：孙南翔，中国社会科学院国际法研究所副研究员。

来源：《行政法学研究》2026年第3期。