大数据管辖视域下的数据疆域理论体系完善和发展*

岳 鑫，张良福

(海南大学 海南省南海政策与法律研究中心，海南 海口 570228)

一、大数据时代下疆域治理模式创新

(一)大数据国家疆域理论构建

疆域的出现与人类社会形态的产生发展有着直接的关系。早在农耕文明时期，人类就已经产生了族群聚居下的领地意识，以生产活动为中心所产生的区域形成的社会群体之间的边界范围就成为了最早的疆域形态。随着国家这种由传统族群形态演变而成的政治形态的出现,其所占有和控制的地理空间范围远大于传统的族群边界范围，疆域自然而然就成为了国家的构成要素之一[1]。不论是农业文明或者是海洋文明，在近代之前，由于国家主权概念尚未提出，对疆域的理解仅限于国家控制拓展其领地面积的范围以及国家的人口边界等非主权意识的范围，因而无论是东方的封建主义国家的“普天之下，莫非王土，率土之滨，莫非王臣”的理念，或是希腊城邦体制下的“人是城邦的动物”，亦或是罗马君主制帝国的“我来，我见，我征服(Veni，vidi，vici)”口号，疆域理论均以国家的人口边界、经济范围、军事拓展程度为基础而展开。

在整个人类疆域理论发展的过程中，由对领土主权的初步认识到国家疆域战略体系的逐渐完善，最后通过条约制定和国际组织的建立，形成以“陆”“海”“空”“天”为基础的国际疆域理论和规则体系，人类的疆域治理能力、国际协作水平及模式也随之而不断提升。从农耕文明到工业文明，再到信息时代，伴随着生产力的提高，技术水平的发展，人类的生活模式和国家的组织形式都不断发展变化。在1965年，人类刚刚迈入计算机时代不久时，被誉为“计算机第一定律”的摩尔定律便提出：计算机性能将呈指数式增长，用一美元所能买到的计算机性能，每隔18个月翻两番，计算机将很快普及到人类社会当中。根据美国白宫2014年发布的大数据白皮书《大数据：抓住机遇，尊重价值》，截止2013年，全球范围内共有约4泽字节的数据量。这是一个相当巨大的数据量。按照互联网的发展速度，至2020年，全球数据量将会是2013年的两倍左右[2]。人类已经进入到一个全新的“大数据时代”。各式各样的数据在维持社会经济高效运作、提高社会生产力水平、优化社会管理模式等方面发挥着无可替代的优势。大数据，早已经成为关乎国家安全发展的战略性资源。

图1 大数据发展大事记

在香山科学会议第667次学术讨论中，对大数据的定义是：来源多样、类型多样、大而复杂、具有潜在价值，但难以在期望时间内处理和分析的数据集[3]。不同于传统的信息概念，数据既没有固定的产生来源、也没有固定的存储地点、甚至没有固定的形态。大数据只是对于数据信息流整合后的统称。全球化时代，各国之间的经济、科技、知识都通过互联网飞速进行着交流和渗透。跨国公司的典型性代表已由诸如美国埃克森美孚石油公司、通用汽车等传统的工业生产密集型企业向微软、谷歌、脸书等美国硅谷互联网科技巨头转变。这些新兴企业在全球范围内的影响力早已超越传统的百年企业。得益于网络运算能力和信息传输技术的飞速发展，这些企业通过收集来自全球的各类数据并进行分析，规模化效应使其在全球互联网产业链中取得优势地位。在进入到21世纪之前，各国并未普遍关注互联网环境下的数据安全和数据跨境问题。随着近20年以来计算机基础技术的迭代升级、云计算和储存服务的发展，互联网通信能力大幅提高。数据的收集和利用门槛也变得越来越低，数据安全问题日益突出。随着各个国家战略思维的转变，在“陆”“海”“空”“天”“网”多维度下的战略部署，使得国家之间对大数据的利用和争夺日趋激烈。美国作为传统的互联网发源地，其在网络全球产业链中取得了巨大的优势地位。它积极领导和参与全球网络标准规范的制定，鼓励本国数据企业在全球扩张业务范围，形成一张全球数据“收集网”，拿下了大数据战争中的“第一高地”[4]。IBM、英特尔、微软、甲骨文等跨国网络技术公司的触角伸到全球每一个有互联网存在的地方，其所展现出的对全球巨大的影响力应当使每一个国家注意和警惕。一旦爆发冲突，美国将随时可以利用网络数据对他国进行威慑和打击。美国垄断“数据霸权”的格局已经形成。

对此，建立本国数据疆域的必要性就凸显出来。要打破美国的数据垄断地位，形成全球范围内的数据多边治理机制，我国应当在保护本国数据安全的同时，积极在全球范围内推动建立统一的数据应用标准，建立完善本国的数据应用体系，包括硬件基础设施、数据统一规范标准、数据跨境转移标准、数据监管体系等，在数据战略地位中争取主动权。在目前国际形势下，我国政府应当着眼于数据疆域治理体系的建立，完善国家数据治理模式，在数据时代下优化数据的利用环境，引领全球数据规则标准的制定，让数据为国家发展提供动力。

(二)数据疆域划定与治理的必要性

1.数据与国家主权关系的辩证探究

现代国家主权的构成经历了以让·博丹为代表的国家主义学者所提出至高无上地位，到以《独立宣言》《自由宣言》为始的国家权力构成形态，再到二战后国际主义下的多边体系形成及国家利益边界溢出，主权的内涵和外延不断发生着变化。《网络行动国际法塔林手册2.0版》(简称《塔林手册2.0》)主张，在网络基础设施层面应受国家主权管辖；对于逻辑层，国家可以针对网络某些协议进行管理；对于基础资源层(电子频率及根域名资源)，国家无法对这一稀缺、有限的资源进行垄断，因为把这些资源置于国家主权管辖之下的成本极高，应当采取“全球公域”的思路，像对待太空资源一样尊重其公共性，在这一层面抑制国家主权的适用性。其对于数据层是否适用国家主权管辖尚存在很大分歧，但对于社会应用层明确主张适用国家主权管辖，这是因为数据主体和数据控制者的跨境性和不确定性较大，难以对其进行不间断追溯的权利分配。联合国《突尼斯议程》(Tunis Agenda)中第一次明确了网络治理的“多利益攸关方模式”，认为该模式是网络治理的最佳策略。但该模式也遭到了质疑，如弥尔顿·L·穆勒认为尽管多利益攸关方模式能够在很大程度上兼容并蓄各方诉求，但“在确定利益攸关方权利方面存在不确定性”，难以对各利益攸关方的权利进行有效平衡与分配[5]。也有学者认为数据主权是国家主权在网络空间范围内的延伸。如劳伦斯·莱斯格认为：“从网络空间的基础架构是印象行为模式的规则这个角度上讲，网络空间是有主权的；从任何一套规范都与主权有关的意义上讲，网络空间也是有主权的。规制网络空间的规则可能与规制现实空间的规则不同，正是网络空间的社会规范、自由和法律，越来越广泛地约束着同时生活在现实空间的人们的社区规范、自由和法律。为了抵制网络的基础架构以保证它们自己的主权，现实空间的政府拥有可以任意使用的各种手段，政府应该促使网络架构的设计有利于它的规制，否则它将面临失去规制权的危机。”[6]

作为网络空间最重要的构成部分，大数据能否以国家权力为基础建立起有效的主权体系仍值得商榷[7]。第一，大数据与传统的战略资源有着很大的区别，数据的产生、收集、分析、处理和维护成本相对于传统资源来说要低得多，使得数据的拓展速度和对社会生产力的影响远高于传统资源。而数据的不断更新和交互式流动态势导致国家边界在数据领域愈加模糊，以互联网为基础载体的数据的行为主体也正在通过各种形式淡化和瓦解国家在数据领域的垄断地位。此外，区别于传统的身份户籍信息普查、指纹信息采集等国家主导下的大规模数据收集行为，大数据的收集方式和渠道在互联网与算法技术的推动下被无限拓展，数据的半自动化或自动化收集处理已成常态，这也导致了难以将数据聚拢和限制在一国的权力体系当中。第二，在大数据时代，国家已经不是主要的数据控制者和处理者。要将国家主权延伸至数据空间范围内，首要解决的问题就是数据所有权问题，即国家是否对其境内的本国或外国数据控制者所收集的数据拥有所有权。如果仅因数据主体的国籍来判断数据的所有权或主权，就会忽略数据控制者在数据利用过程中的权利和地位。当然这并不意味着国家对其境内或有关其公民的数据活动不具备管辖权，如欧盟的《通用数据保护条例》中并未规定或承认数据的主权，但却详细规定了欧盟对数据活动的管辖权。第三，数据主权的确立和发展必然需要国际社会的共同认可和支持，而数据在国际间的跨境流动所产生的“数据公域”部分的权利却难以进行界定。美国则以“网络公域”为理由坚决反对网络主权体系的建立，并不断在全球范围内实施其“数据霸权”政策，阻碍其他国家的数据发展政策的实施。

2.数据疆域的划定与治理

得益于其互联网发展水平和隐私权保护传统，欧盟的数据保护和跨境流动的相关规则制定较早。在经历了多次立法和修订活动之后，制定了包括《个人信息保护指令(1995/46/EC)》《电子通信领域个人数据处理和隐私保护的指令(2002/58/EC)》《通用数据保护条例(2016/679)》(General Data Protection Regulation)等数据与隐私保护法案，建立了较为全面的数据保护和跨境流动规则体系，并且将数据治理的核心放在如何保护数据主体的基本权利中。而美国作为全球最早的互联网规则体系制定者，其更关注公民在宪法权利下的信息隐私保护，包括1974年的《隐私法案》(Privacy Act)、《公平信用报告法》(Fair Credit Reporting Act，FCRA)、《加州消费者隐私法案》(CCPA)等联邦和各州的信息隐私安全法案构成了美国的数据信息隐私保护体系。从互联网的基础设施开发建设，到计算机系统的研发使用，再到互联网应用的全球推广，美国均占据着主要地位。诸如谷歌(Google)、微软(Microsoft)、英特尔(Intel)、苹果(Apple)等跨国互联网应用巨头企业，几乎在世界每一个国家或地区的互联网市场中都居于主导地位。在2019年，全球互联网科技企业市值前100的企业中，美国就占据53位，仅在前10位中就占据6位，远高于其他国家。互联网产业的迅猛发展，使得美国更加关注数据的价值，即在平衡数据主体隐私权的同时，实行促进型的数据治理政策，依托其互联网全球化发展的态势，继续维持其在互联网全球市场中的垄断地位。日本、韩国、新加坡等发达国家也在加紧其国内的数据安全保护立法活动，形成其自身的数据安全治理的法律体系。

数据的流动性决定了数据必然会在国家、地区、公司等主体之间进行传递输送；数据的价值性决定了数据必然会成为促进国家经济发展、完善基础设施建设和实现社会治理的最重要手段之一；数据的多样性决定了数据必然包含大量的个人标签性数据，即使这些数据经过匿名化和反识别处理，他人仍能通过大量的数据和技术手段定位到特定的数据主体。国家、企业、个人都面临着数据的跨境流动和传输中的数据主体权利保护、管辖权划定、数据安全管理等大量问题，建立数据疆域体系的必要性也逐渐凸显[8]。数据疆域是一种全新模式下的国家主权和利益在数据领域的表现形态。不同于传统疆域治理与主权之间密不可分的联系，数据疆域的核心是国家对数据的跨境治理和主体权利的保护，建立本国的数据治理体系，并与其他国家或地区之间就数据的跨境流动及权利保护等问题进行合作，共同实现数据的价值最大化。在数据疆域中，难以仅凭数据的来源、数据的存储地、数据控制者的所在地等单独要素来判断数据的所有权和管辖权。

(三)数据疆域治理体系管辖权建立原则

在全球数据跨境流动管辖和治理政策方面，主要以美国和欧盟为主导，但是双方对于数据跨境流动的关注点却不同。欧盟更加关注数据主体的隐私安全，并且以《通用数据保护条例》为核心确立了禁止转移原则，并设立了欧洲数据保护委员会对欧盟境内的数据活动进行统一严格的全面监管。由于该条例在生效时英国尚未脱欧，欧盟有28个成员国，且在世界经济中有了巨大的影响力，所以该条例在全球数据跨境流动中产生了巨大的影响力。美国则倡导数据自由流动，提倡行业自律、分业管理，并在APEC中大力推行隐私保护自问责机制。而APEC作为亚太地区最具代表性和权威性的一体化组织，也是亚太地区最高级别的政府间经济合作机制，其以《APEC隐私框架》《APEC跨境隐私规则》(CBPR)为核心所形成的数据跨境规则体系在全球范围的影响力也在不断扩大。

1.属地管辖原则

网络属地原则的原理是当网络活动发生在国家领土内、涉及有形物体并且是由个人或实体实施的，该国可以对此行使主权。2016年12月27日中国国家互联网信息办公室发布的《国家网络空间安全战略》中直接承认了网络空间为“国家主权的新疆域”。[9]属地管辖原则是国际法中立法、司法、执法权有效分配的原则性规则。在属地管辖权的问题上，《塔林手册2.0》强调了对境内从事网络活动的管辖权。我国《网络安全法》第2条对在中国境内建设、运营、维护和使用网络，以及监督管理网络安全适用该法的规定，也是属地原则在我国立法层面的体现。

2.国籍管辖原则

在数据跨境活动中，国籍管辖原则也叫属人管辖原则，是指一国基于数据主体、数据控制者、数据处理者的国籍或注册地等连结点对数据跨境活动实施数据管辖权行为的基本准则。欧盟《通用数据保护条例》明确规定，该条例适用于设立在欧盟境内的控制者或处理者对个人数据的处理，无论其处理行为是否发生在欧盟境内。这就是典型的属人管辖原则，也是目前在跨国数据控制者所实施的数据跨境活动中适用最为广泛的原则。将本国国民在国外的活动单独作为域外管辖权的标准，这是对有关国家按照国籍原则行使立法管辖权国家实践的肯定。国籍原则除了适用于具有法律人格的主体外，在国际法上，还体现在航空与航海行为的管辖之中。1982年《联合国海洋法公约》第92条第1款中规定，船舶航行应仅悬挂一国的旗帜，而且除国际条约或本公约明文规定的例外情形外，在公海上应受该国的专属管辖。这实质上是要求船舶与船籍国之间应具有真实联系。1944年《国际民用航空公约》(即《芝加哥公约》)第17条中规定，航空器具有其登记的国家的国籍，使得国籍原则在航空器中也继续得以适用。 《塔林手册2.0》将上述国际法实践予以总结，并作为独立依据加以规定，并规定了消极国籍原则，将发生在国外的针对本国国民的事实的网络行为也纳入域外管辖的范围。

3.保护管辖原则

《塔林手册2.0》的规定有着广泛的国家实践基础。如我国的《网络安全法》第5条规定：“国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序。”在《塔林手册2.0》中，网络活动的域外管辖权也将有关国家安全和其他核心利益的网络行为纳入管辖范围。

4.效果原则

效果原则是指一国或地区有权对其境内具有实质性影响的网络活动行使管辖权。本质上，效果原则是基于属地原则而产生的管辖权确定规则。如数据活动并非在一国发起、完成或实质发生，但却在该国产生了具体效果，虽然数据活动并未在该国实际进行，但基于效果原则，该国有权对其进行跨境管辖[10]。

二、国家治理体系下的数据疆域建设

(一) 数据基础工程建设

数据治理体系建设的关键性要素就是要建设本国独立的网络数据基础设施体系，包括数据系统框架、集成电路半导体产业、数字化产业链体系等。早在2014年，国务院便印发了《国家集成电路产业发展推进纲要》，提到要部署集成电路产业链协同可持续发展，努力实现集成电路产业跨越式发展。按照《纲要》设计，到2020年，我国集成电路产业与国际先进水平的差距将逐步缩小，移动智能终端、网络通信、云计算、物联网、大数据等重点领域集成电路设计技术达到国际领先水平。但是截止目前，我国14nm制程的集成电路芯片的制造工艺依旧严重依赖技术进口，14nm以下的集成电路制造技术则依旧存在瓶颈，且规模量产水平与国际先进水平相比仍存在差距。而我国华为公司在半导体集成电路设计突破7nm制程之后，也被美国进行多轮制裁和打压，导致其设计的先进芯片无法进行正常生产。2016年，习近平总书记在国家网络安全与信息化工作座谈会上就已经指出:“核心技术是国之重器。要下定决心、保持恒心、找准重心，加速推动信息领域核心技术突破。”[11]在产业链全球化下，产业分工更加明确。虽然上下游产业链结合，使得企业不需要也没必要掌握每一个生产关键流程，但是在国家层面，并不能仅仅依靠全球产业合作来实现大数据时代转型和数字基础设施建设的目的。美国对中国企业进行的多轮科技封锁和打压，使得这些科技企业生产面临严重困难，如果仍不及时建立我国自主的网络数据基础设施体系，国家的战略命脉就仍然掌握在他国手中。而所谓的国际贸易规则和国际合作信用体系对于某些毫无契约精神的单边主义和霸权主义盛行的大国来说，早已荡然无存。所以，加强网络数据基础设施建设能力，提高我国独立的集成电路等半导体设施生产水平是建设国家数据边疆体系中最重要的问题，也是一个长期性发展的纲要性问题。而大数据系统性技术框架，包括Hadoop、Sqoop、Apache Falcon等在内的应用层面的数据工具，都是开源性的技术，如何用好这些基础性技术来提高本国的数据治理水平，提高我国信息基础设施建设水平，更好地服务我国数字化产业发展，也是数据国家治理中的重要问题。

(二) 统一数据标准

由于大数据具有4V特性，即海量的数据规模(Volume)、快速的数据流转和动态的数据体系(Velocity)、多样的数据类型(Variety)和巨大的数据价值(Value)，所以在数据处理过程中，数据源类型不一致、数据设计不统一、数据源存储地址不同、数据处理流程标准不同等原因所造成的数据孤岛、数据混乱等问题屡见不鲜，并最终导致数据泄露和滥用的结果，引起数据安全危机。在国家战略层面上，统一数据标准规范对于建设本国数据边疆体系来说相当于为国内的数据发展制定基础框架和模式，其重要性不言而喻。

(三)建立和完善数据治理管辖体系

1.立法管辖权

由于各国的法律规定以及各种类型的条约、公约所约定的内容不同，立法管辖权的行使存在多种依据，因此两个以上的国家可以对同一网络活动并行管辖权。以一国国民在另一国境内从事网络行动为例，前一国家基于属人原则享有境外立法管辖权(《塔林手册2.0》规则10)，后一国家则基于属地原则同样享有此种管辖权(《塔林手册2.0》规则9)。如果两国对于该网络行动有着清晰且相同的定义，或都将该行为定义为犯罪行为，在国际法上将是合理且具有可操作性的，但是仅限于对该人、物或行为性质的立法管辖，在实际执行中仍要面对执行管辖权冲突的问题。域外执行管辖权比立法管辖权受到更多的限制，因为境外是指一国国境之外的其他地域空间，包括他国领域、无主领域、外层空间等。无主领域如公海、南极洲等地球空间，国家在其之上的执行管辖权主要依据属人管辖原则及国际公约的规定，其关键在于执行管辖权的权力正当性。而一国在他国领域并无执行权力，就此而言，一国在他国领域行使执行权必须获得他国同意或国际法上的特定授权。一般来说，对从事网络活动的人员和相关网络基础设施行使司法管辖权的实际范围与立法管辖权相同。换言之，一国如对任何人、物和行为可以制定法律法规，也可以对这些人、物、行为行使司法管辖权，除非它们享有司法豁免(《塔林手册2.0》规则44)。《塔林手册2.0》规则9明确规定，国家可对下列事项行使属地管辖权：(1)在其境内的网络基础设施和从事网络网络活动的人；(2)在其境内发生或完成的网络活动；或(3)对其境内具有实质性影响的网络活动[12]。

2.执法管辖权

一国行使执法管辖权主要依据于属地原则。属地管辖权是主权原则的根本属性。因此，在国际法规定的范围内，每个国家都有权对其境内的人和物行使三种形式的管辖权，即包括立法、执法、司法管辖权。而在实际操作中，由于只有在一国主权控制范围内才能实现三种管辖权的完全实施，属地管辖权适用于一国境内从事网络活动的自然人和法人，及其境内的网络设施和数据等，这使得基于属地原则行使管辖权已经成为最普遍最直接的管辖权行使方式。在《塔林手册2.0》制定的过程中，国际专家组认为，如果在一个跨国境的网络活动中，某中间国的网络基础设施是整个网络活动中重要且不可分割的部分，那么该国就对此次网络活动基于属地管辖原则而具有管辖权[12]。例如，A国的单位以控股方式控制B国某网络基础设施提供商，使其设置一个通信病毒，进而对C国的网络通信系统实施分布式拒绝服务行动。此时，对于该网络活动，A、B、C三国均具有管辖权。A国和C国的管辖权基于属人管辖原则，B国的管辖权基于属地管辖原则。但是，对于在一国的网络通信基础设施中只具有较少且不紧密联系的网络活动，该国是否可以基于属地原则行使管辖权，国际专家组对此并未形成统一意见。在互联网和通信设施全球化分布的今天，即使是无线数据传输，仍是通过多个数据续传基站进行不间断传输的，所以数据在传输过程中经过多国网络设施是较为普遍的现象。例如，A国行为主体实施了一项对B国数据窃取和破坏的网络技术行为，数据通过了C国的网络路由端口。一些专家组成员认为，该行为由A国行为主体实施，最终对B国产生了实质性影响，而C国的网络设施仅在其中发挥了极其微弱且不紧密的作用，也不涉及C国利益，因此C国对该行动不享有管辖权。但是也有意见认为，即使该网络行为同C国的联系极为微弱，也不能否定C国通过法律手段和行使相关管辖权禁止恶意数据破坏行为通过本国。《塔林手册2.0》中同样确认，一国有权对发生或完成于本国的网络活动行使属地管辖权[12]。“主观”属地管辖权适用于在一国境内发生的任何网络行动，而无论其是否具有域外效果。对于在一国境内发起，完成于境外的网络活动，如果该行为针对的是该国境内的人或物，则该国可以行使“客观”属地管辖权。由于有关行动对另一国境内的网络基础设施产生后果，对该行动也存在以客观属地原则为基础的管辖权[12]。假设A国某黑客在B国进行技术性数据窃取行动，通过向C国某大型互联网企业设置在B国的服务器端口上载病毒代码，窃取该企业的数据资料。B国基于主观属地性享有管辖权，而C国则基于客观属地性对该数据窃取行动享有管辖权。同时，在有些情况下，多个国家可能都有权行使客观属地管辖权，比如某个非特定性的恶意软件只向一个以上国家的网络系统并实施恶意攻击。由于大数据的高速流动性和互联网的全球性分布，特定网络攻击行为何时开始，从何地开始或结束都变得不明确了。互联网通信技术的快速发展以及技术手段的多样性使得网络攻击行为人对于网络攻击活动的计划性更强，通过技术手段规避管辖权或隐匿行为发生地或目标地，这使得各国对于网络行为的管辖权连结点逐渐向实质性联系靠近，即该网络行为只要于一国境内具有实质性联系就可以作为该国具有管辖权的依据。这也被称为“效果原则”。它主要适用了并未在一国境内实际发生，但是却对该国产生后果的行为。

3.司法管辖权

而效果原则体现最明显的就是所谓的“长臂管辖”原则，即一国以他国主体在其境外实施的行为对本国国家或经济安全产生影响而主张管辖权。其中最典型的就是美国的“最低联系原则”。美国法院根据长臂法案的授权，依据“最低限度联系”原则，在非居民被告与法院的联系满足美国宪法正当程序条款所要求的最低联系时，对非居民被告行使特别管辖权或者一般管辖权所形成的管辖权范围扩张的效果。21世纪以来，受到“萨班斯法案” (Sarbanes-Oxley Act)、“联邦证券法”(Securities Act of 1933)、“爱国者法案”(USA PATRIOT Act，全称为“透过使用适当之手段来阻止或避免恐怖主义以团结并强化美国的法案”)的推动，美国联邦政府司法部门越来越多地以长臂管辖为武器，对境外机构和个人提起诉讼和惩罚，当外国公司与美国建立了某些直接或间接的运营、合同或商业关系且具有持续性或经常性特征时，往往会触发这种管辖权[13]。而目前常见的方式是，联邦政府动用长臂管辖权对境外机构或个人发起司法调查和起诉。在《塔林手册2.0》制定过程中，国际专家组成员对毫无限制适用效果原则并未能形成一致观点，即对一个网络行为行使国家管辖权时要求该行为至少有一个构成要素发生在该国境内。然而，效果原则在实际中的适用范围逐渐扩大，当然同时也受到许多防止其扩大适用的限制。

单从网络环境下针对数据的破坏行为的特性看来，效果原则显得尤为重要。虽然基于效果原则行使管辖权限制较多，但是基于效果原则进行国内立法是一国主权下的合法权力，例如为了保障国家安全、公民数据隐私或本国关键产业正常发展，通过制定法律来适当扩大管辖权的范围也是国际法所允许的，只要其他国家的合法利益不受到合理侵犯。但是必须将效果原则与作为行使域外管辖权依据的保护性原则(《塔林手册2.0》规则10)以及主观和客观属地原则区分开来。不过需要重视的是，以效果原则适用域外管辖权时，将面临国家间法律冲突问题，即该行为在行为主体所在国是合法的数据处理行为，但是在本国立法中却将其认定为非法行为，并基于效果原则对其予以法律惩罚，这将侵犯到他国的主权和正当利益。对于上述情况，国际上并未形成共识，只能以个案为基础进行分析，大多数情况下只能通过单边制裁或境内制裁等方式对行为人予以惩罚。这也是亟需在全球范围内形成统一的数据保护规范的重要原因之一。

根据我国国家信息安全漏洞平台公布的信息系统安全漏洞数量统计，自2018年至2019年，我国信息系统中的安全漏洞数量整体呈增长趋势，且增速加快态势明显，数据安全形势不容乐观[14]。我国《数据安全法》(草案)中首次在国家战略层面提出数据利用安全发展的概念。国家坚持维护数据安全和促进数据开发利用并重,以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展，并建立数据安全审查制度，对数据活动进行安全审查。

国内方面，亟需制定一部全国范围内统一的专门性数据法律，划定和明确大数据治理范围边界，对个人信息数据的权利范围和内容进行定义，加强对数据控制者的法律地位和责任的探讨，建立公共领域和非公共领域的数据区别监管治理模式；对特定性收集的数据和非特定性收集的数据法律标准予以设定，有针对性地制定各行业数据利用和发展规划。我国2017年6月1日实施的《网络安全法》首次明确规定了信息收集使用的基本原则。2020年5月28日通过的《中华人民共和国民法典》中专门在人格权编下设立了个人信息权保护的相关规则，并对个人信息以及涉及隐私权部分的信息进行了定义。国家网信办也在通过制定《App违法违规收集使用个人信息行为认定方法》《儿童个人信息网络保护规定》《网络信息内容生态治理规定》等各种行政性规则来对信息数据的利用行为进行规范调整，但是缺乏系统性的数据法律，难以在实际操作中形成有效的数据治理体系。欧盟制定了《1995年个人数据保护指令》《通用数据保护条例》，建立起了统一适用于各行业的法律框架，并且严格制定了关于个人信息收集和处理的标准规则。我国在进行数据顶层设计、统一立法的同时，应鼓励各行业积极进行探索，加强数据行业的自律，提高我国数据生态规则保护环境。2020年10月21日，《中华人民共和国个人信息保护法(草案)》公布并公开征求社会公众意见。草案第四条明确规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息；个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。”同时，借鉴有关国家和地区的做法，草案还赋予了必要的域外适用效力，以充分保护我国境内个人信息安全的权益。

国际方面，我国应积极参与地区性和国际性的数据治理规则建设活动，重视APEC数据规则体系在全球数据治理体系中的作用，以对国内数据安全环境评估和监测为契机，对APEC下的隐私单边计划(Individual Action Plan，IAP)重新审视和评估，并在此基础上建立我国数据隐私保护框架体系；以联合国2015年《信息安全国际行为准则》为基础，推动联合国信息数据治理国际体系建设，在数据治理协同合作和互利共赢的基础上，发挥我国地区影响力；以数据治理为起点，加强国际数据合作平台建设，创新数据安全隐私保护、数据应用监管、数据跨境流动等模式，将成果向我国数据治理体系转化，发挥地区优势，提高我国数据治理的能力和水平，在数据国际治理中取得先机，占据优势地位。

(四)设立独立数据监管治理机构

大数据的高速流动性和来源多样性使得数据形式、数据存储地点、数据交换方式同样具有多样性。而各个数据控制者之间的数据利用方式和标准不一，一国内部各个数据控制者数据治理水平的差异使得对本国的数据进行统一的监管和治理就显得尤为重要。目前我国并未对数据保护和监管设立独立的机构或者部门，而是将其具体职能由多个部门分担。我国互联网信息办公室与网络安全和信息化委员会负责对大数据制定统一的发展和治理方案，工业和信息化部则负责具体制定数据利用标准，监督数据收集利用的安全性等，而对于数据侵权、数据滥用、数据倒卖等行为则由相关监管机构具体进行打击处理。随着我国互联网的高速发展，各地都出台了大数据发展规划或发展建议，鼓励企业通过大数据运用增强竞争力，提高企业生产效率；国家还将大数据纳入到各地政府部门的公共服务平台建设当中去，利用大数据平台来优化本地的社会公共治理模式和基础设施建设能力。想做到对于如此大规模的跨地域、跨行业、跨层级的数据流动和利用进行有效治理，只能通过设立统一的监管机构，在国家层面对数据的利用进行综合治理和协调监管，否则将会使经济水平存在差距的各地区、利用标准不统一的各行业之间的数据治理差距越来越大，最后难以进行有效的自由流动和治理。欧盟作为目前最严格的数据保护地区，为了各成员国间适用《通用数据保护条例》的一致性，通过设立欧洲数据保护委员会(European Data Protection Board，EDPB)作为独立的欧盟数据保护机构，取代原第29条工作组(Article 29 Data Protection Working Party,29WP)。为实现其拟定目标，数据保护委员会具有法律主体人格，同时，根据《通用数据保护条例》第五十一条规定，各成员国内也应当设立一个或多个独立的监管机构负责监督条例的适用，并且保证本国机构遵守一致性原则。可以看出，欧盟从立法到监管机构的设立，都无不体现着数据一致性原则。欧盟对境内各国间的数据保护差距的一致性适用对于我国目前来说具有很大的借鉴意义。只有在数据应用发展早期阶段进行统一治理，设立统一数据治理监管机构，最大限度地平衡各地区间数据治理水平差异，才能在数据应用发展成熟时期做到各地区间数据应用和保护能力一致性，避免地区间数据治理水平差异化扩大，甚至形成两极分化态势。

(五)数据跨境治理全球合作体系

数据边疆不同于传统的疆域形态，不能以传统主权模式对国家治理下的大数据进行疆域或国家权力范围划界。实际上，对于大数据这种新的生产性战略资源，传统的国家主权理论如何适用都没有明确的定义。跨境数据流动的价值在于打通互联网连接下的国际经济渠道，使得各国之间的交流沟通更加便利，充分发挥全球产业生态建设的优势，促进全球化进一步升级转型。而在现实中，跨境数据流动对一国数据安全和经济生态的冲击日益显现，逐步侵蚀一国数据生态体系，只有对数据的跨境流动及时进行国际化合作治理，加强各国协作，共同建设和维护全球数据跨境生态体系，才能使互联网时代向大数据时代更好地转型过渡。

我国人口数量巨大，网民规模庞大，数据不经管控就进行跨境流动，将会使数据泄露和滥用变得极不可控，尤其是在国家管辖权以外的范围，国家很难对此采取有效措施。目前我国对涉及公民隐私等关键数据收集处理的境外互联网电信企业所采取的政策是禁止其将涉及公民隐私的数据传输至境外。我国《网络安全法》第三十七条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。”美国苹果(Apple)公司于2018年2月起将所有中国境内的iCloud数据转移至中国大陆国有控股企业云上贵州进行存储，包括密钥和基础数据在内的所有数据内容，也就是说iCloud所收集的公民个人数据均不得主动向境外输送。因此，我国对于涉及国家和社会安全的重点信息和网络服务领域的数据均实行境内存储处理的规定，限制将我国境内数据擅自传输至境外。这虽然在一定程度上降低了数据在境外泄露和滥用的风险，但是由于缺乏专门的技术监管机构对其进行常态化监管，难以定义交叉式数据服务商的性质，对不特定环境下的数据跨境自由流动无法做到有效治理。据《中国数字经济发展白皮书(2020)》显示，2008—2018年，全球数字服务出口规模从18 379.9 亿美元增长到29 314.0亿美元,年平均增长率约为5.8%[15]。大数据应用服务在国际服务贸易中所占比重和规模越来越大，这必将引起数据的国际管辖权等问题的冲突。技术进步和商业模式的变化已经使得传统的具有针对性的数据跨境传送模式逐渐变成了常规性、大规模的数据流动，即由“Data transfer(数据传输)”转变为“Data flow(数据流动)”。数据的跨境流动将面临各个国家或地区数据保护标准和规范不统一的问题，导致数据将面临泄露、滥用、损毁等复杂性风险，数据控制者也将面临巨大的法律风险。这些状况不利于我国发展数据全球化应用体系，实现扩大和增强数据生产力的目标。

我国在完善国内数据法律法规体系建设的同时，还需要积极参加和领导制定数据的国际性法律体系，通过联合国等国际组织，对数据主权、数据疆域划定等问题积极开展国际合作，促成各国就大数据相关问题达成共识，制定统一的国际性标准。经济合作发展组织(OECD)所制定的《保护个人信息跨国传送及隐私权指导纲领(1980)》及2013年经合组织发布的新版指南文件《经合组织隐私框架》已经成为各国在制定数据跨境流动法律时所参考的重要标准。亚太经合组织(APEC)作为亚洲地区级别最高、最具影响力的经济合作官方平台，在促进数据的跨境流动规则制定方面，也在积极组织各方进行协商。2004年，APEC第16届年度部长会议就正式签署了《APEC隐私保护框架》(APEC Privacy Framework)，规定了要建立APEC跨境隐私保护规则(CBPR)，在实际操作层面促进《APEC隐私保护框架》在国际(地区间)的实施。而成员经济体要想加入到CBPR规则体系当中去，按照《APEC隐私保护框架》第39条的规定，成员经济体应当通过完成并更新信息隐私单边行动计划(Individual Action Plan，IAP)，表明其提高个人信息保护水平的态度和进程。目前我国并未向APEC提交IAP，也并未加入到CBPR体系中。无论是OECD的《隐私权指南》还是APEC的《隐私保护框架》，都是在美国主导之下进行的，其中对保持信息安全和自由流动之间平衡性的原则与美国的合理使用信息原则(Fair Information Practice Pricinple)核心理念上基本相同。美国与欧盟2000年所签订的《安全港框架协议》(Safe Harbor Framework)，允许网络运营商忽略欧盟各国法规差异，在美国与欧盟国家之间合法传输网络数据，包括谷歌、脸书等在内的4 000多家美国科技公司的欧洲运营模式受到该协议的保护，将欧洲用户数据输往美国存贮及分析。作为数据跨境转移政府间合作的首次范例，其实质是美国为维护和促进其本国数据企业在全球范围内尤其是欧盟范围内的利益，将其国内的行业自律和市场调节下的分散数据立法体制向欧盟的统一立法体制做出的妥协。该协议对双方之间的数据流动进行了标准化协调和监督，以达到欧盟严格的数据安全标准和数据监管力度。不过，该协议最终由于美国数据安全环境被欧洲法院认为不足以保护欧盟公民个人数据而宣告废除。

以上法律实践说明国家间数据跨境流动规则的制定对于国家之间的数据安全环境、数据监管标准等有着严格的要求。在此基础上，我国应重点探索数据跨境流动与监管模式的创新，建立跨境数据流动分类监管模式，开展数据跨境传输安全管理规划，加强国际间数据合作双边、多边协议体系建设，积极主导和参加联合国、APEC等国际组织中的数据跨境规则治理活动。

三、完善数据疆域治理体系的战略意义

大数据使新的社会经济业态发展迅速。如今的数据利用，正在从有目的性的数据采集向不特定性的数据收集发展，推动经济向数字化转型升级。对此，从维护国家安全看，建立数据疆域治理体系尤为重要。世界经济数字化转型是未来社会发展的必然趋势。习近平总书记多次指出，要加快数字经济发展。2020年4月1日，习近平总书记在浙江考察时再次强调，要善于化危为机，抓住产业数字化、数字产业化赋予的机遇，抓紧布局数字经济。数据显示，我国数字经济在GDP中占比已经超过三分之一[15]。我国在互联网下的数据细分领域市场规模正在稳定增长，在云计算、人工智能、5G等新技术的赋能下，新产品、新业态层出不穷。与此伴生的数据问题也日益凸显，数据滥用、数据侵权、数据泄露问题层出不穷。由于数据治理法律和规则未能下沉到数字经济的基础应用当中去，使得数据收集利用不规范、不统一，个人信息数据保护不到位，缺乏体系化监管模式，这些都要求国家在数据治理方面发挥更多的作用。

更为关键的是，数据通道早已通过网络渗透到社会的每一个角落中，直接关乎国家和社会的安全稳定。如果国家缺乏对本国大数据的治理和保护能力，不仅会使数据难以在社会发展中发挥其真正价值，还将使国家的经济体系和社会治理完全暴露在网络中，任由他国任意对数据进行分析和滥用，从而危及国家安全。由于美国早已在半导体芯片和互联网基础科技中形成了全产业链国际布局，导致我国企业高度依赖进口的半导体芯片、工业互联网软件等基础性技术在受到打压后，只能进一步让步和妥协。我国数据的基础设施将会完全受制于他人，大数据渗透下的国家安全将无从保障。同时，美国依靠其在全球工业互联网和产业互联网体系中的核心控制力，在互联网标准体系建立中早已取得优势地位。1988年通过的《国际电信规则》，赋予了美国对于互联网的实际控制权，实际通信中使用的网址(IP地址)最终由处于网络顶端的13台DNS根服务器来决定。这13台服务器中，日本、英国和挪威各有一台，其余10台全部在美国。在美国的10台中，2台由军队使用，1台由美国国家航空和航天局使用。这13部电脑指令程序的内容都由互联网名称与数字地址分配机构(The Internet Corporation for Assigned Names and Numbers，ICANN)一手控制全世界网址及网站的域名分配，从而控制了整个国际互联网的核心架构[16]。而美国的数据库的规模和搜索引擎能力也在全球占据着绝对优势。在地区中，美国在OECD和APEC中所主导的数据隐私规则和跨境规则也产生着主导性的地区影响力。2020年6月，美国在APEC事务级别磋商中提出，将CBPR体系独立于APEC框架外，其目的很可能是将本为APEC成员的中国排除在外，阻止中国参与到国际数据体系规则的制定当中去，同时试探将已脱离欧盟的英国拉入到CBPR体系中去，实现其对世界数据规则体系的垄断和支配目的。

面对如此复杂多变的数据全球化形势，我国只有建立通过本国的数据边疆治理体系，坚持人类命运共同体理念，积极参与数据国际治理体系中，才能在危机中育新机、于变局中开新局，充分发挥我国数据应用优势，顺利实现我国的数字化转型目的。

四、结语

综上所述，数据跨境管辖权是数字经济环境下的重大现实命题。社会存在决定社会意识，数据主权和疆域理论的产生和发展离不开社会形态的发展变化。在由信息时代向数据时代转变的过程中，国际法上的国家疆域理论亟需得到完善和发展，以适应各种新型的国家利益冲突。我国应以数据管辖权为核心，建立和完善我国开放性的数据疆域治理体系，形成全球性、系统性的数据管辖权理论体系，积极主动适应数据全球化下的国家利益扩散态势，大力拓展数据发展新空间。随着全球化的深入，国家利益形态将更加具有多样性。但是无论管辖权理论如何发展和变化，其深刻的国家属性终究不会产生变化，只有在国家数据主权的基础上才能明确大数据疆域边界。各国或地区之间应当以属地管辖为原则，通过跨境管辖合作来界定各国的数据疆域边界和管辖权。如果仅以数据产生的效果或数据主体的国籍为准则适用管辖权，将容易引起管辖权冲突和重复管辖的问题。