数据主权视野下我国跨境数据流动治理与对策研究

冉从敬　何梦婷　刘先瑞

編者按：数智化时代下，数据逐渐成为生产要素与战略性资源，国家主权不再局限于传统的领土、领海、货币等范畴，伴随网络空间开拓和战略资源的拓展，数据主权应运而生，作用于重塑国家权力体系，影响着国际竞争焦点，各国围绕数据主权相关的数据管理权和控制权展开激烈的角逐，均在数字空间之中谋求数据资源治理的话语权，最大限度维护自身数据主权安全，推动自身数据权益最大化。

我国充分重视并推进数据主权安全治理，自2015年颁布《促进大数据发展行动纲要》并正式提出数据主权后，又陆续在《网络安全法》《数据安全法》《全球数据安全倡议》等制度及文件中进一步强调数据主权安全保障，关切数据主权治理体系的数据基础设施、专门法律制度、数据资源管理、主体责任机构、个人数据权利、数据流转机制等多个方面，从国家、政府、企业、个人等多利益相关视角开展治理实践，以数据本地化为主要实施原则形成了初步治理体系，但我国数据主权的安全风险预警、权益平衡、流转机制、能力评估等关键问题仍亟待解决，如何使数据在流转中创造价值并保障国家数据主权安全的相关方面也尚待探索。

基于上述背景，本刊特邀武汉大学信息管理学院冉从敬教授组织了“数据主权安全治理”专题。本专题四篇文章作为国家自然科学基金面上项目“多源大数据融合驱动的产业管理模型设计及领域实证研究”（项目编号：71774123）核心研究成果，从国家主权安全视角出发，或着眼于国际数据主权安全治理经验而归纳其中的治理风险、治理需求及关键问题，或充分调研我国数据主权安全保障相关制度与实践而从宏观层面提出数据主权安全的战略保障及治理路径，或聚焦我国数据主权安全治理能力评估的具体问题探寻科学可行的评估指标和实施办法。

本专题将在完善我国数据主权安全治理体系、推进国家治理体系和治理能力现代化建设等方面具有重要的理论研究支撑作用！

摘   要：数据成为新兴生产要素，跨境数据流动愈加频繁，网络空间拓展成为“第五疆域”，传统主权概念延伸至网络空间，“数据主权”应运而生。跨境数据流动成为我国数据主权治理核心。文章立足数据主权保障视角，充分调研国内外跨境数据治理制度体系与实践，基于管辖原则剖析其核心治理模式与冲突所在，总结区域内效果管辖、全球化扩张管辖、集中本地化管辖三种跨境数据治理模式与其中存在的立法、司法、执行与治理冲突。基于此，文章结合我国现状，提出优化资源安全保障、促进数据资源流动、加强域外规制、推进治理规范化、融入国际治理体系、参与治理对话、参与国际合作等可落于实处的对策与建议，以从国内外双向优化跨境数据治理，为我国数据治理实践提供借鉴，保障我国数据主权。

关键词：数据主权;跨境数据流动;数据流动治理;数据对策

中图分类号：G203   文献标识码：A   DOI：10.11968/tsyqb.1003-6938.2021052

Research on the Governance and Countermeasures of Chinas Cross-border Data Flows from the Perspective of Data Sovereignty

Abstract As data becomes an emerging production factor， cross-border data flows are more frequent， cyberspace expands into the "fifth frontier"， and the traditional concept of sovereignty extends to cyber space， data sovereignty emerges. Cross-border data flow has become the core of data sovereignty governance in China. This paper， from the perspective of data sovereignty protection， fully investigates the system and practice of cross-border data governance at home and abroad， analyzes the core governance models and conflicts based on jurisdictional principles， and summarizes the three cross-border data governance models， namely， intra-regional effect jurisdiction， global expansion jurisdiction， and centralized localization jurisdiction， as well as the legislative， judicial， enforcement and governance conflicts that exist among them. Thus， practical countermeasures and suggestions， in an attempt to provide references for China's data governance practice and safeguard China's data sovereignty， are proposed to optimize resource security， promote data resource flow， strengthen extraterritorial regulation， promote governance standardization， integrate into the international governance system， participate in governance dialogues， and engage in international cooperation， in order to optimize cross-border data governance in both directions， national and international.

Key words data sovereignty; cross-border data flows; data flow governance; data responses

1   引言

数字经济发展浪潮下，数据核心地位不断凸显，在国家与社会发展中占据重要地位。2015年，我国颁布《促进大数据发展行动纲要》，着力在公共治理、产业发展、文化教育等领域提升数据的战略地位。数据突破地理国界限制，在网络空间广泛传播，催生复杂的数据权利问题并逐渐与国家安全与主权深度关联，网络空间由此成为“第五疆域”，数据主权概念兴起并逐步成为各国发展战略的核心。

在全球化格局重组、信息技术发展和大数据广泛应用的新背景下，数据跨境交流进一步深化，在当前尚不完善的制度法规下引发诸多安全风险与权利争端，以完善数据跨境流动治理为侧重点的数据主权战略整合趋势愈发明显，全球各国陆续在其主权宣言、数据治理政策等文件中纳入跨境数据管理方案。我国数据跨境管理在国际博弈中略显被动[1]，难以支撑数据主权治理体系完善和数据竞争实力强化，如何在借鉴国际数据跨境实践经验基础上，构建符合我国国情与战略需求的数据跨境治理体系，成为我国社会发展的关键。本文充分调研与剖析国内外数据主权视野下的跨境数据流动治理方案与实践，深入探讨数据跨境流动管辖冲突与成因，借鉴国际经验，结合我国数据主权治理实际需求，构建我国数据主权的跨境数据治理对策，力图为我国数据主权下的跨境数据流动治理提供参考方案。

2   国家数据主权与跨境数据流动治理研究进展

随着数据对国家政治稳定、经济发展、社会和谐的重要性凸显，国内外学者均关注到跨境数据流动治理对国家主权安全的重要性，探讨两者间的关联，分析跨境数据流动中的数据主权争端，并探索其协调、合作和解决措施。早期研究集中于探讨跨境数据流动与数据主权的内涵与关联，关切数据治理对数据主权的影响及其背后原因：如Wriston[2]和Forrest[3]认为数据具有开放性和流动性，跨境数据流动同网络发展水平密切相关，威胁国家稳定发展，并引发数据主权管辖冲突;De Filippi和Mc Carthy[4]基于云计算分析了跨境数据流动给国家数据主权带来的影响;Heintschel[5]认为跨境数据流动涉及数据信息的生产者、运输传送者和接受使用者等多个主体，在各主体分属不同国家情况下，极易引发主权争端;Peterson等[6]在跨境数据流动背景下，进一步探讨数据主权的内涵、分类和边界范围等;李海英[7]基于全球跨境数据流动规则调整，分析了其对数字产业的影响，引发的主权风险，并提出应争取国际规则制定的话语权。

随着实践不断发展，学界开始从数据资源、管理方、个体方等多角度提出了跨境数据中的主权保障策略[8]。如Amoore[8]從物理和内容两层确定了数据管辖权归属;Irion[9]指出了各国政府在数字政务中应协调管辖冲突;李艳华[10]认为应加快统一数据保护立法，建立分类和评估机制以维护数据自主权;马兰[11]认为应从数据范围、掌握数据资源的主体以及跨界数据流动的目的、条件方面予以规制;安宝双[12]提出促进多方共治、应用先进技术、建立数据产业园区以保障数据主权。

总体上，数据主权下的跨境数据治理已引发学界广泛关注，但目前研究尚未整体把握国际形势下数据治理实践与模式，对于实际数据跨境流动中的治理需求也尚未深入调研与分析。基于我国需求和现状提出的部分规制和协调对策也相对欠缺。因此文章全面展开全球跨境数据流动治理实践调研，分析其中核心治理诉求与关键着力点，综合国际治理模式与我国治理需求，构建面向我国数据主权安全需求的跨境数据流动治理对策。

3   数据主权与跨境数据流动定义

主权是国家概念的核心，传统国家主权概念始终与地理空间因素关联。大数据时代下，网络空间中的数据资源进一步成为国家重要战略资源，围绕网络空间展开的数据资源争夺与综合国力竞争愈演愈烈，“存储和处理某些类型的数据的能力，很可能会让一个国家在政治和技术上优于其他国家，进而可能导致在跨境数据流动中的国家主权丧失”[13]。传统主权概念由此延伸至网络空间，“数据主权”应运而生。

数据主权是网络主权延伸到网络空间与数据层面的必然结果。当前“数据主权”概念主要以原则性条例的形式出现于相关国际组织与国家制度中。北约在《网络行动国际法塔林手册2.0版》中提出，各国在其疆域内的数字基础设施和网络活动中具有行使主权的权力，在全球可出于自身需要实施网络治理;2015年，我国国务院印发的《促进大数据发展行动纲要》首次从官方层面对数据主权作出表述，要求增强网络空间数据主权保护能力;2021年的《数据安全法》凸显“数据主权”概念，要求重要数据，尤其是核心数据的出境要经过国家安全审查。文章基于相关研究与政策文本，认为数据主权指一国对其管辖下的数据享有的最高权力，即独立自主占有、处理和管理本国数据并排除他国和其他组织干预的国家最高权力[14]。

数据跨境流动（cross-border data flow），主要指数据跨越物理国界的传输和操作，或是数据虽未跨越国界但可被第三国的主体访问和使用[15]。大数据时代跨境数据流动趋势不断增强，全球互联互通背景下的数据跨境流动是实现经济、技术等全球化均衡发展的必备要件[16]。当前国际数据跨境治理体系尚不完善，数据跨境在带来巨大经济、社会、文化价值的同时，也威胁国家安全与社会公共利益[17]，跨境规制方案成为数据主权安全保障焦点，成为维护国家数据主权的核心要义。

立足国家数据主权安全保障需求，世界各国都不断以相关法律、政策及战略完善数据跨境安全管理体系。1980年开始，欧盟持续颁布《关于隐私保护与个人跨境数据转移指南》（Guidelines on the Protection of Privacy and Transborder Flowsof Personal Data）、《有关个人数据自动化处理的个体保护公约》（Convention for the Protection of Individuals with regard to AutomaticProcessing of Personal Data）、《数据保护指令》（Proposal For a Council Directive Concerning the Protection of Individuals in Relation To the Processing of Personal Data）等跨境治理条例，并以2018年的《通用数据保护条例》（General Data Protection Regulation）进一步夯实“外松内严”原则，对数据跨境转移做出专门规定;2019年，俄罗斯在《主权互联网法》（Sovereignty Internet Law）中首次提出“数据传输本地化”要求;2020年，日本发布了《个人信息保护法》（Amended Act on the Protection of Personal Information）修改法，力图解决个人数据跨境流动风险; 2021年6月，我国《中华人民共和国数据安全法》出台，第一章第十一条规定“国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作，参与数据安全相关国际规则和标准制定，促进数据跨境安全、自由流动”[18]，将数据跨境流动安全问题提升至总则高度。

4   主权视角下的国际跨境数据流动治理实践与治理模式

在国际数据主权体系建设中，各国对数据跨境流动治理的重视程度日渐加深，在其特定需求与内外部环境下，形成具有鲜明特色的治理模式。因此，充分调研国际数据流动治理实践与模式，对把握我国治理关隘、构建我国主权治理体系具有重要意义。本文全面调研了欧盟、美国、俄罗斯的政策及实践，以传统管辖权理论中的“属人”“属地”“保护性管辖”等原则为划分依据，归纳不同治理模式，剖析其核心要点与适用范畴，为本文梳理我国对策奠定基础。

4.1    欧盟：以属地为主、属人为辅的域内效果管辖模式

以欧盟为典型代表的国家具有以联盟为核心、成员国为支撑的独特区域组织结构，其域内效果管辖治理模式致力于实现属地和属人的相对协调和平衡，追求全面促进欧盟内各国之间数据资源传输和自由流动，加快“单一数字市场”形成。同时，欧盟也通过充分性认定、构筑信任机制等密切限制内部成员国与境外第三方的数据流通，因循“人权”传统的治理思维，重视保护个人数据权等主体权益，在严格保障国家数据主权安全的同时，也进一步提高数据流通治理变通度。

（1）因循组织特征的以“单一数字市场”为目标的属地管辖优化模式。欧盟具有独特组织形式与内部优势。对内，以属地原则破除数据自由流动壁垒，力图形成“单一数字市场”;对外，以“地理区域”为基准，基于“充分性认定”标准保障数据向域外流转的环境安全，构建起独特的“事前保护”实施模式，优化特殊组织结构下的数据跨境治理基础。

首先，对内破除境内数据自由流动壁垒，积极构筑“单一数据市场”。对内而言，欧盟数据产生、搜集和处理均在联盟内部，成员国具有共同的历史文化背景[19]，从而有统一内部数据政策的先天优势与实施基础，各国间仅需因循属地原则即可实现统一认证、管辖与流动，从而适用与强化属地管辖原则。欧洲理事会（Council of Europe）于1981年通过了《有关个人数据自动化处理的个体保护公约》（Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data），形成全球第一部对成员国具有法律约束力的区域性公约，要求欧盟成员国之间的个人数据应自由流转;随后于2015年颁布《数字化单一市场战略》（Digital Single Market Strategy，DSMS），旨在消除欧洲跨境电子商务障碍[20]，并提出了DSMS下提供优良产品及服务、创造网络数据发展的优势环境和发挥数据流动市场的潜能的三大着力点[21]，规避各成员国因数字立法与监管程度差异而带来的企业合规成本与数据跨境风险;2018年通过的《通用数据保护条例》（General Data Protection Regulation，GDPR）规定只要符合流通标准，数据就可在成员国间自由流动[22]，扫除了欧盟成员国之间数据传输和交换的障碍;2019年通过了《欧盟非个人数据自由流动框架条例》（Regulation on a framework for the free flow of non-personal data in the European Union），旨在协调欧盟中除个人数据外的数据（Non-personal Data）自由流动规则，消除其内各国的数据本地化规定的障碍[23];2020年先后通过和审议了《欧洲数据战略》（A European Strategy for Data）、《数字服务法》（the Digital Services Act）、《数字市场法》（the Digital Markets Act）等草案，致力于构建内部数据自由流动体系，将维护公共安全秩序和其他合法的公共政策目标作为例外。

同时，对外以属地原则，基于“充分性认定”标准，保障本国数据向域外流转的环境安全，构建起独特的“事前保护”实施模式[24]。欧盟以地理区域为基准，将联盟视为统一平台与地理范畴上的“国家”，通过“单套规制”①来构建一致的治理体系和数据出境标准，纳入巨额罚款等处罚进一步保障主体权益和国家权力。欧盟以“充分性认定”②为数据准出评估与保障路径，利用“白名单制度”③将符合充分保护标准的国家列入可进行数据传输的正面清单，同时以有约束力的商业规则、标准合同条款、临时合同条款和国际协定为补充性保障工具。1981年，欧盟《有关个人数据自动化处理的个人保护公约》（The Convention For The Protection of individuals With Regard to Automatic Processing of Personal Data）提出缔约国间应以具有“同等水平”的数据保护力度为数据跨境流动前提[25];1995年发布的《第95/46/EC号保护个人在数据处理和自动移动中权利的指令》（Data Protection Directive，DPD），将数据流动对象分成了成员国和对外第三国，同时又将欧盟对外第三国的跨境数据流动细分为两种，即符合“充分性原则”的第三国和不符合的第三国[26]。随后，2018年，GDPR对此进行调整[27]，其中第45条强调“充分性认定”必须满足的标准包括是否加入欧委会《108号公约》、法治水平、基本人权保护度、是否存在独立且有效运转的监管机构等，将符合标准的国家纳入“白名单”准予数据流通，基于“白名单”制度将成员国向第三国的跨境数据流动分为四种细分情况，对数据出境情景予以详细规范。

（2）圍绕人权思想的以“长臂管辖”为核心的属地属人管辖融合模式。欧盟具有悠久人权保障历史，始终以人权思想为治理立足点。一方面，欧盟始终积极强化个人数据权利，将“个人数据”作为跨境数据治理的核心，相关权利法案在治理体系中占绝对比重;另一方面，欧盟综合属地与属人原则，以效果原则为依据拓展域外治理，延伸制度域外效力。

首先，围绕人权思想，着力强化个人数据权利与个人数据跨境规制以保障数据主权。欧盟设立个人数据保护权（the right to protection of personal data）取代隐私权成为基本权利[28]，并赋予个人同意权、访问权、纠正权、被遗忘权、数据可携带权等多项权利，主张建立高水平的数据保护基础，在厘清数据主体相关权利、获取其同意、明确跨境流动可信任地区和确保该区域具有同等保护水准的前提下[29]，实现跨境数据流动和相关数据主体权益保护[30]的双重价值目标，如GDPR的第44条直接规定保障个人数据保护水平在跨境传输中“不会减损”（not undermined）[31]。

欧盟始终以个人数据为核心对象，立足个人数据展开国内数据保护与域外数据管辖以维护数据主权。1995年，通过《个人数据保护指令》（The Data Protection Directive 95/46/EC）等确立了数据跨境流动的合法条件;2002年通过《电子通信领域个人数据处理和隐私保护指令》（2002 Privacy and Electronic Communications Directive）明确个人数据跨境的基本原则与处理规范;2012年以来以《关于涉及个人数据处理的个人保护以及此类数据自由流动的条例的建议》（Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data）、GDPR完善个人数据跨境流动保护制度，新冠肺炎疫情期间欧盟也迅速发布如《关于新冠肺炎疫情中利用移動数据和应用官方建议》（Commission adopts Recommendation to support exit strategies through mobile data and apps）、《支持抗击新冠肺炎疫情的APP的数据保护指引》（Guidance on Apps supporting the fight against COVID 19 pandemic in relation to data protection）等法案，优先保障个人数据处理、跨境流动的安全性，强化内部个人数据保护以落实国家数据管理权。

其次，综合属地与属人原则，以效果原则（Effects Principle）为依据拓展域外治理长臂，加强本国制度的域外效力。2018年，欧盟数据保护委员会发布《关于GDPR第3条适用地域范围的解释指南》，明确基于属地原则的“经营场所标准”和基于属人原则的“目标指向标准”，管理成员国的境内外的数据控制者或处理者，规范数据处理相关行为。由此通过GDPR及附属解释政策规制数据控制者和处理者，一方面，数据控制者和处理者的经营场所只要位于欧盟境内，相关主体都受制于GDPR的规定，无论其数据行为本身是否发生在欧盟境内;另一方面，即使在欧盟境内没有实体，在境外从客观效果上构成对欧盟地区个人数据的处理，也将同样受到管辖。从而形成了域内全面管控和域外“长臂管辖”的严密体系，呈现“属地+属人+效果管辖”的严格模式，提升了数据主权保障效力。

综合而言，欧盟实施了以属地为主、属人为辅的域内效果管辖模式。欧盟的数据主权治理重心在于内部统一管理与流通，以属地原则为基础，以统一的法律政策进行内部管理，也以统一国际立场与协定展开国际管辖;同时，基于人权保障与个人数据治理，综合属地属人原则，以“长臂管辖”强化国际数据流动治理中的主权保障。

4.2    美国：以属人为主、属地为辅的向外扩张管辖模式

以美国为典型代表的具有网络空间技术与话语权优势的国家，以维护国家数据主权、数字经济实力和实现“长臂管辖”为目标，规制跨境数据流动行为，积极采用属人为主、属地为辅的域外扩展管辖模式，具有以数据流动为重的利益导向型趋向，力图保障本国数据主权安全的同时也注重利用全球数据资源实现自身发展。这一模式下，对外，始终坚持“网络自由”“全球公域”原则，始终推动数据的自由流动，从而依托其市场与技术优势，实现全球数据流入本国;对内，完善法律制度、组织机构、技术设施等，构建严密的数据主权保障体系，通过库存管理严格限制国家安全、敏感隐私数据流出，从而形成主权保障需求下的“宽流入、严流出”的数据流转模式。

（1）依托技术优势以宽松数据流入许可为焦点的属人管辖扩张主权模式。美国依托其互联网技术与经济市场绝对优势，通过宽松的数据自由流入法规促进全球数据流入域内，对外以“数据控制者标准”拓展属人管辖效力，推行“网络自由”原则，打开他国域内数据市场。

一是在国际合作中不断丰富准许数据自由流入的主权战略方案。美国极力鼓吹“网络自由”主张，与区域、国家等签订合作协议或成立区域合作组织，主导制定跨境数据流动规则，陆续达成《韩美自由贸易协定》（U.S.-Korea Free Trade Agreement）、《跨太平洋伙伴关系协定》（Trans-Pacific Partnership Agreement）、《跨大西洋贸易与投资伙伴协议》（Transatlantic Trade and Investment Partnership）、《美国-墨西哥-加拿大协定》（United States-Mexico-Canada Agreement，USMCA）及亚太经合组织（APEC）的“跨境隐私保护规则”（Cross-Border Privacy Rules）体制等系列跨国合作协议，辅以贸易谈判或管理共享等方式实现数据向美国的自由流动[32]。早期在KORUS FTA、TPP等国际协定中，美国首次强调跨境数据自由流动[33]，将“数据自由”强制性条款加入协议草案中，并补充约束力和追溯力的规制款项，从而破除数据本地化存储的屏障;随后在TTIP中，美国倡导优化数据自由流动技术[34]并实行趋同监管，减少双方跨境数据流动壁垒[35];在CBPRs等多边协议中，美国倡导APEC成员国间的数据自由流动，推动建设较低的个人数据保护水平，从而有利于数据流入美国，实质上强化美国调控全球数据的能力[36];2018年，USMCA协议继承与强化此前TPP中“反数据本地化存储”的条例，再次扫除了美国与墨西哥、加拿大间的数据跨境流动障碍。

二是美国不断强化域外基于“数据控制者”标准扩张的长臂管辖（Long Arm Jurisdiction）①[37]。基于《澄清域外合法使用数据法》（the Clarifying Lawful Overseas Use of Data Act，以下简称CLOUD法案）为核心的系列法案，美国借助其技术优势，在域外数据获取与国际管辖争议上进一步适用与强化属人管辖原则。CLOUD法案改革了此前的《存储通信法案》（Stored Communication Act），以“数据控制者标准”原则主张全面管辖域外关联数据，要求服务提供者所拥有（possession）、监护（custody）或控制（control）的数据均应按照义务要求，保存、备份、披露通信内容、记录或其他信息，当局对这些数据享有管辖权，无论其在境内或境外。同时设立了“抗辩事由”与“礼让原则”，通过“抗辩通道”一定程度允许相关主体提出异议，撤销或修正法律流程，但这一通道的撤销和修正流程繁杂冗长，条件严苛，并且由美国法院执行礼让分析，效力有限。CLOUD法案默认了美方对数据资源的绝对管辖权，强化了其对全球利益相关数据的掌控，体现了其数据主权行使的扩张性。

美国借助系列法案确立了对域外可控数据的绝对管辖权，充分保障了数据主权行使。CLOUD法案为代表的制度体系，本质上是美国属人管辖权在全球的拓展延伸[38]，将对美国数据服务商、公民等的属人管辖效力扩展至对其数据的附属管辖，辅之其在网络产品与服务上的绝对优势，事实上利用美国互联网与科技跨国企业铸造自身的“网络空间国土”，帮助实现抢夺占领全球数据市场和扩张主权领域。

（2）深化治理惯例的以严格数据流出管控为重心的属地主权治理强化模式。在积极拓展数据流入、攫取境外数据资源与管辖权利的同时，美国进一步严格限制本土数据外流，因循传统属地原则，从数据、技术、公民及企业实体全面限制美国本土数据、技术与服务的流出，提升对其本土市场的单一管辖。

首先，形成了严格限制数据流出的数据治理体系。美国对于出口数据，尤其是涉及国家安全的核心数据，采取清单管理等方式进行严格限制。美国先后通过了《出口管理法》（Export Administration Act， EAA）、《出口管理条例》（Export Administration Regulations， EAR）、《国际武器贸易条例》（International Traffic in Arms Regulations， ITAR）、《商业管制清单》（The Commerce Control List，CCL）①及涉及医疗服务、经济金融等细分领域的政策法规，进行数据分类管理[39]，实施了分公私范畴、分行业领域的细粒度数据外流治理。EAR及美国联邦法典第15条均规定美国境内技术数据出口均需申请认可;ITAR规定任何有关军火技术及数据的服务器必须位于美国境内;《金融服务现代化法案》（Gramm-Leach-Bliley Act）要求金融机构必须按照财务隐私原则（Financial Privacy Rule）管理私人金融信息的收集和披露，按照安全规则（Safeguards Rule）实施安全计划，保护公民信息。

针对外国政府获取美国境内数据，美国在2018年通过的CLOUD法案中设定了“防”体系。CLOUD法案设立“执行协议”（Executive Agreement），采取“适格外国政府”（Qualifying Foreign Governments）的认可制度②，实质强制要求各国加入美国主导的国际协议，并设置严苛门槛阻碍数据获取，国外主体需在满足给予美国同等待遇、数据调取对象并非美国人、范围严格限定、国家符合人权保护和隐私保护基线等要求时才可访问数据，且美国可随时关闭该渠道，从而强化本国对境外数据获取，进一步限制本国数据流出。

同时，美国严格管理数据主权相关的数据基础物理设施及数据实体。根据EAR规定，美国以具体的数据输出国分类来管制数据输出，基于“各国家组”③的具体分类来区分数据种类和数据流动出口的国家等级④，明确禁止向古巴、朝鮮等五个国家出口[40]，且严格限制外国高科技产业在境内落地发展。美国通过了《2019年国家安全和个人数据保护法》（National Security and Personal Data Protection Act of 2019）提案，根据外国的数据隐私和安全要求状态判断其持有美国公民数据是否威胁美国国家安全，将中国、俄联邦等认定为“特别关注国家”[41]并展开年度评估，将“特别关注科技企业”定义为“特别关注国家”设立或由其公民控股或符合其他条件的提供在线数据服务（online data-based service）的公司，法案规定“特别关注科技企业”不得将任何用户数据及破译相关用户数据所需的密钥数据传输至任何“特别关注国家”[42]。2020年2月，美国通过了外国投资审查法案最终规则，严控对 AI 等关键技术和敏感个人数据领域的外商投资，防止尖端技术数据和敏感个人信息外泄。

总体上，美国依托其遍布全球的物理基础设施、领先的科技经济实力、绝对的互联网市场占比，出于抢占国际市场、获取数据红利、保障数据主权的根本需求，极力推行“网络自由”原则，在CBPR、CLOUD法案为代表的制度引导下，准许境外数据的自由流入和严格限制国内数据流出，获取资源和财富，也确保数据主权安全，呈现极强的“对外控制性”。此类模式以主体自身的显著数据、技术和经济优势为前提，在实施过程中无可避免地威胁其他国家数据权益，影响国际数据市场与网络空间的健康运行。

4.3    俄罗斯：以单一属地原则为核心的安全防御管辖模式

以俄罗斯为代表的网络空间发展中国家，受限于自身技术与数字市场弱势，始终以保障数据主权、发展自身实力、抵御外部风险、强化国际合作为核心诉求，形成以单一属地原则为核心的安全防御管辖模式。此类管辖模式以属地原则为核心，保证数据治理相关基础设施及流动活动均在国内进行，数据管理政策具有十分显著的本地化存储特征[43]，无论是数据的搜集处理或者存储都在境内、使用本国的数据库与基础设备，避免了数据因跨境加工、整理或存储等带来的归属权异议，建立了以国家数据主权为重的本地化管辖模式。

（1）立足数据安全的以“本地化存储”为重点的本土管辖单一模式。俄罗斯是遭受网络攻击最严重的国家之一，因而其相当重视保障网络信息安全[44]，始终将国家主权安全、数据安全作为发展核心与重点，因此，俄罗斯建立起了较完善的数据治理政策体系，加强本地化存储，强化数据处理者义务，规避数据主权安全风险。

首先，对内实施“属地原则”，严格执行数据“本地化存储”与国内处理，优先保障国家安全[45]。在其数据跨境流转政策体系中，俄罗斯始终强调国家安全保障，以《关于信息、信息技术和信息保护法》（Russian Law on Information，Information Technology and Information Protection，以下简称《信息保护法》）和《俄罗斯联邦个人数据法》（Russian Federation Personal Data Act，以下简称《个人数据法》）两部专门法为核心，以《俄罗斯联邦大众传媒法》（Russian Federation Mass Media Act）、《俄罗斯联邦安全局法》（Russian Federation Security Agency Act）等细分法律为辅助[46]，形成了 “本地化存储”为核心特征的跨境数据流动管理体系。2013年“棱镜门事件”后，俄罗斯进一步意识到数据安全的重要性，两次修改了《信息保护法》和《个人数据法》，明确规定俄罗斯公民的个人数据必须在本国存储和处理，进一步强化其数据本地化存储特征[47]。

俄罗斯从数据存储、处理要求两方面展开“本地化存储”规制：①公民个人数据、相关数据和数据库必须存储在俄境内，其《信息保护法》修正案规定了俄境内的网络数据运营者必须在俄公民获取、编辑和传达相关电子数据的半年内将这些数据及用户信息存储于俄境内;②公民个人数据的处理活动必须在俄境内进行。2014年7月，俄罗斯依据第242号联邦法令修订了《个人数据法》，要求网络数据运营商必须使用俄境内数据存储系统。俄罗斯系列“本地化存储”制度有效规避了欧盟GDPR、美国CLOUD法案中域外“数据控制者”的干扰，进一步强化了属地原则。

其次，规定数据使用者义务，辅助强化跨国企业在俄罗斯境内的数据存储与安全运营。俄罗斯将数据使用者分为本国使用者和外国使用者，俄罗斯要求本国数据收集者承担数据告知义务或协助政府和相关部门，体现了属地管理控制;对于外国使用者，设定数据告知和协助义务，实现属地原则的虚拟拓展，维护域外数据管辖权。《信息保护法》修正案中以行政处罚和罚款强制俄境内的数据传播和运营商配合政府的数据调查工作，从而实现了政府的全程监督，更主动地掌握本国数据;2019年，普京签署第405号联邦法律，加大对个人数据和信息传播领域内违法行为的处罚力度，对违反数据本地化要求的运营者处以极高罚款。基于此，俄强化了境内的跨国互联网管制，本地化存储和辅助义务要求成为互联网实体在俄境内运行的前提。

（2）防御外部风险的以“极端前置”为焦点的属地管辖巩固模式。俄罗斯采用“极端前置”思想，通过对流通实体强化认证体系、实施“白名单”制度、大力发展关键基础设施的方式，进一步巩固属地管辖，降低外部风险冲击。

首先，强化认证体系，实施“白名单”制度限制数据流出。在激烈的国际竞争中，发展中国家缺乏数据引流能力，放开数据管制将导致本国数据大规模流入发达经济体，威胁本国数据与主权安全，俄罗斯对本国数据出境采用审慎态度，以强化认证体系、实施“白名单”制度管理数据出境。2001年，俄罗斯签署了《欧洲理事会第108号公约》（the Council of Europes Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data），基于此，俄罗斯允许境内个人信息传输至其他签署国;同时，俄罗斯与欧盟的充分性认定高度一致，同样实施“白名单制度”①，俄罗斯《个人数据保护法》第12条的白名单制度规定，若不属于《第108号公约》签署国，可按照“白名单制度”予以审核。

其次，着力发展国家网络基础设施，强化抵御外部风险的能力。俄罗斯从主权安全出发，认为强化国家网络技术与关键基础才能从根本上抵御外部风险。2010年起，俄罗斯针对政府部门需求，开始研制具有自主知识产权的芯片与软件系统;普京于2013年发布总统令，要求俄联邦安全局健全国家计算机信息安全机制，加强对网络安全的监控，并评估网络安全防护水平，完善和提升现有保护能力[48];2014年，俄联邦委员会发布《俄罗斯联邦网络安全战略构想》（讨论稿）（Концепция стратегии кибербезопасности России скои Федерации），强调发展国家网络攻击、防护和威胁预警系统，并将其作为保障国家数据主权的重要举措[49]，并专门规定优先采购国有技术设备与产品;2017年通过《俄羅斯联邦关键信息基础设施安全法》（О безопасности критическои информационнои инфраструктуры），确立预防计算机攻击的保障原则，明确了保障国家数据主权安全的义务和权利;2019年，国家网络战略进一步明确将在国家政务系统、关键基础设施中提高国有产品比例。基于此，俄罗斯进一步优化国内关键信息的硬件设备，强化内部数据库、设备的唯一使用，避免在关键网络技术、设施及重要数据上受制于人，也奠定了其单一属地原则管辖基础。

总之，俄罗斯数据管辖模式建立在数据本地化存储基础上，体现了对数据主权的高度重视，通常为了避免他国侵害会对他国的数据使用者提出相对严格的限制和要求，也通过权利和义务来规制本国的数据处理者，从而更全面地保障数据主权。这一模式，在中国、印度、巴西等发展中国家得到深入贯彻与运行。

5   跨境数据流动中我国数据主权治理需求

为了进一步明晰我国数据主权治理需求，本研究通过文献及网络调研了中国在跨境数据治理中的数据主权安全保障现状，分析其中存在的管辖冲突、利益冲突、標准冲突、技术障碍及国家安全风险，从宏微观层面全面剖析治理需求，剖析我国在治理机制、技术体系、公共政策和法律制度等多层级的数据主权治理问题，构建符合我国国情的数据流动治理对策。

5.1    我国跨境数据治理中的数据主权治理现状

数据主权治理包含了域内和域外的制度标准、国际协议、管理条例等内容。在跨境数据治理中，我国在域内搭建了较为完善的主权制度体系，保障国家对数据的控制权和管理权，在域外积极参与国际合作，通过合作协议、交流项目等方式平衡多方主权及利益，探索合理的跨境数据规制体系，促进数据在流动中的价值挖掘。

（1）奉行属地主义管辖原则，加强国家数据控制权。我国制度建设的核心目标始终围绕数据本地化，呈现出属地管辖特征，致力保障国家对数据资源的管控，维护数据主权安全。我国的主要制度规定了数据本地化存储，陆续颁布《国家安全法》《网络安全法》《国家网络安全战略》《关键信息基础设施安全保护条例》等法制条例支撑属地原则在治理中的贯彻和落实，要求保障国家秘密安全，优化和提升国内关键信息基础设施的建设水平，并规定因商业运营等途径获取的公民私人数据和关键数据必须存储在中国国内，将数据从收集到存储的全流程限制在中国境内，体现了我国通过推行数据本地化以保障数据安全，捍卫我国对境内数据的绝对控制权。随后，我国通过了《个人信息安全规范》《个人信息和重要数据出境安全评估办法（征求意见稿）》《信息安全技术 数据出境安全评估指南（草案）》等制度，进一步从个人数据和重要国家数据资源角度限制数据跨境传输中的数据类别及数量，提出相应安全标准，将大部分数据资源类别纳入本地化存储范畴，保障国家数据安全。

（2）注重数据安全评估和行业规范，维护国家数据管理权。我国也充分关注数据出境安全评估的立法及配套的政策规制，尤其关注金融、互联网及其他关键行业的数据规范，充分保障数据流通安全性，保证国家对数据的管理权。《网络安全法》建立了数据出境安全评估的基本组织框架，在其第37条规定，因业务需要向国外输出数据的，需由国家网信部门或国务院相关部门对需要出境的数据与本地化存储的内容进行比对，符合条件的方可出境。随后我国通过《信息安全保护等级管理办法》《个人信息和重要数据出境安全评估办法（征求意见稿）》《信息安全技术数据出境安全评估指南（草案）》等落实了出境数据评估标准、工具技术，数据跨境流出的具体方案，标注和阐述了过程和注意事项，并将数据识别的具体指南附在文后，列举了含石油天然气、煤炭和电力在内的共28项关键行业的数据分类，同时颁布《征信业管理条例》《网络出版服务管理规定》《保险公司信息化工作管理指引（试行）》等政策，规范行业数据管理。在近期通过的《数据安全法》《深圳经济特区数据条例（征求意见稿）》中则鼓励多元角色参与治理，评估数据安全风险，并设立数据分级分类保护制度，开展安全审查，进一步从多角度完善数据安全评估和行业规范，从而提升国家对数据资源的管理水平。

（3）逐步放宽数据流通管控，挖掘国家数据资源价值。近年来，随着数字经济的蓬勃发展，我国也重视数据作为关键生产要素在流动中的产业价值，从国际协议签署和国内制度修订更新两方面寻求更宽松的跨境数据流动限制，平衡国家数据主权安全与数据价值释放。一方面，我国积极参与和促成国际数据治理达成共识。我国于2020年11月24日在世界互联网大会上发布了《网络主权：理论与实践（2.0版）》，阐述了网络空间的主权平等原则，界定了网络主权的内涵、各国义务、权利体现、基本原则、实践进程及展望，并认可了网络空间的互联和互通，准许必要秩序之上的信息自由流通，在2019-2020年间，我国向世界贸易组织（WTO）提交了《中国关于电子商务议题提案——着眼MC11》《MC11电子商务要素》《电子商务工作计划部长决定草案》三份议案，提出跨境电子商务中数据治理的可行方案，签署了《G20大阪数字经济宣言》，认同“基于信任的数字流动”（Data Free Flow with Trust）的倡议，我国也积极促成国际合作，推动《区域全面经济伙伴关系协定》达成，其中也设立了准许数据自由流动的条款，如第十五条规定，不得阻止基于商业行为进行的数据跨境传输;另一方面，我国也根据国内产业和社会需求修订现有制度，放宽数据流通限制。在《数据安全法》中，第十一条规定了积极参与国际数据治理合作与规则制定，促进数据跨境安全、自由流动。体现了我国数据治理态度的转变，不再仅仅拘泥于本地化管控模式。就地方来看，处于审议之中的《深圳经济特区数据条例（征求意见稿）》的第五节规定，建立数据跨境国际合作机制，提出了设立数据跨境流通自由港，构建国际化数据合作平台，进行双边、多边合作，建立可跨境流通的白名单。

5.2    我国跨境数据治理中的数据主权治理问题

我国在跨境数据治理中重视推行属地主义，落实关键数据的本地化存储，对国家数据主权安全保障有较强效力，但同时也在制度体系、管辖倾向、域外规制等方面存在一些问题，阻碍国家行使数据控制权和管理权，不利于我国形成更系统和完善的数据主权治理格局。

（1）数据安全制度体系化程度不足。为了保障数据主权，我国的数据制度和治理政策逐步发展，但由于建设时间有限，未能像欧美那样建立起完整系统的数据主权治理政策体系，不利于实现国家数据安全的多重保障和场景化治理。我国的数据主权治理立法围绕《网络安全法》《数据安全法》进行，并不断补充《信息安全技术数据出境安全评估指南》《个人数据和重要数据出境安全评估办法》等标准性规则，尚未构筑像欧盟的DPD和GDPR等具有极强约束力和影响力的数据立法和相应的配套规制体系，多数情况下以数据本地化存储和出境数据安全性评估来回应数据跨境面临的限制和许可要求，不利于针对复杂形势和多样化场景保障国家数据安全，并采取恰当措施保障数据自由且安全流通。

（2）数据管辖多限于单边管控。我国在制度安排中将数据资源本地化放在核心位置，辅以出境安全评估机制限制数据流出，具有显著的单边管控特征。此类限制性管辖并不利于通过双边合作促成数据的双向流动和融合创新，也削弱了对国际数据的约束力，相较国际主流的治理模式，并不能更好平衡经济利益和数据主权保障，此外以国家为主导对个人数据和商业机密的单向控制，也忽视了个人和组织的能动性，缺乏对数据自我管理和行业自治的肯定与支持，剥夺了个人和组织的数据权能，不利于激发数据市场的活力和潜能，同时也会导致国家跨境数据流动限制过度、管辖力度不当和数据治理制度僵化，不利于协调国家数据主权安全和数据自由流动。

（3）数据主权制度的域外规制力较弱。我国跨境数据流动治理制度内容强调数据的本地化存储和出境安全评估，也未能建立起区域间类似《安全港协议》和《隐私盾协议》等完整的数据治理合作协议，虽然一定程度上有利于我国独立处理数据管理事宜，但相对缺乏域外数据资源流通标准，不具有完全的域外规制力和适用性，一旦产生跨境数据合作争议或者数据主权争端，没有充分的法制依据判定是否构成主权侵权或违规，同时我国也相对缺乏国际数据协作和联合，在跨境数据流通领域尚未同其他国家建立国际合作协议或战略同盟，尤其在面对数据霸权威胁时难以开展有效的数据交流和协商，不利于充分保障数据主权。

6   面向数据主权的跨境数据流动治理对策

基于对我国跨境数据流动中存在的数据主权风险的分析，以国际政策制度为参照，以我国的实际需求为起点，可从法律、制度、技术等多视角探讨跨境数据流动治理对策，更有针对性地从国内和国际两方面来完善我国数据治理体系，捍卫数据主权安全。

6.1    加强国内数据主权治理体系化建设

为了提升数据治理能力，更好维护国家主权，我国应改善数据安全性和流通性，完善国内数据主权治理体系。既保障数据资源安全，强化我国数据主权安全，也促进数据自由流通，从而更大程度开发国家数据价值，实现高水平的数字化转型和发展。一方面，推进国家关键数据基础设施建设、安全技术研发、专门制度修订，优化现有数据资源安全保障体系，完善软硬件等物理设施，保障国家数据存储、传输等全流程的安全性，并自主研发数据安全技术，通过吸纳专业研究团队，培育优质后备人才，扩展研究合作机构等方式提升网络防御度，同时也关注设施和技术进步基础上的数据制度适用性，关注国内数字经济发展需求和水平，通过完善制度寻求更优的数据主权保障支撑，从而架构完善的国内数据主权保障体系框架;另一方面，在国家数据主权安全基础上，也通过提升数据治理融通性，优化传输渠道，促进开放和共享等途径来鼓励和促进数据资源的安全流动。我国应将个人、组织和国家的数据权益作为有机整体來治理，以数据主权为核心，以国家为引导为主，允许适当和必需的个人和企业、行业自治，提升数据治理的融通性，同时也优化数据传输渠道，完善数据传输设施技术建设，提高数据资源输送覆盖率，使更多区域能访问数据，缩小数据鸿沟，基于此，政府应推进数据资源开放和共享，优化现有数据开放政策，探索科学数据、行业数据等的共享开放，从而提升优质数据资源的联通度，利用数据推动科学研究、产业经济、医疗卫生等多行业发展，提升国家数据管理权的行使水平。

6.2    提升数据主权的多边管控水平和域外适用度

为了提升域外数据治理协同度，保障跨境数据流动安全和数据主权，我国应提升制度内容完整度和域外适用性，加强国内制度的域外规制力，更好应对国际数据流通中的争议和冲突，维护我国数据主权安全。一方面，积极完善专门制度的域外数据管辖内容，使得进行跨境数据流通管辖与合作时有法可依。我国应面向区域、行业、学科等领域召开研讨会或开展合作，从多视角细化和统一数据分级分类标准，探讨适宜的数据流通准则，完善数据法制体系，从而补充完善核心专门内容，修订《网络安全法》《数据安全法》等专门法，在其中补充数据跨境流动管辖的具体准则，提升境外数据管辖的审判效力，促进跨境司法协同，同时协调《网络安全法》《数据安全法》等顶层数据主权治理法律与《个人信息安全规范》《个人信息和重要数据出境安全评估办法（征求意见稿）》此类个体数据制度，基于国家数据主权和个人数据权利，优化数据跨境流通规定，形成更完善的对外规制体系;另一方面，推动国内制度融入国际数据框架，开展国际合作与交流，传达我国数据主权制度要求，提升国内数据制度的域外适用性。我国应基于国际数据框架优化国内制度的域外适配性，考察WTO的《服务贸易总协定》（General Agreement on Trade in Service，GATS）、《跨太平洋伙伴关系决定》（Comprehensive and Progressive Agreement for Trans-Pacific Partnership，CPTTP）等国际条例中的数据流通标准，贯彻“国家安全例外”（National Security Exception ）原则，划定数据等级和类别以提升规制效力，同时还通过广泛的国际合作和交流来推广和宣传国内数据传输和处理要求，对入境的跨国企业进行实时监测和政策引导，积极参与国际论坛及合作，发表倡议和声明以传达中国数据制度要求和标准。

6.3    推动国际数据流动治理合作与域外规制制定

为了推动国际数据治理达成共识，我国应致力推动国际合作，更好参与国际数据流通规则制定，不断促进统一的国际数据跨境流通规范标准形成，使各国尊重彼此的数据主权，共同优化国际数据主权治理体系。一方面，主动参与到国际数据治理相关战略协议中，增强我国在国际数据流通标准建立中的话语权。我国还应促进全球形成数据主权共识，倡导“数据命运共同体”理念，团结国际社会各主体，使各国共同协商和应对数据流通障碍，提升数据治理的全球参与度;并推进各国达成双边或多边合作的数据治理格局，既可按照发达国家与发展中国家划分群体，进行双边合作，也可参照地域分区开展多边合作，使国际数据标准制定更能代表大部分国家和区域的主权和利益;另一方面，国际社会应达成一致，形成合理、相对公平且平衡多方主权利益的数据流动准则，各区域、行业应根据自身需求达成公认的数据流通标准。我国与他国合作时应通过协商以权衡利弊。既应杜绝如《APEC隐私框架》的过于宽松的数据保护最低标准，也应避免《OECD指南》类型的过度注重个人隐私而阻碍数据流通的规则;同时，在规则形成后应及时协商，修正不合理条款。鉴于美欧间《安全港协议》和《隐私盾协议》相继废除的经验，国际各方可建立动态化协议，及时根据各自主权需求和数字经济发展需求不断研讨和调整条款内容，形成更适配各方利益和主权安全的数据流通标准;还应提升国际标准的全纳性。推动从发达国家、发展中国家到落后偏远区域均能参与其中，关切各国数据主权和个人数据权利，达成统一、规范、合理、均衡的数据流通规范，推动数据资源的跨境流动和主权保障，激发数字经济发展新动能。

6.4    融入国际数据治理体系与增强域外治理话语权

针对数据流通形势，我国应进行广泛的国际对话，通过多边合作参与到国际数据主权治理标准体系建设中，与国家和区域达成数据主权治理协议，从而融入国际数据主权治理体系，提升我国数据主权安全保障的国际话语权和影响力。一方面，在国际组织中积极参与数据主权治理标准的协商和制定。处于亚太经济合作组织（APEC）中，我国应积极参与到其建立的出境商业个人隐私保护规则体系（CBPR）中，使国内数据处理、传输、存储、开放等过程符合其体系规定，从而与组织内各国开展数字经济合作，达成数据流通的统一协定，推进区域数据流通和主权保障，提升数字产业合作水平;另一方面，根据自身发展需求，搭建多方合作框架。我国应重视与发达经济体合作，关注欧盟《通用数据保护规范》（GDPR）涉及的数据流通标准和要求，通过对话与协商达成利益均衡的双边合作，同时应积极利用我国作为“一带一路”沿线国家的优势，积极与贸易相关国家达成尊重主权基础上的数据流通战略合作，在 “数字丝绸之路”建设合作的谅解备忘录及《中国—东盟战略伙伴关系2030年愿景》等协议基础上推动数据安全流动，促成沿线各国的数据流通标准和合作，保障数据主权的同时发挥数据的产业经济价值。

7   结语

随着数据跨境流通的常态化，以领土为界限的传统主权面临着“私主体化”与“超地域化”双重困境[13]，数据跨境流动无可避免地威胁数据主权和国家安全，在此情形下，跨境数据流动成为国家间的核心博弈点，世界各国均积极通过出台法律法规、设立专职机构、强化国际合作等方式，强化数据跨境治理和数据主权保障，我国颁布《数据安全法》，进一步表明对维护数据主权、规范数据跨境流动治理的迫切关注与不懈努力。

近年来，我国面临严峻的国际网络空间竞争，数据主权遏制与竞争愈发激烈，而如何规范跨境数据流动治理和保障我国数据主权将成为未来我国数据安全战略体系的重点。本文在充分调研国内外实践基础上，深入分析现有模式的机理，力图为我国数据主权视角下的数据跨境流动治理的理论变革与规则设计提供新视角与思路。未来研究应进一步以数据主权为核心，以跨境数据治理为立足点，探讨在技术保障、组织支撑等其他方面如何展开现状检视和横向观照，推动我国数据主权新阶段更快、更高质的到来。

①“单套规制”（one single set of rules）指《一般数据保护条例》不需要成员国在国家层面单独批准，可直接适用于欧盟所有成员国。

②充分性保护认定是指数据出口国、地区对达到本国、地区个人数据保护充分性要求的国家、地区作出评估认定，对达到本国、地区保护要求的，就可以豁免适用数据跨境转移的限制性规定。

③充分性保护认定的结果通常以正面名单的形式公布，因此也可称为“白名单”。如，欧盟确认了12个司法管辖区具有与欧盟的同等保护水平，包括安道尔、阿根廷、澳大利亚、加拿大、法罗群岛、格恩西岛、马恩岛、以色列、泽西岛、新西兰、瑞士、乌拉圭。

①长臂管辖（Long arm jurisdiction），是建立在“最低联系理论”和“效果理论”两种基本原则上的管辖权确定途径。最低联系理论是指案件中的被告若具备在法院所属地实施相应可产生法律效果行为的意思表示，而且可以运用法院所在地的法律来维护自身权益，那么该法院便具备管辖权;效果理论，是指只要境外某一行为在某国境内产生了“影响”或者“效果”，那么该国便可以依据“效果理论”来主张管辖权，而不需要考虑行为人的国籍和行为的发生地点。

①《商业管制清单》将管制物项分为十个大类：1）第0类：核原料、设施、设备及其他;2）第1類：材料、化学制品、微生物和毒素类物质;3）第2类：材料加工;4）第3类：电子设备;6）第5类：通信及信息安全;7）第6类：激光与传感器;8）第7类：导航与航空电子设备;9）第8类：船舶;10）第9类：推进系统、空间飞行器及相关设备。在上述每个大类下，都有一个说明，之后按照功能标准又分为A、B、C、D、E共5组。其中， A组是系统、设备及零部件;B组是测试、检验及生产设备;C组是材料;D组是软件;E组是技术。

②核心准则是“外国政府的国内立法，包括对其国内法的执行，是否提供了对隐私和公民权利可靠的实质和程序上的保护”，并综合考虑是否加入或符合布达佩斯网络犯罪公约、是否遵守国际人权义务或展现出对国际基本人权的尊重。

③《出口管理条例》740章附件1：各国家组。

④分别为A、B、D、E组， C组保留。A组国家主要为与美国关系密切的国家或合作国家;D组和E组国家是因特定受控原因而限制适用许可例外的国家，其国家组表格根据受控原因分为D：1栏（国家安全）、D：2栏（核）、D：3栏（生化武器）、D：4栏（导弹技术）、D：5栏（美国武器禁运国家），E：1栏（支持恐怖主义的国家）、E：2栏（单边禁运国家），对每个国家的受控原因在相应栏目中作了标注“X”。B组国家为与美国关系密切程度次于A组国家，未规定限制适用许可例外的受控原因的国家。

①满足如具备有效的个人信息保护法律、具备个人信息保护机构、针对违反个人信息保护法律的行为建立有效惩罚措施的国家，可被纳入“白名单”。

参考文献：

[1]  邓崧，黄岚，马步涛.基于数据主权的数据跨境管理比较研究[J].情报杂志，2021，40（6）：119-126.

[2]  Wriston W B.Bits，bytes，and diplomacy[J].Foreign Affairs，1997，76（5）：172-182.

[3]  Forrest HARE.The Virtual Battlrfield：Perspectives on Cyber Warfare[A].Forrest Hare.Borders in Cyberspace：Can Sovereignty Adapt to the Challenges of Cyber Security？[M].US：IOS Press，2009：88-105.

[4]  De Filippi P，Mc Carthy S.Cloud computing：Centralization and data sovereignty[J].European Journal of Law and Technology，2012，3（2）：1-21.

[5]  Heintschel von Heinegg W.Territorial sovereignty and neutrality in cyberspace[J].International Law Studies，2013，89（1）： 123-156.

[6]  Peterson Z N J，Gondree M，Beverly R.A position paper on data sovereignty：The importance of geolocating data in the cloud：IN HOTCLOUD11 PROCEEDINGS OF THE 3RD USENIX WORKSHOP ON HOT TOPICS IN CLOUD COMPUTING[C/OL].US：Usenix，2011[2021-07-16].https：//www.usenix.org/legacy/events/hotcloud11/tech/final_files/Peterson.pdf.

[7]  李海英.数据服务跨境贸易及调整规则研究[J].图书与情报，2019（2）：11-15.

[8]  Amoore L.Cloud geographies：Computing，data，sovereignty[J].Progress in Human Geography，2018，42（1）：4-24.

[9]  Irion Kristina.Government cloud computing and the policies of data sovereignty[A].22nd European Regional International Telecommunications Society（ITS） Conference[C].Budapest 2011：Innovative ICT Applications-Emerging Regulatory，Economic and Policy Issues，Europe：IDEAS，2011：18-21.

[10]  李艳华.全球跨境数据流动的规制路径与中国抉择[J].时代法学，2019，17（5）：114-115.

[11]  马兰.金融数据跨境流动规制的核心问题和中国因应[J].国际法研究，2020（3）：82.

[12]  安宝双.跨境数据流动：法律规制与中国方案[J].网络空间安全，2020，11（3）：1.

[13]  匡梅.跨境数据法律规制的主权壁垒与对策[J].华中科技大学学报（社会科学版），2021，35（2）：96-105.

[14]  张钦昱.数据权利的归集：逻辑与进路[J].上海政法学院学报（法治论丛），2021，36（4）：113-130.

[15]  张茉楠.数字主权背景下的全球跨境数据流动动向与对策[J].中国经贸导刊，2020（12）：49-52.

[16]  冉从敬，陈贵容，王欢.欧美跨境数据流动管辖冲突表现形式及主要解决途径研究[J].图书与情报，2020（3）：77-85.

[17]  蒋洁.云数据跨境流动的法律调整机制[J].图书与情报，2012（6）：57-63.

[18]  中华人民共和国数据安全法[EB/OL].[2021-06-24].http：//www.xinhuanet.com/2021-06/11/c_1127552204.htm.

[19]  田烨.欧洲一体化进程中极右政党的崛起及其社会影响[J].西南民族大学学报（人文社科版），2018，39（8）：174-184.

[20]  Commission VP Andrus Ansip：Turning Europe digital，preparing for future growth[EB/OL].[2021-06-28].https：//www.eureporter.co/world/2015/04/14/commission-vp-andrus-ansip-turning-europe-digital-preparing-for-future-growth/.

[21]  要聞·国际[J].世界电信，2015（4）：10-11.

[22]  王瑞.欧盟《通用数据保护条例》主要内容与影响分析[J].金融会计，2018（8）：17-26.

[23]  吴沈括，霍文新.欧盟数据治理新指向：《非个人数据自由流动框架条例》（提案）研究[J].网络空间安全，2018，9（3）：30-35.

[24]  冉从敬，刘瑞琦，何梦婷.国际个人数据跨境流动治理模式及我国借鉴研究[J].信息资源管理学报，2021，11（3）：30-39.

[25]  Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data 108[EB/OL].[2021-06-29].https：//www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108.

[26]  宋佳.大数据背景下国家信息主权保障问题研究[D].兰州：兰州大学，2018.

[27]  李畅，梁潇.互联网金融中个人信息的保护研究——对欧盟《GDPR条例》的解读[J].电子科技大学学报（社科版），2019，21（1）：69-75.

[28]  刘泽刚.欧盟个人数据保护的“后隐私权”变革[J].华东政法大学学报，2018，21（4）：54-64.

[29]  王赤红，陈波.跨境数据流动的信息安全策略技术研究与实践[J].金融电子化，2018（6）：17-19.

[30]  许多奇.个人跨境数据流动规制的国际格局及中国应对[J].法学论坛，2018，33（3）：130-137.

[31]  洪延青.推进“一带一路”数据跨境流动的中国方案——以美欧范式为背景的展开[J].中国法律评论，2021（2）：30-42.

[32]  王融.数据跨境流动政策认知与建议——从美欧政策比较及反思视角[J].信息安全与通信保密，2018（3）：41-53.

[33]  陈咏梅，张姣.跨境数据流动国际规制新发展：困境与前路[J].上海对外经贸大学学报，2017，24（6）：37-52.

[34]  李翔.通信行业ICT业务发展探讨[J].通讯世界，2018（4）：96-97.

[35]  美欧TTIP第二轮谈判结束 双方寻求监管标准一致[EB/OL].[2013-11-18].http：//news.hexun.com/2013-11-18/159763361.html.

[36]  王融.跨境数据流动政策认知与建议[EB/OL].[2018-01-29].http：//www.sohu.com/a/219667662_455313.

[37]  刘振宁.“长臂管辖”到底有多长[J].方圆，2018（24）：65.

[38]  覃宇翔.美国的属人管辖制度及其在互联网案件中的新发展[J].网络法律评论，2004，4（1）：20-31.

[39]  葛晓峰.美国两用物项出口管制法律制度分析[J].国际经济合作，2018（1）：46-50.

[40]  沈玲.美国数据出口规则面临重大调整[N].人民邮电，2013-05-15（7）.

[41]  S.2889-National Security and Personal Data Protection Act of 2019[EB/OL].[2021-07-11].https：//www.congress.gov/bill/116th-congress/senate-bill/2889/text？q=%7B%22search%22%3A%5B%22National+Security+and+Personal+Data%22%5D%7D&r=1&s=2.

[42]  从《国家安全和个人数据保护法 （草案）》看美国数据出境管理新举措[EB/OL].[2021-07-01].https：//www.secrss.com/articles/17746.

[43]  卧龙传说.俄罗斯“个人数据保护法”任性实施 从“存储本地化”到数据安全之路还有多长？[J].信息安全与通信保密，2015（10）：76-77.

[44]  周若涵.数据安全风险对国家安全的挑战及法律应对[A].上海市法学会.《上海法学研究》集刊（2021年第1卷總第49卷）——上海市法学会国家安全法治研究小组文集[C].上海：上海市法学会，2021：8.

[45]  孙方江.跨境数据流动：数字经济下的全球博弈与中国选择[J].西南金融，2021（1）：3-13.

[46]  何波.俄罗斯跨境数据流动立法规则与执法实践[J].大数据，2016，2（6）：129-134.

[47]  李一男.世界主要国家大数据战略的新发展及对我国的启示——基于PV-GPG框架的比较研究[J].图书与情报，2015（2）：61-68.

[48]  张志华，蔡蓉英，张凌轲.主要发达国家网络信息安全战略评析与启示[J].现代情报，2017，37（1）：172-177.

[49]  张孙旭.俄罗斯网络空间安全战略发展研究[J].情报杂志，2017，36（12）：5-9.

作者简介：冉从敬（1978-），男，武汉大学信息管理学院教授，博士生导师，研究方向：数据主权、数据治理;何梦婷（1993-），女，武汉大学信息管理学院博士研究生，研究方向：信息政策、开放数据;刘先瑞（1997-），女，武汉大学信息管理学院硕士研究生，研究方向：数据主权、数据治理。