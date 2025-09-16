中評社╱題：粵港澳大灣區應對歐美數據域外管轄權擴張的法治邏輯 作者：馮澤華（廣州），廣東工業大學粵港澳大灣區協同治理與法治保障研究中心副主任、廣東工業大學數字經濟與數據治理重點實驗室分室“數據法治與大數據治理實驗室”執行主任、廣州數據法治研究中心副教授；姚琳（廣州），廣東工業大學法學院科研助理



【摘要】“數字灣區”建設背景下粵港澳大灣區著力打造全球數字化水平最高的灣區，數據治理因而成為大灣區法治建設中的重要抓手。歐美以“設立機構標準”“目標導向標準”以及“數據控制者標準”三種模式實現數據域外管轄權的單邊擴張，制約“數字灣區”高質量發展。在中央支持下，粵港澳三地政府在立法中增設域外管轄條款，出台阻斷與反制規範，采取數據本地化政策以應對歐美數據域外管轄權擴張行為，但大灣區數據治理模式尚未成型、域外數據執法權限不足、司法合力暫未形成等痛點依舊突出。對此，粵港澳大灣區可通過優化三地數據保護法律體系，構建統一的大灣區數據執法機構，積極倡導數據領域多邊合作，切實提升應對歐美數據域外管轄權擴張的法治能力。



2025年國務院政府工作報告強調“支持香港、澳門深化國際交往合作，更好融入國家發展大局”。①這不僅為港澳未來發展指明方向，更為粵港澳大灣區應對歐美數據域外管轄權擴張等外部風險提供了政策指引。當數據逐漸成為當代生產要素，互聯網企業收集海量數據并挖掘其商業價值的範圍逐漸從國內擴張到海外市場，各國數據保護範圍亦隨之擴大，單方立法擴張個人數據域外管轄權成為各國對科技進步的回應。②典型如美西方為在國際數字治理中獲得優勢地位，通過兩大立法《通用數據保護條例》（簡稱GDPR）以及《澄清境外數據合法使用法案》（簡稱雲法案），試圖將全球範圍內更多數據納入管轄範圍內，侵犯他國數據主權。近年來，粵港澳大灣區積極推動“數字灣區”建設，數字化正逐漸成為推動大灣區經濟社會高質量發展的新引擎。作為中國數字化發展的主戰場，粵港澳大灣區將正面應對歐美數據域外管轄權擴張的負面影響，其中尤為明顯的是大灣區內以數據要素為核心的信息技術企業被頻繁列入美國制裁清單。2022年，146家中國企業被列入美國“實體清單”，而粵港澳大灣區占據半數。截至2024年4月，近800家中國企業被美國列入“實體清單”，據筆者統計，粵港澳大灣區企業數量高達104家，典型如香港世捷達物流有限公司、深圳華為技術服務、廣州海格通信集團股份有限公司、華為雲廣州等。③短短兩年時間內，大灣區新增“實體清單”企業30餘家，這將直接影響相關企業的國際業務合作與市場發展，成為數據時代下制約大灣區核心競爭力發展的重大阻礙。在此困局下，粵港澳大灣區應如何在制度與實踐層面應對歐美數據域外管轄權的擴張，以積極主動的姿態參與全球數據治理進程是當前乃至未來的重要思考方向。



一、歐美數據域外管轄權擴張的主要模式



（一）設立機構標準



在GDPR出台之前，歐盟於1995年頒布了《數據保護指令》（Data Protection Directive，以下簡稱DPD95）作為歐盟數據治理的統一標準和主要依據。GDPR以此為基礎，進一步完善相關條款規定，在GDPR中仍然能够看出其對DPD95部分條款的繼承和延續。其中，較為典型的即為“設立機構標準”。GDPR第3條第1款寫明，不論實際數據處理行為發生地，衹要屬於在歐盟境內設立機構的數據控制者或處理者，其相關處理活動均適用該條例。在司法實踐活動中，歐盟法院進一步對“設立機構”和“在經營活動範圍內”進行內涵的技術性解釋，擴大GDPR的域外適用範圍。從GDPR對“設立機構”的概念定義以及法院在實踐中的認定方式來看，數據控制者或處理者在歐盟境內以穩定安排的方式所開展的真實有效的活動，即可認定為在歐盟設立有機構。所謂“經營活動範圍”，是指數據控制者或處理者的數據處理活動，應當在其機構設立的目標範圍內。歐盟數據保護委員會針對這一問題作出解釋，并提出以下兩個考量。一方面，需要判斷其數據處理活動是否與位於歐盟內的設立機構具有密切關聯；另一方面，需要考慮設立機構的活動是否對歐盟境外的數據控制者或處理者起到財務增長的幫助。概言之，以在歐盟境內“設立機構”為連結點，主張對域內及域外的數據管轄權，是GDPR屬地管轄原則的具體表現，也是數據共享時代下數據管轄權突破地理界限重構領土原則的突出表現。



（二）目標導向標準



GDPR“設立機構標準”豐富并擴張了屬地管轄原則的適用，但對於不符合在歐盟境內設立機構標準的數據控制者或處理者的數據處理行為，歐盟仍然無法行使管轄權。據此，GDPR第3條第2款進一步規定了“目標導向標準”，在作為效果原則的應用彌補屬地管轄原則不足的同時，更加鮮明地體現了域外適用色彩。儘管數據控制者或處理者不在歐盟設立，若其為歐盟內的數據主體提供商品或服務，或者對發生在歐洲範圍內的數據主體的活動進行監控，同樣屬於GDPR的管轄範圍。對於“監控行為”概念，歐盟并未作出更寬泛的解釋，衹從是否藉助互聯網設備對自然人進行追蹤或數字分析及預測等行為進行闡述。而對於“數據主體”和“提供商品或服務”，歐盟適當作出擴大解釋。其一，歐盟所稱數據主體，將無論其國籍與居住地是否屬於歐盟。其二，所謂“提供商品或服務”，GDPR序言中寫明，需要根據其提供服務的意圖明顯程度進行判斷，并以列舉的方式呈現了相關不足以認定具有明顯意圖或可能具有明顯意圖的行為。例如，衹是使用了數據控制者或處理者所在國的通用語言而被歐盟境內的主體訪問，并不足以說明其有意圖向歐盟內的數據主體提供商品或服務，但如果其使用了一種以上歐盟成員國的通用語言或貨幣，供用戶購買商品或獲取服務，則可以認為其具有明顯意圖。在“目標導向標準”下，歐盟以“位於歐盟境內的數據主體”作為目標對象，為全球範圍內歐盟領土範圍外的大量數據控制者與處理者與歐盟建立起關聯。



（三）數據控制者標準



在歐盟數據本地化立法產生“布魯塞爾”效應的同時，美國也在著力構建以全球數據自由流動為主旨的數據全球化立法體系，并期待能以此為本國帶來巨大經濟效益。在此背景下，美國政府出台《雲法案》，創新性采用“數據控制者標準”擴大數據管轄權。《雲法案》中明確，“雲服務提供商必須根據合法程序披露其擁有、保管或控制的所有數據，無論數據存儲在何處”。根據這一條款，美國可以同時管轄位於美國境內的企業與收集美國居民數據的外國企業。《雲法案》中提出，該法案的出台是為了提升美國跨境取證效率，執法機構可以更加便捷地獲取企業等相關主體所擁有、監管或控制的與其使用者有關的美國境內外信息，但從本質來看，這一法案的根本性立意在於利用美國雲服務商的絕對控制地位。④全球絕大部分的數據流動由美國雲服務商控制，典型如谷歌、臉書、推特等國際知名軟件，美國利用看似局限的“屬人管轄”規則在客觀上實現了全球數據監管。⑤在此規定下，為盡可能減輕侵犯他國主權嫌疑，《雲法案》為雲服務商提供了“撤銷或修正法律流程的動議”渠道以顯公平。但從法案規定來看，這一渠道的實踐操作難度較高，需要雲服務提供商自身符合一定條件，且“撤銷或修正法律流程的動議”能否被采納的解釋權歸屬於美國管轄法院。法案依據“禮讓原則”明確了法官應當考慮的包括“美國政府的利益”等在內的七個要點，實質上為法官賦予了自由裁量權。此外，除美國以外，被美國國會認定為“適格外國政府”的其他國家同樣可以獲取美國境內的數據，但“適格外國政府”的認定條件較為嚴苛，需要圍繞“外國政府能否對隱私和公民權利提供足够的保護”這一核心要義，附帶考量“是否是《網絡犯罪公約》締約國”“是否尊重和保護普遍人權”等多重因素。



二、粵港澳大灣區應對歐美數據域外管轄權擴張的實踐現狀



（一）立法涵蓋域外管轄條款



符合國際法原則的域外效力條款賦予了國內法域外效力，既能向其他國家傳遞本國將藉助域外規制途徑維護國家安全的信號，對與本國外交關係緊張的國家起到震懾作用，也能為司法機關、行政機關等相關國家機構處理相關對外事務提供堅實的法律支撑。⑥為有效應對歐美域外管轄權不合理擴張，粵港澳大灣區相關數據法律體系中的域外條款正逐漸發揮效力。



內地《中華人民共和國網絡安全法》（簡稱《網絡安全法》）第75條規定“在境外從事危害我國關鍵信息基礎設施的活動，造成嚴重後果的，依法追究法律責任”。《中華人民共和國數據安全法》（簡稱《數據安全法》）在總則第2條中強調，“在我國境內開展數據處理活動適用該法”，該條第2款中同樣明確，“在境外開展數據處理活動，損害我國國家利益或公民、組織利益的，適用該法”。《中華人民共和國個人信息保護法》（簡稱《個人信息保護法》）在前兩部法的基礎上進一步實現了探索式轉變。該法第3條第1款規定的是常規的屬地管轄原則，即“在我國境內處理自然人個人信息的活動適用本法”，避免管轄權的過度擴張；第2款則與歐盟GDPR的目標指向原則類似，規定在境外處理境內自然人個人信息的，有“向境內自然人提供產品或服務為目的”“分析、評估境內自然人的行為”以及法律法規規定的其他情形的，適用本法。這一條款的域外效力實現了從被動到主動的轉變，確立了中國的“目標指向標準”。



《香港個人資料（私隱）條例》（簡稱《私隱條例》）第39條明確“有關的資料使用者能够在香港控制有關的個人資料的收集、持有、處理或使用或能够從香港行使該項控制的，私隱專員根據條例有權進行調查”。由此可見，該條例的規制對象，應當是在香港，或從香港，操控個人資料的收集、持有、處理或使用的相關主體。2020年關於X訴個人資料私隱專員（第15/2019號上訴）一案（下稱X訴個人資料私隱專員案）的裁定中也明確《私隱條例》中并無域外管轄效力。但在2021年《私隱條例》修訂後出現了針對人肉搜索行為的例外，即“若資料當事人為香港居民或位於香港，無論披露行為發生在何處，私隱專員均可對其行為發出停止通知”。澳門《個人資料保護法》第3條第3款後半句寫明，針對聲音和影像進行的錄像監視，衹要負責處理資料的實體的住所在澳門特區，或者通過在特區設立的提供信息和電信信息網絡服務的供應商而實施，表明該法在一定範圍內具備域外適用效力。



（二）阻斷與反制規範出台



通過制定阻斷與反制規範阻斷外國過度行使域外管轄權的不當行為是世界上多數國家的做法，所謂阻斷一般是規定本國企業或個人在特定情形下無須遵守歐美等其他國家的單邊制裁，而反制則是賦予中國對他國的域外惡意管轄采取對等反制以正當性基礎。



近年來，中國逐步構建起阻斷與反制法律框架，對於維護數據領域利益和安全起到重要作用。早在2018年，中國便在《中華人民共和國國際刑事司法協助法》第四條中規定：“非經我國主管機關同意，境內的機構、組織和個人不得向外國提供證據材料和本法規定的協助。”該條規定在一定程度上抑制了外國數據跨境調取行為，保護中國數據主權。作為沿襲，2019年修訂的《中華人民共和國證券法》第177條在規定“非經同意禁止向境外提供”規則的同時，更進一步明確“境外機構不得在我國境內直接取證活動”。為更好應對美國“長臂管轄”，2021年中國商務部發布《阻斷外國法律與措施不當域外適用辦法》，主要適用於阻斷美國在經貿活動中實施的禁止令。⑦同年出台的，還有涉外領域專門立法《中華人民共和國反外國制裁法》，該法明確規定“我國有權對遏制、打壓我國的行為采取相應反制措施”。該部法律作為反制裁領域基本法律，為相關部門提供了權威法律依據與正當程序。此外，《數據安全法》與《個人信息保護法》均規定了相應阻斷與反制措施，兩法在措施內容方面具有相似性。以《數據安全法》為例，該法第26條規定“面對外國在數據領域內的投資、貿易等方面的禁止、限制或其他類似措施，我國可采取措施”，第36條規定“非經批准，不得向境外提供存儲於我國境內的數據”。可以看出，該法同時具有事前阻斷與事後反制的雙重效果，奠定了中國數據主權保護的法治基調。



相較於內地而言，港澳地區在反制法律機制構建領域存在較多漏洞。一方面，上述法律規範均未列入港澳基本法附件三，因而香港和澳門不在其實施範圍內。事實上，在香港方面，律政司網站曾發布司長網志《反外國制裁措施的法律基礎》，原律政司司長鄭若驊指出，采取反制措施完全屬於外交事務，列入《基本法》附件三，在香港特區實施，是最自然也最恰當的方法。⑧在2021年8月也曾有立法動議，但後續因故擱置。另一方面，立足自治權範疇，澳門尚未出台反制相關的專門立法規範，香港雖曾在1995年制定《保護貿易權益條例》，但因其內容完善程度較低，從未實施。⑨從整體上看，內地數據阻斷與反制措施初具規模，但因港澳兩地的阻斷和反制能力較弱，粵港澳大灣區尚未形成反制合力。



（三）強化數據本地化保護



數據本地化主義是內地與澳門一直秉持的數據治理理念，更是粵港澳大灣區應對歐美管轄權擴張的重要方式之一。藉助數據本地化手段，粵港澳大灣區可以切實規範大灣區內部的數據處理行為，有效規避因數據出境行為而引發的他國侵犯風險。



具體而言，中國內地向來主張將個人信息與重要數據置之於境內存儲，確有跨境流轉需要的，應當通過安全評估，屬於較為嚴格的事前監管。主要參照《網絡安全法》《個人信息保護法》《數據出境安全評估辦法》等規範對數據跨境流動提供指引，其中提供詳細評估指引的是《數據出境安全評估辦法》。澳門則在《個人資料保護法》中對個人信息跨境轉移進行規制，衹有經由公共當局確認資料接受地的法律體系能够滿足適當保護程度的前提下，才能將個人數據轉移到特區之外的地方。但截至目前，澳門個人資料保護辦公室尚未宣告任何一個國家符合以上要求，認定標準極為嚴格。



與內地、澳門嚴格執行數據本地化政策相反，香港或出於經貿發展考量，是大灣區內唯一允許數據自由流動的區域。香港的數據流動規範體系，著重依據《隱私條例》《保障個人資料：跨境資料轉移指引》對個人信用數據流動及後續使用提供安全保護。但其中專門規制個人資料跨境流動的第33條“禁止條款”仍未正式施行，因而當前香港對於個人資料的跨境流動并沒有進行嚴格的法律規範，屬於自由流動狀態。《保障個人資料：跨境資料轉移指引》的意義則在於在上述第33條尚未實施的情況下，鼓勵資料持有者在跨境轉移個人資料時按照《指引》中的相關方式保護個人資料安全。



三、粵港澳大灣區應對歐美數據域外管轄權擴張的現實挑戰



（一）大灣區數據治理模式尚未成型



從國際經驗來看，歐美對彼此數據域外管轄權擴張的應對措施之一，就是積極推廣自身數據治理模式，構建本土化的數據防禦屏障，形成國際影響力。但當前粵港澳大灣區內部的數據跨境流動模式尚未成型，數據治理規則碎片化局面難以緩和，不僅影響數字灣區升級發展，更難以建立具有國際影響力的數據治理規範體系。反觀歐盟的數據治理方式，在提升個人信息保障力度的同時，也在致力於推動數據的互聯互通。在歐盟內部，歐盟藉《數據法案》統一各成員國B2C（企業—消費者）、B2B（企業—企業）乃至B2G（企業—政府）的相應規則，以激發數據驅動的創新力，之於粵港澳大灣區而言具有較強的借鑒意義。



從大灣區數據治理現狀來看，數據本地化政策在一定程度上起到降低歐美侵犯中國數據主權現實風險作用的同時，也成為了數據要素在粵港澳三地跨區域自由流動的制度壁壘。其主要原因在於粵港澳三地在數據治理法律規範方面的區別較大，且當前尚未建立流暢的跨境協調機制。以當前三地數據分級分類制度規定為例，從整體來看，粵港澳大灣區內的數據分級分類規則存在明顯錯位，數據跨境流動的基礎制約較為突出。內地在《數據安全法》第21條中明確將數據的重要程度以及受侵害後的危害程度作為數據分類分級保護的依據。澳門特區在《個人資料保護法》第7條及第8條規定了處理敏感資料以及懷疑從事不法活動、刑事違法活動或行政違法行為的特殊保護規則，除此以外的其他數據則作為一般性資料予以處理。而香港在數據分級分類領域尚未建立相關法律框架，存在較大的制度空白。⑩統一分級分類標準的缺乏導致大灣區面臨數據監管難題，為三地數據跨境流動帶來較大的不確定性。儘管當前《粵港澳大灣區（內地、香港）個人信息跨境流動標準合同》《粵港澳大灣區（內地、澳門）個人信息跨境流動標準合同》等政策文件的相繼出台實現了部分數據的跨境流動，但從實踐現狀來看，粵港澳大灣區在實質上并未被當作一個整體性的區域空間而允許跨境數據在其範圍內自由流動。



