本期关键词：欧盟GDPR；美国CLOUD法案；跨境数据管辖权

本文约1461字，大概需要阅读5分钟。

一、欧盟GDPR管辖权的“效果原则”

2018 年5 月25 日，就在CLOUD 法案刚出台不到两个月，欧盟《通用数据保护条例》( General DataProtection Regulation，下称“GDPR”)正式生效，确立了欧盟数据管辖的“效果原则”。

(一)具体规定

GDPR 第3 条第2 款规定，GDPR除了受欧盟境内机构控制或者经欧盟境内设备处理的数据之外，向欧盟境内数据主体提供商品或服务时处理的个人数据和监控发生在欧盟境内的行为所收集到的个人数据同样也受该法保护，即无论外国数字企业是否在欧盟境内设立机构或存储设施，只要是向欧盟境内用户提供了数据服务，或者监控了欧盟境内的个人行为，那么欧盟对于其间所产生的数据，将依据GDPR 所规定的“效果原则”主张管辖权。

（二）产生效果

GDPR效果原则的适用宽泛，大范围的数据被纳入其保护范围，可理解为GDPR“效果原则”之下的欧盟数据管辖权扩张。具体如下：1.该条款所称“欧盟境内数据主体”不局限于法律意义上的欧盟公民和居民，只要数据主体客观上位于欧盟域内，即满足该条款的主体要件;2.该条款所称“提供商品或服务”并不以取得对价为构成要素，只要境外机构有向欧盟境内主体提供数据服务的明显意图，即满足行为要件; 3.数据的获取只需要与“提供商品或服务”或“监控”行为具有关联性，而无论这种关联性。是直接还是间接，即满足因果关系要素。

二、美国CLOUD管辖权的“控制者标准”

2018 年3 月，美国总统特朗普签署《澄清境外数据合法使用法案》( Clarifying Lawful Overseas Use of Data Act，下称“CLOUD法案”) ，确立了美国海外数据管辖权行使的“控制者主义”立场。

（一）具体规定

CLOUD法案第三节为美国行使境外数据管辖权确立了“控制者标准”，即只要数据是为美国数据服务提供者所拥有、监管或控制的，无论该数据是否存储于美国境内，政府均有权要求数据服务提供者向其披露该数据。CLOUD 法案一方面确立了境外数据管辖的“控制者标准”，另一方面又保留了美国对其境内数据的属地管辖。也就是说，对于存储于美国境内却受外国企业控制的数据，法案并未同等地适用“控制者标准”，其他国若要获取美国的境内数据，仍须经美国同意。

（二）产生效果

随着美国全球监控计划在2013 年“棱镜门”事件中被曝光，存储地国数据管辖意识进一步被唤醒，澳大利亚、马来西亚、印度、巴西、俄罗斯等国相继在国内法中新增“数据本地化”的要求，规定境内数据服务提供商必须将运营中所收集到的用户数据存储于当地。所以各国普遍依据属地原则对于境内数据主张“存储地管辖”，我国也不例外。根据《网络安全法》第37条的规定，要求实现数据本地化。基于这一立法要求，在我国境内运营的多家美国数字企业，陆续在中国境内建立起数据中心以存储用户的信息数据。在面对诸多国家的“数据本地化”立法，美国CLOUD法案确定的“控制者标准”在数据管辖立法上引发与他国数据管辖权的冲突。

[1] GDPR 第3 条第2 款的规定:” This Regulation applies to the processing of personal data ofdata subjects who are in the Union by a controller or processor not establishedin the Union, where the processing activities are related to:

the offering of goods or services,irrespective of whether a payment of the data subject is required, to such datasubjects in the Union; or

the monitoring of their behaviour asfar as their behaviour takes place within the Union.”

[2]CLOUD 法案第3节第1款第1项的规定：“A provider of electroniccommunication service or remote computing service shall comply with theobligations of this chapter to preserve, backup, or disclose the contents of awire or electronic communication and any record or other information pertainingto a customer or subscriber within such provider’s possession, custody, orcontrol, regardless of whether such communication, record, or other informationis located within or outside of the United States.”.

[3]《网络安全法》第37条的规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”

[4]程昊: 《从“云幕”法案看我国数据主权的保护》，载《情报理论与实践》2019 年第4 期，第33 页。