中国在网络安全领域构建长臂管辖机制之思考

在互联网时代，物理国界已经被打破，国家间的信息数据多是通过网络连接实现跨境传输，网络安全关系到国家的根本利益。近年来，各国政府纷纷通过构建国内法律规定中的相关涉外机制来扩大国家的管辖权，从而到达维护网络秩序和保障国内信息安全的目的。欧盟于2018年通过最新修订的《一般数据保护条例》（简称GDPR）；巴西《通用数据保护法》于2020年2月正式生效。在此背景下，中国也应该顺应网络发展趋势，在网络安全领域构建适当的长臂管辖机制。

1 概念厘定：长臂管辖实质上是一种域外管辖

国际法上的“长臂管辖”指的是当非法院地居民与法院地之间存在某种限度的联系，并且原告提起的诉讼又产生于这种联系时，法院对于被告所主张的管辖权。这一概念最初起源于美国民事诉讼领域，本质上是一种司法管辖权。根据国务院新闻办公室2018年9月24日发布的《关于中美经贸摩擦的事实与中方立场》白皮书，“长臂管辖”指的是国家或者地区依据其国内法规管辖境外实体。而这一文件出台的背景，正是近年来美国不断扩张其管辖“长臂”，从国内州际民事争端扩展到涉外民事侵权、金融投资、反垄断、出口管制、网络安全等众多领域。美国此种强硬要求他国企业或个人服从其国内法律规定，动辄对他国企业或个人发出民事、刑事、贸易等制裁的行为显然已经超出“长臂管辖权”的原本内涵，本质上属于一种“域外管辖”。

域外管辖权可以分为立法管辖权、司法管辖权和执法管辖权，它指的是国家行使立法管辖权，制定域外管辖规则的权力，以及国家通过执法管辖权和司法管辖权适用这类规则的权力。具体而言，一国通过立法权确立国内法的域外效力，为国内法的域外适用提供依据，再通过司法机关和执法机关的职权行为保证国内法得到域外适用。而国内法的域外适用指的是国家将具有域外效力的法律适用于其管辖领域之外的人、物和行为的过程。因此，域外管辖权是国内法域外适用的前提，国内法域外适用是国家行使域外管辖的过程和结果。此外，域外管辖权是主权国家在实践中发展出来的一种行使管辖权的具体方式，而并非一种独立的管辖权类型。

2 中国在网络安全领域扩张管辖权的必要性

近年来，国际上的网络安全事件频发，这表明互联网安全问题日益突出，中国也面临着严重的网络安全威胁，与此同时，这些威胁也在挑战着中国的互联网主权。国家的互联网主权是国家主权在网络空间的拓展和延伸，是国家主权的重要组成部分。然而，对主权国家来说，网络空间的全球性导致传统管辖区域的界限变得模糊，网络空间的不确定性也使得传统的管辖基础难堪重任。因此，在中国网络空间领域构建长臂管辖权已经成为亟待解决的重要议题。在网络空间适度扩张管辖权，不仅有利于维护中国的互联网健康与发展，而且有助于彰显中国的国家主权，提升中国在国际规则制定中的对外话语权。

3 中国在网络安全领域构建长臂管辖机制的措施

3.1 完善立法：明确网络安全相关法律的域外效力

3.1.1 《网络安全法》

《网络安全法》第二条确立了属地管辖为基本原则。第七十五条体现出一定的域外效力，在属地管辖原则的基础上，如果“关键信息基础设施”位于中国境外，这项规则的连接点既是以保护管辖为基础，也是以客观属地管辖为基础，甚至是以“效果原则”为基础。

《网络安全法》的配套法规《关键信息基础设施安全保护条例》的第二章对关键基础设施的认定做出了较为详细的规定。主要认定要素有三：第一，“对本行业、本领域关键核心业务的重要程度”；第二，“一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度”；第三，“对其他行业和领域的关联性影响”。上述要素均采用了较为宽松和富有弹性的表述，实际上给执法部门留下不小的解释空间。而遗憾在于仍然缺少明确该法规的域外效力的相关条款。可以借鉴欧美国家的做法，明确规定一旦被识别为该条例中规定的“关键信息基础设施”，即使该基础设施位于中国境外，也应受到《网络安全法》的管辖。

3.1.2 《个人信息保护法》

新近发布的《个人信息保护法》第三条明确了该法的域外效力。其中的许多条款与欧盟GDPR都有着极大的相似性，但进一步对比两部法律的有关措辞，可以发现该法第三条与GDPR第三条规定的域外管辖范围仍然存在不小的差别。

GDPR采用“经营场所所在地标准+目标指向标准”共同确立了其域外适用范围。观察《个人信息保护法》第三条，其适用范围分为两种情形：第一种是在中华人民共和国领域内实施个人信息处理的行为，第二种是信息处理行为虽未发生在中华人民共和国领域内，但以向中华人民共和国领域内的数据主体提供商品、服务为目的，或涉及对境内数据主体的分析和评估行为。可见，我国采用的是“处理行为发生地标准+目标指向标准”。GDPR一经发布，即被评为“史上最严的个人数据保护条例”，其他国家或地区纷纷效仿，扩大本国或本地区内个人信息保护的域外适用范围。目前我国创新采用“处理行为发生地”标准，其适用范围相比“经营场所所在地”标准是否更宽泛，是否会出现法律漏洞情形，导致境外信息处理者利用此点“钻法律的空子”，这些问题有待实践检验。

3.1.3 《数据安全法》

在《网络安全法》与《个人信息保护法》均规定域外效力的背景下，《数据安全法》作为配套法律，其域外效力规定仍有较大的完善空间。该法第二条通过“数据活动在中国境内开展”和“数据活动开展在境外，但损害中国国家安全、公共利益或者公民权益”两个层次的规范模式，坚持了属地原则——以数据活动发生于境内为适用标准，附加效果原则——境外组织和个人开展的数据活动损害国家安全和公共利益的做法。采用属地原则+效果原则的判断标准明确并在一定程度上扩充了该法的域外效力。但是仔细推敲第二条的措辞，可以发现这一规定仍然存在两个问题：首先，结合第二条的两款规定，不难看出其适用范围仍然漏掉了一种情形——境内的组织或个人在境外开展数据活动，也就是说，假如主营业地点在境内的某公司，利用其境外的分支机构和相关设备，在境外开展数据活动的，只要无法证明其损害了国家安全或社会公共利益，《数据安全法》无法得到适用。对此，建议将第一款修改为“在中华人民共和国境内的个人或组织开展数据活动，无论该数据活动是否发生在中华人民共和国领域内，适用本法。”其次，第二款规定仅宣誓性地规定了“依法追究法律责任”，但在“法律责任”一章中，并未规定相对应的法律责任，这将大大削弱该法域外适用的实际效果，也不利于发挥法律的威慑作用。建议参考欧盟GDPR或其他国家或地区在数据立法中设置的法律责任和处罚幅度。

3.1.4 《阻断办法》

商务部于2021年1月9日发布《阻断外国法律与措施不当域外适用办法》（简称《阻断办法》），旨在阻断外国法律与措施不当域外适用对中国的影响，维护国家主权、安全、发展利益，保护中国公民、法人或者其他组织的合法权益。《阻断办法》主要就五项制度安排作出规定：及时报告、评估确认、发布禁令、司法救济和处罚制度。《阻断办法》与欧盟《阻断法令》的主要规定是相似的，但存在以下差别仍值得我们注意。首先，从该《阻断办法》第二条规定的适用范围来看，我国并非“一刀切”地阻断外国法律和措施的域外适用，而是反对境外法律和措施的不当域外适用，而“不当”的具体评估因素则规定于第六条。而就适用范围而言，第二条并未明确在中国境内不同实体之间的交易受到他国法律或措施限制时，是否适用该办法。其次，禁令的适用主体，即《阻断办法》所称的“当事人”，是否包括境外企业尚存争议，从条文中也无法得出明确的答案，但有实务工作者指出，倾向性认为境外企业并不受禁令制度的约束，理由有二：一是根据第八条之规定，申请豁免遵守禁令的主体为中国公民、法人或其他组织，如果禁令适用主体包括境外企业，则申请豁免遵守禁令的主体就不应当仅限于中国公民、法人或其他组织；二是境外企业由于违反禁令而遭到主管部分警告或罚款面临着执行难的问题，如果禁令适用主体包括境外企业，违反禁令的处罚措施几乎形同虚设。再次，相关制度规定仍然比较模糊。如第九条虽然规定了追偿制度，但并未对赔偿范围、追偿对象、追偿手段、追偿适用的法律等问题设置具体规范；而第十一条规定政府有关部门可对遭受重大损失的公民、法人或其他组织提供必要支持，但“必要性”如何界定，具体包括哪些支持措施等问题均未明晰。这类笼统性规定一方面赋予了法官较大的自由裁量权，另一方面也有待在后续司法和执法实践中加以明确。最后，除了制度上的具体操作问题需要进一步细化规定之外，相比欧盟采用的“条例”的形式进行阻断立法，中国《阻断办法》属于部门规章，法律效力层级较低。这种立法模式符合现阶段中国国情，未来随着实践的不断推进，或许有望实现《阻断办法》到《阻断法》的蜕变升级。

3.2 积极司法：加强国内法院在长臂管辖中的作用

前述立法虽然可以为中国在网络安全领域构建长臂管辖机制提供国内法依据，但是中国法院对外行使长臂管辖权的态度仍然过于谨慎。有了确立国内法域外效力的规则，保证长臂管辖权的实施就要依靠司法管辖权和执法管辖权。对此，中国法院要学会擅于适用法律规定的长臂管辖基础，以此为依据，主动在网络安全领域行使司法管辖权。而且，可以结合中国司法实践的惯常做法——由最高法发布指导性案例，为法院将“网络运营者”或“信息处理主体”等法律术语做扩大解释的做法提供司法依据，从而保证《网络安全法》和《个人信息保护法》等法律的域外实施效力。

3.3 强化执法：转变行政机关旧有管辖方式

强化行政机关在网络安全领域的执法管辖权也是保证国内法域外实施效力的必要手段。传统的行政执法观念认为行政机关只对本国的人、物或行为具有管辖权。因此，行政机关必须充分意识到国际法赋予自身实施域外管辖时的广阔空间，在法律法规的框架下解释相关连结点和抽象概念，追求在执法过程中实现域外适用的目标。其次，行政机关要适时行使自由裁量权，比如扩大解释“网络运营者”或“信息处理主体”的适用范围，认为法律并未将这两者的范围限制于中国境内等。

4 结束语

网络安全关系主权国家的根本利益，网络空间主权是国家主权的重要组成部分。国家在不违反国际法的前提下，可以行使长臂管辖权。中国可以借鉴国外经验，同时结合国情，从立法、司法和执法三个方面，在网络安全领域构建适当的长臂管辖机制。《网络安全法》已于2017年开始实施，但其域外适用的规定不明确导致实践中难以发挥实际的域外管辖作用。《数据安全法》与《个人信息保护法》都已颁布，域外适用范围仍然存在规定模糊或者有所遗漏的问题。上述三部法律是构建我国网络安全、数据主权与个人信息保护的重要支柱，将对我国数字经济发展、个人信息保护以及互联网法治等方面产生深远影响。因此，要构建中国在网络空间的长臂管辖，首先要在这些与网络安全密切相关的法律中明确域外效力，为实现域外管辖构建合理的法律基础。与此同时，有关部门和相应机关要做到积极司法和强化执法，充分发挥司法机关和行政机关在网络安全领域行使长臂管辖权应有的作用。

参考文献：

[1] 闫飞.网络安全法律涉外管辖权问题研究[J].网络空间安全，2019，10(03):53-57.

[2] 郭玉军，向在胜.网络案件中美国法院的长臂管辖权[J].中国法学，2002(06):156-169.

[3] 廖诗评.中国法域外适用法律体系:现状、问题与完善[J].中国法学，2019(06):20-38.

[4] 廖诗评.国内法域外适用及其应对——以美国法域外适用措施为例[J].环球法律评论，2019，41(03):166-178.

[5] 戴元光.美国关于网络空间管辖权的立法与争论[J].新闻大学，2018(02): 93-102+153.

[6] 弓永钦.美国《云计算法案》引发的个人数据法律管辖权思考[J].北京劳动保障职业学院学报，2018，12(04): 26-29.

[7] 王春晖.完善《数据安全法(草案)》的十大建议[J].南京邮电大学学报(自然科学版)，2020，40(05):225-230.

[8] 肖永平.“长臂管辖权”的法理分析与对策研究[J].中国法学，2019(06):39-65.

原文刊载于《互联网天地》2021年12期，作者：邓纪璇，单位：北京师范大学法学院