数据安全 | 浅析欧美跨境数据管辖权

　　一、欧盟GDPR管辖权的“效果原则”

　　2018 年5 月25 日，就在CLOUD 法案刚出台不到两个月，欧盟《通用数据保护条例》( General DataProtection Regulation，下称“GDPR”)正式生效，确立了欧盟数据管辖的“效果原则”。

　　(一)具体规定

　　GDPR 第3 条第2 款规定，GDPR除了受欧盟境内机构控制或者经欧盟境内设备处理的数据之外，向欧盟境内数据主体提供商品或服务时处理的个人数据和监控发生在欧盟境内的行为所收集到的个人数据同样也受该法保护，即无论外国数字企业是否在欧盟境内设立机构或存储设施，只要是向欧盟境内用户提供了数据服务，或者监控了欧盟境内的个人行为，那么欧盟对于其间所产生的数据，将依据GDPR 所规定的“效果原则”主张管辖权。

　　(二)产生效果

　　GDPR效果原则的适用宽泛，大范围的数据被纳入其保护范围，可理解为GDPR“效果原则”之下的欧盟数据管辖权扩张。具体如下：1.该条款所称“欧盟境内数据主体”不局限于法律意义上的欧盟公民和居民，只要数据主体客观上位于欧盟域内，即满足该条款的主体要件;2.该条款所称“提供商品或服务”并不以取得对价为构成要素，只要境外机构有向欧盟境内主体提供数据服务的明显意图，即满足行为要件; 3.数据的获取只需要与“提供商品或服务”或“监控”行为具有关联性，而无论这种关联性。是直接还是间接，即满足因果关系要素。

　　二、美国CLOUD管辖权的“控制者标准”

　　2018 年3 月，美国总统特朗普签署《澄清境外数据合法使用法案》( Clarifying Lawful Overseas Use of Data Act，下称“CLOUD法案”) ，确立了美国海外数据管辖权行使的“控制者主义”立场。

　　(一)具体规定

　　CLOUD法案第三节为美国行使境外数据管辖权确立了“控制者标准”，即只要数据是为美国数据服务提供者所拥有、监管或控制的，无论该数据是否存储于美国境内，政府均有权要求数据服务提供者向其披露该数据。CLOUD 法案一方面确立了境外数据管辖的“控制者标准”，另一方面又保留了美国对其境内数据的属地管辖。也就是说，对于存储于美国境内却受外国企业控制的数据，法案并未同等地适用“控制者标准”，其他国若要获取美国的境内数据，仍须经美国同意。

　　(二)产生效果

　　随着美国全球监控计划在2013 年“棱镜门”事件中被曝光，存储地国数据管辖意识进一步被唤醒，澳大利亚、马来西亚、印度、巴西、俄罗斯等国相继在国内法中新增“数据本地化”的要求，规定境内数据服务提供商必须将运营中所收集到的用户数据存储于当地。所以各国普遍依据属地原则对于境内数据主张“存储地管辖”，我国也不例外。根据《网络安全法》第37条的规定，要求实现数据本地化。基于这一立法要求，在我国境内运营的多家美国数字企业，陆续在中国境内建立起数据中心以存储用户的信息数据。在面对诸多国家的“数据本地化”立法，美国CLOUD法案确定的“控制者标准”在数据管辖立法上引发与他国数据管辖权的冲突。