关于《数据主权视域下民事数据证据出境的法律规制》的学术报告
本文《数据主权视域下民事数据证据出境的法律规制》发表于《学习与探索》2026年第3期(总第368期)的“数智法治研究”专栏。文章作者为清华大学法学院长聘教授、博士生导师、教育部青年长江学者任重,以及清华大学法学院博士研究生马鹏博。该研究隶属于法学领域,具体聚焦于数据法学、民事诉讼法学与国际私法的交叉地带,旨在回应数字经济时代我国企业在涉外诉讼中面临的数据证据跨境传输难题,并构建一套平衡数据安全、司法主权与当事人诉权的法律规制方案。
论文核心议题与背景 本文的核心议题是探讨在数据主权理论框架下,如何对我国民事数据证据出境的法律规制体系进行优化与重构。研究背景根植于两个深刻的现实矛盾:一方面,随着我国企业“走出去”步伐加快,涉外诉讼激增,数据作为核心证据的跨境调取需求日益常态化与迫切化;另一方面,我国现行的数据出境规制体系在实践中陷入双重困境:适宜出境的数据证据因审批机制不明而“出不去”,不适宜出境的数据证据则因阻断机制失灵而“拦不住”。这种困境使得我国企业在国际诉讼中常陷入遵守中国法可能导致境外败诉,而遵守外国法院命令则违反中国法的两难境地,严重威胁国家海外利益与司法主权。文章指出,既有研究存在路径分割:国际私法视角未能充分融入数据安全合规要求,而数据法学视角又忽视了诉讼场景的特殊性。因此,本研究旨在弥合这一鸿沟,从解释论立场出发,以数据主权理论为基石,对现有法律规范进行体系化激活与重构。
主要观点与论证
第一,诊断当前民事数据证据出境规制体系存在“机制障碍”与“阻断失灵”的双重实践困境。 文章详细剖析了我国以《数据安全法》第36条和《个人信息保护法》第41条为基石的“非经主管机关批准不得提供”的规制模式。其困境具体表现为: 1. 机制障碍:立法虽确立了审批原则,但“主管机关”身份不明、审批程序与标准缺失,导致合规出境通道事实性阻塞。同时,现行“一刀切”的审批模式未区分数据敏感程度,无法适应涉外诉讼的时效压力,形成了“该出的出不去”的局面。 2. 阻断失灵:旨在防止敏感数据外流的法律屏障在国内外两个层面被架空。在国内层面,当事人利用商业数据出境路径(如签订标准合同)将诉讼所需数据证据伪装成商业数据进行转移,混淆了“主权管控”与“风险预防”、“对抗强制”与“合作自愿”、“动态对抗风险”与“静态安全风险”这三对根本不同的法律逻辑,导致监管错配与失灵。在域外层面,以美国法院为代表的域外司法机构通过三种策略系统性规避我国阻断法:一是曲解法律文本(如将美国法院命令解释为中国法下的“法定义务”);二是切分提供路径(声称法律仅禁止向外国机构直接提供,不禁止当事人间交换);三是在进行“国际礼让”分析时,刻意贬低中国法利益或提高遵守难度,最终作出不利于中方的裁决。这导致了“不该出的出得去”的危险局面。 文章认为,双重困境的共同根源在于将数据证据出境简单视为“国家安全vs.司法需求”的二元对立,并采取了单一、僵化的“一刀切”防御模式,未能建立适应不同风险场景的精细化治理体系。
第二,提出应以发展的“数据主权”理论作为破解困境的分析框架,实现从静态防御到动态治理的视角转换。 文章主张,应回归《数据安全法》《个人信息保护法》的立法精神,对数据主权理论进行“再发现”与“再激活”。数据主权不应被简单理解为静态、排他的绝对控制权,而应被视为一个蕴含双重权能的动态关系性概念: 1. 防御权能:作为“盾牌”,指国家有权划定数据管辖边界,抵御外部不当干预(如“长臂管辖”),确保“不该出的数据出不去”。这是维护国家安全与司法独立的底线。 2. 合作权能:作为“桥梁”,指国家有权在主权平等与互惠基础上,通过制度构建促进数据的合法、有序跨境流动,以服务司法合作与经济发展,确保“该出的数据出得去”。 当前困境正是这两种权能关系失衡的体现:防御权悬置(阻断失灵),合作权缺位(机制障碍)。因此,解决方案必须基于数据主权的双重权能,构建一个既能坚守底线又能促进必要交往的治理体系。
第三,主张在数据主权视域下,摒弃“一刀切”模式,构建“风险适配型”的民事数据证据出境分层治理体系。 这是本文提出的核心制度构建方案。该体系依据数据证据的敏感程度与风险等级,将其分流至三个不同的法律规制轨道: 1. 主权防御层:针对核心数据及可能危害国家安全、公共利益的重要数据。规制目标是“绝对控制”。采用“原则禁止+等效替代”模式。即原则上禁止原始数据出境,但可通过在境内法院监督下,采用数据脱敏摘要、境内远程勘验、隐私计算(Privacy-Preserving Computation)、可信执行环境(TEE)等技术手段,向境外提供“可用不可见”的替代性证据,在坚守安全底线的同时履行必要的司法合作义务。 2. 程序主权层:针对敏感个人信息、达到一定数量阈值的个人信息、涉及关键信息基础设施运营者的数据等中风险数据。规制目标是“有序流动”。采用“司法主导审批”模式。主张将审批权明确赋予人民法院(由地方各级法院受理,最高人民法院监督),建立以司法审查为核心、行政协同(征求网信等部门意见)的审批程序。审批结果可以是附条件的许可(如要求脱敏、限定用途等),并设立分级快速裁决机制以适应诉讼时限。 3. 自治监督层:针对不涉及上述风险的一般性商业数据证据。规制目标是“释放效率”。采用“法院监督下的当事人自治”模式。在此层级,无需事前行政审批。当事人可在我国法院的监督下,依据《民事诉讼法》的规定,通过合意采用便捷方式(如即时通讯工具)进行跨境证据交换。法院的角色从“审批者”转为“监督者”,负责审查数据是否属于本层级、交换程序是否自愿对等。这实际上是对《数据安全法》第36条目的性限缩解释,认为其旨在规制外国公权力强制调取,而非当事人经本国司法程序监督的合意行为。
第四,提出须配套优化数据出境阻断机制,并完成与证据法规则的调适。 为确保分层治理体系有效运行,特别是强化“主权防御层”的刚性,文章提出了阻断机制的“刚柔并济”优化方案: 1. 强化刚性执法:通过明确、公开且严厉的处罚(高额罚款、业务限制、个人责任等),并形成公开判例,增加违法成本与法律威慑力。这能为我国企业在境外诉讼中主张“国际礼让”提供强有力的抗辩依据(证明违反中国法将面临真实、具体的处罚)。同时,建议建立跨部门动态监管与执法协作机制。 2. 引入柔性豁免:建议在坚持“属地管辖”(数据存储于中国)原则基础上,以“但书”形式有限引入“属人主义”连接点。例如,对于完全由我国企业在境外分支机构产生、处理、存储且仅涉及境外业务的数据,在满足特定条件(如备案)后,可允许其遵循当地法律提供。这体现了规制的合理性与精确性,有助于提升阻断法在国际上的接受度。 此外,文章还从证据法维度提出了规则调适建议,包括:建立数据证据出境合法性与判决承认的协同机制(违反高层级强制规定的证据,其相关外国判决可能不予承认);在证明力审查中关注取证过程的对抗性、透明度及数据系统的完整性;并建议我国法院建立应对与域外证据规则(如美国证据开示)冲突的协调机制。
论文的意义与价值 本文具有重要的理论价值与实践意义。在理论上,它突破了将数据主权简单等同于数据控制权的传统观念,创造性地区分了其“防御”与“合作”双重权能,为数据跨境治理提供了更具解释力和建设性的分析框架。在实践上,文章提出的“风险适配型”分层治理方案,为破解当前“出不去”与“拦不住”的双重困境提供了一套理论自洽、路径清晰的完整方案。该方案既坚守了数据安全与司法主权的底线(主权防御层),又通过司法审批(程序主权层)和司法监督下的当事人自治(自治监督层)疏通了合规出境渠道,并配套以强化的阻断机制,旨在实现“当出者得出、不当出者不得出”的制度目标,切实服务于我国“高水平对外开放”和“海外利益保护”的战略需求。文章对欧美比较法经验(欧盟的立法主导分层与美国司法主导的礼让分析)的批判性借鉴,以及对技术辅助手段(如隐私计算)的应用探讨,也增强了方案的前瞻性与可操作性。