学术报告:评析“数据控制者标准”取证模式及其对中国的挑战与应对
作者与发表信息 本文作者为陈爱飞,其所在机构为中南财经政法大学法学院及数字法治研究院。该研究发表于《法商研究》(Studies in Law and Business)2024年第41卷第3期。
论文主题与背景 本文是一篇聚焦于国际法、数据法与诉讼法交叉领域的深度评析性论文。其核心议题是探讨以美国和欧盟为代表的“数据控制者标准”(Data Controller Standard)跨境数据取证模式的内涵、运作机制、潜在影响,以及中国应如何构建有效的法律因应策略。在数字时代,数据已成为关键生产要素和战略资源,跨境数据流动与司法取证活动日益频繁,由此引发的国家间数据主权与司法管辖权冲突也愈发尖锐。本文的写作背景正在于此:以“益华公司诉新拓尼克(北京)公司案”为现实引例,揭示了美国法院利用其国内证据开示(Discovery)制度,结合新兴的“数据控制者”理念,强制调取存储于中国境内的数据,与中国以《个人信息保护法》《数据安全法》为核心的“数据本地化标准”(Data Localization Standard)监管框架产生了直接冲突。作者旨在系统剖析这一冲突的根源、表现与后果,并为中国在维护数据主权与安全的前提下,参与和塑造全球跨境数据取证规则提出建设性方案。
论文主要观点与论证
一、 “数据控制者标准”取证模式的理论内核与域外实践 本部分详细阐述了“数据控制者标准”取证模式的基本原理、特点及其在美国和欧盟的具体立法体现。 * 核心观点: “数据控制者标准”取证模式是一种以“数据的实际控制者”(通常是跨境网络服务提供者)为属人连结点,来确定跨境数据管辖权并直接向其调取境外电子数据的模式。它标志着跨境数据取证规则从传统的、以数据存储物理位置为核心的“属地原则”,向以控制者身份为核心的“属人原则”的深刻转向。 * 论证与阐释: 1. 法律机理: 该模式通过向数据控制者施加法定的证据提出义务,绕开了传统的、基于主权平等和司法礼让的国际司法协助程序(如《海牙取证公约》),创设了一种高效但具有单边主义色彩的取证新路径。其本质是试图突破数据主权的物理边界,将其延伸至技术控制边界。 2. 主要特点: 作者归纳了该模式的四个特点:(1)数据控制者是取证的关键节点和直接执行者;(2)控制者负有依法保存和披露其控制数据的义务;(3)执法司法机关可直接向控制者发出命令;(4)客观上扩张了命令发出国的司法管辖权。 3. 美国方案: 以《澄清数据的合法境外使用法》(CLOUD Act)为基石。该法案授权美国执法部门,无论数据实际存储于世界何处,只要其由受美国管辖的服务提供者“拥有、保管或控制”,即可直接调取。这与其原有的、范围广泛的证据开示制度相结合,形成了强大的跨境数据获取能力。文章指出,《CLOUD Act》虽包含对外国政府的“适格性”互惠条款,但审查严苛,实质仍不符合真正的对等原则。 4. 欧盟方案: 体现为2023年生效的《欧盟电子证据条例》(Regulation (EU) 2023/1543)。该条例创设了“欧洲出示令”(European Production Order)和“欧洲保全令”(European Preservation Order),允许欧盟成员国执法机关直接向在欧盟范围内提供服务的网络服务提供者(数据控制者)发出具有约束力的命令,要求其提交或保全电子证据,同样绕过了数据存储地国的机关。这表明欧盟在取证效率与数据控制者管辖之间,也选择了与美国相似的路径。
二、 “数据控制者标准”取证模式对中国构成的多重挑战 本部分深入分析了该模式在实践应用中对中国数据主权、司法制度及企业权益带来的具体冲击。 * 核心观点: “数据控制者标准”取证模式与中国的法律体系、数据治理理念存在根本性抵牾,其单边强制适用将引发数据主权冲突,并与美国的证据开示制度叠加,对中国当事人构成巨大压力,而中国现有的阻断法(Blocking Statute)应对效力有限。 * 论证与阐释: 1. 引发数据主权冲突: 中国坚持“数据本地化标准”,强调国家对境内数据的管辖权。美欧的模式直接向中国境内的数据控制者(包括中资企业和在华运营的外企)下达命令,强制数据出境,实质上是将其国内法的效力域外适用,侵蚀了中国的数据主权。文章以“微软公司诉美国政府案”的历史争论和《CLOUD Act》的最终立法选择为例,说明美国通过“数据控制者”概念成功将其数据主权主张从物理层延伸至技术控制层,加剧了与他国的冲突。 2. 与证据开示制度的叠加压力: 美国的证据开示制度本就具有“长臂管辖”特性,要求当事人及案外人提供其“占有、保管或控制”下的证据,无论其位于何处。“数据控制者标准”在理念上与证据开示的“控制”要件高度契合,二者结合使得美国法院能更便捷地强制中国当事人提供存储于中国的数据。“益华案”即为典型:美国法院通过扩大解释中国《个人信息保护法》中的“法定义务”条款,将美国法院的命令纳入其中,从而驳回了被告以中国法为由拒绝出示证据的动议。这暴露了在缺乏国际协调规则下,中国数据出境管制法规在境外诉讼中可能被曲解或规避的风险。 3. 现有阻断法制约力度有限: 中国《数据安全法》《个人信息保护法》等法律中包含阻断外国法律不当域外适用的条款。但作者指出,这些国内法存在地域适用限制,主要约束中国当事人。当中国企业在境外被诉时,面临两难困境:遵守外国命令可能违反中国法,承担国内法律责任;拒绝遵守则可能面临外国法院的藐视法庭制裁(如罚款、败诉判决)。而外国法院(如美国)在判例中(如“法国国家航空航天公司案”)往往倾向于认为,外国的阻断法不能剥夺美国法院命令受其管辖者出示证据的权力。这使得中国阻断法的实际威慑和救济效果面临挑战。
三、 中国应对“数据控制者标准”取证模式的策略构建 本部分是论文的落脚点,提出了系统性、多层次的中国因应方案。 * 核心观点: 中国应采取“以数据本地化标准为主,以数据控制者标准为辅”的总体策略,在坚守数据主权底线的基础上,通过国际协调、法律完善和阻断法强化,构建平衡安全与效率的跨境数据取证规则体系。 * 论证与阐释: 1. 确立“主辅结合”的总体思路: 首先,必须坚持“数据本地化标准”的主体地位,这是维护数据主权和安全的基石,已由《网络安全法》《数据安全法》《个人信息保护法》确立。其次,在严格限定条件下,可探索“数据控制者标准”的例外适用。例如,借鉴对等原则,在互惠基础上,通过双边司法协助协议,有限度地允许特定情形下直接向数据控制者取证。同时,可参考《民事诉讼法》新增的第284条,在双方同意且不违反所在国法律的前提下,利用即时通讯工具等便捷方式取证,这本身也是对纯物理存储地标准的一种灵活突破。 2. 推动共识性标准与尊重主权差异并存: 在国际层面,应积极倡导和参与制定跨境数据取证的最低限度共识性保护标准(如数据分类分级、用途限制、比例原则),为长期稳定的司法合作奠定基础。可以双边或多边协议(如美英、美澳协议)为补充,但需警惕“条约拥堵”和潜在冲突。同时,必须坚持“主权差异”理念,要求他国在取证时充分尊重中国的数据管辖权和法律法规,将国际礼让(Comity)原则真正纳入其司法裁量过程。 3. 多维度缓解境外取证制度压力: * 立法与解释完善: 将国内数据分级分类管理制度延伸至跨境取证领域,对不同敏感程度的数据出境设置差异化的审查和许可程序。 * 善用“五因素平衡测试法”: 借鉴美国判例(如“法国国家航空航天公司案”)中的方法,在应对境外取证请求时,可主张要求对方法院综合考虑:所调取数据对诉讼的关键性、请求的具体性、数据来源地、是否存在替代取证方式、以及不遵守命令对两国重要利益的影响。这为在个案中抗辩不合理、过宽的取证要求提供了法律技术工具。 4. 强化与精准化阻断法的运用: 虽然作用有限,但阻断法仍是重要的法律盾牌。未来可通过细化规则、明确违法提供数据的法律责任(包括刑事责任)、建立官方合规评估与指导机制等方式,增强阻断法的可操作性和威慑力。同时,应通过外交和法律渠道,坚决反对他国法院对中国法律(如《个人信息保护法》第13条中的“法定义务”)进行扩大或曲解解释。
论文的意义与价值 本文具有重要的理论价值与现实意义。在理论上,它清晰梳理并对比了“数据本地化标准”与“数据控制者标准”这两大跨境数据管辖范式的基本法理、演进逻辑及冲突本质,丰富了数据主权与跨境数据治理的理论研究。在实践上,本文紧密结合最新立法动态(如欧盟《电子证据条例》)和典型司法案例(如“益华案”),深刻揭示了中国在当前国际数据规则博弈中所处的境遇与挑战。作者提出的“主辅结合”、分级管理、对等开放、强化阻断等策略建议,体系完整且兼具原则性与操作性,为中国立法机关、司法机关及政府部门在数据跨境流动与司法协作领域的政策制定和法律完善提供了有价值的参考框架。文章指出,中国不能简单拒斥“数据控制者标准”所代表的效率取向,也不能无条件接受其背后的单边管辖逻辑,而必须在捍卫核心主权利益与适应数字时代司法协作需求之间,走出一条符合自身利益的创新路径。