在全球数字经济迅速发展的背景下，数据跨境流动已成为国际社会关注的焦点。然而，当前全球尚未形成统一的数据跨境流动规则，美欧在数据主权和数据治理方面采取了不同的立场和策略。

美国为了巩固其数据霸权地位，维护其互联网巨头的垄断利益，在数据控制权与数据管辖权上肆意扩张；欧盟的一系列数据主权立法也事实上强化了其对域外数据处理行为的规制，拓宽了数据法的域外效力。

与互联网有关的公共政策的决策权是各国的主权，各国享有对境内网络设施的管辖权。但互联网具有虚拟性、开放性和无边界的特点，如果不提升我国对数据跨境流动的规制力，任由美欧等国家调取、挖掘、收集与我国相关的数据信息，会对国家安全、公共安全、个人隐私造成极大的危害。

一、美欧数据法不当域外适用的现状分析

（一）美欧数据法不当域外适用的表现

全球互联网接入的13个根服务器中有10个位于美国境内，制定互联网治理规则的非政府组织大多与美国政府关系密切或受其控制，大型互联网科技公司也主要是美国公司，全球的互联网数据在客观上几乎单向流入美国。为主导全球数据流动秩序，美国通过了《澄清域外数据的合法使用法案》，该法案以“数据控制者标准”为核心，要求美国公司无论数据存储地点位于全球何处，只要其对数据有控制权，就必须配合美国政府的调查请求，这种做法导致了对其他国家主权的侵犯和程序上的歧视，使得其他国家难以平等获取存储在美国的数据。

欧盟数据法的域外适用主要通过“设立机构标准”和“目标指向标准”来实现。根据《通用数据保护条例》第3条的规定，如果数据控制者或处理者在欧盟境内设有经营场所，即使其数据处理行为实际发生在境外，该行为仍受《通用数据保护条例》的约束，“设立机构标准”通过扩张属地原则的技术性应用，将境外数据处理者纳入欧盟法律的管辖范围；《通用数据保护条例》还引入了“目标指向标准”，即如果境外数据控制者或处理者的行为针对欧盟境内的数据主体，即使没有在欧盟设立经营场所，《通用数据保护条例》亦可对其适用，该标准强调了对欧盟境内数据主体的实际影响或效果，也扩展了欧盟法律的域外适用范围。

（二）美欧数据法不当域外适用的危害

首先，数据主权是国家主权在网络空间的自然延伸，是国家在网络时代维护国家安全和数据安全的重要基础。然而，美欧通过其数据法的域外适用，试图绕过我国法律管辖权，直接调取我国境内的数据，这严重侵犯了我国的数据主权。例如，美国《澄清域外数据的合法使用法案》允许美国政府基于“数据控制者标准”要求美国公司提供存储在境外的数据，这种做法绕过了我国的法律管辖权，严重损害了我国的数据主权。

其次，威胁我国数据安全，增加了数据被动开放的风险。美欧的数据立法通过域外适用扩展了其对跨境数据的监管权，这可能导致我国的数据安全面临威胁。例如，美国《澄清域外数据的合法使用法案》及欧盟的《通用数据保护条例》赋予美欧政府单方面获取境外数据的权利，而无需经过我国主管机关的批准，这可能引发我国数据被动开放的风险——个人数据跨境调取与流动存在隐私泄露风险，数据单方跨境调取影响公共安全与利益，甚至可能被用于信息情报的收集与分析，威胁到国家安全。

最后，增加了企业全球经营的合规成本。美国和欧盟通过构建“外向干涉型”和“内向保护型”数据法域外适用体系，加强对网络空间的规制力的同时，也导致企业合规成本的显著增加。我国企业在境外需遵守其数据合规要求，例如设置本地数据中心、聘用数据保护官、记录数据处理活动、优化流程、培训员工等，这些数据本地化要求可能导致我国企业境外运营成本增加30%至60%。

面对美欧法律单边主义，我国应坚守国家主权平等与国际合作原则，构建既维护核心利益又展现国际责任的“能动回应型”法律体系。

二、美欧数据法不当域外适用的中国因应

美欧数据法的域外扩张本质是规则制定权的争夺。我国回应之道绝非简单法律对抗，而须以法理为根基、以主权为底线、以共赢为目标。通过清晰的域外效力标准彰显法治态度，以分层阻断机制筑牢安全屏障，以司法协作与国际参与推动互信规则形成，才能在数字时代全球治理中有效维护国家数据主权与数据产业安全发展。

(一)明确我国数据法域外效力的适用范围和标准，维护数据主权

加快完善数据立法体系，特别是在《个人信息保护法》和《数据安全法》中明确域外效力的适用范围和标准。可以借鉴欧盟《通用数据保护条例》中的“设立机构标准”和“目标指向标准”，结合我国实际情况，合理确定域外效力的适用连接点和判断标准体系，以确保我国数据法域外适用的可操作性和有效性，维护我国数据主权。

（二）完善外国数据法不当域外适用的阻断机制，维护我国数据安全

充实我国数据法律工具箱，建立完善的阻断机制，赋予企业国内救济途径，避免数据被动开放风险，降低企业合规成本。借鉴欧盟、加拿大等国家的经验，我国可以考虑制定相关国家涉及数据法长臂管辖的法律附录，从立法源头上阻断相关条款的域外效力，并原则上禁止中国企业遵守附录所列法律以及外国法院据此做出的损害中国合法利益的判决和行政决定。允许我国企业通过司法途径挑战外国执法机构的不合理要求，并给予企业相应的法律责任保护。积极参与国际数据治理规则的制定，探索与其他国家和地区达成互惠合作协议，降低国际法律冲突的风险。

（三）强化司法机关在数据法域外适用中的作用

增强我国法院在数据跨境流动中的能动性，支持法院根据个案事实解释域外效力条款，支持法院通过司法解释和裁判实践，明确数据立法的域外适用范围和边界，平衡本国利益、他国利益和国际社会共同利益。加强国际司法合作，在必要时利用管辖权审查和公共政策审查，防止他国不当的域外司法管辖。完善数据跨境取证认证体系、细化证据优先效力规则等，构建开放的数据法管辖体系与法律适用体系，更好地处理跨境数据纠纷。