由此，對于總部位于別國、或具有跨境分支的跨國企業(yè)而言，數(shù)據(jù)出境可能會帶來兩難困境。以下將主要從歐盟《一般數(shù)據(jù)保護(hù)條例》 (General Data Protection Regulation, 下稱“GDPR”)及美國《澄清境外合法使用數(shù)據(jù)法案》（下稱“CLOUD Act”）與我國數(shù)據(jù)出境的相關(guān)規(guī)則的沖突出發(fā)，結(jié)合《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》（下稱“《汽車數(shù)安規(guī)定》”）回望滴滴面臨的數(shù)據(jù)出境問題，對境內(nèi)數(shù)據(jù)出境的兩難問題進(jìn)行分析解讀。

從現(xiàn)有規(guī)定看，《網(wǎng)絡(luò)安全法》（下稱“《網(wǎng)安法》”）[1]、《數(shù)據(jù)安全法》（下稱“《數(shù)安法》”）[2]、《個(gè)人信息保護(hù)法》（下稱“《個(gè)保法》”）[3]皆以“地域+行為”的方式確立了境內(nèi)管轄原則。整體而言，該等法律對于境內(nèi)管轄的思路基本一致，即只要在我國境內(nèi)開展了其規(guī)定的相應(yīng)行為，無論是中國境內(nèi)的組織、個(gè)人還是中國境外的組織、個(gè)人，均受到該等法律法規(guī)的規(guī)制。

GDPR意在保護(hù)屬于歐盟公民和居民的數(shù)據(jù)。因此，GDPR適用于處理涉及歐盟公民和居民數(shù)據(jù)的組織，無論它們是否是總部位于歐盟的組織。

結(jié)合GDPR第3條的規(guī)定，以及歐洲數(shù)據(jù)保護(hù)委員會于2019年11月發(fā)布的2.1版《GDPR適用地域范圍指南3/2018（第三條）》的示例，位于中國境內(nèi)的公司的數(shù)據(jù)處理活動(dòng)亦可能受GDPR管轄。[4]

從《薩班斯·奧克斯利法案》（下稱“SOX法案”）到《海外反腐敗法》（下稱“FCPA”），再到Cloud Act，美國在世界范圍內(nèi)的“長臂管轄”不容忽視。

就CLOUD Act而言，該法案授予了美國執(zhí)法部門以要求電子通信服務(wù)或遠(yuǎn)程計(jì)算服務(wù)提供商提供處于其控制之下的電子數(shù)據(jù)的權(quán)利，不論其數(shù)據(jù)儲存于美國境內(nèi)還是境外，其適用范圍可以延及我國境內(nèi)。[5]

基于上述分析，跨國企業(yè)在我國境內(nèi)根據(jù)我國法律設(shè)立且注冊于境內(nèi)的企業(yè)，亦可能落入上述GDPR及CLOUD Act的管轄范疇。很可能由此面臨重疊管轄的問題，既需滿足中國數(shù)據(jù)相關(guān)法律的要求，又要滿足GDPR及CLOUD Act的相關(guān)規(guī)定。

而現(xiàn)實(shí)“殘酷”之處在于，GDPR在面對其他國家對該條例的承認(rèn)程度、應(yīng)對措施和可能發(fā)生的沖突情況都缺少明確的解決途徑。[6] CLOUD Act雖提出了復(fù)議及禮讓原則等作為解決沖突的路徑，但符合禮讓原則而免于提供數(shù)據(jù)有兩個(gè)嚴(yán)苛的要求：

一來須同時(shí)滿足數(shù)據(jù)權(quán)利人不是美國公民或不居住于美國，且數(shù)據(jù)披露行為會導(dǎo)致服務(wù)提供商面臨違反適格外國政府法律的實(shí)質(zhì)性風(fēng)險(xiǎn)。

二來須美國法院作出撤銷和變更處罰內(nèi)容的裁決，而法官需要充分衡量該個(gè)案的全部情況，包括美國和要求數(shù)據(jù)調(diào)取的政府實(shí)體的利益、外國政府利益、服務(wù)提供商如為滿足要求可能受到的處罰的可能性、性質(zhì)以及嚴(yán)重程度、用戶或客戶與美國關(guān)系的性質(zhì)與程度、服務(wù)提供商與美國的關(guān)系與程度等多方面因素。

總的來說，復(fù)議及禮讓原則的主動(dòng)權(quán)還是掌握在美國政府手中，極有可能不會適用于中國境內(nèi)企業(yè)。[7]

在重疊管轄的情形之下，企業(yè)在遵循我國數(shù)據(jù)相關(guān)法律的同時(shí)要滿足GDPR的監(jiān)管需求，有時(shí)會成為“不可能的任務(wù)”。

舉例來說，如果某總部位于歐洲的零售公司，將其個(gè)人客戶信息管理（CRM）系統(tǒng)部署于德國，其中國子公司（下稱“A公司”）可以登錄該系統(tǒng)錄入、修改、下載數(shù)據(jù)，如果A公司發(fā)生了涉及CRM系統(tǒng)的個(gè)人數(shù)據(jù)泄露事件，將可能陷入兩難境地。

GDPR第3.1條規(guī)定，GDPR適用于與數(shù)據(jù)控制者或數(shù)據(jù)處理者在歐盟領(lǐng)域內(nèi)所設(shè)機(jī)構(gòu)活動(dòng)相關(guān)的個(gè)人數(shù)據(jù)處理，無論該處理行為是否發(fā)生在歐盟領(lǐng)域內(nèi)。鑒于A公司對于CRM系統(tǒng)的數(shù)據(jù)處理，很可能被認(rèn)定為明顯有助于使其總部盈利，屬于與在歐盟領(lǐng)域內(nèi)所設(shè)機(jī)構(gòu)（歐盟總部）的活動(dòng)相關(guān)，所以境內(nèi)子公司A公司的處理行為，也是受到GDPR管轄的。

故此，A公司需符合GDPR的合規(guī)要求。根據(jù)GDPR第33條的相關(guān)規(guī)定，在發(fā)生數(shù)據(jù)泄露的情況下，A公司應(yīng)當(dāng)首先向GDPR有權(quán)監(jiān)管機(jī)構(gòu)進(jìn)行報(bào)告。[8]

在公司作出相應(yīng)報(bào)告后，GDPR的監(jiān)管機(jī)構(gòu)會進(jìn)行證據(jù)收集、評估。[9]根據(jù)GDPR第58條的相關(guān)規(guī)定，監(jiān)管機(jī)構(gòu)不僅有權(quán)從公司處獲得訪問個(gè)人數(shù)據(jù)的權(quán)限，還可以獲得所有其所需要的信息，例如公司相關(guān)的經(jīng)營信息等。[10]

即將生效的《個(gè)保法》第四十一條，與業(yè)已生效的《數(shù)安法》第三十六條的規(guī)定幾乎如出一轍，區(qū)別僅在于《數(shù)安法》所針對的是籠統(tǒng)的境內(nèi)數(shù)據(jù)，而《個(gè)保法》針對的是儲存于境內(nèi)的個(gè)人信息。

根據(jù)兩法規(guī)定，非經(jīng)批準(zhǔn)，境內(nèi)的組織、個(gè)人不得向外國司法或者執(zhí)法機(jī)構(gòu)提供存儲于中華人民共和國境內(nèi)的數(shù)據(jù)。

如果以嚴(yán)格的視角來解讀，境內(nèi)主體如要向外國司法或者執(zhí)法機(jī)構(gòu)提供存儲于中華人民共和國境內(nèi)的數(shù)據(jù)，必須同時(shí)滿足如下條件：

• 存在包括中國有關(guān)法律，或者中國締結(jié)或者參加的國際條約、協(xié)定，或者按照平等互惠原則等受理依據(jù)；

• 外國司法或者執(zhí)法機(jī)構(gòu)主動(dòng)提起提供數(shù)據(jù)的請求；

• 中國主管機(jī)關(guān)批準(zhǔn)。

若A公司向境外提供數(shù)據(jù)的行為未能通過中國主管機(jī)關(guān)批準(zhǔn)，A公司將陷入兩難境地。如果不向境外GDPR監(jiān)管機(jī)構(gòu)提供數(shù)據(jù)則將違反GDPR相關(guān)規(guī)定，如果向境外GDPR監(jiān)管機(jī)構(gòu)提供數(shù)據(jù)，則將違反《數(shù)安法》、《個(gè)保法》的相關(guān)規(guī)定，公司及直接負(fù)責(zé)人皆有承擔(dān)責(zé)任的風(fēng)險(xiǎn)。

美國執(zhí)法部門可以依據(jù)CLOUD Act的相關(guān)規(guī)定，要求電子通信服務(wù)或遠(yuǎn)程計(jì)算服務(wù)提供商提供處于其控制之下的電子數(shù)據(jù)的權(quán)利。

舉例來說，總部位于美國的蘋果公司，雖將其境內(nèi)的iCloud服務(wù)交由云上艾珀（貴州）技術(shù)有限公司（下稱“云上貴州”）運(yùn)營，但蘋果實(shí)體（包括APPLE DISTRIBUTION INTERNATIONAL LIMITED蘋果納斯達(dá)克上市主體及APPLE INC.）“可在云上貴州提供本服務(wù)時(shí)不時(shí)對云上貴州提供協(xié)助”。[11]美國執(zhí)法機(jī)關(guān)依舊可以根據(jù)CLOUD Act的相關(guān)規(guī)定，要求蘋果公司提供儲存于我國境內(nèi)服務(wù)器上的數(shù)據(jù)，可能涉及包括但不限于姓名、手機(jī)號碼、個(gè)人支付信息、個(gè)人健康數(shù)據(jù)等信息。

與GDPR的情景相類似，如果蘋果公司向美國執(zhí)法機(jī)關(guān)提供了其要求的數(shù)據(jù)，但未獲得我國境內(nèi)主管機(jī)關(guān)的同意，將違反《數(shù)安法》、《個(gè)保法》的相關(guān)規(guī)定，公司及直接負(fù)責(zé)人皆有承擔(dān)責(zé)任的風(fēng)險(xiǎn)。

滴滴通過VIE 結(jié)構(gòu)在美國實(shí)現(xiàn)上市，亦即上市的開曼主體DiDi Global Inc.與境內(nèi)實(shí)際運(yùn)營主體北京小桔科技有限公司完全分離，通過層層協(xié)議控制境內(nèi)運(yùn)營主體。[12]其上市主體DiDi Global Inc.作為“發(fā)行人”自然落入了美國法的管轄范疇。而北京小桔科技有限公司作為其協(xié)議控制的關(guān)聯(lián)公司，會根據(jù)U.S. GAAP的對應(yīng)規(guī)則并入DiDi Global Inc.合并財(cái)務(wù)報(bào)表中，亦可能落入美國法的管轄范疇，具有配合調(diào)查等義務(wù)。

以SOX法案項(xiàng)下，美國公眾公司會計(jì)監(jiān)督委員（下稱“PCAOB”）對美國上市公司進(jìn)行監(jiān)督、檢查為例。根據(jù)SOX法案以及2020年12月18日生效的《外國公司問責(zé)法案》（下稱“HFCAA”），在美上市的外國證券發(fā)行人必須遵守PCAOB的審計(jì)標(biāo)準(zhǔn)，需要向PCAOB提供詳盡的底稿。而鑒于暫未有執(zhí)法實(shí)例，我們難以確定底稿是否可能穿透到實(shí)際運(yùn)營公司北京小桔科技有限公司，以及底稿涉及的具體文件、材料范圍為何。不排除美國可以通過SOX法案的相關(guān)規(guī)定，要求調(diào)取滴滴的諸多數(shù)據(jù)。

目前我國對于中概股底稿出境問題態(tài)度十分鮮明，自2001年美國通過薩班斯·奧克斯利法案以來，中國便一直積極與美國政府進(jìn)行溝通、談判，且曾于2013年與就會計(jì)審計(jì)跨境執(zhí)法合作達(dá)成共識，PCAOB不得對中概股做常規(guī)型檢查，而由中方進(jìn)行，且底稿不得出境。2019年中國新修訂的《證券法》中亦再次體現(xiàn)了中國的強(qiáng)硬態(tài)度，再次強(qiáng)調(diào)了審計(jì)底稿不得出境的原則。

滴滴在其隱私政策中提及其收集的信息包括駕駛員的其姓名、身份證或其他身份證明、面部識別特征、車輛品牌、型號、顏色、車牌號、駕駛證、行駛證、車輛監(jiān)督卡信息、銀行卡信息等。[13]

2021年8月16日發(fā)布的《汽車數(shù)安規(guī)定》作為首個(gè)在行業(yè)應(yīng)用場景中具體細(xì)化的數(shù)據(jù)安全管理規(guī)定，明確了人臉信息、車牌信息等的車外視頻、圖像數(shù)據(jù)、涉及個(gè)人信息主體超過10萬人的個(gè)人信息等數(shù)據(jù)屬于重要數(shù)據(jù)。[14]

根據(jù)《網(wǎng)安法》第三十七條[15]、《汽車數(shù)安規(guī)定》第十一條[16]的相關(guān)規(guī)定，重要數(shù)據(jù)應(yīng)當(dāng)依法在境內(nèi)存儲；結(jié)合《個(gè)保法》第四十一條的規(guī)定，境外的司法或者執(zhí)法機(jī)構(gòu)要求提供存儲于我國境內(nèi)的個(gè)人信息的，非經(jīng)我國主管機(jī)關(guān)批準(zhǔn)，不得提供，除非我國締結(jié)或者參加的國際條約、協(xié)定另有規(guī)定。鑒于我國暫未與美國有此等條約、協(xié)定，未經(jīng)批準(zhǔn)，滴滴應(yīng)當(dāng)不得向美國司法部和美國證券交易委員會提供相應(yīng)個(gè)人信息。

在管轄權(quán)重疊導(dǎo)致諸多企業(yè)面臨數(shù)據(jù)出境兩難困境的背景之下，我們需要提示的是，如果違反境內(nèi)數(shù)據(jù)出境相關(guān)規(guī)則，可能會面臨如下責(zé)任：

由上表可見，《網(wǎng)安法》對于關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者違法向境外提供網(wǎng)絡(luò)數(shù)據(jù)的責(zé)任承擔(dān)情況作出了規(guī)定；《數(shù)安法》第三十六條則規(guī)定“境內(nèi)的組織、個(gè)人”未經(jīng)許可不得向外國司法或者執(zhí)法機(jī)構(gòu)提供存儲于中華人民共和國境內(nèi)的數(shù)據(jù)，如有違反，根據(jù)所造成的的后果嚴(yán)重程度，承擔(dān)對應(yīng)的責(zé)任。

而《個(gè)保法》則規(guī)定的較為籠統(tǒng)，沒有具體規(guī)定未經(jīng)許可向外國司法或者執(zhí)法機(jī)構(gòu)提供個(gè)人信息的對應(yīng)責(zé)任。但規(guī)定了公司承擔(dān)的責(zé)任最高可至五千萬元或者上一年度營業(yè)額百分之五的罰款、吊銷相關(guān)業(yè)務(wù)許可證、吊銷營業(yè)執(zhí)照，且主管人員和其他直接責(zé)任人員需切身承擔(dān)責(zé)任罰款、且可能在一定期限內(nèi)不得擔(dān)任相關(guān)企業(yè)的董監(jiān)高及個(gè)保負(fù)責(zé)人。

在制度設(shè)計(jì)層面，歐盟總體而言是鼓勵(lì)數(shù)據(jù)的跨境流動(dòng)的。因而，GDPR為了規(guī)范歐盟公民和居民的數(shù)據(jù)從歐盟向歐盟外國家和地區(qū)流動(dòng)設(shè)立了相應(yīng)的規(guī)則。具體可見如下規(guī)則總結(jié)圖：

在現(xiàn)階段，除了向經(jīng)充分性認(rèn)定后的白名單國家傳輸數(shù)據(jù)比較切實(shí)可行，還有就是約束性企業(yè)規(guī)則（下稱“BCR”）的運(yùn)用，亦即在歐盟設(shè)立總部或分支機(jī)構(gòu)的跨國公司內(nèi)部機(jī)構(gòu)之間數(shù)據(jù)傳輸和保護(hù)的約束性企業(yè)規(guī)則。但如上圖所示，BCR應(yīng)用前提為經(jīng)監(jiān)管機(jī)關(guān)的嚴(yán)格審批程序后獲批，目前僅有一百多家跨國公司取得了該等批準(zhǔn)。

而GDPR其他向外傳輸數(shù)據(jù)規(guī)則難以落地，將來即使可以進(jìn)一步落實(shí)，在執(zhí)行方面也將面臨管轄權(quán)重疊帶來的沖突問題。其癥結(jié)，如開篇所言，在于全球數(shù)據(jù)的跨境流動(dòng)統(tǒng)一規(guī)則尚未形成。對于任何一個(gè)數(shù)據(jù)主體，輸出數(shù)據(jù)的活動(dòng)，首先需要適用輸出國的法律。但只要輸入國在對該活動(dòng)的管轄中具有“長臂管轄權(quán)”，則該數(shù)據(jù)主體就要面臨管轄權(quán)重疊而帶來的沖突，進(jìn)而可能引發(fā)企業(yè)合規(guī)沖突。

1. 關(guān)于數(shù)據(jù)出境問題，我國的法律法規(guī)主要從以下三個(gè)維度進(jìn)行管控，并非一概不得出境：

• 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者所收集個(gè)人信息及重要數(shù)據(jù)應(yīng)當(dāng)存儲在境內(nèi)，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估；

• 其他主體所收集的重要數(shù)據(jù)的出境安全管理辦法，由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定，亦會受到管制；

• 達(dá)量的主體收集的個(gè)人信息，應(yīng)當(dāng)將在境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲在境內(nèi)且應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評估，[17]未達(dá)量的主體收集的個(gè)人信息，雖不以存儲在境內(nèi)為原則，但確需向境外提供的，應(yīng)當(dāng)同時(shí)符合《個(gè)保法》有關(guān)“告知與單獨(dú)同意”、“ 評估記錄與監(jiān)督”及滿足該法第三十八條的四項(xiàng)要求之一。[18]

而未落入重要數(shù)據(jù)、個(gè)人信息維度的數(shù)據(jù)，仍可正常出境，并不受到特殊限制（政務(wù)數(shù)據(jù)與公共數(shù)據(jù)暫不討論）[19]。對于重要數(shù)據(jù)及個(gè)人信息的辨析、認(rèn)定和評估，從現(xiàn)在到將來，都將是數(shù)據(jù)出境過程中至關(guān)重要的一環(huán)。

2. 《個(gè)保法》第三十八條的四項(xiàng)要求與GDPR所規(guī)定的跨境傳輸框架有一定的相似性，可以為企業(yè)數(shù)據(jù)跨境合規(guī)（尤其是個(gè)人數(shù)據(jù)跨境）帶來啟發(fā)：

就跨境傳輸框架而言，《個(gè)保法》第三十八條第二項(xiàng)規(guī)定了經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證之后，個(gè)人信息即可出境。GDPR中亦有與之相似的“認(rèn)證機(jī)制”的規(guī)定；第三項(xiàng)根據(jù)網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同則與GDPR中“標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)條款”的立法設(shè)計(jì)相似，均通過不可更改的標(biāo)準(zhǔn)合同的方式將法律規(guī)則內(nèi)化到合同中。

GDPR自2018年公布以來，仍未有其批準(zhǔn)的行為準(zhǔn)則（Code of Conduct），歐盟委員會還在持續(xù)不斷發(fā)布新的決定、對于標(biāo)準(zhǔn)合同文本進(jìn)行更新。鑒于中國的《個(gè)保法》剛出臺不久，對應(yīng)的評估、認(rèn)證操作細(xì)則及標(biāo)準(zhǔn)合同文本的出臺，仍需要一定時(shí)間，一系列規(guī)范及文本應(yīng)該會逐步落地。

企業(yè)應(yīng)謹(jǐn)記，以上相似性主要源于同一目的—使企業(yè)在數(shù)據(jù)傳輸活動(dòng)中切實(shí)履行法定義務(wù)，以保證個(gè)人信息的跨境流動(dòng)的安全性。由此，在具體規(guī)則尚未出臺前，亦可以未雨綢繆，早做準(zhǔn)備，以應(yīng)對政策實(shí)際落地的挑戰(zhàn)。

《個(gè)保法》第二十條調(diào)整的是數(shù)據(jù)共同決定者及數(shù)據(jù)共同處理者與個(gè)人信息的權(quán)利主體之間的規(guī)定。該條明確了：1）如果屬于個(gè)人信息處理者共同決定個(gè)人信息的處理目的和處理方式的情形，無論內(nèi)部約定如何，其對外都需承擔(dān)配合權(quán)利主體要求行使《個(gè)保法》規(guī)定的權(quán)利；2）如果屬于共同處理個(gè)人信息的情形，侵害個(gè)人信息權(quán)益造成損害的，共同處理個(gè)人信息的主題需承擔(dān)連帶責(zé)任。也就是說，與第三方合作，無法當(dāng)然成為“擋責(zé)金牌”。

數(shù)據(jù)出境困境的解決，離不開與境外各國監(jiān)管機(jī)構(gòu)的長時(shí)間溝通協(xié)調(diào)，正如美國證券交易委員會與中國證券監(jiān)督管理委員會就中概股底稿出境問題的“沖突”，有待雙方長時(shí)間的博弈以期達(dá)成合作共識。

誠然，想要在國際社會針對數(shù)據(jù)流通建立統(tǒng)一規(guī)則并非易事。在數(shù)據(jù)流通方面，各個(gè)國家的利益及政策并不相同。一個(gè)相對穩(wěn)定的秩序的建立，必得是經(jīng)過各方博弈后達(dá)到的某種衡平。

更深尚有通樵處，或是秦人未可知。