世界互联网治理的主要理论与实践

崔海默    石  瑾

习近平总书记强调：“加强涉外法治建设既是以中国式现代化全面推进强国建设、民族复兴伟业的长远所需，也是推进高水平对外开放、应对外部风险挑战的当务之急。”随着个人信息及数据保护、打击网络犯罪等问题的关注度持续上升，美欧等世界主要国家加快完善网信领域国内法域外适用，对境外企业或主体实施“长臂管辖”。涉外法治作为中国特色社会主义法治体系的重要组成部分，事关全面依法治国，事关我国对外开放和外交工作大局。本文梳理世界主要国家互联网国内法域外适用规则，简要分析国外部分通用惯例，以期为推进我国互联网相关立法的域外适用司法实践、完善应对策略和反制手段提供有益参考。

近年来，世界范围内非法搜集和利用个人信息、数据等问题与网络空间犯罪活动呈高发态势，各国相关法域外适用趋势明显。习近平总书记在主持十九届中央政治局第三十五次集体学习时发表重要讲话强调，“要坚持统筹推进国内法治和涉外法治，按照急用先行原则，加强涉外领域立法，进一步完善反制裁、反干涉、反制‘长臂管辖’法律法规，推动我国法域外适用的法律体系建设。”互联网国内法域外效力的增强，涉及网络主权边界和网络空间话语权争夺，梳理分析世界主要国家相关实践，对我国涉外法治建设具有重要启示意义。

各国互联网治理管辖权争议梳理

联合国专门使用“网络治理”（Internet Governance）概念而非“监管”（Regulation），将“网络治理”定义为“政府、私营部门和公民社会根据各自的作用制定和实施的,旨在规范互联网发展和使用的共同原则、准则、规则、决策程序和方案”。实践情形中，互联网治理指各国政府为互联网参与和行为制定规则和范式，即协调、管理和塑造与互联网相关的政策。各国围绕互联网治理问题的管辖权争议，既体现在主权国家之间，也发生在非政府实体与主权国家和国际组织之间。

（一）互联网治理的两大理论体系

20世纪90年代起，围绕网络空间主权与管辖权问题出现两大理论体系。

第一类是“网络空间自治”理论。该理论主张网络空间永远不需要受到法律的规制和政府的管辖，认为“出现了一个由屏幕和密码组成的新边界……定义了一个独特的网络空间，它需要并且可以创建自己的新法律和法律机构”。

第二类是“网络家长主义”理论。这一理论认为，尽管在网络环境中执行任何实质性法律权利都面临着严重的管辖障碍，但现实世界的政府通过法律和其他手段不仅能够而且应该规范网络空间的互动。

随着互联网高速发展，现实世界的犯罪活动蔓延至网络空间，各国普遍承认国家对网络空间拥有主权，但对于如何行使网络空间管辖权仍存在较大分歧。

（二）国家主权在互联网三级分层架构中的体现

从物理基础设施看，计算机、服务器和光纤等构成网络的物理设备和硬件设施，既是信息的传输渠道，也是信息的生成与交流工具。但以云计算为代表的信息技术正在模糊数据存储和传输基础设施的疆界，侵蚀各国政府对硬件设施行使管辖权的基础。

从逻辑基础设施看，各种互联网传输协议和标准（如TCP/IP协议）由国际非政府实体管理，如美国单边控制的互联网名称与数字地址分配机构（ICANN）。但在2013年“棱镜门”事件曝光后，各国普遍呼吁对数字地址和域名管理权进行改革。

从内容层看，包括移动应用在内的互联网内容管理已成为网络空间管辖权争议的焦点，各国在数据跨境传输、网络社交平台监管责任与义务等问题上的态度差异性较为明显。

（三）国内法的域外适用与域外管辖

国内法域外适用是国家行使域外管辖权的行为，实现方式是赋予国内法域外效力。域外管辖是指“一国在其境外行使主权权力或权威”，与一国国内法域外效力和域外适用密切相关。一般而言，一旦国家通过国内法确立对域外行为的管辖，将赋予域外适用国内法的依据。域外管辖权以属人管辖权、属地管辖权、保护管辖权和普遍管辖权为基础，其主要连接点，都可能成为国家行使域外管辖权和主张国内法域外适用时的参照。近年来，美国频繁通过国内法的域外适用实现其政策目标，频繁针对他国企业、个人甚至军队采取国内法域外适用措施，在金融、反恐、人权保护、出口管制等多项议题上，对域外行为和事件主张国内法域外适用并发起制裁。作为反制，部分国家开始完善本国国内法域外适用体系进行制衡。

主要国家互联网国内立法及其域外适用规则简析

从主要国家立法实践看，互联网领域的国内法域外适用集中体现在个人信息保护法、域外数据管辖权、数据媒体平台监管法律法规三个层面，多国尝试拓展属人管辖和保护性管辖使用范围，强化信息保护或数据保护法的域外效力。

（一）通过个人信息保护法实现对跨境数据传输监管的分国别情况简析

2022年 6月3日美国发布《美国数据隐私和保护法》（ADPPA）草案，但现有个人信息保护法规对数据跨境传输的路径不具有特定规制，共和党正在推进关于限制数据向中俄传输的立法倡议，同时促进与欧盟数据自由流动。

日本《个人信息保护法》最新修正案于2022年4月1日起施行，通过第75条扩大了域外适用范围，同时规定了向境外转移数据的合规条件。此外，日本2023年2月宣布将在七国集团内推动制定跨境数据传输的共同准则。

欧盟2018年正式实施《通用数据保护条例（GDPR）》，统一了欧盟28个成员国和地区的数据隐私法，基于“营业地”标准和“目标指向”标准扩大了对欧盟以外其他国家与地区企业的适用范围，对数据跨境传输施加了严格限制条件，并建立了欧美解决隐私保护标准分歧的机制。

俄罗斯《个人数据法》注重属地管辖，要求本国公民个人信息必须存储在境内服务器上，对个人信息自由流动设置了“白名单”国家；2022年修正案规定“本联邦法的规定适用于外国法律实体或个人”。

印度、巴西、新加坡均制定个人数据保护相关法律，禁止未经授权收集或处理个人数据，同时明确相关法律存在域外适用，对跨境数据传输条件作出明确规定。

总之，数字经济的高速发展不断放大个人信息及隐私数据的价值属性、主权属性，在数据跨境流动与加强信息保护之间，上述各国均将扩大国内法域外适用、限制数据跨境传输范围作为基本原则，谋求推动建设符合自身利益的国际规则。

（二）通过国内法域外适用建立境外数据管辖权的分国别情况简析

2001年，26个欧洲委员会的成员国和美国、加拿大、日本和南非等30国在布达佩斯签署《网络犯罪公约》（又称《布达佩斯公约》）。该公约原则上规定，各国应当通过国内立法，确保其主管机关能够命令在其国内运营的服务提供商提交有关用户信息及计算机系统数据。截至目前，已有68个国家加入该公约。

美国2018年通过《澄清域外合法使用数据法案》，通过数据控制者的属人连接点建立域外管辖权，同时创建了美国主导的国际数据共享安排范式。英国2019年2月通过《海外调取证据法》，允许英国警方直接调取英国以外的电子证据。

欧盟理事会和欧洲议会2023年1月就《跨境获取电子证据的相关法规和指令草案》达成协议，欧盟监管部门可直接向成员国相关数据提供方发送获取电子证据的司法指令。

从实际效果看，境外数据管辖权直接涉及数据存储国的网络主权，势必引发主权国家间的冲突。同时，美欧国家基本形成相对成熟的境外数据管辖司法体系，与大部分国家的数据属地管辖形成对立。

（三）基于国内法强化社交媒体平台监管的分国别情况简析

随着社交媒体平台的全球影响力不断加强，主权国家纷纷根据本国法律加强监管力度。

欧盟出现要求社交媒体平台服从成员国监管的判例。2019年10月3日，欧洲法院就“皮斯切克诉脸书案件”裁决认为，对于被认定为与违法信息相同或相当的内容，脸书作为网络服务提供者有义务在全球范围内移除。

美国就推动230条款改革形成争议。美国《通讯规范法案》第230条规定，互联网平台无需为第三方发布的内容负法律责任。近年来，美国政府就推动230条款改革基本形成共识，但两党在内容审核与保护言论自由方面争议较大。

此外，还有一些国家对社交媒体平台采取了措施。巴西2023年3月拟修改立法要求社交媒体平台承担删除全网非法信息的义务。以色列2021年12月通过《社交媒体煽动法案》，要求社交媒体平台删除“构成煽动”或“造成伤害”的内容。泰国2020年以来通过对《计算机犯罪法》《刑法》的扩大应用，迫使脸书封锁了反君主制群组。新加坡2019年5月通过《防止网络虚假信息和网络操纵法案》（POFMA）打击虚假信息。

2023年11月6日，联合国教科文组织发布行动计划，呼吁加强对社交媒体平台的监管。在各国纷纷通过立法强化社交媒体平台监管的背景下，大型跨国社交平台的运营将受到主权国家更大程度的制约，治理虚假信息、非法信息等议题将成为各国国内法强化域外效力的重要考量。

推动我国互联网国内法域外适用的对策建议

2023年11月27日，习近平总书记在主持中共中央政治局第十次集体学习时强调，“要从更好统筹国内国际两个大局、更好统筹发展和安全的高度，深刻认识做好涉外法治工作的重要性和紧迫性，建设同高质量发展、高水平开放要求相适应的涉外法治体系和能力，为中国式现代化行稳致远营造有利法治条件和外部环境”。进入新时代，依法治网成为全面依法治国和网络强国建设的重要内容。从实践出发，建立网络空间域外管辖权制度特别是国内法域外适用制度，是构建我国涉外法治体系的必然要求，是推动全球互联网治理法治化进程的必经之路。

第一，明确国内法院在网络安全领域行使司法管辖权的依据。可由最高法发布指导性案例，为法院将“网络运营者”或“信息处理主体”等进行扩大解释提供司法依据，保证网络安全法和个人信息保护法等法律的域外实施效力。

第二，推动个人信息保护法中的个人数据保护标准获得国际普遍认可。欧盟和美国均有意针对企业向我国跨境传输数据出台特别限制法规，由于各国均将隐私保护水平同等作为授权跨境数据传输的先决条件，建议在国内向境外传输个人数据的路径设计方面，增加“数据安全和个人信息权益是否能够在境外得到充分有效保障”的考量。

第三，建立跨境电子取证授权与监督机制。随着信息技术的发展，以领土范围为标准的刑事管辖界限逐渐模糊。建议在数据存储模式基础上，研究拓展对跨境云服务供应商的监管法规，实现对境外存储数据及流动中数据的管辖权。

（作者单位：国家计算机网络应急技术处理协调中心）

（本文系国家社科基金重大项目“网络信息安全监管的法治体系构建研究”阶段性成果，项目编号：2021&ZD194）

选自《平安校园》2024.01（总第266期）