近年来，随着数据主权的概念被广泛接受，国家对域外数据的管辖问题成为争议的焦点。在全球互联网巨头中，美国企业占据主要地位，是全球数据的主要控制者。但随着数据本地化趋势席卷全球，美国意识到美国公司控制的大量数据位于域外，因而通过修改 1986 年的《存储通信法》将管辖权延伸至域外数据。无疑，美国对域外数据的管辖权将严重影响到数据存储国对数据的主权。数据跨境获取将对中国国家安全、数据主权、国际话语权及中国企业的合规等问题带来巨大冲击，直接影响到中国作为新兴数据大国的利益和中国企业与个人的权益。因此，对美国的域外数据管辖权进行深入研究十分迫切与必要。

美国域外数据管辖权由立法管辖权、司法管辖权与执法管辖权构成，由于司法管辖权是以立法管辖权为基础，基本上是一致的，所以本部分从立法管辖权与执法管辖权两方面来分析美国域外数据的管辖问题。

立法管辖权

2018 年3月23日， 美国国会通过《 澄清海外数据合法使用法》（Clarifying Lawful Overseas Use of Data Act，以下简称《澄清法》），明确美国对数据控制人的管辖权，从而将域外数据纳入美国的属人管辖。由于美国企业在全球互联网的优势地位，通过强制美国公司存储域外数据很可能将其在全球互联网行业的市场份额转变为美国的数据管辖权，美国数据管辖权或能发展成为类似美元霸权的数据霸权。

执法管辖权

国家主权原则要求在其他国家领土上行使执法管辖权需获得该国的同意，这已然成为国际惯例，也在实践中对域外立法管辖权构成重大限制。在《澄清法》之前美国采取的是查询信件与法律互助条约的两种执行模式来获得外国的同意获取域外数据，但《澄清法》的实施将《存储通信法》的适用扩张到海外，改变了域外数据执法管辖权需要数据所在国同意的原则。尽管数据位于美国域外，但是通过位于美国的数据控制人，美国无需数据地国的同意即可采取强制手段迫使其提供域外数据，从而能够在自己的领土上强制执行他国领土上的数据。

数据的流动性与互联网的整体性使得互联网跨国企业处于政府与数据之间，这些数据巨头一方面帮助政府管理数据，另一方面又具备限制政府的能力。目前，美国互联网巨头已成为世界上最主要的数据中间人，这些中间人作为国家执法机构的执行代理人，在数据管理中起到准立法者和准执法者的作用。例如，脸书发布并执行其服务条款协议，推特对仇恨言论行使执法权力，谷歌执行欧洲法院裁决。与中间人的权力上升相对应的是，国家主权在数据领域正在逐步削弱。由于最具影响力的中间人多系美国企业，因此中间人权力的上升意味着美国数据监管影响力的上升，尽管这些企业仍必须服从所在地（国）数据管理规则及其他规则，但在实践中这些数据巨头已经开始挑战数据所在地的主权，同时美国可以通过中间人的监管权收集全球数据，并向全球输出其数据管理模式，削弱数据所在国家的管辖权。正因如此，一些国家与美国互联网巨头之间的冲突屡见不鲜，在韩国、印度、巴西等地，均出现过脸书、谷歌、雅虎等美国互联网巨头因拒绝向当地执法部门披露数据而引发争端的案例。

在域外数据的执行问题上，中间人的选择是决定性的。谷歌向美国加州地区法院提出诉讼, 请求免除其遵守加拿大法院下达的要求谷歌从谷歌搜索结果中删除某些网站的裁决。谷歌表示，加拿大的裁决将加拿大法院置于监督其他主权国家（美国）的执法活动的位置。美国加州地区法院支持了谷歌的请求。美国法院的判决实际上将其置于世界法院的地位。类似的案件在欧洲也发生过数次。

中间人在如何处理客户数据、如何组织业务及遵守哪些法律规则方面拥有相当大的自由度，它们已成为政府管理数据的主要实体，在确定互联网政策时发挥着关键作用。国家对数据的主权不仅受到来自中间人母国的域外管辖的威胁，而且还受到作为中间人的互联网公司的权力限制。美国借此将其转变为全球数据的聚集地，这直接威胁到其他国家行使主权保护公民隐私乃至国家安全的能力，必然会迫使其他国家为保卫自己的数据主权与之抗衡，加深网络与数据的碎片化。

美国对域外数据管辖的限制通常体现在，立法上明确域外管辖的条件，司法上通过法院在审判实践中根据反域外适用推定等原则避免一些极不合理的域外管辖。

立法方面，以《澄清法》为例，该法为获取域外电子数据设定了门槛，只有涉及美国人并属于美国公司控制下的域外数据，且只有在涉嫌危害美国国家安全的犯罪或严重的刑事犯罪的情形下，这些域外数据才可能被美国执法机构获取。《澄清法》同时创建了美国主导的国际数据共享安排范式，授权美国与适格外国政府订立“行政协议”，与美国有该类协议的外国政府可获取美国控制的数据。值得注意的是，《澄清法》要求行政协议保持“加密中立”，既不要求解密，也不要求政府在其法律授权的范围内下令解密。

司法方面，美国法院在多年的司法实践中创立了限制域外管辖的原则，如反域外适用推定原则、国际礼让原则、一致解释原则等，这些原则均适用于数据领域。以反域外适用推定原则为例，该原则是美国法域外适用的核心原则，除在美国国会清楚表明打算将美国联邦法的适用范围扩大到超过美国拥有主权或具有某种程度的法律控制权的地方以外，美国法不具有域外适用效力。但值得注意的是，该原则在现实中反而对美国域外管辖权的扩张起到推动作用。在数据领域，正是美国法院在微软搜查令案中适用该原则导致美国国会出台《澄清法》，从而明确了美国域外数据管辖权。

作为后发国家，中国在数据问题上一直主张数据的属地管辖，坚持数据本地化原则。在数字领域，中国通过保护性管辖与数据主体的属人管辖建立了有限的域外数据管辖权，中国在强调数据的本地化的同时，亦尊重其他国家对本地数据的主权。作为一个新兴的数据大国，中国对域外数据的获取是以法律合作协议或其他获得数据主权国的同意的方式为基础，凸显中国对他国平等主权的尊重。中国与美国在域外数据管辖权问题上的冲突难以调和，而且会长期存在。因此，中国应积极采取措施，减少美国域外数据管辖权对中国的冲击，保护中国的数据安全，以及中国数据产业、企业与个人的权利。

鼓励中国互联网企业扩大全球影响力，提高中国全球数据的市场份额

美国的数据霸权是基于其互联网企业在全球数据的主导地位，因此，要削弱美国的数据霸权，就应推动中国互联网企业走向全球。鼓励中国企业推出符合当地法规和民众需求的数据平台，亦可收购一些具有发展前景的海外数据平台。

联合新兴国家及发展中国家建立国际数据合作机制

美国推行《澄清法》下的行政协议，意图使国际数据分享机制美国国内法化，侵犯了大部分国家的主权。目前由于缺乏相关国际规则，因而难以限制美国的数据霸权。故中国可以率先通过与新兴国家及发展中国家达成共识，缔结多边数据管辖方面的条约，反对数据域外管辖与数据霸权，阻碍美国《澄清法》下行政协议的多边化，提升在数据管辖方面国际规则体系构建中的话语权。

重视美国数据规则中的加密中立

中国应重视美国数据规则中的加密中立，要求美国公司在必要的情况下对在中国的数据提供加密服务。美国的《澄清法》没有赋予执法部门强制解密数据的权力。因此，可通过法律强制数据加密来避免美国的域外数据管辖，要求美国法下的“美国人”对中国数据使用加密钥匙，并且不得留有后门。

评估数据安全风险

中国企业、实体及个人海外发展时，须评估其对中国的境内数据安全带来的风险。要注意美国法定义的“美国人”的范畴远大于拥有美国国籍的人及在美国登记注册成立的公司，要注意不慎成为“美国人”后，其在华母公司的数据可能面临被要求在美国存储并强制披露的风险，从而威胁中国境内的数据安全。此外，还要注意与海外实体保持相互独立关系，避免美国长臂管辖，保护中国境内的国家数据安全与个人信息安全。

充分利用美国的限制规则

中国企业、实体面对美国域外数据管辖时，要充分利用美国的限制规则。若受到美国的域外数据管辖，需利用《澄清法》对域外数据管辖的限制与反域外适用推定原则、国际礼让原则及一致解释原则等规则，争取排除强制披露数据的义务。

深圳是中国领先高科技企业集中的地区，深圳市政府应指导相关职能部门对涉及数据的企业进行培训，使企业了解美国域外数据管辖权对中国企业的影响，避免深圳企业遭受美国的长臂管辖，保护数据安全。

综上所述，美国作为互联网的诞生地，在全球网络与数据的权力博弈中占有绝对优势，美国政府通过域外数据管辖权将美国企业铸造成“网络空间的国土”。中国应继续坚持数据主权原则，积极联合新兴国家与发展中国家，主动参与国际数据合作机制的创立，提升中国在数据管辖方面国际规则体系构建中的话语权。同时采取措施提高中国企业在全球数据领域的竞争力与规则意识，当中国的数据主权遭到美国侵害时，亦应依法进行适当反制，破解美国数据霸权。