一、问题的提出

网络犯罪因其虚拟性、无界性与技术性，呈现出高度跨国化、组织化和产业化的趋势，已然成为国际社会犯罪治理的严峻挑战与核心议题。在网络空间中，互联网服务提供者（Internet Service Providers，简称ISPs）等私营实体作为网络空间的关键基础设施运营者和海量用户数据的实际掌控者，逐渐成为打击网络犯罪链条中不可或缺的一环，多元协同治理的模式使得以司法机关为代表的国家公权力机关与私营机构之间的合作成为必然选择。

2024年12月，联合国大会通过《联合国打击网络犯罪公约》（以下简称“《公约》”）。《公约》强调服务提供者在打击网络犯罪方面的积极作用，在第27条（b）款明确了服务提供者向侦查机关提交其所拥有或控制的、与服务有关的用户信息的义务。这一条款以提供服务作为管辖连接点，而不论服务提供者或数据是否位于本国境内，事实上确认了在满足一定条件时，侦查机关可以越过传统刑事司法协助程序，要求境外服务提供者直接向其提交与服务有关的用户信息。

针对网络犯罪中的公私合作模式，学界已有讨论。有学者从国内法视角探讨数字时代以数字平台为代表的私主体参与网络犯罪治理的必要性和权责关系，也有学者基于国际条约和各国司法实践论证跨境数据取证的不同模式和现阶段公私合作治理模式的风险与冲突，还有学者聚焦《公约》第27条，重点讨论“提交令”历史发展和法益保护。学界一般较为认同公私合作治理模式对破解跨境取证困境、提升打击犯罪效率具有重要作用。但是，现有研究只是笼统的将服务提供者作为公私合作中的一方，并没有对其本身地位进行拆解，这也导致了论证的片面性，孤立的将论证语境限定于服务提供者与公权力机关之间的关系，没有将服务提供者放在数字时代的整体背景下，探讨这一过程中国家—服务提供者—用户三方的权责张力。将服务提供者作为讨论主体，以《公约》第27条（b）款为中心，破解网络犯罪治理中服务提供者的角色定位，在此基础上剖析服务提供者跨境数据提交义务理论与现实依据和其背后隐藏的多重博弈，可以为我国国内法与《公约》的衔接及未来司法实践提供更有针对性的建议。

二、服务提供者提交义务的层次化分析

在数字技术迅猛发展的背景下，服务提供者因其对数据技术的控制，已成为网络犯罪治理不可或缺的参与者。其在承担数据提交义务时，面临着公共利益、商业逻辑与用户权益的复杂平衡，需从其角色定位、理论现实依据及《公约》条款内涵等多个层次进行剖析。

（一）服务提供者角色定位

根据《公约》的规定，“服务提供者”是指通过提供信息通信技术服务，使用户能够进行通信，或为其存储、处理电子数据的公共或私营实体。对用户而言，服务提供者不只为其与其他用户之间的通信和获取服务提供必要的平台、工具，还会对其在网络活动中留下的电子数据进行存储或处理。对公权力机关而言，服务提供者作为用户数据的控制者，是进行数据保全和内容管控的重要责任主体与合作对象，也是其进行网络空间监管和治理的主要切入点之一。因此，作为网络空间运营者的服务提供者，事实上分化出“数据处理者”以及“网络犯罪治理参与者”两类角色。

1.作为“数据处理者”的服务提供者

服务提供者实质性地持有、控制用户信息是其提交数据的前提。在服务提供者与用户的互动中，两者的关系可以被划分为“数据处理者”和“数据来源者”。服务提供者可以被看作是数据处理者的一种。根据“数据二十条”规定，作为数据处理者的服务提供者享有对其控制的数据的财产性权益，包括数据持有权、数据使用权和数据经营权。

数据持有权在一般意义上表现为数据处理者享有的对数据以持有、使用、经营、收益等为内容的数据产权。数据持有权是数据持有者最基本的利益诉求，也是数据生产与流通的核心枢纽。同时，数据处理者应承担起数据安全保护的义务，特别是当数据处理活动涉及数据出境时，数据处理者承担数据出境安全评估责任。在刑事领域，数据出境更加频繁、涉及的个人数据和敏感数据也更多，在国家主权原则的指引下，刑事数据出境问题时应当以数据安全为先，兼顾数据自由流动的需求。

2.作为“网络犯罪治理参与者”的服务提供者

服务提供者的另一重要角色是与公权力机关合作，成为“网络犯罪治理参与者”。服务提供者在其创建的技术架构下，用户身份信息、通信内容、行为轨迹、交易记录等均留存于服务提供者的服务器内，因此其能够更方便的进行恶意账号识别、违法内容删除、涉案资产冻结等行为，成为网络空间信息的“看门人”，并承担起为侦查犯罪提供技术支持和协助执法的网络安全保障职责。至此，服务提供者逐渐成为重塑社会结构的新治理者（New Governor）。

服务提供者作为网络犯罪治理的重要参与者，主要承担三大关键职能：其一，对用户发布的信息进行管理。服务提供者是网络信息的“第一响应者”，能够运用技术手段过滤违法内容，及时处置违规信息，并对违规账号实施相应管理措施。其二，为刑事司法活动提供技术支持和协助执法。服务提供者能够凭借其掌握的信息向侦查机关提供涉案电子数据，利用自身技术优势协助挖掘犯罪线索和进行复杂的数据分析，并在紧急情况下建立快速响应机制。其三，风险评估与犯罪预防。服务提供者可以构建风险预测模型识别潜在犯罪活动和高风险行为，监控整体安全态势并发布预警，推动治理模式从事后打击转向事前预防与事中阻断，有效降低犯罪发生率。

（二）服务提供者披露义务的理论与现实依据

1.理论因素：全球犯罪治理主体多元化

跨境网络犯罪治理中服务提供者数据提交义务的确立，绝非偶然或仅出于实用主义考虑的权宜之计，其源于当代全球化与数字化浪潮下“统治”向“治理”模式的改革，以及由此引发的全球治理主体多元化的趋势。经过时代的发展，全球治理可以被认为是以法律和制度为基础的、由多元治理主体参与，解决国际社会共同关切的全球性问题的一种治理模式。

在网络犯罪治理领域，由执法部门为代表的国家公共部门、以网络服务提供者为代表的私营机构、与被追诉人、被害人、公众等主体共同构成相互联结的网状治理结构。根据节点治理理论，治理实质上成为由节点利用其资源、技术和思维方式，直接或通过网络影响其他节点来管理事件的过程。在网络空间内，服务提供者凭借对关键信息基础设施、用户数据和核心算法的控制，成为能够施加影响力的节点，实质性地影响网络空间的秩序与安全。

然而，全球犯罪治理模式的变革并没有改变国家主权原则在网络空间内的核心地位。网络信息的互联互通和边界的错综复杂使得网络空间内主权相互依赖，但国家主权原则依然是当今国际关系的基石。《公约》将保护主权作为打击网络犯罪的原则性要求，规定“缔约国应恪守各国主权平等和领土完整原则和不干涉他国内政原则”，证明了主权国家在全球治理中的核心地位。

2.现实因素：技术优势与“私权力”的崛起

在数字时代的背景下，服务提供者、特别是跨国服务提供者凭借其无可替代的技术优势和数据资源优势，在全球范围内积累起一种巨大的、事实上的支配性力量。正是由于服务提供者在网络犯罪领域享有的独特优势，为公私合作治理模式提供了坚实的基础，并使得《公约》的相关规定具有了明确的指向性和可操作性。

服务提供者的私权力来源于其技术优势。在网络空间中，技术资源的优势集中体现为对代码的控制。服务提供者对代码的控制决定了整个网络应用架构的模式，并由此转化为对私主体行为的支配。与此相对的是侦查机关在调查取证时面对的往往是一个“技术黑箱”，这种技术的不平等带来私领域与公共领域的失衡，使得侦查机关不得不依赖服务提供者的技术支持。

服务提供者的私权力来源于其掌握的数据资源。因为在网络空间特有的技术优势，服务提供者能够实现对用户数据的收集、整合、分析和利用。通过用户在网络空间内留下的数字痕迹，服务提供者不仅能够存储海量原始数据，更能从中挖掘出揭示个体行为模式、社会关系网络乃至群体情绪倾向的高价值信息。国家在犯罪治理中虽享有强制力，却并不直接生产或占有这些数据，而服务提供者的数据提交义务是将它们在现实中已承担的社会责任予以规范化和法定化。

3.推动因素：数据控制者模式的扩张

服务提供者的数据提交义务从一种应然理念和客观需求，最终转化为具有约束力的法律规范，其关键的推动力来自“数据控制者模式”的扩张与法律化。《公约》谈判过程经过多轮交锋与博弈，最终肯定了服务提供者在特定条件下的数据提交义务，为跨境调取数据公私合作模式给予了直接且有力的法律支撑。

数据控制者模式扩张的背后是日益增长的跨境调取数据需求，通过刑事司法协助跨境调取数据流程平均耗时数月，无法满足网络犯罪治理实时性的要求；云计算和加密技术的普及使电子证据常存储于境外，严格的数据本地化模式阻碍电子证据的调取。而服务提供者作为用户数据的实际控制者，不仅最有能力保护数据免受滥用，也同样最有能力为合法的执法目的高效、精准地提取和提交数据。

同时，欧美国家的立法与司法实践也在不断推动数据控制者模式的合法化。2018年美国出台《云法案》，在云法案白皮书中，美国司法部规定只要经营活动与美国有足够联系的外国公司，应遵循美国执法部门发布的指令，保存、备份或披露其所拥有、保管或控制的客户或用户相关的任何记录及其他信息，无论此类通信、记录或其他信息是否位于美国境内。而欧盟2018年的《电子证据条例》和2022年的《布约》第二附加议定书都对提交数据范围进行了扩张，以及提交程序进行了细化。

虽然数据控制者模式更能满足高效精准打击跨境网络犯罪的要求，但该模式的根本目的并非仅仅实行域外立法管辖权或域外司法管辖权，而是赋予一国公权力机关实施跨境调取数据的域外执法管辖权，这直接挑战了他国的数据主权。此外，它迫使跨国企业陷入无可避免的法律适用困境，如果选择遵守母国或市场国的数据提交命令，则可能违反数据所在地的数据本地化或限制数据出境的法律法规，被迫受到行政或刑事处罚。

（三）《公约》“提交令”条款的内涵

《公约》的谈判进程深刻反映了全球网络犯罪治理的复杂性与阵营化分歧。面对打击跨境网络犯罪的迫切现实需求，各方最终在激烈博弈后达成了妥协方案。《公约》第27条（b）款明确将“提交令”确立为跨境电子取证的重要途径以及公私合作的重要方式，其内涵主要体现在四个方面。其一，在权力性质上，该条款授权缔约国主管机关“下令”（to order），这明确界定了“提交令”的强制性。“提交令”对服务提供者来说是具有法律约束力的命令，这显然不同于国家之间的刑事司法协助。其二，在适用对象上，《公约》第27条（b）款对服务提供者进行了限定：一是仅限于商主体，一般自然人不适用；二是该商主体必须通过向缔约国境内提供服务来建立管辖权连接点，而不论该主体是否在该国境内注册或设立代表机构。其三，关于提交数据的范围，第27条（b）款采用“拥有或控制（possession or control）”这一表述，表明《公约》的“提交令”条款采取数据控制者模式。同时，将服务提供者的义务内容明确限定为“用户信息”（Subscriber Information），而非更具敏感性的“内容数据”（Content Data）和“流量数据”（Traffic Data），这是因为用户信息的主权性较弱，涉及国家安全或公共安全的可能性较低，体现出在执法效率与数据主权保障之间的平衡。其四，公约本身并未直接规定对服务提供者的奖励机制或救济措施，但其第24条构成了重要的救济框架。它要求各国国内法在确立此类权力时，必须配套司法审查、比例原则等权利保障措施。此外，公约第56条可被视为对私主体履行公约义务的一种支持与奖励，旨在帮助其更好地承担合作成本。

从《公约》最终通过的文本来看，第27条“提交令”条款在核心表述上清晰地显示出《公约》保守和谨慎的倾向。这种选择并非偶然，而是为了平衡不同国家的立场，以寻求共同利益，吸引最广泛的参与，从而奠定国际合作的法律基石。同时，《公约》第27条（b）款的规定更多是一种原则性的框架设计，有待于缔约国通过国内法及司法实践予以细化。

三、服务提供者数据提交义务的多维冲突

跨境数据提交义务将服务提供者置于多重矛盾的中心。在国际层面，数据主权原则与跨境执法需求激烈碰撞，形成国家间的“攻防”态势；在公私层面，服务提供者陷入不同法域法律冲突与自身权益保障缺失的合规困境；在个体层面，则需要不断平衡执法效率与个人信息权益保护之间的关系。

（一）主权博弈：跨境数据调取的攻防态势

在跨境网络犯罪治理中，服务提供者数据提交义务所引发的国家间博弈，集中体现为数据的“攻”与“防”之间的动态平衡。所谓的“攻”，体现的是公权力机关为了办案调取数据的行为，在跨境网络犯罪中往往涉及到调取存储于他国境内的数据；相应地，对数据所在国而言，则意味着需要采取“防”的措施来尽量保证数据存储于本地以及管控数据出境。这一矛盾本质上是数据主权原则与现实治理需求的相互碰撞。

数据主权代表国家在其政权管辖区域内对数据的生成、传播、管理、控制、利用与保护过程中所拥有的最高权力。关于数据主权的行使，目前并没有统一的国际规则，更多是各国根据自身需要，通过国内法的制度设计实现数据的治理。但体来说，目前大多数国家在调取境外数据的态度较为开放，甚至鼓励域外执法管辖权的扩大，但在数据出境问题上则相对保守。这种“内外有别”的态度鲜明地体现在欧美国家的立法中。

《云法案》的出台的核心目的是赋予美国政府跨境调取数据的法律权力——无论服务提供者将数据存储于美国境内还是境外，只要该服务提供者受美国司法管辖，美国政府即有权依法调取该数据。因此在规则设计上选择扩张美国执法机构单边调取数据的途径，欧盟也在该问题上与美国持相同的立场。在《电子证据条例》中设计了具有强制力的“欧洲数据提交令”（European Production Order）和“欧洲数据保存令”（European Preservation Order）制度，成员国的执法机关可直接指令向欧盟境内提供服务的服务提供者或设有代表机构的服务提供者提交或保存电子数据，该数据同样可以不位于欧盟境内。

与调取数据的大胆激进不同，美欧在面对外国执法机关调取本国境内数据时的态度相对保守。以《云法案》为例，如果外国政府想要从美国境内调取数据，则需要满足美国“适格外国政府”的认定，且这种认定主观性强。美国还可以通过“模糊”的国家安全概念，授权政府部门灵活地利用国际安全事由限制数据出境。欧盟则以人权和隐私权为核心构建《通用数据保护条例》（General Data Protection Regulation，简称GDPR）框架，试图用充分性保护和标准合同条款（Standard Contractual Clauses，简称SCCs）严格限制欧盟公民个人信息出境。

我国在数据主权问题上始终坚定维护国家对数据资源的管辖权和控制权，强调数据本地化存储与安全保护的必要性，在跨境调取数据中倾向于刑事司法协助方式。目前《公约》已在联合国通过，我国国内法应在保障国家数据主权的前提下，形成与《公约》要求相匹配的、清晰可操作的跨境调取数据程序规则，特别是在“提交令”项下服务提供者在配合跨境调取数据时的权利保障与义务边界，实现从立法理念到制度实践与全球网络犯罪治理需求的有效对接。

（二）公私对抗：服务提供者的法律冲突与风险

服务提供者作为数据的控制者与处理者，既是各国公权力机关在执法行动中的关键协作方，也是多重法律义务与利益冲突的承担者。在跨境调取数据过程中，它们不仅需要应对来自不同法域的法律指令，还必须在保护用户权益、维持商业运营与配合执法需求之间寻求平衡，服务提供者与公权力机关之间的对抗也在此集中体现。这一困境集中表现在利益目标、管辖权冲突与权责结构三个层面。

首先，公权力机关与服务提供者在核心利益上存在本质差异，这种差异直接导致二者在调取数据的范围、程度上产生分歧。一方面，侦查机关以追诉犯罪、维护公共安全为首要目标，往往倾向于最大化调取数据以覆盖潜在证据链。可能导致侦查权力通过服务提供者扩张，最终侵占公民的基本权利空间。另一方面，服务提供者作为市场经济主体，其在实现营利目标的过程中更关注维护用户信任、控制运营成本与规避风险。过度或频繁的数据提交请求所带来的合规负担将全部转移为企业的运营成本。合规成本的增加和企业信誉的损耗将严重影响企业履行提交义务的意愿。

其次，管辖权的跨境冲突使服务提供者可能陷入“遵守一方法律即违反另一方法律”的矛盾中，国家机关面临的执法管辖权问题一定程度上被转移给私主体。在网络空间中，服务提供者自身位置与所占有或控制的数据位置相分离是常态，这意味着不论通过服务提供者对目标数据采取何种措施，均难以避免牵涉两个或多个辖区，进而引发管辖权冲突的问题。虽然《公约》“提交令”采用数据控制者模式，但在数据的搜查、扣押、实时收集等措施上又采取数据所在地模式，使得服务提供者陷入更加复杂的管辖权冲突中，其既无权力否定任何一方的法律权威，又缺乏协调国际法冲突的有效渠道。

最后，公权力机关与服务提供者之间地位与权责的不平等，以及救济机制的缺位，是导致公私对抗的根本原因。从权力结构看，公权力机关代表国家主权，其数据请求具备法律强制力，服务提供者除有限异议外负有服从义务。然而，对于服务提供者因配合调取而面临的成本、商业声誉损失以及可能因违反他国国内法而招致的处罚，现有法律框架却普遍缺乏合理的补偿机制与责任豁免条款。《公约》虽在国际合作与证据共享方面提出框架性要求，但同样未充分回应服务提供者在跨境调取数据中面临的成本与合规风险问题，未对这些保障如何具体适用于服务提供者做出可操作的规定，也未说明服务提供者在何种情况下可以拒绝“提交令”。

（三）价值权衡：用户信息保护与执法需求的平衡

在跨境网络犯罪治理中，服务提供者履行数据提交义务的过程不仅涉及国家主权与公私利益的博弈与对抗，更直接关涉用户个人权益的保护与限制。

侦查活动的秘密性和强制性与个人信息主体的知情权之间存在着冲突。刑事诉讼特别是侦查程序具有较强的封闭性，对于个人信息的处理通常要求严格保密，这一特点在跨境网络犯罪侦查中尤为突出。《个人信息保护法》确立了以“知情—同意”为核心的个人信息处理规则，但在第13条规定“为履行法定职责或者法定义务所必需”无需取得个人同意。同时在第18条和第35条为告知原则设置了两项例外。《个人信息保护法》对于上述两条告知义务的限制采用了最为严厉的除外规定或者说完全豁免规定，且在实践中执法机关往往以侦查需要为由，要求服务提供者不得事先通知用户其个人信息已被调取。导致“知情—同意”规则在刑事诉讼中基本失效。

侦查机关超范围调取数据与最小必要原则之间存在矛盾。一方面，在打击跨境网络犯罪的实践中，执法机关为尽可能收集更多的证据，其数据请求往往具有较强的宽泛性和探索性，可能要求调取大量非涉案用户的数据或与侦查目的关联性较弱的信息。另一方面，即使侦查机关明确了调取范围，服务提供者为了简化流程可能会自主扩大调取数据范围。尽管《公约》第27条将提交范围限定于用户信息，但该概念的具体内涵在不同法律体系中存在差异，实践中容易发生扩大解释的倾向，导致无关人员的信息被纳入跨境执法范围，形成大规模个人信息跨境的隐忧。

四、与《联合国打击网络犯罪公约》的协调

面对跨境数据提交中的复杂博弈，与《公约》的协调并非被动适应，而是一个积极构建、主动引领的过程。这要求首先在内部构建起清晰的数据出境安全评估框架，继而完善对服务提供者与用户的权益保障，并在国际上倡导以主权平等为基础的合作模式，在融入全球治理体系的同时提升治理能力。

（一）构建分层次的数据出境安全评估框架

在对接《公约》“提交令”条款的过程中，我国须立足国家数据主权与安全利益，构建一套层次清晰、内外协调的数据出境安全评估体系。该体系的核心在于区别对待不同敏感程度的数据，在保障安全的前提下提升跨境执法合作的效率，实现数据分类分级管理与《公约》的有效衔接。

《公约》将网络服务提供者所掌握的数据区分为用户信息、流量数据与内容数据三大类，反映出国际社会对数据分级的基本逻辑，即数据的敏感程度及其对国家主权与公共安全的重要性。我国目前数据分类分级标准存在碎片化和不统一的现象。《数据安全法》和《个人信息保护法》的分级均围绕“个人敏感度”与“国家或公共重要性”两个维度展开，实质上与《公约》的分级逻辑具有内在一致性。但《刑事诉讼法》及其司法解释文件中并没有对侦查取证电子数据措施做出相应修改或者调整，《人民检察院办理网络犯罪案件规定》及《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》仍采用列举的方式，未能体现出分类的逻辑，也未在分类后体现对特定数据给予特殊保护的意图。这将直接导致《公约》体系下的有关刑事侦查行为难以在国内法规则的指引下展开，尤其在面对境外“提交令”时，易发生范围扩大的风险。鉴于此，依托《刑事诉讼法》再修改的契机，应当在侦查取证环节采取与《公约》及国内《数据安全法》相一致的数据分级调取的规则，明确用户信息的概念及范围。进一步将数据“提交令”区分不同类型，主要就被调取数据的重要程度不同，从适用条件、运行过程等方面设置不同程序，从而实现有效取证与权利保障之间的平衡。

合理的数据分级是数据出境的前提。2024年《关于实施〈中华人民共和国国际刑事司法协助法〉若干问题的规定（试行）》第14条允许服务提供者在满足一定条件时主动向外国提供证据，在一定程度上体现出我国刑事案件数据出境的态度转向。我国应建立以数据分级为基础、以安全为底线的差异化出境评估流程。具体而言，针对用户信息这类相对低敏感数据，可以简化刑事司法协助申请书的审查要素，建立以企业自律为核心、政府监管为后盾的简易出境程序。也可由双方基于政治互信或协商谈判予以确定，不拘泥于特定类型。对涉及流量数据或内容数据的调取请求，则应适用严格出境许可制度，外国机构必须通过刑事司法协助渠道提出请求，由我国主管机关进行个案安全评估。

（二）完善服务提供者与用户权利的双重保障机制

在跨境网络犯罪治理中，服务提供者是数据控制者与刑事司法协助的关键节点，《公约》第27条虽确立了服务提供者的数据提交义务，却未对其义务限度与用户权利救济作出细致规定，因而需要在缔约国的国内法层面进行补充与细化。

首先，应明确服务提供者的义务边界，防止其承担过重乃至不合理的协助负担。网络服务提供者应积极参与到刑事调取数据中来，设置协助机制的审查门槛，对调取数据进行初步审查并作出判断，更好地履行其法律义务。审查应涵盖四方面：一是侦查机关身份真实性，确认调取主体是否具备法定权限及有效凭证；二是调取内容明确性，调取的数据范围是否严格限于实现侦查目的所必需的用户信息，排除无关或过度的请求；三是程序合规性，核查是否履行法定审批手续；四是请求合法性，主要判断该请求是否与数据存储地国的强制性法律规定存在直接冲突，是否会对对用户权益造成不当侵害或可能损及服务提供者的商业信誉或产生严重的合规危机，当存在上述情形时，服务提供者应有权暂缓或拒绝配合，即时向主管机关报告。其基于合理判断的拒绝行为，应被视为履行国内法义务而非违抗国际合作。

其次，在明确服务提供者义务边界的同时，必须同步强化对用户权利的保障机制。尽管刑事司法活动具有秘密性与及时性的特点，但仍应在可能范围内贯彻权利告知与救济原则，保障用户的知情权。例如，在数据提交完成后、不影响侦查进行的前提下，服务提供者可通知用户其部分信息已被调取，使用户在权利受侵害时能够有效行使申诉、复议等救济权利。在知情权的充分保护下，可以在一定程度上将更正权、删除权等权利引入个人信息调取程序中，这些权利的引入体现了刑事诉讼程序对人权的尊重与保障，也有助于防范调取过程中因数据失真引发的错误司法行为。

（三）推动建立以主权平等为基础的国际合作机制

在全球化与数字化交织的背景下，跨境网络犯罪治理不再是国家内部的事务，而是需要国际社会共同应对的挑战。多边合作机制是化解管辖权冲突的根本途径。《公约》的谈判进程本身便是多边主义的体现，第27条（b）款在采纳“提交令”的同时，通过第5条明确将“保护主权”作为基本原则，要求缔约国在打击网络犯罪的同时恪守主权平等与领土完整原则。这意味着，任何跨境数据取证活动都不得损害他国主权。应当在尊重各国法律制度和监管框架的基础上，通过双边或多边协议明确调取数据的权限、程序与限度，避免单边主义行为对国际秩序造成冲击。

中国作为数据主权原则的坚定维护者，应在多边框架下发挥建设性作用，积极落实《公约》条文规定，推动建立以主权平等为基础的跨境调取数据规则。首先，在国际法层面，可以在《公约》的指导下结合打击网络犯罪的客观需要，以互惠为原则给予彼此主管机关发布跨境电子数据“提交令”有限制的概括性授权。其次，在国内法层面，我国继续坚持属地原则的基本立场，明确禁止绕过我国主管机关的单边跨境数据调取，强化对用户信息之外调取数据的阻断措施。当境外“提交令”超出《公约》授权范围，试图调取流量数据、内容数据或受中国法律保护的重要数据时，服务提供者应、拒绝提供证据材料和协助，并向主管机关报告。通过这种有节制、可预见的法律反制，不仅向国际社会展示中国阻断法并非一纸空文，更能积极推动形成以规则为基础、更具公平性的跨境取证国际秩序，引导各国回到多边协商的轨道上来。

五、结论

在全球网络犯罪治理格局深刻变革的背景下，《公约》第27条（b）款所确立的“提交令”机制，标志着国际社会在跨境电子取证领域迈出了关键一步，构建起以服务提供者为关键节点的公私合作新范式。服务提供者在其中扮演的双重角色，既体现了私营主体在网络空间治理中不可或缺的技术与资源优势，也折射出公私权力边界模糊所带来的合规风险与权责失衡。当前面临的核心挑战在于，如何在提升犯罪打击效率的同时，切实保障国家数据主权、企业合法权益与用户个人信息权利不受侵蚀。为此，需从国内与国际两个层面同步推进：在国内法层面，亟需建立清晰的数据分类分级出境安全评估体系，并明确服务提供者配合执法的义务边界，同时落实用户权利告知与救济措施；在国际合作层面，推动形成以主权平等、互惠互利为基础的多边规则框架。中国应积极参与国际规则塑造，在坚定维护数据主权的前提下，通过国内立法与司法实践的良性互动，实现安全、效率与权利保障的有机统一，为构建公平、有效的全球网络犯罪治理贡献中国智慧与中国方案。