數據立法域外管轄的全球化及中國的應對
2022-11-01 06:44:12王雪石巍
知識產權 2022年4期
王 雪 石 巍
內容提要:數據跨境流動的實際需要與掌控數據資源的迫切需求致使較多國家單方面立法擴張本國在數據領域的域外管轄權,這一現象在全球范圍內形成明顯趨勢。數據領域域外管轄的立法模式并非雜亂無章,大致劃分為兩種:一是依托個人數據保護法案的歐盟模式;二是依托跨境取證法案的美國模式。在國際習慣法框架下,前者以屬地管轄原則和效果原則為合法性基礎,后者以屬人管轄原則為依據。但同時,在數據領域,各國域外管轄權的擴張注定會在國際范圍內引起管轄權沖突,且很可能侵犯他國數據主權。我國已經初步建立了個人信息保護法的域外適用制度,面對這一趨勢帶來的危機與挑戰,我國應當界定數據立法域外管轄的邊界,在堅決維護我國主權利益的同時有條件地承認與執行外國判決,進一步完善數據存儲地模式并且強化阻斷立法的執行性來應對他國不當的域外管轄。
一、問題的提出
大數據時代下,由于數據自身虛擬性和可重復利用的特征,數據收集和處理的全球化也更加明顯。僅以領土范圍為界對數據的收集、存儲、處理、傳輸進行監管,已然忽視了數據跨境流通頻繁的現實,更會造成數據法律制度監管的疏漏。2018年《歐盟通用數據保護條例》(General Data Protection Regulation,以下簡稱GDPR)正式生效,成為全球數據領域內最具有影響力的立法之一。GDPR為個人數據的利用和保護設立的各項制度,成為眾多國家數據立法參考的藍本。其中,GDPR第3條賦予了條例自身以域外效力,構建了數據法律的域外管轄制度。2021年11月,我國《個人信息保護法》正式施行,其第3條借鑒了GDPR的立法思路,創設了我國《個人信息保護法》的域外管轄制度。不僅如此,英國、印度、巴西、南非、澳大利亞等國家均以GDPR域外管轄法律制度為藍本,將本國法案的域外效力在全球范圍內延伸。可見,擴張本國數據領域立法的域外效力,已經成為眾多國家參與全球數據治理、維護本國數據主權的通行做法。數據立法域外管轄這一現象已經形成了全球化的趨勢。
但不可否認的是,這一趨勢也給世界各國帶來了法律挑戰。縱觀全球,數據法律制度發展的歷史并不悠久,缺乏涉及數據立法域外管轄的國際條約和協議,由此管轄權的沖突已無法避免。那么,數據立法域外管轄的正當性基礎是什么?其是否會引發法律層面的挑戰與危機?面對數據立法域外管轄的全球化趨勢,我國又如何保障我國的數據主權?研究上述法律問題有利于為數據立法的管轄權沖突提供中國方案,同時為我國開啟《個人信息保護法》的域外適用提供參考意見。對數據立法域外管轄這一主題的探討,不僅具有實踐價值,也具備理論意義。
二、數據立法域外管轄的動因與模式
數據立法域外管轄的背后是對數據資源的爭奪,也是對國際合作不足的回應。目前,世界主要國家或地區授予本國數據立法域外管轄的模式包括以下兩類:第一,頒布數據保護領域的基本法案,全方位規定了數據領域各項主體的權利義務,并設置域外適用條款。雖然各國所頒布的法案的名稱表述并不一致,但均以保護數據主體的權利為核心,本文將此類法案統稱為個人數據保護法案。第二,頒布跨境取證法案,規定在特定情形下行政機關或司法機關享有調取域外數據的權限,從而賦予法案域外效力。下文將對數據立法域外管轄的動因與兩類立法模式進行闡釋。
(一)數據立法域外管轄擴張的動因
第一,現有的國際合作機制無法滿足數據保護和跨境調取數據的需求。在數據保護領域,國際合作的成果并不顯著。就多邊協議而言,雖然《隱私保護和個人數據跨境流動指南》與《APEC隱私框架》較早關注到了數據保護的問題,但并未構建具有法律約束力的合作機制。就雙邊合作而言,由于高昂的談判成本與理念的差異,雙邊條約呈現出碎片化的特點。以美歐為例,雙方于2000年簽訂了《安全港協議》,但該協議只能對自愿加入的美國企業生效而無法約束美國政府,因而無法為歐盟數據主體提供充分保護,于2015年被歐盟法院宣布無效。經過艱難的談判,雙方于2016年達成《隱私盾協議》,卻因數據保護理念存在差異,2020年該協議再次被宣布無效。可見,無論是多邊協議還是雙邊條約,尚未在數據保護方面形成有效的國際合作機制,無法滿足數據保護的迫切需求。此外,關于跨境調取數據,在單邊擴張數據域外管轄之前,國家跨境調取存儲在境外的數據更多的是借助司法互助協定。但司法互助協定的缺陷非常明顯,首先,司法互助協定僅限于締約方之間,未與他國簽訂司法互助協定將無法跨境調取所需要的數據。現如今,司法互助協定締約方的覆蓋范圍遠遠無法與跨境調取數據的需求相匹配。其次,即使締約方簽訂了司法互助協定,調取數據仍然需要對方政府批準,數據的調取存在不確定性。尤其當各國對數據流動政策收緊時,數據調取的難度會進一步增大。最后,通過司法互助協定跨境調取數據程序繁瑣,工作效率較低,運行時間長。美國前總統奧巴馬的情報和通信技術審查小組曾深入研究司法互助協定程序,發現借助司法互助協定來調取數據平均大概會耗費10個月的時間。但在刑事案件中行政部門或司法機關需要迅速獲取相關數據,因此原有的司法互助合作機制根本無法滿足現今跨境調取數據的需要。
第二,各國借助國內立法擴張域外管轄權,提升在全球數據領域的國家競爭力。當代社會數據資源的重要性不言而喻,其已經成為互聯網企業運營的“生產要素”。但由于互聯網產業在世界范圍內發展并不均勻,各國在數據領域的競爭力不同,掌握數據資源的能力自然有較大差異。通過國內數據立法擴張域外管轄權有利于保護境內數據主體的權益,防止境外互聯網企業規避法律,并可以對非法獲取或處理境內個人數據的境外企業實施處罰。此外,域外管轄權的延伸更有利于借助法律的“外衣”,幫助各國進一步掌握更多的數據資源,提升本國在全球數據領域中的競爭力,扭轉在原有互聯網格局中的劣勢或進一步鞏固自身的優勢。
(二)依托個人數據保護法案的歐盟模式
為保護本國數據主體的權益并提高自身參與制定國際社會數據領域規則的競爭力,各國紛紛頒布個人數據保護法案并以歐盟的GDPR為藍本,通過域外適用條款的形式規定了法案在全球范圍內的域外管轄權。此種依托個人數據保護法案擴張數據立法域外管轄的模式,即歐盟模式。在歐盟模式之下,GDPR第3條為法案的域外管轄設立了三項標準:設立機構標準(The Establishment Criterion)、目標導向標準(The Targeting Criterion)以及依照國際公法適用標準。其中的“依照國際公法適用”標準是指在符合國際公法的情形下GDPR可以域外適用,不需要特殊解釋,本文著重對前兩項標準進行探討。
GDPR第3條第1款規定“條例適用于在歐盟內數據控制者或處理者設立機構活動的背景下對個人數據的處理,不論其實際數據處理行為是否在歐盟內進行”。歐盟數據保護委員會(European Data Protection Board,以下簡稱EDPB)主張考慮兩項因素來確定個人數據的處理是否屬于GDPR第3條第1款的適用范圍。第一,數據控制者或處理者在歐盟設立的場所是否符合GDPR意義上的“設立機構”的定義。第二,處理行為是否滿足“在設立機構活動的背景下”這一含義。
第一,關于“設立機構”的內涵,GDPR序言第22條提供了解釋,即設立機構意味著通過穩定的安排而有效和真實地開展活動。設立機構的法律形式并不局限于具有法人資格的子公司或分支機構。通過分析歐盟法院關于WeltimmoNAIH、Verein für KonsumenteninformationAmazon EU以及 Google Spain SL,Google Inc.AEPD等案件的判決,可以發現法院對設立機構的界定較為寬泛,主要考量穩定的安排和真實有效的活動兩項因素。設立機構的概念幾乎可以延展到通過穩定的安排開展任何真實有效的活動,即使是最小的活動。當數據控制者的活動涉及在線服務提供時,穩定的安排的門檻實際上可能很低。甚至在某些情況下,非歐盟企業在歐盟內部聘用一名雇員或代理人即可能構成穩定的安排,只要該員工或代理人開展活動的行為足夠穩定。
第二,關于數據控制者或處理者的個人數據處理行為是否滿足“在設立機構活動的背景下”這一條件,應當基于案件具體分析。EDPB主張,可以考慮以下兩個因素進行判定。一是歐盟以外的數據控制者或處理者與其在歐盟內設立機構之間的關系。若歐盟外的數據控制者或處理者的數據處理行為與成員國當地設立機構的活動密不可分,則可能觸發GDPR的適用。即使設立機構事實上并未在數據處理過程中發揮任何作用,亦不影響GDPR的域外適用。二是設立機構是否增加數據控制者或處理者的收入。若設立機構的行為有助于歐盟外數據控制者或處理者收入增加,則設立機構的行為可被視為與數據控制者或處理者的個人數據處理行為密不可分。例如,在Google Spain SL,Google Inc.AEPD案中,谷歌西班牙公司是谷歌公司在西班牙設立的子公司,訴訟中涉及的個人數據處理行為完全由母公司谷歌公司進行,谷歌西班牙公司沒有任何干預,其僅為谷歌公司搜索引擎服務的廣告活動提供支持。歐盟法院認為,若谷歌西班牙公司在歐盟成員國推廣和銷售谷歌公司搜索引擎提供的廣告空間,從而使該引擎提供的服務有利可圖,則谷歌公司的活動與其位于西班牙的子公司的活動密不可分,滿足 “在設立機構活動的背景下”這一條件。數據控制者或處理者的行為一旦滿足上述兩項條件,即可觸發GDPR對個人數據處理行為的適用,至于個人數據處理行為的地點與適用GDPR無關。
與歐盟“設立機構標準”相比,我國《個人信息保護法》第3條第1款規定得較為簡單,即“在中華人民共和國境內處理自然人個人信息的活動,適用本法”。與GDPR不同,《個人信息保護法》第3條第1款更關注個人數據處理行為的地理位置。除非滿足第3條第2款的規定,否則發生在境外的個人數據處理行為不適用我國《個人信息保護法》。可見,我國這一條款的規制范圍與歐盟“設立機構標準”相比稍窄。
設立機構標準有著明顯的缺陷,若歐盟境外的數據控制者或處理者不在歐盟境內設立機構或關停原有的設立機構,則可以繞開GDPR第3條第1款的規定。為了防止規避法律,“目標導向標準”應運而生。GDPR第3條第2款規定,即使數據控制者或處理者不在歐盟設立,但下列兩種情形下仍然適用GDPR:(a)為歐盟內的數據主體提供商品或服務——不論此項商品或服務是否要求數據主體支付對價;(b)對發生在歐盟范圍內的數據主體的活動進行監控。在評估適用目標導向標準的條件時,EDPB建議采用雙重方法:其一,確定個人數據處理行為是否與歐盟境內數據主體有關;其二,確定處理行為是否與提供商品、服務或監控數據主體在歐盟中的行為相關。
首先,關于“歐盟內數據主體的個人數據”,GDPR序言第14條規定“本條例提供的保護應適用于與處理個人數據有關的自然人,無論其國籍或居住地如何”。EDPB認為,目標導向標準的適用不受數據主體的公民身份、居住地或其他類型的法律地位的限制。可見,目標導向標準所指的歐盟境內數據主體不局限于歐盟公民。
其次,關于處理行為是否與提供商品、服務或監控歐盟數據主體相關,應當在個案中判斷。判斷是否存在提供商品或服務的情形,對價的支付并不是決定因素。GDPR序言第23條進一步解釋考量因素,如使用成員國普遍使用的語言或貨幣,或提及歐盟用戶等。EDPB主張,應結合案件事實,綜合考量多項因素,如是否向歐盟受眾發起營銷活動,是否提供專用地址或聯系電話,是否使用成員國的語言、貨幣,以及是否向歐盟內的消費者或使用者提供商品或服務等。無意或偶然地向歐盟內的數據主體提供商品或服務時,個人數據的相關處理不屬于GDPR的適用范圍。
此外,關于“監控數據主體的行為”,被監控的行為必須與歐盟內的數據主體相關且必須發生在歐盟境內。“監控”一詞意味著數據控制者或處理者將收集或重復利用歐盟內主體的相關數據。GDPR序言第24條指出,個人數據的處理是否涉及對數據主體行為的監控,潛在的后續使用分析技術是一個關鍵考慮因素,包括通過其他類型的網絡或技術進行跟蹤,例如可穿戴設備和其他智能設備。
不可否認,目標導向標準較好地防止歐盟境外公司規避法律的行為,立法水平較高。我國《個人信息保護法》第3條第2款的規定與這一標準相似,前兩項所規定的情形正是對“目標導向標準”的借鑒。
(三)依托跨境取證法案的美國模式
為掌控數據資源,通過擴大自身跨境調取電子數據的權限實現國家利益的最大化也是擴張域外管轄的途徑之一。此種依托跨境取證法案擴張數據立法域外管轄的模式,即美國模式。
2018年美國國會通過《美國澄清境外數據合法使用法案》(Clarifying Lawful Overseas Use of Data Act,以下簡稱CLOUD法案),標志著美國刑事案件跨境調取數據模式從“數據存儲地模式”向“數據控制者模式”轉變。“數據存儲地模式”是指依據數據存儲的地理位置來判斷一國調取數據的管轄權范圍;“數據控制者模式”則是要求為本國提供服務的運營商在特定情形下,尤其是在重大刑事案件中,提交自身掌握或控制范圍內的數據。一直以來,“數據存儲地模式”在取證中占據主導地位,這是由于多年前各國的數據以存儲在本國境內為主,也是國家主權原則的體現。在CLOUD法案出臺之前,關于能否調取由美國數據控制者掌控卻存儲在境外的數據這一問題,《美國存儲通信法案》(Stored Communication Act,以下簡稱SCA)語焉不詳,引發了美國司法部與微軟公司長達五年的糾紛。在Microsoft Corp.United States案中,訴訟起因是美國執法部門在調查一起毒品犯罪案件時,要求微軟公司向政府提供存儲在愛爾蘭的某一郵件用戶的全部信息,但微軟公司強調其主動披露的行為可能會違反歐盟關于個人信息保護的規定,拒絕提供相關數據。美國聯邦第二巡回法院作出支持微軟公司的判決,認為搜查令不具有域外效力。這一案件引起美國法律學者和其他法院的激烈討論,有觀點認為二審法院對域外性的理解不當。在這一背景下,CLOUD法案應運而生,法案全文主要解決兩項問題:第一,在刑事案件中,允許美國政府跨境調取存儲在外國的數據,即“調取”;第二,在特定條件下,允許外國政府調取美國境內的數據,即“供應”。
CLOUD法案超越了國家領土的界限,單方面延伸了美國執法機關刑事跨境調取數據的管轄權,更是利用了美國在數字領域擁有眾多跨國互聯網企業的巨大優勢,最大化地幫助美國執法機構掌控數據資源。跨境調取數據的關鍵因素也從國家領土界限轉移到數據控制者的地理位置,突破了原有的“數據存儲地”模式。
在美國以CLOUD法案開啟“數據控制者模式”后,其他國家相繼效仿其立法路徑,頒布法案擴張本國跨境取證的域外管轄權。2018年澳大利亞通過了《電信和其他法律修正(協助和訪問)法案》,授權執法和情報部門可以要求私營機構提供技術協助。無論向澳大利亞提供通信服務的組織或個人是否在澳大利亞境內設立機構,只要其提供的服務為澳大利亞境內的終端用戶所享有,通信服務提供者均屬于該法案的適用范圍。與此相似的是,2019年英國出臺《犯罪(海外生產訂單)法案》,賦予執法機構和檢察官直接從英國境外的服務提供商處獲取電子數據的權力,以便對嚴重犯罪進行刑事調查和起訴。2020年歐盟議會修訂《歐盟刑事程序電子證據提交令和保存令條例》草案,允許歐盟成員國政府部門針對所有刑事犯罪可以發布“提交令”,用于從服務提供商處獲取用戶數據或IP地址;若涉及至少3年監禁的刑事犯罪,還可要求服務提供商提供交易數據(traffic data)或內容數據(content data)。總之,在刑事案件中,澳大利亞、英國和歐盟借鑒美國CLOUD法案,單方擴大自身跨境調取數據的權限,從而達到域外管轄的目的。
與英美等國家不同,我國立法堅持嚴格的“數據存儲地模式”,且對他國在我國的跨境取證持保守態度。我國《國際刑事司法協助法》第4條第3款規定:“非經中華人民共和國主管機關同意,外國機構、組織和個人不得在中華人民共和國境內進行本法規定的刑事訴訟活動,中華人民共和國境內的機構、組織和個人不得向外國提供證據材料和本法規定的協助。”據此,外國機構、組織和個人在我國境內從事刑事訴訟活動或獲取證據資料,必須經過我國境內主管機關的同意。我國《個人信息保護法》第41條也作出相似規定:“……非經中華人民共和國主管機關批準,個人信息處理者不得向外國司法或者執法機構提供存儲于中華人民共和國境內的個人信息。”這表明我國立法堅持對跨境調取數據采取“數據存儲地模式”。不僅如此,在國際社會協商涉及打擊網絡犯罪條約的過程中,我國明確對跨境數據直接調取持否定態度。早在2011年,中國代表團出席聯合國網絡犯罪問題專家組首次會議并發言,指出《網絡犯罪公約》(Convention on Cybercrime)第32條(b)款的實質是域外取證,因涉及到主權和管轄權,極易引起爭議。這也成為中國并未加入這一公約的理由之一。綜上,我國對跨境調取電子數據堅守“數據存儲地模式”,且對跨境調取數據模式的轉變持否定態度。
三、數據立法域外管轄模式的評析
盡管各國數據立法域外管轄的不斷擴張與當今世界數據領域的競爭緊密相關,但其域外管轄模式依舊需要遵循國際法的約束。在缺少相關國際條約或協議予以充分協調的情形下,數據域外管轄權的不斷擴大不可避免地引發各國管轄權沖突。
(一)歐盟模式的管轄權基礎與困境
歐盟模式集中于數據保護領域,借助歐盟單一市場來實現對數據控制者或處理者的管轄,但缺乏對數據保護域外執行方案的進一步說明,也并未解釋如何處理管轄權沖突的問題。
《美國對外關系法重述》總結了國際習慣法框架下立法管轄權的依據,包括屬地管轄(主觀屬地管轄與客觀屬地管轄)、屬人管轄(積極屬人管轄與消極屬人管轄)、普遍管轄、保護性管轄與效果原則。其中,前四項管轄權原則承繼于1935年美國哈佛研究所擬定的《關于犯罪的管轄權公約草案》)(Draft Convention on Jurisdiction with Respect to Crime),也被普遍作為判斷管轄權行使是否合法的標準;效果原則由美國于1945年在United StatesAluminium Co.of America案中創設,并逐步由反壟斷領域向證券、數據等領域延伸。以GDPR第3條為代表的域外適用條款在國際法框架下具有合法性基礎。盡管有關數據立法域外管轄的國際條約或協議較少,但GDPR第3條的規定符合國際習慣法上管轄權公認的依據。
“設立機構標準”下的域外管轄以屬地管轄原則為基礎。領土是行使管轄權最古老、最常見、爭議最少的依據。第一,根據主觀屬地管轄原則,雖然某一行為的后果發生在境外,但一國可以對在其領土內發生或開始的行為行使立法管轄權。第二,根據客觀屬地管轄原則,一國可以對在該國以外開始或發生的行為行使立法管轄權,如果該行為在該國境內完成,或者構成要件發生在該國境內。“設立機構標準”正是對客觀屬地管轄原則的應用。一旦外國網站或在線服務提供商在歐盟境內設置機構,存在“設立機構”的連接點,無論個人數據的處理行為是否發生在歐盟境內,只要滿足“在設立機構活動的背景下”這一條件,則歐洲監管機構享有監管權限。歐洲學者也將這一管轄權依據稱為“領土原則”。
“目標導向標準”下的域外管轄以效果原則為基礎。國際法承認一國有權就對其領土產生實質性影響的行為制定法律。在“效果主義”學說下,國家可以根據境外發生的行為在國家內部產生實質性影響這一事實來主張管轄權。這一概念與客觀領土觀念密切相關,但它并不要求被規制行為的任何要素實際上發生在國家領土內,是對屬地原則的進一步演化。效果原則通常被認為是最具爭議性的管轄權基礎,盡管法律學者提出諸多批評,但它已被廣泛用于互聯網領域。當涉及外國數據控制者在歐盟的個人數據處理活動時,“目標導向標準”更明確地依賴“效果原則”來補充“領土原則”的缺漏。數據控制者或處理者的處理行為無論是向歐盟境內主體提供商品或服務,還是與監控數據主體的行為有關,均在歐盟產生實質性影響,符合效果原則的內涵。
總之,以GDPR第3條為代表的域外管轄條款,以客觀屬地原則和效果原則作為管轄權的依據,其域外管轄的擴張具有國際習慣法下的合法性基礎。
盡管歐盟模式在立法層面具有合法性基礎,但是其立法管轄范圍的單邊擴張不僅會引起各國在數據領域管轄權的平行沖突,也會加劇域外執行的困難。
(1)單邊主義下域外管轄的平行沖突
與普通民商法法律域外適用所產生的法律沖突不同,個人數據保護法案具有公法性質,一旦對同一案件的管轄權發生沖突,則無法通過國際私法的法律選擇方法決定法律適用。不可否認,各國的個人數據保護法案均規定了數據主體的權利與數據控制者或處理者的義務,但同時也對國家機關的職責和數據控制者或處理者的法律責任進行規定。以我國《個人信息保護法》為例,其第4章和第5章明文規定了自然人所享有的個人信息權益和個人信息處理者的義務,同時對國家網信部門的法定職責和個人信息處理者的行政責任也有著大篇幅的規定,因而《個人信息保護法》具有“半公半私”的法律性質。與私法不同,由于公法會涉及國家利益或社會公共利益,一國公法在內、外國的地位是不同的,外國公法幾乎沒有法律適用的余地。即便可以通過國際條約的方式對公法的域外管轄予以協調,但極其艱辛與耗時的國際談判并不能滿足實際需求。正因如此,一國公法的域外適用是以單邊主義方法為基礎,在反壟斷、證券等領域各國通過設定法律域外適用條款擴張域外管轄權。個人數據保護法案在本質上會涉及一國對數據領域的管制權,關系到國家的數據主權和管轄利益,也反映一國在數據治理方面的價值選擇。目前,各國紛紛單邊設置本國個人數據保護法案的域外適用條款,數據立法域外管轄權的平行沖突無法避免。在單邊主義立法背景下,域外管轄關系到各國數據利益的博弈,即使個人數據保護法案借助了諸如設立機構、效果發生地等連接點,但這也只是擴大內國數據保護域外管轄的方式,并不是為了確定在何種情形下適用外國個人數據保護法案。是故,歐盟模式下管轄權的平行沖突無法借助沖突法律規范調整。
(2)域外適用的執行困境
除卻各國個人數據保護法案的域外管轄權可能出現平行沖突,域外適用條款的可執行性也頗受質疑。GDPR第3條在域外適用的道路上走得太遠,導致 GDPR在國際舞臺上難以證明其適用范圍的合理性。更糟糕的是,GDPR的實際執行難以保證,最終導致條款的選擇性執行。2019年歐盟法院在GoogleCNIL案中對數據主體被遺忘權的執行范圍進行澄清,歐盟法院裁決谷歌公司作為搜索引擎運營商必須刪除歐盟范圍內所有版本上涉及數據主體的特定鏈接,但同時主張GDPR的條款并沒有對谷歌公司位于歐盟以外的搜索引擎版本施加義務,即谷歌公司無須刪除歐盟境外其他搜索引擎版本的鏈接。換言之,數據主體被遺忘權的執行范圍局限于歐盟內部,而非全球。歐盟法院強調了在全球刪除鏈接的困難,并指出對公共利益的理解在國與國之間有很大差異,因此,面對言論自由與個人數據保護的沖突,不同國家可能會作出不同的利益平衡。然而,即使歐盟法院將這一判決的執行范圍延伸至全球,這一判決在美國幾乎無法執行。針對報紙執行被遺忘權幾乎注定違反美國憲法第一修正案對言論自由的保護。盡管美國聯邦最高法院承認個人隱私權的重要性,但只有在對國家保護的利益造成直接危險時才會對媒體的言論自由予以限制。一旦涉及發布具有公共重要性內容的情形,隱私權應予以讓位。
法律條款域外管轄的范圍越廣泛,其在境外執行的難度傾向于更高。迄今為止,國際社會還沒有建立起跨境數據保護執法體系。至少在全球不同司法管轄區域的數據保護層次統一達到合理水平之前,此類執法體系不太可能構建。只要各國對數據保護的程度和采取的方法不同,現有關于相互承認和執行判決的國際安排對于數據主體權利和對個人信息處理者責任的執行可能并不有效。由于對他國個人數據保護法案立法理念的把握并不精準,且考慮到不能讓本國成為保護他國數據主權利益的代理人,有關數據域外管轄案件的判決難以在境外得到執行。
(二)美國模式的管轄原則與執法沖突
與歐盟模式不同,美國所采取的數據控制者模式從法案頒布之初,便是為了調取存儲在他國的數據,具有鮮明的域外執法色彩。在缺乏國際條約授權和外國政府有效同意的條件下,美國模式很可能引發跨境調取數據與他國主權的尖銳沖突。
“數據控制者模式”突破了國家領土的界限,將管轄權范圍確立為數據控制者所在地,強化了屬人管轄原則的運用。屬人管轄原則包含積極屬人管轄原則與消極屬人管轄原則。積極屬人管轄原則是指一國可以對其國民(包括自然人和公司)在境外的行為、利益、地位和關系行使立法管轄權,是國際法最古老和爭議最少的管轄權基礎之一。消極屬人管轄原則是指一國可對外國國民在境外對本國國民所實施的特定行為行使管轄權。雖然這一原則在特定網絡犯罪行為上已經被整體接受為行使域外管轄權的基礎,但是其是否可以廣泛適用于網絡領域,仍然存在爭議。毋庸置疑,國際法承認一國對其本國國民在境外的行為所制定法律的管轄權,一國可以通過將國內法適用于本國國民在境外的行為來行使立法管轄權。在網絡領域,一國可以將國內法適用于該國自然人、法人所實施的完全發生在境外的網絡行動。“數據控制者模式”下美國域外管轄權的行使依據接近屬人管轄原則。在Microsoft Corp.United States案件中,微軟公司作為美國的服務提供商,將數據存儲在愛爾蘭的行為屬于美國公司在境外的網絡活動。CLOUD法案便是以積極屬人管轄原則為基礎,將微軟公司在境外的數據活動納入管轄范圍。
值得注意的是,盡管CLOUD法案的立法看似尊重了國際習慣法下的屬人管轄原則,但并不代表美國域外執法調取數據的行為自然獲得正當性。域外立法管轄與域外執法管轄所受到的國際法限制是截然不同的,前者側重于具備實質聯系,后者需要國際條約授予的特定權力和外國政府的有效同意。雖然美國司法部宣傳CLOUD法案并未超出美國憲法的限制,但是這其實是模糊了立法管轄與執法管轄的差異,只會進一步加深跨境調取數據與外國國家主權的沖突。
美國模式雖然彌補了司法互助協定的弊端,但執法機構單方對刑事案件跨境調取數據的域外執法行為欠缺合法性基礎,美國政府調取數據與供應數據的立法規定也明顯不對等。
(1)域外執法的合法性不足
屬人管轄原則無法為美國模式在刑事案件中單邊調取境外數據的執法行為提供符合國際法的法律依據。一國行政機關在境外的行政執法,包括處罰、強制等,或司法協助如調查、逮捕、執行判決或司法程序等歸屬于一國域外執法管轄權的范圍。執法管轄權受到的國際法限制要大于立法管轄權受到的限制。執法管轄權必須以存在立法管轄權為基礎,但是僅僅存在立法管轄權并不足以行使執法管轄權。基于主權原則,一國的執法管轄權一般限于國內,包括在該國登記的船舶和航空器上。只有在國際法賦予特定權利或獲得他國政府有效同意的情況下,一國才可行使域外執法管轄權,否則便有可能構成對他國主權的侵犯。由前文分析可知,以CLOUD法案為代表的美國模式,借助屬人原則單邊擴張在數據領域的域外立法管轄權。單邊主義下一國制定的法案并不足以構成執法機構調取境外數據的合法性基礎。在未簽訂國際條約或未獲得他國授權的前提下,強制要求未在本國注冊的他國數據控制者提供數據,存在侵犯他國主權的嫌疑。由于數據領域已經被視為國家未來競爭和發展的重要領域,缺乏合法性基礎的域外執法很可能引起他國的激烈反對并實施對等行為。
(2)數據“調取”與“供應”的不對等
CLOUD法案對“適格政府”的限制性要求導致數據在“調取”與“供應”方面出現失衡。前者著重利用美國互聯網技術的優勢,允許美國較為容易地“調取”存儲在外國的數據,將美國在全球互聯網行業中的市場份額轉化為管轄范圍;后者強調美國向外國政府“供應”數據的限制條件,并引入“適格外國政府”這一概念,致使數據的“調取”與“供應”根本不對等。
其一,限制“適格外國政府”的范圍。并不是所有的外國政府均有資格依據CLOUD法案向美國申請調取數據,只有被美國認定的“適格外國政府”方能享有法案所規定的權利。CLOUD法案規定的“適格外國政府”的前提條件整體而言較為苛刻。首先,外國的國內法在隱私與公民權利保護領域能夠提供實質和程序上的充分保護。而在作出認定時對外國政府的考慮因素包含11項,尤其側重考慮該外國政府是否是《網絡犯罪公約》的締約方以及其對國際人權義務的遵守情況。其次,采取適當的程序,將涉及美國人信息的獲取、留存和散布降低至最小化。最后,在滿足以上法律化條件的情況下,與美國簽訂獲取數據的行政協議。從上述條件來看,中國實質被排除在“適格外國政府”之外。
其二,即使外國政府被認定為“適格外國政府”,CLOUD法案對調取數據的范圍、程序有著較為繁瑣的限定。首先,外國政府不得將美國公民或美國境內的居民作為調取數據的目標,這意味著可供調取的數據類型的范圍被嚴格限縮。其次,對外國政府發布的命令進行嚴格的程序限制。外國政府調取數據的命令必須與嚴重的犯罪行為相關,符合該國國內法并應當受到法院的獨立審核。外國政府的命令不得侵犯言論自由且應保證通信存儲在安全的系統中。最后,美國政府保留認定行政協議對命令不適用的權利。當美國政府認為行政協議被不當援引時,外國政府將無法依據該協議調取存儲在美國的數據。
總之,美國模式在實現數據域外管轄的同時,卻嚴格限制外國政府調取數據的請求,這容易招致外國政府的反制措施,進一步引發更加激烈的沖突。
四、中國數據立法的應對
面對數據立法域外管轄所帶來的挑戰與危機,我國應當制定相應配套策略,并對未來有可能侵犯我國主權利益的行為采取阻斷措施。
(一)界定數據保護域外立法管轄的邊界
為應對各國個人數據保護法案域外管轄擴張所帶來的管轄權沖突,我國應當進一步界定域外立法管轄的邊界。只有確定數據保護域外立法管轄的邊界,才能緩和各國當前管轄權的平行沖突。
由于國際條約或協議并無相關規定,所以數據保護域外立法管轄應當受到國際習慣法的約束。如果受監管的主體與監管國之間存在真正的聯系,國際習慣法允許該國行使立法管轄權。在管轄權原則中,屬地管轄與積極屬人管轄是最基礎、爭議最少并獲得國際社會廣泛認可的管轄權依據。以屬地管轄和積極屬人管轄為基礎,對數據涉外案件行使域外管轄權符合國際習慣法對管轄權的規制。相反,若不是以上述兩項管轄權依據為基礎,數據保護域外立法管轄的合法性應當接受嚴格的審查。
在歐盟模式下,效果原則在個人數據保護法案中應用廣泛,而在此之前,各國普遍接受以效果原則為基礎,主要針對市場壟斷行為與證券欺詐行為采取域外管轄。當然,這并不意味著效果原則只能應用于反壟斷與證券領域,而是同屬地管轄和積極屬人管轄原則相比,以效果原則為基礎在數據領域行使域外管轄權應當受到更多的限制。盡管國際法對效果原則應當受到的限制條件并不十分明確,但國際法學者已然對四項條件達成一致意見。首先,以效果原則為管轄權基礎制定法律的國家應當具有明確的利益。其次,立法意圖規制的效果應當是可預見的。再次,必須存在實質性的效果才能開展域外管轄。最后,不得因為缺乏聯系導致侵犯他國主權。數據處理行為與在一國產生的效果之間聯系越緊密,域外管轄權的行使就更具有合法性,反之,效果原則的應用缺乏理由。歸根結底,判斷以效果原則為基礎行使域外管轄權是否具有合法性,關鍵在于判斷個案中數據控制者或處理者與行使域外管轄權的國家之間的聯系是否緊密。是故,關于歐盟模式中域外立法管轄權的邊界,若域外適用條款以屬地管轄和積極屬人管轄為立法管轄權的依據,其合法性毋庸置疑;若以效果原則為依據,則應當嚴格審查其是否滿足條件的限制,數據處理行為與效果之間是否具有真正的聯系。若二者不具有聯系或聯系較為疏遠,域外管轄很可能超越合法邊界。
當對同一數據涉外案件多國均具有合法管轄權時,國際禮讓原則的重要性會凸顯。各國平行的個人數據保護法案域外管轄權只要滿足合法性的要求,那么就沒有高低之分。目前國際法框架下并不存在可以為合法的立法管轄權排列先后順序的方法。基于屬地管轄原則的域外管轄權并不當然優先于其他合法管轄權。針對數據領域域外管轄權沖突的這一問題,簽署國際條約或協議無疑是最為徹底的路徑,但此種方式過于理想化,各國不僅要付出十分艱辛的努力且會耗費大量時間。此時,一國可以采用國際禮讓原則以應對管轄權沖突。國際禮讓原則本身并不否認域外管轄,其核心在于利益衡量,即查詢是否存在外國主權利益,探究相關利益是否需要得到尊重。運用國際禮讓原則解決管轄權沖突的過程實質是通過利益衡量分析來判斷何者位于優先地位的過程。但不應忽視的是,國際禮讓原則具有局限性。其一,禮讓并不是國際法賦予各國的義務。禮讓的內容具有模糊性,它的運用并未有清晰的程序。其二,以我國為例,利益衡量的過程要求我國法院在個案中能夠精準地了解他國數據法律制度背后的目的和所涉及的管轄利益,這無疑是苛刻的,也無法保證我國所有法院在涉外案件中均可以達到這一程度。總之,在面臨多種合法管轄權的平行沖突時,國際禮讓原則是解決這一問題的途徑之一,但其缺點也是國際法的無奈之處。
(二)外國判決承認與執行制度在數據領域的特殊運用
國際經貿與互聯網技術的發展導致以領土劃分公法的適用范圍已不合時宜,在當代社會中,公法域外適用的合理性已不受質疑。公法與私法二元界限的劃分逐步弱化,國際私法制度下域外判決的承認與執行規則可以為數據主體個人數據權益的域外執行提供指引。
符合我國公共秩序是我國承認與執行外國判決的前提。公共秩序是一國在特定時間內、特定條件下和特定問題上的重大或根本利益所在。在承認與執行外國生效的裁決時,若承認與執行會違反法院地國的公共秩序,則可以拒絕承認與執行,這也被稱為公共秩序保留制度。就“公共秩序”而言,在不同社會與法律背景下其定義并不固定,因而其內涵具有一定的彈性。我國《涉外民事關系法律適用法》第5條使用了“社會公共利益”這一表述。在審查外國民商事判決中,法院對適用公共秩序保留制度傾向于保持克制立場。2018—2020年,我國并未出現因不符合我國公共秩序而被人民法院拒絕承認和執行外國判決的情形。但外國個人數據案件不同,外國的判決在我國的執行很可能會涉及我國的數據主權。數據主權來源于國家主權,包含了我國在數據領域的國家利益與公共利益。我國法院應當嚴格審查他國在個人數據案件中的判決是否不利于我國數據主權,換言之,公共秩序保留制度應當在法院審查外國個人數據保護案件的判決中扮演重要角色,而不是被克制運用。歐盟法院在GoogleCNIL案中之所以將谷歌公司執行被遺忘權的范圍限于歐盟內部而不是全球,主要原因正是在于考慮到與他國的公共利益可能相沖突。公共秩序保留可以起到安全閥的作用,我國立法或司法應當進一步解釋數據領域中公共秩序的邊界。只有在符合我國公共秩序的前提下,才需要進一步考慮承認與執行外國判決涉及的其他因素。
《民事訴訟法》第288條和第289條僅對我國的外國民商事判決承認和執行制度作了原則性規定,對外國判決的審查有賴于國際條約的規定和對互惠原則的理解。我國《個人信息保護法》第41條明文規定,主管機關應參照我國參加的國際條約、互惠原則來處理外國跨境調取數據的請求。雖然這一條款針對的是跨境調取數據而并非外國判決的執行情形,但也表明互惠原則是我國處理數據領域涉外案件的原則之一。我國《民事訴訟法》并未對互惠原則有進一步的解釋,因而,如何認定互惠關系是關鍵問題。互惠關系大致包括條約互惠、事實互惠、法律互惠以及推定互惠。《最高人民法院關于人民法院進一步為“一帶一路”建設提供司法服務和保障的意見》第24條規定:“采取推定互惠的司法態度,以點帶面不斷推動國際商事法庭判決的相互承認與執行。”推定互惠是只要他國沒有拒絕承認我國判決的先例,就可以推定兩國之間存在互惠關系。這一判定標準是在“一帶一路”的背景下,為了改善外國民商事判決在我國承認與執行的難題而對互惠采取更為開放的認定立場。盡管在我國個人數據權益被視為一項民事權益,但不可忽視的是,《個人信息保護法》具有公法性質并采用行政手段對數據主體權益加以保護。個人數據權益的背后涉及各國在數據領域的主權利益和公共利益。尤其是在各國紛紛采取數據本土化措施的背景下,適用推定互惠作為互惠關系的判定標準將導致我國承擔一定風險。很有可能出現我國承認和執行外國個人數據保護案件的裁決或提供他國司法機關、行政機關所需數據后,我國的判決和跨境取證的請求遭遇他國的拒絕。是故,推定互惠并不適合作為外國數據案件判決承認和執行的依據。
由我國《個人信息保護法》第43條可知,我國可以根據他國所采取歧視性的禁止、限制的實際情況采取對等措施。根據前文所述,我國對跨境調取數據采取非常保守的態度。可以合理推斷,我國對涉及數據域外管轄的案件的態度不同于普通的外國民商事案件,傾向于優先保護我國主權利益并與他國保持實質對等。因而,本文認為,對于涉及數據的域外判決,我國應當采用法律互惠的判定標準,方與我國的立法態度保持一致。法律互惠的原意是比較兩國在外國判決承認與執行制度之間立法的規定是否相似,但不可否認,由于歷史傳統、語言表述、以及法律文化等多種因素的影響,兩國之間的法律會存在很大差異,且比較兩國法律會給法官帶來較大的工作量。結合司法實踐,本文認為,可以借鑒德國司法機關的做法采取反向推定,即關于承認和執行外國個人數據領域案件的判決,他國立法條件不比我國規定更為嚴格或比我國立法更為寬松,就認定兩國之間存在互惠關系。此外,若我國個人數據涉外案件的判決一旦遭遇他國拒絕執行,我國自然可以采取對等措施,否定互惠關系存在。
(三)完善我國數據的跨境取證模式
由于“數據控制者模式”順應了國家掌控數據的需要,在未來一段時間內注定與“數據存儲地模式”共存。我國應當堅持在維護數據主權的前提下,對我國的“數據存儲地模式”予以完善并阻斷他國不正當的域外管轄。
在堅持“數據存儲地模式”理念的前提下,例外情形的設置是必要的。其一,我國司法機關或行政機關同樣具有跨境調取數據的需求。“數據控制者模式”之所以產生并逐步延伸,根本原因在于有助于國家機構便利地獲取數據,符合了大數據時代跨境取證的實際需求。一味地全盤固守原本的“數據存儲地模式”且不予靈活變通,抗拒他國獲取存儲在本國的數據,看似保護了本國的數據主權,實則也使本國喪失了與他國建立良好國際執法合作機制的機會。其二,針對跨境調取數據,我國對國內外跨境調取數據的立法態度有所不同。由上文可知,我國對外國跨境調取存儲在我國的數據采取嚴格的“數據存儲地模式”。但另一方面,我國立法對我國國家機關跨境調取電子數據的規定稍有突破。2016年發布的《最高人民法院 最高人民檢察院 公安部關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規定》第9條第2款和第3款允許我國機構通過網絡在線提取存儲在他國的電子數據以及進行網絡遠程勘驗。2019年發布的《公安機關辦理刑事案件電子數據取證規則》第23條也有類似規定,對公開發布的電子數據、境內遠程計算機信息系統上的電子數據,可以通過網絡在線提取。可見,我國立法允許我國機構在線提取存儲在他國的公開數據,以及通過網絡遠程勘驗獲取存儲在境外的數據,在一定程度上突破了“數據存儲地模式”。
跨境調取電子數據并不一定意味著損害他國的主權利益。就學理分析而言,國際法專家認為如果數據存儲在境外的服務器,則訪問互聯網上可公開獲取的電子數據屬于一國行使域內管轄權而非域外管轄權的情形。就國際條約而言,《網絡犯罪公約》第32條(a)和(b)兩個條款分別規定,對于可公開獲取的數據以及經過有權披露數據的主體的同意,無須獲取他國授權即可跨境訪問存儲在他國的數據。雖然就可以豁免他國授權的跨境調取數據的情形尚未在全球達成一致,但無論是學理分析抑或是國際條約,在特定情形下的跨境取證并不被認為損害他國正當利益。
國與國之間跨境調取數據所提供的協助是相互的,在不損害本國主權利益的前提下,允許他國跨境調取數據,有助于在雙方之間形成良好的合作氛圍,更進一步為跨境執法活動的相互協助提供良好的基礎。若只寄希望于依托先進的互聯網技術或單方面國內法的立法許可,從而獲取自身所需要的數據,而不愿他國用相同方式獲取存儲在本國的數據,那么跨境調取數據的國際合作是無法開展的。我國可以在“數據存儲地模式”之外設定例外情形,允許他國執法機關可以在線提取網絡數據,以及進行網絡遠程勘驗。
面對美國模式下域外管轄的不斷擴張,將互惠原則與數據分類分級保護制度相協調可以較好地平衡我國的需求。目前,《數據安全法》第21條第1款建立了數據分類分級保護制度。《網絡安全標準實踐指南——網絡數據分類分級指引》根據影響對象和影響程度的不同,將網絡數據分為一般數據、重要數據以及核心數據三個級別。《網絡數據安全管理條例(征求意見稿)》第5條擬對不同級別的數據采取不同的保護措施,國家對核心數據實行嚴格保護,對個人信息和重要數據進行重點保護。
依前文所述,我國主管機關應當采取變通的法律互惠標準認定互惠關系的存在。面對他國跨境調取數據的請求,我國主管機關需要依據數據的不同分類與級別作出審查。一旦重要數據和核心數據遭遇破壞、非法利用,我國的國家安全、公共利益便會遭受嚴重損害。是故,關于這兩類數據的跨境調取,立法應當予以禁止。一般數據,依據其遭遇非法獲取或非法利用后對個人、組織合法權益造成的危害程度不同,從低到高可劃分為四個級別。1級數據具有公共傳播屬性,可對外公開發布、轉發傳播。即使數據遭遇非法獲取或非法利用,也不會對個人與組織的合法權益造成損害。他國執法機關可以通過互聯網直接獲取,無須經過我國主管機關的批準。這也與“數據存儲地模式”的例外情形相一致。互惠原則的適用主要針對2-4級一般數據的跨境調取。我國主管機關應當考慮他國跨境調取數據的條件是否比我國立法寬松,若不比我國嚴格或更加寬松,則可以認定兩國之間存在互惠關系。相反,若他國跨境調取數據的立法條件更為嚴格,且對我國具有跨境調取數據的立法限制,那么我國主管機關就可不認定存在互惠關系,并且對該國施加對等限制措施。如前文所言,CLOUD法案所規定的立法條件對美國政府和外國政府跨境調取數據具有實質的不對等,我國不符合其所謂的“適格外國政府”的限定條件,從法律互惠標準的角度,很難認定中美互惠關系存在。
為應對他國不當的域外管轄,2021年1月我國商務部發布《阻斷外國法律與措施不當域外適用辦法》(以下簡稱《辦法》),以阻斷外國法律與措施不當域外適用對中國的影響。事實上,我國《個人信息保護法》第41條與《國際刑事司法協助法》第4條第3款的規定已經具有了阻斷措施的效果。我國采取阻斷措施已經有法可依,但目前阻斷立法的體系仍需要進一步細化與完善。
其一,強化阻斷立法的執行,并配合豁免程序予以實施。《辦法》第13條規定,不遵守阻斷立法的中國公民、法人或者其他組織將受到警告與罰款的處罰。只有對這一規定貫徹執行才能使阻斷立法不成為一紙空文。2010年6月,在Gucci America,Inc.v.Weixing Li案中,中國銀行紐約分行(以下簡稱“中行”)被要求提供被告在中國境內的賬戶信息。盡管中行盡全力證明在中國境外披露客戶信息的行為將違反中國法律,但紐約地區法院仍然以其藐視法庭為由處以高額罰款。為力爭遵守中國法律,在隨后的5年時間里中行先后兩次上訴,兩次被裁定藐視法庭,還在中國就此單獨提起訴訟。2016年,高昂的罰款最終迫使中行提交了來自中國境內客戶信息。美國法院聲稱之所以不認可中行的抗辯事由,原因在于美國法院并不相信中行違法后會真的招到中國監管機構的處罰,尤其是中行無法提供相關案例予以證明。可見,阻斷立法的執行性會直接影響他國司法機關的評價,強化阻斷立法的實施有助于受到他國法院的認可。但一味加強執行亦可能導致個人信息處理者陷入兩難。在這一案件背景下若適用阻斷立法,中行若遵守中國法律規定,則需要承擔來自美國法院的高額罰款;若遵守美國法院的命令,則仍然需要在國內承擔罰款。這就迫使中行承擔國內與國外的雙重風險。是故,面對他國行政機關或司法機關跨境調取數據的要求,應依據具體案件作出不同分析。若調取的數據牽涉國家安全與公共利益,那么即使我國的個人信息處理者面臨他國法律的處罰,仍然需要遵守阻斷立法,否則將承擔我國法律責任。但若調取數據未涉及國家安全與公共利益,且他國域外管轄符合前文所述的管轄權依據,那么個人信息處理者可以依據《辦法》第8條申請豁免遵守禁令。因而,我國應當結合實踐需求,在強化阻斷立法執行性的同時對豁免程序進一步優化,以緩解個人信息處理者的壓力。
其二,在數據領域的涉外案件中,進一步明確遵守我國阻斷禁令的國內企業所獲取的支持。國務院商務主管部門可對外國法律不當的域外適用發布阻斷禁令。依據《辦法》第11條,若中國公民、法人或者其他組織未遵守他國法律而遭受重大損失的,政府部門可以給予必要的支持。但這一支持究竟是什么,并沒有詳細解釋。這一條款是為遵守禁令的中國企業提供補償,然而,我國政府可以對企業從哪些方面進行補償尚不清晰。由于《辦法》的效力等級只是部門規章且只有15條,是故,可以將其看作是對阻斷立法框架的初步嘗試。總之,我國應進一步完善阻斷立法體系和執法體系,明確給予遵守阻斷禁令的中國個人信息處理者支持的內容,緩解中國企業遭遇的雙重風險。
結語
在形成有效的國際協議之前,單邊擴張數據立法的域外管轄權限將是各國的主要選擇。不假思索地反對這一趨勢或無限擴張域外管轄權限都會陷入極端。單邊主義下數據域外管轄不可避免將引發管轄權沖突,也可能侵犯他國主權利益。我國已經初步建立了數據域外管轄制度,面對國際兩種立法模式所引發的挑戰與危機,應當分別制定因應策略。針對依托個人數據保護法案的歐盟模式,可以考慮判定他國行使域外管轄權是否超越邊界,并對他國數據領域司法判決的承認與執行進行特殊考量。對于依托跨境取證法案的美國模式下的域外管轄,明晰“數據存儲地模式”的例外情形、協調互惠與數據分級分類保護制度更有利于我國在跨境調取數據方面與他國開展國際合作。面對不當的域外管轄,應當進一步完善阻斷立法,以保障我國阻斷禁令的執行性,配合豁免程序,減輕私主體的雙重法律風險。
