論跨境數據流動中的網絡間諜規制
2024-01-01 00:00:00劉瑛赫思瑤
河南師范大學學報(哲學社會科學版) 2024年4期
摘 要:歐美兩次跨境數據流動合作失敗是基于歐盟對美國新型網絡間諜行為的關切,但國際法缺乏對于網絡間諜行為的有效規制,以歐盟法處理網絡間諜問題也面臨著說理困境與諸多批判。歐美兩次跨境數據流動合作失敗所揭示的境外情報機關向境外企業獲取數據的問題對我國具有警示作用,我國也存在未能明確約束境外機構向境外企業調取數據的行為、追究境外機構法律責任的門檻較高、追究境外實體法律責任面臨執行和國家豁免的障礙等問題。在國際法層面,我國可以考慮在國際條約中對于情報機關獲取信息做出限制,在國際談判中推廣數據分類分級保護模式,尤其注重涉國家安全數據的保護,并逐步推動國際法在規制網絡間諜中的適用。在國內法層面,我國可以通過立法明確規制網絡間諜行為的新情況,在司法實踐中合理解釋國家安全,采取出口管制和反制裁措施懲治網絡間諜行為。
關鍵詞:跨境數據流動;網絡間諜規制;數據保護
作者簡介:劉瑛(1978-),女,廣東惠州人,中山大學法學院暨南方海洋科學與工程廣東省實驗室(珠海)教授、博士生導師,主要從事國際法研究;赫思瑤(1998-),女,黑龍江佳木斯人,中山大學法學院博士生,主要從事國際法研究。
基金項目:國家社會科學基金重大項目(21amp;ZD207)
中圖分類號:D994 文獻標識碼:A 文章編號:1000-2359(2024)04-0032-13 收稿日期:2024-05-06
從2000年開始,歐盟與美國通過銜接兩種不同的個人數據保護體系,進行跨境數據流動合作。但在美國“棱鏡”(PRISM)等計劃曝光之后,歐盟法院兩次通過判決否定了歐美合作機制的有效性。2023年7月10日,歐盟委員會又一次通過了針對歐盟—美國數據隱私框架協議的充分性決定(Data Protection:European Commission Adopts New Adequacy Decision for Safe and Trusted EU-US Data Flows,https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721.)。2023年9月,法國歐洲議會議員拉通貝(Latombe)向歐盟法院提起訴訟,試圖推翻歐美跨境數據流動第三次合作(New EU-US data transfer deal also faces criticism in Germany,https://www.euractiv.com/section/data-protection/news/new-eu-us-data-transfer-deal-also-faces-criticism-in-germany/.),引起了廣泛熱議。研究兩次歐美跨境數據流動合作失敗的根本原因,把握歐美跨境數據流動合作的最新動態和法律爭議,有助于我們了解歐盟和美國在跨境數據流動領域的核心利益追求與關切,在對外建立跨境數據流動合作過程中吸取歐美的經驗和教訓,在跨境數據流動領域統籌推進國內法治和涉外法治。
一、歐美跨境數據流動合作受到美國網絡間諜行為的深刻影響
歐美兩次跨境數據流動合作機制的有效性均被歐盟法院的判決推翻,歐盟法院在說理過程中主要采取了保護“基本權利和自由”的路徑。但仔細考察兩次案件的直接誘因和特殊性,以及第三次合作建立的過程,可以看出基本權利和自由的保護不足只是合作失敗的原因之一,歐盟的考量暗含著對于美國網絡間諜行為的關切。
(一)歐美兩次跨境數據流動合作的失敗歷程
歐盟在跨境數據流動領域非常重視保護基本權利和自由。1995年歐洲議會和歐盟理事會頒布的《關于在處理個人數據和此類數據自由流動方面保護個人的95/46/EC指令》(以下簡稱《數據保護指令》)(Directive 95/46/EC on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data.)就要求成員國必須規定,只有在第三國對個人數據達到“充分性”(adequate)保護的情況下,才允許歐盟人的數據被傳輸到該第三國(Directive 95/46/EC,Chapter 4.)。而美國通過行業自治的方式保護個人數據,美國商務部在2000年發布了《安全港隱私原則》(Safe Harbour Privacy Principles),這些原則是美國商務部與業界和公眾協商制定的,企業通過自愿聲明、向商務部提供并公開其隱私政策(COM(2013)847 final,para 3.)等尋求被歐盟委員會認定為遵守《安全港隱私原則》(Maximillian Schrems v Data Protection Commissioner,C-362/14,para8.)。盡管歐盟和美國的個人數據保護體系差異較大,但歐盟試圖銜接兩種體系,頒布了《依據第95/46/EC號指令關于安全港隱私原則提供的保護是否充分以及美國商務部發布的相關常見問題作出的決定》(以下簡稱《安全港決定》)(Commission Decision of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the US Department of Commerce.),以保障歐美之間的跨境數據流動。《安全港決定》是歐盟法的一部分,規定只要企業遵守《安全港隱私原則》來保護從歐盟傳輸到美國的個人數據,就應認為其已經達到了充分性保護水平(Commission Decision of 26 July 2000 Pursuant to Directive 95/46/EC of the European Parliament and of the Council on the Adequacy of the Protection Provided by the Safe Harbour Privacy Principles and Related Frequently Asked Questions Issued by the US Department of Commerce,https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32000D0520.)。
此后,斯諾登事件將以“棱鏡”計劃為代表的美國情報部門大規模獲取其他國家數據的行為帶入公眾視野,2015年,歐盟法院在Maximillian Schrems v Data Protection Commissioner案(以下簡稱SchremsI案)中判決《安全港決定》無效,宣告了歐美跨境數據流動合作的第一次失敗。歐盟隨后出臺了《通用數據保護條例》(General Data Protection Regulation,以下簡稱GDPR),對個人數據保護設置了嚴格的標準。為滿足GDPR在《數據保護指令》的基礎上強化的充分性保護標準,美國國家情報總監辦公室(Office of the Director of National Intelligence,ODNI)提供了一份針對美國獲取情報的陳述和承諾;美國國務卿簽署了一份信函,承諾建立新的國家安全監督機制,即任命獨立于美國情報界的隱私保護監察員;美國司法部提供了一份聲明,描述了公共機構為了執法和公共利益目的訪問和使用數據的限制和保障措施(Data Protection Commissioner v Facebook Ireland Ltd,Maximillian Schrems,C-311/18,para 43.)。歐盟重新評估了美國的立法,通過了第2016/1250號決定,即《依據第95/46/EC號指令關于歐盟-美國隱私盾提供保護的充分性作出的決定》(Commission Implementing Decision (EU) 2016/1250 of 12 July 2016 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the EU-U.S.Privacy Shield.)(Privacy Shield Decision,以下簡稱《隱私盾決定》),將上述三份文件載于《隱私盾決定》的附件。然而,在2020年的Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems案(以下簡稱Schrems II案)中,《隱私盾決定》又被歐盟法院認定為無效,使得歐美跨境數據流動的第二次合作也歸于失敗。
(二)歐美兩次跨境數據流動合作失敗的根本原因
歐盟法院在上述兩次判決中均強調了歐盟人的基本權利和自由,尤其是隱私的法律地位(Maximillian Schrems v Data Protection Commissioner,C-362/14,para3;Data Protection Commissioner v Facebook Ireland Ltd,Maximillian Schrems,C-311/18,para 6.),并論述了美國公共部門大規模獲取數據的行為超出了保護美國國家安全嚴格必要的范圍(Maximillian Schrems v Data Protection Commissioner,C-362/14,para 93;Data Protection Commissioner v Facebook Ireland Ltd,Maximillian Schrems,C-311/18,para167-168.)。從這一思路出發,針對歐美重新建立合作的建議包括改變歐盟法的嚴格要求以適應美國獲取數據的做法(Monika Zalnieriute,Data Transfers after Schrems II:The EU-US Disagreements over Data Privacy and National Security,Vanderbilt Journal of Transnational Law,Vol.55,No.1,2022,p.2.)、改變美國的隱私保護體系以達到歐盟的充分性保護標準(Marcelo Corrales Compagnucci,Timo Minssen Claudia Seitz amp; Mateo Aboy,Lost on the High Seas without a Safe Harbor or a Shield?Navigating Cross-Border Transfers in the Pharmaceutical Sector after Schrems II Invalidation of the EU-Us Privacy Shield,European Pharmaceutical Law Review,Vol.4,No.3,2020,p.159.),抑或是歐美協議采用經合組織、亞太經合組織等國際組織的隱私保護體系以達成一致等(Monika Zalnieriute,Data Transfers after Schrems II:The EU-US Disagreements over Data Privacy and National Security,Vanderbilt Journal of Transnational Law,Vol.55,No.1,2022,p.4.)。然而,僅依靠歐美改變隱私保護方式,很難解決美國公共部門大規模獲取外國數據帶來的問題。歐美兩次跨境數據流動合作失敗的根本原因在于,美國大規模獲取外國數據的行為帶來了歐盟對美國網絡間諜行為的擔憂(Micah Carlson,Behind the Curve:Schrems II and the Need for Increased U.S.Data Protections in a Global Economy,Journal of Corporation Law,Vol.47,No.1,2021,p.203.),而國際法上缺乏規制網絡間諜的有拘束力的法律規則,使得歐盟只能在歐盟法的框架下處理這一復雜問題。
1.美國的網絡間諜行為是Schrems I案和Schrems II案的直接誘因
歐盟于2000年就作出了有關歐美跨境數據流動的《安全港決定》,歐美依據該決定進行了長達15年的跨境數據流動。Schrems I案的導火索就在于斯諾登對于美國情報部門“棱鏡”等計劃的曝光,此類計劃也是原告馬西米利安·施雷姆斯(Maximillian Schrems)用以質疑美國對來自歐盟的個人數據保護是否充分的重要論據( Maximillian Schrems v Data Protection Commissioner, C-362/14, para 28.)。在Schrems II案中,馬西米利安·施雷姆斯也聲稱,美國法律要求Facebook公司向某些美國當局,如國家安全局和聯邦調查局提供傳輸給這些公司的個人數據,而這種大規模監控行為不符合《歐盟基本權利憲章》的規定,因此他要求禁止將其數據傳輸給Facebook公司(Data Protection Commissioner v Facebook Ireland Ltd,Maximillian Schrems,C-311/18,para 55.)。
在現有的研究中,以“棱鏡”計劃為代表的情報收集行為與網絡間諜行為聯系密切,有文章將“棱鏡”等計劃與網絡間諜行為聯系在一起(黃志雄,孫蕓蕓:《網絡主權原則的法理宣示與實踐運用:再論網絡間諜活動的國際法規制》,《云南社會科學》,2021年第6期;孫偉意:《網絡時代的美國反間諜措施及其啟示》,《中國信息安全》,2021年第10期;李彥:《場域視角下網絡間諜的國際法規制》,《政治與法律》,2023年第10期;楊楠:《美國網絡安全戰略的攻防悖論》,《美國研究》,2022年第2期。),也有文章將“棱鏡門”計劃明確定義為間諜行為(托馬斯·雷納德,小文:《歐盟在網絡領域與第三國的戰略合作評估》,《國外社會科學文摘》,2018年第7期;馬光:《論網絡間諜活動的規制:以〈塔林手冊〉為視角》,《福建江夏學院學報》,2020年第2期;毛欣娟:《新時期網絡間諜活動方式、危害及其防控思考》,《中國信息安全》,2021年第10期。)。盡管國際法和我國國內法尚未對“網絡間諜”作出定義(馬光:《論網絡間諜活動的規制::以〈塔林手冊〉為視角》,《福建江夏學院學報》,2020年第2期。),但考察學界對于“間諜”和“網絡間諜”的界定,上述觀點具有一定的合理性。
間諜活動是一國情報工作的一個方面(Catherine Lotrionte,Countering State-Sponsored Cyber Economic Espionage under International Law,North Carolina Journal of International Law and Commercial Regulation,Vol.40,No.2,2015,p.460.)。合法的情報收集和間諜活動之間的界限很薄,事實上,“最終可能會被技術創新無可挽回地刺穿”(Russell Buchan,Cyber Espionage and International Law,Hart Publishing,2019,p.17.)。從主體的角度,網絡間諜被定義為“受雇于特定組織并利用互聯網平臺獲取情報、危害目標國家安全的人員”(毛欣娟:《新時期網絡間諜活動方式、危害及其防控思考》,《中國信息安全》,2021年第10期。)。從行為的角度,網絡間諜被定義為從目標計算機系統收集情報和數據的計算機操作(David Weissbrodt,Cyber-Conflict,Cyber-Crime,and Cyber-Espionage,Minnesota Journal of International Law,Vol.22,No.2,2013,p.354.)。《網絡行動國際法塔林手冊2.0版》對于網絡間諜提供了更為詳盡的定義,即“利用網絡能力,以秘密或欺詐的方式收集或試圖收集信息的行為”,“網絡間諜包括但不限于利用網絡能力監視、監控、采集或竊取通過電子傳輸或存儲的通訊、數據或其他信息”,手冊中所討論的網絡間諜行為“僅限于由國家實施的或其他可歸因于國家的網絡間諜行為”(邁克爾·施密特:《網絡行動國際法塔林手冊2.0版》,黃志雄等譯,社會科學文獻出版社,2017年,第193頁。)。
在Schrems I案和Schrems II案中,美國在“棱鏡”等計劃下進行的大規模情報收集行為是經由網絡發生的,其是否屬于網絡間諜行為主要在于對“秘密”“偽裝”“欺詐”的認定。但在兩次案件中,歐盟法院未采用反間諜法路徑進行判決,更遑論對“秘密”“偽裝”“欺詐”等概念進行解釋。國際法層面也尚無對此類概念進行解釋的先例。但《網絡行動國際法塔林手冊2.0版》對于網絡間諜的定義具有一定的開放性,且美國“棱鏡”等計劃具有秘密性的特點,此種行為不應被完全排除在網絡間諜的涵蓋范圍之外。目前,學界也有觀點認為,“無節制、無底線、無限制”特征的信號情報獲取行動,以及用社交媒體上個體用戶留下的“足跡”提升用戶畫像能力,輔助支撐傳統的招募與策反行動,均屬于霸權國家實施的網絡間諜活動(沈逸:《完善系統防御能力應對數字時代網絡間諜活動的新挑戰》,《中國信息安全》,2021年第10期。)。由于此種觀點具有一定的合理性,且為便于在同一語境下探討,本文將美國在Schrems I案和Schrems II案中的情報收集行為定義為一種網絡間諜行為,對此種情報行為和網絡間諜行為的用語不作嚴格區分。
2.兩次歐盟判決均針對美國的情報行為或情報法律進行了討論
在Schrems I案的判決中,歐盟法院引用了歐盟委員會與歐洲議會、理事會的溝通文件《關于從歐盟公民和在歐盟設立的公司的角度探討安全港的運作》(以下簡稱《安全港的運作》)(Communication from the Commission to the European Parliament and the Council on the Functioning of the Safe Harbour from the Perspective of EU Citizens and Companies Established in the EU,European Commission,https://www.europarl.europa.eu/meetdocs/2014_2019/documents/com/com_com(2013)0847_/com_com(2013)0847_en.pdf.)中的內容,該文件指出,所有參與美國“棱鏡”計劃并允許美國當局訪問其在美國存儲和處理的數據的公司似乎都獲得了《安全港決定》的認證,使得《安全港決定》成為美國情報部門收集歐盟個人數據的渠道之一(COM(2013)847final,para 7;Maximillian Schrems v Data Protection Commissioner,C-362/14,para22.)。
在Schrems II案中,歐盟法院集中討論了美國各部門對傳輸到美國的個人數據開展情報行為的主要依據,即《外國情報監視法》(Foreign Intelligence Surveillance Act,以下簡稱FISA)第702條和第12333號行政命令(Data Protection Commissioner v Facebook Ireland Ltd,Maximillian Schrems,C-311/18,para60.)。FISA第702條允許美國司法部長和國家情報總監聯合授權對位于美國境外的非美國公民進行監視,以便獲取外國情報信息,其中的一些信息也會傳輸給美國聯邦調查局和中央情報局(Data Protection Commissioner v Facebook Ireland Ltd,Maximillian Schrems,C-311/18,para61.)。第12333號行政命令允許國家安全局(National Security Agency,NSA)通過訪問大西洋海底的水下電纜來訪問正在傳輸到美國的數據,并在這些數據到達美國并受到管轄之前收集和保留這些數據(Data Protection Commissioner v Facebook Ireland Ltd,Maximillian Schrems,C-311/18,para 63.)。
從美國法上看,在Schrems II案中集中討論的FISA也具有特殊性。相比而言,美國的《澄清海外合法使用數據法》(Clarifying Lawful Overseas Use of Data Act,CLOUD Act)雖然也使得美國可以基于國家安全等事由調取在美國境外存儲的數據(馬其家,李曉楠:《論我國數據跨境流動監管規則的構建》,《法治研究》,2021年第1期。),但FISA的內容涵蓋了獲取外國情報的多種手段和相關程序,更加彰顯了情報法的特點。也因此,從結果上看,不同于在其他的跨國公司違反GDPR的案件中的做法,歐盟在Schrems I案和Schrems II案中直接否定了《安全港決定》和《隱私盾決定》的有效性,而不只是在個案中對違法公司施加高額處罰(State Commissioner for Data Protection in Lower Saxony Imposes 10.4 Million Fine Against Notebooksbilliger.de,https://edpb.europa.eu/news/national-news/2021/state-commissioner-data-protection-lower-saxony-imposes-eu-104-million-fine_en.)。某種程度上,歐盟法院在Schrems I案和Schrems II案中處理的不僅是歐盟與其境內公司的關系,而是歐盟與美國之間的關系。
3.歐美第三次跨境數據流動合作的建立過程體現了歐盟對于美國情報行為的關切
在歐美兩次跨境數據流動合作失敗后,美國再次對其情報法律體系進行了調整,歐盟本次對美國作出的充分性決定也是在考察美國情報法律體系后所作出的。美國于2022年10月通過了第14086號行政命令“加強對美國信號情報活動的保障”(Enhancing Safeguards for US Signals Intelligence Activities),該行政命令對于美國整個情報界具有約束力,且明確要求美國情報機構在最多一年的時間限度內更新現有的政策和程序(C(2023)4745 final,Recital(126).)。美國司法部長還頒布了《數據保護審查法院條例》以處理和解決個人對美國信號情報( 信號情報(SIGINT)區別于人力情報,最初起源于對于信號的截獲,這種直接獲取信息的方式被認為能夠最大限度地減少故意或無意歪曲信息的可能性。信號情報又分為通信情報(communication intelligence,COMMINT)和電子情報(electronic intelligence,ELINT)兩個子領域。See Russell Buchan,Cyber Espionage and International Law,Oxford: Hart Publishing,2019,p.15.)活動的投訴(C(2023)4745 final,Recital(176).)。歐盟委員會認為第14086號行政命令補充了FISA第702條和第12333號行政命令的限制和保障措施(C(2023)4745 final,Recital(125).),最終通過了針對歐盟-美國數據隱私框架協議的充分性決定(adequacy decision for the EU-U.S. Data Privacy Framework,以下簡稱DPF決定)(C(2023)4745 final,Recital(6).)。
與歐盟以往針對其他國家作出的充分性決定不同,DPF決定針對美國公共當局出于國家安全目的訪問和使用個人數據展開了詳細討論,特別關注到第14086號行政命令對于美國情報工作的新規定。第14086號行政命令規定了對美國信號情報活動的合法目標的限制(C(2023)4745 final,Recital (134)-(135).),規定了美國信號情報活動的程序(C(2023)4745 final,Recital(135)-(139).),還對美國批量收集信號情報的行為作出了特別限制(Enhancing Safeguards for United States Signals Intelligence Activities,https://www.federalregister.gov/documents/2022/10/14/2022-22531/enhancing-safeguards-for-united-states-signals-intelligence-activities.)。此外,歐盟委員會還在DPF決定中指出,除了第14086號行政命令以外,美國信號情報數據收集還受到FISA第257條和第702條的限制和保障措施的約束,歐盟委員會也在DPF決定中詳細列舉了FISA對于美國情報活動的各項限制(C(2023)4745 final,Recital(142)-(153).)。
二、歐盟在跨境數據流動國際合作中處理網絡間諜行為所面臨的困境
美國的網絡間諜行為使得歐盟在跨境數據流動合作中面臨著數據出境后的風險,但國際法缺乏對于網絡間諜行為的有效規制,以及網絡間諜行為本身具有特殊性,使得歐盟法院在歐盟數據保護法律下,以保護基本權利和自由的路徑處理網絡間諜問題時面臨說理困難,其判決也引起了諸多批評。
(一)國際法缺乏對于網絡間諜行為的有效規制
雖然幾乎所有國家都存在間諜活動,但各國都保留根據國內刑法起訴在其境內從事間諜活動的人的權利(Catherine Lotrionte,Countering State-Sponsored Cyber Economic Espionage under International Law,North Carolina Journal of International Law and Commercial Regulation,Vol.40,No.2,2015,p.460.)。然而,新興技術的發展使一國情報人員無須跨越物理邊境即可獲取另一國的信息,導致難以通過各國國內法有效規制網絡間諜。在國際法層面,規制網絡間諜的國際條約尚付之闕如。
在聯合國層面,聯合國信息安全政府專家組(United Nations Group of Governmental Experts,UNGGE)等關注到國家、其代理者或非國家行為者利用信息通信技術而在該領域造成的現有和潛在的威脅,針對國際法特別是《聯合國憲章》是否適用于各國使用信息通信技術問題進行了討論,專家組的報告也得到了聯合國大會決議的支持( 聯合國大會第A/70/174號文件。)。聯合國信息安全政府專家組的報告和聯合國大會的決議均不具有法律拘束力,但在一定程度上代表了聯合國會員國的共識。《聯合國憲章》宗旨和國際法原則應能適用于國家使用信息通信技術時進行的網絡間諜行為,但目前此類原則如何適用仍存在爭議。例如,有觀點認為,無論是傳統間諜活動還是網絡間諜活動,如果未采取收集信息以外的行動,則不會被視為違反禁止使用武力或武力威脅原則(David Weissbrodt,Cyber-Conflict,Cyber-Crime,andCyber-Espionage,Minnesota Journal of International Law,Vol.22,No.2,2013,p.382.)。但也有觀點認為,即使在沒有任何“現實世界的物理損害”或“網絡空間的破壞性影響”的情況下,網絡間諜活動也侵犯了領土主權(Marco Longobardo,Cyber Espionage and International Law,Israel Law Review,Vol.53,No.2,2020,p.295.),從而違反了國家主權原則。由于各國針對此類爭議未能達成普遍的共識,因此“網絡間諜在國際法上處于合法與非法的灰色地帶”(李彥:《場域視角下網絡間諜的國際法規制》,《政治與法律》,2023年第10期。)。
在WTO層面,由于暫時無法明確應將跨境數據流動定義為服務、貨物還是其他事務,就難以確定《關稅與貿易總協定》(General Agreement on Tariffs and Trade,GATT)、《服務貿易總協定》(General Agreement on Trade in Services,GATS)等是否以及如何適用于跨境數據流動(World Trade Organization,G/C/W/158.)。WTO層面主要在跨境數據流動對貿易的影響層面進行討論和談判,既有的協定較少直接涉及間諜問題。在既有的協定如何適用于跨境數據流動依然存在爭議的情況下,目前WTO層面缺乏直接調整網絡間諜行為的規則。
從區域貿易協定上看,目前比較有代表性的《全面與進步跨太平洋伙伴關系協定》(Comprehensive and Progressive Agreement for Trans-Pacific Partnership,CPTPP)、《美國—墨西哥—加拿大協定》(U.S.-Mexico-Canada Agreement,USMCA)、《區域全面經濟伙伴關系協定》(Regional Comprehensive Economic Partnership,以下簡稱RCEP)雖然都對數字貿易或電子商務進行了一定的規范,但并未直接針對網絡間諜行為進行規定。因此,已有的國際條約很難用以規制網絡間諜行為,且國際習慣法、一般法律原則等如何適用于網絡間諜行為也存在爭議。在此種情況之下,美國在跨境數據流動合作機制中保留了以國家安全為由的例外條款,為其網絡間諜行為留下了空間。
(二)以歐盟法處理網絡間諜問題面臨說理困境與諸多批判
在Schrems I案和Schrems II案中,歐盟法院均以保護基本權利和自由的路徑處理網絡間諜問題,在判決邏輯上具有一定的相似性。由于歐美之間跨境數據流動的法律依據為《安全港決定》和《隱私盾決定》,上述決定是依據歐盟的《數據保護指令》和GDPR作出的,而美國的網絡間諜行為實際上涉及的國家安全屬于歐盟成員國法律調整的事項(Data Protection Commissioner v Facebook Ireland Ltd, Maximillian Schrems,C-311/18,para 81.),因此歐盟法院僅能從《數據保護指令》和GDPR等規定出發進行判決。歐盟法院試圖采用基本權利和自由保護的路徑解決其對于網絡間諜行為的關切,但這種錯位使其不得不面臨許多說理困境,也招致了諸多批評。
1.歐盟法院處理網絡間諜問題面臨說理困境
第一,由于網絡間諜行為的特殊性,歐盟法院很難在事實層面證明美國情報部門實際訪問了歐盟的個人數據,其在Schrems I案和Schrems II案中的論證的邏輯鏈條只能基于一種對可能性的假設(Maximillian Schrems v Data Protection Commissioner,C-362/14,para29;Data Protection Commissioner v Facebook Ireland Ltd,Maximillian Schrems,C-311/18,para72.)。
第二,歐洲人權法院在其審理的案件中一定程度上認可了一國情報機關通過大規模攔截電子通信收集信息的合法性,但歐盟法院如果參照此種邏輯進行審理,則不可避免地要對美國情報機關的類似行為持肯定態度,從而可能使歐盟在后續的談判中處于被動的地位。歐洲人權法院在2006年的Weber and Saravia v.Germany案中重申,在平衡被申請國通過秘密監視措施保護國家安全的利益與個人私生活和權利受到尊重的利益時,法院一貫承認國家當局在選擇實現保護國家安全合法目標的手段時享有相當大的自由裁量權,但法院必須確信存在充分和有效的保障措施來防止此種權力的濫用(Weber and Saravia v.Germany,para.106.)。該案具有較大的影響力,在歐洲人權法院于2021年5月最終判決的Big Brother Watch and Others v. The United Kingdom案中也被引用。Big Brother Watch and Others v. The United Kingdom案也與斯諾登事件密切相關( Big Brother Watch and Others v. The United Kingdom, para. 12.),該案源自斯諾登揭露出英國情報機構開展了一項代號為“TEMPORA”的行動,使其能夠提取、利用和存儲大量歐盟的數據( Big Brother Watch and Others v. The United Kingdom, para. 15.),同樣涉及對于干涉歐盟人基本權利和自由的認定( Big Brother Watch and Others v. The United Kingdom, para. 325.)。歐洲人權法院在該案判決中承認,國家當局在選擇如何更好地實現保護國家主權的合法目標方面享有廣泛的自由裁量權( Big Brother Watch and Others v. The United Kingdom, para. 338.),但需要有防止濫用該權力的充分和有效的保障,并詳細列舉了此類保障措施的內容( Big Brother Watch and Others v. The United Kingdom, para. 339.)。
在Schrems I案中,美國情報機關正是基于國家安全等事由收集信息( Maximillian Schrems v Data Protection Commissioner, C-362/14, para 8.),且《安全港決定》也承認基于此種事由收集信息應當有所限制,這種行為必須在公開的法律中被闡明,并且在民主社會中是必要的和相稱的( COM (2013) 847 final, para 7.)。歐盟法院在Schrems I案中回避了對于情報機關大規模收集信息行為本身合法性的討論,引用Digital Rights Ireland and Others案(C-293/12 and C-594/12)的判決,側重于強調針對個人數據實施最低限度的保障措施的重要性( Maximillian Schrems v Data Protection Commissioner, C-362/14, para 91.)。類似地,歐盟法院在Schrems II案中也回避了一國情報機關出于公共安全、國防和國家安全等目的處理個人數據的合法性問題的探討,而將重點放在對個人數據保護的限制應在絕對必要的情況下適用,且應當實施最低限度的保障措施( Data Protection Commissioner v Facebook Ireland Ltd, Maximillian Schrems, C-311/18, para 176.)。
第三,網絡間諜行為具有秘密性,且相關技術發展引起的情報收集手段難以把握。歐盟法院在兩次判決中既要推翻歐美充分性決定,使其不成為美國情報部門收集信息的渠道,又難以確立歐盟數據保護法律中的充分性保護的具體標準,使其論證過程存在循環定義、論證不清之嫌。
2.歐盟法院處理網絡間諜問題引起諸多批判
歐盟法院在Schrems I案和Schrems II案中采取了基本權利保護的路徑進行判決,但受到了諸多批判和質疑。
第一,有觀點認為歐盟法院對于GDPR的條款進行了擴大解釋,以至于將歐盟法律適用于其他主權國家,違背了國際法原則( Christina Lam, Unsafe Harbor: The European Union’s Demand for Heightened Data Privacy Standards in Schrems v. Irish Data Protection Commissioner, Boston College International and Comparative Law Review, Vol.40, No.3, 2017, p.10.)。針對此種觀點,需要明確歐盟法院在判決中否定的并不是歐盟和美國之間的國際協議,而是歐盟委員會作出的充分性決定,該決定是歐盟法的一部分。更值得注意的是,歐盟委員會采取歐盟制定的標準審查其他國家的數據保護法,使得其他國家和企業面臨遵守歐盟標準和放棄歐盟市場的抉擇,歐盟法院通過《歐盟基本權利憲章》確定隱私保護和國家安全的邊界,實際上正在逐步影響和塑造其他國家的數據保護體系。日本為獲得歐盟的充分性決定對其國內數據保護法進行大幅修改,從而與歐盟數據保護體系保持相當程度的一致性即例證( Decision (EU) 2019/419, (17)-(38).)。這種“法律全球化”的邏輯值得警惕( 曾華群:《論中國特色國際經濟法學》,《國際經濟法學刊》,2018年第1期。)。
第二,在Schrems II案中,歐盟法院將美國情報法律作為爭議對象之一來討論,但其論證仍浮于表面。歐盟法院指出了美國情報機關可能基于第12333號行政命令訪問傳輸到美國的數據,無須接受任何司法審查,這種可能的訪問行為并沒有清晰和明確的限制,FISA第702條和第12333號行政命令下的數據獲取均不符合比例原則( Data Protection Commissioner v Facebook Ireland Ltd, Maximillian Schrems, C-311/18, para 183-184.)。但美國的情報架構涉及總檢察長、國會委員會、聯邦法院法官等官員和機構設置,也規定了數據最小化等要求,而歐盟法院對此缺乏具體的討論,使其判決的客觀性受到質疑( David A. Hoffman, Schrems II and TikTok: Two Sides of the Same Coin, North Carolina Journal of Lawamp; Technology, Vol. 22, No. 4, 2021, p. 585.)。也有觀點指出,歐盟法院在Schrems II案的判決中沒有對歐洲人權法院的先例進行概述( David A. Hoffman, Schrems II and TikTok: Two Sides of the Same Coin, North Carolina Journal of Lawamp; Technology, Vol. 22, No. 4, 2021, p. 598.)。此類技術性問題在Schrems I案中也存在,但FISA是在“水門事件”期間美國聯邦政府廣泛侵犯隱私的事件被曝光后制定的,其頒布本身就是為了規范政府對于電子監控的使用( Foreign Intelligence Surveillance Act (FISA): An Overview, Congressional Research Service, https://sgp.fas.org/crs/intel/IF11451.pdf.)。因此,如果歐盟法院對此詳細論述,則很難得出FISA等美國情報法缺乏限制的結論。
第三,從結果上看,歐盟法院實際上對美國提出了高于歐盟成員國的標準,且實際上處理了屬于歐盟成員國權限范圍內的國家安全問題。因此,有觀點認為,歐盟法院采用了“雙重標準,即非歐盟國家受嚴格的歐盟數據保護規則的約束,而類似的成員國的措施則完全不受歐盟法律的約束”( Jordan L. Fischer, The U.S. Perspective on Schrems II: The Challenges of the Extraterritorial Application of the EU Perspective, Seton Hall Law Review, Vol. 51, No. 5, 2021, p. 1582.)。實際上,這一定程度上是由歐盟的特點與歐洲一體化的歷史進程所決定的。根據《歐洲聯盟條約》(Treaty on European Union,TEU)第4.2條,國家安全是每個歐盟成員國的獨有責任(sole responsibility)( Consolidated Version of the Treaty on the Functioning of the European Union, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A12016ME%2FTXT.)。在《數據保護指令》制定時,歐盟并沒有預見到美國情報機構大規模獲取數據的行為,依據該指令作出了《安全港決定》( COM (2013) 847 final, para 7.)。由于美國不是唯一獲得歐盟充分性決定的國家,即便GDPR針對《數據保護指令》的漏洞進行了一定的修改,歐盟也不可能完全否定以“決定”(decision)的形式保障和規制跨境數據流動的做法。而根據《歐盟運作條約》(Treaty on the Functioning of the European Union,TFEU)第288.4條,決定對歐盟所有成員國均具有約束力( Consolidated Version of the Treaty on the Functioning of the European Union, Official Journal of the European Union, https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:12012E/TXT:en:PDF.)。且歐盟法院一貫認為,在沒有明確提及成員國國內法的情況下,歐盟法律條款的有效性不能根據國內法來解釋( Data Protection Commissioner v Facebook Ireland Ltd, Maximillian Schrems, C-311/18, para 100.)。這就導致在歐盟成員國未將國家安全事項授權給歐盟處理的情況下,歐盟法院實質上對美國情報機關可能侵犯各成員國國家安全的行為進行了審理。這種一定程度上的越權行為不僅造成了對歐盟“雙重標準”的質疑,也引起了法國等歐盟國家對于其主權的擔憂( Fumiko Hirasawa, Approaches to Realizing Legal Interoperability between the Data Privacy Regimes of the European Union and the United States, Columbia Journal of European Law, Vol. 28, No. 2, 2022, pp. 303-304.)。
在Schrems I案和Schrems II案中,歐盟法院試圖采取基本權利和自由保護的路徑,解決實際上涉及成員國國家安全的網絡間諜問題,使其面臨著說理困境,也招致了諸多批判,揭示出以人權路徑解決國家安全問題面臨的挑戰。
三、我國在跨境數據流動中規制網絡間諜行為的問題
從我國的角度觀之,歐盟與成員國之間復雜的法律架構引起的越權問題并不存在,且我國從法律傳統和實際需要而言都無須采取人權路徑,可以直接利用國家安全法律體系解決網絡間諜問題。但是,Schrems I案和Schrems II案揭示出了以美國為代表的新型網絡間諜行為的特殊性。不同于傳統的網絡間諜行為,例如由一國情報機關或人員潛入他國網絡系統獲取信息的行為,兩次案件中的涉案歐盟數據是依據《安全港決定》和《隱私盾決定》“合法”地流動至美國企業,美國情報機關再依據美國情報法“合法”地要求美國企業提供這些數據。這種以相對合法的面貌實施的網絡間諜行為對我國法律體系提出了新的挑戰,使得歐盟和美國都對自身法律體系有所調整,以應對相關關切,這種博弈也推動著跨境數據流動和網絡間諜行為規制的國際規則發展。
目前,我國對外締結的多邊條約中幾乎未見對于網絡間諜行為的規定,我國在雙邊條約中也尚未對此作出特別安排。從我國國內法的現狀來看,《中華人民共和國國家安全法》《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國保守國家秘密法》《中華人民共和國反間諜法》《網絡安全審查辦法》《數據出境安全評估辦法》等初步構建了跨境數據流動的規則,同時能夠為規制網絡間諜行為提供一定的基礎。我國的跨境數據流動制度體系相較于歐盟充分性決定“一刀切”式的安排具有一定優勢,但相關的法律還有待進一步細化,以有效應對他國的網絡間諜行為。
(一)未能明確約束境外機構向境外企業調取數據的行為
《中華人民共和國數據安全法》和《中華人民共和國個人信息保護法》雖然都對外國司法或執法機構提供數據的請求作出了特別規定,將處理此類請求的權限明確交由我國主管機關,禁止境內組織和個人未經批準對外提供,但是此種規定只能約束主管機構批準前的流程。《數據出境安全評估辦法》雖然將數據出境中和出境后的風險也納入評估范圍,同時要求行政部門評估境外接收方所在國家或者地區的數據安全和網絡安全情況,以及境外接收方的數據保護水平是否符合我國法律要求,但此種規定類似于歐盟充分性決定制度發展初期的規定,而歐盟法院對Schrems I案和Schrems II案的判決作為判例法,針對外國情報機關向境外企業調取數據的行為進行了較為細致的討論,能夠為約束此類行為提供法律依據,使得歐盟法對于外國情報機構的約束走在前沿,但我國未能明確將境外機構向境外企業調取數據的行為納入評估和監管的范圍內。我國各地方、各行業的數據保護實施細則均依照上述上位法制定,但上述上位法未能針對歐美跨境數據流動國際合作中所體現的外國國家情報機關的新情況提供具體、明確的指引。
《數據出境安全評估辦法》第14條規定,數據出境安全評估的結果有效期為2年,在境外接收方所在國家或者地區數據安全保護政策法規和網絡安全環境發生變化等情形之下,數據處理者應當重新申報評估。那么,當外國的數據安全保護政策法律和網絡安全環境都未發生變化,而該國依然可以獲取我國數據的情況下,數據處理者是否應當重新申報評估存疑。以美國為例,在美國情報法和網絡安全環境未出現變化的情況下,美國情報機關依然能夠向美國企業調取數據,但我國能否以該條要求數據處理者重新申報評估,存在一定的解釋空間。
(二)追究法律責任的門檻較高
《中華人民共和國國家安全法》《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國反間諜法》等雖然為防范、制止和懲治網絡侵入、網絡竊密等行為提供了法律依據,但是對追究法律責任均規定了一定的前提。根據《中華人民共和國網絡安全法》第75條,針對境外的機構、組織、個人從事網絡侵入的行為,在造成嚴重后果的情形下,依法追究法律責任。《中華人民共和國數據安全法》第2條對法律責任也加入了后果要件,要求在損害中國國家安全、公共利益或者公民、組織合法權益的情況下,依法追究法律責任。《中華人民共和國反間諜法》第10條也將規制對象限定為“危害國家安全的間諜行為”。在數據出境后將境外情報機關僅從境外企業獲取情報信息而未造成明顯后果的情形解釋為《中華人民共和國數據安全法》《中華人民共和國反間諜法》所規定的損害中國國家安全也面臨著一定的說理困難,意味著將未造成實際損害的情形也認定為損害國家安全,可能面臨著濫用國家安全條款的批判。
(三)追究境外實體法律責任面臨執行和國家豁免的障礙
追究境外企業甚至境外情報機關的法律責任也存在執行和國家豁免方面的困難。雖然《中華人民共和國外國國家豁免法》第2條將外國主權國家的國家機關或者組成部分也納入該法所稱的外國國家的范圍內,但第4條規定了外國國家通過國際條約、書面協議、遞交書面文件等明示接受管轄的情形下,才不享有管轄豁免。而當前各國在國際條約中幾乎未直接針對跨境數據流動中的情報和網絡間諜行為作出約定,歐盟和美國在合作中也僅僅是通過歐盟委員會作出的單方面決定來規范情報收集行為,因此,外國情報機關在此種情況下有很大可能享有管轄豁免。
《中華人民共和國外國國家豁免法》第7條規定了外國國家在中國領域內進行的商業活動,或者在中國領域內產生直接影響的商業活動所引起的訴訟中,外國國家在中國法院不享有管轄豁免。該條將商業活動定義為非行使主權權力的關于貨物或者服務的交易、投資、借貸以及其他商業性質的行為,并要求法院在認定是否屬于商業活動時,考慮該行為的性質和目的。根據該條對于商業活動的定義,企業跨境傳輸數據的行為應當認定為商業活動,但該條的目的似乎又在于將商業活動與行使主權權力的政治活動等區分開來,如果為規制外國情報行為而擴大解釋該條,可能面臨一定的爭議。
四、我國在跨境數據流動國際合作中有效規制網絡間諜的建議
針對以美國“棱鏡”計劃為代表的新型網絡間諜行為,我國可以充分利用國際法途徑,并不斷完善國內相關法律體系,在跨境數據流動國際合作中對此種行為加以規制。
(一)國際法上的建議
在國際法層面,我國可以考慮在國際條約中對于情報機關獲取信息作出限制,在國際談判中推廣數據分類分級保護模式,尤其注重涉國家安全數據的保護,搶抓規則制定的話語權,并逐步推動國際法在規制網絡間諜中的適用。
1.在國際條約中對情報機關獲取信息做出限制
歐盟法院兩次推翻歐美跨境數據流動合作機制,使得合作面臨較大的法律不確定性,這在一定程度上源于歐盟與美國的合作最終是以歐盟內部決定的形式確定的。從實踐上來看,歐盟所要求的獨立于情報部門的隱私保護監察員( Data Protection Commissioner v Facebook Ireland Ltd, Maximillian Schrems, C-311/18, para.195.),也很難在美國的法律框架下達成,這也側面印證了對于此種大規模監控的行為,可能需要國際條約予以規制( Christina Lam, Unsafe Harbor: The European Union's Demand for Heightened Data Privacy Standards in Schrems v. Irish Data Protection Commissioner, Boston College International and Comparative Law Review, Vol. 40, No. E-Supplement, 2017, pp. 12-13.)。我國在跨境數據流動領域展開對外合作的過程中,可盡量以條約而非單方面的法律文件固定談判成果,同時對于情報和網絡間諜行為作出一定的約定。在國際條約中規制情報和網絡間諜行為,也有利于《中華人民共和國外國國家豁免法》的適用,實際追究境外情報機構的法律責任。
雖然歐盟與美國在跨境數據流動合作中歷經兩次失敗,但由此帶來的規則調整與銜接使得雙方逐漸走向更緊密的聯動,這種聯動未來可能影響國際標準的制定。2020年,美國發布了《與標準合同條款相關的美國隱私保護措施和其他在Schrems II案之后歐盟—美國傳輸數據的歐盟法律依據白皮書》( Information on U.S. Privacy Safeguards Relevant to SCCs and Other EU Legal Bases for EU-U.S. Data Transfers after Schrems II)。該白皮書表示,美國政府經常與歐盟成員國共享情報信息,包括美國公司響應FISA第702條而披露的數據,以應對恐怖主義、武器擴散和敵對的外國網絡活動等威脅,這些信息共享能夠服務于歐盟的公共利益( Information on U.S. Privacy Safeguards Relevant to SCCs and Other EU Legal Bases for EU-U.S. Data Transfers after Schrems II, https://www.commerce.gov/sites/default/files/2020-09/SCCsWhitePaperFORMATTEDFINAL508COMPLIANT.PDF.)。在第三次合作的建立過程中,為促成DPF決定,美國針對歐盟個人數據保護建立了更為細致的救濟規則,且歐盟與美國在救濟機制方面開始實現聯動。需要救濟的個人可以自由選擇歐盟或美國的救濟機制( C(2023) 4745 final, Recital (68).),歐盟和美國還建立了一個DPF小組(EU-U.S. DPF Panel),該小組由至少10名仲裁員組成,仲裁員名單由美國商務部和歐盟委員會指定( C(2023) 4745 final, Recital (81)-(82).),該機制為個人提供了有約束力的仲裁的救濟途徑。歐盟與美國在跨境數據流動領域的合作深化,可能間接塑造該領域的國際合作和網絡間諜規制的國際規則,因此,我國有必要在雙邊、區域、多邊的各個平臺上逐步推進合作,參與國際標準的制定,推行中國立場。
2.在國際談判中推廣數據分類分級保護模式以促進涉國家安全數據的保護
歐美跨境數據流動國際合作的失敗,一定程度上在于歐盟將原本用于歐洲國家的充分性決定推廣至其他與歐盟國家利益具有沖突的國家。我國推行的數據分類分級保護、網絡安全審查和數據安全審查、數據出境安全評估模式,相較于歐盟充分性決定所體現出的“一刀切”式的數據出境許可模式具有一定的科學性和合理性,目前美國、歐盟、澳大利亞等國的立法中也逐漸體現出數據分類分級的雛形。我國可以在國際層面推廣此種跨境數據流動模式,與其他國家協商,確定數據分類分級的國際標準,尤其注重涉國家安全數據的劃分,搶抓規則制定的話語權,從而為通過國際法規制網絡間諜行為打下基礎。
歐盟雖未明確規定數據分類分級制度,但也已經存在了對數據的初步劃分。歐盟在法律層面將數據區分為個人數據和非個人數據進行保護( 個人數據保護的法律依據為《通用數據保護條例》,非個人數據的保護由《非個人數據自由流動條例》(Regulation on the Free Flow of Non-personal Data,RFFND)規范。),GDPR又將個人數據進一步區分為一般個人數據和敏感個人數據( General Data Protection Regulation, Article 9.)。歐盟還通過第2015/444號決定《關于保護歐盟機密信息的安全規則》規定了保護歐盟機密信息的基本原則和最低安全標準,該決定根據未經授權披露可能對歐盟或一個或多個成員國的根本利益造成損害的嚴重程度,將歐盟機密信息分為絕密(top secretary)、秘密(secret)、機密(confidential)、限制(restricted)四個級別( COMMISSION DECISION (EU, Euratom) 2015/444 of 13 March 2015 on the security rules for protecting EU classified information, https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX:32015D0444amp;qid=1586092489803.)。雖然在歐盟層面未見對于涉國家安全數據的特別規定,但歐盟對于數據的區分保護在一定程度上印證了數據分類分級保護是大勢所趨。
美國前總統奧巴馬于2009年發布的關于國家安全機密信息的第13526號行政命令規定了對美國國家安全信息進行分類、保護和解密的統一制度,同樣根據未經授權的披露會對國家安全造成的損害程度,將國家安全信息分為絕密(top secretary)、秘密(secret)、機密(confidential)三個級別。相較于歐盟法,美國法已經對于國家安全信息的相關事項進行了明確列舉( Executive Order 13526- Classified National Security Information, https://obamawhitehouse.archives.gov/the-press-office/executive-order-classified-national-security-information.)。2010年,美國政府發布關于國家安全機密信息的第13556號行政命令,要求行政部門或機構應當保護和傳播控制“受控非機密信息”,將其分為20個類別、124個子類別( 陳祥玲:《政府數據分類分級保護的理論邏輯、現實困境與實踐路徑》,《征信》,2023年第4期。)。對于受控非機密信息(Controlled Unclassified Information),美國通過《出口管理條例》(Export Administration Regulations)、《國際武器貿易條例》(International Traffic In arms Regulations)等作出了部分信息未經政府批準不得向外國公民或實體披露的規定( 許可:《自由與安全:數據跨境流動的中國方案》,《環球法律評論》,2021年第1期。)。
澳大利亞也試圖通過數據分類管理等方式來規制跨境數據流動,對于安全、健康等類別的數據進行特別保護( Cai Cuihongamp;Wang Yuanzhi, Global Data Governance: Challenges and Responses, China International Studies, Vol. 88, 2021, p.28.)。澳大利亞《數據可用性和透明度法案》細化了不能共享的數據類型和排除共享的機構( 陳祥玲:《政府數據分類分級保護的理論邏輯、現實困境與實踐路徑》,《征信》,2023年第4期。)。世界層面主要對于財會稅務類、個人類、電信類、新興數字服務類、政府和公共類等數據進行特別限制,呈現了一個初級的數據分級分類保護模型( 李毅,王迪:《世貿組織背景下中國數據本地化存儲要求的評析》,《重慶郵電大學學報》(社會科學版),2019年第4期。)。由此可見,未來在國際層面對重要的政治數據、經濟數據、軍事數據、敏感的個人信息等制定統一的分級分類清單( 薛亞君:《數字貿易規則中的數據本地化問題探究》,《對外經貿實務》,2019年第8期。),具有一定的可能性。
具體而言,我國可以嘗試在WTO電子商務諸邊談判中推行數據分類分級保護的思路,并注重涉國家安全數據的劃分。WTO于2023年10月底啟動了最新一輪的電子商務諸邊談判,此輪談判的議題包括網絡安全、開放互聯網接入等。此輪談判于2023年12月20日結束,WTO成員通過電子商務聯合聲明倡議宣布已就若干全球電子商務規則取得實質性談判成果,這也標志著WTO電子商務諸邊談判達成重要的里程碑。據悉,實質性談判成果涵蓋三大領域:電子商務便利化、開放的數字環境以及企業和消費者信任( 《WTO電子商務談判最新進展:美方撤回此前提議,如何研判?》,http://cacs.mofcom.gov.cn/article/flfwpt/jyjdy/cgal/202311/178544.html。)。WTO第13屆部長級會議仍未能直接觸及網絡間諜問題,也尚未見到各國就數據分類分級問題進行專門討論( 13TH Ministerial Conference : Briefing Note, https://www.wto.org/english/thewto_e/minist_e/mc13_e/briefing_notes_e/ecommerce_e.htm.)。在此前的電子商務諸邊談判中,各成員的立場和意見存在不同。歐盟尤其關注跨境數據流動中的人權問題( See World Trade Organization, INF/ECOM/22.)。我國在電子商務諸邊談判中關注跨境數據流動所引發的國家安全問題( See World Trade Organization, INF/ECOM/19.)。美國主張跨境數據自由流動,禁止數據本地化,禁止網絡封鎖( See World Trade Organization, INF/ECOM/5.)。而在此次談判中,美國貿易代表辦公室放棄了美國長期以來的一些數字貿易要求,以便給美國國會留出監管大型科技公司的空間。由此,美國對于跨境數據流動的立場似乎從嚴格限制數據本地化、倡導跨境數據自由流動,轉向對跨境數據流動加以限制,這與中國、歐盟、俄羅斯等WTO成員的立場更加趨近,也為各國協商如何限制跨境數據流動奠定了基礎。
從中國、歐盟、美國等成員的立法來看,在國內法中對于涉及國家安全的機密信息進行特別保護,限制其出境已經是大勢所趨。從各國在WTO電子商務諸邊談判的立場來看,國家安全也已經成為跨境數據流動國際合作中的重要議題,我國在WTO中提出對涉國家安全的特別保護,也符合世界各國的實際需要,具有可行性。我國可以嘗試在WTO電子商務諸邊談判中以單獨或聯合提案的形式推廣數據分類分級保護的思路,劃定國家機密信息的范圍。另外,聯合國、亞太經濟合作論壇和上海合作組織等也針對信息通信技術的發展等議題進行討論( 聯合國大會第A/68/98號決議。),我國也可以考慮在此類平臺與其他國家協商,逐步推廣數據分類分級保護模式,并提出對于涉國家安全數據進行特別保護,參與相關清單的制定,從而在國際法層面規制網絡間諜行為。
3.逐步推動國際法在網絡間諜規制中的適用
已有的國際法能否以及如何適用于網絡間諜存在一定爭議,《塔林手冊2.0:適用于網絡行動的國際法》認為僅收集信息而未對他國產生實際影響的網絡間諜行為很難被認定為侵犯他國領土主權( Russell Buchan, Cyber Espionage and International Law,Hart Publishing, 2019, p. 53.)。但在斯諾登事件之后,巴西總統迪爾瑪·羅塞夫(Dilma Rousseff)在聯合國大會上譴責美國的網絡間諜行為,指出網絡間諜活動侵犯了國家主權,阻礙了有效的國際合作;在聯合國安理會的討論中,厄瓜多爾大使也指出“大規模間諜活動造成全球不信任”( Russell Buchan, Cyber Espionage and International Law,Hart Publishing, 2019, pp.39-40.)。阿根廷、玻利維亞、巴西、烏拉圭和委內瑞拉都曾表示美國的間諜行為侵犯受害國主權,印度尼西亞也提出美國的網絡監視行為違反了國際法和《聯合國憲章》( Russell Buchan, Cyber Espionage and International Law,Hart Publishing, 2019, pp.54-55.)。
關于國際法在網絡間諜中的適用的討論尚處于初級階段,目前,各國不太可能聯合制定一項多邊網絡條約規制網絡間諜行為,通過國家實踐發展有關網絡間諜的習慣國際法也需要時間( David Weissbrodt, Cyber-Conflict, Cyber-Crime, and Cyber-Espionage, Minnesota Journal of International Law, Vol. 22, No. 2, 2013, p. 387.)。國家可以在不干涉原則、禁止使用武力原則、外交和領事關系法、國際人權法、貿易協定等國際法框架下討論網絡間諜的合法性問題( Russell Buchan, Cyber Espionage and International Law,Hart Publishing, 2019, pp.9-10.),但可以預見,推動國際法在網絡間諜中的適用將經歷較大的爭議和漫長的過程。
在網絡間諜行為的國際法規制問題上,我國也面臨著一項現實的議題。美國提出了網絡間諜的“兩分法”,即網絡間諜不違反國際法,但國際法應禁止網絡經濟間諜,其中的網絡經濟間諜行為直指中國“竊取技術和知識產權”的行為( 李彥:《場域視角下網絡間諜的國際法規制》,《政治與法律》,2023年第10期。)。這種“兩分法”為其自身獲取情報的行為留出空間,同時意圖在知識產權和高新技術方面壓制中國。我國在推動國際法規制網絡間諜的適用過程中,可以回應美西方國家所指稱的中國網絡間諜行為并無證據,主張網絡政治間諜與網絡經濟間諜并不存在實質區別,要求國際法平等適用于此兩種情形。
(二)國內法上的應對措施
從目前的實踐來看,國際法上針對網絡間諜行為的規則形成尚需要一定的時間,現階段我國可以運用并完善國內法的相關規則,規制網絡間諜行為。
1.通過立法明確規制網絡間諜行為的新情況
我國可以在征求意見中的《網絡數據安全管理條例》中,或與《網絡安全標準實踐指南——網絡數據分類分級指引》類似的指南文件或其他行政文件中,明確強調數據出境后境外機構調取境外企業數據的風險。我國《數據出境安全評估辦法》第8條第7款將“國家網信部門認為需要評估的其他事項”也納入數據出境安全評估的事項當中,因此,我國可以將數據出境后境外機構調取境外企業數據的風險也明確納入數據出境安全評估的考量范疇。
同時,我國在完善網絡法的過程中需要謹慎對待《塔林手冊2.0:適用于網絡行動的國際法》中的觀點,《塔林手冊》系列出版物是以美國為首的北約組織世界各國專家修改完善而成的,該手冊雖然也有中國專家的參與( 陳舒,劉賢剛,葉潤國,等:《〈塔林手冊〉2.0視角下的網絡空間國際規則理論的發展》,《信息安全與通信保密》,2018年第4期。),但部分條款主要反映了對美國等國家有利的觀點。例如,在網絡間諜的界定方面,《塔林手冊2.0:適用于網絡行動的國際法》將網絡間諜界定為“利用網絡能力,以秘密或欺詐的方式收集或試圖收集信息的行為”( 邁克爾·施密特:《網絡行動國際法塔林手冊2.0版》,黃志雄等譯,社會科學文獻出版社,2017年,第193頁。)。但其中“秘密”“欺詐”等概念的界定并不明確,則可能使得美國利用公司間商業傳輸獲取數據的行為被合法化,從而使各國在跨境數據流動合作中面臨著與歐盟相似的困境。我國在各級立法中也應當注重對于網絡間諜的定義,使其盡量涵蓋數據出境后境外機構調取境外企業數據的新情況。
2.在司法實踐中合理解釋國家安全
在歐盟與美國的跨境數據流動合作中,美國通過設置國家安全例外條款,為其情報和網絡間諜行為留下了一定空間。網絡間諜行為與國家安全息息相關,我國在司法實踐中應當發揮《中華人民共和國國家安全法》《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國反間諜法》等法律中與國家安全相關的條款作為約束此類行為的“安全閥”的作用,合理解釋國家安全的定義,保持國內法治和涉外法治中國家安全立場的一致性。
如前所述,《中華人民共和國數據安全法》在追究違法行為法律責任的條款中加入了“損害中國國家安全、公共利益或者公民、組織合法權益”的表述;《中華人民共和國反間諜法》將規制對象限定為“危害國家安全的間諜行為”,但我國法律對于“國家安全”缺乏具體的定義。綜合考察《中華人民共和國國家安全法》《中華人民共和國刑法》等法律的規定,應當認為,他國的網絡間諜行為危害我國國家安全。1993年的《中華人民共和國國家安全法》對于危害國家安全行為的界定,就是從反間諜領域出發的;《中華人民共和國刑法》規定的危害國家安全的行為也包括間諜行為( 李竹,肖俊擁:《國家安全法學》,法律出版社,2019年,第295頁。)。而網絡間諜作為間諜行為的新型樣態,在司法實踐中應當被解釋為危害國家安全的行為,從而受到相關法律的約束。
在國際法層面,對于國家安全的解釋也存在一定的模糊性和自裁決性,為我國在國內法治和涉外法治中主張網絡間諜行為危害國家安全提供了一定的空間。《區域全面經濟伙伴關系協定》(Regional Comprehensive Economic Partnership,以下簡稱RCEP)在數字章節中設置了保護“基本安全利益”的例外,且規定一旦一方決定采取或維持的措施被認為是“保護其基本安全利益所必需的”,RCEP的其他締約方不得就該措施提出異議( 《區域全面經濟伙伴關系協定》第12章第15條。),使得該條具有了一定的自裁決性質。同時,RCEP在第17章明確,協定中的此類一般例外條款是在GATT第20條、GATS第14條的基礎上加以修訂而納入的( 《區域全面經濟伙伴關系協定》第17章第12條、第13條。)。WTO層面也已有一些相關的案例,雖然這些案例只對具體的爭端當事方具有拘束力,并不具有法律上的先例作用,但從學理角度仍可以適當參考WTO相關案例中爭端解決機構的觀點來理解和解釋國家安全例外條款的規定。在烏克蘭訴俄羅斯運輸限制案中,WTO專家組沒有明確闡釋國家“基本安全利益”的具體內涵。但專家組認為,基本安全利益一般可以理解為與國家本質職能相關的利益。所涉及的具體利益將取決于有關國家的具體情況和看法,并且預計會隨著情況的變化而變化。每個成員都應自行定義其認為的基本安全利益。國家安全例外條款中“其認為”的措辭意味著應由成員自己決定保護其基本安全利益的行動的“必要性”( DS512: Russia—Measures Concerning Traffic in Transit,WTO,para 7.130-7.131.)。
3.采取出口管制和反制裁措施懲治網絡間諜行為
在法律層面,《中華人民共和國數據安全法》規定了數據出口管制和數據領域的反制措施。《中華人民共和國個人信息保護法》也作出了類似規定(《中華人民共和國個人信息保護法》第42條、第43條規定,境外的組織、個人從事侵害中國公民的個人信息權益,或者危害中國國家安全、公共利益的個人信息處理活動的,國家網信部門可以將其列入限制或者禁止個人信息提供清單,予以公告,并采取限制或者禁止向其提供個人信息等措施。)。在實踐層面,2023年12月26日,針對美國的涉疆制裁,依據《中華人民共和國反外國制裁法》,我國對長期搜集涉疆敏感信息、為美國涉疆非法制裁提供“依據”的美國情報數據公司卡隆(Kharon)及卡隆公司調查主任許勐(Edmund Xu)、前美高等國防研究中心研究員尼科爾·莫格雷特(Nicole Morgret)等2人采取反制措施,禁止被制裁人員入境中國,凍結上述公司和個人的財產,禁止與其交易和合作( 參見中國外交部官網,https://www.mfa.gov.cn/web/wjdt_674879/fyrbt_674889/202312/t20231226_11213135.shtml。)。可見,對外國情報公司的反制在我國已有先例,在追究境外實體和個人法律責任面臨執行方面的障礙時,我國也可以通過反制和出口管制等措施,對于他國的網絡間諜行為予以回擊。
On the Regulation of Cyber Espionage in Cross-Border Data Flows
——From the Perspective of Cross-Border Data Flows Cooperation Between European Union and the United States
Liu Ying,He Siyao
(Sun Yat-sen University,Guangzhou 510275,China)
Abstract:The two failures in cross-border data flows cooperation between European Union and the United States were based on the EU’s concerns about the new type of cyber espionage in the United States. However, international law lacks effective regulation of cyber espionage, and EU law also faces reasoning dilemmas and many criticisms when dealing with cyber espionage issues. The problem of overseas intelligence agencies obtaining data from overseas enterprises revealed by the two failed cross-border data flows cooperation in EU and the United States has a warning effect on our country. China also faces some problems, including the law fails to clearly restrict the behavior of overseas agencies in accessing data from overseas enterprises; the threshold for pursuing the legal responsibility of foreign agencies is relatively high; and the pursuit of legal liability of overseas entities faces obstacles such as enforcement and state immunity. At the level of international law, China may consider restricting intelligence agencies’ access to information in international treaties, promoting our data classification and grading protection method in international negotiations, while paying special attention to the protection of national security data, and gradually promoting the application of international law in regulating cyber espionage. At the legal level of domestic law, China can clearly regulate the new type of cyber espionage through legislation, rationally interpret national security in judicial practice, and adopt export control and counter-sanctions measures to punish cyber espionage.
Key words:cross-border data flow;cyber espionage regulation;data protection[責任編校 張家鹿]
