跨境數據流動中的管轄權沖突及其協調
2024-05-23 08:31:36袁康趙宛如
重慶郵電大學學報·社會科學版 2024年2期
袁康 趙宛如
收稿日期:2023 04 13
基金項目:教育部哲學社會科學重大攻關項目:科學構建數據治理體系研究(21JZD036)
作者簡介:
袁康,副教授,法學博士,碩士生導師,武漢大學網絡治理研究院副院長,主要從事經濟法、金融法和網絡法研究,Email:yuankang@whu.edu.cn。
摘要:
在數字經濟時代,為了實現跨境數據流動中的國家利益,各國借助數據立法單方擴張本國的域外管轄范圍,因此司法管轄權與執法管轄權的行使面臨與他國管轄權沖突的危險。云計算技術的不斷發展,數據與領土連接的弱化,沖擊了傳統管轄權理論在數據領域的直接適用。據此,可以依據國家管轄權的具體權能,從立法、司法和執法三個角度對數據流動中出現的管轄權沖突進行討論。首先,數據立法模式上,數據全球化與數據本地化的分歧暗含著管轄權全面積極沖突的危險;其次,數據域外法權制約共識的松動與國家數據管轄能力的天然差異,決定了國際禮讓原則與不方便法院原則在數據管轄權沖突協調上的局限性;最后,在數據跨境執法問題上,數據流動導致的域內與域外界分困難造成了公約機制的適用困境,各國執法管轄權開始突破傳統的域外行使規則,數據執法管轄權出現“長臂化”傾向。盡管目前已經出現了相關的學說以及國際實踐,但這部分內容對數據流動中出現的管轄權沖突問題,并未進行全然回應或提出具體協調路徑。因此,還需要充分顧及跨境數據流動本身的特性以進行調整,限制數據域外立法范圍,并據此在堅持屬地最高原則的基礎上重塑數據屬地管轄規則,同時推動各國積極構建跨境數據調取機制,為管轄權沖突提出有效的協調路徑。
關鍵詞:跨境數據流動;數據管轄權;管轄權沖突;域外管轄
中圖分類號:D915;D997
文獻標識碼:A
文章編號:16738268(2024)02006611
一、引言
近年來,伴隨數字經濟的發展與大數據技術的進步,跨境數據流動日趨頻繁,數據的管轄權問題逐步顯現。數據的跨境流動過程涉及多個數據主體及地區,與不同法域之間產生聯結,使同一數據面臨多重管轄的情形。理論界對于跨境流動中的數據管轄規則也已作出一些探討,主要圍繞如何界定國家數據管轄邊界展開,并提出“領土內可訪問性”標準[1]92、“數據國籍”[2]2等方法。上述研究成果為跨境流動中的數據管轄權問題研究打下了一定基礎,有利于數據管轄權的確定和合法性標準的認定,但并未觸及管轄權沖突的協調問題,故有待進一步研究明確。數據管轄權的行使依據缺乏基本的國際共識,各國之間的數據管轄權沖突缺乏協調機制,導致各國間本就難以消解的數據規則之間的矛盾隨著數據的跨境流動變得越發激烈和突出。由于主權國家行使管轄權的權能及范圍建立在國際法的基礎上,這種權力沖突也只能依托國際法來解決。本文以跨境數據流動中出現的國家管轄權沖突現象為分析對象,深入探討管轄權沖突出現的成因及其內在邏輯,并對管轄權沖突的協調路徑進行歸納,希冀構建適用于跨境數據流動背景下的管轄權沖突協調機制。
二、跨境數據流動中的管轄權沖突
在新一輪數字全球化背景下,全球范圍內的數據量呈現指數級增長,數據產品及服務成為主要的國際貿易輸出產品;跨境數據流動不僅超越以商品、服務、資本、貿易、投資為代表的傳統形態,更是成為數字經濟背景下的新經濟形態而發揮獨立作用,成為經濟發展的增長引擎。因此,對于國家而言,跨境移動、存儲和處理數據的能力已然成為現代經濟背景下國家實力的體現。
(一)跨境數據流動的界定
在跨境數據流動的背景下討論數據管轄權沖突,難以回避的問題是跨境數據流動的“跨境”問題。物理國境已在網絡空間被弱化,該如何認定數據何時進行了跨境流動以及以何種邊界作為出境流動標準呢?
早在1980年,在經濟合作與發展組織(Organization for Economic Cooperation and Development,OECD)發布的《關于隱私保護與個人數據跨境流動的指南》中,跨境數據流動的概念就被界定為“個人數據跨境流動”,即跨越國境的個人數據移動;后來,聯合國跨國公司中心將其界定為“跨越國界對機器可讀的數據進行處理、存儲和讀取等活動”[3]。由此可見,早期的跨境流動認定標準主要指在地理上的轉移,并在數據流動主體及流動行為方面形成普遍共識。而后隨著互聯網、云計算技術的發展,跨境數據流動變得更加頻繁;隨之有學者提出,應當將法域的轉移作為跨境標準,并提出跨境數據流動面臨的主要問題在于數據流出國與數據流入國之間對于數據保護和數據跨境監管的法律沖突與調和[3]。
目前,在國際立法實踐中,主要形成兩種不同的標準。其一,依據物理國界認定數據是否進行跨境流動。新加坡2012年《個人數據保護法》規定,“將數據轉移至新加坡之外的國家和地區”即視為數據跨境。《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)為行文簡潔,以下涉及我國法律文本名稱時,均將“中華人民共和國”省略。第37條也規定了“在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲”。同時,《網絡行動國際法——塔林手冊2.0版》(以下簡稱《塔林手冊2.0版》)也涉及數據跨境的認定,其中將數據視為網絡活動的產物,提出一國對境內的網絡基礎設施以及網絡活動享有主權,可依據網絡主權原則對網絡實施管控,進行限制。可見“其境內”的認定標準就是物理意義上的國家領土范圍。其二,將數據控制權轉移至域外主體作為判斷標準。由此派生出“實控說”,即數據只要被境外主體“實際控制”,則認為數據實現了出境和跨境流動[2]4。歐盟的《通用數據保護條例》(General Data Protection Regulation,GDPR)第五章就數據出境的標準,進行了混合適用,即數據轉移至“第三國”與“控制者和處理者”的兩種認定標準。對此,可以認為對于數據跨境標準的適用分歧所造成的國家管轄權邊界的模糊,是跨境數據流動面臨管轄權沖突問題的伊始。
(二)跨境數據流動中涉及的管轄權爭議
在國際法上,管轄權問題中一個關鍵內容是如何在國家之間有效地分配管轄權。就跨境數據流動領域來看,管轄權的核心在于哪個國家對流動中的數據擁有充分且有效的實際控制權。
在常態化的跨境數據流動中,國家對于數據的管轄權,受到數據“非領土性”的挑戰。從既有實踐來看,一方面數據由字節組成,可以隨時跨境移動、復制并分布存儲在多個法域內而不影響領土內的訪問[4];另一方面,云計算的發展促使數據被逐步轉移至云端,云服務商可選擇將數據存儲于全球各地的離岸數據中心,并在多個司法轄區進行處理,對于數據的控制由政府向云服務商過渡[5]296。此外,為保障數據訪問的穩定性,云服務商通常將存儲在云端的數據復制并保存在多個位置,以確保用戶可以在服務器出現故障時繼續從備份位置訪問,于是數據復制備份的便利性和快速性催生了多國多站點存儲的指數級增長[6]368。由此可見,數據所具有的非排他性與非競爭性意味著,數據能被不同主體同時使用,并且主體數量的變化并不會對數據的效用產生影響[7]。
因此,數據的“非領土性”削弱了數據位置的穩定性,而傳統國家管轄權理論以物體在領土內具有穩定且可識別的位置為關鍵前提[5]305。但是,對于跨境流動中的數據而言,數據與領土連接的標準失靈,國家管轄權行使依據被其他關系所取代。數據的“非領土性”決定了適用規則的任意性,數據流動過程中途經的任意國家都可以對數據主張管轄權,從而造成多重管轄權的重疊。
在多重管轄權重疊的情形下,云計算服務商將會在對比各國不同的立法政策以后,通過數據轉移來逃避主權國家對數據保護的國內立法規制,進而影響一國的數據安全。而各主權國家為了應對這一情形,則會以數據主權為由對數據基礎設施的選址施加法律限制,通過數據基礎設施的本地化要求將流動數據納入本國的領土管轄范圍,以實現對數據的實際控制。由此可見,針對跨境流動的數據,各國之間管轄權的行使邊界并不清晰,西方國家單方擴張的長臂管轄權加劇了國家間的不信任,進一步刺激各國的“跟風立法”,進而間接造成了管轄權沖突的泛濫。
三、跨境數據流動中管轄權沖突的體現
對于跨境數據流動中的管轄權沖突,可以主要從國家管轄權的消極沖突和積極沖突這兩個方面來理解。國家管轄權的消極沖突體現為潛在的管轄權沖突,意味著一國依據國際法所認可的管轄權原理對網絡空間進行了法律規制,而其他受影響國家并未采取任何對應的法律調整措施;管轄權的積極沖突則體現為直接的管轄權沖突,即各國依據國際法所認可的不同管轄權原理對同一網絡行為實行規制而產生的沖突形態。無論哪種沖突形態,都會造成國家無法有效確立管轄權、即法律無法有效適用的情形[6]379。
(一)數據立法模式的差異
基于數據跨境流動的特性,各國選擇了不同的立法模式來確定本國的數據管轄權。數據立法模式差異將各國引向了數據本地化模式與數據全球化模式之間的對峙。
數據本地化立法模式試圖盡可能地將所有數據掌握在國家領土之內或領土管轄范圍內,從而依據屬地原則實現對數據的有效管轄。歐盟數據立法正是通過將法律嚴格適用于域內數據收集和處理的行為,對域內數據打上鮮明的歐盟數據標簽或國籍烙印,來尋求持續且無限制的保護[8]。首先,明確域內數據認定標準。GDPR規定,只要數據收集處理行為或主體位于歐盟域內,則可適用本法。以營業機構所在地在歐盟域內作為連結點,GDPR第3條(1)款規定“本條例適用于在歐盟內部設立的數據控制者或處理者的活動范圍中對個人數據的處理,不論其實際數據處理行為是否在歐盟內進行”。而當營業機構不在歐盟域內時,則以數據主體在歐盟域內作為連結點,GDPR第3條(2)款規定“本條例適用于如下相關活動中的個人數據處理,即使數據控制者或處理者在歐盟內沒有據點:(a)為歐盟內的數據主體提供商品或服務——不論此項商品或服務是否要求數據主體支付對價;或(b)對發生在歐盟范圍內的數據主體的活動進行監控”。其次,將域內數據賦予歐盟國籍,以保護個人數據為目的而提高數據出境門檻。歐盟要求數據控制者在進行歐盟數據域外移送以及二次移送時,受到GDPR的法律制約[9]。GDPR第44條規定:“對于正在處理或計劃進行處理的個人數據,將其轉移到第三國或國際組織,包括將個人數據從第三國或國際組織轉移到另一第三國或另一國際組織,控制者和處理者只有滿足本條例的其他條款,以及滿足本章規定的條件才能進行轉移。”由此可見,歐盟數據立法將領土原則和屬人原則加以新形態的建構,立足域內層面強化對數據的實效保護,具有鮮明的本地化立法特征。
數據全球化立法模式將企業作為中介機構,將本國企業控制下的全球數據納入管轄范圍,從而依據屬人原則來實現有效管轄。為應對歐盟立法對美國全球數據獲取能力的制約,美國在立法中對本國云服務商設立全球數據披露義務,借助其中間人地位來實現美國執法機構對于域外數據的直接管轄[10]。美國政府出臺的《澄清境外數據合法使用法案》(Clarifying Lawful Overseas Use of Data Act)也稱“CLOUD法案”,其明確規定云服務提供商必須根據合法程序披露其擁有、保管或控制的所有數據,無論數據位于何處[11]。這一規定明確了數據控制者對海外數據的強制披露義務,使得美國可以通過對數據控制者的管轄權將域外數據納入屬人管轄的范疇。盡管這一域外立法管轄權建立在數據控制者的屬人連接基礎之上,并未完全擴張至與美國毫無關系的域外數據,但美國云服務商控制著全球絕大部分的數據流動。因此不難看出,美國在立法上有意利用這一特征,將其在全球互聯網行業的市場份額轉化為國內的數據管轄權,從而實現全球數據監管[12]147。
數據本地化立法立足于領土原則而具有穩定的管轄權基礎,能夠抵御域外國家的立法管轄權挑戰,多數國家采用這一立法手段來確保對本國數據的立法管轄權。因此,一般情況下,各國會選擇相互容忍彼此的本地化主張,除非出現需要通過積極對抗才能保障重大利益的情形,才會出現立法管轄權的直接沖突。而數據全球化立法則放棄對于本地化的容忍態度,對云服務企業數據存儲和披露的全球化要求,暗含了與本地化立法全面積極沖突的危險[13]824。
(二)數據域外法權制約共識的松動
回顧域外法權與數據的結合伊始,早期數據作為確立域外司法管轄權所依據的連接點,其服務的主要對象依舊是數據背后的實體權益[14]。而后隨著數據價值的發掘,數據逐漸成為立法保護的權利和管轄權直接針對的對象,數據常態化的跨境流動推動各國探求更加廣泛的域外法權,促使司法管轄權的域外行使走向不同以往的“長臂管轄權”模式。長臂管轄權將效果原則置于較領土原則與國籍原則更為優先的地位,屬于在他國領土之上行使司法管轄權,對他國主權構成嚴重威脅[13]832。但在國際法基本原則中,每個國家都有義務在持有外國因素的情況下保持溫和和克制,以避免不當侵犯其他國家的管轄權,因此,一般情形下適用國際禮讓原則與不方便法院原則來約束各國行使域外管轄權[15]。
依據國際禮讓原則,出于對外國主權的尊重,國家行使域外管轄權時有義務考慮到所有受影響的主權國家的公共利益,并積極平衡各國之間的競爭性利益,以應對可能產生的利益沖突[16]。然而,在數據流動的司法實踐中,各國之間很難為了更大互惠利益而實現相互克制的實際合作[12]149。原因在于,國家數據管轄能力以數據技術發展水平為基礎,而目前數據市場的寡頭壟斷現狀導致小部分云運營商控制了絕大部分的國際數據處理與流動。這一現象意味著各國在數據管轄能力上存在天然差異,因此發達國家單方即可通過管轄權的擴張行使來實現自身目的,無需考慮與發展中國家通過實際合作來實現更大的互惠利益。此外,禮讓原則多通過國內法院的裁判實現,且適用于雙邊環境下的數據訴訟。而在數據跨境流動中,司法合作由雙邊環境轉向多邊環境。法院作為實行主體,缺乏與域外司法機關的溝通渠道,難以識別具體的克制行為,且各國之間對數據公共利益的多樣化主張更是加劇了適用困難[12]156。如果說禮讓原則是法院積極選擇法律以主動平衡沖突,那么不方便法院原則則站在消極的角度,允許具有管轄權的法院在有更適合的訴訟法院出現的情況下暫停或駁回起訴[17]。《海牙管轄權和判決公約》(Convention on the Recognition and Enforcement of Foreign Judgments in Civil or Commercial Matters)第22條指出:“當存在另一國法院擁有管轄權且更適合解決爭端的情況下,法院可以在顯著不適合行使管轄權時依當事人申請暫停訴訟。”因此,在國家行使域外司法管轄權時,面臨本地法院更適合解決爭端的情況下,應當將本地法院的管轄權置于優先順位。由于跨境數據流動中涉及連接點眾多,在技術特征上各區域數據混同,故而難以判定到底哪國更適合解決爭端,從而造成法律適用的模糊。由此可見,在數據跨境流動的沖擊下,傳統國際禮讓原則與不方便法院原則對國家域外管轄權的制約共識開始出現松動,長臂管轄權的行使隨著全球流動的數據逐漸蔓延。
隨著近年來在數據流動領域的司法實踐中傳統制約共識的松動,美國應用長臂管轄權肆意拓展本國管轄范圍的現象更加突出。以美國益華電腦公司訴新拓尼克(北京)科技研發中心公司(CADENCE DESIGN SYSTEMS, INC. v. SYNTRONIC AB, et al) 為例根據美國《聯邦民事訴訟程序規則》,證據開示的范圍非常廣泛,幾乎涉及所有與案情有關的問題。一方當事人可以通過證據開示程序強迫訴訟對方當事人、甚至第三方提交與訴訟相關的文件和信息。對于上述規則下的披露義務,中方當事人目前以我國法律中的數據出境規則(《個人信息保護法》第39條、第41條以及《數據安全法》第36條)進行了抗辯。,本案中北加州地方法院認為我國的《個人信息保護法》第39條的跨境個人信息提供義務的履行,并不能阻卻美國訴訟法下的證據開示義務;同時,北加州地方法院拒絕將第13條的法律義務限制為我國法律下的義務參見CADENCE DESIGN SYSTEMS,INC.v. SYNTRONIC AB, et al,U.S 137(2022)。該案中對于《個人信息保護法》第13條第3項中“法定義務”,法官解釋為適用于所有“法律規定的義務”,而不僅僅是法定義務。至關重要的是,他還將例外解釋為適用于外國法律義務,而不僅僅是我國的法律義務。。可見,雖然我國《個人信息保護法》第39條要求經過員工個人同意才能將他們的信息轉移到我國境外,以及《數據安全法》第36條禁止“未經中華人民共和國主管部門批準,將存儲在中華人民共和國境內的數據轉交給外國司法或執法機構”,但是美國法院依舊拒絕限制證據開示請求以尊重我國的阻斷法規,堅持將本國的法律適用凌駕于他國之上,并未依據國際禮讓原則來平衡可能涉及的他國利益,這不僅挑戰了我國的數據司法管轄權,而且也是對國際法上長臂管轄權制約共識的背反。
(三)數據執法管轄權“長臂化”
《網絡犯罪公約》云證據工作小組(Cloud Evidence Group)提出“數據的流動性和不穩定性挑戰了通過領土定義的執法管轄權”,其流動性為“域內”與“域外”的區分帶來一定的難度[18]。因此,跨境數據流動天然地對傳統執法管轄權行使規則提出了挑戰,主要體現在單方跨境數據調取上:一方面數據調取國希望單方直接調取域外數據以繞開數據存儲地國管轄;另一方面,數據存儲地國基于屬地管轄,出于維護數據主權以及數據安全等目的,嚴格限制本國數據的出境流動,由此便產生了單邊域外數據調取的管轄權沖突[19]。此外,由于執法管轄權的域外行使往往基于公約機制而展開,而數據流動導致的域內界分困境又造成公約機制的適用困難,因此,各國執法管轄權開始突破傳統的域外行使規則,并尋求域內執法機構的全球執法,開始出現數據執法管轄權的“長臂化”傾向。
當前美歐的數據立法中體現的擴張性域外數據執法管轄權已然成為國際新趨勢,而執法管轄權所獨具的懲罰性和強制性,意味著任意進行的域外執法必然造成對他國主權的威脅。借助CLOUD法案,美國一方面通過明確網絡運營商的數據披露義務,確保能夠獲取存儲在其全球數據中心的公民個人數據;另一方面,賦予屬人原則在管轄權沖突適用規則中更優先的順位,授權美國執法部門在云計算技術的背景下通過服務提供者獲取域外數據[20]。此外,在
“適格外國政府”
同美國達成執行協議的基礎上,美國還賦予其向美國境內組織直接調取數據的權力。因此不難看出,美國模式側重于對傳統司法互助協議的突破,因此對于行政主體的域外直接執法行為并未積極地予以跟進[21]189。因此,美國的全球數據獲取模式與GDPR中對于歐盟數據出境的限制,產生了就域外數據執法管轄權的新沖突。根據GDPR第48條規定,只有在基于國際協議(如司法互助條約)的情況下,才予以承認非歐盟國家法院發布的數據調取命令。鑒于沒有此類協議授權在歐盟運營的美國企業,依據美國法院發布的數據調取命令來傳輸歐盟持有的數據,因此履行數據披露義務的美國實體將觸犯歐盟關于個人數據保護的法律,造成執法管轄權的積極沖突。然而,美國借助云服務運營商控制全球數據的模式,同時可能造成執法管轄權的消極沖突。執法管轄權的消極沖突主要指在某些情況下,沒有任何一個國家有權調取其所尋求的數據。以谷歌為例,谷歌的云計算處理系統將數據分片并分包發送給世界各地的服務器存儲,這意味著只有在谷歌重建這些數據后才能進行識別,且唯一有權訪問這些用戶通訊數據的人員位于美國境內。由于谷歌數據處理過程的特殊性且能進行數據提取技術操作的人員位于美國境內,因此相關政府與谷歌控制的數據存儲地之間的司法互助條約將毫無用處。這意味著,即使是在調查嚴重的刑事犯罪時,也沒有任何國家具有確定的執法管轄權,進而能夠要求谷歌強制披露涉案相關數據[21]217。
四、跨境數據流動管轄權沖突協調的實踐與局限
目前,對于數據管轄權沖突協調問題,已經出現了相關的學者學說以及國際實踐。對于當下數據監管碎片化的局面,國際上多數經貿協定主要側重于協調各國之間的立法差異,支持跨境數據管轄以“貿易自由”為導向,促進跨境數據的完全自由流動。世界貿易組織(World Trade Organization,WTO)框架下的《多邊貿易協定》為在不同數據保護體系和跨境數據流動監管之間搭建橋梁提供了良好的起點,為各國在雙邊貿易協定中平衡數據立法主張的差異提供了談判的平臺。如今,由于WTO的談判停滯不前,多數成員國轉向雙邊、多邊區域貿易協定,以期達成“全面協議”從而進一步促進數據流動自由化。《全面與進步跨太平洋伙伴關系協定》(Comprehensive and Progressive Agreement for TransPacific Partnership,CPTPP)、《跨大西洋貿易與投資伙伴關系協定》(Transatlantic Trade and Investment Partnership,TTIP)等已經就跨境數據流動有關的數字貿易規則展開磋商。可見,當下涉及數據流動相關的數字經貿協定的關注重點在于降低數據流動壁壘,促進數據自由流動,均衡縮小數據差距,對于因流動所產生的管轄權沖突并未提出協調意見及思路。此外,對于各國企業間因數據流動產生的商事糾紛管轄權沖突,主要的爭議并非在于數據本身或其流動行為,而是回歸到各方主體間的合同關系與商事行為。因此,現有的司法管轄原則已然可以為此類沖突提供堅實基礎,對于立法管轄權及執法管轄權等涉及數據本身對傳統規則的挑戰,還須充分顧及跨境數據流動本身的特性加以調整,且提出可行的協調方案。
(一)《塔林手冊2.0版》:域外數據管轄權規則的學者學說
《塔林手冊2.0版》是在學者層面探究國際法適用于網絡空間的一次重要嘗試,其確立了一套在網絡空間行使國際管轄權的規則指引;對于數據管轄權問題,其編纂專家組認為,數據作為網絡活動的結果,當然地受制于屬地管轄權[1]95。
《塔林手冊2.0版》中有關數據管轄權的表述主要有三點。其一,明確數據作為國際管轄權的客體。雖然手冊并未明確數據為財產客體還是行為客體,但多次論及數據所在國對數據的屬地管轄權。其二,對于域外管轄,認為數據管轄權根本區別于國民網絡活動的管轄權。編纂專家組試圖明確區分針對國民網絡活動的屬地管轄權以及針對該國網民網絡活動所創建的數據的管轄權,并認為數據所在國對數據享有完全的屬地管轄權。其三,對于存儲在域外的數據執法管轄權,手冊否定了企業國籍國的單邊域外執行效力。對于一國國民或者企業存儲在域外的數據,該國并不因此而獲得對該數據實施單方執行措施的管轄權。但是,如果個人或企業位于該國,則該國可以對個人或企業本體行使執法管轄權。總之,《塔林手冊2.0版》肯定了數據的管轄權客體地位,并探究了數據管轄權行使的基本原則。
同時,《塔林手冊2.0版》針對數據管轄權沖突也提出了一些觀點。首先,針對數據立法管轄權,手冊認為各國可以基于普遍認可的國際法依據而享有平行的立法管轄權。對于此種并存的立法管轄權的交叉可能導致的法律沖突,則采用屬地優先原則,援用管轄權行使的合理性原則以及國際禮讓原則。其次,就執法管轄權問題,手冊則主要討論了關于域外數據獲取的管轄權沖突,并依據不同的情形區分了域內執法管轄權和域外執法管轄權。其一,對于可在域內公開訪問的電子數據,有專家認為,基于這類數據在境外國家的公開事實,一國在這種情形下可行使域內執法管轄權。其二,對于可被獲取的非公開數據,則依據可訪問性標準,即只要數據能從境內訪問獲取,則行使域內執法管轄權,而不論數據是否為加密數據或受保護數據。其三,對于執法機關通過域外私人托管服務商獲取域外數據的情形,部分專家認為構成域外執法管轄權的行使,因為該私人服務商不承擔提供數據的法律義務,且其持有的數據并非公開數據,因此應當通過司法協助程序來尋求享有管轄權國家的同意[1]97。此外,還有部分專家認為,僅向私人實體提出的數據調取請求并未達到干涉他國行使域內管轄權的程度,因此并不構成域外管轄權的行使,而應當認定為行使域內管轄權。
總之,雖然《塔林手冊2.0版》有針對性地探討了數據的國際管轄權規則,并提出了管轄權沖突的協調觀點,但是其最終成果屬于《國際法院規約》第38條(b)項中所指向的學者學說,既不代表任何國家和國際組織,也不具備任何國際法上的約束力,其影響力完全取決于學者學說所具有的說服力和權威性,并在國際法上被認定為“確定法律原則之輔助資料”[22]。因此,對于跨境數據流動中出現的管轄權沖突,《塔林手冊2.0版》只能作為填補現有規則空白的“軟法”一般認為,國際法上的“軟法”包括由國家締結但僅規定“軟義務”的國際條約、政府間國際組織通過的決議和守則,以及由非政府力量制定的示范法、商業慣例和行業標準等。[23]來發揮規則指引作用,而不能在事實上提供具有國際法效力的協調方案。
(二)《網絡犯罪公約》:域外數據執法管轄權行使的國際協定
《網絡犯罪公約》(Cybercrime Convention)是打擊網絡犯罪的第一個國際公約,其主要目標是在締約方之間建立打擊網絡犯罪的共同的刑事政策、一致的法律體系和國際協助[24]。其中關于跨國犯罪域外證據調取的內容,就涉及有關域外數據執法管轄權的行使以及沖突協調。
《網絡犯罪公約》堅持以數據存儲地模式為基礎,即以數據存儲地位置確定國家管轄范圍,并在刑事取證制度上不對其作特殊安排,是傳統的屬地原則在數據調取領域的延續。該公約第18條第1款規定的“提供令(Production order)”制度規定,各締約方應調整必要的國內法或者規定,授權其有權機關可以命令國內的個人提交其持有或者控制的特定計算機數據,以及要求國內的服務者提供其持有或者在其控制范圍內的用戶數據;但無論何種情形,提供令所涉及的目標數據都應當“在發出提供令的締約國境內”[25]。在數據存儲地模式下,域外數據調取原則上需要通過傳統的司法協助程序進行。隨著技術的發展,嚴格的數據存儲地模式已經無法適應數字時代背景下的跨境數據調取需求。因此,為了緩解這一困境并有效提升數據調取的效率,《網絡犯罪公約》第32條有針對性地作出了兩種無需告知數據存儲國的單邊調取的規定。其中a款規定,締約國執法部門可以“提取公眾能夠獲得的存儲于計算機中的數據,而不論數據的具體位置位于何處”。由于這類數據可以在執法國的域內公開獲得,所以在一定程度上被認為是行使域內管轄權的表現。在b款中規定的另外一種情形則是,“通過一方境內的計算機系統提取、接受存儲于另一方境內的計算機系統中的數據,前提是相應行為獲得了擁有法定權限而通過計算機系統向取證方披露數據的個體的合法且自愿的同意”。針對這一特殊情形,網絡犯罪公約委員會于2014年發布的《跨境電子數據取證指引注釋(第32條)》中特別強調,第32條第b款規定的單邊數據調取情形,在性質上屬于領土管轄原則的特殊適用[26]。
由此可見,《網絡犯罪公約》所涉及的數據調取相關規定,實質上是適用于普通實物的傳統司法協助程序在數據領域的延續,其中的例外規定也并未完全回應出現在數據流動過程中的數據調取相關問題,因此對于數據跨境流動中的域外數據調取的執法管轄權問題存在適用困境。首先,數據存儲地模式不適用于流動數據。相較于存儲在固定司法轄區內的靜態數據,跨境流動中的數據在調取前很難預測其流向,因此難以判斷具體的司法轄區,無法依據這一原則確定其管轄權歸屬。其次,數據存儲地模式不適用于位置不明的數據。云計算的發展促使數據被逐步轉移至云端,云服務商可選擇將數據存儲于全球各地的離岸數據中心,并在多個司法轄區進行處理,數據位置難以辨明。再次,數據存儲地模式效率低下。隨著數據跨境流動的常態化,依據數據存儲地模式采用司法協助程序調取域外數據,程序冗雜時間過長,難以滿足各國的數據調取需求。最后,即便是為了適用技術發展而有針對性地作出的例外規定,也面臨著數據主權相關的爭議。根據國際電信聯盟對《網絡犯罪公約》第32條的闡釋,締約國簽署該公約的行為實際上是放棄部分國家主權,以換取國家間更加高效的跨境數據調取體系,從而允許其他國家實施影響其領土主權完整的調查行為[27]。
五、數據跨境中管轄權沖突協調機制的優化
跨境數據流動的常態化發展,對傳統管轄權協調規則提出了新的需求與挑戰。因此,在總結現有實踐經驗的基礎上,圍繞數據管轄權的立法、司法以及執法三項權能,提出進一步的優化機制,可以更加適應數據流動中管轄權沖突的特征,推動國家利益的平衡。
(一)限定數據域外立法管轄范圍
聯合國國際法委員會表示,最新的技術發展和世界經濟全球化限制了國家完全依靠傳統管轄權原則保護本國利益的能力,導致域外管轄權相關法律在某些方面的分歧和不穩定程度上升[28]。在數據跨境流動的管轄權問題上,可以通過引入新的協調路徑以更好地協調各國之間的域外立法管轄權沖突。“彈性禁止說”又稱為“弱化的禁止說”[28],該路徑考慮到域外立法管轄權和習慣國際法的特點,以“法無授權即禁止”為基礎,設立彈性標準,依據流動中的數據與國家之間的“真實聯系”,來授予主權國家對于數據的域外立法管轄權;同時,引入國際法限制性原則來規范域外立法管轄權的行使。
首先,通過真實聯系原則,建立域外數據立法的管轄權基礎。真實聯系原則要求域外立法與受立法管制的實體或事項之間具有實質的、真實的聯系[29]。因此,確定數據與主權國家之間的真實聯系需要探究兩個要素。其一,數據必須與立法國之間有聯系,聯系必須是直接客觀且已經存在的。立法國必須有切實的證據,證明數據流動行為切實地影響到了本國社會秩序和經濟利益。此外,間接的、非故意的效果也無法證實真實聯系。當數據處理者對數據來源地國的數據進行多次的顆粒度處理,并達到難以識別個人信息的程度,則數據的二次轉移以及后續的多次轉移行為無法被認定與數據來源國之間具有真實聯系。其二,聯系必須是真實的。真實首先體現在質的方面,即聯系必須是實質性的,而非形式上的[30]。對于流動中的數據,必須以數據來源、數據性質、數據控制者或數據主體的社會聯系以及數據流動目的等為基礎,來判斷數據與立法國之間確實具有實質性的聯系。其三,對于量的方面,聯系必須是長期的、持續的。對于數據在流動過程中,如果偶發性地在某國境內的數據基礎設施中進行中轉,那么當數據離境后,該國并不因此而具有對該數據的立法管轄權。其四,由于同一數據可能涉及多個國家利益,或國際社會的共同利益,因此,國際法允許對同一事項存在多個國家平行的立法管轄權,對于真實聯系的判定并不需要判定各國與同一數據的緊密聯系程度,而是認定只要存在真實聯系即可認為立法國存在立法管轄權基礎。
其次,通過適度性原則,限制數據立法權的濫用,維護國家利益平衡。適度性原則也稱為比例原則,指用較為客觀的評價方法衡量手段對實現目的的適度性,要求用對其他國家影響最小的方式來達到立法目的,實現國家間利益的平衡[31]。因此,對于跨境數據流動中的域外立法管轄權的限制,應當考慮以下因素。其一,域外數據立法時都以保護重要的合法利益為目的,例如保護該國的憲法制度,保護國防和國家安全、社會和國家利益;又或是保護公民的個人數據安全以及重要的社會秩序等。在國際法上,保護性管轄允許國家為保護國家核心利益而規制外國人在外國領土上的行為。其二,域外立法是否可以保證或促進立法目的的實現。如果通過數據域外立法能夠有效地達到立法目的,則認為這一管轄權的行使是適當的。其三,是否存在其他更溫和的措施以實現相同的立法目的。數據域外立法必然是對他國主權的威脅,當存在其他的國際法途徑能夠達到同樣的立法目的時,國家則不能強行規定本國法的域外效力[32]。
(二)重塑數據屬地管轄規則
司法管轄權沖突的實質在于,在認可了“真實聯系原則”下各國平行的域外立法管轄權后,各國必然面對針對同一數據的多重管轄問題。相互重疊的主權之間是平等的,不存在最高的主權位次,且目前國際法框架中并不存在進行統一立法的可能性。因此,對于跨境數據流動管轄權的確定,應該結合特定事項,依據最密切聯系原則確定司法管轄權的歸屬以及法律適用的優先順位。最密切聯系原則又稱最強聯系原則,是指在處理涉外法律關系或案件時,全面權衡法律關系的有關聯結因素,通過分析判斷出與該法律關系最直接、最本質和最真實的聯系的法律加以適用[33]。
首先,明確國家對境內的一切與數據流動相關的行為主體及相應的基礎設施享有屬地最高權。在國際法中,屬地管轄意指國家對本國領土內一切人和事享有管轄權。而在數據跨境流動中,基于數據流動特性,國家屬地管轄權受到一定限制,其限制主要體現在對于數據本身的主權之上。具體而言,網絡行為發生地與網絡行為產生數據的存儲地之間,數據存儲地與數據訪問地、數據處理地之間,皆具備不相關性。若是將數據作為管轄權的連接主體,則缺乏基礎架構支撐且連接范圍過大而具有不穩定性。因此,有必要基于行為主體來進行轄區的劃分,同時國家對于跨境流動中的數據管轄必然會涉及境外數據,需要各國之間就此進行合作與妥協,以國家對境內進行數據流動相關行為主體的屬地管轄權優先為基礎,構建新的司法管轄制度。其次,符合最密切聯系原則的域外管轄優位于針對域外本國國民的國籍管轄。在明確了國家對境內的一切數據流動相關行為主體享有屬地最高管轄權之后,對于域外的數據控制者和數據處理者管轄權的確定,符合與數據之間具有最密切聯系國家的管轄權必然優先于數據處理者和控制者的國籍管轄。認定存在最密切聯系的考量因素包括:數據控制者或數據處理者實體在其境內設有機構,且在該國存在大量用戶或存在一項以上針對該國的數據活動等。此外,還可以要求判斷一國境內的用戶是否能夠訪問以及獲取該數據控制者或處理者所提供的數據。在綜合各類考量因素后,采取一定的分析方法,比較數據流動過程中所包含的因素,最終可找出與數據流動行為具有最密切聯系的法律,并予以適用。
(三)構建數據跨境執法管轄體系
面臨目前數據域外執法的“長臂化”傾向,以及域外數據調取的國際規則缺位的現狀,各國應當積極參與構建數據跨境執法體系,以協調在數據流動中出現的管轄權沖突。
首先,構建數據執法的多、雙邊機制,提高數據域外立法的可執行性。在多邊機制方面,應回歸國際軟法。在國際數據跨境執法管轄權問題上,不存在真正的國際立法。因此,相比具有法律效力的國際條約或協議,國際軟法不由國家強制力保證實施,但其彈性較大,能夠更好地協調多方利益,實現數據執法目的。可以考慮加強各國數據執法部門之間的聯系,依據不同的執法目的構建相應的執法規制。以數據隱私保護為例,目前全球已經出現了一系列的制度安排以促進數據保護機構之間的執法合作。2021年亞太經濟合作組織(AsiaPacific Economic Cooperation)構建的“跨境隱私規則”,由隱私執法機構、問責代理機構和企業三方參與,問責代理機構和隱私執法機構可以對違法企業采取糾正和處罰措施[34]。在雙邊機制上,增強可執行效力,補充多邊機制的不足。相較于多邊機制,雙邊機制締約雙方之間所面臨的利益分歧更小,更容易協調因利益問題而產生的管轄沖突。其一,明晰雙方執法權限,將提供協助作為協議義務。限定雙方在對方領域內的執法內容,明確聯合開展執法合作的方式,包括但不限于提供數據、協助調查、移交設施等。其二,以比例原則界定雙方域外管轄權的行使邊界。雙方應當在采取措施之前,依據比例原則判定執法措施與違法處理行為是否相匹配,是否具有域外執法的必要性。
其次,完善數據域外調取機制,在堅持數據主權原則的基礎上提高數據調取效率。原則上堅持數據存儲地模式,尊重他國數據主權。第一,嚴格限制各國通過單邊立法確定的域外數據調取效力。對于存儲在他國境內的非公開數據,不論是否屬于本國數據控制者和處理者控制下的數據,都應當通過司法協助程序獲得數據存儲地國同意后進行調取。第二,允許在特殊情況下的單邊跨境數據調取行為。為了應對在數據跨境流動環境下數據存儲地模式的局限性,可以允許在特定情形下的單邊跨境數據調取行為。其一,在對等原則的基礎上,采取有限的數據控制者模式。本著相互尊重數據主權的原則,在面臨他國依據數據控者模式惡意管轄時,為了維護本國的數據主權,則可以相對應地采取數據控制者模式,通過數據控制者的國籍管轄來單邊調取位于其控制之下的數據。其二,在國內法授權的前提下,獲取存儲地不明數據。對于難以辨明存儲地的數據,可以依據國內立法來進行跨境調取。其三,提高司法協助程序的數據調取效率。為適應數據跨境的流動速度,對于需要快速回應和協助的數據調取需求,各國可以在沒有簽署司法協助條約的前提下,相互發送特定的“司法協助函”美國在查辦“絲路(silk road)”暗網黑市交易案中,在與冰島缺乏司法協助條約的前提下,向冰島政府發送了“司法協助函”,請求冰島政府允許美國對位于其境內的服務器進行在線的實時監控。,以請求對方及時回應和協助其需求[35]。此外,還可以考慮打造多邊數據共享平臺,推動在更大范圍內更高效的數據共享。
參考文獻:
[1]邁克爾·施密特.網絡行動國際法——塔林手冊2.0版[M].黃志雄,等譯.北京:社會科學文獻出版社,2017.
[2]周明.數據國籍概念的提出及證成[J/OL].北京航空航天大學學報(社會科學版),110[20240117].https://doi.org/10.13766/j.bhsk.10082204.2022.0464.
[3]張金平.跨境數據轉移的國際規制及我國法律的應對——兼評我國《網絡安全法》上的跨境數據轉移限制規則[J].政治與法律,2016(12):136154.
[4]KUSHWAHA N,ROGUSKI P,WATSON B W.Up in the air:Ensuring government data sovereignty in the cloud[C]//2020 12th International Conference on Cyber Conflict (CyCon).Estonia:IEEE,2020:4361.
[5]MAIER H G.Extraterritorial jurisdiction at a crossroads:An intersection between public and private international law[J].American Journal of International Law,1982(2).
[6]WOODS A K.Litigating data sovereignty[J].The Yale Law Journal,2018(2).
[7]蘇平,馬靜.數字經濟背景下數據產權的綜述研究[J].重慶郵電大學學報(社會科學版),2023(6):7279.
[8]杜沁怡.網絡治理中的管轄權擴張及對策——以GDPR域外適用為視角[J].國際關系與國際法學刊,2020(00):353365.
[9]DE FILLIPPI P,MCCARTHY S.Cloud computing:Centralization and data sovereignty[J].European Journal of Law and Technology,2012(2):121.
[10]IRION K.Government cloud computing and national data sovereignty[J].Policy & Internet,2012(3/4):4071.
[11]DASKAL J.Microsoft Ireland,the CLOUD Act,and International Law making 2.0[J].Stanford Law Review Online,2018,71:916.
[12]楊永紅.美國域外數據管轄權研究[J].法商研究,2022(2).
[13]GOLDSMITH J.Sovereign difference and sovereign deference on the internet[J].The Yale Law Journal Forum,2019(128):818826.
[14]邵懌.網絡數據長臂管轄權——從“最低限度聯系”標準到“全球共管”模式[J].法商研究,2021(6):77.
[15]NARAYANAN V.Harnessing the cloud:International law implications of cloudcomputing[J].Chicago Journal of International Law,2011(2):783809.
[16]PAUL ?J R.The transformation of international comity[J].Law & Contemporary Problems,2008(3):1938.
[17]COLANGELO A J.What is extraterritorial jurisdiction[J].Cornell Law Review,2013(6):13031352.
[18]邵懌.論域外數據執法管轄權的單方擴張[J].社會科學,2020(10):119129.
[19]陳東陽.論單邊跨境數據調取中的管轄權沖突[J].南大法學,2023(2):103117.
[20]KIRSCHENBAUM A.Beyond Microsoft:A legislative solution to the SCAs extraterritoriality problem[J].Forham Law Review,2017(4):19231962.
[21]DASKAL J.Borders and bits[J].Vanderbilt Law Review,2018(1).
[22]黃志雄. 網絡空間國際規則制定的新趨向——基于《塔林手冊2.0版》的考察[J].廈門大學學報(哲學社會科學版),2018(1):111.
[23]CHINKIN C M.The challenge of soft law:Development and change in international law[J].International & Comparative Law Quarterly,1989(4):850866.
[24]WEBER A M.The council of Europes convention on cybercrime[J].Berkeley Technology Law Journal,2003(1):425446.
[25]皮勇. 《網絡犯罪公約》中的證據調查制度與我國相關刑事程序法比較[J].中國法學,2003(4):146161.
[26]CLOUGH J.A world of difference:The Budapest convention on cybercrime and the challenges of harmonisation[J].Monash University Law Review,2014(3):698736.
[27]MARCO GERCHE.了解網絡犯罪:現象、挑戰及法律對策[R].瑞士:國際電信聯盟電信發展部門,2014:284.
[28]湯諍.域外立法管轄權的第三條路徑[J].當代法學,2022(3):140151.
[29]CRAWFORD J,BROWNLIE I.Brownlies principles of public international law[M].New York:Oxford University Press,2019:457459.
[30]LISSITZYN O J.Nottebohm Case (Liechtenstein v. Guatemala)[J].American Journal of International Law,1955(3):396403.
[31]韓秀麗.尋找WTO法中的比例原則[J].現代法學,2005(4):181190.
[32]張奕欣,王一楠,陳繼鑫,等.從數據跨境流動的域外規制看中國對策[J].重慶郵電大學學報(社會科學版),2022(2):5162.
[33]肖永平,任明艷.最密切聯系原則對傳統沖突規范的突破及“硬化”處理[J].河南司法警官職業學院學報,2003(3):1520.
[34]弓永欽,王健.APEC與歐盟個人數據跨境流動規則的研究[J].亞太經濟,2015(5):913.
[35]SWIRE P,HEMMINGS J D.Mutual legal assistance in an era of globalized communications:The analogy to the Visa Waiver Program[J].New York University Survey of American Law,2015,71:687800.
(編輯:刁勝先)
