对外投资中的数据法律责任及风险防范*
——基于我国主要投资目的地的法律分析
2019-01-26王锐
王 锐
(国家法官学院民商事审判教研部,北京 101100)
阿尔文·托夫勒在《第三次浪潮》中预言,21 世纪人类社会将迎来信息时代,信息将与物质和能量一起成为构成世界的三大要素。在信息技术与信息产业极大发展的今天,个人信息与数据保护问题逐渐引发全球关注。企业在经营过程中收集并存储了大量的用户个人数据,对于这些数据负有安全保障义务。数据问题,在任何国家均是社会普遍关注的问题,但不同国家的数据保护基础法律及标准不同,跨国投资经营的企业极易因缺乏经验而面临风险。
2019年2月28日,我国企业“字节跳动”海外收购的全球短视频应用Musical.ly(后与“字节跳动”下TikTok合并),与美国联邦贸易委员会(Federal Trade Commission,以下简称FTC)在一起针对其数据保护义务的调查中达成和解,为此支付了高达570万美元的罚金,系FTC迄今为止因儿童数据保护问题而开出的最大罚单;不但如此,此前为期三年的FTC执法调查已经导致了“字节跳动”北美商业化进程大为受阻,学费不可谓不昂贵。①无独有偶,2017年我国PC头部企业联想也曾因预装软件涉嫌访问收集用户敏感信息,遭遇FTC处罚。②
近年来,我国对外投资发展迅速,2017年中国对外投资存量居全球第二,仅次于美国。③对外投资方式创新显现,主要包括绿地投资、收购并购、联合投资、实物投资、股权置换、返程投资等形式,其中跨境并购依然是中国对外投资的主要手段。④欧洲与北美洲是2017年中国跨境并购的前两大目标地。⑤然而,与体量巨大的对外投资不相匹配的是,对外投资企业对可能承担的数据保护义务与数据法律责任认知不足,风险管控能力缺失,在全球已经有105个国家⑥确立自己的数据保护立法体系的背景下,数据保护意识淡薄的对外投资企业很可能如同“字节跳动”一般遭遇重大损失。由此,本文以下将结合我国主要投资目的地美国、欧盟、英国的立法、执法与司法情况,讨论我国企业在对外投资中所面对的数据法律义务内容及标准、数据法律责任形式及范围,并就我国对外投资企业如何防范数据法律风险提供建议。
一、主要投资目的地的企业数据法律义务
企业在运营过程中,不可避免地会涉及对用户个人数据的收集与处理,为此,我国主要投资目的地均通过立法、司法或执法明确企业在处理个人数据、为个人数据提供安全保障等方面的法律义务与责任。
(一)美国的企业数据法律义务
美国境内的个人数据保护主要通过成文法规定信息或数据法律义务与普通法保护隐私权双重路径共同实现。在具体职能方面,联邦与州立法、司法、执法机关均发挥了不可或缺的作用。
1.联邦层面的企业数据法律义务
在美国联邦层面,由于缺乏关于个人数据或隐私保护的一般性立法,传统的关于个人数据保护的规范分散在不同行业的法律法规之中;但总体而言,成立于1914年的FTC致力于保护消费者个人隐私信息与数据,在一定程度上弥合了分业立法、分业执法的缺陷,并在隐私保护领域发挥了普通法的替代作用。[1] P583-676FTC的主要授权来自《联邦贸易委员会法》⑦第5条,即“禁止市场中不正当或欺诈性的行为” (unfair or deceptive acts or practices);同时FTC还从《儿童在线隐私保护法》(Children On-line Privacy Act)《金融服务现代化法》(Financial Services Modernization Act of 1999)《公平信用报告法》(Fair Credit Reporting Act)《电话营销销售规则》(Telemarketing Sales Rule)《公平债务催收法》(Fair Debt Collection Practices Act)等多部部门法中获得执法授权。事实上,近年来,FTC在个人数据保护执法方面极为活跃,其执法调查与处罚行动覆盖了包括脸书、谷歌、亚马逊等美国本土企业与联想等境外企业。
FTC开始采取数据保护执法行动与1995年克林顿政府提出的建设国家信息基础设施方案遥相呼应,其理由在于,如果个人数据与信息无法得到合理保护,则会导致人们不愿使用国家信息基础设施,进而延宕产业与经济发展。[2]P87FTC的执法行动可以分为三个阶段,第一个阶段从上个世纪90年代起,FTC主要对企业做出的不符合其自行宣称的数据保护政策或隐私政策的行为进行监管执法,并认定这种行为系“欺骗性的”行为或经营方式。例如,当企业在隐私政策中宣称其在数据传输中采取某种加密技术,但事实上并未采取;或者在隐私政策中宣称其不会对外出售客户信息,但在破产中仍将客户信息作为破产财产变卖等。以上均构成引发FTC调查处罚的“欺骗性”行为。彼时执法案件几乎都以受调查对象与FTC和解的方式而告终。[1]P583-676第二个阶段,FTC的执法重点开始从“欺骗性”向“不公平”行为转变,从而将企业数据保护义务推向更高标准。依据《联邦贸易委员会法》第5条,那些“有可能给消费者带来严重损害;消费者自身无法合理避免;并且即便考虑到对消费者或竞争的利益,也不会出现利大于弊的情况”的行为或经营方式可认定为“不公平”。依据FTC执法实践,当企业试图改变其隐私政策且不通知用户或者对用户提出不合理要求的行为,就构成“不公平”的商业行为。例如,美国PC知名品牌Gateway公司原有隐私政策许诺不会对第三方出售客户数据信息,此后该公司修改其隐私政策,并要求不同意新隐私政策的用户需要明示选择反对,对此FTC认定构成“不公平”商业行为,因为这将对用户施加一种要求其时刻监督企业数据隐私政策并必须采取积极行动阻止其个人数据被出售的不合理的义务。这也是FTC对企业实质性改变其隐私政策的欺骗和不公平做法的首次执法。⑧再如FTC历史上对脸书的执法调查中,曾认定脸书未经警告用户就变更其原有数据隐私政策的行为,由于涉嫌曝光脸书几亿用户的个人信息而构成“不公平”。时任FTC主席Jon Leibowitz 就此案件明确表态:脸书的创新并非必然以牺牲消费者隐私为代价,FTC将以行动确保这一点。⑨近年来,亦即第三个阶段,FTC更是将执法行动深入到企业数据保护政策的实质内容,将企业设计了不合理数据保护政策的行为也认定为“不公平”。例如,某企业设计的应用程序默认设置为用户允许将其多种类型的全部文件上传至网络进行共享;如客户不同意共享某类文件则需要明确选定;如客户希望共享某类文件中的某一个文件,则需要选定该类文件后将不共享的文件一一选择不共享。FTC认定这一设置对用户隐私与数据保护构成“不公平”且具有“欺骗性”,违反了企业数据保护义务。⑩目前,FTC的五名委员均为特朗普总统于2018年提名任命(任期为七年),这就意味着未来一段时间内保守派将控制FTC这一强力联邦执法机构,并释放出向硅谷科技巨头等就数据保护问题施压的强烈信号。
相对于一般的数据保护义务,美国社会亦高度关注儿童数据保护与隐私问题。1998年美国国会通过了《儿童在线隐私保护法》,要求网络企业切实告知其网站的隐私权政策,并在收集13岁以下儿童个人信息前,必须在先获得儿童家长的同意。前述TikTok一案正是因为企业违反了这一义务要求而遭到FTC的执法调查。具体而言,执法机构FTC声称,由于TikTok要求用户提供电子邮件地址、电话号码、用户名、姓名、个人简介和头像等资料,并允许用户通过评论视频和发送直接信息与他人互动;于此同时TikTok设置中默认用户帐号公开,这意味着13岁以下儿童的个人数据可能被其他用户看到,从而违反了《儿童在线隐私保护法》。事实上,美国本土许多企业也曾经因违反该法而被认定为存在“欺骗性”商业行为或“不正当”竞争行为,进而遭受FTC处罚。
金融数据因与用户财产安全、系统性金融安全等问题密切相关,格外引发关注。美国国会于1999年通过《金融服务现代化法》,要求金融机构在对消费者提供贷款、投资建议或保险产品和服务时向客户解释其信息共享做法,并保护敏感数据。该法确立了金融数据保护的五项基本原则:通知原则、选择原则、安全原则、市场公开原则、执行原则。FTC则依据《金融服务现代化法》对金融机构进行隐私与数据安全执法,在FTC执法中,其对何为违反隐私安全的标准界定具有相当的自由裁量权,并导致FTC可以对调查对象的隐私政策及数据安全保障措施做出实质性评价。例如在FTC对 TaxSlayer的调查中,就构成处罚原因之一的密码问题,FTC即认为:TaxSlayer 未能实施足够的基于风险的身份验证措施, 没有向客户提供明确和明显的初步隐私通知, 也没有提供确保客户收到该通知的方式;于此同时该公司并不要求消费者选择强密码,这就让客户面临黑客可能通过猜测常用密码访问其纳税人账户的风险。这起案件也说明了密码保护的重要性,缺乏强密码保护和其他因素的叠加导致在2015年10月至2015年12月期间, 恶意黑客能够完全访问TaxSlayer税务账户,利用获取信息进行身份盗窃,通过提交虚假纳税申报单获得退税等。FTC通过介入对隐私及数据安全实质性的判断,部分替代了法院在这一领域的裁判功能,也是FTC执法进入前述第三阶段的典型体现。
值得关注的是,包括《儿童在线隐私保护法》《金融服务现代化法》在内的许多法律并未授予数据主体(用户)以自己身份提起民事诉讼的权利,而只能求助于执法机构进行执法处罚,或由执法机构提起诉讼。在FTC所展开的执法调查中,由于担心将案件拖入诉讼程序可能会导致公开判决对被调查对象的商业模式及声誉产生不利影响,受调查对象往往选择与FTC和解,从而大大强化了FTC执法的效力与影响,甚至导致FTC具有了事实上评价企业数据保护义务及违反该义务的法律责任的“准司法”地位。当然,随着数据权利属性的逐渐彰显,要求将诉讼权利与索赔权利授予数据主体的呼声也日益响亮。不过从美国法院的传统观点来看,对于数据权利主张或信息隐私权主张整体持有一种保守倾向,如在史密斯和米勒案中,法院认为电话公司和银行记录中的信息是与政府共享的,则数据不能受到宪法的保护。此外关于交易数据的二次使用一般也不被法律禁止,除非存在特别法规定或相反约定。[3]P210
2.州层面的企业数据法律义务
隐私法传统上属州法范畴,目前在美国各州大约有数以百计的隐私和数据安全规则,对数据处理、隐私政策、适当使用社会保障号码、以及数据泄露通知等各个领域进行规制。仅加利福尼亚州就有超过25项州隐私和数据安全法律。加州由于云集了众多科技公司和明星企业,在州这一层面,于全美数据保护立法领域最具引领地位。加州早年通过制定《网络隐私保护法》(Online Privacy Protection Act),对于网络企业从该州居民处收集可识别个人数据进行管理,为企业数据保护义务提出了本州标准。2018年6月,加州为加强消费者隐私权和数据安全保护,进一步颁布2018年《加州消费者隐私法案》(California Consumer Privacy Act,CCPA),对在该州境内开展业务的营利性企业提出了更为严格的数据与隐私保护要求。CCPA要求企业必须披露其收集的个人数据类别与具体要素、收集数据的来源、收集或出售数据的业务目的、与企业共享信息的第三方类别等,并要求企业必须给予用户数据访问权、数据删除权、不销售个人信息的选择权、禁止歧视权、未成年人同意权等。与此前诸多法案不同的是,CCPA赋予遭受数据泄露损害的加州居民用户以诉讼权。该法将于2020 年1月1日正式实施,被广泛认为是美国国内最严格的数据安全立法,堪与欧盟《通用数据保护条例》相提并论。
(二)欧盟的企业数据法律义务
欧盟境内的企业数据法律义务,基本上是通过欧盟1995年《个人数据保护指令》及其升级立法《通用数据保护条例》等确立起的数据保护原则与规则实现的。
1.《个人数据保护指令》中的企业数据法律义务
《个人数据保护指令》虽然目前已被《通用数据保护条例》所替代,但该指令运行20余年,奠定了欧盟境内各国数据保护的基础性规则体系,其规定目前已经成为欧盟境内数据保护立法的底线要求。首先,《个人数据保护指令》明确了数据保护的范围在于“个人数据处理”活动,并对“个人数据”与“处理”下了较为宽泛的定义。“处理”指“自动或非自动的操作或一系列操作,包括并不局限于收集、记录、组织、储藏、改编或变更、修补、磋商、使用、经传输披露、散布或以其他方式公开、调整或组合、妨碍、删除或破坏”;“个人数据”则指:有关已辨别或可辨别的自然人的任何信息,还包括已辨别或可辨别的自然人的照片、视听影像和录音。其次,《个人数据保护指令》确定了数据最小化的原则,要求依据该指令制定的内国法必须保证对个人数据的处理是准确、及时、相关且不过分的;个人数据应当只能按照收集该数据时即已确定的合法目的使用,其储存形式应当保证在达成目的后便不能再用于个人身份的识别。第三,个人数据只有在满足下列条件时才可以被处理:数据主体明确地同意,或为了保护公众利益。第四,数据处理的内容如果涉及种族、政治倾向、宗教信仰、哲学或伦理观、或有关健康和性生活时,如果没有数据主体的书面同意,必须加以严格限制甚至禁止。第五,对于数据处理者,该指令要求其必须向数据主体通知如下事项:处理数据信息的目的、对该通知的回复是必须的还是自愿的、未能回复的后果、数据接受者或接受者的种类、数据主体有了解和更正有关自己的数据的权利、数据控制者的姓名和地址;即使在不必须征得数据主体同意的情形下,也必须对数据主体作上述通知。第六,指令还要求必须保证个人数据的安全,使之避免遭受偶然的或非法的灭失,不会受到未被授权的更改或披露,以及其他未被授权的数据处理形式。为切实保障数据主体的权利,该指令要求成员国的法律必须对从事非法处理数据的控制者课以民事责任,并对不遵守此项法律的行为给予惩罚。第七,指令还要求成员国的法律规定,监管机关除执行数据保护法和听取数据主体的控诉外,还必须保证:指令赋予的权利受到侵犯时,每个人都有权获得司法救济。[4]P35-59《个人数据保护指令》影响深远,包括英国1998年《数据保护法》、意大利1996年《个人数据保护统一法》在内的重要欧盟成员国数据保护基本法,都是基于该指令的国内法转换。
2.《通用数据保护条例》中的企业数据法律义务
为推动欧洲数字经济发展,呼应欧盟单一数字市场战略,提升欧洲境内的个人数据保护水平,欧盟于2016年制定《通用数据保护条例》(以下简称GDPR),并于2018年正式实施。首先,GDPR与《个人数据保护指令》不同,可以不经转化为国内法而直接针对成员国生效。其次,在适用地域范围上,GDPR适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行;亦适用于某些特定相关活动中的个人数据处理,不论其数据控制者或处理者是否在欧盟设立。这就大大拓展了GDPR的适用范围,不仅以欧盟及其成员国为目的地的跨国投资主体需要受GDPR规制,跨境提供服务、涉及控制或处理欧盟及其成员国内部用户数据的企业也受到GDPR规制,导致GDPR适用的长臂管辖后果。第三,GDPR从数据主权角度出发,基于市场地原则和实质管辖,建构了“归属”不排斥“利用”的数据跨境传输规则。第四,GDPR规定处理使用个人数据的目的原则上应该与收集数据的原来目的一致(第5条第1款第b项);而除非数据主体同意,或成员国法律为追求该条例所限定的某些特定目的而在必要的、合比例的范围内另有规定(第6条第4款、第23条第1款),才容许例外。第五,在数据主体是16岁以下未成年人的情况,GDPR对其同意提出更严格的要求,例如须其父母或监护人同意;尽管成员国可以通过法律降低此年龄要求,但不得低于13岁(第8条第l款)。第六,GDPR重申了“数据最少化”原则,即数据处理必须限制在对处理的目的而言必要的范围内(第5条第1款第c款)。第七,关于广为国内所知悉的“被遗忘权”(Right to-be-Forgotten),亦系经由GDPR规定的数据删除权,即如果个人数据对其收集或处理的目的而言不再必要,或被非法处理使用,或数据主体撤销对数据处理的同意,或对数据处理表示异议,则数据主体有权要求删除(第17条第1款)。第八,GDPR还规定了数据可携带权,即数据主体原则上可向数据控制者索要其个人数据,也可将其个人数据转交给另一个数据控制者(第20条第1款)。第九,GDPR高度强调监管配合,要求在个人资料被泄露的情况下,数据控制人应在可行的情况下于获悉后72小时内将个人数据泄露通知数据主管机关,除非侵犯个人数据的行为不太可能对自然人权利和自由造成风险。如果在72小时内没有通知监督机构, 应附有延误的理由(第33条)。第十,GDPR要求所有处理个人数据的公共机构以及以监控数据主体或以处理某些特定敏感数据为核心业务的私人机构、企业设立数据保护官(第37条第1款)。成员国可以制定更严格的规定,扩大应该设立数据保护官的私人机构、企业的范围(第37条第4款)。以德国为例,其于2018年5月25日与GDPR同步实施的修订版《联邦数据保护法》中就要求经常性处理个人数据的人员在十人以上的私人机构或企业必须设置数据保护官。由此可见,欧盟新近的数据保护立法内容覆盖广泛,对企业提出了更高的数据保护义务要求;不但如此,对于坊间许多质疑欧盟是否会实际实施GDPR的声音,欧盟各国政府也以实际行动坚决回应,据Statista数据统计, 2018年5月至2019年2月期间欧盟内不遵守 GDPR 的案件共206,326起,其中约一半已调查结案,结案案件中仅有1% 左右提起上诉。欧盟立法者与执法者的决心值得我国对外投资企业高度关注。
(三)英国的企业数据法律义务
在个人数据保护领域,英国最重要的法律为1998年《数据保护法》(以下简称1998年法)及2018 年《数据保护法》(以下简称2018年法)。英国数据立法与欧盟立法息息相关,其中1998年法在很大程度上是贯彻欧盟1995年《个人数据保护指令》的产物,同样2018年法也是为了配合并取代同年正式实施的GDPR,在2018年法的前言中,立法者特别强调“个人数据处理受制于GDPR”。不过2018年法对GDPR部分条款进行了保留,存在一系列偏离GDPR的规定,值得我国对外投资企业关注。另外,仍有必要持续观察英国脱欧是否会对英国数据责任领域的立法产生影响。
相对于1998年法而言,2018年法扩大了数据义务范围,提升了数据义务标准。2018年法不仅承继了1998年法,以法案第四章专门规定数据控制者的义务,还仿效《通用数据保护条例》将数据处理者也纳入数据义务主体范畴,规定了数据控制者与数据处理者的一般性义务与特殊义务,这意味着纳入该法管辖的企业范围加大。2018年法的特殊要求包括:数据控制者应当采用适当的技术和组织措施,以更好履行义务,必须考虑技术新发展,实施成本,数据处理的性质、范围、情境和目的,以及数据处理过程中可能产生的危及个人权利和自由的风险。由此,新法对负有数据保护义务的企业提出了更高的义务标准,包括对“技术新发展”的考虑与应对。此外,2018年法还将更大的监管与执法权限授予信息专员(Information Commissioner)。该法明确信息专员办公室(Information Commissioner’s Office,ICO)是英国的数据保护监管机构,负责实施数据保护规则,以确保英国数据保护水平与其他欧盟成员国相一致。为此,该法要求信息专员可以发布信息通函(information notice)及评估通函(assessment notice),要求企业向其提供相关信息,并评估企业是否遵循数据保护法。如专员认为2018年法被违反,则可以发出执行通函(enforcement notice),要求企业采取通函中列明的措施或禁止从事某些措施。专员具有检查权、处罚权,其最大处罚限额较之1998年法亦大为提升。
二、违反义务的数据法律责任
(一) 民事法律责任
1.违约责任
当企业设置了自己的数据保护与隐私政策,但未能如允诺行事时,除了可能引发执法机构如美国FTC或英国信息专员调查外,还可能因用户起诉企业违反合同而承担违约责任。一般而言,数据保护或隐私政策均被视为用户与企业之间签署的合同的一部分,一旦企业违反前述政策,即意味着违反了其在合同项下允诺承担的义务,则用户可以依据双方之间合同,以合同当事人身份向法院提起诉讼,请求赔偿。在脸书与Cambridge Analytica公司涉嫌滥用约8000万脸书用户数据的事件中,已有脸书用户代表向法院提起诉讼,指控脸书违反其服务条款及隐私政策、违反善意及公平交易默示承诺、违反州(加州)级消费者保护法律以及因疏忽未能保护用户数据。其中至少前两项诉求与违约责任相关。
2.侵权责任
当企业并未违反自己的数据保护或者隐私政策,但该政策存在违法之处,具有“欺骗性”,或者构成“不公平”,则用户可以在法无相反规定的情况下提起侵权诉讼。部分立法者出于对授予数据主体诉权可能引发“滥诉”的担忧,在立法中拒绝授予数据主体以诉权,美国《儿童在线隐私保护法》、《金融服务现代化法》、加州《网络隐私保护法》等皆是如此,在这种规定下,仅能由相应的执法机构,如FTC或加州司法部,才可针对数据控制或处理企业提起侵权诉讼。
即使数据主体被授予针对企业的诉权,但能否获得法院支持仍需结合不同地域司法实践及法院倾向综合判断。在美国,尽管近年来频频发生大规模数据泄露侵权事件,但从司法实践角度观察,受害人基于数据泄露而提起索赔诉讼,面临的主要法律障碍在于难以证明实际损害的存在。尤其在企业因黑客入侵或存在系统漏洞等情况下发生的数据泄露,导致用户个人信息被未经授权的第三人获取或存在被第三人获取的风险,但并不能直接证明已经或必然会给用户带来人身或财产损害。由此,美国部分法院在处理此类案件时,通常都会要求提出索赔的用户证明实际损害的发生而非证明损害风险的存在,导致许多企业基于用户的举证不能而最终免责。这一裁判思路的差异体现为如何理解美国联邦最高法院在Clapper一案中确立的先例,即构成侵权的“未来损害”(future harm)必须是“确定即将到来的”(certainly impending)。在数据泄露侵权案件中,部分案件审理法官即认为,由于原告不能证明第三人实际使用了其信用信息开设信用卡或从事其他欺诈行为,也不能证明其因信用信息泄露而遭受到实际损害或存在紧迫的确定将要发生的损害,因此,原告所主张的损害只是一种假设,不能够得到赔偿。
如果实际发生的物质损害无法证明,那么用户是否能够通过主张精神损害从违法企业得到赔偿呢?在美国,多数法院仍然认为此类费用或损失并不是可以得到赔偿的已发生的损失,而只是对未来可能发生的损失或损失风险的一种补救,是无法获得损害赔偿的。不过大洋彼岸的英国法院在这个问题上持有不同倾向,在谷歌诉Vidal-Hall等一案中,原告是三名苹果电脑的用户,使用Safari浏览器上网,该浏览器的默认设置为未经用户同意不允许第三人使用Cookie。原告指控被告谷歌在其不知情且未征得其同意的情况下,使用Cookies收集上网浏览信息,并将其与广告商分享,从而便于后者投放精确广告。原告声称被告的行为构成对个人私密信息的滥用(Misuse of Private Information),违反了保密义务,损害了其人格尊严,给其带来了精神上的痛苦,故此原告主张依据英国1998年《数据保护法》第13条,要求被告企业对其承担精神损害赔偿责任。该案法官经审理后认为,在当前背景下,应当认为对私密信息的滥用构成民事侵权,受害人可以此作为诉因而提起民事诉讼;并且审理法官通过将欧盟1995年《个人数据保护指令》第23条及《欧盟基本权利宪章》第47条引入裁判,认定数据保护意义下的“损害”可以扩张为包含“精神损害”,呈现出不同于美国法院传统裁判倾向的态度。
GDPR第79条第1款规定:任何数据主体若认为其根据本条例享有的权利因不遵守本条例的数据处理行为而受到侵犯,均有权获得有效的司法救济,且该救济权不排除任何其他行政或非司法救济,包括提出申诉的权利。这就意味着在欧盟成员国内,数据主体可以对违反GDPR的企业提起民事诉讼。欧盟法院通过案例将企业的数据保护责任拓展为包含“删除屏蔽责任”,该责任源于欧盟立法中的被遗忘权。2014年欧盟法院在“冈萨雷斯案诉谷歌西班牙公司案”中确立了数据主体的“被遗忘权”,并对谷歌之类的企业规定了删除或屏蔽义务。这一判决对包括英国法院在内的成员国法院发挥了一定的示范作用,此后在莫斯利诉谷歌案中,英国法院不但认为谷歌公司负有“删除屏蔽责任”,甚至认为谷歌公司已经开发出屏蔽技术,因此要求其对于原告的照片等信息采取屏蔽不会给谷歌公司带来不合比例的负担或成本,这对网络类企业而言意味着需要承担更高的内容过滤义务。
(二)行政法律责任
美国的FTC、英国的信息专员办公室以及其他欧盟国家为落实GDPR要求而指定的数据监管机关等,都是依据法律授权对数据保护进行调查执法的职能部门。
FTC保护消费者隐私与个人数据,包括但不限于采取执法行动,制止违法行为,要求企业采取措施纠正非法行为,包括要求企业接受强制性合规审计、酌情实施全面的隐私和安全方案、向用户提供货币补偿、没收非法所得、删除非法获得的用户数据、提供更具透明度和供消费者选择的机制等。FTC可以对违反《联邦贸易委员会法》的调查对象课以罚金,且该罚金数额可依据2015年《美国联邦民事罚金通胀调整法案》予以年度调升,自2019年2月起,FTC可以开出的最高罚金为1,210,340美元。
欧盟对侵犯个人数据的行为处罚措施亦十分严格,包括禁令救济,对公司工作场所和数据处理设施的稽查和调查,行政罚款等。欧盟GDPR第83条为欧盟成员国设定了统一的违反数据保护罚款标准,该罚款制度系双层结构,将GDPR违法行为区分为严重(severe)与次严重(less severe)。次严重违法行为可能会被处以最高1000万欧元的罚款, 或受罚企业上一财政年度全球年收入的 2%, 以较高者为准,次严重违法行为主要涉及违反GDPR第8、11、25~39、41、42和 43条的行为。严重违法行为则系违反了作为《通用数据保护条例》核心的隐私权与被遗忘权根本原则的行为,可能导致最高达 2000万欧元的罚款,或受罚企业上一财政年度全球年收入的 4%, 以金额较高者为准。严重违法行为包括违反处理数据基本原则的行为(GDPR第5、6和第9条),不能提供数据主体同意证明的行为(第7条),侵犯数据主体知情权、获得权、更正权、删除权、携带权等权利的行为(第12~22条)权利,以及违反GDPR规定转移数据的行为(第44~49条)。由此可见,涉及GDPR主要核心义务的违反几乎都可因被认定为严重违法行为引致更严重的行政罚款。事实上,欧盟及成员国数据监管者在执行GDPR的过程中也毫不手软,法国数据保护监管机构为法国国家互联网信息中心CNIL(Commission Nationale de l'Informatique et des Libertés),该中心因谷歌违反了GDPR,包括向用户提供了不充分的信息、在多个页面上分散提供信息、且未在广告个性化的问题上获得有效许可等,于今年年初对谷歌处以高达5000万欧元的罚款。不过在轻微违法的情况下, 或者如果可能处以的罚款对责任人构成不成比例的负担,则数据监管机关也可以选择训斥(reprimand)而非罚款。
英国的数据监管者即信息专员可以行使调查、评估、检查、处罚等权力,可以对企业执法。此外,依据2018年英国《数据保护法》,信息专员可以施加的处罚限额遵循欧盟GDPR规定,也构建了针对不同程度违法行为的双层处罚机制。
(三)刑事法律责任
由于美国联邦层面没有专门的数据保护法, 对不遵守数据保护义务的行为其处罚往往需要根据其他联邦部门法和各州个人数据保护法或隐私保护法实现。尽管实施网络攻击、入侵私人或公共部门网络、窃取商业秘密或敏感企业数据、窃取身份进行诈骗等正在成为新型的网络犯罪类型,引发刑事调查与处罚;但企业因过失未能保护用户或消费者数据,或因他人攻击而导致数据泄露,并不会导致刑事责任。
欧盟GDPR也没有在数据保护领域制定新的刑事犯罪类型,而是在第84条与引言第149段中表明:成员国应自行决定在该国刑法下如何执行条例的相关规定。由此,与企业数据保护义务相关的刑事责任需要个别考察欧盟成员国法律。以德国为例,德国的数据保护刑事责任目前受该国《联邦数据保护法》(BDSG)第42条管辖。依据第42条规定,行为人为了商业目的,故意和未经授权地对大量无法公开查阅的用户个人数据采取转让或公开行为的,应处以三年以下监禁或刑事罚金;以获取报酬、使自己或他人受益、或损害他人为目的,对非公开信息的未经授权处理行为或欺诈性获取行为,应处以两年以下监禁或刑事罚金。数据主体、控制人、联邦专员和监管机关等均有权提起刑事控诉。尽管法条规定十分严格,似乎数据保护违法行为会广泛触发刑事责任,但在此前的德国执法与司法实践中,运用刑事手段追究行为人责任的案件十分罕见。[2]P246
也有部分欧盟成员国借GDPR施行之际修改国内法,新增关于数据保护违法的刑事犯罪,波兰就是一例。波兰《个人数据保护法》(PDPA)有两个条款涉及刑事责任,其一为第107条:任何人在不允许或未经授权处理个人数据的情况下处理个人数据, 将被处以罚款、限制自由或2年以下监禁;不得为识别自然人的目的非法处理显示种族或族裔出身、政治见解、宗教或哲学信仰、工会会员资格、遗传数据、生物鉴别信息的数据, 不得非法处理有关健康的数据或有关自然人性生活或性取向的数据,否则将被处以罚款、限制自由或3年以下监禁。其二为第108条:任何人阻止或妨碍监察员开展关于是否遵循PDPA的检查,将被处以罚款、限制自由或2年以下监禁。
与欧盟不同,英国2018年《数据保护法》具有特殊之处。该法第170条至173条新设了四项关于违反数据保护义务的犯罪条款:1.非法获取个人数据,即未经资料控制人同意, 明知或放任获取、披露或促使披露个人资料;出售或提议出售非法获得的个人数据也属犯罪。根据该法案, 这项罪行扩大到包括保留个人资料。就非法获取的个人数据,数据接收者也会因为未能删除或销毁该数据而构成犯罪。2.重新识别已取消识别的个人数据,即如果对个人数据的处理方式不能再归入特定的数据主体 (例如通过加密、匿名或假名方式), 在未经有关控制人同意的情况下,“重新识别”这些数据(以便能再次识别数据主体),或处理被他人非法重新识别的个人数据,均属犯罪行为。3.阻止披露个人数据,即如果数据主体提出请求 (如访问请求或数据移植请求)并有权收到所要求的数据,则数据控制人(或其雇员、官员或受其控制的人员) 污损、阻止、抹掉、销毁或隐瞒该数据以阻止披露的行为构成犯罪。4.禁止要求提供有关纪录,即任何人不得为雇佣或续聘他人或与他人签署某种服务提供合同目的,要求对方提供其健康记录或刑事记录;任何人不得以向公众或部分公众提供货物、服务或设施为条件,而要求获得任何第三方的健康或犯罪记录。当然,前述四项罪名中嫌疑人均可以提出抗辩,而充分的抗辩事由包括:嫌疑人行为与预防或侦查犯罪相关,得到法律或法院的授权,或行为符合公众利益;以及嫌疑人能够证明其有理由相信自己是数据的主体或控制人,或得到当事人或控制人的同意,或如果当事人或控制人了解情况也会表示同意。此外,2018年《数据保护法》还取消了不合时宜的罪名,如根据1998年《数据保护法》,数据控制人应首先在信息专员办公室取得登记,而后才可以处理个人数据,否则构成犯罪。但伴随着技术发展与个人数据的广泛使用,再度严苛要求先行登记已经不符合时代需求,故此2018年法废除了这一罪名,取代以要求数据控制人有义务保存自己的记录,并应要求向信息专员办公室提供这些记录。
值得高度关注的是,虽然GDPR没有规定企业违反数据保护法律会产生董事个人责任,但英国2018年《数据保护法》中继承了1998年《数据保护法》条款,第198条规定:当企业存在犯罪行为时,如该罪行系“经董事、管理人员、秘书、官员或其他人(director, manager, secretary, officer or person)同意或纵容或可归因于其疏忽”而实施的,则该主体与企业同时构成犯罪,将受到起诉及惩罚。
三、数据法律风险的诱因与呈现特征
当前,国内外因素的变化导致我国对外投资企业承受双重压力,一方面,我国企业成长蜕变的本土环境中隐私伦理传统与数据责任认知缺乏,相对于已经确立较高保护水平与义务标准的主要投资目的地,“出海”企业自身数据法律风险管理水平较低,极易诱发风险;另一方面,国际贸易投资领域暗流涌动,数据法律责任原本被视为消费者保护与公平竞争政策的工具,当下却呈现出与技术标准、贸易政策相互渗透叠加的现象。
(一) 引发数据法律风险的诱因
1.立法差异:本土数据义务标准与权利保护意识较低
在我国,信息在法律体系中的地位是逐渐确立的,到现在仍然只得到比较有限的承认。[5]P37在综合性立法层面,2017年《民法总则》制定的亮点之一就在于“民事权利”一章通过了两条对个人信息与数据保护的特别规定,第111条将自然人个人信息纳入法律保护范畴,并提出了依法取得、确保信息安全、不得非法利用的通行理念;第127条则将数据视为财产,为其他法律接驳入民法总则预留空间,进而为违反其他法律规定的数据财产利益的行为保留了民事追责通道。然而,《民法总则》并没有明确确认数据权利的属性、主体及权利位阶,一方面当发生数据权属争议时,无法为纠纷解决提供基本可参考的原则;另一方面在全球主要资本市场都基本认可了数据权利及其体系的背景下,我们在基础性法律中使用这样语焉不详的数据权利表述并不利于我国自然人或法人以基本的数据保护共识融入国际投资与贸易体系。
2017 年《网络安全法》的实施标志着我国关于互联网的基础性法律首次进入到公众生活领域,并吸纳了个人数据收集的同意原则、数据最小化原则、删除权规定等,并且第74条做出了“违反本法规定,给他人造成损害的”,须承担民事责任的概括性规定。第74条规定与《侵权责任法》关于过错责任的一般规定相配合,为违反《网络安全法》所规定义务而导致的他人损害提供了赔偿与救济渠道,虽然具体民事责任存在与否的判断仍需以《网络安全法》相关义务是否具有“保护他人之目的”[6]为前提,但这一规定仍意味着巨大的进步。然而,《网络安全法》亦存在诸多不足。首先,其中数据保护规范都过于原则而不具操作性。仅以数据收集的同意原则为例,该法仅原则性地宣示网络运营者收集使用个人信息须经同意,但对于谁来举证证明同意的存在、同意事项的区分、同意可否撤回、如何撤回,以及针对特殊人群如未成年人的同意规则应如何特殊设置等,均无规定。其次,该法对于规制对象语焉不详,其使用的“网络经营者”并非法律概念,也未能借鉴较为清晰的数据处理者与数据控制者之概念,针对规制对象的义务标准也不明确。第三,该法对数据权利的外延列举有限,仅限于知情权、删除权,对于数据主体的同意撤回权、数据携带权、数据访问权、限制处理权、纠正权、拒绝权等均未涉及。最后,该法以信息安全而非权利保护为根本宗旨,意在建构一部管理法而非赋权法;然而,在数据问题涉及亿万民众利益的背景下,不依靠数据主体的权利意识,不提升数据主体的参与意愿,仅凭网络安全管理机关或执法机关,其执法行为终究影响有限,难以破解有限的行政管理资源无法应对大量违法行为这一难题。同理,《全国人民代表大会常务委员会关于加强网络信息保护的决定》《消费者保护法》等法律以及其它低位阶的法规、规章中也同样存在类似问题。
由此,由国内法所形塑的本土企业行为一旦遭遇域外高标准数据保护执法,则不可避免地显示出与域外竞争者行为及域外监管机关期待的巨大落差,进而遭遇行政处罚、索赔诉讼、商誉降低、竞争力削弱等困境。
2.执法差异:统一执法机构的缺位与执法重心的偏离
部分国家如美国虽然缺乏统一的联邦层面的数据保护立法,但通过强力执法机关FTC的执法实践也发挥了统一执法标准,推动数据保护水平提升的作用。而独立的个人数据保护机关,亦是欧盟模式的法律执行的核心。[5]P227在我国,目前尚缺乏类似的统一执法机关。《网络安全法》虽然将国家网信部门确立为统筹协调网络安全工作和相关监督管理工作之职能机关,但统筹一说即为其他行政部门参与预留空间,更何况网络安全并不能完全覆盖数据保护相关问题。
从执法活动角度观察,2017年8月至10月,我国全国人大常委会曾集中对全国各地落实《全国人民代表大会常务委员会关于加强网络信息保护的决定》与《网络安全法》的情况进行检查,检查的重点内容之一就是“加强个人信息保护,打击侵犯用户信息安全违法犯罪”,是迄今为止规格最高、覆盖最广的检查行动。公安部亦开展个人信息与数据保护执法活动,如2018年公安部网络安全保卫局集中约谈境内WiFi分享类网络应用服务企业,向境内提供服务的119家企业提出加强公民个人信息保护的5项要求;近年来国务院建立的打击治理电信网络新型违法犯罪工作部际联席会议机制,更是系由公安部牵头23个成员单位,共同推进打击治理针对利用公民个人信息的电信诈骗行动。国家互联网信息办公室作为互联网安全和信息主管部门,也大量开展针对个人信息保护与安全的执法行动,今年年初即联合工业和信息化部、公安部、国家市场监督管理总局等联合启动App违法违规收集使用个人信息专项治理行动。工业和信息化部为信息通信行业网络安全监管职能部门,负责落实企业网络安全责任的执法,国家市场监督管理总局负责涉及《电子商务法》与《消费者保护法》的个人信息保护执法,银保监会于2019年5月发布《银行业金融机构数据治理指引》,为银行保险等金融机构的数据保护提供执法标准。
由此可见,在我国基础性立法中数据保护内容不足、数据保护专门立法付之阙如的当下,数据保护执法行动政出多门,执法领域或交叉或留白,难以实现有效覆盖与标准整合,当前缺乏通过统一强力执法机关或执法行为提升数据保护水平的可能性。尤为遗憾的是,相当一部分执法机关与执法行动重在维护网络安全,对数据主体的权利问题重视不足,如前述人大常委会启动的专项检查中,作为“个人信息保护”检查目标的有效成果,包含落实网络接入实名制、加强企业内控管理防止信息泄露、提升防止黑客攻击能力与建立反诈骗中心打击电信网络诈骗犯罪,其中仅有防止信息泄露或与个人数据权利保护直接相关。当前,这种重安全而轻权利的立法、执法导向导致本土企业较少关心由自然人用户提出的数据权利问题。而事实上,个人数据与信息的合理保护才是国家信息基础设施得以应用和发展的基础。[2]P87换言之,数据权利保护正是实现数据安全的基石。
3.责任主体差异:数据保护理念欠缺及数据伦理异化
我国法律文化土壤中成长起来的企业其数据安全与数据保护意识较为淡薄。不但体现为企业对用户信息及数据应予保护的理念欠缺,还表现为企业自身数据管理缺位,对自身具有财产属性与重大价值的企业数据同样保护不足,如不久前深圳市法院对科技企业大疆创新因前员工泄露公司源代码案件作出一审判决,经法院判定该事件造成大疆公司的损失高达114.6万。此外,我国部分企业缺乏对商业伦理与数据应用伦理的应有尊重。如某头部科技企业董事长曾公然做出“以隐私换便利”的荒谬表态,亦引发了深刻的社会反思。[7]P2
当前,我国正处于从信息经济与网络经济向数字经济发展的重要节点,知识与信息的生产、传播与应用、信息科技的强化,共同推动人类向数字时代过度,并表现为整个经济领域的数字化。[8]P19历史上从来没有任何一个时代,信息以及信息化生成的数据的经济价值如此凸显。此时,确保其在人民之间的平等分配与利用,是确保整个社会公平进步的关键。[5]P84在数据收集领域,由于信息不对称的存在,很多消费者在进行交易时根本不知道商家正从这笔交易中获取一项非常有价值的财富,即消费者的私人资料与交易记录,并且这种信息获取完全是免费的。[9]P496在数据使用领域,消费者同样处于信息不对称的泥沼之中,例如当消费者注册了某一款APP后,由于APP运营者不会强调注册可能带来的数据泄露后果,因此消费者完全想象不到其信息可能被二次使用、转让使用等,甚至用于其本不希望用于的领域,如个人健康信息被用于保险公司的核保评估之中。在数据估值领域,由于消费者总是低估自己的私人信息的估价困难现象,从而导致“隐私近视”(privacy myopia)现象的出现,即企业从消费者处获得的信息一旦形成综合档案,其价值远高于单个私人价值之和,而被收购数据的消费者并没有意识到这一点,从而乐于接受企业提供的看似慷慨的出价。[10]P1502-1504除信息不对称因素外,数据主体议价能力的不均衡也会阻碍他人对数据权利的保护。因此,在数据信息交易中,企业并没有尽到公平对待消费者、并给予消费者合理交易价格的机会,甚至在有意无意的利用消费者的无知。不但如此,企业还可以通过掌握技术标准的制定,维持已经取得的信息披露最大化的现状,甚至会进一步剥夺消费者选择其他标准与行为的机会。[9]P502-503或许更为严重的是,由于消费者根本无法拒绝企业制定的协议(否则将无法使用某种产品或服务),则企业的数据使用协议已经成为全球用户的法律,“这会暗中破坏法律正常的制定与实施,因为法律应该有规定的程序,考虑并尊重民主原则。”[11]P157
由此,数据保护中的责任主体通过有意或无意忽视其数据法律义务与商业伦理,维持对其最为有利的信息财富分配格局。正是为克服这一数据伦理的异化现象,有学者提出了保护个人数据的四个道德与伦理理由:“基于信息的伤害”“信息不平等”“信息不公平”与“道德自治与道德认同”。[12]P221,224-225
(二) 数据法律风险的“混合型”呈现
1.以违反消费者保护法及政策为通常形式
尽管在数据保护方面存在许多根本差异, 但“信息范式”仍是美国隐私法和欧洲数据保护法的共同要素。当代数据保护法系基于丹尼尔·索洛夫教授所说的“隐私自我管理”(privacy self-management)模式。[13]P1880-1903根据这一模式, 消费者应对其个人数据行使控制, 并就其数据使用在知情后做出决定。因此,“通知与选择”(notice and choice)已成为美国公平信息实践自律的关键要素。[14]P43-44欧洲数据保护法虽然比美国隐私法更具限制性, 但也在大体建立在“通知与选择”的模式之上。[14]P44-46“通知”一般是从信息实践的透明度角度描述, 而 “选择”通常是从同意的角度来界定的,[14]P43-44都与企业的信息披露密切相关。尽管大多数消费者既不阅读也不理解冗长和复杂的隐私声明,但信息披露仍是立法者的普遍选择,其优势在于:一方面,规定信息披露义务、进而征收“信息税”具有轻微监管和市场干扰最小化的优势,能够通过价格、质量或合同条款的明确化来克服信息不对称而导致的市场效率低下的问题,改善市场运作;另一方面,强制披露能够保护消费者自决权和增强消费者权能。而信息披露多蕴含在消费者保护法或政策中,故此无论数据义务人未经充分披露或获取消费者同意而获得、使用、处理数据时,其法律风险通常体现为,也至少包含了对消费者保护法及政策的违反。
2.技术管制风险渐次呈现
数据的获取、使用与处理往往涉及科技型企业及信息技术发展,故此企业的数据法律风险呈现特征较为复杂,往往因目的地国家对于他国科技进步的担忧与科技反制的政策而面临不确定性,并以有悖“人性、人权、隐私、个人或公众自由”的藉口遭遇打击。以美国为例,美国国会于2018年通过新《外国投资风险审查现代化法》(Foreign Investment Risk Review Modernization Act,FIRRMA),将非控制性投资也纳入审查,将自愿申报制度变更为对部分领域的投资实施强制申报,对美国公司与非美国公司之间的技术合作亦实施全新的管制体系。依据FIRRMA规定,涉及敏感行业、政府合同、关键技术、敏感数据、关键基础设施和网络安全等交易均被纳入安全审查范围。美国商务部工业安全局随即公布了一份通函(Notice)草案,将包括人工智能、生物技术、数据分析和新材料等在内的14项列入关键技术领域。由此实现将技术管制问题伪装为投资管理问题,则数据违法行为可能因违反隐私与自由而成为投资审查的借口,进而实现技术管制之目的。无疑这将大大增加他国企业并购美国企业,特别是涉及关键技术领域投资时的风险与难度。
3.贸易政策风险交错其中
经验研究表明,无论是双边还是多边贸易协定,都会降低贸易政策不确定性,并主要通过企业的市场进入和中间投入品的进口来促进贸易。[15]P106-116然而,由于WTO谈判在进入多哈回合后陷入停滞,新生的数字经济及数据相关问题在多边层面缺乏权威性规范;部分国家力图通过双边协议或区域协定将其纳入其中,推动对己有利的数据政策并打压竞争对手。仅以欧美为例,目前较为成熟的跨境数据传输双边机制为欧美之间的“隐私盾”(Privacy Shield),依据该机制,美国公司要遵守欧盟的高标准数据保护要求,则欧盟允许向美国跨境传输发生于欧盟的数据;欧盟试图以GDPR为跨大西洋数据规范确立基石,而GDPR将数据传输限制作为确保数据享有充分法律保护的一种工具。但美国通过在美墨加协定(The United States-Mexico-Canada Agreement ,USMCA)中设定数字贸易专章,确立了禁止对跨境数据传输施加限制与全面禁止数据本地化要求的规则,并实施了较低的数据保护标准。这就意味着协定签署国不必遵循欧洲的数据保护模式;考虑到美国一直致力于将USMCA模式推广到其他区域协定谈判中,而多边谈判亦可能借鉴这一模式,则美国确定的数据保护政策很可能被悄然确立为全球数据保护原则与规则的重要蓝本,至少在与欧盟的数据贸易标准之争中已经扳回一城,由此亦可见各国贸易政策背后的政治经济考量。事实上, 当美国在USMCA协定中宣扬高标准知识产权保护的同时,又选择了低标准的数字贸易保护,可见保护什么、以什么标准保护,完全是一个基于美国立场、强化美国优势、削弱竞争对手的选择。正如有学者评价,美式单边主义通过单边标准双边化,进而通过数量累积达至准多边化乃至多边化,最终重塑全球经贸规则体系,实现符合美国利益和需求的新一代“全球化”,亦即敌视、限制乃至排斥中国的一种“全球化”。[16]P53
我国是数字发展大国,目前数字经济规模跃居全球第二,中国不仅孕育了若干数字化巨头,世界上三分之一的独角兽企业诞生在中国,而且已经形成不断扩张的数字化生态系统。[8]P19中美在数字经济发展中虽然有合作,但亦有竞争。而数据作为新生产要素的重要作用日益凸显,数据的开放、共享和应用将优化资源配置和使用效率,提高资源、资本、人才全要素生产率,是发展数字经济,成为数字强国的关键。在数据治理领域,需要警惕美式或欧式标准与规则的确立产生排斥中国的后果。当前在数据治理领域,由于我国数据保护立法的形式与实质均存在不足,数据保护标准与欧盟所倡导的标准存在较大差距,数据安全立法理念与美国所试图推动的数据自由流动存在分歧,或因法律及标准差异引发贸易政策分歧,进而成为其他国家实现其政治经济利益的藉口。事实上,最近美国政府对华为、大疆等中国科技公司的打压,至少其披露的理由均与数据泄露、数据保护或数据安全相关。
总之,当前的数据风险本质上虽然仍是一个法律问题,但已经不仅仅显现为法律问题,在技术促进政策、竞争政策、贸易政策正在发生剧变的欧美市场,我国企业极易因数据违法产生风险外溢,法律风险与其他风险相互交叉,混合作用,危及企业的正常并购与投资管理。
四、规避对外投资数据法律风险的建议
数据安全与数字经济发展固然重要,但权利保护亦是发展与安全的基石。GDPR的数据保护高标准在带动全球个人数据保护水平提升的同时,也赢得了捍卫消费者权利的广泛赞誉,为欧盟市场吸引投资、发展自身数字经济提供了巨大的声誉资本,很难说因增加成本而削弱了欧盟的竞争力。故此,尽管数据法律风险也可能与其他风险存在共振与叠加,但练好内功,提升自身的经贸法制水平,推动我国企业在对外投资中遵守目的地国家法律、配合监管执法、充分利用司法、合理捍卫权益,始终是至关重要的。
(一) 高度重视投资目的地法律体系、提升数据保护意识
目前来看,主要投资目的地个人数据保护法律体系都较为复杂。在美国,既要关注数据安全、数据保护法律和传统的隐私保护法律等不同部门法;又要关注联邦法与州法两个法律体系。不仅需要关注联邦立法如《儿童在线隐私保护法》《金融服务现代化法》《公平信用报告法》《电话营销销售规则》《公平债务催收法》等;还要密切关注各州立法,尤其许多个人数据保护规范是嵌入消费者保护法从而为数据主体提供救济的,而消费者保护法属州法范畴。在州法层面,由于各州的数据保护标准也存在差异,因此如果投资企业的目标客户为美国全境,则必须与持有较高保护标准的州法保持一致。在欧盟,既要关注欧盟层级的指令(directive)与条例(regulation)所创设的一般标准,如达到一定规模的企业设立数据保护官制度;又要熟稔成员国法律,尤其是成员国所作出的与欧盟标准不同的法律规定,或者对于欧盟立法的保留条款,或者欧盟指定由成员国自行制定的条款,例如投资英国更应关注违反数据保护义务可能带来的董事高管刑事法律责任以及其风险规避。
鉴于不同投资目的地的数据保护法律体系本身就较为复杂,在海外并购的过程中必须强化这一领域的尽职调查,了解目标企业经营管理的合法性,确保其不因数据违法行为或潜在违法行为而承担纠纷、债务或法律责任,最大程度消除因信息不对称导致的投资交易风险。
(二) 积极配合职能部门执法行为、规避执法风险
诸种因数据保护违法而产生的法律责任中,刑事责任较为少见;民事责任之诉讼发起人相对于企业往往较为弱势,在不具备集团诉讼制度的国家尚不足以对企业形成重大威慑;因此对于我国对外投资企业而言,最应关注的是各国的强力数据管理职能部门或监管部门的行政执法行为,最应规避的是由执法行为带来的行政法律责任与风险。尤其是近年来无论欧美均大幅提升了行政处罚标准,欧盟更是统一处罚标准,将其提升至“2千万欧元或前一年度企业全球营业额的4%、以较高者为准”,需要我国投资企业慎重对待。
由于行政责任的加重与数据保护执法力度的强化,我国对外投资企业需要积极配合各投资目的地数据保护职能部门的执法行为。在美国,投资企业需要高度关注并深刻理解FTC的目标与功能。在欧盟,投资企业也需要对各国执法部门及其执法路径、倾向等具有充分的了解,高度配合监管。配合监管不但为争取行政和解、最小化企业损失所必须,还是规避企业或员工刑事责任的重要途径,如欧盟成员国中波兰就将阻止或妨碍监管检查视为刑事犯罪行为。在欧盟配合监管,还要求符合资质的企业设立数据保护官制度,在发现个人数据泄露时尽可能及时通知监管机关,同时企业应对欧盟各成员国数据监管机关执法的严格性具有正确认知,避免引发巨额行政处罚。
(三)善用裁判引导功能、维护合法权益
在我国主要投资目的地国家中,司法都发挥着重要而关键的平衡作用。立法的规定如何转化成为现实的法律责任,有赖于法院的认定与裁判。在重要且敏感的争议纠纷中,司法裁判往往一锤定音;而此前的司法案例也可以为企业合法经营提供必要的指引。由此,必须高度关注投资目的地国家的法院判决及其倾向。
美国的政治文化与法律传统下,法院倾向于维护美国宪法第一修正案与言论自由,导致部分隐私权诉讼难以成功获赔。此外,美国法院在隐私权侵权诉讼中,较为坚持损害结果的现实性,部分数据侵权诉讼受害人往往因难以证明存在现实损害而败诉。不过近年来,美国法院的整体观点有发生变化的趋势,尤其在未成年人数据保护与安全等领域。对于我国对外投资企业而言,在努力提升自身数据安全与数据保护义务水平的同时,也可以充分利用美国司法机关的倾向提出抗辩,维护己方合法利益。
欧盟法院与成员国法院也积极介入数据权利纠纷,欧盟法院通过“谷歌西班牙公司案”裁判曾发挥了积极解释立法规定(被遗忘权)的作用。成员国法院的裁判倾向也值得高度关注,例如英国法院通过裁判,支持数据侵权受害人的精神损害赔偿请求;并为了保护用户数据权利,提升了谷歌以及其他搜索引擎企业的义务标准,要求其负有一定的内容过滤义务;德国法院采取平衡态度,并不倾向于对立法之中规定过于宽泛的侵犯数据权利犯罪行为施加司法制裁;等等。这些都需要对外投资企业结合国别差异采用不同的应对措施。
(四)完善内部风险管理体系、适度分散风险
数据保护问题最初本就体现为企业风险内控问题,如各企业的隐私政策如何设置,首先涉及到的就是企业与用户之间的约定及其履行。此后,因企业与个人用户之间的缔约能力大不相同,加之数据保护的专业性、安全性、信息不对称等因素,导致行政监管机关介入,以强力监管推动企业完善经营,救济公众,维护公共利益。因此,完备的立法、强力的执法、平衡的司法,均不能替代最为核心的企业经营管理与风险管理问题。
综合各国经验,首先,对外投资企业有必要建立专门的数据安全管理人员或团队,并保证其履行职责的独立性。这体现为欧盟、英国等的数据保护官制度、美国马萨诸塞州的信息安全计划(Information Security Programme)专员制度、美国纽约州金融机构的首席信息安全官制度(Chief Information Security Officer)等立法要求。数据安全管理人制度与目前部分大企业已经设立的首席信息官(Chief Information Officer,CIO)制度存在差异,前者更关注的是企业数据控制与数据处理中的安全与风险防控问题,而后者则主要负责企业信息技术的利用问题,二者职能在一定程度上存在冲突,往往体现为安全与效率之争,这也是为何欧盟《通用数据保护条例》以专门规定凸显前者重要性的意义所在。
其次,对外投资企业需要制订完备的信息安全实施计划,配备完善的信息安全技术防范措施,定期排查数据安全隐患。建立完备的数据库分级授权管理机制,明确各级工作人员的数据管理与数据安全职责,加强数据管理权限设置,明确各级人员获得数据的范围及程序。加强对员工的数据安全培训,在机构内部形成监督与制约机制,切实防范数据泄露或滥用行为等危害数据安全的行为发生。
最后,对外投资企业还可通过购入数据泄露保险(Data Breach Insurance)、网络责任保险(Cyber Liability Insurance)等保险产品覆盖因和解、维护公共关系、承担法律责任、支付法律费用等而发生的成本,分散投资与经营风险。
五、结论
数据安全与数据自由,隐私保护与产业发展,是各国通过不同的数据保护模式、路径与方法试图实现的鱼与熊掌。然而这一问题最终并不取决于立法者与社会治理者的主观意愿,更受制于现实因素,包括各国的文化、政治、经济、法律发展现状,在全球化时代也包括国际环境的影响。作为全球化的受益者,一方面我国有必要通过推动数据保护规范化与标准提升使自己的企业能够不失分、不漏项地以一种负责任企业的健康形象融入国际投资贸易体系;另一方面,在保护主义逆流泛滥、尚存“全球化向何处去”迷思的当下,也应关注法律问题与技术问题、贸易政策问题的叠加与共振,提升风险意识,防范数据法律责任产生。
注释:
① TikTok agrees to pay record $5.7-million settlement in FTC children's online privacy case[EB/OL]. https://www.usatoday.com/story/tech/2019/02/27/ftc-childrens-privacy-case-tiktok-video-app-paying-record-settlement/3006921002, 2019-2-27.
② Lenovo Settles FTC Charges it Harmed Consumers With Preinstalled Software on its Laptops that Compromised Online Security[EB/OL]. https://www.ftc.gov/news-events/press-releases/2017/09/lenovo-settles-ftc-charges-it-harmed-consumers-preinstalled,2019-2-27.
③ 中华人民共和国商务部,国家统计局,国家外汇管理局.2017年度中国对外直接投资统计公报[M].北京:中国统计出版社,2018:4.
④ 中华人民共和国商务部.中国对外投资发展报告(2018)[EB/OL].商务部网站http://fec.mofcom.gov.cn/article/tzhzcj/tzhz/201901/20190102831043.shtml,2019-2-3.
⑤ 其中,欧洲是中企海外并购金额最多的地区,2018年达659.4亿美元,同比增长37.9%,占中企全球并购总额的六成;中企在北美洲的海外并购金额达156.5亿美元,与2017年持平。参见中华人民共和国商务部.中国对外投资发展报告(2018)[EB/OL].商务部网站http://fec.mofcom.gov.cn/article/tzhzcj/tzhz/201901/20190102831043.shtml,2019-2-3.。
⑥ Data Protection Full Handbook[EB/OL]. https://www.dlapiperdataprotection.com/,2019-2-3.
⑦ Federal Trade Commission Act,15 U.S.C. §§ 41-58.
⑧ Gateway Learning Settles FTC Privacy Charges Company Rented Customer Information it Pledged to Keep Private[EB/OL].https://www.ftc.gov/news-events/press-releases/2004/07/gateway-learning-settles-ftc-privacy-charges,2019-2-3.
⑨ Facebook Settles FTC Charges That It Deceived Consumers By Failing To Keep Privacy Promises[EB/OL]. https://www.ftc.gov/news-events/press-releases/2011/11/facebook-settles-ftc-charges-it-deceived-consumers-failing-keep, 2019-2-3.
⑩ FTC Cases and Proceedings[EB/OL]. https://www.ftc.gov/enforcement/cases-proceedings, 2019-2-3.
