数据立法域外管辖的全球化及中国的应对
2022-11-01王雪石巍
王 雪 石 巍
内容提要:数据跨境流动的实际需要与掌控数据资源的迫切需求致使较多国家单方面立法扩张本国在数据领域的域外管辖权,这一现象在全球范围内形成明显趋势。数据领域域外管辖的立法模式并非杂乱无章,大致划分为两种:一是依托个人数据保护法案的欧盟模式;二是依托跨境取证法案的美国模式。在国际习惯法框架下,前者以属地管辖原则和效果原则为合法性基础,后者以属人管辖原则为依据。但同时,在数据领域,各国域外管辖权的扩张注定会在国际范围内引起管辖权冲突,且很可能侵犯他国数据主权。我国已经初步建立了个人信息保护法的域外适用制度,面对这一趋势带来的危机与挑战,我国应当界定数据立法域外管辖的边界,在坚决维护我国主权利益的同时有条件地承认与执行外国判决,进一步完善数据存储地模式并且强化阻断立法的执行性来应对他国不当的域外管辖。
一、问题的提出
大数据时代下,由于数据自身虚拟性和可重复利用的特征,数据收集和处理的全球化也更加明显。仅以领土范围为界对数据的收集、存储、处理、传输进行监管,已然忽视了数据跨境流通频繁的现实,更会造成数据法律制度监管的疏漏。2018年《欧盟通用数据保护条例》(General Data Protection Regulation,以下简称GDPR)正式生效,成为全球数据领域内最具有影响力的立法之一。GDPR为个人数据的利用和保护设立的各项制度,成为众多国家数据立法参考的蓝本。其中,GDPR第3条赋予了条例自身以域外效力,构建了数据法律的域外管辖制度。2021年11月,我国《个人信息保护法》正式施行,其第3条借鉴了GDPR的立法思路,创设了我国《个人信息保护法》的域外管辖制度。不仅如此,英国、印度、巴西、南非、澳大利亚等国家均以GDPR域外管辖法律制度为蓝本,将本国法案的域外效力在全球范围内延伸。可见,扩张本国数据领域立法的域外效力,已经成为众多国家参与全球数据治理、维护本国数据主权的通行做法。数据立法域外管辖这一现象已经形成了全球化的趋势。
但不可否认的是,这一趋势也给世界各国带来了法律挑战。纵观全球,数据法律制度发展的历史并不悠久,缺乏涉及数据立法域外管辖的国际条约和协议,由此管辖权的冲突已无法避免。那么,数据立法域外管辖的正当性基础是什么?其是否会引发法律层面的挑战与危机?面对数据立法域外管辖的全球化趋势,我国又如何保障我国的数据主权?研究上述法律问题有利于为数据立法的管辖权冲突提供中国方案,同时为我国开启《个人信息保护法》的域外适用提供参考意见。对数据立法域外管辖这一主题的探讨,不仅具有实践价值,也具备理论意义。
二、数据立法域外管辖的动因与模式
数据立法域外管辖的背后是对数据资源的争夺,也是对国际合作不足的回应。目前,世界主要国家或地区授予本国数据立法域外管辖的模式包括以下两类:第一,颁布数据保护领域的基本法案,全方位规定了数据领域各项主体的权利义务,并设置域外适用条款。虽然各国所颁布的法案的名称表述并不一致,但均以保护数据主体的权利为核心,本文将此类法案统称为个人数据保护法案。第二,颁布跨境取证法案,规定在特定情形下行政机关或司法机关享有调取域外数据的权限,从而赋予法案域外效力。下文将对数据立法域外管辖的动因与两类立法模式进行阐释。
(一)数据立法域外管辖扩张的动因
第一,现有的国际合作机制无法满足数据保护和跨境调取数据的需求。在数据保护领域,国际合作的成果并不显著。就多边协议而言,虽然《隐私保护和个人数据跨境流动指南》与《APEC隐私框架》较早关注到了数据保护的问题,但并未构建具有法律约束力的合作机制。就双边合作而言,由于高昂的谈判成本与理念的差异,双边条约呈现出碎片化的特点。以美欧为例,双方于2000年签订了《安全港协议》,但该协议只能对自愿加入的美国企业生效而无法约束美国政府,因而无法为欧盟数据主体提供充分保护,于2015年被欧盟法院宣布无效。经过艰难的谈判,双方于2016年达成《隐私盾协议》,却因数据保护理念存在差异,2020年该协议再次被宣布无效。可见,无论是多边协议还是双边条约,尚未在数据保护方面形成有效的国际合作机制,无法满足数据保护的迫切需求。此外,关于跨境调取数据,在单边扩张数据域外管辖之前,国家跨境调取存储在境外的数据更多的是借助司法互助协定。但司法互助协定的缺陷非常明显,首先,司法互助协定仅限于缔约方之间,未与他国签订司法互助协定将无法跨境调取所需要的数据。现如今,司法互助协定缔约方的覆盖范围远远无法与跨境调取数据的需求相匹配。其次,即使缔约方签订了司法互助协定,调取数据仍然需要对方政府批准,数据的调取存在不确定性。尤其当各国对数据流动政策收紧时,数据调取的难度会进一步增大。最后,通过司法互助协定跨境调取数据程序繁琐,工作效率较低,运行时间长。美国前总统奥巴马的情报和通信技术审查小组曾深入研究司法互助协定程序,发现借助司法互助协定来调取数据平均大概会耗费10个月的时间。但在刑事案件中行政部门或司法机关需要迅速获取相关数据,因此原有的司法互助合作机制根本无法满足现今跨境调取数据的需要。
第二,各国借助国内立法扩张域外管辖权,提升在全球数据领域的国家竞争力。当代社会数据资源的重要性不言而喻,其已经成为互联网企业运营的“生产要素”。但由于互联网产业在世界范围内发展并不均匀,各国在数据领域的竞争力不同,掌握数据资源的能力自然有较大差异。通过国内数据立法扩张域外管辖权有利于保护境内数据主体的权益,防止境外互联网企业规避法律,并可以对非法获取或处理境内个人数据的境外企业实施处罚。此外,域外管辖权的延伸更有利于借助法律的“外衣”,帮助各国进一步掌握更多的数据资源,提升本国在全球数据领域中的竞争力,扭转在原有互联网格局中的劣势或进一步巩固自身的优势。
(二)依托个人数据保护法案的欧盟模式
为保护本国数据主体的权益并提高自身参与制定国际社会数据领域规则的竞争力,各国纷纷颁布个人数据保护法案并以欧盟的GDPR为蓝本,通过域外适用条款的形式规定了法案在全球范围内的域外管辖权。此种依托个人数据保护法案扩张数据立法域外管辖的模式,即欧盟模式。在欧盟模式之下,GDPR第3条为法案的域外管辖设立了三项标准:设立机构标准(The Establishment Criterion)、目标导向标准(The Targeting Criterion)以及依照国际公法适用标准。其中的“依照国际公法适用”标准是指在符合国际公法的情形下GDPR可以域外适用,不需要特殊解释,本文着重对前两项标准进行探讨。
GDPR第3条第1款规定“条例适用于在欧盟内数据控制者或处理者设立机构活动的背景下对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行”。欧盟数据保护委员会(European Data Protection Board,以下简称EDPB)主张考虑两项因素来确定个人数据的处理是否属于GDPR第3条第1款的适用范围。第一,数据控制者或处理者在欧盟设立的场所是否符合GDPR意义上的“设立机构”的定义。第二,处理行为是否满足“在设立机构活动的背景下”这一含义。
第一,关于“设立机构”的内涵,GDPR序言第22条提供了解释,即设立机构意味着通过稳定的安排而有效和真实地开展活动。设立机构的法律形式并不局限于具有法人资格的子公司或分支机构。通过分析欧盟法院关于WeltimmoNAIH、Verein für KonsumenteninformationAmazon EU以及 Google Spain SL,Google Inc.AEPD等案件的判决,可以发现法院对设立机构的界定较为宽泛,主要考量稳定的安排和真实有效的活动两项因素。设立机构的概念几乎可以延展到通过稳定的安排开展任何真实有效的活动,即使是最小的活动。当数据控制者的活动涉及在线服务提供时,稳定的安排的门槛实际上可能很低。甚至在某些情况下,非欧盟企业在欧盟内部聘用一名雇员或代理人即可能构成稳定的安排,只要该员工或代理人开展活动的行为足够稳定。
第二,关于数据控制者或处理者的个人数据处理行为是否满足“在设立机构活动的背景下”这一条件,应当基于案件具体分析。EDPB主张,可以考虑以下两个因素进行判定。一是欧盟以外的数据控制者或处理者与其在欧盟内设立机构之间的关系。若欧盟外的数据控制者或处理者的数据处理行为与成员国当地设立机构的活动密不可分,则可能触发GDPR的适用。即使设立机构事实上并未在数据处理过程中发挥任何作用,亦不影响GDPR的域外适用。二是设立机构是否增加数据控制者或处理者的收入。若设立机构的行为有助于欧盟外数据控制者或处理者收入增加,则设立机构的行为可被视为与数据控制者或处理者的个人数据处理行为密不可分。例如,在Google Spain SL,Google Inc.AEPD案中,谷歌西班牙公司是谷歌公司在西班牙设立的子公司,诉讼中涉及的个人数据处理行为完全由母公司谷歌公司进行,谷歌西班牙公司没有任何干预,其仅为谷歌公司搜索引擎服务的广告活动提供支持。欧盟法院认为,若谷歌西班牙公司在欧盟成员国推广和销售谷歌公司搜索引擎提供的广告空间,从而使该引擎提供的服务有利可图,则谷歌公司的活动与其位于西班牙的子公司的活动密不可分,满足 “在设立机构活动的背景下”这一条件。数据控制者或处理者的行为一旦满足上述两项条件,即可触发GDPR对个人数据处理行为的适用,至于个人数据处理行为的地点与适用GDPR无关。
与欧盟“设立机构标准”相比,我国《个人信息保护法》第3条第1款规定得较为简单,即“在中华人民共和国境内处理自然人个人信息的活动,适用本法”。与GDPR不同,《个人信息保护法》第3条第1款更关注个人数据处理行为的地理位置。除非满足第3条第2款的规定,否则发生在境外的个人数据处理行为不适用我国《个人信息保护法》。可见,我国这一条款的规制范围与欧盟“设立机构标准”相比稍窄。
设立机构标准有着明显的缺陷,若欧盟境外的数据控制者或处理者不在欧盟境内设立机构或关停原有的设立机构,则可以绕开GDPR第3条第1款的规定。为了防止规避法律,“目标导向标准”应运而生。GDPR第3条第2款规定,即使数据控制者或处理者不在欧盟设立,但下列两种情形下仍然适用GDPR:(a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价;(b)对发生在欧盟范围内的数据主体的活动进行监控。在评估适用目标导向标准的条件时,EDPB建议采用双重方法:其一,确定个人数据处理行为是否与欧盟境内数据主体有关;其二,确定处理行为是否与提供商品、服务或监控数据主体在欧盟中的行为相关。
首先,关于“欧盟内数据主体的个人数据”,GDPR序言第14条规定“本条例提供的保护应适用于与处理个人数据有关的自然人,无论其国籍或居住地如何”。EDPB认为,目标导向标准的适用不受数据主体的公民身份、居住地或其他类型的法律地位的限制。可见,目标导向标准所指的欧盟境内数据主体不局限于欧盟公民。
其次,关于处理行为是否与提供商品、服务或监控欧盟数据主体相关,应当在个案中判断。判断是否存在提供商品或服务的情形,对价的支付并不是决定因素。GDPR序言第23条进一步解释考量因素,如使用成员国普遍使用的语言或货币,或提及欧盟用户等。EDPB主张,应结合案件事实,综合考量多项因素,如是否向欧盟受众发起营销活动,是否提供专用地址或联系电话,是否使用成员国的语言、货币,以及是否向欧盟内的消费者或使用者提供商品或服务等。无意或偶然地向欧盟内的数据主体提供商品或服务时,个人数据的相关处理不属于GDPR的适用范围。
此外,关于“监控数据主体的行为”,被监控的行为必须与欧盟内的数据主体相关且必须发生在欧盟境内。“监控”一词意味着数据控制者或处理者将收集或重复利用欧盟内主体的相关数据。GDPR序言第24条指出,个人数据的处理是否涉及对数据主体行为的监控,潜在的后续使用分析技术是一个关键考虑因素,包括通过其他类型的网络或技术进行跟踪,例如可穿戴设备和其他智能设备。
不可否认,目标导向标准较好地防止欧盟境外公司规避法律的行为,立法水平较高。我国《个人信息保护法》第3条第2款的规定与这一标准相似,前两项所规定的情形正是对“目标导向标准”的借鉴。
(三)依托跨境取证法案的美国模式
为掌控数据资源,通过扩大自身跨境调取电子数据的权限实现国家利益的最大化也是扩张域外管辖的途径之一。此种依托跨境取证法案扩张数据立法域外管辖的模式,即美国模式。
2018年美国国会通过《美国澄清境外数据合法使用法案》(Clarifying Lawful Overseas Use of Data Act,以下简称CLOUD法案),标志着美国刑事案件跨境调取数据模式从“数据存储地模式”向“数据控制者模式”转变。“数据存储地模式”是指依据数据存储的地理位置来判断一国调取数据的管辖权范围;“数据控制者模式”则是要求为本国提供服务的运营商在特定情形下,尤其是在重大刑事案件中,提交自身掌握或控制范围内的数据。一直以来,“数据存储地模式”在取证中占据主导地位,这是由于多年前各国的数据以存储在本国境内为主,也是国家主权原则的体现。在CLOUD法案出台之前,关于能否调取由美国数据控制者掌控却存储在境外的数据这一问题,《美国存储通信法案》(Stored Communication Act,以下简称SCA)语焉不详,引发了美国司法部与微软公司长达五年的纠纷。在Microsoft Corp.United States案中,诉讼起因是美国执法部门在调查一起毒品犯罪案件时,要求微软公司向政府提供存储在爱尔兰的某一邮件用户的全部信息,但微软公司强调其主动披露的行为可能会违反欧盟关于个人信息保护的规定,拒绝提供相关数据。美国联邦第二巡回法院作出支持微软公司的判决,认为搜查令不具有域外效力。这一案件引起美国法律学者和其他法院的激烈讨论,有观点认为二审法院对域外性的理解不当。在这一背景下,CLOUD法案应运而生,法案全文主要解决两项问题:第一,在刑事案件中,允许美国政府跨境调取存储在外国的数据,即“调取”;第二,在特定条件下,允许外国政府调取美国境内的数据,即“供应”。
CLOUD法案超越了国家领土的界限,单方面延伸了美国执法机关刑事跨境调取数据的管辖权,更是利用了美国在数字领域拥有众多跨国互联网企业的巨大优势,最大化地帮助美国执法机构掌控数据资源。跨境调取数据的关键因素也从国家领土界限转移到数据控制者的地理位置,突破了原有的“数据存储地”模式。
在美国以CLOUD法案开启“数据控制者模式”后,其他国家相继效仿其立法路径,颁布法案扩张本国跨境取证的域外管辖权。2018年澳大利亚通过了《电信和其他法律修正(协助和访问)法案》,授权执法和情报部门可以要求私营机构提供技术协助。无论向澳大利亚提供通信服务的组织或个人是否在澳大利亚境内设立机构,只要其提供的服务为澳大利亚境内的终端用户所享有,通信服务提供者均属于该法案的适用范围。与此相似的是,2019年英国出台《犯罪(海外生产订单)法案》,赋予执法机构和检察官直接从英国境外的服务提供商处获取电子数据的权力,以便对严重犯罪进行刑事调查和起诉。2020年欧盟议会修订《欧盟刑事程序电子证据提交令和保存令条例》草案,允许欧盟成员国政府部门针对所有刑事犯罪可以发布“提交令”,用于从服务提供商处获取用户数据或IP地址;若涉及至少3年监禁的刑事犯罪,还可要求服务提供商提供交易数据(traffic data)或内容数据(content data)。总之,在刑事案件中,澳大利亚、英国和欧盟借鉴美国CLOUD法案,单方扩大自身跨境调取数据的权限,从而达到域外管辖的目的。
与英美等国家不同,我国立法坚持严格的“数据存储地模式”,且对他国在我国的跨境取证持保守态度。我国《国际刑事司法协助法》第4条第3款规定:“非经中华人民共和国主管机关同意,外国机构、组织和个人不得在中华人民共和国境内进行本法规定的刑事诉讼活动,中华人民共和国境内的机构、组织和个人不得向外国提供证据材料和本法规定的协助。”据此,外国机构、组织和个人在我国境内从事刑事诉讼活动或获取证据资料,必须经过我国境内主管机关的同意。我国《个人信息保护法》第41条也作出相似规定:“……非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。”这表明我国立法坚持对跨境调取数据采取“数据存储地模式”。不仅如此,在国际社会协商涉及打击网络犯罪条约的过程中,我国明确对跨境数据直接调取持否定态度。早在2011年,中国代表团出席联合国网络犯罪问题专家组首次会议并发言,指出《网络犯罪公约》(Convention on Cybercrime)第32条(b)款的实质是域外取证,因涉及到主权和管辖权,极易引起争议。这也成为中国并未加入这一公约的理由之一。综上,我国对跨境调取电子数据坚守“数据存储地模式”,且对跨境调取数据模式的转变持否定态度。
三、数据立法域外管辖模式的评析
尽管各国数据立法域外管辖的不断扩张与当今世界数据领域的竞争紧密相关,但其域外管辖模式依旧需要遵循国际法的约束。在缺少相关国际条约或协议予以充分协调的情形下,数据域外管辖权的不断扩大不可避免地引发各国管辖权冲突。
(一)欧盟模式的管辖权基础与困境
欧盟模式集中于数据保护领域,借助欧盟单一市场来实现对数据控制者或处理者的管辖,但缺乏对数据保护域外执行方案的进一步说明,也并未解释如何处理管辖权冲突的问题。
《美国对外关系法重述》总结了国际习惯法框架下立法管辖权的依据,包括属地管辖(主观属地管辖与客观属地管辖)、属人管辖(积极属人管辖与消极属人管辖)、普遍管辖、保护性管辖与效果原则。其中,前四项管辖权原则承继于1935年美国哈佛研究所拟定的《关于犯罪的管辖权公约草案》)(Draft Convention on Jurisdiction with Respect to Crime),也被普遍作为判断管辖权行使是否合法的标准;效果原则由美国于1945年在United StatesAluminium Co.of America案中创设,并逐步由反垄断领域向证券、数据等领域延伸。以GDPR第3条为代表的域外适用条款在国际法框架下具有合法性基础。尽管有关数据立法域外管辖的国际条约或协议较少,但GDPR第3条的规定符合国际习惯法上管辖权公认的依据。
“设立机构标准”下的域外管辖以属地管辖原则为基础。领土是行使管辖权最古老、最常见、争议最少的依据。第一,根据主观属地管辖原则,虽然某一行为的后果发生在境外,但一国可以对在其领土内发生或开始的行为行使立法管辖权。第二,根据客观属地管辖原则,一国可以对在该国以外开始或发生的行为行使立法管辖权,如果该行为在该国境内完成,或者构成要件发生在该国境内。“设立机构标准”正是对客观属地管辖原则的应用。一旦外国网站或在线服务提供商在欧盟境内设置机构,存在“设立机构”的连接点,无论个人数据的处理行为是否发生在欧盟境内,只要满足“在设立机构活动的背景下”这一条件,则欧洲监管机构享有监管权限。欧洲学者也将这一管辖权依据称为“领土原则”。
“目标导向标准”下的域外管辖以效果原则为基础。国际法承认一国有权就对其领土产生实质性影响的行为制定法律。在“效果主义”学说下,国家可以根据境外发生的行为在国家内部产生实质性影响这一事实来主张管辖权。这一概念与客观领土观念密切相关,但它并不要求被规制行为的任何要素实际上发生在国家领土内,是对属地原则的进一步演化。效果原则通常被认为是最具争议性的管辖权基础,尽管法律学者提出诸多批评,但它已被广泛用于互联网领域。当涉及外国数据控制者在欧盟的个人数据处理活动时,“目标导向标准”更明确地依赖“效果原则”来补充“领土原则”的缺漏。数据控制者或处理者的处理行为无论是向欧盟境内主体提供商品或服务,还是与监控数据主体的行为有关,均在欧盟产生实质性影响,符合效果原则的内涵。
总之,以GDPR第3条为代表的域外管辖条款,以客观属地原则和效果原则作为管辖权的依据,其域外管辖的扩张具有国际习惯法下的合法性基础。
尽管欧盟模式在立法层面具有合法性基础,但是其立法管辖范围的单边扩张不仅会引起各国在数据领域管辖权的平行冲突,也会加剧域外执行的困难。
(1)单边主义下域外管辖的平行冲突
与普通民商法法律域外适用所产生的法律冲突不同,个人数据保护法案具有公法性质,一旦对同一案件的管辖权发生冲突,则无法通过国际私法的法律选择方法决定法律适用。不可否认,各国的个人数据保护法案均规定了数据主体的权利与数据控制者或处理者的义务,但同时也对国家机关的职责和数据控制者或处理者的法律责任进行规定。以我国《个人信息保护法》为例,其第4章和第5章明文规定了自然人所享有的个人信息权益和个人信息处理者的义务,同时对国家网信部门的法定职责和个人信息处理者的行政责任也有着大篇幅的规定,因而《个人信息保护法》具有“半公半私”的法律性质。与私法不同,由于公法会涉及国家利益或社会公共利益,一国公法在内、外国的地位是不同的,外国公法几乎没有法律适用的余地。即便可以通过国际条约的方式对公法的域外管辖予以协调,但极其艰辛与耗时的国际谈判并不能满足实际需求。正因如此,一国公法的域外适用是以单边主义方法为基础,在反垄断、证券等领域各国通过设定法律域外适用条款扩张域外管辖权。个人数据保护法案在本质上会涉及一国对数据领域的管制权,关系到国家的数据主权和管辖利益,也反映一国在数据治理方面的价值选择。目前,各国纷纷单边设置本国个人数据保护法案的域外适用条款,数据立法域外管辖权的平行冲突无法避免。在单边主义立法背景下,域外管辖关系到各国数据利益的博弈,即使个人数据保护法案借助了诸如设立机构、效果发生地等连接点,但这也只是扩大内国数据保护域外管辖的方式,并不是为了确定在何种情形下适用外国个人数据保护法案。是故,欧盟模式下管辖权的平行冲突无法借助冲突法律规范调整。
(2)域外适用的执行困境
除却各国个人数据保护法案的域外管辖权可能出现平行冲突,域外适用条款的可执行性也颇受质疑。GDPR第3条在域外适用的道路上走得太远,导致 GDPR在国际舞台上难以证明其适用范围的合理性。更糟糕的是,GDPR的实际执行难以保证,最终导致条款的选择性执行。2019年欧盟法院在GoogleCNIL案中对数据主体被遗忘权的执行范围进行澄清,欧盟法院裁决谷歌公司作为搜索引擎运营商必须删除欧盟范围内所有版本上涉及数据主体的特定链接,但同时主张GDPR的条款并没有对谷歌公司位于欧盟以外的搜索引擎版本施加义务,即谷歌公司无须删除欧盟境外其他搜索引擎版本的链接。换言之,数据主体被遗忘权的执行范围局限于欧盟内部,而非全球。欧盟法院强调了在全球删除链接的困难,并指出对公共利益的理解在国与国之间有很大差异,因此,面对言论自由与个人数据保护的冲突,不同国家可能会作出不同的利益平衡。然而,即使欧盟法院将这一判决的执行范围延伸至全球,这一判决在美国几乎无法执行。针对报纸执行被遗忘权几乎注定违反美国宪法第一修正案对言论自由的保护。尽管美国联邦最高法院承认个人隐私权的重要性,但只有在对国家保护的利益造成直接危险时才会对媒体的言论自由予以限制。一旦涉及发布具有公共重要性内容的情形,隐私权应予以让位。
法律条款域外管辖的范围越广泛,其在境外执行的难度倾向于更高。迄今为止,国际社会还没有建立起跨境数据保护执法体系。至少在全球不同司法管辖区域的数据保护层次统一达到合理水平之前,此类执法体系不太可能构建。只要各国对数据保护的程度和采取的方法不同,现有关于相互承认和执行判决的国际安排对于数据主体权利和对个人信息处理者责任的执行可能并不有效。由于对他国个人数据保护法案立法理念的把握并不精准,且考虑到不能让本国成为保护他国数据主权利益的代理人,有关数据域外管辖案件的判决难以在境外得到执行。
(二)美国模式的管辖原则与执法冲突
与欧盟模式不同,美国所采取的数据控制者模式从法案颁布之初,便是为了调取存储在他国的数据,具有鲜明的域外执法色彩。在缺乏国际条约授权和外国政府有效同意的条件下,美国模式很可能引发跨境调取数据与他国主权的尖锐冲突。
“数据控制者模式”突破了国家领土的界限,将管辖权范围确立为数据控制者所在地,强化了属人管辖原则的运用。属人管辖原则包含积极属人管辖原则与消极属人管辖原则。积极属人管辖原则是指一国可以对其国民(包括自然人和公司)在境外的行为、利益、地位和关系行使立法管辖权,是国际法最古老和争议最少的管辖权基础之一。消极属人管辖原则是指一国可对外国国民在境外对本国国民所实施的特定行为行使管辖权。虽然这一原则在特定网络犯罪行为上已经被整体接受为行使域外管辖权的基础,但是其是否可以广泛适用于网络领域,仍然存在争议。毋庸置疑,国际法承认一国对其本国国民在境外的行为所制定法律的管辖权,一国可以通过将国内法适用于本国国民在境外的行为来行使立法管辖权。在网络领域,一国可以将国内法适用于该国自然人、法人所实施的完全发生在境外的网络行动。“数据控制者模式”下美国域外管辖权的行使依据接近属人管辖原则。在Microsoft Corp.United States案件中,微软公司作为美国的服务提供商,将数据存储在爱尔兰的行为属于美国公司在境外的网络活动。CLOUD法案便是以积极属人管辖原则为基础,将微软公司在境外的数据活动纳入管辖范围。
值得注意的是,尽管CLOUD法案的立法看似尊重了国际习惯法下的属人管辖原则,但并不代表美国域外执法调取数据的行为自然获得正当性。域外立法管辖与域外执法管辖所受到的国际法限制是截然不同的,前者侧重于具备实质联系,后者需要国际条约授予的特定权力和外国政府的有效同意。虽然美国司法部宣传CLOUD法案并未超出美国宪法的限制,但是这其实是模糊了立法管辖与执法管辖的差异,只会进一步加深跨境调取数据与外国国家主权的冲突。
美国模式虽然弥补了司法互助协定的弊端,但执法机构单方对刑事案件跨境调取数据的域外执法行为欠缺合法性基础,美国政府调取数据与供应数据的立法规定也明显不对等。
(1)域外执法的合法性不足
属人管辖原则无法为美国模式在刑事案件中单边调取境外数据的执法行为提供符合国际法的法律依据。一国行政机关在境外的行政执法,包括处罚、强制等,或司法协助如调查、逮捕、执行判决或司法程序等归属于一国域外执法管辖权的范围。执法管辖权受到的国际法限制要大于立法管辖权受到的限制。执法管辖权必须以存在立法管辖权为基础,但是仅仅存在立法管辖权并不足以行使执法管辖权。基于主权原则,一国的执法管辖权一般限于国内,包括在该国登记的船舶和航空器上。只有在国际法赋予特定权利或获得他国政府有效同意的情况下,一国才可行使域外执法管辖权,否则便有可能构成对他国主权的侵犯。由前文分析可知,以CLOUD法案为代表的美国模式,借助属人原则单边扩张在数据领域的域外立法管辖权。单边主义下一国制定的法案并不足以构成执法机构调取境外数据的合法性基础。在未签订国际条约或未获得他国授权的前提下,强制要求未在本国注册的他国数据控制者提供数据,存在侵犯他国主权的嫌疑。由于数据领域已经被视为国家未来竞争和发展的重要领域,缺乏合法性基础的域外执法很可能引起他国的激烈反对并实施对等行为。
(2)数据“调取”与“供应”的不对等
CLOUD法案对“适格政府”的限制性要求导致数据在“调取”与“供应”方面出现失衡。前者着重利用美国互联网技术的优势,允许美国较为容易地“调取”存储在外国的数据,将美国在全球互联网行业中的市场份额转化为管辖范围;后者强调美国向外国政府“供应”数据的限制条件,并引入“适格外国政府”这一概念,致使数据的“调取”与“供应”根本不对等。
其一,限制“适格外国政府”的范围。并不是所有的外国政府均有资格依据CLOUD法案向美国申请调取数据,只有被美国认定的“适格外国政府”方能享有法案所规定的权利。CLOUD法案规定的“适格外国政府”的前提条件整体而言较为苛刻。首先,外国的国内法在隐私与公民权利保护领域能够提供实质和程序上的充分保护。而在作出认定时对外国政府的考虑因素包含11项,尤其侧重考虑该外国政府是否是《网络犯罪公约》的缔约方以及其对国际人权义务的遵守情况。其次,采取适当的程序,将涉及美国人信息的获取、留存和散布降低至最小化。最后,在满足以上法律化条件的情况下,与美国签订获取数据的行政协议。从上述条件来看,中国实质被排除在“适格外国政府”之外。
其二,即使外国政府被认定为“适格外国政府”,CLOUD法案对调取数据的范围、程序有着较为繁琐的限定。首先,外国政府不得将美国公民或美国境内的居民作为调取数据的目标,这意味着可供调取的数据类型的范围被严格限缩。其次,对外国政府发布的命令进行严格的程序限制。外国政府调取数据的命令必须与严重的犯罪行为相关,符合该国国内法并应当受到法院的独立审核。外国政府的命令不得侵犯言论自由且应保证通信存储在安全的系统中。最后,美国政府保留认定行政协议对命令不适用的权利。当美国政府认为行政协议被不当援引时,外国政府将无法依据该协议调取存储在美国的数据。
总之,美国模式在实现数据域外管辖的同时,却严格限制外国政府调取数据的请求,这容易招致外国政府的反制措施,进一步引发更加激烈的冲突。
四、中国数据立法的应对
面对数据立法域外管辖所带来的挑战与危机,我国应当制定相应配套策略,并对未来有可能侵犯我国主权利益的行为采取阻断措施。
(一)界定数据保护域外立法管辖的边界
为应对各国个人数据保护法案域外管辖扩张所带来的管辖权冲突,我国应当进一步界定域外立法管辖的边界。只有确定数据保护域外立法管辖的边界,才能缓和各国当前管辖权的平行冲突。
由于国际条约或协议并无相关规定,所以数据保护域外立法管辖应当受到国际习惯法的约束。如果受监管的主体与监管国之间存在真正的联系,国际习惯法允许该国行使立法管辖权。在管辖权原则中,属地管辖与积极属人管辖是最基础、争议最少并获得国际社会广泛认可的管辖权依据。以属地管辖和积极属人管辖为基础,对数据涉外案件行使域外管辖权符合国际习惯法对管辖权的规制。相反,若不是以上述两项管辖权依据为基础,数据保护域外立法管辖的合法性应当接受严格的审查。
在欧盟模式下,效果原则在个人数据保护法案中应用广泛,而在此之前,各国普遍接受以效果原则为基础,主要针对市场垄断行为与证券欺诈行为采取域外管辖。当然,这并不意味着效果原则只能应用于反垄断与证券领域,而是同属地管辖和积极属人管辖原则相比,以效果原则为基础在数据领域行使域外管辖权应当受到更多的限制。尽管国际法对效果原则应当受到的限制条件并不十分明确,但国际法学者已然对四项条件达成一致意见。首先,以效果原则为管辖权基础制定法律的国家应当具有明确的利益。其次,立法意图规制的效果应当是可预见的。再次,必须存在实质性的效果才能开展域外管辖。最后,不得因为缺乏联系导致侵犯他国主权。数据处理行为与在一国产生的效果之间联系越紧密,域外管辖权的行使就更具有合法性,反之,效果原则的应用缺乏理由。归根结底,判断以效果原则为基础行使域外管辖权是否具有合法性,关键在于判断个案中数据控制者或处理者与行使域外管辖权的国家之间的联系是否紧密。是故,关于欧盟模式中域外立法管辖权的边界,若域外适用条款以属地管辖和积极属人管辖为立法管辖权的依据,其合法性毋庸置疑;若以效果原则为依据,则应当严格审查其是否满足条件的限制,数据处理行为与效果之间是否具有真正的联系。若二者不具有联系或联系较为疏远,域外管辖很可能超越合法边界。
当对同一数据涉外案件多国均具有合法管辖权时,国际礼让原则的重要性会凸显。各国平行的个人数据保护法案域外管辖权只要满足合法性的要求,那么就没有高低之分。目前国际法框架下并不存在可以为合法的立法管辖权排列先后顺序的方法。基于属地管辖原则的域外管辖权并不当然优先于其他合法管辖权。针对数据领域域外管辖权冲突的这一问题,签署国际条约或协议无疑是最为彻底的路径,但此种方式过于理想化,各国不仅要付出十分艰辛的努力且会耗费大量时间。此时,一国可以采用国际礼让原则以应对管辖权冲突。国际礼让原则本身并不否认域外管辖,其核心在于利益衡量,即查询是否存在外国主权利益,探究相关利益是否需要得到尊重。运用国际礼让原则解决管辖权冲突的过程实质是通过利益衡量分析来判断何者位于优先地位的过程。但不应忽视的是,国际礼让原则具有局限性。其一,礼让并不是国际法赋予各国的义务。礼让的内容具有模糊性,它的运用并未有清晰的程序。其二,以我国为例,利益衡量的过程要求我国法院在个案中能够精准地了解他国数据法律制度背后的目的和所涉及的管辖利益,这无疑是苛刻的,也无法保证我国所有法院在涉外案件中均可以达到这一程度。总之,在面临多种合法管辖权的平行冲突时,国际礼让原则是解决这一问题的途径之一,但其缺点也是国际法的无奈之处。
(二)外国判决承认与执行制度在数据领域的特殊运用
国际经贸与互联网技术的发展导致以领土划分公法的适用范围已不合时宜,在当代社会中,公法域外适用的合理性已不受质疑。公法与私法二元界限的划分逐步弱化,国际私法制度下域外判决的承认与执行规则可以为数据主体个人数据权益的域外执行提供指引。
符合我国公共秩序是我国承认与执行外国判决的前提。公共秩序是一国在特定时间内、特定条件下和特定问题上的重大或根本利益所在。在承认与执行外国生效的裁决时,若承认与执行会违反法院地国的公共秩序,则可以拒绝承认与执行,这也被称为公共秩序保留制度。就“公共秩序”而言,在不同社会与法律背景下其定义并不固定,因而其内涵具有一定的弹性。我国《涉外民事关系法律适用法》第5条使用了“社会公共利益”这一表述。在审查外国民商事判决中,法院对适用公共秩序保留制度倾向于保持克制立场。2018—2020年,我国并未出现因不符合我国公共秩序而被人民法院拒绝承认和执行外国判决的情形。但外国个人数据案件不同,外国的判决在我国的执行很可能会涉及我国的数据主权。数据主权来源于国家主权,包含了我国在数据领域的国家利益与公共利益。我国法院应当严格审查他国在个人数据案件中的判决是否不利于我国数据主权,换言之,公共秩序保留制度应当在法院审查外国个人数据保护案件的判决中扮演重要角色,而不是被克制运用。欧盟法院在GoogleCNIL案中之所以将谷歌公司执行被遗忘权的范围限于欧盟内部而不是全球,主要原因正是在于考虑到与他国的公共利益可能相冲突。公共秩序保留可以起到安全阀的作用,我国立法或司法应当进一步解释数据领域中公共秩序的边界。只有在符合我国公共秩序的前提下,才需要进一步考虑承认与执行外国判决涉及的其他因素。
《民事诉讼法》第288条和第289条仅对我国的外国民商事判决承认和执行制度作了原则性规定,对外国判决的审查有赖于国际条约的规定和对互惠原则的理解。我国《个人信息保护法》第41条明文规定,主管机关应参照我国参加的国际条约、互惠原则来处理外国跨境调取数据的请求。虽然这一条款针对的是跨境调取数据而并非外国判决的执行情形,但也表明互惠原则是我国处理数据领域涉外案件的原则之一。我国《民事诉讼法》并未对互惠原则有进一步的解释,因而,如何认定互惠关系是关键问题。互惠关系大致包括条约互惠、事实互惠、法律互惠以及推定互惠。《最高人民法院关于人民法院进一步为“一带一路”建设提供司法服务和保障的意见》第24条规定:“采取推定互惠的司法态度,以点带面不断推动国际商事法庭判决的相互承认与执行。”推定互惠是只要他国没有拒绝承认我国判决的先例,就可以推定两国之间存在互惠关系。这一判定标准是在“一带一路”的背景下,为了改善外国民商事判决在我国承认与执行的难题而对互惠采取更为开放的认定立场。尽管在我国个人数据权益被视为一项民事权益,但不可忽视的是,《个人信息保护法》具有公法性质并采用行政手段对数据主体权益加以保护。个人数据权益的背后涉及各国在数据领域的主权利益和公共利益。尤其是在各国纷纷采取数据本土化措施的背景下,适用推定互惠作为互惠关系的判定标准将导致我国承担一定风险。很有可能出现我国承认和执行外国个人数据保护案件的裁决或提供他国司法机关、行政机关所需数据后,我国的判决和跨境取证的请求遭遇他国的拒绝。是故,推定互惠并不适合作为外国数据案件判决承认和执行的依据。
由我国《个人信息保护法》第43条可知,我国可以根据他国所采取歧视性的禁止、限制的实际情况采取对等措施。根据前文所述,我国对跨境调取数据采取非常保守的态度。可以合理推断,我国对涉及数据域外管辖的案件的态度不同于普通的外国民商事案件,倾向于优先保护我国主权利益并与他国保持实质对等。因而,本文认为,对于涉及数据的域外判决,我国应当采用法律互惠的判定标准,方与我国的立法态度保持一致。法律互惠的原意是比较两国在外国判决承认与执行制度之间立法的规定是否相似,但不可否认,由于历史传统、语言表述、以及法律文化等多种因素的影响,两国之间的法律会存在很大差异,且比较两国法律会给法官带来较大的工作量。结合司法实践,本文认为,可以借鉴德国司法机关的做法采取反向推定,即关于承认和执行外国个人数据领域案件的判决,他国立法条件不比我国规定更为严格或比我国立法更为宽松,就认定两国之间存在互惠关系。此外,若我国个人数据涉外案件的判决一旦遭遇他国拒绝执行,我国自然可以采取对等措施,否定互惠关系存在。
(三)完善我国数据的跨境取证模式
由于“数据控制者模式”顺应了国家掌控数据的需要,在未来一段时间内注定与“数据存储地模式”共存。我国应当坚持在维护数据主权的前提下,对我国的“数据存储地模式”予以完善并阻断他国不正当的域外管辖。
在坚持“数据存储地模式”理念的前提下,例外情形的设置是必要的。其一,我国司法机关或行政机关同样具有跨境调取数据的需求。“数据控制者模式”之所以产生并逐步延伸,根本原因在于有助于国家机构便利地获取数据,符合了大数据时代跨境取证的实际需求。一味地全盘固守原本的“数据存储地模式”且不予灵活变通,抗拒他国获取存储在本国的数据,看似保护了本国的数据主权,实则也使本国丧失了与他国建立良好国际执法合作机制的机会。其二,针对跨境调取数据,我国对国内外跨境调取数据的立法态度有所不同。由上文可知,我国对外国跨境调取存储在我国的数据采取严格的“数据存储地模式”。但另一方面,我国立法对我国国家机关跨境调取电子数据的规定稍有突破。2016年发布的《最高人民法院 最高人民检察院 公安部关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第9条第2款和第3款允许我国机构通过网络在线提取存储在他国的电子数据以及进行网络远程勘验。2019年发布的《公安机关办理刑事案件电子数据取证规则》第23条也有类似规定,对公开发布的电子数据、境内远程计算机信息系统上的电子数据,可以通过网络在线提取。可见,我国立法允许我国机构在线提取存储在他国的公开数据,以及通过网络远程勘验获取存储在境外的数据,在一定程度上突破了“数据存储地模式”。
跨境调取电子数据并不一定意味着损害他国的主权利益。就学理分析而言,国际法专家认为如果数据存储在境外的服务器,则访问互联网上可公开获取的电子数据属于一国行使域内管辖权而非域外管辖权的情形。就国际条约而言,《网络犯罪公约》第32条(a)和(b)两个条款分别规定,对于可公开获取的数据以及经过有权披露数据的主体的同意,无须获取他国授权即可跨境访问存储在他国的数据。虽然就可以豁免他国授权的跨境调取数据的情形尚未在全球达成一致,但无论是学理分析抑或是国际条约,在特定情形下的跨境取证并不被认为损害他国正当利益。
国与国之间跨境调取数据所提供的协助是相互的,在不损害本国主权利益的前提下,允许他国跨境调取数据,有助于在双方之间形成良好的合作氛围,更进一步为跨境执法活动的相互协助提供良好的基础。若只寄希望于依托先进的互联网技术或单方面国内法的立法许可,从而获取自身所需要的数据,而不愿他国用相同方式获取存储在本国的数据,那么跨境调取数据的国际合作是无法开展的。我国可以在“数据存储地模式”之外设定例外情形,允许他国执法机关可以在线提取网络数据,以及进行网络远程勘验。
面对美国模式下域外管辖的不断扩张,将互惠原则与数据分类分级保护制度相协调可以较好地平衡我国的需求。目前,《数据安全法》第21条第1款建立了数据分类分级保护制度。《网络安全标准实践指南——网络数据分类分级指引》根据影响对象和影响程度的不同,将网络数据分为一般数据、重要数据以及核心数据三个级别。《网络数据安全管理条例(征求意见稿)》第5条拟对不同级别的数据采取不同的保护措施,国家对核心数据实行严格保护,对个人信息和重要数据进行重点保护。
依前文所述,我国主管机关应当采取变通的法律互惠标准认定互惠关系的存在。面对他国跨境调取数据的请求,我国主管机关需要依据数据的不同分类与级别作出审查。一旦重要数据和核心数据遭遇破坏、非法利用,我国的国家安全、公共利益便会遭受严重损害。是故,关于这两类数据的跨境调取,立法应当予以禁止。一般数据,依据其遭遇非法获取或非法利用后对个人、组织合法权益造成的危害程度不同,从低到高可划分为四个级别。1级数据具有公共传播属性,可对外公开发布、转发传播。即使数据遭遇非法获取或非法利用,也不会对个人与组织的合法权益造成损害。他国执法机关可以通过互联网直接获取,无须经过我国主管机关的批准。这也与“数据存储地模式”的例外情形相一致。互惠原则的适用主要针对2-4级一般数据的跨境调取。我国主管机关应当考虑他国跨境调取数据的条件是否比我国立法宽松,若不比我国严格或更加宽松,则可以认定两国之间存在互惠关系。相反,若他国跨境调取数据的立法条件更为严格,且对我国具有跨境调取数据的立法限制,那么我国主管机关就可不认定存在互惠关系,并且对该国施加对等限制措施。如前文所言,CLOUD法案所规定的立法条件对美国政府和外国政府跨境调取数据具有实质的不对等,我国不符合其所谓的“适格外国政府”的限定条件,从法律互惠标准的角度,很难认定中美互惠关系存在。
为应对他国不当的域外管辖,2021年1月我国商务部发布《阻断外国法律与措施不当域外适用办法》(以下简称《办法》),以阻断外国法律与措施不当域外适用对中国的影响。事实上,我国《个人信息保护法》第41条与《国际刑事司法协助法》第4条第3款的规定已经具有了阻断措施的效果。我国采取阻断措施已经有法可依,但目前阻断立法的体系仍需要进一步细化与完善。
其一,强化阻断立法的执行,并配合豁免程序予以实施。《办法》第13条规定,不遵守阻断立法的中国公民、法人或者其他组织将受到警告与罚款的处罚。只有对这一规定贯彻执行才能使阻断立法不成为一纸空文。2010年6月,在Gucci America,Inc.v.Weixing Li案中,中国银行纽约分行(以下简称“中行”)被要求提供被告在中国境内的账户信息。尽管中行尽全力证明在中国境外披露客户信息的行为将违反中国法律,但纽约地区法院仍然以其藐视法庭为由处以高额罚款。为力争遵守中国法律,在随后的5年时间里中行先后两次上诉,两次被裁定藐视法庭,还在中国就此单独提起诉讼。2016年,高昂的罚款最终迫使中行提交了来自中国境内客户信息。美国法院声称之所以不认可中行的抗辩事由,原因在于美国法院并不相信中行违法后会真的招到中国监管机构的处罚,尤其是中行无法提供相关案例予以证明。可见,阻断立法的执行性会直接影响他国司法机关的评价,强化阻断立法的实施有助于受到他国法院的认可。但一味加强执行亦可能导致个人信息处理者陷入两难。在这一案件背景下若适用阻断立法,中行若遵守中国法律规定,则需要承担来自美国法院的高额罚款;若遵守美国法院的命令,则仍然需要在国内承担罚款。这就迫使中行承担国内与国外的双重风险。是故,面对他国行政机关或司法机关跨境调取数据的要求,应依据具体案件作出不同分析。若调取的数据牵涉国家安全与公共利益,那么即使我国的个人信息处理者面临他国法律的处罚,仍然需要遵守阻断立法,否则将承担我国法律责任。但若调取数据未涉及国家安全与公共利益,且他国域外管辖符合前文所述的管辖权依据,那么个人信息处理者可以依据《办法》第8条申请豁免遵守禁令。因而,我国应当结合实践需求,在强化阻断立法执行性的同时对豁免程序进一步优化,以缓解个人信息处理者的压力。
其二,在数据领域的涉外案件中,进一步明确遵守我国阻断禁令的国内企业所获取的支持。国务院商务主管部门可对外国法律不当的域外适用发布阻断禁令。依据《办法》第11条,若中国公民、法人或者其他组织未遵守他国法律而遭受重大损失的,政府部门可以给予必要的支持。但这一支持究竟是什么,并没有详细解释。这一条款是为遵守禁令的中国企业提供补偿,然而,我国政府可以对企业从哪些方面进行补偿尚不清晰。由于《办法》的效力等级只是部门规章且只有15条,是故,可以将其看作是对阻断立法框架的初步尝试。总之,我国应进一步完善阻断立法体系和执法体系,明确给予遵守阻断禁令的中国个人信息处理者支持的内容,缓解中国企业遭遇的双重风险。
结语
在形成有效的国际协议之前,单边扩张数据立法的域外管辖权限将是各国的主要选择。不假思索地反对这一趋势或无限扩张域外管辖权限都会陷入极端。单边主义下数据域外管辖不可避免将引发管辖权冲突,也可能侵犯他国主权利益。我国已经初步建立了数据域外管辖制度,面对国际两种立法模式所引发的挑战与危机,应当分别制定因应策略。针对依托个人数据保护法案的欧盟模式,可以考虑判定他国行使域外管辖权是否超越边界,并对他国数据领域司法判决的承认与执行进行特殊考量。对于依托跨境取证法案的美国模式下的域外管辖,明晰“数据存储地模式”的例外情形、协调互惠与数据分级分类保护制度更有利于我国在跨境调取数据方面与他国开展国际合作。面对不当的域外管辖,应当进一步完善阻断立法,以保障我国阻断禁令的执行性,配合豁免程序,减轻私主体的双重法律风险。
