《数据立法域外管辖的全球化及中国的应对.docx》由会员分享,可在线阅读,更多相关《数据立法域外管辖的全球化及中国的应对.docx(11页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、翔居立法域外管辖的金妣及中国的应对内容提要:数据跨境流动的实际需要与掌控数据资源的迫切需求致使较多国家单方面立法扩张本国在数据领域的 域外管辖权,这一现象在全球范围内形成明显趋势。数据领域域外管辖的立法模式并非杂乱无章,大致划分为两种:一 是依托个人数据保护法案的欧盟模式;二是依托跨境取证法案的美国模式。在国际习惯法框架下,前者以属地管辖原则 和效果原则为合法性基础,后者以属人管辖原则为依据。但同时,在数据领域,各国域外管辖权的扩张注定会在国际范 围内引起管辖权冲突,且很可能侵犯他国数据主权。我国已经初步建立了个人信息保护法的域外适用制度,面对这一趋 势带来的危机与挑战,我国应当界定数据立法域
2、外管辖的边界,在坚决维护我国主权利益的同时有条件地承认与执行外 国判决,进一步完善数据存储地模式并且强化阻断立法的执行性来应对他国不当的域外管辖。一、问题的提出大数据时代下,由于数据自身虚拟性和可重复利用的特征,数据收集和处理的全球化也更加明显。仅以领土范围 为界对数据的收集、存储、处理、传输进行监管,已然忽视了数据跨境流通频繁的现实,更会造成数据法律制度监管的 疏漏。2018年欧盟通用数据保护条例(General Data Protection Regulation,以下简称GDPR)正式生效,成为全 球数据领域内最具有影响力的立法之一。GDPR为个人数据的利用和保护设立的各项制度,成为众多
3、国家数据立法参考 的蓝本。其中,GDPR第3条赋予了条例自身以域外效力,构建了数据法律的域外管辖制度。2021年11月,我国个 人信息保护法正式施行,其第3条借鉴了 GDPR的立法思路,创设了我国个人信息保护法的域外管辖制度。不 仅如此,英国、印度、巴西、南非、澳大利亚等国家均以GDPR域外管辖法律制度为蓝本,将本国法案的域外效力在全 球范围内延伸。可见,扩张本国数据领域立法的域外效力,已经成为众多国家参与全球数据治理、维护本国数据主权的 通行做法。数据立法域外管辖这一现象已经形成了全球化的趋势。但不可否认的是,这一趋势也给世界各国带来了法律挑战。纵观全球,数据法律制度发展的历史并不悠久,缺乏
4、 涉及数据立法域外管辖的国际条约和协议,由此管辖权的冲突已无法避免。那么,数据立法域外管辖的正当性基础是什 么?其是否会引发法律层面的挑战与危机?面对数据立法域外管辖的全球化趋势,我国又如何保障我国的数据主权?研 究上述法律问题有利于为数据立法的管辖权冲突提供中国方案,同时为我国开启个人信息保护法的域外适用提供参 考意见。对数据立法域外管辖这一主题的探讨,不仅具有实践价值,也具备理论意义。二、数据立法域外管辖的动因与模式数据立法域外管辖的背后是对数据资源的争夺,也是对国际合作不足的回应。目前,世界主要国家或地区授予本 国数据立法域外管辖的模式包括以下两类:第一,颁布数据保护领域的基本法案,全方
5、位规定了数据领域各项主体的权 利义务,并设置域外适用条款。虽然各国所颁布的法案的名称表述并不一致,但均以保护数据主体的权利为核心,本文 将此类法案统称为个人数据保护法案。第二,颁布跨境取证法案,规定在特定情形下行政机关或司法机关享有调取域外 数据的权限,从而赋予法案域外效力。下文将对数据立法域外管辖的动因与两类立法模式进行阐释。(一)数据立法域外管辖扩张的动因第一,现有的国际合作机制无法满足数据保护和跨境调取数据的需求。在数据保护领域,国际合作的成果并不显 著。就多边协议而言,虽然隐私保护和个人数据跨境流动指南与APEC隐私框架较早关注到了数据保护的问题, 但并未构建具有法律约束力的合作机制。
6、就双边合作而言,由于高昂的谈判成本与理念的差异,双边条约呈现出碎片化 的特点。以美欧为例,双方于2000年签订了安全港协议,但该协议只能对自愿加入的美国企业生效而无法约束美国与国之间跨境调取数据所提供的协助是相互的,在不损害本国主权利益的前提下,允许他国跨境调取数据,有 助于在双方之间形成良好的合作氛围,更进一步为跨境执法活动的相互协助提供良好的基础。若只寄希望于依托先进的 互联网技术或单方面国内法的立法许可,从而获取自身所需要的数据,而不愿他国用相同方式获取存储在本国的数据, 那么跨境调取数据的国际合作是无法开展的。我国可以在“数据存储地模式”之外设定例外情形,允许他国执法机关可以 在线提取
7、网络数据,以及进行网络远程勘验。面对美国模式下域外管辖的不断扩张,将互惠原则与数据分类分级保护制度相协调可以较好地平衡我国的需求。 目前,数据安全法第21条第1款建立了数据分类分级保护制度。网络安全标准实践指南网络数据分类分级 指引根据影响对象和影响程度的不同,将网络数据分为一般数据、重要数据以及核心数据三个级别。网络数据安全 管理条例(征求意见稿)第5条拟对不同级别的数据采取不同的保护措施,国家对核心数据实行严格保护,对个人信 息和重要数据进行重点保护。依前文所述,我国主管机关应当采取变通的法律互惠标准认定互惠关系的存在。面对他国跨境调取数据的请求, 我国主管机关需要依据数据的不同分类与级别
8、作出审查。一旦重要数据和核心数据遭遇破坏、非法利用,我国的国家安 全、公共利益便会遭受严重损害。是故,关于这两类数据的跨境调取,立法应当予以禁止。一般数据,依据其遭遇非法 获取或非法利用后对个人、组织合法权益造成的危害程度不同,从低到高可划分为四个级别。1级数据具有公共传播属 性,可对外公开发布、转发传播。即使数据遭遇非法获取或非法利用,也不会对个人与组织的合法权益造成损害。他国 执法机关可以通过互联网直接获取,无须经过我国主管机关的批准。这也与“数据存储地模式”的例外情形相一致。互惠 原则的适用主要针对2-4级一般数据的跨境调取。我国主管机关应当考虑他国跨境调取数据的条件是否比我国立法宽松,
9、 若不比我国严格或更加宽松,则可以认定两国之间存在互惠关系。相反,若他国跨境调取数据的立法条件更为严格,且 对我国具有跨境调取数据的立法限制,那么我国主管机关就可不认定存在互惠关系,并且对该国施加对等限制措施。如 前文所言,CLOUD法案所规定的立法条件对美国政府和外国政府跨境调取数据具有实质的不对等,我国不符合其所谓 的“适格外国政府”的限定条件,从法律互惠标准的角度,很难认定中美互惠关系存在。为应对他国不当的域外管辖,2021年1月我国商务部发布阻断外国法律与措施不当域外适用办法(以下简称 办法),以阻断外国法律与措施不当域外适用对中国的影响。事实上,我国个人信息保护法第41条与国际 刑事
10、司法协助法第4条第3款的规定已经具有了阻断措施的效果。我国采取阻断措施已经有法可依,但目前阻断立法 的体系仍需要进一步细化与完善。其一,强化阻断立法的执行,并配合豁免程序予以实施。办法第13条规定,不遵守阻断立法的中国公民、法 人或者其他组织将受到警告与罚款的处罚。只有对这一规定贯彻执行才能使阻断立法不成为一纸空文。2010年6月, 在Gucci AmericaJnc.v.Weixing Li案中,中国银行纽约分行(以下简称“中行”)被要求提供被告在中国境内的账户信息。 尽管中行尽全力证明在中国境外披露客户信息的行为将违反中国法律,但纽约地区法院仍然以其藐视法庭为由处以高额 罚款。为力争遵守中
11、国法律,在随后的5年时间里中行先后两次上诉,两次被裁定藐视法庭,还在中国就此单独提起诉 讼。2016年,高昂的罚款最终迫使中行提交了来自中国境内客户信息。美国法院声称之所以不认可中行的抗辩事由, 原因在于美国法院并不相信中行违法后会真的招到中国监管机构的处罚,尤其是中行无法提供相关案例予以证明。可见, 阻断立法的执行性会直接影响他国司法机关的评价,强化阻断立法的实施有助于受到他国法院的认可。但一味加强执行 亦可能导致个人信息处理者陷入两难。在这一案件背景下若适用阻断立法,中行若遵守中国法律规定,则需要承担来自 美国法院的高额罚款;若遵守美国法院的命令,则仍然需要在国内承担罚款。这就迫使中行承担
12、国内与国外的双重风险。 是故,面对他国行政机关或司法机关跨境调取数据的要求,应依据具体案件作出不同分析。若调取的数据牵涉国家安全 与公共利益,那么即使我国的个人信息处理者面临他国法律的处罚,仍然需要遵守阻断立法,否则将承担我国法律责任。 但若调取数据未涉及国家安全与公共利益,且他国域外管辖符合前文所述的管辖权依据,那么个人信息处理者可以依据 办法第8条申请豁免遵守禁令。因而,我国应当结合实践需求,在强化阻断立法执行性的同时对豁免程序进一步优 化,以缓解个人信息处理者的压力。其二,在数据领域的涉外案件中,进一步明确遵守我国阻断禁令的国内企业所获取的支持。国务院商务主管部门 可对外国法律不当的域外
13、适用发布阻断禁令。依据办法第11条,若中国公民、法人或者其他组织未遵守他国法律 而遭受重大损失的,政府部门可以给予必要的支持。但这一支持究竟是什么,并没有详细解释。这一条款是为遵守禁令 的中国企业提供补偿,然而,我国政府可以对企业从哪些方面进行补偿尚不清晰。由于办法的效力等级只是部门规 章且只有15条,是故,可以将其看作是对阻断立法框架的初步尝试。总之,我国应进一步完善阻断立法体系和执法体 系,明确给予遵守阻断禁令的中国个人信息处理者支持的内容,缓解中国企业遭遇的双重风险。结语在形成有效的国际协议之前,单边扩张数据立法的域外管辖权限将是各国的主要选择。不假思索地反对这一趋势 或无限扩张域外管辖
14、权限都会陷入极端。单边主义下数据域外管辖不可避免将引发管辖权冲突,也可能侵犯他国主权利 益。我国已经初步建立了数据域外管辖制度,面对国际两种立法模式所引发的挑战与危机,应当分别制定因应策略。针 对依托个人数据保护法案的欧盟模式,可以考虑判定他国行使域外管辖权是否超越边界,并对他国数据领域司法判决的 承认与执行进行特殊考量。对于依托跨境取证法案的美国模式下的域外管辖,明晰“数据存储地模式”的例外情形、协调 互惠与数据分级分类保护制度更有利于我国在跨境调取数据方面与他国开展国际合作。面对不当的域外管辖,应当进一 步完善阻断立法,以保障我国阻断禁令的执行性,配合豁免程序,减轻私主体的双重法律风险。国
15、政府,因而无法为欧盟数据主体提供充分保护,于2015年被欧盟法院宣布无效。经过艰难的谈判,双方于2016年 达成隐私盾协议,却因数据保护理念存在差异,2020年该协议再次被宣布无效。可见,无论是多边协议还是双边 条约,尚未在数据保护方面形成有效的国际合作机制,无法满足数据保护的迫切需求。此外,关于跨境调取数据,在单 边扩张数据域外管辖之前,国家跨境调取存储在境外的数据更多的是借助司法互助协定。但司法互助协定的缺陷非常明 显,首先,司法互助协定仅限于缔约方之间,未与他国签订司法互助协定将无法跨境调取所需要的数据。现如今,司法 互助协定缔约方的覆盖范围远远无法与跨境调取数据的需求相匹配。其次,即使
16、缔约方签订了司法互助协定,调取数据 仍然需要对方政府批准,数据的调取存在不确定性。尤其当各国对数据流动政策收紧时,数据调取的难度会进一步增大。 最后,通过司法互助协定跨境调取数据程序繁琐,工作效率较低,运行时间长。美国前总统奥巴马的情报和通信技术审 查小组曾深入研究司法互助协定程序,发现借助司法互助协定来调取数据平均大概会耗费10个月的时间。但在刑事案 件中行政部门或司法机关需要迅速获取相关数据,因此原有的司法互助合作机制根本无法满足现今跨境调取数据的需 要。第二,各国借助国内立法扩张域外管辖权,提升在全球数据领域的国家竞争力。当代社会数据资源的重要性不言 而喻,其已经成为互联网企业运营的“生
17、产要素”。但由于互联网产业在世界范围内发展并不均匀,各国在数据领域的竞 争力不同,掌握数据资源的能力自然有较大差异。通过国内数据立法扩张域外管辖权有利于保护境内数据主体的权益, 防止境外互联网企业规避法律,并可以对非法获取或处理境内个人数据的境外企业实施处罚。此外,域外管辖权的延伸 更有利于借助法律的“外衣”,帮助各国进一步掌握更多的数据资源,提升本国在全球数据领域中的竞争力,扭转在原有 互联网格局中的劣势或进一步巩固自身的优势。(二)依托个人数据保护法案的欧盟模式为保护本国数据主体的权益并提高自身参与制定国际社会数据领域规则的竞争力,各国纷纷颁布个人数据保护法 案并以欧盟的GDPR为蓝本,通
18、过域外适用条款的形式规定了法案在全球范围内的域外管辖权。此种依托个人数据保护 法案扩张数据立法域外管辖的模式,即欧盟模式。在欧盟模式之下,GDPR第3条为法案的域外管辖设立了三项标准: 设立机构标准(The Establishment Criterion),目标导向标准(The Targeting Criterion)以及依照国际公法适用标准。 其中的“依照国际公法适用”标准是指在符合国际公法的情形下GDPR可以域外适用,不需要特殊解释,本文着重对前两 项标准进行探讨。GDPR第3条第1款规定“条例适用于在欧盟内数据控制者或处理者设立机构活动的背景下对个人数据的处理,不 论其实际数据处理行为是
19、否在欧盟内进行。欧盟数据保护委员会(European Data Protection Board,以下简称EDPB) 主张考虑两项因素来确定个人数据的处理是否属于GDPR第3条第1款的适用范围。第一,数据控制者或处理者在欧 盟设立的场所是否符合GDPR意义上的“设立机构”的定义。第二,处理行为是否满足“在设立机构活动的背景下”这一含 义。第一,关于“设立机构”的内涵,GDPR序言第22条提供了解释,即设立机构意味着通过稳定的安排而有效和真实 地开展活动。设立机构的法律形式并不局限于具有法人资格的子公司或分支机构。通过分析欧盟法院关于 WeltimmoNAIH、Verein fur Konsum
20、enteninformationAmazon EU 以及 Google Spain SL,Google Inc.AEPD 等案件的 判决,可以发现法院对设立机构的界定较为宽泛,主要考量稳定的安排和真实有效的活动两项因素。设立机构的概念几 乎可以延展到通过稳定的安排开展任何真实有效的活动,即使是最小的活动。当数据控制者的活动涉及在线服务提供时, 稳定的安排的门槛实际上可能很低。甚至在某些情况下,非欧盟企业在欧盟内部聘用一名雇员或代理人即可能构成稳定 的安排,只要该员工或代理人开展活动的行为足够稳定。第二,关于数据控制者或处理者的个人数据处理行为是否满足“在设立机构活动的背景下”这一条件,应当基于
21、案件 具体分析。EDPB主张,可以考虑以下两个因素进行判定。一是欧盟以外的数据控制者或处理者与其在欧盟内设立机构 之间的关系。若欧盟外的数据控制者或处理者的数据处理行为与成员国当地设立机构的活动密不可分,则可能触发 GDPR的适用。即使设立机构事实上并未在数据处理过程中发挥任何作用,亦不影响GDPR的域外适用。二是设立机 构是否增加数据控制者或处理者的收入。若设立机构的行为有助于欧盟外数据控制者或处理者收入增加,则设立机构的 行为可被视为与数据控制者或处理者的个人数据处理行为密不可分。例如,在Google Spain SL,Google Inc.AEPD案中, 谷歌西班牙公司是谷歌公司在西班牙
22、设立的子公司,诉讼中涉及的个人数据处理行为完全由母公司谷歌公司进行,谷歌 西班牙公司没有任何干预,其仅为谷歌公司搜索引擎服务的广告活动提供支持。欧盟法院认为,若谷歌西班牙公司在欧 盟成员国推广和销售谷歌公司搜索引擎提供的广告空间,从而使该引擎提供的服务有利可图,则谷歌公司的活动与其位 于西班牙的子公司的活动密不可分,满足“在设立机构活动的背景下”这一条件。数据控制者或处理者的行为一旦满足上 述两项条件,即可触发GDPR对个人数据处理行为的适用,至于个人数据处理行为的地点与适用GDPR无关。与欧盟“设立机构标准”相比,我国个人信息保护法第3条第1款规定得较为简单,即“在中华人民共和国境内 处理自
23、然人个人信息的活动,适用本法”。与GDPR不同,个人信息保护法第3条第1款更关注个人数据处理行为 的地理位置。除非满足第3条第2款的规定,否则发生在境外的个人数据处理行为不适用我国个人信息保护法。可 见,我国这一条款的规制范围与欧盟“设立机构标准”相比稍窄。设立机构标准有着明显的缺陷,若欧盟境外的数据控制者或处理者不在欧盟境内设立机构或关停原有的设立机构, 则可以绕开GDPR第3条第1款的规定。为了防止规避法律,“目标导向标准”应运而生。GDPR第3条第2款规定, 即使数据控制者或处理者不在欧盟设立,但下列两种情形下仍然适用GDPR: (a)为欧盟内的数据主体提供商品或服 务一不论此项商品或服
24、务是否要求数据主体支付对价;(b)对发生在欧盟范围内的数据主体的活动进行监控。在评 估适用目标导向标准的条件时,EDPB建议采用双重方法:其一,确定个人数据处理行为是否与欧盟境内数据主体有关; 其二,确定处理行为是否与提供商品、服务或监控数据主体在欧盟中的行为相关。首先,关于“欧盟内数据主体的个人数据,GDPR序言第14条规定“本条例提供的保护应适用于与处理个人数据有 关的自然人,无论其国籍或居住地如何工EDPB认为,目标导向标准的适用不受数据主体的公民身份、居住地或其他类 型的法律地位的限制。可见,目标导向标准所指的欧盟境内数据主体不局限于欧盟公民。其次,关于处理行为是否与提供商品、服务或监
25、控欧盟数据主体相关,应当在个案中判断。判断是否存在提供商 品或服务的情形,对价的支付并不是决定因素。GDPR序言第23条进一步解释考量因素,如使用成员国普遍使用的语 言或货币,或提及欧盟用户等。EDPB主张,应结合案件事实,综合考量多项因素,如是否向欧盟受众发起营销活动, 是否提供专用地址或联系电话,是否使用成员国的语言、货币,以及是否向欧盟内的消费者或使用者提供商品或服务等。 无意或偶然地向欧盟内的数据主体提供商品或服务时,个人数据的相关处理不属于GDPR的适用范围。此外,关于“监控数据主体的行为”,被监控的行为必须与欧盟内的数据主体相关且必须发生在欧盟境内。“监控”一 词意味着数据控制者或
26、处理者将收集或重复利用欧盟内主体的相关数据。GDPR序言第24条指出,个人数据的处理是 否涉及对数据主体行为的监控,潜在的后续使用分析技术是一个关键考虑因素,包括通过其他类型的网络或技术进行跟 踪,例如可穿戴设备和其他智能设备。不可否认,目标导向标准较好地防止欧盟境外公司规避法律的行为,立法水平较高。我国个人信息保护法第3 条第2款的规定与这一标准相似,前两项所规定的情形正是对“目标导向标准”的借鉴。(三)依托跨境取证法案的美国模式为掌控数据资源,通过扩大自身跨境调取电子数据的权限实现国家利益的最大化也是扩张域外管辖的途径之一。 此种依托跨境取证法案扩张数据立法域外管辖的模式,即美国模式。20
27、18年美国国会通过美国澄清境外数据合法使用法案(Clarifying Lawful Overseas Use of Data Act,以下简 称CLOUD法案),标志着美国刑事案件跨境调取数据模式从“数据存储地模式”向“数据控制者模式”转变。“数据存储地 模式”是指依据数据存储的地理位置来判断一国调取数据的管辖权范围;“数据控制者模式”则是要求为本国提供服务的运 营商在特定情形下,尤其是在重大刑事案件中,提交自身掌握或控制范围内的数据。一直以来,“数据存储地模式”在取 证中占据主导地位,这是由于多年前各国的数据以存储在本国境内为主,也是国家主权原则的体现。在CLOUD法案出 台之前,关于能否调
28、取由美国数据控制者掌控却存储在境外的数据这一问题,美国存储通信法案(Stored Communication Act,以下简称SCA)语焉不详,引发了美国司法部与微软公司长达五年的纠纷。在Microsoft Corp.United States案中,诉讼起因是美国执法部门在调查一起毒品犯罪案件时,要求微软公司向政府提供存储在爱尔兰的某一邮件 用户的全部信息,但微软公司强调其主动披露的行为可能会违反欧盟关于个人信息保护的规定,拒绝提供相关数据。美 国联邦第二巡回法院作出支持微软公司的判决,认为搜查令不具有域外效力。这一案件引起美国法律学者和其他法院的 激烈讨论,有观点认为二审法院对域外性的理解不
29、当。在这一背景下,CLOUD法案应运而生,法案全文主要解决两项 问题:第一,在刑事案件中,允许美国政府跨境调取存储在外国的数据,即“调取”;第二,在特定条件下,允许外国政 府调取美国境内的数据,即“供应”。CLOUD法案超越了国家领土的界限,单方面延伸了美国执法机关刑事跨境调取数据的管辖权,更是利用了美国在 数字领域拥有众多跨国互联网企业的巨大优势,最大化地帮助美国执法机构掌控数据资源。跨境调取数据的关键因素也 从国家领土界限转移到数据控制者的地理位置,突破了原有的“数据存储地”模式。在美国以CLOUD法案开启“数据控制者模式”后,其他国家相继效仿其立法路径,颁布法案扩张本国跨境取证的域 外管
30、辖权。2018年澳大利亚通过了电信和其他法律修正(协助和访问)法案,授权执法和情报部门可以要求私营 机构提供技术协助。无论向澳大利亚提供通信服务的组织或个人是否在澳大利亚境内设立机构,只要其提供的服务为澳 大利亚境内的终端用户所享有,通信服务提供者均属于该法案的适用范围。与此相似的是,2019年英国出台犯罪(海 外生产订单)法案,赋予执法机构和检察官直接从英国境外的服务提供商处获取电子数据的权力,以便对严重犯罪进 行刑事调查和起诉。2020年欧盟议会修订欧盟刑事程序电子证据提交令和保存令条例草案,允许欧盟成员国政府 部门针对所有刑事犯罪可以发布“提交令”,用于从服务提供商处获取用户数据或IP地
31、址;若涉及至少3年监禁的刑事犯 罪,还可要求服务提供商提供交易数据(trafficdata)或内容数据(contentdata)。总之,在刑事案件中,澳大利亚、 英国和欧盟借鉴美国CLOUD法案,单方扩大自身跨境调取数据的权限,从而达到域外管辖的目的。与英美等国家不同,我国立法坚持严格的“数据存储地模式”,且对他国在我国的跨境取证持保守态度。我国国际 刑事司法协助法第4条第3款规定:“非经中华人民共和国主管机关同意,外国机构、组织和个人不得在中华人民共 和国境内进行本法规定的刑事诉讼活动,中华人民共和国境内的机构、组织和个人不得向外国提供证据材料和本法规定 的协助。”据此,外国机构、组织和个人
32、在我国境内从事刑事诉讼活动或获取证据资料,必须经过我国境内主管机关的同 意。我国个人信息保护法第41条也作出相似规定:“非经中华人民共和国主管机关批准,个人信息处理者不得 向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。”这表明我国立法坚持对跨境调取数据采取“数据 存储地模式:不仅如此,在国际社会协商涉及打击网络犯罪条约的过程中,我国明确对跨境数据直接调取持否定态度。 早在2011年,中国代表团出席联合国网络犯罪问题专家组首次会议并发言,指出网络犯罪公约(Convention on Cybercrime)第32条(b)款的实质是域外取证,因涉及到主权和管辖权,极易引起争议。这也成
33、为中国并未加入这一 公约的理由之一。综上,我国对跨境调取电子数据坚守“数据存储地模式”,且对跨境调取数据模式的转变持否定态度。三、数据立法域外管辖模式的评析尽管各国数据立法域外管辖的不断扩张与当今世界数据领域的竞争紧密相关,但其域外管辖模式依旧需要遵循国 际法的约束。在缺少相关国际条约或协议予以充分协调的情形下,数据域外管辖权的不断扩大不可避免地引发各国管辖 权冲突。(一)欧盟模式的管辖权基础与困境欧盟模式集中于数据保护领域,借助欧盟单一市场来实现对数据控制者或处理者的管辖,但缺乏对数据保护域外 执行方案的进一步说明,也并未解释如何处理管辖权冲突的问题。美国对外关系法重述总结了国际习惯法框架下
34、立法管辖权的依据,包括属地管辖(主观属地管辖与客观属地 管辖)、属人管辖(积极属人管辖与消极属人管辖)、普遍管辖、保护性管辖与效果原则。其中,前四项管辖权原则承 继于1935年美国哈佛研究所拟定的关于犯罪的管辖权公约草案)(Draft Convention on Jurisdiction with Respect to Crime),也被普遍作为判断管辖权行使是否合法的标准;效果原则由美国于1945年在United StatesAluminium Co.of America案中创设,并逐步由反垄断领域向证券、数据等领域延伸。以GDPR第3条为代表的域外适用条款在国际法框 架下具有合法性基础。尽
35、管有关数据立法域外管辖的国际条约或协议较少,但GDPR第3条的规定符合国际习惯法上 管辖权公认的依据。“设立机构标准”下的域外管辖以属地管辖原则为基础。领土是行使管辖权最古老、最常见、争议最少的依据。第一, 根据主观属地管辖原则,虽然某一行为的后果发生在境外,但一国可以对在其领土内发生或开始的行为行使立法管辖权。 第二,根据客观属地管辖原则,一国可以对在该国以外开始或发生的行为行使立法管辖权,如果该行为在该国境内完成, 或者构成要件发生在该国境内。“设立机构标准”正是对客观属地管辖原则的应用。一旦外国网站或在线服务提供商在欧 盟境内设置机构,存在“设立机构”的连接点,无论个人数据的处理行为是否
36、发生在欧盟境内,只要满足“在设立机构活动 的背景下”这一条件,则欧洲监管机构享有监管权限。欧洲学者也将这一管辖权依据称为“领土原则”。“目标导向标准”下的域外管辖以效果原则为基础。国际法承认一国有权就对其领土产生实质性影响的行为制定法 律。在“效果主义”学说下,国家可以根据境外发生的行为在国家内部产生实质性影响这一事实来主张管辖权。这一概念 与客观领土观念密切相关,但它并不要求被规制行为的任何要素实际上发生在国家领土内,是对属地原则的进一步演化。 效果原则通常被认为是最具争议性的管辖权基础,尽管法律学者提出诸多批评,但它已被广泛用于互联网领域。当涉及 外国数据控制者在欧盟的个人数据处理活动时,
37、“目标导向标准”更明确地依赖“效果原贝来补充“领土原贝的缺漏。数据 控制者或处理者的处理行为无论是向欧盟境内主体提供商品或服务,还是与监控数据主体的行为有关,均在欧盟产生实 质性影响,符合效果原则的内涵。总之,以GDPR第3条为代表的域外管辖条款,以客观属地原则和效果原则作为管辖权的依据,其域外管辖的扩 张具有国际习惯法下的合法性基础。尽管欧盟模式在立法层面具有合法性基础,但是其立法管辖范围的单边扩张不仅会引起各国在数据领域管辖权的 平行冲突,也会加剧域外执行的困难。(1)单边主义下域外管辖的平行冲突与普通民商法法律域外适用所产生的法律冲突不同,个人数据保护法案具有公法性质,一旦对同一案件的管
38、辖权 发生冲突,则无法通过国际私法的法律选择方法决定法律适用。不可否认,各国的个人数据保护法案均规定了数据主体 的权利与数据控制者或处理者的义务,但同时也对国家机关的职责和数据控制者或处理者的法律责任进行规定。以我国 个人信息保护法为例,其第4章和第5章明文规定了自然人所享有的个人信息权益和个人信息处理者的义务,同时 对国家网信部门的法定职责和个人信息处理者的行政责任也有着大篇幅的规定,因而个人信息保护法具有“半公半私” 的法律性质。与私法不同,由于公法会涉及国家利益或社会公共利益,一国公法在内、外国的地位是不同的,外国公法 几乎没有法律适用的余地。即便可以通过国际条约的方式对公法的域外管辖予
39、以协调,但极其艰辛与耗时的国际谈判并 不能满足实际需求。正因如此,一国公法的域外适用是以单边主义方法为基础,在反垄断、证券等领域各国通过设定法 律域外适用条款扩张域外管辖权。个人数据保护法案在本质上会涉及一国对数据领域的管制权,关系到国家的数据主权 和管辖利益,也反映一国在数据治理方面的价值选择。目前,各国纷纷单边设置本国个人数据保护法案的域外适用条款, 数据立法域外管辖权的平行冲突无法避免。在单边主义立法背景下,域外管辖关系到各国数据利益的博弈,即使个人数 据保护法案借助了诸如设立机构、效果发生地等连接点,但这也只是扩大内国数据保护域外管辖的方式,并不是为了确 定在何种情形下适用外国个人数据
40、保护法案。是故,欧盟模式下管辖权的平行冲突无法借助冲突法律规范调整。(2)域外适用的执行困境除却各国个人数据保护法案的域外管辖权可能出现平行冲突,域外适用条款的可执行性也颇受质疑。GDPR第3 条在域外适用的道路上走得太远,导致GDPR在国际舞台上难以证明其适用范围的合理性。更糟糕的是,GDPR的实 际执行难以保证,最终导致条款的选择性执行。2019年欧盟法院在GoogleCNIL案中对数据主体被遗忘权的执行范围 进行澄清,欧盟法院裁决谷歌公司作为搜索引擎运营商必须删除欧盟范围内所有版本上涉及数据主体的特定链接,但同 时主张GDPR的条款并没有对谷歌公司位于欧盟以外的搜索引擎版本施加义务,即谷
41、歌公司无须删除欧盟境外其他搜索 引擎版本的链接。换言之,数据主体被遗忘权的执行范围局限于欧盟内部,而非全球。欧盟法院强调了在全球删除链接 的困难,并指出对公共利益的理解在国与国之间有很大差异,因此,面对言论自由与个人数据保护的冲突,不同国家可 能会作出不同的利益平衡。然而,即使欧盟法院将这一判决的执行范围延伸至全球,这一判决在美国几乎无法执行。针 对报纸执行被遗忘权几乎注定违反美国宪法第一修正案对言论自由的保护。尽管美国联邦最高法院承认个人隐私权的重 要性,但只有在对国家保护的利益造成直接危险时才会对媒体的言论自由予以限制。一旦涉及发布具有公共重要性内容 的情形,隐私权应予以让位。法律条款域外
42、管辖的范围越广泛,其在境外执行的难度倾向于更高。迄今为止,国际社会还没有建立起跨境数据 保护执法体系。至少在全球不同司法管辖区域的数据保护层次统一达到合理水平之前,此类执法体系不太可能构建。只 要各国对数据保护的程度和采取的方法不同,现有关于相互承认和执行判决的国际安排对于数据主体权利和对个人信息 处理者责任的执行可能并不有效。由于对他国个人数据保护法案立法理念的把握并不精准,且考虑到不能让本国成为保 护他国数据主权利益的代理人,有关数据域外管辖案件的判决难以在境外得到执行。(二)美国模式的管辖原则与执法冲突与欧盟模式不同,美国所采取的数据控制者模式从法案颁布之初,便是为了调取存储在他国的数据
43、,具有鲜明的 域外执法色彩。在缺乏国际条约授权和外国政府有效同意的条件下,美国模式很可能引发跨境调取数据与他国主权的尖 锐冲突。“数据控制者模式”突破了国家领土的界限,将管辖权范围确立为数据控制者所在地,强化了属人管辖原则的运用。 属人管辖原则包含积极属人管辖原则与消极属人管辖原则。积极属人管辖原则是指一国可以对其国民(包括自然人和公 司)在境外的行为、利益、地位和关系行使立法管辖权,是国际法最古老和争议最少的管辖权基础之一。消极属人管辖 原则是指一国可对外国国民在境外对本国国民所实施的特定行为行使管辖权。虽然这一原则在特定网络犯罪行为上已经 被整体接受为行使域外管辖权的基础,但是其是否可以广
44、泛适用于网络领域,仍然存在争议。毋庸置疑,国际法承认一 国对其本国国民在境外的行为所制定法律的管辖权,一国可以通过将国内法适用于本国国民在境外的行为来行使立法管 辖权。在网络领域,一国可以将国内法适用于该国自然人、法人所实施的完全发生在境外的网络行动。“数据控制者模式” 下美国域外管辖权的行使依据接近属人管辖原则。在Microsoft Corp.United States案件中,微软公司作为美国的服务提 供商,将数据存储在爱尔兰的行为属于美国公司在境外的网络活动。CLOUD法案便是以积极属人管辖原则为基础,将 微软公司在境外的数据活动纳入管辖范围。值得注意的是,尽管CLOUD法案的立法看似尊重
45、了国际习惯法下的属人管辖原则,但并不代表美国域外执法调 取数据的行为自然获得正当性。域外立法管辖与域外执法管辖所受到的国际法限制是截然不同的,前者侧重于具备实质 联系,后者需要国际条约授予的特定权力和外国政府的有效同意。虽然美国司法部宣传CLOUD法案并未超出美国宪法 的限制,但是这其实是模糊了立法管辖与执法管辖的差异,只会进一步加深跨境调取数据与外国国家主权的冲突。美国模式虽然弥补了司法互助协定的弊端,但执法机构单方对刑事案件跨境调取数据的域外执法行为欠缺合法性 基础,美国政府调取数据与供应数据的立法规定也明显不对等。(1)域外执法的合法性不足属人管辖原则无法为美国模式在刑事案件中单边调取境
46、外数据的执法行为提供符合国际法的法律依据。一国行政 机关在境外的行政执法,包括处罚、强制等,或司法协助如调查、逮捕、执行判决或司法程序等归属于一国域外执法管辖权的范围。执法管辖权受到的国际法限制要大于立法管辖权受到的限制。执法管辖权必须以存在立法管辖权为基础, 但是仅仅存在立法管辖权并不足以行使执法管辖权。基于主权原则,一国的执法管辖权一般限于国内,包括在该国登记 的船舶和航空器上。只有在国际法赋予特定权利或获得他国政府有效同意的情况下,一国才可行使域外执法管辖权,否 则便有可能构成对他国主权的侵犯。由前文分析可知,以CLOUD法案为代表的美国模式,借助属人原则单边扩张在数 据领域的域外立法管
47、辖权。单边主义下一国制定的法案并不足以构成执法机构调取境外数据的合法性基础。在未签订国 际条约或未获得他国授权的前提下,强制要求未在本国注册的他国数据控制者提供数据,存在侵犯他国主权的嫌疑。由 于数据领域已经被视为国家未来竞争和发展的重要领域,缺乏合法性基础的域外执法很可能引起他国的激烈反对并实施 对等行为。(2)数据“调取”与“供应”的不对等CLOUD法案对“适格政府”的限制性要求导致数据在“调取”与“供应”方面出现失衡。前者着重利用美国互联网技术的 优势,允许美国较为容易地“调取”存储在外国的数据,将美国在全球互联网行业中的市场份额转化为管辖范围;后者强 调美国向外国政府“供应”数据的限制
48、条件,并引入“适格外国政府”这一概念,致使数据的“调取”与“供应”根本不对等。其一,限制“适格外国政府”的范围。并不是所有的外国政府均有资格依据CLOUD法案向美国申请调取数据,只有 被美国认定的“适格外国政府”方能享有法案所规定的权利。CLOUD法案规定的“适格外国政府”的前提条件整体而言较为 苛刻。首先,外国的国内法在隐私与公民权利保护领域能够提供实质和程序上的充分保护。而在作出认定时对外国政府 的考虑因素包含11项,尤其侧重考虑该外国政府是否是网络犯罪公约的缔约方以及其对国际人权义务的遵守情况。 其次,采取适当的程序,将涉及美国人信息的获取、留存和散布降低至最小化。最后,在满足以上法律化
49、条件的情况下, 与美国签订获取数据的行政协议。从上述条件来看,中国实质被排除在“适格外国政府”之外。其二,即使外国政府被认定为“适格外国政府,CLOUD法案对调取数据的范围、程序有着较为繁琐的限定。首先, 外国政府不得将美国公民或美国境内的居民作为调取数据的目标,这意味着可供调取的数据类型的范围被严格限缩。其 次,对外国政府发布的命令进行严格的程序限制。外国政府调取数据的命令必须与严重的犯罪行为相关,符合该国国内 法并应当受到法院的独立审核。外国政府的命令不得侵犯言论自由且应保证通信存储在安全的系统中。最后,美国政府 保留认定行政协议对命令不适用的权利。当美国政府认为行政协议被不当援引时,外国政府将无法依据该协议调取存储 在美国的数据。总之,美国模式在实现数据域外管辖的同时,却严格限制外国政府调取数据的请求,这容易招致外国政府的反制 措施,进一步引发更加激烈的冲突。U!中国数