X

李元婷|比较法视野下的数据治理规则域外适用与冲突协调

李元婷 上海对外经贸大学法学院硕士研究生

内容摘要:具有域外效力的内国法律已经从刑事立法延伸至涉外经济相关立法,并有进一步扩张趋势。从立法层面看,国内法的域外适用规定与国际法中的管辖规则近乎一致。在数据治理规则中,由于数据大多以电子的形式、依托网络而存在,网络空间的无国界性对传统的国际管辖规则造成巨大挑战。实践中,欧盟、美国、亚太各国均扩大其数据治理规则的域外效力,以寻求各自数据规则的域外适用以及国际法层面的数据规制话语权。这一扩张这不可避免地导致了数据治理规则的域外适用的无序与冲突。因此,应当根据国际法规定,在数据立法中兼顾域外适用的谦抑;并在国际法层面进行合作,探索各国数据规则的兼容机制。

一、引言

2019年10月,党的十九届四中全会通过的决定指出,要“加强重要领域立法,加快我国法域外适用的法律体系建设,以良法保障善治”。2021年《“十四五”规划纲要》要求构建“放管并重”的国内数字规则。可见,数据治理规则的域外适用值得重视。相较于国内私法的域外适用问题,数据治理涉及公法和私法两个法律部门,具有领域法的性质。因此,数据规则的域外适用问题更加复杂。首先,公法涉及国家机关对国内事务的管辖权,是规定国家机关权利义务的法律。将国内公法的效力扩张到一国领域之外,可能侵犯其他国家的主权。其次,公法通常不会被外国法院适用。一国司法或执法机构根据国内公法所作的判决或决定,通常也难以在该国域外执行。再者,公法的域外适用问题与国家管辖权问题难以区分。Christopher教授指出,在数据保护法的语境下,冲突法规则和管辖权规则都服务于同样的目的,其界限非常相近。实践中,国内数据保护机构通常会将“法律适用”等同于“管辖”,例如2009年西班牙数据保护机构对其数据法下的法律适用和管辖适用同一规定。基于此,判断国内公法域外适用是否合法,关键在于:1)是否具有国际法上的管辖权基础;2)该国是否对某一行为具有不可替代或重要的管辖利益。

然而,考虑到数据信息主要依托信息技术而存在,而信息技术对传统法律体系中时间和领土空间的突破,使得传统国际法管辖规则难以直接适用于网络空间的数据处理行为,对于判断国内数据治理规则的域外适用的合法性问题造成阻碍。例如,我国绝大多数法律将适用范围规定为“适用于中华人民共和国境内”,即使是个人信息保护法和数据安全法亦区分了“境内”和“境外”的数据或信息处理行为。那么,网络空间中如何定义“境内”?对于这个问题的解释要考虑两个层面:第一,如何区分数据处理行为是否存在于境内;第二,如何判断数据是否位于境内。对此,各国法律规定不同,学者亦众说纷纭。

实践中,欧盟与美国在2018年分别生效的GDPR、CLOUD法案均将其司法或执法的“触角”伸向别国,意图扩大本国数据治理规则的域外效力,积极参与并强占国际规则制定的话语权,构造统一保护水平的国际数据保护规则。除此之外,日本、澳大利亚、新加坡等国家亦有通过设置专门的连接点,扩大数据治理规则的域外适用的现象。上述现象造成了不同国家之间法律适用重叠或冲突,亦存在违反国际礼让原则、侵犯他国数据主权之嫌。1980年经济合作与发展组织在《隐私保护和个人数据跨界流动指南》在宏观上规定了个人数据保护的基本原则,但是没有回答各国数据规则的适用冲突问题血。亚太经济合作组织在2016年《APEC隐私框架》中仅强调合作,而没有提出更有建设性的解决方案。此外,国际法上也没有条约或习惯国际法规则对各国的数据治理规则进行统一协调,仅在各种贸易协定的电子商务部分浅尝辄止。因此,各国国内数据治理规制的冲突问题以及我国现有数据治理规则的域外效力条款不清晰、对域外适用的谦抑性关注不够的问题,尚待解决。

二、相关概念界定

(一)数据治理规则的性质

根据2021年《“十四五”规划纲要》,数据治理规则包括数据保护规则和鼓励数字经济发展相关规则,一体两面。两项主要规则中即体现了对公权力机关对数据主体的个人信息权的保护、对数据处理者行为的规范等公法义务,也体现了私人主体间侵犯个人信息权的损害赔偿等私法责任。因此,数据治理规则整体属于领域法。又因为,私法的域外适用可以通过准据法确定规则解决,文本不对其进行讨论。因此,本文仅将数据治理规则视为国际公法,对其域外适用问题进行讨论。

(二)域外适用相关概念辨析

对于国内法域外适用的概念,笔者认为,国内法域外适用是指“一国权力机构对在本国域外发生的行为、不具有本国国籍的主体或位于本国域外的客体适用本国法律进行规制”。这一概念中有以下两点需要关注:首先,“域外”一般指一国领土范围之外,但是一国对其所管辖的毗连区、专属经济区也享有有限的国家主权或管辖权。其次,“域外适用”与“域外效力”和“域外管辖”的区别。

1.域外效力

法的效力是指法律所固有的对其规制对象的约束力;法的适用是指将法律规范适用于具体案件以获得判决的全过程,包括探寻可以适用的法律、确定法律规范的构成要件和法律效果、将案件事实置于构成要件之下以获得特定结论的逻辑思维过程。孙南翔指出,法的域外效力是其域外适用的前提商。此外,国内法的域外效力一般体现在具体规则中,例如个人信息保护法第3条关于适用范围的规定、网络安全法第75条关于域外违法行为的法律责任的规定等。而国内法的域外适用则体现在国内法院适用本国法律对域外人、物、行为进行判决,或本国执法机构适用本国法律对域外违法行为进行裁决或在域外执行本国法院判决的具体行为。

2.域外管辖

国际法上的“管辖权”涉及一国对人、财产和行为进行规范或施加影响的权力,反映了国家主权原则、国家平等原则和不干涉内政原则。域外管辖既包括一国制订法律规制域外发生的行为的权力,又包括一国法院和执法机构对域外行为适用国内法的权力。因此,根据管辖权行使的方式,可以将其分为立法管辖权、司法管辖权和执法管辖权。立法管辖权,又称规范管辖权或立法能力,是指宪法承认的国家机关在其领域内制定具有约束力的法律的至高无上的权力。司法管辖权是指一国法院审理案件、处理争议的权力。执法管辖是指国家机关通过行政或管理行为(如执法措施)以适用和执行法律法规的权力这三种管辖权均涉及国内法的域外适用问题,或者说,法律的域外适用就是国内机关通过立法、司法、执法手段行使域外管辖权的过程。

尽管立法、行政、司法机关对相关权利的行使是一项各国国内法律和政治体系的问题,管辖权的域外适用还是会依赖于国际法规则。传统的国际法管辖规则(或称“管辖依据”)包括属人管辖原则、属地管辖原则、保护原则和普遍管辖原则。属地管辖原则又延申至“效果学说”,即一国可以对发生在境外但对境内造成影响的行为主张管辖。

三、中国数据治理规则之域外适用的立法现状

由于国内数据安全法和个人信息保护法分别于2021年9月和11月生效,数据立法较为年轻,因而缺乏其域外适用的实践案例,以下仅对国内数据治理相关立法进行列举分析。数据规则的域外适用立法包括法律适用条款和对域外行为或主体进行规制的法律责任条款。以管辖依据进行划分,可以分为以下三类规定。

(一)基于属地原则的域外效力条款

数据安全法第2条和个人信息保护法第3条分别将在我国境内进行的数据、自然人个人信息的处理活动纳入适用范围;网络安全法第2条规定的适用范围包括在我国境内建设、运营、维护和使用网络,以及网络安全的监督管理活动;电子商务法第2条第1款规定了我国境内的电子商务活动适用该法规定。信息技术使得数据处理者可以远程操控计算机设备,在我国境内进行数据处理活动。因此,通过属地原则的确立,使得我国数据治理规则能够适用于境外数据处理者在境内进行的数据处理活动。问题在于,如何在数据处理常用的网络空间中确定某一具体的数据处理行为位于境内还是境外?

(二)基于效果原则的域外效力条款

我国个人信息保护法第3条第规定了在我国境外进行的个人信息处理活动时,适用我国个人信息保护法的条件:第一,以向境内自然人提供产品或者服务为目的,处理境内自然人的个人信息;第二,通过处理境内自然人的个人信息,分析、评估境内自然人的行为;第三,法律、行政法规规定的其他处理境内自然人个人信息的行为。相比于欧盟GDPR第3条的规定,我国个人信息保护法的这一条规定显然扩张了其适用范围。目前尚未出台司法解释对“境内自然人”的概念和“其他情形”的条件进行解释“境内自然人”是否包含偶然出现在我国境内的自然人,难以确定;“其他情形”应当符合哪些具体条件也难以确定。可见,我国个人信息保护法给予了法院和执法机关极大的自由裁量权。但针对境内自然人的数据处理行为必然会对我国境内产生一定影响,因此,笔者将其归纳为基于效果原则的域外效力条款。

(三)基于保护原则的域外效力条款

数据安全法第2条在个人信息保护法第42条和网络安全法第75条的基础上进一步扩大了我国数据治理规则的域外适用范围——不仅对于危害关键设施并造成严重后果或危害个人信息权益(属于基本权益)的行为适用中国法,只要对公民、组织的合法权益造成损害,就适用我国数据安全法。可见,数据安全法给予了立法者极大的立法空间,以立法行为丰富“合法权益”的范畴,从而具有不断扩大其域外适用范围的可能。

然而,只要损害了我国公民、组织合法权益的境外数据处理活动即适用我国法律进行追责,这并不符合保护原则之对“国家主权或其他核心利益”的损害要求,而是对保护原则的扩大。那么,这一规定是否过度扩张了数据安全法的域外适用范围,而忽视了相关数据处理活动与我国之间的联系的真实性、忽略了其他国家对于该活动的管辖利益,亦是值得思考的问题。

四、他国数据治理规则域外适用现象

本文从比较法的角度出发,重点分析欧盟与美国的数据立法,同时对亚洲国家的数据规则进行概括分析,意图探索各国数据治理规则域外适用的影响。

(一)欧美数据规则域外适用现象

1.欧盟数据规则域外适用现象

欧盟对数据的保护是基于对隐私权的高度重视,欧盟法中的个人数据权利隶属于个人隐私权。因此,欧盟的数据保护规则起源于1953年欧洲人权公约。1981年个人数据自动处理相关私人保护公约(简称“Convention 108”)是第一个对欧盟境外的第三国有约束力的已生效国际法律文件。1995年的数据保护指令第4条规定了域外效力。2018年GDPR进一步扩大了其域外适用范围,并在对各成员国监管机构的协调方面建立了“合作和一致性”机制。

GDPR第3条规定:“本条例适用于数据控制者或数据处理者设立在欧盟境内的机构进行的个人数据处理行为,不论该处理行为是否发生在欧盟境内”。根据《GDPR第3条域外效力指南》(简称“《效力指南》”),即使欧盟境内的机构没有参与某一数据处理行为,但是对个案的事实分析表明非欧盟数据机构的数据处理行为与其在欧盟境内设立的机构之间存在“密不可分的联系”,则欧盟法对该非欧盟机构产生约束力。在S.R.O.案中,法院认为“机构”是指某一组织通过制定稳定的安排,开展真正有效的活动的地方。那么,一家外国数据处理公司可以在多个成员国境内设立机构,那么如何协调各成员国内监管机构对GDPR的实施?GDPR创造性地提出了“合作和一致性”机制,即外国公司在欧盟境内的主要跨境数据处理机构所在国的监管机构作为牵头监管机构,对于该机构违反GDPR进行跨境数据处理的行为享有采取禁止措施、提起国内法院诉讼的权力;其他有关监管部门对跨境数据处理的监管权限通常是基于LSA的授权,而这一授权被视为“例外情形”。这种“合作和一致性”机制不仅协调了成员国内监管机构的监管冲突,也提高了GDPR为国际社会接受的可能,从侧面提高了GDPR作为事实上的国际数据保护规则的可能性。

GDPR第3条规定了“靶向标准”的构成要件包括:1)针对的是位于欧盟境内的数据主体,不受数据主体的国籍、居住地和其他法律地位的限制;2)具有针对欧盟进内数据主体的意图,排除了无意和偶然性的对临时出现在欧盟境内的数据主体的监控或数据处理行为;3)控制者的处理目的和方式是否表明其向欧盟的数据主体提供产品或服务的意图,例如使用欧盟成员国的语言和货币;或者4)监控数据主体的行为,例如通过可穿戴设备在互联网上对自然人进行追踪,以及之后的数据处理行为,包括对自然人偏好的分析和预测。该条款与我国个人信息保护法第3款的区别在于没有规定兜底条款。正如《效力指南》所规定,并非所有的针对欧盟境内数据主体的数据处理行为都适用GDPR。因此,虽然GDPR第3条的规定符合效果原则,但是其域外效力范围小于我国个人信息保护法。但需要承认的是,《效力指南》对GDPR第3条的解释明确了其域外适用的边界,便利了企业和监管机构的实际操作,是走在我国个人信息保护法之先的。

GDPR第3条延续了《指令》的规定,即在成员国根据国际公法得以将其国内法适用于非设立在欧盟境内的数据控制者或处理者时,GDPR也适用。

2.美国数据规则域外适用现象

美国没有颁布综合性的数据治理法律文件,而是采取一系列政策与分散的立法形式,逐步探索完善数据保护体系。后来,美国数据安全立法重点放在对全球信息流动的监控上。此时,美国当局已经开始试图通过本国互联网企业获取存储于境外的数据,例如SWIFT案成。微软案的初审法院也认为即使数据内容存储在美国境外,但是微软作为在美国设立的数据控制者具有调取数据的权力,因此应当适用1986年存储通信法(简称“SCA法案”)披露相关数据。这一结论在之后被第二巡回法庭驳回,第二巡回法庭认为:首先,执行令的实施地点是决定SCA法案是否具有域外执法权的重要因素,微软公司在美国境内的情况不足以替代对数据位置的关注;其次,在缺乏国会明确意愿的情况下,联邦法律仅能够在国内适用,显然国会并不打算将SCA法案的执行令进行域外适用,因此,SCA法案主要关注的是发生在美国的行为。因此,第二巡回法庭认为“由于执行令的主要内容是获取存储于都柏林数据处理中心的记录,而SCA法案主要关注的行为是发生在美国境内的,该执行令的执行将具有域外效力”由于没有经过爱尔兰政府的同意,因此无法实施该执行令。尽管如此,仍有地方法院同意初审法院的做法,认为政府对国内互联网企业发布调取信息的执行令属于域内执法行为,无需经数据存储地国家有关当局的同意即可执行。

可见,判断美国国内法是否可以域外适用,首先要确定某一法律具有域外效力,此时美国法院会判断国会是否具有使之域外适用的意图以及该法律的关注要点是否限于美国境内;其次,判断该行为与美国的联系因素是否“实质”或“重要”以至足以强有力地推翻“反域外性推定”;再者,判断美国法院在某一具体案件事实中的域外适用是否会触发某些限制,例如合理性原则、正当程序原则、对他国管辖利益的考虑等。

此外,2018年澄清境外数据合法使用法案(简称“CLOUD法案”),将“数据控制者标准”正式纳入美国联邦法律体系。CLOUD法案是对SCA法案的修正,第2713条规定“无论通信、记录或其他信息是否存储在美国境内,服务提供者均应当按照本章所规定的义务要求保存、备份、披露通信内容、记录或其他信息,只要上述通信内容、记录或其他信息为该服务提供者所拥有、监管或控制方。”为了缓解冲突,CLOUD法案规定了企业申请豁免该法案义务的条件:“(1)披露义务会导致服务提供者对适格外国政府相关法律的破坏;(2)基于个案的整体情况、公平正义,该法律程序应当被修正或停止;(3)服务用户(订阅者)不是美国居民,并且居住地不在美国;”同时,该法案规定了法院在对国际礼让要求的分析中应当考虑的七大要件:第一,美国利益,包括政府寻求披露外国数据方面的调查利益;第二,适格外国政府的禁止披露保密数据的利益;第三,不遵守法律义务的服务提供者或其员工的可能受到的处罚、范围和性质;第四,被调查对象的位置、国籍以及与美国的联系,或者当该法律程序是代表外国权力机关进行的,被调查对象与该外国的联系;第五,服务提供者与美国的关联性;第六,所要求披露的信息对于调查的重要性;第七,及时有效地获取相关信息的方式造成消极后果的可能性。对于这七个因素,首先,美国利益永远是美国当局所要考虑的第一大因素;其次,只有“适格外国政府”的利益才会被纳入美国法院的礼让考虑范围。同时,CLOUD法案仅允许“符合资格的外国政府”在与美国政府签订行政协定后,向美国境内的组织直接发出调取数据的命令。对于何为“适格外国政府”,CLOUD法案规定了一系列严格要求,以判断该外国政府是否提供了对隐私和公民权利足够的实质和程序上的保护。同时,对于外国政府向美国发布调取数据命令的条件亦十分严苛,例如“不得有意地针对“美国人”或位于美国境内的个人,且必须采取满足该要求的目标锁定程序”“不得用于限制言论自由”“外国政府应提供数据访问的相互权利”“外国政府应同意美国政府定期开展的审核”“美国政府保留停止外国政府的某项执行令的权利”等。

CLOUD法案与美国互联网产业在全球的垄断地位相辅相成。根据该法案,美国政府有权调取位于世界各地的在美国互联网企业控制下的数据信息。这在事实上扩大了美国的“网络数据主权边界”。而外国政府想要获取美国境内数据,则需要通过“适格外国政府”等层层限制,并且还需授权美国政府同等的国内数据访问权,以及受美国政府的定期审核与“随时开除”的监管压力。因此,CLOUD法案是美国政府进一步巩固其在信息网络领域的域外执行管辖权,也是美国利益第一的体现。

3.亚太国家数据规则域外适用现象

澳大利亚将数据保护纳入隐私保护规则,包括1988隐私法、2009年国家消费者信用保护法大纲中的隐私保护原则等,隐私法第5B条规定:“本法适用于机构或小型商业运营者在澳大利亚和其外部领土以外所做的与澳大利亚有联系的行为或从事的实践,但该实践是为外国法律所要求的除外……”,采取了属地兼属人原则作为域外适用的基础。在属人原则方面,其范围从澳大利亚公民或“机构设立地标准”扩大到“不受法定时间限制持续留在澳大利亚的人”。此处的法定时间一般于税法项下的“183天”规则一致。在属地原则方面,规定境外机构在澳大利亚境内从事商业活动,并且收集或控制个人信息也适用隐私法。此外,APP第8条规定向第三国传输或披露来自澳大利亚的个人数据只有在披露机构已经采取合理步骤证明接收方将不会违背隐私保护原则时才被允许;澳大利亚亦接受了对于个人健康信息的数据本地化要求。

日本新修订的个人信息保护法第75条规定了:“…适用于通过向日本人提供商品或服务而获取日本人的个人信息的个人信息处理业务经营者在外国处理、使用该等个人信息以做成匿名化信息的场合”。此外,在跨境数据传输方面,数据进口国政府应当提供与日本相同水平的保护,以确保该外国能够采取措施对经营者提供个人数据给予充分的保护。

2017年,新加坡滥用电脑和网络安全法案(简称“CMCA”),采取了效果原则进行域外效力扩张,可以适用于对新加坡造成“严重损害”的情形。“严重损害”可以包括引起个人的疾病、损伤或死亡,抑或是破坏新加坡境内的基本服务设施,即对新加坡国家安全、政府和机构造成巨大破坏。2018年新加坡网络安全法第3条规定了基于设备地点的适用范围,即“本法适用于全部或部分位于新加坡境内的重要信息基础设施。

(二)他国数据规则域外适用现象的比较与影响

各国数据保护当局有意愿对与本国相关的外国实体行使管辖权。各国均对其数据治理规则制订了或宽或窄的域外效力条款,以期将其域外适用。其中,影响最广的要属欧盟的数据保护模式——欧盟GDPR借助域外效力条款、国际条约的签订等行为将其影响扩大到全球范围,成为事实上的全球隐私监管者。仅2018年,就有75个非欧盟地区国家颁布了欧盟模式的数据保护法,并且有超过10个国家接受了GDPR的新规则。欧盟委员会还积极鼓励非洲地区国家加入Convention 108。即使是美国也没有对欧盟模式完全免疫:在立法方面,加利福尼亚消费者保护法被称为“精简版GDPR”;奥巴马政府颁布的消费者隐私法案学习欧盟原则等;在司法方面,美国内地法院对被告引用GDPR拒绝披露欧盟国籍人员信息的裁判,说明GDPR对美国具有一定影响。

尽管如此,美国地方法院一般不会轻易认可GDPR。例如在“Ironburg Inventions v. Valve Corp.”案中,法院认为仅仅是由于被调查对象是欧盟公民和引用GDPR不足以反驳提供保密信息的要求。Mercer亦认为,美国不能照搬欧盟的数据保护模式,应当基于其国内利益,建立一个新的基于自由的商业友好型数据保护模式。这是基于美国和欧盟对于隐私权的价值基础和来源的认定不同。欧盟的隐私权价值基础在于保护公民的个人权利,包括对其个人数据的控制权;美国没有明确的宪法性隐私权,其隐私权来源于针对某些特殊类型的隐私保护的立法和裁判,如政府入侵,其价值基础在于保护法人组织的自由权利。这与美国和欧盟的数据产业发展向匹配:欧盟的互联网产业发展相对落后,市场几乎被谷歌、脸书等美国企业垄断。相比于欧盟对数据主体的着重保护,美国更倾向于通过宽泛的隐私解释保护国内互联网企业的发展利益和自由。

可见,目前全球并没有统一的数据保护模式,但各国通过其国内数据规则的域外适用,扩大了自身数据保护模式的全球影响力。然而,各国对于其国内数据规则中确定数据规则具有域外效力的条款之管辖依据各不相同:

欧盟GDPR第3条分别基于“机构设立地标准”和“靶向标准”,通过属地兼效果原则进行法律域外适用扩张;美国将“数据控制者标准”纳入法律体系中,扩大了国内数据监管法律的域外执行管辖范围;澳大利亚采用属地兼属人原则作为域外适用的管辖依据,并且规定了外国法律冲突例外条款和数据本地化条款;日本采用有限制的效果原则,并规定了与欧盟类似的“同等数据保护水平”作为数据跨境传输的前提;新加坡数据法本身没有域外效力,但在网络安全法上采取限于“严重危害”标准的效果原则和“设备所在地”管辖标准。

相比较可得,欧盟GDPR的域外效力范围最为宽泛。亚太国家虽然都有数据治理方面的确定域外效力的规定,但其数据规则的域外适用场景较窄。在域外执行管辖权方面,美国通过“数据控制者标准”,配合国内互联网企业的全球垄断地位,事实上获得了接近全球范围内的域外执行管辖权;欧盟GDPR通过“合作和一致性”机制,协调各成员国监管机构之间的监管冲突问题,不仅GDPR的具体实施是有利的,还提高了其为其他国家所接受的可能性。

五、中外数据治理规则域外适用的冲突协调

各国数据治理规则的域外扩张势必带来冲突。为此,应当根据国际法规定,在数据立法中兼顾域外适用的谦抑;并在国际法层面进行合作,探索各国数据规则的兼容机制。

根据“荷花号”案的法理,在主权国家的管辖权问题上,国际法无禁止即可为。因此,应当在不违反国际法禁止性原则的边界内,以国际法许可性原则为基础,对我国数据规则中的模糊概念进行法律解释,使之符合法律的谦抑性。

首先,在互联网背景下如何定义“境内”?虽然网络行为可以定位到任何地方,但是行为的构成要件并非完全无法定位。因此,可以从网络行为的主体、客体、主观要件、客观要件四个方面进行解释。首先,可以根据行为人的国籍、所处的地理位置进行定位。例如欧盟GDPR第3(1)条的“机构设立地标准”。澳大利亚隐私法中,行为人可以是澳大利亚公民、澳大利亚境内成立的组织机构或在其境内持续停留183天的个人等。其次,网络行为的客体是处理对象,即数据。国际法上,数据的定位有“数据存储地标准”和“数据控制者标准”,我国的数据立法显然是采取“数据存储地标准”再者,主观要件包括“明知”和“故意”,但网络活动中,行为人可能不知道其行为发生在哪里,但至少应当知道其行为的目的是针对哪些国家的数据主体进行的数据处理。主观要件的证明可以通过行为人使用的网络设备所处的地理位置或行为人所收集的数据的所有人的国籍或地理位置来判断,例如新加坡网络安全法中规定的“互联网基础设施所在地”标准。最后,客观要件即行为人客观实施了数据处理行为,这一行为难以定位,因此,仅以其他三个构成要件进行定位,可以实现国家对网络空间中发生的数据处理行为的控制。但是,不论何种标准都会不可避免地使国内数据规则的适用范围扩张到国外,因此对于具体标准的选取或创新,则需要根据国家实力和国际形势进行甚至选择。

对于明显的“境外”行为,一国国内数据规则的域外适用往往需要该行为与该国具有“真实联系”。我国数据规则将“真实联系”规定在个人信息保护法第3条、第42条和数据安全法第4条中,具有模糊性和宽泛性,在具体适用中应当加以限制,并关注到以下因素:第一,对外国管辖利益的考量;第二,引入美国法律域外适用体系中的“真实联系”测试。巴斯库尼安诉艾尔莎卡案(II)中,法院认为被告利用国内的邮件或电信促成诈骗计划,而利用邮件或电信构成了诈骗计划的核心组成部分,因此,争议诈骗计划的核心部分在美国境内,原告主张邮件或电信欺诈的诉讼请求涉及足够的国内行为由。除了考察行为的核心部分是否发生在一国境内,还可以关注行为人是否存在受本法保护或约束的预期、相关数据规制对于对国际政治、法律或经济体系的重要性等因素进行综合判断。第三,引入“虚假冲突”测试。有时,各国的法律适用冲突体现在司法管辖权的冲突上,而对于国内立法的规定,则没有太大差别。例如日本、中国和欧盟在跨境数据传输上均规定了需要取得数据主体的明确同意,若与某一行为有实质联系的几个国家或地区的数据规则没有实质上的冲突,那么,最先采取司法或执法措施进行管制的国家应当享有优先的管辖和法律适用资格。

最后,2017年1月,习近平总书记在瑞士日内瓦万国宫出席“共商共筑人类命运共同体”高级别会议发表了以“共同构建人类命运共同体”为主旨的演讲。数字信息时代的到来使得数字经济成为国际经济领域不可忽视的一部分,对“人类命运共同体”的构建不能也无法忽略数据治理这一话题。因此,可以将“人类命运共同体”与国际法上的数据治理兼容机制相结合,通过与“一带一路”沿线国家现行签订包含数据治理规则的条约,慢慢推动以中国数据治理价值为核心的全球数据治理模式的构建。

目前,在双边自由贸易协定中,仅有中国与澳大利亚、毛里求斯和韩国的自由贸易协定里有涉及个人信息或在线数据保护。有学者指出,构建国际数据条约并不是一蹴而就的事情闵。因此,通过国际法协调冲突,除了对兼容机制的探索之外,更重要的是加强与其他国家在数据治理方面的合作,以合作共赢为促进国内和国际数字经济发展的主要手段。

六、结论

数据时代,各国越来越重视对于国内数据治理规则的制订和效力扩张。在数字经济领域,我国具有先天的大数据发展优势,国内骨干企业已经具备自主开发建设和运维大规模大数据平台的能力,国内大数据技术、产业得到长足发展。在此情况下,我国数据立法的模糊性和宽泛性上赋予了司法者或执法者较大的自由裁量权,即有意扩大我国数据规则的域外适用,又意图阻碍他国数据规则在我国的适用。如此规定势必会与其他国家的数据规则产生冲突。因此,我国首先应当通过司法解释明确域外效力条款的范围边界,其解释应当在符合国际法的基础上,根据我国国家实体和国际形势的变化作出适合我国的法律适用依据;其次应当与外国数据规则的管辖利益相互协调,注意法律域外适用的谦抑性;最后可以在构建人类命运共同体的过程中探索协调各国数据规则的兼容机制,以合作共赢为基本手段促进各国数据治理规则在域外适用方面的礼让与互谅。

来源:《上海法学研究》集刊2022年第3卷(上海对外经贸大学文集)