GDPR域外效力对我国互联网企业的挑战与应对

2022-05-30 23:03董京波,苏希春
湖南大学学报(社会科学版) 2022年4期

董京波,苏希春

[摘要]欧洲是中国互联网企业发展的重要市场,GDPR第3条极大地扩大了其域外效力,直接把中国企业纳入GDPR管辖之下。在数据跨境场景下,跨境数据流动规则和域外效力制度对于“域外的欧盟数据”起到双重保障,二者结合对涉欧中国互联网企业产生巨大挑战,企业需要在GDPR下合规经营。国家层面,中国需要在制度层面建设域外效力法治体系,并注重法院在域外效力规则构建中的作用。企业层面,中国涉欧的互联网企业需结合自身情况做出经营策略选择,判断自己是否属于GDPR的域外管辖范围,遵守适用于其业务的GDPR具体规则,并积极利用标准数据保护条款(SCCs)方式以及有约束力的企业规则体系应对GDPR下的合规要求。

[关键词]GDPR;域外效力;设立标准;目标指向标准;跨境数据流动规则;涉欧互联网企业

[中图分类号]D95[文献标识码]A[文章编号]1008—1763(2022)04—0113—10

ChallengesandResponsestotheExtraterritorialEffect

ofGDPRonChineseInternetEnterprises

DONGJingbo,SUXichun

(InternationalLawSchool,ChinaUniversityofPoliticalScienceandLaw,Beijing100088,China)

Abstract:InEurope,theextraterritorialeffectoftheGDPRhasbeengreatlyexpanded,whichdirectlybuildsanextraterritorialjurisdictionoverChineseinternetenterprises.Inthecaseofcrossbordertransferofpersonaldata,crossborderdataflowrulesplayanalternativeroleinprotectingEUdata.EurelatedChineseInternetcompaniesfacewithgreatchallengesbroughtbythecombinationofthetworules,whichneedtooperateincompliancewithGDPR.Chinashouldestablishextraterritorialeffectrulesandemphasizetheroleofthecourtinbuildingtheextraterritorialeffectrules.EUrelatedChineseInternetcompaniesshouldmakebusinesschoicesbasedontheirownconditions,determinewhethertheyfallwithintheextraterritorialjurisdictionofGDPR,complywiththespecificGDPRrulesapplicabletotheirbusinessandconsiderSCCsandBCRstomeetcompliancerequirementsunderGDPR.

Keywords:GDPR;extraterritorialeffect;establishmentcriteria;targetingcriteria;crossborderdataflowrules;EuropeanrelatedInternetcompanies

近年來我国互联网企业迅速发展,这些互联网企业在国际化过程中,欧洲是重要的市场,国家发表了一系列经贸合作声明与倡议,表明了欧洲经济合作的动向。早在2015年,苏州举行的经贸论坛分论坛就以“互联网+中国-中东欧经贸合作”为主题。2019年,中国-中东欧国家领导人会议达成一系列会晤成果,决定进一步促进电子商务发展。[1]2020年中国成为欧盟最大贸易合作伙伴,[2]我国与欧洲经贸联系越趋紧密。

中国互联网企业100强榜单中,阿里巴巴、腾讯连年位列一二名,数据来源于中华人民共和国工业和信息化部官网。二者都在欧洲发展市场。2017年,腾讯云法兰克福数据中心开通,此后,腾讯云在欧洲的业务逐步走上正轨;[3]阿里巴巴全球速卖通(AliExpress)是阿里巴巴集团旗下面向海外市场的新外贸零售平台,2019年,阿里巴巴允许外国商家在全球速卖通平台上销售商品,初步开放的四个国家中两个国家是欧盟国家。[4]以腾讯、阿里巴巴为代表的中国涉欧互联网企业开展业务的领域,包括但不限于电商、社交平台、云计算等新兴领域,这些领域的发展离不开对于个人数据的收集与处理,而在欧洲这一重要市场,《一般数据保护条例》(以下简称GDPR)的出台对个人数据施以空前严格的保护,并扩张了个人数据保护的域外效力,这对中国涉欧互联网企业的国际化带来巨大挑战。要研究GDPR的域外效力,首先需要明确对域外效力本身的界定。国内学者对域外效力与域外适用相关概念的区别、域外效力的理论基础与发展进行研究探讨。域外效力在英文中为“extraterritorialeffect”“extraterritoriality”,国外学者研究GDPR域外效力条款,主要从立法和实施层面予以探讨。从立法及实施双层面进行考量,域外效力是国内法超越地域边界,对本国领域外发生的人或行为进行管辖,从而对发生在其管辖领土范围以外的某些事项具有的法律约束力。[5]129这种法律约束力,以在立法上通过设置域外条款将国外的人、事、行为纳入管辖为基础,以执法和司法作为实施途径。GDPR第3条是域外效力条款,该条款将域外企业纳入GDPR管辖下,对我国涉欧互联网企业带来挑战,有必要研究相关应对策略,以帮助我国涉欧互联网企业在GDPR下合规经营,避免受到严厉的处罚。

一GDPR第三条域外效力之规定

(一)GDPR域外效力规则之背景

学者认为1995《数据保护指令》(以下简称《指令》)第4条到GDPR第3条的发展体现出了“大数据、云计算等技术发展之下个人数据保护立法管辖思路的变化”。[6]98

《指令》的适用范围在第4条与序言19条部分,其中主要内容有:(1)在欧盟成员国地域范围内设立机构并在该机构活动范围内的数据处理受《指令》规制,而“设立”意味着通过稳定的安排,真正有效地进行活动的“设立”的机构是分公司或子公司都无决定性影响;(2)虽然机构不设立在欧盟内,但依据国际公法享有管辖权;(3)虽然机构不在欧盟成员国之内,但使用成员国境内的自动化设备。

《指令》中没有明确条文规制“未在欧盟设立机构”的数据处理,但在GDPR第3条之前,在“谷歌西班牙刚萨雷斯案”中,欧盟法院认定《指令》对于域外数据处理行为有约束力,体现了欧洲数据保护立法在域外效力上的扩张趋势。该案判决认定了《指令》适用于设立在欧盟之外(美国)的谷歌公司,因为美国的谷歌公司在西班牙有分支机构,且该分支机构从事了帮助谷歌推广和销售广告位置的活动,该分支机构的活动与设立在欧盟之外的谷歌总部的数据处理活动有不可分割的联系,因而谷歌总部需要删掉涉案主体的个人数据相关链接。

该案中谷歌西班牙是谷歌总部在西班牙的分支机构,谷歌总部设立于美国,谷歌西班牙主要负责帮助谷歌推广和销售广告位置获取商业利润。谷歌西班牙认为其经营活动不是数据处理行为,而谷歌总部不受《指令》的约束;就算存在数据处理活动,谷歌和谷歌西班牙并不是《指令》下的数据控制者或者数据处理者,所以刚萨雷斯不能要求其根据《指令》删除相关的个人数据。欧盟法院裁决先认定谷歌作为搜索引擎经营者,可以决定个人数据处理的方式手段,属于《指令》中的“控制者”;再认定谷歌西班牙是谷歌总公司(欧盟境外)在西班牙境内设立的机构,稳定开展真实有效的活动,它究竟是分支机构还是子公司都无影响;最后,法院认为,谷歌西班牙的活动密切联系于谷歌公司的活动,通过谷歌搜索出来的刚萨雷斯的相关链接和谷歌西班牙的广告显示在同一页面,基于此,该案中的数据处理行为是在谷歌西班牙的經营活动范围内进行的,谷歌西班牙的经营活动为谷歌公司搜索引擎活动提供便利,所以谷歌的数据处理活动受《指令》规制。该案件确立《指令》具有一定的域外效力,有学者称该案确立了《指令》的长臂管辖。[7]114

该案判决之后,《指令》第29条工作组发布关于该案的指导意见,[8]其中有以下几点需要注意。

一,欧盟境内设有机构的情况下进行的数据处理会受到《指令》的约束。在欧盟成员国内设立机构的标准是“稳定安排”,即通过“稳定安排”在某一成员国境内进行“一项真正有效的活动,即使是最低限度的活动”,本案中谷歌西班牙进行的最低限度的活动是广告宣传,因而谷歌西班牙是成员国内设立的机构。

二,一项数据处理活动由境外的机构进行,只要是在该欧盟境内设立的机构的活动范围内,也能受《指令》的约束。

三,怎么去判断一项数据处理活动在“机构的活动范围内”呢?这项数据处理活动需要与“活动范围”有“不可分割的联系”。“不可分割的联系”在认定上不能过于宽泛,应当考虑以下要素:(1)不以设立机构处理数据为前提。本案中谷歌在西班牙当地机构产生的销售额与通过数据处理活动产生的利润“不可分割地联系在一起”,所以即使谷歌西班牙实际上没有处理数据,数据处理活动实际上发生欧盟境外,但由于“不可分割的联系”,所以他们的活动都受《指令》约束。(2)在免费网络与广告结合的经营活动下,财务上的增长可用来判定存在“不可分割的联系”;(3)其他行为需要结合个案评价。

该案确认了《指令》适用的广泛领土范围,一个欧盟外建立的数据控制者在符合具体条件的情形下将受到《指令》的约束。其中“不可分割的联系”标准的引入,比起仅仅对“在欧盟境内设立机构”进行的数据处理进行规制,扩大了《指令》的适用范围,体现出欧洲个人数据保护法域外效力的扩张趋势,而结合个案进行评价则避免了僵硬的评判标准造成的过分的、不合理的“效力扩张”。相较于《指令》,GDPR增加了欧盟数据保护法的域外效力情形。[9]36

(二)GDPR域外效力之规定

1.GDPR第3条地域范围之规定

GDPR第3条为地域管辖的规定,确立了GDPR的域外管辖效力,该条直接将符合条文条件的域外互联网企业纳入欧盟GDPR的管辖,域外互联网企业符合第3条规定的,GDPR将予以直接适用。

第1款规定以“设立”为核心

本条例适用于设立(establishment)在欧盟的数据控制者或数据处理者活动范围内的个人数据处理,无论该处理行为是否在欧盟内进行。,即无论处理行为本身在哪里进行,只要数据控制者、处理者是在欧盟境内设立的,存在这一连接点,那么就受GDPR的管辖。

第2款

本条例适用于由欧盟外设立的数据控制者或数据处理者对属欧盟内的个人数据进行处理的行为,这种处理活动有关于:(a)向本联盟内的数据主体提供货物或服务,而不论是否要求数据主体为商品或服务支付对价;(b)监测联盟范围内的数据主体的活动。是域外管辖的规定,其中关键点在于“不在欧盟境内设立”,但针对欧盟的数据进行处理,就受GDPR规制,这一条指向域外数据处理活动对于欧盟数据主体产生了实际效果或影响的情形。

从文义出发,第3条区分了欧盟境内设立机构与欧盟境内没有设立机构的数据处理行为分别受GDPR规制的情况,但对第3条仅从文义进行理解,是不够的,需要进一步对其内容进行澄清。

2.《关于GDPR适用的地域范围的指南》之规定[10]

以上仅从文本内容进行解释,容易出现歧义,2018年欧盟数据保护机构(EDPB)发布了《关于GDPR第3条地域范围的指南》(后简称《指南》),该《指南》细化了第3条的规则,数据控制者或者处理者需要认真研究以下标准,确定自己是否属于GDPR的规制范围。具体来讲有以下内容:

(1)在欧盟境内设立机构。

第3条第1款,《指南》确立了设立机构标准(establishmentcriterion),也就是在欧盟境内设有机构时GDPR予以适用。具体来说:

首先,需要考虑存在欧盟境内设立的机构。这一步骤下,又有以下分步骤:一,确定是否在欧盟境内设立机构时,首先要确定具体案件中的主体是欧盟数据保护法中的控制者或者处理者,这是适用GDPR的关键。GDPR第4条第7、8项对二者分别做了解释。二,判断“设立机构”最关键的点,在于通过稳定的安排,真正有效地进行活动,而这一“设立”的机构的法律形式是分公司或子公司都无决定性影响,这是从“实质”内容进行判定,而非形式判定的体现。

其次,需要考虑在欧盟境内存在机构的域外企业所进行的相关数据处理是否在欧盟设立机构的“活动范围内”。《指南》给出了两个判断的参考因素:一,境内外机构关系的不可分割性,如上文提到的谷歌案中,谷歌与谷歌西班牙之间的关系不可分割,所以受GDPR规制;二,有来自欧盟的收入,并且这种“营收”与“欧盟境内的数据主体”之间的联系不可分割,那么境外的数据控制者、处理者进行的数据处理就在欧盟设立机构的活动范围内。

最后,满足上述两点,那么不管这项数据处理活动在欧盟境内,还是欧盟境外,都受GDPR管辖。

(2)为欧盟境内的数据主体提供服务、货物或对欧盟数据主体进行监控。

第3条第2款,《指南》确立了“目标指向标准”(targetingcriterion),未在欧盟境内设立机构的,其处理活动如果指向欧盟数据主体,并符合第3条第2款a项和b项,则受GDPR约束。

在理解第3条第2款时,首先需注意,数据主体的国籍、法律地位不影响GDPR适用,重点在于“欧盟境内的数据主体”。在此定义下,欧盟境内的游客也是欧盟境内数据主体,而地理位置在欧盟之外的欧盟居民则不在此规则规制之中。比如某中国企业在欧盟没有任何机构,提供特定地点(包括欧盟境内的城市)地图应用服务,它的用户在旅游的城市使用该应用程序时,应用程序就会处理用户的数据,那么一个游客在欧盟境内的城市使用这个应用程序时,不论该游客的国籍是什么,该应用程序的数据处理行为都要受GDPR管辖。但如果一个欧盟居民在中国境内旅游时使用中国应用程序所产生的中国境内的数据处理显然就不属于“目标指向标准”的范围。

對于第2款a项中为欧盟境内的数据主体提供服务或货物,《指南》要求这种“提供”是明显的、故意的,如果向欧盟领土上的人提供商品或服务不是有意的,那么就不受GDPR约束,因而确定这种“明显有意”十分重要。《指南》对于“明显有意”也做出了一些示例性解释,如可能体现为通过收集欧盟主体的数据进行个性化推荐,再如使用一个或多个欧盟成员国的通用语言或货币用于提供服务、货物。

对于第3条第2款b项,如果监控欧盟境内数据主体“发生在欧盟范围内的行为”,则受GDPR约束,这里需要被监控的对象和行为两个要素都在欧盟境内;而对于如何判断“监控”,需要考虑是否在互联网上后续被追踪、被分析偏好等。

(3)国际公法的原因。

当一个数据控制者、处理者不符合第3条第1款“机构”标准,也不符合第3条第2款的“目标指向标准”,但其所设立的地区根据国际公法规则适用GDPR,那么根据GDPR第3条第3款,GDPR在此情况下予以适用。

(4)避免成为“数据处理避风港”。

我们需注意,GDPR下,判断控制者和处理者是否属“在欧盟内设立了机构”时,对两者进行单独、分别判断很重要。比如,一个数据控制者开展一项数据处理活动,当其不属于第3条标准下的机构,则该控制者不承担GDPR下的责任,如果其委托欧盟境内的处理者进行数据处理,该“非欧盟”控制者不会仅仅因为委托欧盟境内处理者处理数据而受GDPR规制;但该处理者应遵守GDPR对于数据处理者的一系列规定。该规定是为了避免欧盟成为“数据处理的避风港”,欧盟境内的数据处理者,或者符合第3条第2款的数据处理者,是不能逃避GDPR下的义务的,不受GDPR规制的数据控制者就无法借“避风港”之手进行非法的数据处理活动。

二GDPR域外效力规则之成因分析

(一)国际法未禁止国内法域外效力规则

“判断某项国内法具有域外效力的主张是否符合国际法,其基本原则是:一国主张国内法的域外效力应推定为合法的,除非能够证明存在禁止这种主张的国际法原则。”[11]184这是由“荷花号”案判决确立的原则。国际常设法院在该案判决中认为国际法没有禁止国家把它的法律和法院管辖权扩大适用于它领土之外的人、财产和行为,在“一国将其管辖适用于域外”这方面,国际法留下了较大选择余地。[12]13如果认为某种管辖权不合法,需要有禁止该种管辖权的国际法依据。所以,在国际法上,国内法的域外效力主张并不违反国际法。欧盟作为国际法主体,其制定的适用于其境内的GDPR为“国内法”,在当前的国际法下,其纳入域外效力条款具有合法性。

在国际法上普遍接受的管辖权原则有属地管辖原则、属人管辖原则、保护性管辖原则、普遍性管辖原则。GDPR域外效力条款中既包含属地原则下的“设立标准”,又包含侧重于对欧盟影响的“目标指向标准”,基于“域外主体的域外行为对于本国产生影响”立法,是属地为主、效果原则为辅的立法选择。[13]77

(二)GDPR域外效力规则捍卫欧盟数据主权

不同国家地域间的数据治理有两种理论,“数据自由论”和“数据主权论”。GDPR域外效力规则是数据主权论的理论选择的体现。这种数据域外扩张的适用,极大地保护了欧盟的数字产业,推动该地区的数据主权优势进一步扩大。[13]84

“数据自由论”认为由于人类在各方面都广泛地实行数字化,并通过全球通信网络进行发送,因此要确定地域位置愈加艰难,国际法律秩序的传统组织原则——领土在数字世界中丧失了原有的在国际法上的基础地位,[14]1网络世界可以构成自己的“全球公域”,独立于传统的领土主权,数据得以跨国界地自由流动。这种理论在当前跨境数据治理实践中难以适用,有学者指出,数据自由不需要借助公权力机关,自己形成公共领域并发展出自己的无领土界限的规则体系,但实践中,以数据自由为主张的国家也借助公权力机关的立法进行长臂管辖。[15]188GDPR的域外效力规则显然不属于“数据自由论”,数据自由论下的全球数据有自己的“公域”,但域外效力条款并非网络世界自己的秩序规则,而是欧盟公权力机构的立法,关注对“欧盟境内的影响”,依托于国家权力机关。

“数据主权论”认為网络世界的主权是传统国家主权延伸出去的部分,“数据主权是国家主权在数字化空间的表现形式”。[16]75数据主权的立法选择是在当前国际社会主权国家体系不变的情况下,为应对互联网无国界性和大数据时代之挑战而发展出来的理论体系。数据主权作为国家主权,对外不受另一主权控制,对内具有最高性,欧盟作为国际法主体,有权独立自主地规制其领土范围内收集的数据,[15]182进行数据域外效力立法。在这种域外效力规则下,纳入其管辖下的数据控制者、处理者也需遵守GDPR规则,从而加大对欧盟数据的控制力,建立保护水平统一的数据流通市场,促进欧盟数字产业的发展。

(三)全球化数字经济时代的欧盟立法应对

1.欧盟主权国家体系下的法律对互联网无边界性的立法回应

我们当前是全球化的数字经济时代,在这个背景下,数据几乎嵌入渗透到每个国家的各个生产消费环节。数据具有巨大经济价值,个人数据对于个人隐私保护、人权保护至关重要。主权国家需要对本国的个人数据进行保护,也需要通过数据获得经济优势,对于数据进行规制治理十分重要。然而,数据在互联网上的根本属性是无国界性,这打破了传统主权国家体系下的领土边界,网络空间的行为很难以地理位置界定并予以规制。主权国家体系不变的国际环境下,如何合理地规制跨境的数据是各国面临的重大挑战。

欧盟GDPR规则是欧盟基于自身安全利益、产业发展需求以及个人数据保护等做出的高标准立法,域外效力条款尽可能地扩张欧盟的领土范围,通过“设立机构的营业活动背景”以及“目标指向欧盟境内的主体的活动”为连接点,将本来不受其管辖的境外的数据控制者、处理者纳入GDPR管辖,以控制境外数据处理行为通过互联网给欧盟带来的影响。在主权国家体系不变、全球化数字经济时代持续深入发展的大背景下,各国都要应对如上挑战,域外效力规则将会是个人数据保护立法中的普遍规则。

2.欧盟在数据时代通过法律扩大全球影响力的体现

法律对欧盟十分重要,通过法律,欧盟扩大其包括域外效力在内的全球影响力。并且欧盟存在一些制度确保其法律在第三国的执行,如国家间的相互承认,再如签订国际合作协议确保法律在域外的执行(如在竞争法领域的合作协议允许联合调查)。

欧盟法律影响互联网,互联网也改变欧盟法律,互联网是在日益复杂的全球化世界中发挥欧盟法律作用的理想工具,[17]113GDPR是互联网、数据、法律的结合体。同时,欧盟法律依赖基于效果的管辖权,例如《欧盟衍生产品条例》对在第三国签订合同的合同主体施加了义务,只要该合同在欧盟范围内具有直接、实质性和可预见的影响。[18]95这种对于效果管辖的依赖也是GDPR域外效力条款设计的重要因素。

3.欧盟在数字贸易规则制定中推广欧盟域外效力立法模式的尝试

将GDPR域外效力条款的制定理解为欧盟立法先行并推广欧盟立法模式未尝不可。欧盟通过法律,将自己构建为一个自主的国际行为体,其总体外部目标之一是发展国际法。[17]109它试图通过创新域外效力条款立法模式,细化域外效力条款规则的内容,制定数字贸易规则中的国内个人数据保护法域外效力条款的范本,吸引他国借鉴采用欧盟模式的立法,从而掌握国际规则制定话语权,发挥全球影响力。

三GDPR域外效力下涉欧互联网企业面临挑战

GDPR域外效力制度下,中国的企业可能会由于对欧洲境内的个人数据进行处理而受到GDPR管辖,需要承担严格的个人数据保护义务,且在数据跨境流动场景下,还有跨境数据流动规则与其双重影响数据流动,这对中国的涉欧互联网企业在欧洲的发展造成了巨大的挑战。

(一)域外效力制度扩大了对中国涉欧互联网企业管辖的范围

1.立法层面扩大对中国涉欧互联网企业的管辖范围

(1)设立标准下的中国涉欧互联网企业。

在第3条下,欧洲境内设立了分支机构并在其活动范围内进行数据处理的中国企业受GDPR管辖,即使该分支机构只是从事最低限度的活动,比如“谷歌西班牙刚萨雷斯案”中的谷歌西班牙从事给谷歌提供广告位的活动,只要这些活动和数据处理活动有无法分割的联系,就受管辖。且该条文基于属地原则,是主权国家接受的规则,谷歌西班牙刚萨雷斯案也是该条文下已有的司法实践,因而该种类型的立法可能在各国立法中越来越普遍,在各国对于该条款的接受度提高情况下,对于该规则下的执法活动的互助会越来越紧密,所以该标准范围内的涉欧中国互联网企业必须谨慎关注自身经营的合规性。

(2)“目标指向标准”下的中国涉欧互联网企业。

未在欧洲境内设立机构但符合第3条第2款“目标指向标准”,会受到GDPR的规制,这极大地扩大了其对我国境内互联网企业的影响程度。比如,对于跨境电商来说,只要欧洲境内的数据主体买了产品,就会涉及对个人数据的收集,收集后如果要根据这些数据,结合大数据进行喜好推荐,那么就要承担GDPR的责任;中国的视频、音乐类网站只要提供了服务,且有针对欧洲境内主体的表现就要受规制,比如中国公司新开发出社交平台,欧洲境内数据主体进行下载使用,而平台在某些服务方面体现出便利欧洲数据主体的服务特征,这种服务特征能表现以欧盟为目标,就要受GDPR管辖。

GDPR的域外效力之立法将符合其标准的域外企业纳入管辖,在其管辖内的域外企业直接被GDPR施加义务,须遵守所有GDPR下的规则;如果不遵守,可能直接面临欧盟数据主体提起的诉讼或者欧盟数据监管机构罚款、切断数据流等制裁。

2.GDPR域外效力规则执法层面的可实施性

GDPR域外效力规则在法律强制实施层面不能直接适用于其他主权国家,这影响了域外效力规则的实际约束力。将基于领土的主权国家体系直接适用于网络空间,意味着对于数据跨境的治理需基于目前的国际公法秩序。[15]181-183欧盟在数据主权论下域外效力制度的实施,需尊重各国国家主权。

“荷花案”中确立了關于强制执行管辖权的一般国际法规定,但“国际法价值与国家的第一个、也是最重要的限制是国家不得以任何形式在他国领土内行使权力,除非在国际条约或者国际习惯法中找到允许这么做的规则”,[12]13这意味着域外效力制度有效性存在缺陷,欧洲执法机构不能直接对域外的企业进行调查、罚款,欧盟法院的判决不能在域外直接执行。

但在双边合作机制下,域外效力制度可以获得实施。目前已有隐私执法中的国际合作的例子。如荷兰和加拿大隐私监管机构对WhatsApp移动应用程序处理个人数据的活动进行跨大西洋联合调查,以确保该应用程序遵守两国的数据保护法。再如法国数据保护局领导联合调查,与六个欧洲机构合作,对谷歌采取了正式的执法行动。[19]116此外,若存在“司法互助”双边合作机制,又或者域外企业在欧盟有资产,则其基于第3条第2款“目标指向标准”下的管辖可以落实。

在各国进行域外效力立法的情况下,对于各国都认可的违法行为进行双边执法的可能性将增大。我国正在推进“一带一路”,在欧洲作为重要贸易伙伴的当下,可以预测与欧洲的双边合作机制会更紧密。

3.跨境数据流动规则是域外效力规则在数据跨境场景下的双重保障措施

GDPR域外效力制度通过纳入管辖保障域外企业在GDPR下合规,达到GDPR的保护水平;跨境数据流动规则也是为了保障数据流动向欧盟之外时达到GDPR的保护水平。数据在域外进行处理首先需要传输至境外,跨境数据流动规则在此层面上与域外效力制度相通。因此需要考虑跨境数据流动规则与域外效力制度的关系。

(1)域外效力规则与跨境数据流动是不同规制路径。

如学者所述,域外管辖产生域外效力,而跨境数据流动规则是一种域外影响力,它并不将域外的数据处理活动纳入GDPR的管辖。[6]103GDPR的域外效力之立法将符合其标准的域外企业纳入管辖,而跨境流动规则的规制路径是“只有达到GDPR的标准,才允许跨境流动”,它并不直接对于境外的企业进行约束,而是通过施加一定标准约束欧盟境内的数据出口者从而间接影响域外企业。跨境数据流动规则下,执法措施体现为不符合标准,监管机构可以暂停或禁止相应的数据传输,这对于企业经营业务有十分重要的影响,对于域外企业的规制实际上更有效。美国的安全港协议、隐私盾协议目前虽都已失效,但二者都一定程度上体现出了美国为了满足欧盟的个人数据保护要求做出的努力与让步,[20]38-43也体现出跨境数据流动规则在实际执法中的重要作用。

(2)跨境数据流动规则与域外效力制度的双重保障。

跨境数据流动规则是域外效力制度在数据跨境场景下的双重保障,同时也是一种执法较为有效的措施,有学者甚至称之为“域外强制执行的替代办法”。[19]122

跨境数据流动规则侧重“欧盟-非欧盟”数据流动中GDPR保护水平的有效性,GDPR在序言中强调,跨境数据流动规则需要保障欧盟的数据从欧盟转移到第三国的控制者、处理者或其他接受者或国际组织时,GDPR保护水平不应受到损害,只要数据流出欧盟,跨境数据流动规则就能适用,且实际规制中已被证明对于保护域外的欧盟数据有重要作用。在具体“欧盟-第三国”的数据跨境场景下,如果该数据去向的第三国企业符合第3条域外效力规则下的“设立标准”或“目标指向标准”,则受GDPR域外效力规则管辖的同时,也受跨境数据流动规则规制,二者共同保障域外的欧盟数据达到GDPR的保护水平。

当前GDPR域外效力制度已经建立,受GDPR域外管辖的企业不应由于其可执行性存在不足就报以侥幸心理,合规经营对于企业自身欧洲业务开展及国际化都有重要作用。域外效力规则与跨境数据流动规则双重保障下,域外企业如果不遵守GDPR进行违法经营,则存在不确定的被执法威胁,这会对业务造成包括股价下跌、丧失消费者信任在内的诸多不良影响。企业出于自身声誉保护及业务国际化等诸多因素考量,需要遵守GDPR进行合规经营。如在2018年5月25日,微信海外版、AliExpress等多家中国互联网巨头,更新适用于欧洲客户的隐私政策、请求重新授权。[21]46这体现出受管辖的中国涉欧互联网企业要想在欧洲开展业务,则必须遵守GDPR。

(二)GDPR下企业个人数据保护责任加重

一,GDPR赋予数据主体各种权利,如知情同意权、更正权等,个人数据主体可以直接根据这些权利提出救济要求,企业侵害到这些权利,会受到严重的处罚。

二,对数据控制者与处理者有更多更严格的义务要求。如GDPR第33、34条规定了数据泄露后72小时内报告制度,规定了企业需要有“应对数据泄露机制”,如对员工进行技能培训,内部分工与责任分配,还规定了数据安全保障措施评估机制,以确保发生泄露后能有效地调查并补救。GDPR第35、36条规定特定风险数据影响评估与事先咨询义务。部分企业需设立数据保护官,

GDPR对于需设立数据保护官的组织机构做出了具体要求,参见GDPR第37条。对企业是否合规进行监督,增加了合规成本。

三,GDPR处罚力度大,制定出了严格的责任与救济制度。第83条对于个案中决定是否加以行政处罚以及处罚额度的考量因素加以列举,且规定极其高的处罚款额,企业一旦违反,将面临巨额罚款。截止2021年7月6日,GDPR下发出692项罚款,罚款总额超过2.9亿欧元。

数据来源参见https://www.privacyaffairs.com/gdpr-fines/.

四GDPR域外效力下涉欧互联网企业之应对

(一)国家层面之应对

前文提到,当前主权国家体系内,域外管辖与跨境数据流动规则将是普遍做法,为保证我国互联网企业良好发展,国家层面需要采取措施应对挑战。

1.借鉴GDPR经验,构建我国个人数据保护法的域外效力体系

GDPR立法将欧盟外的涉欧互联网企业纳入管辖范围内,以保护欧盟的个人数据,我国也有必要进行个人数据法的域外效力立法,保护我国个人数据。我国可在国际法允许范围内,借鉴欧盟的域外管辖模式,辅之以跨境数据流动规则,构建起我国自己的域外效力法律体系。当前,《中华人民共和国个人信息保护法》刚刚生效,其中有关于域外效力和跨境数据传输的相关条款,但相关细则仍需完善,有以下问题需要注意:

首先,个人数据保护的域外效力条款应尽量避免效力过度扩张造成的冲突。当前国际法原则上不禁止各国制定具有域外效力的国内法,[22]66但各

主权国家的域外管辖条款可能引起管辖权冲突,最为理想的途径需要国家间通过缔结条约来划分管辖权,如果无法达成条约,就需要以“是否存在禁止性国际法原则”作为域外效力合法性的衡量标准。[11]184

其次,应借鉴已有的立法经验,在明确规定个人信息保护法的域外效力的同时,完善符合我国情况的跨境数據流动规则,并辅之以具体规则。前文已经论述了GDPR的域外效力规制模式,其中最重要的两点就是:(1)数据处理行为虽然在域外,只要该处理行为是由欧盟境内有分支机构的数据控制者、处理者进行的,且该处理行为在分支机构的活动范围内进行,那么这项数据处理行为就受GDPR管辖;(2)“目标指向”标准下,为欧盟境内的数据主体提供服务、货物或对其进行监控的数据控制者、处理者,受GDPR约束。同时,GDPR的条文与EDPB的指南相配合,尽力让GDPR的规则细化并落到实处。《中华人民共和国个人信息保护法》的规定

《个人信息保护法》第3条。是借鉴GDPR第3条的体现,我们需要做的是,后续制定具体规则,解释条文的具体内涵,细化规则,同时利用我国的跨境数据流动规则为域外效力条款提供保障与辅助。

2.提升国内个人数据保护水平,建立双边协作机制

GDPR的跨境数据流通规则主要规制欧盟境内数据向外的流动,在当今全球化数字经济时代,数据跨境业务场景繁杂多样,国家需要建立双边协作机制,提升国内立法保护水平,从而应对GDPR下“充分性决定”和“适当保障”对于“保护水平”的高要求与执法威胁。当然,可考虑设立专门的数据保护机构,与欧盟数据保护机构之间进行合作。

3.提升法院在域外效力法律体系建设中的作用

欧盟法院在欧盟个人数据保护法律的域外效力中占据重要席位,我国法院也应该在个人数据法律的域外效力法治体系建设中发挥作用。学者指出,法院参与对外制度的构建中具有独立性与温和性,所以我国法院需要在司法实践中适用具有域外效力的法律,形成判例,从而推进域外效力法治体系的构建。[11]189

(二)企业层面之应对

首先,要明确自己要不要开展欧洲业务。GDPR下合规产生的成本高,如果没有较多的受众,利润低,企业提供的服务本身对于个人数据的保护力度不够,且提升自身服务成本过高,那么在面临巨额处罚的情况下,退出欧洲市场未必不可。又或者企业只是开展委托欧洲数据处理者进行数据处理的业务模式,自身并不属于第3条管辖范围,则可继续开展业务。

如果欧洲是重要市场,那么需要分清楚自己是否属于第3条的管辖范围。一,符合3条标准的互联网企业,受GDPR规制,在开展活动时就要合规。GDPR下的知情同意原则、数据主体的各项权利、自身承担的各种义务都要合规;企业需要提升员工法律素养,进行法律培训,也需要聘请高质量的法务人员;达到要求的企业需要设立数据保护官,事先审查,进行风险评估,从源头上减少风险,确保数据控制者和处理者在数据保护问题上合法合规。同时,需要时刻注意监管机构对核心业务运营部门的监管最新要求,并可考虑咨询经验丰富的当地专业人士,从而克服语言障碍和法律体系不一的障碍。二,符合第3条标准,受GDPR管辖的涉欧中国互联网企业,如果向非欧盟的第三国再转移欧盟的数据,而该非欧盟第三国不受GDPR管辖,则该传输也要满足GDPR数据跨境流动规则,即通过GDPR认可的传输方式进行数据“再转移”

第44条规定欧盟数据的“转移”与“再转移”都需符合GDPR,即个人数据从欧盟转移到第三国或国际组织,以及从该第三国或国际组织再转移至另一第三国或国际组织时,都需要满足GDPR的要求。。三,如果自身不受GDPR的管辖,没有在欧盟设立机构,也没有向欧盟提供服务、货物或监控欧盟数据,只因为某些业务需求进口欧盟的数据,那企业需要配合欧盟的出口商以欧盟认可的传输方式传输数据,以确保业务正常开展。

不管是域外效力制度,还是跨境数据流动规则,其立法目的中重要一点是保护在域外的欧盟数据。而跨境数据流动规则下的几种数据传输方式,被认为满足了欧盟保护水平,[23]因而是GDPR下合规的重要方式与指引。对企业来说,GDPR下合规的数据跨境传输方式有以下三种:(1)基于充分性认定的传输方式。

据GDPR第45条的规定,经过欧盟委员会评估认定第三国、国际组织能确保充分的保护水平时,欧盟境内的个人数据可以向该第三国或国际组织传输。该决定有可能被撤销,所以需要及时跟进所属国家或组织、传输的数据类型。(2)提供适当保障的传输方式。

GDPR第46条规定,不存在第45条充分性认定时,只有数据控制者或处理者对于数据的传输提供了适当的保障才可以进行数据传输。第46条下列出一些传输方式(transfertool)能提供适当保障,包括标准数据保护条款、有约束力的公司规则、行为准则、认证机制等。其中标准数据保护条款(SCCs)和有约束力的公司规则(BCRs)在实践中对于公司跨境数据业务有重要作用。SCCs是指一系列欧盟给出的条款范式,将这些条款纳入数据出口方与进口方的合同义务中,从而提供适当的保障。BCRs是企业自行制定的规则,约束公司内部各机构、各环节的数据传输。只选择第46条下的传输方式还不足够,还需要确保这些方式以“数据主体权利可获得强制执行”和“存在法律救济”为构成要素,

第44条文本为“…onlyifthecontrollerorprocessorhasprovidedappropriatesafeguards,andonconditionthatenforceabledatasubjectrightsandeffectivelegalremediesfordatasubjectsareavailable”.确保这些保障是有效的。(3)某些特定例外情况下允许的跨境数据流动。

GDPR第49条允许在某些特定情况下的个人数据的跨境流动,并作出了特定情况的列举,如数据主体同意、履行合同、公共利益所必须等。但这些是例外规则,不能作为普遍实践做法,第49条的适用需要严格的个案审查,以确定是否符合第49条的条件。

中国涉欧互联网企业在具体场景下需遵守跨境数据流动规则,具体合规应对措施有:提升数据保护水平,证明能够提供适当的保障;提升企业自律机制,加入约束性企业规则体系。“到2019年8月,達到‘充分性认定的地区只有13个”,[24]2021年“充分性决定”有所进展,欧盟委员会启动通过韩国充分性认定的程序,[25]但总体来说该种方式十分有限,中国并未在“充分性认定”之列。对于企业来说,SCCs是很好的选择,选择签订欧洲委员会通过的合同条款,能被认为提供了适当保障,可以合法合规地进行跨境数据流动。此外,BCRs是对于跨国公司有重大作用的传输方式,GDPR把BCR纳入了法条就说明GDPR给予了行业自律机制充分的认可。[26]78“当前,包括埃森哲、宝马汽车、惠普、摩托罗拉等在内的72家跨国公司获得了欧盟BCR认可”,[27]45涉欧的跨国公司可以考虑采取该种方式实现GDPR业务合规,能够高效地解决跨国公司内多方、高频率的数据流。

五结语

国际化的互联网公司需要遵守开展业务所在国的法律,中国涉欧互联网企业开展业务进行数据跨境流通时,需要遵守欧盟个人数据保护的法律规定。在欧洲,GDPR第3条作为域外管辖条款,直接把中国企业纳入GDPR管辖之下。该立法符合国际法,是欧盟捍卫数据主权,迎接全球化数字经济时代挑战的立法应对。

GDPR的域外效力条款有“设立标准”和“目标指向标准”,该立法大大扩张了欧盟国内法的域外法律约束力。由于目前国际法下国家不得以任何形式在他国领土内行使权力,其可执行性存在缺陷,但在双边合作机制下其具有可实施性,且跨境数据流动规则作为“欧盟-非欧盟”数据流动的保护规则,在数据跨境场景下与域外效力制度对于“域外的欧盟数据”起到双重保障作用。同时,GDPR下,中国涉欧互联网企业责任加重,合规成本增加,且面临潜在的巨额罚款。立法上的威胁与受制裁的不确定性无法避免,互联网企业出于自身声誉保护及业务国际化等诸多因素考量,若要开展涉欧业务,需要遵守GDPR进行合规经营。

国家层面,中国需要在制度层面建设域外效力法治体系,可学习欧盟的立法经验,完善域外效力规则,同时需要提升国内个人数据保护水平,并注重法院在域外效力规则构建中的作用。企业层面,中国涉欧互联网企业需结合自身情况做出经营策略选择,判断自己是否属于GDPR的域外管辖范围,遵守适用于其业务的GDPR具体规则,不侵犯数据主体的各项权利,严格遵守自身承担的各种义务。跨境数据流动规则下提供的数据传输方式是达到欧盟保护水平的有效方式,是企业GDPR合规的重要指引,企业可积极利用标准数据保护条款方式以及有约束力的公司规则体系等合法传输方式应对GDPR下业务合规要求。

[参考文献]

[1]中华人民共和国商务部.中国-中东欧国家合作杜布罗夫尼克纲要[EB/OL].(20190418)[20210701].http://ozs.mofcom.gov.cn/article/hzcg/?

[2]中国国际贸易促进委员会.2020年中国成欧盟最大贸易合作伙伴[EB/OL].(20210216)[20210701].http://www.ccpit.org/Contents/Channel_4113/2021/0216/1326803/content_1326803.htm.

[3]腾讯云的欧洲战局:竞争、机会与挑战[EB/OL].(20191210)[20210701].https://baijiahao.baidu.com/s?id=1652537037129629032&wfr=spider&for=pc.

[4]阿里巴巴和亚马逊的“欧洲战事”[EB/OL].(202100107)[20210701].https://baijiahao.baidu.com/s?id=1655965307364860904&wfr=spider&for=pc.

[5]石佳友.我国证券法的域外效力研究[J].法律科学(西北政法大学学报),2014,32(5):129-137.

[6]俞胜杰.《通用数据保护条例》第3条(地域范围)评注——以域外管辖为中心[J].时代法学,2020,18(2):94-106.

[7]漆彤,施小燕.大数据时代的个人信息“被遗忘权”——评冈萨雷斯诉谷歌案[J].财经法学,2015(3):104-114.

[8]UpdateofOpinion8/2010onapplicablelawinlightoftheCJEUjudgementinGoogleSpain.[EB/OL].[20210701].https://ec.europa.eu/newsroom/article29/items/640614/en.

[9]张建文,张哲.个人信息保护法域外效力研究——以欧盟《一般数据保护条例》为视角[J].重庆邮电大学学报(社会科学版),2017,29(2):36-43.

[10]敖海静.关于《一般数据保护条例》适用的地域范围的指南[J].经贸法律评论,2020(2):135-158.

[11]霍政欣.国内法的域外效力:美国机制、学理解构与中国路径[J].政法论坛,2020,38(2):173-191.

[12]何铁军.国际法上的管辖权制度刍议——以“荷花号案”为视角[J].齐齐哈尔大学学报(哲学社会科学版),2008(4):12-15.

[13]孔庆江,于华溢.数据立法域外适用现象及中国因应策略[J].法学杂志,2020,41(8):76-88.

[14]FrancescaBignami&GiorgioResta,HumanRightsExtraterritoriality:TheRighttoPrivacyandNationalSecuritySurveillance[EB/OL].(20170929)[20210701].http://ssrn.com/abstract=3043771.

[15]刘天骄.数据主权与长臂管辖的理论分野与实践冲突[J].环球法律评论,2020,42(2):180-192.

[16]吴玄.数据主权视野下个人信息跨境规则的建构[J].清华法学,2021,15(3)74-91.

[17]CremonaM,Scott,J.EUlawbeyondEUborders:theextraterritorialreachofEUlaw[M].Oxford:OxfordUniversityPress,2019.

[18]ScottJ.ExtraterritorialityandterritorialextensioninEUlaw[J].AmericanJournalofComparativeLaw,2014,62(1):87-126.

[19]GrezeB.TheextraterritorialenforcementoftheGDPR:agenuineissueandthequestforalternatives[J].InternationalDataPrivacyLaw,2019,9(2):109-128.

[20]张继红.个人数据跨境传输限制及其解决方案[J].东方法学,2018(6):37-48.

[21]王孔祥.GDPR对互联网企业的影响[J].中国信息安全,2018(7):45-47.

[22]肖永平,焦小丁.从司法视角看中国法域外适用体系的构建[J].中国应用法学,2020(5):56-72.

[23]Recommendations01/2020onmeasuresthatsupplementtransfertoolstoensurecompliancewiththeEUlevelofprotectionofpersonaldata.[EB/OL].(20210618)[20210701].https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en.

[24]阿里巴巴数据安全研究院.全球数据跨境流动政策与中国战略研究报告[EB/OL].(20190828)[20210701].https://www.secrss.com/articles/13274.

[25]Dataprotection:EuropeanCommissionlaunchestheprocesstowardsadoptionoftheadequacydecisionfortheRepublicofKorea.[EB/OL].(20210616)[20210701].https://ec.europa.eu/commission/presscorner/detail/en/ip_21_2964.

[26]弓永欽.欧盟数据隐私新规则对我国“涉欧”数字企业的影响及应对[J].国际经济合作,2019(2):70-79.

[27]王融.数据跨境流动政策认知与建议——从美欧政策比较及反思视角[J].信息安全与通信保密,2018(3):41-53.