王 雪,石 巍
(南开大学 法学院,天津 300350)
伴随着互联网、云计算等技术的高速发展,世界万物皆可转化为数据形式[1]。科技的发展,尤其是数据技术的迅猛进步,在一定程度上弱化了主权原则,引发管辖权争端。在国际法框架下,关于一国对网络空间管辖范围的问题,学者们至今未达成共识。个人数据作为网络空间的重要构成部分,对其监管同样会面临管辖权划分的问题。随着云计算技术的普及,在全球范围内个人数据的储存地与处理地相分离已经成为常态,甚至个人数据处理活动的发生地会模糊不清,传统管辖权原则的运用受到挑战。
随着个人数据成为当代“生产要素”,大型跨国互联网企业日常收集海量个人数据并挖掘其商业价值。显然,仅局限于领土范围内保护个人数据已不合时宜,保护范围从国内延伸到国外已然成为现实需要。单方立法扩张个人数据域外管辖权成为各国对科技进步的回应。正因如此,在国际社会对保护个人数据达成共识的同时,国内法单方扩张个人数据域外管辖权的现象逐步形成趋势。值得注意的是,国际社会对域外管辖权的调整尚缺乏国际条约或协议,这一趋势易引起法律冲突。那么在国际法框架下个人数据域外管辖权的单方扩张会引发何种问题?面对引发的冲突,在尊重他国数据主权的前提下,我国如何推动本国个人数据域外执法和司法判决的有效实施?从已有研究来看,我国学者集中于研究数据主体的各项权利,大型数据平台的垄断,以及数据跨境流动的规则等,对个人数据域外管辖权的关注较少。是故,本文借助对个人数据域外管辖权这一主题的探讨,提出自身见解以供参考,期望起到抛砖引玉的效果。
在国际法的限制范围内,一国可以对个人数据领域的各项活动行使域外管辖权。域外管辖权可以分为三种不同类型的管辖权能,即域外立法管辖权、域外执法管辖权和域外司法管辖权。个人数据域外管辖也是借助这三项权能在全球范围内普及。
不言而喻,立法管辖权是国家将制定的法律适用于特定的人、物或行为的权力[2],而域外立法管辖权便是一国可对其境外的特定事项和人行使立法管辖权[3]100。2018 年欧盟《通用数据保护条例》(General Data Protection Regulation,缩写为GDPR)第3 条赋予了条例自身以域外效力,为个人数据保护全面确立了域外管辖制度。作为全球个人数据保护领域内最具有影响力的立法之一,GDPR第3条成为众多国家参考的蓝本,其对个人数据域外管辖的规制逻辑逐步为更多的非欧盟国家所接受。这一条款为个人数据域外管辖创造性设立了两项标准,分别为设立机构标准(the establishment criterion)与目标导向标准(the targeting criterion)。
第一,设立机构标准。欧盟数据保护委员会(European Data Protection Board,缩写为EDPB)建议采用三步骤来确定个人数据的处理是否属于GDPR的管辖范围[4]。首先,考虑是否符合欧盟个人数据保护法意义上“设立机构”的定义。在Google Spain SL,Google Inc. v AEPD 判决后,“设立机构”一词的解释早已偏离了形式主义,扩展到通过稳定的安排所进行的任何真实有效的活动。为了确定总部位于欧盟外的数据控制者或处理者是否在欧盟内存在“设立机构”,必须根据所从事经济活动的具体性质,来考虑所开展活动的稳定性、有效性以及所提供服务的程度。其次,查看是否满足“在欧盟设立机构活动背景下”的条件。在司法实践中,“设立机构”的存在是否有助于为欧盟外的数据控制者或处理者增加收入是重要的考量因素。增加收入意味着数据控制者或处理者与设立机构之间关系密切。再次,在设立机构活动背景下进行的个人数据处理活动无论是否在欧盟内进行,GDPR 均予以适用。考虑到个人数据处理活动的各个环节相互分离,地理位置是否位于欧盟境内已不再是考量因素,这也极大地扩张了“设立机构标准”的适用范围。
第二,目标导向标准。这一标准明显地受到了欧洲消费者保护法领域判决的影响,展现了欧盟较高的立法技术。借鉴Pammer v Reederei Karl Schlüter GmbH 和Co and Hotel Alpenhof v Heller①案件中欧盟法院的判决,在与消费者签订任何合同之前,从网站和贸易商的整体活动中是否可以明显看出贸易商打算与居住在成员国的消费者开展业务,或者有意与他们签订合同。对这一判决的吸收形成了“目标导向标准”适用的前提条件,即该标准旨在管辖有意而非偶然地针对欧盟数据主体的活动。“目标导向标准”主要从两个方面对境外的数据控制者或处理者开展域外管辖:一是为欧盟内的数据主体提供商品或服务;二是监控欧盟内的数据主体。关于前者,EDPB主张综合考虑网站域名、营销活动、支付货币和语言等多项因素进行判断。至于后者,GDPR 序言第24 条阐释着重考虑潜在的后续使用分析技术,例如可穿戴设备和其他智能设备。
由于GDPR 在个人数据保护领域的深远影响,为更好地保护本国数据主体的合法权益,较多国家同样颁布了综合性的个人数据保护法案②,并设置域外适用条款,确立本国对个人数据保护的域外立法管辖权。我国个人数据的域外管辖制度经历了从无到有、从粗到细的过程。2021 年我国《数据安全法》第二条确立了我国在数据领域的域外管辖制度,当境外开展的数据处理活动损害我国国家安全、公共利益与公民合法利益时,需追究其法律责任。同年,对于发生在境外的个人数据处理活动,《个人信息保护法》第三条第二款③借鉴“目标导向标准”详细规定了法律的域外适用范围。随后《网络数据安全管理条例(征求意见稿)》第二条第二款在《个人信息保护法》的域外适用的基础上,增加“涉及境内重要数据处理”的情形。美国、英国、巴西等国也纷纷以GDPR 为蓝本设置域外适用条款,见表1。
表1 个人数据保护法案域外适用条款的立法现状
除上述各国颁布的国内法,2018年欧洲理事会修订的《关于个人数据自动处理的个人保护公约》(Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data,以下简称《公约》)及其议定书作为全球数据保护领域最重要的国际协议之一,并没继承GDPR 的域外适用条款,而是在第18 条规定,不考虑数据主体的居住地和国籍,缔约方均有义务保护数据主体行使权利。此条款更多是缔约方出于“全球共管”的目的[5],在对数据主体提供协助方面间接延伸《公约》的适用范围以提高对数据主体的保护水平。
综上,欧盟GDPR 域外管辖的规制路径逐步成为全球个人数据域外管辖的标准,借助单边立法赋予本国以域外立法管辖权已经在全球普及。
执法管辖权是一国行使的强制遵守法律的权力,根据主权原则,一国的执法管辖权一般限于国内。当执法管辖权的行使范围超越领土边界时,便会产生域外执法管辖权的问题。域外执法管辖权不仅包含对域外特定人、物的直接行政执法,也包含为域外司法管辖权的顺利行使而采取的司法辅助措施[6]。
相比于域外立法管辖权和域外司法管辖权,域外执法管辖权具有明显的侵略性,因此,国际法对域外执法管辖权一直加以限制。一国行使域外执法管辖权只能基于国际法赋予的特定权力或外国政府的有效同意[3]105。然而,在大数据时代,个人数据跨境流动的频繁性致使原有域外执法管辖权的行使条件已然无法满足各国监管的需求。因而,单方扩张行政部门的执法范围成为各国行使个人数据域外执法管辖权的方式之一。
其一,明确个人数据保护的监管部门。GDPR作为全球最具影响力的数据法案,其第51条与第52条明文规定每个成员国应当建立一个或多个独立公共机构以负责条例实施,并进一步要求监管机构应当具有完全的独立性。英国的信息专员办公室(Information Commissioner’s Office,缩写为ICO)、西班牙数据保护机构(Agencia Espa?ola de Protección de Datos)以及法国国家信息技术和自由委员会(Commission Nat Informatique et Liberté,缩 写 为CNIL)等均是负责本国个人数据保护的监管机构。我国《个人信息保护法》第六十条赋予我国网信部门对个人信息保护享有监管职责。《数据安全法》第五条与第六条则对数据安全领域的职责在中央国家安全领导机构、公安机关以及国家安全机关之间进行分配。截止到2020 年11 月,全球已经有80 多个国家和地区设立了数据保护监管机构[7]。
其二,监管部门具有行政执法权限,不考虑他国的同意或授权直接针对域外特定的人或事项行使执法管辖权。上述数据保护机构绝对不仅仅限于监督,更多是通过行政执法的方式保障数据立法的实施。GDPR第58条赋予了数据保护监管机构以调查权、矫正权、授权和建议权。在矫正权之下,数据保护监管机构可以独立行使警告、禁止数据处理、中止数据传输、撤回认证以及行政罚款等多项权力。与此相似,我国《数据安全法》第六章与《个人信息保护法》第七章均明文规定了违法行为所应当承担的法律责任,授权主管部门对违法开展数据处理活动的个人和组织实施警告、吊销营业执照、行政罚款等措施。《公约》第15条基本继承GDPR的规定,赋予监管机构调查权和干预权,以及有权对违反公约的行为做出行政处罚。2021年12月,法国CNIL 认为谷歌公司对cookies 拒绝机制的设置过于复杂,拒绝cookies 并不像接受它一样容易,因而对谷歌公司处以1.5亿欧元的罚款[8]。总之,面对涉外违法的个人数据处理行为,监管部门更依赖国内法行使域外执法管辖权。
司法管辖权,是一国通过其法院或行政法庭的程序处理特定的人、物或事项的权力。一般而言,对从事数据处理行为的人员或组织行使司法管辖权的实际范围与立法管辖权相同。换言之,倘若在国际法框架下一国对域外的个人数据处理活动享有域外立法管辖权,那么也可对相应的人员或事项行使域外司法管辖权,除非对方享有司法豁免。由前文可知,以GDPR 为代表的个人数据保护法案设置域外适用条款已经逐步在全球普及,因而对数据处理活动的域外司法管辖权也相应延伸,域外管辖的两项标准在此不再赘述。但GDPR对司法管辖诉讼程序的规定,间接扩张了域外司法管辖权。
GDPR 第79 条规定在个人数据保护民事诉讼中,数据主体所享有的针对控制者或处理者的司法救济权。首先,这项救济权利并不影响数据主体可以获得的其他行政救济,也不影响其向监管机构提交申诉。当数据主体认为,数据控制者或处理者违反GDPR处理其个人数据、侵犯其个人数据权的,均可获取司法救济。其次,明确规定了管辖法院。针对控制者或处理者的法律诉讼,依据被告人住所地的诉讼程序规则,数据主体应当在数据控制者或处理者拥有机构的成员国的法庭提起诉讼。此类规定适用于设立机构标准,即当数据控制者或处理者在欧盟境内存在设立机构之时,数据主体以数据控制者或处理者为被告的诉讼,应当由设立机构所在地的成员国法庭管辖。而在目标导向标准之下,数据控制者或处理者在欧盟境内并未有设立机构。第79条第2款从弱者保护的角度,优先保护数据主体的权益,明确规定,此类法律诉讼可以在数据主体经常居住地的法庭提起。可见,无论适用何种域外管辖标准,欧盟成员国的法庭始终享有域外司法管辖权。再次,在选择案件适用的准据法时,GDPR域外适用条款并未给予国际私法下的冲突法规则以适用的空间。GDPR第3条名称为“地域范围”,以域外管辖为目的,第1款与第2款条文均具有“本例适用于……”的表述。对条文进行文义解读可以发现,若数据控制者或处理者处理个人数据的情形符合设立机构标准或目标导向标准,直接适用GDPR的规定。这就意味着,在欧盟成员国的法庭行使域外司法管辖权之时,直接适用GDPR的规定即可,无需依据冲突法指引选择准据法。因而,GDPR 第79条对数据主体司法救济权利的程序规定,本质上进一步扩张了欧盟成员国法院的司法管辖权。值得注意的是,我国《个人信息保护法》第三条也采用了“适用本法”的表述,即我国法院在审判过程中直接适用本法规定,但并未明文规定域外管辖情形下管辖法院的问题。
在域外执法管辖权与域外司法管辖权相衔接的背景下[9],域外司法管辖权有进一步蔓延的可能。GDPR第58条在赋予独立的监管部门以行政执法权力的同时,要求每个成员国通过国内法的规定,允许监管部门将违法行为诉诸司法机构,并可以提起或参与诉讼。实质上,监管部门不仅具有行政执法权,而且被授予了一部分司法职能。但GDPR并未对域外执法管辖与域外司法管辖的衔接做出程序性的规定,这在《公约》中得到进一步补充。由前文可知,《公约》第15条赋予监管部门以调查权和干预权,监管部门行政执法的权限同GDPR的规定相比并无较大差别。但同时,这一条款规定缔约方应赋予监管机构进行法律诉讼或将任何违反数据保护规则的行为提请司法机构的权力。这项权力以调查权为前提,有助于司法机关发现侵犯数据主体权利的行为[10]。《公约》第15条将监管部门的调查权与提起司法诉讼的权力相衔接,“调查”成为监管部门提起司法诉讼的前提程序,实质上是在行政执法与司法诉讼之间搭建桥梁。监管部门具有行政执法与提起司法诉讼的双重职能,这不仅模糊了域外执法管辖权与域外司法管辖权之间的界限,更是伴随着个人数据域外执法管辖权的扩张导致域外司法管辖权进一步延伸。
伴随着诸多国家个人数据域外管辖权的扩张,域外立法管辖范围不明晰的缺陷暴露无遗,并引发域外执法管辖与域外司法管辖诸多问题。
以GDPR为代表的个人数据保护法案符合国际习惯法的管辖原则,但是其管辖范围过于宽泛,边界模糊不清。由于国际领域尚且缺乏对个人数据域外管辖调整的公约或协议,国际习惯法所包含的管辖原则就成为判断管辖权合法性的重要标准。“设立机构标准”要求存在“设立机构”这一连接点,这意味着其依旧要求存在领土联系,所以其管辖以属地管辖原则为基础。从表面看,“设立机构标准”的管辖权基础并不属于域外管辖的分类,但分析实际效果,EDPB对“设立机构”含义的解释宽泛,门槛较低,甚至自然人的存在即可被视为“设立机构”。尤其是,“设立机构标准”并不要求个人数据处理行为发生在境内,Google Spain SL,Google Inc. v AEPD案件表明即使发生在境外的个人数据处理活动,只要满足EDPB的考量因素,也将被纳入管辖范围。因而,“设立机构标准”虽然以属地原则为基础,但或多或少具有虚拟性质[11],削弱了领土联系,已经发挥了域外管辖的效果。
“目标导向标准”对效果原则的应用更是加剧了对个人数据域外立法管辖范围的争议。在网络环境之下,效果原则针对的是在国外发生或完成,但对其国内产生效果的网络行动[3]97。互联网技术的出现致使以传统疆域为界限开展管辖受到阻碍,效果原则在较大程度上弥补了传统属地管辖原则的缺憾,但其运用也充满了不确定性[12]。在“目标导向标准”之下,数据控制者或处理者无论是提供商品或服务,抑或是监控境内数据主体,对境内产生的实质效果归属于数据保护机构或法院单方解释,管辖权易遭受怀疑。事实上,在这一标准之下,凡是涉及境内数据主体的数据处理行为都可能被纳入管辖范围。尽管效果原则在个人数据保护领域逐步为更多的国家所接受,但其内涵的不确定将进一步导致域外立法管辖范围的模糊。
可见,在国际习惯法框架下,尽管以GDPR为代表的个人数据保护法案的管辖权基础符合国际习惯法,并未侵犯他国数据主权,但域外立法管辖权的边界宽泛且不清晰。面对同一数据处理活动的案件多国有可能同时享有以客观属地原则或效果原则为基础的立法管辖权,这极易在执法管辖和司法管辖方面引发冲突。
就域外执法管辖权内部因素而言,与域外立法管辖权和域外司法管辖权相比,其受地域性的限制影响最大。就外部配套措施而言,为域外执法所设立的代表制度也无法解决行为义务的执行难题。
1.内部因素:地域性限制
数据保护机构域外执法的行为不可避免会受到地域性的限制。1927 年“荷花号”案件判决至今已接近百年,但其审判结论依旧是现下国家域外管辖的主要依据[13]。域外立法管辖权相对自由,但是域外执法管辖权原则上依旧是禁止的,其行使应当具备其他国家的授权[13]。即使国际法框架下管辖权原则的内涵在不断变化,互联网背景下属地管辖与域外管辖的边界更是逐渐模糊,但域外执法管辖权以领土为界限的基本思路并未改变。以GDPR为代表的个人数据保护法案单方授予本国数据保护机构域外执法管辖权,但国内法并不能构成域外执法的合法依据。倘若欧盟数据保护机构以“目标导向标准”为依据,未经过我国监管机构同意,便对我国企业采取矫正、数据调取或行政处罚措施,不仅会涉嫌侵犯我国主权,更会引起双方外交关系的紧张对立。由前文可知,个人数据域外立法管辖范围宽泛模糊,无论是欧盟数据保护机构抑或是我国监管部门,域外执法将不得不考虑选择性执行[14]。
2.外部因素:代表制度的“先天不足”
代表制度设置的目的正是为了保障个人数据保护法案的有效实施,但这一制度本身具有一定的缺陷。
首先,关于代表是否需要承担“替代责任”的问题,各国立法或学者讨论目前均未达成共识。在立法方面,2018 年《西班牙数据保护法案》(Spanish Data Protection Act 2018)第30(1)条直接规定监管机构可以对代表施加GDPR 中的所有“措施”,根据该法第30(2)条,代表将承担连带责任,就因数据控制者或处理者违反GDPR造成的任何损害向数据主体提供赔偿。但值得注意的是,虽然我国《个人信息保护法》第五十三条借鉴了GDPR的代表制度,规定符合第三条第二款的个人信息处理者④应在我国境内指定代表,但对于最核心的法律责任立法却没有提及。换言之,在我国境内设立的代表无需承担“替代责任”。而学者对于代表“替代责任”的观点也存在对立。支持者主要从有利于域外执法的角度论证“替代责任”的必要性,而反对者更多从法理依据入手,认为“替代责任”的立法设置没有法理基础,主要是依靠代表与网络平台的合同约定。
其次,境外的数据控制者或处理者逃避代表的设置。代表制度本身对境外的数据控制者或处理者而言没有吸引力,在他国设置代表意味着境外的数据控制者或处理者自愿接受该国的管辖,这很可能抑制境外数据控制者或处理者设置代表的积极性[15]。2021年荷兰数据保护监管机构对总部位于美国的网站LOCATE FAMILY 处以52 万欧元的行政罚款,依据便是该数据控制者服务的对象包括欧盟居民,符合GDPR 第3 条第2 款的规定,但是并未在欧盟任命代表[16]。
再次,应当区分数据控制者或处理者的金钱给付义务与特定的行为义务[15]。即使代表能够有效代替域外的数据控制者或处理者承担行政罚款或民事赔偿,但也只是局限于金钱给付义务。在需要境外的数据控制者或处理者遵守执行某项行为的命令时,设置的代表很可能没有权利同时也没有实质的可能性去遵守数据保护机构的命令,具体的行为义务只有境外的数据控制者或处理者本身才能履行[15]。在A v Google New Zealand Ltd 一案中,因为谷歌公司没有彻底删除搜索链接,原告便将谷歌新西兰子公司起诉至法院要求其履行,但法院支持了谷歌新西兰子公司的主张,即尽管其可以对谷歌公司施加影响但新西兰子公司根本不具备删除搜索链接的权限,最终驳回了原告诉求。这一案件虽是以子公司为被告,但是同样暴露了代表制度的缺陷,即子公司尚且可能不具备权限遵守保护个人数据的行为义务,与跨国公司关系更加松散的代表对行为义务的履行将更加有限。因而,正是因为代表制度本身存在的缺陷,其无法有效保障个人数据保护法案的实施。
除却行政处罚,数据主体向数据控制者或处理者提出民事诉讼也是保护自身权益的重要手段。但跨境民事诉讼的司法判决是否能够得到外国法院的承认与执行,的确存在诸多问题。
1.价值冲突
当数据主体借助民事诉讼要求行使权益或索赔时,国际私法领域外国民商事判决承认与执行的规则可以获得一定的应用,但数据主体的权利可能会与他国公共利益相冲突[17]。2019 年在Google v CNIL一案中,欧盟法院对数据主体被遗忘权的执行范围进行澄清,被遗忘权与公众知情权、言论自由之间的冲突极为突出。欧盟法院认为,个人数据的保护程度与信息自由之间的平衡在世界范围内可能会存在很大差异⑤。因而,虽然欧盟居民拥有被遗忘的合法权利,但该权利仅适用于欧盟27个成员国的边界内。这一判决看似谷歌公司取得了“胜利”,但判决的最后部分含蓄地承认欧盟立法机构有能力扩大被遗忘权的范围,即在充分权衡数据主体的权利与信息自由之后,成员国的司法机关或监管机构可以要求搜索引擎运营商在全球范围内取消链接。这为以后欧盟各成员国的司法机关将被遗忘权在全球范围内实施敞开了大门。
但核心问题是,即使欧盟法院将被遗忘权的实施扩展到全球范围,也会因与言论自由不一致,在美国普通法下缺乏可执行性[17]。依据美国宪法第一修正案,只有为防止对国家保护的合法利益造成严重和直接危险时,言论自由才可以被限制[17]。依据国际私法下“公共秩序保留”规则,一国可拒绝承认与执行与本国公共秩序相抵触的外国判决[18]。虽不涉及个人数据,但Google Inc. v. Equustek Solutions Inc案件便是有力例证⑥。加拿大最高法院要求谷歌公司在全球范围内删除链接以阻止知识产权侵权行为的判决,被美国加利福尼亚北部地区法院颁布禁令,主要依据便是这一判决与言论自由相矛盾,需要颁布禁令以保护公共利益。尽管我国《个人信息保护法》并未全面借鉴GDPR 被遗忘权的权利内容,但第四十七条赋予我国数据主体以删除权,而当删除权的执行范围延伸到我国领土以外时,同样会涉及价值冲突的问题。
是故,数据保护的司法判决跨境的承认与执行会因价值冲突受到阻碍[19]。
2.司法管辖权遭受怀疑
由于个人数据域外立法管辖权的宽泛模糊,涉及数据主体民事索赔的司法判决在国外得到承认与执行时,管辖权的行使依据可能无法满足合理性标准[17]。欧盟GDPR 第82 条和我国《个人信息保护法》第六十九条均赋予了数据主体因权益受损而请求赔偿的权利。但承认与执行外国民商事判决最基本的要求是外国法院具有司法管辖权[15]。2019年在荷兰海牙达成的《承认与执行外国民商事判决公约》规定了缔约国相互承认与执行司法判决的重要条件之一便是原审法院要具有合格的管辖权[20]。然而,在个人数据域外管辖案件中,即使请求国法院以真实有效联系为依据行使司法管辖权时,被请求国法院可能倾向于担忧执行裁决会进一步扩张请求国法院的管辖权[21]。早在2018 年GDPR 生效之时,学者Kurt Wimmer便指出,在对借助cookies跟踪数据主体的境外公司行使司法管辖权时,即使请求国法院以效果原则为管辖权基础,但由于cookies的使用不具有实质性和直接影响,司法管辖权的行使很可能因不具备合理性而遭受被请求国法院质疑[17]。在2014 年的Vidal-Hall & Ors v Google Inc 案件⑦中,英国法院认为谷歌公司未经数据主体同意利用cookies收集信息并发布有针对性的广告,由于此类广告具有泄露个人数据的风险,法院参照诽谤法,认为发布的针对性广告在数据主体的计算机屏幕上可以观看到,就如同诽谤的内容在英国发布,英国法院有权管辖。但这一解释是否能得到他国的认可,还有赖于判例的进一步发展。
因而,即使涉及数据主体索赔的司法判决并未与被请求国公共利益出现价值冲突,以“目标导向标准”为依据的司法管辖权也可能因无法通过被请求国法院的管辖权审查而不被承认和执行。
面对个人数据域外管辖权扩张的趋势,一味依靠阻断法令开展“防守”不仅会使我国陷入被动,而且不利于我国参与全球数据治理。尽管对个人数据实施域外管辖存在诸多弊端,但不可否认其存在的必要性。相比“防守”,构建我国个人数据域外管辖的进取型路径才可以避免立法滞后。《个人信息保护法》与《数据安全法》只是初步完成了域外管辖的粗线条立法,缺乏对域外执法配套措施的详细规定。目前关键问题在于我国如何在不侵犯他国数据主权的前提下保障域外执法和司法的有效实施。
传统域外管辖“全有或全无”的二元化和个人数据模糊不清的域外管辖范围易使我国陷入管辖权冲突的境地。在确定是否要对个人数据的处理行使域外管辖权时,应当关注违反《个人信息保护法》的条款类型。Svantesson 教授将个人数据保护域外管辖的范围分为三层:防止滥用层、权利层和行政层[22]。但本文认为此种划分有待进一步商榷,主要原因有以下两点:其一,尽管从法律条款的文义解释分析,防止个人数据非法滥用和数据主体权利的内容貌似容易辨析,但是在具体案件中二者是难以区分的。其二,即使防止个人数据滥用是目前各国个人数据保护法案立法的基本目标,但这并不意味着域外管辖权可以随意行使。在个人数据遭受非法泄露或利用的案件中,一国法院或政府依旧需要遵守域外管辖规则的基本要求。若如Svantesson 教授所述,以“市场主权”为依据,依靠市场力量对个人数据非法滥用行为实施无限制的域外管辖,此时域外管辖权的范围等同于一国市场影响力的范围。这反而容易导致较大经济体以数据保护为理由滥用管辖权,与国际法尊重主权原则背道而驰。考虑到《个人信息保护法》的主要监管对象为个人信息处理者,可以从个人信息处理者的义务类型出发。其一,个人信息处理者需要维护所收集或处理的数据,并履行数据主体各项权益的要求。其二,个人信息处理者需要履行《个人信息保护法》所设定的各项具有行政管理性质的义务。是故,本文倾向于以个人信息处理者的义务为基点,吸收并改进“分层理论”,将我国《个人信息保护法》域外管辖的范围分为两层,即“数据主体权益保护层”与“行政管理义务层”。
第一,若个人数据处理行为涉及数据主体各项权益的保护,符合国际法管辖权理论中“最低限度联系”,即可实施域外管辖[22]。《个人信息保护法》第一条明文规定以“保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”为立法目的;第二条进一步明确“任何组织、个人不得侵害自然人的个人信息权益”。可见,保护个人数据不被非法利用以及保障数据主体各项权益的有效行使是《个人信息保护法》最基本的立法目的。因而,对位于境外的个人信息处理者实行域外管辖不适宜设置较高的阈值。“最低限度联系”理论起源于美国联邦最高法院对International Shoe Co. v. Washington一案的判决⑧,即对非居民被告实施管辖,为符合正当程序的要求,被告需与法庭有最低限度的接触,此类诉讼不会冒犯“实质性正义”[22]。以“最低限度联系”作为个人数据域外管辖的阈值,不仅可以有效保护个人数据,且不会对他国数据主权造成困扰。
第二,若对位于境外的个人信息处理者采取行政管理措施,则实施域外管辖所要求的联系程度会更加紧密。我国《个人信息保护法》第五章全面规定了个人信息处理者的义务,如设立个人信息保护负责人、定期进行合规审计以及建立个人信息保护合规制度体系等。在适用“目标导向标准”的前提下,我国网信部门要求任何位于他国的个人信息处理者均履行上述义务要求是不切实际的。况且,此类行政管理措施类的条款并非直接保护个人数据,而是通过加强日常管理来降低风险,因而以“最低限度联系”作为域外管辖的阈值已然不合时宜。美国在Helicoptoros Nacionales De Columbia S.A.v Hall一案⑨中对“一般管辖权”的判决可以提供启示,即当被告与法庭的联系是连续的、系统的和持续的,法院可以行使一般管辖权[22]。在具体案件中,考虑境外个人信息处理者与我国之间的联系是否具有连续性、系统性和持续性,换言之,同时考虑联系的数量和持续的时间,进而判断是否需要适用行政管理措施类的条款。
总之,应当结合我国《个人信息保护法》的立法体系,借鉴并改进Svantesson教授的“分层理论”,从个人信息处理者的义务出发对涉及的条款类型予以区分,从而为实施个人数据域外管辖权所需要的联系程度提供阈值参考。
数据保护机构之间的监管合作可以有效减轻域外执法的地域性障碍,弥补代表制度的不足,是克服跨境执法问题的解决方案。我国应当依托自身数据大国的身份积极参与建立跨境执法机制,包括多边执法机制和双边执法机制,但二者在国际谈判与合作的方向并不相同。
1.多边执法机制回归国际软法
在构建多边执法机制方面,寻求达成具有法律效力的国际条约或协议并不具有现实性,我国应着重发挥国际软法的作用[23]。首先,个人数据保护法案具有公法属性。以我国《个人信息保护法》为例,第一条“…根据宪法,制定本法”表明了立法以宪法为基础,确立了将个人信息权作为新兴公法权利的思路[24]。不可否认,就数据主体对个人数据所享有的权利而言,其本质具有民事权利的属性,但我国《个人信息保护法》对个人数据的保护是多元化的、立体的。除民事赔偿保护以外,我国《个人信息保护法》第六十六条对违反个人数据保护规定的个人信息处理者处以警告、罚款、没收违法所得等行政处罚措施。正是因为这一公法属性,个人数据权益的背后蕴含着各国的公共政策,导致一国难以允许第三国数据保护机构对本国境内的个人信息处理者实施单边执法。其次,国际社会尚未就数据主权的理念达成一致。2015年我国国务院发布的《促进大数据发展行动纲要》中强调“充分利用我国的数据规模优势……增强网络空间数据主权保护能力”。2020 年欧盟在《欧洲数字主权》(Digital Sovereignty for Europe)中阐释了欧盟“数字主权”的内容,并将数据主权作为数字主权的下位概念。然而,最具有互联网行业竞争优势的美国却刻意模糊数据领域的主权概念,并采取“多利益攸关方模式”的数据治理政策[25]。正因为对国家数据主权这一根本内容尚未达成一致,国际社会在数字贸易壁垒、跨境数据流通等问题上存在严重分歧。再次,在个人数据保护领域,具有强制执行力的国际执法合作条约或协议并不充分,国际社会缺乏相应的实践基础。经济合作与发展组织(Organization for Economic Co-operation and Development)发布的报告显示,个人数据保护的跨境联合执法在充分性和有效性方面依旧存在欠缺[26]。相比具有法律效力的国际条约或协议,国际软法并不由国家保证实施,但其弹性较大,能更好地协调多方利益,因而我国对多边执法机制应回归国际软法的轨道[23]。
目前,全球已然出现了一系列的制度安排和组织,以促进数据保护机构之间的执法合作。《隐私保护和个人数据跨境流动指南》(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)和《APEC 隐私框架》(APEC Privacy Framework)是多边执法机制国际软法的主要组成部分。2012 年亚太经济合作组织(Asia-Pacific Economic Cooperation)构建了“跨境隐私规则”,隐私执法机构、问责代理机构和企业三方参与,对违法企业,问责代理机构与隐私执法机构可以纠正并采取处罚措施[27]。尽管“跨境隐私规则”依旧依赖国内监管机构处罚,但正如学者所言,一国监管机构对企业的包庇会令其丧失信誉,导致其他国家丧失与其合作的信心,从而无法在个人数据市场立足[28]。遗憾的是,我国尚未加入“跨境隐私规则”这一多边执法机制。尽管国内外对数据主体权利的内容和保护程度依旧存在差异,但是保护个人数据已经成为基本目标。由于在个人数据保护的国际合作方面尚处于起步阶段,我国可以考虑指定现有数据保护机构如国家网信部门作为隐私执法机构,积极申请加入“跨境隐私规则”,为我国个人数据域外管辖权的实施提供多边执法机制的依靠[28]。
2.双边执法机制提供合法依据
相比多边执法机制,我国对双边执法机制的构建应着重增强可执行效力,从而补充多边执法机制的不足,为我国个人数据域外执法管辖权的行使提供合法依据。双边执法机制谈判的成本比构建多边执法机制更低,缔约方所面临的利益分歧会更小。首先,我国可以考虑率先与共建“一带一路”的国家达成双边执法合作协议,并依托“一带一路”的影响力,将达成的双边执法合作协议逐步转化为多边合作协议。其次,双边执法机制的构建应当明晰缔约方数据保护机构的执法权限,将提供协助作为法定义务。明确双方联合开展合作的方式,包括但不局限于提供文件或信息、联合调查或执法等。只有被赋予联合执法的权限,我国数据保护机构的域外执法行为方具有正当基础。再次,在构建双边执法机制时,以比例原则界定我国域外执法管辖权行使的边界。其一,应当考虑侵犯个人数据权益行为所造成的损害程度。损害程度越高意味着我国行使域外执法管辖权越具有必要性和正当性。至于侵犯个人数据权益的违法行为是否需要在我国与缔约国之间同时具有违法性,本文倾向于认为,“双重违反原则”可以作为简化联合执法程序的条件,但不适宜作为建立双边执法机制的前提。其二,应当考虑个人信息处理者与我国的联系程度。联系程度可以基于领土、效果、属人等连接点进行判断。与我国实质联系程度越紧密,我国个人数据域外执法管辖权越易于为被请求国所认可。其三,我国个人数据保护域外执法所采取的措施应当具有必要性。将执法措施与个人数据违法处理行为相匹配,不仅有助于平衡公权与私权,更有利于两国数据保护执法机构未来进一步的执法合作。我国数据保护机构应当比较所能采取的行政执法措施,综合事实进行判定。若个人数据违法处理行为涉及侵犯我国国家利益或公共利益,我国自然可以考虑采取更加严厉的执法措施。
综上,我国关于跨境执法机制的构建应当是多维度的。就多边执法机制而言,我国依旧以国际软法为主要谈判方向,考虑加入“跨境隐私规则”执法体系。同时,以具有强制执行力的双边执法机制予以补充,为我国个人数据域外执法管辖权的行使提供合法依据。
与个人数据域外执法不同,司法判决域外承认所面临的困境是难以通过国际谈判解决的。各国个人数据保护标准不同,对公共利益的界定更是千差万别。正因如此,借助国际谈判解决价值冲突的问题,从短期而言不切实际。进一步细化司法判决域外实施的补充措施是当下保障我国域外司法管辖权有效实施的重要举措。依据是否具有强制执行力,本文将补充措施划分为“硬”措施与“软”措施。
1.“硬”措施的有效运用
为保护个人数据,应借助立法完善“市场破坏措施”(market destroying measure),赋予其强制执行的效力,可以有效避免司法判决沦为一纸空文。
Svantesson 教授在前文提到的“市场主权”理论的基础上主张,政府可通过引入“市场破坏措施”来惩罚境外网络运营商,它的内容包括禁止当事人在国家管辖范围内进行贸易或使其在国家管辖范围内享有的债权无法执行[29]。这一措施更多是以自身市场为筹码,借助境外主体对一国市场的依赖从而保障域外管辖权的有效实施。其不仅可以有效执行判决涉及的金钱给付义务,同时也促使境外的个人信息处理者履行特定的行为义务。但需要注意的是,此类措施的采取应当以遵守域外管辖规则为基础,并非依靠市场力量进行不当的域外管辖。毋庸置疑,在个人数据领域,我国广阔的市场为“市场破坏措施”的设定提供了前提。以尊重主权和相互平等的国际法原则为基准,将“市场破坏措施”有条件地引入个人数据域外管辖制度。这意味着违反我国个人数据立法的境外主体若不履行我国裁决,在我国管辖范围内的数据主体将不再向其提供数据或在一定范围内其债权将无法得到强制执行。我国《个人信息保护法》第四十二条的内容可归属于“市场破坏措施”,即对从事个人信息处理活动危害国家安全、公共利益以及个人信息权益的境外主体,国家网信部门将列入清单,限制或者禁止向其提供个人信息。本文更倾向于扩大这一规定的涵盖范围,将对我国监管部门行政处罚或司法机关判决不予执行的境外主体也归属于这一清单。依据个案中境外主体的具体行为,采取不同程度的“市场破坏措施”以达到个人数据域外管辖的目的。是故,面对“市场破坏措施”的外在压力,只有履行判决所涉及的金钱给付义务或特定行为义务的境外个人信息处理者才被中国市场所接受,反之,则拒之门外。
总之,依靠中国个人数据市场的吸引力,市场破坏措施可以有效解决司法判决域外承认的困境,但具体内容需要我国立法进一步细化。
2.“软”措施下的自觉执行
除具有强制执行力的“硬”措施,公众舆论也是我国网信部门和司法机关可以有效运用的工具[15]。对于大型的跨国企业,对其违法行为的行政处罚或判决所引发的宣传效果,可能比处罚或判决本身更具破坏性[30]299。在Yahoo! Inc. v. La Ligue Contre Le Racisme Et L’Antisemitisme 一案中,美国第九巡回上诉法院作出裁决,主张“审查令人反感的言论并不适用于宪法第一修正案,限制一方主体在美国境内言论的外国判决是无法执行的”,从而禁止法国法院的判决在美国执行。然而,雅虎公司为了保护自身在法国的商业形象,考虑到其违法行为已然受到社会公众的关注,为了降低销售纳粹纪念品所带来的声誉损害,阻止商业订单下降的趋势,雅虎公司最终选择自觉执行法国法院的判决[31]。个人数据保护与言论自由的价值冲突是难以通过强制手段化解的。虽然公众舆论并没有法律效力,但是与“硬”措施的相互结合,可以弥补价值冲突的漏洞,从而有助于司法判决的真正实施。
提高行政处罚或司法判决的透明度是充分发挥公众舆论的有效措施。众所周知,我国网民数量众多,针对跨国企业违反数据保护行为的处罚或判决极易引起舆论关注,而透明度的高低会直接关系到舆论宣传的效果。我国网信部门或司法机关可以借助各方媒体平台,及时公布个人信息处理者违法行为的具体表现、危害、裁决依据以及裁决结果。提高透明度可以产生两方面效果:第一,起到威慑作用;第二,进一步损害该个人信息处理者的商业信誉,降低其社会评价,影响其盈利[30]300。利用舆论这一“软”措施已经得到国外数据保护机构的重视,如英国ICO 在其网站上发布执法通知以供记者查找,旨在让媒体对执法活动进行报道[30]300。因而,利用舆论这一“软”措施,强化宣传新型的或严重的个人数据违法处理行为,使位于境外的个人信息处理者不得不面临负面宣传所带来的舆论压力,从而促使其自觉履行法院判决。
综上,即使司法判决在境外无法得到承认与执行,“硬”措施与“软”措施的相互结合,以中国市场为筹码,可以促使境外个人信息处理者自觉履行义务,达到保护个人数据的效果。
个人数据域外管辖权的扩张已经在全球范围内普及,在保护个人数据的同时,已然引发了域外执法管辖与司法管辖的冲突。在互联网、大数据技术飞速发展的背景下,个人数据域外管辖权的单边扩张具有内在动因,国际合作机制的局限意味着这一扩张趋势将长期存在。相比于一味地“防守”,我国更重要的是构建个人数据域外管辖的进取型路径,平衡他国主权利益与我国域外管辖的现实需求。在参与构建跨境个人数据保护执法机制的同时,细化司法判决域外实施的补充措施,促使境外个人信息处理者履行义务。
注释:
①参见Joined cases Peter Pammer v Reederei Karl Schlüter GmbH & Co. KG(C-585/08)and Hotel Alpenhof GesmbH v Oliver Heller(C-144/09)。
②由于各国所颁布的法案名称并不相同,但法案核心均在于保护个人数据,因而本文将此类法案统称为个人数据保护法案。
③《个人信息保护法》第三条第二款:在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一)以向境内自然人提供产品或者服务为目的;(二)分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形。
④《个人信息保护法》并未采取“数据控制者或处理者”的称谓,而是统一称为“个人信息处理者”。
⑤参见Google LLC,successor in law to Google Inc.v Commission nationale de l’informatique et des libertés(CNIL)(C-507/17)。
⑥参见Google LLC v. Equustek Sols. Inc.(N.D. Cal.Nov. 2,2017)。
⑦参见Vidal-Hall & Ors v Google Inc [2014]EWHC 13(QB)。
⑧参见International Shoe Co.v.Washington,326 US 316(1945)。
⑨参见Helicoptoros Nacionales De Columbia,S.A. v Hall,466 U.S.(1984)。