数据出境安全审查管辖权冲突及国际应对

2024-01-22 15:13
关键词:管辖权数据保护出境

孙 丹

(辽宁大学法学院,辽宁 沈阳 110036)

在数字经济迅速发展的背景下,无论是发展中国家还是发达国家,都开始重视数据出境背后的国家安全问题,由此产生了数据出境安全审查制度,数据出境安全审查中管辖权冲突问题日益凸显。主要是出于国家安全考虑,越来越多国家的数据主权意识在觉醒,它们谋求数据主权独立,对数据的跨境流动采取治理和控制措施,设置数据出境安全审查程序。同时,网络技术的发展让各个国家对数据的控制很难实现。以上因素综合在一起,进一步加剧了数据出境安全审查管辖权冲突问题。如何应对数据出境安全审查的管辖权冲突,不仅直接影响各国的国家安全问题,而且已经成为国际社会关注的焦点。

一、数据出境安全审查管辖权冲突的成因

为了争夺更多的数据主权和数据利益,各国通过立法的形式巩固本国的数据权利。在经济基础决定上层建筑的原则背景下,世界上的数据强国不断出台的立法成果逐渐形成对他国数据主权的制约,以此满足本国数据出境流动的需要和数据战略的发展。

(一)美国长臂管辖原则的应用及影响

1.美国《云法案》确立的长臂管辖原则

美国出台的《云法案》其核心内容就是不管数据产生国、数据传输国的法律如何规定,只要数据实际掌握在美国企业或者外国企业在美国的分支机构或者在与美国相关的数据控制者手里,美国政府就有权调取,而数据持有者、数据掌握者必须提供。①David Callaway,Lothar Determann,The New US Cloud Act-History,Rules,and Effects,The computer&internet lawyer,2018(8),pp.1-14.即便美国政府没有直接调取域外数据,按照《云法案》确立的“最低程度联系”原则,它也可以合法地、无障碍地追踪监控其他国家产生的数据或者从美国产生但是进入其他国家的个人数据。

《云法案》的出台影响深远,该法案强调数据自由并通过贸易、协议、合作等多种方式推动数据调取合法化、规范化、程序化。但是,美国在出台《云法案》的同时,几乎同时期出台了《加州消费者隐私法》,来强化本国公民的个人数据保护水平。2022 年美国继续出台《数据隐私和保护法》,从隐私政策的透明度、个人数据所有权和控制权、儿童和未成年人数据保护、数据安全和数据保护多个层面强化国民个人数据保护措施。可见,美国政府对国外公民的个人数据与本国公民的个人数据保护采取了两套标准。正如有学者指出的那样,美国的数据治理模式可以总结为“以自我为中心的非对称跨域管辖”模式,①张晓:《数字化转型与数字治理》,北京:电子工业出版社,2021年,第264-266页。其真正的目的在于利用其优势技术地位构建以美国为中心的全球数据治理体系。

2.美国跨境调取数据的范围及例外

《云法案》关于调取数据范围的规定主要体现在第103 条,在数据权属判定上采取了“数据控制者”标准。与“数据控制者”紧密相关的一个概念是数据服务提供者,也即为数据传输提供技术服务的网络公司。由于美国互联网技术发达,依托先进的技术,美国将数据服务的触角延伸的广阔而深远,像微软、苹果、谷歌、亚马逊等公司,他们的技术服务涵盖IT 基础设施、软件支撑、信息技术服务、全球服务、商用和家用多种场合,在提供服务的过程中,掌控了其他主权国家大量的数据,处于“数据控制者”的地位。相对而言,互联网技术不发达的国家,在国际数据市场上很难处于控制者的地位,更多的是数据产生国、数据存储国,因此为了最大限度地掌控数据,它们更倾向于根据数据来源标准或者数据位置标准来确定数据的权属。“数据控制者”标准之所以被诟病为数据霸权主义,最主要的原因在于它将数据主权的概念从传统的物理上的控制边界延伸至技术上的控制边界,谁的技术强大,谁在数据市场就拥有绝对的主权优势,而相应的其他国家的数据主权就受到压制和限缩,形成数据利用上的不平等和霸凌。《云法案》只强调了数据控制者的权利,没有认真规定数据控制者的义务,是导致这种不平等产生的根本原因。②高楚南:《数据控制者安全保护义务研究》,湘潭大学博士学位论文,2019年。

根据《云法案》的规定,对于美国政府要求调取数据的要求,数据控制者可以就提供数据违反数据产生国、数据存储国数据管理规定事宜提出抗辩,在抗辩成立的情况下,美国政府应中止调取行为,这构成美国向外调取证据的一个例外。但《云法案》规定的抗辩理由成立的条件非常苛刻,它要求抗辩的理由在于提供数据的对象不是美国人,且提供其信息违反用户所属国的法律,且要求用户所属国必须是“适格的外国政府”。据查证,至少截至该方案出台的时候,美国并未认可任何一个国家属于“适格的外国政府”。

3.“适格外国政府”调取美国境内数据困难

根据《云法案》第105条的规定,按照对等原则,美国以外的外国政府或国际组织为了打击恐怖主义犯罪和维护公共安全,也可以要求美国境内的数据服务者提供数据。但并非所有的国家都具备向美国政府提出调取数据要求的资格,如前所述具备提出调取数据资格的政府被称为“适格的外国政府”,按照美国的法律规定,大部分国家是不“适格”的。根据当前法律规定,认定“适格的外国政府”的条件有两个途径:一是通过“适格的外国政府”的资格认定,这主要体现在“适格的外国政府”的法律条件限定上;二是美国政府通过发布命令的办法来认定“适格外国政府”,其前提条件依然是满足“适格的外国政府”的限定条件。

要满足美国法律规定的“适格外国政府”,首先必须承认美国的数据开放思想,但仅有思想上的开放,没有强大的网络技术支撑是难以实现数据权利主张的。司法实践中在认定“适格的外国政府”的时候,判定依据主要来自《美国法典》第18 卷第2523 条,要求满足且必须满足6 个条件。①朱子勤:《国际法专题研究:航空与空间法前沿问题探索》,北京:清华大学出版社,2021年,第402、403页。一是加入《布达佩斯网络犯罪公约》(也即《网络犯罪公约》);二是遵守国际人权公约,在保护隐私、公平审判、游行自由、人道待遇等方面有实质规定;三是就行政协定获取本国数据事项出台法律规定,并对调取程序有清晰规定;四是建立健全数据出境责任追究制度,包括对外国政府调取和收集的本国数据能履行有效监管;五是在数据出境安全审查方面坚持信息自由流动的立场;六是对美国公民的信息获取、储存、处理等事项坚持最小干预原则。这其实是美国政府对本国公民个人数据保护的立场反应。由于《布达佩斯网络犯罪公约》是欧美国家牵头制定的,目前只在欧盟和其他少数国家生效,故无论是通过资格认定还是命令发布,绝大多数国家难以达到“适格的外国政府”条件,相应的科技网络公司也不会为国外政府或者国际组织调取数据。例如根据苹果公司的声明,2013 年至2017 年,中国政府及执法机构共计提出176项调取数据请求,但是最终苹果公司没有向中国政府提供任何一项数据。

(二)欧盟数据出境安全审查权实质扩张

1.对欧盟外的其他主权国家数据治理的管辖权

欧盟的《通用数据保护条例》被称为史上最严格的数据保护方案,②连玉明:《大数据蓝皮书:中国大数据发展报告》,北京:社会科学文献出版社,2020年,第42-47页。该条例出台引发了世界范围内对数据出境安全审查的研究和关注。因为其广泛的影响力和严格的责任体系,导致该条例在影响力和声威方面甚至超过《云法案》的影响力。《通用数据保护条例》采取了极为严格的数据保护标准。推动欧盟出台《通用数据保护条例》的因素是多方面的,一方面欧盟原来的个人数据保护标准就十分严格,另一方面美国出台《云法案》直接影响到欧盟成员国作为数据主体的数据权益,欧盟认为有必要进行反制,甚至通过该条例实现欧盟在数据领域的“布鲁塞尔效应”,③李艳华:《隐私盾案后欧美数据的跨境流动监管及中国对策——软数据本地化机制的走向与标准合同条款路径的革新》,《欧洲研究》2021年第6期。因此,《通用数据保护条例》域外管辖色彩也十分突出。

《通用数据保护条例》适用于位于欧盟之外的数据处理者和数据控制者,只要相应的产品或者服务过程中涉及欧盟境内公民的个人信息,《通用数据保护条例》就对其具有管辖权。尽管有学者认为《通用数据保护条例》对个人数据的追踪保护可以看作是属人主义管辖的体现,④周汉华、周辉:《网络信息法学研究》,北京:中国社会科学出版社,2019年,第182页。但是本文认为事实并非如此。理由在于,传统国际法上的属人管辖,管辖依据来自被管辖主体的国籍归属,但是《通用数据保护条例》中确定管辖依据的并非数据主体的国籍,而是数据主体的个人信息及处理信息的行为。个人信息是数据主体的情况反映并非公民本身,其权利客体具有“物”的属性,而非人的属性。从另一个层面来看,欧盟成员国国民主动登录网络或者各类APP 的,同样导致《通用数据保护条例》适用,这极大拓展了《通用数据保护条例》的适用范围。故《通用数据保护条例》对公民个人信息的延伸保护,其实已经超越了传统的属人管辖范畴,是新的管辖依据的体现。2019年,欧洲数据保护委员会根据需要发布了《通用数据保护条例》域外适用指南。根据该指南的规定,提供技术服务和基础设施的供应商或者互联网公司受到管辖,因为这些数据处理器收集、存储、处理的是欧盟成员国国民的个人信息。与美国类似,欧盟通过高额罚款来提升《通用数据保护条例》的权威。比如爱尔兰已经对谷歌、脸书、苹果和推特等大型科技公司发起调查,调查事项多达20余项,部分调查已经取得明显进展,上述公司面临罚款。根据《通用数据保护条例》的规定,欧盟成员国执法机构还可以行使警告、申诫、责令整改、中止数据传输等措施。

由此可见,欧盟依照其一贯强势的个人数据保护体系,通过对欧盟成员国国民数据的严苛保护,依据《通用数据保护条例》来影响其他数据主权国家,最终目的也是拓展其域外管辖权。

2.欧盟内部无障碍数据传输的立法尝试

《通用数据保护条例》致力于建立“内通外圆”的数据治理体系。事实上,追求连贯一致单一的数据出境治理市场正是其背负的历史使命。①Gil Banyas. A Dawn of a New Day in EU Data Protection,International In-house Counsel Journal Autumn,2016(37),p.6.作为一部法案,它可以直接适用于整个欧盟所有国家的法案,欧盟成员国不需要通过国内法的转化即可直接适用该条例;就欧盟外部而言,该条例做到了真正意义上的区域数据保护标准统一,就欧盟成员国内部而言,它的出台直接解决了成员国国内法在数据保护方面的制度差异问题,试图在欧盟内部实现无障碍数据传输。

为了将《通用数据保护条例》在数据出境流动方面造成的限制影响降到最低,欧盟数据委员会还要求欧盟成员国对《通用数据保护条例》的法条含义解释应当保持一致。在《通用数据保护条例》运行之前,欧盟各个成员国设有各自的数据保护组织,在《通用数据保护条例》之后,各成员国的数据保护机构的管辖权与其他成员国家之间的数据管辖权互相融合,执行同一解释体系下同一数据保护标准。

几乎同时段出台的《电子证据跨境调取的议案》《欧洲企业间数据共享研究报告》《非个人数据在欧盟境内自由流动框架条例》,可以视为《通用数据保护条例》的特别法。根据《电子证据跨境调取的议案》,在欧盟运营的企业可以直接调取其存在欧盟境外的数据,欧盟据此消除欧盟区域内的数字壁垒,支持数据在欧盟内部自由流动。根据《欧洲企业间数据共享研究报告》,欧盟企业间可以共享数据。根据《非个人数据在欧盟境内自由流动框架条例》,非个人数据也可以在欧盟内部自由流动。《通用数据保护条例》第1 条即强调不应出于对个人信息权利的保护而限制个人信息自由流动,但是,很显然,对数据自由流动的保障仅限于欧盟内部。

(三)发展中国家数据出境本地化策略影响消极

1.俄罗斯相关立法中的数据本地化策略

根据2018年欧洲国际政治经济研究中心发布的《数字贸易限制指数》,俄罗斯的各项数据政策在65个国家中排名第一,这说明俄罗斯是严格限制数据出境流动的代表性国家。2015年俄罗斯总统普京签署了《就“进一步明确互联网个人数据处理规范”对俄罗斯联邦系列法律的修正案》,要求公民个人数据需在俄罗斯境内保存且数据库必须位于本国境内,这便是数据本地化存储策略的具体表现。不仅如此,企业还需向政府报告其数据库的地址,以便检查顺利进行。对于违反数据本地化策略的企业,《联邦个人数据法》规定了罚款和责令整改两个处罚措施,但是在执行力度和处罚金额方面较为温和。

但数据在发展中国家的价值还是被充分估计到了,数字经济带来的好处正在从企业、政府向其他普通民众转移。②Heeks Richard,Rakesh Vanya,Sengupta Ritam,Chattapadhyay Sumandro,Foster Christopher:Datafication,Value and Power in Developing Countries: Big Data in Two Indian Public Service Organizations,Development Policy Review,2021(1),pp.1-21.即便是对数据出境流动限制最为严格的俄罗斯,也在立法中规定了数据自由流动的例外情形,但是这需要通过国际合作来实现。首先,俄罗斯是欧盟《个人数据自动化处理中的个人保护公约》的缔约国,对于加入该公约的俄罗斯承诺其数据保护水平达到充分性的认定标准。其次,俄罗斯也建立了数据保护标准认证白名单制度,对于白名单目录中的国家适度放宽对其数据出境流动限制等级。①张丽、孙菲阳:《跨境数据流动:全球治理趋势与我国规制策略》,北京:电子工业出版社,2022 年,第125、126 页。

2.中国相关立法中展现的域外效力

当前中国跨境数据出境安全审查体系可概括为“1+3+N”的格局,其中,“1”是指国家安全法,这是我国跨境数据法律规范体系的基石,凸显了数据出境合规首要目的是保护国家的利益和安全。“3”是指网络安全法、数据安全法和个人信息保护法,这三部法律是我国数据保护三大基本法,多个法律条文规定重要数据出境应当经过安全审查。“N”是指数据出境安全评估办法、关键信息基础设施安全保护条例、网络数据安全管理条例(征求意见稿)、数据安全管理办法(征求意见稿)以及工业和信息化领域数据安全管理办法(试行)(征求意见稿)等规范和一系列相关的国家标准,旨在为数据出境规范提供详细补充。

我国在数据领域的立法重点当然在于规范国内数据市场,但是放在国际数据霸权和数字经济争夺的背景下,对内保护个人数据和限制数据出境的举措,与美国、欧盟出台的数据调取策略难免形成冲突,域内数据立法也便显现出域外效力。例如,我国个人信息保护法第40条、第41条规定的非经批准不得向外国政府提供国民数据;数据安全法第24条规定的数据出境安全审查制度和第31条规定的服务器管辖原则,都要求达到一定规模的企业必须遵守中国数据安全立法的规定。从行业来看,我国相关法律法规也早就对金融业、医疗业、会计业、基因行业、网约车用户信息等领域的信息收集和跨境流动作出特别限定,涉及国家秘密、国家安全、社会公共利益、商业秘密和个人隐私的数据,不得出境流动且须遵守相应的安全保密审查制度。

当然,我国个人信息保护法规定了在数据主体同意下,数据出境流动的传输工具包括安全评估、认证机制和标准合同三种,这可以看作是我国在推动数据出境流动方面所做的努力,通过调整本国数据保护政策向欧盟《通用数据保护条例》靠拢。

二、数据出境安全审查管辖权冲突的表现

网络的虚拟性和无限性冲击了传统的国家管辖权,属地管辖、属人管辖、保护性管辖和普遍性管辖在网络背景下延伸适用并不理想。②杨帆:《网络环境下的国家管辖权冲突与重构》,《理论观察》2015年第3期。特别是当各国对数据出境安全审查时,管辖权冲突问题就成为确保贸易正常进行和保障国家安全的首要问题。

(一)美国数据出境安全审查管辖权冲突的体现

1.单边跨境调取抵消数据存储国的数据出境安全审查管辖权

《云法案》确立的直接向数据控制者调取数据的模式,又被称为单边跨境数据调取模式,③陈东阳:《论单边跨境数据调取中的管辖权冲突》,《南大法学》2023年第2期。其试图绕开数据存储国的管辖权限制,直接无视数据存储国的数据出境安全审查管辖权,导致数据出境安全审查管辖权背后承载的国家安全观念无从落实。事实上,国际法领域,管辖权被制约乃至被架空的情形也是比较常见的,而像这种彻底绕开管辖权的数据出境,应认定为是对管辖权冲击最大的一种情形,而由此引发的数据出境安全审查管辖权冲突十分常见。2000年,美国联邦调查局绕开俄罗斯的数据本地化存储政策,在线直接向数据控制者调取数据的行为,引发了俄罗斯的外交抗议。不仅如此,美国单边跨境调取数据的行为,还引起了中国、德国等国家的外交抗议,中国政府甚至出台专门的国内法来抵制《云法案》域外管辖效力。

2.属人管辖冲击数据存储国数据出境安全审查管辖权

根据《云法案》的安排,美国之所以能确立单边跨境数据调取模式,其理论基础在于,数据控制者属于美国公司或者数据控制者受美国法律管辖。依据属人管辖原则,美国可以直接调取数据存储国所存储的数据。在国家安全审查这个背景下,数据出境安全审查管辖权作为数据管辖权的一部分,自然也在这种属人管辖与数据存储国属地管辖的冲突中被侵犯。事实证明,随着美国的势力范围不断扩展,美国通过对数据控制者的属人管辖就可以不断挑战数据出境安全审查管辖权。反之,当美国作为数据存储国,外国政府试图向其调取数据时,要受到美国的数据出境安全审查管辖权的制约,而美国的数据出境安全审查管辖权不仅体现在数据领域,更多地体现在外商投资领域,且随着国家安全审查制度的发展,还可以扩展到更加广泛的领域。

3.属地管辖冲击数据存储国数据出境安全审查管辖权

如前所述,当数据入境时,美国奉行“最低程度联系”原则。“最低程度联系”原则最初的含义是指在美国内部,一个企业跟一个州有连续的商业活动,就可认定该企业与这个州有联系,从而这个州就获得对该企业的管辖权。它原本是美国的国内法,但是在其建立以后,美国通过一系列的案例,逐渐将其变成了国际法律武器,确立了“长臂管辖”原则。美国将“最低限度联系”原则的情形不断细化分化,导致越来越多的行为被纳入“最低限度联系”的范畴,例如使用美元结算、电子邮件的服务器设在美国,等等。对于不服从美国数据调取令状的当事人,美国有权予以处罚,而不论该当事人遵守美国法律同时违反本国法律可能带来的义务冲突。2010年世界著名奢侈品牌古驰品牌方起诉中国公民造假案具有代表意义。当时古驰公司在美国起诉多名中国人,理由是这些人制造并销售假的古驰品牌产品并将违法所得存入中国银行国内分行账户。因此,古驰品牌方要求法院调取被告在中国境内开设的银行账户信息。2015 年美国纽约州法院法官签发数据调取命令,中国人民银行纽约分行拒绝提供中国境内银行账户信息,纽约州法院因此认为中国人民银行构成藐视法庭罪,并对中国人民银行作出每日5万美元的罚款。

此外,美国国会还出台了《反海外腐败法》《出口管制条例》和《萨班斯法案》,共同构成了“长臂管辖”权的三大基石,让美国的管辖权从国内延伸到国际。当数据出境时,美国奉行“适格的外国政府”原则,大部分国家根本无权提出调取美国数据。这意味着,作为数据调取国,美国希望绕过数据存储国数据出境安全审查管辖权的限制;而作为数据存储国,美国又坚持属地管辖原则,不接受他国单方面调取本国境内数据。

(二)欧盟数据出境安全审查管辖权冲突的体现

1.间接调取数据出境,排斥数据出境国安全审查管辖权

比利时诉雅虎案确立了欧盟间接调取域外数据的权力。在该案中,嫌疑人通过雅虎的邮箱对比利时境内的公民实施了欺诈行为。比利时根据本国的刑事诉讼法向雅虎公司美国办公室发出指令,要求后者披露犯罪嫌疑人邮箱信息。雅虎公司以属人管辖原则推脱执行,要求雅虎公司通过外交途径向美国政府请求协助执行,但比利时并未采纳该建议,而是直接对该公司提起诉讼。最终比利时以雅虎网站上弹出的信息可直接连接比利时境内的用户,判定雅虎公司“事实上位于比利时”,判决其披露信息。①梁坤:《数据主权与安全:跨境电子取证》,北京:清华大学出版社,2023年,第24页。该案虽然表面上看通过“属人原则”确立了比利时对域外的雅虎公司享有管辖权,但是这种间接调取数据的行为,同样侵犯了美国的数据出境安全审查管辖权。

在刑事犯罪领域,欧盟亦主张单边跨境调取数据,这种思想集中体现在由其主导出台的《网络犯罪公约》中。《网络犯罪公约》规定了两种单边跨境调取数据的情形:一是直接调取境外公开的数据;二是经数据权利人同意,可以直接调取境外非公开的数据。①陈东阳:《论单边跨境数据调取中的管辖权冲突》,《南大法学》2023年第2期。调取非公开数据出境无须数据存储国出境安全审查,只要取得数据权利人同意即可,这说明数据出境过程中的国家安全利益并未被考虑到。对于欧盟来说,依据属地管辖原则提出的数据出境安全审查文件,并不具有法律效力,却是数据出境安全审查实际遵循的原则。

2.欧盟成员国之间关于数据出境安全审查冲突

《通用数据保护条例》要求欧盟各成员国在数据出境安全审查中遵循统一的标准、原则、审查办法,但是这并不意味着各个成员国之间就不存在数据出境安全审查管辖权冲突。较之于美国,欧盟的特殊之处在于:首先,欧盟成员国与欧盟都是国际法主体,《通用数据保护条例》说到底是国际法,其与欧盟各个成员国国内法关于数据出境安全审查的规定可能并不一致。对域外执法标准的承认属于间接管辖权部分,2019年海牙《承认与执行外国民商事判决公约》规定了间接管辖权审查依据,确立了间接管辖权原则。②刘阳、欧盟:《“禁止间接管辖权审查”规则的适用》,《大连海事大学学报(社会科学版)》2021年第2期。但是随着网络发展和危害国家安全新问题的出现,欧盟成员国不可避免地要在国内法中对数据出境安全审查问题进行规定,而这种规定即便与《通用数据保护条例》规定的一致,也会引发数据出境安全审查管辖权冲突的问题。更何况,与此同时发展起来的间接管辖权审查及禁止间接管辖权审查规则让承认域外民商事判决效力的问题变得更加复杂。其次,从欧盟层面来说,《通用数据保护条例》与《非个人数据在欧盟境内自由流动跨境条例》对个人数据与非个人数据出境采取了不同程度的限制标准,而准确区分个人数据与非个人数据,有赖于各个国家国内法的规定,这构成了数据出境安全审查管辖权冲突的第二个层面。再次,当欧盟及其成员国处于数据出境国时,其对数据出境安全审查设置了统一的规则,而当欧盟及其成员国处于数据流入国,而数据存储国作为数据出境国时,数据出境国对数据出境安全审查管辖权的规定,与《通用数据保护条例》《非个人数据在欧盟境内自由流动跨境条例》对数据出境安全审查管辖权的规定发生冲突,这构成了数据出境安全审查管辖权冲突的第三个层面。

三、数据出境安全审查管辖权冲突的国际应对

(一)美国从构建双边规则向多边规则的转型

1.欧美之间不断被推翻的跨境数据保护规则

欧盟和美国作为重要的战略合作伙伴,伴随着双方数据保护标准的不断提升,战略合作也在不断升级。其达成的国际协议既要确保双方之间数据自由跨境流动,又要为数据提供较高的保护水平,还要避免因为数据出境安全审查管辖权冲突而阻碍双方之间数据出境交流,因此经历了合作协定不断被推翻又不断被重新构建的过程。从2000年欧盟和美国缔结的《安全港协议》,到2016年欧盟与美国重新达成了《隐私盾协议》,到2020 年欧洲法院再次认定《隐私盾协议》无效,欧盟与美国之间的数据出境流动不断通过制定标准合同条款来实现,2021 年修订通过的数据控制者向数据处理者之间传输数据的标准合同条款文本运用较多。直到2021 年3 月欧盟委员会和美国宣布,已经就跨大西洋数据隐私达成新的原则性协议。

2.逐步扩大的区域合作战略

美国凭借其强大的经济实力,在贸易谈判中将跨境数据自由流动纳入协议条款,以便为其提供更多获取境外数据的机会。与此同时,美国利用其国际影响力积极推动区域多边对话,通过签订合作协议确保其在全球范围内顺利获取数据。2013年6月美国与欧盟签订《跨大西洋贸易与投资伙伴协议》(简称TTIP),有效弥补了双方在数据出境流动监管理念、立场和监管方式等方面存在的分歧。2013年美国还与澳大利亚发起《服务贸易协定》规则谈判,有望重塑国际数据贸易新规则。2018年美国、墨西哥、加拿大三国签署了《美加墨协定》,该协定经审议通过后于2020年7月1日正式生效。《美加墨协定》是《北美自由贸易协定》的升级版本,强调数据出境自由流动,强调保护消费者在数字贸易中的隐私权,但更多的目的在于保护这些国家已经取得的数字经济利益,限制政府要求披露源代码和算法的权限。《美加墨协定》是特朗普上任后达成的首个多边贸易协定,被认为是“美国利益优先”的新经贸规则的代表。2019年美国还与欧盟、日本、新加坡、澳大利亚、中国、巴西、俄罗斯等共计76个国家签订了《关于电子商务的联合声明》,该声明再次重申禁止数据本地化存储的立场,要求各国对电子数据出境传输免征关税,试图在更大范围内获取数据利益。2022年美国、欧盟、英国、澳大利亚、日本等60多个国家和组织推出《互联网未来宣言》,提出全面开展网络安全风险评估,促使技术问题非政治化,以打造开放、自由、安全、可靠的数据交易体系。此外,美国还利用G20峰会、亚太经合组织会议等契机,推动开辟双边多边数据出境流动规则体系建设,加大与其他数据实体开展跨境数据流动合作。

3.“全球跨境隐私规则”形成的开放体系

2022年4月,美国发布《全球跨境隐私规则宣言》,宣布建立全球跨境隐私规则体系(简称CBPR)。“全球跨境隐私规则”体系达成途径有两条:一是建立全球跨境隐私规则论坛,促成信息交流与合作;二是建立跨境隐私规则和隐私认可制度国际认证体系,来推广全球跨境隐私规则和处理者隐私认可机制。其最终目标是通过认证全球隐私保护规则和数据交易,支持数据自由流动,促进数据保护和数据出境流动,提升跨境隐私执法协作效率。目前加入“全球跨境隐私规则”体系的国家有加拿大、日本、韩国、菲律宾、新加坡、美国。虽然“全球跨境隐私规则”体系是非强制性的多边性规则体系,但是由于美国的积极推广和日本、韩国等东亚发达国家的加入,让该规则体系的影响力与日俱增。当前印度正在积极推动本国法律修订,试图加入这一组织,可见其积极影响力。

美国试图通过这个体系将亚太经合组织框架下的数据出境传输机制拓展到全球范围内,除了重点关注与欧盟之间数据出境传输规则之外,将更多的重心放在构建全球数据出境规则构建上。即便是不能达成以美国为中心的数据出境传输治理格局,美国也试图借助“全球跨境隐私规则”体系宣传其数据治理主张,借机打压限制中国、俄罗斯在数据治理中发挥作用,以构建以美国为中心的全球数据治理格局。

(二)欧盟推动数据出境安全审查的国际模式

1.数据保护白名单制度

虽然《通用数据保护条例》规定了历史上最为严格的个人数据隐私保护标准,但是欧盟也清楚地认识到,禁止向达到“充分性保护”水平的国家跨境传输数据是不现实的,故《通用数据保护条例》吸收和发展的数据出境传输白名单制度为数据出境安全审查提供了另一条路径,为全球数据保护多样化提供了欧洲方案。目前,已经有12个国家被欧盟委员会纳入数据出境流动“白名单”目录,日本、印度正在积极争取通过认证。一旦得到通过,白名单国家阵营将进一步扩大。为了确保数据保护水平被欧盟委员会认可,通过或者正在试图加入数据保护白名单的国家无一例外采取了向《通用数据保护条例》靠拢的立场和观点。这直接推动了以欧盟为中心的数据出境流动治理格局的形成。

《通用数据保护条例》通过设立白名单制度,间接地将本国数据出境标准施加于其他国家,促使其他国家接受欧盟制定的数据出境标准,有利于维护欧盟数据保护基本价值观念,强化了欧盟委员会和欧盟成员国在数据出境治理领域的话语权。同时,欧盟委员会还可以通过执行更加严格的标准来进一步操纵和影响其他主权国家的数据立法,推动整个数据出境流动市场越来越“欧盟化”,让部分国家始终处于白名单制度之外,以此来影响国际贸易和数字经济的发展趋势。

2.替代性审查规则的建立

标准合同条款为欧盟数据出境传输和保护提供了替代性方案,是与充分性保护认定和有约束性企业规则一样重要的数据出境传输规则。某种程度上,标准合同条款发挥的作用甚至更为重要。在《隐私盾协议》被判决失效后,欧盟和美国主要依靠标准合同条款来实现数据出境传输,标准合同条款的出现弥补了国际数据出境传输方面出现的空白,确保了数据出境传输的正常进行。截至目前,欧盟通过了3个版本的数据出境传输合同,进一步优化了数据出境传输规则,增强了《通用数据保护一般条例》的操作性,提高了欧盟数据保护水平,满足了欧盟企业商业模式日益复杂化的数据传输诉求。在《通用数据保护条例》确立的标准合同条款的基础上,也同样倒逼着欧盟成员国之外的其他国家完善数据出境流动立法规范,在这方面,中国、日本、东盟等国家或国际组织在数据出境传输的框架搭建上不同程度地借鉴了欧盟的标准合同条款智慧。前文提到欧盟正在着手制定从数据控制者到数据处理者的数据出境传输标准合同,新的标准合同条款的制定不仅可以弥补法律固定性的缺陷,对之前已经制定的标准合同条款不足之处进行修正,而且可以根据实践需要补充新的合同条款以适应现实需要,更可以避免《通用数据保护条例》严格适用带来的管辖权冲突问题。标准合同条款可以达成更为自由的数据传输目的,而标准合同条款的适用让最终形成的数据出境安全审查系统带有欧盟单一数字市场的色彩。①李仁真、罗琳娜:《欧盟数据跨境传输标准合同条款新发展及启示》,《情报杂志》2022年第5期。

3.“适当保护措施”在欧盟内外的区别保护

与数据保护充分性水平认证和标准合同条款、具有约束力的企业规则指向数据流入国的数据保护水平不同,“适当保护措施”更关注数据存储、利用和跨境传输过程中的安全性。《通用数据保护条例》要求数据处理应当以确保个人信息的适当安全性为前提,为了达到这种适当安全性的目的,需要在数据处理过程中采取技术性的或者组织性的措施来保护数据免遭泄漏或者未经授权跨境传输或者意外丢失、销毁、被破坏,又或者在发生了数据侵权事件时,及时阻断数据流动链,启动数据侵权维权应对措施。为了确保数据保护措施得到严格的执行,《通用数据保护条例》设立了“数据保护官”制度。《通用数据保护条例》第38条第1款规定,数据控制者和数据处理者应当确保数据保护官能够及时、适当地参与到任何与个人数据保护有关的事务中,第2 款要求数据控制者和数据处理者应当为数据保护官履行职责提供必要的协助。第3款规定数据保护官直接对数据控制者和数据处理者最高管理层负责,不因其正当履职而被解雇。第39 条详细规定了数据保护官在数据保护过程中具体的职责,包括通知数据控制者和数据处理者履行法定义务,监督数据控制者和数据处理者遵守数据保护的相关法律法规,对数据保护工作提供建议,监督数据保护措施的执行,接收数据主体的投诉、咨询、沟通、交流,配合数据出境安全审查机构执法,等等,数据保护官进行的活动大多属于适当保护措施的范畴。具体而言,“适当保护措施”要求数据输入方和数据输出方对用户个人信息采取的保护措施更加细化,对数据保护进行协议约定,且协议内容要更加细致,并且在平时的工作中要适时公布公民个人信息保护实践中存在的问题。“适当保护措施”的法源依据在于数据主体的信息权利,这些权利包括信息收集知情权、信息处理同意权、个人信息访问权、拒绝提供个人信息权、个人信息的可携带权、要求删除个人信息权、个人信息更正权、个人信息持续控制权等。针对数据主体的各项数据权利,数据处理者在处理数据过程中需要采取的必要保护措施有:对数据进行适当的脱敏处理,使其不可追溯;信息控制者在信息系统中应设置隐私保护条款,使得数据不能被公开获取;发生信息泄露事件以后,企业必须及时报告,监管机构应当跟进处罚;等等。

一般来说,数据治理水平较高的国家,其数据出境传输过程中的数据保密技术也较高。通过对适当保护措施的评估和认证,从另一个层面反向推动数据出境传输双方统一数据出境保护措施水平,也为欧盟将其数据保护技术推向全球提供了契机。在《隐私盾协议》中,欧洲法院最终就认定美国对数据保护没有提供适当的保护措施。

(三)印度和俄罗斯应对管辖权冲突的实践

1.印度向美国建立的数据出境安全审查体系融入

网络技术发展带来的全球网络空间不对称问题,早已是数据治理领域乃至大国交往过程中不公开的秘密。比起发达国家因为技术爆炸带来的跨越式发展,发展中国家反倒面临着被数据技术边缘化的危险,二者之间的差距越来越明显。而对于印度等发展中国家而言,这种不对称就更加明显。为了对抗这种不对称性,印度采取了更为激进的数据出境安全审查政策,虽然《信息技术法案》规定在“必要的”情况下,“敏感的个人数据或信息可以出境”,但是到底何为“必要的”情形,法律没有做出明确规定。不过,印度法律规定,法人团体或者其委托人、代表人可以将敏感的个人数据或信息传输给该团体位于印度以外任何地方和国家,其目的自然是为了保障跨国公司的利益。但是在实际操作中,由于个人信息出境采取了知情同意的原则,印度的个人数据出境传输要求以书面形式取得数据主体的同意,而且数据主体有权利取消“我同意”的网页设置,这就导致其实际的传输标准比欧盟的传输标准还要严格,①Rahul Matthan,Recent Developments under Indias Data Privacy Rules,Journal of Internet Law,2012(1),pp.3-7.大量数据实际无法传输。2014年,印度更是提出了数据本地化策略,要求在印度产生的数据必须存储在印度境内的服务器上;印度国家安全委员会甚至呼吁电信部对所有通过印度互联网交换产生的数据都留在印度境内。综上,印度在数据出境安全审查方面,虽然试图采取和美国一样的监管策略,但是在后期的发展中,随着数据泄露事件的发生和对数据大国抗衡的目标要求,也逐渐根据本国国情转而采用了限制个人数据出境的基本策略。

2.俄罗斯确立了内外同严数据出境安全审查宗旨

对数据出境安全审查带来的数据出境管辖权冲突问题,发展中国家不约而同地采取了统一的抵制态度,这一点在俄罗斯体现得更为明显。2013 年的数据泄露事件对俄罗斯数据出境安全审查政策的影响十分深远,自此之后,俄罗斯出台法律要求数据本地化存储;但是为了打击恐怖主义等目的,可以不受该条件制约。②Hernandez Simon,Raina Akhil,Legal Problems with Data Localization Requirements:The Case of the Russian Federation,Global trade and customs journal,2020(9),pp.445-459.大部分发展中国家虽然强调数据出境本地化要求,但是在外界的干扰和促进下,同时也在发展数据出境保障措施,而俄罗斯却一直沿着数据本地化存储的策略越走越远。2023年3月1日起开始生效的《关于批准在违反联邦法律〈个人数据法〉的情况下可能对个人数据主体造成损害的评估要求》要求,所有在俄罗斯处理个人信息系统的运输商及所有权人都必须遵守该规则。

也正是俄罗斯这种“内外双严”的数据出境安全审查策略,导致当发生数据出境安全审查管辖权冲突的时候,俄罗斯自然要求无条件适用本国法律,但是对于造成的冲突应该如何弥合,俄罗斯立法并未作出明确具体的规定。

四、结论

通过本文的分析,可以看出数据出境安全审查管辖权冲突的实质,主要是数据出境安全审查立法管辖权冲突。原因主要是各个主权国家对“数据出境”的含义和范围的界定不同。③吴琦:《网络空间中的司法管辖权冲突与解决方案》,《西南政法大学学报》2021年第1期。例如,就数据出境而言,很可能在中国不属于准许数据出境的情形,在美国却无限制。由于数据的特殊性,依据属人原则或者属地原则,或者基于公平保护原则,主权国家可以将数据出境安全审查的职责扩展到本国领土之外,也就是通过国内立法达到域外立法权限。

因此,应对数据出境安全审查出现的管辖权冲突问题,国际社会应该通过加入或者签订国际协作,就数据出境安全审查在一定区域内达成统一规则。从某种程度上来看,数据是否可以出境,更多受制于数据出境企业,而不是数据存储国政府,因为数据所属企业可以不让出境数据进入数据存储国数据出境安全审查程序。即便国际法上不承认直接侵入数据存储国调取数据的行为的合法性,也无法避免发生这种情况的可能性。而对于数据出境安全审查管辖权冲突导致的纠纷,需要通过数据出境安全审查司法活动来化解。在这方面,目前适用较为广泛的制度有两种:一是国际礼让原则,二是国际协作。实际上,大部分数据出境安全审查的管辖冲突是通过国际协作来实现的。在网络发展与数据安全交织的背景下,管辖权冲突不仅是双边的,更是多边的,最终需要国际条约或者国际组织规范进行有效的多边协调。①闫飞:《网络安全法律涉外管辖权问题研究》,《网络空间安全》2019年第3期。在这方面,无论是美国、欧盟,还是印度、俄罗斯、中国,都做出了积极的努力。

猜你喜欢
管辖权数据保护出境
论刑事管辖权国际冲突
中华人民共和国出境入境管理法
中华人民共和国出境入境管理法
中华人民共和国出境入境管理法
论国际民事诉讼中的过度管辖权
TPP生物药品数据保护条款研究
В первом квартале 2016 года через КПП Маньчжоули прошли 220 международных грузовых железнодорожных составов
欧盟数据保护立法改革之发展趋势分析
欧盟《一般数据保护条例》新规则评析
论对自裁管辖权司法审查最新发展