内容摘要:具有域外效力的内國法律已經從刑事立法延伸至涉外經濟相關立法,并有進一步擴張趨勢。從立法層面看,國内法的域外适用規定與國際法中的管轄規則近乎一緻。在數據治理規則中,由于數據大多以電子的形式、依托網絡而存在,網絡空間的無國界性對傳統的國際管轄規則造成巨大挑戰。實踐中,歐盟、美國、亞太各國均擴大其數據治理規則的域外效力,以尋求各自數據規則的域外适用以及國際法層面的數據規制話語權。這一擴張這不可避免地導緻了數據治理規則的域外适用的無序與沖突。因此,應當根據國際法規定,在數據立法中兼顧域外适用的謙抑;并在國際法層面進行合作,探索各國數據規則的兼容機制。
一、引言
2019年10月,黨的十九屆四中全會通過的決定指出,要“加強重要領域立法,加快我國法域外适用的法律體系建設,以良法保障善治”。2021年《“十四五”規劃綱要》要求構建“放管并重”的國内數字規則。可見,數據治理規則的域外适用值得重視。相較于國内私法的域外适用問題,數據治理涉及公法和私法兩個法律部門,具有領域法的性質。因此,數據規則的域外适用問題更加複雜。首先,公法涉及國家機關對國内事務的管轄權,是規定國家機關權利義務的法律。将國内公法的效力擴張到一國領域之外,可能侵犯其他國家的主權。其次,公法通常不會被外國法院适用。一國司法或執法機構根據國内公法所作的判決或決定,通常也難以在該國域外執行。再者,公法的域外适用問題與國家管轄權問題難以區分。Christopher教授指出,在數據保護法的語境下,沖突法規則和管轄權規則都服務于同樣的目的,其界限非常相近。實踐中,國内數據保護機構通常會将“法律适用”等同于“管轄”,例如2009年西班牙數據保護機構對其數據法下的法律适用和管轄适用同一規定。基于此,判斷國内公法域外适用是否合法,關鍵在于:1)是否具有國際法上的管轄權基礎;2)該國是否對某一行為具有不可替代或重要的管轄利益。
然而,考慮到數據信息主要依托信息技術而存在,而信息技術對傳統法律體系中時間和領土空間的突破,使得傳統國際法管轄規則難以直接适用于網絡空間的數據處理行為,對于判斷國内數據治理規則的域外适用的合法性問題造成阻礙。例如,我國絕大多數法律将适用範圍規定為“适用于中華人民共和國境内”,即使是個人信息保護法和數據安全法亦區分了“境内”和“境外”的數據或信息處理行為。那麼,網絡空間中如何定義“境内”?對于這個問題的解釋要考慮兩個層面:第一,如何區分數據處理行為是否存在于境内;第二,如何判斷數據是否位于境内。對此,各國法律規定不同,學者亦衆說紛纭。
實踐中,歐盟與美國在2018年分别生效的GDPR、CLOUD法案均将其司法或執法的“觸角”伸向别國,意圖擴大本國數據治理規則的域外效力,積極參與并強占國際規則制定的話語權,構造統一保護水平的國際數據保護規則。除此之外,日本、澳大利亞、新加坡等國家亦有通過設置專門的連接點,擴大數據治理規則的域外适用的現象。上述現象造成了不同國家之間法律适用重疊或沖突,亦存在違反國際禮讓原則、侵犯他國數據主權之嫌。1980年經濟合作與發展組織在《隐私保護和個人數據跨界流動指南》在宏觀上規定了個人數據保護的基本原則,但是沒有回答各國數據規則的适用沖突問題血。亞太經濟合作組織在2016年《APEC隐私框架》中僅強調合作,而沒有提出更有建設性的解決方案。此外,國際法上也沒有條約或習慣國際法規則對各國的數據治理規則進行統一協調,僅在各種貿易協定的電子商務部分淺嘗辄止。因此,各國國内數據治理規制的沖突問題以及我國現有數據治理規則的域外效力條款不清晰、對域外适用的謙抑性關注不夠的問題,尚待解決。
二、相關概念界定
(一)數據治理規則的性質
根據2021年《“十四五”規劃綱要》,數據治理規則包括數據保護規則和鼓勵數字經濟發展相關規則,一體兩面。兩項主要規則中即體現了對公權力機關對數據主體的個人信息權的保護、對數據處理者行為的規範等公法義務,也體現了私人主體間侵犯個人信息權的損害賠償等私法責任。因此,數據治理規則整體屬于領域法。又因為,私法的域外适用可以通過準據法确定規則解決,文本不對其進行讨論。因此,本文僅将數據治理規則視為國際公法,對其域外适用問題進行讨論。
(二)域外适用相關概念辨析
對于國内法域外适用的概念,筆者認為,國内法域外适用是指“一國權力機構對在本國域外發生的行為、不具有本國國籍的主體或位于本國域外的客體适用本國法律進行規制”。這一概念中有以下兩點需要關注:首先,“域外”一般指一國領土範圍之外,但是一國對其所管轄的毗連區、專屬經濟區也享有有限的國家主權或管轄權。其次,“域外适用”與“域外效力”和“域外管轄”的區别。
1.域外效力
法的效力是指法律所固有的對其規制對象的約束力;法的适用是指将法律規範适用于具體案件以獲得判決的全過程,包括探尋可以适用的法律、确定法律規範的構成要件和法律效果、将案件事實置于構成要件之下以獲得特定結論的邏輯思維過程。孫南翔指出,法的域外效力是其域外适用的前提商。此外,國内法的域外效力一般體現在具體規則中,例如個人信息保護法第3條關于适用範圍的規定、網絡安全法第75條關于域外違法行為的法律責任的規定等。而國内法的域外适用則體現在國内法院适用本國法律對域外人、物、行為進行判決,或本國執法機構适用本國法律對域外違法行為進行裁決或在域外執行本國法院判決的具體行為。
2.域外管轄
國際法上的“管轄權”涉及一國對人、财産和行為進行規範或施加影響的權力,反映了國家主權原則、國家平等原則和不幹涉内政原則。域外管轄既包括一國制訂法律規制域外發生的行為的權力,又包括一國法院和執法機構對域外行為适用國内法的權力。因此,根據管轄權行使的方式,可以将其分為立法管轄權、司法管轄權和執法管轄權。立法管轄權,又稱規範管轄權或立法能力,是指憲法承認的國家機關在其領域内制定具有約束力的法律的至高無上的權力。司法管轄權是指一國法院審理案件、處理争議的權力。執法管轄是指國家機關通過行政或管理行為(如執法措施)以适用和執行法律法規的權力這三種管轄權均涉及國内法的域外适用問題,或者說,法律的域外适用就是國内機關通過立法、司法、執法手段行使域外管轄權的過程。
盡管立法、行政、司法機關對相關權利的行使是一項各國國内法律和政治體系的問題,管轄權的域外适用還是會依賴于國際法規則。傳統的國際法管轄規則(或稱“管轄依據”)包括屬人管轄原則、屬地管轄原則、保護原則和普遍管轄原則。屬地管轄原則又延申至“效果學說”,即一國可以對發生在境外但對境内造成影響的行為主張管轄。
三、中國數據治理規則之域外适用的立法現狀
由于國内數據安全法和個人信息保護法分别于2021年9月和11月生效,數據立法較為年輕,因而缺乏其域外适用的實踐案例,以下僅對國内數據治理相關立法進行列舉分析。數據規則的域外适用立法包括法律适用條款和對域外行為或主體進行規制的法律責任條款。以管轄依據進行劃分,可以分為以下三類規定。
(一)基于屬地原則的域外效力條款
數據安全法第2條和個人信息保護法第3條分别将在我國境内進行的數據、自然人個人信息的處理活動納入适用範圍;網絡安全法第2條規定的适用範圍包括在我國境内建設、運營、維護和使用網絡,以及網絡安全的監督管理活動;電子商務法第2條第1款規定了我國境内的電子商務活動适用該法規定。信息技術使得數據處理者可以遠程操控計算機設備,在我國境内進行數據處理活動。因此,通過屬地原則的确立,使得我國數據治理規則能夠适用于境外數據處理者在境内進行的數據處理活動。問題在于,如何在數據處理常用的網絡空間中确定某一具體的數據處理行為位于境内還是境外?
(二)基于效果原則的域外效力條款
我國個人信息保護法第3條第規定了在我國境外進行的個人信息處理活動時,适用我國個人信息保護法的條件:第一,以向境内自然人提供産品或者服務為目的,處理境内自然人的個人信息;第二,通過處理境内自然人的個人信息,分析、評估境内自然人的行為;第三,法律、行政法規規定的其他處理境内自然人個人信息的行為。相比于歐盟GDPR第3條的規定,我國個人信息保護法的這一條規定顯然擴張了其适用範圍。目前尚未出台司法解釋對“境内自然人”的概念和“其他情形”的條件進行解釋“境内自然人”是否包含偶然出現在我國境内的自然人,難以确定;“其他情形”應當符合哪些具體條件也難以确定。可見,我國個人信息保護法給予了法院和執法機關極大的自由裁量權。但針對境内自然人的數據處理行為必然會對我國境内産生一定影響,因此,筆者将其歸納為基于效果原則的域外效力條款。
(三)基于保護原則的域外效力條款
數據安全法第2條在個人信息保護法第42條和網絡安全法第75條的基礎上進一步擴大了我國數據治理規則的域外适用範圍——不僅對于危害關鍵設施并造成嚴重後果或危害個人信息權益(屬于基本權益)的行為适用中國法,隻要對公民、組織的合法權益造成損害,就适用我國數據安全法。可見,數據安全法給予了立法者極大的立法空間,以立法行為豐富“合法權益”的範疇,從而具有不斷擴大其域外适用範圍的可能。
然而,隻要損害了我國公民、組織合法權益的境外數據處理活動即适用我國法律進行追責,這并不符合保護原則之對“國家主權或其他核心利益”的損害要求,而是對保護原則的擴大。那麼,這一規定是否過度擴張了數據安全法的域外适用範圍,而忽視了相關數據處理活動與我國之間的聯系的真實性、忽略了其他國家對于該活動的管轄利益,亦是值得思考的問題。
四、他國數據治理規則域外适用現象
本文從比較法的角度出發,重點分析歐盟與美國的數據立法,同時對亞洲國家的數據規則進行概括分析,意圖探索各國數據治理規則域外适用的影響。
(一)歐美數據規則域外适用現象
1.歐盟數據規則域外适用現象
歐盟對數據的保護是基于對隐私權的高度重視,歐盟法中的個人數據權利隸屬于個人隐私權。因此,歐盟的數據保護規則起源于1953年歐洲人權公約。1981年個人數據自動處理相關私人保護公約(簡稱“Convention 108”)是第一個對歐盟境外的第三國有約束力的已生效國際法律文件。1995年的數據保護指令第4條規定了域外效力。2018年GDPR進一步擴大了其域外适用範圍,并在對各成員國監管機構的協調方面建立了“合作和一緻性”機制。
GDPR第3條規定:“本條例适用于數據控制者或數據處理者設立在歐盟境内的機構進行的個人數據處理行為,不論該處理行為是否發生在歐盟境内”。根據《GDPR第3條域外效力指南》(簡稱“《效力指南》”),即使歐盟境内的機構沒有參與某一數據處理行為,但是對個案的事實分析表明非歐盟數據機構的數據處理行為與其在歐盟境内設立的機構之間存在“密不可分的聯系”,則歐盟法對該非歐盟機構産生約束力。在S.R.O.案中,法院認為“機構”是指某一組織通過制定穩定的安排,開展真正有效的活動的地方。那麼,一家外國數據處理公司可以在多個成員國境内設立機構,那麼如何協調各成員國内監管機構對GDPR的實施?GDPR創造性地提出了“合作和一緻性”機制,即外國公司在歐盟境内的主要跨境數據處理機構所在國的監管機構作為牽頭監管機構,對于該機構違反GDPR進行跨境數據處理的行為享有采取禁止措施、提起國内法院訴訟的權力;其他有關監管部門對跨境數據處理的監管權限通常是基于LSA的授權,而這一授權被視為“例外情形”。這種“合作和一緻性”機制不僅協調了成員國内監管機構的監管沖突,也提高了GDPR為國際社會接受的可能,從側面提高了GDPR作為事實上的國際數據保護規則的可能性。
GDPR第3條規定了“靶向标準”的構成要件包括:1)針對的是位于歐盟境内的數據主體,不受數據主體的國籍、居住地和其他法律地位的限制;2)具有針對歐盟進内數據主體的意圖,排除了無意和偶然性的對臨時出現在歐盟境内的數據主體的監控或數據處理行為;3)控制者的處理目的和方式是否表明其向歐盟的數據主體提供産品或服務的意圖,例如使用歐盟成員國的語言和貨币;或者4)監控數據主體的行為,例如通過可穿戴設備在互聯網上對自然人進行追蹤,以及之後的數據處理行為,包括對自然人偏好的分析和預測。該條款與我國個人信息保護法第3款的區别在于沒有規定兜底條款。正如《效力指南》所規定,并非所有的針對歐盟境内數據主體的數據處理行為都适用GDPR。因此,雖然GDPR第3條的規定符合效果原則,但是其域外效力範圍小于我國個人信息保護法。但需要承認的是,《效力指南》對GDPR第3條的解釋明确了其域外适用的邊界,便利了企業和監管機構的實際操作,是走在我國個人信息保護法之先的。
GDPR第3條延續了《指令》的規定,即在成員國根據國際公法得以将其國内法适用于非設立在歐盟境内的數據控制者或處理者時,GDPR也适用。
2.美國數據規則域外适用現象
美國沒有頒布綜合性的數據治理法律文件,而是采取一系列政策與分散的立法形式,逐步探索完善數據保護體系。後來,美國數據安全立法重點放在對全球信息流動的監控上。此時,美國當局已經開始試圖通過本國互聯網企業獲取存儲于境外的數據,例如SWIFT案成。微軟案的初審法院也認為即使數據内容存儲在美國境外,但是微軟作為在美國設立的數據控制者具有調取數據的權力,因此應當适用1986年存儲通信法(簡稱“SCA法案”)披露相關數據。這一結論在之後被第二巡回法庭駁回,第二巡回法庭認為:首先,執行令的實施地點是決定SCA法案是否具有域外執法權的重要因素,微軟公司在美國境内的情況不足以替代對數據位置的關注;其次,在缺乏國會明确意願的情況下,聯邦法律僅能夠在國内适用,顯然國會并不打算将SCA法案的執行令進行域外适用,因此,SCA法案主要關注的是發生在美國的行為。因此,第二巡回法庭認為“由于執行令的主要内容是獲取存儲于都柏林數據處理中心的記錄,而SCA法案主要關注的行為是發生在美國境内的,該執行令的執行将具有域外效力”由于沒有經過愛爾蘭政府的同意,因此無法實施該執行令。盡管如此,仍有地方法院同意初審法院的做法,認為政府對國内互聯網企業發布調取信息的執行令屬于域内執法行為,無需經數據存儲地國家有關當局的同意即可執行。
可見,判斷美國國内法是否可以域外适用,首先要确定某一法律具有域外效力,此時美國法院會判斷國會是否具有使之域外适用的意圖以及該法律的關注要點是否限于美國境内;其次,判斷該行為與美國的聯系因素是否“實質”或“重要”以至足以強有力地推翻“反域外性推定”;再者,判斷美國法院在某一具體案件事實中的域外适用是否會觸發某些限制,例如合理性原則、正當程序原則、對他國管轄利益的考慮等。
此外,2018年澄清境外數據合法使用法案(簡稱“CLOUD法案”),将“數據控制者标準”正式納入美國聯邦法律體系。CLOUD法案是對SCA法案的修正,第2713條規定“無論通信、記錄或其他信息是否存儲在美國境内,服務提供者均應當按照本章所規定的義務要求保存、備份、披露通信内容、記錄或其他信息,隻要上述通信内容、記錄或其他信息為該服務提供者所擁有、監管或控制方。”為了緩解沖突,CLOUD法案規定了企業申請豁免該法案義務的條件:“(1)披露義務會導緻服務提供者對适格外國政府相關法律的破壞;(2)基于個案的整體情況、公平正義,該法律程序應當被修正或停止;(3)服務用戶(訂閱者)不是美國居民,并且居住地不在美國;”同時,該法案規定了法院在對國際禮讓要求的分析中應當考慮的七大要件:第一,美國利益,包括政府尋求披露外國數據方面的調查利益;第二,适格外國政府的禁止披露保密數據的利益;第三,不遵守法律義務的服務提供者或其員工的可能受到的處罰、範圍和性質;第四,被調查對象的位置、國籍以及與美國的聯系,或者當該法律程序是代表外國權力機關進行的,被調查對象與該外國的聯系;第五,服務提供者與美國的關聯性;第六,所要求披露的信息對于調查的重要性;第七,及時有效地獲取相關信息的方式造成消極後果的可能性。對于這七個因素,首先,美國利益永遠是美國當局所要考慮的第一大因素;其次,隻有“适格外國政府”的利益才會被納入美國法院的禮讓考慮範圍。同時,CLOUD法案僅允許“符合資格的外國政府”在與美國政府簽訂行政協定後,向美國境内的組織直接發出調取數據的命令。對于何為“适格外國政府”,CLOUD法案規定了一系列嚴格要求,以判斷該外國政府是否提供了對隐私和公民權利足夠的實質和程序上的保護。同時,對于外國政府向美國發布調取數據命令的條件亦十分嚴苛,例如“不得有意地針對“美國人”或位于美國境内的個人,且必須采取滿足該要求的目标鎖定程序”“不得用于限制言論自由”“外國政府應提供數據訪問的相互權利”“外國政府應同意美國政府定期開展的審核”“美國政府保留停止外國政府的某項執行令的權利”等。
CLOUD法案與美國互聯網産業在全球的壟斷地位相輔相成。根據該法案,美國政府有權調取位于世界各地的在美國互聯網企業控制下的數據信息。這在事實上擴大了美國的“網絡數據主權邊界”。而外國政府想要獲取美國境内數據,則需要通過“适格外國政府”等層層限制,并且還需授權美國政府同等的國内數據訪問權,以及受美國政府的定期審核與“随時開除”的監管壓力。因此,CLOUD法案是美國政府進一步鞏固其在信息網絡領域的域外執行管轄權,也是美國利益第一的體現。
3.亞太國家數據規則域外适用現象
澳大利亞将數據保護納入隐私保護規則,包括1988隐私法、2009年國家消費者信用保護法大綱中的隐私保護原則等,隐私法第5B條規定:“本法适用于機構或小型商業運營者在澳大利亞和其外部領土以外所做的與澳大利亞有聯系的行為或從事的實踐,但該實踐是為外國法律所要求的除外……”,采取了屬地兼屬人原則作為域外适用的基礎。在屬人原則方面,其範圍從澳大利亞公民或“機構設立地标準”擴大到“不受法定時間限制持續留在澳大利亞的人”。此處的法定時間一般于稅法項下的“183天”規則一緻。在屬地原則方面,規定境外機構在澳大利亞境内從事商業活動,并且收集或控制個人信息也适用隐私法。此外,APP第8條規定向第三國傳輸或披露來自澳大利亞的個人數據隻有在披露機構已經采取合理步驟證明接收方将不會違背隐私保護原則時才被允許;澳大利亞亦接受了對于個人健康信息的數據本地化要求。
日本新修訂的個人信息保護法第75條規定了:“…适用于通過向日本人提供商品或服務而獲取日本人的個人信息的個人信息處理業務經營者在外國處理、使用該等個人信息以做成匿名化信息的場合”。此外,在跨境數據傳輸方面,數據進口國政府應當提供與日本相同水平的保護,以确保該外國能夠采取措施對經營者提供個人數據給予充分的保護。
2017年,新加坡濫用電腦和網絡安全法案(簡稱“CMCA”),采取了效果原則進行域外效力擴張,可以适用于對新加坡造成“嚴重損害”的情形。“嚴重損害”可以包括引起個人的疾病、損傷或死亡,抑或是破壞新加坡境内的基本服務設施,即對新加坡國家安全、政府和機構造成巨大破壞。2018年新加坡網絡安全法第3條規定了基于設備地點的适用範圍,即“本法适用于全部或部分位于新加坡境内的重要信息基礎設施。
(二)他國數據規則域外适用現象的比較與影響
各國數據保護當局有意願對與本國相關的外國實體行使管轄權。各國均對其數據治理規則制訂了或寬或窄的域外效力條款,以期将其域外适用。其中,影響最廣的要屬歐盟的數據保護模式——歐盟GDPR借助域外效力條款、國際條約的簽訂等行為将其影響擴大到全球範圍,成為事實上的全球隐私監管者。僅2018年,就有75個非歐盟地區國家頒布了歐盟模式的數據保護法,并且有超過10個國家接受了GDPR的新規則。歐盟委員會還積極鼓勵非洲地區國家加入Convention 108。即使是美國也沒有對歐盟模式完全免疫:在立法方面,加利福尼亞消費者保護法被稱為“精簡版GDPR”;奧巴馬政府頒布的消費者隐私法案學習歐盟原則等;在司法方面,美國内地法院對被告引用GDPR拒絕披露歐盟國籍人員信息的裁判,說明GDPR對美國具有一定影響。
盡管如此,美國地方法院一般不會輕易認可GDPR。例如在“Ironburg Inventions v. Valve Corp.”案中,法院認為僅僅是由于被調查對象是歐盟公民和引用GDPR不足以反駁提供保密信息的要求。Mercer亦認為,美國不能照搬歐盟的數據保護模式,應當基于其國内利益,建立一個新的基于自由的商業友好型數據保護模式。這是基于美國和歐盟對于隐私權的價值基礎和來源的認定不同。歐盟的隐私權價值基礎在于保護公民的個人權利,包括對其個人數據的控制權;美國沒有明确的憲法性隐私權,其隐私權來源于針對某些特殊類型的隐私保護的立法和裁判,如政府入侵,其價值基礎在于保護法人組織的自由權利。這與美國和歐盟的數據産業發展向匹配:歐盟的互聯網産業發展相對落後,市場幾乎被谷歌、臉書等美國企業壟斷。相比于歐盟對數據主體的着重保護,美國更傾向于通過寬泛的隐私解釋保護國内互聯網企業的發展利益和自由。
可見,目前全球并沒有統一的數據保護模式,但各國通過其國内數據規則的域外适用,擴大了自身數據保護模式的全球影響力。然而,各國對于其國内數據規則中确定數據規則具有域外效力的條款之管轄依據各不相同:
歐盟GDPR第3條分别基于“機構設立地标準”和“靶向标準”,通過屬地兼效果原則進行法律域外适用擴張;美國将“數據控制者标準”納入法律體系中,擴大了國内數據監管法律的域外執行管轄範圍;澳大利亞采用屬地兼屬人原則作為域外适用的管轄依據,并且規定了外國法律沖突例外條款和數據本地化條款;日本采用有限制的效果原則,并規定了與歐盟類似的“同等數據保護水平”作為數據跨境傳輸的前提;新加坡數據法本身沒有域外效力,但在網絡安全法上采取限于“嚴重危害”标準的效果原則和“設備所在地”管轄标準。
相比較可得,歐盟GDPR的域外效力範圍最為寬泛。亞太國家雖然都有數據治理方面的确定域外效力的規定,但其數據規則的域外适用場景較窄。在域外執行管轄權方面,美國通過“數據控制者标準”,配合國内互聯網企業的全球壟斷地位,事實上獲得了接近全球範圍内的域外執行管轄權;歐盟GDPR通過“合作和一緻性”機制,協調各成員國監管機構之間的監管沖突問題,不僅GDPR的具體實施是有利的,還提高了其為其他國家所接受的可能性。
五、中外數據治理規則域外适用的沖突協調
各國數據治理規則的域外擴張勢必帶來沖突。為此,應當根據國際法規定,在數據立法中兼顧域外适用的謙抑;并在國際法層面進行合作,探索各國數據規則的兼容機制。
根據“荷花号”案的法理,在主權國家的管轄權問題上,國際法無禁止即可為。因此,應當在不違反國際法禁止性原則的邊界内,以國際法許可性原則為基礎,對我國數據規則中的模糊概念進行法律解釋,使之符合法律的謙抑性。
首先,在互聯網背景下如何定義“境内”?雖然網絡行為可以定位到任何地方,但是行為的構成要件并非完全無法定位。因此,可以從網絡行為的主體、客體、主觀要件、客觀要件四個方面進行解釋。首先,可以根據行為人的國籍、所處的地理位置進行定位。例如歐盟GDPR第3(1)條的“機構設立地标準”。澳大利亞隐私法中,行為人可以是澳大利亞公民、澳大利亞境内成立的組織機構或在其境内持續停留183天的個人等。其次,網絡行為的客體是處理對象,即數據。國際法上,數據的定位有“數據存儲地标準”和“數據控制者标準”,我國的數據立法顯然是采取“數據存儲地标準”再者,主觀要件包括“明知”和“故意”,但網絡活動中,行為人可能不知道其行為發生在哪裡,但至少應當知道其行為的目的是針對哪些國家的數據主體進行的數據處理。主觀要件的證明可以通過行為人使用的網絡設備所處的地理位置或行為人所收集的數據的所有人的國籍或地理位置來判斷,例如新加坡網絡安全法中規定的“互聯網基礎設施所在地”标準。最後,客觀要件即行為人客觀實施了數據處理行為,這一行為難以定位,因此,僅以其他三個構成要件進行定位,可以實現國家對網絡空間中發生的數據處理行為的控制。但是,不論何種标準都會不可避免地使國内數據規則的适用範圍擴張到國外,因此對于具體标準的選取或創新,則需要根據國家實力和國際形勢進行甚至選擇。
對于明顯的“境外”行為,一國國内數據規則的域外适用往往需要該行為與該國具有“真實聯系”。我國數據規則将“真實聯系”規定在個人信息保護法第3條、第42條和數據安全法第4條中,具有模糊性和寬泛性,在具體适用中應當加以限制,并關注到以下因素:第一,對外國管轄利益的考量;第二,引入美國法律域外适用體系中的“真實聯系”測試。巴斯庫尼安訴艾爾莎卡案(II)中,法院認為被告利用國内的郵件或電信促成詐騙計劃,而利用郵件或電信構成了詐騙計劃的核心組成部分,因此,争議詐騙計劃的核心部分在美國境内,原告主張郵件或電信欺詐的訴訟請求涉及足夠的國内行為由。除了考察行為的核心部分是否發生在一國境内,還可以關注行為人是否存在受本法保護或約束的預期、相關數據規制對于對國際政治、法律或經濟體系的重要性等因素進行綜合判斷。第三,引入“虛假沖突”測試。有時,各國的法律适用沖突體現在司法管轄權的沖突上,而對于國内立法的規定,則沒有太大差别。例如日本、中國和歐盟在跨境數據傳輸上均規定了需要取得數據主體的明确同意,若與某一行為有實質聯系的幾個國家或地區的數據規則沒有實質上的沖突,那麼,最先采取司法或執法措施進行管制的國家應當享有優先的管轄和法律适用資格。
最後,2017年1月,在瑞士日内瓦萬國宮出席“共商共築人類命運共同體”高級别會議發表了以“共同構建人類命運共同體”為主旨的演講。數字信息時代的到來使得數字經濟成為國際經濟領域不可忽視的一部分,對“人類命運共同體”的構建不能也無法忽略數據治理這一話題。因此,可以将“人類命運共同體”與國際法上的數據治理兼容機制相結合,通過與“一帶一路”沿線國家現行簽訂包含數據治理規則的條約,慢慢推動以中國數據治理價值為核心的全球數據治理模式的構建。
目前,在雙邊自由貿易協定中,僅有中國與澳大利亞、毛裡求斯和韓國的自由貿易協定裡有涉及個人信息或在線數據保護。有學者指出,構建國際數據條約并不是一蹴而就的事情闵。因此,通過國際法協調沖突,除了對兼容機制的探索之外,更重要的是加強與其他國家在數據治理方面的合作,以合作共赢為促進國内和國際數字經濟發展的主要手段。
六、結論
數據時代,各國越來越重視對于國内數據治理規則的制訂和效力擴張。在數字經濟領域,我國具有先天的大數據發展優勢,國内骨幹企業已經具備自主開發建設和運維大規模大數據平台的能力,國内大數據技術、産業得到長足發展。在此情況下,我國數據立法的模糊性和寬泛性上賦予了司法者或執法者較大的自由裁量權,即有意擴大我國數據規則的域外适用,又意圖阻礙他國數據規則在我國的适用。如此規定勢必會與其他國家的數據規則産生沖突。因此,我國首先應當通過司法解釋明确域外效力條款的範圍邊界,其解釋應當在符合國際法的基礎上,根據我國國家實體和國際形勢的變化作出适合我國的法律适用依據;其次應當與外國數據規則的管轄利益相互協調,注意法律域外适用的謙抑性;最後可以在構建人類命運共同體的過程中探索協調各國數據規則的兼容機制,以合作共赢為基本手段促進各國數據治理規則在域外适用方面的禮讓與互諒。
,來源:《上海法學研究》集刊2022年第3卷(上海對外經貿大學文集)
更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
