文 淑

(中國人民大學 法學院,北京 100872)

引 言

隨著數(shù)字經(jīng)濟的深入發(fā)展和數(shù)據(jù)價值的日益凸顯,數(shù)據(jù)流動在推動國際貿(mào)易、促進經(jīng)濟增長、加速企業(yè)創(chuàng)新和增進社會福祉的同時,也面臨著數(shù)據(jù)主權(quán)、國家安全、隱私保護、數(shù)字鴻溝等挑戰(zhàn)。(1)唐巧盈,楊嶸均.跨境數(shù)據(jù)流動治理的雙重悖論、運演邏輯及其趨勢[J].東南學術(shù),2022,(2).各國結(jié)合自身經(jīng)濟水平與利益訴求,紛紛圍繞數(shù)據(jù)治理展開日趨激烈的規(guī)則博弈與制度競爭。各國雖然根據(jù)不同的數(shù)據(jù)治理理念形成了殊別的數(shù)據(jù)立法范式,卻在數(shù)據(jù)立法的域外適用傾向上趨于一致,不斷擴展著本國數(shù)據(jù)立法域外適用的廣度和深度。據(jù)統(tǒng)計,所有“二十國集團”(G20)國家的數(shù)據(jù)立法均確立了域外適用規(guī)則,(2)UNCTAD. Data Protection and Privacy Legislation Worldwide[EB/OL].https://unctad.org/page/data-protection-and-privacy-legislation-worldwide.以進一步擴展本國數(shù)據(jù)治理規(guī)則的核心競爭力和國際影響力。

本文所稱數(shù)據(jù)立法,主要是指以個人數(shù)據(jù)保護、數(shù)據(jù)跨境流動和數(shù)據(jù)跨境調(diào)取為規(guī)制對象的國內(nèi)法律規(guī)則。數(shù)據(jù)立法域外適用,是本國針對位于或發(fā)生在其管轄領(lǐng)域外的人、物或行為適用本國數(shù)據(jù)立法的過程。(3)目前學界尚無對國內(nèi)法域外適用概念的統(tǒng)一界定,但上述概念得到較多學者的贊同。參見廖詩評.國內(nèi)法域外適用及其應(yīng)對——以美國發(fā)域外適用措施為例[J].環(huán)球法律評論,2019,(3);孔慶江,于華溢.數(shù)據(jù)立法域外適用現(xiàn)象與中國因應(yīng)策略[J].法學雜志,2020,(8);劉寧,蔡午江.我國原子能技術(shù)出口管制規(guī)范域外適用研究[J].中國政法大學學報,2022,(1);霍政欣.我國法域外適用體系之構(gòu)建——以統(tǒng)籌推進國內(nèi)法治與涉外法治為視域[J].中國法律評論,2022,(1).域外適用以立法機關(guān)制定域外效力條款或主張域外管轄權(quán)為基礎(chǔ),(4)本文認為域外效力與域外管轄權(quán)雖在語義表達和表現(xiàn)形式上有所差別,域外效力關(guān)注靜態(tài)的法律效力,域外管轄權(quán)關(guān)注動態(tài)的管轄權(quán)能,但兩者均指一國對其管轄范圍外的行為或事項進行規(guī)制的權(quán)限,包括立法規(guī)制權(quán)、行政規(guī)制權(quán)和司法規(guī)制權(quán)。因此,后文將按具體語境的需要交替使用這兩個術(shù)語。參見霍政欣.域外管轄、“長臂管轄”與我國法域外適用:概念厘定與體系構(gòu)建[J].新疆師范大學學報(哲學社會科學版),2023,(2).通過執(zhí)法機關(guān)和司法機關(guān)適用法律規(guī)則實現(xiàn)。數(shù)據(jù)立法的域外適用有一定的必然性,數(shù)據(jù)治理的國際規(guī)則尚不完備,各國無法僅通過數(shù)據(jù)立法的域內(nèi)適用達到數(shù)據(jù)立法目的和數(shù)據(jù)治理效果。但另一方面,數(shù)據(jù)立法的域外適用打破了傳統(tǒng)地域因素對法律效力的基礎(chǔ)控制作用,勢必引發(fā)國家間管轄利益與主權(quán)利益的沖突;國際法是主要處理國家間關(guān)系的法律規(guī)范,已然形成一套獨立于特定國家的理論建構(gòu)和法律秩序,數(shù)據(jù)立法的域外適用可能打破現(xiàn)行國際法對國家權(quán)限和管理規(guī)則的分配標準,因此也可能引發(fā)國內(nèi)法與國際法的沖突。處理不當易造成國家間的惡性競爭、破壞國際法律秩序和國際關(guān)系的穩(wěn)定。從理論層面,數(shù)據(jù)立法域外適用是國內(nèi)法域外適用在數(shù)據(jù)領(lǐng)域的具體體現(xiàn),具備國內(nèi)法域外適用的涉外法治屬性。涉外法治是一種介于國內(nèi)法治與國際法治之間的雙向互動形態(tài),既涉及涉外法治與國內(nèi)法治的互動,也涉及涉外法治與國際法治的互動。由于國內(nèi)法治有廣義與狹義之分,廣義上的國內(nèi)法治概指國家基于主權(quán)依法治國,處理自己對內(nèi)、對外事務(wù)的立法、執(zhí)法、司法、守法、用法的活動,因此涉外法治本質(zhì)上是國內(nèi)法治的一部分;狹義的國內(nèi)法治是處理純國內(nèi)事務(wù)的法治活動,與涉外法治并列構(gòu)成國家法治體系的組成部分。(5)黃惠康.準確把握“涉外法治”概念內(nèi)涵 統(tǒng)籌推進國內(nèi)法治和涉外法治[J].武大國際法評論,2022,(6).因此,“涉外法治與國內(nèi)法治的互動”既可以指代本國視角下的純國內(nèi)事務(wù)與對外事務(wù)的法治活動的互動關(guān)系,也可以指代作為本國國內(nèi)法治一部分的涉外法治與他國的國內(nèi)法治的互動關(guān)系。本文重點闡釋后者。將此互動關(guān)系投射到數(shù)據(jù)立法的域外適用上,即表現(xiàn)為因數(shù)據(jù)立法域外適用引發(fā)的國家間法律沖突,以及因數(shù)據(jù)立法域外適用引發(fā)的國內(nèi)法與國際法沖突。

目前,中國正加快法治中國和數(shù)字中國建設(shè),在此背景下,鑒于數(shù)據(jù)治理的重要性與數(shù)據(jù)立法域外適用的現(xiàn)狀,以涉外法治與國內(nèi)法治的互動,以及涉外法治與國際法治的互動為視角,研究數(shù)據(jù)立法域外適用引發(fā)的法律沖突并提出中國解決方案,具有一定的理論價值和現(xiàn)實意義。

一、相關(guān)研究文獻綜述

近年來,有關(guān)數(shù)據(jù)立法域外適用的國內(nèi)外研究成果不斷涌現(xiàn)。當前研究主要以單個主權(quán)國家出臺的政策法律或國際經(jīng)貿(mào)投資協(xié)定為研究對象,可以歸納為以主權(quán)國家為視角和以國際貿(mào)易視角的研究。

主權(quán)國家視角下,學者梳理了歐盟、美國等重要主權(quán)國家的數(shù)據(jù)立法,對相關(guān)數(shù)據(jù)立法域外適用的前提,即對數(shù)據(jù)立法的域外效力或域外管轄權(quán)進行研究。Dan Jerker B,俞勝杰,葉開儒等以歐盟《通用數(shù)據(jù)保護條例》(以下簡稱GDPR)第3條為中心論證了歐盟積極主張GDPR域外效力的立法動因與規(guī)制思路。(6)Dan Jerker B. Svantesson. The Extraterritoriality of EU Data Privacy Law-Its Theoretical Justification and its Practical Effect on U.S. Businesses[J].Stanford Journal of International Law, 2014,(1);俞勝杰,林燕萍.《通用數(shù)據(jù)保護條例》域外效力的規(guī)制邏輯、實踐反思與立法啟示[J].重慶社會科學,2020,(6);葉開儒.數(shù)據(jù)跨境流動規(guī)制中的“長臂管轄”——對歐盟GDPR的原旨主義考察[J].法學評論,2020,(1).Adèle Azzi,何葉華認為GDPR的域外適用范圍盡管相當廣泛,但其符合國際判例的默示承認和國際習慣法原則,具備國際法正當性基礎(chǔ)。(7)Adèle Azzi. The Challenges Faced by the Extraterritorial Scope of the General Data Protection Regulation[J].Journal of Intellectual Property, Information Technology and E-Commerce Law, 2018,(2);何葉華.論數(shù)據(jù)保護法的域外效力[J].北京理工大學學報(社會科學版),2021,(9).楊永紅,何葉華認為美國利用《澄清合法使用境外數(shù)據(jù)法》(以下簡稱《云法案》)將美國企業(yè)在全球互聯(lián)網(wǎng)行業(yè)的優(yōu)勢轉(zhuǎn)變?yōu)槊绹鴮τ蛲鈹?shù)據(jù)的管轄權(quán),嚴重威脅包括中國在內(nèi)的大多數(shù)國家數(shù)據(jù)主權(quán)。(8)楊永紅.美國域外數(shù)據(jù)管轄權(quán)研究[J].法商研究,2022,(2);何葉華.論數(shù)據(jù)保護法的域外效力[J].北京理工大學學報(社會科學版),2021,(9).Federico Fabbrini等的《跨境數(shù)據(jù)保護:跨大西洋視角下的治外法權(quán)與國家主權(quán)》一書結(jié)合歐美數(shù)據(jù)領(lǐng)域的最新立法、判例探討了在數(shù)據(jù)立法域外適用背景下歐美的緊張關(guān)系與合作空間。(9)Federico Fabbrini, Edoardo Celeste, John Quinn. Data Protection Beyond Borders: Transatlantic Perspectives on Extraterritoriality and Sovereignty[M].New York: Hart Publishing, 2021:1～280.張哲等認為通過國內(nèi)數(shù)據(jù)立法進行域外效力擴張已成為多數(shù)國家維護數(shù)據(jù)主權(quán)的主流做法,我國應(yīng)借鑒歐美數(shù)據(jù)立法、完善我國數(shù)據(jù)立法域外效力制度的適用性、體系性與國際性。(10)張哲,齊愛民.論我國個人信息保護法域外效力制度的構(gòu)建[J].重慶大學學報(社會科學版),2022,(5).

國際貿(mào)易視角下,學者主要探討了國際投資貿(mào)易規(guī)則對數(shù)據(jù)跨境流動和個人數(shù)據(jù)保護等議題進行規(guī)制的可行性與具體模式。Margaret Byrne Sedgewick認為,鑒于歐美對世界貿(mào)易組織(WTO)現(xiàn)行《服務(wù)貿(mào)易總協(xié)定》(GATS)的推崇,應(yīng)將跨境數(shù)據(jù)流動議題納入GATS框架(11)Margaret Byrne Sedgewick. Transborder Data Privacy as Trade[J].California Law Review, 2017,(5).;石靜霞提出WTO協(xié)定在數(shù)字貿(mào)易規(guī)制上存在明顯不足,電子商務(wù)諸邊談判有望重振WTO的規(guī)則制定權(quán),但中美歐等主要成員在數(shù)據(jù)跨境流動、軟件源代碼及算法規(guī)制和稅收問題上存在較大分歧。(12)石靜霞.數(shù)字經(jīng)濟背景下的WTO電子商務(wù)諸邊談判:最新發(fā)展及焦點問題[J].東方法學,2020,(2).譚觀福,戴藝晗,石靜霞梳理了《區(qū)域全面經(jīng)濟伙伴關(guān)系協(xié)定》(RCEP)《全面與進步跨太平洋伙伴關(guān)系協(xié)定》(CPTPP)《美墨加協(xié)定》(USMCA)《數(shù)字經(jīng)濟伙伴關(guān)系協(xié)定》(DEPA)等新近自由貿(mào)易協(xié)定(FTA)對數(shù)據(jù)跨境流動的規(guī)制原則與例外。(13)譚觀福.數(shù)字貿(mào)易中跨境數(shù)據(jù)流動的國際法規(guī)制[J].比較法研究,2022,(3);戴藝晗.貿(mào)易數(shù)字化與監(jiān)管碎片化:國際貿(mào)易制度框架下跨境數(shù)據(jù)流動治理的挑戰(zhàn)與應(yīng)對[J].國際經(jīng)濟法學刊,2021(1);石靜霞,陸一戈.DEPA框架下的數(shù)字貿(mào)易核心規(guī)則與我國的加入談判[J].數(shù)字法治,2023,(1).彭岳認為WTO和FTA通過貿(mào)易例外和貿(mào)易事項兩種方式納入個人數(shù)據(jù)保護問題。(14)彭岳.數(shù)據(jù)隱私規(guī)制模式及其貿(mào)易法表達[J].法商研究,2022,(5).張生則以國際投資協(xié)定(IIAs)與跨境數(shù)據(jù)流動的內(nèi)在關(guān)聯(lián)為視角,關(guān)注國際投資協(xié)定對跨境數(shù)據(jù)流動的保護及其限度。(15)張生.國際投資法制框架下的跨境數(shù)據(jù)流動:保護、例外和挑戰(zhàn)[J].當代法學,2019,(5).Neha Mishra認為國際貿(mào)易規(guī)則、互聯(lián)網(wǎng)治理和數(shù)據(jù)跨境流動之間應(yīng)建立起“橋梁”(16)Neha Mishra. Building Bridges: International Trade Law, Internet Governance, and the Regulation of Data Flows[J].Vanderbilt Journal of Transnational Law, 2019,(2).。Andrew D等認為涵蓋國際投資法、國際貿(mào)易法的全面法律框架以及涵蓋各種利益相關(guān)者的廣泛法律政策將更好地實現(xiàn)數(shù)據(jù)的安全、開放與高效流動。(17)Andrew D. Mitchell & Jarrod Hepburn, Mitchell, Andrew D. and Hepburn, Jarrod, Don’t Fence Me In: Reforming Trade and Investment Law to Better Facilitate Cross-Border Data Transfer [J].Yale Journal of Law and Technology. 2017,(1).

總體而言,既有研究已經(jīng)關(guān)注到國別層面或國際法層面的、與數(shù)據(jù)立法域外適用相關(guān)的問題,所提建議具有借鑒性和被動性。也有少量研究以數(shù)據(jù)立法的域外適用為研究對象,系統(tǒng)性地梳理了歐美數(shù)據(jù)立法域外適用的核心概念與現(xiàn)行規(guī)則,(18)張新民,張稷鋒.網(wǎng)絡(luò)法域外適用的法理闡釋:概念、邏輯與原則[J].太平洋學報,2022,(12);王燕.數(shù)據(jù)法域外適用及其沖突與應(yīng)對——以歐盟《通用數(shù)據(jù)保護條例》與美國《澄清域外合法使用數(shù)據(jù)法》為例[J].比較法研究,2023,(1);孔慶江,于華溢.數(shù)據(jù)立法域外適用現(xiàn)象及中國因應(yīng)策略[J].法學雜志,2020,(8).為本文的研究奠定了重要基礎(chǔ)。但以數(shù)據(jù)立法域外適用引發(fā)的法律沖突為研究對象,從涉外法治與國內(nèi)法治和國際法治的互動視角,系統(tǒng)性審視數(shù)據(jù)立法域外適用的法律沖突、揭示沖突成因,并提出統(tǒng)籌性和主動性解決方案的研究較為欠缺。因此,本文首先闡述數(shù)據(jù)立法域外適用的前提與保障措施,在對數(shù)據(jù)立法域外適用的廣度和深度有充分認知后,探討數(shù)據(jù)立法域外適用已經(jīng)或可能引發(fā)的法律沖突并分析其成因,最后提出中國解決數(shù)據(jù)立法域外適用法律沖突的協(xié)同應(yīng)對方案。

二、數(shù)據(jù)立法域外適用的現(xiàn)實基礎(chǔ)

(一)適用前提:數(shù)據(jù)立法域外管轄的確立與擴張

一國數(shù)據(jù)立法域外適用的前提是域外管轄的確立?；ヂ?lián)網(wǎng)烏托邦下數(shù)據(jù)天然的流動屬性與威斯特伐利亞體系下的傳統(tǒng)管轄權(quán)理論形成鮮明錯位,各國突破地域因素的局限,通過制定“設(shè)立機構(gòu)準則”“目的意圖準則”和“數(shù)據(jù)控制者準則”,實現(xiàn)對域外數(shù)據(jù)處理或控制實體,或域外數(shù)據(jù)處理行為的管轄,有效擴張了本國數(shù)據(jù)立法的適用范圍。例如GDPR第3(1)條規(guī)定了“設(shè)立機構(gòu)準則”,使GDPR適用于在歐盟境內(nèi)設(shè)立機構(gòu)的數(shù)據(jù)控制者或處理者所進行的數(shù)據(jù)處理行為,不論該行為是否發(fā)生在歐盟境內(nèi)。GDPR序言第22條對“設(shè)立機構(gòu)”的定義是“通過穩(wěn)定安排開展真實有效的數(shù)據(jù)處理活動”,并不將設(shè)立機構(gòu)局限于具體的地理位置或法律形式(子公司分支機構(gòu)、代理人等)。其次,設(shè)立機構(gòu)不需要為實際的數(shù)據(jù)處理者,只要設(shè)立機構(gòu)開展的活動與實際的數(shù)據(jù)處理具有“無法割裂的聯(lián)系”,在歐盟境內(nèi)盈利,就應(yīng)適用GDPR的規(guī)定。(19)EDPB. Guidelines 03/2018 on the Territorial Scope of the GDPR (Article 3)[EB/OL].https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_3_2018_territorial_scope_after_public_consultation_en_1.pdf.可見,“設(shè)立機構(gòu)準則”實現(xiàn)了對傳統(tǒng)屬人管轄權(quán)內(nèi)涵的技術(shù)性擴張。菲律賓《2012年數(shù)據(jù)隱私法案》、南非《2020年個人信息保護法案》和澳大利亞《1988年隱私法》等立法均以“設(shè)立機構(gòu)準則”為基礎(chǔ)制定了域外適用范圍條款。

不止于此,歐盟GDPR第3(2)條還確立了更為激進的管轄思路——“目的意圖準則”。對于未在歐盟境內(nèi)設(shè)立機構(gòu)的數(shù)據(jù)控制者或處理者,只要其針對歐盟境內(nèi)的數(shù)據(jù)主體實施了提供商品或服務(wù)的行為,或?qū)?shù)據(jù)主體活動進行監(jiān)控,GDPR便對其產(chǎn)生效力。“數(shù)據(jù)主體”并不限于具有歐盟成員國國籍的主體,更在于主體所處的地理位置是否位于“歐盟境內(nèi)”。構(gòu)成“監(jiān)控”行為的類型也非常廣泛,包括提供特定廣告、地理定位、個性化飲食和健康分析等。該準則以介于屬地管轄和保護性管轄間的效果原則為基礎(chǔ),凡是影響到數(shù)據(jù)主體利益的行為均被納入管轄。有學者批評該準則過于虛無縹緲,在全球互聯(lián)網(wǎng)高度融合的背景下上述影響因素可輕易達到,并引發(fā)頻繁的管轄權(quán)沖突。(20)Lilian Mitrou. The General Data Protection Regulation: A Law for Digital Age?[A].Synodinou T, et al. EU Internet Law: Regulation and Enforcement[C]. Switzerland: Springer cham, 2017:32.由于“設(shè)立機構(gòu)準則”側(cè)重行為與主體間聯(lián)系,“目的意圖準則”側(cè)重行為與客體間聯(lián)系,連接點并不沖突,一國可以同時采納兩種準則。巴西《2020年通用數(shù)據(jù)保護法》、日本2023年修訂的《個人信息保護法》和新加坡《2021年個人數(shù)據(jù)保護條例》即借鑒了歐盟GDPR的立法范式,將廣泛的域外主體和行為納入管轄范圍。

美國《云法案》、加拿大《個人信息保護和電子文件法案》、歐盟《電子證據(jù)條例》等數(shù)據(jù)立法則從跨境數(shù)據(jù)調(diào)查取證的角度實現(xiàn)了從“數(shù)據(jù)存儲地準則”向“數(shù)據(jù)控制者準則”的轉(zhuǎn)變,明確本國執(zhí)法機構(gòu)有權(quán)要求本國網(wǎng)絡(luò)服務(wù)提供者披露其所擁有、保管或控制的數(shù)據(jù),無論該數(shù)據(jù)位于境內(nèi)或境外。上述立法通過對數(shù)據(jù)控制者行使屬人管轄,延伸獲得了數(shù)據(jù)控制者可獲取的境外數(shù)據(jù)的管轄權(quán),賦予了屬人管轄之于屬地管轄更優(yōu)先的適用順位。而且,美國《云法案》所確立的“數(shù)據(jù)控制者準則”也不局限于國籍等傳統(tǒng)屬人連接因素,只要數(shù)據(jù)控制者與美國的聯(lián)系符合美國判例法的“最低程度聯(lián)系”原則,在境外成立的數(shù)據(jù)控制者也可被納入適用范圍。(21)U.S. Department of Justice. Promoting Public Safety, Privacy, and the Rule of Law Around the World: The Purpose and Impact of the CLOUD Act, White Paper[EB/OL].https://www.justice.gov/opa/press-release/file/1153446/download.

(二)適用保障:數(shù)據(jù)跨境傳輸工具對數(shù)據(jù)立法域外適用的強化

以歐盟GDPR為代表的數(shù)據(jù)立法不僅通過適用范圍條款確立了對域外主體和行為的管轄,還引入了充分性認定、標準合同條款(SCCs)、約束性公司規(guī)則(BCR)、認證機制等數(shù)據(jù)跨境傳輸工具,以監(jiān)管歐盟數(shù)據(jù)出口方向境外數(shù)據(jù)進口方的數(shù)據(jù)傳輸活動。根據(jù)歐盟數(shù)據(jù)保護委員會(EDBP)發(fā)布的《指南》,二者為補充與補足的關(guān)系而非互斥關(guān)系。當境外數(shù)據(jù)進口方依據(jù)“設(shè)立機構(gòu)準則”或“目標意圖準則”落入GDPR適用范圍時,數(shù)據(jù)進口方與數(shù)據(jù)出口方間仍應(yīng)依據(jù)數(shù)據(jù)跨境傳輸條款要求采納SCCs等保障措施。因為跨境傳輸活動項下的數(shù)據(jù)仍面臨數(shù)據(jù)進口國國內(nèi)法律、政府訪問以及難以獲取或執(zhí)行數(shù)據(jù)保護救濟等風險。(22)EDPB. Guidelines 05/2021 on the Interplay between the Application of Article 3 and the Provisions on International Transfers as per Chapter V of the GDPR (Version 2.0)[EB/OL].https://edpb.europa.eu/system/files/2023-02/edpb_guidelines_05-2021_interplay_between_the_application_of_art3-chapter_v_of_the_gdpr_v2_en_0.pdf.該規(guī)定一方面旨在彌補數(shù)據(jù)進口國數(shù)據(jù)保護水平的不足,另一方面,無論境外數(shù)據(jù)進口方是否符合GDPR的適用范圍,數(shù)據(jù)進口方與數(shù)據(jù)出口方必須通過數(shù)據(jù)跨境傳輸工具進行數(shù)據(jù)跨境傳輸。數(shù)據(jù)跨境傳輸工具的特殊性和強制性可實現(xiàn)數(shù)據(jù)立法對域外主體或行為的直接或間接適用,對數(shù)據(jù)立法的域外適用有強化作用。

具體而言,國家層面,一國為獲得歐盟的充分性認定,需修改本國的數(shù)據(jù)立法和執(zhí)法制度以達到與歐盟同等的數(shù)據(jù)保護水平,并接受歐盟的整體審查和持續(xù)監(jiān)督。這意味著該國將主動適用歐盟的數(shù)據(jù)立法,使歐盟數(shù)據(jù)立法產(chǎn)生事實上的域外效力,即域外影響力。(23)Christopher Kuner. Extraterritoriality and Regulation of International Data Transfers in EU Data Protection Law[J].International Data Privacy Law, 2015,(4).

企業(yè)層面,境外數(shù)據(jù)進口方與歐盟數(shù)據(jù)出口方訂立的SCCs或BCR中,包含強制性的準據(jù)法條款和管轄權(quán)條款,能夠產(chǎn)生強制域外數(shù)據(jù)進口方企業(yè)適用GDPR的效果。就SCCs而言,3種傳輸模式下的SCCs第17條均規(guī)定,合同雙方必須選擇適用歐盟成員國的法律。此法律必然包括以GDPR為首的數(shù)據(jù)立法;SCCs第18條則規(guī)定,合同雙方認可歐盟成員國法院對合同爭議擁有管轄權(quán)。就BCR而言,盡管歐盟沒有明確要求跨國公司選用BCR時適用GDPR,但EDBP第29條工作組發(fā)布的《BCR批準標準》顯示,獲批的BCR須說明其與相關(guān)適用法律間的關(guān)系,若當?shù)亓⒎ㄒ髮€人數(shù)據(jù)提供更高水平的保護,則該立法應(yīng)優(yōu)先適用。鑒于GDPR高水平的個人數(shù)據(jù)保護標準,其適用在所難免。其次,當數(shù)據(jù)出口方在歐盟未設(shè)立機構(gòu)時,《BCR批準標準》要求BCR賦予數(shù)據(jù)主體在其經(jīng)常居所地提起訴訟的權(quán)利,歐盟成員國法院可據(jù)此獲得案件管轄權(quán),保障了GDPR域外適用的實現(xiàn)。該管轄權(quán)條款與GDPR第79條類似,均是通過第三人受益條款賦予數(shù)據(jù)主體損害賠償請求權(quán)和原告所在地管轄權(quán),(24)金晶.作為個人信息跨境傳輸監(jiān)管工具的標準合同條款[J].法學研究,2022,(5).使歐盟法院能具備所有與歐盟僅有微弱聯(lián)系的個人數(shù)據(jù)保護案件管轄權(quán)。SCCs和BCR本質(zhì)上具有契約屬性,根據(jù)傳統(tǒng)合同糾紛的意思自治原則,當事人應(yīng)享有協(xié)議管轄自由和準據(jù)法選擇自由,但上述條款要求當事人必須約定適用GDPR和接受歐盟成員國法院管轄,阻斷了當事人利用意定管轄排除GDPR適用的可能,變相擴大了GDPR的域外適用范圍。而且,數(shù)據(jù)進出口方不得對獲批后的SCCs進行修改,除非修改內(nèi)容使數(shù)據(jù)獲得更嚴格的保護;獲批后的BCR也不得作出重大變化,否則須另行啟動批準程序。歐盟通過數(shù)據(jù)跨境傳輸工具強化歐盟數(shù)據(jù)立法域外適用的決心可見一斑。

綜上可見,以歐美數(shù)據(jù)立法管轄權(quán)的擴張為代表,各國擴大本國數(shù)據(jù)立法域外適用范圍、強化本國數(shù)據(jù)立法域外適用效力的趨勢日益凸顯。這已成為各國維護數(shù)據(jù)主權(quán)和參與國際數(shù)字治理的共同做法,但數(shù)據(jù)立法域外適用引發(fā)的一系列現(xiàn)實和潛在沖突也亟待正視與解決。

三、數(shù)據(jù)立法域外適用引發(fā)的法律沖突及其成因

(一)數(shù)據(jù)立法域外適用引發(fā)的法律沖突

1. 數(shù)據(jù)立法域外適用引發(fā)的國家間法律沖突

數(shù)據(jù)立法兼具公私屬性,但其域外適用不以私法領(lǐng)域的“多邊主義法律選擇方法”為體系構(gòu)造,即從法律關(guān)系出發(fā),探討該法律關(guān)系應(yīng)當適用本國法或其他國家的法律;而是以公法領(lǐng)域的“單邊主義法律適用方法”為基礎(chǔ)。(25)宋曉.域外管轄的體系構(gòu)造:立法管轄與司法管轄之界分[J].法學研究,2021,(3).這意味著一國法院只需考慮本國法可否適用于境外的人或行為,無須同等考慮外國法可否適用于本國境內(nèi)的人或行為。這不僅造成了國內(nèi)外法適用的不平等,而且隨著各國數(shù)據(jù)立法域外適用范圍的擴大、數(shù)據(jù)立法域外適用趨勢的強化,勢必引發(fā)頻繁的國家間法律沖突。

立法層面,國家間的法律沖突表現(xiàn)為各國立法機關(guān)競相制定具有域外效力的數(shù)據(jù)立法,立法邊界的重疊導(dǎo)致立法沖突。各國立法規(guī)制的范圍越廣,沖突的可能性就越大。由于各國數(shù)字經(jīng)濟發(fā)展水平和數(shù)據(jù)立法進程的不均衡,可將立法沖突分為消極沖突和積極沖突:消極沖突是指一國針對數(shù)據(jù)立法域外適用作出擴張性規(guī)定,而其他可能受影響的國家尚未采取任何法律規(guī)制措施,由此構(gòu)成潛在的管轄沖突;積極沖突是指各國依據(jù)不同的管轄權(quán)原理和準則對同一數(shù)據(jù)處理行為進行規(guī)制所導(dǎo)致的管轄沖突。例如微軟公司處理其存儲于愛爾蘭數(shù)據(jù)中心的數(shù)據(jù)可能引發(fā)美國基于“數(shù)據(jù)控制者準則”和歐盟基于“設(shè)立機構(gòu)準則”管轄的競合。即使美歐為實現(xiàn)商業(yè)利益接續(xù)達成雙邊合作協(xié)議,也只是暫時的動態(tài)平衡。(26)單文華,鄧娜.歐美跨境數(shù)據(jù)流動規(guī)制:沖突、協(xié)調(diào)與借鑒——基于歐盟法院“隱私盾”無效案的考察[J].西安交通大學學報(社會科學版),2021,(5).從歐美《安全港協(xié)議》到《隱私盾協(xié)議》的失效,已表明該平衡為更顯著的數(shù)據(jù)規(guī)制理念沖突所取代。2022年3月達成的《跨大西洋數(shù)據(jù)隱私框架》能否彌合雙方在數(shù)據(jù)保護與數(shù)據(jù)監(jiān)控間的規(guī)制分歧,成為數(shù)據(jù)跨境流動的合作范本尚未可知。然而,立法沖突屬于虛擬的法律沖突,數(shù)據(jù)立法域外適用是否會產(chǎn)生現(xiàn)實法律沖突,主要取決于各國如何執(zhí)行和適用相關(guān)數(shù)據(jù)立法。

執(zhí)法層面,一國行政機關(guān)單邊執(zhí)行具有域外效力的數(shù)據(jù)立法的行為,既包括司法機關(guān)/行政機關(guān)對域外數(shù)據(jù)行使的調(diào)查取證行為,也包括行政機關(guān)對域外主體的直接行政處罰與強制。(27)邵懌.論域外數(shù)據(jù)執(zhí)法管轄權(quán)的單方擴張[J].社會科學,2020,(10).習慣國際法承認域外行使立法管轄的自由,但仍然認為執(zhí)法管轄應(yīng)嚴格遵循屬地原則,(28)Permanent Court of International Justice, Series A: collection of judgments (1923～1930), The Case of the S.S. “Lotus”, France v.Turkey, pp.18～19.因此,與立法層面的沖突相比,數(shù)據(jù)立法的域外適用將在執(zhí)法層面引發(fā)國家間更劇烈的沖突。首先,一國單邊的數(shù)據(jù)跨境執(zhí)法調(diào)取嚴重侵犯他國數(shù)據(jù)主權(quán)、削弱國家間的政治與法律互信、引發(fā)他國的阻斷與反制。例如,美國《云法案》的出臺觸發(fā)歐盟效仿美國制定了同樣具有域外效力的《電子證據(jù)條例》,并刺激中國、瑞士、新加坡等國制定阻止《云法案》在本國適用的阻斷法規(guī)、設(shè)定數(shù)據(jù)出境的負面清單。但事實上阻斷法規(guī)的實踐效果并不理想,美國法院和執(zhí)法機關(guān)通常不會支持當事人依據(jù)阻斷法規(guī)提出的抗辯要求。在Cadence Design Systems, Inc. v. Syntronic AB案和Philips Medical Systems v. Buan案中,被告以涉及向中國跨境取證的證據(jù)開示動議違反《數(shù)據(jù)安全法》《個人信息保護法》等數(shù)據(jù)立法為由抗辯,但美國法院認為被告沒有充分舉證證明中國的數(shù)據(jù)立法禁止其履行證據(jù)開示義務(wù)、且遵守證據(jù)開示要求并不會使被告遭受中國政府的嚴厲處罰。在Rollins Ranches LLC v. Watson案和Giorgi Global Holdings v. Wieslaw Smulski案中,被告也未能成功援引GDPR阻斷美國法院對歐盟境內(nèi)個人數(shù)據(jù)的跨境取證要求。這表明各國的阻斷法規(guī)能否成為數(shù)據(jù)攻防戰(zhàn)中的“盾牌”、起到實際封阻他國單邊跨境數(shù)據(jù)取證的效果仍然存疑。其次,行政機關(guān)對域外主體執(zhí)法的可執(zhí)行性有待觀察。近日,來自英國、希臘、意大利和法國的數(shù)據(jù)監(jiān)管機構(gòu)向美國Clearview AI公司發(fā)出執(zhí)法通知,認定Clearview AI公司從Facebook等社交媒體中收集人臉圖像并建立全球數(shù)據(jù)庫的行為違反GDPR,要求Clearview AI公司刪除相關(guān)個人數(shù)據(jù)并處超過4000萬歐元的罰款。但該執(zhí)法行動明顯受挫,Clearview AI公司否認了違規(guī)行為,并反駁執(zhí)法機關(guān)的執(zhí)法管轄權(quán)。(29)Luke Irwin. Clearview AI Insists it isn’t Subject to GDPR After Committing Several Privacy Breaches[EB/OL].https://www.itgovernance.eu/blog/en/clearview-ai-insists-it-isnt-subject-to-gdpr-after-committing-several-privacy-breaches.由于該公司并未在歐盟或英國境內(nèi)設(shè)立任何機構(gòu)或可供執(zhí)行的財產(chǎn),上述行政執(zhí)法機構(gòu)不具備強制域外執(zhí)行的條件。

司法層面,國家間的法律沖突表現(xiàn)為一國法院適用具有域外效力的數(shù)據(jù)立法、強制域外數(shù)據(jù)控制或處理主體執(zhí)行具有域外效力的判決。不僅沖擊他國司法主權(quán),還可能導(dǎo)致不同法域的法律價值沖突。以Google Inc. v. CNIL案為例,法國國家信息與自由委員會根據(jù)GDPR賦予數(shù)據(jù)主體的“被遺忘權(quán)”要求谷歌公司刪除歐盟境外全球范圍內(nèi)的相關(guān)網(wǎng)頁鏈接,Google公司拒絕了該執(zhí)行令并被處以10萬歐元罰款。Google公司辯稱,域外執(zhí)行“被遺忘權(quán)”將嚴重侵犯國家主權(quán)原則、不干涉內(nèi)政原則和相稱性原則;過度保護個人數(shù)據(jù)權(quán)也可能侵犯他國公民的言論自由權(quán),甚至觸發(fā)他國的違憲審查。學界也質(zhì)疑了歐盟的做法,認為歐盟無權(quán)在歐盟境外世界范圍內(nèi)對個人數(shù)據(jù)保護與言論自由權(quán)進行權(quán)衡;有學者則擔憂其他國家和搜索引擎公司效仿歐盟做法,以數(shù)據(jù)保護為名限制言論自由,容易引發(fā)嚴重損害言論自由的“逐底競爭”(30)Christopher Wolf. Impact of the CJEU’ s Right to Be Forgotten[J].Maastricht Journal of European and Comparative Law, 2014,(3).。盡管歐盟法院最終妥協(xié),將被遺忘權(quán)的執(zhí)行范圍限于歐盟境內(nèi)。但一方面歐盟法院是從“地理封鎖”這一技術(shù)層面說明域內(nèi)執(zhí)行可達到保護個人數(shù)據(jù)權(quán)利的效果,刻意回避了域外執(zhí)行的合法性及合理性問題;另一方面其并未放棄域外執(zhí)行的主張,各成員國的司法機關(guān)或數(shù)據(jù)監(jiān)管機關(guān)依然有權(quán)以本國的基本人權(quán)標準個案判斷是否域外執(zhí)行被遺忘權(quán)。這表明歐盟依然在不遺余力地通過數(shù)據(jù)立法域外適用來推行歐盟的“數(shù)據(jù)帝國主義”(31)Oreste Pollicino. Data Protection and Freedom of Expression Beyond EU borders - EU Judicial Perspectives[A].Fabbrini F, et al. Data Protection Beyond Borders: Transatlantic Perspectives on Extraterritoriality and Sovereignty[C].New York: Hart Publishing, 2021:90～96.戰(zhàn)略。此外,一國法院適用域外效力的數(shù)據(jù)立法作出的判決,并不一定能得到外國法院的承認與執(zhí)行。被請求國在對外國判決進行司法審查時,首先會質(zhì)疑請求國法院依據(jù)“目的意圖準則”等行使司法管轄的合理性(32)Kurt Wimmer. Free Expression and EU Privacy Regulation: Can the GDPR Reach U.S. Publishers?[J].Syracuse Law Review, 2018,(3).;其次被請求國可以“公共政策例外”為由拒絕外國判決的承認與執(zhí)行。在Google Inc. v. Equustek Solutions Inc.案中,加拿大最高法院作出了要求Google公司在全球范圍內(nèi)刪除鏈接以阻止知識產(chǎn)權(quán)侵權(quán)行為的判決,Google公司隨即向美國加利福尼亞北區(qū)法院提出執(zhí)行異議。美國法院認為執(zhí)行判決將違反美國憲法第一修正案,Google公司無須在美國版本的搜索引擎中刪除相關(guān)鏈接,致使加拿大法院判決的域外執(zhí)行受阻。

2. 數(shù)據(jù)立法域外適用引發(fā)的國內(nèi)法與國際法沖突

前已述及,國際法是國家權(quán)力和國家利益在國際社會的法律表達,現(xiàn)行國際法雖然不是理想的產(chǎn)物,而是現(xiàn)實的回應(yīng),(33)熊玠.無政府狀態(tài)與世界秩序[M].杭州:浙江人民出版社,2001:3～4.但不可否認的是,國際法是一套需要國家遵守和服從的法律秩序。因此,國家基于數(shù)據(jù)主權(quán)的規(guī)制行為要受到該國接受的國際規(guī)則的約束,一國數(shù)據(jù)立法域外適用的行為需要經(jīng)過現(xiàn)行多雙邊國際條約的檢視。

數(shù)據(jù)調(diào)取層面,一國適用以“數(shù)據(jù)控制者準則”為基礎(chǔ)的數(shù)據(jù)立法,進行單邊數(shù)據(jù)跨境調(diào)取的行為,不僅侵犯了數(shù)據(jù)權(quán)屬國的專屬執(zhí)法管轄權(quán),還涉嫌違反以國家合意為支撐的雙邊司法合作機制的規(guī)定。以美歐間的數(shù)據(jù)跨境調(diào)取為例,美歐簽訂了《司法互助協(xié)議》(MLAT),未簽訂《云法案》框架下的“適格政府”雙邊執(zhí)法協(xié)議,但美國政府有理由無視美歐MLAT,直接憑借《云法案》要求數(shù)據(jù)控制者提供歐盟相關(guān)數(shù)據(jù)。這是因為《云法案》“免除數(shù)據(jù)控制者披露義務(wù)”的3個條件中并不包括MLAT優(yōu)先適用的情形(34)《云法案》規(guī)定,在同時滿足以下條件時,數(shù)據(jù)控制者可被免除披露境外數(shù)據(jù)的義務(wù):(1)數(shù)據(jù)控制者合理地相信披露義務(wù)將會導(dǎo)致其實質(zhì)性地違反“適格政府”的立法并因此產(chǎn)生法律沖突;(2)法院需綜合案件總體情況和司法公正利益決定是否足以駁回或更改搜查令;(3)數(shù)據(jù)控制者合理地認為搜查令針對的目標不是美國人且不居住在美國。;美國司法部僅認可外國政府獲取美國數(shù)據(jù)時MLAT的可適用性、并未反向明確MLAT的可適用性或優(yōu)先適用順位;況且,美國一直秉持著“數(shù)據(jù)控制者準則”構(gòu)成域內(nèi)執(zhí)法而非域外執(zhí)法的觀點。(35)U.S. Department of Justice. Promoting Public Safety, Privacy, and the Rule of Law Around the World: The Purpose and Impact of the CLOUD Act, White Paper[EB/OL].https://www.justice.gov/opa/press-release/file/1153446/download.美國單方跨境調(diào)取歐盟數(shù)據(jù)的行為,一則明顯違反GDPR第48條非經(jīng)互惠不得跨境轉(zhuǎn)移數(shù)據(jù)的規(guī)定,構(gòu)成上文所謂的國家間法律沖突;二則《云法案》的規(guī)定明顯違背美歐MLAT的個人數(shù)據(jù)保護標準和程序要求。首先,數(shù)據(jù)最小化原則的適用范圍較窄,僅適用于美國居民的數(shù)據(jù),美歐MLAT的規(guī)定則涵蓋美國與非美國居民的數(shù)據(jù)、數(shù)據(jù)主體可獲取的所有數(shù)據(jù)和與調(diào)查無關(guān)的數(shù)據(jù)。其次,《云法案》下數(shù)據(jù)主體的救濟權(quán)僅限于違反《存儲通信法案》(Stored Communication Act, SCA)下的民事司法救濟,達不到美歐MLAT下充分保障數(shù)據(jù)主體的行政救濟權(quán)和司法救濟權(quán)的要求。復(fù)次,《云法案》賦予了美國執(zhí)法機關(guān)依據(jù)調(diào)查令單方面調(diào)取境外數(shù)據(jù)的權(quán)力,并不要求數(shù)據(jù)控制者或美國執(zhí)法機關(guān)向數(shù)據(jù)權(quán)屬國行使告知義務(wù),特別在美國執(zhí)法機關(guān)向數(shù)據(jù)控制者發(fā)布禁止披露命令時,數(shù)據(jù)權(quán)屬國的數(shù)據(jù)出境知情權(quán)得不到保障,違反了美歐MLAT的程序規(guī)定。(36)U.S.-EU Agreement on the Protection of Personal Information Relating to the Prevention, Investigation, Detection, and Prosecution of Criminal Offences, Art. 5, 8, 18, 19; Paul M. Schwartz. Legal Access to the Global Cloud[J].Columbia Law Review, 2018,(6); Eleni Kyriakides. The CLOUD Act, E-Evidence, and Individual Rights[J].European Data Protection Law Review, 2019,(1).歐盟完全可訴諸MLAT自身的爭端解決機制解決上述爭議。余外,美國與有關(guān)國家簽署的“適格政府”雙邊執(zhí)法協(xié)議也具有國際法上的不法性,經(jīng)美國認定的“適格政府”可借助此協(xié)議要求美國企業(yè)提供其存儲在第三國的數(shù)據(jù),這顯然與“非經(jīng)第三國同意,條約對第三國無法律拘束力”的條約法精神不符。

數(shù)字貿(mào)易層面,一國數(shù)據(jù)跨境傳輸工具的域外適用易與他國產(chǎn)生管轄競合和規(guī)范溢出,他國要么反向制定數(shù)據(jù)本地化措施,要么跟風制定有條件的數(shù)據(jù)跨境傳輸規(guī)則,均產(chǎn)生限制數(shù)據(jù)跨境自由流動的效果。數(shù)據(jù)跨境流動限制性措施涉嫌構(gòu)成國際貿(mào)易投資法框架下的貿(mào)易壁壘和投資壁壘,受到國際貿(mào)易投資法的規(guī)制。在WTO框架下,WTO的爭端解決機構(gòu)可通過“技術(shù)中立”原則將成員國限制數(shù)據(jù)跨境流動的措施納入GATS的管轄范圍,并根據(jù)成員國的具體承諾個案認定貿(mào)易壁壘的存在。(37)WTO Panel Report, United States-Measures Affecting the Cross-Border Supply of Gambling and Betting Services, WT/DS285/R, para. 6. 285.在FTA下,以CPTPP、USMCA、DEPA為代表的新近自由貿(mào)易協(xié)議定基本以數(shù)據(jù)跨境自由流動為原則,例如CPTPP第14.11.2條規(guī)定“每一締約方應(yīng)當允許以電子方式進行跨境信息傳輸,包括個人信息”,“應(yīng)當”的措辭為締約方施加了具有法律約束力的強制性義務(wù);對數(shù)字貿(mào)易壁壘的界定亦有從邊境措施向境內(nèi)限制措施擴展的趨勢,(38)彭岳.數(shù)字貿(mào)易治理及其規(guī)制路徑[J].比較法研究,2021,(4).這將導(dǎo)致締約方采取的數(shù)據(jù)跨境流動限制性措施更容易違反上述FTA的規(guī)定。在IIAs下,跨境流動涉及的數(shù)據(jù)可能構(gòu)成IIAs項下的適格投資,因此,一國針對數(shù)據(jù)跨境流動的限制措施可能構(gòu)成投資壁壘,或涉嫌違反國民待遇、公平公正待遇或禁止征收條款,并觸發(fā)國際投資爭端解決程序。盡管締約方可援引一般例外條款、安全例外條款或FTA下的合法公共政策目標例外條款免責,但一方面,參照WTO的爭端解決實踐經(jīng)驗,締約方的數(shù)據(jù)跨境流動限制性措施(特別是數(shù)據(jù)本地化措施)較難通過“必要性測試”等要件的審查;(39)譚觀福.數(shù)字貿(mào)易規(guī)制的免責例外[J].河北法學,2021,(6);張倩雯.數(shù)據(jù)跨境流動之國際投資協(xié)定例外條款的規(guī)制[J].法學,2021,(5).另一方面,例外條款的內(nèi)涵模糊,并不能為締約方的限制性措施提供足夠的法律確定性。在國際貿(mào)易投資法下探討數(shù)據(jù)跨境流動的規(guī)制,將始終存在著國家實現(xiàn)公共利益或合法政策目標與實行貿(mào)易投資保護主義的區(qū)分難題,(40)Anupam Chander, Uyen P. Le. Data Nationalism[J].Emory Law Review, 2015,(3).以及促進貿(mào)易投資自由化與保障國家數(shù)據(jù)規(guī)制主權(quán)的平衡問題。

(二)數(shù)據(jù)立法域外適用引發(fā)法律沖突的成因

1. 傳統(tǒng)管轄權(quán)理論劃定數(shù)據(jù)立法邊界的水土不服

傳統(tǒng)國際法理論根據(jù)管轄依據(jù)的不同將國家管轄權(quán)分為屬地管轄、屬人管轄、保護性管轄和普遍管轄。屬地管轄原則在界定國家主權(quán)范圍上起到基礎(chǔ)性控制作用,各國一般通過物理空間的地域關(guān)聯(lián)劃定其國內(nèi)法的效力邊界。但大數(shù)據(jù)與云計算技術(shù)的應(yīng)用實質(zhì)上在地域之外創(chuàng)設(shè)出一個虛擬的網(wǎng)絡(luò)空間。在這一空間,數(shù)據(jù)的流動呈現(xiàn)出瞬時性、無界性和全球性,數(shù)據(jù)全生命周期下的數(shù)據(jù)活動包括數(shù)據(jù)收集、存儲、加工、使用、共享、刪除、銷毀等數(shù)據(jù)處理各個流程,豐富多樣的數(shù)據(jù)活動增大了同一數(shù)據(jù)與多個地域產(chǎn)生聯(lián)結(jié)的可能性,以傳統(tǒng)屬地管轄原則進行追索必然帶來管轄權(quán)的沖突;在數(shù)據(jù)流動過程中,也難以確定數(shù)據(jù)的收集者、傳輸者或使用者等數(shù)據(jù)活動參與者,主張傳統(tǒng)屬人管轄原則將導(dǎo)致管轄權(quán)的不確定。在此背景下,國家只能立足其域內(nèi)側(cè)面、在傳統(tǒng)管轄權(quán)理論的基礎(chǔ)上擴張或衍生新的管轄權(quán)內(nèi)涵。固守屬地主義的保守型管轄權(quán)體系已逐漸為進取型管轄權(quán)體系所取代。(41)宋杰.進取型管轄權(quán)體系的功能及其構(gòu)建[J].上海對外經(jīng)貿(mào)大學學報,2020,(5).但如前所述,各國對數(shù)字時代的管轄權(quán)內(nèi)涵莫衷一是,數(shù)據(jù)立法管轄權(quán)的非排他性和重疊性引發(fā)數(shù)據(jù)主權(quán)的碰撞與沖突。

2. 國際法協(xié)調(diào)數(shù)據(jù)立法域外適用沖突的規(guī)則赤字

國際法不禁止數(shù)據(jù)立法的域外適用,但缺乏統(tǒng)一和協(xié)調(diào)數(shù)據(jù)立法域外適用沖突的約束性國際規(guī)則,加劇了各國數(shù)據(jù)立法域外適用的競爭與沖突。1927年“荷花號案”判決通常被視為討論國內(nèi)法域外適用國際合法性的出發(fā)點。國際常設(shè)法院指出,只要國際法未明確禁止,“國家可以按其認為的最佳方式發(fā)展域外適用規(guī)則”(42)Permanent Court of International Justice, Series A: collection of judgments (1923～1930) , The Case of the S.S. “Lotus”, France v.Turkey, p.18.。聯(lián)合國國際法委員會報告亦肯定了國際法賦予國內(nèi)法域外適用的能動空間。(43)United Nations General Assembly. Report of the International Law Commission-Fifty-eighth Session[EB/OL].https://legal.un.org/ilc/documentation/english/reports/a_61_10.pdf.但國內(nèi)法的域外適用不得過度擴張,應(yīng)受到實際聯(lián)系原則、反域外適用推定原則和國際禮讓原則等的限制。(44)Bruno Simma, Andreas Th. Müller. Exercise and Limits of Jurisdiction[A].James Crawford & Martti Koskenniemi. The Cambridge Companion to International Law[C].Cambridge: Cambridge University Press, 2012:153～154; American Fourth Restatement of Foreign Relations Law, §404 & 405; Andrew Woods. Litigating Data Sovereignty[J].Yale Law Journal,2018,(2).然而,就涉及數(shù)據(jù)跨境流動和個人信息保護的規(guī)制而言,迄今尚未形成廣泛認可的和具有約束力的、協(xié)調(diào)域外適用沖突的國際規(guī)則。在數(shù)據(jù)規(guī)制路徑下,中美歐三大數(shù)字經(jīng)濟體對個人數(shù)據(jù)保護、數(shù)據(jù)跨境流動的規(guī)制理念迥異,短期內(nèi)達成綜合性國際數(shù)據(jù)條約的可能性不大;在貿(mào)易規(guī)制路徑下,數(shù)據(jù)規(guī)制與傳統(tǒng)貿(mào)易協(xié)定的價值取向并不完全匹配,仍需要各國在WTO開放式諸邊談判和FTA中進一步探索解決方案。是故,在國際法尚未對國內(nèi)法域外適用做過多限制以及多邊主義難以達到規(guī)制效果的情形下,主權(quán)國家數(shù)據(jù)立法域外適用引發(fā)的法律沖突難以得到妥善協(xié)調(diào)。

3. 國家利益競爭和國際話語權(quán)爭奪為沖突根源

國家間數(shù)據(jù)立法的域外適用及由此引發(fā)的法律沖突,究其根源,在于數(shù)字經(jīng)濟背景下國家間的利益競爭與國際話語權(quán)爭奪。歐盟擴張其立法域外適用范圍的動機不僅源于全面保護數(shù)據(jù)主體權(quán)利,還在于通過保護的一致性拉平歐盟內(nèi)外企業(yè)的競爭條件、向全球推廣歐盟規(guī)則范式,最終引領(lǐng)和塑造符合歐盟價值觀與利益的國際規(guī)則(45)European Commission. An EU Strategy on Standardisation Setting Global Standards in Support of a Resilient, Green and Digital EU Single Market[EB/OL].https://ec.europa.eu/docsroom/documents/48598; European Commission. A EU Strategy for Data[EB/OL].https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52020DC0066.;美國作為數(shù)字產(chǎn)業(yè)大國,其擴張域外管轄權(quán),一則可助力其進一步搶占全球數(shù)據(jù)市場,發(fā)揮美國企業(yè)“監(jiān)控資本主義”的優(yōu)勢,(46)監(jiān)控資本主義(Surveillance Capitalism)是美國學者肖莎娜·祖博夫提出的一個政治經(jīng)濟學概念,其是指企業(yè)通過廣泛監(jiān)控和收集互聯(lián)網(wǎng)用戶數(shù)據(jù)、建立相應(yīng)模型計算出用戶商業(yè)和政治行為預(yù)期的“預(yù)期產(chǎn)品”,最終將“預(yù)期產(chǎn)品”出售獲得經(jīng)濟利益和實現(xiàn)政治操控的商業(yè)模式。典型的監(jiān)控資本主義企業(yè)包括美國的Acxiom公司、Google公司和Facebook公司。在信息時代,監(jiān)視資本主義企業(yè)已成為新帝國主義鞏固全球霸權(quán)、強化金融壟斷、打擊競爭對手、傳播意識形態(tài)的重要工具。See Shoshana Zuboff. Big Other: Surveillance Capitalism and the Prospects of an Information Civilization[J].Journal of Information Technology,2015,(1);符豪.21世紀美國左翼學者對監(jiān)視資本主義的批判研究[J].馬克思主義與現(xiàn)實,2020,(5).二則有利于提升其在數(shù)字領(lǐng)域的國際主導(dǎo)地位、增強其在網(wǎng)絡(luò)執(zhí)法合作領(lǐng)域的話語權(quán)和規(guī)則制定權(quán)。與美歐相比,俄羅斯和印度數(shù)據(jù)立法仍以屬地管轄為原則,數(shù)據(jù)立法的域外適用范圍相對限縮,兩國主要通過數(shù)據(jù)存儲和處理本地化規(guī)則解決數(shù)據(jù)治理與本地執(zhí)法問題,目的在于維護國家安全、預(yù)防網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)制裁及發(fā)展本國數(shù)字產(chǎn)業(yè)。(47)孫祁,尤利婭·哈里托諾娃.數(shù)據(jù)主權(quán)背景下俄羅斯數(shù)據(jù)跨境流動的立法特點及趨勢[J].俄羅斯研究,2022,(2);邱靜.數(shù)據(jù)規(guī)則的國內(nèi)構(gòu)建、國際競爭和協(xié)調(diào)[J].安徽師范大學學報(人文社會科學版),2023,(1).可見,國家利益和國際話語權(quán)深刻影響著國內(nèi)法與國際法的形塑。

四、解決數(shù)據(jù)立法域外適用法律沖突的中國方案

我國數(shù)字經(jīng)濟規(guī)模位列全球第二,(48)中國國家互聯(lián)網(wǎng)信息辦公室.數(shù)字中國發(fā)展報告[EB/OL].http://www.cac.gov.cn/2023-05/22/c_1686402318492248.htm?eqid=f94447d600003c3500000003646d59b5#.這一數(shù)字背后既反映了中國數(shù)據(jù)產(chǎn)業(yè)的強大實力,又對我國個人數(shù)據(jù)保護、數(shù)據(jù)跨境流動和數(shù)據(jù)跨境調(diào)取等領(lǐng)域的數(shù)據(jù)治理提出更高要求。在國際數(shù)據(jù)治理的規(guī)范和制度供給赤字的背景下,為維護我國國家安全和網(wǎng)絡(luò)主權(quán)、充分保護個人數(shù)據(jù)權(quán)利和參與國際數(shù)據(jù)市場的良性競爭,我國存在推動數(shù)據(jù)立法域外適用的現(xiàn)實需求。目前,我國《個人信息保護法》和《數(shù)據(jù)安全法》已包含域外適用范圍條款、數(shù)據(jù)跨境傳輸規(guī)則、法律責任條款和阻斷條款,(49)《個人信息保護法》第3條、第38～43條、第66～71條;《數(shù)據(jù)安全法》第2條、第31條、第36條、第44～52條。可見我國已基本完成數(shù)據(jù)立法域外適用的頂層設(shè)計,并以《阻斷外國法律與措施不當域外適用辦法》為配套作為應(yīng)對域外適用沖突的主要工具。然而,數(shù)據(jù)立法的域外適用具有一體兩面性,其本質(zhì)是一國數(shù)據(jù)主權(quán)權(quán)力的擴張,必然導(dǎo)致他國數(shù)據(jù)主權(quán)權(quán)力的消減,進而造成與他國數(shù)據(jù)主權(quán)權(quán)力的沖突。在擴張、沖突、反制的反復(fù)博弈下,國家數(shù)據(jù)主權(quán)力量有望達成新的平衡并塑造出普遍認可的國際數(shù)據(jù)治理規(guī)則體系。換言之,數(shù)據(jù)立法域外適用的沖突過程與國際造法過程高度耦合。因此,中國應(yīng)在更全面的、涉外法治國際法治的互動視角下考量數(shù)據(jù)立法域外適用沖突的解決方案,既堅持國家本位路徑,又符合國際法治精神與網(wǎng)絡(luò)空間命運共同體理念,最終引領(lǐng)全球數(shù)據(jù)治理的國際造法和國際秩序構(gòu)建。

(一)單邊層面:構(gòu)建攻防兼?zhèn)涞臄?shù)據(jù)立法域外適用制度

黨的二十大報告指出,“加強重點領(lǐng)域、新興領(lǐng)域、涉外領(lǐng)域立法”(50)習近平.高舉中國特色社會主義偉大旗幟 為全面建設(shè)社會主義現(xiàn)代化國家而團結(jié)奮斗——在中國共產(chǎn)黨第二十次全國代表大會上的報告[EB/OL].http://www.news.cn/politics/cpc20/2022-10/25/c_1129079429.htm.。構(gòu)建數(shù)據(jù)立法域外適用制度,屬于二十大報告中所謂重點領(lǐng)域、新興領(lǐng)域、涉外領(lǐng)域立法的題中之義。目前,國際社會對數(shù)據(jù)立法域外適用的邊界尚無定論。當他國主張數(shù)據(jù)立法的不當域外適用,特別是以“數(shù)據(jù)控制者準則”為依據(jù)進行數(shù)據(jù)跨境執(zhí)法調(diào)取時,阻斷立法不失為一國所能采取的最直接的辦法。我國的《國際刑事司法協(xié)助法》第4條、《個人信息保護法》第41條至第43條、《數(shù)據(jù)安全法》第26條和《阻斷外國法律與措施不當域外適用辦法》為阻斷和反制提供了法律依據(jù)。但一方面我國阻斷立法缺乏實施細則和實際處罰案例,難以作為我國企業(yè)抗辯他國單邊數(shù)據(jù)跨境執(zhí)法調(diào)取要求的有力支撐,另一方面我國應(yīng)審慎采取阻斷立法和反制措施?！耙匝肋€牙”的方式使各國陷入零和博弈的困境,容易引發(fā)新一輪法律與外交沖突,還可能加劇數(shù)據(jù)處理者同時違反兩國法律的雙重風險。

與“防守型”的阻斷立法相對,我國還應(yīng)采取“進攻型”的應(yīng)對策略,以更加精細化和靈活化的方式提升數(shù)據(jù)立法的域外適用性,為數(shù)據(jù)跨境的有序治理提供制度保障。在我國完成粗線條立法后,各部委及地方政府應(yīng)加快出臺實施細則和地方條例的步伐。首先,可根據(jù)條款所涉法益的區(qū)別,劃定差異化的域外適用范圍。例如,數(shù)據(jù)主體權(quán)益保護層面的條款,可依據(jù)較低程度聯(lián)系對數(shù)據(jù)控制或處理者實施域外管轄;行政管理義務(wù)層面的條款,可在聯(lián)系達到顯著程度時再實施域外管轄,細化數(shù)據(jù)規(guī)則域外適用范圍的顆粒度。其次,就數(shù)據(jù)跨境傳輸規(guī)則而言,我國網(wǎng)信辦出臺了《個人信息出境標準合同辦法》及標準合同范本,明確將準據(jù)法限定為“中華人民共和國相關(guān)法律法規(guī)”,但合同雙方可就合同糾紛選擇境外仲裁機構(gòu)進行仲裁,體現(xiàn)出我國數(shù)據(jù)跨境流動規(guī)則域外適用和司法管轄的合法性與合理性。然而,我國現(xiàn)存的數(shù)據(jù)跨境傳輸工具存在功能與內(nèi)容交叉重疊的問題?？稍诤罄m(xù)立法中針對不同的數(shù)據(jù)跨境傳輸風險需求,匹配不同的數(shù)據(jù)跨境傳輸工具。例如,利用數(shù)據(jù)出境安全評估應(yīng)對外國政府強制跨境調(diào)取數(shù)據(jù)的安全風險,標準合同應(yīng)對數(shù)據(jù)接收方的違約責任風險,專業(yè)機構(gòu)認證應(yīng)對外部網(wǎng)絡(luò)攻擊造成的技術(shù)漏洞風險等。(51)趙精武.論數(shù)據(jù)出境評估、合同與認證規(guī)則的體系化[J].行政法學研究,2023,(1).再者,我國應(yīng)注重國內(nèi)跨境流動限制性措施與國際法的協(xié)調(diào)。比如我國對個人信息和重要數(shù)據(jù)的本地存儲要求,及數(shù)據(jù)出境安全評估制度可能無法通過國際經(jīng)貿(mào)投資協(xié)定的壓力測試。對此,國內(nèi)立法上我國可訂立負面清單,規(guī)定透明度條款、非歧視條款,進一步厘清重要數(shù)據(jù)的范圍和出境要求,做到有法可依;國際立法上我國可主導(dǎo)國際經(jīng)貿(mào)投資協(xié)定的成員國就例外條款的適用范圍、測試要件的可操作性等方面達成共識,以便我國在兼顧數(shù)據(jù)跨境流動安全與發(fā)展利益的同時,避免與現(xiàn)行國際規(guī)則相矛盾。

(二)雙邊層面:加強數(shù)據(jù)領(lǐng)域域外執(zhí)法司法的雙邊國際合作與國際禮讓

單邊執(zhí)行和適用具有域外效力的數(shù)據(jù)立法,將造成現(xiàn)實法律沖突,甚至引發(fā)國際糾紛,迫切需要各國理性應(yīng)對。因此,我國行使執(zhí)法和司法管轄權(quán)時應(yīng)展現(xiàn)數(shù)據(jù)主權(quán)的謙抑性,以國際合作和國際禮讓原則為基礎(chǔ),(52)國際禮讓原則是國際私法領(lǐng)域的一項基本原則,但其內(nèi)涵具有靈活性和不確定性。一般是指一國對外國政府行為的認可,和一國主動限制國內(nèi)法的域外適用以尊重他國主權(quán)利益。國際禮讓原則的適用主要體現(xiàn)為承認外國國家主權(quán)豁免、承認與執(zhí)行外國法院的判決等。一國法院適用國際禮讓原則時會對本國利益與外國利益進行權(quán)衡判斷。參見曹亞偉.國內(nèi)法域外適用的沖突及應(yīng)對——基于國際造法的國家本位解釋[J].河北法學,2020,(12).實現(xiàn)管轄權(quán)域外行使與尊重他國數(shù)據(jù)主權(quán)的平衡。這是主權(quán)博弈下協(xié)同治理的相對“最優(yōu)”選擇。(53)張新民,張稷鋒.網(wǎng)絡(luò)法域外適用的法理闡釋:概念、邏輯與原則[J].太平洋學報,2022,(12).首先,我國在《全球數(shù)據(jù)安全倡議》中明確提出,我國對境外數(shù)據(jù)的調(diào)取通過國際合作機制實現(xiàn),并未將執(zhí)法權(quán)限單邊延伸至境外,凸顯了我國對他國主權(quán)的尊重。但傳統(tǒng)的執(zhí)法合作與MLAT機制逐漸暴露出缺乏穩(wěn)定的調(diào)取標準和快捷的調(diào)取流程的弊端,難以適應(yīng)數(shù)據(jù)跨境調(diào)取的現(xiàn)實需求。對此,我國應(yīng)結(jié)合電子數(shù)據(jù)的特點有針對性地改造升級傳統(tǒng)的執(zhí)法合作與MLAT機制。例如簡化官文傳遞手續(xù)、明確響應(yīng)與取證的時限要求、統(tǒng)一調(diào)取標準和適用、允許文書證據(jù)在線傳輸和證人證言視頻取證,(54)中國與東盟國家已建立起警務(wù)合作機制共同打擊跨境電信網(wǎng)絡(luò)詐騙犯罪。參見王立梅.論跨境電子證據(jù)司法協(xié)助簡易程序的構(gòu)建[J].法學雜志,2020,(3);梁坤.我國跨境刑事電子取證制度新發(fā)展與前瞻[J].中國信息安全,2021,(5).確立以協(xié)商為基礎(chǔ)的爭議解決條款,必要時推動境內(nèi)外雙方執(zhí)法者的直接合作。其次,可基于國際禮讓原則允許外國政府或個人請求調(diào)取存儲在我國的數(shù)據(jù)。與美國《云法案》以美國利益為優(yōu)先、跨境調(diào)取條件非對等、保留充分自由裁量權(quán)的“國際禮讓分析”不同,我國應(yīng)構(gòu)建起對等的、層次分明的外國政府數(shù)據(jù)跨境調(diào)取審核機制。對國家核心數(shù)據(jù)和行業(yè)重要數(shù)據(jù)的跨境調(diào)取設(shè)置嚴格的審批程序,對其他數(shù)據(jù)的跨境調(diào)取,我國應(yīng)在不損害數(shù)據(jù)主權(quán)與安全的前提下,盡可能尊重和承認他國的數(shù)據(jù)主權(quán)與正當請求。再者,我國法院應(yīng)充分發(fā)揮跨國司法權(quán),(55)霍政欣.論全球治理體系中的國內(nèi)法院[J].中國法學,2018,(3).在適用和解釋具有域外效力的數(shù)據(jù)立法時遵循合理原則,在闡釋相關(guān)法律的域外適用邊界時對本國利益、他國利益和國際社會共同利益進行價值平衡。在承認與執(zhí)行判決時,一方面可依據(jù)“市場主權(quán)”理論,借助境外主體對我國廣闊數(shù)據(jù)市場的依賴,加強我國司法判決對境外主體的可執(zhí)行性。(56)王雪,石巍.個人數(shù)據(jù)域外管轄權(quán)的擴張及中國進取型路徑的構(gòu)建[J].河南社會科學,2022,(5).另一方面,應(yīng)以多雙邊條約或互惠原則為依據(jù),承認與執(zhí)行外國法院依據(jù)具有域外效力的數(shù)據(jù)立法作出的判決。必要時利用管轄權(quán)審查和公共政策審查,阻卻他國不當?shù)挠蛲馑痉ü茌牎?/p>

(三)多邊層面:引領(lǐng)數(shù)據(jù)流動的多邊規(guī)則構(gòu)建和全球治理

國家間基于數(shù)據(jù)立法域外適用的法律沖突和博弈對抗最終將導(dǎo)致數(shù)據(jù)治理的碎片化和國際社會在虛擬網(wǎng)絡(luò)空間的“無秩序狀態(tài)”。因此,從長遠來看,破解數(shù)據(jù)立法域外適用沖突的理想方案是,各國在多邊層面達成共識、形成統(tǒng)一的數(shù)據(jù)治理國際規(guī)則體系。首先,國際貿(mào)易投資協(xié)定應(yīng)作為數(shù)據(jù)跨境流動和個人信息保護的規(guī)制框架。數(shù)據(jù)跨境流動是開展數(shù)字貿(mào)易的前提,(57)譚觀福.數(shù)字貿(mào)易中跨境數(shù)據(jù)流動的國際法規(guī)制[J].比較法研究,2022,(3).但各國對數(shù)據(jù)跨境流動的限制性措施會產(chǎn)生域外適用效應(yīng),也可能構(gòu)成貿(mào)易壁壘,最終阻礙數(shù)字貿(mào)易的發(fā)展。在全球化面臨脫鉤的背景下,強調(diào)數(shù)字自由貿(mào)易具有重要意義。盡管WTO協(xié)定目前尚無專門針對數(shù)字貿(mào)易的規(guī)定,但該路徑奉行多邊主義理念、以非歧視待遇為基石、具有規(guī)制協(xié)調(diào)和爭端解決的權(quán)力與經(jīng)驗,有望開展最廣泛融合國際主體和共性認知的數(shù)據(jù)流動治理。近年來,WTO正積極推進“電子商務(wù)聯(lián)合聲明倡議”的開放式諸邊談判,談判成果有望基于最惠國待遇擴及WTO全體成員并最終達成多邊化。(58)石靜霞.世界貿(mào)易組織談判功能重振中的“聯(lián)合聲明倡議”開放式新諸邊模式[J].法商研究,2022,(5).我國應(yīng)在諸邊談判中發(fā)揮引領(lǐng)作用,以尊重各國數(shù)據(jù)主權(quán)為底線,以安全、自由的數(shù)據(jù)跨境流動為導(dǎo)向,以FTA的規(guī)則設(shè)計為借鑒,促進數(shù)據(jù)流動規(guī)制的國際協(xié)調(diào)。我國還應(yīng)特別考慮發(fā)展中國家的訴求,為發(fā)展中國家和最不發(fā)達國家爭取特殊但有區(qū)別的待遇,縮小數(shù)字鴻溝。

此外,對數(shù)據(jù)流動的規(guī)制和治理不能僅限于數(shù)字貿(mào)易維度。由數(shù)據(jù)流動引發(fā)的個人信息保護、國家安全、域外司法執(zhí)法管轄等非貿(mào)易關(guān)切,需要各國在更廣闊的平臺探索構(gòu)建數(shù)據(jù)流動的全球治理方案。中國一直以來是多邊主義的踐行者,堅定維護以聯(lián)合國為核心的國際體系。(59)習近平.高舉中國特色社會主義偉大旗幟 為全面建設(shè)社會主義現(xiàn)代化國家而團結(jié)奮斗——在中國共產(chǎn)黨第二十次全國代表大會上的報告[EB/OL].http://www.news.cn/politics/cpc20/2022-10/25/c_1129079429.htm.聯(lián)合國框架下的信息安全政府專家組(UN GGE)和開放式工作組(OEWG)是討論網(wǎng)絡(luò)空間國際規(guī)則的重要平臺。作為數(shù)據(jù)資源大國和負責任大國,中國關(guān)于保障供應(yīng)鏈開放、穩(wěn)定和安全的主張已被納入UN GGE的共識性報告中。(60)Group of Governmental Experts on Advancing Responsible State Behaviour in Cyberspace in the Context of International Security. Report of the Group of Governmental Experts on Advancing Responsible State Behaviour in Cyberspace in the Context of International Security[EB/OL].https://front.un-arm.org/wp-content/uploads/2021/08/A_76_135-2104030E-1.pdf; Open-ended Working Group on Developments in the Field of Information and Telecommunications in the Context of International Security. China’s Submissions to the Open-ended Working Group on Developments in the Field of Information and Telecommunications in the Context of International Security[EB/OL].https://front.un-arm.org/wp-content/uploads/2019/09/china-submissions-oewg-en.pdf.中國可延續(xù)此路徑向上述平臺提出其他數(shù)據(jù)治理議題和推行中國方案。盡管短期內(nèi)各國恐難達成規(guī)范性共識,但各國政府、國際組織和互聯(lián)網(wǎng)企業(yè)可以在價值理念、基本原則層面等保持談判溝通和凝聚共識,攜手推進數(shù)據(jù)流動的全球治理進程。

結(jié) 語

隨著數(shù)字經(jīng)濟與云計算技術(shù)的發(fā)展,世界各國基于數(shù)據(jù)主權(quán)和數(shù)據(jù)利益不斷加大博弈的范圍與強度。數(shù)據(jù)立法的域外適用已愈演愈烈,數(shù)據(jù)立法域外適用契合了國家的數(shù)據(jù)治理理念和數(shù)據(jù)規(guī)制需求,但立足國家本位的域外適用難免引發(fā)國家間的法律沖突。其中,立法沖突表現(xiàn)為廣泛的管轄競合,執(zhí)法沖突削弱國家間的政治與法律互信和影響域外執(zhí)法的可執(zhí)行性,司法沖突體現(xiàn)為不同法域間的法律價值之爭和判決的域外執(zhí)行受阻。數(shù)據(jù)立法的域外適用一定程度上也涉嫌違反雙邊協(xié)定的國家合意與多邊條約的目的宗旨,造成國內(nèi)法與國際法的沖突。這主要與數(shù)字時代傳統(tǒng)管轄權(quán)理論的式微、國際法協(xié)調(diào)數(shù)據(jù)立法域外適用沖突的規(guī)則赤字和國家利益與國際話語權(quán)的爭奪有關(guān)。為有效解決數(shù)據(jù)立法域外適用引發(fā)的雙層次法律沖突,中國應(yīng)加快構(gòu)建攻防兼?zhèn)涞臄?shù)據(jù)立法域外適用制度。此外,以網(wǎng)絡(luò)空間命運共同體思想為引領(lǐng)的國際合作機制是“化沖突為共贏”的根本出路。建議中國推動多雙邊司法協(xié)助條約的制定與升級,充分運用國際禮讓原則處理域外執(zhí)法與司法沖突,在以WTO為核心的國際貿(mào)易治理框架下推動數(shù)據(jù)跨境流動等議題的談判,在聯(lián)合國框架下引領(lǐng)和推進全球數(shù)據(jù)治理進程。