季 燁 霍俊先

進入21 世紀以來, 隨著大數(shù)據(jù)、 云計算和云儲存的飛速發(fā)展, 數(shù)字經(jīng)濟勃然興起, 產(chǎn)業(yè)數(shù)字化和數(shù)字產(chǎn)業(yè)化趨勢明顯, 同時也催生了海量數(shù)據(jù)資源。這些兼具人格權(quán)和財產(chǎn)權(quán)屬性的數(shù)據(jù)通過網(wǎng)絡(luò)空間在全球范圍內(nèi)流動, 不可避免地會產(chǎn)生與數(shù)據(jù)安全和數(shù)據(jù)保護相關(guān)的法律問題。 加之網(wǎng)絡(luò)空間具有全球性、 無界性和虛擬性的特征, 國家主權(quán)的非物理空間范圍呈現(xiàn)出明顯的去領(lǐng)土化趨勢, 法律適用問題突顯。

傳統(tǒng)法律管轄理論與實踐認為, 主權(quán)國家一般只能對其領(lǐng)土內(nèi)的人、 事、 物享有管轄權(quán)。 但新興的網(wǎng)絡(luò)空間對傳統(tǒng)管轄造成了較大的挑戰(zhàn)和沖擊。傳統(tǒng)以屬地和屬人為標準的管轄難以對數(shù)據(jù)跨境流動進行較好的規(guī)制與保護, 數(shù)據(jù)保護法的域外效力問題成為數(shù)據(jù)治理不可回避的議題。 法律的域外效力是指一國法律對發(fā)生在其領(lǐng)土之外的事項具有約束力和保障力, 數(shù)據(jù)保護法的域外效力則是指通過一國的國內(nèi)法對域外影響該國安全和利益的數(shù)據(jù)因素進行規(guī)制, 并對相關(guān)的域外數(shù)據(jù)活動、 主體、 權(quán)益等予以保障。 在網(wǎng)絡(luò)空間下, 一國國內(nèi)法應(yīng)當如何應(yīng)對, 以延伸數(shù)據(jù)保護法的效力至域外從而保護本國的數(shù)據(jù)安全與利益, 就成為重要而緊迫的時代命題, 也是當下全球數(shù)據(jù)治理的核心議題。

黨的二十大報告指出, 中國秉持“共商共建共享”的治理觀參與全球治理體系改革和建設(shè), 加強新興領(lǐng)域和涉外領(lǐng)域立法, 統(tǒng)籌推進國內(nèi)法治和涉外法治, 并表示愿同世界各國攜手構(gòu)建人類命運共同體。 作為RCEP 的主要締約國, 中國積極參與并推動RCEP 的落地生效, 其理念及規(guī)則本身就反映了中國立場。 所以, RCEP 包容性合作共治的數(shù)據(jù)保護理念及規(guī)則可為我國數(shù)據(jù)保護域外效力體系的構(gòu)建提供價值引領(lǐng)和優(yōu)秀范本。

一、 數(shù)據(jù)保護法域外效力的現(xiàn)實需求

近代人類歷史上的每次科技革命都會引起法律的變革, 本次信息科技革命也不例外。 互聯(lián)網(wǎng)信息技術(shù)的發(fā)展不僅催生了網(wǎng)絡(luò)空間, 還加速了全球數(shù)字經(jīng)濟一體化進程, 數(shù)據(jù)依托信息技術(shù)在網(wǎng)絡(luò)空間跨境流動成為日常, 同時也產(chǎn)生了新的問題——如何保護已傳輸至域外的數(shù)據(jù), 這也是國際上所有社會成員必須正視的問題。 我國作為數(shù)字經(jīng)濟和技術(shù)大國, 數(shù)據(jù)治理處于起步階段, 在數(shù)據(jù)域外效力規(guī)則構(gòu)建上更是落后于我國數(shù)字經(jīng)濟與技術(shù)發(fā)展的層次與規(guī)模, 也與我國數(shù)字大國國際地位不相適應(yīng)。因此, 確立我國數(shù)據(jù)保護法的域外效力規(guī)則有著急迫的現(xiàn)實需求。

其一, 互聯(lián)網(wǎng)技術(shù)發(fā)展創(chuàng)立的網(wǎng)絡(luò)空間對傳統(tǒng)法律管轄的領(lǐng)土管轄原則提出了挑戰(zhàn)。 我國當前法律的空間效力范圍僅固守于主權(quán)領(lǐng)土領(lǐng)域, 并沒有拓展到國家主權(quán)領(lǐng)土范圍之外。 然而互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展, 沖破了領(lǐng)土這一物理分界, 進而衍生出了繼陸地、 海洋、 天空和外太空之外的第五空間——網(wǎng)絡(luò)空間。 在網(wǎng)絡(luò)空間中, 海量的數(shù)據(jù)資源在全球網(wǎng)絡(luò)上流動, 數(shù)字貿(mào)易在全球范圍內(nèi)進行,網(wǎng)絡(luò)運營者可在他國服務(wù)器上進行數(shù)據(jù)全生命階段的活動①數(shù)據(jù)的全生命階段包括數(shù)據(jù)的產(chǎn)生、 收集、 處理、 共享、 交易、 刪除等。。 數(shù)據(jù)治理和領(lǐng)土范圍的關(guān)聯(lián)性越來越小,使得以地理分界為標準對法律效力范圍進行劃分變得十分困難, 傳統(tǒng)管轄權(quán)的可操作性大大減弱, 且無法有效對無邊界網(wǎng)絡(luò)空間中的數(shù)據(jù)進行規(guī)制, 從而引發(fā)了數(shù)據(jù)保護域外效力問題。 對此行之有效的方法便是將國內(nèi)法的適用范圍延伸至域外, 即國內(nèi)法的域外適用。

其二, 域外效力是跨境流動中數(shù)據(jù)周延保護的需求。 數(shù)據(jù)是當前數(shù)字經(jīng)濟發(fā)展必不可少的因素, 同時也是一個國家的基礎(chǔ)戰(zhàn)略性資源, 跨境流動中的數(shù)據(jù)主要是指依托互聯(lián)網(wǎng)技術(shù)產(chǎn)生并運行的數(shù)據(jù)。 這些數(shù)據(jù)不僅類型豐富還具有多重價值: 從宏觀層級來說,關(guān)鍵領(lǐng)域所產(chǎn)生的重要數(shù)據(jù)涉及國家及公共安全; 從微觀層級來說, 個人數(shù)據(jù)在處理前涉及個人隱私, 處理后具有經(jīng)濟價值利益, 可謂兼具人格權(quán)和財產(chǎn)權(quán)雙重屬性。 即使這些數(shù)據(jù)按照合法途徑出境后也有可能出現(xiàn)被竊取、 被濫用的情形。 因此, 無論是從數(shù)據(jù)的全生命周期來看, 還是從數(shù)據(jù)交易流動的跨境性和完整性來講, 要實現(xiàn)對跨境流動數(shù)據(jù)的周延保護, 就必須建構(gòu)數(shù)據(jù)保護法的域外效力規(guī)則。

其三, 在國內(nèi)法體系中建構(gòu)合理的域外效力規(guī)則是RCEP 數(shù)據(jù)保護規(guī)則的一項必然要求。 RCEP作為區(qū)域性自貿(mào)協(xié)定, 其規(guī)則一般需由締約方轉(zhuǎn)化為國內(nèi)法而間接適用, 此時便需依靠各締約方對國內(nèi)法的相關(guān)規(guī)則進行修改, 以此對相關(guān)利益進行保護。 前提是國內(nèi)法規(guī)則不得違背RCEP 原則, 即國內(nèi)法域外效力規(guī)則的構(gòu)建應(yīng)當符合相關(guān)的國際法規(guī)則、 一般國際原則。 RCEP 明確要求各成員國完善法律體系, 建立個人信息保護的法律框架以保護個人信息及數(shù)據(jù), 這里的完善保護是指更好與更周延地保護數(shù)據(jù)及其活動, 而這必然包括數(shù)據(jù)保護法的域外效力保護。 我國作為RCEP 締約方, 應(yīng)當帶頭完善數(shù)據(jù)保護法的域外效力規(guī)則構(gòu)建, 落實條款所規(guī)定的義務(wù)。 因此, 我國數(shù)據(jù)保護法應(yīng)當依照RCEP 的要求完善數(shù)據(jù)保護體系, 建立域外效力規(guī)則, 且必須同RCEP 規(guī)則及理念相契合、 相協(xié)調(diào)。

二、 RCEP 數(shù)據(jù)保護條款的理念及其規(guī)則

數(shù)據(jù)保護法的域外效力規(guī)制問題, 既是國內(nèi)法需要直面的問題, 也是國際法無法回避的問題。 當前世界是不斷深入擴大開放的世界, 國家與國家、地區(qū)與地區(qū)之間的交往越來越密切頻繁。 相應(yīng)地,一國國內(nèi)法的域外效力規(guī)則建設(shè)應(yīng)當與國際或區(qū)域規(guī)則接軌。 目前, RCEP 是我國簽署的最高質(zhì)量自貿(mào)協(xié)定, 包含數(shù)據(jù)保護規(guī)則、 投資規(guī)則等。 據(jù)此,我國數(shù)據(jù)保護法域外效力規(guī)則在構(gòu)建與發(fā)展上應(yīng)當與RCEP 的理念規(guī)則相契合, 不僅要貫徹其理念,還要與其規(guī)則相協(xié)調(diào), 以使數(shù)據(jù)治理的中國方案獲得更好的國際法理支撐和更廣泛的域外實施基礎(chǔ)。

(一)RCEP 基本理念: 包容性合作共治

RCEP 屬于巨型區(qū)域自貿(mào)協(xié)定, 涵蓋國家類型多樣化, 包含新加坡、 日本等發(fā)達國家, 中國、 泰國等發(fā)展中國家, 以及緬甸、 柬埔寨等最不發(fā)達國家, 從2012 年啟動談判到2020 年正式簽署, 一直將“合作共治”理念貫徹談判始終。

RCEP 在序言中明確規(guī)定, 期望通過該協(xié)定推進經(jīng)濟合作, 尋求建立清晰且互利的規(guī)則以便利貿(mào)易和投資, 包括參與區(qū)域和全球供應(yīng)鏈, 同時顧及不同國家的發(fā)展水平以提供特殊的差別待遇, 在部分條款實施過程中設(shè)置緩沖期, 即某些不發(fā)達締約國可在協(xié)定生效之日起五年內(nèi)無須適用該條款的相關(guān)規(guī)定, 這實際上是對此類國家主權(quán)及數(shù)據(jù)安全的保護, 并以良好的治理和可預(yù)期、 透明而穩(wěn)定的商業(yè)環(huán)境促進經(jīng)濟效率提高和貿(mào)易與投資發(fā)展。 這些規(guī)定體現(xiàn)了RCEP 的基本理念, 即以包容性為基礎(chǔ)的合作共治原則。 “包容性”旨在照顧處于弱勢地位的國家、 企業(yè)和個人,尊重不同主體的多元訴求, 提倡兼容并包的全方位發(fā)展理念。 RCEP 的這一理念體現(xiàn)在其各個章節(jié)包括電子商務(wù)章節(jié)中, 電子商務(wù)章節(jié)第一節(jié)第二條規(guī)定, 這一章的目標是致力于為電子商務(wù)的使用創(chuàng)造一個信任和有信心的環(huán)境, 加強締約方在電子商務(wù)發(fā)展方面的合作; 第四條規(guī)定, 每一締約方應(yīng)當就電子商務(wù)面臨的挑戰(zhàn)和發(fā)展等五個方面開展合作,確定了締約方之間有針對性的合作領(lǐng)域, 以幫助締約方實施或者加強其電子商務(wù)法律框架。

(二)數(shù)據(jù)保護條款: 預(yù)留合作空間

RCEP 的數(shù)據(jù)保護規(guī)則主要體現(xiàn)于電子商務(wù)章節(jié), 以義務(wù)性條款為主, 權(quán)利性條款為輔。 其中,最為核心的義務(wù)當屬第八條第一款, 該款規(guī)定, 締約方應(yīng)采取措施, 制定完善的法律體系保護個人信息及數(shù)據(jù), 這實際上是賦予締約方的義務(wù), 即各締約方應(yīng)當建立對個人信息保護的法律規(guī)則體系, 以便更好地保障數(shù)據(jù)主體的權(quán)利以及相關(guān)價值目標的實現(xiàn)。 第八條第二款和第十條進一步規(guī)定, 締約方在制定個人信息保護法時需考慮包括電子商務(wù)國際公約、 示范法、 標準、 指南在內(nèi)的相關(guān)國際法規(guī)則,也就是說制定個人信息保護法需包含域外效力規(guī)則內(nèi)容, 且不得違反包括RCEP 在內(nèi)的規(guī)則, 以及現(xiàn)行國際法規(guī)則。 另外, 第八條第五款規(guī)定, 為了保護從一締約方轉(zhuǎn)移來的信息及數(shù)據(jù), 各締約方應(yīng)當在可能的范圍內(nèi)開展合作。 顯然, RCEP 在締結(jié)時意識到需要對流動的數(shù)據(jù)進行全方位保護, 包括數(shù)據(jù)處理活動發(fā)生在域外但會對域內(nèi)國家安全和個人數(shù)據(jù)安全產(chǎn)生危害等問題, 但迫于各締約國數(shù)字經(jīng)濟發(fā)展水平差距較大, 并未對國家間數(shù)據(jù)治理的法律規(guī)則作出統(tǒng)一規(guī)制, 而是預(yù)留了談判空間。 基于此, 相關(guān)國家可根據(jù)各自國情靈活開展商談; 對于數(shù)字經(jīng)濟發(fā)展迅猛的締約國來說, 也可自行制定單邊規(guī)則, 但要以不擴大數(shù)據(jù)鴻溝和不對其他國家數(shù)據(jù)主權(quán)造成損害為前提。

RCEP 的這些數(shù)據(jù)保護條款, 一方面規(guī)定了締約國有依據(jù)RCEP 原則及相關(guān)國際規(guī)則加強數(shù)據(jù)信息保護的義務(wù), 另一方面又將具體保護規(guī)則制定問題留予各締約國及締約國間相互合作來解決, 從而對一國數(shù)據(jù)保護法域外效力規(guī)則的建構(gòu)既提出了應(yīng)當遵循的指導(dǎo)要求, 又給出了應(yīng)有的發(fā)展空間。RCEP 早已被我國批準并對我國生效, 其關(guān)于數(shù)據(jù)保護的理念與規(guī)則應(yīng)當為我國所遵守。

相反, 美國作為全球數(shù)據(jù)治理最為活躍的國家之一, 其在國際層面倡導(dǎo)包括個人信息在內(nèi)的數(shù)據(jù)跨境自由流動, 并將符合美國利益的數(shù)字貿(mào)易理念及規(guī)則推廣到自貿(mào)協(xié)定中。 以CPTPP 為例, 美國雖不是成員方, 但該協(xié)定承襲了美式規(guī)則的理念。CPTPP 規(guī)定了更高程度的數(shù)據(jù)跨境自由流動, 且在例外規(guī)則①例外規(guī)則是指, 一成員方為維護國家數(shù)據(jù)安全, 僅僅可依“合法公共政策目標”而采取禁止數(shù)據(jù)跨境流動的措施, 將國家“基本安全利益”排除在外。方面提出了更為嚴苛的標準, 收緊了成員方在數(shù)據(jù)安全方面采取例外規(guī)則的自決權(quán), 即締約方享有的數(shù)據(jù)安全權(quán)利受到嚴格限制, 并且其“貿(mào)易最少限制原則”與WTO 例外條款的表述相違背。 相比而言, RCEP 的立場則較為開放包容, 將保護國家數(shù)據(jù)安全的舉措完全交由締約方自由裁量,只要不構(gòu)成任意或不合理的歧視便可, 與WTO 例外條款的表述基本相符。

綜上所述, RCEP 包容性合作共治的理念及規(guī)則注重不同類型國家間的利益平衡, 致力于縮小世界數(shù)字鴻溝, 推動人類命運共同體建設(shè), 更符合大多數(shù)國家的發(fā)展需求, 與美國奉行“美國政策優(yōu)先”的單邊規(guī)制理念和規(guī)則形成鮮明對比。 另外, 由于RCEP 理念和規(guī)則本身就體現(xiàn)了中國智慧與中國方案, 所以我國在構(gòu)建數(shù)據(jù)保護法域外效力規(guī)則時, 更應(yīng)當在RCEP基礎(chǔ)上形成更好、 更具有國際廣泛性的數(shù)據(jù)保護法域外效力方案, 以維護我國在數(shù)據(jù)領(lǐng)域的安全與利益,并且推動區(qū)域乃至多邊協(xié)定更高質(zhì)量的發(fā)展。

三、 我國數(shù)據(jù)保護域外效力的立法現(xiàn)狀與適用問題

(一)數(shù)據(jù)保護域外效力的立法現(xiàn)狀

目前, 我國在數(shù)據(jù)保護方面形成了由多部立法構(gòu)成的初步體系, 主要有《中華人民共和國國家安全法》(以下簡稱《國家安全法》)、 《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》)、 《中華人民共和國電子商務(wù)法》(以下簡稱《電子商務(wù)法》)、《中華人民共和國數(shù)據(jù)安全法》(以下簡稱《數(shù)據(jù)安全法》)和《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)等。 這些立法都強調(diào)了數(shù)據(jù)保護, 但對規(guī)則的域外效力問題卻要么未予涉及,要么規(guī)定得較為籠統(tǒng)。

《國家安全法》第3 條和第25 條規(guī)定堅持總體國家安全觀和維護國家網(wǎng)絡(luò)空間主權(quán)、 安全和發(fā)展利益, 但卻僅止步于此原則性規(guī)定, 未有針對維護網(wǎng)絡(luò)空間主權(quán)、 安全和發(fā)展利益的具體規(guī)則。 《網(wǎng)絡(luò)安全法》僅在第75 條規(guī)定境外機構(gòu)、 組織、 個人從事危害我國關(guān)鍵信息基礎(chǔ)設(shè)施的活動, 造成嚴重后果的, 依法追究法律責任, 但又在第2 條將該法的效力范圍僅限于中國境內(nèi)。 《電子商務(wù)法》也是僅在第69 條規(guī)定要維護電子商務(wù)交易安全, 保護電子商務(wù)用戶信息,保障電子商務(wù)數(shù)據(jù)依法有序自由流動, 并無具體的域外效力適用規(guī)則, 但其第2 條也把該法的效力范圍限定為中國境內(nèi), 并且還把“利用信息網(wǎng)絡(luò)提供新聞信息、 音視頻節(jié)目、 出版以及文化產(chǎn)品等內(nèi)容方面的服務(wù)”, 即數(shù)字版權(quán)貿(mào)易等排除在其效力適用范圍之外?？梢? 以上三部法律雖然確立了我國在網(wǎng)絡(luò)空間中的主權(quán)、 安全和利益, 但在數(shù)據(jù)保護規(guī)則的域外效力問題上卻規(guī)定得十分有限或未予涉及。

《數(shù)據(jù)安全法》則順應(yīng)數(shù)字經(jīng)濟時代的要求, 對域外效力問題作出回應(yīng)。 該法第2 條關(guān)于適用范圍的規(guī)定, 原則上為屬地管轄, 但將域外效力適用設(shè)置為例外性原則, 即境外開展數(shù)據(jù)處理活動損害我國國家安全、 公共利益或者公民、 組織合法權(quán)益的, 依法追究法律責任。 從立法內(nèi)容上來看, 《數(shù)據(jù)安全法》以境外數(shù)據(jù)活動對我國的損害后果作為判定域外效力適用的標準。 《個人信息保護法》也專門規(guī)定了域外效力問題, 該法第3 條規(guī)定在屬地管轄的基礎(chǔ)上對境外數(shù)據(jù)活動予以例外管轄, 即在境外處理境內(nèi)個人信息的活動, 如以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的, 或者分析、 評估境內(nèi)自然人行為的, 應(yīng)當適用該法。 與《數(shù)據(jù)安全法》不同的是, 《個人信息保護法》在域外效力適用上采取的是境外數(shù)據(jù)活動意圖標準, 并且對活動意圖進行了分類, 將“數(shù)據(jù)處理行為”作為管轄連接點, 一定程度上擴大了該法的適用范圍, 但管轄連接點又在合理范圍之內(nèi)。 這既是對《數(shù)據(jù)安全法》域外適用范圍的重要補充, 也體現(xiàn)了我國數(shù)據(jù)保護法域外效力規(guī)則的進步與發(fā)展。

(二)數(shù)據(jù)保護域外效力的適用問題

從前述現(xiàn)狀的分析來看, 我國數(shù)據(jù)保護立法的域外效力適用規(guī)則存在如下主要問題:

其一, 我國數(shù)據(jù)保護法未形成體系化的域外效力適用規(guī)則, 并且現(xiàn)有規(guī)則存在相互不一致的問題。 一方面, 當前立法除《國家安全法》中有維護網(wǎng)絡(luò)空間主權(quán)、 安全與發(fā)展利益的極其原則性的規(guī)定之外, 并未形成數(shù)據(jù)保護法域外效力適用的總體性原則和理念,并且關(guān)于域外效力的規(guī)定也是呈零星點狀存在而未成體系。 例如, 《個人信息保護法》雖然通過列舉域外數(shù)據(jù)處理活動適用該法的兩種情形和一個兜底條款賦予了該法域外效力, 以數(shù)據(jù)處理活動是否涉及境內(nèi)自然人的權(quán)益為管轄連接點, 但并沒有通過頒布相關(guān)配套措施對列舉的情形作出解釋說明, 法律配套體系還不健全。 另一方面, 立法文件內(nèi)部以及立法文件相互之間還存在明顯的沖突或不一致的現(xiàn)象。 例如, 《網(wǎng)絡(luò)安全法》和《電子商務(wù)法》各自規(guī)定了一定的域外適用條款但又在其他條款中將效力范圍僅限于境內(nèi), 這是立法文件內(nèi)部的沖突。 而《數(shù)據(jù)安全法》和《個人信息保護法》分別采取的效果原則和境外數(shù)據(jù)活動意圖標準則反映了各自為政的不一致性問題。

其二, 立法未能形成適用廣泛的域外效力適用標準體系。 域外效力規(guī)則在適用上最核心的問題就是依據(jù)什么樣的標準來判定域外適用。 當前我國數(shù)據(jù)保護立法多數(shù)是采取效果原則或損害結(jié)果標準,個別的則采取境外數(shù)據(jù)活動意圖標準, 而未能在基于域外廣泛性適用目的基礎(chǔ)上形成一體化的適用標準體系。 因此, 我國作為數(shù)字經(jīng)濟大國, 客觀上需要建立起一套適用廣泛的數(shù)據(jù)保護法域外效力適用標準體系。

其三, 立法未能形成基于數(shù)據(jù)跨境活動細化分類的域外效力適用連接點體系。 當前我國數(shù)據(jù)保護立法在連接點問題上過于簡單和原則, 更不用說基于數(shù)據(jù)跨境活動細化分類的連接點體系。 以數(shù)字版權(quán)跨境貿(mào)易中的數(shù)據(jù)域外保護為例, 其域外保護的連接點體系的判斷標準比較模糊。 是依據(jù)損害結(jié)果發(fā)生對象來適用效果原則, 還是依據(jù)數(shù)據(jù)活動目的行為來適用境外數(shù)據(jù)活動意圖標準, 抑或是兩者均可? 在版權(quán)微?；?版權(quán)主體泛眾化的時代, 哪些人會是損害結(jié)果的發(fā)生對象, 數(shù)字版權(quán)本身的產(chǎn)品和服務(wù)又該如何界定? 這些問題在當前的數(shù)據(jù)保護立法中均未得到確定, 從而使數(shù)字版權(quán)跨境貿(mào)易的數(shù)據(jù)域外保護較為困難。 同理, 關(guān)于其他諸多數(shù)據(jù)跨境活動問題, 同樣可以得出類似的結(jié)論。

四、 歐美數(shù)據(jù)域外效力立法的經(jīng)驗

歐美作為全球數(shù)據(jù)治理的先行者, 在域外效力規(guī)則方面進行了深入探索, 其規(guī)則具有成熟性和先進性。 另外, 歐美市場是中國大型數(shù)字平臺企業(yè)出海的首選市場。 因此, 在構(gòu)建我國數(shù)據(jù)保護法域外效力的路徑時, 有必要審視歐美立法實踐, 揚長避短。

(一)歐盟立法模式: 防御型規(guī)制路徑

歐盟是推動數(shù)據(jù)保護法域外效力最積極的法域,其《通用數(shù)據(jù)保護條例》(General Data Protection Regulation, GDPR)是迄今全球范圍內(nèi)最具影響力的數(shù)據(jù)保護立法之一。 GDPR 第三條設(shè)定了寬泛的管轄范圍, 主要包括“經(jīng)營場所標準”和“實際意圖標準”兩種標準。

在“經(jīng)營場所標準”下, GDPR 對“設(shè)立機構(gòu)”的概念進行了擴張性解釋, 只要在歐盟境內(nèi)通過穩(wěn)定的安排從事任何真實有效的活動, 不管該實體是否屬于歐盟, 或是否在歐盟內(nèi)設(shè)立分支機構(gòu)或子公司,均屬于歐盟的管轄范圍。 這有效避免了數(shù)據(jù)控制者將經(jīng)營機構(gòu)設(shè)立在域外并在域外進行數(shù)據(jù)處理行為以逃避歐盟法律的規(guī)制。

在“實際意圖標準”下, 即使數(shù)據(jù)控制者或數(shù)據(jù)處理者在歐盟境內(nèi)沒有設(shè)立機構(gòu), 但只要其數(shù)據(jù)處理活動對歐盟內(nèi)的數(shù)據(jù)主體產(chǎn)生實質(zhì)性影響就會受到歐盟的管轄。 該模式包含兩種觸發(fā)適用情形: 其一, 數(shù)據(jù)控制者或數(shù)據(jù)處理者向歐盟境內(nèi)的數(shù)據(jù)主體提供服務(wù)或商品, 不論該服務(wù)或商品是否要求支付對價。 歐洲數(shù)據(jù)保護委員會(European Data Protection Board, EDPB)對該情形做出的列舉幾乎涵蓋了互聯(lián)網(wǎng)服務(wù)的方方面面, 判定標準具有較大寬泛性。 其二, 數(shù)據(jù)處理過程涉及監(jiān)控歐盟數(shù)據(jù)主體的活動。 EDPB 同樣對該情形做出列舉①EDPB 對該情形做出的列舉包括行為廣告、 利用技術(shù)實施的網(wǎng)絡(luò)追蹤、 監(jiān)控或定期報告?zhèn)€人健康狀況等監(jiān)控行為。。 這實際上是美國法院在“美國訴美國鋁公司案”裁判要旨中“效果原則”所產(chǎn)生的漣漪效應(yīng), 將所有與歐盟境內(nèi)有關(guān)的數(shù)據(jù)處理行為納入GDPR 適用范圍。

(二)美國立法模式: 進攻型規(guī)制路徑

2018 年之前美國在跨境取證時依據(jù)《儲存通信法案》司法互助的規(guī)定, 通過聯(lián)邦法院發(fā)布的搜查令獲取數(shù)據(jù)信息。 在“美國訴微軟案”中, 美國要求微軟公司提供存儲在愛爾蘭的數(shù)據(jù)時遭到微軟公司和愛爾蘭政府的反對。 美國依據(jù)《儲存通信法案》難以獲取域外數(shù)據(jù), 便于2018 年3 月頒布了《域外數(shù)據(jù)澄清法案》(以下簡稱《云法案》)以取代國家間的司法互助協(xié)議, 變“屬地管轄原則”為“屬人管轄原則”。 《云法案》以美國企業(yè)為管轄連接點, 重點強調(diào)海外服務(wù)提供商有配合美國執(zhí)法機構(gòu)調(diào)取數(shù)據(jù)的義務(wù)。 無論數(shù)據(jù)記錄或其他信息是否存儲在美國境內(nèi), 美國政府都可以調(diào)取數(shù)據(jù), 由此確立了“數(shù)據(jù)控制者標準”, 以數(shù)據(jù)控制者確定數(shù)據(jù)保護域外效力的邊界問題。 相反, 外國政府如需調(diào)取美企存儲在美國境內(nèi)的數(shù)據(jù)時, 需滿足極為嚴苛的“適格政府”要求, 即美方會考量他國法律是否能為傳輸中的數(shù)據(jù)提供實體和程序上的充足保護, 但是否適格則取決于美國政府的自由裁量。

美國作為世界數(shù)字經(jīng)濟強國, 其出臺的《云法案》以數(shù)據(jù)控制者作為域外管轄連接點的邊界確定標準, 具有一定的合理性, 也具有很好的簡便性。但因國家間權(quán)利義務(wù)的不對等性, 該法案招來很大的國際批評與反制, 被認為是美國依據(jù)長臂管轄規(guī)則對世界無限擴張其法律域外適用。

(三)對歐美模式的反思

對于歐盟而言, 世界互聯(lián)網(wǎng)公司巨頭主要集中在中美兩國, 其本土并無巨型跨國數(shù)字平臺企業(yè),并且歐洲是互聯(lián)網(wǎng)公司的重要市場, 歐盟出于防范目的便頒布了GDPR。 其采取防御型的規(guī)制路徑,通過技術(shù)性擴張將域外效力的認定標準由行為的相關(guān)屬地變?yōu)樾袨榈挠绊? 擴大了數(shù)據(jù)域外保護的邊界, 產(chǎn)生了極強的域外效力, 具有管轄全球的可能性。 反觀《云法案》, 美國坐擁強大的技術(shù)優(yōu)勢和幾乎覆蓋全球的市場優(yōu)勢, 采取進攻型的規(guī)制路徑,以遍布全球的美國企業(yè)作為全球數(shù)據(jù)管轄的砝碼,將數(shù)據(jù)保護的域外管轄延伸至世界各地, 無限擴張了其數(shù)據(jù)主權(quán)管轄范圍, 試圖最大化地維護國家利益。

不管是歐盟的“效果原則”還是美國以“數(shù)據(jù)控制者”作為管轄連接點的方式都值得我國借鑒學(xué)習(xí),但其合理性還有待商榷。 畢竟域外管轄不等于過度管轄或是全球管轄, 而應(yīng)與本法域有實際聯(lián)系, 即數(shù)據(jù)處理行為與管轄權(quán)之間存在“實質(zhì)且善意”的聯(lián)系。 就像我國在《全球數(shù)據(jù)安全倡議》中所提及的,任何國家應(yīng)尊重他國數(shù)據(jù)主權(quán), 未經(jīng)他國允許不得直接向企業(yè)或個人調(diào)取位于他國的數(shù)據(jù), 以保障他國的司法主權(quán)和對數(shù)據(jù)的管理權(quán)①參見《全球數(shù)據(jù)安全倡議》, 載于中華人民共和國中央人民政府網(wǎng)站, http: / /www.gov.cn/xinwen/2020-09/08/content_ 5541579.htm,2023 年7 月3 日訪問。。

總之, 一國數(shù)據(jù)保護法域外效力規(guī)則的建構(gòu)理念尤為重要, 不僅要符合國際法原則, 還要考慮合理性。 尤其是在確定域外管轄時, 要選擇具有正當合理性的管轄連接點, 盡可能減少域外效力所產(chǎn)生的局限性。 否則即便符合國際法相關(guān)規(guī)定, 也未必會得到他國的認可, 甚至在某些情形下還會構(gòu)成國際不法行為, 引發(fā)國家之間的沖突以及外交抗議。

五、 契合RCEP 理念的數(shù)據(jù)保護法域外效力規(guī)則的對策

我國應(yīng)以RCEP 的包容性合作共治理念為基礎(chǔ)并借鑒歐美立法經(jīng)驗, 立足我國的國際地位與實際需求, 建構(gòu)一套合理且具有廣泛國際基礎(chǔ)的數(shù)據(jù)保護法域外效力規(guī)則體系。

(一)以RCEP 包容性合作共治為立法價值取向

一國數(shù)據(jù)保護法的域外效力會產(chǎn)生實效, 其前提是該域外效力規(guī)則建立在尊重國家主權(quán)和國際法原則基礎(chǔ)上, 且域外管轄權(quán)的行使與事項之間存在“實質(zhì)且善意”的聯(lián)系, 不會干涉他國國內(nèi)管轄權(quán)或者數(shù)據(jù)管轄權(quán)。 所以, 我國數(shù)據(jù)保護法域外效力規(guī)則在構(gòu)建方法論上應(yīng)當以RCEP 的包容性合作共治為指導(dǎo)。 RCEP 包容性合作共治原則以尊重國家主權(quán)為基礎(chǔ), 強調(diào)平等合作, 注重多元訴求, 主張區(qū)域共治, 并以實質(zhì)性為標準秉持包容性, 從而使RCEP 獲得了普遍公認的國際基礎(chǔ), 也使RCEP 成為世界上平等且成功的區(qū)域性合作組織典范。

中國作為維護世界和平與發(fā)展的大國, 在國際交往中遵守以《聯(lián)合國憲章》為基礎(chǔ)的國際關(guān)系基本準則, 維護以國際法為基礎(chǔ)的國際秩序; 并且, 在中國的努力與推動下, 這種平等、 互相尊重的多邊主義理念被引入RCEP 并成就了RCEP 的包容性合作共治原則。 未來, 中國會在全球治理體系中扮演越來越重要的角色, 中國包容性合作共治的主張會得到越來越多國家的支持和認可。 這不僅有利于保障我國的數(shù)據(jù)安全, 也有利于推動全球數(shù)據(jù)治理朝著共治共享的方向發(fā)展, 為國際數(shù)據(jù)治理提供良好的制度供給?？偠灾? RCEP 的這項原則, 不僅是指導(dǎo)框架下各締約國參與治理區(qū)域性事務(wù)的原則, 也為RCEP區(qū)域外其他國際事務(wù)的處理提供了優(yōu)秀藍本。

從世界數(shù)字經(jīng)濟發(fā)展的現(xiàn)實需求來看, 我國數(shù)據(jù)保護法的域外效力規(guī)則, 不僅會適用于RCEP 區(qū)域內(nèi), 也必然會涉及適用于RCEP 之外的全球區(qū)域。 從客觀實際來看, 各個國家在數(shù)字經(jīng)濟發(fā)展規(guī)模和數(shù)據(jù)治理能力方面存在一定差距, 尤其是發(fā)達國家與最不發(fā)達國家之間甚為明顯。 為縮小最不發(fā)達國家在數(shù)據(jù)域外保護方面的非均衡狀態(tài), 我國應(yīng)當在兼顧各方利益的基礎(chǔ)上構(gòu)建數(shù)據(jù)保護法域外效力規(guī)則, 以達到保護我國數(shù)據(jù)安全并兼顧最不發(fā)達國家的利益保護的目標。

因此, 我國數(shù)據(jù)保護法的域外效力規(guī)則要想擁有廣泛的國際認可與基礎(chǔ), 就應(yīng)當考慮以既有的RCEP包容性合作共治原則作為其構(gòu)建的思想方法論。

(二)以適用全球為域外效力規(guī)則的適用范圍

我國是僅次于美國的世界第二數(shù)字經(jīng)濟大國,這一國際地位必然要求我國數(shù)據(jù)保護法的域外效力應(yīng)當適用于全球而不是局部; 同時, 域外效力規(guī)則適用于全球也有利于我國參與構(gòu)建合理的世界網(wǎng)絡(luò)空間治理體系。 美國和歐盟對其數(shù)字法律域外效力的極大擴張反映出歐美意欲在數(shù)據(jù)領(lǐng)域管轄全球的目的, 同時還會對其他國家的數(shù)據(jù)主權(quán)造成侵害,這使得作為新興空間的世界網(wǎng)絡(luò)空間管轄治理問題被提上了緊迫的日程。 在這種背景下, 我國只有將域外效力適用于全球, 才能在包容性合作共治理念的指導(dǎo)下構(gòu)建更合理、 更具廣泛性的世界網(wǎng)絡(luò)空間治理體系。

需要說明的是, 我國法律域外效力制度體系的建設(shè)是為了統(tǒng)籌推進國內(nèi)法治和涉外法治建設(shè)的時代之需要, 同時也是對國際法治體系的補充。 數(shù)據(jù)保護法域外效力規(guī)則作為其中重要一環(huán), 構(gòu)建數(shù)據(jù)領(lǐng)域的域外效力規(guī)則是出于防御性考量而采取的“積極進攻性”的立法戰(zhàn)略。 “適用全球”并非為了管轄所有數(shù)據(jù)主體的數(shù)據(jù)活動行為而采取的一種惡意管轄模式, 也并無將數(shù)據(jù)保護法的域外效力規(guī)則演變?yōu)榱愫筒┺牡牧⒎ㄋ枷搿?/p>

因此, 我國以“適用全球”為域外效力的適用范圍并不是像歐美“管轄全球”僅考慮本國或本經(jīng)濟區(qū)域的利益而在全球范圍內(nèi)適用。 本文提出的“適用全球”是指在尊重國際法治和各國平等發(fā)展的基礎(chǔ)上, 構(gòu)建不損害國際社會和其他國家利益, 綜合效果原則和國際禮讓原則而形成的放之四海而皆可適用的模式。 這是構(gòu)建數(shù)據(jù)保護法域外效力的目標, 而以“適用全球”為域外效力的適用范圍這一目標的實現(xiàn)需要依靠合法且合理的管轄連接點及判斷標準體系。

(三)以“實質(zhì)且平等”為原則的域外效力連接點和判斷標準體系

“實質(zhì)”是指數(shù)據(jù)活動行為的實質(zhì)情況, 即數(shù)據(jù)活動行為與管轄國家之間存在“真實聯(lián)系”, 而且是內(nèi)在的實質(zhì)關(guān)系; “平等”則是指尊重他國數(shù)據(jù)主權(quán)和對等行為。 只有在實質(zhì)上涉及我國主權(quán)、 安全和合法利益的數(shù)據(jù)活動行為, 才應(yīng)當為我國所管轄;而只有堅持尊重他國主權(quán)和實施對等性處理, 我國對域外數(shù)據(jù)活動行為的管轄才具有可接受性和可實施性。 實際上, 這是一種更為柔性的確定國家具有管轄權(quán)的依據(jù)和標準, 可以應(yīng)對各種新型跨境治理的需要。 以此為標準確立管轄依據(jù), 也可有效避免國際沖突, 具有一定的靈活適用性。 所以, 域外效力適用連接點和判斷標準體系的確立應(yīng)當符合實質(zhì)性和平等性原則。

但如何判斷受立法管轄的實體或事項與管轄國家之間存在真實聯(lián)系, 如何適用“實質(zhì)且平等”的管轄連接點和判斷標準體系, 則需要根據(jù)個案具體分析。 在判斷“真實聯(lián)系”時, 需要與最密切聯(lián)系作區(qū)分。 最密切聯(lián)系原則強調(diào)只有受數(shù)據(jù)活動行為侵害最嚴重的國家享有域外管轄權(quán), 但在實踐中, 數(shù)據(jù)活動行為的跨界性決定了數(shù)據(jù)活動在多個國家間完成, 這就決定了數(shù)據(jù)活動行為涉及多國利益。 因此,真實聯(lián)系強調(diào)只要數(shù)據(jù)處理活動涉及國家利益或國際社會共同利益便可行使管轄權(quán), 無論利益大小。在適用“實質(zhì)且平等”的管轄連接點和判斷標準體系時, 還需考慮相關(guān)的國際法原則。

以數(shù)字版權(quán)跨境貿(mào)易中的數(shù)據(jù)域外保護為例,無論當前或未來數(shù)字版權(quán)如何微?；?、 版權(quán)主體如何泛眾化, 只要一項數(shù)字版權(quán)貿(mào)易利益在實質(zhì)上涉及我國, 那么我國法律就可以對其中所涉及的數(shù)據(jù)保護予以適用。 比如, 版權(quán)主體中有一部分在我國,版權(quán)貿(mào)易中的流量對價全部或者部分來源于我國,版權(quán)內(nèi)容全部或者部分由我國創(chuàng)造貢獻, 侵權(quán)或者數(shù)據(jù)損害結(jié)果與我國有關(guān)聯(lián), 對我國的國家安全或者合法利益造成影響等等, 這些都應(yīng)當構(gòu)成數(shù)據(jù)活動行為的實質(zhì), 即管轄對象和管轄主體之間存在真實合理的聯(lián)系。 于是, 版權(quán)主體、 流量對價、 版權(quán)內(nèi)容創(chuàng)造貢獻、 侵權(quán)損害結(jié)果、 國家安全等等這些就都可以成為連接點, 而基于這些連接點的聯(lián)系均可以被歸納為適用的判定標準。 另外, 我們還應(yīng)當考慮到平等性。 從國際法來看, 平等性更多的是從國際禮讓原則、 對等原則和合理性原則的角度分析域外管轄是否合理。 即一國對發(fā)生在域外的數(shù)據(jù)活動行為侵害國家利益行使管轄權(quán)時, 需采取對其他國家利益影響最小的方式, 并且我國應(yīng)當同樣承認任何其他國家以同樣方式所實施的數(shù)據(jù)域外管轄權(quán)。

需要說明的是, 雖然上述連接點行為的開始和結(jié)束并未全部發(fā)生在我國境內(nèi), 但連接點的某一要素發(fā)生在我國境內(nèi), 且對我國國家利益已經(jīng)造成了直接侵害, 便可主張管轄。 事實上, 這是以屬地管轄原則為核心進行擴張的結(jié)果, 即以屬地管轄為核心的客觀屬地原則。

同理, 我們可以同樣的方法確定版權(quán)貿(mào)易之外的其他任何數(shù)字經(jīng)濟領(lǐng)域的連接點和判斷標準體系,避免傳統(tǒng)管轄方式的機械性管轄, 以真正建構(gòu)起既適合我國也符合世界需求的數(shù)據(jù)保護法域外效力規(guī)則體系, 在全球范圍內(nèi)充分發(fā)揮數(shù)據(jù)保護法真正的域外效力。

(四)加強國際合作, 統(tǒng)籌數(shù)據(jù)域外保護機制

我國數(shù)據(jù)保護法域外效力規(guī)則的確立與發(fā)展必然會與其他國家產(chǎn)生這樣或那樣的沖突, 并且還會同其他國家的域外效力規(guī)則發(fā)生沖突, 而這些沖突如不予妥善解決則會反過來阻礙我國域外效力規(guī)則的構(gòu)建。 因此, 加強區(qū)際國際合作, 統(tǒng)籌數(shù)據(jù)域外保護機制, 自然也就是構(gòu)建我國數(shù)據(jù)保護法域外效力規(guī)則不可繞開的路徑。

我國應(yīng)繼續(xù)秉持RCEP 包容性合作共治理念積極參與全球和區(qū)域性合作, 有針對性地開展區(qū)域數(shù)據(jù)治理互惠合作, 將數(shù)據(jù)域外效力作為重要議題納入未來的談判之中, 推進互聯(lián)網(wǎng)關(guān)鍵資源國際化,與各方共建互惠、 民主、 透明的國際互聯(lián)網(wǎng)治理體系和數(shù)據(jù)保護機制, 并將中國的域外效力規(guī)則理念融入其中。 比如, 我國可與“一帶一路”沿線國家構(gòu)建域外效力體系建設(shè)的磋商機制, 由各國指定或委派相關(guān)人員組成數(shù)據(jù)保護聯(lián)合委員會, 本著包容性合作理念, 堅持平等、 互利、 誠信的立場, 在首次會議時制定程序規(guī)則, 設(shè)立不同職能的附屬機構(gòu), 就數(shù)據(jù)保護域外效力的議題定期舉行對話。 數(shù)據(jù)保護聯(lián)合委員會可將協(xié)商一致的內(nèi)容以雙邊或多邊協(xié)定的形式上升為具有約束力的規(guī)則體系, 并設(shè)立總體聯(lián)絡(luò)點,便于相關(guān)國家就數(shù)據(jù)域外保護的實施進行溝通。 此外, 還可針對可能產(chǎn)生的糾紛建立以締約方磋商為主, 斡旋、 調(diào)解或調(diào)停為輔的多元化爭端解決機制。在磋商過程中, 逐漸形成適用范圍更廣、 安全維護更健全的數(shù)據(jù)域外保護機制, 從而通過合作共治使我國的域外效力規(guī)則獲得更多國際認同和支持。 這一方面可以反哺我國數(shù)據(jù)保護法域外效力規(guī)則的構(gòu)建, 另一方面還可以帶動國家間域外效力規(guī)則在全球的統(tǒng)一協(xié)作和互信互認, 推動全球數(shù)據(jù)保護域外效力規(guī)則的趨同性發(fā)展。