邵 怿|论域外数据执法管辖权的单方扩张
摘要 /Abstract/
当前,数据基于网络媒介的跨境流动与存储成为常态,这造成了数据来源地与储存地的割裂、数据控制者与所有者的分离、以及数据管辖权与治理权的模糊。考虑到数据之于国家安全与公民隐私的重要价值,面对上述困境,部分国家或区域间组织以立法为背书,针对域外数据加以了扩张性的执法管辖权行使。这其中以美国与欧盟的模式最具代表性与影响力,前者立足于刑事执法管辖权的域外行使,强调对于域外数据的获取由“数据储存地”向“数据控制者”的转变;后者侧重于行政机构的域外直接执法,包括行政处罚、强制等,以实现对域外数据相关主体的直接管控。为应对、监测、防御与处置境外数据风险与威胁,架构执法管辖权域外行使的“中国模式”应是我国下一阶段数据立法的重点所在,并且这一模式的构建应当在兼顾管辖扩张与网络主权的基础之上,以数据本土化为防御措施,以数据控制者管辖为战略对冲,进而实现国家对数据的最高控制权。
作者
邵 怿,北京化工大学文法学院讲师
刊于
《社会科学》2020年第10期
项目
本文系教育部人文社会科学研究基金项目“网络空间自卫权行使的国际法规制研究”(项目编号:19YJC820048)的阶段性成果
当前,数据的跨境流动已经愈发成为常态,这种常态也带来了两方面的隐忧:首先,数据的流动并非是国家间的均匀流动,而是由发展中国家流入发达国家的态势;其次,大数据与云计算的发展也使得数据的跨境储存逐渐成为常态,数据的储存地与数据所有者往往会位于不同的主权领土之内,这种跨境数据流动带来的最为直接的后果便是数据所有权与执法权的逐渐分离,以及数据管辖权的碎片化与治理主体的不确定化。考虑到数据之于国家安全、数据主权以及个人隐私权的重要价值,为了更好地掌控域外数据,同时对数据控制者与处理者加以直接规范,部分国家开始以扩张的姿态来对域外数据行使执法管辖权,开始以立法管辖为背书,将域外数据及相关主体单方纳入本国司法与行政部门管辖之下,但由于缺少健全的全球性跨境数据流动规范与机制,这种依托于网络技术与市场规模优势的单方扩张往往建立在对他国网络主权与数据安全的侵害之上。
PART-1
域外数据执法管辖权
行使的当前样态
当前,“云储存”与大数据的发展一方面加剧了数据跨境流动的常态化趋势,另一方面也对执法管辖权的域外行使提出了更为迫切的转型需求。这种需求建立在执法管辖权所具有的两个先天性优势之上:首先,程序的便利性,执法管辖权的域外行使不同于司法管辖权,不存在与他国管辖权冲突以及争诉的情况,并且在充分利用网络的信息媒介功能与数据的流动属性的基础上,单一的行政主体便可完整覆盖管辖的全部程序。同时,包括域外数据调查与取证在内的执法管辖权行使也为司法管辖权的域外行使提供了便利,直接赋予了长臂管辖权网络行使的可能,并且这一便利也随着“云储存”的发展被加以空前的放大。其次,结果的可预测性,执法管辖权不同于司法管辖权的域外行使需要考虑本国法的域外适用问题,执法管辖权往往基于确定的国内法或国际性公约,尤其是在扩张性数据立法成为普遍趋势的大背景之下,执法管辖权往往建立在针对性的专门立法之上,可预测性与可期待性也进一步得到了加强,而这种确定性又会进一步推动程序的简化以及效率的提升,进而形成一个连续性的内部“良性”循环。
(一)扩张性数据立法的国际样态
执法管辖权(enforcement jurisdiction)其首先是管辖权“jurisdiction”的下位概念,与其平行的概念还包括有:立法管辖(legislative jurisdiction)与司法管辖(judicial jurisdiction)。作为管辖权的一种,关于执法管辖权的定义,目前得到普遍认同的为:国家有权通过法庭或执行(executive)行为、行政行为、警察或其他非司法行为(non-judicial action)来诱导(induce)或强迫守法与惩罚违法,针对的是其一国领土内,或者领土之外但具有本国国籍的对象。当管辖权的行使超出了一国的领土范围,则会引发域外管辖的问题,域外管辖是一国将其法律的适用范围或其司法和行政管辖范围扩展至该国领土以外。一国在其领土之外亦可行使立法、司法以及执法三种类型的管辖权,考虑到域外执法管辖(extraterritorial enforcement jurisdiction)是所有管辖权中最具侵略性的(intrusive),因此,其行使通常会受到极大的限制,一国非因国际习惯或公约的宽容性规则(permissive rule),不得在其领土之外行使执法权力。但执法管辖权作为域内权力,其域外的行使也并非全然禁止,首先需基于特定的管辖规则,包括属人管辖、保护管辖以及普遍管辖,其次亦需要经过他国的同意。此外,虽然当前对于执法管辖权的域外行使并没有一个明确的权力清单,但可粗略地归纳为以下四个类型,包括:在他国领土之上直接行使武力;通过国与国之间的双边或多边条约机制赋权的行政执法;以“商业国家”(l'Etat Commerant)的身份进行刑事、行政或者财政调查;国家间的司法协助,包括引渡、合法移交以及司法互助协定。域外执法管辖权既有独立性价值,亦有辅助性价值,独立性价值体现在其对于相关域外主体的直接行政执法,包括处罚、强制等,针对的可以是民事、刑事以及行政三方的事项。而辅助性价值在于司法协助功能,包括调查、逮捕、执行判决或司法程序等,这些程序是司法管辖权域外行使所基于的先决条件。
然而,当传统的执法管辖权直接规制无边界的网络空间与无形的网络数据,则无法回避来自跨境数据流动(Transborder Data Flow)的挑战。数据的流动性为也“域内”与“域外”的区分带来了一定的难度,这一区分服务于执法调查(law enforcement investigations)的行使。对于何为“域外”,当前得到较多接受的观点是储存地模式,即:对于一国而言,其依据属地管辖无法获取的数据都可以被视为“域外数据”。结合上文介绍,针对域外数据,执法管辖权的行使是可以从传统国际法理论中得到合法性支持与背书,然而,传统管辖模式并没有预期到互联网技术的高速发展以及其对于效率与可预测性的相关需求。面对常态化的跨境数据流动,传统管辖规则出现了严重的“水土不服”,为此,构建脱离乃至突破传统规则的域外数据执法管辖新模式便具有了迫切的现实需求。截止2020年,以“七国集团”为对象,目前只有俄罗斯一国没有明确本国执法管辖权对域外数据及相关主体的行使,如果把对象扩张到“二十国集团”,也只有俄罗斯、澳大利亚、沙特阿拉伯的相关立法处于空白状态,除了我国以外,其余各国相关实践与立法可参照下表。
表1 20国集团域外数据执法管辖权立法现状
资料来源:数据来自经济合作与发展组织(Organisation for Economic Co-operation and Development):《跨境数据流动》2017年,2019年报告。
若对上述国家的立法条款加以分析与比照,同时结合上述执法管辖权域外行使的四个传统路径,我们又可以将上述十六个国家大致分为两个主要类别,分别是:一是针对传统“公约机制”的突破,代表性立法为欧盟《一般数据保护条例》;二是针对国家间“司法协助”模式的突破,代表性立法为美国《域外数据澄清法案》。
(二)我国的立法实践与学术研究现状
反观我国的相关实践与研究,首先,就当前的数据立法而言,依旧处于起步阶段,2016年通过的《网络安全法》以及于2020年6月颁布的《数据安全法(草案)》已经开始尝试为域外数据执法管辖行使的中国模式提供法律背书。这一背书主要体现在以下两个方面:第一,在《网络安全法》第5条明确规定:“监测、防御、处置来源于中华人民共和国境内外的数据安全风险和威胁”。《数据安全法》第2条规定:“中华人民共和国境外的组织、个人开展数据活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。”上述表述实际上肯定了相关立法的域外效力与适用,为域外执法管辖权的行使提供了合法性的支持。第二,在《网络安全法》第74条规定:“有关部门依照相关法律、行政法规的规定,根据情节给予公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚;构成犯罪的,依法追究刑事责任”。《数据安全法草案》第42条也规定了对开展数据活动的相关主体的罚款、吊销营业执照等处罚措施。上述规定可以视为一个良好的开端,但却也存在着一定的空白亟待补充,主要涉及三个基础性的层面:首先是管辖规则的适用。虽然,从《数据安全法(草案)》第2条可以确定,我国对于域外数据主体的管辖兼采了属地管辖与保护管辖两种规则,但管辖规则的顺位如何,是否依旧坚持“属地优先”传统,亦或是赋予了保护管辖在部分情况下更高的适用顺位,目前并无明确。其次,《数据安全法(草案)》对于境外执法机构获取我国数据加以了规定,但对于我国执法机构获取域外数据的程序则并未涉及,即对于刑事执法管辖权的规范缺失。最后,《数据安全法(草案)》第24条赋予了我国依据“对等原则”对他国采取反制的可能,然而仅限于贸易与投资领域,面对歧视性的域外执法管辖,尤其是刑事执法管辖,是否可以采纳“对等原则”则未涉及,简言之,即缺乏对域外恶意管辖与管辖冲突的应对。可以说,立法规制的模糊与缺失限制了两法域外效力的进一步落实。同时,上述两法从规范内容来看,也不具有独立性,对于部门法的依赖性较高,多次强调“依据”而非“参照”相关法律、行政法规的规定,虽然上述两法的域外效力已经得到了确认,然而我国主要部门法依旧遵从“绝对属地主义”加以架构,同时,我国对于域外数据的获取依旧采取传统的司法互助模式,当面对美国等采纳“数据控制者”模式的国家,我国则完全可能由于“属地优先”或国际礼让的传统而“让管于外”。因此,无论是《网络安全法》亦或是《数据安全法(草案)》仅仅确立了针对域外数据及其相关主体执法管辖权的存在,其具体实现缺乏民事、行政与刑事法律规范的支持,更缺乏具体行为模式的规范指导,这也阻碍了我国数据相关立法域外效力的进一步落实。
此外,具体到我国国内的相关学术研究,也正是因为上述辅助性功能的存在,使得执法管辖权与司法管辖权在域外行使这一层面存在着一定的交叉与衔接,也为二者在概念层面的区分提出了一定的挑战。这一情况当前在我国国内学界并没有得到很好的正视,执法管辖权虽然是一个得到国际学界所广泛使用与接受的概念,但是这一概念在我国当前的学术语境中却很难找到具体的对应,在我国部门法的视域中,“执法管辖”更多地为行政法研究所关注,强调的是不同行政区域之间行政机关的权责分配,但实际上,执法管辖权包含了司法与行政两个主体的行为,并非是单纯的行政行为,因而也有学者认为“执法管辖权”其实应当粗略地对应我国的“执行管辖权”概念。此外,考虑到执法管辖权也与司法管辖权在概念上存在着一定的交叉,有学者甚至认为司法管辖权在刑事领域属于执法管辖权的一种,因而可以加以忽略。更有部分学者,选择避开“执法管辖权”这一概念,以其他形式的表述来加以代替,如在2019年第六届世界互联网大会上发布的《网络主权:理论与实践》成果文件中,则使用了“行政管辖权”这一概念,并基于网络主权,将之表述为主权国家为维护良好的网络空间秩序,有权依法对本国网络设施、网络主体、网络行为、网络信息等进行管理。可以说,虽然由于上述概念层面的分离,使得当前对于执法管辖权的研究存在着一定的分歧,但就如下三个层面还是在一定范围内形成了共识:首先,执法管辖、立法管辖与司法管辖作为管辖权的一体三面,其正当性得到了主权的背书;其次,管辖权属性的认定不应基于权力主体而加以区分,当前执法管辖权的行使既包括了司法机关基于国家的“调查利益”而对域外网络数据行使的调查、侦查等行为,亦包括行政机关对数据相关主体的直接执法;最后,虽由不同主体加以实施,虽面向不同法益,但究其根本,执法管辖权依旧是国家对本国内的事项进行管理的公权力行为。
(三)大数据背景下的执法新挑战
但随着技术的发展,基于网络空间的无国界性以及虚拟性,跨境数据流动天然地对传统的管辖规则提出了挑战,尤其是执法管辖权的域外行使,这种挑战具体可以归纳为如下三个层面:第一,数据本土化与数据跨境流动常态化的冲突。“云储存”技术的发展进一步加剧了数据储存地与数据来源地的割裂,为此,越来越多的国家开始以立法的形式对本国数据的域外流动采取严格限制出境的措施。然而,一味地强调数据本土化也会产生矫枉过正的效果,如加剧全球信息不对称现象、增加数据相关主体的运营成本进而影响其盈利能力等。因此,面对上述冲突,如何理解二者的差异化诉求,如何区分规制对象及规则将是执法管辖权面对域外数据时所面对的主要挑战。第二,“云储存”与数据控制者模式的冲突,“云储存”所带来的割裂不仅仅体现在数据的来源地与储存地两个层面,也体现在数据的来源者与控制者之间,尤其是涉及域外调查权的行使,则可能进一步造成保护管辖原则以及被动国籍原则与属地优先主义的冲突,面对存储于域外服务器的本国数据,属地优先的正当性与数据安全以及个人隐私的保障存在着难以调和的冲突。第三,全球执法与公约机制之间的冲突,正如上文所介绍的,执法管辖权的域外行使,尤其是行政执法,往往基于公约机制的授权而展开,任意的域外执法管辖则可视为是对他国主权的威胁与侵害,然而,当前数据的跨境流动却带来了“域内”与“域外”界限的模糊,网络自由主义更是将网络空间刻画为一个与现实领土截然相反的“公共领域(global common/ res communis)”,而基于这一主张,执法管辖权行使也开始逐步寻求对公约机制的突破,进而实现域内执法机构的“全球共管”。
正是由于上述矛盾与冲突的存在,如何在尊重数据主权的前提下,高效地获取域外数据,如何在维护网络主权的前提下,针对数据相关主体合理地行使执法权力,当传统国际法规制面对日新月异的网络技术以及无边无际的网络空间,上述问题看似是一个无解的僵局。面对现实的紧迫需求,部分国家选择以牺牲他国数据主权的方式来维护自身对数据的掌控,选择以侵害他国网络主权的方式来维持自身在标准制定领域的优势话语权。上述执法管辖权的单方扩张可以简单地区分为美国模式与欧盟模式,前者强调通过执法管辖权行使来便利域外数据的获取,考虑到长久以来对于域外民事与刑事争议的长臂管辖传统,美国模式更多侧重于对传统司法互助协议的突破而存在,对于行政主体的直接执法则并未积极地予以跟进,简言之,以执法管辖权服务司法管辖权。而与之相反的欧盟模式则强调对于域外数据及其相关主体的直接执法,从现有的相关数据立法来看,欧盟的制度设计充分考虑到了可能的管辖权冲突与争诉情况,因而其更加侧重执法管辖权行使对于域外数据及其相关主体的直接行政处罚与强制。上述两种模式的具体分析如下文所述。
PART-2
美国《域外数据澄清法案》:基于属人管辖扩张的刑事执法管辖权行使
(一)“微软诉美国”案:数据储存地向数据控制者转变的导火索
如上所述,“云储存”与数据常态化的跨境流动会进一步放大数据储存地与数据控制者的矛盾,这一矛盾也是促进美国《域外数据澄清法案》通过的主要动因之一。法案的制定可以追溯到“微软诉美国”一案。2013年12月,美国纽约南区联邦地区法院助理法官詹姆斯·佛朗西斯(James C. Francis)签发搜查令,要求微软公司协助联邦调查局正在调查的一起毒品案件,将由其控制的毒品犯罪嫌疑人的往来电子邮件信息和其他账户信息提交给美国政府。本案中,该名用户电子邮件的内容数据存储于微软位于爱尔兰的数据中心而非美国境内,依照彼时国际刑事司法协助体制,两国之间需要签署条约对司法协助的途径和程序作出规定;同时出于对他国主权的尊重,通常不允许一国(申请国)司法机关直接在另一国(被申请国)境内采取包括调查取证等在内的执法强制措施,而需向被申请国司法机关提出申请,经被申请国司法机关批准后由被申请国自行实施相关强制措施再移交至申请国。基于此,微软拒绝了提供该名用户的电子邮件内容并提出废除搜查令的动议。纽约南区联邦地区法院以搜查令是基于《储存通信保护法(Stored Communications Act)》签发为由,驳回了微软的动议。微软其后提出了上诉,认为依据《储存通信保护法》所签发的搜查证只能适用于本国领土之内。2016年7月14日,美国联邦第二巡回上诉法院做出了有利于微软的判决,上诉法院的三位法官一致认为,联邦调查局的搜查令不具域外效力(extraterritorial effects)。不可否认,在该案中,执法管辖权域外行使的主要困境便在于数据控制者与数据储存地之间的割裂,若严格依据传统的执法管辖权域外行使模式,那么对于刑事犯罪侦查和预防,尤其是各国境外取证,都会造成一定的阻碍。也正是基于上述背景,为了便利网络时代的刑事执法管辖权的行使,美国国会引入《域外数据澄清法案》以赋予美国司法机构对于美国公司控制的境外数据的获取。据此,美国司法部也最终出具了新的搜查令,该搜查令的效力也得到了微软公司的认可。
(二)数据控制者模式的确立
结合上述案件与《域外数据澄清法案》的相关规范可以发现,通过对属人管辖的扩张解读,法案彻底改变了传统的域外刑事执法管辖程序,使得域外数据调查与获取得以在更为高效与可预测性的程序中展开。可以说,《域外数据澄清法案》对于执法管辖权的域外行使进行了两项具体的程序性的扩张:首先明确网络运营者具有调查取证的配合义务,以确保美国政府能够获得储存于海外的美国公民的个人数据,其规定了“电子通信服务或远程计算机服务提供者有义务披露其所拥有、监护或控制的美国公民的个人信息,包括有线或电子通信的内容、相关记录及其他相关信息,无论上述信息是否储存在美国境内”。上述规范首先以数据的控制者而非存储地或来源地来确定执法管辖的对象,尤其体现在对非美国公民数据以及域外数据的执法管辖,只要数据为美国公司所享有,那么其就应当接受美司法机构的直接管辖;其次,属人管辖与属地管辖的冲突适用规则,当前,无论是在国际亦或区际管辖之中,面对域外数据的管辖,属地管辖都天然地被加以优先适用,然而,《域外数据澄清法案》的出现却实际上打破了上述传统,赋予了属人管辖更为优先的适用顺位,其开宗明义指出,其立法目的就是授权美国执法部门在云计算技术的背景下通过服务提供者获取境外数据。可以说,《域外数据澄清法案》的出台标志着美国在域外网络数据的刑事执法管辖层面由数据存储地国模式转向了数据控制者模式。
需要加以补充的是,《域外数据澄清法案》所确立的域外刑事执法管辖权行使并非个案,类似的立法还包括英国2016年的《调查权法(investigatory powers act)》、加拿大2018年新版《个人信息保护和电子文件法案》、欧盟2018年《电子证据跨境调取提案》等。虽然,上述立法架构解决了数据来源地与数据控制者之间的冲突,但在赋予了本国司法机关对域外数据的执法管辖权之外,《域外数据澄清法案》还形式上赋予了域外公权力机构对本国数据执法管辖权的行使。具体来说,其赋予了“适格外国政府”在同美国达成执行协议(executive agreement)的基础上,向美国境内组织直接调取数据的权力。但这种权力的赋予只是形式上的,其塑造的双边数据执法管辖程序可以如下图所示。通过下图我们不难发现,无论一国是否适格,也无论一国与美国是否达成执行协议、是否订立共同司法互助协议,最终结果的导向必然包括美国对域外数据的“合法”获取。
图1 基于《域外数据澄清法案》的
域外执法管辖模式
PART-3
欧盟《一般数据保护条例》:基于保护管辖扩张解读的行政执法管辖权行使
数据跨境流动的常态化也直接推动了域外数据执法的常态化,但执法管辖权的域外行使,尤其是直接性的行政执法,出于对他国主权的尊重,通常必须在他国同意的基础上,依照特定程序而展开,如双边或多边条约机制。正如《维也纳条约法公约》所规定的,非因第三国同意不得为该国创设权利或义务。因此,脱离了双边或多边条约机制,未获得他国同意,执法管辖权在他国境内的行使依旧缺乏法理的背书与程序执行的可能。基于此,部分区域性立法,如欧盟《一般数据保护条例》(以下简称《条例》)开始寻求对保护管辖原则加以单方的效果解释与扩张解读,并寻求突破条约机制的束缚,为执法管辖权的域外适用,尤其是针对境外主体的直接行政执法,提供可行的规制支持。
(一)基于保护管辖原则扩张解读的域外行政执法模式
具体对《条例》的相关规制加以解读可以发现,就保护管辖的扩张解读,其在第3条规定:“本法适用于对欧盟内的数据主体的个人数据处理,即使控制者和处理者没有设立在欧盟内,其处理行为:发生在向欧盟内的数据主体提供商品或服务的过程中,无论此项商品或服务是否需要数据主体支付费用;或是对数据主体发生在欧盟内行为的监控。”考虑到欧盟庞大的经济体量与市场规模,上述具有保护管辖色彩的最低联系标准实际上以保障公民基本权利为表象,强行性地扩张了《条例》的适用范围,在纵向上已经实现了“全球适用”。此外,在“全球适用”以外,《条例》还期望达成“全产业链适用”,具体来说,对于管辖的主体,《条例》进行了细致的横向分类,除了具有直接关联的数据控制者(controller)、处理者(processor)、接收者(recipient)以外,间接或者利益相关第三方(third party),如上下游供应商等,都被纳入了《条例》的管辖之中。
然而,对保护管辖扩张解读,只是为执法管辖权的扩张行使提供了一个先导性条件,其立足于国内公权力主体对域外数据及相关主体的直接执法管辖权,最终的落脚点还在于将国内或区域性规范纳入全球相关主体的日常生产经营活动之中,以确保自身在标准制定层面的话语权。为此,基于保护管辖的扩张解读,条约机制的突破往往还伴随着执法管辖权的实体性扩张。以《条例》为例,其第51条规定了各成员国应提供一个或多个独立的政府公共机构,即监督机构。机构的职责根据《条例》第57条可以总结为两个方面:首先,服务于数据主体,即缔约国公民,保障其权利的享有;其次,监督数据的控制者、处理者等全产业链主体,保障其数据处理、转移等过程的规范。然而监督机构的职责并不仅限于监督,其也被赋予了远超“监督”所需的权力,包括有调查权、纠正权以及授权与建议权(authorisation and advisory powers)。其中,纠正权的设立具有明显的行政执法色彩,《条例》规定了种类繁多的纠正权,如对数据处理者与控制者的警告、惩戒、对于数据处理施以临时的或终局性(definitive)的限制、撤回许可证、行政罚款(fine pursuant)、暂停数据向第三国的接收者或国际组织的流入等。总的来看,监督机构虽名为“监督”,但实际上其由政府设立,同时被赋予了包括许可、处罚、强制等一系列的具有行政色彩的职权,是远超“监督”的实际需要的,加之其以区域立法为执法依据,面向的是全球范围内的相关数据控制者、处理者、接收者以及第三人,因而,不可否认的是,对于域外数据而言,《条例》实际上在未经他国同意的前提下,赋予了监督机构对全球数据相关主体直接行政执法的权力,以确保能够规范与管控相关主体的日常生产经营活动。
(二)执法管辖与司法管辖的衔接
然而,《条例》对于行政执法的青睐并不意味着对于刑事执法管辖权的完全忽视。实际上,对于缔约国的长臂管辖权行使,《条例》也提出了总体性的架构设计,具体而言,其在第58条第五款表示:“监管机构为了执行本条例的条款,有权将违反本条例的情形诉诸司法机构,在合适的情形下可以提起或参与法律诉讼”。这一表述在充分利用监督机构调查权的基础之上,实际上赋予了其向司法机构提出诉讼的权力,进而将其打造成为了一个介于立法与行政机构之间的主体。此外,与美国的《域外数据澄清法案》类似,欧盟于2018年通过了《电子证据跨境调取的议案》,将不以数据存储位置作为确定管辖权的决定因素,欧盟成员国的执法或司法当局可直接向为欧盟境内提供服务的服务提供商要求提交电子证据,只要同时满足以下条件:(1)被要求提交的数据为刑事诉讼所需;(2)被要求提交的数据与服务提供商在欧盟境内提供的服务有关。并且,上述思想在同年通过的《有关个人数据自动化处理之个人保护公约》及其议定书中也得到了继承,其在第15条中也明确:“监督机构应当参与到诉讼程序中,并将违反公约的行为提交至司法机构”。但略有不同之处在于,对于执法管辖权的辅助性价值,《条例》只是简单地架构了缔约国域外司法管辖权行使,并未明确上升至长臂管辖的层面,而《公约》一方面继承了《条例》对于监督机构提起与参与诉讼的相关规定,另一方面摒弃了保护管辖原则的适用,转而采用基于个人来文的直接全球共管,其在第18条明确规定,任何缔约国都有义务为协助数据主体实现其权利,根据官方的解释,此处的数据主体为不分国籍、住所等的任意个人主体。
可以说,《条例》对于执法管辖权域外行使的创新性规定的影响是巨大的,仅仅在《条例》生效后的一个月,巴西参议院便参照《条例》的相关规定,于2018年7月10日通过了《一般数据保护条例的》“镜像版”,即巴西《一般数据保护法》,其覆盖巴西所有的经营行业,影响全部私营和公共实体,且无论个人数据的处理是否发生在数字和物理环境中,同时,该法案还明确国家机构有权处以最高全年收入百分之二或者五千万雷亚尔的“行政处罚”。类似的情况还包括印度最高法院的高级别专门委员会所提交的《个人数据保护法案2019》等。
PART-4
中国模式的构建:反思与因应
跨境数据流动的常态化以及网络技术的发展对执法管辖权域外行使的传统模式提出了新需求与新挑战。预期有效应对,我们需要正视两个关键性的问题,即是否应正视并着手制定域外数据执法管辖的“中国模式”,以及“中国模式”如何架构。对于前者,答案是显而易见的,中国模式的构建既符合了我国国情与当前的互联网发展诉求,有利于实现国家对数据的最高控制权,也有利于在形成战略缓冲的前提之上,更为有效地抵御与反制来自境外的恶意管辖与可能的管辖冲突。其次,对于如何构建中国模式,这需要我们一方面在分析欧美模式成因与发展的基础之上,探究其规制设计与价值导向,另一方面在结合当前国际法规制与国际关系基本准则的基础上,统筹研判数据主权和数据治理的内在逻辑联系和外在规范支撑,进而实现如下三方面的平衡。
(一)制度防范与数据跨境流动的平衡
面对当前国际间已成趋势的扩张性域外数据执法管辖权行使,我们首先要重视制度的防御性作用,可以说,缺乏冲突解决机制与恶意管辖应对的域外管辖只会演变成为一场零和博弈。而数据本土化措施是发展中国家所普遍采纳的防御型数据治理规则。以我国2016年通过的《网络安全法》为例,其首次对数据的本土化进行了立法上的背书,其第37条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”上述规定对关键信息基础设施的数据跨境传输从法律层面上进行了规制,以立法防范了他国可能的执法管辖权恶意扩张,尤其是他国单方刑事执法管辖权行使,避免了潜在的国家安全隐患与个人隐私风险。
数据本土化也并非一劳永逸,其负面作用也应当值得我们加以警惕,过分推荐数据本土化也会产生矫枉过正的效果,影响我国的国际竞争力,据统计,如果我国的数据本地化策略得到全面的实施,可能减少GDP 的1.1%,减少推动中国出口和长期增长的境外对我国直接投资的1.8%和出口的1.7%。这就要求我们兼顾数据本土化与数据流动性二者间的平衡,积极地寻求以国际协作的方式将本土化的负面影响降到最低,上述思想也体现在了《数据安全法(草案)》第10条的规定之中。为此,我国可采取与他国点对点地建立包括“安全港”协议在内的更为高效便捷的双边网络数据协作机制,或者有条件地加入如亚太经合组织跨境隐私规则这一类体系,并将规则的认证标准与模式推向各潜在缔约方。当然,我国亦可将域外数据管辖相关内容纳入“区域全面经济伙伴关系协定(RECP)”、“自由贸易协定(FTA)”等谈判之中,进而将跨境数据流动规则纳入具有法律约束力的协议中。可以说,这不仅是维护我国国内利益的需要,也是确保我国数据立法域外效力、保证跨境数据流动国际合作的健康开展与可持续发展的要求。
(二)管辖权扩张与网络主权的平衡
在利用规制防御以及积极参与国际协作的同时,我国也应当着手制定针对域外数据执法管辖权行使的中国模式,域外数据执法管辖权基于网路需求与技术特征的扩张并不必然会对网络主权造成侵犯,这也与我国所倡导的网络主权原则并不相冲突,二者并非处于非此即彼的关系之中,合理的域外管辖权行使存在着可能的架构,这也是我国所应寻求的。总的来说,我国可以以属地管辖与保护管辖原则的再解读作为两个有针对性的突破口,适当地扩张我国相关公权力主体执法管辖权针对域外数据及相关主体的行使。具体来说:首先,对于何为“域内”,结合互联网背景加以再解读,然而网络空间的基本特征之一除了虚拟性以外,还包括其信息性。在此,我国有必要参考国际常设法院的观点,其对于“域内”也提供了如下三种场景:信息接受点(point of reception)在该国领土内;信息发出点(point of delivery)在该国领土内;当信息在一国领土内的线路或网络(wires and lines)中传播。上述场景都可以视为信息位于一国领土之内,相应的,一国也可以直接依据属地原则对相关数据加以管辖。可以说,上述架构是为我国当前立法所忽视的,若将接收点与发出点在我国国内的数据,以及在我国领土内的线路或网络中传播的数据纳入属地管辖的范围,那么对其行使包括行政处罚在内的执法管辖权都可直接视为域内而非域外管辖。
其次,确立保护管辖原则在基于国家安全与公共利益前提下适用的优先顺位。面对物理联系式微的网络空间,一味地推崇属地优先与当前的国际实践以及我国的现实需求存在着一定的偏差。当前,无论是《网络安全法》,亦或是《数据安全法(草案)》的相关规范,都包含“国家安全”与“社会公共利益”保障的相关条款,基于此,对于关键领域与核心利益,面对域外违法行为,我们应当在管辖原则的适用上摒弃“绝对属地主义”的思想,从立法的层面将保护主义原则的适用优先性加以提升,以便利我国司法机构对关键利益的维护以及全球治理的参与,但对于这一扩张应采取严格限制适用的措施,既要防止走入欧盟式的“全球共管”模式,亦要与被动国籍原则的扩张加以严格区分,毕竟,执法管辖的域外行使应以尊重他国的网络主权与司法主权为前提。
(三)区别执法与对等原则的平衡
在实体领土之上,刑事执法管辖权的域外行使无论是域外调查权或是文书的送达,缺少协作的单方行为不但难以操作,更有可能被视为是对主权的威胁与侵犯。但在无边际的网络空间之中,上述阻碍则并非难以逾越,基于云计算的发展,考虑到数据的常态性跨境流动与“离散型储存”,司法协助与合作的价值也被互联网技术所削弱,以美欧为代表的刑事执法管辖权的行使往往建立在单方域外调查权的基础之上,即基于数据控制者模式,单边授权收集储存于境外服务器或处于跨境流动中的数据。然而,对我国而言,一味地借鉴或参考美国模式,对于他国网络主权与数据安全而言无疑构成了侵害,但如果因循当前《刑法》第9条的规定,即严格遵从传统司法互助模式,那么,在面对域外恶意管辖时,则将失去“战略上的对冲”。面对这一两难处境,我国应当在充分利用数据流动性的基础上,确立我国刑事执法管辖权的域外效力,保留基于“数据控制者”模式行使域外数据调查权的权力。一方面,对于“发出点”与“接收点”为我国的数据,以及在我国领土内线路或网络传播的数据,无论其实际控制者或者处理者所处位置,直接比照为我国领土内数据,进而依据属地管辖加以执法;另一方面,对于我国数据控制者存储于域外的数据,则依据对等原则判断是否采纳或保留“数据控制者”模式。对等原则的适用不仅仅应针对贸易、投资等环节,也应考虑执法这一环节,这是为《数据安全法(草案)》所忽视的,上述措施一方面可以为我国司法管辖权域外行使提供有效的前置性程序保障,同时便利国内公权力主体对于域外数据主体的直接执法,另一方面也可以为我国参与国际间数据合作提供竞争力与话语权,进而实现从参与者到规则制定者的转变。
结 语
随着大数据时代的到来,数据,作为新时代的石油与黄金,其常态性的跨境流动对于各个国家而言,既是发展的机遇,亦是主权的挑战,但无论网络数据全球化的程度有多高,作为“新疆域”的网络空间也不应当是“法外之地”。在当前执法管辖权扩张已渐成趋势的大背景下,我国作为网络强国与数据大国,应正视并加以跟进,应基于国际法规则,构建符合我国国情与社会需求的执法管辖权域外行使模式。新模式的构建将有利于于保障与维护我国数据主权及网络主权,弥补我国相关公权力主体的执法空白,加强我国对域外数据的获取,为我国管辖境内外的数据及相关主体提供合法的规制前提。同时,针对域外数据,我国执法管辖权的域外行使应当有法可依,但也不应排斥规范之外的国际协作,应在有法可依的前提下,构建“法中法”与“法外法”,积极寻求更多新模式与新可能。最后,制定执法管辖权域外行使的中国模式,也是进一步构建网络空间命运共同体,维护和平安全、促进开放合作、构建良好秩序的重要法律保障。
往期推荐
周 超 毛胜根|社会治理工具的分类与型构——基于社会治理靶向和行动逻辑的分析
扫码关注我们
《社会科学》杂志
唯一官方微信平台
理论创新 学术争鸣 战略视野 现实思考