吴玄:云计算下数据跨境执法:美国云法与中国方案||《地方立法研究》
云计算下数据跨境执法:美国云法与中国方案
吴玄
(上海师范大学哲学与法政学院副研究员)
本文来源于《地方立法研究》2022年第3期。因篇幅较长,本文注释已略,建议阅读全文。
摘要
以云计算为代表的信息技术改变了数据与用户的物理联系,模糊了国家的疆界,进而侵蚀了主权国家行使管辖权的基础。基于国家主权原则,数据存储地模式倾向于将数据本地化存储,通过多边法律协助机制协调国际管辖冲突。而数据的无形性导致了国家管辖难以确定与国际管辖难以协调的双重困境。为此,美国云法提出数据访问地模式,在数据跨境执法领域引入“长臂管辖”,试图打造全新的数据跨境执法机制,形成符合其利益的极具单边主义色彩的国际规则。中国应以《数据安全法》和《个人信息保护法》的实施为契机,坚持以数据主权原则作为指引,在保障国家核心数据、重要数据以及个人信息安全的前提下,加强国际数据执法合作,推出数据跨境执法的“中国方案”。
关键词
数据跨境 数据安全法 个人信息保护法 数据主权 美国云法
目次
一、问题的提出
二、云计算下数据跨境执法的困境
三、数据访问地模式的提出与实践
四、出路:跨境数据执法的“中国方案”
结语
一、问题的提出
随着数字经济的兴起,数据已经成为重要生产要素与国家战略资源,数字化驱动下的全球经济离不开大规模数据的跨境流动。关于数据跨境流动的国际规则也成为全球数据治理的重要组成部分,受到国际社会的广泛关注。实践中,数据跨境不仅包括数据贸易、电子商务等“因私”跨境流动,也存在大量公权力机关跨境调取数据的活动。所谓数据跨境执法(law enforcement access to data across borders),是指国家公权力机关基于行政执法或司法目的而获取存储在他国境内的电子化信息记录。近年来,伴随着犯罪活动的数字化趋势,数据证据亦成为打击网络犯罪的主要证据类型,数据跨境执法已经成为打击跨国犯罪的重要手段。与此同时,新兴技术下的数据特殊性导致数据分布“去地域化”,执法活动受到越来越多的“跨境”因素影响。现有的全球跨境执法机制是基于物理世界规则建构的,实践中往往运行不畅。如果国家间缺乏国际协议,就需要通过“一案一议”的方式调取数据,耗时且低效。因此,如何重塑数据跨境执法机制以满足数字时代的跨境执法需求,成为国际社会面临的紧迫问题。
遗憾的是,国际共识在数据跨境流动领域远未达成,制度分歧导致管辖冲突日常化。一方面,部分国家诉诸“数据本地化”立法,试图将数据“再地域化”。这些法规要求相关企业将本国产生的数据存储在境内,以加强对数据跨境流动的监管。另一方面,部分国家依赖技术优势,推动数据彻底“去地域化”。美国、英国、巴西等国则采取技术和法律手段开展远程数据调取活动。美国2018年出台的《澄清境外数据合法使用法》(Clarifying Lawful Overseas Use of Data Act,即美国云法)授权美国执法机构向管辖范围内的网络服务提供商(ISP)直接调取存储在境外的数据,是为数据“长臂管辖”。为此,我国《数据安全法》与《个人信息保护法》设置了“阻却条款”,强调对境内存储数据的排他管辖。上述不同立法路径也反映在学者的研究之中。虽然国内外学界均已经认识到数据特性对传统跨境执法机制的冲击,但在管辖模式的选择上观点趋于两极化。美欧学者大多偏向“数据访问地”模式,并从多角度加以论证。他们主张数字时代的法律全球化运动导致域外管辖具备正当性和普遍性;国家管辖框架“去地域化”不仅是提升打击网络犯罪效率的要求,也有助于全球数据产业发展;同时,统一的数据跨境执法规则也可以提升全球隐私保护水平。国内学者多主张在跨境数据执法中坚持“数据存储地”模式。有的学者提出数据取证管辖模式的改变源于各国自身利益最大化对数据资源实施掌控,因此中国的数据跨境执法应以数据主权国家战略为基础。有的学者指出应将涉外刑事司法中的立法管辖与执法管辖进行区分,以此为基础化解跨境调取数据所带来的执法管辖冲突问题。针对各国法律规定分歧加大的趋势,有的学者提出以软法规制的灵活性来协调数据本地化与自由流动的矛盾。上述研究仍然停留在规则层面的讨论,并未结合数据立法的理论基础与治理理念加以分析。数据跨境执法涉及多重法益,不仅包含数据安全、公共利益、个人信息与隐私保护,也关系到国家主权、数据产业发展、国际博弈等。对数据跨境执法制度的研究,不能忽视对数据法律性质以及数据治理理念的讨论。前者是“数据法学”的根基。数据是无形的,不受疆域限制。物理时空的边界变得愈发模糊,现有法律框架面临着颠覆性挑战。后者则回归到全球网络治理的元问题,即主权国家如何行使对网络空间的管辖。由此产生坚持传统的主权国家模式分割管辖和“网络无国界”放任数据完全自由流动。基于上述背景,本文直面数据跨境执法的主要困境,梳理数据访问地模式的理论基础与实践演进,分析该模式对传统国际管辖框架的冲击,并结合我国国内制度的进展和完善,提出构建数据跨境执法机制的“中国方案”。文章结构如下:第一部分,提出问题。第二部分,探讨新技术下跨境数据执法机制面临的挑战,指出国内管辖识别与国际管辖协调是当前的主要问题。第三部分,就数据访问地模式的理论提出与实践发展进行深入分析。以“数据例外说”为切入点,梳理各国司法实践,重点探讨美国云法建立的数据访问地模式的运作。第四部分,梳理分析中国立法现状,结合《数据安全法》和《个人信息保护法》相关规定,提出在数据主权的基础上,完善数据本地化立法,构建符合国家利益的跨境数据执法协作机制。云计算是指“在互联网上作为服务交付的应用程序和提供这些服务的数据中心中的硬件和系统软件”。用户使用云计算可以在任何地点创设、修改、存储文档和数据,彻底改变了人们的工作生活方式。然而,云计算削弱了用户与数据的联系:用户并不知晓数据存储地,对数据(包括个人信息)的控制力也远不及个人电脑时代对电子文档的控制。面对这些数据,如何确定国家的管辖权,进而协调国际管辖,成为跨境数据执法中无法回避的问题。
(一)困境一:国家管辖认定困难
三、数据访问地模式的提出与实践
四、出路:跨境数据执法的“中国方案”
云计算突出了数据的非实体性,令传统物理世界的跨境执法机制陷入困境。美欧等国在此领域展现出了强大的理论建构和规则制定能力,意图重塑跨境数据执法机制。制定符合本国国情的跨境数据执法体制,也是中国从数据大国到数据强国所必须应对的挑战。
(一)美国云法中数据访问地模式的缺陷
美国云法选择数据访问地模式,推动数据跨境执法机制进一步“去地域化”。然而,在“高效”外表下的“新机制”却隐藏着单边性和不对等。
首先,从性质来看,美国云法是国内法的单边国际适用。基于主权平等原则,各国均将公法性质的法律适用范围限制在境内。一国不能忽视他国在国际法上的权利而任意主张本国法律规范普适性。数据跨境执法机制也应当遵循国际法原则。云法打破了上述原则,直接将美国的法律施加于其他主权国家,这种过于强调法律适用的单边性的“数据霸权”对国际法与国际秩序都将造成危害。
其次,从法律地位来看,美国与其他国家并不平等。一是“适格外国政府”标准完全由美国掌握。美国云法对“适格外国政府”提出了诸多要求,将候选国范围限定在少部分欧美国家。即使是同样持“互联网自由”主张的盟友,也需要修改本国相关法律以达到云法要求。二是美国法院取代外国政府进行裁决。针对存储在境外的数据,美国执法部门不再事先向外国政府提出申请,而是直接调取。虽然云法要求法院遵循国际礼让原则,但事实上剥夺了其他主权国家的管辖权。三是监督权与决定权均属于美国国会。云法规定双边协议有5年有效期,到期后司法部需要向国会提交报告。实质上赋予了美国国会审查他国政府活动的权利。
最后,从实施来看,新机制运转建立在美国与他国在技术与产业的不对等之上。实践中,各国对于存储在境内的数据较易行使管辖权,而对于流至境外的数据缺乏控制手段。此时实际管辖效果完全取决于相关国家的数据控制能力,如果本国的网络服务提供者控制他国数据,那么数据调取较为便捷。反之,即使在立法上采纳数据访问地模式,实践中也无从执行。因此,对于在数据产业无法与美国抗衡的国家,在双边协议的签署与执行中缺乏议价能力,只有选择遵循“适格外国政府”标准和美国的监督。
由此可见,美国云法创设的新机制实质上是一种“霸权”视野下的数据跨境调取机制。在这个机制中,美国作为一种“超主权”的国际主体存在,制定并监督规则的实施。即使相关数据存储在本国境内,相关国家也只能遵循美国的标准才可以调取访问数据。同时,美国得以利用技术和市场优势,将其标准演化为国际通则,并“激励伙伴国家遵守这些标准”。
(二)中国数据跨境执法机制现状
与美国云法所展示的单边性和侵略性不同,中国在数据跨境执法中长期坚持国际法(见表1)。尤其是近几年我国加快了立法进程,已经逐步建立起数据跨境执法的基本框架。
首先,我国将主权平等原则视为数据跨境执法的重要基础。主权平等原则是中国处理网络空间事务、参与互联网全球治理的基本原则。长期的全球互联网治理实践表明,网络空间的秩序离不开主权国家的维护。早期的互联网乌托邦主义者所主张的“网络自治”“去主权化运动”并没有阻止主权国家对网络空间的管辖。所谓网络空间,仍然是现实世界的一部分,最终仍然从属于民族国家的主权。
近年来,针对数字化的发展趋势,我国提出了数据主权概念。数据主权是国家主权在数据领域的具体表现。“它是传统主权在网络空间的延伸,也是现实主权在网络虚拟空间符合逻辑的投射。”作为数据主权适用的主要场景,数据跨境执法活动中同样应当遵循主权平等原则。数据跨境执法是数据主权的主要适用场景。2021年实施的《数据安全法》和《个人信息保护法》在数据跨境相关章节均以数据主权为主要指导依据。为了进一步回应云计算技术对于国家主权的挑战,立法部门需要进一步丰富数据主权的内涵,构建数据主权原则下的跨境数据法律体系,并将数据主权融入网络治理体系。
其次,我国将数据本地化立法作为数据跨境执法的有力保障。由于数据管辖遵循属地原则,将数据留存在境内是实施控制的有效手段。我国的数据本地化实践开展较早,最初是针对特殊类型的数据提出本地存储要求,如金融、卫生医疗和交通领域等重点领域。《网络安全法》第37条站在国家安全的层面就数据本地化作出了统一规定,将数据本地化的范围设定在关键信息基础设施产生的重要数据上。同时,为了不阻碍正常的数据流动,提出了数据出境评估制度。随后的《数据安全法》与《个人信息保护法》进一步完善了重要数据与个人信息跨境制度。
最后,涉外制度已经成为数据跨境执法的重要组成部分。随着我国对外交往程度的不断加深,迫切需要熟练运用法律手段维护本国利益。当美国云法的“长臂管辖”侵犯到本国的主权时,我国开始尝试“阻断立法”对其进行限制。云法颁布后,我国立即通过了《刑事司法协助法》,表明国际司法协助机制作为中国与他国进行跨境司法(执法)协助的主要途径,并要求境外机构在我国境内寻求司法协助须经主管机关同意。《数据安全法》与《个人信息保护法》均设置了相似条款,意在阻断美国执法机构未经同意获取境内数据。上述规定在法律层面重申了主权国家对境内数据的管辖权。此外,在阻止他国长臂管辖的同时,我国立法对采取歧视性措施的国家施以对等措施。2021年6月全国人大通过的《反外国制裁法》是中美进行法律战的标志性发展,表明我国开始重视反制霸权的法律建设。《数据安全法》和《个人信息保护法》也加入了相关条款,为数据领域储备法律武器。目前,相关制度尚在建立之中,有必要对具体反制措施的启动要件、施行程度及事态扩大风险的评估进行更加细致的研究。
(三)“中国方案”的完善
我国已经建立起数据跨境执法制度的框架,将数据存储地模式作为数据跨境执法的判断标准。然而,将本已脱离地域限制的数据重新锚定在物理空间实施管辖的方式亦不可取。数据跨境执法制度的完善应当回归数据本身的特性。
首先,以数据分级分类为基础,适当对等开放数据管辖。数据跨境流动是数字经济发展的必然要求,只有流动的数据才具有价值。数据本地化的目的并不是阻碍数据流通,而是在数据安全与数据流通中找寻平衡点。
一方面,过于严苛的数据本地化法律无助于解决跨境数据执法的困境。如前文所述,流程复杂导致的低效是国际法律协助机制面临的主要问题。在数据跨境执法中,或可以采取“程序主义数据主权”下的互惠机制。在数据存储地模式下允许数据访问地模式的例外,主权国家间通过协商让渡部分数据管辖权,以提升执法效率。该机制并未改变数据存储地模式的根本地位,而是吸纳了数据访问地模式的效率优势,也符合平等互惠原则。另一方面,对数据实施分类分级保护的方式符合数据的客观规律。并非所有的数据都涉及国家安全,现行相关法律规定也绝非一刀切式执行数据本地化措施。《网络安全法》将本地化的范围限定在“关键信息基础设施”产生的个人信息和重要数据,体现了数据分类保护的思路。这种思路在《数据安全法》和《个人信息保护法》得到了进一步明确。
因此,应当在跨境数据执法领域引入数据分级分类机制。对承载着不同利益层次和位阶诉求的数据流动加以规范,明确可跨境流动数据的类型、范畴、保护措施,为数据跨境流动提供可操作的法律依据。对于与国家安全、公共利益关联度较低的数据,可以考虑在特定条件下(双边多边协议),允许相关国家执法部门跨境调取。
其次,积极参与全球数据治理,影响数据跨境执法规则的形成。目前,以美欧为代表的部分西方国家秉持“网络无国界”“数据自由”治理理念,强调网络空间“全球公域”(global commons)属性,在跨境数据执法领域推行数据访问地模式,实施单边性“长臂管辖”;而广大新兴国家,在网络空间国际治理中坚持数据主权,主张数据本地化立法,以数据存储地模式区分各国管辖范围。
跨境数据执法领域是网络空间国际治理的重要分支,受到国际博弈、国家安全、技术发展各种因素的影响。云计算技术的发展和普及消融了物理边界,冲击了传统国际法上的管辖架构。如何修补、更新乃至重塑跨境数据执法机制成为各国面临的重要问题。
经过长期发展,我国的数据产业在全球竞争中已经取得了一定优势。这为我国参与制定跨境数据执法机制提供了实力保障。在此可以借鉴美国将国内法转化为国际规则的相关经验。美国云法正是通过国内法和双边协定影响数据跨境执法领域全球规则的鲜活例子。
同时,中国应遵循互联网全球治理法治化的路径,摒弃欧美国家以实力谋取霸权的思维模式。互联网全球治理法治化“是以先定的规范为标准和指引解决问题的;它区别于霸权之下的权力垄断,它是以多边民主透明的方法制定反映多数国家意愿和利益的规则”。
在实践中,一是积极参与跨境数据执法规则的制定,包括参加国际平台关于跨境执法机制改革的研讨,在具体规则和理论建构中提出中国主张,扩大中国影响。利用G20(二十国集团)会议、金砖国家峰会、世界互联网大会等场合,清晰阐述数据主权的治理理念,提出具体的跨境数据执法规则。二是灵活运用国际网络治理中的“朋友圈”,与立场理念相近国家积极开展双边、多边谈判,率先建立数据主权下的跨境数据执法机制“示范区”,增强中国在此领域的话语权,树立与国际地位相一致的数据大国形象。
领土是传统国际法上主权国家行使管辖权的基础,国家主权原则要求在他国领土上行使管辖须获得该国同意。然而,云计算技术使得领土界限变得模糊,各国在网络空间和数据领域的管辖冲突在所难免。
理论和实践中,各国都试图解决问题。一方面,一些学者认为数据的移动性、拆分性、混通性等特点造成存储地意义的缺失,进而提出以数据访问地取代数据存储地模式。另一方面,随着网络再主权化,许多国家诉诸数据本地化立法,倾向于回到国际法律协助机制协调管辖冲突所带来的执法困境。
美国在全球网络技术和数据产业中居于主导地位,在数据领域事实上具备超越其他主权国家的管辖能力。同时,“数据例外论”为美国绕开主权国家边界,实施“长臂管辖”提供了理论基础。最终,美国云法抛弃了传统国家管辖在网络空间的适用,转而建立一套以美国为主导的新模式。云法的制定,是“美国优先”政策在跨境数据领域的表现,对以国家主权为基础的传统国际法管辖框架构成了严重威胁。
当前,我国已经明确提出将“尊重网络主权”原则作为建构全球互联网治理体系的重要基础。随着《数据安全法》《个人信息保护法》的颁布实施,我国数据跨境的基本架构业已完成。下一阶段,需要进一步平衡主权管辖与数据自由流通的关系,以《数据安全法》《个人信息保护法》的实施为契机,尽快建构完备的跨境数据执法体系。在国际法层面制定以网络主权为基础的网络空间国际规则,推动和巩固数据跨境管辖上的国际共识,提升通过国内立法影响及重塑国际规则的能力。跨境数据执法的“中国方案”应以数据主权为基础,强调对关键核心数据的保护,适当对等开放一般数据,并设定必要的反制措施,以实现维护国家主权和数据安全的目的。
《地方立法研究》2022年第3期目录与摘要
韩旭至:敏感个人信息处理的告知同意
邱遥堃:互联网平台报告违法信息的制度逻辑
《地方立法研究》投稿网站:
https://dflf.cbpt.cnki.net/