我们应当如何理解数据治理中的管辖权冲突?
本文编译自 What Are We Actually Talking About? Conceptualizing Data as a Governable Object in Overlapping Jurisdictions,作者Anke Sophia Obendiek
为保证阅读的流畅性,本文对脚注及正文内容有删减
1. 简介
数据的收集、处理和共享方式对安全、卫生、民主和人权等领域具有重大影响。数据治理是指国家、国际组织、地方政府和私营企业等在内的参与者对数据的处理、传输、共享和一般使用做法的管理过程。“斯诺登”事件和“剑桥分析”事件后,数据治理经历了“大规模冲击”。在过去十年中,国际、地区和国内层面的监管措施激增。当下,不同的国家或地区对数据进行治理的不同主张相互冲突,并因数据治理方法不同而产生的冲突动摇了跨大西洋关系,并已经多次对跨大西洋的数据传输制度产生了不利影响。
在目前的争议中,不同的数据治理结构是一个被低估且理论探讨不足的议题。不同的国家或地区对数据的意义、利益相关者群体以及治理工作的目的的概念是不同的。本文通过三个因对数据治理的主张相重叠而产生冲突的案例,说明对数据治理不同结构进行研究的重要性。这三个案例是:1)斯诺登事件曝光后关于跨大西洋商业数据传输的争议;2)微软和美国司法部之间围绕电子证据的冲突;3)欧洲数据保护机构和谷歌之间关于被遗忘权潜在全球适用性的冲突。
本文建议将数据的概念及其治理愿景划分为以下四种类型。第一,将数据概念化为个人权利问题,形成了基于自由保护的数据治理愿景。第二,将数据概念化为安全工具,形成促进全球安全合作的数据治理愿景。第三,将数据概念化为一种与数字经济有关的经济资源,形成支持有限监管下的进步和创新的数据治理愿景。第四,将数据概念化为一种集体资源,形成强调普遍权利和全球措施的数据治理愿景。
2. 数据治理中的管辖权冲突
近年来,数据治理的管辖权冲突在全球范围内频发,这主要有以下几个原因。其一,相关法律规定的域外管辖造成了地方和全球监管的重叠;其二,私营科技公司的全球业务开展产生了复杂的公共和私人关系网络,公共和私人主体在该网络中的主张形成了相互冲突的管辖权主张;其三,由于缺乏在全球范围内协调的体制机制,现在几乎没有可以用于解决上述管辖权冲突的方法。
目前,法学学者和政治学学者已经提出,我们对于管辖权冲突的理解应当超越地域管辖权的概念本身,考虑实践和相关群体的因素。本文在此基础上采用了社会学的理念,从关系的角度理解管辖权主张,即关注主体(行为者)和/或客体(对象)之间的关系以及它们之间相互构建的过程。行为者通过提出“管辖权要求”,行为者旨在确立“对某一问题的合法控制”的能力范围。通过以特定群体的名义出于特定原因对特定对象提出管辖权主张,行为者定义了可接受和不可接受的政策,构成了数据治理的监管愿景。在管辖权主张中,行为者将这些愿景作为合法性依据。当重叠的主张发生冲突时,就会出现“管辖权冲突”。
在此框架下,本文区分了管辖权主张中的三个要素:
1) 监管对象,即试图控制的客体;
2) 相关群体,即与受影响的利益相关者之间的行为;
3) 监管理由,即为什么管辖权主张是合法的。
本文认为,通过提出管辖权主张,行为者产生了数据治理的不同愿景。他们阐述了深刻的规范性思想,概述了什么是数据,应该如何治理,为谁治理,为什么治理。
3. 方法和数据
本文研究了行为者以隐性方式(具体的立法行为或发布正式的数据请求)或显性方式(向法院提交的文件)提出的控制要求,以说明不同行为者之间的差异。根据公开的政策、法律等原始资料和理论文献以及本文作者与来自公共和私营部门的代表、布鲁塞尔和华盛顿特区的政策制定者以及硅谷的公司代表进行的21次定性访谈,本文将管辖权主张中的三个概念“(a)将数据作为监管对象的概念,(b)群体,以及(c)理由”进行梳理后,得出了行为者进行数据治理的四个愿景进行了梳理,最终得出了表1内容。
4. 数据治理的竞争性概念
表1中关于数据的概念描述了关于数据关键特征的假设,并对应于对集体价值的追求。数据治理的四个愿景表明了什么是数据,谁应该治理它们,以及为什么数据治理是有意义的。监管对象、相关群体和监管理由共同构成了表1所述的数据治理的四个不同愿景:
第一,地方自由主义愿景强调人类的共同利益和个人的基本权利,以及基于权利的数据概念。在地方自由主义愿景中,数据与个人有着不可逆转的联系:其基础是正义和公平,以及自由主义价值观的文化和政治阐述。此地方自由主义强调公共权力和强有力的、可执行的规范和规则,以及与主权相关的数据治理理由。
第二,数字经济的愿景强调数据作为一种经济资源的重要性。实现数字经济发展的治理愿景需要松散和可互操作的监管,以有效地分配利润。这种数据的概念并不强调它与个人的相关性,而是强调了信任等原则,以及创新、企业自由和法律确定性对商业运行的重要性。
第三,数据作为安全工具的愿景将数据概念化为安全工具,强调数据是如何被概念化为打击恐怖或犯罪的中性工具。在这种概念下,知识是处理数据的必要条件。这一愿景基于全球安全威胁,通过建立安全的渐进式流程,将公共和私人利益的融合,以安全为目标创造数据治理社群。
第四,全球保护的愿景强调了数据治理的可互操作标准。在这一愿景中,数据被概念化为一个集体权利问题。需要制定数据资源利用的共同解决方案,而集体特征要求数据及其保护能够普遍获得。因此,不同司法辖区的监管机构需要加强合作和法律协调。这一愿景强调了团结和普遍性等原则和可互操作标准。
5. 结果:全球数据治理中的挣扎
本节列举了这些数据治理愿景之间发生冲突的三个例子,主要分析了行为者在对象构建过程中、通过对象构建所使用的资源,以及数据治理的更广泛愿景。
5.1 跨大西洋商业数据治理
第一个案例是奥地利公民Schremes对美国公司Facebook数据保护的诉讼,此案涉及到跨大西洋商业数据传输的争议,引发了美国情报监控和欧盟数据保护制度的冲突。
1995年出台的《数据保护指令》与2018年出台的《一般数据保护条例》先后构成了欧盟控制数据跨境转移限制的法律要求。而美国情报部门通过其全面的监视活动,发布了与欧盟数据控制相重叠的监管主张。2000年,美国和欧盟尝试通过“安全港协议”来弥合监管分歧。但斯诺登披露国家安全局的大规模监控后,数据安全问题给欧盟带来了加强性监管的压力。在美欧框架改革谈判进行时,奥地利公民Schrems对美国公司Facebook缺乏足够的数据保护提出了投诉。在运行15年后,欧盟法院宣布安全港协议无效。
5.1.1 治理的对象
国家安全局监控措施的域外管辖权已成为欧美关系中的重要冲突来源。2013年,欧盟委员会进行了一次安全港框架审查。尽管欧盟委员会意识到了可能存在的数据保护漏洞,但审查主要关注的是因信任破裂而造成的潜在损失。欧盟委员会的公告将数据视为需要在两个管辖区之间自由流动的经济资源。
Schrems的投诉对这种观点提出了质疑,他提到了基于权利的数据概念。这一概念强调了在欧盟公民的相关群体中保护个人权利的目标。由于国家安全局对私人服务提供商的依赖,数据收集和传输被视为商业行为而受到欧盟法律的保护。而欧盟法律对公民的保护为质疑这类数据使用的法律基础提供了空间。
美国针对此案的声明并没有具体涉及安全港框架,只限于一般的安全参考。Facebook辩称“本案与Facebook无关”,将话语权转交给公共行为者。虽然美国试图将数据治理与安全理由联系起来,但他们未能主张其管辖权。
此案中,占主导地位的数据作为经济资源的概念与基本权利问题发生了冲突。
5.1.2 答复和理由
基于数据作为经济资源的概念,欧盟委员会选择了优先考虑修改现有的安全港框架。2014年,欧洲议会呼吁立即暂停该框架,并提到了人权问题。但欧盟行为者认为美国的做法尚未构成符合协议的必要减损。这意味着将数据作为一种基于权利的关注影响了主权,加强了基于自由保护的数据治理愿景。
欧盟议会和Schrems主动试图塑造数据治理概念的形成过程,强调“大规模监控的不加区分的做法”,表明美国的管辖权主张违反了基于权利的数据治理愿景。欧盟法院对美国监控法律和实践的评估是基于这些主流的数据概念。
5.1.3 结果
欧盟法院宣布美国法律充分性的结论无效,进而导致安全港框架失效。这个结果既是国家安全局为了追求安全而对存在的威胁所做出的回应,更是数据被概念化为对相关群体完整性有影响的个人权利问题而导致的。
此后,欧盟为避免公众受到监视制定了新的标准。2016年2月,欧盟与美国重新进行的谈判最终达成了“隐私盾协议”,但在2020年7月,欧盟法院再次判决“隐私盾协议”无效。
尽管存在权力不平衡,但根据基于权利的数据概念化,Schrems的申诉认定美国的管辖权主张是不充分的。这导致了两次欧盟的双边协议的无效,并让欧盟立法中对数据的“充分保护水平”的法律概念更加狭窄。
5.2 电子证据
第二个案例是在获取电子证据方面出现的管辖权冲突。电子证据对执法的重要性逐步上升。为了节约时间,执法机构通常依赖于与互联网服务提供商的非正式合作获得电子证据。这构成了执法的管辖权要求,但给相关公司留下了法律上的疑虑。
2013年,作为大量数据持有者的微软抵制了美国司法部发出的对存储在爱尔兰内容数据的搜查令。微软认为,《美国存储通信法》并未授权域外数据访问,而这些数据受欧盟数据保护法的管辖,被禁止向欧盟以外转移。2017年,该案进入美国最高法院,让公众关注到这一司法冲突的全球影响。2018年,美国通过了《澄清合法使用境外数据法》(即“CLOUD法案”),明确规定了在特定条件下数据访问的合法性,微软在该案件中的主张因此变得毫无意义。
5.2.1 治理的对象
在该案审理期间,行为者提出了各种数据概念和利益相关者责任概念。美国司法部则将数据概念化为证据,强调安全是数据治理的目标。而微软则将数据概念化为物理对象,认为美国政府的行为巩固了数据请求的暴力性和侵入性,对主权完整性存在潜在的侵犯。
该案中的行为者还提到了数据治理的相关群体以其管辖权主张。例如,美国众议员得雷本指出“微软是在声称,一旦它将信息转移到海外,就有权向任何人单方面披露”。而微软将美国对主权的侵犯与自己负责任的行为并列,使其政治行动合法化。虽然数据的概念化作为一个主权问题得到了认可,但美国将数据访问作为安全合作的必要条件以及微软的隐私理由基本上被忽略了。
5.2.2 答复和理由
该法律案件对主权的影响使其与其他司法管辖区的关系越来越紧密。这给以前的公共-私人的管辖权主张增加了一个公共-公共的层面,吸引了国际社会的关注,并进一步巩固了数据治理作为主权问题的概念。
此案也加速了美国的立法进程,由此产生的CLOUD法案通过立法补充了管辖权的要求。该法案加强了公共行为者的管辖权主张,并使之合法化,但CLOUD法案却几乎没有受到欧盟的公开抵制。
5.2.3 结果
CLOUD法案没有解决数据概念和数据相关的主权方的根本分歧。两个月后,欧盟委员会公布了自己的双重立法提案,以规范电子证据共享。欧盟委员会放弃了基于主权的数据概念,强调了国际合作的重要性。这两个提案中的规定在许多方面与CLOUD法案相似,在数据治理中巩固了安全合作伙伴关系的愿景。批评的声音认为,这些建议有可能将保障正当程序的职能从司法机关转移到公司:微软的对美国司法部的诉讼行为“确保政府使用其调查权力时严格遵守法治的审查”,减少了法律的不确定性,使其成为公共管辖权主张的挑战者。
基于主权和隐私问题的数据治理冲突在国际上变得非常突出。但数据越来越多地被称为打击(跨)国家犯罪的工具,需要不同司法辖区之间的执法合作。法律确定性、全球主义解决方案和安全的目标汇聚在一起,促进了安全工具的愿景。从长远来看,这可能会支持数据在全球范围内的共享。
5.3 被遗忘权
第三个案例为欧洲数据保护机构和谷歌之间关于被遗忘权全球适用的冲突,其管辖权冲突出现在公共-私人和地方-全球对数据控制的管辖要求的交汇。2009年,西班牙公民Gonzáles试图从网络上删除房屋拍卖通知的信息未果,向西班牙数据保护机构提出了申诉,被遗忘的权利首次成为辩论的主题。西班牙数据保护机构认为,数据主体有权要求将此类信息从搜索引擎结果中删除。搜索引擎谷歌对这一决定提出质疑。该案被提交给欧盟法院。法院裁定支持西班牙数据保护机构的请求。2015年,谷歌和法国数据保护机构对被遗忘权适用范围的管辖权主张再次发生冲突,法院对该案最终作出了有利于谷歌的判决。
5.3.1 治理的对象
对于谷歌而言,不删除搜索结果和免除裁决责任对其有很多益处。谷歌在第一个西班牙案件中的策略主要基于法院不能主张管辖权,但谷歌没有根据监管对象、相关群体和监管理由提出相竞争的管辖权主张。法院不承认这种推理方式。在其判决中,欧盟委员会更关注数据保护和隐私对个人的影响。这与欧盟越来越多地将数据作为个人权利关注的概念相一致。案件判决做出后后,谷歌成立了一个制定删除准则的咨询委员会,确立了谷歌作为一个负责任和重要的行为者的身份。
西班牙案件和欧盟数据保护法都没有明确规定被遗忘权下除名或删除的地理范围。法国数据保护机构在2015年根据欧盟数据保护法提出了管辖权主张,要求谷歌在全球范围内删除敏感个人信息。这巩固了当地自由主义者对欧盟公民群体数据治理的看法。法国数据保护机构将这种基于权利的数据概念与当地的群体紧密联系在一起,以保护国内权利。在管辖权冲突的初始阶段,谷歌未能根据欧盟委员会管辖权之外的法律地位对其主张进行实质性的论证。
5.3.2 答复和理由
为了回应法国数据保护机构的管辖权要求,谷歌同意在IP地址显示用户位于欧盟的情况下将排除搜索结果,但拒绝在全球范围内删除搜索结果。2017年,此案被提交至欧盟法院。谷歌开始强调言论自由的基本权利地位,指出审查制度的崛起和对自由访问数据的威胁。谷歌成功地创造了类似于基于权利的数据概念,强调了数据作为一种共同资源的集体性质。这确立了全球保护和公众获取信息的愿景。
5.3.3 结果
GDPR所加强的被遗忘权在某种程度上对谷歌造成了损失。但在谷歌与法国数据保护机构一案的判决中,欧盟法院裁定谷歌只需在欧盟范围内执行“被遗忘权”,无需将其扩展到非欧盟域名的谷歌搜索引擎的搜索结果中。判决书同时强调,特定的群体或国家可能会立法,要求在未来将被遗忘权适用在全球范围。因此,欧盟法院为加强隐私或访问自由的权利提供了合法性,这加强了数据治理作为群体主权权利的愿景。
该判决加强了接受群体之间的规范性差异的想法,虽然此案支持了谷歌,但从长远来看,跨国企业的相关做法仍可能遭到挑战。
6. 讨论
本文介绍了跨国数据治理领域的三个案例。表2表明,数据治理的分界线主要存在于地方自由派和安全伙伴关系的愿景之间。只有当行为者分别将基于隐私或安全的实质性的理由与主权或全球主义的程序性的理由结合起来时,管辖权主张才得以成功。基于数字经济愿景的理由为安全伙伴关系愿景提供了支持,这两种愿景的支持者倾向于在全球层面上支持更宽松的规则。虽然许多行为者根据全球保护的愿景阐述其主张,但这些主张对结果几乎不具有决定性意义。
这些案例表明,严重倾向于一种观点的协议很容易被采用符合另一种数据概念化原则的行为者破坏。挑战者经常借鉴当地自由主义的数据治理理念,进而与美国私人公司对立。在采访中,来自私营公司代表描述了欧盟数据保护立法和执法对美国公司的“歧视”和“有害的保护主义”。在公共部门,公共当局倾向于在全球范围内适用其特定的地方重点,甚至无视相互竞争的规范或其他数据概念。这种方法与跨国数据传输和对主权领域的限制相冲突,往往会产生不稳定的协议并加剧冲突。而且,不同观点之间的妥协程度会影响既有或者未来协议的稳定性。通过引用提高透明度和对基于权利的数据概念,将数据作为安全工具的做法已经扩大,这也说明了法律措施促成了数据的使用。
私营公司既是现状的挑战者又是稳定者。被遗忘权和微软案显示了企业是如何依靠物质资源和积极参与概念构建过程提出自己的主张。大型科技公司通过挑战公共当局的管辖权主张积极塑造规则,他们在某种程度试图改变治理并审查公共权力的行使。在前面的案例中,当私营公司积极尝试提出主张以确定其对制定政策和保护个人权利的责任时,它们在管辖权冲突中更容易成功。但截至目前,他们还在犹豫是否要明确接受对自己的行为负责。
7. 结论
本文旨在了解跨大西洋数据治理中破坏性冲突的普遍性。本文认为这些冲突表明了规范性分歧,并被分歧所放大:虽然被数据治理的重要性得到了共同的承认,但行为者创造了不同的数据概念,这些概念又被嵌入到不同的价值和证明系统中,进而造成了数据治理的管辖权冲突。本文确定了通过管辖权要求创建的四个正当理由(即数据治理愿景):在安全或经济进步的信念驱动下,社会互动的支持者倾向于在全球范围内促进宽松的治理结构,而那些将数据理解为个人权利的观点则要求在国内或群体层面加强立法控制。与此相反,全球一致性和合作愿景的支持者提出了互操作性或全球保护措施。本文中这些不同的数据治理概念的理论化是暂定的,需要更多的实证研究。例如,印度的数据治理概念与本文介绍的概念化有什么不同、控制权的主张在其他政策领域(如卫生领域)是如何发挥的等问题。
本文的分析仅限制在对相关行为者的文件和语言表述上,数据治理的管辖权冲突仍需进一步理论和实证研究。比如,数据基础设施是如何公开行使权力或施加控制的;在对构建相冲突的数据治理的愿景时,到底谁是赢家、谁是输家?在解决问题或应对安全威胁方面,数据究竟能实现什么?近年来,许多国家和地区的监管措施加强了治理条款的域外影响,数据治理的管辖权冲突不可能消失。随着数据和互联网治理的地缘政治相关性的增加,试错的成本似乎比以往任何时候都高。我们又应当如何面对跨司法辖区数据治理管辖权冲突的未来?
(完)
往期文章:
1. 全球数据治理观察
作为经济政策的数据治理:中国、欧盟和印度的发展(附报告全文)
2. 数据权属与数据治理之争
3. 欧盟数据治理模式
对数据的监管如何培育数字经济创新和竞争 ——GDPR提供的共同监管工具
4. 数据跨境流动治理