契合RCEP 理念的数据保护法域外效力规则的建构

2023-02-09 11:31霍俊先

国际贸易 2023年12期

季烨霍俊先

进入21 世纪以来, 随着大数据、云计算和云储存的飞速发展, 数字经济勃然兴起, 产业数字化和数字产业化趋势明显, 同时也催生了海量数据资源。这些兼具人格权和财产权属性的数据通过网络空间在全球范围内流动, 不可避免地会产生与数据安全和数据保护相关的法律问题。加之网络空间具有全球性、无界性和虚拟性的特征, 国家主权的非物理空间范围呈现出明显的去领土化趋势, 法律适用问题突显。

传统法律管辖理论与实践认为, 主权国家一般只能对其领土内的人、事、物享有管辖权。但新兴的网络空间对传统管辖造成了较大的挑战和冲击。传统以属地和属人为标准的管辖难以对数据跨境流动进行较好的规制与保护, 数据保护法的域外效力问题成为数据治理不可回避的议题。法律的域外效力是指一国法律对发生在其领土之外的事项具有约束力和保障力, 数据保护法的域外效力则是指通过一国的国内法对域外影响该国安全和利益的数据因素进行规制, 并对相关的域外数据活动、主体、权益等予以保障。在网络空间下, 一国国内法应当如何应对, 以延伸数据保护法的效力至域外从而保护本国的数据安全与利益, 就成为重要而紧迫的时代命题, 也是当下全球数据治理的核心议题。

党的二十大报告指出, 中国秉持“共商共建共享”的治理观参与全球治理体系改革和建设, 加强新兴领域和涉外领域立法, 统筹推进国内法治和涉外法治, 并表示愿同世界各国携手构建人类命运共同体。作为RCEP 的主要缔约国, 中国积极参与并推动RCEP 的落地生效, 其理念及规则本身就反映了中国立场。所以, RCEP 包容性合作共治的数据保护理念及规则可为我国数据保护域外效力体系的构建提供价值引领和优秀范本。

一、数据保护法域外效力的现实需求

近代人类历史上的每次科技革命都会引起法律的变革, 本次信息科技革命也不例外。互联网信息技术的发展不仅催生了网络空间, 还加速了全球数字经济一体化进程, 数据依托信息技术在网络空间跨境流动成为日常, 同时也产生了新的问题——如何保护已传输至域外的数据, 这也是国际上所有社会成员必须正视的问题。我国作为数字经济和技术大国, 数据治理处于起步阶段, 在数据域外效力规则构建上更是落后于我国数字经济与技术发展的层次与规模, 也与我国数字大国国际地位不相适应。因此, 确立我国数据保护法的域外效力规则有着急迫的现实需求。

其一, 互联网技术发展创立的网络空间对传统法律管辖的领土管辖原则提出了挑战。我国当前法律的空间效力范围仅固守于主权领土领域, 并没有拓展到国家主权领土范围之外。然而互联网技术的飞速发展, 冲破了领土这一物理分界, 进而衍生出了继陆地、海洋、天空和外太空之外的第五空间——网络空间。在网络空间中, 海量的数据资源在全球网络上流动, 数字贸易在全球范围内进行,网络运营者可在他国服务器上进行数据全生命阶段的活动①数据的全生命阶段包括数据的产生、收集、处理、共享、交易、删除等。。数据治理和领土范围的关联性越来越小,使得以地理分界为标准对法律效力范围进行划分变得十分困难, 传统管辖权的可操作性大大减弱, 且无法有效对无边界网络空间中的数据进行规制, 从而引发了数据保护域外效力问题。对此行之有效的方法便是将国内法的适用范围延伸至域外, 即国内法的域外适用。

其二, 域外效力是跨境流动中数据周延保护的需求。数据是当前数字经济发展必不可少的因素, 同时也是一个国家的基础战略性资源, 跨境流动中的数据主要是指依托互联网技术产生并运行的数据。这些数据不仅类型丰富还具有多重价值: 从宏观层级来说,关键领域所产生的重要数据涉及国家及公共安全; 从微观层级来说, 个人数据在处理前涉及个人隐私, 处理后具有经济价值利益, 可谓兼具人格权和财产权双重属性。即使这些数据按照合法途径出境后也有可能出现被窃取、被滥用的情形。因此, 无论是从数据的全生命周期来看, 还是从数据交易流动的跨境性和完整性来讲, 要实现对跨境流动数据的周延保护, 就必须建构数据保护法的域外效力规则。

其三, 在国内法体系中建构合理的域外效力规则是RCEP 数据保护规则的一项必然要求。 RCEP作为区域性自贸协定, 其规则一般需由缔约方转化为国内法而间接适用, 此时便需依靠各缔约方对国内法的相关规则进行修改, 以此对相关利益进行保护。前提是国内法规则不得违背RCEP 原则, 即国内法域外效力规则的构建应当符合相关的国际法规则、一般国际原则。 RCEP 明确要求各成员国完善法律体系, 建立个人信息保护的法律框架以保护个人信息及数据, 这里的完善保护是指更好与更周延地保护数据及其活动, 而这必然包括数据保护法的域外效力保护。我国作为RCEP 缔约方, 应当带头完善数据保护法的域外效力规则构建, 落实条款所规定的义务。因此, 我国数据保护法应当依照RCEP 的要求完善数据保护体系, 建立域外效力规则, 且必须同RCEP 规则及理念相契合、相协调。

二、 RCEP 数据保护条款的理念及其规则

数据保护法的域外效力规制问题, 既是国内法需要直面的问题, 也是国际法无法回避的问题。当前世界是不断深入扩大开放的世界, 国家与国家、地区与地区之间的交往越来越密切频繁。相应地,一国国内法的域外效力规则建设应当与国际或区域规则接轨。目前, RCEP 是我国签署的最高质量自贸协定, 包含数据保护规则、投资规则等。据此,我国数据保护法域外效力规则在构建与发展上应当与RCEP 的理念规则相契合, 不仅要贯彻其理念,还要与其规则相协调, 以使数据治理的中国方案获得更好的国际法理支撑和更广泛的域外实施基础。

(一)RCEP 基本理念: 包容性合作共治

RCEP 属于巨型区域自贸协定, 涵盖国家类型多样化, 包含新加坡、日本等发达国家, 中国、泰国等发展中国家, 以及缅甸、柬埔寨等最不发达国家, 从2012 年启动谈判到2020 年正式签署, 一直将“合作共治”理念贯彻谈判始终。

RCEP 在序言中明确规定, 期望通过该协定推进经济合作, 寻求建立清晰且互利的规则以便利贸易和投资, 包括参与区域和全球供应链, 同时顾及不同国家的发展水平以提供特殊的差别待遇, 在部分条款实施过程中设置缓冲期, 即某些不发达缔约国可在协定生效之日起五年内无须适用该条款的相关规定, 这实际上是对此类国家主权及数据安全的保护, 并以良好的治理和可预期、透明而稳定的商业环境促进经济效率提高和贸易与投资发展。这些规定体现了RCEP 的基本理念, 即以包容性为基础的合作共治原则。 “包容性”旨在照顾处于弱势地位的国家、企业和个人,尊重不同主体的多元诉求, 提倡兼容并包的全方位发展理念。 RCEP 的这一理念体现在其各个章节包括电子商务章节中, 电子商务章节第一节第二条规定, 这一章的目标是致力于为电子商务的使用创造一个信任和有信心的环境, 加强缔约方在电子商务发展方面的合作; 第四条规定, 每一缔约方应当就电子商务面临的挑战和发展等五个方面开展合作,确定了缔约方之间有针对性的合作领域, 以帮助缔约方实施或者加强其电子商务法律框架。

(二)数据保护条款: 预留合作空间

RCEP 的数据保护规则主要体现于电子商务章节, 以义务性条款为主, 权利性条款为辅。其中,最为核心的义务当属第八条第一款, 该款规定, 缔约方应采取措施, 制定完善的法律体系保护个人信息及数据, 这实际上是赋予缔约方的义务, 即各缔约方应当建立对个人信息保护的法律规则体系, 以便更好地保障数据主体的权利以及相关价值目标的实现。第八条第二款和第十条进一步规定, 缔约方在制定个人信息保护法时需考虑包括电子商务国际公约、示范法、标准、指南在内的相关国际法规则,也就是说制定个人信息保护法需包含域外效力规则内容, 且不得违反包括RCEP 在内的规则, 以及现行国际法规则。另外, 第八条第五款规定, 为了保护从一缔约方转移来的信息及数据, 各缔约方应当在可能的范围内开展合作。显然, RCEP 在缔结时意识到需要对流动的数据进行全方位保护, 包括数据处理活动发生在域外但会对域内国家安全和个人数据安全产生危害等问题, 但迫于各缔约国数字经济发展水平差距较大, 并未对国家间数据治理的法律规则作出统一规制, 而是预留了谈判空间。基于此, 相关国家可根据各自国情灵活开展商谈; 对于数字经济发展迅猛的缔约国来说, 也可自行制定单边规则, 但要以不扩大数据鸿沟和不对其他国家数据主权造成损害为前提。

RCEP 的这些数据保护条款, 一方面规定了缔约国有依据RCEP 原则及相关国际规则加强数据信息保护的义务, 另一方面又将具体保护规则制定问题留予各缔约国及缔约国间相互合作来解决, 从而对一国数据保护法域外效力规则的建构既提出了应当遵循的指导要求, 又给出了应有的发展空间。RCEP 早已被我国批准并对我国生效, 其关于数据保护的理念与规则应当为我国所遵守。

相反, 美国作为全球数据治理最为活跃的国家之一, 其在国际层面倡导包括个人信息在内的数据跨境自由流动, 并将符合美国利益的数字贸易理念及规则推广到自贸协定中。以CPTPP 为例, 美国虽不是成员方, 但该协定承袭了美式规则的理念。CPTPP 规定了更高程度的数据跨境自由流动, 且在例外规则①例外规则是指, 一成员方为维护国家数据安全, 仅仅可依“合法公共政策目标”而采取禁止数据跨境流动的措施, 将国家“基本安全利益”排除在外。方面提出了更为严苛的标准, 收紧了成员方在数据安全方面采取例外规则的自决权, 即缔约方享有的数据安全权利受到严格限制, 并且其“贸易最少限制原则”与WTO 例外条款的表述相违背。相比而言, RCEP 的立场则较为开放包容, 将保护国家数据安全的举措完全交由缔约方自由裁量,只要不构成任意或不合理的歧视便可, 与WTO 例外条款的表述基本相符。

综上所述, RCEP 包容性合作共治的理念及规则注重不同类型国家间的利益平衡, 致力于缩小世界数字鸿沟, 推动人类命运共同体建设, 更符合大多数国家的发展需求, 与美国奉行“美国政策优先”的单边规制理念和规则形成鲜明对比。另外, 由于RCEP 理念和规则本身就体现了中国智慧与中国方案, 所以我国在构建数据保护法域外效力规则时, 更应当在RCEP基础上形成更好、更具有国际广泛性的数据保护法域外效力方案, 以维护我国在数据领域的安全与利益,并且推动区域乃至多边协定更高质量的发展。

三、我国数据保护域外效力的立法现状与适用问题

(一)数据保护域外效力的立法现状

目前, 我国在数据保护方面形成了由多部立法构成的初步体系, 主要有《中华人民共和国国家安全法》(以下简称《国家安全法》)、《中华人民共和国网络安全法》(以下简称《网络安全法》)、《中华人民共和国电子商务法》(以下简称《电子商务法》)、《中华人民共和国数据安全法》(以下简称《数据安全法》)和《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)等。这些立法都强调了数据保护, 但对规则的域外效力问题却要么未予涉及,要么规定得较为笼统。

《国家安全法》第3 条和第25 条规定坚持总体国家安全观和维护国家网络空间主权、安全和发展利益, 但却仅止步于此原则性规定, 未有针对维护网络空间主权、安全和发展利益的具体规则。《网络安全法》仅在第75 条规定境外机构、组织、个人从事危害我国关键信息基础设施的活动, 造成严重后果的, 依法追究法律责任, 但又在第2 条将该法的效力范围仅限于中国境内。《电子商务法》也是仅在第69 条规定要维护电子商务交易安全, 保护电子商务用户信息,保障电子商务数据依法有序自由流动, 并无具体的域外效力适用规则, 但其第2 条也把该法的效力范围限定为中国境内, 并且还把“利用信息网络提供新闻信息、音视频节目、出版以及文化产品等内容方面的服务”, 即数字版权贸易等排除在其效力适用范围之外。可见, 以上三部法律虽然确立了我国在网络空间中的主权、安全和利益, 但在数据保护规则的域外效力问题上却规定得十分有限或未予涉及。

《数据安全法》则顺应数字经济时代的要求, 对域外效力问题作出回应。该法第2 条关于适用范围的规定, 原则上为属地管辖, 但将域外效力适用设置为例外性原则, 即境外开展数据处理活动损害我国国家安全、公共利益或者公民、组织合法权益的, 依法追究法律责任。从立法内容上来看, 《数据安全法》以境外数据活动对我国的损害后果作为判定域外效力适用的标准。《个人信息保护法》也专门规定了域外效力问题, 该法第3 条规定在属地管辖的基础上对境外数据活动予以例外管辖, 即在境外处理境内个人信息的活动, 如以向境内自然人提供产品或者服务为目的, 或者分析、评估境内自然人行为的, 应当适用该法。与《数据安全法》不同的是, 《个人信息保护法》在域外效力适用上采取的是境外数据活动意图标准, 并且对活动意图进行了分类, 将“数据处理行为”作为管辖连接点, 一定程度上扩大了该法的适用范围, 但管辖连接点又在合理范围之内。这既是对《数据安全法》域外适用范围的重要补充, 也体现了我国数据保护法域外效力规则的进步与发展。

(二)数据保护域外效力的适用问题

从前述现状的分析来看, 我国数据保护立法的域外效力适用规则存在如下主要问题:

其一, 我国数据保护法未形成体系化的域外效力适用规则, 并且现有规则存在相互不一致的问题。一方面, 当前立法除《国家安全法》中有维护网络空间主权、安全与发展利益的极其原则性的规定之外, 并未形成数据保护法域外效力适用的总体性原则和理念,并且关于域外效力的规定也是呈零星点状存在而未成体系。例如, 《个人信息保护法》虽然通过列举域外数据处理活动适用该法的两种情形和一个兜底条款赋予了该法域外效力, 以数据处理活动是否涉及境内自然人的权益为管辖连接点, 但并没有通过颁布相关配套措施对列举的情形作出解释说明, 法律配套体系还不健全。另一方面, 立法文件内部以及立法文件相互之间还存在明显的冲突或不一致的现象。例如, 《网络安全法》和《电子商务法》各自规定了一定的域外适用条款但又在其他条款中将效力范围仅限于境内, 这是立法文件内部的冲突。而《数据安全法》和《个人信息保护法》分别采取的效果原则和境外数据活动意图标准则反映了各自为政的不一致性问题。

其二, 立法未能形成适用广泛的域外效力适用标准体系。域外效力规则在适用上最核心的问题就是依据什么样的标准来判定域外适用。当前我国数据保护立法多数是采取效果原则或损害结果标准,个别的则采取境外数据活动意图标准, 而未能在基于域外广泛性适用目的基础上形成一体化的适用标准体系。因此, 我国作为数字经济大国, 客观上需要建立起一套适用广泛的数据保护法域外效力适用标准体系。

其三, 立法未能形成基于数据跨境活动细化分类的域外效力适用连接点体系。当前我国数据保护立法在连接点问题上过于简单和原则, 更不用说基于数据跨境活动细化分类的连接点体系。以数字版权跨境贸易中的数据域外保护为例, 其域外保护的连接点体系的判断标准比较模糊。是依据损害结果发生对象来适用效果原则, 还是依据数据活动目的行为来适用境外数据活动意图标准, 抑或是两者均可? 在版权微粒化、版权主体泛众化的时代, 哪些人会是损害结果的发生对象, 数字版权本身的产品和服务又该如何界定? 这些问题在当前的数据保护立法中均未得到确定, 从而使数字版权跨境贸易的数据域外保护较为困难。同理, 关于其他诸多数据跨境活动问题, 同样可以得出类似的结论。

四、欧美数据域外效力立法的经验

欧美作为全球数据治理的先行者, 在域外效力规则方面进行了深入探索, 其规则具有成熟性和先进性。另外, 欧美市场是中国大型数字平台企业出海的首选市场。因此, 在构建我国数据保护法域外效力的路径时, 有必要审视欧美立法实践, 扬长避短。

(一)欧盟立法模式: 防御型规制路径

欧盟是推动数据保护法域外效力最积极的法域,其《通用数据保护条例》(General Data Protection Regulation, GDPR)是迄今全球范围内最具影响力的数据保护立法之一。 GDPR 第三条设定了宽泛的管辖范围, 主要包括“经营场所标准”和“实际意图标准”两种标准。

在“经营场所标准”下, GDPR 对“设立机构”的概念进行了扩张性解释, 只要在欧盟境内通过稳定的安排从事任何真实有效的活动, 不管该实体是否属于欧盟, 或是否在欧盟内设立分支机构或子公司,均属于欧盟的管辖范围。这有效避免了数据控制者将经营机构设立在域外并在域外进行数据处理行为以逃避欧盟法律的规制。

在“实际意图标准”下, 即使数据控制者或数据处理者在欧盟境内没有设立机构, 但只要其数据处理活动对欧盟内的数据主体产生实质性影响就会受到欧盟的管辖。该模式包含两种触发适用情形: 其一, 数据控制者或数据处理者向欧盟境内的数据主体提供服务或商品, 不论该服务或商品是否要求支付对价。欧洲数据保护委员会(European Data Protection Board, EDPB)对该情形做出的列举几乎涵盖了互联网服务的方方面面, 判定标准具有较大宽泛性。其二, 数据处理过程涉及监控欧盟数据主体的活动。 EDPB 同样对该情形做出列举①EDPB 对该情形做出的列举包括行为广告、利用技术实施的网络追踪、监控或定期报告个人健康状况等监控行为。。这实际上是美国法院在“美国诉美国铝公司案”裁判要旨中“效果原则”所产生的涟漪效应, 将所有与欧盟境内有关的数据处理行为纳入GDPR 适用范围。

(二)美国立法模式: 进攻型规制路径

2018 年之前美国在跨境取证时依据《储存通信法案》司法互助的规定, 通过联邦法院发布的搜查令获取数据信息。在“美国诉微软案”中, 美国要求微软公司提供存储在爱尔兰的数据时遭到微软公司和爱尔兰政府的反对。美国依据《储存通信法案》难以获取域外数据, 便于2018 年3 月颁布了《域外数据澄清法案》(以下简称《云法案》)以取代国家间的司法互助协议, 变“属地管辖原则”为“属人管辖原则”。《云法案》以美国企业为管辖连接点, 重点强调海外服务提供商有配合美国执法机构调取数据的义务。无论数据记录或其他信息是否存储在美国境内, 美国政府都可以调取数据, 由此确立了“数据控制者标准”, 以数据控制者确定数据保护域外效力的边界问题。相反, 外国政府如需调取美企存储在美国境内的数据时, 需满足极为严苛的“适格政府”要求, 即美方会考量他国法律是否能为传输中的数据提供实体和程序上的充足保护, 但是否适格则取决于美国政府的自由裁量。

美国作为世界数字经济强国, 其出台的《云法案》以数据控制者作为域外管辖连接点的边界确定标准, 具有一定的合理性, 也具有很好的简便性。但因国家间权利义务的不对等性, 该法案招来很大的国际批评与反制, 被认为是美国依据长臂管辖规则对世界无限扩张其法律域外适用。

(三)对欧美模式的反思

对于欧盟而言, 世界互联网公司巨头主要集中在中美两国, 其本土并无巨型跨国数字平台企业,并且欧洲是互联网公司的重要市场, 欧盟出于防范目的便颁布了GDPR。其采取防御型的规制路径,通过技术性扩张将域外效力的认定标准由行为的相关属地变为行为的影响, 扩大了数据域外保护的边界, 产生了极强的域外效力, 具有管辖全球的可能性。反观《云法案》, 美国坐拥强大的技术优势和几乎覆盖全球的市场优势, 采取进攻型的规制路径,以遍布全球的美国企业作为全球数据管辖的砝码,将数据保护的域外管辖延伸至世界各地, 无限扩张了其数据主权管辖范围, 试图最大化地维护国家利益。

不管是欧盟的“效果原则”还是美国以“数据控制者”作为管辖连接点的方式都值得我国借鉴学习,但其合理性还有待商榷。毕竟域外管辖不等于过度管辖或是全球管辖, 而应与本法域有实际联系, 即数据处理行为与管辖权之间存在“实质且善意”的联系。就像我国在《全球数据安全倡议》中所提及的,任何国家应尊重他国数据主权, 未经他国允许不得直接向企业或个人调取位于他国的数据, 以保障他国的司法主权和对数据的管理权①参见《全球数据安全倡议》, 载于中华人民共和国中央人民政府网站, http: / /www.gov.cn/xinwen/2020-09/08/content_ 5541579.htm,2023 年7 月3 日访问。。

总之, 一国数据保护法域外效力规则的建构理念尤为重要, 不仅要符合国际法原则, 还要考虑合理性。尤其是在确定域外管辖时, 要选择具有正当合理性的管辖连接点, 尽可能减少域外效力所产生的局限性。否则即便符合国际法相关规定, 也未必会得到他国的认可, 甚至在某些情形下还会构成国际不法行为, 引发国家之间的冲突以及外交抗议。

五、契合RCEP 理念的数据保护法域外效力规则的对策

我国应以RCEP 的包容性合作共治理念为基础并借鉴欧美立法经验, 立足我国的国际地位与实际需求, 建构一套合理且具有广泛国际基础的数据保护法域外效力规则体系。

(一)以RCEP 包容性合作共治为立法价值取向

一国数据保护法的域外效力会产生实效, 其前提是该域外效力规则建立在尊重国家主权和国际法原则基础上, 且域外管辖权的行使与事项之间存在“实质且善意”的联系, 不会干涉他国国内管辖权或者数据管辖权。所以, 我国数据保护法域外效力规则在构建方法论上应当以RCEP 的包容性合作共治为指导。 RCEP 包容性合作共治原则以尊重国家主权为基础, 强调平等合作, 注重多元诉求, 主张区域共治, 并以实质性为标准秉持包容性, 从而使RCEP 获得了普遍公认的国际基础, 也使RCEP 成为世界上平等且成功的区域性合作组织典范。

中国作为维护世界和平与发展的大国, 在国际交往中遵守以《联合国宪章》为基础的国际关系基本准则, 维护以国际法为基础的国际秩序; 并且, 在中国的努力与推动下, 这种平等、互相尊重的多边主义理念被引入RCEP 并成就了RCEP 的包容性合作共治原则。未来, 中国会在全球治理体系中扮演越来越重要的角色, 中国包容性合作共治的主张会得到越来越多国家的支持和认可。这不仅有利于保障我国的数据安全, 也有利于推动全球数据治理朝着共治共享的方向发展, 为国际数据治理提供良好的制度供给。总而言之, RCEP 的这项原则, 不仅是指导框架下各缔约国参与治理区域性事务的原则, 也为RCEP区域外其他国际事务的处理提供了优秀蓝本。

从世界数字经济发展的现实需求来看, 我国数据保护法的域外效力规则, 不仅会适用于RCEP 区域内, 也必然会涉及适用于RCEP 之外的全球区域。从客观实际来看, 各个国家在数字经济发展规模和数据治理能力方面存在一定差距, 尤其是发达国家与最不发达国家之间甚为明显。为缩小最不发达国家在数据域外保护方面的非均衡状态, 我国应当在兼顾各方利益的基础上构建数据保护法域外效力规则, 以达到保护我国数据安全并兼顾最不发达国家的利益保护的目标。

因此, 我国数据保护法的域外效力规则要想拥有广泛的国际认可与基础, 就应当考虑以既有的RCEP包容性合作共治原则作为其构建的思想方法论。

(二)以适用全球为域外效力规则的适用范围

我国是仅次于美国的世界第二数字经济大国,这一国际地位必然要求我国数据保护法的域外效力应当适用于全球而不是局部; 同时, 域外效力规则适用于全球也有利于我国参与构建合理的世界网络空间治理体系。美国和欧盟对其数字法律域外效力的极大扩张反映出欧美意欲在数据领域管辖全球的目的, 同时还会对其他国家的数据主权造成侵害,这使得作为新兴空间的世界网络空间管辖治理问题被提上了紧迫的日程。在这种背景下, 我国只有将域外效力适用于全球, 才能在包容性合作共治理念的指导下构建更合理、更具广泛性的世界网络空间治理体系。

需要说明的是, 我国法律域外效力制度体系的建设是为了统筹推进国内法治和涉外法治建设的时代之需要, 同时也是对国际法治体系的补充。数据保护法域外效力规则作为其中重要一环, 构建数据领域的域外效力规则是出于防御性考量而采取的“积极进攻性”的立法战略。 “适用全球”并非为了管辖所有数据主体的数据活动行为而采取的一种恶意管辖模式, 也并无将数据保护法的域外效力规则演变为零和博弈的立法思想。

因此, 我国以“适用全球”为域外效力的适用范围并不是像欧美“管辖全球”仅考虑本国或本经济区域的利益而在全球范围内适用。本文提出的“适用全球”是指在尊重国际法治和各国平等发展的基础上, 构建不损害国际社会和其他国家利益, 综合效果原则和国际礼让原则而形成的放之四海而皆可适用的模式。这是构建数据保护法域外效力的目标, 而以“适用全球”为域外效力的适用范围这一目标的实现需要依靠合法且合理的管辖连接点及判断标准体系。

(三)以“实质且平等”为原则的域外效力连接点和判断标准体系

“实质”是指数据活动行为的实质情况, 即数据活动行为与管辖国家之间存在“真实联系”, 而且是内在的实质关系; “平等”则是指尊重他国数据主权和对等行为。只有在实质上涉及我国主权、安全和合法利益的数据活动行为, 才应当为我国所管辖;而只有坚持尊重他国主权和实施对等性处理, 我国对域外数据活动行为的管辖才具有可接受性和可实施性。实际上, 这是一种更为柔性的确定国家具有管辖权的依据和标准, 可以应对各种新型跨境治理的需要。以此为标准确立管辖依据, 也可有效避免国际冲突, 具有一定的灵活适用性。所以, 域外效力适用连接点和判断标准体系的确立应当符合实质性和平等性原则。

但如何判断受立法管辖的实体或事项与管辖国家之间存在真实联系, 如何适用“实质且平等”的管辖连接点和判断标准体系, 则需要根据个案具体分析。在判断“真实联系”时, 需要与最密切联系作区分。最密切联系原则强调只有受数据活动行为侵害最严重的国家享有域外管辖权, 但在实践中, 数据活动行为的跨界性决定了数据活动在多个国家间完成, 这就决定了数据活动行为涉及多国利益。因此,真实联系强调只要数据处理活动涉及国家利益或国际社会共同利益便可行使管辖权, 无论利益大小。在适用“实质且平等”的管辖连接点和判断标准体系时, 还需考虑相关的国际法原则。

以数字版权跨境贸易中的数据域外保护为例,无论当前或未来数字版权如何微粒化、版权主体如何泛众化, 只要一项数字版权贸易利益在实质上涉及我国, 那么我国法律就可以对其中所涉及的数据保护予以适用。比如, 版权主体中有一部分在我国,版权贸易中的流量对价全部或者部分来源于我国,版权内容全部或者部分由我国创造贡献, 侵权或者数据损害结果与我国有关联, 对我国的国家安全或者合法利益造成影响等等, 这些都应当构成数据活动行为的实质, 即管辖对象和管辖主体之间存在真实合理的联系。于是, 版权主体、流量对价、版权内容创造贡献、侵权损害结果、国家安全等等这些就都可以成为连接点, 而基于这些连接点的联系均可以被归纳为适用的判定标准。另外, 我们还应当考虑到平等性。从国际法来看, 平等性更多的是从国际礼让原则、对等原则和合理性原则的角度分析域外管辖是否合理。即一国对发生在域外的数据活动行为侵害国家利益行使管辖权时, 需采取对其他国家利益影响最小的方式, 并且我国应当同样承认任何其他国家以同样方式所实施的数据域外管辖权。

需要说明的是, 虽然上述连接点行为的开始和结束并未全部发生在我国境内, 但连接点的某一要素发生在我国境内, 且对我国国家利益已经造成了直接侵害, 便可主张管辖。事实上, 这是以属地管辖原则为核心进行扩张的结果, 即以属地管辖为核心的客观属地原则。

同理, 我们可以同样的方法确定版权贸易之外的其他任何数字经济领域的连接点和判断标准体系,避免传统管辖方式的机械性管辖, 以真正建构起既适合我国也符合世界需求的数据保护法域外效力规则体系, 在全球范围内充分发挥数据保护法真正的域外效力。

(四)加强国际合作, 统筹数据域外保护机制

我国数据保护法域外效力规则的确立与发展必然会与其他国家产生这样或那样的冲突, 并且还会同其他国家的域外效力规则发生冲突, 而这些冲突如不予妥善解决则会反过来阻碍我国域外效力规则的构建。因此, 加强区际国际合作, 统筹数据域外保护机制, 自然也就是构建我国数据保护法域外效力规则不可绕开的路径。

我国应继续秉持RCEP 包容性合作共治理念积极参与全球和区域性合作, 有针对性地开展区域数据治理互惠合作, 将数据域外效力作为重要议题纳入未来的谈判之中, 推进互联网关键资源国际化,与各方共建互惠、民主、透明的国际互联网治理体系和数据保护机制, 并将中国的域外效力规则理念融入其中。比如, 我国可与“一带一路”沿线国家构建域外效力体系建设的磋商机制, 由各国指定或委派相关人员组成数据保护联合委员会, 本着包容性合作理念, 坚持平等、互利、诚信的立场, 在首次会议时制定程序规则, 设立不同职能的附属机构, 就数据保护域外效力的议题定期举行对话。数据保护联合委员会可将协商一致的内容以双边或多边协定的形式上升为具有约束力的规则体系, 并设立总体联络点,便于相关国家就数据域外保护的实施进行沟通。此外, 还可针对可能产生的纠纷建立以缔约方磋商为主, 斡旋、调解或调停为辅的多元化争端解决机制。在磋商过程中, 逐渐形成适用范围更广、安全维护更健全的数据域外保护机制, 从而通过合作共治使我国的域外效力规则获得更多国际认同和支持。这一方面可以反哺我国数据保护法域外效力规则的构建, 另一方面还可以带动国家间域外效力规则在全球的统一协作和互信互认, 推动全球数据保护域外效力规则的趋同性发展。