-
近年来,以欧盟一系列数据保护规制为代表,国际社会兴起数据保护立法的浪潮[1]。中国数据保护起步相对较晚,但通过颁布各项规范性文件,数据保护立法进程在不断加快,特别是2019年全国人大常委会正式将个人信息保护法纳入阶段立法规划,一部数据保护专门立法呼之欲出。纵观世界范围内数据保护立法,一个值得注意的立法细节是,欧盟最新数据保护立法规定,在一定条件下,欧盟数据规则将适用于欧盟之外的数据处理者及行为,以期实现本国数据保护以及数据市场开发利益的最大化。不仅欧盟如此,其他国家数据立法也相继写入域外效力条款,将法律规制的范围扩张到域外①。因此中国在数据立法将要出台之际需要作出抉择,是否应当增添域外效力之规定。
一般而言,国内法关注国内事项,效力范围受制于一国主权领土,适用于主权管辖权范围内的人、物和行为,并不需要对效力范围问题作出特别规定[2]。但在国际社会实践中,已出现采纳域外效力规定的现象,将本国领土范围之外的行为纳入本国法规制范围,如反垄断法、证券法等领域。可以大胆猜想,数据保护领域是否属于这类特殊领域,需要明确域外效力规定。回答这一问题,不单取决于中国立法的自主选择,还应将国际法理论与数据保护的特殊属性一并进行谨慎考虑。目前中国学者更多关注国内法架构以及数据流转的国际协调等实体规则方面,虽然也在论证中附带提出应当重视域外效力规定,但对于国内数据保护法域外效力问题的国际法基础、中国立场选择等问题尚未形成充分讨论②[3-5]鉴于此,本文将首先阐述数据保护法产生域外效力问题的现实基础,再从实然层面探讨数据保护法域外效力实现的具体途径,并论证在国际法层面的正当化基础,最后综合分析中国在数据保护域外效力问题上的应对之策。
The Extraterritoriality of Data Protection Law
-
摘要:受信息技术挑战、多元价值冲突与国内外规则互动关系等多方面因素的影响,域外效力成为中国数据保护立法必须认真对待的法律问题。当前国际社会主要通过立法路径与司法路径扩张国内规则的适用范围,其中,司法路径一定程度填补了传统数据立法在域外效力问题上的缺失,但具有一定局限。当本国数据保护政策具有明显扩张需求时,立法有必要对域外效力问题作出直接宣示。直观来看,数据立法的适用范围取决于一国主权的自主选择,如果做全面考量,域外效力的确定仍然需要经过国际法层面的审视。考虑到数据保护政策与参与全球数据治理的需要,中国应在立法中确立域外效力条款,以设立机构标准和效果原则为基础对外适用数据保护规则。在实施阶段,应强化法院在适用域外效力规则中的作用,支持法院综合个案事实对中国数据保护立法的效力范围进行解释,从而与立法、行政机关之间形成良性互动,推动中国数据治理体系的构建。Abstract:Affected by many factors such as information technology challenges, multiple value conflicts, and the interaction between domestic and foreign rules, extraterritoriality of data protection law has become a legal issue that China must take seriously. At present, the international community mainly expands the scope of application of domestic data rules through legislative and judicial approaches. Among them, the judicial path fills in to a certain extent the lack of traditional data legislation on the issue of extraterritorial effectiveness, but it has certain limitations. Especially when the domestic data protection policy has obvious expansion needs, it is necessary for legislation to directly declare the issue of extraterritorial effectiveness. Intuitively, although the scope of application of data legislation depends on the independent choice of a country ’s sovereignty, the determination of extraterritoriality of data protection law still needs to be reviewed at the level of international law if all considerations are made. Taking into account China's data protection policy and the need to participate in global data governance, China should establish extra-territorial effectiveness clauses in legislation, and set the scope of application of the data protection law by utilizing established institution standards and effect criterion. In the implementation stage, the role of the court in applying the extraterritorial effectiveness rules should be strengthened, and the court should be supported to explain the scope of the effectiveness of China ’s data protection legislation based on the facts of individual cases, so as to form a benign interaction with the legislative and administrative authorities and promote the data governance system Construct.注释:1) 以欧盟数据立法为代表,俄罗斯、澳大利亚、新加坡、南非、日本等国家数据保护法中均含有域外适用的规定。2) 目前国内关于个人数据保护方面的研究主要集中在民法、宪法、行政法、刑法等领域,部分国际法学者对国际层面有所涉及,但主要侧重于跨境数据流转的多边机制研究。3) 一方面在欧盟内部,1995年《欧盟指令》和2016年《一般数据保护条例》的核心内容大多来源于德国、法国等成员国的国内立法,另一方面在与第三国展开的跨境数据谈判协议中,也体现出欧盟规则的影响力。如2016年《欧美隐私盾框架》对美国企业规定了更为严格的数据传输与制裁规则,进一步强化对欧盟个人数据的保护与救济。4) 鉴于美国与欧盟在数据治理体系中处于主导地位并形成两大立法范式,本文重点探讨美国、欧盟的立法司法实践。5) Google Spain SL and Google Inc. v. Agencia Espa ola de Protección de Datos (AEPD) and Mario Costeja González, Case C-131/12(2014)。6) 该案适用的《欧洲议会和欧盟理事会1995年10月24日关于对与个人数据处理有关的个人保护以及此类数据自由流动的95/46/EC号指令》(Directive 95/46/EC,简称95指令)已经被2018年生效的《一般数据保护条例》(General Data Protection Regulation,GDPR)所替代,但本案涉及的条文在GDPR第3条第一款被保留,且欧盟数据保护工作组WP29针对谷歌案出具一份专门报告(Update of Opinion 8/2010 on applicable law in light of the CJEU judgement in Google Spain)用于明确95指令的适用。7) Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, Official Journal of the European Communities, 23 November 1995, No L 281/39。8) Weltimmo s.r.o.v. Nemzeti Adatvédelmi és Információszabadság Hatóság, Case C-230/14(2015)。9) 欧盟法院在2015年Weltimmo案中进一步明确欧盟境内设立机构是一个宽泛的概念,不限于分公司、子公司等具体形式,只要数据控制者或处理者在欧盟境内通过稳定的活动安排实施了真实有效的数据处理,均应认定为在欧盟境内成立设立机构。10) 对于何种情况构成无法摆脱的联系,欧盟法院认为应当进行个案判断,并不局限于谷歌案中所体现的商业广告与免费引擎服务这种特定业务模式。11) Microsoft Corporation v. United States of America, 829 F.3d 197(2016)。12) 值得注意的是,微软公司后上诉至联邦第二巡回法院,上诉法院以SCA并未明确规定域外适用为由,推翻初审判决,判定搜查令只能限制存储在美国境内的数据资料。但在联邦最高法院审理阶段,美国国会又通过直接修法重新肯定初审法院立场,明确了SCA的域外适用。13) Data Protection Act 1998 c.29。14) The Article 29 Working Party 5035/01/EN/Final WP 56, p.7。15) 但由于数据处理设备的外延模糊,以及数据处理设备使用的不确定与偶然性,很可能出现国内规则适用于全球的极端情况,因此欧盟在最新数据立法中并未采纳该标准。16) Regulation 2016 /679 of the European Parliament and of the Council of April 27, 2016, on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95 /46 / EC (General Data Protection Regulation), 4 May 2016, L 119/33。17) Guidelines 3/2018 on the territorial scope of GDPR(Article 3) version 2.0 (2019)。18) 日本《个人信息保护法》第75条规定:对于在向国内的数据主体提供商品或服务的过程中获取该数据主体个人信息的个人信息处理业者,并在国外处理该个人信息或者利用以该个人信息为基础制作而成的匿名加工信息,第15、第16、第18条(第二款除外)、第19~第25条、第27~第36条、第41条、第42条第一款、第43条及后一条的规定也适用。個人情報の保護に関する法律(2003年5月30日法律第57号)。19) Clarifying Lawful Overseas Use of Data Act 18 U.S.C.A.§2703 (2018)。20) S.S. Lotus (Fr. v. Turk.)1927 P.C.I.J.Series.A, No.10, p.19。21) Restatement (Fourth) of Foreign Relations Law, §407。22) 法案同时规定数据服务商仅在两种情况下可以提出抗辩:其一,用户不是美国人且不居住在美国;其二,信息的披露将实质违背由美国认可的适格外国政府的法律。
-
[1] BIRNHACK M. The EU data protection directive: an engine of a global regime[J]. Computer Law & Security Report, 2008, 24(6): 508-520. [2] 廖诗评. 中国法域外适用法律体系: 现状、问题与完善[J]. 中国法学, 2019(6): 20-38. [3] 许多奇.个人数据跨境流动规制的国际格局及中国应对[J]. 法学论坛, 2018(3): 130-137. [4] 张金平. 跨境数据转移的国际规制及中国法律的应对: 兼评中国《网络安全法》上的跨境数据转移限制规则[J]. 政治与法律, 2016(12): 136-154. [5] 黄宁, 李杨. “三难选择”下跨境数据流动规制的演进与成因[J].清华大学学报(哲学社会科学版), 2017(5): 172-182. [6] 张新宝.从隐私到个人信息: 利益再衡量的理论与制度安排[J].中国法学, 2015(3): 38-59. [7] 廖诗评.国内法域外适用及其应对: 以美国法域外适用措施为例[J]. 环球法律评论, 2019(3): 166-178. [8] 孟小峰, 慈祥.大数据管理: 概念、技术与挑战[J].计算机研究与发展, 2013(1): 146-169.doi:10.7544/issn1000-1239.2013.20121130 [9] 马长山.智能互联网时代的法律变革[J].法学研究, 2018(4): 20-38. [10] 齐爱民. 大数据时代个人信息保护法国际比较研究[M].北京: 法律出版社, 2015. [11] 王志安.云计算和大数据时代的国际立法管辖权: 数据本地化与数据全球化的大对抗?[J]. 交大法学, 2019(1): 5-20. [12] JENNIFER D. Boarder and bits[J]. Vanderbilt Law Review, 2018, 71(1):179-240. [13] BRADFORD A. The brussels effect[J]. Northwestern University Law Review, 2012, 107(1):1-68. [14] 齐爱民, 王基岩.大数据时代个人信息保护法的适用与域外效力[J]. 社会科学家, 2015(11):101-104.doi:10.3969/j.issn.1002-3240.2015.11.021 [15] KUNER C. Data protection law and international jurisdiction on the internet:part I[J]. International Journal of Law & Information Technology, 2010, 18(2):176-193. [16] SVANTESSON D B. The extraterritoriality of EU data privacy law–its theoretical justification and its practical effect on U.S. businesses[J]. Stanford Journal of International Law, 2014, 50(1):53-102. [17] CRAWFORD J. Brownie's principles of public international law[M]. London: Oxford, 2012. [18] TURLEY J. When in Rome: multinational misconduct and the presumption against extraterritoriality[J]. Northwestern University Law Review, 1989, 84(2):598-664. [19] 霍政欣. 国内法的域外效力: 美国机制、学理解构与中国路径[J]. 政法论坛, 2020(2): 173-191.doi:10.3969/j.issn.1000-0208.2020.02.015 [20] 叶开儒. 数据跨境流动规制中的“长臂管辖”: 对欧盟GDPR的原旨主义考察[J]. 法学评论, 2020(1): 106-117.
计量
- 文章访问数:624
- HTML全文浏览量:334
- PDF下载量:29
- 被引次数:0