契合RCEP 理念的數據保護法域外效力規則的建構

2023-02-09 11:31霍俊先

國際貿易 2023年12期

季燁霍俊先

進入21 世紀以來, 隨著大數據、云計算和云儲存的飛速發展, 數字經濟勃然興起, 產業數字化和數字產業化趨勢明顯, 同時也催生了海量數據資源。這些兼具人格權和財產權屬性的數據通過網絡空間在全球范圍內流動, 不可避免地會產生與數據安全和數據保護相關的法律問題。加之網絡空間具有全球性、無界性和虛擬性的特征, 國家主權的非物理空間范圍呈現出明顯的去領土化趨勢, 法律適用問題突顯。

傳統法律管轄理論與實踐認為, 主權國家一般只能對其領土內的人、事、物享有管轄權。但新興的網絡空間對傳統管轄造成了較大的挑戰和沖擊。傳統以屬地和屬人為標準的管轄難以對數據跨境流動進行較好的規制與保護, 數據保護法的域外效力問題成為數據治理不可回避的議題。法律的域外效力是指一國法律對發生在其領土之外的事項具有約束力和保障力, 數據保護法的域外效力則是指通過一國的國內法對域外影響該國安全和利益的數據因素進行規制, 并對相關的域外數據活動、主體、權益等予以保障。在網絡空間下, 一國國內法應當如何應對, 以延伸數據保護法的效力至域外從而保護本國的數據安全與利益, 就成為重要而緊迫的時代命題, 也是當下全球數據治理的核心議題。

黨的二十大報告指出, 中國秉持“共商共建共享”的治理觀參與全球治理體系改革和建設, 加強新興領域和涉外領域立法, 統籌推進國內法治和涉外法治, 并表示愿同世界各國攜手構建人類命運共同體。作為RCEP 的主要締約國, 中國積極參與并推動RCEP 的落地生效, 其理念及規則本身就反映了中國立場。所以, RCEP 包容性合作共治的數據保護理念及規則可為我國數據保護域外效力體系的構建提供價值引領和優秀范本。

一、數據保護法域外效力的現實需求

近代人類歷史上的每次科技革命都會引起法律的變革, 本次信息科技革命也不例外。互聯網信息技術的發展不僅催生了網絡空間, 還加速了全球數字經濟一體化進程, 數據依托信息技術在網絡空間跨境流動成為日常, 同時也產生了新的問題——如何保護已傳輸至域外的數據, 這也是國際上所有社會成員必須正視的問題。我國作為數字經濟和技術大國, 數據治理處于起步階段, 在數據域外效力規則構建上更是落后于我國數字經濟與技術發展的層次與規模, 也與我國數字大國國際地位不相適應。因此, 確立我國數據保護法的域外效力規則有著急迫的現實需求。

其一, 互聯網技術發展創立的網絡空間對傳統法律管轄的領土管轄原則提出了挑戰。我國當前法律的空間效力范圍僅固守于主權領土領域, 并沒有拓展到國家主權領土范圍之外。然而互聯網技術的飛速發展, 沖破了領土這一物理分界, 進而衍生出了繼陸地、海洋、天空和外太空之外的第五空間——網絡空間。在網絡空間中, 海量的數據資源在全球網絡上流動, 數字貿易在全球范圍內進行,網絡運營者可在他國服務器上進行數據全生命階段的活動①數據的全生命階段包括數據的產生、收集、處理、共享、交易、刪除等。。數據治理和領土范圍的關聯性越來越小,使得以地理分界為標準對法律效力范圍進行劃分變得十分困難, 傳統管轄權的可操作性大大減弱, 且無法有效對無邊界網絡空間中的數據進行規制, 從而引發了數據保護域外效力問題。對此行之有效的方法便是將國內法的適用范圍延伸至域外, 即國內法的域外適用。

其二, 域外效力是跨境流動中數據周延保護的需求。數據是當前數字經濟發展必不可少的因素, 同時也是一個國家的基礎戰略性資源, 跨境流動中的數據主要是指依托互聯網技術產生并運行的數據。這些數據不僅類型豐富還具有多重價值: 從宏觀層級來說,關鍵領域所產生的重要數據涉及國家及公共安全; 從微觀層級來說, 個人數據在處理前涉及個人隱私, 處理后具有經濟價值利益, 可謂兼具人格權和財產權雙重屬性。即使這些數據按照合法途徑出境后也有可能出現被竊取、被濫用的情形。因此, 無論是從數據的全生命周期來看, 還是從數據交易流動的跨境性和完整性來講, 要實現對跨境流動數據的周延保護, 就必須建構數據保護法的域外效力規則。

其三, 在國內法體系中建構合理的域外效力規則是RCEP 數據保護規則的一項必然要求。 RCEP作為區域性自貿協定, 其規則一般需由締約方轉化為國內法而間接適用, 此時便需依靠各締約方對國內法的相關規則進行修改, 以此對相關利益進行保護。前提是國內法規則不得違背RCEP 原則, 即國內法域外效力規則的構建應當符合相關的國際法規則、一般國際原則。 RCEP 明確要求各成員國完善法律體系, 建立個人信息保護的法律框架以保護個人信息及數據, 這里的完善保護是指更好與更周延地保護數據及其活動, 而這必然包括數據保護法的域外效力保護。我國作為RCEP 締約方, 應當帶頭完善數據保護法的域外效力規則構建, 落實條款所規定的義務。因此, 我國數據保護法應當依照RCEP 的要求完善數據保護體系, 建立域外效力規則, 且必須同RCEP 規則及理念相契合、相協調。

二、 RCEP 數據保護條款的理念及其規則

數據保護法的域外效力規制問題, 既是國內法需要直面的問題, 也是國際法無法回避的問題。當前世界是不斷深入擴大開放的世界, 國家與國家、地區與地區之間的交往越來越密切頻繁。相應地,一國國內法的域外效力規則建設應當與國際或區域規則接軌。目前, RCEP 是我國簽署的最高質量自貿協定, 包含數據保護規則、投資規則等。據此,我國數據保護法域外效力規則在構建與發展上應當與RCEP 的理念規則相契合, 不僅要貫徹其理念,還要與其規則相協調, 以使數據治理的中國方案獲得更好的國際法理支撐和更廣泛的域外實施基礎。

(一)RCEP 基本理念: 包容性合作共治

RCEP 屬于巨型區域自貿協定, 涵蓋國家類型多樣化, 包含新加坡、日本等發達國家, 中國、泰國等發展中國家, 以及緬甸、柬埔寨等最不發達國家, 從2012 年啟動談判到2020 年正式簽署, 一直將“合作共治”理念貫徹談判始終。

RCEP 在序言中明確規定, 期望通過該協定推進經濟合作, 尋求建立清晰且互利的規則以便利貿易和投資, 包括參與區域和全球供應鏈, 同時顧及不同國家的發展水平以提供特殊的差別待遇, 在部分條款實施過程中設置緩沖期, 即某些不發達締約國可在協定生效之日起五年內無須適用該條款的相關規定, 這實際上是對此類國家主權及數據安全的保護, 并以良好的治理和可預期、透明而穩定的商業環境促進經濟效率提高和貿易與投資發展。這些規定體現了RCEP 的基本理念, 即以包容性為基礎的合作共治原則。 “包容性”旨在照顧處于弱勢地位的國家、企業和個人,尊重不同主體的多元訴求, 提倡兼容并包的全方位發展理念。 RCEP 的這一理念體現在其各個章節包括電子商務章節中, 電子商務章節第一節第二條規定, 這一章的目標是致力于為電子商務的使用創造一個信任和有信心的環境, 加強締約方在電子商務發展方面的合作; 第四條規定, 每一締約方應當就電子商務面臨的挑戰和發展等五個方面開展合作,確定了締約方之間有針對性的合作領域, 以幫助締約方實施或者加強其電子商務法律框架。

(二)數據保護條款: 預留合作空間

RCEP 的數據保護規則主要體現于電子商務章節, 以義務性條款為主, 權利性條款為輔。其中,最為核心的義務當屬第八條第一款, 該款規定, 締約方應采取措施, 制定完善的法律體系保護個人信息及數據, 這實際上是賦予締約方的義務, 即各締約方應當建立對個人信息保護的法律規則體系, 以便更好地保障數據主體的權利以及相關價值目標的實現。第八條第二款和第十條進一步規定, 締約方在制定個人信息保護法時需考慮包括電子商務國際公約、示范法、標準、指南在內的相關國際法規則,也就是說制定個人信息保護法需包含域外效力規則內容, 且不得違反包括RCEP 在內的規則, 以及現行國際法規則。另外, 第八條第五款規定, 為了保護從一締約方轉移來的信息及數據, 各締約方應當在可能的范圍內開展合作。顯然, RCEP 在締結時意識到需要對流動的數據進行全方位保護, 包括數據處理活動發生在域外但會對域內國家安全和個人數據安全產生危害等問題, 但迫于各締約國數字經濟發展水平差距較大, 并未對國家間數據治理的法律規則作出統一規制, 而是預留了談判空間。基于此, 相關國家可根據各自國情靈活開展商談; 對于數字經濟發展迅猛的締約國來說, 也可自行制定單邊規則, 但要以不擴大數據鴻溝和不對其他國家數據主權造成損害為前提。

RCEP 的這些數據保護條款, 一方面規定了締約國有依據RCEP 原則及相關國際規則加強數據信息保護的義務, 另一方面又將具體保護規則制定問題留予各締約國及締約國間相互合作來解決, 從而對一國數據保護法域外效力規則的建構既提出了應當遵循的指導要求, 又給出了應有的發展空間。RCEP 早已被我國批準并對我國生效, 其關于數據保護的理念與規則應當為我國所遵守。

相反, 美國作為全球數據治理最為活躍的國家之一, 其在國際層面倡導包括個人信息在內的數據跨境自由流動, 并將符合美國利益的數字貿易理念及規則推廣到自貿協定中。以CPTPP 為例, 美國雖不是成員方, 但該協定承襲了美式規則的理念。CPTPP 規定了更高程度的數據跨境自由流動, 且在例外規則①例外規則是指, 一成員方為維護國家數據安全, 僅僅可依“合法公共政策目標”而采取禁止數據跨境流動的措施, 將國家“基本安全利益”排除在外。方面提出了更為嚴苛的標準, 收緊了成員方在數據安全方面采取例外規則的自決權, 即締約方享有的數據安全權利受到嚴格限制, 并且其“貿易最少限制原則”與WTO 例外條款的表述相違背。相比而言, RCEP 的立場則較為開放包容, 將保護國家數據安全的舉措完全交由締約方自由裁量,只要不構成任意或不合理的歧視便可, 與WTO 例外條款的表述基本相符。

綜上所述, RCEP 包容性合作共治的理念及規則注重不同類型國家間的利益平衡, 致力于縮小世界數字鴻溝, 推動人類命運共同體建設, 更符合大多數國家的發展需求, 與美國奉行“美國政策優先”的單邊規制理念和規則形成鮮明對比。另外, 由于RCEP 理念和規則本身就體現了中國智慧與中國方案, 所以我國在構建數據保護法域外效力規則時, 更應當在RCEP基礎上形成更好、更具有國際廣泛性的數據保護法域外效力方案, 以維護我國在數據領域的安全與利益,并且推動區域乃至多邊協定更高質量的發展。

三、我國數據保護域外效力的立法現狀與適用問題

(一)數據保護域外效力的立法現狀

目前, 我國在數據保護方面形成了由多部立法構成的初步體系, 主要有《中華人民共和國國家安全法》(以下簡稱《國家安全法》)、《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)、《中華人民共和國電子商務法》(以下簡稱《電子商務法》)、《中華人民共和國數據安全法》(以下簡稱《數據安全法》)和《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)等。這些立法都強調了數據保護, 但對規則的域外效力問題卻要么未予涉及,要么規定得較為籠統。

《國家安全法》第3 條和第25 條規定堅持總體國家安全觀和維護國家網絡空間主權、安全和發展利益, 但卻僅止步于此原則性規定, 未有針對維護網絡空間主權、安全和發展利益的具體規則。《網絡安全法》僅在第75 條規定境外機構、組織、個人從事危害我國關鍵信息基礎設施的活動, 造成嚴重后果的, 依法追究法律責任, 但又在第2 條將該法的效力范圍僅限于中國境內。《電子商務法》也是僅在第69 條規定要維護電子商務交易安全, 保護電子商務用戶信息,保障電子商務數據依法有序自由流動, 并無具體的域外效力適用規則, 但其第2 條也把該法的效力范圍限定為中國境內, 并且還把“利用信息網絡提供新聞信息、音視頻節目、出版以及文化產品等內容方面的服務”, 即數字版權貿易等排除在其效力適用范圍之外?？梢? 以上三部法律雖然確立了我國在網絡空間中的主權、安全和利益, 但在數據保護規則的域外效力問題上卻規定得十分有限或未予涉及。

《數據安全法》則順應數字經濟時代的要求, 對域外效力問題作出回應。該法第2 條關于適用范圍的規定, 原則上為屬地管轄, 但將域外效力適用設置為例外性原則, 即境外開展數據處理活動損害我國國家安全、公共利益或者公民、組織合法權益的, 依法追究法律責任。從立法內容上來看, 《數據安全法》以境外數據活動對我國的損害后果作為判定域外效力適用的標準。《個人信息保護法》也專門規定了域外效力問題, 該法第3 條規定在屬地管轄的基礎上對境外數據活動予以例外管轄, 即在境外處理境內個人信息的活動, 如以向境內自然人提供產品或者服務為目的, 或者分析、評估境內自然人行為的, 應當適用該法。與《數據安全法》不同的是, 《個人信息保護法》在域外效力適用上采取的是境外數據活動意圖標準, 并且對活動意圖進行了分類, 將“數據處理行為”作為管轄連接點, 一定程度上擴大了該法的適用范圍, 但管轄連接點又在合理范圍之內。這既是對《數據安全法》域外適用范圍的重要補充, 也體現了我國數據保護法域外效力規則的進步與發展。

(二)數據保護域外效力的適用問題

從前述現狀的分析來看, 我國數據保護立法的域外效力適用規則存在如下主要問題:

其一, 我國數據保護法未形成體系化的域外效力適用規則, 并且現有規則存在相互不一致的問題。一方面, 當前立法除《國家安全法》中有維護網絡空間主權、安全與發展利益的極其原則性的規定之外, 并未形成數據保護法域外效力適用的總體性原則和理念,并且關于域外效力的規定也是呈零星點狀存在而未成體系。例如, 《個人信息保護法》雖然通過列舉域外數據處理活動適用該法的兩種情形和一個兜底條款賦予了該法域外效力, 以數據處理活動是否涉及境內自然人的權益為管轄連接點, 但并沒有通過頒布相關配套措施對列舉的情形作出解釋說明, 法律配套體系還不健全。另一方面, 立法文件內部以及立法文件相互之間還存在明顯的沖突或不一致的現象。例如, 《網絡安全法》和《電子商務法》各自規定了一定的域外適用條款但又在其他條款中將效力范圍僅限于境內, 這是立法文件內部的沖突。而《數據安全法》和《個人信息保護法》分別采取的效果原則和境外數據活動意圖標準則反映了各自為政的不一致性問題。

其二, 立法未能形成適用廣泛的域外效力適用標準體系。域外效力規則在適用上最核心的問題就是依據什么樣的標準來判定域外適用。當前我國數據保護立法多數是采取效果原則或損害結果標準,個別的則采取境外數據活動意圖標準, 而未能在基于域外廣泛性適用目的基礎上形成一體化的適用標準體系。因此, 我國作為數字經濟大國, 客觀上需要建立起一套適用廣泛的數據保護法域外效力適用標準體系。

其三, 立法未能形成基于數據跨境活動細化分類的域外效力適用連接點體系。當前我國數據保護立法在連接點問題上過于簡單和原則, 更不用說基于數據跨境活動細化分類的連接點體系。以數字版權跨境貿易中的數據域外保護為例, 其域外保護的連接點體系的判斷標準比較模糊。是依據損害結果發生對象來適用效果原則, 還是依據數據活動目的行為來適用境外數據活動意圖標準, 抑或是兩者均可? 在版權微?；?、版權主體泛眾化的時代, 哪些人會是損害結果的發生對象, 數字版權本身的產品和服務又該如何界定? 這些問題在當前的數據保護立法中均未得到確定, 從而使數字版權跨境貿易的數據域外保護較為困難。同理, 關于其他諸多數據跨境活動問題, 同樣可以得出類似的結論。

四、歐美數據域外效力立法的經驗

歐美作為全球數據治理的先行者, 在域外效力規則方面進行了深入探索, 其規則具有成熟性和先進性。另外, 歐美市場是中國大型數字平臺企業出海的首選市場。因此, 在構建我國數據保護法域外效力的路徑時, 有必要審視歐美立法實踐, 揚長避短。

(一)歐盟立法模式: 防御型規制路徑

歐盟是推動數據保護法域外效力最積極的法域,其《通用數據保護條例》(General Data Protection Regulation, GDPR)是迄今全球范圍內最具影響力的數據保護立法之一。 GDPR 第三條設定了寬泛的管轄范圍, 主要包括“經營場所標準”和“實際意圖標準”兩種標準。

在“經營場所標準”下, GDPR 對“設立機構”的概念進行了擴張性解釋, 只要在歐盟境內通過穩定的安排從事任何真實有效的活動, 不管該實體是否屬于歐盟, 或是否在歐盟內設立分支機構或子公司,均屬于歐盟的管轄范圍。這有效避免了數據控制者將經營機構設立在域外并在域外進行數據處理行為以逃避歐盟法律的規制。

在“實際意圖標準”下, 即使數據控制者或數據處理者在歐盟境內沒有設立機構, 但只要其數據處理活動對歐盟內的數據主體產生實質性影響就會受到歐盟的管轄。該模式包含兩種觸發適用情形: 其一, 數據控制者或數據處理者向歐盟境內的數據主體提供服務或商品, 不論該服務或商品是否要求支付對價。歐洲數據保護委員會(European Data Protection Board, EDPB)對該情形做出的列舉幾乎涵蓋了互聯網服務的方方面面, 判定標準具有較大寬泛性。其二, 數據處理過程涉及監控歐盟數據主體的活動。 EDPB 同樣對該情形做出列舉①EDPB 對該情形做出的列舉包括行為廣告、利用技術實施的網絡追蹤、監控或定期報告個人健康狀況等監控行為。。這實際上是美國法院在“美國訴美國鋁公司案”裁判要旨中“效果原則”所產生的漣漪效應, 將所有與歐盟境內有關的數據處理行為納入GDPR 適用范圍。

(二)美國立法模式: 進攻型規制路徑

2018 年之前美國在跨境取證時依據《儲存通信法案》司法互助的規定, 通過聯邦法院發布的搜查令獲取數據信息。在“美國訴微軟案”中, 美國要求微軟公司提供存儲在愛爾蘭的數據時遭到微軟公司和愛爾蘭政府的反對。美國依據《儲存通信法案》難以獲取域外數據, 便于2018 年3 月頒布了《域外數據澄清法案》(以下簡稱《云法案》)以取代國家間的司法互助協議, 變“屬地管轄原則”為“屬人管轄原則”。《云法案》以美國企業為管轄連接點, 重點強調海外服務提供商有配合美國執法機構調取數據的義務。無論數據記錄或其他信息是否存儲在美國境內, 美國政府都可以調取數據, 由此確立了“數據控制者標準”, 以數據控制者確定數據保護域外效力的邊界問題。相反, 外國政府如需調取美企存儲在美國境內的數據時, 需滿足極為嚴苛的“適格政府”要求, 即美方會考量他國法律是否能為傳輸中的數據提供實體和程序上的充足保護, 但是否適格則取決于美國政府的自由裁量。

美國作為世界數字經濟強國, 其出臺的《云法案》以數據控制者作為域外管轄連接點的邊界確定標準, 具有一定的合理性, 也具有很好的簡便性。但因國家間權利義務的不對等性, 該法案招來很大的國際批評與反制, 被認為是美國依據長臂管轄規則對世界無限擴張其法律域外適用。

(三)對歐美模式的反思

對于歐盟而言, 世界互聯網公司巨頭主要集中在中美兩國, 其本土并無巨型跨國數字平臺企業,并且歐洲是互聯網公司的重要市場, 歐盟出于防范目的便頒布了GDPR。其采取防御型的規制路徑,通過技術性擴張將域外效力的認定標準由行為的相關屬地變為行為的影響, 擴大了數據域外保護的邊界, 產生了極強的域外效力, 具有管轄全球的可能性。反觀《云法案》, 美國坐擁強大的技術優勢和幾乎覆蓋全球的市場優勢, 采取進攻型的規制路徑,以遍布全球的美國企業作為全球數據管轄的砝碼,將數據保護的域外管轄延伸至世界各地, 無限擴張了其數據主權管轄范圍, 試圖最大化地維護國家利益。

不管是歐盟的“效果原則”還是美國以“數據控制者”作為管轄連接點的方式都值得我國借鑒學習,但其合理性還有待商榷。畢竟域外管轄不等于過度管轄或是全球管轄, 而應與本法域有實際聯系, 即數據處理行為與管轄權之間存在“實質且善意”的聯系。就像我國在《全球數據安全倡議》中所提及的,任何國家應尊重他國數據主權, 未經他國允許不得直接向企業或個人調取位于他國的數據, 以保障他國的司法主權和對數據的管理權①參見《全球數據安全倡議》, 載于中華人民共和國中央人民政府網站, http: / /www.gov.cn/xinwen/2020-09/08/content_ 5541579.htm,2023 年7 月3 日訪問。。

總之, 一國數據保護法域外效力規則的建構理念尤為重要, 不僅要符合國際法原則, 還要考慮合理性。尤其是在確定域外管轄時, 要選擇具有正當合理性的管轄連接點, 盡可能減少域外效力所產生的局限性。否則即便符合國際法相關規定, 也未必會得到他國的認可, 甚至在某些情形下還會構成國際不法行為, 引發國家之間的沖突以及外交抗議。

五、契合RCEP 理念的數據保護法域外效力規則的對策

我國應以RCEP 的包容性合作共治理念為基礎并借鑒歐美立法經驗, 立足我國的國際地位與實際需求, 建構一套合理且具有廣泛國際基礎的數據保護法域外效力規則體系。

(一)以RCEP 包容性合作共治為立法價值取向

一國數據保護法的域外效力會產生實效, 其前提是該域外效力規則建立在尊重國家主權和國際法原則基礎上, 且域外管轄權的行使與事項之間存在“實質且善意”的聯系, 不會干涉他國國內管轄權或者數據管轄權。所以, 我國數據保護法域外效力規則在構建方法論上應當以RCEP 的包容性合作共治為指導。 RCEP 包容性合作共治原則以尊重國家主權為基礎, 強調平等合作, 注重多元訴求, 主張區域共治, 并以實質性為標準秉持包容性, 從而使RCEP 獲得了普遍公認的國際基礎, 也使RCEP 成為世界上平等且成功的區域性合作組織典范。

中國作為維護世界和平與發展的大國, 在國際交往中遵守以《聯合國憲章》為基礎的國際關系基本準則, 維護以國際法為基礎的國際秩序; 并且, 在中國的努力與推動下, 這種平等、互相尊重的多邊主義理念被引入RCEP 并成就了RCEP 的包容性合作共治原則。未來, 中國會在全球治理體系中扮演越來越重要的角色, 中國包容性合作共治的主張會得到越來越多國家的支持和認可。這不僅有利于保障我國的數據安全, 也有利于推動全球數據治理朝著共治共享的方向發展, 為國際數據治理提供良好的制度供給?？偠灾? RCEP 的這項原則, 不僅是指導框架下各締約國參與治理區域性事務的原則, 也為RCEP區域外其他國際事務的處理提供了優秀藍本。

從世界數字經濟發展的現實需求來看, 我國數據保護法的域外效力規則, 不僅會適用于RCEP 區域內, 也必然會涉及適用于RCEP 之外的全球區域。從客觀實際來看, 各個國家在數字經濟發展規模和數據治理能力方面存在一定差距, 尤其是發達國家與最不發達國家之間甚為明顯。為縮小最不發達國家在數據域外保護方面的非均衡狀態, 我國應當在兼顧各方利益的基礎上構建數據保護法域外效力規則, 以達到保護我國數據安全并兼顧最不發達國家的利益保護的目標。

因此, 我國數據保護法的域外效力規則要想擁有廣泛的國際認可與基礎, 就應當考慮以既有的RCEP包容性合作共治原則作為其構建的思想方法論。

(二)以適用全球為域外效力規則的適用范圍

我國是僅次于美國的世界第二數字經濟大國,這一國際地位必然要求我國數據保護法的域外效力應當適用于全球而不是局部; 同時, 域外效力規則適用于全球也有利于我國參與構建合理的世界網絡空間治理體系。美國和歐盟對其數字法律域外效力的極大擴張反映出歐美意欲在數據領域管轄全球的目的, 同時還會對其他國家的數據主權造成侵害,這使得作為新興空間的世界網絡空間管轄治理問題被提上了緊迫的日程。在這種背景下, 我國只有將域外效力適用于全球, 才能在包容性合作共治理念的指導下構建更合理、更具廣泛性的世界網絡空間治理體系。

需要說明的是, 我國法律域外效力制度體系的建設是為了統籌推進國內法治和涉外法治建設的時代之需要, 同時也是對國際法治體系的補充。數據保護法域外效力規則作為其中重要一環, 構建數據領域的域外效力規則是出于防御性考量而采取的“積極進攻性”的立法戰略。 “適用全球”并非為了管轄所有數據主體的數據活動行為而采取的一種惡意管轄模式, 也并無將數據保護法的域外效力規則演變為零和博弈的立法思想。

因此, 我國以“適用全球”為域外效力的適用范圍并不是像歐美“管轄全球”僅考慮本國或本經濟區域的利益而在全球范圍內適用。本文提出的“適用全球”是指在尊重國際法治和各國平等發展的基礎上, 構建不損害國際社會和其他國家利益, 綜合效果原則和國際禮讓原則而形成的放之四海而皆可適用的模式。這是構建數據保護法域外效力的目標, 而以“適用全球”為域外效力的適用范圍這一目標的實現需要依靠合法且合理的管轄連接點及判斷標準體系。

(三)以“實質且平等”為原則的域外效力連接點和判斷標準體系

“實質”是指數據活動行為的實質情況, 即數據活動行為與管轄國家之間存在“真實聯系”, 而且是內在的實質關系; “平等”則是指尊重他國數據主權和對等行為。只有在實質上涉及我國主權、安全和合法利益的數據活動行為, 才應當為我國所管轄;而只有堅持尊重他國主權和實施對等性處理, 我國對域外數據活動行為的管轄才具有可接受性和可實施性。實際上, 這是一種更為柔性的確定國家具有管轄權的依據和標準, 可以應對各種新型跨境治理的需要。以此為標準確立管轄依據, 也可有效避免國際沖突, 具有一定的靈活適用性。所以, 域外效力適用連接點和判斷標準體系的確立應當符合實質性和平等性原則。

但如何判斷受立法管轄的實體或事項與管轄國家之間存在真實聯系, 如何適用“實質且平等”的管轄連接點和判斷標準體系, 則需要根據個案具體分析。在判斷“真實聯系”時, 需要與最密切聯系作區分。最密切聯系原則強調只有受數據活動行為侵害最嚴重的國家享有域外管轄權, 但在實踐中, 數據活動行為的跨界性決定了數據活動在多個國家間完成, 這就決定了數據活動行為涉及多國利益。因此,真實聯系強調只要數據處理活動涉及國家利益或國際社會共同利益便可行使管轄權, 無論利益大小。在適用“實質且平等”的管轄連接點和判斷標準體系時, 還需考慮相關的國際法原則。

以數字版權跨境貿易中的數據域外保護為例,無論當前或未來數字版權如何微?；?、版權主體如何泛眾化, 只要一項數字版權貿易利益在實質上涉及我國, 那么我國法律就可以對其中所涉及的數據保護予以適用。比如, 版權主體中有一部分在我國,版權貿易中的流量對價全部或者部分來源于我國,版權內容全部或者部分由我國創造貢獻, 侵權或者數據損害結果與我國有關聯, 對我國的國家安全或者合法利益造成影響等等, 這些都應當構成數據活動行為的實質, 即管轄對象和管轄主體之間存在真實合理的聯系。于是, 版權主體、流量對價、版權內容創造貢獻、侵權損害結果、國家安全等等這些就都可以成為連接點, 而基于這些連接點的聯系均可以被歸納為適用的判定標準。另外, 我們還應當考慮到平等性。從國際法來看, 平等性更多的是從國際禮讓原則、對等原則和合理性原則的角度分析域外管轄是否合理。即一國對發生在域外的數據活動行為侵害國家利益行使管轄權時, 需采取對其他國家利益影響最小的方式, 并且我國應當同樣承認任何其他國家以同樣方式所實施的數據域外管轄權。

需要說明的是, 雖然上述連接點行為的開始和結束并未全部發生在我國境內, 但連接點的某一要素發生在我國境內, 且對我國國家利益已經造成了直接侵害, 便可主張管轄。事實上, 這是以屬地管轄原則為核心進行擴張的結果, 即以屬地管轄為核心的客觀屬地原則。

同理, 我們可以同樣的方法確定版權貿易之外的其他任何數字經濟領域的連接點和判斷標準體系,避免傳統管轄方式的機械性管轄, 以真正建構起既適合我國也符合世界需求的數據保護法域外效力規則體系, 在全球范圍內充分發揮數據保護法真正的域外效力。

(四)加強國際合作, 統籌數據域外保護機制

我國數據保護法域外效力規則的確立與發展必然會與其他國家產生這樣或那樣的沖突, 并且還會同其他國家的域外效力規則發生沖突, 而這些沖突如不予妥善解決則會反過來阻礙我國域外效力規則的構建。因此, 加強區際國際合作, 統籌數據域外保護機制, 自然也就是構建我國數據保護法域外效力規則不可繞開的路徑。

我國應繼續秉持RCEP 包容性合作共治理念積極參與全球和區域性合作, 有針對性地開展區域數據治理互惠合作, 將數據域外效力作為重要議題納入未來的談判之中, 推進互聯網關鍵資源國際化,與各方共建互惠、民主、透明的國際互聯網治理體系和數據保護機制, 并將中國的域外效力規則理念融入其中。比如, 我國可與“一帶一路”沿線國家構建域外效力體系建設的磋商機制, 由各國指定或委派相關人員組成數據保護聯合委員會, 本著包容性合作理念, 堅持平等、互利、誠信的立場, 在首次會議時制定程序規則, 設立不同職能的附屬機構, 就數據保護域外效力的議題定期舉行對話。數據保護聯合委員會可將協商一致的內容以雙邊或多邊協定的形式上升為具有約束力的規則體系, 并設立總體聯絡點,便于相關國家就數據域外保護的實施進行溝通。此外, 還可針對可能產生的糾紛建立以締約方磋商為主, 斡旋、調解或調停為輔的多元化爭端解決機制。在磋商過程中, 逐漸形成適用范圍更廣、安全維護更健全的數據域外保護機制, 從而通過合作共治使我國的域外效力規則獲得更多國際認同和支持。這一方面可以反哺我國數據保護法域外效力規則的構建, 另一方面還可以帶動國家間域外效力規則在全球的統一協作和互信互認, 推動全球數據保護域外效力規則的趨同性發展。