中评社╱题:粤港澳大湾区应对欧美数据域外管辖权扩张的法治逻辑 作者:冯泽华(广州),广东工业大学粤港澳大湾区协同治理与法治保障研究中心副主任、广东工业大学数字经济与数据治理重点实验室分室“数据法治与大数据治理实验室”执行主任、广州数据法治研究中心副教授;姚琳(广州),广东工业大学法学院科研助理
【摘要】“数字湾区”建设背景下粤港澳大湾区着力打造全球数字化水平最高的湾区,数据治理因而成为大湾区法治建设中的重要抓手。欧美以“设立机构标准”“目标导向标准”以及“数据控制者标准”三种模式实现数据域外管辖权的单边扩张,制约“数字湾区”高质量发展。在中央支持下,粤港澳三地政府在立法中增设域外管辖条款,出台阻断与反制规范,采取数据本地化政策以应对欧美数据域外管辖权扩张行为,但大湾区数据治理模式尚未成型、域外数据执法权限不足、司法合力暂未形成等痛点依旧突出。对此,粤港澳大湾区可通过优化三地数据保护法律体系,构建统一的大湾区数据执法机构,积极倡导数据领域多边合作,切实提升应对欧美数据域外管辖权扩张的法治能力。
2025年国务院政府工作报告强调“支持香港、澳门深化国际交往合作,更好融入国家发展大局”。①这不仅为港澳未来发展指明方向,更为粤港澳大湾区应对欧美数据域外管辖权扩张等外部风险提供了政策指引。当数据逐渐成为当代生产要素,互联网企业收集海量数据幷挖掘其商业价值的范围逐渐从国内扩张到海外市场,各国数据保护范围亦随之扩大,单方立法扩张个人数据域外管辖权成为各国对科技进步的回应。②典型如美西方为在国际数字治理中获得优势地位,通过两大立法《通用数据保护条例》(简称GDPR)以及《澄清境外数据合法使用法案》(简称云法案),试图将全球范围内更多数据纳入管辖范围内,侵犯他国数据主权。近年来,粤港澳大湾区积极推动“数字湾区”建设,数字化正逐渐成为推动大湾区经济社会高质量发展的新引擎。作为中国数字化发展的主战场,粤港澳大湾区将正面应对欧美数据域外管辖权扩张的负面影响,其中尤为明显的是大湾区内以数据要素为核心的信息技术企业被频繁列入美国制裁清单。2022年,146家中国企业被列入美国“实体清单”,而粤港澳大湾区占据半数。截至2024年4月,近800家中国企业被美国列入“实体清单”,据笔者统计,粤港澳大湾区企业数量高达104家,典型如香港世捷达物流有限公司、深圳华为技术服务、广州海格通信集团股份有限公司、华为云广州等。③短短两年时间内,大湾区新增“实体清单”企业30余家,这将直接影响相关企业的国际业务合作与市场发展,成为数据时代下制约大湾区核心竞争力发展的重大阻碍。在此困局下,粤港澳大湾区应如何在制度与实践层面应对欧美数据域外管辖权的扩张,以积极主动的姿态参与全球数据治理进程是当前乃至未来的重要思考方向。
一、欧美数据域外管辖权扩张的主要模式
(一)设立机构标准
在GDPR出台之前,欧盟于1995年颁布了《数据保护指令》(Data Protection Directive,以下简称DPD95)作为欧盟数据治理的统一标准和主要依据。GDPR以此为基础,进一步完善相关条款规定,在GDPR中仍然能够看出其对DPD95部分条款的继承和延续。其中,较为典型的即为“设立机构标准”。GDPR第3条第1款写明,不论实际数据处理行为发生地,只要属于在欧盟境内设立机构的数据控制者或处理者,其相关处理活动均适用该条例。在司法实践活动中,欧盟法院进一步对“设立机构”和“在经营活动范围内”进行内涵的技术性解释,扩大GDPR的域外适用范围。从GDPR对“设立机构”的概念定义以及法院在实践中的认定方式来看,数据控制者或处理者在欧盟境内以稳定安排的方式所开展的真实有效的活动,即可认定为在欧盟设立有机构。所谓“经营活动范围”,是指数据控制者或处理者的数据处理活动,应当在其机构设立的目标范围内。欧盟数据保护委员会针对这一问题作出解释,幷提出以下两个考量。一方面,需要判断其数据处理活动是否与位于欧盟内的设立机构具有密切关联;另一方面,需要考虑设立机构的活动是否对欧盟境外的数据控制者或处理者起到财务增长的帮助。概言之,以在欧盟境内“设立机构”为连结点,主张对域内及域外的数据管辖权,是GDPR属地管辖原则的具体表现,也是数据共享时代下数据管辖权突破地理界限重构领土原则的突出表现。
(二)目标导向标准
GDPR“设立机构标准”丰富幷扩张了属地管辖原则的适用,但对于不符合在欧盟境内设立机构标准的数据控制者或处理者的数据处理行为,欧盟仍然无法行使管辖权。据此,GDPR第3条第2款进一步规定了“目标导向标准”,在作为效果原则的应用弥补属地管辖原则不足的同时,更加鲜明地体现了域外适用色彩。尽管数据控制者或处理者不在欧盟设立,若其为欧盟内的数据主体提供商品或服务,或者对发生在欧洲范围内的数据主体的活动进行监控,同样属于GDPR的管辖范围。对于“监控行为”概念,欧盟幷未作出更宽泛的解释,只从是否藉助互联网设备对自然人进行追踪或数字分析及预测等行为进行阐述。而对于“数据主体”和“提供商品或服务”,欧盟适当作出扩大解释。其一,欧盟所称数据主体,将无论其国籍与居住地是否属于欧盟。其二,所谓“提供商品或服务”,GDPR序言中写明,需要根据其提供服务的意图明显程度进行判断,幷以列举的方式呈现了相关不足以认定具有明显意图或可能具有明显意图的行为。例如,只是使用了数据控制者或处理者所在国的通用语言而被欧盟境内的主体访问,幷不足以说明其有意图向欧盟内的数据主体提供商品或服务,但如果其使用了一种以上欧盟成员国的通用语言或货币,供用户购买商品或获取服务,则可以认为其具有明显意图。在“目标导向标准”下,欧盟以“位于欧盟境内的数据主体”作为目标对象,为全球范围内欧盟领土范围外的大量数据控制者与处理者与欧盟建立起关联。
(三)数据控制者标准
在欧盟数据本地化立法产生“布鲁塞尔”效应的同时,美国也在着力构建以全球数据自由流动为主旨的数据全球化立法体系,幷期待能以此为本国带来巨大经济效益。在此背景下,美国政府出台《云法案》,创新性采用“数据控制者标准”扩大数据管辖权。《云法案》中明确,“云服务提供商必须根据合法程序披露其拥有、保管或控制的所有数据,无论数据存储在何处”。根据这一条款,美国可以同时管辖位于美国境内的企业与收集美国居民数据的外国企业。《云法案》中提出,该法案的出台是为了提升美国跨境取证效率,执法机构可以更加便捷地获取企业等相关主体所拥有、监管或控制的与其使用者有关的美国境内外信息,但从本质来看,这一法案的根本性立意在于利用美国云服务商的绝对控制地位。④全球绝大部分的数据流动由美国云服务商控制,典型如谷歌、脸书、推特等国际知名软件,美国利用看似局限的“属人管辖”规则在客观上实现了全球数据监管。⑤在此规定下,为尽可能减轻侵犯他国主权嫌疑,《云法案》为云服务商提供了“撤销或修正法律流程的动议”渠道以显公平。但从法案规定来看,这一渠道的实践操作难度较高,需要云服务提供商自身符合一定条件,且“撤销或修正法律流程的动议”能否被采纳的解释权归属于美国管辖法院。法案依据“礼让原则”明确了法官应当考虑的包括“美国政府的利益”等在内的七个要点,实质上为法官赋予了自由裁量权。此外,除美国以外,被美国国会认定为“适格外国政府”的其他国家同样可以获取美国境内的数据,但“适格外国政府”的认定条件较为严苛,需要围绕“外国政府能否对隐私和公民权利提供足够的保护”这一核心要义,附带考量“是否是《网络犯罪公约》缔约国”“是否尊重和保护普遍人权”等多重因素。
二、粤港澳大湾区应对欧美数据域外管辖权扩张的实践现状
(一)立法涵盖域外管辖条款
符合国际法原则的域外效力条款赋予了国内法域外效力,既能向其他国家传递本国将藉助域外规制途径维护国家安全的信号,对与本国外交关系紧张的国家起到震慑作用,也能为司法机关、行政机关等相关国家机构处理相关对外事务提供坚实的法律支撑。⑥为有效应对欧美域外管辖权不合理扩张,粤港澳大湾区相关数据法律体系中的域外条款正逐渐发挥效力。
内地《中华人民共和国网络安全法》(简称《网络安全法》)第75条规定“在境外从事危害我国关键信息基础设施的活动,造成严重后果的,依法追究法律责任”。《中华人民共和国数据安全法》(简称《数据安全法》)在总则第2条中强调,“在我国境内开展数据处理活动适用该法”,该条第2款中同样明确,“在境外开展数据处理活动,损害我国国家利益或公民、组织利益的,适用该法”。《中华人民共和国个人信息保护法》(简称《个人信息保护法》)在前两部法的基础上进一步实现了探索式转变。该法第3条第1款规定的是常规的属地管辖原则,即“在我国境内处理自然人个人信息的活动适用本法”,避免管辖权的过度扩张;第2款则与欧盟GDPR的目标指向原则类似,规定在境外处理境内自然人个人信息的,有“向境内自然人提供产品或服务为目的”“分析、评估境内自然人的行为”以及法律法规规定的其他情形的,适用本法。这一条款的域外效力实现了从被动到主动的转变,确立了中国的“目标指向标准”。
《香港个人资料(私隐)条例》(简称《私隐条例》)第39条明确“有关的资料使用者能够在香港控制有关的个人资料的收集、持有、处理或使用或能够从香港行使该项控制的,私隐专员根据条例有权进行调查”。由此可见,该条例的规制对象,应当是在香港,或从香港,操控个人资料的收集、持有、处理或使用的相关主体。2020年关于X诉个人资料私隐专员(第15/2019号上诉)一案(下称X诉个人资料私隐专员案)的裁定中也明确《私隐条例》中幷无域外管辖效力。但在2021年《私隐条例》修订后出现了针对人肉搜索行为的例外,即“若资料当事人为香港居民或位于香港,无论披露行为发生在何处,私隐专员均可对其行为发出停止通知”。澳门《个人资料保护法》第3条第3款后半句写明,针对声音和影像进行的录像监视,只要负责处理资料的实体的住所在澳门特区,或者通过在特区设立的提供信息和电信信息网络服务的供应商而实施,表明该法在一定范围内具备域外适用效力。
(二)阻断与反制规范出台
通过制定阻断与反制规范阻断外国过度行使域外管辖权的不当行为是世界上多数国家的做法,所谓阻断一般是规定本国企业或个人在特定情形下无须遵守欧美等其他国家的单边制裁,而反制则是赋予中国对他国的域外恶意管辖采取对等反制以正当性基础。
近年来,中国逐步构建起阻断与反制法律框架,对于维护数据领域利益和安全起到重要作用。早在2018年,中国便在《中华人民共和国国际刑事司法协助法》第四条中规定:“非经我国主管机关同意,境内的机构、组织和个人不得向外国提供证据材料和本法规定的协助。”该条规定在一定程度上抑制了外国数据跨境调取行为,保护中国数据主权。作为沿袭,2019年修订的《中华人民共和国证券法》第177条在规定“非经同意禁止向境外提供”规则的同时,更进一步明确“境外机构不得在我国境内直接取证活动”。为更好应对美国“长臂管辖”,2021年中国商务部发布《阻断外国法律与措施不当域外适用办法》,主要适用于阻断美国在经贸活动中实施的禁止令。⑦同年出台的,还有涉外领域专门立法《中华人民共和国反外国制裁法》,该法明确规定“我国有权对遏制、打压我国的行为采取相应反制措施”。该部法律作为反制裁领域基本法律,为相关部门提供了权威法律依据与正当程序。此外,《数据安全法》与《个人信息保护法》均规定了相应阻断与反制措施,两法在措施内容方面具有相似性。以《数据安全法》为例,该法第26条规定“面对外国在数据领域内的投资、贸易等方面的禁止、限制或其他类似措施,我国可采取措施”,第36条规定“非经批准,不得向境外提供存储于我国境内的数据”。可以看出,该法同时具有事前阻断与事后反制的双重效果,奠定了中国数据主权保护的法治基调。
相较于内地而言,港澳地区在反制法律机制构建领域存在较多漏洞。一方面,上述法律规范均未列入港澳基本法附件三,因而香港和澳门不在其实施范围内。事实上,在香港方面,律政司网站曾发布司长网志《反外国制裁措施的法律基础》,原律政司司长郑若骅指出,采取反制措施完全属于外交事务,列入《基本法》附件三,在香港特区实施,是最自然也最恰当的方法。⑧在2021年8月也曾有立法动议,但后续因故搁置。另一方面,立足自治权范畴,澳门尚未出台反制相关的专门立法规范,香港虽曾在1995年制定《保护贸易权益条例》,但因其内容完善程度较低,从未实施。⑨从整体上看,内地数据阻断与反制措施初具规模,但因港澳两地的阻断和反制能力较弱,粤港澳大湾区尚未形成反制合力。
(三)强化数据本地化保护
数据本地化主义是内地与澳门一直秉持的数据治理理念,更是粤港澳大湾区应对欧美管辖权扩张的重要方式之一。藉助数据本地化手段,粤港澳大湾区可以切实规范大湾区内部的数据处理行为,有效规避因数据出境行为而引发的他国侵犯风险。
具体而言,中国内地向来主张将个人信息与重要数据置之于境内存储,确有跨境流转需要的,应当通过安全评估,属于较为严格的事前监管。主要参照《网络安全法》《个人信息保护法》《数据出境安全评估办法》等规范对数据跨境流动提供指引,其中提供详细评估指引的是《数据出境安全评估办法》。澳门则在《个人资料保护法》中对个人信息跨境转移进行规制,只有经由公共当局确认资料接受地的法律体系能够满足适当保护程度的前提下,才能将个人数据转移到特区之外的地方。但截至目前,澳门个人资料保护办公室尚未宣告任何一个国家符合以上要求,认定标准极为严格。
与内地、澳门严格执行数据本地化政策相反,香港或出于经贸发展考量,是大湾区内唯一允许数据自由流动的区域。香港的数据流动规范体系,着重依据《隐私条例》《保障个人资料:跨境资料转移指引》对个人信用数据流动及后续使用提供安全保护。但其中专门规制个人资料跨境流动的第33条“禁止条款”仍未正式施行,因而当前香港对于个人资料的跨境流动幷没有进行严格的法律规范,属于自由流动状态。《保障个人资料:跨境资料转移指引》的意义则在于在上述第33条尚未实施的情况下,鼓励资料持有者在跨境转移个人资料时按照《指引》中的相关方式保护个人资料安全。
三、粤港澳大湾区应对欧美数据域外管辖权扩张的现实挑战
(一)大湾区数据治理模式尚未成型
从国际经验来看,欧美对彼此数据域外管辖权扩张的应对措施之一,就是积极推广自身数据治理模式,构建本土化的数据防御屏障,形成国际影响力。但当前粤港澳大湾区内部的数据跨境流动模式尚未成型,数据治理规则碎片化局面难以缓和,不仅影响数字湾区升级发展,更难以建立具有国际影响力的数据治理规范体系。反观欧盟的数据治理方式,在提升个人信息保障力度的同时,也在致力于推动数据的互联互通。在欧盟内部,欧盟藉《数据法案》统一各成员国B2C(企业—消费者)、B2B(企业—企业)乃至B2G(企业—政府)的相应规则,以激发数据驱动的创新力,之于粤港澳大湾区而言具有较强的借鉴意义。
从大湾区数据治理现状来看,数据本地化政策在一定程度上起到降低欧美侵犯中国数据主权现实风险作用的同时,也成为了数据要素在粤港澳三地跨区域自由流动的制度壁垒。其主要原因在于粤港澳三地在数据治理法律规范方面的区别较大,且当前尚未建立流畅的跨境协调机制。以当前三地数据分级分类制度规定为例,从整体来看,粤港澳大湾区内的数据分级分类规则存在明显错位,数据跨境流动的基础制约较为突出。内地在《数据安全法》第21条中明确将数据的重要程度以及受侵害后的危害程度作为数据分类分级保护的依据。澳门特区在《个人资料保护法》第7条及第8条规定了处理敏感资料以及怀疑从事不法活动、刑事违法活动或行政违法行为的特殊保护规则,除此以外的其他数据则作为一般性资料予以处理。而香港在数据分级分类领域尚未建立相关法律框架,存在较大的制度空白。⑩统一分级分类标准的缺乏导致大湾区面临数据监管难题,为三地数据跨境流动带来较大的不确定性。尽管当前《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同》等政策文件的相继出台实现了部分数据的跨境流动,但从实践现状来看,粤港澳大湾区在实质上幷未被当作一个整体性的区域空间而允许跨境数据在其范围内自由流动。
|
