摘要: 《个人信息保护法》第3条规定了域外效力条款,但是对于域外效力的具体实现,实践的经验与配套制度并不充分。域外效力条款首先会与本国的冲突适用法产生关联,在《个人信息保护法》的范畴以内,考虑到其公私法交融的属性,冲突法规范仍然具有适用的空间。域外效力条款其次与外国立法会面临直接的冲突,在数据主权意识普遍崛起与国际冲突频发的当下,缺乏国际层面的协调法律其实施会面临诸多问题。《个人信息保护法》对于不同类型的个人信息侵权案件,应当区分解决规范的域外效力问题。对于可能涉嫌侵害国家安全与公共利益的案件,仍由行政机关处理,但对于纯粹的侵害个人信息权益的案件,借由国际私法的方式解决会更为合适,这将有助于域外效力条款的有效实施。
Abstract:
Article 3 of the Personal Information Protection Law provides for the extraterritorial effect clause, but for the concrete realization of extraterritorial effect, the practical experience and supporting system are not enough. The extraterritorial effect clause will first be related to the conflict applicable law of the country. Within the scope of the Personal Information Protection Law, considering the nature of the integration of public and private laws, the conflict of law norms still have room for application. Secondly, the extraterritorial effect clause faces direct conflicts with foreign legislative councils. At present, the awareness of data sovereignty is generally rising and international conflicts are frequent, and the implementation of laws without international coordination will face many problems. For different types of personal information infringement cases, the Personal Information Protection Law should solve the extraterritorial effect of the standard. For cases that may be suspected of infringing on national security and public interests, it is still handled by the administrative organs, but for cases that are purely infringing on the rights and interests of personal information, it is more appropriate to solve them by means of private international law, which will help the effective implementation of the extraterritorial effect clause.
1. 问题的提出
大数据时代下全球化形势的发展展现了全新的特征,重新塑造了国际交往模式。全球竞争与合作不再局限于资本、货物、人员的跨境流动,信息数据的加入使得主权国家对于相关领域的规制充满了新的不确定性。与最初互联网兴起时的口号相背,井然有序的信息开放世界并没有真正建立起来,相反的是数据被侵犯与滥用的状况已然成为现代社会的顽疾,而一旦涉及到国际因素问题便变得愈加复杂与棘手。尤其是个人信息在数据市场的特殊地位使得其处于法律规制的风口浪尖。
为应对个人信息在国境之外所面临的风险对公民权益与公共利益的威胁,存在国际法与国内法层面两条解决路径,但均遭遇层层挑战。国际法层面,一方面,已有制度体系的改革困难重重,而世界贸易组织等现有国际组织在此领域发挥的效果极为有限;另一方面,“数据民族主义”的兴起与各国对于数据主权的重视使得短期内出现可行的国际统一实体规范不存在现实可能性,即便是一定范围内的多边或双边条约的推进也挫折不断。国内法层面,出于保护与规制的二重目的,各国普遍试图建立与本国相适应的规范体系,并将规范效力扩张到领域之外,同时也是为了避免在新的竞争态势中陷入极端被动的不利局面。然而,相关立法中忽略外部环境的域外效力(extraterritorial effect)不仅会显著地阻碍了数据自由流通,而且可能会引发更严重的国际间法律冲突与竞争性立法,破坏长期形成的国际法律秩序,最终导致保护信息数据的合理使用的立法目的根本上难以实现。
《中华人民共和国个人信息保护法》(以下简称《个保法》)于2021年11月1日正式施行,其中第3条对法律的适用范围作出了规定,尤其是第2款列明了法律的域外适用情形有三:“以向境内自然人提供产品或者服务为目的”、“分析、评估境内自然人的行为”、“法律、行政法规规定的其他情形”。1为了适应信息数据的跨境流动特性,避免风险处理行为脱离规范管制,制定对应的域外效力条款是完全不违反国际法并且符合法律原则的。然而,中国在过去时间内在此方面的立法与实践经验均较为薄弱,并且在目前国际上普遍警惕外国法律域外效力的情势下,现有的法律规范如何实现仍是一个悬而未决的问题。
2. 域外效力条款对国内法体系的影响
法的空间效力是指法律在何种空间范围内发生效力,依照一国立法管辖权的界域可以划分为域内效力和域外效力 [1] 。本文所指的“域外效力条款”是指径直规定法律发生域外效力的情形的规范条款,或称“自我限定规范”,例如前述第3条第2款的内容。在确定法律适用之前,应当首先区分域外效力条款与“国际强制性规范”(internationally mandatory rules)概念的差异。后者是指为了维护国家的重大公共利益,可以绕过多边冲突规范,径直适用国际民商事案件的强制性实体规范 [2] 。通常认为二者之间存在交集,但域外效力条款并非都是强制性规范,二者不能等同。这使得该条款并非简单的绝对排除其他规范的调整,仍面临着法律冲突的现实可能。同样的,域外效力条款在规范上面临国内法与国际法两个层面上的矛盾,而国内法又可以进一步划分为法院地法与外国法。厘清上述关系,是法律适用的先决条件的重要一环。
对于法院地法,涉外关系中需着重说明的是冲突法规范。提及冲突法规范之前,需明确该法所涉领域是行政法属性的公法领域还是民商法属性的私法领域。倘若域外效力条款指向的是公法规范,关系到一国主权对领域外的管辖问题,便超出了传统意义上国际私法的范畴,一般意义上并不由司法加以解决,不会涉及冲突法规范问题。若域外效力条款指向的是私法规范,则进一步需判断其能否构成强制性规定,符合则以《涉外民事关系法律适用法》第4条优于其他冲突法规范处理,2否则仍需冲突法规范指引确定具体案件的准据法。
目前主流观点认为,《个保法》以个人信息处理作为立法核心,是一部公私兼存的混合法。此种类型的立法方式在应对非传统权益时已经较为普遍,一旦客体涉及私人利益、公共利益与国家利益多重场域时,专门性立法是必不可少的。例如《反垄断法》既是国家行政机关职权与责任的法律基础,又是民事主体提起民事诉讼的法律依据,法律同时规定了违法者或侵权人可能承担的行政责任与民事责任。类似的,《个保法》亦有此功能,可见第66条、条67条所规定的信息处理者应承担的行政责任与第69条、第70条所规定的信息处理者的民事侵权责任。3值得注意的是,第69条并未以“违反本法”作为民事责任的前提,而第70条民事公益诉讼的提起条件则明确规定“违反本法规定处理个人信息” [3] ,二者的差异表明信息主体仍可以仅以《民法典》等涉及个人信息权益的法律作为提起民事侵权赔偿请求的依据,而无需涉及信息处理者是否违反《个保法》的问题。
此处所面临的问题便是同一部法律能否以不同的适用场合为由遵循不同的适用规则,即对于行政执法领域该法对于域外适用的情形是强制性的,对于私益救济领域该法对于域外效力条款则是可辨析的,或可称为法的“二象性”。由于新近立法中大量出现的“私法公法化”情形 [4] ,如何处理私人权益在公法调整时的法律适用范围,已经成为了普遍待解决的问题。
3. 域外效力条款与外国法的适用冲突
域外效力条款的直接效果便是与对等适用情形的外国法律规范形成“竞合”。在民事关系领域中,对于同一民事关系之上存在多个主张管辖的内容各异的国家立法,所造成的法律适用的冲突,包括真实的法律冲突(real conflicts)与虚假的法律冲突(false conflicts)。法律冲突的产生至少需要四个条件,存在涉外民事关系、所涉民法规范内容不同、外国人平等的民事权利得到认可、主权国家在一定范围内承认所涉他国法的域外效力 [5] 。下面对现状逐一进行分析,是否构成真实的法律冲突。
一是个人信息数据跨境流动已经是国际市场的普遍状况。以互联网市场为典型,规模效应发挥出极为显著的作用,巨型企业占据了绝大多数市场份额,并且这一现象并不局限与一国国境之内,例如微软、谷歌、苹果等美国企业在全世界范围内都有着广泛的用户,互联网巨头手中掌握着全世界范围内数据量惊人的个人信息数据。同时得益于跨国企业的全球布局管理策略,信息数据的收集地、传输地、处理地、受益地完全可能处于不同的国家,使得数据跨境流通非常频繁。在类似上述过程中,信息主体、信息处理者、信息监管部门之间形成了复杂的具有涉外因素的法律关系。
二是不同国家由于国情的差异对于信息规制的法律规范区别较大。经济合作与发展组织(Organization for Economic Cooperation and Development, OECD)在1980年的《隐私保护与个人数据跨国流通指南》(OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)明确提出各国立法不一致会导致数据自由流动困难。例如在属地管辖中,欧盟《一般数据保护条例》(General Data Protection Regulation, GDPR)采用了设备标准、设立机构标准与使领馆标准,而中国的属地管辖以领域为界,直接将个人信息处理活动作为管辖对象,发生在境内的个人数据处理活动均可适用《个保法》 [6] 。美国虽然暂无全国性专门立法,但是在各专门领域以及各州均有相关规范内容,例如1998年美国《儿童在线隐私保护法》(The Children’s Online Privacy Protection Act)规定,本法适用于收集居住在美国的儿童的个人信息,而不论个人数据控制者(处理者)是否位于美国。总体而言,一国掌握的信息技术越发达,对于他国数据利用需求愈大,便会倾向于采用开放性立法,而相反便倾向于保守立法,例如俄罗斯便提出了严格的数据本地化要求。短期内,这一现状并不会有显著的变化,各国诉求的不同也就意味着达成统一的国际实体规范也遥遥无期。
三是不同国家对于本国法院适用外国法的规定不一致。域外效力条款的作用在于两方面,一方面是向国际社会发出了本国意图进行域外规制的信号,另一方面是明确国内各机关处理对外事务时的职权归属 [7] 。对于前者,各国出于本国宪制与国际环境的考量,态度各有千秋。值得一提的是“公共秩序保留”(reservation of public order)或称“保留条款”(vorbehaltsklausel),主要指依法院国冲突规则本应适用外国法,而因适用会危及法院国的重大社会利益即可排除其适用的一种保留制度。在数据规制领域作为常见的理由是国家安全,对于海量个人数据进行挖掘、处理和分析后,在特定情形下有可能转化为关乎国家根本利益的安全信息 [8] 。以公共利益为由,法院便会在个人信息案件法律适用过程中,排除外国法的适用,使得域外效力条款在此国法院无法发挥作用。因而,越是对关系到国计民生的重大领域,一国相关法律的强制性会越强,便不会容许他国法律发挥域外效力。
在此意义上,在个人信息保护层面,域外效力条款实际上是一种本国国际机关的宣称与管辖的释明,并不会因此而衍生在国外的执行力。在普遍的数据保护主义的大环境下,域外效力条款与外国法律产生了显著的冲突,行政执法与司法适用两条路径均困难重重,若缺乏国际层面的协调其实现前景并不明朗。
4. 域外效力条款的实现途径
由上可知,个人信息保护规范拥有公法与私法两条域外效力实现的路径,应当依据不同的特质分别进行展开探索。这一过程所要秉持的两个原则是权力有限扩张与私权的专属保护,前者是指无论是立法管辖权或是司法管辖权在涉外案件的法律适用上都应当以主权界限与尊重礼让为一般规则,以公共利益为例外规则,避免陷入长臂管辖的争议,后者是指对于个人信息的私益部分应当避免过度的行政管制,“个人信息保护法具有公私二元特性,域外效力对本国主权和社会利益、公共安全的保护功能并不必然能够妥善保护个人权利”“在偏重私权利保护的问题上,国际私法规则更能保障涉外民事法律关系的稳定和可预见性”。这是基于国内与国际大环境和个人信息特性所得出的判断。
对公法途径而言,主要是指行政机关行使法律赋予的职权对域外条款所规定的事项进行调整,《个保法》第60条规定“国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作”。这一途径所面临痛点是易于引发法律以外的冲突。从国际法院的判例来看对于国际法未明确禁止的本国管辖范围之内,国家行使管辖权是无可争议的,而对于管辖范围以外的领域,国家行使诸如普遍管辖权之类的特定领域的域外管辖权,应存在可接受的国际法基础。然而近年来,国际社会中国家这一因素出现了强化的趋势也即“逆全球化”的态势,各国采取诸多方式强化主权诉求,拒绝接受国境以外包括国际法在内的约束 [9] 。通常采取的应对方式类似有欧盟的《反对第三国立法域外适用的条例》(The Protecting against the Effects of the Extraterritorial Application of Third Country Legislation Regulations),全面规定了阻断外国法律域外适用的各项制度及阻断措施,中国的《阻断外国法律与措施不当域外适用办法》亦有相近的作用,防止外国法律对于本国领域内产生超出主权者意志的效力。正如习近平主席指出的,“解决国际上的事情,不能从所谓‘实力地位’出发,推行霸权、霸道、霸凌,应该以联合国宪章宗旨和原则为遵循,坚持共商共建共享……反对打着所谓‘规则’旗号破坏国际秩序、制造对抗和分裂的行径。”我国域外效力条款的实现也决不是权势压人或者干涉主权的行为,尤其是在现阶段国际社会的敏感期,对于中国的扩张性行为表现得十分关注。所以对于国家安全、公共利益与社会利益的保护必须要严格依照法律规定的方式对域外的侵害行为进行追究,这是现代政府合理合法的权力与职责,因而需要特别注意辨析个人信息活动中的公益与私益,有的放矢,合理保护。
由此私法途径便显得极为重要,或者说对于个人信息的私益部分而言最为关键。私法途径包括两种主要方式。一是外国法院直接适用《个保法》的相关实体条款以保障当事人的合法权益。此处不谈及《个保法》第3条以外情形而外国法院适用其他条款的状况,要么是外国法院根据法院地国法律(包括允许当事人意思自治的情形)指引适用该法,要么是外国法院认为不在本国法律管辖范围内而又符合第3条情形径直适用该法,都遵循一个重要的国际私法制度,即国际礼让。以美国为例,在有关司法程序中他国法律效力时,法院并不严格区别公法与私法,而是统一以礼让等制度在冲突法框架内进行调整。此类做法意味着,若要获得他国法院的支持,国内法院在处理涉外案件时,也应当进行区分,对于当事人的私权的处分依照冲突法规范指引与国际礼让进行处理,而非是一律适用《个保法》。国际法学说普遍认为“真实合理联系”是一国管辖权与管辖对象之间所必须的条件。得一提的是,若认同个人信息案件可以适用冲突法规范,对于个人信息是否全部属于《涉外民事关系法律适用法》第15条中的“人格权的内容”仍是有待商榷的。4二是外国法院对于适用《个保法》的判决进行承认与执行,这一方式晚近已经获得了较大的发展,目前主要通过外交途径和与其他国家签署民商事司法协助相关的协定或条约来实现。2019年7月2日,海牙国际私法会议第22届外交大会的闭幕标志着《承认与执行外国民商事判决公约》(Convention of 2 July 2019 on the Recognition and Enforcement of Foreign Judgments in Civil or Commercial Matters)谈判的最终完成,中国等数十国对公约文本进行了签署确认,虽然并不意味着公约的正式生效,但是也为此迈出了重要的一步 [10] 。
5. 结语
党的十九届四中全会所发布的《中共中央关于坚持和完善中国特色社会主义制度推进国家治理体系和治理能力现代化若干重大问题的决定》进一步强调,要“加强重要领域立法,加快我国法域外适用的法律体系建设” [11] 。个人信息保护法的域外效力条款既是对现阶段数据跨境流动出现的问题的回应,也是对我国法域外适用的法律体系建设的践行。实现该法的域外效力不能急功近利,而是要充分考虑到法的适用与实施的法理与逻辑,在法治框架内进行探索。注意区分私益与公益的域外效力条款适用方式,在涉外个人信息公益保护时,不全由行政机关执法来解决,开发民事公益诉讼的可能性,有利于强制性规范通过缓和的方式在域外发生效力,避免不必要的冲突。同时,在民事案件中,一定程度上应遵循国际礼让规则,也应允许当事人意思自治原则在个人信息案件法律适用中有存在的空间,以促进主体的活跃与市场的发展。法律的域外适用要在尊重主权独立与国际法治的框架之内,本就是一项艰巨的工作,需要长久的理论与实践发展,对于新兴领域立法更是如此。
NOTES
1《中华人民共和国个人信息保护法》第3条第2款:“在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一) 以向境内自然人提供产品或者服务为目的;(二) 分析、评估境内自然人的行为;(三) 法律、行政法规规定的其他情形。”
2《中华人民共和国涉外民事关系法律适用法》第4条:“中华人民共和国法律对涉外民事关系有强制性规定的,直接适用该强制性规定。”
3《中华人民共和国个人信息保护法》第70条:“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”
4《中华人民共和国涉外民事关系法律适用法》第15条:“人格权的内容,适用权利人经常居所地法律。”