随着我国数字化时代的到来,由此带来的数据权利不仅得到了民法典的承认并予以积极保护,而且随着我国个人信息保护法、网络安全法、《信息安全技术个人信息安全规范》等相关法律法规的出台,虽然对如何保护跨境数据进行了原则性规定,但是并未细化到人民法院应采取何种措施予以保护等。从目前来看,我国法律在跨境数据治理中并未发挥出应有的作用。在以中国式现代化引领全球治理格局的新背景下,如何发挥好我国法律在跨境数据治理中的作用,成为目前需要进一步阐释的重要问题。
一、我国法律在跨境数据治理中面临的挑战
所谓“跨境数据”,通俗意义上讲,就是数据在本国产生却流传到国外。严格界定的话,一般是指在我国国内收集或者产生的个人以及企业信息等,流传到设在境外的服务器上。因此,在数据产生到读取、存储、加工、使用、公开等过程中,可能会造成侵犯个人以及企业信息的情况。跨境数据涉及多重法益,不仅包含数据安全、公共利益、个人信息、隐私权,也关系到国家主权、产业发展等。如何对其予以保护,就目前来看,某些发达国家不仅在立法路径增设相关法律,形成法律保护体系,而且在司法路径之中也采取了较多措施。纵观我国目前法律在治理跨境数据的过程中还存在以下挑战:
第一,跨境数据保护的法律性规范呈现碎片化,因而给司法保护带来较大困难。虽然目前来看,我国涉及个人信息保护的法律性规范多达数百部,但是并未对跨境数据形成强有力的保护。例如,据我国互联网应急中心统计,我国在2017年5月至2018年8月,共发现国内基因数据跨境传输900余次,4000余家单位疑似基因数据发生出境行为。众所周知,人类基因好比人类“密码”,记载着不同地区人种的专有特性,一旦造成该类数据泄露,后果往往不堪设想。因此,如果只是通过立法的数量优势也未必能取得良好的治理效果,究其原因主要有:其一,往往是各个部门出现问题后采取的应对性立法,如此不可避免的会出现适用冲突的现象。其二,各个法律、法规之间在发生冲突之后如何衔接,目前在我国法律之中也未有明确规定。其三,责任主体的规定较为落后,未能满足跨境数据治理的需要。例如,我国网络安全法的责任主体主要是关键信息基础设施的运营者、处理数据的主体等,尚未涉及跨境的接收方、处理数据的第三方等相关主体的责任。其四,上述法律规范能否适用于跨境数据的治理,也存在较大疑问。一般而言,因为跨境数据的审判会涉及国际法的适用问题,如果我国尚未加入国际条约,还难以仅通过适用国内法就能解决好该类问题。
第二,跨境数据侵权取证难、管辖难,会进一步削弱司法保护的效果。众所周知,任何涉诉案件要想取得良好的效果,必然需要强有力的证据支撑。而具体就跨境数据而言,在侵犯发生时,限于数据固有的特性,可能难以及时固定,因而会进一步造成司法保护不利的情况发生。主要原因有:其一,数据具有高流动性,因而侵犯地、结果发生地等也呈现出反射状态,且根据相关条约规定,数据侵权的管辖法院一般是由侵权地以及结果发生地确定,而数据的高流通性会导致确定真正的侵权地以及结果地时较为困难,因而会加大保护的难度。其二,退一步而言,就算能够确定侵权地以及结果地,但是如果由境外法院管辖,会进一步加大保护的成本。如果按照属地关系原则的话,跨境数据侵权一般发生在其他国家,因而如果其他国家的法院取得管辖之后,参加境外诉讼无疑会增加保护的成本。其三,数据归根结底属于电子化的产品,如何进一步取证,对各级法院也提出了较大挑战。
第三,国际司法协助不足,可能会造成放纵侵权现象发生。虽然我国在2018年颁布实施了《中华人民共和国国际刑事司法协助法》,该法在“刑事司法协助请求的提出、接收和处理”“送达文书”“调查取证”“安排证人作证或者协助调查”“查封、扣押、冻结涉案财物”“没收、返还违法所得及其他涉案财物”以及“移管被判刑人” 等方面进行了明确规定,但是根据其内容也大致可以看出,其一,该法属于国内法,其适用对象实质上是国内法院,并未涉及国际层面。其二,该法所针对的内容多为刑事犯罪,尚未具体到跨境数据的治理等相关内容,因而在规定的具体内容上也存在不足。
二、我国法律在跨境数据治理中的应对
(一)建构跨境数据司法保护的法律体系
如前所论,我国目前在跨境数据治理方面的法律呈现出分散性、碎片化等特征,因此,为了发挥法律的积极作用,就有必要在保护的源头上进行统一立法。目前从世界方面看,关于立法模式存在以美国为代表的“分散式立法模式”以及以欧盟为代表的“综合立法模式”。前者主要是以“宪法以及有关侵权行为的基础、后分散为其他法律的立法保护”为主要特征,后者主要是以“将所有需要规定的内容统一在一部法律中”为主要特点。两种立法模式各有利弊,兼顾我国目前关于跨境数据治理的相关法律规范较多等现实问题,所以在我国采取综合的立法模式不太具有现实性。
因此,即便采取诸如美国的“分散式立法模式”,也需要在以下方面完善相关规定:其一,确立宪法以及基本法的作用,并以此作为跨境数据保护的基础。就目前来说,具有母法性质的宪法,具有基本法性质的个人信息保护法、网络安全法,立法层级较高,以其作为跨境数据治理的基础法律,不仅具有合理性,还具有必要性。其二,进一步细化跨境数据治理的法律细则。虽然我国目前立法不缺整体指导原则,但是在跨境数据的流程及条件、信息等级评估、跨境数据取证以及侵权等方面,与发达国家相比还存在一定的差距。例如,韩国《信用通信利用促进及信息保护法》第63条对信息通信服务提供者向国外转移用户个人信息应履行的义务作出了明确规定,还设置了国内代理人制度,明确个人信息匿名处理后不再适用个人信息保护相关规定。因此,特别是在证据固定等方面需进行细致规定。其三,协调好基础法律与其他规范之间的矛盾与冲突。总体来看,个人信息保护法、网络安全法在立法内容上依然延续了“宜粗不宜细”的特点,在性质上有类似于总则的规定,而诸如《信息安全技术个人信息安全规范》是关于某个方面的保护问题,类似于分则的具体规定,因此在法律体系中,应当努力实现总则指导分则的目的,对于与基础法律相冲突的规定应当及时予以修正和完善。
总而言之,我国未来,采取的是“以个人信息保护法、网络安全法等基础法为总则,其他特别规定为分则”的分散保护体系。
(二)创新跨境数据司法管辖体系
如前所论,目前关于跨境数据的管辖困境较大,因而对于法院能否参与治理实质上提出了较大的挑战。为了解决好这一困境,目前不同的国家形成了不同的管辖模式。例如,美国为了最大化维护本国企业的利益,仍然坚持“数据自由流通”原则,因此在跨境数据的管辖上也进一步突破了属地管辖的限制,而规定对数据的访问地均具有管辖权。例如,美国2018年出台的《澄清境外数据合法使用法》授权美国执法机构向管辖范围内的网络服务提供商直接调取存储在境外的数据。如此必然会进一步侵犯其他国家的数据主权,因而也遭到了其他国家的极力反对。欧盟则主要是以属人管辖为主要的管辖原则。
就我国而言,已经在数据安全法与个人信息保护法设置了“阻却条款”,强调对境内存储数据的排他管辖。那么我国对跨境数据治理进一步该采取何种管辖原则呢?就目前而言,在我国法律体系中,对于涉及域外的管辖问题在刑法之中均有明确规定,虽然跨境数据的治理有时还难以上升到犯罪层面,但是可以参考刑法确立的综合管辖原则。具体而言:第一,应当以属地关系为基本原则。对于任何主权国家来说,发生在本国境内的犯罪以及侵权行为理应具有管辖权。对于跨境数据而言,由于数据产生于我国,我国理应具有管辖权。第二,以属人管辖、保护管辖为补充管辖。虽然以属地管辖为基本原则,但是如果行为地发生在境外,其他的国家为了维护数据主权,同样也会规定属地管辖,便会造成管辖权的冲突。因此,为了避免与其他国家的管辖冲突,可以规定以“属人管辖、保护管辖”为补充原则。也即,在其他国家通过属地管辖对该行为进行管辖之后,我国依然可以通过属人管辖、保护管辖原则,对该行为再次进行管辖。
(三)加强跨境数据治理的国际司法协助
跨境数据治理是网络空间国际治理的重要内容,对其治理并非单纯依靠一个国家就能实现良好的治理效果,在治理过程中还不断受到边缘政治、国家安全、技术局限等各种因素的影响。为了更好的发挥我国法律在跨境数据治理中的作用,一方面我国不能采取如美国霸权式的治理模式,另一方面,我国应遵循互联网全球治理法治化的路径,在法治的框架内,积极发挥我国法律的作用。
具体而言,一是积极参与跨境数据司法规则的制定。在未来可以参加国际平台关于跨境数据保护审判的相关标准的研讨以及确立,在具体规则和理论建构中提出中国主张。二是团结国际司法网络治理中立场、理念相近的国家,与之积极开展双边、多边谈判,可以尝试建立数据主权下的跨境数据司法协助机制,增强中国在司法领域中的话语权。三是积极加入成熟确定的国际司法条约,对于不适合本国的条款采取保留态度,对于适合本国的条款予以积极批准承认。
(作者系西南政法大学人工智能法律研究院副院长,中国社会科学院法学研究所博士后)