近年来,随着数字经济的蓬勃发展,与数据跨境流动直接相关的一系列全新议题纷纷引发了学界热议。在国际公法领域,“网络主权”与“网络战”迅速突破了传统主权观与战争法的固有观念;而另一个原本属于传统民法领域的议题——个人信息保护问题同样迅速突破了传统人格权研究的范畴,成为比较法乃至于国际法研究的热点。例如,研究欧盟《通用数据保护条例》的学者通常会在描述其个人信息保护制度设计的同时强调其域外适用;又如,个人信息保护甚至写入了自由贸易协定当中。此种状况不同寻常之处在于,民法其他领域的研究极少具有如此浓厚的国际色彩,《联合国国际货物销售合同公约》或许是唯一的例外。不止于此,个人信息保护问题的国际化,甚至并未引发发展中国家的普遍质疑。这有别于十余年前对于“贸易与人权”议题的研究。彼时,包括中国在内的广大发展中国家强烈反对将人权与贸易相挂钩、更反对发达国家以人权为名推进其价值观。而在今天,即便是最不发达国家,也未必会拒绝参与个人信息保护的国际合作。《区域全面经济伙伴关系协定》(RCEP)的签订就是一例。
个人信息保护所体现的国际化色彩,因而带来了一系列问题:个人信息保护问题的国际化,究竟是来源于国家间共识,还是大国政治的产物?个人信息保护问题的国家间冲突,究竟体现为国家间就个人信息保护具体标准的争议,还是国家间对于个人信息保护国际法治建构权限的争夺?我国又将如何在国际化的个人信息保护之争当中,完善国内国际法治构建?上述问题,也将成为本文研究的核心内容。
对于个人信息保护国家间法治冲突的分析,将始于对当前法治实践的总结。目前来看,国家间就个人信息保护问题产生的争议,共包括如下三种情形:其一,国别法律的域外适用;其二,国际规则的制定权之争;其三,对个人信息承载的其他价值的追求所引发的国家间利益之争。
(一)国别法律域外适用之争
目前,国内外学界对于个人信息保护国家间法治冲突研究最为广泛的,当属美欧个人信息保护法律的域外适用问题。一国固然有权决定其境内个人信息保护的具体方式,然而,当该国认为仅仅将法律适用于本国境内尚不足以保护个人信息,该国个人信息保护法就将不可避免地具有域外效力。此种立法的典型范例就是欧盟2018年《通用数据保护条例》(GDPR)。其第3条规定,该条例将在如下范围内适用:其一,数据控制者或者处理者在欧盟境内成立,即便数据处理行为并不发生在欧盟境内亦可。其二,数据控制者或处理者未在欧盟境内成立,但处理的个人信息源于欧盟境内,并且其数据处理行为与向欧盟境内数据主体提供货物或服务相关;或与监控数据主体在欧盟境内行为相关。其三,数据控制者并不在欧盟境内成立,但欧盟成员国法律能够适用于该地。同时需说明的是,此处的“成立”一词并不要求具有法人人格。GDPR序言第23条仅仅要求“通过稳定的安排进行真实、有效的活动”即可。这因而意味着,欧盟个人信息保护法的域外适用同时采纳了“设立地”与“行为地”两项标准。符合上述要求的企业如拒绝遵守GDPR的要求,则会受到欧盟成员国的处罚。
除欧盟《通用数据保护条例》的直接适用之外,欧盟个人信息保护规则还可能通过标准合同条款的强制适用而变相对他国企业产生约束。《通用数据保护条例》第45-47条规定,欧盟数据如需合法传输至第三国,只能在“数据目的国已通过欧盟充分性审查”、企业间适用标准合同条款、企业间适用集团公司规则三种情形下进行。此处的标准合同条款为欧盟官方发布,其中具有强制性的法律选择条款和管辖权条款。标准合同第17条规定,该合同双方必须选择适用某欧盟成员国法律,而“欧盟成员国法律”就必然包括该国必须遵循的欧盟个人信息保护规则。标准合同第18条同时规定,合同双方必须选择欧盟成员国法院对合同项下争议进行管辖,合同中必须写明法院所在国、同时载明合同各方认可该法院具有管辖权。这一条款客观上阻断了合同各方选择法院的可能,进而阻断了外国冲突规范排除欧盟法适用的可能。
与个人信息保护相关的法律域外效力的另一种体现形式,是一国法律虽与个人信息保护无关、但其域外适用会客观上导致他国个人信息受到侵害。典型范例则是当前引发国内外学术界热议的美国《云法案》。2018年《云法案》是对美国1986年《存储通信法》的更新。从其全称《合法使用境外数据明确法》当中可知,其主要内容即为,政府和司法机关不需获得法庭许可,也不需首先适用国家间司法协助程序,即可合法要求美国企业提供位于境外的信息。从理论上讲,美国企业或许可以以“提供信息将违反所在地法律”为由进行抗辩,但此种抗辩仅在对方国家属于“适格外国政府”的情况下才能生效;不仅如此,此种“适格外国政府”的认定条件相当苛刻。此法案的实施,无疑会导致他国个人信息被美国政府强行获取。
(二)与个人信息保护相关的国际规则制定权之争
国内法的域外适用问题,仅仅是与个人信息保护相关的国家间法治冲突最明显的一种情形。更为隐蔽的情形,则是国家间对于个人信息保护相关的国际规则制定权之争。此种“国际规则制定权”最明显的体现,是关于个人信息保护标准的规则制定权。目前,已产生较广泛影响的规则包括OECD《关于保护隐私和个人数据国际流通的指南的建议》、APEC《跨境隐私规则》等。尽管,上述国际组织规则目前尚不具有强制约束力。不过,上述国际规则本身,并不体现与个人信息相关的国际规则制定权之争。一方面,不同规则当中确立的个人信息保护核心理念并不存在根本性差异;另一方面,不同规则之间也同样不是排他关系,一国即便声称自己接受OECD规则,也并不影响其继续接受APEC规则。事实上,即便是在美欧之间,也并不存在无法调和的个人信息保护理念之争。在2018年《通用数据保护条例》与美国《加利福尼亚州消费者隐私法》先后出台后,对二者进行比较的文献层出不穷,二者之间也的确存在制度设计上的差异:例如,《通用数据保护条例》无差别适用于全部数据处理者,而美国《加利福尼亚州消费者隐私法》仅仅适用于一定规模以上的数据处理者。《通用数据保护条例》要求处理个人信息应当事先取得当事人同意;但在美国法项下,当事人如不同意其个人信息被处理则应当事先告知,等等。然而,上述差异,甚至并未影响美欧之间数据跨境流动协议的达成。在美欧《隐私盾协议》当中,美国并不介意该协议无差别适用于美国全部企业;而欧盟也同样不介意采用美式“选择退出”机制。在欧洲法院看来,引发《隐私盾协议》失效的真正原因,甚至不是因为美国实行了情报监听行为,反而是由于美国监听行为违反了“不损害基本权利”“必要性”和“比例原则”三项要求,而这三项要求属于欧盟法当中对于政府获取个人信息的基本合法性要求。
美欧间个人信息标准的双向包容足以表明,国家间就个人信息保护问题的国际规则之争,其争议焦点很可能并不在于法律标准本身,反而在于与个人信息保护相关的国家规制权之争。此种规制权出现在欧洲法院对隐私盾协议的否决意见当中,同时也出现在美国缔结的诸多自由贸易协定(FTA)当中。举例来讲,《美墨加协定》第19.8条题为“个人信息保护”,其中除了增加了对于个人信息保护核心原则的列举式规定,还在第6款任择性的个人信息保护国家间合作规定当中强调,“各方认可,APEC跨境隐私规则机制是便利信息跨境传输同时保护个人信息的有效机制”。此处的APEC跨境隐私规则机制(CBPR)区别于APEC隐私框架。后者仅仅是一份个人信息保护标准,前者则同时包含了数据跨境流动内容。某一企业如果承诺遵循APEC隐私框架、并且能够通过独立第三方认证机构的认证,该企业与全部参与经济体之间将可实现信息自由流动。这也是美国极力助推APEC跨境隐私规则机制的重要原因。
除此之外,就个人信息保护的国家规制权之争还会反映在FTA数据跨境流动条款与计算设施本地化条款当中。以RCEP为例,其第12章第8条题为“线上个人信息保护”,其中强调,“每一缔约方应当采取或维持保证电子商务用户个人信息受到保护的法律框架。”并原则性规定,“在制定保护个人信息的法律框架时,每一缔约方应当考虑相关国际组织或机构的国际标准、原则、指南和准则”。然而,此条款措辞并未强行要求其缔约方采取何种水准的个人信息保护立法,并且,国际标准也仅仅是需“考虑”而非“遵循”的内容。真正对各方权利义务产生影响的是RCEP第12章第15条对数据跨境流动的规定。其条款文本在禁止缔约方“阻止涵盖的人为进行商业行为而通过电子方式跨境传输信息”的同时,还允许“一缔约方采取或维持……缔约方认为是其实现合法的公共政策目标所必要的措施,只要该措施不以构成任意或不合理的歧视或变相的贸易限制的方式适用;或者该缔约方认为对保护其基本安全利益所必需的任何措施。”此条款表面上与个人信息保护毫无关联,但实际上直接涉及一个问题:缔约方如以保护个人信息为目的对数据跨境流动实施了限制,那么,此种行为能否在RCEP项下获得合法性?RCEP第12章第14条“计算设施的位置”条款也具有类似的表述。换言之,在RCEP项下,个人信息保护问题并不体现为主权之争;反而体现为对各国制定个人信息保护法律的自行裁量。
与之相对,《全面与进步跨太平洋伙伴关系协定》(CPTPP)当中虽然强调了个人信息保护的重要性,但其中同样强调,其承认缔约各方可以采取不同的法律路径以保护个人信息。而在第14.11条“电子信息的跨境传输”当中,其第1款原则上承认各方对于数据的电子传输可以拥有自己的规制要求,但在第3款当中,却并不承认为公共利益进行数据跨境传输的“必要性”问题具有自裁决性;反而强调,涉案措施不得超出实现该目标所必要的限度。这就意味着,即便是为了个人信息保护这一目标,此措施是否必要也仍然有待考量。考虑到在WTO规则项下,对于“必要性”的审查标准包括“是否还有其他选择”,只要仍然存在不对个人信息跨境传输进行限制的其他手段,此措施的必要性就会遭到挑战。
综上,一国主权固然包含对内最高立法权,但在经济全球化的今天,此种主权很难完全不受任何限制。不论是美欧《安全港协议》《隐私盾协议》、APEC跨境数据隐私规则还是包括CPTPP、RCEP在内的自由贸易协定,本质上均体现了国家间出于经济目标、对个人信息保护国家规制权或多或少的限制。美国主张信息自由,因而从政府保护个人信息的“必要性”审查与“行业自律”两方面试图缩减主权国家以个人信息保护为由的规制权;欧盟强调个人信息保护,因而并不热衷于在自由贸易协定当中加入个人信息保护与数据跨境流动条款,反而强调对政府调取信息的必要性进行审查。上文论及的《隐私盾协议》合法性之争就是范例。目前来看,此种限制或许是完全自愿的。然而,当一项自由贸易协定具有了足够的国际影响力,此规则完全可能对非缔约国主权造成压迫,该国也同样无法在国际压力下以主权为名“独善其身”。
(三)以个人信息保护为名的其他价值追求
如果说上述两方面立法仍然是直接针对个人信息进行,那么,个人信息保护相关的国际法治之争的第三个方面,就体现为以个人信息保护为载体的其他价值追求。个人信息在作为基本权利的同时,完全可能作为其他价值的载体:例如,在市场经济当中,个人信息属于重要的生产要素、具有经济价值;在国家安全语境下,个人信息完全可能由于当事人身份原因或者汇总而成的大数据而具有情报价值。因此,主权国家完全可能出于经济或安全目的,对个人信息进行法律规制。
以个人信息为载体的经济目标追求,突出体现在欧盟立法当中。此处的欧盟立法,并不是指其《通用数据保护条例》,而是欧盟2020年《数字市场法(草案)》。该草案意在通过规制大型在线平台(“守门人”)的行为,维护欧盟市场竞争秩序。不过,该法案区别于竞争法的特异之处在于,其对于大型在线平台处理个人信息的行为进行了规制。例如,法案序言第36段当中表明,将终端用户个人信息进行整合、或引导终端用户使用该平台提供的系列服务将导致准入壁垒,因此,平台企业需向终端用户提供非个性化选项;第54段当中表明,“守门人”在提供核心平台服务和其他数字服务的过程当中能够获取巨量信息。为保证“守门人”不会通过限制信息转移的方式减少竞争、限制创新,应当要求“守门人”给予商业用户和终端用户有效、即刻获取其提供或生成的信息的途径。上述原则也随后落实在草案正文第5、6条当中。上述关于提供“非个性化选项”与“信息可获得”的规定,固然是“免于算法自动决策”与“信息可携带权”的再现;但欧盟立法的核心,则是以个人信息保护为切入,以“确权”影响市场竞争,进而规范欧盟数字市场秩序,以防大企业凌驾于欧盟成员国之上控制欧洲市场。
与欧盟立法相对应,美国以个人信息为载体的行为则是对外资准入的限制。早在美国2018年《外国投资风险审查现代化法案》(FIRRMA)与其实施细则当中,就曾提出“TID美国企业”的概念。此处的“TID”分别指代关键技术、关键基础设施以及敏感个人信息。对此的并购即使不会控股也仍然会遭到审查。美国政府于2020年8月发布的TikTok禁令,很大程度上也遵循了上述逻辑。TikTok在美国提供网络服务的过程当中会获得大量美国人信息。美国政府因而认为,TikTok能够针对美国政府官员设立资料库并对其进行敲诈勒索。这必然会影响美国国家安全。此交易禁令最终于2021年6月9日被拜登政府废除。然而,拜登政府的新行政命令在思路上却是与此一脉相承的。该行政命令题为《保护美国人敏感信息免受敌对国家侵犯的行政命令》,要求美国商务部与其他部门协商,以保证“包括中国在内”的“外国敌对者”控制或管辖的企业不会获得美国人的敏感个人信息;同时确立具体的法律标准以化解交易风险。
事实上,“TikTok案”未必是美国政府在此领域的唯一实践。从2017年开始,美国外资投资安全委员会(CFIUS)就曾连续禁止中国企业iCarbonX并购医药软件Patientslikeme、蚂蚁金服并购速汇金、以及广告技术公司APPlovin并购交友软件Grindr。美国政府虽未公开宣示否决并购的原因所在,但鉴于上述被并购企业均持有大量美国人的信息,因此,可以推知的是,美国对于个人信息的国家安全意蕴早已开始重视。此领域的最新动向,是2022年初曾有消息表明美国拟对阿里云在美业务展开国家安全审查。这虽然不是“并购审查”,但同样体现了美国对数字产业外资的高度警惕。
(一)冲突内容:利益之争而非标准之争
在对个人信息保护引发国家间法治冲突的三重具象进行分析的基础上,不难发现,国家间法治冲突的核心,并不在于个人信息应当如何保护。这不仅体现为美欧《安全港协议》和《隐私盾协议》当中的个人信息保护条款能够分别采纳对方立法当中的核心要素,更体现为,在自由贸易协定当中,无一例外地具有“尊重缔约国对于个人信息保护的规制”的表述。甚至在美国以个人信息保护为由认为中国TikTok等企业构成对美国国家安全威胁的行政命令当中,也并未列举任何证据证明TikTok究竟如何违反了美国个人信息保护法;其判断更多是基于“TikTok拥有美国人的个人信息将有能力做什么”这样一种“莫须有”的事由。
上述因素能够共同证明,个人信息保护标准之争,从来不是国家间法律冲突的缘起。与之相对,此前曾一度引发国际社会热议的“社会倾销”问题或贸易协定当中的人权条款,本质却在于直接以发达国家心目中“合理”的人权标准作为国际标准,这因而严重侵犯了发展中国家利益,并进而引发了国际社会的反弹。此种区别因而能够侧面回应,为何个人信息保护问题能够悄无声息地成为国际化议题:其中的争议从来不在于一国是否有权在其国内实施某种法律标准;反而在于一国对个人信息的规制,能否有效实现该国所期待的政策目标。举例来讲,欧盟注重个人信息保护,这不仅仅是由于个人信息保护属于欧盟法项下的基本权利,更是由于,欧盟对于数据主权的理解就同时包括了其保护个人信息的能力,以及,借助数据实现经济发展和创新的能力;此种能力将最终转化为欧盟的国际领导力。鉴于欧盟具有广阔的市场但本土并不具有谷歌、亚马逊那样强大的数字企业,因此,对个人信息加强保护、对竞争的严格规制无疑对欧盟有利无害。这因而能够解释,欧盟为何加强本区域个人信息保护法律的域外效力、强化竞争法对于数字平台的规制,但同时不愿在FTA当中纳入实质性的数据跨境流动条款。与欧盟相比,美国拥有强大的数字企业、同时需要广阔的全球市场。因此,其首要利益在于为企业创立市场导向的政策环境。美国官方虽然未必公开使用数据主权一词,但在学者著述当中,同样会将美国针对TikTok与华为的限制措施视为美国争夺数据主权的重要举措。美国向来坚持个人信息保护的行业自律与数据自由理念、且不遗余力地在FTA缔约当中推行这一理念,但美国同样将他国对美国领导地位的挑战视为对美国国家安全最大的威胁。当此种领导地位体现在信息与通信技术(ICT)产业,个人信息保护将同样被冠以国家安全之名。
综上,个人信息保护之所以引发国际法治冲突,根源在于其承载的利益分配问题。一国完全可能拥有对内立法与对外缔约的完整权力,但未必能够确保本国能够获得个人信息所承载的全部利益。那么,此处就不能不追问:究竟是什么影响了一国国家利益的实现?该国为何难以利用主权工具保护其自身利益?
(二)冲突核心:数据主权的实现面临挑战
正如上文分析所言,国家享有主权但未必能够保护其基于个人信息的国家利益,是国家间法治冲突产生的源头。而究其原因,却并不仅仅在于现实主义国际关系视角下的国家间实力差异导致其实现国家利益的能力差异。数据主权的实现不仅仅意味着国家间权力争夺,更意味着国家与企业间的权力争夺。国家在名义上享有的主权,如何转化为实践当中对内政外事的控制权,进而实现国家政策目标,将是一个国家在个人信息保护的国家间法治冲突当中必须解决的问题。
一方面,数据主权之争必然表现为国家间主权冲突。更确切地讲,是国家间立法与司法的属人管辖与属地管辖之间的冲突。属地管辖是国家主权的最基本体现。而属人管辖虽然同属一国主权能够触及范围内,但通常对此的行使多存在限制,例如,被管辖一方国籍或经常居住地位于该国、或至少被管辖一方与该国具有最低限度的联系等等。然而,这种联系究竟有多少、一国是否应当仅凭此种联系的存在就无视他国法律的属地管辖,这在国际法上并无定论。鉴于当前经济全球化、尤其是数字经济全球化的现状,一国寻找此种与企业的最低联系、进而强行将本国法律延伸至他国境内企业并不困难。此种联系甚至可以通过“企业网站能够在该国境内访问”加以证明。具体到个人信息保护问题,欧盟《通用数据保护条例》实际上是在属地管辖之余,将其规制范围拓展至与欧盟存在某种联系的非欧盟企业;美国《云法案》也同样是通过对美国境外的“美国企业”进行属人管辖、要求其根据法案提供证据,进而造成了对他国个人信息的侵害。当然,此种国家间主权之争,完全可以反映在经济领域的国家间实力较量,如欧盟希望以数据主权为名发展数字产业、美国希望以国家安全为名限制中国通信产业进入美国市场等等。在和平时代,国家间实力较量无疑是另一场没有硝烟的主权博弈。
另一方面,数据主权还面临着来自非国家主体的威胁。正如一位美国学者所言,数据主权之争,体现的是一场“所有人反对所有人”的争夺,而非单纯的主权与主权之争。企业作为数据最初的生产者与持有者,享有对数据初始的控制权,其因而能够享有对于生产与知识的控制权。主权国家即便享有通过立法、行政权对此加以规制的权力,此种权力能够在多大程度上付诸实施尚有疑问。因此,数据主权之争完全可能体现为国家与企业间的争夺(如欧盟对数据市场垄断行为的规制);也同样可能体现为国家与代表企业利益的另一国家间的争夺(如FTA当中对于数据本地化规则的谈判)——此处的企业,甚至未必是外国投资者。本国企业固然能够与本国政府“同心协力”——如美国互联网巨头势必支持美国政府在FTA谈判当中对数据自由流动的坚持;本国企业也完全可能成为本国数据主权的挑战者而非执行者。例如,美国《云法案》出台的背景,恰恰是微软公司对美国政府要求其披露位于美国境外证据材料的异议。微软公司显然不愿为美国政府查处贩毒案件的政策目标牺牲其客户隐私、进而引发消费者的愤怒,并最终损失商业利益。另一个典型范例,则是我国政府针对滴滴公司海外上市的国家安全调查。滴滴公司的融资需求显然与我国政府的国家安全目标背道而驰。
事实上,国家权威与数据自由之间的矛盾,自互联网诞生之日起就应运而生。在20世纪90年代,“网络空间主权”(cyberspace sovereignty)一词甚至并非用于描述国家对互联网的控制权,而是被互联网自由的拥护者用于描述“国家不应对互联网当中的信息传输进行任何控制”。彼时的“主权”,意思更加接近于“自治”。彼时的法学著述,甚至曾严肃讨论过“国家能否对互联网进行规制”这一问题。这一争议至少意味着,包括企业在内的社会组织有能力与国家争夺主权早已是不争的事实。20世纪90年代的“网络空间主权”一词更多是从“绝对的言论自由”角度出发;而今天的“数据自由传输”一词更多的是从商业利益角度出发。但不论是彼时还是此时,主权国家均是以公共利益的维护者身份出现在与企业的博弈当中。互联网无国界、但数据主体有国籍,网络基础设施有地域性,基于互联网而建构的社会、经济、文化等上层建筑有国别之分。因此,不论是基于个人信息保护、还是对国民经济的控制、对国家安全的掌控,国家对数据主权的争夺在法理上并无瑕疵。尽管,在权力流散的今天,此种争夺,不仅仅体现为国家间争夺,还可能体现为国家与企业的争夺,甚至于国家与企业背后的他国间权力争夺。此种主权之争的两翼面向、三重利益冲突,方才是当前个人信息保护国际法律冲突最难以解决之处。
综合上文分析,个人信息保护相关的国际法治冲突,本质上并非民法上的个人信息保护水准之争,而是以国内管辖权与国际缔约为代表的国家间利益之争;或者,更确切地讲,是个人信息作为生产要素承载的经济利益、以及个人信息作为情报承载的安全利益之争。因此,在这一进程当中,与我国国家利益切身相关的,未必是个人信息保护的法律标准问题,反而是我国需要借助数据主权实现何种国家利益;以及,如何通过法律手段实现这一目标。
(一)明确我国个人信息保护的总体价值取向
鉴于任何国际法治举措的根基必然是国内法治体系的完善,因此,我国个人信息保护法治的完善,将是我国实现国家利益的基础。目前,随着我国《民法典》《个人信息保护法》《数据安全法》等一系列法律的通过,我国已经拥有了个人信息保护的法律基础。上述法律毋庸置疑地将有助于从人权层面保护个人信息;不过,考虑到个人信息保护同时具有经济、社会、国家安全层面的价值,我国个人信息保护的国内、国际法治路径选择,在支持数字经济自由化的同时,还需防范外国互联网企业对我国经济、文化乃至于国家安全的冲击。
(二)深化国内立法对互联网企业行为的规制
鉴于非国家实体同样能够对国家数据主权造成损害,上述目标实现的首要途径,在于加强对互联网企业行为的规制。此种规制并不必然体现为对外资的敌视;但必然体现为通过对互联网企业行为进行规制,在个人信息保护、经济、安全等多重目标上避免其对国家主权的不利影响。
首先,实现以上目标的起点,是通过确认我国个人信息保护法律的域外效力,规范互联网企业对数据的获取。一方面,较之于美国对企业获取个人信息的宽松态度,我国需要严格执行我国《个人信息保护法》当中对于“信息最小化”的要求,即,非必要不获取、非必要不留存;以及,严格限制企业以拒绝提供服务为手段变相“勒索”个人信息。除此之外,对于个人信息的存储、传输等,我国均具有不同于美国的严格规制。这些个人信息保护规则无差别适用于中国企业与外资企业,以及,无差别适用于中国境内企业与营业地位于境外、但向中国市场跨境提供服务的外国企业。这也因而会引发第二方面的问题:网络服务的跨境性,客观上要求我国《个人信息保护法》具有域外效力。此种域外效力目前已经在实体法层面实现,如,《个人信息保护法》第3条表明,其适用范围不仅包括“在中华人民共和国境内处理自然人个人信息的活动”,还包括“在中华人民共和国境外处理中华人民共和国境内自然人个人信息”的活动。此外,我国民事诉讼法也已承认我国法院对于发生在我国境外、但涉及我国境内自然人个人信息的案件的管辖权。不过,对于我国个人信息保护立法与司法的域外效力,仍需进行如下强化:为保障我国法院管辖权不会由于格式条款中的当事人选择法院协议而被规避、以及,出于外国法院判决承认和执行的考量,我国还可在数据跨境流动标准合同文本的设计当中加入法院选择条款,进而承认我国法院拥有管辖权。不仅如此,法院管辖权的实现仍然有赖于诉权的主动行使。仅靠消费者组织的公益诉讼或代表诉讼显然是不够的。对于个人信息保护领域的违法行为,在积极促进我国检查机关依职权主动提起公益诉讼的同时,网络安全、数据保护机关对于互联网企业依职权进行的行政监督同样不可缺位。此外,我国还需通过国际私法规则,明示此类个人信息侵权案件能够适用我国法律、而不需通过最密切联系原则判断我国与外国个人信息保护法的适用顺序。
除此之外,针对大型企业基于对数据的控制甚至能够与主权国家形成抗衡这一状况,我国有必要效仿欧盟,通过竞争规则对“平台企业”的行为加以限制。此种限制一方面可以从企业行为角度入手,通过反垄断规则防范其滥用市场支配地位;另一方面,还可以从同时具有竞争法意味的个人信息保护法律入手,通过确立数据可携带权与被遗忘权,遏制企业通过持有大量数据进而从事限制竞争行为。目前,我国《个人信息保护法》第45条已承认了数据可携带权,但此条款在实践当中对竞争的影响仍然有待观察。对于“被遗忘权”,目前仅有我国《民法典》第1037条第2款规定了“弱化版”的“删除权”:“自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。”这至多是针对违法或违约行为的救济权,而非法律赋予数据主体对其个人信息的积极支配权。当然,此种状况很可能是由于我国立法者对于“被遗忘权”如何在个人信息保护与公众知情权之间取得平衡仍然无法达成共识。但即便如此,亦可通过扩张删除权内涵、保障消费者在合同无约定时要求信息处理者及时删除的权利,部分化解大型互联网企业对于数据的垄断。
最后,对于互联网企业可能对我国国家安全造成的损害,我国固然有必要加以规制,但无需采用类似于美国的外资审查措施。对于“个人信息搜集足以危及国家安全”这一论断,中国与美国或许能够达成共识。然而,美国策略的核心是全球霸权:对外资的排斥,仅仅是美国保护本国数据的手段之一。与美国对外资的敌视相反相成的,是美国能够通过属人管辖,控制绝大多数全球互联网巨头、并进而对其掌控的个人信息调查取证。即便是属人管辖力所不逮之处,美国也已通过《云法案》加以补足。我国既不追求美式全球霸权,也不会通过属人管辖间接实现全球数据的调取。我国仅仅希望保护本国数据安全与网络安全,防范他国通过掌控我国个人信息对我国国家安全造成侵害。为此,我国当前从事的,是无差别适用于外资与内资企业的数据出境审查,仅在个别领域通过负面清单方式对外资准入进行规制。对此,我国一方面需进一步完善诸如《重要数据识别指南》《网络数据安全管理条例》等数据识别规则,进而服务于《个人信息保护法》与《数据安全法》当中规定的数据跨境传输规则细化。另一方面,就我国外资政策而言,我国固然无需效仿美国,排斥外资进入我国互联网行业;但在外资审查当中,我国完全可以通过附条件许可的方式,要求进入我国互联网行业的外资就数据本地存储、响应他国司法机关数据调取要求等事项作出承诺,进而保护我国个人信息不因外资准入而受损。
(三)增强国际规则制定中的中国话语权
从国际缔约的角度来讲,我国目前正在积极参与国际数字经贸规则制定与谈判。在RCEP缔结后,我国随即宣称将加入CPTPP与《数字经济伙伴关系协定》(DEPA)谈判。前者包含了力度可比于《美墨加协定》的数字经贸规则,后者则以数字贸易为唯一规制对象。二者较之于RCEP的区别在于,其中的电子商务条款是具有强制执行力的。只有在数字贸易规则制定当中体现我国话语权与我国国家利益,我国数字主权才能真正得以实现。
一方面,在对外缔约当中,我国需保障个人信息保护法律的实施能够在FTA项下拥有合法性空间。上文曾经论及,我国《个人信息保护法》当中规定,个人信息的出境如无法通过国家网信部门的安全评估、专门机构的个人信息保护认证或标准合同条款任何一种方式获得合法性来源、或无法获得个人的单独同意,则个人信息必须本地存储。那么,上述要求能否在我国已缔结或将缔结的FTA当中获得合法性依据?从当前的FTA例外设计来看,“公共政策例外”通常要求涉案措施不得构成任意或不合理的歧视或对贸易的变相限制;在CPTPP项下,援引例外一方还需证明涉案措施的必要性。如果仅从“歧视”或“变相限制”要件分析,这或许不会给我国造成太大困扰。我国未来在制度设计当中,只需在承认国家间个人信息保护存在差异的基础上,允许满足个人信息保护若干基本原则的国家通过我国合法性审视即可。不过,“必要性”要件,或许是我国加入CPTPP的最大障碍。毕竟,WTO争端解决实践当中,多将“必要”解读为“达到同一目标别无其他选择”。具体到个人信息保护问题,美国完全可能主张,APEC跨境隐私规则属于数据跨境传输的合法性来源。中国的个人信息保护法律体系因而是“不必要的”。如果从国家主权与我国个人信息保护法的重要地位角度出发,是否允许FTA对于我国个人信息保护法律的必要性进行审查,将是决定我国是否愿意加入CPTPP的障碍之一。
另一方面,我国还需谨防FTA缔约对我国国家安全造成侵害。前文曾经论及,个人信息与国家安全可能产生的关联,包括作为大数据的个人信息出境会造成情报泄密;以及,他国会以国家安全为由实施监听。对于前一种情形,我国《个人信息保护法》虽然原则上有权禁止未通过安全评估的数据跨境流动,但此行为仍需受到“中华人民共和国缔结或者参加的国际条约、协定”的限制。对于后一种情形,我国《个人信息保护法》第42条同样规定,“境外的组织、个人从事……危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。”此种行为同样需要在FTA安全例外项下获得合法性认可。不过,安全例外的较宽泛设置,同样会带来一个无解的难题:“安全例外”的滥用目前已构成对国际规则的结构性挑战。如何驯服不确定性的例外和最小化其被滥用的风险,将同样是国际经济法领域一个短期内无法解决的问题。我国目前不论是对“安全例外”的援引还是对外资安全审查的使用都十分谨慎,但他国是否会利用“安全例外”作出类似于美国“TikTok禁令”的行为仍然难以预测。不过,这一问题的解决是国际法力所不逮的,很大程度上仍有待于国家间政治互信的达成。
个人信息保护国际法治的冲突始于个人信息保护、终于国家利益之争。个人信息作为权利、生产要素与情报的三重属性,直接引发了国家与国家间的规制权之争,以及国家与企业间的个人信息控制权之争。与国际贸易法、国际投资法的形成均不同的是,国际数字经济规则的形成当中,中国并不是一个旁观者或者规则的被动接受者,而是国际规则的积极塑造者。因此,不论是国内法治的完善,还是国内法域外效力的适当扩张、国际规则制定中的中国声音,均将有助于我国数字主权的保护与国家利益的有效实现。