内容提要:我国已通过《网络安全法》《个人信息保护法》以及《数据安全法》维护国家安全以及公民合法权益。随着跨境数据调取在网络安全以及网络隐私中引发的争议,围绕数据跨境调取请求审查标准的《数据安全法》第36条值得深思。目前,该条款存在数据分类不清晰、审查标准模糊、审查权分配僵化等问题。面对世界立法例中已存在的复杂审查规则,应该平衡国家安全与个人隐私权保护之间的张力,并基于国家主权的考虑赋予前者以优先地位。进而,从数据动态流动与静态存储的技术实践角度分析,司法数据跨境调取审查规则的建构需要尊重科技的选择、符合我国的国家利益、遵从我国目前有关数据流出政策的监管趋势。最后,本文以完整、具体的重塑后的“第36条”作为结论。
关 键 词:数据跨境调取审查 国家安全 个人隐私 数据存储 数据流动
一、数据跨境调取的理论冲突
随着网络世界的飞速发展,数据已成为国家基础战略资源。虽然目前在国际法层面尚未形成有关数据跨境流动治理的统一规则,但主要存在两种趋势:一种趋势强调“数据主权论”,认为全球数据治理依然应当围绕主权展开,并以网络主权为起点朝着对技术主权的尊重而发展;另一种趋势是“数据自由主义”,强调各国不应该以主权为理由干涉数据的自由流动。两种思路在实践中不断碰撞,由理论差异带来的实践冲突因此屡见不鲜,①当然,同时主张两者的混合进路范式的国家也存在。②
(一)数据主权及其在技术主权支撑下的扩张趋势
对数据治理的关注是网络发展与治理的高级形态,因此数据主权理论是网络主权理论的自然延伸,是物理主权在网络空间的逻辑映射。③国家主权包含的数据主权主要包括内外两个范畴“对内”指一国在其领土范围内对信息通信技术活动(针对网络虚拟角色)、信息通信技术系统(针对平台)及其承载数据(针对网络虚拟资产)具有最高的、排他的管辖权与支配力;④“对外”指在以主权国家为单位的公共秩序下,各国遵守《联合国宪章》有关国际关系的基本原则,不受他国干涉地治理本国网络空间,以平等参与协同共治的理念解决争端、推动发展,坚持网络空间和现实空间在国际制度上的一致性。⑤
技术主权是欧盟于2020年2月密集发布的三份重要数字战略文件,即《欧盟数据战略》(A European Strategy for Data)、《塑造欧洲的数字未来》(Shaping Europe's Digital Future)和《人工智能白皮书——追求卓越和信任的欧洲方案》(White Paper:On Artificial Intelligence-A European Approach to Excellence and Trust),(下称“《人工智能白皮书》”),都提出并贯穿始终的重要概念。该概念与数据主权密切相关,但在技术、规则和价值三个方面大大拓宽了原有理论。
首先,技术主权在数字技术本身层面拓宽了数据主权概念,强调欧盟在关键技术领域以及重要基础设施方面保持自主性,减少对其他国家或地区的技术依赖。其次,技术主权在规则层面拓展了数据主权概念。针对与数据处理有关的基础设施,如5骋,欧盟关注、参与并制定了相关技术标准。面对全球数据治理在短时间内难以形成统一标准,欧盟提出构建“单一的欧洲数据空间”,并在这一理论基础上建立能够反映欧洲利益的规则与执法体系。最后,技术主权在价值层面拓展了数据主权概念,欧盟通过技术主权向全世界输出自身价值观。《塑造欧洲的数字未来》写道:“欧洲的技术主权并不针对任何人,而是通过关注欧洲人民和欧洲社会模式的需求而确定的”,“数字欧洲应该反映出欧洲最好的属性:开放、公平、多样化、民主和自信”,为此,欧洲要发展“服务于人的技术”、打造“公平竞争的经济”、建设“开放、民主和可持续的社会”,强调“欧洲数字化转型的方式,要能够增强欧洲的民主价值观,尊重欧洲人民的基本权利,并有利于实现可持续发展、气候中立和资源节约型经济”。
(二)数据自由理论
与数据主权理论立足于国家主权相反,数据自由理论是在网络空间独立的理念上发展而来。自网络产生伊始,便有观点将网络比作和太空、公海等相似的“全球公域”,强调网络世界的开放、无边界与虚拟性。⑥持这种理念的学者认为,网络世界应该高度自治、充分自由,从而摆脱主权国家的一切束缚。与此相对应,持数据自由理论的学者认为,网络空间中的数据独立于物理世界而存在,其流动是技术支持的结果,应当弱化主权国家边界对数据流动造成的影响,数据治理也应当采用自治的方式,由私营部门、民间团体同国家政府共同参与。⑦
然而,有一种不好的趋势是,存在将网络自由主义作为“单边主义”的借口从而使其成为政治霸权与经济逆全球化的解释工具。比如有学者认为,如果在法律领域对数据跨境流动设置具有强制力的规则,将会“不可避免地阻碍商业活动”,也会使规制数字跨境流动的法律变为阻碍数字贸易的壁垒,是对网络自由市场的破坏,因此,在数字领域排除国家权力干预是非常必要的。⑧甚至有人认为,主权国家对数据自由与开放的阻碍最终将导致网络空间的“巴尔干化”。⑨事实上,在各国目前数字科技与数字经济实力相差巨大的背景下,片面追求数据自由的观点在本质上是固化数字实力强大国家已经建立和拥有的“数据优势”,进而在网络空间中成为新的立法者。⑩从各国发展角度看,在网络领域只谈自由的做法无疑是有利于数字科技发达国家的,将使当下不公平的竞争格局越发严重,剥夺新兴国家在数字科技领域的话语权与发展权,因此,强调“数据主权”恰恰是对“数据自由”可能引发的不公平格局扩张的应对。(11)
可以看出,“数据自由”强调各国数字经济与数字贸易间的自由与效率,而“数据主权”则更注重主权国家的安全与发展,这就导致二者在数据与主权关系问题上产生了彼此冲突的立场。事实上,各国在数字领域采取的态度与其现实诉求密切相关,各国在“数据主权”与“数据自由”之间的选择正是基于各自利益的不同,呈现出彼此竞争、相互交融的复杂状态。
(叁)实践中数据主权的双重表达
自美国2018年《澄清海外合法数据使用法案》(Clarifying Lawful Overseas Use of Cloud Data,以下简称“《云法案》”)通过之后,便同《通讯存储法案》(Stored Communication Act,以下简称“SCA”)以及早在1987年生效的《电子通讯隐私法案》(Electronic Communications Privacy Act,以下简称“ECPA”)一起成为美国政府调取境外存储数据的法律依据,并与2016年通过、2018年生效的欧盟《通用数据保护规则》(General Data Protection Regulation,以下简称“GDPR”)(12)共同成为能够代表不同数据存储与调取国利益的两大立法阵营。其中,爱尔兰微软案直接促生了《云法案》的出台,揭示了司法数据跨境调取背后的两级利益衡量,并由此开始了对司法数据跨境调取审查标准的广泛探讨。
2013年12月4日,纽约南部地区法院发布了一项允许政府向微软获取其存储的某一用户电子邮件内容与元数据的令状。(13)这一数据虽然被微软存储在美国服务器中,但同其他互联网公司一样,为了使用户能够就近获取信息,大部分消费者信息都存储在位于爱尔兰的数据中心。(14)因此,微软以厂颁础不具有域外效力为由拒绝执行法院令状。(15)虽然法院没有采纳微软的意见,但是参与该案的许多法律顾问认为,如果法院授权美国政府在本案中强迫微软提供存储在境外数据的权力,则有冒犯他国主权的嫌疑,尤其是来自爱尔兰的法律顾问,以此为由向法院递交了法律意见。案件上诉到第二巡回法院。第二巡回法院支持了微软的请求,认为授权美国政府调取爱尔兰数据的行为超出了法院的权力范围,政府不能强行调取存储在美国境外的数据。因此,第二巡回法院在本案中确定了“数据存储地”管辖权规则的优先地位。
然而,在本案中,与该数据相关的管辖权基础所涉及的地点至少有3个,分别是:数据存储地爱尔兰、数据控制者所在地美国、数据用户所在地,当然,如果该用户存在某些违法行为,行为所在地与损害结果发生地也有管辖权。并且,上述地点都可以采取一定手段允许或拒绝将数据提供给他国。例如,爱尔兰可以数据保护为由出台数据本地化要求,(16)美国可以国家安全为由胁迫数据控制者在本国的雇员要求其提供数据,(17)数据用户所在地可以其在诉讼中具有公共利益、而数据存储地具有偶然性为由要求优先调取数据。可见,若不对司法数据跨境调取的审查标准做出双边、区域甚至国际层面的统一安排,数据跨境调取仍将长期出于混乱状态。
二、数据跨境调取审查规则的构建基础——撕裂与聚合
目前,各国对数据跨境调取进行审查主要围绕个人隐私保护与国家安全审查展开。(18)
(一)“数据隐私保护”导致利益张力扩大
GDPR将数据跨境分享与调取的调整重心从欧盟成员国之间转移到欧盟与第三国之间,其在第五章规定了个人数据调取与传输的一般规则,且该规则制定的自然人数据保护标准不得被减损。(19)早在GDPR生效之前,欧盟的个人数据保护立法,尤其是第95/46/EU指令(以下简称“1995指令”)就对作为数据接收国的第三国的个人数据保护标准提出了“充分保护水平”(adequate level of protection)要求,(20)促使多个国家为了满足此要求从欧盟获取数据而更改了国内法。(21)但是在欧盟看来,数据存储量与需求量最大的美国却不满足“充分保护水平”标准(22)。不论是1995指令还是GDPR,均规定“充分保护水平”标准的判断者为欧盟委员会,即欧盟委员会“决定第三国境内或其部分领域,或相关国际组织是否能够提供充分保护”。(23)没有被欧委会认证的国家则需要通过标准合同条款(24)、行为模式认证(25)、授权认证机制(26)、第三国数据控制者和操作者的执行承诺等方式,与欧盟展开一对一谈判。
显然,欧盟的隐私数据保护要求在很大程度上提高了他国政府或公司获取数据的门槛,阻碍了数据的全球传输。没有被欧委会认证的外国政府甚至在每一次提出数据申请时都需要经历“谈判——审查”的冗长过程,即便获得数据,也可能因为时间的耽搁而没有实践意义。此外,欧盟通过GDPR的重点之一就是为了防止外国公司通过在欧盟境内设立分支机构的方式为本国或其他分支机构所在国攫取欧盟及其成员国的个人数据,未经认证的第三方国家的私主体也因GDPR难以直接向数据云储存服务者提出直接请求。除了在本区域立法层面以隐私权保护为中心提高欧盟之外第三国的数据获取标准,欧盟还在双边条约层面对他国获取欧盟数据提出了严格要求,以欧美“安全港协议”及“隐私盾协议”被欧盟法院宣告无效为典型。“安全港协议”在著名的“施奈姆”系列案(Schrems I(27)和Schrems II(28))中被废除。根据斯诺登2013年对于美国国家安全局的大规模监控计划(如PRISM)以及隐瞒与互联网公司合作的情况,奥地利隐私律师Max Schrems向爱尔兰数据保护局提出投诉,当所有欧洲Facebook用户的数据定期转移到美国服务器的时候,如何确保数据传输到美国的合法性。特别是,通过援引爱尔兰数据保护机构的调查权力,Schrems声称美国的法律和实践没有提供足够的保护手段,以防止对欧盟公民大规模监视的风险。爱尔兰数据保护专员拒绝了该投诉,理由是欧美间的数据转移依赖于欧盟委员会具有拘束力的适当性决定。该案件被提交到爱尔兰高等法院审理,经过司法审查,爱尔兰高等法院向欧盟法院提交了该案件的初步裁决,认为安全港适当性的存在可能会对数据保护机构根据投诉进行调查造成妨碍。最终欧盟法院宣布欧盟委员会的适当性决定无效。欧盟法院强调,任何允许公共当局在一般情况下获取个人信息的法律都必须被视为不尊重隐私权利。
此后,贵补肠别产辞辞办开始改用标准合同条款作为将欧洲个人数据传输至美国的合法依据。2015年年底,厂肠丑谤别尘蝉第二次向爱尔兰数据保护委员会投诉,以相同理由要求暂停贵补肠别产辞辞办使用标准合同条款。在该案审理期间,欧美重新签订了“隐私盾”协议,协议于2016年正式通过。根据该协议,用于商业目的的个人数据从欧洲传输到美国后,享有与在欧盟境内同样的数据保护标准。美方承诺严格履行协议中的要求,保证国家安全部门不会对这些个人数据采取任意监控或大规模监控措施。但由于美国多项立法和多个监控项目将国家安全、公共利益和相关部门的执法要求放在首位,因此在相关部门调查、获取传输到美国的欧盟公民个人数据时,不能提供充分保护。欧洲法院在判决中认为美国的国内法对于相关执法部门的数据调取权限并没有进行任何限制,也没有对非美国人员赋予相关的救济和保障措施,因此做出了欧美“隐私盾”协议无效的裁定。
可以看出,欧盟在建立强有力的个人数据隐私安全保护体系上的决心,欧盟对外签订的隐私安全协议将不断受到欧盟居民挑战以及欧盟机构的连续性审查。对于贸易伙伴来说,如何满足欧盟《欧洲联盟基本权利宪章》、骋顿笔搁以及数据隐私安全法体系内的“充分保护”等级,如何判断哪些措施属于“有效救济”,如何平衡国内立法和欧盟法之间的关系,如何在满足欧盟要求的前提下保障本国的国家安全、公共利益、执法需求等,都是需要考虑的问题。(29)比如2019年1月,欧盟委员会与日本达成协议,允许个人数据在贸易伙伴之间的双向传输,但要求日本对欧盟个人数据提供更高层次的保护。(30)
由此可见,对于欧盟来说,不论在单边立法还是在国际条约中,欧盟都将隐私权的高标准保护视为不可放弃的利益,并欲在全球范围内推行其保护标准。
(二)“国家安全”导致利益张力缩小化
美国宪法以及判例法层面一直将“国家安全至上”置于首位,并且如前所述,对于不在美国境内居住的外国公民甚至与这类公民交流的居住在美国本地的美国公民,都会在法律的授权下遭到美国政府的监视,这种调取数据的方式已经在很大程度上超出了法律规制的范畴,不属于跨境调取数据的合法途径,尽管在“斯诺登事件”之后,美国的这一行为有所收敛,(31)但并没有改变美国政府的整体行为导向。美国宪法第四修正案规定,宪法给予隐私权的保护不适用于个人与“第三方”共享的信息,美国最高法院依据该原则判定,宪法保护的是“合理的可预见的隐私权”,(32)并进一步解释,当个人与“第三人”共享信息时,就缺乏了合理性以及可预见性基础,因为该个人应该能够预见到获得其信息的“第三方”可能将信息分享给政府。因此,美国公民的诸如银行账户(33)、电话号码(34)以及垃圾信息(35)等内容,只要与好友分享,即失去了可预见性与合理性。另一方面,最高法院也规定,在某些情况下,宪法第四修正案对隐私权的保护并不适用于美国政府对居住在美国之外的外国公民进行调查,这实际上是对美国单边域外执法的听之任之。在United States v.Verdugo-Urquidez案中,(36)美国政府同墨西哥代理人共同在一墨西哥公民家中搜集证据,此时该墨西哥公民正在美国候审。该公民认为美国这一取证行为没有经过授权,但法庭判定宪法第四修正案并不限制美国政府在境外对外国公民数据调取的行为。毫无疑问,这两条宪法原则为NSA在全球范围内展开监控和非法调取数据大开方便之门,尤其随着云端数据存储与传输的发展,这一“方便之门”带来的隐私权侵害逐渐难以控制,批判接踵而至,(37)直至最终导致了“斯诺登事件”,使奥巴马政府不得不囿于来自全球的谴责而在立法上有所收敛。联邦地区法院开始在相似判例中判决NSA对百万美国公民电话信息的收集行为是违宪的,(38)并承认在电子化时代,公民与第三方的交流信息亟待隐私权保护。(39)美国国会最终在2015年6月通过《美国自由法案》,否定了美国政府对美国公民与第三方交流时候的监听行为的合法性,要求这种行为必须获得法官授权,且必须针对特定的人,否定了大范围收集数据的合法性。(40)然而,在对域外外国人的监视行为,NSA仍旧可以依据宪法获得合法性依据。
也正是在国家安全领域,欧盟对隐私权的一贯坚持开始变得松软,在这点上与美国不谋而合,从而使国家安全成为跨境数据调取审查的共同与优先利益基础。首先,欧盟数据管辖框架授权成员国以国家安全为由广泛限制对隐私权的保护,并特别强调为预防、调查、侦查以及起诉刑事犯罪可以降低对隐私权的保护标准。(41)欧盟法院也通过判例承认大量为国家安全以及刑事正义采取措施的国家属于成员国,(42)因此,在国家安全限制下的欧盟成员国的隐私权保护标准实际上参差不齐。比如德国不论在国家层面还是联邦层面都有完善的隐私权保护体系,并能保证严格执行;(43)但英国则对来自政府的监视以及调查行为很宽容,(44)法国在2015年以前就已经通过议会以及宪法委员会为政府的监视行为扫清了立法障碍,(45)数据隐私只能为国家安全让位。
来源:本文转自《法律适用》2023年第6期(本文为文章摘录版,如需引用,参阅原文)