基于國際化背景下的企業(yè)數(shù)據(jù)侵權風險探究

岳鑫

摘要：歐盟《通用數(shù)據(jù)保護條例》即《GDPR》的出臺，意味著歐盟正式進入到統(tǒng)一法律層面的“數(shù)據(jù)保護時代”。這份被稱為“史上最嚴格的個人數(shù)據(jù)保護法律”在出臺伊始，就將Google、Facebook作為重點管制對象，并開出天價罰單。在這個數(shù)據(jù)的世界中，人類的姓名、性別、身份、種族、性取向等都被構建出來。數(shù)據(jù)已經(jīng)不簡單是一種資產(chǎn)，或者說是一種工具，它已經(jīng)成為數(shù)字化時代人類社會的基石。既然數(shù)據(jù)已經(jīng)成為人類社會基礎性的現(xiàn)實存在，對其進行法律上的規(guī)制和管理也就理所應當。數(shù)據(jù)主體也開始意識到自己的數(shù)據(jù)信息重要性。各國政府也開始著手立法，加強網(wǎng)絡信息安全的法律規(guī)范。對于一個企業(yè)來說，如何有效評估數(shù)據(jù)安全法律風險，制定數(shù)據(jù)安全合規(guī)性制度，完善合規(guī)性審查手段，是《通用數(shù)據(jù)保護條例》出臺以后，企業(yè)首先要面臨和解決的問題。

關鍵詞：數(shù)據(jù)隱私;數(shù)據(jù)保護;數(shù)據(jù)侵權

一、一般數(shù)據(jù)侵權法律適用原則的問題

（一）侵權行為地法原則

在一般涉外侵權案件中，由于侵權行為地往往具有確定性和可預見性的特點，因此傳統(tǒng)國際私法在解決法律適用問題時，各國廣泛適用該原則。對于“侵權行為地”的界定，各國法律有不同的規(guī)定，大致可分為侵權行為實施地和侵權結果發(fā)生地兩種。2但由于網(wǎng)絡數(shù)據(jù)的虛擬性和全球性，使得侵權行為實施地和侵權結果發(fā)生地的確定都產(chǎn)生了一定困難。一方面，互聯(lián)網(wǎng)用戶可以通過一些技術手段顯示虛假的IP地址，這導致確認的計算機所在地址有可能并非是真實的。另一方面，網(wǎng)絡數(shù)據(jù)侵權的行為實施和結果發(fā)生并不一定局限于同一地區(qū)或國家，如利用計算機病毒來破壞他人財產(chǎn)，由于病毒的傳播往往會波及世界各地，這就使得侵權結果發(fā)生地過多而難以選擇。

（二）共同屬人法原則

共同屬人法即指當雙方當事人的國籍或住所地相同時，采用其共同國籍或住所地法律。3在一般涉外民事案件中，確定當事人的國籍或經(jīng)常居所地相對較為方便，但在互聯(lián)網(wǎng)環(huán)境下這卻成為了一個難題。近些年來，一些涉及金錢支付功能的網(wǎng)絡數(shù)據(jù)活動紛紛開始需要用戶進行身份驗證，但仍然有許多網(wǎng)絡數(shù)據(jù)活動不需要進行身份驗證，這是由網(wǎng)絡數(shù)據(jù)的虛擬性、隱私性和自由性所決定的。侵權人可以在任何非國籍所在地或經(jīng)常住所地進行網(wǎng)絡數(shù)據(jù)侵權活動，由于沒有真實的信息認證，很難確認侵權人的國籍或住所地。

（三）最密切聯(lián)系原則

最密切聯(lián)系原則是指受案法院在選擇準據(jù)法時，應避免僵硬適用沖突規(guī)范，而是在多個連接點中，綜合評價對本國利益和秩序、他國相關法規(guī)以及當事人雙方期望可能產(chǎn)生的影響，從中確定最合理的一個作為準據(jù)法，該國法律與存在糾紛的事實和雙方之間有最緊密的關聯(lián)。然而這個原則在網(wǎng)絡數(shù)據(jù)環(huán)境下有著一定的缺陷。該原則的使用需要法官考量各個要素，進行自由裁量，確定各個連結點的密切程度，這就對法官的專業(yè)素養(yǎng)有很高的要求。由于網(wǎng)絡數(shù)據(jù)技術的專業(yè)性和復雜性，一般法官很難做出正確的判斷，因此最密切聯(lián)系原則很容易造成一些不合理的法律被適用。

可以說最密切聯(lián)系原則的產(chǎn)生就肩負著協(xié)調功能主義與概念主義的使命。1954年，美國紐約州最高法院法官富爾德在審理“奧汀訴奧汀案”案中正式使用了“重力中心地”和“關系聚集地”的概念，認為不應機械地依傳統(tǒng)的沖突規(guī)范來適用法律，而應極力找出法律關系本身的重力中心地或連結關系的聚集地，并適用這個地方的法律。這是最密切聯(lián)系原則的雛形。1963年富爾德法官審理“貝柯克訴杰克遜”案再次運用了“最密切聯(lián)系說”來選擇與涉外侵權行為有最密切聯(lián)系的法律作為侵權行為之債的準據(jù)法，放棄了美國判例法上機械的照搬“侵權行為地法”的傳統(tǒng)做法。“貝柯克訴杰克遜”案對最密切聯(lián)系原則的確立，具有里程碑式的意義。里斯以最密切聯(lián)系原則為依據(jù)，編撰的《第二次沖突法重述》使得最密切聯(lián)系原則在美國沖突法中得以確立。至此，當代國際私法最流行的法律適用理論之一的最密切聯(lián)系原則大體形成。

（四）意思自治原則

意思自治原則是指當事人可以通過自愿選擇相互適用在國際民商事法律關系上的準據(jù)法。4當事人可以通過意思自治自己選擇準據(jù)法，大大減少了司法成本，也體現(xiàn)了國際私法對實質正義的追求。但是現(xiàn)實情況是，在網(wǎng)絡數(shù)據(jù)環(huán)境下意思自治原則并不是總能發(fā)揮作用。一方面，網(wǎng)絡數(shù)據(jù)活動一般來說很少事先簽訂合同，即使簽訂合同，也往往是格式合同，其關于法律適用方面條款也往往是不利于受害人的。另一方面，在侵害結果已經(jīng)發(fā)生后，雙方當事人一般無法找到同時有利于雙方的準據(jù)法，這就很難協(xié)商一致。在大數(shù)據(jù)容量和利用方式都飛速發(fā)展的今天，數(shù)據(jù)國際化趨勢愈加明顯?；ヂ?lián)網(wǎng)由信息時代走向數(shù)據(jù)時代，互聯(lián)網(wǎng)企業(yè)甚至不需要設立實體營業(yè)機構，就可以為當?shù)氐目蛻籼峁?shù)據(jù)服務。而這些客戶的數(shù)據(jù)都存在于“云端”。所以一旦發(fā)生數(shù)據(jù)侵權的爭端，就很難通過一般的準據(jù)法選擇原則來解決。

二、我國涉外侵權法律適用規(guī)制

（一）我國《涉外民事關系法律適用法》意思自治原則分析

我國《涉外民事關系法律適用法》吸收國際先進立法思想，首次將當事人意思自治原則引入涉外侵權法律適用領域，在一般侵權責任和特殊侵權責任的法律適用規(guī)則中作了不同規(guī)定，實現(xiàn)了涉外侵權領域法律適用規(guī)則的突破和創(chuàng)新。當事人意思自治原則是合同法律適用領域的首要原則，與合同領域不同的是，作為法定之債的侵權領域，在引入當事人意思自治原則時一般都要求施加一定的限制。我國《涉外民事關系法律適用法》的規(guī)定也不例外，其中，第四十四條只允許當事人事后選擇法律，不允許事前選擇法律;第四十五條只賦予被侵權人單方選擇適用侵權人主營業(yè)地法或損害發(fā)生地法的權利;第五十條也是只允許當事人事后選擇法律，并將事后選擇的范圍限于法院地法。

此外，從規(guī)制視角分析，涉外侵權法律適用規(guī)則體現(xiàn)了所涉各國在規(guī)制侵權行為方面的實體政策利益，而這種規(guī)制利益主要體現(xiàn)在侵權行為發(fā)生之前對當事人的激勵和引導上，待侵權行為發(fā)生之后，侵權人和被侵權人已處于對抗局面，允許當事人事后選擇侵權準據(jù)法，一般來講不會對一國在侵權法律適用規(guī)則上的實體政策利益產(chǎn)生實質影響，因此，《涉外民事關系法律適用法》第四十四條和第五十條均將選擇方式限定為事后選擇。

（二）我國《涉外民事關系法律適用法》中最密切聯(lián)系原則

《法律適用法》第二條：“涉外民事關系適用的法律，依照本法確定。其他法律對涉外民事關系法律適用另有特別規(guī)定的，依照其規(guī)定。本法和其他法律對涉外民事關系法律適用沒有規(guī)定的，適用與該涉外民事關系有最密切聯(lián)系的法律?！薄斗蛇m用法》第41條規(guī)定了在當事人沒有進行法律選擇的情況下，適用最密切聯(lián)系原則以確定準據(jù)法，這符合在合同領域中國一直以來的做法。尤其值得一提的是，第41條明確表示應當“適用履行義務最能體現(xiàn)該合同特征的一方當事人經(jīng)常居所地法律”。但無可否認的是，最密切聯(lián)系原則在適用的時候無確切標準，法官在適用的時候往往難以把握。

三、歐盟《GDPR》下的數(shù)據(jù)安全保護政策

GDPR關于控制者和處理者的定義繼承了《1995年個人信息保護指令》的內(nèi)容，其第4條規(guī)定：控制者（controller）是指，獨立或者與他人共同決定個人信息處理目的、方式的自然人、法人、公共機構、代理機構或者其他組織，該目的和方式應當由歐盟法或者成員國法律決定，控制者的具體認定標準可以由歐盟法或者成員國法另行規(guī)定。處理者（processor）是指代替控制者處理個人信息的自然人、法人、公共機構、代理機構或者其他組織。為了避免個人信息被濫用，GDPR在不同領域分別擴大了信息控制者、處理者的義務，包括保存某些文件備查，對高風險活動進行影響評估，對數(shù)據(jù)進行加密處理等等。

（一）設立數(shù)據(jù)保護官

根據(jù)GDPR第37條的規(guī)定，信息控制者、處理者在三種情況下需要設立一名信息保護官（DataProtectionOfficer，DPO）。這三種情況包括：（1）公共機構或其組成部門處理個人信息的，但是法院履行司法職能的情況除外;（2）根據(jù)其本性、范圍或目的，控制者或處理

者的核心業(yè)務包含大規(guī)模定期的或者系統(tǒng)監(jiān)督信息主體的;（3）控制者或處理者的核心業(yè)務包含大規(guī)模處理第9條所規(guī)定的特殊信息和第10條所規(guī)定的違法犯罪信息的。由此可知，除法院外的所有的公共機構均有義務設置專門的信息保護官，其他機構的核心業(yè)務涉及大量信息處理時才有必要設立信息保護官。GDPR沒有對信息保護官的資質證書作出明確要求，但是要求信息保護官應當具有充分的專業(yè)知識。

（二）加強數(shù)據(jù)安全技術保護手段

通過技術措施不能徹底解決隱私的保護問題，但是至少可以解決一些低端的信息竊取活動。根據(jù)GDPR第6條的規(guī)定，鼓勵信息控制者采取加密（encryption）或變形（pseudonymisation）措施處理增強信息保護級別。第25條則規(guī)定信息服務開發(fā)階段就應當具備隱私保護功能（privacybyde-sign），在信息服務運行階段應當將個人信息默認設置為不公開（privacybydefault）。這是一個新的信息保護觀念和保護方法的進步，也即信息必須以主動調取的方式獲取，而不能簡單的暴露在外。

根據(jù)GDPR第30條的規(guī)定，所有的信息控制者及其代表、處理者及其代表在信息處理活動中應當將每一次信息處理活動以書面或者電子形式記錄存檔，以備信息保護監(jiān)管機構查驗。

（三）提高信息安全的匯報與通知制度

根據(jù)GDPR第33條的規(guī)定，在發(fā)生信息泄露時，信息控制者應當在72小時內(nèi)向信息保護局報告情況，但信息泄露范圍小而沒有造成任何損害的除外?？刂普呦蛐畔⒈Ｗo局提交的報告應當包括：信息泄露總體情況，包含涉及的信息主體數(shù)量和信息類型;事件聯(lián)系人和聯(lián)系方式;可能發(fā)生的危害后果;控制者采取的挽救措施。信息控制者需要對每一次信息泄露做詳細的記錄。此外，根據(jù)GDPR第34條的規(guī)定，信息泄露對信息主體造成較高風險時，控制者應當及時地將情況通知給每一位受到影響的信息主體，通知內(nèi)容與DPA的報告類似。同時，控制者在三種情況下可以免于向每一位信息主體作出通知：（1）由于信息加密等保護措施使得信息泄露的損害風險很低的;（2）控制者已經(jīng)及時采取措施（例如終止受到影響的賬戶）解除風險的;（3）向每一位信息主體發(fā)出通知的要求顯著失當而可以通過公開通知代替的?？偠灾?，信息泄露時的報告和通知義務可以有效提高個人信息保護工作的透明度，但是對風險是否需要報告的判斷、短時間內(nèi)作出報告和通知也將成為控制者的工作挑戰(zhàn)。

（四）增強信息跨境流動監(jiān)管

為了保障歐盟公民的個人信息處于安全的環(huán)境之中，GDPR首先將條例的適用范圍擴大到一切與歐盟公民個人信息相關的信息控制者和處理者，也即歐盟公民的個人信息在歐盟境外也能受到歐盟法的保護。根據(jù)《歐盟一般個人信息保護條例》第3條的規(guī)定，本條例適用于控制者或者處理者位于歐盟的個人信息處理活動，而不論該信息處理行為是否發(fā)生在歐盟。如果控制者或者處理者不在歐盟范圍內(nèi)，但是該個人信息處理活動與在歐盟范圍內(nèi)提供的商品或服務相關，或者與監(jiān)督歐盟范圍內(nèi)的行為相關，或者由于國際法而可以適用某一歐盟成員國法律的，也均適用本條例。此外，GDPR對歐盟內(nèi)個人信息的向外流動進行了嚴格把關?！?995年個人信息保護指令》和GDPR均規(guī)定，除非滿足一定條件可以證明個人信息能在歐盟境外某一地區(qū)得到充分保護，否則禁止控制者、處理者將歐盟內(nèi)的個人信息轉移至該境外地區(qū)。

結語

網(wǎng)絡技術和大數(shù)據(jù)挖掘技術的進步，推動了社會發(fā)展，也給人們的生活帶來了極大的益處。視頻監(jiān)控、數(shù)據(jù)挖掘、信息交換與信息分享已構成現(xiàn)代公民不可或缺的生活方式，借助這些行為，人們可以獲得更多的生活便利，更多的財產(chǎn)和人身安全。面對大數(shù)據(jù)時代隱私信息的多重安全困境，最基礎而本質的解決之道當然是法律保護。我國在2009年頒布的《侵權責任法》首次明確對隱私權進行法律保護，隨后出臺了一系列政策法規(guī)進一步對公民的隱私信息進行保護。我國2016年頒布的《網(wǎng)絡安全法》更是明確對公民信息收集必須遵循“合法、正當、必要”的原則，并且必須“知情同意”。從“隱私權”到“被遺忘權”，再到“刪除權”，隱私權的內(nèi)涵在不斷豐富，其呈現(xiàn)的形式也在不斷發(fā)生變化。法律法規(guī)的相對穩(wěn)定性要求雖然無法及時跟上這種變化，但這條底線的堅守顯然意義非凡，而公民自身的堅守，則更有利于人類尊嚴的維護。

參考文獻

[1]李婧.我國涉外侵權法律適用規(guī)則的完善——基于私人自治與政府規(guī)制的經(jīng)濟學思考[J].河南社會科學，2017，25（01）.

[2]殷駿.最重要聯(lián)系原則法理辯謬[J].河北法學，2016，34（07）：52-60.

[3]馮術杰.歐盟知識產(chǎn)權沖突法規(guī)則及其啟示[J].知識產(chǎn)權，2014（03）.

[4]李先波，謝文斌.我國有關涉外侵權民事關系法律適用立法評析[J].湖南師范大學社會科學學報，2013，42（01）.

[5]熱西旦·依得力思.淺析涉外侵權行為法律適用的發(fā)展[J].中國經(jīng)貿(mào)導刊，2009（13）.

[6]許軍珂.論侵權領域的當事人意思自治原則[J].中國青年政治學院學報，2006（03）.

[7]金彭年.國際私法上侵權行為的法律適用[J].法學研究，1998（03）.

[8]呂巖峰.英國“適當法理論”之研究[J].吉林大學社會科學學報.

[9]冉從敬，張沫.歐盟GDPR中數(shù)據(jù)可攜權對中國的借鑒研究[J].信息資源管理學報，2019，9（02）.

[10]胡文華，孔華鋒.歐盟《通用數(shù)據(jù)保護條例》之中國效應及應對[J].計算機應用與軟件，2018，35（11）.

[11]喬新生.歐盟《通用數(shù)據(jù)保護條例》的啟示[J].青年記者，2018（19）.

[12]李雨明，聶圣歌，西楠.大數(shù)據(jù)隱私侵權界定及其應對策略研究[J].圖書館工作與研究，2017（S1）.

[13]蔣潔.云數(shù)據(jù)隱私侵權風險與矯正策略[J].情報雜志，2012，31（07）.