數(shù)據(jù)領(lǐng)域中長臂管轄對中國的影響及應(yīng)對

朱鴻宇

【摘要】歐盟的《通用數(shù)據(jù)保護(hù)條例》的生效在世界范圍內(nèi)產(chǎn)生了巨大的影響，在數(shù)據(jù)領(lǐng)域中確立的長臂管轄的規(guī)則受到了廣泛的研究和討論。而當(dāng)我國在受到長臂管轄的影響時(shí)，我們也必須作出相應(yīng)的應(yīng)對措施。在國家層面，我們可以通過立法進(jìn)行反制，阻斷長臂管轄對于我國數(shù)據(jù)管轄權(quán)的侵犯，同時(shí)我們可以還學(xué)習(xí)借鑒西方立法思路，搶占全球數(shù)據(jù)領(lǐng)域規(guī)則制定的話語權(quán);在企業(yè)層面，要更加注重對相關(guān)法律規(guī)則的學(xué)習(xí)，根據(jù)自身實(shí)際情況選擇合適的合規(guī)路徑，從而避免因違反相應(yīng)規(guī)定而受到的處罰。

【關(guān)鍵詞】長臂管轄 通用數(shù)據(jù)保護(hù)條例 數(shù)據(jù)保護(hù)

引言

隨著科技的進(jìn)步與發(fā)展，當(dāng)今社會(huì)已經(jīng)進(jìn)入了數(shù)據(jù)時(shí)代，數(shù)據(jù)逐漸成為了驅(qū)動(dòng)經(jīng)濟(jì)發(fā)展的核心資源之一。但是，由于網(wǎng)絡(luò)社會(huì)中國家與國家之間的邊界存在一定的模糊性，數(shù)據(jù)的跨境流動(dòng)難以受到有效的規(guī)制;基于這種現(xiàn)實(shí)情形，各國之間在數(shù)據(jù)主權(quán)的領(lǐng)域展開了博弈。對于數(shù)據(jù)及其權(quán)利的歸屬問題學(xué)術(shù)界目前有兩種觀點(diǎn)，分別為“數(shù)據(jù)主權(quán)論”與“數(shù)據(jù)自由論”[1]，其在現(xiàn)實(shí)中主要表現(xiàn)為在數(shù)據(jù)領(lǐng)域內(nèi)所實(shí)施的長臂管轄?！皵?shù)據(jù)自由論”的初衷是為了是網(wǎng)絡(luò)空間能夠擺脫現(xiàn)實(shí)空間中的原有秩序，但是在實(shí)踐中，這一理論反而被一些國家利用，以數(shù)據(jù)自由的名義通過立法的方式構(gòu)建出長臂管轄的制度，對他國的數(shù)據(jù)管轄權(quán)進(jìn)行了侵犯。

基于這一現(xiàn)實(shí)問題，本文將以歐盟出臺(tái)的《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，下文簡稱“GDPR”）中的規(guī)定去探討長臂管轄對中國的影響以及中國應(yīng)如何應(yīng)對他國的長臂管轄權(quán)。

一、GDPR中的長臂管轄權(quán)

（一）GDPR內(nèi)容介紹

歐洲議會(huì)在2016年4月27日通過了GDPR，并于2018年5月25日正式生效，從而正式取代了1995年頒布實(shí)施的《數(shù)據(jù)保護(hù)指令》（下文簡稱《指令》），雖然兩部規(guī)則是繼承與被繼承的關(guān)系，但是二者在管轄原則上卻有著明顯的變化，在《指令》中適用的是傳統(tǒng)的屬地管轄原則[2]，即只有在歐盟設(shè)立了機(jī)構(gòu)或者通過歐盟境內(nèi)的設(shè)備處理數(shù)據(jù)的企業(yè)會(huì)受到歐盟的管轄，這一種規(guī)則將歐盟的管轄權(quán)限制在了其境內(nèi)，因而可以將其理解為屬地管轄原則;而在GDPR確立的“效果原則”（又稱“影響主義原則”）將歐盟的管轄權(quán)擴(kuò)張到了域外;依照這個(gè)原則，只要是向歐盟境內(nèi)的數(shù)據(jù)主體提供了商品服務(wù)時(shí)處理個(gè)人數(shù)據(jù)或監(jiān)控歐盟境內(nèi)的行為所搜集到的信息都要受到歐盟的管轄[3]，這也導(dǎo)致了GDPR成為了實(shí)質(zhì)意義上的“世界性法律”。

GDPR所保護(hù)的是歐盟境內(nèi)居民的個(gè)人數(shù)據(jù)權(quán)，在歐洲人們將這種權(quán)利視為是人權(quán)的一部分，是一項(xiàng)關(guān)乎個(gè)人尊嚴(yán)與隱私的重要權(quán)利，其法理基礎(chǔ)來源于《歐洲人權(quán)公約》的第八條第一款中“人人有權(quán)享有使自己的私人和家庭生活、家庭和通信得到尊重的權(quán)利[2]?！币虼耍瑲W洲人對個(gè)人數(shù)據(jù)的理解也是將其人格屬性放在了首位。

盡管是建立在保護(hù)人權(quán)的基礎(chǔ)之上，GDPR本質(zhì)上仍是一部針對歐盟自身的區(qū)域性立法，其對長臂管轄權(quán)的實(shí)施必然會(huì)侵犯到他國的數(shù)據(jù)主權(quán)以及他國公民與企業(yè)正當(dāng)權(quán)益。從中國的角度來看，主權(quán)是始終要高于人權(quán)的，對人權(quán)的保護(hù)并不足以支撐歐盟實(shí)施侵害他國數(shù)據(jù)主權(quán)的行為，因此，GDPR中依托人權(quán)所建立的長臂管轄制度實(shí)際上是不足以支撐對于數(shù)據(jù)實(shí)施域外管轄權(quán)的。

（二）對于歐洲數(shù)據(jù)領(lǐng)域長臂管轄權(quán)的評價(jià)

GDPR法案的實(shí)施使得歐盟在數(shù)據(jù)領(lǐng)域的管轄權(quán)擴(kuò)張的趨勢愈發(fā)明顯。歐盟GDPR以歐盟境內(nèi)居民的利益保障為核心，限制他國企業(yè)跨境獲取歐盟的數(shù)據(jù)，但是卻對自身獲取他國境內(nèi)數(shù)據(jù)不設(shè)限。

二、數(shù)據(jù)領(lǐng)域中長臂管轄對中國的影響

長臂管轄行為本質(zhì)上是一種單方行為，這一性質(zhì)使得歐盟在確立與適用這項(xiàng)權(quán)利的時(shí)候主要是從自身的利益出發(fā)，因而其可能會(huì)忽視其他國家的利益，從而對其他國家在多方面造成不良影響。

（一）國家層面

由于文化與經(jīng)濟(jì)發(fā)展水平的差異，各國間的立法也是各不相同。在我國2017年頒布實(shí)施的《網(wǎng)絡(luò)安全法》中的第37條中規(guī)定了重要信息基礎(chǔ)設(shè)施的運(yùn)營者在我國境內(nèi)運(yùn)營中收集和產(chǎn)生的數(shù)據(jù)應(yīng)當(dāng)在我國的境內(nèi)存儲(chǔ)，如果有相關(guān)業(yè)務(wù)需求，必須向境外提供的，應(yīng)當(dāng)按照相關(guān)的規(guī)定進(jìn)行安全評估之后才能進(jìn)行提供。由此我們可知，我國在數(shù)據(jù)管轄方面所持的是“數(shù)據(jù)主權(quán)論”，在此基礎(chǔ)上實(shí)施“存儲(chǔ)地標(biāo)準(zhǔn)”對我國的數(shù)據(jù)進(jìn)行控制。

在中國除了《網(wǎng)絡(luò)安全法》以外，有關(guān)數(shù)據(jù)的立法幾乎仍是空白，而在《網(wǎng)絡(luò)安全法》中對于如何讓應(yīng)對外國長臂管轄行為也沒有具體規(guī)定，這也就導(dǎo)致在面對歐美的長臂管轄之時(shí)我們無法找到有效的法律途徑對這種行為去進(jìn)行回應(yīng)。

（二）企業(yè)層面

在GDPR中，正文條款有99條之多，再加上序言中帶有釋法意義的173個(gè)條款，其所規(guī)范的行為主事項(xiàng)龐雜豐富，此外它還包括很多其他區(qū)域立法沒有的具有開創(chuàng)性和實(shí)驗(yàn)性的條款，這給我國企業(yè)提出了一個(gè)巨大的合規(guī)難題。在給企業(yè)設(shè)立了嚴(yán)格的義務(wù)要求的同時(shí)，GDOR中對于違規(guī)企業(yè)還設(shè)立了高額的罰款，在GDOR二點(diǎn)第85條中規(guī)定，針對一般違反行為處罰1000萬歐元或者企業(yè)全球營業(yè)額的2%（二者取高者）;性質(zhì)嚴(yán)重的，處罰2000萬歐元或者企業(yè)全球年?duì)I業(yè)額的4%（二者取高者）。據(jù)不完全統(tǒng)計(jì)，截止至2019年9月24日，有22國的數(shù)據(jù)保護(hù)機(jī)構(gòu)對87起案件一共做出了373，650，857 歐元的行政處罰決定，其中最大罰單超過了2億歐元，時(shí)至今日，這一態(tài)勢并未緩和，其處罰力度反而明顯加大。在面對如此駭人的處罰力度，我國企業(yè)不得不實(shí)施相應(yīng)措施去避免巨額罰單。

三、面對長臂管轄中國的應(yīng)對措施

（一）切斷長臂管轄，進(jìn)行阻斷立法

長臂管轄權(quán)可以視為一種單邊措施，而國際規(guī)則之中對于單邊措施并沒有進(jìn)行太多的規(guī)定，而在現(xiàn)有的規(guī)則體系之下，一國是可以對本國領(lǐng)土外的行為行使管轄權(quán)的，除非有國際法規(guī)則對這種行為進(jìn)行明確的禁止。因?yàn)槭澜绺鲊脑谖幕r(jià)值觀、發(fā)展水平的巨大差異，因此現(xiàn)階段想要建立起一套完整的國際體系也是十分困難的，在這種情形之下，利用國內(nèi)法對域外行使管轄權(quán)的行為進(jìn)行規(guī)制就尤為重要。

（二）學(xué)習(xí)歐美立法經(jīng)驗(yàn)，完善我國數(shù)據(jù)立法

中國早期對數(shù)據(jù)流動(dòng)、網(wǎng)絡(luò)空間以及數(shù)據(jù)主權(quán)的認(rèn)識(shí)不足，沒有形成系統(tǒng)的數(shù)據(jù)主權(quán)戰(zhàn)略方案，現(xiàn)如今在有關(guān)數(shù)據(jù)的上層立法仍只有《網(wǎng)絡(luò)安全法》一部，在個(gè)人數(shù)據(jù)保護(hù)上的立法更仍是空白。在當(dāng)今的時(shí)代背景之下，國家網(wǎng)絡(luò)安全與個(gè)人數(shù)據(jù)的保護(hù)的休戚相關(guān)，擁有同等重要的地位，因而有關(guān)個(gè)人數(shù)據(jù)保護(hù)的《個(gè)人信息保護(hù)法》的訂立也是迫在眉睫。在歐美這些互聯(lián)網(wǎng)技術(shù)發(fā)展較早較成熟的地區(qū)，對于數(shù)據(jù)保護(hù)的立法已是十分的完善，因此我們可以從他們的立法經(jīng)驗(yàn)中適當(dāng)借鑒學(xué)習(xí)，來完善我國的數(shù)據(jù)立法。這里說的借鑒學(xué)習(xí)并不代表著全盤照搬，還要結(jié)合我國的實(shí)際情況進(jìn)行綜合考量，最終制定出適合中國的數(shù)據(jù)保護(hù)法。比如在GDPR中對于被遺忘權(quán)的規(guī)定就明顯不符合我國的社會(huì)秩序。被遺忘權(quán)賦予了個(gè)人刪除自己信息數(shù)據(jù)的權(quán)利，這種權(quán)利過分主張了數(shù)據(jù)主體對于自己數(shù)據(jù)得控制權(quán)，若直接將其移至到中國，會(huì)導(dǎo)致我國一些公共政策的難以得到有效的貫徹實(shí)施。因此，在學(xué)習(xí)他國經(jīng)驗(yàn)的同時(shí)，更重要的是要基于我國的實(shí)際情況。

我國的立法不僅要注重國內(nèi)的數(shù)據(jù)保護(hù)，對于外國數(shù)據(jù)的管轄也同樣重要。從歐盟的立法來看，長臂管轄已經(jīng)是一種世界性的趨勢，歐盟的GDPR基于自身市場優(yōu)勢實(shí)施“效果原則”對域外的數(shù)據(jù)實(shí)施管轄。對于我國而言，我國的互聯(lián)網(wǎng)公司在外國市場上有著不錯(cuò)的發(fā)展前景;在市場方面我國擁有著龐大的體量;因而，綜合來看我國可以在繼續(xù)實(shí)施“數(shù)據(jù)本地化”的基礎(chǔ)之上，適用“效果原則”與“控制地標(biāo)準(zhǔn)”從而達(dá)到對我國數(shù)據(jù)管轄權(quán)擴(kuò)張的目的，據(jù)此使得我國執(zhí)法機(jī)關(guān)、司法機(jī)關(guān)獲得長臂管轄權(quán)，從而能更加全面的維護(hù)我國的數(shù)據(jù)利益。

（三）加強(qiáng)法規(guī)研習(xí)，促進(jìn)企業(yè)合規(guī)

在歐盟的GDPR中對于外國企業(yè)獲取數(shù)據(jù)、使用數(shù)據(jù)的行為進(jìn)行了嚴(yán)格的立法管制，稍有不慎就會(huì)違反規(guī)則，同時(shí)GDPR中的懲罰措施也是十分的嚴(yán)格，違規(guī)的成本高昂。所以我國的企業(yè)要加強(qiáng)對于國外法規(guī)的學(xué)習(xí)，完善自身的行為，避免因違規(guī)而遭受處罰。

對于大型的跨國企業(yè)如華為、字節(jié)跳動(dòng)等企業(yè)，自然不可能放棄歐盟這般龐大的市場，所以對于這些企業(yè)而言，需要設(shè)立專門的合規(guī)部門，在企業(yè)內(nèi)部作出有關(guān)于數(shù)據(jù)問題的決策時(shí)，部門對決策可以進(jìn)行審查，使得企業(yè)的決策能夠符合外國數(shù)據(jù)保護(hù)法規(guī)的規(guī)定。對于中小型企業(yè)來說，由于在外國市場沒有相稱的利益，因而也沒有必要去單獨(dú)設(shè)立合規(guī)部門，對于他們而言，可以直接借鑒大型公司的合規(guī)成果或向大型公司購買合規(guī)服務(wù)，從而避免因違規(guī)而造成的更大損失。

四、結(jié)語

長臂管轄是當(dāng)今世界的數(shù)據(jù)保護(hù)立法的趨勢，各國也爭相通過制定本國法的方式確立長臂管轄，從而搶占國際規(guī)則制定的話語權(quán)。在這種背景之下，我國企業(yè)在面對他國的長臂管轄的影響時(shí)，各類型企業(yè)要明確自身定位，選擇適合自己的合規(guī)方案，減少貿(mào)易中的糾紛;在國家層面，我們不僅要積極回應(yīng)，通過阻斷立法方式停止外國長臂管轄權(quán)對于我國數(shù)據(jù)管轄的侵害，同時(shí)也要完善自身的數(shù)據(jù)保護(hù)體系，以自身市場優(yōu)勢與資源優(yōu)勢建立連接點(diǎn)，構(gòu)建出我國自己的數(shù)據(jù)管轄權(quán)范圍，從而爭奪數(shù)據(jù)領(lǐng)域內(nèi)的國際話語權(quán)。

參考文獻(xiàn)：

[1]劉天驕.數(shù)據(jù)主權(quán)與長臂管轄的理論分野與實(shí)踐沖突[J].環(huán)球法律評論，2020，42（02）：180-192.

[2]葉開儒.數(shù)據(jù)跨境流動(dòng)規(guī)制中的“長臂管轄”——對歐盟GDPR的原旨主義考察[J].法學(xué)評論，2020，38（01）：106-117.

[3]陳瑞華.論企業(yè)合規(guī)的中國化問題[J].法律科學(xué)（西北政法大學(xué)報(bào)），2020，38（03）：34-48.

[4]黃志雄.網(wǎng)絡(luò)空間國際規(guī)則制定的新趨向——基于《塔林手冊2.0版》的考察[J].廈門大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版），2018（01）：1-11.

[5]張繼紅.個(gè)人數(shù)據(jù)跨境傳輸限制及其解決方案[J].東方法學(xué)，2018（06）：37-48.

[6]董少鵬. 切斷“長臂管轄”才能夯實(shí)“多邊合作”[N]. 中華工商時(shí)報(bào)，2021-01-18（003）.

[7]周夢迪.美國CLOUD法案：全球數(shù)據(jù)管轄新“鐵幕”[J].國際經(jīng)濟(jì)法刊，2021（01）：14-24.

[8]翟志勇.數(shù)據(jù)主權(quán)的興起及其雙重屬性[J].中國法律評論，2018（06）：196-202.

參與科研項(xiàng)目名稱：大數(shù)據(jù)時(shí)代數(shù)據(jù)跨境傳輸中的法律問題研究（省社科基金項(xiàng)目）;項(xiàng)目負(fù)責(zé)人：賀瓊瓊 ;項(xiàng)目編號(hào)：S202010512033