网络空间是一个国际性空间,网络空间行为呈现出全球性效应。在大数据时代,数据收集者往往利用云计算平台和技术,使得数据的收集和存储突破了国界的限制。国家和国际组织对于个人数据保护的很多立法,均含有“域外效力”的内容。《英国资料保护法》(1998年)、《荷兰个人资料保护法》(1998年)、法国《数据处理、文档和个人自由法案》(2011年)以及新加坡《关于个人数据保护法( PD-PA)中重要概念的建议指南》等都包含域外效力的规定。在国际组织的立法中,1995年欧盟理事会颁布的《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》被认为是主张域外效力的典型,该指令要求成员国不得将境内的个人信息传输至对个人信息保护不“充分”的第三国。2018实施的欧盟《通用数据保护条例》(简称GDPR)极大地扩张了个人数据安全管辖权范围。此外,美国CLOUD法案、德国《网络执行法》也都明确包含“域外效力”内容。
一、网络数据安全法律涉外管辖的特点
(一)网络空间全球化、虚拟化、非中心化等特点使扩大法律域外效力成为普遍共识
一是网络空间的存在动摇了传统管辖权的基础。现代国家普遍遵循以属地管辖为主、属人管辖为辅的管辖原则,互联网构成的网络空间对传统管辖原则发起挑战。首先,互联网上的属人管辖权被削弱。属人管辖原则强调一国法院对本国国民具有管辖权限。但在互联网上,由于网络空间面向所有国家、所有公民,任何一台能够上网的计算机都能够从事所有的网络活动,国籍作为管辖权的基础十分薄弱。其次,互联网的属地管辖权被冲破。互联网是一个开放的全球系统,没有国界和地域限制,互联网彻底冲破了主权在地理空间上的有形界限,使某个个体行为的效果直接出现在他国甚至多国的领域之内,传统管辖权的基础被动摇。
二是网络监管的需求催生出新的管辖权确定原则。美国和欧盟都对管辖权确定原则进行了发展:美国对网络数据安全案件实施长臂管辖。长臂管辖(Long Arm Jurisdiction)是指当被告的住所不在法院地所在州,但和该州有某种最低联系(Minimum contracts),而且所提权利要求也和这种联系有关时,就该项权利要求而言,该州对于该被告具有属人管辖权,可以在州外对被告发出传票。长臂管辖将管辖依据从被告须在法院地有居所或住所、被告出现在法院地等联结因素进行拓展,扩大了法院的管辖权,发展出一些新的管辖标准,如有意接受、营业活动等。欧盟采取效果管辖原则对管辖范围进行拓展。例如,GDPR确立了以属地原则为主、效果原则为辅的管辖原则。依据GDPR第3条第1款规定,条例适用于营业机构或营业场所设在欧盟境内的数据控制者和处理者所进行的个人数据处理活动,不论该处理行为是否发生在欧盟境内。此外,GDPR将效果原则( Effects Principle)作为属地原则的补充。依据效果原则,只要在客观效果上构成对本国或本地区自然人个人数据的处理,就受GDPR管辖,最终在更大的程度和范围上保护欧盟地区数据主体的个人数据权。
(二)欧美等国借助法律涉外管辖效力规定实现自身在网络时代的利益诉求
欧盟旨在通过设置强力的域外管辖扭转其在全球互联网产业竞争格局中的相对弱势地位。相较于美国和中国,欧盟互联网产业发展相对滞后。在全球排名前20的互联网公司中,基本都是美国和中国企业。社交媒体和搜索服务等基础应用方面,欧盟市场几乎被以谷歌公司为代表的美国企业垄断。欧盟选择通过加强个人数据权利保护的方式提高互联网产业的竞争力和话语权,设置宽泛的管辖范围是重要手段之一。美国CLOUD法案不再局限于数据存储地在美国的原则,从数据控制者提供服务角度出发,对其执法机构下达调取数据命令的适用范围进行了域外扩展,旨在实现从全世界获取数据的意图。
二、网络数据安全法律涉外管辖对我国的启示
(一)强化我国网络数据安全法律法规的涉外效力
与欧美网络数据安全法律扩大域外效力相比,我国现有法律域外效力不足。例如,我国《网络安全法》第二条明确将效力范围原则性限定在中华人民共和国境内,仅点状规定有关部门针对源自境外的违法有害信息实施技术封堵阻断传播,且缺乏明确有力的处罚措施,弱化了网络安全法的震慑力和可操作性,忽视了网络全球化背景下互联网领域相关立法建立广泛涉外效力和实施长臂管辖的重要性。我国可以采取法律修订、解释扩张等方式补充现有法律的涉外效力内容,适当扩大法律管辖范围,并在新网络安全相关法律法规制定的过程中,明确域外效力。
我国应在《个人信息保护法》中构建有力的涉外管辖条款。在我国未来的个人信息保护立法中,为实现对我国领土范围内自然人个人信息的合理保护,应当在域外效力适用情形上参照欧盟地区的做法,将属地原则作为一项基本规定单独列明,辅之以法律的域外效力适用情形,从而形成以属地原则为主、效果原则为补充的立法格局。
(二)加强国际合作化解网络数据安全域外管辖冲突
随着大规模商业活动在网络空间的开展,主权国家设法控制网络的企图也逐渐显性化。尽管各国均设定法律的域外效力,但将任一地域性的法律适用到整个网络空间势必导致管辖权冲突泛滥,诱发国际争端。网络特点决定单个国家不可能有效解决互联网上的跨国法律问题,国际社会的通力合作才是互联网相关法律制度发展完善的正确途径。我国应该在强化网络数据安全法律域外效力的同时,展开国际合作,通过协议、互认等方式化解域外管辖权冲突,更好保护我国网络数据安全,维护公民权益和国家利益。
(作者:中国信息通信研究院安全研究所 李晓伟)
声明:本文来自互联网新技术新业务安全评估中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
