1、【热点聚焦】个人数据跨境传输中域外立法管辖权的适用研究李芷馨(北京师范大学 法学院,北京 100875)摘要:不同于实体标的物交易,由于个人数据跨境传输具有虚拟性、交互性与多节点性等特征,个人数据跨境传输在交易中很难适用传统的“属地原则”来确定单一管辖地。近年来,各主权国家纷纷以维护国家安全利益为由,试图在国内法中寻找和创设域外立法管辖权法律依据,以尽快获得涉外数据案件的专属管辖权,抢占数据信息市场,这使得我国更加频繁地遭到无端数据制裁和不合理管辖。为了应对这一现状,通过梳理我国立法,可以看到现有管辖制度适用范围过于狭窄,与数据跨境传输案件并不兼容,同时,阻断性立法的制定尚处于起步阶段,不但宣
2、誓性条款居多,且没有针对个人数据跨境传输领域形成具体规范。这需要我国从两个层面完善域外立法管辖权的建构:一是在坚持国家数据主权的基础上,加快完善专项国内立法,以适用到个人数据跨境传输这一具体领域;二是积极参与国际合作,扩大我国国内法域外适用的范围。关键词:个人数据跨境传输;域外立法管辖权;域外适用一、问题的提出于2018年落下帷幕的“微软诉美国跨境数据索取案”(Microsoft Corp.v.United States)首次将域外管辖引入了个人数据跨境传输领域,该案背景如下。在一起发生在美国的毒品走私案中,美国联邦调查局(FBI)意欲获取由微软公司存储的关键电子证据(该案中为电子邮件),而后
3、者认为该电子证据存储于爱尔兰境内的数据库,美国政府无权使用数据调用指令要求其披露用户数据。双方因此产生严重分歧,微软公司作为原告正式起诉。一审法院认为,依据美国的存储通信法案(the Stored Communication Act,以下简称SCA),数据位于何国境内并不重要,关键在于该数据由何国企业控制,故微软公司必须披露其控制的涉诉数据,而不受国境的限制。与此截然不同的是,收稿日期:2023-05-25基金项目:北京师范大学法学院2022年度学术型研究生专项科研基金课题“企业域外涉诉数据出境风险规制研究”(2022LAW001)。作者简介:李芷馨,北京师范大学法学院博士研究生,从事国际法学
4、研究。国外相关报道文字中也常用“微软爱尔兰案”(Microsoft Ireland case)来指代此案。存储通信法案(Stored Communication Act,SCA)是美国执法机构强制个人或企业披露私人电子通信数据所依据的重要法律,其核心在于严格限定境外获取美国境内数据的行为及对象,但并未对美国索取境外数据的行为及对象给出明确标准。See 18 U.S.C.2702-2703,2711(4)。2023 年 8 月第 4 期(总 第 40 期)1012023年第4期当案件进入二审程序后,曼哈顿巡回法院推翻了上述论断,认为美国政府要求提供的电子邮件属于用户的隐私而非SCA所谓的“记录”
5、,并且涉案数据存储在爱尔兰境内,故该案具有涉外性,涉诉数据必受一国主权管辖,美国政府只可通过涉外司法协助的方式取得。同时,上诉法院认为,根据美国的立法惯例,国会立法的效力仅仅及于美国境内,除非在立法中存在着明显相反的表述。一审法院审判的法律依据SCA并无相反表述,因此其不具有适用于境外的效力,与之相关的数据调用指令因本案涉外的性质而无效。作为回应,美国司法部向美国最高法院提出上诉,而在美国最高法院审理期间,美国国会通过了澄清境外合法使用数据法(以下简称CLOUD法案),该法案修订了SCA。美国最高法院依据新的“数据控制者标准”,撤销了曼哈顿巡回法院的判决。不久后,欧盟也推出了针对个人数据跨境传
6、输领域相关问题的立法,即通用数据保护条例(以下简称为GDPR法案)。自此,通过创设国内法依据,在个人数据跨境传输领域拓展域外立法管辖权,以维护国家安全为由,抢占数据信息市场的国家实践开始频繁出现。诚然,常设国际法院在“荷花号案”中认为,立法管辖权的行使规则是“法无禁止则许可”。这意味着国际法给予了主权国家广泛的自由裁量权,且并不禁止其将自身国内法适用到领域之外(territorial),除非这种适用本身被国际法禁止性规定排除。实际上,这里的但书规则的效果是十分有限的,在国际法中,对主权国家域外立法的禁止性规定非常罕见,更多是通过联合国大会决议中的“建议”“谴责”的方式体现,但这些行动并非国际法
7、院规约第38条中的国际法渊源,故并不具有强制力。大国往往以“荷花号案”及之后经过反复的国家实践和不断形成的法律确信来佐证这一习惯国际法的形成,意欲为其滥用域外立法管辖权的行为寻找正当性基础。但显然这些国家只考虑到了自己的利益,而忽视了对他国领域内事务形成干涉的实质效果,这种做法是否符合国际法基本原则,成为需要探索的问题之一。具体到个人数据跨境传输领域,上述案件中的争议点在于,SCA法案是否能够收集存储在境外的电子数据,即能否依据SCA法案中的长臂条款,对“存储在境外,但被境内实体实际控制”的数据行使管辖权。该案很好地展现了当前数据出境与域外取证间的尖锐矛盾,并随之引发了在域外立法管辖中的相关问
8、题与思考。域外立法管辖权延伸至个人数据跨境传输领域的做法,及时回应了当前司法实践中对数据获取的现实需求。但对于坚持“数据主权”原则的国家来说,这种适用恰恰污染了个人数据跨境传输这片“净土”,既与传统“属地管辖”做法不符,又违背了国际礼让原则,其体现出来的正当性与非正当性之争,以及如何探索符合各方利益的域外立法管辖制度,恰是本文探讨的重点。梁坤:美国澄清合法使用境外数据法背景阐释,国家检察官学院学报2018年第5期,第157页。See“Lotus”(France v.Turkey),1927 PCIJ Series A10,Judgment of 7 September 1927,p.18-19
9、.例如WTO上诉机构在DS 58:US-Shrimp案中认为,尽管美国对虾和虾产品的进口禁令是与保护可耗尽的自然资源有关,但由于该濒危物种法对外国作出的具体政策决定产生了实际上的强制作用,因此该禁令构成对WTO成员方“任意和不合理”的歧视,故不满足GATT第20条一般例外条款序言中的构成要件。See Privacy-Stored Communications Act-Second Circuit Holds the Government Cannot Compel An Internet ServiceProvider to Produce Information Stored Oversea
10、s.Microsoft Corp.v.United States,829 F.3d 197(2d Cir.2016),130 Harv.L.Rev.769(2016).102李芷馨个人数据跨境传输中域外立法管辖权的适用研究二、个人数据跨境传输中域外立法管辖权的适用路径主权国家如何确定域外立法管辖权,是牵涉国际法律规范、外交礼仪等因素的复杂问题,故绝大多数国家会对其形成和适用持克制态度。但在个人数据跨境传输领域,由于资源稀缺,不乏在霸权主义和单边思想指导下反其道而行之的国家,其将国内法中跨法域管辖的实践延伸至跨国事务中,对域外立法管辖制度进行随意的“长臂化”改造,单方面将国内法的适用范围强行扩展
11、到全球之中。(一)美国的适用路径:全球化扩张属人管辖模式美国的数据保障体系奉行的仍是“霸权”和“强权”的美式政治传统,即对外宣称应该在全球实现数据和信息的自由流动与利用,但只准他国的数据和信息流入美国,不准美国的数据和信息流入他国。通过参与APEC“跨境隐私规则体系”(CBPR)的方式,美国不断深化和巩固自己作为全球最大数据流入国的地位。结合CLOUD法案中确立的“数据控制者标准”来看,美国已经完成了自己对全球数据市场管辖的进一步扩张,传统的属地管辖原则失去了作用,可以说,只要是美国想要参与的数据市场,该数据的管辖权就会落入美国法院的口袋。在CLOUD法案中,美国提出了两大数据管辖原则。其一,
12、即便数据的储存地不在美国本土,但只要数据的所有权被美国控制,其就拥有绝对的管辖权。其二,基于对等原则,如果外国政府想要获取位于本国境内,但由美国政府实际控制的数据,那么当美国政府存在同样的需求时,外国政府也必须同意。同时,美国还有权单方面关闭数据获取通道。除此之外,CLOUD法案的最大特征就是明确了通过数据控制者标准主张数据管辖权的原则,即只要数据的控制者(无论是企业、组织或个人)具有“美国籍”的身份,其依照SCA规定义务所保存的任何信息的管辖权,都属于美国,而不问该信息储存主体的所在地。由此可知,美国从主张“美国籍”数据服务商的属人管辖,进化到对“美国籍”数据服务商所持数据的所有权管辖,并最
13、终实现“美国籍”数据服务商所在国的数据主权管辖。这无疑是滥用数据技术优势和域外立法管辖权,间接抢占他国数据信息市场的行为,是对他国独立主权的严重干预。但归根结底,这是一种管辖权在数据领域的不当延伸行为。但是,针对美国本土的数据,美国又主张适用属地原则。即只要数据服务提供商注册地在美国,或者数据服务提供商的数据储存在美国本土,美国就具有当然的数据管辖权。为了不让外国政府获取美国本土的数据和信息,美国政府严格限制本土数据服务提供商的对外数据提供行为,以确保属地管辖原则的适用。另一方面,美国政府还会严格监控外国数据服务提供商的美国“登陆”行为,对在美发展的数据行业巨头纷纷采取打压和限制策略。例如,华
14、为公司就被美国贴上了负面标签,认为其是我国施行霸权主义的工具,有碍美国数据市场管辖的单一性,必须依据属地管辖原则予以严厉驱逐。(二)欧盟的适用路径:区域内效果管辖模式与美国类似,欧盟也在2018年跟进了数据信息的保护立法,推出了GDPR法案,其最大特征为江国青:演变中的国际法问题,法律出版社,2002,第55页。1032023年第4期在数据跨境传输规范中添加了个人数据信息保护的标准。GDPR法案一方面为出境数据设定了最低保护标准,另一方面实现了欧盟数据保护的域外扩张。根据欧盟的数据保护立法设想,GDPR法案的适用范围不是无边界的,一旦跨出法案的适用范围,就会产生不受拘束、无限制使用的数据风险。
15、因此,在欧盟的数据保护立法模式中,数据传输和流动行为原则上是被禁止的,只有当出现法案第五章规定的特别情形时,才允许数据信息的个别跨境传输。易言之,“原则上禁止+例外中许可”构成了欧盟数据保护立法的基本架构。在GDPR法案中,无论是正在处理的数据,还是待传输后再处理的数据,也不论传输的主体是国家、组织还是个人,只要不能够满足第五章的例外规定,就禁止任何形式的数据跨境传输,为使自然人的基本权利不受减损提供了一种最低的和永久性的保护标准。换言之,在实践中即使通过了欧盟的数据安全评估,出境后的数据仍然不能低于GDPR法案设定的最低保护标准。如此一来,出境数据仍然受到欧盟的管辖,因为数据进口国仍然受制于
16、GDPR法案。这种基于个人基本权利的最低保护标准,实现了欧盟数据保护管辖权的变相扩张。此外,即使实际情况中满足了第五章的例外许可规定,出口数据仍需满足欧盟设置的合法性审查框架。该审查共分为两个阶段,在第一阶段中,主要是以传输行为本身为对象,依据GDPR法案的所有规定进行合法性审查;在第二阶段中,则规定了“充分性认定”的实质审查标准,需要抽离传输行为本身,对数据出境目的国的数据处理规定进行特别审查,以此避免数据出口到不受GDPR法案控制的法域或地区,从源头上杜绝数据滥用风险的出现。(三)我国的适用路径:探索兼顾安全与自由的管辖模式相较于美国和欧盟的“进攻型”数据保护立法,我国在数据信息保护领域向
17、来以尊重国家主权为原则,强调遵循传统的地理国家界线,遵循合作而非对抗的数据信息执法策略。但是,为了有效应对国家域外立法管辖权的无限扩张,从近几年的立法实践来看,我国也在发生细微的转变,一种探索式的管辖模式正在生成。通过考察我国当前已有的数据保护立法体系可以发现,无论是跨境数据的获取,还是防御他国的跨境数据获取行为,我国坚持的基本立场都是国家主权不容侵犯,必须基于平等和互惠原则进行跨境数据的传输活动。这一立场贯穿我国的所有数据跨境传输立法,从中华人民共和国数据安全法(以下简称数据安全法),到国际刑事司法协助法,再到中华人民共和国个人信息保护法(以下简称个人信息保护法),可以说立法精神一脉相承,维
18、护国家主权的基本内核从未改变。与此同时,属地管辖和数据本地化成为数据保护立法的两大基本原则,只要是发生在我国境内的一切与网络相关的活动,包括但不限于建设、维护、使用等,都受到我国法律的管辖。此外,任何在我国境内提供网络运营的服务商,都有义务配合国家机关的刑事侦查活动,并在必要的时候提供法定协助。就数据本地化原则而言,任何在我国境内提供网络运营的服务商,都必须将数据储一般规定见GDPR法案第5条至第8条,特别规定见GDPR法案第13条第1款第f项、第14条第1款第f项、第15条第1款第c项和第2款、第28条第3款第a项、第30条第1款第d项和第e项及第2款第c项。一方面需要审查数据出境目的国的数
19、据使用和保护水平,看其是否达到了GDPR法案要求的同等水平;另一方面需要审查数据出境目的国的法律适用和法律救济,看其是否达到了“有效的数据保护监管”的标准。洪延青:“法律战”旋涡中的执法跨境调取数据:以美国、欧盟和中国为例,环球法律评论2021年第1期,第48页。104李芷馨个人数据跨境传输中域外立法管辖权的适用研究存在本地的数据储存中心,未经主管政府部门的批准,任何个人不得擅自向境外传输数据与信息。事实上,早在中华人民共和国网络安全法(以下简称网络安全法)确立这两大原则之前,我国已经在金融和保险领域进行了率先试点。例如,央行在2011年就提出,任何银行从业机构,在没有取得政府批准的情况下,不
20、得私自向境外的组织或个人,提供我国公民的个人金融信息。任何在我国境内收集的个人金融信息,后续的一切活动与行为,都有且只能在我国境内进行。随后,这一做法也开始拓展到保险领域,即我国境内的保险公司,在运营过程中收集的任何数据信息,都应当储存在我国境内。直至网络安全法对两大原则加以吸收,并不断向其他领域发展壮大,网络预约汽车收集的数据信息、出版行业收集的数据信息、电信行业收集的数据信息等,都要求遵循属地管辖和数据本地化原则。但实践证明,我国在参与全球自由贸易的同时,往往会被卷入各种涉外诉讼之中,原告方往往以国内立法为依据,在司法过程中要求我国(作为被告)提供数据证据。例如,在2021年结案的Cade
21、nce Design Systems Inc v.Syntronic AB,et al案中,原告在证据开示阶段,根据美国联邦法院民事诉讼规则,要求被告方从我国境内将24台员工电脑提交给美国法院进行检查。如果被告方拒绝提供,很有可能需要承担败诉的风险。这就需要立法者为了我国公民个人的信息保护和国家的数据信息安全,适当扩展域外立法管辖权。作为国内第一部综合性互联网安全保障法,网络安全法周密构建了网络空间参与者的行为规范,为其行为提供了明确的准则和依据,规定凡是在我国境内的数据服务提供商,都必须建立数据本地化储存中心,将商业运营过程中获得的数据统一储存在我国境内,并且任何数据出境之前,都必须进行严格
22、的数据安全评估,实现了对数据的全过程监控。可以看出,这是一种基于属地管辖原则的数据信息保护模式,也是一种具有中国特色的数据跨境流动属地管理模式。这一立法模式也在2021年颁布的个人信息保护法中得到了延续。在司法部公布的国际民商事司法协助常见问题解答的调查取证部分,第八条也明确说明,中国境内当事人可以处于自愿,直接向外国司法机关或司法人员提交位于境内的证据材料,但前提是相关材料的出境要符合中华人民共和国民事诉讼法(以下简称民事诉讼法)、数据安全法、个人信息保护法的相关规定。三、个人数据跨境传输中域外立法管辖权适用所存在的主要问题当前我国主动获取涉外数据案件管辖权的立法,以及防御他国滥用域外立法管
23、辖权进行不合理管辖的阻断性立法,均处于起步阶段。数据案件的虚拟性、交互性与多节点性特征,使得案件与管辖地间难以建立起我国涉外案件管辖中所要求的连接点,进而使得我国的管辖权制度难以适用于涉外数据案件。中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知第六条。保险公司开业验收指引第三条第九款。交通运输部、工信部等七部委2016年联合发布的网络预约出租汽车经营服务管理暂行办法第二十七条。中华人民共和国司法部:国际民商事司法协助常见问题解答。1052023年第4期(一)现有管辖制度与个人数据跨境传输案件不兼容各国涉外民事诉讼立法所采取的不同模式,有学者将其总结为单轨制和双轨制。纵观我国现有的
24、涉外民事诉讼管辖立法,总体呈现“总分”的分布态势,即主体规定可见于 民事诉讼法,只有少部分民事诉讼的内容规定在其他单行法律中。但民诉法规定的内容也十分有限,只有合同等其他权益纠纷,以及专属管辖的规定。其他诸多类型的案件,都没有纳入民诉法的调整范围。对于这些尚未明文确定的案件,只能参照民诉法的相关规定确定案件的管辖。正是由于国内立法的不完善,在与个人数据跨境传输案件相关的管辖制度方面,主要存在以下几个方面的问题。第一,现有涉外管辖制度适用范围狭窄。有关国际民事诉讼管辖权方面的规定集中于我国的两部法律和三部最高院司法解释之中。除专属管辖之外,涉外案件需要与管辖法院建立起连接点,即某些具有“最密切联
25、系”特征的点,如合同签订地等。按照传统的管辖权原则,只要能够识别案件的连接点,就能够迅速定位其管辖权所在地。但是,互联网信息技术的高速发展,使得传统的管辖权原则陷入了巨大的困境,主要表现为数据案件管辖权与国家主权之间的冲突。即传统的管辖权识别,以具有地域限制的国家主权为前提。但是,互联网空间并没有明显的地理疆域限制和国家主权特征,以至于互联网公司可以选择不同的数据储存地和服务提供地。这就使得在确定涉外数据传输案件管辖权的过程中,很难确定具体的连接点,无法取得明确的案件单一管辖权归属。正因如此,涉外数据案件时常会引起消极或积极的管辖权冲突,并且在形成不同的判决之后,难以获得有效执行,这已经成为当
26、前最为常见的国际法现象。第二,个人数据保护立法缺乏统筹,法律内容缺乏体系性。当前,我国已经出台实施了个人信息保护法,该法对个人数据保护做了相对集中统一的规定。但是,个人信息保护法并没有涵盖所有的个人数据保护的相关内容,仍然有大量的内容分散在各类法律法规中。根据学者的不完全统计,在我国当前的法律法规以及司法解释中,涉及个人数据保护的至少有200多部。这些法律、法规等的规定都非常原则、抽象。另外,虽然立法的数量很多,但是关于数据跨境流动的规定很少。数据跨境流动领域的法律规范供给严重缺乏。第三,现行立法忽视了企业的监管责任,数据类型的划分也缺乏科学性。现行立法只是规定政府对数据的跨境流动进行监管,忽
27、视了企业在其中的监管责任,既给政府增加了巨大的负担,也不利于发挥企业监管的优势。数据的形式多种多样,不同的数据具有不同的属性,需要采取不同的保护方式。但是,现行立法忽视了不同种类数据的差异,采取了单一的立法模式。综上所述,我国在跨境数据流动方面的立法起步较晚,立法技术不够成熟,导致现行法律中关在双轨制立法模式下,涉外民事诉讼和国内民事诉讼被规定在不同的法律文本中;在单轨制立法模式下,立法机关就涉外民事诉讼和国内民事诉讼进行统一立法,对二者不加以明确的区分。刘懿彤:我国涉外民事诉讼管辖权制度存在的问题及完善,法治研究2015年第3期,第136页。例如中华人民共和国审计法第十四条、中华人民共和国环
28、境保护税法第二十二条。两部法律为中华人民共和国民事诉讼法 中华人民共和国海事诉讼特别程序法,三部司法解释为最高人民法院关于适用中华人民共和国民事诉讼法若干问题的意见 最高人民法院关于涉外民商事案件诉讼管辖若干问题的规定 最高人民法院关于适用中华人民共和国海事诉讼特别程序法若干问题的解释。夏燕、沈天月:美国CLOUD法案的实践及其启示,中国社会科学院研究生院学报2019年第5期,第105页。王天恩:信息及其基本特性的当代开显,中国社会科学2022年第1期,第101页。代表委员呼吁个人信息保护单独立法,时代金融2013年第10期,第49页。106李芷馨个人数据跨境传输中域外立法管辖权的适用研究于数
29、据跨境流动方面的法律规定过于简单、原则、抽象,法律的体系性也不够强,跨境企业难以从法律规定中得到明确的指引。(二)个人数据跨境传输专门性阻断立法缺失为了应对他国以行使域外立法管辖权为由,屡次实施制裁行为所产生的压力,我国于2021年6月颁布了中华人民共和国反外国制裁法(以下简称反外国制裁法),该法的出台无疑给处于摇摆中的跨国企业提供了光明的未来。反外国制裁法由16个条文构成,由于其并非在国际组织章程或国际条约授权下制定,其性质为单边制裁,并且依据该法第四条的规定,其制裁对象为精准的小范围群体,故其采用的模式为聪明制裁。作为我国首部“反制性”立法文件,反外国制裁法迈出了反击滥用域外立法管辖权的第
30、一步,表现出立法机关构筑起针对他国“超过度管辖”防御系统的立场。纵然反外国制裁法的实施已成为里程碑式事件,但在实践中由于国内对于制裁性立法的经验与实践不足,该法的许多条款,可操作性有所欠缺,仅仅具有宣誓的作用。首先,该法的性质和立法宗旨并不明确,以至于后续的不少条款规范性不足,大部分条款难以在实践中进行具体操作,仅仅具有授权的作用。具体到数据跨境传输领域,该法规定国务院有关部门,可以直接或者间接决定将已经或者可能采取歧视性限制措施的个人或组织列入反制清单。例如,在Tik Tok封禁案中,我国就应该对美、印等国的封禁行为进行识别和界定,具体判断封禁国以可能泄露国家秘密为由的封禁措施是否构成了不正
31、当的歧视性限制。而这往往涉及对数据性质的分级、分类认定,需要从数据法的角度对其进行细化规定。其次,该法中规定的制裁程序也存在问题。根据国家责任条款草案第52条的规定,采取反措施的形式,对他国实施制裁需要事先通报,被制裁的国家收到通报之后有权进行谈判。但是,反外国制裁法并没有做出相关规定。再次,受到制裁的对象应当享有获得救济的权利,但是反外国制裁法却剥夺了受制裁对象取得救济的权利。在国家安全领域排除救济的法律规定并不少见,但从国际通行的做法来看,对别的国家采取制裁措施应当符合正当程序的要求。除去反外国制裁法这一新晋法律外,笔者在“北大法宝”官网上以“制裁”为关键词检索法律法规,共检索出现行有效的
32、法律文件共26部,包括5部司法解释、20部部门规章及1部行业规定,经过整理与分析,形成以下表1。刘华东:为我国依法反制裁提供有力法治保障就全国人大常委会通过反外国制裁法访中国政法大学教授霍政欣,光明日报2021年6月12日,第2版。中华人民共和国反外国制裁法第四条规定,国务院有关部门可以决定将直接或者间接参与制定、决定、实施本法第三条规定的歧视性限制措施的个人、组织列入反制清单。霍政欣:反外国制裁法的国际法意涵,比较法研究2021年第10期,第145146页。廖诗评:阻断外国法律与措施不当域外适用办法的属事适用范围,国际法研究2021年第2期,第57页。中华人民共和国反外国制裁法第七条规定,国
33、务院有关部门依据本法第四条至第六条规定作出的决定为最终决定。1072023年第4期表1 中国国内法中与“制裁”相关的法律文件文件数量文件数量1520文件性质文件性质法律司法解释部门规章文件名称文件名称中华人民共和国反外国制裁法最高人民法院关于防范和制裁虚假诉讼的指导意见关于依法制裁规避执行行为的若干意见最高人民法院关于工商行政管理局以收取查询费为由拒绝人民法院无偿查询企业登记档案人民法院是否应予民事制裁的复函最高人民法院关于第二审人民法院发现原审人民法院已生效的民事制裁决定确有错误应如何纠正的复函最高人民法院关于第二审人民法院在审理过程中可否对当事人的违法行为径行制裁等问题的批复阻断外国法律与
34、措施不当域外适用办法中国人民银行办公厅关于在人民银行外网主页上发布风险提示与金融制裁信息的通知公布联合国安理会制裁决议豁免许可的规定中国人民银行关于加强金融债权管理,建立防范和制裁逃废金融债务行为制度的通知司法部公证司关于为去台人员办理解放前在大陆未受刑事制裁公证的函司法部公证司关于办理外国公民在华居住期间是否受过刑事制裁证明的通知司法部公证律师司关于出具受刑事制裁证明等问题的答复中国银监会办公厅关于加强银行账户管理有效执行联合国相关制裁决议的通知外交部关于执行联合国安理会朝鲜制裁委员会增列受制裁个人、实体和船只清单的通知外交部关于执行联合国安理会“伊斯兰国”和基地组织制裁委员会制裁名单的通知
35、交通运输部国际合作司关于更新联合国安理会制裁朝鲜委员会清单的通知 国际2014127号涉及领域涉及领域全领域国内诉讼程序全领域金融豁免金融刑事刑事刑事金融履行国际义务体裁的决定主体体裁的决定主体中国中国中国联合国安理会 108李芷馨个人数据跨境传输中域外立法管辖权的适用研究续表文件数量文件数量201文件性质文件性质部门规章行业规定文件名称文件名称交通运输部国际合作司关于更新联合国安理会制最朝鲜委员会清单的通知 国际组函201468号交通运输部国际合作司关于更新联合国安理会制裁伊朗委员会综合制裁清单的通知交通运输部国际合作司关于执行联合国安理会制裁中非共和国委员会制裁清单的通知外交部关于执行联合
36、国安理会朝鲜制裁委员会制定禁止入港船只清单的通知交通运输部国际合作司关于执行联合国安理会利比亚制裁问题决议的通知交通运输部国际合作司关于更新联合国安理会制裁基地组织委员会和制裁塔利班委员会综合制裁清单的通知交通运输部国际合作司关于执行联合国安理会制裁科特迪瓦决议有关个人制裁清单的通知外交部关于联合国安理会制裁阿富汗委员会将“东突厥斯坦伊斯兰运动”列入受制裁实体名单的通知外交部关于执行安理会第1267和1333号决议对有关个人和实体实施金融制裁的通知国家开发银行关于加强金融债权管理,建立防范和制裁逃废金融债务行为制度的实施细则涉及领域涉及领域履行国际义务金融体裁的决定主体体裁的决定主体联合国安理
37、会国家开发银行可以看到,我国在“制裁与反制”问题上的既有立法性文件对域外侵犯我国案件管辖权的反击仍处于初步阶段。由于五部司法解释与本文主题无关,故在所不问,除此之外,大量文件是为了履行应当承担的国际法义务,而执行联合国安理会的相关制裁决议。与金融、豁免以及刑事相关的部门规章,较多涉及程序性事项,对实质性问题的回应仅是浅浅带过或从宏观的角度回应,这显然难以形成我国应对实践中存在的大量对我国不合理制裁的“防御系统”,也难以使我国作出有力反击。由此可见,当前我国的阻断性立法具有客观上的滞后性特征。在网络与数据已经成为国际交往潮流的时代,主要任务就是细化法规范中的反制措施,并在具体的法律适用和解释中,
38、充分把握反制措施的核心要义与精神,最大限度地保护我国公民的个人数据信息和国家的数据安全。四、个人数据跨境传输中域外立法管辖权适用的未来路径虽然个人数据跨境传输仍然存在着诸多问题,但在厘清背后的原因后,还是应当进一步探索规 1092023年第4期范个人数据跨境传输的正当路径,以及我国的具体应对策略。具体而言,无论是个人数据的“取”还是“防”,我国之于跨境调取个人数据的基本立场,都是国家主权不容侵犯,平等互惠合作才是解决个人信息跨境传输管辖争议的必由之路。(一)完善专项数据立法,保障国家数据主权1.使用保护管辖权激活个人数据跨境传输域外效力条款根据保护管辖权的原理,主权国家可以将那些会对本国安全利
39、益产生影响的行为,作为国内法域外适用的合理连接点,创设国内法域外适用条款。虽然关于保护管辖权的传统理解只局限于刑事犯罪领域,而一般不在其他领域予以适用,但是依据“荷花号案”所确立的习惯国际法规则,既然国际法没有明确禁止保护管辖权的扩展适用,那么对其适用范围予以适当扩张也未尝不可。我国的反外国制裁法就充分吸收了这一理念,规定行政法规、部门规章以及地方政府规章,都可以就危害我国国家安全的行为设置反制措施。但是,主权、安全和发展利益,都是意含不明确的不确定法律概念,其具体内涵是什么,尚需下位法规范的进一步细化。可以将其视作一种概括性授权,并在日后的立法工作中予以重点关注。如何激活现行法规范中的域外效
40、力条款,为其设置相应的实施路径至关重要,实施路径主要存在着公法和私法两个方向。通常来讲,当出现私主体侵害私主体权益的时候,被侵害私主体可以通过民事诉讼的方式予以救济,这在英美法系国家中称作“私人执法”。但是,随着国际交往活动的日益复杂多样,私人行为的性质已经不再简单可辨,其不仅侵害私主体利益,往往还伴随着对国家利益和社会公共利益的侵犯,这个时候就需要引入公法责任机制,即通过行政行为或者刑事诉讼扩张国内法的域外适用效力。例如,当存在外国人在境外危害我国国家安全的行为时,根据我国现行法的规定,可以采取公法手段对其予以制裁,即针对犯罪提起刑事诉讼程序,尚未犯罪则作出制裁的行政决定。但是,这里存在的一
41、个问题是“如何执行相应判决和决定”,特别是当被告人或者被执行人在我国境内无可执行财产时。此时,可行的路径无疑是引入“私人执法”模式,综合运用公私法提供的手段,提升执行的效果。特别是可以考虑引入民事诉讼制度中的检察公益诉讼制度,适当扩大检察公益诉讼的受案范围,将损害国家发展和安全利益的案件也纳入其中,以便在判决生效后,通过民诉法和相关国际条约规定的司法执法协助条款,及时推动责任的落实。2.完善国内阻断立法想要针对他国滥用立法管辖权的行为予以精准反击,最有效的方式当然还是制定并完善我国的阻断法,推动我国国内法的域外适用。但是,阻断立法仍然需要注意以下三个问题。第一,阻却立法会增加企业的合规成本,因
42、而有必要进行充分的立法前评估,衡量阻断立法的成本与收益,设置足够的法律遵从激励,避免成为“观赏法”。第二,域外许多国家都制定了阻却法,但大多效果不彰,主要原因是美国政府不承认外国阻却立法的效力,以至于为了符合美国标准,跨国公司纷纷选择违反内国的阻断法。因此,有必要制定具体可执行的阻断法,并加强法律的执行,科以违法人严重的违法后果。第三,有必要做好阻却立法的域外衔接,通过采纳国际通行的监管标准,让企业的合法权益得到充分保障,不至于出现“左右为难”的情况,即遵守一国阻却立法就意味着违反另一国的监管要求。廖诗评:中国法中的域外效力条款及其完善:基本理念与思路,中国法律评论2022年第1期,第60页。
43、M.J.Hodaa.The Arospatiale Dilemma,“Why U.S.Courts Ignore Blocking Statutes and What Foreign States CanDo about It,”California Law Review,2018,106(3):231-251.110李芷馨个人数据跨境传输中域外立法管辖权的适用研究3.数据分类化管理20世纪初,诸如微软等大型互联网公司主要出现在欧美国家。但是,随着我国市场经济的建立,高速腾飞的经济助推了我国互联网企业的诞生。以BAT为开端,近年来又诞生了诸如“字节跳动”等的新兴互联网巨头。可以说,我国的互联网
44、行业正在以前所未有的姿态疯狂生长。与互联网企业相伴而生的,自然是大量数据和信息的生产、储存与利用。以我国庞大的网民数量为基础,国内每个互联网行业巨头至少都掌握了数以亿计的用户个人数据和平台交易信息。毫不夸张地讲,用户生产的数据就是互联网企业得以正常运转的石油,离开了数据,互联网平台无非就是一个无人问津的空壳。因此,才会出现平台之间的抢人大战,想尽办法增加平台用户的黏性,培养用户的平台使用依赖。这背后的根本目的就是获取用户每天生产的诸多数据。互联网企业拥有如此庞大的数据占用量,作为监管者的政府除了担心企业恶意收集和使用平台用户的个人数据信息之外,还需要担心域外国家之于我国互联网企业的数据索取要求
45、。我国的互联网企业都是跨国运营的巨头企业,难免受到业务所在国的“属地管辖权”要求,被迫提供平台用户的个人数据信息。因此,为了避免互联网企业中的重要数据被外国政府强制索取,我国有必要加强专项数据规则的制定,从数据的特征入手,对数据进行分级分类管理,既保证数据的充分流动,又坚定维护我国公民的个人信息安全和国家数据安全,切实维护国家的数据主权,并做好国家安全、企业经营和个人隐私三方的平衡工作,实现数据的安全有序利用,充分释放数据的潜能。(二)积极参与国际合作,扩大国内法域外适用范围1.在司法实践中扩大联系原则的适用范围应当在司法实践中扩大联系原则的适用范围,其必要性理由大致有三点。其一,随着我国成为
46、世界第二大经济体,越来越多的声音出现,要求扩大司法实践中的联系原则适用范围,因为这是经济进一步发展的必然要求。通过观察美国的域外立法管辖权发展历程,可以发现,制度的宽与紧,大致与其经济发展轨迹相吻合。其二,随着全球化进程的日益加深,我国公民正在以前所未有的姿态参与境外贸易交往,这也意味着我国公民与境外人员发生的法律纠纷将会逐渐增多。扩大联系原则的适用范围,实际上可以为不熟悉域外国家法律的我国公民提供更加周全的利益保护途径。其三,与我国公民参与境外贸易一样,当前存在着越来越多的外商来华投资行为。以联系原则为基础,扩大我国法院的管辖权范围,有利于更好地保护外资利益,营造良好的国际化、法治化营商环境
47、。从可行性角度来说。首先,联系原则可以成为属地原则的补充。按照经典的民事诉讼管辖权理论,一般将被告住所地的法院,视为具有案件管辖权的法院。但是,如果非居民被告表示自己愿意遵守法院地的规则,就可以得出其服从法院地司法权威的推论。此时,再以联系原则确定非居民被告的管辖标准,并不会与属地原则相冲突。其次,我国的现有立法并不排斥联系原则的适用。例如,民事诉讼法已经在被告所在地之外,确立了合同履行地等连接点,从而扩大了我国法院的管辖权范围。最后,联系原则不会过分扩大法院的管辖权范围,因为“不方便管辖原洪延青:国家安全视野中的数据分类分级保护,中国法律评论2021年第5期,第75页。廖诗评:中国法中的域外
48、效力条款及其完善:基本理念与思路,中国法律评论2022年第1期,第58页。国家外汇管理局国际收支分析小组:2022年中国国际收支报告。张丝路:长臂管辖效果辨正及对我国的启示,甘肃社会科学2017年第5期,第184页。1112023年第4期则”可以有效阻挡与我国公民利益保护无涉的案件进入法院,这在我国民事诉讼法的司法解释中就有体现。2.加入区域性数据跨境传输规则体系推动形成全球统一的数据保护规则,无疑是数据治理的理想图景。然而,囿于主权国家之间的利益角逐,目前尚未形成这样一个统一的数据治理规则。但是,值得欣喜的是,为了促进本地区个人数据信息的自由流动和利用,实现区域经济的高速发展,各个区域性国际
49、组织正在不断推动这一工作向前发展。例如,亚太经合组织(APEC)就在2012年推出了CBPR。这一规则体系的最大特征就是,法律规制与行业自治并行不悖。具有家族亲缘性特征的CBPR和“有约束力的公司规则”(BCR),自然也走上了合作与对接之路。虽然目前还未进入欧盟认可的行列,但作为区域性隐私保护规则的一个标杆,CBPR迟早会获得欧盟的认可。届时,所有加入CBPR的国家,就能够顺利获得欧盟的认可和保护。因为根据GDPR法案的规定,只要一个国家选择加入某个隐私规则体系,就可以视作其具有了充分的、与该规则体系相当的隐私保护水平。具体到我国而言,如果想要参与全球统一数据保护规则体系的建构,较为现实的办法
50、就是申请加入CBPR,着手全面提升我国的数据保护水平。结语互联网时代的到来,使得各主权国家看到了数据这一稀缺资源的价值所在。同时,随着跨境数据传输逐渐成为国际社会交往不可或缺的环节之一,如何最大化以及最便捷地获取数据,已经成为各国维护非传统安全领域中主权利益的重要工作。因此,许多数据大国做出了新的尝试,以制定国内法拓展域外立法管辖权,CLOUD法案和GDPR法案即为最亮眼的实践范式。虽然二者的目的均为扩张域外管辖权,以及时攫取全球数据资源,但是二者的立法价值却迥然不同。其中,美国以效率至上,追求便利与经济;欧盟则以人权至上,追求对基本权利的保护。需要注意的是,这些价值追求并非其滥用域外立法管辖
浙ICP备2021020529号-1 | 浙B2-20240490 
