构建我国个人信息保护法域外适用制度
国内法的域外适用指由一国对位于或发生在其管辖范围之外的人、物和行为所适用的法律规制,由此产生的法律效力,被称为国内法的域外效力。[25]近年来,美国和欧盟法的域外适用的情况时有发生,如美国依据进出口管制法对朝鲜、伊朗实施制裁,美国商务部、司法部制裁福建晋华公司;欧盟依据GDPR对脸书、谷歌公司进行处罚。为应对美国、欧盟法的域外适用,我国需要完善中国的法的域外适用体系以反制美国、欧盟对我国企业的所谓制裁。国际话语权是话语权利与话语权力的统一结合:话语权利的内在面重在确立中国作为讲述主体,发出自己的声音;话语权力的外在面则侧重中国在国际话语体系中的支配权、影响力。[26]
由于互联网的无界限,构建我国个人信息保护法的域外适用制度,既符合金融科技监管的趋势,也是增强我国在国际交往中的话语权的一个有效途径。
我国个人信息保护法中需要明确保障我国公民的隐私权,以隐私权为主线,对公民隐私数据的类型与范围进行界定,规定公民具有数据财产权与数据隐私权,数据控制者有义务保护我国居民数据的隐私与安全,因违反我国个人信息保护法之域外主体的法律责任而产生法律拘束力。由此为路径,实现我国个人信息保护法的域外效力。
(一)个人信息保护法域外适用之定义
法的域外适用是指司法机关和行政机关将立法机关通过的具有域外效力的立法适用于该国境外的人和事。[27]需要进一步解释的是:域外适用也涉及广义的法律选择的问题,由冲突规范指引而适用的准据法。对于境外涉及我国个人信息的纠纷,其法律关系具有涉外因素,本质上属于国际民商事法律关系,一般来说,需要确定涉外当事人的权利义务,因此法律选择问题成为必须解决的问题。但是,个人信息保护法域外适用制度,狭义来说,不涉及法律选择的问题,因为关系社会公共利益,属于“强行适用的法”,不需要冲突规范指引或指引适用中国法。
这里的“法”指的是立法机关通过的实体法。换言之,法的域外适用来源于立法机关的授权,行政机关与司法机关获得权力的依据。对于个人信息保护法而言,我国立法机关需要在适用范围、法律责任中对境外的人和事予以明确。首先,明确该法适用于境外收集或处理我国个人信息的数据控制者;其次,明确境外数据控制者的法律责任,我国行政机关、司法机关对于侵害我国个人信息的行为,可以采取措施的种类,如行政处罚或冻结财产等强制措施。故我国行政机关或司法机关在遇境外侵害我国个人信息的行为时,可以依据域外适用的规定,以维护我国公共秩序与公民的合法权利。
因此,可以将我国个人信息保护法域外适用定义为:“我国司法机关和行政机关将立法机关通过的具有域外效力的个人信息保护法适用于我国境外的人和事。”当然,应该与域外管辖概念作出区分,域外管辖包括立法管辖、司法管辖以及行政管辖,范围比域外适用要宽广,所以本节只探讨域外适用。
(二)个人信息保护法域外适用范围
我国个人信息保护法域外适用范围,可以参照欧盟GDPR进行设计,因为相对于一国之域外适用制度,GDPR旨在协调整个欧盟,因而设计更为宏观、灵活,留有司法机关与行政机关自由裁量的空间。
适用范围需要区分为两类:第一,适用事项的范围,明确个人信息保护法可以适用的具体事项以及例外的情形;第二,适用地域范围,由于互联网的无界限,广义上说,个人信息保护法的“域外”范围已经超过了传统地理意义上的“国境之外”。
1.例外情形
排除适用的情形需要明确两点:第一,我国管辖范围之外的个人信息处理行为;第二,涉及刑事诉讼、国家安全的个人信息处理行为。此外,我国现已经出台《网络安全法》,新《个人信息保护法》的规定不应与前者相冲突,从逻辑上应该保持一致。如《网络安全法》第75条规定:“境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任;国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。”若在个人信息案件中,发生涉及《网络安全法》规定的情形,为保护社会公共利益,则应该排除适用《个人信息保护法》。
另一方面,《法律适用法》第2条规定:“其他法律对涉外民事关系法律适用另有特别规定的,依照其规定。”涉外个人信息问题可能会涉及国家金融安全和金融稳定,对于可能影响国家重大社会经济问题,需要制定“绝对强制法律”。“绝对强制法律”扩展适用于涉外民商事法律关系。[28]
2.地域范围
欧盟GDPR或美国CCPA的域外适用范围,已经突破了地理边界的概念。这样的立法设计,成为当前各主要国家及地区的立法趋势。凡是涉及该国个人信息的行为,无论实际处理的行为是否在该国境内进行,都属于该法的适用范围。由于互联网的无界限,扩大了一国法律适用的范围与行政或司法管辖权的范围,也被称为域外管辖。[29]因此,我国应该以《个人信息保护法》立法为契机,将“涉及中国个人信息的行为,无论实际处理的行为是否在中国境内进行”纳入其中,对我国个人信息隐私权、财产权进行全面保护。
(三)个人信息保护法域外适用之合法性
个人信息保护法域外适用制度是否违反国际法,当前存在争论。有学者认为“一国主张法的域外效力,并不当然违反国际法,因为各国均遵守国际法上的保护性管辖”[30]。另一方面,国际常设法院在“荷花案”中指出:“一国不得在他国领土之内行使司法管辖权,但是一国可以对他国境内的人、财产或行为行使立法管辖权,只要执法行为发生在本国境内。”[31]因而我国个人信息保护法域外适用如果遵从“荷花案”的逻辑,可通过立法确定对境外主体的管辖权,但是行政机关与司法机关在执法过程中,如行政处罚或冻结财产只能针对境外主体位于我国境内的财产,由此而产生域外效力。当前,金融科技公司的母公司多为跨国科技公司,互联网的界限变得模糊,故个人信息保护法设计域外适用制度,也是符合现实的需要。
(四)个人信息保护法域外适用制度之目的
目的主要有两方面,第一,增强我国在国际交往中的话语权。特别是多边主义贸易体系面临困境,在“去全球化”的指挥棒下,贸易摩擦持续升温。因而,“制裁”与“被动合规”成为企业的梦魇。作为国家层面,如何“反制裁”,如何维护国家利益与公民利益成为立法机关必须考虑的问题。在此情形下,我国法律域外适用体系的构建是顺势而为,符合时代发展潮流;第二,维护我国公民的合法权利。国际互联网的广泛应用也衍生出大量侵害公民个人信息的问题,包括隐私权、财产权等,例如,在境外利用我国公民个人信息进行网络诈骗,跨国科技公司侵犯我国公民的信息知情权、遗忘权等。在金融科技的应用下,数据是金融科技企业的“原材料”,人工智能技术、云计算技术、大数据技术都依赖大量个人信息,随着“一带一路”倡议的深入,境外金融科技企业也将“走进来”,势必存在个人信息处理的问题。所以。域外适用制度必须具有前瞻性,既要保护我国公民个人信息的权利,也要为引进外资与先进技术创造良好的法治环境。
然而,需要注意的是,个人信息保护法的域外适用需要考虑“国际礼让” 的因素,应考虑其他相关国家的利益,作为对国内法域外适用的合理限制。国家主权原则是国际法的基本原则。15世纪,荷兰著名法学家尤利克·胡伯(Ulrik Huber)提出国际礼让说,即外国法的适用是由于主权国家之间的“国际礼让”。对外国法域外效力的承认与否,对外国法的适用与否,取决于主权国家的考虑。胡伯的理论表明,外国法律创设的权利之前提在于不损害主权国家利益、国民利益。[32]国际礼让的实质为国家对其司法主权的属地原则之自我限制,其目的在于减小或杜绝政治制度的歧异与意识形态的差别对民商事争议解决的影响。[33]因此,考虑“效果原则”,对个人信息保护法的域外适用设置两项前置条件:第一,我国境内的个人信息;第二,涉及我国公民的个人信息。除此之外的个人信息不属于我国个人信息保护法的规制范畴。
【注释】
[1]董新义:《韩国版金融科技“监管沙盒”法案及其启示》,《证券法律评论》2019年卷。
[2]沈宗灵:《法理学》,高等教育出版社1994年版,第41页。
[3]孙笑侠:《法理学》,清华大学出版社2008年版,第56页。
[4]星展银行:《金融科技在中国的兴起》,2016年11月报告,第4页。
[5]网贷之家:P2P网贷行业2018年12月月报。
[6]《李克强:以包容审慎的原则对待新业态、新模式》,载新华网,http://www.xinhuanet.com/politics/2019lh/2019-03/15/c_1210083405.htm,2019年5月16日访问。
[7]《习近平谈维护金融安全》,载央视网,http://news.cctv.com/m/v/index.shtm,2019年5月18日访问。
[8]陈游:《英国监管沙盒制度对我国金融科技监管的启示》,《中国内部审计》2019年第5期。
[9]杨东:《监管科技:金融科技的监管挑战与维度建构》,《中国社会科学》2019年第5期。
[10]杨松,张永亮:《金融科技监管的路径转换与中国选择》,《法学》2017年第8期。
[11]Kimberly Houser,“GDPR: The End of Google and Facebook or a New Paradigm in Data Privacy”,Richmond journal of Law & technology(1,2018).
[12]California Assembly Bill No. 375(2018).
[13]Neil Robinson,“Review of EU Data Protection Directive: Summary”,Information Commissioner’s Office (2009).
[14]丁晓东译:欧盟《通用数据保护条例》中文版第17条。
[15]尹振涛,范云朋:《监管科技(RegTech)的理论基础、实践应用与发展建议》,《财经法学》2019年第3期。
[16]Willem Van de Wiele,“European Rule on the Way”,Banking & Financial Services Policy Report(2018),p.8.
[17]吴沈括等:《〈2018年加州消费者隐私法案〉中的个人信息保护》,《信息安全与通信保密》 2018年第12期。
[18]Harding Elizabeth,“Understanding the scope and impact of the California Consumer Privacy Act of 2018”,Journal of Data Protection & Privacy(2,2019),p. 235.
[19]《加利福尼亚消费者隐私法案》第1789.140节,关于“生物信息”的立法解释。
[20]《加利福尼亚消费者隐私法案》第1789.140(c),关于“企业”的立法解释。
[21]《加利福尼亚消费者隐私法案》第1789.140(2),关于“控制”的立法解释
[22]徐伟功,谢天骐:《当代美国对人管辖制度中的属地主义》,《武大国际法评论》2019第3期。
[23]拉菲·拉波塔:《投资者保护与公司治理》,《经济社会体制比较》2001年第6期。
[24]雷震文:《数据财产权构建的基本维度》,《中国社会科学报》2018年5月16日。
[25]廖诗评:《国内法域外适用及其应对— 以美国法域外适用措施为例》,《环球法律评论》2019年第3期。
[26]陈岳,丁章春:《国家话语权建构的双重面向》,《国家行政学院学报》2016年第4期。
[27]李庆明:《论美国域外管辖:概念、事件及中国因应》,《国际法研究》2019年第3期。
[28]刘仁山:《“直接适用的法”在我国的适用— 兼评〈涉外民事关系法律适用法〉解释(一)第10条》,《法商研究》2013年第3期。
[29]周晓林:《美国法律的域外管辖与国际管辖权的冲突》,《国际问题研究》1984年第3期。
[30]张劲松:《论欧盟对美国经济法域外效力的法律阻却》,《欧洲》2001年第2期。
[31]赵海乐:《安理会决议后的美国二级制裁合法性探析》,《国际法研究》2019年第1期。
[32]方杰:《荷属“国家礼让说”》,《河北法学》2013年第5期。
[33]刘仁山:《国际民商事判决承认与执行中的司法礼让原则—对英国与加拿大相关理论及实践的考察》,《中国法学》2010年第5期。