朱鴻宇

【摘要】歐盟的《通用數(shù)據(jù)保護條例》的生效在世界范圍內(nèi)產(chǎn)生了巨大的影響，在數(shù)據(jù)領(lǐng)域中確立的長臂管轄的規(guī)則受到了廣泛的研究和討論。而當我國在受到長臂管轄的影響時，我們也必須作出相應(yīng)的應(yīng)對措施。在國家層面，我們可以通過立法進行反制，阻斷長臂管轄對于我國數(shù)據(jù)管轄權(quán)的侵犯，同時我們可以還學習借鑒西方立法思路，搶占全球數(shù)據(jù)領(lǐng)域規(guī)則制定的話語權(quán);在企業(yè)層面，要更加注重對相關(guān)法律規(guī)則的學習，根據(jù)自身實際情況選擇合適的合規(guī)路徑，從而避免因違反相應(yīng)規(guī)定而受到的處罰。

【關(guān)鍵詞】長臂管轄 通用數(shù)據(jù)保護條例 數(shù)據(jù)保護

引言

隨著科技的進步與發(fā)展，當今社會已經(jīng)進入了數(shù)據(jù)時代，數(shù)據(jù)逐漸成為了驅(qū)動經(jīng)濟發(fā)展的核心資源之一。但是，由于網(wǎng)絡(luò)社會中國家與國家之間的邊界存在一定的模糊性，數(shù)據(jù)的跨境流動難以受到有效的規(guī)制;基于這種現(xiàn)實情形，各國之間在數(shù)據(jù)主權(quán)的領(lǐng)域展開了博弈。對于數(shù)據(jù)及其權(quán)利的歸屬問題學術(shù)界目前有兩種觀點，分別為“數(shù)據(jù)主權(quán)論”與“數(shù)據(jù)自由論”[1]，其在現(xiàn)實中主要表現(xiàn)為在數(shù)據(jù)領(lǐng)域內(nèi)所實施的長臂管轄?！皵?shù)據(jù)自由論”的初衷是為了是網(wǎng)絡(luò)空間能夠擺脫現(xiàn)實空間中的原有秩序，但是在實踐中，這一理論反而被一些國家利用，以數(shù)據(jù)自由的名義通過立法的方式構(gòu)建出長臂管轄的制度，對他國的數(shù)據(jù)管轄權(quán)進行了侵犯。

基于這一現(xiàn)實問題，本文將以歐盟出臺的《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，下文簡稱“GDPR”）中的規(guī)定去探討長臂管轄對中國的影響以及中國應(yīng)如何應(yīng)對他國的長臂管轄權(quán)。

一、GDPR中的長臂管轄權(quán)

（一）GDPR內(nèi)容介紹

歐洲議會在2016年4月27日通過了GDPR，并于2018年5月25日正式生效，從而正式取代了1995年頒布實施的《數(shù)據(jù)保護指令》（下文簡稱《指令》），雖然兩部規(guī)則是繼承與被繼承的關(guān)系，但是二者在管轄原則上卻有著明顯的變化，在《指令》中適用的是傳統(tǒng)的屬地管轄原則[2]，即只有在歐盟設(shè)立了機構(gòu)或者通過歐盟境內(nèi)的設(shè)備處理數(shù)據(jù)的企業(yè)會受到歐盟的管轄，這一種規(guī)則將歐盟的管轄權(quán)限制在了其境內(nèi)，因而可以將其理解為屬地管轄原則;而在GDPR確立的“效果原則”（又稱“影響主義原則”）將歐盟的管轄權(quán)擴張到了域外;依照這個原則，只要是向歐盟境內(nèi)的數(shù)據(jù)主體提供了商品服務(wù)時處理個人數(shù)據(jù)或監(jiān)控歐盟境內(nèi)的行為所搜集到的信息都要受到歐盟的管轄[3]，這也導致了GDPR成為了實質(zhì)意義上的“世界性法律”。

GDPR所保護的是歐盟境內(nèi)居民的個人數(shù)據(jù)權(quán)，在歐洲人們將這種權(quán)利視為是人權(quán)的一部分，是一項關(guān)乎個人尊嚴與隱私的重要權(quán)利，其法理基礎(chǔ)來源于《歐洲人權(quán)公約》的第八條第一款中“人人有權(quán)享有使自己的私人和家庭生活、家庭和通信得到尊重的權(quán)利[2]?！币虼?，歐洲人對個人數(shù)據(jù)的理解也是將其人格屬性放在了首位。

盡管是建立在保護人權(quán)的基礎(chǔ)之上，GDPR本質(zhì)上仍是一部針對歐盟自身的區(qū)域性立法，其對長臂管轄權(quán)的實施必然會侵犯到他國的數(shù)據(jù)主權(quán)以及他國公民與企業(yè)正當權(quán)益。從中國的角度來看，主權(quán)是始終要高于人權(quán)的，對人權(quán)的保護并不足以支撐歐盟實施侵害他國數(shù)據(jù)主權(quán)的行為，因此，GDPR中依托人權(quán)所建立的長臂管轄制度實際上是不足以支撐對于數(shù)據(jù)實施域外管轄權(quán)的。

（二）對于歐洲數(shù)據(jù)領(lǐng)域長臂管轄權(quán)的評價

GDPR法案的實施使得歐盟在數(shù)據(jù)領(lǐng)域的管轄權(quán)擴張的趨勢愈發(fā)明顯。歐盟GDPR以歐盟境內(nèi)居民的利益保障為核心，限制他國企業(yè)跨境獲取歐盟的數(shù)據(jù)，但是卻對自身獲取他國境內(nèi)數(shù)據(jù)不設(shè)限。

二、數(shù)據(jù)領(lǐng)域中長臂管轄對中國的影響

長臂管轄行為本質(zhì)上是一種單方行為，這一性質(zhì)使得歐盟在確立與適用這項權(quán)利的時候主要是從自身的利益出發(fā)，因而其可能會忽視其他國家的利益，從而對其他國家在多方面造成不良影響。

（一）國家層面

由于文化與經(jīng)濟發(fā)展水平的差異，各國間的立法也是各不相同。在我國2017年頒布實施的《網(wǎng)絡(luò)安全法》中的第37條中規(guī)定了重要信息基礎(chǔ)設(shè)施的運營者在我國境內(nèi)運營中收集和產(chǎn)生的數(shù)據(jù)應(yīng)當在我國的境內(nèi)存儲，如果有相關(guān)業(yè)務(wù)需求，必須向境外提供的，應(yīng)當按照相關(guān)的規(guī)定進行安全評估之后才能進行提供。由此我們可知，我國在數(shù)據(jù)管轄方面所持的是“數(shù)據(jù)主權(quán)論”，在此基礎(chǔ)上實施“存儲地標準”對我國的數(shù)據(jù)進行控制。

在中國除了《網(wǎng)絡(luò)安全法》以外，有關(guān)數(shù)據(jù)的立法幾乎仍是空白，而在《網(wǎng)絡(luò)安全法》中對于如何讓應(yīng)對外國長臂管轄行為也沒有具體規(guī)定，這也就導致在面對歐美的長臂管轄之時我們無法找到有效的法律途徑對這種行為去進行回應(yīng)。

（二）企業(yè)層面

在GDPR中，正文條款有99條之多，再加上序言中帶有釋法意義的173個條款，其所規(guī)范的行為主事項龐雜豐富，此外它還包括很多其他區(qū)域立法沒有的具有開創(chuàng)性和實驗性的條款，這給我國企業(yè)提出了一個巨大的合規(guī)難題。在給企業(yè)設(shè)立了嚴格的義務(wù)要求的同時，GDOR中對于違規(guī)企業(yè)還設(shè)立了高額的罰款，在GDOR二點第85條中規(guī)定，針對一般違反行為處罰1000萬歐元或者企業(yè)全球營業(yè)額的2%（二者取高者）;性質(zhì)嚴重的，處罰2000萬歐元或者企業(yè)全球年營業(yè)額的4%（二者取高者）。據(jù)不完全統(tǒng)計，截止至2019年9月24日，有22國的數(shù)據(jù)保護機構(gòu)對87起案件一共做出了373，650，857 歐元的行政處罰決定，其中最大罰單超過了2億歐元，時至今日，這一態(tài)勢并未緩和，其處罰力度反而明顯加大。在面對如此駭人的處罰力度，我國企業(yè)不得不實施相應(yīng)措施去避免巨額罰單。

三、面對長臂管轄中國的應(yīng)對措施

（一）切斷長臂管轄，進行阻斷立法

長臂管轄權(quán)可以視為一種單邊措施，而國際規(guī)則之中對于單邊措施并沒有進行太多的規(guī)定，而在現(xiàn)有的規(guī)則體系之下，一國是可以對本國領(lǐng)土外的行為行使管轄權(quán)的，除非有國際法規(guī)則對這種行為進行明確的禁止。因為世界各國的在文化、價值觀、發(fā)展水平的巨大差異，因此現(xiàn)階段想要建立起一套完整的國際體系也是十分困難的，在這種情形之下，利用國內(nèi)法對域外行使管轄權(quán)的行為進行規(guī)制就尤為重要。

（二）學習歐美立法經(jīng)驗，完善我國數(shù)據(jù)立法

中國早期對數(shù)據(jù)流動、網(wǎng)絡(luò)空間以及數(shù)據(jù)主權(quán)的認識不足，沒有形成系統(tǒng)的數(shù)據(jù)主權(quán)戰(zhàn)略方案，現(xiàn)如今在有關(guān)數(shù)據(jù)的上層立法仍只有《網(wǎng)絡(luò)安全法》一部，在個人數(shù)據(jù)保護上的立法更仍是空白。在當今的時代背景之下，國家網(wǎng)絡(luò)安全與個人數(shù)據(jù)的保護的休戚相關(guān)，擁有同等重要的地位，因而有關(guān)個人數(shù)據(jù)保護的《個人信息保護法》的訂立也是迫在眉睫。在歐美這些互聯(lián)網(wǎng)技術(shù)發(fā)展較早較成熟的地區(qū)，對于數(shù)據(jù)保護的立法已是十分的完善，因此我們可以從他們的立法經(jīng)驗中適當借鑒學習，來完善我國的數(shù)據(jù)立法。這里說的借鑒學習并不代表著全盤照搬，還要結(jié)合我國的實際情況進行綜合考量，最終制定出適合中國的數(shù)據(jù)保護法。比如在GDPR中對于被遺忘權(quán)的規(guī)定就明顯不符合我國的社會秩序。被遺忘權(quán)賦予了個人刪除自己信息數(shù)據(jù)的權(quán)利，這種權(quán)利過分主張了數(shù)據(jù)主體對于自己數(shù)據(jù)得控制權(quán)，若直接將其移至到中國，會導致我國一些公共政策的難以得到有效的貫徹實施。因此，在學習他國經(jīng)驗的同時，更重要的是要基于我國的實際情況。

我國的立法不僅要注重國內(nèi)的數(shù)據(jù)保護，對于外國數(shù)據(jù)的管轄也同樣重要。從歐盟的立法來看，長臂管轄已經(jīng)是一種世界性的趨勢，歐盟的GDPR基于自身市場優(yōu)勢實施“效果原則”對域外的數(shù)據(jù)實施管轄。對于我國而言，我國的互聯(lián)網(wǎng)公司在外國市場上有著不錯的發(fā)展前景;在市場方面我國擁有著龐大的體量;因而，綜合來看我國可以在繼續(xù)實施“數(shù)據(jù)本地化”的基礎(chǔ)之上，適用“效果原則”與“控制地標準”從而達到對我國數(shù)據(jù)管轄權(quán)擴張的目的，據(jù)此使得我國執(zhí)法機關(guān)、司法機關(guān)獲得長臂管轄權(quán)，從而能更加全面的維護我國的數(shù)據(jù)利益。

（三）加強法規(guī)研習，促進企業(yè)合規(guī)

在歐盟的GDPR中對于外國企業(yè)獲取數(shù)據(jù)、使用數(shù)據(jù)的行為進行了嚴格的立法管制，稍有不慎就會違反規(guī)則，同時GDPR中的懲罰措施也是十分的嚴格，違規(guī)的成本高昂。所以我國的企業(yè)要加強對于國外法規(guī)的學習，完善自身的行為，避免因違規(guī)而遭受處罰。

對于大型的跨國企業(yè)如華為、字節(jié)跳動等企業(yè)，自然不可能放棄歐盟這般龐大的市場，所以對于這些企業(yè)而言，需要設(shè)立專門的合規(guī)部門，在企業(yè)內(nèi)部作出有關(guān)于數(shù)據(jù)問題的決策時，部門對決策可以進行審查，使得企業(yè)的決策能夠符合外國數(shù)據(jù)保護法規(guī)的規(guī)定。對于中小型企業(yè)來說，由于在外國市場沒有相稱的利益，因而也沒有必要去單獨設(shè)立合規(guī)部門，對于他們而言，可以直接借鑒大型公司的合規(guī)成果或向大型公司購買合規(guī)服務(wù)，從而避免因違規(guī)而造成的更大損失。

四、結(jié)語

長臂管轄是當今世界的數(shù)據(jù)保護立法的趨勢，各國也爭相通過制定本國法的方式確立長臂管轄，從而搶占國際規(guī)則制定的話語權(quán)。在這種背景之下，我國企業(yè)在面對他國的長臂管轄的影響時，各類型企業(yè)要明確自身定位，選擇適合自己的合規(guī)方案，減少貿(mào)易中的糾紛;在國家層面，我們不僅要積極回應(yīng)，通過阻斷立法方式停止外國長臂管轄權(quán)對于我國數(shù)據(jù)管轄的侵害，同時也要完善自身的數(shù)據(jù)保護體系，以自身市場優(yōu)勢與資源優(yōu)勢建立連接點，構(gòu)建出我國自己的數(shù)據(jù)管轄權(quán)范圍，從而爭奪數(shù)據(jù)領(lǐng)域內(nèi)的國際話語權(quán)。

參考文獻：

[1]劉天驕.數(shù)據(jù)主權(quán)與長臂管轄的理論分野與實踐沖突[J].環(huán)球法律評論，2020，42（02）：180-192.

[2]葉開儒.數(shù)據(jù)跨境流動規(guī)制中的“長臂管轄”——對歐盟GDPR的原旨主義考察[J].法學評論，2020，38（01）：106-117.

[3]陳瑞華.論企業(yè)合規(guī)的中國化問題[J].法律科學（西北政法大學報），2020，38（03）：34-48.

[4]黃志雄.網(wǎng)絡(luò)空間國際規(guī)則制定的新趨向——基于《塔林手冊2.0版》的考察[J].廈門大學學報（哲學社會科學版），2018（01）：1-11.

[5]張繼紅.個人數(shù)據(jù)跨境傳輸限制及其解決方案[J].東方法學，2018（06）：37-48.

[6]董少鵬. 切斷“長臂管轄”才能夯實“多邊合作”[N]. 中華工商時報，2021-01-18（003）.

[7]周夢迪.美國CLOUD法案：全球數(shù)據(jù)管轄新“鐵幕”[J].國際經(jīng)濟法刊，2021（01）：14-24.

[8]翟志勇.數(shù)據(jù)主權(quán)的興起及其雙重屬性[J].中國法律評論，2018（06）：196-202.

參與科研項目名稱：大數(shù)據(jù)時代數(shù)據(jù)跨境傳輸中的法律問題研究（省社科基金項目）;項目負責人：賀瓊瓊 ;項目編號：S202010512033