改革开放这一时间节点,将新中国成立后的法治建设大体上划分为两个阶段,但是,理解法治40年,却要有一个更为融贯的视野。
[86] 参见[德] 乌尔里希•贝克:《风险社会》,译林出版社2004年版。[29]就像晚清士大夫将欧洲国际法引入中国时,千方百计地将之纳入儒家理论之下,这其实是儒学的再现,不能完全说是新秩序观点的诞生。
当统治日益世俗化后,当人们认识到人权的存在而同情殉葬者时,当火葬已经不被人们崇拜的时候,这种神权统治就走向没落了。[78] 赵旭东教授敏锐地看到这一点,所以在多个场合呼吁人类学的文化转型,关注在一起而非分离的艺术。这一点在国王的火葬仪式中也有表现,宝塔本身是这场人工风暴的眼中之眼,此时它再次成为一个宇宙意象。但是齐格曼•鲍曼恰恰认为,大屠杀是现代性的结果,它的确是一场犹太人的悲剧,但它同时也是现代理性和现代社会高度发展的阶段和人类文化成就的最高峰中酝酿和执行的,所以它也是现代社会和文明本身的问题。关于中国科学话语共同体的构建过程,可参见汪晖:《现代中国思想的兴起·科学话语共同体》,三联书店2004年版。
[11]本文将以此作为重点的个案素材。[40] 从另一个角度也可以看到这种政治运行的转化。[9] 参见个人信息保护课题组:《个人信息保护国际比较研究》,中国金融出版社2017版,第58页。
在此基础上,进一步关注数据治理规则的博弈,从双边合作到多边规则形塑再到单边制裁回潮三个层面审视当前数据规则的对垒。[40] 参见骆旭旭:《构建国际经济新秩序的法律工具选择——以国际软法与硬法的互动为切入点》,载《国际经济法学刊》2013年第2期,第84页。[16]2022年1月欧洲议会高票通过的《数字服务法》(Digital Services Act, DSA)进一步强化了在数字服务中对欧洲数据保护框架的贯彻,针对大型互联网企业提供在线服务做出更加明确和严格的规制,通过事前合规、事中监管和事后惩罚等监管全流程的规则构建,明确了大型互联网企业对用户数据保护的责任,以防止科技巨头差异化对待企业和消费者,造成不公平的竞争环境。尤其是在数字经济崛起的背景下,数据对本国企业收益的提高和生产力的促进,逐步令有效获取数据成为美国政府和企业共同的目标。
尽管各国政府和政府间国际组织在全球治理中仍将一如既往地起主导作用,但这种作用正在日益被全球公民社会所共享和消解。[21]例如,2017年出台的《中华人民共和国网络安全法》(以下简称《网安法》)第3章便针对网络安全运行强调国家对关键信息基础设施的控制权,要求相关数据应当存储于境内。
除了欧洲以外,以中国为代表的新兴国家也日益成为本地主义的拥趸。[38] 《安全港协议》和《隐私盾协议》虽然弥合了美欧在数据流动上的制度分歧,为双方商业机构的利益交换提供了合规空间与法律通道,但是这种商业机构自愿加入的方式属于私法协议,并不会对本国法产生公法效力,双方依旧在数据治理上占据着全球主义与本地主义的两大阵营,存在着制度理念的分野。因而GDPR第47条规定的约束性企业规则便通过建立问责机制,要求跨国企业内部数据转移应满足欧盟的相关标准,借此提高企业整体的数据保护水平。基于上述现实,自上世纪九十年代起美欧便针对双边数据流动展开谈判,并于2000年达成了《安全港协议》(Safe Harbor Framework)。
尤其在后疫情时代和全球产业结构调整的背景下,依托互联网展开的数据交易也将驱动国际经贸体系的升级迭代。三是《联邦贸易委员会法案》从反不正当竞争角度对个人信息进行商业保护。[63]本地主义强调的数据本地化存储实际上将现行国际法的主权边界引入网络空间,以存储者锚定数据主权,并集中体现在GDPR当中。一方面,GDPR第3条改变了《指令》所规定的法律仅适用于欧盟境内的原则,通过效果标准强调相关行为只要影响到欧盟数据安全,便会被GDPR所规制。
[52]日本也在和欧盟的多轮谈判后通过完善本国法实现合规,并通过欧盟数据保护充分性认定实现欧日之间的双向互认,创建了世界上最大的数据流动安全区域。身处大变局中的中国,如何在全球数据博弈中明确自己的选择也需关注。
[42]2013年,OECD对该指南进行修订,在保持原有框架基础上加入了隐私管理项目和国家政策战略等条款,以求进一步适应数字经济的发展并影响新兴国家的立法。[64]这无疑把网络主权从抽象的概念转化为具体的实践规则,深刻影响了数据的存储与流动。
[8] 美国在数据保护上始终秉持宪法第四修正案的基本精神和判例法传统,将数据纳入隐私权保护范畴,并通过1974年《隐私法案》等成文法加以明确。在这一僵局下想要直接通过以条约为核心的国际硬法协调各方利益并不现实,而硬法的缺失却为软法的生长提供了空间。[58] 在云法案公布不久后,欧盟便强调云法案并不能成为向美国转移个人数据的法律依据。但从实体规则上看,欧盟的影响力却丝毫没有减弱。在全球主义和本地主义的合流中,确立以数据本地化存储为基点的数据跨境审查的规则体系。[2]近年来,美国、欧盟、中国及印度等接连对TikTok、微信、滴滴打车以及Facebook等软件展开数据调查,无疑凸显出各国对数据安全的关注。
[37] 许多奇:《个人数据跨境流动规制的国际格局及中国应对》,载《法学论坛》2018年第3期,第132页。而针对数据出境问题,《网安法》和《个人信息和重要数据出境安全评估办法》(以下简称《评估办法》)更是强调对相关数据的评估与审核。
[64] See Michael N. Schmitt (ed.), Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, pp.15-18; Michael N. Schmitt (ed.)。同时也要切实维护国家利益,在倡导全球主义的同时发挥本地主义优势,维护国家网络安全和公民数据隐私。
同时,相关协议的内容也凸显出美国对本地主义的让步,在追求数据商业利益的同时充分尊重了欧盟对数据人权的尊重。从本地主义立场看,尽管相关研究表明以GDPR为代表的数据治理规则影响了数据流通效率并扭曲全球贸易关系,[30]但从欧洲和新兴国家的技术实力与企业诉求看,一方面,对外坚持数据本地化存储并防止数据的任意流失,才能够有效防范美国的数据阻击。
成立于2004年的联合国政府专家小组(United Nations Governmental Group of Expert, UN GGE)先后发布多份专家组报告以引导网络空间多边合作机制的建立,中国也在UN GGE中发挥着举足轻重的作用。[11]在欧洲人眼中,对隐私的保护也是对个人名誉和尊严的保护,每个人都有权控制个人数据以何种方式公开,从而控制自己在他人面前的形象,防止尊严的丧失。[23] Personal Data Protection Bill 2019, Art. 31. [24] See Richard A. Posner, Economic Analysis of Law, Aspen Law Business, 1998, pp. 3-15. [25] 齐爱民:《捍卫信息社会中的财产》,北京大学出版社2009年版,第53-54页。[14]随着欧洲一体化的深入推进,加强成员国之间法律的协调性成为重要课题,也催生了1981年《有关个人数据自动化处理的个人保护公约》(以下简称《公约》)、1995年《关于涉及个人数据处理的个人保护以及此类数据自由流动的第95 /46 /EC号指令》(以下简称《指令》)和2018年《通用数据保护条例》(General Data Protection Regulation, GDPR)。
[34] 参见冯硕:《个人信息跨境监管背景下在线纠纷解决方式的发展困境与出路——以软法为路径》,载《国际经济法学刊》2019年第4期,第58页。[22]印度2019年出台的《个人数据保护法》也强调相关数据应通过境内的信息基础设施实现本地化存储,而数据出境也应按照法律规定分级别进行审查。
和目标 反观欧洲,二战后的经济凋零使得政府在恢复和发展经济上逐渐居于主导地位,通过政府有效调控以促进市场的良性发展模式,也日益得到欧洲各国的认可。法律作为反映经济基础的上层建筑,在规则构建的过程中应当继续倡导财产的流动性以扩大社会福祉。
[44]这表明GATS电信服务附件允许跨境数据传输,故美国认为对数据跨境的限制构成了贸易壁垒。在建立数据出境规则的过程中,尽管目前中国基于本地主义强调有权机关具有数据审查的职能,但是从长远来看,忽视全球主义对数据流动价值的促进,并不利于中国在数字经济时代的竞争中博取优势。
[26]滥觞于上世纪七八十年代的互联网经济适逢里根经济学风行的自由主义高潮,推动数据全球自由流动以创造商业价值也成为美国的数据治理方向。该框架以推动数据跨境自由流动为目标,希望通过行业自律模式要求成员方尽可能避免和消除任何不必要的信息流动障碍,留下了美式全球主义的痕迹。越南2019年实施的《网络安全法》也要求网络服务提供商在境内存储该国公民的个人数据一段时间,凸显出在实力差距下部分国家对本地主义的依赖。[41]国际组织、多边外交会议通过的包括决议、宣言、声明、指南或者行为守则等在内的一些能产生重要法律效果的非条约协议是软法的主要表现形式。
冯硕,上海政法学院国际法学院教师,法学博士。相关规则勾勒出了数据出境审查的基本框架,贯彻了《数据安全法》保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展的立法宗旨。
[5]人类依托互联网不断地扩展在全球获取资源的广度,促进了资源全球配置。如果说欧盟的单边路径是维护本地主义立场的规则扩张,那么美国2018年出台的《澄清境外数据合法使用法案》(又称云法案)则是在全球主义之上目标明确的法律攻击。
对中国而言,坚守本地主义的数据主权概念,强调数据本地化存储符合中国的现实需求。聚焦新世纪以来的新型多边经贸协定,2009年美国加入《跨太平洋伙伴关系协定》(TPP)谈判,令TPP在数据治理上高擎全球主义旗帜。
发布评论