日前,騰訊研究院舉辦第六期C-Law午餐會,邀請北京大學教授、《中外法學》主編王錫鋅擔任此次分享人。
王錫鋅教授就今年五月正式生效的歐盟《通用數據保護條例》(GDPR)的長臂管轄規定,與專家、學者圍繞該原則的起源、擴張及在網際網路時代的合法性問題進行了深入探討。
觀點集錦
GDPR第三條規定的屬人管轄超出了傳統理解的法律規範適用的空間範圍,這種管轄可能會帶來對其他主權國家執法權完整性的挑戰。管轄制度的設計,需要充分考慮到主權原則與效果原則,並可借鑑美國的最低聯繫標準(minimum contacts)。針對GDPR長臂管轄制度,除了數據控制者如公司需要作出反應,國家作為主權者需要從維護主權完整、以及中國的企業與中國數據經濟發展的角度,提出應對。演講實錄
王錫鋅 北京大學法學院教授,《中外法學》主編
GDPR在5月25日實施以後,包括學界、實務界在內的一些專家都提出了GDPR是「全球最嚴」的數據保護法規,這個「最嚴」可以從兩個角度來體現:第一,GDPR賦予了監管機構非常強大的監管權、調查權、行政執法權、處罰權;第二,GDPR第三條關於地域範圍的條款,超出了傳統意義上空間效力的範疇,甚至牽涉到了主權問題。
✔ 有必要認真檢討GDPR長臂管轄原則
值得思考的是,一個主權體,包括主權國家和主權國家的聯合體,在制定法律規範的時候,能否單方面主張這種超越自身領土及主權範圍的管轄權。
簡言之,即GDPR長臂管轄規定的正當性、實質合理性以及適用上的必要性。之所以要討論這個問題,有以下幾個重要理由。
理由一:
傳統的法學理論中,法律是主權者意志的體現,而主權者的意志只能在一個領土和空間範圍內才是主導性的。如果對此做出突破,將涉及到另外一個國家的主權問題,這屬於國際法問題。
從這個角度切入分析長臂管轄原則時,就不能當然認為只要GDPR單方面規定了,就必然是正當且需要遵守的。GDPR本身並沒有對管轄的延展,對所謂跨越主權、領土範圍的管轄去做一種正當化、合理化的證明,也不符合國際法的禮讓原則。
理由二:
除了主權原則,管轄制度的設計還需要滿足效果原則。對超出歐盟範圍之外的事宜,歐盟實際上可能並沒有能力單方進行調查與執法。即使作出處罰決定,在沒有辦法予以執行的情況下,效果就無從體現。
理由三:
由於負外部性的存在,其他國家對GDPR的承認程度以及是否會採取應對措施至關重要。當整個問題演變成為國際法問題時,就不再簡單是由企業不加考慮地作出合規調整,而需從國家層面考慮通過訂立雙邊、多邊協議的方式,經外交途徑促進問題解決。
✔ 長臂管轄原則的起源
要對GDPR長臂管轄的正當性和實質合理性提出質疑,需要回到一個法學上的老問題,即管轄問題。
長臂管轄的本質是屬人管轄權,實際上是屬人管轄的一種延展。其概念首先在美國民事訴訟當中被提出。美國最高法院最早在1877年最高法院的案例中確定了最基本的領土主義的管轄原則:
1、各個州都可以對其領土範圍內的人和物進行專有和全面的管轄權。
2、各個州對其領土外的人或財產原則上不得行使直接的管轄。
而後,美國最高法院把訴訟分成了對人的訴訟以及對物的訴訟兩類,與之相對應的管轄分為了屬人管轄和屬物管轄。屬人管轄相對比較複雜,所謂的長臂管轄是以屬人管轄為主,是對人的訴訟延伸出來的管轄規則。
隨著州際商業的不斷發展,特別是在合同、商品流通、產品質量侵權方面,跨州糾紛不斷增多。
1945年「國際鞋」案(International Shoe Co. v. State of Wash., Office of Unemployment Compensation and Placement)中,美國最高法院系統性地提出了屬人管轄的問題,並確立了最低限度的聯繫原則(minimum contacts)。
所謂最低聯繫,即必須要有某種因素,將不在本州的被告和法院地聯繫起來。這個聯繫應該保證有一定的數量與頻率,且當事人提起訴訟必須是基於這種聯繫。同時,法院適用長臂管轄還必須要符合公平對待和實質合理的原則。
在之後的判例中,美國法院進一步指出聯繫必須是有目的的,還於1980年大眾汽車公司案(World-Wide Volkswagen Corp. v. Woodson)、1987年日本輪胎案(Asahi Metal Industry Co., Ltd. v. Superior Court of California, Solano County)中強化了商業流通的問題並引入了經濟學的分析方法,要求應綜合考慮對原告的便利、對被告增加的負擔、對本州的利益、對各州的利益協調來確定管轄。
總結來說,美國在長臂管轄的適用過程中總是會添加必要的限制:首先,如果這個州有長臂管轄的法案,針對該法案本身是可以進行合憲性審查;其次,如果沒有制定法案,適用長臂管轄需要判斷是否符合美國憲法第十四修正案所規定的平衡保護,並延伸出最低聯繫標準——1、被告有意地與法院所在地發生了聯繫行為;2、訴訟的請求必須是基於有聯繫的行為;3、跨地域的管轄符合公平正義、最低限度的原則。
✔ 美國在網際網路領域謹慎適用長臂管轄原則
當下網際網路行業和傳統商業已經產生了很大的區別,但美國法院在處理網絡時代案件的管轄問題時仍然比較謹慎,儘管對「聯繫」會做一些不同的界定和解釋,但適用的還是傳統的管轄標準。
網絡時代的到來並沒有對美國的法院或傳統的司法體系造成太大的衝擊,其較成功地利用傳統法律理論與司法機制解決了網際網路法中的一些疑難問題,這點對我們也應有一定啟發。
✔ 重新審視GDPR長臂管轄原則的正當性
GDPR的長臂管轄是不滿足實質合理性的,這種管轄不是傳統的民事訴訟的私法管轄,而是一種對行政執法權的主張。
這種管轄可能將會帶來對其他主權國家執法權完整性的挑戰,引發下列後果:1、對他國執法主權的威脅;2、不符合效果原則,當缺乏所在地國家的協助和配合時,所謂的監管、調查、執法均無法實現;3、此時若強行啟動調查和執法,將可能引發貿易衝突,甚至外交衝突;4、使得歐盟內的數據經濟形成比較明顯的用腳投票的效益,給歐盟帶來高昂的制度成本;5、以上不能通過協商得到解決的話,有引發法律戰的風險。
而對於中國政府來說,該問題不但涉及對我國企業以及數據經濟發展的合法保護問題,也涉及到了執法主權。政府應當扮演一個更重要的角色,從以上角度出發提出應對。就目前而言,這方面問題多於對問題的解決方案,怎麼來解決,留待大家一起思考。
思想碰撞
萬勇:中國人民大學法學院教授
針對長臂管轄問題,我們或許可以參考我國《刑法》第八條規定的保護管轄權——外國人在中華人民共和國領域外對中華人民共和國國家或者公民犯罪,而按本法規定的最低刑為三年以上有期徒刑的,可以適用本法,但是按照犯罪地的法律不受處罰的除外。
按照這條規定的設計思路,從某種意義上照顧到了前提條件即「按照犯罪地的法律」是否應當受處罰。未來我們或許可以按照這樣的一個思路和原則來和歐盟進行協商。
王靜:中央黨校(國家行政學院)政法部副教授
行政管轄背後的機理與司法是不太一樣的,管轄的衝突往往是通過事權的劃分來解決,而行政事權怎樣劃分才合理是值得思考的。
行為地標準可以作為一個原則,而當有可能出現管轄權的積極競爭和消極競爭的時候,我們或許可以參照美國聯邦貿易委員會為避免監管俘獲而坐鎮華盛頓的方式,設立一個全國性的機關集中管轄,而非在例如個別省市設立辦事處,造成監管難度過大的後果。
張金平:中央財經大學法學院講師
GDPR的行政長臂管轄已經在往司法上的長臂管轄靠攏。
例如,GDPR前言第23目對第3條第一種場景「提供商品或服務」的長臂管轄做了解釋,是根據企業是否顯然(apparent)希望(envisage)給在歐盟一個或多個成員國居住的居民提供商品或服務來判斷的。
如果僅僅是可以訪問企業的網站、提供可聯繫的郵件或其他聯繫地址,或者網站只是使用了中文,都不構成「顯然希望」。
然而,如果使用了歐盟一個或多個成員國的語言或者貨幣進行商品或服務的提供或者專門提及歐盟的客戶,就足以構成「顯然希望」。
第23目的解釋就將行政長臂管轄往司法長臂管轄中的最低聯繫原則靠了。按照GDPR第27條的要求,在歐盟境外的數據控制者需要在歐盟境內指派一個代表作為歐盟行政長臂管轄的聯繫人,GDPR也沒有專門對不指派代表規定懲罰措施,因此在實踐中很難實現。
但是,GDPR行政長臂管轄的目的,很可能是藉助第三國適當性評估或者第三國與歐盟委員會達成雙邊協議中的談判中加入這一要求,要求第三國對這部分數據控制者進行監管,並對歐盟人就這部分數據控制者的數據濫用導致的侵權行為提供國民待遇,即有權在第三國直接向該類數據控制者提起侵權訴訟。
這一點,美國2016年專門制定的《司法救濟法》已經為歐盟人提供了美國聯邦政府(還不包括其他主體)使用歐盟人數據導致的隱私侵權提供侵權訴訟上的國民待遇。
王磊:新浪網高級法律顧問
網際網路公司會應對國外的一些司法機關包括法院的協助調查,但目前針對美國法院要求中國公司提供相關證據的要求時,平臺會面臨兩難境地——一方面涉及司法主權,另一方面無視或忽略該要求將導致網際網路公司,特別在美國納斯達克上市的網際網路公司面臨美國證監會的處罰。
因此,能否在行動過程中建立相關的制度,使得面臨管轄權衝突時的協助可以順利開展,從而平臺可以在程序上進行配合。