而针对数据出境问题,《网安法》和《个人信息和重要数据出境安全评估办法》(以下简称《评估办法》)更是强调对相关数据的评估与审核。
同时,根据金融市场快速变化和高风险的特点,以金融审判白皮书等形式,对政府宏观经济调控、金融行业行为的规制等提供对策建议,化解金融风险。[36]司法改革因为所关涉的问题不是那么根本,所以比之政改、行改要推行地更快,而随着改革的进行,两种争论愈加明显,即到底是加强我们传统的人民司法传统,还是要提升司法的专业化水平?司法是一种法律人所推动的专业化的事业,还是政党的一种治理手段?两种观点都不曾有过绝对性的胜利,但是一般认为,肖扬法院十年(1998-2008年)是司法改革走向专业化的时期。
张正印:《宋代狱讼胥吏研究》,中国政法大学出版社2012年版,第35、36页,表2:福州十二县胥吏数额。[72]这与美国的政治现实紧密相连,正如麦克洛斯基指出的那样,只要基本法与主权的冲突存在,最高法院的此等职能就会延续:美国的司法主权是为了解决上述根本性的宪政危机而存在的。换句话说,如果对政府强调三个至上,可能不会有任何问题,人们会更多去关注这是政府执政为民的好措施,而一旦对法院说三个至上,大家关心的却是三者之间的冲突了。2003年3月11日,肖扬在十届全国人大一次会议上谈及司法队伍建设时,首次提出树立文明办案、司法为民的思想。此处我们首先要对政治性和法律性进行一下界定,之所以提炼出这样两个概念主要是与法院的两重合法性有关:政治和法律。
这里面有一个非常重大的问题在于,当我们说,政党可以通过司法机关的活动解决人民的问题,回应司法需求,进而展现主权的存在时,我们不能忘记了,在我国,不仅司法是人民司法,公安也是人民公安,邮政也是人民邮政,医院是人民医院,银行也是人民银行,所以需要分析的是,司法的人民性与其他机构的人民性有何不同? 六、人民法院与人民的政府:司法与行政之别 毛泽东1948年9月在《中央政治局会议的报告和结论》中说,我们是人民民主专政,各级政府都要加上‘人民二字,各级政权机关都要加上‘人民二字,如‘法院叫人民法院。[51]即使是在加强司法公信力建设过程中,首先被提到的依旧是坚持司法为民的根本宗旨,人民法院必须始终把人民放在最高位置。[72]尤其在OEWG中,中国针对数据治理重申国际法的重要性,强调在数据全球流动的背景下着力关注数据安全问题,以期有效平衡技术进步、商业发展与国家安全,推动数据依法有序的自由流动。
[1]在新一轮的科技革命与全球治理体系调整中,数据已成为促进全球经济社会发展的核心资源。数据作为一种具有财产属性的资源,它的经济价值不是暂时静止地存在于物权,而是从一个债权向另一个债权不停地移动,[66]只有在流动中才能获得更多赋值。因此,基于自贸区和经济特区的制度优势,从地方改革开始推动数据认证、评估和审查机制的建立,在试验中总结经验并完善制度体系是值得考虑的。第三,欧盟看到了在大企业主导全球经贸往来的背景下,对跨国企业内部数据流动的合规至关重要。
相较于隐私权,数据更多地关乎公民的人格与尊严,这恰恰能够被涵盖进大陆法系人格权保护范畴。所谓两层是指在联邦和州两个层级进行各自的立法,以联邦立法为主、州立法为辅。
但微软主张该数据存储的服务器在爱尔兰,美国执法部门无管辖权,拒绝服从该命令。[16] 参见高富平:《个人数据保护和利用国际规则:源流与趋势》,法律出版社2016年版,第131-135页。(二)数据治理的本地主义:基于人权与主权的数据保护 互联网虽诞生于美国却服务于全球,美国所倡导的全球主义并非是唯一路径。新的商业模式和商业互动取决于跨境转移数据的能力,这也是完成企业必要运作的需要。
[69] See Edith Brown Weiss, Conclusions: Understanding Compliance with Soft Law, in Dinah Shelton, Commitment and Compliance: The Role of Non-Binding Norms in The International Legal System, Oxford University Press, 2000, pp. 535-553. [70] 参见黄炎:《跨境数据治理体系的多维变革及因应之策》,载《太平洋学报》2022 年第4期,第67-68页。一方面,TPP强调了互联网的自由与开放性,要求缔约方不应采用超出协议的保护性措施阻碍数据跨境传输,并且在数字贸易方面坚持非歧视原则并取消贸易壁垒。非经中国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中国境内的数据。[4] 参见黄志雄:《国际法在网络空间的适用:秩序构建中的规则博弈》,载《环球法律评论》2016年第3期,第14-15页。
在遭受本地主义壁垒无法有效获得数据时,美国选择通过单边途径强制要求数据商提供数据,显现出进攻的姿态。现行国际法的责任体系是支撑现代国际社会秩序的核心内容,在关键问题上如果失去硬法所具有的拘束力则会导致行为失范并损害各方利益。
该协议延续了美欧在数据保护领域的双边协调,并在继承《安全港协议》的自愿加入、商业信息交换的基础上开始关注政府相关行为,赋予欧盟数据保护机构对第三国的数据保护水平的调查权,并强调欧盟公民的救济与申诉权。[73] 所以,在参与全球数据跨境规则的形塑过程中,中国依旧要积极参与相关国际软法的制定工作,既要在现有多边机制下积极发声,也要鼓励中国互联网企业参与全球数字贸易规则的制定,实现政府与民间的双向共进。
基于该目标,《公约》所树立的数据质量、数据安全等原则倡导数据的完整、准确与及时,保障数据存储与传输的安全,带有保障公民政治权利、健康权利、隐私权等基本人权的色彩,力图在提高欧洲内部数据保护水平的同时打通成员国之间的流通障碍。尽管主权日渐成为新兴国家参与网络治理的核心主张和依据,但是网络主权本身在理论上便存在争议。[45] 参见谭观福:《数字贸易中跨境数据流动的国际法规制》,载《比较法研究》2022年第3期,第176页。如前所述,2003年联合国信息社会世界峰会达成的《日内瓦宣言》和《塔林手册》均强调以一国对网络基础设施和相关行为的控制权来框定主权边界。二是在境外主体调取中国境内数据时,应根据有关法律和中国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。故而自1973年瑞典颁布全球首部个人数据保护法以来,以法德为代表的欧洲大陆法系国家便先后通过创设信息自决权等方式,以单一立法模式保护数据权利。
三、全球数据治理与博弈中的规则构建 从现实的维度出发,数据存储与跨境规则穿梭于公法与私法两大领域,并在二者的融合中将规则拉入到了对不同价值取向的判断与选择中。从相关条款的表述来看, RCEP总体上凸显了对缔约国本国法律法规的尊重。
[63] 冯硕:《TikTok被禁中的数据博弈与法律回应》,载《东方法学》2021年第1期,第77页。本文聚焦数据治理规则,首先在理论层面对全球主义和本地主义进行分析,以明确当前各方的立场分歧。
[17] 随着互联网的全球普及,以中国、印度与俄罗斯为代表的新兴国家在数字经济时代实现了崛起,积极参与全球数据治理的主张和诉求也深刻影响着规则的形成。[67]从软法的现实意义看,在国际合作上软法出现的领域往往是那些具有高度国际共识却又极度敏感、存在相当多立法瓶颈的领域。
该指南较早地确立了数据跨境流动的概念,其中的限制收集、数据质量、目的明确等八项原则,明确了数据保护的最低标准。三类则是指立法类型可以分为以下三种类型:一是在宪法和普通法下对信息隐私权的一般保护,其中以1974年《隐私法案》为典型。[55]这意味着任何向欧盟居民提供商品或服务的企业都将受制于GDPR,而不论该企业是否位于欧盟境内并使用境内设备。美国尽管依靠强大的技术和经济实力通过全球主义的方式推行理念,以进攻姿态在全球网罗可利用的数据,但同时其也通过完善本国法律保护自身数据主权和公民隐私权。
二是经由国内法转化而具有拘束力。坚持数据本地主义确保数据的本地化存储和跨境评估,才能更好地维护我国公民的数据隐私权并弥补我国企业在数据获取能力上短板。
云法案以数据控制者标准强调无论数据实际存储于位于何地,只要相关数据控制者总部位于美国或为美国注册的公司,均有义务向美国提供数据。OECD作为聚集世界上主要发达经济体的经济合作平台,首先希冀于发挥数据的商业价值和全球主义目标。
[71]在两个小组的运作中,中国为弥合各方分歧发挥了重要作用。软法并不是国际法的终点,在国际法的塑造中软法会随着时间的推移大致向以下四个方向发展:一是以具有约束力的形式被批准或进入条约。
[11] European Commission, Study on Legal analysis of a Single Market for the Information Society, (Nov. 2009),. [12] See James Q. Whitman, The Two Western Cultures of Privacy: Dignity Versus Liberty, 113 Yale Law Journal. 1151,1161 (2004)。在评估中欧盟主要考虑目标国在法治和基本人权的保护程度,是否存在独立且有效运作的监管机构,以及承担有关个人数据保护的国家责任或国际承诺。[35]风波平息后,2016年《隐私盾协议》(Privacy Shield Framework)再次出台。同时,针对数据本地化存储,TPP要求缔约方不得强迫本国公司在计算服务中采取本地化策略,禁止要求公司向本国个人转让技术、生产流程或专有信息等。
早在2003年,联合国信息社会世界峰会达成的《日内瓦宣言》就首次明确了与互联网有关的公共政策决策权是各国主权。Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations , Cambridge University Press, 2017, pp.11-16. [65] 参见习近平:《在第二届世界互联网大会开幕式上的讲话》,载《人民日报》2015年12月17日,第2版。
但在数据主权的界定上,由于数据的所有者、存储者与使用者在地理位置上的分离,使得以何者为标准划定主权便产生争议。而不同国家的立场选择,既反映了相关国家经济治理体系的差异,也显现了在技术与经济实力的差异下,国家数据战略与企业利益追求的目标同一化。
[13] 在欧陆国家立法中,虽然数据与隐私之间的联系得到认可,但二者也并非等同。全球配置资源业务既是经济增长和效益提高的主要驱动力,也是数字经济在逻辑上的延伸。
