论跨境数据流动中的网络间谍规制——以欧美跨境数据流动合作为视角

摘要:欧美两次跨境数据流动合作失败是基于欧盟对美国新型网络间谍行为的关切,但国际法缺乏对于网络间谍行为的有效规制,以欧盟法处理网络间谍问题也面临着说理困境与诸多批判。欧美两次跨境数据流动合作失败所揭示的境外情报机关向境外企业获取数据的问题对我国具有警示作用,我国也存在未能明确约束境外机构向境外企业调取数据的行为、追究境外机构法律责任的门槛较高、追究境外实体法律责任面临执行和国家豁免的障碍等问题。在国际法层面,我国可以考虑在国际条约中对于情报机关获取信息做出限制,在国际谈判中推广数据分类分级保护模式,尤其注重涉国家安全数据的保护,并逐步推动国际法在规制网络间谍中的适用。在国内法层面,我国可以通过立法明确规制网络间谍行为的新情况,在司法实践中合理解释国家安全,采取出口管制和反制裁措施惩治网络间谍行为。

关键词:跨境数据流动;网络间谍规制;数据保护

刘瑛教授简介

刘瑛，中山大学法学院教授、博士生导师，中山大学涉外法治研究院副院长，国家高端智库武汉大学国际法治研究院特约研究员。英国牛津大学访问学者，美国哈佛大学法学院富布莱特高级访问学者，国家农业对外合作法律顾问，中国贸促会联合国国际贸易法委员会观察员专家。主要研究领域为国际经济法、国际商法，长期从事国际商事统一法、WTO和其他贸易协定、国际金融监管规则、涉外经济法、经济制裁等领域的教学和研究。已发表论文逾百篇，出版专著三部，提交智库研究报告逾百项，主持项目近四十项，系2021年国家社科基金重大项目首席专家。

从2000年开始,欧盟与美国通过衔接两种不同的个人数据保护体系,进行跨境数据流动合作。但在美国“棱镜”(PRISM)等计划曝光之后,欧盟法院两次通过判决否定了欧美合作机制的有效性。2023年7月10日,欧盟委员会又一次通过了针对欧盟—美国数据隐私框架协议的充分性决定。2023年9月,法国欧洲议会议员拉通贝(Latombe)向欧盟法院提起诉讼,试图推翻欧美跨境数据流动第三次合作,引起了广泛热议。研究两次欧美跨境数据流动合作失败的根本原因,把握欧美跨境数据流动合作的最新动态和法律争议,有助于我们了解欧盟和美国在跨境数据流动领域的核心利益追求与关切,在对外建立跨境数据流动合作过程中吸取欧美的经验和教训,在跨境数据流动领域统筹推进国内法治和涉外法治。

一、欧美跨境数据流动合作受到美国网络间谍行为的深刻影响

欧美两次跨境数据流动合作机制的有效性均被欧盟法院的判决推翻,欧盟法院在说理过程中主要采取了保护“基本权利和自由”的路径。但仔细考察两次案件的直接诱因和特殊性,以及第三次合作建立的过程,可以看出基本权利和自由的保护不足只是合作失败的原因之一,欧盟的考量暗含着对于美国网络间谍行为的关切。

(一)欧美两次跨境数据流动合作的失败历程

欧盟在跨境数据流动领域非常重视保护基本权利和自由。1995年欧洲议会和欧盟理事会颁布的《关于在处理个人数据和此类数据自由流动方面保护个人的95/46/EC指令》(以下简称《数据保护指令》)就要求成员国必须规定,只有在第三国对个人数据达到“充分性”(adequate)保护的情况下,才允许欧盟人的数据被传输到该第三国。而美国通过行业自治的方式保护个人数据,美国商务部在2000年发布了《安全港隐私原则》(Safe Harbour Privacy Principles),这些原则是美国商务部与业界和公众协商制定的,企业通过自愿声明、向商务部提供并公开其隐私政策等寻求被欧盟委员会认定为遵守《安全港隐私原则》。尽管欧盟和美国的个人数据保护体系差异较大,但欧盟试图衔接两种体系,颁布了《依据第95/46/EC号指令关于安全港隐私原则提供的保护是否充分以及美国商务部发布的相关常见问题作出的决定》(以下简称《安全港决定》),以保障欧美之间的跨境数据流动。《安全港决定》是欧盟法的一部分,规定只要企业遵守《安全港隐私原则》来保护从欧盟传输到美国的个人数据,就应认为其已经达到了充分性保护水平。

此后,斯诺登事件将以“棱镜”计划为代表的美国情报部门大规模获取其他国家数据的行为带入公众视野,2015年,欧盟法院在Maximillian Schrems v Data Protection Commissioner案(以下简称SchremsI案)中判决《安全港决定》无效,宣告了欧美跨境数据流动合作的第一次失败。欧盟随后出台了《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR),对个人数据保护设置了严格的标准。为满足GDPR在《数据保护指令》的基础上强化的充分性保护标准,美国国家情报总监办公室(Office of the Director of National Intelligence,ODNI)提供了一份针对美国获取情报的陈述和承诺;美国国务卿签署了一份信函,承诺建立新的国家安全监督机制,即任命独立于美国情报界的隐私保护监察员;美国司法部提供了一份声明,描述了公共机构为了执法和公共利益目的访问和使用数据的限制和保障措施。欧盟重新评估了美国的立法,通过了第2016/1250号决定,即《依据第95/46/EC号指令关于欧盟-美国隐私盾提供保护的充分性作出的决定》(Privacy Shield Decision,以下简称《隐私盾决定》),将上述三份文件载于《隐私盾决定》的附件。然而,在2020年的Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems案(以下简称SchremsII案)中,《隐私盾决定》又被欧盟法院认定为无效,使得欧美跨境数据流动的第二次合作也归于失败。

(二)欧美两次跨境数据流动合作失败的根本原因

欧盟法院在上述两次判决中均强调了欧盟人的基本权利和自由,尤其是隐私的法律地位,并论述了美国公共部门大规模获取数据的行为超出了保护美国国家安全严格必要的范围。从这一思路出发,针对欧美重新建立合作的建议包括改变欧盟法的严格要求以适应美国获取数据的做法、改变美国的隐私保护体系以达到欧盟的充分性保护标准,抑或是欧美协议采用经合组织、亚太经合组织等国际组织的隐私保护体系以达成一致等。然而,仅依靠欧美改变隐私保护方式,很难解决美国公共部门大规模获取外国数据带来的问题。欧美两次跨境数据流动合作失败的根本原因在于,美国大规模获取外国数据的行为带来了欧盟对美国网络间谍行为的担忧,而国际法上缺乏规制网络间谍的有拘束力的法律规则,使得欧盟只能在欧盟法的框架下处理这一复杂问题。

1.美国的网络间谍行为是SchremsI案和SchremsII案的直接诱因

欧盟于2000年就作出了有关欧美跨境数据流动的《安全港决定》,欧美依据该决定进行了长达15年的跨境数据流动。SchremsI案的导火索就在于斯诺登对于美国情报部门“棱镜”等计划的曝光,此类计划也是原告马西米利安·施雷姆斯(Maximillian Schrems)用以质疑美国对来自欧盟的个人数据保护是否充分的重要论据。在SchremsII案中,马西米利安·施雷姆斯也声称,美国法律要求Facebook公司向某些美国当局,如国家安全局和联邦调查局提供传输给这些公司的个人数据,而这种大规模监控行为不符合《欧盟基本权利宪章》的规定,因此他要求禁止将其数据传输给Facebook公司。

在现有的研究中,以“棱镜”计划为代表的情报收集行为与网络间谍行为联系密切,有文章将“棱镜”等计划与网络间谍行为联系在一起,也有文章将“棱镜门”计划明确定义为间谍行为。尽管国际法和我国国内法尚未对“网络间谍”作出定义,但考察学界对于“间谍”和“网络间谍”的界定,上述观点具有一定的合理性。

间谍活动是一国情报工作的一个方面。合法的情报收集和间谍活动之间的界限很薄,事实上,“最终可能会被技术创新无可挽回地刺穿”。从主体的角度,网络间谍被定义为“受雇于特定组织并利用互联网平台获取情报、危害目标国家安全的人员”。从行为的角度,网络间谍被定义为从目标计算机系统收集情报和数据的计算机操作。《网络行动国际法塔林手册2.0版》对于网络间谍提供了更为详尽的定义,即“利用网络能力,以秘密或欺诈的方式收集或试图收集信息的行为”,“网络间谍包括但不限于利用网络能力监视、监控、采集或窃取通过电子传输或存储的通讯、数据或其他信息”,手册中所讨论的网络间谍行为“仅限于由国家实施的或其他可归因于国家的网络间谍行为”。

在SchremsI案和SchremsII案中,美国在“棱镜”等计划下进行的大规模情报收集行为是经由网络发生的,其是否属于网络间谍行为主要在于对“秘密”“伪装”“欺诈”的认定。但在两次案件中,欧盟法院未采用反间谍法路径进行判决,更遑论对“秘密”“伪装”“欺诈”等概念进行解释。国际法层面也尚无对此类概念进行解释的先例。但《网络行动国际法塔林手册2.0版》对于网络间谍的定义具有一定的开放性,且美国“棱镜”等计划具有秘密性的特点,此种行为不应被完全排除在网络间谍的涵盖范围之外。目前,学界也有观点认为,“无节制、无底线、无限制”特征的信号情报获取行动,以及用社交媒体上个体用户留下的“足迹”提升用户画像能力,辅助支撑传统的招募与策反行动,均属于霸权国家实施的网络间谍活动。由于此种观点具有一定的合理性,且为便于在同一语境下探讨,本文将美国在SchremsI案和SchremsII案中的情报收集行为定义为一种网络间谍行为,对此种情报行为和网络间谍行为的用语不作严格区分。

2.两次欧盟判决均针对美国的情报行为或情报法律进行了讨论

在SchremsI案的判决中,欧盟法院引用了欧盟委员会与欧洲议会、理事会的沟通文件《关于从欧盟公民和在欧盟设立的公司的角度探讨安全港的运作》(以下简称《安全港的运作》)中的内容,该文件指出,所有参与美国“棱镜”计划并允许美国当局访问其在美国存储和处理的数据的公司似乎都获得了《安全港决定》的认证,使得《安全港决定》成为美国情报部门收集欧盟个人数据的渠道之一。

在SchremsII案中,欧盟法院集中讨论了美国各部门对传输到美国的个人数据开展情报行为的主要依据,即《外国情报监视法》(Foreign Intelligence Surveillance Act,以下简称FISA)第702条和第12333号行政命令。FISA第702条允许美国司法部长和国家情报总监联合授权对位于美国境外的非美国公民进行监视,以便获取外国情报信息,其中的一些信息也会传输给美国联邦调查局和中央情报局。第12333号行政命令允许国家安全局(National Security Agency,NSA)通过访问大西洋海底的水下电缆来访问正在传输到美国的数据,并在这些数据到达美国并受到管辖之前收集和保留这些数据。

从美国法上看,在SchremsII案中集中讨论的FISA也具有特殊性。相比而言,美国的《澄清海外合法使用数据法》(Clarifying Lawful Overseas Use of Data Act,CLOUDAct)虽然也使得美国可以基于国家安全等事由调取在美国境外存储的数据,但FISA的内容涵盖了获取外国情报的多种手段和相关程序,更加彰显了情报法的特点。也因此,从结果上看,不同于在其他的跨国公司违反GDPR的案件中的做法,欧盟在SchremsI案和SchremsII案中直接否定了《安全港决定》和《隐私盾决定》的有效性,而不只是在个案中对违法公司施加高额处罚。某种程度上,欧盟法院在SchremsI案和SchremsII案中处理的不仅是欧盟与其境内公司的关系,而是欧盟与美国之间的关系。

3.欧美第三次跨境数据流动合作的建立过程体现了欧盟对于美国情报行为的关切

在欧美两次跨境数据流动合作失败后,美国再次对其情报法律体系进行了调整,欧盟本次对美国作出的充分性决定也是在考察美国情报法律体系后所作出的。美国于2022年10月通过了第14086号行政命令“加强对美国信号情报活动的保障”(Enhancing Safe guards for US Signals Intelligence Activities),该行政命令对于美国整个情报界具有约束力,且明确要求美国情报机构在最多一年的时间限度内更新现有的政策和程序。美国司法部长还颁布了《数据保护审查法院条例》以处理和解决个人对美国信号情报活动的投诉。欧盟委员会认为第14086号行政命令补充了FISA第702条和第12333号行政命令的限制和保障措施,最终通过了针对欧盟-美国数据隐私框架协议的充分性决定(adequacy decision for the EU-U.S. Data Privacy Framework,以下简称DPF决定)。

与欧盟以往针对其他国家作出的充分性决定不同,DPF决定针对美国公共当局出于国家安全目的访问和使用个人数据展开了详细讨论,特别关注到第14086号行政命令对于美国情报工作的新规定。第14086号行政命令规定了对美国信号情报活动的合法目标的限制,规定了美国信号情报活动的程序,还对美国批量收集信号情报的行为作出了特别限制。此外,欧盟委员会还在DPF决定中指出,除了第14086号行政命令以外,美国信号情报数据收集还受到FISA第257条和第702条的限制和保障措施的约束,欧盟委员会也在DPF决定中详细列举了FISA对于美国情报活动的各项限制。

二、欧盟在跨境数据流动国际合作中处理网络间谍行为所面临的困境

美国的网络间谍行为使得欧盟在跨境数据流动合作中面临着数据出境后的风险,但国际法缺乏对于网络间谍行为的有效规制,以及网络间谍行为本身具有特殊性,使得欧盟法院在欧盟数据保护法律下,以保护基本权利和自由的路径处理网络间谍问题时面临说理困难,其判决也引起了诸多批评。

(一)国际法缺乏对于网络间谍行为的有效规制

虽然几乎所有国家都存在间谍活动,但各国都保留根据国内刑法起诉在其境内从事间谍活动的人的权利。然而,新兴技术的发展使一国情报人员无须跨越物理边境即可获取另一国的信息,导致难以通过各国国内法有效规制网络间谍。在国际法层面,规制网络间谍的国际条约尚付之阙如。

在联合国层面,联合国信息安全政府专家组(United Nations Group of Governmental Experts,UNGGE)等关注到国家、其代理者或非国家行为者利用信息通信技术而在该领域造成的现有和潜在的威胁,针对国际法特别是《联合国宪章》是否适用于各国使用信息通信技术问题进行了讨论,专家组的报告也得到了联合国大会决议的支持。联合国信息安全政府专家组的报告和联合国大会的决议均不具有法律拘束力,但在一定程度上代表了联合国会员国的共识。《联合国宪章》宗旨和国际法原则应能适用于国家使用信息通信技术时进行的网络间谍行为,但目前此类原则如何适用仍存在争议。例如,有观点认为,无论是传统间谍活动还是网络间谍活动,如果未采取收集信息以外的行动,则不会被视为违反禁止使用武力或武力威胁原则。但也有观点认为,即使在没有任何“现实世界的物理损害”或“网络空间的破坏性影响”的情况下,网络间谍活动也侵犯了领土主权,从而违反了国家主权原则。由于各国针对此类争议未能达成普遍的共识,因此“网络间谍在国际法上处于合法与非法的灰色地带”。

在WTO层面,由于暂时无法明确应将跨境数据流动定义为服务、货物还是其他事务,就难以确定《关税与贸易总协定》(General Agreementon Tariffs and Trade,GATT)、《服务贸易总协定》(General Agreementon Tradein Services,GATS)等是否以及如何适用于跨境数据流动。WTO层面主要在跨境数据流动对贸易的影响层面进行讨论和谈判,既有的协定较少直接涉及间谍问题。在既有的协定如何适用于跨境数据流动依然存在争议的情况下,目前WTO层面缺乏直接调整网络间谍行为的规则。

从区域贸易协定上看,目前比较有代表性的《全面与进步跨太平洋伙伴关系协定》(Comprehensive and Progressive Agreement for Trans-Pacific Partnership,CPTPP)、《美国—墨西哥—加拿大协定》(U.S-.Mexico-Canada Agreement,USMCA)、《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership,以下简称RCEP)虽然都对数字贸易或电子商务进行了一定的规范,但并未直接针对网络间谍行为进行规定。因此,已有的国际条约很难用以规制网络间谍行为,且国际习惯法、一般法律原则等如何适用于网络间谍行为也存在争议。在此种情况之下,美国在跨境数据流动合作机制中保留了以国家安全为由的例外条款,为其网络间谍行为留下了空间。

(二)以欧盟法处理网络间谍问题面临说理困境与诸多批判

在SchremsI案和SchremsII案中,欧盟法院均以保护基本权利和自由的路径处理网络间谍问题,在判决逻辑上具有一定的相似性。由于欧美之间跨境数据流动的法律依据为《安全港决定》和《隐私盾决定》,上述决定是依据欧盟的《数据保护指令》和GDPR作出的,而美国的网络间谍行为实际上涉及的国家安全属于欧盟成员国法律调整的事项,因此欧盟法院仅能从《数据保护指令》和GDPR等规定出发进行判决。欧盟法院试图采用基本权利和自由保护的路径解决其对于网络间谍行为的关切,但这种错位使其不得不面临许多说理困境,也招致了诸多批评。

1.欧盟法院处理网络间谍问题面临说理困境

第一,由于网络间谍行为的特殊性,欧盟法院很难在事实层面证明美国情报部门实际访问了欧盟的个人数据,其在SchremsI案和SchremsII案中的论证的逻辑链条只能基于一种对可能性的假设。

第二,欧洲人权法院在其审理的案件中一定程度上认可了一国情报机关通过大规模拦截电子通信收集信息的合法性,但欧盟法院如果参照此种逻辑进行审理,则不可避免地要对美国情报机关的类似行为持肯定态度,从而可能使欧盟在后续的谈判中处于被动的地位。欧洲人权法院在2006年的Weber and Saraviav.Germany案中重申,在平衡被申请国通过秘密监视措施保护国家安全的利益与个人私生活和权利受到尊重的利益时,法院一贯承认国家当局在选择实现保护国家安全合法目标的手段时享有相当大的自由裁量权,但法院必须确信存在充分和有效的保障措施来防止此种权力的滥用。该案具有较大的影响力,在欧洲人权法院于2021年5月最终判决的Big Brother Watch and Othersv. The United Kingdom案中也被引用。Big Brother Watch and Othersv. The United Kingdom案也与斯诺登事件密切相关,该案源自斯诺登揭露出英国情报机构开展了一项代号为“TEMPORA”的行动,使其能够提取、利用和存储大量欧盟的数据,同样涉及对于干涉欧盟人基本权利和自由的认定。欧洲人权法院在该案判决中承认,国家当局在选择如何更好地实现保护国家主权的合法目标方面享有广泛的自由裁量权,但需要有防止滥用该权力的充分和有效的保障,并详细列举了此类保障措施的内容。

在SchremsI案中,美国情报机关正是基于国家安全等事由收集信息,且《安全港决定》也承认基于此种事由收集信息应当有所限制,这种行为必须在公开的法律中被阐明,并且在民主社会中是必要的和相称的。欧盟法院在SchremsI案中回避了对于情报机关大规模收集信息行为本身合法性的讨论,引用Digital Rights Ireland and Others案(C-293/12andC-594/12)的判决,侧重于强调针对个人数据实施最低限度的保障措施的重要性。类似地,欧盟法院在SchremsII案中也回避了一国情报机关出于公共安全、国防和国家安全等目的处理个人数据的合法性问题的探讨,而将重点放在对个人数据保护的限制应在绝对必要的情况下适用,且应当实施最低限度的保障措施。

第三,网络间谍行为具有秘密性,且相关技术发展引起的情报收集手段难以把握。欧盟法院在两次判决中既要推翻欧美充分性决定,使其不成为美国情报部门收集信息的渠道,又难以确立欧盟数据保护法律中的充分性保护的具体标准,使其论证过程存在循环定义、论证不清之嫌。

2.欧盟法院处理网络间谍问题引起诸多批判

欧盟法院在SchremsI案和SchremsII案中采取了基本权利保护的路径进行判决,但受到了诸多批判和质疑。

第一,有观点认为欧盟法院对于GDPR的条款进行了扩大解释,以至于将欧盟法律适用于其他主权国家,违背了国际法原则。针对此种观点,需要明确欧盟法院在判决中否定的并不是欧盟和美国之间的国际协议,而是欧盟委员会作出的充分性决定,该决定是欧盟法的一部分。更值得注意的是,欧盟委员会采取欧盟制定的标准审查其他国家的数据保护法,使得其他国家和企业面临遵守欧盟标准和放弃欧盟市场的抉择,欧盟法院通过《欧盟基本权利宪章》确定隐私保护和国家安全的边界,实际上正在逐步影响和塑造其他国家的数据保护体系。日本为获得欧盟的充分性决定对其国内数据保护法进行大幅修改,从而与欧盟数据保护体系保持相当程度的一致性即例证。这种“法律全球化”的逻辑值得警惕。

第二,在SchremsII案中,欧盟法院将美国情报法律作为争议对象之一来讨论,但其论证仍浮于表面。欧盟法院指出了美国情报机关可能基于第12333号行政命令访问传输到美国的数据,无须接受任何司法审查,这种可能的访问行为并没有清晰和明确的限制,FISA第702条和第12333号行政命令下的数据获取均不符合比例原则。但美国的情报架构涉及总检察长、国会委员会、联邦法院法官等官员和机构设置,也规定了数据最小化等要求,而欧盟法院对此缺乏具体的讨论,使其判决的客观性受到质疑。也有观点指出,欧盟法院在SchremsII案的判决中没有对欧洲人权法院的先例进行概述。此类技术性问题在SchremsI案中也存在,但FISA是在“水门事件”期间美国联邦政府广泛侵犯隐私的事件被曝光后制定的,其颁布本身就是为了规范政府对于电子监控的使用⑧。因此,如果欧盟法院对此详细论述,则很难得出FISA等美国情报法缺乏限制的结论。

第三,从结果上看,欧盟法院实际上对美国提出了高于欧盟成员国的标准,且实际上处理了属于欧盟成员国权限范围内的国家安全问题。因此,有观点认为,欧盟法院采用了“双重标准,即非欧盟国家受严格的欧盟数据保护规则的约束,而类似的成员国的措施则完全不受欧盟法律的约束”。实际上,这一定程度上是由欧盟的特点与欧洲一体化的历史进程所决定的。根据《欧洲联盟条约》(Treaty on European Union,TEU)第4.2条,国家安全是每个欧盟成员国的独有责任(sole responsibility)。在《数据保护指令》制定时,欧盟并没有预见到美国情报机构大规模获取数据的行为,依据该指令作出了《安全港决定》。由于美国不是唯一获得欧盟充分性决定的国家,即便GDPR针对《数据保护指令》的漏洞进行了一定的修改,欧盟也不可能完全否定以“决定”(decision)的形式保障和规制跨境数据流动的做法。而根据《欧盟运作条约》(Treaty on the Functioning of the European Union,TFEU)第288.4条,决定对欧盟所有成员国均具有约束力。且欧盟法院一贯认为,在没有明确提及成员国国内法的情况下,欧盟法律条款的有效性不能根据国内法来解释。这就导致在欧盟成员国未将国家安全事项授权给欧盟处理的情况下,欧盟法院实质上对美国情报机关可能侵犯各成员国国家安全的行为进行了审理。这种一定程度上的越权行为不仅造成了对欧盟“双重标准”的质疑,也引起了法国等欧盟国家对于其主权的担忧。

在SchremsI案和SchremsII案中,欧盟法院试图采取基本权利和自由保护的路径,解决实际上涉及成员国国家安全的网络间谍问题,使其面临着说理困境,也招致了诸多批判,揭示出以人权路径解决国家安全问题面临的挑战。

三、我国在跨境数据流动中规制网络间谍行为的问题

从我国的角度观之,欧盟与成员国之间复杂的法律架构引起的越权问题并不存在,且我国从法律传统和实际需要而言都无须采取人权路径,可以直接利用国家安全法律体系解决网络间谍问题。但是,SchremsI案和SchremsII案揭示出了以美国为代表的新型网络间谍行为的特殊性。不同于传统的网络间谍行为,例如由一国情报机关或人员潜入他国网络系统获取信息的行为,两次案件中的涉案欧盟数据是依据《安全港决定》和《隐私盾决定》“合法”地流动至美国企业,美国情报机关再依据美国情报法“合法”地要求美国企业提供这些数据。这种以相对合法的面貌实施的网络间谍行为对我国法律体系提出了新的挑战,使得欧盟和美国都对自身法律体系有所调整,以应对相关关切,这种博弈也推动着跨境数据流动和网络间谍行为规制的国际规则发展。

目前,我国对外缔结的多边条约中几乎未见对于网络间谍行为的规定,我国在双边条约中也尚未对此作出特别安排。从我国国内法的现状来看,《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国保守国家秘密法》《中华人民共和国反间谍法》《网络安全审查办法》《数据出境安全评估办法》等初步构建了跨境数据流动的规则,同时能够为规制网络间谍行为提供一定的基础。我国的跨境数据流动制度体系相较于欧盟充分性决定“一刀切”式的安排具有一定优势,但相关的法律还有待进一步细化,以有效应对他国的网络间谍行为。

(一)未能明确约束境外机构向境外企业调取数据的行为

《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》虽然都对外国司法或执法机构提供数据的请求作出了特别规定,将处理此类请求的权限明确交由我国主管机关,禁止境内组织和个人未经批准对外提供,但是此种规定只能约束主管机构批准前的流程。《数据出境安全评估办法》虽然将数据出境中和出境后的风险也纳入评估范围,同时要求行政部门评估境外接收方所在国家或者地区的数据安全和网络安全情况,以及境外接收方的数据保护水平是否符合我国法律要求,但此种规定类似于欧盟充分性决定制度发展初期的规定,而欧盟法院对SchremsI案和SchremsII案的判决作为判例法,针对外国情报机关向境外企业调取数据的行为进行了较为细致的讨论,能够为约束此类行为提供法律依据,使得欧盟法对于外国情报机构的约束走在前沿,但我国未能明确将境外机构向境外企业调取数据的行为纳入评估和监管的范围内。我国各地方、各行业的数据保护实施细则均依照上述上位法制定,但上述上位法未能针对欧美跨境数据流动国际合作中所体现的外国国家情报机关的新情况提供具体、明确的指引。

《数据出境安全评估办法》第14条规定,数据出境安全评估的结果有效期为2年,在境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化等情形之下,数据处理者应当重新申报评估。那么,当外国的数据安全保护政策法律和网络安全环境都未发生变化,而该国依然可以获取我国数据的情况下,数据处理者是否应当重新申报评估存疑。以美国为例,在美国情报法和网络安全环境未出现变化的情况下,美国情报机关依然能够向美国企业调取数据,但我国能否以该条要求数据处理者重新申报评估,存在一定的解释空间。

(二)追究法律责任的门槛较高

《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国反间谍法》等虽然为防范、制止和惩治网络侵入、网络窃密等行为提供了法律依据,但是对追究法律责任均规定了一定的前提。根据《中华人民共和国网络安全法》第75条,针对境外的机构、组织、个人从事网络侵入的行为,在造成严重后果的情形下,依法追究法律责任。《中华人民共和国数据安全法》第2条对法律责任也加入了后果要件,要求在损害中国国家安全、公共利益或者公民、组织合法权益的情况下,依法追究法律责任。《中华人民共和国反间谍法》第10条也将规制对象限定为“危害国家安全的间谍行为”。在数据出境后将境外情报机关仅从境外企业获取情报信息而未造成明显后果的情形解释为《中华人民共和国数据安全法》《中华人民共和国反间谍法》所规定的损害中国国家安全也面临着一定的说理困难,意味着将未造成实际损害的情形也认定为损害国家安全,可能面临着滥用国家安全条款的批判。

(三)追究境外实体法律责任面临执行和国家豁免的障碍

追究境外企业甚至境外情报机关的法律责任也存在执行和国家豁免方面的困难。虽然《中华人民共和国外国国家豁免法》第2条将外国主权国家的国家机关或者组成部分也纳入该法所称的外国国家的范围内,但第4条规定了外国国家通过国际条约、书面协议、递交书面文件等明示接受管辖的情形下,才不享有管辖豁免。而当前各国在国际条约中几乎未直接针对跨境数据流动中的情报和网络间谍行为作出约定,欧盟和美国在合作中也仅仅是通过欧盟委员会作出的单方面决定来规范情报收集行为,因此,外国情报机关在此种情况下有很大可能享有管辖豁免。

《中华人民共和国外国国家豁免法》第7条规定了外国国家在中国领域内进行的商业活动,或者在中国领域内产生直接影响的商业活动所引起的诉讼中,外国国家在中国法院不享有管辖豁免。该条将商业活动定义为非行使主权权力的关于货物或者服务的交易、投资、借贷以及其他商业性质的行为,并要求法院在认定是否属于商业活动时,考虑该行为的性质和目的。根据该条对于商业活动的定义,企业跨境传输数据的行为应当认定为商业活动,但该条的目的似乎又在于将商业活动与行使主权权力的政治活动等区分开来,如果为规制外国情报行为而扩大解释该条,可能面临一定的争议。

四、我国在跨境数据流动国际合作中有效规制网络间谍的建议

针对以美国“棱镜”计划为代表的新型网络间谍行为,我国可以充分利用国际法途径,并不断完善国内相关法律体系,在跨境数据流动国际合作中对此种行为加以规制。

(一)国际法上的建议

在国际法层面,我国可以考虑在国际条约中对于情报机关获取信息作出限制,在国际谈判中推广数据分类分级保护模式,尤其注重涉国家安全数据的保护,抢抓规则制定的话语权,并逐步推动国际法在规制网络间谍中的适用。

1.在国际条约中对情报机关获取信息做出限制

欧盟法院两次推翻欧美跨境数据流动合作机制,使得合作面临较大的法律不确定性,这在一定程度上源于欧盟与美国的合作最终是以欧盟内部决定的形式确定的。从实践上来看,欧盟所要求的独立于情报部门的隐私保护监察员,也很难在美国的法律框架下达成,这也侧面印证了对于此种大规模监控的行为,可能需要国际条约予以规制。我国在跨境数据流动领域展开对外合作的过程中,可尽量以条约而非单方面的法律文件固定谈判成果,同时对于情报和网络间谍行为作出一定的约定。在国际条约中规制情报和网络间谍行为,也有利于《中华人民共和国外国国家豁免法》的适用,实际追究境外情报机构的法律责任。

虽然欧盟与美国在跨境数据流动合作中历经两次失败,但由此带来的规则调整与衔接使得双方逐渐走向更紧密的联动,这种联动未来可能影响国际标准的制定。2020年,美国发布了《与标准合同条款相关的美国隐私保护措施和其他在SchremsII案之后欧盟—美国传输数据的欧盟法律依据白皮书》。该白皮书表示,美国政府经常与欧盟成员国共享情报信息,包括美国公司响应FISA第702条而披露的数据,以应对恐怖主义、武器扩散和敌对的外国网络活动等威胁,这些信息共享能够服务于欧盟的公共利益。在第三次合作的建立过程中,为促成DPF决定,美国针对欧盟个人数据保护建立了更为细致的救济规则,且欧盟与美国在救济机制方面开始实现联动。需要救济的个人可以自由选择欧盟或美国的救济机制,欧盟和美国还建立了一个DPF小组(EU-U.S.DPFPanel),该小组由至少10名仲裁员组成,仲裁员名单由美国商务部和欧盟委员会指定,该机制为个人提供了有约束力的仲裁的救济途径。欧盟与美国在跨境数据流动领域的合作深化,可能间接塑造该领域的国际合作和网络间谍规制的国际规则,因此,我国有必要在双边、区域、多边的各个平台上逐步推进合作,参与国际标准的制定,推行中国立场。

2.在国际谈判中推广数据分类分级保护模式以促进涉国家安全数据的保护

欧美跨境数据流动国际合作的失败,一定程度上在于欧盟将原本用于欧洲国家的充分性决定推广至其他与欧盟国家利益具有冲突的国家。我国推行的数据分类分级保护、网络安全审查和数据安全审查、数据出境安全评估模式,相较于欧盟充分性决定所体现出的“一刀切”式的数据出境许可模式具有一定的科学性和合理性,目前美国、欧盟、澳大利亚等国的立法中也逐渐体现出数据分类分级的雏形。我国可以在国际层面推广此种跨境数据流动模式,与其他国家协商,确定数据分类分级的国际标准,尤其注重涉国家安全数据的划分,抢抓规则制定的话语权,从而为通过国际法规制网络间谍行为打下基础。

欧盟虽未明确规定数据分类分级制度,但也已经存在了对数据的初步划分。欧盟在法律层面将数据区分为个人数据和非个人数据进行保护,GDPR又将个人数据进一步区分为一般个人数据和敏感个人数据。欧盟还通过第2015/444号决定《关于保护欧盟机密信息的安全规则》规定了保护欧盟机密信息的基本原则和最低安全标准,该决定根据未经授权披露可能对欧盟或一个或多个成员国的根本利益造成损害的严重程度,将欧盟机密信息分为绝密(topsecretary)、秘密(secret)、机密(confidential)、限制(restricted)四个级别。虽然在欧盟层面未见对于涉国家安全数据的特别规定,但欧盟对于数据的区分保护在一定程度上印证了数据分类分级保护是大势所趋。

美国前总统奥巴马于2009年发布的关于国家安全机密信息的第13526号行政命令规定了对美国国家安全信息进行分类、保护和解密的统一制度,同样根据未经授权的披露会对国家安全造成的损害程度,将国家安全信息分为绝密(topsecretary)、秘密(secret)、机密(confidential)三个级别。相较于欧盟法,美国法已经对于国家安全信息的相关事项进行了明确列举。2010年,美国政府发布关于国家安全机密信息的第13556号行政命令,要求行政部门或机构应当保护和传播控制“受控非机密信息”,将其分为20个类别、124个子类别。对于受控非机密信息(Controlled Unclassified Information),美国通过《出口管理条例》(Export Administration Regulations)、《国际武器贸易条例》(International TrafficInarms Regulations)等作出了部分信息未经政府批准不得向外国公民或实体披露的规定。

澳大利亚也试图通过数据分类管理等方式来规制跨境数据流动,对于安全、健康等类别的数据进行特别保护。澳大利亚《数据可用性和透明度法案》细化了不能共享的数据类型和排除共享的机构。世界层面主要对于财会税务类、个人类、电信类、新兴数字服务类、政府和公共类等数据进行特别限制,呈现了一个初级的数据分级分类保护模型。由此可见,未来在国际层面对重要的政治数据、经济数据、军事数据、敏感的个人信息等制定统一的分级分类清单,具有一定的可能性。

具体而言,我国可以尝试在WTO电子商务诸边谈判中推行数据分类分级保护的思路,并注重涉国家安全数据的划分。WTO于2023年10月底启动了最新一轮的电子商务诸边谈判,此轮谈判的议题包括网络安全、开放互联网接入等。此轮谈判于2023年12月20日结束,WTO成员通过电子商务联合声明倡议宣布已就若干全球电子商务规则取得实质性谈判成果,这也标志着WTO电子商务诸边谈判达成重要的里程碑。据悉,实质性谈判成果涵盖三大领域:电子商务便利化、开放的数字环境以及企业和消费者信任。WTO第13届部长级会议仍未能直接触及网络间谍问题,也尚未见到各国就数据分类分级问题进行专门讨论。在此前的电子商务诸边谈判中,各成员的立场和意见存在不同。欧盟尤其关注跨境数据流动中的人权问题。我国在电子商务诸边谈判中关注跨境数据流动所引发的国家安全问题。美国主张跨境数据自由流动,禁止数据本地化,禁止网络封锁。而在此次谈判中,美国贸易代表办公室放弃了美国长期以来的一些数字贸易要求,以便给美国国会留出监管大型科技公司的空间。由此,美国对于跨境数据流动的立场似乎从严格限制数据本地化、倡导跨境数据自由流动,转向对跨境数据流动加以限制,这与中国、欧盟、俄罗斯等WTO成员的立场更加趋近,也为各国协商如何限制跨境数据流动奠定了基础。

从中国、欧盟、美国等成员的立法来看,在国内法中对于涉及国家安全的机密信息进行特别保护,限制其出境已经是大势所趋。从各国在WTO电子商务诸边谈判的立场来看,国家安全也已经成为跨境数据流动国际合作中的重要议题,我国在WTO中提出对涉国家安全的特别保护,也符合世界各国的实际需要,具有可行性。我国可以尝试在WTO电子商务诸边谈判中以单独或联合提案的形式推广数据分类分级保护的思路,划定国家机密信息的范围。另外,联合国、亚太经济合作论坛和上海合作组织等也针对信息通信技术的发展等议题进行讨论,我国也可以考虑在此类平台与其他国家协商,逐步推广数据分类分级保护模式,并提出对于涉国家安全数据进行特别保护,参与相关清单的制定,从而在国际法层面规制网络间谍行为。

3.逐步推动国际法在网络间谍规制中的适用

已有的国际法能否以及如何适用于网络间谍存在一定争议,《塔林手册2.0:适用于网络行动的国际法》认为仅收集信息而未对他国产生实际影响的网络间谍行为很难被认定为侵犯他国领土主权。但在斯诺登事件之后,巴西总统迪尔玛·罗塞夫(DilmaRousseff)在联合国大会上谴责美国的网络间谍行为,指出网络间谍活动侵犯了国家主权,阻碍了有效的国际合作;在联合国安理会的讨论中,厄瓜多尔大使也指出“大规模间谍活动造成全球不信任”。阿根廷、玻利维亚、巴西、乌拉圭和委内瑞拉都曾表示美国的间谍行为侵犯受害国主权,印度尼西亚也提出美国的网络监视行为违反了国际法和《联合国宪章》。

关于国际法在网络间谍中的适用的讨论尚处于初级阶段,目前,各国不太可能联合制定一项多边网络条约规制网络间谍行为,通过国家实践发展有关网络间谍的习惯国际法也需要时间。国家可以在不干涉原则、禁止使用武力原则、外交和领事关系法、国际人权法、贸易协定等国际法框架下讨论网络间谍的合法性问题,但可以预见,推动国际法在网络间谍中的适用将经历较大的争议和漫长的过程。

在网络间谍行为的国际法规制问题上,我国也面临着一项现实的议题。美国提出了网络间谍的“两分法”,即网络间谍不违反国际法,但国际法应禁止网络经济间谍,其中的网络经济间谍行为直指中国“窃取技术和知识产权”的行为。这种“两分法”为其自身获取情报的行为留出空间,同时意图在知识产权和高新技术方面压制中国。我国在推动国际法规制网络间谍的适用过程中,可以回应美西方国家所指称的中国网络间谍行为并无证据,主张网络政治间谍与网络经济间谍并不存在实质区别,要求国际法平等适用于此两种情形。

(二)国内法上的应对措施

从目前的实践来看,国际法上针对网络间谍行为的规则形成尚需要一定的时间,现阶段我国可以运用并完善国内法的相关规则,规制网络间谍行为。

1.通过立法明确规制网络间谍行为的新情况

我国可以在征求意见中的《网络数据安全管理条例》中,或与《网络安全标准实践指南——网络数据分类分级指引》类似的指南文件或其他行政文件中,明确强调数据出境后境外机构调取境外企业数据的风险。我国《数据出境安全评估办法》第8条第7款将“国家网信部门认为需要评估的其他事项”也纳入数据出境安全评估的事项当中,因此,我国可以将数据出境后境外机构调取境外企业数据的风险也明确纳入数据出境安全评估的考量范畴。

同时,我国在完善网络法的过程中需要谨慎对待《塔林手册2.0:适用于网络行动的国际法》中的观点,《塔林手册》系列出版物是以美国为首的北约组织世界各国专家修改完善而成的,该手册虽然也有中国专家的参与,但部分条款主要反映了对美国等国家有利的观点。例如,在网络间谍的界定方面,《塔林手册2.0:适用于网络行动的国际法》将网络间谍界定为“利用网络能力,以秘密或欺诈的方式收集或试图收集信息的行为”。但其中“秘密”“欺诈”等概念的界定并不明确,则可能使得美国利用公司间商业传输获取数据的行为被合法化,从而使各国在跨境数据流动合作中面临着与欧盟相似的困境。我国在各级立法中也应当注重对于网络间谍的定义,使其尽量涵盖数据出境后境外机构调取境外企业数据的新情况。

2.在司法实践中合理解释国家安全

在欧盟与美国的跨境数据流动合作中,美国通过设置国家安全例外条款,为其情报和网络间谍行为留下了一定空间。网络间谍行为与国家安全息息相关,我国在司法实践中应当发挥《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国反间谍法》等法律中与国家安全相关的条款作为约束此类行为的“安全阀”的作用,合理解释国家安全的定义,保持国内法治和涉外法治中国家安全立场的一致性。

如前所述,《中华人民共和国数据安全法》在追究违法行为法律责任的条款中加入了“损害中国国家安全、公共利益或者公民、组织合法权益”的表述;《中华人民共和国反间谍法》将规制对象限定为“危害国家安全的间谍行为”,但我国法律对于“国家安全”缺乏具体的定义。综合考察《中华人民共和国国家安全法》《中华人民共和国刑法》等法律的规定,应当认为,他国的网络间谍行为危害我国国家安全。1993年的《中华人民共和国国家安全法》对于危害国家安全行为的界定,就是从反间谍领域出发的;《中华人民共和国刑法》规定的危害国家安全的行为也包括间谍行为。而网络间谍作为间谍行为的新型样态,在司法实践中应当被解释为危害国家安全的行为,从而受到相关法律的约束。

在国际法层面,对于国家安全的解释也存在一定的模糊性和自裁决性,为我国在国内法治和涉外法治中主张网络间谍行为危害国家安全提供了一定的空间。《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership,以下简称RCEP)在数字章节中设置了保护“基本安全利益”的例外,且规定一旦一方决定采取或维持的措施被认为是“保护其基本安全利益所必需的”,RCEP的其他缔约方不得就该措施提出异议,使得该条具有了一定的自裁决性质。同时,RCEP在第17章明确,协定中的此类一般例外条款是在GATT第20条、GATS第14条的基础上加以修订而纳入的。WTO层面也已有一些相关的案例,虽然这些案例只对具体的争端当事方具有拘束力,并不具有法律上的先例作用,但从学理角度仍可以适当参考WTO相关案例中争端解决机构的观点来理解和解释国家安全例外条款的规定。在乌克兰诉俄罗斯运输限制案中,WTO专家组没有明确阐释国家“基本安全利益”的具体内涵。但专家组认为,基本安全利益一般可以理解为与国家本质职能相关的利益。所涉及的具体利益将取决于有关国家的具体情况和看法,并且预计会随着情况的变化而变化。每个成员都应自行定义其认为的基本安全利益。国家安全例外条款中“其认为”的措辞意味着应由成员自己决定保护其基本安全利益的行动的“必要性”。

3.采取出口管制和反制裁措施惩治网络间谍行为

在法律层面,《中华人民共和国数据安全法》规定了数据出口管制和数据领域的反制措施。《中华人民共和国个人信息保护法》也作出了类似规定。在实践层面,2023年12月26日,针对美国的涉疆制裁,依据《中华人民共和国反外国制裁法》,我国对长期搜集涉疆敏感信息、为美国涉疆非法制裁提供“依据”的美国情报数据公司卡隆(Kharon)及卡隆公司调查主任许勐(EdmundXu)、前美高等国防研究中心研究员尼科尔·莫格雷特(NicoleMorgret)等2人采取反制措施,禁止被制裁人员入境中国,冻结上述公司和个人的财产,禁止与其交易和合作。可见,对外国情报公司的反制在我国已有先例,在追究境外实体和个人法律责任面临执行方面的障碍时,我国也可以通过反制和出口管制等措施,对于他国的网络间谍行为予以回击。