摘要:在个人信息跨境保护方面,国际硬法难以高效地进行调整,国际软法呈现出显要的理论价值与现实意义。个人信息跨境保护的国际软法已经形成以政府力量推进的监管型规则与非政府力量促成的市场型规则的公私格局,承担着规则补充与精神引领的特殊功能。然而,软法在适用方式与透明度方面存在不确定性,为充分发挥个人信息跨境保护国际软法的功能,国际社会应高度重视国际软法制定的程序正当性与多方协作性。我国应以人类命运共同体理念为指引,推动国际软法治理平台的多边化,以市场型规则促进国际软法与国际硬法的衔接共治,为全球数据治理贡献中国经验。
关键词:全球数据治理;国际软法;数据跨境传输;个人信息保护;非国家行为体
目 次
引言
一、个人信息跨境保护国际软法的生成流变
二、个人信息跨境保护国际软法的价值演进
三、个人信息跨境保护国际软法的现实掣肘
四、个人信息跨境保护国际软法之治的优化与中国路径
五、结语
引 言
数字经济全球化已成趋势,国际社会正在加紧形塑数字经济法律制度。数据这一新兴生产要素具有在全球产业链上流动以实现经济价值的客观需要,数据及其所承载信息的跨境流动成为数字经济发展的必然规律,个人信息尤甚。为防范个人信息跨境风险,各国基于不同的利益考量和规制范式形成了国内法监管优先的基本格局。然而,个人信息跨境涉及国内法与国际法两个维度,影响国家与国际社会两级治理,国际社会仍旧存在对相关活动进行调整的需求。
国际社会属于无超国家主权的“平权结构”,各国基于国家同意而非强制力制定国际法并承担国际义务,软法在国际法领域的兴起成为必然。关于软法的定义尚无定论,但最常被援引的是“软法是原则上没有法律约束力却可能产生实际影响的行为规范”。置之于国际社会,不具有国际法约束力却可能被遵守的国际承诺或义务便是国际软法。当前,国际软法的主要表现形式是国际机构、多边国际会议发布的标准、原则、决议、宣言、声明、守则、指南、框架、建议、示范法等。
我国对软法的学术研究始于2005年北京大学软法研究中心成立后,其关于国家公共治理的讨论居多,但在国际法具体领域的探讨略显不足,在全球数据治理领域的讨论较为鲜见。实际上,个人信息跨境保护领域相关国际软法已应运而生,其理论价值虽得以在具体场景中延用,但也面临着一定挑战。一旦适用不当,不仅会影响国际软法的自身功能,甚至会制约或误导国际硬法。全球数据治理处于建章立制之际,如何充分发挥国际软法的应然功能,推动达成个人信息跨境保护的共识,是我国作为全球数据治理体系的参与者与推动者所急需关注的重大命题。
一、个人信息跨境保护国际软法的生成流变
(一)个人信息跨境保护国际硬法面临的挑战
1.数据治理面临技术挑战
数字技术的先进性对传统的国际硬法规制方式造成挑战。数字技术快速革新,数字经济全球化进程加速,以国际硬法为先的传统国际造法模式在全球数据治理中凸显出滞后性与不均衡性。早在20世纪90年代,世界贸易组织(World Trade Organization, WTO)就在《服务贸易总协定》(以下称“GATS”)第14条规定了个人信息跨境保护,该条指出,为“保护与个人信息处理和传播有关的个人隐私及保护个人记录和账户的机密性”而实施的监管措施,即使“在情形类似的国家之间构成任意或不合理歧视”或“构成对服务贸易的变相限制”,也是可以豁免的。在促进贸易自由化和经济发展的宗旨之下,GATS第14条对个人信息保护的规定仅作为保障自由贸易的例外,适用空间小。而且,在订立GATS时,个人信息处理与传播的技术手段与当今相差甚远,较易采取相关监管措施。个人信息在数字时代具备的数字化、隐匿化等新型特征使得对应监管措施逐渐滞后。数字技术标准具有相对客观性,而国际造法主体具有相对主观性,个人信息跨境保护相关标准的制定必然是个实时动态的演进过程。当然,WTO也在尝试跟随技术革新的速度开展数字贸易新议题,其于2017年底促成了《关于电子商务的联合声明》(Joint Statement Initiative on Electronic Commerce, JSI),但多边贸易体制下的谈判进展缓慢。直到2023年12月20日,电子签名和认证、在线消费者保护等13个议题才形成基本共识,而数据流动、计算设施本地化、源代码以及水平性议题仍需要进一步讨论。各国数字技术发展情况有别、国家立场冲突不易缓和是导致谈判缓慢的主要原因,影响相应硬法的形成。硬法具有高主权消耗、高缔约成本和高履约难度的“三高”特点,而这些特点在个人信息跨境保护的技术规则方面更为突出,如何合理界定数字传输技术的监管标准并达成多边国际硬法规范是国际社会立法所必须处理的前提性技术难题。
2.数据主权冲突难以调和
数据主权冲突加剧了个人信息跨境保护方面的国际硬法规范的形塑难度。各国间的数据主权之争加剧了个人信息保护国际法治冲突,阻碍了个人信息跨境保护统一国际法律规范的达成。网络空间是数据活动的底层支持,网络主权已被广泛认可和接受,各国有权根据本国国情,参考国际通行做法,制定相关政策与法律以管理互联网。随之推演,数据主权是各国数据公共政策的权力来源。当尚未形成公平公正合理的国际数字秩序时,数据主权的对内最高权与对外独立权成为国家内部与国家之间开展数字经济活动的基础。在数字经济全球化的趋势下,个人信息跨境流动及存储已经是发展数字经济所难以避免的客观事实。然而,多数国家要扩张数据主权,一方面强化本国个人信息的跨境安全;另一方面又需要他域个人信息的增量流入。因对数据主权概念的价值选择不同,各国监管个人信息跨境的方式也不同。当一国国内法域外效力被不断延展,必然会触及其他国家或地区的传统域内管辖,导致管辖权冲突。数据本地化措施本是国家限制本国数据出境的域内管辖措施,但也会阻碍外国调取该国域内数据,反之亦然。欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)与美国《澄清域外合法使用数据法》就构成了此种冲突。以限制个人信息出境为代表的数据本地化措施已经被指会导致“网络巴尔干化”。事实上,国际经贸关系愈发紧密,国家主权受限制的程度就会越大。数字经济全球化背景下,数据主权受到的限制或将更多,主权冲突若无法缓和并达致相对平衡,国际硬法规范共识便更难实现。继而,个人信息跨境受到的限制就越多,跨境难度越大,由此或将陷入阻碍数字经济发展的恶性循环。
3.数据规则的碎片化加剧
在难以达成多边共识的背景下,数据规则已经在区域与双边层面呈现出碎片化加剧的特征。区域合作是各国对个人信息进行跨境保护的重点维度,部分国家推动区域性公约的达成,也在区域自由贸易协定中纳入了相关内容,而此类区域性规范的“阵营化扩张”也使得多边规范更难以形成。欧盟推动形成的《欧洲委员会关于个人数据自动化处理的个人保护公约》(Convention for the Protection of Individuals with regard to the Processing of Personal Data,以下称“Convention 108”)旨在加强自动处理个人数据时的个人权利保护,鼓励个人信息的跨境流动,明确保护个人数据不能成为禁止数据流动的理由。这一规定要求各缔约国确保个人数据在数据接收国受到充分保护,成为“欧式范本”。美国推动形成的《全面与进步跨太平洋伙伴关系协定》(Comprehensive and Progressive Agreement for Trans-Pacific Partnership, CPTPP)要求每一缔约方在保护电子商务用户免受其管辖范围内发生的个人信息侵害方面应努力采取非歧视做法,对个人信息跨境保护提出了非歧视要求,成为“美式范本”。美欧两大范本在国际层面上均具有较强的规则影响力,这一问题在双边层面表现得更为尖锐。如日本是美欧双边合作的第一选择,全球首个数字贸易协定《美日数字贸易协定》(United States-Japan Digital Trade Agreement, UJDTA)仅要求缔约双方保护个人信息,对个人信息跨境传输的限制必须是“必要的”且与所面临的风险具有“相称性”;欧盟GDPR生效后,日本第一个获得欧盟委员会的充分性认定,这意味着日本的个人数据传输活动还要符合欧盟的监管要求。为同时达成与欧美的双边合作,日本必然面临着分别对两大范本作出针对性调整的困扰,直接原因便是美欧个人信息保护标准的“逐底”与“逐顶”之争。这种因个人信息跨境国内法监管标准不同造成的碎片化也被称为“孤岛型碎片”。在大国数据规则竞争的博弈格局下,“孤岛型碎片”的对立使得弥合分歧的空间继续被压缩。
(二)个人信息跨境保护国际软法的表现形式
1.政府力量推进的监管型规则
为弥补国际法规制个人信息跨境风险的不足,国际组织以及多边政府机构开始发布相应软法规则,以期促成政府间合作。此类规则主要表现为政府主导的自上而下式的监管型规则,侧重明确个人信息保护的基本原则,限制政府监管措施,试图确保个人信息跨越国境前后所受保护的一致性。
首先,通过国际组织发布的个人信息跨境保护之国际软法以经济合作与发展组织(Organization for Economic Cooperation and Development, OECD)《隐私保护和个人数据跨境流动指南》(OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data,以下称《指南》)和亚太经济合作组织(Asia-Pacific Economic Cooperation, APEC)《隐私框架》(APEC Privacy Framework,以下称《框架》)为代表,且该两项规则具有较高重叠度。《指南》与《框架》在文本结构上极为相似,对个人信息的定义亦是相同,即任何与已识别或可识别个人相关的信息。关于个人信息保护的基本原则,《指南》共列举八项,包括收集限制原则、数据质量原则、目的说明原则、使用限制原则、安全保障原则、开放原则、个人参与原则、责任原则。《框架》则规定了损害预防原则、告知原则、收集限制原则、个人信息使用原则、选择性原则、个人信息完整性原则、安全保障原则、访问及更正原则、责任原则九项。该两文件的基本原则均涵盖了个人信息的收集、处理以及使用等内容,这也是《框架》以《指南》为蓝本制定的直接结果。
针对个人信息的跨境保护,《指南》鼓励个人信息在成员间的自由流动,但也对成员的监管措施设置了限制。个人信息自由流动的前提是要保证数据流入国遵守《指南》的原则或经足够保障措施以符合《指南》的保护水平。一旦符合该前提,数据流出国的个人信息就可以自由出境,且该国针对敏感个人信息与特定目的进行的限制须与风险相称。APEC于2011年建立了跨境隐私规则体系(Cross-Border Privacy Rules,CBPRs),确立了区域性的个人信息跨境保护规则。CBPRs同样是基于《框架》建立的软法规范,不创设国际义务,也不影响成员承担现有国际和国内义务,仅适用于APEC成员境内的个人信息处理机构(公司)在APEC区域内的个人信息跨境活动,属于自愿问责体系,其自评估标准以《框架》九项原则为准。综上,无论是《指南》还是《框架》及 CBPRs,关注的重点都是国际组织成员如何制定监管规则以在个人信息受到特定程度保护的基础上实现其自由跨境。
其次,通过多边政府机构发布的个人信息跨境保护之国际软法以G20与G7为代表,表现为可信数据自由流动原则,但目前尚未形成具体的制度体系。2019年G20《大阪数字经济宣言》首次提出“可信数据自由流动”概念。2022年,G7峰会通过了《G7促进可信数据自由流动行动计划》,其附件 A 鼓励达成政府间访问个人信息的合作,以促进可信数据自由流动。同年11月,G20数字经济工作组会议(G20 Digital Economy Working Group,DEWG)明确将可信数据自由流动与数据跨境流动列为核心议题之一,强调保护个人信息的重要性,同时以“公共政策目标”限制各成员的监管措施。
2.非政府力量促成的市场型规则
为消除全球数据市场的技术标准障碍,以非政府组织为代表的非政府力量也推动了相关国际软法的形成。此类规则主要表现为非政府主导的自下而上式的市场型规则,目的是以技术标准推动实现个人信息跨境保护标准的一致性,保障个人信息自由跨境的市场互信,是对政府监管型规则的补充,有助于形成全球统一数据市场。
首先,非政府组织主导制定的互联网规则为个人信息跨境提供了底层技术标准。互联网名称与数字地址分配机构(Internet Corporation for Assigned Names and Numbers,ICANN)针对域名的创建与分配设置规则,规范全球 IP 地址与 DNS,决定了跨境个人信息的存储位置。互联网工程任务组(Internet EngineeringTask Force,IETF)自行业联盟衍生以来,以标准及议定书的方式促成互联网相关技术规范,如全球 TCP/IP 网络协议,影响着个人信息跨境传输中的网络接入问题。此外,国际电工委员会(International Electrotechnical Commission,IEC)、国际标准化组织(International Organization for Standardization,ISO)等凭借其行业专业优势,专门针对个人信息保护制定国际软法,为公司、行业和政府提供参考。如ISO联合政府间国际组织国际电信联盟(International Telecommunication Union,ITU)制定的 ISO/IEC29151|ITU-TX.1058确立了数据保护控制的目标,对控制措施及其实施提供了指导。其中,该文件还提出了个人信息的“收集限制”“数据最小化”以及“开放及透明”等原则,以进一步推动形成个人信息保护的监管型规则。
其次,非政府组织还联合具有实践经验的企业一同制定国际软法,加速推动个人信息跨境保护应用层标准的落地。比如,ITU与中国联通、之江实验室共同制定了《隐私保护机器学习技术框架》。非政府组织联合企业共同研究制定技术类规则的过程会间接影响该组织制定国际软法的逻辑,使相关规范具有市场导向,更易于在数据市场活动中被接受。而且,在个人信息跨境领域,数据流动本就具有国际属性,非政府组织与企业共同促成的技术性软法能自然地延展出其国际影响力。
二、个人信息跨境保护国际软法的价值演进
(一)国际软法的基本价值
1.国际软法的理论价值
在学理上,国际软法因丰富的理论基础而被广泛讨论,体现出其在国际社会中独特的秩序价值。比如,“纽黑文学派”的“权威决策说”充分考虑法律“参与者”的多样性,视法律为权威政策抉择的全部过程,包含权威性决策(有法之名,可以不行法之实)和控制性决策(无法之名而行法之实)。该理论视国际软法为控制性决策而发挥有效的秩序价值,肯定了国际组织与非政府组织等非国家行为体参与国际事务的重要作用。随着国际经济关系依赖程度逐渐加深,全球法律多元主义认为国际社会中有效法律体系应不只一种,全球治理也需要主权国家之外的治理主体,弥补国家治理的不足。在多层级的全球治理规范体系中,非国家行为体促成的国际软法体现出多元规制和分担公共权威的功能,为国际法律秩序注入了新动能。再如,建构主义另辟蹊径,从观念建构权力与利益的角度出发,指出规范是观念的体现,是形成国际共识的载体以及延续该共识的支撑。因此,作为观念的国际软法只要代表着国际社会的一致期待,就可以通过“自我规制”与“社会化”来保证其有效性。这在缺乏统一国际法律规范与执行机制的领域表现得更为明显,国家将国际软法作为规则范本,主动受其规制,进行或主动、或被动的“社会化”,以促成国际社会规范的一致性。当遵守国际软法的国家具有普遍性时,其所发挥的秩序价值就会与国际硬法相差无几,发生实质法律化。
2.国际软法的实践价值
设定国际软法的效力为A,国际硬法的效力为B,国际软法的实践价值表现为三个层级:第一层级,AB。国际软法可以填补国际硬法的空白并促成后者在更广泛的领域得以生成,甚至发生“软法硬化”的效果。比如在全球公共卫生治理等法律规则滞后、已有规则不成熟的新兴领域,国际硬法的适用空间较为狭窄,而国际软法以无须国家严格授权和同意的灵活优势能发挥出超越国际硬法的效率价值。示范法、建议等国际软法还能引领并促成国际硬法的达成,拓宽国际硬法的适用领域,如《世界人权宣言》便引领了国际人权法的发展。目前,在个人信息跨境保护方面,国际软法超越国际硬法效力的特征明显,位处效力的第三层级,不仅补足了国际硬法,还引领了国际数字法治的精神。
(二)个人信息跨境保护国际软法的特殊功能
1.规则补充功能
数字技术不断迭代,全球数据治理持续变革。在这样的强不确定性领域,国家不会贸然作出国际法层面的承诺,因此短期内难以形成多边性国际硬法。针对个人信息的跨境保护,已有国际硬法限于双边及区域贸易协定,而具有统一共识的国际硬法规范缺乏,现阶段的国际软法扮演着补足这部分国际硬法的功能。
一是国际软法的机制性优势使其能快速创制规范,补充个人信息跨境保护国际硬法规范的不足。与国际硬法由国家间直接谈判形成不同,国际软法多依托组织化平台的推动。其中,国际组织是现代国际法体系中国家进行高度多边合作的一种有效法律形态,国际软法可以借助国际组织维持外部秩序的过程发挥普遍性效用。无论是1990年联合国发布的《自动化资料档案中个人资料处理准则》,还是OECD《指南》与APEC《框架》,均依托于国际组织的力量强化对个人信息的国际性保护。这些国际组织创制的国际软法首先必然以其成员接受为第一目标,即使不强制成员接受,也会鼓励自愿采纳,以此提高国际软法的可接受度。在内部秩序之外,相关国际组织还会积极开展外部合作扩大国际软法的影响力。比如,ISO与ITU共同发布网络安全及个人信息保护的技术标准,恰恰体现了国际组织在外部合作中能够通过国际软法弥补国际硬法的缺位。
二是国际软法的专业性优势使个人信息跨境保护规范的理性得到强化,发挥实质约束作用。无论何种组织化平台,若想促成国际软法,离不开专家的专业知识,这是参与和促进全球治理的基本通行证。在个人信息跨境保护领域,相关专业技术要求较高,技术标准的软法规则制定者通常为信息技术专家或法律专家,他们通过ICANN、IETF、IEC、ITU等非政府组织起草并促成国际软法。这些技术性国际软法规范本身能较高程度地反映出个人信息跨境的客观要求,具备科学性、合理性与示范性,容易被各国经济实体所援用,从而间接或者直接影响国家的行为。目前,非国家行为体参与全球事务并促成国际规范的现象已经不容忽视。在国际法律规范体系的形式和内容发生变化的背景下,国际软法的地位不再局限于《国际法院规约》。至少个人信息跨境保护国际软法不仅有效回应了硬法缺失的规范需求,还以其独立价值帮助延展了全球数字法律秩序的空间。
2.精神引领作用
个人信息跨境保护国际软法对国际数字法治具有精神引领作用,这尤其体现在其先驱性与包容性的优势上。一是国际软法生成快速的特点使其在个人信息跨境治理中具有规范塑造的前瞻性与先驱性。国际软法规范的起草修正便捷,尤其是不需要经历如条约、习惯国际法等国际硬法的漫长过程。比如,OECD在2010年启动对《指南》(1980 年版)的首次审查工作,在2013年7月11日便通过了修订后的《指南》(2013 年版),率先形成可供国际社会参考的规范文本。然而,国际硬法的多边谈判在时间长度与谈判难度方面面临的挑战均远超国际软法,如WTO谈判除前五轮时间在2年内外,后续每一回合谈判时间均超过3年,甚至无法达成协议。因此,OECD《指南》可谓发挥了“元规范”的作用,从西方国家创制规则并自受约束开始,影响力已经逐渐辐射至世界其他区域,对帮助国际社会形成保护跨境个人信息的理念有重要的奠基作用。为在组织成员内更快地达成区域性机制,APEC《框架》本质上是以OECD《指南》为“示范法”制定了个人信息传输的限制与保护标准,这不仅使 APEC《框架》更易获得参与方的支持,也使得其与OECD《指南》之间建立起联系桥梁,一定程度上形成调整个人信息跨境保护的国际软法规范共识。可以看出,以国际组织为主的观念性实体机构对推广和贯彻国际法治精神及内容具有重要作用。
二是国际软法的包容性支持国际社会主体的多元参与以及规范的灵活适用,扩展个人信息跨境保护国际软法发挥引领作用的范围。联合国信息社会世界高峰会议提倡多元利益共同体主义,强调政府、私人部门等均有参与塑造互联网的权利。非国家行为体积极推动的个人信息跨境保护规范不同于国际法,也区别于国家法,具有 “全球法”的特点。如OECD《指南》虽不以国际条约、习惯国际法为表现形式,但在实践中却得到了部分国家的立法落实,这就是国际软法引领国际社会贯彻个人信息跨境保护理念的成果。而且,个人信息跨境保护国际软法具有相对无约束力的灵活性和低主权消耗,主权国家具有自主选择权,能将国际硬法下限制国家主权的局面扭转至国家主动的自我限制。国家可以自行决定是否以及如何将国际软法运用到保护跨境个人信息领域内,还能在实践中灵活调整。一国遵守国际软法既便利了国内法治,经广泛遵循又推动了国际法治,从而得以在统合国家本位与全球本位的基础上塑造个人信息跨境保护的国际数字法治精神。
三、个人信息跨境保护国际软法的现实掣肘
(一)个人信息跨境保护国际软法的不确定性
1.碎片化适用
由于国际软法本身的特点,个人信息跨境保护的国际软法呈现出典型的碎片化适用特征,具有较高的不确定性。一方面,国际软法具有非强制性,其本身不是国际社会各成员均有义务接受的国际规范,只具有温和的建议性质。无论是OECD《指南》,还是APEC《框架》,均旨在勾勒个人信息保护基本原则,这些原则具有倡议性,不必然产生国家间的权利义务关系,国家有较大的选择空间。正是由于个人信息跨境保护国际软法的软约束属性,国家的适用方式呈现不确定且多样化的状态。大多数国家依靠道义责任和国家信誉对相关国际软法予以“软适用”,比如在国内立法实践中有选择性地纳入个人信息跨境传输的原则;部分个人信息跨境保护的国际软法规范能直接在国家间谈判中得到“硬适用”,如数字贸易协定与自由贸易协定电子商务章节均要求以国际机构的软法标准为参考,制定国内个人信息保护标准;也有国家对此不予适用,既不在国际层面作出承诺也未在国内立法实践中参考适用。
另一方面,国际软法在适用时还可能出现碎片化解释的情况。国际软法的制定主体和规则多样,关于同一议题容易出现多个国际软法制定主体与对应规范,甚至多个目标对象。如APEC《框架》及CBPRs的适用范围仅限相关经济体,OECD《指南》亦然,但前者甚至不约束国家,而是通过约束企业进而影响成员经济体。为使尽可能多的国家能够接受,国际软法多以原则性规定为主,具有语义上的“建设性模糊”,可能使国际社会较难形成统一的规范解释。由于国际软法的采用停留在国家层面,即使是同一原则也会因不同国家的文化、历史等因素而在解释上具有分歧。要求各国依循一致解释原则解释某一条约文本的现象,在国际软法语境下很难实现,因为没有强制约束力要求各国有义务这样做。当前的个人信息跨境保护国际软法显然不能依靠法律解释达成统一共识。如日本、韩国等国的个人信息保护法已经明确将APEC的CBPRs纳入其中,但这只在法律文本层面实现了一致性,因其本身加入了该体系。法律解释必然还是基于其本国文化、法律概念进行,并不遵循国际条约的解释规则,也没有相关国际判例可以援引。因此,个人信息跨境保护之国际软法的碎片化适用可能加剧已有国际法体系的碎片化,不利于在国际社会统合力量应对新型数字风险。
2.透明度较低
个人信息跨境保护是全球治理的新兴领域,国际软法的制定具有“先到先得”的特征。广泛参与并调整国际事务的非国家行为体是国际软法的主要生成主体,但这些国际组织与非政府组织如果规范制定的透明度要求不高,会增加国际软法规范的不确定性。非国家行为体依靠其独特优势可能促成国际软法在国际社会受到普遍承认,但也可能因失误而引导国际社会对某一领域作出不当应对。国际治理与国家治理一样,但凡涉及法律创设的权利问题,至少应当保证信息公开和决策透明,也即国际法治的核心要素之一就是透明度。然而,目前的国际软法创制主体鲜有对外公开其制定软法规范的原则、程序、参与方数量等信息。由于国际软法本身不具有强制约束力,容易产生需不需要符合透明度要求的问题。其实,目前的全球治理实践已经将国际软法的法律约束力与实际影响作出区分,即实际效力通过规范意义上的 “吸引力”来实现,甚至对国家政策的制定有参考与移植的意义,因此对其有监督的必要。部分国际软法的决策程序和制定过程缺乏透明度,便易受到组织成员方强权主导。如OECD《指南》体现“美式”主张,当此类软法规范实际影响足够大的时候,其国家的立场就被输出到国际社会,其他国家的利益或被忽视。目前OECD还将《指南》自称为个人信息保护的“全球最低标准”,对于不甚了解“全球最低标准”是否真的“最低”的非成员方企业来说,或将因权威震慑而主动依照《指南》的要求“用脚投票”,以符合OECD成员方的要求,同时促成该标准适用范围的扩大。诸类规则的制定若没有充分体现国际社会的真实意愿,尤其是发展中国家和不发达国家的意见,过高的门槛只会限制这些国家公平参与和发展数字经济的机会。为防范这样的情况,强调国际软法制定的透明性与公正性就有重要意义。而且,国际组织与非政府组织本身也是个人信息处理者,OECD、APEC、ITU等难免需要对各国的个人信息保护情况进行评估,相关数据的跨境访问同样需要至少受到程序上的监督甚至是问责。
(二)个人信息跨境保护中国家角力的矛盾突出
1.西方强权大国的制度性博弈
国际软法具有影响力,但强权大国是否接受国际软法仍旧决定着此类规范的国际效果。在发达国家开展强权政治博弈、强化单方规则主导权的过程中,国际软法的效力空间受到制约。美国拥有Google、Amazon等数字巨头企业,需要数据市场全球化带来的红利;而欧盟注重保护个人数据权利,旨在打造单一数字市场。由此美欧之间关于个人信息跨境合作的冲突就体现在保护理念与产业竞争上。2000年,美欧曾达成《安全港协议》,这是两方首次以软法性安排促成个人信息跨境合作。该软法框架内包含安全原则、欧盟委员会的决定等文件,美国企业可以自愿加入,能够将欧盟的个人数据传输至美国。然而,因Schrems I案揭露出美国对欧盟个人数据实施监控,欧盟法院在2015年推翻《安全港协议》,美欧继而达成《隐私盾协议》,该协议仍为软法安排,但美国作出让步,美国企业依此协议受到更严格的约束。因美国没有完成《隐私盾协议》的要求,欧盟法院审理的Schrems II案确认该协议也失效。2023年7月,最新软法安排《欧盟—美国数据隐私框架》(EU-U.S. Data Privacy Framework)达成,美国为获得欧盟数据市场作出了更严格的承诺,以提供新的具有约束力的保障措施来解决欧洲法院的担忧。
虽然欧盟个人数据监管严格产生的“布鲁塞尔效应”使得美国持续让步,但美国没有停止制度竞争的步伐。美国推动缔结CPTPP、《美墨加协定》(United States-Mexico-Canada Agreement,USMCA)等区域自由贸易协定,在电子商务章节推行其数据自由流动的主张,尤其是USMCA已经成为美国主导的“小多边”个人信息跨境自由区的标志。然而,个人信息跨境不可能一直停留在区域范围内,美国、加拿大、墨西哥三方成员面临着USMCA与GDPR双向适用的矛盾,如何同时符合两种规制范式,是选择欧式高标准还是保持美式低要求都对未来国际软法如何发挥效力产生直接影响。美欧两股力量展现出了以技术实力和市场规则为主的深刻博弈,对个人信息保护国际软法的生成造成了挑战,想要统合力量形成适宜软法机制保护跨境个人信息更为不易。一方面,强权政治斗争下的大国规则已经对其他国家造成困扰;另一方面,大国会以实力影响国际软法的创制,使得国际软法的独立空间越发减缩。如APEC、欧盟、东南亚国家联盟等都是七国集团成员参与制定区域标准的关键性区域实体,欧美两大阵营的对立会强化国际软法规范的内部矛盾,弱化规范的效力。
2.数字殖民主义的规范性扩张
数字殖民主义指发达国家对发展中国家进行的数字掠夺及控制,目前已经从技术层面发展到规范层面。当前发达国家持续巩固其在个人信息跨境保护国际软法上的主导地位,以限制新兴国家的规范话语权。
第一,发达国家善用国际机构的平台力量。美国通过OECD得以在全球推行符合其利益的标准,如《指南》个人信息保护的八项基本原则本身就是对美国“公平信息实践原则”(fair information practice principles)的继承与发展。OECD在2022年底还专门为七国集团国家撰写跨境数据流动的报告,为七国讨论提供信息。此外,美国还借助APEC深化其个人信息跨境保护要求,在国际场合不断推行APEC《框架》与CBPRs体系,以实现“美式范本”在亚洲的统一。通过 CBPRs 认证的组织一共有72个,其中来自美国的就有54个,本质上是美国利用CBPRs来保护国内数字产业。如 IETF 等以技术治理为代表的非政府组织受西方大国的利益影响,对第三世界国家的利益鲜有关注。以ICANN为例,其曾由美国政府颁发许可,至今仍受美国最终控制。
第二,发达国家通过签订双边和区域条约强化其推行的国际软法规范效力。在数字经济协定、数字贸易协定与自由贸易协定的电子商务专章中,国际机构的个人信息保护原则、指南、标准等已经成为缔约方制定其个人信息保护法律框架时应当考虑的内容。如CPTPP第14.8.2条与USMCA第19.8.2条等。特别是USMCA第19.8.2条直接以列举方式明确了国际机构原则就是指APEC《框架》与OECD《指南》。然而,这两项国际软法规范都是美国主导促成的,所以美国极力促成该两项国际软法规范转化成国际硬法。《数字经济伙伴关系协定》(Digital Economy Partnership Agreement,DEPA)第4.2.2条、《英国—新加坡数字经济协定》(UK-Singapore Digital Economy Agreement,UKSDEA)、数字贸易与数字经济附件A第8.61-E条等也要求成员制定个人信息保护法律时参考国际机构原则。此外,《欧日经济伙伴关系协定》(EU-Japan Economic Partnership Agreement, EU-Japan EPA)第8.55条规定,双方应通过ITU、ISO等国际机构推行并推广电子商务所需要的技术标准,以实现全球兼容。不过,因美日双方均为CBPRs参与方,UJDTA没有类似规定。以双边和区域合作强化国际机构软法规范的方式为发达国家维持数据霸权提供了机会。当诸类条约普遍一致要求个人信息保护参照国际机构标准后,相关国际软法规范就构成了国际法渊源。发展中国家的数字资源与技术落后于发达国家,而后者已开始借助国际软法的区域效应来固化规则主导权,或将发展中国家排除在全球规范制定者的行列外。
四、个人信息跨境保护国际软法之治的优化与中国路径
(一)个人信息跨境保护国际软法之治的优化
1.提升国际软法制定的程序正当性
国家是国际社会的主要参与者,无论是国际组织还是多边政府会议,其职能均因国家授权而得以行使。结构性权力不对称使得实力强大的发达国家成为国际软法的生产者与输出者,它们利用跨国法律规范将符合其利益的政策正当化,而非正当化与其利益相悖的政策。全球数据治理刚刚起步,个人信息跨境保护存在规范需求,相关国际软法具有典型的跨国性质,有助于促成具有约束力的法律。然而,国际软法的透明度不高,易受到外部制约。在全球治理中,非政府组织以国际软法塑造国际法的能力越来越强,但缺乏国际法律规范对其行为活动作出约束性规定,容易被少数国家主导利用。如美国主导的ICANN推行的个人信息跨境保护的市场型规则已经饱受诟病:受利益集团影响,所涉业务已经脱离技术层面;管理机制权责不对等,没有关于其对公众、国家、联合国等负责的安排;运行过程中发展中国家的利益没有得到体现,仍以北美力量为主等。
非政府组织在享有形塑国际法规则的权利时,必然要承担一定的责任,受到广泛的监督,以免权利滥用。目前,国际社会对非政府组织的国际规制还停留在国际软法层面,如《联合国权利捍卫者宣言》《国际非政府组织问责宪章》等,而且这些规范均产生于数字经济催生新兴法律问题之前。在全球数字化进程中,非政府组织的力量较数十年前有了明显提升,其可以通过社交网络获得不容小觑的舆论支持。此外,国际组织内部的约束机制也较为匮乏,虽然其具有相对成熟的章程与议事规则,但在生成国际软法规范时仍然容易沦为强权工具。因此,为强化国际软法规范的过程监管,实现更广泛的公平性,需要适当施以程序限制,保障规范的正当性。非国家行为体在生成个人信息跨境保护国际软法时需要符合正当程序原则,设定合法程序、公开议事过程、形成自治决策、确保结果合理。理想状态下,这样的做法可以防止少数国家利用组织化平台滥用国家权力,减少处于弱势地位的国家接受强国规则的被动性,避免阻碍国际法治进程。
2..加强国际软法制定的多方协作性
数字经济全球化态势下,个人信息跨境频繁。针对个人信息跨境保护的国际软法规范,以政府力量主导的监管型规则和以非政府力量促成的市场型规则存在分离态势、各自为政等问题,不利于形成统一协调的治理体系。参与主体的广泛性有助于提升国际软法的吸引力与认可度,要想通过国际软法对跨境个人信息实现系统保护,就需要强化公私合作,关注多元主体需求,实现协同治理。特别是诸多监管型规则主要依靠国际组织推进,其具有机构理性合法权威、国家授予性权威、捍卫国际社会共同价值的道义性权威以及学业专长的专家权威,能大大强化国家的主体性,使国家利益得到超国家组织的支持。因此,主权国家在参与全球数据治理时,需要防止国家一己私利的过分扩张,避免公地悲剧,其中一个可行方案就是提升国际软法制定的多方协作性,与非政府主体形成互律机制。
一方面,以非政府力量促成的市场型规则能够及时对市场需求与技术革新作出反应,为各国发展经济提供自治规范支持;另一方面,以政府力量主导的监管型规则符合各国自主监管权的具体内涵,为防范个人信息跨境风险提供威慑。如此一来,公私协同的个人信息跨境保护模式就能够保证一国在科学技术规范的基础上发展数字经济,但不危害个人信息合法权益。具体路径上,国际软法制定的多方协作性体现在政府、市场与社会三个层面。在政府层面,确保监管型规则的主导性能为个人信息跨境保护把握规范制定的方向;在市场层面,跨国数字企业掌握着最新的个人信息跨境技术,需要积极加强内部个人信息跨境合规管理,鼓励其主动承担社会责任,促成相应国际软法;在社会层面,非政府组织、行业组织、技术人员、个人信息主体等能够根据个人信息跨境保护的行业发展现状与权益保障情况,凭借规范专业性与利益攸关性发挥软法治理的补充作用。最终,通过国际软法制定的多方协作,弥合国际硬法形成的碎片化板块。
(二)个人信息跨境保护国际软法之治的中国路径
1.理念维度:秉持人类命运共同体理念,引领国际软法的发展
在国际法层面,个人信息跨境保护面临的挑战源于数字技术对国家规制数据权力的影响。数字经济全球化带来的治理难题关涉全人类共同利益,国家以一己之力应对全球数据治理挑战已经不可能。不过,即使是在数字社会,实现人类尊严与世界和平的人类共同愿景不会改变。十年前,习近平主席提出了人类命运共同体理念,该理念与《全球发展倡议》《全球安全倡议》《全球文明倡议》三大倡议丰富了人类尊严与世界和平之内涵。2015年,习近平主席在第二届世界互联网大会上将人类命运共同体理念在网络空间进行具化,提出“网络空间命运共同体”,这是我国参与全球数据治理的指导思想与基本原则。“网络空间命运共同体”理念具有强包容性,与国际软法的特性高度契合,更充分体现国家内在理性,能够引领个人信息跨境保护国际软法的发展,提升个人信息跨境保护的理论高度,规避传统绝对主权观的弊端,为国家参与全球数据治理、实现全人类共同利益保护提供理念指引和创新动力。
具体路径上,我国可以统筹发展与安全利益,推动国际软法的良性发展。《全球发展倡议》指出要“坚持发展优先”,《全球安全倡议》提议“坚持共同、综合、合作、可持续的安全观”,秉持安全与发展并重的基本原则同样是国际软法发展所需要的。《全球数据安全倡议》还特别指出,“各国有责任和权利保护涉及本国国家安全、公共安全、经济安全和社会稳定的重要数据及个人信息安全”。这就要求制定国际软法时充分考虑个人信息跨境保护中的数据风险规制。具体来讲,我国可以借助国际软法的形式凝结中国方案,在守住安全底线的前提下,为国际社会提供可行的促进数据跨境流动的软法建议,推进全球数据治理的进程。
2.平台维度:拓展国际软法治理的话语平台,守正多边主义
个人信息跨境保护虽然属于全球数据治理这一新兴领域,需要国际法有所创新,但守正多边主义核心价值仍然是时代要义。多边主义是当代国际社会构建秩序的基本范式,共商共建共享的全球治理观是我国对国际法治的重要贡献,守正多边主义并发挥秩序功能需要确保主体的资格平等并形成多方参与的共同体。个人信息跨境保护的国际软法涉及公私两域和多元主体,为更公平有效地发挥国际软法的效力,必须重视多边平台的利用与发展。联合国是最具有普遍性和代表性的国际组织,其已经针对隐私权发布报告,探讨个人信息跨境保护的全球规范格局,指明需要在个人信息涉及的不同利益间取得平衡。2023年5月,联合国发布的关于制定《全球数字契约》(Global Digital Compact,GDC)的政策简报指出,所有利益攸关方应当促成保护个人数据和隐私的监管型规则与市场型规则,这与目前的国际软法规范高度契合。因此,我国首先应充分利用联合国的多边优势,与各国就个人信息跨境保护的规范化展开讨论,积极鼓励我国专家作为特别报告员对个人信息跨境保护问题提交报告。其次,我国可以广泛参与联合国国际贸易法委员会电子商务工作组的研究,包括但不限于提供资金资助、技术人员支持等,推动数据跨境流动技术标准的法律化,助力个人信息跨境保护市场型规则充分发展。
在多边合作遭遇困难的阶段,尤其要发挥区域合作对守正多边主义的正向作用。目前,国际机构在推进个人信息跨境保护的软法治理上已有成效,比如APEC《框架》及CBPRs以成员经济体的企业为约束,规定诸企业间个人信息保护水平达到一致就可以自由跨境。我国在《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership,RCEP)中也承诺将“在可能的范围内”与其他缔约方合作,“以保护从一缔约方转移来的个人信息”,同时,在制定保护个人信息的法律框架时“考虑相关国际组织或机构的国际标准、原则、指南和准则”。我国应秉持公私协作的理念,推动政府间国际组织、非政府组织、区域性国际组织在国际软法规范制定方面的合作,特别是应当支持我国非政府组织在国际层面参与个人信息跨境保护的标准制定,以多元主体参与从点到面地推动区域合作转向多边共识。比如,第三届“一带一路”国际合作高峰论坛发布的《“一带一路”数字经济国际合作北京倡议》就是以区域推动多边的软法实践,应当持续推进。我国还可以主动在亚太地区推行共商共建共享的中国式全球数据治理观,“以点带面”地达成更符合发展中国家利益的个人信息跨境保护的区域合作机制。我国还应特别关注和参与联合国亚洲及太平洋经济社会委员会等国际机构在区域治理领域的相关努力,尝试借助该平台将我国国内法治经验“上传”至国际法领域,为其他国家提供“下载”机会,推动实现国内软法的国际化。
不过,以区域合作促成个人信息跨境保护国际软法时,需要防范“小多边主义”对处于形塑时期的国际数据法律秩序的破坏。真正的多边主义必然是公平的。如WTO最初建立之时,虽以实现贸易自由化为目标巩固了部分发达国家的贸易优势,但对发展中国家作出了“特别照顾”,设定了优惠待遇,具有相对充分的多边性与全球性考虑。如若缺乏多边性,少数国家通过国际软法巩固自身利益的行为不仅容易加剧数字经济地缘政治矛盾,也会大大阻碍全球数字经济的互利共赢。因此,我国可以充分利用联合国大会等平台,推动个人信息跨境保护国际软法的定期评审机制,将相关判断标准与例外条款实体化,在国际软法规范的程序与实体要求之间取得适度平衡。我国还可以尝试推动签署专门规范国际性非政府组织的公约,对非政府组织的法律地位、权利义务等内容进行必要性和可行性的明确界定,循序渐进地规范国际组织平台与国家间的权力关系。
3.规范维度:强化市场型规则,推动国际软法与国际硬法的衔接共治
我国参与全球数据治理、引领个人信息跨境保护国际软法之治需要加快制定国际社会较为认可的相关软法规则,强化制度性话语权。当前,个人信息跨境保护国际软法中的监管型规则和市场型规则均已呈现出大国先占优势。因此,我国可以发挥非政府组织力量,积极鼓励跨国数字企业、产业联盟甚至专家个人参与相关软法的制定。比如,联合国曾推动“全球脉动计划”(United Nations Global Pulse),鼓励企业与政府合作进行数据治理。我国在数字技术上的革新速度不亚于发达国家,阿里巴巴、腾讯、字节跳动等大型跨国数字平台企业的个人信息跨境处理技术具有前沿性。实际上,数字平台企业可以较容易地参与到跨国数字经济活动中,其作为国际软法创制主体的地位逐渐因平台化力量得到加强,甚至可以加速全球化进程。因此,我国应当以诸类跨国数字平台企业的实践为切点,鼓励相关企业根据业务经验参与国际组织化平台制定国际软法的过程,提升我国制定市场型规则的能力。再如,在产业联盟方面,亚洲互联网联盟(Asia Internet Coalition)、英美商会(British American Business)、软件联盟(The Software Alliance)等 27 家全球产业联盟曾针对 JSI 积极提交立场建议书,强调保护个人信息,要求实现高标准保护与包容性监管。我国也应当鼓励国内行业组织与产业联盟的技术性自律规范“走出去”,积极支持这些具有市场导向的非国家行为体在国际平台上制定与评估国际软法,为我国推进个人信息跨境保护国际软法治理提供新机遇,为完善国际数据法治提供国内法治经验支持。
因个人信息跨境保护国际软法的治理作用有限,我国还应当推动个人信息跨境保护国际软法与国际硬法的衔接。在国际法律体系中,处于中心的国际硬法负责规制基础性国际关系,而处于外围的国际软法负责调整事务性国际关系,后者有效的前提是不与前者及其原则和精神相抵触。国际软法并不只是对国际硬法的单纯补充与辅助,还可以成为国际硬法的临时替代品,甚至直接塑造国际硬法。在数字经济全球化的背景下,个人信息跨境治理是一个持续且复杂的过程,国际软法与国际硬法有机衔接、协同治理是最佳状态。在个人信息跨境保护领域,市场型规则的技术属性会使其更易与国际硬法体系进行衔接。一方面,要充分发挥个人信息跨境保护国际软法的灵活性优势,以规则补充或精神引领的方式继续完善该领域的法律治理;另一方面,要不断完善数字经济协定、数字贸易协定与自由贸易协定电子商务章节对个人信息跨境保护的规定,适时将符合广大发展中国家利益的国际软法主张引入其中。同时,我国可以在参与WTO电子商务谈判的过程中,适当扩大国际软法的影响力,促成国际社会的基本共识甚至是规范文本共识。最终,以国际软法与国际硬法的协同共进、与时俱进之势为个人信息跨境保护提供法律保障,为全球数据治理合作创造更稳定的法治环境。
五、结语
在全球数据治理视域下,国际硬法难以高效应对数据活动的复杂性。国际软法发挥着规范补充与精神引领的特殊作用,在个人信息跨境保护领域取得显著成效。我国在全球数据治理中扮演着重要角色,应当重视国际软法的深远影响,谨防少数西方国家借个人信息跨境保护之名固化规则优势。同时,我国要积极开展数字外交,增强国际话语权,充分利用国际软法规范表达国家立场。
END
来源:珞珈国际法微信公众号, 本文摘自姚若楠:《个人信息跨境保护的国际软法之治与中国路径》,载《武大国际法评论》2024年第4期。
作者:姚若楠(浙江大学)
声明:版权归原作者所有,转载请注明作者及来源
深圳市蓝海法律查明和商事调解中心对文中观点保持中立
联系电话:0755-82804677
传真:0755-82804651
蓝海涉外法律服务
蓝海中心是全国首个依托大型国别法律信息数据库及专家库提供域外法律查明及其他跨境法律服务的专业化平台机构,是最高人民法院国际商事法庭域外法查明平台的共建单位。目前,与蓝海中心合作的个人专家达到2400多位,查明案例覆盖190余个国家和地区,包括“一带一路”沿线国家、非洲大部分国家、欧洲、北美和拉丁美洲国家和地区。
服务类型
1.域外司法辖区的法律环境调研;
2.域外市场新兴业务合规论证调研;
3.涉外法律文书审阅与法律事务谈判;
4.域外法律专家匹配与案件管理;
5.对涉外争议或东道国审查等事项提供实体法与程序法适用、法律风险等方面的中立评估意见;
6.根据具体项目提供定制化域外法查明、咨询服务。
服务优势
第一,拥有强大的涉外法律服务资源储备
蓝海中心以蓝海专家库及“一带一路”法治地图法规数据库为依托,可快速响应域外法查明与咨询需求。
蓝海中心进行了一系列包括域外劳动法律、数据合规、隐私保护法、知识产权管理、商业秘密保护、贸易法以及外商投资法等涉及中国企业走出去法律风险防范的研究,储备有丰富的涉外法律资源。
第二,具备高素质的骨干队伍,有丰富的涉外法律服务经验
蓝海中心拥有高素质的法律和英语专业业务骨干,包括在法院、仲裁委或律师事务所有丰富工作经验的资深法律实务专家,以及拥有国际机构或域外律所工作经验、可以实现中英文流畅沟通的法律专业人才。
蓝海中心自成立以来,为涉外企业法律部门、涉外律师事务所、仲裁委员会、法院涉外庭提供权威的外国法律查明、涉外法律咨询服务。同时,亦为对外投资个人及企业提供域外投资前期论证、落地配套、合规方案设计、法务定制化培训、律师匹配等服务。
第三,提供定制化服务,服务与收费模式灵活
蓝海中心可根据客户的项目需求、适用场景以及时间节点,提供灵活的服务与收费模式,并尽可能配合客户所需的各项内外部要求,为客户提供高质量定制化服务。
