个人数据保护之冲突规则研究
2019-11-27肖夏
肖 夏
个人数据保护由于涉及各国宪法层面的价值选择,导致实体法之间的差异难以协调。为了缓解这种实体规则差异导致的法律漏洞及法律冲突,寻求更具科学性及实用性的冲突规则就变得尤为重要。现有一般冲突规则是否能够满足个人数据保护领域特殊的调整需求及价值目标,特殊的连结点如何选取及适用,特殊冲突规则与一般冲突规则如何排序等问题,均需考察及论证。
一、个人数据保护领域冲突规则的价值目标
冲突规则是为了解决国际法律冲突而存在的,其所追求的价值目标分为形式正义和实质正义两个层面:形式正义即实现法律适用的确定性和可预见性,实质正义即实现法律适用结果的正当性。具体到个人数据保护领域的冲突规则,其所追求的实质正义目标与数据保护实体法规则并无不同。纵观当今世界主要的数据保护立法文件,可发现均以实现“数据保护”和“数据流通”的双重价值追求为目标。因而,不同于一般冲突规则所追求的单一实质正义,如物权领域的产权保护、合同领域的交易安全等,数据保护领域的冲突规则需要实现的实质正义是双重价值目标的平衡。正是这种特殊的价值追求导致数据保护领域的冲突规则需要比一般冲突规则面临更复杂的协调要求:它不但需要协调冲突规则本身形式正义和实质正义之间的冲突,还需要协调实质正义层面数据保护与数据流通之间的冲突。
欧盟委员会在欧盟数据保护指令①Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data,at:
二、个人数据保护领域的专门冲突规则及其完善
数据保护领域的专门冲突规则主要指以“数据控制人机构设立地”作为连结点的冲突规则。这一规则来源于欧盟1995年通过的数据保护指令第4(1)(a)条。根据该条的规定,适用控制人机构设立地国法的前提是:控制人在成员国境内设有一个机构,数据处理系在该机构活动范围内实施。④See Arts 4(1)(a)of Directive 95/46/EC.欧洲法院因而需承担起两项解释任务:其一是解释“机构(establishment)”并明晰构成指令意义上的“机构”所需要的最低条件;其二是解释机构“活动范围内(in the context of activities)”,并进而决定哪一个机构设立地与数据处理最相关。然而,通过对欧洲法院近年判例的梳理可发现,这一标准在适用时面临一些自我矛盾的困境,可能会带来法律选择结果价值取向的偏差。
(一)控制人机构设立地法的适用困境
1.对控制人“机构”的解释缺乏明确界限
关于“机构”这一概念,指令本身并没有明确定义。指令前言19条中阐述“在一成员国领土上设立机构意味着通过稳定的安排实施真实有效的活动”并且“其法律形式——是否为具有独立法律人格的分支或附属机构,并不是构成指令第4条意义上‘机构’的决定性因素”。⑤See Ecital 19 of Directive 95/46/EC.欧洲法院在其一系列判决中沿用了这一解释,并进一步加以说明。
Weltimmo案⑥Weltimmo案的主要案情是:在斯洛伐克注册的Weltimmo公司经营了一个网站,售卖葡萄牙境内的房产。为了这一目的,Weltimmo需要处理这些房产的广告商的个人数据。Weltimmo为潜在广告客户提供一个月的免费广告以鼓励他们签署服务,但在一个月后却忽视所有要求取消合同的申请,继续提供广告服务。当广告客户拒绝支付费用时,Weltimmo公司就把客户的信息移转给一家讨债公司。由此引发了纠纷。中,一家房地产中介公司在斯洛伐克登记注册,但却在网站上使用匈牙利语言销售匈牙利境内的房产。该公司在其注册的地方未开展任何活动,⑦Case C-230/14 Weltimmo(CJEU,1 October 2015)ECLI:EU:C:201 5:639,para 16.[hereinafter referred to as Weltimmo judgment].并且频繁变更注册地以逃避数据保护监管。①para 11-12 of the Weltimmo judgment.欧洲法院为了防止Weltimmo逃避欧盟法的监管,对“机构”的定义进行了扩张解释,认为公司一名代表在匈牙利常驻的事实就足以满足“安排稳定性”标准的要求,“该代表通过必要的设施在匈牙利境内提供特定服务,行为已符合稳定性标准”。②para 28 of the Weltimmo judgment.欧洲法院还进一步指出,即使仅有“最低限度(a minimal one)”③para 31 of the Weltimmo judgment.真实而有效的活动通过稳定性安排实施,也足以达到第4条意义上“机构”的标准。由于Weltimmo营运着数个有关匈牙利房产的不动产交易网站,这些网站使用匈牙利语,并对超过一个月以上的广告收取费用,可以认为这个公司在匈牙利实施了真实而有效的活动。④para 32 of the Weltimmo judgment.
亚马逊案⑤主要案情是:一个奥地利的消费者权益保护组织(VKI)在奥地利法院起诉亚马逊(欧盟),指控该公司电子商务合同中的一般性条款和条件属于滥用权力,并要求奥地利法院禁止相关条件使用。亚马逊(欧盟)设立于卢森堡,隶属于一个国际邮购集团(亚马逊集团)。这一卢森堡公司通过域名扩展名为“.de”(德国域名)的网站向消费者提供服务,它同时也通过签订电子销售合同向奥地利消费者销售产品。争议条款中有一项规定卢森堡法律是解决亚马逊(欧盟)与其客户之间纠纷的准据法;另一项条款规定,买方提供的个人资料将与亚马逊集团的其他公司以及经济信息机构交换。案件在经过一、二审之后,奥地利最高法院在审理过程中向欧洲法院提出先行裁决申请。中,欧洲法院参照Weltimmo案的判决,再次重申“机构”这一概念应当被宽泛地解释为包含“实施任何真实有效活动的稳定安排,哪怕是最小的一种”。⑥Case C-191/15 Verein fur Konsumenten Information v Amazon EU 5rl (CJEU, 28 July 2016) ECL:EU:C:2016:612,para 75.[hereinafter referred to as Amazon judgment]欧洲法院法律总顾问认为,在奥地利(消费者所在地)境内恐怕并不存在一个与数据处理相关的亚马逊机构,单纯的网站可访问性不能构成所谓的“机构”,应该选择的准据法要么是卢森堡[亚马逊(欧盟)公司注册地]法律,要么是德国(网站域名扩展名标示地)法。由于奥地利消费者访问的是亚马逊的德国域名网站(www.amazon.de),通过这种数据处理的特定安排,德国成为与数据处理相关的机构设立地。⑦Opinion of the Advocate General Saugmandsgaard Oe,in Case C-191/15 Verein fur Konsumenten Information v Amazon EU 5rl(CJEU,2 June 2016)ECLI:EU:C:2016:388,para 119.[hereinafter referred to Amazon EU,Opinion of the Advocate General Saugmandsgaard Oe]最终,欧洲法院采纳了法律总顾问的意见,为构成“机构”的标准划定了新的界限:一方面,建立一个分支或附属机构并不一定满足指令对“机构”设立的要求;另一方面,仅仅网站在某一成员国可访问的事实本身也并未达到在该成员国设有“机构”的标准。法庭通过此案判决明确指出单纯的网站可访问性是不足以形成“机构”的物理存在的,为原本宽泛的解释标准设置了一定的限制。
从上述分析可知,欧洲法院虽然明确了“机构”设定的两个要件——“稳定的安排”和“真实有效的活动”,但却未阐明“稳定”的程度和“活动”的限度。此外,为了消除欧盟法的监管盲点,欧洲法院对“机构”做出了超出常规范围的扩张性解释,无疑更加削减了控制人机构设立地标准的确定性。
2.对控制人“活动范围”的解释宽窄不一
2014年的谷歌西班牙(Google Spain)案中,欧洲法院发现数据处理并未在欧盟境内谷歌的任何机构控制下实施。为了避免谷歌(总部设立于美国)逃避欧盟数据保护法规的监管,欧洲法院对“in the context of”进行了宽泛的解释,认为谷歌(西班牙)有关广告空间的商业营销活动与谷歌搜索引擎运营中所发生的数据处理行为“不可分割地联系在一起”,因此满足了第4(1)(a)条对数据处理属于控制人所设机构“活动范围内”的要求。⑧Case C-131/12 Google Spain and Google (CJEU,13 May 2014) ECLI:EU:C:2014:317,para 56.[hereinafter referred to as Google Spain judgment]
Weltimmo案中,欧洲法院参照了谷歌(西班牙)案的判决,重申对“in the context of”应进行宽泛的解释,该标准并不要求数据处理行为一定是由控制人机构自己实施,但是数据处理必须与该机构的业务活动有密切的联系。①Para 78 of the Amazon judgment.
然而,与上述两案相反的是,在德国脸书诉石勒苏益格-荷尔斯泰因数据保护局案中,德国行政法院认为,脸书在欧盟内部有两个符合指令第4(1)(a)条规定的潜在机构,可适用的法律将由与数据处理行为“有最密切联系”的机构所在地决定。法院最终判定德国法并不应适用于脸书对德国用户的数据处理行为,因为脸书的德国子公司并没有实际处理数据,只负责公共关系和市场营销。②Case 8 B 60/12 Facebook Ireland Ltd.v Independent Data Protection Authority of Schleswig-Holstein,Germany,para 6.[hereinafter referred to as Facebook Ireland judgement]See from Carlo Piltz,“Facebook Ireland Ltd./Facebook Inc.v Independent Data Protection Authority of Schleswig-Holstein,Germany—Facebook is not subject to German Data Protection Law”,in International Data Privacy Law,2013,Vol.3,No.3,p.211.而脸书的爱尔兰子公司负责处理欧洲用户的数据信息,所以爱尔兰法才应是排他适用的准据法。③Para 7 and 9 of Facebook Ireland judgement.然而,值得注意的是,谷歌案中欧洲法院认为在成员国境内销售广告空间就足以建立起谷歌与该成员国之间的联系。如脸书案亦适用该标准,则似乎德国法亦可以成为准据法。因为脸书德国分公司虽未处理数据却从事了大量商业活动,符合谷歌案所建立的标准。这样就会导致德国法与爱尔兰法的双重适用问题。
此外,在亚马逊案中,欧洲法院法律总顾问认为该案的一个特殊之处在于,“欧洲法院在谷歌(西班牙)案中对指令第4(1)(a)条的扩张性解释不能适用于此案。除了事实上的不同之外,前案需要评价相关数据的处理是否由指令建立的保护框架所涵盖,而本案则需要确定若干成员国法律,哪一个适用于数据处理行为。也就是说需确定哪个(控制人)机构经营范围内的活动与数据处理最相关”。④See Amazon EU,Opinion of the Advocate General Saugmandsgaard Oe,para.125.法律总顾问最终排除了奥地利法的适用,认为虽然被处理的是奥地利消费者的数据,但是亚马逊(欧盟)合同的一般性条款中第6、9和11条规定的内容(有关数据保护)与其在奥地利提供的售后服务没有任何直接联系。⑤See Amazon EU,Opinion of the Advocate General Saugmandsgaard Oe,para.125.欧洲法院虽然最终将数据保护法律选择的问题留给了奥地利法院自己决定,但对法律总顾问的意见却予以全盘接受,并在其答复中两次引用。⑥See the Amazon judgment,at para.76 and 80 as regards the views on the application of Directive 95/46/EC.
通过对前述案例的分析,可以发现:由于裁判目的的不同,欧洲法院在谷歌案和Weltimmo案中对“in the context of activities”的扩展性解释方法在脸书案和亚马逊案中并未采用。因为前两案中,控制人在欧盟内部均未设有超过一个以上的机构,因此无须判断哪一机构与数据处理行为有更密切的联系;相反,如果控制人在欧盟内本就设有一个以上的机构,依照此种扩张性解释可能会产生多个与数据处理有联系的机构,导致法律的重叠适用。这种相互矛盾的工具性解释方法,将使当事人无所适从,严重降低控制人机构设立地规则的科学性。
(二)以价值目标为指引调整控制人机构设立地规则
1.避免不当的扩张性解释
正如前文所述,从平衡实质正义与形式正义价值的角度出发,避免控制人逃避法律监管以及各国法律的重叠适用,是确定法律选择规则的主要标准。因此,控制人设立地标准的建立应当限制在恰当范围以内,不能将欧洲法院在谷歌案和Weltimmo案中的扩张性解释作为判定“机构与数据处理间密切联系”的普遍标准。法院必须在事实的基础上,通过考量处理操作的“目的(purpose)”和“方式(means)”判定哪一个机构担负着关键的数据处理角色。如果争议所涉数据处理行为与某一机构的联系明显大于另一机构,则前者就应当被视为掌握数据控制的关键角色,只有该机构设立地的法律才能规制当前的数据处理行为。①Paul Lefebvre,Cecilia Lahaye,“EU Data Protection and the Conflict of Laws:The Usual Bag of Tricks or a Fight against the Evasion of the Law”,in Defense Counsel Journal,2017,Vol.84,No.3,p.20.这里的数据处理“方式”不仅与技术问题(例如是使用硬件还是软件),还与仅能由数据控制人处理或回答的核心实质问题相关,例如“哪些数据应被处理”“处理这些数据需要多长时间”,以及“谁可以获得这些数据”等。
需要注意的是,欧盟通用数据保护条例(General Data Protection Regulation,简称GDPR)增添了“主要机构(main establishment)”②See Arts 4(16)of Regulation(EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons with Regard to the Processing of Personal Data and on the Free Movement of Such Data[hereinafter referred to as GDPR].该条规定:“控制人主要机构是其在欧盟的主要管理地,除非另一个控制人机构决定了个人数据处理的目的和手段,且后者有权实现这样的决定。在这种情况下,做出此种决定的机构被认为是主要的机构。”的概念,被一些人认为是解决法律多重适用的曙光。然而,应当注意的是,GDPR属于公法性质的规则,其设定控制人“主要机构”的目的在于确定控制人在欧盟的主导数据监管当局,这是建立在GDPR实体标准高度统一和一站式(one-stop-shop)争端解决要求的基础之上的。虽然选择主要机构作为唯一的连结因素,将法律适用问题与主要监管当局的权限捆绑起来可大幅提高法律选择的确定性,但却忽视了国际私法对于法律关系最密切联系的需求,不仅会为控制人“挑选法院”提供机会,更可能剥夺对数据主体的合理保护。
2.增补控制人机构设立地法的逃避条款
欧盟委员会在其2008年公布的《27成员国关于侵害隐私及与人格有关权利而生之非合同之债法律适用状况的比较研究》(以下简称《欧盟27国比较研究报告》)中指出:“以控制人设立地法为准据法的主要目标在于减轻跨国公司的成本。这一连结因素的选择因此被视为一种‘经济性考量’。”③See“Comparative study on the situation in the 27 Member States as regards the law applicable to non-contractual obligations arising out of violations of privacy and rights relating to personality”,(2009) JLS/ 2007/C4/028,Final Report
三、个人数据保护领域专门冲突规则与一般冲突规则的协调
个人数据保护领域的诉讼类型包含行政诉讼、民事诉讼和刑事诉讼三种。其中,只有数据主体或其集体代表人起诉数据处理(控制)者的索赔诉讼才涉及法律选择或冲突法的问题。这类私法诉讼包含契约之诉和非契约之诉两类。个人数据保护领域专门冲突规则的出现,必然带来一个问题——如何协调专门冲突规则与传统契约之诉、侵权之诉中一般冲突规则的关系。
(一)个人数据保护契约之诉中冲突规则的协调
个人数据保护领域的契约分为数据主体与数据控制人之间签订的购买商品或服务的消费者合同、数据主体和数据控制人之间签订的商业或专业合同。①See Maja Brkan,“Data protection and European Private International Law:Observing a Bull in a China Shop”,in International Data Privacy Law,2015,Vol.5,No.4,p.260.这两种合同的冲突规则显然应有一定的区别。
1.消费者合同方面冲突规则的协调
出于对消费者弱势地位的考虑,世界主要国家在管辖以及冲突法方面均采用特殊的规则对消费者施以适当倾斜:消极方面,规定可排除对消费者不利的协议约定准据法;积极方面,倾向于选择消费者惯常居所地法为准据法。数据主体与数据控制者(或处理者)之间达成的契约,在很多国家被归类为消费者合同。美国联邦贸易委员会(Federal Trade Commission,FTC)1914法案第5部分授权FTC处理对消费者不公平和欺骗性的行为,该法案同一部分也同时授权FTC保护消费者隐私相关的权利。②See P.Bernal,Internet Privacy Rights.Rights to Protect Autonomy,New York:Cambridge University Press,2014,p.113.虽然数据保护法在欧盟并未被视为消费者法律的一部分,但事实上相当一部分有关数据保护的民事诉讼涉及个人为私人目的在网上与数据控制人签订合同购买货物或服务,只要他的数据是在合同的框架内处理的,那么他就可以依赖《布鲁塞尔条例Ⅰ》第18条的规定主张作为消费者向其住所地的法院起诉数据控制人。③See Arts 18(1)of Regulation(EU)No 1215/2012.该条规定:消费者可以在其所在国的法庭上对合同另一方当事人提起诉讼,无论对方的住所在哪里。
基于此,数据主体可以要求推翻数据控制人提供的消费合同中约定的对己不利的准据法。亚马逊案中,欧洲法院在先行裁决中认定“如果消费者没有被告知其可以援引《罗马规则Ⅰ》第6(2)条④Arts 6(2)of Rome I.该条规定当事人所做的法律选择不得剥夺消费者惯常居所地国法律的强制性规则对其提供的保护。享受强制性法律条款的保护,那么合同中关于法律适用的约定条款应该被认为是不公平的。”⑤See para 71 of the Amazon judgment.此处欧洲法院即是通过消费者保护法的特殊规定排除了合同约定的准据法。然而,在排除了合同约定的卢森堡法后,欧洲法院却在判定奥地利不能成为亚马逊机构设立地之一的基础上,同样排除了消费者惯常居所地(奥地利)法的适用。这样僵化适用控制人机构设立地法所带来的不良后果是,数据主体可能会越来越多地被迫在外国法律下寻求救济,相比于其他领域的消费者,反而电子消费领域的消费者在寻求权利保护方面较为不利。⑥Maja Brkan,“Data Protection and European Private International Law”,in EUI Working Papers,Robert Schuman Centre for Advanced Studies,RSCAS 2015/40,p.15.因而,适当地适用逃避条款,在数据控制人经营活动指向数据主体惯常居所地法时,适用该法,才能实现跨境电子消费领域管辖与法律适用的平行对应。由此可得出结论,这种包含逃避条款的专门冲突规则与消费者合同一般冲突规则之间并不存在矛盾。
2.非消费者合同方面的冲突规则协调
如数据主体不符合消费者的条件,其与数据控制人订立的合同包含有专业或商业的因素,则应遵循一般合同领域的法律适用规则。首当其冲的冲突规则自然是当事人意思自治选择的法律。然而,关于合同双方能否自由选择适用于数据处理及合同框架内数据保护违约行为的数据保护法的问题,目前存在一定的争议。
德国脸书案中,德国法院认为虽然脸书服务合同的一般性条款中包含了法律适用条款,约定针对德国用户应适用德国法,但在处理国际案件时,只有欧盟指令的第4条和德国联邦数据保护法案第5(1)条决定的数据保护法可适用。这些条款属于《罗马规则Ⅰ》第9条意义上的强制性条款。①Para 4-5 of Facebook Ireland judgment.德国法院的推理似乎起始于基本权利的观点,认为:既然个人数据保护权属于基本权利的范围,指令系对这一基本权利的具体化,那么当事人就不得以约定偏离基本权利或其实施规则。②Jan-Jaap Kuipers,EU law and private international law:the interrelationship in contractual obligations,Boston,Martinus Nijhoff Publishers,2011,at:
(二)个人数据保护非契约之诉中冲突规则的协调
当代侵权冲突法由三种规则组成,分别是一般规则(即侵权行为地法),作为一般规则的例外规则(即共同属人法之例外与最密切联系原则之例外)以及特殊规则(例如产品责任、知识产权侵权或不正当竞争等的法律适用规则)。数据主体对于个人数据拥有人格权和财产权的双重权益,各自承载或实现不同的功能。⑤参见龙卫球:《数据新型财产权构建及其体系研究》,《政法论坛》2017年第4期,第63—77页。从这一点而言,应将个人数据保护领域的侵权之诉分为数据人格权侵权之诉与数据财产权侵权之诉。
1.数据人格权侵权之诉中冲突规则的协调
人格权侵权之诉因涉及宪法层面及引发多地损害的问题而有其特殊性,导致该领域有关侵权行为实施地法与损害结果发生地法的争论经久不衰。目前各国对该领域的法律适用规则并无统一规定,欧盟《罗马条例Ⅱ》回避了这一问题,美国各州对隐私侵权的法律选择规则亦不相同。欧洲议会法律事务委员会在2012年公布的《关于修改非合同之债法律适用的欧共体第864/2007号条例的最终报告及对委员会之建议》(以下简称《最终建议案》)⑥Draft Report with Recommendation to the Commission on the Amendment of Regulation (EC) No 864/2007 on the Law Applicable to Non-Contractual Obligations(Rome II),A7-0152/2012,at:
欧盟委员会于《欧盟27国比较研究报告》中对加害行为实施地和损害结果发生地之间的分歧进行了详细的比较法分析,指出:在媒体侵犯人格权的非契约之诉领域,对实体法规则最低限度的协调是正当化出版人机构设立地标准的决定性因素。②See Report of EU 27 National Comparative Study,p.146.在非契约之诉中受害人对于加害行为的发生一无所知更没有与加害人协商的能力,反而是加害人掌握了行动的所有主动权。在这种本就不公平的情况下,如果以出版人机构设立地法为准据法,意味着出版人可以通过选定设立地点的方式在损害发生之前就事先确定对自己最为有利的法律。正是基于此,为保证冲突规则的适用能够实现双方当事人间最低限度的利益平衡,应选择损害结果发生地法作为人格权侵权之诉的准据法。然而,损害发生地标准要求出版人在遵守设立地国法的基础上还要保证遵守所有潜在受害人所在国的法律,实属强人所难;且当损害在多国同时发生时,会产生多重法律适用的问题。考虑到这种左右两难的境况,应通过确立一些实体法上的最低共同标准来纠正市场上的不平等或缺陷,为人格权利受侵犯的受害人提供相同的最低保护水平,引导经营人放弃伺机择法的投机主义行为。欧盟数据保护指令正是实体法和冲突法互为补充的成功例子,指令之所以能够在第4条中包含控制人机构设立地标准是以实现数据保护领域实体性规则一定程度的协调为前提的。③See Report of EU 27 National Comparative Study,p.148.这里,报告将控制人机构设立地法的合理性归结于实体规则对基本权利的保障。
但我们应当认识到,损害结果发生地法面临的最大问题是法律域外适用所带来的执行困难。理论上任何国家的数据保护法都可以对其意图规制的对象产生域外效力,只要纠纷属于该国管辖的范围。实际上,在实践中亦有相当一部分国家(如德国、波兰、法国、南斯拉夫、葡萄牙)在媒体侵犯人格权的非合同之债领域坚持以加害行为实施地法为核心冲突规则,同时规定了“加害人可预见后果发生地”等适用损害结果发生地法的例外情况和条件。④See Report of EU 27 National Comparative Study,p.89.同样为受害人保留了在其利益中心寻求救济的机会,弥补了加害行为实施地国实体法上对受害人保障的欠缺。由此可见,在数据人格权侵权领域保留控制人机构设立地法的首选地位并无不妥,只要同时补充以损害结果发生地法为“逃避条款”,并设置适当的适用条件。另外,受害人的惯常居所地作为受害人人格利益最集中的地方,是损害发生地法的重要表现形式,且消除了损害多地同时发生的法律重叠适用问题。而以“控制人经营活动指向”为限制条件,比单纯的“加害人可预见”更加具体和精确,在技术上更能发挥过滤作用。因而,以“目标/指向”为限制条件的数据主体惯常居所地法是数据人格权侵权之诉最为适当的逃避条款。
2.数据财产权侵权之诉中冲突规则的协调
数据财产权具有无形性和非独占性的特征,使其与一般有形物之财产权区分开来,为“侵权行为地法”规则的适用带来一些挑战:一方面数据“无形”导致侵权损害结果的地点难以确定和容易多发,减损了损害结果发生地法适用的准确性;另一方面,数据的“非独占”导致加害行为与领土之间的联系极为模糊,违法数据处理行为可远距离实施,且在不同国家间同时进行。此时再坚持加害行为实施地标准就可能导致多国法律的重叠适用,减损法律适用结果的可预测性。在个人数据跨境流通的背景下,加害行为实施地这一连结点应具体化为个人数据处理行为的发生地。实践中数据处理行为的发生地通常表现为数据控制人机构设立地。此时,以数据控制人设立地取代侵权行为实施地法,可以避免违法行为发生地难以确定或违法行为多地同时发生所带来的法律选择的不确定性。①See Report of EU 27 National Comparative Study,p.64.此外,通过设置数据处理行为与控制人机构之间的从属性要求,可建立机构设立地与侵权行为之间的密切联系,中和设立地标准所带来的“挑选法院”问题。更为重要的是,数据新型财产权是近年来引起关注和讨论的新课题,其表现形式和法律属性尚在探索与研究阶段,②参见李爱君:《数据权利属性与法律特征》,《东方法学》2018年第3期,第64—74页。从而导致数据人格权和数据财产权在一些情形下难以明确划分。③例如,数据出口人和进口人未经允许以第三人的非敏感信息进行交易,可以视为侵害了第三人的数据人格权,亦可以视为侵害了数据财产权。此时,如果以控制人设立地法取代侵权行为实施地法作为数据财产权侵权之诉的核心冲突规则,就可以实现数据保护领域侵权冲突规则的统一,从而绕开数据人格权和数据财产权难以区分的难题。
另外,侵权行为地法这一一般规则时常会附带一个基于最密切联系标准的逃避条款。然而,在数据保护领域,最密切联系原则适宜作为法律适用的指导性原则,却不适宜作为逃避条款。实际上,最密切联系原则已体现于控制人机构设立地规则之中。如上文所述,欧盟指令第4(1)(a)条所规定的设立地就是与数据处理行为联系最密切的设立地。且在控制人机构设立地法对数据主体保护不周时,适用数据主体惯常居所地法亦是最密切联系原则的一种体现。另外,最密切联系这一逃避条款的存在虽然增加了法律选择的灵活性,但也意味着降低了法律选择的可预测性。当今网络环境下,数据信息泄漏或传播原本就牵涉范围广泛,难寻轨迹,除却与数据处理及损害发生相关的地点之外,再另留活口既无必要,又可能带来不可预期的后果。
四、启示:我国个人数据保护领域冲突规则的完善
我国个人数据保护领域并未有专门的冲突规则,2010年通过的《涉外民事关系法律适用法》(以下简称《法律适用法》)第46条是我国立法机关首次就网络人格权侵权的法律适用问题作出明确规定,也是我国个人数据权侵权之诉能够直接援引的核心冲突规则。此外,第42条有关消费者合同的法律适用规则,以及第44条的侵权责任法律适用规则也可以在一定条件下援引。但相关规则具体到个人数据保护方面均有值得商榷的地方。
(一)增加“控制人机构设立地”作为个人数据权侵权之诉的连结点
根据上文所述可知,按照《法律适用法》第46条规定将受害人惯常居所地作为数据权侵权之诉的唯一连结点,存在以下几个问题:首先,将造成跨国公司守法成本过高,影响数据流通和信息产业在我国的发展。其次,减损法律适用结果的稳定性和可预见性,加剧国际范围内数据保护法律的冲突。第三,将造成域外效力的过度扩张以及跨境法律执行的困难。正如欧盟指令第4(1)(c)条以及GDPR第3(2)条④Arts 3(2)of GDPR.该条规定:本条例适用于对欧盟内的数据主体的个人数据处理,即使控制者和处理者没有设立在欧盟内,其处理行为:(a)发生在向欧盟内的数据主体提供商品或服务的过程中,无论此项商品或服务是否需要数据主体支付对价;或(b)是对数据主体发生在欧盟内的行为进行的监控。被指责域外效力过度扩张,违反了国际礼让原则,⑤参见Omer Tene and Christopher Wolf,“Overextended:Jurisdiction and Applicable Law under the EU General Data Protection Regulation”,paper represented at the Future of Privacy Forum,Washington DC,January 2013。GDPR公布后受到众多指责,认为其效果造成了欧盟标准在全球范围内的适用,明显违反了国际礼让规则,存在严重的执行困难。被害人惯常居所地法的适用结果如违反了控制人设立地国的法律规定或公序良俗,亦不能获得执行。
随着“阿里巴巴”“腾讯”等电子商务企业的蓬勃发展,我国也应当考虑如何保护本国信息产业在跨境数据流通方面的利益。“控制人机构设立地”这一连结点,为人民法院在我国企业为被告的跨境数据侵权之诉中适用本国法提供了重要的依据。当然,有关“设立地”标准的解释应当宽窄适中,可以参照欧盟指令第4(1)(a)条的规定,通过对控制人“机构”、数据处理与“机构”之间的从属性要求将设立地标准限制在合理范围内:一方面避免规定过于僵化、不符合现实,另一方面避免域外效力的不当扩张。
(二)为“受害人惯常居所地”设置限制条件
正如上文所述,受害人惯常居所地法作为控制人机构设立地法的例外和补充,需设置“控制人经营活动所指向”为限制条件,以降低控制人的守法负担。我国《法律适用法》第46条的规定却没有任何限制条件,无疑是不适当的。第46条即使是作为更为广泛的网络侵犯人格权的冲突规则,也不应当毫无限制,例如“加害人可预见”等限制条件仍然是应当具备的。
(三)关于当事人约定准据法的效力
在我国,涉外电子消费合同中作为消费者的数据主体可直接援引《法律适用法》第42条①《法律适用法》第42条规定:消费者合同,适用消费者经常居所地法律;消费者选择适用商品、服务提供地法律或者经营者在消费者经常居所地没有从事相关经营活动的,适用商品、服务提供地法律。的规定,排除合同约定的对己不利的控制人注册地法。针对不属于消费者合同的专业或商业合同,人民法院仍可适用《法律适用法》第5条公共秩序保留的规定,排除严重损害数据主体权利的合同约定准据法。但公共秩序保留规则灵活性太强,标准过于模糊。更具准确性和说服力的方案是,以即将出台的《个人信息保护法》属强行法规范为由排除不适当的合同约定法律。
