(二)域外數據執法權限不足
域外數據執法管轄權的行使是對外適用本國法律規範的過程。⑪作為一項可由行政機關以單方強制手段完成的行政行為,數據域外管轄權的行使能對域外主體威脅國家數據安全的不法行為予以打擊,并對相關域外機構行使執法權,是體現粵港澳三地對域外數據的支配能力、維護灣區數字秩序的重要手段。⑫然而,當前粵港澳三地在域外數據執法權限方面存在明顯不足,難以及時、有效地因應歐美數據域外管轄權擴張現狀。
就內地而言,阻礙數據域外執法管轄權效力發揮的主要原因在於立法規定的模糊性。概括式和宣誓性是內地數據域外管轄權規範的特點,這也使執法機關在具體行事過程中面臨法律依據基礎薄弱的問題。例如,《數據安全法》第6條規定,“公安機關、國家安全機關應在各自職責範圍內承擔數據安全監管職責”。但對於具體的管轄權責與程序界定并未有更加清晰的規範指引,在法律解釋方面也沒有進一步明確。
香港的數據域外執法管轄權行使主體是個人資料私隱專員公署(以下簡稱公署)。在公署網站主頁中可以查詢到其策略與主要目標包括執法、監察及監管符規、推廣、機構管治、迎合需求轉變等五項內容,具有一定的指引效力。但在具體實踐中,由於其僅有《私隱條例》第50條規定的執行通知發布權,即指示該資料使用者糾正其不當行為,而缺乏相關行政處罰權,導致其執法阻嚇性偏弱,實際成效欠佳。若後續資料使用者違反執行通知,則需要藉助法院這一司法途徑實施罰款及其他處罰行為。反觀歐盟,GDPR第83條規定,“對於違規收集個人信息的互聯網公司,最高可罰款2000萬歐元或全球營業額的4%”。可見,其監管機構不僅擁有處罰權利而無需浪費司法資源,而且在行政處罰方面有權作出金額高昂的罰款,具有較強的震懾力和執行能力。
與香港類似,澳門個人資料保護局作為專門的個人資料保護公共當局,當局中劃分多個部門,其中有一定執行權力的為監察處。監察處的職權主要包括,接受及處理相關投訴、舉報及查詢,并據此製作調查卷宗,但其并不具有對相關違法行為的處罰權,僅可對其提起處罰程序,并給予處罰措施建議,可為空間較為有限。
(三)暫未形成司法合力
數據域外管轄權擴張的背景下,粵港澳大灣區尚未形成糾紛處理合力,不利於維護大灣區數據安全,更難以形成與歐美數據域外管轄權擴張的司法抗衡力量。主要體現在以下方面。
其一,粵港澳三地的域外司法管轄權易被他國邊緣化。當歐美機構要求大灣區內主體提供其所需的數據時,相關主體主動訴諸司法救濟渠道的事例較少,而是被動與之談判并作出配合,由此折射出大灣區內相關主體在數據主權安全的維護意識方面相對薄弱、大灣區內司法及相關糾紛化解渠道難以發揮作用的現狀。⑬典型如香港匯豐銀行,2014年孟晚舟事件中,美國相關調查機構在香港匯豐搜查有關華為的證據,匯豐雖未主動提交,但也呈現出被動配合姿態,這導致銀行相關數據被美國調查機構徑直取走。⑭
其二,與歐美數據域外管轄權的擴張程度相比,粵港澳大灣區的域外管轄標準過度克制,涉及範圍更為局限保守,對於立法規範中的數據域外管轄權連結點不采取任何泛化解釋,在面臨數據糾紛時往往難以保全灣區內數據主體。整體來看,在歐美域外管轄權擴張現狀下,粵港澳大灣區衹有被動防禦而缺乏主動姿態。例如,X訴個人資料私隱專員案中,X先後向香港私隱專員、行政上訴委員會進行投訴和上訴,行政上訴委員會維持了私隱專員的駁回決定。其給出的原因之一在於《私隱條例》對外國實體在外國領土上進行的行為沒有管轄權,這一結論不因該外國實體收集的是香港人士的資料或出現在香港地區的電腦訊息而改變。
其三,當前粵港澳三地的司法價值差異化明顯,導致大灣區內的裁判結果、大灣區對歐美司法判決的承認效力均具有較大的不確定性。以“被遺忘權”為例。內地當前雖未對被遺忘權作出法律層面的規定,但實踐案例中為被遺忘權提供了存在空間。在中國被遺忘權第一案“任甲玉訴百度案”中,法院明確衹要滿足相關前提條件,被遺忘權可以獲得保護。而香港并不承認被遺忘權,在X訴個人資料私隱專員案中,香港私隱專員、行政上訴委員會同時作出了一項附帶指引,即除非有關資料不準確,或保存時間超過收集目的所需的時間,在香港的互聯網服務供應商并沒有責任純粹基於“被遺忘權”删除在綫內容。而澳門當前是否承認被遺忘權處於模糊狀態,澳門律師、澳門大學法學院兼任教員何駿豪大律師曾建議對澳門個人私隱保護法律問題適時檢討及研究,尤其在於討論是否應當賦予數據主體被遺忘權。
四、粵港澳大灣區應對歐美數據域外管轄權擴張的法治路徑
(一)加快完善粵港澳三地數據保護法律體系
構建具有粵港澳大灣區特色的數據治理模式是掃清當前三地數據流動跨境阻礙、爭取國際話語權的關鍵手段。一方面,粵港澳大灣區應從完善三地數據保護法律體系著手,為數據治理實踐提供堅實的制度保障。進一步加強大灣區內部數據跨境雙向流通機制建構,制定統一的數據分級分類標準,為三地數據跨境流動實踐提供可操作性較強的指引,打破數據流動基礎制約。⑮發揮南沙粵港澳全面合作示範區、橫琴粵澳深度合作區等重大合作平台的政策紅利、數字經濟優勢,加強高校科研數據、金融數據、醫療健康數據等關鍵場景與領域下的數據跨境流動,深化探索大灣區數字治理的精細化、標準化治理模式。另一方面,粵港澳大灣區可在現有基礎上,完善防範歐美數據域外管轄權擴張的法律制度。具體而言,香港特區與澳門特區可儘快配合《反外國制裁法》出台相關制度方案,與內地采取協調措施,在必要情況下可將《反外國制裁法》納入港澳基本法附件三落地實施,形成粵港澳大灣區反制合力。在適用域外管轄權條款方面,粵港澳可在充分協商後出台統一的指引細則,在以真實聯繫作為基本原則的同時,對地域連接點采取適當擴大解釋,增強相關條款的可操作性并發揮其實際效力。⑯
(二)構建統一的大灣區數據執法機構
粵港澳大灣區在數據治理監管領域的主體較為分散,各監管主體當前面臨的問題不僅在於數據域外執法權限不足,同時也存在監管割裂與治理分散的困境。對此,可建立統一的大灣區數據執法機構,在相互借鑒三地監管模式優勢的同時,更能在適用數據域外管轄權時呈現一體化形態。為避免權責不清、程序模糊等問題,粵港澳大灣區數據執法機構應當遵循統一的大灣區數據執法依據。對此,粵港澳三地應建立統一的工作協調機制,可以通過協同立法、制定區域示範法等方式為其提供制度保障。在執法程序方面,即使在當前歐美數據域外管轄權不當擴張背景下,也應當遵循“尊重他國主權”的基本原則,不可繞過他國政府直接調取域外數據,確保跨境數據調取的合法性。⑰此外,借鑒歐盟GDPR經驗可知,強化執法機關的執法權能是發揮執法機關能動性與執法效率的必要手段。據此,應當賦予粵港澳大灣區數據執法機構以調查權、糾正權、強制權等執法權力,同時配套以依職權調取、訪問或監管數據控制者數據的權限。⑱與此同時,大灣區數據執法機構應當擁有直接的行政處罰權,如警告權、罰款權、沒收違法所得權等,對相關數據控制者形成執法威懾力,從而達到更優的執法管轄成效。
(三)積極倡導數據領域多邊合作
粵港澳大灣區作為數據治理領域的後發區域,應當積極參與國際數據治理事宜,推動數據管轄規制、數據跨境流動等具體規則的建立完善。充分發揮香港、澳門的國際化優勢,保持“共商共治共享”的數據治理觀念,向國際社會傳達大灣區的數據域外管轄態度與立場。⑲依托粵港澳大灣區與東盟、一帶一路沿綫國家的友好合作關係,逐步開展數據跨境流動治理方面的法治合作,在阻卻歐美數據域外管轄權不當擴張問題上采取一致行動。⑳此外,“國際跨境可信數據空間—香港站”的建設正如火如荼地開展,國際數據產業聯盟也於2025年1月在香港成立。未來,香港在全球數據領域的地位將進一步凸顯。在此背景下,香港可將自身與大灣區在數據管理和應用方面的經驗和優勢融入到國際規則中,在助力自身在全球數字經濟中占據更有利位置的同時,打造全球數據法治合作平台,為大灣區開展國際數據交流合作牽綫搭橋。
本文為廣東省哲學社會科學規劃2024年度習近平法治思想研究專項委托項目《港澳基本法與“一國兩制”實施的法治保障研究》(批准號:GD24XFZ20)的階段性成果。
注釋:
①《李強作的政府工作報告(摘登)》,《人民日報》2025年3月6日,第3版。
②王雪,石巍:《個人數據域外管轄權的擴張及中國進取型路徑的構建》,《河南社會科學》2022年第5期,第56-67期。
③《最新!近800家中國企業被美國列入“實體清單”(附詳細名單)》,https://baijiahao.baidu.com/s?id=1797021515265276178,最後訪問時間:2025年3月9日。
④李芷馨:《個人數據跨境傳輸中域外立法管轄權的適用研究》,《南海法學》2023年第4期,第101-113頁。
⑤邵懌:《論域外數據執法管轄權的單方擴張》,《社會科學》2020年第10期,第119-129頁。
⑥廖詩評:《中國法中的域外效力條款及其完善:基本理念與思路》,《中國法律評論》2022年第1期,第52-63頁。
⑦王林:《論美國的長臂管轄及中國應對——兼評商務部<阻斷外國法律與措施不當域外適用辦法>》,《宜賓學院學報》2021年第7期,第8-19頁。
⑧《官員說法|律政司長:<反外國制裁法>以基本法附件在港實施最恰當》,https://www.thepaper.cn/newsDetail_forward_13978832,最後訪問時間:2025年3月8日。
⑨田飛龍:《美國涉港長臂管轄與“一國兩制”下的法律反制》,《紫荊論壇》2022年第5期,第10-17頁。
⑩莫然,陳焰:《粵港澳大灣區數據跨境流動的治理反思與模式重塑》,《政法學刊》2024年第3期,第42-51頁。
⑪肖永平:《“長臂管轄權”的法理分析與對策研究》,《中國法學》2019年第6期,第39-65頁。
⑫陳俊秀,王緯航,李智:《我國域外數據執法管轄面臨的困境與因應》,《集美大學學報(哲社版)》2024年第5期,第27-34頁。
⑬陶虹任:《跨境數據流動規制中的域外管轄擴張及應對——以優化法治化營商環境為視角》,《中國信息界》2024年第2期,第138-140頁。
⑭《楊傑|匯豐與華為妥協背後:中國“阻斷法”體系的威力》,https://www.guancha.cn/yangjie2/2021_07_10_597837_1.shtml,最後訪問時間:2025年3月9日。
⑮張亮,林灝銘:《論粵港澳大灣區數據跨境流動制度的完善進路》,《特區實踐與理論》2024年第5期,第91-98頁。
⑯袁康,趙宛如:《跨境數據流動中的管轄權衝突及其協調》,《重慶郵電大學學報(社會科學版)》2024年第2期,第66-76頁。
⑰洪延青:《“法律戰”旋渦中的執法跨境調取數據:以美國、歐盟和中國為例》,《環球法律評論》2021年第1期,第38-51頁。
⑱白雪,鄒國勇:《美國“長臂管轄”的歐盟應對:措施、成效與啓示》,《武大國際法評論》2021年第5期,第53-76頁。
⑲薛清嘉:《個人數據治理域外管轄權擴張、衝突與協調》,《中國國際私法與比較法年刊》2022年第1期,第291-306頁。
⑳申明浩,姚凱辛,沈曉娟:《數據自主權、數據保護與數據流動的不可能三角問題——以粵港澳大灣區跨境數據治理為例》,《南方經濟》2024年第9期,第45-56頁。
(全文刊載於《中國評論》月刊2025年7月號,總第331期,P113-120) |
