1. 引言
电子商务依赖于信息通信设施、基础供应链服务和人力资源的支撑[1]。跨境电商交易天然伴随个人数据的跨境流动,数据既是消费者人格延伸,也是跨境电商平台与经营者的核心财产。在与跨境电商相关的民商事法律纠纷中,法律适用在很大程度上决定着案件的实体走向。传统冲突规范以侵权或合同为预设场景,难以兼顾电商场景下交易效率、数据安全、平台合规成本三重目标。本文在厘清传统连结点的基础上,尝试构建一套与跨境电商运行逻辑相契合的消费者个人数据保护冲突规范体系,在保护消费者个人数据权的同时,增加我国电商平台对法律适用的可预期性,进一步降低合规成本、减轻守法负担。
2. 跨境电商视角下消费者个人数据保护相关概念及法律性质的界定
2.1. “跨境”的概念
“跨境”一词最早出现在国际贸易领域,《服务贸易总协定》界定了贸易的提供方式,在“跨境提供”(Cross-Border Supply)中引入了“跨境”一词。在服务贸易语境下,“跨境”强调的是提供服务一方与接受服务一方在跨越地理位置上的国境和边界。随后,“跨境”一词在人民币国际化、企业跨境并购、具有涉外因素的破产等领域被广泛应用。
个人数据保护领域中“跨境”一词最早出现在经济合作与发展组织《关于隐私保护与个人数据跨境流动指南》中,其将“跨境”定性为个人数据跨越国境的现象。这一语境下的“跨境”与服务贸易领域的“跨境”存在很大区别,后者强调物理空间上的可被人直接感知的跨越国境和边界的过程;而前者的跨境是个人数据以计算机代码的形式存储于另一个国家或地区的服务器内的过程,这一过程难以被人在实际中感知。因此,狭义的个人数据跨境强调的是数据在服务器之间流动的过程,实质上是个人数据权利客体的跨境流动。而广义上的个人数据跨境还可以包括个人数据存储于境内的服务器,但可以在其他国家境内访问的情形。
2.2. “个人数据权”的财产属性
在跨境电商视角下影响冲突规范最为重要的因素是个人数据权的法律性质。从个人数据与社会的外部法律关系上看,个人数据在跨境电商数据流通和交换中具有一定价值,故在很多情形下具有财产权的属性。此时制定冲突规范的难点在于,个人数据既可以作为个人数据合同法律关系的客体,也可以作为个人数据侵权法律关系的客体,因此在考虑与之相关的冲突规范时则要分别进行考察。
平台凭技术与市场优势掌握原始数据,成为“数据控制者”兼事实上的“所有者”,主导定价、跨境流转与收益分配;商户系“受托处理者”,对数据不享有所有权,亦不得擅自扩大使用目的。
3. 跨境电商视角下消费者个人数据保护冲突规范的立法价值
冲突规范在国际私法领域中起到至关重要的作用,其存在是为了解决不同国家法律冲突。冲突规范的立法价值目标主要包括两方面:形式正义和实质正义。
3.1. 形式正义的要求
形式正义着眼于法律适用的确定性和可预见性。冲突规范既避免个人数据的处理行为受到多重法律规制,这可能会导致法律适用上的混乱;又要防止个人数据处理行为无法得到法律规制,确保所有行为都能得到适当的法律监督和约束。
3.2. 实质正义的要求
实质正义则关注法律适用结果的正当性,实体法律适用则需要在“数据保护”和“数据流通”两种立法价值中作出权衡[2]。当今世界范围内的数据立法保护法律法规均选择实现“数据保护”和“数据流通”的双重价值作为追求的目标。“数据保护”的价值取向强调通过一系列措施确保个人、组织和国家的数据安全,防止数据被未授权访问、泄露、滥用或破坏,这一价值侧重于个人数据流通中对处于弱者地位的数据主体的保护;“数据流通”的价值取向强调数据在不同的服务器、组织、个人或地区间自由进行传输、交换和共享的过程,这一价值侧重于在经济领域,支持企业和组织通过数据流通获得有价值的信息进行市场分析和决策支持[3]。
跨境电商场景下个人信息保护也需要实现实质正义的双重目标的平衡。故需要进一步探讨在这一领域设置更为科学的专门冲突规范,在保护消费者的同时减轻平台与经营者的守法负担。
4. 传统冲突规范适用的可行性分析
基于法律的稳定性要求,应首先从个人数据的财产权的权利属性出发,考察我国现有的冲突规范中各个连结点在跨境电商视角下消费者个人数据保护领域适用的可行性。
4.1. “意思自治”适用的可行性分析
“意思自治”最早由法国学者杜摩兰提出,主要适用于合同法律关系中,并逐渐发展为合同法律关系适用的首要规则,后来逐渐扩展到侵权、婚姻家事法律关系等领域[4]。有学者认为,“意思自治”在一些案件中赋予了受害者适当的选择权以选择对自己有利的法律,让受害者代替法官决定何国法律对自己有利,更能从实质上体现正义的立场,达到公平的结果[5]。
在跨境个人数据合同法律关系中,“意思自治”的适用可以在一定程度上克服传统冲突规范固化的弊端,保护处于弱势地位的消费者,尊重其自治权利。但实践中的问题在于大部分与个人数据相关的合同,均由跨境电商平台事先拟定格式条款,使得数据主体的意思并不能得到表达,甚至违背其意思[6]。因此,本文认为跨境个人数据合同法律关系中的冲突规范应当适用有限的意思自治,在与数据主体有关的连结点中自主选择准据法,并且不能违反法律的强制性规定,真正落实冲突规范中“意思自治”的制度功能。
4.2. “最密切联系”适用的可行性分析
目前,我国《法律适用法》中“最密切联系”原则主要适用于合同、国籍、抚养及住所等方面,适用的范围相对而言比较窄。但在跨境电商个人数据保护中,密切联系的范围会被扩大,并且适用的方式存在不确定性。互联网数据流动的背景下,存在“数据控制者所在地”“当事人经常居所地”“数据泄露地”“数据不当处理行为发生地”中一个或多个连结点,难以确定具体哪一个连结点可以作为“最密切联系地”。
“最密切联系地”虽然提高了冲突规范的灵活性,但其难以确定的特点降低了冲突规范的可预测性。本文认为可将“最密切联系”作为兜底规则,并且设置一些限制性的条款,以避免冲突规范选择的重叠性和不确定性。
4.3. “被侵权人经常居所地法”适用的可行性分析
我国目前的侵权冲突规范规定在《法律适用法》第44条1和第46条2中,前者为一般侵权冲突规范,后者为网络侵权冲突规范。第46条的冲突规范作为特别法,其规定的“被侵权人经常居所地法”在跨境个人数据保护领域应当优先考虑予以适用,但其适用存在以下问题:
第一,第46条规定的侵害方式不明确。其在条文中将侵权方式界定为“以网络或其他方式”,显然,通过网络侵权是本条所规制的侵权方式,但“其他方式”并没有合理地解释对其进行范围上的限定。目前各个国家和地区倾向于将“其他方式”解释为通过大众传媒、报刊、互联网等其他“媒体方式”对自然人的个人数据进行侵害,本条所规制的网络侵权行为更倾向于一个主体借助网络这个平台,主动对另一主体进行侵害。而在跨境电商个人数据流动过程中,还可能存在跨境电商平台将个人数据泄露、出卖、未主动删除,或者超越权限查看数据等行为。这些可能侵害个人数据权的方式是否能被第46条所囊括有待商榷。
第二,第46条设置的连结点较为单一。即使第46条经过法律解释之后能够在实践中予以适用,但其设置的“被侵权人经常居所地”这一单一的连结点,在保护我国受害人利益时具有优越性。针对外国人起诉我国电商平台侵害其个人数据的情况下,适用单一连结点,则可能造成冲突规范指向外国法,而目前各国对跨境侵害个人数据的实体规范都尚未统一,指向外国实体法的适用可能会导致我国电商平台对被侵权人无预见性地承担高额赔偿责任。
因此,在个人数据保护领域适用第46条的冲突规范,必须对其进行进一步解释,明确侵害个人数据权的方式具体情形并提高法律适用结果的可预见性。
5. 跨境个人数据保护冲突规范的域外经验
欧盟在1995年《个人数据保护指令》中以“数据控制人机构设立地”作为连结点设置冲突规范。适用这一连结点的前提是控制人在成员国境内设有一个机构,且数据处理行为属于该机构的活动范围。这一连结点的适用最重要的是对“机构”与“活动范围”解释,决定哪一机构与数据处理行为关联性最大。但在具体适用中存在一定问题。
5.1. “数据控制人机构”的认定
欧洲法院对案例的审判沿用了这一解释并进行了完整的说理。“Weltimmo案”中欧洲法院为了防止数据控制人逃避欧盟法律的监管,对“机构”进行了扩张解释,认为只要公司有一名代表在欧洲境内常驻,实施了“真实有效的活动”,欧洲境内国家可作为“数据控制人机构设立地”。3
这一做法加强了欧洲法院对数据控制行为的监管,作出了超出社会一般人可预见的扩张性解释,降低了数据控制人机构设立地的可预测性。可能会对我国电商平台造成较重的合规负担。
5.2. “数据控制人机构”的活动范围
2014年的“谷歌西班牙案”4中,欧洲法院为了避免总部设立于美国的谷歌逃避欧盟数据保护法规的监管,欧洲法院对“活动范围”进行了宽泛的解释,认为谷歌(西班牙)有关广告空间的商业活动与谷歌搜索引擎运营中数据处理行为存在联系,因此属于“活动范围内”的要求。
而与之相反的是,“德国脸书案”5中,德国行政法院认为脸书在欧洲设有两个机构。其中德国子公司仅仅负责公共关系和市场营销,并不属于实际数据处理机构;而爱尔兰子公司负责处理欧洲用户的数据信息,爱尔兰法才应当是准据法。显然,若将“谷歌西班牙案”中的标准适用于“德国脸书案”,则会导致德国法与爱尔兰法的重复适用的冲突。
综上,由上述案件的对比可发现,欧洲法院为了防止数据控制人逃避欧盟实体法律的规制,对“数据控制人机构设立地”这一连结点的扩张解释。这一现象可能会导致准据法适用结果的混乱或重复适用,增加当事人无法预测准据法的可能性,同时也降低了“控制人机构设立地”冲突规范的科学性。但这并不代表“数据控制人机构设立地”这一冲突规范连结点的设置不应当被采纳。相反,应当在现有的基础上进一步完善这一连结点,并考虑在我国予以本土化运用。
6. 完善我国跨境电商消费者个人数据保护冲突规范的启示
我国现有的冲突规范在跨境个人数据保护领域的可适用性较为薄弱,并且存在较多值得商榷的问题。而设立“数据控制人机构设立地”取代现有的连结点,作为个人数据保护相关诉讼的核心冲突规范可增加法律选择的可预测性。
6.1. 增设“数据控制人机构设立地”作为结点
随着“阿里巴巴”“京东”等电商平台的蓬勃发展,我国在保护消费者个人数据的同时也应当考虑保护电商平台在跨境个人数据流通方面的利益。增设“数据控制人机构设立地”(即“平台机构所在地”)这一连结点具有可行性。
当然,也需要参考上文中提到的通过对控制人“机构”、数据处理与“机构”的关联性将“数据控制人机构设立地”限制在合理范围内。可引入“目标市场地”及“经营活动指向”限制条件进一步对“数据控制人机构设立地”进行解释,一方面避免冲突规范过于僵化不符合现实需要,另一方面也避免了域外效力的不当扩张。
6.2. 为“被侵权人经常居所地”设置限制条件
《法律适用法》第46条在跨境个人数据保护方面的应用,由于缺乏必要的限制条件,可能导致对电商平台不公平的法律后果,并影响到数据保护与数据流通之间应有的价值平衡。立法上应考虑引入额外的限制条件,如“控制人经营活动指向”这一条件[7],以确保法律适更加精准和合理。
具体来说,“控制人经营活动指向”这一限制条件要求法律适用时考虑数据控制人的实际经营活动是否与被侵权人所在地有实质性联系。如果数据控制人的经营活动主要指向被侵权人经常居所地,那么该居所地的法律应优先适用,反之则可能需要考虑其他适用法。这样的规定有助于确保法律适用不会无端加重平台负担,同时保障被侵权人的利益得到合理维护。
6.3. 适当情况下承认当事人“意思自治”的效力
经过上文的分析,“意思自治”在跨境个人数据保护领域是有适用可能性的,但是必须确保数据主体和数据控制人订立的个人数据合同中双方基于自愿达成了意思自治,约定的准据法才具有效力。
然而,“意思自治”并不是无限制的。在个人数据合同中,双方必须基于自愿的原则达成一致,不能存在强迫或欺诈等不正当手段。这意味着合同中的准据法选择,必须是双方真实意愿的反映,而不能是一方利用优势地位强加给另一方的结果。具体而言,“意思自治”的适用必须同时满足程序与实体的双重检验。首先,程序层面消费者与平台须以明示、可撤回的方式达成准据法选择,不得仅凭格式条款或默认勾选;其次,实体层面所选准据法不得实质性减损个人数据权最低保护标准。
7. 结论
随着全球化和信息技术的飞速发展,跨境电商消费者个人数据保护的法律适用已成为国际社会共同关注的焦点问题。传统冲突规范以侵权或合同预设场景,难以回应数据要素跨境流动对平台合规成本及消费者保护的双重需求。本文在形式正义层面,主张以“数据控制人机构设立地”为首要连结点,提升法律适用可预见性;在实质正义层面,引入“目标市场地”及“经营活动指向”限制条件,并辅之以有限的“意思自治”。由此可在数据保护与数据流通之间实现利益均衡,降低平台守法负担,保障消费者个人数据保护水平不因跨境交易而减损,为我国跨境电商治理与国际规则协调提供规范路径。
NOTES
1《法律适用法》第44条规定:“侵权责任,适用侵权行为地法律,但当事人有共同经常居所地的,适用共同经常居所地法律。侵权行为发生后,当事人协议选择适用法律的,按照其协议。”
2《法律适用法》第46条规定:“通过网络或者采用其他方式侵害姓名权、肖像权、名誉权、隐私权等人格权的,适用被侵权人经常居所地法律。”
3Weltimmo公司是一家在斯洛伐克注册成立的房产中介平台,平台上以匈牙利房产信息为主。平台规定:“用户注册首月不收取费用,之后会按照发布广告信息收取服务费。”许多用户在满一个月后,都注销了账户,并要求平台删除他们的个人信息。Weltimmo并没有删除,反而向用户要求服务费,并将未支付费用的用户信息提供给了催债公司。用户向匈牙利数据保护机构申诉,该机构经调查认为其享有管辖权,并对Weltimmo处以1000万匈牙利福林罚款,约合32,000欧元。Weltimmo不服向布达佩斯行政与劳工法院起诉,认为Weltimmo并没有在匈牙利设有分公司或者办事处,匈牙利数据保护机构无管辖权。法院以其他理由驳回了匈牙利保护机构的处罚,但未就管辖权问题做出回应。
42010年3月5日,西班牙的C先生,称在谷歌搜索中搜索自己的名字,会出现La Vanguardia Ediciones SL在1998年1月19日和3月9日两天的报纸内容,其中刊登了载有他名字的因清偿社会保险债务而拍卖其不动产的公告,故C先生向西班牙数据保护机构Agencia Española de Protección de Datos (AEPD)提起申诉,请求La Vanguardia Ediciones SL删除或者更改页面内容,使他的个人信息再出现,或者不被搜索引擎搜索到,请求谷歌西班牙及谷歌公司删除或者隐藏与他有关的该项信息,不再出现在以他名字为关键词的搜索结果列表中。2010年7月30日,AEPD做出裁决,拒绝了González先生要求La Vanguardia Ediciones SL删除页面内容的请求,支持其要求谷歌西班牙及谷歌公司删除链接的请求。
5Facebook公司主要业务为开发和运营数字产品、线上服务和智能手机应用等,其核心产品是社交网络Facebook.com。2018年德国的日活跃用户数为2300万,月活跃用户有3200万。Facebook通过为发布商(publishers),和企业发布线上广告来获取社交网站的经济支持。广告会匹配个人用户的测写信息。目的是基于用户的个人商业行为、兴趣、购买力和生活条件为用户呈现他们可能感兴趣的广告(称为targeting或者targeted advertising)。2019年2月,德国联邦反垄断局再次发布了一项最终意见,禁止Facebook毫无限制地处理用户信息。Facebook对德国联邦反垄断局的处罚决定不服上诉至杜塞尔多夫地区高等法院(DHRC)。