日前,腾讯研究院举办第六期C-Law午餐会,邀请北京大学教授、《中外法学》主编王锡锌担任此次分享人。
王锡锌教授就今年五月正式生效的欧盟《通用数据保护条例》(GDPR)的长臂管辖规定,与专家、学者围绕该原则的起源、扩张及在互联网时代的合法性问题进行了深入探讨。
GDPR第三条规定的属人管辖超出了传统理解的法律规范适用的空间范围,这种管辖可能会带来对其他主权国家执法权完整性的挑战。
管辖制度的设计,需要充分考虑到主权原则与效果原则,并可借鉴美国的最低联系标准(minimum contacts)。
针对GDPR长臂管辖制度,除了数据控制者如公司需要作出反应,国家作为主权者需要从维护主权完整、以及中国的企业与中国数据经济发展的角度,提出应对。
王锡锌 北京大学法学院教授,《中外法学》主编
GDPR在5月25日实施以后,包括学界、实务界在内的一些专家都提出了GDPR是“全球最严”的数据保护法规,这个“最严”可以从两个角度来体现:第一,GDPR赋予了监管机构非常强大的监管权、调查权、行政执法权、处罚权;第二,GDPR第三条关于地域范围的条款,超出了传统意义上空间效力的范畴,甚至牵涉到了主权问题。
✔ 有必要认真检讨GDPR长臂管辖原则
值得思考的是,一个主权体,包括主权国家和主权国家的联合体,在制定法律规范的时候,能否单方面主张这种超越自身领土及主权范围的管辖权。
简言之,即GDPR长臂管辖规定的正当性、实质合理性以及适用上的必要性。之所以要讨论这个问题,有以下几个重要理由。
理由一:
传统的法学理论中,法律是主权者意志的体现,而主权者的意志只能在一个领土和空间范围内才是主导性的。如果对此做出突破,将涉及到另外一个国家的主权问题,这属于国际法问题。
从这个角度切入分析长臂管辖原则时,就不能当然认为只要GDPR单方面规定了,就必然是正当且需要遵守的。GDPR本身并没有对管辖的延展,对所谓跨越主权、领土范围的管辖去做一种正当化、合理化的证明,也不符合国际法的礼让原则。
理由二:
除了主权原则,管辖制度的设计还需要满足效果原则。对超出欧盟范围之外的事宜,欧盟实际上可能并没有能力单方进行调查与执法。即使作出处罚决定,在没有办法予以执行的情况下,效果就无从体现。
理由三:
由于负外部性的存在,其他国家对GDPR的承认程度以及是否会采取应对措施至关重要。当整个问题演变成为国际法问题时,就不再简单是由企业不加考虑地作出合规调整,而需从国家层面考虑通过订立双边、多边协议的方式,经外交途径促进问题解决。
✔ 长臂管辖原则的起源
要对GDPR长臂管辖的正当性和实质合理性提出质疑,需要回到一个法学上的老问题,即管辖问题。
长臂管辖的本质是属人管辖权,实际上是属人管辖的一种延展。其概念首先在美国民事诉讼当中被提出。美国最高法院最早在1877年最高法院的案例中确定了最基本的领土主义的管辖原则:
1、各个州都可以对其领土范围内的人和物进行专有和全面的管辖权。
2、各个州对其领土外的人或财产原则上不得行使直接的管辖。
而后,美国最高法院把诉讼分成了对人的诉讼以及对物的诉讼两类,与之相对应的管辖分为了属人管辖和属物管辖。属人管辖相对比较复杂,所谓的长臂管辖是以属人管辖为主,是对人的诉讼延伸出来的管辖规则。
随着州际商业的不断发展,特别是在合同、商品流通、产品质量侵权方面,跨州纠纷不断增多。
1945年“国际鞋”案(International Shoe Co. v. State of Wash., Office of Unemployment Compensation and Placement)中,美国最高法院系统性地提出了属人管辖的问题,并确立了最低限度的联系原则(minimum contacts)。
所谓最低联系,即必须要有某种因素,将不在本州的被告和法院地联系起来。这个联系应该保证有一定的数量与频率,且当事人提起诉讼必须是基于这种联系。同时,法院适用长臂管辖还必须要符合公平对待和实质合理的原则。
在之后的判例中,美国法院进一步指出联系必须是有目的的,还于1980年大众汽车公司案(World-Wide Volkswagen Corp. v. Woodson)、1987年日本轮胎案(Asahi Metal Industry Co., Ltd. v. Superior Court of California, Solano County)中强化了商业流通的问题并引入了经济学的分析方法,要求应综合考虑对原告的便利、对被告增加的负担、对本州的利益、对各州的利益协调来确定管辖。
总结来说,美国在长臂管辖的适用过程中总是会添加必要的限制:首先,如果这个州有长臂管辖的法案,针对该法案本身是可以进行合宪性审查;其次,如果没有制定法案,适用长臂管辖需要判断是否符合美国宪法第十四修正案所规定的平衡保护,并延伸出最低联系标准——1、被告有意地与法院所在地发生了联系行为;2、诉讼的请求必须是基于有联系的行为;3、跨地域的管辖符合公平正义、最低限度的原则。
✔ 美国在互联网领域谨慎适用长臂管辖原则
当下互联网行业和传统商业已经产生了很大的区别,但美国法院在处理网络时代案件的管辖问题时仍然比较谨慎,尽管对“联系”会做一些不同的界定和解释,但适用的还是传统的管辖标准。
网络时代的到来并没有对美国的法院或传统的司法体系造成太大的冲击,其较成功地利用传统法律理论与司法机制解决了互联网法中的一些疑难问题,这点对我们也应有一定启发。
✔ 重新审视GDPR长臂管辖原则的正当性
GDPR的长臂管辖是不满足实质合理性的,这种管辖不是传统的民事诉讼的私法管辖,而是一种对行政执法权的主张。
这种管辖可能将会带来对其他主权国家执法权完整性的挑战,引发下列后果:1、对他国执法主权的威胁;2、不符合效果原则,当缺乏所在地国家的协助和配合时,所谓的监管、调查、执法均无法实现;3、此时若强行启动调查和执法,将可能引发贸易冲突,甚至外交冲突;4、使得欧盟内的数据经济形成比较明显的用脚投票的效益,给欧盟带来高昂的制度成本;5、以上不能通过协商得到解决的话,有引发法律战的风险。
而对于中国政府来说,该问题不但涉及对我国企业以及数据经济发展的合法保护问题,也涉及到了执法主权。政府应当扮演一个更重要的角色,从以上角度出发提出应对。就目前而言,这方面问题多于对问题的解决方案,怎么来解决,留待大家一起思考。
万勇:中国人民大学法学院教授
针对长臂管辖问题,我们或许可以参考我国《刑法》第八条规定的保护管辖权——外国人在中华人民共和国领域外对中华人民共和国国家或者公民犯罪,而按本法规定的最低刑为三年以上有期徒刑的,可以适用本法,但是按照犯罪地的法律不受处罚的除外。
按照这条规定的设计思路,从某种意义上照顾到了前提条件即“按照犯罪地的法律”是否应当受处罚。未来我们或许可以按照这样的一个思路和原则来和欧盟进行协商。
王静:中央党校(国家行政学院)政法部副教授
行政管辖背后的机理与司法是不太一样的,管辖的冲突往往是通过事权的划分来解决,而行政事权怎样划分才合理是值得思考的。
行为地标准可以作为一个原则,而当有可能出现管辖权的积极竞争和消极竞争的时候,我们或许可以参照美国联邦贸易委员会为避免监管俘获而坐镇华盛顿的方式,设立一个全国性的机关集中管辖,而非在例如个别省市设立办事处,造成监管难度过大的后果。
张金平:中央财经大学法学院讲师
GDPR的行政长臂管辖已经在往司法上的长臂管辖靠拢。
例如,GDPR前言第23目对第3条第一种场景“提供商品或服务”的长臂管辖做了解释,是根据企业是否显然(apparent)希望(envisage)给在欧盟一个或多个成员国居住的居民提供商品或服务来判断的。
如果仅仅是可以访问企业的网站、提供可联系的邮件或其他联系地址,或者网站只是使用了中文,都不构成“显然希望”。
然而,如果使用了欧盟一个或多个成员国的语言或者货币进行商品或服务的提供或者专门提及欧盟的客户,就足以构成“显然希望”。
第23目的解释就将行政长臂管辖往司法长臂管辖中的最低联系原则靠了。按照GDPR第27条的要求,在欧盟境外的数据控制者需要在欧盟境内指派一个代表作为欧盟行政长臂管辖的联系人,GDPR也没有专门对不指派代表规定惩罚措施,因此在实践中很难实现。
但是,GDPR行政长臂管辖的目的,很可能是借助第三国适当性评估或者第三国与欧盟委员会达成双边协议中的谈判中加入这一要求,要求第三国对这部分数据控制者进行监管,并对欧盟人就这部分数据控制者的数据滥用导致的侵权行为提供国民待遇,即有权在第三国直接向该类数据控制者提起侵权诉讼。
这一点,美国2016年专门制定的《司法救济法》已经为欧盟人提供了美国联邦政府(还不包括其他主体)使用欧盟人数据导致的隐私侵权提供侵权诉讼上的国民待遇。
王磊:新浪网高级法律顾问
互联网公司会应对国外的一些司法机关包括法院的协助调查,但目前针对美国法院要求中国公司提供相关证据的要求时,平台会面临两难境地——一方面涉及司法主权,另一方面无视或忽略该要求将导致互联网公司,特别在美国纳斯达克上市的互联网公司面临美国证监会的处罚。
因此,能否在行动过程中建立相关的制度,使得面临管辖权冲突时的协助可以顺利开展,从而平台可以在程序上进行配合。
