內容摘要
個人數據既不同于現實空間的有體物,也不同于具有創造性無形的智力成果,它是一種新型的客體,與人的身份有關,但不屬于身份權范疇。傳統的“物之所在地法”規則和知識產權法律適用規則并不能有效地解決個人數據保護法律沖突。同時,個人數據權是一種復合型權利,不僅包括人格權和財產權,還包括遺忘權、更正權、訪問權等多種權利,物理空間單一的侵權行為地規則在互聯網領域內顯得單薄。由于數據具有虛擬性、瞬間性及流動的無界性等特點,而且地理空間的分散,連結點增多,傳統的法律適用規則在虛擬的網絡中受到了很大的挑戰。因此,為回應這一挑戰,應從個人數據的本質屬性和隸屬的法律關系兩個方面去探尋個人數保護法律適用的一般規則,并結合引起法律沖突的特殊問題,適當借鑒“數據來源國法”“最強保護國法”和“保護弱勢方利益”等規則。
關鍵詞:沖突法 個人數據保護 物之所在地法 法律適用規則
在信息經濟加速全球化的進程中,個人數據被大量使用和傳播,為全球經濟的發展和繁榮帶來了巨大的紅利。但與此同時,個人數據也存在被非法收集、非法處理和濫用情況,數據主體的合法權益受到了嚴峻的挑戰。近年來,隨著個人數據侵權引發的案件日益增多,世界各國都紛紛加強個人數據立法保護。截至目前,全球已經有120多個國家和地區頒布個人數據保護法,還有40多個國家和地區正在準備籌備。由于不同的歷史傳統和法律文化的差異,各國在個人數據保護的方式和水平上就略顯不同,導致法律沖突現象嚴重。如何解決這些沖突現象是現在國際社會上面臨的一個重要問題。一、個人數據保護法律適用規則對傳統的挑戰
“傳統沖突法是一種建立在以領土為標準劃分各國法律管轄范圍基礎上的法律體系,通過運用一種所謂的‘分配法’的方法,將發生爭議的涉外民商事關系分配給某一國家的法律處理”,從而解決外國法律的域外效力與內國法律的域內效力,或內國法律的域外效力與外國法律的域內效力之間的沖突。地域因素或空間場所在法律選擇和審判中起著基礎性的控制作用,成為制約人類生存和活動的自然性的客觀標志。然而,隨著科技的發展和信息化時代的到來,互聯網得到廣泛的普及運用,網絡把成千上萬的網絡用戶聯系在一起,整個世界形成一個巨大無邊的網絡疆域。在網絡空間里,人們的生活方式和交往方式都發生了改變,移動支付、網絡平臺、電子商務等新型的事物逐漸出現,網民可以自由進入各個國家的網絡空間,自由瀏覽和查找需求,進行網上交易和網上服務,所有的一切幾乎都可以在網上瞬間完成,而不受傳統地域的管轄限制。傳統的地域模式很難再對這些過程和環節進行確定或場所化,沖突法中的地域要素和空間場所在網絡領域中受到了極大挑戰。
(一)“物之所在地法”規則在個人數據保護法律適用中的障礙
“物之所在地法”的產生最早可追溯到13、14世紀的意大利,由巴托魯斯提出,他主張不動產應當適用不動產所在地的法律,但是動產應當適用當事人的屬人法,即“動產隨人”原則。然而,隨著資本主義經濟和國際民商事交往的進一步發展,動產所有者與動產分離的現象日趨正常化,即使是同一動產所有者,其動產也可能位于多個國家,動產所在地的國家也不愿意用屬人法來處理本國的動產,于是巴托魯斯的主張遭到很多學者反對和批判,很多國家開始拋棄“動產隨人”原則,直接適用“物之所在地法”,即法律關系的標的物所在地的法律。其主要適用于物權領域,范圍包括動產與不動產的識別問題,物權的客體范圍、物權的內容范圍、物權的取得、消滅和變更的方式和條件、以及物權的保護方法等,這一原則的確具有廣泛的運用價值,但是對于一些特殊的物權則不能適用“物之所在地法”規則。例如,運輸途中的貨物、船舶、飛機、汽車和其他運輸工具、與人身關系密切的動產、外國法人的財產清算以及外國的國家財產等。
“在民法上,物權是一個法律范疇,系指由法律確認的主體對物的直接管領并排除他人干涉的權利”。在物權法律關系中,物權的客體通常是物,是權利人在法律規定范圍內直接支配的特定物,不僅具有客觀實在性、特定性、唯一性等特征,而且其最主要的特征就是物的所有人對物進行占有、使用、收益和處分的權利,并排除他人的干涉。在國際私法中,“一些觀點運用‘財產權’來表達國際私法中的物權內容,并認為財產權的內容大于物權”。“在更早期的一些國際私法著作中,也有直接論述‘國際私法中的所有權’的觀點”。目前,學界對數據權討論的觀點在某種程度上與以上觀點具有一致性。物就是財產,這是一種簡單的客觀事實或客觀現象的總結。物可以說是財產權最基本的表現形式,因為它的確表現為一種財產權利,而且這種財產權具有特定性,對物享有支配的權利。雖然物權的種類和內容通常具有法定性,但是并不意味著在所有的歷史階段和所有的國家中二者總是保持一致的,但是對于物權的法律沖突,無論是動產物權的法律沖突抑或不動產的法律沖突,各國在法律適用上一般都主張用“物之所在地法”規則加以解決,“‘物之所在地法’是最普遍的適用法則,也是國際私法上經常用來解決有關涉外物權法律關系的法律沖突原則”。
與物相比,個人數據也具有物權的某些特征。通過對個人數據的識別能夠讓商家精準識別顧客的需求,及時地調整經營方式并合理的預測未來企業發展方向,個人數據的財產價值日益凸顯,并能夠讓自身成為交易的對象,使得數據能夠作為買賣的對象,成為數據法律關系的客體。個人數據不僅能夠成為數據權利支配的客體,而且還具有物權的排他性質,這種排他性主要體現在個人數據所有權的性質上。例如,針對個人數據的所有權屬性,巴西個人數據保護法、奧地利聯邦個人數據保護法中都對專門對個人數據的所有權做出規定。盡管個人數據主體在行使這四種權利時經常處于靜態或被動狀態,但是并不能否定其基于所有權基礎上的支配權,數據所有權主體對個人數據同樣具有占有、使用、收益和處分的四種權利。事實上,各國的個人數據保護法對此也都給予承認,例如,各國個人數據保護都相應規定個人數據的收集、加工、處理和使用必須經過數據主體的同意,尤其是對于特殊的數據,往往還要求必須經過數據主體的明確書面形式同意后才可以進行加工和處理。正因為個人數據具有財產的屬性和數據所有權的排他性,使得其與物有著重要的相似性。當個人數據能夠成為交易的對象或者合同法律關系對象時,數據似乎具有了完整意義上的準物性。然而,就個人數據而言,個人數據的本質是信息,其并不是一項獨立的實體物,在網絡空間中虛擬的狀態并且必須依靠一定的載體而存在,而且載體可以無限制地被復制、傳播,任何人都可以在同一時間、不同的地方收到同一個個人數據。在此種情景下,數據的適用空間具有多變性,很難去判斷何處是真正的物之所在地。因此,數據本體法律適用很難按照“物之所在法”規則去適用。一方面,因為“物之所在地”的法通常是有體物,這種物具有可控性和實體性,并且能夠獨立存在其處所通常是固定的,確定起來相對比較容易;另一方面,這種物具有唯一性,雖然其消滅或損壞后可以用同類或同種物所代替,但是其已經發生了改變。如果個人數據按照“物之所在地法”規則去適用,不但會出現實踐上的操作性困境,而且在理論上也會面臨很大的障礙。從物權法律適用的范圍來看,與人身權密切關系的物通常被“物之所在地法”適用規則所排出,即使把個人數據作為無形財產的“準物權”來看待,“物之所在地法”仍然不能夠適用,因為個人數據本質體現為個人信息,是與個人的身份緊密相連的,或者說人格權構成其重要的內容,如果適用的話,勢必會造成理論上的困境。實際上,每一種學說的背后都有一種或幾種理論作為支撐,盡管“主權說”“法律關系本座說”和“利益需要說”并不能完全為“物之所在地”規則提供完美證成,不能充分揭示物之所在地法的客觀依據,但是其卻揭示出一定歷史時期認識的必要性,具有一定的合理性。“物之所在地法”這一適用規則是由物的本身屬性和所屬的法律關系性質決定,是最直接的原因,也是最根本的原因。與物權法律適用的理論基礎相比,個人數據法律關系的適用理論相對不足,需要從進一步去探索個人數據的權屬和法律關系才能找到適合自身的適用規則。
(二)知識產權適用規則在個人數據保護法律適用中的困境
知識產權又被稱為“無形財產權”或“智慧財產權”,是指“個人或集體對其從事科學、技術、文學藝術等智力活動創造的智力成果依法所享有的權利。物權在通常意義上僅指就有體財產設定的權利,而無體財產特別是就智力成果設定的財產權,則成為‘準物權’”。知識產權作為一種特殊的財產權,與有形財產權不同,具有獨占性、時間性和地域性等特點,其包括工業產權和著作權兩大類,具體包括著作權、專利、商標等。“知識產權是一種新型的民事權利,是一種有別于有體財產所有權的無形財產權,權利客體的非物質性是知識產權區別于有體財產所有權的本質特征”。目前,學界還有部分學者對知識產權的認識仍然停留在傳統的認識基礎之上,在概念上界定為“無形財產權”或“智慧財產權”,在網絡發達的今天,似乎知識產權與無形財產權并不能天然畫等號,必定像比特幣、游戲幣等一大批為代表的虛擬財產也成為無形財產的重要構成部分,科技技術的進步為無形財產內容的認識起到推動作用。其實,知識產權和無形財產權只是一種種屬關系而已,知識產權屬于無形財產,而無形財產并不局限于知識產權,這一點無可否認。從個人數據的法律性質來看,個人數據不僅具有人身性質,還具有財產性,網絡空間的虛擬性決定個人數據的無形性,個人數據雖然具有知識產權的無形財產性質,但是個人數據又不同于知識產權。目前,盡管知識產權界的部分學者對數據知識產權的研究表現出極大的興趣和熱情,但是個人數據仍然不具有知識產權的特征,因為知識產權有很強的地域性和創新性,創新性構成了知識產權的重要標志,而個人數據是一個人的生理特征、社會特征或者活動等信息的客觀記載,并不具有創新的內容,不符合知識產權要求的創新性。另外,雖然個人數據經過第三方加工和處理后能夠形成知識產權,但是其本身已經脫離了個人數據保護的范疇,這種加工處理是建立在海量數據的聚合基礎之上,必須以數據主體的同意為前提,并經過脫敏而形成,構成知識產權的重要標志是其處理方式或編排方式,而非數據本身。從權利本身關系看,如若賦予個人數據以知識產權,就可能會導致個人數據權和知識產權之間的相互沖突,必然導致最終將在二者之間進行法律上的抉擇。
目前,各國針對無形財產法律適用的立法相對不足,而對于知識產權的法律適用規則相對來說較多,因此,從知識產權作為無形財產的法律適用方法去探尋個人數據保護法律適用一般規則只能是一種方法的嘗試,而不代表必然的確定性。在國際私法中,“知識產權的法律適用問題實質就是利用沖突規范援引準據法來調整涉外知識產權關系,也就是討論用什么樣的法律來保護一國界限的知識產權”。從知識產權法律適用的體系來看,知識產權的法律適用體系主要由知識產權的本體問題法律適用、合同關系法律適用、侵權關系法律適用和法律責任及時效等。而有關知識產權的主體資格、客體內容,權利范圍、效力以及歸屬等知識產權本體問題一般適用權利授予國的法律,即賦予知識產權權利國家的法律。例如,專利和商標一般采取注冊地原則,而著作權則適用最初發表地法。這種法律適用規則具有確定性和預見性,為知識產權的國際保護提供了最基本的遵循。“但是由于發達國家和發展中國家知識產權的保護力度不同,在國際知識產權中權利和義務如若按照權利授予國的標準去適用,勢必會給發展中國家帶來很大的壓力,也沒有做到實質的公平”。
在數據法律關系中,個人數據作為數據法律關系的客體并不能按照知識產權的“權利授予國”的法律標準,因為個人數據作為一種客體的存在,數據主體享有的權利并不需要經過特別程序進行確認,而是與數據主體人身權利與生俱來的基本權利,因此,數據知識產權的客體適用規則受到一定限制,這種依靠權利授予國的規則只能適用于極少數國家。例如,奧地利聯邦個人數據保護法第2章第13條中規定對一些特殊數據的傳輸和委托必須經過許可,第46條第3款規定:“為科學研究或者統計目的,數據保護委員會可以對數據使用者頒發許可”,獲得許可證書是使用數據的前提條件,否則為違法使用,在這種法律關系中,權利的授予國的適用規則將能夠發揮一定的作用。針對無形財產的法律適用,國際上存在相關的法律規定,例如,1978年奧地利聯邦國際私法法規第6章關于無形財產的規定,第34條規定:“無形財產(包括知識產權)的創立、內容和消滅,依使用行為或侵權行為發生地國家的法律”。這一規定主要從侵犯財產權的角度進行規定,實質上是從侵權法律關系角度對無形財產的法律進行規定,雖然個人數據的無形財產性質表現并不明顯,但是卻為我們從具體法律關系探尋無形財產的法律適用規則提供了借鑒作用。
(三)人格侵權法律適用規則在個人數據保護中的局限性
有關人格權的法律適用規則各國都有相應的規定,例如我國涉外民事關系法律適用法第46條就有關網絡侵犯隱私權、名譽權、姓名權等人格權的法律適用進行明確規定,也經常作為提起訴訟和進行法律審理的依據。但是這一條適用規則是否能完全適用個人數據的保護?需要從源頭對個人數據性質和權屬進行探析。
由于不同的立法傳統和使用,各國在個人數據保護的文本冠名上并不一致。歐洲的一些國家通常習慣在文本上使用“個人數據”命名,美國、加拿大、澳大利亞等國家以及APEC等組織冠名以“個人隱私”稱謂,而中國、日本等亞洲國家則冠名以“個人信息”。其他國家或組織也也要使用“個人資料”命名。但無論是以信息、隱私、數據或個人資料等稱謂命名,在網絡語境下,其內容和含義有共同的本質屬性,能直接識別或者間接識別個人的相關信息,涵蓋個人的心理、生理、家庭和社會生活各個方面的事項,不僅與數據主體的人身權益有重要的聯系,而且與數據主體的財產權益也有重要的聯系,是數據主體的基本權利和自由的重要體現。一方面,個人數據保護的法益具有多樣性,包含人格、隱私、財產等綜合性的權益。個人數據保護的人格權主要體現在數據的內容與主體的人格權有密切的關系。一些數據通常記載個人的身體健康狀況、私密生活、宗教信仰等情況,構成個人隱私的重要內容,一旦泄露可能會對個人的人格權構成侵害,也可能會損害當事人的名譽,因而,應當受到法律嚴格保護。個人數據的財產權主要體現在兩個方面:一是指因個人數據涉及的隱私被泄露時對當事人的名譽、榮譽產生不良影響,導致個人的信用降低,從而造成財產上的損失;二是指個人數據本身具有價值。就單個主體的數據價值來說,其價值本身依賴于數據的內容,并從原始個人數據內容中獲取價值,當然這種獲得是直觀的,并通過一定的形式表現出來。例如,通過手機掃碼、關注獲得相應的補償,或者掃碼獲得優惠券、小額現金等。當然,這種價值體現可能微不足道,但是當存在海量個人數據時,這時的數據價值主要是通過算法對個人數據進行加工處理,并從加工后的數據總量中獲取相應的價值。例如,通過對個人的消費數據進行加工,獲取消費者的消費信息,從而有利于推廣新產品或者開發新項目。由于加工后的數據要通過可讀的方式進行識別才能實現數據的價值,因此需要投入大量的成本去識別和加工數據,從而進一步推動個人數據價值在數據交易中的穩步增長。另一方面,個人數據權利具有復合性,包括遺忘權、查閱權、知情同意權、修改更正權等,與傳統的民事權利相比有自己的特征,是一種新型的權利,具有復雜性,人格權并不能涵蓋個人數據權利所有的內容。因此,盡管個人數據與個人的人格有關聯,在內容上具有人格權的利益,但是個人數據權利的內容和屬性都不同人格權,人格權適用規則并不能完全適用于個人數據保護。
二、個人數據保護法律適用規則對傳統挑戰的回應
互聯網的全球發展促進了數據資源在全球范圍內自由流動和優化配置,為個人數據保護的法律適用提供了更為廣闊的發展空間。如若傳統的國際法律適用規則以開放式的態度對未來的個人數據保護法律關系進行全方位包容,那么在未來的立法和實踐中必然走向僵化和教條。但若拋開傳統的法律適用規則一意孤行,把現實空間和虛擬空間割裂對立,最終也必將走向失敗。事實上,在傳統的國際法律適用規則基礎之上,并以此為改良或許是當前面對挑戰的可行方法,因為傳統的法律適用規則經歷數百年的發展不但能夠經得起理論檢驗,更能經得起實踐檢驗,具有很強的操作性,能夠為個人數據保護法律適用提供一般規則指引,在此基礎上進行適度的改良,必將進一步促進法律適用體系的完善。
一般來說,在沖突法上,“對于法律關系及爭議客體性質識別,盡管在理論上有各種學說,但在司法實踐領域各國普遍接受的規則是適用法院地法”。“法院地法一般用來解決涉外民商事訴訟程序方面的法律適用問題,對于其他問題如識別沖突的解決,也多以法院地為依據”。法院地原則在適用法律時容易查明法律,具有一定的合理性,但是在實踐中容易導致當事人為規避法律而挑法院的現象,尤其是在數據法律關系中,如若侵權人實施的侵權行為在法院地不被認為是侵權,或者侵權人泄露的數據在法院地不被認為是敏感數據的情況下,可能會做出對當事人不利的判決。例如,A國同性戀男子John把自己和中國的男朋友李某在A國同志酒吧中拍照上傳到網上的照片發到網上并配有文字說明,后李某被其朋友認出并把相關信息傳給家人,最后李某老婆提出離婚,其父母也因生氣住院,其家庭生活受到了嚴重的影響。后來,李某在A國提起訴訟,認為John侵犯其個人隱私,要求承擔責任。法院則認為,根據A國的法律規定,與個人性取向的信息是否屬于敏感數據在法律上并沒有明確做出規定,而且A國是一個同性戀合法化的國家,關于同性戀個人的信息通常都被認為是一般信息,而且John發布的個人照片是在公共空間中拍攝,其文字只是客觀性事實描述,并且當事人也無法認識到自己的行為是侵權,因此,A國法院不認為存在侵權。在該案件中,侵權行為地和法院地都在A國,在適用法律上不存在問題,但是由于對數據客體的法律認識不一致,導致結果可能就會不同,如果在結果損害發生地的中國進行起訴,可能會被認為是屬于侵權行為。
卡弗斯認為,“在沖突法領域內,法律的最高目標不可能同時獲得一致性和確定,否則其本身可能就不存在”。他認為,法院在解決從法律沖突時通常有四種方法,其中“第一種方法是確定案件的法律關系類型,依據法律關系選擇連結點。第二種是確認引起法律沖突的特殊問題,并對引起沖突的每一個問題適用正確的連結點,然后選擇適用法律”。筆者認為,這兩種方法在為個人數據客體法律適用方面提供了很好的借鑒。在探尋個人數據作為客體的適用規則實質就是在從數據的本質特征或者個人數據法律關系中對連結點做出選擇。在傳統的法律選擇方法中,依法律的性質、法律關系的性質、密切聯系原則、利益分析等方法為我們提供了選擇的思路,但是數據作為一種新型的客體,其法律適應規則的選擇必須從兩個方面進行考慮:一是個人數據的本質屬性;二是個人數據所屬的法律關系,從這個兩個方面入手,是找到適合個人數據保護法律適用規則的理想途徑。
1.從個人數據的本質屬性探討從個人數據的本質特征來看,其實質是個人信息,是主體的各種屬性的計算機語體形式的記載。從數據與主體的關系來看,個人數據的本質屬性中實質是包含一種根源性的法律關系,這種法律關系來源于一種天賦人權理論的支撐。個人數據主體權利的實現需要與社會發生一種動態的關系,但是并不能否定個人對數據的一種靜態支配狀態,這種支配具有民法上所有權屬性,其本身就是一種法律關系,只不過這種法律關系是隱性的,不像其他法律關系表現那么明顯而已。盡管有學者提出個人數據不一定屬于個人所有,但是其表達的僅僅是一種狀態下的表現形式,即使屬于他人所有,這種所有權的獲得也是基于源個人數據權人的所有權基礎之上。因此,無論是從憲法、民法法律規定的正當性抑或從自然正義理論支配性的理性視角,個人對其數據的支配權具有合法性和合理性。個人數據與數據主體的人身權具有密不可分的關系無論各國的個人數據保護法在名稱上或保護的內容上差異有多大,個人數據的界定與數據主體的人身權始終都分不開,個人數據的保護更突出對個人數據主體人身權的保護。在實踐中,關于人身權的法律適用,只有少數國家或地區規定了總括性人格權或人身權的法律適用,一般適用屬人法。大陸法系國家多概括性規定,人的身份和能力適用其本國法;而普通法系國家和一些南美洲國家則規定人的身份和能力適用其住所地法。這也就是說,世界各國原則上均主張人身權適用屬人法。屬人法是以法律關系當事人的國籍、住所或慣常居所作為連接點的系屬公式,一般是用來解決人的身份、能力、親屬、繼承關系等方面的為其屬人法。“但在理論上很少在國際私法著作中系統探討人身權問題,特別是人身權的法律適用問題”,但也有一些國家對人身權的法律適用規則作出特別或例外的規定,例如1966年葡萄牙民法典第27條就人格權規定:“有關人格權之存在、保護即對其行使時所施加之限制,適用屬人法,但是外國人或無國籍人不享有不為葡萄牙法所認可之法律保”。1979年匈牙利的國際私法令第10條規定:“個人身份和人格權依人的屬人法決定,但因人格權受到侵犯所發生的請求權適用損害發生當地和當時的法律;而且,如果匈牙利的法律規定對受害人的賠償更為有利,則依匈牙利法”。1978年奧地利聯邦國際私法法規第12條規定:“人的姓名的使用,依適用于他的屬人法決定,而不問其獲得姓名的根據如何,但對姓名的保護,依侵權行為發生地法”。我國涉外民事關系法律適用法第15條規定:“人格權的內容法律適用權利人經常居所地法”。由此可見,由于個人數據與數據主體之間的存在重要的人身附屬關系,屬人法適用規則自然就應當能夠成為個人數據跨境保護客體法律適用的一項重要規則。2.從個人數據所屬的法律關系探討誠然,對客體的適用規則的探討都不能脫離具體的法律關系,如果說個人數據的本質屬性是個人數據保護的內部法律關系,那么個人數據的合同法律關系與侵權法律關系則為個人數據保護的外部法律關系。在個人數據合同法律關系中,個人數據之所以能夠作為合同法律關系調整的對象,主要是因為個人數據具有財產屬性。個人數據的財產屬性具有唯一性,也是個人數據的價值體現,個人數據內容的沖突并不影響個人數據的財產屬性,因此,從個人數據的財產性來看,個人數據作為合同法律關系的客體本身并不存在沖突,其法律沖突主要體現在個人數據侵權法律關系中,其客體內容的沖突直接影響到個人數據法律關系主體權利義務的履行,共同包含于個人數據侵權法律關系中,但是就每一個具體法律關系來說,其客體的內容與權利義務的內容和范圍總是相互統一,權利義務的履行決定著客體的保護程度,而權利義務的履行通常是客體內容支配的前提,客體的適用規則與權利義務的適用規則都應當在具體的法律關系中體現,因此,個人數據侵權法律關系的適用規則與個人數據客體的法律適用規則具有一致性。
三、個人數據保護法律適用規則的構建
個人數據保護法律適用規則的構建不能脫離傳統的框架和原則。傳統的國際私法的基本理論經過幾百年的沉淀是被實踐證明的科學的理論,尤其是國際私法中的法律選擇方法、連結點的確立、準據法的確定等理論仍然為我們提供指引作用,制定個人數據保護法律適用規則仍然不能脫離傳統理論的支撐。同時,由于傳統法律適用規則在互聯網領域的適用又有一定的局限性和滯后性,不能適用沖突法的發展趨勢,因此,在構建中不僅要對傳統的法律適用規則及時進行調整,而且對于個人數據保護中的一些新的適用規則更要大膽運用,力爭制定出科學、規范的法律適用法。
(一)傳統法律適用規則的借鑒
1.屬人法——個人數據保護法律適用的首要規則
在前文已經論述,“屬人法是以當事人的國籍、住所或慣常居所作為連結點的系屬公式,一般用于解決人的身份、能力、親屬、繼承關系等方面的民事法律沖突”。由于自然人的身份和能力是與人的自然屬性有著密切聯系,同時該能力和屬性受到其生存的社會經濟、政治、宗教、道德、信仰等方面條件影響,因此,各國在法律上對涉及人身權內容的適用規則都采用屬人法規則。在我國相關的涉外法律適用法中,有關屬人法的規定主要體現在涉外民事關系法律適用法的第2章中,專門針對民事主體的民事權利能力和行為能力,以及人格權的法律適用作出具體規定,主要體現在11條、12條和15條中。由于我國在民事法中還沒有把隱私權、數據權作為一項獨立的民事權利進行規定,所以在適用上還采用人格權的方法。因此,為了適用未來個人數據法律關系的適用,需要作進一步調整。眾所周知,屬人法規則的適用與民事主體的人身有著重要的關系,它對民事主體權利的行使起到關鍵性作用。從各國個人數據保護法規定的內容來看,個人數據的本質是與個人自然屬性和社會屬性的已知或未知的信息,是個人的人格和身份的在互聯網空間內的數字化的表達形式,雖然其自身表現為0和1的虛擬數字形式,但是卻指向生活中的現實個體,主要涉及數據主體的隱私、名譽、姓名、人格等內容,與個體的人身權具有密切的聯系。因此,無論從形式還是從邏輯結構上看,適用法律關系當事人的國籍、住所地或慣常居所地的法都具有合理性。屬人法之所以能夠成為人身關系的法律首要選擇,因為“屬人法在時間上對自然人具有持久的決定性,這種決定性與法律的目的相關,這些目的包括對個人和第三人利益或社會利益或各國的政治利益的保護”。在空間上與自然人具有密切關聯性,這種關聯性是一種法律上的必然聯系,而非偶然聯系。在內容上與自然人的權利能力和行為能力也有著直接關系,個人數據法律關系的本質特征恰好與屬人法的特征具有相同的屬性。適用屬人法規則并不意味著國籍、住所和慣常居所地法在適用上的平等性。通常,在選擇適用上存在一定的差序格局,這種格局一方面受到國際私法理論整體發展的制約,更重要的是在經濟全球化的發展趨勢下,國籍法原則的局限性已經日益凸顯。“當代屬人法的發展出現兩大發展趨勢:一是本國法原則已經大為弱化,住所地法原則得到加強;二是傳統的屬人法領域受罪密切聯系原則的影響越來越廣泛”。誠然,在我國的民法通則、涉外民事關系法律適用法和相關的司法解釋中,這一規則也得到了相應的體現。目前個人數據保護的法律法規還不夠完善,但是從各國的個人數據保護的立法和實踐的案例來看,個人數據的法律適用存在本體法律適用、個人數據合同法律適用和個人數據侵權法律適用。在某種意義上,個人數據合同關系并不是個人數據保護的主要法律關系,數據合同關系主要存在與非個人數據中,而侵權關系是個人數據保護的重要法律關系。在數據本體關系中,對數據法律關系的客體、主體的法律適用應遵循屬人原則,在侵權關系中,而在互聯網空間中,無論侵權行為發生地還是結果發生地都比較難以確定,因此,侵權行為地并在互聯網的模式下呈現出僵化的趨勢,需要密切聯系原則基于補充,以達到適用的公平性,另外,這兩個連結點往往與主體的住所地和慣常居所地會相一致。因此,屬人原則作為個人數據法律適用的首要原則,但不排除密切聯系等規則的適用。
2.密切聯系——個人數據保護法律適用的保障
“密切聯系”的適用規則在我國涉外法律適用的立法中也得到相應的回應。我國的海商法、民法通則和涉外民事關系法律適用法等相關規定中都作出進一步規定。例如,海商法第269條、涉外民事關系法律適用法第2條、第6條、第19條和第41條,中華人民共和國民法通則的第145條和148條也做出相關規定。另外,我國涉外經濟合同法第5條都對此作出具體規定。可見,“密切聯系”的適用規則已經在我國的法律適用規則中占有重要的位置。目前,我國“密切聯系”的適用規則主要用于合同、國籍、撫養及住所等幾個方面,適用的范圍相對來說比較窄。在傳統疆域管轄為主的法律適用規則中,因為聯系點相對較少,密切聯系規則的適用具有一定優勢。但是在互聯網模式下,密切聯系的范圍可能被無限擴大,重心的位置不容易確定,如何適用密切聯系規則是一個值得深入探討的問題。結合我國現階段“密切聯系”的適用現狀,筆者認為,在未來的個人數據保護法律適用規則,密切聯系適用規則應當起到保障性的作用對個人數據法律關系中的實質正義的實現起到關鍵作用,應當從以下幾個方面作出努力:首先,擴大密切聯系適用規則的適用范圍,確定密切聯系在個人數據保護法律適用中地位。除了傳統的合同、撫養、不當得利等領域內外,應擴大在互聯網領域內的適用。尤其是針對人格、隱私、個人數據等侵權領域,讓“密切聯系”這一適用規則成為個人數據主體的權利救濟的最后保障;其次,規范“密切聯系”規則的適用標準。在考慮傳統的具體內容、立法目的、政策等內容的同時,還要考慮先關的案情及案件所涉及的具體問題,包括結果的預測、當事人的期望、當事人與法院的經濟成本,以及國家利益和第三人的是相關利益等因素;最后,確定“密切聯系”法律適用的排除規則。盡管密切聯系適用規則具有靈活性和適用性等優勢,但是其仍存在一些弊端。在個人數據實體法律保護還沒有形成國際共識之前,可以規定一些限制性的條款,以避免選擇的重疊性和不確定。
3.意思自治——個人數據保護的有限法律適用規則
意思自治最早是由法國學者杜摩蘭提出,主要確立于合同領域內,并發展為合同法律適用的首要規則。后逐漸擴展到侵權、婚姻家庭等領域。目前,有很多學者認為,在一些案件中,“應當賦予受害人適當的選擇權以選擇對自己有利的法律,讓受害人來代替法官決定何國法律對受害人有利,更能體現一種正義的立場,達到公平的結果”,世界上許多國家在立法和私法判例中對這一適用原則都得到相應的體現。意思自治也被我國的立法給予確認。最早我國的我國涉外經濟合同法第5條規定合同當事人可以自由選擇是由合同的有關法律。1986年的民法通則第145條和海商法的第269條同樣貫徹這一精神。我國涉外民事關系法律適用法第3條明確規定當事人可以通過明示的方式選擇涉外關系適用的法律。在債權關系中,第41條規定合同領域內的意思自治,44條則是對侵權責任的法律適用做出選擇,47條針對不當得利、無因管理等債權行為的法律適用也進行了相關的規定。但同時,相關的司法解釋對意思自治這一適用規則又做出必要的限制。最高人民法院關于適用涉外民事關系法律適用法若干問題的解釋(一)中第6條規定對相關的自由選擇做出必要的限制,其目的主要有兩個方面:一是區別我國相關法律的規避;二是限制違反強制法規定的自由選擇,同時對相關選擇的效力也進行了解釋。
在互聯網領域內,意思自治的適用規則將會為法律的選擇提供更廣闊的適用空間,克服傳統法律適用規則帶來的弊端,有利于避免因個人數據法律關系中連結點過多引起的復雜性問題,不僅體現了對私權主體的尊重,也有利于及時高效地化解矛盾糾紛,但是意思自治應當受到必要的限制。因為在個人數據法律關系中,數據控制者、管理者或者提供數據服務者在收集或者處理個人數據時,往往采用事先擬制好的格式條款,數據個人的意思并不能得到充分的表達,有時違背當事人的意思。當然,這種情況并不否認法律適用時當事人的選擇權,即使在一些格式條款中規定了管轄權,這種單方面規定效力值得商榷,如若按照格式條款中的管轄權適用,則會剝奪數據主體的訴訟權利,數據主體可能面臨著二次傷害,將對數據主體極大的不公,這是法律所不能允許的。但是鑒于實際情況,筆者認為,規定的意思自治應當是有限的意思自治,是在與個人數據法律關系有聯系的連結點范圍內選擇,而不是任意選擇,更不能違反強行法的相關規定。否則,意思自治將違背其立法精神,走向其對立面。
4.結果選擇——個人數據保護法律適用的補充規則
在法律關系中,程序正義和結果正義共同構成了法律正義的內容,如果說程序正義是結果正義的保障,那么結果正義則是程序價值的體現。當然,這里并不否認兩者作為自身存在物所具有的價值。從法律適用的結果去探尋法律適用的過程既是一種方法,也是一種邏輯,其目的都是為法律適用提供一種新的規則或者方法。事實上,“不論是法律制度還是法學理論,都應該按照人們所能夠認識的時代的需要來塑造”。在個人數據法律關系中,如何對受害人提供最有效的救濟或者彌補受害人受到損害是法律適用規則的選擇最重要的切入點。如何通過靈活、開放的法律沖突規范在多個不確定的連結點中精準找到準據法以避免對受害人的不公正審判是國際私法使命所在。筆者認為,結果是訴訟產生的終點,其也應當成為探求法律適用規則的起點。在已有的沖突法中,人們能夠通過沖突規范的指引而精確地找到準據法,但在尚未制定出沖突規范的領域內,只有通過法律關系中最有可能影響結果的連結點中去找出適用的一般規則,而這種連結點需要從結果中去尋找。說到底,個人數據法律關系本身就是互聯網法律關系,網絡必定具有虛擬性,產生于現實而又不同于現實,“網絡中的各種關系雖然在一定的網址上產生,但是網址這種泛泛的、虛擬的聯系不能作為有效的連結點適用”。因此,在虛擬的網絡空間中從眾多的侵權人、行為地或結果地去找出精準的沖突規范作為準據法實屬不易,這就需要拋開多余的干擾因素連結點,選擇最有利的準據法。從我國當前涉外法律適用法的適用規則來看,我國的立法也吸收了相關的精神,但是其適用范圍相對來說比較狹窄,僅局限于婚姻家庭范圍內,具體體現在涉外民事關系法律適用法第25條、第29條和30條規定之中,這三條規范的選擇標準是從對弱勢方最有利的結果去考慮,值得去借鑒。筆者認為,所謂弱者的地位判斷標準由很多,通常與自身的經濟地位、政治地位、社會的認知、在法律關系中所處的地位等多種因素有關。從目前個人數據保護法律關系來看,數據主體在數據的收集、加工、處理、使用和傳播的整個過程的地位一致出于弱勢者的地位,數據主體往往很難判斷個人數據究竟被何人收集、利用,即使其知道被侵權后,證據也很難收集,在訴訟中往往處于被動狀態。因此,我國未來的法律適用規則應當適當的借鑒結果選擇這一適用規則,選擇最有利于個人數據主體的結果法律進行適用,以達到維護法律適用的正義目的。
(二)個人數據保護法律適用的特殊規則選擇
在互聯網領域內,針對個人數據保護的法律適用,可以突破傳統的法律適用規則,以新的連結點作為法律適用規則的探尋,結合我國法律適用的立法實際情況,個人數據保護法的適用新規則可以從以下幾個方面考慮:
1.數據來源國法可以作為立法的一種選擇
通常來說,數據來源國通常與數據主體有著較為密切的關系,可能數據主體的住所所在地國、行為所在地國或者與數據主體有著其他相關聯系的國家,例如,其親屬、朋友或同事所在地。數據來源國與數據主體有著直接或者間接的聯系,是數據主體個人數據傳播的源泉地,適用來源國主要基于兩點正當性理由:一是數據來源地往往是侵權行為發生地,在此種情況下,適用侵權行為地法與適用來源國法具有一致性;二是數據來源國是數據主體信息的產生地,該地與數據主體有著密切的聯系,數據本身的內容所包含的價值判斷與數據來源地有著較為密切的聯系,當事人在傳輸數據時,通常是根據數據來源國的法律做出判斷,其在行為時,應當可以推定其同意接受數據來源國的法律約束,并接受制裁。因此,適用來源國的法律具有一定的合理性。當然,數據來源國法適用規則當然不是數據保護法律適用首要選擇,由于其自身具有的局限性,在適用時應當在通過其他連結點因素不能找到準據法時,這一規則可以作為有效的補充。未來的個人數據保護的法律適用可以借鑒這一規則,把它當作立法的一種選擇。適用這一原則時,如若違法強制法規定或者違反公序良俗,則可以拒絕適用這一原則。選擇適用數據來源國有兩種設計:一是可以通過機構賦予第三方使用數據的權利,第三方通過申請許可的方式使用數據,那么權利的授權國則為數據的來源國;二是如若使用數據沒有經過授權,那么數據的來源國應當以數據的初次傳播或使用地為數據的來源國。當然,這種設計需要國內法在實體上進行保障,盡管操作起來比較困難,但是卻是一種比較合理的模式。
2.可以借鑒最強保護國法規則
最強保護國法規則是一個綜合的概念,這里的最強不僅包括對數據主體個人權利的保護,而且包括適用這種法律的經濟效益和社會效益,并非是僅僅對數據主體的個人權利保護越好越是最強的,要突出適用這種法律的投入與產出,個案正義的實現與社會的正義的實現問題,從實施的過程、效果等多種因素去判斷。如果適用某國法律的結果僅僅只是對數據主體的利益較好,但是這個過程中有可能會造成更多資源的浪費,或造成了更大的不公,甚至違背了國家的公共秩序和善良風俗。因此,在此種情況下,適用的規則可能就脫離了最強保護國法規則的本質要求。數據最強國的保護是一個需要綜合判斷和價值平衡的過程,我國的法律可以做出相應的規定,但是如何去適用?筆者認為,由于這是一個綜合的價值和法律適用程序及結果的判斷過程,絕不僅僅是受害人自身利益衡量的過程,因此,適用該規則時應當以法官依照職權去查明法律,在進行相應的判斷后進而選擇適用。適用該規則有利于從整體上兼顧法治進程中的個體利益和整體利益之間的關系,達到個案效果與社會效果的統一,從而促進國際私法向著公正民主的方向發展。
3.可以適用最有利于保護弱勢方利益規則
由于個人數據的特殊性的原因,數據主體通常是個人數據保護法律關系中較為弱勢的一方。誠如第四章中所述,數據主體在個人數據法律關系中往往處于被動狀態,數據主體一般很難對有關自身的數據進行控制,更不知道有關自身的數據被何人所收集、處理和傳播,往往只能在被侵權后才能知道數據存在網絡的何處,面對互聯網上鋪天蓋地的數據,究竟誰是侵權主體,更不知道如何去收集數據的證據,其權利從被收集時的知情同意權至被侵害時的尋求救濟權都處于一個弱勢的狀態。因此,選擇適用最有利于數據主體這一弱勢方的法律具有一定的合理性和正當性。這里需要指出的是,最有利于弱勢方利益的規則與最強保護國原則并不是相矛盾的,二者之存在利益上層次的問題,最強保護國規則包含著對弱勢方利益的考量,最有利于弱勢方利益的規則也包含對國家和社會利益及整個法律適用效果的尊重,也就是說,最強保護國規則是涵蓋弱勢方利益在內的整體上的最強,具有整體性和全局性,而最有利于弱勢方利益的原則則是整體利益衡量下的個人利益最大化的保護,兩個規則適用的直接目的不同,但是從根本上看,二者具有利益的一致性。從適用的方式上來看,一方面,法院可以依照職權查明法律,主動適用這一規則以確保弱勢方利益的實現,體現司法的人文關懷;另一方面,弱勢一方當事人也可以主動查明申請適用對自己有利的法律,法院應尊重當事人的自由選擇權,這體現對個人尊重和滿足的私法理念。無論是法院依職權主動適用還是當事人主動申請適用,都應充分體現弱勢方的意志性,把當事人的意思表示放在首要位置去衡量,當事人這種選擇權包含兩個方面:當事人可以選擇最優的法律,也可以放棄選擇對自己有利的法律。在我國的法律適用法中也存在對弱者利益保護的法律規定,但是其僅局限于婚姻家庭領域內,而不適用于其他領域。因此,個人數據保護的法律適用規則中可以采用有利于弱勢方利益的規則,以加強對數據主體權利的保障。
結語
在個人數據保護法律適用中,由于連結點的增多,傳統的屬人法、行為地法、法院地法等規則在適用中受到了極大的挑戰,在沒有統一實體法的情況下,可以通過增加連結點的數量或者設定復數連結點來軟化沖突規范,增強沖突規范適用的靈活性以確保案件的實質正義的實現。一方面,在尊重傳統的基礎上,對居所地、行為地、法院地等連結點進行選擇性的適用;另一方面,根據個人數據發展的特點適當的借鑒數據來源地、服務器終端所在地、最強保護地等連結地等法律適用規則,爭取建立一個適當、協調、多邊路徑的個人數據保護法律適用規則。
(孫登科 江蘇海洋大學文法學院校聘副教授,東南大學法學院博士后。)