• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    論跨境數(shù)據(jù)流動中的網(wǎng)絡(luò)間諜規(guī)制

    2024-01-01 00:00:00劉瑛赫思瑤
    關(guān)鍵詞:數(shù)據(jù)保護(hù)

    摘 要:歐美兩次跨境數(shù)據(jù)流動合作失敗是基于歐盟對美國新型網(wǎng)絡(luò)間諜行為的關(guān)切,但國際法缺乏對于網(wǎng)絡(luò)間諜行為的有效規(guī)制,以歐盟法處理網(wǎng)絡(luò)間諜問題也面臨著說理困境與諸多批判。歐美兩次跨境數(shù)據(jù)流動合作失敗所揭示的境外情報(bào)機(jī)關(guān)向境外企業(yè)獲取數(shù)據(jù)的問題對我國具有警示作用,我國也存在未能明確約束境外機(jī)構(gòu)向境外企業(yè)調(diào)取數(shù)據(jù)的行為、追究境外機(jī)構(gòu)法律責(zé)任的門檻較高、追究境外實(shí)體法律責(zé)任面臨執(zhí)行和國家豁免的障礙等問題。在國際法層面,我國可以考慮在國際條約中對于情報(bào)機(jī)關(guān)獲取信息做出限制,在國際談判中推廣數(shù)據(jù)分類分級保護(hù)模式,尤其注重涉國家安全數(shù)據(jù)的保護(hù),并逐步推動國際法在規(guī)制網(wǎng)絡(luò)間諜中的適用。在國內(nèi)法層面,我國可以通過立法明確規(guī)制網(wǎng)絡(luò)間諜行為的新情況,在司法實(shí)踐中合理解釋國家安全,采取出口管制和反制裁措施懲治網(wǎng)絡(luò)間諜行為。

    關(guān)鍵詞:跨境數(shù)據(jù)流動;網(wǎng)絡(luò)間諜規(guī)制;數(shù)據(jù)保護(hù)

    作者簡介:劉瑛(1978-),女,廣東惠州人,中山大學(xué)法學(xué)院暨南方海洋科學(xué)與工程廣東省實(shí)驗(yàn)室(珠海)教授、博士生導(dǎo)師,主要從事國際法研究;赫思瑤(1998-),女,黑龍江佳木斯人,中山大學(xué)法學(xué)院博士生,主要從事國際法研究。

    基金項(xiàng)目:國家社會科學(xué)基金重大項(xiàng)目(21amp;ZD207)

    中圖分類號:D994 文獻(xiàn)標(biāo)識碼:A 文章編號:1000-2359(2024)04-0032-13 收稿日期:2024-05-06

    從2000年開始,歐盟與美國通過銜接兩種不同的個人數(shù)據(jù)保護(hù)體系,進(jìn)行跨境數(shù)據(jù)流動合作。但在美國“棱鏡”(PRISM)等計(jì)劃曝光之后,歐盟法院兩次通過判決否定了歐美合作機(jī)制的有效性。2023年7月10日,歐盟委員會又一次通過了針對歐盟—美國數(shù)據(jù)隱私框架協(xié)議的充分性決定(Data Protection:European Commission Adopts New Adequacy Decision for Safe and Trusted EU-US Data Flows,https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721.)。2023年9月,法國歐洲議會議員拉通貝(Latombe)向歐盟法院提起訴訟,試圖推翻歐美跨境數(shù)據(jù)流動第三次合作(New EU-US data transfer deal also faces criticism in Germany,https://www.euractiv.com/section/data-protection/news/new-eu-us-data-transfer-deal-also-faces-criticism-in-germany/.),引起了廣泛熱議。研究兩次歐美跨境數(shù)據(jù)流動合作失敗的根本原因,把握歐美跨境數(shù)據(jù)流動合作的最新動態(tài)和法律爭議,有助于我們了解歐盟和美國在跨境數(shù)據(jù)流動領(lǐng)域的核心利益追求與關(guān)切,在對外建立跨境數(shù)據(jù)流動合作過程中吸取歐美的經(jīng)驗(yàn)和教訓(xùn),在跨境數(shù)據(jù)流動領(lǐng)域統(tǒng)籌推進(jìn)國內(nèi)法治和涉外法治。

    一、歐美跨境數(shù)據(jù)流動合作受到美國網(wǎng)絡(luò)間諜行為的深刻影響

    歐美兩次跨境數(shù)據(jù)流動合作機(jī)制的有效性均被歐盟法院的判決推翻,歐盟法院在說理過程中主要采取了保護(hù)“基本權(quán)利和自由”的路徑。但仔細(xì)考察兩次案件的直接誘因和特殊性,以及第三次合作建立的過程,可以看出基本權(quán)利和自由的保護(hù)不足只是合作失敗的原因之一,歐盟的考量暗含著對于美國網(wǎng)絡(luò)間諜行為的關(guān)切。

    (一)歐美兩次跨境數(shù)據(jù)流動合作的失敗歷程

    歐盟在跨境數(shù)據(jù)流動領(lǐng)域非常重視保護(hù)基本權(quán)利和自由。1995年歐洲議會和歐盟理事會頒布的《關(guān)于在處理個人數(shù)據(jù)和此類數(shù)據(jù)自由流動方面保護(hù)個人的95/46/EC指令》(以下簡稱《數(shù)據(jù)保護(hù)指令》)(Directive 95/46/EC on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data.)就要求成員國必須規(guī)定,只有在第三國對個人數(shù)據(jù)達(dá)到“充分性”(adequate)保護(hù)的情況下,才允許歐盟人的數(shù)據(jù)被傳輸?shù)皆摰谌龂―irective 95/46/EC,Chapter 4.)。而美國通過行業(yè)自治的方式保護(hù)個人數(shù)據(jù),美國商務(wù)部在2000年發(fā)布了《安全港隱私原則》(Safe Harbour Privacy Principles),這些原則是美國商務(wù)部與業(yè)界和公眾協(xié)商制定的,企業(yè)通過自愿聲明、向商務(wù)部提供并公開其隱私政策(COM(2013)847 final,para 3.)等尋求被歐盟委員會認(rèn)定為遵守《安全港隱私原則》(Maximillian Schrems v Data Protection Commissioner,C-362/14,para8.)。盡管歐盟和美國的個人數(shù)據(jù)保護(hù)體系差異較大,但歐盟試圖銜接兩種體系,頒布了《依據(jù)第95/46/EC號指令關(guān)于安全港隱私原則提供的保護(hù)是否充分以及美國商務(wù)部發(fā)布的相關(guān)常見問題作出的決定》(以下簡稱《安全港決定》)(Commission Decision of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the US Department of Commerce.),以保障歐美之間的跨境數(shù)據(jù)流動?!栋踩蹧Q定》是歐盟法的一部分,規(guī)定只要企業(yè)遵守《安全港隱私原則》來保護(hù)從歐盟傳輸?shù)矫绹膫€人數(shù)據(jù),就應(yīng)認(rèn)為其已經(jīng)達(dá)到了充分性保護(hù)水平(Commission Decision of 26 July 2000 Pursuant to Directive 95/46/EC of the European Parliament and of the Council on the Adequacy of the Protection Provided by the Safe Harbour Privacy Principles and Related Frequently Asked Questions Issued by the US Department of Commerce,https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32000D0520.)。

    此后,斯諾登事件將以“棱鏡”計(jì)劃為代表的美國情報(bào)部門大規(guī)模獲取其他國家數(shù)據(jù)的行為帶入公眾視野,2015年,歐盟法院在Maximillian Schrems v Data Protection Commissioner案(以下簡稱SchremsI案)中判決《安全港決定》無效,宣告了歐美跨境數(shù)據(jù)流動合作的第一次失敗。歐盟隨后出臺了《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation,以下簡稱GDPR),對個人數(shù)據(jù)保護(hù)設(shè)置了嚴(yán)格的標(biāo)準(zhǔn)。為滿足GDPR在《數(shù)據(jù)保護(hù)指令》的基礎(chǔ)上強(qiáng)化的充分性保護(hù)標(biāo)準(zhǔn),美國國家情報(bào)總監(jiān)辦公室(Office of the Director of National Intelligence,ODNI)提供了一份針對美國獲取情報(bào)的陳述和承諾;美國國務(wù)卿簽署了一份信函,承諾建立新的國家安全監(jiān)督機(jī)制,即任命獨(dú)立于美國情報(bào)界的隱私保護(hù)監(jiān)察員;美國司法部提供了一份聲明,描述了公共機(jī)構(gòu)為了執(zhí)法和公共利益目的訪問和使用數(shù)據(jù)的限制和保障措施(Data Protection Commissioner v Facebook Ireland Ltd,Maximillian Schrems,C-311/18,para 43.)。歐盟重新評估了美國的立法,通過了第2016/1250號決定,即《依據(jù)第95/46/EC號指令關(guān)于歐盟-美國隱私盾提供保護(hù)的充分性作出的決定》(Commission Implementing Decision (EU) 2016/1250 of 12 July 2016 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the EU-U.S.Privacy Shield.)(Privacy Shield Decision,以下簡稱《隱私盾決定》),將上述三份文件載于《隱私盾決定》的附件。然而,在2020年的Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems案(以下簡稱Schrems II案)中,《隱私盾決定》又被歐盟法院認(rèn)定為無效,使得歐美跨境數(shù)據(jù)流動的第二次合作也歸于失敗。

    (二)歐美兩次跨境數(shù)據(jù)流動合作失敗的根本原因

    歐盟法院在上述兩次判決中均強(qiáng)調(diào)了歐盟人的基本權(quán)利和自由,尤其是隱私的法律地位(Maximillian Schrems v Data Protection Commissioner,C-362/14,para3;Data Protection Commissioner v Facebook Ireland Ltd,Maximillian Schrems,C-311/18,para 6.),并論述了美國公共部門大規(guī)模獲取數(shù)據(jù)的行為超出了保護(hù)美國國家安全嚴(yán)格必要的范圍(Maximillian Schrems v Data Protection Commissioner,C-362/14,para 93;Data Protection Commissioner v Facebook Ireland Ltd,Maximillian Schrems,C-311/18,para167-168.)。從這一思路出發(fā),針對歐美重新建立合作的建議包括改變歐盟法的嚴(yán)格要求以適應(yīng)美國獲取數(shù)據(jù)的做法(Monika Zalnieriute,Data Transfers after Schrems II:The EU-US Disagreements over Data Privacy and National Security,Vanderbilt Journal of Transnational Law,Vol.55,No.1,2022,p.2.)、改變美國的隱私保護(hù)體系以達(dá)到歐盟的充分性保護(hù)標(biāo)準(zhǔn)(Marcelo Corrales Compagnucci,Timo Minssen Claudia Seitz amp; Mateo Aboy,Lost on the High Seas without a Safe Harbor or a Shield?Navigating Cross-Border Transfers in the Pharmaceutical Sector after Schrems II Invalidation of the EU-Us Privacy Shield,European Pharmaceutical Law Review,Vol.4,No.3,2020,p.159.),抑或是歐美協(xié)議采用經(jīng)合組織、亞太經(jīng)合組織等國際組織的隱私保護(hù)體系以達(dá)成一致等(Monika Zalnieriute,Data Transfers after Schrems II:The EU-US Disagreements over Data Privacy and National Security,Vanderbilt Journal of Transnational Law,Vol.55,No.1,2022,p.4.)。然而,僅依靠歐美改變隱私保護(hù)方式,很難解決美國公共部門大規(guī)模獲取外國數(shù)據(jù)帶來的問題。歐美兩次跨境數(shù)據(jù)流動合作失敗的根本原因在于,美國大規(guī)模獲取外國數(shù)據(jù)的行為帶來了歐盟對美國網(wǎng)絡(luò)間諜行為的擔(dān)憂(Micah Carlson,Behind the Curve:Schrems II and the Need for Increased U.S.Data Protections in a Global Economy,Journal of Corporation Law,Vol.47,No.1,2021,p.203.),而國際法上缺乏規(guī)制網(wǎng)絡(luò)間諜的有拘束力的法律規(guī)則,使得歐盟只能在歐盟法的框架下處理這一復(fù)雜問題。

    1.美國的網(wǎng)絡(luò)間諜行為是Schrems I案和Schrems II案的直接誘因

    歐盟于2000年就作出了有關(guān)歐美跨境數(shù)據(jù)流動的《安全港決定》,歐美依據(jù)該決定進(jìn)行了長達(dá)15年的跨境數(shù)據(jù)流動。Schrems I案的導(dǎo)火索就在于斯諾登對于美國情報(bào)部門“棱鏡”等計(jì)劃的曝光,此類計(jì)劃也是原告馬西米利安·施雷姆斯(Maximillian Schrems)用以質(zhì)疑美國對來自歐盟的個人數(shù)據(jù)保護(hù)是否充分的重要論據(jù)( Maximillian Schrems v Data Protection Commissioner, C-362/14, para 28.)。在Schrems II案中,馬西米利安·施雷姆斯也聲稱,美國法律要求Facebook公司向某些美國當(dāng)局,如國家安全局和聯(lián)邦調(diào)查局提供傳輸給這些公司的個人數(shù)據(jù),而這種大規(guī)模監(jiān)控行為不符合《歐盟基本權(quán)利憲章》的規(guī)定,因此他要求禁止將其數(shù)據(jù)傳輸給Facebook公司(Data Protection Commissioner v Facebook Ireland Ltd,Maximillian Schrems,C-311/18,para 55.)。

    在現(xiàn)有的研究中,以“棱鏡”計(jì)劃為代表的情報(bào)收集行為與網(wǎng)絡(luò)間諜行為聯(lián)系密切,有文章將“棱鏡”等計(jì)劃與網(wǎng)絡(luò)間諜行為聯(lián)系在一起(黃志雄,孫蕓蕓:《網(wǎng)絡(luò)主權(quán)原則的法理宣示與實(shí)踐運(yùn)用:再論網(wǎng)絡(luò)間諜活動的國際法規(guī)制》,《云南社會科學(xué)》,2021年第6期;孫偉意:《網(wǎng)絡(luò)時代的美國反間諜措施及其啟示》,《中國信息安全》,2021年第10期;李彥:《場域視角下網(wǎng)絡(luò)間諜的國際法規(guī)制》,《政治與法律》,2023年第10期;楊楠:《美國網(wǎng)絡(luò)安全戰(zhàn)略的攻防悖論》,《美國研究》,2022年第2期。),也有文章將“棱鏡門”計(jì)劃明確定義為間諜行為(托馬斯·雷納德,小文:《歐盟在網(wǎng)絡(luò)領(lǐng)域與第三國的戰(zhàn)略合作評估》,《國外社會科學(xué)文摘》,2018年第7期;馬光:《論網(wǎng)絡(luò)間諜活動的規(guī)制:以〈塔林手冊〉為視角》,《福建江夏學(xué)院學(xué)報(bào)》,2020年第2期;毛欣娟:《新時期網(wǎng)絡(luò)間諜活動方式、危害及其防控思考》,《中國信息安全》,2021年第10期。)。盡管國際法和我國國內(nèi)法尚未對“網(wǎng)絡(luò)間諜”作出定義(馬光:《論網(wǎng)絡(luò)間諜活動的規(guī)制::以〈塔林手冊〉為視角》,《福建江夏學(xué)院學(xué)報(bào)》,2020年第2期。),但考察學(xué)界對于“間諜”和“網(wǎng)絡(luò)間諜”的界定,上述觀點(diǎn)具有一定的合理性。

    間諜活動是一國情報(bào)工作的一個方面(Catherine Lotrionte,Countering State-Sponsored Cyber Economic Espionage under International Law,North Carolina Journal of International Law and Commercial Regulation,Vol.40,No.2,2015,p.460.)。合法的情報(bào)收集和間諜活動之間的界限很薄,事實(shí)上,“最終可能會被技術(shù)創(chuàng)新無可挽回地刺穿”(Russell Buchan,Cyber Espionage and International Law,Hart Publishing,2019,p.17.)。從主體的角度,網(wǎng)絡(luò)間諜被定義為“受雇于特定組織并利用互聯(lián)網(wǎng)平臺獲取情報(bào)、危害目標(biāo)國家安全的人員”(毛欣娟:《新時期網(wǎng)絡(luò)間諜活動方式、危害及其防控思考》,《中國信息安全》,2021年第10期。)。從行為的角度,網(wǎng)絡(luò)間諜被定義為從目標(biāo)計(jì)算機(jī)系統(tǒng)收集情報(bào)和數(shù)據(jù)的計(jì)算機(jī)操作(David Weissbrodt,Cyber-Conflict,Cyber-Crime,and Cyber-Espionage,Minnesota Journal of International Law,Vol.22,No.2,2013,p.354.)?!毒W(wǎng)絡(luò)行動國際法塔林手冊2.0版》對于網(wǎng)絡(luò)間諜提供了更為詳盡的定義,即“利用網(wǎng)絡(luò)能力,以秘密或欺詐的方式收集或試圖收集信息的行為”,“網(wǎng)絡(luò)間諜包括但不限于利用網(wǎng)絡(luò)能力監(jiān)視、監(jiān)控、采集或竊取通過電子傳輸或存儲的通訊、數(shù)據(jù)或其他信息”,手冊中所討論的網(wǎng)絡(luò)間諜行為“僅限于由國家實(shí)施的或其他可歸因于國家的網(wǎng)絡(luò)間諜行為”(邁克爾·施密特:《網(wǎng)絡(luò)行動國際法塔林手冊2.0版》,黃志雄等譯,社會科學(xué)文獻(xiàn)出版社,2017年,第193頁。)。

    在Schrems I案和Schrems II案中,美國在“棱鏡”等計(jì)劃下進(jìn)行的大規(guī)模情報(bào)收集行為是經(jīng)由網(wǎng)絡(luò)發(fā)生的,其是否屬于網(wǎng)絡(luò)間諜行為主要在于對“秘密”“偽裝”“欺詐”的認(rèn)定。但在兩次案件中,歐盟法院未采用反間諜法路徑進(jìn)行判決,更遑論對“秘密”“偽裝”“欺詐”等概念進(jìn)行解釋。國際法層面也尚無對此類概念進(jìn)行解釋的先例。但《網(wǎng)絡(luò)行動國際法塔林手冊2.0版》對于網(wǎng)絡(luò)間諜的定義具有一定的開放性,且美國“棱鏡”等計(jì)劃具有秘密性的特點(diǎn),此種行為不應(yīng)被完全排除在網(wǎng)絡(luò)間諜的涵蓋范圍之外。目前,學(xué)界也有觀點(diǎn)認(rèn)為,“無節(jié)制、無底線、無限制”特征的信號情報(bào)獲取行動,以及用社交媒體上個體用戶留下的“足跡”提升用戶畫像能力,輔助支撐傳統(tǒng)的招募與策反行動,均屬于霸權(quán)國家實(shí)施的網(wǎng)絡(luò)間諜活動(沈逸:《完善系統(tǒng)防御能力應(yīng)對數(shù)字時代網(wǎng)絡(luò)間諜活動的新挑戰(zhàn)》,《中國信息安全》,2021年第10期。)。由于此種觀點(diǎn)具有一定的合理性,且為便于在同一語境下探討,本文將美國在Schrems I案和Schrems II案中的情報(bào)收集行為定義為一種網(wǎng)絡(luò)間諜行為,對此種情報(bào)行為和網(wǎng)絡(luò)間諜行為的用語不作嚴(yán)格區(qū)分。

    2.兩次歐盟判決均針對美國的情報(bào)行為或情報(bào)法律進(jìn)行了討論

    在Schrems I案的判決中,歐盟法院引用了歐盟委員會與歐洲議會、理事會的溝通文件《關(guān)于從歐盟公民和在歐盟設(shè)立的公司的角度探討安全港的運(yùn)作》(以下簡稱《安全港的運(yùn)作》)(Communication from the Commission to the European Parliament and the Council on the Functioning of the Safe Harbour from the Perspective of EU Citizens and Companies Established in the EU,European Commission,https://www.europarl.europa.eu/meetdocs/2014_2019/documents/com/com_com(2013)0847_/com_com(2013)0847_en.pdf.)中的內(nèi)容,該文件指出,所有參與美國“棱鏡”計(jì)劃并允許美國當(dāng)局訪問其在美國存儲和處理的數(shù)據(jù)的公司似乎都獲得了《安全港決定》的認(rèn)證,使得《安全港決定》成為美國情報(bào)部門收集歐盟個人數(shù)據(jù)的渠道之一(COM(2013)847final,para 7;Maximillian Schrems v Data Protection Commissioner,C-362/14,para22.)。

    在Schrems II案中,歐盟法院集中討論了美國各部門對傳輸?shù)矫绹膫€人數(shù)據(jù)開展情報(bào)行為的主要依據(jù),即《外國情報(bào)監(jiān)視法》(Foreign Intelligence Surveillance Act,以下簡稱FISA)第702條和第12333號行政命令(Data Protection Commissioner v Facebook Ireland Ltd,Maximillian Schrems,C-311/18,para60.)。FISA第702條允許美國司法部長和國家情報(bào)總監(jiān)聯(lián)合授權(quán)對位于美國境外的非美國公民進(jìn)行監(jiān)視,以便獲取外國情報(bào)信息,其中的一些信息也會傳輸給美國聯(lián)邦調(diào)查局和中央情報(bào)局(Data Protection Commissioner v Facebook Ireland Ltd,Maximillian Schrems,C-311/18,para61.)。第12333號行政命令允許國家安全局(National Security Agency,NSA)通過訪問大西洋海底的水下電纜來訪問正在傳輸?shù)矫绹臄?shù)據(jù),并在這些數(shù)據(jù)到達(dá)美國并受到管轄之前收集和保留這些數(shù)據(jù)(Data Protection Commissioner v Facebook Ireland Ltd,Maximillian Schrems,C-311/18,para 63.)。

    從美國法上看,在Schrems II案中集中討論的FISA也具有特殊性。相比而言,美國的《澄清海外合法使用數(shù)據(jù)法》(Clarifying Lawful Overseas Use of Data Act,CLOUD Act)雖然也使得美國可以基于國家安全等事由調(diào)取在美國境外存儲的數(shù)據(jù)(馬其家,李曉楠:《論我國數(shù)據(jù)跨境流動監(jiān)管規(guī)則的構(gòu)建》,《法治研究》,2021年第1期。),但FISA的內(nèi)容涵蓋了獲取外國情報(bào)的多種手段和相關(guān)程序,更加彰顯了情報(bào)法的特點(diǎn)。也因此,從結(jié)果上看,不同于在其他的跨國公司違反GDPR的案件中的做法,歐盟在Schrems I案和Schrems II案中直接否定了《安全港決定》和《隱私盾決定》的有效性,而不只是在個案中對違法公司施加高額處罰(State Commissioner for Data Protection in Lower Saxony Imposes 10.4 Million Fine Against Notebooksbilliger.de,https://edpb.europa.eu/news/national-news/2021/state-commissioner-data-protection-lower-saxony-imposes-eu-104-million-fine_en.)。某種程度上,歐盟法院在Schrems I案和Schrems II案中處理的不僅是歐盟與其境內(nèi)公司的關(guān)系,而是歐盟與美國之間的關(guān)系。

    3.歐美第三次跨境數(shù)據(jù)流動合作的建立過程體現(xiàn)了歐盟對于美國情報(bào)行為的關(guān)切

    在歐美兩次跨境數(shù)據(jù)流動合作失敗后,美國再次對其情報(bào)法律體系進(jìn)行了調(diào)整,歐盟本次對美國作出的充分性決定也是在考察美國情報(bào)法律體系后所作出的。美國于2022年10月通過了第14086號行政命令“加強(qiáng)對美國信號情報(bào)活動的保障”(Enhancing Safeguards for US Signals Intelligence Activities),該行政命令對于美國整個情報(bào)界具有約束力,且明確要求美國情報(bào)機(jī)構(gòu)在最多一年的時間限度內(nèi)更新現(xiàn)有的政策和程序(C(2023)4745 final,Recital(126).)。美國司法部長還頒布了《數(shù)據(jù)保護(hù)審查法院條例》以處理和解決個人對美國信號情報(bào)( 信號情報(bào)(SIGINT)區(qū)別于人力情報(bào),最初起源于對于信號的截獲,這種直接獲取信息的方式被認(rèn)為能夠最大限度地減少故意或無意歪曲信息的可能性。信號情報(bào)又分為通信情報(bào)(communication intelligence,COMMINT)和電子情報(bào)(electronic intelligence,ELINT)兩個子領(lǐng)域。See Russell Buchan,Cyber Espionage and International Law,Oxford: Hart Publishing,2019,p.15.)活動的投訴(C(2023)4745 final,Recital(176).)。歐盟委員會認(rèn)為第14086號行政命令補(bǔ)充了FISA第702條和第12333號行政命令的限制和保障措施(C(2023)4745 final,Recital(125).),最終通過了針對歐盟-美國數(shù)據(jù)隱私框架協(xié)議的充分性決定(adequacy decision for the EU-U.S. Data Privacy Framework,以下簡稱DPF決定)(C(2023)4745 final,Recital(6).)。

    與歐盟以往針對其他國家作出的充分性決定不同,DPF決定針對美國公共當(dāng)局出于國家安全目的訪問和使用個人數(shù)據(jù)展開了詳細(xì)討論,特別關(guān)注到第14086號行政命令對于美國情報(bào)工作的新規(guī)定。第14086號行政命令規(guī)定了對美國信號情報(bào)活動的合法目標(biāo)的限制(C(2023)4745 final,Recital (134)-(135).),規(guī)定了美國信號情報(bào)活動的程序(C(2023)4745 final,Recital(135)-(139).),還對美國批量收集信號情報(bào)的行為作出了特別限制(Enhancing Safeguards for United States Signals Intelligence Activities,https://www.federalregister.gov/documents/2022/10/14/2022-22531/enhancing-safeguards-for-united-states-signals-intelligence-activities.)。此外,歐盟委員會還在DPF決定中指出,除了第14086號行政命令以外,美國信號情報(bào)數(shù)據(jù)收集還受到FISA第257條和第702條的限制和保障措施的約束,歐盟委員會也在DPF決定中詳細(xì)列舉了FISA對于美國情報(bào)活動的各項(xiàng)限制(C(2023)4745 final,Recital(142)-(153).)。

    二、歐盟在跨境數(shù)據(jù)流動國際合作中處理網(wǎng)絡(luò)間諜行為所面臨的困境

    美國的網(wǎng)絡(luò)間諜行為使得歐盟在跨境數(shù)據(jù)流動合作中面臨著數(shù)據(jù)出境后的風(fēng)險(xiǎn),但國際法缺乏對于網(wǎng)絡(luò)間諜行為的有效規(guī)制,以及網(wǎng)絡(luò)間諜行為本身具有特殊性,使得歐盟法院在歐盟數(shù)據(jù)保護(hù)法律下,以保護(hù)基本權(quán)利和自由的路徑處理網(wǎng)絡(luò)間諜問題時面臨說理困難,其判決也引起了諸多批評。

    (一)國際法缺乏對于網(wǎng)絡(luò)間諜行為的有效規(guī)制

    雖然幾乎所有國家都存在間諜活動,但各國都保留根據(jù)國內(nèi)刑法起訴在其境內(nèi)從事間諜活動的人的權(quán)利(Catherine Lotrionte,Countering State-Sponsored Cyber Economic Espionage under International Law,North Carolina Journal of International Law and Commercial Regulation,Vol.40,No.2,2015,p.460.)。然而,新興技術(shù)的發(fā)展使一國情報(bào)人員無須跨越物理邊境即可獲取另一國的信息,導(dǎo)致難以通過各國國內(nèi)法有效規(guī)制網(wǎng)絡(luò)間諜。在國際法層面,規(guī)制網(wǎng)絡(luò)間諜的國際條約尚付之闕如。

    在聯(lián)合國層面,聯(lián)合國信息安全政府專家組(United Nations Group of Governmental Experts,UNGGE)等關(guān)注到國家、其代理者或非國家行為者利用信息通信技術(shù)而在該領(lǐng)域造成的現(xiàn)有和潛在的威脅,針對國際法特別是《聯(lián)合國憲章》是否適用于各國使用信息通信技術(shù)問題進(jìn)行了討論,專家組的報(bào)告也得到了聯(lián)合國大會決議的支持( 聯(lián)合國大會第A/70/174號文件。)。聯(lián)合國信息安全政府專家組的報(bào)告和聯(lián)合國大會的決議均不具有法律拘束力,但在一定程度上代表了聯(lián)合國會員國的共識?!堵?lián)合國憲章》宗旨和國際法原則應(yīng)能適用于國家使用信息通信技術(shù)時進(jìn)行的網(wǎng)絡(luò)間諜行為,但目前此類原則如何適用仍存在爭議。例如,有觀點(diǎn)認(rèn)為,無論是傳統(tǒng)間諜活動還是網(wǎng)絡(luò)間諜活動,如果未采取收集信息以外的行動,則不會被視為違反禁止使用武力或武力威脅原則(David Weissbrodt,Cyber-Conflict,Cyber-Crime,andCyber-Espionage,Minnesota Journal of International Law,Vol.22,No.2,2013,p.382.)。但也有觀點(diǎn)認(rèn)為,即使在沒有任何“現(xiàn)實(shí)世界的物理損害”或“網(wǎng)絡(luò)空間的破壞性影響”的情況下,網(wǎng)絡(luò)間諜活動也侵犯了領(lǐng)土主權(quán)(Marco Longobardo,Cyber Espionage and International Law,Israel Law Review,Vol.53,No.2,2020,p.295.),從而違反了國家主權(quán)原則。由于各國針對此類爭議未能達(dá)成普遍的共識,因此“網(wǎng)絡(luò)間諜在國際法上處于合法與非法的灰色地帶”(李彥:《場域視角下網(wǎng)絡(luò)間諜的國際法規(guī)制》,《政治與法律》,2023年第10期。)。

    在WTO層面,由于暫時無法明確應(yīng)將跨境數(shù)據(jù)流動定義為服務(wù)、貨物還是其他事務(wù),就難以確定《關(guān)稅與貿(mào)易總協(xié)定》(General Agreement on Tariffs and Trade,GATT)、《服務(wù)貿(mào)易總協(xié)定》(General Agreement on Trade in Services,GATS)等是否以及如何適用于跨境數(shù)據(jù)流動(World Trade Organization,G/C/W/158.)。WTO層面主要在跨境數(shù)據(jù)流動對貿(mào)易的影響層面進(jìn)行討論和談判,既有的協(xié)定較少直接涉及間諜問題。在既有的協(xié)定如何適用于跨境數(shù)據(jù)流動依然存在爭議的情況下,目前WTO層面缺乏直接調(diào)整網(wǎng)絡(luò)間諜行為的規(guī)則。

    從區(qū)域貿(mào)易協(xié)定上看,目前比較有代表性的《全面與進(jìn)步跨太平洋伙伴關(guān)系協(xié)定》(Comprehensive and Progressive Agreement for Trans-Pacific Partnership,CPTPP)、《美國—墨西哥—加拿大協(xié)定》(U.S.-Mexico-Canada Agreement,USMCA)、《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》(Regional Comprehensive Economic Partnership,以下簡稱RCEP)雖然都對數(shù)字貿(mào)易或電子商務(wù)進(jìn)行了一定的規(guī)范,但并未直接針對網(wǎng)絡(luò)間諜行為進(jìn)行規(guī)定。因此,已有的國際條約很難用以規(guī)制網(wǎng)絡(luò)間諜行為,且國際習(xí)慣法、一般法律原則等如何適用于網(wǎng)絡(luò)間諜行為也存在爭議。在此種情況之下,美國在跨境數(shù)據(jù)流動合作機(jī)制中保留了以國家安全為由的例外條款,為其網(wǎng)絡(luò)間諜行為留下了空間。

    (二)以歐盟法處理網(wǎng)絡(luò)間諜問題面臨說理困境與諸多批判

    在Schrems I案和Schrems II案中,歐盟法院均以保護(hù)基本權(quán)利和自由的路徑處理網(wǎng)絡(luò)間諜問題,在判決邏輯上具有一定的相似性。由于歐美之間跨境數(shù)據(jù)流動的法律依據(jù)為《安全港決定》和《隱私盾決定》,上述決定是依據(jù)歐盟的《數(shù)據(jù)保護(hù)指令》和GDPR作出的,而美國的網(wǎng)絡(luò)間諜行為實(shí)際上涉及的國家安全屬于歐盟成員國法律調(diào)整的事項(xiàng)(Data Protection Commissioner v Facebook Ireland Ltd, Maximillian Schrems,C-311/18,para 81.),因此歐盟法院僅能從《數(shù)據(jù)保護(hù)指令》和GDPR等規(guī)定出發(fā)進(jìn)行判決。歐盟法院試圖采用基本權(quán)利和自由保護(hù)的路徑解決其對于網(wǎng)絡(luò)間諜行為的關(guān)切,但這種錯位使其不得不面臨許多說理困境,也招致了諸多批評。

    1.歐盟法院處理網(wǎng)絡(luò)間諜問題面臨說理困境

    第一,由于網(wǎng)絡(luò)間諜行為的特殊性,歐盟法院很難在事實(shí)層面證明美國情報(bào)部門實(shí)際訪問了歐盟的個人數(shù)據(jù),其在Schrems I案和Schrems II案中的論證的邏輯鏈條只能基于一種對可能性的假設(shè)(Maximillian Schrems v Data Protection Commissioner,C-362/14,para29;Data Protection Commissioner v Facebook Ireland Ltd,Maximillian Schrems,C-311/18,para72.)。

    第二,歐洲人權(quán)法院在其審理的案件中一定程度上認(rèn)可了一國情報(bào)機(jī)關(guān)通過大規(guī)模攔截電子通信收集信息的合法性,但歐盟法院如果參照此種邏輯進(jìn)行審理,則不可避免地要對美國情報(bào)機(jī)關(guān)的類似行為持肯定態(tài)度,從而可能使歐盟在后續(xù)的談判中處于被動的地位。歐洲人權(quán)法院在2006年的Weber and Saravia v.Germany案中重申,在平衡被申請國通過秘密監(jiān)視措施保護(hù)國家安全的利益與個人私生活和權(quán)利受到尊重的利益時,法院一貫承認(rèn)國家當(dāng)局在選擇實(shí)現(xiàn)保護(hù)國家安全合法目標(biāo)的手段時享有相當(dāng)大的自由裁量權(quán),但法院必須確信存在充分和有效的保障措施來防止此種權(quán)力的濫用(Weber and Saravia v.Germany,para.106.)。該案具有較大的影響力,在歐洲人權(quán)法院于2021年5月最終判決的Big Brother Watch and Others v. The United Kingdom案中也被引用。Big Brother Watch and Others v. The United Kingdom案也與斯諾登事件密切相關(guān)( Big Brother Watch and Others v. The United Kingdom, para. 12.),該案源自斯諾登揭露出英國情報(bào)機(jī)構(gòu)開展了一項(xiàng)代號為“TEMPORA”的行動,使其能夠提取、利用和存儲大量歐盟的數(shù)據(jù)( Big Brother Watch and Others v. The United Kingdom, para. 15.),同樣涉及對于干涉歐盟人基本權(quán)利和自由的認(rèn)定( Big Brother Watch and Others v. The United Kingdom, para. 325.)。歐洲人權(quán)法院在該案判決中承認(rèn),國家當(dāng)局在選擇如何更好地實(shí)現(xiàn)保護(hù)國家主權(quán)的合法目標(biāo)方面享有廣泛的自由裁量權(quán)( Big Brother Watch and Others v. The United Kingdom, para. 338.),但需要有防止濫用該權(quán)力的充分和有效的保障,并詳細(xì)列舉了此類保障措施的內(nèi)容( Big Brother Watch and Others v. The United Kingdom, para. 339.)。

    在Schrems I案中,美國情報(bào)機(jī)關(guān)正是基于國家安全等事由收集信息( Maximillian Schrems v Data Protection Commissioner, C-362/14, para 8.),且《安全港決定》也承認(rèn)基于此種事由收集信息應(yīng)當(dāng)有所限制,這種行為必須在公開的法律中被闡明,并且在民主社會中是必要的和相稱的( COM (2013) 847 final, para 7.)。歐盟法院在Schrems I案中回避了對于情報(bào)機(jī)關(guān)大規(guī)模收集信息行為本身合法性的討論,引用Digital Rights Ireland and Others案(C-293/12 and C-594/12)的判決,側(cè)重于強(qiáng)調(diào)針對個人數(shù)據(jù)實(shí)施最低限度的保障措施的重要性( Maximillian Schrems v Data Protection Commissioner, C-362/14, para 91.)。類似地,歐盟法院在Schrems II案中也回避了一國情報(bào)機(jī)關(guān)出于公共安全、國防和國家安全等目的處理個人數(shù)據(jù)的合法性問題的探討,而將重點(diǎn)放在對個人數(shù)據(jù)保護(hù)的限制應(yīng)在絕對必要的情況下適用,且應(yīng)當(dāng)實(shí)施最低限度的保障措施( Data Protection Commissioner v Facebook Ireland Ltd, Maximillian Schrems, C-311/18, para 176.)。

    第三,網(wǎng)絡(luò)間諜行為具有秘密性,且相關(guān)技術(shù)發(fā)展引起的情報(bào)收集手段難以把握。歐盟法院在兩次判決中既要推翻歐美充分性決定,使其不成為美國情報(bào)部門收集信息的渠道,又難以確立歐盟數(shù)據(jù)保護(hù)法律中的充分性保護(hù)的具體標(biāo)準(zhǔn),使其論證過程存在循環(huán)定義、論證不清之嫌。

    2.歐盟法院處理網(wǎng)絡(luò)間諜問題引起諸多批判

    歐盟法院在Schrems I案和Schrems II案中采取了基本權(quán)利保護(hù)的路徑進(jìn)行判決,但受到了諸多批判和質(zhì)疑。

    第一,有觀點(diǎn)認(rèn)為歐盟法院對于GDPR的條款進(jìn)行了擴(kuò)大解釋,以至于將歐盟法律適用于其他主權(quán)國家,違背了國際法原則( Christina Lam, Unsafe Harbor: The European Union’s Demand for Heightened Data Privacy Standards in Schrems v. Irish Data Protection Commissioner, Boston College International and Comparative Law Review, Vol.40, No.3, 2017, p.10.)。針對此種觀點(diǎn),需要明確歐盟法院在判決中否定的并不是歐盟和美國之間的國際協(xié)議,而是歐盟委員會作出的充分性決定,該決定是歐盟法的一部分。更值得注意的是,歐盟委員會采取歐盟制定的標(biāo)準(zhǔn)審查其他國家的數(shù)據(jù)保護(hù)法,使得其他國家和企業(yè)面臨遵守歐盟標(biāo)準(zhǔn)和放棄歐盟市場的抉擇,歐盟法院通過《歐盟基本權(quán)利憲章》確定隱私保護(hù)和國家安全的邊界,實(shí)際上正在逐步影響和塑造其他國家的數(shù)據(jù)保護(hù)體系。日本為獲得歐盟的充分性決定對其國內(nèi)數(shù)據(jù)保護(hù)法進(jìn)行大幅修改,從而與歐盟數(shù)據(jù)保護(hù)體系保持相當(dāng)程度的一致性即例證( Decision (EU) 2019/419, (17)-(38).)。這種“法律全球化”的邏輯值得警惕( 曾華群:《論中國特色國際經(jīng)濟(jì)法學(xué)》,《國際經(jīng)濟(jì)法學(xué)刊》,2018年第1期。)。

    第二,在Schrems II案中,歐盟法院將美國情報(bào)法律作為爭議對象之一來討論,但其論證仍浮于表面。歐盟法院指出了美國情報(bào)機(jī)關(guān)可能基于第12333號行政命令訪問傳輸?shù)矫绹臄?shù)據(jù),無須接受任何司法審查,這種可能的訪問行為并沒有清晰和明確的限制,F(xiàn)ISA第702條和第12333號行政命令下的數(shù)據(jù)獲取均不符合比例原則( Data Protection Commissioner v Facebook Ireland Ltd, Maximillian Schrems, C-311/18, para 183-184.)。但美國的情報(bào)架構(gòu)涉及總檢察長、國會委員會、聯(lián)邦法院法官等官員和機(jī)構(gòu)設(shè)置,也規(guī)定了數(shù)據(jù)最小化等要求,而歐盟法院對此缺乏具體的討論,使其判決的客觀性受到質(zhì)疑( David A. Hoffman, Schrems II and TikTok: Two Sides of the Same Coin, North Carolina Journal of Lawamp; Technology, Vol. 22, No. 4, 2021, p. 585.)。也有觀點(diǎn)指出,歐盟法院在Schrems II案的判決中沒有對歐洲人權(quán)法院的先例進(jìn)行概述( David A. Hoffman, Schrems II and TikTok: Two Sides of the Same Coin, North Carolina Journal of Lawamp; Technology, Vol. 22, No. 4, 2021, p. 598.)。此類技術(shù)性問題在Schrems I案中也存在,但FISA是在“水門事件”期間美國聯(lián)邦政府廣泛侵犯隱私的事件被曝光后制定的,其頒布本身就是為了規(guī)范政府對于電子監(jiān)控的使用( Foreign Intelligence Surveillance Act (FISA): An Overview, Congressional Research Service, https://sgp.fas.org/crs/intel/IF11451.pdf.)。因此,如果歐盟法院對此詳細(xì)論述,則很難得出FISA等美國情報(bào)法缺乏限制的結(jié)論。

    第三,從結(jié)果上看,歐盟法院實(shí)際上對美國提出了高于歐盟成員國的標(biāo)準(zhǔn),且實(shí)際上處理了屬于歐盟成員國權(quán)限范圍內(nèi)的國家安全問題。因此,有觀點(diǎn)認(rèn)為,歐盟法院采用了“雙重標(biāo)準(zhǔn),即非歐盟國家受嚴(yán)格的歐盟數(shù)據(jù)保護(hù)規(guī)則的約束,而類似的成員國的措施則完全不受歐盟法律的約束”( Jordan L. Fischer, The U.S. Perspective on Schrems II: The Challenges of the Extraterritorial Application of the EU Perspective, Seton Hall Law Review, Vol. 51, No. 5, 2021, p. 1582.)。實(shí)際上,這一定程度上是由歐盟的特點(diǎn)與歐洲一體化的歷史進(jìn)程所決定的。根據(jù)《歐洲聯(lián)盟條約》(Treaty on European Union,TEU)第4.2條,國家安全是每個歐盟成員國的獨(dú)有責(zé)任(sole responsibility)( Consolidated Version of the Treaty on the Functioning of the European Union, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A12016ME%2FTXT.)。在《數(shù)據(jù)保護(hù)指令》制定時,歐盟并沒有預(yù)見到美國情報(bào)機(jī)構(gòu)大規(guī)模獲取數(shù)據(jù)的行為,依據(jù)該指令作出了《安全港決定》( COM (2013) 847 final, para 7.)。由于美國不是唯一獲得歐盟充分性決定的國家,即便GDPR針對《數(shù)據(jù)保護(hù)指令》的漏洞進(jìn)行了一定的修改,歐盟也不可能完全否定以“決定”(decision)的形式保障和規(guī)制跨境數(shù)據(jù)流動的做法。而根據(jù)《歐盟運(yùn)作條約》(Treaty on the Functioning of the European Union,TFEU)第288.4條,決定對歐盟所有成員國均具有約束力( Consolidated Version of the Treaty on the Functioning of the European Union, Official Journal of the European Union, https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:12012E/TXT:en:PDF.)。且歐盟法院一貫認(rèn)為,在沒有明確提及成員國國內(nèi)法的情況下,歐盟法律條款的有效性不能根據(jù)國內(nèi)法來解釋( Data Protection Commissioner v Facebook Ireland Ltd, Maximillian Schrems, C-311/18, para 100.)。這就導(dǎo)致在歐盟成員國未將國家安全事項(xiàng)授權(quán)給歐盟處理的情況下,歐盟法院實(shí)質(zhì)上對美國情報(bào)機(jī)關(guān)可能侵犯各成員國國家安全的行為進(jìn)行了審理。這種一定程度上的越權(quán)行為不僅造成了對歐盟“雙重標(biāo)準(zhǔn)”的質(zhì)疑,也引起了法國等歐盟國家對于其主權(quán)的擔(dān)憂( Fumiko Hirasawa, Approaches to Realizing Legal Interoperability between the Data Privacy Regimes of the European Union and the United States, Columbia Journal of European Law, Vol. 28, No. 2, 2022, pp. 303-304.)。

    在Schrems I案和Schrems II案中,歐盟法院試圖采取基本權(quán)利和自由保護(hù)的路徑,解決實(shí)際上涉及成員國國家安全的網(wǎng)絡(luò)間諜問題,使其面臨著說理困境,也招致了諸多批判,揭示出以人權(quán)路徑解決國家安全問題面臨的挑戰(zhàn)。

    三、我國在跨境數(shù)據(jù)流動中規(guī)制網(wǎng)絡(luò)間諜行為的問題

    從我國的角度觀之,歐盟與成員國之間復(fù)雜的法律架構(gòu)引起的越權(quán)問題并不存在,且我國從法律傳統(tǒng)和實(shí)際需要而言都無須采取人權(quán)路徑,可以直接利用國家安全法律體系解決網(wǎng)絡(luò)間諜問題。但是,Schrems I案和Schrems II案揭示出了以美國為代表的新型網(wǎng)絡(luò)間諜行為的特殊性。不同于傳統(tǒng)的網(wǎng)絡(luò)間諜行為,例如由一國情報(bào)機(jī)關(guān)或人員潛入他國網(wǎng)絡(luò)系統(tǒng)獲取信息的行為,兩次案件中的涉案歐盟數(shù)據(jù)是依據(jù)《安全港決定》和《隱私盾決定》“合法”地流動至美國企業(yè),美國情報(bào)機(jī)關(guān)再依據(jù)美國情報(bào)法“合法”地要求美國企業(yè)提供這些數(shù)據(jù)。這種以相對合法的面貌實(shí)施的網(wǎng)絡(luò)間諜行為對我國法律體系提出了新的挑戰(zhàn),使得歐盟和美國都對自身法律體系有所調(diào)整,以應(yīng)對相關(guān)關(guān)切,這種博弈也推動著跨境數(shù)據(jù)流動和網(wǎng)絡(luò)間諜行為規(guī)制的國際規(guī)則發(fā)展。

    目前,我國對外締結(jié)的多邊條約中幾乎未見對于網(wǎng)絡(luò)間諜行為的規(guī)定,我國在雙邊條約中也尚未對此作出特別安排。從我國國內(nèi)法的現(xiàn)狀來看,《中華人民共和國國家安全法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》《中華人民共和國保守國家秘密法》《中華人民共和國反間諜法》《網(wǎng)絡(luò)安全審查辦法》《數(shù)據(jù)出境安全評估辦法》等初步構(gòu)建了跨境數(shù)據(jù)流動的規(guī)則,同時能夠?yàn)橐?guī)制網(wǎng)絡(luò)間諜行為提供一定的基礎(chǔ)。我國的跨境數(shù)據(jù)流動制度體系相較于歐盟充分性決定“一刀切”式的安排具有一定優(yōu)勢,但相關(guān)的法律還有待進(jìn)一步細(xì)化,以有效應(yīng)對他國的網(wǎng)絡(luò)間諜行為。

    (一)未能明確約束境外機(jī)構(gòu)向境外企業(yè)調(diào)取數(shù)據(jù)的行為

    《中華人民共和國數(shù)據(jù)安全法》和《中華人民共和國個人信息保護(hù)法》雖然都對外國司法或執(zhí)法機(jī)構(gòu)提供數(shù)據(jù)的請求作出了特別規(guī)定,將處理此類請求的權(quán)限明確交由我國主管機(jī)關(guān),禁止境內(nèi)組織和個人未經(jīng)批準(zhǔn)對外提供,但是此種規(guī)定只能約束主管機(jī)構(gòu)批準(zhǔn)前的流程。《數(shù)據(jù)出境安全評估辦法》雖然將數(shù)據(jù)出境中和出境后的風(fēng)險(xiǎn)也納入評估范圍,同時要求行政部門評估境外接收方所在國家或者地區(qū)的數(shù)據(jù)安全和網(wǎng)絡(luò)安全情況,以及境外接收方的數(shù)據(jù)保護(hù)水平是否符合我國法律要求,但此種規(guī)定類似于歐盟充分性決定制度發(fā)展初期的規(guī)定,而歐盟法院對Schrems I案和Schrems II案的判決作為判例法,針對外國情報(bào)機(jī)關(guān)向境外企業(yè)調(diào)取數(shù)據(jù)的行為進(jìn)行了較為細(xì)致的討論,能夠?yàn)榧s束此類行為提供法律依據(jù),使得歐盟法對于外國情報(bào)機(jī)構(gòu)的約束走在前沿,但我國未能明確將境外機(jī)構(gòu)向境外企業(yè)調(diào)取數(shù)據(jù)的行為納入評估和監(jiān)管的范圍內(nèi)。我國各地方、各行業(yè)的數(shù)據(jù)保護(hù)實(shí)施細(xì)則均依照上述上位法制定,但上述上位法未能針對歐美跨境數(shù)據(jù)流動國際合作中所體現(xiàn)的外國國家情報(bào)機(jī)關(guān)的新情況提供具體、明確的指引。

    《數(shù)據(jù)出境安全評估辦法》第14條規(guī)定,數(shù)據(jù)出境安全評估的結(jié)果有效期為2年,在境外接收方所在國家或者地區(qū)數(shù)據(jù)安全保護(hù)政策法規(guī)和網(wǎng)絡(luò)安全環(huán)境發(fā)生變化等情形之下,數(shù)據(jù)處理者應(yīng)當(dāng)重新申報(bào)評估。那么,當(dāng)外國的數(shù)據(jù)安全保護(hù)政策法律和網(wǎng)絡(luò)安全環(huán)境都未發(fā)生變化,而該國依然可以獲取我國數(shù)據(jù)的情況下,數(shù)據(jù)處理者是否應(yīng)當(dāng)重新申報(bào)評估存疑。以美國為例,在美國情報(bào)法和網(wǎng)絡(luò)安全環(huán)境未出現(xiàn)變化的情況下,美國情報(bào)機(jī)關(guān)依然能夠向美國企業(yè)調(diào)取數(shù)據(jù),但我國能否以該條要求數(shù)據(jù)處理者重新申報(bào)評估,存在一定的解釋空間。

    (二)追究法律責(zé)任的門檻較高

    《中華人民共和國國家安全法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國反間諜法》等雖然為防范、制止和懲治網(wǎng)絡(luò)侵入、網(wǎng)絡(luò)竊密等行為提供了法律依據(jù),但是對追究法律責(zé)任均規(guī)定了一定的前提。根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第75條,針對境外的機(jī)構(gòu)、組織、個人從事網(wǎng)絡(luò)侵入的行為,在造成嚴(yán)重后果的情形下,依法追究法律責(zé)任。《中華人民共和國數(shù)據(jù)安全法》第2條對法律責(zé)任也加入了后果要件,要求在損害中國國家安全、公共利益或者公民、組織合法權(quán)益的情況下,依法追究法律責(zé)任?!吨腥A人民共和國反間諜法》第10條也將規(guī)制對象限定為“危害國家安全的間諜行為”。在數(shù)據(jù)出境后將境外情報(bào)機(jī)關(guān)僅從境外企業(yè)獲取情報(bào)信息而未造成明顯后果的情形解釋為《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國反間諜法》所規(guī)定的損害中國國家安全也面臨著一定的說理困難,意味著將未造成實(shí)際損害的情形也認(rèn)定為損害國家安全,可能面臨著濫用國家安全條款的批判。

    (三)追究境外實(shí)體法律責(zé)任面臨執(zhí)行和國家豁免的障礙

    追究境外企業(yè)甚至境外情報(bào)機(jī)關(guān)的法律責(zé)任也存在執(zhí)行和國家豁免方面的困難。雖然《中華人民共和國外國國家豁免法》第2條將外國主權(quán)國家的國家機(jī)關(guān)或者組成部分也納入該法所稱的外國國家的范圍內(nèi),但第4條規(guī)定了外國國家通過國際條約、書面協(xié)議、遞交書面文件等明示接受管轄的情形下,才不享有管轄豁免。而當(dāng)前各國在國際條約中幾乎未直接針對跨境數(shù)據(jù)流動中的情報(bào)和網(wǎng)絡(luò)間諜行為作出約定,歐盟和美國在合作中也僅僅是通過歐盟委員會作出的單方面決定來規(guī)范情報(bào)收集行為,因此,外國情報(bào)機(jī)關(guān)在此種情況下有很大可能享有管轄豁免。

    《中華人民共和國外國國家豁免法》第7條規(guī)定了外國國家在中國領(lǐng)域內(nèi)進(jìn)行的商業(yè)活動,或者在中國領(lǐng)域內(nèi)產(chǎn)生直接影響的商業(yè)活動所引起的訴訟中,外國國家在中國法院不享有管轄豁免。該條將商業(yè)活動定義為非行使主權(quán)權(quán)力的關(guān)于貨物或者服務(wù)的交易、投資、借貸以及其他商業(yè)性質(zhì)的行為,并要求法院在認(rèn)定是否屬于商業(yè)活動時,考慮該行為的性質(zhì)和目的。根據(jù)該條對于商業(yè)活動的定義,企業(yè)跨境傳輸數(shù)據(jù)的行為應(yīng)當(dāng)認(rèn)定為商業(yè)活動,但該條的目的似乎又在于將商業(yè)活動與行使主權(quán)權(quán)力的政治活動等區(qū)分開來,如果為規(guī)制外國情報(bào)行為而擴(kuò)大解釋該條,可能面臨一定的爭議。

    四、我國在跨境數(shù)據(jù)流動國際合作中有效規(guī)制網(wǎng)絡(luò)間諜的建議

    針對以美國“棱鏡”計(jì)劃為代表的新型網(wǎng)絡(luò)間諜行為,我國可以充分利用國際法途徑,并不斷完善國內(nèi)相關(guān)法律體系,在跨境數(shù)據(jù)流動國際合作中對此種行為加以規(guī)制。

    (一)國際法上的建議

    在國際法層面,我國可以考慮在國際條約中對于情報(bào)機(jī)關(guān)獲取信息作出限制,在國際談判中推廣數(shù)據(jù)分類分級保護(hù)模式,尤其注重涉國家安全數(shù)據(jù)的保護(hù),搶抓規(guī)則制定的話語權(quán),并逐步推動國際法在規(guī)制網(wǎng)絡(luò)間諜中的適用。

    1.在國際條約中對情報(bào)機(jī)關(guān)獲取信息做出限制

    歐盟法院兩次推翻歐美跨境數(shù)據(jù)流動合作機(jī)制,使得合作面臨較大的法律不確定性,這在一定程度上源于歐盟與美國的合作最終是以歐盟內(nèi)部決定的形式確定的。從實(shí)踐上來看,歐盟所要求的獨(dú)立于情報(bào)部門的隱私保護(hù)監(jiān)察員( Data Protection Commissioner v Facebook Ireland Ltd, Maximillian Schrems, C-311/18, para.195.),也很難在美國的法律框架下達(dá)成,這也側(cè)面印證了對于此種大規(guī)模監(jiān)控的行為,可能需要國際條約予以規(guī)制( Christina Lam, Unsafe Harbor: The European Union's Demand for Heightened Data Privacy Standards in Schrems v. Irish Data Protection Commissioner, Boston College International and Comparative Law Review, Vol. 40, No. E-Supplement, 2017, pp. 12-13.)。我國在跨境數(shù)據(jù)流動領(lǐng)域展開對外合作的過程中,可盡量以條約而非單方面的法律文件固定談判成果,同時對于情報(bào)和網(wǎng)絡(luò)間諜行為作出一定的約定。在國際條約中規(guī)制情報(bào)和網(wǎng)絡(luò)間諜行為,也有利于《中華人民共和國外國國家豁免法》的適用,實(shí)際追究境外情報(bào)機(jī)構(gòu)的法律責(zé)任。

    雖然歐盟與美國在跨境數(shù)據(jù)流動合作中歷經(jīng)兩次失敗,但由此帶來的規(guī)則調(diào)整與銜接使得雙方逐漸走向更緊密的聯(lián)動,這種聯(lián)動未來可能影響國際標(biāo)準(zhǔn)的制定。2020年,美國發(fā)布了《與標(biāo)準(zhǔn)合同條款相關(guān)的美國隱私保護(hù)措施和其他在Schrems II案之后歐盟—美國傳輸數(shù)據(jù)的歐盟法律依據(jù)白皮書》( Information on U.S. Privacy Safeguards Relevant to SCCs and Other EU Legal Bases for EU-U.S. Data Transfers after Schrems II)。該白皮書表示,美國政府經(jīng)常與歐盟成員國共享情報(bào)信息,包括美國公司響應(yīng)FISA第702條而披露的數(shù)據(jù),以應(yīng)對恐怖主義、武器擴(kuò)散和敵對的外國網(wǎng)絡(luò)活動等威脅,這些信息共享能夠服務(wù)于歐盟的公共利益( Information on U.S. Privacy Safeguards Relevant to SCCs and Other EU Legal Bases for EU-U.S. Data Transfers after Schrems II, https://www.commerce.gov/sites/default/files/2020-09/SCCsWhitePaperFORMATTEDFINAL508COMPLIANT.PDF.)。在第三次合作的建立過程中,為促成DPF決定,美國針對歐盟個人數(shù)據(jù)保護(hù)建立了更為細(xì)致的救濟(jì)規(guī)則,且歐盟與美國在救濟(jì)機(jī)制方面開始實(shí)現(xiàn)聯(lián)動。需要救濟(jì)的個人可以自由選擇歐盟或美國的救濟(jì)機(jī)制( C(2023) 4745 final, Recital (68).),歐盟和美國還建立了一個DPF小組(EU-U.S. DPF Panel),該小組由至少10名仲裁員組成,仲裁員名單由美國商務(wù)部和歐盟委員會指定( C(2023) 4745 final, Recital (81)-(82).),該機(jī)制為個人提供了有約束力的仲裁的救濟(jì)途徑。歐盟與美國在跨境數(shù)據(jù)流動領(lǐng)域的合作深化,可能間接塑造該領(lǐng)域的國際合作和網(wǎng)絡(luò)間諜規(guī)制的國際規(guī)則,因此,我國有必要在雙邊、區(qū)域、多邊的各個平臺上逐步推進(jìn)合作,參與國際標(biāo)準(zhǔn)的制定,推行中國立場。

    2.在國際談判中推廣數(shù)據(jù)分類分級保護(hù)模式以促進(jìn)涉國家安全數(shù)據(jù)的保護(hù)

    歐美跨境數(shù)據(jù)流動國際合作的失敗,一定程度上在于歐盟將原本用于歐洲國家的充分性決定推廣至其他與歐盟國家利益具有沖突的國家。我國推行的數(shù)據(jù)分類分級保護(hù)、網(wǎng)絡(luò)安全審查和數(shù)據(jù)安全審查、數(shù)據(jù)出境安全評估模式,相較于歐盟充分性決定所體現(xiàn)出的“一刀切”式的數(shù)據(jù)出境許可模式具有一定的科學(xué)性和合理性,目前美國、歐盟、澳大利亞等國的立法中也逐漸體現(xiàn)出數(shù)據(jù)分類分級的雛形。我國可以在國際層面推廣此種跨境數(shù)據(jù)流動模式,與其他國家協(xié)商,確定數(shù)據(jù)分類分級的國際標(biāo)準(zhǔn),尤其注重涉國家安全數(shù)據(jù)的劃分,搶抓規(guī)則制定的話語權(quán),從而為通過國際法規(guī)制網(wǎng)絡(luò)間諜行為打下基礎(chǔ)。

    歐盟雖未明確規(guī)定數(shù)據(jù)分類分級制度,但也已經(jīng)存在了對數(shù)據(jù)的初步劃分。歐盟在法律層面將數(shù)據(jù)區(qū)分為個人數(shù)據(jù)和非個人數(shù)據(jù)進(jìn)行保護(hù)( 個人數(shù)據(jù)保護(hù)的法律依據(jù)為《通用數(shù)據(jù)保護(hù)條例》,非個人數(shù)據(jù)的保護(hù)由《非個人數(shù)據(jù)自由流動條例》(Regulation on the Free Flow of Non-personal Data,RFFND)規(guī)范。),GDPR又將個人數(shù)據(jù)進(jìn)一步區(qū)分為一般個人數(shù)據(jù)和敏感個人數(shù)據(jù)( General Data Protection Regulation, Article 9.)。歐盟還通過第2015/444號決定《關(guān)于保護(hù)歐盟機(jī)密信息的安全規(guī)則》規(guī)定了保護(hù)歐盟機(jī)密信息的基本原則和最低安全標(biāo)準(zhǔn),該決定根據(jù)未經(jīng)授權(quán)披露可能對歐盟或一個或多個成員國的根本利益造成損害的嚴(yán)重程度,將歐盟機(jī)密信息分為絕密(top secretary)、秘密(secret)、機(jī)密(confidential)、限制(restricted)四個級別( COMMISSION DECISION (EU, Euratom) 2015/444 of 13 March 2015 on the security rules for protecting EU classified information, https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX:32015D0444amp;qid=1586092489803.)。雖然在歐盟層面未見對于涉國家安全數(shù)據(jù)的特別規(guī)定,但歐盟對于數(shù)據(jù)的區(qū)分保護(hù)在一定程度上印證了數(shù)據(jù)分類分級保護(hù)是大勢所趨。

    美國前總統(tǒng)奧巴馬于2009年發(fā)布的關(guān)于國家安全機(jī)密信息的第13526號行政命令規(guī)定了對美國國家安全信息進(jìn)行分類、保護(hù)和解密的統(tǒng)一制度,同樣根據(jù)未經(jīng)授權(quán)的披露會對國家安全造成的損害程度,將國家安全信息分為絕密(top secretary)、秘密(secret)、機(jī)密(confidential)三個級別。相較于歐盟法,美國法已經(jīng)對于國家安全信息的相關(guān)事項(xiàng)進(jìn)行了明確列舉( Executive Order 13526- Classified National Security Information, https://obamawhitehouse.archives.gov/the-press-office/executive-order-classified-national-security-information.)。2010年,美國政府發(fā)布關(guān)于國家安全機(jī)密信息的第13556號行政命令,要求行政部門或機(jī)構(gòu)應(yīng)當(dāng)保護(hù)和傳播控制“受控非機(jī)密信息”,將其分為20個類別、124個子類別( 陳祥玲:《政府?dāng)?shù)據(jù)分類分級保護(hù)的理論邏輯、現(xiàn)實(shí)困境與實(shí)踐路徑》,《征信》,2023年第4期。)。對于受控非機(jī)密信息(Controlled Unclassified Information),美國通過《出口管理?xiàng)l例》(Export Administration Regulations)、《國際武器貿(mào)易條例》(International Traffic In arms Regulations)等作出了部分信息未經(jīng)政府批準(zhǔn)不得向外國公民或?qū)嶓w披露的規(guī)定( 許可:《自由與安全:數(shù)據(jù)跨境流動的中國方案》,《環(huán)球法律評論》,2021年第1期。)。

    澳大利亞也試圖通過數(shù)據(jù)分類管理等方式來規(guī)制跨境數(shù)據(jù)流動,對于安全、健康等類別的數(shù)據(jù)進(jìn)行特別保護(hù)( Cai Cuihongamp;Wang Yuanzhi, Global Data Governance: Challenges and Responses, China International Studies, Vol. 88, 2021, p.28.)。澳大利亞《數(shù)據(jù)可用性和透明度法案》細(xì)化了不能共享的數(shù)據(jù)類型和排除共享的機(jī)構(gòu)( 陳祥玲:《政府?dāng)?shù)據(jù)分類分級保護(hù)的理論邏輯、現(xiàn)實(shí)困境與實(shí)踐路徑》,《征信》,2023年第4期。)。世界層面主要對于財(cái)會稅務(wù)類、個人類、電信類、新興數(shù)字服務(wù)類、政府和公共類等數(shù)據(jù)進(jìn)行特別限制,呈現(xiàn)了一個初級的數(shù)據(jù)分級分類保護(hù)模型( 李毅,王迪:《世貿(mào)組織背景下中國數(shù)據(jù)本地化存儲要求的評析》,《重慶郵電大學(xué)學(xué)報(bào)》(社會科學(xué)版),2019年第4期。)。由此可見,未來在國際層面對重要的政治數(shù)據(jù)、經(jīng)濟(jì)數(shù)據(jù)、軍事數(shù)據(jù)、敏感的個人信息等制定統(tǒng)一的分級分類清單( 薛亞君:《數(shù)字貿(mào)易規(guī)則中的數(shù)據(jù)本地化問題探究》,《對外經(jīng)貿(mào)實(shí)務(wù)》,2019年第8期。),具有一定的可能性。

    具體而言,我國可以嘗試在WTO電子商務(wù)諸邊談判中推行數(shù)據(jù)分類分級保護(hù)的思路,并注重涉國家安全數(shù)據(jù)的劃分。WTO于2023年10月底啟動了最新一輪的電子商務(wù)諸邊談判,此輪談判的議題包括網(wǎng)絡(luò)安全、開放互聯(lián)網(wǎng)接入等。此輪談判于2023年12月20日結(jié)束,WTO成員通過電子商務(wù)聯(lián)合聲明倡議宣布已就若干全球電子商務(wù)規(guī)則取得實(shí)質(zhì)性談判成果,這也標(biāo)志著WTO電子商務(wù)諸邊談判達(dá)成重要的里程碑。據(jù)悉,實(shí)質(zhì)性談判成果涵蓋三大領(lǐng)域:電子商務(wù)便利化、開放的數(shù)字環(huán)境以及企業(yè)和消費(fèi)者信任( 《WTO電子商務(wù)談判最新進(jìn)展:美方撤回此前提議,如何研判?》,http://cacs.mofcom.gov.cn/article/flfwpt/jyjdy/cgal/202311/178544.html。)。WTO第13屆部長級會議仍未能直接觸及網(wǎng)絡(luò)間諜問題,也尚未見到各國就數(shù)據(jù)分類分級問題進(jìn)行專門討論( 13TH Ministerial Conference : Briefing Note, https://www.wto.org/english/thewto_e/minist_e/mc13_e/briefing_notes_e/ecommerce_e.htm.)。在此前的電子商務(wù)諸邊談判中,各成員的立場和意見存在不同。歐盟尤其關(guān)注跨境數(shù)據(jù)流動中的人權(quán)問題( See World Trade Organization, INF/ECOM/22.)。我國在電子商務(wù)諸邊談判中關(guān)注跨境數(shù)據(jù)流動所引發(fā)的國家安全問題( See World Trade Organization, INF/ECOM/19.)。美國主張跨境數(shù)據(jù)自由流動,禁止數(shù)據(jù)本地化,禁止網(wǎng)絡(luò)封鎖( See World Trade Organization, INF/ECOM/5.)。而在此次談判中,美國貿(mào)易代表辦公室放棄了美國長期以來的一些數(shù)字貿(mào)易要求,以便給美國國會留出監(jiān)管大型科技公司的空間。由此,美國對于跨境數(shù)據(jù)流動的立場似乎從嚴(yán)格限制數(shù)據(jù)本地化、倡導(dǎo)跨境數(shù)據(jù)自由流動,轉(zhuǎn)向?qū)缇硵?shù)據(jù)流動加以限制,這與中國、歐盟、俄羅斯等WTO成員的立場更加趨近,也為各國協(xié)商如何限制跨境數(shù)據(jù)流動奠定了基礎(chǔ)。

    從中國、歐盟、美國等成員的立法來看,在國內(nèi)法中對于涉及國家安全的機(jī)密信息進(jìn)行特別保護(hù),限制其出境已經(jīng)是大勢所趨。從各國在WTO電子商務(wù)諸邊談判的立場來看,國家安全也已經(jīng)成為跨境數(shù)據(jù)流動國際合作中的重要議題,我國在WTO中提出對涉國家安全的特別保護(hù),也符合世界各國的實(shí)際需要,具有可行性。我國可以嘗試在WTO電子商務(wù)諸邊談判中以單獨(dú)或聯(lián)合提案的形式推廣數(shù)據(jù)分類分級保護(hù)的思路,劃定國家機(jī)密信息的范圍。另外,聯(lián)合國、亞太經(jīng)濟(jì)合作論壇和上海合作組織等也針對信息通信技術(shù)的發(fā)展等議題進(jìn)行討論( 聯(lián)合國大會第A/68/98號決議。),我國也可以考慮在此類平臺與其他國家協(xié)商,逐步推廣數(shù)據(jù)分類分級保護(hù)模式,并提出對于涉國家安全數(shù)據(jù)進(jìn)行特別保護(hù),參與相關(guān)清單的制定,從而在國際法層面規(guī)制網(wǎng)絡(luò)間諜行為。

    3.逐步推動國際法在網(wǎng)絡(luò)間諜規(guī)制中的適用

    已有的國際法能否以及如何適用于網(wǎng)絡(luò)間諜存在一定爭議,《塔林手冊2.0:適用于網(wǎng)絡(luò)行動的國際法》認(rèn)為僅收集信息而未對他國產(chǎn)生實(shí)際影響的網(wǎng)絡(luò)間諜行為很難被認(rèn)定為侵犯他國領(lǐng)土主權(quán)( Russell Buchan, Cyber Espionage and International Law,Hart Publishing, 2019, p. 53.)。但在斯諾登事件之后,巴西總統(tǒng)迪爾瑪·羅塞夫(Dilma Rousseff)在聯(lián)合國大會上譴責(zé)美國的網(wǎng)絡(luò)間諜行為,指出網(wǎng)絡(luò)間諜活動侵犯了國家主權(quán),阻礙了有效的國際合作;在聯(lián)合國安理會的討論中,厄瓜多爾大使也指出“大規(guī)模間諜活動造成全球不信任”( Russell Buchan, Cyber Espionage and International Law,Hart Publishing, 2019, pp.39-40.)。阿根廷、玻利維亞、巴西、烏拉圭和委內(nèi)瑞拉都曾表示美國的間諜行為侵犯受害國主權(quán),印度尼西亞也提出美國的網(wǎng)絡(luò)監(jiān)視行為違反了國際法和《聯(lián)合國憲章》( Russell Buchan, Cyber Espionage and International Law,Hart Publishing, 2019, pp.54-55.)。

    關(guān)于國際法在網(wǎng)絡(luò)間諜中的適用的討論尚處于初級階段,目前,各國不太可能聯(lián)合制定一項(xiàng)多邊網(wǎng)絡(luò)條約規(guī)制網(wǎng)絡(luò)間諜行為,通過國家實(shí)踐發(fā)展有關(guān)網(wǎng)絡(luò)間諜的習(xí)慣國際法也需要時間( David Weissbrodt, Cyber-Conflict, Cyber-Crime, and Cyber-Espionage, Minnesota Journal of International Law, Vol. 22, No. 2, 2013, p. 387.)。國家可以在不干涉原則、禁止使用武力原則、外交和領(lǐng)事關(guān)系法、國際人權(quán)法、貿(mào)易協(xié)定等國際法框架下討論網(wǎng)絡(luò)間諜的合法性問題( Russell Buchan, Cyber Espionage and International Law,Hart Publishing, 2019, pp.9-10.),但可以預(yù)見,推動國際法在網(wǎng)絡(luò)間諜中的適用將經(jīng)歷較大的爭議和漫長的過程。

    在網(wǎng)絡(luò)間諜行為的國際法規(guī)制問題上,我國也面臨著一項(xiàng)現(xiàn)實(shí)的議題。美國提出了網(wǎng)絡(luò)間諜的“兩分法”,即網(wǎng)絡(luò)間諜不違反國際法,但國際法應(yīng)禁止網(wǎng)絡(luò)經(jīng)濟(jì)間諜,其中的網(wǎng)絡(luò)經(jīng)濟(jì)間諜行為直指中國“竊取技術(shù)和知識產(chǎn)權(quán)”的行為( 李彥:《場域視角下網(wǎng)絡(luò)間諜的國際法規(guī)制》,《政治與法律》,2023年第10期。)。這種“兩分法”為其自身獲取情報(bào)的行為留出空間,同時意圖在知識產(chǎn)權(quán)和高新技術(shù)方面壓制中國。我國在推動國際法規(guī)制網(wǎng)絡(luò)間諜的適用過程中,可以回應(yīng)美西方國家所指稱的中國網(wǎng)絡(luò)間諜行為并無證據(jù),主張網(wǎng)絡(luò)政治間諜與網(wǎng)絡(luò)經(jīng)濟(jì)間諜并不存在實(shí)質(zhì)區(qū)別,要求國際法平等適用于此兩種情形。

    (二)國內(nèi)法上的應(yīng)對措施

    從目前的實(shí)踐來看,國際法上針對網(wǎng)絡(luò)間諜行為的規(guī)則形成尚需要一定的時間,現(xiàn)階段我國可以運(yùn)用并完善國內(nèi)法的相關(guān)規(guī)則,規(guī)制網(wǎng)絡(luò)間諜行為。

    1.通過立法明確規(guī)制網(wǎng)絡(luò)間諜行為的新情況

    我國可以在征求意見中的《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》中,或與《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——網(wǎng)絡(luò)數(shù)據(jù)分類分級指引》類似的指南文件或其他行政文件中,明確強(qiáng)調(diào)數(shù)據(jù)出境后境外機(jī)構(gòu)調(diào)取境外企業(yè)數(shù)據(jù)的風(fēng)險(xiǎn)。我國《數(shù)據(jù)出境安全評估辦法》第8條第7款將“國家網(wǎng)信部門認(rèn)為需要評估的其他事項(xiàng)”也納入數(shù)據(jù)出境安全評估的事項(xiàng)當(dāng)中,因此,我國可以將數(shù)據(jù)出境后境外機(jī)構(gòu)調(diào)取境外企業(yè)數(shù)據(jù)的風(fēng)險(xiǎn)也明確納入數(shù)據(jù)出境安全評估的考量范疇。

    同時,我國在完善網(wǎng)絡(luò)法的過程中需要謹(jǐn)慎對待《塔林手冊2.0:適用于網(wǎng)絡(luò)行動的國際法》中的觀點(diǎn),《塔林手冊》系列出版物是以美國為首的北約組織世界各國專家修改完善而成的,該手冊雖然也有中國專家的參與( 陳舒,劉賢剛,葉潤國,等:《〈塔林手冊〉2.0視角下的網(wǎng)絡(luò)空間國際規(guī)則理論的發(fā)展》,《信息安全與通信保密》,2018年第4期。),但部分條款主要反映了對美國等國家有利的觀點(diǎn)。例如,在網(wǎng)絡(luò)間諜的界定方面,《塔林手冊2.0:適用于網(wǎng)絡(luò)行動的國際法》將網(wǎng)絡(luò)間諜界定為“利用網(wǎng)絡(luò)能力,以秘密或欺詐的方式收集或試圖收集信息的行為”( 邁克爾·施密特:《網(wǎng)絡(luò)行動國際法塔林手冊2.0版》,黃志雄等譯,社會科學(xué)文獻(xiàn)出版社,2017年,第193頁。)。但其中“秘密”“欺詐”等概念的界定并不明確,則可能使得美國利用公司間商業(yè)傳輸獲取數(shù)據(jù)的行為被合法化,從而使各國在跨境數(shù)據(jù)流動合作中面臨著與歐盟相似的困境。我國在各級立法中也應(yīng)當(dāng)注重對于網(wǎng)絡(luò)間諜的定義,使其盡量涵蓋數(shù)據(jù)出境后境外機(jī)構(gòu)調(diào)取境外企業(yè)數(shù)據(jù)的新情況。

    2.在司法實(shí)踐中合理解釋國家安全

    在歐盟與美國的跨境數(shù)據(jù)流動合作中,美國通過設(shè)置國家安全例外條款,為其情報(bào)和網(wǎng)絡(luò)間諜行為留下了一定空間。網(wǎng)絡(luò)間諜行為與國家安全息息相關(guān),我國在司法實(shí)踐中應(yīng)當(dāng)發(fā)揮《中華人民共和國國家安全法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國反間諜法》等法律中與國家安全相關(guān)的條款作為約束此類行為的“安全閥”的作用,合理解釋國家安全的定義,保持國內(nèi)法治和涉外法治中國家安全立場的一致性。

    如前所述,《中華人民共和國數(shù)據(jù)安全法》在追究違法行為法律責(zé)任的條款中加入了“損害中國國家安全、公共利益或者公民、組織合法權(quán)益”的表述;《中華人民共和國反間諜法》將規(guī)制對象限定為“危害國家安全的間諜行為”,但我國法律對于“國家安全”缺乏具體的定義。綜合考察《中華人民共和國國家安全法》《中華人民共和國刑法》等法律的規(guī)定,應(yīng)當(dāng)認(rèn)為,他國的網(wǎng)絡(luò)間諜行為危害我國國家安全。1993年的《中華人民共和國國家安全法》對于危害國家安全行為的界定,就是從反間諜領(lǐng)域出發(fā)的;《中華人民共和國刑法》規(guī)定的危害國家安全的行為也包括間諜行為( 李竹,肖俊擁:《國家安全法學(xué)》,法律出版社,2019年,第295頁。)。而網(wǎng)絡(luò)間諜作為間諜行為的新型樣態(tài),在司法實(shí)踐中應(yīng)當(dāng)被解釋為危害國家安全的行為,從而受到相關(guān)法律的約束。

    在國際法層面,對于國家安全的解釋也存在一定的模糊性和自裁決性,為我國在國內(nèi)法治和涉外法治中主張網(wǎng)絡(luò)間諜行為危害國家安全提供了一定的空間。《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》(Regional Comprehensive Economic Partnership,以下簡稱RCEP)在數(shù)字章節(jié)中設(shè)置了保護(hù)“基本安全利益”的例外,且規(guī)定一旦一方?jīng)Q定采取或維持的措施被認(rèn)為是“保護(hù)其基本安全利益所必需的”,RCEP的其他締約方不得就該措施提出異議( 《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》第12章第15條。),使得該條具有了一定的自裁決性質(zhì)。同時,RCEP在第17章明確,協(xié)定中的此類一般例外條款是在GATT第20條、GATS第14條的基礎(chǔ)上加以修訂而納入的( 《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》第17章第12條、第13條。)。WTO層面也已有一些相關(guān)的案例,雖然這些案例只對具體的爭端當(dāng)事方具有拘束力,并不具有法律上的先例作用,但從學(xué)理角度仍可以適當(dāng)參考WTO相關(guān)案例中爭端解決機(jī)構(gòu)的觀點(diǎn)來理解和解釋國家安全例外條款的規(guī)定。在烏克蘭訴俄羅斯運(yùn)輸限制案中,WTO專家組沒有明確闡釋國家“基本安全利益”的具體內(nèi)涵。但專家組認(rèn)為,基本安全利益一般可以理解為與國家本質(zhì)職能相關(guān)的利益。所涉及的具體利益將取決于有關(guān)國家的具體情況和看法,并且預(yù)計(jì)會隨著情況的變化而變化。每個成員都應(yīng)自行定義其認(rèn)為的基本安全利益。國家安全例外條款中“其認(rèn)為”的措辭意味著應(yīng)由成員自己決定保護(hù)其基本安全利益的行動的“必要性”( DS512: Russia—Measures Concerning Traffic in Transit,WTO,para 7.130-7.131.)。

    3.采取出口管制和反制裁措施懲治網(wǎng)絡(luò)間諜行為

    在法律層面,《中華人民共和國數(shù)據(jù)安全法》規(guī)定了數(shù)據(jù)出口管制和數(shù)據(jù)領(lǐng)域的反制措施?!吨腥A人民共和國個人信息保護(hù)法》也作出了類似規(guī)定(《中華人民共和國個人信息保護(hù)法》第42條、第43條規(guī)定,境外的組織、個人從事侵害中國公民的個人信息權(quán)益,或者危害中國國家安全、公共利益的個人信息處理活動的,國家網(wǎng)信部門可以將其列入限制或者禁止個人信息提供清單,予以公告,并采取限制或者禁止向其提供個人信息等措施。)。在實(shí)踐層面,2023年12月26日,針對美國的涉疆制裁,依據(jù)《中華人民共和國反外國制裁法》,我國對長期搜集涉疆敏感信息、為美國涉疆非法制裁提供“依據(jù)”的美國情報(bào)數(shù)據(jù)公司卡隆(Kharon)及卡隆公司調(diào)查主任許勐(Edmund Xu)、前美高等國防研究中心研究員尼科爾·莫格雷特(Nicole Morgret)等2人采取反制措施,禁止被制裁人員入境中國,凍結(jié)上述公司和個人的財(cái)產(chǎn),禁止與其交易和合作( 參見中國外交部官網(wǎng),https://www.mfa.gov.cn/web/wjdt_674879/fyrbt_674889/202312/t20231226_11213135.shtml。)??梢?,對外國情報(bào)公司的反制在我國已有先例,在追究境外實(shí)體和個人法律責(zé)任面臨執(zhí)行方面的障礙時,我國也可以通過反制和出口管制等措施,對于他國的網(wǎng)絡(luò)間諜行為予以回?fù)簟?/p>

    On the Regulation of Cyber Espionage in Cross-Border Data Flows

    ——From the Perspective of Cross-Border Data Flows Cooperation Between European Union and the United States

    Liu Ying,He Siyao

    (Sun Yat-sen University,Guangzhou 510275,China)

    Abstract:The two failures in cross-border data flows cooperation between European Union and the United States were based on the EU’s concerns about the new type of cyber espionage in the United States. However, international law lacks effective regulation of cyber espionage, and EU law also faces reasoning dilemmas and many criticisms when dealing with cyber espionage issues. The problem of overseas intelligence agencies obtaining data from overseas enterprises revealed by the two failed cross-border data flows cooperation in EU and the United States has a warning effect on our country. China also faces some problems, including the law fails to clearly restrict the behavior of overseas agencies in accessing data from overseas enterprises; the threshold for pursuing the legal responsibility of foreign agencies is relatively high; and the pursuit of legal liability of overseas entities faces obstacles such as enforcement and state immunity. At the level of international law, China may consider restricting intelligence agencies’ access to information in international treaties, promoting our data classification and grading protection method in international negotiations, while paying special attention to the protection of national security data, and gradually promoting the application of international law in regulating cyber espionage. At the legal level of domestic law, China can clearly regulate the new type of cyber espionage through legislation, rationally interpret national security in judicial practice, and adopt export control and counter-sanctions measures to punish cyber espionage.

    Key words:cross-border data flow;cyber espionage regulation;data protection[責(zé)任編校 張家鹿]

    猜你喜歡
    數(shù)據(jù)保護(hù)
    德國對ChatGPT發(fā)起數(shù)據(jù)保護(hù)調(diào)查
    數(shù)據(jù)保護(hù)護(hù)航IT轉(zhuǎn)型
    ——戴爾易安信數(shù)據(jù)保護(hù)解決方案
    歐洲數(shù)據(jù)保護(hù)委員會通過《一般數(shù)據(jù)保護(hù)條例》相關(guān)準(zhǔn)則
    歐盟通用數(shù)據(jù)保護(hù)條例中的數(shù)據(jù)保護(hù)官制度
    歐盟最嚴(yán)數(shù)據(jù)保護(hù)條例生效 違反將嚴(yán)懲不貸
    歐盟“最嚴(yán)”數(shù)據(jù)保護(hù)條例生效
    TPP生物藥品數(shù)據(jù)保護(hù)條款研究
    歐盟數(shù)據(jù)保護(hù)立法改革之發(fā)展趨勢分析
    歐盟《一般數(shù)據(jù)保護(hù)條例》新規(guī)則評析
    藥品試驗(yàn)數(shù)據(jù)保護(hù)對完善中藥品種保護(hù)制度的啟示
    玉环县| 抚松县| 沂源县| 阿克苏市| 德保县| 汝州市| 阿瓦提县| 正定县| 麻江县| 囊谦县| 新竹县| 大余县| 兰考县| 五原县| 涿鹿县| 诸城市| 淮安市| 图们市| 呈贡县| 师宗县| 商南县| 保山市| 保靖县| 农安县| 三江| 虹口区| 泾阳县| 湛江市| 新绛县| 丹阳市| 大埔区| 洞头县| 印江| 福安市| 广德县| 蒙阴县| 交口县| 玉树县| 尉氏县| 云南省| 保定市|