国家社科基金后期资助项目
出版说明
后期资助项目是国家社科基金设立的一类重要项目,旨在鼓励广大社科研究者潜心治学,支持基础研究多出优秀成果。它是经过严格评审,从接近完成的科研成果中遴选立项的。为扩大后期资助项目的影响,更好地推动学术发展,促进成果转化,全国哲学社会科学工作办公室按照“统一设计、统一标识、统一版式、形成系列”的总体要求,组织出版国家社科基金后期资助项目成果。
全国哲学社会科学工作办公室
前言
一、问题的提出
本书题为《国际数字经济规则建构中的个人信息保护研究》。个人信息保护议题随着20世纪末21世纪初数字经济的蓬勃发展逐渐引人关注。传统人格权保护通常仅诉诸侵权法即可实现,但在数字经济语境下,诸如云计算、人工智能等数字技术的大规模应用导致数字时代的个人信息更容易遭到侵犯,而且侵犯的范围更广、形式更隐蔽。此外,数字经济语境下的个人信息更容易汇总成为大数据,进而成为数字经济发展的重要生产要素,同时也会对公共秩序、国家安全造成影响。正是基于此,个人信息保护议题,目前是民法学界与国际法学界共同关注的内容。从传统民法角度来讲,个人信息保护的主体、客体、请求权基础、侵权责任构成等均与传统意义上的人格权保护存在差异,这也是个人信息保护需在民法基础之上专门立法的原因所在。一国国内民法对于个人信息保护的塑造,将是该国参与个人信息保护议题国际谈判与国际合作的基础。从国际法角度来讲,个人信息保护问题也不仅具有人格权保护意蕴。个人信息区别于传统人格权的重要特征在于,个人信息本身即可构成生产要素,因而具有跨境流动的必要;个人信息还可能构成“大数据”因而对一国主权、安全产生影响。这也会引发一系列国际法上经典议题的变革,同时触发一系列全新议题的诞生。如何在实现个人信息主体权利保护的同时,兼顾数字经济发展与国家主权,这是每一个国家参与国际法治合作均需解决的议题。具体到本书所论证的“国际数字经济规则建构中的个人信息保护”议题,国际数字经贸规则的构建涉及数据跨境流动、外资安全审查、FTA(Free Trade Agreement,《自由贸易协定》)谈判、数字平台治理等多重议题,其中对数据的规制必将影响数字化个人信息的保护。如何在规则构建中趋利避害、实现个人信息保护与市场竞争的平衡、数字人权与数字经济的协调发展,将是本书研究的核心内容。
二、研究内容
(一)研究对象
本书以国际数字经济规则构建当中的个人信息保护规则设计为研究对象,从国际规则构建的主要矛盾—个人信息保护作为“权利”、生产要素与情报的三方面功能碰撞入手,分析其对国际贸易与国际投资法律秩序的影响、个人信息保护与跨境数据流动中的统一实体规则建构,以及与个人信息保护相关的“国际非正式造法”现状,在此基础上探讨个人信息保护对于国际数字经济规则构建的总体影响以及这一进程当中的“数字人权—数字经济—数字主权”三方博弈,并落脚于符合我国国家利益的国际数字经贸规则建构的参与路径。
(二)框架思路
除“前言”与“结语”外,本书共包含七章内容。其主要思路如下。
第一章题为“‘个人信息保护’何以关联‘国际数字经济规则建构’?”,是本书论证的逻辑起点。本章分析表明,个人信息足以成为数字经济中重要的生产要素,因而对个人信息的收集、使用、分析、传输是数字经济发展所必需。然而,任一主权国家均会出于权利保护、竞争秩序维护、公共政策、国家安全等原因对于个人信息加以保护,个人信息保护因而也会成为数字经济发展的壁垒。面对个人信息保护与数字经济发展之间的张力,国际法需要加以调整,但目前力有不逮。当前的国际贸易与投资规则仍在适应数字经济发展,其中的个人信息保护规则尚在形成当中;跨境数据流动规则目前存在国际协调的必要,但并无有效的多边安排;在国际规则的空白区域,大国国内法规与数字平台内部治理规则会因此“溢出”至国际治理,进而形成事实上的“非正式造法”。以上因素的存在,引发了数字经济领域与个人信息保护相关规则建构的制度需求。不仅如此,就个人信息保护问题制订国际规范,同时符合大国的“议程设置”要求。有能力主导数字经济法治进程的大国不仅具有将符合其自身利益的数字经贸规则“固化”的需求,还有通过法治手段限制数字平台权力扩张的制度需求。在此基础上,个人信息保护议题出现在国际数字经济规则建构当中也属必然。
本书第二章至第五章为“问题分析”部分,这四章内容分别从数字贸易规则谈判中的个人信息保护政策空间创设、个人信息对于国际投资法治秩序的冲击、个人信息保护标准与跨境数据流动规则的统一法进程,以及数字经济中与个人信息保护相关的“非正式造法”角度论述涉个人信息的国际法治建构历程。
其中,第二章内容为“数字贸易谈判当中的个人信息保护政策空间创设”,从WTO(World Trade Organization,世界贸易组织)规则项下个人信息保护的合法性、区域贸易协定当中的个人信息保护规则构建两方面分析个人信息保护与自由贸易之间的关联。在WTO规则层面,由于“一般例外”与“安全例外”对个人信息保护规制并不清晰,美国在WTO电子商务谈判当中主张贸易自由、尽可能淡化个人信息保护色彩;欧盟则主张以个人信息保护为基础的国内监管政策空间。而在FTA谈判层面,美国会将个人信息保护写入FTA文本,但其目的在于推行较低标准的个人信息保护模式,并以此为由防范个人信息保护成为信息自由流动的障碍;欧盟则拒绝将个人信息保护问题写入FTA,更倾向于通过与贸易无关的双边谈判的方式将其个人信息保护规则进行国际推进。但不论如何,不同模式的FTA会在内部制度安排当中实现个人信息保护与数字经济自由化的协调;而且FTA制度安排本身并非“排他”。一国完全可能同时接受美欧模式的FTA文本。我国FTA缔约目前以RCEP(Regional Comprehensive Economic Partnership,《区域全面经济伙伴关系协定》)为最高水准,但目前已有加入CPTPP(Comprehensive and Progressive Agreement for Trans-Pacific Partnership,《全面与进步跨太平洋伙伴关系协定》)与DEPA(Digital Economy Partnership Argreement,《数字经济伙伴关系协定》)的考量,因而同样需要进行合规安排。
第三章以“个人信息保护对于国际投资法治秩序的冲击”为研究对象,研究内容包括东道国个人信息保护立法可能引发的投资者待遇问题,以及针对外资获取本国个人信息的外商投资安全审查问题。第三章的分析表明,前一种情形属于国际投资法项下的“老问题”,而且当前双边投资规则完全可以给予充分的回应;而后一种情形则是当前国际投资法难以解决的问题。美国将“敏感个人信息”作为外商投资国家安全审查的重要法律标准,并于2019年通过行政命令禁止TikTok等外资企业向美国提供服务;欧盟的外资规制以数据安全为基础,在外资能够遵循欧盟信息保护标准的情况下不对其进行准入限制。加拿大以敏感个人信息保护为由,屡次以国家安全审查为手段阻碍我国电信企业在该国的投资。此种现象的成因在于,美国希望以“敏感个人信息”为由排除外资进入美国市场;而欧盟通过数据安全立法实现个人信息保护的同时,变相吸引外资以投资而非服务贸易的方式进入欧盟,进而为欧盟就业、税收带来收益。欧盟实践客观上表明,敏感个人信息相关问题并不必然成为外资审查的原因。上述国家安全审查问题难以通过现行国际投资法加以解决,其原因一方面在于“安全”问题原本不适合通过国际经济法手段解决;另一方面则在于,上述“投资与安全”之争,本质上是地缘政治之争, 或者说是美国追求数字经济霸主地位的需求与投资自由之间的分歧。
第四章题为“个人信息保护标准与跨境传输问题的国家间共识达成”,主要分析除国际贸易规则(WTO与FTA)谈判之外,国家间就个人信息保护与个人信息跨境传输问题的谈判与实体性标准的达成。本章的存在意义在于,个人信息保护问题固然与数字贸易关联紧密,但完全可以脱离贸易规则谈判,作为独立的议题达成国家间共识。此种共识可以是非政府间共识,如ISO(International Organization for Standardization,国际标准化组织)的国际标准;国际组织推进下的非强制性标准,如OECD(Organization for Economic Cooperation and Development,经济合作与发展组织)指南和APEC(Asia-Pacific Economic Cooperation,亚太经济合作组织)跨境隐私规则、东盟示范合同范本;区域间复合型规则谈判的一部分,如非盟《马拉博公约》;甚至可能是国家间双边达成的个人信息保护充分性认定,典型实践为欧盟对他国的“充分性”认定。不过,同时需要说明的是,尽管个人信息保护问题与个人信息的跨境流动问题完全可以独立开启统一法进程,但这一进程不可避免地会受到贸易谈判的影响,典型范例为《美墨加协定》当中会认可APEC跨境隐私规则。此外,日本与欧盟之间的个人信息保护“充分性”认定实际上是与《欧盟-日本EPA》的谈判同时进行的。除此之外,脱离贸易谈判的个人信息保护统一法进程,也不可避免地受到大国政治的影响。发展中国家可以参与这一进程,甚至主导区域进程,但最终形成的规则的影响力仍然有待观察。
第五章题为“数字经济中与个人信息保护相关的‘非正式造法’”,其中的“非正式造法”一词是指有别于《国际法院规约》规定的国际法形成方式,但仍然会对全球数字经济进行调整的规则建构。正如本书第二章至第四章所论及的,数字经济呼唤国际规则,但当前已形成的规则尚不足以覆盖国际数字经济的方方面面。因此,国别法律可能借助对国内市场的规制而实现对于域外主体的适用;跨境数字平台规则也可能借助对国际市场的控制而客观上使其内部规则成为现代“商人法”。不同于本书第二章至第四章当中的国家间博弈,本章中由跨境数字平台主导的“非正式造法”同时也会体现国家主权与企业私权利之间的博弈。
在第二章至第五章论述的基础之上,第六章进行了对于个人信息保护议题对国际数字经济秩序的影响的综述。个人信息保护之所以能够影响国际数字经济秩序,微观原因在于其同时具有权利属性、生产要素属性以及情报属性。其生产要素属性意味着数字经济需要个人信息的跨境流动与充分利用;权利属性意味着个人信息保护足以构成对贸易自由的限制;情报属性则意味着,主权国家完全可能以国家安全为由限制个人信息的流动乃至于获取。本书第二章至第五章的论述,均是基于个人信息的上述三重属性展开。而数字经济当中的大国诉求,则是支持上述个人信息保护议题国际演绎的直接动因。美欧之外的“第三条道路”或许会对国际数字经济规则建构产生影响,但目前尚不足以左右整体局势。除此之外,国际数字经济规则建构中的个人信息保护问题,还呈现出了“数字人权—数字经济—数字主权”的三重博弈。在博弈中,国家间能够基于合意进行一系列规则创新;但大国因素仍然主导着规则建构进程。
本书第七章为“中国对策”部分。我国当前的个人信息出境规则在个人信息保护的基础之上,能够兼顾数据安全与数字经济利益。2024年最新立法实践更是对此的集中阐释。我国目前正在积极参与国际数字贸易规则谈判,且完全有能力接受RCEP电子商务章节中的争端解决条款与CPTPP和DEPA规则,但仍需注意具体行政行为本身的非歧视性与比例性。与此同时,美国主导下的具有高度行业自律性的FTA个人信息保护规则暂时不符合我国个人信息保护需求。我国注重数据安全,但并不滥用“安全例外”,仅在极为有限的情况下防范外资获取我国数据。外商投资负面清单的存在,也能够有效保护外资的合理期待。我国同样有能力积极参与个人信息保护与数据跨境流动的统一规则进程,但我国更加倾向于求同存异、共求发展,且应避免对他国个人信息保护模式与水准的强行干预。最后,面对个人信息保护相关的“非正式造法”,我国可以借鉴包括欧盟法在内的先进经验,但不宜盲目效仿欧盟法的强监管模式,以免影响我国数字经济发展;我国应保障对数字平台“私权力”的立法与司法监督,尤其需防范数字平台借助管辖权条款设计规避我国公权力监管。对于跨境取证规则的“长臂管辖”问题,我国则应当积极利用阻断法案,避免其对我国主权、企业正当利益的不利影响。
三、国内外研究现状
(一)国内研究
目前,对于本书所涉及的国际数字经贸规则构建,以及个人信息保护问题,国内外均已出现了一定研究,但国内目前尚无以国际数字经贸规则当中的个人信息保护问题为唯一研究对象的著作问世。少数著作虽论及个人信息的国际保护问题,但更加侧重于对国别(区域)立法和国际组织发布的标准进行文本解析或比较法研究。选择在国际法而非比较法层面研究个人信息保护,且将其置于国际数字经济规则构建语境下研究的著作尚未问世。例如,高富平所著《个人数据保护和利用国际规则:源流与趋势》就更加侧重于对于OECD个人数据保护原则、欧洲委员会《个人数据自动化处理中的个人保护公约》等国际组织报告或区域性规则进行评析,关注重心并不在于“数字经济”本身;齐爱民所著《大数据时代个人信息保护法国际比较研究》题目中虽有“国际”字样,但论述内容更加偏向于美国、欧盟及其成员国的国别或区域立法的比较,而非“个人信息的国际保护”,因而更接近于民法学研究范畴。其中也同样未涉及个人信息保护对国际经济法的影响。齐爱民教授更早期的著作《个人资料保护法原理及其跨国流通法律问题研究》同样为比较民法学研究著作。王曦博士所著《大数据时代个人数据保护与利用法律制度研究》同样是以OECD规则与美欧实践为落脚点。除此之外,国内还出版了相当一部分以我国《个人信息保护法》《网络安全法》《数据安全法》为研究对象的书籍,其研究视角也同样为国内法而非国际法研究视角。论文类成果固然大量存在,但由于篇幅所限,其往往是针对特定的“国际数字经贸规则”,例如WTO电子商务谈判、《全面与进步跨太平洋伙伴关系协定》(Comprehensive and Progressive Agreement for Trans-Pacific Partnership,CPTPP)谈判当中的个人信息保护问题而言,或针对跨境数据流动当中的个人信息保护问题而言,尚未就国际数字经贸规则本身进行全局式的描述。
鉴于本书研究课题的产生具有浓厚的时代意义,国内对此课题的研究,出现了鲜明的实践导向性。几乎全部研究均随我国立法工作与对外缔约实践而生。具体研究内容主要集中在三个方面。
1. 针对我国个人信息“权利”属性的研究
目前,我国国内研究成果数量最多的,当属在“权利保护”语境下对于个人信息保护的研究。其中,从民法角度对于个人信息法律属性的研究目前已相当充分。此类研究始于2010年前后,随着我国《民法总则》《民法典》《个人信息保护法》的立法进程不断深入。对于“个人信息”的研究,主要包括对个人信息保护法律性质的探讨,典型如个人信息的“权利”与“法益”之辨(杨立新、高富平等);个人信息与隐私权的异同(王利明、张新宝等);个人信息人格权与财产权属性的关联(梅夏英等);个人信息在我国宪法中的定位(洪丹娜等)。在此基础上,也存在更加细化、对于个人信息保护具体方式方法的探讨。此类研究多采用民法或法理学视角。在研究当中,我国学者通常能够就个人信息保护的基本特征、要件达成共识,典型共识体现在以下几方面。
首先,个人信息不应被界定为“权利”,而应当被界定为法益。当然,在我国立法对个人信息问题并未明确规定时,对此曾出现过学界争论,例如王利明在2013年发表的论文当中曾明确使用“个人信息权”这一概念;但在立法明确规定后,学界对此的认识趋于统一,如王利明2021年论文中就直接使用了“个人信息”这一概念。一方面是因为我国《民法典》的确未使用“个人信息权”这一概念,因而间接否定了将个人信息界定为权利的可能。另一方面也是由于,个人信息并不具有权利的“对世”属性,当事人仅在法律所保护的范围之内方才享有利益。
其次,个人信息范围包括但广于隐私。这不仅仅是由于我国《民法典》对此进行了明确阐释;也是由于个人信息同时包括公开信息与私密信息,对二者的法律保护程度必然有所不同。对于个人信息与隐私的区分标准,我国学者对此的认识存在一定差异。如张建文认为,“尊严性”检验是认定个人信息私密性的法律标准;房绍坤则认为,应当适用以关系为视角的隐私公开的相对标准。除此之外,我国学者通常同意,个人信息同时包括人格权与财产权特性,其中带有财产权意味的人格权可以在一定程度上进行交易并获取经济利益。但与此同时,对于个人信息的处理行为,同样应当作为法律规制的核心以防范个人权益侵害风险。洪丹娜则认为,个人信息兼具个体属性与公共属性,个人信息权利应当在宪法基本权利框架下设立为人格尊严项下的新型权利。
最后,我国学者通常承认,法律在保护个人信息的同时,也应当在一定程度上承认对此的共享,以维护数字经济的有序发展和资源的最优化利用。这是数字经济和市场经济的题中之意,也是对个人信息不应施以隐私权那样绝对保护的重要原因。目前,学界已有大量以“个人信息利用”为研究对象的论文问世。还有学者提出,应当采用风险治理理念进行个人信息保护,实现安全与效率的平衡。
以上共识的达成,有助于学界对“个人信息保护”这一概念的内涵和外延进行界定,进而在此基础上从事比较法与国际法研究。例如,欧盟在立法中偏好“个人信息”一词,而美国法则通常使用“隐私”一词。中、美、欧三方所描述的内容是否一致?三者是否均属于可共享的内容而非绝对不容交易的私权保护对象?
我国学者研究的主要分歧,通常在于上述共识的表征与实现方式。尤其是在与本书关系最为密切的、信息共享与信息保护的冲突与平衡关系问题上,董淑芬认为,此种冲突来源于人的社会本性与个体本性之间的依赖与冲突关系;高富平则认为,此种状况并非产生于人的两种本性差异,而是源自于个人信息的公共性对传统的个人信息个人控制理论的冲击。此观点也与梅夏英对信息资源分享的强调存在异曲同工之处。程啸一定程度上承认上述区别,但认为数据的共享必须以数据权利作为新型财产权和数据企业对此支付的对价为前提。高志宏则主张,应当加强个人信息司法保护,在个案衡量当中实现个人信息利益与社会公共利益和企业数据利益之间的冲突与平衡。对此的学理探讨已不止于制度建构层面的研究,而是更加接近于法哲学语境下的形而上层面。由于本书随后的研究将会有意识地触及“数字人权”问题,因此,对个人信息保护的正确理解,将有助于理解个人信息保护水准的差异与国际共识达成的可能性。
2. 就个人信息贸易价值与非贸易价值间协调的探讨
上述严格针对个人信息的权利保护的探讨,多集中于民法层面。而在国际法层面,探讨得较为深入的,是个人信息贸易价值与非贸易价值之间的协调。此类研究多集中于数据跨境流动、算法公开、计算设施本地化等贸易议题(石静霞、周念利、赵骏、张生等),多以美欧立场冲突为切入,进而探讨中国国家利益如何实现。此类研究的主流进路,是对当前国际贸易领域国际缔约的研究。这也是“国际数字经济规则建构”最为明显的体现。除少数论文以国际造法中的个人信息保护为重心外,多数研究虽有涉及FTA或WTO电子商务文本谈判当中的个人信息保护条款,但并非研究重点。我国学者通常将美国的主张定性为议题扩张、条款刚性化、严控数字保护主义;美国在坚持数据自由流动的同时,更加注重数字知识产权规则的构建。而对于欧盟相关主张的研究,多以《通用数据保护条例》为基础,以欧盟对外缔约为落脚点,在与美国FTA进行对比的同时,我国学者通常承认,欧盟更强调监管合作机制的构建。但对于美欧FTA之间的异同,有学者认为美欧FTA本质上属于同质化制度构建,但也有学者认为,二者之间的矛盾难以调和。对核心成员的主要诉求进行满足可能是达成多边框架下妥协方案的唯一方式,但达成此目标并不容易。数字贸易保护主义也仍然难以根本去除。
而对于中国立场,我国学者通常呼吁以规则为导向,建立我国在数字贸易谈判当中的“中式模板”,并提出本国的数据治理倡议。
对于数字贸易规则当中数据自由的免责性规定,我国学者通常主张对WTO“一般例外”与“安全例外”的扩张适用;也有学者认为,我国数据跨境流动规制措施可能并不完全符合例外条款当中的比例原则。但对于安全例外对网络安全措施的抗辩效果,有的学者对此相对乐观,但也有学者认为其效果不佳。
除对于国际数字贸易规则谈判当中个人信息保护议题的探讨之外,与“个人信息的贸易与非贸易价值”紧密相关的另一个研讨路径,是对于跨境数据流动问题本身的探讨。此类研究多以欧盟《通用数据保护条例》与美欧“隐私盾”“安全港”协议为研究对象,此议题也是与本书讨论主题最为相近的,且国内研究最为广泛的。随着美欧“安全港”“隐私盾”协议的先后确立与失效,我国学者对于数据跨境流动领域能否达成国际合作的态度也因而存在很大变化。我国学者通常主张应当在此领域着眼于国家安全、数据隐私保护和经济发展的平衡,并以此为契机完善国内立法,同时以双边合作的方式促进基于“一带一路”的数据跨境流动。尽管在此类研究当中,某些学者对于能否弥合美欧在此领域的根本性冲突或许过于乐观;但也有学者谨慎地表示,鉴于美欧间矛盾不可调和,多边谈判未必能够达成统一的结果,双边渠道或许更能为中国达成符合国家利益的安排。除此之外,此类研究多落脚于我国参与数据跨境流动合作的路径选择。我国学者通常认为,我国完全可以在保证数据流动安全可控的情况下扩大开放。而对于数据出境安全保障问题,我国学者主张,应当在追求个人隐私安全与商业利益相平衡的基础之上,通过数据出境安全评估、个人信息保护标准合同保障政治安全。
3.与个人信息相关的国际法新问题的探讨
除上述两项国内学者关注度较为集中的议题之外,我国目前还存在一系列与个人信息相关的国际法新问题的探讨。这些问题多以最新发生的国际法治实践为研究对象,对策研究价值较为浓厚。
此类研究首先包括与个人信息保护相关的外资审查问题的探讨。国内对此的研究主要集中在对于TikTok事件的系列研究,且视角多集中于跨境数据流动、“安全例外”的适用条件与边界。我国学者通常认为,这一问题体现了当前跨境数据流动国际规则制订的缺陷。我国应当在WTO提起诉讼的同时,推进数据流动国际规则的完善。
除此之外,还有一系列研究集中于欧盟个人信息保护法的域外效力。此类研究尽管并不是以严格意义上的“国际法”为研究对象,但由于“法律的域外效力”问题是经典的国际法问题,且欧盟法的域外效力也的确导致了欧盟法的国际适用,因此,此类研究仍然属于国际法的研究范畴。此类研究也会将美国《云法案》域外效力纳入分析范畴,并在比较美欧立法域外效力设计异同的同时提出我国对策。
综上,我国学界对于国际数字经济当中的个人信息保护议题的研究,以我国个人信息保护模式探讨为基础,以我国数据出境法律体系为国内治理与涉外法治建构的关联,集中于国际贸易缔约中个人信息保护措施与数据跨境流动条款的冲突与协调问题,而且存在对于时事热点问题的持续性跟踪。
不过,仅就本书研究主题而言,进一步的研究仍然有存在必要。
首先,这是由于现有研究的部门法视角差异。当前学术研究虽能够覆盖我国个人信息保护模式、个人信息出境审查等一系列问题,但对于“个人信息保护模式”的研究多以民法学为主,诸如王利明、张新宝等此领域的知名学者均为民法学者。个人信息出境审查与安全评估相关研究则多以行政法研究为主,诸如洪延青、张凌寒、赵精武等著述较为丰富的学者的研究均为行政法方向。本书因而有必要在上述研究成果的基础之上,从国际法的视角入手,分析上述个人信息保护与跨境流动措施在国际法项下的合法性认定。
其次,我国国际法学研究对于数字贸易缔约的成果目前已相当丰富,但研究对象并不必然以个人信息保护为核心。除部分作品之外,引发学者们集中关注的多为其中的数据跨境流动条款、源代码条款、数字产品非歧视待遇条款等,个人信息保护条款或在论文中一笔带过,或作为数据跨境流动的例外之一进行研究。本书为国际法领域的研究,较于此前的大多数研究差异恰恰在于重心的转换。个人信息保护条款是本书对于数字贸易缔约的研究核心而非“附带”。
最后,我国国际法学研究对于涉个人信息保护的时事问题已有追踪,但研究的对策色彩较为浓郁。本书恰恰以其“体量”原因,能够追求研究的完整性与体系性。
(二)国外研究
由于国内外研究需解决的问题不同,国外研究与国内研究的路径差别较大。
首先,由于美欧目前均已形成成熟的个人信息保护法律体系,美欧学者目前更加偏重微观而非宏观研究,如对“告知同意”、算法歧视、数据可携带权等具体制度的研究;以及,对美欧当前个人信息保护国内立法进行的解读与批判。在美国,由Warren和Brandeis于1890年发表于《哈佛法律评论》的《论隐私权》一文,通常被认为是美国隐私保护的基石性文献。尽管,彼时的隐私保护不可能与“数字”产生任何关联,更多的是对美国宪法与普通法历史传统的分析。随着加利福尼亚等州隐私保护立法的兴起,对此的研究也同样应运而生。而在欧盟,对于1995年“数据保护指令”和其升级版《通用数据保护条例》(General Data Protection Regulation,GDPR)的研究也如火如荼。其中主流观点均对《通用数据保护条例》给予高度肯定,但对于其中部分制度(如被遗忘权、算法治理条款)的实施效果会进行质疑。上述论述或许以美欧一方立法为研究重心,但在研究当中不乏对美欧相应立法的比较法研究。总体来讲,美欧相关研究在承认欧盟个人信息保护较之于美国的标准相对较高的同时,也承认美国的产业利益、宪法民权保护设计、美式民主制度均不允许直接引入欧盟式个人信息保护规则。需说明的是,此类研究以美国或欧盟具体制度建构本身为研究对象,通常不涉及美欧数据跨境流动的评论或“安全港”“隐私盾”问题,研究进路更加类似于我国的民法研究。仅有少数论文曾讨论《加州消费者隐私法案》(California Consumer Privacy Act,CCPA)与“隐私盾”协议之间的契合性;但随着“隐私盾”协议被欧洲法院否决效力,此种研究再次式微。同时,还需指出的是,由于笔者外语水平所限,对于美欧文献的回顾仅限于英文文献。诸如德语、法语等文献当中完全可能存在基于大陆法系民法理念对于个人信息性质、权利保护方法等的探讨。
当然,还需指出的是,西方话语中的个人信息保护问题通常会与西方式价值观紧密关联。其中完全可能将个人信息保护问题赋予“民主”“自由”等价值外衣。这是国外研究较之于国内研究的重要区别。
其次,是从国际法层面对于美欧数字规则国际合作的研究。与我国相应研究类似,美欧学者多以本国国内法的国际推进为出发点,研究成果具有浓厚的国家利益导向性。如,持欧盟立场的学者多以《通用数据保护条例》的域外效力为研究对象,持美国立场的学者多以美国积极推进的APEC隐私规则为研究基础。此类研究理论上通常会以自由贸易、隐私保护、国家安全等作为制度设计的价值基础,但即便从同一理论基础出发,学者立场的差异也可能直接导致其结论完全不同。当然,对于这一现象,也有相当一部分西方学者意识到了数字贸易规则合作的难点,以及美欧之外的国家在美欧规则碰撞中的无所适从。例如,曾有学者对加拿大—欧盟间签订的FTA(即Comprehensive Economic and Trade Agreement,CETA)与CPTPP文本比较分析后表示,两份FTA均涉及加拿大,但条约文本完全不同。美欧均有能力推行符合其自身利益的制度设计,但这势必影响到第三国的国家利益选择。而在非西方学者看来,美欧过于强势的缔约行为无疑会侵犯不发达国家利益。反而是以《区域全面经济伙伴关系协定》(RCEP)为代表的“亚洲模式”以平等、相互尊重与软法性规则为基础,因而更能顾及缔约各方的利益需求。不过,很大程度上由于语言所限,此种以非西方国家视角看待个人信息保护与国际数字经济关联的论文目前较难获得。
除此之外,对于诸如TikTok禁令、美国《云法案》、美欧数据传输相关问题,国外同样具有相应的研究。只不过,视作者立场差异,“国外研究”同样分为不同派别。以TikTok禁令为例,有少部分学者出于国家安全考量认可此禁令的必要性;但也有相当一部分学者从“民主政治”“三权分立”或“言论自由”角度出发,强烈反对此禁令继续实施。美国《云法案》的国际合法性问题,在著述中则体现为持欧洲立场的学者对于欧盟个人信息保护的忧虑,以及关注美国国内法治进程的学者对于政府权力扩张的抨击。英文文献中极少有学者以捍卫《云法案》合法性为出发点,而且学者对此的批判角度存在很大差异。
综上,由于国别法治传统差异和国家利益差异,国外研究中的个人信息保护问题,在出发点和立场上均与我国存在显著差异。对此的借鉴与参照,有助于完善我国立法,也有助于更深入地理解外国相关举措以提出应对之策。
四、本书相对于已有研究的独到学术价值
本书相对于国内外已有研究的学术价值体现在如下四方面。
首先,本书采用了“国际数字经济规则建构中的个人信息保护”这一独特视角,有别于当前国内相关研究。目前,国内相当一部分就个人信息保护问题进行的研究均以国内法治建构为视角,也有部分著作以美欧制度介绍为核心,鲜少有著述以国际法中的个人信息保护议题为研究重心,并将国际法中方方面面与个人信息保护相关的议题汇总、整理,以概括这一议题的整体走向。在此基础上,本书综合探讨个人信息保护议题与国际数字经济的互动总体图景,背后的政治驱动力量与价值博弈,最终为我国深度参与国际数字经济规则建构提供对策建议。
当然,本书的国际法视角,一方面是由于个人信息保护议题在现实当中的确存在着国际化趋势;另一方面也是由于“数字经济”本身即天然具有国际性。法律问题的现实演绎决定了视角的选择,但这并不意味着民法或行政法视角下的个人信息保护研究不再重要。个人信息保护议题完全可以从民法、行政法、竞争法乃至于刑法、诉讼法等多个部门法学角度加以探讨,且各部门法学的探讨也完全可能存在内容上的竞合。本书的研究也同样建立在国内既有研究的基础之上,积极吸收上述学科先进研究成果并以之为蓝本更好地理解我国的个人信息保护诉求,进而服务于本书当中对于我国参与国际数字经济规则建构的对策探析。
其次,本书将个人信息保护置于“国际数字经贸规则”构建而非单纯的“数据跨境流动”背景下进行研究。目前,国内对于个人信息的跨境流动问题已有较为完备的理解,甚至已有国家社科基金项目对数据跨境流动进行研究。然而,本书立论的核心观点恰恰在于,个人信息保护相关的国际数字经贸规则问题,从来就不仅仅是一个跨境数据流动的问题。个人信息保护与数据自由、本地化要求、源代码公开、网络服务提供商的知识产权保护等一系列数字贸易议题均会产生关联;而在数字贸易之外,个人信息保护同样会与外商投资(如以个人信息保护为由限制外资准入)、国别标准的域外效力、竞争政策的国际化、数字主权、跨境取证、长臂管辖等一系列事项产生关联。这些内容甚至未必会包含在WTO电子商务谈判或双边数字贸易规则谈判当中,完全可能体现为国家的单边主义进路。正如前文在文献综述之初所提及的,如此波澜壮阔的国际数字经贸规则的形成,即便仅仅研究其中的个人信息保护问题,也并非一篇万字的论文所能涵盖。本书除在第一章揭示个人信息保护与数字经济之间的关联之外,第二章至第五章还分别从国际贸易规则建构中的个人信息保护议题、个人信息保护议题对国际投资秩序的冲击、与个人信息保护和跨境数据流动相关的统一法建构,以及国际数字经济中与个人信息保护相关的“国际非正式造法”为视角,上述四章内容足以涵盖国际数字经济当中与个人信息保护议题相关的绝大多数议题。从这一角度来讲,个人信息保护是我国对外数字经贸规则谈判的基础;但同时也是我国多方面、多领域数字经贸规则建议形成的重要纽带。
再次,本书以中国利益为核心出发点。此种中国利益导向性首先区别于纯粹以美欧制度介绍为核心内容的著述与译著,同时也区别于国外研究当中的国别利益导向性。一方面,本书的研究固然涉及美欧立法,但其中相当一部分均为批判性研究。任何对于国际数字经贸规则构建进行研究的论文和著述,不可能不以美欧立法为研究对象、不以美欧学者著述为参照。然而,美欧立法与美欧学者著述的定位,在本书当中均属于“研究对象”而非“国际经验”。本书中论及欧盟个人信息保护法的“布鲁塞尔效应”时,同时论及其可能对他国公共政策造成侵害;论及美国《云法案》与外资安全审查制度时,也同时提及其可能侵犯他国主权、影响国际投资秩序。上述论证的出发点均为我国国家利益。另一方面,本书在论及美欧实践的同时也论及东盟、非盟等广大发展中国家的国际实践,同时也将我国作为“发展中国家参与国际数字贸易缔约”的实例之一,用于阐明国际数字经济规则建构中美欧之外的“第三条道路”及其边界。本书在第六章第五节当中论及,国际数字经贸规则建构固然体现了国家间合意,但大国因素仍然主导了规则发展进程。上述论证将国际数字经贸规则建构问题置于国家间利益博弈与话语权之争的视角进行分析,并最终以中国视角探讨对策。
最后,本书的研究并不以文献综述或对当前国际数字经贸规则文本的汇编为目的,而是尽可能从实践探讨入手、以理论探讨终结,将纷繁复杂的国际数字经贸规则构建与个人信息保护的关系上升至“数字人权—数字经济—数字主权”的三方博弈。“人权—经济—主权”三角,向来是现代国际法与国际关系热衷于探讨的议题。而在此三角关系当中加以“数字”前缀,又必将为此经典议题增加新的意味。
从“人权”角度来看,我国目前已产生了对于数字人权的大讨论。马长山教授认为“数字人权”属于第四代人权,且数字时代社会变革(如物理时空消解、主权边界模糊等)带来了全新挑战,数字人权因而需要特别保护。然而,刘志强教授反对“数字人权”的称谓,认为现有的三代人权已足够涵盖当前的诉求。本书认可前一种观点,并将数字人权作为评判国际数字经济规则对个人信息保护影响的重要标准之一。在此背景下讨论国际数字经贸规则形成中的数字人权保护,必将引发对于国际数字经贸规则的更深层次的讨论:在数字经贸关系背景下,究竟什么会造成对个人信息最大的侵害?
从“主权”角度来看,对主权的讨论完全可能出现于任何对国际法律议题的讨论当中。而具体到本书中的“数字主权”,在国际数字经贸规则语境下对此的讨论,实际上已是互联网引发的第二波主权问题讨论。第一波问题源自于对网络空间主权的讨论,其背景在于对“网络战”的讨论,这更多的是一个纯公法上的议题。当前对于数字主权的讨论,或许很大程度上源自于欧盟对数字主权的推崇。美国之所以未着力强调数字主权,也并不是由于其否认数字主权的存在,反而是由于其不需强调此概念也能达成同一目标。一方面,这是由于美国数字经济的高度发达已不需获得政府额外保护,反而是美国个人信息保护立法需要对其进行让步;另一方面,美国“长臂管辖”与法律域外效力,实际上实现了数字主权这一概念尚不能及的目标—迫使他国不得不按照美国的要求行事。不论如何,当前对数字主权的研究,已足以对数据治理引发的主权问题产生影响:网络空间无国界,但个人信息原始所有者必然具有国籍。那么,一国是否有权对本国公民个人信息的跨境传输进行规制?一国是否有权对向本国公民提供服务并同时获取其个人信息的企业进行规制?一国是否有权对在本国投资,以及不可避免地接触到本国公民个人信息的企业进行准入限制和合规要求?这一系列问题,均为本书在后续章节当中将要分析到的问题。不仅如此,数字主权问题也涉及属地管辖、属人管辖与长臂管辖、域外管辖之争。管辖权问题是主权的题中之意,而数字主权在传统管辖权基础之上对网络空间管辖权展开的争夺,必然对数字经济、对个人信息保护标准确立产生影响。
以上问题均会贯穿于本书第二章开始的对国际规则博弈的全部探讨当中,并在第六章集中呈现。
综上,本书的写作植根于个人信息保护与国际数字经贸规则构建的互动,其覆盖面涉及贸易、投资、国际标准制定、国际市场竞争等多个方面,其理念以“数字人权—数字经济—数字主权”三角关系为基础,进而既保障本书的资料性与实践性,也能够保障其理论性。数字人权—数字经济—数字主权三者间的碰撞,将是国际法哲学当中经典命题—“人权—经济—主权”的现代化版本。
