欧盟信息保护立法与美国域外取证的冲突和启示,本文主要内容关键词为:域外论文,美国论文,欧盟论文,启示论文,冲突论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
经济全球化和电子技术的不断进步,使数据信息流通变得更为频繁和便利,为保护本国信息安全,各国逐渐开始对数据信息保护进行立法和规范。欧盟在信息的保护立法和实践中,走在国际前沿。早在1995年10月24日,欧洲议会和欧洲理事会就颁布了第95/46/EC号指令,以保护个人信息的处理及流转(以下简称《欧盟数据保护指令》(EU Data Protection Directive),这也是欧盟信息数据保护框架的核心文件。2002年7月12日,欧洲议会和欧洲理事会再次颁布第2002/58/EC指令,用以补充规范电子通信领域个人数据处理和隐私保护(以下简称《欧盟电子隐私指令》(EU E-Privacy Directive),为了顺应时代发展和技术进步,2012年1月,欧洲委员会又提出了《欧盟数据保护规则》草案,以取代《欧盟数据保护指令》。这一法案未来需在欧洲议会全体会议上表决,并获得欧盟28个成员国的支持,才能最终通过并得以实施。新法案的出台,将标志着欧盟在信息保护方面进入了一个全新的阶段,具有里程碑式的重要意义。
不过,欧盟各国的信息保护立法虽然在保护本国公民权益和国家利益方面具有突出的作用和意义,但也给非欧盟国家的域外取证带来了很大的障碍,其中与之冲突最明显的就是美国的域外取证制度,欧盟成员国根据各自的信息保护立法,都无法接受美国法院调查取证请求的范围和形式,使美国在欧盟领域内的调查取证存在很大的困难,这一冲突已成为国际司法协助领域内至今仍无法协调的矛盾之一。
而在中国,随着经济的快速发展,越来越多的企业开始向国外拓展业务,国内企业在国外发生法律纠纷的情况难以避免,因此国外法院向我国法院提出的调查取证请求也会逐渐增多,但我国在信息保护方面的发展相对滞后,至今尚无较为完善的信息保护体系,关于信息保护的规定,仅散见于《中华人民共和国保密法》、《中华人民共和国商业银行法》等少数法律文件,导致我国当事人在应对美国等发达国家的调查取证请求时,无法保护自身的合法权益,因此,如何有效利用信息保护立法,进而在外国调查取证中保护我国企业的正当权益成为目前亟需研究的问题之一。本文希望可以通过对欧盟的信息保护立法和司法实践的介绍,为我国如何应对外国调查取证,保护我国数据信息安全提供一些启示。
一、欧盟信息保护立法的发展与实践
(一)《欧盟数据保护指令》的出台背景和目的
《欧盟数据保护指令》是“欧盟隐私和人权法”的重要组成部分,所谓“指令”(Directive①)是欧盟的一种立法方式,“指令”只要求欧盟成员国达成特定的目标,但并不限制成员国达成目标的方法,“指令”通常都为成员国留有酌情权,好让成员国有弹性地执行。
在欧洲的法治进程中,欧洲国家关于隐私权相关法律的发展比较成熟。《欧盟人权公约》第8条规定了尊重他人“隐私及家庭生活、家庭住址和联系方式”的权利,在具体适用中,欧洲人权法院对这一条进行了非常宽泛的解释。1980年,经济合作发展组织(Organization for Economic Cooperation and Development(OECD)试图在欧洲建立一个广泛的数据保护系统,并提出了具体的建议,②但OECD的建议缺乏约束力,欧洲各国的隐私信息保护立法仍属于各自为政的状态。1981年,欧洲议会开始制定保护《自动处理个人数据的保护公约》(Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data),该公约要求签约国对个人数据自动处理的保护进行立法。之后,欧洲委员会意识到如果欧洲各国对个人数据保护的立法原则不同,将会阻碍欧盟内部个人信息数据的流转,在这种背景下,欧洲委员会提出了制定《欧盟数据保护指令》的建议。
1995年《欧盟数据保护指令》正式颁布,目的是为了确保欧盟领域内私人数据信息被处理时可以得到一定标准的保护措施。该“指令”在性质上并非法律,但应作为欧盟各国进行相关立法的指导原则和范本。这是一种典型的欧盟立法模式,通过范本的指引,实现欧盟各国统一的立法原则。在这种模式下,各国立法的宗旨和原则是基本一致的,但不排除各国根据各自实际情况,进行有差异的立法。
(二)《欧盟数据保护指令》的基本框架和主要特点
《欧盟数据保护指令》共34条,分为7个章节,第1章是总则,阐述了本指令的主要目的、定义了指令中涉及的基本概念、界定了指令适用的范围和应适用的国内法等;第2章是处置个人信息的一般规则,为在欧盟领域内合法处置个人信息设定了条件和范围、信息主体所享有的权利等;第3章是对在非法处置个人信息情况下,受害人可以采取的司法救济、当事人承担的责任和法院可以签发的禁令等进行规定;第4章主要规定了向第三国转移数据的相关法律问题,这里第三国是指非欧盟国家;第5章规定了指令适用的行为准则,对各成员国的行为进行约束;第6章要求各成员国成立监管机构,包括机构的具体职能和人员构成;第7章是欧盟委员会的执行措施;在最后条款中,对各国根据本指令进行国内立法的具体要求,例如时限等。
《欧盟数据保护指令》经过将近20年的实践,已成为欧洲信息保护框架的核心,具有如下几个特点。
1.《欧盟数据保护指令》首次对信息保护中的相关概念进行了界定。首先,《欧盟数据保护指令》对个人信息的界定非常广泛,是指能够确认个人身份直接或者间接的所有信息,包括照片、电子邮箱地址、银行信息、在网络发布的言论、医疗信息以及计算机信息等所有相关信息;其次,与个人信息相关的概念,比如“信息主体”,是指个人信息所涉及的个人,但“信息主体”并不一定是该信息的所有者;使用信息的行为被称为“信息处理”,包括对信息的收集、翻录、组织、储存、调整、修改、检索、咨询、使用或者披露等所有与信息相关的行为,在这种广泛的定义下,一封从欧盟发出的e-mail或者附件都可能属于被保护的个人信息。
2.明确了在欧盟范围处置个人信息的具体要求。指令要求所有相关信息必须“合理并合法”地进行使用和处理,必须基于特定、明确以及合法的理由进行收集,不应因其他理由而被使用。同时,个人信息的使用应被严格限制范围,不应超出使用目的之外进行处理。
3.建立专门的监管机构。《欧盟数据保护指令》要求每个成员国建立独立的信息保护监管机构(Data Protection Supervisory Authority(DPA)),赋予其调查和起诉的权力。DPA的成员与欧盟委员会的相关代表以及欧盟数据保护监管人共同构成了《欧盟数据保护指令》第29条所指的在处理个人数据中保护个人信息的工作组(WORKING PARTY),工作组通过提出建议、意见以及工作文件的形式影响着指令在欧盟范围内的执行和适用。
4.明确欧盟信息数据向第三国流转的具体要求。指令要求如果请求获取数据的国家不是欧盟成员国,则必须在收到相关信息后对数据提供足够的保护措施,欧盟主要会从几方面判断请求国的保护措施是否合格,通过对请求国国内法的评估,给出一个具体的意见。任何违反该规定任意提供相关信息的个人或实体,将根据各成员国的不同情况,面临罚款和监禁等不同程度的处罚,该规定并非强制性法律,而仅是要求各成员国将信息保护的内容体现在各自的国内法中,而具体的惩罚措施则留给各成员国自行规定。
(三)欧盟信息保护立法的最新发展
1995年的《欧盟数据保护指令》在个人信息保护的发展历史上具有里程碑式的重要意义,它所确立的基本原则以及对个人基本权利的有效保护,时至18年后的今天,仍然有效。但是由于欧盟各国具体立法的差异,导致各国在保护个人信息时存在差别,比如就同一人而言,由于在不同的地方生活或者活动,所受到的保护并不一样。
此外,随着技术的革新和进步,《欧盟数据保护指令》需要现代化的更新。在创立之初,计算机还在萌芽阶段,快速的技术进步以及全球化的发展都为个人信息保护带来了新的挑战。因此,欧盟需要对原有的个人信息保护框架进行修改,使之能够适应未来的数据时代。
在此背景下,2012年1月25日,欧盟委员会公布了《欧盟数据保护规则》草案(General Data Protection Regulation)。该规则将取代之前各国根据《欧盟数据保护指令》而制定的相关法律。
在形式方面,欧盟不再使用“指令”的立法方式,而使用“规则”的立法方式,新的规则将直接成为欧盟各成员国国内法的一部分,这将统一各国在信息保护方面司法实践的尺度和标准。
在实质内容方面,最主要的变化是规则草案扩大了欧盟数据保护法律的适用范围,不仅针对欧盟内的企业,更将范围扩大到任何处理欧盟公民数据的外国公司,根据欧盟委员会的最新解释,新的“个人信息是指关于个人的任何信息,不论是其私人生活、职业领域或者公共生活,信息包括但不限于姓名、照片、电子邮箱地址、银行信息、网络发言、医疗信息或者计算机IP地址等”;此外,由于新规则统一了欧盟各国在信息保护方面的适用标准,有利于外国公司在实践中理解和遵守欧盟的信息保护规定。
在立法程序方面,欧盟的立法程序向来比较缓慢,之前1995年《欧盟数据保护指令》耗时两年才获通过,目前,《欧盟数据保护规则》草案已取得实质进展,已获得欧洲议会公民自由、司法与内政事务委员会通过,但仍需在欧盟议会全体会议上表决,并获得欧盟28个成员国的支持方能最终通过并得以实施,初步预计将在2014年生效,在两年的过渡期后,于2016年正式实施。
二、欧盟信息保护体系与美国域外调查取证的冲突
《欧盟数据保护指令》的出台,对欧盟外国家诉讼律师在调查取证方面造成了很大的障碍,尤其是美国依据联邦民事诉讼规则(FRCP)提出的调查取证请求。
(一)美国在域外调查取证中的司法实践
美国在过去的一个世纪中,民事诉讼案件当事人从对方获取相关信息的权力越来越大,范围也越来越广泛。1947年,美国最高法院通过一案例宣称,“案件双方互相了解、收集所有相关事实对于庭审的进行非常关键”,③因此,在之后的20世纪60至70年代,诉讼中的这种调查权发展到了极致。在一般的国内诉讼中,一方申请调取证据,在法庭令的支持下,另一方当事人必须及时、全面的提供任何可能与案件相关的信息或材料。如果当事人未能提供相关材料,将会直接导致败诉和巨额的损失。例如2004年,在美国纽约南区法院审理的“UBS Warburg LLC.案”中,该案属于普通的雇佣歧视案件,但被告UBS未能按时提供相关电子数据,可能包括相关往来的电子邮件等,法庭指示陪审团认定未能提供的电子邮件作为支持原告的证据,并且拒绝邮件撰写人出庭作证,鉴于这一项证据的不利因素,UBS败诉,并且陪审团裁定UBS向原告支付2900万美元的赔偿以及惩罚性损失。
美国法庭通常会要求当事人提交相关文件或信息,尽管“相关或者持有信息的人并不在美国,”④这就是所说的“域外调查取证”。
当所需要的信息位于美国境外时,美国法庭首先应选择域外调查取证的途径。FRCP与海牙取证公约是美国法庭上可以用于域外调查取证最重要的两个程序。在“Aerospatiale案”中,最高法院认为海牙取证公约在域外调查取证中并非是排他性适用,仅是可以选择的途径之一,最高法院在该案中建议了法庭在进行选择时应考虑以下3个因素,即具体的事实、主权利益、选择海牙取证公约程序是否合法。
自“Aerospatiale案”之后,美国法庭越来越倾向于选择FRCP途径,而非海牙取证公约,理由通常是诉讼时间紧迫,海牙取证公约效率较低,以及无法满足海牙取证公约对调取证据的要求等。在大多数的美国法庭上,如果一方申请适用海牙取证公约进行调查取证,则其需要承担说服法庭的责任,实践中,选择海牙取证公约多是为了避免当事人因提交证据而在本国承担处罚措施或刑事责任,或者避免侵害到他国的主权安全等。“Aerospatiale案”所确立的选择模式,至今仍在使用。
(二)美国域外调查取证与欧盟信息保护的主要冲突
1.对“隐私权”范围的理解,这种区别源自各自不同的法律文化。在欧洲的文化中,隐私权,例如肖像、姓名以及荣誉等与个人尊严密切相关,属于基本人权的一部分,而在美国,隐私权更倾向于对自由权利的一部分,范围较之欧洲的理解要小很多,仅限于个人医疗健康信息、银行信息或社会保障信息等敏感信息。⑤因此很多在美国法庭看来不具有敏感性的证据材料,在欧盟看来都是属于被保护的个人信息。
2.有权处置个人信息的主体不同。在美国,法庭一般认为公司对其所掌握数据和信息享有所有权和控制权,因此,美国公司不需要担心提供这些信息会侵犯何人或公司的权利。只有当公司掌握的信息涉及第三方的商业秘密或者信息涉密时,当事人才可以被免除披露义务,在这种情况下,当事人通常需要与法庭和对方当事人协商解决方案,使对方当事人既可以获得相关信息,又可以避免违反保密规定。
但是欧洲的大多数国家认为,公司对信息的占有并不意味着其对信息有处置的权力,在欧盟数据保护的框架内,信息所涉及的个人才对该信息拥有处置的权利。欧盟的工作组认为,如果公司所掌握的数据和信息涉及该公司的雇员或者客户,那数据主体就应是公司的雇员或者客户,而非公司经营的决策者,如果数据及信息属于后者的话,公司才有权利向美国法院披露他们自己的信息。
3.欧盟国家的障碍立法对美国域外调查取证的排斥。在《欧盟数据保护指令》的引导下,欧洲一些国家为阻止跨境调查取证而设计了障碍立法,比如法国。障碍立法比《欧盟数据保护指令》更加严格,是拒绝一切形式的调查取证,而不论该调查取证是否涉及敏感或涉密的信息,因此对美国的调查取证来讲是更大的障碍,在2007年,法国法院判决了一例违反障碍立法的典型案例“In re Advocat‘Christopher X’案”,在该案中,一位法国律师企图在法国境内为美国诉讼收集证据,为此法国基层法院判处该律师违反了障碍立法,并判处该法国律师罚金1万欧元,上诉至最高法院,最高法院维持了原判。
4.欧美双方对海牙取证公约的排他性适用存在争议。1970年3月18日,海牙取证公约订于海牙,基本上所有欧盟国家都是海牙取证公约成员国,因此欧盟国家并不排斥依据海牙取证公约进行的取证行为。美国也是海牙取证公约成员国,但是美国法院在最高法院的“Aerosloatiale案”之后,往往依据FRCP进行域外调查取证,而并不选择海牙取证公约,从而造成了欧盟与美国在域外取证上的冲突。
(三)目前欧盟与美国域外调查取证冲突的解决办法
在《欧盟数据保护指令》中,规定了3种例外情况,只有在这3种情况下,个人的数据信息可以合法的进行流转。1.诉讼。但根据欧盟权力机关的解释,只有在欧盟管辖权范围内的诉讼才适用;2.阻止(犯罪)或侦查犯罪。这一项仅适用于潜在的诈骗以及其他刑事犯罪,对纯民事诉讼并不适用。而且与上述条款相同,本条所指的刑事犯罪也是欧盟具有管辖权的犯罪行为;3.获得数据主体的同意。这一项看起来对于解决欧盟与美国调查取证之间可能具有积极的作用,毕竟获得信息主体的同意显得更为可行一些,但是,在实践中,获得信息主体的同意还是具有很大的难度,即使请求方获得了信息主体的同意,很多欧盟国家仍会质疑信息主体是否迫于雇佣关系等的压力而同意提供数据。
因此,尽管《欧盟数据保护指令》为个人信息数据的流转留有空间,但很明显,大部分的美国域外取证请求都不符合指令中的限制条款,因此实际上,这对解决欧盟与美国在域外取证方面的冲突并无太大的意义。
实际上,欧盟方面已经意识到《欧盟数据保护指令》对数据信息转移的限制不仅造成与美国的取证制度的冲突,也在一定程度上影响了欧盟领域内跨国公司的正常经营活动。尽管欧盟已经意识到了这个问题,但是也未能提出解决这个问题的可行方案,只是要求公司法人应该正确面对这个问题,建议公司在保护数据和披露数据之间权衡利弊,决定是否提供相关信息和数据,同时建议向美国提供数据之前,可以通过对数据进行技术性处理等方式规避法律风险,比如模糊个人信息,使用第三方过滤或减少提供无用信息等。
而在美国方面,诉讼当事人的取证要求通常会非常广泛,但是大多数情况下,当事人或者说美国法官都会在了解情况后缩小取证的范围,或对敏感信息进行排除,以防与欧盟的数据保护指令相冲突。但仍不能排除冲突的存在,在这种情况下,目前并没有很好的解决方法,只能是在个案中由当事人从自身的情况出发,权衡提供证据的利弊,进行决策。
三、欧盟信息保护立法对中国的启示
我国目前尚未制定保护个人信息和数据的相关法律,个人信息的泄露以及跨国信息流转所引发的问题逐渐引起我国立法与实践的关注。目前,我国用以保护境内数据信息的障碍性规定仅散见于《中华人民共和国保密法》、《银行法》等少数法律之中,尚没有形成数据信息保护的基本法律体系,因此,在协助办理外国请求的调查取证中常处于被动地位,当事人缺乏法律依据保护自身的合法权益,其中比较典型的情况是美国依据“长臂管辖”,⑥绕过海牙取证公约,要求我国在美公司履行举证义务,提交位于我国境内的相关信息和数据。美国的这种做法,使美国国内法成了事实上的国际法,要求外国当事人遵守美国的法律,在很多情况下既侵害了他国的司法主权,也不符合相关国际公约确立的国际司法协助的一般原则。我国很多企业深受困扰,以银行为例,迄今为止,中国银行、农业银行、工商银行、建设银行、交通银行和招商银行等在美国都设有分支机构,美国法院就是以这些分支机构为连接点,根据长臂管辖规则,将总行甚至是国内分行都纳入美国法院的管辖之中,使我国银行左右为难、饱受诉累。⑦当美国要求获得我国境内的信息数据时,我国并没有足够的法律依据保护信息的安全,现有的信息保护规定并不能构成当事人拒绝美国的调查取证请求合理的理由。
在这种背景下,我国应在借鉴欧盟国家经验的基础上,尽快建立完善我国的信息数据保护制度以及跨国数据流转方面的法律制度,成立信息保护的监管机构和建立责任追究机制,逐渐将我国的信息数据保护框架构建起来。但是需要注意的是,我国应本着保护本国合法的信息安全为目的,但并不等于要采取狭隘的单边主义立场,为正常的国际司法协助设置障碍,在建立信息保护制度的同时,应注意避免当事人对信息保护制度的滥用。
经过近30年的实践和发展,我国的民商事国际司法协助法律框架已初步建立。以《民事诉讼法》的规定为原则,以最高人民法院颁布相关司法解释为支撑,⑧连同我国加入的国际公约和签订的含有民商事司法协助内容的双边条约等法律文件,共同构成了我国目前的民商事司法协助的法律体系。因此,我们更希望各国间能够通过国际司法合作的形式,减少司法领域的冲突,我们一直坚信各国之间只有加强合作才能解决国际社会所面临的共同问题,信息保护制度的建立也是为了推动国际司法协助健康有序的发展,而并非单纯的设置障碍。
注释:
①"directive"在欧盟官方的德文用语里叫做"Richtlinie",就是准则之意。
②Recommendations of the Council Concerning Guidelines Governing the Protection of Privacy and Trans-Border Flows of Personal Data.
③Hickman v.Taylor,329 U.S.495,507(1947).
④RESTATEMENT(THIRD) OF FOREIGN RELATIONS LAW 
442(1)(a).
⑤郭玉军:“论美国与欧盟国家域外取证领域的冲突及其解决”,载《河北法学》第29卷第4期。
⑥长臂管辖是属人管辖制度发展的结果,是指依据长臂管辖法律或相关规则,只要非本州被告与受诉法院具着某种“最低限度联系”,法院即对该被告享有属人管辖权。
⑦刘贵祥、麻锦亮:“中国企业‘走出去’法律风险及其司法应对”,载《法律适用》2013年第5期。
⑧《最高人民法院关于依据国际公约和双边司法协助条约办理民商事案件司法文书送这和调查取证司法协助请求的规定》及其实施细则,2013年5月1日生效。