作者简介:董静然,男,重庆人,西南政法大学国家安全学院副教授,法学博士,硕士生导师,研究方向:国际经济法、国家安全法。
摘要:美国以数据安全为由实施的单边经济制裁给我国企业在美国的正常经济活动形成严峻挑战。虽然,《国际紧急状态法》赋予美国总统实施包括数据安全在内的广泛制裁权。《外资审查现代化法》进一步扩大了外国投资委员会的权限,将“敏感个人数据”纳入外资安全审查范围。但是,美国数据安全单边经济制裁仍然受到国内法和国际法的限制。一方面,《国际紧急状态法》信息数据例外条款和美国宪法第一修正案强调对个人信息数据交流的保护。《行政程序法》和美国宪法第五修正案对数据安全制裁提出了正当程序要求。另一方面,国际法从国家安全例外条款的限制解释和国家责任的角度对数据安全单边经济制裁进行了约束。面对美国的数据安全制裁,我国既需要通过美国国内法寻求救济,也需要增强反制措施的国际合法性和完善反制措施的行政机构配合机制。我国应积极探索平衡国家安全与数据自由的国际法规则,为数据安全的全球治理提供中国方案。
关键词:数据安全;单边经济制裁;美国国内法限制;国际法限制;反制措施
引言
数据安全目前已成为美国政府的重要关切。美国将数据安全正式提升到国家安全战略的高度始于2019年5月“保障信息通信技术和服务供应链”的行政命令。在该命令中,时任总统特朗普指出外国竞争对手无限制地获取美国信息数据和通信技术,已对美国国家安全构成了非比寻常的威胁。此后,美国频繁以数据安全为由对华发起单边经济制裁,给中国企业在美国的正常经济活动造成严重阻碍。2021年6月,美国总统拜登发布了“保护美国敏感数据不被外国竞争对手窃取”的行政命令。虽然,拜登在该命令中撤销了特朗普对TikTok和WeChat及其中国母公司的制裁,但这并不意味美国政府降低对数据安全的重视程度。相反,美国政府将数据安全提升到比之前更为重要的位置。拜登政府不仅重申了特朗普政府“保障信息通信技术和服务供应链”的行政命令,强调包括中国在内的竞争对手给美国数据安全构成的威胁和挑战,还要求美国各行政部门对美国数据安全存在的风险及外部威胁进行以证据为基础的、严格的分析评估,以保障美国核心利益。拜登认为,外国竞争对手可以通过在美国通信设备(包括移动电话、平板电脑和计算机等)上运行的应用软件获取美国用户大量的个人信息数据和商业财产数据。
除在应用软件领域对TikTok和WeChat采取制裁措施外,美国还认为中国会通过给美国提供电信服务的方式获取美国相关数据,威胁其国家安全。2021年10月,美国联邦通信委员会撤销了中国电信美国子公司的服务授权。2022年1月,该委员会又撤销了中国联通美国子公司的服务授权。拜登政府发布的数据安全行政命令更加重视对外国数据安全威胁的充分调查,在事实证据的基础上,以符合美国法律的形式采取制裁行动。鉴于此,我国有必要结合近期美国对华制裁案件,从国内法与国际法两个层面积极应对美国以数据安全为由实施的单边经济制裁。
一、美国数据安全单边经济制裁的实践特点
美国政府以数据安全为由,采取单边经济制裁一般是由总统发布制裁行政命令,然后由各行政部门进行跨部门配合执行的方式。而其他行政部门的调查报告,也为总统的行政制裁命令提供了依据。此外,美国的联邦通信委员会和外国投资委员会也是发起数据安全制裁的重要行政主体。
(一)将个人数据隐私保护上升到国家安全
在跨境数据流动中,美国一直重视个人信息保护。美国在对我国实施数据安全单边经济制裁中,认为其个人信息数据隐私安全会因中国公司提供的信息设备和软件而受到威胁,从而给美国国家安全形成挑战。2020年8月,时任美国总统特朗普依据其国内法发布行政命令,禁止美国实体与TikTok母公司“字节跳动”和WeChat母公司“腾讯”进行任何交易活动。美国认为,TikTok和WeChat两款应用软件会自动获取大量用户个人数据信息,包括用户的定位数据和浏览搜索记录,而中国政府会利用这些数据威胁美国国家安全。美国国土安全部、交通安全管理局等政府部门已经禁止在移动设备上使用TikTok和WeChat。为保护国家安全,美国认为有必要对TikTok和WeChat的母公司采取积极行动(aggressive action)。在美国制裁中国电信的案件中,美国司法部、国防部等部门给联邦通信委员会的制裁建议指出,美国公民大部分私人数据隐私会受到电信网络服务提供商的影响。而中国电信无法准确陈述将获取的美国数据储存在哪里,数据会被谁获取。所以,中国电信会给美国的网络安全和隐私保护造成挑战,进而威胁国家安全。由此看出,保护个人数据信息安全是美国实施制裁的重要原因,并且美国认为对个人数据信息的威胁就是对国家安全的威胁,从而满足了美国《国际紧急状态经济权力法》(International Emergency Economic Powers Act,以下简称《国际紧急状态法》)中,关于总统可以因国家安全采取经济制裁措施的条件。
美国政府将个人信息数据保护上升到国家安全的做法,会产生个人信息交流自由与国家安全的冲突问题。美国因保护用户数据安全而制裁TikTok、WeChat会损害美国用户个人信息交流的自由。美国政府声称,在美国公民信息数据交流自由和国家安全之间,保护国家安全是最高利益目标。在Marland v.Trump案中,美国政府认为TikTok禁令所体现的国家安全利益高于该措施对美国用户信息数据自由造成的损害。但该观点并不符合美国法律的规定。对于国家安全与个人信息数据交流的冲突,美国国内的《国际紧急状态法》已经给出了答案。该法的信息数据例外条款规定,国家安全措施不能直接或间接地对信息数据交流进行限制。在美国制裁TikTok的禁令中较多使用了对国家安全造成“可能的威胁”这样不确定的措辞,但该禁令对美国用户通过TikTok进行信息数据交流的损害具有更大的确定性和可能性。所以,美国政府因为一个“假设”出来的国家安全威胁而损害美国宪法所保护的信息数据交流自由,这不仅是对被制裁对象正常经济行为的不合理干涉,也是对美国普通公民信息数据交流自由权的侵犯。
(二)将缺乏事实依据的假设作为单边经济制裁理由
美国基于数据安全实施的制裁措施并没有充分的事实依据,更多靠假设、推测、主观臆断得出数据安全受到威胁的结论。美国司法部、国防部、国土安全部等行政部门以国家安全为由给联邦通信委员会提出建议,撤销并终止中国电信美国子公司国际电信服务的授权。具体理由为:其一,中国电信没有向美国政府准确陈述其获取的美国数据和相关记录信息存储在何处,谁会得到这些数据信息。其二,美国怀疑中国电信会违反美国网络安全法和隐私法。其三,中国政府会通过中国电信从事扰乱、误导美国通信的活动。但整份报告没有举出任何证据和实例。同样,美国在撤销中国联通美国子公司的服务授权时,主要强调的是一种“可能的、潜在的安全威胁”。而美国得出中国联通“可能”会对美国数据安全存在“潜在安全威胁”的逻辑是该公司受中国政府控制。美国并没有任何证据说明中国电信和中国联通的美国子公司存在违反美国隐私法和威胁美国国家安全的行为,更没有证据表明中国政府会通过前述公司获取美国数据威胁其国家安全。按照美国的逻辑,或许将来中国的任何国有企业进入美国市场,特别是从事关键领域的经济活动,都有可能被美国以国家安全为由实施制裁。并且,美国对中国国有企业的制裁也无需给出可靠的法律依据和事实理由,只要美国自己认为有威胁国家安全的潜在可能性即可采取措施。
(三)各行政部门相互配合的制裁模式
美国因数据安全所实施的单边经济制裁通常包含多部门的协同执行。从近期美国对华制裁实践中,可以看出美国的数据安全制裁主要是以某一个或两个行政机构为核心,其他行政机构协调配合的方式进行的。
1.美国总统与各行政机构的配合
美国总统对数据安全采取的相关制裁命令,通常是由商务部具体执行。美国商务部会严格按照美国总统在制裁命令中提出的要求,制定相应的实施细则以落实总统的行政命令。2020年8月美国总统宣布对TikTok及其母公司进行制裁后,2020年9月美国商务部就发布了相关执行措施,主要目标是执行美国总统的行政禁令、识别被禁止的交易。美国商务部会根据总统行政禁令的基本要求,进一步细化对TikTok及其母公司禁止交易的方式、类型、时间节点等内容。
在数据安全领域,美国总统的行政命令不仅有权要求商务部进行配合,也有权要求其他行政机构进行配合。在2021年发布的“保护美国敏感数据不被外国竞争对手窃取”的行政命令中,拜登多次强调了美国各行政机构对总统行政命令的执行与配合。例如,拜登要求“在该行政命令发出180天内,商务部长、国防部长、国土安全部长和其他行政机构负责人应向总统助理和国家安全顾问提交报告,并建议采取额外的行政与立法行动以落实行政命令中的数据安全关切”。同时,该行政命令还特别要求商务部对涉及应用软件的交易进行持续的评估,重点从国家安全的角度考察这些交易给美国信息通信、关键基础设施、数字经济等方面造成的威胁和风险。
2.美国联邦通信委员会与各行政机构的配合
美国联邦通信委员会在维护美国数据通信基础设施安全方面起到核心作用。2021年10月和2022年1月,该委员会相继撤销了中国电信美国子公司和中国联通美国子公司的服务授权。美国联邦通信委员会是美国国会监管下独立的联邦政府机构。该机构的职能是执行美国通信法律法规,管理美国境内外的通信活动。在国家通信基础设施防御方面发挥领导作用也是其核心职能之一。同时,该机构也负责处理电信通讯相关领域的许可证申请事宜。
美国联邦通信委员会对中国电信的制裁报告显示,其依据了相关行政机构给出的制裁建议。这些行政机构包括美国司法部、国土安全部、国防部、国务院、商务部和美国贸易代表办公室。虽然,发出撤销中国电信和中国联通美国子公司的主体是美国联邦通信委员会,但实际上是美国各行政部门相互配合、共同作用的结果。
3.外国投资委员会与各行政机构的配合
2020年美国新修订的《外国投资风险审查现代化法案》(以下简称《外资审查现代化法》)正式生效。以“敏感个人数据”为代表的数据安全被纳入到外国投资委员会(Committee on Foreign Investment in the United States)的审查范围。外国投资委员会是以美国财政部为牵头部门,其他与国家安全相关的行政部门负责人都是该委员会的组成人员。外国投资委员会的主席由美国财政部长担任,该委员会的其他成员包括美国司法部、国土安全部、商务部、国防部、国务院、能源部、贸易代表办公室和科技政策办公室的负责人。同时,美国白宫的国家安全委员会、国土安全委员会和预算办公室等部门也会参与到外国投资委员会的活动中。国家情报局和劳工部长也是外国投资委员会无投票权的成员。
美国对数据安全的单边规制充分体现了“全政府”在美国国家安全体制中的应用。“全政府”是美国为应对复杂的国家安全挑战逐渐发展起来的一种组织间相互协调、联合行动的机制,在实践中表现为各种跨部门组织。“全政府”强调跨部门机制的效率,通过资源整合达到“一加一大于二”的效果。美国在数据安全的规制上,外国投资委员会是一种典型的融合各行政部门的“全政府”组织,以财政部为牵头部门,通过各部门合作,综合分析国家安全问题。而联邦通信委员会和美国总统虽然不是一个跨部门组织,但仍然充分贯彻了“全政府”理念,各行政部门相互配合,不仅为数据安全制裁提供调查报告,也为数据安全制裁行政命令的执行提供保障。
二、美国数据安全单边经济制裁的国内法依据
美国发起数据安全制裁主要依据是其国内法,包括《国际紧急状态法》和《外资审查现代化法》。尽管这些国内法都对美国政府实施单边经济制裁提出了限制性要求,但也赋予了美国政府较为广泛的制裁权力。一方面,《国际紧急状态法》在限制权力的条款上存在一定的模糊性,在一定程度上扩大了美国总统在数据安全制裁上基于国家紧急状态的自由裁量权。另一方面,《外资审查现代化法》将数据安全等新领域纳入安全审查范围,进一步扩大外国投资委员会的权限。
(一)《国际紧急状态法》:立法目标与现实状况的背离
在美国对华数据安全制裁案件中,《国际紧急状态法》是美国总统实施对外经济制裁的主要国内法律依据。多年来,美国总统不仅依据该法将外国政府作为制裁对象,还将制裁对象扩展至外国国民和企业组织。《国际紧急状态法》赋予美国总统调查、规制、禁止任何对外经济交易的权力。但该法的立法初衷并非对总统经济制裁的赋权,而是限权。1917年,美国《与敌国贸易法》(Trading with the Enemy Act)赋予美国总统在战争期间的经济制裁权。20世纪30年代,在经济大萧条的影响下,美国国会进一步扩大了《与敌国贸易法》的适用范围,给予美国总统在和平时期对国内和国际经济活动更广泛的制裁权。随后,《与敌国贸易法》成为美国在冷战期间对外进行经济制裁的主要法律依据。然而,美国国会发现总统经济制裁的自由裁量权过大。为限制总统权力,国会通过了1976年的《国家紧急状态法》(National Emergencies Act)和1977年的美国《国际紧急状态法》,增加了总统制裁措施的透明度、成本考虑、评估制裁的合理性等要求。并且,美国国会还可以通过《国家紧急状态法》终止美国总统的经济制裁措施。
《国际紧急状态法》对总统的经济制裁作出了限制性要求,如总统需要尽可能向国会报告其制裁措施的必要性与合理性。同时,总统还需向国会解释被制裁对象或行为如何对国家构成“非比寻常的威胁”(unusual and extraordinary threat)。然而,《国际紧急状态法》并没有对“非比寻常的威胁”的构成要件作出具体规定,也没有提及行政机构的制裁措施是否需要充分的事实证据支持。所以实践中,美国总统的行政制裁命令通常只是简单指出被制裁方或被制裁措施给美国的国家安全构成“非比寻常的威胁”,并未作出详细论证和阐释为何对国家安全的威胁程度达到了国内法中的要求。并且,《国际紧急状态法》也没有对总统宣布国家紧急状态的条件作出规定和限制,仍然是以美国总统自己的判断为主。
(二)《外资审查现代化法》:增加数据安全审查
美国总统以《国际紧急状态法》对TikTok及其母公司“字节跳动”进行制裁的同时,也依据外国投资委员会的调查报告,对“字节跳动”在美国的并购活动实施禁令。2020年生效的《外资审查现代化法》进一步扩大了美国外国投资委员会在国家安全问题上的审查权。根据该法的规定,在美国涉及关键技术、关键基础设施和收集美国公民敏感个人数据的外国投资都将受到外国投资委员会的严格审查。这表明,数据安全已明确纳入美国《外资审查现代化法》规制范围。美国总统可以根据外国投资委员会的调查结论,终止或暂停外国对美国实体的并购行为。美国认为,涉及个人识别数据、基因数据或其他涉及美国公民敏感数据的交易都会构成对美国国家安全的威胁,需要以《外资审查现代化法》为依据进行审查。
“敏感个人数据”所涵盖的范围包括:通过产品或服务从美国军方或联邦机构人员处获取的数据;收集或持有超过一百万美国公民的个人数据;所收集的数据是美国企业主要业务的组成部分等。金融数据、定位数据、健康数据、美国公司掌握的未被公开的技术信息等都属于“敏感个人数据”。对使用、开发、获取、保管、公布美国公民或美国公司所持有的“敏感个人数据”的外国投资,无论其是否以获得美国公司的控制权为目的,还是直接或间接投资,都将受到美国外国投资委员会的安全审查。《外资审查现代化法》还专门设置了“中国投资报告”规定,根据该条款,美国商务部要定期收集整理中国对美国的投资信息数据,并提交给美国国会和外国投资委员会。
中国企业在并购美国企业过程中,特别是并购美国的应用软件企业,都可能面临美国外国投资委员会基于数据安全的外资审查。目前,已经出现中国企业在美国外国投资委员会基于数据安全的压力下,放弃并购或出让已经并购的美国公司股权的情况。例如,2020年3月,美国总统根据外国投资委员会的报告,以国家安全为由,禁止了北京世纪信息技术有限公司(以下简称世纪信息公司)收购美国StayNTouch公司的项目。该禁令同时要求世纪信息公司及其附属机构不能获取任何StayNTouch公司的酒店客户数据。StayNTouch公司是一家为酒店提供经营管理系统服务的公司,以“云计算”为基础帮助酒店优化运营体系、提升运营效率。该公司有较大可能掌握大量酒店客户的个人信息数据。而敏感个人数据是《外资审查现代化法》新增的安全审查内容。这些酒店客户数据会被定义为“可识别数据”而被纳入到敏感个人数据的范畴。根据美国国内法的规定,“可识别数据”是指“能够追踪个人身份的数据,包括通过使用个人识别的符号”。美国政府很可能认为StayNTouch公司如果被中国公司收购将使这些可识别的个人信息数据被中国政府掌握,进而给美国国家安全构成威胁。该案和美国制裁TikTok和WeChat的相似之处在于,TikTok和WeChat也可以通过应用软件获取大量美国用户的“可识别数据”,进而引发美国对其数据安全的担忧。
三、美国数据安全单边经济制裁的法律约束
美国以数据安全为由采取的单边经济制裁并非完全是政府机构的自由裁量。该行政措施需要满足美国国内法和国际法的要求。充分认识美国单边经济制裁措施的法律限制是中国进行有效抗辩和采取反制措施的重要基础。
(一)美国国内法的约束
1.《国际紧急状态法》:信息数据例外条款与其他限制条件
《国际紧急状态法》为限制总统权力,规定了信息数据例外条款。该条款要求总统不能直接或间接禁止“在不涉及有价值的数据传输情况下,任何邮政、电信、电话或其他形式的个人信息交流”。《国际紧急状态法》保护各类形式的信息数据或信息数据材料的交流,包括但不限于出版物、电影、海报、唱片、相片、胶片、磁带、光盘、艺术品等。换言之,前述形式的信息数据交流不因国家安全或外交政策原因而受到直接或间接的规制或禁止。
在Marland v.Trump案中,原告认为美国用户通过TikTok进行的信息数据交流涵盖在《国际紧急状态法》信息数据例外条款所列举的信息形式中。因为该条款对信息数据形式的列举是一种“开放式列举”,并没有排除其他形式的信息数据交流。TikTok的短视频作为信息数据材料,类似于相片、电影、艺术品等内容。TikTok为美国用户的信息数据交流提供平台。美国总统的禁令将严重影响TikTok的正常运行,并阻碍美国用户个人信息数据的交流。美国政府抗辩称该案不属于信息数据例外条款的适用范围,因为政府采取措施目的不是限制信息数据交流,而是限制TikTok母公司在美国的商业交易。而该措施对信息数据交流的影响是偶发性、伴随性的。美国政府的观点显然与美国国会在1988年对《国际紧急状态法》的《铂曼修正案》(Berman Amendment)相悖。《铂曼修正案》增加了禁止总统“直接或间接地”对信息数据交流进行限制或规制的内容,这表明政府的经济制裁即使“间接”干预了信息数据交流也应当被认定为违反《国际紧急状态法》。虽然,美国商务部在实施美国总统禁令时,为规避信息数据例外条款,强调制裁措施只针对公司与公司之间的经济交易,不会影响美国用户在TikTok平台的个人信息数据交换。但该禁令却给美国的TikTok用户造成了限制信息数据交流的实际影响。在TikTok v.Trump案中,法院认为总统的行政禁令违反了《国际紧急状态法》下的信息数据例外条款,间接限制了TikTok平台上进行的个人信息数据交流。
此外,《国际紧急状态法》还要求制裁措施所针对的必须是“对美国的国家安全、外交政策或经济形成了非比寻常的威胁”。且总统需要在实施制裁前,根据该威胁宣布国家进入紧急状态。同时,《国际紧急状态法》还特别强调制裁措施只能出于应对具体威胁国家安全的需要,不能为其他目的实施制裁措施。这些限制条件是要从必要性、合理性和关联性等方面约束美国总统因国家安全实施制裁的权力。
2.美国宪法修正案对数据安全制裁措施的限制
美国宪法第一修正案旨在保护公民的宗教自由和表达自由。表达自由又包含了言论、集会自由。言论自由权规定公民可以表达自身意见而不受政府干预或限制。言论自由权包括以各种媒介形式交流信息。同音乐和数字一样,网络数据与计算机软件程序也是言论自由的一种媒介或载体,也可以用于信息交换。美国对TikTok的禁令给数百万美国公民通过该平台进行自由表达的权利造成限制,违背了第一修正案对保护言论自由的要求。
Marland v.Trump案的原告作为TikTok的美国用户指出,美国对TikTok的禁令如果付诸实施,将会给其造成无法弥补的损害。该禁令将使原告失去TikTok平台上数百万的粉丝和相关的品牌赞助。原告通过TikTok平台进行信息数据交流和自由表达的权利也将受到损害,并且这种损害不是一种可能性,而是一定会产生的。在TikTok v. Trump案中,原告认为TikTok为美国用户提供了创造和分享信息数据的平台,美国公民在该平台上可以对包括新闻时事在内的各类话题自由表达观点。美国对TikTok的制裁将影响该平台的核心功能,进而给第一修正案项下所保护的言论自由造成危害。Packingham v. North Carolina案强调对言论自由的约束应严格限定在维护国家实质性利益上,且不能超过必要限度。美国对TikTok的禁令虽然以保护国家安全为目的,但在没有事实依据,且TikTok已经给出一系列缓和措施的情况下,仍然实施制裁。该措施对言论自由的限制无法满足前述必要性的标准。
美国宪法第五修正案规定,在没有正当法律程序下,任何人不能被剥夺生命权、自由权和财产权。Northern Securities Co. v.United States案确立了作为法人的公司,受到宪法第五修正案正当法律程序的保护。同时,根据美国的法律实践,进入美国境内的外国公司也有权获得美国宪法的保护。鉴于此,TikTok的母公司“字节跳动”在美国作为外国公司有权获得美国宪法正当程序的保护。美国的制裁禁令以“禁止任何交易”的方式剥夺了TikTok及其母公司的财产权,严重影响了美国用户信息数据交流的言论自由权。但在美国发布制裁禁令前,TikTok并没有收到任何通知,也没有获得听证的机会。并且,在没有给出其他建议措施的情况下,美国政府也无视TikTok给出的应对美国国家安全关切的缓和措施。这表明,美国制裁措施有违美国宪法第五修正案正当程序的要求。
3.美国《行政程序法》对政府制裁措施的司法审查
美国《行政程序法》(Administrative Procedure Act)赋予了法院对政府行政措施的司法审查权。当政府行政措施存在专断、滥用自由裁量权、违反法律权限、违反程序、违反宪法等情况时,法院有权撤销这类行政措施。
根据美国《行政程序法》的规定,以数据安全为由的单边经济制裁措施若存在“反复无常的(capricious)、专断的(arbitrary)、滥用自由裁量权或违法”等情形时应被撤销。美国最高法院曾对前述《行政程序法》中的“反复无常和专断”进行过法律解释。在Moter Veh.Mfrs.Ass' n v.State Farm Ins.案中,美国最高法院认为,禁止“反复无常和专断”标准要求行政机构必须在相关数据支持的基础上,对查明事实与作出的行政措施之间的合理联系提供充分、清晰、有说服力的理由。
美国总统对TikTok实施的制裁或许难以满足《行政程序法》关于禁止“反复无常和专断”的要求。其一,美国制裁TikTok的禁令不仅没有相关事实依据,也没有清晰说明个人数据安全与国家安全的联系。美国并未指出一起中国政府利用TikTok获取的美国个人用户数据威胁其国家安全的实例。制裁禁令试图通过列举众多美国政府部门已经禁用TikTok的事实以说明“TikTok对美国国家安全的风险是真实的”,但这之间并不存在合理的逻辑联系,该做法并不能满足“充分、清晰、有说服力的理由”。政府部门出于国家安全考虑禁止公职人员使用一款应用软件的事实,不能作为禁止所有美国普通民众使用TikTok软件,以及禁止TikTok母公司“字节跳动”在美国的任何经济活动的充分理由,也不能表明行政措施与查明事实之间存在合理联系。其二,美国制裁TikTok的禁令既不给被制裁方以明确的指引(被制裁方该怎样做才能满足美国数据安全的需要),也无视TikTok已经采取的一系列保护美国数据安全的措施。
(二)国际法的约束
数据安全领域的单边经济制裁不仅受到国内法限制,也受到国际法限制。国际法上国家安全例外条款的合理适用、善意原则和国家责任等传统理论都对国家的数据安全单边措施提出了限制性要求。某项符合国内法的数据安全措施并不必然满足国际法的正当性要求。数据安全单边措施的国际合法性关系到数据治理的全球合作与冲突协调问题。
1.国家安全例外的边界
美国对中国特定企业实施单边经济制裁的做法不符合国际贸易非歧视原则。而美国以数据安全例外实施的单边经济制裁,其本质是国际法上“滥用国家安全例外”在数据安全问题上的延伸。保障跨境数据自由流动是包括美国在内的许多国家在国际协定中的主要立场。但基于国家主权,政府有权对数据自由流动采取必要限制以保障数据安全。这类“自由”与“限制”的问题并非数据安全领域的新问题,而是国际法上长时期存在的难题。
该问题直接体现在国际协定安全例外条款的法律解释与适用上。WTO体系中的《货物贸易总协定》(GATT)第21条以及与数据安全相关的《服务贸易总协定》(GATS)第14条等都是典型的国家安全例外条款。《美国双边投资协定范本》第18条和《全面与进步跨太平洋伙伴关系协定》(CPTPP)第29.2条也有关于“根本安全例外”的规定。近年来,国际社会出现国家安全概念泛化的趋势,WTO也出现多起适用“国家安全例外”条款的案件。彭岳教授认为,美国将国家安全问题排除在WTO管辖之外的做法很可能导致WTO体系不复存在。从广义上讲,如果任何国家都可以无限制地借“国家安全”为由规避,甚至无视国际规则,那么滥用“国家安全例外”动摇的不仅是WTO体系,而是包括双边和多边在内的整个国际法体系。尽管逆全球化是国际社会面临的现状,但从目前美国的实践来看,其并非要拒绝国际合作,也不是要否定多边体系,而是在中美战略竞争背景下进行打压中国、排斥有中国参与的国际合作。所以,只要国际法还有存在的价值,国家安全例外所体现出的国家规制权与经济自由之间的冲突与协调问题就始终需要解决。从国际法中的国家安全例外条款适用的角度应对数据安全的国家规制,需要从以下三个方面进行考虑:
第一,数据安全上升到国家安全例外的限制。2019年4月,WTO专家组对“俄罗斯货物过境案”(DS512)作出专家组报告,对GATT第21条进行了限制性的法律解释。该案专家组认为,GATT第21条所说的“基本安全利益”(essential security interests)比安全利益的概念更加狭窄,它指的是:国家履行其基本职能方面的利益,即保护本国领土和人民不受外来威胁,维护本国法律和公共秩序方面的利益。即便GATT第21条(a)项中,有“其认为”(which it considers),也不意味成员方可以自行判断国家安全问题,专家组有权对安全例外条款进行审查,即安全例外条款并非成员方的“自裁决”条款。2020年“沙特阿拉伯知识产权保护措施案”(DS567)的专家组在分析《与贸易有关的知识产权协定》(TRIPS)第73条的安全例外条款时,援引了“俄罗斯货物过境案”专家组的分析框架,同样采取了限制性解释的观点。
所以,从最新的国际法实践看,可以初步得出两个方面的结论:(1)尽管国家安全涵盖领域广泛,但国际法上的国家安全例外所涉及的并非广义的国家安全,而是限定在“基本安全利益”的范畴。(2)国际法上的国家安全例外,并非国家“自裁决”条款,援引安全例外仍需要满足一定客观条件。
第二,善意原则(good faith)在国家安全例外上的运用。善意原则是《维也纳条约法公约》规定的履行条约和解释条约的一般国际法原则。善意原则的内涵包括:平等、有约必守、禁止反言、禁止滥用权利和程序、禁止欺诈等。“俄罗斯货物过境案”专家组认为,国家安全例外条款中有“基本安全利益”并非由成员方自由裁量,而是需要结合善意原则进行评估和解释。善意原则要求成员方不能以国家安全例外条款来规避国际协定中的义务。
对于善意原则适用标准模糊性问题,笔者认为,可以考虑从主观善意和客观善意两个方面提升数据安全领域适用善意原则的确定性与可预测性:一方面,数据安全国家规制的主观善意要求缔约方公正地、忠诚地遵守条约义务。主观善意强调内心的意图、动机。根据《布莱克法律词典》的解释,善意的含义包括:对信仰和目标的诚信、对职责或义务的忠诚、对商业或贸易中公平交易标准的遵守、没有欺骗或寻求不合理优势的意图。善意原则强调缔约方忠于缔约时已达成的共同目标,并且符合缔约相对方的合法期待。可见,善意原则的内涵中包含着一种主观上的内心约束。道德层面善意原则的适用对法律体系的功能发挥有着重要作用。缔约双方应该依据条约的精神、各缔约方在缔约时的共同意图来履行条约,而不应仅局限于条约的字面意思。主观善意排除主观的“恶意”,包括对正当程序的“故意”忽视。所以,善意原则要求国家对数据安全进行规制时,主观上不能任意将数据安全上升为“基本安全利益”从而达到规避国际法义务的目的。另一方面,数据安全国家规制的客观善意要求作出决策的程序符合公平正义,被普遍地接受。客观善意体现的是善意原则的规则性特点。善意原则的客观性着眼于对合法期待的保护,不允许滥用主观善意,也不允许利用行为者自身错误获利。客观善意反映出的是对公正与法律确定性的持续关注。通知义务是客观善意的重要方面。通知政策变化的义务是善意原则的具体表现。在国际条约关系中,国家有自由决定改变其政策的权利,但同时也有义务将政策改变的决定通知给条约相对方。美国在对TikTok及其母公司以数据安全为由实施行政制裁前,并没有给被制裁方提前发出过通知,也没有举行听证程序。而是直接发出行政制裁命令。此方式就难以符合善意原则中通知义务的要求。
第三,国家安全例外的必要性。在国际协定的一般例外条款中,通常包含必要性测试的要求,即为合法目标采取的例外措施需选择对贸易限制最小的方式。国家在采取数据安全单边措施时,尽管国际法对措施必要性问题上主要持成员方自行考量的态度,但这不应理解为在该问题上国际法没有约束。国家需要以善意原则为指导,以合乎比例为基本要求对数据安全措施的必要性进行详细考察。
2.数据安全单边经济制裁不当的国家责任
国家对数据安全的不当规制可能产生国际法上的国家责任。联合国国际法委员会编纂的《国家对国际不法行为的责任条款草案》(以下简称《国家责任草案》)时常被国际法院和国际仲裁庭等作为习惯国际法进行援引,在国际法实践中具有重要法律地位,有效地促进了国际法适用的准确性与一致性。根据《国家责任草案》的规定,国家实施的国际不法行为将会产生国际法上的国家责任。可归因于国家和违反国际义务是国际不法行为的法定构成要件。如果美国对数据安全所采取的单边经济制裁措施违反了国际义务,就需要承担相应的国家责任。
《国家责任草案》专章规定了“解除行为不法性”的几种情形。与美国实施数据安全单边经济制裁相关的是第25条的“危急情况”(Necessity)。有学者认为,相比于其他情形,“危急情况”是更容易被滥用的。国际社会也曾经出现过将该条款与“国家基本权利”相结合进行滥用的现象。所以后来的国际法实践对该条款的适用采取了严格限制的做法。美国政府多次提到其对中国相关企业实施的制裁措施是基于“国家紧急状态”。但这是否意味着美国的制裁措施满足了《国家责任草案》所规定的“解除行为不法性”的条件,从而具备国际合法性呢?《国家责任草案》第25条不仅确立了“危急情况”原则上不能作为解除国家行为不法性的基本立场,还严格限制了“危急情况”适用的条件。一方面,该条款强调了“危急情况”采取措施的“唯一性”,不存在其他可能的措施。换言之,争议措施需是保护国家基本利益应对严重、紧急危险的唯一途径。联合国国际法委员会特别强调这里的其他措施不限于单边措施,如果有其他可以通过国际合作、国际对话的方式应对“危机情况”,争议措施就不能满足“唯一性”的要求。同时,争议措施必须是应对“危机情况”而必须采取的,否则也不能“解除行为不法性”。另一方面,该条款要求争议措施不能对所负义务相对国家或国际社会的基本利益造成严重损害。这里存在不同利益之间的权衡问题,即因争议措施受到损失的其他国家或国际社会的基本利益大于争议措施所保护的利益,则不能满足“危急情况”的适用条件。鉴于此,美国如果试图通过“危急情况”来为自己的数据安全单边经济制裁在国际法上“解除行为不法性”,不仅需要充分说明所采取的制裁措施是保护其国家数据安全的唯一途径,还需要论证该措施不会给其他国家和国际社会造成严重损害。然而,美国对中国采取数据安全制裁时,并没有考虑过如国际合作与国际谈判等其他途径,也没有对其措施给他国和国际社会造成的损害有过任何说明,难以获得国际法上的正当性。
四、美国数据安全单边经济制裁的中国应对
美国以数据安全为由对中国采取经济制裁是其滥用国家安全的又一种表现形式。中国在应对美国滥用国家安全发起单边经济制裁的过程中,已经积累了一定的经验,初步建立起国内反制措施的法律体系。面对美国数据安全单边经济制裁,中国企业在美国国内救济取得了一些收获,为将来中国企业应对美国单边经济制裁增加了一项可供选择的方案。
(一)美国国内救济措施
TikTok及其母公司“字节跳动”面对美国政府的单边经济制裁选择在美国国内法院寻求救济,法院最终支持了原告方(TikTok、“字节跳动”)提出的初步禁令要求,即法院暂时终止了美国商务部因实施总统行政命令对原告采取的执行措施。初步禁令(preliminary injunction)是一种美国国内法上的特别救济措施,只有在申请方提出救济申请,并履行了清楚的说明义务才会获得支持。在申请初步禁令中,原告需要向法院主要说明三个方面的问题:其一,初步禁令获得支持的可能性;其二,若没有初步禁令原告将会面临无法挽回的损害;其三,初步禁令符合公平原则和公共利益。借鉴该案的经验,中国企业在面临美国数据安全单边经济制裁时,选择在美国法院争取初步禁令是一种有效的法律救济途径。前文提到的《国际紧急状态法》《行政程序法》等相关条款都可以作为诉讼中的法律依据。通过分析TikTok及其母公司在美国的救济之路,有以下三个方面的经验值得总结:
首先,聚焦美国国内法对数据制裁的例外规定与行政正当程序规定进行抗辩。《国际紧急状态法》中的信息数据例外条款严格限制了国家紧急状态下,美国总统对个人数据信息交流的干预和限制。即便为了国家安全,总统也不能直接或间接地阻碍个人数据信息交流。该项例外规定也体现了美国宪法第一修正案对言论自由的保障。TikTok及其母公司在该问题上进行了充分的论证和抗辩,以表明美国政府的制裁措施无法对抗法律的例外规定。美国的《行政程序法》规定了法院对政府行政措施的司法审查权,以防止行政机构存在专断、滥用自由裁量权等违法情形。美国宪法第五修正案则确认了正当法律程序对保障公民生命、财产权的作用。所以,是否符合法律正当程序也是中国企业面对美国单边数据安全制裁的重要抗辩理由。
其次,主动与美国行政部门沟通并积极采取缓和措施。美国的数据安全制裁除了美国总统和商务部的行政措施外,外国投资委员会也会介入其中进行安全审查。《外资审查现代化法》多次提及缓和措施在安全审查中的作用。一方面,如果被审查方采取的缓和措施能够有效改变对国家安全造成的风险,并被外国投资委员会接受,则可以有效推进审查进度,并从一定程度上避免并购交易被直接终止。另一方面,如果美国政府没有对被制裁方提出的缓和措施进行有效地回应,被制裁方可因此主张行政制裁违反正当程序。在TikTok v. Trump案中,TikTok及其母公司正是以美国政府机构忽视原告已经采取的有效缓和措施为由,主张行政措施违反了法律规定的正当程序要求。
最后,充分获取应用软件用户的支持。应用软件普通用户起到了连接制裁方与被制裁方利益共同点的重要作用。美国政府保障数据安全的同时,不得不考虑制裁措施给美国普通用户数据交流带来的限制性影响。而维护普通用户的正常数据交流正是在美国运行应用软件的中国公司所从事的主要业务。TikTok及其母公司在美国地方法院起诉美国总统的同时,几名TikTok的普通用户也在美国法院提起了对美国总统的诉讼。这些普通用户认为TikTok在美国和全球有庞大的用户群体,该平台不仅为信息交流提供了便利,还为许多用户带来可观的收入。美国总统的制裁措施会给普通用户造成无法挽回的损失。此时,美国用户的诉求和TikTok达成一致,给美国政府施加了来自社会民众的压力。
(二)中国数据安全国内反制裁措施
1.国内反制措施的国际合法性
2021年,中国相继通过了《数据安全法》和《个人信息保护法》。这两部法律为我国的数据安全提供了基本的国内法保障。《个人信息保护法》第43条规定了在个人信息保护方面的反制裁措施,即如果任何国家在个人信息保护领域对我国采取歧视或限制措施,我国可以根据实际情况采取对等措施。《数据安全法》第2条对国内法的域外适用进行了规定,即境外的数据活动若损害中国国家安全、公共利益或公民、组织合法权益,也将依法追求其责任。国内法中的反制措施及域外适用规定是我国应对外国制裁的重要国内法依据。但以符合国际法的方式采取数据安全反制措施是关系到我国国际形象和全球法治的重要问题。同时,在法律实践中,需要细化数据安全反制措施的具体实施方案,以满足反制措施相称性的要求。反制措施符合国内法,并非必然使之获得国际法上的合法性与正当性。保障数据安全反制措施的国际合法性有利于该领域国际规则的形成与完善。结合《国家责任草案》对反制措施的规定和美国数据安全单边经济制裁的实践,数据安全领域的反制措施在满足国际合法性上需要着重考虑两个方面的问题:
一方面,反制措施所针对的是制裁国家实施的国际不法行为。根据《国家责任草案》第49条的规定,单边数据安全制裁需要为国际不法行为,相应的反制措施才能具备国际合法性。《联合国宪章》禁止任何未经安理会许可的单边军事行动,不得使用武力威胁他国。可以看出该定义对单边经济制裁持有一种否定的态度,认为其有违国际法。而单边经济制裁是单边制裁的其中一种形式。Andreas F. Lowenfeld教授将“经济制裁”定义为“一种不同于外交或军事的经济措施,国家以该措施表达对目标国家的不满,或促使目标国家改变某些政策或实践,亦或是其政府结构”。1965年的联合国大会通过了“关于禁止干涉国家内部事务和保护他国独立与主权”的宣言。该宣言强调“任何国家不能使用经济、政治或其他形式强迫另一国,使其在行使主权时服从于另一国家,或从另一国家获得任何种类的好处”。1970年的联合国大会“关于国家间基于联合国宪章的友好关系与合作的国际法原则”宣言中也有相似的表达。根据联合国宣言和学说观点,可以从基本立场上表明国际法禁止国家采取具有前述特征的单边经济制裁。当然,并非所有单边经济制裁都是非法的,具备国际法依据的单边经济制裁就是合法的,如基于WTO安全例外条款或基于国际组织胜诉裁定的单边报复措施等。所以,在数据安全领域,反制的首要前提是针对的数据安全单边措施属于国际不法行为。
另一方面,数据安全的反制措施需要满足“相称性”(proportionality)。这里的相称是与受害国所遭受的损害相称。根据国际法委员会的观点,反制措施的相称性主要考虑所遭受损害的程度,但同时也要考虑其他两个标准,即不法行为的严重性和法律所保护权利的重要性。而对“法律所保护的权利”应作广义的理解,既包括受到损害国家的权利,也包括责任国的权利,还包括受到不法行为影响的其他国家的权利。相称性关注的是国际不法行为与反制措施之间的关系。一项明显不具备相称性的反制措施会具备惩罚的性质,而这并非《国家责任草案》反制措施的目的。数据安全领域反制措施的相称性可以从“数据分类分级”制度进行考虑。我国《数据安全法》第21条规定“国家根据数据的重要程度,对数据实行分类分级保护”。美国实施的数据安全单边经济制裁,主要是将敏感个人信息上升到国家安全的角度,进而实施包括强制中国企业剥离美国境内的资产、限制美国境内其他企业与中国企业进行交易、限制中国企业在美国的经济活动等制裁措施。我国的《个人信息保护法》对敏感个人信息专门进行了界定,但并未明确将其上升到《数据安全法》第21条所规定的关系到国家安全的核心数据地位。基于反制措施的相称性,我国可以依据《个人信息保护法》和《不可靠实体清单规定》,对美国在中国境内获取中国公民敏感个人信息的相关企业实施对等的经济制裁措施。这即表明我国并没有采取和美国一样滥用国家安全例外的做法对待敏感个人信息,而是基于反制措施的相称性采取的对等措施。
2.反制措施实施机构的配合机制
美国在数据安全单边经济制裁上,形成了以牵头部门为核心,跨部门协调配合的“全政府”机制。例如,美国以数据安全为由撤销中国联通和中国电信美国子公司服务授权中,其联邦通信委员会作为牵头部门,并以司法部等其他政府部门的数据安全政策建议报告为重要参照。美国制裁TikTok及其母公司时,形成了以美国总统为核心,其商务部和外国投资委员会为主要执行部门,国土安全部、国防部等其他部门为主要配合部门的实施机制。而且,这些部门的配合并不是简单的功能叠加,而是充分发挥不同政府部门的优势,强调相互配合与高效运作。例如,美国总统宣布对TikTok及其母公司进行制裁后仅一个月,商务部就发布了执行总统命令的具体措施。外国投资委员会也同时开展对TikTok母公司“字节跳动”收购Musical.ly公司的安全审查。
我国面对美国的数据安全单边经济制裁实施反制措施时,也需要建立起跨部门实施机制,以提升数据安全反制措施的合法性、协调性与高效性为目标。鉴于此,我国可以考虑从反应机制、调查机制到执行机制对数据安全反制措施进行系统构建。根据《数据安全法》第5条的规定,中央国家安全领导机构是国家数据安全工作的领导机构。(1)反应机制。面对他国以数据安全为由对我国实施单边经济制裁时,我国应以国家安全领导机构为核心,根据他国实施制裁措施的主体和内容,迅速确定主要反应部门。例如,美国政府对TikTok及其母公司实施制裁时,其主要实施机构为商务部和外国投资委员会,主要内容为限制中国企业在美国的经济活动和强迫中国企业剥离在美国的资产。此时,中国商务部和外商投资安全审查工作机制办公室就可以作为主要反应部门和牵头部门开展反制措施前的初步判断。(2)调查机制。数据安全反制措施的反应部门和牵头部门应迅速确定哪些政府部门作为主要协助和配合部门,参与到反制措施调查中并及时提供调查报告。调查目标主要包括:明确反制措施的国内法与国际法依据;了解被制裁对象所遭受的损失和可能受到影响的潜在市场主体;分析制裁措施可能会给其他类型国家安全造成的威胁等。牵头部门汇总各部门的调查报告,并向国家安全领导机构提交汇总建议报告。(3)执行机制。牵头部门配合国家安全领导机构确定采取数据安全反制措施的执行部门,执行部门根据调查报告和国内法发布具体反制措施。牵头部门应持续关注和评估实施制裁措施国家对反制措施的政策调整情况,若反制措施已经取得较好效果(如他国改变或终止对我国的制裁措施)则可以考虑适时调整反制措施。
结语
美国对中国的国家安全战略自2017年以来,转变为“竞争以制胜”,将中国视为“竞争对手”,防止中国超越美国。美国法律中的数据自由含有国家安全的考虑。美国针对中国企业以数据安全为由采取的单边经济制裁,正是战略竞争背景下中美关系的具体表现。我国积极应对美国的各类单边经济制裁,初步形成了以《反外国制裁法》《国家安全法》《不可靠实体清单规定》《阻断外国法律与措施不当域外适用办法》为代表的国内反制裁法律体系。中美关系呈现出持久的战略博弈,但维护世界秩序的稳定是两国的共同利益,中美两国需要在战略竞争下积极寻求共存与合作。未来,解决中美之间的数据安全争端除采取单边措施外,还需要努力构建起有效的国际规则。
习近平总书记在中央政治局第三十五次集体学习时强调,要坚持统筹推进国内法治和涉外法治,进一步完善反制裁法律法规。跨境数据流动领域,国内法与国际法的统筹协调是需要解决的重要问题。例如,我国需要从国际协定安全例外条款的适用与国内法的衔接上,考虑如何应对美国滥用数据安全例外对我国实施单边经济制裁。我国的《数据安全法》第7条确立保障数据依法有序自由流动的基本立场。同时,该法第21条确立了数据分类分级保护制度。所以,在国际协定与跨境数据流动相关的安全例外条款设置上,为统筹国内法与国际法,我国应坚持以数据自由流动为原则,坚持数据分级保护,对国家核心数据实行严格管理的做法。
因篇幅限制,已省略注释及参考文献。原文详见《河北法学》2025年第3期。
