作者简介:魏光禧,男,湖北孝感人,法学博士,西南政法大学国际法学院海外利益保护研究中心研究员,重庆警察学院重庆国家安全与社会治理研究院研究员,研究方向:国家安全学、数字法学。
摘要:我国《个人信息保护法》第38条引入的个人信息出境标准合同是跨境数据流动的重要规制工具。它形式上是合同,但内容上由国家预先设定并强制纳入公法义务,既约束数据进出口双方,又保护第三方受益人,兼具私法自治与公法规制的属性。因此,学界不应过度纠结公法亦或私法的优越性,而应从系统论法学的角度对个人信息出境标准合同进行制度设计。首先,应当具有自我参照和封闭性,以严格的相关性标准对争议事实进行法律观察,与公法规制进行沟通而又不使自身被公法义务掏空。其次,必须在系统内部拥有足够的与数字社会相匹配的复杂性,在数据分级分类框架下,明确不同的受益人权利和违约损害赔偿范围。最后,通过“结构耦合”机制建立“共振”关系,根据契约自由、数据安全主权、合同无效必要性等要素来判定合同效力。
关键词:系统论法学;数据出境;标准合同;公法;私法
2021年8月,我国《个人信息保护法》第38条首次引入了个人信息出境标准合同,并将其作为与安全评估、个人信息保护认证并列的三大数据出境监管工具之一。2023年2月,我国颁布《个人信息出境标准合同办法》及其附件《个人信息出境标准合同》,对标准合同的适用条件和备案监管作出了具体规定,标志着我国个人信息出境标准合同制度初具雏形。2024年3月,我国出台了《个人信息出境标准合同备案指南(第二版)》,省级网信部门相继制定《个人信息出境标准合同备案指引》,对备案个人信息出境标准合同的方式、流程和材料等进行了优化。同时,基于优化营商环境、方便数据处理者经营活动的需求还出台了《促进和规范数据跨境流动规定》,调整了标准合同的适用范围,厘清了标准合同与安全评估、个人信息保护认证制度之间的关系。总体上讲,标准合同的主要内容由国家预先设定并强制纳入,将公法上的权利义务固定化、标准化,既拘束数据出口方和数据进口方,又保护第三人利益,兼具公法规制和私法自治的双重属性,对于保障数据安全、保护个人信息权益、促进数据依法有序自由流动具有重要作用。然而,在个人信息出境标准合同实施中还存在一些问题:(1)通过标准合同阐明数据安全的具体内容和数据安全保护义务的履行标准,固然有利于《个人信息保护法》《数据安全法》等公法规制目的的实现,但也容易导致公法过度介入私法体系,如何设置过滤和选择机制,才能避免私法体系被公法义务掏空?(2)在数据出境复杂性不断增加的背景下,怎样设定受益第三人的个人信息主体权利范围和受益第三人条款下的违约损害赔偿范围,才能避免数据进出口方按照各自理解的标准履行义务,导致个人信息出境标准合同失去稳定预期、控制数据安全风险的价值?(3)对于自主设定的权利义务内容,如果违反强制性规定,是否必然导致个人信息出境标准合同无效?综观之,作为规制工具的个人信息出境标准合同,应如何应对私法自治与公法规制之间的平衡关系,以便实现公私法的价值和规范融合,这是本文探究的核心问题。
一、 作为规制工具的个人信息出境标准合同
标准合同的特殊之处在于,形式上是民事合同,但内容上是由国家预先设定并强制纳入公法义务,兼具私法自治和公法规制属性。
(一)标准合同条款:公法义务的私法化
强制要求数据处理者在数据出境合同中约定数据安全保护义务,既在数据出口方与数据进口方之间搭建可信任的交易,又通过违约责任的威慑力降低数据安全风险,因此公法义务私法化的标准合同成为数据出境安全规制的重要工具。《数据出境安全评估办法》第9条采取“一般性规则+具体列举”的方式,规定了数据出境合同应当“明确约定数据安全保护责任义务”,并以列举的方式规定了数据出口方与数据进口方之间应当约定的具体事项。相对于“监管者—被监管者”这种传统规制逻辑,标准合同更能准确回应究竟采取了哪些措施才算是已经履行了法定义务。在数字经济时代,数据出境的方式高度复杂化,通过标准合同条款阐明数据安全的具体内容和数据安全保护义务的履行标准,实现“通过合同的治理”。对数据出口方和数据进口方设定数据安全保护义务,是标准合同的基本规制路径。
一是目的限制义务。目的限制是数据处理的最基本原则,也是数据出口方和数据进口方均应承担的义务。对于数据出口方,向境外提供的个人信息应仅限于实现处理目的所需的最小范围。而对于数据进口方,一方面要按照《个人信息保护法》第6条的规定履行目的限制义务,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。另一方面,还要遵守与数据出境方的约定,承接数据出境方的目的限制义务,按照与数据出境方的约定处理个人信息,不得超出约定的处理目的、处理方式。当然,目的限制义务还有豁免规则,虽然超出了处理目的、处理方式和处理的个人信息种类,但是如果取得个人信息主体的单独同意,则不违反目的限制义务。而且,如果属于履行法定义务或者法定职责所必需的绝对豁免情形,则无需个人信息主体同意即可处理。
二是告知义务。依据《个人信息保护法》的公开透明原则和告知原则,数据处理者需履行主动告知或者经申请告知的义务。具言之,应当告知个人信息主体数据进口方的有关信息、处理目的、处理方式、个人信息的种类、保存期限以及行使权利的方式和程序等事项。涉及敏感个人信息的,还应当告知提供敏感个人信息的必要性以及对个人权益的影响。告知的方式可以多样,比如提供标准合同的副本,或者提供可理解的摘要。数据出口方和数据进口方均有告知的义务,责任的分配标准在于双方的告知的能力,一般由对个人信息的控制能力更强的一方承担。
三是数据安全保护义务。数据进出口方均应当履行数据安全保护义务,完善数据安全管理制度和技术措施,承担社会责任,维护国家安全、公共利益,以及个人、组织的合法权益。数据出口方主要负责传输过程中的数据安全,要根据个人信息处理目的、种类、规模、范围、敏感程度、数量、频率、保存期限等因素,采取加密、匿名化、去标识化、访问控制等技术和管理措施,防止发生泄露、篡改、破坏、丢失等事件,确保数据传输和处理的安全性。数据进口方则要在此基础上承担更多的数据安全保护义务,包括定期进行检查、确保被授权人员履行保密义务、建立最小授权的访问控制权限等。
四是数据安全事件的报告和补救、减损义务。数据安全事件的报告和补救、减损义务主要是数据进口方的义务,是数据安全保护义务的延伸。数据进口方在知悉数据安全事件的发生风险或者现实危险时,应当及时采取适当补救措施,并立即报告监管机构,通知数据出口方和个人信息主体,记录并留存数据安全事件情况。我国《数据安全法》《个人信息保护法》和《数据出境安全评估办法》均规定了数据安全事件的报告和补救、减损义务,但范围仅限于篡改、破坏、泄露、丢失、转移、非法获取、非法利用等情形。实际上,数据安全的风险源随着技术的发展不断变化,应当进行目的性扩展,将报告和补救、减损义务的事由涵盖所有数据安全风险。
五是个人信息保护影响评估和合规审计义务。个人信息保护影响评估和合规审计义务是数据出口方的义务,也是一种权限,而数据进口方有义务为数据出口方的评估和审计活动提供便利。个人信息保护影响评估的对象不仅包括个人信息处理活动,还包括当地个人信息保护政策和法规对合同履行的影响。合规审计的范围不仅限于是否符合法律法规,还包括合同履行状况,即对数据进口方是否遵守标准合同条款进行审计。
(二)第三方受益人条款:个人信息主体的权利
标准合同的规制功能还体现在对第三方的保护,也就是将合同关系的保护效力扩展适用于个人信息主体。标准合同突破了合同的相对性,设置第三方受益人条款,将个人信息主体纳入该类条款的保护范围。第三方受益人条款是典型的涉他条款,也属于重大利害关系条款,我国《民法典》第522条对此有相关规定。我国《个人信息出境标准合同》将个人信息主体的权利合同化,并赋予个人信息主体以“第三方受益人”的权利,可以向任何一方或者双方主张并要求履行标准合同项下权利条款,可以请求任何一方或者双方承担违约损害赔偿责任。
第一,个人信息主体权利的合同化。标准合同将我国法律法规规定的法定权利合同化,由双方约定个人信息主体作为合同第三方受益人享有的权利。个人信息主体享有知情权、决定权,限制或者拒绝他人对其个人信息进行处理的权利,要求查阅、复制、更正、补充、删除其个人信息的权利,要求对其个人信息处理规则进行解释说明的权利。当然,标准合同也不是将所有个人信息主体的权利都合同化。如果第三方受益人的权利范围过大,那么数据出口方和数据进口方的责任风险就会过高,既不实用也不公平。
第二,个人信息主体有权向任何一方或者双方主张并要求履行标准合同项下权利条款。个人信息主体可以向数据出口方主张权利,要求数据出口方采取适当措施实现权利内容。 数据出口方无法实现的,可以要求数据进口方协助实现。根据我国《民法典》第522条,如果数据进口方向第三方受益人履行责任不符合约定的,还应当向数据出口方承担违约责任。个人信息主体也可以直接向数据进口方主张并要求履行标准合同项下权利条款。数据进口方应当根据个人信息主体的请求,在合理期限内实现标准合同约定的个人信息主体享有的权利。当然,如果存在数据出口方对个人信息主体的抗辩事由,数据进口方也可以向第三方受益人主张。
第三,个人信息主体有权请求任何一方或者双方承担违约损害赔偿责任。虽然个人信息主体在其权利受到损害时可以申请侵权损害赔偿,但本国侵权法在其他国家的效力非常有限。相较而言,其他国家的法院和仲裁机构普遍承认合同的效力,因而违约救济的方式更为有效。因此,在侵权损害赔偿的法定责任之外,由标准合同设置违约损害赔偿条款,极大地提高了数据出境安全的规制效果。
(三)合同无效:国家的介入
标准合同看似以私人权益为中心,但其内核实际上蕴含着立法者的价值定位,即双方的约定一旦与国家安全、数据安全等立法目标相悖,则会被认定为无效合同。无论是欧盟还是我国的标准合同,国家安全、数据安全优先的立场并没有实质性的区别。比如,在Schrems II案中,虽然Facebook公司完全按照标准合同的方式向美国传输欧盟个人数据,但是欧盟法院的判断依据仍然是以“充分性保护”作为标准合同的合法性边界。鉴于美国允许情报部门以国家安全为由秘密收集境外公民个人数据的种种劣迹,欧盟法院认定美国无法提供与欧盟实质相同的数据保护,从而否定了“隐私盾协议”的有效性。简言之,标准合同也是数据出境安全规制的一种方案,仍然要满足国家安全、数据安全的标准。从结构上讲,标准合同背后的逻辑是,确保整个跨境数据流动业务链都能遵循与数据出境国同等的数据安全保护水平,从而实现对数据出境后处理活动的全程追踪与监管。具言之,标准合同如果超出适用范围,或者违反强制性规定,则将被判定为无效。
第一,标准合同因超出适用范围而无效。我国数据出境可采用的规制路径包括数据出境安全评估、标准合同、安全认证以及其他专门机制,其中数据出境安全评估单列,标准合同与安全认证之间可以互相替代,其他专门机制还未明确。虽然采用标准合同仅需向所在地省级网信部门备案,不需要提交政府审查批准,但是否属于标准合同的适用范围,仍然要接受政府审查。根据《促进和规范数据跨境流动规定》《个人信息出境标准合同办法》,标准合同仅适用于关键信息基础设施运营者以外的数据处理者,自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息),或者不满1万人敏感个人信息的。属于应当进行数据出境安全评估,或者应当采用法律、行政法规或者国家网信部门规定的其他途径的,不能采用标准合同。另外,《个人信息出境标准合同办法》还明确规定,不得采取数量拆分等手段,将依法应当通过出境安全评估的以标准合同的方式予以替代。
第二,标准合同因违反强制性规定而无效。根据《个人信息出境标准合同办法》,数据出口方可以与数据进口方约定其他条款,但不得与标准合同中的义务条款相冲突。根据《民法典》第153条,违反公法上的强制性规定的合同无效。这一规定的功能是衔接公法与私法,由于公法无法对违反强制性规定的合同的效力问题作出规定,因此需要通过这样的通道来认定合同效力。通过这种方式,《网络安全法》《数据安全法》《个人信息保护法》等法律法规中的强制性规定产生了私法上的效力,打破了公私法二元结构的体系性壁垒。在传统公私法二元格局中,公私法形成了截然不同的价值体系和规范体系,主要体现在公法规制与私法自治的区别。在这样的法律结构中,借助《民法典》第153条这样的转致条款,在公法和私法之间搭建了一座桥梁,将公法上的强制性规定引入私法,使得政府能够否定合同的效力。具言之,当标准合同违反强制性规定时,就失去了效力。
二、公私法互动关系视角下个人信息出境标准合同的问题剖析
标准合同的私法效力,实际上是公法和私法关系在数据出境安全风险领域的具体投影。对于公法和私法的关系,学界主要有三种观点,即“公法优越论”“公私法二元论”和“公私法接轨论”。 “公法优越论”认为公法的价值和秩序高于私法,公法上的强制性规范在私法上具有绝对的效力。“公私法二元论”认为公法与私法地位平等,而且互不相干,公法上的强制性规范在私法上没有任何的效力。“公私法接轨论”介于前两者之间,认为公法与私法之间存在相互依存、互相协同的关系,公法上的强制性规范在一定条件下具有私法上的效力。从上述的分析可以看出,目前法律法规所设计的个人信息出境标准合同制度无疑是“公法优越论”在数据出境安全立法的具体展现。易言之,根据现有的制度规范,任何违反公法强制性规范的行为都理所当然地在合同法上得到否定评价。比如,违反数据安全保护义务的行为或者事实,将构成违约,相应的合同还可能在网信部门的评估中被否定其效力。
(一)被公法义务掏空的私法
借助标准合同将公法义务注入私法的做法,固然有利于实现公法规制的目的,但因此私法自身的价值和体系也会受到影响。如果机制设计恰当,对于公法与私法的协同无疑会发挥重要作用。然而如果选择的操作机制不恰当,则要么出现过度介入影响私法的价值和秩序,要么过于保守而难以发挥应有的规制效果。通过对我国现有的个人信息出境标准合同分析来看,数据出口方和数据进口方的义务几乎完全来自《个人信息保护法》等法律法规,如若缺乏过滤和选择机制,则会导致公法过度介入私法体系,对私法的价值和秩序带来极大冲击。
具体而言,标准合同完全认可公法义务的私法效力,将数据安全公法义务全盘托出强制纳入合同中,并要求私法照单全收,完全不考虑个人信息主体的数据风险敏感性和接受度,并未给予数据进出口方和个人信息主体任何自由协商的余地,甚至完全以公法上的强制性规范来置换私法上的弹性化事项。这样的公法与私法衔接方案,导致各种公法义务毫无过滤地植入合同中,对合同自身的机构和功能造成严重影响。那些曾经需要数据出口方、数据进口方和个人信息主体进行协商与选择的弹性化事项,比如处理目的、处理方式、个人信息种类等,被直接置换为公法上的固定的要求。除非公法上没有规定,数据进出口方和个人信息主体难以基于数据出境安全风险与自身风险接受程度来进行自由选择。此时的标准合同就如同“包办婚姻”一样,所有的义务和责任已经模式化了,当事人只能选择接受,并按照固定模式进行数据跨境交易。此时的合同已经完全丧失了私法自治的精神内核,被公法义务所掏空,这样的合同最终走向了僵硬化。
(二)受益第三人的权利边界缺失
受益第三人条款是实现标准合同监管功能的重要条款,其核心问题是确定作为受益第三人的个人信息主体的权利范围。如果个人信息主体的权利范围过宽,由合同的相对性原则所确立的责任限制恐被打破,这将导致数据出口方和数据进口方的责任风险过高。简言之,如若受益第三人对标准合同任意一方主张的权利过多,必将影响合同的稳定性,亦会增加合同当事人的责任风险。我国《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》第6.1条“个人信息主体权利”中提出个人信息主体是标准合同中涉及个人信息主体权益相关条款的受益人,“相关条款”的范围设置过宽。同样,在《个人信息出境标准合同备案指南(第二版)》中,受益人的权利范围也较为宽泛。特别是,如果受益第三人向数据进口方主张的权利范围过宽,既不实用也不公平。一方面,个人信息主体与境外的数据进口方进行诉讼,涉及到不同的法域,存在国内法在域外的效力问题,而且诉讼成本也较高。另一方面,各国通行的做法是个人信息主体向境内的数据出口方主张权利,数据出口方再向数据进口方作出指示以确保其依约处理。
除此之外,受益第三人条款下的违约损害赔偿范围缺失,也可能给数据进出口方带来合同履行上的不确定性。在个人信息出境标准合同中,数据出口方与数据进口方的违约损害赔偿以完全赔偿为原则,范围包括守约方间接的所失利益和直接的所受损失,且实际损失限于按照合同完成数据跨境流动之履行利益。然而,受益第三人条款下,个人信息主体所受损害实际为数据安全事故引发的财产损失和精神损失,具体表现为固有利益的受损而非履行利益。一方面,受益第三人的违约损害赔偿很难解释为针对数据出口方或者数据进口方的主给付义务的债权。因为针对主给付义务的债权是基于合同的履行利益的,而个人信息主体所受损害实际为其固定利益。另一方面,受益第三人的违约损害赔偿也显然与侵权损害赔偿不同。侵权损害赔偿是基于个人信息主体的法定权利产生的,其范围为个人信息主体的损失或者个人信息处理者的违法收益,还可以是根据实际情况确定的赔偿数额。而受益第三人的违约损害赔偿是侵权损害赔偿的法定责任之外,经由受益第三人条款另外设置的,赋予个人的合同权利。
(三)标准合同受制于强制性规定
国家强制与私法自治是判断标准合同效力的关键点,也是公法与私法接轨的衔接点。根据我国《民法典》第153条,违反法律、行政法规的强制性规定的标准合同无效,而《网络安全法》《数据安全法》《个人信息保护法》等法律法规存在大量的强制性规定,如果不能妥善处理国家强制与私法自治的关系,恐将导致大量的合同无效,影响数据出境交易的安全。虽然《民法典》第153条以“但书”的形式,规定了非效力性的强制规定不影响合同的效力,但在适用中存在较大的模糊性。有学者认为,违反强制性规范的合同,原则上无效,例外时才有效。只要强制性规定针对的是民事法律行为的内容,则违反该规定的合同无效。如果强制性规定针对的是民事法律行为的后续行为,或者是行为的外部条件,比如行为的时间、地点等,原则上不能否定合同的效力。如果强制性规定针对的是一方当事人的资格、对一方当事人进行保护等,则要根据规范目的和规范重心来判断。有学者的观点与之相反,认为违反强制性规范的合同,原则上有效,例外时无效。只有阐释为“原则有效,例外无效”的价值表达,才能适度放松国家强制,尽可能地尊重市场主体的意思自治,保护交易安全,避免浪费社会资源。还有学者认为,对《民法典》第153条第1款的“本文”与“但书”应作整体把握,由法官进行判断。“但书”的意旨并不是例外,而是在于表明整个第153条第1款都是一种解释性规定,合同是否有效还有待于对违反的强制性规定的具体解释。虽然《最高人民法院关于适用〈中华人民共和国民法典〉合同编通则若干问题的解释》(以下简称《民法典合同编通则解释》)第16条针对《民法典》第153条第1款的适用作出了进一步的解释, 列明多项不得认定合同无效的具体类型并强调规范的目的。但是《民法典合同编通则解释》也没能完整提出合同违反强制性规定无效的判断标准,其实民事法律行为违法无效的判断本身就没有毕其功于一役的方案,就如同“针尖上的舞蹈”,依赖着裁判者的智慧和艺术。具体到违反强制性规定的个人信息出境标准合同的效力判断,需要审慎权衡强制性规定所保护的法益与合同本身所体现的法益,实现公法规制与私人自治之间的最佳调和。
第一,正当性问题。根据民法的基本原理,对个人信息出境标准合同的意思自治进行限制,是基于公共利益的考量。但正所谓“公法易逝,私法长存”,数据安全等公法条款往往属于弹性条款,它们都是人为建构的组织规则,其中有些是特定的政府机构要承担的特定任务,有些是为了满足政府的即时性目的。与此相对照,私法上的正当行为规则如同语音、习俗一样,是人们自生自发秩序的产物。私法上的正当行为规则包括财物的稳定占有、依据合意的转让、允诺的践履等,具有减少冲突、促进合作等功能。哈耶克甚至认为,作为自生自发秩序所遵循的“内部规则”的私法,比作为“外部规则”的公法具有更为根本性的意义。当然,在现代社会,因为市场失灵的原因,政府干预自由市场也是必要的,有利于促进效率、安全和平等。总而言之,在适用《民法典》第153条第1款时,有必要对公法中的强制性规定进行正当性审查,从而判断和甄别违反强制性规定的标准合同究竟有效还是无效。比如,“委托人不得超出约定的处理目的、处理方式等处理个人信息”(《个人信息保护法》第21条第2款) ,“受托人不得转委托他人处理个人信息” (《个人信息保护法》第21条第3款),被收集者同意的强制性规定(《网络安全法》第42条)等,这些强制性规定中的“不得”常与“无权”同义,保护的是特定人的利益而非公共利益,可以援引无权处分、无权或者越权代理等规定予以适用,以强制性规定干预私法自治则不具有正当性。又如,备案的强制性规定(《个人信息出境标准合同办法》第7条)、个人信息保存期限的强制性规定(《个人信息保护法》第19条)、认证的强制性规定(《数据安全管理认证实施规则》)等,并不涉及法律行为本身,而只是与法律后果相关,相应的行政或者刑事处罚足以达到管制的效果,违反此类强制性规定导致合同无效也不具有正当性。
第二,合理性问题。法律、行政法规中以“应当”“不得”“必须”等进行表述的强制性规定众多,准确判断合同违反强制性规定无效的标准缺乏,为此最高人民法院《关于适用〈中华人民共和国合同法〉若干问题的解释(二)》将其区分为效力性强制性规定和管理性强制性规定。然而,《民法典》并未采用这一区分,《民法典合同编通则解释》第16条通过“立法目的”“强制性规定旨在”“规范目的”等表述,将规范目的作为判断合同是否因违反强制性规定而无效的主要考量因素。韦伯认为,给定的目的是否合理,是可以进行科学考察的,只要判断可供选择的手段是否适合于引向给定的目的,就可以间接确定给定的目的在实践中是否合理。实际上,这就是比例原则的适用,要求公权力在限制基本权利的目的与手段之间进行衡量,确保私法的意思自治不被过度干预。具言之,在判断合同是否因违反强制性规定而无效时,要考虑是否有助于该规定的规范目的之实现,以及合同无效是否是必要的。
第三,公法制裁与合同无效制裁的选择问题。《民法典合同编通则解释》第16条新设了承担公法责任可以阻却违法合同无效的规定,这严格限制了合同无效的情形,有利于促进交易,该规则将成为衔接公法与合同效力的又一重要通道。从法经济学的角度看,公法责任和合同无效的后果都是一种制裁,前者是权力机关为了惩罚违法者而科以刑事责任、行政责任等额外负担,而后者将导致当事人合意之终止以及返还财产、损害赔偿等民事责任,也具有显而易见的惩戒、节制的效果。公法制裁与合同无效的制裁都是用以维护公共利益的手段,因此它们之间具有替代关系、互补关系,在公法责任可以实现强制性规定的规范目的之时便无需实施合同无效的制裁。以合同无效的后果来配置责任有时候可能明显不公平,因此公法制裁可能比合同无效的制裁更能实现妥当的责任分配。比如,数据服务提供者超出行政许可证的范围进行数据出境交易,若认定合同无效,数据出口方、数据进口方和个人信息主体均要承担一定的不利后果,这反倒违背了保护个人信息主体权益的目的,但只对实施违法行为的数据服务提供者科以行政责任即可实现强制性规定之目的。
三、系统论法学视域下个人信息出境标准合同的公私法融合
个人信息出境标准合同不同于传统的规制工具,形为民事合同,实为公法规制,已经超出了现有法律框架体系所能阐释的范围。德国社会学家尼克拉斯·卢曼(Niklas Luhmann)的系统论法学提出了“反思型法治”的方案,国家不直接干预个人,而是调动私法自治的潜力,促进社会的自我反思,为解决私法被公法义务掏空、受益第三人的权利边界缺失、标准合同受制于强制性规定等问题提供了全新的思路。系统论法学通过运用系统/环境、符码、纲要、结构耦合等一系列理论工具塑造了一个反思型的法律系统。通过运用该理论框架,我们可以认识私法系统“封闭运作”与“认知开放”的实际状况,观察其化简数据出境复杂性的能力,勾勒个人信息出境标准合同的公私法融合图景。
(一)私法系统的独立封闭性及其与公法规制的沟通
一方面,私法系统具有自我参照和封闭性。合同在个人或者组织之间建立了一个离散的沟通系统,创造了新的、具体的期望,且这些期望倾向于屏蔽周围的规范性背景。合同的私法准则明确了缔约法律上可执行的合同的条件、支配合同协商过程的规则、是否违反法定或者约定义务的判断标准、违反法定或者约定义务的制裁等,它以自身的术语理解外界并且依照自身的运行规则进行推断,展现出一种自我参照的模式。合同的私法准则以严格的相关性标准(criteria of relevance)对争议事实进行法律观察,从这个意义上看,它是封闭的。当这个独立封闭的系统实现了其运行规则的复杂性时,它就将自己与公法规制的规范性标准疏远开来,甚至被描述为是自治的。
因此,坚持标准合同的私法属性和独立封闭性,才能够承受住公法规制的冲击。具体到个人信息出境标准合同上,数据出口方和数据进口方的义务不能照搬《个人信息保护法》等法律法规,必须设置过滤和选择机制,避免公法过度介入私法体系。标准合同的巨大能量显然在于其回应性或者反身性的特征,将宽泛的自我规制权下放给双方当事人。在协商一致的条件下,通过授予双方当事人自治权以设计他们自己的规制,私法实现了灵活性,同时又达到了良好的规制效果。在设置个人信息出境标准合同的义务条款时,公法应该保持一定的克制。
另一方面,合同的私法系统与公法规制之间可以进行沟通。简言之,要解决的问题是,标准合同如何整合公法规制的话语而又不使自身的独立封闭性被瓦解。个人信息出境标准合同必须保留充足的规范复杂性,能够从公法规制的话语中进行有效的学习,将公法话语体系转化为私法话语体系。合同私法系统的运行依赖于其独立封闭性,但可以内在的通过封闭的自我参照的运行重塑其环境。公法系统仅能作为合同私法系统的环境,《个人信息保护法》等法律法规经过重塑后已经不同于它在原来系统中的样子。私法系统约束公法规制的法律推理,并在自己的运行体系中对这一推理进行重新定向。所有公法规制上的考虑因素都要简化为合法的/非法的这个二元的法律编码,才能被纳入合同的私法体系。比如,在数据出境是否危害数据安全的论争中,它们要遵循安全/不安全的机制,被挤压进私法系统的编程(原则、准则、规则)并最终链接到合法的/非法的这个二元的法律编码。
因此,在个人信息出境标准合同中,对于数据出境目的限制、告知、数据安全保护、数据安全事件的报告和补救减损、个人信息保护影响评估和合规审计等,只有简化为合法的/非法的这个二元的法律编码,约束在数据出口方、数据进口方以及受益第三人的权利义务话语中,才能被纳入合同的私法体系。个人信息出境标准合同必须通过选择那些可以被转化为与私法系统话语相关的事实或者原则,以重建其关于规制功能的条款。比如,对于告知义务的争论,一般可以被转化为对某个交易的同意是否在充分信息的基础上自愿作出的法律讨论。此外,合同中对于“合理”“善意”的宽泛要求,可以作为通道,允许公法规制的要求成为私法准则的相关信息来源。它们全部变成奇怪的杂家品种,但是这些杂家品种并没有变得如此相易于用自我参照和封闭性来描述的传统私法推理模式。
(二)增加义务履行条款的复杂性
根据系统论法学,私法系统若要化简不断增长的社会复杂性,就必须在系统内部拥有足够的与数字社会相匹配的复杂性,否则就难以处理环境中的复杂信息。在个人信息出境标准合同中,受益第三人的权利范围和受益第三人条款下的违约损害赔偿范围模糊,给数据进出口方带来合同履行上的不确定性,其根本原因是义务履行条款缺乏足够的复杂性,难以匹配数字社会的分级分类复杂性。从目前的标准合同范本看,它缺乏涵盖对数据安全的工具性考虑的规范复杂性,对公法规制的观察也相对幼稚。因此,需要在数据分级分类框架下,对标准合同的义务履行条款进行重塑。
数字技术的不断创新发展,导致数据关联化程度不断加深,数据出境的复杂性不断增加。特别是随着大数据挖掘技术的发展,以往形态和内容单一的个人信息在达到千万数量级后,数据之间的关联关系以及离散程度已经远远超越了数据内容本身的重要性,开始与国家安全紧密相关。如果不在数据分级分类框架下,按照不同的安全级别、不同的监管标准,细化不同的受益人权利范围,将会增加数据出境中数据进出口方对于有关义务内容和履行标准的困惑。易言之,如果有关义务内容和履行标准是抽象化的、模糊化的,数据进出口方按照各自理解的标准履行义务,个人信息出境标准合同将失去稳定预期、控制数据安全风险的价值。
因此,要在数据分级分类框架下,明确不同的受益人权利范围。概言之,要回归个人信息出境标准合同的数据安全风险控制功能,根据数据分级分类厘清数据出境行为所应遵循的数据安全保障水平,确定数据进出口方、个人信息主体、监管者以及社会公众对数据出境行为可接受的信任和风险水平,并在此基础上形成相应的义务内容和履行标准。当然,这并不意味着针对不同行业、不同领域的个人信息出境标准合同都要设置相对应的义务条款,而是仅针对特定类别的数据在数据出境过程中存在的需要特别关注的环节,以义务内容类型化的方式来细化不同的受益人权利范围。比如,对于智能网联汽车数据的出境,应当将“数据范围”类型化,明确重点管控区域的数据不能出境。对于医疗数据的出境,应当将传输目的类型化,限于直接向我国境内公民提供医疗服务之必需。只有将义务内容类型化之后,数据进出口方才能够明确不同级别、类型数据的义务履行方式和充分程度。
另外,还需要在数据分级分类框架下,明确不同的违约损害赔偿范围。在受益第三人条款中,个人信息主体因个人信息泄露等数据安全事件导致的损失主要还是其自身的固有利益减损,而不是合同履行的可得利益,这与针对主给付义务的债权相去甚远。《个人信息出境标准合同》(范本)第2条规定,“向个人信息主体告知其与境外接收方通过本合同约定个人信息主体为第三方受益人,如个人信息主体未在30日内明确拒绝,则可以依据本合同享有第三方受益人的权利”,虽然为个人信息主体设置了拒绝权,但实际上还是单一的规定了的违约损害赔偿范围,这显然不能满足不同级别、类型数据出境的复杂性需要。违约损害赔偿范围的设置思路应当是按照数据分级分类,特别是区分一般个人信息和敏感个人信息,将违约损害赔偿内容类型化。对于同质化较高的一般个人信息,没有必要按照行业属性进行特别约定,可统一设定违约损害赔偿范围和个人信息主体的拒绝权。但对于需要重点保护的敏感个人信息,应当细化不同级别、类型数据,以受益人同意为前提,采取约定的方式明确违约损害赔偿范围。
(三)违反强制性规定合同之效力的系统论分析
判断违反强制性规定合同的效力仍然应以《民法典》第153条为基础,但需摈弃“全有或者全无”的二元评价定式,它将各个要件相互之间的关系看作孤立的,只要强制性规定不符合法源位阶要求并毫无效力,或者简单以强制性规定具有效力性来判定合同无效。在系统论法学视野下,私法系统与外部环境都遵循着各自的逻辑来运作,两者之间并不存在着决定与被决定的机械关系。易言之,当一方发生变化时,另一方是否发生变化以及如何变化都是非线性的。当然,私法系统与外部环境的共同演化关系也不是随机的,而是通过“结构耦合”机制建立“共振”关系。具言之,系统论法学以要素效果的柔性构造为个人信息出境标准合同植入了回应强制性规定的方法论层面的路径,它以契约自由、数据安全主权、合同无效的必要性等要素的满足程度以及要素之间的协动机制来判定合同效力。在系统内,各要素之间并非孤立存在,而是具有交互性和互补性。比如当数据安全主权、合同无效的必要性等要素在具体案件事实中高于基础评价的充足程度,而契约自由要素低于基础评价的充足程度时,则倾向于以实现社会公共利益为先,违反强制性规定将导致合同无效,反之则不宜宣布合同无效。当然,即使合同无效的必要性这一要素充足程度不足,也可以通过数据安全主权要素的增值与契约自由要素的减值来填补。
一是契约自由要素。契约是当事人之间的法律,而法律则是执行当事人契约的工具。人们可以在法律允许的范围内,根据意思自由为自己创设民事权利义务。申言之,契约是双方当事人共同的意志,当事人的契约自由应当受到尊重,不应受到外部的不当强制。我国《民法典》关于契约自由的条款属于任意性条款,其第470条授予当事人缔结合同具体条款的自由,而且当事人也可以通过协商来改变法律的任意性规定。因此,在违反强制性规定合同的效力问题上,契约自由是重要的内在要素。
二是数据安全主权要素。社会控制的合理界限是,如果个人的行为不涉及其他人的利害,则不必向社会负责,这也被称为不伤害原则。申言之,个人的自由须以不伤害社会公共利益和他人利益为前提,而社会也只有在个人未经同意伤害社会公共利益或者他人利益时才能进行干涉和限制。违反强制性规定合同的效力问题的本质就是有无必要借否定合同效力的评价来换取社会公共利益。但这并不意味着,所有的公共利益都可以否定合同的效力。就系统论法学而言,公共利益的影响就像把一块石头扔进湖中所激起的一圈圈的波纹,被波纹所推及到的就产生了沟通。石头激起的浪越大,或者距离波纹中心的距离越近,则对合同效力产生实质性影响的概率越高,反之亦然。对于数据出境而言,跨境数据流动的规制应当建立在数据安全主权的法理基础之上。相对于数据主权、数据人权保护等法理基础,数据安全主权秉持安全不可分割的人类命运共同体理念,既平等回应各个国家及社会对数据安全的合理关切,又反对数据霸权主义,已经成为跨境数据流动规制的重叠共识。我国加入的《区域全面经济伙伴关系协定》(RCEP)也采取了这样的立场,授权各国“可以采取必要的任何措施保护其基本安全利益(essential security interests)”,但是不得“构成任意或不合理的歧视手段或变相限制贸易”。数据出境合同可能带来数据安全风险,但因数据出境合同的无效而造成数据跨境流动的不畅,也会反噬数据安全主权。比如,曾出现因商品编码出境受限,海外购物网站无法溯源商品,而大量下架中国制造的商品,影响我国外贸经济的安全。数据安全主权是动态的而非静态的,是相对的而非绝对的,它将数据安全风险的规制作为主要进路,要求数据出口方和数据进口方采取适当的措施以保障与风险相称的安全水平。因此,公法中的强制性规定均可从风险的角度进行衡量,比如告知义务、个人信息保护影响评估和合规审计义务提供了风险预防的机会,而目的限制义务、数据安全保护义务等则是尽量降低数据处理的风险。
三是无效的必要性要素。违反强制性规定合同的效力问题实际上就是判断否定合同效力换取社会公共利益的必要性,也就是衡量合同利益与社会公共利益孰轻孰重。比例原则是衡量强制性规定的公法规范目的与契约自由等私法利益时最为重要的方法。具体而言,涉及到两个方面的比较:一是个人信息出境标准合同中的强制性规定本身是否合比例;二是以个人信息出境标准合同中的强制性规定来限制私权利是否合比例。对于前者而言,需要衡量强制性规定的具体条款内容。超出《个人信息保护法》第38条的授权范围增加义务的不合比例,比如《个人信息出境标准合同》(范本)第2条中的“评估当地个人信息保护政策和法规对合同履行的影响”,就是增设了域外法查明义务和域外个人信息保护水平报告义务。义务强度超出合理限度的不合比例,比如《个人信息出境标准合同》(范本)第3条中的“立即通知个人信息处理者,并根据相关法律法规要求报告监管机构”,可能导致设置的义务履行期限不合理。不合理地加重单方义务或者责任的不合比例,比如《个人信息出境标准合同》(范本)第8条中的“双方依法承担连带责任的,个人信息主体有权请求任何一方或者双方承担责任”,增加了数据进出口方的责任。对于后者而言,主要是衡量公权力对私权利之干预是否逾越必要限度。个人信息出境标准合同中的强制性规定作为一种保障数据安全的手段,要进行合目的性检验才能够适用。《个人信息保护法》第38条规定了四类出境形式,另外还有其他实现同一保护目的的手段,因此还应当追问宣布合同无效是否为最温和的干预手段。特别是,强制性规定的适用是对契约自由原则的重要限制,故应审查此种干预与目的之间是否合理、适度。
结语
在当今数字时代,谁能够实现安全高效的数据治理,谁就掌握了数字全球化的主动权。个人信息出境标准合同正是诞生于全球数据跨境流动激烈竞争的时代,已经成为最为重要的数据出境规制工具之一。欧盟得益于先发优势,将《通用数据保护条例》(GDPR)等欧盟规则转化为全球数据流动的模范版本,逐步推行数据立法的欧盟中心主义。《东盟跨境数据流动示范合同条款》《巴西通用数据保护法》《印度个人数据保护法》等无不受到欧盟数据跨境传输标准合同条款(Standard Contractual Clauses,SCCs)的影响。作为数字经济三大高地之一,我国如何构建自己的跨境数据流动制度体系,因应西方国家数据治理规则的挑战,是法治建设中一个重要而紧迫的课题。我国应发挥后发优势,统筹安全与发展,着力解决个人信息出境标准合同中私法自治与公法规制的矛盾问题,提供具有中国智慧的规范化模板,推进数据有序自由跨境流动。
信息革命使人类迈进了数字化生存状态,法律价值、秩序逻辑、规则体系等也随之发生巨大变革,个人信息出境标准合同已经超出了现有法律框架体系所能阐释的范围。系统论法学提出了“反思型法治”的方案,国家不直接干预个人,而是调动私法自治的潜力,促进社会的自我反思,为自治体之间的纠纷解决提供组织、框架和程序,这非常适合数字社会的治理。不同于传统的规制工具,个人信息出境标准合同形为合同,实为规制,以强制使用和内容强制为手段,将法定义务和法定责任合同化。私法自治与公法规制,应为原则与例外的关系,任何对合同自由的限制应以保护国家安全、公共利益和个人信息权益为必要。当然,私法系统需要与环境不断沟通,而各国经济、文化和数字技术不尽相同,如何恰当地调和跨境数据流动的矛盾,也是需要持续研究的关键命题。
因篇幅限制,已省略注释及参考文献。
引注:魏光禧:《迈向公私法融合的个人信息出境标准合同》,载《河北法学》2025年第7期,第108页-124页。
