數(shù)字貿(mào)易時(shí)代個(gè)人信息跨境流動(dòng)的法律保護(hù)路徑

鐘鳴

【關(guān)鍵詞】 數(shù)字貿(mào)易? 個(gè)人信息? 跨境流動(dòng)? 法律規(guī)制

【中圖分類號(hào)】D92? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文獻(xiàn)標(biāo)識(shí)碼】A

【DOI】10.16619/j.cnki.rmltxsqy.2021.06.013

隨著全球新一輪科技革命的興起，海量個(gè)人信息的挖掘收集、處理使用和跨境傳輸成為了新技術(shù)、新應(yīng)用快速迭代的支撐點(diǎn)。跨境數(shù)據(jù)流動(dòng)在全球范圍創(chuàng)造了新的商機(jī)，在給人們帶來(lái)巨大生活便利的同時(shí)，也帶來(lái)了個(gè)人信息保護(hù)的危機(jī)。特別是由于WTO框架下較難形成有效的免征關(guān)稅協(xié)議，數(shù)字產(chǎn)品屬性不明、新型貿(mào)易分類不明、服務(wù)模式不完善等問(wèn)題，使得個(gè)人信息在跨境流動(dòng)中存在較高風(fēng)險(xiǎn)，對(duì)法律保護(hù)也提出了新的要求。鑒于個(gè)人信息的跨境流動(dòng)關(guān)乎網(wǎng)絡(luò)空間主權(quán)、國(guó)家安全、社會(huì)公共利益和公民、法人的合法權(quán)益等多個(gè)層面，相關(guān)法律規(guī)制應(yīng)兼顧個(gè)人信息保護(hù)與跨境信息保護(hù)平衡、行政權(quán)力規(guī)制與跨境電商經(jīng)營(yíng)自治平衡以及完善國(guó)內(nèi)立法與借鑒國(guó)際規(guī)則平衡的原則，努力構(gòu)建有效而可持續(xù)的個(gè)人信息法律保護(hù)機(jī)制。

數(shù)字貿(mào)易時(shí)代我國(guó)個(gè)人信息跨境流動(dòng)法律規(guī)制現(xiàn)狀及問(wèn)題分析

數(shù)字貿(mào)易時(shí)代我國(guó)個(gè)人信息跨境流動(dòng)的立法現(xiàn)狀。數(shù)字貿(mào)易時(shí)代，個(gè)人信息跨境流動(dòng)成為常態(tài)，其中存在的諸多網(wǎng)絡(luò)安全問(wèn)題也逐步受到重視。近年來(lái)，隨著“網(wǎng)絡(luò)強(qiáng)國(guó)”和“數(shù)字中國(guó)”戰(zhàn)略構(gòu)想的提出，我國(guó)在個(gè)人信息跨境流動(dòng)方面相繼出臺(tái)了一系列法律法規(guī)和部門規(guī)章，對(duì)既往分散化、碎片化的法律法規(guī)框架形成了一定程度的補(bǔ)充和完善。2012年11月，首個(gè)關(guān)于個(gè)人信息保護(hù)的國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》發(fā)布。作為行業(yè)指導(dǎo)性文件，由于其沒(méi)有強(qiáng)制執(zhí)行的法律效力，因此在個(gè)人信息跨境流動(dòng)規(guī)制方面發(fā)揮的作用相對(duì)有限。2016年11月通過(guò)的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》），就關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者在中國(guó)境內(nèi)運(yùn)營(yíng)中收集及產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)的跨境流動(dòng)作出了初步安全限定，在一定程度上彌補(bǔ)了跨境數(shù)據(jù)流動(dòng)法律規(guī)制的空白。2017年4月，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》，作為《網(wǎng)絡(luò)安全法》的重要配套措施，其雖對(duì)數(shù)據(jù)出境評(píng)估的范圍、內(nèi)容、程序和相關(guān)概念等進(jìn)行了界定，但對(duì)于“境內(nèi)存儲(chǔ)”和“出境安全評(píng)估”義務(wù)的規(guī)定較為寬泛。2019年6月《個(gè)人信息出境安全評(píng)估辦法（征求意見稿）》（以下簡(jiǎn)稱《評(píng)估辦法》）對(duì)外發(fā)布，對(duì)2017年發(fā)布的《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》進(jìn)行了調(diào)整和修訂，對(duì)個(gè)人信息及其重要數(shù)據(jù)進(jìn)行了明確區(qū)分，進(jìn)一步完善了商業(yè)活動(dòng)中個(gè)人數(shù)據(jù)跨境流動(dòng)的相關(guān)規(guī)制。2020年5月頒布的《中華人民共和國(guó)民法典》（以下簡(jiǎn)稱《民法典》）雖明晰了個(gè)人信息的內(nèi)容、個(gè)人信息處理的原則與條件、信息處理者的義務(wù)與責(zé)任豁免等，但個(gè)人信息跨境流動(dòng)規(guī)則闕如。同年9月，《中華人民共和國(guó)個(gè)人信息保護(hù)法（草案）》對(duì)外發(fā)布，在借鑒國(guó)外立法經(jīng)驗(yàn)的基礎(chǔ)上，從法律層面明確了個(gè)人信息跨境提供的基本規(guī)則，對(duì)個(gè)人信息跨境提供制度的落地起到了極大的促進(jìn)作用。

數(shù)字貿(mào)易時(shí)代我國(guó)個(gè)人信息跨境流動(dòng)法律規(guī)制存在的問(wèn)題。一是個(gè)人信息跨境流動(dòng)保護(hù)法律體系亟待完善。近幾年，中國(guó)在數(shù)字貿(mào)易領(lǐng)域呈現(xiàn)良好發(fā)展趨勢(shì)，但與之相對(duì)應(yīng)的個(gè)人信息跨境流動(dòng)法律保護(hù)體系卻仍處在分散化和低層級(jí)的階段，具體規(guī)則的體系性和協(xié)調(diào)性也有待提高。雖然《民法典》《刑法修正案（七）》和《刑法修正案（九）》中的相關(guān)規(guī)定為個(gè)人信息保護(hù)樹立了相應(yīng)的屏障，但模糊的要件規(guī)定與不完整的規(guī)范體系使得法律適用障礙重重。

二是個(gè)人信息跨境流動(dòng)保護(hù)國(guó)際性合作有待深入。當(dāng)前，我國(guó)尚未加入APEC的跨境隱私規(guī)則體系（CBPR）?？梢钥吹剑覈?guó)數(shù)字貿(mào)易發(fā)展進(jìn)步雖快，然而部分企業(yè)仍處于數(shù)字貿(mào)易“走出去”的初級(jí)階段。加入國(guó)際性信息保護(hù)合作機(jī)制，數(shù)字企業(yè)在個(gè)人信息方面的跨境流動(dòng)將會(huì)受到一定的限制，從而使得運(yùn)營(yíng)成本有所增加，這也在很大程度上制約了我國(guó)個(gè)人信息保護(hù)的國(guó)際合作發(fā)展。

三是個(gè)人信息跨境流動(dòng)監(jiān)管集中度偏低。針對(duì)信息數(shù)據(jù)跨境流動(dòng)的保護(hù)，相關(guān)法律法規(guī)規(guī)定了各行業(yè)領(lǐng)域內(nèi)所需實(shí)施的信息數(shù)據(jù)保護(hù)職責(zé)。電信、互聯(lián)網(wǎng)用戶的信息安全主要由公安部門、工業(yè)與信息化部負(fù)責(zé)，醫(yī)療衛(wèi)生行業(yè)的信息數(shù)據(jù)主要由衛(wèi)生管理部門負(fù)責(zé)，而金融行業(yè)中的信息數(shù)據(jù)則主要由中國(guó)人民銀行負(fù)責(zé)。實(shí)施信息數(shù)據(jù)保護(hù)的相關(guān)部門眾多，導(dǎo)致在信息數(shù)據(jù)跨境流動(dòng)的監(jiān)管方面較易出現(xiàn)權(quán)責(zé)不清、監(jiān)管交叉、執(zhí)法不力的情況，從而影響法律規(guī)制的效力。

四是個(gè)人信息跨境流動(dòng)安全評(píng)估標(biāo)準(zhǔn)不一。當(dāng)前，我國(guó)關(guān)于個(gè)人信息的出境管理主要依據(jù)《網(wǎng)絡(luò)安全法》及與之配套的《評(píng)估辦法》相關(guān)規(guī)定，但二者就規(guī)制主體的范圍和義務(wù)界定卻存在差異。前者的規(guī)制主體為網(wǎng)絡(luò)運(yùn)營(yíng)者，包括網(wǎng)絡(luò)系統(tǒng)的所有者、管理者和網(wǎng)絡(luò)服務(wù)的提供者，且境內(nèi)存儲(chǔ)和出境安全評(píng)估義務(wù)僅適用于“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者”在我國(guó)境內(nèi)收集和產(chǎn)生的“個(gè)人信息和重要數(shù)據(jù)”。后者規(guī)制主體雖也為網(wǎng)絡(luò)運(yùn)營(yíng)者，但其對(duì)出境安全評(píng)估的數(shù)據(jù)范圍的界定是所有網(wǎng)絡(luò)經(jīng)營(yíng)者的所有出境數(shù)據(jù)，較之前者更為寬泛，與《網(wǎng)絡(luò)安全法》設(shè)定的判斷標(biāo)準(zhǔn)不盡統(tǒng)一，這將在一定程度上導(dǎo)致個(gè)人信息的跨境流動(dòng)在安全評(píng)估標(biāo)準(zhǔn)及其適用上出現(xiàn)混亂。

數(shù)字貿(mào)易時(shí)代國(guó)外個(gè)人信息跨境流動(dòng)的規(guī)制現(xiàn)狀與經(jīng)驗(yàn)探索

自20世紀(jì)60年代末開始，信息化與全球化在相互作用中深刻改變了經(jīng)濟(jì)社會(huì)生活。在計(jì)算機(jī)和信息系統(tǒng)廣泛應(yīng)用的同時(shí)，歐美等國(guó)關(guān)注到個(gè)人信息使用與濫用的問(wèn)題，意識(shí)到相關(guān)信息保密性和安全性的重要性。在此基礎(chǔ)上，各國(guó)逐步形成“公平信息實(shí)踐”并出臺(tái)了相關(guān)法律法規(guī)。目前，國(guó)際上個(gè)人信息跨境流動(dòng)的管理模式，主要分為歐盟模式和美國(guó)模式。

建立雙邊性協(xié)定。為加快進(jìn)入歐洲金融市場(chǎng)，美國(guó)創(chuàng)新跨境信息體系，與歐洲國(guó)家共同創(chuàng)設(shè)了虛擬空間，即《安全港協(xié)議》（Safe Harbor），致力于調(diào)整美國(guó)企業(yè)出口以及處理歐洲公民的個(gè)人數(shù)據(jù)，從告知、選擇、轉(zhuǎn)送、安全性、物料品質(zhì)、參與和救濟(jì)方面為美國(guó)在歐盟進(jìn)行的商業(yè)活動(dòng)提供便利?！栋踩蹍f(xié)議》的制定既降低了歐美貿(mào)易的準(zhǔn)入門檻，也為促進(jìn)個(gè)人信息跨境保護(hù)發(fā)揮了積極的推動(dòng)作用。隨后，歐盟與美國(guó)就商業(yè)領(lǐng)域跨大西洋傳輸個(gè)人數(shù)據(jù)的隱私問(wèn)題初步達(dá)成一致意見并形成《歐美隱私盾牌》，以此取代《安全港協(xié)議》。其沿襲了《安全港協(xié)議》的七項(xiàng)原則，強(qiáng)調(diào)了歐盟的信息主權(quán)，規(guī)定用于商業(yè)目的的個(gè)人數(shù)據(jù)從歐洲傳輸?shù)矫绹?guó)后，享有與在歐盟境內(nèi)同樣的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)。該協(xié)議旨在通過(guò)雙邊協(xié)議，從數(shù)字貿(mào)易時(shí)代的規(guī)范對(duì)象、合作機(jī)制、權(quán)力界定、權(quán)利救濟(jì)等方面進(jìn)一步完善個(gè)人信息國(guó)際保護(hù)機(jī)制?；诿绹?guó)整體的個(gè)人信息保護(hù)水平無(wú)法達(dá)到歐盟的“充分性保護(hù)”認(rèn)定要求，2020年7月，歐盟法院判決《歐美隱私盾牌》協(xié)定無(wú)效。雖然這使得歐美跨大西洋聯(lián)盟再添裂痕，但該判決卻并不意味著歐美數(shù)據(jù)傳輸?shù)慕K止。美國(guó)雖不再擁有特殊待遇，其仍可以在另一種“標(biāo)準(zhǔn)合約條款”（SCC）機(jī)制下作為數(shù)據(jù)接收方獲取歐盟數(shù)據(jù)，因而歐美之間在社交網(wǎng)絡(luò)等方面的日常數(shù)據(jù)轉(zhuǎn)移不會(huì)受到顯著影響。

完善區(qū)域性規(guī)范。2018年，歐盟全面實(shí)施《通用數(shù)據(jù)保護(hù)條例》（GDPR）。作為歐盟最具代表性的個(gè)人信息保護(hù)標(biāo)準(zhǔn)，其進(jìn)一步完善了數(shù)據(jù)保護(hù)的補(bǔ)充性規(guī)則與“充分保護(hù)水平”，從法律層面明確了數(shù)據(jù)保護(hù)的約束規(guī)則，通過(guò)加強(qiáng)信息保護(hù)與認(rèn)證，在個(gè)人信息跨境轉(zhuǎn)移上以制度彈性為依據(jù)豐富了“例外條款”。在亞太經(jīng)濟(jì)往來(lái)越來(lái)越密切的情況下，APEC通過(guò)設(shè)置跨境隱私規(guī)則體系來(lái)規(guī)范區(qū)域性信息轉(zhuǎn)移。同時(shí)，為避免個(gè)人信息被濫用和盜用等不利影響，APEC根據(jù)個(gè)人信息的存儲(chǔ)、收集、利用和處理形成了一套有效的全球化準(zhǔn)則，即《APEC隱私框架》。該框架基于企業(yè)角度，設(shè)置了隱私執(zhí)法機(jī)構(gòu)和責(zé)任代理機(jī)構(gòu)，既規(guī)范了企業(yè)認(rèn)證，也為消費(fèi)者提供了投訴渠道，從而有力保障了跨境業(yè)務(wù)的正常進(jìn)行。

構(gòu)建全球性規(guī)范。一直以來(lái)，由世界貿(mào)易組織管轄的《服務(wù)貿(mào)易總協(xié)定》（GATS）既為發(fā)達(dá)國(guó)家深化服務(wù)貿(mào)易對(duì)外開放提供了框架和規(guī)則，也讓發(fā)展中國(guó)家的勞動(dòng)力成本與資源優(yōu)勢(shì)得到有效發(fā)揮?！斗?wù)貿(mào)易總協(xié)定》對(duì)WTO各國(guó)成員的個(gè)人信息保護(hù)以及跨境流轉(zhuǎn)原則進(jìn)行了規(guī)定，即各國(guó)應(yīng)當(dāng)在自由、透明的個(gè)人信息保護(hù)環(huán)境下進(jìn)行數(shù)字貿(mào)易，以形成良好的國(guó)際貿(mào)易秩序。同時(shí)，聯(lián)合國(guó)也高度重視各個(gè)成員國(guó)的個(gè)人信息保護(hù)，針對(duì)個(gè)人信息保護(hù)原則、法律責(zé)任、監(jiān)管體系、跨國(guó)個(gè)人信息流動(dòng)、適用范圍進(jìn)行了規(guī)范;對(duì)于政府國(guó)際組織，從管理個(gè)人信息保護(hù)的角度進(jìn)行了規(guī)定，為個(gè)人信息國(guó)際法保護(hù)提供了依據(jù)，也為完善法律法規(guī)提供了發(fā)展框架。從全球性規(guī)范的視角來(lái)看，構(gòu)建全球性的個(gè)人信息保護(hù)機(jī)制對(duì)數(shù)字貿(mào)易時(shí)代個(gè)人信息跨境流動(dòng)的保護(hù)更為有利，各國(guó)應(yīng)當(dāng)主動(dòng)加入聯(lián)合國(guó)信息跨境流通規(guī)則中，在完善個(gè)人信息保護(hù)準(zhǔn)則的同時(shí)，完成跨境合作與信息流動(dòng)目標(biāo)。

數(shù)字貿(mào)易時(shí)代中國(guó)參與個(gè)人信息跨境流動(dòng)國(guó)際法規(guī)制的實(shí)踐路徑

繼續(xù)完善我國(guó)個(gè)人信息跨境流動(dòng)保護(hù)的法律體系。結(jié)合歐美等發(fā)達(dá)國(guó)家個(gè)人信息保護(hù)經(jīng)驗(yàn)，加快完善符合中國(guó)數(shù)字貿(mào)易與科技發(fā)展的個(gè)人信息跨境流動(dòng)保護(hù)法律體系。在監(jiān)管層面，嚴(yán)格依照《評(píng)估辦法》要求，對(duì)個(gè)人信息跨境流動(dòng)以及本地化存儲(chǔ)進(jìn)行全面監(jiān)管，特別是在個(gè)人信息的跨境流動(dòng)中，要求網(wǎng)絡(luò)運(yùn)營(yíng)者、信息接收者履行應(yīng)盡義務(wù)，提高數(shù)據(jù)安全水平;同時(shí)，針對(duì)個(gè)人信息以及重要數(shù)據(jù)進(jìn)行重點(diǎn)監(jiān)管，推動(dòng)實(shí)現(xiàn)個(gè)人信息跨境流動(dòng)的合法事由多元化，對(duì)企業(yè)數(shù)據(jù)保護(hù)能力進(jìn)行認(rèn)證，促進(jìn)個(gè)人信息的流動(dòng)更為安全和便捷。

加強(qiáng)我國(guó)個(gè)人信息跨境流動(dòng)保護(hù)的國(guó)際合作。構(gòu)建多層次的國(guó)際合作體系，打造數(shù)據(jù)大國(guó)形象，推進(jìn)信息跨境流動(dòng)國(guó)際合作的可持續(xù)發(fā)展。首先，繼續(xù)擴(kuò)展雙邊信息流動(dòng)保護(hù)合作。積極推廣兩岸四地個(gè)人信息跨境流動(dòng)安全保護(hù)合作機(jī)制，與更多的國(guó)家、地區(qū)和相關(guān)國(guó)際信息保護(hù)機(jī)構(gòu)在法律協(xié)助、信息請(qǐng)求等問(wèn)題上達(dá)成一致，以更好地落實(shí)雙邊信息跨境保護(hù)條款。其次，積極加入多邊平臺(tái)的數(shù)字治理對(duì)話機(jī)制。借助區(qū)域談判，在協(xié)調(diào)與交流中借鑒他國(guó)經(jīng)驗(yàn)教訓(xùn)，提供中國(guó)智慧方案，謀求建立更符合中國(guó)利益的跨境數(shù)據(jù)流動(dòng)規(guī)則。最后，充分發(fā)揮非政府組織作用。實(shí)踐證明，政府機(jī)構(gòu)平臺(tái)較難就個(gè)人信息保護(hù)機(jī)制形成統(tǒng)一的國(guó)際規(guī)則，通過(guò)非政府組織多邊保護(hù)機(jī)制更有利于達(dá)成共識(shí)，形成更為高效的信息流動(dòng)與保護(hù)體系。

設(shè)置更為合理的個(gè)人信息跨境流動(dòng)監(jiān)管體系。進(jìn)一步完善相關(guān)的監(jiān)管機(jī)構(gòu)組織架構(gòu)，由網(wǎng)信部門牽頭，統(tǒng)籌處理好信息出境安全評(píng)估、數(shù)據(jù)跨境流動(dòng)的合同條款審查、違規(guī)流動(dòng)的個(gè)人數(shù)據(jù)調(diào)查、侵犯信息主體權(quán)利的行為處罰等方面的監(jiān)管執(zhí)行，探索建立組織化的監(jiān)管機(jī)構(gòu)，明晰各相關(guān)部門監(jiān)管與執(zhí)法權(quán)力，從而使其有效行使各自監(jiān)督職責(zé)，使監(jiān)管更為高效化。

建立我國(guó)個(gè)人信息出境評(píng)估的多元化機(jī)制。積極推動(dòng)《網(wǎng)絡(luò)安全法》框架下《評(píng)估辦法》的完善和出臺(tái)，形成合理有效的個(gè)人信息出境安全評(píng)估機(jī)制。首先，統(tǒng)一數(shù)據(jù)出境管理范疇。參考國(guó)際個(gè)人信息出境管理措施，確認(rèn)數(shù)據(jù)離開本國(guó)境內(nèi)去往境外即為數(shù)據(jù)出境，借鑒美國(guó)在地理緯度上的延伸解讀，擴(kuò)大對(duì)主體維度的判定，認(rèn)定將數(shù)據(jù)提供給本國(guó)境內(nèi)的外國(guó)組織或個(gè)人，也屬于個(gè)人信息出境范疇。其次，明確相關(guān)行為人權(quán)利與義務(wù)。對(duì)于個(gè)人信息主體而言，個(gè)人信息出境務(wù)必要征得信息主體同意，否則不允許個(gè)人信息出境。同時(shí)，個(gè)人信息運(yùn)營(yíng)者需要承擔(dān)信息保護(hù)責(zé)任，并有義務(wù)約束下設(shè)其他主體形成保護(hù)合力，下設(shè)主體出現(xiàn)非法個(gè)人信息出境現(xiàn)象，由個(gè)人信息運(yùn)營(yíng)者、控制者負(fù)責(zé)。此外，政府主管部門有義務(wù)為維權(quán)個(gè)人提供幫助，比如行政救濟(jì)、司法救濟(jì)等，有義務(wù)幫助個(gè)人追回信息，給予充分救濟(jì)。最后，加強(qiáng)國(guó)家間個(gè)人信息出境制度協(xié)同。個(gè)人信息流通有利于社會(huì)經(jīng)濟(jì)發(fā)展，國(guó)家之間應(yīng)以非強(qiáng)制性手段，設(shè)置信息流通“白名單”制度，允許個(gè)人信息在“白名單”國(guó)家和地區(qū)自由流動(dòng)。同時(shí)，注意限制跨國(guó)集團(tuán)內(nèi)部位于不同國(guó)家或地區(qū)的分支機(jī)構(gòu)之間的數(shù)據(jù)轉(zhuǎn)移，防止數(shù)據(jù)流通到不具備先進(jìn)數(shù)據(jù)管理水平的國(guó)家，造成數(shù)據(jù)信息外泄。

參考文獻(xiàn)

朱曉娟，2021，《論跨境電商中個(gè)人信息保護(hù)的制度構(gòu)建與完善》，《法學(xué)雜志》，第2期。

葉開儒，2020，《數(shù)據(jù)跨境流動(dòng)規(guī)制中的“長(zhǎng)臂管轄”——對(duì)歐盟 GDPR的原旨主義考察》，《法學(xué)評(píng)論》，第1期。

方芳，2019，《歐盟個(gè)人數(shù)據(jù)跨境流動(dòng)政策的演變：市場(chǎng)統(tǒng)一與貿(mào)易規(guī)范》，《復(fù)旦國(guó)際關(guān)系評(píng)論》，第1期。

吳沈括，2019，《〈個(gè)人信息出境安全評(píng)估辦法（征求意見稿）〉的制度追求》，中國(guó)網(wǎng)信網(wǎng)，http：//www.cac.gov.cn/2019-06/17/c_1124635154.htm。

周漢華，2018，《探索激勵(lì)相同的個(gè)人數(shù)據(jù)治理之道——中國(guó)個(gè)人信息保護(hù)法的立法方向》，《法學(xué)研究》，第2期。

責(zé) 編∕張 貝