粵港澳大灣區(qū)個人信息數(shù)據(jù)跨境傳輸與治理的困境探析

付鈺禧

摘 要：粵港澳大灣區(qū)的智慧化治理與發(fā)展刻不容緩，而解決個人信息跨境傳輸與治理是推進粵港澳大灣區(qū)建設過程中不可回避的難題。由于粵港澳三地存在“一國兩制三法域”的特殊情況，筆者通過對兩岸三地關于個人信息保護制度進行分別考察，并從法律基礎等具體角度出發(fā)探討，從而揭示粵港澳大灣區(qū)內(nèi)關于個人信息數(shù)據(jù)跨境傳輸與治理的困境與難點。

關鍵詞：粵港澳大灣區(qū);智慧灣區(qū);個人信息數(shù)據(jù);跨境傳輸與治理

中圖分類號：F27 文獻標識碼：A doi：10.19311/j.cnki.1672-3198.2022.10.018

1 問題的提出：灣區(qū)智慧化建設的必由之路

2019年2月，中共中央、國務院印發(fā)《粵港澳大灣區(qū)發(fā)展規(guī)劃綱要》，其中賦予粵港澳大灣區(qū)五大戰(zhàn)略定位，并以粵港澳大灣區(qū)成為世界級城市群為首要目標;而粵港澳大灣區(qū)要成為世界級灣區(qū)，則需充分利用其優(yōu)勢。而在信息技術和科學技術不斷發(fā)展的今天，灣區(qū)智慧化與粵港澳大灣區(qū)的建設戰(zhàn)略定位相耦合，憑借大灣區(qū)兩岸三地的差異化背景，通過技術賦能的路徑將粵港澳大灣區(qū)的治理能力與治理體現(xiàn)現(xiàn)代化予以提升，使得粵港澳大灣區(qū)進行智慧化治理并形成體系化的智慧社會，更快更好地完成世界級灣區(qū)建設。

基于此背景，粵港澳大灣區(qū)智慧化建設依托于大力發(fā)展以 5G、大數(shù)據(jù)人工智能為代表的數(shù)字技術，加快了兩岸三地之間的資源跨境流通。然而，數(shù)據(jù)傳輸與治理問題是在灣區(qū)智慧化治理中不可忽視的挑戰(zhàn)。信息治理是智慧化治理的基礎與根本，而個人信息數(shù)據(jù)在信息數(shù)據(jù)體系中無論是從數(shù)量抑或是從使用價值的層面來看，都占據(jù)主要地位，因此，粵港澳大灣區(qū)若要有效推動智慧化進程，那么解決個人信息數(shù)據(jù)跨境傳輸與治理問題是其不可規(guī)避的難題。

2 粵港澳三地個人信息數(shù)據(jù)保護之比較

隨著互聯(lián)網(wǎng)的高速發(fā)展，數(shù)據(jù)傳輸與運用早已滲入生活各處。數(shù)據(jù)并非附隨性的存在，而是具有高度獨立性，因此可以通過不同渠道和方式進行存儲與傳輸，從而產(chǎn)生不同的價值。而在粵港澳大灣區(qū)智慧化建設之中，個人信息數(shù)據(jù)的跨境傳輸無可避免。因此，有必要對粵港澳三地的個人信息保護制度進行考察，并從法理基礎、立法現(xiàn)狀、保障機制三個角度進行探討，為區(qū)域間實現(xiàn)良性法律互動奠定基礎。

2.1 個人信息數(shù)據(jù)保護的法理基礎

縱觀當今世界各國各地區(qū)關于個人信息數(shù)據(jù)保護的法律規(guī)制與相應體系，不難看出歐盟與美國對世界各國各地區(qū)的影響頗大，這當然也是歐盟與美國于近現(xiàn)代在世界上處于強勢的經(jīng)濟與政治地位等方面所決定的;但各國及地區(qū)多有借鑒且能長期有效運轉，也能證實歐盟與美國的個人信息保護體系具有一定的科學性與代表意義，因此當今個人信息保護的法律基礎根據(jù)歐盟與美國的不同實踐與理論可大致劃分為“人格權延伸”與“隱私權延伸”兩種形式。

歐盟中以德法意西等為首的多個國家都屬“大陸法系”國家，由于大陸法系國家普遍對于隱私權的定義相對狹隘，從而難以將隱私權邊界延伸至非私密或公開信息的權利保護，所以以德國為代表的大陸法系國家更多的是通過對人格權制度完善來為個人信息提供法律保障基礎，具體實踐為將個人信息自決權獨立為一種具體的人格權進行保護。而澳門受葡萄牙影響，在澳門民法典中將“個人資料之保護”“個人資料真實權”等對于個人信息保護的具體權利明確歸于人格權的章節(jié)中進行規(guī)范，屬于“人格權延伸”的法律基礎。而香港屬于普通法系，受英美影響較大，對于個人信息保護的法律基礎更為偏向“隱私權延伸”。美國作為普通法系代表國家，對隱私權保護的理論基礎與法律制度體系相對完善;隱私權這一詞在美國的含義不僅限于傳統(tǒng)理論中對于“隱私”的定義，其表現(xiàn)歸納為物理性、自治性、信息性等多方面的隱私權，而且美國作為聯(lián)邦制國家，對于法律適用靈活性要求較高，因此對于相關規(guī)范屬宏觀規(guī)制。香港對于個人信息保護的核心法律《個人資料（私隱）條例》便是基于隱私權保護的基礎出發(fā)，規(guī)定了關于個人信息保護最核心的六大原則，對個人信息靈活的進行全方位的保護。

而我國大陸地區(qū)現(xiàn)階段由于《個人信息保護法（草案）》尚未“三讀”，因此就現(xiàn)在而言我國對于個人信息權尚未有明確的法案予以確立與保護;我國雖屬非“大陸法系”國家，但在實踐中往往受到大陸法系的影響，因此我國對于隱私權的權利邊界限縮較為明顯，難以包含包括公開信息之內(nèi)等全部個人信息，所以采用“人格權”延伸的形式更為妥當。雖然我國《民法典》人格權編第六章中以“隱私權與個人信息保護”為名規(guī)避了個人信息權是否作為一項獨立的民事權利，但從即將實施的《個人信息保護法》草案中可以發(fā)現(xiàn)，我國目前存在以“人格權延伸”為法律基礎，將“個人信息權”作為獨立民事權利予以保護的傾向;這也屬于我國《憲法》第38條對于人格權這一憲法權利的保障實施的具體化體現(xiàn)。

2.2 個人信息數(shù)據(jù)保護的立法現(xiàn)狀

對于兩岸三地的個人信息數(shù)據(jù)保護立法現(xiàn)狀來說，香港地區(qū)是亞洲第一個制定個人信息保護專門化法律的地區(qū)，于1995年《個人資料（私隱）條例》公布，歷經(jīng)2012年重大修訂之后一直沿用至今，條例共10章73條，分別為導言、執(zhí)行、事務守則、個人資料的查閱及更正等，結合核心六大原則對個人信息數(shù)據(jù)進行全方位的保護。除此之外，于今年七月，香港特區(qū)政府將再一次修訂《個人資料（私隱）條例》以打擊侵犯個人資料私隱的“起底”行為，該草案已于今年七月二十一日提交立法會進行首讀和二讀。

澳門特別行政區(qū)于2005年制定《個人資料保護法》，該法案由于吸收借鑒較多優(yōu)秀經(jīng)驗，具有較強的體系性和嚴密性，因此被稱作“亞太地區(qū)最強的個人資料保護法”。上述法案共9章46條，分別為一般規(guī)定、個人資料的處理和性質及對其處理的正當性、資料當事人的權利等規(guī)定;但從整體來看，澳門地區(qū)對于個人資料的保護不僅存于該法案，澳門對于個人資料保護立法更具有結構性與層次化，《澳門特別行政區(qū)基本法》對公民人格尊嚴和隱私權的肯認，為個人信息的保護提供依據(jù);《澳門特別行政區(qū)民法典》中涉及了個人信息的保護實現(xiàn)了民事法層面的保護;最后再由《個人資料保護法》提供全方位細致的規(guī)制，層層遞進地對個人信息進行保護。

而我國大陸地區(qū)在《個人信息保護法》尚未完全確立生效前，對于個人信息的保護立法較為缺失且不成體系，往往于各部門法的具體條文中予以體現(xiàn)。

2.3 個人信息數(shù)據(jù)保護的保障實施機制

香港地區(qū)為保障《個人資料（私隱）條例》落實與實施，于2006年成立了個人資料隱私專員公署，且公署專員由特別行政區(qū)行政長官直接任命，以保障專員有足夠的權力基礎回應公民的投訴與審查監(jiān)管案件。甚至在某些案件中，公署專員亦會主動介入予以調查;為了保障《個人資料（私隱）》條例更好地貫徹落實，公署還根據(jù)各行業(yè)特征發(fā)布相應的《實務守則》與《指引》。

澳門地區(qū)也成立個人資料保護辦公室在澳門特別行政區(qū)行政長官監(jiān)督下獨立運作，負責監(jiān)察、協(xié)調對《個人資料保護法》的遵守和執(zhí)行，其職能主要包括“分析研究”“宣傳教育”“處理‘通知’”“發(fā)出許可、意見書和指引”“調查及處罰”以及“國際與區(qū)際交流與合作”六個方面。但個人資料保護辦公室的行政屬性較濃，對于在調查中對違法主體所作處罰也僅限于行政類的處罰，不涉及刑事領域。

我國目前沒有對于處理個人信息保護的專門機構，對于個人信息的保護由于散落于各部門法中，因此救濟主體也因事而異;但從《個人信息保護法（草案）》中可以發(fā)現(xiàn)，我國希望國家網(wǎng)信部門負責統(tǒng)籌協(xié)調個人信息保護工作和相關監(jiān)管工作，國務院與縣級以上地方人民政府也要在職責范圍內(nèi)承擔相應的個人信息保護與監(jiān)管責任。而在法律責任層面，也傾向采取行政為主，刑事為輔的保障體制。

3 灣區(qū)內(nèi)個人信息數(shù)據(jù)傳輸與治理困境

通過上述考察可知，我國由于歷史原因使得粵港澳大灣區(qū)存在“一國兩制三法域”的特殊背景;從社會本身而言，粵港澳三地之間的社會制度、政治制度都有所不同;從法律層面來說，粵港澳三地之間的法系、法律觀念與相關具體法律規(guī)定都不盡相同，從而造成粵港澳大灣區(qū)內(nèi)個人信息數(shù)據(jù)傳輸與治理較為困難。

3.1 個人信息數(shù)據(jù)傳輸困境

雖然無論是澳門《個人資料保護法》還是香港《個人資料（私隱）條例》都有對于個人信息跨境傳輸?shù)木唧w規(guī)定，但由于法律適用范圍不同，對于個人信息數(shù)據(jù)的范圍界定差異、監(jiān)管機構不同等情況帶來了相應法律屏障與沖突。在大陸地區(qū)的視角下，我國《涉外民事關系法律適用法》中沒有明確數(shù)據(jù)信息跨境傳輸中的責任與權屬問題;且在數(shù)據(jù)傳輸流程中，根據(jù)我國《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定》，計算機聯(lián)網(wǎng)必須使用國家公用電信網(wǎng)提供的國際出入口信道，但港澳地區(qū)已屬國際聯(lián)網(wǎng)范疇，違反了上述規(guī)定。亦根據(jù)《網(wǎng)絡安全法》第37條規(guī)定，信息跨境傳輸需要由國家網(wǎng)信部門會同國務院有關部門進行安全評估，這一“看似”程序化的條文實則增加了信息傳輸?shù)碾y度，除此之外，我國還存在大量有關信息數(shù)據(jù)跨境傳輸?shù)慕剐晕募⒙溆诟魈?，這對個人信息數(shù)據(jù)跨境流動制造了多層阻礙。而在港澳地區(qū)的視角下，由于轉移個人信息數(shù)據(jù)時根據(jù)不同地區(qū)的不同立場，根據(jù)信息處理目的與轉出地的個人信息數(shù)據(jù)保護力度的不同，存在準確度風險、不當變更風險與外泄風險等問題，而且就現(xiàn)在而言，我國個人信息保護力度相較港澳地區(qū)較弱，大陸地區(qū)是否能達到“接收轉移信息當?shù)氐姆审w系能確保適當?shù)谋Ｗo程度”中的“適當”程度還需討論。

3.2 個人信息數(shù)據(jù)治理困境

首先由于“一國兩制三法域”的背景導致大陸地區(qū)在個人信息數(shù)據(jù)治理層面無法與港澳地區(qū)保持高度一致，即在司法或執(zhí)法層面，無法高度契合。畢竟我國整體依舊是社會主義國家，無論是香港還是澳門都只是實行特別化待遇的省級行政區(qū)劃，港澳地區(qū)依舊是處于中央的領導之下，我國不可能僅為數(shù)據(jù)治理便利，動搖執(zhí)法體系乃至司法主權，加之兩岸三地各自立法體系與法律適用于保護力度的差異，使得灣區(qū)內(nèi)協(xié)同治理個人信息安全問題的法律制度壁壘難以消除，給區(qū)域間的合作發(fā)展帶來了諸多困境。在法律層面，依據(jù)什么適用什么地方的什么法律？由誰保障該法律實施？為什么由該主體保障實施？諸如此類的問題如多米諾骨牌一般，需要一系列的進行研究和探討。

除了無法形成高效的糾紛解決機制外，對于保障主體之間的對接和協(xié)同工作也是困境所在。香港的公署與澳門的個人資料辦公室作為專門化機構來進行個人信息跨境治理中的對外對接協(xié)同機構尚且可行，但我國目前大陸地區(qū)尚未形成專門化的個人信息保護管理機構，即使《個人信息保護法（草案）》得以通過，也是由國家網(wǎng)信部門負責統(tǒng)籌協(xié)調個人信息保護工作及監(jiān)管工作，國務院與縣級以上地方人民政府也需在各自職責范圍內(nèi)保護個人信息，主體方面雖然有了主心骨但依舊較為分散，如何進行銜接與銜接主體間的層級關系與等級劃分也是需要深思的問題。

參考文獻

[1]郭少青.粵港澳大灣區(qū)智慧灣區(qū)建設：實踐障礙與創(chuàng)新改革[J].電子政務，2020，（12）：10.

[2]陶寧.粵港澳大灣區(qū)個人信息跨境治理的困境及其應對[J]. 廣州市公安管理干部學院學報，2020，31（1）：5.

[3]唐玲，王曉強，侯維亞，等.港澳臺個人信息保護法律法規(guī)及標準研究[J].標準科學，2013，（003）：39-42.

[4]楊翱宇.澳門特別行政區(qū)個人資料保護法的文本與實踐[D].成都：西南政法大學，2017.

[5]楊翱宇.個人信息保護的特別機制研究——以澳門《個人資料保護法》為考察樣本[J].圖書館，2018，（03）：68-74.