我國跨境電商中網(wǎng)絡(luò)用戶個人信息保護的困境與路徑

張衛(wèi)彬，陳 計

(安徽財經(jīng)大學(xué) 法學(xué)院，安徽 蚌埠 233030)

在數(shù)字化轉(zhuǎn)型時代，互聯(lián)網(wǎng)和經(jīng)濟全球化交織在一起，跨境電商作為外貿(mào)發(fā)展的升級模式，呈現(xiàn)出如火如荼的新態(tài)勢(圖1)。據(jù)《中國電子商務(wù)報告(2022)》統(tǒng)計，2021年我國跨境電商進出口總量達1.98萬億，其中出口量達1.44萬億，增長率分別為15%和24.5%。面對復(fù)雜多變的網(wǎng)絡(luò)市場環(huán)境，許多電商平臺不得不采取相應(yīng)措施來搜集用戶的消費數(shù)據(jù)信息，以實現(xiàn)針對性地推廣，提高自身競爭力，擴大市場份額。目前針對跨境電商中個人信息保護的探討主要集中在國際協(xié)調(diào)機制[1]和管轄權(quán)歸屬[2]層面，鮮少有學(xué)者把研究視角置于國內(nèi)領(lǐng)域，長期以來我國個人信息保護重視程度不足，始于起步階段，盡管《網(wǎng)絡(luò)安全法》和《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》均對個人信息中的重要數(shù)據(jù)提出了指示性規(guī)定，但更具專門性的《重要數(shù)據(jù)指南》仍處于“萌芽”狀態(tài)，致使網(wǎng)絡(luò)用戶個人信息保護在跨境電商領(lǐng)域的實踐具有一定的困難。因此，通過深入剖析我國跨境電商領(lǐng)域中網(wǎng)絡(luò)用戶個人信息保護存在的問題，并提出相應(yīng)的解決方案，來契合和滿足當前個人信息保護的現(xiàn)實需求。

圖1 2017—2021年中國跨境電商進出口總額統(tǒng)計資料來源：中國電子商務(wù)報告

一、我國跨境電商中網(wǎng)絡(luò)用戶個人信息保護的立法檢視與評述

我國跨境電商中網(wǎng)絡(luò)用戶個人信息保護法律規(guī)則欠缺，系統(tǒng)性不足，總體上呈現(xiàn)出較為薄弱的立法樣態(tài)。2021年8月20日，十三屆全國人大常委會第三十次會議審議并通過了第一部針對個人信息保護的專門立法——《中華人民共和國個人信息保護法》，為我國跨境電子商務(wù)中個人信息的保護和流動提供了原則性、綱領(lǐng)性的指引，第三十八條指出，“個人信息處理者確因業(yè)務(wù)需要，要向境外提供信息的，個人信息處理者應(yīng)采取必要的措施，保障境外接收方處理個人信息達到本法規(guī)定的標準”，該法明確了個人信息處理者在信息跨境流動的責(zé)任，一定程度上彌補了信息跨境流動的法律空缺，但由于規(guī)定得較為寬泛和模糊，缺乏具體的可操作性，發(fā)揮的作用極為有限。與之相銜接，我國《電子商務(wù)法》第六十九條、第七十一條、第七十九條則規(guī)定了，“電子商務(wù)經(jīng)營者應(yīng)保護電子商務(wù)用戶信息，違反法律、法規(guī)有關(guān)個人信息保護規(guī)定的，依照相應(yīng)的規(guī)定進行處罰”，兩法之間相互協(xié)調(diào)配合，共同保障跨境電商中用戶的信息安全。為了上述法律規(guī)范能夠落到實處，具備可操作性，2022年7月國家互聯(lián)網(wǎng)信息辦公室又出臺了《數(shù)據(jù)出境安全評估辦法》(以下簡稱“評估辦法”)，系統(tǒng)而全面地提出了數(shù)據(jù)出境的詳細標準。“評估辦法”第三條、第五條、第八條創(chuàng)設(shè)了我國首個數(shù)據(jù)評估安全體系，要求對數(shù)據(jù)的出境目的、方式、范圍以及境外接收方的技術(shù)、能力等方面綜合評估，從多維度保障跨境電商中網(wǎng)絡(luò)用戶的個人信息安全。然而前述立法和規(guī)范性文件多集中于境內(nèi)或者電商經(jīng)營者視角，對用戶的關(guān)注度不足，如，當用戶數(shù)據(jù)信息泄露、個人信息遭受侵害時救濟路徑不明；數(shù)據(jù)跨境輸出時，怎樣取得用戶的同意以及取得何種程度的同意，法律都沒有做出明確的規(guī)定，其他有關(guān)跨境電商網(wǎng)絡(luò)用戶個人信息保護的規(guī)則闕如。

通觀上述法律規(guī)范(表1)，對我國現(xiàn)行立法簡要評析如下，首先，在立法形式上采取的是數(shù)據(jù)主體同意的事前模式。我國《網(wǎng)絡(luò)安全法》第42條規(guī)定，“網(wǎng)絡(luò)運營者不得泄露、篡改、損毀其收集的個人信息；未經(jīng)被收集人同意，不得向他人提供信息” ，歸納分析我國在跨境電商領(lǐng)域中個人信息保護的法律規(guī)范，不難得出我國立法支持數(shù)據(jù)主體同意的觀點，選用的是“數(shù)據(jù)主體同意+安全評估”的對內(nèi)事前防范制度。我國跨境電商規(guī)模在世界處于領(lǐng)先地位，但數(shù)據(jù)保護規(guī)則尚不成熟、仍處于探索階段，數(shù)據(jù)主體同意模式將權(quán)力賦予個人，雖然減少企業(yè)的合規(guī)成本，但造成網(wǎng)絡(luò)用戶個人信息保護力度不足，數(shù)據(jù)安全協(xié)調(diào)治理能力較低。其次，在立法設(shè)定上私法合規(guī)監(jiān)督不足。我國跨境電商中網(wǎng)絡(luò)用戶個人信息保護的法律法規(guī)多是從行政管理便利的角度出發(fā)，沒有為企業(yè)設(shè)立明確的規(guī)范與標準，平臺難以充分利用自身數(shù)據(jù)便利的特點為用戶提供“個人信息盾”保護。我國《公司法》《合伙企業(yè)法》《個人獨資企業(yè)法》等都沒有將個人信息安全保障列為企業(yè)內(nèi)部義務(wù)，對商業(yè)主體自治尤其是企業(yè)內(nèi)部合規(guī)的關(guān)注不夠，可以借鑒《APEC隱私框架》，從企業(yè)切入，創(chuàng)新數(shù)據(jù)保護路徑，形成網(wǎng)絡(luò)用戶個人信息保護的最佳實踐 。 最后，在立法體例上呈現(xiàn)出較為分散的樣態(tài)。我國跨境電商中保護網(wǎng)絡(luò)用戶個人信息的條款既橫向分布于不同的法律部門中，又縱向散于不同效力位階之間[3]，如《刑法修正案(七)》《刑法修正案(九)》第253條對公民販賣個人信息的犯罪作了相關(guān)規(guī)定，《個人信息保護法》第66條又對針對個人信息侵權(quán)行為設(shè)立相應(yīng)懲罰措施，關(guān)于個人信息侵權(quán)的處罰方案交叉于刑、民兩個學(xué)科，不同法律領(lǐng)域內(nèi)的價值取向和界定標準不一，容易造成部門法之間銜接不當，既不利于主體明確行使權(quán)利，又加大爭議解決的成本和難度，應(yīng)在跨境電商領(lǐng)域加速形成以憲法為核心，以法律為主干，以法律、規(guī)章及其他規(guī)范性文件為補充的相互交融、聯(lián)動的個人信息保護立法體系。

表1 我國跨境電商網(wǎng)絡(luò)用戶個人信息保護主要法律規(guī)范匯總

二、我國跨境電商中網(wǎng)絡(luò)用戶個人信息保護困境：規(guī)則闕漏

(一)個人信息保護標準落后

受“公共利益優(yōu)先”理念的影響，我國長期以來對個人信息的保護力度不足，近年來，我國出臺了一些技術(shù)標準和管理標準，遺憾的是，技術(shù)標準沒有專門為個人信息保護而設(shè)，管理標準方面也僅考慮了計算機進行個人數(shù)據(jù)傳輸時的安全。2012年我國首個全國性個人信息保護標準《信息安全 公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》誕生，由中國軟件評測中心牽頭并聯(lián)合多家單位共同制定、2017年國家標準化管理委員會又發(fā)布了GB/T35273-2017《信息安全技術(shù) 個人信息安全規(guī)范》；此外地方上也有著制定個人信息保護標準的嘗試，如2012年大連市發(fā)布了DB21/T 1522《軟件及信息服務(wù)業(yè)個人信息保護規(guī)范》、2008年西安軟件園發(fā)展中心頒布了《陜西軟件和信息服務(wù)業(yè)個人信息保護規(guī)范》。從總體上看，我國所頒布的個人信息保護標準相對落后，條款主要集中在個人信息的收集和使用層面，對個人信息的披露和保護鮮有涉及，仍停留在20世紀60年代提出的“公平信息實踐”階段，企業(yè)缺乏可操作性，實用性不強，大數(shù)據(jù)時代來臨，我國公民越來越重視個人信息的安全與維護，原有的信息安全規(guī)范已不能適應(yīng)時代的發(fā)展，為滿足消費者隱私保護的需求，急需制定準確、完整、詳盡的個人信息保護規(guī)范，逐步建立起一套既符合中國國情又與國際并軌的個人信息保護標準體系。

(二)法律責(zé)任屬性模糊

在跨境電商侵害網(wǎng)絡(luò)用戶個人信息的司法實踐中，通常涉及侵權(quán)和合同之債兩大問題，即網(wǎng)絡(luò)用戶選擇侵權(quán)還是合同違約，以何種方式向跨境電商平臺主張自己的權(quán)利。在現(xiàn)實生活中，跨境電商平臺要求消費者必須進行實名注冊，才可以在平臺進行消費行為。注冊行為往往伴隨著與平臺簽訂《隱私保護政策》和《注冊協(xié)議》，該協(xié)議用于規(guī)范平臺和消費者之間的權(quán)利義務(wù)，明確跨境電商平臺收集、整理、使用和披露消費者信息的方式和范圍。根據(jù)此協(xié)議，跨境電商平臺一般需要承擔保護用戶個人信息的義務(wù)，當平臺由于疏于管理過失或故意地侵害用戶個人信息的時候，消費者可以依據(jù)協(xié)議向跨境電商平臺提起賠償訴求，同時該行為又是一種侵權(quán)行為，侵害公民的知情權(quán)、信息安全權(quán)等人格權(quán)，此時在跨境電商平臺侵害用戶個人信息糾紛中，侵權(quán)和違約行為就產(chǎn)生了競合[4]。在2016年“馮紅真訴浙江天貓、淘寶中國侵權(quán)責(zé)任糾紛案(1)案中原告馮紅真2016年7月25日，在天貓國際山田養(yǎng)蜂海外旗艦店購買了“羅馬尼亞產(chǎn)成熟洋槐蜂蜜300g”商品1箱，因產(chǎn)品功效未達到廣告宣傳，雙方產(chǎn)生爭議，訴至法院。但之前原告與天貓國際簽署的《用戶服務(wù)協(xié)議》第九條規(guī)定，“本協(xié)議之效力、解釋、變更、執(zhí)行與爭議解決均適用香港法律，任何與香港的法律沖突規(guī)則或原則不適用本協(xié)議”，雙方已確定了準據(jù)法，但審理時太原市中院仍直接依據(jù)《中華人民共和國消費者權(quán)益保護法》第四十四條的規(guī)定，認定原告也沒有證據(jù)證明被告淘寶中國控股有限公司明知或應(yīng)知銷售者利用平臺侵害其合法權(quán)益，駁回原告起訴?！敝?，太原市中院在審理本案的過程中，越過選用法律的論證環(huán)節(jié)，直接依據(jù)《中華人民共和國消費者權(quán)益保護法》的規(guī)定，判定被告沒有侵害原告的合法權(quán)益，駁回原告的訴求請求[9]。本案中太原市中院直接采取侵權(quán)作為案由來審理案件，而在更多時候，基層人民法院包括派出法庭在內(nèi)處理類似案件往往按照合同違約進行審理。我國法院在長期“重實體輕程序”的局限性思維下，侵權(quán)和違約法律適用模糊，未來需要進一步厘清侵權(quán)和違約在跨境電商網(wǎng)絡(luò)用戶個人信息侵權(quán)案的適用界限，正確識別法律關(guān)系；選取合理便利的規(guī)則，實現(xiàn)充分救濟當事人合法權(quán)益的目標。

(三)強制性規(guī)則匱乏

自2021年《個人信息保護法》和2016年《網(wǎng)絡(luò)安全法》出臺以后，跨境電商業(yè)務(wù)中個人信息數(shù)據(jù)流轉(zhuǎn)的行為就逐步納入法治監(jiān)管的軌道上，我國新規(guī)定的國家安全審查制度和本地存儲制度對個人數(shù)據(jù)的利用和保護提出了更高的標準，然而在具體的實踐過程中，這些強制性規(guī)則在跨境電商個人信息保護的適用中存在著明顯的缺陷與不足。首先，國家網(wǎng)信辦在國家安全審查制度實施的過程中只具備單向性，即只對我國個人信息數(shù)據(jù)流向境外時進行審核，當境外數(shù)據(jù)流入國內(nèi)是否需要審查在《網(wǎng)絡(luò)安全法》中并未提及[5]。其次，為了進一步推動跨境電商產(chǎn)業(yè)的蓬勃發(fā)展，國家安全審查制度和本地存儲制度在適用對象上有所限縮，只限定到關(guān)鍵信息基礎(chǔ)設(shè)施運營者，未采用國際上的通行做法，將適用對象擴大至全網(wǎng)。最后，個人信息和重要數(shù)據(jù)的解釋不明是法律適用時的突出短板，阻礙了強制性規(guī)則的落地與實施，為我國跨境電商中個人信息保護的國際合作帶來了嚴峻的挑戰(zhàn)。若網(wǎng)絡(luò)用戶的個人信息造成泄漏，被境外不法分子所利用，勢必會對我國的國家安全和公共利益造成重大侵害；2018年中美貿(mào)易戰(zhàn)延續(xù)至今且呈形勢加劇的趨勢，國際社會上反貿(mào)易全球化主義浪潮有著復(fù)蘇跡象[6]，在此背景下，美國想要阻擋我國經(jīng)濟發(fā)展的腳步，必然對跨境電商等新型互聯(lián)網(wǎng)產(chǎn)業(yè)提出更嚴格的個人信息數(shù)據(jù)保護標準，以圖削減我國對外貿(mào)易的總量。我國要高度重視跨境電商中的個人信息數(shù)據(jù)安全問題，建立起一套系統(tǒng)完備的強制性規(guī)則體系，用以面對國際貿(mào)易中可能出現(xiàn)的沖擊和影響。

(四)個人信息安全保護體系缺損

跨境電子商務(wù)中的數(shù)據(jù)流動和保護治理涉及一國網(wǎng)絡(luò)空間主權(quán)，與網(wǎng)絡(luò)用戶個人信息保護息息相關(guān)，2020年新加坡電商巨頭Lazard公司110萬用戶個人信息數(shù)據(jù)泄漏，對于總?cè)丝谥挥?70萬的新加坡，無疑是一場巨大的災(zāi)難，引起了大范圍的社會動蕩和民眾恐慌；無獨有偶，2019年我國深圳都市頻道報道，深圳市民鄒女士查詢跨境電商個人額度時，發(fā)現(xiàn)自己名下多出40余條非本人購買記錄，經(jīng)海關(guān)總署證實其個人信息泄漏并遭到冒用[7]。當前我國《個人信息保護法》《網(wǎng)絡(luò)安全法》以及《電子商務(wù)法》規(guī)定了跨境電商平臺在收集、整理、使用和披露個人信息時需要滿足合法、正當和必要的條件，同時又規(guī)定了相應(yīng)的數(shù)據(jù)安全儲存制度，看似高標準、嚴要求的個人信息安全保護體系背后仍有很大的改進空間。首先，在個人信息數(shù)據(jù)本地化存儲的過程中，并未對儲存方式按照數(shù)據(jù)備份、數(shù)據(jù)留存、特定數(shù)據(jù)留存、自有服務(wù)器數(shù)據(jù)留存等種類進行細化，方式混亂，備份和留存間界限模糊，這些儲存行為使得我國的個人信息數(shù)據(jù)法律保護體系形成空隙，容易引發(fā)上述信息安全的一系列事故[8]。其次，我國現(xiàn)行的個人信息數(shù)據(jù)跨境流轉(zhuǎn)制度采取的政府審批和許可制度與全球數(shù)據(jù)經(jīng)濟發(fā)展的趨勢背道而馳，政府數(shù)據(jù)監(jiān)管負擔過重、監(jiān)管模糊，容易使得個人信息安全受到侵害，宜將權(quán)力下放，充分發(fā)揮企業(yè)數(shù)據(jù)安全自我評價機制的積極作用，通過形成數(shù)據(jù)跨境流轉(zhuǎn)時事前監(jiān)管事中、事后監(jiān)管轉(zhuǎn)移的綜合監(jiān)管模式，提升監(jiān)管的作用和效能，在跨境電商的數(shù)據(jù)跨境流轉(zhuǎn)階段充分保障網(wǎng)絡(luò)用戶的個人信息安全。

三、個人信息保護路徑展望：理念設(shè)計與機制配套

大數(shù)據(jù)時代，數(shù)字經(jīng)濟已經(jīng)成為各國經(jīng)濟發(fā)展繁榮的核心推動力，據(jù)中國互聯(lián)網(wǎng)觀察(China Internet Watch)數(shù)據(jù)顯示，早在2020年我國跨境電商規(guī)模已經(jīng)達10.3萬億，位居全球第一[9]，但近年來由于國家個人信息保護制度缺位、個人信息保護法律規(guī)則零散、網(wǎng)絡(luò)用戶個人信息保護力度不足，給我國跨境電商經(jīng)營者造成了巨大的負擔。

(一)個人信息保護的理念設(shè)計

1.堅持行政機關(guān)監(jiān)管與跨境電商平臺自治并重的理念

我國跨境電商網(wǎng)絡(luò)用戶個人信息保護的立法實踐中，對行政機關(guān)附加的數(shù)據(jù)安全保障義務(wù)過重，而對跨境電商平臺的要求畸輕，跨境電商中用戶個人信息的保護既需要依托行政機關(guān)信息數(shù)據(jù)保護職責(zé)的明確與積極行使，更要充分發(fā)揮跨境電商平臺主體自治的主觀能動性，兩者相互協(xié)調(diào)、相互配合，共同提升網(wǎng)絡(luò)用戶個人信息保護的水平。行政機關(guān)在監(jiān)管的過程中，往往只重視發(fā)揮自身的監(jiān)管效能，忽略跨境電商平臺的作用，但在現(xiàn)實案例中，平臺在個人信息保護過程中卻有著舉足輕重的作用，如2008年Facebook 個人信息泄漏丑聞?wù)痼@世界，數(shù)據(jù)被傳輸至英國劍橋分析公司用于預(yù)測美國大選，最后的維權(quán)行為是由美國貿(mào)易委員會(FTC)委托相關(guān)平臺實施而非權(quán)利人[10]。因此在我國跨境電商網(wǎng)絡(luò)用戶個人信息保護制度的構(gòu)造上，要貫徹落實行政機關(guān)監(jiān)管和跨境電商平臺自治并重的理念，跨境電商業(yè)務(wù)中個人信息數(shù)據(jù)傳輸至邊境乃至境外，行政機關(guān)僅依靠自身力量進行監(jiān)管力有不逮，在肯定行政權(quán)規(guī)制的同時要充分尊重跨境電商平臺的內(nèi)部自治性，企業(yè)天然具有追求自身利益最大化的盈利特性，鼓勵跨境電商平臺在維護個人信息安全的前提下，對個人信息數(shù)據(jù)合理調(diào)配，突破數(shù)據(jù)收集的初始目的對數(shù)據(jù)加以充分地利用[11]，以此讓企業(yè)充分認識到個人信息數(shù)據(jù)的價值，提高對數(shù)據(jù)安全保障的重視程度，發(fā)揮企業(yè)的監(jiān)管作用，推動跨境電商平臺自治模式升級，讓網(wǎng)絡(luò)用戶個人信息得到切實的保障。

2.堅持國內(nèi)立法修正與國際規(guī)則借鑒相協(xié)調(diào)的理念

在跨境電商網(wǎng)絡(luò)用戶個人信息保護的規(guī)則架構(gòu)中，既要植根于中國本土的政治、經(jīng)濟、法律土壤，又要順應(yīng)全球信息數(shù)據(jù)跨境流動治理的趨勢，借鑒國際上先進的信息數(shù)據(jù)治理經(jīng)驗。首先，要對我國傳統(tǒng)的知情同意規(guī)則進行補足和完善。知情同意是在“同意”的意思表示下允許他人對自身信息加以使用，是主體間交往時設(shè)定法律關(guān)系的基礎(chǔ)與前提行為，然而在數(shù)據(jù)和算法的沖擊下，卻有著逐漸失靈的征兆，需要適時對知情同意規(guī)則進行修正：所有個人信息的收集與處理未來均需得到同意，但同意應(yīng)當具體類型化為明示同意、默示同意、有效同意[12]，美國、歐盟所提出的場景和風(fēng)險理念就是該種修正方式的動態(tài)回應(yīng)，其認為數(shù)據(jù)開發(fā)分析和個人信息保護是一種利益平衡的關(guān)系，通過擴大權(quán)利人同意的事項范圍，加重機構(gòu)處理和收集數(shù)據(jù)的責(zé)任，來協(xié)調(diào)個人信息保護和利用的關(guān)系。其次，在借鑒國際先進立法經(jīng)驗的基礎(chǔ)上，構(gòu)筑我國本土網(wǎng)絡(luò)用戶個人信息保護規(guī)則體系。國際層面跨境電商中個人信息保護規(guī)則多集中于雙邊條約和多邊條約，雙邊條約更符合締約國雙方的利益需求，權(quán)利義務(wù)明確，監(jiān)督執(zhí)行機制嚴格，以2016年的《歐美隱私盾》為典型代表；而多邊條約是在諸多締約國個人信息保護水平參差不齊背景下，各方求同存異的考量，易于推動全球貿(mào)易合作。我國可以兼采上述條約中的先進理念，構(gòu)造出“原則+減損”的模式，以保護為原則，以限制為例外——既保護信息數(shù)據(jù)自由流動又保護個人信息安全，既限制信息數(shù)據(jù)的跨境轉(zhuǎn)移又限制個人信息保障，在進行安全評估的前提下，區(qū)分個人信息數(shù)據(jù)性質(zhì)，綜合引入數(shù)據(jù)主體同意、適當性評估、數(shù)據(jù)控制者確保模式[13]，在中國倡導(dǎo)構(gòu)建人類命運共同體的背景下，推動全球信息數(shù)據(jù)安全保護體系變革，助力我國跨境電子商務(wù)產(chǎn)業(yè)的持續(xù)性發(fā)展。

(二)個人信息保護的機制配套

1.提高個人信息保護標準

標準一般是由專業(yè)的標準制定機構(gòu)或行業(yè)的專業(yè)性組織制定，用于對行業(yè)的技術(shù)、管理、操作、流程等方面進行指導(dǎo)，個人信息保護標準也不例外，個人信息保護標準依據(jù)標準化對象可以劃分為技術(shù)標準、管理標準、工作標準和服務(wù)標準，但由于技術(shù)標準和管理標準的效果更強，作用更為明顯，所以主要從這兩個維度入手進行分析。

首先，在技術(shù)標準上，可將個人信息保護分為3個要素：分享(4種屬性)、二次利用(3種屬性)和持有數(shù)據(jù)(3種屬性)，其中每個要素都具備若干屬性，如二次利用要素有相同情況二次利用、用戶定位二次利用、營銷目的二次利用等三種屬性[14]。從上述每個要素中抽取一個屬性，進行排列組合，可以得到36種從寬松到嚴格的個人信息保護標準(圖2)，用戶可以依據(jù)自身情況對每種屬性進行授權(quán)，從細微的技術(shù)劃分標準入手，充分保障用戶的個人信息安全。

圖2 個人信息保護技術(shù)標準運行圖

其次，在管理標準上，采用個人信息影響評估模式。隨著跨境電商平臺日益增多的個人信息侵權(quán)行為，用戶對個人信息安全保障的需求越來越高，而個人信息影響評估模式則可以實現(xiàn)企業(yè)和消費者間的利益平衡，該種模式下，既要考慮企業(yè)利益，也要考慮消費者需求；評估范圍不僅包括個人行為信息、人際溝通信息也包括個人數(shù)據(jù)信息；評估過程既包括信息交換、也包括方案適應(yīng)性研究，通過運用事前預(yù)測的方式，讓跨境電商平臺利用個人信息評估模式預(yù)測出可能出現(xiàn)的個人信息侵權(quán)風(fēng)險，給數(shù)據(jù)主體提供化解這些風(fēng)險的措施，為網(wǎng)絡(luò)用戶個人信息的保護添設(shè)一道“防火墻”。

2.厘清法律責(zé)任屬性

顯然，跨境電子商務(wù)中網(wǎng)絡(luò)用戶個人信息的保護實則涉及到了侵權(quán)和合同兩個領(lǐng)域，我國對法律規(guī)則的適用堅持侵權(quán)行為和違約行為的絕對區(qū)分主義。傳統(tǒng)違約和侵權(quán)的界分，依據(jù)違反義務(wù)的來源是約定義務(wù)還是法定義務(wù)進行辨析，違反約定義務(wù)構(gòu)成合同違約，違法法定義務(wù)構(gòu)成侵權(quán)[15]。但隨著合同法制度的擴張，合同義務(wù)并非全是約定義務(wù)，往往伴隨著若干默示義務(wù)或法定義務(wù)，當合同約定的義務(wù)涉及人身財產(chǎn)安全時，一方當事人對另一方當事人就具備合理的安全注意義務(wù)，此種場合下，安全注意義務(wù)就同時具有約定性和法定性，此時對安全注意義務(wù)的違反既構(gòu)成違約也構(gòu)成侵權(quán)，以約定義務(wù)和法定義務(wù)來辨別責(zé)任的屬性，邏輯上難以自洽且不夠周延?？缇畴娚讨芯W(wǎng)絡(luò)用戶個人信息的安全保障義務(wù)就屬于此類情形，用戶個人信息數(shù)據(jù)安全受到侵害時，既違反協(xié)議內(nèi)容構(gòu)成違約，又侵害人格權(quán)構(gòu)成侵權(quán)。在這種情況下，可以通過吸納利益載體標準對傳統(tǒng)劃分方法進行補充。利益載體包括履行利益(期待利益)和維持利益(固有利益)，履行利益是合同履行完畢時當事人所能獲取的利益，被認為是違約責(zé)任所特有，故該種利益之損害對應(yīng)違約；維持利益是現(xiàn)狀利益，在當事人發(fā)生損害前的固有利益，主要體現(xiàn)為人身和財產(chǎn)的完整性，對此利益之損害構(gòu)成侵權(quán)[16]?；貧w到跨境電商領(lǐng)域，在業(yè)務(wù)開展過程中對個人信息數(shù)據(jù)的不合理的使用或泄漏，是對用戶現(xiàn)狀利益(固有利益)即個人信息安全的直接侵害，用戶的人身權(quán)受損，歸入到侵權(quán)行為的范疇之下更為妥當。概言之，以義務(wù)來源劃分為主，輔之利益載體標準，跨境電商中網(wǎng)絡(luò)用戶個人信息受到侵害的糾紛宜納入侵權(quán)糾紛領(lǐng)域，在今后的司法實踐中以侵權(quán)事由進行審理案件，要求侵權(quán)人承擔侵權(quán)責(zé)任，既符合理論的發(fā)展趨勢也可以更加科學(xué)地保障用戶的個人信息安全。

3.補足強制性規(guī)則

實踐證明跨境電商產(chǎn)業(yè)是國家經(jīng)濟建設(shè)的強勁動力，對整個世界經(jīng)濟發(fā)展都有著巨大的價值，但強制性規(guī)則缺損難以在網(wǎng)絡(luò)空間對個人信息保護直接適用，跨境電商領(lǐng)域“法不配位”的現(xiàn)象日趨嚴峻。首先，要對國家審查制度進行修補。當前我國承擔個人信息數(shù)據(jù)跨境遷移監(jiān)管的機構(gòu)是國家網(wǎng)信辦，該部門在監(jiān)督管理時采取單向?qū)徍酥?，即只在?shù)據(jù)對外流轉(zhuǎn)時進行審核[17]。眾所周知，對國家安全和公共利益的侵害主要來源于境外的監(jiān)控或間諜行為，如果對境外數(shù)據(jù)流轉(zhuǎn)至國內(nèi)不予監(jiān)管，放任境外數(shù)據(jù)自由流動，倘若被國外不法分子或間諜組織肆意利用，不僅在一定程度上阻礙跨境電商產(chǎn)業(yè)發(fā)展，擠壓我國網(wǎng)絡(luò)用戶個人信息安全空間，嚴重的甚至?xí)茐纳鐣€(wěn)定危害公共利益和國家安全，因此需要及時地將境外數(shù)據(jù)流轉(zhuǎn)至國內(nèi)的行為納入審查范疇，以填補法律上的滯后和空白。其次，要完善本地存儲制度。所謂本地存儲制度是要求本國網(wǎng)絡(luò)用戶在互聯(lián)網(wǎng)上產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)均須存儲在本國境內(nèi)的強制性規(guī)定[18]，我國《網(wǎng)絡(luò)安全法》第37條將本地存儲制度限定在關(guān)鍵信息之上，是否需要像俄羅斯2014年《澄清電信和電信網(wǎng)絡(luò)中的個人數(shù)據(jù)處理程序的修正案》中強制跨境電商將所有互聯(lián)網(wǎng)上形成的網(wǎng)絡(luò)數(shù)據(jù)都儲存在境內(nèi)？顯然，基于我國戰(zhàn)略發(fā)展的通盤考量，采取寬松的政策更加契合我國利益，通過對個人信息數(shù)據(jù)本土化的限定來加強貿(mào)易自由化的推進，在兼顧個人信息保護的同時提升我國跨境電商產(chǎn)業(yè)的發(fā)展。當然，不將所有個人信息數(shù)據(jù)納入本地存儲并不意味著不監(jiān)管，可以適當?shù)臄U大關(guān)鍵信息的認定范圍，以此在網(wǎng)絡(luò)用戶個人信息保護和跨境電商產(chǎn)業(yè)發(fā)展之間達到一種微妙的平衡，我國《重要數(shù)據(jù)識別指南》尚未出臺，在該法律規(guī)范的制定中，科學(xué)地擴大重要數(shù)據(jù)的范疇，完全可以對本地儲存制度進行合理的修正。最后，我國是否有必要引進公共秩序保留？公共秩序保留與強制性規(guī)則極其相近，但其適用范圍更廣，在適用方式上也存在一些差異，部分國家對強制性規(guī)則和公共秩序保留采取同時適用的態(tài)度[19]，如德國。公共制度保留與社會道德層面的準則密切相關(guān)，而這些準則往往都存在模糊地帶，我國地大物博、幅員遼闊，道德準則難以在短時間取得共識，不具備適用的法律土壤。同時若對公共秩序保留加以適用，相較于強制性規(guī)則，法院擁有更大的自由裁量權(quán)，也與我國的立法趨勢相沖突，概言之，針對公共秩序保留，我國應(yīng)采取審慎的態(tài)度，暫緩引入。

4.健全個人信息安全保護體系

隨著我國跨境電商業(yè)務(wù)的指數(shù)式發(fā)展，信息數(shù)據(jù)安全風(fēng)險也隨之提高，大型個人信息泄露事件頻發(fā)，據(jù)國際數(shù)據(jù)公司(IDC)預(yù)測，未來全球四分之一的人口都將受到信息數(shù)據(jù)泄漏的威脅，但無論是國內(nèi)法律還是國際規(guī)則對跨境電商中網(wǎng)絡(luò)用戶個人信息的保護尚缺乏應(yīng)對經(jīng)驗，中國一直倡導(dǎo)網(wǎng)絡(luò)命運共同體理念，完善的個人信息安全保護體系(圖3)不僅可以為我國跨境電商產(chǎn)業(yè)的健康發(fā)展保駕護航，還可以為全球信息數(shù)據(jù)安全治理貢獻中國智慧和方案。個人信息安全保護體系在完善的過程中，需要充分發(fā)揮各方的力量，行政機關(guān)、企業(yè)和個人共同參與個人信息保護工作，協(xié)同推動治理進程。第一，行政機關(guān)行應(yīng)該著力于頂層設(shè)計，加強個人信息數(shù)據(jù)安全執(zhí)法。首先，在個人信息數(shù)據(jù)本地化儲存時，要對儲存方式進行細化，按照數(shù)據(jù)留存、特有數(shù)據(jù)留存、自有服務(wù)器留存等方式進行存儲，井然有序，以降低工作失誤信息數(shù)據(jù)泄漏的可能性。其次，增強復(fù)原力(2)復(fù)原力是指政府機構(gòu)抵御網(wǎng)絡(luò)攻擊的能力，即能夠抵御破壞并動用各種資源以最大程度減少其影響的能力。，在日常管理中，以最小化訪問權(quán)限對信息數(shù)據(jù)進行加密和匿名化處理，持續(xù)掃描是否存在漏洞，當發(fā)生入侵事件時，及時調(diào)用各種資源最大程度地減小個人信息數(shù)據(jù)泄漏帶來的危害。第二，企業(yè)應(yīng)完善內(nèi)部個人信息數(shù)據(jù)安全合規(guī)管理機制。首先，采取內(nèi)部信息數(shù)據(jù)許可使用方案，明確許可使用的范圍和方式，并讓相關(guān)授權(quán)員工在文本上進行簽署，同時利用大數(shù)據(jù)和成熟的分析技術(shù)檢測行為異常的員工，盡可能減少接觸個人信息數(shù)據(jù)的人員，降低信息數(shù)據(jù)泄漏風(fēng)險。其次，建立安全事件應(yīng)對機制，對事件進行預(yù)先的評估和報告，阻斷導(dǎo)致事件的源頭，一旦發(fā)生個人信息數(shù)據(jù)泄漏，采用應(yīng)急處理方案，將損失降低到最低程度。第三，個人加強信息數(shù)據(jù)安全保護意識。首先，在跨境電商平臺消費時，及時刪除個人通話記錄、網(wǎng)上購物記錄、網(wǎng)站瀏覽記錄等，切實做到防患于未然，不給不法分子留下通過大數(shù)據(jù)推斷出個人隱私信息的機會。其次，當個人信息遭遇泄漏時，要求跨境電商平臺刪除相關(guān)信息或采取必要措施制止，也可以向工商部門、互聯(lián)網(wǎng)管理部門、公安部門等相關(guān)機構(gòu)進行投訴舉報[20]。

圖3 個人信息安全保護體系運行圖

四、結(jié) 語

跨境電子商務(wù)中網(wǎng)絡(luò)用戶個人信息的保護是一個極其復(fù)雜的問題，涉及到我國的法律、政策和行業(yè)規(guī)范等多個領(lǐng)域，作為跨境電商這種新型商業(yè)模式下引發(fā)的侵權(quán)糾紛，從覆蓋程度和法律后果來看，均有別于傳統(tǒng)的個人信息侵權(quán)案件。但截至目前，跨境電商中網(wǎng)絡(luò)用戶個人信息保護尚未形成一套統(tǒng)一的規(guī)則體系，傳統(tǒng)的個人信息保護規(guī)則難以應(yīng)對當下情形，亟須完善。在網(wǎng)絡(luò)用戶個人信息保護體系的具體構(gòu)造過程中，既要堅持理念的指導(dǎo)又需要有具體的機制作為配套，特別是在法律責(zé)任辨明和個人信息安全保護體系健全時，要將現(xiàn)代法學(xué)理論融入傳統(tǒng)學(xué)說中，對既有規(guī)則進行一定的修正和完善，并充分尊重企業(yè)自治性，發(fā)揮行政機關(guān)、企業(yè)和個人數(shù)據(jù)安全協(xié)同治理的效能，唯有如此，才可以降低個人信息泄漏的風(fēng)險，在網(wǎng)絡(luò)用戶個人信息保護和跨境電商產(chǎn)業(yè)發(fā)展之間尋求一個平衡點，為跨境電商中網(wǎng)絡(luò)用戶個人信息的保護提供有現(xiàn)實意義和參考價值的中國方案。此外，未來法律修訂時，要充分借鑒歐盟《通用數(shù)據(jù)保護條例》和美國《消費者隱私權(quán)保護法案》的立法經(jīng)驗，結(jié)合我國的實際情況，對公共秩序保留和場景風(fēng)險理論取其精華去其糟粕，制定出一套符合中國本土化路徑的跨境電商網(wǎng)絡(luò)用戶個人信息保護制度。