趙 駿 向 麗
(浙江大學 光華法學院, 浙江 杭州 310008)
為了解鎖經(jīng)濟增長新來源,提供科學新視角和政府問責新機制,全球經(jīng)濟正經(jīng)歷著信息爆炸[1]5-6?;ヂ?lián)網(wǎng)改變了貿(mào)易方式,信息傳輸成為企業(yè)經(jīng)濟發(fā)展和日常運作的重要部分。信息通信技術(shù)是在全球經(jīng)濟中獲取生產(chǎn)力、創(chuàng)新力和增長力的關(guān)鍵[2]2,5。使用個人信息[注]有學者使用“個人數(shù)據(jù)”“個人資料”“數(shù)據(jù)隱私”,而學界通常使用“個人信息”,如張新寶《從隱私到個人信息:利益再衡量的理論與制度安排》,載《中國法學》2015年第3期,第38-59頁。本文對此不做區(qū)分,據(jù)文章需要交替使用各用語。能為企業(yè)、個人、政府和科研機構(gòu)創(chuàng)造經(jīng)濟和社會價值,個人信息已經(jīng)成為互聯(lián)網(wǎng)運作中的“新石油”、數(shù)字時代的“新貨幣”[2]10。而個人信息的跨境流動能夠激發(fā)創(chuàng)新力、提升生產(chǎn)力和加速經(jīng)濟增長[3]96,對國際貿(mào)易具有重要價值。根據(jù)世界經(jīng)濟論壇《全球信息技術(shù)報告》,2012年美國61%(3 837億美元)的服務(wù)貿(mào)易出口和53%的服務(wù)貿(mào)易進口是通過數(shù)字化方式傳輸?shù)?。?shù)字貿(mào)易使美國GDP在2011年從3.4%增長至4.8%,創(chuàng)造了相當于240萬個工作崗位。2014年,數(shù)據(jù)流動在全球GDP總值中達到2.8萬億美元[4]39-40。而作為國際貿(mào)易的一種新形態(tài),跨境電子商務(wù)具有無須法律實體存在、減少進口關(guān)稅和產(chǎn)品符合性檢驗、降低金融風險等優(yōu)勢[5]11,也會促進全球經(jīng)濟貿(mào)易更深層次的變革[6]88。個人信息的跨境流動對跨境電子商務(wù)發(fā)展也具有顯著意義,它為中小企業(yè)參與全球經(jīng)濟和融入全球價值鏈創(chuàng)造了新的機遇,增加了數(shù)字服務(wù)出口的機會與價值,而且全球12%的貨物貿(mào)易都是經(jīng)由數(shù)字平臺完成的[7]5-6。例如,歐洲主要的全球電子商務(wù)平臺Zalando通過數(shù)據(jù)的跨國界維護和傳輸以跟蹤客戶訂單、供應(yīng)產(chǎn)品,其位于法國、德國、意大利和波蘭的可聯(lián)網(wǎng)倉庫為15個歐盟國家的2 000萬客戶提供了商品和服務(wù)[8]1。
盡管如此,規(guī)制個人信息的跨境流動也是普遍的。規(guī)制行為的重要考量之一在于濫用個人信息將威脅到隱私保護[9]11-12。個人信息跨境流動將威脅到公共利益、國家利益、個人隱私等[注]參見Burri M.,″The Governance of Data and Data Flows in Trade Agreements: The Pitfalls of Legal Adaption,″ UC Davis Law Review, Vol.51, No.1(2017), pp.67-69。規(guī)制的其他考量還在于國家安全、政治限制、道德限制、知識產(chǎn)權(quán)保護、商業(yè)限制,見Meltzer J.P.,″The Internet, Cross-border Data Flows and International Trade,″ Asia & the Pacific Policy Studies, Vol.2, No.1(2014), pp.93-96。,本文主要討論其對隱私權(quán)的影響(后文所提到個人信息跨境流動的規(guī)制也僅指出于隱私權(quán)保護的那部分)。2018年Facebook數(shù)據(jù)泄露事件[注]Rosenberg M., Confessore N. & Cadwalladr C.,″How Trump Consultants Exploited the Facebook Data of Millions,″ 2018-03-17, https://www.nytimes.com/2018/03/17/us/politics/cambridge-analytica-trump-campaign.html, 2019-01-31.再次引發(fā)了人們對信息安全與個人隱私的擔憂。個人信息的開拓性和創(chuàng)新性使用在帶來更大的經(jīng)濟和社會效益的同時也增加了隱私威脅[注]OECD,″Recommendation of the Council Concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data,″ 2019-01-29, https://www.oecd.org/internet/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm#recommendation, 2019-01-31.,面臨著科技飛速發(fā)展帶來的嚴峻考驗[10]284-285。個人信息保護在司法實踐上呈現(xiàn)出以“歐陸逐步發(fā)展個人信息權(quán)”和“美國隱私權(quán)”為代表的兩種模式[11]119。我國學者也有主張選擇個人信息權(quán)保護路徑的。因為個人信息權(quán)和隱私權(quán)在權(quán)利屬性的界分、權(quán)利客體的界分、權(quán)利內(nèi)容的界分以及保護方式上具有差異[12]66-68,隱私權(quán)路徑無法全面保護個人信息商業(yè)化利用產(chǎn)生的財產(chǎn)利益[13]43。而且,出于個人信息的獨立性與支配性,個人信息權(quán)需被視為一種具體人格權(quán)[14]74。但也有學者認為,隱私權(quán)包括個人信息權(quán)[15]208-209,是個人享有維護個人生活安寧、排除他人非法侵擾的權(quán)利[16]487;隱私權(quán)也是個人對私人信息、私人生活和私人領(lǐng)域進行支配和控制的權(quán)利[17]285。對隱私進行解釋與重構(gòu),既能夠在理論上調(diào)和成文法規(guī)范,又能維護法之穩(wěn)定性。而且,個人信息權(quán)的討論雖然熱烈,但其如何自洽于既有法律體系則尚未明晰,故本文仍選擇從隱私權(quán)保護出發(fā)。
總之,規(guī)制數(shù)據(jù)跨境流動具有相當?shù)谋匾?,個人隱私保護與信息自由流動間的平衡之于人權(quán)保護與國際貿(mào)易發(fā)展都將是不可忽視的命題[9]6-9[22]477-478。
分析個人信息跨境流動,對信息的定義是邏輯起點。杜伊認為信息應(yīng)當具備四個要素:信息是可分的,信息必須包含一定的內(nèi)容,信息應(yīng)當被認為是一個過程,信息可理解為一種知識狀態(tài)或是對知識內(nèi)容的占有,以衡量信息交流的結(jié)果[注]Druey J. N., Information als Gegenstand des Rechts, Zurich: Baden-Baden, 1996。轉(zhuǎn)引自謝遠揚《信息論視角下個人信息的價值——兼對隱私權(quán)保護模式的檢討》,載《清華法學》2015年第3期,第98頁。。那么,個人信息就是與私人相關(guān)的信息。在具體定義上有不同方式:概括列舉混合型[注]參見我國臺灣地區(qū)“個人資料保護法”第2條。、概括型[注]參見我國香港地區(qū)個人資料(私隱)條例關(guān)于“個人資料”的定義。、識別型[注]參見歐盟《一般數(shù)據(jù)保護條例》,第4條。。識別型是目前立法采用較多的方式,在此定義下,個人信息是能夠直接或間接識別自然人的信息。可識別性是區(qū)分個人信息與非個人信息的關(guān)鍵標準,凡能夠單獨或結(jié)合識別自然人的信息都是個人信息,否則為非個人信息[23]107。那么何為可識別性?歐盟是出于“合理性考量”,認為如果一項識別需要付出不合理的時間、努力或資源,那么它就不具有可識別性[24]3-4。加拿大國內(nèi)判例進一步明晰,合理的識別是與既有資源結(jié)合[注]Gordon M., The Minister of Health(Canada), 2008 FC 258, para. 32.。美國對于個人信息定義,除了采取從信息到個人的可識別性路徑,還納入了從信息到個人的關(guān)聯(lián)性路徑[25]72。最后,至于“個人信息跨境流動”,按照經(jīng)濟與合作發(fā)展組織《隱私保護和個人數(shù)據(jù)跨境流動指南》即指“個人信息跨越國境的移動”。
跨境電商建設(shè)需要國際法與國內(nèi)法雙重視野,其全球性、跨國性的特征要求國際、國內(nèi)規(guī)則的協(xié)調(diào)統(tǒng)一[6]。國際法治與國內(nèi)法治在法治的理念、價值和核心要素上是一致的,但在形態(tài)與模式上存在差異[26]135-138,全球治理下此二層級法治相互貫通、相互影響,全球治理所依賴的法治需要國際與國內(nèi)法治持續(xù)、廣泛地互動[27]82-83。作為跨境電商建設(shè)的重要一環(huán),個人信息跨境流動規(guī)制同樣需要植根于國際與國內(nèi)的雙重法治土壤。在此過程中,國際規(guī)則旨在關(guān)注不同國家的共同需求,而國內(nèi)規(guī)則更關(guān)注整個國家在經(jīng)濟、政治、社會、文化等多個領(lǐng)域的需求,立足于國家個性[28]31-32。規(guī)則間互動互融,對全球數(shù)據(jù)流動共享共融、和合共生具有重要的現(xiàn)實意義[29]44。
個人信息的跨境流動有利于跨境電商發(fā)展,但一些國家和地區(qū)會基于隱私威脅而限制數(shù)據(jù)流動。對此,制定或通過恰當?shù)姆刹⒋_保其得以執(zhí)行有助于促進發(fā)展[30]8-9。自20世紀70年代起,國際社會開始探索數(shù)據(jù)保護規(guī)則。這些規(guī)則平衡著數(shù)據(jù)流動各方利益訴求,且以一種確定的方式記錄下來,不斷提升著數(shù)據(jù)保護水平,也促進了技術(shù)的發(fā)展[31]142-144。但不能否認的是,盡管數(shù)據(jù)處理的商業(yè)和技術(shù)環(huán)境發(fā)生了根本變化,但利益博弈使得規(guī)則間各自為營,時至今日,一個廣為接受的全球范圍數(shù)據(jù)跨境流動協(xié)調(diào)規(guī)則依然不可多得[9]6。至于國內(nèi)層面,截至2016年4月,世界上108個國家實施了信息保護法,但立法方式有所區(qū)別,大約60個國家沒有信息保護法[注]UNCTAD, Data Protection Regulation and International Data Flows: Implications for Trade and Development, New York: United Nations Publications, 2016, p.42.。此外,很多法律規(guī)則趕不上現(xiàn)實發(fā)展的節(jié)奏??傊?,能兼顧個人信息跨境流動與其他利益平衡的良法能促進國際經(jīng)濟的發(fā)展,而良法的缺位則阻遏著該領(lǐng)域全球治理的實現(xiàn)。
應(yīng)對全球問題,制定國際規(guī)范,建立可預(yù)期的國際制度,進而形成公正、有效的全球化模式是可行路徑[27]81。對于個人信息跨境流動下的隱私權(quán)保護,我們首先需要明確已有制度現(xiàn)狀,厘清該領(lǐng)域的典型規(guī)則,從而考慮現(xiàn)有制度中的不足,再思考如何進行制度的供給或改革。
雖然我們強調(diào)人權(quán)保護與經(jīng)濟發(fā)展間的平衡互促,然而在現(xiàn)有主要制度中,歐盟模式傾向于人權(quán)保護,即在滿足一定條件時,數(shù)據(jù)可以流動;美國模式傾向于數(shù)據(jù)自由流動,在特殊情況下允許減損。
當混凝土路面局部出現(xiàn)斷板、角隅斷裂、輕微錯臺等病害,整體路基完好,根據(jù)舊路檢測評價路基滿足利用要求是,為避免不均勻沉降,可采用挖除舊路混凝土面層結(jié)構(gòu)直接加鋪路面結(jié)構(gòu)方案處理,可以將混凝土面板打碎后碾壓,將舊路整體作為路床使用。
歐盟對個人信息保護的探索處在世界前列,其數(shù)據(jù)流動規(guī)則植根于對人的權(quán)利與尊嚴的維護,自1995年《個人數(shù)據(jù)保護指令》(Directive 95/46/EC)后,歐盟逐漸發(fā)展出一套有別于美國的數(shù)據(jù)保護規(guī)則,奠定了歐洲數(shù)據(jù)規(guī)則雛形[32]1968。該指令對數(shù)據(jù)跨境流動規(guī)定,只有在第三國滿足與該指令相符合的充分保護條件時,數(shù)據(jù)方可流動至該國。如此措辭不難發(fā)現(xiàn),歐盟將對人權(quán)的保護置于數(shù)據(jù)自由流動之上,并通過充分保護人權(quán)增強規(guī)則影響力。但該指令制定時間久遠,需要轉(zhuǎn)化為國內(nèi)法施行,易造成歐盟成員國國內(nèi)法異化且效力受損,為了適應(yīng)時代發(fā)展,歐洲議會和歐盟理事會制定了《一般數(shù)據(jù)保護條例》(GDPR)。條例第五章規(guī)定了個人數(shù)據(jù)向第三國或國際組織轉(zhuǎn)移的規(guī)則,在一般原則上承襲了指令的規(guī)定,轉(zhuǎn)移的前提是滿足充分保護條件,并明晰充分保護條件的判斷標準。在無法評估充分保護條件時,控制者或處理者需要提供適當保護措施,且在保證數(shù)據(jù)主體權(quán)利以及具備有效救濟措施時方可轉(zhuǎn)移。另外,條例賦予數(shù)據(jù)主體充分權(quán)利,使其具有域外適用效力以擴大管轄范圍,設(shè)立獨立監(jiān)管機關(guān),還規(guī)定了嚴格的處罰條款等以實現(xiàn)個人對其數(shù)據(jù)的自主控制。
從美國參與和主導(dǎo)的數(shù)據(jù)流動方面的規(guī)則看,美國傾向于數(shù)據(jù)自由流動以激發(fā)企業(yè)創(chuàng)新力,落腳點在于經(jīng)濟發(fā)展。經(jīng)濟與合作發(fā)展組織《關(guān)于隱私保護和個人跨境數(shù)據(jù)轉(zhuǎn)移的指南》(OECD Guidelines)規(guī)定了國際上數(shù)據(jù)自由流動,不得施加不合理限制。亞太經(jīng)濟合作組織《跨境隱私保護規(guī)則體系》(CBPRS)與《亞太經(jīng)合組織隱私保護框架》(《APEC隱私框架》)保持一致?!禔PEC隱私框架》對個人信息跨境流動規(guī)定,由私人信息控制者采取合理措施確保接收者能夠提供與該框架規(guī)則相符合的措施,相較于歐盟的充分保護條件,其對數(shù)據(jù)跨境流動的門檻更低。CBPRS具有強烈的美國色彩,倡導(dǎo)信息自由流動,鼓勵促進電子商務(wù)和跨境貿(mào)易,是一個“自愿的,以問責為基礎(chǔ)的”體系,主要是通過企業(yè)自律機制發(fā)揮效用,引入隱私執(zhí)法機構(gòu)和問責代理機制。
總之,歐盟個人數(shù)據(jù)保護立足于人權(quán)保護,通過以國家為主導(dǎo)的自上而下的路徑實施規(guī)則;美國傾向于數(shù)字經(jīng)濟發(fā)展,依賴企業(yè)自律施行規(guī)則[33]12。筆者認為二者不可偏廢,且相輔相成。數(shù)據(jù)的自由流動對經(jīng)濟發(fā)展具有重要價值,而經(jīng)濟基礎(chǔ)的夯實對人權(quán)保護制度的完善也有積極作用。電子商務(wù)發(fā)展中如能較好地保護人權(quán),將激勵人們接納新型消費方式,也認可信息流動的意義,從而促進經(jīng)濟發(fā)展。故而國際制度的構(gòu)建應(yīng)在二者間尋求動態(tài)平衡。2018年10月10日開放簽署的《有關(guān)個人數(shù)據(jù)自動化處理之個人保護公約》更新版本作為目前唯一具有法律拘束力的國際性公約就對此做出了嘗試[注]Council of Europe, ″Protocol Amending the Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data,″ https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/223, 2019-01-31.。
現(xiàn)有規(guī)則中,聯(lián)合國大會通過的《數(shù)字時代的隱私權(quán)》、聯(lián)合國人權(quán)理事會第28/16號決議都強調(diào)對數(shù)字時代的個人信息提供隱私權(quán)保護,OECD Guidelines、CBPRS、數(shù)據(jù)保護與隱私專員國際大會發(fā)布的《蒙特勒宣言:全球化世界中個人數(shù)據(jù)和隱私保護——尊重多樣性的一致權(quán)利》以及聯(lián)合國國際貿(mào)易法委員會通過的《電子商務(wù)示范法》等,雖然具有廣泛影響力,但究其根本都是不具有拘束力的倡議性、原則性的“軟法”。其欠缺明確的責任規(guī)定和程序設(shè)計,任意性解釋空間大,認可程度上具有隨意性,法律發(fā)展具有不規(guī)則性等,如果過度依賴軟法將難以實現(xiàn)法治[34]45-46,希望由成員國國內(nèi)法轉(zhuǎn)化適用也易造成數(shù)據(jù)保護規(guī)則的碎片化。而像GDPR這樣的“硬法”卻因過于嚴苛而難以擴大其全球影響力。GDPR生效后,美國商務(wù)部部長威爾伯·羅斯就對其持否定態(tài)度,表示GDPR實施會擾亂歐美合作并制造貿(mào)易壁壘[注]Wilbur Ross,″EU Data Privacy Laws Are Likely to Create Barriers to Trade,″ 2018-05-30, https://www.ft.com/content/9d261f44-6255-11e8-bdd1-cc0534df682c, 2019-01-31.。GDPR具有域外效力,但如何域外執(zhí)行以及能否得以執(zhí)行仍不得而知。而且,“硬法”很大程度是對國家主權(quán)的削弱,這實非國家所愿,就算歐盟成員國也并非全為GDPR的施行做好準備并樂見其成[注]I-SCOOP,″Why EU Member States and National DPAs Will Not Be Fully Ready for GDPR in Time,″ 2018-02-16, https://www.i-scoop.eu/european-member-states-dpas-ready-gdpr-time/, 2019-01-31.。成員國內(nèi)數(shù)據(jù)保護水平存在差異,嚴厲的規(guī)則可能導(dǎo)致企業(yè)創(chuàng)新力下降、合規(guī)成本增加,從而挫傷國際貿(mào)易的發(fā)展。因此,未來在制度構(gòu)建上需要加強軟硬法結(jié)合治理,走向一種混合法治的新模式[35]108。至于如何混合治理,這取決于參與者的力量博弈、差異分配程度、政權(quán)的組成與性質(zhì)以及不同的執(zhí)行方式[36]799。
保護人權(quán)與基本自由是聯(lián)合國的宗旨之一,聯(lián)合國對隱私權(quán)保護長期關(guān)切?!豆駲?quán)利和政治權(quán)利國際公約》(ICCPR)明確了對隱私權(quán)的保護,且規(guī)定公約締約國尊重和保證其領(lǐng)土內(nèi)和受其管轄的一切個人享有本公約所承認的權(quán)利。那么締約國是否需要保護在其領(lǐng)土外個人的隱私權(quán)?這涉及ICCPR的域外適用問題。通說認為,當個人非位于締約國領(lǐng)土但處于締約國實際力量或有效控制下時,ICCPR即具有域外效力[37]621-625。故而,當個人信息傳送至他國,處于他國實際力量或有效控制下時,他國應(yīng)當給予與ICCPR規(guī)定一致的保護[38]359-365。但是,許多國家基于將生命權(quán)置于優(yōu)先地位及反恐等原因,并未對公民網(wǎng)絡(luò)隱私給予充分保護,而人權(quán)公約又缺乏強制執(zhí)行與懲罰的機制[39]676-677。因此,國家逐漸寄希望于貿(mào)易協(xié)定來解決問題,但現(xiàn)有貿(mào)易協(xié)定仍然存在問題,WTO協(xié)定和《全面與進步跨太平洋伙伴關(guān)系協(xié)定》(CPTPP)即如此。
WTO規(guī)則能否直接用以規(guī)制數(shù)據(jù)跨境流動也是廣受爭議的。有學者認為應(yīng)首先通過個案分析將貿(mào)易類型歸類,如能涵納于既有協(xié)定下,再進一步討論系屬該協(xié)定下的何種模式或部門,最后判斷是否違反協(xié)定內(nèi)容[40]42-44。但對網(wǎng)上交易和傳遞的數(shù)字化產(chǎn)品能否涵納于既有的WTO協(xié)定莫衷一是[41]19,此時就難以利用WTO規(guī)則對個人信息進行隱私權(quán)保護。此外,WTO協(xié)定旨在促進貿(mào)易自由化,對人權(quán)保護關(guān)注不足。將保護個人隱私視作例外情形的僅在《服務(wù)貿(mào)易總協(xié)定》中有所規(guī)定(第14條)。因此,利用既有規(guī)則應(yīng)對新問題不免捉襟見肘。對此,有學者提出,WTO可以采取數(shù)據(jù)區(qū)分方式建立規(guī)則[42]323-348;有學者建議,因個人、企業(yè)和政府在數(shù)據(jù)跨境流動中各有利益需求,從而發(fā)展出了以美國、歐盟、中國為代表的三種規(guī)制路徑,WTO需要從三者共性出發(fā)制定新規(guī)則[43]245-272。這些討論的共性都在于,如果要在世貿(mào)組織框架下解決問題,就更寄希望于新的多邊規(guī)則或《服務(wù)貿(mào)易協(xié)定》可以有所突破,抑或是WTO能夠從已有的治理經(jīng)驗中尋求路徑。至于CPTPP,其明確了電子商務(wù)發(fā)展過程中對個人信息的保護。在跨境傳輸信息中,既肯定締約方的監(jiān)管需求,也表明原則上允許個人信息的跨境傳輸,但在為了實現(xiàn)合法的公共政策目標以及在措施合法的情況下可以減損。CPTPP對數(shù)據(jù)流動的規(guī)制仍具有貿(mào)易協(xié)定的一般問題,如談判過程不透明、爭端解決程序影響數(shù)據(jù)保護規(guī)則以及條文寬泛、缺乏操作性[20]37。
這些規(guī)則對跨境電商發(fā)展中個人信息跨境流動的隱私權(quán)保護可以起到一定作用,但其存在的問題也表明,建構(gòu)一套適用于數(shù)字經(jīng)濟發(fā)展的個人信息跨境流動多邊規(guī)則仍然必要。
除了國際治理,全球治理“兩造”之另一主體即為國家治理?!皣抑卫硎侨蛑卫淼暮诵牟糠帧!盵27]80分析各國國內(nèi)規(guī)則可以了解各國規(guī)定及發(fā)展趨勢,為個人信息跨境流動規(guī)制提供借鑒。如今,數(shù)據(jù)跨境流動完全自由或是完全限制都無法實現(xiàn)發(fā)展,國家基于不同利益需求會采取不同立法模式,大致可以分為以下三種[注]此三種模式借鑒了張金平的劃分方式,但將其“第三國適當性評估模式”改為“適當性評估模式”,因為當個人數(shù)據(jù)轉(zhuǎn)移至國際組織或港澳臺地區(qū)時仍適用適當性評估;將“數(shù)據(jù)控制者擔保模式”改為“數(shù)據(jù)控制者確保模式”,因“擔?!币辉~財產(chǎn)法色彩較重,易產(chǎn)生歧義。參見張金平《跨境數(shù)據(jù)轉(zhuǎn)移的國際規(guī)制及中國法律的應(yīng)對——兼評我國〈網(wǎng)絡(luò)安全法〉上的跨境數(shù)據(jù)轉(zhuǎn)移限制規(guī)則》,載《政治與法律》2016年第12期,第140-144頁。:
據(jù)不完全統(tǒng)計,采取適當性評估模式的國家最多,包括很多歐盟成員國,也包括馬來西亞、馬達加斯加等國[注]DLA PIPER, ″Data Protection Laws of the World,″ 2018.。歐盟成員國采取此模式是因為其國內(nèi)法須與GDPR相符合,GDPR第45條第1款規(guī)定:“個人數(shù)據(jù)轉(zhuǎn)移至第三國或國際組織,僅于委員會決定該第三國、第三國國內(nèi)之領(lǐng)域或特定部門、國際組織確有充分程度之保護時,方得為之?!边@種評估需要考量的因素包括法治、對人權(quán)與基本自由的尊重、國內(nèi)相關(guān)立法、國際規(guī)則與判例、行政與司法救濟;執(zhí)行的充分、與監(jiān)管機關(guān)的合作;加入的與個人數(shù)據(jù)相關(guān)的國際協(xié)定等[注]參見《一般數(shù)據(jù)保護條例》,第45條第2款。。但值得注意的是,幾乎所有這些國家內(nèi),該模式都并非數(shù)據(jù)跨境轉(zhuǎn)移的唯一情形,它們或設(shè)置減損條款,或規(guī)定其他情形最終擴大數(shù)據(jù)轉(zhuǎn)移之可能。例如,馬來西亞《個人數(shù)據(jù)法案》中規(guī)定諸多不適用適當性評估模式的情形[注]馬來西亞《個人數(shù)據(jù)保護法案2010》,第128節(jié)。,其中也包括數(shù)據(jù)控制者確保模式和數(shù)據(jù)主體同意模式。
適當性評估模式主要為歐盟成員國所采取,這與歐洲數(shù)據(jù)保護規(guī)則探索已久不無關(guān)系,因而從立法技術(shù)、實際操作上看,該模式都更適合。它的優(yōu)勢在于,如果滿足條件就能促進數(shù)據(jù)廣泛流動,而對國家、地區(qū)和國際組織數(shù)據(jù)保護制度進行評估有利于法律的和諧,在評估保護是否充分時采取“白名單”有助于人權(quán)保護規(guī)則更加透明開放[20]14;其不足在于,進行評估程序復(fù)雜、耗時較長,方式選擇不當易異化規(guī)則,且因限制嚴格而阻礙貿(mào)易發(fā)展[44]134。
選擇數(shù)據(jù)控制者確保模式的國家有美國[注]美國國家立法中并沒有對個人信息跨境流動施以地域限制,但是大多數(shù)美國企業(yè)都被要求采取合理措施保護敏感個人信息的安全,一些州有相關(guān)立法。此外,美國主導(dǎo)CBPRS,整個規(guī)則體系具有美國色彩。美國2018年3月通過的“CLOUD法案”中也借鑒了該模式。、澳大利亞、加拿大、菲律賓、俄羅斯、新加坡等,大多是APEC成員。這些國家的立法也與《APEC隱私框架》規(guī)定相似,根據(jù)《APEC隱私框架》,個人信息跨境流動不受限制的一個前提是數(shù)據(jù)控制者采取合理措施確保接收者將采取與框架一致的數(shù)據(jù)保護措施。該模式選擇從企業(yè)切入擴大影響力,不可否認,其可以創(chuàng)新數(shù)據(jù)保護路徑,利于形成企業(yè)數(shù)據(jù)保護的最佳實踐。但對企業(yè)監(jiān)管困難,導(dǎo)致新生企業(yè)負擔過重[注]參見張金平《跨境數(shù)據(jù)轉(zhuǎn)移的國際規(guī)制及中國法律的應(yīng)對——兼評我國〈網(wǎng)絡(luò)安全法〉上的跨境數(shù)據(jù)轉(zhuǎn)移限制規(guī)則》,載《政治與法律》2016年第12期,第143-144頁。,企業(yè)固有的利益趨向性也使其難以平衡個人、企業(yè)、政府利益。不過,《APEC隱私框架》在數(shù)據(jù)跨境轉(zhuǎn)移規(guī)制上也納入了數(shù)據(jù)主體同意模式,而澳大利亞InformationPrivacyAct2014除了將同意作為例外情形,還規(guī)定了諸多例外[注]Information Privacy Act 2014(Australian Capital Territory), Principle 8.。
采用數(shù)據(jù)主體同意模式的代表國家就是中國。我國《網(wǎng)絡(luò)安全法》第42條規(guī)定:“網(wǎng)絡(luò)運營者不得泄露、篡改、毀損其收集的個人信息;未經(jīng)被收集者同意,不得向他人提供個人信息。”中國的電子商務(wù)發(fā)展世界領(lǐng)先,但數(shù)據(jù)保護規(guī)則仍處于探索階段。數(shù)據(jù)主體同意模式相較于前兩者更加簡便,將權(quán)利賦予個人,企業(yè)也減少了合規(guī)成本[20]。由于數(shù)據(jù)保護規(guī)則尚不成熟,選擇由數(shù)據(jù)主體來決定是否進行跨境轉(zhuǎn)移更符合發(fā)展中國家的需求。不過,實際操作僅就“同意”這一要件就產(chǎn)生諸多困擾。有學者認為它的理論根基不牢固,同意本身缺乏必要性,真實性也難以保障,不符合經(jīng)濟考量,并且大量例外規(guī)定實質(zhì)上削弱了同意基礎(chǔ)的效力[45]128-132。該模式也容易導(dǎo)致數(shù)據(jù)保護實踐的碎片化[20]14。此外,在有的國家數(shù)據(jù)主體同意并非個人信息跨境流動的唯一條件,例如,根據(jù)中國《網(wǎng)絡(luò)安全法》第37條,還需進行安全評估,但此處的評估與適當性評估模式中的評估不同,主要體現(xiàn)在中國的評估是對內(nèi),是對需要轉(zhuǎn)移的個人信息和重要數(shù)據(jù)進行評估;而歐盟成員國是對外,是對數(shù)據(jù)流入國的保護水平進行評估。而日本《個人信息保護法》規(guī)定,除了數(shù)據(jù)主體的同意外,如果接收者能夠持續(xù)采取與日本數(shù)據(jù)保護規(guī)定相符合的措施或者接收者所在國家對個人權(quán)利和利益的保護程度與日本同等,那么數(shù)據(jù)仍可跨境流動[注]參見《日本個人信息保護法》,第24條。。
三種國內(nèi)立法模式實則反映了歐盟成員國、美國、中國在數(shù)據(jù)治理上呈現(xiàn)的三種典型做法。從上述分析看,目前適當性評估模式采用最多,一方面源于歐盟的影響力,另一方面在于其數(shù)據(jù)保護規(guī)則的特性。三者相比較可以發(fā)現(xiàn),歐盟成員國的適當評估性模式是一種對外的事前防范制度,美國行業(yè)自律+問責制體現(xiàn)為一種事后途徑[44],而中國選擇數(shù)據(jù)主體同意+安全評估則是一種對內(nèi)的事前防范制度。中國的選擇是維護國益、公益的要求,也是大數(shù)據(jù)時代下實現(xiàn)國家數(shù)據(jù)安全的自然應(yīng)對[46]75。不同模式的存在反映出世界各國在數(shù)據(jù)保護上存在經(jīng)濟、技術(shù)、政治、道德等諸多因素的差異,也是國家處在國家安全、經(jīng)濟發(fā)展和個人隱私之間的“三難抉擇”??缇硵?shù)據(jù)流動的規(guī)制是一個復(fù)雜問題,同時涉及國內(nèi)政策和國際協(xié)調(diào),而政策措施具有天然差異且彼此競爭[47]179。但中國、美國、歐盟作為跨境電商發(fā)展的主力軍,為了在數(shù)字經(jīng)濟時代謀求長遠發(fā)展,更應(yīng)該去思索三者共性以尋求合作與共贏。現(xiàn)實中也是大多數(shù)國家和地區(qū)會以一種模式為主,兼采其他模式或設(shè)置其他例外情形以增強法律靈活性,促進數(shù)據(jù)跨境流動。因此,利益并非不可調(diào)和,合作也非無稽之談。
根據(jù)ChinaInternetWatch的數(shù)據(jù)顯示,到2020年中國將成為最大的跨境電子商務(wù)市場[注]CIW,″Cross-border Consumers to Account for over Half of Total Digital Consumers by 2020,″ 2016-07-06, https://www.chinainternetwatch.com/18194/embraces-cross-border-e-commerce/, 2019-01-31.。這意味著中國將更加廣泛地參與到個人信息跨境流動中,因此,研究如何在促進跨境電子商務(wù)發(fā)展的同時保護公民個人隱私具有重要意義。鑒于此,筆者提出如下建議。
目前,我國與規(guī)制個人信息跨境流動保護相關(guān)的規(guī)則雖然都在一定程度上明確和加強了個人信息保護[注]例如2016年頒行的《網(wǎng)絡(luò)安全法》第四章“網(wǎng)絡(luò)信息安全”對個人信息保護做出了規(guī)定;《民法總則》明確個人信息受法律保護;《消費者權(quán)益保護法》規(guī)定消費者享有個人信息依法得到保護的權(quán)利;《侵權(quán)責任法》明確對民事權(quán)益的保護;《刑法》及相關(guān)司法解釋規(guī)定了“侵犯公民個人信息罪”;《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》(2011修訂)強調(diào)用戶的通信自由與通信秘密;《信息安全技術(shù)公共及商用服務(wù)系統(tǒng)個人信息保護指南》為個人信息轉(zhuǎn)移提供了指導(dǎo)意見等。,但仍不健全,缺乏具體的執(zhí)行規(guī)則[48]115。有學者提議出臺專門的個人信息保護法,并探討了其立法需求、立法方向、立法模式的選擇[注]例如崔光耀《加快推進個人信息保護立法》,載《中國信息安全》2018年第3期,第5頁;佚名《全國人大常委會法工委:正研究個人信息保護立法》, 2018-02-26, http://www.chinanews.com/sh/2018/02-26/8454996.shtml, 2019-01-31;周漢華《探索激勵相容的個人數(shù)據(jù)治理之道——中國個人信息保護法的立法方向》,載《法學研究》2018年第2期,第3-23頁;蔣舸《個人信息保護法立法模式的選擇——以德國經(jīng)驗為視角》,載《法律科學(西北政法大學學報)》2011年第2期,第113-120頁。。對此,筆者認為,無論是既有法律規(guī)則的完善抑或新規(guī)則的架構(gòu),都可以借鑒“原則+減損”的模式:以保護為原則,保護信息的自由流動,同時也保護隱私權(quán);以限制為例外,限制信息跨境轉(zhuǎn)移和限制隱私權(quán)。在進行安全評估的前提下,區(qū)分數(shù)據(jù)性質(zhì),納入數(shù)據(jù)主體同意、適當性評估、數(shù)據(jù)控制者確保模式及其他條件。不同性質(zhì)的數(shù)據(jù)在跨境流動中的意義存在差別,其限制亦應(yīng)不同。數(shù)據(jù)分類限制除了考慮法益平衡,也要兼顧技術(shù)發(fā)展的現(xiàn)狀與未來。而對隱私權(quán)的限制不能是任意的和不合法的[注]參見聯(lián)合國人權(quán)高級專員辦事處《第16號一般性意見:第十七條(隱私權(quán))》,1988年,第2-4段。,國內(nèi)法需要對限制做出規(guī)定,且以保護國家安全或者預(yù)防混亂與犯罪等為目的[注]Klass and Others v. Germany, ECHR, Judgement, 1978, para.44.。限制還必須是為了保護合法目的而必不可少的,還需要符合相稱性原則[注]參見聯(lián)合國人權(quán)高級專員辦事處 《第27號一般性意見:第十二條(遷徙自由)》,1999年,第14段。。
雙邊條約[注]此部分的“雙邊條約”與后文“多邊條約”中的“條約”一詞均采廣義,包括協(xié)定、專約、公約、議定書等。參見李浩培《條約法概論》,(北京)法律出版社2003年版,第21頁。相較于多邊條約更易符合締約國利益考量,權(quán)利義務(wù)更加明確,并且它的監(jiān)督和執(zhí)行機制也更嚴格[49]347。因為各國在跨境數(shù)據(jù)流動方面對個人信息的隱私保護水平參差不齊,通過訂立雙邊條約或者納入相關(guān)條款到雙邊條約中的方式,中國可在此過程中選擇最為符合其制度、技術(shù)、經(jīng)濟等情況的方式。《歐美隱私盾協(xié)議》就是典型代表,雖然美、歐在數(shù)據(jù)保護規(guī)定上大相徑庭,但在商業(yè)利益的驅(qū)動下,雙方仍可達成彼此較為滿意的妥協(xié)[50]263。而且中國—澳大利亞、中國—韓國自貿(mào)區(qū)協(xié)定中已經(jīng)明確規(guī)定“在線數(shù)據(jù)保護”,保護用戶的個人信息,雖然未細致到個人信息的跨境流動,但確是良好開端。中國可在雙邊協(xié)定的簽署過程中不斷細化、推進數(shù)據(jù)保護規(guī)則,從而擴大中國規(guī)則的影響力,提升中國話語權(quán)。
在中國倡導(dǎo)構(gòu)建人類命運共同體及促進全球治理體系變革的背景下,物質(zhì)層面和制度觀念層面的全球公共物品是實施全球治理的重要保障,也是深入推進全球治理的有效途徑[51]9-10。全球治理層面的規(guī)則重塑是重要策略[注]規(guī)則重塑的本質(zhì)是提供一套新的關(guān)于哲學理念和意識形態(tài)的系統(tǒng)學說,這套系統(tǒng)學說至少具備三個方面的特質(zhì):一是必須具有內(nèi)外統(tǒng)一性;二是必須體現(xiàn)新舊傳承性;三是必須體現(xiàn)時代進步性。參見王鴻剛《中國參與全球治理:新時代的機遇與方向》,載《外交評論》2017年第6期,第16-17頁。,而多邊條約談判對此具有積極意義。多邊條約的優(yōu)勢[49]327利于催生多邊合作[注]Kwakwa V.,″Multilateralism for an Inclusive World,″ 2017-11-01, https://www.worldbank.org/en/news/opinion/2017/11/01/multilateralism-for-an-inclusive-world, 2019-01-31.,甚至能夠發(fā)展成為全球性規(guī)則,比如世界貿(mào)易組織規(guī)則[52]11。并且,現(xiàn)實也證明多邊條約談判和締結(jié)是國際社會的常態(tài)[注]交存于聯(lián)合國秘書長的多邊條約超過560份,涉及爭端解決、特權(quán)與豁免、人權(quán)、難民與無國籍人、國際貿(mào)易與發(fā)展等29個領(lǐng)域,參見United Nations Treaty Collection,″Multilateral Treaties Deposited with the Secretary-General,″ 2019-01-31,https://treaties.un.org/pages/ParticipationStatus.aspx, 2019-01-31。。因此,就跨境數(shù)據(jù)流動中的個人信息隱私權(quán)保護,中國既可以積極參與已有條約,也可以主動倡導(dǎo)新一輪的多邊條約談判。在多邊條約的建構(gòu)上,筆者認為中國既要團結(jié)發(fā)展中國家,譬如在“一帶一路”建設(shè)中積極推動中國規(guī)則的適用;也要主動與發(fā)達國家求同存異,例如中國、美國、歐盟三方可以嘗試在WTO機制下思索合作的路徑[43]。同時,可以思索、借鑒我們在曾經(jīng)未知的領(lǐng)域里構(gòu)建國際規(guī)則的經(jīng)驗教訓(xùn),例如海洋領(lǐng)域內(nèi)全球治理路徑的探索。而且,在多邊規(guī)則建構(gòu)過程中要加強“硬法”與“軟法”間的互動,視不同情境采取相應(yīng)舉措[注]Shaffer和Pollack對軟硬法間的互動提出5種假設(shè):當強國同意時、當強國反對時、當相對弱小國家反對時、執(zhí)行的遞歸效應(yīng)、硬法與軟法相互對抗,并提供了相應(yīng)建議。詳見Shaffer G.& Pollack M.A.,″Hard vs. Soft Law: Alternatives, Complements and Antagonists in International Governance,″ Minnesota Law Review, Vol.94, No.3(2010), pp.765-798。。
根據(jù)商務(wù)部《中國電子商務(wù)報告2017》的數(shù)據(jù)顯示:“截至2017年底,全國網(wǎng)絡(luò)購物用戶規(guī)模達5.33億……經(jīng)中國海關(guān)辦理的跨境電子商務(wù)清單達6.6億票……”[注]參見商務(wù)部電子商務(wù)和信息化司《中國電子商務(wù)報告2017》, http://dzsws.mofcom.gov.cn/article/ztxx/ndbg/201805/20180502750562.shtml, 2018年8月23日,第1頁、第4頁。當我們愈發(fā)感受到科技帶來的便捷時,也要意識到隱私保護正面臨更嚴峻的威脅。從有關(guān)個人信息跨境流動的國際、國內(nèi)規(guī)則中不難發(fā)現(xiàn),個人在其中發(fā)揮著重要作用。數(shù)據(jù)主體的同意要么為一些國家采納為主要的數(shù)據(jù)流動立法模式,要么作為其他模式下的一項例外情形出現(xiàn),因此,個人應(yīng)積極主動行使權(quán)利,2018年“支付寶年度賬單事件”值得引起關(guān)注。
我國《網(wǎng)絡(luò)安全法》對網(wǎng)絡(luò)運營者、網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的提供者、關(guān)鍵信息基礎(chǔ)設(shè)施的運營者的義務(wù)都做出了規(guī)定。GDPR對企業(yè)保護顧客信息施以更加嚴格的規(guī)定,CBPRS也以企業(yè)的行業(yè)自律和問責為基礎(chǔ)。嚴格的義務(wù)規(guī)范在某種程度上將壓力轉(zhuǎn)移到企業(yè),企業(yè)需增強自身的信息保護技術(shù)能力。在保護個人信息跨境流動的具體舉措上,企業(yè)可借鑒CBPRS和歐盟《約束性公司規(guī)則》(BCRS)采取自我評估、用戶授權(quán)、合同約定、第三方安全認證等自律方式對個人信息進行管理。此外,企業(yè)也需盡可能在主要營業(yè)地設(shè)立實體分支機構(gòu),使個人信息受侵害者求助有道。除了硬件層面之外,企業(yè)應(yīng)增強守法意識。對數(shù)據(jù)、信息安全法規(guī)的遵從程度是衡量社會整體數(shù)據(jù)、信息安全保障水平的重要標尺[44]136。數(shù)據(jù)跨境流動中,企業(yè)既需要遵守數(shù)據(jù)流出國法規(guī),也需要遵守數(shù)據(jù)流入國法規(guī)。倘若能夠形成一個“最佳實踐”,則可以此為藍本進行推廣。
信息與網(wǎng)絡(luò)安全部《2016—2017年度中國網(wǎng)絡(luò)空間安全綜述》指出,雖然我國網(wǎng)絡(luò)發(fā)展速度快,但卻面臨著嚴重的網(wǎng)絡(luò)安全威脅,并且這種威脅還在呈現(xiàn)新的變化,諸如網(wǎng)絡(luò)欺詐、網(wǎng)絡(luò)攻擊、勒索軟件等[注]參見《2016—2017年度中國網(wǎng)絡(luò)空間安全綜述》, 2017年12月25日, http://www.sic.gov.cn/news/91/8705.htm, 2019年1月31日。。對此,政府還應(yīng)加強如下舉措:首先,發(fā)展網(wǎng)絡(luò)安全技術(shù)。在跨境電商發(fā)展過程中,除了信息流入國可能會侵害公民隱私外,信息流出國的信息安全能力也將影響到隱私保護。因此,政府需要不斷探索完善網(wǎng)絡(luò)安全技術(shù),諸如將流動的數(shù)據(jù)進行標識分類,針對不同類別的信息采取不同的保護方式。其次,制定網(wǎng)絡(luò)安全標準,以標準細化法律規(guī)范。有學者指出,現(xiàn)有的制度設(shè)計不足以保障實質(zhì)性的網(wǎng)絡(luò)安全,標準不可避免地落后于現(xiàn)實需要[53]28,32。歐盟GDPR施行較晚就在于其試圖制定一套能夠適應(yīng)時代變化的規(guī)則,但結(jié)果也許并非盡如人意。為了彌補標準的滯后性,可以考慮美國以市場為導(dǎo)向加之以行業(yè)自律進行規(guī)制的方式,由市場參與者自主形成標準,輔以國家參與。最后,加強國際交流合作。信息流動有利于信息共享,中國作為電商大國,應(yīng)積極構(gòu)建合作平臺,設(shè)計對話機制,取得信息流動合作的主動權(quán)。
跨境電商建設(shè)過程中的個人信息跨境流動關(guān)涉國家安全、個人隱私、經(jīng)濟發(fā)展。中國既是經(jīng)濟大國,又是人口大國,在利益間任一偏廢都難以實現(xiàn)持久發(fā)展。中國需要將這三方面綜合考量,在數(shù)字經(jīng)濟發(fā)展中砥礪前行,維持動態(tài)平衡,在此過程中,著眼多層面構(gòu)筑法律規(guī)則,并促進其良性互動。