■胡紫陽(yáng) 韓 萌/哈爾濱商業(yè)大學(xué)

隨著跨國(guó)跨境數(shù)據(jù)交流數(shù)量的日益漸增，極大地方便了人們的生活，人們?cè)谶x擇商品、選擇服務(wù)等方面有了更豐富的選擇，與此同時(shí)企業(yè)也能擴(kuò)大自己的生產(chǎn)渠道和銷售范圍，帶來更多的利潤(rùn)和外匯。但隨之而來的是個(gè)人信息的使用方式和保護(hù)問題，廣泛的個(gè)人信息包括隱私數(shù)據(jù)、個(gè)人的人格利益等信息，一旦泄露或遭到非法獲取，必然會(huì)損害個(gè)人的權(quán)益；而一些重要信息涉及到國(guó)家秘密的，如果被境外不法分子獲取，將嚴(yán)重?fù)p害國(guó)家利益和社會(huì)利益。因此，個(gè)人信息的跨境使用一方面是不可避免的，另一方面也需要的進(jìn)行規(guī)制和保護(hù)，從而保障個(gè)人利益與國(guó)家利益，在促進(jìn)信息交流的同時(shí)又推動(dòng)不同國(guó)家和地區(qū)之間的相互發(fā)展。目前，我國(guó)還沒有關(guān)于個(gè)人信息跨境使用的專門法律，僅在部分法律中有涉及到個(gè)人信息保護(hù)，如2016年出臺(tái)的《網(wǎng)絡(luò)安全法》，其中有涉及到關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)方面和跨境信息傳輸?shù)囊?guī)定，但是涉及范圍較為狹窄，對(duì)當(dāng)前個(gè)人信息跨境使用的整體覆蓋面不夠，難以發(fā)揮更大的作用。在國(guó)際關(guān)于個(gè)人信息保護(hù)方面，也僅加入《APEC隱私框架》。在個(gè)人信息傳輸中，跨境合作的參與率較低，與我國(guó)日益增長(zhǎng)的國(guó)際經(jīng)貿(mào)流量不相適應(yīng)。在保障我國(guó)公民的個(gè)人權(quán)利、并且最大程度地利用數(shù)據(jù)流流量帶來經(jīng)濟(jì)增長(zhǎng)，有效平衡二者也是值得考慮。

一、個(gè)人信息跨境使用的立法現(xiàn)狀

（一）個(gè)人信息的范疇

以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的信息，包括但不限于自然人的姓名、出生日期等。［1］其他如《APEC隱私框架》中定義為“個(gè)人信息是指與已識(shí)別或可識(shí)別個(gè)人相關(guān)的任何信息”。不同的國(guó)家對(duì)個(gè)人信息的定義有不同界定，但也都集中在自然人作為個(gè)體，所具有的各種與之相關(guān)的信息。

（二）個(gè)人信息跨境傳輸?shù)慕缍?/h3>

個(gè)人信息跨境傳輸?shù)母拍钤?980年首次出現(xiàn)，由國(guó)際經(jīng)合與發(fā)展組織在關(guān)于個(gè)人信息和隱私的保護(hù)中的一個(gè)概括性文件中提出的，總結(jié)為個(gè)人信息的傳輸穿過了國(guó)家邊界。［2］到信息高速傳輸?shù)慕裉?，?guó)家或地區(qū)境內(nèi)的個(gè)人信息向境外（本國(guó)或者本地區(qū)以外）傳輸，或者儲(chǔ)存的信息能被境外機(jī)構(gòu)或個(gè)人知悉和獲取，均可以構(gòu)成個(gè)人信息跨境。

（三）個(gè)人數(shù)據(jù)跨境使用的現(xiàn)狀

個(gè)人數(shù)據(jù)流動(dòng)的背后是信息經(jīng)濟(jì)以及涵蓋政治和文化的多重價(jià)值。在個(gè)人信息跨境流動(dòng)的規(guī)范中，我國(guó)主要是在《網(wǎng)絡(luò)安全法》和《國(guó)家安全法》體現(xiàn)對(duì)個(gè)人信息跨境流動(dòng)加以規(guī)制，在《網(wǎng)絡(luò)安全法》起草階段曾進(jìn)行意見征集，網(wǎng)信辦牽頭的《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》對(duì)個(gè)人數(shù)據(jù)跨境尤其是出境的內(nèi)容、范圍和相關(guān)概念、相關(guān)保護(hù)程序等方面進(jìn)行說明?！睹穹ǖ洹返娜烁駲?quán)編也對(duì)個(gè)人信息的概念和范圍有了跟進(jìn)一步的闡釋，與此同時(shí)還有籌劃中的《個(gè)人信息保護(hù)法》，都將鞏固現(xiàn)有的個(gè)人信息的保護(hù)，但對(duì)個(gè)人信息跨境并沒有過多的涉及。因此我國(guó)在個(gè)人信息的跨境保護(hù)方面還需要進(jìn)一步的學(xué)習(xí)借鑒。

發(fā)達(dá)國(guó)家和地區(qū)在科學(xué)技術(shù)和管理模式等方面占據(jù)優(yōu)勢(shì)地位，因此能更容易獲取到他國(guó)個(gè)人信息，同時(shí)又進(jìn)一步加強(qiáng)自己境內(nèi)個(gè)人信息保護(hù)，如美國(guó)、歐盟等在本國(guó)輸出數(shù)據(jù)過程中采取了“限制和緊縮”手段，制定更為嚴(yán)格的法律，主要表現(xiàn)在將個(gè)人信息劃分到基本人權(quán)的范圍加以保護(hù)。尤其是歐盟，不希望歐盟范圍內(nèi)的個(gè)人信息流入到其他國(guó)家和地區(qū)被濫用，同時(shí)又渴望最大限度獲取其他國(guó)家和地區(qū)的個(gè)人信息。2016年歐盟頒布《歐盟數(shù)據(jù)保護(hù)通用條例》（General Data Protection Regulation，以下簡(jiǎn)稱 GDPR），生效是2018年05月25日，一度視為最嚴(yán)格的個(gè)人數(shù)據(jù)保護(hù)方案，1995年頒布的《數(shù)據(jù)保護(hù)指令》(Data Protection Directive 95/46/EC)已經(jīng)被取代。新法案對(duì)歐盟公民的隱私保護(hù)力度和范圍都有了極大提高，對(duì)個(gè)人信息和數(shù)據(jù)確立基礎(chǔ)性的一些原則和處理方法。［3］

二、《歐盟數(shù)據(jù)保護(hù)通用條例》中對(duì)個(gè)人信息跨境使用的規(guī)定

（一）擴(kuò)大個(gè)人信息范圍

傳統(tǒng)個(gè)人信息如姓名、出生日期、住址等，GDPR中增加了與社會(huì)發(fā)展相關(guān)的諸多概念，如互聯(lián)網(wǎng)使用記錄、電子數(shù)據(jù)、收入、教育信息等，同時(shí)還增加了個(gè)人內(nèi)在屬性的信息，如身體狀況和就醫(yī)記錄等與人體密切相關(guān)的信息。新的《歐盟數(shù)據(jù)保護(hù)通用條例》中引發(fā)關(guān)注的變化主要集中在該通用條例新增了基因數(shù)據(jù)、生物性識(shí)別數(shù)據(jù)和健康相關(guān)的數(shù)據(jù)。其中基因數(shù)據(jù)包括人的自然屬性中有關(guān)遺傳或者獲得性的基因或者DNA，能反映出人的生理或者身體的獨(dú)特信息，尤其是對(duì)人的生物學(xué)的分析，可能包含更多的未表現(xiàn)出的狀態(tài)，如遺傳病或者病變癌癥等。生物性識(shí)別如指紋識(shí)別、面部識(shí)別等特征而能獨(dú)特表現(xiàn)的人的標(biāo)識(shí)。和健康相關(guān)的數(shù)據(jù)，指的是與人的自然屬性和社會(huì)屬性密切相關(guān)的精神狀態(tài)數(shù)據(jù)（如是否患有精神病等），以及血液樣本、醫(yī)療記錄和藥物禁忌等。這些信息不再局限于普通人易得的信息，而是需要一定科技支撐或者保密性強(qiáng)的個(gè)人DNA、血液樣本等，進(jìn)一步增強(qiáng)了對(duì)個(gè)人信息的保護(hù)。

（二）擴(kuò)大了適用的范圍和方式

GDPR不僅在歐盟境內(nèi)適用，對(duì)境外的信息管理者、處理者、保管者等均予以適用，如歐盟境外向歐盟境內(nèi)提供服務(wù)或者存儲(chǔ)的企業(yè)或組織，均受到該條例的約束。歐盟境外的相關(guān)組織和企業(yè)也在積極應(yīng)對(duì)，蘋果公司、微軟公司，還有包括中國(guó)騰訊在內(nèi)的互聯(lián)網(wǎng)公司均聲稱遵守GDPR，當(dāng)在這些公司注冊(cè)的用戶在歐盟地區(qū)獲取公民個(gè)人信息的時(shí)候均會(huì)被郵件告知?jiǎng)h除歐盟用戶的信息。

（三）進(jìn)一步明確處理個(gè)人信息的原則

GDPR對(duì)處理個(gè)人信息的原則主要是獲取的時(shí)候要合理合法以及透明。收集個(gè)人信息的時(shí)候目的具有正當(dāng)性。使用個(gè)人信息的時(shí)候盡可能以最少的信息表達(dá)即信息使用最小化原則。使用個(gè)人信息應(yīng)當(dāng)準(zhǔn)確無誤，不準(zhǔn)確的信息應(yīng)當(dāng)及時(shí)刪除或者更新。限期“遺忘”，完成某個(gè)目的而使用的個(gè)人信息，達(dá)到目的后應(yīng)當(dāng)刪除不再儲(chǔ)存。最后一個(gè)是完整性與保密性，即不可隨意泄露個(gè)人信息，也不得肆意破壞完整性。

以上六大原則進(jìn)一步明確了使用歐盟成員國(guó)公民個(gè)人信息應(yīng)當(dāng)遵循的原則。核心是“充分保護(hù)”，并且為了在信息轉(zhuǎn)移上進(jìn)行更深層的規(guī)范，個(gè)人信息跨境轉(zhuǎn)移還需要遵循信息處理的原則，［4］有力的保障了個(gè)人信息在跨境使用過程中的穩(wěn)定性和安全性。

三、結(jié)語(yǔ)

GDPR對(duì)個(gè)人信息跨境使用的保護(hù)方式是以專章的形式確定，個(gè)人信息的范圍也有了極大的擴(kuò)張，為個(gè)人信息的保護(hù)確立了統(tǒng)一標(biāo)準(zhǔn)，隨著時(shí)代的發(fā)展尤其是科學(xué)技術(shù)的更新，可以發(fā)現(xiàn)歐盟在保護(hù)個(gè)人信息跨境使用方面非常具有前瞻性和全面性，如基因信息、個(gè)人健康信息等需要依托高科技方能察覺的，也專門有規(guī)定。這些規(guī)定對(duì)我國(guó)有極大借鑒意義，我國(guó)《民法典》中人格權(quán)編和《個(gè)人信息保護(hù)法》正在醞釀階段，從目前已知的草案和征求意見稿中可以發(fā)現(xiàn)，并無太多與個(gè)人信息跨境使用方面的規(guī)定，這也導(dǎo)致我國(guó)公民和企業(yè)、組織等在國(guó)際交流中處于不利地位，一方面是沒有保護(hù)意識(shí)，另一方面也無明確規(guī)范可以遵循。借鑒GDPR，通過平衡各方利益，在制度和規(guī)范上保障個(gè)人信息跨境使用，對(duì)我國(guó)經(jīng)濟(jì)、文化等在國(guó)際交往中有極大促進(jìn)意義。