鐘鳴

【關(guān)鍵詞】 數(shù)字貿(mào)易? 個人信息? 跨境流動? 法律規(guī)制

【中圖分類號】D92? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文獻(xiàn)標(biāo)識碼】A

【DOI】10.16619/j.cnki.rmltxsqy.2021.06.013

隨著全球新一輪科技革命的興起，海量個人信息的挖掘收集、處理使用和跨境傳輸成為了新技術(shù)、新應(yīng)用快速迭代的支撐點(diǎn)。跨境數(shù)據(jù)流動在全球范圍創(chuàng)造了新的商機(jī)，在給人們帶來巨大生活便利的同時，也帶來了個人信息保護(hù)的危機(jī)。特別是由于WTO框架下較難形成有效的免征關(guān)稅協(xié)議，數(shù)字產(chǎn)品屬性不明、新型貿(mào)易分類不明、服務(wù)模式不完善等問題，使得個人信息在跨境流動中存在較高風(fēng)險，對法律保護(hù)也提出了新的要求。鑒于個人信息的跨境流動關(guān)乎網(wǎng)絡(luò)空間主權(quán)、國家安全、社會公共利益和公民、法人的合法權(quán)益等多個層面，相關(guān)法律規(guī)制應(yīng)兼顧個人信息保護(hù)與跨境信息保護(hù)平衡、行政權(quán)力規(guī)制與跨境電商經(jīng)營自治平衡以及完善國內(nèi)立法與借鑒國際規(guī)則平衡的原則，努力構(gòu)建有效而可持續(xù)的個人信息法律保護(hù)機(jī)制。

數(shù)字貿(mào)易時代我國個人信息跨境流動法律規(guī)制現(xiàn)狀及問題分析

數(shù)字貿(mào)易時代我國個人信息跨境流動的立法現(xiàn)狀。數(shù)字貿(mào)易時代，個人信息跨境流動成為常態(tài)，其中存在的諸多網(wǎng)絡(luò)安全問題也逐步受到重視。近年來，隨著“網(wǎng)絡(luò)強(qiáng)國”和“數(shù)字中國”戰(zhàn)略構(gòu)想的提出，我國在個人信息跨境流動方面相繼出臺了一系列法律法規(guī)和部門規(guī)章，對既往分散化、碎片化的法律法規(guī)框架形成了一定程度的補(bǔ)充和完善。2012年11月，首個關(guān)于個人信息保護(hù)的國家標(biāo)準(zhǔn)《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》發(fā)布。作為行業(yè)指導(dǎo)性文件，由于其沒有強(qiáng)制執(zhí)行的法律效力，因此在個人信息跨境流動規(guī)制方面發(fā)揮的作用相對有限。2016年11月通過的《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》），就關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者在中國境內(nèi)運(yùn)營中收集及產(chǎn)生的個人信息和重要數(shù)據(jù)的跨境流動作出了初步安全限定，在一定程度上彌補(bǔ)了跨境數(shù)據(jù)流動法律規(guī)制的空白。2017年4月，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》，作為《網(wǎng)絡(luò)安全法》的重要配套措施，其雖對數(shù)據(jù)出境評估的范圍、內(nèi)容、程序和相關(guān)概念等進(jìn)行了界定，但對于“境內(nèi)存儲”和“出境安全評估”義務(wù)的規(guī)定較為寬泛。2019年6月《個人信息出境安全評估辦法（征求意見稿）》（以下簡稱《評估辦法》）對外發(fā)布，對2017年發(fā)布的《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》進(jìn)行了調(diào)整和修訂，對個人信息及其重要數(shù)據(jù)進(jìn)行了明確區(qū)分，進(jìn)一步完善了商業(yè)活動中個人數(shù)據(jù)跨境流動的相關(guān)規(guī)制。2020年5月頒布的《中華人民共和國民法典》（以下簡稱《民法典》）雖明晰了個人信息的內(nèi)容、個人信息處理的原則與條件、信息處理者的義務(wù)與責(zé)任豁免等，但個人信息跨境流動規(guī)則闕如。同年9月，《中華人民共和國個人信息保護(hù)法（草案）》對外發(fā)布，在借鑒國外立法經(jīng)驗(yàn)的基礎(chǔ)上，從法律層面明確了個人信息跨境提供的基本規(guī)則，對個人信息跨境提供制度的落地起到了極大的促進(jìn)作用。

數(shù)字貿(mào)易時代我國個人信息跨境流動法律規(guī)制存在的問題。一是個人信息跨境流動保護(hù)法律體系亟待完善。近幾年，中國在數(shù)字貿(mào)易領(lǐng)域呈現(xiàn)良好發(fā)展趨勢，但與之相對應(yīng)的個人信息跨境流動法律保護(hù)體系卻仍處在分散化和低層級的階段，具體規(guī)則的體系性和協(xié)調(diào)性也有待提高。雖然《民法典》《刑法修正案（七）》和《刑法修正案（九）》中的相關(guān)規(guī)定為個人信息保護(hù)樹立了相應(yīng)的屏障，但模糊的要件規(guī)定與不完整的規(guī)范體系使得法律適用障礙重重。

二是個人信息跨境流動保護(hù)國際性合作有待深入。當(dāng)前，我國尚未加入APEC的跨境隱私規(guī)則體系（CBPR）?？梢钥吹?，我國數(shù)字貿(mào)易發(fā)展進(jìn)步雖快，然而部分企業(yè)仍處于數(shù)字貿(mào)易“走出去”的初級階段。加入國際性信息保護(hù)合作機(jī)制，數(shù)字企業(yè)在個人信息方面的跨境流動將會受到一定的限制，從而使得運(yùn)營成本有所增加，這也在很大程度上制約了我國個人信息保護(hù)的國際合作發(fā)展。

三是個人信息跨境流動監(jiān)管集中度偏低。針對信息數(shù)據(jù)跨境流動的保護(hù)，相關(guān)法律法規(guī)規(guī)定了各行業(yè)領(lǐng)域內(nèi)所需實(shí)施的信息數(shù)據(jù)保護(hù)職責(zé)。電信、互聯(lián)網(wǎng)用戶的信息安全主要由公安部門、工業(yè)與信息化部負(fù)責(zé)，醫(yī)療衛(wèi)生行業(yè)的信息數(shù)據(jù)主要由衛(wèi)生管理部門負(fù)責(zé)，而金融行業(yè)中的信息數(shù)據(jù)則主要由中國人民銀行負(fù)責(zé)。實(shí)施信息數(shù)據(jù)保護(hù)的相關(guān)部門眾多，導(dǎo)致在信息數(shù)據(jù)跨境流動的監(jiān)管方面較易出現(xiàn)權(quán)責(zé)不清、監(jiān)管交叉、執(zhí)法不力的情況，從而影響法律規(guī)制的效力。

四是個人信息跨境流動安全評估標(biāo)準(zhǔn)不一。當(dāng)前，我國關(guān)于個人信息的出境管理主要依據(jù)《網(wǎng)絡(luò)安全法》及與之配套的《評估辦法》相關(guān)規(guī)定，但二者就規(guī)制主體的范圍和義務(wù)界定卻存在差異。前者的規(guī)制主體為網(wǎng)絡(luò)運(yùn)營者，包括網(wǎng)絡(luò)系統(tǒng)的所有者、管理者和網(wǎng)絡(luò)服務(wù)的提供者，且境內(nèi)存儲和出境安全評估義務(wù)僅適用于“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者”在我國境內(nèi)收集和產(chǎn)生的“個人信息和重要數(shù)據(jù)”。后者規(guī)制主體雖也為網(wǎng)絡(luò)運(yùn)營者，但其對出境安全評估的數(shù)據(jù)范圍的界定是所有網(wǎng)絡(luò)經(jīng)營者的所有出境數(shù)據(jù)，較之前者更為寬泛，與《網(wǎng)絡(luò)安全法》設(shè)定的判斷標(biāo)準(zhǔn)不盡統(tǒng)一，這將在一定程度上導(dǎo)致個人信息的跨境流動在安全評估標(biāo)準(zhǔn)及其適用上出現(xiàn)混亂。

數(shù)字貿(mào)易時代國外個人信息跨境流動的規(guī)制現(xiàn)狀與經(jīng)驗(yàn)探索

自20世紀(jì)60年代末開始，信息化與全球化在相互作用中深刻改變了經(jīng)濟(jì)社會生活。在計算機(jī)和信息系統(tǒng)廣泛應(yīng)用的同時，歐美等國關(guān)注到個人信息使用與濫用的問題，意識到相關(guān)信息保密性和安全性的重要性。在此基礎(chǔ)上，各國逐步形成“公平信息實(shí)踐”并出臺了相關(guān)法律法規(guī)。目前，國際上個人信息跨境流動的管理模式，主要分為歐盟模式和美國模式。

建立雙邊性協(xié)定。為加快進(jìn)入歐洲金融市場，美國創(chuàng)新跨境信息體系，與歐洲國家共同創(chuàng)設(shè)了虛擬空間，即《安全港協(xié)議》（Safe Harbor），致力于調(diào)整美國企業(yè)出口以及處理歐洲公民的個人數(shù)據(jù)，從告知、選擇、轉(zhuǎn)送、安全性、物料品質(zhì)、參與和救濟(jì)方面為美國在歐盟進(jìn)行的商業(yè)活動提供便利?！栋踩蹍f(xié)議》的制定既降低了歐美貿(mào)易的準(zhǔn)入門檻，也為促進(jìn)個人信息跨境保護(hù)發(fā)揮了積極的推動作用。隨后，歐盟與美國就商業(yè)領(lǐng)域跨大西洋傳輸個人數(shù)據(jù)的隱私問題初步達(dá)成一致意見并形成《歐美隱私盾牌》，以此取代《安全港協(xié)議》。其沿襲了《安全港協(xié)議》的七項(xiàng)原則，強(qiáng)調(diào)了歐盟的信息主權(quán)，規(guī)定用于商業(yè)目的的個人數(shù)據(jù)從歐洲傳輸?shù)矫绹螅碛信c在歐盟境內(nèi)同樣的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)。該協(xié)議旨在通過雙邊協(xié)議，從數(shù)字貿(mào)易時代的規(guī)范對象、合作機(jī)制、權(quán)力界定、權(quán)利救濟(jì)等方面進(jìn)一步完善個人信息國際保護(hù)機(jī)制?；诿绹w的個人信息保護(hù)水平無法達(dá)到歐盟的“充分性保護(hù)”認(rèn)定要求，2020年7月，歐盟法院判決《歐美隱私盾牌》協(xié)定無效。雖然這使得歐美跨大西洋聯(lián)盟再添裂痕，但該判決卻并不意味著歐美數(shù)據(jù)傳輸?shù)慕K止。美國雖不再擁有特殊待遇，其仍可以在另一種“標(biāo)準(zhǔn)合約條款”（SCC）機(jī)制下作為數(shù)據(jù)接收方獲取歐盟數(shù)據(jù)，因而歐美之間在社交網(wǎng)絡(luò)等方面的日常數(shù)據(jù)轉(zhuǎn)移不會受到顯著影響。

完善區(qū)域性規(guī)范。2018年，歐盟全面實(shí)施《通用數(shù)據(jù)保護(hù)條例》（GDPR）。作為歐盟最具代表性的個人信息保護(hù)標(biāo)準(zhǔn)，其進(jìn)一步完善了數(shù)據(jù)保護(hù)的補(bǔ)充性規(guī)則與“充分保護(hù)水平”，從法律層面明確了數(shù)據(jù)保護(hù)的約束規(guī)則，通過加強(qiáng)信息保護(hù)與認(rèn)證，在個人信息跨境轉(zhuǎn)移上以制度彈性為依據(jù)豐富了“例外條款”。在亞太經(jīng)濟(jì)往來越來越密切的情況下，APEC通過設(shè)置跨境隱私規(guī)則體系來規(guī)范區(qū)域性信息轉(zhuǎn)移。同時，為避免個人信息被濫用和盜用等不利影響，APEC根據(jù)個人信息的存儲、收集、利用和處理形成了一套有效的全球化準(zhǔn)則，即《APEC隱私框架》。該框架基于企業(yè)角度，設(shè)置了隱私執(zhí)法機(jī)構(gòu)和責(zé)任代理機(jī)構(gòu)，既規(guī)范了企業(yè)認(rèn)證，也為消費(fèi)者提供了投訴渠道，從而有力保障了跨境業(yè)務(wù)的正常進(jìn)行。

構(gòu)建全球性規(guī)范。一直以來，由世界貿(mào)易組織管轄的《服務(wù)貿(mào)易總協(xié)定》（GATS）既為發(fā)達(dá)國家深化服務(wù)貿(mào)易對外開放提供了框架和規(guī)則，也讓發(fā)展中國家的勞動力成本與資源優(yōu)勢得到有效發(fā)揮?！斗?wù)貿(mào)易總協(xié)定》對WTO各國成員的個人信息保護(hù)以及跨境流轉(zhuǎn)原則進(jìn)行了規(guī)定，即各國應(yīng)當(dāng)在自由、透明的個人信息保護(hù)環(huán)境下進(jìn)行數(shù)字貿(mào)易，以形成良好的國際貿(mào)易秩序。同時，聯(lián)合國也高度重視各個成員國的個人信息保護(hù)，針對個人信息保護(hù)原則、法律責(zé)任、監(jiān)管體系、跨國個人信息流動、適用范圍進(jìn)行了規(guī)范;對于政府國際組織，從管理個人信息保護(hù)的角度進(jìn)行了規(guī)定，為個人信息國際法保護(hù)提供了依據(jù)，也為完善法律法規(guī)提供了發(fā)展框架。從全球性規(guī)范的視角來看，構(gòu)建全球性的個人信息保護(hù)機(jī)制對數(shù)字貿(mào)易時代個人信息跨境流動的保護(hù)更為有利，各國應(yīng)當(dāng)主動加入聯(lián)合國信息跨境流通規(guī)則中，在完善個人信息保護(hù)準(zhǔn)則的同時，完成跨境合作與信息流動目標(biāo)。

數(shù)字貿(mào)易時代中國參與個人信息跨境流動國際法規(guī)制的實(shí)踐路徑

繼續(xù)完善我國個人信息跨境流動保護(hù)的法律體系。結(jié)合歐美等發(fā)達(dá)國家個人信息保護(hù)經(jīng)驗(yàn)，加快完善符合中國數(shù)字貿(mào)易與科技發(fā)展的個人信息跨境流動保護(hù)法律體系。在監(jiān)管層面，嚴(yán)格依照《評估辦法》要求，對個人信息跨境流動以及本地化存儲進(jìn)行全面監(jiān)管，特別是在個人信息的跨境流動中，要求網(wǎng)絡(luò)運(yùn)營者、信息接收者履行應(yīng)盡義務(wù)，提高數(shù)據(jù)安全水平;同時，針對個人信息以及重要數(shù)據(jù)進(jìn)行重點(diǎn)監(jiān)管，推動實(shí)現(xiàn)個人信息跨境流動的合法事由多元化，對企業(yè)數(shù)據(jù)保護(hù)能力進(jìn)行認(rèn)證，促進(jìn)個人信息的流動更為安全和便捷。

加強(qiáng)我國個人信息跨境流動保護(hù)的國際合作。構(gòu)建多層次的國際合作體系，打造數(shù)據(jù)大國形象，推進(jìn)信息跨境流動國際合作的可持續(xù)發(fā)展。首先，繼續(xù)擴(kuò)展雙邊信息流動保護(hù)合作。積極推廣兩岸四地個人信息跨境流動安全保護(hù)合作機(jī)制，與更多的國家、地區(qū)和相關(guān)國際信息保護(hù)機(jī)構(gòu)在法律協(xié)助、信息請求等問題上達(dá)成一致，以更好地落實(shí)雙邊信息跨境保護(hù)條款。其次，積極加入多邊平臺的數(shù)字治理對話機(jī)制。借助區(qū)域談判，在協(xié)調(diào)與交流中借鑒他國經(jīng)驗(yàn)教訓(xùn)，提供中國智慧方案，謀求建立更符合中國利益的跨境數(shù)據(jù)流動規(guī)則。最后，充分發(fā)揮非政府組織作用。實(shí)踐證明，政府機(jī)構(gòu)平臺較難就個人信息保護(hù)機(jī)制形成統(tǒng)一的國際規(guī)則，通過非政府組織多邊保護(hù)機(jī)制更有利于達(dá)成共識，形成更為高效的信息流動與保護(hù)體系。

設(shè)置更為合理的個人信息跨境流動監(jiān)管體系。進(jìn)一步完善相關(guān)的監(jiān)管機(jī)構(gòu)組織架構(gòu)，由網(wǎng)信部門牽頭，統(tǒng)籌處理好信息出境安全評估、數(shù)據(jù)跨境流動的合同條款審查、違規(guī)流動的個人數(shù)據(jù)調(diào)查、侵犯信息主體權(quán)利的行為處罰等方面的監(jiān)管執(zhí)行，探索建立組織化的監(jiān)管機(jī)構(gòu)，明晰各相關(guān)部門監(jiān)管與執(zhí)法權(quán)力，從而使其有效行使各自監(jiān)督職責(zé)，使監(jiān)管更為高效化。

建立我國個人信息出境評估的多元化機(jī)制。積極推動《網(wǎng)絡(luò)安全法》框架下《評估辦法》的完善和出臺，形成合理有效的個人信息出境安全評估機(jī)制。首先，統(tǒng)一數(shù)據(jù)出境管理范疇。參考國際個人信息出境管理措施，確認(rèn)數(shù)據(jù)離開本國境內(nèi)去往境外即為數(shù)據(jù)出境，借鑒美國在地理緯度上的延伸解讀，擴(kuò)大對主體維度的判定，認(rèn)定將數(shù)據(jù)提供給本國境內(nèi)的外國組織或個人，也屬于個人信息出境范疇。其次，明確相關(guān)行為人權(quán)利與義務(wù)。對于個人信息主體而言，個人信息出境務(wù)必要征得信息主體同意，否則不允許個人信息出境。同時，個人信息運(yùn)營者需要承擔(dān)信息保護(hù)責(zé)任，并有義務(wù)約束下設(shè)其他主體形成保護(hù)合力，下設(shè)主體出現(xiàn)非法個人信息出境現(xiàn)象，由個人信息運(yùn)營者、控制者負(fù)責(zé)。此外，政府主管部門有義務(wù)為維權(quán)個人提供幫助，比如行政救濟(jì)、司法救濟(jì)等，有義務(wù)幫助個人追回信息，給予充分救濟(jì)。最后，加強(qiáng)國家間個人信息出境制度協(xié)同。個人信息流通有利于社會經(jīng)濟(jì)發(fā)展，國家之間應(yīng)以非強(qiáng)制性手段，設(shè)置信息流通“白名單”制度，允許個人信息在“白名單”國家和地區(qū)自由流動。同時，注意限制跨國集團(tuán)內(nèi)部位于不同國家或地區(qū)的分支機(jī)構(gòu)之間的數(shù)據(jù)轉(zhuǎn)移，防止數(shù)據(jù)流通到不具備先進(jìn)數(shù)據(jù)管理水平的國家，造成數(shù)據(jù)信息外泄。

參考文獻(xiàn)

朱曉娟，2021，《論跨境電商中個人信息保護(hù)的制度構(gòu)建與完善》，《法學(xué)雜志》，第2期。

葉開儒，2020，《數(shù)據(jù)跨境流動規(guī)制中的“長臂管轄”——對歐盟 GDPR的原旨主義考察》，《法學(xué)評論》，第1期。

方芳，2019，《歐盟個人數(shù)據(jù)跨境流動政策的演變：市場統(tǒng)一與貿(mào)易規(guī)范》，《復(fù)旦國際關(guān)系評論》，第1期。

吳沈括，2019，《〈個人信息出境安全評估辦法（征求意見稿）〉的制度追求》，中國網(wǎng)信網(wǎng)，http：//www.cac.gov.cn/2019-06/17/c_1124635154.htm。

周漢華，2018，《探索激勵相同的個人數(shù)據(jù)治理之道——中國個人信息保護(hù)法的立法方向》，《法學(xué)研究》，第2期。

責(zé) 編∕張 貝