◎文/黃秋紅

在數(shù)字經(jīng)濟(jì)時代的大背景下，數(shù)據(jù)已經(jīng)成為五大生產(chǎn)要素之一，是社會經(jīng)濟(jì)發(fā)展的重要引擎。作為數(shù)字貿(mào)易的基本構(gòu)成要素，數(shù)據(jù)流動的重要性越來越凸顯，個人信息是數(shù)據(jù)的重要組成部分，數(shù)據(jù)流動必然涉及個人信息保護(hù)問題。考慮到個人信息安全對經(jīng)濟(jì)和社會效益的重要意義，美國、日本、俄羅斯和新加坡都對個人信息保護(hù)進(jìn)行了規(guī)制，其立法特點各不相同，具有一定的借鑒意義。

美國：分散立法，以信息流動為核心

美國沒有個人信息保護(hù)的統(tǒng)一立法，立法分散多元化，就層級而言，包括聯(lián)邦法、州法案和行業(yè)自律規(guī)范；就領(lǐng)域而言，分別針對公私領(lǐng)域予以不同規(guī)制，公共領(lǐng)域中強(qiáng)調(diào)政府部門對個人信息的正確收集和使用，私營領(lǐng)域中針對不同行業(yè)開展規(guī)范。

聯(lián)邦層面，美國1970年《公平信用報告法》、1974年《隱私權(quán)法》、1978年《金融隱私權(quán)法》、1986年《電子通信隱私權(quán)法》等早期制度以保護(hù)隱私為重心，旨在通過行業(yè)和市場協(xié)調(diào)來保護(hù)個人信息，其中，《隱私權(quán)法》和《金融隱私權(quán)法》僅針對在公共領(lǐng)域中的個人信息，《公平信用報告法》則保護(hù)私人領(lǐng)域中的個人信息。

州層面，美國各州都制定了個人信息保護(hù)相關(guān)的法律，2018年加利福尼亞州頒布的《消費者隱私法案》，是目前美國最嚴(yán)格的消費者個人信息保護(hù)法案，它給相關(guān)實體新設(shè)了披露所收集的消費者個人信息類別等義務(wù)，給本州居民引入了信息訪問和被遺忘權(quán)，消費者可以拒絕將個人信息出售給第三方，為消費者控制個人信息提供了合法途徑。2021年3月，弗吉尼亞州通過《消費者數(shù)據(jù)保護(hù)法》，成為第二個制定全面隱私立法的州。

在美國，行業(yè)自律上的相關(guān)方式包括建議性的行業(yè)指引、網(wǎng)絡(luò)隱私圖章認(rèn)證計劃和技術(shù)平臺三個方面。

盡管美國重視個人信息中的隱私保護(hù)，主張個人信息的跨境自由流動，實現(xiàn)經(jīng)濟(jì)效益的最大化。對于個人信息的跨境流動，美國傾向于市場調(diào)節(jié)，通過“行業(yè)自律”和“事后問責(zé)”兩種規(guī)制方式企圖達(dá)到國家監(jiān)管和商業(yè)自由的統(tǒng)一。

2018年3月，美國頒布《澄清域外合法使用數(shù)據(jù)法案》，澄清了調(diào)取其境內(nèi)服務(wù)商儲存在域外服務(wù)器數(shù)據(jù)的合法性，對美國機(jī)構(gòu)獲取域外個人信息和外國機(jī)構(gòu)獲取美國境內(nèi)個人信息都予以了規(guī)定，但外國機(jī)構(gòu)獲取信息的條件遠(yuǎn)比美國機(jī)構(gòu)嚴(yán)苛。

日本：統(tǒng)分結(jié)合，限制個人信息跨境流動

日本個人信息保護(hù)立法始于20世紀(jì)70年代，以地方條例為主，至1988年才制定了首部國家層面的個人信息保護(hù)法《行政機(jī)關(guān)計算機(jī)處理的個人信息保護(hù)法》，該法僅規(guī)制行政機(jī)關(guān)。隨后，針對不同的行業(yè)和領(lǐng)域，日本頒布了《民營部門計算機(jī)處理個人信息保護(hù)指南》《關(guān)于電信業(yè)的個人信息保護(hù)指南》等部門規(guī)章。

2003年5月，日本正式通過《個人信息保護(hù)法》，搭建了個人信息保護(hù)的制度體系。針對公私領(lǐng)域確立個人信息保護(hù)總原則的《個人信息保護(hù)法》處于該體系的頂層，中層由行政機(jī)關(guān)、獨立行政法人、地方公共團(tuán)體和私營企業(yè)所應(yīng)遵循的個別規(guī)范構(gòu)成，底層則為特定的行業(yè)規(guī)章。即日本采用統(tǒng)分結(jié)合的立法模式，制定了適用于公私領(lǐng)域的個人信息保護(hù)基本法《個人信息保護(hù)法》，該法再授予行政機(jī)關(guān)和民間行業(yè)制定配套法規(guī)和自律規(guī)范。

為推動個人信息保護(hù)法的與時俱進(jìn)，日本先后于2015年、2020年兩次對《個人信息保護(hù)法》進(jìn)行了修訂。2020年的修正案中，明確了國家和地方公關(guān)團(tuán)體的責(zé)任、義務(wù)和保護(hù)措施，規(guī)定了信息處理者的義務(wù)、行政機(jī)關(guān)和個人信息保護(hù)委員會的職責(zé)等，該修正案旨在實現(xiàn)日本國家層面法律的統(tǒng)一化和形成地方公共團(tuán)體的共同規(guī)則，通過個人信息保護(hù)委員會進(jìn)行統(tǒng)一監(jiān)管。

對于個人信息的跨境流動，日本在2015年《個人信息保護(hù)法》修正案中首次確立了相關(guān)規(guī)則，新設(shè)了獨立監(jiān)管機(jī)構(gòu)“個人信息保護(hù)委員會”，明確了個人信息向國外第三方傳輸需獲得信息主體的同意。

為促進(jìn)信息流動，2021年1月，個人信息保護(hù)委員會頒布了《跨境數(shù)據(jù)流動指南》，進(jìn)一步細(xì)化了信息流動的事項和程序等?？偟膩碚f，日本在個人信息跨境流動方面與歐盟立場相近，在國際上倡導(dǎo)可信數(shù)據(jù)自由流動，即在嚴(yán)格保護(hù)個人信息、網(wǎng)絡(luò)安全和知識產(chǎn)權(quán)的基礎(chǔ)上，推動工業(yè)、健康等領(lǐng)域中非個人、匿名、有用信息的自由流動。

俄羅斯：統(tǒng)一立法，信息本地化存儲

俄羅斯對于個人信息保護(hù)的立法，最初僅在1993年聯(lián)邦憲法第24 條中確立了個人私生活秘密權(quán)，1995年2月頒布的《關(guān)于信息、信息化與信息保護(hù)法》首次提及公民個人信息，并予以法律保護(hù)?！秱€人數(shù)據(jù)保存限制法》《博客法》《網(wǎng)絡(luò)支付限制法》等均有涉及，至2006年7月才正式頒布《個人數(shù)據(jù)法》。

在歐美之間，俄羅斯《個人數(shù)據(jù)法》更接近于歐盟的立法模式，以個人信息處理為適用對象，規(guī)范指引各行業(yè)各領(lǐng)域的個人信息收集、處理、傳輸行為。截至2021年，該法已經(jīng)進(jìn)行了21 次修訂，包括信息處理的原則和條件、信息主體的權(quán)利、信息處理者的義務(wù)、信息處理的監(jiān)管以及違法責(zé)任等內(nèi)容。

2021年2月，俄羅斯總統(tǒng)普京簽署的《聯(lián)邦行政犯罪法》修正案加大了對違反個人信息保護(hù)義務(wù)行為的處罰力度，提高了罰款數(shù)額。

俄羅斯在“棱鏡門”事件后非常重視數(shù)據(jù)主權(quán)，以保護(hù)信息安全和網(wǎng)絡(luò)主權(quán)為出發(fā)點，實施數(shù)據(jù)本地化政策，限制數(shù)據(jù)跨境流動。例如，《個人數(shù)據(jù)法》要求俄羅斯公民的個人信息必須存儲在境內(nèi)服務(wù)器上，并明確了個人信息跨境傳輸?shù)臈l件，如信息主體的書面同意、履行合同要求或基于國家安全考量。同時，對于《關(guān)于個人數(shù)據(jù)自動化處理的個人保護(hù)公約》的締約國和俄羅斯官方認(rèn)可的“白名單”國家，俄羅斯許可個人信息的自由流動。

新加坡：建立個人信息跨境監(jiān)管體系

新加坡是東南亞地區(qū)法治化、信息化比較發(fā)達(dá)的國家，建立了較為完善的個人信息保護(hù)制度和個人信息跨境監(jiān)管體系。

2012年通過的《個人數(shù)據(jù)保護(hù)法》是新加坡現(xiàn)行的個人信息專門立法，該基礎(chǔ)性法律全文共10 章68 條，包括定義、目標(biāo)等適用性規(guī)則和個人信息的收集、使用、披露、保護(hù)等規(guī)則，以及個人數(shù)據(jù)保護(hù)委員會與管理機(jī)構(gòu)的職責(zé)等內(nèi)容。該法明確了個人信息的內(nèi)涵，厘清了個人信息保護(hù)的關(guān)鍵內(nèi)容，設(shè)置了個人信息保護(hù)的責(zé)任主體和職責(zé)。

其后，新加坡制定了多部附屬法例，其中包括2014年出臺的《個人數(shù)據(jù)保護(hù)規(guī)例》。2020年底，新加坡通過《個人數(shù)據(jù)保護(hù)法修正案》，新增了個人信息攜帶權(quán)和數(shù)據(jù)傳輸義務(wù)相關(guān)內(nèi)容，強(qiáng)化了信息主體對其信息的控制權(quán)，同時支持機(jī)構(gòu)和企業(yè)基于公共利益和業(yè)務(wù)改善等合法目的，對個人信息的合法收集、使用和披露，堅持權(quán)利保護(hù)和信息利用并重。此外，修正案還加強(qiáng)了機(jī)構(gòu)的問責(zé)制，明確了個人信息處理的違法行為，增強(qiáng)了對違法行為的處罰力度，提高了個人數(shù)據(jù)保護(hù)委員會的執(zhí)行力和執(zhí)法效率。

對于個人信息的本地化存儲，新加坡在通用的個人信息保護(hù)要求中并沒有作出強(qiáng)制性要求。對于個人信息的跨境流動，新加坡設(shè)定了向境外流出的條件，即在信息接收國家或地區(qū)的個人信息保護(hù)標(biāo)準(zhǔn)與新加坡《個人數(shù)據(jù)保護(hù)法》相當(dāng)時，才許可個人信息的自由流動。但在獲得信息主體的同意、履行合同義務(wù)需要、傳輸?shù)膫€人信息屬于公開信息、涉及生命健康等重大利益或僅在新加坡中轉(zhuǎn)時，也符合個人信息跨境流動的條件。