張衛(wèi)彬，陳 計(jì)

(安徽財(cái)經(jīng)大學(xué) 法學(xué)院，安徽 蚌埠 233030)

在數(shù)字化轉(zhuǎn)型時(shí)代，互聯(lián)網(wǎng)和經(jīng)濟(jì)全球化交織在一起，跨境電商作為外貿(mào)發(fā)展的升級(jí)模式，呈現(xiàn)出如火如荼的新態(tài)勢(shì)(圖1)。據(jù)《中國(guó)電子商務(wù)報(bào)告(2022)》統(tǒng)計(jì)，2021年我國(guó)跨境電商進(jìn)出口總量達(dá)1.98萬(wàn)億，其中出口量達(dá)1.44萬(wàn)億，增長(zhǎng)率分別為15%和24.5%。面對(duì)復(fù)雜多變的網(wǎng)絡(luò)市場(chǎng)環(huán)境，許多電商平臺(tái)不得不采取相應(yīng)措施來(lái)搜集用戶的消費(fèi)數(shù)據(jù)信息，以實(shí)現(xiàn)針對(duì)性地推廣，提高自身競(jìng)爭(zhēng)力，擴(kuò)大市場(chǎng)份額。目前針對(duì)跨境電商中個(gè)人信息保護(hù)的探討主要集中在國(guó)際協(xié)調(diào)機(jī)制[1]和管轄權(quán)歸屬[2]層面，鮮少有學(xué)者把研究視角置于國(guó)內(nèi)領(lǐng)域，長(zhǎng)期以來(lái)我國(guó)個(gè)人信息保護(hù)重視程度不足，始于起步階段，盡管《網(wǎng)絡(luò)安全法》和《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法(征求意見(jiàn)稿)》均對(duì)個(gè)人信息中的重要數(shù)據(jù)提出了指示性規(guī)定，但更具專門(mén)性的《重要數(shù)據(jù)指南》仍處于“萌芽”狀態(tài)，致使網(wǎng)絡(luò)用戶個(gè)人信息保護(hù)在跨境電商領(lǐng)域的實(shí)踐具有一定的困難。因此，通過(guò)深入剖析我國(guó)跨境電商領(lǐng)域中網(wǎng)絡(luò)用戶個(gè)人信息保護(hù)存在的問(wèn)題，并提出相應(yīng)的解決方案，來(lái)契合和滿足當(dāng)前個(gè)人信息保護(hù)的現(xiàn)實(shí)需求。

圖1 2017—2021年中國(guó)跨境電商進(jìn)出口總額統(tǒng)計(jì)資料來(lái)源：中國(guó)電子商務(wù)報(bào)告

一、我國(guó)跨境電商中網(wǎng)絡(luò)用戶個(gè)人信息保護(hù)的立法檢視與評(píng)述

我國(guó)跨境電商中網(wǎng)絡(luò)用戶個(gè)人信息保護(hù)法律規(guī)則欠缺，系統(tǒng)性不足，總體上呈現(xiàn)出較為薄弱的立法樣態(tài)。2021年8月20日，十三屆全國(guó)人大常委會(huì)第三十次會(huì)議審議并通過(guò)了第一部針對(duì)個(gè)人信息保護(hù)的專門(mén)立法——《中華人民共和國(guó)個(gè)人信息保護(hù)法》，為我國(guó)跨境電子商務(wù)中個(gè)人信息的保護(hù)和流動(dòng)提供了原則性、綱領(lǐng)性的指引，第三十八條指出，“個(gè)人信息處理者確因業(yè)務(wù)需要，要向境外提供信息的，個(gè)人信息處理者應(yīng)采取必要的措施，保障境外接收方處理個(gè)人信息達(dá)到本法規(guī)定的標(biāo)準(zhǔn)”，該法明確了個(gè)人信息處理者在信息跨境流動(dòng)的責(zé)任，一定程度上彌補(bǔ)了信息跨境流動(dòng)的法律空缺，但由于規(guī)定得較為寬泛和模糊，缺乏具體的可操作性，發(fā)揮的作用極為有限。與之相銜接，我國(guó)《電子商務(wù)法》第六十九條、第七十一條、第七十九條則規(guī)定了，“電子商務(wù)經(jīng)營(yíng)者應(yīng)保護(hù)電子商務(wù)用戶信息，違反法律、法規(guī)有關(guān)個(gè)人信息保護(hù)規(guī)定的，依照相應(yīng)的規(guī)定進(jìn)行處罰”，兩法之間相互協(xié)調(diào)配合，共同保障跨境電商中用戶的信息安全。為了上述法律規(guī)范能夠落到實(shí)處，具備可操作性，2022年7月國(guó)家互聯(lián)網(wǎng)信息辦公室又出臺(tái)了《數(shù)據(jù)出境安全評(píng)估辦法》(以下簡(jiǎn)稱“評(píng)估辦法”)，系統(tǒng)而全面地提出了數(shù)據(jù)出境的詳細(xì)標(biāo)準(zhǔn)?！霸u(píng)估辦法”第三條、第五條、第八條創(chuàng)設(shè)了我國(guó)首個(gè)數(shù)據(jù)評(píng)估安全體系，要求對(duì)數(shù)據(jù)的出境目的、方式、范圍以及境外接收方的技術(shù)、能力等方面綜合評(píng)估，從多維度保障跨境電商中網(wǎng)絡(luò)用戶的個(gè)人信息安全。然而前述立法和規(guī)范性文件多集中于境內(nèi)或者電商經(jīng)營(yíng)者視角，對(duì)用戶的關(guān)注度不足，如，當(dāng)用戶數(shù)據(jù)信息泄露、個(gè)人信息遭受侵害時(shí)救濟(jì)路徑不明；數(shù)據(jù)跨境輸出時(shí)，怎樣取得用戶的同意以及取得何種程度的同意，法律都沒(méi)有做出明確的規(guī)定，其他有關(guān)跨境電商網(wǎng)絡(luò)用戶個(gè)人信息保護(hù)的規(guī)則闕如。

通觀上述法律規(guī)范(表1)，對(duì)我國(guó)現(xiàn)行立法簡(jiǎn)要評(píng)析如下，首先，在立法形式上采取的是數(shù)據(jù)主體同意的事前模式。我國(guó)《網(wǎng)絡(luò)安全法》第42條規(guī)定，“網(wǎng)絡(luò)運(yùn)營(yíng)者不得泄露、篡改、損毀其收集的個(gè)人信息；未經(jīng)被收集人同意，不得向他人提供信息” ，歸納分析我國(guó)在跨境電商領(lǐng)域中個(gè)人信息保護(hù)的法律規(guī)范，不難得出我國(guó)立法支持?jǐn)?shù)據(jù)主體同意的觀點(diǎn)，選用的是“數(shù)據(jù)主體同意+安全評(píng)估”的對(duì)內(nèi)事前防范制度。我國(guó)跨境電商規(guī)模在世界處于領(lǐng)先地位，但數(shù)據(jù)保護(hù)規(guī)則尚不成熟、仍處于探索階段，數(shù)據(jù)主體同意模式將權(quán)力賦予個(gè)人，雖然減少企業(yè)的合規(guī)成本，但造成網(wǎng)絡(luò)用戶個(gè)人信息保護(hù)力度不足，數(shù)據(jù)安全協(xié)調(diào)治理能力較低。其次，在立法設(shè)定上私法合規(guī)監(jiān)督不足。我國(guó)跨境電商中網(wǎng)絡(luò)用戶個(gè)人信息保護(hù)的法律法規(guī)多是從行政管理便利的角度出發(fā)，沒(méi)有為企業(yè)設(shè)立明確的規(guī)范與標(biāo)準(zhǔn)，平臺(tái)難以充分利用自身數(shù)據(jù)便利的特點(diǎn)為用戶提供“個(gè)人信息盾”保護(hù)。我國(guó)《公司法》《合伙企業(yè)法》《個(gè)人獨(dú)資企業(yè)法》等都沒(méi)有將個(gè)人信息安全保障列為企業(yè)內(nèi)部義務(wù)，對(duì)商業(yè)主體自治尤其是企業(yè)內(nèi)部合規(guī)的關(guān)注不夠，可以借鑒《APEC隱私框架》，從企業(yè)切入，創(chuàng)新數(shù)據(jù)保護(hù)路徑，形成網(wǎng)絡(luò)用戶個(gè)人信息保護(hù)的最佳實(shí)踐 。 最后，在立法體例上呈現(xiàn)出較為分散的樣態(tài)。我國(guó)跨境電商中保護(hù)網(wǎng)絡(luò)用戶個(gè)人信息的條款既橫向分布于不同的法律部門(mén)中，又縱向散于不同效力位階之間[3]，如《刑法修正案(七)》《刑法修正案(九)》第253條對(duì)公民販賣(mài)個(gè)人信息的犯罪作了相關(guān)規(guī)定，《個(gè)人信息保護(hù)法》第66條又對(duì)針對(duì)個(gè)人信息侵權(quán)行為設(shè)立相應(yīng)懲罰措施，關(guān)于個(gè)人信息侵權(quán)的處罰方案交叉于刑、民兩個(gè)學(xué)科，不同法律領(lǐng)域內(nèi)的價(jià)值取向和界定標(biāo)準(zhǔn)不一，容易造成部門(mén)法之間銜接不當(dāng)，既不利于主體明確行使權(quán)利，又加大爭(zhēng)議解決的成本和難度，應(yīng)在跨境電商領(lǐng)域加速形成以憲法為核心，以法律為主干，以法律、規(guī)章及其他規(guī)范性文件為補(bǔ)充的相互交融、聯(lián)動(dòng)的個(gè)人信息保護(hù)立法體系。

表1 我國(guó)跨境電商網(wǎng)絡(luò)用戶個(gè)人信息保護(hù)主要法律規(guī)范匯總

二、我國(guó)跨境電商中網(wǎng)絡(luò)用戶個(gè)人信息保護(hù)困境：規(guī)則闕漏

(一)個(gè)人信息保護(hù)標(biāo)準(zhǔn)落后

受“公共利益優(yōu)先”理念的影響，我國(guó)長(zhǎng)期以來(lái)對(duì)個(gè)人信息的保護(hù)力度不足，近年來(lái)，我國(guó)出臺(tái)了一些技術(shù)標(biāo)準(zhǔn)和管理標(biāo)準(zhǔn)，遺憾的是，技術(shù)標(biāo)準(zhǔn)沒(méi)有專門(mén)為個(gè)人信息保護(hù)而設(shè)，管理標(biāo)準(zhǔn)方面也僅考慮了計(jì)算機(jī)進(jìn)行個(gè)人數(shù)據(jù)傳輸時(shí)的安全。2012年我國(guó)首個(gè)全國(guó)性個(gè)人信息保護(hù)標(biāo)準(zhǔn)《信息安全 公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》誕生，由中國(guó)軟件評(píng)測(cè)中心牽頭并聯(lián)合多家單位共同制定、2017年國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)又發(fā)布了GB/T35273-2017《信息安全技術(shù) 個(gè)人信息安全規(guī)范》；此外地方上也有著制定個(gè)人信息保護(hù)標(biāo)準(zhǔn)的嘗試，如2012年大連市發(fā)布了DB21/T 1522《軟件及信息服務(wù)業(yè)個(gè)人信息保護(hù)規(guī)范》、2008年西安軟件園發(fā)展中心頒布了《陜西軟件和信息服務(wù)業(yè)個(gè)人信息保護(hù)規(guī)范》。從總體上看，我國(guó)所頒布的個(gè)人信息保護(hù)標(biāo)準(zhǔn)相對(duì)落后，條款主要集中在個(gè)人信息的收集和使用層面，對(duì)個(gè)人信息的披露和保護(hù)鮮有涉及，仍停留在20世紀(jì)60年代提出的“公平信息實(shí)踐”階段，企業(yè)缺乏可操作性，實(shí)用性不強(qiáng)，大數(shù)據(jù)時(shí)代來(lái)臨，我國(guó)公民越來(lái)越重視個(gè)人信息的安全與維護(hù)，原有的信息安全規(guī)范已不能適應(yīng)時(shí)代的發(fā)展，為滿足消費(fèi)者隱私保護(hù)的需求，急需制定準(zhǔn)確、完整、詳盡的個(gè)人信息保護(hù)規(guī)范，逐步建立起一套既符合中國(guó)國(guó)情又與國(guó)際并軌的個(gè)人信息保護(hù)標(biāo)準(zhǔn)體系。

(二)法律責(zé)任屬性模糊

在跨境電商侵害網(wǎng)絡(luò)用戶個(gè)人信息的司法實(shí)踐中，通常涉及侵權(quán)和合同之債兩大問(wèn)題，即網(wǎng)絡(luò)用戶選擇侵權(quán)還是合同違約，以何種方式向跨境電商平臺(tái)主張自己的權(quán)利。在現(xiàn)實(shí)生活中，跨境電商平臺(tái)要求消費(fèi)者必須進(jìn)行實(shí)名注冊(cè)，才可以在平臺(tái)進(jìn)行消費(fèi)行為。注冊(cè)行為往往伴隨著與平臺(tái)簽訂《隱私保護(hù)政策》和《注冊(cè)協(xié)議》，該協(xié)議用于規(guī)范平臺(tái)和消費(fèi)者之間的權(quán)利義務(wù)，明確跨境電商平臺(tái)收集、整理、使用和披露消費(fèi)者信息的方式和范圍。根據(jù)此協(xié)議，跨境電商平臺(tái)一般需要承擔(dān)保護(hù)用戶個(gè)人信息的義務(wù)，當(dāng)平臺(tái)由于疏于管理過(guò)失或故意地侵害用戶個(gè)人信息的時(shí)候，消費(fèi)者可以依據(jù)協(xié)議向跨境電商平臺(tái)提起賠償訴求，同時(shí)該行為又是一種侵權(quán)行為，侵害公民的知情權(quán)、信息安全權(quán)等人格權(quán)，此時(shí)在跨境電商平臺(tái)侵害用戶個(gè)人信息糾紛中，侵權(quán)和違約行為就產(chǎn)生了競(jìng)合[4]。在2016年“馮紅真訴浙江天貓、淘寶中國(guó)侵權(quán)責(zé)任糾紛案(1)案中原告馮紅真2016年7月25日，在天貓國(guó)際山田養(yǎng)蜂海外旗艦店購(gòu)買(mǎi)了“羅馬尼亞產(chǎn)成熟洋槐蜂蜜300g”商品1箱，因產(chǎn)品功效未達(dá)到廣告宣傳，雙方產(chǎn)生爭(zhēng)議，訴至法院。但之前原告與天貓國(guó)際簽署的《用戶服務(wù)協(xié)議》第九條規(guī)定，“本協(xié)議之效力、解釋、變更、執(zhí)行與爭(zhēng)議解決均適用香港法律，任何與香港的法律沖突規(guī)則或原則不適用本協(xié)議”，雙方已確定了準(zhǔn)據(jù)法，但審理時(shí)太原市中院仍直接依據(jù)《中華人民共和國(guó)消費(fèi)者權(quán)益保護(hù)法》第四十四條的規(guī)定，認(rèn)定原告也沒(méi)有證據(jù)證明被告淘寶中國(guó)控股有限公司明知或應(yīng)知銷(xiāo)售者利用平臺(tái)侵害其合法權(quán)益，駁回原告起訴?！敝?，太原市中院在審理本案的過(guò)程中，越過(guò)選用法律的論證環(huán)節(jié)，直接依據(jù)《中華人民共和國(guó)消費(fèi)者權(quán)益保護(hù)法》的規(guī)定，判定被告沒(méi)有侵害原告的合法權(quán)益，駁回原告的訴求請(qǐng)求[9]。本案中太原市中院直接采取侵權(quán)作為案由來(lái)審理案件，而在更多時(shí)候，基層人民法院包括派出法庭在內(nèi)處理類似案件往往按照合同違約進(jìn)行審理。我國(guó)法院在長(zhǎng)期“重實(shí)體輕程序”的局限性思維下，侵權(quán)和違約法律適用模糊，未來(lái)需要進(jìn)一步厘清侵權(quán)和違約在跨境電商網(wǎng)絡(luò)用戶個(gè)人信息侵權(quán)案的適用界限，正確識(shí)別法律關(guān)系；選取合理便利的規(guī)則，實(shí)現(xiàn)充分救濟(jì)當(dāng)事人合法權(quán)益的目標(biāo)。

(三)強(qiáng)制性規(guī)則匱乏

自2021年《個(gè)人信息保護(hù)法》和2016年《網(wǎng)絡(luò)安全法》出臺(tái)以后，跨境電商業(yè)務(wù)中個(gè)人信息數(shù)據(jù)流轉(zhuǎn)的行為就逐步納入法治監(jiān)管的軌道上，我國(guó)新規(guī)定的國(guó)家安全審查制度和本地存儲(chǔ)制度對(duì)個(gè)人數(shù)據(jù)的利用和保護(hù)提出了更高的標(biāo)準(zhǔn)，然而在具體的實(shí)踐過(guò)程中，這些強(qiáng)制性規(guī)則在跨境電商個(gè)人信息保護(hù)的適用中存在著明顯的缺陷與不足。首先，國(guó)家網(wǎng)信辦在國(guó)家安全審查制度實(shí)施的過(guò)程中只具備單向性，即只對(duì)我國(guó)個(gè)人信息數(shù)據(jù)流向境外時(shí)進(jìn)行審核，當(dāng)境外數(shù)據(jù)流入國(guó)內(nèi)是否需要審查在《網(wǎng)絡(luò)安全法》中并未提及[5]。其次，為了進(jìn)一步推動(dòng)跨境電商產(chǎn)業(yè)的蓬勃發(fā)展，國(guó)家安全審查制度和本地存儲(chǔ)制度在適用對(duì)象上有所限縮，只限定到關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者，未采用國(guó)際上的通行做法，將適用對(duì)象擴(kuò)大至全網(wǎng)。最后，個(gè)人信息和重要數(shù)據(jù)的解釋不明是法律適用時(shí)的突出短板，阻礙了強(qiáng)制性規(guī)則的落地與實(shí)施，為我國(guó)跨境電商中個(gè)人信息保護(hù)的國(guó)際合作帶來(lái)了嚴(yán)峻的挑戰(zhàn)。若網(wǎng)絡(luò)用戶的個(gè)人信息造成泄漏，被境外不法分子所利用，勢(shì)必會(huì)對(duì)我國(guó)的國(guó)家安全和公共利益造成重大侵害；2018年中美貿(mào)易戰(zhàn)延續(xù)至今且呈形勢(shì)加劇的趨勢(shì)，國(guó)際社會(huì)上反貿(mào)易全球化主義浪潮有著復(fù)蘇跡象[6]，在此背景下，美國(guó)想要阻擋我國(guó)經(jīng)濟(jì)發(fā)展的腳步，必然對(duì)跨境電商等新型互聯(lián)網(wǎng)產(chǎn)業(yè)提出更嚴(yán)格的個(gè)人信息數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，以圖削減我國(guó)對(duì)外貿(mào)易的總量。我國(guó)要高度重視跨境電商中的個(gè)人信息數(shù)據(jù)安全問(wèn)題，建立起一套系統(tǒng)完備的強(qiáng)制性規(guī)則體系，用以面對(duì)國(guó)際貿(mào)易中可能出現(xiàn)的沖擊和影響。

(四)個(gè)人信息安全保護(hù)體系缺損

跨境電子商務(wù)中的數(shù)據(jù)流動(dòng)和保護(hù)治理涉及一國(guó)網(wǎng)絡(luò)空間主權(quán)，與網(wǎng)絡(luò)用戶個(gè)人信息保護(hù)息息相關(guān)，2020年新加坡電商巨頭Lazard公司110萬(wàn)用戶個(gè)人信息數(shù)據(jù)泄漏，對(duì)于總?cè)丝谥挥?70萬(wàn)的新加坡，無(wú)疑是一場(chǎng)巨大的災(zāi)難，引起了大范圍的社會(huì)動(dòng)蕩和民眾恐慌；無(wú)獨(dú)有偶，2019年我國(guó)深圳都市頻道報(bào)道，深圳市民鄒女士查詢跨境電商個(gè)人額度時(shí)，發(fā)現(xiàn)自己名下多出40余條非本人購(gòu)買(mǎi)記錄，經(jīng)海關(guān)總署證實(shí)其個(gè)人信息泄漏并遭到冒用[7]。當(dāng)前我國(guó)《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)安全法》以及《電子商務(wù)法》規(guī)定了跨境電商平臺(tái)在收集、整理、使用和披露個(gè)人信息時(shí)需要滿足合法、正當(dāng)和必要的條件，同時(shí)又規(guī)定了相應(yīng)的數(shù)據(jù)安全儲(chǔ)存制度，看似高標(biāo)準(zhǔn)、嚴(yán)要求的個(gè)人信息安全保護(hù)體系背后仍有很大的改進(jìn)空間。首先，在個(gè)人信息數(shù)據(jù)本地化存儲(chǔ)的過(guò)程中，并未對(duì)儲(chǔ)存方式按照數(shù)據(jù)備份、數(shù)據(jù)留存、特定數(shù)據(jù)留存、自有服務(wù)器數(shù)據(jù)留存等種類進(jìn)行細(xì)化，方式混亂，備份和留存間界限模糊，這些儲(chǔ)存行為使得我國(guó)的個(gè)人信息數(shù)據(jù)法律保護(hù)體系形成空隙，容易引發(fā)上述信息安全的一系列事故[8]。其次，我國(guó)現(xiàn)行的個(gè)人信息數(shù)據(jù)跨境流轉(zhuǎn)制度采取的政府審批和許可制度與全球數(shù)據(jù)經(jīng)濟(jì)發(fā)展的趨勢(shì)背道而馳，政府?dāng)?shù)據(jù)監(jiān)管負(fù)擔(dān)過(guò)重、監(jiān)管模糊，容易使得個(gè)人信息安全受到侵害，宜將權(quán)力下放，充分發(fā)揮企業(yè)數(shù)據(jù)安全自我評(píng)價(jià)機(jī)制的積極作用，通過(guò)形成數(shù)據(jù)跨境流轉(zhuǎn)時(shí)事前監(jiān)管事中、事后監(jiān)管轉(zhuǎn)移的綜合監(jiān)管模式，提升監(jiān)管的作用和效能，在跨境電商的數(shù)據(jù)跨境流轉(zhuǎn)階段充分保障網(wǎng)絡(luò)用戶的個(gè)人信息安全。

三、個(gè)人信息保護(hù)路徑展望：理念設(shè)計(jì)與機(jī)制配套

大數(shù)據(jù)時(shí)代，數(shù)字經(jīng)濟(jì)已經(jīng)成為各國(guó)經(jīng)濟(jì)發(fā)展繁榮的核心推動(dòng)力，據(jù)中國(guó)互聯(lián)網(wǎng)觀察(China Internet Watch)數(shù)據(jù)顯示，早在2020年我國(guó)跨境電商規(guī)模已經(jīng)達(dá)10.3萬(wàn)億，位居全球第一[9]，但近年來(lái)由于國(guó)家個(gè)人信息保護(hù)制度缺位、個(gè)人信息保護(hù)法律規(guī)則零散、網(wǎng)絡(luò)用戶個(gè)人信息保護(hù)力度不足，給我國(guó)跨境電商經(jīng)營(yíng)者造成了巨大的負(fù)擔(dān)。

(一)個(gè)人信息保護(hù)的理念設(shè)計(jì)

1.堅(jiān)持行政機(jī)關(guān)監(jiān)管與跨境電商平臺(tái)自治并重的理念

我國(guó)跨境電商網(wǎng)絡(luò)用戶個(gè)人信息保護(hù)的立法實(shí)踐中，對(duì)行政機(jī)關(guān)附加的數(shù)據(jù)安全保障義務(wù)過(guò)重，而對(duì)跨境電商平臺(tái)的要求畸輕，跨境電商中用戶個(gè)人信息的保護(hù)既需要依托行政機(jī)關(guān)信息數(shù)據(jù)保護(hù)職責(zé)的明確與積極行使，更要充分發(fā)揮跨境電商平臺(tái)主體自治的主觀能動(dòng)性，兩者相互協(xié)調(diào)、相互配合，共同提升網(wǎng)絡(luò)用戶個(gè)人信息保護(hù)的水平。行政機(jī)關(guān)在監(jiān)管的過(guò)程中，往往只重視發(fā)揮自身的監(jiān)管效能，忽略跨境電商平臺(tái)的作用，但在現(xiàn)實(shí)案例中，平臺(tái)在個(gè)人信息保護(hù)過(guò)程中卻有著舉足輕重的作用，如2008年Facebook 個(gè)人信息泄漏丑聞?wù)痼@世界，數(shù)據(jù)被傳輸至英國(guó)劍橋分析公司用于預(yù)測(cè)美國(guó)大選，最后的維權(quán)行為是由美國(guó)貿(mào)易委員會(huì)(FTC)委托相關(guān)平臺(tái)實(shí)施而非權(quán)利人[10]。因此在我國(guó)跨境電商網(wǎng)絡(luò)用戶個(gè)人信息保護(hù)制度的構(gòu)造上，要貫徹落實(shí)行政機(jī)關(guān)監(jiān)管和跨境電商平臺(tái)自治并重的理念，跨境電商業(yè)務(wù)中個(gè)人信息數(shù)據(jù)傳輸至邊境乃至境外，行政機(jī)關(guān)僅依靠自身力量進(jìn)行監(jiān)管力有不逮，在肯定行政權(quán)規(guī)制的同時(shí)要充分尊重跨境電商平臺(tái)的內(nèi)部自治性，企業(yè)天然具有追求自身利益最大化的盈利特性，鼓勵(lì)跨境電商平臺(tái)在維護(hù)個(gè)人信息安全的前提下，對(duì)個(gè)人信息數(shù)據(jù)合理調(diào)配，突破數(shù)據(jù)收集的初始目的對(duì)數(shù)據(jù)加以充分地利用[11]，以此讓企業(yè)充分認(rèn)識(shí)到個(gè)人信息數(shù)據(jù)的價(jià)值，提高對(duì)數(shù)據(jù)安全保障的重視程度，發(fā)揮企業(yè)的監(jiān)管作用，推動(dòng)跨境電商平臺(tái)自治模式升級(jí)，讓網(wǎng)絡(luò)用戶個(gè)人信息得到切實(shí)的保障。

2.堅(jiān)持國(guó)內(nèi)立法修正與國(guó)際規(guī)則借鑒相協(xié)調(diào)的理念

在跨境電商網(wǎng)絡(luò)用戶個(gè)人信息保護(hù)的規(guī)則架構(gòu)中，既要植根于中國(guó)本土的政治、經(jīng)濟(jì)、法律土壤，又要順應(yīng)全球信息數(shù)據(jù)跨境流動(dòng)治理的趨勢(shì)，借鑒國(guó)際上先進(jìn)的信息數(shù)據(jù)治理經(jīng)驗(yàn)。首先，要對(duì)我國(guó)傳統(tǒng)的知情同意規(guī)則進(jìn)行補(bǔ)足和完善。知情同意是在“同意”的意思表示下允許他人對(duì)自身信息加以使用，是主體間交往時(shí)設(shè)定法律關(guān)系的基礎(chǔ)與前提行為，然而在數(shù)據(jù)和算法的沖擊下，卻有著逐漸失靈的征兆，需要適時(shí)對(duì)知情同意規(guī)則進(jìn)行修正：所有個(gè)人信息的收集與處理未來(lái)均需得到同意，但同意應(yīng)當(dāng)具體類型化為明示同意、默示同意、有效同意[12]，美國(guó)、歐盟所提出的場(chǎng)景和風(fēng)險(xiǎn)理念就是該種修正方式的動(dòng)態(tài)回應(yīng)，其認(rèn)為數(shù)據(jù)開(kāi)發(fā)分析和個(gè)人信息保護(hù)是一種利益平衡的關(guān)系，通過(guò)擴(kuò)大權(quán)利人同意的事項(xiàng)范圍，加重機(jī)構(gòu)處理和收集數(shù)據(jù)的責(zé)任，來(lái)協(xié)調(diào)個(gè)人信息保護(hù)和利用的關(guān)系。其次，在借鑒國(guó)際先進(jìn)立法經(jīng)驗(yàn)的基礎(chǔ)上，構(gòu)筑我國(guó)本土網(wǎng)絡(luò)用戶個(gè)人信息保護(hù)規(guī)則體系。國(guó)際層面跨境電商中個(gè)人信息保護(hù)規(guī)則多集中于雙邊條約和多邊條約，雙邊條約更符合締約國(guó)雙方的利益需求，權(quán)利義務(wù)明確，監(jiān)督執(zhí)行機(jī)制嚴(yán)格，以2016年的《歐美隱私盾》為典型代表；而多邊條約是在諸多締約國(guó)個(gè)人信息保護(hù)水平參差不齊背景下，各方求同存異的考量，易于推動(dòng)全球貿(mào)易合作。我國(guó)可以兼采上述條約中的先進(jìn)理念，構(gòu)造出“原則+減損”的模式，以保護(hù)為原則，以限制為例外——既保護(hù)信息數(shù)據(jù)自由流動(dòng)又保護(hù)個(gè)人信息安全，既限制信息數(shù)據(jù)的跨境轉(zhuǎn)移又限制個(gè)人信息保障，在進(jìn)行安全評(píng)估的前提下，區(qū)分個(gè)人信息數(shù)據(jù)性質(zhì)，綜合引入數(shù)據(jù)主體同意、適當(dāng)性評(píng)估、數(shù)據(jù)控制者確保模式[13]，在中國(guó)倡導(dǎo)構(gòu)建人類命運(yùn)共同體的背景下，推動(dòng)全球信息數(shù)據(jù)安全保護(hù)體系變革，助力我國(guó)跨境電子商務(wù)產(chǎn)業(yè)的持續(xù)性發(fā)展。

(二)個(gè)人信息保護(hù)的機(jī)制配套

1.提高個(gè)人信息保護(hù)標(biāo)準(zhǔn)

標(biāo)準(zhǔn)一般是由專業(yè)的標(biāo)準(zhǔn)制定機(jī)構(gòu)或行業(yè)的專業(yè)性組織制定，用于對(duì)行業(yè)的技術(shù)、管理、操作、流程等方面進(jìn)行指導(dǎo)，個(gè)人信息保護(hù)標(biāo)準(zhǔn)也不例外，個(gè)人信息保護(hù)標(biāo)準(zhǔn)依據(jù)標(biāo)準(zhǔn)化對(duì)象可以劃分為技術(shù)標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)、工作標(biāo)準(zhǔn)和服務(wù)標(biāo)準(zhǔn)，但由于技術(shù)標(biāo)準(zhǔn)和管理標(biāo)準(zhǔn)的效果更強(qiáng)，作用更為明顯，所以主要從這兩個(gè)維度入手進(jìn)行分析。

首先，在技術(shù)標(biāo)準(zhǔn)上，可將個(gè)人信息保護(hù)分為3個(gè)要素：分享(4種屬性)、二次利用(3種屬性)和持有數(shù)據(jù)(3種屬性)，其中每個(gè)要素都具備若干屬性，如二次利用要素有相同情況二次利用、用戶定位二次利用、營(yíng)銷(xiāo)目的二次利用等三種屬性[14]。從上述每個(gè)要素中抽取一個(gè)屬性，進(jìn)行排列組合，可以得到36種從寬松到嚴(yán)格的個(gè)人信息保護(hù)標(biāo)準(zhǔn)(圖2)，用戶可以依據(jù)自身情況對(duì)每種屬性進(jìn)行授權(quán)，從細(xì)微的技術(shù)劃分標(biāo)準(zhǔn)入手，充分保障用戶的個(gè)人信息安全。

圖2 個(gè)人信息保護(hù)技術(shù)標(biāo)準(zhǔn)運(yùn)行圖

其次，在管理標(biāo)準(zhǔn)上，采用個(gè)人信息影響評(píng)估模式。隨著跨境電商平臺(tái)日益增多的個(gè)人信息侵權(quán)行為，用戶對(duì)個(gè)人信息安全保障的需求越來(lái)越高，而個(gè)人信息影響評(píng)估模式則可以實(shí)現(xiàn)企業(yè)和消費(fèi)者間的利益平衡，該種模式下，既要考慮企業(yè)利益，也要考慮消費(fèi)者需求；評(píng)估范圍不僅包括個(gè)人行為信息、人際溝通信息也包括個(gè)人數(shù)據(jù)信息；評(píng)估過(guò)程既包括信息交換、也包括方案適應(yīng)性研究，通過(guò)運(yùn)用事前預(yù)測(cè)的方式，讓跨境電商平臺(tái)利用個(gè)人信息評(píng)估模式預(yù)測(cè)出可能出現(xiàn)的個(gè)人信息侵權(quán)風(fēng)險(xiǎn)，給數(shù)據(jù)主體提供化解這些風(fēng)險(xiǎn)的措施，為網(wǎng)絡(luò)用戶個(gè)人信息的保護(hù)添設(shè)一道“防火墻”。

2.厘清法律責(zé)任屬性

顯然，跨境電子商務(wù)中網(wǎng)絡(luò)用戶個(gè)人信息的保護(hù)實(shí)則涉及到了侵權(quán)和合同兩個(gè)領(lǐng)域，我國(guó)對(duì)法律規(guī)則的適用堅(jiān)持侵權(quán)行為和違約行為的絕對(duì)區(qū)分主義。傳統(tǒng)違約和侵權(quán)的界分，依據(jù)違反義務(wù)的來(lái)源是約定義務(wù)還是法定義務(wù)進(jìn)行辨析，違反約定義務(wù)構(gòu)成合同違約，違法法定義務(wù)構(gòu)成侵權(quán)[15]。但隨著合同法制度的擴(kuò)張，合同義務(wù)并非全是約定義務(wù)，往往伴隨著若干默示義務(wù)或法定義務(wù)，當(dāng)合同約定的義務(wù)涉及人身財(cái)產(chǎn)安全時(shí)，一方當(dāng)事人對(duì)另一方當(dāng)事人就具備合理的安全注意義務(wù)，此種場(chǎng)合下，安全注意義務(wù)就同時(shí)具有約定性和法定性，此時(shí)對(duì)安全注意義務(wù)的違反既構(gòu)成違約也構(gòu)成侵權(quán)，以約定義務(wù)和法定義務(wù)來(lái)辨別責(zé)任的屬性，邏輯上難以自洽且不夠周延?？缇畴娚讨芯W(wǎng)絡(luò)用戶個(gè)人信息的安全保障義務(wù)就屬于此類情形，用戶個(gè)人信息數(shù)據(jù)安全受到侵害時(shí)，既違反協(xié)議內(nèi)容構(gòu)成違約，又侵害人格權(quán)構(gòu)成侵權(quán)。在這種情況下，可以通過(guò)吸納利益載體標(biāo)準(zhǔn)對(duì)傳統(tǒng)劃分方法進(jìn)行補(bǔ)充。利益載體包括履行利益(期待利益)和維持利益(固有利益)，履行利益是合同履行完畢時(shí)當(dāng)事人所能獲取的利益，被認(rèn)為是違約責(zé)任所特有，故該種利益之損害對(duì)應(yīng)違約；維持利益是現(xiàn)狀利益，在當(dāng)事人發(fā)生損害前的固有利益，主要體現(xiàn)為人身和財(cái)產(chǎn)的完整性，對(duì)此利益之損害構(gòu)成侵權(quán)[16]?；貧w到跨境電商領(lǐng)域，在業(yè)務(wù)開(kāi)展過(guò)程中對(duì)個(gè)人信息數(shù)據(jù)的不合理的使用或泄漏，是對(duì)用戶現(xiàn)狀利益(固有利益)即個(gè)人信息安全的直接侵害，用戶的人身權(quán)受損，歸入到侵權(quán)行為的范疇之下更為妥當(dāng)。概言之，以義務(wù)來(lái)源劃分為主，輔之利益載體標(biāo)準(zhǔn)，跨境電商中網(wǎng)絡(luò)用戶個(gè)人信息受到侵害的糾紛宜納入侵權(quán)糾紛領(lǐng)域，在今后的司法實(shí)踐中以侵權(quán)事由進(jìn)行審理案件，要求侵權(quán)人承擔(dān)侵權(quán)責(zé)任，既符合理論的發(fā)展趨勢(shì)也可以更加科學(xué)地保障用戶的個(gè)人信息安全。

3.補(bǔ)足強(qiáng)制性規(guī)則

實(shí)踐證明跨境電商產(chǎn)業(yè)是國(guó)家經(jīng)濟(jì)建設(shè)的強(qiáng)勁動(dòng)力，對(duì)整個(gè)世界經(jīng)濟(jì)發(fā)展都有著巨大的價(jià)值，但強(qiáng)制性規(guī)則缺損難以在網(wǎng)絡(luò)空間對(duì)個(gè)人信息保護(hù)直接適用，跨境電商領(lǐng)域“法不配位”的現(xiàn)象日趨嚴(yán)峻。首先，要對(duì)國(guó)家審查制度進(jìn)行修補(bǔ)。當(dāng)前我國(guó)承擔(dān)個(gè)人信息數(shù)據(jù)跨境遷移監(jiān)管的機(jī)構(gòu)是國(guó)家網(wǎng)信辦，該部門(mén)在監(jiān)督管理時(shí)采取單向?qū)徍酥?，即只在?shù)據(jù)對(duì)外流轉(zhuǎn)時(shí)進(jìn)行審核[17]。眾所周知，對(duì)國(guó)家安全和公共利益的侵害主要來(lái)源于境外的監(jiān)控或間諜行為，如果對(duì)境外數(shù)據(jù)流轉(zhuǎn)至國(guó)內(nèi)不予監(jiān)管，放任境外數(shù)據(jù)自由流動(dòng)，倘若被國(guó)外不法分子或間諜組織肆意利用，不僅在一定程度上阻礙跨境電商產(chǎn)業(yè)發(fā)展，擠壓我國(guó)網(wǎng)絡(luò)用戶個(gè)人信息安全空間，嚴(yán)重的甚至?xí)茐纳鐣?huì)穩(wěn)定危害公共利益和國(guó)家安全，因此需要及時(shí)地將境外數(shù)據(jù)流轉(zhuǎn)至國(guó)內(nèi)的行為納入審查范疇，以填補(bǔ)法律上的滯后和空白。其次，要完善本地存儲(chǔ)制度。所謂本地存儲(chǔ)制度是要求本國(guó)網(wǎng)絡(luò)用戶在互聯(lián)網(wǎng)上產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)均須存儲(chǔ)在本國(guó)境內(nèi)的強(qiáng)制性規(guī)定[18]，我國(guó)《網(wǎng)絡(luò)安全法》第37條將本地存儲(chǔ)制度限定在關(guān)鍵信息之上，是否需要像俄羅斯2014年《澄清電信和電信網(wǎng)絡(luò)中的個(gè)人數(shù)據(jù)處理程序的修正案》中強(qiáng)制跨境電商將所有互聯(lián)網(wǎng)上形成的網(wǎng)絡(luò)數(shù)據(jù)都儲(chǔ)存在境內(nèi)？顯然，基于我國(guó)戰(zhàn)略發(fā)展的通盤(pán)考量，采取寬松的政策更加契合我國(guó)利益，通過(guò)對(duì)個(gè)人信息數(shù)據(jù)本土化的限定來(lái)加強(qiáng)貿(mào)易自由化的推進(jìn)，在兼顧個(gè)人信息保護(hù)的同時(shí)提升我國(guó)跨境電商產(chǎn)業(yè)的發(fā)展。當(dāng)然，不將所有個(gè)人信息數(shù)據(jù)納入本地存儲(chǔ)并不意味著不監(jiān)管，可以適當(dāng)?shù)臄U(kuò)大關(guān)鍵信息的認(rèn)定范圍，以此在網(wǎng)絡(luò)用戶個(gè)人信息保護(hù)和跨境電商產(chǎn)業(yè)發(fā)展之間達(dá)到一種微妙的平衡，我國(guó)《重要數(shù)據(jù)識(shí)別指南》尚未出臺(tái)，在該法律規(guī)范的制定中，科學(xué)地?cái)U(kuò)大重要數(shù)據(jù)的范疇，完全可以對(duì)本地儲(chǔ)存制度進(jìn)行合理的修正。最后，我國(guó)是否有必要引進(jìn)公共秩序保留？公共秩序保留與強(qiáng)制性規(guī)則極其相近，但其適用范圍更廣，在適用方式上也存在一些差異，部分國(guó)家對(duì)強(qiáng)制性規(guī)則和公共秩序保留采取同時(shí)適用的態(tài)度[19]，如德國(guó)。公共制度保留與社會(huì)道德層面的準(zhǔn)則密切相關(guān)，而這些準(zhǔn)則往往都存在模糊地帶，我國(guó)地大物博、幅員遼闊，道德準(zhǔn)則難以在短時(shí)間取得共識(shí)，不具備適用的法律土壤。同時(shí)若對(duì)公共秩序保留加以適用，相較于強(qiáng)制性規(guī)則，法院擁有更大的自由裁量權(quán)，也與我國(guó)的立法趨勢(shì)相沖突，概言之，針對(duì)公共秩序保留，我國(guó)應(yīng)采取審慎的態(tài)度，暫緩引入。

4.健全個(gè)人信息安全保護(hù)體系

隨著我國(guó)跨境電商業(yè)務(wù)的指數(shù)式發(fā)展，信息數(shù)據(jù)安全風(fēng)險(xiǎn)也隨之提高，大型個(gè)人信息泄露事件頻發(fā)，據(jù)國(guó)際數(shù)據(jù)公司(IDC)預(yù)測(cè)，未來(lái)全球四分之一的人口都將受到信息數(shù)據(jù)泄漏的威脅，但無(wú)論是國(guó)內(nèi)法律還是國(guó)際規(guī)則對(duì)跨境電商中網(wǎng)絡(luò)用戶個(gè)人信息的保護(hù)尚缺乏應(yīng)對(duì)經(jīng)驗(yàn)，中國(guó)一直倡導(dǎo)網(wǎng)絡(luò)命運(yùn)共同體理念，完善的個(gè)人信息安全保護(hù)體系(圖3)不僅可以為我國(guó)跨境電商產(chǎn)業(yè)的健康發(fā)展保駕護(hù)航，還可以為全球信息數(shù)據(jù)安全治理貢獻(xiàn)中國(guó)智慧和方案。個(gè)人信息安全保護(hù)體系在完善的過(guò)程中，需要充分發(fā)揮各方的力量，行政機(jī)關(guān)、企業(yè)和個(gè)人共同參與個(gè)人信息保護(hù)工作，協(xié)同推動(dòng)治理進(jìn)程。第一，行政機(jī)關(guān)行應(yīng)該著力于頂層設(shè)計(jì)，加強(qiáng)個(gè)人信息數(shù)據(jù)安全執(zhí)法。首先，在個(gè)人信息數(shù)據(jù)本地化儲(chǔ)存時(shí)，要對(duì)儲(chǔ)存方式進(jìn)行細(xì)化，按照數(shù)據(jù)留存、特有數(shù)據(jù)留存、自有服務(wù)器留存等方式進(jìn)行存儲(chǔ)，井然有序，以降低工作失誤信息數(shù)據(jù)泄漏的可能性。其次，增強(qiáng)復(fù)原力(2)復(fù)原力是指政府機(jī)構(gòu)抵御網(wǎng)絡(luò)攻擊的能力，即能夠抵御破壞并動(dòng)用各種資源以最大程度減少其影響的能力。，在日常管理中，以最小化訪問(wèn)權(quán)限對(duì)信息數(shù)據(jù)進(jìn)行加密和匿名化處理，持續(xù)掃描是否存在漏洞，當(dāng)發(fā)生入侵事件時(shí)，及時(shí)調(diào)用各種資源最大程度地減小個(gè)人信息數(shù)據(jù)泄漏帶來(lái)的危害。第二，企業(yè)應(yīng)完善內(nèi)部個(gè)人信息數(shù)據(jù)安全合規(guī)管理機(jī)制。首先，采取內(nèi)部信息數(shù)據(jù)許可使用方案，明確許可使用的范圍和方式，并讓相關(guān)授權(quán)員工在文本上進(jìn)行簽署，同時(shí)利用大數(shù)據(jù)和成熟的分析技術(shù)檢測(cè)行為異常的員工，盡可能減少接觸個(gè)人信息數(shù)據(jù)的人員，降低信息數(shù)據(jù)泄漏風(fēng)險(xiǎn)。其次，建立安全事件應(yīng)對(duì)機(jī)制，對(duì)事件進(jìn)行預(yù)先的評(píng)估和報(bào)告，阻斷導(dǎo)致事件的源頭，一旦發(fā)生個(gè)人信息數(shù)據(jù)泄漏，采用應(yīng)急處理方案，將損失降低到最低程度。第三，個(gè)人加強(qiáng)信息數(shù)據(jù)安全保護(hù)意識(shí)。首先，在跨境電商平臺(tái)消費(fèi)時(shí)，及時(shí)刪除個(gè)人通話記錄、網(wǎng)上購(gòu)物記錄、網(wǎng)站瀏覽記錄等，切實(shí)做到防患于未然，不給不法分子留下通過(guò)大數(shù)據(jù)推斷出個(gè)人隱私信息的機(jī)會(huì)。其次，當(dāng)個(gè)人信息遭遇泄漏時(shí)，要求跨境電商平臺(tái)刪除相關(guān)信息或采取必要措施制止，也可以向工商部門(mén)、互聯(lián)網(wǎng)管理部門(mén)、公安部門(mén)等相關(guān)機(jī)構(gòu)進(jìn)行投訴舉報(bào)[20]。

圖3 個(gè)人信息安全保護(hù)體系運(yùn)行圖

四、結(jié) 語(yǔ)

跨境電子商務(wù)中網(wǎng)絡(luò)用戶個(gè)人信息的保護(hù)是一個(gè)極其復(fù)雜的問(wèn)題，涉及到我國(guó)的法律、政策和行業(yè)規(guī)范等多個(gè)領(lǐng)域，作為跨境電商這種新型商業(yè)模式下引發(fā)的侵權(quán)糾紛，從覆蓋程度和法律后果來(lái)看，均有別于傳統(tǒng)的個(gè)人信息侵權(quán)案件。但截至目前，跨境電商中網(wǎng)絡(luò)用戶個(gè)人信息保護(hù)尚未形成一套統(tǒng)一的規(guī)則體系，傳統(tǒng)的個(gè)人信息保護(hù)規(guī)則難以應(yīng)對(duì)當(dāng)下情形，亟須完善。在網(wǎng)絡(luò)用戶個(gè)人信息保護(hù)體系的具體構(gòu)造過(guò)程中，既要堅(jiān)持理念的指導(dǎo)又需要有具體的機(jī)制作為配套，特別是在法律責(zé)任辨明和個(gè)人信息安全保護(hù)體系健全時(shí)，要將現(xiàn)代法學(xué)理論融入傳統(tǒng)學(xué)說(shuō)中，對(duì)既有規(guī)則進(jìn)行一定的修正和完善，并充分尊重企業(yè)自治性，發(fā)揮行政機(jī)關(guān)、企業(yè)和個(gè)人數(shù)據(jù)安全協(xié)同治理的效能，唯有如此，才可以降低個(gè)人信息泄漏的風(fēng)險(xiǎn)，在網(wǎng)絡(luò)用戶個(gè)人信息保護(hù)和跨境電商產(chǎn)業(yè)發(fā)展之間尋求一個(gè)平衡點(diǎn)，為跨境電商中網(wǎng)絡(luò)用戶個(gè)人信息的保護(hù)提供有現(xiàn)實(shí)意義和參考價(jià)值的中國(guó)方案。此外，未來(lái)法律修訂時(shí)，要充分借鑒歐盟《通用數(shù)據(jù)保護(hù)條例》和美國(guó)《消費(fèi)者隱私權(quán)保護(hù)法案》的立法經(jīng)驗(yàn)，結(jié)合我國(guó)的實(shí)際情況，對(duì)公共秩序保留和場(chǎng)景風(fēng)險(xiǎn)理論取其精華去其糟粕，制定出一套符合中國(guó)本土化路徑的跨境電商網(wǎng)絡(luò)用戶個(gè)人信息保護(hù)制度。