数据跨境转移中的个人信息保护问题研究

□薛亚君 苏丽琴

随着经济全球化和信息网络技术的发展，数据的跨境转移日益成为商业组织运作、国际贸易和电子商务发展的基础，由此带来的个人信息保护问题也成为国际社会关注的热点，本文将从欧盟和美国的相关状况出发，对数据跨境转移中的个人信息保护问题进行探讨。

一、欧盟

欧盟历史上一直非常重视个人隐私的保护，认为个人信息相关的权利属于基本人权的范畴。早在1981年，欧盟就通过了《关于自动化处理的个人信息保护公约》，对欧盟区域内跨境数据中的个人信息保护问题进行规制。1995年的《关于个人数据处理及自由流通的保护指令》(以下简称《95/46/EC指令》)中，欧盟进一步对成员国向区域外的数据转移做了严格限制，规定只有在第三国能够对个人信息提供充分保护的前提下，才允许成员国的个人数据向第三国转移。该指令同时要求各成员国设立独立于政府的数据保护机构(以下简称DPA)负责监督指令的实施。

由于《95/46/EC指令》过于严格，使得达到其个人信息充分保护标准的国家寥寥无几。2016年4月，欧盟在《95/46/EC指令》的基础之上，制定并通过了《欧盟一般数据保护条例》(以下简称GDPR)并于2018年5月正式生效。GDPR中对于与个人信息跨境转移问题的规定主要体现在以下方面。

(一)GDPR解决了成员国数据保护法不统一带来的行政成本问题。由于原来的《95/46/EC指令》只是最低标准，需要各成员国在此基础上制定各自的国内法，对欧盟多个成员国进行个人信息处理的商业组织就可能需要面对多个不同成员国的数据保护法。而GDPR的性质为“条例”，意味着它无需经成员国转化便自动适用，其中确立的保护标准也转变为欧盟的统一标准而非最低要求，结束了法律不统一给商业组织带来的巨大成本。

(二)GDPR增加了第三国符合“充分保护”标准的几率。GDPR第45条将《95/46/EC指令》中的第25条“第三国能够提供充分保护”修改为“第三国的一个或多个地区或某国际组织能够提供充分保护”，使得第三国符合“充分保护”标准的几率增加。同时还规定，第三国是否提供了充分保护只需要经过欧盟委员会的认定，不再需要成员国的批准，这就避免了成员国在国内法中设定阻碍数据跨境转移的相关程序。GDPR还增加了“数据控制者、数据处理者采取了适当保护措施”这一情形，与原来规定的“第三国提供充分保护”一起并列为允许数据跨境流通的情形，同时规定了若干例外，降低了原有文本中“第三国提供充分保护”的重要性。

(三)“数据控制者”的义务变更。GDPR取消了“数据控制者”在自动化处理数据时向DPA进行通报的规定，取而代之以档案保存义务，并扩大了“数据控制者”的说明责任，要求出现信息泄露时“数据控制者”应当在24小时内向DPA报告相关情况。

(四)GDPR引入新型权利。GDPR引入新型权利如被遗忘权、数据携带权等，并规定只有在欧盟成员国居民的隐私能够得到保护的前提下，才允许数据的跨境转移，从而加强了对个人信息的保护。

二、美国

美国一向主张全球范围内数据的自由流动，强调数据的价值在于交流和利用，不主张对于个人信息跨境转移进行限制。

在美国的主导下，1980年9月，经济合作与发展组织(以下简称OECD)就通过了《关于保护个人隐私与数据跨境转移的指南》(以下简称《OECD指南》)。该指南第三章规定成员国应采取适当的措施以保证个人信息跨境转移的自由，反对以保护个人隐私为由对个人信息的跨境转移进行限制。2004年亚太经济合作组织的《APEC隐私保护框架》，则是以《OECD指南》为主要参考，旨在促进亚太地区无障碍的跨境数据转移，鼓励成员方信息共享。

近年来，美国更是寻求在各种自由贸易协定(FTAs)谈判中引入跨境数据自由转移的相关内容。例如2012年《美—韩自由贸易协定》第15.8条中规定“应尽量避免对跨境数据转移施加不必要的阻碍”，而《跨太平洋贸易与投资伙伴关系协定》(TPP)、《跨大西洋贸易与投资伙伴关系协定》(TTIP)和《服务贸易协定》(TISA)谈判中，跨境数据自由转移也一直是美国最重要的关切。特朗普总统上台后，出于党派利益和竞选承诺的考虑，宣布退出TPP、TTIP和TISA谈判也遭到搁置，但这并不表示美国对跨境数据自由转移的态度会发生改变。2018年9月在签订《美国、墨西哥、加拿大协议》(USMCA)谈判中，美国一再向加、墨两国施压，并最终在USMCA中确定了“跨境数据自由转移”的要求。

在个人信息保护方面，美国没有综合性的个人信息保护法，只是对金融、电信、未成年人、医疗等与敏感信息有关的领域有一些立法，如《电子通讯隐私法》《联邦公平信用报告法》《金融隐私权法案》《有线通讯隐私权法案》《儿童在线隐私权保护法》等，对于其他领域更多地强调行业自律管理与民事救济。2012年的《网络消费者隐私保护框架》，延续了美国希望个人信息在全球范围内自由流动的态度。美国认为信息数据的跨境流通是推动全球经济发展的一个重要元素，各国个人信息保护政策的差异会增加商业组织的经营负担。主张各国相互认可彼此的商业资料隐私体系，并提议设置多元主体参与的程序以达成共同的保护行为规范。这种自律为主的保护体系在涉及到与欧盟有关的跨境数据转移时出现了问题，为此美欧进行了多年的谈判，并在2000年7月达成了《美欧安全港协议》，但该协议随后由于“斯诺登事件”的发生而被废止。2016年，美欧在经过多次磋商后，最终签订《美欧隐私盾协议》，赋予欧盟公民在个人隐私受到侵犯时向美国企业进行申诉的权利。

三、对欧美的分析

以上数据跨境转移中个人信息保护制度，分别代表了“国家主导为主，侧重个人权利保护”与“行业自律为主，侧重信息利用”两种立场。欧盟属于前者，而美国属于后者。

由于美国一直利用其影响力在OECD、APEC等国际组织中推行自己的政策，加上OECD和APEC成立的主要目的是促进成员方的经贸往来，因而《OECD指南》和《APEC隐私保护框架》最终偏向于推动个人信息的跨境转移。例如，两份文件均表明其目的是促进信息在成员方之间自由流动，避免对成员方的经济发展造成障碍，而未提及个人对其信息的权利是“基本权利”或“人权”，也不要求信息只能流向隐私法和法律制度与其相同的组织或国家。欧美不同选择的背后有着各自的原因。

(一)欧美个人信息保护政策的价值优先次序不同。欧盟认为个人对其信息的自决权是欧盟宪法第8条规定的基本人权，是宪法上的价值追求。在经历了二次世界大战中纳粹德国践踏人类尊严的灾难后，欧洲人对任何可能导致人与人之间控制的危险都高度警惕，为了捍卫人权宁肯牺牲一些商业机会。而美国并不认为个人对其信息享有宪法上的权利，也不认为个人信息的保护具有宪法价值。

(二)欧盟注重个人信息的政治特性，对个人信息的保护采取的是权利路径，而美国更注重个人信息的经济特性，对个人信息保护采取的是损害路径。欧盟认为个人对其信息的掌控，是出于个体在社会中发展独立人格的需要，将“信息主体同意”作为个人信息处理合法的前提。除了统一立法确立个人对其信息的权利外，还设立数据保护机构以公权力监督信息处理活动。而美国认为个人信息是一种能够在信息市场上自由流动的商品。除了一些特殊领域外，只要是合法目的所需，任何人都可以进行信息采集，不用事先征得信息主体的同意。在对个人信息处理的问题上，美国反对国家统一立法，全面干预，而是强调多数领域都应该坚持行业自律，只有在对个人信息的处理造成损害时，信息主体才能基于侵犯隐私权要求损害方终止处理行为。

(三)欧美信息技术水平和经济发展状况不同。目前Google、Apple、Amazon等美国企业在欧盟互联网市场上一直占据着主导地位，在相当长的一段时间，欧盟本土的信息产业都难以扭转落后局面。“棱镜计划”的曝光也使得欧盟更加注意防范个人信息跨境移转可能会对其安全造成的危险。因而，尽管严格的跨境信息保护政策也会影响欧盟本土相关企业的发展，但面对信息技术市场被美国企业垄断的现实，欧盟还是采取了严格的保护政策，以求对美国企业进行打压，并保护自己相关产业的安全。而美国作为全球信息技术产业的领头羊，为保持其在电子商务和信息产业的优势地位，同时为了方便刺探他国情报，主张全球范围内个人信息的自由流通。

四、对我国的启示

(一)衡量多种利益关系，加快我国个人信息保护法的进程。随着信息化进程的发展，各国对于信息依赖和利用的需求日益增强，我国个人信息的跨境转移也会越来越频繁。在这种情形下，如果我国不对个人信息进行保护，国外的机构和在华跨国公司会蜂拥而至收集我国的数据并传输至境外。然而令人遗憾的是，我国完整意义上的个人信息保护法至今仍无出台，2012年全国人大常委会的《关于加强网络信息保护的决定》以及2013年工信部的《电信和互联网用户个人信息保护规定》均未提及数据跨境转移问题，《刑法修正案七》的出售、非法提供公民个人信息罪和窃取、非法获取公民个人信息罪所能囊括的仅是非常严重的犯罪行为。目前，只有2013年工信部颁布的《信息安全技术——公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)第5.4.5条规定，“未经个人信息主体的明示同意，或法律法规明确规定，或未经主管部门同意，个人信息管理者不得将个人信息转移给境外个人信息获得者，包括位于境外的个人或境外注册的组织和机构。”但该《指南》只是指导性文件，并无强制约束力，规定也过于简单机械。

由于个人信息的处理是一个复杂的问题，围绕着个人信息，不仅存在着个人信息主体对其个人信息的保护需求，还存在着商业组织对个人信息的商业利用需求以及国家对个人信息的公共管理需求。因而笔者认为，从我国实际情况出发，关注个人、商业组织和国家三方之间的利益平衡应是指导立法的基本精神。

从立法模式上来看，欧盟与美国模式各有其优缺点。欧盟最大的弊病是成本太大，对吸引外资不利，而电子商务背景下，数据信息只能在与欧盟有类似法律的国度之间流通也是不可想象的。欧盟也认识到这个问题，所以在GDPR中进一步简化了数据跨境转移规则，但GDPR的运行对欧盟经济的发展会产生多大的影响，还需要进一步的观察。而美国模式最大的缺点，是过于强调个人信息的经济特性，忽视了信息处理对人格尊严的直接威胁，也忽视了在数据流转过程中个人和企业之间严重的信息不对称问题。现实生活中个人很难了解企业到底如何处理其个人信息，更无法对企业的行为进行有效监控。而行业组织毕竟是民间组织，没有法律的强制执行力，对于违反规则的企业最多就是撤销行业认证，完全的行业自律模式无法对个人信息提供充分有效的保护。

从我国的实际情况来看，与欧盟相似，我国在信息技术领域相对美国而言处于劣势地位，同时我国的行会、商会制度不发达，也没有类似于联邦贸易委员会的机构对行业自治的执行进行监督，过于宽松的自律模式会使得国内的个人信息大规模地向境外集中，存在较大的安全风险。在我国个人信息保护的相关法律不完善，互联网行业不太规范的情形下，主要依靠行业自律来保障数据跨境转移中个人信息的保护不现实。同时，我国与欧盟之间并无“安全港协议”或“隐私盾协议”，完全借用美国模式会使得我国的个人信息保护无法达到欧盟的要求，在与欧盟进行国际贸易往来时产生许多麻烦。

因而笔者赞成对两种模式进行折衷，形式上可采取欧盟模式，在国家层面上制定综合性的个人信息保护法，对包括数据跨境转移在内的基本问题作出规定，但立法时必须有节制，预留一些弹性空间，避免超前立法阻碍经济发展和技术创新。在具体制度上，可以更多地吸收美国的一些经验，重视市场自律的作用，鼓励信息行业制定自律性规范，推动信息业者根据国家个人信息保护法的原则规定，结合自身的业务特点和经验，制定更具有针对性的个人信息保护与使用规则。

(二)对个人信息的跨境转移实行分类管理。在个人信息跨境转移的问题上，有观点认为数据信息关系到经济安全、国家安全，主张全面限制个人信息的跨境转移。笔者认为这种观点有些矫枉过正，互联网和大数据背景下，流动与开放性是信息的本质属性，信息在全球范围的流动是无法被完全禁止的，过于僵化的态度只会导致我国的经济丧失应有的活力和机会。笔者赞成对个人信息跨境转移进行分类管理：对于涉及国家安全、经济安全的重要个人信息应严格禁止转移出境；对于公开或利用会对个人造成重大影响的个人敏感信息，如个人财务、性生活、遗传信息、医疗记录等信息，应当强化其保护，除非信息主体明确同意或自己公开或法律有明文规定外，原则上应当限制其向境外流动；对于一般个人信息的跨境转移，则应强化其利用，无需设置过多限制，以满足信息业者利用个人信息的正当需求。政府相关部门可以采用问责制，制定数据处理服务商的安全认证制度，设立标准合同或约束性公司规则等方式对信息跨境转移行为进行引导。

(三)积极参与数据跨境移转中个人信息保护的国际合作。全球经济一体化与科技的无国界使得个人信息的流动具有与生俱来的国际性，一国无法单靠自己的力量为该国公民提供适当保护，因而欧盟、美国都在通过区域性协作以解决个人信息保护与个人信息跨境自由流动之间的矛盾。目前，OECD和APEC均建立了跨境隐私执法协作机制，我国并非OECD成员国，虽然是APEC成员但并没有加入CBPRS，对《APEC隐私保护框架》的具体项目参与度很低，与其他国家也没有类似安全港之类的协议，这与我国频繁的国际贸易往来不太匹配。只有积极参与相关的国际合作，在国际规则的制定以及双边和多边贸易协定中积极提出我国的利益诉求，才能提升我国对国际标准的影响力和话语权，也才能更好地处理我国的个人信息跨境转移问题。

(四)推进我国企业完善自治。随着经济的发展，我国越来越多的企业开始在国外进行投资，这些企业要想确保正常的运营，就必须遵守相关国家的规定。而想承接国外如欧盟数据处理外包业务的企业，也需要注意诸如DPO的设立、信息泄露的通知义务、标准合同条款的选择等问题。在现有安排下，我国企业主动申请欧盟的BCRs认证或者APEC的CBPRs认证，有利于较快地获得国外客户、消费者的信任，并可以起到示范作用，以促进国内相关行业的整体进步。