跨境电商中个人信息保护的不足与完善

郭绮玲

【摘 要】在如今跨境电商蓬勃发展的大数据时代，个人信息无法避免地在跨境电子商务与跨国公司的经营中跨境流动，这暴露出个人信息跨境流动难以受到信息主体所在国的管辖和监管，个人信息遭受侵权时也难以获得救济等问题。我国对个人信息跨境转移领域的立法处于起步阶段，行业自律机制并不完善，国际上缺乏紧密合作。文章基于立法、行业机制和国际协调3个方面提出保护个人信息的建议。

【关键词】个人信息;电商;数据跨境

【中图分类号】D923 【文献标识码】A 【文章编号】1674-0688（2020）10-0111-03

1 个人信息与个人隐私

1.1 个人信息

由于各国的历史文化背景和立法传统不一致，跨境数据流动的客体“个人信息”在不同的法律文件中所用的术语字眼不完全一致。有些文件使用个人数据，有些使用个人信息，有些表达为隐私。总体来说，使用个人数据作为表达的国家相对占多数，虽然国际上没有统一的用语，但是表示的意思大体是一致的，有时候会存在相互混用或者替用的情况。欧盟把个人数据作为术语，将其定义为“与已识别或可识别的自然人（数据主体）相关的任何信息”。经济合作与发展组织也是使用个人数据，将其描述为“指任何与已识别或可识别的个人（数据主体）有关的信息。”亚太经济合作组织虽然使用的是个人信息的表述，但是定义与欧盟一致。

我国对跨境数据流动的客体采用的是个人信息的术语，该表达体现在多部法律法规之中，《信息安全技术个人信息安全规范》把个人信息认定为能识别特定人的身份或反映活动情况的各种信息。有些学者认为“数据”含义的范围比“信息”广泛，但是笔者认为两者差别不大，这两个术语的核心共同点都是可识别性，因此本文中不加以区分这两者。

1.2 个人信息与隐私的区分

美国是世界上对隐私保护程度较高的国家，也是对隐私保护的意识觉醒较早的国家，早在1974年美国就颁布了《隐私法》。美国将个人信息纳入隐私的这个框架架构中，也就是说，美国法律体系是把个人信息作为隐私中的一个部分。

欧盟并没有明确区分个人信息与隐私，《欧洲人权公约》把隐私定义得十分广泛且笼统，在多个法律文件中两者会出现重叠的情况。此外，法院享有解释权，在不同法官的解释下有不同的理解。我国大部分学者认为隐私是一种人格权，强调的是不为外人所知悉的私密性，而个人信息强调的是可识别性，两者的共同点都是为了保护公民的尊严。

2 跨境电商中个人信息保护存在的问题

互联网经济的发展使得电子商务有了蓬勃的发展空间，这让世界人民联系更加密切的同时，也产生了一系列的问题，我们要尽早意识到问题的所在及思考相应的解决对策。作为提供信息的主体，每个人都是数据源，在提供了自身的信息后，这些信息后续最终流向何方，或者被用作其他什么用途，我们不得而知，生活中我们不得不忍受信息泄露所带来的信息骚扰甚至财务上的损失。目前，我国在个人信息中立法上仍有提升的空间，此外行业自律也尤为重要。

2.1 个人立法信息的问题

2012年，工信部颁布了《信息安全技术——公共商用服务信息系统個人信息保护指南》（简称《指南》）。作为我国首个关于个人信息保护的国家规定，填补了我国在个人信息保护立法方面的空白，为之后在各个领域的个人信息保护提供了指引。《指南》首次做出了对我国的个人信息跨境流动过程中保护的规定;并且对个人信息主体、个人信息管理者、个人信息获得者、第三方测评机构做出了界定等。为个人信息保护的法治体系发展打下基础。但是《指南》属于软法，并不是强制性规定，因而不具有约束力，显然这对个人信息的保护力度是不够的。

在金融领域内也有相关的法规进行保护。2013年，国务院公布了《征信业管理条例》，对个人数据进行保护。金融业的个人数据直接关系到财产利益，因此出台有针对性的法律法规确实非常必要。该法规确立了我国个人金融信息跨境流动的一般原则，对金融机构的信息处理和监管等业务起到了一定的作用，但是很关键的一点却没有说明——对银行金融机构的权利责任分配和问责机制。除此之外，上述文件的效力层级低，在实际操作中的约束力和执行力会大打折扣。

2016年，国家出台了《网络安全法》，可以看出国家不仅关注国家的安全、公共安全，也对个人的安全越来越重视。但是其中还存在有待完善之处，《网络安全法》中对于数据本地化的主体规定的是关键信息基础设施的运营者。对这个经营者的限定范围过于宽泛，有待于法律解释出台或者立法进一步确定。此外，这个定义没有把商业部分纳入，显然不利于商业领域中对个人数据的保护①。

《网络安全法》第三十七条规定，如果业务需要向境外提供数据，需要进行安全评估。这条规定并没有对安全评估制度、救济模式等问题进行具体细化，安全评估机制和救济权利对个人数据跨境传输是十分必要的，前者是进行事前预防排除潜在风险，后者是事后及时获得救济减少损失。虽然《网络安全法》仍然存在瑕疵，但这是我国在网络信息安全方面的基础性法律，为以后在其余领域的专门立法打下良好的基础。

2.2 行业自律问题

对于个人信息的保护仅靠国家立法是不够的，还要把行业自律机制纳入对公民个人的信息保护的措施之中。

2000年6月，我国成立了中国电子商务协会，在信息产业部指导和民政部的监督下进行业务活动。该协会在致力推动电子商务行业积极发展的同时，也十分看重电子商务中的隐私保护问题。协会在2004年发布了诚信联盟公约，涉及消费者隐私权保护的内容，但是该公约内容简单，实际中缺乏可操作性。

中国互联网协会是我国互联网最主要的自律性组织，该协会发布了《中国互联网行业自律公约》，倡导维护消费者的合法权益，保护用户数据隐私，不能利用用户的个人信息从事超出承诺范围的活动。该协会有推广、组织实施与监督的职责。

我国消费者协会成立于1984年，受工商行政管理总局的直属领导。消费者协会在我国多起消费者维权案件中指导商家生产销售行为发挥了重要的作用。

在我国，符合条件能够涉及隐私保护水平认证的第三方机构较少，主要是中国软件测评中心、公安信息安全等级保护评估中心和公安部信息安全产品检验中心。

我国行业自律机制并不完善，存在以下几个问题。

第一，我国行业自律机制初步形成。虽然目前已经成立了电子商务协会、中国互联网协会、消费者协会，但是它们成立的时间不长，在实践中有些问题处理不成熟，经验的积累不够丰富。

第二，我国行业自律机制约束力不强。行业协会通常对业内的企业会员只是起到一个号召、呼吁的作用，并没有强制性的手段可以约束违反公约的行为。

第三，我国隐私保护认证机构不够专业与权威。相比美国专门做企业隐私保护水平认证的机构，我国这方面的机构在认证的深度与广度上还有很大差距与局限性。

2.3 国际合作中个人信息保护问题

各个国家对个人信息跨境转移的态度不同，因此各国在这方面的法律也存在差异性，当我国的消费者在电子商务中提供了个人信息流转到境外保护力度较低的国家，则很难得到有效的保护，国家发挥的监管作用也十分有限，个人信息对不法分子来说是隐藏的财富，一旦遭遇泄露则对个人的财产与人身安全将产生极为不利的影响。因此，鉴于各国之间的立法不统一，为了保障个人信息跨境转移的渠道畅通，选择国际合作是各国的明智之策，这样能解决各国之间的法律冲突，也能有效地加强个人信息跨境转移中的执法，使对本国公民的个人信息监督范围不仅仅局限于国内。

但是目前我国对个人信息跨境转移保障的意识觉醒较晚，立法也尚处于起步阶段，在该领域尚未开展有效的国际合作，导致在境外的个人信息难以转移至境内，境外的消费者对我国的电子商务平台没有抱以足够的信心，间接导致我国的电子商务平台在国外市场的发展较为艰难，境外的消费者对我国电子商务平台持不信任的态度。缺乏国际之间合作同时会导致当我国的个人信息在境外受到侵害时，境外的执法难以展开，从而使得个人在境外的信息安全无法得到保障。

3 完善跨境电商中个人信息保护的措施

3.1 提高立法的效力层级

我国加入亚太经贸组织后，签订了《APEC隐私保护框架》，该协议要求我国需要尽快制定个人信息保护方面的法律法规。国务院在2016年出台了《关于加强个人诚信体系建设的指导意见》，可以看出，无论是国际上对中国的要求，还是国内对该方面的态度，制定保障个人信息安全的相关法律法规是大势所趋，也是当务之急。

我国目前在个人信息保护方面的法治体系比较缺乏，在该领域还处于起步阶段，仍没有一部专门的个人信息保护法被制定出来。在一些领域的法律法规中可以分散地见到一些关于个人信息保护的内容，但是总体上内容很少，规定不详细、不具体，监管问责方面等核心的问题涉及较少。而且，个人信息保障的法律条文分散在不同法律法规之中，难免会出现重合或者冲突的地方，这样就会产生释法等一系列问题。

认为目前尽快出台《个人信息保护法》十分必要。互联网经济的发展已经成为现今世界不可阻挡的趋势，网络从来都不是法外之地，但是目前我国的公民个人信息保护程度十分薄弱，个人信息被泄露的情况很严重，我国需要发展，就要加强对外合作与交易。电商崛起神速，“阿里巴巴”在美国上市后走势一片大好，中国不可能放弃国外的市场，因此加快制定个人信息保护的法律法规的进程是尤为必要的。目前，我国已出台推荐性国家标准《网络安全法》与《个人信息安全规范》，笔者认为有必要提高立法效力等级，将推荐性标准升级为具有法律约束力的标准。

3.2 加强行业自律与公民自我保护意识

国家应该在个人信息保护方面加强宣传教育，唤起国人对自我信息保护的意识，提高警惕，比如在付款或者注册时多加留意条款信息，在发现有问题的时候，及时止损，并采取救济措施，这样能从源头上遏制部分不法行为。

我国的行业自律的约束力弱，专业的第三方认证机构缺乏。行业自律机制是国家和信息处理者之间的一个中间角色，受国际承认。一个国家对个人信息的保护仅仅靠立法的约束和保护是不足的，美国对公民隐私的保护程度在世界各国中排名靠前，但是仍旧会出现信息泄露事件。仅依靠国家进行监管，那么距离理想的状态仍需花费很长的时间，执法的成本也会升高。因此，想要达到预想的目标，还要依靠来自行业的自律机制发挥作用，不仅要考虑国家在立法方面先行，同时要充分发挥行业自律的作用，企业应扛起自身的职责，积极加入行业协会，共同商讨制定行业的对个人信息保护的標准和方针。与此同时，国家也要对相关行业进行指导和监管，营造良好的营商环境。

我国可以参考美国与欧盟的标准，在引入专门针对个人隐私保护水平鉴定的第三方机构时，对该机构做专业做精细化设置，力求达到与国际接轨的水平。

3.3 增强国际合作

我国是亚太经合的参与国，成为APEC隐私保护体系的签署国，且加入了CBPR体系（跨境隐私规则），这对于我国对外合作的各个领域是一个良好的开端。我国是世界第二大经济体，欧盟是我国主要贸易伙伴，但是目前我国无法达到与欧盟充分保护的保护标准，国际上存在我国对流入数据的不能提供充分保护的顾虑。我国应当积极参与和倡导大数据国际传输新规则，充分发挥我国在大数据和AI领域的优势，在积极开展对外贸易时建立自己的个人信息跨境流动规则，争取在个人数据领域有一定的主导权。总的来说，我们要在夯实立法和司法制度的基础上不断完善，发挥行业自律的作用，积极参与国际规则的制定，为我国公民信息的跨境提供更严格的标准，为电商企业营造更好的营商环境。

注 释

① 程倪佳.个人数据跨境流动法律问题研究[D].北京：北京邮电大学，2017.

参 考 文 献

[1]王璐.企业跨境转移个人信息的法律问题研究[D].上海：华东政法大学，2017.

[2]马思薇.国际多边规制下的我国个人信息跨境转移规制制度[D].南京：南京大学，2018.

[3]弓永钦.跨境电子商务中的个人信息保护问题研究[D].北京：对外经济贸易大学，2016.

[4]赵骏，向丽.跨境电子商务建设视角下个人信息跨境流动的隐私权保护研究[J].浙江大学学报（人文社会科学版），2019，49（2）：58-71.

[5]潘晓宁.完善我国个人信息数据出境制度的思考[J].海关与经贸研究，2019，40（6）：81-93.