数字贸易时代个人信息跨境流动的法律保护路径

钟鸣

【关键词】 数字贸易  个人信息  跨境流动  法律规制

【中图分类号】D92                               【文献标识码】A

【DOI】10.16619/j.cnki.rmltxsqy.2021.06.013

随着全球新一轮科技革命的兴起，海量个人信息的挖掘收集、处理使用和跨境传输成为了新技术、新应用快速迭代的支撑点。跨境数据流动在全球范围创造了新的商机，在给人们带来巨大生活便利的同时，也带来了个人信息保护的危机。特别是由于WTO框架下较难形成有效的免征关税协议，数字产品属性不明、新型贸易分类不明、服务模式不完善等问题，使得个人信息在跨境流动中存在较高风险，对法律保护也提出了新的要求。鉴于个人信息的跨境流动关乎网络空间主权、国家安全、社会公共利益和公民、法人的合法权益等多个层面，相关法律规制应兼顾个人信息保护与跨境信息保护平衡、行政权力规制与跨境电商经营自治平衡以及完善国内立法与借鉴国际规则平衡的原则，努力构建有效而可持续的个人信息法律保护机制。

数字贸易时代我国个人信息跨境流动法律规制现状及问题分析

数字贸易时代我国个人信息跨境流动的立法现状。数字贸易时代，个人信息跨境流动成为常态，其中存在的诸多网络安全问题也逐步受到重视。近年来，随着“网络强国”和“数字中国”战略构想的提出，我国在个人信息跨境流动方面相继出台了一系列法律法规和部门规章，对既往分散化、碎片化的法律法規框架形成了一定程度的补充和完善。2012年11月，首个关于个人信息保护的国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》发布。作为行业指导性文件，由于其没有强制执行的法律效力，因此在个人信息跨境流动规制方面发挥的作用相对有限。2016年11月通过的《中华人民共和国网络安全法》（以下简称《网络安全法》），就关键信息基础设施运营者在中国境内运营中收集及产生的个人信息和重要数据的跨境流动作出了初步安全限定，在一定程度上弥补了跨境数据流动法律规制的空白。2017年4月，国家互联网信息办公室发布《个人信息和重要数据出境安全评估办法（征求意见稿）》，作为《网络安全法》的重要配套措施，其虽对数据出境评估的范围、内容、程序和相关概念等进行了界定，但对于“境内存储”和“出境安全评估”义务的规定较为宽泛。2019年6月《个人信息出境安全评估办法（征求意见稿）》（以下简称《评估办法》）对外发布，对2017年发布的《个人信息和重要数据出境安全评估办法（征求意见稿）》进行了调整和修订，对个人信息及其重要数据进行了明确区分，进一步完善了商业活动中个人数据跨境流动的相关规制。2020年5月颁布的《中华人民共和国民法典》（以下简称《民法典》）虽明晰了个人信息的内容、个人信息处理的原则与条件、信息处理者的义务与责任豁免等，但个人信息跨境流动规则阙如。同年9月，《中华人民共和国个人信息保护法（草案）》对外发布，在借鉴国外立法经验的基础上，从法律层面明确了个人信息跨境提供的基本规则，对个人信息跨境提供制度的落地起到了极大的促进作用。

数字贸易时代我国个人信息跨境流动法律规制存在的问题。一是个人信息跨境流动保护法律体系亟待完善。近几年，中国在数字贸易领域呈现良好发展趋势，但与之相对应的个人信息跨境流动法律保护体系却仍处在分散化和低层级的阶段，具体规则的体系性和协调性也有待提高。虽然《民法典》《刑法修正案（七）》和《刑法修正案（九）》中的相关规定为个人信息保护树立了相应的屏障，但模糊的要件规定与不完整的规范体系使得法律适用障碍重重。

二是个人信息跨境流动保护国际性合作有待深入。当前，我国尚未加入APEC的跨境隐私规则体系（CBPR）。可以看到，我国数字贸易发展进步虽快，然而部分企业仍处于数字贸易“走出去”的初级阶段。加入国际性信息保护合作机制，数字企业在个人信息方面的跨境流动将会受到一定的限制，从而使得运营成本有所增加，这也在很大程度上制约了我国个人信息保护的国际合作发展。

三是个人信息跨境流动监管集中度偏低。针对信息数据跨境流动的保护，相关法律法规规定了各行业领域内所需实施的信息数据保护职责。电信、互联网用户的信息安全主要由公安部门、工业与信息化部负责，医疗卫生行业的信息数据主要由卫生管理部门负责，而金融行业中的信息数据则主要由中国人民银行负责。实施信息数据保护的相关部门众多，导致在信息数据跨境流动的监管方面较易出现权责不清、监管交叉、执法不力的情况，从而影响法律规制的效力。

四是个人信息跨境流动安全评估标准不一。当前，我国关于个人信息的出境管理主要依据《网络安全法》及与之配套的《评估办法》相关规定，但二者就规制主体的范围和义务界定却存在差异。前者的规制主体为网络运营者，包括网络系统的所有者、管理者和网络服务的提供者，且境内存储和出境安全评估义务仅适用于“关键信息基础设施运营者”在我国境内收集和产生的“个人信息和重要数据”。后者规制主体虽也为网络运营者，但其对出境安全评估的数据范围的界定是所有网络经营者的所有出境数据，较之前者更为宽泛，与《网络安全法》设定的判断标准不尽统一，这将在一定程度上导致个人信息的跨境流动在安全评估标准及其适用上出现混乱。

数字贸易时代国外个人信息跨境流动的规制现状与经验探索

自20世纪60年代末开始，信息化与全球化在相互作用中深刻改变了经济社会生活。在计算机和信息系统广泛应用的同时，欧美等国关注到个人信息使用与滥用的问题，意识到相关信息保密性和安全性的重要性。在此基础上，各国逐步形成“公平信息实践”并出台了相关法律法规。目前，国际上个人信息跨境流动的管理模式，主要分为欧盟模式和美国模式。

建立双边性协定。为加快进入欧洲金融市场，美国创新跨境信息体系，与欧洲国家共同创设了虚拟空间，即《安全港协议》（Safe Harbor），致力于调整美国企业出口以及处理欧洲公民的个人数据，从告知、选择、转送、安全性、物料品质、参与和救济方面为美国在欧盟进行的商业活动提供便利。《安全港协议》的制定既降低了欧美贸易的准入门槛，也为促进个人信息跨境保护发挥了积极的推动作用。随后，欧盟与美国就商业领域跨大西洋传输个人数据的隐私问题初步达成一致意见并形成《欧美隐私盾牌》，以此取代《安全港协议》。其沿袭了《安全港协议》的七项原则，强调了欧盟的信息主权，规定用于商业目的的个人数据从欧洲传输到美国后，享有与在欧盟境内同样的数据保护标准。该协议旨在通过双边协议，从数字贸易时代的规范对象、合作机制、权力界定、权利救济等方面进一步完善个人信息国际保护机制。基于美国整体的个人信息保护水平无法达到欧盟的“充分性保护”认定要求，2020年7月，欧盟法院判决《欧美隐私盾牌》协定无效。虽然这使得欧美跨大西洋联盟再添裂痕，但该判决却并不意味着欧美数据传输的终止。美国虽不再拥有特殊待遇，其仍可以在另一种“标准合约条款”（SCC）机制下作为数据接收方获取欧盟数据，因而欧美之间在社交网络等方面的日常数据转移不会受到显著影响。

完善区域性规范。2018年，欧盟全面实施《通用数据保护条例》（GDPR）。作为欧盟最具代表性的个人信息保护标准，其进一步完善了数据保护的补充性规则与“充分保护水平”，从法律层面明确了数据保护的约束规则，通过加强信息保护与认证，在个人信息跨境转移上以制度弹性为依据丰富了“例外条款”。在亚太经济往来越来越密切的情况下，APEC通过设置跨境隐私规则体系来规范区域性信息转移。同时，为避免个人信息被滥用和盗用等不利影响，APEC根据个人信息的存储、收集、利用和处理形成了一套有效的全球化准则，即《APEC隐私框架》。该框架基于企业角度，设置了隐私执法机构和责任代理机构，既规范了企业认证，也为消费者提供了投诉渠道，从而有力保障了跨境业务的正常进行。

构建全球性规范。一直以来，由世界贸易组织管辖的《服务贸易总协定》（GATS）既为发达国家深化服务贸易对外开放提供了框架和规则，也让发展中国家的劳动力成本与资源优势得到有效发挥。《服务贸易总协定》对WTO各国成员的个人信息保护以及跨境流转原则进行了规定，即各国应当在自由、透明的个人信息保护环境下进行数字贸易，以形成良好的国际贸易秩序。同时，联合国也高度重视各个成员国的个人信息保护，针对个人信息保护原则、法律责任、监管体系、跨国个人信息流动、适用范围进行了规范;对于政府国际组织，从管理个人信息保护的角度进行了规定，为个人信息国际法保护提供了依据，也为完善法律法规提供了发展框架。从全球性规范的视角来看，构建全球性的个人信息保护机制对数字贸易时代个人信息跨境流动的保护更为有利，各国应当主动加入联合国信息跨境流通规则中，在完善个人信息保护准则的同时，完成跨境合作与信息流动目标。

数字贸易时代中国参与个人信息跨境流动国际法规制的实践路径

继续完善我国个人信息跨境流动保护的法律体系。结合歐美等发达国家个人信息保护经验，加快完善符合中国数字贸易与科技发展的个人信息跨境流动保护法律体系。在监管层面，严格依照《评估办法》要求，对个人信息跨境流动以及本地化存储进行全面监管，特别是在个人信息的跨境流动中，要求网络运营者、信息接收者履行应尽义务，提高数据安全水平;同时，针对个人信息以及重要数据进行重点监管，推动实现个人信息跨境流动的合法事由多元化，对企业数据保护能力进行认证，促进个人信息的流动更为安全和便捷。

加强我国个人信息跨境流动保护的国际合作。构建多层次的国际合作体系，打造数据大国形象，推进信息跨境流动国际合作的可持续发展。首先，继续扩展双边信息流动保护合作。积极推广两岸四地个人信息跨境流动安全保护合作机制，与更多的国家、地区和相关国际信息保护机构在法律协助、信息请求等问题上达成一致，以更好地落实双边信息跨境保护条款。其次，积极加入多边平台的数字治理对话机制。借助区域谈判，在协调与交流中借鉴他国经验教训，提供中国智慧方案，谋求建立更符合中国利益的跨境数据流动规则。最后，充分发挥非政府组织作用。实践证明，政府机构平台较难就个人信息保护机制形成统一的国际规则，通过非政府组织多边保护机制更有利于达成共识，形成更为高效的信息流动与保护体系。

设置更为合理的个人信息跨境流动监管体系。进一步完善相关的监管机构组织架构，由网信部门牵头，统筹处理好信息出境安全评估、数据跨境流动的合同条款审查、违规流动的个人数据调查、侵犯信息主体权利的行为处罚等方面的监管执行，探索建立组织化的监管机构，明晰各相关部门监管与执法权力，从而使其有效行使各自监督职责，使监管更为高效化。

建立我国个人信息出境评估的多元化机制。积极推动《网络安全法》框架下《评估办法》的完善和出台，形成合理有效的个人信息出境安全评估机制。首先，统一数据出境管理范畴。参考国际个人信息出境管理措施，确认数据离开本国境内去往境外即为数据出境，借鉴美国在地理纬度上的延伸解读，扩大对主体维度的判定，认定将数据提供给本国境内的外国组织或个人，也属于个人信息出境范畴。其次，明确相关行为人权利与义务。对于个人信息主体而言，个人信息出境务必要征得信息主体同意，否则不允许个人信息出境。同时，个人信息运营者需要承担信息保护责任，并有义务约束下设其他主体形成保护合力，下设主体出现非法个人信息出境现象，由个人信息运营者、控制者负责。此外，政府主管部门有义务为维权个人提供帮助，比如行政救济、司法救济等，有义务帮助个人追回信息，给予充分救济。最后，加强国家间个人信息出境制度协同。个人信息流通有利于社会经济发展，国家之间应以非强制性手段，设置信息流通“白名单”制度，允许个人信息在“白名单”国家和地区自由流动。同时，注意限制跨国集团内部位于不同国家或地区的分支机构之间的数据转移，防止数据流通到不具备先进数据管理水平的国家，造成数据信息外泄。

参考文献

朱晓娟，2021，《论跨境电商中个人信息保护的制度构建与完善》，《法学杂志》，第2期。

叶开儒，2020，《数据跨境流动规制中的“长臂管辖”——对欧盟 GDPR的原旨主义考察》，《法学评论》，第1期。

方芳，2019，《欧盟个人数据跨境流动政策的演变：市场统一与贸易规范》，《复旦国际关系评论》，第1期。

吴沈括，2019，《〈个人信息出境安全评估办法（征求意见稿）〉的制度追求》，中国网信网，http：//www.cac.gov.cn/2019-06/17/c_1124635154.htm。

周汉华，2018，《探索激励相同的个人数据治理之道——中国个人信息保护法的立法方向》，《法学研究》，第2期。

责 编∕张 贝