APEC跨境隐私规则体系中的个人数据跨境流动立法研究

易 珂

（吉利学院 四川成都 641423）

数据跨境流动主要是指各国在个人数据保护层面针对个人数据向第三国传输情况进行管理，从法律规制角度来看，数据跨境流动一般停留在公约、协约层面，国际上尚没有专门的法律条款对其进行界定。但伴随电商技术的快速发展和全面普及，个人数据跨境流动中表现出的问题逐渐增多，相应的国际标准的建构和管理机制的出台，也相继出现。通过建立相应的标准规制甚至通过立法手段加以控制，是当前保障个人信息权、保障国家信息安全的重要手段，同时也是各国在国际交流当中的默契标准。

个人数据流动跨境流动基本情况

个人数据情况。国际范围内针对个人数据并没有形成统一概念，我国在进行个人数据认定中一般从网络环境出发，《网络安全法》中认定个人在电子环境当中形成的电子信息或其他记录方式能够进行对于个人身份有效识别的信息内容，便认定为个人数据。这一认定方式与一般国际认定规范虽然有所差异，但是从个人可识别信息特征方面，则大同小异。本文在研究当中一般采取个人相关已识别或可识别信息内容作为个人数据基本概念。

个人数据跨境流动情况。大数据技术广泛应用背景下，数据开始异化成为商品类型，在商品交易当中以流动性表现其价值。个人数据流动一般是以1980年颁布的《OECD指南》当中规定的个人数据出现跨国界流动中在第三国能够进行读取、处理、存储、检索行为，便认定该流动行为为个人数据跨境流动。在早期定义当中，数据的跨境流动或跨境转移主要以个人在网络环境中的跨境购物当中产生的数据被境外获取，其中商家所处境外或平台跨境，则境外购物公民会产生一定的数据跨境流动。随着发展，个人数据的跨境流动形式开始逐渐丰富，其中跨国公司的客户服务和业务办理过程中，可能产生对于客户信息的搜集和存储，造成事实层面的跨境数据流动。此外部分违法机构采用窃取盗窃手段进行跨境传输，其中黑客等在网络环境当中进行用户数据窃取，通过贩卖来非法获利，整个过程也构成了个人数据的跨境流动。

推进个人数据跨境流动全面规制的主要作用。针对性开展个人数据跨境流动规制的作用目的主要体现在两个方面，其一是从根源上避免个人信息权遭受到境外环境的侵害。从国家自身来看，个人信息权的管理 保护方式主要以国内法律环境为基底，通过国内司法体制来进行保护，但是在境外环境中，这种法律规制将丧失效力，难以执行，个人信息权利将会受到外部侵害。开展有效的法律规制则能够较好地完成对于跨境信息传输的全面限制，实现法律体系针对个人数据流动的事前监督作用，从根源上避免个人数据在不符合法律规范的前提下流出。其二是有效维护国家的信息安全，从整体性上来看，个人数据的内容层面本身隐藏着巨量信息，其中除了个人信息之外，还与国家信息密切相关，通常情况下个人数据信息背后还隐含着国家科技水平、经济和市场环境、政治文化等与国家安全紧密相关的信息内容，跨境数据虽然带出的是个人数据，但在一定程度上会产生对于国家安全的威胁，甚至产生严重的负面影响。在进行法律规制中，通过开展对于个人数据流动的有力规制，能够降低国家安全信息的外流体数量，减少国家安全方面的隐患。在数据外流无法避免的前提下，更加合法合规的管控机制建设势在必行。

APEC跨境隐私规则体系的建构和主要内容

APEC跨境隐私规则体系的建构。APEC在电子商务快速发展当中逐渐成为国际电子商务贸易的主要经贸区域，是全球经济一体化当中的重要组成部分。而在电商当中，以跨境模式为主的网络销售、数据外包和跨国经营活动等都存在较大的个人数据流动现象，基于各国在个人信息管理和隐私保护方面的实际要求，同时保证APEC全面发展，APEC组建了共同隐私保护方式，被称为《APEC隐私框架》，该框架主要从立法、行政以及搭建行业自律环境等多层面进行体系建构，以满足各国在跨境贸易方面个人数据信息流动的管控需求。不过需要注意到的是，早期APEC框架体系本身并不具有法律效力，同时缺乏一定的操作性。直到2007年由与会各国部长共同前述建立APEC跨境隐私保护规则，搭建隐私探路者项目，最终于2009年正是确立《APEC跨境隐私执法合作安排》，才最终从法理层面确立了经济体之间隐私保护以及执法过程中信息共享合作方案，该模式体系被正式确立下来，体系模式CBPRs。

CBPRs规则体系的具体内容。框架体系主要分为跨境隐私原则和执行方式两个部分，其中跨境隐私原则主要以问责机制进行个人数据在跨境流动过程中的实际义务，明确要求无论所处位置，经济体都应在征求数据信息主体同意火灾恪尽职责之下针对性采用合理措施后才能够进行数据信息的使用，实现在一定情形下的信息运用和信息保护的平衡。在该原则模式之下，个人数据在跨境流动当中数据控制者需要从两个方面来承担相应的义务。一方面要求数据控制者严格遵守隐私体系的实际规定，另一方面要求数据控制者必须以第三方原则遵守为基础，为数据行为进行负责。

在执行层面，隐私体系强调从立法层面进行全面的框架体系实施，各国应当根据本国国情和既有的司法解释模式，建立并完善相关法律系统，保障在跨境交流当中，数据控制者主体方能够保证始终依照框架体系和相关国家法律法规来进行个人数据的流动保护，最终在执行层面落实各国自理、有效协同的应用执行责任。

CBPRs背景下我国在制定个人数据跨境流动立法方面思考

制定专门个人数据管控法律《个人数据保护法》

我国传统法律体系当中针对个人数据方面的保护立法存在严重缺失，部分保护法律规制尚处于初级阶段，其中涉及到个人数据信息和个人隐私的内容区分仍在不断论证。虽然在目前APEC各国正在积极谋求立法协同，尝试进行跨境隐私数据的执法合作，但是我国目前关于个人数据的相关法律建设缺乏原有土壤，大量涉及到个人数据的法律法规散见与其他位阶较低的法律当中，其中以《网络安全法》为代表的法律虽然明确了个人信息标准和相关采集使用原则，但是在具体细则方面仍存在严重缺失，导致执行能力不足。

在《民法典》颁布执行之后，国内在个人数据保护方面可以参考人格权编的相关内容，充分借鉴欧洲诸如《通用数据保护条例》等立法形式，制定专门服务与个人数据权利保护的《个人数据保护法》，并以法律的形式针对APEC隐私体系背景下的个人数据跨境流动情况进行规定。在法律体系当中，可以尝试引入诸如数据管理者、数据控制者等行为责任主体，进行对于数据处理中主客体关系进行清楚定位，同时明确其责任。采用综合性制度标准进行法律建设，保证数据流动与个人数据保护相互平衡，引导更好参与到国际贸易和经济合作当中，做到有法可依。

借鉴问责制进行顶层制度标准设计

APEC隐私体系CBPRs的核心建制在于其所采用的问责机制，问责机制所隐含的问责原则更多从经济合作背景出发，探讨平衡模式下的经济发展诉求，因此在侧重点方面更多侧重于行业自律，借助执法形式进行管制则相对轻松。我国在顶层设计制度建设当中，需要充分结合我国国情和法律文化环境来进行制度优势吸取。在问责机制的借鉴方面，应当对责任制度进行吸纳，而针对其中所仰赖的行业自律应当进行批判性的继承和发展。国内市场环境无法将制度标准完全交付给行业自律，因此需要结合问责机制特征，对已有的CBPRs体系进行相应的创新。

目前《网络安全法》针对个人数据的跨境流动情况提出了安全评估的实际执行要求，该要求强调问责机制作为基本原则，应当针对流动规则的制定和流动实际情况进行相应的安全评估。在这一背景下，国内机制建设便可以尝试将问责机制与安全评估进行相互结合，充分发挥问责模式的优势，同时降低完全依靠行业自律可能带来的诸多风险。制度建设方面，依托问责机制，国内制度层面可以设定数据接受者视角，强调数据接受者应当履行征求数据主体同意义务、针对特殊情况使用数据事前高职义务、以标准化机制限制数据使用目的以及接受相关数据主体进行数据使用情况的查阅和修正。在上述四项标准的执行条件下，可以设置属性分析、跨境数据控制黑名单机制等评估机制，保障数据安全和管理效率。

积极融入国际化全面合作背景当中

国际间经济贸易的全面合作是当前全球经济发展的主要趋势，国际间的合作来源于多边协同的共识基础，数据流动作为一种国际合作的基础性“游戏规则”，各国不能闭门造车，仅关注本国国情，还应当兼容国际视野，通过积极的国际形式分析建构标准化、适应性强的制度体系。我国在APEC背景下应当积极尝试深入国际背景，结合本国利益参与国际间分歧的讨论协商。

应当认识到，国际化背景之下个人数据在跨境过程中出现的数据流动与深入长远的国际合作本身需要通过机制的协调和拖鞋来实现，在针对双边制度矛盾中，我国应当充分学习欧美国家的宝贵经验，尝试从参与国际规则制定、打造大国担当，充分顾及踏过的政治因素，为推进国际间制度高质量合作提供宝贵助力。在整个过程中，我国不仅体现了大国风度，同时也能够收获国际市场当中外国消费者的认可和信任，为更多企业进入到亚太市场奠定基础。就目前形势来看，我国可以尝试从一带一路战略出发，获取国际话语权，积极参与到国际间制度融合、制度协调的参与当中，为个人数据跨境流动的法律规制提供制度建设意见，引导国际间充分合作，共同建立规范标准，避免因制度矛盾所导致的冲突问题。