摘 要:经济迅速发展的今天,数据的重要性日益凸显。个人信息作为数据的重要组成部分,如何在个人信息跨境自由流动 与保护个人信息安全方面找到一个平衡点是一大难题,标准合同制度在平衡二者关系上发挥了重要作用,但在具体适用方面 还需完善。相对于欧美国家的个人信息出境保护模式,我国在个人信息出境保护立法方面起步晚,实践不足。本文以标准合 同的规制对象与适用范围为研究对象,发现标准合同制度面临着适用范围存在局限性、与安全评估制度存在重叠、主体定义 模糊的问题。应立足我国特色,在实践中不断完善标准合同制度,通过扩大标准合同适用范围,立足于顶层,体系化构建标 准合同条款;重新定义“数据处理者”,完善个人信息跨境模式等方式,优化标准合同制度。
关键词:个人信息出境,标准合同条款,个人信息保护
DOI编码:10.3969/j.issn.1002-5944.2024.06.006
0 引 言
2 0 22年7月29日,中国信息通信研究院发布 的《全球数字经济白皮书(2022年)》[1]指出,数 字经济为全球经济发展注入了新的动能。总体而 言,2021年,全球47个国家数字经济增加值为38.1万亿美元,同比增长15.6%,占全球GDP的比重为 45.0%。在规模方面,中国的数字经济规模位居全 球第二,达到7.1万亿美元。在占比方面,德国、英国 和美国的数字经济占其国内生产总值的比重位列前 三位,均超过65%。其中,数据跨境流动已经成为推 动数字经济发展不可或缺的力量[2]。数据被誉为21 世纪“新石油”[3],这凸显了数据的重要性。和石油 不同的是,数据的价值在于其流动性,数据的流动 性对其价值有着显著影响。数据需要在流通和共享 过程中才能充分发挥其价值,并且在跨境流动中能 够创造新的价值。但是,数据跨境流动在促进经济 发展的同时,也面临着个人隐私保护、数据主权和 国家安全维护的压力。然而,对数据流动的不合理 限制会妨碍经济的发展,严重情况可能导致市场分 裂,降低数据服务提供者的服务质量和竞争力,尤 其在小规模企业上体现更加明显[4]。由此可知,数 据本地化与数据跨境自由流动的矛盾日益严峻。如 何规制个人信息跨境流动,實现个人信息自由流动、 隐私保护和国家安全的平衡,这是学术界和实务界 一直在探讨的问题。
个人信息跨境流动作为近年来国际社会的热 点话题,其规制方法《个人信息跨境标准合同办法》 (以下简称《标准合同办法》)的出台具有重要意 义。从理论层面看,完善个人信息跨境流动法律规 制不仅是国内法的完善,还会产生国际上的联动效 应。从实践意义看,该制度切身关系到每个人的利 益,随着科技的发展,未来定是数据的世界。我国 作为新兴的信息大国,庞大的人口数量必然产生巨 大的个人信息跨境需求,进而产生经济价值。制定 标准合同已经成为各国规制个人信息跨境流动的重 要途径。《标准合同办法》是专门以“个人信息跨境 流动”为规制对象,通过国家预先设置标准合同, 由境内个人信息处理者与境外接收方订立合同,约 定双方的权利与义务的方式,来保护个人信息在跨 境流动过程中的安全。
1 作为监管工具的标准合同
1.1 标准合同制度的由来
标准合同制度是为了确保个人信息出境后享有 不低于本国标准的保护,同时将个人信息保护的相 关规定转化为境内个人信息处理者与境外接收方 的合同责任。标准合同制度最早起源于欧盟,欧洲 作为数据立法的领军地区,其中欧盟以《通用数据 保护条例》(以下简称GDPR)为基础,制定“充分 性认证”、标准合同条款等数据跨境传输模式,搭 建起欧式个人数据跨境传输规则。根据GDPR第45 条第1款规定,充分性认证制度是指“当欧盟委员会 做出认定,认为相关第三国、第三国中的某个区域 或一个或多个特定部门或国际组织具有充分保护 水平,才可将个人数据转移至该国家/地区。经认证 后无需特别授权”。是欧盟对第三国数据保护情况 的认可。截至目前,仅有日本、韩国、瑞士等15个国 家或地区通过欧盟的“充分性认证”。相较于严苛 的“充分性认证”,标准合同条款是从保障数据主 体权利的角度出发,双方主体针对数据跨境传输这 一行为作出的约定,相较于“充分性认证”具有较 大的灵活性。
欧盟最早在1995年《欧共体数据保护指令》 (EUDPD)就规定了诸如标准合同条款的相关措 施,从2001年正式出版欧盟标准合同条款之后,又 经历数次变更。为了适应时代的变化,更好地衔接 GDPR和调和商界与民间隐私保护组织的利益诉 求,保障数据安全的情况下更好地进行数据跨境 传输,在2021年2月新的数据跨境传输标准合同条 款(SCCs)应运而生。欧盟新款标准合同条款作为 除“充分性认证”最具代表性的个人信息数据跨境 传输制度,也被称为“条款模式”。根据GDPR的规 定,一国在没有获得“充分性认证”的条件下,数据 控制者和数据处理者可以采取标准合同条款的方 式同欧盟成员国之间自由传输个人信息数据,以降 低在数据跨境流动过程中的风险。欧盟新款标准合同沿袭前三版标准合同条款中对基本数据的保护 原则,并在内容上进行了革新,在具体的个人信息 数据传输模式上,区分了“数据控制者-数据控制 者”“数据控制者-数据处理者”“数据处理者-数 据处理者”和“数据处理者-数据控制者”四种模 式(见图1),并对其做出了详细的规定,每一种数 据传输模式相应地对“数据控制者”与“数据处理 者”有不同的要求。新款标准合同条款适用于一切 受GDPR管辖的数据输出方,即使其实体并未设在 欧盟。实际上是扩大了标准合同的适用范围。新款 标准合同条款的出台不仅有利于推动数据跨境领 域统一规则的形成,而且提升企业在此领域的合规 性,以此促进全球数字贸易的长足发展。
世界范围内没有形成统一的数据跨境立法,是 由各个国家在数据安全和数据出境的国内法完善 之后,而形成的国际上统一的认识。由于各国法律 文化、社会经济、制度背景有诸多不同,延伸出对数 据的保护程度也不同,数据如何安全自由流动这一 根本性问题没有达到共识。针对不同的数据跨境场 景,数据安全自由流动的实现方式也不只有一种模 式,应是设置多样化的数据出境模式[5]。针对个人信 息出境这一场景,我国出台《标准合同办法》来进行 规制,以保证个人信息安全自由的流动。由个人信息 处理者和境外接收方订立个人信息出境标准合同的 方式向中华人民共和国境外提供个人信息。相比数 据出境安全评估严格的适用条件和较高的门槛,个 人信息出境标准合同可适用于更广泛的业务场景, 重要性不言而喻。但在实践过程中,也遇到诸如适 用范围小、主体定义模糊的挑战。
1.2 标准合同的规制对象
我国目前已经形成以《个人信息保护法》《数据 安全法》和《网络安全法》为基础的全方位的数据 安全和个人信息保障体系。2023年2月24日,备受瞩 目的《个人信息出境标准合同办法》由国家互联网 信息办公室正式发布,附件部分公布了个人信息出 境标准合同(以下简称“标准合同”),并于同年6月 1日起施行。加上此前已发布的《数据出境安全评估 办法》(以下简称《评估办法》)、《网络安全标准实 践指南—个人信息跨境处理活动安全认证规范》, 《个人信息保护法》明确的三项个人信息出境条件 已全部具备明确的落地指引。
个人信息作为数据的重要组成部分,研究数 据跨境流动这一问题时,必然涉及对个人信息的研 究[6]。在针对个人信息跨境流动问题中,首先应判 定哪些数据属于个人信息[7]。我国《个人信息保护 法》第4条对个人信息的定义做出界定:“个人信息是以电子或者其他方式记录的与已识别或者可识 别的自然人有关的各种信息,不包括匿名化处理 后的信息。”即只要是与已识别或可识别自然人相 关的信息都属于个人信息,采用了“相关性+可识 别性”的判断标准。此外,《个人信息保护法》第28 条又细分了敏感个人信息。其次是准确界定“跨境 流动”的含义,《新华社新闻信息报道中的禁用词 和慎用词》第40条对“境外”的定义为:指中华人 民共和国领域以外或者领域内未实施行政管辖的 地域,即包括港澳台。因此中国大陆与港澳台之间 的个人信息传输也属于个人信息跨境流动。但对于 “个人信息跨境流动”的确切定义,学术界和实务 界目前尚未达成共识[8]。最早正式提出这一概念 的是经合组织(OECD)在1980年发布的《关于隐 私保护与个人数据跨境流动的指南》中,第1条第3 款将“个人信息跨境流动”定义为个人信息跨越边 境进行传输[9]。各个国家或地区在立法层面,未对 “个人信息跨境流动”作出其他的定义。本文亦不 对“个人信息跨境流动”做定义,直接将其作為既 定事实,研究个人信息跨境流动的法律规制问题。
1.3 标准合同的适用面临的挑战
1.3.1 适用范围存在局限性
《标准合同办法》第4条明确了标准合同的适 用范围,同时符合四种情况的个人信息处理者可 以通过订立标准合同的方式向境外提供个人信息: (1)非关键信息基础设施运营者;(2)处理个人信 息不满100万人的;(3)自上年1月1日起累计向境外 提供个人信息不满10万人的;(4)自上年1月1日起累 计向境外提供敏感个人信息不满1万人的。对比《评 估办法》可以看出,两者之间是一种衔接关系。非 关键信息基础设施运营者处理的少量个人信息出 境适用个人信息出境标准合同,而关键信息基础设 施运营者处理的个人信息、向境外提供重要数据或 数量较多的个人信息出境则需要通过所在地省级网 信部门向国家网信部门申报数据出境安全评估。
从个人信息认定的范围来看,“相关性+可识 别性”标准可能会导致个人信息的范围宽泛。在实 际的跨境活动中,许多新兴和边缘信息是否被视为 个人信息存在较大的争议。此外,中国庞大的人口 规模必然会产生大量的个人信息数据,这也是一个 不容忽视的问题。绝大多数情况下,个人信息处理 者与境外机构商业层面的个人信息数据流动规模较 大,很容易超出《标准合同办法》规定的范围,可能 会导致适用标准合同的场合少之又少。
1.3.2 与安全评估制度存在“重叠”
从法律体系上看,《标准合同办法》与《评估办 法》应该是一种相衔接的关系。《标准合同办法》 适用于安全评估强制申报以外的个人信息出境。但 在具体适用上,适用标准合同并不意味着是评估义 务的豁免,根据《标准合同办法》第5条“个人信息 处理者向境外提供个人信息前,应当事前开展个人 信息保护影响评估”。个人信息保护影响评估属于 受强制的自我规制[10],其评估内容与《评估办法》 第5条有明显相似性。这样设置的目的是保障两种 数据出境制度均能达到同等水平的安全保护效果, 但目的与实际效用是否相悖?在适用方式上,《标 准合同办法》采取了自主缔约与备案相结合的措 施,标准合同不以备案为生效的条件,《标准合同 办法》第7条规定“个人信息处理者应当在标准合同 生效之日起10个工作日内向所在地省级网信部门备 案”。备案的内容为标准合同文本和个人信息保护 影响评估报告。按照规定,在标准合同生效后即可 以开展个人信息出境活动,不用等待完成备案。结 合第2款:“个人信息处理者应当对所备案材料的真 实性负责。”可见,省级网信部门主要对备案材料的 形式要件进行审查。而《评估办法》中第4条和第6 条要求数据处理者在向所在地省级部门申报时提 供一系列安全评估的材料。虽然备案与申报的法律 效力不同,但从条款设置上来看,两者的差异性并 不显著[5]。
两处制度的相似是为了确保,无论从哪种方 式进行个人信息数据出境,都能保证个人信息在此过程的安全性。但这也使得《标准合同办法》与 《评估办法》的区分程度不明显。两者是不同的制 度,却有类似的评估内容,不利于法律制度的体系 化进程。
1.3.3 标准合同主体定义模糊
我国标准合同的主体为个人信息处理者和境 外接收方,仅一种数据传输模式,且不区分“数据 控制者”与“数据处理者”。欧盟标准合同条款经 过二十多年的发展完善,在适用过程中能够覆盖多 种场景。对比欧盟最新版本的标准合同条款,分为 两个缔约主体,定义了“数据控制者”与“数据处 理者”的区别。并采取“模块化”条款,使得标准合 同能覆盖更多场景的数据跨境模式,具体分为“数 据控制者-数据控制者”“数据控制者-数据处理 者”“数据处理者-数据处理者”和“数据处理者- 数据控制者”四种模式,对四种个人信息数据跨境 传输模式分别作了详细规定。并且不同的数据传输 模式有不同的要求,使标准合同条款能够适用于各 种场景。
我国从《个人信息保护法》开始,定义中就未 区分“数据处理者”与“数据控制者”的概念。而 是将其统称为“个人信息处理者”,即自主决定处 理目的、处理方式等个人信息处理事项的组织、个 人。对比GDPR可知,与其“数据控制者”的定义相 似,即单独或共同决定个人数据处理目的与方式的 自然人、法人或其他实体。目前实务界与学术界的 共识是应当在法律语言上注意区分“数据控制者” 与“数据处理者”的概念[11]。面对复杂的个人信息 跨境活动场景,不同的角色意味着不同的责任和义 务,将两种角色统称为“个人信息处理者”,不利于 责任的划分及事后救济的开展。
2 问题的成因及优化方式
本文运用文本分析、比较研究等方法,分析问 题的成因及提出相应优化方式。合理扩大标准合同 的适用范围、在构建标准合同制度体系化方面还需 加强、合理定义“数据处理者”,完善个人信息跨境 的模式。提高标准合同的实用性,找到个人信息自 由流动与个人信息保护的平衡点。
2.1 扩大标准合同适用范围
2019年《个人信息出境安全评估办法(征求意 见稿)》第3条规定:“个人信息出境前,网络运营者 应当向所在地省级网信部门申报个人信息出境安 全评估。”该征求意见稿中未设置人数标准,意味 着只要向境外提供个人信息就需要进行安全评估, 即通过安全评估是个人信息出境的唯一方式。此种 方式不仅增加网信部门的工作量,也不利于企业的 经济发展。2022年发布的《个人信息出境标准合同 规定(征求意见稿)》其设置了门槛,此次《标准合 同办法》与之保持一致,对标准合同也设置了相应 的适用范围。从《标准合同办法》第4条的适用范围 和立法沿革及实践来看,标准合同更适用于中小企 业,减轻中小企业个人信息出境业务的负担。
欧盟个人信息数据跨境传输的核心观念是最大 限度保护人权[12],只有参与数据跨境传输的各方能 够充分保障个人信息数据的安全,个人信息数据才 得以自由流动。由于GDPR所要求的“充分性认定” 难度较大,所以企业更愿意采用标准合同条款的 方式进行数据跨境传输[13]。从历史沿革来看,标准 合同适用范围逐步扩大,正在成为欧洲监管部门最 有效的监管工具[14]。从实践中看,标准合同条款作 为“个人数据跨境传输工具”,使未取得欧盟“充分 性认证”的国家或地区也能与之进行数据跨境传输 活动,逐渐成为欧洲监管部门监管个人数据跨境流 动的重要方式。
随着全球化的发展,各国法律的趋势也是一致 的,都把标准合同当作企业之间进行个人信息数据 跨境传输的一个重要方式。而标准合同的适用范围 小,导致其束之高阁并不是立法的初衷。在适用上 与《评估办法》相联系,从整体法律体系出发,扩大 《标准合同》适用范围,提高《评估办法》适用门槛,完善整个数据出境法律体系。达到个人信息数 据安全与自由流动之间的平衡。
2.2 体系化构建标准合同
标准合同和安全评估办法的“重叠”,究其原 因是忽视了两种制度的内在逻辑差异性,《标准合 同办法》的法理基础是在个人信息出境过程中对第 三人利益的保护和救济,合同条款应侧重合同义务 的履行方式及违约责任的承担方面。其实质是以合 同意定的法律责任,预防合同双方当事人违约并提 出具体救济方式。而《评估办法》的法理基础是预 防数据出境对国家安全和社会公共利益造成难以弥 补的损害,在此种情况下对数据安全风险进行预防 和缓解,因此评估的事项和内容应严于少量个人信 息和一般数据出境[5]。其实质是,对数据处理者设 置法定的义务来保障数据安全。针对不同的法理基 础,应对个人信息数据设置不同程度的规制要求。
以《标准合同办法》为基础的标准合同条款, 应当有两个侧重点,在事前阶段,通过设置个人信 息处理者对境外接收方充分的考察的义务;在事 后阶段,境外接收方获得个人信息数据之后存在的 违约行为及救济方式。明确个人信息保护影响评估 与风险自评估之间的差别,在第5条的用语上,可 将“重点评估以下内容”调整为“重点评估风险事 项”。来突出标准合同影响评估遵循的是风险自评 估,由数据处理者判断个人信息出境后可能带来的 风险及危害结果。提高个人信息權利人权利救济的 便捷性与可能性,个人信息权利人在面对境外接收 者违反合同约定而受到损失时,在维权过程中有诸 多困难,可以要求个人信息处理者承担连带责任。 以更好保护个人信息权利人的利益。
2.3 合理定义“数据处理者”
有学者认为无需给“数据处理者”一个独立的 法律地位,理由是数据处理者代表数据控制者,其 结果由数据控制者负责,数据控制者有义务选择一 个有能力胜任的数据处理者。数据处理者与数据控 制者有内部的联系,这种内部联系与个人信息主体无 关,因此对外承担责任无需区分[15]。以Facebook被罚 50亿为例,Facebook公司控制了大量的用户数据,担 任“数据控制者”角色。而其与剑桥分析公司不当分 享8700万用户的个人信息,剑桥分析公司对这些个人 信息进行分析,担任“数据处理者”的角色。由此可 见,在划分责任时,有必要区分每一行为的性质,对 其行为进行定性、归责。我国在立法上应完善,区分 两个主体,划分四种传输行为是有必要的。
合理定义“数据处理者”,区分“数据控制者” 与“数据处理者”不同的法律地位,利于在具体实 践中明确责任,划分义务。并以此为基础,建立多种 个人信息跨境传输模式。立法应具有前瞻性,预见 未来数据的发展。
3 结 语
大量的实践已经证明,绝对化的数据无国界与 当今经济全球化发展相悖,绝对化的数据主权阻碍 市场经济的发展。以美国为代表的数据自由贸易虽 具有一定的合理性,可以提高全球的合作效率,全 球范围内增加财富,但也要防范某些国家以自由之 名对其他国家的个人数据与国家安全造成威胁。以 欧盟为代表的数据人权立场,在充分保护个人数据 安全的同时,实际上是一种“软数据本地化”,导致 单边主义与长臂管辖的风险[16]。
数据具有非竞争性、非排他性等特征[17]。数据 在无限复制的过程中,不仅不会损害数据的价值, 还会在此过程中产生新的价值。同时需要平衡好个 人信息跨境流动安全与经济利益的关系。我国《标 准合同》已经发布生效,但现实生活不是一成不变 的,法律在适用过程中具有滞后性。在具体适用过 程中,合理扩大标准合同的适用范围,让标准合同 能够真正地适用各种场景;从整体上构建标准合同 制度体系化;最后合理定义“数据处理者”,完善个 人信息跨境的模式。找到个人信息自由流动与个人 信息保护的平衡点。
参考文献
中国信息通信研究院《全球数字经济白皮书(2022)》 [EB/OL].(2022-12-07)[2023-11-04].http://www.caict. ac.cn/kxyj/qwfb/bps/202212/P020221207397428021671. pdf.
Center for Strategic and International Studies (CSIS). Governing Data in the Asia-Pacific[EB/OL].(2021- 04-21)[2023-11-04].https//www.jstor.org/stable/ resrep31139?seq=1#metadata_info_contents.
LAUREN H S.Big Data Is Not Big Oil: The Role of Analogy in the Law of New Technologies[J]. Tennessee Law Review, 2019(4): 863-892.
European Commission.Communication on Building a European Data Economy[EB/OL].(2017-04-10)[2023-11- 04].http://ec.europa.eu/newsroom/dae/document.cfm?doc_ id=41205%0D.
赵精武.论数据出境评估、合同与认证规则的体系化[J]. 行政法学研究,2023(1):78-94.
黄秋红,李雅顿.对接CPTPP数据跨境流动规则研究[J]. 南海法学,2022(1):115-124.
谢登科.个人信息跨境提 供中的企业合规[J ].法学论 坛,2023(1):85-94.
United Nations. Cross-Border Data Flows and Development: For Whom the Data Flow[EB/OL].(2021-11-16)[2023- 11-04].https://unctad.org/system/files/official-document/ der2021_en.pdf.
OCDE. OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data[M].OECD Publishing:2002.
刘权.论个人信息保护影响评估—以《个人信息保护法》 第55、56条为中心[J].上海交通大学学报(哲学社会科学 版),2022(5):39-50.
程啸.侵害个人信息权 益的侵权责任[J ].中国法律 评 论,2021(5):59-69.
蔡翠紅,张若扬.“技术主权”和“数字主权”话语下欧盟 数字化转型战略[J].国际政治研究,2022(1):9-37.
李默丝.中美欧博弈背景下的中欧跨境数据流动合作[J]. 欧洲研究,2021(6):1-24.
梅傲,张涵鑫.从SCCs到IDTA:欧洲个人数据跨境传输规 则调整及中国应对[J].中国行政管理,2023(2):135-144.
PETER B .Controller and processor: is there a risk of confusion?[J]. International Data Privacy Law, 2013(2): 140-145.
丁晓 东.数 据跨境流动的 法理 反 思与制度 重 构 —— 兼 评《 数 据出 境 安 全 评 估 办 法》[ J ] . 行 政 法 学 研 究,2023(1):62-77.
SILVEIRA D J F M J, KENNETH J. Arrow - Economic Welfare and the Allocation of Resources for Invention[J]. Revista Brasileira de Inova??o, 2008(2): 261-286.
作者简介
赵薇,硕士研究生,研究方向为国际法学、数据法学。
(责任编辑:张瑞洋)