跨境數據流動時代個人信息安全的立法保護

蘇彥 王炳智

摘? ?要：跨境數據流動導致個人信息安全問題的原因在于各國立法的分散和缺陷。數字經濟時代，數據流動交換進入爆發式增長階段。文章通過梳理跨境數據流動時代國外個人信息保護規范的發展現狀，以及跨境數據流動背景下我國個人信息保護狀況，分析了目前全球在跨境數據流動方面的問題，并依據問題從設立個人信息專員制度、統一立法標準、確立數據主權歸屬主體等方面進行了立法對策建議，力圖提出可行性措施。

關鍵詞：跨境數據流動;個人信息安全;立法

中圖分類號：D90? ? ? ? ? 文獻標識碼：A

The legislative protection of personal information security in the era of cross-border data flows

Su Yan1，2， Wang Bingzhi3

（1.University of Chinese Academy of Social Sciences， Beijing 102488;

2. Policy Research Office of CPC Guangxi Zhuang Autonomous Region Party Committee， GuangxiNanning 530025;

3.University of International Relations， Beijing 100091）

Abstract： The reasons of personal information security problems caused by flows of cross-border data lie in the decentralization and defects of national legislation. In the era of digital economy， the flows and exchanges of data have entered an explosive growth stage. In this article， through combing present development situation of foreign personal informations protective specification in time that cross-border data flow， and cross-border data flows under the background of personal informations protection in China， analysis issues in the current problems about cross-border data flows.Whats more，? according to these problems we provide the legislative suggestions including the initiation of personal information commissioner system， unification of legislative standards and establishment of the subject of the data sovereignty ，and try to put forward feasible measures.

Key words： cross-border data flows; personal information security; legislation

1 引言

互聯網時代國家主權的邊界變得模糊，個人權利的運行空間得到了極大拓展。在信息化時代的今天，個人信息、個人數據的使用超出了國界限制，數據流動出現跨境流動的情況。既然個人信息數據的跨境流動在全球范圍內普遍存在，那么是否還需要某一國單獨強調其數據信息的主權？實際上，各國已經在個人信息安全領域紛紛予以立法規制，而且立法內容各不相同。針對數據的跨境流動進行個人信息安全領域的立法，是因地制宜地保護公民的個人信息權。

2 跨境數據流動時代已經來臨

數字經濟時代，一系列科技創新、法律制度創新不斷涌現。例如，5G技術投入使用、移動電話、信用卡、社交賬號等數字產品或服務出現等，都在推動著數據資源流通、交換、貿易等多種形式的數據流動以及數據的爆炸式增長。據聯合國統計，當前約90%的數據是在過去兩年內創造的，預計數據量每年增長40%。2014年麥肯錫全球研究院的一份有關報告指出：全球的“五流”（商品、服務、金融、人員和數據）正在不斷增長，對全球GDP增長的貢獻為每年2500億至4500億美元，相當于全球經濟增長的15%到25%左右。尤其是對于亞太地區而言，跨境數據流動所帶來的積極作用更為明顯。根據調研公司eMarketer測算，亞太地區的網絡流量未來仍將保持上升勢頭，從2016年的361.7EB（1EB=1024×1024×1024GB）增至814.2EB（2020年）。跨境數據流動極大地優化了全球資源配置，精準到位的數據統計和一些免費的數據流也提高了各行業的生產效率，最新的科研成果和技術能夠更快地被轉化適用。這些數據流量創造了大量的貿易和就業機會，同時也為制造業、服務業、零售業等行業提供了大數據的支持，很多初創企業或中小企業也因此對跨境商業領域躍躍欲試。

跨境數據流動所帶來的巨大優勢，也使人們逐漸加強了對數據保護的重視。正如美國政治學者小約瑟夫·奈在《理解國際沖突：理論與歷史》一書中所指出的，信息革命正在改變著世界政治格局，而跨境數據流動過程中也必然存在著“馬太效應”，居于數據搜集、分析領先地位的數據掌控大國將可能攫取更多的權力，而劣勢國的發展極有可能因此受限，甚至失去一些絕佳的發展機會。在數據時代下，海量數據的儲備、流動、分析，對于一個國家的經濟、政治、國家主權、國家安全等很多方面都有著極其重要的意義。

3 跨境數據流動背景下國外個人信息保護現狀

盡管這些海量數據當中有很大一部分是“數據廢氣”，但依然不能忽視那些被賦予商業價值和政治價值數據流的作用，而其中與個人信息有關的數據，也逐漸凸顯出獨立的經濟價值。在1993年，歐洲互聯網存儲的個人信息僅僅占到整個電子通訊信息的1%，而現在已經增長到了97%，互聯網經濟繼續在以指數級的速度發展。大量的個人信息在這個過程當中被收集，有些甚至成為許多公司所掌握資產的一部分，而許多人卻經常沒有意識到自己的個人信息已經被收集，或者說缺乏自我保護的觀念。盡管很多歐洲人認可個人信息披露在現代社會的必要性，但仍有72%的歐洲互聯網用戶，擔心自己的信息被收集太多，他們甚至感覺自己無力控制信息被收集后的去向和手段，對于如何維權和行使權利存在認識盲區。 據統計，2014年，雖然3 /4 的歐洲人是互聯網用戶，但僅僅有15%的人曾經做過跨國網絡交易。同時，只有7%的中小企業開展跨國網絡銷售業務。這足以反映出營造一個良好、可信任的跨國數據流動的環境，對于加快各國經濟、政治、文化等方面的交流尤為關鍵。

目前，世界公認的較為行之有效的有兩套規范跨境數據流動中個人信息保護的體系：一是重視事后救濟、經濟發展便利的美國式“長臂管轄”機制;二是以“個人權利本位”和“預防為主”歐盟信息保護機制。

3.1 美國式“長臂”管轄的保護機制的優勢及存在問題

2016年2月，美國與日本、澳大利亞等12個國家簽署了跨太平洋伙伴關系協定（簡稱TPP協議），其中便明確要求各國就包括個人信息在內的信息以電子數據的形式進行跨境轉移，任何成員國都無權要求其成員國的公司在其境內進行數據本地化。該禁止性要求雖然并不排除各國出于公共政策目的實施一定的對策，但對于如何認定一國的政策是否為公共政策、該政策是否帶有不合理的歧視或對貿易的限制等問題并沒有明確的回答。結合美國相關典型案例所確立的原則，即微軟訴美國司法部案中，美國有關司法部門認為無論數據存儲在哪里，其都具有管轄權。這在一定程度上體現了美國“長臂”管轄的特點。

然而，這又必然激化國際管轄的沖突，畢竟不同國家的數據跨境流動政策不一定契合，在不同的規范條件下必然無法回避早晚要到來的管轄沖突。目前，在針對個人信息保護的司法協助條約并不能有效快速地解決爭端的情況下，與其選擇進行國家間冗長繁瑣的司法程序，不如直接要求服務商提供協助，而這反向激勵了數據本地化現象的出現。對于那些暫時或未來也并不需要將用戶數據存儲在本地的初創企業或中小企業而言，“一刀切”式的數據本土化要求反而導致其經營的成本隨之增高，其發展在一定程度上受到了限制。

3.2 歐洲式個人信息保護機制的優勢及存在的問題

歐盟的個人信息保護機制主要是建立在1995年頒布的《關于個人信息處理保護及個人信息自由傳輸的指令》、2010年11月由歐洲委員會提交的《歐盟個人信息保護綜合方案》和2016年4月頒布的《歐盟一般個人信息保護條例》（簡稱GDPR）等三份文件基礎上。另外，還有《公民權利和政治權利國際公約》和《歐洲人權公約》等其他有關公約、法律具體條款的補充保護。在指令、公約并行的前提下，各國還需依照前述法律文件進行國內立法的轉化。雖然其出發點在于保護公民個人信息安全，但現實中，一國一法，況且不同國家執行不同的個人信息保護法的水平也不一致，反而增加了個人信息保護制度的復雜性和不確定性，徒增行政管理成本，也影響了消費者的信心和歐盟的整體競爭力。另外，在GDPR的規范體制下，歐盟也提出了風險等級差異化管理的方法，將不同跨境數據處理的風險分為三個層次：較低風險、一般風險和較高風險，并依此三個等級分配信息控制者和處理者的法定義務和責任，以作出相對應的適當免除。雖然差異化管理利于合理管控和責任風險相對稱，但GDPR這一標準本身卻缺乏對不同風險等級區分的詳細充分的解釋和說明，僅僅使用了列舉式的方法進行具體舉例來說明部分處理活動明顯無法適應復雜、多變的互聯網環境和個人信息侵權形式。這兩大規范所反映的問題，也正是我國現在以至于未來要面對的主要問題。

4 跨境數據流動時代我國個人信息保護現狀

相對于這兩大已經較為成熟的個人信息保護范式而言，我國也緊跟時代發展的步伐，于2016年正式頒布了《中華人民共和國網絡安全法》，其中對于關鍵信息基礎設施的安全風險等問題進行了明確規定，并且設置了“網絡信息安全”這一大章進行了專門規定，而《個人信息保護法》仍在制訂當中。通讀整部文件，并且對照前兩大個人信息保護的立法、司法體系，不難發現，我國國內對個人信息保護的程度還不夠。舉目全球，中國在跨境數據流動背景下的個人信息保護所遇到的問題不可不謂嚴重。除了上述兩大規范在國際交流中所反映出的通病之外，我國國內關于個人信息保護存在具體問題大致為兩點。

4.1 保護范圍狹窄

我國個人信息安全立法保護的規定保護范圍狹窄主要表現在兩個方面。一是現有的立法只對部分個人信息作了規定。諸如涉及隱私的信息，對那些表面看似未涉及隱私的信息，特別是那些能通過大數據整合、處理而精確定位到某個自然人的間接個人信息，例如手機號碼、家庭住址、職業情況等不能直接通過某一單項來確定個人的信息，針對這類信息應該如何處理，目前仍無法可依。二是現有的立法只規定了部分處理行為。由于我國現有個人信息安全保護立法呈部門分散性，致使只對部門內管轄信息處理行為進行了約束規定。此外，現有立法保護面過窄，只針對表面的個人信息侵權來進行立法規制，并沒有賦予個人信息主體本人以相應的知悉權。

4.2 保護機制缺失

我國現有保護立法機制缺失主要表現在兩個方面。一是保護立法不成體系。我國雖然于2018年9月將《個人信息保護法》列入人大立法規劃，但到目前為止《個人信息保護法》仍未有定論，對個人信息的立法保護零星地散見于其他法律法規之中，且大都以“管理規定”“實施辦法”以及“司法解釋”等形式出現。目前就整體而言，有關個人信息保護的條款仍散落在其他部門法的規則之中，如《刑法修正案（七）》第7條對于侵犯個人信息罪的規定、《侵權責任法》第36條關于網絡侵權的規定，以及《關于加強網絡信息保護的決定》和《電信和互聯網用戶個人信息保護規定》等法規政策都體現了這一特點。不論從個人權益的保障方面，還是從未來市場發展方面，全國性的、明細的以及具有引領性的《個人信息保護法》亟待出臺。二是缺乏專門的執法機構。正如我國個人信息安全部門立法現狀一樣，當前我國在個人信息侵權執法方面也都是各自為政，這種分割式的執法方式，看似點對點，職權明確，然而一旦涉及多類個人信息侵權時，這種執法模式就極容易產生庸政懶政，按規定來講，原本都要負責的事項，最終結果可能是無人負責。

5 跨境數據流動時代加強個人信息保護的立法建議

5.1 設立個人信息專員制度

立法上的專門化所帶來的執法專業化、行政專門化，應該是未來立法與執法相互作用共同發展的趨勢。個人信息領域作為大數據時代具有世界普遍性特征的問題，更應該得到專門的重視。設立個人信息專員制度，以個人信息專員來處理數據和信息的流動等處理環節所涉及到的問題，將會使個人信息和數據的保護更加完善高效。此外，專員的設立有利于國內外交流經驗、對接標準。個人信息專員在基礎職能上需要突出幾個要點：負責個人信息案件的委托安排、申請遞交以及對案件狀態、時限進行監控;負責個人信息及數據的分類統計;負責保持內部個人信息管理部門與外部代理機構的良好溝通并處理涉外信息數據事宜;促進個人信息在合法合規前提下創造經濟收益。

簡而言之，個人信息專員，是法律賦予行政主體和企業內部行政機構的“自力救濟”，目的是掌控個人信息發展動態，從源頭上減少個人信息安全事件發生。

5.2 統一立法標準

當前我國出臺的法律，內部存在不協調不統一、相互割裂分離的狀態。從域外立法現狀來看，在違法責任、執法手段等方面又遠輕于法治發達國家。因此，統一立法標準對于整合立法資源、接軌先進法治經驗有著重要意義。

首先，利用我國當前普遍設立的大數據管理局為依托，進行公權力層面的個人信息專員制度的規制，賦予其對跨境數據流動的監管權力，依照數據管理水平一流的國家機關職能，依法對境內外涉及中國合法利益的數據進行監管，對跨境數據的流動、保存、使用、共享、轉讓、公開披露等環節進行國家監督。大數據管理局作為個人信息安全案件最主要的行政主體，其執法標準等一系列對外措施必然是統一的。此舉有利于打破多主體共同管理的困境，有效防止“一哄而上、一哄而下”，都來管或都不管的問題。

其次，我國要積極呼吁國際公約和條約的形成與出臺，同時主動分擔歐美國家數據管理壓力。對于本國公民和企業在我國境內產生的信息和數據，執法部門需要予以管理，對于外國公民和企業在我國境內所產生的信息和數據，也要予以同等的待遇，不得放松、歧視、差別待遇，營造良好法治環境。對于我國公民和企業在境外所產生的信息和數據，應該既尊重境外國家法律要求，又要依據歸屬地進行管轄，減輕境外當事國處理壓力。

5.3 確立數據主權歸屬主體

數據流動出現跨境，一旦產生糾紛，必然涉及不同的主權國家，主權的觸及通常是一個國家極為敏感的部分，因此才會產生越來越嚴重的“長臂管轄”情況。如何維護國家主權，確保跨境數據流動正常發展，需要平衡好國家主權與大數據時代經濟效益的關系。在這種條件下，提出“數據主權”這一概念，明確跨境數據的歸屬主體，是保障大數據發展的應有之意。

從微觀上講，數據主權反映了個人信息的歸屬權問題。個人信息產生于自然人個體，但其保存、使用、共享、轉讓、公開披露等后續信息處理環節通常均不是由該自然人進行的，期間涉及商事主體、行政主體等多個主體，一旦出現跨境流動，又涉及到不同國家法律規定的差異問題，因此探究數據主權也是回應個人信息的歸屬權。由于經濟利益的存在，往往個人信息歸屬權被主張到企業等主體上，個人信息的源頭—自然人難以得到有效的保護，其隱私權、個人信息安全都面臨極大威脅。這種主張無異于把個人信息的歸屬主體無限擴大化，凡是使用者和持有者均享有所有權，這就造成了個人信息安全事件層出不窮。長此以往必然影響市場環境，破壞經濟發展，更為惡劣的是給個人信息的最初權利人造成了極大的不法侵害，這是不符合社會主義法治國家發展方向的。因此，只有明確“個人信息屬于其產生主體即最初的權利人”這一權屬，才能有效規制市場行為、保護個人信息安全。

同樣的，只有明確數據主權的歸屬，是屬于數據收集源頭的公民國籍所在國，才能有效保護個人信息安全。無論何種“長臂管轄”或者善意國家行為，都沒有理由超過個人信息權利人本國對于其公民的保護，因此確立數據主權歸屬主體勢在必行。

6 結束語

個人信息安全保護領域立法關乎國家主權、人權，數據跨境流動所涉及的個人權利沖突、國家主權沖突已經影響到了國家間政治交往、經濟往來以及網絡安全。毫無疑問，公民是有國籍區分的，公民所創造的數據也是有其主權限制的。跨境數據流動如何實現既保障互聯網空間信息化建設中數據跨境流動的正常進行，又要保障跨境流動中不危害公民個人的信息安全以及公民國籍所在國的主權，是個人信息安全保護領域立法首要解決的難題。

參考文獻

[1] （美）小約瑟夫·奈.《理解國際沖突：理論與歷史》（第五版）[M].上海：上海人民出版社，2002.

[2] 劉云.歐洲個人信息保護法的發展歷程及其改革創新[J].暨南學報（哲學社會科學版）， 2017（2）.

[3] Viviane Reding，Strong and independent data protection authorities： the bedrock of the EU's data protection reform[EB/OL].http：//euro-pa.eu/rapid/press-release_SPEECH-12-316_en.html.

[4] Worldwide Internet Users， by Region PRO” from the eMarketer[EB/OL]. https：//www.emarketer.com/forecasts/584b26021403070290f93a89.

[5] McKinsey Global Institute. Global flows and global growth[EB/OL].? https：//www.mckinsey.com/mgi/overview/in-the-news/global-flows-and-global-gorwth？from=singlemessage&isappinstalled=0.

作者簡介：

蘇彥（1982- ），女，漢族，山東濟寧人，中國社會科學院大學，博士研究生，中共廣西壯族自治區黨委政策研究室，副調研員;主要研究方向和關注領域：法學理論、憲法、國家安全法。

王炳智（1999- ），男，漢族，山西朔州人，國際關系學院，本科生;主要研究方向和關注領域：數據安全。