個人數(shù)據(jù)跨境流動規(guī)則淺析

代濛

摘 要 隨著互聯(lián)網(wǎng)時代的到來，個人數(shù)據(jù)天然的跨國界流動，其對數(shù)據(jù)隱私保護帶來了挑戰(zhàn)。實踐中，國內(nèi)外數(shù)據(jù)泄露事件也是屢見不鮮。個人數(shù)據(jù)跨境流動涉及數(shù)據(jù)的跨國界流動，具有與生俱來的國際性，各國如何制定法律規(guī)則予以保護，值得研究和探討。

關鍵詞 個人數(shù)據(jù) 跨境流動

在全球一體化的時代，數(shù)據(jù)跨境流動無法避免，但是在其帶來巨大的經(jīng)濟利益的同時，對數(shù)據(jù)隱私的保護造成負面影響。大部分國家出于保護本國公民數(shù)據(jù)隱私考量，紛紛制定了個人數(shù)據(jù)跨境流動規(guī)則。

1個人數(shù)據(jù)跨境流動的含義

對于個人數(shù)據(jù)的定義，目前各國或者國際組織并沒有形成統(tǒng)一的說法或者定義。《隱私保護指南》中首次定義了跨境數(shù)據(jù)流動這一概念，并明確指出：個人數(shù)據(jù)跨越國家邊境流動。該定義范圍廣泛，即將數(shù)據(jù)轉移至境外進行存儲、傳輸或處理，或能被境外主體訪問。個人數(shù)據(jù)流動性的實現(xiàn)，勢必導致個人數(shù)據(jù)脫離數(shù)據(jù)主體的控制。尤其是在信息網(wǎng)絡時代，個人數(shù)據(jù)侵權具有隱秘性，很多時候數(shù)據(jù)主體已經(jīng)被侵權卻很難發(fā)現(xiàn)。隨著流動性的增強，個人數(shù)據(jù)變得越來越不可控，甚至開始跨越國界。

2個人數(shù)據(jù)跨境流動中的主要主體分析

個人數(shù)據(jù)跨境流動過程主要涉及到三方主體：國內(nèi)原本持有數(shù)據(jù)人是數(shù)據(jù)主體，在個人數(shù)據(jù)跨境流動中產(chǎn)生了數(shù)據(jù)收集儲存者和對數(shù)據(jù)進行分析使用的數(shù)據(jù)控制處理者。

數(shù)據(jù)主體是個人數(shù)據(jù)的原始持有者，擁有數(shù)據(jù)的所有權。數(shù)據(jù)主體完全享有對數(shù)據(jù)的支配權，享有選擇讓不讓他人處理數(shù)據(jù)的權利，知曉自己的數(shù)據(jù)何時、何地、被用于何處，由此產(chǎn)生了數(shù)據(jù)主體享有數(shù)據(jù)處理操作的知情權、同意權、異議權等權利。但是，隨著數(shù)據(jù)的被廣泛利用，數(shù)據(jù)主體面臨的一大問題之一就是其享有的權利已經(jīng)被嚴重削弱，在國內(nèi)流動中如此，在跨境流動中更加明顯。

數(shù)掂傳遞過程中，數(shù)據(jù)收集儲存者是獲得數(shù)據(jù)的一方，在收集個人數(shù)據(jù)時應當獲得數(shù)據(jù)主體的同意，并使其知悉數(shù)據(jù)使用的目的。跨境數(shù)據(jù)流動過程中，數(shù)據(jù)收集儲存者承擔了保管數(shù)據(jù)的責任，保護數(shù)據(jù)主體的隱私和數(shù)據(jù)完整性。

歐盟數(shù)據(jù)保護法律法規(guī)中區(qū)分了數(shù)據(jù)控制者與數(shù)據(jù)處理者。數(shù)據(jù)控制者是指單獨或與他人聯(lián)合決定個人數(shù)據(jù)的處理目的、條件和方法的自然人、法人、公共機構或其他實體。數(shù)據(jù)處理者是代表數(shù)椐控制者處理個人數(shù)據(jù)的主體。數(shù)據(jù)控制者有權決定數(shù)據(jù)的內(nèi)容和可以使用的主體，是該對數(shù)據(jù)處理最終結果負責人的人。而數(shù)據(jù)處理者是依據(jù)數(shù)據(jù)控制的指示進行處理，并使用技術手段來保障個人數(shù)據(jù)安全的角色。

3個人數(shù)據(jù)跨境流動域外法律規(guī)則分析

3.1歐盟

歐盟以“充分保護”作為個人數(shù)據(jù)跨境流動法律規(guī)制的核心標準，對個人數(shù)據(jù)的跨境流動設定了嚴格的限制條件。1995年歐盟制定通過的《關于涉及個人數(shù)據(jù)處理的個人保護以及此類數(shù)據(jù)自由流動的指令》中明確規(guī)定，“成員國應當規(guī)定，只有在不影響遵守依照本指令其他規(guī)定通過的國內(nèi)規(guī)定、第三國確保提供充分保護水平時，正在接受處理或者將在傳輸后進行處理的個人數(shù)據(jù)才能向第三國傳輸。”由于在原有標準下，達到歐盟充分性標準的國家寥寥無幾，對該標準的實際執(zhí)行造成了很大的障礙，因此2018年的《數(shù)據(jù)保護通用條例》在第45條規(guī)定：“對于歐盟委員會認定的，對數(shù)據(jù)保護具有充足能力的第三國、第三國中的某個區(qū)域或部門、國際組織，都可以自由轉移數(shù)據(jù)，且不需要經(jīng)過特定授權。”《數(shù)據(jù)保護通用條例》增加了對第三國某個區(qū)域或部門的評估，相當于放寬了達到第三國“充分保護”標準的條件，改變了原來一刀切的做法。

3.2美國

與歐盟“充分保護”的模式不同，美國在私營領域主要通過行業(yè)自律對個人數(shù)據(jù)跨境流動進行規(guī)制。行業(yè)自律模式主要包括在線隱私聯(lián)盟公布的在線隱私指引和美國兩大著名隱私認證機構制定的兩個隱私保護計劃。在線隱私指引是一項建議性質的隱私指南，兩個隱私保護計劃以在線隱私指引為范本，依據(jù)美國聯(lián)邦貿(mào)易委員會的原則對企業(yè)進行隱私認證。符合要求的企業(yè)將獲得認證標識，消費者也可以根據(jù)該標識來選擇操作規(guī)范的企業(yè)。同時，對企業(yè)進行持續(xù)合規(guī)審查，對不符合要求的企業(yè)進行處罰，以保證隱私認證企業(yè)的數(shù)據(jù)保護質量。

美國以市場調(diào)節(jié)和行業(yè)自治為主導，限制政府干預，由個人同企業(yè)在市場上對個人數(shù)據(jù)進行定價和交易，期望在實現(xiàn)個人數(shù)據(jù)自由流動的同時保護數(shù)據(jù)隱私。該模式依據(jù)“問責制”原則，以數(shù)據(jù)自由流動為基礎，默認數(shù)據(jù)控制者在數(shù)據(jù)處理過程中會自覺遵守隱私保護義務，僅在出現(xiàn)違法行為之后，才會有行政機關和行業(yè)組織出面對此進行處罰。美國在私營領域沒有統(tǒng)一的數(shù)據(jù)隱私保護法律，采取分散立法的方式，主要包括1974 年的《家庭教育權利與隱私法》、1986 年的《電子通信隱私1998 年的《兒童網(wǎng)上隱私保護法》以及 1999 年制定的《金融服務現(xiàn)代化法》等。

3.3經(jīng)濟合作與發(fā)展組織

經(jīng)濟合作與發(fā)展組織最早提出跨境數(shù)據(jù)流動的概念，其1980年通過的《隱私保護指南》，是從全球角度對跨境數(shù)據(jù)流動進行規(guī)制的第一個法律標準，該指南確立了八項基本原則，這些原則成為世界躲過制定個人數(shù)據(jù)保護法律規(guī)范的重要參考依據(jù)。這些原則包括：收集限制原則、數(shù)據(jù)質量原則、目的明確原則、使用限制原則、安全保障原則、公開原則、個人參與原則和責任原則。這些基本原則得到了國際上的廣泛認可，也為建立統(tǒng)一的跨境數(shù)據(jù)流動法律制度起到了積極的作用。

參考文獻

[1] 郭瑜.個人數(shù)據(jù)保護法研究[M].北京：北京大學出版社，2012.

[2] 王融.大數(shù)據(jù)保護時代：數(shù)據(jù)保護與流動規(guī)則[M].人民郵電出版社，2017.