個人數(shù)據(jù)跨境流動法律規(guī)制淺析

舒慧

摘 要 數(shù)據(jù)跨境流通涉及兩個或兩個以上國家或地區(qū)，可能會引起不同主權(quán)國家之間的對數(shù)據(jù)保護(hù)的沖突;個人數(shù)據(jù)的價值與個人隱私的保護(hù)之間的沖突也在跨境流動中愈演愈烈，對數(shù)據(jù)跨境流動進(jìn)行法律規(guī)制十分必要。

關(guān)鍵詞 個人數(shù)據(jù) 跨境流通 法律規(guī)制

1個人數(shù)據(jù)跨境流動含義

1980年經(jīng)合組織《隱私保護(hù)和個人數(shù)據(jù)跨境流通指南》里已經(jīng)出現(xiàn)“跨境數(shù)據(jù)流動”的概念。其中指的“數(shù)據(jù)”僅為個人數(shù)據(jù)，指可識別和可認(rèn)定的個人的任何信息。與之不同的是，根據(jù)聯(lián)合國跨國公司中心定義跨境數(shù)據(jù)流動是指“跨越國界對存儲在計算機(jī)中的機(jī)器可讀的數(shù)據(jù)進(jìn)行處理、存儲和檢索。”除此之外，跨太平洋伙伴關(guān)系協(xié)定（以下簡稱“TPP 協(xié)定”）中對跨境數(shù)據(jù)流動概念進(jìn)行了擴(kuò)展，主要是淡化了國界觀念，強(qiáng)調(diào)數(shù)據(jù)的流動自由。當(dāng)前，“個人數(shù)據(jù)”和“個人信息”都是跨境數(shù)據(jù)流動法律規(guī)制的對象。我國目前采用的是“個人信息”來界定數(shù)據(jù)保護(hù)對象。國際數(shù)據(jù)公司（IDC）歸納了大數(shù)據(jù)的四個特征，即海量的數(shù)據(jù)規(guī)模、快速的數(shù)據(jù)流轉(zhuǎn)和動態(tài)的數(shù)據(jù)體系、多樣的數(shù)據(jù)類型和巨大的數(shù)據(jù)價值。從上述的數(shù)據(jù)特征中可以看出來跨境數(shù)據(jù)流動帶來的高收益和高風(fēng)險。

2個人數(shù)據(jù)跨境流動法律規(guī)制的必要性

信息化和網(wǎng)絡(luò)化的發(fā)展，使得數(shù)據(jù)的增長速度和豐富程度遠(yuǎn)超出我們的想象，大數(shù)據(jù)時代中數(shù)據(jù)的價值不言而喻。同時，數(shù)據(jù)天然具有流動性，在全球貿(mào)易中，跨境數(shù)據(jù)流動不僅對技術(shù)行業(yè)至關(guān)重要，還推動了傳統(tǒng)行業(yè)的創(chuàng)新。在跨境數(shù)據(jù)流動帶來精準(zhǔn)分析和廣泛應(yīng)用的同時，也給個人隱私安全和國家公共安全帶來了巨大的影響，因此，對數(shù)據(jù)跨境流動的法律規(guī)制極其有必要。一是數(shù)據(jù)跨境流動給國家數(shù)據(jù)主權(quán)帶來挑戰(zhàn)。個人數(shù)據(jù)跨境流通涉及多個不同的國家主體，導(dǎo)流經(jīng)的國家皆有權(quán)對該數(shù)據(jù)行使管轄權(quán)，容易造成各國國家數(shù)據(jù)主權(quán)的交叉重疊和沖突，同時越來越多的數(shù)據(jù)被存儲在“云”當(dāng)中，其屬于哪個主權(quán)國家管轄，存在很大爭議，相關(guān)糾紛也很多。二是個人數(shù)據(jù)跨境流通對個人隱私保護(hù)帶來巨大風(fēng)險。個人數(shù)據(jù)跨境流通與個人隱私保護(hù)的矛盾貫穿始終，現(xiàn)實中大量數(shù)據(jù)泄露、交易屢禁不止，又例如美國《愛國者法案》規(guī)定其情報機(jī)構(gòu)有權(quán)搜集全球人民在日常生活中所產(chǎn)生的所有記錄和數(shù)據(jù)，并有權(quán)搜查美國互聯(lián)網(wǎng)公司數(shù)據(jù)存儲中心的所有個人數(shù)據(jù)，此舉嚴(yán)重侵犯了全球人民的隱私權(quán)。

3國外個人數(shù)據(jù)跨境流動法律規(guī)制路徑分析

個人數(shù)據(jù)的流通無可避免，但個人隱私保護(hù)刻不容緩，所以個人數(shù)據(jù)跨境流動法律規(guī)制實質(zhì)是為了實現(xiàn)個人數(shù)據(jù)保護(hù)與自由流通的平衡。歐盟和美國在跨境數(shù)據(jù)流動法律規(guī)制方面主導(dǎo)形成了兩個具有代表性的規(guī)則體系——即歐盟“95 指令”與 APEC“跨境隱私規(guī)則”，最終實現(xiàn)了數(shù)據(jù)流動體系化和制度化。

3.1歐洲

歐洲作為個人數(shù)據(jù)保護(hù)的發(fā)源地，將個人數(shù)據(jù)劃為基本人權(quán)之一進(jìn)行保護(hù)，并且其保護(hù)力度最為強(qiáng)大，所有數(shù)據(jù)的流動都要獲得數(shù)據(jù)主體的同意，并且數(shù)據(jù)流入國必須滿足“充分性”保護(hù)要求。

1980年頒布的《有關(guān)個人資料自動化處理個人保護(hù)公約》是歐洲首部針對跨境流動進(jìn)行規(guī)制的區(qū)域性法律文件，對數(shù)據(jù)保護(hù)基本原則、跨境數(shù)據(jù)流動規(guī)制以及締約國之間的合作做出了規(guī)定，并要求締約國不能僅以隱私保護(hù)為由限制數(shù)據(jù)的跨境流動，但同時要求規(guī)定必須在數(shù)據(jù)流入國保證可以為數(shù)據(jù)提供“相同程度保護(hù)”的前提下適用。

1995 年的《有關(guān)個人數(shù)據(jù)處理中的個人保護(hù)與所涉及數(shù)據(jù)自由流通的第 95/46/EC 號指令》（以下簡稱“數(shù)據(jù)保護(hù)指令”）借鑒了《有關(guān)個人資料自動化處理個人保護(hù)公約》的內(nèi)容。該指令不僅強(qiáng)調(diào)了數(shù)據(jù)在歐盟成員國間自由流動，同時也對向區(qū)域外進(jìn)行數(shù)據(jù)轉(zhuǎn)移提出了相應(yīng)的要求。指令對向區(qū)域外轉(zhuǎn)移數(shù)據(jù)作出了特別規(guī)制，要求只有在第三國確保能夠提供適當(dāng)保護(hù)水平時，才允許該轉(zhuǎn)移行為的發(fā)生。但是，也存在特殊安排，主要包括標(biāo)準(zhǔn)合同條款和約束性公司規(guī)則。

《一般數(shù)據(jù)保護(hù)條例》在 2018 年實施并正式取代“指令”。依據(jù)該條例規(guī)定，歐盟關(guān)于跨境數(shù)據(jù)管理的組織架構(gòu)分為三個層次。相比指令，條例對于數(shù)據(jù)保護(hù)提出了更為嚴(yán)苛且精準(zhǔn)的標(biāo)準(zhǔn)要求，并且域外效力趨向性更明顯，其試圖將管轄范圍擴(kuò)大到部分設(shè)立在歐盟境外的主體;同時，條例對于向第三國或國際組織轉(zhuǎn)移的個人數(shù)據(jù)信息，新增了更多的條件和適用情況。

3.2亞太地區(qū)（美國）

相對于歐盟對個人數(shù)據(jù)的強(qiáng)保護(hù)，美國更強(qiáng)調(diào)數(shù)據(jù)的自由流動，認(rèn)為強(qiáng)行采取法律結(jié)構(gòu)對其進(jìn)行規(guī)制有極大的可能會“對商業(yè)活動產(chǎn)生不可避免的阻礙”，主張以自律規(guī)范的形式對個人隱私進(jìn)行有效保護(hù)，美國形成的是以行業(yè)性聯(lián)邦立法為主，以憲法、普通法和各州立法為輔的立法體系，并形成了以個人救濟(jì)為中心、市場調(diào)節(jié)為主導(dǎo)的信息保護(hù)機(jī)制。

2004 年通過的 APEC 隱私框架是亞太地區(qū)第一個關(guān)于跨境數(shù)據(jù)流動規(guī)制的區(qū)域性指導(dǎo)文件。隱私框架的制定在很大程度上借鑒了OECD指南，其核心理念與指南一致，基本原則也可以與指南的八項基本原則進(jìn)行一一對應(yīng)。

由美國主導(dǎo)并于2015 年達(dá)成的區(qū)域性協(xié)定 《跨太平洋伙伴關(guān)系協(xié)定》（TPP）專門對“商業(yè)信息跨境自由傳輸條款”做出了規(guī)定，成為第一個將涉及數(shù)據(jù)跨境傳輸?shù)募s束性條款寫入?yún)f(xié)定文本并在一定程度上限制了數(shù)據(jù)本地化存儲的自由貿(mào)易協(xié)定（FTA），其對跨境數(shù)據(jù)流動作出相應(yīng)規(guī)制，包括規(guī)制對象限定、本地化存儲要求等。

參考文獻(xiàn)

[1] 齊愛民，張才琴，李儀.大數(shù)據(jù)時代個人信息開發(fā)利用法律制度研究[M].法律出版社，2015.

[2] 陳飛等譯.個人數(shù)據(jù)保護(hù)—歐盟指令及成員國經(jīng)濟(jì)、經(jīng)合組織指導(dǎo)方針[M].法律出版社，2006.