淺析個人信息跨境使用范圍和保護
——以《歐盟數據保護通用條例》為例

■胡紫陽 韓 萌/哈爾濱商業大學

隨著跨國跨境數據交流數量的日益漸增，極大地方便了人們的生活，人們在選擇商品、選擇服務等方面有了更豐富的選擇，與此同時企業也能擴大自己的生產渠道和銷售范圍，帶來更多的利潤和外匯。但隨之而來的是個人信息的使用方式和保護問題，廣泛的個人信息包括隱私數據、個人的人格利益等信息，一旦泄露或遭到非法獲取，必然會損害個人的權益；而一些重要信息涉及到國家秘密的，如果被境外不法分子獲取，將嚴重損害國家利益和社會利益。因此，個人信息的跨境使用一方面是不可避免的，另一方面也需要的進行規制和保護，從而保障個人利益與國家利益，在促進信息交流的同時又推動不同國家和地區之間的相互發展。目前，我國還沒有關于個人信息跨境使用的專門法律，僅在部分法律中有涉及到個人信息保護，如2016年出臺的《網絡安全法》，其中有涉及到關鍵信息基礎設施運營方面和跨境信息傳輸的規定，但是涉及范圍較為狹窄，對當前個人信息跨境使用的整體覆蓋面不夠，難以發揮更大的作用。在國際關于個人信息保護方面，也僅加入《APEC隱私框架》。在個人信息傳輸中，跨境合作的參與率較低，與我國日益增長的國際經貿流量不相適應。在保障我國公民的個人權利、并且最大程度地利用數據流流量帶來經濟增長，有效平衡二者也是值得考慮。

一、個人信息跨境使用的立法現狀

（一）個人信息的范疇

以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的信息，包括但不限于自然人的姓名、出生日期等。［1］其他如《APEC隱私框架》中定義為“個人信息是指與已識別或可識別個人相關的任何信息”。不同的國家對個人信息的定義有不同界定，但也都集中在自然人作為個體，所具有的各種與之相關的信息。

（二）個人信息跨境傳輸的界定

個人信息跨境傳輸的概念在1980年首次出現，由國際經合與發展組織在關于個人信息和隱私的保護中的一個概括性文件中提出的，總結為個人信息的傳輸穿過了國家邊界。［2］到信息高速傳輸的今天，國家或地區境內的個人信息向境外（本國或者本地區以外）傳輸，或者儲存的信息能被境外機構或個人知悉和獲取，均可以構成個人信息跨境。

（三）個人數據跨境使用的現狀

個人數據流動的背后是信息經濟以及涵蓋政治和文化的多重價值。在個人信息跨境流動的規范中，我國主要是在《網絡安全法》和《國家安全法》體現對個人信息跨境流動加以規制，在《網絡安全法》起草階段曾進行意見征集，網信辦牽頭的《個人信息和重要數據出境安全評估辦法（征求意見稿）》對個人數據跨境尤其是出境的內容、范圍和相關概念、相關保護程序等方面進行說明。《民法典》的人格權編也對個人信息的概念和范圍有了跟進一步的闡釋，與此同時還有籌劃中的《個人信息保護法》，都將鞏固現有的個人信息的保護，但對個人信息跨境并沒有過多的涉及。因此我國在個人信息的跨境保護方面還需要進一步的學習借鑒。

發達國家和地區在科學技術和管理模式等方面占據優勢地位，因此能更容易獲取到他國個人信息，同時又進一步加強自己境內個人信息保護，如美國、歐盟等在本國輸出數據過程中采取了“限制和緊縮”手段，制定更為嚴格的法律，主要表現在將個人信息劃分到基本人權的范圍加以保護。尤其是歐盟，不希望歐盟范圍內的個人信息流入到其他國家和地區被濫用，同時又渴望最大限度獲取其他國家和地區的個人信息。2016年歐盟頒布《歐盟數據保護通用條例》（General Data Protection Regulation，以下簡稱 GDPR），生效是2018年05月25日，一度視為最嚴格的個人數據保護方案，1995年頒布的《數據保護指令》(Data Protection Directive 95/46/EC)已經被取代。新法案對歐盟公民的隱私保護力度和范圍都有了極大提高，對個人信息和數據確立基礎性的一些原則和處理方法。［3］

二、《歐盟數據保護通用條例》中對個人信息跨境使用的規定

（一）擴大個人信息范圍

傳統個人信息如姓名、出生日期、住址等，GDPR中增加了與社會發展相關的諸多概念，如互聯網使用記錄、電子數據、收入、教育信息等，同時還增加了個人內在屬性的信息，如身體狀況和就醫記錄等與人體密切相關的信息。新的《歐盟數據保護通用條例》中引發關注的變化主要集中在該通用條例新增了基因數據、生物性識別數據和健康相關的數據。其中基因數據包括人的自然屬性中有關遺傳或者獲得性的基因或者DNA，能反映出人的生理或者身體的獨特信息，尤其是對人的生物學的分析，可能包含更多的未表現出的狀態，如遺傳病或者病變癌癥等。生物性識別如指紋識別、面部識別等特征而能獨特表現的人的標識。和健康相關的數據，指的是與人的自然屬性和社會屬性密切相關的精神狀態數據（如是否患有精神病等），以及血液樣本、醫療記錄和藥物禁忌等。這些信息不再局限于普通人易得的信息，而是需要一定科技支撐或者保密性強的個人DNA、血液樣本等，進一步增強了對個人信息的保護。

（二）擴大了適用的范圍和方式

GDPR不僅在歐盟境內適用，對境外的信息管理者、處理者、保管者等均予以適用，如歐盟境外向歐盟境內提供服務或者存儲的企業或組織，均受到該條例的約束。歐盟境外的相關組織和企業也在積極應對，蘋果公司、微軟公司，還有包括中國騰訊在內的互聯網公司均聲稱遵守GDPR，當在這些公司注冊的用戶在歐盟地區獲取公民個人信息的時候均會被郵件告知刪除歐盟用戶的信息。

（三）進一步明確處理個人信息的原則

GDPR對處理個人信息的原則主要是獲取的時候要合理合法以及透明。收集個人信息的時候目的具有正當性。使用個人信息的時候盡可能以最少的信息表達即信息使用最小化原則。使用個人信息應當準確無誤，不準確的信息應當及時刪除或者更新。限期“遺忘”，完成某個目的而使用的個人信息，達到目的后應當刪除不再儲存。最后一個是完整性與保密性，即不可隨意泄露個人信息，也不得肆意破壞完整性。

以上六大原則進一步明確了使用歐盟成員國公民個人信息應當遵循的原則。核心是“充分保護”，并且為了在信息轉移上進行更深層的規范，個人信息跨境轉移還需要遵循信息處理的原則，［4］有力的保障了個人信息在跨境使用過程中的穩定性和安全性。

三、結語

GDPR對個人信息跨境使用的保護方式是以專章的形式確定，個人信息的范圍也有了極大的擴張，為個人信息的保護確立了統一標準，隨著時代的發展尤其是科學技術的更新，可以發現歐盟在保護個人信息跨境使用方面非常具有前瞻性和全面性，如基因信息、個人健康信息等需要依托高科技方能察覺的，也專門有規定。這些規定對我國有極大借鑒意義，我國《民法典》中人格權編和《個人信息保護法》正在醞釀階段，從目前已知的草案和征求意見稿中可以發現，并無太多與個人信息跨境使用方面的規定，這也導致我國公民和企業、組織等在國際交流中處于不利地位，一方面是沒有保護意識，另一方面也無明確規范可以遵循。借鑒GDPR，通過平衡各方利益，在制度和規范上保障個人信息跨境使用，對我國經濟、文化等在國際交往中有極大促進意義。