跨境電商中個人信息保護的不足與完善

郭綺玲

【摘 要】在如今跨境電商蓬勃發(fā)展的大數據時代，個人信息無法避免地在跨境電子商務與跨國公司的經營中跨境流動，這暴露出個人信息跨境流動難以受到信息主體所在國的管轄和監(jiān)管，個人信息遭受侵權時也難以獲得救濟等問題。我國對個人信息跨境轉移領域的立法處于起步階段，行業(yè)自律機制并不完善，國際上缺乏緊密合作。文章基于立法、行業(yè)機制和國際協調3個方面提出保護個人信息的建議。

【關鍵詞】個人信息;電商;數據跨境

【中圖分類號】D923 【文獻標識碼】A 【文章編號】1674-0688（2020）10-0111-03

1 個人信息與個人隱私

1.1 個人信息

由于各國的歷史文化背景和立法傳統不一致，跨境數據流動的客體“個人信息”在不同的法律文件中所用的術語字眼不完全一致。有些文件使用個人數據，有些使用個人信息，有些表達為隱私。總體來說，使用個人數據作為表達的國家相對占多數，雖然國際上沒有統一的用語，但是表示的意思大體是一致的，有時候會存在相互混用或者替用的情況。歐盟把個人數據作為術語，將其定義為“與已識別或可識別的自然人（數據主體）相關的任何信息”。經濟合作與發(fā)展組織也是使用個人數據，將其描述為“指任何與已識別或可識別的個人（數據主體）有關的信息。”亞太經濟合作組織雖然使用的是個人信息的表述，但是定義與歐盟一致。

我國對跨境數據流動的客體采用的是個人信息的術語，該表達體現在多部法律法規(guī)之中，《信息安全技術個人信息安全規(guī)范》把個人信息認定為能識別特定人的身份或反映活動情況的各種信息。有些學者認為“數據”含義的范圍比“信息”廣泛，但是筆者認為兩者差別不大，這兩個術語的核心共同點都是可識別性，因此本文中不加以區(qū)分這兩者。

1.2 個人信息與隱私的區(qū)分

美國是世界上對隱私保護程度較高的國家，也是對隱私保護的意識覺醒較早的國家，早在1974年美國就頒布了《隱私法》。美國將個人信息納入隱私的這個框架架構中，也就是說，美國法律體系是把個人信息作為隱私中的一個部分。

歐盟并沒有明確區(qū)分個人信息與隱私，《歐洲人權公約》把隱私定義得十分廣泛且籠統，在多個法律文件中兩者會出現重疊的情況。此外，法院享有解釋權，在不同法官的解釋下有不同的理解。我國大部分學者認為隱私是一種人格權，強調的是不為外人所知悉的私密性，而個人信息強調的是可識別性，兩者的共同點都是為了保護公民的尊嚴。

2 跨境電商中個人信息保護存在的問題

互聯網經濟的發(fā)展使得電子商務有了蓬勃的發(fā)展空間，這讓世界人民聯系更加密切的同時，也產生了一系列的問題，我們要盡早意識到問題的所在及思考相應的解決對策。作為提供信息的主體，每個人都是數據源，在提供了自身的信息后，這些信息后續(xù)最終流向何方，或者被用作其他什么用途，我們不得而知，生活中我們不得不忍受信息泄露所帶來的信息騷擾甚至財務上的損失。目前，我國在個人信息中立法上仍有提升的空間，此外行業(yè)自律也尤為重要。

2.1 個人立法信息的問題

2012年，工信部頒布了《信息安全技術——公共商用服務信息系統個人信息保護指南》（簡稱《指南》）。作為我國首個關于個人信息保護的國家規(guī)定，填補了我國在個人信息保護立法方面的空白，為之后在各個領域的個人信息保護提供了指引。《指南》首次做出了對我國的個人信息跨境流動過程中保護的規(guī)定;并且對個人信息主體、個人信息管理者、個人信息獲得者、第三方測評機構做出了界定等。為個人信息保護的法治體系發(fā)展打下基礎。但是《指南》屬于軟法，并不是強制性規(guī)定，因而不具有約束力，顯然這對個人信息的保護力度是不夠的。

在金融領域內也有相關的法規(guī)進行保護。2013年，國務院公布了《征信業(yè)管理條例》，對個人數據進行保護。金融業(yè)的個人數據直接關系到財產利益，因此出臺有針對性的法律法規(guī)確實非常必要。該法規(guī)確立了我國個人金融信息跨境流動的一般原則，對金融機構的信息處理和監(jiān)管等業(yè)務起到了一定的作用，但是很關鍵的一點卻沒有說明——對銀行金融機構的權利責任分配和問責機制。除此之外，上述文件的效力層級低，在實際操作中的約束力和執(zhí)行力會大打折扣。

2016年，國家出臺了《網絡安全法》，可以看出國家不僅關注國家的安全、公共安全，也對個人的安全越來越重視。但是其中還存在有待完善之處，《網絡安全法》中對于數據本地化的主體規(guī)定的是關鍵信息基礎設施的運營者。對這個經營者的限定范圍過于寬泛，有待于法律解釋出臺或者立法進一步確定。此外，這個定義沒有把商業(yè)部分納入，顯然不利于商業(yè)領域中對個人數據的保護①。

《網絡安全法》第三十七條規(guī)定，如果業(yè)務需要向境外提供數據，需要進行安全評估。這條規(guī)定并沒有對安全評估制度、救濟模式等問題進行具體細化，安全評估機制和救濟權利對個人數據跨境傳輸是十分必要的，前者是進行事前預防排除潛在風險，后者是事后及時獲得救濟減少損失。雖然《網絡安全法》仍然存在瑕疵，但這是我國在網絡信息安全方面的基礎性法律，為以后在其余領域的專門立法打下良好的基礎。

2.2 行業(yè)自律問題

對于個人信息的保護僅靠國家立法是不夠的，還要把行業(yè)自律機制納入對公民個人的信息保護的措施之中。

2000年6月，我國成立了中國電子商務協會，在信息產業(yè)部指導和民政部的監(jiān)督下進行業(yè)務活動。該協會在致力推動電子商務行業(yè)積極發(fā)展的同時，也十分看重電子商務中的隱私保護問題。協會在2004年發(fā)布了誠信聯盟公約，涉及消費者隱私權保護的內容，但是該公約內容簡單，實際中缺乏可操作性。

中國互聯網協會是我國互聯網最主要的自律性組織，該協會發(fā)布了《中國互聯網行業(yè)自律公約》，倡導維護消費者的合法權益，保護用戶數據隱私，不能利用用戶的個人信息從事超出承諾范圍的活動。該協會有推廣、組織實施與監(jiān)督的職責。

我國消費者協會成立于1984年，受工商行政管理總局的直屬領導。消費者協會在我國多起消費者維權案件中指導商家生產銷售行為發(fā)揮了重要的作用。

在我國，符合條件能夠涉及隱私保護水平認證的第三方機構較少，主要是中國軟件測評中心、公安信息安全等級保護評估中心和公安部信息安全產品檢驗中心。

我國行業(yè)自律機制并不完善，存在以下幾個問題。

第一，我國行業(yè)自律機制初步形成。雖然目前已經成立了電子商務協會、中國互聯網協會、消費者協會，但是它們成立的時間不長，在實踐中有些問題處理不成熟，經驗的積累不夠豐富。

第二，我國行業(yè)自律機制約束力不強。行業(yè)協會通常對業(yè)內的企業(yè)會員只是起到一個號召、呼吁的作用，并沒有強制性的手段可以約束違反公約的行為。

第三，我國隱私保護認證機構不夠專業(yè)與權威。相比美國專門做企業(yè)隱私保護水平認證的機構，我國這方面的機構在認證的深度與廣度上還有很大差距與局限性。

2.3 國際合作中個人信息保護問題

各個國家對個人信息跨境轉移的態(tài)度不同，因此各國在這方面的法律也存在差異性，當我國的消費者在電子商務中提供了個人信息流轉到境外保護力度較低的國家，則很難得到有效的保護，國家發(fā)揮的監(jiān)管作用也十分有限，個人信息對不法分子來說是隱藏的財富，一旦遭遇泄露則對個人的財產與人身安全將產生極為不利的影響。因此，鑒于各國之間的立法不統一，為了保障個人信息跨境轉移的渠道暢通，選擇國際合作是各國的明智之策，這樣能解決各國之間的法律沖突，也能有效地加強個人信息跨境轉移中的執(zhí)法，使對本國公民的個人信息監(jiān)督范圍不僅僅局限于國內。

但是目前我國對個人信息跨境轉移保障的意識覺醒較晚，立法也尚處于起步階段，在該領域尚未開展有效的國際合作，導致在境外的個人信息難以轉移至境內，境外的消費者對我國的電子商務平臺沒有抱以足夠的信心，間接導致我國的電子商務平臺在國外市場的發(fā)展較為艱難，境外的消費者對我國電子商務平臺持不信任的態(tài)度。缺乏國際之間合作同時會導致當我國的個人信息在境外受到侵害時，境外的執(zhí)法難以展開，從而使得個人在境外的信息安全無法得到保障。

3 完善跨境電商中個人信息保護的措施

3.1 提高立法的效力層級

我國加入亞太經貿組織后，簽訂了《APEC隱私保護框架》，該協議要求我國需要盡快制定個人信息保護方面的法律法規(guī)。國務院在2016年出臺了《關于加強個人誠信體系建設的指導意見》，可以看出，無論是國際上對中國的要求，還是國內對該方面的態(tài)度，制定保障個人信息安全的相關法律法規(guī)是大勢所趨，也是當務之急。

我國目前在個人信息保護方面的法治體系比較缺乏，在該領域還處于起步階段，仍沒有一部專門的個人信息保護法被制定出來。在一些領域的法律法規(guī)中可以分散地見到一些關于個人信息保護的內容，但是總體上內容很少，規(guī)定不詳細、不具體，監(jiān)管問責方面等核心的問題涉及較少。而且，個人信息保障的法律條文分散在不同法律法規(guī)之中，難免會出現重合或者沖突的地方，這樣就會產生釋法等一系列問題。

認為目前盡快出臺《個人信息保護法》十分必要。互聯網經濟的發(fā)展已經成為現今世界不可阻擋的趨勢，網絡從來都不是法外之地，但是目前我國的公民個人信息保護程度十分薄弱，個人信息被泄露的情況很嚴重，我國需要發(fā)展，就要加強對外合作與交易。電商崛起神速，“阿里巴巴”在美國上市后走勢一片大好，中國不可能放棄國外的市場，因此加快制定個人信息保護的法律法規(guī)的進程是尤為必要的。目前，我國已出臺推薦性國家標準《網絡安全法》與《個人信息安全規(guī)范》，筆者認為有必要提高立法效力等級，將推薦性標準升級為具有法律約束力的標準。

3.2 加強行業(yè)自律與公民自我保護意識

國家應該在個人信息保護方面加強宣傳教育，喚起國人對自我信息保護的意識，提高警惕，比如在付款或者注冊時多加留意條款信息，在發(fā)現有問題的時候，及時止損，并采取救濟措施，這樣能從源頭上遏制部分不法行為。

我國的行業(yè)自律的約束力弱，專業(yè)的第三方認證機構缺乏。行業(yè)自律機制是國家和信息處理者之間的一個中間角色，受國際承認。一個國家對個人信息的保護僅僅靠立法的約束和保護是不足的，美國對公民隱私的保護程度在世界各國中排名靠前，但是仍舊會出現信息泄露事件。僅依靠國家進行監(jiān)管，那么距離理想的狀態(tài)仍需花費很長的時間，執(zhí)法的成本也會升高。因此，想要達到預想的目標，還要依靠來自行業(yè)的自律機制發(fā)揮作用，不僅要考慮國家在立法方面先行，同時要充分發(fā)揮行業(yè)自律的作用，企業(yè)應扛起自身的職責，積極加入行業(yè)協會，共同商討制定行業(yè)的對個人信息保護的標準和方針。與此同時，國家也要對相關行業(yè)進行指導和監(jiān)管，營造良好的營商環(huán)境。

我國可以參考美國與歐盟的標準，在引入專門針對個人隱私保護水平鑒定的第三方機構時，對該機構做專業(yè)做精細化設置，力求達到與國際接軌的水平。

3.3 增強國際合作

我國是亞太經合的參與國，成為APEC隱私保護體系的簽署國，且加入了CBPR體系（跨境隱私規(guī)則），這對于我國對外合作的各個領域是一個良好的開端。我國是世界第二大經濟體，歐盟是我國主要貿易伙伴，但是目前我國無法達到與歐盟充分保護的保護標準，國際上存在我國對流入數據的不能提供充分保護的顧慮。我國應當積極參與和倡導大數據國際傳輸新規(guī)則，充分發(fā)揮我國在大數據和AI領域的優(yōu)勢，在積極開展對外貿易時建立自己的個人信息跨境流動規(guī)則，爭取在個人數據領域有一定的主導權。總的來說，我們要在夯實立法和司法制度的基礎上不斷完善，發(fā)揮行業(yè)自律的作用，積極參與國際規(guī)則的制定，為我國公民信息的跨境提供更嚴格的標準，為電商企業(yè)營造更好的營商環(huán)境。

注 釋

① 程倪佳.個人數據跨境流動法律問題研究[D].北京：北京郵電大學，2017.

參 考 文 獻

[1]王璐.企業(yè)跨境轉移個人信息的法律問題研究[D].上海：華東政法大學，2017.

[2]馬思薇.國際多邊規(guī)制下的我國個人信息跨境轉移規(guī)制制度[D].南京：南京大學，2018.

[3]弓永欽.跨境電子商務中的個人信息保護問題研究[D].北京：對外經濟貿易大學，2016.

[4]趙駿，向麗.跨境電子商務建設視角下個人信息跨境流動的隱私權保護研究[J].浙江大學學報（人文社會科學版），2019，49（2）：58-71.

[5]潘曉寧.完善我國個人信息數據出境制度的思考[J].海關與經貿研究，2019，40（6）：81-93.