阿里云在大灣區的個人信息跨境合規：管轄權競合視角

葉湘

摘要：粵港澳大灣區是企業合規和管轄權競合的理想沙箱。以阿里云計算有限公司智能終端操作系統（AliOS）的隱私保護政策為個案研究對象，圍繞個人信息生命周期五個階段的信息處理行為（收集、存儲、使用、轉授、公開和刪除），考察在我國收集個人信息最多之一的數字化企業的個人信息保護政策是否符合粵港澳三地的法律法規和相關標準以及出境場景下個人信息的管轄權競合情形。阿里云保護個人信息的價值取向與粵港澳涉個人信息保護法律法規與標準的訂立目的存在沖突。公司個人隱私保護政策的目的與價值預設是否合法會極大影響公司處理個人信息行為的合規性，而阿里云隱私保護政策的目的與價值預設不夠嚴謹，個別條款將公司規模效益凌駕于消費者隱私保護權益之上，需要重新調整其隱私保護政策的價值排序，用義務遏制平臺的信息擴張沖動，細化并厘清其信息規制義務。此外，針對出境個人信息，粵港澳三地相關的法律法規分別設置了啟動域外管轄的不同條件，大灣區內差別性的域外管轄與管轄疊加后形成管轄權競合，凸顯了阿里云隱私保護政策的條文表述不嚴謹，究其根源在于制定政策時以個人信息境內流動為定位中心，預設場景單一化，未納入出境場景下管轄權競合的多元情形?！盀硡^方案”作為處理管轄權競合的中國模式，以粵港澳司法協同與一體化治理為“兩翼”，統合網絡安全與個人信息分等評估和審核機制，防范由阿里云為代表的互聯網公司以微觀視角制定的隱私保護政策的漏洞和法律風險。

關鍵詞：司法協同；跨境合規；管轄權競合；信息處理行為；個人信息生命周期

中圖分類號：F127文獻標識碼：A文章編號：1007-8266（2021）07-0106-13

基金項目：國家社會科學基金重大項目“‘一帶一路’沿線國家法律文本翻譯、研究及數據庫建設”（18ZDA157）

《中共中央關于制定國民經濟和社會發展第十四個五年規劃和二〇三五年遠景目標的建議》中提出“加快數字化發展”的戰略規劃，建立數據資源產權、交易流通、跨境傳輸和安全保護等基礎制度和標準規范，積極參與數字領域國際規則和標準制定，擴大基礎公共信息數據有序開放，建設國家數據統一共享開放平臺，保障國家數據安全，加強個人信息保護，確保產業數字化在公平、合理、非歧視的數字國際規則和標準的保駕護航下進行[ 1 ]。而個人信息保護的立法目的有三點：自然人的人格利益、數據產業的發展和政府公共管理職能的實現[ 2 ]。三者孰優孰次是學者站在公法、私法等不同立場上爭論的焦點。出境場景下的個人信息跨越公法和私法，同時涉及國際公法和國際私法（沖突法）的利益場域。不僅如此，由于網絡空間以超地域性為基本特征，跨境個人信息的管轄權呈碎片化，在法律適用上突破了地理坐標的疆域管轄范疇，同時會觸發不確定的一個或數個連結點，造成適用準據法很難精準定位以及管轄權競合的紛雜情形。因此，有必要選擇一家代表性的互聯網數據企業（如阿里云計算有限公司）和個人信息出境場景相對常態化的一處地理疆域（如粵港澳大灣區）為考察對象。

我國市場監管機構分別在2020年11月和2021年4月叫停螞蟻金服（后更名為螞蟻集團）的上市計劃，停止其反競爭行為，并要求其在三年內提交自查合規報告。螞蟻集團與阿里巴巴集團的回應提到了“加強個人信息保護與管理”[ 3 ]。我們有必要考察阿里巴巴集團中涉及個人信息業務較多的阿里云計算有限公司（以下簡稱“阿里云”，該公司為AliOS的法律主體）的個人信息保護政策是否存在漏洞，在粵港澳大灣區（以下簡稱“大灣區”）個人信息跨境流動時是否會產生法律風險。

大灣區內個人信息跨境合規問題有其區域特殊性與研究的樣本意義。首先，跨境合規問題的區域特殊性在于粵港澳三地同屬中華人民共和國的一部分，大灣區內個人信息跨境不牽扯國家主權，與以下區域組織的法律法規或雙邊協定規定的主權國家之間的個人信息跨境問題存在質的不同：歐盟委員會《數字市場法（提案）》和《數字服務法（提案）》①、歐盟《通用數據保護條例》（GDPR）及其前身1995年《數據保護指令》（該指令確定了數據保護的最小原則）、歐洲委員會108公約、經濟合作與發展組織（OECD）《隱私保護和跨境個人數據流動指南》1980年版和2013年版、亞太經濟合作組織（APEC）隱私框架2005年版和2015年版、美歐雙邊的安全港框架（2015年10月6日失效）及其替代方案隱私盾框架（2016年8月1日生效）、《東盟個人數據保護框架》（ASEAN Framework on Person？ al Data Protection，2015年11月27日被采納）。本文研究的大灣區內個人信息“出境”場景是指通過各種技術和方法，個人信息跨越粵港澳（地理疆域）的流動，包括同一個人信息二次出境（Re-ex？ port）的情形。此外，大灣區內個人信息跨境合規的樣本意義在于出境信息合規涉及域內管轄權和域外管轄權的競合。具體來說，大灣區不存在統一的區域性個人信息保護協同機制，而大灣區可作為企業合規和管轄權競合的沙箱來試驗出境信息要同時符合存儲地、處理行為發生地、控制地的法律法規。

據2019年上海社會科學院互聯網研究中心的統計，“自2008年以來，數據流動對全球經濟增長的貢獻已經超過傳統的跨國貿易和投資”[ 4 ]。在產業、政府、社會、全民數字化大趨勢下，各類數據在互聯網企業眼中堪比新型“石油”，而海量個人信息的數字化對企業來說可謂精煉的“成品油”，通過數據畫像技術，可以挖掘出不同細分領域的潛在消費者，所以數字化的個人信息中包含了巨大的商業價值。大灣區跨三個司法管轄區，個人信息在大灣區內部流動以及與外部司法管轄區之間的跨境傳輸，都必須考量數據流動合規和個人信息對等保護問題。受保護客體個人信息的跨境合規是其得到保護的前提。因此，本文將阿里云的隱私保護政策（以下簡稱“阿里云政策”，目前最新版政策的生效日期是2018年1月1日）為個案研究對象，在個人信息出境場景下，圍繞個人信息生命周期5個階段的信息處理行為（收集、存儲、使用、轉授、公開和刪除），考察我國大陸收集個人信息最多之一的數字化企業的個人信息保護政策是否符合粵港澳三地的法律法規和相關標準。同時，從大灣區的宏觀布局和企業的微觀對標來探索出境個人信息的準據法適用和管轄權競合的難題。簡而言之，在大灣區以行為（跨境流動中的個人信息處理行為）要素為框架，在出境個人信息管轄權競合場景下評價企業更看重法益要素（國家安全、人格權、用益物權）還是市場要素（商業交往權、成本、利潤）。

大灣區是我國開放程度最高、經濟活力最強的區域，包括珠三角九市、香港和澳門兩個特別行政區，總面積5.6萬平方公里，2020年末常住人口超8 600萬人，GDP占全國比重12%左右，跨三個司法管轄區。大灣區大體量的經濟和人口規模必然伴隨大體量的個人信息隨著人才、資源、勞動力、技術等生產要素在內部三個司法管轄區以及大灣區與“一帶一路”沿線國家和地區之間的流動。

（一）跨法域的大灣區

大灣區的個人信息主體來自制造業、金融業和科創業，具有行業復合的特征。不同于東京灣區（產業灣區）、紐約灣區（金融灣區）和舊金山灣區（科技灣區），粵港澳大灣區包括東莞制造基地、香港金融中心和深圳科創中心，兼具東京、紐約和舊金山三個灣區的產業特征，呈現復合特點。重視大灣區市場在個人信息跨境立法中的關鍵意義是2019年2月18日中共中央、國務院頒布的《粵港澳大灣區發展規劃綱要》加強區域一體化建設的應有之義，同時必須利用大灣區兼有制造、金融、科創產業類型的市場優勢服務于立法目的；利用廣州南沙與港澳合作建設中國企業走出去綜合服務基地和國際交流平臺，推進阿里云等互聯網企業在走出去過程中完善企業個人信息保護政策，依照《粵港澳大灣區發展規劃綱要》探索互聯網企業在內地管轄權和法律框架下，營造高標準的國際化、市場化、法治化營商環境。

（二）粵港澳和歐盟域外管轄法條對比

在個人信息出境場景下，大灣區管轄權競爭的原因是粵港澳三地個人信息保護的法規具有域外管轄權。中國大陸涉及個人信息跨境傳輸的法律法規和國家標準主要有11部，其中3部已生效，1部待生效，其他7部為征求意見稿②。中國香港和中國澳門地區涉及個人信息跨境傳輸的法律主要有2018年4月20日修訂的香港《個人資料（私隱）條例》和2006年2月10日生效的澳門《個人資料保護法》。

香港地區的個人信息保護采取的是弱保護模式，違反《個人資料（私隱）保護條例》的行為并不直接可訴，只有資料使用人違反了其他法律條文才可以被起訴。澳門則選擇近似于歐洲的對于個人信息的嚴格保護模式，在個人信息保護法律的位階、廣度和深度上均高于香港[ 5 ]。

關于域外管轄界定原則，歐盟和中國大陸均基于信息處理行為，即只要被處理的信息涉及境內自然人就可以劃定為域外管轄范圍（參見表1），而信息處理者在境內還是境外不是決定性因素。[ 6 ]歐盟和中國大陸均未采納信息主體的狹義屬人原則。這種以信息處理行為為原則的界定方式，涉及的域外管轄范圍比以信息主體為境內自然人的界定原則涉及的范圍要大。

中國香港和澳門地區則采取不同的個人信息（在中國港澳地區法律文本中被稱為個人資料（Personal Data）域外管轄界定原則?？杉{入域外管轄范圍的個人資料包括兩種情形：第一，信息處理主體在境內；第二，信息處理主體能通過設在境內的服務器或服務供應商執行處理行為。可將第二種情形進一步闡釋為：信息處理主體在境外，通過設在境內的服務器或服務供應商執行處理行為。簡而言之，無論是處理個人信息的行為人在境內、被處理的信息涉及境內自然人，還是處理行為發生地涉及境內的物理地址，只要三者有其一指向境內，跨境的個人信息就可以劃入域外管轄的范圍。

（三）問責機制

歐盟采取風險為本的問責制。依據《通用數據保護條例》第24條，數據控制者必須主動采取各項技術及措施以確保循規守法；第25條規定了自定義（By Design）及默認（By Default）的隱私模式；第35條規定對維護自然人的權利和自由構成較高風險的處理行為進行數據保護影響評估；第37條規定特種機構必須指定數據保護官。

珠三角九市所在的中國大陸采取處理行為與安全風險為中心的問責制，重視制度、法規、教育、環境四大因素，致力于構建各方參與個人信息保護的良好環境，規定國家機關處理的個人信息應當在中華人民共和國境內存儲，向境外提供個人信息應至少符合以下程序：安全評估、個人信息保護認證、與境外接收方訂立合同且個人信息處理活動合規以及符合法律法規規定的其他條件。

中國香港地區基于私隱管理系統，通過視察、人事制度和評估來實施問責。具體而言，依據香港《個人資料（私隱）條例》第8條，視察對應的政府部門或法定法團（Statutory Corporations）的資料使用者所使用的任何個人資料（中國大陸法律文本傾向使用術語“個人信息”）系統；設置“保障資料主任”（即數據保護官）；評估私隱安全與風險。

中國澳門地區基于處理行為問責，針對的是個人信息處理主體是否采取足夠的技術和組織措施來保護個人信息。依據澳門《個人資料保護法》第15條，“在考慮到已有的技術知識和因采用該技術所需成本的情況下，上述措施應確保具有與資料處理所帶來的風險及所保護資料的性質相適應的安全程度”。其中，“成本”“技術與風險相適應”是關鍵詞，而且“成本”是一個側重商業交往權的市場詞匯，專指利用技術處理個人資料的各種付出?？梢姡拈T《個人資料保護法》已充分考慮到市場、技術、安全三者之間的關系，而委托第三方處理個人信息、采取特別的安全措施以及制定行為守則也需要考量上述兩個關鍵詞。

2018年11月30日，公安部網絡安全保衛局發布《互聯網個人信息安全保護指引（征求意見稿）》，將個人信息的處理行為明確為8個：收集、保存、應用、刪除、第三方委托處理、共享和轉讓、公開披露以及應急處置。個人信息的一個標準生命周期可以按照處理行為分為五個階段：第一階段是信息的收集，第二階段是信息的存儲、持有，第三階段是信息的使用、加工、傳輸、備份、恢復演練、應急處置，第四階段是信息的委托第三方處理、共享和轉讓給第三方、特定范圍發布與傳播、公共范圍公開或披露，第五階段是信息的撤銷、刪除、遺忘?？缇硞€人信息在上述五個不同階段涉及不同的行為原則，而且與行為原則掛鉤的是個人信息出境合規與域外管轄范圍。

（一）個人信息出境行為的界定

依據《個人信息出境安全評估辦法（征求意見稿）》第2條，個人信息出境是指網絡運營者向境外提供在中華人民共和國境內運營中收集的個人信息。《信息安全技術數據出境安全評估指南（征求意見稿）》第3條第7款定義了數據出境，并在“注1”中列明了三種數據出境的情形：第一，向本國境內，但不屬于本國司法管轄或未在境內注冊的主體提供個人信息和重要數據；第二，數據未轉移存儲至本國以外的地方，但被境外的機構、組織、個人訪問查看的（公開信息、網頁訪問除外）；第三，網絡運營者集團內部數據由境內轉移至境外，涉及其在境內運營中收集和產生的個人信息與重要數據。這三種情形都是中國大陸互聯網企業在大灣區內處理跨境流動個人信息的典型情形。因此，對阿里云個人信息政策進行個案式的樣本分析具有代表性意義。

（二）對個人信息出境處理行為的評估重點

從保障個人信息主體合法權益的有效性來看，對出境個人信息處理行為的評估重點應落在《信息安全技術數據出境安全評估指南（征求意見稿）》第5條第2款第2項“個人信息屬性評估要點”（依個人信息的類型、數量、范圍、敏感程度和技術處理情況來評估）以及《個人信息出境安全評估辦法（征求意見稿）》第6條（網絡運營者或接收者與個人信息主體之間的合同條款是否能夠充分保障個人信息主體合法權益，合同是否有效執行）、第13條（個人信息出境的目的、類型、保存時限，個人信息主體權益條款的受益人、網絡運營者或者接收者的賠償責任）和第15條（個人信息接收者更正、刪除義務和境外保存期限要求）。各類機構不能將個人資料保護僅僅當成合規事宜，必須滿足公眾對隱私保護日益高漲的期待[ 7 ]。

（三）分階段評估個人信息出境的處理行為

2020年5月19日，臉書（Facebook）因觸犯隱私法規支付給加拿大競爭局（The Competition Bu？ reau）數百萬美元的和解費，該案件在風險與監管寬嚴程度關系方面為我們提供了以下啟示：如果企業未能在個人信息或隱私政策中“精確描述其涉隱私的實踐行為”，就會給企業帶來額外的風險，繼而會被納入更嚴格的監管[ 8 ]。同樣，作為出境個人信息的處理者，阿里云可以依據個人信息保護政策中處理個人信息行為的精確描述來判斷相關行為不合規的風險，并確定該如何進行相應的監管。為此，我們按個人信息生命周期的5個階段逐段評估阿里云個人信息出境的處理行為，以達到評估過程性風險的目的。

1.收集階段

阿里云按經營地收集個人信息，存儲地在中國境內，但法律文本中“中國境內”不包括中國的港澳臺，僅指中國大陸地區，所以阿里云在大灣區的中國香港、澳門地區收集個人信息已經出現個人信息出境場景。

相較于《中華人民共和國民法典》（以下簡稱《民法典》）第111條、《中華人民共和國個人信息保護法（草案二次審議稿）》以下簡稱（《個人信息保護法（草案二次審議稿）》）第4條個人信息的定義，阿里云政策第1條個人信息定義同樣以可識別和關聯為核心要素，采用“概括+列舉”結構，但列舉部分涵蓋范圍較窄、現代科技特征非常突出。該定義列舉的個人信息包括基本信息（個人手機號碼、電子郵件等）、網絡身份標識信息（系統賬號、郵箱地址以及與前述有關的密碼、口令、密碼/口令保護答案等）、個人上網記錄信息（軟件使用記錄、點擊啟動記錄、網站瀏覽記錄、接入Wi-Fi賬號的 Sssid、MAC等）、個人常用設備信息（硬件型號、設備MAC地址、AliOS版本、軟件列表唯一設備識別碼（如IMEI/AliOS ID/UUID/IDFA/OPENUDID/ GUID、SIM卡IMSI信息）以及位置信息（行蹤軌跡、精準定位信息、經緯度等）。

在阿里云政策的第1條第1款注冊賬號/會員環節，阿里云收集的個人信息至少包括賬戶名（亦稱“昵稱”）、密碼、個人手機號碼、電子郵箱；同時，以手機短信驗證碼或郵件驗證方式（即網絡身份標識信息）為企業審查的必備一環，確認是否本人注冊，這是依中華人民共和國法律法規要求進行的身份實名認證。除以手機、郵件來激活確認Ali？ OS賬號外，用戶還可以通過淘寶賬號、支付寶賬號等阿里關聯公司的賬號登錄激活AliOS。然而，淘寶賬號、支付寶賬號包含的主要是安全級別高、高度敏感的個人財務與支付信息，安全等級高于Ali？ OS賬號信息的安全等級，因此，在收集個人信息階段，阿里云可能存在未依據《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）第41、第42、第43條以及《信息安全技術網絡安全等級保護基本要求》分等區別對待賬戶信息的風險。

注冊AliOS賬號時，如果用戶補全個人信息，包括性別、出生年月日、居住地、民族、籍貫、本人的真實頭像，阿里云將提供“會員生日特權”等更個性化的會員服務。然而，個性化服務的增值不是很明顯，而且補全個人信息有違最小化原則。如果個人明示同意，被收集的個人信息（如本人的真實頭像）朝完全可識別、輕易可識別又邁進了一大步，為適用該政策的第1條第3款（基于特征標簽進行間接人群畫像并展示、推送產品或服務或廣告信息）留下方便之門，為擴大商業交往權埋下伏筆。而這種擴大商業交往權的個人信息處理行為模式是阿里云或者絕大部分市場化互聯網公司正在采用的模式。如果個人信息出境至澳門出現上述補全個人信息的情形，就違反了澳門《個人資料保護法》第33條第1款的規定，A酒店收集顧客的完整身份證編號案③就是先例。

2.存儲持有階段

歐盟《通用數據保護條例》和中國《網絡安全法》都秉持數據本地化存儲原則。依據香港《個人資料（私隱）條例》第2條第1款、澳門《個人資料保護法》第3條，香港和澳門堅持信息處理行為導向的數據可控原則，即本地區控制者能夠控制數據為原則。依據阿里云政策第7條，“在中華人民共和國境內運營中收集和產生的個人信息，存儲在中國境內”，以下情形除外：法律法規有明確規定，用戶明確授權，用戶通過互聯網進行跨境交易等個人主動行為。由于其中的“中國境內”不包括中國的港澳臺地區，因此，通過AliOS個人主動在大灣區跨境交易產生的個人信息可能存儲在境外，這部分個人信息在出境場景下會出現管轄權競合，適用法律時阿里云可依據中國大陸法規的域外管轄規定以及港澳法規中相關規定保護個人信息，確保用戶人格權。

3.使用傳輸應急階段

涉及個人信息違規使用傳輸的案件不乏其例。普華永道因處理員工個人信息缺少合法依據受到歐盟處罰，成為歐盟依據《通用數據保護條例》涉就業者個人信息的第一案[ 9 ]。2019年1月21日，法國數據保護監管機構（CNIL）根據《通用數據保護條例》對谷歌處以5 000萬歐元（約4億元人民幣）的罰款，理由是谷歌在處理個人用戶數據時存在缺乏透明度、用戶獲知信息不充分以及缺乏對個性化廣告的有效同意等問題，這是《通用數據保護條例》實施后數額最大的罰單[ 10 ]。

阿里云政策第2條第1款詳細解釋了阿里云如何利用Cookies技術自動收集“您訪問的頁面地址、您先前訪問的援引頁面的位址、您停留在頁面的時間、您的瀏覽環境以及顯示設定等”個人行為偏好信息。該款還規定，“我們可將此類信息用于我們的營銷和廣告服務”。這是一種未經當事人明示或默示同意的直銷活動，也是為擴大商業交往權而對人格權的侵犯。個人信息出境至香港場景下，阿里云利用Cookies技術收集個人行為偏好信息并直接用于營銷構成違規，因為香港《個人資料（私隱）條例》第35E條規定，“如無資料當事人同意，數據用戶不得將個人資料用于直接促銷”，第35F條還規定，“資料使用者首次將個人資料用于直接促銷時須通知資料當事人”。

針對阿里云信息傳輸過程中系統自動決策會“顯著影響您的合法權益”，而阿里云不能很好約束系統并進行救濟事宜。阿里云政策第5條第6款規定，“您有權要求我們做出解釋，我們也將在不侵害商業秘密或其他用戶權益、社會公共利益的前提下提供申訴方法”。這類“解釋”加有條件進行申訴的救濟方法不夠直接，達不到充分保障人格權的目的。與此形成鮮明對比的是澳門《個人資料保護法》第13條“不受自動化決定約束的權利”，該條第1款規定，“任何人有權不受對其權利義務范圍產生效力或對其有明顯影響并僅基于對資料的自動化處理而做出的決定的約束，且有關資料僅用作對該人人格的某些方面，尤其是專業能力、信譽、應有的信任或其行為方面的評定”。個人信息出境至澳門場景下，阿里云須考慮此類合規情形。

4.委托共享披露階段

在個人信息轉移存儲地方面，阿里云涉及未經用戶二次明示同意、自動轉移的違規情形，還涉及個人信息轉移至境外得不到對等或充分保護的可能情形。依據阿里云政策第4條第1款，用戶的個人信息“存儲于中國的服務器上，為了安全及備份的需要，AliOS可能將您的信息和資料儲存到AliOS關聯公司的服務器上”。該條款增加了存儲地不確定、脫離本地存儲原則的風險，違反中國大陸《個人信息保護法（草案二次審議稿）》第36條。

阿里云政策第3條第1款對“共享”做了排除式反向定義，即“我們不會與我們關聯公司、合作伙伴以外的公司、組織和個人共享您的個人信息”，共享行為很寬泛，而且共享對象也很寬泛、非特定，第3條第1款僅羅列了授權合作伙伴的類型。盡管第3條第1款第1項舉例詳細說明了信息脫敏與廣告精準推送的時序、邏輯關系，意在理順AliOS、第三方廣告商、用戶個人三方在商業交往權與人格權上的共贏關系，但是第3條第1款第2項羅列了4種保密和安全的例外情形，使個人信息在共享后很多情形下處于無保護狀態，而且該項提供技術措施（“這些支持包括提供技術基礎設施服務、分析我們服務的使用方式、衡量廣告和服務的有效性、提供客戶服務、支付便利或進行學術研究和調查”）時完全導向擴大商業交往權，有忽視人格權的嫌疑。因未限定特定共享行為、侵犯個人隱私權而遭起訴的前車之鑒是臉書（Facebook）侵權案。2008年5月30日，加拿大互聯網政策與公共利益科（CIPPIC）協同加拿大隱私專業辦公室（OPC）以允許第三方應用程序訪問個人信息等3項違規事由起訴Facebook[ 11 ]。

個人信息在出境至香港地區的場景下，阿里云政策的這兩款內容也可能面臨違規的情形。香港《個人資料（私隱）條例》第15條第2款規定，委托第三方處理須有足夠的保障措施并在監察下執行保障措施。第16條第1款規定，采用技術措施的目的在于控制處理信息的各種行為，最終保護人格權。第33條規定，禁止除在指明情況外將個人資料移轉至香港以外地方。

個人信息泄密事件頻發，企業披露跨境個人信息須合規。2020年《中國網絡誠信發展報告》顯示，28.5%的被調查者表示曾經常遭遇個人信息泄露，而僅有14.8%的被調查者從未遭遇過個人信息泄露[ 12 ]。阿里云政策第3條第3款第2項規定，“當我們確定您出現違反法律法規或嚴重違反Ali？ OS相關協議規則的情況，或為保護AliOS及其關聯公司用戶或公眾的人身財產安全免遭侵害，我們可能依據法律法規或AliOS相關協議要求征得您同意的情況下披露關于您的個人信息，包括相關違規行為以及AliOS已對您采取的措施”。該項對違反法律法規的嚴重程度、披露范圍都未明確說明，而且征得用戶同意已然是“城下之盟”。該項反映出國家安全、關聯公司用戶或公眾的人身財產安全位階高于人格權的情形。個人信息在出境至香港地區的場景下，阿里云因用戶違法違規而征得用戶同意后披露個人信息，可能涉嫌違規。香港《個人資料（私隱）條例》第20條第5款b項將查閱權與披露掛鉤，規定“除非決定該資料使用者須依從該項查閱資料要求，否則不得要求將該資料向該法律程序的任何一方披露（不論是藉文件透露或其他方式披露）”。

阿里云政策第3條第4款規定，“出于維護您或其他個人的生命、財產等重大合法權益但又很難得到本人同意的”情形，屬于共享、轉讓、公開披露個人信息時事先征得授權同意的例外的6種情形之一。如果出于維護與用戶（如淘寶平臺上發生買賣糾紛的香港買家與淘寶店主）利益沖突的其他個人的財產權益，但又很難得到用戶本人同意的，阿里云不必事先征得用戶授權同意就可以公開披露其個人信息。無論在個人信息是否出境的場景下，該條款未充分考慮常見情形，未充分保護當事人個人信息，本身很難達成邏輯自洽，存在較大的違規風險。

5.刪除遺忘階段

針對刪除個人信息達到遺忘、保護的目的，阿里云政策第4條第2款與第3款之間出現權益指向上的沖突。第2款規定，“圍繞數據生命周期進行的數據安全管理體系，從組織建設、制度設計、人員管理、產品技術等方面多維度提升整個系統的安全性”，偏重個人信息安全，目的在于保護人格權。第3款規定，“我們只會在達成成本政策所述目的所需的期限內保留您的個人信息，除非需要延長保留期或受到法律的允許”。該款不再以數據生命周期來管理個人信息，在生命周期尾端刪除相關的個人信息，而是以“達成成本政策所述目的所需的期限”為管理個人信息的周期?！秱€人信息保護法（草案二次審議稿）》第12條規定，“個人信息的保存期限應當為實現處理目的所必要的最短時間”，此處的處理目的絕非“達成成本政策”，而是指個人信息主體明示同意信息處理者完成約定處理行為這一目的。然而，成本政策所述目的是以收回成本、達成收益為依歸，如果未收回成本，收支平衡就成為“需要延長保留期”的正當借口，所以即便個人信息流動至生命周期尾端，當事人的信息也可能無法被刪除、遺忘，侵害了當事人的被遺忘權。此外，該政策第5條第5款規定，“在您主動注銷賬戶之后，我們將停止為您提供產品或服務，根據適用法律的要求刪除您的個人信息，或使其匿名化處理?！卑⒗镌票驹撘詣h除操作處理生命周期尾端的個人信息，但該款提供了非法處理個人信息的另一種行為：先匿名化處理個人信息，繼而脫敏后繼續保留個人信息。個人信息在大灣區出境至澳門地區場景下，依據澳門《個人資料保護法》第40條第2款第2項，“行為人被通知后仍有下列情況之一者，科處相同刑罰：沒有進行刪除、全部或部分銷毀個人資料”，阿里云如未及時刪除澳門用戶的個人信息則構成違規。

在個人信息跨境合規方面，大灣區的應對策略在宏觀上布局清晰，為地方立法規制提供了創新空間，但行政色彩過濃。目前，大灣區方案的“兩翼”一是針對性地注重粵港澳司法協同與一體化治理，合理解決大灣區內管轄權分配問題，規避司法不經濟，減少多龍治水的治理成本，降低企業無統一框架可適從的違規風險；二是在微觀上以企業為主體的積極保護兼顧數據流動的平衡體系尚處萌芽狀態，尤其是互聯網企業的個人信息保護政策既未充分展現出跨境對等保護的基礎意識，也無對標世界主流數據跨境條例和跨國公司成熟的個人信息跨境規章的構想。因此，大灣區個人信息出境的對策在宏觀上可追求立法、司法以及治理創新，弱化行政管束；微觀上需要“格式化”現有企業個人信息保護政策的勇氣，強化出境場景下對等保護個人信息的法理意識，將參照和對標的意識落實到企業個人信息保護政策的條款表述中。

（一）大灣區方案的宏觀布局

個人信息流動的法域、地區管理規則的不統一，已經越來越成為發揮數據價值的障礙，影響企業商業交往權的擴張，參照歐盟GDPR建立單一數據市場的思路，在大灣區訂立統一的充分性（Ade？ quacy）保護標準，并以此標準構建保護力度相近且契合粵港澳現實情境的個人信息跨境流動規則勢在必行[ 13 ]。2019年6月在日本大阪召開的G20峰會上，建立允許數據跨境自由流動的“數據流通圈”成為引人關注的提議。在大灣區建立類似的“數據流通圈”，能夠助力互聯網企業找到新的創新點和經濟增長點，解決網絡空間涉及國家安全、商業交往、人權保護的國際社會課題。

GDPR代替1995年指令并擴張了后者的管轄范圍，旨在將原屬歐盟成員國的權力加以集中，進而為歐盟個人提供統一（Consistent）的隱私保護，達到隱私法律和諧統一、整個歐盟數據保護強度一致和跨境隱私保護和諧統一[ 14 ]。大灣區可以借鑒歐盟這種改分區自治為集中治理的擴張管轄、建立單一數據市場的思路，實現個人信息保護效力統一化。

保護個人信息偏向私益，而主權者通過制定數據本地化法對數據進行限制的原因絕非純粹基于公益，所以需要采用不同的立法路徑區分數據（個人和非個人信息）包含的公權和私權，避免私法利益被公法干預，基于統一的保護基礎創設管理權，銜接境外針對數據本地化的立法[ 15 ]。深圳是互聯網數據企業的“硅谷”，中國香港是數據金融服務的亞洲中心之一，所以大灣區既是數據服務的引擎，也是數據服務的消費市場。相比較而言，美國是數據服務的提供方，立法路徑上鼓勵數據（包括個人信息）跨境自由流動；歐盟是數據服務市場，立法路徑上圍繞2000年12月7日頒布的《歐盟基本權利憲章》第8條人人享有個人數據受保護的權利，傾向限制數據（包括個人信息）出境，注重數據的本地化存儲。大灣區數據服務“引擎+市場”的雙重屬性與歐美的單一數據服務屬性不同，大灣區內出境個人信息的宏觀治理邏輯上可嘗試以國家安全為要、突出自然人的人格權（數據服務消費）、兼顧商業交往權（數據服務輸出）的路徑。因為改革開放以來“發展是硬道理”的指導方針凸顯了商業交往的重要性，但未對自然人的人格權予以足夠的保護，而且涉個人信息保護的法律《民法典》人格權編和《個人信息保護法（草案二次審議稿）》開始側重人權保護，之前中國大陸的數據法律法規都是以國家安全的合法性為立法路徑。

大灣區可依據2020年12月23日生效、國家發展和改革委員會等四部委發布的《關于加快構建全國一體化大數據中心協同創新體系的指導意見》（以下簡稱《一體化意見》）進行宏觀布局，構建大灣區跨境個人信息的一體化治理體系。按照《一體化意見》第二部分“發展目標”的規劃，到2025年，政府部門間、政企間數據壁壘進一步打破，數據資源流通活力明顯增強，大數據協同應用效果凸顯，數據安全保障能力穩步提升。

1.立法配置

大灣區個人信息跨境保護模式決定其立法配置。我國個人信息保護的立法現狀是“公法規范有余、私法規范不足”，以犧牲信息主體的權利為代價來確保絕對的信息自由流通，而且忽視了私法在個人信息保護法律體系的基礎性作用[ 16 ]。我國《個人信息保護法（草案二次審議稿）》第12條規定，“國家積極參與個人信息保護國際規則的制定，促進個人信息保護方面的國際交流與合作，推動與其他國家、地區、國際組織之間的個人信息保護規則、標準等的互認?！币虼?，大灣區可模仿歐盟建立單一體制的數據監管市場，鞏固國家主權與國家安全的緊密聯系，強化港澳作為境外不同法域但屬于中國主權一部分，在個人信息風險防控上以風險等級區分涉國家安全的個人信息并進行專門監控，其建構進路是加強“一帶一路”倡議在沿線國家進入大灣區增大其商業交往權中的作用，同時利用“東盟+3（中、日、韓）”機制，發揮中國在《東盟個人數據保護框架》松散架構內的軟性影響力，充分利用《全球數據安全倡議》，主導制定并細化大灣區區域性數字治理規則。

構建以《中華人民共和國個人信息保護法》（以未來生效的法律為準，目前仍是草案二次審議稿）為核心框架的個人信息保護體系，對侵害敏感個人信息的行為可配置更高強度的處罰規則，增設個人信息侵權領域的集團訴訟條款[ 17 ]。在大灣區跨境數據一體化治理過程中，需提供各國通過國際法維護本國及其企業海外利益的規則體系和申訴機制。法治與市場規則三地協同推進，補齊短板?；浉郯娜胤ㄖ嗡降木獍l展有助于促進粵港澳市場規則的對接，營造一體化的法治營商環境，減少大灣區內部的制度壁壘[ 18 ]。

2.管轄權競合的解決進路

利用制度設計減少互聯網企業處理出境個人信息違規案件被拖入相對復雜的粵港澳管轄權競合情形，以節約司法資源。同一事項同時受粵港澳不同沖突法的規范或調整，可以參照爭議受兩個不同國際條約或協議調整的情形來進行制度設計。《中華人民共和國與東南亞國家聯盟全面經濟合作框架協議協定》和WTO規則對同一事項都可以調整之情形，以及爭議既受《北美自由貿易協定》（NAFTA）的規制又受到《關稅及貿易總協定》（GATT）的調整，可以通過設置“當事方明示管轄權的方式”給予爭端解決程序明確而固定的管轄依據，或者“對爭議類型的不同特征和主體性質”進行細分后選擇一類或幾類設置專屬管轄權[ 19 ]。在大灣區就出境個人信息設置明示管轄權和專屬管轄權，是可行的解決管轄權競合的進路。

3.標準的設置

建立大灣區一體化的個人信息安全流通標準，實現從國內立法到國際標準的協同，充分考慮香港、澳門地區個人信息保護法律法規體系化建設比較完備的現實，完善珠三角九市的個人信息跨境流動的治理制度，確保大灣區個人信息按照統一標準流動時國家安全、商業發展、人格尊嚴三者兼顧。建立大灣區一體化流通標準的進路是政策上梳理跨境流通機制，減少跨境流通制度的阻礙，進而嘗試粵港澳個人信息保護法規、政策的調適與對接，按個人信息生命周期分段打通信息流通體系，實現全周期的統一流通標準。

4.專門崗位的設置

大灣區方案的“一翼”是嘗試創立粵港澳三地數據保護機構之間的司法協同機制，而協同事務的執行人是數據保護官?！霸O立隱私保護的專門職位”是大灣區建立統一數據標準的重要一環[ 20 ]。如果中國大陸在“十四五”規劃期間能夠一步到位設立職權統一的數據保護官（Data Protection Com？ missioner）將是理想的崗位配置，即便達不到理想配置模式，可在大灣區先行先試設置職權分散的數個數據保護崗位。依據《互聯網個人信息安全保護指南》第4條第3款設立的網絡管理員和安全管理員可以與香港個人資料私隱專員公署（PCPD）的私隱專員、澳門個人資料保護辦公室（葡文GP？ DP，英文OPDP）主任就大灣區跨境個人信息保護的司法問題進行協同，與所涉及的互聯網企業談判④。另外，可以增設審查管理員崗位，加大數據合規的審查力度，有利于保障國家安全，而且可依據《互聯網個人信息安全保護指南》第4條第3款第1項c目以及第4條第3款第2項b目將該崗位設為專職崗，職能與網絡管理員、系統管理員、數據庫管理員、數據操作員和安全管理員相同。

5.技術措施的支持

《網絡安全法》第21條第2、第3、第4款分別規定，采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施，采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，采取數據分類、重要數據備份和加密等措施?？梢?，《網絡安全法》旗幟鮮明地將技術措施作為安保義務的一部分。同時，《公安機關互聯網安全監督檢查規定》也明確以監督檢查的職責要求被檢查單位采取技術措施。對阿里云等互聯網企業而言，數據畫像的匿名化技術（Pseudonymisation in Profiling）是必備的基礎技術，即將個人信息的不同部分加密轉譯（Encryption to Translate）為特定的人工識別符（Unique Artificial Identifiers）并分拆存儲[ 21 ]。東盟10國已經統一要求企業具備匿名化技術。2015年第15次東盟電信與信息技術部長會議（TEL？ MIN）采納的《東盟個人數據保護框架》的第6條g款要求企業掌握匿名化的技術，切斷個人數據與特定個人的關聯。

有限度的數據本地化存儲，同時對跨境的關鍵數據保留國家層面的審核權，已成為當前國際經貿規則的共識，也是中國加入《全面與進步跨太平洋伙伴關系協定》（CPTPP）的明確目標[ 22 ]。

6.明確相關主體的權責

相關主體主要指個人信息主體、控制者、處理者以及接收者。在個人信息生命周期的不同階段，各個主體的身份會有部分重疊。在大灣區一體化個人信息治理體系下，個人信息是數據流通中的要素，大灣區企業應按個人信息生命周期來評估保護治理主體的權責、保護成效等重要事項。個人信息出境會影響個人信息主體對個人信息的控制，因而規定個人信息主體在個人信息出境場景下享有的權利，既可以緩解由于出境引發的個人信息主體對個人信息安全的擔憂，也是實現個人信息出境安全的重要手段[ 23 ]。此外，個人信息監管者、控制者和主體三者中，個人信息主體處于絕對弱勢地位，而且信息極不對稱，只有在法律法規中明確個人信息主體的權利，才能避免個人信息治理體系成為行政管理的分支，更有可能改變或最小化信息不對稱的現實局面[ 24 ]。

在該治理體系下，可將信息處理主體區分為公共主體和市場主體并以不同要求區別對待。公共主體處理信息的目的在于維護公共利益，而市場主體的處理目的在于維護主體的經濟利益，公共主體處理信息的要求低于市場主體[ 25 ]。從增強互聯網信息行業自律、規則設計上加大信息處理市場主體的侵權成本，規范市場主體處理個人信息的行為與保護私權的責任。技術和商業的結合具備天然的逐利性，只有以明確權利保護和行為自由的邊界、增加侵害個人信息的成本為重點來完善規則設計，才能夠促使信息從業者認識到個人信息保護的重要性，逐步實現行業自律和自我管理[ 16 ]。

響應習近平主席所倡導的“豐富開放內涵，提高開放水平”，大灣區需要就開放內容進行轉型升級，從開放商品流動和要素流動變為開放制度[ 26 ]。可成立大灣區政府協會等多種治理組織協調共治，打通區域間的物理、政策隔閡，使資源自由便利流動，使個人信息跨區域流動得到對應治理、對等保護[ 27 ]。

7.個人信息權益的救濟

在大灣區個人信息保護一體化治理體系中，以民事機制為主、行政手段和刑事處罰為補充的個人信息救濟機制，有利于通過侵權責任等私法規定對個人信息遭受侵害的當事人的損害進行彌補[ 16 ]。

美國擴展隱私權外延，相繼衍生出數據隱私權、網絡隱私權。美國這種基于隱私權的保護模式不適合中國的國情，中國確立了基于一般權利的保護模式[ 28 ]。由于間接保護模式和法益保護模式都存在缺陷，在我國能更有效應對個人信息侵害行為、兼顧科技和商業理性發展的模式是權利保護模式，該模式可以基于一般人格權來保護處于弱勢地位的個人信息主體[ 16 ]。

個人信息權的制度和規則必須處理好個人信息權利保護、促進信息自由流通和維護公共利益三者之間的關系，探究個人信息權的特征（絕對性或支配性）、內容（具體的權能或子權利）、行使（權利界限以及需要平衡的不同利益）、救濟（責任方式、歸責原則和損害賠償）以及相關配套措施（訴訟方式、程序銜接）等一系列微觀層面的問題，為構建個人信息民法保護的中國模式奠定基礎。

（二）企業的微觀對標

由于企業的目的及價值的預設失當，阿里云在制定其個人信息保護政策的個別條款時，將企業規模效益凌駕于消費者隱私保護權益之上，由此需要在規范上調整價值排序，用義務遏制平臺的信息擴張沖動，細化、厘清其信息規制義務[ 29 ]。阿里云的新版政策可以從企業義務和用戶權利角度重劃個人信息保護的價值觀。

新的阿里云政策在結構編排和條款設置上可參考現代制造業翹楚CORNING公司的《全球數據保護政策》。成立于1851年的CORNING公司在大灣區的廣州、香港、澳門都設有辦公場所，大中華區的總部設在上海。其《全球數據保護政策》的核心框架是GDPR的國際個人數據傳輸企業約束規則（Binding Corporate Rules），將法律依據與公司義務并行編排，明示個人信息處理原則與主體權利，細分了CORNING集團內部或外部的個人信息傳輸，以GDPR的充分保護、對等保護來處理出境個人信息的管轄權競合事項。但從事光通信、顯示科技、環境科技、生命科學和特殊材料的CORNING公司所處理的個人信息的類型、數量、范圍較窄、較少，無法與阿里云利用自動化決策處理信息的寬泛范圍、海量規模相比。此外，《全球數據保護政策》與GDPR一樣適用于數據服務消費市場，而非服務提供方。阿里云應調整《全球數據保護政策》中偏嚴格保護、不利于數據流動、限制商業交往的條款表述。在條款內容的表述上，阿里云可參考2021年1月1日生效的世界第二大互聯網企業亞馬遜的《數據保護政策》，其優點在于圍繞個人信息處理行為和處理原則來表述，但缺點也顯而易見，條款內容表述太粗，而且極少指涉個人信息出境場景，似乎默認個人信息全球跨境自由流通，有拔高跨國商業交往權之嫌。

在新冠肺炎疫情期間，一方面，個人信息處理處于高頻狀態，數字經濟在疫情期間高速發展；另一方面，個人信息保護相對處于薄弱的階段。在后疫情時代，個人信息保護的法治環境會漸趨嚴苛，歐盟的數據跨境流動規則的限制流動模式或防守模式反映了全球日益嚴苛的個人信息保護環境，“數據承載的隱私信息保護模式、路徑以及力度都存在著顯著差異”，進一步導致了法律的割據狀態[ 15 ]。在以數字經濟拉動內需、推動國內國際雙循環的今天，針對大灣區數據跨境流動中的個人信息保護，探索基于區域共同體的個人信息跨境傳輸法律規則，建立大灣區跨境個人信息的一體化治理體系是中國的應然目標。以習近平同志為核心的黨中央提出的總體國家安全觀、黨的十九屆五中全會關于“堅定不移建設數字中國”的要求以及國務院《促進大數據發展行動綱要》從宏觀上為粵港澳大灣區建立一體化個人信息保護與治理體系提供了政策指引。數據安全事件破壞數據、系統和網絡的保密性、完整性和可用性，損害政府、企業和個人權益[ 30 ]。維護國家安全、商業交往權和人格權客觀上呼喚大灣區創新個人信息保護與治理體系。

另外，管轄權競合下的涉個人信息保護的準據法適用應該納入阿里云等我國世界級互聯網企業的政策考量范圍。大灣區內所涉的管轄權競合以粵港澳就某一連結點重復性管轄為主，平行管轄較少出現。在網絡空間領域，中國及其大型互聯網企業已經是優質數據服務具有競爭優勢的提供方，倘若企業的個人信息保護政策在文本起草時未考量個人信息出境而出現的管轄權競合場景，那么以企業合規來保護人格權益就好比水中月鏡中花，企業助力國家成為數據強國也缺乏法理支撐。中國的個人信息保護法律法規尚處于草案階段的1.0版時期，而互聯網企業的個人信息保護政策還達不到1.0版，但樹立“參照”“對標”意識并落實到企業政策的文本制定上將有助于企業政策配合國家法律快速升級為2.0版。

注釋：

①《數字市場法（提案）》和《數字服務法（提案）》于2020年12月15日被歐盟委員會（European Commission）采納，是歐盟建立單一數據市場的系列立法舉措中最重要的兩部提案，參見https：//ec.europa.eu/info/sites/default/files/pro？ posal-regulation-single-market-digital-services-digitalservices-act_en.pdf和https：//ec.europa.eu/digital-singlemarket/en/news/proposal-regulation-european-parliamentand-council-single-market-digital-services-digital（最后訪問于2021年5月30日）。依據旨在追求市場平等地位、保護個人隱私及反壟斷的《數字市場法（提案）》對“看門人（Gatekeeper）”的定義，阿里云完全符合“看門人”的規模和地位這兩重條件，也符合“核心平臺”5種類型中的3種，即某些信息服務、操作系統和在線中介服務。而“看門人”需要承擔更大的保護個人信息等多重義務。這兩部提案各自的影響評估報告全文參見https：//digitalstrategy.ec.europa.eu/en/library/impact-assessment-digitalmarkets- act和https：//digital- strategy.ec.europa.eu/en/li？ brary/impact-assessment-digital-services-act（最后訪問于2021年5月30日）。

②這11部法律包括2017年6月1日施行的《網絡安全法》、2020年10月1日施行的國家標準《信息安全技術個人信息安全規范》、2021年1月1日施行的《民法典》人格權編、2021年9月1日將施行的《數據安全法》以及2017年4月11日發布的《個人信息和重要數據出境安全評估辦法

（征求意見稿）》、2017年8月30日發布的國家標準《信息安全技術數據出境安全評估指南（草案）》、2018年11月發布的國家標準《信息安全技術數據出境安全評估指南

（征求意見稿）》、2019年4月10日發布的《互聯網個人信息安全保護指南》、2019年6月13日發布的《個人信息出境安全評估辦法（征求意見稿）》、2021年4月29日發布的《個人信息保護法（草案二次審議稿）》以及2020年7月15日發布的地方法規《深圳經濟特區數據條例（征求意見稿）》?！渡钲诮洕貐^數據條例（征求意見稿）》關于個人信息保護部分頗具前瞻性，迎合了“十四五”規劃和二〇三五年遠景目標中的數字化發展戰略，明確提出自然人對個人信息擁有數據權，并規定了相應保護規則。

③A酒店收集顧客的完整身份證編號案，中國澳門個人資料保護辦公室（2019）立案編號0111/2019/IP。案情摘要：顧客到A酒店用膳，結賬時為了享用長者半價優惠的政策，應酒店職員要求出示身份證，但在職員未告知且未取得其同意的情況下，在結賬單據出現顧客的姓名、完整身份證編號以及出生日期。A酒店被澳門個人資料保護辦公室判定違反適度原則，被處以5 000澳元罰款。

④參見香港個人資料私隱專員公署官網https：//www.pcpd. org.hk/和澳門個人資料保護辦公室官網https：//www.gp？ dp.gov.mo/，最后訪問于2021年5月28日。

參考文獻：

[1]中共中央關于制定國民經濟和社會發展第十四個五年規劃和二〇三五年遠景目標的建議[EB/OL].（2020-11-03）[2021-03-08].http：//www.xinhuanet.com/politics/2020-11/03/c_1126693293.htm.

[2]時明濤.大數據時代個人信息保護的困境與出路——基于當前研究現狀的評論與反思[J].科技與法律，2020（5）：66-74.

[3]螞蟻集團.以整改為革新契機，更加堅定服務小微[EB/ OL].（2021-04-12）[2021-05-05].https：//mp.weixin.qq.com/s/fbmDCg4eyEEhiNh3OGL1zg.

[4]上海社會科學院互聯網研究中心.全球數據跨境流動政策與中國戰略研究報告[EB/OL].（2019-08-28）[2021-02-16].https：//www.secrss.com/articles/13274.

[5]李建新.兩岸四地的個人信息保護與行政信息公開[J].法學，2013（7）：95-104.

[6]W GREGORY VOSS.Cross-border data flows，the GDPR，and data governance[J].Washington law review，2020（3）：485-532.

[7]THE PRIVACY COMMISSIONER FOR PERSONAL DA？ TA，HONG KONG.What is privacy management programme[EB/OL].[2021- 05- 19].https：//www.pcpd.org.hk/pmp/pmp. html.

[8]BERNICE KARN，CHRIS HERSH，MARCO CIARLARI？ ELLO.Facebook’s multi-million dollar settlement with the commissioner of competition increases the risks faced by or？ ganizations for non-compliance with privacy laws[EB/OL].（2020-05-26）[2021-05-27].https：//cassels.com/？export= pdf&post_id=11561&force.

[9]涉及員工數據違規行為GDPR首罰：普華永道被罰15萬歐元[EB/OL].（2019-08-28）[2021-05-06].https：//www.se？ crss.com/articles/13277，

[10]歐盟GDPR新政后開出最大罰單：罰款谷歌5000萬歐元[EB/OL].（2019-01-25）[2021-05-06].https：//www.so？ hu.com/a/291499957_100191017.

[11]STEVE COUGHLAN，ROBERT J CURRIE，HUGH M KINDRED，et al. Law beyond borders：extraterritorial ju？ risdiction in an age of globalization[M].Toronto：Irvin Law，2014：230.

[12]《中國網絡誠信發展報告》發布[EB/OL].（2020-12-08）[2021- 05- 06].https：//politics.gmw.cn/2020- 12/08/conten t_34440665.htm.

[13]孫軍.企業敏感檔案跨境管理的合規風險[J].檔案學研究，2021（1）：116-120.

[14]SANWOO LEE.A Study on the extraterritorial application of the general data protection regulation with a focus on computing[D].Beijing：China University of Political Science and Law，2018.

[15]田旭.網絡空間中個人數據跨境傳輸法律規則研究[D].上海：華東政法大學，2020.

[16]王成.個人信息民法保護的模式選擇[J].中國社會科學，2019（6）：124-146，207.

[17]王淼.數字經濟發展的法律規制——研討會專家觀點綜述[J].中國流通經濟，2020（12）：114-124.

[18]石佑啟，陳可翔.粵港澳大灣區治理創新的法治進路[J].中國社會科學，2019（11）：64-85，205-206.

[19]顧益民.WTO與CAFTA爭端解決管轄競合之法理與對策[J].理論界，2011（12）：40-42.

[20]涂子沛.建設粵港澳大灣區應建立統一數據標準[EB/ OL].（2020-06-11）[2021-03-10].http：//www.pprd.org.cn/ fzzk/202006/t20200611_520097.htm.

[21]TSE GAN THIO.Data and privacy protection in ASEAN：what does it mean for businesses in the region？[EB/OL].[2020- 09- 04].https：//www2.deloitte.com/content/dam/De？ loitte/sg/Documents/risk/sea-risk-data-privacy-in-asean.pdf.

[22]馮碩.TikTok被禁中的數據博弈與法律回應[J].東方法學，2021（1）：74-89.

[23]劉新宇.數據保護合規指引與規則解析[M].北京：中國法制出版社，2020：177.

[24]ORLA LYNSKEY.The foundations of EU data protection law[M].Oxford：Oxford University Press，2015：77.

[25]羅培新.數據立法的基本范疇：數據權屬及數據處理的頭部、中部及尾部規則[EB/OL].（2021-04-29）[2021-04-29].https：//mp.weixin.qq.com/s？src=11&timestamp=16196 71689&ver=3037&signature=wk2- Of*m3m8xqzHOEuLg 0Sz*0jAI6YsH9SJeVvvEH90TXloMKyYanbWPbT8t4Dhe*hZJc9XQtbpNtK*AqQUPE2wvJxlZ*vEw9ZkgmC9J14Lra 9UHXR2zRjQ y8W3grFT&new=1.

[26]習近平.在第二屆世界互聯網大會開幕式上的講話[N].人民日報，2015-12-17（002）.

[27]談蕭，董斯潁.粵港澳大灣區環境司法協作研究[J].法治論壇，2020（4）：127-140.

[28]FRANZISKA BOEHM.A comparison between US and EU data protection legislation for law enforcement[R].Study for the LIBE committee，2015：65-66.

[29]莫林.共享平臺的信息規制義務[J].科技與法律，2019（5）：68-75.

[30]OECD.Digital economy outlook 2020[EB/OL].（2020-11-27）[2021-05-26].https：//www.oecd.org/digital/oecd-digi？ tal-economy-outlook-2020-bb167041-en.htm.

責任編輯：方程

Alibaba Cloud’s Personal Information Cross-Border Compliance in GBA：A Perspective of Jurisdiction Concurrence

YE Xiang1，2

（1.Law School，East China University of Political Science and Law，Shanghai 200042，China；2.School of Foreign Languages，Shandong University of Technology，Zibo 255049，Shandong，China）

Abstract：The Guangdong-Hong Kong-Macau Greater Bay Area（GBA）is an ideal sandbox for corporate compliance and jurisdictional concurrence. The author conducts a case study on the privacy policy of AliOS，an intelligent terminal operating system of Alibaba Cloud Computing Co.，Ltd. According to information processing in the five stages of personal information life cycle（collection，storage，use，delegation，disclosure，deletion，etc.），the author investigates whether AliOS privacy policy of the Chinese largest digital enterprise that collects the most personal information in China，goes in line with the laws，regulations and relevant standards of Guangdong，Hong Kong and Macao，and the author also looks into jurisdictional concurrence of crossborder personal information flows. It is found that Ali Cloud’s value orientation of protecting personal information is at odds with the purposes of laws，regulations and standards related to the personal information protection in Guangdong，Hong Kong and Macao. Whether the presupposition of the purpose and value of a company’s privacy policy is lawful has a great impact on the compliance of this company’s personal information processing. However，Ali Cloud’s presupposition of the purpose and value of its privacy policy is not rigorous enough and some of its provisions put Ali Cloud’s economic interests above rights and interests of consumers，so it is urgent to adjust Ali Cloud’s value orientation entailed in its privacy policy and put the company under new regulation. Besides，clearly defined obligations can be used as a regulating means to curbing Ali Cloud’s over-expansion on collecting personal information. In addition，as for the cross-border personal information，laws，regulations and standards of Guangdong，Hong Kong and Macao respectively set different conditions for initiating extraterritorial jurisdiction，so jurisdiction concurrence may come up in case of the superposition of differential extraterritorial jurisdiction and intra-territorial jurisdiction in GBA，which highlights the lax formulation of AliOS privacy policy. Such lax design results from Ali Cloud’s limited and simple setting on personal information flows within Chinese Mainland border，with no preset design on jurisdiction concurrence of crossborder personal information. What’s more，the author also proposes the GBA Plan as a Chinese Model tackling jurisdiction concurrence，which takes the judicial coordination and integrated governance of Guangdong，Hong Kong and Macao as the Dual Wings and integrates the evaluation and audit mechanism of network security and personal information to prevent loopholes and legal risks in AliOS privacy policy，which is formulated from the micro view of Internet companies.

Key words：judicial coordination；cross-border compliance；jurisdiction concurrence；information processing；personal in？ formation life cycle