比較法視野下個人信息跨境流動之法律規(guī)制與進路
——兼談我國《個人信息保護法（草案）》

林 洧

（臺灣大學法律學院，（中國）臺灣 臺北 10617）

當前，我們處于大數(shù)據(jù)時代——社會每天都產(chǎn)生海量的數(shù)據(jù)，而這些海量數(shù)據(jù)的產(chǎn)生，其背后是人、機器和軟件數(shù)據(jù)三流匯聚的結(jié)果；尤其是隨著人工智能技術(shù)的蓬勃發(fā)展、5G技術(shù)正式投入使用，數(shù)據(jù)之于我們的生活猶如空氣般隨處可見。而在國際關(guān)系之中，大數(shù)據(jù)亦有重要的地位，其在經(jīng)濟發(fā)展、國家主權(quán)以及國家安全等諸多議題上皆面臨平等合作等要求，各國也都正在如火如荼地進行大數(shù)據(jù)產(chǎn)業(yè)革命、完善大數(shù)據(jù)治理模式與戰(zhàn)略布局。[1]同時，隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，社交網(wǎng)絡(luò)以及物聯(lián)網(wǎng)已經(jīng)高度融入我們的生活，由此也產(chǎn)生了巨量而又種類繁多的數(shù)據(jù)，這些數(shù)據(jù)經(jīng)過大數(shù)據(jù)處理即可展示出決策價值與知識內(nèi)涵。[2]其中，數(shù)據(jù)與信息本身就有著緊密的聯(lián)系，[3]有些數(shù)據(jù)就是個人信息，①在信息管理學角度，數(shù)據(jù)與信息嚴格區(qū)分，數(shù)據(jù)與信息是載體與內(nèi)涵的關(guān)系，數(shù)據(jù)為網(wǎng)絡(luò)空間的實在物，是區(qū)別于物質(zhì)能量的獨立客觀存在，信息則強調(diào)對數(shù)據(jù)進行加工后有邏輯、對客觀世界有影響、有意義的大腦意識。而在法學角度，信息與數(shù)據(jù)常常混用，個人信息與個人數(shù)據(jù)因在研究中發(fā)生外觀上的混同，故語義層面的個人信息與代碼層面的個人數(shù)據(jù)并未區(qū)分。本文中，凡涉及個人信息權(quán)利保護法律的論述，采取法學研究的觀點，對信息與數(shù)據(jù)兩者混用；其余情況下，數(shù)據(jù)與信息進行信息管理學角度的區(qū)分。而個人信息常與隱私聯(lián)系；在技術(shù)上，隨著網(wǎng)絡(luò)技術(shù)與應(yīng)用的發(fā)展，在大數(shù)據(jù)背景下，通過數(shù)據(jù)加密技術(shù)、匿名技術(shù)、訪問控制以及數(shù)據(jù)發(fā)布技術(shù)等傳統(tǒng)技術(shù)也已很難再保護個人隱私。[4]同時，在數(shù)字經(jīng)濟蓬勃發(fā)展的當下，個人信息因為本身的特殊性，對其監(jiān)管已經(jīng)成為國際社會共同面臨的焦點問題。其中，在涉及跨境的個人信息流動與保護的問題上更需要國際合作與國際規(guī)則的約束，由此，建立一個能夠平衡各國利益、維護企業(yè)合法權(quán)益的國際數(shù)字經(jīng)濟規(guī)則體系也已經(jīng)成為世界的愿景。[5]

在法律上，個人信息不同于其他的一般數(shù)據(jù)，其本身重在識別，即通過此信息可以對應(yīng)某個個體，在大數(shù)據(jù)背景下有數(shù)字人格、商業(yè)利用以及個人信息權(quán)等權(quán)益，故個人信息具有明顯的私法屬性。[6]而在我國民法典中，個人信息亦處于人格權(quán)編之下，將其視為一種不同于隱私權(quán)的新型人格權(quán)進行保護。隨著經(jīng)濟全球化的發(fā)展與新興網(wǎng)絡(luò)技術(shù)的普及，個人信息也隨之進行跨境流動，而不再局限于一國境內(nèi)，其中涉及復(fù)雜的國際協(xié)作等問題，常需要在個人信息保護與信息自由流動間進行取舍，由此需要明確政策理念、制定國際規(guī)則、加強法律規(guī)制；[7]而個人信息跨境監(jiān)管的困難，本質(zhì)為跨境流動與各國信息監(jiān)管的不統(tǒng)一，故需要國際層面的軟法進行協(xié)調(diào)。[8]誠然，個人信息的跨境流動問題，不再僅僅涉及一個國家自己的政策與法律的規(guī)定，而應(yīng)該與整個世界的經(jīng)濟發(fā)展趨勢相結(jié)合，在“人類命運共同體”的理念下實現(xiàn)合作共贏，實現(xiàn)國際共同安全與國家安全、國際責任與國家利益的統(tǒng)一；[9]尤其是在全球化和逆全球化兩股勢力正在角力的當下，國際組織內(nèi)各成員國亦有嚴重的內(nèi)生化矛盾，[10]個人信息跨境流動的監(jiān)管與規(guī)制也會遇到類似困境，面臨國家之間利益協(xié)調(diào)的問題。因此，本文將從個人信息跨境流動的法律規(guī)制面臨的理念困境入手，繼而以比較分析的方法研究域外個人信息跨境流動法律規(guī)制模式，以借鑒相關(guān)實踐經(jīng)驗并結(jié)合我國自己的法律現(xiàn)狀與基本國情，探尋一條本土化的法律規(guī)制之進路。

一、理念沖突：數(shù)據(jù)主權(quán)與數(shù)據(jù)自由之矛盾

在實然層面上，個人信息跨境流動的法律規(guī)制之難點在于良好的數(shù)據(jù)保護、跨境數(shù)據(jù)自由流動、數(shù)據(jù)保護自主權(quán)之間的對立；這一對立的根本原因就是個人信息跨境流動的雙重屬性，即國內(nèi)問題屬性與國際問題屬性，由此引發(fā)的國內(nèi)法規(guī)政策與國際規(guī)則之間的沖突。[11]而在應(yīng)然層面上，則是國際社會對于跨境數(shù)據(jù)流動規(guī)制素有兩種不同的理念，即數(shù)據(jù)主權(quán)主義與數(shù)據(jù)自由主義。

（一）數(shù)據(jù)主權(quán)主義

主權(quán)一般代表國家在領(lǐng)土內(nèi)對國民之最高權(quán)力，而國際法的發(fā)展使得主權(quán)的對內(nèi)屬性衍生出了對外屬性。[12]規(guī)制個人信息跨境流動的法律取決于一國對于數(shù)據(jù)與主權(quán)間關(guān)系的判斷。其中，數(shù)據(jù)主權(quán)的產(chǎn)生最早起源于媒介主權(quán)，這是傳統(tǒng)主權(quán)的范疇，彼時王室與教會認為出版物會削弱其權(quán)力，故要求在領(lǐng)土內(nèi)對這些傳統(tǒng)信息媒介擁有管轄與支配的權(quán)力。[13]數(shù)據(jù)主權(quán)也是基于此原理，在國家主義的理念下，強調(diào)一國對于國內(nèi)產(chǎn)生的數(shù)據(jù)擁有管轄與支配的權(quán)力，即強調(diào)對本國數(shù)據(jù)對內(nèi)享有占有、管理、使用等權(quán)力，對外享有排除他人干預(yù)之國家最高權(quán)力，以彰顯國家在數(shù)據(jù)上之獨立性與自主性。[14]在數(shù)據(jù)主權(quán)主義下，數(shù)據(jù)就猶如國家的國民一般，國家基于主權(quán)而對國民享有管理之權(quán)力。某種意義上，數(shù)據(jù)主權(quán)主義下，由本國公民、法人、非法人組織等產(chǎn)生的數(shù)據(jù)就像某種資源，國家基于地域管轄、屬人管轄等原則，對于國內(nèi)的數(shù)據(jù)擁有主權(quán)。而數(shù)據(jù)主權(quán)主義有其價值，一方面數(shù)據(jù)跨境流動本就是基于數(shù)據(jù)主權(quán)之語境，其賦予了國家進行數(shù)據(jù)監(jiān)管的合法性；另一方面，數(shù)據(jù)主權(quán)在一定程度上有利于排除數(shù)據(jù)霸權(quán)主義的干涉，在法理上保證了國家對于國內(nèi)數(shù)據(jù)的自保權(quán)，有利于維護國家的安全。[15]

這種觀念強調(diào)國家主權(quán)與明確的國家界限，在過去跨境交流并不頻繁的情況下，有其積極意義。但當今世界的全球化發(fā)展日益深入，國家間經(jīng)濟合作、貿(mào)易往來也愈加頻繁，若一國始終堅持數(shù)據(jù)主權(quán)主義，其要求數(shù)據(jù)猶如資源一般而享有主權(quán)，則會對國際間經(jīng)濟貿(mào)易與文化交流等造成一定阻礙。而個人信息作為特殊的數(shù)據(jù)，依照數(shù)據(jù)主權(quán)主義，其自然也屬于一國主權(quán)所管轄的范疇。因此，在數(shù)據(jù)主權(quán)主義下，一國對其國內(nèi)的個人信息享有絕對的、排他的最高權(quán)力。而國家之間的經(jīng)濟貿(mào)易與服務(wù)往來，需要用到個人信息之處數(shù)不勝數(shù)。例如，本國公民在國外享受教育、醫(yī)療服務(wù)，或進行跨境電商、金融投資之時，就會導(dǎo)致個人信息跨境流動。在數(shù)據(jù)主權(quán)主義下，則會被一國之法律強制限制，倘若無雙邊之條約，則會造成個人信息多重法律規(guī)制之現(xiàn)象，最終導(dǎo)致監(jiān)管的跨境割裂的情況。而現(xiàn)實中的國家是相互交流的，沒有哪個國家為一座孤島，一國根本無法完全獨占、排他地控制與領(lǐng)土、國民相關(guān)的所有數(shù)據(jù)。

（二）數(shù)據(jù)自由主義

數(shù)據(jù)自由主義，則是在自由主義與個體主義的理念下，強調(diào)數(shù)據(jù)應(yīng)當允許其自由流動，一定程度上排除主權(quán)之干預(yù)。在數(shù)字經(jīng)濟以及全球化不斷擴張的背景下，數(shù)據(jù)自由流動強調(diào)數(shù)據(jù)本身的商業(yè)價值與經(jīng)濟利益，跨境數(shù)據(jù)流動已經(jīng)成為許多經(jīng)濟活動的基本需求，[16]數(shù)據(jù)自由流動也正是保障這些經(jīng)濟活動蓬勃發(fā)展的基本要求。數(shù)據(jù)自由主義本身具有積極的面向，其目的在于增加數(shù)據(jù)的使用效益，更好地發(fā)揮數(shù)據(jù)的資源屬性。數(shù)據(jù)自由主義在數(shù)字經(jīng)濟當中強調(diào)自由和效率以反對阻礙商業(yè)活動的貿(mào)易壁壘，力求讓數(shù)據(jù)發(fā)揮應(yīng)有的價值，從這個角度上看有其必要性。另外，數(shù)據(jù)自由主義類似于市場自由主義的理念，力求在信息技術(shù)領(lǐng)域?qū)崿F(xiàn)優(yōu)勝劣汰的篩選機制，僅從促進商業(yè)與經(jīng)濟的角度看并無不可。現(xiàn)實中，數(shù)據(jù)也確實在流動當中創(chuàng)造出更多的價值，過度限制也會造成經(jīng)濟利益的損失。

但是，數(shù)據(jù)自由主義的缺點似乎更加明顯。純粹的數(shù)據(jù)自由主義是一種烏托邦式的理想，因為無論如何，即使是在虛擬空間當中，傳統(tǒng)主權(quán)的束縛依舊存在，作為個體的人、法人、非法人組織客觀上皆無法獨立于國家而完全自治。數(shù)據(jù)自由主義的支持者，企圖將數(shù)據(jù)存在的虛擬空間獨立于現(xiàn)實空間，利用數(shù)據(jù)本身虛擬、開放、無界的技術(shù)特征，實現(xiàn)弱主權(quán)化或者去主權(quán)化的結(jié)果，并不現(xiàn)實。[17]這種互聯(lián)網(wǎng)世界主義思想最大的弊端就是會導(dǎo)致因割裂現(xiàn)實空間和虛擬空間而引發(fā)的秩序與穩(wěn)定之問題。在虛擬空間中，如果所有的個體都是絕對地自由，不受現(xiàn)實空間的約束，那么虛擬空間本身就會變得無序，將會造成各種亂象——尤其是網(wǎng)絡(luò)犯罪，利用計算機作為犯罪對象、主體以及工具，利用線上技術(shù)創(chuàng)新之表象，而行傳統(tǒng)犯罪之實質(zhì)。[18]同時，當前的虛擬空間能夠穩(wěn)定發(fā)展，其實正是因為有現(xiàn)實空間的各種規(guī)則進行約束與管制，由此使得虛擬空間朝著符合世界全體人民利益的方向健康發(fā)展。人類社會的發(fā)展史告訴我們，生產(chǎn)力的發(fā)展，需要秩序作為基礎(chǔ)，正如國家以及國家權(quán)力之由來——讓渡部分的自由以換取國家來保持社會穩(wěn)定，而在以國家權(quán)力保障公民權(quán)利的條件下，[19]人民方有穩(wěn)定的秩序環(huán)境而得以安居樂業(yè)，進而提升社會生產(chǎn)力。因此，對于數(shù)據(jù)自由主義此種強調(diào)絕對的自由主義之思想，從某種程度上看是一種歷史的倒退。另外，數(shù)據(jù)自由主義主要由技術(shù)強國提出，而且是在單邊主義的背景下提出，原因在于數(shù)據(jù)自由流動對于技術(shù)強國而言，在技術(shù)上占有優(yōu)勢，因此并不樂見這種科技上的優(yōu)勢被他國用法律等手段限制。

（三）不同理念下的利益角力

回歸個人信息問題本身，個人信息作為特殊的、具有人格屬性的數(shù)據(jù)，它的跨境自由流動面臨著個人利益、商業(yè)利益、國家利益之間的沖突與角力。國家基于人民授予的權(quán)力而要對人民負責，人民的個人信息不當泄露則會造成其精神或者財物上的損害；同時，基于國家安全的考量，放任個人信息跨境自由流動不利于維護國家安全和社會秩序穩(wěn)定。由此，對于個人信息，國家并不希望、事實上也不會放任其跨境自由流動。而對于商業(yè)組織，因為處于數(shù)字經(jīng)濟時代，信息技術(shù)的發(fā)展革新與產(chǎn)業(yè)變革，皆需要大量的數(shù)據(jù)作為資源，個人信息也是資源的一種，資源獲取越方便則越有利于商業(yè)的發(fā)展，個人信息跨境自由流動越充分，獲取資源的成本則會越低。而對于個人而言，有時需要個人信息進行跨境流動，但同時又不希望被濫用，換言之，其希望掌握個人信息自決權(quán)，因此也反對完全放任個人信息自由流動。故而，數(shù)據(jù)自由主義之主張者，亦多為相關(guān)行業(yè)之企業(yè)與商人；其余者，大多認為個人信息跨境流動需要進行必要的規(guī)制。

總之，個人信息跨境流動在理念上面臨著數(shù)據(jù)主權(quán)主義與數(shù)據(jù)自由主義的沖突。正如在國際社會上，有極力推行數(shù)據(jù)自由流動者，亦有極力主張數(shù)據(jù)本地化與跨境流動限制者，其皆為自身利益所考量而有不同的抉擇。但是，無論采取何種理念，各國皆應(yīng)該通過對等談判與承諾、協(xié)調(diào)國內(nèi)規(guī)制與國際規(guī)制、積極參與國際規(guī)則的制定等完善個人跨境流動的法律規(guī)制。[20]而無論未來如何發(fā)展，數(shù)據(jù)主權(quán)主義與數(shù)據(jù)自由主義的理念沖突始終存在，個人信息跨境流動之法律規(guī)制也始終受其左右。因為，這兩種理念是相互依存的關(guān)系，只能一定程度上進行協(xié)調(diào)，無法從根本上消除。

二、域外經(jīng)驗：個人信息跨境流動之立法實踐

我國電子商務(wù)發(fā)展迅猛，但是對于個人信息跨境流動的法律規(guī)制仍然處于起步階段。目前僅《網(wǎng)絡(luò)安全法》規(guī)定了數(shù)據(jù)本地化之要求，而其他諸如《個人信息保護法》等立法工作仍在進行中，保障個人信息細則亦不具備，對應(yīng)的執(zhí)法、司法等制度尚未確立。[21]但跳脫國內(nèi)的局限，域外卻有豐富的實踐經(jīng)驗；其中，個人信息跨境流動的問題由來已久，不同的國家與國際組織本于自身的利益有不同的法律實踐。尤其是作為世界上主要經(jīng)濟體的美國以及歐盟的法律實踐，對于辨析我國個人信息跨境流動規(guī)制之理念與進路有著重要的借鑒意義。

（一）歐盟實踐：柔性的限制

歐盟對于個人信息跨境流動的法律政策主要采取數(shù)據(jù)主權(quán)主義的理念，其對于個人信息之重視程度甚至上升到憲法基本權(quán)利的層面，一直走在世界的前沿。早在1981年成員國就簽訂了世界上第一個關(guān)于個人信息保護的、具有法律效力的歐盟內(nèi)部條約《關(guān)于個人數(shù)據(jù)自動化處理的個人保護公約》（Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data）。該公約對促進信息自由流動與保護個人隱私權(quán)之關(guān)系進行了協(xié)調(diào)，要求對于個人信息自動化處理時需要尊重其隱私權(quán)；只是，遺憾之處在于，公約并未在歐洲全面適用，只有7個國家批準了公約，但是這些成員并無建立配套之國內(nèi)法規(guī)。[22]其后，歐盟繼續(xù)在1995年通過了《數(shù)據(jù)保護指令》（EU Directive 95/46/EC：the Data Protection Directive)，以謀求歐盟國家內(nèi)部的數(shù)據(jù)自由流通。之后，在2016年歐盟又通過了《通用數(shù)據(jù)保護條例》（the EU General Data Protection Regulation，GDPR）來取代前者，且已于2018年生效。其中最大的變化在于擴大了個人信息的監(jiān)管范圍，其法規(guī)適用于任何與歐盟公民個人信息有關(guān)的數(shù)據(jù)公司，且無論公司是否在歐洲，故而，在事實上施行了個人信息保護的長臂管轄。

最新的GDPR打造了歐盟對于信息跨境流動的全新的法律規(guī)制體系。它進一步擴大了個人信息跨境流動的方式，并且細化了適當性認定的方法。因為歐盟對于個人信息跨境流動采取的是一種柔性限制的方式，其以限制為一般原則，但是做出了一些例外，其中適當性保護原則即可看成此種例外的法理基礎(chǔ)。在GDPR中，雖然繼續(xù)擴大了個人信息跨境流動的方式，但同時也擴大了條例的適用范圍——全球適用。個人信息保護也更加嚴格——個人信息處理前要經(jīng)過知情用戶具體清晰的許可、一旦用戶反對可隨時要求停止使用其個人信息，同時也新增加“個人信息持續(xù)控制權(quán)”以及“被遺忘權(quán)”等新型的數(shù)據(jù)主體之權(quán)利。最后，GDPR處罰的力度也在加強，最少的處罰為兩千萬歐元。在個人信息跨境流動上，允許在歐盟成員國內(nèi)自由流動，但是嚴格限制在此之外的第三國或者國際組織的流動。根據(jù)GDPR第五章的要求，數(shù)據(jù)接收方所在的國家或者地區(qū)需要符合“充分保護水平”的標準，這種白名單制度會對國家進行定期審查后不斷更新，目前僅有十余個國家或地區(qū)符合其法規(guī)制度、監(jiān)管結(jié)構(gòu)、國際條約承諾等要求；另外，歐盟為了促進個人信息流動，采取了柔性政策，允許不在白名單內(nèi)但是提供適當保護措施的數(shù)據(jù)流動，而且規(guī)定在一些特殊情況下允許個人信息的跨境流動。

歐盟在數(shù)據(jù)主權(quán)主義下，對于個人信息跨境保護采取一種柔性的限制措施。在強化個人信息保護的同時，兼顧個人信息的跨境流動，透過明確的權(quán)利義務(wù)設(shè)定與嚴格的執(zhí)法、監(jiān)督機制，使得兩者達到一種平衡。而在立法上，歐盟不斷增強法律層級以及效力，從指令到條例的發(fā)展，展現(xiàn)了歐盟在協(xié)調(diào)不同法域的同時統(tǒng)一個人信息跨境流動的法律規(guī)制標準。又基于數(shù)據(jù)主權(quán)主義，歐盟不斷擴大法律適用的主體以及范圍，將傳統(tǒng)主權(quán)覆蓋之屬地主義原則擴大到屬人主義與屬地主義相結(jié)合，以因應(yīng)數(shù)字經(jīng)濟與經(jīng)濟全球化之發(fā)展。另外，歐盟也與時俱進地進行行政和司法救濟的制度改革，GDPR賦予個人信息主體行政救濟或者司法救濟的雙重路徑選擇，擴寬訴訟主體的原告適格條件，允許數(shù)據(jù)主體將相關(guān)的訴訟權(quán)利委托給公益組織代為進行維權(quán)。在立法上進行柔性限制的同時，歐盟還加重制裁力度，以達成對于受害者的補救和對于侵權(quán)者的懲罰，使得法律具有威懾性。但是，在另一個方面，歐盟GDPR這種嚴格而又自洽的保護體系也存在一些問題。雖然有各種原則和例外構(gòu)成對個人信息跨境流動的充分保護，但是此種限制同時也會極大限制個人信息的跨境流動，畢竟歐盟法律上對行為要件的該當性都達到事無巨細的程度，實際上造成數(shù)據(jù)流動的阻礙，恐無益于國際互聯(lián)網(wǎng)技術(shù)之發(fā)展與革新，有加劇“數(shù)據(jù)鴻溝”之嫌。總之，GDPR雖有許多例外的柔性措施，但總體上歐盟對于個人信息跨境流動依舊是限制重重。

（二）美國實踐：多元的自由

美國對于個人信息跨境流動法律政策主要采取數(shù)據(jù)自由主義的理念，其在立法政策中體現(xiàn)了商業(yè)利益優(yōu)先的價值取向。因此，相對于歐盟嚴格的個人信息跨境流動的限制，美國則更傾向于由市場進行自我調(diào)節(jié)。由此，美國迄今為止并無一部對個人信息進行規(guī)制的法律，行業(yè)的規(guī)范也較為寬松，個人信息跨境流動最為自由。但是，自由并不意味著全然由行業(yè)自律。對于涉及個人隱私的個人信息方面，美國依舊相當重視。在立法上，美國在《聯(lián)邦貿(mào)易委員會法》中的商業(yè)詐欺部分規(guī)定了對于個人信息的保護，同時又以國家安全為由，要求用戶的通訊信息只能存儲于美國本土；對于一些高新技術(shù)、金融以及醫(yī)療行業(yè)的個人信息，美國對其施行嚴格的備案或者許可證的制度。[23]由此，美國所謂的自由，其實是一種透過多元限制實現(xiàn)的不完全的自由，亦即通過專門性規(guī)定嚴格限制部分個人信息的流動，但是在總體上予以自由流動的權(quán)限。美國的這種立法，雖然沒有統(tǒng)一的法律進行限制，但這種分散的方式卻能夠最有效地解決個人信息跨境流動的具體問題。且美國語境下的個人信息是隱私權(quán)的下位概念，甚至認為對于個人信息的侵害其實本質(zhì)是對于個人名譽的侵害，[24]而美國對于隱私權(quán)的保護具有相對完善的法律規(guī)制，故而似乎也不必再進行統(tǒng)一的個人信息的立法規(guī)制。且立足于美國本身的技術(shù)優(yōu)勢，也只有通過數(shù)據(jù)自由主義的立法方式，才能繼續(xù)維持競爭優(yōu)勢，不斷壯大美國信息技術(shù)公司與互聯(lián)網(wǎng)公司，擴寬其在全世界的業(yè)務(wù)。當然，隨著個人信息保護的愈加重視，美國一些州通過了州法案加強個人信息流動的限制，而在聯(lián)邦層面，雖然有“互聯(lián)網(wǎng)權(quán)利法案”被提出，但是目前并無聯(lián)邦層面的個人信息規(guī)制的立法。

美國在這種數(shù)據(jù)自由主義下，對于國內(nèi)采取分散專門立法方式以謀求商業(yè)自由與國家監(jiān)管之統(tǒng)一；但是對外，則是通過各種國家間協(xié)議實現(xiàn)個人信息跨境流動之自由，以消弭與其他國家之間對于個人信息保護之差異。在2000年，美國就與歐盟達成了《安全港協(xié)議》（U.S.-EU Safe Harbor Framework Documents），相關(guān)企業(yè)可以權(quán)衡自己數(shù)據(jù)流動的需要以及《安全港協(xié)議》的約束而加入《安全港協(xié)議》，由此避開歐盟嚴格的法律監(jiān)管；同時告知企業(yè)，若未向美國商務(wù)部提供企業(yè)隱私政策以及報告，則會面臨美國商業(yè)欺詐的指控。因此，大量美國公司加入了安全港協(xié)議，但是其目的并非加強保護個人信息，而是以此逃避歐盟的管轄而遠離個人信息糾紛。這種協(xié)調(diào)兩個經(jīng)濟體之間個人信息保護沖突的協(xié)議，最后于2015年被歐盟法院認定為無效，失去其合法性。[25]之后，美國與歐盟又于2016年達成了《隱私盾協(xié)議》（The EU-U.S.Privacy Shield Framework）以作為《安全港協(xié)議》的替代品，但是要求遠高于前者，不僅僅繼承了原來知情、選擇、轉(zhuǎn)移、安全、數(shù)據(jù)完整、訪問、執(zhí)行等原則的要求，更是加強了救濟的方式——美國商務(wù)部檢舉與仲裁，同時還對美國政府訪問個人信息進行了限制。總之，《隱私盾協(xié)議》本質(zhì)上是一種強調(diào)事后問責的協(xié)議，其第一目的為落實美國一向倡導(dǎo)的數(shù)據(jù)自由主義——數(shù)據(jù)自由流動也成為其首要目標。諷刺的是，《隱私盾協(xié)議》已于2020年7月16日被歐盟法院(ECJ)以不符合歐盟相關(guān)法規(guī)為由，裁決該協(xié)定無效。

美國作為世界上的科技強國，主要通過“行業(yè)自律”與“事后問責”之方式進行個人信息跨境流動的規(guī)制。美國這種行業(yè)自律的國內(nèi)法規(guī)制，體現(xiàn)了美國國內(nèi)企業(yè)在相關(guān)市場中自我調(diào)節(jié)規(guī)則的成熟性，有利于提升企業(yè)對于數(shù)據(jù)的利用效率，使其創(chuàng)造更大經(jīng)濟利益。雖然其國內(nèi)并無統(tǒng)一的法律，但是散布于各個專門法律與規(guī)定中的個人信息規(guī)制足以保障美國的個人信息安全，同時也更有利于鼓勵行業(yè)發(fā)展。在看似分散的立法當中，美國其實一直主張著一個核心價值——個人信息自由流動，因其更能夠帶來經(jīng)濟效益，更有利于鞏固美國信息領(lǐng)域的霸權(quán)地位。但是，美國這種分散立法的方式弊端在于，各種碎片化的立法，容易有重合或者疏忽之處而造成重復(fù)規(guī)定或者規(guī)制空缺。即使與他國簽訂的國際條約，也僅僅注重如何加強個人信息跨境流動之自由、降低他國的政策限制，皆是為美國的國家利益考量。總之，這種美國法律規(guī)制之模式，是建立在美國信息霸權(quán)地位的基礎(chǔ)上，在個人信息跨境自由流動法律規(guī)制的背后，更多考慮的是其所帶來的經(jīng)濟價值，并未在倫理道德以及風險上給予足夠的重視。

三、本土進路：網(wǎng)絡(luò)主權(quán)背景下之法律規(guī)制

在面對紛繁復(fù)雜的國際比較法經(jīng)驗，我國究竟是采取歐盟的數(shù)據(jù)主權(quán)主義抑或美國的數(shù)據(jù)自由主義，一切皆需結(jié)合本國國情進行考量。我國已經(jīng)在2016年通過《網(wǎng)絡(luò)安全法》，建立了個人信息跨境流動的安全評估機制，[26]要求對于重要數(shù)據(jù)——影響國家安全和社會公共利益的數(shù)據(jù)，都應(yīng)該進行安全評估。同時，在個人信息跨境流動方面，簽署了APEC隱私保護框架（APEC Privacy Framework 2005），在立法、執(zhí)法、司法方面都在滿足其規(guī)定的個人信息跨境流動規(guī)制的最低要求。但是，隨著國家工業(yè)智能化推進，AI、大數(shù)據(jù)、云計算、區(qū)塊鏈產(chǎn)業(yè)的高速發(fā)展，一帶一路建設(shè)的不斷推進，僅僅依靠這些最基礎(chǔ)的法律規(guī)制還遠遠不夠。因此，本文認為，需要在理念上、立法上、救濟上進行更深層次的探討，結(jié)合《個人信息保護法（草案）》，①《中華人民共和國個人信息保護法（草案）》立法動態(tài)如下：2020年10月13日，提請全國人大常委會初次審議，同年10月21日公布并公開征求社會公眾意見；目前，該法草案已于2021年4月26日至29日由全國人大常委會對其完成二次審議的立法工作，并且于4月29日正式發(fā)布征求意見。探尋建設(shè)中國特色社會主義的個人信息跨境流動之法律規(guī)制的本土進路。

（一）理念：網(wǎng)絡(luò)主權(quán)

我國對于個人信息跨境流動之理念，并非基于傳統(tǒng)的數(shù)據(jù)主權(quán)，而是一種中國式的網(wǎng)絡(luò)主權(quán)。所謂的網(wǎng)絡(luò)主權(quán)，指國家應(yīng)該在本國網(wǎng)絡(luò)空間內(nèi)享有排他性的管轄權(quán)。而在我國語境下的網(wǎng)絡(luò)主權(quán)，不是單純的網(wǎng)絡(luò)技術(shù)主義，而具有網(wǎng)絡(luò)技術(shù)下承載國家利益與權(quán)力干預(yù)的內(nèi)涵。故而，在這種理念下，我們強調(diào)國家對于互聯(lián)網(wǎng)內(nèi)部治理與互聯(lián)網(wǎng)國際合作相結(jié)合——即習近平總書記所說的“尊重網(wǎng)絡(luò)主權(quán)、維護和平安全、促進開放合作、構(gòu)建良好秩序”的思想原則，其中包括獨立權(quán)、管轄權(quán)、防衛(wèi)權(quán)和平等權(quán)等內(nèi)容。[27]我國的網(wǎng)絡(luò)主權(quán)不同于威斯特伐利亞主權(quán)，而是一種相互依賴的主權(quán)，在互相尊重各自網(wǎng)絡(luò)主權(quán)的前提下，在物理層面進行傳統(tǒng)主權(quán)管制，在邏輯層合作治理，在內(nèi)容層面相互協(xié)調(diào)。[28]故而，我國采取之理念不同于美國的數(shù)據(jù)自由主義，也非歐盟的數(shù)據(jù)主權(quán)主義，而是一種符合中國國情的“網(wǎng)絡(luò)主權(quán)”主義。我國的網(wǎng)絡(luò)主權(quán)在相互尊重主權(quán)的基礎(chǔ)上，更加強調(diào)國際合作互助，協(xié)調(diào)共贏。因此，在這種理念上，我國對于個人信息保護采取重要性原則，即對主權(quán)而言具有重要性的個人信息限制跨境流動，而對于非重要的個人信息允許其跨境自由流動。這種理念使得我們較之歐盟模式更加寬松、而較之美國模式更加嚴格，這是一種符合我國處于發(fā)展中國家的基本國情的選擇，即基于經(jīng)濟建設(shè)需要，在不損害網(wǎng)絡(luò)主權(quán)的前提下，最大程度允許個人信息跨境流動。

總之，我國的網(wǎng)絡(luò)主權(quán)本質(zhì)上為一種修正式的數(shù)據(jù)主權(quán)，但并不只是單純強調(diào)國家主權(quán)，而是在國家主權(quán)的基礎(chǔ)上強調(diào)利益方共同治理。因為網(wǎng)絡(luò)空間本身需要現(xiàn)實空間作為支撐，網(wǎng)絡(luò)物理層當然為國家領(lǐng)土之一部分，基于領(lǐng)土的國家管轄權(quán)而享有網(wǎng)絡(luò)主權(quán)已成為國際共識。我國在數(shù)據(jù)主權(quán)所具有的領(lǐng)土主權(quán)延伸性、數(shù)據(jù)世界獨立性的兩重屬性中，[29]結(jié)合本國基本國情而選擇修正后的中國式網(wǎng)絡(luò)主權(quán)之理念，主要是基于大數(shù)據(jù)國家戰(zhàn)略與互聯(lián)網(wǎng)行業(yè)發(fā)展的考量：一方面，互聯(lián)網(wǎng)和大數(shù)據(jù)之發(fā)展需要個人信息跨境流動，因此不能完全遵循數(shù)據(jù)本地化之防御性的政策，而我國在部分互聯(lián)網(wǎng)技術(shù)上具有優(yōu)勢地位，需要更加開放的政策促進相關(guān)行業(yè)參與全球化的競爭；另一方面，我國的網(wǎng)絡(luò)主權(quán)理念亦重視個人信息的保護，倡導(dǎo)一種健康、可持續(xù)的網(wǎng)絡(luò)空間治理，尊重個人信息的私法屬性并對其進行保護，這也是與其他高保護標準的國家進行關(guān)于個人信息跨境流動的雙邊或多邊協(xié)議談判時，雙方進行協(xié)商合作的理念基礎(chǔ)。

（二）立法：統(tǒng)一法律

我國不同于美國這種技術(shù)強國，后者在技術(shù)上具有絕對優(yōu)勢，相關(guān)行業(yè)較為成熟且行業(yè)自律體系完善，在法律上分散立法符合國家發(fā)展之需求。相反，我國行業(yè)自律的體系還遠遠沒有完善，且目前執(zhí)法、司法仍不夠成熟。因此，本文認為，在立法上我們需要參考歐盟立法體系，在法律規(guī)制上主要采立法保護型，而非美國的事后問責型。個人信息保護的基礎(chǔ)主要有民法權(quán)利體系說（人格權(quán)說、隱私權(quán)說）、信息獨立體系說（以信息自決權(quán)說為主）等等多方面的理論支撐。[30]美國主流觀點認為個人信息屬于隱私權(quán)，而我國民法典明確認為其屬于一種獨立的人格權(quán)，由此看來，我國個人信息保護法律與歐盟的主流觀點較為相近。他山之石，可以攻玉，基于上述背景，我們可以借鑒歐盟經(jīng)驗，探索建立統(tǒng)一的個人信息保護法律體系，以在行業(yè)高速發(fā)展之中保護公民個人信息權(quán)利，使得大數(shù)據(jù)產(chǎn)業(yè)安全、可控。同時，統(tǒng)一立法的立法模式也是符合我國國情的個人信息保護立法方式。一方面，面對復(fù)雜的個人信息保護，統(tǒng)一立法有利于明確權(quán)責，處理個人信息時哪些行為需要限制、限定哪些主體、哪些主管部門有監(jiān)管與制裁職權(quán)予以確定。而且，相對于行業(yè)自律，統(tǒng)一的立法可以提高違法成本，更有利于打擊不法行為，提高法律威懾力。由此需要制定《個人信息保護法》也幾乎成為學界的共識，許多專家都提出草案建議。[31]因此，未來完善個人信息跨境流動之法律規(guī)制，需要在立法上制定統(tǒng)一的個人信息保護法已然明確，這也是我國社會之共識。

隨著信息化社會與數(shù)字時代的發(fā)展，我國正積極推進統(tǒng)一立法工作，《個人信息保護法（草案）》已經(jīng)在提請全國人大常委會進行審議，[32]目前已經(jīng)完成第二次審議工作。[33]依照我國立法法的規(guī)定，立法實質(zhì)性審議是三次審議，下一次審議將可能正式完成該項立法工作。草案第13條至28條，確立了符合我國國情的以“告知—同意”為核心的個人信息處理之規(guī)則體系；對于跨境流動之規(guī)制則主要由第三章進行規(guī)定，在草案第38條至43條中，確立了更為嚴格的“告知—同意”要求、安全評估規(guī)定、國際對等原則。未來，在全國人大常委會通過《個人信息保護法》之后，亦可借鑒美國分散式專門立法的經(jīng)驗，落實對統(tǒng)一法律進行精細化解釋與適用的工作，對于跨境流動的個人信息進行必要的分類，根據(jù)個人信息所屬的不同類別而給予不同程度的監(jiān)管。例如，跨境流動的個人信息可能涉及醫(yī)療衛(wèi)生、金融投資、跨境購物等等，醫(yī)療衛(wèi)生個人信息因為與隱私權(quán)聯(lián)系最為緊密，故而相較其他應(yīng)當給予更為嚴格的跨境流動的法律規(guī)制。這些細化規(guī)制的工作，有待未來隨著該法的實踐而不斷修訂完善。

（三）救濟：長臂管轄

歐美的經(jīng)驗表明，個人信息跨境流動法律規(guī)制需要注重個人信息保護的救濟途徑多元化與實效性，我國也應(yīng)積極探索對于受害者高效便利的救濟方式。其中，我們需要構(gòu)建多元法律責任協(xié)調(diào)機制，協(xié)調(diào)民法、刑法、行政法責任機制，落實對個人信息的國家保護義務(wù)。[34]同時，在立法上明確救濟手段，可以參考歐盟允許當事人選擇行政、司法雙重救濟的經(jīng)驗，構(gòu)建我國受害者行政——司法雙軌制的救濟體系。同時，為了有效維護個人信息的跨境流動，在救濟管轄權(quán)方面，我們應(yīng)該參考歐盟GDPR中擴大原條例規(guī)制對象的方式，抑或參考美國的長臂管轄權(quán)制度。所謂長臂管轄，即立法、執(zhí)法或者司法對于域外之事項具有管轄權(quán)，起源于美國為解決民商事與刑事之州際問題而不斷在域外進行立法與執(zhí)法之管轄權(quán)擴張。[35]此種管轄權(quán)與他國主權(quán)之間存在張力。但是，個人信息跨境流動本身就是一個國際問題，加強本國個人信息跨境流動之法律規(guī)制，需要達到實效也必須要對這些個人信息使用者或者收集者具有管轄權(quán)。且歐盟GDPR對于個人信息跨境流動亦施行長臂管轄，其經(jīng)驗表明，喪失對于本國數(shù)據(jù)的控制力往往意味著獨立自主和安全之威脅，且GDPR嚴格的義務(wù)規(guī)定并非防范侵權(quán)事件，而更多是為了防止美國等技術(shù)強國利用數(shù)據(jù)優(yōu)勢，威脅國家安全與主權(quán)獨立，故此舉具有全球性的戰(zhàn)略意義。[36]我國與歐盟在技術(shù)上較美國而言皆為弱勢，因此對個人信息跨境流動施行長臂管轄亦有相似之國家利益需求，故而可借鑒歐盟經(jīng)驗進行制度建設(shè)。因此，我國在規(guī)制跨境信息自由流動上應(yīng)該加強國際合作，簽訂多邊合作協(xié)議，相對柔性地進行長臂管轄，以期在尊重他國網(wǎng)絡(luò)主權(quán)的前提下，能夠最大限度地為受害者提供行政或司法的救濟。事實上，個人信息法域外效力擴張也已經(jīng)成為國際立法之主流，我們也需要化被動為主動，在遵循國際禮讓的原則下，推進域外立法、執(zhí)法、司法管轄，積極構(gòu)建全球性的網(wǎng)絡(luò)空間命運共同體。[37]

在草案當中，我國在加大懲罰力度的同時，也完善了個人信息保護之救濟體系。草案第69條①《個人信息保護法（草案）》第69條規(guī)定：個人信息處理者違反本法規(guī)定處理個人信息，侵害眾多個人的權(quán)益的，人民檢察院、履行個人信息保護職責的部門和國家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟。規(guī)定了對于侵害個人信息可以進行民事訴訟以及公益訴訟。尤其是公益訴訟制度，可以與民事訴訟法第55條關(guān)于民事公益訴訟之內(nèi)容相銜接，創(chuàng)造性地構(gòu)建個人信息公益訴訟制度。個人信息公益訴訟制度結(jié)合了我國公益訴訟之發(fā)展，試圖以理性消除制度之惡、以個案消除制度上之不公，嘗試建立一個正義或者接近正義的社會制度。[38]只是對于法案中所提及之“個人信息保護職責的部門”以及“國家網(wǎng)信部門確定的組織”需要未來通過立法或者司法解釋進一步明確。同時，在管轄方面，草案采取較為克制而柔性的立法方式——必要的域外適用，在草案第3條②《個人信息保護法（草案）》第3條規(guī)定：組織、個人在中華人民共和國境內(nèi)處理自然人個人信息的活動，適用本法。在中華人民共和國境外處理中華人民共和國境內(nèi)自然人個人信息的活動，有下列情形之一的，也適用本法：（一）以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的；（二）為分析、評估境內(nèi)自然人的行為；（三）法律、行政法規(guī)規(guī)定的其他情形。、第53條之中規(guī)定，在遵守傳統(tǒng)的屬地管轄的一般原則下，對于“向境內(nèi)自然人提供產(chǎn)品或服務(wù)”“分析境內(nèi)自然人的行為”“其他法律規(guī)定的情形”三種情況進行必要的域外適用。此種管轄規(guī)定，主要為了落實立法目的，對于自然人的個人信息權(quán)益加強保護，同時又兼顧了數(shù)據(jù)流動之需求。相對于歐盟GDPR之適用范圍，我國采取了較為克制的域外適用以符合網(wǎng)絡(luò)主權(quán)相互尊重的要求，為未來國際之協(xié)商對話打造了良好的國內(nèi)法基礎(chǔ)。同時，救濟制度的完善，與個人信息跨境流動問題一樣具有國際性。未來，我國有必要積極參與個人信息跨境流動國際法律救濟的建設(shè)。具體而言，可以通過國際軟法、雙邊或多邊條約等方式，積極參與國際層面的救濟體系之建構(gòu)與完善。

四、結(jié)語

總之，個人信息跨境流動的法律規(guī)制，應(yīng)當在內(nèi)外法律聯(lián)動的框架下進行。因為，這不僅僅是國內(nèi)法問題，也是國際法問題；特別是個人信息作為虛擬空間物質(zhì)基礎(chǔ)，其所在的虛擬空間本就有消除邊境的特征，因此更加需要加強國際之間的協(xié)調(diào)與合作。歐盟與美國根據(jù)自己的情況采取不同的理念，對于個人信息跨境流動的法律規(guī)制體系也不相同。對于這些域外的經(jīng)驗——我們應(yīng)該辯證地審視，在充分辨析其優(yōu)劣得失之后，結(jié)合本國的基本國情進行選擇性借鑒，以實現(xiàn)本土化的個人信息跨境流動法律規(guī)制之完善。

而我國目前相關(guān)的法律規(guī)制仍然處于發(fā)展階段，在堅持習近平總書記的網(wǎng)絡(luò)主權(quán)的理念下，我們還需要積極推進相關(guān)立法、司法與執(zhí)法體系的協(xié)調(diào)與完善。當前，《個人信息保護法（草案）》已經(jīng)公布，我國跨出了加強個人信息跨境流動之法律規(guī)制最重要的一步，而未來的重點則是需要對草案中的內(nèi)容進行精細化之解釋；在完善國內(nèi)法制建設(shè)的同時，也需要積極進行國際協(xié)商與合作，為國際層面法律規(guī)制的發(fā)展做出中國貢獻。個人信息跨境流動之法律規(guī)制，涉及國家安全、個人人格權(quán)、經(jīng)濟發(fā)展等諸多問題，[39]我國又是最大的發(fā)展中國家，對于這三者需要進行綜合考量。因此，我國需要結(jié)合數(shù)字經(jīng)濟發(fā)展的現(xiàn)實與法律體系的特點，積極推進法律制度的建設(shè)，積極加強國際合作交流，在個人信息跨境流動法律規(guī)制中探尋平衡數(shù)據(jù)主權(quán)主義與數(shù)據(jù)自由主義的中國方案。