我國個人數據跨境流動法律規制現狀與完善

郜珍珍

摘 要：數據的跨境流動是經濟全球化的重要體現，個人數據的跨境流動涉及個人隱私保護、國家安全及公共利益等問題，如何平衡個人數據流動中個人隱私保護、國家安全及企業發展三者之間的關系，是個人數據跨境流動法律規制的重要內容。當前，我國在個人數據跨境流動法律規制層面存在缺乏統一的數據監管機構、個人數據跨境分類方式單一以及敏感個人數據跨境規則的缺失等問題，本文對此做詳細分析并提出相應的完善策略。

關鍵詞：個人數據；跨境流動；法律規制

一、我國個人數據跨境流動法律規制現狀

從我國對個人數據跨境流動的法律規定層面來看。目前我國對于個人數據跨境流動并未形成統一立法，相關法律規制多散見于網絡安全保護、數據安全保護、個人信息保護以及出境安全評估等法律規則之中。例如，基于網絡安全保護，我國2022年正式實施的《網絡安全審查辦法》規定了基于網絡安全風險防范，對關鍵信息基礎設施運營者和網絡平臺運營者的數據處理活動的安全性應予以審查；基于網絡數據保護，2021年的《數據安全法》對境內網絡數據相關活動以及數據出境行為安全評估的細化規定；基于個人信息保護，2021年的《網絡數據安全管理條例（征求意見稿）》對數據跨境評估做了詳細規定；基于出境安全評估，2021年《數據出境安全評估辦法（征求意見稿）》細化了個人數據和重要數據跨境流動的安全評估方法。以上基于個人數據跨境流動的法律規定都是在國家安全保護前提下制定的跨境流動框架，旨在減少個人數據跨境流動帶來的網絡安全和國家安全風險，隨著一系列相關法律的實施、修訂與完善，凸顯了我國以國家安全為基礎的個人信息保護法律體系正趨于完善

從我國對個人數據跨境流動的具體制度層面來看。目前國際上缺乏統一的個人數據跨境流動規則，為維護國家安全和網絡安全，我國通過一系列的法律制度來強化對個人跨境數據的監管力度。主要表現在以下幾個方面：首先是數據本地化制度。該制度規定了網絡運營者在我國境內收集的個人網絡數據應保存在我國境內，其中重要數據、敏感數據、核心數據、涉及國家機密的數據都應存儲在境內；其次是出境安全評估制度。該制度是在數據本地化制度基礎上的一種變通，主要是針對數據本地化制度范圍內的一些特殊情形的制度規定，即雖然應遵循數據本地化制度，但是對于符合條件的主體可以采用出境安全評估制度向境外提供個人數據；第三是網絡安全審查制度。網絡安全審查制度主要是作為數據跨境安全的一種預防程序，其作用在于針對數據跨境前的安全風險防范及數據安全監管和安全保護具體舉措。

二、我國個人數據跨境流動法律規制存在的主要問題

（一）未建立統一的數據監管機構

雖然我國對個人數據的跨境流動采取了統一的監管方式，但是并未形成統一的數據監管機構，現行監管工作主要是由國家網信部門及相關監管部門負責監督管理。統一的數據監管機構的缺失導致個人數據在安全評估的組織方面存在相互矛盾的情形，嚴重影響個人信息評估工作的開展。除此之外，在具體的實施中也存在一定的矛盾之處，例如統一的數據監管機構的缺失導致跨境場景及行業特殊風險無法有效推進，且在安全評估實施主體上各法律條例也存在不同規定，《管理條例》規定的實施主體是行業主管部門，《管理辦法》規定的實施主體是網絡運營者，《個人信息保護法》則要求單獨成立獨立機構，由此導致網絡運營者或企業面臨多頭部門管理的窘境。

（二）個人數據跨境分類方式單一

就目前我國個人數據跨境分類方式而言，雖然具備了初步的分類處理機制，但是分類標準過于單一。我國對個人數據的劃分是基于其對國家安全影響的重要程度而言的，從廣義上將其分為一般數據、重要數據和核心數據并對其分別采取了不同的保護措施；從狹義上將其分為與個人有關的數據，與重要數據、核心數據等涉及國家安全和社會公共利益的數據，其中個人信息又分為一般信息和敏感信息等兩種類別。不管是何種分類方式均是對個人數據信息進行分類從而配置了不同的處理和監管規則。就目前而言，各相關條例多是以個人信息數量作為判別數據風險的依據，缺乏對跨境場景切換的頻繁性和即時性的考量，由此導致諸多不確定性因素的增加，除了企業要承擔數據風險責任以外，對國家安全也存在一定的風險。

（三）敏感個人數據跨境規則的缺失

當前我國逐步完善了個人數據跨境的分級分類保護，但是對于個人敏感信息跨境規則仍處于缺失狀態，個人敏感信息的泄露輕則會導致個人人格、人身和財產安全受到侵害，重則可能危及國家信息安全。我國《個人信息保護法》對個人信息敏感性提出了劃分規則，但是在二者的跨境規則上并未明確規定，同時對于跨境提供敏感信息的范圍也未進行明確規定，由此可能會導致個人向境外傳輸自己或他人的敏感個人信息，雖然并不滿足《數據出境安全評估辦法（征求意見稿）》的規定量級，但是卻存在引發國家安全或數據信息風險泄露的可能。因此，敏感個人數據跨境規則的缺失將會導致數據跨境規則適用存在不確定性風險。

三、我國個人數據跨境流動法律規制的完善

（一）設置獨立的數據監管機構

《個人信息保護法》提出了對個人數據信息的跨境流動應成立獨立機構予以監管，這在一定程度上避免了網絡運營者或企業面臨多頭部門管理的窘境，但是由于缺乏相對應的懲罰制度，由此可能會導致其實際的實施效果難以達到預期。基于此，可參考美國的“隱私規則體系”，在此基礎上結合我國實際情況予以優化，同時設置個人數據保護專業管理人員，全面負責企業對個人信息的侵犯以及個人信息數據的法律保護等內容。在此基礎上個人數據保護專業管理人員還應該承擔起不同類型的個人數據安全評估工作，重點對個人信息跨境流動規則的漏洞進行完善，從而確保企業能遵循個人信息保護的法律要求，進而實現個人隱私保護與數據跨境自由的價值的平衡。

（二）跨境數據流動的分類監管

對于個人數據的跨境流動而言，針對不同數據的風險類型應采用不同的風險評估方式和評估標準，可基于跨境場景的角度對個人數據信息進行細化，確保個人敏感數據和重要數據能得到相應的評估與監管。在具體實施上，可對個人數據進行動態化的監管，應根據不同的場景分析其經過數據加工后是否涉及到個人敏感數據和國家信息的可能性，在對個人數據信息進行分類監管的過程中，同時還應該考慮個人數據泄露導致的風險，這就要求數據處理者需要承擔相應的跨境擔保責任，因此，跨境數據流動的分類監管應結合我國的實際情況靈活處理。

（三）制定敏感個人數據跨境規則

針對個人數據信息的敏感度的差異，對其保護和監督的層級也存在不同。由于個人敏感信息存在較大的不確定性，且其存在特定情境下發生數據性質轉換的可能性，即敏感個人數據也可能會在特定情境下轉換為重要數據甚至是核心數據，因此，出于平衡個人數據信息權益、數據信息流動及國家安全的目的，應盡快制定專門針對敏感個人數據的跨境規則。例如，當敏感個人數據可能會在特定場景中轉換為重要數據甚至是核心數據時，出于國家安全方面考量應禁止此類信息出境，對于不涉及國家安全信息的個人敏感數據則可通過強化監管后出境，最大化預防風險的發生。

參考文獻：

[1]劉明奎.數據安全視野下中國數據跨境流動的穩慎因應[J].北方論叢，2022（06）：97-108.

[2]陳思，馬其家.數據跨境流動監管協調的中國路徑[J].中國流通經濟，2022，36（09）：116-126.

[3]高敏涵. 個人數據跨境流動的法律規制問題研究[D].外交學院，2022.