跨境電商中個人信息安全的法律問題研究

向泓靜 袁振華

（四川外國語大學國際法學與社會學院,重慶 400031）

跨境電子商務已成為貿易產業鏈的重要組成部分，推動著數字貿易和經濟全球化的發展。我國是全球最大的B2C跨境電商交易市場，《中國電子商務報告（2021）》顯示，在國務院相關政策的支持下，我國電商“朋友圈”進一步擴大，跨境電商進出口規模約1.92萬億元，同比增長18.6%，持續優化了全球供應鏈。但隨著大數據、云計算等信息技術的發展，跨境電子商務中的個人信息保護持續受到沖擊；個人信息的泄露和非法使用不僅關系到消費者的個人安全，還關系到貿易的健康發展和國家的數據主權。當前全球線上消費快速增長，為我國制造業帶來品牌出海機會的同時，也帶來了個人信息保護的挑戰，希望通過本文為我國完善跨境電商個人信息保護體系提供有效建議，推動我國跨境電子商務高質量發展。

1 跨境電商背景下個人信息保護概述

1.1 個人信息的概述

個人信息與人身、財產安全息息相關，尤其在進入大數據時代后，賦予了個人信息更高的商業價值，而跨境電商規模的擴大和環節的復雜性，給個人信息主體乃至國際社會帶來了風險和挑戰。合理使用個人信息對于個人、企業、政府都具有積極的意義，不恰當地濫用個人信息則會造成巨大的損害

1.1.1 個人信息的概念

“個人信息”在《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）中定義為“以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息”①。

對于個人信息和個人數據的區分，在我國學術界尚存在爭議，一部分學者認為個人信息不等于個人數據，數據是表現形式，具有客觀性；信息是其反映的內容，具有主觀性，對應的內容和主體不同，因此可以說信息是經過加工后的數據[1]。還有一部分學者認為兩者之間沒有本質區別，在大數據時代，數據早已不再是單純的信息載體，數據本身就是具體的信息。而本文所探討的個人信息保護，保護的對象就是信息或數據所承載的人格、財產利益，只是在不同的應用場景中個人信息和個人數據強調的側重點不同，但在法學保護角度兩者幾乎可以等同。筆者贊同第二種觀點，認為“數據”和“信息”雖然表面上是形式和內容的關系，在互聯網專業領域中也具有差別，但是其在法律領域的定義中具有一致性，尤其是在跨境電商背景下，并未對信息和數據作實質區分，因此為方便研究，本文不對“個人信息”“個人數據”作區分。

1.1.2 個人信息的特征

個人信息的特征直接或間接地反映了其價值，總結個人信息的特征不僅能對個人信息有進一步的認識，還有助于個人信息保護的研究。

（1）可識別性。

這是個人信息最本質的特征。可識別性分為直接識別和間接識別，直接識別指通過信息直接鎖定到特定個人，間接識別指需通過與其他信息結合才能識別出特定個人。

（2）關聯性。

關聯性體現在從個人層面到信息層面，指特定個人在其活動中產生的各種信息，如通話信息、行蹤軌跡信息、精準定位信息、住宿信息等。這些信息離開了信息主體的歸屬后可能并不會產生影響，一旦和主體對應后便會產生巨大的商業價值，比如大數據殺熟，信息收集者會先鎖定到特定個體，再運用cookies技術追蹤、分析用戶的瀏覽、購買記錄，描繪用戶個人圖像，以提供精準服務。

（3）無體性。

個人信息的無體性體現在其有內在含義但沒有外在形狀，不同于民法中可以直接支配的客體，個人信息需要依附一定的介質才能被復制、傳播，如《個人信息保護法》對于個人信息的概念所述，個人信息必須以電子等一定的方式得以固定，因此法律并不要求對其進行支配性控制，而是通過收集、存儲、加工等形式實現對信息的管理[2]。

（4）價值性。

政府通過對個人信息的大量收集、使用，可以更加高效率地進行公共管理，出臺相應的政策精準解決問題，使人民受益；企業通過個人信息的大量收集、使用，建立信息庫，在互聯網技術的幫助下給使用者帶來個性化的服務，產生巨大的商業價值[3]。

1.2 跨境電商對個人信息保護的影響

1.2.1 對傳統法律管轄理論的沖擊

在跨境電商的環境下，傳統法律管轄中的屬地管轄、屬人管轄原則得到了一定的拓展。其一，屬地管轄。在電子商務領域中，通常會以地域作為法律管轄權的依據，例如經營者所在地或者消費者所在地，以及因進入互聯網時代而設立的設備所在地管轄理論[4]。雖然在一般情況下電商平臺企業會將企業信息公開，并且通過技術追蹤也可以確定商家、服務器所在地，但互聯網的虛擬性、無邊界性以及技術的不斷發展使地域認定充滿了不確定性。其二，屬人管轄又稱國籍管轄，即基于個人信息本身，當一個國家將個人信息輸出至另一個國家，需繼續受到該輸出國的管轄，理論上是對法律境外管轄權的拓展，大部分國家不愿接受這種“屬人管轄”原則，這意味著本國企業要受他國法律約束，對本國企業無益，并且這種管轄權的延伸會與他國管轄權產生沖突，難以解決。

1.2.2 各國規制體系不同且國際無統一法律和慣例

許多國家都進行了個人信息保護立法，但是各國的規制體系及其嚴格程度各不相同，尤其是跨境電商作為國際貿易的一種形式，其環節會涉及政治、行政管理、海關等方面，不同的價值取向和規制體系可能會對個人信息主體的權益、國家數據主權、本國數字貿易發展帶來影響。不同國家、地區對于個人信息跨境傳輸規定的內容和嚴格程度并不相同，而目前國際上沒有統一的法律和國際慣例來規制，這使得跨境個人信息保護困難重重。

2 我國對于跨境電商中個人信息保護的現狀及困境

當前我國對于跨境電商中個人信息保護有較為系統的立法體系，在立法的基礎上，通過各行業協會的領頭和第三方認證機構的設立，形成行業自律機制，共同保護個人信息。

2.1 立法現狀

當前，我國個人信息的法律保護體系由法律、司法解釋、部門規章及相應指導性文件構成。2021年施行的《個人信息保護法》是我國首部關于個人信息保護的專門立法，在此之前是分散在《中華人民共和國刑法》《中華人民共和國民法典》《中華人民共和國電子商務法》等部門法的規定中，因此自該法頒布以后我國便開始形成了體系化的個人信息保護制度。

《個人信息保護法》是我國首部專門規制個人信息保護的法律，在個人信息保護的法律體系中占據重要地位，該法明確了個人信息、個人敏感信息的定義，收集、處理、跨境提供個人信息時應當遵循的原則，以及適用本法的情形。

在行政規章層面，《數據出境安全評估辦法》填補了我國對于數據出境管理方面的規定，該辦法規定了其適用情形、數據出境前評估的內容、主體、需提交的材料、數據處理者的義務等。

2.2 行業自律

我國關于個人信息保護的行業自律體系主要是在中國互聯網協會、中國消費者協會、中國電子商務協會、中國網絡空間安全協會和第三方認證機構的參與下形成的，是在行業協會組織的引領下于內部制定規范進行自我約束的一種體系。相關協會發布倡議書和公約，引導企業嚴格遵守國家有關法律法規、政策和標準，加強行業自律，促進行業持續、健康、有序的發展。因為是由行業協會組織制定，規范的內容并無法律強制力，更多的是倡導性條款；但和立法相比，行業自律規范具有更強的靈活性，可以根據各行業的特點和發展趨勢制定出最適合本行業的個人信息保護方面的規定。

2.3 存在的問題和面臨的困境

2.3.1 部門保護職責有交叉和沖突的可能

《個人信息保護法》第六章中規定了履行個人信息保護職責的部門，但只對國家網信部門的統籌協調工作做了較為詳細的闡述；而對國務院有關部門、縣級以上地方人民政府及其有關部門的職責規定較為模糊，僅規定“依照本法和有關法律、行政法規的規定，在各自職責范圍內負責個人信息保護和監督管理工作”“按照國家有關規定確定”。在第六十一條中用概括和兜底的方式列舉了履行個人信息保護職責部門的職責，并未對主體和職責做更細的劃分，這意味著當其他法律、行政法規對行政機關的個人信息保護職責有規定時，該機關同樣也擁有個人信息保護領域的執法權，且可能擁有相同的保護、監督職責。雖然網信部門會負責統籌協調保護監管工作，但統籌協調畢竟不是集中管理，沒有直接的管理權，在協調各部門的職責時多有不便和難以解決的時候[5]。因此，在實踐中處理具體事務時，可能發生難以確定執行和監督主體、部門之間“踢皮球”推諉責任、維權周期漫長等難題，信息主體難以得到有效救濟，最終帶來人身財產等方面的損失。

2.3.2 信息主體權利救濟不足

《個人信息保護法》第七章規定了違反本法規定應承擔的法律后果，罰款金額在一萬元以上一百萬元以下不等，或者上一年度營業額百分之五以下。如果是針對跨國公司，一是很難說明以哪一部分年度營業額為準，是只針對我國營業額、個人信息流通過的國家地區的營業額、全球營業額，或是母公司營業額、子公司營業額，還是應當一并計算，都亟待明確和細化，二是罰款金額幅度是否具有威懾力，例如一百萬元的罰款遠不如其通過侵犯信息主體可能獲得的違法所得大。信息主體即消費者，在跨境電商的往來中處于較弱勢的一方，法律法規中雖規定了受理相關投訴、舉報的部門，但是處理的流程和救濟手段不明確，現實中大多數信息主體會因不清楚維權方式或者認為成本過高而放棄維權。

2.3.3 行業自律體系亟待完善

我國的個人信息保護行業自律體系中雖然制定了許多行業自律規則，但在內容方面多是原則性的倡導，涉及個人信息的使用、跨境運輸等具體內容，便以遵守國家有關規定為準。在實施方面沒有規定專門的監督、認證機構以及違反自律規則后的責任，在遵守自律規則、個人信息保護認證的積極性和實施效果上有所欠缺。

2.3.4 缺乏覆蓋電商全流程的個人信息流動監管機制

關于數據跨境流動的專門規定有《數據出境安全評估辦法》以及分散于《個人信息保護法》《個人信息保護認證實施規則》《信息安全技術—個人信息安全規范》的相關規定，總體上規定較少，實施情況有待進一步考察。此外，在《數據出境安全評估辦法》中，對于事前安全評估的流程、主體等規定有些模糊，需要進一步完善。覆蓋跨境電商各個環節的監管機制目前也沒有明確的規定，導致個人信息在跨境流動過程中的安全性難以得到有效保障。

2.3.5 個人信息違法行為處罰的主體難以準確確定和執行

跨境電商涉及電商企業、買家、海關、快遞物流企業等眾多主體，包含供應鏈管理、產品推廣和營銷、訂單與客戶服務等多個環節。跨境電商個人信息流轉鏈條十分復雜，個人信息遭擅自披露、采集或使用風險巨大；當前對于個人信息違法行為的處罰，存在難以確定信息泄露的環節以及執行的問題。

3 完善我國對跨境電商中個人信息的法律保護

3.1 完善立法、推出配套法律法規

我國對于個人信息保護立法起步較晚，且隨著互聯網技術、我國跨境電商貿易規模的不斷發展和擴大，需要不斷地更新和完善立法來適應時代的需求，以促進貿易發展、保護我國信息主體、企業合法權益以及國家數據主權。

3.1.1 明確《個人信息保護法》中規定的執行、監督機構及其職責

黨的二十屆二中全會通過了《黨和國家機構改革方案》，深化國務院機構改革是其中的一項重要任務。決定根據議案組建國家數據局，從已有的信息中可以看出設立國家數據局的核心目的是更好地維護數據安全，促進數據共享和數字經濟的發展。其中不可避免地會涉及個人信息的安全，但是從《黨和國家機構改革方案》公開的信息來看，國家數據局未涵括《個人信息保護法》提及的有關部門的個人信息保護職責，因此履行個人信息保護職責的部門依然是《個人信息保護法》中所提及的主體。但事實上很有必要設立一個單獨的、專門履行個人信息保護職責的數據保護機構，不僅可以擁有統一的執法權以便于統一管理消除職權沖突，還可以有效促進行業自律的發展。基于此，《個人信息保護法》中所提到的履行個人信息保護職責的部門，其監管、接受處理投訴、調查違法處理活動的職責可以分離出來劃給國家數據局的對應部門，或可能會成立的單獨的個人信息保護機構；在其統一管理下，承擔一些輔助的職責，例如開展宣傳教育、定期測評等工作，再進一步明確各部門應履行的相應職責，以避免職責模糊不清發生沖突的情況出現，保證個人信息保護工作的順利進行。

3.1.2 明確數據跨境流動涉及程序的主體及其職責

《數據出境安全評估辦法》第三條規定數據出境需堅持事前評估和持續監督相結合，但在第十條中提到的安全評估的主體過于廣泛，亟待明確。首先，專門機構是需部門指定、有可選機構名單，還是自選經部門認可的機構即可；其次，安全評估的主體職責范圍，是共同合作完成還是負責不同的板塊，同時應當公開具體的流程，以供數據處理者查閱。

數據出境的持續監督規定也未明確監督機關、監督流程等詳細規定均未在該辦法中體現，缺少這一重要環節便不能使數據出境得到安全保障。建議將持續監督的規定和流程進一步落實，在與事前評估的環節有效銜接的同時，不阻礙數據跨境自由流動。

3.1.3 明確、細化信息主體救濟方式

《安全規范》和《個人信息保護法》分別提到了個人信息控制者建立投訴機制以及履行個人信息保護部門接受、處理相關投訴、舉報，但未細化相關規定，個人信息主體或難以進行救濟。有關部門應做好協調統籌工作，進一步完善保護職責部門個人信息保護投訴、舉報工作機制，為個人信息控制者建立投訴機制提供原則和方向。我國跨境信息流動規模較大，還可考慮將向個人信息控制者投訴作為向保護職責部門投訴的前置程序。

除了投訴機制外的司法救濟也應得到進一步完善。司法救濟懲罰針對的主體不應只是數據控制者、處理者，還應考慮到相關監管、認證機構在監管、認證過程中如有侵害信息主體利益時對應的申訴手段，以確保信息主體有效地維護其個人信息。此外，應明確懲罰規則中關于罰款金額的規定，進一步說明責任主體的確定方式，以及存在多種責任主體時的責任承擔方式；懲罰金額是全球總營業額，還是針對中國或個人信息接受國的營業額，并確保此類懲罰的有效性、成比例性、勸誡性。

3.2 完善行業自律機制

3.2.1 建立專業保護認證機構

行業自律機制因基于自愿原則，在實施效果上并不理想，對此可以設立或者明確專門的認證機構，在行業協會的組織和倡導下制定有效、合理、科學的認證、事后監督流程。行業協會也須充分發揮領頭作用，引導企業形成科學有效的企業內部自律規則，鼓勵龍頭企業在保護技術和規則制定方面分享經驗、互相幫助，共同提高行業自律機制。考慮到我國對于企業自我認證的意識不足以及認證成本過高，可以在保障機構專業水平的同時，向公眾宣傳“保護認證”的權威性，使認證機制在公眾領域產生信服力，進一步增強企業認證的自覺性，以獲得信息主體的認可和信任。

3.2.2 增強行業自律機制的影響力

個人信息控制者內部應建立一套可操作性的管理方案，以適應行業自律機制的發展。可在內部設立監督機制，對查詢和事件進行及時響應和反饋，在監督的同時定期更新該管理方案，而在外部也可通過第三方監督的方式，以檢驗行業自律的成果。個人信息控制者內部定期向第三方監督機構匯報安全評估成果，在出現安全隱患、事故風險時，可以及時反饋并得到幫助，對此可以由具體的行業協會履行該職責。

3.3 加強國際合作

一國國內法的規定無法覆蓋每一個環節，難以對境外主體產生效力，而國際合作可以突破這層壁壘。通過雙邊、多邊平臺的國際合作不僅可以促進本國的個人信息立法進程、提高保護水平，還可以與其他國家進行友好交流，在組織框架內實現數據自由流動和貿易交流。

3.3.1 加入CBPR體系

CBPR體系是跨境隱私規則體系（Cross-Border Privacy Rules）的縮寫，是《亞太經合組織隱私框架（2015）》中最具特色的規定，是一個基于自愿的，以促進亞太經合組織經濟體之間隱私尊重的個人信息流動的問責制方案。CBPR體系主要從執法機構、問責代理機構、企業三個角度進行了規定，形成了法律規制加行業自律一體的規制體系。

我國是亞太經合組織成員，但至今未能申請加入CBPR體系，這和目前我國個人信息保護立法水平等因素有著直接的關系。CBPR體系在國際上具有一定認可度，《中國電子商務報告（2021）》顯示，我國跨境電商出口國前10名中[6]，有8個國家是亞太經合組織成員，7個國家已加入CBPR體系。如果我國加入了CBPR體系，不僅能夠更好地與跨境電商貿易伙伴交流、促進數據跨境流動，還可以借此平臺與國際接軌，促進與美洲、歐洲國家的交流。因此，我國應當充分提高、完善相應規定和機制，爭取早日加入CBPR體系。

3.3.2 加強現有合作機制和框架

在拓展交流平臺和對象的同時，也要加強現有合作機制和框架。我國加入了亞太地區規模最大、最重要的自由貿易協定《區域全面經濟伙伴關系協定》，申請加入了《全面與進步跨太平洋伙伴關系協定》和《數字經濟伙伴關系協定》，倡導發起了《攜手構建網絡空間命運共同體行動倡議》《“一帶一路”數字經濟國際合作倡議》等國際合作倡議[7]，我國積極地參與到網絡國際空間和數字經濟的治理之中，在完善自身的同時貢獻中國智慧、中國方案、中國力量。對此，應當繼續鞏固和加強同東盟國家、“一帶一路”沿線國家等貿易伙伴的合作與交流，通過簽訂協議、諒解備忘錄等方式減少貿易壁壘，共同實現跨境電商下的個人信息保護。

4 結語

個人信息被稱作是大數據時代的“新石油”，其重要性和價值與信息主體的人身權益、財產權益息息相關。我國近年來在立法方面逐漸完善，形成以《個人信息保護法》為中心的保護體系，但涉及跨境電商領域個人信息跨境流動的規制還有待完善。基于我國國情，可以適當參考其他國家、地區個人信息保護機制的規定，以完善立法、行業自律、國際合作等方面，在保證數據自由跨境流動的同時，使個人信息的安全得到有效的保障和救濟。其中立法方面的完善是重點，明確數據出境全流程涉及的主體及其職責，與行業自律機制有效結合，同時加強國際合作，達到事前預防、事中保障、事后救濟的最佳效果。

注釋：

①《個人信息保護法》第四條 個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。