我國個人信息跨境流動規則的不足與完善

張意

摘?要：在大數據時代，個人信息不但具有人格價值，對個人信息的獲取利用也具有重大戰略意義，數據驅動創新被視為國家經濟增長的一種新源泉。個人信息跨境流動則承載著國家安全、數字經濟發展、權利保護等重要價值。基于此，針對個人信息跨境流動，我國十分重視，均制定了一系列規則，然而因為立法不足、監管不到位等原因，漸漸也出現了各種不足之處，主要表現為個人信息界定與分類、“同意”規則在個人信息保護方面的力度較差、信息控制者被施加過重的注意義務、出境評估要素中“數量”標準缺乏科學性幾個方面。由于部分國家在數據規制領域起步較早，經驗相對豐富，應當在分析研究國際相關經驗的基礎上對我國個人信息跨境流動規則提出完善建議。

關鍵詞：個人信息；數據跨境流動；同意規則

中圖分類號：F74?????文獻標識碼：A??????doi：10.19311/j.cnki.16723198.2023.20.017

0?引言

近年來，隨著科學技術和數字經濟的蓬勃發展，個人數據跨境活動日益頻繁，個人數據跨境流動成為全球數字貿易發展的重要推動力之一。為順應該國際形勢，必須全面貫徹落實習近平法治思想，堅持總體國家安全觀。對于個人信息跨境流動的情況，我國也漸漸重視，并制定了相關規則。然而，對于我國而言，個人數據跨境規屬于新興事物，存在諸多不足之處亟待完善，而美國、歐盟等大部分國家和部分國際組織在個人數據跨境流動方面已形成體系，經驗相對豐富。通過研究其發布過的相關法律和政策文件，對比我國國內的個人數據跨境規則，有利于為我國這一領域的立法提供借鑒。因此，本文主要采取的是比較研究法。通過對國際上相關規則的分析，對比歸納出各優劣勢，為我國個人數據跨境流動制度的完善提供參考。

1?個人信息跨境流動的基本內涵

“法律概念是法律規范和法律制度的建筑材料。”針對“個人信息”“個人信息跨境流動”，對其進行準確界定，是制定個人信息跨境流動規則的核心和前提。但是，由于科技的迅速發展，信息種類在逐步多樣化，原先靜態的“識別說”在實踐中受到嚴峻挑戰。因此，有必要協調法律的確定性和科技發展的不確定性之間的矛盾，為個人信息立法奠定扎實的基礎。

1.1?個人信息的概念和分類

在數據跨境流動中，個人信息較為典型，是這一方面研究的重點。

基于識別說理論，個人信息相對應的便是非個人信息。歐美國家大多數情況下把前者界定為“個人可識別信息（PII）。”由此得知，個人信息的典型特征在于“可識別性”。這里，判斷個人信息的核心在于透過這一信息能夠獲取個人相關身份信息。美國研究學者以“識別說”為基礎，延伸出了“關聯說”。同靜態識別說進行對比，關聯說旨在突破傳統二分法的局限，強調動態界定個人信息。

我國將個人信息分為敏感個人信息和非敏感個人信息，該分類本身的保護目的過于單一，放在數據跨境流動的語境下則顯單薄。此外，《個人信息保護法》中的敏感個人信息，則是集合了社會評價與個人主觀評價兩方面，這里，個人主觀感受、社會文化水平是不可忽視的影響因素，也因此難以形成固定范疇。

簡而言之，個人信息的差異性決定著對其進行分析的必要性，而其規律性則是使研究具有價值的根本原因，目前尚無統一的識別個人信息的方法。

1.2?我國個人信息跨境流動規則的立法概況

我國相繼出臺了《數據出境安全評估辦法》、《網絡安全法》、《個人信息和重要數據出境安全評估辦法》、《個人信息出境安全評估辦法》等法規及管理制度，并將個人信息處境規則的條件確定為個人信息主體同意、通過出境安全評估，并對企業開設個人數據跨境流動業務進行了重點規范，旨在更好地對個人信息安全進行保護。

制定出臺《數據出境安全評估辦法》是落實《網絡安全法》、《數據安全法》、《個人信息保護法》等有關數據出境規定的重要舉措，目的在于進一步規范數據出境活動，保護個人信息權益，維護國家安全和社會公益。《個人信息保護法》中，把個人信息判定分析為“已識別或能夠識別的自然人相關聯”的信息，將這一思路總結為“識別說+關聯說”。

1.3?我國個人信息跨境流動規則的具體內容

1.3.1?個人信息主體“同意”規則

《個人信息和重要數據出境安全評估辦法》第四條明確指出，個人信息出境，必須將數據出境目的、內容、范圍、接收方及所在國家向個人信息主體進行如實告知，并通過其同意。對此，如果沒有通過信息主體的同意，任何信息都不得出境。基于此，對于個人信息出境的關鍵在于獲得信息主體的“同意”。《個人信息安全規范》對“同意”獲取的相關流程及規則進行了明確。

1.3.2?個人信息出境安全評估規則

對于數據出境而言，個人信息與重點數據是其安全性評估的重點。由于數據出境在數據跨境流動中具有非常重要的地位，對此本研究對個人信息出境評估要點進行了著重論述。

當個人信息出境時，對其安全性評價時需考慮到信息數量，《數據出境安全評估辦法》即通過數據的量級來區分安全評估部門的級別。單個出境的個人信息數據能夠產生的影響較為微小，但是當個人信息匯集到特定程度，就會具備一定的代表性而產生衍生價值，對國家安全、社會利益造成了嚴重威脅。

2?我國個人信息跨境流動規則的不足

2.1?個人信息的定義和分類不合理

在我國，個人信息主要包括了敏感與非敏感兩種類型，這種分類方式并未立足于數據本身的特征，而是基于傾向保護隱私的單一目的，同跨境的相關語境進行聯合分析，這一做法比較簡單。然而，事實上個人信息種類較多，且信息量特別龐大，有的研究人員以持有主體、數據產生行業的不同進行劃分。不同的分類應當迎合個人信息的動態性和場景依賴，提升現行法律規定的可操作性。

2.2?數據出境安全管理相關定義不明確

《數據安全法》第三十一條規定，關鍵信息的運營者的出境安全管理適用《網絡安全法》第三十七條，但是并沒有對其他數據處理者的出境安全管理活動做出明文規定。目前只能參考《個人信息和重要數據出境安全評估辦法（征求意見稿）》規定的六類重要數據出境安全評估及三類嚴禁出境的數據類型。但是該《征求意見稿》發布時間已較為久遠，該《辦法》也一直未正式出臺和生效，因此“個人信息”相關規則仍不明確。

2.3?“同意”規則保護力度弱且信息控制者注意義務嚴苛

針對非敏感個人信息而言，我國所制定的數據出境規則的保護力度較低。通過上述分析得知，針對數據出境，其中所提到的“同意”規則中要求積極履行告知義務，這是對跨境個人信息予以收集與使用時，尤其是一些關乎隱私、較為敏感的信息，都必須獲得信息主體的同意。這里還強調要求明示同意。針對非敏感信息而言，默示也算。簡而言之，個人信息控制人員可憑借默示條款對個人信息進行搜集，但是信息主體卻毫不知情，面臨巨大的風險。另外，對于敏感、非敏感個人信息，兩者的界限并未明確，信息主體難以對個人信息進行有效控制。

2.4?個人數據出境安全評估規則的“數量”標準不科學

基于上文所論述得知，對于數據出境的安全風險、具體等級的評價中，個人信息數量是關注的重點，并未考慮到網絡發展現狀、各行業針對信息安全需求的不同。然而，我國網民數量較大，大規模個人信息不斷涌現。并且，有學者預計隨著穿戴性設備等互聯網的應用普及和在線化，人類將迎來“數據核爆”。如在此情境下仍舊過分依賴數量標準，將有可能對非關鍵領手機應用運營者的數據跨境業務帶來阻礙與限制。

3?個人數據跨境流動的歐盟監管經驗

3.1?個人數據分類分級的科學化

《網絡安全法》第二十一條規定由網絡運營者按照網絡安全等級保護制度要求，自行采取數據分類措施。該規定過于籠統，沒有明確建立數據分類的主體。也沒有體現數據分級的思想。而《數據安全法》在此基礎上對《網絡安全法》的數據分類進行了完善，第二十一條規定建立數據分類分級保護制度和國家核心數據管理制度，明確由國家建立數據分類分級制度，由主管部門制定重要數據目錄并加強保護。同時《數據安全法》還新增了國家核心數據制度，對核心數據采取更為嚴格的管理。

3.2?排除取得非敏感個人信息“默示同意”的合法性效力

在個人數據保護法中，歐盟提到了，任何個人信息的獲取，都必須滿足“同意”規則。《一般數據保護條例》中對“同意”進行了界定，則是數據主體以特別明顯的肯定行為或個人聲明的方式所表達的指示。歐盟GDPR強調“同意”必然是清晰、具體的，且要求數據主體完全知情的前提下自主作出決定。若數據控制一方提出的同意事項同之前獲取的同意事項范圍不同，那么則需及時向用戶進行單獨闡明；若在合同簽訂中，“同意數據處理”列為前提條件，若數據處理超過了服務所必需的范疇，那么則同“同意需自由做出”這一規定相違背。

通過高標準事實方面，對“默示同意”予以完全否定，這樣一般以推定的方式對“同意”進行獲得，但是這一行為的合法性、有效性難以被認定。另外，對于個人信息法中的“默示同意”，新加坡主張進行排除，對敏感與非敏感個人信息的差別保護相關規則予以取消，明確指出全部個人信息收集使用時都必須獲得明確的同意。

4?我國個人信息跨境流動規則的完善建議

4.1?優化個人信息的定義和分類

基于“個人信息”，我國提出其關鍵點在于“可識別性”。然而，在具體實踐過程中依然存在看起來無法識別的個人信息卻能夠精準定位的情況。對此，在“可識別性”的基礎上，還需考慮“關聯性”這一特點，認為只要是特定自然人在相關活動過程中所自身的信息，那么則可認定為個人信息，具體包含以下幾點：

（1）個人實時位置信息。如開啟地圖APP所出現的實時位置相關信息。

（2）個人通話記錄。通話記錄中包含了信息主體生活情況、人際關系等一系列敏感信息。

（3）個人瀏覽記錄。對于瀏覽記錄而言，能夠將信息主體興趣、消費水平、知識水平等敏感信息予以呈現。總之，對于“個人信息”范圍而言，應包含“關聯性”信息，且予以針對性保護。

針對個人信息，我國將其分為敏感與非敏感兩類。但是，這一種分類方法并不全面，難以迎合變幻無窮的數據跨境所需。對此，最好從數據類型、出境目的兩方面進一步細分個人信息類型，并基于分類情況適用嚴苛性的不同，對數據出境規則進行區分。

4.2?加強非敏感個人信息的保護力度

基于我國數據出境“同意”規則，對非敏感個人信息收集時，只需獲取默示同意便能夠使用，如此信息主體尚不知情的情況下依然可憑借默示條款獲得收集的權利，這一行為嚴重侵犯了信息主體對自身信息的控制權。基于此，可積極借鑒歐盟所實施的“同意”規則，不承認默示同意的效力，并將個人敏感與非敏感信息的不同保護規則予以取消，無論哪一種個人信息，都要求通過明示同意。

4.3?明確個人信息出境評估標準中的“數量”標準

在個人信息評估（自行或監管機構）時，個人信息數量是關注的重點，也是數據出境安全性、安全等級的主要判定標準。然而，這一規定科學性較低，并未考慮到我國龐大的網絡用戶。啟動與評估數據安全時，應對數據重要性、敏感性方面進行充分考慮，并以此為基礎結合各行業、各產業的具體情況及安全規定，確定針對性、個性化的“數量”標志，對關鍵性信息的范圍予以準確鎖定，最大限度地緩解監管負擔。

總之，對于個人信息跨境流動規則而言，最好從個人信息界定與分類、非敏感個人信息保護、信息控制者注意義務的減輕等方面進行完善，且注意對“數量”標準進行細化，以此來提高個人信息的安全性。

4.4?完善立法體系，細化相關制度

首先，“關鍵基礎設施運營者”“重要核心數據”等概念定義尚不明朗，需要立法進一步界定形成個人數據跨境流動的統一規范標準。其次，數據跨境流動的安全評估應予以細化規范。應當制定并出臺個人數據跨境流動的具體評估辦法，由此提供切實可操作的評估標準。同時，需進一步擴大第三方專業評估機構的適用范圍，利用第三方專業機構認證方式輔助監管機構對個人信息數據出境進行審查評估。最后，個人數據跨境流動的標準合同文本應當更加具體和規范。標準規范的合同文本有利于明確數據處理者和數據接受者的權利和義務，更好地指引數據處理者和接受在保護個人數據的基礎上開展數據跨境流動合作。除此之外，歐盟GDPR跨境流動白名單制度為我國提供了借鑒，我國應當豐富數據跨境流動的規制模式，加速制定本國的數據跨境流動白名單，評估數據接收國的數據保護情況，將數據保護環境較好的國家或地區列入白名單，促進我國與其他國家的數據自由跨境流動，形成良性互動。

5?結語

個人信息跨境流動的國際監管經驗主要有，在個人信息的分類分級上具有多樣性，能夠切合數據的動態性特征，歐盟、新加坡等國家直接將“默示同意”合法性直接排除，注重保護非敏感個人信息。通過對比，我國個人信息跨境保護無論在立法還是司法實踐中都還處在起步階段，需要在參考域外經驗的同時結合本國國情，補足個人信息跨境流動規則的漏洞，形成更為完善的規則體系。

參考文獻

［1］伯恩·魏德士.法理學[M].丁曉春，吳越，譯.北京：北京法律出版社，2013：91.

[2]黃秋紅，李雅穎.對接CPTPP數據跨境流動規則研究[J].南海法學，2022，6（01）：115124.

[3]高秦偉.個人信息概念之反思和重塑——立法與實踐的理論起點[J].人大法律評論，2019，（01）：209235.

[4]王苑.敏感個人信息的概念界定與要素判斷——以《個人信息保護法》第28條為中心[J].環球法律評論，2022，44（2）：8599.

[5]李航.我國數據跨境流動規則的不足與完善[D].上海：上海華東政法大學，2018.

[6]王利明，丁曉東.論《個人信息保護法》的亮點、特色與適用[J].法學家，2021，（6）：116.

[7]孫雯.我國數據出境規則問題研究[M].上海：上海華東政法大學，2020：15.

[8]陳詠梅，張姣.跨境數據流動國際規制新發展：困境與前路[J].上海對外經貿大學學報，2017，24（6）：3752.

[9]齊愛民，張哲.識別與再識別：個人信息的概念界定與立法選擇[J].重慶大學學報（社會科學版），2018，24（2）：119131.

[10]張新寶.我國個人信息保護法立法主要矛盾研討[J].吉林大學社會科學學報，2018，58（5）：4556.

[11]王雪喬.論歐盟GDPR中個人數據保護與“同意”細分[J].政法論叢，2019，（04）：136146.

[12]曾聰.論個人信息與數據的位階保護模式[J].中國特色社會主義研究，2022，（5）：131142.

[13]高敏涵.個人數據跨境流動的法律規制問題研究[D].北京：外交學院，2022：30.