个人数据跨境流动规则浅析

代濛

摘 要 随着互联网时代的到来，个人数据天然的跨国界流动，其对数据隐私保护带来了挑战。实践中，国内外数据泄露事件也是屡见不鲜。个人数据跨境流动涉及数据的跨国界流动，具有与生俱来的国际性，各国如何制定法律规则予以保护，值得研究和探讨。

关键词 个人数据 跨境流动

在全球一体化的时代，数据跨境流动无法避免，但是在其带来巨大的经济利益的同时，对数据隐私的保护造成负面影响。大部分国家出于保护本国公民数据隐私考量，纷纷制定了个人数据跨境流动规则。

1个人数据跨境流动的含义

对于个人数据的定义，目前各国或者国际组织并没有形成统一的说法或者定义。《隐私保护指南》中首次定义了跨境数据流动这一概念，并明确指出：个人数据跨越国家边境流动。该定义范围广泛，即将数据转移至境外进行存储、传输或处理，或能被境外主体访问。个人数据流动性的实现，势必导致个人数据脱离数据主体的控制。尤其是在信息网络时代，个人数据侵权具有隐秘性，很多时候数据主体已经被侵权却很难发现。随着流动性的增强，个人数据变得越来越不可控，甚至开始跨越国界。

2个人数据跨境流动中的主要主体分析

个人数据跨境流动过程主要涉及到三方主体：国内原本持有数据人是数据主体，在个人数据跨境流动中产生了数据收集储存者和对数据进行分析使用的数据控制处理者。

数据主体是个人数据的原始持有者，拥有数据的所有权。数据主体完全享有对数据的支配权，享有选择让不让他人处理数据的权利，知晓自己的数据何时、何地、被用于何处，由此产生了数据主体享有数据处理操作的知情权、同意权、异议权等权利。但是，随着数据的被广泛利用，数据主体面临的一大问题之一就是其享有的权利已经被严重削弱，在国内流动中如此，在跨境流动中更加明显。

数掂传递过程中，数据收集储存者是获得数据的一方，在收集个人数据时应当获得数据主体的同意，并使其知悉数据使用的目的。跨境数据流动过程中，数据收集储存者承担了保管数据的责任，保护数据主体的隐私和数据完整性。

欧盟数据保护法律法规中区分了数据控制者与数据处理者。数据控制者是指单独或与他人联合决定个人数据的处理目的、条件和方法的自然人、法人、公共机构或其他实体。数据处理者是代表数椐控制者处理个人数据的主体。数据控制者有权决定数据的内容和可以使用的主体，是该对数据处理最终结果负责人的人。而数据处理者是依据数据控制的指示进行处理，并使用技术手段来保障个人数据安全的角色。

3个人数据跨境流动域外法律规则分析

3.1欧盟

欧盟以“充分保护”作为个人数据跨境流动法律规制的核心标准，对个人数据的跨境流动设定了严格的限制条件。1995年欧盟制定通过的《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》中明确规定，“成员国应当规定，只有在不影响遵守依照本指令其他规定通过的国内规定、第三国确保提供充分保护水平时，正在接受处理或者将在传输后进行处理的个人数据才能向第三国传输。”由于在原有标准下，达到欧盟充分性标准的国家寥寥无几，对该标准的实际执行造成了很大的障碍，因此2018年的《数据保护通用条例》在第45条规定：“对于欧盟委员会认定的，对数据保护具有充足能力的第三国、第三国中的某个区域或部门、国际组织，都可以自由转移数据，且不需要经过特定授权。”《数据保护通用条例》增加了对第三国某个区域或部门的评估，相当于放宽了达到第三国“充分保护”标准的条件，改变了原来一刀切的做法。

3.2美国

与欧盟“充分保护”的模式不同，美国在私营领域主要通过行业自律对个人数据跨境流动进行规制。行业自律模式主要包括在线隐私联盟公布的在线隐私指引和美国两大著名隐私认证机构制定的两个隐私保护计划。在线隐私指引是一项建议性质的隐私指南，两个隐私保护计划以在线隐私指引为范本，依据美国联邦贸易委员会的原则对企业进行隐私认证。符合要求的企业将获得认证标识，消费者也可以根据该标识来选择操作规范的企业。同时，对企业进行持续合规审查，对不符合要求的企业进行处罚，以保证隐私认证企业的数据保护质量。

美国以市场调节和行业自治为主导，限制政府干预，由个人同企业在市场上对个人数据进行定价和交易，期望在实现个人数据自由流动的同时保护数据隐私。该模式依据“问责制”原则，以数据自由流动为基础，默认数据控制者在数据处理过程中会自觉遵守隐私保护义务，仅在出现违法行为之后，才会有行政机关和行业组织出面对此进行处罚。美国在私营领域没有统一的数据隐私保护法律，采取分散立法的方式，主要包括1974 年的《家庭教育权利与隐私法》、1986 年的《电子通信隐私1998 年的《儿童网上隐私保护法》以及 1999 年制定的《金融服务现代化法》等。

3.3经济合作与发展组织

经济合作与发展组织最早提出跨境数据流动的概念，其1980年通过的《隐私保护指南》，是从全球角度对跨境数据流动进行规制的第一个法律标准，该指南确立了八项基本原则，这些原则成为世界躲过制定个人数据保护法律规范的重要参考依据。这些原则包括：收集限制原则、数据质量原则、目的明确原则、使用限制原则、安全保障原则、公开原则、个人参与原则和责任原则。这些基本原则得到了国际上的广泛认可，也为建立统一的跨境数据流动法律制度起到了积极的作用。

参考文献

[1] 郭瑜.個人数据保护法研究[M].北京：北京大学出版社，2012.

[2] 王融.大数据保护时代：数据保护与流动规则[M].人民邮电出版社，2017.