跨境数据流动时代个人信息安全的立法保护

苏彦 王炳智

摘   要：跨境数据流动导致个人信息安全问题的原因在于各国立法的分散和缺陷。数字经济时代，数据流动交换进入爆发式增长阶段。文章通过梳理跨境数据流动时代国外个人信息保护规范的发展现状，以及跨境数据流动背景下我国个人信息保护状况，分析了目前全球在跨境数据流动方面的问题，并依据问题从设立个人信息专员制度、统一立法标准、确立数据主权归属主体等方面进行了立法对策建议，力图提出可行性措施。

关键词：跨境数据流动;个人信息安全;立法

中图分类号：D90          文献标识码：A

The legislative protection of personal information security in the era of cross-border data flows

Su Yan1，2， Wang Bingzhi3

（1.University of Chinese Academy of Social Sciences， Beijing 102488;

2. Policy Research Office of CPC Guangxi Zhuang Autonomous Region Party Committee， GuangxiNanning 530025;

3.University of International Relations， Beijing 100091）

Abstract： The reasons of personal information security problems caused by flows of cross-border data lie in the decentralization and defects of national legislation. In the era of digital economy， the flows and exchanges of data have entered an explosive growth stage. In this article， through combing present development situation of foreign personal informations protective specification in time that cross-border data flow， and cross-border data flows under the background of personal informations protection in China， analysis issues in the current problems about cross-border data flows.Whats more，  according to these problems we provide the legislative suggestions including the initiation of personal information commissioner system， unification of legislative standards and establishment of the subject of the data sovereignty ，and try to put forward feasible measures.

Key words： cross-border data flows; personal information security; legislation

1 引言

互联网时代国家主权的边界变得模糊，个人权利的运行空间得到了极大拓展。在信息化时代的今天，个人信息、个人数据的使用超出了国界限制，数据流动出现跨境流动的情况。既然个人信息数据的跨境流动在全球范围内普遍存在，那么是否还需要某一国单独强调其数据信息的主权？实际上，各国已经在个人信息安全领域纷纷予以立法规制，而且立法内容各不相同。针对数据的跨境流动进行个人信息安全领域的立法，是因地制宜地保护公民的个人信息权。

2 跨境数据流动时代已经来临

数字经济时代，一系列科技创新、法律制度创新不断涌现。例如，5G技术投入使用、移動电话、信用卡、社交账号等数字产品或服务出现等，都在推动着数据资源流通、交换、贸易等多种形式的数据流动以及数据的爆炸式增长。据联合国统计，当前约90%的数据是在过去两年内创造的，预计数据量每年增长40%。2014年麦肯锡全球研究院的一份有关报告指出：全球的“五流”（商品、服务、金融、人员和数据）正在不断增长，对全球GDP增长的贡献为每年2500亿至4500亿美元，相当于全球经济增长的15%到25%左右。尤其是对于亚太地区而言，跨境数据流动所带来的积极作用更为明显。根据调研公司eMarketer测算，亚太地区的网络流量未来仍将保持上升势头，从2016年的361.7EB（1EB=1024×1024×1024GB）增至814.2EB（2020年）。跨境数据流动极大地优化了全球资源配置，精准到位的数据统计和一些免费的数据流也提高了各行业的生产效率，最新的科研成果和技术能够更快地被转化适用。这些数据流量创造了大量的贸易和就业机会，同时也为制造业、服务业、零售业等行业提供了大数据的支持，很多初创企业或中小企业也因此对跨境商业领域跃跃欲试。

跨境数据流动所带来的巨大优势，也使人们逐渐加强了对数据保护的重视。正如美国政治学者小约瑟夫·奈在《理解国际冲突：理论与历史》一书中所指出的，信息革命正在改变着世界政治格局，而跨境数据流动过程中也必然存在着“马太效应”，居于数据搜集、分析领先地位的数据掌控大国将可能攫取更多的权力，而劣势国的发展极有可能因此受限，甚至失去一些绝佳的发展机会。在数据时代下，海量数据的储备、流动、分析，对于一个国家的经济、政治、国家主权、国家安全等很多方面都有着极其重要的意义。

3 跨境数据流动背景下国外个人信息保护现状

尽管这些海量数据当中有很大一部分是“数据废气”，但依然不能忽视那些被赋予商业价值和政治价值数据流的作用，而其中与个人信息有关的数据，也逐渐凸显出独立的经济价值。在1993年，欧洲互联网存储的个人信息仅仅占到整个电子通讯信息的1%，而现在已经增长到了97%，互联网经济继续在以指数级的速度发展。大量的个人信息在这个过程当中被收集，有些甚至成为许多公司所掌握资产的一部分，而许多人却经常没有意识到自己的个人信息已经被收集，或者说缺乏自我保护的观念。尽管很多欧洲人认可个人信息披露在现代社会的必要性，但仍有72%的欧洲互联网用户，担心自己的信息被收集太多，他们甚至感觉自己无力控制信息被收集后的去向和手段，对于如何维权和行使权利存在认识盲区。 据统计，2014年，虽然3 /4 的欧洲人是互联网用户，但仅仅有15%的人曾经做过跨国网络交易。同时，只有7%的中小企业开展跨国网络销售业务。这足以反映出营造一个良好、可信任的跨国数据流动的环境，对于加快各国经济、政治、文化等方面的交流尤为关键。

目前，世界公认的较为行之有效的有两套规范跨境数据流动中个人信息保护的体系：一是重视事后救济、经济发展便利的美国式“长臂管辖”机制;二是以“个人权利本位”和“预防为主”欧盟信息保护机制。

3.1 美国式“长臂”管辖的保护机制的优势及存在问题

2016年2月，美国与日本、澳大利亚等12个国家签署了跨太平洋伙伴关系协定（简称TPP协议），其中便明确要求各国就包括个人信息在内的信息以电子数据的形式进行跨境转移，任何成员国都无权要求其成员国的公司在其境内进行数据本地化。该禁止性要求虽然并不排除各国出于公共政策目的实施一定的对策，但对于如何认定一国的政策是否为公共政策、该政策是否带有不合理的歧视或对贸易的限制等问题并没有明确的回答。结合美国相关典型案例所确立的原则，即微软诉美国司法部案中，美国有关司法部门认为无论数据存储在哪里，其都具有管辖权。这在一定程度上体现了美国“长臂”管辖的特点。

然而，这又必然激化国际管辖的冲突，毕竟不同国家的数据跨境流动政策不一定契合，在不同的规范条件下必然无法回避早晚要到来的管辖冲突。目前，在针对个人信息保护的司法协助条约并不能有效快速地解决争端的情况下，与其选择进行国家间冗长繁琐的司法程序，不如直接要求服务商提供协助，而这反向激励了数据本地化现象的出现。对于那些暂时或未来也并不需要将用户数据存储在本地的初创企业或中小企业而言，“一刀切”式的数据本土化要求反而导致其经营的成本随之增高，其发展在一定程度上受到了限制。

3.2 欧洲式个人信息保护机制的优势及存在的问题

欧盟的个人信息保护机制主要是建立在1995年颁布的《关于个人信息处理保护及个人信息自由传输的指令》、2010年11月由欧洲委员会提交的《欧盟个人信息保护综合方案》和2016年4月颁布的《欧盟一般个人信息保护条例》（简称GDPR）等三份文件基础上。另外，还有《公民权利和政治权利国际公约》和《欧洲人权公约》等其他有关公约、法律具体条款的补充保护。在指令、公约并行的前提下，各国还需依照前述法律文件进行国内立法的转化。虽然其出发点在于保护公民个人信息安全，但现实中，一国一法，况且不同国家执行不同的个人信息保护法的水平也不一致，反而增加了个人信息保护制度的复杂性和不确定性，徒增行政管理成本，也影响了消费者的信心和欧盟的整体竞争力。另外，在GDPR的规范体制下，欧盟也提出了风险等级差异化管理的方法，将不同跨境数据处理的风险分为三个层次：较低风险、一般风险和较高风险，并依此三个等级分配信息控制者和处理者的法定义务和责任，以作出相对应的适当免除。虽然差异化管理利于合理管控和责任风险相对称，但GDPR这一标准本身卻缺乏对不同风险等级区分的详细充分的解释和说明，仅仅使用了列举式的方法进行具体举例来说明部分处理活动明显无法适应复杂、多变的互联网环境和个人信息侵权形式。这两大规范所反映的问题，也正是我国现在以至于未来要面对的主要问题。

4 跨境数据流动时代我国个人信息保护现状

相对于这两大已经较为成熟的个人信息保护范式而言，我国也紧跟时代发展的步伐，于2016年正式颁布了《中华人民共和国网络安全法》，其中对于关键信息基础设施的安全风险等问题进行了明确规定，并且设置了“网络信息安全”这一大章进行了专门规定，而《个人信息保护法》仍在制订当中。通读整部文件，并且对照前两大个人信息保护的立法、司法体系，不难发现，我国国内对个人信息保护的程度还不够。举目全球，中国在跨境数据流动背景下的个人信息保护所遇到的问题不可不谓严重。除了上述两大规范在国际交流中所反映出的通病之外，我国国内关于个人信息保护存在具体问题大致为两点。

4.1 保护范围狭窄

我国个人信息安全立法保护的规定保护范围狭窄主要表现在两个方面。一是现有的立法只对部分个人信息作了规定。诸如涉及隐私的信息，对那些表面看似未涉及隐私的信息，特别是那些能通过大数据整合、处理而精确定位到某个自然人的间接个人信息，例如手机号码、家庭住址、职业情况等不能直接通过某一单项来确定个人的信息，针对这类信息应该如何处理，目前仍无法可依。二是现有的立法只规定了部分处理行为。由于我国现有个人信息安全保护立法呈部门分散性，致使只对部门内管辖信息处理行为进行了约束规定。此外，现有立法保护面过窄，只针对表面的个人信息侵权来进行立法规制，并没有赋予个人信息主体本人以相应的知悉权。

4.2 保护机制缺失

我国现有保护立法机制缺失主要表现在两个方面。一是保护立法不成体系。我国虽然于2018年9月将《个人信息保护法》列入人大立法规划，但到目前为止《个人信息保护法》仍未有定论，对个人信息的立法保护零星地散见于其他法律法规之中，且大都以“管理规定”“实施办法”以及“司法解释”等形式出现。目前就整体而言，有关个人信息保护的条款仍散落在其他部门法的规则之中，如《刑法修正案（七）》第7条对于侵犯个人信息罪的规定、《侵权责任法》第36条关于网络侵权的规定，以及《关于加强网络信息保护的决定》和《电信和互联网用户个人信息保护规定》等法规政策都体现了这一特点。不论从个人权益的保障方面，还是从未来市场发展方面，全国性的、明细的以及具有引领性的《个人信息保护法》亟待出台。二是缺乏专门的执法机构。正如我国个人信息安全部门立法现状一样，当前我国在个人信息侵权执法方面也都是各自为政，这种分割式的执法方式，看似点对点，职权明确，然而一旦涉及多类个人信息侵权时，这种执法模式就极容易产生庸政懒政，按规定来讲，原本都要负责的事项，最终结果可能是无人负责。

5 跨境数据流动时代加强个人信息保护的立法建议

5.1 设立个人信息专员制度

立法上的专门化所带来的执法专业化、行政专门化，应该是未来立法与执法相互作用共同发展的趋势。个人信息领域作为大数据时代具有世界普遍性特征的问题，更应该得到专门的重视。设立个人信息专员制度，以个人信息专员来处理数据和信息的流动等处理环节所涉及到的问题，将会使个人信息和数据的保护更加完善高效。此外，专员的设立有利于国内外交流经验、对接标准。个人信息专员在基础职能上需要突出几个要点：负责个人信息案件的委托安排、申请递交以及对案件状态、时限进行监控;负责个人信息及数据的分类统计;负责保持内部个人信息管理部门与外部代理机构的良好沟通并处理涉外信息数据事宜;促进个人信息在合法合规前提下创造经济收益。

简而言之，个人信息专员，是法律赋予行政主体和企业内部行政机构的“自力救济”，目的是掌控个人信息发展动态，从源头上减少个人信息安全事件发生。

5.2 统一立法标准

当前我国出台的法律，内部存在不协调不统一、相互割裂分离的状态。从域外立法现状来看，在违法责任、执法手段等方面又远轻于法治发达国家。因此，统一立法标准对于整合立法资源、接轨先进法治经验有着重要意义。

首先，利用我国当前普遍设立的大数据管理局为依托，进行公权力层面的个人信息专员制度的规制，赋予其对跨境数据流动的监管权力，依照数据管理水平一流的国家机关职能，依法对境内外涉及中国合法利益的数据进行监管，对跨境数据的流动、保存、使用、共享、转让、公开披露等环节进行国家监督。大数据管理局作为个人信息安全案件最主要的行政主体，其执法标准等一系列对外措施必然是统一的。此举有利于打破多主体共同管理的困境，有效防止“一哄而上、一哄而下”，都来管或都不管的问题。

其次，我國要积极呼吁国际公约和条约的形成与出台，同时主动分担欧美国家数据管理压力。对于本国公民和企业在我国境内产生的信息和数据，执法部门需要予以管理，对于外国公民和企业在我国境内所产生的信息和数据，也要予以同等的待遇，不得放松、歧视、差别待遇，营造良好法治环境。对于我国公民和企业在境外所产生的信息和数据，应该既尊重境外国家法律要求，又要依据归属地进行管辖，减轻境外当事国处理压力。

5.3 确立数据主权归属主体

数据流动出现跨境，一旦产生纠纷，必然涉及不同的主权国家，主权的触及通常是一个国家极为敏感的部分，因此才会产生越来越严重的“长臂管辖”情况。如何维护国家主权，确保跨境数据流动正常发展，需要平衡好国家主权与大数据时代经济效益的关系。在这种条件下，提出“数据主权”这一概念，明确跨境数据的归属主体，是保障大数据发展的应有之意。

从微观上讲，数据主权反映了个人信息的归属权问题。个人信息产生于自然人个体，但其保存、使用、共享、转让、公开披露等后续信息处理环节通常均不是由该自然人进行的，期间涉及商事主体、行政主体等多个主体，一旦出现跨境流动，又涉及到不同国家法律规定的差异问题，因此探究数据主权也是回应个人信息的归属权。由于经济利益的存在，往往个人信息归属权被主张到企业等主体上，个人信息的源头—自然人难以得到有效的保护，其隐私权、个人信息安全都面临极大威胁。这种主张无异于把个人信息的归属主体无限扩大化，凡是使用者和持有者均享有所有权，这就造成了个人信息安全事件层出不穷。长此以往必然影响市场环境，破坏经济发展，更为恶劣的是给个人信息的最初权利人造成了极大的不法侵害，这是不符合社会主义法治国家发展方向的。因此，只有明确“个人信息属于其产生主体即最初的权利人”这一权属，才能有效规制市场行为、保护个人信息安全。

同样的，只有明确数据主权的归属，是属于数据收集源头的公民国籍所在国，才能有效保护个人信息安全。无论何种“长臂管辖”或者善意国家行为，都没有理由超过个人信息权利人本国对于其公民的保护，因此确立数据主权归属主体势在必行。

6 结束语

个人信息安全保护领域立法关乎国家主权、人权，数据跨境流动所涉及的个人权利冲突、国家主权冲突已经影响到了国家间政治交往、经济往来以及网络安全。毫无疑问，公民是有国籍区分的，公民所创造的数据也是有其主权限制的。跨境数据流动如何实现既保障互联网空间信息化建设中数据跨境流动的正常进行，又要保障跨境流动中不危害公民个人的信息安全以及公民国籍所在国的主权，是个人信息安全保护领域立法首要解决的难题。

参考文献

[1] （美）小约瑟夫·奈.《理解国际冲突：理论与历史》（第五版）[M].上海：上海人民出版社，2002.

[2] 刘云.欧洲个人信息保护法的发展历程及其改革创新[J].暨南学报（哲学社会科学版）， 2017（2）.

[3] Viviane Reding，Strong and independent data protection authorities： the bedrock of the EU's data protection reform[EB/OL].http：//euro-pa.eu/rapid/press-release_SPEECH-12-316_en.html.

[4] Worldwide Internet Users， by Region PRO” from the eMarketer[EB/OL]. https：//www.emarketer.com/forecasts/584b26021403070290f93a89.

[5] McKinsey Global Institute. Global flows and global growth[EB/OL].  https：//www.mckinsey.com/mgi/overview/in-the-news/global-flows-and-global-gorwth？from=singlemessage&isappinstalled=0.

作者简介：

苏彦（1982- ），女，汉族，山东济宁人，中国社会科学院大学，博士研究生，中共广西壮族自治区党委政策研究室，副调研员;主要研究方向和关注领域：法学理论、宪法、国家安全法。

王炳智（1999- ），男，汉族，山西朔州人，国际关系学院，本科生;主要研究方向和关注领域：数据安全。