浅议个人数据跨境流通制度之现状

【摘要】个人数据流通广泛存在于国际贸易和跨境电子商务活动中，其立法和制度建设向来受到各国立法机构的关注。个人数据流通制度最早在上世纪70年代出现，经过欧美等国家和有关国际组织的发展，已经形成具有独特的制度立法特点和趋势。然而，个人数据流通制度面临个人权利的多重属性以及立法价值的多重抉择等难题，导致其制度建设存在现实上的困境。

【关键词】个人数据流通大数据计算个人数据权利

立法价值

随着互联网信息技术的不断发展，数据跨境流通在国际贸易以及跨境电商业务中日趋频繁，受到世界各国立法者共同关注。所谓个人数据跨境流通，是指个人数据跨越国界的传输和处理。个人数据不同于国家安全数据，在立法上面临着数据保护和数据流通自由双重的价值选择难题。同时，个人数据的跨境流通涉及不同国家的数据保护法。面对有差异的数据保护水平，个人数据流通环节中难免存在问题。

一、个人数据跨境流通制度的缘起和发展

从互联网技术诞生伊始，个人数据跨境流通的问题就已经引起立法者的注意。早在20世纪70年代，跨境数据流通的概念就由OECD科学技术委员会（CSTP）下设的计算机应用工作组（CUG）提出，其表述为Trans-border data flows（TDF)。1980年，经济合作与发展组织（OECD）发布了《关于保护隐私与个人数据跨境流动的指南》（Guidelines governing the protection of privacy and trans-border flows of personal data），该指南直接在跨境数据流通内容的范围中加入了“个人数据”,即个人数据（personal data) 跨境流通是“跨国境的个人数据流动”。。1981年，欧洲委员会通过了《有关个人数据自动化处理的个人保护公约》（Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, “Convention 108”）（以下简称“《108 号公约》）这一法律文件，该公约明确了跨境数据流动的基本法律规制，协调了信息自由流动与隐私保护之间的冲突；同时，公约对信息保护只规定了应遵守的原则，而把原则的执行留给成员国自行决定，这样做既划定了权利底线，以防缔约方以隐私保护为借口限制信息的跨境流动，又保留一定的灵活性，避免公约与缔约方本国的社会文化背景相冲突。

随着信息技术的进一步发展，大数据，云计算的新型技术类型使个人数据跨境流通的情形变得更加复杂。1990年，联合国经济与社会理事会人权委员会第四十六届会议通过《电子计算机人事资料档案管理准则》。该准则规定了数据资料管理的六项原则，并在其后有规定了监管与处罚，适用范围，个人数据跨境数据流通的内容。欧盟紧随其后，于1995年通过了《关于个人数据处理及自由流通个人保护指令》（以下称“《數据保护指令》”）。《数据保护指令》围绕个人权利保护为核心，确立了两个基本的宗旨。第一，在所有的欧盟成员国内实现统一的最低水平的个人信息保护。第二，允许欧盟成员国范围内信息的自由流动，防止成员国以个人信息保护为由阻碍欧盟内部的信息流动。这种内外部区别的数据流通规制方式和“充分性保护”一般原则一直延续至今，成为欧盟个人数据跨境流通规制的特点和一般性原则。进入千禧年以来，随着全球化的进一步加深，2014年跨境数据流动对全球GDP的贡献是 2.8 万亿美元，2016 年全年的货物流动、外国直接投资和数据给全球带来了7.8万亿美元的 GDP 增涨，其中跨境数据流产生了2.8万亿美元的价值。在过去十年中，数据流动使全球 GDP 贡献增长了 10.1％。跨境贸易和电子商务的快速发展为个人数据流通和保护提出了更多的要求。2016年，欧盟为了加强《数据保护指令》在欧盟境内的约束力和对个人数据的保护力度，通过了《一般数据保护条例》（以下称“GDPR”）这一法律文本。GDPR扩大了“充分性保护”的范围，规定了个人数据可携权，遗忘权，删除权等个人数据权利。并且出台了严厉的个人数据保护标准和监管程序。是目前最为完善和系统的个人数据跨境流通保护法律之一。

二、个人数据跨境流通制度的立法趋势和特点

（一）采取统一的立法模式

一国或者区域的个人数据跨境流通制度，往往涵盖多个部门法的内容。个人数据保护和流通的内容为信息保护法所调整，跨境合作和数据管辖涉及国际法调整，跨境电子商务的部分又涉及民商法，经济法。而政府监管制度和执法往往又牵扯到一国的行政法和刑法。因此，在早期互联网发展水平尚未成熟的年代，大部分国家并未采取统一立法的立法方式对个人数据跨境流通进行规制。典型的分散立法国家当属美国，对个人数据相关的立法遍布多个部门法。包括：《联邦贸易委员会法》，《儿童网上隐私保护法》，《公平信用报告法》，和《电话消费者保护法》分别对其管辖的特殊领域进行了规定。以及至于私营部门，更多采用了行业自律的方式。但分散立法存在的弊端是显而易见的，分散立法不能够给予个人数据全面的保护。多个部门法很难涵盖个人数据流通和保护的全部内容，容易造成个人数据保护的真空地带，法律交叉治理又造成的冲突和矛盾。也不利于统一监管和国际合作交流。据统计，世界上已至少颁布了109 部采取统一立法模式的个人数据保护法。因此，制定一部统一的，专门的个人数据保护法，越来越成为世界各国个人数据跨境流通立法的趋势。

（二）法律规制和行业自律相结合

个人数据跨境流通广泛存在于跨境电子商务和国际贸易活动中，可以说现在已经成为最为一般的经济商业现象之一。对于个人数据的流通，企业和个人最关心的无非是数据流通环节中个人数据的安全与否。单纯依靠法律制度去监管，可能导致公权力对数据隐私的过度渗透。而辅以行业自律作为监管手段，既可以产生对违法侵犯数据安全的行为的震慑作用，又可以不过分约束商业间的数据流通。相比于欧洲重视人权，侧重个人数据安全保护，美国更加重视商业环境中数据的自由流通。因此其行业自律体系十分完善。美国的行业自律体系以行业认证机制为主，拥有TRUSTe 和 BBB online 等隐私认证企业，受到市场和消费者的官方认可，其颁发的隐私信赖标章对于引导消费者的流向起到了重要的指导作用。行业自律的高效规制能力收到各国立法者的青睐，欧洲，澳大利亚等国家的个人数据跨境流通制度都包含了行业自律和监管对接的内容。一直致力于推进投资和贸易的自由化的亚太经合组织APEC也制定了跨境隐私规则体系（Cross-Border Privacy Rules, CBPR）。。对加入该计划的企业提供保护认证和评估，是一个区域性的行业自律性规则。由此可见，对个人数据跨境流通的规制，越来越多的国家选择了法律规制和行业自律相结合。

（三）国际合作日益增多

个人数据跨境流通涉及了“跨境”这一情景语境，所关涉的不仅仅为一国之内的数据流通，互联网的特征导致数据流通已经涉及两国甚至多国之间的数据交互。然而需要承认的客观情况是，世界各国对于数据流通和个人数据保护的立法存在较大差异。在电子商务和跨境贸易不发达的国家，例如印尼，柬埔寨等发展中国家，对数据流通的态度多为采取本地化处理，严格限制个人数据出境。而对于发达国家，诸如欧盟各成员国和美国，则又对数据保护采取宽容和鼓励流通的态度。即便是欧美之间，也存在着数据立法保护水平不同的窘境。以至于双方企业无法很好地通过各自的法律合规要求，进而造成业务上的流失。立法上无法求同存异的情况下，双边，多边协调机制便成为国际间数据流通和保护的重要合作方式。例如美欧之间的“安全港”，“隐私盾”合作协议，就很好地弥补了彼此之间立法上的差异，为数据流通和合作保护监管执法，合规准入提供了相对统一的依据。APEC下的CBPR隐私规则体系也是重要的区域行业自律和监管协作机制。

三、个人数据跨境流通制度的困境

（一）个人数据权利具有多重属性。个人数据权利是个人数据保护，流通和规制监管的基石。然而，个人数据权利并非只具有单一的属性，而是同时具备人格权属性和财产权属性。对于数据所有者，即个人而言，个人数据权利最重要的内容应当是个人信息自决权。例如是否能对个人数据信息隐私起到保护，个人是否有权自主删除，更正自己在數据处理者处所储存的数据。这种重视个人数据权利，尤其是个人数据隐私的权利类型具备非常强的人格权属性。对于数据处理者和控制者，即商业组织而言，个人数据权利最重要的内容应当是个人信息控制权，商业组织对个人信息可以合法地流通，并在合理的情况下进行商业活动。例如跨国公司的员工个人信息交互，社交平台上的个人数据信息公开等。这些个人数据是一种商品，具有强烈的财产权属性。对于企业来说，他们更希望能对个人信息有全面和绝对的掌控，并且可以自由的流通。对于个人而言，他们更希望自己能控制和决定自己的个人数据的去向。这种双重属性又是如同阴阳两极一般对立且需要调和。这就为个人数据的保护和流通立法提出了难题。

（二）立法价值取向的三重抉择。对于一个国家的立法者而言，对个人数据跨境流通制度的立法，无非有三种立法价值取向。第一，是个人数据跨境流通制度的立法能够形成对个人数据的良好保护。第二，是个人数据跨境流通制度的立法能够促进个人数据的自由流通。第三，是个人数据跨境流通制度的立法能够确保国家对个人数据的保护拥有充分的自主权。现实情况是，这三种价值取向都同样重要，但却无法同时实现。如果希望在立法上对个人数据安全有良好的保护，同时又确保国家对数据保护立法有自主权。则必然需要限制境内数据向境外的转移，并且尽可能做到数据的本地化处理。如果希望数据的自由流通，又要保证国家立法自主权，则可能会牺牲个人数据在流通环节中的安全。而如果要同时兼顾数据安全和数据流通自由，则不得不面对跨境流通中数据保护立法差异的处境。此时唯一的办法就是将数据保护和流通交付于一个超国家的统一数据管理机构进行协调。但这意味着国家失去了一部分数据立法的自主权。这种出让立法自主权的尝试往往收效甚微，例如联合国所出台的《电子计算机人事资料档案管理准则》，其约束力仅仅局限于各国的立法参考和借鉴层面。实施和执行实效乏善可陈。因此，在应当如何抉择个人数据跨境流通制度立法所产生的三重价值取向，或者说，应当如何平衡这三重价值在立法中的体现。是各国立法者一直以来都关注的难题。

（三）制度监管和执行困难。监管制度一直以来都是一项法律制度的重要组成部分。一部法律文件必然会对其所规制的内容和对象规定相应的权利和义务。而监管制度则是保证法律义务付诸实施的重要基石。然而，个人数据跨境流通的监管本身存在着许多和困难。首先，技术上不足导致监管困难。目前，大数据，云计算等新型数据流通和储存利用形式出现，数据流通环节负责，数据呈现多地存储，海量处理，潜在追踪等多种形态。极难得到有效监管。其次，监管机构分散，无法有效对跨境数据流通案件进行紧密有效的合作监管。最后，事前监管难度高，无法做到防范于未然。对个人数据流通的侵害行为较为隐蔽，个人很难追踪和发现自己的数据何时，何地，被何人所侵害。监管部门不可能时刻追踪用户和企业的数据具体流向和应用，否则会导致执法和监管成本过高。

四、结语

个人数据跨境流通作为跨境电子商务活动中重要的一环，其制度建设成为当今大信息时代的热门话题，对一国的数据信息发展和跨境电商贸易促进都产生了深远的影响。欧美各国也早已投身入争夺个人数据跨境流通制度立法和规则制定的话语权行列之中。我国正值跨境电子商务发展最为迅猛的时期，应当抓住契机，借鉴有关国家先进经验，结合自身实际情况，推出统一的个人数据跨境流通专门立法，以期抓住区域乃至世界个人数据跨境流通的规则制定主导权。为经济的进一步发展和“一路一带”政策提供更好的上层建筑和制度助力。

【参考文献】

[1]孔源. 个人数据跨境流动法律规制的问题研究[D].华东政法大学,2019.

[2]王融.数据跨境流动政策认知与建议——从美欧政策比较及反思视角[J].信息安全与通信保密,2018(03):41-53.

[3]黄宁,李杨.“三难选择”下跨境数据流动规制的演进与成因[J].清华大学学报(哲学社会科学版),2017,32(05):172-182+199.

[4]弓永钦. 跨境电子商务中的个人信息保护问题研究[D].对外经济贸易大学,2016.

[5]马民虎,赵婵.欧盟信息安全法律框架之解读[J].河北法学,2008(11):152-156.

[6]耿晨. 个人数据跨境流动的国际监管与合作制度研究[D].华东政法大学,2014.

作者简介：丁浩霖（1994），男，汉族，广东省汕头市人，法学硕士，单位：暨南大学法学院，研究方向：国际经济法。