跨境电商中个人信息安全的法律问题研究

向泓静 袁振华

（四川外国语大学国际法学与社会学院,重庆 400031）

跨境电子商务已成为贸易产业链的重要组成部分，推动着数字贸易和经济全球化的发展。我国是全球最大的B2C跨境电商交易市场，《中国电子商务报告（2021）》显示，在国务院相关政策的支持下，我国电商“朋友圈”进一步扩大，跨境电商进出口规模约1.92万亿元，同比增长18.6%，持续优化了全球供应链。但随着大数据、云计算等信息技术的发展，跨境电子商务中的个人信息保护持续受到冲击；个人信息的泄露和非法使用不仅关系到消费者的个人安全，还关系到贸易的健康发展和国家的数据主权。当前全球线上消费快速增长，为我国制造业带来品牌出海机会的同时，也带来了个人信息保护的挑战，希望通过本文为我国完善跨境电商个人信息保护体系提供有效建议，推动我国跨境电子商务高质量发展。

1 跨境电商背景下个人信息保护概述

1.1 个人信息的概述

个人信息与人身、财产安全息息相关，尤其在进入大数据时代后，赋予了个人信息更高的商业价值，而跨境电商规模的扩大和环节的复杂性，给个人信息主体乃至国际社会带来了风险和挑战。合理使用个人信息对于个人、企业、政府都具有积极的意义，不恰当地滥用个人信息则会造成巨大的损害

1.1.1 个人信息的概念

“个人信息”在《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）中定义为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”①。

对于个人信息和个人数据的区分，在我国学术界尚存在争议，一部分学者认为个人信息不等于个人数据，数据是表现形式，具有客观性；信息是其反映的内容，具有主观性，对应的内容和主体不同，因此可以说信息是经过加工后的数据[1]。还有一部分学者认为两者之间没有本质区别，在大数据时代，数据早已不再是单纯的信息载体，数据本身就是具体的信息。而本文所探讨的个人信息保护，保护的对象就是信息或数据所承载的人格、财产利益，只是在不同的应用场景中个人信息和个人数据强调的侧重点不同，但在法学保护角度两者几乎可以等同。笔者赞同第二种观点，认为“数据”和“信息”虽然表面上是形式和内容的关系，在互联网专业领域中也具有差别，但是其在法律领域的定义中具有一致性，尤其是在跨境电商背景下，并未对信息和数据作实质区分，因此为方便研究，本文不对“个人信息”“个人数据”作区分。

1.1.2 个人信息的特征

个人信息的特征直接或间接地反映了其价值，总结个人信息的特征不仅能对个人信息有进一步的认识，还有助于个人信息保护的研究。

（1）可识别性。

这是个人信息最本质的特征。可识别性分为直接识别和间接识别，直接识别指通过信息直接锁定到特定个人，间接识别指需通过与其他信息结合才能识别出特定个人。

（2）关联性。

关联性体现在从个人层面到信息层面，指特定个人在其活动中产生的各种信息，如通话信息、行踪轨迹信息、精准定位信息、住宿信息等。这些信息离开了信息主体的归属后可能并不会产生影响，一旦和主体对应后便会产生巨大的商业价值，比如大数据杀熟，信息收集者会先锁定到特定个体，再运用cookies技术追踪、分析用户的浏览、购买记录，描绘用户个人图像，以提供精准服务。

（3）无体性。

个人信息的无体性体现在其有内在含义但没有外在形状，不同于民法中可以直接支配的客体，个人信息需要依附一定的介质才能被复制、传播，如《个人信息保护法》对于个人信息的概念所述，个人信息必须以电子等一定的方式得以固定，因此法律并不要求对其进行支配性控制，而是通过收集、存储、加工等形式实现对信息的管理[2]。

（4）价值性。

政府通过对个人信息的大量收集、使用，可以更加高效率地进行公共管理，出台相应的政策精准解决问题，使人民受益；企业通过个人信息的大量收集、使用，建立信息库，在互联网技术的帮助下给使用者带来个性化的服务，产生巨大的商业价值[3]。

1.2 跨境电商对个人信息保护的影响

1.2.1 对传统法律管辖理论的冲击

在跨境电商的环境下，传统法律管辖中的属地管辖、属人管辖原则得到了一定的拓展。其一，属地管辖。在电子商务领域中，通常会以地域作为法律管辖权的依据，例如经营者所在地或者消费者所在地，以及因进入互联网时代而设立的设备所在地管辖理论[4]。虽然在一般情况下电商平台企业会将企业信息公开，并且通过技术追踪也可以确定商家、服务器所在地，但互联网的虚拟性、无边界性以及技术的不断发展使地域认定充满了不确定性。其二，属人管辖又称国籍管辖，即基于个人信息本身，当一个国家将个人信息输出至另一个国家，需继续受到该输出国的管辖，理论上是对法律境外管辖权的拓展，大部分国家不愿接受这种“属人管辖”原则，这意味着本国企业要受他国法律约束，对本国企业无益，并且这种管辖权的延伸会与他国管辖权产生冲突，难以解决。

1.2.2 各国规制体系不同且国际无统一法律和惯例

许多国家都进行了个人信息保护立法，但是各国的规制体系及其严格程度各不相同，尤其是跨境电商作为国际贸易的一种形式，其环节会涉及政治、行政管理、海关等方面，不同的价值取向和规制体系可能会对个人信息主体的权益、国家数据主权、本国数字贸易发展带来影响。不同国家、地区对于个人信息跨境传输规定的内容和严格程度并不相同，而目前国际上没有统一的法律和国际惯例来规制，这使得跨境个人信息保护困难重重。

2 我国对于跨境电商中个人信息保护的现状及困境

当前我国对于跨境电商中个人信息保护有较为系统的立法体系，在立法的基础上，通过各行业协会的领头和第三方认证机构的设立，形成行业自律机制，共同保护个人信息。

2.1 立法现状

当前，我国个人信息的法律保护体系由法律、司法解释、部门规章及相应指导性文件构成。2021年施行的《个人信息保护法》是我国首部关于个人信息保护的专门立法，在此之前是分散在《中华人民共和国刑法》《中华人民共和国民法典》《中华人民共和国电子商务法》等部门法的规定中，因此自该法颁布以后我国便开始形成了体系化的个人信息保护制度。

《个人信息保护法》是我国首部专门规制个人信息保护的法律，在个人信息保护的法律体系中占据重要地位，该法明确了个人信息、个人敏感信息的定义，收集、处理、跨境提供个人信息时应当遵循的原则，以及适用本法的情形。

在行政规章层面，《数据出境安全评估办法》填补了我国对于数据出境管理方面的规定，该办法规定了其适用情形、数据出境前评估的内容、主体、需提交的材料、数据处理者的义务等。

2.2 行业自律

我国关于个人信息保护的行业自律体系主要是在中国互联网协会、中国消费者协会、中国电子商务协会、中国网络空间安全协会和第三方认证机构的参与下形成的，是在行业协会组织的引领下于内部制定规范进行自我约束的一种体系。相关协会发布倡议书和公约，引导企业严格遵守国家有关法律法规、政策和标准，加强行业自律，促进行业持续、健康、有序的发展。因为是由行业协会组织制定，规范的内容并无法律强制力，更多的是倡导性条款；但和立法相比，行业自律规范具有更强的灵活性，可以根据各行业的特点和发展趋势制定出最适合本行业的个人信息保护方面的规定。

2.3 存在的问题和面临的困境

2.3.1 部门保护职责有交叉和冲突的可能

《个人信息保护法》第六章中规定了履行个人信息保护职责的部门，但只对国家网信部门的统筹协调工作做了较为详细的阐述；而对国务院有关部门、县级以上地方人民政府及其有关部门的职责规定较为模糊，仅规定“依照本法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作”“按照国家有关规定确定”。在第六十一条中用概括和兜底的方式列举了履行个人信息保护职责部门的职责，并未对主体和职责做更细的划分，这意味着当其他法律、行政法规对行政机关的个人信息保护职责有规定时，该机关同样也拥有个人信息保护领域的执法权，且可能拥有相同的保护、监督职责。虽然网信部门会负责统筹协调保护监管工作，但统筹协调毕竟不是集中管理，没有直接的管理权，在协调各部门的职责时多有不便和难以解决的时候[5]。因此，在实践中处理具体事务时，可能发生难以确定执行和监督主体、部门之间“踢皮球”推诿责任、维权周期漫长等难题，信息主体难以得到有效救济，最终带来人身财产等方面的损失。

2.3.2 信息主体权利救济不足

《个人信息保护法》第七章规定了违反本法规定应承担的法律后果，罚款金额在一万元以上一百万元以下不等，或者上一年度营业额百分之五以下。如果是针对跨国公司，一是很难说明以哪一部分年度营业额为准，是只针对我国营业额、个人信息流通过的国家地区的营业额、全球营业额，或是母公司营业额、子公司营业额，还是应当一并计算，都亟待明确和细化，二是罚款金额幅度是否具有威慑力，例如一百万元的罚款远不如其通过侵犯信息主体可能获得的违法所得大。信息主体即消费者，在跨境电商的往来中处于较弱势的一方，法律法规中虽规定了受理相关投诉、举报的部门，但是处理的流程和救济手段不明确，现实中大多数信息主体会因不清楚维权方式或者认为成本过高而放弃维权。

2.3.3 行业自律体系亟待完善

我国的个人信息保护行业自律体系中虽然制定了许多行业自律规则，但在内容方面多是原则性的倡导，涉及个人信息的使用、跨境运输等具体内容，便以遵守国家有关规定为准。在实施方面没有规定专门的监督、认证机构以及违反自律规则后的责任，在遵守自律规则、个人信息保护认证的积极性和实施效果上有所欠缺。

2.3.4 缺乏覆盖电商全流程的个人信息流动监管机制

关于数据跨境流动的专门规定有《数据出境安全评估办法》以及分散于《个人信息保护法》《个人信息保护认证实施规则》《信息安全技术—个人信息安全规范》的相关规定，总体上规定较少，实施情况有待进一步考察。此外，在《数据出境安全评估办法》中，对于事前安全评估的流程、主体等规定有些模糊，需要进一步完善。覆盖跨境电商各个环节的监管机制目前也没有明确的规定，导致个人信息在跨境流动过程中的安全性难以得到有效保障。

2.3.5 个人信息违法行为处罚的主体难以准确确定和执行

跨境电商涉及电商企业、买家、海关、快递物流企业等众多主体，包含供应链管理、产品推广和营销、订单与客户服务等多个环节。跨境电商个人信息流转链条十分复杂，个人信息遭擅自披露、采集或使用风险巨大；当前对于个人信息违法行为的处罚，存在难以确定信息泄露的环节以及执行的问题。

3 完善我国对跨境电商中个人信息的法律保护

3.1 完善立法、推出配套法律法规

我国对于个人信息保护立法起步较晚，且随着互联网技术、我国跨境电商贸易规模的不断发展和扩大，需要不断地更新和完善立法来适应时代的需求，以促进贸易发展、保护我国信息主体、企业合法权益以及国家数据主权。

3.1.1 明确《个人信息保护法》中规定的执行、监督机构及其职责

党的二十届二中全会通过了《党和国家机构改革方案》，深化国务院机构改革是其中的一项重要任务。决定根据议案组建国家数据局，从已有的信息中可以看出设立国家数据局的核心目的是更好地维护数据安全，促进数据共享和数字经济的发展。其中不可避免地会涉及个人信息的安全，但是从《党和国家机构改革方案》公开的信息来看，国家数据局未涵括《个人信息保护法》提及的有关部门的个人信息保护职责，因此履行个人信息保护职责的部门依然是《个人信息保护法》中所提及的主体。但事实上很有必要设立一个单独的、专门履行个人信息保护职责的数据保护机构，不仅可以拥有统一的执法权以便于统一管理消除职权冲突，还可以有效促进行业自律的发展。基于此，《个人信息保护法》中所提到的履行个人信息保护职责的部门，其监管、接受处理投诉、调查违法处理活动的职责可以分离出来划给国家数据局的对应部门，或可能会成立的单独的个人信息保护机构；在其统一管理下，承担一些辅助的职责，例如开展宣传教育、定期测评等工作，再进一步明确各部门应履行的相应职责，以避免职责模糊不清发生冲突的情况出现，保证个人信息保护工作的顺利进行。

3.1.2 明确数据跨境流动涉及程序的主体及其职责

《数据出境安全评估办法》第三条规定数据出境需坚持事前评估和持续监督相结合，但在第十条中提到的安全评估的主体过于广泛，亟待明确。首先，专门机构是需部门指定、有可选机构名单，还是自选经部门认可的机构即可；其次，安全评估的主体职责范围，是共同合作完成还是负责不同的板块，同时应当公开具体的流程，以供数据处理者查阅。

数据出境的持续监督规定也未明确监督机关、监督流程等详细规定均未在该办法中体现，缺少这一重要环节便不能使数据出境得到安全保障。建议将持续监督的规定和流程进一步落实，在与事前评估的环节有效衔接的同时，不阻碍数据跨境自由流动。

3.1.3 明确、细化信息主体救济方式

《安全规范》和《个人信息保护法》分别提到了个人信息控制者建立投诉机制以及履行个人信息保护部门接受、处理相关投诉、举报，但未细化相关规定，个人信息主体或难以进行救济。有关部门应做好协调统筹工作，进一步完善保护职责部门个人信息保护投诉、举报工作机制，为个人信息控制者建立投诉机制提供原则和方向。我国跨境信息流动规模较大，还可考虑将向个人信息控制者投诉作为向保护职责部门投诉的前置程序。

除了投诉机制外的司法救济也应得到进一步完善。司法救济惩罚针对的主体不应只是数据控制者、处理者，还应考虑到相关监管、认证机构在监管、认证过程中如有侵害信息主体利益时对应的申诉手段，以确保信息主体有效地维护其个人信息。此外，应明确惩罚规则中关于罚款金额的规定，进一步说明责任主体的确定方式，以及存在多种责任主体时的责任承担方式；惩罚金额是全球总营业额，还是针对中国或个人信息接受国的营业额，并确保此类惩罚的有效性、成比例性、劝诫性。

3.2 完善行业自律机制

3.2.1 建立专业保护认证机构

行业自律机制因基于自愿原则，在实施效果上并不理想，对此可以设立或者明确专门的认证机构，在行业协会的组织和倡导下制定有效、合理、科学的认证、事后监督流程。行业协会也须充分发挥领头作用，引导企业形成科学有效的企业内部自律规则，鼓励龙头企业在保护技术和规则制定方面分享经验、互相帮助，共同提高行业自律机制。考虑到我国对于企业自我认证的意识不足以及认证成本过高，可以在保障机构专业水平的同时，向公众宣传“保护认证”的权威性，使认证机制在公众领域产生信服力，进一步增强企业认证的自觉性，以获得信息主体的认可和信任。

3.2.2 增强行业自律机制的影响力

个人信息控制者内部应建立一套可操作性的管理方案，以适应行业自律机制的发展。可在内部设立监督机制，对查询和事件进行及时响应和反馈，在监督的同时定期更新该管理方案，而在外部也可通过第三方监督的方式，以检验行业自律的成果。个人信息控制者内部定期向第三方监督机构汇报安全评估成果，在出现安全隐患、事故风险时，可以及时反馈并得到帮助，对此可以由具体的行业协会履行该职责。

3.3 加强国际合作

一国国内法的规定无法覆盖每一个环节，难以对境外主体产生效力，而国际合作可以突破这层壁垒。通过双边、多边平台的国际合作不仅可以促进本国的个人信息立法进程、提高保护水平，还可以与其他国家进行友好交流，在组织框架内实现数据自由流动和贸易交流。

3.3.1 加入CBPR体系

CBPR体系是跨境隐私规则体系（Cross-Border Privacy Rules）的缩写，是《亚太经合组织隐私框架（2015）》中最具特色的规定，是一个基于自愿的，以促进亚太经合组织经济体之间隐私尊重的个人信息流动的问责制方案。CBPR体系主要从执法机构、问责代理机构、企业三个角度进行了规定，形成了法律规制加行业自律一体的规制体系。

我国是亚太经合组织成员，但至今未能申请加入CBPR体系，这和目前我国个人信息保护立法水平等因素有着直接的关系。CBPR体系在国际上具有一定认可度，《中国电子商务报告（2021）》显示，我国跨境电商出口国前10名中[6]，有8个国家是亚太经合组织成员，7个国家已加入CBPR体系。如果我国加入了CBPR体系，不仅能够更好地与跨境电商贸易伙伴交流、促进数据跨境流动，还可以借此平台与国际接轨，促进与美洲、欧洲国家的交流。因此，我国应当充分提高、完善相应规定和机制，争取早日加入CBPR体系。

3.3.2 加强现有合作机制和框架

在拓展交流平台和对象的同时，也要加强现有合作机制和框架。我国加入了亚太地区规模最大、最重要的自由贸易协定《区域全面经济伙伴关系协定》，申请加入了《全面与进步跨太平洋伙伴关系协定》和《数字经济伙伴关系协定》，倡导发起了《携手构建网络空间命运共同体行动倡议》《“一带一路”数字经济国际合作倡议》等国际合作倡议[7]，我国积极地参与到网络国际空间和数字经济的治理之中，在完善自身的同时贡献中国智慧、中国方案、中国力量。对此，应当继续巩固和加强同东盟国家、“一带一路”沿线国家等贸易伙伴的合作与交流，通过签订协议、谅解备忘录等方式减少贸易壁垒，共同实现跨境电商下的个人信息保护。

4 结语

个人信息被称作是大数据时代的“新石油”，其重要性和价值与信息主体的人身权益、财产权益息息相关。我国近年来在立法方面逐渐完善，形成以《个人信息保护法》为中心的保护体系，但涉及跨境电商领域个人信息跨境流动的规制还有待完善。基于我国国情，可以适当参考其他国家、地区个人信息保护机制的规定，以完善立法、行业自律、国际合作等方面，在保证数据自由跨境流动的同时，使个人信息的安全得到有效的保障和救济。其中立法方面的完善是重点，明确数据出境全流程涉及的主体及其职责，与行业自律机制有效结合，同时加强国际合作，达到事前预防、事中保障、事后救济的最佳效果。

注释：

①《个人信息保护法》第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。