赵 骏 向 丽

(浙江大学 光华法学院， 浙江 杭州 310008)

一、 引 言

为了解锁经济增长新来源，提供科学新视角和政府问责新机制，全球经济正经历着信息爆炸[1]5-6。互联网改变了贸易方式，信息传输成为企业经济发展和日常运作的重要部分。信息通信技术是在全球经济中获取生产力、创新力和增长力的关键[2]2,5。使用个人信息[注]有学者使用“个人数据”“个人资料”“数据隐私”，而学界通常使用“个人信息”，如张新宝《从隐私到个人信息：利益再衡量的理论与制度安排》，载《中国法学》2015年第3期，第38-59页。本文对此不做区分，据文章需要交替使用各用语。能为企业、个人、政府和科研机构创造经济和社会价值，个人信息已经成为互联网运作中的“新石油”、数字时代的“新货币”[2]10。而个人信息的跨境流动能够激发创新力、提升生产力和加速经济增长[3]96，对国际贸易具有重要价值。根据世界经济论坛《全球信息技术报告》，2012年美国61%(3 837亿美元)的服务贸易出口和53%的服务贸易进口是通过数字化方式传输的。数字贸易使美国GDP在2011年从3.4%增长至4.8%，创造了相当于240万个工作岗位。2014年，数据流动在全球GDP总值中达到2.8万亿美元[4]39-40。而作为国际贸易的一种新形态，跨境电子商务具有无须法律实体存在、减少进口关税和产品符合性检验、降低金融风险等优势[5]11，也会促进全球经济贸易更深层次的变革[6]88。个人信息的跨境流动对跨境电子商务发展也具有显著意义，它为中小企业参与全球经济和融入全球价值链创造了新的机遇，增加了数字服务出口的机会与价值，而且全球12%的货物贸易都是经由数字平台完成的[7]5-6。例如，欧洲主要的全球电子商务平台Zalando通过数据的跨国界维护和传输以跟踪客户订单、供应产品，其位于法国、德国、意大利和波兰的可联网仓库为15个欧盟国家的2 000万客户提供了商品和服务[8]1。

尽管如此，规制个人信息的跨境流动也是普遍的。规制行为的重要考量之一在于滥用个人信息将威胁到隐私保护[9]11-12。个人信息跨境流动将威胁到公共利益、国家利益、个人隐私等[注]参见Burri M.,″The Governance of Data and Data Flows in Trade Agreements: The Pitfalls of Legal Adaption,″ UC Davis Law Review, Vol.51, No.1(2017), pp.67-69。规制的其他考量还在于国家安全、政治限制、道德限制、知识产权保护、商业限制，见Meltzer J.P.,″The Internet, Cross-border Data Flows and International Trade,″ Asia & the Pacific Policy Studies, Vol.2, No.1(2014), pp.93-96。，本文主要讨论其对隐私权的影响(后文所提到个人信息跨境流动的规制也仅指出于隐私权保护的那部分)。2018年Facebook数据泄露事件[注]Rosenberg M., Confessore N. & Cadwalladr C.,″How Trump Consultants Exploited the Facebook Data of Millions,″ 2018-03-17, https://www.nytimes.com/2018/03/17/us/politics/cambridge-analytica-trump-campaign.html, 2019-01-31.再次引发了人们对信息安全与个人隐私的担忧。个人信息的开拓性和创新性使用在带来更大的经济和社会效益的同时也增加了隐私威胁[注]OECD,″Recommendation of the Council Concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data,″ 2019-01-29, https://www.oecd.org/internet/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm#recommendation, 2019-01-31.，面临着科技飞速发展带来的严峻考验[10]284-285。个人信息保护在司法实践上呈现出以“欧陆逐步发展个人信息权”和“美国隐私权”为代表的两种模式[11]119。我国学者也有主张选择个人信息权保护路径的。因为个人信息权和隐私权在权利属性的界分、权利客体的界分、权利内容的界分以及保护方式上具有差异[12]66-68，隐私权路径无法全面保护个人信息商业化利用产生的财产利益[13]43。而且，出于个人信息的独立性与支配性，个人信息权需被视为一种具体人格权[14]74。但也有学者认为，隐私权包括个人信息权[15]208-209，是个人享有维护个人生活安宁、排除他人非法侵扰的权利[16]487；隐私权也是个人对私人信息、私人生活和私人领域进行支配和控制的权利[17]285。对隐私进行解释与重构，既能够在理论上调和成文法规范，又能维护法之稳定性。而且，个人信息权的讨论虽然热烈，但其如何自洽于既有法律体系则尚未明晰，故本文仍选择从隐私权保护出发。

总之，规制数据跨境流动具有相当的必要性，个人隐私保护与信息自由流动间的平衡之于人权保护与国际贸易发展都将是不可忽视的命题[9]6-9[22]477-478。

二、 跨境电商个人信息跨境流动规制

分析个人信息跨境流动，对信息的定义是逻辑起点。杜伊认为信息应当具备四个要素：信息是可分的，信息必须包含一定的内容，信息应当被认为是一个过程，信息可理解为一种知识状态或是对知识内容的占有，以衡量信息交流的结果[注]Druey J. N., Information als Gegenstand des Rechts, Zurich: Baden-Baden, 1996。转引自谢远扬《信息论视角下个人信息的价值——兼对隐私权保护模式的检讨》，载《清华法学》2015年第3期，第98页。。那么，个人信息就是与私人相关的信息。在具体定义上有不同方式：概括列举混合型[注]参见我国台湾地区“个人资料保护法”第2条。、概括型[注]参见我国香港地区个人资料(私隐)条例关于“个人资料”的定义。、识别型[注]参见欧盟《一般数据保护条例》，第4条。。识别型是目前立法采用较多的方式，在此定义下，个人信息是能够直接或间接识别自然人的信息。可识别性是区分个人信息与非个人信息的关键标准，凡能够单独或结合识别自然人的信息都是个人信息，否则为非个人信息[23]107。那么何为可识别性？欧盟是出于“合理性考量”，认为如果一项识别需要付出不合理的时间、努力或资源，那么它就不具有可识别性[24]3-4。加拿大国内判例进一步明晰，合理的识别是与既有资源结合[注]Gordon M., The Minister of Health(Canada), 2008 FC 258, para. 32.。美国对于个人信息定义，除了采取从信息到个人的可识别性路径，还纳入了从信息到个人的关联性路径[25]72。最后，至于“个人信息跨境流动”，按照经济与合作发展组织《隐私保护和个人数据跨境流动指南》即指“个人信息跨越国境的移动”。

跨境电商建设需要国际法与国内法双重视野，其全球性、跨国性的特征要求国际、国内规则的协调统一[6]。国际法治与国内法治在法治的理念、价值和核心要素上是一致的，但在形态与模式上存在差异[26]135-138，全球治理下此二层级法治相互贯通、相互影响，全球治理所依赖的法治需要国际与国内法治持续、广泛地互动[27]82-83。作为跨境电商建设的重要一环，个人信息跨境流动规制同样需要植根于国际与国内的双重法治土壤。在此过程中，国际规则旨在关注不同国家的共同需求，而国内规则更关注整个国家在经济、政治、社会、文化等多个领域的需求，立足于国家个性[28]31-32。规则间互动互融，对全球数据流动共享共融、和合共生具有重要的现实意义[29]44。

个人信息的跨境流动有利于跨境电商发展，但一些国家和地区会基于隐私威胁而限制数据流动。对此，制定或通过恰当的法律并确保其得以执行有助于促进发展[30]8-9。自20世纪70年代起，国际社会开始探索数据保护规则。这些规则平衡着数据流动各方利益诉求，且以一种确定的方式记录下来，不断提升着数据保护水平，也促进了技术的发展[31]142-144。但不能否认的是，尽管数据处理的商业和技术环境发生了根本变化，但利益博弈使得规则间各自为营，时至今日，一个广为接受的全球范围数据跨境流动协调规则依然不可多得[9]6。至于国内层面，截至2016年4月，世界上108个国家实施了信息保护法，但立法方式有所区别，大约60个国家没有信息保护法[注]UNCTAD, Data Protection Regulation and International Data Flows: Implications for Trade and Development, New York: United Nations Publications, 2016, p.42.。此外，很多法律规则赶不上现实发展的节奏。总之，能兼顾个人信息跨境流动与其他利益平衡的良法能促进国际经济的发展，而良法的缺位则阻遏着该领域全球治理的实现。

三、 规制个人信息跨境流动的多边规则

应对全球问题，制定国际规范，建立可预期的国际制度，进而形成公正、有效的全球化模式是可行路径[27]81。对于个人信息跨境流动下的隐私权保护，我们首先需要明确已有制度现状，厘清该领域的典型规则，从而考虑现有制度中的不足，再思考如何进行制度的供给或改革。

(一) 价值倾斜

虽然我们强调人权保护与经济发展间的平衡互促，然而在现有主要制度中，欧盟模式倾向于人权保护，即在满足一定条件时，数据可以流动；美国模式倾向于数据自由流动，在特殊情况下允许减损。

当混凝土路面局部出现断板、角隅断裂、轻微错台等病害，整体路基完好，根据旧路检测评价路基满足利用要求是，为避免不均匀沉降，可采用挖除旧路混凝土面层结构直接加铺路面结构方案处理，可以将混凝土面板打碎后碾压，将旧路整体作为路床使用。

欧盟对个人信息保护的探索处在世界前列，其数据流动规则植根于对人的权利与尊严的维护，自1995年《个人数据保护指令》(Directive 95/46/EC)后，欧盟逐渐发展出一套有别于美国的数据保护规则，奠定了欧洲数据规则雏形[32]1968。该指令对数据跨境流动规定，只有在第三国满足与该指令相符合的充分保护条件时，数据方可流动至该国。如此措辞不难发现，欧盟将对人权的保护置于数据自由流动之上，并通过充分保护人权增强规则影响力。但该指令制定时间久远，需要转化为国内法施行，易造成欧盟成员国国内法异化且效力受损，为了适应时代发展，欧洲议会和欧盟理事会制定了《一般数据保护条例》(GDPR)。条例第五章规定了个人数据向第三国或国际组织转移的规则，在一般原则上承袭了指令的规定，转移的前提是满足充分保护条件，并明晰充分保护条件的判断标准。在无法评估充分保护条件时，控制者或处理者需要提供适当保护措施，且在保证数据主体权利以及具备有效救济措施时方可转移。另外，条例赋予数据主体充分权利，使其具有域外适用效力以扩大管辖范围，设立独立监管机关，还规定了严格的处罚条款等以实现个人对其数据的自主控制。

从美国参与和主导的数据流动方面的规则看，美国倾向于数据自由流动以激发企业创新力，落脚点在于经济发展。经济与合作发展组织《关于隐私保护和个人跨境数据转移的指南》(OECD Guidelines)规定了国际上数据自由流动，不得施加不合理限制。亚太经济合作组织《跨境隐私保护规则体系》(CBPRS)与《亚太经合组织隐私保护框架》(《APEC隐私框架》)保持一致。《APEC隐私框架》对个人信息跨境流动规定，由私人信息控制者采取合理措施确保接收者能够提供与该框架规则相符合的措施，相较于欧盟的充分保护条件，其对数据跨境流动的门槛更低。CBPRS具有强烈的美国色彩，倡导信息自由流动，鼓励促进电子商务和跨境贸易，是一个“自愿的，以问责为基础的”体系，主要是通过企业自律机制发挥效用，引入隐私执法机构和问责代理机制。

总之，欧盟个人数据保护立足于人权保护，通过以国家为主导的自上而下的路径实施规则；美国倾向于数字经济发展，依赖企业自律施行规则[33]12。笔者认为二者不可偏废，且相辅相成。数据的自由流动对经济发展具有重要价值，而经济基础的夯实对人权保护制度的完善也有积极作用。电子商务发展中如能较好地保护人权，将激励人们接纳新型消费方式，也认可信息流动的意义，从而促进经济发展。故而国际制度的构建应在二者间寻求动态平衡。2018年10月10日开放签署的《有关个人数据自动化处理之个人保护公约》更新版本作为目前唯一具有法律拘束力的国际性公约就对此做出了尝试[注]Council of Europe, ″Protocol Amending the Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data,″ https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/223, 2019-01-31.。

(二) “软硬”失衡

现有规则中，联合国大会通过的《数字时代的隐私权》、联合国人权理事会第28/16号决议都强调对数字时代的个人信息提供隐私权保护，OECD Guidelines、CBPRS、数据保护与隐私专员国际大会发布的《蒙特勒宣言：全球化世界中个人数据和隐私保护——尊重多样性的一致权利》以及联合国国际贸易法委员会通过的《电子商务示范法》等，虽然具有广泛影响力，但究其根本都是不具有拘束力的倡议性、原则性的“软法”。其欠缺明确的责任规定和程序设计，任意性解释空间大，认可程度上具有随意性，法律发展具有不规则性等，如果过度依赖软法将难以实现法治[34]45-46，希望由成员国国内法转化适用也易造成数据保护规则的碎片化。而像GDPR这样的“硬法”却因过于严苛而难以扩大其全球影响力。GDPR生效后，美国商务部部长威尔伯·罗斯就对其持否定态度，表示GDPR实施会扰乱欧美合作并制造贸易壁垒[注]Wilbur Ross,″EU Data Privacy Laws Are Likely to Create Barriers to Trade,″ 2018-05-30, https://www.ft.com/content/9d261f44-6255-11e8-bdd1-cc0534df682c, 2019-01-31.。GDPR具有域外效力，但如何域外执行以及能否得以执行仍不得而知。而且，“硬法”很大程度是对国家主权的削弱，这实非国家所愿，就算欧盟成员国也并非全为GDPR的施行做好准备并乐见其成[注]I-SCOOP,″Why EU Member States and National DPAs Will Not Be Fully Ready for GDPR in Time,″ 2018-02-16, https://www.i-scoop.eu/european-member-states-dpas-ready-gdpr-time/, 2019-01-31.。成员国内数据保护水平存在差异，严厉的规则可能导致企业创新力下降、合规成本增加，从而挫伤国际贸易的发展。因此，未来在制度构建上需要加强软硬法结合治理，走向一种混合法治的新模式[35]108。至于如何混合治理，这取决于参与者的力量博弈、差异分配程度、政权的组成与性质以及不同的执行方式[36]799。

(三) 适用困难

保护人权与基本自由是联合国的宗旨之一，联合国对隐私权保护长期关切。《公民权利和政治权利国际公约》(ICCPR)明确了对隐私权的保护，且规定公约缔约国尊重和保证其领土内和受其管辖的一切个人享有本公约所承认的权利。那么缔约国是否需要保护在其领土外个人的隐私权？这涉及ICCPR的域外适用问题。通说认为，当个人非位于缔约国领土但处于缔约国实际力量或有效控制下时，ICCPR即具有域外效力[37]621-625。故而，当个人信息传送至他国，处于他国实际力量或有效控制下时，他国应当给予与ICCPR规定一致的保护[38]359-365。但是，许多国家基于将生命权置于优先地位及反恐等原因，并未对公民网络隐私给予充分保护，而人权公约又缺乏强制执行与惩罚的机制[39]676-677。因此，国家逐渐寄希望于贸易协定来解决问题，但现有贸易协定仍然存在问题，WTO协定和《全面与进步跨太平洋伙伴关系协定》(CPTPP)即如此。

WTO规则能否直接用以规制数据跨境流动也是广受争议的。有学者认为应首先通过个案分析将贸易类型归类，如能涵纳于既有协定下，再进一步讨论系属该协定下的何种模式或部门，最后判断是否违反协定内容[40]42-44。但对网上交易和传递的数字化产品能否涵纳于既有的WTO协定莫衷一是[41]19，此时就难以利用WTO规则对个人信息进行隐私权保护。此外，WTO协定旨在促进贸易自由化，对人权保护关注不足。将保护个人隐私视作例外情形的仅在《服务贸易总协定》中有所规定(第14条)。因此，利用既有规则应对新问题不免捉襟见肘。对此，有学者提出，WTO可以采取数据区分方式建立规则[42]323-348；有学者建议，因个人、企业和政府在数据跨境流动中各有利益需求，从而发展出了以美国、欧盟、中国为代表的三种规制路径，WTO需要从三者共性出发制定新规则[43]245-272。这些讨论的共性都在于，如果要在世贸组织框架下解决问题，就更寄希望于新的多边规则或《服务贸易协定》可以有所突破，抑或是WTO能够从已有的治理经验中寻求路径。至于CPTPP，其明确了电子商务发展过程中对个人信息的保护。在跨境传输信息中，既肯定缔约方的监管需求，也表明原则上允许个人信息的跨境传输，但在为了实现合法的公共政策目标以及在措施合法的情况下可以减损。CPTPP对数据流动的规制仍具有贸易协定的一般问题，如谈判过程不透明、争端解决程序影响数据保护规则以及条文宽泛、缺乏操作性[20]37。

这些规则对跨境电商发展中个人信息跨境流动的隐私权保护可以起到一定作用，但其存在的问题也表明，建构一套适用于数字经济发展的个人信息跨境流动多边规则仍然必要。

四、 规制个人信息跨境流动的国内立法模式

除了国际治理，全球治理“两造”之另一主体即为国家治理。“国家治理是全球治理的核心部分。”[27]80分析各国国内规则可以了解各国规定及发展趋势，为个人信息跨境流动规制提供借鉴。如今，数据跨境流动完全自由或是完全限制都无法实现发展，国家基于不同利益需求会采取不同立法模式，大致可以分为以下三种[注]此三种模式借鉴了张金平的划分方式，但将其“第三国适当性评估模式”改为“适当性评估模式”，因为当个人数据转移至国际组织或港澳台地区时仍适用适当性评估；将“数据控制者担保模式”改为“数据控制者确保模式”，因“担保”一词财产法色彩较重，易产生歧义。参见张金平《跨境数据转移的国际规制及中国法律的应对——兼评我国〈网络安全法〉上的跨境数据转移限制规则》，载《政治与法律》2016年第12期，第140-144页。：

(一) 适当性评估模式

据不完全统计，采取适当性评估模式的国家最多，包括很多欧盟成员国，也包括马来西亚、马达加斯加等国[注]DLA PIPER, ″Data Protection Laws of the World,″ 2018.。欧盟成员国采取此模式是因为其国内法须与GDPR相符合，GDPR第45条第1款规定：“个人数据转移至第三国或国际组织，仅于委员会决定该第三国、第三国国内之领域或特定部门、国际组织确有充分程度之保护时，方得为之。”这种评估需要考量的因素包括法治、对人权与基本自由的尊重、国内相关立法、国际规则与判例、行政与司法救济；执行的充分、与监管机关的合作；加入的与个人数据相关的国际协定等[注]参见《一般数据保护条例》，第45条第2款。。但值得注意的是，几乎所有这些国家内，该模式都并非数据跨境转移的唯一情形，它们或设置减损条款，或规定其他情形最终扩大数据转移之可能。例如，马来西亚《个人数据法案》中规定诸多不适用适当性评估模式的情形[注]马来西亚《个人数据保护法案2010》，第128节。，其中也包括数据控制者确保模式和数据主体同意模式。

适当性评估模式主要为欧盟成员国所采取，这与欧洲数据保护规则探索已久不无关系，因而从立法技术、实际操作上看，该模式都更适合。它的优势在于,如果满足条件就能促进数据广泛流动，而对国家、地区和国际组织数据保护制度进行评估有利于法律的和谐，在评估保护是否充分时采取“白名单”有助于人权保护规则更加透明开放[20]14；其不足在于，进行评估程序复杂、耗时较长，方式选择不当易异化规则，且因限制严格而阻碍贸易发展[44]134。

(二) 数据控制者确保模式

选择数据控制者确保模式的国家有美国[注]美国国家立法中并没有对个人信息跨境流动施以地域限制，但是大多数美国企业都被要求采取合理措施保护敏感个人信息的安全，一些州有相关立法。此外，美国主导CBPRS，整个规则体系具有美国色彩。美国2018年3月通过的“CLOUD法案”中也借鉴了该模式。、澳大利亚、加拿大、菲律宾、俄罗斯、新加坡等，大多是APEC成员。这些国家的立法也与《APEC隐私框架》规定相似，根据《APEC隐私框架》，个人信息跨境流动不受限制的一个前提是数据控制者采取合理措施确保接收者将采取与框架一致的数据保护措施。该模式选择从企业切入扩大影响力，不可否认，其可以创新数据保护路径，利于形成企业数据保护的最佳实践。但对企业监管困难，导致新生企业负担过重[注]参见张金平《跨境数据转移的国际规制及中国法律的应对——兼评我国〈网络安全法〉上的跨境数据转移限制规则》，载《政治与法律》2016年第12期，第143-144页。，企业固有的利益趋向性也使其难以平衡个人、企业、政府利益。不过，《APEC隐私框架》在数据跨境转移规制上也纳入了数据主体同意模式，而澳大利亚InformationPrivacyAct2014除了将同意作为例外情形，还规定了诸多例外[注]Information Privacy Act 2014(Australian Capital Territory), Principle 8.。

(三) 数据主体同意模式

采用数据主体同意模式的代表国家就是中国。我国《网络安全法》第42条规定：“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。”中国的电子商务发展世界领先，但数据保护规则仍处于探索阶段。数据主体同意模式相较于前两者更加简便，将权利赋予个人，企业也减少了合规成本[20]。由于数据保护规则尚不成熟，选择由数据主体来决定是否进行跨境转移更符合发展中国家的需求。不过，实际操作仅就“同意”这一要件就产生诸多困扰。有学者认为它的理论根基不牢固,同意本身缺乏必要性，真实性也难以保障，不符合经济考量，并且大量例外规定实质上削弱了同意基础的效力[45]128-132。该模式也容易导致数据保护实践的碎片化[20]14。此外，在有的国家数据主体同意并非个人信息跨境流动的唯一条件，例如，根据中国《网络安全法》第37条，还需进行安全评估，但此处的评估与适当性评估模式中的评估不同，主要体现在中国的评估是对内，是对需要转移的个人信息和重要数据进行评估；而欧盟成员国是对外，是对数据流入国的保护水平进行评估。而日本《个人信息保护法》规定，除了数据主体的同意外，如果接收者能够持续采取与日本数据保护规定相符合的措施或者接收者所在国家对个人权利和利益的保护程度与日本同等，那么数据仍可跨境流动[注]参见《日本个人信息保护法》，第24条。。

(四) 总结

三种国内立法模式实则反映了欧盟成员国、美国、中国在数据治理上呈现的三种典型做法。从上述分析看，目前适当性评估模式采用最多，一方面源于欧盟的影响力，另一方面在于其数据保护规则的特性。三者相比较可以发现，欧盟成员国的适当评估性模式是一种对外的事前防范制度，美国行业自律+问责制体现为一种事后途径[44]，而中国选择数据主体同意+安全评估则是一种对内的事前防范制度。中国的选择是维护国益、公益的要求，也是大数据时代下实现国家数据安全的自然应对[46]75。不同模式的存在反映出世界各国在数据保护上存在经济、技术、政治、道德等诸多因素的差异，也是国家处在国家安全、经济发展和个人隐私之间的“三难抉择”。跨境数据流动的规制是一个复杂问题，同时涉及国内政策和国际协调，而政策措施具有天然差异且彼此竞争[47]179。但中国、美国、欧盟作为跨境电商发展的主力军，为了在数字经济时代谋求长远发展，更应该去思索三者共性以寻求合作与共赢。现实中也是大多数国家和地区会以一种模式为主，兼采其他模式或设置其他例外情形以增强法律灵活性，促进数据跨境流动。因此，利益并非不可调和，合作也非无稽之谈。

五、 对中国的启示与建议

根据ChinaInternetWatch的数据显示，到2020年中国将成为最大的跨境电子商务市场[注]CIW,″Cross-border Consumers to Account for over Half of Total Digital Consumers by 2020,″ 2016-07-06, https://www.chinainternetwatch.com/18194/embraces-cross-border-e-commerce/, 2019-01-31.。这意味着中国将更加广泛地参与到个人信息跨境流动中，因此，研究如何在促进跨境电子商务发展的同时保护公民个人隐私具有重要意义。鉴于此，笔者提出如下建议。

(一) 多层面齐头并进构筑法律规则体系

目前，我国与规制个人信息跨境流动保护相关的规则虽然都在一定程度上明确和加强了个人信息保护[注]例如2016年颁行的《网络安全法》第四章“网络信息安全”对个人信息保护做出了规定；《民法总则》明确个人信息受法律保护；《消费者权益保护法》规定消费者享有个人信息依法得到保护的权利；《侵权责任法》明确对民事权益的保护；《刑法》及相关司法解释规定了“侵犯公民个人信息罪”；《计算机信息网络国际联网安全保护管理办法》(2011修订)强调用户的通信自由与通信秘密；《信息安全技术公共及商用服务系统个人信息保护指南》为个人信息转移提供了指导意见等。，但仍不健全，缺乏具体的执行规则[48]115。有学者提议出台专门的个人信息保护法，并探讨了其立法需求、立法方向、立法模式的选择[注]例如崔光耀《加快推进个人信息保护立法》，载《中国信息安全》2018年第3期，第5页；佚名《全国人大常委会法工委：正研究个人信息保护立法》， 2018-02-26， http://www.chinanews.com/sh/2018/02-26/8454996.shtml， 2019-01-31；周汉华《探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向》，载《法学研究》2018年第2期，第3-23页；蒋舸《个人信息保护法立法模式的选择——以德国经验为视角》，载《法律科学(西北政法大学学报)》2011年第2期，第113-120页。。对此，笔者认为，无论是既有法律规则的完善抑或新规则的架构，都可以借鉴“原则+减损”的模式：以保护为原则，保护信息的自由流动，同时也保护隐私权；以限制为例外，限制信息跨境转移和限制隐私权。在进行安全评估的前提下，区分数据性质，纳入数据主体同意、适当性评估、数据控制者确保模式及其他条件。不同性质的数据在跨境流动中的意义存在差别，其限制亦应不同。数据分类限制除了考虑法益平衡，也要兼顾技术发展的现状与未来。而对隐私权的限制不能是任意的和不合法的[注]参见联合国人权高级专员办事处《第16号一般性意见：第十七条(隐私权)》，1988年，第2-4段。，国内法需要对限制做出规定，且以保护国家安全或者预防混乱与犯罪等为目的[注]Klass and Others v. Germany, ECHR, Judgement, 1978, para.44.。限制还必须是为了保护合法目的而必不可少的，还需要符合相称性原则[注]参见联合国人权高级专员办事处 《第27号一般性意见：第十二条(迁徙自由)》，1999年，第14段。。

双边条约[注]此部分的“双边条约”与后文“多边条约”中的“条约”一词均采广义，包括协定、专约、公约、议定书等。参见李浩培《条约法概论》，(北京)法律出版社2003年版，第21页。相较于多边条约更易符合缔约国利益考量，权利义务更加明确，并且它的监督和执行机制也更严格[49]347。因为各国在跨境数据流动方面对个人信息的隐私保护水平参差不齐，通过订立双边条约或者纳入相关条款到双边条约中的方式，中国可在此过程中选择最为符合其制度、技术、经济等情况的方式。《欧美隐私盾协议》就是典型代表，虽然美、欧在数据保护规定上大相径庭，但在商业利益的驱动下，双方仍可达成彼此较为满意的妥协[50]263。而且中国—澳大利亚、中国—韩国自贸区协定中已经明确规定“在线数据保护”，保护用户的个人信息，虽然未细致到个人信息的跨境流动，但确是良好开端。中国可在双边协定的签署过程中不断细化、推进数据保护规则，从而扩大中国规则的影响力，提升中国话语权。

在中国倡导构建人类命运共同体及促进全球治理体系变革的背景下，物质层面和制度观念层面的全球公共物品是实施全球治理的重要保障，也是深入推进全球治理的有效途径[51]9-10。全球治理层面的规则重塑是重要策略[注]规则重塑的本质是提供一套新的关于哲学理念和意识形态的系统学说，这套系统学说至少具备三个方面的特质：一是必须具有内外统一性；二是必须体现新旧传承性；三是必须体现时代进步性。参见王鸿刚《中国参与全球治理：新时代的机遇与方向》，载《外交评论》2017年第6期，第16-17页。，而多边条约谈判对此具有积极意义。多边条约的优势[49]327利于催生多边合作[注]Kwakwa V.,″Multilateralism for an Inclusive World,″ 2017-11-01, https://www.worldbank.org/en/news/opinion/2017/11/01/multilateralism-for-an-inclusive-world, 2019-01-31.，甚至能够发展成为全球性规则，比如世界贸易组织规则[52]11。并且，现实也证明多边条约谈判和缔结是国际社会的常态[注]交存于联合国秘书长的多边条约超过560份，涉及争端解决、特权与豁免、人权、难民与无国籍人、国际贸易与发展等29个领域，参见United Nations Treaty Collection,″Multilateral Treaties Deposited with the Secretary-General,″ 2019-01-31,https://treaties.un.org/pages/ParticipationStatus.aspx, 2019-01-31。。因此，就跨境数据流动中的个人信息隐私权保护，中国既可以积极参与已有条约，也可以主动倡导新一轮的多边条约谈判。在多边条约的建构上，笔者认为中国既要团结发展中国家，譬如在“一带一路”建设中积极推动中国规则的适用；也要主动与发达国家求同存异，例如中国、美国、欧盟三方可以尝试在WTO机制下思索合作的路径[43]。同时，可以思索、借鉴我们在曾经未知的领域里构建国际规则的经验教训，例如海洋领域内全球治理路径的探索。而且，在多边规则建构过程中要加强“硬法”与“软法”间的互动，视不同情境采取相应举措[注]Shaffer和Pollack对软硬法间的互动提出5种假设：当强国同意时、当强国反对时、当相对弱小国家反对时、执行的递归效应、硬法与软法相互对抗，并提供了相应建议。详见Shaffer G.& Pollack M.A.,″Hard vs. Soft Law: Alternatives, Complements and Antagonists in International Governance,″ Minnesota Law Review, Vol.94, No.3(2010), pp.765-798。。

(二) 多主体齐心协力增强信息隐私保护

根据商务部《中国电子商务报告2017》的数据显示：“截至2017年底，全国网络购物用户规模达5.33亿……经中国海关办理的跨境电子商务清单达6.6亿票……”[注]参见商务部电子商务和信息化司《中国电子商务报告2017》， http://dzsws.mofcom.gov.cn/article/ztxx/ndbg/201805/20180502750562.shtml, 2018年8月23日，第1页、第4页。当我们愈发感受到科技带来的便捷时，也要意识到隐私保护正面临更严峻的威胁。从有关个人信息跨境流动的国际、国内规则中不难发现，个人在其中发挥着重要作用。数据主体的同意要么为一些国家采纳为主要的数据流动立法模式，要么作为其他模式下的一项例外情形出现，因此，个人应积极主动行使权利，2018年“支付宝年度账单事件”值得引起关注。

我国《网络安全法》对网络运营者、网络产品或者服务的提供者、关键信息基础设施的运营者的义务都做出了规定。GDPR对企业保护顾客信息施以更加严格的规定，CBPRS也以企业的行业自律和问责为基础。严格的义务规范在某种程度上将压力转移到企业，企业需增强自身的信息保护技术能力。在保护个人信息跨境流动的具体举措上，企业可借鉴CBPRS和欧盟《约束性公司规则》(BCRS)采取自我评估、用户授权、合同约定、第三方安全认证等自律方式对个人信息进行管理。此外，企业也需尽可能在主要营业地设立实体分支机构，使个人信息受侵害者求助有道。除了硬件层面之外，企业应增强守法意识。对数据、信息安全法规的遵从程度是衡量社会整体数据、信息安全保障水平的重要标尺[44]136。数据跨境流动中，企业既需要遵守数据流出国法规，也需要遵守数据流入国法规。倘若能够形成一个“最佳实践”，则可以此为蓝本进行推广。

信息与网络安全部《2016—2017年度中国网络空间安全综述》指出，虽然我国网络发展速度快，但却面临着严重的网络安全威胁，并且这种威胁还在呈现新的变化，诸如网络欺诈、网络攻击、勒索软件等[注]参见《2016—2017年度中国网络空间安全综述》， 2017年12月25日， http://www.sic.gov.cn/news/91/8705.htm， 2019年1月31日。。对此，政府还应加强如下举措：首先，发展网络安全技术。在跨境电商发展过程中，除了信息流入国可能会侵害公民隐私外，信息流出国的信息安全能力也将影响到隐私保护。因此，政府需要不断探索完善网络安全技术，诸如将流动的数据进行标识分类，针对不同类别的信息采取不同的保护方式。其次，制定网络安全标准，以标准细化法律规范。有学者指出，现有的制度设计不足以保障实质性的网络安全，标准不可避免地落后于现实需要[53]28,32。欧盟GDPR施行较晚就在于其试图制定一套能够适应时代变化的规则，但结果也许并非尽如人意。为了弥补标准的滞后性，可以考虑美国以市场为导向加之以行业自律进行规制的方式，由市场参与者自主形成标准，辅以国家参与。最后，加强国际交流合作。信息流动有利于信息共享，中国作为电商大国，应积极构建合作平台，设计对话机制，取得信息流动合作的主动权。

跨境电商建设过程中的个人信息跨境流动关涉国家安全、个人隐私、经济发展。中国既是经济大国，又是人口大国，在利益间任一偏废都难以实现持久发展。中国需要将这三方面综合考量，在数字经济发展中砥砺前行，维持动态平衡，在此过程中，着眼多层面构筑法律规则，并促进其良性互动。