阿里云在大湾区的个人信息跨境合规:管辖权竞合视角
2021-01-19叶湘
叶湘
摘要:粤港澳大湾区是企业合规和管辖权竞合的理想沙箱。以阿里云计算有限公司智能终端操作系统(AliOS)的隐私保护政策为个案研究对象,围绕个人信息生命周期五个阶段的信息处理行为(收集、存储、使用、转授、公开和删除),考察在我国收集个人信息最多之一的数字化企业的个人信息保护政策是否符合粤港澳三地的法律法规和相关标准以及出境场景下个人信息的管辖权竞合情形。阿里云保护个人信息的价值取向与粤港澳涉个人信息保护法律法规与标准的订立目的存在冲突。公司个人隐私保护政策的目的与价值预设是否合法会极大影响公司处理个人信息行为的合规性,而阿里云隐私保护政策的目的与价值预设不够严谨,个别条款将公司规模效益凌驾于消费者隐私保护权益之上,需要重新调整其隐私保护政策的价值排序,用义务遏制平台的信息扩张冲动,细化并厘清其信息规制义务。此外,针对出境个人信息,粤港澳三地相关的法律法规分别设置了启动域外管辖的不同条件,大湾区内差别性的域外管辖与管辖叠加后形成管辖权竞合,凸显了阿里云隐私保护政策的条文表述不严谨,究其根源在于制定政策时以个人信息境内流动为定位中心,预设场景单一化,未纳入出境场景下管辖权竞合的多元情形。“湾区方案”作為处理管辖权竞合的中国模式,以粤港澳司法协同与一体化治理为“两翼”,统合网络安全与个人信息分等评估和审核机制,防范由阿里云为代表的互联网公司以微观视角制定的隐私保护政策的漏洞和法律风险。
关键词:司法协同;跨境合规;管辖权竞合;信息处理行为;个人信息生命周期
中图分类号:F127文献标识码:A文章编号:1007-8266(2021)07-0106-13
基金项目:国家社会科学基金重大项目“‘一带一路’沿线国家法律文本翻译、研究及数据库建设”(18ZDA157)
《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》中提出“加快数字化发展”的战略规划,建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范,积极参与数字领域国际规则和标准制定,扩大基础公共信息数据有序开放,建设国家数据统一共享开放平台,保障国家数据安全,加强个人信息保护,确保产业数字化在公平、合理、非歧视的数字国际规则和标准的保驾护航下进行[ 1 ]。而个人信息保护的立法目的有三点:自然人的人格利益、数据产业的发展和政府公共管理职能的实现[ 2 ]。三者孰优孰次是学者站在公法、私法等不同立场上争论的焦点。出境场景下的个人信息跨越公法和私法,同时涉及国际公法和国际私法(冲突法)的利益场域。不仅如此,由于网络空间以超地域性为基本特征,跨境个人信息的管辖权呈碎片化,在法律适用上突破了地理坐标的疆域管辖范畴,同时会触发不确定的一个或数个连结点,造成适用准据法很难精准定位以及管辖权竞合的纷杂情形。因此,有必要选择一家代表性的互联网数据企业(如阿里云计算有限公司)和个人信息出境场景相对常态化的一处地理疆域(如粤港澳大湾区)为考察对象。
我国市场监管机构分别在2020年11月和2021年4月叫停蚂蚁金服(后更名为蚂蚁集团)的上市计划,停止其反竞争行为,并要求其在三年内提交自查合规报告。蚂蚁集团与阿里巴巴集团的回应提到了“加强个人信息保护与管理”[ 3 ]。我们有必要考察阿里巴巴集团中涉及个人信息业务较多的阿里云计算有限公司(以下简称“阿里云”,该公司为AliOS的法律主体)的个人信息保护政策是否存在漏洞,在粤港澳大湾区(以下简称“大湾区”)个人信息跨境流动时是否会产生法律风险。
大湾区内个人信息跨境合规问题有其区域特殊性与研究的样本意义。首先,跨境合规问题的区域特殊性在于粤港澳三地同属中华人民共和国的一部分,大湾区内个人信息跨境不牵扯国家主权,与以下区域组织的法律法规或双边协定规定的主权国家之间的个人信息跨境问题存在质的不同:欧盟委员会《数字市场法(提案)》和《数字服务法(提案)》①、欧盟《通用数据保护条例》(GDPR)及其前身1995年《数据保护指令》(该指令确定了数据保护的最小原则)、欧洲委员会108公约、经济合作与发展组织(OECD)《隐私保护和跨境个人数据流动指南》1980年版和2013年版、亚太经济合作组织(APEC)隐私框架2005年版和2015年版、美欧双边的安全港框架(2015年10月6日失效)及其替代方案隐私盾框架(2016年8月1日生效)、《东盟个人数据保护框架》(ASEAN Framework on Person? al Data Protection,2015年11月27日被采纳)。本文研究的大湾区内个人信息“出境”场景是指通过各种技术和方法,个人信息跨越粤港澳(地理疆域)的流动,包括同一个人信息二次出境(Re-ex? port)的情形。此外,大湾区内个人信息跨境合规的样本意义在于出境信息合规涉及域内管辖权和域外管辖权的竞合。具体来说,大湾区不存在统一的区域性个人信息保护协同机制,而大湾区可作为企业合规和管辖权竞合的沙箱来试验出境信息要同时符合存储地、处理行为发生地、控制地的法律法规。
据2019年上海社会科学院互联网研究中心的统计,“自2008年以来,数据流动对全球经济增长的贡献已经超过传统的跨国贸易和投资”[ 4 ]。在产业、政府、社会、全民数字化大趋势下,各类数据在互联网企业眼中堪比新型“石油”,而海量个人信息的数字化对企业来说可谓精炼的“成品油”,通过数据画像技术,可以挖掘出不同细分领域的潜在消费者,所以数字化的个人信息中包含了巨大的商业价值。大湾区跨三个司法管辖区,个人信息在大湾区内部流动以及与外部司法管辖区之间的跨境传输,都必须考量数据流动合规和个人信息对等保护问题。受保护客体个人信息的跨境合规是其得到保护的前提。因此,本文将阿里云的隐私保护政策(以下简称“阿里云政策”,目前最新版政策的生效日期是2018年1月1日)为个案研究对象,在个人信息出境场景下,围绕个人信息生命周期5个阶段的信息处理行为(收集、存储、使用、转授、公开和删除),考察我国大陆收集个人信息最多之一的数字化企业的个人信息保护政策是否符合粤港澳三地的法律法规和相关标准。同时,从大湾区的宏观布局和企业的微观对标来探索出境个人信息的准据法适用和管辖权竞合的难题。简而言之,在大湾区以行为(跨境流动中的个人信息处理行为)要素为框架,在出境个人信息管辖权竞合场景下评价企业更看重法益要素(国家安全、人格权、用益物权)还是市场要素(商业交往权、成本、利润)。
大湾区是我国开放程度最高、经济活力最强的区域,包括珠三角九市、香港和澳门两个特别行政区,总面积5.6万平方公里,2020年末常住人口超8 600万人,GDP占全国比重12%左右,跨三个司法管辖区。大湾区大体量的经济和人口规模必然伴随大体量的个人信息随着人才、资源、劳动力、技术等生产要素在内部三个司法管辖区以及大湾区与“一带一路”沿线国家和地区之间的流动。
(一)跨法域的大湾区
大湾区的个人信息主体来自制造业、金融业和科创业,具有行业复合的特征。不同于东京湾区(产业湾区)、纽约湾区(金融湾区)和旧金山湾区(科技湾区),粤港澳大湾区包括东莞制造基地、香港金融中心和深圳科创中心,兼具东京、纽约和旧金山三个湾区的产业特征,呈现复合特点。重视大湾区市场在个人信息跨境立法中的关键意义是2019年2月18日中共中央、国务院颁布的《粤港澳大湾区发展规划纲要》加强区域一体化建设的应有之义,同时必须利用大湾区兼有制造、金融、科创产业类型的市场优势服务于立法目的;利用广州南沙与港澳合作建设中国企业走出去综合服务基地和国际交流平台,推进阿里云等互联网企业在走出去过程中完善企业个人信息保护政策,依照《粤港澳大湾区发展规划纲要》探索互联网企业在内地管辖权和法律框架下,营造高标准的国际化、市场化、法治化营商环境。
(二)粤港澳和欧盟域外管辖法条对比
在个人信息出境场景下,大湾区管辖权竞争的原因是粤港澳三地个人信息保护的法规具有域外管辖权。中国大陆涉及个人信息跨境传输的法律法规和国家标准主要有11部,其中3部已生效,1部待生效,其他7部为征求意见稿②。中国香港和中国澳门地区涉及个人信息跨境传输的法律主要有2018年4月20日修订的香港《个人资料(私隐)条例》和2006年2月10日生效的澳门《个人资料保护法》。
香港地区的个人信息保护采取的是弱保护模式,违反《个人资料(私隐)保护条例》的行为并不直接可诉,只有资料使用人违反了其他法律条文才可以被起诉。澳门则选择近似于欧洲的对于个人信息的严格保护模式,在个人信息保护法律的位阶、广度和深度上均高于香港[ 5 ]。
关于域外管辖界定原则,欧盟和中国大陆均基于信息处理行为,即只要被处理的信息涉及境内自然人就可以划定为域外管辖范围(参见表1),而信息处理者在境内还是境外不是决定性因素。[ 6 ]欧盟和中国大陆均未采纳信息主体的狭义属人原则。这种以信息处理行为为原则的界定方式,涉及的域外管辖范围比以信息主体为境内自然人的界定原则涉及的范围要大。
中国香港和澳门地区则采取不同的个人信息(在中国港澳地区法律文本中被称为个人资料(Personal Data)域外管辖界定原则。可纳入域外管辖范围的个人资料包括两种情形:第一,信息处理主体在境内;第二,信息处理主体能通过设在境内的服务器或服务供应商执行处理行为。可将第二种情形进一步阐释为:信息处理主体在境外,通过设在境内的服务器或服务供应商执行处理行为。简而言之,无论是处理个人信息的行为人在境内、被处理的信息涉及境內自然人,还是处理行为发生地涉及境内的物理地址,只要三者有其一指向境内,跨境的个人信息就可以划入域外管辖的范围。
(三)问责机制
欧盟采取风险为本的问责制。依据《通用数据保护条例》第24条,数据控制者必须主动采取各项技术及措施以确保循规守法;第25条规定了自定义(By Design)及默认(By Default)的隐私模式;第35条规定对维护自然人的权利和自由构成较高风险的处理行为进行数据保护影响评估;第37条规定特种机构必须指定数据保护官。
珠三角九市所在的中国大陆采取处理行为与安全风险为中心的问责制,重视制度、法规、教育、环境四大因素,致力于构建各方参与个人信息保护的良好环境,规定国家机关处理的个人信息应当在中华人民共和国境内存储,向境外提供个人信息应至少符合以下程序:安全评估、个人信息保护认证、与境外接收方订立合同且个人信息处理活动合规以及符合法律法规规定的其他条件。
中国香港地区基于私隐管理系统,通过视察、人事制度和评估来实施问责。具体而言,依据香港《个人资料(私隐)条例》第8条,视察对应的政府部门或法定法团(Statutory Corporations)的资料使用者所使用的任何个人资料(中国大陆法律文本倾向使用术语“个人信息”)系统;设置“保障资料主任”(即数据保护官);评估私隐安全与风险。
中国澳门地区基于处理行为问责,针对的是个人信息处理主体是否采取足够的技术和组织措施来保护个人信息。依据澳门《个人资料保护法》第15条,“在考虑到已有的技术知识和因采用该技术所需成本的情况下,上述措施应确保具有与资料处理所带来的风险及所保护资料的性质相适应的安全程度”。其中,“成本”“技术与风险相适应”是关键词,而且“成本”是一个侧重商业交往权的市场词汇,专指利用技术处理个人资料的各种付出。可见,澳门《个人资料保护法》已充分考虑到市场、技术、安全三者之间的关系,而委托第三方处理个人信息、采取特别的安全措施以及制定行为守则也需要考量上述两个关键词。
2018年11月30日,公安部网络安全保卫局发布《互联网个人信息安全保护指引(征求意见稿)》,将个人信息的处理行为明确为8个:收集、保存、应用、删除、第三方委托处理、共享和转让、公开披露以及应急处置。个人信息的一个标准生命周期可以按照处理行为分为五个阶段:第一阶段是信息的收集,第二阶段是信息的存储、持有,第三阶段是信息的使用、加工、传输、备份、恢复演练、应急处置,第四阶段是信息的委托第三方处理、共享和转让给第三方、特定范围发布与传播、公共范围公开或披露,第五阶段是信息的撤销、删除、遗忘。跨境个人信息在上述五个不同阶段涉及不同的行为原则,而且与行为原则挂钩的是个人信息出境合规与域外管辖范围。
(一)个人信息出境行为的界定
依据《个人信息出境安全评估办法(征求意见稿)》第2条,个人信息出境是指网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息。《信息安全技术数据出境安全评估指南(征求意见稿)》第3条第7款定义了数据出境,并在“注1”中列明了三种数据出境的情形:第一,向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据;第二,数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);第三,网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息与重要数据。这三种情形都是中国大陆互联网企业在大湾区内处理跨境流动个人信息的典型情形。因此,对阿里云个人信息政策进行个案式的样本分析具有代表性意义。
(二)对个人信息出境处理行为的评估重点
从保障个人信息主体合法权益的有效性来看,对出境个人信息处理行为的评估重点应落在《信息安全技术数据出境安全评估指南(征求意见稿)》第5条第2款第2项“个人信息属性评估要点”(依个人信息的类型、数量、范围、敏感程度和技术处理情况来评估)以及《个人信息出境安全评估办法(征求意见稿)》第6条(网络运营者或接收者与个人信息主体之间的合同条款是否能够充分保障个人信息主体合法权益,合同是否有效执行)、第13条(个人信息出境的目的、类型、保存时限,个人信息主体权益条款的受益人、网络运营者或者接收者的赔偿责任)和第15条(个人信息接收者更正、删除义务和境外保存期限要求)。各类机构不能将个人资料保护仅仅当成合规事宜,必须满足公众对隐私保护日益高涨的期待[ 7 ]。
(三)分阶段评估个人信息出境的处理行为
2020年5月19日,脸书(Facebook)因触犯隐私法规支付给加拿大竞争局(The Competition Bu? reau)数百万美元的和解费,该案件在风险与监管宽严程度关系方面为我们提供了以下启示:如果企业未能在个人信息或隐私政策中“精确描述其涉隐私的实践行为”,就会给企业带来额外的风险,继而会被纳入更严格的监管[ 8 ]。同样,作为出境个人信息的处理者,阿里云可以依据个人信息保护政策中处理个人信息行为的精确描述来判断相关行为不合规的风险,并确定该如何进行相应的监管。为此,我们按个人信息生命周期的5个阶段逐段评估阿里云个人信息出境的处理行为,以达到评估过程性风险的目的。
1.收集阶段
阿里云按经营地收集个人信息,存储地在中国境内,但法律文本中“中国境内”不包括中国的港澳台,仅指中国大陆地区,所以阿里云在大湾区的中国香港、澳门地区收集个人信息已经出现个人信息出境场景。
相较于《中华人民共和国民法典》(以下简称《民法典》)第111条、《中华人民共和国个人信息保护法(草案二次审议稿)》以下简称(《个人信息保护法(草案二次审议稿)》)第4条个人信息的定义,阿里云政策第1条个人信息定义同样以可识别和关联为核心要素,采用“概括+列举”结构,但列举部分涵盖范围较窄、现代科技特征非常突出。该定义列举的个人信息包括基本信息(个人手机号码、电子邮件等)、网络身份标识信息(系统账号、邮箱地址以及与前述有关的密码、口令、密码/口令保护答案等)、个人上网记录信息(软件使用记录、点击启动记录、网站浏览记录、接入Wi-Fi賬号的 Sssid、MAC等)、个人常用设备信息(硬件型号、设备MAC地址、AliOS版本、软件列表唯一设备识别码(如IMEI/AliOS ID/UUID/IDFA/OPENUDID/ GUID、SIM卡IMSI信息)以及位置信息(行踪轨迹、精准定位信息、经纬度等)。
在阿里云政策的第1条第1款注册账号/会员环节,阿里云收集的个人信息至少包括账户名(亦称“昵称”)、密码、个人手机号码、电子邮箱;同时,以手机短信验证码或邮件验证方式(即网络身份标识信息)为企业审查的必备一环,确认是否本人注册,这是依中华人民共和国法律法规要求进行的身份实名认证。除以手机、邮件来激活确认Ali? OS账号外,用户还可以通过淘宝账号、支付宝账号等阿里关联公司的账号登录激活AliOS。然而,淘宝账号、支付宝账号包含的主要是安全级别高、高度敏感的个人财务与支付信息,安全等级高于Ali? OS账号信息的安全等级,因此,在收集个人信息阶段,阿里云可能存在未依据《中华人民共和国网络安全法》(以下简称《网络安全法》)第41、第42、第43条以及《信息安全技术网络安全等级保护基本要求》分等区别对待账户信息的风险。
注册AliOS账号时,如果用户补全个人信息,包括性别、出生年月日、居住地、民族、籍贯、本人的真实头像,阿里云将提供“会员生日特权”等更个性化的会员服务。然而,个性化服务的增值不是很明显,而且补全个人信息有违最小化原则。如果个人明示同意,被收集的个人信息(如本人的真实头像)朝完全可识别、轻易可识别又迈进了一大步,为适用该政策的第1条第3款(基于特征标签进行间接人群画像并展示、推送产品或服务或广告信息)留下方便之门,为扩大商业交往权埋下伏笔。而这种扩大商业交往权的个人信息处理行为模式是阿里云或者绝大部分市场化互联网公司正在采用的模式。如果个人信息出境至澳门出现上述补全个人信息的情形,就违反了澳门《个人资料保护法》第33条第1款的规定,A酒店收集顾客的完整身份证编号案③就是先例。
2.存储持有阶段
欧盟《通用数据保护条例》和中国《网络安全法》都秉持数据本地化存储原则。依据香港《个人资料(私隐)条例》第2条第1款、澳门《个人资料保护法》第3条,香港和澳门坚持信息处理行为导向的数据可控原则,即本地区控制者能够控制数据为原则。依据阿里云政策第7条,“在中华人民共和国境内运营中收集和产生的个人信息,存储在中国境内”,以下情形除外:法律法规有明确规定,用户明确授权,用户通过互联网进行跨境交易等个人主动行为。由于其中的“中国境内”不包括中国的港澳台地区,因此,通过AliOS个人主动在大湾区跨境交易产生的个人信息可能存储在境外,这部分个人信息在出境场景下会出现管辖权竞合,适用法律时阿里云可依据中国大陆法规的域外管辖规定以及港澳法规中相关规定保护个人信息,确保用户人格权。
3.使用传输应急阶段
涉及个人信息违规使用传输的案件不乏其例。普华永道因处理员工个人信息缺少合法依据受到欧盟处罚,成为欧盟依据《通用数据保护条例》涉就业者个人信息的第一案[ 9 ]。2019年1月21日,法国数据保护监管机构(CNIL)根据《通用数据保护条例》对谷歌处以5 000万欧元(约4亿元人民币)的罚款,理由是谷歌在处理个人用户数据时存在缺乏透明度、用户获知信息不充分以及缺乏对个性化广告的有效同意等问题,这是《通用数据保护条例》实施后数额最大的罚单[ 10 ]。
阿里云政策第2条第1款详细解释了阿里云如何利用Cookies技术自动收集“您访问的页面地址、您先前访问的援引页面的位址、您停留在页面的时间、您的浏览环境以及显示设定等”个人行为偏好信息。该款还规定,“我们可将此类信息用于我们的营销和广告服务”。这是一种未经当事人明示或默示同意的直销活动,也是为扩大商业交往权而对人格权的侵犯。个人信息出境至香港场景下,阿里云利用Cookies技术收集个人行为偏好信息并直接用于营销构成违规,因为香港《个人资料(私隐)条例》第35E条规定,“如无资料当事人同意,数据用户不得将个人资料用于直接促销”,第35F条还规定,“资料使用者首次将个人资料用于直接促销时须通知资料当事人”。
针对阿里云信息传输过程中系统自动决策会“显著影响您的合法权益”,而阿里云不能很好约束系统并进行救济事宜。阿里云政策第5条第6款规定,“您有权要求我们做出解释,我们也将在不侵害商业秘密或其他用户权益、社会公共利益的前提下提供申诉方法”。这类“解释”加有条件进行申诉的救济方法不够直接,达不到充分保障人格权的目的。与此形成鲜明对比的是澳门《个人资料保护法》第13条“不受自动化决定约束的权利”,该条第1款规定,“任何人有权不受对其权利义务范围产生效力或对其有明显影响并仅基于对资料的自动化处理而做出的决定的约束,且有关资料仅用作对该人人格的某些方面,尤其是专业能力、信誉、应有的信任或其行为方面的评定”。个人信息出境至澳门场景下,阿里云须考虑此类合规情形。
4.委托共享披露阶段
在个人信息转移存储地方面,阿里云涉及未经用户二次明示同意、自动转移的违规情形,还涉及个人信息转移至境外得不到对等或充分保护的可能情形。依据阿里云政策第4条第1款,用户的个人信息“存储于中国的服务器上,为了安全及备份的需要,AliOS可能将您的信息和资料储存到AliOS关联公司的服务器上”。该条款增加了存储地不确定、脱离本地存储原则的风险,违反中国大陆《个人信息保护法(草案二次审议稿)》第36条。
阿里云政策第3条第1款对“共享”做了排除式反向定义,即“我们不会与我们关联公司、合作伙伴以外的公司、组织和个人共享您的个人信息”,共享行为很宽泛,而且共享对象也很宽泛、非特定,第3条第1款仅罗列了授权合作伙伴的类型。尽管第3条第1款第1项举例详细说明了信息脱敏与广告精准推送的时序、逻辑关系,意在理顺AliOS、第三方广告商、用户个人三方在商业交往权与人格权上的共赢关系,但是第3条第1款第2项罗列了4种保密和安全的例外情形,使个人信息在共享后很多情形下处于无保护状态,而且该项提供技术措施(“这些支持包括提供技术基础设施服务、分析我们服务的使用方式、衡量广告和服务的有效性、提供客户服务、支付便利或进行学术研究和调查”)时完全导向扩大商业交往权,有忽视人格权的嫌疑。因未限定特定共享行为、侵犯个人隐私权而遭起诉的前车之鉴是脸书(Facebook)侵权案。2008年5月30日,加拿大互联网政策与公共利益科(CIPPIC)协同加拿大隐私专业办公室(OPC)以允许第三方应用程序访问个人信息等3项违规事由起诉Facebook[ 11 ]。
个人信息在出境至香港地区的场景下,阿里云政策的这两款内容也可能面临违规的情形。香港《个人资料(私隐)条例》第15条第2款规定,委托第三方处理须有足够的保障措施并在监察下执行保障措施。第16条第1款规定,采用技术措施的目的在于控制处理信息的各种行为,最终保护人格权。第33条规定,禁止除在指明情况外将个人资料移转至香港以外地方。
个人信息泄密事件频发,企业披露跨境个人信息须合规。2020年《中国网络诚信发展报告》显示,28.5%的被调查者表示曾经常遭遇个人信息泄露,而仅有14.8%的被调查者从未遭遇过个人信息泄露[ 12 ]。阿里云政策第3条第3款第2项规定,“当我们确定您出现违反法律法规或严重违反Ali? OS相关协议规则的情况,或为保护AliOS及其关联公司用户或公众的人身财产安全免遭侵害,我们可能依据法律法规或AliOS相关协议要求征得您同意的情况下披露关于您的个人信息,包括相关违规行为以及AliOS已对您采取的措施”。该项对违反法律法规的严重程度、披露范围都未明确说明,而且征得用户同意已然是“城下之盟”。该项反映出国家安全、关联公司用户或公众的人身财产安全位阶高于人格权的情形。个人信息在出境至香港地区的场景下,阿里云因用户违法违规而征得用户同意后披露个人信息,可能涉嫌违规。香港《个人资料(私隐)条例》第20条第5款b项将查阅权与披露挂钩,规定“除非决定该资料使用者须依从该项查阅资料要求,否则不得要求将该资料向该法律程序的任何一方披露(不论是藉文件透露或其他方式披露)”。
阿里云政策第3條第4款规定,“出于维护您或其他个人的生命、财产等重大合法权益但又很难得到本人同意的”情形,属于共享、转让、公开披露个人信息时事先征得授权同意的例外的6种情形之一。如果出于维护与用户(如淘宝平台上发生买卖纠纷的香港买家与淘宝店主)利益冲突的其他个人的财产权益,但又很难得到用户本人同意的,阿里云不必事先征得用户授权同意就可以公开披露其个人信息。无论在个人信息是否出境的场景下,该条款未充分考虑常见情形,未充分保护当事人个人信息,本身很难达成逻辑自洽,存在较大的违规风险。
5.删除遗忘阶段
针对删除个人信息达到遗忘、保护的目的,阿里云政策第4条第2款与第3款之间出现权益指向上的冲突。第2款规定,“围绕数据生命周期进行的数据安全管理体系,从组织建设、制度设计、人员管理、产品技术等方面多维度提升整个系统的安全性”,偏重个人信息安全,目的在于保护人格权。第3款规定,“我们只会在达成成本政策所述目的所需的期限内保留您的个人信息,除非需要延长保留期或受到法律的允许”。该款不再以数据生命周期来管理个人信息,在生命周期尾端删除相关的个人信息,而是以“达成成本政策所述目的所需的期限”为管理个人信息的周期。《个人信息保护法(草案二次审议稿)》第12条规定,“个人信息的保存期限应当为实现处理目的所必要的最短时间”,此处的处理目的绝非“达成成本政策”,而是指个人信息主体明示同意信息处理者完成约定处理行为这一目的。然而,成本政策所述目的是以收回成本、达成收益为依归,如果未收回成本,收支平衡就成为“需要延长保留期”的正当借口,所以即便个人信息流动至生命周期尾端,当事人的信息也可能无法被删除、遗忘,侵害了当事人的被遗忘权。此外,该政策第5条第5款规定,“在您主动注销账户之后,我们将停止为您提供产品或服务,根据适用法律的要求删除您的个人信息,或使其匿名化处理。”阿里云本该以删除操作处理生命周期尾端的个人信息,但该款提供了非法处理个人信息的另一种行为:先匿名化处理个人信息,继而脱敏后继续保留个人信息。个人信息在大湾区出境至澳门地区场景下,依据澳门《个人资料保护法》第40条第2款第2项,“行为人被通知后仍有下列情况之一者,科处相同刑罚:没有进行删除、全部或部分销毁个人资料”,阿里云如未及时删除澳门用户的个人信息则构成违规。
在个人信息跨境合规方面,大湾区的应对策略在宏观上布局清晰,为地方立法规制提供了创新空间,但行政色彩过浓。目前,大湾区方案的“两翼”一是针对性地注重粤港澳司法协同与一体化治理,合理解决大湾区内管辖权分配问题,规避司法不经济,减少多龙治水的治理成本,降低企业无统一框架可适从的违规风险;二是在微观上以企业为主体的积极保护兼顾数据流动的平衡体系尚处萌芽状态,尤其是互联网企业的个人信息保护政策既未充分展现出跨境对等保护的基础意识,也无对标世界主流数据跨境条例和跨国公司成熟的个人信息跨境规章的构想。因此,大湾区个人信息出境的对策在宏观上可追求立法、司法以及治理创新,弱化行政管束;微观上需要“格式化”现有企业个人信息保护政策的勇气,强化出境场景下对等保护个人信息的法理意识,将参照和对标的意识落实到企业个人信息保护政策的条款表述中。
(一)大湾区方案的宏观布局
个人信息流动的法域、地区管理规则的不统一,已经越来越成为发挥数据价值的障碍,影响企业商业交往权的扩张,参照欧盟GDPR建立单一数据市场的思路,在大湾区订立统一的充分性(Ade? quacy)保护标准,并以此标准构建保护力度相近且契合粤港澳现实情境的个人信息跨境流动规则势在必行[ 13 ]。2019年6月在日本大阪召开的G20峰会上,建立允许数据跨境自由流动的“数据流通圈”成为引人关注的提议。在大湾区建立类似的“数据流通圈”,能够助力互联网企业找到新的创新点和经济增长点,解决网络空间涉及国家安全、商业交往、人权保护的国际社会课题。
GDPR代替1995年指令并扩张了后者的管辖范围,旨在将原属欧盟成员国的权力加以集中,进而为欧盟个人提供统一(Consistent)的隐私保护,达到隐私法律和谐统一、整个欧盟数据保护强度一致和跨境隐私保护和谐统一[ 14 ]。大湾区可以借鉴欧盟这种改分区自治为集中治理的扩张管辖、建立单一数据市场的思路,实现个人信息保护效力统一化。
保护个人信息偏向私益,而主权者通过制定数据本地化法对数据进行限制的原因绝非纯粹基于公益,所以需要采用不同的立法路径区分数据(个人和非个人信息)包含的公权和私权,避免私法利益被公法干预,基于统一的保护基础创设管理权,衔接境外针对数据本地化的立法[ 15 ]。深圳是互联网数据企业的“硅谷”,中国香港是数据金融服务的亚洲中心之一,所以大湾区既是数据服务的引擎,也是数据服务的消费市场。相比较而言,美国是数据服务的提供方,立法路径上鼓励数据(包括个人信息)跨境自由流动;欧盟是数据服务市场,立法路径上围绕2000年12月7日颁布的《欧盟基本权利宪章》第8条人人享有个人数据受保护的权利,倾向限制数据(包括个人信息)出境,注重数据的本地化存储。大湾区数据服务“引擎+市场”的双重属性与欧美的单一数据服务属性不同,大湾区内出境个人信息的宏观治理逻辑上可尝试以国家安全为要、突出自然人的人格权(数据服务消费)、兼顾商业交往权(数据服务输出)的路径。因为改革开放以来“发展是硬道理”的指导方针凸显了商业交往的重要性,但未对自然人的人格权予以足够的保护,而且涉个人信息保护的法律《民法典》人格权编和《个人信息保护法(草案二次审议稿)》开始侧重人权保护,之前中国大陆的数据法律法规都是以国家安全的合法性为立法路径。
大湾区可依据2020年12月23日生效、国家发展和改革委员会等四部委发布的《关于加快构建全国一体化大数据中心协同创新体系的指导意见》(以下简称《一体化意见》)进行宏观布局,构建大湾区跨境个人信息的一体化治理体系。按照《一体化意见》第二部分“发展目标”的规划,到2025年,政府部门间、政企间数据壁垒进一步打破,数据资源流通活力明显增强,大数据协同应用效果凸显,数据安全保障能力稳步提升。
1.立法配置
大湾区个人信息跨境保护模式决定其立法配置。我国个人信息保护的立法现状是“公法规范有余、私法规范不足”,以牺牲信息主体的权利为代价来确保绝对的信息自由流通,而且忽视了私法在个人信息保护法律体系的基础性作用[ 16 ]。我国《个人信息保护法(草案二次审议稿)》第12条规定,“国家积极参与个人信息保护国际规则的制定,促进个人信息保護方面的国际交流与合作,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等的互认。”因此,大湾区可模仿欧盟建立单一体制的数据监管市场,巩固国家主权与国家安全的紧密联系,强化港澳作为境外不同法域但属于中国主权一部分,在个人信息风险防控上以风险等级区分涉国家安全的个人信息并进行专门监控,其建构进路是加强“一带一路”倡议在沿线国家进入大湾区增大其商业交往权中的作用,同时利用“东盟+3(中、日、韩)”机制,发挥中国在《东盟个人数据保护框架》松散架构内的软性影响力,充分利用《全球数据安全倡议》,主导制定并细化大湾区区域性数字治理规则。
构建以《中华人民共和国个人信息保护法》(以未来生效的法律为准,目前仍是草案二次审议稿)为核心框架的个人信息保护体系,对侵害敏感个人信息的行为可配置更高强度的处罚规则,增设个人信息侵权领域的集团诉讼条款[ 17 ]。在大湾区跨境数据一体化治理过程中,需提供各国通过国际法维护本国及其企业海外利益的规则体系和申诉机制。法治与市场规则三地协同推进,补齐短板。粤港澳三地法治水平的均衡发展有助于促进粤港澳市场规则的对接,营造一体化的法治营商环境,减少大湾区内部的制度壁垒[ 18 ]。
2.管辖权竞合的解决进路
利用制度设计减少互联网企业处理出境个人信息违规案件被拖入相对复杂的粤港澳管辖权竞合情形,以节约司法资源。同一事项同时受粤港澳不同冲突法的规范或调整,可以参照争议受两个不同国际条约或协议调整的情形来进行制度设计。《中华人民共和国与东南亚国家联盟全面经济合作框架协议协定》和WTO规则对同一事项都可以调整之情形,以及争议既受《北美自由贸易协定》(NAFTA)的规制又受到《关税及贸易总协定》(GATT)的调整,可以通过设置“当事方明示管辖权的方式”给予争端解决程序明确而固定的管辖依据,或者“对争议类型的不同特征和主体性质”进行细分后选择一类或几类设置专属管辖权[ 19 ]。在大湾区就出境个人信息设置明示管辖权和专属管辖权,是可行的解决管辖权竞合的进路。
3.标准的设置
建立大湾区一体化的个人信息安全流通标准,实现从国内立法到国际标准的协同,充分考虑香港、澳门地区个人信息保护法律法规体系化建设比较完备的现实,完善珠三角九市的个人信息跨境流动的治理制度,确保大湾区个人信息按照统一标准流动时国家安全、商业发展、人格尊严三者兼顾。建立大湾区一体化流通标准的进路是政策上梳理跨境流通机制,减少跨境流通制度的阻碍,进而尝试粤港澳个人信息保护法规、政策的调适与对接,按个人信息生命周期分段打通信息流通体系,实现全周期的统一流通标准。
4.专门岗位的设置
大湾区方案的“一翼”是尝试创立粤港澳三地数据保护机构之间的司法协同机制,而协同事务的执行人是数据保护官。“设立隐私保护的专门职位”是大湾区建立统一数据标准的重要一环[ 20 ]。如果中国大陆在“十四五”规划期间能够一步到位设立职权统一的数据保护官(Data Protection Com? missioner)将是理想的岗位配置,即便达不到理想配置模式,可在大湾区先行先试设置职权分散的数个数据保护岗位。依据《互联网个人信息安全保护指南》第4条第3款设立的网络管理员和安全管理员可以与香港个人资料私隐专员公署(PCPD)的私隐专员、澳门个人资料保护办公室(葡文GP? DP,英文OPDP)主任就大湾区跨境个人信息保护的司法问题进行协同,与所涉及的互联网企业谈判④。另外,可以增设审查管理员岗位,加大数据合规的审查力度,有利于保障国家安全,而且可依据《互联网个人信息安全保护指南》第4条第3款第1项c目以及第4条第3款第2项b目将该岗位设为专职岗,职能与网络管理员、系统管理员、数据库管理员、数据操作员和安全管理员相同。
5.技术措施的支持
《网络安全法》第21条第2、第3、第4款分别规定,采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,采取监测、记录网络运行状态、网络安全事件的技术措施,采取数据分类、重要数据备份和加密等措施。可见,《网络安全法》旗帜鲜明地将技术措施作为安保义务的一部分。同时,《公安机关互联网安全监督检查规定》也明确以监督检查的职责要求被检查单位采取技术措施。对阿里云等互联网企业而言,数据画像的匿名化技术(Pseudonymisation in Profiling)是必备的基础技术,即将个人信息的不同部分加密转译(Encryption to Translate)为特定的人工识别符(Unique Artificial Identifiers)并分拆存储[ 21 ]。东盟10国已经统一要求企业具备匿名化技术。2015年第15次东盟电信与信息技术部长会议(TEL? MIN)采纳的《东盟个人数据保护框架》的第6条g款要求企业掌握匿名化的技术,切断个人数据与特定个人的关联。
有限度的数据本地化存储,同时对跨境的关键数据保留国家层面的审核权,已成为当前国际经贸规则的共识,也是中国加入《全面与进步跨太平洋伙伴关系协定》(CPTPP)的明確目标[ 22 ]。
6.明确相关主体的权责
相关主体主要指个人信息主体、控制者、处理者以及接收者。在个人信息生命周期的不同阶段,各个主体的身份会有部分重叠。在大湾区一体化个人信息治理体系下,个人信息是数据流通中的要素,大湾区企业应按个人信息生命周期来评估保护治理主体的权责、保护成效等重要事项。个人信息出境会影响个人信息主体对个人信息的控制,因而规定个人信息主体在个人信息出境场景下享有的权利,既可以缓解由于出境引发的个人信息主体对个人信息安全的担忧,也是实现个人信息出境安全的重要手段[ 23 ]。此外,个人信息监管者、控制者和主体三者中,个人信息主体处于绝对弱势地位,而且信息极不对称,只有在法律法规中明确个人信息主体的权利,才能避免个人信息治理体系成为行政管理的分支,更有可能改变或最小化信息不对称的现实局面[ 24 ]。
在该治理体系下,可将信息处理主体区分为公共主体和市场主体并以不同要求区别对待。公共主体处理信息的目的在于维护公共利益,而市场主体的处理目的在于维护主体的经济利益,公共主体处理信息的要求低于市场主体[ 25 ]。从增强互联网信息行业自律、规则设计上加大信息处理市场主体的侵权成本,规范市场主体处理个人信息的行为与保护私权的责任。技术和商业的结合具备天然的逐利性,只有以明确权利保护和行为自由的边界、增加侵害个人信息的成本为重点来完善规则设计,才能够促使信息从业者认识到个人信息保护的重要性,逐步实现行业自律和自我管理[ 16 ]。
响应习近平主席所倡导的“丰富开放内涵,提高开放水平”,大湾区需要就开放内容进行转型升级,从开放商品流动和要素流动变为开放制度[ 26 ]。可成立大湾区政府协会等多种治理组织协调共治,打通区域间的物理、政策隔阂,使资源自由便利流动,使个人信息跨区域流动得到对应治理、对等保护[ 27 ]。
7.个人信息权益的救济
在大湾区个人信息保护一体化治理体系中,以民事机制为主、行政手段和刑事处罚为补充的个人信息救济机制,有利于通过侵权责任等私法规定对个人信息遭受侵害的当事人的损害进行弥补[ 16 ]。
美国扩展隐私权外延,相繼衍生出数据隐私权、网络隐私权。美国这种基于隐私权的保护模式不适合中国的国情,中国确立了基于一般权利的保护模式[ 28 ]。由于间接保护模式和法益保护模式都存在缺陷,在我国能更有效应对个人信息侵害行为、兼顾科技和商业理性发展的模式是权利保护模式,该模式可以基于一般人格权来保护处于弱势地位的个人信息主体[ 16 ]。
个人信息权的制度和规则必须处理好个人信息权利保护、促进信息自由流通和维护公共利益三者之间的关系,探究个人信息权的特征(绝对性或支配性)、内容(具体的权能或子权利)、行使(权利界限以及需要平衡的不同利益)、救济(责任方式、归责原则和损害赔偿)以及相关配套措施(诉讼方式、程序衔接)等一系列微观层面的问题,为构建个人信息民法保护的中国模式奠定基础。
(二)企业的微观对标
由于企业的目的及价值的预设失当,阿里云在制定其个人信息保护政策的个别条款时,将企业规模效益凌驾于消费者隐私保护权益之上,由此需要在规范上调整价值排序,用义务遏制平台的信息扩张冲动,细化、厘清其信息规制义务[ 29 ]。阿里云的新版政策可以从企业义务和用户权利角度重划个人信息保护的价值观。
新的阿里云政策在结构编排和条款设置上可参考现代制造业翘楚CORNING公司的《全球数据保护政策》。成立于1851年的CORNING公司在大湾区的广州、香港、澳门都设有办公场所,大中华区的总部设在上海。其《全球数据保护政策》的核心框架是GDPR的国际个人数据传输企业约束规则(Binding Corporate Rules),将法律依据与公司义务并行编排,明示个人信息处理原则与主体权利,细分了CORNING集团内部或外部的个人信息传输,以GDPR的充分保护、对等保护来处理出境个人信息的管辖权竞合事项。但从事光通信、显示科技、环境科技、生命科学和特殊材料的CORNING公司所处理的个人信息的类型、数量、范围较窄、较少,无法与阿里云利用自动化决策处理信息的宽泛范围、海量规模相比。此外,《全球数据保护政策》与GDPR一样适用于数据服务消费市场,而非服务提供方。阿里云应调整《全球数据保护政策》中偏严格保护、不利于数据流动、限制商业交往的条款表述。在条款内容的表述上,阿里云可参考2021年1月1日生效的世界第二大互联网企业亚马逊的《数据保护政策》,其优点在于围绕个人信息处理行为和处理原则来表述,但缺点也显而易见,条款内容表述太粗,而且极少指涉个人信息出境场景,似乎默认个人信息全球跨境自由流通,有拔高跨国商业交往权之嫌。
在新冠肺炎疫情期间,一方面,个人信息处理处于高频状态,数字经济在疫情期间高速发展;另一方面,个人信息保护相对处于薄弱的阶段。在后疫情时代,个人信息保护的法治环境会渐趋严苛,欧盟的数据跨境流动规则的限制流动模式或防守模式反映了全球日益严苛的个人信息保护环境,“数据承载的隐私信息保护模式、路径以及力度都存在着显著差异”,进一步导致了法律的割据状态[ 15 ]。在以数字经济拉动内需、推动国内国际双循环的今天,针对大湾区数据跨境流动中的个人信息保护,探索基于区域共同体的个人信息跨境传输法律规则,建立大湾区跨境个人信息的一体化治理体系是中国的应然目标。以习近平同志为核心的党中央提出的总体国家安全观、党的十九届五中全会关于“坚定不移建设数字中国”的要求以及国务院《促进大数据发展行动纲要》从宏观上为粤港澳大湾区建立一体化个人信息保护与治理体系提供了政策指引。数据安全事件破坏数据、系统和网络的保密性、完整性和可用性,损害政府、企业和个人权益[ 30 ]。维护国家安全、商业交往权和人格权客观上呼唤大湾区创新个人信息保护与治理体系。
另外,管辖权竞合下的涉个人信息保护的准据法适用应该纳入阿里云等我国世界级互联网企业的政策考量范围。大湾区内所涉的管辖权竞合以粤港澳就某一连结点重复性管辖为主,平行管辖较少出现。在网络空间领域,中国及其大型互联网企业已经是优质数据服务具有竞争优势的提供方,倘若企业的个人信息保护政策在文本起草时未考量个人信息出境而出现的管辖权竞合场景,那么以企业合规来保护人格权益就好比水中月镜中花,企业助力国家成为数据强国也缺乏法理支撑。中国的个人信息保护法律法规尚处于草案阶段的1.0版时期,而互联网企业的个人信息保护政策还达不到1.0版,但树立“参照”“对标”意识并落实到企业政策的文本制定上将有助于企业政策配合国家法律快速升级为2.0版。
注释:
①《数字市场法(提案)》和《数字服务法(提案)》于2020年12月15日被欧盟委员会(European Commission)采纳,是欧盟建立单一数据市场的系列立法举措中最重要的两部提案,参见https://ec.europa.eu/info/sites/default/files/pro? posal-regulation-single-market-digital-services-digitalservices-act_en.pdf和https://ec.europa.eu/digital-singlemarket/en/news/proposal-regulation-european-parliamentand-council-single-market-digital-services-digital(最后访问于2021年5月30日)。依据旨在追求市场平等地位、保护个人隐私及反垄断的《数字市场法(提案)》对“看门人(Gatekeeper)”的定义,阿里云完全符合“看门人”的规模和地位这两重条件,也符合“核心平台”5种类型中的3种,即某些信息服务、操作系统和在线中介服务。而“看门人”需要承担更大的保护个人信息等多重义务。这两部提案各自的影响评估报告全文参见https://digitalstrategy.ec.europa.eu/en/library/impact-assessment-digitalmarkets- act和https://digital- strategy.ec.europa.eu/en/li? brary/impact-assessment-digital-services-act(最后访问于2021年5月30日)。
②这11部法律包括2017年6月1日施行的《网络安全法》、2020年10月1日施行的国家标准《信息安全技术个人信息安全规范》、2021年1月1日施行的《民法典》人格权编、2021年9月1日将施行的《数据安全法》以及2017年4月11日发布的《个人信息和重要数据出境安全评估办法
(征求意见稿)》、2017年8月30日发布的国家标准《信息安全技术数据出境安全评估指南(草案)》、2018年11月发布的国家标准《信息安全技术数据出境安全评估指南
(征求意见稿)》、2019年4月10日發布的《互联网个人信息安全保护指南》、2019年6月13日发布的《个人信息出境安全评估办法(征求意见稿)》、2021年4月29日发布的《个人信息保护法(草案二次审议稿)》以及2020年7月15日发布的地方法规《深圳经济特区数据条例(征求意见稿)》。《深圳经济特区数据条例(征求意见稿)》关于个人信息保护部分颇具前瞻性,迎合了“十四五”规划和二〇三五年远景目标中的数字化发展战略,明确提出自然人对个人信息拥有数据权,并规定了相应保护规则。
③A酒店收集顾客的完整身份证编号案,中国澳门个人资料保护办公室(2019)立案编号0111/2019/IP。案情摘要:顾客到A酒店用膳,结账时为了享用长者半价优惠的政策,应酒店职员要求出示身份证,但在职员未告知且未取得其同意的情况下,在结账单据出现顾客的姓名、完整身份证编号以及出生日期。A酒店被澳门个人资料保护办公室判定违反适度原则,被处以5 000澳元罚款。
④参见香港个人资料私隐专员公署官网https://www.pcpd. org.hk/和澳门个人资料保护办公室官网https://www.gp? dp.gov.mo/,最后访问于2021年5月28日。
参考文献:
[1]中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议[EB/OL].(2020-11-03)[2021-03-08].http://www.xinhuanet.com/politics/2020-11/03/c_1126693293.htm.
[2]时明涛.大数据时代个人信息保护的困境与出路——基于当前研究现状的评论与反思[J].科技与法律,2020(5):66-74.
[3]蚂蚁集团.以整改为革新契机,更加坚定服务小微[EB/ OL].(2021-04-12)[2021-05-05].https://mp.weixin.qq.com/s/fbmDCg4eyEEhiNh3OGL1zg.
[4]上海社会科学院互联网研究中心.全球数据跨境流动政策与中国战略研究报告[EB/OL].(2019-08-28)[2021-02-16].https://www.secrss.com/articles/13274.
[5]李建新.两岸四地的个人信息保护与行政信息公开[J].法学,2013(7):95-104.
[6]W GREGORY VOSS.Cross-border data flows,the GDPR,and data governance[J].Washington law review,2020(3):485-532.
[7]THE PRIVACY COMMISSIONER FOR PERSONAL DA? TA,HONG KONG.What is privacy management programme[EB/OL].[2021- 05- 19].https://www.pcpd.org.hk/pmp/pmp. html.
[8]BERNICE KARN,CHRIS HERSH,MARCO CIARLARI? ELLO.Facebook’s multi-million dollar settlement with the commissioner of competition increases the risks faced by or? ganizations for non-compliance with privacy laws[EB/OL].(2020-05-26)[2021-05-27].https://cassels.com/?export= pdf&post_id=11561&force.
[9]涉及员工数据违规行为GDPR首罚:普华永道被罚15万欧元[EB/OL].(2019-08-28)[2021-05-06].https://www.se? crss.com/articles/13277,
[10]欧盟GDPR新政后开出最大罚单:罚款谷歌5000万欧元[EB/OL].(2019-01-25)[2021-05-06].https://www.so? hu.com/a/291499957_100191017.
[11]STEVE COUGHLAN,ROBERT J CURRIE,HUGH M KINDRED,et al. Law beyond borders:extraterritorial ju? risdiction in an age of globalization[M].Toronto:Irvin Law,2014:230.
[12]《中国网络诚信发展报告》发布[EB/OL].(2020-12-08)[2021- 05- 06].https://politics.gmw.cn/2020- 12/08/conten t_34440665.htm.
[13]孙军.企业敏感档案跨境管理的合规风险[J].档案学研究,2021(1):116-120.
[14]SANWOO LEE.A Study on the extraterritorial application of the general data protection regulation with a focus on computing[D].Beijing:China University of Political Science and Law,2018.
[15]田旭.網络空间中个人数据跨境传输法律规则研究[D].上海:华东政法大学,2020.
[16]王成.个人信息民法保护的模式选择[J].中国社会科学,2019(6):124-146,207.
[17]王淼.数字经济发展的法律规制——研讨会专家观点综述[J].中国流通经济,2020(12):114-124.
[18]石佑启,陈可翔.粤港澳大湾区治理创新的法治进路[J].中国社会科学,2019(11):64-85,205-206.
[19]顾益民.WTO与CAFTA争端解决管辖竞合之法理与对策[J].理论界,2011(12):40-42.
[20]涂子沛.建设粤港澳大湾区应建立统一数据标准[EB/ OL].(2020-06-11)[2021-03-10].http://www.pprd.org.cn/ fzzk/202006/t20200611_520097.htm.
[21]TSE GAN THIO.Data and privacy protection in ASEAN:what does it mean for businesses in the region?[EB/OL].[2020- 09- 04].https://www2.deloitte.com/content/dam/De? loitte/sg/Documents/risk/sea-risk-data-privacy-in-asean.pdf.
[22]冯硕.TikTok被禁中的数据博弈与法律回应[J].东方法学,2021(1):74-89.
[23]刘新宇.数据保护合规指引与规则解析[M].北京:中国法制出版社,2020:177.
[24]ORLA LYNSKEY.The foundations of EU data protection law[M].Oxford:Oxford University Press,2015:77.
[25]罗培新.数据立法的基本范畴:数据权属及数据处理的头部、中部及尾部规则[EB/OL].(2021-04-29)[2021-04-29].https://mp.weixin.qq.com/s?src=11×tamp=16196 71689&ver=3037&signature=wk2- Of*m3m8xqzHOEuLg 0Sz*0jAI6YsH9SJeVvvEH90TXloMKyYanbWPbT8t4Dhe*hZJc9XQtbpNtK*AqQUPE2wvJxlZ*vEw9ZkgmC9J14Lra 9UHXR2zRjQ y8W3grFT&new=1.
[26]习近平.在第二届世界互联网大会开幕式上的讲话[N].人民日报,2015-12-17(002).
[27]谈萧,董斯颍.粤港澳大湾区环境司法协作研究[J].法治论坛,2020(4):127-140.
[28]FRANZISKA BOEHM.A comparison between US and EU data protection legislation for law enforcement[R].Study for the LIBE committee,2015:65-66.
[29]莫林.共享平台的信息规制义务[J].科技与法律,2019(5):68-75.
[30]OECD.Digital economy outlook 2020[EB/OL].(2020-11-27)[2021-05-26].https://www.oecd.org/digital/oecd-digi? tal-economy-outlook-2020-bb167041-en.htm.
责任编辑:方程
Alibaba Cloud’s Personal Information Cross-Border Compliance in GBA:A Perspective of Jurisdiction Concurrence
YE Xiang1,2
(1.Law School,East China University of Political Science and Law,Shanghai 200042,China;2.School of Foreign Languages,Shandong University of Technology,Zibo 255049,Shandong,China)
Abstract:The Guangdong-Hong Kong-Macau Greater Bay Area(GBA)is an ideal sandbox for corporate compliance and jurisdictional concurrence. The author conducts a case study on the privacy policy of AliOS,an intelligent terminal operating system of Alibaba Cloud Computing Co.,Ltd. According to information processing in the five stages of personal information life cycle(collection,storage,use,delegation,disclosure,deletion,etc.),the author investigates whether AliOS privacy policy of the Chinese largest digital enterprise that collects the most personal information in China,goes in line with the laws,regulations and relevant standards of Guangdong,Hong Kong and Macao,and the author also looks into jurisdictional concurrence of crossborder personal information flows. It is found that Ali Cloud’s value orientation of protecting personal information is at odds with the purposes of laws,regulations and standards related to the personal information protection in Guangdong,Hong Kong and Macao. Whether the presupposition of the purpose and value of a company’s privacy policy is lawful has a great impact on the compliance of this company’s personal information processing. However,Ali Cloud’s presupposition of the purpose and value of its privacy policy is not rigorous enough and some of its provisions put Ali Cloud’s economic interests above rights and interests of consumers,so it is urgent to adjust Ali Cloud’s value orientation entailed in its privacy policy and put the company under new regulation. Besides,clearly defined obligations can be used as a regulating means to curbing Ali Cloud’s over-expansion on collecting personal information. In addition,as for the cross-border personal information,laws,regulations and standards of Guangdong,Hong Kong and Macao respectively set different conditions for initiating extraterritorial jurisdiction,so jurisdiction concurrence may come up in case of the superposition of differential extraterritorial jurisdiction and intra-territorial jurisdiction in GBA,which highlights the lax formulation of AliOS privacy policy. Such lax design results from Ali Cloud’s limited and simple setting on personal information flows within Chinese Mainland border,with no preset design on jurisdiction concurrence of crossborder personal information. What’s more,the author also proposes the GBA Plan as a Chinese Model tackling jurisdiction concurrence,which takes the judicial coordination and integrated governance of Guangdong,Hong Kong and Macao as the Dual Wings and integrates the evaluation and audit mechanism of network security and personal information to prevent loopholes and legal risks in AliOS privacy policy,which is formulated from the micro view of Internet companies.
Key words:judicial coordination;cross-border compliance;jurisdiction concurrence;information processing;personal in? formation life cycle
