吴 玄

一、引言

随着全球经济数字化程度日益加深，数据成为经济发展与创造就业的关键驱动力。(1)United Nations Conferences on Trade and Development, Digital Economy Report 2019, https://unctad.org/system/files/official-document/der2019_en.pdf，2021年4月11日访问。数据是新兴生产要素，只有在流通和使用中才能发挥最大效用，蕴含于数据之中的个人信息(2)本文基于国内外法律文献使用习惯，并没有对“数据”与“信息”做严格区分。此外，数据跨境中的数据(信息)包含“个人信息/数据”和“非个人信息/数据”，本文讨论的制度建构只涉及前者。也无法避免大规模跨境流动。数据是重要战略资源，主权国家围绕数据控制展开新一轮竞争，数据集合中的个人信息离不开国家的保护和管辖。数据是数字社会的通行证，网络空间的个体依赖数据加以识别，数据所展示的个人信息与所有人的个人权益息息相关。因此，个人信息跨境的国际规则成为网络空间国际治理的重要部分。目前，国际社会尚未就个人信息跨境规则达成共识，故此，不时发生立法、司法与执法冲突。对该项国际规则的塑造，将直接影响到全球数字经济发展和国际竞争的格局。(3)Jennifer Daskal, Whose Law Governs in a Borderless World? Law Enforcement Access Data Across Borders, in National Constitution Center, A Twenty-First Century Framework for Digital Privacy, white paper series, 2017, https://constitutioncenter.org/digital-privacy/whose-law-governs-in-a-borderless-world，2021年4月12日访问。围绕着个人信息跨境已经形成了多种主权观念互相竞争的局面。对此，《个人信息保护法草案(二审稿)》的公布较为清晰地展示了“数据主权”(4)互联网发明之前，传统的国际法体系是以威斯特伐利亚主权(Westphalian Sovereign)理念建构的，基于领土排他性的主权国家体系。1648年威斯特伐利亚条约确立了民族国家领土观，管辖权与领土开始对应。“数据主权”“网络主权”等概念的核心是将威斯特伐利亚主权概念直接适用于网络空间(Cyberspace)。关于数据主权，我国学界已经形成了很多研究成果。一些学者提出数据主权是国家主权在数字化空间的表现形式，也是网络主权在数据层面的具体表现。参见梁坤：《基于数据主权的国家刑事取证管辖模式》，载《法学研究》2019年第2期；张晓君：《数据主权规则建设的模式与借鉴——兼论中国数据主权的规则构建》，载《现代法学》2020年第6期。有学者认为数据主权表现为独立自主占有、处理和管理本国数据并排除他国或其他组织干预的国家最高权力。参见齐爱民、盘佳：《数据权、数据主权的确立与大数据保护的基本原则》，载《苏州大学学报(哲学社科版)》2015年第1期，第67页。有学者提出数据主权对内体现了国家对数据的最高管辖权，对外体现了国家在网络数据上的独立自主权与合作权。参见孙南翔、张晓君：《论数据主权——基于虚拟空间博弈与合作的考察》，载《太平洋学报》2015年第2期；蔡翠红：《云时代数据主权概念及其运用场景》，载《现代国际关系》2013年第2期。近年来，美欧国家及学者提出了不一样的观点。他们基于数据的流动性、拆分性和虚拟性，否认威斯特伐利亚主权体系的属地基础，试图将管辖权剥离领土在数据领域建构一套新的主权规则。See Kristen E.Eichensehr, The Cyber-Law of Nations, 103 The Georgetown Law Journal, 317, 326 (2015).下个人信息跨境的“中国方案”。

那么，要如何看待全球个人信息跨境中的主权观念冲突？应如何理解个人信息跨境中的主权因素？草案中的个人信息跨境机制的架构究竟如何？我国又应该怎样参与国际规则的塑造？本文尝试在个人信息保护与全球数据竞争的背景下，回答上述问题，共分四个部分：第一部分主要讨论国际社会个人信息跨境流动的现状以及面临的问题，指出主权原则在数据领域适用方式上的分歧；第二部分讨论不同个人信息跨境场景下的主权因素，并提出对类型化的个人信息适用不同的跨境规则；第三部分聚焦欧盟与美国实践，分析不同主权观影响和塑造个人信息跨境国际规则的路径；第四部分回到我国《个人信息保护法草案(二审稿)》，提出在主权原则弹性适用的基础上建构我国个人信息跨境机制，并借鉴欧美的经验，在个人信息跨境国际规则的形成中提升我国影响。

二、全球个人信息跨境的现状与挑战

人类电子化信息跨境的历史可以追溯到电报时代，现代计算机则使用比特对待传输的字母、数字和符号进行编码。(5)I.Trotter Handy, Transborder Data Flow: An Overview and Critique of Recent Concerns, 9 Rutgers Computer and Technology Law Journal 247 (1983).1980年，经合组织(OECD)提出了“数据跨境流动”(Trans-border Data Flow)的概念。(6)OECD, Guidelines Governing the Protection of Privacy and Trans-Border Flows of Personal Data, 1980, C (80) 58, Article 1 (c).时至今日，跨境流动的个人信息在规模、类型和传输方式上均发生了质的改变。与频繁跨境相比，个人信息跨境的国际规则却处于严重滞后的状态。当前问题集中在两个方面，一是主权国家是否有权对个人信息跨境流动进行规制？围绕此产生了个人信息自由跨境与个人信息本地化两种主张。二是主权国家如何对个人信息跨境流动进行规制？一些国家选择突破物理国境进行域外管辖，由此引发了国家管辖冲突。

(一)主权的内部视角：数据本地化的合理性挑战

1.个人信息跨境1.0：数据自由流动及理论

所谓“数据自由流动(free flow of data)”是指数据的跨境流动不存在任何法律和现实障碍。OECD在《关于保护隐私与个人信息跨境流动指南》(Guidelines Governing the Protection of Privacy and Trans-border Flows of Personal Data，下称“指南”)中要求：“会员国应努力消除、避免以隐私保护为名，对个人信息(7)这一时期的跨境流动的数据主要为个人数据(信息)，OECD使用的是个人信息跨境流动(transborder flows of personal data)表述，相关壁垒则是指各国阻碍个人信息跨境的立法。跨境流动设定不公正的障碍。”(8)同前注〔6〕。推动经济信息化、全球化是这一时期个人信息治理的主要目标。20世纪80年代，随着个人电脑的普及和互联网商业化推广，人类社会进入了信息时代。各国希望破除贸易壁垒，利用投资全球化推动本国经济发展。满足这些需求的“数据自由流动”成为“个人信息跨境1.0”的主流。(9)数据的跨境自由流动对经济产生了广泛而积极的影响。据美国国际贸易委员会(United States International trade Commission)统计，2011年，数字贸易为美国国内生产总值带来了3.4%至4.8%的增长，创造了多达240万个就业岗位。See Sinan Ülgen, Governing Cyberspace, A Road Map for Transatlantic Leadership, Carnegie Endowment for International Peace 2016, p.39. 麦肯锡的一项研究表明，数据跨境流动已经超过传统商品跨境成为全球贸易的主要组成部分。全球跨境网络流量在2005年至2012年间增长了18倍，全球商品、服务和投资流量在2012年达到26万亿美元，到2025年可能会增长两倍以上。See James Manyika et al., Global Flows in a Digital Age, McKinsey Global Institute, April 2014, http:// www.mckinsey.com/insights/globalization/global_flows_in_a_digital_age.，2021年2月27日访问。

数据自由流动也是互联网发展早期网络空间主权观念的映射。当时的“网络主权(cyberspace sovereignty)”由网络自由主义者提出，其具体含义与今天完全不同。(10)该观念又称为“自身主权论”(Cyber as Sovereignty)。See David Johnson & David Post, Law and Borders: The Rise of Law in Cyberspace, 48 Stanford Law Review, 1367 (1996); Timothy S.Wu, Cyberspace Sovereighty?, 10 Harvard Journal of Law & Technology 647, 651 (1997).他们主张网络空间独立于任何民族国家，视主权国家的规制为“自身主权论”最大的威胁。(11)“工业世界的政府们……在我们聚集的地方，你们没有主权。”[美]约翰·P.巴洛：《网络独立宣言》，李旭、李小武译，高鸿钧校，载《清华法治论衡》(第四辑)，清华大学出版社2004年版，第509页。事实上，当时主权国家制定的个人信息保护法律标准不一，确实阻碍了个人信息跨境流动。虽然各国政府对此并不认同，但都开始意识到跨境数据流动重要性。数据自由流动的原则对后来的各国的个人信息保护立法均产生了深刻的影响。(12)2016年实施的欧盟《一般数据保护条例》(GDPR)第1条第3款规定：“不得以保护自然人个人信息处理为由，限制或禁止个人信息在欧盟自由流动。”

2.个人信息跨境2.0：数据(个人信息)本地化及实践

所谓“数据本地化(data localization)”是主权国家进行数据管控的一种方式，要求数据控制者将在一国收集的数据(个人信息和非个人信息)存储在境内，经审查方可跨境传输。个人信息(数据)大规模跨境促进全球经济的同时，也引发了隐私、知识产权、贸易，以及国家安全的风险。数据治理的目标也从单一的促进经济增长，转向维护国家安全、公共利益和个人信息权益，是之为2.0版本。其标志为2014年“斯诺登事件”引发的全球范围内的“数据本地化”立法运动。

数据本地化重申主权国家对于境内数据的控制权，标志着威斯特伐利亚主权(Westphalian sovereignty)传统在网络空间的回归。(13)参见刘晗、叶开儒：《网络主权的分层法律形态》，载《华东政法大学学报》2020年第4期，第67-82页。数据本地化一方面限定个人信息处理地，将数据保留在境内，以受本国法律的管辖；另一方面限制境外对数据的索取，阻止他国(企业主要运营地或成立地国家)对个人信息进行控制，这其中其中既有他国企业基于商业使用的索取，也有他国政府基于司法或执法原因的调取。迄今为止，全球近60个国家实施了数据本地化法律。(14)Internet Society, Internet Way of Networking Use Case: Data Localization, https://foreignpolicy.com/2020/05/13/data-governance-privacy-internet-regulation-localization-global-technology-power-map/，2021年4月13日访问。各国的数据本地化法律与政策在实施方式上呈现出多样化。(15)Stephen J.Ezell, Robert D. Atkinson & Michelle A.Wein, Localization as Barriers to Trade: Threat to the Global Innovation Economy, The Information Technology and Innovation Foundation, September 2013, http://www.copyrightalliance.org/sites/default/files/resources/2013-localization- barriers-to-trade.pdf，2021年4月14日访问。依据对数据跨境流动的限制程度的强弱，可以将相关国家的管理模式划分为如下类型：

一是个人信息出境评估模式。该模式并没有明确的数据本地化表述，但就个人信息向境外传输提出了相关要求。如欧盟《一般数据保护条例》(下称“GDPR”)只允许向达到欧盟认可隐私保护水平的第三国传输个人信息。阿根廷2001年《个人数据保护法》(PDPA)也采用了类似模式。(16)See Nigel Cory, Cross-Border Data Flows: Where Are the Barries, and What Do they Cost? Report of Information Technology & Innovation Foundation 2017, https://itif.org/publications/2017/05/01/cross-border-data-flows-where-are-barriers-and-what-do-they-cost#:～:text=Data-Localization%20Policies%20Around%20the%20World%20%20%20,began%20consider%20...%20%2029%20more%20rows%20，2021年4月3日访问。

二是弱数据本地化模式。这种模式在要求数据本地化存储的基础上，对个人信息跨境设置了一般条件，或将本地化范围限定于特殊领域(如医疗、电信、金融等)。印度2019年《个人数据保护法》要求“关键个人信息”本地化；澳大利亚《我的健康记录法》(My Health Records Act 2012)禁止将个人健康信息转移至澳大利亚境外；(17)Australian My Health Records Act 2012, https://www.legislation.gov.au/Details/C2017C00313，2019年3月21日访问。我国《网络安全法》第37条也明确关键信息基础设施产生的重要数据与个人信息本地化存储，“确需出境”的，须接受安全评估。(18)2019年6月13日，国家网信办公布《个人信息出境安全评估办法(征求意见稿)》，被认为是《网络安全法》规定个人信息出境评估的具体实施细则，该办法至今尚未出台。

三是强数据本地化模式。典型的代表是俄罗斯，2014年俄罗斯修订了《个人信息保护法》，要求数据控制者在处理俄公民个人信息时必须使用境内的数据库。(19)Seyfarth Shaw LLP, Fortress Russia - the Russian Data Localization Law, https://www.lexology.com/library/detail.aspx?g=994d1c28-a3f1-4e96-8050-b873f9db29c1，2021年3月24日访问。2019年俄《主权互联网法》首次提出“数据传输路径本地化”的要求，不仅要求个人信息存储、处理地在境内，还提出数据的传输路线也必须在俄罗斯境内。(20)这将增加网络服务提供商，尤其是云计算服务提供者的负担。因为云计算技术的特点是运用网络闲置资源。在云计算下，数据拆分后多路传输，由系统自动选择传输路径，用户和服务商均无法知晓个人信息的传输途径。Alena Epifanova, Deciphering Russia’s “Sovereign Internet Law” Tightening Control and Accelerating the Splinternet, No.2 Deutsche Gesellschaft für Auswärtige Politik e.V.Analysis, 4 (2020), https://dgap.org/sites/default/files/article_pdfs/dgap-analyse_2-2020_epifanova_0.pdf，2021年4月22日访问。

图1 各国数据本地化与数据自由流通维度

3.争论背后的主权原则适用方式冲突

对个人信息跨境进行管控展现了主权的境内维度，数据本地化争论背后是主权原则在数据领域适用方式的冲突。

数据本地化的支持者认为主权原则可以直接适用于数据领域。在威斯特伐利亚体系中，主权国家是最主要的国际主体，各国政府对各自领土具有实际管辖控制能力，(21)“威斯特伐利亚体系将领土与主权系于一处，同时将主权国家的权力限于领土之上。主权意味着外部独立权(外部主权)和内部自决权(内部主权)。”屈文生：《从治外法权到域外规制——以管辖为视角的国际法秩序研究》，载《中国社会科学》2021年第4期，第48页。公民个人权利的保护效果依赖于国家对个人信息的实际控制。数据本地化的目的在于保护本国公民的个人隐私，免受境外的不法侵害。将数据留在境内“是以既有治理体系应对新兴事物的自然反应”，(22)胡凌：《信息基础权力：中国对互联网主权的追寻》，载《文化纵横》2015年第6期，第106页。不仅可以实现较为有效的管辖，也免去了国际协商的成本。

数据本地化的批评者则认为，主权原则并不能在数据领域直接产生行为义务。他们以“数据例外论”为基础，主张去除个人信息跨境中的属地管辖。由于数据是“流动性财产(fugitive property)”，(23)许可：《自由与安全：数据跨境流动的中国方案》，载《环球法律评论》2021年第1期，第28页。在全球经济中占有重要地位。对各国而言，卸除对数据自由流动的限制，释放数据的潜在价值同样具有极大的吸引力。数据本地化政策也被指责会导致“网络巴尔干化”(24)Jonan Force Hill & Matthew Noyes, Rethinking Data, Geography and Jurisdiction: Towards a Common Framework for Harmonizing Global Data Flow Controls, New America, 2018, p.12, https://www.newamerica.org/cybersecurity-initiative/policy-papers/rethinking-data-geography-and-jurisdiction/，2021年4月25日访问。“数据重商主义”、(25)Strikrishna Committee, A Free and Fair Digital Economy Protection Privacy, Empowering Indians, Report of the Committee of Experts under the Chairmanshio of Justice BN Srikshna, 2018, p.89.网络整体安全性下降(26)同前注〔9〕，Sinan Ülgen文，第30页。等。

在个人信息跨境问题上，无论是追求单一经济发展的“通”(1.0版)，还是沉溺于绝对安全的“留”(2.0版)，均未能平衡数据流动与数据安全的关系。因此，未来的个人信息跨境3.0，或可以采取主权原则弹性适用模式。(27)此处的主权原则弹性适用，并非一种主权观念，仅指在数据领域主权原则的具体适用方式。相关内容可见论文第五部分。基于个人信息的场景化，实施差异化的个人信息跨境监管，调适个人信息保护与数据跨境流动引发的冲突。承认主权国家基于个人信息和隐私保护对个人信息跨境进行管控的同时，(28)OECD“指南”虽然要求成员国不得限制个人信息流动，但没有隐私保护规定的第三国不在此限。同前注〔6〕，OECD。2013年亚太经合组织《跨境隐私规则体系》(Cross-Border Privacy Rules，CBPRs)也将“个人信息的隐私与安全建立有意义的保护”作为个人信息跨境的前提。APEC, The Cross Border Privacy Rules System.兼顾数字经济发展(挖掘个人信息价值)。(29)2019年6月，二十国集团(G20)贸易和数字经济部长级会议在日本举行。在会后发布的声明中，部长们重申了他们对数据跨境流动的承诺，指出这将带来更高的生产率、更大的创新和更好的可持续发展，同时承认面临的“隐私、数据保护、知识产权和安全”挑战。G20 Ministerial Statement on Trade and Digital Economy, Tsubuka, Ibaraki, Japan, June 9, 2019, http://www.g20.utoronto.ca/2019/2019-g20-trade.html，2021年4月21日访问。

表1 个人信息跨境治理的三个阶段

(二)主权的外部视角：“长臂管辖”的正当性争议

伴随着云计算、物联网、大数据技术的发展，虚拟的数据模糊了物理“国境”和以此为基础的传统属地管辖，越来越多的国家转向以属人原则和效果原则为基础的“长臂管辖”。新旧规则的碰撞引发了诸多管辖冲突。

1.GDPR：私权保护的“长臂管辖”

2016年欧盟出台的GDPR被称之为“史上最严个人信息保护法规”。其严苛程度不仅体现在高标准个人信息保护责任，还极大地扩张了欧洲个人信息保护监管机构的管辖范围。依托该法，欧洲的管辖长臂可以伸长到世界的各个角落。GDPR的长臂管辖体现为两点：一是对欧盟境内数据控制者和处理者按照属人原则进行管辖。条例“适用于在欧盟境内设立的数据控制者或处理者对个人信息的处理，无论其数据处理是否位于欧盟内部”。二是依据“效果原则”(30)Google Spain SL v.Agencia Espaola de Protección de Datos, Case C-131/12 (2014), ECR 317.对欧盟境外的数据控制者与处理者实施管辖。主要情形包括“向欧盟境内的数据主体提供商品或服务——无论是否要求数据主体支付对价”“对发生在欧盟境内数据主体的活动进行监控”。(31)《一般数据保护条例》第3条，https://gdpr-info.eu/，2021年4月5日访问。

然而，GDPR的“长臂管辖”尚未长出牙齿就遭遇了难题。一是司法实践上的困难。由于法律条文并没有对一些关键概念进行清晰的说明，法律的实施有待于欧盟法院(Court of Justice of the European Union，下称CJEU)的进一步解释。但在实践中，法院的尺度宽严不一，造成规则不明。(32)Joined Cases Peter Pammer v.Reederei Karl Schlüter GmbH & Co.KG, Case C-585/08 (2010); Hotel Alpenhof GesmbH v.Oliver Heller Case C-144/09 (2010), para 69.因此，有学者将其称之为：“立法者的梦想，法官的噩梦。”(33)Dan Jerker B Svantesson, Extraterritoriality and Targeting in EU Data Privacy Law: The Weak Spot Undermining the Regulation, 5 International Data Privacy Law 226, 229 (2015).二是可能引发与他国的冲突。其他国家可以主张就相关个人信息具有同等重要或更为紧密的联系。例如，美国基于国家安全理由要求提供航班乘客信息。欧盟想要保护这些个人信息，必须拥有更为强大的管辖权联系。(34)最终，美欧签署了《乘客姓名记录协议》，但基于欧盟的让步，有学者认为该协议违反了GDPR相关规定。Cedric Ryngaert & Mistale Taylor, The GDPR as Global Data Protection Regulation?, 114 American Journal of International Law 5, 7 (2020).

2.云法：公权力行使的“长臂管辖”

2018年美国通过《澄清境外数据合法使用法》(Clarifying Lawful Overseas Use of Data Act，又称“CLOUD法”，下称“云法”)，将美国政府的管辖范围延伸到所有美国公司控制的数据，建立了数据跨境中的“长臂管辖”。该法的主要内容包括两部分：一是明确美国执法机构获取境外数据的方式(取)。这标志着美国在数据跨境实践中，放弃以属地原则为基础的“数据存储地”标准，转向了“数据访问地/控制者”标准。通过遍布世界的高科技公司，美国政府将自己的数据主权从物理国境延伸到了技术国境，可以对世界各地的数据行使管辖。二是创设了跨境数据执法协作机制(送)。云法授权美国政府与“适格国家”签署双边协议，应外国政府请求向其提供美国公司控制的非美国人数据(个人信息)。“适格国家”应满足美国国会设立的标准，并且接受美国政府的监督。

如果说GDPR的长臂管辖是以私人权益保护为目的的“防御”立法，云法则展现出公权力咄咄逼人的“攻势”管辖。云法体现出的强烈单边主义倾向：一是肆意侵犯他国主权。跨境调取数据的整个过程中，美国政府既没有告知、更没有征求数据存储地国家的同意，完全无视他国正当的数据管辖权；二是破坏了主权平等原则下的国际协商机制。虽然美国提供了数据跨境执法的替代方案，但是该方案由美国国会制定，美国政府实施和监督，他国处于不平等地位。

综上所述，无论是个人信息本地化与个人信息自由流通的争论，还是长臂管辖引发的数据管辖的冲突，其根源在于对个人信息跨境问题中“境”的理解不同。传统国际法框架下，管辖与领土对应，主权赋予一国在境内享有独立的排他性权力。而在数字时代，数据不具备物理实体，犹如漂浮在赛博空间的比特，既无法看见也无法感知，如何行使管辖？云计算的普及进一步削弱了传统国际法中管辖权的实施基础。

由此，在个人信息跨境领域，围绕着“境”的理解差异已经形成了不同的主权原则适用模式。一方是直接适用，主张将物理世界的管辖直接延伸至数据领域。对内重申国家对个人信息保护事项立法和数据跨境监管的绝对性，对外坚持主权国家平等参与的国际治理架构。另一方是间接适用，主张抛弃领土基础，弱化主权原则的地位，建立新的个人信息跨境秩序。(35)Sasha Segall, Jurisdictional Challenges in the United States Government’s Move to Cloud Computing Technology, 23 Fordham Intellectual Property, Media & Entertainment Law Journal 1105, 1121 (2013).两种主权观针锋相对，似乎没有调和的可能。在思考如何构建我国个人信息跨境机制时，不妨首先回到法律本身，重新审视个人信息跨境的具体场景及主权意蕴。

三、个人信息跨境场景中的主权因素

个人信息(数据)蕴含的巨大价值，随着“数据就是石油”判断的提出，个人信息跨境问题被引入政治、经济、军事领域的国际竞争。但抛开这些因素，该问题归根结底仍然是一个法律问题，其跨境机制的建构也离不开对个人信息主权特征的分析。

(一)数据跨境中的主权因素

1.个人数据(信息)与非个人数据

建构个人信息跨境机制，首先需要对法律规制的对象加以界定。个人数据(信息)是数据的下位概念，个人信息跨境也是数据跨境问题的一个分支。个人数据(信息)与非个人数据在主体、法益和意愿体现上均存在一定差异，因而在跨境制度建构中也应当加以区别考虑。

首先，主体不同。个人信息的主体是个人。对于“个人”的表述，各国法律中存在一定差异，我国《民法典》和《网络安全法》使用的是“自然人”的表述，(36)《个人信息保护法草案(二审稿)》第4条规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”《个人信息保护法草案(二审稿)》予以沿用。GDPR使用的也是“自然人”，并解释为“个体”。(37)GDPR第4条第1款：“个人数据指的是任何已识别或可识别的自然人(数据主体)相关的信息；一个可识别的自然人是一个能够被直接或间接识别的个体。”美国《加州消费者隐私法》(CCPA)侧重对商业使用的个人信息保护，使用的是“消费者或家庭”。(38)《美国加州消费者隐私法》(CCPA)第1798.140节(o)(1)：“个人信息是指直接或间接地识别、关联、描述、能够合理地与某一特定消费者或家庭相关联或可以合理地与之相关联的信息。”不论如何表述都无法否定个人信息主体的私主体性质。个人信息的认定标准是可识别，如果某些信息不能识别出特定的自然人，那么就不属于个人信息。(39)参见程啸：《论我国民法典中个人信息权益的性质》，载《政治与法律》2020年第8期，第4页。匿名化/去标识化的信息就不再是个人信息。与之相对，非个人数据的主体是国家、公共机构、社会组织或企业。(40)欧盟《非个人数据自由流动条例》第3条第(1)款“‘数据’意指第(EU)2016/679号条例(GDPR)第4条第(1)点界定的个人数据以外的数据。”

其次，法益不同。个人信息保护体现的是对自然人权益的保护、对私人生活的尊重。《民法典》区分了隐私与个人信息保护，指出个人信息保护的目的是个人对于涉及自身信息流动的信赖预期。虽然就个人信息保护究竟是私法权益还是公法保护存在争论，(41)参见王锡锌：《个人信息国家保护义务及展开》，载《中国法学》2021年第1期；周汉华：《个人信息保护的法律定位》，载《法商研究》2020年第3期；程啸：《民法典编纂视野下的个人信息保护》，载《中国法学》2019年第4期；丁晓东：《个人信息权利的反思与重塑：论个人信息保护的适用前提与法益基础》，载《中外法学》2020年第2期；叶名怡：《论个人信息权的基本范畴》，载《清华法学》2018年第5期。但个人信息侵权的私人指向说明私领域的性质是个人信息保护的重要特性。因而，在跨境过程中不应对个人信息进行过度限制。非个人数据所包含的法益较为复杂，依据数据内容或造成损害的程度可分为国家安全、公共利益与商业秘密等。其中涉国家安全的数据具有较强的公域性，在数据跨境上应受到较为严格的限制。

最后，体现意愿不同。个人信息保护的基础是“知情—同意”原则。对个人进行告知，赋予个人选择权，是对个人人格的尊重。(42)Denise Reaume, Dignity, Choice, and Circumstances, in Christopher McCrudden ed., Understanding Human Dignity, Oxford University Press, 2013, p.33.不论是“个人信息自决权”还是“个人信息受保护权”，都不能否认个人意愿在个人信息处理中的重要影响。《个人信息保护法草案(一审稿)》就个人信息跨境提出了“个人单独同意”的要求，正是承认这种个人选择的表现。

2.个人信息跨境规则的独立

从历史发展看，随着技术进步和认识程度的提升，个人信息跨境也逐渐从一般数据跨境中独立出来，发展为一种特殊的数据跨境机制。

首先，数据的单一保护。数据跨境流动概念提出之时，并无个人数据之外的其他数据。“数据跨境流动，即个人数据的跨国界移动”，此处的数据即“关于可识别个人的任何信息”。(43)OECD, Guidelines governing the protection of privacy and transborder flows of personal data (1980), Article 1 (b).这一阶段，跨境数据流动的主要议题是个人隐私保护。相关研究也集中在如何处理跨境数据流动国际规则与个人信息保护国内立法之间的冲突。(44)See C.T.Beling, Transborder Data Flows: International Privacy Protection and the Free Flow of Information, 6 Boston College International and Comparative Law Review 591 (1983); Colin J.Bennett & Charles D.Raab, The Governance of Privacy: Policy Instruments in a Global Perspective, MIT Press, 2006, p.127.

其次，个人数据与非个人数据混同保护。随着数字化程度的提升，“数据”不再局限于个人数据，逐渐扩展至与国家安全、经济发展和社会公共利益密切相关的多样数据。各国对跨境数据的保护，除了延续以个人隐私为主的信息内容安全，还增加了包含国家安全、公共利益的信息内容与数据安全双重保护。(45)参见梅夏英：《信息和数据概念区分的法律意义》，载《比较法研究》2020年第5期，第158页。具体表现为国际贸易规则体系中的“国家安全例外”(National Security Exceptions)在数据跨境问题中的频繁使用。(46)参见石静霞：《数字经济背景下的WTO电子商务诸边谈判：最新发展及焦点问题》，载《东方法学》2020年第2期，第177页。相应的国内立法中，也开始强调数据对于国家安全的重要性。

最后，个人数据与非个人数据区别保护。基于对不同数据所蕴含价值和主权属性认识的加深，各国开始引入数据分类保护制度。如欧盟GDPR将规制对象限定在个人信息，即“任何已识别或可识别的自然人(数据主体)相关的信息”。对于“个人数据以外”的数据跨境流动，则制定了《非个人数据流动条例》(47)参见欧盟《非个人数据自由流动条例》第3条第1款。予以规制。

3.《个人信息保护法草案(二审稿)》中的数据分类跨境

随着对个人信息与非个人信息的主权属性认识的深化，我国个人信息跨境机制也经历了混合规制到区分监管的过程。《网络安全法》的数据跨境条款将数据来源限定在关键信息基础设施，并没有区分个人信息与重要数据，虽然采用的是混同保护的思路，但还是偏重保护涉及国家安全的数据。

2017年4月11日，国家网信办发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》，延续了将个人信息与重要数据混同监管的思路，但该办法最终并未出台。2019年6月13日，国家网信办发布了《个人信息出境安全评估办法(征求意见稿)》，将个人信息单列制定出境评估细则，预示我国数据出境监管方式的变化。2020年公布的《个人信息保护法草案(二审稿)》与《数据安全法草案(二审稿)》展示了我国未来数据安全法律框架，在数据跨境机制较之《网络安全法》有两个变化：

第一，将出境评估/数据本地化范围扩展到所有个人信息，而不仅是《网络安全法》中“关键信息基础设施”产生的个人信息。第二，在数据出境监管上，将“关键信息基础设施”产生的个人信息与重要数据区别管理。《个人信息保护法草案(二审稿)》规定“关键信息基础设施运营者”个人信息境内存储，“确需”出境的，应当进行安全评估(第40条)。此外，在个人信息出境前，应征得个人的“单独同意”(第39条)。《数据安全法草案(二审稿)》虽然没有出现“关键信息基础设施”表述，但就数据出境设定了更为严苛的出境措施，“对与履行国际义务和维护国家安全相关的属于管制物项的数据依法实施出口管制”(第23条)。

个人数据与非个人数据的差异决定了二者的主权属性不同。相对于重要数据(非个人数据)，个人数据具有更多的私域特性，较少的主权限制。《个人信息保护法草案(二审稿)》表明我国立法者已经注意到了“个人信息与重要数据”主权属性的区别，继而在相应的跨境问题上采取不同的规制方式。

图2 个人信息与重要数据出境流程

(二)主权国家对个人信息跨境的规制

人类已经进入大数据时代，随之而来的是个人信息处理方式的颠覆性改变。个人信息虽然在主体、法益和意愿表达上具有私域弱主权特性，但是特殊个人信息及其组合仍然可能涉及公共领域和主权性权利，如新冠背景下引发了对个人生物数据出境的担忧。此外，在全球化背景下，国家主权越来越重视对公民个人利益的保护。(48)Helen Stacy, Relational Sovereignty, 55 Stanford Law Review 2029, 2044-2045 (2003).相应的，对个人数据(信息)的保护也是数据主权的重要体现。(49)国家数据主权是个人数据主权得以实现的前提，国家数据主权依赖于个人数据主权的支撑和表达。Joel P.Trachtman, Cyberspace, Sovereignty, Jurisdiction, and Modernism, 5 Indiana Journals of Global Legal Studies 561, 566 (1998).因此，在个人信息跨境机制建构中，有必要就个人信息内部进行再次分类。

1.静态安全：个人信息的主权属性分类

实践中，个人与信息处理者之间处于一种持续的不对称关系。信息技术的发展使得数据处理成为高度专业性的活动，数据企业普遍运用自动化决策、算法分析工具进行信息处理，这对数据产业之外的个人用户和监管者形成了技术门槛。因此，采用行为后果标准对信息处理活动进行监管可行性较高，也同样适用于跨境个人信息主权属性的判断。主权国家对个人信息的法律规制，不仅体现在私法层面确立了民事权利，还包括公法上的管辖权。如果个人信息面临的风险限于私域范围内，并可以使用私法救济的，主权属性弱；反之，风险可能波及公共领域，且需要国家主动保护的，则主权属性强。

一方面，可能导致国家利益重大风险的个人信息具有较强的主权属性。这类“重要个人信息”涉及国家安全和公共利益，主要有两部分组成：一是“关键信息基础设施”产生的个人信息。这类个人信息由于来源敏感，涉及国家安全最为基本的领域，因此需要重点保护。二是达到一定数量的个人信息。大数据的特点是对海量数据的分析并借此得出传统信息分析无法得知的结果。一国海量的个人信息，必然会反映该国的政治、经济、社会情况，存在泄露国家秘密的风险。因此，需要对其重点监管。

另一方面，可能造成个人权益重大损失的个人信息也具有较强的主权属性。在此个人信息侵权行为间接侵犯了国家所保护的个人信息流动秩序，国家不仅应当提供私法上的救济，也应当主动提供公法保护。对个人影响重大的“敏感信息”即在此列。《个人信息保护法草案(二审稿)》规定：“敏感个人信息是一旦泄露或者非法使用，可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息，包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。”(第29条)GDPR规定：“对于那些显示种族或民族背景、政治观念、宗教或哲学信仰或工会成员的个人数据、基因数据、为了特别识别自然人的生物性识别数据，以及和自然人健康、个人性生活或性取向相关的数据，应当禁止处理。”这些个人信息对个人而言较为“敏感”，需要提供更高标准的保护。(50)《个人信息保护法草案(一审稿)》规定了个人信息处理者只有在具有特定的目的和充分的必要性的情形下，方可处理敏感个人信息，而且进一步规定，在基于同意处理敏感个人信息时，应当取得个人的单独同意，同时还应向个人告知处理的必要性以及对个人的影响。

表2 个人信息类型化区分

2.动态安全：个人信息主权属性转换度衡量

当前各国面临的国家安全问题日益复杂化、多元化。正如习近平总书记指出：“维护网络安全，首先要知道风险在哪里，是什么样的风险。”(51)习近平：《在网络安全和信息化工作座谈会上的讲话》，2016年4月19日。在风险社会，传统中局限于私领域的私人决定，如今可能演化为公共事件，具有很强的公共性。(52)李忠夏：《风险社会治理中的宪法功能转型》，载《国家检察官学院学报》2020年第6期，第5页。这要求在个人信息跨境问题上不能固守静态的标准，还要以动态的安全观去衡量。

个人信息虽然属于私人领域，主权属性较弱，但以动态的安全观衡量，仍然可能对国家安全构成重大影响。由于信息的关联性、数据的海量性、处理结果的不确定性等因素，某些特殊的个人信息或个人信息的集合在一定条件下可以转化为具有强主权属性的公共信息。

第一，来源于关键信息基础设施的重要个人信息。关键信息基础设施不同于一般的网络设施，它是国家安全与社会稳定的命脉，具有绝对的主权属性。关键信息基础设施一旦遭到破坏、丧失功能或数据泄漏，可能严重危害国家安全、国计民生和公共利益。(53)参见《网络安全法》第31条。因此，来源于关键信息基础设施的重要个人信息安全也从属于国家安全，具有较高的主权属性转化度。

第二，涉及特殊群体的重要个人信息。此处的特殊群体是指因为身份、年龄或心理等方面的原因，无法独立表达个人信息处理意愿、行使个人权利，以及其他需要法律予以特别保护的群体。儿童是比较典型的特殊群体，儿童在使用网络时对于自身权利、个人信息处理的风险和后果没有形成全面正确的认识，因而各国对儿童个人信息保护予以特别规定。美国1998年制定了《儿童在线隐私保护法》(Children Online Privacy Protection Act，COPPA)，并于2013年进行修订。(54)2019年初，美国联邦贸易委员会(FTC)因TikTok涉嫌非法收集13岁以下儿童信息而处罚570万美元。https://www.ftc.gov/reports/annual-highlights-2019/enforcement，2021年4月18日访问。我国2019年出台的《儿童个人信息网络保护规定》也为儿童数据处理者设定了更为严格的个人信息保护责任。如前文所述，个人信息保护面临的不仅是信息泄漏带来的直接损失，还包括信息用于算法决策等带来的间接伤害。(55)2020年10月修订的《未成年人保护法》增加“网络保护”专章，其中第72条规定：“信息处理者通过网络处理未成年人个人信息的，应当遵循合法、正当和必要的原则。处理不满十四周岁未成年人个人信息的，应当征得未成年人的父母或者其他监护人同意，但法律、行政法规另有规定的除外。未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的，信息处理者应当及时采取措施予以更正、删除，但法律、行政法规另有规定的除外。”2021年4月27日，国务院成立未成年人保护工作领导小组，其职责为保护未成年人的身心健康，保障未成年人个人信息权益在内的合法权益。在个人信息跨境中，儿童群体遭受他国算法分析、算法影响的风险同样涉及国家安全。因此，特殊群体的个人信息也具有较高的主权属性转化度，对此类个人信息跨境应当予以严格审查。(56)政治、经济、军事、科技等领域的领军人物，同样应当纳入特殊群体对其个人信息提供严格保护。近年来，美国经常针对他国领导人、企业家、科学家等个人实施制裁，意图实现本国的政治经济目的。如2020年12月8日，美国国务卿蓬佩奥发表声明，无端指责中方依法制定和实施香港国安法，宣布美方将对中国全国人大常委会副委员长实施所谓制裁。

第三，敏感个人信息。敏感个人信息是针对个人敏感，私密的信息。一方面，此类信息与个人私生活联系紧密，遭侵犯带来的风险较为严重，需要国家提供更为严格的保护；另一方面，部分敏感信息内容与重要数据存在重合，具备一定的强主权属性。如个人生物特征与医疗健康信息，不仅关系到个人生命健康，还涉及国家基因安全。为防止我国公民的遗传资源出境后被滥用，我国出台了《人类遗传资源出境管理暂行办法》(1998)与《人类遗传资源采集、收集、买卖、出口、出境审批行政许可事项服务指南》(2015)，就遗传信息出境实施审核管理。因此，敏感信息虽然主权属性转化度不及重要个人信息，但是基于国家保护的强度，仍建议采取严格出境审查模式。

第四，一般个人信息。此类个人信息只涉及私人权益，主权属性不强。如果数量有限，对国家安全、公共利益带来的风险较小。在出境环节，可以在尊重个人意愿的基础上，实施弱审核机制，主要标准是接受国具备一定的个人信息保护水平。倘若数量达到一定规模，考虑到分析结果对一国产生的影响，也应当采取严格出境审查模式。

综上可知，不同个人信息类型在主体、法益、内容、意愿表达上存在区别，造成了主权属性和主权属性转化程度的差异。这为主权原则的弹性适用提供了可能。

四、个人信息跨境国际规则的形塑路径

在当下的国际实践中，各国均已认可主权概念在网络物理层的直接适用，肯定主权国家对境内网络基础设施享有管辖权。(57)Michael N.Schmitt ed., Tallinn Manual 2.0 on The International Law Applicable To Cyber Operations, Cambridge University Press, 2017, p.69.但在逻辑层和内容层，分歧不仅体现在不同主权理论争锋相对，也反映在各国对国际规则的影响方式上。个人信息从属于内容层。这里既保有威斯特伐利亚色彩的信息内容管控，同时也受到赛博技术“去领土化”架构的深刻影响。本节就欧盟与美国如何“包装”国内法，运用本国理念塑造个人信息跨境国际规则进行讨论。

(一)欧盟：人权至上的保护模式

1.管辖基础：人权保护

人权至上是欧盟个人信息保护立法的出发点，也是域外管辖的基础。如欧盟委员会前副主席芮丁女士(Viviane Rading)所言：“个人数据保护对欧洲人而言是一项基本权利”，欧洲一直将“隐私视为一种建立在基本人权之上的政治要求。”(58)Q & A with Viviane Reding, N.Y.Times, 2 February, 2013, https://www.nytimes.com/2013/02/03/business/q-and-a-with-viviane-reding.html，2021年3月9日访问。欧洲的人权保护源自对“人格尊严(human dignity)”传统重视。“第二次世界大战”后，人格尊严被作为“最高宪法价值”写入《德国基本法》。正如学者指出，人格尊严提升为“元法律性”维度，其实质内容并非来自理论上的推演或形而上的哲学基础，而是源于全社会的伦理共识，即对惨痛历史的共同反省。(59)参见张翔主编：《德国宪法案例选释第1辑：基本权利总论》，法律出版社2012年版，第250页。司法实践进一步说明了人格尊严的指向：“自由的人格与尊严乃是合宪秩序中最高的法价值”，“人在自由中可以进行自我规定以及自我发挥。”(60)Vgl.BVerfGE 6, 32 (41); 30,173 (193); 32 98 (108).德国学者Dürig教授提出了“客体公式”标准，认为如果“具体的个人被贬损至客体、成为纯粹的工具，降低为可替换的维度”，(61)Günter Dürig, Der Grundrechtssatz von der Menschenwürde: Entwurf eines praktikablen Wertsystems der Grundrechte aus Art.1 Abs. I in Verbindung mit Art.19 Abs.II des Grundgesetzes, Archiv des Öffentlichen Rechts Vol.81 (N.F.42), No.2 (1956), S.117-157. 转引自同前注〔59〕，张翔主编书，第259页。则人性尊严受到了侵犯。该标准也为宪法法院所采纳。(62)BVerfGE 9, 89 (95); 27, 1 (6).1950年《欧洲人权公约》将“人格尊严”予以吸纳，并进一步指明“私人和家庭生活、家庭和通信得到尊重”(第8条第1款)。这成为日后欧盟立法的基本原则。(63)GDPR序言：“自然人在个人数据处理方面获得保护是一项基本权利。《欧盟基本权利宪章》第8条第1款和《欧盟运行条约》第16条第1款规定每个人都有享有就其个人数据获得保护的权利。”数字时代，随着大规模信息采集与电子化技术的普及，个人数据的外延在不断扩大。承载于数据中的个人隐私等也面临越来越大的威胁。因此，欧盟系列立法中不断强调个人数据保护的基本人权面向。(64)GDPR第1条第2款规定：“本条例保护自然人的基本权利与自由，尤其是自然人的个人数据保护权。”GDPR的个人数据跨境制度也要求第三国接受基本人权理念，并以长臂管辖为制裁手段。

2.实施路径：法律—市场—国际规则

欧盟以基本人权的立场进行个人信息保护不仅是欧盟传统价值观的要求，同时也蕴含着欧盟整体数字战略的考量。根据“互联网女王”玛丽·米克尔(Mary Meeker)《2019互联网发展报告》，全球互联网领军地位由中美占据，最大的20家互联网公司11个来自美国，9家来自中国。(65)Mary Meeker, Internet Trends 2019, https://www.bondcap.com/report/itr19/，2021年4月20日访问。欧盟在数据经济中的份额与欧盟的经济比重严重不匹配，已经沦为“个人信息输出国”。为了扭转不利地位，欧盟采取以人权保护为原则、法律扩张适用、推动市场选择的方式来影响个人信息跨境国际规则。

首先，依靠严苛的立法落实“人格尊严”，提升域外管辖的正当性，实现欧洲规则的“世界管辖”。虽然欧盟为个人信息保护设立了高标准，但由于现有国际社会合作呈现出“规则碎片化”“理念差异化”等特点，各国在个人信息的权利性质和保护标准上很难达成共识。(66)参见伍艺：《大数据时代执法合作中个人数据跨境保护问题研究》，载《重庆邮电大学学报(社会科学版)》2018年第3期，第52-59页。直接在境外适用本国法律不仅成本最低、效果最好，还可以培养外国公司对欧盟法律的熟悉程度和理念的认可程度。

其次，建立统一数据要素市场，吸引外国企业，增强欧洲在个人信息治理中的话语权重。2020年的《欧洲数据战略》详细阐释了欧盟的数据治理思路，该文件提出“创建一个单独的欧盟数据空间，一个真正独立的、为世界各地数据开放市场。在这里，个人与非个人的数据都是安全的。”欧盟正是通过占据人权保护的道义制高点，以强化个人信息保护为由，打压以谷歌为首的美国互联网企业，以此振兴欧洲互联网产业。(67)《欧洲数据战略》提出：“市场力量的不平衡：……在大型在线平台，少数参与者可能会累积大量的数据，从中提取有价值的信息，进而为自己积累竞争优势。反过来，这可能会影响特定情况下的市场竞争力……‘数据优势’带来的强大的市场支配力可以使大型企业在相关平台上进行规则制定，单方面地为数据访问和使用设定条件。”

最后，向其他国家推广欧盟标准和价值观，完成国内法向国际法的转化。GDPR为个人数据跨境设定的第一道门槛即“充分性认定白名单”制度。进入“白名单”的国家或地区可以不受GDPR中数据传输协议、BCR认证等严格条件的限制，比较自由地接受源自欧盟的个人数据，相当于获取了个人数据跨境的“特殊通行证”。通过“白名单”，欧盟促使他国接受其价值、统一标准，间接影响了他国的的个人信息立法。(68)巴西与肯尼亚已经基于GDPR完成本国个人信息保护立法。

(二)美国：技术优先的扩张模式

1.管辖基础：技术国境

美国是互联网的发明国，也是全球信息技术最为发达的国家。互联网加速全球化进程的同时也成为美国塑造国际规则的工具。因此，美国在个人信息跨境问题上一直将技术和产业发展作为优先考虑的因素。尤其是在网络空间成为继陆地、海洋、天空和太空之外的第五疆域(the fifth domain)之后，技术也成为美国开拓边疆的重要手段。而拥有技术的商业平台则是美国行使全球管辖的依托。美国网络主权的目标在于越过传统的物理边界，直达技术边疆的极限。凡是美国企业到达的地方，皆受美国管辖。

美国的网络主权实施策略体现在：以数据自由流动为由破除他国的贸易壁垒，帮助美国企业进入他国网络市场，进而以技术优势掌握大量个人信息；随后对控制个人信息的商业机构行使管辖。“棱镜门”事件即美国利用本国网络公司监控全球通信的例子。技术的加持促使美国越来越多地使用“长臂管辖”。云法实施后，美国执法部门可以直接越过数据存储地的国家，向掌握数据的美国企业(数据控制者)索取数据。正如一位美国学者所言：技术使得“美国有机会建立一个未来的体系，宣传美国的价值观，保护美国企业，保护美国人的隐私，促进开放和安全的互联网的发展。”(69)Statement of Jennifer Daskal, Hearing on International Conflicts of Law Concerning Cross Border Data Flow and Law Enforcement Requests, February 25, 2016, https://www.justsecurity.org/wp-content/uploads/2016/02/WrittenStatement-Daskal-HouseJudiciary-022516.pdf，2021年4月23日访问。

2.实施路径：法律—协议—国际规则

在个人信息跨境领域，美国认为对于个人信息施加过于严苛的保护不利于商业利用的开展，个人信息涉及的是消费者的权利。(70)Tim Wu, Network Neutrality, Broadband Discrimination, 2 Journal of Telecommunications & High Technology Law 141 (2003).因此，美国主张个人信息自由流动，并通过国内立法和国际协议的方式达成其目的。

首先，国内法转化。“美国善于凭借其各方面的优势以其国内立法来影响其他国家的立法，并最终将美国国内法转换为全球性规则。”(71)车丕照：《是“逆全球化”还是在重塑全球规则？》，载《政法论丛》2019年第1期，第17页。“第二次世界大战”以来，美国法院在实践中发展出效果标准(effects test)和最低联系标准(minimum contacts)，以绕开国际法，直接将国会立法适用于境外。在针对个人信息的跨境执法中，只有符合云法要求“适格国家”才可以高效调取美国公司控制的数据。目前，英国已经与美国达成了协议，欧盟、澳大利亚也正在谈判中。

其次，双边/多边协议。美国经常借助贸易谈判推广本国的价值理念。数据自由长期以来是是美国贸易谈判的重要原则。1983年里根政府发表声明：“美国政府将在OECD内部推广‘数据承诺’，确保发达国家不会对数据流动设置新的壁垒，并鼓励所有国家对数据跨境采取更为开放和自由的政策。”(72)Ronald Regan, Statement on International Investment Policy, 9 September 1983, https://www.presidency.ucsb.edu/documents/statement-international-investment-policy，2021年4月8日访问。在亚太经合组织隐私框架(APEC Privacy Framework)中，美国主张以促进数据跨境自由流动为目标，规范电子商务领域的个人信息跨境活动。2012年达成的《美韩自由贸易协定》(U.S.-South Korea Free Trade Agreement)明确要求成员方努力避免对跨境电子信息施加不必要的阻碍。(73)U.S.- Korea Free Trade Agreement, https://ustr.gov/trade-agreements/free-trade-agreements/korus-fta，2021年4月12日访问。

综上，欧盟与美国以人权与技术为基础，“长臂管辖”与国际协议为法律工具，在个人信息跨境上组建“朋友圈”，逐步将其主权观念与法律规范推向国际治理的前端。

五、主权原则弹性适用下我国个人信息跨境制度建构

各国在主权观念与主权原则适用上的分歧是个人信息跨境国际规则难以建立的症结。我国一贯主张威斯特伐利亚主权观，将领土作为管辖权行使的基础。但是，个人信息跨境涉及法律主体众多，法律关系复杂，不宜以一种标尺衡量所有行为。为此，在个人信息跨境机制的建构中，或许可以采用弹性适用主权原则的方式：一方面坚持威斯特伐利亚主权观念，将主权不可侵犯作为适用的基础；另一方面，基于跨境个人信息的多样性和信息主权属性的差异，制定不同的规则，调适个人信息保护与数据跨境流动的冲突。(74)有学者在分析了主权原则在网络空间的适用的各种模式后，提出我国应当选择绝对路径下的直接适用。参见王超：《主权原则在网络空间适用的理论冲突及应对》，载《法学》2021年第3期，第101-115页。本文认为在个人信息跨境机制建构中，应坚持将主权原则直接适用于数据领域，同时兼顾个人信息的特殊性。所谓“主权原则弹性适用”，是指在尊重认可威斯特伐利亚主权秩序的基础上，为了促进数据利用、避免管辖权冲突，各国通过协商方式对特殊类型的个人信息让渡部分管辖权，放宽跨境管制。这种基于合意的让渡仅仅是实践中的管辖权行使方式，并不会削弱主权原则。国家保有随时收回让渡，恢复严格跨境管制的权力。

(一)管辖权的实施：个人信息跨境规则的类型化

《个人信息保护法草案(二审稿)》规定了主权国家对个人信息跨境活动的管理方式，即“个人信息本地存储”与“出境审查”。据此，标准的个人信息出境流程应包括：①个人单独同意；②满足法定出境条件，包括安全评估、专业认证、标准合同等方式(第38条)。个人信息与重要数据不同，主权属性较弱，私域特性也更为明显。因此，个人同意不仅是跨境传输的首要条件，也是一切个人信息处理活动的必备要件。《个人信息保护法草案(二审稿)》对此强调“单独同意”(第39条)。该项制度适用于重要的个人信息处理事项，用于此处也暗示了个人信息境外保护难度要高于境内，个人应谨慎抉择。

《个人信息保护法草案(二审稿)》对关键信息基础设施产生的个人信息与重要数据作了区分，并依据主权属性的强弱设立了不同的出境条件。这是应当肯定的，但是草案并没有就个人信息作进一步细分。通过上文分析，个人信息可以划分为一般个人信息和敏感/重要个人信息。前者的主权属性转化度不高，私域性较强，可采取“个人同意+弱出境审查”(专业认证或标准合同)。而后者的主权属性转化度较高，可以演变为强主权属性信息，应采取“个人同意+强出境审查”(安全评估)。

综上，主权属性强、或者主权属性转化度高的个人信息与国家安全和公共利益关切程度高，应强调主权原则适用的绝对性，实施较严的跨境管辖。对于属于私域范围内的个人信息，在主权原则适用上可以较为弹性，采取跨境规则也更偏向促进数据流动，释放数据价值。

(二)主权规则的“攻”与“防”：礼让分析下的“长臂管辖”

当前，数据在网络空间的流动已经超越了物理过境，由此引发了管辖与领土的分离。如何对本国公民个人信息提供保护的同时，阻却他国政府管辖的肆意扩张，成为困扰各国制度建构的难题。有学者提出在全球网络治理中引入攻守平衡理论，结合法律设计与国际合作维护网络空间安全。在个人信息跨境问题上，该思路同样值得借鉴。(75)参见左亦鲁：《国家安全视域下的网络安全》，载《华东政法大学学报》2018年第1期，第148-157页。

首先，实施保护性“长臂管辖”。保护性是一种防御性的“长臂管辖”，目的在于对出境后个人信息实施权利救济。《个人信息保护法草案(二审稿)》第2条提出“境外处理”个人信息的情形“也适用本法”。该规定与GDPR的相关规定相似度较高，被认为是中国版“长臂管辖”。在此不必拘泥于该条款意在“宣誓”还是“实施”。既然在立法中提出，备而不用也能产生效果。因此，一方面，应主张数据领域管辖权域外扩张的正当性。数据跨境传输弱化了地理属性，如果不能行使域外管辖，很难保护本国公民的正当权益；另一方面，对该款的具体适用应保持克制。域外管辖突破了属地秩序，必然会侵扰到他国主权。坚持谨慎自律的行为可以减少他国的敌意，建立国际互信，化解管辖冲突。在此，可以考虑借鉴国际冲突法中的礼让分析(Comitas Gentium)”，(76)“礼让分析”是指法院在具体案件审理中，对本国关联程度、相关国家的主权利益等进行平衡，以决定管辖和法律适用。See Carol Bruch Myers, At the Intersection of Jurisdiction and Choice of Law, 59 California Law Review 1514 (1971).对各方利益进行平衡。

其次，阻断单边性“长臂管辖”。以云法代表的“长臂管辖”具有极强的攻击性与单边性，遭到了各国反对。然而，美国基于全球网络产业的领军地位，在执法与司法实践中仍然我行我素地调取他国存储的个人信息。面对美国咄咄逼人的法律规则扩张。应采取以下方式应对：一是“堵”。坚持威斯特伐利亚主权观及属地秩序，立法阻止单边“长臂管辖”。《个人信息保护法草案(二审稿)》延续了《国际刑事司法协助法》的规定，禁止未经许可向他国政府提供个人信息，并且补充了“黑名单”制度作为反制措施。(77)《个人信息保护法草案(二审稿)》第42条规定：“境外的组织、个人从事损害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的，国家网信部门可以将其列入限制或者禁止个人信息提供清单，予以公告，并采取限制或者禁止向其提供个人信息等措施。”二是“疏”。改革传统多边司法协助模式(MLAT)，加大资源投入，提升效率，使其适应数字时代的发展。在此可以考虑通过双边/多边协议建立“数据自由调取区”或“数据调取特别程序”，基于国际互信进行管辖协调。

(三)主权观念的影响：形塑国际规则能力的提升

全球网络互联互通的特性，决定了个人信息的跨境流动离不开国际合作。当前国际层面个人信息跨境规则尚未形成，且日渐呈现出“碎片化”的特点。美国和欧盟反对主权原则直接适用于数据领域。一方面利用人权保护和技术优势，将网络国境延伸至他国的物理国境内；另一方面运用统一市场和完备法律，打造个人信息流动“朋友圈”，试图建立新的国际秩序。

我国虽然在主权观念与主权原则的适用方式上与美欧持不同观点，但同样应当进行前瞻性思考，积极争当国际规则的制定者，而不是跟随者遵从者。(78)参见许多奇：《个人数据跨境流动规制的国际格局及中国应对》，载《法学论坛》2018年第3期，第130-137页。当下我国的国际规则影响能力与在全球经济中所处的地位还很不相称。美欧利用国内立法和条约协议影响国际规则的方法值得借鉴。

在具体实施路径上，我国可以采取“市场—法律—国际规则”的路径来实现对个人信息跨境国际规则的影响。

首先，利用市场优势扩大国内法律的影响力。我国拥有世界上最大的个人信息市场，对此应当充分利用以吸引高科技数据企业，并使其遵循我国规则。

其次，建立清晰、完备的个人信息法律制度，推动开放的治理方案。一方面，相关制度的设计应当减小数据企业的法律适用成本；另一方面，积极分享个人信息跨境成功经验。高科技企业直接接触各国法律，必然会对各国的法律制度加以比较，并将优秀的规则带到其他国家。在此背景下，我国的个人信息跨境立法应当坚持更加灵活开放的态度。

最后，加强国际合作，达成多边协作共识，避免管辖权冲突。目前，我国尚未与贸易伙伴建立起数据跨境流动的互信机制，也缺少在国际规则体系构建中的话语权。这将严重阻碍我国数字经济的发展，也会影响我国企业跨境业务的开展。为此，可以考虑打造境内“个人信息自贸区”和区域“个人信息流动区”，构建个人信息跨境“朋友圈”。联合主权观念相近的国家，扩大主权原则直接适用主张的影响，以个人信息跨境区域规则为跳板，最终形成符合我国数据主权理念的个人信息跨境全球规则。