我国确立个人信息跨境传输制度的背景、意义和途径
2022-05-13王钧
摘要:我国确立个人信息跨境传输制度的背景是数字跨境贸易繁荣背景下保护个人信息的需要。建立和完善个人信息跨境传输制度的现实意义在于其回应了互联网大数据时代下保护个人信息权益的重要性;可以更好地应对全球个人数据跨境传输制度下数据管辖范围的扩大性:体现我国参与和倡导国际数据领域新规则制定的积极性。目前我国个人信息跨境传输制度还存在诸多不足,可尝试:(一)对信息跨境传输采取开放性政策;(二)对境外个人信息跨境传输至境内的情形作出规定;(三)分级、分类保护个人信息的跨境传输;(四)明确个人在信息跨境传输中享有的权益;(五)细化个人信息跨境保护制度的相关规则,加强可操作性。
关键词:个人信息跨境传输;保护制度;现实意义:完善路径
中图分类号:D997文献标识码:A文章编号:2095-6916(2022)08-0073-04
个人信息在互联网时代的大规模、高频率流动,使个人感受到了信息传输便捷的幸福感,但也产生了信息被泄露与不当使用的危机感。国际社会也意识到个人信息在传输过程中存在众多隐患,纷纷出台相关法律对个人信息予以保护。尤其是随着金融贸易的全球化,个人信息的流动不仅局限于本国境内,还涉及数据的跨境传输,更需要国家制定相关制度对数据的跨境传输进行规制。目前,美国、欧盟、APEC组织等经济体已经制定了一系列数据跨境传输规则,以扩大本国的数据管辖权。我国现作为世界第一大贸易国,个人信息的跨境流动较过去更为频繁,因此我国也应尽快完善个人信息跨境传输制度,在保护个人信息安全的前提下实现个人信息的自由流动,以促进国际贸易的发展。
一、我国确立个人信息跨境传输制度的背景
(一)是数字跨境贸易繁荣发展背景下保护个人信息的需要
随着电子商务的发展,一系列跨境电商平台发展如火如荼。用户在网上进行自主跨境购物时,其个人信息数据将被传送至境外平台的服务器,其中包含用户的姓名、电话号码、住址以及被大数据统计的消费偏好等涉及个人隐私的信息。如此大量的用户信息被存储于境外,若无相应制度予以规制,将存在严重的个人信息安全隐患,甚至威胁国家安全。除此之外,一些境外企业在中国开展业务或是国内公司与境外企业开展合作,我国个人信息数据也不可避免地被收集、存储于境外服务器[1]。个人数据的频繁跨境流动,关乎个人、社会和国家利益,我国亟须建立统一的个人数据跨境传输制度,以保护个人信息安全。
(二)国外关于个人信息跨境传输的保护制度为我国提供了经验
相较于我国个人数据跨境传输制度的不完善,欧美国家已经有较完备的数据跨境传输保护制度,可供我国学习和借鉴,如美国与欧盟为进行个人信息跨境传输签订的《安全港协议》《隐私盾协议》。虽然2015年欧盟法院判决《安全港协议》无效,但其对美欧双方统一数据跨境传输的标准起到了推动作用[2],美欧双方之后达成的《隐私盾协议》正是在该协议基础上的进一步突破。《隐私盾协议》中对信息主体的救济方式、企业义务、安全机构准入、年度审查制度等方面的创新性规定,为美欧双方信息跨境流动和个人信息保护找到了平衡点,也为我国与其他国家开展数据跨境传输合作提供了蓝本。欧盟作为当前国际上个人信息保护水平最高的区域性组织,其在《通用数据保护条例》中设立的三种不同等级的保护机制,实现了个人数据跨境传输的高标准保护。最高等级的保护首先是由欧盟认定第三国或国际组织具备了充分的数据保护水平,欧盟成员国的个人数据才能进行数据跨境流动;其次是经认定基于可提供充分的数据保障措施而允许数据传输;最后是特定情形下的数据传输。欧盟的该种数据保护模式具有完整性、创新性以及可操作性。我国出台的《个人信息保护法》中关于个人数据保护的管辖标准就借鉴了欧盟《通用数据保护条例》中域外管辖标准的“目标指向标准”,即对于境外基于特定目的处理我国个人信息的行为,我国拥有管辖权。虽然我国关于个人数据跨境传输制度的部分法律条文与欧盟规定不同,但核心观点一致,即均是为了保护数据跨境传输的安全,而扩大对侵犯个人数据权益的管辖权范围。此外APEC经济体也建立《跨境隐私规则体系》,旨在实现参与该组织的各经济体之间的信息共享与跨境执法协作[3]。当前数据领域的强国都在积极建立并试图主导国际数据传输规则,我国应在借鉴域外国家或地区有益经验的基础上,加快建立和完善我国个人数据跨境传输制度,以在国际上拥有更多话语权。
(三)是实现国内个人信息保护以及与国际接轨的需要
公民的个人信息与人格尊严相关,从权利属性来讲,个人信息属人格权,是人权的一部分。我国一直致力于人权保护工作,为保护公民的个人信息,我国各部门法均对个人信息保护作出相应规定。但关于个人信息保护的法律法规大多是对境内个人信息数据传输的规则予以規定,缺乏对个人信息数据的跨境流通的规制,存在个人信息仅能从境内传输至境外,但境外个人信息很难传回境内的尴尬局面。最近实施的《个人信息保护法》中列专章对“个人信息跨境提供的规则”进行说明,回应了国内个人信息保护的诉求,实现与国际接轨。前文提到,美国、欧盟、APEC组织都建立了个人数据跨境传输保护制度,我国作为数据大国却仍未建立统一的、专门个人信息跨境传输制度,影响我国在国际数据传输领域方面的话语权与地位,发达国家历来注重主导国际秩序规则的建立,发展中国家基于利益的考量只能被迫接受[4]。但我国作为最大的发展中国家以及世界第二大经济体,应尽快与国际接轨,建立个人信息跨境传输制度,为广大发展中国家赢得国际领域话语权。
二、建立和完善个人信息跨境传输制度的现实意义
(一)回应了互联网大数据时代下保护个人信息权益的重要性
随着我国网民规模的扩大,互联网存储了海量个人信息,给不法分子利用个人信息进行网络诈骗尤其是跨境电信诈骗提供了机会。由于跨境电信诈骗中犯罪分子以及其犯罪设施均在境外,使得打击该种犯罪行为十分困难,严重侵害了我国公民的个人信息权益。此外,我国公民在进行跨境购物时其个人信息将主动流向境外信息存储服务器,且无法在交易结束后要求对方删除该个人信息,损害了我国公民享有的个人信息删除权。故确立个人信息跨境传输制度是互联网时代保护个人信息以及维护国家总体安全的需要,设立该制度将有助于规范我国与境外国家或地区的数据跨境传输合作,更好地保障我国公民的个人信息权益。
(二)应对全球个人数据跨境传输制度下数据管辖范围的扩大性
全球各国加强数据跨境立法工作的目的是为扩大国家对个人数据的管辖范围,这涉及关于“网络主权”概念的认识。“网络主权”是由互联网的发展衍生出来的,关于网络主权的具体定位存在两种不同观点。一种观点认为,如同国家对自己领土、领空、领海而享有的主权一样,国家对网络上传输的数据也拥有主权,应视为国家主权在网络领域的延伸;另一种观点则认为,技术规则网络空间具有共有性,应属于全球公域,以美国、加拿大为代表的国家希望网络空间成为“自由王国”。事实上,网络领域与现实相连接,必然将受到管辖,个人数据在互联网上的跨境流动的管辖范围将依照本国的网络主权予以确定。基于当前国际上缺乏对网络空间管辖权边界的明确规定,众多主权国家相继推出数据跨境传输规则以扩大管辖权范围。但对于跨国公司来说,由于各国的数据保护制度与保护标准不一致,增加了其進入境外市场的成本。因此,应努力推动国际上形成一个统一的数据跨境传输规则体系[5],实现在尊重各国数据主权的基础上让数据充分自由流动的美好愿景。我国作为有责任担当的大国,应在国际舞台上更积极主动,以推动个人信息跨境传输国际规则的创设[6]。
(三)体现我国参与和倡导国际数据领域新规则制定的积极性
大数据产业蓬勃发展势头下,个人信息所包含的各种数据蕴含的价值成为新的战略抢夺点。谁掌握了信息数据,谁就在未来经济战场上拥有主导权。我国对个人信息的保护相对薄弱,其保护制度多散见于各部门法,关于数据跨境保护也处于缺位状态,而国际上对数据跨境传输的保护已走出相当远的距离[7]。《个人信息保护法》中关于个人信息跨境提供的规则,填补了我国的立法空白。虽然该规则比较保守且对国内个人信息出境限制多,但一定程度上体现了我国正在积极构建个人信息跨境传输的保护制度,努力与主流国家或地区的数据跨境传输制度拉近距离,并在进一步参与和倡导国际数据领域信息跨境传输通行标准的制定。
三、我国建立和完善个人信息跨境传输制度的路径
(一)对信息跨境传输采取开放性政策
目前,我国对信息跨境传输的态度缺乏开放性,过于强调数据的本地化以及对数据出境作严格限制。在《个人信息保护法》中,个人信息被分为一般个人信息与敏感个人信息,法律对这两种个人信息都作出高标准保护,如信息处理者对个人一般信息的处理要建立在信息主体的充分知情与明确同意的基础上;信息处理者因业务需要向境外机构提供个人信息需要双重同意,即“政府审核通过+个人单独同意”。这种严格的个人信息保护体现了当前立法机关坚守数据本地化导向,虽然对国内个人信息的安全提供了极大程度的保护,但是与国际上推行的数据自由流动的原则相背离,影响我国与其他国家或地区展开数字贸易合作。我国对个人信息跨境传输至境外的传输标准太过严格,过多的限制性规定不利于我国在全球范围内发展大数据产业[8]。事实上,我国在发展互联网大数据方面具有独特的市场规模优势,应当充分利用该优势地位,借鉴欧盟数据跨境立法模式采取开放性政策,鼓励个人信息的自由流通,助力我国在国际数据领域竞争中处于优势地位。
(二)对境外个人信息跨境传输至境内的情形作出规定
法律虽规定个人信息跨境提供规则,但关于境外数据向境内传输的适用规则未作规定。所谓“传输”,汉语意思是指传递、输送,在个人信息流动情境下,“传输”应当包括境内向境外传递信息和境外向境内流入个人信息,即是双向的信息流动。当前法律缺乏对境外个人信息流入境内的规制,将对我国国内个人信息的安全产生冲击。全球数据流通更为迅速与频繁,跨境贸易的繁荣发展使得境外个人信息主动或被动地流入境内。如果国内相关部门对这些境外个人信息在入境时不加以审核或者进行安全评估,缺少入境信息动态监控,则会给我国个人信息保护带来隐患,进而影响国家总体信息安全体系建设。
(三)分级、分类保护个人信息的跨境传输
目前法律对个人信息的出境以“政府审核通过+个人同意”的双重标准作统一规定,未区分一般信息与敏感信息的出境保护标准。笔者认为,如果法律将个人信息区分为一般与敏感两种类别,则在个人信息的跨境传输中,也应对这两类个人信息进行分类保护,以实现个人信息跨境传输的安全与自由流动。个人信息的可识别性使其具有明确的“人身指向性”,即可以直接锁定该个人。但在个人信息跨境传输中,对于个人的一般信息,由于其并不直接涉及自然人深层次隐私或财产信息,对于该一般信息的传输则不必严格依照“政府+个人”的双重明确同意标准之规定,由政府单方面审核通过即可。若因政府审核不到位而使得个人信息遭受侵害,可事后对政府追责。个人敏感信息与人身、财产息息相关,故应严格适用“政府审核+个人单独同意”标准,以实现对个人敏感信息更高层次的保护。在信息跨境传输中对个人信息区别保护,将有利于兼顾个人信息保护与信息自由流通双重价值,进而构建开放且安全的信息跨境流通体系。
(四)明确个人在信息跨境传输中享有的权益
法律中仅规定个人信息处理者向境外传输信息要告知个人并取得个人的同意,除该“知情同意权”外,法律未对个人享有的其他权利作说明。从比较的角度分析,个人对境内个人信息的传递享有知情权、同意权、更正权、删除权、查询权、复制权等权益,笔者认为个人对其传输至境外的信息也应享有前述权益。个人信息具有人身依附性,从属于个人,个人有权决定是否授权于个人信息处理者对其信息进行处理。对于传输至境外的信息,个人并未丧失控制权,仍有权要求境外机构对其信息进行更正或是予以删除等。建议国家有关部门出台相关规定明确个人在信息跨境传输中享有的权益,以更好地完善我国个人信息保护制度。
(五)细化个人信息跨境保护制度的相关规则,加强可操作性
《个人信息保护法》第三十八条第一款第一项中提到“安全评估”,但关于“安全评估”的具体流程、评估方式、评估哪些资料文件等还未有相关配套实施的细则;第二项提到“经专业机构进行个人信息保护认证”,但关于“专业机构”具体是哪些机构、专业机构应具备的资质条件等均未在法律中明确,同样对“个人信息保护认证”的认证条件、需提供的认证资料、认证期限等未配备细化规则。《个人信息保护法》对个人信息跨境传输保护仅仅设置了一个框架,许多原则性规定缺乏配套实施细则,实践中缺乏操作性,国家有关部门应出台关于个人信息跨境传输保护细则,以确保我国的个人信息跨境传输制度真正得到实施。
结语
互联网大数据、云计算服务等产业的发展,使我国有着国内超大规模的市场优势,应借助天然优势大力发展数据产业,充分保护个人信息这个庞大的“资源”。《个人信息保护法》以专门立法的形式制定个人信息保护制度,弥补了我国立法空白,实现与国际个人信息保护规则的对接。但是,由于我国社会基础、经济发展水平、国情等因素,目前对个人信息跨境传输制度仅作了原则性规定。相信随着时机的成熟,我国的个人信息跨境传输制度将得到进一步完善,个人信息保护跃向新的台阶。
参考文献:
[1]朱晓娟.论跨境电商中个人信息保护的制度构建与完善[J].法学杂志,2021(2).
[2]刘绍新.全球化背景下的个人数据跨境流动[J].中国金融,2019(23).
[3]牛哲莉.个人数据跨境流动——中日韩合作规制进路探析[J].山东科技大学学报(社会科学版),2021(4).
[4]许多奇.论跨境数据流动规制企业双向合规的法治保障[J].东方法学,2020(2).
[5]沈红雨.大数据流动背景下个人信息保护法律制度的挑战与对策——基于比较法的视角[J].中国应用法学,2021(2).
[6]张金平.跨境数据转移的国际规制及中国法律的应对——兼评我国《网络安全法》上的跨境数据转移限制规则[J].政治与法律,2016(12).
[7]王利明,丁晓东.论《个人信息保护法》的亮点、特色与适用[J].法学家,2021(6).
[8]曹磊.网络空间的数据权研究[J].国际观察,2013(1).
作者简介:王钧(1996—),女,汉族,山西临县人,辽宁同文律师事务所律师,研究方向为民商法。
(责任编辑:杨超)
基金项目:本文系2019年度福建省社科规划基础研究项目“环境信用评价模式研究”(编号:FJ2019C002)阶段性成果