张意

摘 要：在大数据时代，个人信息不但具有人格价值，对个人信息的获取利用也具有重大战略意义，数据驱动创新被视为国家经济增长的一种新源泉。个人信息跨境流动则承载着国家安全、数字经济发展、权利保护等重要价值。基于此，针对个人信息跨境流动，我国十分重視，均制定了一系列规则，然而因为立法不足、监管不到位等原因，渐渐也出现了各种不足之处，主要表现为个人信息界定与分类、“同意”规则在个人信息保护方面的力度较差、信息控制者被施加过重的注意义务、出境评估要素中“数量”标准缺乏科学性几个方面。由于部分国家在数据规制领域起步较早，经验相对丰富，应当在分析研究国际相关经验的基础上对我国个人信息跨境流动规则提出完善建议。

关键词：个人信息；数据跨境流动；同意规则

中图分类号：F74     文献标识码：A      doi：10.19311/j.cnki.16723198.2023.20.017

0 引言

近年来，随着科学技术和数字经济的蓬勃发展，个人数据跨境活动日益频繁，个人数据跨境流动成为全球数字贸易发展的重要推动力之一。为顺应该国际形势，必须全面贯彻落实习近平法治思想，坚持总体国家安全观。对于个人信息跨境流动的情况，我国也渐渐重视，并制定了相关规则。然而，对于我国而言，个人数据跨境规属于新兴事物，存在诸多不足之处亟待完善，而美国、欧盟等大部分国家和部分国际组织在个人数据跨境流动方面已形成体系，经验相对丰富。通过研究其发布过的相关法律和政策文件，对比我国国内的个人数据跨境规则，有利于为我国这一领域的立法提供借鉴。因此，本文主要采取的是比较研究法。通过对国际上相关规则的分析，对比归纳出各优劣势，为我国个人数据跨境流动制度的完善提供参考。

1 个人信息跨境流动的基本内涵

“法律概念是法律规范和法律制度的建筑材料。”针对“个人信息”“个人信息跨境流动”，对其进行准确界定，是制定个人信息跨境流动规则的核心和前提。但是，由于科技的迅速发展，信息种类在逐步多样化，原先静态的“识别说”在实践中受到严峻挑战。因此，有必要协调法律的确定性和科技发展的不确定性之间的矛盾，为个人信息立法奠定扎实的基础。

1.1 个人信息的概念和分类

在数据跨境流动中，个人信息较为典型，是这一方面研究的重点。

基于识别说理论，个人信息相对应的便是非个人信息。欧美国家大多数情况下把前者界定为“个人可识别信息（PII）。”由此得知，个人信息的典型特征在于“可识别性”。这里，判断个人信息的核心在于透过这一信息能够获取个人相关身份信息。美国研究学者以“识别说”为基础，延伸出了“关联说”。同静态识别说进行对比，关联说旨在突破传统二分法的局限，强调动态界定个人信息。

我国将个人信息分为敏感个人信息和非敏感个人信息，该分类本身的保护目的过于单一，放在数据跨境流动的语境下则显单薄。此外，《个人信息保护法》中的敏感个人信息，则是集合了社会评价与个人主观评价两方面，这里，个人主观感受、社会文化水平是不可忽视的影响因素，也因此难以形成固定范畴。

简而言之，个人信息的差异性决定着对其进行分析的必要性，而其规律性则是使研究具有价值的根本原因，目前尚无统一的识别个人信息的方法。

1.2 我国个人信息跨境流动规则的立法概况

我国相继出台了《数据出境安全评估办法》、《网络安全法》、《个人信息和重要数据出境安全评估办法》、《个人信息出境安全评估办法》等法规及管理制度，并将个人信息处境规则的条件确定为个人信息主体同意、通过出境安全评估，并对企业开设个人数据跨境流动业务进行了重点规范，旨在更好地对个人信息安全进行保护。

制定出台《数据出境安全评估办法》是落实《网络安全法》、《数据安全法》、《个人信息保护法》等有关数据出境规定的重要举措，目的在于进一步规范数据出境活动，保护个人信息权益，维护国家安全和社会公益。《个人信息保护法》中，把个人信息判定分析为“已识别或能够识别的自然人相关联”的信息，将这一思路总结为“识别说+关联说”。

1.3 我国个人信息跨境流动规则的具体内容

1.3.1 个人信息主体“同意”规则

《个人信息和重要数据出境安全评估办法》第四条明确指出，个人信息出境，必须将数据出境目的、内容、范围、接收方及所在国家向个人信息主体进行如实告知，并通过其同意。对此，如果没有通过信息主体的同意，任何信息都不得出境。基于此，对于个人信息出境的关键在于获得信息主体的“同意”。《个人信息安全规范》对“同意”获取的相关流程及规则进行了明确。

1.3.2 个人信息出境安全评估规则

对于数据出境而言，个人信息与重点数据是其安全性评估的重点。由于数据出境在数据跨境流动中具有非常重要的地位，对此本研究对个人信息出境评估要点进行了着重论述。

当个人信息出境时，对其安全性评价时需考虑到信息数量，《数据出境安全评估办法》即通过数据的量级来区分安全评估部门的级别。单个出境的个人信息数据能够产生的影响较为微小，但是当个人信息汇集到特定程度，就会具备一定的代表性而产生衍生价值，对国家安全、社会利益造成了严重威胁。

2 我国个人信息跨境流动规则的不足

2.1 个人信息的定义和分类不合理

在我国，个人信息主要包括了敏感与非敏感两种类型，这种分类方式并未立足于数据本身的特征，而是基于倾向保护隐私的单一目的，同跨境的相关语境进行联合分析，这一做法比较简单。然而，事实上个人信息种类较多，且信息量特别庞大，有的研究人员以持有主体、数据产生行业的不同进行划分。不同的分类应当迎合个人信息的动态性和场景依赖，提升现行法律规定的可操作性。

2.2 数据出境安全管理相关定义不明确

《数据安全法》第三十一条规定，关键信息的运营者的出境安全管理适用《网络安全法》第三十七条，但是并没有对其他数据处理者的出境安全管理活动做出明文规定。目前只能参考《个人信息和重要数据出境安全评估办法（征求意见稿）》规定的六类重要数据出境安全评估及三类严禁出境的数据类型。但是该《征求意见稿》发布时间已较为久远，该《办法》也一直未正式出台和生效，因此“个人信息”相关规则仍不明确。

2.3 “同意”规则保护力度弱且信息控制者注意义务严苛

针对非敏感个人信息而言，我国所制定的数据出境规则的保护力度较低。通过上述分析得知，针对数据出境，其中所提到的“同意”规则中要求积极履行告知义务，这是对跨境个人信息予以收集与使用时，尤其是一些关乎隐私、较为敏感的信息，都必须获得信息主体的同意。这里还强调要求明示同意。针对非敏感信息而言，默示也算。简而言之，个人信息控制人员可凭借默示条款对个人信息进行搜集，但是信息主体却毫不知情，面临巨大的风险。另外，对于敏感、非敏感个人信息，两者的界限并未明确，信息主体难以对个人信息进行有效控制。

2.4 个人数据出境安全评估规则的“数量”标准不科学

基于上文所论述得知，对于数据出境的安全风险、具体等级的评价中，个人信息数量是关注的重点，并未考虑到网络发展现状、各行业针对信息安全需求的不同。然而，我国网民数量较大，大规模个人信息不断涌现。并且，有学者预计随着穿戴性设备等互联网的应用普及和在线化，人类将迎来“数据核爆”。如在此情境下仍旧过分依赖数量标准，将有可能对非关键领手机应用运营者的数据跨境业务带来阻碍与限制。

3 个人数据跨境流动的欧盟监管经验

3.1 个人数据分类分级的科学化

《网络安全法》第二十一条规定由网络运营者按照网络安全等级保护制度要求，自行采取数据分类措施。该规定过于笼统，没有明确建立数据分类的主体。也没有体现数据分级的思想。而《数据安全法》在此基础上对《网络安全法》的数据分类进行了完善，第二十一条规定建立数据分类分级保护制度和国家核心数据管理制度，明确由国家建立数据分类分级制度，由主管部门制定重要数据目录并加强保护。同时《数据安全法》还新增了国家核心数据制度，对核心数据采取更为严格的管理。

3.2 排除取得非敏感个人信息“默示同意”的合法性效力

在个人数据保护法中，欧盟提到了，任何个人信息的获取，都必须满足“同意”规则。《一般数据保护条例》中对“同意”进行了界定，则是数据主体以特别明显的肯定行为或个人声明的方式所表达的指示。欧盟GDPR强调“同意”必然是清晰、具体的，且要求数据主体完全知情的前提下自主作出决定。若数据控制一方提出的同意事项同之前获取的同意事项范围不同，那么则需及时向用戶进行单独阐明；若在合同签订中，“同意数据处理”列为前提条件，若数据处理超过了服务所必需的范畴，那么则同“同意需自由做出”这一规定相违背。

通过高标准事实方面，对“默示同意”予以完全否定，这样一般以推定的方式对“同意”进行获得，但是这一行为的合法性、有效性难以被认定。另外，对于个人信息法中的“默示同意”，新加坡主张进行排除，对敏感与非敏感个人信息的差别保护相关规则予以取消，明确指出全部个人信息收集使用时都必须获得明确的同意。

4 我国个人信息跨境流动规则的完善建议

4.1 优化个人信息的定义和分类

基于“个人信息”，我国提出其关键点在于“可识别性”。然而，在具体实践过程中依然存在看起来无法识别的个人信息却能够精准定位的情况。对此，在“可识别性”的基础上，还需考虑“关联性”这一特点，认为只要是特定自然人在相关活动过程中所自身的信息，那么则可认定为个人信息，具体包含以下几点：

（1）个人实时位置信息。如开启地图APP所出现的实时位置相关信息。

（2）个人通话记录。通话记录中包含了信息主体生活情况、人际关系等一系列敏感信息。

（3）个人浏览记录。对于浏览记录而言，能够将信息主体兴趣、消费水平、知识水平等敏感信息予以呈现。总之，对于“个人信息”范围而言，应包含“关联性”信息，且予以针对性保护。

针对个人信息，我国将其分为敏感与非敏感两类。但是，这一种分类方法并不全面，难以迎合变幻无穷的数据跨境所需。对此，最好从数据类型、出境目的两方面进一步细分个人信息类型，并基于分类情况适用严苛性的不同，对数据出境规则进行区分。

4.2 加强非敏感个人信息的保护力度

基于我国数据出境“同意”规则，对非敏感个人信息收集时，只需获取默示同意便能够使用，如此信息主体尚不知情的情况下依然可凭借默示条款获得收集的权利，这一行为严重侵犯了信息主体对自身信息的控制权。基于此，可积极借鉴欧盟所实施的“同意”规则，不承认默示同意的效力，并将个人敏感与非敏感信息的不同保护规则予以取消，无论哪一种个人信息，都要求通过明示同意。

4.3 明确个人信息出境评估标准中的“数量”标准

在个人信息评估（自行或监管机构）时，个人信息数量是关注的重点，也是数据出境安全性、安全等级的主要判定标准。然而，这一规定科学性较低，并未考虑到我国庞大的网络用户。启动与评估数据安全时，应对数据重要性、敏感性方面进行充分考虑，并以此为基础结合各行业、各产业的具体情况及安全规定，确定针对性、个性化的“数量”标志，对关键性信息的范围予以准确锁定，最大限度地缓解监管负担。

总之，对于个人信息跨境流动规则而言，最好从个人信息界定与分类、非敏感个人信息保护、信息控制者注意义务的减轻等方面进行完善，且注意对“数量”标准进行细化，以此来提高个人信息的安全性。

4.4 完善立法体系，细化相关制度

首先，“关键基础设施运营者”“重要核心数据”等概念定义尚不明朗，需要立法进一步界定形成个人数据跨境流动的统一规范标准。其次，数据跨境流动的安全评估应予以细化规范。应当制定并出台个人数据跨境流动的具体评估办法，由此提供切实可操作的评估标准。同时，需进一步扩大第三方专业评估机构的适用范围，利用第三方专业机构认证方式辅助监管机构对个人信息数据出境进行审查评估。最后，个人数据跨境流动的标准合同文本应当更加具体和规范。标准规范的合同文本有利于明确数据处理者和数据接受者的权利和义务，更好地指引数据处理者和接受在保护个人数据的基础上开展数据跨境流动合作。除此之外，欧盟GDPR跨境流动白名单制度为我国提供了借鉴，我国应当丰富数据跨境流动的规制模式，加速制定本国的数据跨境流动白名单，评估数据接收国的数据保护情况，将数据保护环境较好的国家或地区列入白名单，促进我国与其他国家的数据自由跨境流动，形成良性互动。

5 結语

个人信息跨境流动的国际监管经验主要有，在个人信息的分类分级上具有多样性，能够切合数据的动态性特征，欧盟、新加坡等国家直接将“默示同意”合法性直接排除，注重保护非敏感个人信息。通过对比，我国个人信息跨境保护无论在立法还是司法实践中都还处在起步阶段，需要在参考域外经验的同时结合本国国情，补足个人信息跨境流动规则的漏洞，形成更为完善的规则体系。

参考文献

［1］伯恩·魏德士.法理学[M].丁晓春，吴越，译.北京：北京法律出版社，2013：91.

[2]黄秋红，李雅颖.对接CPTPP数据跨境流动规则研究[J].南海法学，2022，6（01）：115124.

[3]高秦伟.个人信息概念之反思和重塑——立法与实践的理论起点[J].人大法律评论，2019，（01）：209235.

[4]王苑.敏感个人信息的概念界定与要素判断——以《个人信息保护法》第28条为中心[J].环球法律评论，2022，44（2）：8599.

[5]李航.我国数据跨境流动规则的不足与完善[D].上海：上海华东政法大学，2018.

[6]王利明，丁晓东.论《个人信息保护法》的亮点、特色与适用[J].法学家，2021，（6）：116.

[7]孙雯.我国数据出境规则问题研究[M].上海：上海华东政法大学，2020：15.

[8]陈咏梅，张姣.跨境数据流动国际规制新发展：困境与前路[J].上海对外经贸大学学报，2017，24（6）：3752.

[9]齐爱民，张哲.识别与再识别：个人信息的概念界定与立法选择[J].重庆大学学报（社会科学版），2018，24（2）：119131.

[10]张新宝.我国个人信息保护法立法主要矛盾研讨[J].吉林大学社会科学学报，2018，58（5）：4556.

[11]王雪乔.论欧盟GDPR中个人数据保护与“同意”细分[J].政法论丛，2019，（04）：136146.

[12]曾聪.论个人信息与数据的位阶保护模式[J].中国特色社会主义研究，2022，（5）：131142.

[13]高敏涵.个人数据跨境流动的法律规制问题研究[D].北京：外交学院，2022：30.