数字经济时代个人信息跨境流动规制问题研究

2023-12-30陈胜王可心

中国商论 2023年24期

陈胜王可心

摘要：数字时代，数据作为数字经济深入发展的核心引擎，正在成為重组全球要素资源、改变全球经济结构的关键，跨境数据流动规则更是当前讨论的重要议题。我国个人信息跨境流动规制致力于追求个人信息跨境流动的安全保护与合理利用之间的平衡，但当前的司法实践与立法旨意追求的目标存在偏差。因此，我国应完善国内立法并细化规范要求；健全个人信息跨境流动监管机制；积极参与全球数据治理，加强数据跨境合作，以提高我国在国际数字舞台的话语权和影响力。

关键词：个人信息；跨境流动；法律规制；数字经济；网络安全

本文索引：陈胜，王可心.<变量 2>[J].中国商论，2023（24）：-047.

中图分类号：F124 文献标识码：A 文章编号：2096-0298（2023）12（b）--04

当今世界已进入数字经济时代，数字经济的发展离不开数据的跨境流动。同时，数据跨境流动不可避免地触发各国对个人隐私和国家数据安全的关注。

1 我国个人信息跨境流动规制现状及存在的问题

1.1 我国个人信息跨境流动规制现状

2016年通过的《网络安全法》首次规定了“数据本地化存储+境外安全评估”的模式，弥补了我国数据跨境流动领域的立法空白。《网络安全法》第37条规定，个人信息和重要数据确需向境外提供的，安全评估的义务主体是关键信息基础设施运营者，评估主体是国家网信部门会同国务院有关部门，特别指出个人信息和重要数据，但重要数据的界定范围、判断标准未提及[1]。

2021年6月通过的《数据安全法》对重要数据跨境规则提出了进一步要求。第31条对重要数据跨境区分关键信息基础设施运营者和其他数据处理者。第21条明确了数据分级分类管理制度，为以后个人信息跨境流动规制的完善奠定了基础。但关于数据跨境流动的具体规则仍未明确。

2021年8月，我国通过的《个人信息保护法》第38条、第39条、第40条对个人信息跨境流动规定了法定条件。第38条以“选择式”规定了个人信息出境满足的四种条件：国家网信部门的安全评估、专门机构个人信息保护认证、符合标准合同及其他方式作为兜底条款，但《个人信息保护法》仍未规定个人信息跨境监管机构。

由此可以看出，顺应数字经济时代的趋势，我国的数据跨境流动规制也在不断跟进，确立了数据跨境安全有序流动的原则[2]，但整体上的数据保护仍侧重数据本地化存储和严格的出境安全评估。

1.2 我国个人信息跨境流动规制存在的问题

1.2.1 立法偏原则性，可操作性不强

我国的相关法规定大多是原则性条款，且法律位阶模糊。《网络安全法》首次提出数据跨境流动要求，但仅对关键信息基础设施运营者做出数据本地化存储和出境安全评估的规定，具体操作规范并未做出规定；2017年，国家网信办发布《评估办法》，规定个人信息和重要数据出境应符合安全评估，但评估标准、评估流程仍未制定；《数据安全法》侧重对重要数据和核心数据的出境保护，但重要数据的内涵、界定范围等并未明确；《个人信息保护法》对个人信息跨境流动做出专门章节的规定，但具体的安全评估标准、专业机构的信息认证标准、标准合同范本等问题都未涉及；《数据出境安全评估办法》对数据出境的评估标准做出具体规定，明确了评估条件、评估程序等，但具体规定是否具备可适性仍有待观察。

1.2.2 个人信息跨境流动监管机制不健全

第一，缺乏专门的个人信息跨境流动监管机构。相关法律中规定国家网信部门和国务院有关部门负责个人信息跨境监管工作，各行业领域内监管部门负责本行业的数据监管。

第二，监管模式过于单一。现有的个人信息跨境流动监管由政府部门全面承担，缺乏企业的自我监管，单一的政府监管权力天平过度倾向政府监管机构，存在审查透明度低的情形；通过认证评估即可自由传输个人信息，又难逃倾向企业的局面，不利于个人信息安全。

1.2.3 个人信息跨境流动国际合作参与度低

个人信息跨境流动国际合作方面，我国缺乏与其他国家或地区建立国际数据跨境流动的互信机制，国际合作参与度低。以美国为代表的一些国家积极参与双边、区域签定贸易自由协定，同时积极推进国际数据规则的制定。虽然我国数字经济发展迅速，但尚处于“走出去”的初级阶段，在数据跨境流动的国际合作中尚未有效利用区域合作参与到国际数据规则的制定中来[3]。

2 个人信息跨境流动域外规制模式借鉴

2.1 欧盟的规制模式

2.1.1 充分性保护原则

GDPR在《95指令》的基础上明确了充分性保护的认定条件和评估主体。充分性的决定是基于第三国法律和实践水平是否保证和欧盟具有相同保护标准。当个人数据向第三国传输时，第三国的个人数据保护水平只有与欧盟达到实质等同标准时，才可向第三国传输[4]。通过“白名单制度”向名单中国家的数据传输将被视为欧盟内部的数据传输。同时，GDPR规定了至少每四年进行一次认定标准的定期审查[5]，一旦特定国家或组织的个人数据保护水平不能满足“充分”保护时，就应立即停止数据传输。

2.1.2 适当保障措施

由于欧盟的充分性保护标准过高，对于第三国或国际组织未达到“充分保护”标准的，GDPR规定数据控制者或处理者在满足两种情况下可以向第三国或国际组织传输个人数据。第一种情形是第三国或国际组织可提供“适当保障”来保护个人数据。第二种情形是特定国家具备可强制执行的数据主体权利保障体系和有效的法律补救办法来实现数据跨境传输。适当保障措施包括需要监管机构特别授权和不需要监管机构特别授权的，具体分为约束性公司规则（Binding Corporate Rules，BCR）、标准合同条款（Standard Clauses Contract，SCC）、经批准的行为守则和认证机制、第三国或国际组织做出的适当保障且具有法律约束力和强制执行力的承诺等。

2.1.3 例外条款

第三国或國际组织未达到“充分性保护”标准和适当保障措施的，若得到数据主体的明确同意或基于公共利益的理由，可以不受上述规定的限制，但这些情况须遵守严格的条件来实现数据跨境流动。

2.2 美国的规制模式

美国的数据跨境流动规则强调数据自由流动，以问责式的行业自律模式为核心，由数据处理者或控制者对个人数据安全负责。美国引导数据控制者或处理者自觉遵守自律规范，一旦违反自律规范，美国联邦贸易委员会就会进行监督和问责。除此之外，司法机关、数据监督机构还会对违反自律规范的企业进行问责。美国模式更多体现的是市场和政府的共治理念。

2.3 两种模式的分析与借鉴

2.3.1 欧盟和美国规制模式对比分析

（1）价值取向：欧盟的数据保护理念基于人权保护的历史传统，数据规制也将个人数据视为公民的基本权利和自由，以立法形式进行严格保护。数据跨境流动过程中，维护个人数据安全是基本立场，数据主体的控制权不断得到强化。美国倡导数据的自由流动，以数据自由为导向，认为政府过度干预会不可避免地阻碍商业活动，以行业自律模式促进数据自由流通。

（2）规制路径：欧盟对数据跨境流动坚持“充分性保护”原则，秉承“内外有别”的数据跨境流动理念[6]。在域内保证个人数据在欧盟境内的自由流动，同时限制个人数据在欧盟境外的传输。美国采取事后问责式的标准，在CBPRs中将行业自律模式引入数据跨境流动体系，更多依赖企业自觉性，排除政府过度干预，提高数据运行的效率。

2.3.2 欧盟和美国规制模式经验借鉴

欧盟和美国的数据跨境流动规则较为成熟，许多国家都参照欧美模式来制定本国国内法[7]，其对完善我国个人信息跨境流动规制也有很好的借鉴意义。

（1）欧盟规制模式对我国的借鉴意义。我国已采用标准合同条款和安全评估机制，同时可参考欧盟的标准合同条款制定我国的标准合同模板。另外，可参照欧盟的充分性保护原则设立白名单制度，对于符合我国数据保护标准的国家或地区，可保证数据跨境自由流动；对于威胁国家数据安全、个人信息权益的国家列入黑名单，禁止我国个人信息向其跨境传输。

另外，我国应借鉴欧盟设立专门的数据监管机构。同时，认清欧盟对个人数据保护的严格标准在一定程度上阻碍了数据跨境自由流动，忽略了多元价值的利益分配，对数据监管采取一刀切式的管理[8]，需要结合我国国情审慎考虑。

（2）美国规制模式对我国的借鉴意义。《个人信息保护法》强调政府对数据的绝对控制权，我国在实施细则中可参考美国的行业自律模式，这种协同治理方式可以更好地促进企业与政府的交流合作，降低政府部门的时间成本。但该模式存在弊端，可能引起企业无视法律、无度滥用数据等现象。因此，我国可以政府监管为主，辅之以企业自律的模式，让企业以合适的限度参与到个人信息的跨境保护中。

另外，美国积极利用双边、多边自由贸易协定促进数据跨境自由流动，积极参与国际合作。个人信息跨境流动的国际合作方面，我国可借鉴美国做法，充分利用我国的地域优势和战略优势，发挥“一带一路”倡议优势，建立区域和双边合作互信机制，促进我国和其他国家的数据合作，提高我国的数据话语权。

3 完善我国个人信息跨境流动规制的实践路径

3.1 完善国内立法并细化规范要求

3.1.1 细化数据分级分类分区域管理

首先，根据数据风险等级进行科学划分，可分为个人核心数据、个人重要数据、敏感个人信息和一般个人信息等。其次，根据数据所属类别进行细分，可分为个人信息、商业数据、金融数据、医疗健康数据等。最后，综合数据风险等级和数据所属类别进行排列组合，判断个人信息出境的标准和条件，按照不同类别、风险等级采取不同标准。个人核心信息等严重危害国家安全、公共利益等个人信息，采取严格的保护措施，禁止这类个人信息出境；个人重要信息如医疗健康、银行账户，敏感个人信息如生物识别、宗教信仰等可能严重损害国家安全、公共利益、涉及个人隐私等个人信息，采取附条件、限制性出境方式，通过安全评估、标准合同、专业机构认证等途径符合个人信息出境标准时允许出境；一般个人信息等不具备隐私预期的个人信息，通过登记备案即可出境，允许此类个人信息自由流动。

同时，数据分级分类管理应考量数据流动目的地的法治水平和数据流动规模，分区域对数据分级分类进行差别化管理。当前，我国已在上海、海南、杭州等地建立数据跨境流动试点[9]，自由贸易区/贸易港可借鉴欧盟GDPR建立“白名单”制度，对数据接收方进行风险评估，若数据接收方具备同我国同等个人信息保护水平，那么个人信息处理者或控制者处理个人信息时，无需再次评估，可实现双方个人信息的跨境自由流动。

3.1.2 优化数据跨境流动安全评估细则

首先，在认定标准上，应基于个人信息分级分类，考虑个人信息的风险程度、影响后果，以特定主体/行业+敏感个人信息的分类标准双轨并行，进一步强化对个人信息出境的保护。其次，对于出境后的个人信息应根据风险等级对限制出境、登记备案出境等不同等级采取不同的监管模式，对个人信息实行动态风险防控。对于限制出境的个人信息，应加强对数据接收方的实时实地监管，同时要求企业以季度形式出具个人信息出境安全报告，向网信部门备案。为避免个人信息出境再转移隐私泄露风险，应明确个人信息出境再转移要求，要求数据接收方保证第三方具备同等个人信息保护水平，一旦发生个人信息遭到侵害的情形，数据接收方与第三方就要承担连带责任。

3.1.3 探索标准合同条款模式

标准合同条款或将成为我国未来个人信息跨境传输的重要方式，应加快建立标准合同条款模式。我国的标准合同条款可借鉴欧盟的SCC，结合我国当前立法实情进行适当调整。在模块设置上，可有控制器-控制器、控制器-处理器、处理器-处理器、处理器-控制器多种选择；合同类型应优先考虑那些显示较大风险的合同，突出重点行业领域标准合同条款对个人信息加强保护。在内容上，应包含个人信息出境的目的和位置、接收方准据法、数据存储方式、数据提供者和接收方的权利义务等。同时，为促进双方数据的有序流动，可提供必选条款和可选条款供数据双方选择，为不同类型的数据处理者探索可适用的条款类型。在必要时，将补充的隐私和网络安全措施纳入标准合同条款。

3.2 健全个人信息跨境流动监管机制

3.2.1 建立专门的个人信息跨境监管机构

首先，应设立专门管理个人信息跨境传输的个人信息跨境监管委员会，统筹负责个人信息跨境传输的各项事宜。其次，明确个人信息跨境监管委员会的法律地位[10]。在未来建构中，应明确个人信息跨境监管委员会的基本职能、主要任务和监督管理的角色定位。具体来说，在位阶上，个人信息跨境监管委员会应垂直隶属于国务院，在地方设立地方个人信息跨境监管委员会，直接对上级监管委员会负责，保证其独立性和权威性。最后，明确个人信息跨境监管委员会的主要任务。需要强调的是，严格区分职责和职权，赋予个人信息跨境监管委员会一定的行政职权，比如个人信息跨境监管委员会可享有调查权、建议权、惩治权等。建立专门的个人信息跨境监管机构，使个人信息跨境保护更具科学性和专业性，提升我国个人信息跨境流动的监管水平。

3.2.2 创设自我审查和第三方审查的联动机制

在企业内部应建立专门的合规部门，加强对个人信息跨境的监管和追溯。建立个人信息风险评估模型[11]，对个人信息的威胁性、脆弱性进行风险评估，根据不同风险值的个人信息进行梯度监管，依靠风险等级变化设置应急响应机制，并定期进行评估更新和检测，提高企业自我审查能力。同时，有必要建立企业自律和第三方审查相结合的联动机制，在企业自我监管的基础上引入第三方认证机构，对企业进行定期或不定期的审查，并向社会公开审查报告。第三方认证机构的参与既可以缓解政府监管部门人力、物力不足的压力，又可以较全面地对企业合规进行专业审查，同时可避免企业自我审查带来的不公正性。

3.3 积极参与全球数据治理，加强数据跨境合作

3.3.1 推动区域和双边合作，提高数据话语权

我国应加快建立国际合作的互信机制，充分利用“一带一路”倡议的中方主导优势[12]。作为“一带一路”倡议及其促进机构的创始国，在个人信息跨境流动国际合作方面，与“一带一路”沿线国家建立数据跨境安全合作协议和互信机制，将数据跨境流动议题列入相关制度安排；建立区域内个人信息跨境流动监管协调机制，打造区域内个人信息跨境流动的整体规则；探索“一带一路”沿线数据跨境流动的“中式”方案，使我国的地位从单纯的国际规范的遵守者提高为国际规范的积极贡献者。

3.3.2 充分利用区域贸易协定，参与国际规则制定

当前，我国已加入RCEP，在参与国际数据规则体系建设方面迈出了重要一步。RCEP与我国的个人信息跨境流动规制理念相契合，在未来的自由贸易谈判中，可以将RCEP相关条款作为参考，推行我国的个人信息跨境流动规制理念。

另外，我国已申请加入CPTPP。CPTPP作为当今区域贸易协定的最高标准，有可能成为中欧美共同接受的区域贸易规则[13]，影响着全球数字贸易格局。通过调整国内立法规则或对CPTPP例外条款做出合理解释，探索对接CPTPP的可能性[14]。充分利用海南、上海等自由贸易区先行先试机制，在数字规模大的自贸区内，以数据自由流动为原则，以基于公共政策和国家基本安全为例外[15]，实现我国个人信息跨境流动规制调整的有序过渡。

完善我国个人信息跨境流动规制，需坚持国内国际双轨并行。一方面，完善国内立法并细化规范要求；另一方面，积极参与全球数据治理，推动国家间的数据合作，在国际数据治理体系构建中发挥中国力量。

参考文献

钟鸣.数字贸易时代个人信息跨境流动的法律保护路径[J].学术大视野，2021（6）：108-110.

Emmanuel Pernot-Leplay.Chinas Approach On Data Privacy Law： A Third Way Between The U.S. And The EU？[M].Journal of Law & International Affairs，2020：2-70.

張晓君.数据主权规则建设的模式与借鉴：兼论中国数据主权的规则构建[J].现代法学，2020，42（6）：136-149.

Hielke Hijmans.Data Protection and Surveillance： The Perspective of EU Law[J].European Criminal Law Series，2018：1-17.

孙远钊.美国与欧盟对数据保护的梳理与参考[J].政法论丛，2021（4）：98-113.

叶开儒.数据跨境流动规制中的“长臂管辖”：对欧盟GDPR的原旨主义考察[J].法学评论，2020（1）：106-115.

谭观福.数字贸易中跨境数据流动的国际法规制[J].比较法研究，2022（3）：169-185.

高富平.GDPR的制度缺陷及其对我国《个人信息保护法》实施的警示[J].法治研究，2022（3）：17-30.

刘俊敏，郭杨.我国数据跨境流动规制的相关问题研究：以中国（上海）自由贸易试验区临港新片区为例[J].河北法学，2021（6）：76-80.

张涛.个人信息保护中独立监管机构的组织法构造[J].河北法学，2022，40（7）：91-118.

刘金瑞.迈向数据跨境流动的全球规制：基本关切与中国方案[J].行政法学研究，2022（4）：73-88.

洪延青.推进“一带一路”数据跨境流动的中国方案：以美欧范式为背景的展[J].中国法律评论，2021（2）：30-42.

沈俊翔.数字经济时代个人信息跨境保护的机制研究：兼论CPTPP视野下人民法院参与全球数据治理的新型路径[J].法律适用，2022（6）：174-184.

黄秋红，李雅颖.对接CPTPP数据跨境流动规则研究[J].南海法学，2022，6（1）：115-124.