王忠　李慧敏

[摘要] 個人數(shù)據具有重要戰(zhàn)略價值，但其出境缺乏監(jiān)管。這將影響國家安全、制約創(chuàng)新能力提升、危及個人隱私。建議完善法律法規(guī)體系，構建國際合作機制，設立分類分級安全審查機制，涉及國家安全的數(shù)據禁止出境，以問責機制規(guī)制敏感行業(yè)數(shù)據，以格式合同管理普通行業(yè)數(shù)據，明確企業(yè)管理責任。

[關鍵詞] 個人數(shù)據 出境 監(jiān)管

[中圖分類號] G259.2 [文獻標識碼] A [文章編號] 1004-6623（2017）04-0062-04

[基金項目] 國家自然科學基金資助項目（71302020），北京市社會科學基金項目（16YJB021）。

[作者簡介] 王忠（1983 — ），湖南湘陰人，北京市社會科學院副研究員，博士，研究方向：技術經濟及管理；李慧敏（1985 — ），女，山東兗州人，中國科學院科技戰(zhàn)略咨詢研究院助理研究員，博士，研究方向：創(chuàng)新政策、產業(yè)法。

一、引 言

大數(shù)據時代的到來，數(shù)據資源的戰(zhàn)略價值引起社會普遍重視。由于直接反應用戶偏好，體現(xiàn)市場需求，個人數(shù)據尤其備受關注，其應用價值不斷凸顯。隨著全球化和我國對外開放的不斷深入，國人越來越多購買外企的產品和服務。企業(yè)為了提供更好的服務、推出更好的產品、建立更好的客戶關系，會盡可能多地收集用戶數(shù)據。用戶包括個人用戶和企業(yè)級用戶，但由于企業(yè)級用戶的法律保障較為完備，本文主要關注個人用戶。這些用戶數(shù)據目前不受任何監(jiān)管，外企可以帶回本國總部，甚至傳輸?shù)狡渌邪l(fā)中心進行數(shù)據分析。隨著市場的進一步開放，以及信息技術的發(fā)展，缺乏監(jiān)管的個人數(shù)據跨境流動必然帶來一系列負面影響。

個人數(shù)據跨境流動的研究不少，主要有：（1）個人數(shù)據跨境流動對隱私的影響。如Karol Thomas 認為其能影響整個市場的信用基礎，并設計了隱私影響的評價方法。程衛(wèi)東認為個人數(shù)據跨境流動會侵犯個人權利，而且難以取證以致救濟困難。（2）個人數(shù)據跨境流動的經濟影響。如Ahmed Usman等認為個人數(shù)據跨境流動有利于促進創(chuàng)新，推動新經濟發(fā)展。（3）個人數(shù)據跨境流動國際規(guī)則的比較研究。如弓永欽等對APEC與歐盟的規(guī)則進行了比較研究，Allars對歐盟、美國、加拿大、澳大利亞的個人數(shù)據出境進行了比較研究，徐磊對APEC的規(guī)則進行了研究。（4）特殊個人數(shù)據的跨境流動。有的學者對于醫(yī)療數(shù)據、征信數(shù)據、云計算中存儲的個人數(shù)據跨境流動進行了研究。

現(xiàn)有文獻指出了個人數(shù)據國際流動對隱私的重大影響，國外也采取了相關監(jiān)管措施。目前我國除除對征信行業(yè)數(shù)據有相關要求外，其他行業(yè)尚為空白。大數(shù)據環(huán)境下，個人數(shù)據的流入就是資源的流入。現(xiàn)有文獻不僅對個人數(shù)據出境的戰(zhàn)略影響研究不足，對我國如何構建個人數(shù)據出境監(jiān)管機制的研究更是薄弱。因此，本文將研究中國的個人數(shù)據出境隱患，并對出境監(jiān)管機制進行研究。

二、個人數(shù)據出境概況

大多數(shù)針對個人用戶的產品及服務都能收集個人數(shù)據。除了姓名、性別、年齡、民族、籍貫、住址、電話等個人基本信息，不同行業(yè)收集數(shù)據會有所不同，如銀行會有用戶的資產狀況、消費、交易數(shù)據，手機之類的移動智能終端會有用戶的通訊錄、位置數(shù)據。

越來越多的企業(yè)將其用戶數(shù)據作為企業(yè)核心資源，注重數(shù)據驅動的管理決策，建立數(shù)據處理團隊，甚至成立專門的數(shù)據處理部門。數(shù)據處理大多在總部進行，以至于大量的用戶數(shù)據被外企傳輸出境進行數(shù)據分析。個人數(shù)據出境方式主要有三種：一是用戶個人數(shù)據生成之后，直接存入了國外的服務器，在國外進行數(shù)據分析，如使用國外社交軟件及社交網站。二是個人數(shù)據被收集后存入國內數(shù)據中心，經過數(shù)據加工后，通過互聯(lián)網或者存儲介質傳輸至國外，在國外進行數(shù)據分析。三是個人數(shù)據被收集存入國內數(shù)據中心，在國內進行數(shù)據加工和數(shù)據分析，僅將數(shù)據分析結果傳輸至國外。

三、個人數(shù)據出境隱患

對于出境個人數(shù)據的數(shù)據規(guī)模以及數(shù)據涉及的人群規(guī)模，目前尚沒有權威的統(tǒng)計數(shù)據。由于沒有任何法律限制，對外開放的行業(yè)基本都存在個人數(shù)據出境的問題。個人數(shù)據出境存在以下隱患：

1. 影響國家信息安全

目前，國內外企以美國企業(yè)為主，尤其是電子信息產業(yè)、金融業(yè)等重點行業(yè)。美國《愛國者法案》規(guī)定，安全部門可以向企業(yè)獲取其用戶的消費、教育、醫(yī)療、投資等各種數(shù)據，且禁止企業(yè)向客戶透露他們的信息。首先，用戶群體部分是國家重要公務人員，其個人數(shù)據與國家信息安全息息相關。此外，即便是普通個人用戶，當匯集大量用戶信息，通過大數(shù)據技術分析，也能獲取重要的情報。

2. 削弱創(chuàng)新能力提升

擁有大量數(shù)據資源，是大數(shù)據時代實現(xiàn)技術創(chuàng)新的重要基礎。任由個人數(shù)據資源外流，使高端的數(shù)據挖掘與分析工作在境外開展，不利于提升本土的數(shù)據挖掘能力，更難以發(fā)揮技術的擴散效應，從而不利于提高我國的創(chuàng)新能力。而且大數(shù)據處理正在形成一個很大規(guī)模的產業(yè)，包括企業(yè)戰(zhàn)略制定、精準營銷、產品或服務的完善、高端咨詢服務等。一旦這些價值鏈的高端環(huán)節(jié)都布局在境外，將難以提高該產業(yè)的國際競爭力。

3. 危及用戶隱私

個人數(shù)據傳輸?shù)絿庖院?，由于?shù)據流轉鏈條變長，隱私泄露風險進一步增加。此外，不同國家的法律制度存在差別，使得隱私泄露的法律救濟難度加大，更難保障數(shù)據主體的隱私權益。不少國際組織在積極推動數(shù)據跨境隱私保護方面已達成共識及合作，如2013年OECD修訂并發(fā)布了《隱私保護和個人數(shù)據跨境流動指南》（基于1980版），建議成員國實施與數(shù)據傳輸隱私風險相適應的數(shù)據傳輸約束，同時兼顧個人數(shù)據的敏感性，以及數(shù)據處理的目的和內容；2016年4月，聯(lián)合國貿易和發(fā)展會議發(fā)布的《數(shù)據保護規(guī)則與數(shù)據全球流動：貿易與發(fā)展的影響》指出，運用專門的文件和促進一種或更多的機制是解決跨境數(shù)據流動問題的關鍵。盡管如此，目前尚沒有切實可行的措施保護出境個人數(shù)據的隱私權益。

四、個人數(shù)據出境監(jiān)管機制建議

安全的數(shù)據交流對于一國的社會發(fā)展、經濟繁榮及全球科技進步具有重要作用，但由于其具有上述隱患，一旦發(fā)生問題，無論對國家還是公民個人都可能產生不可挽回的損失。大多數(shù)發(fā)達國家和發(fā)展中國家的主流做法是，在促進信息跨境流動的基礎上，也對其加以合法監(jiān)管。針對我國的實際情況，提出以下建議：

1. 完善法律法規(guī)體系

越來越多的國家意識到對本國個人數(shù)據保護具有重要的戰(zhàn)略意義，應充分運用信息政策及信息法律法規(guī)的手段進行有效規(guī)制。如2015年10月，歐盟面對新的形勢，否決了與美國達成的自2000年就開始執(zhí)行的《安全港協(xié)定》。直到2016年2月，雙方達成一個新協(xié)定，名曰“歐盟-美國隱私護盾”（EU-SU Privacy Shield）。規(guī)定用于商業(yè)目的的個人數(shù)據從歐洲傳輸?shù)矫绹?，將享受與在歐盟境內同樣的數(shù)據保護標準。我國目前雖然有1988年頒布的《保守國家秘密法》、1994年頒布的《計算機系統(tǒng)安全法》、2004年頒布的《中華人民共和國電子簽名法》等基本法以及2015年7月公布的《網絡安全法（草案）》，《計算機信息系統(tǒng)安全保護條例》、《計算機信息網絡國際聯(lián)網管理暫行規(guī)定》以及《計算機信息網絡攻擊聯(lián)網安全保護管理辦法》、《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》等法律法規(guī)，但是這些法律法規(guī)等對個人數(shù)據跨境流動的監(jiān)管、保護力度有限。對此可以采取以下方式予以完善：

一是加快修訂或完善現(xiàn)有的基本法。如可在《網絡安全法（草案）》中進一步完善有關個人數(shù)據出境監(jiān)管的相關內容，明確法律責任主體及各方主體的權利義務范圍，并以此為依據制定相關的實施細則。

二是制定《個人信息保護法》之類的單行法律、法規(guī)和相關配套措施?？梢越梃b歐盟三方（歐洲議會、歐盟理事會、歐洲委員會） 2015年12月初步達成的《一般數(shù)據保護條例》（General Data Protection Regulation，簡稱GDPR），制定針對個人信息進行保護和監(jiān)管的專門性法律。

2. 構建國際合作機制

跨境數(shù)據流動的監(jiān)管需要一國國內法的強有力保護和規(guī)制，但面對信息全球化的發(fā)展趨勢，更需要建立國家與國家及地區(qū)之間的合作機制?？缇硵?shù)據加重了個人數(shù)據的安全隱患，需要國際社會共同努力加大信息保護的力度。對于跨境個人數(shù)據的監(jiān)管，不論是采用“屬人主義”、“屬地主義”還是“侵權結果發(fā)生地主義”，都應該建立國家間的合作監(jiān)管和協(xié)作模式，才能夠對侵權行為進行全面監(jiān)管。只有不斷加大跨境個人數(shù)據流動方面的國際合作力度，完善國際合作機制，才能維護利益相關國的信息主權和信息安全。

一是簽訂雙邊或多邊合作協(xié)議。我國可以參考美國、歐盟的經驗，與經貿往來較多的國家和地區(qū)簽訂針對跨境數(shù)據保護的雙邊或多邊合作文件。通過國家合作界定侵犯信息主權的跨境侵權行為要件，明確需要雙邊甚至多邊合作的信息侵權行為的類型及合作的具體模式。

二是加入為維護個人數(shù)據跨境信息安全相關的國際合作組織。立足本國的國際合作現(xiàn)狀，在現(xiàn)有國際組織的框架內積極開展跨境數(shù)據安全保護方面的國際合作。例如加入APEC（亞太經合組織）的CBPRs（跨境隱私規(guī)則體系）、CPEA（跨境隱私執(zhí)行安排）等。

3. 設立分類分級安全審查機制

出境的用戶數(shù)據涉及很多行業(yè)，包括很多數(shù)據類型。如果一刀切地禁止出境，不利于生產要素流動，影響資源配置效率。建議在評估各行業(yè)用戶數(shù)據出境風險的基礎上，借鑒國外安全審查機制，進行分類監(jiān)管。

一是限制涉及國家安全的個人數(shù)據出境。應通過制定法律，強制要求涉及國家安全和社會穩(wěn)定的用戶數(shù)據禁止跨境，如醫(yī)療、社保、電信、金融等重要行業(yè)的用戶數(shù)據。具體行業(yè)選擇可以參照國外經驗，如印度電信行業(yè)雖然對外開放，但是其要求電信行業(yè)用戶數(shù)據必須本土處理。

二是以問責機制規(guī)制敏感行業(yè)用戶數(shù)據出境。對于個人隱私較為敏感的行業(yè)，如住宿、交通、房地產等，明確數(shù)據控制者的用戶數(shù)據管理責任。責任應包括知會數(shù)據主體并征求其許可，對數(shù)據接收方的資質審查和監(jiān)督，用戶數(shù)據泄露后的查證及補償。目前加拿大主要采用這種方式管理數(shù)據出境。

三是以格式合同管理普通行業(yè)用戶數(shù)據出境。將制定數(shù)據出境標準合同條款作為保護個人數(shù)據的手段，由政府制定用戶數(shù)據出境的標準格式合同，明確數(shù)據轉移各方的責任，建立對合同的監(jiān)督機制。如歐盟由數(shù)據保護主管部門制定標準格式合同條款。

4. 明確企業(yè)數(shù)據管理責任

個人數(shù)據出境的監(jiān)管也不僅僅是政府的責任和義務，在經濟貿易往來中掌控大量數(shù)據的企業(yè)主體更應該提高自身保護相關數(shù)據的自覺性和自律性，構建政府與企業(yè)、國家與社會、技術與法律協(xié)同的數(shù)據跨境流動治理創(chuàng)新體系。一方面，鼓勵行業(yè)自律，成立相關的行業(yè)協(xié)會組織，建立認證體系，相互監(jiān)督、共同維護用戶利益，保護個人數(shù)據。另一方面，鼓勵企業(yè)設立專門的個人數(shù)據管理部門，加強個人數(shù)據保護力度，暢通與政府監(jiān)管部門的聯(lián)系交流。有必要通過法律機制建立政府與企業(yè)共同監(jiān)管的模式，形成政府為主導，企業(yè)為參與主體，全社會共同監(jiān)管的協(xié)調協(xié)同機制。

五、結 語

大數(shù)據環(huán)境下，個人數(shù)據的流出就是資源的流出。在個人數(shù)據出境監(jiān)管方面沒有前瞻性的舉措，不僅會在產業(yè)方面失去優(yōu)勢，還將影響國家信息安全及國際競爭力，甚至會在數(shù)據資源的國際競爭中錯失良機。綜合運用上述手段，仍然不可能完全避免個人數(shù)據跨境流動中的隱患，還需要積極探索更多的措施，比如加強對個人數(shù)據安全保護的宣傳力度、提高民眾的信息安全保護意識等。同時，應鼓勵企業(yè)積極創(chuàng)新，在做好個人數(shù)據保護工作的基礎上，加快對我國個人數(shù)據富礦的價值挖掘，提升產業(yè)競爭力。

[參考文獻]

[1] Karol Thomas. Understanding Cross-Border Privacy Impact Assessments[J]. Edpacs the Edp Audit Control & Security Newsletter. 2001， 29（4）： 1-20.

[2] Karol Thomas J. Cross-Border Privacy Impact Assessments： An Introduction[J]. Theriogenology. 2013， 80（3）： 185-192.

[3] 程衛(wèi)東. 跨境數(shù)據流動的法律監(jiān)管[J]. 政治與法律. 1998， （03）： 72-76.

[4] Ahmed Usman， Chander Anupam. Information Goes Global： Protecting Privacy， Security， and the New Economy in a World of Cross-Border Data Flows[J]. Social Science Electronic Publishing. 2015.

[5]弓永欽， 王健. APEC與歐盟個人數(shù)據跨境流動規(guī)則的研究[J]. 亞太經濟. 2015， （05）： 9-13.

[6]Allars， Margaret. Cross-Border Transfer of Personal Information： evolving privacy regulation in Europe and Australia ： Perspectives on Privacy Increasing Regulation in the USA， Canada， Australia and European Countries[J]. Proceedings of the National Academy of Sciences of the United States of America. 2014， 96（15）： 8745-8750.

[7] 徐磊. APEC跨境商業(yè)個人數(shù)據隱私保護規(guī)則與實施[J]. 商業(yè)時代. 2014， （30）： 102-103.

[8] Di Iorio Ct， Carinci F， Brillante M等. Cross-border flow of health information： is 'privacy by design' enough？ Privacy performance assessment in EUBIROD[J]. European Journal of Public Health. 2013， 23（2）： 247-253.

[9] 丁惠強. 征信數(shù)據跨境流動監(jiān)管研究[J]. 征信. 2011， （02）： 17-20.

[10] 劉榮， 溫廣虎. 歐盟成員國消費者信用信息數(shù)據跨境共享模式及實踐[J]. 征信. 2011， （03）： 62-65.

[11] Abuoliem Abdallah. Cloud Computing Regulation： An Attempt to Protect Personal Data Transmission to Cross-Border Cloud Computing Storage Services[J]. International Journal of Computer & Communication Engineering. 2013， 2（4）： 521-525.

[12] 蔣潔. 云數(shù)據跨境流動的法律調整機制[J]. 圖書與情報. 2012， （06）： 57-63.

[13] Dan J. B. Svantesson. Fundamental Policy Considerations for the Regulation of Internet Cross-Border Privacy Issues[J]. Klinische Monatsbltter Für Augenheilkunde. 2004， 221（10）： 825-836.

[14] Aaronson Susan. Why Trade Agreements are not Setting Information Free： The Lost History and Reinvigorated Debate over Cross-Border Data Flows， Human Rights and National Security[J]. World Trade Review. 2015， 14（Fall）： 671-700.

[15] OECD. Report on the Implementation of the OECD Recommendation on Cross-border Co-operation in the Enforcement of Laws Protecting Privacy[J]. Oecd Digital Economy Papers. 2011.

[16] 梁俊蘭. 越境數(shù)據流與信息政策和信息法律[J]. 國外社會科學. 1997， （5）： 63-67.

[17] Bansal Gaurav， Zahedi Fatemeh Mariam， Gefen David. Do context and personality matter？ Trust and privacy concerns in disclosing private information online[J]. Information & Management. 2016， 53（1）： 1-21.

[18] Lesieur Francois. Regulating cross-border data flows and privacy in the networked digital environment and global knowledge economy[J]. International Data Privacy Law. 2012， volume 2（2）： 93-104（112）.

Abstract： Personal data has important strategic value， which lack of outbound supervision at present. This negatively affects the national security， restrict the enhancement of innovation capabilities and endanger personal privacy. We suggest improving the legal system， and building a mechanism for international cooperation. Additionally， it is proposed to establish the classification of security review mechanism， including prohibiting the data which involving national security is to exit border， regulating the sensitivity of industry data by accountability mechanism， and managing the industry data by standard forma contract. Finally， its necessary to allocate responsibility of enterprise management.

Keywords： Personal Data； Exit Border； Supervision Mechanism

（收稿日期：2017-05-16 責任編輯：廖令鵬）