（甘肅政法大學(xué) 法學(xué)院，甘肅 蘭州 730070）

我國(guó)網(wǎng)絡(luò)安全法專設(shè)網(wǎng)絡(luò)信息安全一章，為網(wǎng)絡(luò)運(yùn)營(yíng)者合法利用個(gè)人信息劃定邊界，同時(shí)對(duì)于他人泄露、篡改、毀損、竊取個(gè)人信息等違法行為進(jìn)行了明確規(guī)制，在一定程度上彌補(bǔ)了我國(guó)個(gè)人信息安全強(qiáng)制性法律規(guī)范方面的缺失。然而，不可否認(rèn)的是，我國(guó)個(gè)人信息安全立法體系尚不完善。放眼世界范圍，個(gè)人網(wǎng)絡(luò)信息安全立法較為完善的歐盟各國(guó)，經(jīng)過(guò)兩年的過(guò)渡期，號(hào)稱個(gè)人信息保護(hù)史上最嚴(yán)厲的法律規(guī)范《通用數(shù)據(jù)保護(hù)條例》（以下簡(jiǎn)稱“條例”）于2018年5月25日在歐盟正式實(shí)施。該條例實(shí)施的消息一經(jīng)確認(rèn)即引起各國(guó)關(guān)注，因該條例適用范圍并不僅僅局限于歐盟境內(nèi)的個(gè)人信息，對(duì)于那些因?yàn)樘峁┴浳锘蚍?wù)的過(guò)程中收集、控制歐盟境內(nèi)自然人或法人個(gè)人信息的我國(guó)企業(yè)同樣適用，因此受到了我國(guó)的重點(diǎn)關(guān)注。依據(jù)該條例第83條規(guī)定，違規(guī)企業(yè)可面臨2000萬(wàn)歐元或上一年度全球總營(yíng)業(yè)額的4%的行政罰款，以金額較高者為準(zhǔn)。該條例的誕生標(biāo)示著世界范圍內(nèi)個(gè)人網(wǎng)絡(luò)信息保護(hù)法律規(guī)制愈加精細(xì)和嚴(yán)格，這也為我國(guó)正在構(gòu)建的個(gè)人信息保護(hù)法律體系提供了有益參考。

一、個(gè)人網(wǎng)絡(luò)信息保護(hù)立法的模式比較

在經(jīng)濟(jì)全球化進(jìn)程加速及網(wǎng)絡(luò)空間命運(yùn)共同體理念逐漸為各國(guó)所接受的背景下，個(gè)人網(wǎng)絡(luò)信息作為一種新興的價(jià)值形態(tài)開(kāi)始被重點(diǎn)關(guān)注，由此產(chǎn)生的利益也驅(qū)動(dòng)了相關(guān)網(wǎng)絡(luò)犯罪行為的快速增長(zhǎng)，各國(guó)對(duì)于個(gè)人信息安全的保護(hù)也發(fā)生了嬗變，開(kāi)始從傳統(tǒng)的信息安全保護(hù)向現(xiàn)代的網(wǎng)絡(luò)信息安全保護(hù)逐漸演進(jìn)[1]。從世界范圍來(lái)看，大多數(shù)國(guó)家在立法層面均對(duì)個(gè)人網(wǎng)絡(luò)信息保護(hù)進(jìn)行了針對(duì)性的規(guī)制；從橫向分析來(lái)看，目前在世界范圍內(nèi)有關(guān)個(gè)人網(wǎng)絡(luò)信息保護(hù)的立法模式可歸納為兩種：一種是著眼于事后監(jiān)督、分治共管的立法模式，最具代表的國(guó)家是美國(guó)，可以稱之為美國(guó)模式；一種傾向于事先預(yù)防、集中統(tǒng)管的立法模式，最具代表的是歐盟，可以稱之為歐盟模式[2]。

從立法的價(jià)值取向來(lái)看，美國(guó)模式更加注重規(guī)制公權(quán)力機(jī)構(gòu)對(duì)于個(gè)人網(wǎng)絡(luò)信息的利用行為，即在聯(lián)邦和地方強(qiáng)制性法律規(guī)范中更多的是界定政府利用個(gè)人網(wǎng)絡(luò)信息的邊界以及救濟(jì)措施。而在私權(quán)利領(lǐng)域，美國(guó)模式從維護(hù)個(gè)人網(wǎng)絡(luò)信息的經(jīng)濟(jì)價(jià)值的角度傾向于通過(guò)市場(chǎng)自我調(diào)節(jié)機(jī)制和行業(yè)自律來(lái)制約公司、企業(yè)或其他經(jīng)濟(jì)組織對(duì)于個(gè)人網(wǎng)絡(luò)信息的利用，認(rèn)為對(duì)個(gè)人或市場(chǎng)主體通過(guò)合法途徑獲得的個(gè)人網(wǎng)絡(luò)信息應(yīng)當(dāng)予以絕對(duì)的保護(hù)，規(guī)制相對(duì)寬松。因此，美國(guó)并沒(méi)有選擇制定一部專門性的部門法或法典對(duì)個(gè)人網(wǎng)絡(luò)信息保護(hù)進(jìn)行系統(tǒng)性的規(guī)制，而是將個(gè)人網(wǎng)絡(luò)信息保護(hù)分散在聯(lián)邦和地方的各單行法規(guī)以及行業(yè)自律性規(guī)范之中[3]。上述單行法規(guī)具有強(qiáng)制力，強(qiáng)調(diào)個(gè)人網(wǎng)絡(luò)信息使用過(guò)程中數(shù)據(jù)主體的知情權(quán)與選擇權(quán)、私隱保護(hù)以及網(wǎng)絡(luò)數(shù)據(jù)使用的透明度。行業(yè)自律性規(guī)范包括行業(yè)協(xié)會(huì)制定的標(biāo)準(zhǔn)性認(rèn)證制度以及行為指引等，這些行業(yè)自律性規(guī)范具有靈活性和時(shí)效性的特點(diǎn)，能夠避免法律滯后所帶來(lái)的治理失效的風(fēng)險(xiǎn)，且對(duì)于發(fā)揮個(gè)人網(wǎng)絡(luò)信息的經(jīng)濟(jì)價(jià)值具有積極的作用。然而，隨著Facebook數(shù)據(jù)泄露事件的發(fā)酵，美國(guó)社會(huì)開(kāi)始意識(shí)到國(guó)內(nèi)關(guān)于個(gè)人網(wǎng)絡(luò)信息保護(hù)的立法對(duì)于侵犯?jìng)€(gè)人網(wǎng)絡(luò)信息的企業(yè)的規(guī)制過(guò)于寬松，《紐約時(shí)報(bào)》等主流媒體均刊文抨擊美國(guó)隱私保護(hù)法律規(guī)則[4]。

與美國(guó)模式相比，歐盟模式在利益平衡的基礎(chǔ)上，更加偏重對(duì)網(wǎng)絡(luò)數(shù)據(jù)主體的數(shù)據(jù)處理權(quán)利的全方位保護(hù)，其依據(jù)的是個(gè)人網(wǎng)絡(luò)信息自決權(quán)理論，即“個(gè)人對(duì)其一切具有識(shí)別性的個(gè)人信息的收集、處理和利用享有決定權(quán)和控制權(quán)”[5]。該理論源自1983年德國(guó)憲法法院的一則判例，在該判例中德國(guó)憲法法院認(rèn)為在自動(dòng)化數(shù)據(jù)處理情境下，個(gè)人有權(quán)反對(duì)個(gè)體資料被無(wú)限制的收集和使用，提出了個(gè)人信息自主的概念和權(quán)利保護(hù)理論[6]。因此，歐盟模式以出臺(tái)統(tǒng)一的強(qiáng)制性法律規(guī)范的形式對(duì)市場(chǎng)主體收集、使用、處理個(gè)人網(wǎng)絡(luò)信息各個(gè)環(huán)節(jié)進(jìn)行了細(xì)致詳盡的規(guī)制。另外，歐盟在個(gè)人網(wǎng)絡(luò)信息統(tǒng)一立法方面進(jìn)行了多次嘗試，如1981年《關(guān)于自動(dòng)化處理的個(gè)人信息保護(hù)公約》、1995年《數(shù)據(jù)保護(hù)指令》、1997年《公共數(shù)據(jù)通信領(lǐng)域個(gè)人信息處理的隱私保護(hù)指令》等[7]。這些法律規(guī)范初步構(gòu)建了涵蓋查閱權(quán)、更正和刪除權(quán)、免受完全自動(dòng)化決定權(quán)等網(wǎng)絡(luò)數(shù)據(jù)主體權(quán)利體系。但隨著近年來(lái)互聯(lián)網(wǎng)技術(shù)的蓬勃發(fā)展和網(wǎng)絡(luò)空間作為全新空域的出現(xiàn)，個(gè)人網(wǎng)絡(luò)信息安全也面臨著更加嚴(yán)峻的威脅和挑戰(zhàn)，歐盟內(nèi)部呼吁出臺(tái)一個(gè)更為全面、先進(jìn)、強(qiáng)大的網(wǎng)絡(luò)數(shù)據(jù)保護(hù)法律規(guī)范，進(jìn)一步規(guī)范市場(chǎng)主體對(duì)個(gè)人網(wǎng)絡(luò)信息的利用行為。因此，《通用數(shù)據(jù)保護(hù)條例》應(yīng)運(yùn)而生，該條例作為歐盟個(gè)人網(wǎng)絡(luò)信息統(tǒng)一立法、統(tǒng)一監(jiān)管立法模式的最新成果，進(jìn)一步擴(kuò)大了數(shù)據(jù)主體的權(quán)利，增設(shè)了遺忘權(quán)、可攜帶權(quán)等權(quán)利內(nèi)容，創(chuàng)立了網(wǎng)絡(luò)數(shù)據(jù)保護(hù)官制度，為平衡權(quán)利保護(hù)與公共利益也對(duì)權(quán)利保護(hù)和例外情況進(jìn)行了詳細(xì)規(guī)定，一經(jīng)出臺(tái)便引發(fā)世界各國(guó)的關(guān)注甚至效仿。

二、我國(guó)個(gè)人網(wǎng)絡(luò)信息保護(hù)立法現(xiàn)狀

我國(guó)開(kāi)始搭建個(gè)人信息保護(hù)的法律框架的標(biāo)志性立法事件，是2012年全國(guó)人大常委會(huì)發(fā)布《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》。隨后的一年，工業(yè)和信息化部頒布施行了《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》，該部門規(guī)章系我國(guó)首個(gè)對(duì)個(gè)人信息保護(hù)相關(guān)問(wèn)題進(jìn)行系統(tǒng)性規(guī)制的規(guī)范性法律文件，該規(guī)定對(duì)個(gè)人信息保護(hù)相關(guān)法律概念進(jìn)行了定義，并首次對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)主體收集和使用個(gè)人信息以及安全保障措施確立了原則和規(guī)范[8]。

盡管該部門規(guī)章開(kāi)啟了我國(guó)加強(qiáng)個(gè)人信息保護(hù)的立法先河，具有明顯的時(shí)代進(jìn)步性，但該規(guī)定也存在一些不足，如對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)主體收集、使用個(gè)人信息的規(guī)范較為粗糙，缺乏明確指引、關(guān)于網(wǎng)絡(luò)運(yùn)營(yíng)者和服務(wù)提供者的法律責(zé)任的規(guī)定過(guò)于簡(jiǎn)單，行政處罰措施較為單一且處罰上限設(shè)置過(guò)低，從事后救濟(jì)的角度評(píng)價(jià)并不足以適應(yīng)個(gè)人信息保護(hù)需求[9]。此后，我國(guó)強(qiáng)化了對(duì)于網(wǎng)絡(luò)空間個(gè)體信息安全保護(hù)立法的力度和水平，《網(wǎng)絡(luò)交易管理辦法》的出臺(tái)、《消費(fèi)者權(quán)益保護(hù)法》中增加消費(fèi)者在消費(fèi)過(guò)程中個(gè)人信息安全保護(hù)的條款都是出于對(duì)個(gè)體網(wǎng)絡(luò)信息安全保護(hù)的考量。這些法律法規(guī)都明確了經(jīng)營(yíng)者在經(jīng)營(yíng)活動(dòng)中收集、使用消費(fèi)者個(gè)人信息的法定程序和應(yīng)當(dāng)注意的法定義務(wù)；但是，由于上述規(guī)范性法律文件仍局限為民事、行政法律規(guī)范，且相關(guān)規(guī)定過(guò)于原則，不具有可執(zhí)行性，事后救濟(jì)乏力，隨之產(chǎn)生的負(fù)面影響就是侵害個(gè)人信息安全事件愈發(fā)頻繁[10]，僅在2013年因個(gè)人信息泄露等侵權(quán)事件、利用非法獲取的個(gè)人信息實(shí)施電信網(wǎng)絡(luò)詐騙而導(dǎo)致的經(jīng)濟(jì)損失就達(dá)1400多億元[11]。

為遏制上述犯罪行為，全國(guó)人大常委會(huì)在2015年的《中華人民共和國(guó)刑法修正案（九）》中專門增加了侵犯?jìng)€(gè)人信息罪以及拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪，將第三人以及網(wǎng)絡(luò)服務(wù)提供者故意、重大過(guò)失侵害個(gè)人信息的行為入刑；2017年5月，最高人民法院、最高人民檢察院發(fā)布《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》，該司法解釋對(duì)于刑法修正案（九）中新增的上述兩個(gè)罪名的核心概念，構(gòu)成要件以及量刑規(guī)范進(jìn)行了具體和細(xì)化；2017年頒行的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第四章“網(wǎng)絡(luò)信息安全”中明確了網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息的一般原則和保護(hù)義務(wù)，并著重規(guī)定違反上述義務(wù)的行政處罰規(guī)范。從積極方面來(lái)看，網(wǎng)絡(luò)安全法系全國(guó)人大常委會(huì)制定的法律，與《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》相比，效力等級(jí)更高，且內(nèi)容更先進(jìn)和具體，在一定程度上彌補(bǔ)了個(gè)人信息保護(hù)法律規(guī)范的不足；但從網(wǎng)絡(luò)安全法的體系設(shè)置來(lái)看，個(gè)人信息保護(hù)僅是該法的一個(gè)有機(jī)組成部分，網(wǎng)絡(luò)安全法立法的首要目標(biāo)是維護(hù)網(wǎng)絡(luò)空間主權(quán)和國(guó)家安全，因此網(wǎng)絡(luò)安全法有關(guān)個(gè)人信息保護(hù)的規(guī)定還停留在較為原則的層面，缺少系統(tǒng)、細(xì)致且具有可執(zhí)行性的具體規(guī)范[12]。

除上文所述的對(duì)于個(gè)人網(wǎng)絡(luò)信息安全保護(hù)的專門性立法規(guī)范外，還有一些個(gè)人信息保護(hù)的零散規(guī)定在《中華人民共和國(guó)反恐怖主義法》、《征信業(yè)管理規(guī)定》、《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法》等規(guī)范性法律文件之中可見(jiàn)。另外，個(gè)人網(wǎng)絡(luò)信息保護(hù)本身不僅僅是一個(gè)法律范疇的概念，也涉及相關(guān)技術(shù)規(guī)范。網(wǎng)絡(luò)空間首先是由網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)通信技術(shù)搭建起來(lái)的虛擬空間，正因?yàn)楦黝愋畔?shù)據(jù)在網(wǎng)絡(luò)空間的儲(chǔ)存和傳輸，才使得網(wǎng)絡(luò)空間逐漸與現(xiàn)實(shí)社會(huì)的傳統(tǒng)二維空間相互交織起來(lái)，演變成了人類社會(huì)發(fā)展的一個(gè)全新空域[13]。目前，我國(guó)關(guān)于個(gè)人信息保護(hù)的技術(shù)標(biāo)準(zhǔn)首推《信息安全技術(shù)個(gè)人信息安全規(guī)范》（GB/T 35273—2017），該規(guī)范于2018年5月正式施行，由阿里巴巴、騰訊等諸多互聯(lián)網(wǎng)領(lǐng)軍企業(yè)以及北京大學(xué)、清華大學(xué)等高等院校聯(lián)合起草，在廣泛汲取各國(guó)個(gè)人信息保護(hù)規(guī)范的基礎(chǔ)上對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者和網(wǎng)絡(luò)服務(wù)提供者的處理數(shù)據(jù)行為進(jìn)行了較為詳盡的規(guī)制，在創(chuàng)建有效的個(gè)人信息保護(hù)實(shí)踐機(jī)制方面做出了有益的嘗試。上述標(biāo)準(zhǔn)、技術(shù)規(guī)范也成為衡量和認(rèn)定網(wǎng)絡(luò)運(yùn)營(yíng)者是否落實(shí)主體義務(wù)的主要依據(jù)。

可見(jiàn)，我國(guó)目前也在加快個(gè)人網(wǎng)絡(luò)信息保護(hù)的相關(guān)立法工作，但因?yàn)榫W(wǎng)絡(luò)信息安全保護(hù)立法的技術(shù)性與法律性的雙重屬性，相關(guān)立法模式仍在不斷探索中，目前尚未制定出一部專門的個(gè)人網(wǎng)絡(luò)信息保護(hù)法，有關(guān)個(gè)人網(wǎng)絡(luò)信息保護(hù)的法律規(guī)定只散見(jiàn)在多部規(guī)范性法律文件和配套技術(shù)規(guī)范之中。

三、我國(guó)現(xiàn)行網(wǎng)絡(luò)信息保護(hù)立法體系的不足

（一）網(wǎng)絡(luò)信息保護(hù)立法的適用范圍過(guò)于狹窄

我國(guó)個(gè)人網(wǎng)絡(luò)信息保護(hù)尚未統(tǒng)一立法，有關(guān)個(gè)人網(wǎng)絡(luò)信息保護(hù)的法律規(guī)范分散在若干規(guī)范性法律文件中，各法律規(guī)范的適用范圍受制于所在的規(guī)范性文件的規(guī)定。以較為集中和系統(tǒng)的規(guī)制個(gè)人信息保護(hù)的網(wǎng)絡(luò)安全法為例，該法第二條規(guī)定：“在中華人民共和國(guó)境內(nèi)建設(shè)、運(yùn)營(yíng)、維護(hù)和使用網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理，適用本法?！痹撘?guī)定屬于典型的“屬地”管轄，即將發(fā)生在我國(guó)境內(nèi)的數(shù)據(jù)處理行為都納入監(jiān)管范圍。換言之，該法中有關(guān)個(gè)人網(wǎng)絡(luò)信息保護(hù)的規(guī)范適用范圍仍局限于我國(guó)境內(nèi)；進(jìn)一步說(shuō)，依據(jù)該法中有關(guān)管轄權(quán)的規(guī)定，對(duì)于在我國(guó)境內(nèi)發(fā)生的數(shù)據(jù)處理行為才享有完全的和排他的司法管轄權(quán)[14]。從該法規(guī)制的主體對(duì)象來(lái)看，無(wú)論處理該數(shù)據(jù)的主體在我國(guó)境內(nèi)是否有經(jīng)常營(yíng)業(yè)場(chǎng)所，均應(yīng)受我國(guó)網(wǎng)絡(luò)安全法的管轄，擴(kuò)大了該法可適用性的對(duì)象范圍，但這一規(guī)定卻忽略了一個(gè)關(guān)鍵問(wèn)題，即數(shù)據(jù)與其他客體不同，互聯(lián)網(wǎng)時(shí)代數(shù)據(jù)跨境流動(dòng)是常態(tài)，對(duì)跨境數(shù)據(jù)的處理行為是否有管轄權(quán)？典型如大型跨國(guó)企業(yè)在境外總部處理我國(guó)公民的個(gè)人信息等行為是否受我國(guó)法律管轄？又如中國(guó)公民在境外的通信數(shù)據(jù)被境外網(wǎng)絡(luò)服務(wù)商濫用如何進(jìn)行司法保護(hù)？顯然，單純規(guī)制發(fā)生在境內(nèi)的個(gè)人信息處理行為已經(jīng)無(wú)法充分保護(hù)數(shù)據(jù)主體的權(quán)利，因此如何拓展網(wǎng)絡(luò)信息保護(hù)法律規(guī)范的適用范圍，是下階段相關(guān)個(gè)人網(wǎng)絡(luò)信息保護(hù)立法的關(guān)鍵問(wèn)題[15]。

（二）數(shù)據(jù)主體權(quán)利體系設(shè)置欠完善

2018年5月正式實(shí)施的推薦標(biāo)準(zhǔn)《信息安全技術(shù)個(gè)人信息安全規(guī)范》雖然明確了數(shù)據(jù)控制者和處理者在進(jìn)行收集、保存、使用、共享、轉(zhuǎn)讓、公開(kāi)披露等個(gè)人信息處理活動(dòng)中應(yīng)遵循的原則和安全要求[16]，但我國(guó)現(xiàn)行的具備強(qiáng)制力的規(guī)范性法律文件并沒(méi)有針對(duì)數(shù)據(jù)主體的權(quán)利進(jìn)行系統(tǒng)的明確界定。由此導(dǎo)致相當(dāng)比例的數(shù)據(jù)控制者和處理者在收集、使用個(gè)人信息的過(guò)程中缺乏法律意識(shí)，故意或重大過(guò)失侵犯數(shù)據(jù)主體的權(quán)益的行為時(shí)有發(fā)生，如注冊(cè)手機(jī)客戶端時(shí)收集的個(gè)人信息的類型與實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能沒(méi)有直接關(guān)聯(lián)、過(guò)高頻率采集個(gè)人信息、傳輸和存儲(chǔ)個(gè)人敏感信息時(shí)未采用必要安全措施以致發(fā)生信息泄漏，等等。

無(wú)論是網(wǎng)絡(luò)安全法還是《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》均未明確規(guī)定網(wǎng)絡(luò)數(shù)據(jù)主體享有何種權(quán)利，這給司法實(shí)踐造成了極大困擾。由于缺乏明確規(guī)定，司法實(shí)踐中關(guān)于個(gè)人網(wǎng)絡(luò)信息安全的民事案件往往面臨無(wú)適當(dāng)權(quán)利請(qǐng)求基礎(chǔ)規(guī)范引用的尷尬[17]。目前，數(shù)據(jù)主體個(gè)人信息遭到侵害的民事判例大多還只能援引肖像權(quán)、隱私權(quán)等相關(guān)法律規(guī)定，例如，民法總則第一百一十一條雖明確規(guī)定自然人的個(gè)人信息受法律保護(hù)，但是我國(guó)目前立法體系中并未明確將個(gè)人信息歸屬于一般人格權(quán)或直接作為個(gè)人信息權(quán)進(jìn)行保護(hù)，因此只能適用隱私權(quán)的相關(guān)規(guī)定對(duì)相關(guān)權(quán)益予以保護(hù)[18]。

（三）數(shù)據(jù)控制者、處理者法律責(zé)任制度缺失

目前，有關(guān)數(shù)據(jù)控制者、處理者侵害數(shù)據(jù)主體法律責(zé)任的規(guī)定，主要分散在網(wǎng)絡(luò)安全法、《關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問(wèn)題的規(guī)定》等相關(guān)法律規(guī)范中。論及法律責(zé)任，主要可以分為刑事責(zé)任、行政責(zé)任以及民事責(zé)任三大類型。我國(guó)目前有關(guān)數(shù)據(jù)控制者、處理者刑事責(zé)任的規(guī)定，主要體現(xiàn)為刑法中的侵犯?jìng)€(gè)人信息罪以及拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪。有關(guān)行政責(zé)任的法律規(guī)定，雖在《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》、網(wǎng)絡(luò)安全法中有所規(guī)定，但仍不夠全面。以網(wǎng)絡(luò)安全法為例，該法僅規(guī)定了網(wǎng)絡(luò)運(yùn)營(yíng)者、網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的提供者侵犯數(shù)據(jù)主體同意權(quán)、刪除權(quán)、更正權(quán)以及泄漏個(gè)人網(wǎng)絡(luò)信息的行政責(zé)任，行政執(zhí)法主體也不明確。依據(jù)網(wǎng)絡(luò)安全法的有關(guān)規(guī)定，國(guó)務(wù)院電信主管部門、公安部門和其他有關(guān)機(jī)關(guān)在各自職責(zé)范圍內(nèi)負(fù)責(zé)網(wǎng)絡(luò)安全保護(hù)和監(jiān)督管理工作，但這一規(guī)定在實(shí)踐過(guò)程中因執(zhí)法主體不明確或“多頭共管”將明顯降低行政執(zhí)法效能。相比較而言，日本、新加坡、歐盟等國(guó)家和地區(qū)均已設(shè)立了獨(dú)立的個(gè)人信息行政監(jiān)管機(jī)構(gòu)，行政執(zhí)法效率更高[19]。而民事責(zé)任的相關(guān)規(guī)定依然停留在侵犯隱私權(quán)、名譽(yù)權(quán)等傳統(tǒng)人身權(quán)利的層面，以致網(wǎng)絡(luò)數(shù)據(jù)控制者、處理者在侵害數(shù)據(jù)主體權(quán)益的情況下，數(shù)據(jù)主體除了可以主張侵犯者賠禮道歉、停止侵權(quán)等民事責(zé)任外，想要主張經(jīng)濟(jì)賠償則落入無(wú)法可依的尷尬境地，網(wǎng)絡(luò)數(shù)據(jù)控制者、處理者法律責(zé)任制度的缺失也變相在一定程度上導(dǎo)致侵害數(shù)據(jù)主體權(quán)利的行為頻繁發(fā)生。

（四）數(shù)據(jù)跨境流動(dòng)規(guī)則仍處于探索階段

基于網(wǎng)絡(luò)技術(shù)搭建起的網(wǎng)絡(luò)空間之所以能夠脫離出傳統(tǒng)社會(huì)的單維空間而變成影響經(jīng)濟(jì)全球化進(jìn)程的重要力量，數(shù)據(jù)跨境流動(dòng)是不可缺少的必要條件。同時(shí)，數(shù)據(jù)跨境流動(dòng)制度直接關(guān)系到網(wǎng)絡(luò)信息的整體安全，對(duì)于防御、處置網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅，維護(hù)網(wǎng)絡(luò)空間安全和秩序起到至關(guān)重要的作用。鑒于網(wǎng)絡(luò)數(shù)據(jù)跨境流動(dòng)規(guī)制對(duì)于該制度的有效運(yùn)行有著重要意義，目前發(fā)達(dá)國(guó)家無(wú)一例外都制定了明確可操作的數(shù)據(jù)跨境流動(dòng)法律規(guī)則。

然而，目前我國(guó)數(shù)據(jù)跨境流動(dòng)的安全評(píng)估機(jī)制正在初步搭建過(guò)程中，2017年《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》和《信息安全技術(shù)數(shù)據(jù)出境安全評(píng)估指南（征求意見(jiàn)稿）》先后出臺(tái)，我國(guó)網(wǎng)絡(luò)安全法以及《信息安全技術(shù)個(gè)人信息安全規(guī)范》對(duì)數(shù)據(jù)跨境流動(dòng)的基本態(tài)度也很明確，原則上限制數(shù)據(jù)跨境流動(dòng)，在例外情況下依照相關(guān)規(guī)定和標(biāo)準(zhǔn)進(jìn)行安全評(píng)估并符合要求的前提下允許數(shù)據(jù)跨境流動(dòng)。從學(xué)理上分析，之所以我國(guó)在數(shù)據(jù)跨境流動(dòng)的相關(guān)規(guī)則構(gòu)建上采取保守態(tài)度，主要是基于我國(guó)網(wǎng)絡(luò)安全體制機(jī)制仍不夠完善，現(xiàn)有的網(wǎng)絡(luò)安全立法規(guī)則體系仍處于試驗(yàn)論證階段，因此盡可能保護(hù)國(guó)家的整體網(wǎng)絡(luò)信息安全和公民隱私不受侵犯為現(xiàn)階段立法者考量最優(yōu)先保護(hù)的法益[20]；但同時(shí)，數(shù)據(jù)跨境流動(dòng)又是網(wǎng)絡(luò)空間中互聯(lián)網(wǎng)經(jīng)濟(jì)不可逆的大趨勢(shì)，對(duì)于提高交易效率和國(guó)際競(jìng)爭(zhēng)力都是必不可少的技術(shù)保障，有關(guān)數(shù)據(jù)跨境流動(dòng)的規(guī)則設(shè)計(jì)實(shí)際上就是平衡信息安全和經(jīng)濟(jì)發(fā)展兩者之間的利益關(guān)系，但我國(guó)目前仍處于制度構(gòu)建探索階段，數(shù)據(jù)跨境流動(dòng)規(guī)則仍存在一定的法律留白。

四、構(gòu)建我國(guó)個(gè)人網(wǎng)絡(luò)信息保護(hù)立法制度的建議

（一）擴(kuò)大我國(guó)網(wǎng)絡(luò)信息安全保護(hù)法的適用范圍

如上文所述，數(shù)據(jù)跨境流動(dòng)的特性客觀上要求立法時(shí)需要適當(dāng)擴(kuò)大個(gè)人網(wǎng)絡(luò)信息保護(hù)法的域外效力。美國(guó)、歐盟等諸多國(guó)家和地區(qū)均不約而同地?cái)U(kuò)大了國(guó)內(nèi)執(zhí)法部門管轄海外數(shù)據(jù)的權(quán)限，并規(guī)定國(guó)內(nèi)數(shù)據(jù)保護(hù)法律法規(guī)不受本國(guó)或地區(qū)領(lǐng)土疆域的限制。據(jù)此，保護(hù)我國(guó)個(gè)人網(wǎng)絡(luò)信息安全的立法工作首先要解決的問(wèn)題就是突破本國(guó)個(gè)人網(wǎng)絡(luò)信息保護(hù)法的適用范圍，賦予其域外效力；在立法時(shí)可參照我國(guó)刑法的管轄原則，即不再局限于屬地管轄，應(yīng)當(dāng)構(gòu)造以屬地管轄為核心，同時(shí)將屬人管轄和保護(hù)管轄原則作為必要補(bǔ)充的長(zhǎng)臂管轄原則；適用屬人管轄原則之后，無(wú)論數(shù)據(jù)處理行為是否發(fā)生在我國(guó)境內(nèi)，只要數(shù)據(jù)運(yùn)營(yíng)者在我國(guó)境內(nèi)有實(shí)體機(jī)構(gòu)就有權(quán)進(jìn)行司法管轄[21]。如此一來(lái)，即便在我國(guó)境內(nèi)設(shè)有分支機(jī)構(gòu)的數(shù)據(jù)運(yùn)營(yíng)者的數(shù)據(jù)處理行為發(fā)生在境外，我國(guó)法律依然有權(quán)予以管轄；而保護(hù)管轄原則則是突破了屬人屬地管轄原則，無(wú)論數(shù)據(jù)運(yùn)營(yíng)者在我國(guó)境內(nèi)是否有實(shí)體機(jī)構(gòu)，也無(wú)論數(shù)據(jù)處理行為發(fā)生在何處，只要是向我國(guó)境內(nèi)數(shù)據(jù)主體提供產(chǎn)品、服務(wù)或監(jiān)控其行為，或只要該數(shù)據(jù)運(yùn)營(yíng)者處理和持有居住在我國(guó)境內(nèi)數(shù)據(jù)主體的數(shù)據(jù)都要受到我國(guó)個(gè)人網(wǎng)絡(luò)信息保護(hù)法律法規(guī)的約束。

（二）明確數(shù)據(jù)主體權(quán)利種類、行使條件、方式以及保障措施

借鑒國(guó)外個(gè)人網(wǎng)絡(luò)信息保護(hù)立法的先進(jìn)經(jīng)驗(yàn)，在立法過(guò)程中，我們應(yīng)當(dāng)全面合理構(gòu)建數(shù)據(jù)主體的權(quán)利體系，明確數(shù)據(jù)主體具有知情權(quán)、同意權(quán)、選擇權(quán)、修改權(quán)、刪除權(quán)、限制處理權(quán)、拒絕權(quán)、免受自動(dòng)化決策限制權(quán)、可攜帶權(quán)等權(quán)利[22]，具體而言，在立法中應(yīng)對(duì)上述權(quán)利的內(nèi)涵進(jìn)行明確，對(duì)權(quán)利行使的方式、范圍、限制條件以及保障措施均應(yīng)制定具有可操作性的規(guī)范。所謂限制條件是指為這些權(quán)利行使劃定一個(gè)邊界，在充分衡量網(wǎng)絡(luò)信息安全和公共利益等法價(jià)值的基礎(chǔ)上，對(duì)上述權(quán)利進(jìn)行必要限制。在涉及國(guó)家安全、公共安全衛(wèi)生、重大公共利益、刑事犯罪偵查、起訴、審判、學(xué)術(shù)研究、新聞報(bào)道等必要情況下，應(yīng)對(duì)數(shù)據(jù)主體的權(quán)利行使進(jìn)行必要的限縮[23]。因此，立法機(jī)構(gòu)可以考慮在以下兩種方式中擇一采用：一是在《信息安全技術(shù)個(gè)人信息安全規(guī)范》的基礎(chǔ)上對(duì)數(shù)據(jù)主體權(quán)利類型、保障措施進(jìn)行補(bǔ)充和完善，在制定個(gè)人信息保護(hù)法時(shí)一并納入，使之具有強(qiáng)制力和執(zhí)行力；二是盡快確立個(gè)人網(wǎng)絡(luò)信息保護(hù)安全國(guó)家標(biāo)準(zhǔn)，可以考慮在《信息安全技術(shù)個(gè)人信息安全規(guī)范》的基礎(chǔ)上進(jìn)行修改和完善，將推薦標(biāo)準(zhǔn)逐步上升為國(guó)家標(biāo)準(zhǔn)，使其具有強(qiáng)制適用的效力，同時(shí)在相關(guān)部門法的規(guī)范性法律文件中明確違反上述強(qiáng)制性國(guó)家標(biāo)準(zhǔn)的情況下，數(shù)據(jù)主體的權(quán)利保障措施。

（三）健全數(shù)據(jù)運(yùn)營(yíng)者、控制者法律責(zé)任制度

個(gè)體的信息安全若想得到有效和及時(shí)的保護(hù)，對(duì)于數(shù)據(jù)運(yùn)營(yíng)者和控制者的責(zé)任規(guī)制就顯得尤為必要。一方面，應(yīng)當(dāng)完善行政責(zé)任體系，在立法中考慮確定獨(dú)立的執(zhí)法主體，通過(guò)歸口管理的方式，指定電信主管部門或通過(guò)機(jī)構(gòu)整合設(shè)立專門的監(jiān)管部門并將其確定為行政執(zhí)法主體，由其統(tǒng)一負(fù)責(zé)網(wǎng)絡(luò)安全保護(hù)和監(jiān)督管理工作；此外，在法律規(guī)范中將執(zhí)法主體的權(quán)限、組織架構(gòu)、任務(wù)以及職權(quán)范圍予以明確表述，避免出現(xiàn)權(quán)責(zé)不清的情況；在立法中構(gòu)建清晰的數(shù)據(jù)主體權(quán)利體系以及數(shù)據(jù)運(yùn)營(yíng)、控制者義務(wù)體系，根據(jù)義務(wù)違反類型、情節(jié)分別設(shè)定行政處罰的責(zé)任承擔(dān)主體、種類、處罰方式以及程序；培育互聯(lián)網(wǎng)行業(yè)建立完善的行業(yè)自律機(jī)制，形成國(guó)家主導(dǎo)，行業(yè)自律，社會(huì)輿論監(jiān)督的多層次縱橫聯(lián)合的監(jiān)管體制。另一方面，通過(guò)立法健全民事責(zé)任體系，打破目前數(shù)據(jù)主體追究民事責(zé)任無(wú)法可依的窘境。立法機(jī)關(guān)或最高人民法院可以在民法總則現(xiàn)有法律規(guī)制的基礎(chǔ)上，制定專門的個(gè)人網(wǎng)絡(luò)信息保護(hù)法或針對(duì)個(gè)人網(wǎng)絡(luò)信息保護(hù)的司法解釋，將數(shù)據(jù)運(yùn)營(yíng)者、控制者違法收集、保存、使用、共享、轉(zhuǎn)讓、披露個(gè)人網(wǎng)絡(luò)信息所對(duì)應(yīng)的侵權(quán)、違約責(zé)任構(gòu)成條件予以明確，特別是針對(duì)上述侵權(quán)、違約責(zé)任的賠償計(jì)算方式予以確認(rèn)。例如，在認(rèn)定侵權(quán)責(zé)任構(gòu)成要件的過(guò)程中，可以參考商標(biāo)法、反不正當(dāng)競(jìng)爭(zhēng)法中有關(guān)侵犯商標(biāo)權(quán)、不正當(dāng)競(jìng)爭(zhēng)行為侵權(quán)損害賠償數(shù)額界定方法，根據(jù)侵權(quán)期間數(shù)據(jù)運(yùn)營(yíng)者、控制者的經(jīng)營(yíng)所得的一定比例推定損失數(shù)額。此外，加大對(duì)數(shù)據(jù)運(yùn)營(yíng)商提供的格式合同的規(guī)范審查力度，設(shè)置公平合理的違約責(zé)任條款，提高數(shù)據(jù)運(yùn)營(yíng)商的違約成本[24]。在救濟(jì)層面豐富救濟(jì)途徑，如將大規(guī)模個(gè)人網(wǎng)絡(luò)信息泄漏事件納入公益訴訟案件受理范圍等。

（四）加快完善數(shù)據(jù)跨境流動(dòng)的法律規(guī)則

首先，應(yīng)確立跨境流動(dòng)的一般性原則，即僅在第三國(guó)信息接受者采取了與我國(guó)法律規(guī)范中列明的同等信息保護(hù)措施時(shí)，才可以進(jìn)行數(shù)據(jù)傳輸；其次，完善現(xiàn)有的數(shù)據(jù)跨境流動(dòng)評(píng)估標(biāo)準(zhǔn)，使之更符合我國(guó)網(wǎng)絡(luò)安全發(fā)展現(xiàn)狀，兼顧經(jīng)濟(jì)發(fā)展和信息安全利益平衡；再次，適時(shí)建立數(shù)據(jù)跨境流動(dòng)白名單制度，在定期審查第三國(guó)個(gè)人網(wǎng)絡(luò)信息保護(hù)法律規(guī)則、監(jiān)管機(jī)構(gòu)運(yùn)行機(jī)制以及相關(guān)國(guó)際公約或雙邊條約的基礎(chǔ)上，確認(rèn)第三國(guó)能夠提供充分的保護(hù)時(shí)，該數(shù)據(jù)傳輸在一定期限內(nèi)不需要特別授權(quán)或評(píng)估；最后，明確數(shù)據(jù)跨境流動(dòng)例外規(guī)則，并在立法過(guò)程中確立數(shù)據(jù)跨境流動(dòng)的國(guó)際協(xié)作措施，如為了公共利益或政府間協(xié)作的需要，雖然第三國(guó)或國(guó)際組織并不滿足數(shù)據(jù)跨境流動(dòng)的前提條件，但可以要求數(shù)據(jù)運(yùn)營(yíng)者或控制者在提供適當(dāng)?shù)谋Ｕ锨乙呀?jīng)提供了可執(zhí)行的數(shù)據(jù)主體權(quán)利法律救濟(jì)的情況下，許可數(shù)據(jù)跨境流動(dòng)。