郭綺玲

【摘 要】在如今跨境電商蓬勃發(fā)展的大數(shù)據(jù)時代，個人信息無法避免地在跨境電子商務(wù)與跨國公司的經(jīng)營中跨境流動，這暴露出個人信息跨境流動難以受到信息主體所在國的管轄和監(jiān)管，個人信息遭受侵權(quán)時也難以獲得救濟等問題。我國對個人信息跨境轉(zhuǎn)移領(lǐng)域的立法處于起步階段，行業(yè)自律機制并不完善，國際上缺乏緊密合作。文章基于立法、行業(yè)機制和國際協(xié)調(diào)3個方面提出保護個人信息的建議。

【關(guān)鍵詞】個人信息;電商;數(shù)據(jù)跨境

【中圖分類號】D923 【文獻(xiàn)標(biāo)識碼】A 【文章編號】1674-0688（2020）10-0111-03

1 個人信息與個人隱私

1.1 個人信息

由于各國的歷史文化背景和立法傳統(tǒng)不一致，跨境數(shù)據(jù)流動的客體“個人信息”在不同的法律文件中所用的術(shù)語字眼不完全一致。有些文件使用個人數(shù)據(jù)，有些使用個人信息，有些表達(dá)為隱私。總體來說，使用個人數(shù)據(jù)作為表達(dá)的國家相對占多數(shù)，雖然國際上沒有統(tǒng)一的用語，但是表示的意思大體是一致的，有時候會存在相互混用或者替用的情況。歐盟把個人數(shù)據(jù)作為術(shù)語，將其定義為“與已識別或可識別的自然人（數(shù)據(jù)主體）相關(guān)的任何信息”。經(jīng)濟合作與發(fā)展組織也是使用個人數(shù)據(jù)，將其描述為“指任何與已識別或可識別的個人（數(shù)據(jù)主體）有關(guān)的信息。”亞太經(jīng)濟合作組織雖然使用的是個人信息的表述，但是定義與歐盟一致。

我國對跨境數(shù)據(jù)流動的客體采用的是個人信息的術(shù)語，該表達(dá)體現(xiàn)在多部法律法規(guī)之中，《信息安全技術(shù)個人信息安全規(guī)范》把個人信息認(rèn)定為能識別特定人的身份或反映活動情況的各種信息。有些學(xué)者認(rèn)為“數(shù)據(jù)”含義的范圍比“信息”廣泛，但是筆者認(rèn)為兩者差別不大，這兩個術(shù)語的核心共同點都是可識別性，因此本文中不加以區(qū)分這兩者。

1.2 個人信息與隱私的區(qū)分

美國是世界上對隱私保護程度較高的國家，也是對隱私保護的意識覺醒較早的國家，早在1974年美國就頒布了《隱私法》。美國將個人信息納入隱私的這個框架架構(gòu)中，也就是說，美國法律體系是把個人信息作為隱私中的一個部分。

歐盟并沒有明確區(qū)分個人信息與隱私，《歐洲人權(quán)公約》把隱私定義得十分廣泛且籠統(tǒng)，在多個法律文件中兩者會出現(xiàn)重疊的情況。此外，法院享有解釋權(quán)，在不同法官的解釋下有不同的理解。我國大部分學(xué)者認(rèn)為隱私是一種人格權(quán)，強調(diào)的是不為外人所知悉的私密性，而個人信息強調(diào)的是可識別性，兩者的共同點都是為了保護公民的尊嚴(yán)。

2 跨境電商中個人信息保護存在的問題

互聯(lián)網(wǎng)經(jīng)濟的發(fā)展使得電子商務(wù)有了蓬勃的發(fā)展空間，這讓世界人民聯(lián)系更加密切的同時，也產(chǎn)生了一系列的問題，我們要盡早意識到問題的所在及思考相應(yīng)的解決對策。作為提供信息的主體，每個人都是數(shù)據(jù)源，在提供了自身的信息后，這些信息后續(xù)最終流向何方，或者被用作其他什么用途，我們不得而知，生活中我們不得不忍受信息泄露所帶來的信息騷擾甚至財務(wù)上的損失。目前，我國在個人信息中立法上仍有提升的空間，此外行業(yè)自律也尤為重要。

2.1 個人立法信息的問題

2012年，工信部頒布了《信息安全技術(shù)——公共商用服務(wù)信息系統(tǒng)個人信息保護指南》（簡稱《指南》）。作為我國首個關(guān)于個人信息保護的國家規(guī)定，填補了我國在個人信息保護立法方面的空白，為之后在各個領(lǐng)域的個人信息保護提供了指引。《指南》首次做出了對我國的個人信息跨境流動過程中保護的規(guī)定;并且對個人信息主體、個人信息管理者、個人信息獲得者、第三方測評機構(gòu)做出了界定等。為個人信息保護的法治體系發(fā)展打下基礎(chǔ)。但是《指南》屬于軟法，并不是強制性規(guī)定，因而不具有約束力，顯然這對個人信息的保護力度是不夠的。

在金融領(lǐng)域內(nèi)也有相關(guān)的法規(guī)進行保護。2013年，國務(wù)院公布了《征信業(yè)管理條例》，對個人數(shù)據(jù)進行保護。金融業(yè)的個人數(shù)據(jù)直接關(guān)系到財產(chǎn)利益，因此出臺有針對性的法律法規(guī)確實非常必要。該法規(guī)確立了我國個人金融信息跨境流動的一般原則，對金融機構(gòu)的信息處理和監(jiān)管等業(yè)務(wù)起到了一定的作用，但是很關(guān)鍵的一點卻沒有說明——對銀行金融機構(gòu)的權(quán)利責(zé)任分配和問責(zé)機制。除此之外，上述文件的效力層級低，在實際操作中的約束力和執(zhí)行力會大打折扣。

2016年，國家出臺了《網(wǎng)絡(luò)安全法》，可以看出國家不僅關(guān)注國家的安全、公共安全，也對個人的安全越來越重視。但是其中還存在有待完善之處，《網(wǎng)絡(luò)安全法》中對于數(shù)據(jù)本地化的主體規(guī)定的是關(guān)鍵信息基礎(chǔ)設(shè)施的運營者。對這個經(jīng)營者的限定范圍過于寬泛，有待于法律解釋出臺或者立法進一步確定。此外，這個定義沒有把商業(yè)部分納入，顯然不利于商業(yè)領(lǐng)域中對個人數(shù)據(jù)的保護①。

《網(wǎng)絡(luò)安全法》第三十七條規(guī)定，如果業(yè)務(wù)需要向境外提供數(shù)據(jù)，需要進行安全評估。這條規(guī)定并沒有對安全評估制度、救濟模式等問題進行具體細(xì)化，安全評估機制和救濟權(quán)利對個人數(shù)據(jù)跨境傳輸是十分必要的，前者是進行事前預(yù)防排除潛在風(fēng)險，后者是事后及時獲得救濟減少損失。雖然《網(wǎng)絡(luò)安全法》仍然存在瑕疵，但這是我國在網(wǎng)絡(luò)信息安全方面的基礎(chǔ)性法律，為以后在其余領(lǐng)域的專門立法打下良好的基礎(chǔ)。

2.2 行業(yè)自律問題

對于個人信息的保護僅靠國家立法是不夠的，還要把行業(yè)自律機制納入對公民個人的信息保護的措施之中。

2000年6月，我國成立了中國電子商務(wù)協(xié)會，在信息產(chǎn)業(yè)部指導(dǎo)和民政部的監(jiān)督下進行業(yè)務(wù)活動。該協(xié)會在致力推動電子商務(wù)行業(yè)積極發(fā)展的同時，也十分看重電子商務(wù)中的隱私保護問題。協(xié)會在2004年發(fā)布了誠信聯(lián)盟公約，涉及消費者隱私權(quán)保護的內(nèi)容，但是該公約內(nèi)容簡單，實際中缺乏可操作性。

中國互聯(lián)網(wǎng)協(xié)會是我國互聯(lián)網(wǎng)最主要的自律性組織，該協(xié)會發(fā)布了《中國互聯(lián)網(wǎng)行業(yè)自律公約》，倡導(dǎo)維護消費者的合法權(quán)益，保護用戶數(shù)據(jù)隱私，不能利用用戶的個人信息從事超出承諾范圍的活動。該協(xié)會有推廣、組織實施與監(jiān)督的職責(zé)。

我國消費者協(xié)會成立于1984年，受工商行政管理總局的直屬領(lǐng)導(dǎo)。消費者協(xié)會在我國多起消費者維權(quán)案件中指導(dǎo)商家生產(chǎn)銷售行為發(fā)揮了重要的作用。

在我國，符合條件能夠涉及隱私保護水平認(rèn)證的第三方機構(gòu)較少，主要是中國軟件測評中心、公安信息安全等級保護評估中心和公安部信息安全產(chǎn)品檢驗中心。

我國行業(yè)自律機制并不完善，存在以下幾個問題。

第一，我國行業(yè)自律機制初步形成。雖然目前已經(jīng)成立了電子商務(wù)協(xié)會、中國互聯(lián)網(wǎng)協(xié)會、消費者協(xié)會，但是它們成立的時間不長，在實踐中有些問題處理不成熟，經(jīng)驗的積累不夠豐富。

第二，我國行業(yè)自律機制約束力不強。行業(yè)協(xié)會通常對業(yè)內(nèi)的企業(yè)會員只是起到一個號召、呼吁的作用，并沒有強制性的手段可以約束違反公約的行為。

第三，我國隱私保護認(rèn)證機構(gòu)不夠?qū)I(yè)與權(quán)威。相比美國專門做企業(yè)隱私保護水平認(rèn)證的機構(gòu)，我國這方面的機構(gòu)在認(rèn)證的深度與廣度上還有很大差距與局限性。

2.3 國際合作中個人信息保護問題

各個國家對個人信息跨境轉(zhuǎn)移的態(tài)度不同，因此各國在這方面的法律也存在差異性，當(dāng)我國的消費者在電子商務(wù)中提供了個人信息流轉(zhuǎn)到境外保護力度較低的國家，則很難得到有效的保護，國家發(fā)揮的監(jiān)管作用也十分有限，個人信息對不法分子來說是隱藏的財富，一旦遭遇泄露則對個人的財產(chǎn)與人身安全將產(chǎn)生極為不利的影響。因此，鑒于各國之間的立法不統(tǒng)一，為了保障個人信息跨境轉(zhuǎn)移的渠道暢通，選擇國際合作是各國的明智之策，這樣能解決各國之間的法律沖突，也能有效地加強個人信息跨境轉(zhuǎn)移中的執(zhí)法，使對本國公民的個人信息監(jiān)督范圍不僅僅局限于國內(nèi)。

但是目前我國對個人信息跨境轉(zhuǎn)移保障的意識覺醒較晚，立法也尚處于起步階段，在該領(lǐng)域尚未開展有效的國際合作，導(dǎo)致在境外的個人信息難以轉(zhuǎn)移至境內(nèi)，境外的消費者對我國的電子商務(wù)平臺沒有抱以足夠的信心，間接導(dǎo)致我國的電子商務(wù)平臺在國外市場的發(fā)展較為艱難，境外的消費者對我國電子商務(wù)平臺持不信任的態(tài)度。缺乏國際之間合作同時會導(dǎo)致當(dāng)我國的個人信息在境外受到侵害時，境外的執(zhí)法難以展開，從而使得個人在境外的信息安全無法得到保障。

3 完善跨境電商中個人信息保護的措施

3.1 提高立法的效力層級

我國加入亞太經(jīng)貿(mào)組織后，簽訂了《APEC隱私保護框架》，該協(xié)議要求我國需要盡快制定個人信息保護方面的法律法規(guī)。國務(wù)院在2016年出臺了《關(guān)于加強個人誠信體系建設(shè)的指導(dǎo)意見》，可以看出，無論是國際上對中國的要求，還是國內(nèi)對該方面的態(tài)度，制定保障個人信息安全的相關(guān)法律法規(guī)是大勢所趨，也是當(dāng)務(wù)之急。

我國目前在個人信息保護方面的法治體系比較缺乏，在該領(lǐng)域還處于起步階段，仍沒有一部專門的個人信息保護法被制定出來。在一些領(lǐng)域的法律法規(guī)中可以分散地見到一些關(guān)于個人信息保護的內(nèi)容，但是總體上內(nèi)容很少，規(guī)定不詳細(xì)、不具體，監(jiān)管問責(zé)方面等核心的問題涉及較少。而且，個人信息保障的法律條文分散在不同法律法規(guī)之中，難免會出現(xiàn)重合或者沖突的地方，這樣就會產(chǎn)生釋法等一系列問題。

認(rèn)為目前盡快出臺《個人信息保護法》十分必要。互聯(lián)網(wǎng)經(jīng)濟的發(fā)展已經(jīng)成為現(xiàn)今世界不可阻擋的趨勢，網(wǎng)絡(luò)從來都不是法外之地，但是目前我國的公民個人信息保護程度十分薄弱，個人信息被泄露的情況很嚴(yán)重，我國需要發(fā)展，就要加強對外合作與交易。電商崛起神速，“阿里巴巴”在美國上市后走勢一片大好，中國不可能放棄國外的市場，因此加快制定個人信息保護的法律法規(guī)的進程是尤為必要的。目前，我國已出臺推薦性國家標(biāo)準(zhǔn)《網(wǎng)絡(luò)安全法》與《個人信息安全規(guī)范》，筆者認(rèn)為有必要提高立法效力等級，將推薦性標(biāo)準(zhǔn)升級為具有法律約束力的標(biāo)準(zhǔn)。

3.2 加強行業(yè)自律與公民自我保護意識

國家應(yīng)該在個人信息保護方面加強宣傳教育，喚起國人對自我信息保護的意識，提高警惕，比如在付款或者注冊時多加留意條款信息，在發(fā)現(xiàn)有問題的時候，及時止損，并采取救濟措施，這樣能從源頭上遏制部分不法行為。

我國的行業(yè)自律的約束力弱，專業(yè)的第三方認(rèn)證機構(gòu)缺乏。行業(yè)自律機制是國家和信息處理者之間的一個中間角色，受國際承認(rèn)。一個國家對個人信息的保護僅僅靠立法的約束和保護是不足的，美國對公民隱私的保護程度在世界各國中排名靠前，但是仍舊會出現(xiàn)信息泄露事件。僅依靠國家進行監(jiān)管，那么距離理想的狀態(tài)仍需花費很長的時間，執(zhí)法的成本也會升高。因此，想要達(dá)到預(yù)想的目標(biāo)，還要依靠來自行業(yè)的自律機制發(fā)揮作用，不僅要考慮國家在立法方面先行，同時要充分發(fā)揮行業(yè)自律的作用，企業(yè)應(yīng)扛起自身的職責(zé)，積極加入行業(yè)協(xié)會，共同商討制定行業(yè)的對個人信息保護的標(biāo)準(zhǔn)和方針。與此同時，國家也要對相關(guān)行業(yè)進行指導(dǎo)和監(jiān)管，營造良好的營商環(huán)境。

我國可以參考美國與歐盟的標(biāo)準(zhǔn)，在引入專門針對個人隱私保護水平鑒定的第三方機構(gòu)時，對該機構(gòu)做專業(yè)做精細(xì)化設(shè)置，力求達(dá)到與國際接軌的水平。

3.3 增強國際合作

我國是亞太經(jīng)合的參與國，成為APEC隱私保護體系的簽署國，且加入了CBPR體系（跨境隱私規(guī)則），這對于我國對外合作的各個領(lǐng)域是一個良好的開端。我國是世界第二大經(jīng)濟體，歐盟是我國主要貿(mào)易伙伴，但是目前我國無法達(dá)到與歐盟充分保護的保護標(biāo)準(zhǔn)，國際上存在我國對流入數(shù)據(jù)的不能提供充分保護的顧慮。我國應(yīng)當(dāng)積極參與和倡導(dǎo)大數(shù)據(jù)國際傳輸新規(guī)則，充分發(fā)揮我國在大數(shù)據(jù)和AI領(lǐng)域的優(yōu)勢，在積極開展對外貿(mào)易時建立自己的個人信息跨境流動規(guī)則，爭取在個人數(shù)據(jù)領(lǐng)域有一定的主導(dǎo)權(quán)?？偟膩碚f，我們要在夯實立法和司法制度的基礎(chǔ)上不斷完善，發(fā)揮行業(yè)自律的作用，積極參與國際規(guī)則的制定，為我國公民信息的跨境提供更嚴(yán)格的標(biāo)準(zhǔn)，為電商企業(yè)營造更好的營商環(huán)境。

注 釋

① 程倪佳.個人數(shù)據(jù)跨境流動法律問題研究[D].北京：北京郵電大學(xué)，2017.

參 考 文 獻(xiàn)

[1]王璐.企業(yè)跨境轉(zhuǎn)移個人信息的法律問題研究[D].上海：華東政法大學(xué)，2017.

[2]馬思薇.國際多邊規(guī)制下的我國個人信息跨境轉(zhuǎn)移規(guī)制制度[D].南京：南京大學(xué)，2018.

[3]弓永欽.跨境電子商務(wù)中的個人信息保護問題研究[D].北京：對外經(jīng)濟貿(mào)易大學(xué)，2016.

[4]趙駿，向麗.跨境電子商務(wù)建設(shè)視角下個人信息跨境流動的隱私權(quán)保護研究[J].浙江大學(xué)學(xué)報（人文社會科學(xué)版），2019，49（2）：58-71.

[5]潘曉寧.完善我國個人信息數(shù)據(jù)出境制度的思考[J].海關(guān)與經(jīng)貿(mào)研究，2019，40（6）：81-93.