吳 玄

一、引言

隨著全球經(jīng)濟數(shù)字化程度日益加深，數(shù)據(jù)成為經(jīng)濟發(fā)展與創(chuàng)造就業(yè)的關鍵驅動力。(1)United Nations Conferences on Trade and Development, Digital Economy Report 2019, https://unctad.org/system/files/official-document/der2019_en.pdf，2021年4月11日訪問。數(shù)據(jù)是新興生產(chǎn)要素，只有在流通和使用中才能發(fā)揮最大效用，蘊含于數(shù)據(jù)之中的個人信息(2)本文基于國內外法律文獻使用習慣，并沒有對“數(shù)據(jù)”與“信息”做嚴格區(qū)分。此外，數(shù)據(jù)跨境中的數(shù)據(jù)(信息)包含“個人信息/數(shù)據(jù)”和“非個人信息/數(shù)據(jù)”，本文討論的制度建構只涉及前者。也無法避免大規(guī)?？缇沉鲃?。數(shù)據(jù)是重要戰(zhàn)略資源，主權國家圍繞數(shù)據(jù)控制展開新一輪競爭，數(shù)據(jù)集合中的個人信息離不開國家的保護和管轄。數(shù)據(jù)是數(shù)字社會的通行證，網(wǎng)絡空間的個體依賴數(shù)據(jù)加以識別，數(shù)據(jù)所展示的個人信息與所有人的個人權益息息相關。因此，個人信息跨境的國際規(guī)則成為網(wǎng)絡空間國際治理的重要部分。目前，國際社會尚未就個人信息跨境規(guī)則達成共識，故此，不時發(fā)生立法、司法與執(zhí)法沖突。對該項國際規(guī)則的塑造，將直接影響到全球數(shù)字經(jīng)濟發(fā)展和國際競爭的格局。(3)Jennifer Daskal, Whose Law Governs in a Borderless World? Law Enforcement Access Data Across Borders, in National Constitution Center, A Twenty-First Century Framework for Digital Privacy, white paper series, 2017, https://constitutioncenter.org/digital-privacy/whose-law-governs-in-a-borderless-world，2021年4月12日訪問。圍繞著個人信息跨境已經(jīng)形成了多種主權觀念互相競爭的局面。對此，《個人信息保護法草案(二審稿)》的公布較為清晰地展示了“數(shù)據(jù)主權”(4)互聯(lián)網(wǎng)發(fā)明之前，傳統(tǒng)的國際法體系是以威斯特伐利亞主權(Westphalian Sovereign)理念建構的，基于領土排他性的主權國家體系。1648年威斯特伐利亞條約確立了民族國家領土觀，管轄權與領土開始對應?！皵?shù)據(jù)主權”“網(wǎng)絡主權”等概念的核心是將威斯特伐利亞主權概念直接適用于網(wǎng)絡空間(Cyberspace)。關于數(shù)據(jù)主權，我國學界已經(jīng)形成了很多研究成果。一些學者提出數(shù)據(jù)主權是國家主權在數(shù)字化空間的表現(xiàn)形式，也是網(wǎng)絡主權在數(shù)據(jù)層面的具體表現(xiàn)。參見梁坤：《基于數(shù)據(jù)主權的國家刑事取證管轄模式》，載《法學研究》2019年第2期；張曉君：《數(shù)據(jù)主權規(guī)則建設的模式與借鑒——兼論中國數(shù)據(jù)主權的規(guī)則構建》，載《現(xiàn)代法學》2020年第6期。有學者認為數(shù)據(jù)主權表現(xiàn)為獨立自主占有、處理和管理本國數(shù)據(jù)并排除他國或其他組織干預的國家最高權力。參見齊愛民、盤佳：《數(shù)據(jù)權、數(shù)據(jù)主權的確立與大數(shù)據(jù)保護的基本原則》，載《蘇州大學學報(哲學社科版)》2015年第1期，第67頁。有學者提出數(shù)據(jù)主權對內體現(xiàn)了國家對數(shù)據(jù)的最高管轄權，對外體現(xiàn)了國家在網(wǎng)絡數(shù)據(jù)上的獨立自主權與合作權。參見孫南翔、張曉君：《論數(shù)據(jù)主權——基于虛擬空間博弈與合作的考察》，載《太平洋學報》2015年第2期；蔡翠紅：《云時代數(shù)據(jù)主權概念及其運用場景》，載《現(xiàn)代國際關系》2013年第2期。近年來，美歐國家及學者提出了不一樣的觀點。他們基于數(shù)據(jù)的流動性、拆分性和虛擬性，否認威斯特伐利亞主權體系的屬地基礎，試圖將管轄權剝離領土在數(shù)據(jù)領域建構一套新的主權規(guī)則。See Kristen E.Eichensehr, The Cyber-Law of Nations, 103 The Georgetown Law Journal, 317, 326 (2015).下個人信息跨境的“中國方案”。

那么，要如何看待全球個人信息跨境中的主權觀念沖突？應如何理解個人信息跨境中的主權因素？草案中的個人信息跨境機制的架構究竟如何？我國又應該怎樣參與國際規(guī)則的塑造？本文嘗試在個人信息保護與全球數(shù)據(jù)競爭的背景下，回答上述問題，共分四個部分：第一部分主要討論國際社會個人信息跨境流動的現(xiàn)狀以及面臨的問題，指出主權原則在數(shù)據(jù)領域適用方式上的分歧；第二部分討論不同個人信息跨境場景下的主權因素，并提出對類型化的個人信息適用不同的跨境規(guī)則；第三部分聚焦歐盟與美國實踐，分析不同主權觀影響和塑造個人信息跨境國際規(guī)則的路徑；第四部分回到我國《個人信息保護法草案(二審稿)》，提出在主權原則彈性適用的基礎上建構我國個人信息跨境機制，并借鑒歐美的經(jīng)驗，在個人信息跨境國際規(guī)則的形成中提升我國影響。

二、全球個人信息跨境的現(xiàn)狀與挑戰(zhàn)

人類電子化信息跨境的歷史可以追溯到電報時代，現(xiàn)代計算機則使用比特對待傳輸?shù)淖帜?、?shù)字和符號進行編碼。(5)I.Trotter Handy, Transborder Data Flow: An Overview and Critique of Recent Concerns, 9 Rutgers Computer and Technology Law Journal 247 (1983).1980年，經(jīng)合組織(OECD)提出了“數(shù)據(jù)跨境流動”(Trans-border Data Flow)的概念。(6)OECD, Guidelines Governing the Protection of Privacy and Trans-Border Flows of Personal Data, 1980, C (80) 58, Article 1 (c).時至今日，跨境流動的個人信息在規(guī)模、類型和傳輸方式上均發(fā)生了質的改變。與頻繁跨境相比，個人信息跨境的國際規(guī)則卻處于嚴重滯后的狀態(tài)。當前問題集中在兩個方面，一是主權國家是否有權對個人信息跨境流動進行規(guī)制？圍繞此產(chǎn)生了個人信息自由跨境與個人信息本地化兩種主張。二是主權國家如何對個人信息跨境流動進行規(guī)制？一些國家選擇突破物理國境進行域外管轄，由此引發(fā)了國家管轄沖突。

(一)主權的內部視角：數(shù)據(jù)本地化的合理性挑戰(zhàn)

1.個人信息跨境1.0：數(shù)據(jù)自由流動及理論

所謂“數(shù)據(jù)自由流動(free flow of data)”是指數(shù)據(jù)的跨境流動不存在任何法律和現(xiàn)實障礙。OECD在《關于保護隱私與個人信息跨境流動指南》(Guidelines Governing the Protection of Privacy and Trans-border Flows of Personal Data，下稱“指南”)中要求：“會員國應努力消除、避免以隱私保護為名，對個人信息(7)這一時期的跨境流動的數(shù)據(jù)主要為個人數(shù)據(jù)(信息)，OECD使用的是個人信息跨境流動(transborder flows of personal data)表述，相關壁壘則是指各國阻礙個人信息跨境的立法?？缇沉鲃釉O定不公正的障礙。”(8)同前注〔6〕。推動經(jīng)濟信息化、全球化是這一時期個人信息治理的主要目標。20世紀80年代，隨著個人電腦的普及和互聯(lián)網(wǎng)商業(yè)化推廣，人類社會進入了信息時代。各國希望破除貿易壁壘，利用投資全球化推動本國經(jīng)濟發(fā)展。滿足這些需求的“數(shù)據(jù)自由流動”成為“個人信息跨境1.0”的主流。(9)數(shù)據(jù)的跨境自由流動對經(jīng)濟產(chǎn)生了廣泛而積極的影響。據(jù)美國國際貿易委員會(United States International trade Commission)統(tǒng)計，2011年，數(shù)字貿易為美國國內生產(chǎn)總值帶來了3.4%至4.8%的增長，創(chuàng)造了多達240萬個就業(yè)崗位。See Sinan ülgen, Governing Cyberspace, A Road Map for Transatlantic Leadership, Carnegie Endowment for International Peace 2016, p.39. 麥肯錫的一項研究表明，數(shù)據(jù)跨境流動已經(jīng)超過傳統(tǒng)商品跨境成為全球貿易的主要組成部分。全球跨境網(wǎng)絡流量在2005年至2012年間增長了18倍，全球商品、服務和投資流量在2012年達到26萬億美元，到2025年可能會增長兩倍以上。See James Manyika et al., Global Flows in a Digital Age, McKinsey Global Institute, April 2014, http:// www.mckinsey.com/insights/globalization/global_flows_in_a_digital_age.，2021年2月27日訪問。

數(shù)據(jù)自由流動也是互聯(lián)網(wǎng)發(fā)展早期網(wǎng)絡空間主權觀念的映射。當時的“網(wǎng)絡主權(cyberspace sovereignty)”由網(wǎng)絡自由主義者提出，其具體含義與今天完全不同。(10)該觀念又稱為“自身主權論”(Cyber as Sovereignty)。See David Johnson & David Post, Law and Borders: The Rise of Law in Cyberspace, 48 Stanford Law Review, 1367 (1996); Timothy S.Wu, Cyberspace Sovereighty?, 10 Harvard Journal of Law & Technology 647, 651 (1997).他們主張網(wǎng)絡空間獨立于任何民族國家，視主權國家的規(guī)制為“自身主權論”最大的威脅。(11)“工業(yè)世界的政府們……在我們聚集的地方，你們沒有主權?！盵美]約翰·P.巴洛：《網(wǎng)絡獨立宣言》，李旭、李小武譯，高鴻鈞校，載《清華法治論衡》(第四輯)，清華大學出版社2004年版，第509頁。事實上，當時主權國家制定的個人信息保護法律標準不一，確實阻礙了個人信息跨境流動。雖然各國政府對此并不認同，但都開始意識到跨境數(shù)據(jù)流動重要性。數(shù)據(jù)自由流動的原則對后來的各國的個人信息保護立法均產(chǎn)生了深刻的影響。(12)2016年實施的歐盟《一般數(shù)據(jù)保護條例》(GDPR)第1條第3款規(guī)定：“不得以保護自然人個人信息處理為由，限制或禁止個人信息在歐盟自由流動?！?/p>

2.個人信息跨境2.0：數(shù)據(jù)(個人信息)本地化及實踐

所謂“數(shù)據(jù)本地化(data localization)”是主權國家進行數(shù)據(jù)管控的一種方式，要求數(shù)據(jù)控制者將在一國收集的數(shù)據(jù)(個人信息和非個人信息)存儲在境內，經(jīng)審查方可跨境傳輸。個人信息(數(shù)據(jù))大規(guī)?？缇炒龠M全球經(jīng)濟的同時，也引發(fā)了隱私、知識產(chǎn)權、貿易，以及國家安全的風險。數(shù)據(jù)治理的目標也從單一的促進經(jīng)濟增長，轉向維護國家安全、公共利益和個人信息權益，是之為2.0版本。其標志為2014年“斯諾登事件”引發(fā)的全球范圍內的“數(shù)據(jù)本地化”立法運動。

數(shù)據(jù)本地化重申主權國家對于境內數(shù)據(jù)的控制權，標志著威斯特伐利亞主權(Westphalian sovereignty)傳統(tǒng)在網(wǎng)絡空間的回歸。(13)參見劉晗、葉開儒：《網(wǎng)絡主權的分層法律形態(tài)》，載《華東政法大學學報》2020年第4期，第67-82頁。數(shù)據(jù)本地化一方面限定個人信息處理地，將數(shù)據(jù)保留在境內，以受本國法律的管轄；另一方面限制境外對數(shù)據(jù)的索取，阻止他國(企業(yè)主要運營地或成立地國家)對個人信息進行控制，這其中其中既有他國企業(yè)基于商業(yè)使用的索取，也有他國政府基于司法或執(zhí)法原因的調取。迄今為止，全球近60個國家實施了數(shù)據(jù)本地化法律。(14)Internet Society, Internet Way of Networking Use Case: Data Localization, https://foreignpolicy.com/2020/05/13/data-governance-privacy-internet-regulation-localization-global-technology-power-map/，2021年4月13日訪問。各國的數(shù)據(jù)本地化法律與政策在實施方式上呈現(xiàn)出多樣化。(15)Stephen J.Ezell, Robert D. Atkinson & Michelle A.Wein, Localization as Barriers to Trade: Threat to the Global Innovation Economy, The Information Technology and Innovation Foundation, September 2013, http://www.copyrightalliance.org/sites/default/files/resources/2013-localization- barriers-to-trade.pdf，2021年4月14日訪問。依據(jù)對數(shù)據(jù)跨境流動的限制程度的強弱，可以將相關國家的管理模式劃分為如下類型：

一是個人信息出境評估模式。該模式并沒有明確的數(shù)據(jù)本地化表述，但就個人信息向境外傳輸提出了相關要求。如歐盟《一般數(shù)據(jù)保護條例》(下稱“GDPR”)只允許向達到歐盟認可隱私保護水平的第三國傳輸個人信息。阿根廷2001年《個人數(shù)據(jù)保護法》(PDPA)也采用了類似模式。(16)See Nigel Cory, Cross-Border Data Flows: Where Are the Barries, and What Do they Cost? Report of Information Technology & Innovation Foundation 2017, https://itif.org/publications/2017/05/01/cross-border-data-flows-where-are-barriers-and-what-do-they-cost#:～:text=Data-Localization%20Policies%20Around%20the%20World%20%20%20,began%20consider%20...%20%2029%20more%20rows%20，2021年4月3日訪問。

二是弱數(shù)據(jù)本地化模式。這種模式在要求數(shù)據(jù)本地化存儲的基礎上，對個人信息跨境設置了一般條件，或將本地化范圍限定于特殊領域(如醫(yī)療、電信、金融等)。印度2019年《個人數(shù)據(jù)保護法》要求“關鍵個人信息”本地化；澳大利亞《我的健康記錄法》(My Health Records Act 2012)禁止將個人健康信息轉移至澳大利亞境外；(17)Australian My Health Records Act 2012, https://www.legislation.gov.au/Details/C2017C00313，2019年3月21日訪問。我國《網(wǎng)絡安全法》第37條也明確關鍵信息基礎設施產(chǎn)生的重要數(shù)據(jù)與個人信息本地化存儲，“確需出境”的，須接受安全評估。(18)2019年6月13日，國家網(wǎng)信辦公布《個人信息出境安全評估辦法(征求意見稿)》，被認為是《網(wǎng)絡安全法》規(guī)定個人信息出境評估的具體實施細則，該辦法至今尚未出臺。

三是強數(shù)據(jù)本地化模式。典型的代表是俄羅斯，2014年俄羅斯修訂了《個人信息保護法》，要求數(shù)據(jù)控制者在處理俄公民個人信息時必須使用境內的數(shù)據(jù)庫。(19)Seyfarth Shaw LLP, Fortress Russia - the Russian Data Localization Law, https://www.lexology.com/library/detail.aspx?g=994d1c28-a3f1-4e96-8050-b873f9db29c1，2021年3月24日訪問。2019年俄《主權互聯(lián)網(wǎng)法》首次提出“數(shù)據(jù)傳輸路徑本地化”的要求，不僅要求個人信息存儲、處理地在境內，還提出數(shù)據(jù)的傳輸路線也必須在俄羅斯境內。(20)這將增加網(wǎng)絡服務提供商，尤其是云計算服務提供者的負擔。因為云計算技術的特點是運用網(wǎng)絡閑置資源。在云計算下，數(shù)據(jù)拆分后多路傳輸，由系統(tǒng)自動選擇傳輸路徑，用戶和服務商均無法知曉個人信息的傳輸途徑。Alena Epifanova, Deciphering Russia’s “Sovereign Internet Law” Tightening Control and Accelerating the Splinternet, No.2 Deutsche Gesellschaft für Ausw?rtige Politik e.V.Analysis, 4 (2020), https://dgap.org/sites/default/files/article_pdfs/dgap-analyse_2-2020_epifanova_0.pdf，2021年4月22日訪問。

圖1 各國數(shù)據(jù)本地化與數(shù)據(jù)自由流通維度

3.爭論背后的主權原則適用方式?jīng)_突

對個人信息跨境進行管控展現(xiàn)了主權的境內維度，數(shù)據(jù)本地化爭論背后是主權原則在數(shù)據(jù)領域適用方式的沖突。

數(shù)據(jù)本地化的支持者認為主權原則可以直接適用于數(shù)據(jù)領域。在威斯特伐利亞體系中，主權國家是最主要的國際主體，各國政府對各自領土具有實際管轄控制能力，(21)“威斯特伐利亞體系將領土與主權系于一處，同時將主權國家的權力限于領土之上。主權意味著外部獨立權(外部主權)和內部自決權(內部主權)?！鼻纳骸稄闹瓮夥嗟接蛲庖?guī)制——以管轄為視角的國際法秩序研究》，載《中國社會科學》2021年第4期，第48頁。公民個人權利的保護效果依賴于國家對個人信息的實際控制。數(shù)據(jù)本地化的目的在于保護本國公民的個人隱私，免受境外的不法侵害。將數(shù)據(jù)留在境內“是以既有治理體系應對新興事物的自然反應”，(22)胡凌：《信息基礎權力：中國對互聯(lián)網(wǎng)主權的追尋》，載《文化縱橫》2015年第6期，第106頁。不僅可以實現(xiàn)較為有效的管轄，也免去了國際協(xié)商的成本。

數(shù)據(jù)本地化的批評者則認為，主權原則并不能在數(shù)據(jù)領域直接產(chǎn)生行為義務。他們以“數(shù)據(jù)例外論”為基礎，主張去除個人信息跨境中的屬地管轄。由于數(shù)據(jù)是“流動性財產(chǎn)(fugitive property)”，(23)許可：《自由與安全：數(shù)據(jù)跨境流動的中國方案》，載《環(huán)球法律評論》2021年第1期，第28頁。在全球經(jīng)濟中占有重要地位。對各國而言，卸除對數(shù)據(jù)自由流動的限制，釋放數(shù)據(jù)的潛在價值同樣具有極大的吸引力。數(shù)據(jù)本地化政策也被指責會導致“網(wǎng)絡巴爾干化”(24)Jonan Force Hill & Matthew Noyes, Rethinking Data, Geography and Jurisdiction: Towards a Common Framework for Harmonizing Global Data Flow Controls, New America, 2018, p.12, https://www.newamerica.org/cybersecurity-initiative/policy-papers/rethinking-data-geography-and-jurisdiction/，2021年4月25日訪問。“數(shù)據(jù)重商主義”、(25)Strikrishna Committee, A Free and Fair Digital Economy Protection Privacy, Empowering Indians, Report of the Committee of Experts under the Chairmanshio of Justice BN Srikshna, 2018, p.89.網(wǎng)絡整體安全性下降(26)同前注〔9〕，Sinan ülgen文，第30頁。等。

在個人信息跨境問題上，無論是追求單一經(jīng)濟發(fā)展的“通”(1.0版)，還是沉溺于絕對安全的“留”(2.0版)，均未能平衡數(shù)據(jù)流動與數(shù)據(jù)安全的關系。因此，未來的個人信息跨境3.0，或可以采取主權原則彈性適用模式。(27)此處的主權原則彈性適用，并非一種主權觀念，僅指在數(shù)據(jù)領域主權原則的具體適用方式。相關內容可見論文第五部分?；趥€人信息的場景化，實施差異化的個人信息跨境監(jiān)管，調適個人信息保護與數(shù)據(jù)跨境流動引發(fā)的沖突。承認主權國家基于個人信息和隱私保護對個人信息跨境進行管控的同時，(28)OECD“指南”雖然要求成員國不得限制個人信息流動，但沒有隱私保護規(guī)定的第三國不在此限。同前注〔6〕，OECD。2013年亞太經(jīng)合組織《跨境隱私規(guī)則體系》(Cross-Border Privacy Rules，CBPRs)也將“個人信息的隱私與安全建立有意義的保護”作為個人信息跨境的前提。APEC, The Cross Border Privacy Rules System.兼顧數(shù)字經(jīng)濟發(fā)展(挖掘個人信息價值)。(29)2019年6月，二十國集團(G20)貿易和數(shù)字經(jīng)濟部長級會議在日本舉行。在會后發(fā)布的聲明中，部長們重申了他們對數(shù)據(jù)跨境流動的承諾，指出這將帶來更高的生產(chǎn)率、更大的創(chuàng)新和更好的可持續(xù)發(fā)展，同時承認面臨的“隱私、數(shù)據(jù)保護、知識產(chǎn)權和安全”挑戰(zhàn)。G20 Ministerial Statement on Trade and Digital Economy, Tsubuka, Ibaraki, Japan, June 9, 2019, http://www.g20.utoronto.ca/2019/2019-g20-trade.html，2021年4月21日訪問。

表1 個人信息跨境治理的三個階段

(二)主權的外部視角：“長臂管轄”的正當性爭議

伴隨著云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)技術的發(fā)展，虛擬的數(shù)據(jù)模糊了物理“國境”和以此為基礎的傳統(tǒng)屬地管轄，越來越多的國家轉向以屬人原則和效果原則為基礎的“長臂管轄”。新舊規(guī)則的碰撞引發(fā)了諸多管轄沖突。

1.GDPR：私權保護的“長臂管轄”

2016年歐盟出臺的GDPR被稱之為“史上最嚴個人信息保護法規(guī)”。其嚴苛程度不僅體現(xiàn)在高標準個人信息保護責任，還極大地擴張了歐洲個人信息保護監(jiān)管機構的管轄范圍。依托該法，歐洲的管轄長臂可以伸長到世界的各個角落。GDPR的長臂管轄體現(xiàn)為兩點：一是對歐盟境內數(shù)據(jù)控制者和處理者按照屬人原則進行管轄。條例“適用于在歐盟境內設立的數(shù)據(jù)控制者或處理者對個人信息的處理，無論其數(shù)據(jù)處理是否位于歐盟內部”。二是依據(jù)“效果原則”(30)Google Spain SL v.Agencia Espaola de Protección de Datos, Case C-131/12 (2014), ECR 317.對歐盟境外的數(shù)據(jù)控制者與處理者實施管轄。主要情形包括“向歐盟境內的數(shù)據(jù)主體提供商品或服務——無論是否要求數(shù)據(jù)主體支付對價”“對發(fā)生在歐盟境內數(shù)據(jù)主體的活動進行監(jiān)控”。(31)《一般數(shù)據(jù)保護條例》第3條，https://gdpr-info.eu/，2021年4月5日訪問。

然而，GDPR的“長臂管轄”尚未長出牙齒就遭遇了難題。一是司法實踐上的困難。由于法律條文并沒有對一些關鍵概念進行清晰的說明，法律的實施有待于歐盟法院(Court of Justice of the European Union，下稱CJEU)的進一步解釋。但在實踐中，法院的尺度寬嚴不一，造成規(guī)則不明。(32)Joined Cases Peter Pammer v.Reederei Karl Schlüter GmbH & Co.KG, Case C-585/08 (2010); Hotel Alpenhof GesmbH v.Oliver Heller Case C-144/09 (2010), para 69.因此，有學者將其稱之為：“立法者的夢想，法官的噩夢。”(33)Dan Jerker B Svantesson, Extraterritoriality and Targeting in EU Data Privacy Law: The Weak Spot Undermining the Regulation, 5 International Data Privacy Law 226, 229 (2015).二是可能引發(fā)與他國的沖突。其他國家可以主張就相關個人信息具有同等重要或更為緊密的聯(lián)系。例如，美國基于國家安全理由要求提供航班乘客信息。歐盟想要保護這些個人信息，必須擁有更為強大的管轄權聯(lián)系。(34)最終，美歐簽署了《乘客姓名記錄協(xié)議》，但基于歐盟的讓步，有學者認為該協(xié)議違反了GDPR相關規(guī)定。Cedric Ryngaert & Mistale Taylor, The GDPR as Global Data Protection Regulation?, 114 American Journal of International Law 5, 7 (2020).

2.云法：公權力行使的“長臂管轄”

2018年美國通過《澄清境外數(shù)據(jù)合法使用法》(Clarifying Lawful Overseas Use of Data Act，又稱“CLOUD法”，下稱“云法”)，將美國政府的管轄范圍延伸到所有美國公司控制的數(shù)據(jù)，建立了數(shù)據(jù)跨境中的“長臂管轄”。該法的主要內容包括兩部分：一是明確美國執(zhí)法機構獲取境外數(shù)據(jù)的方式(取)。這標志著美國在數(shù)據(jù)跨境實踐中，放棄以屬地原則為基礎的“數(shù)據(jù)存儲地”標準，轉向了“數(shù)據(jù)訪問地/控制者”標準。通過遍布世界的高科技公司，美國政府將自己的數(shù)據(jù)主權從物理國境延伸到了技術國境，可以對世界各地的數(shù)據(jù)行使管轄。二是創(chuàng)設了跨境數(shù)據(jù)執(zhí)法協(xié)作機制(送)。云法授權美國政府與“適格國家”簽署雙邊協(xié)議，應外國政府請求向其提供美國公司控制的非美國人數(shù)據(jù)(個人信息)?！斑m格國家”應滿足美國國會設立的標準，并且接受美國政府的監(jiān)督。

如果說GDPR的長臂管轄是以私人權益保護為目的的“防御”立法，云法則展現(xiàn)出公權力咄咄逼人的“攻勢”管轄。云法體現(xiàn)出的強烈單邊主義傾向：一是肆意侵犯他國主權?？缇痴{取數(shù)據(jù)的整個過程中，美國政府既沒有告知、更沒有征求數(shù)據(jù)存儲地國家的同意，完全無視他國正當?shù)臄?shù)據(jù)管轄權；二是破壞了主權平等原則下的國際協(xié)商機制。雖然美國提供了數(shù)據(jù)跨境執(zhí)法的替代方案，但是該方案由美國國會制定，美國政府實施和監(jiān)督，他國處于不平等地位。

綜上所述，無論是個人信息本地化與個人信息自由流通的爭論，還是長臂管轄引發(fā)的數(shù)據(jù)管轄的沖突，其根源在于對個人信息跨境問題中“境”的理解不同。傳統(tǒng)國際法框架下，管轄與領土對應，主權賦予一國在境內享有獨立的排他性權力。而在數(shù)字時代，數(shù)據(jù)不具備物理實體，猶如漂浮在賽博空間的比特，既無法看見也無法感知，如何行使管轄？云計算的普及進一步削弱了傳統(tǒng)國際法中管轄權的實施基礎。

由此，在個人信息跨境領域，圍繞著“境”的理解差異已經(jīng)形成了不同的主權原則適用模式。一方是直接適用，主張將物理世界的管轄直接延伸至數(shù)據(jù)領域。對內重申國家對個人信息保護事項立法和數(shù)據(jù)跨境監(jiān)管的絕對性，對外堅持主權國家平等參與的國際治理架構。另一方是間接適用，主張拋棄領土基礎，弱化主權原則的地位，建立新的個人信息跨境秩序。(35)Sasha Segall, Jurisdictional Challenges in the United States Government’s Move to Cloud Computing Technology, 23 Fordham Intellectual Property, Media & Entertainment Law Journal 1105, 1121 (2013).兩種主權觀針鋒相對，似乎沒有調和的可能。在思考如何構建我國個人信息跨境機制時，不妨首先回到法律本身，重新審視個人信息跨境的具體場景及主權意蘊。

三、個人信息跨境場景中的主權因素

個人信息(數(shù)據(jù))蘊含的巨大價值，隨著“數(shù)據(jù)就是石油”判斷的提出，個人信息跨境問題被引入政治、經(jīng)濟、軍事領域的國際競爭。但拋開這些因素，該問題歸根結底仍然是一個法律問題，其跨境機制的建構也離不開對個人信息主權特征的分析。

(一)數(shù)據(jù)跨境中的主權因素

1.個人數(shù)據(jù)(信息)與非個人數(shù)據(jù)

建構個人信息跨境機制，首先需要對法律規(guī)制的對象加以界定。個人數(shù)據(jù)(信息)是數(shù)據(jù)的下位概念，個人信息跨境也是數(shù)據(jù)跨境問題的一個分支。個人數(shù)據(jù)(信息)與非個人數(shù)據(jù)在主體、法益和意愿體現(xiàn)上均存在一定差異，因而在跨境制度建構中也應當加以區(qū)別考慮。

首先，主體不同。個人信息的主體是個人。對于“個人”的表述，各國法律中存在一定差異，我國《民法典》和《網(wǎng)絡安全法》使用的是“自然人”的表述，(36)《個人信息保護法草案(二審稿)》第4條規(guī)定：“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息?！薄秱€人信息保護法草案(二審稿)》予以沿用。GDPR使用的也是“自然人”，并解釋為“個體”。(37)GDPR第4條第1款：“個人數(shù)據(jù)指的是任何已識別或可識別的自然人(數(shù)據(jù)主體)相關的信息；一個可識別的自然人是一個能夠被直接或間接識別的個體。”美國《加州消費者隱私法》(CCPA)側重對商業(yè)使用的個人信息保護，使用的是“消費者或家庭”。(38)《美國加州消費者隱私法》(CCPA)第1798.140節(jié)(o)(1)：“個人信息是指直接或間接地識別、關聯(lián)、描述、能夠合理地與某一特定消費者或家庭相關聯(lián)或可以合理地與之相關聯(lián)的信息。”不論如何表述都無法否定個人信息主體的私主體性質。個人信息的認定標準是可識別，如果某些信息不能識別出特定的自然人，那么就不屬于個人信息。(39)參見程嘯：《論我國民法典中個人信息權益的性質》，載《政治與法律》2020年第8期，第4頁。匿名化/去標識化的信息就不再是個人信息。與之相對，非個人數(shù)據(jù)的主體是國家、公共機構、社會組織或企業(yè)。(40)歐盟《非個人數(shù)據(jù)自由流動條例》第3條第(1)款“‘數(shù)據(jù)’意指第(EU)2016/679號條例(GDPR)第4條第(1)點界定的個人數(shù)據(jù)以外的數(shù)據(jù)?！?/p>

其次，法益不同。個人信息保護體現(xiàn)的是對自然人權益的保護、對私人生活的尊重。《民法典》區(qū)分了隱私與個人信息保護，指出個人信息保護的目的是個人對于涉及自身信息流動的信賴預期。雖然就個人信息保護究竟是私法權益還是公法保護存在爭論，(41)參見王錫鋅：《個人信息國家保護義務及展開》，載《中國法學》2021年第1期；周漢華：《個人信息保護的法律定位》，載《法商研究》2020年第3期；程嘯：《民法典編纂視野下的個人信息保護》，載《中國法學》2019年第4期；丁曉東：《個人信息權利的反思與重塑：論個人信息保護的適用前提與法益基礎》，載《中外法學》2020年第2期；葉名怡：《論個人信息權的基本范疇》，載《清華法學》2018年第5期。但個人信息侵權的私人指向說明私領域的性質是個人信息保護的重要特性。因而，在跨境過程中不應對個人信息進行過度限制。非個人數(shù)據(jù)所包含的法益較為復雜，依據(jù)數(shù)據(jù)內容或造成損害的程度可分為國家安全、公共利益與商業(yè)秘密等。其中涉國家安全的數(shù)據(jù)具有較強的公域性，在數(shù)據(jù)跨境上應受到較為嚴格的限制。

最后，體現(xiàn)意愿不同。個人信息保護的基礎是“知情—同意”原則。對個人進行告知，賦予個人選擇權，是對個人人格的尊重。(42)Denise Reaume, Dignity, Choice, and Circumstances, in Christopher McCrudden ed., Understanding Human Dignity, Oxford University Press, 2013, p.33.不論是“個人信息自決權”還是“個人信息受保護權”，都不能否認個人意愿在個人信息處理中的重要影響。《個人信息保護法草案(一審稿)》就個人信息跨境提出了“個人單獨同意”的要求，正是承認這種個人選擇的表現(xiàn)。

2.個人信息跨境規(guī)則的獨立

從歷史發(fā)展看，隨著技術進步和認識程度的提升，個人信息跨境也逐漸從一般數(shù)據(jù)跨境中獨立出來，發(fā)展為一種特殊的數(shù)據(jù)跨境機制。

首先，數(shù)據(jù)的單一保護。數(shù)據(jù)跨境流動概念提出之時，并無個人數(shù)據(jù)之外的其他數(shù)據(jù)。“數(shù)據(jù)跨境流動，即個人數(shù)據(jù)的跨國界移動”，此處的數(shù)據(jù)即“關于可識別個人的任何信息”。(43)OECD, Guidelines governing the protection of privacy and transborder flows of personal data (1980), Article 1 (b).這一階段，跨境數(shù)據(jù)流動的主要議題是個人隱私保護。相關研究也集中在如何處理跨境數(shù)據(jù)流動國際規(guī)則與個人信息保護國內立法之間的沖突。(44)See C.T.Beling, Transborder Data Flows: International Privacy Protection and the Free Flow of Information, 6 Boston College International and Comparative Law Review 591 (1983); Colin J.Bennett & Charles D.Raab, The Governance of Privacy: Policy Instruments in a Global Perspective, MIT Press, 2006, p.127.

其次，個人數(shù)據(jù)與非個人數(shù)據(jù)混同保護。隨著數(shù)字化程度的提升，“數(shù)據(jù)”不再局限于個人數(shù)據(jù)，逐漸擴展至與國家安全、經(jīng)濟發(fā)展和社會公共利益密切相關的多樣數(shù)據(jù)。各國對跨境數(shù)據(jù)的保護，除了延續(xù)以個人隱私為主的信息內容安全，還增加了包含國家安全、公共利益的信息內容與數(shù)據(jù)安全雙重保護。(45)參見梅夏英：《信息和數(shù)據(jù)概念區(qū)分的法律意義》，載《比較法研究》2020年第5期，第158頁。具體表現(xiàn)為國際貿易規(guī)則體系中的“國家安全例外”(National Security Exceptions)在數(shù)據(jù)跨境問題中的頻繁使用。(46)參見石靜霞：《數(shù)字經(jīng)濟背景下的WTO電子商務諸邊談判：最新發(fā)展及焦點問題》，載《東方法學》2020年第2期，第177頁。相應的國內立法中，也開始強調數(shù)據(jù)對于國家安全的重要性。

最后，個人數(shù)據(jù)與非個人數(shù)據(jù)區(qū)別保護?；趯Σ煌瑪?shù)據(jù)所蘊含價值和主權屬性認識的加深，各國開始引入數(shù)據(jù)分類保護制度。如歐盟GDPR將規(guī)制對象限定在個人信息，即“任何已識別或可識別的自然人(數(shù)據(jù)主體)相關的信息”。對于“個人數(shù)據(jù)以外”的數(shù)據(jù)跨境流動，則制定了《非個人數(shù)據(jù)流動條例》(47)參見歐盟《非個人數(shù)據(jù)自由流動條例》第3條第1款。予以規(guī)制。

3.《個人信息保護法草案(二審稿)》中的數(shù)據(jù)分類跨境

隨著對個人信息與非個人信息的主權屬性認識的深化，我國個人信息跨境機制也經(jīng)歷了混合規(guī)制到區(qū)分監(jiān)管的過程?！毒W(wǎng)絡安全法》的數(shù)據(jù)跨境條款將數(shù)據(jù)來源限定在關鍵信息基礎設施，并沒有區(qū)分個人信息與重要數(shù)據(jù)，雖然采用的是混同保護的思路，但還是偏重保護涉及國家安全的數(shù)據(jù)。

2017年4月11日，國家網(wǎng)信辦發(fā)布了《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》，延續(xù)了將個人信息與重要數(shù)據(jù)混同監(jiān)管的思路，但該辦法最終并未出臺。2019年6月13日，國家網(wǎng)信辦發(fā)布了《個人信息出境安全評估辦法(征求意見稿)》，將個人信息單列制定出境評估細則，預示我國數(shù)據(jù)出境監(jiān)管方式的變化。2020年公布的《個人信息保護法草案(二審稿)》與《數(shù)據(jù)安全法草案(二審稿)》展示了我國未來數(shù)據(jù)安全法律框架，在數(shù)據(jù)跨境機制較之《網(wǎng)絡安全法》有兩個變化：

第一，將出境評估/數(shù)據(jù)本地化范圍擴展到所有個人信息，而不僅是《網(wǎng)絡安全法》中“關鍵信息基礎設施”產(chǎn)生的個人信息。第二，在數(shù)據(jù)出境監(jiān)管上，將“關鍵信息基礎設施”產(chǎn)生的個人信息與重要數(shù)據(jù)區(qū)別管理?！秱€人信息保護法草案(二審稿)》規(guī)定“關鍵信息基礎設施運營者”個人信息境內存儲，“確需”出境的，應當進行安全評估(第40條)。此外，在個人信息出境前，應征得個人的“單獨同意”(第39條)。《數(shù)據(jù)安全法草案(二審稿)》雖然沒有出現(xiàn)“關鍵信息基礎設施”表述，但就數(shù)據(jù)出境設定了更為嚴苛的出境措施，“對與履行國際義務和維護國家安全相關的屬于管制物項的數(shù)據(jù)依法實施出口管制”(第23條)。

個人數(shù)據(jù)與非個人數(shù)據(jù)的差異決定了二者的主權屬性不同。相對于重要數(shù)據(jù)(非個人數(shù)據(jù))，個人數(shù)據(jù)具有更多的私域特性，較少的主權限制。《個人信息保護法草案(二審稿)》表明我國立法者已經(jīng)注意到了“個人信息與重要數(shù)據(jù)”主權屬性的區(qū)別，繼而在相應的跨境問題上采取不同的規(guī)制方式。

圖2 個人信息與重要數(shù)據(jù)出境流程

(二)主權國家對個人信息跨境的規(guī)制

人類已經(jīng)進入大數(shù)據(jù)時代，隨之而來的是個人信息處理方式的顛覆性改變。個人信息雖然在主體、法益和意愿表達上具有私域弱主權特性，但是特殊個人信息及其組合仍然可能涉及公共領域和主權性權利，如新冠背景下引發(fā)了對個人生物數(shù)據(jù)出境的擔憂。此外，在全球化背景下，國家主權越來越重視對公民個人利益的保護。(48)Helen Stacy, Relational Sovereignty, 55 Stanford Law Review 2029, 2044-2045 (2003).相應的，對個人數(shù)據(jù)(信息)的保護也是數(shù)據(jù)主權的重要體現(xiàn)。(49)國家數(shù)據(jù)主權是個人數(shù)據(jù)主權得以實現(xiàn)的前提，國家數(shù)據(jù)主權依賴于個人數(shù)據(jù)主權的支撐和表達。Joel P.Trachtman, Cyberspace, Sovereignty, Jurisdiction, and Modernism, 5 Indiana Journals of Global Legal Studies 561, 566 (1998).因此，在個人信息跨境機制建構中，有必要就個人信息內部進行再次分類。

1.靜態(tài)安全：個人信息的主權屬性分類

實踐中，個人與信息處理者之間處于一種持續(xù)的不對稱關系。信息技術的發(fā)展使得數(shù)據(jù)處理成為高度專業(yè)性的活動，數(shù)據(jù)企業(yè)普遍運用自動化決策、算法分析工具進行信息處理，這對數(shù)據(jù)產(chǎn)業(yè)之外的個人用戶和監(jiān)管者形成了技術門檻。因此，采用行為后果標準對信息處理活動進行監(jiān)管可行性較高，也同樣適用于跨境個人信息主權屬性的判斷。主權國家對個人信息的法律規(guī)制，不僅體現(xiàn)在私法層面確立了民事權利，還包括公法上的管轄權。如果個人信息面臨的風險限于私域范圍內，并可以使用私法救濟的，主權屬性弱；反之，風險可能波及公共領域，且需要國家主動保護的，則主權屬性強。

一方面，可能導致國家利益重大風險的個人信息具有較強的主權屬性。這類“重要個人信息”涉及國家安全和公共利益，主要有兩部分組成：一是“關鍵信息基礎設施”產(chǎn)生的個人信息。這類個人信息由于來源敏感，涉及國家安全最為基本的領域，因此需要重點保護。二是達到一定數(shù)量的個人信息。大數(shù)據(jù)的特點是對海量數(shù)據(jù)的分析并借此得出傳統(tǒng)信息分析無法得知的結果。一國海量的個人信息，必然會反映該國的政治、經(jīng)濟、社會情況，存在泄露國家秘密的風險。因此，需要對其重點監(jiān)管。

另一方面，可能造成個人權益重大損失的個人信息也具有較強的主權屬性。在此個人信息侵權行為間接侵犯了國家所保護的個人信息流動秩序，國家不僅應當提供私法上的救濟，也應當主動提供公法保護。對個人影響重大的“敏感信息”即在此列。《個人信息保護法草案(二審稿)》規(guī)定：“敏感個人信息是一旦泄露或者非法使用，可能導致個人受到歧視或者人身、財產(chǎn)安全受到嚴重危害的個人信息，包括種族、民族、宗教信仰、個人生物特征、醫(yī)療健康、金融賬戶、個人行蹤等信息?！?第29條)GDPR規(guī)定：“對于那些顯示種族或民族背景、政治觀念、宗教或哲學信仰或工會成員的個人數(shù)據(jù)、基因數(shù)據(jù)、為了特別識別自然人的生物性識別數(shù)據(jù)，以及和自然人健康、個人性生活或性取向相關的數(shù)據(jù)，應當禁止處理?！边@些個人信息對個人而言較為“敏感”，需要提供更高標準的保護。(50)《個人信息保護法草案(一審稿)》規(guī)定了個人信息處理者只有在具有特定的目的和充分的必要性的情形下，方可處理敏感個人信息，而且進一步規(guī)定，在基于同意處理敏感個人信息時，應當取得個人的單獨同意，同時還應向個人告知處理的必要性以及對個人的影響。

表2 個人信息類型化區(qū)分

2.動態(tài)安全：個人信息主權屬性轉換度衡量

當前各國面臨的國家安全問題日益復雜化、多元化。正如習近平總書記指出：“維護網(wǎng)絡安全，首先要知道風險在哪里，是什么樣的風險。”(51)習近平：《在網(wǎng)絡安全和信息化工作座談會上的講話》，2016年4月19日。在風險社會，傳統(tǒng)中局限于私領域的私人決定，如今可能演化為公共事件，具有很強的公共性。(52)李忠夏：《風險社會治理中的憲法功能轉型》，載《國家檢察官學院學報》2020年第6期，第5頁。這要求在個人信息跨境問題上不能固守靜態(tài)的標準，還要以動態(tài)的安全觀去衡量。

個人信息雖然屬于私人領域，主權屬性較弱，但以動態(tài)的安全觀衡量，仍然可能對國家安全構成重大影響。由于信息的關聯(lián)性、數(shù)據(jù)的海量性、處理結果的不確定性等因素，某些特殊的個人信息或個人信息的集合在一定條件下可以轉化為具有強主權屬性的公共信息。

第一，來源于關鍵信息基礎設施的重要個人信息。關鍵信息基礎設施不同于一般的網(wǎng)絡設施，它是國家安全與社會穩(wěn)定的命脈，具有絕對的主權屬性。關鍵信息基礎設施一旦遭到破壞、喪失功能或數(shù)據(jù)泄漏，可能嚴重危害國家安全、國計民生和公共利益。(53)參見《網(wǎng)絡安全法》第31條。因此，來源于關鍵信息基礎設施的重要個人信息安全也從屬于國家安全，具有較高的主權屬性轉化度。

第二，涉及特殊群體的重要個人信息。此處的特殊群體是指因為身份、年齡或心理等方面的原因，無法獨立表達個人信息處理意愿、行使個人權利，以及其他需要法律予以特別保護的群體。兒童是比較典型的特殊群體，兒童在使用網(wǎng)絡時對于自身權利、個人信息處理的風險和后果沒有形成全面正確的認識，因而各國對兒童個人信息保護予以特別規(guī)定。美國1998年制定了《兒童在線隱私保護法》(Children Online Privacy Protection Act，COPPA)，并于2013年進行修訂。(54)2019年初，美國聯(lián)邦貿易委員會(FTC)因TikTok涉嫌非法收集13歲以下兒童信息而處罰570萬美元。https://www.ftc.gov/reports/annual-highlights-2019/enforcement，2021年4月18日訪問。我國2019年出臺的《兒童個人信息網(wǎng)絡保護規(guī)定》也為兒童數(shù)據(jù)處理者設定了更為嚴格的個人信息保護責任。如前文所述，個人信息保護面臨的不僅是信息泄漏帶來的直接損失，還包括信息用于算法決策等帶來的間接傷害。(55)2020年10月修訂的《未成年人保護法》增加“網(wǎng)絡保護”專章，其中第72條規(guī)定：“信息處理者通過網(wǎng)絡處理未成年人個人信息的，應當遵循合法、正當和必要的原則。處理不滿十四周歲未成年人個人信息的，應當征得未成年人的父母或者其他監(jiān)護人同意，但法律、行政法規(guī)另有規(guī)定的除外。未成年人、父母或者其他監(jiān)護人要求信息處理者更正、刪除未成年人個人信息的，信息處理者應當及時采取措施予以更正、刪除，但法律、行政法規(guī)另有規(guī)定的除外?！?021年4月27日，國務院成立未成年人保護工作領導小組，其職責為保護未成年人的身心健康，保障未成年人個人信息權益在內的合法權益。在個人信息跨境中，兒童群體遭受他國算法分析、算法影響的風險同樣涉及國家安全。因此，特殊群體的個人信息也具有較高的主權屬性轉化度，對此類個人信息跨境應當予以嚴格審查。(56)政治、經(jīng)濟、軍事、科技等領域的領軍人物，同樣應當納入特殊群體對其個人信息提供嚴格保護。近年來，美國經(jīng)常針對他國領導人、企業(yè)家、科學家等個人實施制裁，意圖實現(xiàn)本國的政治經(jīng)濟目的。如2020年12月8日，美國國務卿蓬佩奧發(fā)表聲明，無端指責中方依法制定和實施香港國安法，宣布美方將對中國全國人大常委會副委員長實施所謂制裁。

第三，敏感個人信息。敏感個人信息是針對個人敏感，私密的信息。一方面，此類信息與個人私生活聯(lián)系緊密，遭侵犯帶來的風險較為嚴重，需要國家提供更為嚴格的保護；另一方面，部分敏感信息內容與重要數(shù)據(jù)存在重合，具備一定的強主權屬性。如個人生物特征與醫(yī)療健康信息，不僅關系到個人生命健康，還涉及國家基因安全。為防止我國公民的遺傳資源出境后被濫用，我國出臺了《人類遺傳資源出境管理暫行辦法》(1998)與《人類遺傳資源采集、收集、買賣、出口、出境審批行政許可事項服務指南》(2015)，就遺傳信息出境實施審核管理。因此，敏感信息雖然主權屬性轉化度不及重要個人信息，但是基于國家保護的強度，仍建議采取嚴格出境審查模式。

第四，一般個人信息。此類個人信息只涉及私人權益，主權屬性不強。如果數(shù)量有限，對國家安全、公共利益帶來的風險較小。在出境環(huán)節(jié)，可以在尊重個人意愿的基礎上，實施弱審核機制，主要標準是接受國具備一定的個人信息保護水平。倘若數(shù)量達到一定規(guī)模，考慮到分析結果對一國產(chǎn)生的影響，也應當采取嚴格出境審查模式。

綜上可知，不同個人信息類型在主體、法益、內容、意愿表達上存在區(qū)別，造成了主權屬性和主權屬性轉化程度的差異。這為主權原則的彈性適用提供了可能。

四、個人信息跨境國際規(guī)則的形塑路徑

在當下的國際實踐中，各國均已認可主權概念在網(wǎng)絡物理層的直接適用，肯定主權國家對境內網(wǎng)絡基礎設施享有管轄權。(57)Michael N.Schmitt ed., Tallinn Manual 2.0 on The International Law Applicable To Cyber Operations, Cambridge University Press, 2017, p.69.但在邏輯層和內容層，分歧不僅體現(xiàn)在不同主權理論爭鋒相對，也反映在各國對國際規(guī)則的影響方式上。個人信息從屬于內容層。這里既保有威斯特伐利亞色彩的信息內容管控，同時也受到賽博技術“去領土化”架構的深刻影響。本節(jié)就歐盟與美國如何“包裝”國內法，運用本國理念塑造個人信息跨境國際規(guī)則進行討論。

(一)歐盟：人權至上的保護模式

1.管轄基礎：人權保護

人權至上是歐盟個人信息保護立法的出發(fā)點，也是域外管轄的基礎。如歐盟委員會前副主席芮丁女士(Viviane Rading)所言：“個人數(shù)據(jù)保護對歐洲人而言是一項基本權利”，歐洲一直將“隱私視為一種建立在基本人權之上的政治要求?！?58)Q & A with Viviane Reding, N.Y.Times, 2 February, 2013, https://www.nytimes.com/2013/02/03/business/q-and-a-with-viviane-reding.html，2021年3月9日訪問。歐洲的人權保護源自對“人格尊嚴(human dignity)”傳統(tǒng)重視。“第二次世界大戰(zhàn)”后，人格尊嚴被作為“最高憲法價值”寫入《德國基本法》。正如學者指出，人格尊嚴提升為“元法律性”維度，其實質內容并非來自理論上的推演或形而上的哲學基礎，而是源于全社會的倫理共識，即對慘痛歷史的共同反省。(59)參見張翔主編：《德國憲法案例選釋第1輯：基本權利總論》，法律出版社2012年版，第250頁。司法實踐進一步說明了人格尊嚴的指向：“自由的人格與尊嚴乃是合憲秩序中最高的法價值”，“人在自由中可以進行自我規(guī)定以及自我發(fā)揮?！?60)Vgl.BVerfGE 6, 32 (41); 30,173 (193); 32 98 (108).德國學者Dürig教授提出了“客體公式”標準，認為如果“具體的個人被貶損至客體、成為純粹的工具，降低為可替換的維度”，(61)Günter Dürig, Der Grundrechtssatz von der Menschenwürde: Entwurf eines praktikablen Wertsystems der Grundrechte aus Art.1 Abs. I in Verbindung mit Art.19 Abs.II des Grundgesetzes, Archiv des ?ffentlichen Rechts Vol.81 (N.F.42), No.2 (1956), S.117-157. 轉引自同前注〔59〕，張翔主編書，第259頁。則人性尊嚴受到了侵犯。該標準也為憲法法院所采納。(62)BVerfGE 9, 89 (95); 27, 1 (6).1950年《歐洲人權公約》將“人格尊嚴”予以吸納，并進一步指明“私人和家庭生活、家庭和通信得到尊重”(第8條第1款)。這成為日后歐盟立法的基本原則。(63)GDPR序言：“自然人在個人數(shù)據(jù)處理方面獲得保護是一項基本權利?！稓W盟基本權利憲章》第8條第1款和《歐盟運行條約》第16條第1款規(guī)定每個人都有享有就其個人數(shù)據(jù)獲得保護的權利。”數(shù)字時代，隨著大規(guī)模信息采集與電子化技術的普及，個人數(shù)據(jù)的外延在不斷擴大。承載于數(shù)據(jù)中的個人隱私等也面臨越來越大的威脅。因此，歐盟系列立法中不斷強調個人數(shù)據(jù)保護的基本人權面向。(64)GDPR第1條第2款規(guī)定：“本條例保護自然人的基本權利與自由，尤其是自然人的個人數(shù)據(jù)保護權?！盙DPR的個人數(shù)據(jù)跨境制度也要求第三國接受基本人權理念，并以長臂管轄為制裁手段。

2.實施路徑：法律—市場—國際規(guī)則

歐盟以基本人權的立場進行個人信息保護不僅是歐盟傳統(tǒng)價值觀的要求，同時也蘊含著歐盟整體數(shù)字戰(zhàn)略的考量。根據(jù)“互聯(lián)網(wǎng)女王”瑪麗·米克爾(Mary Meeker)《2019互聯(lián)網(wǎng)發(fā)展報告》，全球互聯(lián)網(wǎng)領軍地位由中美占據(jù)，最大的20家互聯(lián)網(wǎng)公司11個來自美國，9家來自中國。(65)Mary Meeker, Internet Trends 2019, https://www.bondcap.com/report/itr19/，2021年4月20日訪問。歐盟在數(shù)據(jù)經(jīng)濟中的份額與歐盟的經(jīng)濟比重嚴重不匹配，已經(jīng)淪為“個人信息輸出國”。為了扭轉不利地位，歐盟采取以人權保護為原則、法律擴張適用、推動市場選擇的方式來影響個人信息跨境國際規(guī)則。

首先，依靠嚴苛的立法落實“人格尊嚴”，提升域外管轄的正當性，實現(xiàn)歐洲規(guī)則的“世界管轄”。雖然歐盟為個人信息保護設立了高標準，但由于現(xiàn)有國際社會合作呈現(xiàn)出“規(guī)則碎片化”“理念差異化”等特點，各國在個人信息的權利性質和保護標準上很難達成共識。(66)參見伍藝：《大數(shù)據(jù)時代執(zhí)法合作中個人數(shù)據(jù)跨境保護問題研究》，載《重慶郵電大學學報(社會科學版)》2018年第3期，第52-59頁。直接在境外適用本國法律不僅成本最低、效果最好，還可以培養(yǎng)外國公司對歐盟法律的熟悉程度和理念的認可程度。

其次，建立統(tǒng)一數(shù)據(jù)要素市場，吸引外國企業(yè)，增強歐洲在個人信息治理中的話語權重。2020年的《歐洲數(shù)據(jù)戰(zhàn)略》詳細闡釋了歐盟的數(shù)據(jù)治理思路，該文件提出“創(chuàng)建一個單獨的歐盟數(shù)據(jù)空間，一個真正獨立的、為世界各地數(shù)據(jù)開放市場。在這里，個人與非個人的數(shù)據(jù)都是安全的?！睔W盟正是通過占據(jù)人權保護的道義制高點，以強化個人信息保護為由，打壓以谷歌為首的美國互聯(lián)網(wǎng)企業(yè)，以此振興歐洲互聯(lián)網(wǎng)產(chǎn)業(yè)。(67)《歐洲數(shù)據(jù)戰(zhàn)略》提出：“市場力量的不平衡：……在大型在線平臺，少數(shù)參與者可能會累積大量的數(shù)據(jù)，從中提取有價值的信息，進而為自己積累競爭優(yōu)勢。反過來，這可能會影響特定情況下的市場競爭力……‘數(shù)據(jù)優(yōu)勢’帶來的強大的市場支配力可以使大型企業(yè)在相關平臺上進行規(guī)則制定，單方面地為數(shù)據(jù)訪問和使用設定條件?！?/p>

最后，向其他國家推廣歐盟標準和價值觀，完成國內法向國際法的轉化。GDPR為個人數(shù)據(jù)跨境設定的第一道門檻即“充分性認定白名單”制度。進入“白名單”的國家或地區(qū)可以不受GDPR中數(shù)據(jù)傳輸協(xié)議、BCR認證等嚴格條件的限制，比較自由地接受源自歐盟的個人數(shù)據(jù)，相當于獲取了個人數(shù)據(jù)跨境的“特殊通行證”。通過“白名單”，歐盟促使他國接受其價值、統(tǒng)一標準，間接影響了他國的的個人信息立法。(68)巴西與肯尼亞已經(jīng)基于GDPR完成本國個人信息保護立法。

(二)美國：技術優(yōu)先的擴張模式

1.管轄基礎：技術國境

美國是互聯(lián)網(wǎng)的發(fā)明國，也是全球信息技術最為發(fā)達的國家?；ヂ?lián)網(wǎng)加速全球化進程的同時也成為美國塑造國際規(guī)則的工具。因此，美國在個人信息跨境問題上一直將技術和產(chǎn)業(yè)發(fā)展作為優(yōu)先考慮的因素。尤其是在網(wǎng)絡空間成為繼陸地、海洋、天空和太空之外的第五疆域(the fifth domain)之后，技術也成為美國開拓邊疆的重要手段。而擁有技術的商業(yè)平臺則是美國行使全球管轄的依托。美國網(wǎng)絡主權的目標在于越過傳統(tǒng)的物理邊界，直達技術邊疆的極限。凡是美國企業(yè)到達的地方，皆受美國管轄。

美國的網(wǎng)絡主權實施策略體現(xiàn)在：以數(shù)據(jù)自由流動為由破除他國的貿易壁壘，幫助美國企業(yè)進入他國網(wǎng)絡市場，進而以技術優(yōu)勢掌握大量個人信息；隨后對控制個人信息的商業(yè)機構行使管轄?！袄忡R門”事件即美國利用本國網(wǎng)絡公司監(jiān)控全球通信的例子。技術的加持促使美國越來越多地使用“長臂管轄”。云法實施后，美國執(zhí)法部門可以直接越過數(shù)據(jù)存儲地的國家，向掌握數(shù)據(jù)的美國企業(yè)(數(shù)據(jù)控制者)索取數(shù)據(jù)。正如一位美國學者所言：技術使得“美國有機會建立一個未來的體系，宣傳美國的價值觀，保護美國企業(yè)，保護美國人的隱私，促進開放和安全的互聯(lián)網(wǎng)的發(fā)展?！?69)Statement of Jennifer Daskal, Hearing on International Conflicts of Law Concerning Cross Border Data Flow and Law Enforcement Requests, February 25, 2016, https://www.justsecurity.org/wp-content/uploads/2016/02/WrittenStatement-Daskal-HouseJudiciary-022516.pdf，2021年4月23日訪問。

2.實施路徑：法律—協(xié)議—國際規(guī)則

在個人信息跨境領域，美國認為對于個人信息施加過于嚴苛的保護不利于商業(yè)利用的開展，個人信息涉及的是消費者的權利。(70)Tim Wu, Network Neutrality, Broadband Discrimination, 2 Journal of Telecommunications & High Technology Law 141 (2003).因此，美國主張個人信息自由流動，并通過國內立法和國際協(xié)議的方式達成其目的。

首先，國內法轉化。“美國善于憑借其各方面的優(yōu)勢以其國內立法來影響其他國家的立法，并最終將美國國內法轉換為全球性規(guī)則。”(71)車丕照：《是“逆全球化”還是在重塑全球規(guī)則？》，載《政法論叢》2019年第1期，第17頁?！暗诙问澜绱髴?zhàn)”以來，美國法院在實踐中發(fā)展出效果標準(effects test)和最低聯(lián)系標準(minimum contacts)，以繞開國際法，直接將國會立法適用于境外。在針對個人信息的跨境執(zhí)法中，只有符合云法要求“適格國家”才可以高效調取美國公司控制的數(shù)據(jù)。目前，英國已經(jīng)與美國達成了協(xié)議，歐盟、澳大利亞也正在談判中。

其次，雙邊/多邊協(xié)議。美國經(jīng)常借助貿易談判推廣本國的價值理念。數(shù)據(jù)自由長期以來是是美國貿易談判的重要原則。1983年里根政府發(fā)表聲明：“美國政府將在OECD內部推廣‘數(shù)據(jù)承諾’，確保發(fā)達國家不會對數(shù)據(jù)流動設置新的壁壘，并鼓勵所有國家對數(shù)據(jù)跨境采取更為開放和自由的政策?！?72)Ronald Regan, Statement on International Investment Policy, 9 September 1983, https://www.presidency.ucsb.edu/documents/statement-international-investment-policy，2021年4月8日訪問。在亞太經(jīng)合組織隱私框架(APEC Privacy Framework)中，美國主張以促進數(shù)據(jù)跨境自由流動為目標，規(guī)范電子商務領域的個人信息跨境活動。2012年達成的《美韓自由貿易協(xié)定》(U.S.-South Korea Free Trade Agreement)明確要求成員方努力避免對跨境電子信息施加不必要的阻礙。(73)U.S.- Korea Free Trade Agreement, https://ustr.gov/trade-agreements/free-trade-agreements/korus-fta，2021年4月12日訪問。

綜上，歐盟與美國以人權與技術為基礎，“長臂管轄”與國際協(xié)議為法律工具，在個人信息跨境上組建“朋友圈”，逐步將其主權觀念與法律規(guī)范推向國際治理的前端。

五、主權原則彈性適用下我國個人信息跨境制度建構

各國在主權觀念與主權原則適用上的分歧是個人信息跨境國際規(guī)則難以建立的癥結。我國一貫主張威斯特伐利亞主權觀，將領土作為管轄權行使的基礎。但是，個人信息跨境涉及法律主體眾多，法律關系復雜，不宜以一種標尺衡量所有行為。為此，在個人信息跨境機制的建構中，或許可以采用彈性適用主權原則的方式：一方面堅持威斯特伐利亞主權觀念，將主權不可侵犯作為適用的基礎；另一方面，基于跨境個人信息的多樣性和信息主權屬性的差異，制定不同的規(guī)則，調適個人信息保護與數(shù)據(jù)跨境流動的沖突。(74)有學者在分析了主權原則在網(wǎng)絡空間的適用的各種模式后，提出我國應當選擇絕對路徑下的直接適用。參見王超：《主權原則在網(wǎng)絡空間適用的理論沖突及應對》，載《法學》2021年第3期，第101-115頁。本文認為在個人信息跨境機制建構中，應堅持將主權原則直接適用于數(shù)據(jù)領域，同時兼顧個人信息的特殊性。所謂“主權原則彈性適用”，是指在尊重認可威斯特伐利亞主權秩序的基礎上，為了促進數(shù)據(jù)利用、避免管轄權沖突，各國通過協(xié)商方式對特殊類型的個人信息讓渡部分管轄權，放寬跨境管制。這種基于合意的讓渡僅僅是實踐中的管轄權行使方式，并不會削弱主權原則。國家保有隨時收回讓渡，恢復嚴格跨境管制的權力。

(一)管轄權的實施：個人信息跨境規(guī)則的類型化

《個人信息保護法草案(二審稿)》規(guī)定了主權國家對個人信息跨境活動的管理方式，即“個人信息本地存儲”與“出境審查”。據(jù)此，標準的個人信息出境流程應包括：①個人單獨同意；②滿足法定出境條件，包括安全評估、專業(yè)認證、標準合同等方式(第38條)。個人信息與重要數(shù)據(jù)不同，主權屬性較弱，私域特性也更為明顯。因此，個人同意不僅是跨境傳輸?shù)氖滓獥l件，也是一切個人信息處理活動的必備要件。《個人信息保護法草案(二審稿)》對此強調“單獨同意”(第39條)。該項制度適用于重要的個人信息處理事項，用于此處也暗示了個人信息境外保護難度要高于境內，個人應謹慎抉擇。

《個人信息保護法草案(二審稿)》對關鍵信息基礎設施產(chǎn)生的個人信息與重要數(shù)據(jù)作了區(qū)分，并依據(jù)主權屬性的強弱設立了不同的出境條件。這是應當肯定的，但是草案并沒有就個人信息作進一步細分。通過上文分析，個人信息可以劃分為一般個人信息和敏感/重要個人信息。前者的主權屬性轉化度不高，私域性較強，可采取“個人同意+弱出境審查”(專業(yè)認證或標準合同)。而后者的主權屬性轉化度較高，可以演變?yōu)閺娭鳈鄬傩孕畔?，應采取“個人同意+強出境審查”(安全評估)。

綜上，主權屬性強、或者主權屬性轉化度高的個人信息與國家安全和公共利益關切程度高，應強調主權原則適用的絕對性，實施較嚴的跨境管轄。對于屬于私域范圍內的個人信息，在主權原則適用上可以較為彈性，采取跨境規(guī)則也更偏向促進數(shù)據(jù)流動，釋放數(shù)據(jù)價值。

(二)主權規(guī)則的“攻”與“防”：禮讓分析下的“長臂管轄”

當前，數(shù)據(jù)在網(wǎng)絡空間的流動已經(jīng)超越了物理過境，由此引發(fā)了管轄與領土的分離。如何對本國公民個人信息提供保護的同時，阻卻他國政府管轄的肆意擴張，成為困擾各國制度建構的難題。有學者提出在全球網(wǎng)絡治理中引入攻守平衡理論，結合法律設計與國際合作維護網(wǎng)絡空間安全。在個人信息跨境問題上，該思路同樣值得借鑒。(75)參見左亦魯：《國家安全視域下的網(wǎng)絡安全》，載《華東政法大學學報》2018年第1期，第148-157頁。

首先，實施保護性“長臂管轄”。保護性是一種防御性的“長臂管轄”，目的在于對出境后個人信息實施權利救濟。《個人信息保護法草案(二審稿)》第2條提出“境外處理”個人信息的情形“也適用本法”。該規(guī)定與GDPR的相關規(guī)定相似度較高，被認為是中國版“長臂管轄”。在此不必拘泥于該條款意在“宣誓”還是“實施”。既然在立法中提出，備而不用也能產(chǎn)生效果。因此，一方面，應主張數(shù)據(jù)領域管轄權域外擴張的正當性。數(shù)據(jù)跨境傳輸弱化了地理屬性，如果不能行使域外管轄，很難保護本國公民的正當權益；另一方面，對該款的具體適用應保持克制。域外管轄突破了屬地秩序，必然會侵擾到他國主權。堅持謹慎自律的行為可以減少他國的敵意，建立國際互信，化解管轄沖突。在此，可以考慮借鑒國際沖突法中的禮讓分析(Comitas Gentium)”，(76)“禮讓分析”是指法院在具體案件審理中，對本國關聯(lián)程度、相關國家的主權利益等進行平衡，以決定管轄和法律適用。See Carol Bruch Myers, At the Intersection of Jurisdiction and Choice of Law, 59 California Law Review 1514 (1971).對各方利益進行平衡。

其次，阻斷單邊性“長臂管轄”。以云法代表的“長臂管轄”具有極強的攻擊性與單邊性，遭到了各國反對。然而，美國基于全球網(wǎng)絡產(chǎn)業(yè)的領軍地位，在執(zhí)法與司法實踐中仍然我行我素地調取他國存儲的個人信息。面對美國咄咄逼人的法律規(guī)則擴張。應采取以下方式應對：一是“堵”。堅持威斯特伐利亞主權觀及屬地秩序，立法阻止單邊“長臂管轄”?！秱€人信息保護法草案(二審稿)》延續(xù)了《國際刑事司法協(xié)助法》的規(guī)定，禁止未經(jīng)許可向他國政府提供個人信息，并且補充了“黑名單”制度作為反制措施。(77)《個人信息保護法草案(二審稿)》第42條規(guī)定：“境外的組織、個人從事?lián)p害中華人民共和國公民的個人信息權益,或者危害中華人民共和國國家安全、公共利益的個人信息處理活動的，國家網(wǎng)信部門可以將其列入限制或者禁止個人信息提供清單，予以公告，并采取限制或者禁止向其提供個人信息等措施?！倍恰笆琛?。改革傳統(tǒng)多邊司法協(xié)助模式(MLAT)，加大資源投入，提升效率，使其適應數(shù)字時代的發(fā)展。在此可以考慮通過雙邊/多邊協(xié)議建立“數(shù)據(jù)自由調取區(qū)”或“數(shù)據(jù)調取特別程序”，基于國際互信進行管轄協(xié)調。

(三)主權觀念的影響：形塑國際規(guī)則能力的提升

全球網(wǎng)絡互聯(lián)互通的特性，決定了個人信息的跨境流動離不開國際合作。當前國際層面?zhèn)€人信息跨境規(guī)則尚未形成，且日漸呈現(xiàn)出“碎片化”的特點。美國和歐盟反對主權原則直接適用于數(shù)據(jù)領域。一方面利用人權保護和技術優(yōu)勢，將網(wǎng)絡國境延伸至他國的物理國境內；另一方面運用統(tǒng)一市場和完備法律，打造個人信息流動“朋友圈”，試圖建立新的國際秩序。

我國雖然在主權觀念與主權原則的適用方式上與美歐持不同觀點，但同樣應當進行前瞻性思考，積極爭當國際規(guī)則的制定者，而不是跟隨者遵從者。(78)參見許多奇：《個人數(shù)據(jù)跨境流動規(guī)制的國際格局及中國應對》，載《法學論壇》2018年第3期，第130-137頁。當下我國的國際規(guī)則影響能力與在全球經(jīng)濟中所處的地位還很不相稱。美歐利用國內立法和條約協(xié)議影響國際規(guī)則的方法值得借鑒。

在具體實施路徑上，我國可以采取“市場—法律—國際規(guī)則”的路徑來實現(xiàn)對個人信息跨境國際規(guī)則的影響。

首先，利用市場優(yōu)勢擴大國內法律的影響力。我國擁有世界上最大的個人信息市場，對此應當充分利用以吸引高科技數(shù)據(jù)企業(yè)，并使其遵循我國規(guī)則。

其次，建立清晰、完備的個人信息法律制度，推動開放的治理方案。一方面，相關制度的設計應當減小數(shù)據(jù)企業(yè)的法律適用成本；另一方面，積極分享個人信息跨境成功經(jīng)驗。高科技企業(yè)直接接觸各國法律，必然會對各國的法律制度加以比較，并將優(yōu)秀的規(guī)則帶到其他國家。在此背景下，我國的個人信息跨境立法應當堅持更加靈活開放的態(tài)度。

最后，加強國際合作，達成多邊協(xié)作共識，避免管轄權沖突。目前，我國尚未與貿易伙伴建立起數(shù)據(jù)跨境流動的互信機制，也缺少在國際規(guī)則體系構建中的話語權。這將嚴重阻礙我國數(shù)字經(jīng)濟的發(fā)展，也會影響我國企業(yè)跨境業(yè)務的開展。為此，可以考慮打造境內“個人信息自貿區(qū)”和區(qū)域“個人信息流動區(qū)”，構建個人信息跨境“朋友圈”。聯(lián)合主權觀念相近的國家，擴大主權原則直接適用主張的影響，以個人信息跨境區(qū)域規(guī)則為跳板，最終形成符合我國數(shù)據(jù)主權理念的個人信息跨境全球規(guī)則。