摘要：我國確立個人信息跨境傳輸制度的背景是數(shù)字跨境貿(mào)易繁榮背景下保護個人信息的需要。建立和完善個人信息跨境傳輸制度的現(xiàn)實意義在于其回應(yīng)了互聯(lián)網(wǎng)大數(shù)據(jù)時代下保護個人信息權(quán)益的重要性;可以更好地應(yīng)對全球個人數(shù)據(jù)跨境傳輸制度下數(shù)據(jù)管轄范圍的擴大性：體現(xiàn)我國參與和倡導(dǎo)國際數(shù)據(jù)領(lǐng)域新規(guī)則制定的積極性。目前我國個人信息跨境傳輸制度還存在諸多不足，可嘗試：（一）對信息跨境傳輸采取開放性政策;（二）對境外個人信息跨境傳輸至境內(nèi)的情形作出規(guī)定;（三）分級、分類保護個人信息的跨境傳輸;（四）明確個人在信息跨境傳輸中享有的權(quán)益;（五）細(xì)化個人信息跨境保護制度的相關(guān)規(guī)則，加強可操作性。

關(guān)鍵詞：個人信息跨境傳輸;保護制度;現(xiàn)實意義：完善路徑

中圖分類號：D997文獻標(biāo)識碼：A文章編號：2095-6916（2022）08-0073-04

個人信息在互聯(lián)網(wǎng)時代的大規(guī)模、高頻率流動，使個人感受到了信息傳輸便捷的幸福感，但也產(chǎn)生了信息被泄露與不當(dāng)使用的危機感。國際社會也意識到個人信息在傳輸過程中存在眾多隱患，紛紛出臺相關(guān)法律對個人信息予以保護。尤其是隨著金融貿(mào)易的全球化，個人信息的流動不僅局限于本國境內(nèi)，還涉及數(shù)據(jù)的跨境傳輸，更需要國家制定相關(guān)制度對數(shù)據(jù)的跨境傳輸進行規(guī)制。目前，美國、歐盟、APEC組織等經(jīng)濟體已經(jīng)制定了一系列數(shù)據(jù)跨境傳輸規(guī)則，以擴大本國的數(shù)據(jù)管轄權(quán)。我國現(xiàn)作為世界第一大貿(mào)易國，個人信息的跨境流動較過去更為頻繁，因此我國也應(yīng)盡快完善個人信息跨境傳輸制度，在保護個人信息安全的前提下實現(xiàn)個人信息的自由流動，以促進國際貿(mào)易的發(fā)展。

一、我國確立個人信息跨境傳輸制度的背景

（一）是數(shù)字跨境貿(mào)易繁榮發(fā)展背景下保護個人信息的需要

隨著電子商務(wù)的發(fā)展，一系列跨境電商平臺發(fā)展如火如荼。用戶在網(wǎng)上進行自主跨境購物時，其個人信息數(shù)據(jù)將被傳送至境外平臺的服務(wù)器，其中包含用戶的姓名、電話號碼、住址以及被大數(shù)據(jù)統(tǒng)計的消費偏好等涉及個人隱私的信息。如此大量的用戶信息被存儲于境外，若無相應(yīng)制度予以規(guī)制，將存在嚴(yán)重的個人信息安全隱患，甚至威脅國家安全。除此之外，一些境外企業(yè)在中國開展業(yè)務(wù)或是國內(nèi)公司與境外企業(yè)開展合作，我國個人信息數(shù)據(jù)也不可避免地被收集、存儲于境外服務(wù)器[1]。個人數(shù)據(jù)的頻繁跨境流動，關(guān)乎個人、社會和國家利益，我國亟須建立統(tǒng)一的個人數(shù)據(jù)跨境傳輸制度，以保護個人信息安全。

（二）國外關(guān)于個人信息跨境傳輸?shù)谋Ｗo制度為我國提供了經(jīng)驗

相較于我國個人數(shù)據(jù)跨境傳輸制度的不完善，歐美國家已經(jīng)有較完備的數(shù)據(jù)跨境傳輸保護制度，可供我國學(xué)習(xí)和借鑒，如美國與歐盟為進行個人信息跨境傳輸簽訂的《安全港協(xié)議》《隱私盾協(xié)議》。雖然2015年歐盟法院判決《安全港協(xié)議》無效，但其對美歐雙方統(tǒng)一數(shù)據(jù)跨境傳輸?shù)臉?biāo)準(zhǔn)起到了推動作用[2]，美歐雙方之后達成的《隱私盾協(xié)議》正是在該協(xié)議基礎(chǔ)上的進一步突破?！峨[私盾協(xié)議》中對信息主體的救濟方式、企業(yè)義務(wù)、安全機構(gòu)準(zhǔn)入、年度審查制度等方面的創(chuàng)新性規(guī)定，為美歐雙方信息跨境流動和個人信息保護找到了平衡點，也為我國與其他國家開展數(shù)據(jù)跨境傳輸合作提供了藍本。歐盟作為當(dāng)前國際上個人信息保護水平最高的區(qū)域性組織，其在《通用數(shù)據(jù)保護條例》中設(shè)立的三種不同等級的保護機制，實現(xiàn)了個人數(shù)據(jù)跨境傳輸?shù)母邩?biāo)準(zhǔn)保護。最高等級的保護首先是由歐盟認(rèn)定第三國或國際組織具備了充分的數(shù)據(jù)保護水平，歐盟成員國的個人數(shù)據(jù)才能進行數(shù)據(jù)跨境流動;其次是經(jīng)認(rèn)定基于可提供充分的數(shù)據(jù)保障措施而允許數(shù)據(jù)傳輸;最后是特定情形下的數(shù)據(jù)傳輸。歐盟的該種數(shù)據(jù)保護模式具有完整性、創(chuàng)新性以及可操作性。我國出臺的《個人信息保護法》中關(guān)于個人數(shù)據(jù)保護的管轄標(biāo)準(zhǔn)就借鑒了歐盟《通用數(shù)據(jù)保護條例》中域外管轄標(biāo)準(zhǔn)的“目標(biāo)指向標(biāo)準(zhǔn)”，即對于境外基于特定目的處理我國個人信息的行為，我國擁有管轄權(quán)。雖然我國關(guān)于個人數(shù)據(jù)跨境傳輸制度的部分法律條文與歐盟規(guī)定不同，但核心觀點一致，即均是為了保護數(shù)據(jù)跨境傳輸?shù)陌踩?，而擴大對侵犯個人數(shù)據(jù)權(quán)益的管轄權(quán)范圍。此外APEC經(jīng)濟體也建立《跨境隱私規(guī)則體系》，旨在實現(xiàn)參與該組織的各經(jīng)濟體之間的信息共享與跨境執(zhí)法協(xié)作[3]。當(dāng)前數(shù)據(jù)領(lǐng)域的強國都在積極建立并試圖主導(dǎo)國際數(shù)據(jù)傳輸規(guī)則，我國應(yīng)在借鑒域外國家或地區(qū)有益經(jīng)驗的基礎(chǔ)上，加快建立和完善我國個人數(shù)據(jù)跨境傳輸制度，以在國際上擁有更多話語權(quán)。

（三）是實現(xiàn)國內(nèi)個人信息保護以及與國際接軌的需要

公民的個人信息與人格尊嚴(yán)相關(guān)，從權(quán)利屬性來講，個人信息屬人格權(quán)，是人權(quán)的一部分。我國一直致力于人權(quán)保護工作，為保護公民的個人信息，我國各部門法均對個人信息保護作出相應(yīng)規(guī)定。但關(guān)于個人信息保護的法律法規(guī)大多是對境內(nèi)個人信息數(shù)據(jù)傳輸?shù)囊?guī)則予以規(guī)定，缺乏對個人信息數(shù)據(jù)的跨境流通的規(guī)制，存在個人信息僅能從境內(nèi)傳輸至境外，但境外個人信息很難傳回境內(nèi)的尷尬局面。最近實施的《個人信息保護法》中列專章對“個人信息跨境提供的規(guī)則”進行說明，回應(yīng)了國內(nèi)個人信息保護的訴求，實現(xiàn)與國際接軌。前文提到，美國、歐盟、APEC組織都建立了個人數(shù)據(jù)跨境傳輸保護制度，我國作為數(shù)據(jù)大國卻仍未建立統(tǒng)一的、專門個人信息跨境傳輸制度，影響我國在國際數(shù)據(jù)傳輸領(lǐng)域方面的話語權(quán)與地位，發(fā)達國家歷來注重主導(dǎo)國際秩序規(guī)則的建立，發(fā)展中國家基于利益的考量只能被迫接受[4]。但我國作為最大的發(fā)展中國家以及世界第二大經(jīng)濟體，應(yīng)盡快與國際接軌，建立個人信息跨境傳輸制度，為廣大發(fā)展中國家贏得國際領(lǐng)域話語權(quán)。

二、建立和完善個人信息跨境傳輸制度的現(xiàn)實意義

（一）回應(yīng)了互聯(lián)網(wǎng)大數(shù)據(jù)時代下保護個人信息權(quán)益的重要性

隨著我國網(wǎng)民規(guī)模的擴大，互聯(lián)網(wǎng)存儲了海量個人信息，給不法分子利用個人信息進行網(wǎng)絡(luò)詐騙尤其是跨境電信詐騙提供了機會。由于跨境電信詐騙中犯罪分子以及其犯罪設(shè)施均在境外，使得打擊該種犯罪行為十分困難，嚴(yán)重侵害了我國公民的個人信息權(quán)益。此外，我國公民在進行跨境購物時其個人信息將主動流向境外信息存儲服務(wù)器，且無法在交易結(jié)束后要求對方刪除該個人信息，損害了我國公民享有的個人信息刪除權(quán)。故確立個人信息跨境傳輸制度是互聯(lián)網(wǎng)時代保護個人信息以及維護國家總體安全的需要，設(shè)立該制度將有助于規(guī)范我國與境外國家或地區(qū)的數(shù)據(jù)跨境傳輸合作，更好地保障我國公民的個人信息權(quán)益。

（二）應(yīng)對全球個人數(shù)據(jù)跨境傳輸制度下數(shù)據(jù)管轄范圍的擴大性

全球各國加強數(shù)據(jù)跨境立法工作的目的是為擴大國家對個人數(shù)據(jù)的管轄范圍，這涉及關(guān)于“網(wǎng)絡(luò)主權(quán)”概念的認(rèn)識?！熬W(wǎng)絡(luò)主權(quán)”是由互聯(lián)網(wǎng)的發(fā)展衍生出來的，關(guān)于網(wǎng)絡(luò)主權(quán)的具體定位存在兩種不同觀點。一種觀點認(rèn)為，如同國家對自己領(lǐng)土、領(lǐng)空、領(lǐng)海而享有的主權(quán)一樣，國家對網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)也擁有主權(quán)，應(yīng)視為國家主權(quán)在網(wǎng)絡(luò)領(lǐng)域的延伸;另一種觀點則認(rèn)為，技術(shù)規(guī)則網(wǎng)絡(luò)空間具有共有性，應(yīng)屬于全球公域，以美國、加拿大為代表的國家希望網(wǎng)絡(luò)空間成為“自由王國”。事實上，網(wǎng)絡(luò)領(lǐng)域與現(xiàn)實相連接，必然將受到管轄，個人數(shù)據(jù)在互聯(lián)網(wǎng)上的跨境流動的管轄范圍將依照本國的網(wǎng)絡(luò)主權(quán)予以確定?；诋?dāng)前國際上缺乏對網(wǎng)絡(luò)空間管轄權(quán)邊界的明確規(guī)定，眾多主權(quán)國家相繼推出數(shù)據(jù)跨境傳輸規(guī)則以擴大管轄權(quán)范圍。但對于跨國公司來說，由于各國的數(shù)據(jù)保護制度與保護標(biāo)準(zhǔn)不一致，增加了其進入境外市場的成本。因此，應(yīng)努力推動國際上形成一個統(tǒng)一的數(shù)據(jù)跨境傳輸規(guī)則體系[5]，實現(xiàn)在尊重各國數(shù)據(jù)主權(quán)的基礎(chǔ)上讓數(shù)據(jù)充分自由流動的美好愿景。我國作為有責(zé)任擔(dān)當(dāng)?shù)拇髧?，?yīng)在國際舞臺上更積極主動，以推動個人信息跨境傳輸國際規(guī)則的創(chuàng)設(shè)[6]。

（三）體現(xiàn)我國參與和倡導(dǎo)國際數(shù)據(jù)領(lǐng)域新規(guī)則制定的積極性

大數(shù)據(jù)產(chǎn)業(yè)蓬勃發(fā)展勢頭下，個人信息所包含的各種數(shù)據(jù)蘊含的價值成為新的戰(zhàn)略搶奪點。誰掌握了信息數(shù)據(jù)，誰就在未來經(jīng)濟戰(zhàn)場上擁有主導(dǎo)權(quán)。我國對個人信息的保護相對薄弱，其保護制度多散見于各部門法，關(guān)于數(shù)據(jù)跨境保護也處于缺位狀態(tài)，而國際上對數(shù)據(jù)跨境傳輸?shù)谋Ｗo已走出相當(dāng)遠(yuǎn)的距離[7]?！秱€人信息保護法》中關(guān)于個人信息跨境提供的規(guī)則，填補了我國的立法空白。雖然該規(guī)則比較保守且對國內(nèi)個人信息出境限制多，但一定程度上體現(xiàn)了我國正在積極構(gòu)建個人信息跨境傳輸?shù)谋Ｗo制度，努力與主流國家或地區(qū)的數(shù)據(jù)跨境傳輸制度拉近距離，并在進一步參與和倡導(dǎo)國際數(shù)據(jù)領(lǐng)域信息跨境傳輸通行標(biāo)準(zhǔn)的制定。

三、我國建立和完善個人信息跨境傳輸制度的路徑

（一）對信息跨境傳輸采取開放性政策

目前，我國對信息跨境傳輸?shù)膽B(tài)度缺乏開放性，過于強調(diào)數(shù)據(jù)的本地化以及對數(shù)據(jù)出境作嚴(yán)格限制。在《個人信息保護法》中，個人信息被分為一般個人信息與敏感個人信息，法律對這兩種個人信息都作出高標(biāo)準(zhǔn)保護，如信息處理者對個人一般信息的處理要建立在信息主體的充分知情與明確同意的基礎(chǔ)上;信息處理者因業(yè)務(wù)需要向境外機構(gòu)提供個人信息需要雙重同意，即“政府審核通過+個人單獨同意”。這種嚴(yán)格的個人信息保護體現(xiàn)了當(dāng)前立法機關(guān)堅守數(shù)據(jù)本地化導(dǎo)向，雖然對國內(nèi)個人信息的安全提供了極大程度的保護，但是與國際上推行的數(shù)據(jù)自由流動的原則相背離，影響我國與其他國家或地區(qū)展開數(shù)字貿(mào)易合作。我國對個人信息跨境傳輸至境外的傳輸標(biāo)準(zhǔn)太過嚴(yán)格，過多的限制性規(guī)定不利于我國在全球范圍內(nèi)發(fā)展大數(shù)據(jù)產(chǎn)業(yè)[8]。事實上，我國在發(fā)展互聯(lián)網(wǎng)大數(shù)據(jù)方面具有獨特的市場規(guī)模優(yōu)勢，應(yīng)當(dāng)充分利用該優(yōu)勢地位，借鑒歐盟數(shù)據(jù)跨境立法模式采取開放性政策，鼓勵個人信息的自由流通，助力我國在國際數(shù)據(jù)領(lǐng)域競爭中處于優(yōu)勢地位。

（二）對境外個人信息跨境傳輸至境內(nèi)的情形作出規(guī)定

法律雖規(guī)定個人信息跨境提供規(guī)則，但關(guān)于境外數(shù)據(jù)向境內(nèi)傳輸?shù)倪m用規(guī)則未作規(guī)定。所謂“傳輸”，漢語意思是指傳遞、輸送，在個人信息流動情境下，“傳輸”應(yīng)當(dāng)包括境內(nèi)向境外傳遞信息和境外向境內(nèi)流入個人信息，即是雙向的信息流動。當(dāng)前法律缺乏對境外個人信息流入境內(nèi)的規(guī)制，將對我國國內(nèi)個人信息的安全產(chǎn)生沖擊。全球數(shù)據(jù)流通更為迅速與頻繁，跨境貿(mào)易的繁榮發(fā)展使得境外個人信息主動或被動地流入境內(nèi)。如果國內(nèi)相關(guān)部門對這些境外個人信息在入境時不加以審核或者進行安全評估，缺少入境信息動態(tài)監(jiān)控，則會給我國個人信息保護帶來隱患，進而影響國家總體信息安全體系建設(shè)。

（三）分級、分類保護個人信息的跨境傳輸

目前法律對個人信息的出境以“政府審核通過+個人同意”的雙重標(biāo)準(zhǔn)作統(tǒng)一規(guī)定，未區(qū)分一般信息與敏感信息的出境保護標(biāo)準(zhǔn)。筆者認(rèn)為，如果法律將個人信息區(qū)分為一般與敏感兩種類別，則在個人信息的跨境傳輸中，也應(yīng)對這兩類個人信息進行分類保護，以實現(xiàn)個人信息跨境傳輸?shù)陌踩c自由流動。個人信息的可識別性使其具有明確的“人身指向性”，即可以直接鎖定該個人。但在個人信息跨境傳輸中，對于個人的一般信息，由于其并不直接涉及自然人深層次隱私或財產(chǎn)信息，對于該一般信息的傳輸則不必嚴(yán)格依照“政府+個人”的雙重明確同意標(biāo)準(zhǔn)之規(guī)定，由政府單方面審核通過即可。若因政府審核不到位而使得個人信息遭受侵害，可事后對政府追責(zé)。個人敏感信息與人身、財產(chǎn)息息相關(guān)，故應(yīng)嚴(yán)格適用“政府審核+個人單獨同意”標(biāo)準(zhǔn)，以實現(xiàn)對個人敏感信息更高層次的保護。在信息跨境傳輸中對個人信息區(qū)別保護，將有利于兼顧個人信息保護與信息自由流通雙重價值，進而構(gòu)建開放且安全的信息跨境流通體系。

（四）明確個人在信息跨境傳輸中享有的權(quán)益

法律中僅規(guī)定個人信息處理者向境外傳輸信息要告知個人并取得個人的同意，除該“知情同意權(quán)”外，法律未對個人享有的其他權(quán)利作說明。從比較的角度分析，個人對境內(nèi)個人信息的傳遞享有知情權(quán)、同意權(quán)、更正權(quán)、刪除權(quán)、查詢權(quán)、復(fù)制權(quán)等權(quán)益，筆者認(rèn)為個人對其傳輸至境外的信息也應(yīng)享有前述權(quán)益。個人信息具有人身依附性，從屬于個人，個人有權(quán)決定是否授權(quán)于個人信息處理者對其信息進行處理。對于傳輸至境外的信息，個人并未喪失控制權(quán)，仍有權(quán)要求境外機構(gòu)對其信息進行更正或是予以刪除等。建議國家有關(guān)部門出臺相關(guān)規(guī)定明確個人在信息跨境傳輸中享有的權(quán)益，以更好地完善我國個人信息保護制度。

（五）細(xì)化個人信息跨境保護制度的相關(guān)規(guī)則，加強可操作性

《個人信息保護法》第三十八條第一款第一項中提到“安全評估”，但關(guān)于“安全評估”的具體流程、評估方式、評估哪些資料文件等還未有相關(guān)配套實施的細(xì)則;第二項提到“經(jīng)專業(yè)機構(gòu)進行個人信息保護認(rèn)證”，但關(guān)于“專業(yè)機構(gòu)”具體是哪些機構(gòu)、專業(yè)機構(gòu)應(yīng)具備的資質(zhì)條件等均未在法律中明確，同樣對“個人信息保護認(rèn)證”的認(rèn)證條件、需提供的認(rèn)證資料、認(rèn)證期限等未配備細(xì)化規(guī)則?！秱€人信息保護法》對個人信息跨境傳輸保護僅僅設(shè)置了一個框架，許多原則性規(guī)定缺乏配套實施細(xì)則，實踐中缺乏操作性，國家有關(guān)部門應(yīng)出臺關(guān)于個人信息跨境傳輸保護細(xì)則，以確保我國的個人信息跨境傳輸制度真正得到實施。

結(jié)語

互聯(lián)網(wǎng)大數(shù)據(jù)、云計算服務(wù)等產(chǎn)業(yè)的發(fā)展，使我國有著國內(nèi)超大規(guī)模的市場優(yōu)勢，應(yīng)借助天然優(yōu)勢大力發(fā)展數(shù)據(jù)產(chǎn)業(yè)，充分保護個人信息這個龐大的“資源”?！秱€人信息保護法》以專門立法的形式制定個人信息保護制度，彌補了我國立法空白，實現(xiàn)與國際個人信息保護規(guī)則的對接。但是，由于我國社會基礎(chǔ)、經(jīng)濟發(fā)展水平、國情等因素，目前對個人信息跨境傳輸制度僅作了原則性規(guī)定。相信隨著時機的成熟，我國的個人信息跨境傳輸制度將得到進一步完善，個人信息保護躍向新的臺階。

參考文獻：

[1]朱曉娟.論跨境電商中個人信息保護的制度構(gòu)建與完善[J].法學(xué)雜志，2021（2）.

[2]劉紹新.全球化背景下的個人數(shù)據(jù)跨境流動[J].中國金融，2019（23）.

[3]牛哲莉.個人數(shù)據(jù)跨境流動——中日韓合作規(guī)制進路探析[J].山東科技大學(xué)學(xué)報（社會科學(xué)版），2021（4）.

[4]許多奇.論跨境數(shù)據(jù)流動規(guī)制企業(yè)雙向合規(guī)的法治保障[J].東方法學(xué)，2020（2）.

[5]沈紅雨.大數(shù)據(jù)流動背景下個人信息保護法律制度的挑戰(zhàn)與對策——基于比較法的視角[J].中國應(yīng)用法學(xué)，2021（2）.

[6]張金平.跨境數(shù)據(jù)轉(zhuǎn)移的國際規(guī)制及中國法律的應(yīng)對——兼評我國《網(wǎng)絡(luò)安全法》上的跨境數(shù)據(jù)轉(zhuǎn)移限制規(guī)則[J].政治與法律，2016（12）.

[7]王利明，丁曉東.論《個人信息保護法》的亮點、特色與適用[J].法學(xué)家，2021（6）.

[8]曹磊.網(wǎng)絡(luò)空間的數(shù)據(jù)權(quán)研究[J].國際觀察，2013（1）.

作者簡介：王鈞（1996—），女，漢族，山西臨縣人，遼寧同文律師事務(wù)所律師，研究方向為民商法。

（責(zé)任編輯：楊超）

基金項目：本文系2019年度福建省社科規(guī)劃基礎(chǔ)研究項目“環(huán)境信用評價模式研究”（編號：FJ2019C002）階段性成果