郜珍珍

摘 要：數(shù)據(jù)的跨境流動是經(jīng)濟全球化的重要體現(xiàn)，個人數(shù)據(jù)的跨境流動涉及個人隱私保護、國家安全及公共利益等問題，如何平衡個人數(shù)據(jù)流動中個人隱私保護、國家安全及企業(yè)發(fā)展三者之間的關(guān)系，是個人數(shù)據(jù)跨境流動法律規(guī)制的重要內(nèi)容。當(dāng)前，我國在個人數(shù)據(jù)跨境流動法律規(guī)制層面存在缺乏統(tǒng)一的數(shù)據(jù)監(jiān)管機構(gòu)、個人數(shù)據(jù)跨境分類方式單一以及敏感個人數(shù)據(jù)跨境規(guī)則的缺失等問題，本文對此做詳細分析并提出相應(yīng)的完善策略。

關(guān)鍵詞：個人數(shù)據(jù)；跨境流動；法律規(guī)制

一、我國個人數(shù)據(jù)跨境流動法律規(guī)制現(xiàn)狀

從我國對個人數(shù)據(jù)跨境流動的法律規(guī)定層面來看。目前我國對于個人數(shù)據(jù)跨境流動并未形成統(tǒng)一立法，相關(guān)法律規(guī)制多散見于網(wǎng)絡(luò)安全保護、數(shù)據(jù)安全保護、個人信息保護以及出境安全評估等法律規(guī)則之中。例如，基于網(wǎng)絡(luò)安全保護，我國2022年正式實施的《網(wǎng)絡(luò)安全審查辦法》規(guī)定了基于網(wǎng)絡(luò)安全風(fēng)險防范，對關(guān)鍵信息基礎(chǔ)設(shè)施運營者和網(wǎng)絡(luò)平臺運營者的數(shù)據(jù)處理活動的安全性應(yīng)予以審查；基于網(wǎng)絡(luò)數(shù)據(jù)保護，2021年的《數(shù)據(jù)安全法》對境內(nèi)網(wǎng)絡(luò)數(shù)據(jù)相關(guān)活動以及數(shù)據(jù)出境行為安全評估的細化規(guī)定；基于個人信息保護，2021年的《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》對數(shù)據(jù)跨境評估做了詳細規(guī)定；基于出境安全評估，2021年《數(shù)據(jù)出境安全評估辦法（征求意見稿）》細化了個人數(shù)據(jù)和重要數(shù)據(jù)跨境流動的安全評估方法。以上基于個人數(shù)據(jù)跨境流動的法律規(guī)定都是在國家安全保護前提下制定的跨境流動框架，旨在減少個人數(shù)據(jù)跨境流動帶來的網(wǎng)絡(luò)安全和國家安全風(fēng)險，隨著一系列相關(guān)法律的實施、修訂與完善，凸顯了我國以國家安全為基礎(chǔ)的個人信息保護法律體系正趨于完善

從我國對個人數(shù)據(jù)跨境流動的具體制度層面來看。目前國際上缺乏統(tǒng)一的個人數(shù)據(jù)跨境流動規(guī)則，為維護國家安全和網(wǎng)絡(luò)安全，我國通過一系列的法律制度來強化對個人跨境數(shù)據(jù)的監(jiān)管力度。主要表現(xiàn)在以下幾個方面：首先是數(shù)據(jù)本地化制度。該制度規(guī)定了網(wǎng)絡(luò)運營者在我國境內(nèi)收集的個人網(wǎng)絡(luò)數(shù)據(jù)應(yīng)保存在我國境內(nèi)，其中重要數(shù)據(jù)、敏感數(shù)據(jù)、核心數(shù)據(jù)、涉及國家機密的數(shù)據(jù)都應(yīng)存儲在境內(nèi)；其次是出境安全評估制度。該制度是在數(shù)據(jù)本地化制度基礎(chǔ)上的一種變通，主要是針對數(shù)據(jù)本地化制度范圍內(nèi)的一些特殊情形的制度規(guī)定，即雖然應(yīng)遵循數(shù)據(jù)本地化制度，但是對于符合條件的主體可以采用出境安全評估制度向境外提供個人數(shù)據(jù)；第三是網(wǎng)絡(luò)安全審查制度。網(wǎng)絡(luò)安全審查制度主要是作為數(shù)據(jù)跨境安全的一種預(yù)防程序，其作用在于針對數(shù)據(jù)跨境前的安全風(fēng)險防范及數(shù)據(jù)安全監(jiān)管和安全保護具體舉措。

二、我國個人數(shù)據(jù)跨境流動法律規(guī)制存在的主要問題

（一）未建立統(tǒng)一的數(shù)據(jù)監(jiān)管機構(gòu)

雖然我國對個人數(shù)據(jù)的跨境流動采取了統(tǒng)一的監(jiān)管方式，但是并未形成統(tǒng)一的數(shù)據(jù)監(jiān)管機構(gòu)，現(xiàn)行監(jiān)管工作主要是由國家網(wǎng)信部門及相關(guān)監(jiān)管部門負責(zé)監(jiān)督管理。統(tǒng)一的數(shù)據(jù)監(jiān)管機構(gòu)的缺失導(dǎo)致個人數(shù)據(jù)在安全評估的組織方面存在相互矛盾的情形，嚴(yán)重影響個人信息評估工作的開展。除此之外，在具體的實施中也存在一定的矛盾之處，例如統(tǒng)一的數(shù)據(jù)監(jiān)管機構(gòu)的缺失導(dǎo)致跨境場景及行業(yè)特殊風(fēng)險無法有效推進，且在安全評估實施主體上各法律條例也存在不同規(guī)定，《管理條例》規(guī)定的實施主體是行業(yè)主管部門，《管理辦法》規(guī)定的實施主體是網(wǎng)絡(luò)運營者，《個人信息保護法》則要求單獨成立獨立機構(gòu)，由此導(dǎo)致網(wǎng)絡(luò)運營者或企業(yè)面臨多頭部門管理的窘境。

（二）個人數(shù)據(jù)跨境分類方式單一

就目前我國個人數(shù)據(jù)跨境分類方式而言，雖然具備了初步的分類處理機制，但是分類標(biāo)準(zhǔn)過于單一。我國對個人數(shù)據(jù)的劃分是基于其對國家安全影響的重要程度而言的，從廣義上將其分為一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)并對其分別采取了不同的保護措施；從狹義上將其分為與個人有關(guān)的數(shù)據(jù)，與重要數(shù)據(jù)、核心數(shù)據(jù)等涉及國家安全和社會公共利益的數(shù)據(jù)，其中個人信息又分為一般信息和敏感信息等兩種類別。不管是何種分類方式均是對個人數(shù)據(jù)信息進行分類從而配置了不同的處理和監(jiān)管規(guī)則。就目前而言，各相關(guān)條例多是以個人信息數(shù)量作為判別數(shù)據(jù)風(fēng)險的依據(jù)，缺乏對跨境場景切換的頻繁性和即時性的考量，由此導(dǎo)致諸多不確定性因素的增加，除了企業(yè)要承擔(dān)數(shù)據(jù)風(fēng)險責(zé)任以外，對國家安全也存在一定的風(fēng)險。

（三）敏感個人數(shù)據(jù)跨境規(guī)則的缺失

當(dāng)前我國逐步完善了個人數(shù)據(jù)跨境的分級分類保護，但是對于個人敏感信息跨境規(guī)則仍處于缺失狀態(tài)，個人敏感信息的泄露輕則會導(dǎo)致個人人格、人身和財產(chǎn)安全受到侵害，重則可能危及國家信息安全。我國《個人信息保護法》對個人信息敏感性提出了劃分規(guī)則，但是在二者的跨境規(guī)則上并未明確規(guī)定，同時對于跨境提供敏感信息的范圍也未進行明確規(guī)定，由此可能會導(dǎo)致個人向境外傳輸自己或他人的敏感個人信息，雖然并不滿足《數(shù)據(jù)出境安全評估辦法（征求意見稿）》的規(guī)定量級，但是卻存在引發(fā)國家安全或數(shù)據(jù)信息風(fēng)險泄露的可能。因此，敏感個人數(shù)據(jù)跨境規(guī)則的缺失將會導(dǎo)致數(shù)據(jù)跨境規(guī)則適用存在不確定性風(fēng)險。

三、我國個人數(shù)據(jù)跨境流動法律規(guī)制的完善

（一）設(shè)置獨立的數(shù)據(jù)監(jiān)管機構(gòu)

《個人信息保護法》提出了對個人數(shù)據(jù)信息的跨境流動應(yīng)成立獨立機構(gòu)予以監(jiān)管，這在一定程度上避免了網(wǎng)絡(luò)運營者或企業(yè)面臨多頭部門管理的窘境，但是由于缺乏相對應(yīng)的懲罰制度，由此可能會導(dǎo)致其實際的實施效果難以達到預(yù)期。基于此，可參考美國的“隱私規(guī)則體系”，在此基礎(chǔ)上結(jié)合我國實際情況予以優(yōu)化，同時設(shè)置個人數(shù)據(jù)保護專業(yè)管理人員，全面負責(zé)企業(yè)對個人信息的侵犯以及個人信息數(shù)據(jù)的法律保護等內(nèi)容。在此基礎(chǔ)上個人數(shù)據(jù)保護專業(yè)管理人員還應(yīng)該承擔(dān)起不同類型的個人數(shù)據(jù)安全評估工作，重點對個人信息跨境流動規(guī)則的漏洞進行完善，從而確保企業(yè)能遵循個人信息保護的法律要求，進而實現(xiàn)個人隱私保護與數(shù)據(jù)跨境自由的價值的平衡。

（二）跨境數(shù)據(jù)流動的分類監(jiān)管

對于個人數(shù)據(jù)的跨境流動而言，針對不同數(shù)據(jù)的風(fēng)險類型應(yīng)采用不同的風(fēng)險評估方式和評估標(biāo)準(zhǔn)，可基于跨境場景的角度對個人數(shù)據(jù)信息進行細化，確保個人敏感數(shù)據(jù)和重要數(shù)據(jù)能得到相應(yīng)的評估與監(jiān)管。在具體實施上，可對個人數(shù)據(jù)進行動態(tài)化的監(jiān)管，應(yīng)根據(jù)不同的場景分析其經(jīng)過數(shù)據(jù)加工后是否涉及到個人敏感數(shù)據(jù)和國家信息的可能性，在對個人數(shù)據(jù)信息進行分類監(jiān)管的過程中，同時還應(yīng)該考慮個人數(shù)據(jù)泄露導(dǎo)致的風(fēng)險，這就要求數(shù)據(jù)處理者需要承擔(dān)相應(yīng)的跨境擔(dān)保責(zé)任，因此，跨境數(shù)據(jù)流動的分類監(jiān)管應(yīng)結(jié)合我國的實際情況靈活處理。

（三）制定敏感個人數(shù)據(jù)跨境規(guī)則

針對個人數(shù)據(jù)信息的敏感度的差異，對其保護和監(jiān)督的層級也存在不同。由于個人敏感信息存在較大的不確定性，且其存在特定情境下發(fā)生數(shù)據(jù)性質(zhì)轉(zhuǎn)換的可能性，即敏感個人數(shù)據(jù)也可能會在特定情境下轉(zhuǎn)換為重要數(shù)據(jù)甚至是核心數(shù)據(jù)，因此，出于平衡個人數(shù)據(jù)信息權(quán)益、數(shù)據(jù)信息流動及國家安全的目的，應(yīng)盡快制定專門針對敏感個人數(shù)據(jù)的跨境規(guī)則。例如，當(dāng)敏感個人數(shù)據(jù)可能會在特定場景中轉(zhuǎn)換為重要數(shù)據(jù)甚至是核心數(shù)據(jù)時，出于國家安全方面考量應(yīng)禁止此類信息出境，對于不涉及國家安全信息的個人敏感數(shù)據(jù)則可通過強化監(jiān)管后出境，最大化預(yù)防風(fēng)險的發(fā)生。

參考文獻：

[1]劉明奎.數(shù)據(jù)安全視野下中國數(shù)據(jù)跨境流動的穩(wěn)慎因應(yīng)[J].北方論叢，2022（06）：97-108.

[2]陳思，馬其家.數(shù)據(jù)跨境流動監(jiān)管協(xié)調(diào)的中國路徑[J].中國流通經(jīng)濟，2022，36（09）：116-126.

[3]高敏涵. 個人數(shù)據(jù)跨境流動的法律規(guī)制問題研究[D].外交學(xué)院，2022.