吳琦瑋

（上海政法學院 國際法學院，上海 201701）

近年來，我國不斷加強數(shù)字經(jīng)濟合作，并于2019年簽署了《大阪數(shù)字經(jīng)濟宣言》，將海南自由貿(mào)易港作為該宣言內(nèi)容落實的重點區(qū)域，表明了我國想要逐步開放數(shù)據(jù)市場，促進個人數(shù)據(jù)跨境流動與數(shù)字經(jīng)濟合作的決心。《區(qū)域全面經(jīng)濟伙伴關系協(xié)定》（RECP）于2020 年11 月15 日正式簽署，RECP 對個人數(shù)據(jù)跨境流動做出了新的規(guī)定。

隨著社會經(jīng)濟的發(fā)展，世界各個國家之間的個人數(shù)據(jù)跨境流動日益頻繁，數(shù)字經(jīng)濟活動日益增加，但個人數(shù)據(jù)跨境流動泄露的風險也逐漸提高。因此，平衡推進個人數(shù)據(jù)跨境流動的自由化與加大對個人數(shù)據(jù)跨境流動的保護力度之間的關系是個人數(shù)據(jù)保護的一個重要議題?！吨腥A人民共和國個人信息保護法》（簡稱《個人信息保護法》）明確載有關于個人數(shù)據(jù)跨境流動的保護的規(guī)定。RECP 于2020 年11 月15 日正式簽署，我國在RCEP 下應對個人數(shù)據(jù)跨境流動的風險成為重要問題。

一、個人數(shù)據(jù)跨境流動概述

在現(xiàn)有的個人數(shù)據(jù)跨境流動規(guī)制的制定及實踐中，始終缺乏一個對于“個人數(shù)據(jù)跨境流動”的清晰定義。即使是在各種各樣的框架、法律和規(guī)制條文當中，也難以找到一個統(tǒng)一的明確描述。

（一）個人數(shù)據(jù)跨境流動的概念

目前世界上對此沒有統(tǒng)一的定義?！皞€人數(shù)據(jù)跨境流動”（transborder flows of personal data）這一概念由OECD 首先在《指南》（1980）中提出，“個人數(shù)據(jù)跨境流動”即是指“個人數(shù)據(jù)的移動跨越了國家邊界”。具體而言，數(shù)據(jù)的流動可以通過電纜或衛(wèi)星以電子方式即時進行，也可以通過人工傳送磁帶、磁盤、卡片或類似媒介來進行，速度較慢。個人數(shù)據(jù)跨境流動的本質(zhì)是以機器可讀的形式傳輸信息。

由于個人數(shù)據(jù)具有人格和財產(chǎn)的雙重屬性，對個人數(shù)據(jù)跨境流動進行立法監(jiān)管的價值也體現(xiàn)在兩個方面。個人數(shù)據(jù)的人格屬性體現(xiàn)為即使個人數(shù)據(jù)離開了數(shù)據(jù)主體國家主權的保護范圍，也應存在適當?shù)膰H法為其權利提供保護和救濟；而個人數(shù)據(jù)的財產(chǎn)屬性決定了跨境數(shù)據(jù)流動制度應盡可能減少和去除阻礙數(shù)據(jù)自由流動的因素，避免國家以保護人權為借口限制自由貿(mào)易的發(fā)展。[1]

（二）個人數(shù)據(jù)跨境流動保護的必要性

在個人數(shù)據(jù)的跨境流動中，由于各國政治、經(jīng)濟、發(fā)展水平上的巨大差異，個人數(shù)據(jù)的跨境流動風險會因為一國對個人數(shù)據(jù)的保護水平低而有所上升，從而造成個人數(shù)據(jù)的泄露，主要體現(xiàn)為以下兩個方面。

第一，在有隱私和數(shù)據(jù)保護控制的國家從事個人數(shù)據(jù)處理的組織，可能會尋求將其業(yè)務轉(zhuǎn)移到?jīng)]有保護法律的國家，從而逃避其母國的立法政策的規(guī)制。第二，為了阻止數(shù)據(jù)處理者將其業(yè)務轉(zhuǎn)移到其他地區(qū)，各國將數(shù)據(jù)轉(zhuǎn)移到其領土以外實施管制，例如頒發(fā)出口許可證，這將危及個人數(shù)據(jù)的自由流動。[2]

在這種情形下，來源于個人數(shù)據(jù)保護水平高的國家的個人數(shù)據(jù)一旦流入個人數(shù)據(jù)保護水平低的國家，就無法得到有效保護，從而不利于國際數(shù)字經(jīng)濟的合作與交流，因此，從國際法層面上對個人數(shù)據(jù)跨境流動進行保護確有必要。

二、RCEP 的數(shù)據(jù)跨境流動保護條款評析

RCEP 關于個人數(shù)據(jù)跨境流動保護的條款主要為第十二章“電子商務”，其中第八條和第十條對個人數(shù)據(jù)跨境流動的保護作出了規(guī)定。

（一）線上信息保護

1.要求各締約方具有國內(nèi)數(shù)據(jù)法律體系

RCEP 要求每一締約方應當采取或維持保證電子商務用戶個人信息受到保護的法律框架，即要求各締約方具有能保障電子商務用戶個人信息安全的國內(nèi)數(shù)據(jù)法律體系。我國在RCEP 生效前已通過《個人信息保護法》與《中華人民共和國數(shù)據(jù)安全法》（簡稱“《數(shù)據(jù)安全法》”），為RCEP 更好地發(fā)揮作用做好了準備。

2.規(guī)定各締約方國內(nèi)數(shù)據(jù)法律所規(guī)定的最低保護標準

RCEP 要求各締約方在制定保護個人信息的法律框架時，應當考慮相關國際組織或機構的國際標準、原則、指南和準則。該款對各締約方國內(nèi)數(shù)據(jù)法律所規(guī)定的保護標準作出了要求。

3.要求各締約方普及國內(nèi)數(shù)據(jù)法律

RCEP 要求每一締約方應當公布其向電子商務用戶提供個人信息保護的相關信息，包括兩個方面，即個人如何尋求救濟，以及企業(yè)如何遵守任何法律要求。

4.鼓勵各締約方境內(nèi)的法人對個人數(shù)據(jù)的相關保護政策和程序透明化

RCEP 要求各締約方應當鼓勵法人通過互聯(lián)網(wǎng)等方式公布其與個人信息保護相關的政策和程序。該款規(guī)定要求各締約方境內(nèi)的法人自主制定內(nèi)部的、與個人信息保護相關的政策和程序，以便個人尋求救濟方式。但是，該規(guī)定較為原則性，其具體實施主要還是依賴于各締約方國內(nèi)的相關規(guī)定。

5.各締約方個人數(shù)據(jù)跨境流動保護的合作

RCEP 要求各締約方應當在可能的范圍內(nèi)合作，以保護從一締約方轉(zhuǎn)移來的個人信息。

（二）國內(nèi)監(jiān)管體系

RCEP 既要求各締約方在適用于電子商務的國際公約和示范法基礎上，如《聯(lián)合國國際貿(mào)易法委員會電子商務示范法（1996）》、2005 年11 月23 日訂于紐約的《聯(lián)合國國際合同使用電子通信公約》，采取或維持監(jiān)管電子交易的法律框架，又要求各締約方采取的監(jiān)管電子交易的法律框架不能阻礙個人數(shù)據(jù)跨境流動。

（三）RCEP 的數(shù)據(jù)跨境流動保護條款對我國的影響

RCEP 以原則性規(guī)定為主，對個人數(shù)據(jù)保護力度比較弱。RCEP 的個人數(shù)據(jù)跨境流動保護條款采取自愿適用的原則。

三、歐盟個人數(shù)據(jù)跨境流動規(guī)制體系探析

歐盟具有代表性的規(guī)制個人數(shù)據(jù)跨境流動的法律體系，以通用數(shù)據(jù)保護條例（General Data Protection Regulation，以下簡稱GDPR）為代表性文件，對它的內(nèi)容和規(guī)制原因進行分析，有利于我國個人數(shù)據(jù)跨境流動保護規(guī)則的發(fā)展，并制定出我國在這一國際環(huán)境下的符合我國國情的關于跨境數(shù)據(jù)流動的應對方案。

（一）歐盟個人數(shù)據(jù)跨境流動規(guī)制體系內(nèi)容

GDPR 為平衡國家之間、國家與地區(qū)之間或地區(qū)與地區(qū)之間的個人數(shù)據(jù)跨境流動保護水平，主要規(guī)定了以下兩方面的內(nèi)容。

1.限制第三國、第三國境內(nèi)地區(qū)與歐盟之間的個人數(shù)據(jù)跨境流動

GDPR 第45 條對充分性認定作出了規(guī)定，其對歐盟以外的國家和地區(qū)的個人數(shù)據(jù)保護法律體系提出了要求，只有當立法情況、監(jiān)管機構設立情況以及是否參加包含個人數(shù)據(jù)保護內(nèi)容的國際公約或作出相關承諾這三方面滿足歐盟標準，與歐盟保護水平基本相同的情況下，才被認為提供了充分保護，歐盟才允許其成員國將公民個人數(shù)據(jù)傳輸至該國或該地區(qū)。但是，因為各國個人數(shù)據(jù)法律體系的發(fā)展差異，GDPR 并沒有明確認定充分性的統(tǒng)一具體標準和方法。

2.嚴格的個人數(shù)據(jù)跨境流動監(jiān)管體系

GDPR 設專章規(guī)定了個人數(shù)據(jù)的監(jiān)管機制，并且首次規(guī)定了以下三個新的內(nèi)容。

第一，GDPR 首次規(guī)定了“單套規(guī)制”，“單套規(guī)制”是指GDPR 將直接適用于歐盟各成員國，無需各成員國單獨批準。[3]因此，其直接避免了因各成員國國內(nèi)數(shù)據(jù)法律規(guī)制不同而導致侵害歐盟公民個人數(shù)據(jù)權益的情況，強調(diào)了歐盟致力于從整體層面進行跨境數(shù)據(jù)流動治理的決心，促使了各成員國的數(shù)據(jù)監(jiān)管機構之間的互相配合與協(xié)助。

第二，GDPR 首次在監(jiān)管環(huán)節(jié)引入了“一站式服務機制”，設立了領導監(jiān)管機構。“一站式服務機制”指當與在多個不同歐盟成員國都開設有分公司的企業(yè)有關聯(lián)的個人數(shù)據(jù)在不同的成員國接受處理時，將會有一個單獨的監(jiān)督機構對全歐盟范圍內(nèi)所有與之相關的數(shù)據(jù)控制方與數(shù)據(jù)處理方進行全過程監(jiān)察。[4]這個監(jiān)督機構通常應該是該公司總部所在成員國的數(shù)據(jù)保護機構，而這個執(zhí)行一站式服務機制的監(jiān)督機構在GDPR 中被稱作領導監(jiān)管機構。

第三，GDPR 極大提升了救濟方式和懲罰力度，數(shù)據(jù)監(jiān)管機構有權對違反GDPR 的企業(yè)作出幾十萬至幾百萬歐元的罰款決定。這極具開創(chuàng)性意義，加大懲罰力度可以真正促使歐盟各成員國的企業(yè)遵守GDPR 的相關規(guī)定，從而有效遏制侵害歐盟公民個人數(shù)據(jù)權益的情況發(fā)生。

（二）GDPR 對中國在RCEP 背景下的應對路徑的啟示

GDPR 的立法經(jīng)驗對中國在RCEP 背景下完善個人數(shù)據(jù)跨境流動保護的應對路徑主要有以下三方面的啟示。

1.與RCEP 其他締約方確立具體的個人數(shù)據(jù)跨境流動保護辦法

如前所述，RCEP 多為原則性規(guī)定，通過與RCEP其他締約方簽訂雙邊協(xié)議，確立具體的個人數(shù)據(jù)跨境流動的保護辦法很有必要，但是，考慮到締約方的國內(nèi)數(shù)據(jù)法律體系的發(fā)展，經(jīng)濟發(fā)展狀況等方面差異較大，其條款的嚴格程度不應與GDPR 相同，不然會給各締約方施加過大的負擔。

2.制定個人數(shù)據(jù)跨境流動的保護標準

個人數(shù)據(jù)跨境流動的主要爭議點在于如何平衡個人數(shù)據(jù)跨境流動的自由化與個人數(shù)據(jù)跨境流動保護之間的關系，制定個人數(shù)據(jù)跨境流動的保護標準能夠解決這一問題。RCEP 締約方的國內(nèi)數(shù)據(jù)法的發(fā)展水平差距較大，要做到完全統(tǒng)一是非常困難的，所以保護標準應以不損害任一締約方公民的個人數(shù)據(jù)權益為底線。在制定具體標準時，可以通過制定一些配套的保障措施，如標準數(shù)據(jù)保護條款、標準合同條款等來彌補跨境數(shù)據(jù)傳輸目的地缺少的對個人數(shù)據(jù)的保護規(guī)定。

3.設立個人數(shù)據(jù)跨境流動的專門監(jiān)管機構

RCEP 對個人數(shù)據(jù)跨境流動的監(jiān)管多依賴于各締約方國內(nèi)的法律框架，設立一個獨立于各締約方的專門監(jiān)管機構很有必要。

四、我國在RCEP 背景下的應對路徑

如前文所述，如何在RCEP 的基礎上在加強跨境數(shù)據(jù)流動的同時又有效地維護國家安全、降低數(shù)據(jù)流動的風險，成為了我國在RCEP 生效背景下的一個新議題。針對此問題，提出以下幾方面應對路徑。

（一）完善關于個人數(shù)據(jù)跨境流動監(jiān)管的立法

RCEP 主要依賴于各成員國國內(nèi)個人數(shù)據(jù)跨境流動監(jiān)管機制，因此，《個人信息保護法》應聲出臺，其中明確載有允許個人數(shù)據(jù)跨境流動的規(guī)定，該條款對個人數(shù)據(jù)境外接收方數(shù)據(jù)保護能力的最低標準進行了明確規(guī)定，要求不低于《個人信息保護法》所規(guī)定的數(shù)據(jù)保護能力，但是個人數(shù)據(jù)境外接收方的數(shù)據(jù)保護能力是否符合標準要求個人信息處理者自行判斷，并采取措施以保障個人數(shù)據(jù)境外接收方的數(shù)據(jù)保護能力符合標準。然而，《個人信息保護法》沒有對個人數(shù)據(jù)境外接收方的數(shù)據(jù)保護能力具體評估方案作出規(guī)定。因此，為解決上述問題，我國可以對符合我國個人數(shù)據(jù)跨境流動安全評估的國家或國際組織予以認證，并作出充分保護決定。

《數(shù)據(jù)安全法》也明確提出要對數(shù)據(jù)進行分級分類管理，其中就涉及到了個人數(shù)據(jù)。數(shù)據(jù)分級分類管理制度是平衡個人數(shù)據(jù)跨境流動自由化與對個人數(shù)據(jù)跨境流動保護之間關系的一個可行解決方案，其可以促進個人數(shù)據(jù)流動到境外，同時又限制敏感的個人數(shù)據(jù)的跨境流動。對于數(shù)據(jù)分類標準，可以將個人數(shù)據(jù)劃分為一般數(shù)據(jù)和敏感數(shù)據(jù)，再分別對其進行管理，從而能在促進個人數(shù)據(jù)跨境流動自由化的同時，又保護我國公民的個人數(shù)據(jù)權益。

此外，完善與上述立法相配套的《個人信息出境安全評估辦法》《關鍵信息基礎設施安全保護條例》《數(shù)據(jù)安全管理辦法》等規(guī)范也十分重要，通過設置安全評估、例外事項、標準合同等多元數(shù)據(jù)出境途徑，使得《個人信息保護法》以及《數(shù)據(jù)安全法》能真正發(fā)揮其作用，從而有效平衡個人數(shù)據(jù)跨境流動的自由化與加大對個人數(shù)據(jù)跨境流動保護力度之間的關系。

（二）設立數(shù)據(jù)跨境流動的專門監(jiān)管機構

RCEP下個人數(shù)據(jù)跨境流動的合作以獨立數(shù)據(jù)監(jiān)管機構作為各成員方的代表進行展開。我國可以與RCEP 的其他締約方通過信息交換、簽署雙邊協(xié)定等方式，盡可能一致地解決個人數(shù)據(jù)跨境流動的監(jiān)管問題。這將有助于確保各國政府在個人數(shù)據(jù)跨境流動監(jiān)管過程中，不會采取重復或相互沖突的措施。

（三）推進行業(yè)自律制度建設

我國不斷完善發(fā)展的個人數(shù)據(jù)保護法律體系提高了企業(yè)的合規(guī)要求，產(chǎn)生了建設行業(yè)自律制度的需求。由于企業(yè)掌握大量的用戶數(shù)據(jù)，相關部門應要求企業(yè)深入了解關于個人數(shù)據(jù)保護及個人數(shù)據(jù)跨境流動的要求的規(guī)定，并在日常運營中對其予以嚴格落實，對于其中的一些原則性的規(guī)定，可以將其通過企業(yè)規(guī)章制度等方式予以具體落實。此外，為防止個人數(shù)據(jù)被濫用、失竊、非法交易等行為的發(fā)生，在行業(yè)自律制度中，還可以規(guī)定一定的懲罰性賠償措施。[5]

五、結(jié)語

大數(shù)據(jù)技術在日常生活中的使用越來越頻繁，個人數(shù)據(jù)跨境流動的可能性也不斷增大。RCEP 是我國首次簽署載有允許個人數(shù)據(jù)跨境流動的區(qū)域性文件，在這一新形勢下，我國如何應對隨之而來的個人數(shù)據(jù)跨境流動過程中的潛在的隱私安全風險，成為了一個迄待研究的重大問題。對此，本文提出了三條應對路徑，分別為完善國內(nèi)關于個人數(shù)據(jù)跨境流動監(jiān)管的立法、設立數(shù)據(jù)跨境流動的專門監(jiān)管機構以及推進行業(yè)自律制度建設。從而構建一個更專業(yè)、更系統(tǒng)化、更全面的、符合數(shù)字經(jīng)濟全球化發(fā)展趨勢的個人信息保護法律體系。