向泓靜 袁振華

（四川外國語大學(xué)國際法學(xué)與社會(huì)學(xué)院,重慶 400031）

跨境電子商務(wù)已成為貿(mào)易產(chǎn)業(yè)鏈的重要組成部分，推動(dòng)著數(shù)字貿(mào)易和經(jīng)濟(jì)全球化的發(fā)展。我國是全球最大的B2C跨境電商交易市場(chǎng)，《中國電子商務(wù)報(bào)告（2021）》顯示，在國務(wù)院相關(guān)政策的支持下，我國電商“朋友圈”進(jìn)一步擴(kuò)大，跨境電商進(jìn)出口規(guī)模約1.92萬億元，同比增長18.6%，持續(xù)優(yōu)化了全球供應(yīng)鏈。但隨著大數(shù)據(jù)、云計(jì)算等信息技術(shù)的發(fā)展，跨境電子商務(wù)中的個(gè)人信息保護(hù)持續(xù)受到?jīng)_擊；個(gè)人信息的泄露和非法使用不僅關(guān)系到消費(fèi)者的個(gè)人安全，還關(guān)系到貿(mào)易的健康發(fā)展和國家的數(shù)據(jù)主權(quán)。當(dāng)前全球線上消費(fèi)快速增長，為我國制造業(yè)帶來品牌出海機(jī)會(huì)的同時(shí)，也帶來了個(gè)人信息保護(hù)的挑戰(zhàn)，希望通過本文為我國完善跨境電商個(gè)人信息保護(hù)體系提供有效建議，推動(dòng)我國跨境電子商務(wù)高質(zhì)量發(fā)展。

1 跨境電商背景下個(gè)人信息保護(hù)概述

1.1 個(gè)人信息的概述

個(gè)人信息與人身、財(cái)產(chǎn)安全息息相關(guān)，尤其在進(jìn)入大數(shù)據(jù)時(shí)代后，賦予了個(gè)人信息更高的商業(yè)價(jià)值，而跨境電商規(guī)模的擴(kuò)大和環(huán)節(jié)的復(fù)雜性，給個(gè)人信息主體乃至國際社會(huì)帶來了風(fēng)險(xiǎn)和挑戰(zhàn)。合理使用個(gè)人信息對(duì)于個(gè)人、企業(yè)、政府都具有積極的意義，不恰當(dāng)?shù)貫E用個(gè)人信息則會(huì)造成巨大的損害

1.1.1 個(gè)人信息的概念

“個(gè)人信息”在《中華人民共和國個(gè)人信息保護(hù)法》（以下簡稱《個(gè)人信息保護(hù)法》）中定義為“以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息”①。

對(duì)于個(gè)人信息和個(gè)人數(shù)據(jù)的區(qū)分，在我國學(xué)術(shù)界尚存在爭議，一部分學(xué)者認(rèn)為個(gè)人信息不等于個(gè)人數(shù)據(jù)，數(shù)據(jù)是表現(xiàn)形式，具有客觀性；信息是其反映的內(nèi)容，具有主觀性，對(duì)應(yīng)的內(nèi)容和主體不同，因此可以說信息是經(jīng)過加工后的數(shù)據(jù)[1]。還有一部分學(xué)者認(rèn)為兩者之間沒有本質(zhì)區(qū)別，在大數(shù)據(jù)時(shí)代，數(shù)據(jù)早已不再是單純的信息載體，數(shù)據(jù)本身就是具體的信息。而本文所探討的個(gè)人信息保護(hù)，保護(hù)的對(duì)象就是信息或數(shù)據(jù)所承載的人格、財(cái)產(chǎn)利益，只是在不同的應(yīng)用場(chǎng)景中個(gè)人信息和個(gè)人數(shù)據(jù)強(qiáng)調(diào)的側(cè)重點(diǎn)不同，但在法學(xué)保護(hù)角度兩者幾乎可以等同。筆者贊同第二種觀點(diǎn)，認(rèn)為“數(shù)據(jù)”和“信息”雖然表面上是形式和內(nèi)容的關(guān)系，在互聯(lián)網(wǎng)專業(yè)領(lǐng)域中也具有差別，但是其在法律領(lǐng)域的定義中具有一致性，尤其是在跨境電商背景下，并未對(duì)信息和數(shù)據(jù)作實(shí)質(zhì)區(qū)分，因此為方便研究，本文不對(duì)“個(gè)人信息”“個(gè)人數(shù)據(jù)”作區(qū)分。

1.1.2 個(gè)人信息的特征

個(gè)人信息的特征直接或間接地反映了其價(jià)值，總結(jié)個(gè)人信息的特征不僅能對(duì)個(gè)人信息有進(jìn)一步的認(rèn)識(shí)，還有助于個(gè)人信息保護(hù)的研究。

（1）可識(shí)別性。

這是個(gè)人信息最本質(zhì)的特征?？勺R(shí)別性分為直接識(shí)別和間接識(shí)別，直接識(shí)別指通過信息直接鎖定到特定個(gè)人，間接識(shí)別指需通過與其他信息結(jié)合才能識(shí)別出特定個(gè)人。

（2）關(guān)聯(lián)性。

關(guān)聯(lián)性體現(xiàn)在從個(gè)人層面到信息層面，指特定個(gè)人在其活動(dòng)中產(chǎn)生的各種信息，如通話信息、行蹤軌跡信息、精準(zhǔn)定位信息、住宿信息等。這些信息離開了信息主體的歸屬后可能并不會(huì)產(chǎn)生影響，一旦和主體對(duì)應(yīng)后便會(huì)產(chǎn)生巨大的商業(yè)價(jià)值，比如大數(shù)據(jù)殺熟，信息收集者會(huì)先鎖定到特定個(gè)體，再運(yùn)用cookies技術(shù)追蹤、分析用戶的瀏覽、購買記錄，描繪用戶個(gè)人圖像，以提供精準(zhǔn)服務(wù)。

（3）無體性。

個(gè)人信息的無體性體現(xiàn)在其有內(nèi)在含義但沒有外在形狀，不同于民法中可以直接支配的客體，個(gè)人信息需要依附一定的介質(zhì)才能被復(fù)制、傳播，如《個(gè)人信息保護(hù)法》對(duì)于個(gè)人信息的概念所述，個(gè)人信息必須以電子等一定的方式得以固定，因此法律并不要求對(duì)其進(jìn)行支配性控制，而是通過收集、存儲(chǔ)、加工等形式實(shí)現(xiàn)對(duì)信息的管理[2]。

（4）價(jià)值性。

政府通過對(duì)個(gè)人信息的大量收集、使用，可以更加高效率地進(jìn)行公共管理，出臺(tái)相應(yīng)的政策精準(zhǔn)解決問題，使人民受益；企業(yè)通過個(gè)人信息的大量收集、使用，建立信息庫，在互聯(lián)網(wǎng)技術(shù)的幫助下給使用者帶來個(gè)性化的服務(wù)，產(chǎn)生巨大的商業(yè)價(jià)值[3]。

1.2 跨境電商對(duì)個(gè)人信息保護(hù)的影響

1.2.1 對(duì)傳統(tǒng)法律管轄理論的沖擊

在跨境電商的環(huán)境下，傳統(tǒng)法律管轄中的屬地管轄、屬人管轄原則得到了一定的拓展。其一，屬地管轄。在電子商務(wù)領(lǐng)域中，通常會(huì)以地域作為法律管轄權(quán)的依據(jù)，例如經(jīng)營者所在地或者消費(fèi)者所在地，以及因進(jìn)入互聯(lián)網(wǎng)時(shí)代而設(shè)立的設(shè)備所在地管轄理論[4]。雖然在一般情況下電商平臺(tái)企業(yè)會(huì)將企業(yè)信息公開，并且通過技術(shù)追蹤也可以確定商家、服務(wù)器所在地，但互聯(lián)網(wǎng)的虛擬性、無邊界性以及技術(shù)的不斷發(fā)展使地域認(rèn)定充滿了不確定性。其二，屬人管轄又稱國籍管轄，即基于個(gè)人信息本身，當(dāng)一個(gè)國家將個(gè)人信息輸出至另一個(gè)國家，需繼續(xù)受到該輸出國的管轄，理論上是對(duì)法律境外管轄權(quán)的拓展，大部分國家不愿接受這種“屬人管轄”原則，這意味著本國企業(yè)要受他國法律約束，對(duì)本國企業(yè)無益，并且這種管轄權(quán)的延伸會(huì)與他國管轄權(quán)產(chǎn)生沖突，難以解決。

1.2.2 各國規(guī)制體系不同且國際無統(tǒng)一法律和慣例

許多國家都進(jìn)行了個(gè)人信息保護(hù)立法，但是各國的規(guī)制體系及其嚴(yán)格程度各不相同，尤其是跨境電商作為國際貿(mào)易的一種形式，其環(huán)節(jié)會(huì)涉及政治、行政管理、海關(guān)等方面，不同的價(jià)值取向和規(guī)制體系可能會(huì)對(duì)個(gè)人信息主體的權(quán)益、國家數(shù)據(jù)主權(quán)、本國數(shù)字貿(mào)易發(fā)展帶來影響。不同國家、地區(qū)對(duì)于個(gè)人信息跨境傳輸規(guī)定的內(nèi)容和嚴(yán)格程度并不相同，而目前國際上沒有統(tǒng)一的法律和國際慣例來規(guī)制，這使得跨境個(gè)人信息保護(hù)困難重重。

2 我國對(duì)于跨境電商中個(gè)人信息保護(hù)的現(xiàn)狀及困境

當(dāng)前我國對(duì)于跨境電商中個(gè)人信息保護(hù)有較為系統(tǒng)的立法體系，在立法的基礎(chǔ)上，通過各行業(yè)協(xié)會(huì)的領(lǐng)頭和第三方認(rèn)證機(jī)構(gòu)的設(shè)立，形成行業(yè)自律機(jī)制，共同保護(hù)個(gè)人信息。

2.1 立法現(xiàn)狀

當(dāng)前，我國個(gè)人信息的法律保護(hù)體系由法律、司法解釋、部門規(guī)章及相應(yīng)指導(dǎo)性文件構(gòu)成。2021年施行的《個(gè)人信息保護(hù)法》是我國首部關(guān)于個(gè)人信息保護(hù)的專門立法，在此之前是分散在《中華人民共和國刑法》《中華人民共和國民法典》《中華人民共和國電子商務(wù)法》等部門法的規(guī)定中，因此自該法頒布以后我國便開始形成了體系化的個(gè)人信息保護(hù)制度。

《個(gè)人信息保護(hù)法》是我國首部專門規(guī)制個(gè)人信息保護(hù)的法律，在個(gè)人信息保護(hù)的法律體系中占據(jù)重要地位，該法明確了個(gè)人信息、個(gè)人敏感信息的定義，收集、處理、跨境提供個(gè)人信息時(shí)應(yīng)當(dāng)遵循的原則，以及適用本法的情形。

在行政規(guī)章層面，《數(shù)據(jù)出境安全評(píng)估辦法》填補(bǔ)了我國對(duì)于數(shù)據(jù)出境管理方面的規(guī)定，該辦法規(guī)定了其適用情形、數(shù)據(jù)出境前評(píng)估的內(nèi)容、主體、需提交的材料、數(shù)據(jù)處理者的義務(wù)等。

2.2 行業(yè)自律

我國關(guān)于個(gè)人信息保護(hù)的行業(yè)自律體系主要是在中國互聯(lián)網(wǎng)協(xié)會(huì)、中國消費(fèi)者協(xié)會(huì)、中國電子商務(wù)協(xié)會(huì)、中國網(wǎng)絡(luò)空間安全協(xié)會(huì)和第三方認(rèn)證機(jī)構(gòu)的參與下形成的，是在行業(yè)協(xié)會(huì)組織的引領(lǐng)下于內(nèi)部制定規(guī)范進(jìn)行自我約束的一種體系。相關(guān)協(xié)會(huì)發(fā)布倡議書和公約，引導(dǎo)企業(yè)嚴(yán)格遵守國家有關(guān)法律法規(guī)、政策和標(biāo)準(zhǔn)，加強(qiáng)行業(yè)自律，促進(jìn)行業(yè)持續(xù)、健康、有序的發(fā)展。因?yàn)槭怯尚袠I(yè)協(xié)會(huì)組織制定，規(guī)范的內(nèi)容并無法律強(qiáng)制力，更多的是倡導(dǎo)性條款；但和立法相比，行業(yè)自律規(guī)范具有更強(qiáng)的靈活性，可以根據(jù)各行業(yè)的特點(diǎn)和發(fā)展趨勢(shì)制定出最適合本行業(yè)的個(gè)人信息保護(hù)方面的規(guī)定。

2.3 存在的問題和面臨的困境

2.3.1 部門保護(hù)職責(zé)有交叉和沖突的可能

《個(gè)人信息保護(hù)法》第六章中規(guī)定了履行個(gè)人信息保護(hù)職責(zé)的部門，但只對(duì)國家網(wǎng)信部門的統(tǒng)籌協(xié)調(diào)工作做了較為詳細(xì)的闡述；而對(duì)國務(wù)院有關(guān)部門、縣級(jí)以上地方人民政府及其有關(guān)部門的職責(zé)規(guī)定較為模糊，僅規(guī)定“依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)督管理工作”“按照國家有關(guān)規(guī)定確定”。在第六十一條中用概括和兜底的方式列舉了履行個(gè)人信息保護(hù)職責(zé)部門的職責(zé)，并未對(duì)主體和職責(zé)做更細(xì)的劃分，這意味著當(dāng)其他法律、行政法規(guī)對(duì)行政機(jī)關(guān)的個(gè)人信息保護(hù)職責(zé)有規(guī)定時(shí)，該機(jī)關(guān)同樣也擁有個(gè)人信息保護(hù)領(lǐng)域的執(zhí)法權(quán)，且可能擁有相同的保護(hù)、監(jiān)督職責(zé)。雖然網(wǎng)信部門會(huì)負(fù)責(zé)統(tǒng)籌協(xié)調(diào)保護(hù)監(jiān)管工作，但統(tǒng)籌協(xié)調(diào)畢竟不是集中管理，沒有直接的管理權(quán)，在協(xié)調(diào)各部門的職責(zé)時(shí)多有不便和難以解決的時(shí)候[5]。因此，在實(shí)踐中處理具體事務(wù)時(shí)，可能發(fā)生難以確定執(zhí)行和監(jiān)督主體、部門之間“踢皮球”推諉責(zé)任、維權(quán)周期漫長等難題，信息主體難以得到有效救濟(jì)，最終帶來人身財(cái)產(chǎn)等方面的損失。

2.3.2 信息主體權(quán)利救濟(jì)不足

《個(gè)人信息保護(hù)法》第七章規(guī)定了違反本法規(guī)定應(yīng)承擔(dān)的法律后果，罰款金額在一萬元以上一百萬元以下不等，或者上一年度營業(yè)額百分之五以下。如果是針對(duì)跨國公司，一是很難說明以哪一部分年度營業(yè)額為準(zhǔn)，是只針對(duì)我國營業(yè)額、個(gè)人信息流通過的國家地區(qū)的營業(yè)額、全球營業(yè)額，或是母公司營業(yè)額、子公司營業(yè)額，還是應(yīng)當(dāng)一并計(jì)算，都亟待明確和細(xì)化，二是罰款金額幅度是否具有威懾力，例如一百萬元的罰款遠(yuǎn)不如其通過侵犯信息主體可能獲得的違法所得大。信息主體即消費(fèi)者，在跨境電商的往來中處于較弱勢(shì)的一方，法律法規(guī)中雖規(guī)定了受理相關(guān)投訴、舉報(bào)的部門，但是處理的流程和救濟(jì)手段不明確，現(xiàn)實(shí)中大多數(shù)信息主體會(huì)因不清楚維權(quán)方式或者認(rèn)為成本過高而放棄維權(quán)。

2.3.3 行業(yè)自律體系亟待完善

我國的個(gè)人信息保護(hù)行業(yè)自律體系中雖然制定了許多行業(yè)自律規(guī)則，但在內(nèi)容方面多是原則性的倡導(dǎo)，涉及個(gè)人信息的使用、跨境運(yùn)輸?shù)染唧w內(nèi)容，便以遵守國家有關(guān)規(guī)定為準(zhǔn)。在實(shí)施方面沒有規(guī)定專門的監(jiān)督、認(rèn)證機(jī)構(gòu)以及違反自律規(guī)則后的責(zé)任，在遵守自律規(guī)則、個(gè)人信息保護(hù)認(rèn)證的積極性和實(shí)施效果上有所欠缺。

2.3.4 缺乏覆蓋電商全流程的個(gè)人信息流動(dòng)監(jiān)管機(jī)制

關(guān)于數(shù)據(jù)跨境流動(dòng)的專門規(guī)定有《數(shù)據(jù)出境安全評(píng)估辦法》以及分散于《個(gè)人信息保護(hù)法》《個(gè)人信息保護(hù)認(rèn)證實(shí)施規(guī)則》《信息安全技術(shù)—個(gè)人信息安全規(guī)范》的相關(guān)規(guī)定，總體上規(guī)定較少，實(shí)施情況有待進(jìn)一步考察。此外，在《數(shù)據(jù)出境安全評(píng)估辦法》中，對(duì)于事前安全評(píng)估的流程、主體等規(guī)定有些模糊，需要進(jìn)一步完善。覆蓋跨境電商各個(gè)環(huán)節(jié)的監(jiān)管機(jī)制目前也沒有明確的規(guī)定，導(dǎo)致個(gè)人信息在跨境流動(dòng)過程中的安全性難以得到有效保障。

2.3.5 個(gè)人信息違法行為處罰的主體難以準(zhǔn)確確定和執(zhí)行

跨境電商涉及電商企業(yè)、買家、海關(guān)、快遞物流企業(yè)等眾多主體，包含供應(yīng)鏈管理、產(chǎn)品推廣和營銷、訂單與客戶服務(wù)等多個(gè)環(huán)節(jié)。跨境電商個(gè)人信息流轉(zhuǎn)鏈條十分復(fù)雜，個(gè)人信息遭擅自披露、采集或使用風(fēng)險(xiǎn)巨大；當(dāng)前對(duì)于個(gè)人信息違法行為的處罰，存在難以確定信息泄露的環(huán)節(jié)以及執(zhí)行的問題。

3 完善我國對(duì)跨境電商中個(gè)人信息的法律保護(hù)

3.1 完善立法、推出配套法律法規(guī)

我國對(duì)于個(gè)人信息保護(hù)立法起步較晚，且隨著互聯(lián)網(wǎng)技術(shù)、我國跨境電商貿(mào)易規(guī)模的不斷發(fā)展和擴(kuò)大，需要不斷地更新和完善立法來適應(yīng)時(shí)代的需求，以促進(jìn)貿(mào)易發(fā)展、保護(hù)我國信息主體、企業(yè)合法權(quán)益以及國家數(shù)據(jù)主權(quán)。

3.1.1 明確《個(gè)人信息保護(hù)法》中規(guī)定的執(zhí)行、監(jiān)督機(jī)構(gòu)及其職責(zé)

黨的二十屆二中全會(huì)通過了《黨和國家機(jī)構(gòu)改革方案》，深化國務(wù)院機(jī)構(gòu)改革是其中的一項(xiàng)重要任務(wù)。決定根據(jù)議案組建國家數(shù)據(jù)局，從已有的信息中可以看出設(shè)立國家數(shù)據(jù)局的核心目的是更好地維護(hù)數(shù)據(jù)安全，促進(jìn)數(shù)據(jù)共享和數(shù)字經(jīng)濟(jì)的發(fā)展。其中不可避免地會(huì)涉及個(gè)人信息的安全，但是從《黨和國家機(jī)構(gòu)改革方案》公開的信息來看，國家數(shù)據(jù)局未涵括《個(gè)人信息保護(hù)法》提及的有關(guān)部門的個(gè)人信息保護(hù)職責(zé)，因此履行個(gè)人信息保護(hù)職責(zé)的部門依然是《個(gè)人信息保護(hù)法》中所提及的主體。但事實(shí)上很有必要設(shè)立一個(gè)單獨(dú)的、專門履行個(gè)人信息保護(hù)職責(zé)的數(shù)據(jù)保護(hù)機(jī)構(gòu)，不僅可以擁有統(tǒng)一的執(zhí)法權(quán)以便于統(tǒng)一管理消除職權(quán)沖突，還可以有效促進(jìn)行業(yè)自律的發(fā)展?；诖耍秱€(gè)人信息保護(hù)法》中所提到的履行個(gè)人信息保護(hù)職責(zé)的部門，其監(jiān)管、接受處理投訴、調(diào)查違法處理活動(dòng)的職責(zé)可以分離出來劃給國家數(shù)據(jù)局的對(duì)應(yīng)部門，或可能會(huì)成立的單獨(dú)的個(gè)人信息保護(hù)機(jī)構(gòu)；在其統(tǒng)一管理下，承擔(dān)一些輔助的職責(zé)，例如開展宣傳教育、定期測(cè)評(píng)等工作，再進(jìn)一步明確各部門應(yīng)履行的相應(yīng)職責(zé)，以避免職責(zé)模糊不清發(fā)生沖突的情況出現(xiàn)，保證個(gè)人信息保護(hù)工作的順利進(jìn)行。

3.1.2 明確數(shù)據(jù)跨境流動(dòng)涉及程序的主體及其職責(zé)

《數(shù)據(jù)出境安全評(píng)估辦法》第三條規(guī)定數(shù)據(jù)出境需堅(jiān)持事前評(píng)估和持續(xù)監(jiān)督相結(jié)合，但在第十條中提到的安全評(píng)估的主體過于廣泛，亟待明確。首先，專門機(jī)構(gòu)是需部門指定、有可選機(jī)構(gòu)名單，還是自選經(jīng)部門認(rèn)可的機(jī)構(gòu)即可；其次，安全評(píng)估的主體職責(zé)范圍，是共同合作完成還是負(fù)責(zé)不同的板塊，同時(shí)應(yīng)當(dāng)公開具體的流程，以供數(shù)據(jù)處理者查閱。

數(shù)據(jù)出境的持續(xù)監(jiān)督規(guī)定也未明確監(jiān)督機(jī)關(guān)、監(jiān)督流程等詳細(xì)規(guī)定均未在該辦法中體現(xiàn)，缺少這一重要環(huán)節(jié)便不能使數(shù)據(jù)出境得到安全保障。建議將持續(xù)監(jiān)督的規(guī)定和流程進(jìn)一步落實(shí)，在與事前評(píng)估的環(huán)節(jié)有效銜接的同時(shí)，不阻礙數(shù)據(jù)跨境自由流動(dòng)。

3.1.3 明確、細(xì)化信息主體救濟(jì)方式

《安全規(guī)范》和《個(gè)人信息保護(hù)法》分別提到了個(gè)人信息控制者建立投訴機(jī)制以及履行個(gè)人信息保護(hù)部門接受、處理相關(guān)投訴、舉報(bào)，但未細(xì)化相關(guān)規(guī)定，個(gè)人信息主體或難以進(jìn)行救濟(jì)。有關(guān)部門應(yīng)做好協(xié)調(diào)統(tǒng)籌工作，進(jìn)一步完善保護(hù)職責(zé)部門個(gè)人信息保護(hù)投訴、舉報(bào)工作機(jī)制，為個(gè)人信息控制者建立投訴機(jī)制提供原則和方向。我國跨境信息流動(dòng)規(guī)模較大，還可考慮將向個(gè)人信息控制者投訴作為向保護(hù)職責(zé)部門投訴的前置程序。

除了投訴機(jī)制外的司法救濟(jì)也應(yīng)得到進(jìn)一步完善。司法救濟(jì)懲罰針對(duì)的主體不應(yīng)只是數(shù)據(jù)控制者、處理者，還應(yīng)考慮到相關(guān)監(jiān)管、認(rèn)證機(jī)構(gòu)在監(jiān)管、認(rèn)證過程中如有侵害信息主體利益時(shí)對(duì)應(yīng)的申訴手段，以確保信息主體有效地維護(hù)其個(gè)人信息。此外，應(yīng)明確懲罰規(guī)則中關(guān)于罰款金額的規(guī)定，進(jìn)一步說明責(zé)任主體的確定方式，以及存在多種責(zé)任主體時(shí)的責(zé)任承擔(dān)方式；懲罰金額是全球總營業(yè)額，還是針對(duì)中國或個(gè)人信息接受國的營業(yè)額，并確保此類懲罰的有效性、成比例性、勸誡性。

3.2 完善行業(yè)自律機(jī)制

3.2.1 建立專業(yè)保護(hù)認(rèn)證機(jī)構(gòu)

行業(yè)自律機(jī)制因基于自愿原則，在實(shí)施效果上并不理想，對(duì)此可以設(shè)立或者明確專門的認(rèn)證機(jī)構(gòu)，在行業(yè)協(xié)會(huì)的組織和倡導(dǎo)下制定有效、合理、科學(xué)的認(rèn)證、事后監(jiān)督流程。行業(yè)協(xié)會(huì)也須充分發(fā)揮領(lǐng)頭作用，引導(dǎo)企業(yè)形成科學(xué)有效的企業(yè)內(nèi)部自律規(guī)則，鼓勵(lì)龍頭企業(yè)在保護(hù)技術(shù)和規(guī)則制定方面分享經(jīng)驗(yàn)、互相幫助，共同提高行業(yè)自律機(jī)制?？紤]到我國對(duì)于企業(yè)自我認(rèn)證的意識(shí)不足以及認(rèn)證成本過高，可以在保障機(jī)構(gòu)專業(yè)水平的同時(shí)，向公眾宣傳“保護(hù)認(rèn)證”的權(quán)威性，使認(rèn)證機(jī)制在公眾領(lǐng)域產(chǎn)生信服力，進(jìn)一步增強(qiáng)企業(yè)認(rèn)證的自覺性，以獲得信息主體的認(rèn)可和信任。

3.2.2 增強(qiáng)行業(yè)自律機(jī)制的影響力

個(gè)人信息控制者內(nèi)部應(yīng)建立一套可操作性的管理方案，以適應(yīng)行業(yè)自律機(jī)制的發(fā)展?？稍趦?nèi)部設(shè)立監(jiān)督機(jī)制，對(duì)查詢和事件進(jìn)行及時(shí)響應(yīng)和反饋，在監(jiān)督的同時(shí)定期更新該管理方案，而在外部也可通過第三方監(jiān)督的方式，以檢驗(yàn)行業(yè)自律的成果。個(gè)人信息控制者內(nèi)部定期向第三方監(jiān)督機(jī)構(gòu)匯報(bào)安全評(píng)估成果，在出現(xiàn)安全隱患、事故風(fēng)險(xiǎn)時(shí)，可以及時(shí)反饋并得到幫助，對(duì)此可以由具體的行業(yè)協(xié)會(huì)履行該職責(zé)。

3.3 加強(qiáng)國際合作

一國國內(nèi)法的規(guī)定無法覆蓋每一個(gè)環(huán)節(jié)，難以對(duì)境外主體產(chǎn)生效力，而國際合作可以突破這層壁壘。通過雙邊、多邊平臺(tái)的國際合作不僅可以促進(jìn)本國的個(gè)人信息立法進(jìn)程、提高保護(hù)水平，還可以與其他國家進(jìn)行友好交流，在組織框架內(nèi)實(shí)現(xiàn)數(shù)據(jù)自由流動(dòng)和貿(mào)易交流。

3.3.1 加入CBPR體系

CBPR體系是跨境隱私規(guī)則體系（Cross-Border Privacy Rules）的縮寫，是《亞太經(jīng)合組織隱私框架（2015）》中最具特色的規(guī)定，是一個(gè)基于自愿的，以促進(jìn)亞太經(jīng)合組織經(jīng)濟(jì)體之間隱私尊重的個(gè)人信息流動(dòng)的問責(zé)制方案。CBPR體系主要從執(zhí)法機(jī)構(gòu)、問責(zé)代理機(jī)構(gòu)、企業(yè)三個(gè)角度進(jìn)行了規(guī)定，形成了法律規(guī)制加行業(yè)自律一體的規(guī)制體系。

我國是亞太經(jīng)合組織成員，但至今未能申請(qǐng)加入CBPR體系，這和目前我國個(gè)人信息保護(hù)立法水平等因素有著直接的關(guān)系。CBPR體系在國際上具有一定認(rèn)可度，《中國電子商務(wù)報(bào)告（2021）》顯示，我國跨境電商出口國前10名中[6]，有8個(gè)國家是亞太經(jīng)合組織成員，7個(gè)國家已加入CBPR體系。如果我國加入了CBPR體系，不僅能夠更好地與跨境電商貿(mào)易伙伴交流、促進(jìn)數(shù)據(jù)跨境流動(dòng)，還可以借此平臺(tái)與國際接軌，促進(jìn)與美洲、歐洲國家的交流。因此，我國應(yīng)當(dāng)充分提高、完善相應(yīng)規(guī)定和機(jī)制，爭取早日加入CBPR體系。

3.3.2 加強(qiáng)現(xiàn)有合作機(jī)制和框架

在拓展交流平臺(tái)和對(duì)象的同時(shí)，也要加強(qiáng)現(xiàn)有合作機(jī)制和框架。我國加入了亞太地區(qū)規(guī)模最大、最重要的自由貿(mào)易協(xié)定《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》，申請(qǐng)加入了《全面與進(jìn)步跨太平洋伙伴關(guān)系協(xié)定》和《數(shù)字經(jīng)濟(jì)伙伴關(guān)系協(xié)定》，倡導(dǎo)發(fā)起了《攜手構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體行動(dòng)倡議》《“一帶一路”數(shù)字經(jīng)濟(jì)國際合作倡議》等國際合作倡議[7]，我國積極地參與到網(wǎng)絡(luò)國際空間和數(shù)字經(jīng)濟(jì)的治理之中，在完善自身的同時(shí)貢獻(xiàn)中國智慧、中國方案、中國力量。對(duì)此，應(yīng)當(dāng)繼續(xù)鞏固和加強(qiáng)同東盟國家、“一帶一路”沿線國家等貿(mào)易伙伴的合作與交流，通過簽訂協(xié)議、諒解備忘錄等方式減少貿(mào)易壁壘，共同實(shí)現(xiàn)跨境電商下的個(gè)人信息保護(hù)。

4 結(jié)語

個(gè)人信息被稱作是大數(shù)據(jù)時(shí)代的“新石油”，其重要性和價(jià)值與信息主體的人身權(quán)益、財(cái)產(chǎn)權(quán)益息息相關(guān)。我國近年來在立法方面逐漸完善，形成以《個(gè)人信息保護(hù)法》為中心的保護(hù)體系，但涉及跨境電商領(lǐng)域個(gè)人信息跨境流動(dòng)的規(guī)制還有待完善。基于我國國情，可以適當(dāng)參考其他國家、地區(qū)個(gè)人信息保護(hù)機(jī)制的規(guī)定，以完善立法、行業(yè)自律、國際合作等方面，在保證數(shù)據(jù)自由跨境流動(dòng)的同時(shí)，使個(gè)人信息的安全得到有效的保障和救濟(jì)。其中立法方面的完善是重點(diǎn)，明確數(shù)據(jù)出境全流程涉及的主體及其職責(zé)，與行業(yè)自律機(jī)制有效結(jié)合，同時(shí)加強(qiáng)國際合作，達(dá)到事前預(yù)防、事中保障、事后救濟(jì)的最佳效果。

注釋：

①《個(gè)人信息保護(hù)法》第四條 個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。個(gè)人信息的處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等。