張繼紅，蔡雨倩

（上海政法學(xué)院 a.中國—上海合作組織國際司法交流合作培訓(xùn)基地；b.國際法學(xué)院，上海 201701）

數(shù)據(jù)在流動(dòng)中才能創(chuàng)造價(jià)值，跨境流動(dòng)是數(shù)字時(shí)代實(shí)現(xiàn)數(shù)據(jù)價(jià)值最大化的必然要求。然而，環(huán)節(jié)多、溯源難、跨法域等特性也決定了數(shù)據(jù)跨境特別是敏感個(gè)人信息的跨境流動(dòng)蘊(yùn)含著較高的法律風(fēng)險(xiǎn)。從2015年華大基因未經(jīng)許可將部分人類遺傳資源信息從網(wǎng)上傳遞出境；到2018年劍橋分析公司被爆出未經(jīng)授權(quán)分析大量臉書用戶的政治觀念信息，向特定用戶投放誘導(dǎo)性廣告從而影響英國“脫歐”和美國大選；再至2022年滴滴公司因違法處理人臉識(shí)別信息等敏感個(gè)人信息被施以高額處罰，全球范圍內(nèi)敏感個(gè)人信息無序流動(dòng)的案例屢見不鮮，不僅嚴(yán)重侵害了個(gè)人信息權(quán)益，還威脅到國家安全。

2022年12月，中共中央、國務(wù)院發(fā)布《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》，明確提出要“構(gòu)建數(shù)據(jù)安全合規(guī)有序跨境流通機(jī)制”，“探索建立跨境數(shù)據(jù)分類分級(jí)管理機(jī)制”。《數(shù)據(jù)出境安全評(píng)估辦法》《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》的相繼出臺(tái)為敏感個(gè)人信息出境提供了指引。然而，我國現(xiàn)行敏感個(gè)人信息出境規(guī)則設(shè)計(jì)過多倚重?cái)?shù)據(jù)出境安全評(píng)估，一定程度上擠壓了出境標(biāo)準(zhǔn)合同、認(rèn)證等其他路徑的適用空間，與敏感個(gè)人信息區(qū)分保護(hù)的立法初衷并不完全契合，無形中增加了非重要數(shù)據(jù)類敏感個(gè)人信息跨境流動(dòng)的成本。如何在維護(hù)個(gè)人信息權(quán)益并保障國家數(shù)據(jù)安全的前提下推動(dòng)敏感個(gè)人信息的雙向有序流動(dòng)，如何有效協(xié)調(diào)國內(nèi)規(guī)則與國際標(biāo)準(zhǔn)之間的差異，是目前亟待解決的現(xiàn)實(shí)問題。

一、敏感個(gè)人信息類型辨析

敏感個(gè)人信息概念最早出現(xiàn)于歐洲委員會(huì)《關(guān)于個(gè)人數(shù)據(jù)自動(dòng)化處理的個(gè)人保護(hù)公約》（以下稱《108號(hào)公約》）第六條，要求各締約國提供更為嚴(yán)格的保護(hù)，以推動(dòng)敏感個(gè)人信息與非敏感個(gè)人信息在各締約國內(nèi)有序流通。這種對(duì)個(gè)人信息區(qū)分保護(hù)的模式已在全球范圍內(nèi)得到廣泛應(yīng)用，但敏感個(gè)人信息概念本身在數(shù)字革命的深刻影響下變得愈加復(fù)雜和模糊。如何界定敏感個(gè)人信息一直存在較大分歧：《108號(hào)公約》以個(gè)人信息揭示或關(guān)涉的內(nèi)容來定義敏感個(gè)人信息，包括種族、政治觀點(diǎn)、宗教及其他信仰、與健康和性生活有關(guān)的個(gè)人信息、與刑事判決有關(guān)的個(gè)人信息等①《108號(hào)公約》在文本的具體表述中，并未使用“敏感個(gè)人信息”，而是表述為“特殊類型的個(gè)人信息”。；而以1980年經(jīng)濟(jì)合作與發(fā)展組織制定的《關(guān)于保護(hù)隱私和個(gè)人數(shù)據(jù)跨境流通的指南》（以下稱《OECD指南》）為代表的國際文件則避免了直接對(duì)敏感個(gè)人信息進(jìn)行界定。區(qū)域法或國內(nèi)法層面，歐盟等地區(qū)及日本、韓國、馬來西亞等國家的個(gè)人信息保護(hù)法專門規(guī)定了敏感個(gè)人信息的類型，美國州層面的消費(fèi)者隱私保護(hù)法中亦引入敏感個(gè)人信息概念。但具體哪些類型的個(gè)人信息是敏感個(gè)人信息，尚未形成共識(shí)。綜合來看，域外敏感個(gè)人信息的類型可見表1。

表1 域外敏感個(gè)人信息的類型比較

從表1來看，與人格、人身直接關(guān)聯(lián)的個(gè)人信息的高敏感性得到廣泛認(rèn)可，不同國家及地區(qū)的立法者傾向于將醫(yī)療健康、種族、民族、信仰等與人的基本價(jià)值稟賦掛鉤的信息納入敏感個(gè)人信息的列舉項(xiàng)。以基因信息為例，其直接揭示了人類種族起源，與個(gè)人生命健康緊密相關(guān)，且一旦與個(gè)人身份連結(jié)即可唯一識(shí)別特定個(gè)人，天然帶有“敏感”屬性。然而，金融賬戶信息、個(gè)人位置信息、與刑事判決有關(guān)的個(gè)人信息等是否屬于敏感個(gè)人信息，則存在不同認(rèn)識(shí)。

第一，金融賬戶信息。包括歐盟在內(nèi)的地區(qū)及俄羅斯、日本、韓國、澳大利亞在內(nèi)的國家對(duì)敏感個(gè)人信息的界定并不涉及金融類信息。這與當(dāng)前多數(shù)國家和地區(qū)的立法取向契合，即僅將信息主體的敏感個(gè)人信息權(quán)益界定為一種人格權(quán)益，強(qiáng)調(diào)敏感個(gè)人信息的人格屬性。澳大利亞《隱私法與實(shí)踐報(bào)告》（2008）指出，不將金融賬戶納入敏感個(gè)人信息類型的原因在于“金融信息并不像已有的敏感個(gè)人信息那樣與個(gè)人的身體屬性及信仰密切相關(guān)”［1］。加之，個(gè)人金融信息具有公共屬性，對(duì)敏感個(gè)人信息施以強(qiáng)化保護(hù)的傳統(tǒng)路徑（如施加單獨(dú)同意要求來限制對(duì)個(gè)人敏感信息的處理）的保護(hù)效果相對(duì)有限［2］。反觀美國，一直以來都有將金融賬戶信息列入敏感個(gè)人信息的法律傳統(tǒng)。美國《金融服務(wù)現(xiàn)代化法案》（GLBA）專門對(duì)消費(fèi)者金融隱私問題作出規(guī)定，各州的消費(fèi)者隱私保護(hù)法中也將金融賬戶信息列入敏感個(gè)人信息。其主要理由在于，消費(fèi)者普遍對(duì)其個(gè)人金融信息從直覺上抱有保密的期望，且個(gè)人金融信息通常與可衡量的財(cái)產(chǎn)損失相聯(lián)結(jié)，對(duì)此類信息進(jìn)行特殊保護(hù)在立法上更具可行性［3］。我國立法與美國類似，亦承認(rèn)金融賬戶信息的敏感性，在《中華人民共和國個(gè)人信息保護(hù)法》（以下稱我國《個(gè)人信息保護(hù)法》）第二十八條明確將其納入敏感個(gè)人信息。

第二，個(gè)人位置信息。GDPR僅將個(gè)人位置信息列為個(gè)人信息，但并不屬于“特殊類型個(gè)人信息”，主要原因在于一直處于變動(dòng)中的位置信息并不能反映個(gè)體固有的專屬特征。而且，位置信息具有突出的公共屬性，往往被用于實(shí)現(xiàn)不同的商業(yè)和社會(huì)目標(biāo)，應(yīng)當(dāng)由其他法律予以規(guī)范。例如，位置信息對(duì)于供應(yīng)鏈監(jiān)控、智慧城市的建設(shè)以及災(zāi)難規(guī)劃至關(guān)重要，但這些場景的信息處理并不在GDPR同意框架內(nèi)運(yùn)行［4］。與之相比較，鑒于國內(nèi)泛濫的第三方位置信息交易以及精準(zhǔn)定位嚴(yán)重侵害了消費(fèi)者隱私權(quán)，美國加州、猶他州、康涅狄格州和弗吉尼亞州等州立法都將個(gè)人位置信息列為敏感個(gè)人信息［5］。我國也將個(gè)人位置信息認(rèn)定為敏感個(gè)人信息，但其考慮的重點(diǎn)在于保護(hù)人身安全，擔(dān)心個(gè)人位置信息的暴露可能引發(fā)刑事犯罪風(fēng)險(xiǎn)①2017年最高人民法院、最高人民檢察院發(fā)布的《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》最早提出“行蹤軌跡信息”，并作為事關(guān)人身與財(cái)產(chǎn)安全的高度敏感信息予以刑法保護(hù)。。

第三，與刑事判決有關(guān)的個(gè)人信息。涉及刑事判決的信息與個(gè)人關(guān)聯(lián)之密切不言自明。但是，是否將其認(rèn)定為敏感個(gè)人信息，立法上仍存在個(gè)人權(quán)利和社會(huì)公益的權(quán)衡取舍。如果將此類信息劃入個(gè)人隱私的范疇、與名譽(yù)權(quán)相關(guān)聯(lián)，那么對(duì)信息主體權(quán)益的保護(hù)將成為重點(diǎn)，極易被認(rèn)定是敏感個(gè)人信息；但當(dāng)犯罪記錄預(yù)防犯罪的公共職能被強(qiáng)調(diào)時(shí)，其規(guī)制重心則落在社會(huì)防衛(wèi)方向，一般不認(rèn)為是敏感個(gè)人信息而受到特別保護(hù)，畢竟罪犯應(yīng)當(dāng)因其罪行而感到羞愧并接受社會(huì)監(jiān)督。歐洲基于前一種立法考量主張“人道保護(hù)型”犯罪記錄制度，以西班牙最具代表性，其《個(gè)人數(shù)據(jù)保護(hù)法》禁止在互聯(lián)網(wǎng)上公布署有犯罪人姓名的數(shù)據(jù)庫。而在美國，犯罪記錄類信息推定向公眾開放，聯(lián)邦、州或地方政府機(jī)構(gòu)不應(yīng)禁止普通公民在互聯(lián)網(wǎng)上發(fā)布被定罪者的名單或數(shù)據(jù)庫，發(fā)布一項(xiàng)被消除的定罪信息亦不能被禁止或懲罰［6］?；诖耍鄶?shù)州并不將與刑事判決有關(guān)的個(gè)人信息認(rèn)定為敏感個(gè)人信息。

客觀來說，引入敏感個(gè)人信息這一類別的底層邏輯在于立法者認(rèn)可特殊種類個(gè)人信息的存在，承認(rèn)其所載之內(nèi)容具備高度的抽象危險(xiǎn)性，一旦濫用可能對(duì)信息主體造成較大的負(fù)面影響和損害。對(duì)敏感個(gè)人信息類型的具體列舉，表明的是立法者對(duì)個(gè)人信息權(quán)益受侵害可能性與權(quán)益受影響程度即抽象危險(xiǎn)性的判斷［7］。而這一判斷需要抽離信息處理的個(gè)案式情境作出，具備抽象性和廣泛適用性。同時(shí)，對(duì)敏感度的評(píng)估要結(jié)合一國自身的法律、社會(huì)環(huán)境、歷史文化傳統(tǒng)等因素作出綜合考量，因而各國立法所認(rèn)定的敏感個(gè)人信息類型呈現(xiàn)一定的差異性。

歐洲對(duì)個(gè)人信息的認(rèn)知建立在人格理論的基礎(chǔ)之上，認(rèn)為個(gè)人信息是構(gòu)建個(gè)人身份認(rèn)同不可或缺的面向，形同人格的延伸。保護(hù)個(gè)人信息，本質(zhì)上是要維護(hù)人性尊嚴(yán)、人格發(fā)展、個(gè)人主體性等難以金錢量化的精神價(jià)值。據(jù)此，歸入敏感個(gè)人信息需要特別保護(hù)的是那些干擾基本權(quán)利的實(shí)現(xiàn)、引發(fā)歧視等風(fēng)險(xiǎn)、具備強(qiáng)人格屬性的個(gè)人信息。而美國則呈現(xiàn)出另一種法律文化，即只有在某些特定產(chǎn)業(yè)濫用消費(fèi)者信息問題引發(fā)社會(huì)廣泛關(guān)注時(shí)，才會(huì)制定專門的行業(yè)規(guī)范并施以額外的保護(hù)措施，屬于典型的事后補(bǔ)救式立法［8］。實(shí)踐中能夠造成個(gè)人信息權(quán)益受損的不限于人格損害，還包括財(cái)產(chǎn)欺詐、財(cái)產(chǎn)損害、身份盜用等。鑒于此，美國對(duì)敏感個(gè)人信息具體類型列舉更為寬泛。反觀我國，個(gè)人信息保護(hù)法治建設(shè)尚在發(fā)展期，數(shù)字時(shí)代個(gè)人信息安全風(fēng)險(xiǎn)呈現(xiàn)出明顯的多維度、復(fù)雜性等特征。面對(duì)一體化程度要求更高的數(shù)字技術(shù)，我國立法對(duì)損害程度的判斷不僅限于人格尊嚴(yán)、人身安全，還包括財(cái)產(chǎn)安全，故而金融賬戶信息、行蹤軌跡信息等也被列入敏感個(gè)人信息的類型。

二、敏感個(gè)人信息跨境流動(dòng)的治理模式比較

正是因?yàn)槊舾袀€(gè)人信息與個(gè)體人格及財(cái)產(chǎn)利益密切相關(guān)，各國立法者在數(shù)據(jù)跨境流動(dòng)規(guī)則上或多或少地采取了一定限制或禁止性措施，但又呈現(xiàn)出明顯的差異性：歐盟并不專門區(qū)分敏感個(gè)人信息和一般個(gè)人信息，而統(tǒng)一設(shè)定較高的跨境流動(dòng)限制性要求；美國倡導(dǎo)個(gè)人信息跨境自由流動(dòng)，形成市場主導(dǎo)型的監(jiān)管模式；日本則積極對(duì)接協(xié)調(diào)美國及歐盟的不同規(guī)定，采取了更加務(wù)實(shí)、靈活的個(gè)人信息跨境傳輸政策，以盡可能吸引更多數(shù)據(jù)進(jìn)入本國境內(nèi)。

（一）歐盟：個(gè)人信息跨境傳輸?shù)摹八綏l款”

為了保護(hù)個(gè)人數(shù)據(jù)權(quán)這一基本權(quán)利和自由，歐盟對(duì)于數(shù)據(jù)跨境流動(dòng)的標(biāo)準(zhǔn)較為嚴(yán)苛，要求數(shù)據(jù)輸入國提供與GDPR水平相當(dāng)?shù)膫€(gè)人數(shù)據(jù)保護(hù)。個(gè)人數(shù)據(jù)跨境流動(dòng)條款是涵蓋所有經(jīng)濟(jì)部門的“水平條款”，并不特別區(qū)分敏感個(gè)人信息和一般個(gè)人信息。換言之，敏感個(gè)人信息與一般個(gè)人信息適用相同的跨境流動(dòng)規(guī)則，包括獲得充分保護(hù)水平認(rèn)定、提供適當(dāng)安全保障以及特殊的克減例外。

1. 充分保護(hù)水平認(rèn)定。充分保護(hù)水平認(rèn)定是歐盟個(gè)人數(shù)據(jù)跨境傳輸?shù)暮诵臋C(jī)制。根據(jù)GDPR第四十五條規(guī)定，歐盟委員會(huì)有權(quán)基于第三國的國內(nèi)立法及其已作出的國際承諾，確定歐盟成員國以外的國家是否提供充分的個(gè)人數(shù)據(jù)保護(hù)。獲得充分保護(hù)水平認(rèn)定的國家、地區(qū)或者國際組織進(jìn)入白名單，無須經(jīng)過歐盟數(shù)據(jù)監(jiān)管機(jī)構(gòu)的事前授權(quán)，就可以實(shí)現(xiàn)與歐盟之間包括敏感個(gè)人信息在內(nèi)的數(shù)據(jù)跨境自由流動(dòng)。這一為數(shù)據(jù)跨境流通設(shè)置白名單國家的做法在瑞士、日本、俄羅斯等國的個(gè)人信息保護(hù)立法中也有體現(xiàn)。例如，俄羅斯《聯(lián)邦個(gè)人數(shù)據(jù)法》規(guī)定，運(yùn)營商向獲得充分性認(rèn)定的國家傳輸個(gè)人數(shù)據(jù)，僅需向主管機(jī)構(gòu)（Roskomnadzor，RKN）進(jìn)行通報(bào)，無需事前許可。雖然充分保護(hù)水平認(rèn)定機(jī)制為個(gè)人數(shù)據(jù)跨境傳輸提供了便利，但是一國想要進(jìn)入白名單并非易事。由于信息技術(shù)、法律制度、文化傳統(tǒng)、經(jīng)濟(jì)發(fā)展水平等差異，不同國家及地區(qū)早已形成了風(fēng)格迥異的個(gè)人信息保護(hù)體系，難以與歐盟的要求完全契合。此外，兩國關(guān)系等政治因素亦會(huì)影響充分性的認(rèn)定結(jié)果。目前，僅有14個(gè)國家進(jìn)入歐盟GDPR充分性保護(hù)白名單。與之相比，俄羅斯則表現(xiàn)得更為開放，其提供的白名單國家范圍更廣，除了《108號(hào)公約》的締約國，還涵蓋RKN認(rèn)定的提供同等保護(hù)的非締約國（如澳大利亞、中國等）①依RKN 2022年8月5日第128號(hào)令，俄羅斯目前批準(zhǔn)的“為個(gè)人數(shù)據(jù)主體權(quán)利提供充分保護(hù)的外國名單”共包括89個(gè)國家。。

2. 適當(dāng)安全保障。未能獲得充分保護(hù)水平認(rèn)定的，歐盟GDPR提供了替代性方案，包括標(biāo)準(zhǔn)合同條款、約束性公司規(guī)則、行為準(zhǔn)則和認(rèn)證機(jī)制。標(biāo)準(zhǔn)合同條款是由歐盟數(shù)據(jù)保護(hù)委員會(huì)提供的合同條款，規(guī)定了跨境傳輸各方的角色分配和責(zé)任承擔(dān)，旨在向信息主體提供與歐盟保護(hù)水平基本相當(dāng)?shù)谋Ｕ?。其中，要求接收方?duì)傳輸敏感個(gè)人信息提供專門的限制和額外的保障措施（如假名化、訪問限制等），且輸出方應(yīng)保證其已盡合理努力確定接收方能夠履行此義務(wù)。以醫(yī)療信息為例，一般要求由位于歐盟的醫(yī)療機(jī)構(gòu)收集且以假名化形式傳輸至第三國，并將密鑰保留在歐盟境內(nèi)，通過限制共享密鑰的頻率和密鑰的共享對(duì)象等提供額外安全保障［9］。但上述額外措施的實(shí)際保障效果并不理想。對(duì)于基因信息和其他具備唯一性的生物識(shí)別信息，常規(guī)的去標(biāo)識(shí)化措施尚不足以消除其可識(shí)別性，在與其他數(shù)據(jù)庫交叉比對(duì)后仍有可能重新識(shí)別到特定個(gè)人。同時(shí)，在以改進(jìn)罕見病診斷方法為目標(biāo)的基因醫(yī)學(xué)研究中，將基因信息與相關(guān)的臨床結(jié)果、患者的病史資料等相結(jié)合進(jìn)行分析是必要步驟，去標(biāo)識(shí)化措施又可能導(dǎo)致處理目的無法實(shí)現(xiàn)。

3. 信息主體的明示同意。在數(shù)據(jù)輸出方無法證明存在足夠的保障措施的情況下，獲得信息主體的明示同意被視為將敏感個(gè)人信息傳輸至第三國的合法性基礎(chǔ)。依據(jù)GDPR第四十九條規(guī)定，同意應(yīng)以明確的同意聲明（如書面陳述）作出，且數(shù)據(jù)輸出方必須告知信息主體在充分性保護(hù)或適當(dāng)?shù)陌踩Ｕ洗胧┣啡钡那闆r下可能面臨的跨境流動(dòng)風(fēng)險(xiǎn)。但是也有歐盟成員國對(duì)特定類型的敏感個(gè)人信息收集和使用作出更嚴(yán)格的限制，使取得信息主體同意無法成為數(shù)據(jù)跨境傳輸?shù)暮戏窂健１热缦ＥD法規(guī)定，基于健康和人壽保險(xiǎn)目的處理基因數(shù)據(jù)應(yīng)被嚴(yán)格禁止，即便在取得信息主體明確同意的情況下。此外，信息主體的明示同意只能適用于一次性或偶然性的數(shù)據(jù)跨境傳輸活動(dòng)，對(duì)于定期或持續(xù)進(jìn)行的數(shù)據(jù)跨境傳輸活動(dòng)，僅僅基于信息主體同意將數(shù)據(jù)傳輸至沒有足夠保護(hù)水平的國家，歐盟數(shù)據(jù)保護(hù)委員會(huì)認(rèn)為其合法性并不充分［10］。而且，一旦敏感個(gè)人信息被傳輸至第三國，還可能因二次使用而需重新獲得本人同意，其合規(guī)成本相對(duì)較高。因此，基于信息主體明示同意進(jìn)行的敏感個(gè)人信息的跨境傳輸，往往受制于諸多限制，只能算是輔助路徑而無法成為常態(tài)化的流通渠道。

（二）美國：敏感個(gè)人信息跨境流動(dòng)的行業(yè)監(jiān)管

美國聯(lián)邦層面尚未制定專門的個(gè)人信息保護(hù)法，而是形成了以市場自律為主、政府規(guī)制為輔的分散式、部門化的監(jiān)管模式。相較于政府，美國民眾對(duì)行業(yè)部門給予了更多信任，相信大眾媒體能揭發(fā)私營經(jīng)濟(jì)領(lǐng)域?qū)€(gè)人信息的濫用，并認(rèn)為科技能夠解決相關(guān)問題，因而政府并不積極介入管制性活動(dòng)［11］。也就是說，美國將個(gè)人信息的收集、處理、利用以及跨境傳輸問題，委由當(dāng)事方自行通過協(xié)商機(jī)制協(xié)商，必要時(shí)輔以行業(yè)自律守則予以規(guī)范。不可否認(rèn)，行業(yè)從業(yè)者最具備判斷何種規(guī)范適合行業(yè)的資質(zhì)，但其出于行業(yè)保護(hù)的本能亦會(huì)損害消費(fèi)者權(quán)益。因此，當(dāng)某一特定產(chǎn)業(yè)部門或領(lǐng)域嚴(yán)重濫用消費(fèi)者個(gè)人信息形成隱私保護(hù)危機(jī)時(shí)，政府也會(huì)制定法令以回應(yīng)社會(huì)關(guān)切，但政府介入相對(duì)是謙抑且克制的［12］。從20世紀(jì)70年代起，美國國會(huì)陸續(xù)制定了特定產(chǎn)業(yè)（如醫(yī)療、金融、教育等）的專門立法，由此構(gòu)建獨(dú)具特色的個(gè)人信息保護(hù)體系。在個(gè)人信息跨境流動(dòng)問題上，其亦沿襲了部門式的治理范式，對(duì)金融、醫(yī)療等特殊行業(yè)作單獨(dú)規(guī)定。

《健康保險(xiǎn)攜帶和責(zé)任法案》（HIPAA）是美國聯(lián)邦層面制定的規(guī)范醫(yī)療保健行業(yè)的部門法案，為患者個(gè)人健康信息的保護(hù)設(shè)定基本規(guī)范。處理個(gè)人健康信息必須采取一系列的行政、物理、技術(shù)保障措施以及管理要求，并遵循一定的程序，以符合上述要求。HIPAA并未單獨(dú)規(guī)定個(gè)人醫(yī)療信息跨境傳輸問題，但其對(duì)商業(yè)伙伴的規(guī)定效力實(shí)際及于境外相關(guān)機(jī)構(gòu)。HIPAA要求與美國醫(yī)療保健機(jī)構(gòu)開展業(yè)務(wù)合作的醫(yī)院系統(tǒng)、醫(yī)療保健診所以及其他實(shí)體和個(gè)人提供相關(guān)保證，以證明其愿意并且有能力保護(hù)將要共享的個(gè)人健康信息。美國醫(yī)療保健組織通常會(huì)要求相關(guān)實(shí)體和個(gè)人簽署商業(yè)伙伴協(xié)議，協(xié)議中需要闡明為保護(hù)個(gè)人健康信息而必須采取的具體步驟。簡言之，在醫(yī)療健康領(lǐng)域，對(duì)個(gè)人健康信息的跨境傳輸，美國并沒有設(shè)置嚴(yán)格的限制性和專門性條款，主要通過私主體之間約定的合同義務(wù)予以調(diào)整。

聚焦金融領(lǐng)域，美國推崇包括個(gè)人金融信息在內(nèi)的金融數(shù)據(jù)的自由流通?！督鹑诜?wù)現(xiàn)代化法案》對(duì)金融機(jī)構(gòu)處理非公開個(gè)人信息予以規(guī)范。金融機(jī)構(gòu)與關(guān)聯(lián)機(jī)構(gòu)之間可以自由地傳輸個(gè)人金融信息，但與非關(guān)聯(lián)機(jī)構(gòu)之間的個(gè)人金融信息流動(dòng)需要征得信息主體的同意，并向其提供選退機(jī)制①選退機(jī)制并不以信息主體的明示同意為前提，只要信息主體未明確表示反對(duì)，即默認(rèn)其個(gè)人金融信息可以被收集、傳輸以及共享。。相較而言，美國提供了一種更低標(biāo)準(zhǔn)的保護(hù)以求在最大限度內(nèi)促進(jìn)個(gè)人金融信息的自由流動(dòng)，這一價(jià)值取向同樣在美國的對(duì)外交往中有所表現(xiàn)，即在雙邊及多邊區(qū)域性協(xié)定中致力于金融數(shù)據(jù)跨境自由流動(dòng)，旗幟鮮明地反對(duì)金融信息的本地化存儲(chǔ)，畢竟金融服務(wù)一直是其在全球最具競爭力的關(guān)鍵產(chǎn)業(yè)之一，也是國際經(jīng)貿(mào)談判中的核心利益之所在。在區(qū)域多邊協(xié)定中，以《美墨加協(xié)議》（USMCA）最具代表性，其明確三國開展境內(nèi)業(yè)務(wù)的基礎(chǔ)是金融數(shù)據(jù)的流動(dòng)，“軟”禁止三國金融機(jī)構(gòu)或跨境金融服務(wù)提供者采用數(shù)據(jù)本地化措施。需要注意的是，考慮到金融監(jiān)管職責(zé)的履行離不開信息的獲取，USMCA禁止本地化的前提條件是這種禁止并不會(huì)妨礙金融監(jiān)管機(jī)構(gòu)從境外即刻、直接、完整與持續(xù)地獲取相關(guān)信息。也就是說，USMCA對(duì)于金融數(shù)據(jù)本地化不是“一刀切”式禁止，也要滿足其本國金融監(jiān)管以及個(gè)人隱私保護(hù)的需求。盡管美國積極倡導(dǎo)金融信息的自由流動(dòng)，但對(duì)于本國個(gè)人金融信息的出境仍存在間接管制的“隱性制度”，如2020年3月通過的《外國投資風(fēng)險(xiǎn)審查現(xiàn)代化法》加強(qiáng)了對(duì)涉“敏感個(gè)人數(shù)據(jù)”外國投資交易的審查監(jiān)管［13］。

（三）日本：敏感個(gè)人信息跨境流動(dòng)的彈性化管理

日本沒有選擇如歐盟、美國一般強(qiáng)勢(shì)地輸出本國個(gè)人信息保護(hù)要求，而是致力于提高本國數(shù)據(jù)跨境流通政策的自適性，在協(xié)調(diào)美歐數(shù)據(jù)跨境流動(dòng)規(guī)則的同時(shí)積極推動(dòng)國內(nèi)立法革新［14］。依靠其極具彈性的數(shù)據(jù)跨境傳輸政策，日本在美歐間左右逢源，不僅加入美國主導(dǎo)的《跨境隱私規(guī)則體系》（CBPR），并與其積極磋商《美日數(shù)字貿(mào)易協(xié)定》，還主動(dòng)融入歐盟的數(shù)據(jù)流動(dòng)圈，成為GDPR生效后第一個(gè)獲得充分保護(hù)水平認(rèn)定的國家，有效促進(jìn)了歐盟個(gè)人數(shù)據(jù)流入日本境內(nèi)。

在國內(nèi)法層面，日本的個(gè)人信息出境限制規(guī)則相對(duì)克制。在提高個(gè)人信息跨境傳輸透明度的同時(shí)重視與美國就“自由”展開的政策協(xié)調(diào)。2017年修改后的《個(gè)人信息保護(hù)法》要求個(gè)人信息跨境傳輸必須征得信息主體的事前同意，但同時(shí)參考美國引入告知同意的選退機(jī)制，將個(gè)人信息傳輸至個(gè)人信息保護(hù)委員會(huì)認(rèn)定的白名單國家或受APEC隱私框架及CBPR體系擔(dān)保的境外第三方。一般來說，審查境外接收方是否提供適當(dāng)保護(hù)，一個(gè)重要考量因素就是針對(duì)敏感個(gè)人信息是否采用了特殊保護(hù)措施。但日本個(gè)人信息保護(hù)委員會(huì)2022年版《個(gè)人信息保護(hù)法指南》（向境外第三方提供版）明確其國內(nèi)法第四章第二款對(duì)敏感個(gè)人信息的正當(dāng)收集要求并不適用于境外第三方。日本援引《OECD指南》解釋性備忘錄的相關(guān)說明，認(rèn)為敏感個(gè)人信息的具體內(nèi)容可能因國情的差異而有所不同，為了能與國際接軌，不要求信息接收方采取國內(nèi)法針對(duì)敏感個(gè)人信息收集的特殊措施［15］。

需要說明的是，為了達(dá)到歐盟GDPR對(duì)個(gè)人數(shù)據(jù)的保護(hù)要求，日本個(gè)人信息保護(hù)委員會(huì)就敏感個(gè)人信息的保護(hù)作出了更高標(biāo)準(zhǔn)保護(hù)的承諾。日本《個(gè)人信息保護(hù)法》規(guī)定的敏感個(gè)人信息類型較GDPR第九條更窄，為保證從歐盟傳輸至日本的個(gè)人信息保護(hù)符合GDPR標(biāo)準(zhǔn)，其不僅通過內(nèi)閣令對(duì)法律中列明的部分敏感個(gè)人信息類型作符合GDPR定義的解釋，還由個(gè)人信息委員會(huì)發(fā)布補(bǔ)充決議承諾歐盟認(rèn)定為敏感而日本未作規(guī)定的個(gè)人信息（如工會(huì)成員、性生活和性取向信息）從歐盟傳輸至日本，將受到同等保護(hù)。也就是說，日本認(rèn)識(shí)到敏感個(gè)人信息概念中“敏感”的不確定性，給予敏感個(gè)人信息跨境傳輸流動(dòng)規(guī)則以適度的靈活性，授權(quán)個(gè)人信息保護(hù)委員會(huì)采取必要措施彌合日本與域外主要國家及地區(qū)之間的制度和運(yùn)作差異，建立與國際標(biāo)準(zhǔn)相一致的個(gè)人信息保護(hù)體系，以盡可能降低境外數(shù)據(jù)流入日本的法律障礙。

綜上，歐盟、美國、日本提供了三種具代表性的敏感個(gè)人信息跨境流動(dòng)治理方案，各有利弊。歐盟的水平條款為個(gè)人信息的跨境傳輸設(shè)置統(tǒng)一的保護(hù)標(biāo)準(zhǔn)，不區(qū)分一般個(gè)人信息與敏感個(gè)人信息。應(yīng)該說，該模式有利于設(shè)置高水平的個(gè)人數(shù)據(jù)跨境傳輸標(biāo)準(zhǔn)，并在一定程度上推廣其自身的個(gè)人數(shù)據(jù)保護(hù)規(guī)則。然而，這種嚴(yán)格的保護(hù)要求亦阻礙了個(gè)人信息跨境自由流動(dòng)。歐盟發(fā)布的針對(duì)日本和韓國的充分性保護(hù)決定中，都有關(guān)于該國敏感個(gè)人信息概念、類型和保護(hù)措施的詳細(xì)審查。實(shí)際上，日韓兩國在敏感個(gè)人信息的界定和規(guī)則設(shè)置上與歐盟差異較大。但為了能夠獲得充分保護(hù)認(rèn)定，韓國直接修改國內(nèi)個(gè)人信息保護(hù)法，通過總統(tǒng)令的方式將歐盟GDPR第九條所規(guī)定的特殊類型個(gè)人數(shù)據(jù)認(rèn)定為敏感個(gè)人信息。

美國的分行業(yè)監(jiān)管模式實(shí)際上是針對(duì)特別行業(yè)實(shí)施的定向監(jiān)管，除了上述特定行業(yè)，更多領(lǐng)域仍由當(dāng)事人雙方協(xié)商解決，必要時(shí)以行業(yè)自治規(guī)范予以約束。也就是說，在未有特殊規(guī)定的多數(shù)領(lǐng)域，包括敏感個(gè)人信息在內(nèi)的跨境傳輸是合法的，這也保證了美國數(shù)字產(chǎn)業(yè)的活力以及在全球范圍內(nèi)的競爭優(yōu)勢(shì)。但是，分行業(yè)監(jiān)管也有不周延之虞。盡管敏感個(gè)人信息的收集、傳輸、處理主要集中于金融、醫(yī)療、通信等特定行業(yè)，但這并不意味著敏感個(gè)人信息的跨境傳輸活動(dòng)不會(huì)出現(xiàn)在其他領(lǐng)域。例如，日常的智能軟件登錄等也要求收集人臉識(shí)別信息。信息技術(shù)的應(yīng)用促使了各傳統(tǒng)行業(yè)的革新，破壁現(xiàn)象不斷出現(xiàn)，信息處理者的范圍有了明顯的擴(kuò)張。以金融領(lǐng)域?yàn)槔?，除了傳統(tǒng)的金融機(jī)構(gòu)，提供身份驗(yàn)證服務(wù)的電信服務(wù)商、市場營銷服務(wù)的提供商等多元化非金融機(jī)構(gòu)參與處理個(gè)人金融信息，而這些機(jī)構(gòu)往往不是法案的適用對(duì)象［16］。如若不能及時(shí)對(duì)這些機(jī)構(gòu)的活動(dòng)予以規(guī)制，敏感個(gè)人信息仍暴露于高風(fēng)險(xiǎn)之下，而依賴行業(yè)自律機(jī)制實(shí)施個(gè)人信息保護(hù)存在明顯弊端。實(shí)踐表明，自律組織的參與度低、執(zhí)行力差，缺乏有效的監(jiān)督和處罰機(jī)制，企業(yè)嚴(yán)格遵守隱私保護(hù)自治規(guī)則的動(dòng)力不足，無法充分保護(hù)消費(fèi)者信息安全［17］。分散式的跨境傳輸體系缺乏統(tǒng)一的適用框架，信息處理者可能需要在不同的場域下遵循不同的法律規(guī)定，增加了企業(yè)的合規(guī)成本。

日本雖然在數(shù)字經(jīng)濟(jì)領(lǐng)域的綜合實(shí)力遠(yuǎn)不及美歐，但其立法者充分認(rèn)識(shí)到了參與全球數(shù)字治理、制定國際數(shù)據(jù)保護(hù)和跨境流動(dòng)規(guī)則的戰(zhàn)略性意義，其敏感個(gè)人信息跨境流動(dòng)的治理方案更趨緩和也更具彈性。為吸引更多數(shù)據(jù)進(jìn)入本國境內(nèi)，其積極為入境的敏感個(gè)人信息提供額外保護(hù)。同時(shí)，認(rèn)識(shí)到各國在敏感個(gè)人信息界定及具體類型上存在的差異與分歧，為境外接收方提供了必要、合理的責(zé)任克減。但此模式下個(gè)人信息保護(hù)委員會(huì)的執(zhí)法壓力較大，需要為彌合日本與外國之間的制度和運(yùn)作差異設(shè)置不同的監(jiān)管措施與標(biāo)準(zhǔn)。加之，日本彈性化的跨境傳輸政策是一種防御式策略，為數(shù)據(jù)流入日本境內(nèi)減輕障礙的同時(shí)，很難為本國公民的敏感個(gè)人信息流向境外提供較為全面的安全保障。但綜合來看，此模式與日本數(shù)據(jù)治理策略適配，不僅能夠保持國內(nèi)個(gè)人信息保護(hù)體系與國際先進(jìn)標(biāo)準(zhǔn)的動(dòng)態(tài)平衡，積極倡導(dǎo)和推廣日本在新技術(shù)、新業(yè)態(tài)下個(gè)人信息及隱私保護(hù)方面的規(guī)則和價(jià)值理念，還能提升與其他國家之間的互信合作，助力日本數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)的發(fā)展。

三、我國敏感個(gè)人信息跨境流動(dòng)規(guī)則審思

我國個(gè)人信息出境涵蓋安全評(píng)估、標(biāo)準(zhǔn)合同、個(gè)人信息保護(hù)認(rèn)證三條路徑，個(gè)人信息處理者只需滿足其中之一即可跨境提供個(gè)人信息。對(duì)敏感個(gè)人信息則作了特殊的限制性要求，即達(dá)到一定數(shù)量的敏感個(gè)人信息傳輸至境外的，必須通過國家網(wǎng)信部門組織的安全評(píng)估?！稊?shù)據(jù)出境安全評(píng)估辦法》設(shè)置了1萬人的最低限額，要求向境外累計(jì)提供超過此限額敏感個(gè)人信息的數(shù)據(jù)處理者必須申報(bào)數(shù)據(jù)出境安全評(píng)估，實(shí)際形成了安全評(píng)估為主、其他路徑為輔的敏感個(gè)人信息跨境傳輸體系。同時(shí)，涉及人口健康信息、個(gè)人金融信息等特殊類型的敏感個(gè)人信息必須存儲(chǔ)于境內(nèi)，原則上不允許跨境傳輸①《中華人民共和國人口健康信息管理辦法（試行）》第十條規(guī)定人口健康信息“不得在境外的服務(wù)器中存儲(chǔ)，不得托管、租賃在境外的服務(wù)器”?！吨腥A人民共和國征信業(yè)務(wù)管理辦法》第三十九條亦要求征信機(jī)構(gòu)采集的個(gè)人信用信息應(yīng)當(dāng)存儲(chǔ)在中國境內(nèi)。《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》（JR/T 0171-2020）7.1.3規(guī)定境內(nèi)收集和產(chǎn)生的個(gè)人金融信息在境內(nèi)存儲(chǔ)，確需向境外提供的應(yīng)事先進(jìn)行出境安全評(píng)估。。

正是基于國家安全的考量，我國對(duì)敏感個(gè)人信息跨境傳輸設(shè)置了較為嚴(yán)格的限制性措施。從設(shè)計(jì)理念來看，與標(biāo)準(zhǔn)合同、個(gè)人信息保護(hù)認(rèn)證相比，安全評(píng)估制度的關(guān)鍵功能在于識(shí)別和控制國家安全風(fēng)險(xiǎn)。敏感個(gè)人信息出境管理中安全評(píng)估制度的寬泛適用，蘊(yùn)含對(duì)境外機(jī)構(gòu)從敏感個(gè)人信息中分析出與國家安全相關(guān)內(nèi)容的擔(dān)憂。而本地化存儲(chǔ)以強(qiáng)制性要求將上述敏感個(gè)人信息的處理限定在本國管轄范圍內(nèi)，是捍衛(wèi)國家安全的主要措施。在數(shù)字貿(mào)易中很多國家亦援引國家安全例外條款作為其數(shù)據(jù)本地化措施的合法性基礎(chǔ)。從適用對(duì)象來看，人口信息直接關(guān)涉社會(huì)安全、生物安全，個(gè)人金融信息、信用信息又與經(jīng)濟(jì)安全密不可分，都落入國家安全范疇。

（一）三難選擇：敏感個(gè)人信息跨境傳輸之法益衡量

國家安全考量下我國敏感個(gè)人信息跨境傳輸規(guī)則總體呈現(xiàn)為單一化的規(guī)制路徑：以安全評(píng)估為優(yōu)先，其他路徑的應(yīng)用空間被嚴(yán)重?cái)D壓。客觀而言，與重要數(shù)據(jù)不同，敏感個(gè)人信息的法益核心更側(cè)重于對(duì)自然人個(gè)人合法權(quán)益的保護(hù)而非國家安全，采取的規(guī)制措施并不僅限于“一事一議”的事前安全審查制度。無論是俄羅斯、新加坡等國個(gè)人信息保護(hù)法中的明示同意模式，還是GDPR的充分保護(hù)條款，都將個(gè)人信息處理者的安全保障義務(wù)內(nèi)化于合同條款之中，更多地將個(gè)人信息跨境傳輸問題置于私領(lǐng)域范圍內(nèi)加以討論，重在平衡敏感個(gè)人信息的保護(hù)與自由流動(dòng)之間的利益沖突，而并不強(qiáng)調(diào)與國家安全之間的關(guān)系。

我國敏感個(gè)人信息出境規(guī)制的現(xiàn)實(shí)困境在于難以兼顧個(gè)人信息保護(hù)、國家主權(quán)安全和信息自由流動(dòng)的三重法益。全球范圍內(nèi)的立法實(shí)踐表明，良好的個(gè)人信息保護(hù)、跨境數(shù)據(jù)自由流動(dòng)和維護(hù)國家主權(quán)安全雖為各國普遍追求的目標(biāo)，但幾乎不可能同時(shí)達(dá)成［18］。當(dāng)然，這并不意味著只能以全有或全無的形式選擇單一目標(biāo)作為跨境傳輸規(guī)則制定的價(jià)值取向，立法者需要直面沖突，合理確定不同價(jià)值訴求之間的優(yōu)先級(jí)。譬如，重要數(shù)據(jù)一旦泄露可能直接影響國家安全、經(jīng)濟(jì)安全、社會(huì)穩(wěn)定、公共健康和安全，在規(guī)則設(shè)計(jì)時(shí)就需要強(qiáng)調(diào)國家安全監(jiān)管；非個(gè)人數(shù)據(jù)是基本商業(yè)活動(dòng)的最小單位，具備潛在的經(jīng)濟(jì)價(jià)值且直接損害個(gè)人權(quán)益的風(fēng)險(xiǎn)較低，應(yīng)將促進(jìn)自由流動(dòng)作為首要目標(biāo)。而對(duì)于敏感個(gè)人信息，由于其與自然人個(gè)體權(quán)益高度關(guān)聯(lián)，一旦泄露或非法使用可能造成嚴(yán)重?fù)p害，在保護(hù)規(guī)則的設(shè)計(jì)上需要強(qiáng)化信息主體對(duì)敏感個(gè)人信息的控制，并對(duì)信息處理者施以更嚴(yán)格的保護(hù)義務(wù)和責(zé)任。只有當(dāng)敏感個(gè)人信息所載內(nèi)容與重要數(shù)據(jù)高度重合時(shí)，如系涉密人員的敏感個(gè)人信息，此時(shí)維護(hù)國家安全為優(yōu)先價(jià)值，保護(hù)信息主體權(quán)益次之。反之，如果在立法思路上過于強(qiáng)調(diào)對(duì)主權(quán)和國家安全的維護(hù)，動(dòng)輒采取本地化存儲(chǔ)與出境安全評(píng)估等強(qiáng)制性措施，甚至完全禁止敏感個(gè)人信息出境，無異于因噎廢食，最終背離個(gè)人信息跨境流動(dòng)制度的設(shè)立初衷。

（二）內(nèi)容混同：敏感個(gè)人信息出境路徑定位不清

安全評(píng)估的法理邏輯在于識(shí)別數(shù)據(jù)出境可能對(duì)國家安全、公共利益帶來的風(fēng)險(xiǎn)并提供更為嚴(yán)格的預(yù)防措施，以應(yīng)對(duì)他國政府情報(bào)活動(dòng)的可能威脅。標(biāo)準(zhǔn)合同則是通過固定的協(xié)議框架將一國個(gè)人信息保護(hù)規(guī)定內(nèi)化為私法層面的合同義務(wù)履行與違約責(zé)任承擔(dān)，以確保信息主體權(quán)益在境外亦能得以充分保護(hù)。個(gè)人信息保護(hù)認(rèn)證從技術(shù)角度強(qiáng)化對(duì)個(gè)人信息的安全保障，側(cè)重于通過技術(shù)指標(biāo)來識(shí)別和治理個(gè)人信息出境可能存在的內(nèi)部管理漏洞和技術(shù)安全漏洞［19］。三種路徑的規(guī)制重心不同，各有其適用的典型場域，理論上能較為全面地覆蓋敏感個(gè)人信息跨境傳輸過程中的潛在風(fēng)險(xiǎn)。

然而，我國針對(duì)敏感個(gè)人信息的安全評(píng)估、標(biāo)準(zhǔn)合同、個(gè)人信息保護(hù)認(rèn)證三種路徑存在審查內(nèi)容的大幅重疊問題，未能依照各路徑的自身邏輯設(shè)計(jì)區(qū)別化且有針對(duì)性的具體操作規(guī)范。舉例來說，安全評(píng)估、標(biāo)準(zhǔn)合同和個(gè)人信息保護(hù)認(rèn)證均需要個(gè)人信息處理者進(jìn)行事前風(fēng)險(xiǎn)評(píng)估。安全評(píng)估下要求信息處理者在申報(bào)時(shí)提供數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)報(bào)告，標(biāo)準(zhǔn)合同和個(gè)人信息保護(hù)認(rèn)證下則是要求信息處理者對(duì)擬向境外接收方提供個(gè)人信息的活動(dòng)開展個(gè)人信息保護(hù)影響評(píng)估。從具體內(nèi)容來看，兩項(xiàng)評(píng)估的基本要求相近，審查出境規(guī)模、范圍、種類、敏感程度以及境外接收方承諾承擔(dān)的責(zé)任義務(wù)等。最主要的差異性在于數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)在風(fēng)險(xiǎn)識(shí)別方面額外關(guān)注可能的國家安全、公共利益以及組織合法權(quán)益遭受侵害的風(fēng)險(xiǎn)。但這一差異并非源于安全評(píng)估與標(biāo)準(zhǔn)合同功能定位不同，而是將安全評(píng)估擴(kuò)充為應(yīng)對(duì)跨境傳輸中各種可能風(fēng)險(xiǎn)的兜底性制度，與路徑多樣化的理念相悖。

此外，安全評(píng)估、標(biāo)準(zhǔn)合同和個(gè)人信息保護(hù)認(rèn)證都屬于個(gè)案審查，而非對(duì)信息接收國個(gè)人信息保護(hù)標(biāo)準(zhǔn)的綜合性審查，其評(píng)估結(jié)果僅針對(duì)特定商業(yè)活動(dòng)下個(gè)人信息的跨境傳輸。若改變傳輸目的等，則需要重新進(jìn)行評(píng)估。歸根結(jié)底，我國敏感個(gè)人信息跨境傳輸遵循單一的風(fēng)險(xiǎn)識(shí)別和預(yù)防損害思路，缺乏對(duì)持續(xù)性跨境傳輸活動(dòng)的系統(tǒng)規(guī)制。

（三）銜接困難：敏感個(gè)人信息跨境流通規(guī)則對(duì)外融入不足

數(shù)據(jù)跨境流動(dòng)治理不僅是國內(nèi)問題，更是國際問題，離不開國內(nèi)政策與國際規(guī)則的協(xié)調(diào)以及國家間的合作交流。我國敏感個(gè)人信息跨境流通監(jiān)管內(nèi)核與既有的國際規(guī)則存在較大差異。相較而言，我國更趨審慎，個(gè)人信息跨境流動(dòng)規(guī)則較為嚴(yán)格，尤其針對(duì)部分敏感個(gè)人信息的本地化存儲(chǔ)政策，與國際社會(huì)所倡導(dǎo)的有序流動(dòng)理念有所不同。而且，我國尚未通過雙邊、區(qū)域多邊協(xié)議與主要經(jīng)貿(mào)伙伴國搭建包括敏感個(gè)人信息在內(nèi)的數(shù)據(jù)跨境傳輸合作通道，目前僅簽署了少量關(guān)于向境外提供個(gè)人信息的國際協(xié)議，且主要為政府部門間的互助條約，并不適用于企業(yè)跨境傳輸敏感個(gè)人信息的一般場景。在經(jīng)貿(mào)領(lǐng)域，中國只在與新加坡、韓國等少數(shù)國家的自貿(mào)協(xié)定的電子商務(wù)章節(jié)下涉及個(gè)人信息相關(guān)議題，都未直接提及數(shù)據(jù)跨境流動(dòng)。《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》（RECP）雖包含數(shù)據(jù)自由流動(dòng)規(guī)則和禁止數(shù)據(jù)本地化的條款，但也僅作原則性承諾，難以為實(shí)務(wù)操作提供具體指引，更沒有針對(duì)敏感個(gè)人信息跨境流動(dòng)的專門規(guī)定。此外，我國與國際數(shù)據(jù)保護(hù)機(jī)構(gòu)的交流合作也存在明顯不足。除了經(jīng)濟(jì)合作與發(fā)展組織、亞太經(jīng)濟(jì)合作組織等傳統(tǒng)的國際經(jīng)濟(jì)組織外，世界隱私會(huì)議和亞太隱私機(jī)構(gòu)論壇等數(shù)據(jù)保護(hù)機(jī)構(gòu)之間的協(xié)作框架對(duì)全球數(shù)據(jù)跨境流動(dòng)也有著不俗的影響力，但目前我國個(gè)人信息保護(hù)執(zhí)法部門尚未借助上述國際平臺(tái)參與個(gè)人信息保護(hù)標(biāo)準(zhǔn)的制定以及合作。

四、我國敏感個(gè)人信息跨境流動(dòng)規(guī)則的優(yōu)化路徑

（一）敏感個(gè)人信息類型的細(xì)化

我國《個(gè)人信息保護(hù)法》對(duì)敏感個(gè)人信息的界定采“定義＋列舉”的立法模式，在給出定義的基礎(chǔ)上進(jìn)行類型化列舉，并將未列舉的事項(xiàng)通過概括性用語加以窮盡。誠然，例示列舉在規(guī)制范圍上更為周延也更加靈活，避免掛一漏萬，但是概括性用語的不確定性決定了敏感個(gè)人信息的內(nèi)涵及外延仍缺乏一致的判斷標(biāo)準(zhǔn)，并且一旦例示事項(xiàng)設(shè)置不嚴(yán)謹(jǐn)，就容易導(dǎo)致指示功能失靈，實(shí)際上減損了列舉規(guī)范所要達(dá)到的具象化效果，因此需要提供更為明確的判斷標(biāo)準(zhǔn)。

首先，應(yīng)肯定我國《個(gè)人信息保護(hù)法》第二十八條列舉的七類個(gè)人信息的敏感性，不再置于特定的場景依據(jù)抽象概念進(jìn)行擇入擇出的二次判斷。如前所述，法律文本中的敏感表征為損害的高風(fēng)險(xiǎn)性，是一種概率選擇，不因某一個(gè)人在某一特定場景下的不同主觀感受而變化。被寫入條款的敏感個(gè)人信息類型應(yīng)當(dāng)是在各種不同場景下都顯現(xiàn)出使信息主體遭受權(quán)益侵害的高度可能性的個(gè)人信息，以增強(qiáng)適用事項(xiàng)的可預(yù)期性。

其次，需要對(duì)已列明的七類敏感個(gè)人信息作細(xì)化解釋。我國目前列出的敏感個(gè)人信息類型寬泛、覆蓋面廣，但是分類的標(biāo)準(zhǔn)并不統(tǒng)一，各類型之間存在交叉重疊，且由于法律條款中的表述抽象，容易產(chǎn)生歧義。如“特定身份”這一創(chuàng)設(shè)概念，其具體內(nèi)涵以及與個(gè)人身份信息的關(guān)系，都需要加以說明。

最后，對(duì)非列舉敏感個(gè)人信息的判斷需采審慎態(tài)度。非列舉的信息類型是否能被認(rèn)定為敏感個(gè)人信息，日韓等國立法將對(duì)“等”的解釋權(quán)交給監(jiān)管機(jī)構(gòu)，只有政令或總統(tǒng)令認(rèn)可的非列舉個(gè)人信息才能被認(rèn)定為敏感個(gè)人信息，以禁止對(duì)敏感個(gè)人信息的擴(kuò)大化解釋。相較而言，我國對(duì)非列舉項(xiàng)的判斷以第二十八條界定的概念出發(fā)，在相關(guān)司法解釋未出臺(tái)前，留給法官的自由裁量空間較大，存在泛化解釋的可能。這里，需要提供更具指引性的標(biāo)準(zhǔn)幫助判斷個(gè)案中某類個(gè)人信息是否為敏感個(gè)人信息，筆者建議可以從信息主體、可識(shí)別性、損害可能性等維度綜合分析。例如，基于年齡、身份等因素判斷信息主體是否為認(rèn)知能力低下的弱勢(shì)群體；依個(gè)人信息是單個(gè)存在還是集群存在、能否直接連結(jié)本人，判斷識(shí)別特定個(gè)人的風(fēng)險(xiǎn)高低；以社會(huì)公眾的認(rèn)知為基準(zhǔn)判斷處理此信息造成信息主體損害的可能性。

（二）建立多元化敏感個(gè)人信息跨境傳輸規(guī)制體系

現(xiàn)階段單一的敏感個(gè)人信息跨境傳輸規(guī)制方式無法及時(shí)回應(yīng)社會(huì)關(guān)切，亦難以適應(yīng)跨境傳輸規(guī)模龐大、種類繁復(fù)、持續(xù)多次的特點(diǎn)，建立多元化的敏感個(gè)人信息跨境傳輸規(guī)則體系迫在眉睫。

一方面，落入重要數(shù)據(jù)范疇的敏感個(gè)人信息提供至境外的，需要按照要求進(jìn)行安全評(píng)估。安全評(píng)估識(shí)別和預(yù)防的主要風(fēng)險(xiǎn)類別是國家安全和社會(huì)公共利益風(fēng)險(xiǎn)，基因信息、種族信息等敏感個(gè)人信息，具有公共衛(wèi)生、國家生物安全等維度的戰(zhàn)略價(jià)值，理應(yīng)受到重點(diǎn)規(guī)制，在出境前應(yīng)施以安全方面的實(shí)質(zhì)審查。但在具體操作方面，所謂“1萬人”的數(shù)量限制欠缺有力的理論支撐，且以人數(shù)為判斷基準(zhǔn)的操作方式缺少了定性分析，從立法技術(shù)上來說仍有不足，不排除100個(gè)特定身份的敏感個(gè)人信息即觸發(fā)國家安全風(fēng)險(xiǎn)的可能。因此，在劃定安全評(píng)估的適用范圍時(shí)，除“特定人數(shù)＋敏感個(gè)人信息”的分類標(biāo)準(zhǔn)外，“特定人員＋敏感個(gè)人信息”①特定人員，如接觸和知悉國家秘密的涉密人員，其敏感個(gè)人信息往往直接關(guān)聯(lián)國家安全。也可作為補(bǔ)充標(biāo)準(zhǔn)予以施用，以保障安全評(píng)估機(jī)制的有效識(shí)別從而控制跨境傳輸過程中的國家安全風(fēng)險(xiǎn)。此外，評(píng)估過程中應(yīng)強(qiáng)調(diào)特定風(fēng)險(xiǎn)點(diǎn)（如政治安全、經(jīng)濟(jì)安全等）的精準(zhǔn)識(shí)別和審查，避免“大撒網(wǎng)”式的泛化評(píng)估。

另一方面，對(duì)于非關(guān)涉國家安全的敏感個(gè)人信息，可依標(biāo)準(zhǔn)合同、個(gè)人信息保護(hù)認(rèn)證路徑合法出境。安全評(píng)估是“一事一議”性質(zhì)的事前審核手段，過度擴(kuò)展其適用范圍，無疑將增加企業(yè)合規(guī)成本、延長評(píng)估時(shí)間［20］，這并不適用于敏感個(gè)人信息出境的一般性情形。在設(shè)計(jì)敏感個(gè)人信息跨境傳輸規(guī)則時(shí)，應(yīng)當(dāng)充分發(fā)揮市場機(jī)制作用，相對(duì)限縮安全評(píng)估的適用范圍，充分利用標(biāo)準(zhǔn)合同和個(gè)人信息保護(hù)認(rèn)證機(jī)制。在標(biāo)準(zhǔn)合同的條款設(shè)計(jì)中，應(yīng)強(qiáng)化信息主體權(quán)利的保障，并提升權(quán)利救濟(jì)的便利度，以盡可能降低敏感個(gè)人信息跨境傳輸過程中個(gè)體權(quán)益受侵害風(fēng)險(xiǎn)和不確定性。就個(gè)人信息保護(hù)認(rèn)證而言，重點(diǎn)在于設(shè)立專業(yè)的認(rèn)證機(jī)構(gòu)對(duì)企業(yè)敏感個(gè)人信息保護(hù)能力進(jìn)行評(píng)估。認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)具備相應(yīng)的專業(yè)知識(shí)、經(jīng)驗(yàn)、權(quán)威，能深入企業(yè)內(nèi)部對(duì)其技術(shù)管理水平、應(yīng)急處置能力等進(jìn)行綜合評(píng)估，引導(dǎo)和激勵(lì)企業(yè)依照認(rèn)證規(guī)則處理個(gè)人信息。與此同時(shí)，為提高認(rèn)證公信力，認(rèn)證機(jī)構(gòu)應(yīng)由國家授權(quán)進(jìn)行認(rèn)證活動(dòng)，并由行政主管部門對(duì)認(rèn)證全過程進(jìn)行監(jiān)管［21］。

此外，敏感個(gè)人信息出境應(yīng)適當(dāng)設(shè)置合理的例外條款，以增加跨境傳輸監(jiān)管制度靈活度和應(yīng)變性。這里的例外條款主要圍繞公共利益保護(hù)展開，即基于更大的合法權(quán)益和人類共同利益而對(duì)某些敏感個(gè)人信息跨境流動(dòng)、共享給予開放的條款［22］。例如，在特定行業(yè)和部門間（如稅務(wù)、海關(guān)、金融監(jiān)管機(jī)構(gòu)、社會(huì)保障部門、公共健康服務(wù)部門等）的國際信息交換，涉及的敏感個(gè)人信息包括基因信息、診療記錄、個(gè)人信用信息等。不過，由于公共利益是一個(gè)高度模糊的概念，我國在制定公共利益例外條款時(shí)，需要對(duì)公共利益的范疇作嚴(yán)格限定，明確列舉具體的克減情形。

（三）積極開展國際協(xié)調(diào)

從長遠(yuǎn)來看，我國仍應(yīng)堅(jiān)持國內(nèi)與國際標(biāo)準(zhǔn)的對(duì)接，采取更加靈活的策略，尋求開展互信合作的突破點(diǎn)，推動(dòng)本國與其他國家之間達(dá)成互信，為信息的跨境流動(dòng)創(chuàng)建更具可持續(xù)性的治理結(jié)構(gòu)。

一是積極推動(dòng)建設(shè)特定行業(yè)的充分保護(hù)水平認(rèn)定機(jī)制。我國雖然尚未與歐盟等國家及地區(qū)達(dá)成充分協(xié)議以實(shí)現(xiàn)私營主體和公權(quán)力機(jī)關(guān)的全面信息自由流動(dòng)，但是聚焦某一具體行業(yè)的雙邊合作仍具備現(xiàn)實(shí)基礎(chǔ)。以醫(yī)療行業(yè)為例，美國牽頭的HL7衛(wèi)生信息交換標(biāo)準(zhǔn)為各國醫(yī)療體系信息互操作性打通渠道；國際標(biāo)準(zhǔn)化組織（ISO）制定的《信息安全管理標(biāo)準(zhǔn)》（ISO/IEC 27001）《健康信息安全管理標(biāo)準(zhǔn)》（ISO 27799）為醫(yī)療保健行業(yè)和各醫(yī)療組織維護(hù)個(gè)人健康信息的安全性、完整性和可用性設(shè)置了最低要求。技術(shù)標(biāo)準(zhǔn)的統(tǒng)一已經(jīng)為跨境合作奠定了堅(jiān)實(shí)基礎(chǔ)。此外，我國法律規(guī)范所列的部分敏感個(gè)人信息類型，大部分涉及教育、醫(yī)療等領(lǐng)域。我國可以在上述部門率先開展雙邊合作，推動(dòng)達(dá)成國家間特定行業(yè)的充分保護(hù)水平認(rèn)定，繼而由點(diǎn)及面，更大范圍地減少我國與其他國家在敏感個(gè)人信息傳輸方面的政策沖突，以點(diǎn)對(duì)點(diǎn)的合作模式推動(dòng)敏感個(gè)人信息的跨境流動(dòng)。畢竟特定行業(yè)的定點(diǎn)合作將傳輸?shù)膫€(gè)人信息限定在特定類型，最大限度地減少了不同國家因?qū)γ舾卸日J(rèn)定的差異而形成的傳輸壁壘。申言之，針對(duì)特定行業(yè)個(gè)人信息保護(hù)的規(guī)則協(xié)調(diào)較綜合各部門的全面性調(diào)整更易實(shí)現(xiàn)［23］。

二是尊重各國在敏感個(gè)人信息敏感度認(rèn)定方面的差異，積極推動(dòng)敏感個(gè)人信息跨境傳輸領(lǐng)域達(dá)成雙邊補(bǔ)充性文件。鑒于我國敏感個(gè)人信息的界定標(biāo)準(zhǔn)較為寬泛，留下了靈活解釋的彈性空間，可以通過補(bǔ)充性協(xié)議作出適合雙方敏感個(gè)人信息傳輸?shù)囊?guī)則設(shè)計(jì)。需要特別強(qiáng)調(diào)的是，開展合作的目的并不在于改變或全盤接受他國的個(gè)人信息保護(hù)制度，而是希望通過充分協(xié)調(diào)和溝通，符合兩國的共同利益，幫助企業(yè)切實(shí)提高個(gè)人信息保護(hù)水平。

三是充分發(fā)揮民間團(tuán)體在跨境傳輸領(lǐng)域的積極作用。敏感個(gè)人信息跨境流動(dòng)往往涉及多個(gè)司法管轄區(qū)，規(guī)則和標(biāo)準(zhǔn)的制定通常由政府部門牽頭，民間組織的參與度不足、積極性也不高?；诖耍毡居?016年頒布《官民數(shù)據(jù)活用推進(jìn)基本法》，鼓勵(lì)并吸收了如日本電子產(chǎn)業(yè)協(xié)會(huì)、IT組織聯(lián)合會(huì)等大量地方社團(tuán)參與跨境數(shù)據(jù)流動(dòng)治理［24］。近年來，這些分散的團(tuán)體逐漸合并，形成了數(shù)據(jù)社會(huì)聯(lián)盟等受產(chǎn)業(yè)界、學(xué)界、政府三方支持的大型非營利組織，廣泛參與制定日本跨境數(shù)據(jù)流動(dòng)技術(shù)標(biāo)準(zhǔn)及政策，推進(jìn)了日本數(shù)據(jù)跨境流動(dòng)的國際合作和標(biāo)準(zhǔn)統(tǒng)一。隨著數(shù)據(jù)跨境規(guī)模及數(shù)量日趨增長，致力于推動(dòng)數(shù)據(jù)跨境流動(dòng)的團(tuán)體和組織也會(huì)越來越多，且往精細(xì)化、專業(yè)化、國際化的方向發(fā)展。我國亦應(yīng)重視并發(fā)揮民間團(tuán)體在跨境數(shù)據(jù)流動(dòng)技術(shù)標(biāo)準(zhǔn)制定方面的積極作用，牽頭搭建各組織團(tuán)體交流合作的平臺(tái)，廣泛聽取其政策建議。

五、結(jié)語

隨著經(jīng)濟(jì)和社會(huì)活動(dòng)的全球化，包括敏感個(gè)人信息在內(nèi)的跨境數(shù)據(jù)流動(dòng)愈發(fā)頻繁，驅(qū)動(dòng)數(shù)字經(jīng)濟(jì)發(fā)展的同時(shí)亦引發(fā)信息和隱私安全風(fēng)險(xiǎn)。我國《個(gè)人信息保護(hù)法》圍繞敏感個(gè)人信息構(gòu)建的區(qū)分保護(hù)機(jī)制無疑是進(jìn)步之舉，但在跨境數(shù)據(jù)流動(dòng)領(lǐng)域，敏感個(gè)人信息復(fù)雜的法益結(jié)構(gòu)仍待進(jìn)一步的規(guī)則細(xì)化。與零和博弈不同，立法上的利益衡量目的在于“多贏”和“共和”，在承認(rèn)和保障一方核心利益的同時(shí)，需要讓渡其非核心利益以確保其他各方合法利益的實(shí)現(xiàn)。構(gòu)建多元化的敏感個(gè)人信息跨境傳輸規(guī)則體系，提供差異化的出境路徑，是能動(dòng)回應(yīng)各方主體關(guān)切的應(yīng)有之義?！胺ㄅc時(shí)轉(zhuǎn)則治”，放眼全球互聯(lián)互通和信息技術(shù)蓬勃發(fā)展的未來，雙邊乃至多邊的開放互信仍應(yīng)作為敏感個(gè)人信息流動(dòng)治理的終極目標(biāo)。我國應(yīng)充分發(fā)揮后發(fā)優(yōu)勢(shì)，在銜接協(xié)調(diào)現(xiàn)有國際規(guī)則的過程中積極尋求與新技術(shù)、新商業(yè)模式相適配的中國方案。