張意

摘?要：在大數(shù)據(jù)時(shí)代，個(gè)人信息不但具有人格價(jià)值，對個(gè)人信息的獲取利用也具有重大戰(zhàn)略意義，數(shù)據(jù)驅(qū)動(dòng)創(chuàng)新被視為國家經(jīng)濟(jì)增長的一種新源泉。個(gè)人信息跨境流動(dòng)則承載著國家安全、數(shù)字經(jīng)濟(jì)發(fā)展、權(quán)利保護(hù)等重要價(jià)值?；诖?，針對個(gè)人信息跨境流動(dòng)，我國十分重視，均制定了一系列規(guī)則，然而因?yàn)榱⒎ú蛔恪⒈O(jiān)管不到位等原因，漸漸也出現(xiàn)了各種不足之處，主要表現(xiàn)為個(gè)人信息界定與分類、“同意”規(guī)則在個(gè)人信息保護(hù)方面的力度較差、信息控制者被施加過重的注意義務(wù)、出境評估要素中“數(shù)量”標(biāo)準(zhǔn)缺乏科學(xué)性幾個(gè)方面。由于部分國家在數(shù)據(jù)規(guī)制領(lǐng)域起步較早，經(jīng)驗(yàn)相對豐富，應(yīng)當(dāng)在分析研究國際相關(guān)經(jīng)驗(yàn)的基礎(chǔ)上對我國個(gè)人信息跨境流動(dòng)規(guī)則提出完善建議。

關(guān)鍵詞：個(gè)人信息；數(shù)據(jù)跨境流動(dòng)；同意規(guī)則

中圖分類號：F74?????文獻(xiàn)標(biāo)識碼：A??????doi：10.19311/j.cnki.16723198.2023.20.017

0?引言

近年來，隨著科學(xué)技術(shù)和數(shù)字經(jīng)濟(jì)的蓬勃發(fā)展，個(gè)人數(shù)據(jù)跨境活動(dòng)日益頻繁，個(gè)人數(shù)據(jù)跨境流動(dòng)成為全球數(shù)字貿(mào)易發(fā)展的重要推動(dòng)力之一。為順應(yīng)該國際形勢，必須全面貫徹落實(shí)習(xí)近平法治思想，堅(jiān)持總體國家安全觀。對于個(gè)人信息跨境流動(dòng)的情況，我國也漸漸重視，并制定了相關(guān)規(guī)則。然而，對于我國而言，個(gè)人數(shù)據(jù)跨境規(guī)屬于新興事物，存在諸多不足之處亟待完善，而美國、歐盟等大部分國家和部分國際組織在個(gè)人數(shù)據(jù)跨境流動(dòng)方面已形成體系，經(jīng)驗(yàn)相對豐富。通過研究其發(fā)布過的相關(guān)法律和政策文件，對比我國國內(nèi)的個(gè)人數(shù)據(jù)跨境規(guī)則，有利于為我國這一領(lǐng)域的立法提供借鑒。因此，本文主要采取的是比較研究法。通過對國際上相關(guān)規(guī)則的分析，對比歸納出各優(yōu)劣勢，為我國個(gè)人數(shù)據(jù)跨境流動(dòng)制度的完善提供參考。

1?個(gè)人信息跨境流動(dòng)的基本內(nèi)涵

“法律概念是法律規(guī)范和法律制度的建筑材料?！贬槍Α皞€(gè)人信息”“個(gè)人信息跨境流動(dòng)”，對其進(jìn)行準(zhǔn)確界定，是制定個(gè)人信息跨境流動(dòng)規(guī)則的核心和前提。但是，由于科技的迅速發(fā)展，信息種類在逐步多樣化，原先靜態(tài)的“識別說”在實(shí)踐中受到嚴(yán)峻挑戰(zhàn)。因此，有必要協(xié)調(diào)法律的確定性和科技發(fā)展的不確定性之間的矛盾，為個(gè)人信息立法奠定扎實(shí)的基礎(chǔ)。

1.1?個(gè)人信息的概念和分類

在數(shù)據(jù)跨境流動(dòng)中，個(gè)人信息較為典型，是這一方面研究的重點(diǎn)。

基于識別說理論，個(gè)人信息相對應(yīng)的便是非個(gè)人信息。歐美國家大多數(shù)情況下把前者界定為“個(gè)人可識別信息（PII）?！庇纱说弥?，個(gè)人信息的典型特征在于“可識別性”。這里，判斷個(gè)人信息的核心在于透過這一信息能夠獲取個(gè)人相關(guān)身份信息。美國研究學(xué)者以“識別說”為基礎(chǔ)，延伸出了“關(guān)聯(lián)說”。同靜態(tài)識別說進(jìn)行對比，關(guān)聯(lián)說旨在突破傳統(tǒng)二分法的局限，強(qiáng)調(diào)動(dòng)態(tài)界定個(gè)人信息。

我國將個(gè)人信息分為敏感個(gè)人信息和非敏感個(gè)人信息，該分類本身的保護(hù)目的過于單一，放在數(shù)據(jù)跨境流動(dòng)的語境下則顯單薄。此外，《個(gè)人信息保護(hù)法》中的敏感個(gè)人信息，則是集合了社會(huì)評價(jià)與個(gè)人主觀評價(jià)兩方面，這里，個(gè)人主觀感受、社會(huì)文化水平是不可忽視的影響因素，也因此難以形成固定范疇。

簡而言之，個(gè)人信息的差異性決定著對其進(jìn)行分析的必要性，而其規(guī)律性則是使研究具有價(jià)值的根本原因，目前尚無統(tǒng)一的識別個(gè)人信息的方法。

1.2?我國個(gè)人信息跨境流動(dòng)規(guī)則的立法概況

我國相繼出臺(tái)了《數(shù)據(jù)出境安全評估辦法》、《網(wǎng)絡(luò)安全法》、《個(gè)人信息和重要數(shù)據(jù)出境安全評估辦法》、《個(gè)人信息出境安全評估辦法》等法規(guī)及管理制度，并將個(gè)人信息處境規(guī)則的條件確定為個(gè)人信息主體同意、通過出境安全評估，并對企業(yè)開設(shè)個(gè)人數(shù)據(jù)跨境流動(dòng)業(yè)務(wù)進(jìn)行了重點(diǎn)規(guī)范，旨在更好地對個(gè)人信息安全進(jìn)行保護(hù)。

制定出臺(tái)《數(shù)據(jù)出境安全評估辦法》是落實(shí)《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等有關(guān)數(shù)據(jù)出境規(guī)定的重要舉措，目的在于進(jìn)一步規(guī)范數(shù)據(jù)出境活動(dòng)，保護(hù)個(gè)人信息權(quán)益，維護(hù)國家安全和社會(huì)公益?！秱€(gè)人信息保護(hù)法》中，把個(gè)人信息判定分析為“已識別或能夠識別的自然人相關(guān)聯(lián)”的信息，將這一思路總結(jié)為“識別說+關(guān)聯(lián)說”。

1.3?我國個(gè)人信息跨境流動(dòng)規(guī)則的具體內(nèi)容

1.3.1?個(gè)人信息主體“同意”規(guī)則

《個(gè)人信息和重要數(shù)據(jù)出境安全評估辦法》第四條明確指出，個(gè)人信息出境，必須將數(shù)據(jù)出境目的、內(nèi)容、范圍、接收方及所在國家向個(gè)人信息主體進(jìn)行如實(shí)告知，并通過其同意。對此，如果沒有通過信息主體的同意，任何信息都不得出境?；诖耍瑢τ趥€(gè)人信息出境的關(guān)鍵在于獲得信息主體的“同意”?！秱€(gè)人信息安全規(guī)范》對“同意”獲取的相關(guān)流程及規(guī)則進(jìn)行了明確。

1.3.2?個(gè)人信息出境安全評估規(guī)則

對于數(shù)據(jù)出境而言，個(gè)人信息與重點(diǎn)數(shù)據(jù)是其安全性評估的重點(diǎn)。由于數(shù)據(jù)出境在數(shù)據(jù)跨境流動(dòng)中具有非常重要的地位，對此本研究對個(gè)人信息出境評估要點(diǎn)進(jìn)行了著重論述。

當(dāng)個(gè)人信息出境時(shí)，對其安全性評價(jià)時(shí)需考慮到信息數(shù)量，《數(shù)據(jù)出境安全評估辦法》即通過數(shù)據(jù)的量級來區(qū)分安全評估部門的級別。單個(gè)出境的個(gè)人信息數(shù)據(jù)能夠產(chǎn)生的影響較為微小，但是當(dāng)個(gè)人信息匯集到特定程度，就會(huì)具備一定的代表性而產(chǎn)生衍生價(jià)值，對國家安全、社會(huì)利益造成了嚴(yán)重威脅。

2?我國個(gè)人信息跨境流動(dòng)規(guī)則的不足

2.1?個(gè)人信息的定義和分類不合理

在我國，個(gè)人信息主要包括了敏感與非敏感兩種類型，這種分類方式并未立足于數(shù)據(jù)本身的特征，而是基于傾向保護(hù)隱私的單一目的，同跨境的相關(guān)語境進(jìn)行聯(lián)合分析，這一做法比較簡單。然而，事實(shí)上個(gè)人信息種類較多，且信息量特別龐大，有的研究人員以持有主體、數(shù)據(jù)產(chǎn)生行業(yè)的不同進(jìn)行劃分。不同的分類應(yīng)當(dāng)迎合個(gè)人信息的動(dòng)態(tài)性和場景依賴，提升現(xiàn)行法律規(guī)定的可操作性。

2.2?數(shù)據(jù)出境安全管理相關(guān)定義不明確

《數(shù)據(jù)安全法》第三十一條規(guī)定，關(guān)鍵信息的運(yùn)營者的出境安全管理適用《網(wǎng)絡(luò)安全法》第三十七條，但是并沒有對其他數(shù)據(jù)處理者的出境安全管理活動(dòng)做出明文規(guī)定。目前只能參考《個(gè)人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》規(guī)定的六類重要數(shù)據(jù)出境安全評估及三類嚴(yán)禁出境的數(shù)據(jù)類型。但是該《征求意見稿》發(fā)布時(shí)間已較為久遠(yuǎn)，該《辦法》也一直未正式出臺(tái)和生效，因此“個(gè)人信息”相關(guān)規(guī)則仍不明確。

2.3?“同意”規(guī)則保護(hù)力度弱且信息控制者注意義務(wù)嚴(yán)苛

針對非敏感個(gè)人信息而言，我國所制定的數(shù)據(jù)出境規(guī)則的保護(hù)力度較低。通過上述分析得知，針對數(shù)據(jù)出境，其中所提到的“同意”規(guī)則中要求積極履行告知義務(wù)，這是對跨境個(gè)人信息予以收集與使用時(shí)，尤其是一些關(guān)乎隱私、較為敏感的信息，都必須獲得信息主體的同意。這里還強(qiáng)調(diào)要求明示同意。針對非敏感信息而言，默示也算。簡而言之，個(gè)人信息控制人員可憑借默示條款對個(gè)人信息進(jìn)行搜集，但是信息主體卻毫不知情，面臨巨大的風(fēng)險(xiǎn)。另外，對于敏感、非敏感個(gè)人信息，兩者的界限并未明確，信息主體難以對個(gè)人信息進(jìn)行有效控制。

2.4?個(gè)人數(shù)據(jù)出境安全評估規(guī)則的“數(shù)量”標(biāo)準(zhǔn)不科學(xué)

基于上文所論述得知，對于數(shù)據(jù)出境的安全風(fēng)險(xiǎn)、具體等級的評價(jià)中，個(gè)人信息數(shù)量是關(guān)注的重點(diǎn)，并未考慮到網(wǎng)絡(luò)發(fā)展現(xiàn)狀、各行業(yè)針對信息安全需求的不同。然而，我國網(wǎng)民數(shù)量較大，大規(guī)模個(gè)人信息不斷涌現(xiàn)。并且，有學(xué)者預(yù)計(jì)隨著穿戴性設(shè)備等互聯(lián)網(wǎng)的應(yīng)用普及和在線化，人類將迎來“數(shù)據(jù)核爆”。如在此情境下仍舊過分依賴數(shù)量標(biāo)準(zhǔn)，將有可能對非關(guān)鍵領(lǐng)手機(jī)應(yīng)用運(yùn)營者的數(shù)據(jù)跨境業(yè)務(wù)帶來阻礙與限制。

3?個(gè)人數(shù)據(jù)跨境流動(dòng)的歐盟監(jiān)管經(jīng)驗(yàn)

3.1?個(gè)人數(shù)據(jù)分類分級的科學(xué)化

《網(wǎng)絡(luò)安全法》第二十一條規(guī)定由網(wǎng)絡(luò)運(yùn)營者按照網(wǎng)絡(luò)安全等級保護(hù)制度要求，自行采取數(shù)據(jù)分類措施。該規(guī)定過于籠統(tǒng)，沒有明確建立數(shù)據(jù)分類的主體。也沒有體現(xiàn)數(shù)據(jù)分級的思想。而《數(shù)據(jù)安全法》在此基礎(chǔ)上對《網(wǎng)絡(luò)安全法》的數(shù)據(jù)分類進(jìn)行了完善，第二十一條規(guī)定建立數(shù)據(jù)分類分級保護(hù)制度和國家核心數(shù)據(jù)管理制度，明確由國家建立數(shù)據(jù)分類分級制度，由主管部門制定重要數(shù)據(jù)目錄并加強(qiáng)保護(hù)。同時(shí)《數(shù)據(jù)安全法》還新增了國家核心數(shù)據(jù)制度，對核心數(shù)據(jù)采取更為嚴(yán)格的管理。

3.2?排除取得非敏感個(gè)人信息“默示同意”的合法性效力

在個(gè)人數(shù)據(jù)保護(hù)法中，歐盟提到了，任何個(gè)人信息的獲取，都必須滿足“同意”規(guī)則?！兑话銛?shù)據(jù)保護(hù)條例》中對“同意”進(jìn)行了界定，則是數(shù)據(jù)主體以特別明顯的肯定行為或個(gè)人聲明的方式所表達(dá)的指示。歐盟GDPR強(qiáng)調(diào)“同意”必然是清晰、具體的，且要求數(shù)據(jù)主體完全知情的前提下自主作出決定。若數(shù)據(jù)控制一方提出的同意事項(xiàng)同之前獲取的同意事項(xiàng)范圍不同，那么則需及時(shí)向用戶進(jìn)行單獨(dú)闡明；若在合同簽訂中，“同意數(shù)據(jù)處理”列為前提條件，若數(shù)據(jù)處理超過了服務(wù)所必需的范疇，那么則同“同意需自由做出”這一規(guī)定相違背。

通過高標(biāo)準(zhǔn)事實(shí)方面，對“默示同意”予以完全否定，這樣一般以推定的方式對“同意”進(jìn)行獲得，但是這一行為的合法性、有效性難以被認(rèn)定。另外，對于個(gè)人信息法中的“默示同意”，新加坡主張進(jìn)行排除，對敏感與非敏感個(gè)人信息的差別保護(hù)相關(guān)規(guī)則予以取消，明確指出全部個(gè)人信息收集使用時(shí)都必須獲得明確的同意。

4?我國個(gè)人信息跨境流動(dòng)規(guī)則的完善建議

4.1?優(yōu)化個(gè)人信息的定義和分類

基于“個(gè)人信息”，我國提出其關(guān)鍵點(diǎn)在于“可識別性”。然而，在具體實(shí)踐過程中依然存在看起來無法識別的個(gè)人信息卻能夠精準(zhǔn)定位的情況。對此，在“可識別性”的基礎(chǔ)上，還需考慮“關(guān)聯(lián)性”這一特點(diǎn)，認(rèn)為只要是特定自然人在相關(guān)活動(dòng)過程中所自身的信息，那么則可認(rèn)定為個(gè)人信息，具體包含以下幾點(diǎn)：

（1）個(gè)人實(shí)時(shí)位置信息。如開啟地圖APP所出現(xiàn)的實(shí)時(shí)位置相關(guān)信息。

（2）個(gè)人通話記錄。通話記錄中包含了信息主體生活情況、人際關(guān)系等一系列敏感信息。

（3）個(gè)人瀏覽記錄。對于瀏覽記錄而言，能夠?qū)⑿畔⒅黧w興趣、消費(fèi)水平、知識水平等敏感信息予以呈現(xiàn)?？傊瑢τ凇皞€(gè)人信息”范圍而言，應(yīng)包含“關(guān)聯(lián)性”信息，且予以針對性保護(hù)。

針對個(gè)人信息，我國將其分為敏感與非敏感兩類。但是，這一種分類方法并不全面，難以迎合變幻無窮的數(shù)據(jù)跨境所需。對此，最好從數(shù)據(jù)類型、出境目的兩方面進(jìn)一步細(xì)分個(gè)人信息類型，并基于分類情況適用嚴(yán)苛性的不同，對數(shù)據(jù)出境規(guī)則進(jìn)行區(qū)分。

4.2?加強(qiáng)非敏感個(gè)人信息的保護(hù)力度

基于我國數(shù)據(jù)出境“同意”規(guī)則，對非敏感個(gè)人信息收集時(shí)，只需獲取默示同意便能夠使用，如此信息主體尚不知情的情況下依然可憑借默示條款獲得收集的權(quán)利，這一行為嚴(yán)重侵犯了信息主體對自身信息的控制權(quán)?；诖?，可積極借鑒歐盟所實(shí)施的“同意”規(guī)則，不承認(rèn)默示同意的效力，并將個(gè)人敏感與非敏感信息的不同保護(hù)規(guī)則予以取消，無論哪一種個(gè)人信息，都要求通過明示同意。

4.3?明確個(gè)人信息出境評估標(biāo)準(zhǔn)中的“數(shù)量”標(biāo)準(zhǔn)

在個(gè)人信息評估（自行或監(jiān)管機(jī)構(gòu)）時(shí)，個(gè)人信息數(shù)量是關(guān)注的重點(diǎn)，也是數(shù)據(jù)出境安全性、安全等級的主要判定標(biāo)準(zhǔn)。然而，這一規(guī)定科學(xué)性較低，并未考慮到我國龐大的網(wǎng)絡(luò)用戶。啟動(dòng)與評估數(shù)據(jù)安全時(shí)，應(yīng)對數(shù)據(jù)重要性、敏感性方面進(jìn)行充分考慮，并以此為基礎(chǔ)結(jié)合各行業(yè)、各產(chǎn)業(yè)的具體情況及安全規(guī)定，確定針對性、個(gè)性化的“數(shù)量”標(biāo)志，對關(guān)鍵性信息的范圍予以準(zhǔn)確鎖定，最大限度地緩解監(jiān)管負(fù)擔(dān)。

總之，對于個(gè)人信息跨境流動(dòng)規(guī)則而言，最好從個(gè)人信息界定與分類、非敏感個(gè)人信息保護(hù)、信息控制者注意義務(wù)的減輕等方面進(jìn)行完善，且注意對“數(shù)量”標(biāo)準(zhǔn)進(jìn)行細(xì)化，以此來提高個(gè)人信息的安全性。

4.4?完善立法體系，細(xì)化相關(guān)制度

首先，“關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營者”“重要核心數(shù)據(jù)”等概念定義尚不明朗，需要立法進(jìn)一步界定形成個(gè)人數(shù)據(jù)跨境流動(dòng)的統(tǒng)一規(guī)范標(biāo)準(zhǔn)。其次，數(shù)據(jù)跨境流動(dòng)的安全評估應(yīng)予以細(xì)化規(guī)范。應(yīng)當(dāng)制定并出臺(tái)個(gè)人數(shù)據(jù)跨境流動(dòng)的具體評估辦法，由此提供切實(shí)可操作的評估標(biāo)準(zhǔn)。同時(shí)，需進(jìn)一步擴(kuò)大第三方專業(yè)評估機(jī)構(gòu)的適用范圍，利用第三方專業(yè)機(jī)構(gòu)認(rèn)證方式輔助監(jiān)管機(jī)構(gòu)對個(gè)人信息數(shù)據(jù)出境進(jìn)行審查評估。最后，個(gè)人數(shù)據(jù)跨境流動(dòng)的標(biāo)準(zhǔn)合同文本應(yīng)當(dāng)更加具體和規(guī)范。標(biāo)準(zhǔn)規(guī)范的合同文本有利于明確數(shù)據(jù)處理者和數(shù)據(jù)接受者的權(quán)利和義務(wù)，更好地指引數(shù)據(jù)處理者和接受在保護(hù)個(gè)人數(shù)據(jù)的基礎(chǔ)上開展數(shù)據(jù)跨境流動(dòng)合作。除此之外，歐盟GDPR跨境流動(dòng)白名單制度為我國提供了借鑒，我國應(yīng)當(dāng)豐富數(shù)據(jù)跨境流動(dòng)的規(guī)制模式，加速制定本國的數(shù)據(jù)跨境流動(dòng)白名單，評估數(shù)據(jù)接收國的數(shù)據(jù)保護(hù)情況，將數(shù)據(jù)保護(hù)環(huán)境較好的國家或地區(qū)列入白名單，促進(jìn)我國與其他國家的數(shù)據(jù)自由跨境流動(dòng)，形成良性互動(dòng)。

5?結(jié)語

個(gè)人信息跨境流動(dòng)的國際監(jiān)管經(jīng)驗(yàn)主要有，在個(gè)人信息的分類分級上具有多樣性，能夠切合數(shù)據(jù)的動(dòng)態(tài)性特征，歐盟、新加坡等國家直接將“默示同意”合法性直接排除，注重保護(hù)非敏感個(gè)人信息。通過對比，我國個(gè)人信息跨境保護(hù)無論在立法還是司法實(shí)踐中都還處在起步階段，需要在參考域外經(jīng)驗(yàn)的同時(shí)結(jié)合本國國情，補(bǔ)足個(gè)人信息跨境流動(dòng)規(guī)則的漏洞，形成更為完善的規(guī)則體系。

參考文獻(xiàn)

［1］伯恩·魏德士.法理學(xué)[M].丁曉春，吳越，譯.北京：北京法律出版社，2013：91.

[2]黃秋紅，李雅穎.對接CPTPP數(shù)據(jù)跨境流動(dòng)規(guī)則研究[J].南海法學(xué)，2022，6（01）：115124.

[3]高秦偉.個(gè)人信息概念之反思和重塑——立法與實(shí)踐的理論起點(diǎn)[J].人大法律評論，2019，（01）：209235.

[4]王苑.敏感個(gè)人信息的概念界定與要素判斷——以《個(gè)人信息保護(hù)法》第28條為中心[J].環(huán)球法律評論，2022，44（2）：8599.

[5]李航.我國數(shù)據(jù)跨境流動(dòng)規(guī)則的不足與完善[D].上海：上海華東政法大學(xué)，2018.

[6]王利明，丁曉東.論《個(gè)人信息保護(hù)法》的亮點(diǎn)、特色與適用[J].法學(xué)家，2021，（6）：116.

[7]孫雯.我國數(shù)據(jù)出境規(guī)則問題研究[M].上海：上海華東政法大學(xué)，2020：15.

[8]陳詠梅，張姣.跨境數(shù)據(jù)流動(dòng)國際規(guī)制新發(fā)展：困境與前路[J].上海對外經(jīng)貿(mào)大學(xué)學(xué)報(bào)，2017，24（6）：3752.

[9]齊愛民，張哲.識別與再識別：個(gè)人信息的概念界定與立法選擇[J].重慶大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2018，24（2）：119131.

[10]張新寶.我國個(gè)人信息保護(hù)法立法主要矛盾研討[J].吉林大學(xué)社會(huì)科學(xué)學(xué)報(bào)，2018，58（5）：4556.

[11]王雪喬.論歐盟GDPR中個(gè)人數(shù)據(jù)保護(hù)與“同意”細(xì)分[J].政法論叢，2019，（04）：136146.

[12]曾聰.論個(gè)人信息與數(shù)據(jù)的位階保護(hù)模式[J].中國特色社會(huì)主義研究，2022，（5）：131142.

[13]高敏涵.個(gè)人數(shù)據(jù)跨境流動(dòng)的法律規(guī)制問題研究[D].北京：外交學(xué)院，2022：30.