张凌寒 北京科技大学文法学院副教授

《个人信息保护法》搭建了清晰系统的个人信息跨境流动制度框架,涵盖了个人信息的私权保护、企业合规以及我国对外合作与博弈三个维度。个人信息跨境流动制度的构建既“风物长宜放眼量”为未来构建中国引导的国际数据治理话语体系预留了空间,也完成了近期内迫切需求的个人信息跨境流动的规范体系建设。相关制度设计既以平等互惠的开放怀抱积极参与全球数字经济深度合作,又具备牙齿足够反击我国受到的不公正打压与歧视。

目次

一、清晰系统的个人信息跨境流动制度规则体系

(一)三大内容板块

(二)有机制度架构

(三)相关配套制度

二、个人信息跨境流动中的保护私权维度

三、个人信息跨境流动中的企业合规维度

(一)个人信息境内存储的强制要求

(二)个人信息接收方的资质标准

(三)个人信息跨境流动的选择性条件

四、个人信息跨境流动的国际合作与斗争维度

(一)国际合作:数据治理话语体系的中国声音

(二)对外博弈:国外歧视性措施的回应与反制

五、结语

本文来源为《中国法律评论》2021年第5期专论(第37-47页),原文13000余字,为阅读方便,脚注从略。如需引用,可参阅原文。购刊请戳这里。

  • 本文为国家社会科学基金一般项目“网络平台监管的算法问责制构建研究”(项目编号20BFX151)的阶段性成果。感谢许可老师给予的指导帮助,本文文责自负。

2021年8月《个人信息保护法》公布,首次在法律层面构建了相对全面的个人信息跨境流动制度。同时,《个人信息保护法》的颁布补全了数据跨境流动制度拼图中最重要的一块,至此我国数据跨境流动制度规则框架与体系基本搭建完成。清晰系统的个人信息跨境流动制度与其他法律法规共同向世界展示了个人信息跨境流动问题的中国方案。

《个人信息保护法》在私益保护、行政监管、国家安全、国际合作等方面提供了全方位立体化的个人信息保护框架,其中个人信息跨境流动制度尤其需兼顾多重面向与利益。

一方面,个人信息跨境流动已经成为我国数字经济发展的迫切要求。根据预测,2025年我国数字经济规模有望跃居全球首位,可达人民币60万亿元。个人信息跨境流动成为数字贸易之必需,数字产品或服务的供给、交付均需要清晰的数据跨境制度指引。然而另一方面,地缘政治冲突加剧,世界数字大国间博弈,不同经济体主导的数据流动框架竞争日趋激烈,数字贸易保护主义抬头,导致数字经济发展面临的国际环境更加复杂。

在全球数字贸易快速发展、海量数据跨境流动的背景下,《个人信息保护法》第三章六个条文为中国个人信息跨境流动方案确立了一条原则、两个面向、三重维度的基本框架,即以自由与安全作为个人信息跨境流动的基本原则,搭建对内合规与对外博弈两个面向,涵盖了个人信息保护、促进企业合规、国际合作与斗争三个维度。

本文将系统梳理我国多部法律法规与部门规章搭建的个人信息跨境流动的规则体系,并深入讨论个人信息跨境流动制度对我国数字经济国内发展与国际博弈双重面向的影响:在对内面向中,个人信息出境需求下如何保障个人信息安全,如何应对有跨境需求的企业面临的个人信息出境合规体系要求;在对外面向中,在国际合作和博弈维度间,如何保障我国国际话语体系构建与国家数据主权。

清晰系统的个人信息跨境流动制度规则体系

《个人信息保护法》建立了我国个人信息跨境流动制度的顶层设计,改变了个人信息跨境流动制度零散无体系且效力位阶较低的情况,构建了清晰系统的制度框架。个人信息跨境流动制度是数据跨境流动中最为重要的内容之一。我国《个人信息保护法》与《民法典》《网络安全法》《数据安全法》等多部法律,与法规、部门规章、行业和技术标准等共同构成了我国个人信息跨境流动的法律制度有机体系。至此,数据跨境流动制度框架构建基本完成,未来制度构建内容则是具体实施规则的充实。

(一)三大内容板块

《个人信息保护法》第三章确定的跨境提供个人信息规则可划分为三个内容板块:

第一,明确了跨境提供个人信息的原则与依据。除以我国法律规定为主要依据之外,第38条与第41条还确定,可以在平等互惠原则的基础上,在有规定的情况下,以缔结、参与的国际条约、协定作为个人信息跨境流动的依据。

第二,明确了个人信息跨境提供的条件及要求。个人信息跨境提供的条件包括选择性条件和必要性条件。选择性条件具备其中之一即可,即个人信息处理者要通过国家网信部门组织的安全评估,或经过专业机构进行个人信息保护认证,按照标准合同与境外接收方订立合同,或满足法律、行政法规、网信部门规定的其他条件(第38条)。必要性条件是个人信息处理者必须满足的,即要取得个人对于个人信息跨境事项的单独同意(第39条),并且保障境外接收方处理活动达到境内个人信息保护标准(第38条)。

第三,明确了个人信息跨境提供的限制条件。限制条件要求国家机关、关键信息基础设施运营者、处理个人信息达到国家网信部门规定数量的个人信息处理者掌握的个人信息原则上在境内存储,确需向境外提供的,需经过安全评估(第36条、第40条)。

(二)有机制度架构

《个人信息保护法》与我国现行多部法律联动形成了保护公民个人信息权益的架构。

第一,《个人信息保护法》将《民法典》中保护平等主体个人信息的规定特别化、具体化。《民法典》在我国首次明确将个人信息权益作为法律保护的对象,区分保护了隐私与个人信息。而《个人信息保护法》则进一步明确了个人信息的概念和范畴,以“可识别性”作为判定个人信息范围的标准。在未来的侵害个人信息权益的案件中,如何判定加害人的行为是否侵害个人信息,应本着特别法优于普通法的原则,将“可识别性”作为判定个人信息的标准。《个人信息保护法》也为未来个人信息范围的划定预留了空间,因“可识别性”是一个随着技术发展而动态革新的概念。随着数据分析范围的扩大、数据分析技术的增强、可对比信息丰富,个人信息被识别的可能性也在不断增加。

第二,《个人信息保护法》与《网络安全法》中第四章从不同角度强化了个人信息的法律保护。2016年制定的《网络安全法》将个人信息作为网络安全的重要内容,主要从安全层面上规定了网络运营者的安全保障义务、告知义务、保密义务等。个人信息保护是一个公私联动的重大工程。《个人信息保护法》属于新法,并且更加具体与细致,接过了我国个人信息保护的“接力棒”。尤其在关键信息基础设施运营者与个人信息处理者的义务中,《个人信息保护法》做出了覆盖个人信息全生命周期的安排。

第三,《个人信息保护法》与《数据安全法》互为补充。《数据安全法》为个人信息跨境流动制度确立了安全与自由的基本原则,规定“国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展”。随着数字经济的发展,业内逐渐认识到不同数据所蕴含价值和主权属性并不相同。它关系国家安全、公共利益与个人隐私等重要价值,因此需对不同数据进行分级分类的保护,我国数据跨境流动立法也以此作为主导思想。

第四,《个人信息保护法》与《电子商务法》《消费者权益保护法》《商业银行法》等专门性法律形成了一般法与特别法的关系。在涉及电商平台用户跨境流动、消费者个人信息跨境存储、银行用户个人金融等敏感信息跨境流动的具体制度问题上,《个人信息保护法》提供了一般性规则,可有效为专门法律的未尽事宜提供指导原则。

(三)相关配套制度

与此同时,近三年来国内密集起草制订了多部法规、规章与规范性文件,为个人信息跨境流动提供不同行业领域与场景的具体制度。

第一,规范文件和标准文件对具体制度的规定。《信息安全技术个人信息安全规范》(2020年)进行个人信息示例及个人敏感信息判定,规范了个人信息流转过程中的合法化要求、最小化要求、授权同意、明示同意和隐私政策内容及发布;《个人信息出境安全评估办法(征求意见稿)》(2019年)则明确了个人数据出境评估关键要素与评估方法。《信息安全技术数据出境安全评估指南(草案)》(2017年)进行了术语界定,明确了数据出境安全的总体评估流程,并且列举了评估要点,对数据接收方安全保护能力作出了规定。这都对个人信息出境安全评估以及数据接收方的要求等做出了更为明确和细致的指引。

第二,各个行业相关规范对不同场景个人信息流动的细分。《保守国家秘密法》《征信业管理条例》等法律法规也对特定行业、特定领域的跨境数据流动作了一些基本规定。中国人民银行对个人金融信息数据,国家卫健委对涉及人口健康信息数据,交通运输部、工信部等六部委颁布的《网络预约出租汽车经营服务管理暂行办法》(2019年修正)对网约车所采集的个人信息和生成的业务数据等,都要求在中国境内存储。《汽车数据安全管理若干规定(试行)》在涉及智能驾驶汽车的个人信息和数据跨境流动方面作出规定。可以预见,随着各个行业数字化进程加深,个人信息跨境流动的行业和场景规范将更加丰富。

由此可见,《个人信息保护法》标志着我国数据跨境流动制度基本建立完成。毫无疑问,数据跨境流动的一般条款也适用于个人信息跨境流动。单一的数据本地化和限制性出境管理模式已经不能适应我国数字经济全球化和国内头部企业出海的制度需求。《个人信息保护法》同多部法律法规与行业规范技术标准,共同建立了我国包含数据本土化、数据出境合理限制、自由流动等多种监管模式和监管机制相结合的个人信息跨境流动法律体系。

个人信息跨境流动中的保护私权维度

《个人信息保护法》的要旨是对个人信息中所蕴含的隐私、人格利益等私益进行合法保护。这使保护个人信息成为企业发展数字经济的前提要件,也充分彰显了《个人信息保护法》的价值取向。

合法收集个人信息的基础一般是获得个体同意。由于个人信息蕴含的巨大隐私价值和商业利益,所以《个人信息保护法》第39条明确要求个人信息处理者要就个人信息跨境事项取得个人的单独知情同意。个体需要知情的内容,包括“境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项”,并且需要就这些事项“单独同意”,这也与《个人信息保护法》第23条达成了内部的协调。将个人信息出境交给境外接收方也是一种数据处理行为,等同于将其交给第三方处理,所以《个人信息保护法》第23条规定的告知“身份、联系方式、处理目的、处理方式和个人信息的种类”和“单独同意”的要求是一致的。

个人信息跨境流动的单独知情同意,存在两个问题需要明确。

第一,单独同意应该采取何种形式。毫无疑问,单独同意是为了明确用户对于个人信息跨境这一事项的自决权,并增加了个人信息处理者的合规义务。请求用户知情同意的形式决定了企业的合规成本。其他的“单独同意”还包括《个人信息保护法》第29条规定的处理个人敏感信息,最高人民法院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》中针对人脸数据的收集,《汽车数据安全管理若干规定(试行)》中要求的汽车数据处理者处理个人敏感信息。

所谓单独同意,即要求个人信息处理者在以知情同意作为信息处理的合法性基础时,不得以“一揽子”的方式取得个人同意,这是在《民法典》第1035条基础上对个人信息保护方式作出的细化要求。单独同意的效力是指如果个体针对此事项未作出同意,并不影响其他产品或服务的使用。单独同意在服务与产品设计中应独立体现,需要产品或服务以勾选、弹窗、单独点击等方式获取关于个人信息跨境的单独同意。

第二,如果个人信息处理者是根据知情同意之外的条件取得个人信息处理的合法性基础的,当其决定将个人信息出境时,是否还需要取得个人信息主体的单独同意?这个问题的本质需要单独考察《个人信息保护法》第13条规定个人信息处理的知情同意能否成为个人信息出境的合法性基础。如果原来取得个人信息处理的合法性基础能够涵盖个人信息出境事宜,则无须再取得个体的单独同意。

因此,需要区分不同场景,标准则是个人信息处理者取得合法性基础依据的利益与个体信息自决的利益之间的衡量。《个人信息保护法》第13条规定个人信息处理合法性基础除知情同意之外还包括:合同必需、人力资源管理必需;履行法定职责或者法定义务所必需;为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;合理的范围内处理个人自行公开或者其他已经合法公开的个人信息等多种情况。

当个人信息的跨境包含在取得个人同意时的处理目的内则无须单独同意。举例而言,当跨国公司收集个人信息以人力资源管理获得合法性基础时,将劳动者的个人信息再次出境进行处理,符合当初收集的正当目的,无须再次单独同意。当为了应对突发公共卫生事件而需展开国际防疫的合作交流,具备充分的合法性基础,也无须取得个体的单独知情同意。但是如果个人信息并无出境的必要,则即使基于公共卫生的必须取得了处理个人信息的权限,也并不当然具有个人信息出境的合法性基础。这需要监管部门在实践中对具体场景作进一步衡量把握。

个人信息跨境流动中的企业合规维度

《个人信息保护法》对需要将个人信息出境的企业提出了明确的合规要求,即需符合必要性条件与选择性条件。对外设置一定的数据跨境流动门槛并非为了给企业加设障碍,而是以保障个体的个人信息安全与隐私等作为基本标准。这既体现了我国鼓励数据自由流动、发展数字经济的政策导向,也为企业指明了对内合规、双向合规和未来全球合规的发展路径。

(一)个人信息境内存储的强制要求

《个人信息保护法》第40条强制要求关键信息基础设施运营者和达到规定数量的个人信息处理者将数据本地化存储,出境需要经过网信部门的出境安全评估。

在这一条款中,存在需要厘清的问题。网信部门规定“处理个人信息达到规定数量的个人信息处理者需本地化存储”,“处理个人信息达到规定数量的个人信息处理者”应如何理解?

其一,如果将个人信息的量作为衡量标准,《个人信息和重要数据出境安全评估办法(征求意见稿)》(2017年)第9条第1款规定,含有或累计含有50万人以上的个人信息或数据量超过1000GB的网络运营者应进行出境评估,可为“规定数量”提供参考标准。

其二,“处理个人信息达到规定数量”如果作为个人信息处理者的定语,是指较大规模的个人信息处理者。那么当这些大型企业出境的个人信息数量尚未达到国家的数量标准时,是否需要进行出境安全评估呢?例如,某网约车平台处理个人信息达到规定数量,但其只需要将少量的某类特定个人信息出境。

其三,毫无疑问,这一规定与国家安全相关,但显然仅仅从数量界定需要本地化存储的个人信息并不能完全满足国家安全的需要。例如,美国美军某款健身APP被发现可保留使用者日常锻炼的记录,包括其在军事场所和家中进行锻炼的心率、路线、日期、持续时间和步速。一家媒体曾通过它准确找到了美国特工处、美国国家安全局、英国军情六处及众多国际秘密组织成员的准确活动地点。因此,数据境内存储的个人信息既需从数量上把握,也需要加入“质量”的考量。

所以,《个人信息保护法》第40条的解释,究竟是基于个人信息的数量、企业规模还是个人信息关系的国家安全,尚需在实践中进一步厘清。

《个人信息保护法》从数量方面界定,是因为行业中具备一定规模的企业,其处理的海量个人信息可能承载了公共利益,并可通过数据分析获得一定重要信息。但显然在实践中是否仍要依据企业规模和个人信息具体内容进行出境安全评估,仍是企业合规的重大问题。

(二)个人信息接收方的资质标准

个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。这是出于保护个人信息权益的制度要求,避免我国公民个人信息流向“保护洼地”。如何考察数据接收方处理个人信息活动的标准达到《个人信息保护法》的保护标准?这实质是个人数据处理者对第三方数据处理标准的评估制度。在我国《信息安全技术数据出境安全评估指南(草案)》中详细规定了对数据接收方的安全保护能力、所在国家或地区的政治法律环境评估的多项指标。

此时需讨论,何为“个人信息处理者应当采取必要措施”,《个人信息保护法》第38条第3款与第38条第1款第4项的关系应当如何处理?有两个可能的解释:

其一,个人信息处理者为了使境外接收方达到个人信息保护标准所采取的必要措施(第38条第3款),包含在第38条第1款第4项的兜底条款中;其二,必要措施是《个人信息保护法》对其个人信息处理者在第38条第1款之外施加的额外义务。此条的模糊性使“必要措施”的范围并不确定。

以欧盟为例,2021年7月,欧盟委员会通过了个人数据跨境传输标准合同条款(Standards Contractual Clauses,以下简称“跨境传输SCCs”),将2020年7月Schrems Ⅱ案的判决纳入考量。欧盟不仅要求个人信息处理者签订跨境传输SCCs,还提出一系列补充措施,如数据传输方要进行个案审查,评估数据接收方所在国的法律变化,以及考量数据接收方应所在国法律规定的披露个人数据的情形,对数据传输各方提出了更为严格的实质审核和安全保证要求。

如果我国《个人信息保护法》将后续意料之外的要求作为境外接收方采取的“必要措施”,显然并不涵盖在第1款的4项要求之内。所以“必要措施”的模糊规定以及其与第38条第1款的关系,为应对日后可能的局面留下了足够的空间。但这也同样加重了企业的合规风险,企业有可能因为随时发生的复杂变化而丧失向境外传输个人信息的资格。

与此同时,要求数据接收方具备相同的个人信息保护标准,也是我国构建中国个人信息话语体系的需要。

以欧盟为例,在世界范围内,欧盟一直处于个人信息保护的较高水平,欧盟《通用数据保护条例》(GDPR)第45条规定,对数据接收国或者国际组织的个人隐私信息保护力度要进行充分的考察。尽管欧盟规定了允许个人数据转移的两种基本场景和八种例外情况,但欧盟个人数据向外流动主要依赖于充分性认定机制,这要求第三国的数据保护水平达到与欧盟法“实质等同”(essentially equivalent)的程度。

然而,鉴于欧盟数据保护的高标准和高门槛,能够得到“充分性认定”的国家并不多。因此,欧盟展开了与其他国家的积极磋商,非获认定地区的各类组织和企业可以根据欧盟认可的标准合同条款、约束性公司规则、行为规范、认证机制,或者获得欧盟数据主体的明确同意等特定减损情形,作为个人数据流出欧盟的合法依据。在此过程中,其他国家与地区的组织为了在欧盟开展业务或获取欧盟出境的个人信息,都积极展开协商并向欧盟数据保护标准靠拢。

(三)个人信息跨境流动的选择性条件

我国现有的丰富机制可使企业在可预期的稳定法律框架内,根据自身跨境需求选择个人信息跨境流动的有效合法渠道。在保证数据跨境流动安全的同时,实现监管设定的用户隐私保护的目标。

我国《个人信息保护法》在个人信息出境的要求上,修改了2019年发布的《个人信息出境安全评估办法(征求意见稿)》的相关规定,不再要求所有个人信息跨境流动活动均以通过安全评估为前提,而是以分级分类管理思路设计了四种个人信息出境的条件:(1)通过国家网信部门组织的安全评估;(2)按照国家网信部门的规定经专业机构进行个人信息保护认证;(3)与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准;(4)法律、行政法规或者国家网信部门规定的其他条件。

个人信息处理者因为业务等需要,确需向境外提供个人信息的,只要具备以上条件之一即满足了合规要求。与此同时,《个人信息保护法》还留下了“法律、行政法规或者国家网信部门规定的其他条件”的开放性条款,为后续立法根据技术发展和社会变迁增加个人信息跨境流动合法性基础保留创新空间。这种选择性条件的立法形式为合理有序的数据流动提供了尽可能丰富的渠道,但仍可能存在以下需要在实践中明确之处:

其一,个人信息安全评估与出境评估关系。《个人信息保护法》第38条与第55条都涉及个人信息处理活动评估制度。第55条规定高风险处理活动,包括处理敏感个人信息、委托处理、向第三方共享、数据出境、自动化决策、公开个人信息等,都需要开展个人数据保护影响评估。第38条则规定个人信息出境需“依照本法第四十条的规定通过国家网信部门组织的安全评估”。需要明确的是,两类评估因其性质不同而不具有重合性。影响评估主要针对个人信息处理活动对于个人权益的影响,而安全评估关注的是数据安全与国家安全。除了第38条规定的安全评估,第36条也规定了国家机关的个人信息安全评估,其评估的内容要大于个人权益影响评估的范围,因此并不具有重复性。

其二,与境外接收方订立合同,独立成为个人信息出境的合法性基础。在《个人信息出境安全评估办法(征求意见稿)》中,与境外接收方订立合同是个人信息处理者通过安全评估的重要指标,但在《个人信息保护法》中则独立成为个人信息出境的合法性基础。其中标准合同的规定于二审稿中添加,相较于安全评估或专业机构认证,标准合同的指导性和便利性更适应实践需要。标准合同这一方式在GDPR第28条中亦有类似规定,其将标准合同作为可以将欧盟公民个人数据传输到境外的主要方式之一。《个人信息出境安全评估办法(征求意见稿)》要求与境外接收方订立的合同应该明确网络运营者、接收者承担的义务和责任,并且要明确不得将接收到的个人信息传输给第三方。个人信息出境合同的履行情况,也是网信部门检查的重点内容,但标准合同范本尚待网信部门制定发布。

近三年,世界范围内的个人信息与数据保护立法密集出台,各国的个人信息保护与数据跨境流动制度都在激烈的博弈中。个别国家以政治为导向,超越法律精神,企业往往在夹缝中生存,被以个人信息保护为由而制裁。2020年TikTok在美国和印度等国家面临的困境充分表明这并非臆想。我国互联网企业面对全球竞争,既要符合国内合规的基本要求,也要积极筹谋“双向合规”,即在本国与个人信息接收方国家同样合规,甚至为了企业未来全球布局做好“全球合规”。

个人信息跨境流动的国际合作与斗争维度

《个人信息保护法》是网络空间的基本法,个人信息在国际范围内不断流动,无论是个人信息跨境提供,还是个人信息的境外处理,都需要个人信息跨境流动制度在国际视野下,统筹国内大局做出制度构建。各个国家和地区的法律制度不同,对待个人信息保护和数据安全的态度存在分歧,统一的全球性跨境数据流动制度构建在短期内难以实现。

这就使得个人信息跨境流动制度的构建既需要“风物长宜放眼量”,为未来构建中国引导的数据治理话语体系预留空间,又要为近期内迫切的个人信息跨境流动建立合作的机动机制;既要以平等互惠的开放胸怀积极参与制定国际条约与协定,又要具备足够能力以反击我国受到的不公正打压与歧视。

(一)国际合作:数据治理话语体系的中国声音

全球范围内的数据跨境国际合作与体系建设是大势所趋,我国《个人信息保护法》与《数据安全法》共同对此作出了回应。我国积极参与国际规则的制定与国际交流合作,以平等互惠作为基本原则。《个人信息保护法》第38条第2款与第3款规定,中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。第38条第2款内容为正式稿中首次添加,以国际条约作为个人信息出境的合法性基础,但个人信息处理者负有义务采取必要措施保障个人信息在境内外获得同等保护。

但何为“必要措施”与“同等保护”,尚需其他规则或规定予以明确。这与《数据安全法》中的规定遥相呼应:“国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。”《个人信息保护法》倾向于积极参与国际条约与协定的制定,使得未来跨境提供个人信息无须受制于《个人信息保护法》,从而为《区域全面经济伙伴关系协定》(RCEP)和未来《全面与进步跨太平洋伙伴关系协定》(CPTPP)签署预留了空间。

数据跨境流动规则体系的博弈从进入数据时代以来就从未停止。

在过去的实践中,西方国家主导和制定了数据跨境流动的国际合作协议。

经济合作与发展组织(OECD)于1980年和1993年制定了《隐私保护和个人数据跨境流动的指南》(OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data 1980),联合国大会在1990年通过了《计算机处理的个人数据文档规范指南》(Guidelines for the Regulation of Computerized Personal Data Files),亚太经合组织(APEC)在2005年通过了《隐私保护框架》(2015年修订)(Privacy Framework)。

随着数字经济发展格局初步奠定,欧盟和美国分别主导建设自己的数据跨境流动制度体系,争夺数字经济话语体系的主导地位。美国积极推进跨境隐私规则体制(Cross Border Privacy Rules System,CBPRs)主导的数据跨境流动体系建设,该体系虽然在2012年正式启动,向APEC经济体开放,但近十年的经营只有数个国家开始了CBPRs的实际认证运营。究其原因,CBPRs只提供了个人信息的低水平保护,意在推行美国数字霸权引导数据向美国流动,并不符合其他国家的利益。

2020年2月,欧盟委员会同时发布了三份重要的数字战略文件,分别是《塑造欧洲的数字未来》《人工智能白皮书》《欧洲数据战略》,三份战略文件的一个核心概念就是欧盟必须重新夺回自己的“技术主权”。欧盟仍在积极推进GDPR主导下的数据跨境流动制度,要求出境方国家和企业接受欧盟的“充分性认证”和“有约束力的公司准则”的个人信息保护标准。但与此同时,数据跨境流动的客观需要又迫使欧盟与美国合作与妥协,欧美双方试图以协议方式为欧盟公民数据向美国的自由流动创造便利条件。

双方于2000年达成《安全港协议》,借此美国得到了欧盟“局部性”的充分性认定,美国是唯一没有综合性隐私法律却仍然享受了欧盟充分性认定待遇的国家。在2013年斯诺登事件后《安全港协议》被判无效,取而代之的是紧急磋商后达成的《隐私盾协议》。2020年7月,《隐私盾协议》又一次被欧盟法院判定无效。

在世界范围内,各国在尚无法达成统一国际条约的情况下,仍在积极推动区域性合作。

2019年1月,76个世界贸易组织(WTO)成员方签署《电子商务联合声明》(Joint Statement on Electronic Commerce),确认启动制定新的电子商务规则谈判。RCEP第12章“电子商务”中,要求缔约方为电子商务创造有利环境,保护电子商务用户的个人信息,为在线消费者提供保护,并针对非应邀商业电子信息加强监管和合作。

东盟为推动区域一体化与合作,发布了《东盟数据管理框架》(ASEAN Data Management Framework, DMF)以及《东盟跨境数据流动示范合同条款》(ASEAN Model Contractual Clauses for Cross Border Data Flows, MCCs)以促成个人数据在东盟成员国之间自由流动,建设安全、可持续、转型升级的数字经济。我国将推动RCEP在未来早日生效实施,加快推动中日韩、中国与海合会等自贸协定谈判进程,2021年9月,中国已申请。

我国作为世界数字经济大国,必然需要在数据跨境流动领域发出中国声音。2020年9月8日,国务委员兼外交部长王毅在“抓住数字机遇,共谋合作发展”国际研讨会高级别会议上发表题为《坚守多边主义倡导公平正义携手合作共赢》的主旨讲话,提出《全球数据安全倡议》,呼吁各国应要求企业严格遵守所在国法律,不得要求本国企业将境外产生、获取的数据存储在境内;各国应尊重他国主权、司法管辖权和对数据的安全管理权,未经他国法律允许不得直接向企业或个人调取位于他国的数据;各国如因打击犯罪等执法需要跨境调取数据,应通过司法协助渠道或其他相关多双边协议解决;国家间缔结跨境调取数据双边协议,不得侵犯第三国司法主权和数据安全。

这为中国参与和制定国际数据跨境流动规则奠定了基调,即平等互惠原则下的对等规则。我国《个人信息保护法》也对跨境提供个人信息作出相应的安排,第41条规定:“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。”

《数据安全法》亦规定,境外执法机构要求调取存储于中华人民共和国境内的数据的,有关组织、个人应当向有关主管机关报告,获得批准后方可提供。此举是对以美国《澄清域外合法使用数据法》(CloudAct)为代表的相关法律的应对,充分贯彻了《全球数据安全倡议》所提倡的“各国应尊重他国主权、司法管辖权和对数据的安全管理权,未经他国法律允许不得直接向企业或个人调取位于他国的数据”及“各国如因打击犯罪等执法需要跨境调取数据,应通过司法协助渠道或其他相关多双边协议解决”的相关精神。

虽然欧美在数据跨境领域的话语体系建设已经延续多年,并占据了国际规则制定中的先发位置,但中国仍有创建和发展自身话语体系的巨大空间。《个人信息保护法》在维护国家主权、安全和发展利益的基础上进行了境外调取个人信息的限制,又以平等开放的姿态为未来的国际合作留足了空间。我国以平等互惠的态度倡导全球议题,制度设计考量大量发展中国家和落后国家的利益与诉求,为建设中国引领的国际数据跨境流动体系奠定了基础。

(二)对外博弈:国外歧视性措施的回应与反制

个人信息保护早已成为各国经济博弈与政治角力的核心议题。在当前国际冲突加剧、霸权主义横行的大背景下,各国均在积极推进国内法效力的国际化。美国对其国内法的域外适用创制了先例。国际上遏制打压中国,对中国企业、组织实施歧视性措施的做法屡屡见诸报端。我国也被迫卷入到这场博弈之中,在对等原则下构建了遏制国外歧视性措施的三步走规划:公布《反外国制裁法》,对单边制裁的霸权措施回应;完善我国法律域外适用效力,保障我国公民与企业的合法权益;积极推进国际话语体系建设,建立新型国际关系与国际秩序。

2021年6月颁布的《反外国制裁法》为反制国外的遏制和歧视性措施奠定了基调。《反外国制裁法》第3条规定:“中华人民共和国反对霸权主义和强权政治,反对任何国家以任何借口、任何方式干涉中国内政。外国国家违反国际法和国际关系基本准则,以各种借口或者依据其本国法律对我国进行遏制、打压,对我国公民、组织采取歧视性限制措施,干涉我国内政的,我国有权采取相应反制措施。”

具体到各领域法律落实层面,《数据安全法》从各个层面对他国的数据策略进行了回应和反制,如第26条规定:“任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。”

在《个人信息保护法》层面,关于个人信息跨境制度的反制条款则规定在第42条的“个人信息保护黑名单制度”和第43条“对等制裁制度”。其中第42条首创危害个人信息“黑名单”制度,对境外危害国家安全与公民个人信息权益的组织,由国家网信部门列入限制或禁止清单,采取限制或禁止向其提供个人信息等措施。第43条则规定“任何国家或者地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施”。

我国“个人信息保护的黑名单”制度实际上拓展了国内法适用的域外效力。这一制度延续并革新了《网络安全法》第75条“境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任”的域外保护性管辖权。在后续立法过程中,中国开始逐步探索中国法律的域外适用效力。比如《数据安全法》第2条提出,中国境外的组织、个人开展数据活动,损害中国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。

在《个人信息保护法》中的“黑名单”制度则是制裁的重要举措。这是针对美国将中国企业无端列入“实体清单”,或将部分中国企业及公民列入“特别指定国民和被隔离人员清单”的反制举措。不同之处在于,国外企业只有违反我国有关个人信息保护和数据活动的有关规定,损害国家公民合法权益的才会被列入“黑名单”。这既体现了我国对无理制裁的坚决回应,也体现了我国对国内法域外适用效力的谦抑性。

结语

个人信息跨境流动制度可谓个人信息保护制度体系中涉及利益最为复杂、辐射范围最为广泛的制度,其兼具私益和公共利益保护,更关系数据主权与国家安全,决定我国在未来世界范围内的数字制度话语权和影响力。现今正是国际数字经济格局博弈与确立的关键时期,中美欧数据流动机制的差异,合作与博弈共存、机遇与风险兼具的国际形势,决定了在未来一定时期内,涉及个人信息跨境流动的企业需要面临极其复杂的法律与政策环境。个人信息跨境流动制度不仅关系企业合规,也对企业成本负担、技术架构、战略布局具有深度影响。

《个人信息保护法》连同多部法律共同构建了我国个人信息流动的制度框架,但仍需进一步细化完善,可以预见相应的配套措施、具有可操作性的跨境数据流动具体细则将密集出台。跨境数据流动制度的构建已成为目前的立法热点与重点,上海、海南、北京、浙江等多地自贸区或自贸港陆续发布方案和计划,开展试点。《个人信息保护法》等立法活动所作的探索,推动着我国在跨境数据流动制度构建之路上不断前进。

声明:本文来自中国法律评论,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。