論個人數(shù)據(jù)出境的監(jiān)管機(jī)制

王忠　李慧敏

[摘要] 個人數(shù)據(jù)具有重要戰(zhàn)略價值，但其出境缺乏監(jiān)管。這將影響國家安全、制約創(chuàng)新能力提升、危及個人隱私。建議完善法律法規(guī)體系，構(gòu)建國際合作機(jī)制，設(shè)立分類分級安全審查機(jī)制，涉及國家安全的數(shù)據(jù)禁止出境，以問責(zé)機(jī)制規(guī)制敏感行業(yè)數(shù)據(jù)，以格式合同管理普通行業(yè)數(shù)據(jù)，明確企業(yè)管理責(zé)任。

[關(guān)鍵詞] 個人數(shù)據(jù) 出境 監(jiān)管

[中圖分類號] G259.2 [文獻(xiàn)標(biāo)識碼] A [文章編號] 1004-6623（2017）04-0062-04

[基金項(xiàng)目] 國家自然科學(xué)基金資助項(xiàng)目（71302020），北京市社會科學(xué)基金項(xiàng)目（16YJB021）。

[作者簡介] 王忠（1983 — ），湖南湘陰人，北京市社會科學(xué)院副研究員，博士，研究方向：技術(shù)經(jīng)濟(jì)及管理；李慧敏（1985 — ），女，山東兗州人，中國科學(xué)院科技戰(zhàn)略咨詢研究院助理研究員，博士，研究方向：創(chuàng)新政策、產(chǎn)業(yè)法。

一、引 言

大數(shù)據(jù)時代的到來，數(shù)據(jù)資源的戰(zhàn)略價值引起社會普遍重視。由于直接反應(yīng)用戶偏好，體現(xiàn)市場需求，個人數(shù)據(jù)尤其備受關(guān)注，其應(yīng)用價值不斷凸顯。隨著全球化和我國對外開放的不斷深入，國人越來越多購買外企的產(chǎn)品和服務(wù)。企業(yè)為了提供更好的服務(wù)、推出更好的產(chǎn)品、建立更好的客戶關(guān)系，會盡可能多地收集用戶數(shù)據(jù)。用戶包括個人用戶和企業(yè)級用戶，但由于企業(yè)級用戶的法律保障較為完備，本文主要關(guān)注個人用戶。這些用戶數(shù)據(jù)目前不受任何監(jiān)管，外企可以帶回本國總部，甚至傳輸?shù)狡渌邪l(fā)中心進(jìn)行數(shù)據(jù)分析。隨著市場的進(jìn)一步開放，以及信息技術(shù)的發(fā)展，缺乏監(jiān)管的個人數(shù)據(jù)跨境流動必然帶來一系列負(fù)面影響。

個人數(shù)據(jù)跨境流動的研究不少，主要有：（1）個人數(shù)據(jù)跨境流動對隱私的影響。如Karol Thomas 認(rèn)為其能影響整個市場的信用基礎(chǔ)，并設(shè)計(jì)了隱私影響的評價方法。程衛(wèi)東認(rèn)為個人數(shù)據(jù)跨境流動會侵犯個人權(quán)利，而且難以取證以致救濟(jì)困難。（2）個人數(shù)據(jù)跨境流動的經(jīng)濟(jì)影響。如Ahmed Usman等認(rèn)為個人數(shù)據(jù)跨境流動有利于促進(jìn)創(chuàng)新，推動新經(jīng)濟(jì)發(fā)展。（3）個人數(shù)據(jù)跨境流動國際規(guī)則的比較研究。如弓永欽等對APEC與歐盟的規(guī)則進(jìn)行了比較研究，Allars對歐盟、美國、加拿大、澳大利亞的個人數(shù)據(jù)出境進(jìn)行了比較研究，徐磊對APEC的規(guī)則進(jìn)行了研究。（4）特殊個人數(shù)據(jù)的跨境流動。有的學(xué)者對于醫(yī)療數(shù)據(jù)、征信數(shù)據(jù)、云計(jì)算中存儲的個人數(shù)據(jù)跨境流動進(jìn)行了研究。

現(xiàn)有文獻(xiàn)指出了個人數(shù)據(jù)國際流動對隱私的重大影響，國外也采取了相關(guān)監(jiān)管措施。目前我國除除對征信行業(yè)數(shù)據(jù)有相關(guān)要求外，其他行業(yè)尚為空白。大數(shù)據(jù)環(huán)境下，個人數(shù)據(jù)的流入就是資源的流入?，F(xiàn)有文獻(xiàn)不僅對個人數(shù)據(jù)出境的戰(zhàn)略影響研究不足，對我國如何構(gòu)建個人數(shù)據(jù)出境監(jiān)管機(jī)制的研究更是薄弱。因此，本文將研究中國的個人數(shù)據(jù)出境隱患，并對出境監(jiān)管機(jī)制進(jìn)行研究。

二、個人數(shù)據(jù)出境概況

大多數(shù)針對個人用戶的產(chǎn)品及服務(wù)都能收集個人數(shù)據(jù)。除了姓名、性別、年齡、民族、籍貫、住址、電話等個人基本信息，不同行業(yè)收集數(shù)據(jù)會有所不同，如銀行會有用戶的資產(chǎn)狀況、消費(fèi)、交易數(shù)據(jù)，手機(jī)之類的移動智能終端會有用戶的通訊錄、位置數(shù)據(jù)。

越來越多的企業(yè)將其用戶數(shù)據(jù)作為企業(yè)核心資源，注重?cái)?shù)據(jù)驅(qū)動的管理決策，建立數(shù)據(jù)處理團(tuán)隊(duì)，甚至成立專門的數(shù)據(jù)處理部門。數(shù)據(jù)處理大多在總部進(jìn)行，以至于大量的用戶數(shù)據(jù)被外企傳輸出境進(jìn)行數(shù)據(jù)分析。個人數(shù)據(jù)出境方式主要有三種：一是用戶個人數(shù)據(jù)生成之后，直接存入了國外的服務(wù)器，在國外進(jìn)行數(shù)據(jù)分析，如使用國外社交軟件及社交網(wǎng)站。二是個人數(shù)據(jù)被收集后存入國內(nèi)數(shù)據(jù)中心，經(jīng)過數(shù)據(jù)加工后，通過互聯(lián)網(wǎng)或者存儲介質(zhì)傳輸至國外，在國外進(jìn)行數(shù)據(jù)分析。三是個人數(shù)據(jù)被收集存入國內(nèi)數(shù)據(jù)中心，在國內(nèi)進(jìn)行數(shù)據(jù)加工和數(shù)據(jù)分析，僅將數(shù)據(jù)分析結(jié)果傳輸至國外。

三、個人數(shù)據(jù)出境隱患

對于出境個人數(shù)據(jù)的數(shù)據(jù)規(guī)模以及數(shù)據(jù)涉及的人群規(guī)模，目前尚沒有權(quán)威的統(tǒng)計(jì)數(shù)據(jù)。由于沒有任何法律限制，對外開放的行業(yè)基本都存在個人數(shù)據(jù)出境的問題。個人數(shù)據(jù)出境存在以下隱患：

1. 影響國家信息安全

目前，國內(nèi)外企以美國企業(yè)為主，尤其是電子信息產(chǎn)業(yè)、金融業(yè)等重點(diǎn)行業(yè)。美國《愛國者法案》規(guī)定，安全部門可以向企業(yè)獲取其用戶的消費(fèi)、教育、醫(yī)療、投資等各種數(shù)據(jù)，且禁止企業(yè)向客戶透露他們的信息。首先，用戶群體部分是國家重要公務(wù)人員，其個人數(shù)據(jù)與國家信息安全息息相關(guān)。此外，即便是普通個人用戶，當(dāng)匯集大量用戶信息，通過大數(shù)據(jù)技術(shù)分析，也能獲取重要的情報。

2. 削弱創(chuàng)新能力提升

擁有大量數(shù)據(jù)資源，是大數(shù)據(jù)時代實(shí)現(xiàn)技術(shù)創(chuàng)新的重要基礎(chǔ)。任由個人數(shù)據(jù)資源外流，使高端的數(shù)據(jù)挖掘與分析工作在境外開展，不利于提升本土的數(shù)據(jù)挖掘能力，更難以發(fā)揮技術(shù)的擴(kuò)散效應(yīng)，從而不利于提高我國的創(chuàng)新能力。而且大數(shù)據(jù)處理正在形成一個很大規(guī)模的產(chǎn)業(yè)，包括企業(yè)戰(zhàn)略制定、精準(zhǔn)營銷、產(chǎn)品或服務(wù)的完善、高端咨詢服務(wù)等。一旦這些價值鏈的高端環(huán)節(jié)都布局在境外，將難以提高該產(chǎn)業(yè)的國際競爭力。

3. 危及用戶隱私

個人數(shù)據(jù)傳輸?shù)絿庖院?，由于?shù)據(jù)流轉(zhuǎn)鏈條變長，隱私泄露風(fēng)險進(jìn)一步增加。此外，不同國家的法律制度存在差別，使得隱私泄露的法律救濟(jì)難度加大，更難保障數(shù)據(jù)主體的隱私權(quán)益。不少國際組織在積極推動數(shù)據(jù)跨境隱私保護(hù)方面已達(dá)成共識及合作，如2013年OECD修訂并發(fā)布了《隱私保護(hù)和個人數(shù)據(jù)跨境流動指南》（基于1980版），建議成員國實(shí)施與數(shù)據(jù)傳輸隱私風(fēng)險相適應(yīng)的數(shù)據(jù)傳輸約束，同時兼顧個人數(shù)據(jù)的敏感性，以及數(shù)據(jù)處理的目的和內(nèi)容；2016年4月，聯(lián)合國貿(mào)易和發(fā)展會議發(fā)布的《數(shù)據(jù)保護(hù)規(guī)則與數(shù)據(jù)全球流動：貿(mào)易與發(fā)展的影響》指出，運(yùn)用專門的文件和促進(jìn)一種或更多的機(jī)制是解決跨境數(shù)據(jù)流動問題的關(guān)鍵。盡管如此，目前尚沒有切實(shí)可行的措施保護(hù)出境個人數(shù)據(jù)的隱私權(quán)益。

四、個人數(shù)據(jù)出境監(jiān)管機(jī)制建議

安全的數(shù)據(jù)交流對于一國的社會發(fā)展、經(jīng)濟(jì)繁榮及全球科技進(jìn)步具有重要作用，但由于其具有上述隱患，一旦發(fā)生問題，無論對國家還是公民個人都可能產(chǎn)生不可挽回的損失。大多數(shù)發(fā)達(dá)國家和發(fā)展中國家的主流做法是，在促進(jìn)信息跨境流動的基礎(chǔ)上，也對其加以合法監(jiān)管。針對我國的實(shí)際情況，提出以下建議：

1. 完善法律法規(guī)體系

越來越多的國家意識到對本國個人數(shù)據(jù)保護(hù)具有重要的戰(zhàn)略意義，應(yīng)充分運(yùn)用信息政策及信息法律法規(guī)的手段進(jìn)行有效規(guī)制。如2015年10月，歐盟面對新的形勢，否決了與美國達(dá)成的自2000年就開始執(zhí)行的《安全港協(xié)定》。直到2016年2月，雙方達(dá)成一個新協(xié)定，名曰“歐盟-美國隱私護(hù)盾”（EU-SU Privacy Shield）。規(guī)定用于商業(yè)目的的個人數(shù)據(jù)從歐洲傳輸?shù)矫绹?，將享受與在歐盟境內(nèi)同樣的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)。我國目前雖然有1988年頒布的《保守國家秘密法》、1994年頒布的《計(jì)算機(jī)系統(tǒng)安全法》、2004年頒布的《中華人民共和國電子簽名法》等基本法以及2015年7月公布的《網(wǎng)絡(luò)安全法（草案）》，《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》以及《計(jì)算機(jī)信息網(wǎng)絡(luò)攻擊聯(lián)網(wǎng)安全保護(hù)管理辦法》、《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》等法律法規(guī)，但是這些法律法規(guī)等對個人數(shù)據(jù)跨境流動的監(jiān)管、保護(hù)力度有限。對此可以采取以下方式予以完善：

一是加快修訂或完善現(xiàn)有的基本法。如可在《網(wǎng)絡(luò)安全法（草案）》中進(jìn)一步完善有關(guān)個人數(shù)據(jù)出境監(jiān)管的相關(guān)內(nèi)容，明確法律責(zé)任主體及各方主體的權(quán)利義務(wù)范圍，并以此為依據(jù)制定相關(guān)的實(shí)施細(xì)則。

二是制定《個人信息保護(hù)法》之類的單行法律、法規(guī)和相關(guān)配套措施?？梢越梃b歐盟三方（歐洲議會、歐盟理事會、歐洲委員會） 2015年12月初步達(dá)成的《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡稱GDPR），制定針對個人信息進(jìn)行保護(hù)和監(jiān)管的專門性法律。

2. 構(gòu)建國際合作機(jī)制

跨境數(shù)據(jù)流動的監(jiān)管需要一國國內(nèi)法的強(qiáng)有力保護(hù)和規(guī)制，但面對信息全球化的發(fā)展趨勢，更需要建立國家與國家及地區(qū)之間的合作機(jī)制?？缇硵?shù)據(jù)加重了個人數(shù)據(jù)的安全隱患，需要國際社會共同努力加大信息保護(hù)的力度。對于跨境個人數(shù)據(jù)的監(jiān)管，不論是采用“屬人主義”、“屬地主義”還是“侵權(quán)結(jié)果發(fā)生地主義”，都應(yīng)該建立國家間的合作監(jiān)管和協(xié)作模式，才能夠?qū)η謾?quán)行為進(jìn)行全面監(jiān)管。只有不斷加大跨境個人數(shù)據(jù)流動方面的國際合作力度，完善國際合作機(jī)制，才能維護(hù)利益相關(guān)國的信息主權(quán)和信息安全。

一是簽訂雙邊或多邊合作協(xié)議。我國可以參考美國、歐盟的經(jīng)驗(yàn)，與經(jīng)貿(mào)往來較多的國家和地區(qū)簽訂針對跨境數(shù)據(jù)保護(hù)的雙邊或多邊合作文件。通過國家合作界定侵犯信息主權(quán)的跨境侵權(quán)行為要件，明確需要雙邊甚至多邊合作的信息侵權(quán)行為的類型及合作的具體模式。

二是加入為維護(hù)個人數(shù)據(jù)跨境信息安全相關(guān)的國際合作組織。立足本國的國際合作現(xiàn)狀，在現(xiàn)有國際組織的框架內(nèi)積極開展跨境數(shù)據(jù)安全保護(hù)方面的國際合作。例如加入APEC（亞太經(jīng)合組織）的CBPRs（跨境隱私規(guī)則體系）、CPEA（跨境隱私執(zhí)行安排）等。

3. 設(shè)立分類分級安全審查機(jī)制

出境的用戶數(shù)據(jù)涉及很多行業(yè)，包括很多數(shù)據(jù)類型。如果一刀切地禁止出境，不利于生產(chǎn)要素流動，影響資源配置效率。建議在評估各行業(yè)用戶數(shù)據(jù)出境風(fēng)險的基礎(chǔ)上，借鑒國外安全審查機(jī)制，進(jìn)行分類監(jiān)管。

一是限制涉及國家安全的個人數(shù)據(jù)出境。應(yīng)通過制定法律，強(qiáng)制要求涉及國家安全和社會穩(wěn)定的用戶數(shù)據(jù)禁止跨境，如醫(yī)療、社保、電信、金融等重要行業(yè)的用戶數(shù)據(jù)。具體行業(yè)選擇可以參照國外經(jīng)驗(yàn)，如印度電信行業(yè)雖然對外開放，但是其要求電信行業(yè)用戶數(shù)據(jù)必須本土處理。

二是以問責(zé)機(jī)制規(guī)制敏感行業(yè)用戶數(shù)據(jù)出境。對于個人隱私較為敏感的行業(yè)，如住宿、交通、房地產(chǎn)等，明確數(shù)據(jù)控制者的用戶數(shù)據(jù)管理責(zé)任。責(zé)任應(yīng)包括知會數(shù)據(jù)主體并征求其許可，對數(shù)據(jù)接收方的資質(zhì)審查和監(jiān)督，用戶數(shù)據(jù)泄露后的查證及補(bǔ)償。目前加拿大主要采用這種方式管理數(shù)據(jù)出境。

三是以格式合同管理普通行業(yè)用戶數(shù)據(jù)出境。將制定數(shù)據(jù)出境標(biāo)準(zhǔn)合同條款作為保護(hù)個人數(shù)據(jù)的手段，由政府制定用戶數(shù)據(jù)出境的標(biāo)準(zhǔn)格式合同，明確數(shù)據(jù)轉(zhuǎn)移各方的責(zé)任，建立對合同的監(jiān)督機(jī)制。如歐盟由數(shù)據(jù)保護(hù)主管部門制定標(biāo)準(zhǔn)格式合同條款。

4. 明確企業(yè)數(shù)據(jù)管理責(zé)任

個人數(shù)據(jù)出境的監(jiān)管也不僅僅是政府的責(zé)任和義務(wù)，在經(jīng)濟(jì)貿(mào)易往來中掌控大量數(shù)據(jù)的企業(yè)主體更應(yīng)該提高自身保護(hù)相關(guān)數(shù)據(jù)的自覺性和自律性，構(gòu)建政府與企業(yè)、國家與社會、技術(shù)與法律協(xié)同的數(shù)據(jù)跨境流動治理創(chuàng)新體系。一方面，鼓勵行業(yè)自律，成立相關(guān)的行業(yè)協(xié)會組織，建立認(rèn)證體系，相互監(jiān)督、共同維護(hù)用戶利益，保護(hù)個人數(shù)據(jù)。另一方面，鼓勵企業(yè)設(shè)立專門的個人數(shù)據(jù)管理部門，加強(qiáng)個人數(shù)據(jù)保護(hù)力度，暢通與政府監(jiān)管部門的聯(lián)系交流。有必要通過法律機(jī)制建立政府與企業(yè)共同監(jiān)管的模式，形成政府為主導(dǎo)，企業(yè)為參與主體，全社會共同監(jiān)管的協(xié)調(diào)協(xié)同機(jī)制。

五、結(jié) 語

大數(shù)據(jù)環(huán)境下，個人數(shù)據(jù)的流出就是資源的流出。在個人數(shù)據(jù)出境監(jiān)管方面沒有前瞻性的舉措，不僅會在產(chǎn)業(yè)方面失去優(yōu)勢，還將影響國家信息安全及國際競爭力，甚至?xí)跀?shù)據(jù)資源的國際競爭中錯失良機(jī)。綜合運(yùn)用上述手段，仍然不可能完全避免個人數(shù)據(jù)跨境流動中的隱患，還需要積極探索更多的措施，比如加強(qiáng)對個人數(shù)據(jù)安全保護(hù)的宣傳力度、提高民眾的信息安全保護(hù)意識等。同時，應(yīng)鼓勵企業(yè)積極創(chuàng)新，在做好個人數(shù)據(jù)保護(hù)工作的基礎(chǔ)上，加快對我國個人數(shù)據(jù)富礦的價值挖掘，提升產(chǎn)業(yè)競爭力。

[參考文獻(xiàn)]

[1] Karol Thomas. Understanding Cross-Border Privacy Impact Assessments[J]. Edpacs the Edp Audit Control & Security Newsletter. 2001， 29（4）： 1-20.

[2] Karol Thomas J. Cross-Border Privacy Impact Assessments： An Introduction[J]. Theriogenology. 2013， 80（3）： 185-192.

[3] 程衛(wèi)東. 跨境數(shù)據(jù)流動的法律監(jiān)管[J]. 政治與法律. 1998， （03）： 72-76.

[4] Ahmed Usman， Chander Anupam. Information Goes Global： Protecting Privacy， Security， and the New Economy in a World of Cross-Border Data Flows[J]. Social Science Electronic Publishing. 2015.

[5]弓永欽， 王健. APEC與歐盟個人數(shù)據(jù)跨境流動規(guī)則的研究[J]. 亞太經(jīng)濟(jì). 2015， （05）： 9-13.

[6]Allars， Margaret. Cross-Border Transfer of Personal Information： evolving privacy regulation in Europe and Australia ： Perspectives on Privacy Increasing Regulation in the USA， Canada， Australia and European Countries[J]. Proceedings of the National Academy of Sciences of the United States of America. 2014， 96（15）： 8745-8750.

[7] 徐磊. APEC跨境商業(yè)個人數(shù)據(jù)隱私保護(hù)規(guī)則與實(shí)施[J]. 商業(yè)時代. 2014， （30）： 102-103.

[8] Di Iorio Ct， Carinci F， Brillante M等. Cross-border flow of health information： is 'privacy by design' enough？ Privacy performance assessment in EUBIROD[J]. European Journal of Public Health. 2013， 23（2）： 247-253.

[9] 丁惠強(qiáng). 征信數(shù)據(jù)跨境流動監(jiān)管研究[J]. 征信. 2011， （02）： 17-20.

[10] 劉榮， 溫廣虎. 歐盟成員國消費(fèi)者信用信息數(shù)據(jù)跨境共享模式及實(shí)踐[J]. 征信. 2011， （03）： 62-65.

[11] Abuoliem Abdallah. Cloud Computing Regulation： An Attempt to Protect Personal Data Transmission to Cross-Border Cloud Computing Storage Services[J]. International Journal of Computer & Communication Engineering. 2013， 2（4）： 521-525.

[12] 蔣潔. 云數(shù)據(jù)跨境流動的法律調(diào)整機(jī)制[J]. 圖書與情報. 2012， （06）： 57-63.

[13] Dan J. B. Svantesson. Fundamental Policy Considerations for the Regulation of Internet Cross-Border Privacy Issues[J]. Klinische Monatsbltter Für Augenheilkunde. 2004， 221（10）： 825-836.

[14] Aaronson Susan. Why Trade Agreements are not Setting Information Free： The Lost History and Reinvigorated Debate over Cross-Border Data Flows， Human Rights and National Security[J]. World Trade Review. 2015， 14（Fall）： 671-700.

[15] OECD. Report on the Implementation of the OECD Recommendation on Cross-border Co-operation in the Enforcement of Laws Protecting Privacy[J]. Oecd Digital Economy Papers. 2011.

[16] 梁俊蘭. 越境數(shù)據(jù)流與信息政策和信息法律[J]. 國外社會科學(xué). 1997， （5）： 63-67.

[17] Bansal Gaurav， Zahedi Fatemeh Mariam， Gefen David. Do context and personality matter？ Trust and privacy concerns in disclosing private information online[J]. Information & Management. 2016， 53（1）： 1-21.

[18] Lesieur Francois. Regulating cross-border data flows and privacy in the networked digital environment and global knowledge economy[J]. International Data Privacy Law. 2012， volume 2（2）： 93-104（112）.

Abstract： Personal data has important strategic value， which lack of outbound supervision at present. This negatively affects the national security， restrict the enhancement of innovation capabilities and endanger personal privacy. We suggest improving the legal system， and building a mechanism for international cooperation. Additionally， it is proposed to establish the classification of security review mechanism， including prohibiting the data which involving national security is to exit border， regulating the sensitivity of industry data by accountability mechanism， and managing the industry data by standard forma contract. Finally， its necessary to allocate responsibility of enterprise management.

Keywords： Personal Data； Exit Border； Supervision Mechanism

（收稿日期：2017-05-16 責(zé)任編輯：廖令鵬）