淺議個人數(shù)據(jù)跨境流通制度之現(xiàn)狀

【摘要】個人數(shù)據(jù)流通廣泛存在于國際貿(mào)易和跨境電子商務(wù)活動中，其立法和制度建設(shè)向來受到各國立法機(jī)構(gòu)的關(guān)注。個人數(shù)據(jù)流通制度最早在上世紀(jì)70年代出現(xiàn)，經(jīng)過歐美等國家和有關(guān)國際組織的發(fā)展，已經(jīng)形成具有獨特的制度立法特點和趨勢。然而，個人數(shù)據(jù)流通制度面臨個人權(quán)利的多重屬性以及立法價值的多重抉擇等難題，導(dǎo)致其制度建設(shè)存在現(xiàn)實上的困境。

【關(guān)鍵詞】個人數(shù)據(jù)流通大數(shù)據(jù)計算個人數(shù)據(jù)權(quán)利

立法價值

隨著互聯(lián)網(wǎng)信息技術(shù)的不斷發(fā)展，數(shù)據(jù)跨境流通在國際貿(mào)易以及跨境電商業(yè)務(wù)中日趨頻繁，受到世界各國立法者共同關(guān)注。所謂個人數(shù)據(jù)跨境流通，是指個人數(shù)據(jù)跨越國界的傳輸和處理。個人數(shù)據(jù)不同于國家安全數(shù)據(jù)，在立法上面臨著數(shù)據(jù)保護(hù)和數(shù)據(jù)流通自由雙重的價值選擇難題。同時，個人數(shù)據(jù)的跨境流通涉及不同國家的數(shù)據(jù)保護(hù)法。面對有差異的數(shù)據(jù)保護(hù)水平，個人數(shù)據(jù)流通環(huán)節(jié)中難免存在問題。

一、個人數(shù)據(jù)跨境流通制度的緣起和發(fā)展

從互聯(lián)網(wǎng)技術(shù)誕生伊始，個人數(shù)據(jù)跨境流通的問題就已經(jīng)引起立法者的注意。早在20世紀(jì)70年代，跨境數(shù)據(jù)流通的概念就由OECD科學(xué)技術(shù)委員會（CSTP）下設(shè)的計算機(jī)應(yīng)用工作組（CUG）提出，其表述為Trans-border data flows（TDF)。1980年，經(jīng)濟(jì)合作與發(fā)展組織（OECD）發(fā)布了《關(guān)于保護(hù)隱私與個人數(shù)據(jù)跨境流動的指南》（Guidelines governing the protection of privacy and trans-border flows of personal data），該指南直接在跨境數(shù)據(jù)流通內(nèi)容的范圍中加入了“個人數(shù)據(jù)”,即個人數(shù)據(jù)（personal data) 跨境流通是“跨國境的個人數(shù)據(jù)流動”。。1981年，歐洲委員會通過了《有關(guān)個人數(shù)據(jù)自動化處理的個人保護(hù)公約》（Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, “Convention 108”）（以下簡稱“《108 號公約》）這一法律文件，該公約明確了跨境數(shù)據(jù)流動的基本法律規(guī)制，協(xié)調(diào)了信息自由流動與隱私保護(hù)之間的沖突；同時，公約對信息保護(hù)只規(guī)定了應(yīng)遵守的原則，而把原則的執(zhí)行留給成員國自行決定，這樣做既劃定了權(quán)利底線，以防締約方以隱私保護(hù)為借口限制信息的跨境流動，又保留一定的靈活性，避免公約與締約方本國的社會文化背景相沖突。

隨著信息技術(shù)的進(jìn)一步發(fā)展，大數(shù)據(jù)，云計算的新型技術(shù)類型使個人數(shù)據(jù)跨境流通的情形變得更加復(fù)雜。1990年，聯(lián)合國經(jīng)濟(jì)與社會理事會人權(quán)委員會第四十六屆會議通過《電子計算機(jī)人事資料檔案管理準(zhǔn)則》。該準(zhǔn)則規(guī)定了數(shù)據(jù)資料管理的六項原則，并在其后有規(guī)定了監(jiān)管與處罰，適用范圍，個人數(shù)據(jù)跨境數(shù)據(jù)流通的內(nèi)容。歐盟緊隨其后，于1995年通過了《關(guān)于個人數(shù)據(jù)處理及自由流通個人保護(hù)指令》（以下稱“《數(shù)據(jù)保護(hù)指令》”）?！稊?shù)據(jù)保護(hù)指令》圍繞個人權(quán)利保護(hù)為核心，確立了兩個基本的宗旨。第一，在所有的歐盟成員國內(nèi)實現(xiàn)統(tǒng)一的最低水平的個人信息保護(hù)。第二，允許歐盟成員國范圍內(nèi)信息的自由流動，防止成員國以個人信息保護(hù)為由阻礙歐盟內(nèi)部的信息流動。這種內(nèi)外部區(qū)別的數(shù)據(jù)流通規(guī)制方式和“充分性保護(hù)”一般原則一直延續(xù)至今，成為歐盟個人數(shù)據(jù)跨境流通規(guī)制的特點和一般性原則。進(jìn)入千禧年以來，隨著全球化的進(jìn)一步加深，2014年跨境數(shù)據(jù)流動對全球GDP的貢獻(xiàn)是 2.8 萬億美元，2016 年全年的貨物流動、外國直接投資和數(shù)據(jù)給全球帶來了7.8萬億美元的 GDP 增漲，其中跨境數(shù)據(jù)流產(chǎn)生了2.8萬億美元的價值。在過去十年中，數(shù)據(jù)流動使全球 GDP 貢獻(xiàn)增長了 10.1％?？缇迟Q(mào)易和電子商務(wù)的快速發(fā)展為個人數(shù)據(jù)流通和保護(hù)提出了更多的要求。2016年，歐盟為了加強(qiáng)《數(shù)據(jù)保護(hù)指令》在歐盟境內(nèi)的約束力和對個人數(shù)據(jù)的保護(hù)力度，通過了《一般數(shù)據(jù)保護(hù)條例》（以下稱“GDPR”）這一法律文本。GDPR擴(kuò)大了“充分性保護(hù)”的范圍，規(guī)定了個人數(shù)據(jù)可攜權(quán)，遺忘權(quán)，刪除權(quán)等個人數(shù)據(jù)權(quán)利。并且出臺了嚴(yán)厲的個人數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)和監(jiān)管程序。是目前最為完善和系統(tǒng)的個人數(shù)據(jù)跨境流通保護(hù)法律之一。

二、個人數(shù)據(jù)跨境流通制度的立法趨勢和特點

（一）采取統(tǒng)一的立法模式

一國或者區(qū)域的個人數(shù)據(jù)跨境流通制度，往往涵蓋多個部門法的內(nèi)容。個人數(shù)據(jù)保護(hù)和流通的內(nèi)容為信息保護(hù)法所調(diào)整，跨境合作和數(shù)據(jù)管轄涉及國際法調(diào)整，跨境電子商務(wù)的部分又涉及民商法，經(jīng)濟(jì)法。而政府監(jiān)管制度和執(zhí)法往往又牽扯到一國的行政法和刑法。因此，在早期互聯(lián)網(wǎng)發(fā)展水平尚未成熟的年代，大部分國家并未采取統(tǒng)一立法的立法方式對個人數(shù)據(jù)跨境流通進(jìn)行規(guī)制。典型的分散立法國家當(dāng)屬美國，對個人數(shù)據(jù)相關(guān)的立法遍布多個部門法。包括：《聯(lián)邦貿(mào)易委員會法》，《兒童網(wǎng)上隱私保護(hù)法》，《公平信用報告法》，和《電話消費者保護(hù)法》分別對其管轄的特殊領(lǐng)域進(jìn)行了規(guī)定。以及至于私營部門，更多采用了行業(yè)自律的方式。但分散立法存在的弊端是顯而易見的，分散立法不能夠給予個人數(shù)據(jù)全面的保護(hù)。多個部門法很難涵蓋個人數(shù)據(jù)流通和保護(hù)的全部內(nèi)容，容易造成個人數(shù)據(jù)保護(hù)的真空地帶，法律交叉治理又造成的沖突和矛盾。也不利于統(tǒng)一監(jiān)管和國際合作交流。據(jù)統(tǒng)計，世界上已至少頒布了109 部采取統(tǒng)一立法模式的個人數(shù)據(jù)保護(hù)法。因此，制定一部統(tǒng)一的，專門的個人數(shù)據(jù)保護(hù)法，越來越成為世界各國個人數(shù)據(jù)跨境流通立法的趨勢。

（二）法律規(guī)制和行業(yè)自律相結(jié)合

個人數(shù)據(jù)跨境流通廣泛存在于跨境電子商務(wù)和國際貿(mào)易活動中，可以說現(xiàn)在已經(jīng)成為最為一般的經(jīng)濟(jì)商業(yè)現(xiàn)象之一。對于個人數(shù)據(jù)的流通，企業(yè)和個人最關(guān)心的無非是數(shù)據(jù)流通環(huán)節(jié)中個人數(shù)據(jù)的安全與否。單純依靠法律制度去監(jiān)管，可能導(dǎo)致公權(quán)力對數(shù)據(jù)隱私的過度滲透。而輔以行業(yè)自律作為監(jiān)管手段，既可以產(chǎn)生對違法侵犯數(shù)據(jù)安全的行為的震懾作用，又可以不過分約束商業(yè)間的數(shù)據(jù)流通。相比于歐洲重視人權(quán)，側(cè)重個人數(shù)據(jù)安全保護(hù)，美國更加重視商業(yè)環(huán)境中數(shù)據(jù)的自由流通。因此其行業(yè)自律體系十分完善。美國的行業(yè)自律體系以行業(yè)認(rèn)證機(jī)制為主，擁有TRUSTe 和 BBB online 等隱私認(rèn)證企業(yè)，受到市場和消費者的官方認(rèn)可，其頒發(fā)的隱私信賴標(biāo)章對于引導(dǎo)消費者的流向起到了重要的指導(dǎo)作用。行業(yè)自律的高效規(guī)制能力收到各國立法者的青睞，歐洲，澳大利亞等國家的個人數(shù)據(jù)跨境流通制度都包含了行業(yè)自律和監(jiān)管對接的內(nèi)容。一直致力于推進(jìn)投資和貿(mào)易的自由化的亞太經(jīng)合組織APEC也制定了跨境隱私規(guī)則體系（Cross-Border Privacy Rules, CBPR）。。對加入該計劃的企業(yè)提供保護(hù)認(rèn)證和評估，是一個區(qū)域性的行業(yè)自律性規(guī)則。由此可見，對個人數(shù)據(jù)跨境流通的規(guī)制，越來越多的國家選擇了法律規(guī)制和行業(yè)自律相結(jié)合。

（三）國際合作日益增多

個人數(shù)據(jù)跨境流通涉及了“跨境”這一情景語境，所關(guān)涉的不僅僅為一國之內(nèi)的數(shù)據(jù)流通，互聯(lián)網(wǎng)的特征導(dǎo)致數(shù)據(jù)流通已經(jīng)涉及兩國甚至多國之間的數(shù)據(jù)交互。然而需要承認(rèn)的客觀情況是，世界各國對于數(shù)據(jù)流通和個人數(shù)據(jù)保護(hù)的立法存在較大差異。在電子商務(wù)和跨境貿(mào)易不發(fā)達(dá)的國家，例如印尼，柬埔寨等發(fā)展中國家，對數(shù)據(jù)流通的態(tài)度多為采取本地化處理，嚴(yán)格限制個人數(shù)據(jù)出境。而對于發(fā)達(dá)國家，諸如歐盟各成員國和美國，則又對數(shù)據(jù)保護(hù)采取寬容和鼓勵流通的態(tài)度。即便是歐美之間，也存在著數(shù)據(jù)立法保護(hù)水平不同的窘境。以至于雙方企業(yè)無法很好地通過各自的法律合規(guī)要求，進(jìn)而造成業(yè)務(wù)上的流失。立法上無法求同存異的情況下，雙邊，多邊協(xié)調(diào)機(jī)制便成為國際間數(shù)據(jù)流通和保護(hù)的重要合作方式。例如美歐之間的“安全港”，“隱私盾”合作協(xié)議，就很好地彌補(bǔ)了彼此之間立法上的差異，為數(shù)據(jù)流通和合作保護(hù)監(jiān)管執(zhí)法，合規(guī)準(zhǔn)入提供了相對統(tǒng)一的依據(jù)。APEC下的CBPR隱私規(guī)則體系也是重要的區(qū)域行業(yè)自律和監(jiān)管協(xié)作機(jī)制。

三、個人數(shù)據(jù)跨境流通制度的困境

（一）個人數(shù)據(jù)權(quán)利具有多重屬性。個人數(shù)據(jù)權(quán)利是個人數(shù)據(jù)保護(hù)，流通和規(guī)制監(jiān)管的基石。然而，個人數(shù)據(jù)權(quán)利并非只具有單一的屬性，而是同時具備人格權(quán)屬性和財產(chǎn)權(quán)屬性。對于數(shù)據(jù)所有者，即個人而言，個人數(shù)據(jù)權(quán)利最重要的內(nèi)容應(yīng)當(dāng)是個人信息自決權(quán)。例如是否能對個人數(shù)據(jù)信息隱私起到保護(hù)，個人是否有權(quán)自主刪除，更正自己在數(shù)據(jù)處理者處所儲存的數(shù)據(jù)。這種重視個人數(shù)據(jù)權(quán)利，尤其是個人數(shù)據(jù)隱私的權(quán)利類型具備非常強(qiáng)的人格權(quán)屬性。對于數(shù)據(jù)處理者和控制者，即商業(yè)組織而言，個人數(shù)據(jù)權(quán)利最重要的內(nèi)容應(yīng)當(dāng)是個人信息控制權(quán)，商業(yè)組織對個人信息可以合法地流通，并在合理的情況下進(jìn)行商業(yè)活動。例如跨國公司的員工個人信息交互，社交平臺上的個人數(shù)據(jù)信息公開等。這些個人數(shù)據(jù)是一種商品，具有強(qiáng)烈的財產(chǎn)權(quán)屬性。對于企業(yè)來說，他們更希望能對個人信息有全面和絕對的掌控，并且可以自由的流通。對于個人而言，他們更希望自己能控制和決定自己的個人數(shù)據(jù)的去向。這種雙重屬性又是如同陰陽兩極一般對立且需要調(diào)和。這就為個人數(shù)據(jù)的保護(hù)和流通立法提出了難題。

（二）立法價值取向的三重抉擇。對于一個國家的立法者而言，對個人數(shù)據(jù)跨境流通制度的立法，無非有三種立法價值取向。第一，是個人數(shù)據(jù)跨境流通制度的立法能夠形成對個人數(shù)據(jù)的良好保護(hù)。第二，是個人數(shù)據(jù)跨境流通制度的立法能夠促進(jìn)個人數(shù)據(jù)的自由流通。第三，是個人數(shù)據(jù)跨境流通制度的立法能夠確保國家對個人數(shù)據(jù)的保護(hù)擁有充分的自主權(quán)?，F(xiàn)實情況是，這三種價值取向都同樣重要，但卻無法同時實現(xiàn)。如果希望在立法上對個人數(shù)據(jù)安全有良好的保護(hù)，同時又確保國家對數(shù)據(jù)保護(hù)立法有自主權(quán)。則必然需要限制境內(nèi)數(shù)據(jù)向境外的轉(zhuǎn)移，并且盡可能做到數(shù)據(jù)的本地化處理。如果希望數(shù)據(jù)的自由流通，又要保證國家立法自主權(quán)，則可能會犧牲個人數(shù)據(jù)在流通環(huán)節(jié)中的安全。而如果要同時兼顧數(shù)據(jù)安全和數(shù)據(jù)流通自由，則不得不面對跨境流通中數(shù)據(jù)保護(hù)立法差異的處境。此時唯一的辦法就是將數(shù)據(jù)保護(hù)和流通交付于一個超國家的統(tǒng)一數(shù)據(jù)管理機(jī)構(gòu)進(jìn)行協(xié)調(diào)。但這意味著國家失去了一部分?jǐn)?shù)據(jù)立法的自主權(quán)。這種出讓立法自主權(quán)的嘗試往往收效甚微，例如聯(lián)合國所出臺的《電子計算機(jī)人事資料檔案管理準(zhǔn)則》，其約束力僅僅局限于各國的立法參考和借鑒層面。實施和執(zhí)行實效乏善可陳。因此，在應(yīng)當(dāng)如何抉擇個人數(shù)據(jù)跨境流通制度立法所產(chǎn)生的三重價值取向，或者說，應(yīng)當(dāng)如何平衡這三重價值在立法中的體現(xiàn)。是各國立法者一直以來都關(guān)注的難題。

（三）制度監(jiān)管和執(zhí)行困難。監(jiān)管制度一直以來都是一項法律制度的重要組成部分。一部法律文件必然會對其所規(guī)制的內(nèi)容和對象規(guī)定相應(yīng)的權(quán)利和義務(wù)。而監(jiān)管制度則是保證法律義務(wù)付諸實施的重要基石。然而，個人數(shù)據(jù)跨境流通的監(jiān)管本身存在著許多和困難。首先，技術(shù)上不足導(dǎo)致監(jiān)管困難。目前，大數(shù)據(jù)，云計算等新型數(shù)據(jù)流通和儲存利用形式出現(xiàn)，數(shù)據(jù)流通環(huán)節(jié)負(fù)責(zé)，數(shù)據(jù)呈現(xiàn)多地存儲，海量處理，潛在追蹤等多種形態(tài)。極難得到有效監(jiān)管。其次，監(jiān)管機(jī)構(gòu)分散，無法有效對跨境數(shù)據(jù)流通案件進(jìn)行緊密有效的合作監(jiān)管。最后，事前監(jiān)管難度高，無法做到防范于未然。對個人數(shù)據(jù)流通的侵害行為較為隱蔽，個人很難追蹤和發(fā)現(xiàn)自己的數(shù)據(jù)何時，何地，被何人所侵害。監(jiān)管部門不可能時刻追蹤用戶和企業(yè)的數(shù)據(jù)具體流向和應(yīng)用，否則會導(dǎo)致執(zhí)法和監(jiān)管成本過高。

四、結(jié)語

個人數(shù)據(jù)跨境流通作為跨境電子商務(wù)活動中重要的一環(huán)，其制度建設(shè)成為當(dāng)今大信息時代的熱門話題，對一國的數(shù)據(jù)信息發(fā)展和跨境電商貿(mào)易促進(jìn)都產(chǎn)生了深遠(yuǎn)的影響。歐美各國也早已投身入爭奪個人數(shù)據(jù)跨境流通制度立法和規(guī)則制定的話語權(quán)行列之中。我國正值跨境電子商務(wù)發(fā)展最為迅猛的時期，應(yīng)當(dāng)抓住契機(jī)，借鑒有關(guān)國家先進(jìn)經(jīng)驗，結(jié)合自身實際情況，推出統(tǒng)一的個人數(shù)據(jù)跨境流通專門立法，以期抓住區(qū)域乃至世界個人數(shù)據(jù)跨境流通的規(guī)則制定主導(dǎo)權(quán)。為經(jīng)濟(jì)的進(jìn)一步發(fā)展和“一路一帶”政策提供更好的上層建筑和制度助力。

【參考文獻(xiàn)】

[1]孔源. 個人數(shù)據(jù)跨境流動法律規(guī)制的問題研究[D].華東政法大學(xué),2019.

[2]王融.數(shù)據(jù)跨境流動政策認(rèn)知與建議——從美歐政策比較及反思視角[J].信息安全與通信保密,2018(03):41-53.

[3]黃寧,李楊.“三難選擇”下跨境數(shù)據(jù)流動規(guī)制的演進(jìn)與成因[J].清華大學(xué)學(xué)報(哲學(xué)社會科學(xué)版),2017,32(05):172-182+199.

[4]弓永欽. 跨境電子商務(wù)中的個人信息保護(hù)問題研究[D].對外經(jīng)濟(jì)貿(mào)易大學(xué),2016.

[5]馬民虎,趙嬋.歐盟信息安全法律框架之解讀[J].河北法學(xué),2008(11):152-156.

[6]耿晨. 個人數(shù)據(jù)跨境流動的國際監(jiān)管與合作制度研究[D].華東政法大學(xué),2014.

作者簡介：丁浩霖（1994），男，漢族，廣東省汕頭市人，法學(xué)碩士，單位：暨南大學(xué)法學(xué)院，研究方向：國際經(jīng)濟(jì)法。