張書含

(鄭州大學(xué) 法學(xué)院，河南 鄭州 450001)

從2021年7月起，包括滴滴出行在內(nèi)的多部app被要求下架或整改，公民個人信息跨境安全問題一時之間近在眼前。習(xí)近平總書記指出，“沒有網(wǎng)絡(luò)安全就沒有國家安全”，“在信息時代，網(wǎng)絡(luò)安全對國家安全牽一發(fā)而動全身”。在經(jīng)濟全球化背景下，網(wǎng)絡(luò)對抗與商業(yè)競爭、金融競爭逐漸融合，數(shù)據(jù)可以指導(dǎo)生產(chǎn)，優(yōu)化服務(wù)和輸出，數(shù)據(jù)信息成為帶動發(fā)展和價值增長的重要驅(qū)動力，公民個人信息包含公民的基本信息、興趣偏好等各個方面，再乘以巨大的人口基數(shù)，是重要的戰(zhàn)略資源。全球化背景下的個人信息跨境流動無可避免，其批量流轉(zhuǎn)和使用都會帶來巨大的效益，需要國家管轄與規(guī)制。數(shù)據(jù)主權(quán)是國家主權(quán)在信息時代的表現(xiàn)，[1]世界各國對個人信息跨境流動并未形成統(tǒng)一的規(guī)則，導(dǎo)致出現(xiàn)了司法與執(zhí)法的混亂局面。我國先后出臺了多部法律法規(guī)，向全世界展現(xiàn)了數(shù)據(jù)主權(quán)背景下，公民個人信息跨境流動的中國方案。

一、世界各國個人信息跨境流動規(guī)則與特征

隨著互聯(lián)網(wǎng)時代的到來，無形的數(shù)據(jù)模糊了屬地管轄，各國對個人信息跨境流動奉行以屬人管轄和效果管轄為基礎(chǔ)的立法理念，但在制度設(shè)置上呈現(xiàn)出截然不同的規(guī)則模式。

(一)以技術(shù)擴張為中心的美國模式

2018年美國頒布生效的《云法案》，將美國執(zhí)法機關(guān)的數(shù)據(jù)“主權(quán)”延伸至美國企業(yè)“控制”的境外數(shù)據(jù)，2019年共和黨議員向參議院提交關(guān)于《2019國家安全與個人數(shù)據(jù)保護法》的提案，通過專門立法的方式對該問題作出細致規(guī)定。美國個人信息流通跨境規(guī)則核心條款是：美國政府有關(guān)機構(gòu)對境外信息的獲取摒棄了“數(shù)據(jù)由數(shù)據(jù)儲存地所擁有”的標準，可直接繞過數(shù)據(jù)所在國政府，由實際控制數(shù)據(jù)的美國公司或有關(guān)部門對儲存在他國的數(shù)據(jù)進行管理。需要注意的是，美國《云法案》所稱數(shù)據(jù)不僅包括本國人儲存在外國境內(nèi)的數(shù)據(jù)，也包括由美國實際控制的非美國人的個人數(shù)據(jù)。

美國模式的信息跨境流通以技術(shù)擴張為核心，體現(xiàn)出鮮明的強權(quán)色彩。美國以信息自由和技術(shù)發(fā)展為由，使本國科技企業(yè)進入他國市場，獲取他國個人信息。掌握技術(shù)和信息的互聯(lián)網(wǎng)公司成為美國實行全球長臂管轄的重要依托，助其實現(xiàn)全球長臂管轄。具體實現(xiàn)步驟包括：利用本國經(jīng)濟地位，和他國簽訂雙邊或單邊協(xié)議，鼓勵他國實行更加寬松的信息政策；利用本國技術(shù)優(yōu)勢捕獲他國公民個人信息，借助美國企業(yè)的信息管理，實現(xiàn)長臂管轄；利用大國優(yōu)勢，影響他國立法美國化，企圖將美國法律轉(zhuǎn)化為全球性規(guī)則。[2]

(二)以權(quán)利保護為中心的歐盟模式

歐盟主要通過《通用數(shù)據(jù)條例》(下文稱GDPR)對數(shù)據(jù)跨境傳輸進行規(guī)制。歐盟數(shù)據(jù)跨境流動規(guī)則主要由三部分組成：第一，他國需認同歐盟信息保護理念，并簽訂協(xié)議限制協(xié)議和信息權(quán)利保護協(xié)議。第二，歐盟外機構(gòu)獲得相關(guān)數(shù)據(jù)不但要滿足公法約束條件，也要獲得數(shù)據(jù)主體的明確具體授權(quán)。第三，規(guī)定更高的數(shù)據(jù)控制者義務(wù)與責(zé)任。GDPR將數(shù)據(jù)控制者和數(shù)據(jù)處理者進行區(qū)分，若處理者未按照指令處理數(shù)據(jù)，需要承擔數(shù)據(jù)控制者責(zé)任。

歐盟各國奉行人權(quán)至上理念，公民隱私權(quán)被認為是基本權(quán)利之上的政治訴求，[3]《德國基本法》更以根本法的形式，將人格尊嚴列為“最高憲法價值”。GDPR將隱私權(quán)集中表述為個人數(shù)據(jù)，在人權(quán)高度給予最廣泛最充分的保護。[4]GDBR對非歐盟國家個人信息的利用干預(yù)表現(xiàn)為：他國在獲取歐盟信息時需要簽訂權(quán)利保護協(xié)定和限制協(xié)定且歐盟法律可非經(jīng)轉(zhuǎn)化為國內(nèi)法而直接在他國適用。各國數(shù)據(jù)跨境流動規(guī)則呈現(xiàn)出“規(guī)則差異化”和“理念碎片化”的特點，[5]歐盟法律在他國非經(jīng)轉(zhuǎn)化為國內(nèi)法而直接適用無疑是最直接和最有效的管轄實現(xiàn)模式。

(三)其他國家的信息跨境規(guī)則

除美國歐盟外，世界其他國家已經(jīng)出現(xiàn)針對數(shù)據(jù)跨境的監(jiān)管處罰，但對跨境數(shù)據(jù)傳送持寬松態(tài)度。除某些特殊的國際協(xié)議或數(shù)據(jù)保護水平的互認外，日本《個人信息保護法》就一般性的個人數(shù)據(jù)跨境傳輸所提供的合法路徑主要限于以下三種情形，即征得數(shù)據(jù)主體同意、接收國獲得個人信息保護委員會認可具備同等保護水平或接收方具備完善的數(shù)據(jù)保護體系等。俄羅斯雖然不絕對禁止個人數(shù)據(jù)出境，但要求數(shù)據(jù)首次存儲必須在俄羅斯的服務(wù)器上。

二、主權(quán)原則對個人信息跨境流動的適用

主權(quán)是國家在本國境內(nèi)擁有最高的完全排他的權(quán)利。數(shù)據(jù)主權(quán)就是國家對本國的個人數(shù)據(jù)、集體數(shù)據(jù)、國家數(shù)據(jù)享有管轄、占有、使用、處分的權(quán)利，[6]表現(xiàn)為主權(quán)國家在一國域內(nèi)對于信息的使用和管理，在一國域外對國家享有信息的合作與管轄。[7]在信息化社會，信息具有指導(dǎo)生產(chǎn)、優(yōu)化服務(wù)等多方面重要價值，個人信息跨境流動成為主權(quán)國家信息安全治理的重要環(huán)節(jié)。

(一)個人信息的價值分析

在信息化社會，對個人信息的搜集、處理、利用會對社會穩(wěn)定、經(jīng)濟發(fā)展、乃至國家安全產(chǎn)生重要影響。故個人信息不但具有人格價值，更有戰(zhàn)略意義。

1．個人信息的人格價值

個人信息與個人隱私是交叉關(guān)系，涉及私生活領(lǐng)域的非公開個人信息屬于個人隱私，而公開程度較高的個人信息則不屬于個人隱私。因此個人信息天然的具有隱私權(quán)的部分屬性。隱私權(quán)在各國被確定為是人格權(quán)的一種，是憲法賦予公民的最基本的權(quán)利。歐盟GDPR將隱私權(quán)籠統(tǒng)的表述為個人信息，而美國則將隱私劃分為自決性隱私和信息性隱私，分別對應(yīng)個人信息的保護和利用。德國憲法法院認為個人信息是人格的勾畫，個人有決定何時、何種范圍公開個人信息的尊嚴。[8]

個人信息與個人身份綁定，顯示出可識別的人的生活軌跡和人格形象。在信息化社會，人的任何行為都會以信息的形式被記錄和儲存，這些信息包括生活的方方面面，歷經(jīng)人的生老病死，實現(xiàn)了從搖籃到墳?zāi)沟娜^程記錄。云計算的發(fā)展可以對累計的信息進行加工處理，整合分析，將每個信息標記拼湊成個人的人格側(cè)寫圖。在互聯(lián)網(wǎng)時代，個人的信息化人格比自身人格更具傳播性。馬斯洛曾言“人格標識的完整性與真實性是主體受到他人尊重的基本條件?！盵9](P31)人作為目的性的存在，只有保持其個人信息體現(xiàn)本人真實人格的情況下，才能保證人有尊嚴的生活。[10]

2．個人信息的戰(zhàn)略價值

公民個人信息對于維護國家安全、社會長治久安，商業(yè)蓬勃發(fā)展都具有重大戰(zhàn)略意義。首先，個人信息與國家安全密切相關(guān)。信息和數(shù)據(jù)是網(wǎng)絡(luò)的基礎(chǔ)組成，信息安全是網(wǎng)絡(luò)安全的基礎(chǔ)。公民個人信息包含乘以我國巨大的人口基數(shù)，是最重要的信息資源之一。如今，在政治目的裹挾之下，有關(guān)國家或組織對公民的個人信息的情報分析將對國家安全帶來巨大隱患；其次，個人信息對社會公共治理具有重要價值?！皵?shù)字政府”與“責(zé)任政府”“服務(wù)政府”，成為現(xiàn)代政府的基本標志之一。[11](P139)政府對公民個人信息的搜集，有助于政府傾聽民意，科學(xué)決策，民主決策。此外，對海量個人信息的分析處理，可以做到政策精準落地，提高政府決策的準確性；最后，個人信息具有極強的商業(yè)價值。一方面，個人信息有助于商家了解消費者偏好，高效進行營銷投放，獲得更高的營銷回應(yīng)比率；另一方面?zhèn)€人信息是重要的產(chǎn)業(yè)要素，[12]各種類型個人信息庫為資金信貸、金融證券、行業(yè)咨詢等行業(yè)提供信息支持、銷售、租賃等業(yè)務(wù)。

(二)主權(quán)原則適用的必要性

首先，個人信息具有一定的主權(quán)屬性。一方面，信息跨境流動可能會給國家安全和社會公共利益帶來巨大風(fēng)險，這類個人信息主要包括關(guān)鍵信息基礎(chǔ)設(shè)施和達到法定數(shù)量的個人信息兩類。個人信息乘以巨大的人口基數(shù)，將反映出國家政治、經(jīng)濟、文化、社會的方方面面。對大量個人信息的處理可以將個人信息轉(zhuǎn)化公共信息，從而切實威脅我國國家安全和社會穩(wěn)定；另一方面，對與公民重大利益密切相關(guān)的個人信息跨境流動需要國家救濟。在公民個人信息權(quán)利受到境外勢力的侵犯時，單純的私法保護是完全不能覆蓋的，而是應(yīng)該根據(jù)保護管轄和屬人管轄原則，由國家進行公力救濟。綜上，個人信息具有主權(quán)屬性，個人信息的跨境流動需要在數(shù)據(jù)主權(quán)原則的基礎(chǔ)下進行。

其次，數(shù)據(jù)具有可規(guī)制性。信息技術(shù)的發(fā)展，模糊了物理國界，數(shù)據(jù)可儲存在移動硬盤，U盤等實體物中，也可以儲存在云端和網(wǎng)盤中。而云端和傳統(tǒng)領(lǐng)土完全不同，但并非不可規(guī)制。包括知識產(chǎn)權(quán)、股票、債券等在內(nèi)的部分財產(chǎn)也具有無形性的特點，但現(xiàn)有制度已經(jīng)對無形財產(chǎn)的規(guī)制積累了豐富的實踐經(jīng)驗，如：商標權(quán)適用注冊地法律，股權(quán)適用股東所在國法律。數(shù)據(jù)與無形資產(chǎn)有許多相似性，根據(jù)類推原則，法院有大量的經(jīng)驗對數(shù)據(jù)進行司法管轄。

三、個人信息跨境流動規(guī)則的中國方案

個人信息跨境流動規(guī)則的建立是國家利益、產(chǎn)業(yè)利益、公民權(quán)利、風(fēng)險控制之間的動態(tài)平衡，涉及多個復(fù)雜疑難的社會命題和經(jīng)濟命題。2017年全國人大常委會通過《網(wǎng)絡(luò)安全法》，2021年通過《數(shù)據(jù)安全法》和《個人信息保護法》，至此，我國逐漸搭建起全行業(yè)、系統(tǒng)性的信息跨境流動規(guī)則，為世界展現(xiàn)出信息跨境流動規(guī)制的中國方案。

(一)我國個人信息跨境流動規(guī)則建構(gòu)

《網(wǎng)絡(luò)安全法》第37條主要包括兩點關(guān)鍵內(nèi)容：第一，信息運營者所收集的關(guān)鍵信息與重要數(shù)據(jù)應(yīng)儲存在我國境內(nèi)；第二，信息運營者向外傳輸信息時要經(jīng)過國家有關(guān)部門的評估。《數(shù)據(jù)安全法》第三章“數(shù)據(jù)安全制度”對數(shù)據(jù)安全的評估、審查、共享機制進行了更細化規(guī)定。同時《數(shù)據(jù)安全法》25條規(guī)定，“對管制物項數(shù)據(jù)實施出口管制”，管制物項包括涉及國家安全和利益，涉及國際條約義務(wù)的數(shù)據(jù)。但對如何實施出口管制，并未作出可執(zhí)行的具體化規(guī)定；26條則根據(jù)國際法的對等原則，對我國采取歧視性和禁止性措施的國家或地區(qū)的信息管理者，對等地采取信息跨境流動限制。以上我國法律規(guī)制的跨境流動信息當然包括公民個人信息。

2021年8月全國人大常委會通過了《個人信息保護法》，對個人信息的跨境流動做出更系統(tǒng)的規(guī)定。該法涉及個人信息跨境流動條款有第三章(第38條到第43條)，第52條和第55條。第三章較為全面系統(tǒng)地規(guī)定了個人信息跨境流動的前提條件、必要措施、個人告知義務(wù)、影響評估義務(wù)、黑名單制度以及外國司法機構(gòu)獲取個人信息的評估主體等內(nèi)容。第52條規(guī)定了達到規(guī)定數(shù)量的個人信息流動責(zé)任制度。第55條規(guī)定了個人信息處理者保護影響評估義務(wù)。我國后續(xù)出臺的《網(wǎng)絡(luò)安全審查辦法》明確規(guī)定掌握超過100萬用戶個人信息的網(wǎng)絡(luò)平臺運營者赴國外上市必須申報網(wǎng)絡(luò)安全審查?？梢姡覈鸩浇⑵饘掝I(lǐng)域、體系化、廣覆蓋的個人信息跨境流動制度框架體系。

(二)以信息主權(quán)為中心的中國模式

我國個人信息跨境流動模式強調(diào)信息跨境流動的信息主權(quán)觀和安全觀，構(gòu)建起以國家安全、數(shù)據(jù)安全為核心的個人信息跨境流通規(guī)則。

1．主張網(wǎng)絡(luò)空間主權(quán)觀念

我國主張網(wǎng)絡(luò)空間主權(quán)觀念，反對信息自由化去管制主張，以維護本國政府對網(wǎng)絡(luò)空間的控制和治理。在管轄權(quán)方面借鑒歐盟“指向管轄”，建立以屬地管轄為基礎(chǔ)的管轄權(quán)模式，即向中國公民提供服務(wù)或獲取處理中國出口信息的公司均受中國法院管轄。此模式與歐盟擴張屬人管轄，對境內(nèi)數(shù)據(jù)運營者適用相比，更為謹慎嚴密。

2．立法理念：維護國家安全

我國立法以維護網(wǎng)絡(luò)完全防范主權(quán)干預(yù)為核心目標。對信息出口采用“效果說”，進行最大范圍的規(guī)制。所謂效果說，即只要是非在中國注冊或不受中國管轄的公司對中國公民的信息或中國境內(nèi)的信息進行獲取，便構(gòu)成信息出口。我國立法對影響國家安全、社會穩(wěn)定、國計民生的關(guān)鍵信息做出嚴格限制，此類關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)在國內(nèi)，嚴禁未經(jīng)評估的信息跨境流動。

3.以政府為主導(dǎo)的審查模式

我國《數(shù)據(jù)安全法》以政府為審查主體，建立信息分類、風(fēng)險評估、數(shù)據(jù)安全、信息共享的信息管理監(jiān)測機制。區(qū)別于美國多利益相關(guān)者分散式審查模式，我國對跨境信息審查更強調(diào)政府主導(dǎo)，發(fā)揮政府的權(quán)威性、高效性和主觀能動性，對個人信息在內(nèi)的數(shù)據(jù)跨境流動做出全面嚴格把控。

我國個人數(shù)據(jù)跨境流動模式整體呈現(xiàn)出較強的限制性，反映出對國家安全、數(shù)字經(jīng)濟發(fā)展、公民人格權(quán)等價值的平衡，符合我國社會需要和發(fā)展需求。規(guī)則建構(gòu)堅持以數(shù)據(jù)主權(quán)為中心，注重保護國家安全和經(jīng)濟發(fā)展，兼顧公民的隱私保護，為世界展現(xiàn)個人信息跨境流動的中國方案。

四、我國個人信息跨境流動制度完善

我國雖已出臺多部法律法規(guī)，但在跨境數(shù)據(jù)流動規(guī)則體系中依舊存在監(jiān)管規(guī)制缺位、對重要數(shù)據(jù)未作出明確定義，以及缺乏足夠的跨境數(shù)據(jù)流動評估細則和法律依據(jù)等問題。

(一)細化數(shù)據(jù)分級管控機制

我國對公民個人信息的跨境流動經(jīng)歷了混合監(jiān)管到分類監(jiān)管的模式變化。《網(wǎng)絡(luò)安全法》將跨境流動信息籠統(tǒng)的稱為“關(guān)鍵信息基礎(chǔ)設(shè)施”，后續(xù)出臺的《數(shù)據(jù)安全法》和《個人信息保護法》將“關(guān)鍵信息”進一步分為“管制物項”和“個人信息”，并建立了不同強度的審查模式。但對個人信息并未作出具體可執(zhí)行的細化規(guī)定，導(dǎo)致在個人信息跨境流動上存在審查不力。

基于此，可將個人信息就審查強度分為三級：第一，涉及國家安全個人信息。對于涉及國家安全、公共利益、國計民生的個人信息，應(yīng)根據(jù)《數(shù)據(jù)安全法》第21條、22條、24條列為“管制物項”，同時采取了更加嚴格的跨境流動管制措施，實行國家審查；第二，關(guān)鍵個人信息。關(guān)鍵個人信息包括個人信息基礎(chǔ)設(shè)施和達到一定數(shù)量的個人信息集合。該類個人信息因其重要性和數(shù)量巨大應(yīng)當儲存在境內(nèi)，需要跨境流動的，不但要報網(wǎng)信部門進行安全評估，更要取得信息主體的“單獨同意”(39條)；第三，一般個人信息。對于一般的個人信息跨境流動則采用“單獨同意”加三種評估模式自選的保護方式，在數(shù)據(jù)安全的前提下增強數(shù)據(jù)流動的靈活性實效性。

(二)加強關(guān)鍵信息的重點立法保護

《個人信息保護法》第38條規(guī)定了個人信息跨境流動的強制性規(guī)定，即通過網(wǎng)信部門安全評估、獲得網(wǎng)信部門規(guī)定機構(gòu)的安全認證或適用網(wǎng)信部門提供格式合同訂立合同，且明確規(guī)定滿足其中之一便可。第40條對第一項適用標準做出了具體要求。“關(guān)鍵信息基礎(chǔ)設(shè)施”施運營者和“處理個人信息達到規(guī)定數(shù)量”的運營者向境外提供公民個人信息“應(yīng)當通過國家網(wǎng)信部門組織的安全評估”。這表明這兩類特殊信息運營者向境外提供公民個人信息時，采用更嚴苛的審查標準，必須經(jīng)過網(wǎng)信部門安全評估，而不適用兩外兩條規(guī)定。但《個人信息保護法》并未對“關(guān)鍵信息基礎(chǔ)設(shè)施”為何、“規(guī)定數(shù)量”為多少作出明確規(guī)定。

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》第2條將關(guān)鍵信息基礎(chǔ)設(shè)施界定為公共交通、國防科技等在內(nèi)的重要行業(yè)領(lǐng)域以及泄漏可能危害國家安全公共利益的設(shè)施。法律與行政法規(guī)尚未對“處理個人信息達到規(guī)定數(shù)量”作出規(guī)定。因此，立法要不斷細化，對關(guān)系國家安全社會穩(wěn)定的關(guān)鍵信息做出細致的、操作性強的重點規(guī)定，填補立法空白，為關(guān)鍵信息的跨境流動提供具體可操作的執(zhí)行依據(jù)。

(三)提升信息流動全球治理話語權(quán)

經(jīng)濟全球化和網(wǎng)絡(luò)互通性的特點要求個人信息跨境流動必須進行國際合作。歐盟與美國借用技術(shù)優(yōu)勢擴寬網(wǎng)絡(luò)國境實現(xiàn)長臂管轄，同時以完備的國內(nèi)法體系影響各國立法，使國內(nèi)法向國際法轉(zhuǎn)化，企圖打造有利于本國發(fā)展的信息流動新秩序。雖然我國個人信息跨境流動模式與歐美不同，但同樣具有自身制度優(yōu)勢與前瞻性。我國應(yīng)順應(yīng)潮流爭當國際秩序的締造者而非盲從者，[13]增強國際話語權(quán)，構(gòu)建中國特色的個人信息跨境流動體系。

五、結(jié)語

跨境數(shù)據(jù)流動治理涉及國內(nèi)法與國際法的內(nèi)外聯(lián)動，既需要國內(nèi)法律政策為公民、企業(yè)和國家數(shù)據(jù)權(quán)提供保障，也需要擴展個人信息跨境流動朋友圈。我國跨境數(shù)據(jù)流動治理立法體系的正當性、合理性與可用性應(yīng)經(jīng)得住國際和國內(nèi)主體的共同檢驗。[14]我國應(yīng)建立起多部門協(xié)同配合的個人信息跨境流動監(jiān)管體系、重點突出層次分明的數(shù)據(jù)保護體系、以信息時效為核心的差異化保障體系、以風(fēng)險管控為核心的信息安全體系。[15]同時，應(yīng)該加強各法律法規(guī)在信息跨境流動中的銜接，在對關(guān)鍵信息重點保護維護信息安全的同時，注重與商業(yè)發(fā)展和權(quán)利保護，在嚴格的制度體系下，賦予企業(yè)一定的自主權(quán)。相較歐美單一的保護模式，我國注重平衡國家安全、數(shù)字經(jīng)濟、個人權(quán)利保護，并構(gòu)建內(nèi)外聯(lián)動的國內(nèi)法與國際法體系，將完備的國內(nèi)法推向國際，擴大朋友圈，提升我國信息流動全球治理話語權(quán)。