張 藝

（對外經(jīng)濟貿(mào)易大學(xué) 法學(xué)院，北京 100029）

一、問題及其意義

隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，海量數(shù)據(jù)呈現(xiàn)爆炸式增長的趨勢，傳統(tǒng)的數(shù)據(jù)存儲方式已經(jīng)無法滿足現(xiàn)實需要?！霸拼鎯Α弊鳛橐环N新興信息存儲方式，憑借其便捷、高效、低成本等優(yōu)點，迅速成為大多數(shù)用戶信息保存的重要途徑。調(diào)查顯示，59%的大型企業(yè)、41%的政府機構(gòu)、35%的中小型企業(yè)，29%的高等院校在使用“云服務(wù)”[1]59。用戶可以借助諸如平板電腦、智能手機等電子移動設(shè)備，來實現(xiàn)其個人數(shù)據(jù)的網(wǎng)絡(luò)存取。這些云服務(wù)產(chǎn)品可以大大節(jié)省個人設(shè)備的本地存儲空間，用戶可以通過網(wǎng)絡(luò)隨時隨地訪問其存儲在云端的各類數(shù)據(jù)。也正是基于“云存儲”的便捷性和靈活性，為了節(jié)約日常運營成本，越來越多的公共部門以及金融機構(gòu)更加傾向于將大量客戶信息依托于虛擬服務(wù)器輸送至云端。

但隨之而來的問題是，即使經(jīng)營“云存儲”的運營商注冊地在境內(nèi)，其上傳到“云端”虛擬服務(wù)器上的個人數(shù)據(jù)和信息并無法保證定位在境內(nèi)，用戶數(shù)據(jù)既有可能被存儲在境內(nèi)，也有可能被存儲在位于境外的云端服務(wù)器中。2021年8月新出臺的《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）第40條明確了“關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，應(yīng)當(dāng)將在中華人民共和國境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi)”，但對于“在境外收集和產(chǎn)生的個人信息”如何監(jiān)管未置可否。一方面，隨著中國公民境外消費能力的升級，越來越多的中國公民在境外開卡消費，致使其個人信息直接在境外產(chǎn)生；另一方面，數(shù)據(jù)信息化和“云”時代的到來，使得大量在境內(nèi)收集的個人信息通過“云存儲”的方式存儲在境外服務(wù)器中。目前，大量的個人數(shù)據(jù)都逐步由硬件系統(tǒng)向“云端”過渡，國內(nèi)如百度、阿里，國外如蘋果、亞馬遜等公司都開始打造其自身的云服務(wù)產(chǎn)品。伴隨著數(shù)據(jù)“云存儲”的推廣，未來勢必產(chǎn)生越來越多存在于境外的“云數(shù)據(jù)”，對這一部分“境外數(shù)據(jù)”究竟應(yīng)當(dāng)如何監(jiān)管，成為亟待解決的一大重要問題。

二、個人信息“云存儲”行為的法律界定及域外規(guī)制

（一）“云存儲”行為的法律界定

顧名思義，云存儲是基于云計算的存儲方式。具體而言，就是通過云計算技術(shù)對高速分布式存儲網(wǎng)絡(luò)構(gòu)建的存儲池進行集合和協(xié)同，形成一個安全、便捷、高速、成本較低的數(shù)據(jù)存儲和訪問系統(tǒng)[2]39?！霸拼鎯Α钡娘@著特征在于其虛擬性和分散性，遍布世界各地的用戶通過移動設(shè)備向虛擬云端傳輸數(shù)據(jù)，實現(xiàn)數(shù)據(jù)的遠程網(wǎng)絡(luò)存取，用戶上傳的數(shù)據(jù)將被分散地存儲在不同國家或地區(qū)的云端服務(wù)器中。以亞馬遜云科技（Amazon Web Services）為例，其數(shù)據(jù)中心遍布美國、歐洲、巴西、新加坡、日本等國家和地區(qū)，已經(jīng)為全球190個國家及地區(qū)內(nèi)成百上千家企業(yè)提供技術(shù)支持?？梢钥吹?，“云存儲”涉及多方主體及不同區(qū)域。準(zhǔn)確界定分布于不同地域的“云空間”及在其中存儲數(shù)據(jù)的法律性質(zhì)，是實現(xiàn)對存儲在境外云端服務(wù)器中個人信息有效監(jiān)管的前提和基礎(chǔ)。

“云空間”中的個人信息屬于數(shù)據(jù)資源的一種，在不同國家表述方式存在差異，但殊途同歸。個人信息關(guān)涉?zhèn)€人人格，甚至涉及個人隱私，在數(shù)字經(jīng)濟時代更是演變?yōu)橐环N新型的網(wǎng)絡(luò)生產(chǎn)要素被應(yīng)用于各類商業(yè)活動。特別是云服務(wù)商在獲得個人信息的基礎(chǔ)上進行資本投入和人為干預(yù)，再通過技術(shù)手段加工處理從而實現(xiàn)商業(yè)利用，實現(xiàn)了個人信息的財產(chǎn)增量[3]76。歐盟以“個人數(shù)據(jù)（personal data）”來指代能夠辨認(rèn)或是可能被辨認(rèn)出的自然人數(shù)據(jù)[4]85，美國則采用了“個人可識別信息（personal identifiable information）”的表述。兩個概念的出現(xiàn)是各地區(qū)、國家法律傳統(tǒng)和使用習(xí)慣所致，并無本質(zhì)區(qū)別，可以相互替換使用[5]。我國一般以“個人信息”指代“與已識別或者可識別的自然人有關(guān)的各種信息”①參見《個人信息保護法》第4條：“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息?！?。從以上表述及定義可以看出個人信息本身就具有較強的人身及財產(chǎn)屬性，再通過算法分析和挖掘等方式成為商業(yè)貿(mào)易和數(shù)據(jù)交易的重要來源，也使得不同國家對蘊含著巨大經(jīng)濟與社會價值的個人信息產(chǎn)生了越來越強烈的主權(quán)意識。傳統(tǒng)意義上的管轄權(quán)劃分以屬地原則為基礎(chǔ)，即使存在網(wǎng)絡(luò)運營活動，也可基于屬地領(lǐng)土上的網(wǎng)絡(luò)基礎(chǔ)設(shè)施行使對本國公民個人信息的管轄權(quán)。然而“云空間”與傳統(tǒng)的領(lǐng)土空間不同，在數(shù)據(jù)流動性極強的云端，個人信息往往不可避免主動或被動地流出域外，同一“云空間”的數(shù)據(jù)可以關(guān)聯(lián)到不同的物理空間，因此傳統(tǒng)的屬地管轄理論勢必會帶來“云存儲”空間數(shù)據(jù)管轄權(quán)的沖突。而對于個人來講，一旦個人信息上傳至云端，也即通過與云服務(wù)商的服務(wù)協(xié)議轉(zhuǎn)移了個人對數(shù)據(jù)的控制權(quán)。綜上所述，個人信息“云存儲”行為具有以下三個特點：一是個人信息具有可識別性，能夠被存儲、處理；二是該行為本質(zhì)上屬于用戶與云服務(wù)商之間的服務(wù)合同關(guān)系；三是由于云端服務(wù)器可能涉及不同國家或地區(qū)間及不同法域間的網(wǎng)絡(luò)主權(quán)[6]54-58，不可避免地會帶來不同國家間境外數(shù)據(jù)管轄權(quán)沖突問題。

（二）“云存儲”行為的域外規(guī)制

1.美國《云計算法案》的“數(shù)據(jù)控制者”標(biāo)準(zhǔn)

美國對于存儲于境外云端數(shù)據(jù)的管轄主要依據(jù)的是《澄清域外合法使用數(shù)據(jù)法》（the Clarifying Lawful Overseas Use of Data Act，CLOUD Act），也稱CLOUD法案（以下簡稱《云計算法案》）。《云計算法案》的頒布進一步強化了美國對域外數(shù)據(jù)的管轄權(quán)，根據(jù)該法案的規(guī)定，對于存儲于境外云端的美國公民個人數(shù)據(jù)，可以通過適用“數(shù)據(jù)控制者”標(biāo)準(zhǔn)實現(xiàn)管轄①參見《云計算法案》第103節(jié)的規(guī)定：“電子通信服務(wù)提供者或者遠程計算服務(wù)提供者應(yīng)當(dāng)履行本章規(guī)定的義務(wù)，保存、備份或者披露由其占有、保管或者控制的與客戶或者用戶有關(guān)的任何記錄或者其他信息，無論此類通信、記錄或其他信息是否位于美國境內(nèi)或境外?！?。即只要數(shù)據(jù)的實際控制者為美國公司，即便數(shù)據(jù)存儲于境外的云端服務(wù)器，該數(shù)據(jù)控制者也應(yīng)配合美國政府以獲取全球范圍內(nèi)的數(shù)據(jù)信息。此外，美國還通過“足夠聯(lián)系”標(biāo)準(zhǔn)進一步鞏固了其域外管轄權(quán)②美國司法部在白皮書中對“云法案”管轄范圍作出了官方的解釋：“美國對外國公司管轄權(quán)的法律限制是基于美國憲法中的約束，并且是美國法院多年來制定的。當(dāng)公司位于美國時，屬人管轄權(quán)是最容易確立的。位于美國境外但在美國提供服務(wù)的外國公司是否與美國有足夠的聯(lián)系且受美國管轄，是基于對個案中該公司與美國聯(lián)系的性質(zhì)、數(shù)量和質(zhì)量的考查。公司越是有目的地將其行為引導(dǎo)到美國，法院就越有可能認(rèn)定該公司受美國管轄?！保缘卦诿绹墓就?，如果一個位于境外的公司在商業(yè)往來、互動程度等方面與美國有足夠的聯(lián)系，也會納入《云計?算法案》的管轄范圍內(nèi)。

2.歐盟GDPR的數(shù)據(jù)本地化原則

歐盟的《通用數(shù)據(jù)保護條例》《General Data Protection Regulation》（以下簡稱“GDPR”）于2018年5月正式生效，主要針對于個人數(shù)據(jù)的保護。其中，對于“云存儲”于境外的個人信息而言，GDPR作出了明確規(guī)定：“本法適用于在歐盟境內(nèi)設(shè)立的數(shù)據(jù)控制者或處理者對個人數(shù)據(jù)的處理，不管其實際處理行為是否在歐盟境內(nèi)進行。”③參見GDPR第3條：“GDPR適用于非歐盟組織處理歐盟境內(nèi)個人的個人數(shù)據(jù)，只要此類處理行為涉及對這些個人的行為進行監(jiān)控，且該處理行為發(fā)生在歐盟?！贬槍Α霸拼鎯Α敝锌赡艹霈F(xiàn)的跨地域數(shù)據(jù)存儲情況作出了回應(yīng)，即使歐盟居民的個人信息通過“云存儲”保存在歐盟境外的云端服務(wù)器中，也可突破地域限制對該云端數(shù)據(jù)行使管轄權(quán)。同時，歐盟還通過“域內(nèi)效力”原則將可能產(chǎn)生域內(nèi)效果的數(shù)據(jù)存儲、處理行為歸入其管轄范圍內(nèi)，加強了歐盟對其管轄范圍內(nèi)居民云端境外數(shù)據(jù)的保護。

從美國及歐盟關(guān)于境外數(shù)據(jù)的監(jiān)管立法現(xiàn)狀可以看到：歐盟通過GDPR強調(diào)數(shù)據(jù)本地化，最大限度地保護歐盟居民的個人數(shù)據(jù)安全，擴大其境外“云空間”的管轄權(quán)。而美國則試圖通過《云計算法案》確立的“數(shù)據(jù)控制者”標(biāo)準(zhǔn)對全球范圍內(nèi)“云空間”實施管轄，以實現(xiàn)對全球數(shù)據(jù)的掌控[7]59。我國應(yīng)以《個人信息保護法》的出臺為契機，在充分借鑒各國經(jīng)驗的基礎(chǔ)上，加強對我國公民境外云端數(shù)據(jù)的保護。

三、我國個人信息“云存儲”監(jiān)管存在的不足

（一）個人信息“云存儲”的相關(guān)法律規(guī)定亟待細化

出于對國內(nèi)市場以及國家安全的保護，多數(shù)主權(quán)國家紛紛加高壁壘，筑起邊界網(wǎng)絡(luò)圍墻，將數(shù)據(jù)作為一國私有財產(chǎn)封鎖在本地服務(wù)器上。我國目前直接或間接規(guī)定個人信息“云存儲”的法律規(guī)范較為模糊，大多規(guī)范性法律文件中僅原則性地強調(diào)“數(shù)據(jù)本地化”，以此來實現(xiàn)對境內(nèi)數(shù)據(jù)的主權(quán)管控。如中國人民銀行于2011年1月發(fā)布的《中國人民銀行關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》第6條規(guī)定，“境內(nèi)收集的個人金融信息在境內(nèi)儲存和處理并不得向境外提供”，原則上禁止個人金融信息出境。

然而，與金融資產(chǎn)類似，數(shù)據(jù)資產(chǎn)也只有在流動中才能最大限度實現(xiàn)其價值，資源在很多時候等同于利益[8]133，上述禁止個人金融信息出境的規(guī)定忽略了市場需求，更難以應(yīng)對如今“云存儲”的發(fā)展給數(shù)據(jù)跨境流動帶來的沖擊，僅從安全角度出發(fā)進行“一刀切”的監(jiān)管與規(guī)制，無疑降低了中國企業(yè)在國際市場上的活躍度和競爭力。2016年11月發(fā)布的《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）第37條重申了“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲”，但同時也指出確需出境的，需經(jīng)過國家互聯(lián)網(wǎng)信息辦公室的安全評估。國家互聯(lián)網(wǎng)信息辦公室于2017年4月發(fā)布的《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》第8條將“涉及個人信息情況”作為數(shù)據(jù)出境安全評估應(yīng)重點評估的內(nèi)容之一進行明確規(guī)定，采取了原則禁止、經(jīng)安全評估為例外的監(jiān)管模式。但由于上述條款均未涉及安全評估標(biāo)準(zhǔn)，仍存在較為籠統(tǒng)、可操作性不足等問題，數(shù)據(jù)“云存儲”尚未得到有效法律規(guī)制，對于境外存儲的“云數(shù)據(jù)”的監(jiān)管亟需加強。

盡管近年來數(shù)據(jù)“云存儲”發(fā)展勢頭日益迅猛，但相關(guān)法律規(guī)范并未及時跟進，主要內(nèi)容仍然停留在原則性規(guī)定層面。無論是國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會于2019年10月發(fā)布的《信息安全技術(shù)個人信息安全規(guī)范（征求意見稿）》附錄D“隱私政策模板”中提出的“數(shù)據(jù)處理者須在隱私政策中說明個人信息在使用過程中涉及的地理區(qū)域，如個人信息存儲和備份的地域”，還是全國人民代表大會常務(wù)委員會于2021年6月發(fā)布的《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）中規(guī)定的“非經(jīng)中華人民共和國主管機關(guān)批準(zhǔn)，境內(nèi)的組織、個人不得向外國司法或者執(zhí)法機構(gòu)提供存儲于中華人民共和國境內(nèi)的數(shù)據(jù)”①參見《中華人民共和國數(shù)據(jù)安全法》第36條：“中華人民共和國主管機關(guān)根據(jù)有關(guān)法律和中華人民共和國締結(jié)或者參加的國際條約、協(xié)定，或者按照平等互惠原則，處理外國司法或者執(zhí)法機構(gòu)關(guān)于提供數(shù)據(jù)的請求。非經(jīng)中華人民共和國主管機關(guān)批準(zhǔn)，境內(nèi)的組織、個人不得向外國司法或者執(zhí)法機構(gòu)提供存儲于中華人民共和國境內(nèi)的數(shù)據(jù)。”，抑或是于2021年11月1日正式施行的《個人信息保護法》中第40條對有關(guān)個人信息運營和處理主體提出的“在中華人民共和國境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi)”的要求，均未能對通過“云存儲”保存于境外的數(shù)據(jù)管轄及使用問題作出針對性的監(jiān)管。

解決個人信息“云存儲”的數(shù)據(jù)保護問題不能單純依靠此類原則性規(guī)定，上述法律規(guī)范雖提出了“境內(nèi)數(shù)據(jù)，境內(nèi)存儲”的境內(nèi)數(shù)據(jù)合規(guī)性存儲要求，并可根據(jù)屬地原則進行管轄，但是針對在境外產(chǎn)生或通過“云存儲”保存在境外虛擬終端的中國公民個人信息缺乏明確的法律規(guī)范。在法律監(jiān)管的模糊地帶，該部分?jǐn)?shù)據(jù)信息將如何保護，亟需相關(guān)部門出臺法律法規(guī)予以明確。

（二）云運營服務(wù)商的數(shù)據(jù)安全義務(wù)及責(zé)任有待明確

“云存儲”是借助網(wǎng)絡(luò)，運用應(yīng)用軟件，為用戶提供數(shù)據(jù)存儲及訪問功能的一個軟硬件結(jié)合的數(shù)據(jù)集合系統(tǒng)[9]102。此種數(shù)據(jù)集合系統(tǒng)往往由專業(yè)的第三方運營機構(gòu)負責(zé)運行和管理，即云運營服務(wù)商。在實踐中，面對眾多不同需求的客戶，運營商一般會事先制定統(tǒng)一的格式合同范本，為用戶提供數(shù)據(jù)的云端存儲服務(wù)。然而作為格式合同的制定方，處于優(yōu)勢地位的運營商常常會在合同中通過設(shè)定一些格式條款不合理地加重用戶義務(wù)，減輕其自身承擔(dān)的責(zé)任，這些不公平的條款嚴(yán)重侵犯了用戶的合法權(quán)益?！吨腥A人民共和國民法典》中明確規(guī)定了“提供格式條款一方不合理地免除或者減輕其責(zé)任、加重對方責(zé)任、限制對方主要權(quán)利，該格式條款無效”②參見《中華人民共和國民法典》第497條：“有下列情形之一的，該格式條款無效：（一）具有本法第一編第六章第三節(jié)和本法第五百零六條規(guī)定的無效情形；（二）提供格式條款一方不合理地免除或者減輕其責(zé)任、加重對方責(zé)任、限制對方主要權(quán)利；（三）提供格式條款一方排除對方主要權(quán)利?！?。該法律條文同樣可以適用于“云存儲”服務(wù)合同，但是其適用程度有限?！霸拼鎯Α狈?wù)涉及多元化的存儲模式，具體包括公共云、私有云和混合云幾種主要類型，上述不同云的架構(gòu)導(dǎo)致各方之間使用的合同條款具有很大差別①在云存儲中，云的模式也有不同種類。通說認(rèn)為包括：（1）公共云（Public Cloud），即云存儲設(shè)備可供社會上所有愿意接受服務(wù)的檔案機構(gòu)使用，各種數(shù)字檔案資源被放在一起進行保管，一般使用遠程方式進行管理和操作；（2）私有云（Private Cloud），往往為大企業(yè)自行或委托第三方服務(wù)商建立和運維，僅供本機構(gòu)的文件存儲和利用；（3）社群云（Community Cloud），往往為多個具有共同文件檔案管理標(biāo)準(zhǔn)的中小企業(yè)協(xié)議以合同聯(lián)營的方式共同建立和使用，經(jīng)常為委托其中一個聯(lián)營企業(yè)進行運營管理；（4）混合云（Hybrid Cloud），即混合以上兩種或三種方式的存儲云。。比如對于“公共云”而言，由于云存儲空間面向社會上所有用戶，出于便捷交易的考量，服務(wù)合同大多以格式合同為主，有關(guān)“格式合同”的法律條文適用程度較高，可以實現(xiàn)對用戶權(quán)益的法律保護。相反，對于“私有云”而言，由于合同雙方當(dāng)事人均為相對單一的法律主體，因此在實踐中往往通過協(xié)商談判的方式就某些條款的適用達成新的共識。然而云運營服務(wù)商相對用戶而言在技術(shù)能力、信息占有度等方面都處于強勢地位，在談判中往往以運營商提供的合同為基礎(chǔ)，導(dǎo)致協(xié)商后的服務(wù)合同既無法真正體現(xiàn)用戶的真實意思，保障其合法權(quán)益，也難以通過適用法律關(guān)于“格式條款”的相關(guān)規(guī)定而獲得正當(dāng)保護[2]40。

一旦建立起相應(yīng)的“云存儲”服務(wù)合同，用戶的數(shù)據(jù)便會通過采集、處理后被上傳到云端虛擬服務(wù)器，進而喪失對數(shù)據(jù)的絕對控制權(quán)[10]6。隨著用戶的數(shù)據(jù)控制權(quán)轉(zhuǎn)移至云運營服務(wù)商一方，其相應(yīng)的數(shù)據(jù)安全義務(wù)與責(zé)任也應(yīng)當(dāng)被明晰。我國目前關(guān)于云運營服務(wù)商的相關(guān)義務(wù)與責(zé)任的法律規(guī)定過于原則，并且缺乏規(guī)制的針對性。2016年11月發(fā)布的《網(wǎng)絡(luò)安全法》第22條、第40條至第44條規(guī)定了網(wǎng)絡(luò)運營者收集、使用用戶個人信息的基本原則和條件，保障用戶合理行使個人信息的刪除權(quán)與更正權(quán)。但法律條文的原則性以及法律概念的抽象性導(dǎo)致相應(yīng)的義務(wù)內(nèi)容在實踐中存在較大的不確定性。不僅未能明確云運營服務(wù)商對于存儲于境外的個人信息的安全保障義務(wù)，反而對違反《網(wǎng)絡(luò)安全法》第37條的關(guān)鍵信息基礎(chǔ)設(shè)施運營者“在境外存儲網(wǎng)絡(luò)數(shù)據(jù)，或者向境外提供網(wǎng)絡(luò)數(shù)據(jù)的”行為設(shè)定了嚴(yán)格的行政處罰，導(dǎo)致通過“云存儲”保存在境外虛擬終端的中國公民個人信息缺乏相應(yīng)的安全保障。此外，2021年6月發(fā)布的《數(shù)據(jù)安全法》第27條也僅籠統(tǒng)地規(guī)定了“開展數(shù)據(jù)處理活動應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培訓(xùn)，采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全”，“相應(yīng)的技術(shù)措施”和“其他必要措施”具體包含哪些內(nèi)容，違反后應(yīng)當(dāng)承擔(dān)怎樣的法律責(zé)任，未置可否。即使是2021年8月最新頒布的《個人信息保護法》，也未能對上述內(nèi)容予以進一步明晰。

（三）境外“云存儲”數(shù)據(jù)管轄權(quán)亟需明晰

傳統(tǒng)的管轄權(quán)以屬地原則為主，但隨著“云時代”的到來，網(wǎng)絡(luò)主權(quán)已逐漸成為包括中國在內(nèi)的整個國際社會廣泛關(guān)注的問題。我國已通過《網(wǎng)絡(luò)安全法》明確了“網(wǎng)絡(luò)主權(quán)”原則，《個人信息保護法》第3章也專門對個人信息的跨境流動提供了規(guī)制依據(jù)，明確了個人信息處理者若向境外提供個人信息需滿足“國家網(wǎng)信部門的安全評估、專業(yè)機構(gòu)的個人信息保護認(rèn)證、按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方簽訂合同”等條件之一②參見《個人信息保護法》第38條：“個人信息處理者因業(yè)務(wù)等需要，確需向中華人民共和國境外提供個人信息的，應(yīng)當(dāng)具備下列條件之一：（一）依照本法第四十條的規(guī)定通過國家網(wǎng)信部門組織的安全評估；（二）按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進行個人信息保護認(rèn)證；（三）按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)；（四）法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。中華人民共和國締結(jié)或者參加的國際條約、協(xié)定對向中華人民共和國境外提供個人信息的條件等有規(guī)定的，可以按照其規(guī)定執(zhí)行。個人信息處理者應(yīng)當(dāng)采取必要措施，保障境外接收方處理個人信息的活動達到本法規(guī)定的個人信息保護標(biāo)準(zhǔn)?！保?0條也強調(diào)了“關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，確需向境外提供的，應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評估”。然而上述法律條文的適用范圍僅限于我國境內(nèi)，即只能基于主權(quán)范疇進行規(guī)制。但在云計算時代，數(shù)據(jù)的“云存儲”早已突破了地緣限制而拓展到網(wǎng)絡(luò)虛擬空間，尤其是針對在境外產(chǎn)生或通過“云存儲”保存在境外虛擬終端的中國公民個人信息，上述法律規(guī)定明顯難以滿足用戶數(shù)據(jù)保護的現(xiàn)實需要。加之信息技術(shù)的發(fā)展導(dǎo)致數(shù)據(jù)存儲管理的操作方分散在世界各地，而各國對于境外數(shù)據(jù)管轄的相關(guān)立法及其域外效力存在較大差異性，使得對于云端數(shù)據(jù)的管轄長期處于爭議和沖突之中。國家安全固然是實施網(wǎng)絡(luò)保護措施的合理理由，然而是否一定需要通過本地化手段進行規(guī)制仍然值得商榷[11]39。

以存儲于云端服務(wù)器的數(shù)據(jù)流動管轄為例，云服務(wù)商在跨境數(shù)據(jù)流動中必須嚴(yán)格遵循數(shù)據(jù)流經(jīng)地區(qū)的管轄規(guī)則，此種數(shù)據(jù)流動包括通過“云存儲”被置于境外的中國公民個人信息。然而在個人信息的域外法律管轄問題上，各國尚未達成普遍性的共識，國際社會也未形成統(tǒng)一的國際慣例或規(guī)則，相關(guān)法律體系和規(guī)則的差異性對實踐中的管轄權(quán)劃分帶來現(xiàn)實障礙。一方面，云運營服務(wù)商需盡可能地掌握不同數(shù)據(jù)所涉云端地域的法律規(guī)范，避免傷及其他云數(shù)據(jù)主體的合法權(quán)益。但是云服務(wù)商即便投入大量的成本，可能也無法掌握所有“云空間”的存儲規(guī)范。另一方面，各國基于對數(shù)據(jù)主權(quán)的維護，紛紛實施數(shù)據(jù)本地化政策。強制性地將個人信息限制在境內(nèi)顯然無法滿足云計算時代用戶的數(shù)據(jù)存儲要求，也與當(dāng)前經(jīng)濟全球化帶來的大量直接產(chǎn)生于境外的數(shù)據(jù)存儲需求相悖。為規(guī)避這一限制，云服務(wù)商需要投入更多的成本在本地設(shè)立服務(wù)器或數(shù)據(jù)處理中心，或者將數(shù)據(jù)存儲和處理的業(yè)務(wù)外包給本國數(shù)據(jù)服務(wù)公司，這變相阻礙了外國服務(wù)提供者進入本國市場，降低了數(shù)據(jù)資源的利用率。

四、完善我國個人信息“云存儲”法律規(guī)范的建議

（一）細化個人信息“境外存儲”的相關(guān)法律規(guī)定

“云計算”時代境外個人信息的保護不能僅停留于原則性規(guī)定，個人信息保護的不完整使得游離于法律之外的“境外數(shù)據(jù)”無法得到有效規(guī)制?！秱€人信息保護法》第40條明確了“境內(nèi)數(shù)據(jù)境內(nèi)存儲”的數(shù)據(jù)本地化要求，目的是為了維護一國數(shù)據(jù)主權(quán)、守住境內(nèi)數(shù)據(jù)監(jiān)管的底線，但數(shù)據(jù)的價值蘊藏在其流動性之中，數(shù)據(jù)開放才有利于增加其價值，進而為整個市場創(chuàng)造更多福利。云服務(wù)商不僅可以利用其境內(nèi)服務(wù)器實現(xiàn)數(shù)據(jù)的境內(nèi)存儲，還可以通過租用境外云服務(wù)器的方式擴大其業(yè)務(wù)范圍，國內(nèi)知名服務(wù)商諸如華為云、百度云、小米云等都已經(jīng)在境外搭建了自己的機房，實現(xiàn)了用戶個人數(shù)據(jù)的“云存儲”。因此《個人信息保護法》第40條對于確需出境的數(shù)據(jù)也提出了安全評估要求。但是對于本身便在境外產(chǎn)生或通過“云存儲”保存在境外虛擬終端的中國公民個人信息究竟該如何保護卻尚未明晰。

為了應(yīng)對“云存儲”帶來的境外數(shù)據(jù)安全保護問題，建議《個人信息保護法》第3章“個人信息跨境提供的規(guī)則”第40條后增設(shè)如下條文，規(guī)定境外“云數(shù)據(jù)”的存儲規(guī)則：“關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，應(yīng)對其使用的境外云服務(wù)器進行登記注冊，并取得合法資質(zhì)證明。對于境外存儲的個人信息應(yīng)當(dāng)進行特殊加密管理，建立境外數(shù)據(jù)商業(yè)利用的分級分類管理及預(yù)警機制?！?/p>

具體而言，一是對云服務(wù)商的運營資質(zhì)進行審查，將提供“云存儲”服務(wù)的主體限定在境內(nèi)，同時對于其使用的用于存儲個人信息的境外云服務(wù)器進行注冊登記管理，并要求其取得合法的資質(zhì)及證明文件。二是設(shè)定明確的境外“云存儲”監(jiān)管規(guī)范。不同“云存儲”環(huán)境所使用的安全存儲技術(shù)可能有一定的差異性，但通常都會對數(shù)據(jù)目錄、數(shù)據(jù)庫、傳輸介質(zhì)等予以加密，通過這些加密算法保證境外存儲的“云數(shù)據(jù)”能夠滿足境內(nèi)在數(shù)據(jù)的安全監(jiān)管以及穩(wěn)定性、適配性等方面的要求。因此監(jiān)管應(yīng)當(dāng)根據(jù)具體行為的風(fēng)險特征及運行模式，從數(shù)據(jù)信息保護、基礎(chǔ)運營能力、運營環(huán)境安全、業(yè)務(wù)連續(xù)性保障等方面作出針對性規(guī)定。同時，在分級分類監(jiān)管機制基礎(chǔ)上，應(yīng)進一步完善監(jiān)管組織架構(gòu)，明確監(jiān)管機構(gòu)職責(zé)[12]98。三是對“云存儲”于境外的個人信息的商業(yè)利用問題予以規(guī)范，對于存儲于境外的信息進行分級分類管理，劃定各類信息的主管部門并明確責(zé)任，同時建立預(yù)警機制。如市場監(jiān)督管理部門應(yīng)當(dāng)與公安機關(guān)密切配合，掌握境外“云數(shù)據(jù)”的動向，對故意危害國家安全、侵犯中國公民個人權(quán)益的行為及時介入和調(diào)查，加強對數(shù)據(jù)信息的安全保護。

在細化相關(guān)法律規(guī)定的過程中，應(yīng)當(dāng)注重對特定領(lǐng)域的專項立法，特別是針對網(wǎng)絡(luò)安全和個人信息的立法。我國對個人信息的數(shù)據(jù)保護散見于各類法律規(guī)范中，《網(wǎng)絡(luò)安全法》與《個人信息保護法》對數(shù)據(jù)本地化以及數(shù)據(jù)跨境轉(zhuǎn)移的規(guī)定過于原則。零散甚至是沖突的法律條文難以應(yīng)對云計算時代對個人信息“云存儲”法律保護的現(xiàn)實需求，亟需專門立法為我國“云數(shù)據(jù)”的保護構(gòu)建系統(tǒng)化的解決方案。在此基礎(chǔ)之上，工信部也應(yīng)盡快制定專門的部門規(guī)章，加強對境外存儲“云數(shù)據(jù)”的監(jiān)管。一方面，應(yīng)當(dāng)細化境內(nèi)數(shù)據(jù)出境的安全審查標(biāo)準(zhǔn)，完善相關(guān)的評估流程。2021年10月29日國家互聯(lián)網(wǎng)信息辦公室發(fā)布的《數(shù)據(jù)出境安全評估辦法（征求意見稿）》除了注重對數(shù)據(jù)出境全流程的監(jiān)管外，還明確了“風(fēng)險自評估+安全評估”的雙層評估流程①參見《數(shù)據(jù)出境安全評估辦法（征求意見稿）》第3條：“數(shù)據(jù)出境安全評估堅持事前評估和持續(xù)監(jiān)督相結(jié)合、風(fēng)險自評估與安全評估相結(jié)合，防范數(shù)據(jù)出境安全風(fēng)險，保障數(shù)據(jù)依法有序自由流動?！薄?yīng)當(dāng)以此為原則和基礎(chǔ)，從源頭上限制涉及國家安全及個人隱私的關(guān)鍵信息出境。另一方面，還應(yīng)當(dāng)強化違法責(zé)任追究，對“云存儲”中涉及的包括云服務(wù)商、信息收集處理者等在內(nèi)的相關(guān)責(zé)任主體的個人信息保護義務(wù)、信息泄露時的賠償責(zé)任等進行明確，為境外“云數(shù)據(jù)”存儲和使用的監(jiān)管提供法律依據(jù)。

（二）強化云運營服務(wù)商的責(zé)任及義務(wù)規(guī)制

云存儲服務(wù)提供商扮演的是超級用戶角色，一定程度上掌控著攫取大量數(shù)據(jù)資源必經(jīng)之門的“金鑰匙”[13]103。絕大多數(shù)的用戶面對相對強勢的云服務(wù)商，只能被迫接受其事先擬定的格式合同，加之云服務(wù)商在技術(shù)操作、法律政策等方面掌握大量信息，從而為其規(guī)避本應(yīng)承擔(dān)的安全義務(wù)和責(zé)任創(chuàng)造了客觀條件，導(dǎo)致“云存儲”用戶處于極其不利的法律地位。因此，為了保障用戶數(shù)據(jù)安全，應(yīng)當(dāng)通過法律的形式明確云服務(wù)商的安全保障義務(wù)及責(zé)任，限制或禁止其未經(jīng)個人授權(quán)而開展的數(shù)據(jù)挖掘及分析活動，明確其對第三方惡意破壞數(shù)據(jù)行為負有通知與禁止的義務(wù)，以此來實現(xiàn)對用戶數(shù)據(jù)安全的切實保障。具體而言，包括以下幾個方面：

首先，應(yīng)當(dāng)將安全保密義務(wù)設(shè)置為云服務(wù)合同中的必備條款。針對目前廣泛應(yīng)用于實踐的公共云模式，格式合同是大多云運營服務(wù)商常用的方式。為避免云服務(wù)商利用優(yōu)勢地位或制定格式合同的契機規(guī)避其安全保障義務(wù)，應(yīng)強制要求其在服務(wù)合同中作出“未經(jīng)授權(quán)不得提取或開發(fā)個人用戶的敏感信息以及企業(yè)用戶的商業(yè)秘密”的安全保密承諾。同時，授權(quán)用戶在上述條款的基礎(chǔ)上增加提升其個人信息安全等級的需求性條件，例如，個人用戶有權(quán)對其數(shù)據(jù)存儲系統(tǒng)的安全性進行監(jiān)督，在發(fā)現(xiàn)系統(tǒng)漏洞或系統(tǒng)改變的情況下，有權(quán)要求云服務(wù)商作出相應(yīng)的安保承諾或采取相應(yīng)的安保措施。如果經(jīng)用戶要求仍未能修復(fù)安全漏洞，用戶有權(quán)行使合同的變更權(quán)、解除權(quán)。

其次，應(yīng)當(dāng)明確云服務(wù)商的協(xié)助存留數(shù)據(jù)義務(wù)，即對于用戶因第三方欺詐或侵權(quán)造成的數(shù)據(jù)損害，云服務(wù)商有協(xié)助提供相關(guān)技術(shù)留存記錄等證據(jù)的義務(wù)。選擇“云存儲”服務(wù)的用戶一旦與云服務(wù)商達成相關(guān)服務(wù)協(xié)議，其數(shù)據(jù)控制權(quán)便相應(yīng)地轉(zhuǎn)移給了云服務(wù)商。此時，云服務(wù)商在一定程度上成為了數(shù)據(jù)風(fēng)險的預(yù)防者和承擔(dān)者。特別是針對產(chǎn)生于境外或保存在境外虛擬終端的個人信息，云服務(wù)商理應(yīng)負擔(dān)更為嚴(yán)格的安保義務(wù)。相比于存儲于境內(nèi)受網(wǎng)絡(luò)主權(quán)原則保護的個人數(shù)據(jù)而言，這些位于境外云端的數(shù)據(jù)面臨著更高的遭受第三方入侵及管轄的風(fēng)險。因此，云服務(wù)商應(yīng)當(dāng)實施更為嚴(yán)格的數(shù)據(jù)訪問準(zhǔn)入標(biāo)準(zhǔn)，通過最小化第三方訪問特權(quán)以及嚴(yán)控用戶數(shù)據(jù)披露等方式，限制第三方對用戶個人數(shù)據(jù)的訪問和使用。這一方面要求云服務(wù)商從改進技術(shù)手段出發(fā)，確保整體層面的網(wǎng)絡(luò)系統(tǒng)安全，防止遭受外來軟件的攻擊，比如設(shè)置安全系數(shù)較高的動態(tài)監(jiān)測系統(tǒng)，及時化解和防范技術(shù)性風(fēng)險；另一方面，云服務(wù)商也應(yīng)當(dāng)從完善內(nèi)部治理機制出發(fā)，通過制定網(wǎng)絡(luò)數(shù)據(jù)留存制度、重要數(shù)據(jù)分類及備份加密制度、內(nèi)部人員安全管理制度等方式強化人事規(guī)章以及運作流程等方面的管理。

再次，完善云服務(wù)商濫用用戶數(shù)據(jù)的處罰機制?！吨腥A人民共和國刑法修正案（九）》對《中華人民共和國刑法》第253條進行了修改，強調(diào)了“違反國家有關(guān)規(guī)定，向他人出售或者提供公民個人信息”在情節(jié)嚴(yán)重情形下的刑事責(zé)任。雖然該法律條文明確了違規(guī)使用公民個人信息的刑事責(zé)任，但對于“出售、提供”之外的其他“采集、處理、傳輸、交易”等行為缺乏明確的規(guī)制依據(jù)，更未涉及云端數(shù)據(jù)存儲的安全問題，使得個人信息“云存儲”中相關(guān)責(zé)任主體的違法責(zé)任承擔(dān)處于高度不確定性之中。對此，應(yīng)當(dāng)明確云服務(wù)商的責(zé)任承擔(dān)方式，針對不同類型的違法違規(guī)行為設(shè)定相應(yīng)的處罰機制。建議以云服務(wù)商違規(guī)行為的危害性為依據(jù)，限制直至禁止其在某一特定領(lǐng)域的業(yè)務(wù)開展，對其存儲數(shù)據(jù)的服務(wù)規(guī)模以及用戶數(shù)量進行限制，同時在官方平臺進行信用信息公示，以此強化對云運營服務(wù)商的聲譽約束與激勵。

最后，建立健全“云存儲”賠償及糾紛解決機制。云服務(wù)商在與用戶建立數(shù)據(jù)存儲服務(wù)關(guān)系時，往往會在服務(wù)協(xié)議中明確約定賠償方式。但基于其在事實上的強勢地位，具體賠償金額大多被限定在用戶支付的費用范圍內(nèi)，即全額或部分退還傭金。然而，“云存儲”本就以其高效、便捷、低成本而廣受用戶青睞。其中“低成本”意味著目前云服務(wù)費用較低，幾乎是“超低支付或零支付”，這就決定了在服務(wù)協(xié)議中以“用戶支付費用”為賠償限額的約定，大幅減輕了云服務(wù)商的賠償責(zé)任。因此，有必要通過法律的形式明確云服務(wù)商的最低賠償額度，并設(shè)置專門的糾紛解決平臺來應(yīng)對在專業(yè)度和虛擬性較高的“云空間”中發(fā)生的數(shù)據(jù)爭議和沖突。

（三）加強國際協(xié)作以推進個人信息“云存儲”中的數(shù)據(jù)保護

在云時代來臨之前，多數(shù)國家以屬地管轄為基本原則，即一國國內(nèi)的數(shù)據(jù)受該國法律的管轄，該原則的適用具有其合理性。一方面，本國居民的個人信息大多產(chǎn)生并存儲于本國境內(nèi)，加之絕大部分的數(shù)據(jù)存儲公司都將其運營中心設(shè)在國內(nèi)，相應(yīng)的適用屬地管轄更為便捷；另一方面，基于國家主權(quán)而進行的數(shù)據(jù)管轄在國際社會中一般不會引發(fā)各國的管轄權(quán)沖突。然而，隨著數(shù)字經(jīng)濟時代的到來，越來越多中國公民在境外開卡消費，致使其個人信息直接在境外產(chǎn)生，大量在境內(nèi)收集的個人信息也通過“云存儲”的方式存儲在境外服務(wù)器中。針對該類特殊“云數(shù)據(jù)”的監(jiān)管，國際上尚未形成統(tǒng)一框架，各個國家都以本國利益為出發(fā)點設(shè)計各自的監(jiān)管模式，對不同類型數(shù)據(jù)進行分級分類的差異化管理。通過“重要數(shù)據(jù)禁止流動、公共數(shù)據(jù)有條件流動、普通數(shù)據(jù)跨境流動”等安全認(rèn)證制度，強化對不同等級數(shù)據(jù)的安全監(jiān)管。面對各國對網(wǎng)絡(luò)空間管轄權(quán)的爭奪，我國有必要在堅持?jǐn)?shù)據(jù)主權(quán)原則的基礎(chǔ)上通過協(xié)商加強云涉空間的國際合作。

首先，對于確已通過“云存儲”的方式保存于境外的個人數(shù)據(jù)信息，應(yīng)當(dāng)明確其管轄和使用原則。屬地管轄是基于國家主權(quán)賦予本國政府對其境內(nèi)數(shù)據(jù)的管轄權(quán)，而對于脫離地域“云存儲”于境外的數(shù)據(jù)，應(yīng)通過法律規(guī)范確立管轄和使用標(biāo)準(zhǔn)，突破地理區(qū)域的限制實現(xiàn)我國法律的域外適用。一方面，可以依據(jù)數(shù)據(jù)控制者模式打破固有的屬地原則，對于由境內(nèi)機構(gòu)掌握的涉及我國公民個人信息的數(shù)據(jù)，即使其存儲地不在我國境內(nèi)，仍然可以依據(jù)數(shù)據(jù)控制者標(biāo)準(zhǔn)實現(xiàn)對境外“云端”數(shù)據(jù)的管轄，拓展相關(guān)法律規(guī)范的適用范圍。建議通過立法明確“個人信息”和“重要數(shù)據(jù)”的范圍，對于涉及國家安全和利益的數(shù)據(jù)要實現(xiàn)完全本地化控制；對于一些確需流動的數(shù)據(jù)要確立跨境流動的審查標(biāo)準(zhǔn)；對于涉及我國公民、企業(yè)等主體權(quán)利但不在我國境內(nèi)的數(shù)據(jù)應(yīng)盡快出臺相關(guān)的專項立法明確對境外數(shù)據(jù)的管轄權(quán)[7]60。另一方面，為防止此標(biāo)準(zhǔn)的適用構(gòu)成對其他國家數(shù)據(jù)主權(quán)的干預(yù)，應(yīng)引入國際禮讓原則[14]90，在數(shù)據(jù)使用過程中審慎處理相關(guān)沖突，如在使用前征得他國同意、限定“云端”數(shù)據(jù)使用范圍、對于涉及他國國家安全或重要利益的關(guān)鍵數(shù)據(jù)予以排除使用等，在互相尊重的基礎(chǔ)上實現(xiàn)對境外“云存儲”個人信息的使用。

其次，應(yīng)當(dāng)建立健全個人信息保護協(xié)作機制。對于境內(nèi)運營商通過“云存儲”方式存于境外的個人信息，境內(nèi)監(jiān)管主體在依據(jù)數(shù)據(jù)控制者標(biāo)準(zhǔn)進行監(jiān)管時，必然會面臨境外存儲地的監(jiān)管主體依據(jù)屬地原則而進行的本地管轄。雖然在市場層面，我國的個人信息存儲規(guī)模和使用價值在跨境數(shù)據(jù)市場中具有較為明顯的數(shù)量優(yōu)勢，但是我國目前尚未加入國際協(xié)作監(jiān)管機制，也并未建立針對境外個人信息的數(shù)據(jù)保護體系。國內(nèi)法律及國際協(xié)作的缺失導(dǎo)致我國在跨境數(shù)據(jù)監(jiān)管中缺乏話語權(quán)和參與度，也使得我國公民及組織存于境外的“云數(shù)據(jù)”面臨較大的風(fēng)險。對此，應(yīng)當(dāng)借鑒歐盟等地區(qū)及國家的做法，建立“白名單”機制，與數(shù)據(jù)“云存儲”的市場及監(jiān)管均比較發(fā)達的國家共同建立個人信息保護協(xié)作機制，在境外“云數(shù)據(jù)”的保護和使用規(guī)則上達成共識。同時推動雙邊或多邊協(xié)議的簽署，制定更為細化的程序和規(guī)則，推動個人信息“云存儲”跨境監(jiān)管規(guī)則的形成與完善。

最后，積極參與制定全球化數(shù)字貿(mào)易規(guī)則。截至目前，尚缺乏統(tǒng)一的國際協(xié)定來規(guī)范個人信息“云存儲”中的數(shù)據(jù)保護問題，各國基本還是依據(jù)其國內(nèi)的各類數(shù)據(jù)保護規(guī)范來監(jiān)管“云數(shù)據(jù)”的管轄和使用，這就容易在不同國家之間引發(fā)數(shù)據(jù)主權(quán)爭端。其一，為了增強規(guī)則制定的話語權(quán)，我國應(yīng)明確世界主要國家關(guān)于“云數(shù)據(jù)”監(jiān)管的相關(guān)規(guī)則，在此基礎(chǔ)上從各方分歧中尋求利益平衡點，結(jié)合本國國情對現(xiàn)有的“云數(shù)據(jù)”監(jiān)管規(guī)則加以創(chuàng)新。其二，在強化監(jiān)管合作方面，我國應(yīng)當(dāng)加強與其他同等發(fā)展水平國家的云端合作。在雙邊及多邊貿(mào)易協(xié)定中，應(yīng)適時加入境外“云數(shù)據(jù)”的流動規(guī)制，確保我國公民在境外云端的數(shù)據(jù)受到合理保護，并在遭受侵害時得到及時的救濟。其三，在云計算時代，面對越來越多通過“云存儲”保存于境外的個人信息，各國應(yīng)努力推進有關(guān)數(shù)據(jù)保護國際公約的達成，建立協(xié)商合作機制。《區(qū)域全面經(jīng)濟伙伴關(guān)系協(xié)定》在金融領(lǐng)域達成的關(guān)于“信息轉(zhuǎn)移與信息處理”的規(guī)定，就是很好的國際合作達成規(guī)則共識的范例[15]32-38。在涉云計算領(lǐng)域，各國也應(yīng)當(dāng)加強國際協(xié)作，達成多邊協(xié)作共識，共同推進云計算時代數(shù)字貿(mào)易的全球化進程。