向泓靜 袁振華

（四川外國語大學國際法學與社會學院,重慶 400031）

跨境電子商務已成為貿(mào)易產(chǎn)業(yè)鏈的重要組成部分，推動著數(shù)字貿(mào)易和經(jīng)濟全球化的發(fā)展。我國是全球最大的B2C跨境電商交易市場，《中國電子商務報告（2021）》顯示，在國務院相關政策的支持下，我國電商“朋友圈”進一步擴大，跨境電商進出口規(guī)模約1.92萬億元，同比增長18.6%，持續(xù)優(yōu)化了全球供應鏈。但隨著大數(shù)據(jù)、云計算等信息技術(shù)的發(fā)展，跨境電子商務中的個人信息保護持續(xù)受到?jīng)_擊；個人信息的泄露和非法使用不僅關系到消費者的個人安全，還關系到貿(mào)易的健康發(fā)展和國家的數(shù)據(jù)主權(quán)。當前全球線上消費快速增長，為我國制造業(yè)帶來品牌出海機會的同時，也帶來了個人信息保護的挑戰(zhàn)，希望通過本文為我國完善跨境電商個人信息保護體系提供有效建議，推動我國跨境電子商務高質(zhì)量發(fā)展。

1 跨境電商背景下個人信息保護概述

1.1 個人信息的概述

個人信息與人身、財產(chǎn)安全息息相關，尤其在進入大數(shù)據(jù)時代后，賦予了個人信息更高的商業(yè)價值，而跨境電商規(guī)模的擴大和環(huán)節(jié)的復雜性，給個人信息主體乃至國際社會帶來了風險和挑戰(zhàn)。合理使用個人信息對于個人、企業(yè)、政府都具有積極的意義，不恰當?shù)貫E用個人信息則會造成巨大的損害

1.1.1 個人信息的概念

“個人信息”在《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）中定義為“以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息”①。

對于個人信息和個人數(shù)據(jù)的區(qū)分，在我國學術(shù)界尚存在爭議，一部分學者認為個人信息不等于個人數(shù)據(jù)，數(shù)據(jù)是表現(xiàn)形式，具有客觀性；信息是其反映的內(nèi)容，具有主觀性，對應的內(nèi)容和主體不同，因此可以說信息是經(jīng)過加工后的數(shù)據(jù)[1]。還有一部分學者認為兩者之間沒有本質(zhì)區(qū)別，在大數(shù)據(jù)時代，數(shù)據(jù)早已不再是單純的信息載體，數(shù)據(jù)本身就是具體的信息。而本文所探討的個人信息保護，保護的對象就是信息或數(shù)據(jù)所承載的人格、財產(chǎn)利益，只是在不同的應用場景中個人信息和個人數(shù)據(jù)強調(diào)的側(cè)重點不同，但在法學保護角度兩者幾乎可以等同。筆者贊同第二種觀點，認為“數(shù)據(jù)”和“信息”雖然表面上是形式和內(nèi)容的關系，在互聯(lián)網(wǎng)專業(yè)領域中也具有差別，但是其在法律領域的定義中具有一致性，尤其是在跨境電商背景下，并未對信息和數(shù)據(jù)作實質(zhì)區(qū)分，因此為方便研究，本文不對“個人信息”“個人數(shù)據(jù)”作區(qū)分。

1.1.2 個人信息的特征

個人信息的特征直接或間接地反映了其價值，總結(jié)個人信息的特征不僅能對個人信息有進一步的認識，還有助于個人信息保護的研究。

（1）可識別性。

這是個人信息最本質(zhì)的特征?？勺R別性分為直接識別和間接識別，直接識別指通過信息直接鎖定到特定個人，間接識別指需通過與其他信息結(jié)合才能識別出特定個人。

（2）關聯(lián)性。

關聯(lián)性體現(xiàn)在從個人層面到信息層面，指特定個人在其活動中產(chǎn)生的各種信息，如通話信息、行蹤軌跡信息、精準定位信息、住宿信息等。這些信息離開了信息主體的歸屬后可能并不會產(chǎn)生影響，一旦和主體對應后便會產(chǎn)生巨大的商業(yè)價值，比如大數(shù)據(jù)殺熟，信息收集者會先鎖定到特定個體，再運用cookies技術(shù)追蹤、分析用戶的瀏覽、購買記錄，描繪用戶個人圖像，以提供精準服務。

（3）無體性。

個人信息的無體性體現(xiàn)在其有內(nèi)在含義但沒有外在形狀，不同于民法中可以直接支配的客體，個人信息需要依附一定的介質(zhì)才能被復制、傳播，如《個人信息保護法》對于個人信息的概念所述，個人信息必須以電子等一定的方式得以固定，因此法律并不要求對其進行支配性控制，而是通過收集、存儲、加工等形式實現(xiàn)對信息的管理[2]。

（4）價值性。

政府通過對個人信息的大量收集、使用，可以更加高效率地進行公共管理，出臺相應的政策精準解決問題，使人民受益；企業(yè)通過個人信息的大量收集、使用，建立信息庫，在互聯(lián)網(wǎng)技術(shù)的幫助下給使用者帶來個性化的服務，產(chǎn)生巨大的商業(yè)價值[3]。

1.2 跨境電商對個人信息保護的影響

1.2.1 對傳統(tǒng)法律管轄理論的沖擊

在跨境電商的環(huán)境下，傳統(tǒng)法律管轄中的屬地管轄、屬人管轄原則得到了一定的拓展。其一，屬地管轄。在電子商務領域中，通常會以地域作為法律管轄權(quán)的依據(jù)，例如經(jīng)營者所在地或者消費者所在地，以及因進入互聯(lián)網(wǎng)時代而設立的設備所在地管轄理論[4]。雖然在一般情況下電商平臺企業(yè)會將企業(yè)信息公開，并且通過技術(shù)追蹤也可以確定商家、服務器所在地，但互聯(lián)網(wǎng)的虛擬性、無邊界性以及技術(shù)的不斷發(fā)展使地域認定充滿了不確定性。其二，屬人管轄又稱國籍管轄，即基于個人信息本身，當一個國家將個人信息輸出至另一個國家，需繼續(xù)受到該輸出國的管轄，理論上是對法律境外管轄權(quán)的拓展，大部分國家不愿接受這種“屬人管轄”原則，這意味著本國企業(yè)要受他國法律約束，對本國企業(yè)無益，并且這種管轄權(quán)的延伸會與他國管轄權(quán)產(chǎn)生沖突，難以解決。

1.2.2 各國規(guī)制體系不同且國際無統(tǒng)一法律和慣例

許多國家都進行了個人信息保護立法，但是各國的規(guī)制體系及其嚴格程度各不相同，尤其是跨境電商作為國際貿(mào)易的一種形式，其環(huán)節(jié)會涉及政治、行政管理、海關等方面，不同的價值取向和規(guī)制體系可能會對個人信息主體的權(quán)益、國家數(shù)據(jù)主權(quán)、本國數(shù)字貿(mào)易發(fā)展帶來影響。不同國家、地區(qū)對于個人信息跨境傳輸規(guī)定的內(nèi)容和嚴格程度并不相同，而目前國際上沒有統(tǒng)一的法律和國際慣例來規(guī)制，這使得跨境個人信息保護困難重重。

2 我國對于跨境電商中個人信息保護的現(xiàn)狀及困境

當前我國對于跨境電商中個人信息保護有較為系統(tǒng)的立法體系，在立法的基礎上，通過各行業(yè)協(xié)會的領頭和第三方認證機構(gòu)的設立，形成行業(yè)自律機制，共同保護個人信息。

2.1 立法現(xiàn)狀

當前，我國個人信息的法律保護體系由法律、司法解釋、部門規(guī)章及相應指導性文件構(gòu)成。2021年施行的《個人信息保護法》是我國首部關于個人信息保護的專門立法，在此之前是分散在《中華人民共和國刑法》《中華人民共和國民法典》《中華人民共和國電子商務法》等部門法的規(guī)定中，因此自該法頒布以后我國便開始形成了體系化的個人信息保護制度。

《個人信息保護法》是我國首部專門規(guī)制個人信息保護的法律，在個人信息保護的法律體系中占據(jù)重要地位，該法明確了個人信息、個人敏感信息的定義，收集、處理、跨境提供個人信息時應當遵循的原則，以及適用本法的情形。

在行政規(guī)章層面，《數(shù)據(jù)出境安全評估辦法》填補了我國對于數(shù)據(jù)出境管理方面的規(guī)定，該辦法規(guī)定了其適用情形、數(shù)據(jù)出境前評估的內(nèi)容、主體、需提交的材料、數(shù)據(jù)處理者的義務等。

2.2 行業(yè)自律

我國關于個人信息保護的行業(yè)自律體系主要是在中國互聯(lián)網(wǎng)協(xié)會、中國消費者協(xié)會、中國電子商務協(xié)會、中國網(wǎng)絡空間安全協(xié)會和第三方認證機構(gòu)的參與下形成的，是在行業(yè)協(xié)會組織的引領下于內(nèi)部制定規(guī)范進行自我約束的一種體系。相關協(xié)會發(fā)布倡議書和公約，引導企業(yè)嚴格遵守國家有關法律法規(guī)、政策和標準，加強行業(yè)自律，促進行業(yè)持續(xù)、健康、有序的發(fā)展。因為是由行業(yè)協(xié)會組織制定，規(guī)范的內(nèi)容并無法律強制力，更多的是倡導性條款；但和立法相比，行業(yè)自律規(guī)范具有更強的靈活性，可以根據(jù)各行業(yè)的特點和發(fā)展趨勢制定出最適合本行業(yè)的個人信息保護方面的規(guī)定。

2.3 存在的問題和面臨的困境

2.3.1 部門保護職責有交叉和沖突的可能

《個人信息保護法》第六章中規(guī)定了履行個人信息保護職責的部門，但只對國家網(wǎng)信部門的統(tǒng)籌協(xié)調(diào)工作做了較為詳細的闡述；而對國務院有關部門、縣級以上地方人民政府及其有關部門的職責規(guī)定較為模糊，僅規(guī)定“依照本法和有關法律、行政法規(guī)的規(guī)定，在各自職責范圍內(nèi)負責個人信息保護和監(jiān)督管理工作”“按照國家有關規(guī)定確定”。在第六十一條中用概括和兜底的方式列舉了履行個人信息保護職責部門的職責，并未對主體和職責做更細的劃分，這意味著當其他法律、行政法規(guī)對行政機關的個人信息保護職責有規(guī)定時，該機關同樣也擁有個人信息保護領域的執(zhí)法權(quán)，且可能擁有相同的保護、監(jiān)督職責。雖然網(wǎng)信部門會負責統(tǒng)籌協(xié)調(diào)保護監(jiān)管工作，但統(tǒng)籌協(xié)調(diào)畢竟不是集中管理，沒有直接的管理權(quán)，在協(xié)調(diào)各部門的職責時多有不便和難以解決的時候[5]。因此，在實踐中處理具體事務時，可能發(fā)生難以確定執(zhí)行和監(jiān)督主體、部門之間“踢皮球”推諉責任、維權(quán)周期漫長等難題，信息主體難以得到有效救濟，最終帶來人身財產(chǎn)等方面的損失。

2.3.2 信息主體權(quán)利救濟不足

《個人信息保護法》第七章規(guī)定了違反本法規(guī)定應承擔的法律后果，罰款金額在一萬元以上一百萬元以下不等，或者上一年度營業(yè)額百分之五以下。如果是針對跨國公司，一是很難說明以哪一部分年度營業(yè)額為準，是只針對我國營業(yè)額、個人信息流通過的國家地區(qū)的營業(yè)額、全球營業(yè)額，或是母公司營業(yè)額、子公司營業(yè)額，還是應當一并計算，都亟待明確和細化，二是罰款金額幅度是否具有威懾力，例如一百萬元的罰款遠不如其通過侵犯信息主體可能獲得的違法所得大。信息主體即消費者，在跨境電商的往來中處于較弱勢的一方，法律法規(guī)中雖規(guī)定了受理相關投訴、舉報的部門，但是處理的流程和救濟手段不明確，現(xiàn)實中大多數(shù)信息主體會因不清楚維權(quán)方式或者認為成本過高而放棄維權(quán)。

2.3.3 行業(yè)自律體系亟待完善

我國的個人信息保護行業(yè)自律體系中雖然制定了許多行業(yè)自律規(guī)則，但在內(nèi)容方面多是原則性的倡導，涉及個人信息的使用、跨境運輸?shù)染唧w內(nèi)容，便以遵守國家有關規(guī)定為準。在實施方面沒有規(guī)定專門的監(jiān)督、認證機構(gòu)以及違反自律規(guī)則后的責任，在遵守自律規(guī)則、個人信息保護認證的積極性和實施效果上有所欠缺。

2.3.4 缺乏覆蓋電商全流程的個人信息流動監(jiān)管機制

關于數(shù)據(jù)跨境流動的專門規(guī)定有《數(shù)據(jù)出境安全評估辦法》以及分散于《個人信息保護法》《個人信息保護認證實施規(guī)則》《信息安全技術(shù)—個人信息安全規(guī)范》的相關規(guī)定，總體上規(guī)定較少，實施情況有待進一步考察。此外，在《數(shù)據(jù)出境安全評估辦法》中，對于事前安全評估的流程、主體等規(guī)定有些模糊，需要進一步完善。覆蓋跨境電商各個環(huán)節(jié)的監(jiān)管機制目前也沒有明確的規(guī)定，導致個人信息在跨境流動過程中的安全性難以得到有效保障。

2.3.5 個人信息違法行為處罰的主體難以準確確定和執(zhí)行

跨境電商涉及電商企業(yè)、買家、海關、快遞物流企業(yè)等眾多主體，包含供應鏈管理、產(chǎn)品推廣和營銷、訂單與客戶服務等多個環(huán)節(jié)。跨境電商個人信息流轉(zhuǎn)鏈條十分復雜，個人信息遭擅自披露、采集或使用風險巨大；當前對于個人信息違法行為的處罰，存在難以確定信息泄露的環(huán)節(jié)以及執(zhí)行的問題。

3 完善我國對跨境電商中個人信息的法律保護

3.1 完善立法、推出配套法律法規(guī)

我國對于個人信息保護立法起步較晚，且隨著互聯(lián)網(wǎng)技術(shù)、我國跨境電商貿(mào)易規(guī)模的不斷發(fā)展和擴大，需要不斷地更新和完善立法來適應時代的需求，以促進貿(mào)易發(fā)展、保護我國信息主體、企業(yè)合法權(quán)益以及國家數(shù)據(jù)主權(quán)。

3.1.1 明確《個人信息保護法》中規(guī)定的執(zhí)行、監(jiān)督機構(gòu)及其職責

黨的二十屆二中全會通過了《黨和國家機構(gòu)改革方案》，深化國務院機構(gòu)改革是其中的一項重要任務。決定根據(jù)議案組建國家數(shù)據(jù)局，從已有的信息中可以看出設立國家數(shù)據(jù)局的核心目的是更好地維護數(shù)據(jù)安全，促進數(shù)據(jù)共享和數(shù)字經(jīng)濟的發(fā)展。其中不可避免地會涉及個人信息的安全，但是從《黨和國家機構(gòu)改革方案》公開的信息來看，國家數(shù)據(jù)局未涵括《個人信息保護法》提及的有關部門的個人信息保護職責，因此履行個人信息保護職責的部門依然是《個人信息保護法》中所提及的主體。但事實上很有必要設立一個單獨的、專門履行個人信息保護職責的數(shù)據(jù)保護機構(gòu)，不僅可以擁有統(tǒng)一的執(zhí)法權(quán)以便于統(tǒng)一管理消除職權(quán)沖突，還可以有效促進行業(yè)自律的發(fā)展?；诖?，《個人信息保護法》中所提到的履行個人信息保護職責的部門，其監(jiān)管、接受處理投訴、調(diào)查違法處理活動的職責可以分離出來劃給國家數(shù)據(jù)局的對應部門，或可能會成立的單獨的個人信息保護機構(gòu)；在其統(tǒng)一管理下，承擔一些輔助的職責，例如開展宣傳教育、定期測評等工作，再進一步明確各部門應履行的相應職責，以避免職責模糊不清發(fā)生沖突的情況出現(xiàn)，保證個人信息保護工作的順利進行。

3.1.2 明確數(shù)據(jù)跨境流動涉及程序的主體及其職責

《數(shù)據(jù)出境安全評估辦法》第三條規(guī)定數(shù)據(jù)出境需堅持事前評估和持續(xù)監(jiān)督相結(jié)合，但在第十條中提到的安全評估的主體過于廣泛，亟待明確。首先，專門機構(gòu)是需部門指定、有可選機構(gòu)名單，還是自選經(jīng)部門認可的機構(gòu)即可；其次，安全評估的主體職責范圍，是共同合作完成還是負責不同的板塊，同時應當公開具體的流程，以供數(shù)據(jù)處理者查閱。

數(shù)據(jù)出境的持續(xù)監(jiān)督規(guī)定也未明確監(jiān)督機關、監(jiān)督流程等詳細規(guī)定均未在該辦法中體現(xiàn)，缺少這一重要環(huán)節(jié)便不能使數(shù)據(jù)出境得到安全保障。建議將持續(xù)監(jiān)督的規(guī)定和流程進一步落實，在與事前評估的環(huán)節(jié)有效銜接的同時，不阻礙數(shù)據(jù)跨境自由流動。

3.1.3 明確、細化信息主體救濟方式

《安全規(guī)范》和《個人信息保護法》分別提到了個人信息控制者建立投訴機制以及履行個人信息保護部門接受、處理相關投訴、舉報，但未細化相關規(guī)定，個人信息主體或難以進行救濟。有關部門應做好協(xié)調(diào)統(tǒng)籌工作，進一步完善保護職責部門個人信息保護投訴、舉報工作機制，為個人信息控制者建立投訴機制提供原則和方向。我國跨境信息流動規(guī)模較大，還可考慮將向個人信息控制者投訴作為向保護職責部門投訴的前置程序。

除了投訴機制外的司法救濟也應得到進一步完善。司法救濟懲罰針對的主體不應只是數(shù)據(jù)控制者、處理者，還應考慮到相關監(jiān)管、認證機構(gòu)在監(jiān)管、認證過程中如有侵害信息主體利益時對應的申訴手段，以確保信息主體有效地維護其個人信息。此外，應明確懲罰規(guī)則中關于罰款金額的規(guī)定，進一步說明責任主體的確定方式，以及存在多種責任主體時的責任承擔方式；懲罰金額是全球總營業(yè)額，還是針對中國或個人信息接受國的營業(yè)額，并確保此類懲罰的有效性、成比例性、勸誡性。

3.2 完善行業(yè)自律機制

3.2.1 建立專業(yè)保護認證機構(gòu)

行業(yè)自律機制因基于自愿原則，在實施效果上并不理想，對此可以設立或者明確專門的認證機構(gòu)，在行業(yè)協(xié)會的組織和倡導下制定有效、合理、科學的認證、事后監(jiān)督流程。行業(yè)協(xié)會也須充分發(fā)揮領頭作用，引導企業(yè)形成科學有效的企業(yè)內(nèi)部自律規(guī)則，鼓勵龍頭企業(yè)在保護技術(shù)和規(guī)則制定方面分享經(jīng)驗、互相幫助，共同提高行業(yè)自律機制。考慮到我國對于企業(yè)自我認證的意識不足以及認證成本過高，可以在保障機構(gòu)專業(yè)水平的同時，向公眾宣傳“保護認證”的權(quán)威性，使認證機制在公眾領域產(chǎn)生信服力，進一步增強企業(yè)認證的自覺性，以獲得信息主體的認可和信任。

3.2.2 增強行業(yè)自律機制的影響力

個人信息控制者內(nèi)部應建立一套可操作性的管理方案，以適應行業(yè)自律機制的發(fā)展。可在內(nèi)部設立監(jiān)督機制，對查詢和事件進行及時響應和反饋，在監(jiān)督的同時定期更新該管理方案，而在外部也可通過第三方監(jiān)督的方式，以檢驗行業(yè)自律的成果。個人信息控制者內(nèi)部定期向第三方監(jiān)督機構(gòu)匯報安全評估成果，在出現(xiàn)安全隱患、事故風險時，可以及時反饋并得到幫助，對此可以由具體的行業(yè)協(xié)會履行該職責。

3.3 加強國際合作

一國國內(nèi)法的規(guī)定無法覆蓋每一個環(huán)節(jié)，難以對境外主體產(chǎn)生效力，而國際合作可以突破這層壁壘。通過雙邊、多邊平臺的國際合作不僅可以促進本國的個人信息立法進程、提高保護水平，還可以與其他國家進行友好交流，在組織框架內(nèi)實現(xiàn)數(shù)據(jù)自由流動和貿(mào)易交流。

3.3.1 加入CBPR體系

CBPR體系是跨境隱私規(guī)則體系（Cross-Border Privacy Rules）的縮寫，是《亞太經(jīng)合組織隱私框架（2015）》中最具特色的規(guī)定，是一個基于自愿的，以促進亞太經(jīng)合組織經(jīng)濟體之間隱私尊重的個人信息流動的問責制方案。CBPR體系主要從執(zhí)法機構(gòu)、問責代理機構(gòu)、企業(yè)三個角度進行了規(guī)定，形成了法律規(guī)制加行業(yè)自律一體的規(guī)制體系。

我國是亞太經(jīng)合組織成員，但至今未能申請加入CBPR體系，這和目前我國個人信息保護立法水平等因素有著直接的關系。CBPR體系在國際上具有一定認可度，《中國電子商務報告（2021）》顯示，我國跨境電商出口國前10名中[6]，有8個國家是亞太經(jīng)合組織成員，7個國家已加入CBPR體系。如果我國加入了CBPR體系，不僅能夠更好地與跨境電商貿(mào)易伙伴交流、促進數(shù)據(jù)跨境流動，還可以借此平臺與國際接軌，促進與美洲、歐洲國家的交流。因此，我國應當充分提高、完善相應規(guī)定和機制，爭取早日加入CBPR體系。

3.3.2 加強現(xiàn)有合作機制和框架

在拓展交流平臺和對象的同時，也要加強現(xiàn)有合作機制和框架。我國加入了亞太地區(qū)規(guī)模最大、最重要的自由貿(mào)易協(xié)定《區(qū)域全面經(jīng)濟伙伴關系協(xié)定》，申請加入了《全面與進步跨太平洋伙伴關系協(xié)定》和《數(shù)字經(jīng)濟伙伴關系協(xié)定》，倡導發(fā)起了《攜手構(gòu)建網(wǎng)絡空間命運共同體行動倡議》《“一帶一路”數(shù)字經(jīng)濟國際合作倡議》等國際合作倡議[7]，我國積極地參與到網(wǎng)絡國際空間和數(shù)字經(jīng)濟的治理之中，在完善自身的同時貢獻中國智慧、中國方案、中國力量。對此，應當繼續(xù)鞏固和加強同東盟國家、“一帶一路”沿線國家等貿(mào)易伙伴的合作與交流，通過簽訂協(xié)議、諒解備忘錄等方式減少貿(mào)易壁壘，共同實現(xiàn)跨境電商下的個人信息保護。

4 結(jié)語

個人信息被稱作是大數(shù)據(jù)時代的“新石油”，其重要性和價值與信息主體的人身權(quán)益、財產(chǎn)權(quán)益息息相關。我國近年來在立法方面逐漸完善，形成以《個人信息保護法》為中心的保護體系，但涉及跨境電商領域個人信息跨境流動的規(guī)制還有待完善。基于我國國情，可以適當參考其他國家、地區(qū)個人信息保護機制的規(guī)定，以完善立法、行業(yè)自律、國際合作等方面，在保證數(shù)據(jù)自由跨境流動的同時，使個人信息的安全得到有效的保障和救濟。其中立法方面的完善是重點，明確數(shù)據(jù)出境全流程涉及的主體及其職責，與行業(yè)自律機制有效結(jié)合，同時加強國際合作，達到事前預防、事中保障、事后救濟的最佳效果。

注釋：

①《個人信息保護法》第四條 個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。