張意

摘?要：在大數(shù)據(jù)時代，個人信息不但具有人格價值，對個人信息的獲取利用也具有重大戰(zhàn)略意義，數(shù)據(jù)驅(qū)動創(chuàng)新被視為國家經(jīng)濟增長的一種新源泉。個人信息跨境流動則承載著國家安全、數(shù)字經(jīng)濟發(fā)展、權(quán)利保護等重要價值?；诖?，針對個人信息跨境流動，我國十分重視，均制定了一系列規(guī)則，然而因為立法不足、監(jiān)管不到位等原因，漸漸也出現(xiàn)了各種不足之處，主要表現(xiàn)為個人信息界定與分類、“同意”規(guī)則在個人信息保護方面的力度較差、信息控制者被施加過重的注意義務、出境評估要素中“數(shù)量”標準缺乏科學性幾個方面。由于部分國家在數(shù)據(jù)規(guī)制領域起步較早，經(jīng)驗相對豐富，應當在分析研究國際相關經(jīng)驗的基礎上對我國個人信息跨境流動規(guī)則提出完善建議。

關鍵詞：個人信息；數(shù)據(jù)跨境流動；同意規(guī)則

中圖分類號：F74?????文獻標識碼：A??????doi：10.19311/j.cnki.16723198.2023.20.017

0?引言

近年來，隨著科學技術(shù)和數(shù)字經(jīng)濟的蓬勃發(fā)展，個人數(shù)據(jù)跨境活動日益頻繁，個人數(shù)據(jù)跨境流動成為全球數(shù)字貿(mào)易發(fā)展的重要推動力之一。為順應該國際形勢，必須全面貫徹落實習近平法治思想，堅持總體國家安全觀。對于個人信息跨境流動的情況，我國也漸漸重視，并制定了相關規(guī)則。然而，對于我國而言，個人數(shù)據(jù)跨境規(guī)屬于新興事物，存在諸多不足之處亟待完善，而美國、歐盟等大部分國家和部分國際組織在個人數(shù)據(jù)跨境流動方面已形成體系，經(jīng)驗相對豐富。通過研究其發(fā)布過的相關法律和政策文件，對比我國國內(nèi)的個人數(shù)據(jù)跨境規(guī)則，有利于為我國這一領域的立法提供借鑒。因此，本文主要采取的是比較研究法。通過對國際上相關規(guī)則的分析，對比歸納出各優(yōu)劣勢，為我國個人數(shù)據(jù)跨境流動制度的完善提供參考。

1?個人信息跨境流動的基本內(nèi)涵

“法律概念是法律規(guī)范和法律制度的建筑材料?！贬槍Α皞€人信息”“個人信息跨境流動”，對其進行準確界定，是制定個人信息跨境流動規(guī)則的核心和前提。但是，由于科技的迅速發(fā)展，信息種類在逐步多樣化，原先靜態(tài)的“識別說”在實踐中受到嚴峻挑戰(zhàn)。因此，有必要協(xié)調(diào)法律的確定性和科技發(fā)展的不確定性之間的矛盾，為個人信息立法奠定扎實的基礎。

1.1?個人信息的概念和分類

在數(shù)據(jù)跨境流動中，個人信息較為典型，是這一方面研究的重點。

基于識別說理論，個人信息相對應的便是非個人信息。歐美國家大多數(shù)情況下把前者界定為“個人可識別信息（PII）。”由此得知，個人信息的典型特征在于“可識別性”。這里，判斷個人信息的核心在于透過這一信息能夠獲取個人相關身份信息。美國研究學者以“識別說”為基礎，延伸出了“關聯(lián)說”。同靜態(tài)識別說進行對比，關聯(lián)說旨在突破傳統(tǒng)二分法的局限，強調(diào)動態(tài)界定個人信息。

我國將個人信息分為敏感個人信息和非敏感個人信息，該分類本身的保護目的過于單一，放在數(shù)據(jù)跨境流動的語境下則顯單薄。此外，《個人信息保護法》中的敏感個人信息，則是集合了社會評價與個人主觀評價兩方面，這里，個人主觀感受、社會文化水平是不可忽視的影響因素，也因此難以形成固定范疇。

簡而言之，個人信息的差異性決定著對其進行分析的必要性，而其規(guī)律性則是使研究具有價值的根本原因，目前尚無統(tǒng)一的識別個人信息的方法。

1.2?我國個人信息跨境流動規(guī)則的立法概況

我國相繼出臺了《數(shù)據(jù)出境安全評估辦法》、《網(wǎng)絡安全法》、《個人信息和重要數(shù)據(jù)出境安全評估辦法》、《個人信息出境安全評估辦法》等法規(guī)及管理制度，并將個人信息處境規(guī)則的條件確定為個人信息主體同意、通過出境安全評估，并對企業(yè)開設個人數(shù)據(jù)跨境流動業(yè)務進行了重點規(guī)范，旨在更好地對個人信息安全進行保護。

制定出臺《數(shù)據(jù)出境安全評估辦法》是落實《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》、《個人信息保護法》等有關數(shù)據(jù)出境規(guī)定的重要舉措，目的在于進一步規(guī)范數(shù)據(jù)出境活動，保護個人信息權(quán)益，維護國家安全和社會公益?！秱€人信息保護法》中，把個人信息判定分析為“已識別或能夠識別的自然人相關聯(lián)”的信息，將這一思路總結(jié)為“識別說+關聯(lián)說”。

1.3?我國個人信息跨境流動規(guī)則的具體內(nèi)容

1.3.1?個人信息主體“同意”規(guī)則

《個人信息和重要數(shù)據(jù)出境安全評估辦法》第四條明確指出，個人信息出境，必須將數(shù)據(jù)出境目的、內(nèi)容、范圍、接收方及所在國家向個人信息主體進行如實告知，并通過其同意。對此，如果沒有通過信息主體的同意，任何信息都不得出境?；诖耍瑢τ趥€人信息出境的關鍵在于獲得信息主體的“同意”。《個人信息安全規(guī)范》對“同意”獲取的相關流程及規(guī)則進行了明確。

1.3.2?個人信息出境安全評估規(guī)則

對于數(shù)據(jù)出境而言，個人信息與重點數(shù)據(jù)是其安全性評估的重點。由于數(shù)據(jù)出境在數(shù)據(jù)跨境流動中具有非常重要的地位，對此本研究對個人信息出境評估要點進行了著重論述。

當個人信息出境時，對其安全性評價時需考慮到信息數(shù)量，《數(shù)據(jù)出境安全評估辦法》即通過數(shù)據(jù)的量級來區(qū)分安全評估部門的級別。單個出境的個人信息數(shù)據(jù)能夠產(chǎn)生的影響較為微小，但是當個人信息匯集到特定程度，就會具備一定的代表性而產(chǎn)生衍生價值，對國家安全、社會利益造成了嚴重威脅。

2?我國個人信息跨境流動規(guī)則的不足

2.1?個人信息的定義和分類不合理

在我國，個人信息主要包括了敏感與非敏感兩種類型，這種分類方式并未立足于數(shù)據(jù)本身的特征，而是基于傾向保護隱私的單一目的，同跨境的相關語境進行聯(lián)合分析，這一做法比較簡單。然而，事實上個人信息種類較多，且信息量特別龐大，有的研究人員以持有主體、數(shù)據(jù)產(chǎn)生行業(yè)的不同進行劃分。不同的分類應當迎合個人信息的動態(tài)性和場景依賴，提升現(xiàn)行法律規(guī)定的可操作性。

2.2?數(shù)據(jù)出境安全管理相關定義不明確

《數(shù)據(jù)安全法》第三十一條規(guī)定，關鍵信息的運營者的出境安全管理適用《網(wǎng)絡安全法》第三十七條，但是并沒有對其他數(shù)據(jù)處理者的出境安全管理活動做出明文規(guī)定。目前只能參考《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》規(guī)定的六類重要數(shù)據(jù)出境安全評估及三類嚴禁出境的數(shù)據(jù)類型。但是該《征求意見稿》發(fā)布時間已較為久遠，該《辦法》也一直未正式出臺和生效，因此“個人信息”相關規(guī)則仍不明確。

2.3?“同意”規(guī)則保護力度弱且信息控制者注意義務嚴苛

針對非敏感個人信息而言，我國所制定的數(shù)據(jù)出境規(guī)則的保護力度較低。通過上述分析得知，針對數(shù)據(jù)出境，其中所提到的“同意”規(guī)則中要求積極履行告知義務，這是對跨境個人信息予以收集與使用時，尤其是一些關乎隱私、較為敏感的信息，都必須獲得信息主體的同意。這里還強調(diào)要求明示同意。針對非敏感信息而言，默示也算。簡而言之，個人信息控制人員可憑借默示條款對個人信息進行搜集，但是信息主體卻毫不知情，面臨巨大的風險。另外，對于敏感、非敏感個人信息，兩者的界限并未明確，信息主體難以對個人信息進行有效控制。

2.4?個人數(shù)據(jù)出境安全評估規(guī)則的“數(shù)量”標準不科學

基于上文所論述得知，對于數(shù)據(jù)出境的安全風險、具體等級的評價中，個人信息數(shù)量是關注的重點，并未考慮到網(wǎng)絡發(fā)展現(xiàn)狀、各行業(yè)針對信息安全需求的不同。然而，我國網(wǎng)民數(shù)量較大，大規(guī)模個人信息不斷涌現(xiàn)。并且，有學者預計隨著穿戴性設備等互聯(lián)網(wǎng)的應用普及和在線化，人類將迎來“數(shù)據(jù)核爆”。如在此情境下仍舊過分依賴數(shù)量標準，將有可能對非關鍵領手機應用運營者的數(shù)據(jù)跨境業(yè)務帶來阻礙與限制。

3?個人數(shù)據(jù)跨境流動的歐盟監(jiān)管經(jīng)驗

3.1?個人數(shù)據(jù)分類分級的科學化

《網(wǎng)絡安全法》第二十一條規(guī)定由網(wǎng)絡運營者按照網(wǎng)絡安全等級保護制度要求，自行采取數(shù)據(jù)分類措施。該規(guī)定過于籠統(tǒng)，沒有明確建立數(shù)據(jù)分類的主體。也沒有體現(xiàn)數(shù)據(jù)分級的思想。而《數(shù)據(jù)安全法》在此基礎上對《網(wǎng)絡安全法》的數(shù)據(jù)分類進行了完善，第二十一條規(guī)定建立數(shù)據(jù)分類分級保護制度和國家核心數(shù)據(jù)管理制度，明確由國家建立數(shù)據(jù)分類分級制度，由主管部門制定重要數(shù)據(jù)目錄并加強保護。同時《數(shù)據(jù)安全法》還新增了國家核心數(shù)據(jù)制度，對核心數(shù)據(jù)采取更為嚴格的管理。

3.2?排除取得非敏感個人信息“默示同意”的合法性效力

在個人數(shù)據(jù)保護法中，歐盟提到了，任何個人信息的獲取，都必須滿足“同意”規(guī)則?！兑话銛?shù)據(jù)保護條例》中對“同意”進行了界定，則是數(shù)據(jù)主體以特別明顯的肯定行為或個人聲明的方式所表達的指示。歐盟GDPR強調(diào)“同意”必然是清晰、具體的，且要求數(shù)據(jù)主體完全知情的前提下自主作出決定。若數(shù)據(jù)控制一方提出的同意事項同之前獲取的同意事項范圍不同，那么則需及時向用戶進行單獨闡明；若在合同簽訂中，“同意數(shù)據(jù)處理”列為前提條件，若數(shù)據(jù)處理超過了服務所必需的范疇，那么則同“同意需自由做出”這一規(guī)定相違背。

通過高標準事實方面，對“默示同意”予以完全否定，這樣一般以推定的方式對“同意”進行獲得，但是這一行為的合法性、有效性難以被認定。另外，對于個人信息法中的“默示同意”，新加坡主張進行排除，對敏感與非敏感個人信息的差別保護相關規(guī)則予以取消，明確指出全部個人信息收集使用時都必須獲得明確的同意。

4?我國個人信息跨境流動規(guī)則的完善建議

4.1?優(yōu)化個人信息的定義和分類

基于“個人信息”，我國提出其關鍵點在于“可識別性”。然而，在具體實踐過程中依然存在看起來無法識別的個人信息卻能夠精準定位的情況。對此，在“可識別性”的基礎上，還需考慮“關聯(lián)性”這一特點，認為只要是特定自然人在相關活動過程中所自身的信息，那么則可認定為個人信息，具體包含以下幾點：

（1）個人實時位置信息。如開啟地圖APP所出現(xiàn)的實時位置相關信息。

（2）個人通話記錄。通話記錄中包含了信息主體生活情況、人際關系等一系列敏感信息。

（3）個人瀏覽記錄。對于瀏覽記錄而言，能夠?qū)⑿畔⒅黧w興趣、消費水平、知識水平等敏感信息予以呈現(xiàn)?？傊?，對于“個人信息”范圍而言，應包含“關聯(lián)性”信息，且予以針對性保護。

針對個人信息，我國將其分為敏感與非敏感兩類。但是，這一種分類方法并不全面，難以迎合變幻無窮的數(shù)據(jù)跨境所需。對此，最好從數(shù)據(jù)類型、出境目的兩方面進一步細分個人信息類型，并基于分類情況適用嚴苛性的不同，對數(shù)據(jù)出境規(guī)則進行區(qū)分。

4.2?加強非敏感個人信息的保護力度

基于我國數(shù)據(jù)出境“同意”規(guī)則，對非敏感個人信息收集時，只需獲取默示同意便能夠使用，如此信息主體尚不知情的情況下依然可憑借默示條款獲得收集的權(quán)利，這一行為嚴重侵犯了信息主體對自身信息的控制權(quán)?；诖?，可積極借鑒歐盟所實施的“同意”規(guī)則，不承認默示同意的效力，并將個人敏感與非敏感信息的不同保護規(guī)則予以取消，無論哪一種個人信息，都要求通過明示同意。

4.3?明確個人信息出境評估標準中的“數(shù)量”標準

在個人信息評估（自行或監(jiān)管機構(gòu)）時，個人信息數(shù)量是關注的重點，也是數(shù)據(jù)出境安全性、安全等級的主要判定標準。然而，這一規(guī)定科學性較低，并未考慮到我國龐大的網(wǎng)絡用戶。啟動與評估數(shù)據(jù)安全時，應對數(shù)據(jù)重要性、敏感性方面進行充分考慮，并以此為基礎結(jié)合各行業(yè)、各產(chǎn)業(yè)的具體情況及安全規(guī)定，確定針對性、個性化的“數(shù)量”標志，對關鍵性信息的范圍予以準確鎖定，最大限度地緩解監(jiān)管負擔。

總之，對于個人信息跨境流動規(guī)則而言，最好從個人信息界定與分類、非敏感個人信息保護、信息控制者注意義務的減輕等方面進行完善，且注意對“數(shù)量”標準進行細化，以此來提高個人信息的安全性。

4.4?完善立法體系，細化相關制度

首先，“關鍵基礎設施運營者”“重要核心數(shù)據(jù)”等概念定義尚不明朗，需要立法進一步界定形成個人數(shù)據(jù)跨境流動的統(tǒng)一規(guī)范標準。其次，數(shù)據(jù)跨境流動的安全評估應予以細化規(guī)范。應當制定并出臺個人數(shù)據(jù)跨境流動的具體評估辦法，由此提供切實可操作的評估標準。同時，需進一步擴大第三方專業(yè)評估機構(gòu)的適用范圍，利用第三方專業(yè)機構(gòu)認證方式輔助監(jiān)管機構(gòu)對個人信息數(shù)據(jù)出境進行審查評估。最后，個人數(shù)據(jù)跨境流動的標準合同文本應當更加具體和規(guī)范。標準規(guī)范的合同文本有利于明確數(shù)據(jù)處理者和數(shù)據(jù)接受者的權(quán)利和義務，更好地指引數(shù)據(jù)處理者和接受在保護個人數(shù)據(jù)的基礎上開展數(shù)據(jù)跨境流動合作。除此之外，歐盟GDPR跨境流動白名單制度為我國提供了借鑒，我國應當豐富數(shù)據(jù)跨境流動的規(guī)制模式，加速制定本國的數(shù)據(jù)跨境流動白名單，評估數(shù)據(jù)接收國的數(shù)據(jù)保護情況，將數(shù)據(jù)保護環(huán)境較好的國家或地區(qū)列入白名單，促進我國與其他國家的數(shù)據(jù)自由跨境流動，形成良性互動。

5?結(jié)語

個人信息跨境流動的國際監(jiān)管經(jīng)驗主要有，在個人信息的分類分級上具有多樣性，能夠切合數(shù)據(jù)的動態(tài)性特征，歐盟、新加坡等國家直接將“默示同意”合法性直接排除，注重保護非敏感個人信息。通過對比，我國個人信息跨境保護無論在立法還是司法實踐中都還處在起步階段，需要在參考域外經(jīng)驗的同時結(jié)合本國國情，補足個人信息跨境流動規(guī)則的漏洞，形成更為完善的規(guī)則體系。

參考文獻

［1］伯恩·魏德士.法理學[M].丁曉春，吳越，譯.北京：北京法律出版社，2013：91.

[2]黃秋紅，李雅穎.對接CPTPP數(shù)據(jù)跨境流動規(guī)則研究[J].南海法學，2022，6（01）：115124.

[3]高秦偉.個人信息概念之反思和重塑——立法與實踐的理論起點[J].人大法律評論，2019，（01）：209235.

[4]王苑.敏感個人信息的概念界定與要素判斷——以《個人信息保護法》第28條為中心[J].環(huán)球法律評論，2022，44（2）：8599.

[5]李航.我國數(shù)據(jù)跨境流動規(guī)則的不足與完善[D].上海：上海華東政法大學，2018.

[6]王利明，丁曉東.論《個人信息保護法》的亮點、特色與適用[J].法學家，2021，（6）：116.

[7]孫雯.我國數(shù)據(jù)出境規(guī)則問題研究[M].上海：上海華東政法大學，2020：15.

[8]陳詠梅，張姣.跨境數(shù)據(jù)流動國際規(guī)制新發(fā)展：困境與前路[J].上海對外經(jīng)貿(mào)大學學報，2017，24（6）：3752.

[9]齊愛民，張哲.識別與再識別：個人信息的概念界定與立法選擇[J].重慶大學學報（社會科學版），2018，24（2）：119131.

[10]張新寶.我國個人信息保護法立法主要矛盾研討[J].吉林大學社會科學學報，2018，58（5）：4556.

[11]王雪喬.論歐盟GDPR中個人數(shù)據(jù)保護與“同意”細分[J].政法論叢，2019，（04）：136146.

[12]曾聰.論個人信息與數(shù)據(jù)的位階保護模式[J].中國特色社會主義研究，2022，（5）：131142.

[13]高敏涵.個人數(shù)據(jù)跨境流動的法律規(guī)制問題研究[D].北京：外交學院，2022：30.