比较法视野下个人信息跨境流动之法律规制与进路——兼谈我国《个人信息保护法(草案)》
作者:林洧 2022-04-27 15:52 新传播 【字号:大 中 小】
个人信息跨境流动的法律规制,既是国内法问题,亦是国际法问题;在全球化和大数据时代背景下,此项议题也日益为各国所关注。个人信息跨境流动有数据主权与自由流动两方面的利益冲突,在此冲突下,欧盟和美国皆采取不同的法律规制方式:欧盟强调严格的立法、司法、执法保护,而美国则是提倡行业自律与事后问责。其中,欧盟对个人信息跨境流动有较大的法律限制,但这种限制同时也通过白名单等制度设计而获得相对的弹性。美国则是依赖着技术上的绝对优势,倡导个人信息跨境的自由流动,以此谋求其信息科技公司在全球的繁荣发展。基于欧美比较法上的经验与中国的基本国情,在随着数字经济发展壮大的同时,中国更加需要完善个人信息跨境流动之法律规制,综合考量域外经验与本土利益,从完善国内立法、司法与执法,加强国际合作协调两方面,构建有中国特色的个人信息跨境流动之法律规制。具体而言,首先,需要在理念层面坚持网络主权原则的指导,并且以该原则为基础积极开展个人信息跨境流动法律规制的国际合作;其次,需要在制度层面继续推进国家统一立法进程,并且完善与细化相关的行政法规、部门规章等具体法律规范;最后,需要在实施层面落实法律保障机制,通过赋予当事人必要的救济手段,来打击相关的违法行为以树立法律的权威。
[摘要]个人信息跨境流动的法律规制,既是国内法问题,亦是国际法问题;在全球化和大数据时代背景下,此项议题也日益为各国所关注。个人信息跨境流动有数据主权与自由流动两方面的利益冲突,在此冲突下,欧盟和美国皆采取不同的法律规制方式:欧盟强调严格的立法、司法、执法保护,而美国则是提倡行业自律与事后问责。其中,欧盟对个人信息跨境流动有较大的法律限制,但这种限制同时也通过白名单等制度设计而获得相对的弹性。美国则是依赖着技术上的绝对优势,倡导个人信息跨境的自由流动,以此谋求其信息科技公司在全球的繁荣发展。基于欧美比较法上的经验与中国的基本国情,在随着数字经济发展壮大的同时,中国更加需要完善个人信息跨境流动之法律规制,综合考量域外经验与本土利益,从完善国内立法、司法与执法,加强国际合作协调两方面,构建有中国特色的个人信息跨境流动之法律规制。具体而言,首先,需要在理念层面坚持网络主权原则的指导,并且以该原则为基础积极开展个人信息跨境流动法律规制的国际合作;其次,需要在制度层面继续推进国家统一立法进程,并且完善与细化相关的行政法规、部门规章等具体法律规范;最后,需要在实施层面落实法律保障机制,通过赋予当事人必要的救济手段,来打击相关的违法行为以树立法律的权威。
[关键词]个人信息跨境流动 数据主权 网络主权 《个人信息保护法(草案)》
[中图分类号] D923[文献标识码] A[文章编号]2096-983X(2021)04-0099-11
当前,我们处于大数据时代——社会每天都产生海量的数据,而这些海量数据的产生,其背后是人、机器和软件数据三流汇聚的结果;尤其是随着人工智能技术的蓬勃发展、5G技术正式投入使用,数据之于我们的生活犹如空气般随处可见。而在国际关系之中,大数据亦有重要的地位,其在经济发展、国家主权以及国家安全等诸多议题上皆面临平等合作等要求,各国也都正在如火如荼地进行大数据产业革命、完善大数据治理模式与战略布局。[1]同时,随着互联网技术的发展,社交网络以及物联网已经高度融入我们的生活,由此也产生了巨量而又种类繁多的数据,这些数据经过大数据处理即可展示出决策价值与知识内涵。[2]其中,数据与信息本身就有着紧密的联系,[3]有些数据就是个人信息,[1]而个人信息常与隐私联系;在技术上,随着网络技术与应用的发展,在大数据背景下,通过数据加密技术、匿名技术、访问控制以及数据发布技术等传统技术也已很难再保护个人隐私。[4]同时,在数字经济蓬勃发展的当下,个人信息因为本身的特殊性,对其监管已经成为国际社会共同面临的焦点问题。其中,在涉及跨境的个人信息流动与保护的问题上更需要国际合作与国际规则的约束,由此,建立一个能够平衡各国利益、维护企业合法权益的国际数字经济规则体系也已经成为世界的愿景。[5]
在法律上,个人信息不同于其他的一般数据,其本身重在识别,即通过此信息可以对应某个个体,在大数据背景下有数字人格、商业利用以及个人信息权等权益,故个人信息具有明显的私法属性。[6]而在我国民法典中,个人信息亦处于人格权编之下,将其视为一种不同于隐私权的新型人格权进行保护。随着经济全球化的发展与新兴网络技术的普及,个人信息也随之进行跨境流动,而不再局限于一国境内,其中涉及复杂的国际协作等问题,常需要在个人信息保护与信息自由流动间进行取舍,由此需要明确政策理念、制定国际规则、加强法律规制;[7]而个人信息跨境监管的困难,本质为跨境流动与各国信息监管的不统一,故需要国际层面的软法进行协调。[8]诚然,个人信息的跨境流动问题,不再仅仅涉及一个国家自己的政策与法律的规定,而应该与整个世界的经济发展趋势相结合,在“人类命运共同体”的理念下实现合作共赢,实现国际共同安全与国家安全、国际责任与国家利益的统一;[9]尤其是在全球化和逆全球化两股势力正在角力的当下,国际组织内各成员国亦有严重的内生化矛盾,[10]个人信息跨境流动的监管与规制也会遇到类似困境,面临国家之间利益协调的问题。因此,本文将从个人信息跨境流动的法律规制面临的理念困境入手,继而以比较分析的方法研究域外个人信息跨境流动法律规制模式,以借鉴相关实践经验并结合我国自己的法律现状与基本国情,探寻一条本土化的法律规制之进路。
[1]在信息管理学角度,数据与信息严格区分,数据与信息是载体与内涵的关系,数据为网络空间的实在物,是区别于物质能量的独立客观存在,信息则强调对数据进行加工后有逻辑、对客观世界有影响、有意义的大脑意识。而在法学角度,信息与数据常常混用,个人信息与个人数据因在研究中发生外观上的混同,故语义层面的个人信息与代码层面的个人数据并未区分。本文中,凡涉及个人信息权利保护法律的论述,采取法学研究的观点,对信息与数据两者混用;其余情况下,数据与信息进行信息管理学角度的区分。
一、理念冲突:数据主权与数据自由之矛盾
在实然层面上,个人信息跨境流动的法律规制之难点在于良好的数据保护、跨境数据自由流动、数据保护自主权之间的对立;这一对立的根本原因就是个人信息跨境流动的双重属性,即国内问题属性与国际问题属性,由此引发的国内法规政策与国际规则之间的冲突。[11]而在应然层面上,则是国际社会对于跨境数据流动规制素有两种不同的理念,即数据主权主义与数据自由主义。
(一)数据主权主义
主权一般代表国家在领土内对国民之最高权力,而国际法的发展使得主权的对内属性衍生出了对外属性。[12]规制个人信息跨境流动的法律取决于一国对于数据与主权间关系的判断。其中,数据主权的产生最早起源于媒介主权,这是传统主权的范畴,彼时王室与教会认为出版物会削弱其权力,故要求在领土内对这些传统信息媒介拥有管辖与支配的权力。[13]数据主权也是基于此原理,在国家主义的理念下,强调一国对于国内产生的数据拥有管辖与支配的权力,即强调对本国数据对内享有占有、管理、使用等权力,对外享有排除他人干预之国家最高权力,以彰显国家在数据上之独立性与自主性。[14]在数据主权主义下,数据就犹如国家的国民一般,国家基于主权而对国民享有管理之权力。某种意义上,数据主权主义下,由本国公民、法人、非法人组织等产生的数据就像某种资源,国家基于地域管辖、属人管辖等原则,对于国内的数据拥有主权。而数据主权主义有其价值,一方面数据跨境流动本就是基于数据主权之语境,其赋予了国家进行数据监管的合法性;另一方面,数据主权在一定程度上有利于排除数据霸权主义的干涉,在法理上保证了国家对于国内数据的自保权,有利于维护国家的安全。[15]
这种观念强调国家主权与明确的国家界限,在过去跨境交流并不频繁的情况下,有其积极意义。但当今世界的全球化发展日益深入,国家间经济合作、贸易往来也愈加频繁,若一国始终坚持数据主权主义,其要求数据犹如资源一般而享有主权,则会对国际间经济贸易与文化交流等造成一定阻碍。而个人信息作为特殊的数据,依照数据主权主义,其自然也属于一国主权所管辖的范畴。因此,在数据主权主义下,一国对其国内的个人信息享有绝对的、排他的最高权力。而国家之间的经济贸易与服务往来,需要用到个人信息之处数不胜数。例如,本国公民在国外享受教育、医疗服务,或进行跨境电商、金融投资之时,就会导致个人信息跨境流动。在数据主权主义下,则会被一国之法律强制限制,倘若无双边之条约,则会造成个人信息多重法律规制之现象,最终导致监管的跨境割裂的情况。而现实中的国家是相互交流的,没有哪个国家为一座孤岛,一国根本无法完全独占、排他地控制与领土、国民相关的所有数据。
(二)数据自由主义
数据自由主义,则是在自由主义与个体主义的理念下,强调数据应当允许其自由流动,一定程度上排除主权之干预。在数字经济以及全球化不断扩张的背景下,数据自由流动强调数据本身的商业价值与经济利益,跨境数据流动已经成为许多经济活动的基本需求,[16]数据自由流动也正是保障这些经济活动蓬勃发展的基本要求。数据自由主义本身具有积极的面向,其目的在于增加数据的使用效益,更好地发挥数据的资源属性。数据自由主义在数字经济当中强调自由和效率以反对阻碍商业活动的贸易壁垒,力求让数据发挥应有的价值,从这个角度上看有其必要性。另外,数据自由主义类似于市场自由主义的理念,力求在信息技术领域实现优胜劣汰的筛选机制,仅从促进商业与经济的角度看并无不可。现实中,数据也确实在流动当中创造出更多的价值,过度限制也会造成经济利益的损失。
但是,数据自由主义的缺点似乎更加明显。纯粹的数据自由主义是一种乌托邦式的理想,因为无论如何,即使是在虚拟空间当中,传统主权的束缚依旧存在,作为个体的人、法人、非法人组织客观上皆无法独立于国家而完全自治。数据自由主义的支持者,企图将数据存在的虚拟空间独立于现实空间,利用数据本身虚拟、开放、无界的技术特征,实现弱主权化或者去主权化的结果,并不现实。[17]这种互联网世界主义思想最大的弊端就是会导致因割裂现实空间和虚拟空间而引发的秩序与稳定之问题。在虚拟空间中,如果所有的个体都是绝对地自由,不受现实空间的约束,那么虚拟空间本身就会变得无序,将会造成各种乱象——尤其是网络犯罪,利用计算机作为犯罪对象、主体以及工具,利用线上技术创新之表象,而行传统犯罪之实质。[18]同时,当前的虚拟空间能够稳定发展,其实正是因为有现实空间的各种规则进行约束与管制,由此使得虚拟空间朝着符合世界全体人民利益的方向健康发展。人类社会的发展史告诉我们,生产力的发展,需要秩序作为基础,正如国家以及国家权力之由来——让渡部分的自由以换取国家来保持社会稳定,而在以国家权力保障公民权利的条件下,[19]人民方有稳定的秩序环境而得以安居乐业,进而提升社会生产力。因此,对于数据自由主义此种强调绝对的自由主义之思想,从某种程度上看是一种历史的倒退。另外,数据自由主义主要由技术强国提出,而且是在单边主义的背景下提出,原因在于数据自由流动对于技术强国而言,在技术上占有优势,因此并不乐见这种科技上的优势被他国用法律等手段限制。
(三)不同理念下的利益角力
回归个人信息问题本身,个人信息作为特殊的、具有人格属性的数据,它的跨境自由流动面临着个人利益、商业利益、国家利益之间的冲突与角力。国家基于人民授予的权力而要对人民负责,人民的个人信息不当泄露则会造成其精神或者财物上的损害;同时,基于国家安全的考量,放任个人信息跨境自由流动不利于维护国家安全和社会秩序稳定。由此,对于个人信息,国家并不希望、事实上也不会放任其跨境自由流动。
而对于商业组织,因为处于数字经济时代,信息技术的发展革新与产业变革,皆需要大量的数据作为资源,个人信息也是资源的一种,资源获取越方便则越有利于商业的发展,个人信息跨境自由流动越充分,获取资源的成本则会越低。而对于个人而言,有时需要个人信息进行跨境流动,但同时又不希望被滥用,换言之,其希望掌握个人信息自决权,因此也反对完全放任个人信息自由流动。故而,数据自由主义之主张者,亦多为相关行业之企业与商人;其余者,大多认为个人信息跨境流动需要进行必要的规制。
总之,个人信息跨境流动在理念上面临着数据主权主义与数据自由主义的冲突。正如在国际社会上,有极力推行数据自由流动者,亦有极力主张数据本地化与跨境流动限制者,其皆为自身利益所考量而有不同的抉择。但是,无论采取何种理念,各国皆应该通过对等谈判与承诺、协调国内规制与国际规制、积极参与国际规则的制定等完善个人跨境流动的法律规制。[20]而无论未来如何发展,数据主权主义与数据自由主义的理念冲突始终存在,个人信息跨境流动之法律规制也始终受其左右。因为,这两种理念是相互依存的关系,只能一定程度上进行协调,无法从根本上消除。
二、域外经验:个人信息跨境流动之立法实践
我国电子商务发展迅猛,但是对于个人信息跨境流动的法律规制仍然处于起步阶段。目前仅《网络安全法》规定了数据本地化之要求,而其他诸如《个人信息保护法》等立法工作仍在进行中,保障个人信息细则亦不具备,对应的执法、司法等制度尚未确立。[21]但跳脱国内的局限,域外却有丰富的实践经验;其中,个人信息跨境流动的问题由来已久,不同的国家与国际组织本于自身的利益有不同的法律实践。尤其是作为世界上主要经济体的美国以及欧盟的法律实践,对于辨析我国个人信息跨境流动规制之理念与进路有着重要的借鉴意义。
(一)欧盟实践:柔性的限制
欧盟对于个人信息跨境流动的法律政策主要采取数据主权主义的理念,其对于个人信息之重视程度甚至上升到宪法基本权利的层面,一直走在世界的前沿。早在1981年成员国就签订了世界上第一个关于个人信息保护的、具有法律效力的欧盟内部条约《关于个人数据自动化处理的个人保护公约》(Convent ion for the Protection of Individuals with regard to Automatic Processing of Personal Data)。
该公约对促进信息自由流动与保护个人隐私权之关系进行了协调,要求对于个人信息自动化处理时需要尊重其隐私权;只是,遗憾之处在于,公约并未在欧洲全面适用,只有7个国家批准了公约,但是这些成员并无建立配套之国内法规。[22]其后,欧盟继续在1995年通过了《数据保护指令》(EU Directive95/46/ EC:the Data Protection Directive),以谋求欧盟国家内部的数据自由流通。之后,在2016年欧盟又通过了《通用数据保护条例》(the EU General Data Protection Regulation,GDPR)来取代前者,且已于2018年生效。其中最大的变化在于扩大了个人信息的监管范围,其法规适用于任何与欧盟公民个人信息有关的数据公司,且无论公司是否在欧洲,故而,在事实上施行了个人信息保护的长臂管辖。
最新的GDPR打造了欧盟对于信息跨境流动的全新的法律规制体系。它进一步扩大了个人信息跨境流动的方式,并且细化了适当性认定的方法。因为欧盟对于个人信息跨境流动采取的是一种柔性限制的方式,其以限制为一般原则,但是做出了一些例外,其中适当性保护原则即可看成此种例外的法理基础。在GDPR中,虽然继续扩大了个人信息跨境流动的方式,但同时也扩大了条例的适用范围——全球适用。个人信息保护也更加严格——个人信息处理前要经过知情用户具体清晰的许可、一旦用户反对可随时要求停止使用其个人信息,同时也新增加“个人信息持续控制权”以及“被遗忘权”等新型的数据主体之权利。最后,GDPR处罚的力度也在加强,最少的处罚为两千万欧元。在个人信息跨境流动上,允许在欧盟成员国内自由流动,但是严格限制在此之外的第三国或者国际组织的流动。根据GDPR第五章的要求,数据接收方所在的国家或者地区需要符合“充分保护水平”的标准,这种白名单制度会对国家进行定期审查后不断更新,目前仅有十余个国家或地区符合其法规制度、监管结构、国际条约承诺等要求;另外,欧盟为了促进个人信息流动,采取了柔性政策,允许不在白名单内但是提供适当保护措施的数据流动,而且规定在一些特殊情况下允许个人信息的跨境流动。
欧盟在数据主权主义下,对于个人信息跨境保护采取一种柔性的限制措施。在强化个人信息保护的同时,兼顾个人信息的跨境流动,透过明确的权利义务设定与严格的执法、监督机制,使得两者达到一种平衡。而在立法上,欧盟不断增强法律层级以及效力,从指令到条例的发展,展现了欧盟在协调不同法域的同时统一个人信息跨境流动的法律规制标准。又基于数据主权主义,欧盟不断扩大法律适用的主体以及范围,将传统主权覆盖之属地主义原则扩大到属人主义与属地主义相结合,以因应数字经济与经济全球化之发展。另外,欧盟也与时俱进地进行行政和司法救济的制度改革,GDPR赋予个人信息主体行政救济或者司法救济的双重路径选择,扩宽诉讼主体的原告适格条件,允许数据主体将相关的诉讼权利委托给公益组织代为进行维权。
在立法上进行柔性限制的同时,欧盟还加重制裁力度,以达成对于受害者的补救和对于侵权者的惩罚,使得法律具有威慑性。但是,在另一个方面,欧盟GDPR这种严格而又自洽的保护体系也存在一些问题。虽然有各种原则和例外构成对个人信息跨境流动的充分保护,但是此种限制同时也会极大限制个人信息的跨境流动,毕竟欧盟法律上对行为要件的该当性都达到事无巨细的程度,实际上造成数据流动的阻碍,恐无益于国际互联网技术之发展与革新,有加剧“数据鸿沟”之嫌。总之, GDPR虽有许多例外的柔性措施,但总体上欧盟对于个人信息跨境流动依旧是限制重重。
(二)美国实践:多元的自由
美国对于个人信息跨境流动法律政策主要采取数据自由主义的理念,其在立法政策中体现了商业利益优先的价值取向。因此,相对于欧盟严格的个人信息跨境流动的限制,美国则更倾向于由市场进行自我调节。由此,美国迄今为止并无一部对个人信息进行规制的法律,行业的规范也较为宽松,个人信息跨境流动最为自由。但是,自由并不意味着全然由行业自律。对于涉及个人隐私的个人信息方面,美国依旧相当重视。在立法上,美国在《联邦贸易委员会法》中的商业诈欺部分规定了对于个人信息的保护,同时又以国家安全为由,要求用户的通讯信息只能存储于美国本土;对于一些高新技术、金融以及医疗行业的个人信息,美国对其施行严格的备案或者许可证的制度。[23]由此,美国所谓的自由,其实是一种透过多元限制实现的不完全的自由,亦即通过专门性规定严格限制部分个人信息的流动,但是在总体上予以自由流动的权限。美国的这种立法,虽然没有统一的法律进行限制,但这种分散的方式却能够最有效地解决个人信息跨境流动的具体问题。且美国语境下的个人信息是隐私权的下位概念,甚至认为对于个人信息的侵害其实本质是对于个人名誉的侵害,[24]而美国对于隐私权的保护具有相对完善的法律规制,故而似乎也不必再进行统一的个人信息的立法规制。且立足于美国本身的技术优势,也只有通过数据自由主义的立法方式,才能继续维持竞争优势,不断壮大美国信息技术公司与互联网公司,扩宽其在全世界的业务。当然,随着个人信息保护的愈加重视,美国一些州通过了州法案加强个人信息流动的限制,而在联邦层面,虽然有“互联网权利法案”被提出,但是目前并无联邦层面的个人信息规制的立法。
美国在这种数据自由主义下,对于国内采取分散专门立法方式以谋求商业自由与国家监管之统一;但是对外,则是通过各种国家间协议实现个人信息跨境流动之自由,以消弭与其他国家之间对于个人信息保护之差异。
在2000年,美国就与欧盟达成了《安全港协议》(U.S.- EU Safe Harbor Framework Documents),相关企业可以权衡自己数据流动的需要以及《安全港协议》的约束而加入《安全港协议》,由此避开欧盟严格的法律监管;同时告知企业,若未向美国商务部提供企业隐私政策以及报告,则会面临美国商业欺诈的指控。因此,大量美国公司加入了安全港协议,但是其目的并非加强保护个人信息,而是以此逃避欧盟的管辖而远离个人信息纠纷。这种协调两个经济体之间个人信息保护冲突的协议,最后于2015年被欧盟法院认定为无效,失去其合法性。[25]之后,美国与欧盟又于2016年达成了《隐私盾协议》(The EU-U.S. Privacy Shield Framework)以作为《安全港协议》的替代品,但是要求远高于前者,不仅仅继承了原来知情、选择、转移、安全、数据完整、访问、执行等原则的要求,更是加强了救济的方式——美国商务部检举与仲裁,同时还对美国政府访问个人信息进行了限制。总之,《隐私盾协议》本质上是一种强调事后问责的协议,其第一目的为落实美国一向倡导的数据自由主义——数据自由流动也成为其首要目标。讽刺的是,《隐私盾协议》已于2020年7月16日被欧盟法院(ECJ)以不符合欧盟相关法规为由,裁决该协定无效。
美国作为世界上的科技强国,主要通过“行业自律”与“事后问责”之方式进行个人信息跨境流动的规制。美国这种行业自律的国内法规制,体现了美国国内企业在相关市场中自我调节规则的成熟性,有利于提升企业对于数据的利用效率,使其创造更大经济利益。虽然其国内并无统一的法律,但是散布于各个专门法律与规定中的个人信息规制足以保障美国的个人信息安全,同时也更有利于鼓励行业发展。在看似分散的立法当中,美国其实一直主张着一个核心价值——个人信息自由流动,因其更能够带来经济效益,更有利于巩固美国信息领域的霸权地位。但是,美国这种分散立法的方式弊端在于,各种碎片化的立法,容易有重合或者疏忽之处而造成重复规定或者规制空缺。即使与他国签订的国际条约,也仅仅注重如何加强个人信息跨境流动之自由、降低他国的政策限制,皆是为美国的国家利益考量。总之,这种美国法律规制之模式,是建立在美国信息霸权地位的基础上,在个人信息跨境自由流动法律规制的背后,更多考虑的是其所带来的经济价值,并未在伦理道德以及风险上给予足够的重视。
三、本土进路:网络主权背景下之法律规制
在面对纷繁复杂的国际比较法经验,我国究竟是采取欧盟的数据主权主义抑或美国的数据自由主义,一切皆需结合本国国情进行考量。我国已经在2016年通过《网络安全法》,建立了个人信息跨境流动的安全评估机制,[26]要求对于重要数据——影响国家安全和社会公共利益的数据,都应该进行安全评估。
同时,在个人信息跨境流动方面,签署了APEC隐私保护框架(APEC Privacy Framework2005),在立法、执法、司法方面都在满足其规定的个人信息跨境流动规制的最低要求。但是,随着国家工业智能化推进,AI、大数据、云计算、区块链产业的高速发展,一带一路建设的不断推进,仅仅依靠这些最基础的法律规制还远远不够。因此,本文认为,需要在理念上、立法上、救济上进行更深层次的探讨,结合《个人信息保护法(草案)》,[2]探寻建设中国特色社会主义的个人信息跨境流动之法律规制的本土进路。
(一)理念:网络主权
我国对于个人信息跨境流动之理念,并非基于传统的数据主权,而是一种中国式的网络主权。所谓的网络主权,指国家应该在本国网络空间内享有排他性的管辖权。而在我国语境下的网络主权,不是单纯的网络技术主义,而具有网络技术下承载国家利益与权力干预的内涵。故而,在这种理念下,我们强调国家对于互联网内部治理与互联网国际合作相结合——即习近平总书记所说的“尊重网络主权、维护和平安全、促进开放合作、构建良好秩序”的思想原则,其中包括独立权、管辖权、防卫权和平等权等内容。[27]我国的网络主权不同于威斯特伐利亚主权,而是一种相互依赖的主权,在互相尊重各自网络主权的前提下,在物理层面进行传统主权管制,在逻辑层合作治理,在内容层面相互协调。[28]故而,我国采取之理念不同于美国的数据自由主义,也非欧盟的数据主权主义,而是一种符合中国国情的“网络主权”主义。我国的网络主权在相互尊重主权的基础上,更加强调国际合作互助,协调共赢。因此,在这种理念上,我国对于个人信息保护采取重要性原则,即对主权而言具有重要性的个人信息限制跨境流动,而对于非重要的个人信息允许其跨境自由流动。这种理念使得我们较之欧盟模式更加宽松、而较之美国模式更加严格,这是一种符合我国处于发展中国家的基本国情的选择,即基于经济建设需要,在不损害网络主权的前提下,最大程度允许个人信息跨境流动。
总之,我国的网络主权本质上为一种修正式的数据主权,但并不只是单纯强调国家主权,而是在国家主权的基础上强调利益方共同治理。因为网络空间本身需要现实空间作为支撑,网络物理层当然为国家领土之一部分,基于领土的国家管辖权而享有网络主权已成为国际共识。我国在数据主权所具有的领土主权延伸性、数据世界独立性的两重属性中,[29]结合本国基本国情而选择修正后的中国式网络主权之理念,主要是基于大数据国家战略与互联网行业发展的考量:一方面,互联网和大数据之发展需要个人信息跨境流动,因此不能完全遵循数据本地化之防御性的政策,而我国在部分互联网技术上具有优势地位,需要更加开放的政策促进相关行业参与全球化的竞争;另一方面,我国的网络主权理念亦重视个人信息的保护,倡导一种健康、可持续的网络空间治理,尊重个人信息的私法属性并对其进行保护,这也是与其他高保护标准的国家进行关于个人信息跨境流动的双边或多边协议谈判时,双方进行协商合作的理念基础。
[2]《中华人民共和国个人信息保护法(草案)》立法动态如下:2020年10月13日,提请全国人大常委会初次审议,同年10月21日公布并公开征求社会公众意见;目前,该法草案已于2021年4月26日至29日由全国人大常委会对其完成二次审议的立法工作,并且于4月29日正式发布征求意见。
(二)立法:统一法律
我国不同于美国这种技术强国,后者在技术上具有绝对优势,相关行业较为成熟且行业自律体系完善,在法律上分散立法符合国家发展之需求。相反,我国行业自律的体系还远远没有完善,且目前执法、司法仍不够成熟。因此,本文认为,在立法上我们需要参考欧盟立法体系,在法律规制上主要采立法保护型,而非美国的事后问责型。个人信息保护的基础主要有民法权利体系说(人格权说、隐私权说)、信息独立体系说(以信息自决权说为主)等等多方面的理论支撑。[30]美国主流观点认为个人信息属于隐私权,而我国民法典明确认为其属于一种独立的人格权,由此看来,我国个人信息保护法律与欧盟的主流观点较为相近。他山之石,可以攻玉,基于上述背景,我们可以借鉴欧盟经验,探索建立统一的个人信息保护法律体系,以在行业高速发展之中保护公民个人信息权利,使得大数据产业安全、可控。同时,统一立法的立法模式也是符合我国国情的个人信息保护立法方式。一方面,面对复杂的个人信息保护,统一立法有利于明确权责,处理个人信息时哪些行为需要限制、限定哪些主体、哪些主管部门有监管与制裁职权予以确定。而且,相对于行业自律,统一的立法可以提高违法成本,更有利于打击不法行为,提高法律威慑力。由此需要制定《个人信息保护法》也几乎成为学界的共识,许多专家都提出草案建议。[31]因此,未来完善个人信息跨境流动之法律规制,需要在立法上制定统一的个人信息保护法已然明确,这也是我国社会之共识。
随着信息化社会与数字时代的发展,我国正积极推进统一立法工作,《个人信息保护法(草案)》已经在提请全国人大常委会进行审议,[32]目前已经完成第二次审议工作。[33]依照我国立法法的规定,立法实质性审议是三次审议,下一次审议将可能正式完成该项立法工作。草案第13条至28条,确立了符合我国国情的以“告知—同意”为核心的个人信息处理之规则体系;对于跨境流动之规制则主要由第三章进行规定,在草案第38条至43条中,确立了更为严格的“告知—同意”要求、安全评估规定、国际对等原则。未来,在全国人大常委会通过《个人信息保护法》之后,亦可借鉴美国分散式专门立法的经验,落实对统一法律进行精细化解释与适用的工作,对于跨境流动的个人信息进行必要的分类,根据个人信息所属的不同类别而给予不同程度的监管。例如,跨境流动的个人信息可能涉及医疗卫生、金融投资、跨境购物等等,医疗卫生个人信息因为与隐私权联系最为紧密,故而相较其他应当给予更为严格的跨境流动的法律规制。这些细化规制的工作,有待未来随着该法的实践而不断修订完善。
(三)救济:长臂管辖
欧美的经验表明,个人信息跨境流动法律规制需要注重个人信息保护的救济途径多元化与实效性,我国也应积极探索对于受害者高效便利的救济方式。其中,我们需要构建多元法律责任协调机制,协调民法、刑法、行政法责任机制,落实对个人信息的国家保护义务。[34]同时,在立法上明确救济手段,可以参考欧盟允许当事人选择行政、司法双重救济的经验,构建我国受害者行政——司法双轨制的救济体系。同时,为了有效维护个人信息的跨境流动,在救济管辖权方面,我们应该参考欧盟GDPR中扩大原条例规制对象的方式,抑或参考美国的长臂管辖权制度。所谓长臂管辖,即立法、执法或者司法对于域外之事项具有管辖权,起源于美国为解决民商事与刑事之州际问题而不断在域外进行立法与执法之管辖权扩张。[35]此种管辖权与他国主权之间存在张力。但是,个人信息跨境流动本身就是一个国际问题,加强本国个人信息跨境流动之法律规制,需要达到实效也必须要对这些个人信息使用者或者收集者具有管辖权。且欧盟GDPR对于个人信息跨境流动亦施行长臂管辖,其经验表明,丧失对于本国数据的控制力往往意味着独立自主和安全之威胁,且GDPR严格的义务规定并非防范侵权事件,而更多是为了防止美国等技术强国利用数据优势,威胁国家安全与主权独立,故此举具有全球性的战略意义。[36]我国与欧盟在技术上较美国而言皆为弱势,因此对个人信息跨境流动施行长臂管辖亦有相似之国家利益需求,故而可借鉴欧盟经验进行制度建设。因此,我国在规制跨境信息自由流动上应该加强国际合作,签订多边合作协议,相对柔性地进行长臂管辖,以期在尊重他国网络主权的前提下,能够最大限度地为受害者提供行政或司法的救济。事实上,个人信息法域外效力扩张也已经成为国际立法之主流,我们也需要化被动为主动,在遵循国际礼让的原则下,推进域外立法、执法、司法管辖,积极构建全球性的网络空间命运共同体。[37]
在草案当中,我国在加大惩罚力度的同时,也完善了个人信息保护之救济体系。草案第69条[3]规定了对于侵害个人信息可以进行民事诉讼以及公益诉讼。尤其是公益诉讼制度,可以与民事诉讼法第55条关于民事公益诉讼之内容相衔接,创造性地构建个人信息公益诉讼制度。个人信息公益诉讼制度结合了我国公益诉讼之发展,试图以理性消除制度之恶、以个案消除制度上之不公,尝试建立一个正义或者接近正义的社会制度。[38]只是对于法案中所提及之“个人信息保护职责的部门”以及“国家网信部门确定的组织”需要未来通过立法或者司法解释进一步明确。
[3]《个人信息保护法(草案)》第69条规定:个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以依法向人民法院提起诉讼。
同时,在管辖方面,草案采取较为克制而柔性的立法方式——必要的域外适用,在草案第3条[4]、第53条之中规定,在遵守传统的属地管辖的一般原则下,对于“向境内自然人提供产品或服务”“分析境内自然人的行为”“其他法律规定的情形”三种情况进行必要的域外适用。此种管辖规定,主要为了落实立法目的,对于自然人的个人信息权益加强保护,同时又兼顾了数据流动之需求。相对于欧盟GDPR之适用范围,我国采取了较为克制的域外适用以符合网络主权相互尊重的要求,为未来国际之协商对话打造了良好的国内法基础。同时,救济制度的完善,与个人信息跨境流动问题一样具有国际性。未来,我国有必要积极参与个人信息跨境流动国际法律救济的建设。具体而言,可以通过国际软法、双边或多边条约等方式,积极参与国际层面的救济体系之建构与完善。
四、结语
总之,个人信息跨境流动的法律规制,应当在内外法律联动的框架下进行。因为,这不仅仅是国内法问题,也是国际法问题;特别是个人信息作为虚拟空间物质基础,其所在的虚拟空间本就有消除边境的特征,因此更加需要加强国际之间的协调与合作。欧盟与美国根据自己的情况采取不同的理念,对于个人信息跨境流动的法律规制体系也不相同。对于这些域外的经验——我们应该辩证地审视,在充分辨析其优劣得失之后,结合本国的基本国情进行选择性借鉴,以实现本土化的个人信息跨境流动法律规制之完善。
而我国目前相关的法律规制仍然处于发展阶段,在坚持习近平总书记的网络主权的理念下,我们还需要积极推进相关立法、司法与执法体系的协调与完善。当前,《个人信息保护法(草案)》已经公布,我国跨出了加强个人信息跨境流动之法律规制最重要的一步,而未来的重点则是需要对草案中的内容进行精细化之解释;在完善国内法制建设的同时,也需要积极进行国际协商与合作,为国际层面法律规制的发展做出中国贡献。个人信息跨境流动之法律规制,涉及国家安全、个人人格权、经济发展等诸多问题,[39]我国又是最大的发展中国家,对于这三者需要进行综合考量。因此,我国需要结合数字经济发展的现实与法律体系的特点,积极推进法律制度的建设,积极加强国际合作交流,在个人信息跨境流动法律规制中探寻平衡数据主权主义与数据自由主义的中国方案。
[4]《个人信息保护法(草案)》第3条规定:组织、个人在中华人民共和国境内处理自然人个人信息的活动,适用本法。在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一)以向境内自然人提供产品或者服务为目的;(二)为分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形。
参考文献:
[1]蔡翠红.国际关系中的大数据变革及其挑战[J].世界经济与政治,2014(5):124-143,159-160.
[2]彭宇,庞景月,刘大同,等.大数据:内涵、技术体系与展望[J].电子测量与仪器学报,2015,29(4):469-482.
[3]李海敏.数据的本质、属性及其民法定位——基于数据与信息的关系辨析[J].网络法律评论,2017,22(2):3-18.
[4]刘雅辉,张铁赢,靳小龙,等.大数据时代的个人隐私保护[J].计算机研究与发展,2015,52(1):229-247.
[5]何波.中国数字经济的法律监管与完善[J].国际经济合作,2020(5):80-95.
[6]张里安,韩旭至.大数据时代下个人信息权的私法属性[J].法学论坛,2016,31(3):119-129.
[7]刘绍新.全球化背景下的个人数据跨境流动[J].中国金融,2019(23):68-70.
[8]冯硕.个人信息跨境监管背景下在线纠纷解决方式的发展困境与出路——以软法为路径[J].国际经济法学刊,2019(4):48-61.
[9]陈臣.习近平关于构建人类命运共同体重要论述的方法论研究[J].北京交通大学学报(社会科学版),2020(4):1-6.
[10]沈伟.逆全球化背景下的国际金融治理体系和国际经济秩序新近演化——以二十国集团和“一带一路”为代表的新制度主义[J].当代法学,2018,32(1):32-49.
[11]黄宁,李杨.“三难选择”下跨境数据流动规制的演进与成因[J].清华大学学报(哲学社会科学版),2017,32(5):172-182,199.
[12]江河.国家主权的双重属性和大国海权的强化[J].政法论坛,2017,35(1):127-137.
[13]Perritt Henry H Jr.The Internet as a threat to sovereignty? Thoughts on the Internet’s role in strengthening national and global governance[J].Indiana Journal of Global Legal Studies,1998(5):423-425.
[14]齐爱民,祝高峰.论国家数据主权制度的确立与完善[J].苏州大学学报(哲学社会科学版),2016,37(1):83-88.
[15]孙南翔,张晓君.论数据主权——基于虚拟空间博弈与合作的考察[J].太平洋学报,2015,23(2):63-71.
[16]韩静雅.跨境数据流动国际规制的焦点问题分析[J].河北法学,2016,34(10):170-178.
[17]刘天骄.数据主权与长臂管辖的理论分野与实践冲突[J].环球法律评论,2020,42(2):180-192.
[18]刘艳红.网络犯罪的刑法解释空间向度研究[J].中国法学,2019(6):202-223.
[19]龚向和.国家义务是公民权利的根本保障——国家与公民关系新视角[J].法律科学(西北政法大学学报),2010,28(4):3-7.
[20]陈咏梅,张姣.跨境数据流动国际规制新发展:困境与前路[J].上海对外经贸大学学报,2017,24(6):37-52.
[21]马光.数据跨境流动国际规则的发展与我国的应对[J].国际法学刊,2020(2):83-98,156.
[22]刘云.欧洲个人信息保护法的发展历程及其改革创新[J].暨南学报(哲学社会科学版),2017,39(2):72-84.
[23]胡炜.跨境数据流动立法的价值取向与我国选择[J].社会科学,2018(4):95-102.
[24]Solove D J.The future of reputation:Gossip, rumor,and privacy on the Internet[J].Social Science Electronic Publishing,2009,83(3):982-992.
[25]马芳.美欧跨境信息《安全港协议》的存废及影响[J].中国信息安全,2015(11):106-109.
[26]洪延青.数据出境安全评估:保护我国基础性战略资源的重要一环[J].中国信息安全,2017(6):73-76.
[27]王爱玲,达妮莎.坚持“网络主权”的中国声音及国际认同分析[J].大连理工大学学报(社会科学版),2020(6):1-8.
[28]刘晗,叶开儒.网络主权的分层法律形态[J].华东政法大学学报,2020,23(4):67-82.
[29]翟志勇.数据主权的兴起及其双重属性[J].中国法律评论,2018(6):196-202.
[30]洪海林.个人信息的民法保护研究[D].重庆:西南政法大学.2007:10-64.
[31]齐爱民.中华人民共和国个人信息保护法学者建议稿[J].河北法学,2019,37(1):33-45.
[32]杜雨萌,邢萌.全国政协十三届四次会议新闻发言人郭卫民:个人信息保护法草案已提请全国人大常委会审议[N].证券日报,2021-03-04(A01).
[33]新华网.栗战书主持召开十三届全国人大常委会第九十一次委员长会议决定十三届全国人大常委会第二十八次会议4月26日至29日在京举行[EB/OL].(2021-04-16)[2021-04-17].http://www.xinhuanet. com/politics/leaders/2021-04/16/c_1127339664.htm.
[34]王锡锌.个人信息国家保护义务及展开[J].中国法学,2021(1):145-166.
[35]肖永平.“长臂管辖权”的法理分析与对策研究[J].中国法学,2019(6):39-65.
[36]叶开儒.数据跨境流动规制中的“长臂管辖”——对欧盟GDPR的原旨主义考察[J].法学评论,2020,38(1):106-117.
[37]张哲,齐爱民.论我国个人信息保护法域外效力制度的构建[J].重庆大学学报(社会科学版),2021-03-16(网络首发):1-18.
[38]贺海仁.公益诉讼的时代困境及其内在价值[J].法律适用,2012(4):28-33.
[39]赵骏,向丽.跨境电子商务建设视角下个人信息跨境流动的隐私权保护研究[J].浙江大学学报(人文社会科学版),2019,49(2):58-71.
c4d032d1-1359-488d-9493-075c1cede8f9.jpg)