比较法视野下个人信息跨境流动之法律规制与进路——兼谈我国《个人信息保护法(草案)》
作者:林洧 2022-04-27 15:52 新传播 【字号:大 中 小】
个人信息跨境流动的法律规制,既是国内法问题,亦是国际法问题;在全球化和大数据时代背景下,此项议题也日益为各国所关注。个人信息跨境流动有数据主权与自由流动两方面的利益冲突,在此冲突下,欧盟和美国皆采取不同的法律规制方式:欧盟强调严格的立法、司法、执法保护,而美国则是提倡行业自律与事后问责。其中,欧盟对个人信息跨境流动有较大的法律限制,但这种限制同时也通过白名单等制度设计而获得相对的弹性。美国则是依赖着技术上的绝对优势,倡导个人信息跨境的自由流动,以此谋求其信息科技公司在全球的繁荣发展。基于欧美比较法上的经验与中国的基本国情,在随着数字经济发展壮大的同时,中国更加需要完善个人信息跨境流动之法律规制,综合考量域外经验与本土利益,从完善国内立法、司法与执法,加强国际合作协调两方面,构建有中国特色的个人信息跨境流动之法律规制。具体而言,首先,需要在理念层面坚持网络主权原则的指导,并且以该原则为基础积极开展个人信息跨境流动法律规制的国际合作;其次,需要在制度层面继续推进国家统一立法进程,并且完善与细化相关的行政法规、部门规章等具体法律规范;最后,需要在实施层面落实法律保障机制,通过赋予当事人必要的救济手段,来打击相关的违法行为以树立法律的权威。
(二)立法:统一法律
我国不同于美国这种技术强国,后者在技术上具有绝对优势,相关行业较为成熟且行业自律体系完善,在法律上分散立法符合国家发展之需求。相反,我国行业自律的体系还远远没有完善,且目前执法、司法仍不够成熟。因此,本文认为,在立法上我们需要参考欧盟立法体系,在法律规制上主要采立法保护型,而非美国的事后问责型。个人信息保护的基础主要有民法权利体系说(人格权说、隐私权说)、信息独立体系说(以信息自决权说为主)等等多方面的理论支撑。[30]美国主流观点认为个人信息属于隐私权,而我国民法典明确认为其属于一种独立的人格权,由此看来,我国个人信息保护法律与欧盟的主流观点较为相近。他山之石,可以攻玉,基于上述背景,我们可以借鉴欧盟经验,探索建立统一的个人信息保护法律体系,以在行业高速发展之中保护公民个人信息权利,使得大数据产业安全、可控。同时,统一立法的立法模式也是符合我国国情的个人信息保护立法方式。一方面,面对复杂的个人信息保护,统一立法有利于明确权责,处理个人信息时哪些行为需要限制、限定哪些主体、哪些主管部门有监管与制裁职权予以确定。而且,相对于行业自律,统一的立法可以提高违法成本,更有利于打击不法行为,提高法律威慑力。由此需要制定《个人信息保护法》也几乎成为学界的共识,许多专家都提出草案建议。[31]因此,未来完善个人信息跨境流动之法律规制,需要在立法上制定统一的个人信息保护法已然明确,这也是我国社会之共识。
随着信息化社会与数字时代的发展,我国正积极推进统一立法工作,《个人信息保护法(草案)》已经在提请全国人大常委会进行审议,[32]目前已经完成第二次审议工作。[33]依照我国立法法的规定,立法实质性审议是三次审议,下一次审议将可能正式完成该项立法工作。草案第13条至28条,确立了符合我国国情的以“告知—同意”为核心的个人信息处理之规则体系;对于跨境流动之规制则主要由第三章进行规定,在草案第38条至43条中,确立了更为严格的“告知—同意”要求、安全评估规定、国际对等原则。未来,在全国人大常委会通过《个人信息保护法》之后,亦可借鉴美国分散式专门立法的经验,落实对统一法律进行精细化解释与适用的工作,对于跨境流动的个人信息进行必要的分类,根据个人信息所属的不同类别而给予不同程度的监管。例如,跨境流动的个人信息可能涉及医疗卫生、金融投资、跨境购物等等,医疗卫生个人信息因为与隐私权联系最为紧密,故而相较其他应当给予更为严格的跨境流动的法律规制。这些细化规制的工作,有待未来随着该法的实践而不断修订完善。
c4d032d1-1359-488d-9493-075c1cede8f9.jpg)