比较法视野下个人信息跨境流动之法律规制与进路——兼谈我国《个人信息保护法(草案)》
作者:林洧 2022-04-27 15:52 新传播 【字号:大 中 小】
个人信息跨境流动的法律规制,既是国内法问题,亦是国际法问题;在全球化和大数据时代背景下,此项议题也日益为各国所关注。个人信息跨境流动有数据主权与自由流动两方面的利益冲突,在此冲突下,欧盟和美国皆采取不同的法律规制方式:欧盟强调严格的立法、司法、执法保护,而美国则是提倡行业自律与事后问责。其中,欧盟对个人信息跨境流动有较大的法律限制,但这种限制同时也通过白名单等制度设计而获得相对的弹性。美国则是依赖着技术上的绝对优势,倡导个人信息跨境的自由流动,以此谋求其信息科技公司在全球的繁荣发展。基于欧美比较法上的经验与中国的基本国情,在随着数字经济发展壮大的同时,中国更加需要完善个人信息跨境流动之法律规制,综合考量域外经验与本土利益,从完善国内立法、司法与执法,加强国际合作协调两方面,构建有中国特色的个人信息跨境流动之法律规制。具体而言,首先,需要在理念层面坚持网络主权原则的指导,并且以该原则为基础积极开展个人信息跨境流动法律规制的国际合作;其次,需要在制度层面继续推进国家统一立法进程,并且完善与细化相关的行政法规、部门规章等具体法律规范;最后,需要在实施层面落实法律保障机制,通过赋予当事人必要的救济手段,来打击相关的违法行为以树立法律的权威。
(三)救济:长臂管辖
欧美的经验表明,个人信息跨境流动法律规制需要注重个人信息保护的救济途径多元化与实效性,我国也应积极探索对于受害者高效便利的救济方式。其中,我们需要构建多元法律责任协调机制,协调民法、刑法、行政法责任机制,落实对个人信息的国家保护义务。[34]同时,在立法上明确救济手段,可以参考欧盟允许当事人选择行政、司法双重救济的经验,构建我国受害者行政——司法双轨制的救济体系。同时,为了有效维护个人信息的跨境流动,在救济管辖权方面,我们应该参考欧盟GDPR中扩大原条例规制对象的方式,抑或参考美国的长臂管辖权制度。所谓长臂管辖,即立法、执法或者司法对于域外之事项具有管辖权,起源于美国为解决民商事与刑事之州际问题而不断在域外进行立法与执法之管辖权扩张。[35]此种管辖权与他国主权之间存在张力。但是,个人信息跨境流动本身就是一个国际问题,加强本国个人信息跨境流动之法律规制,需要达到实效也必须要对这些个人信息使用者或者收集者具有管辖权。且欧盟GDPR对于个人信息跨境流动亦施行长臂管辖,其经验表明,丧失对于本国数据的控制力往往意味着独立自主和安全之威胁,且GDPR严格的义务规定并非防范侵权事件,而更多是为了防止美国等技术强国利用数据优势,威胁国家安全与主权独立,故此举具有全球性的战略意义。[36]我国与欧盟在技术上较美国而言皆为弱势,因此对个人信息跨境流动施行长臂管辖亦有相似之国家利益需求,故而可借鉴欧盟经验进行制度建设。因此,我国在规制跨境信息自由流动上应该加强国际合作,签订多边合作协议,相对柔性地进行长臂管辖,以期在尊重他国网络主权的前提下,能够最大限度地为受害者提供行政或司法的救济。事实上,个人信息法域外效力扩张也已经成为国际立法之主流,我们也需要化被动为主动,在遵循国际礼让的原则下,推进域外立法、执法、司法管辖,积极构建全球性的网络空间命运共同体。[37]
在草案当中,我国在加大惩罚力度的同时,也完善了个人信息保护之救济体系。草案第69条[3]规定了对于侵害个人信息可以进行民事诉讼以及公益诉讼。尤其是公益诉讼制度,可以与民事诉讼法第55条关于民事公益诉讼之内容相衔接,创造性地构建个人信息公益诉讼制度。个人信息公益诉讼制度结合了我国公益诉讼之发展,试图以理性消除制度之恶、以个案消除制度上之不公,尝试建立一个正义或者接近正义的社会制度。[38]只是对于法案中所提及之“个人信息保护职责的部门”以及“国家网信部门确定的组织”需要未来通过立法或者司法解释进一步明确。
[3]《个人信息保护法(草案)》第69条规定:个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以依法向人民法院提起诉讼。
c4d032d1-1359-488d-9493-075c1cede8f9.jpg)