比较法视野下个人信息跨境流动之法律规制与进路——兼谈我国《个人信息保护法(草案)》
作者:林洧 2022-04-27 15:52 新传播 【字号:大 中 小】
个人信息跨境流动的法律规制,既是国内法问题,亦是国际法问题;在全球化和大数据时代背景下,此项议题也日益为各国所关注。个人信息跨境流动有数据主权与自由流动两方面的利益冲突,在此冲突下,欧盟和美国皆采取不同的法律规制方式:欧盟强调严格的立法、司法、执法保护,而美国则是提倡行业自律与事后问责。其中,欧盟对个人信息跨境流动有较大的法律限制,但这种限制同时也通过白名单等制度设计而获得相对的弹性。美国则是依赖着技术上的绝对优势,倡导个人信息跨境的自由流动,以此谋求其信息科技公司在全球的繁荣发展。基于欧美比较法上的经验与中国的基本国情,在随着数字经济发展壮大的同时,中国更加需要完善个人信息跨境流动之法律规制,综合考量域外经验与本土利益,从完善国内立法、司法与执法,加强国际合作协调两方面,构建有中国特色的个人信息跨境流动之法律规制。具体而言,首先,需要在理念层面坚持网络主权原则的指导,并且以该原则为基础积极开展个人信息跨境流动法律规制的国际合作;其次,需要在制度层面继续推进国家统一立法进程,并且完善与细化相关的行政法规、部门规章等具体法律规范;最后,需要在实施层面落实法律保障机制,通过赋予当事人必要的救济手段,来打击相关的违法行为以树立法律的权威。
一、理念冲突:数据主权与数据自由之矛盾
在实然层面上,个人信息跨境流动的法律规制之难点在于良好的数据保护、跨境数据自由流动、数据保护自主权之间的对立;这一对立的根本原因就是个人信息跨境流动的双重属性,即国内问题属性与国际问题属性,由此引发的国内法规政策与国际规则之间的冲突。[11]而在应然层面上,则是国际社会对于跨境数据流动规制素有两种不同的理念,即数据主权主义与数据自由主义。
(一)数据主权主义
主权一般代表国家在领土内对国民之最高权力,而国际法的发展使得主权的对内属性衍生出了对外属性。[12]规制个人信息跨境流动的法律取决于一国对于数据与主权间关系的判断。其中,数据主权的产生最早起源于媒介主权,这是传统主权的范畴,彼时王室与教会认为出版物会削弱其权力,故要求在领土内对这些传统信息媒介拥有管辖与支配的权力。[13]数据主权也是基于此原理,在国家主义的理念下,强调一国对于国内产生的数据拥有管辖与支配的权力,即强调对本国数据对内享有占有、管理、使用等权力,对外享有排除他人干预之国家最高权力,以彰显国家在数据上之独立性与自主性。[14]在数据主权主义下,数据就犹如国家的国民一般,国家基于主权而对国民享有管理之权力。某种意义上,数据主权主义下,由本国公民、法人、非法人组织等产生的数据就像某种资源,国家基于地域管辖、属人管辖等原则,对于国内的数据拥有主权。而数据主权主义有其价值,一方面数据跨境流动本就是基于数据主权之语境,其赋予了国家进行数据监管的合法性;另一方面,数据主权在一定程度上有利于排除数据霸权主义的干涉,在法理上保证了国家对于国内数据的自保权,有利于维护国家的安全。[15]
这种观念强调国家主权与明确的国家界限,在过去跨境交流并不频繁的情况下,有其积极意义。但当今世界的全球化发展日益深入,国家间经济合作、贸易往来也愈加频繁,若一国始终坚持数据主权主义,其要求数据犹如资源一般而享有主权,则会对国际间经济贸易与文化交流等造成一定阻碍。而个人信息作为特殊的数据,依照数据主权主义,其自然也属于一国主权所管辖的范畴。因此,在数据主权主义下,一国对其国内的个人信息享有绝对的、排他的最高权力。而国家之间的经济贸易与服务往来,需要用到个人信息之处数不胜数。例如,本国公民在国外享受教育、医疗服务,或进行跨境电商、金融投资之时,就会导致个人信息跨境流动。在数据主权主义下,则会被一国之法律强制限制,倘若无双边之条约,则会造成个人信息多重法律规制之现象,最终导致监管的跨境割裂的情况。而现实中的国家是相互交流的,没有哪个国家为一座孤岛,一国根本无法完全独占、排他地控制与领土、国民相关的所有数据。
c4d032d1-1359-488d-9493-075c1cede8f9.jpg)