比较法视野下个人信息跨境流动之法律规制与进路——兼谈我国《个人信息保护法(草案)》
作者:林洧 2022-04-27 15:52 新传播 【字号:大 中 小】
个人信息跨境流动的法律规制,既是国内法问题,亦是国际法问题;在全球化和大数据时代背景下,此项议题也日益为各国所关注。个人信息跨境流动有数据主权与自由流动两方面的利益冲突,在此冲突下,欧盟和美国皆采取不同的法律规制方式:欧盟强调严格的立法、司法、执法保护,而美国则是提倡行业自律与事后问责。其中,欧盟对个人信息跨境流动有较大的法律限制,但这种限制同时也通过白名单等制度设计而获得相对的弹性。美国则是依赖着技术上的绝对优势,倡导个人信息跨境的自由流动,以此谋求其信息科技公司在全球的繁荣发展。基于欧美比较法上的经验与中国的基本国情,在随着数字经济发展壮大的同时,中国更加需要完善个人信息跨境流动之法律规制,综合考量域外经验与本土利益,从完善国内立法、司法与执法,加强国际合作协调两方面,构建有中国特色的个人信息跨境流动之法律规制。具体而言,首先,需要在理念层面坚持网络主权原则的指导,并且以该原则为基础积极开展个人信息跨境流动法律规制的国际合作;其次,需要在制度层面继续推进国家统一立法进程,并且完善与细化相关的行政法规、部门规章等具体法律规范;最后,需要在实施层面落实法律保障机制,通过赋予当事人必要的救济手段,来打击相关的违法行为以树立法律的权威。
而对于商业组织,因为处于数字经济时代,信息技术的发展革新与产业变革,皆需要大量的数据作为资源,个人信息也是资源的一种,资源获取越方便则越有利于商业的发展,个人信息跨境自由流动越充分,获取资源的成本则会越低。而对于个人而言,有时需要个人信息进行跨境流动,但同时又不希望被滥用,换言之,其希望掌握个人信息自决权,因此也反对完全放任个人信息自由流动。故而,数据自由主义之主张者,亦多为相关行业之企业与商人;其余者,大多认为个人信息跨境流动需要进行必要的规制。
总之,个人信息跨境流动在理念上面临着数据主权主义与数据自由主义的冲突。正如在国际社会上,有极力推行数据自由流动者,亦有极力主张数据本地化与跨境流动限制者,其皆为自身利益所考量而有不同的抉择。但是,无论采取何种理念,各国皆应该通过对等谈判与承诺、协调国内规制与国际规制、积极参与国际规则的制定等完善个人跨境流动的法律规制。[20]而无论未来如何发展,数据主权主义与数据自由主义的理念冲突始终存在,个人信息跨境流动之法律规制也始终受其左右。因为,这两种理念是相互依存的关系,只能一定程度上进行协调,无法从根本上消除。
二、域外经验:个人信息跨境流动之立法实践
我国电子商务发展迅猛,但是对于个人信息跨境流动的法律规制仍然处于起步阶段。目前仅《网络安全法》规定了数据本地化之要求,而其他诸如《个人信息保护法》等立法工作仍在进行中,保障个人信息细则亦不具备,对应的执法、司法等制度尚未确立。[21]但跳脱国内的局限,域外却有丰富的实践经验;其中,个人信息跨境流动的问题由来已久,不同的国家与国际组织本于自身的利益有不同的法律实践。尤其是作为世界上主要经济体的美国以及欧盟的法律实践,对于辨析我国个人信息跨境流动规制之理念与进路有着重要的借鉴意义。
(一)欧盟实践:柔性的限制
欧盟对于个人信息跨境流动的法律政策主要采取数据主权主义的理念,其对于个人信息之重视程度甚至上升到宪法基本权利的层面,一直走在世界的前沿。早在1981年成员国就签订了世界上第一个关于个人信息保护的、具有法律效力的欧盟内部条约《关于个人数据自动化处理的个人保护公约》(Convent ion for the Protection of Individuals with regard to Automatic Processing of Personal Data)。
c4d032d1-1359-488d-9493-075c1cede8f9.jpg)