比较法视野下个人信息跨境流动之法律规制与进路——兼谈我国《个人信息保护法(草案)》
作者:林洧 2022-04-27 15:52 新传播 【字号:大 中 小】
个人信息跨境流动的法律规制,既是国内法问题,亦是国际法问题;在全球化和大数据时代背景下,此项议题也日益为各国所关注。个人信息跨境流动有数据主权与自由流动两方面的利益冲突,在此冲突下,欧盟和美国皆采取不同的法律规制方式:欧盟强调严格的立法、司法、执法保护,而美国则是提倡行业自律与事后问责。其中,欧盟对个人信息跨境流动有较大的法律限制,但这种限制同时也通过白名单等制度设计而获得相对的弹性。美国则是依赖着技术上的绝对优势,倡导个人信息跨境的自由流动,以此谋求其信息科技公司在全球的繁荣发展。基于欧美比较法上的经验与中国的基本国情,在随着数字经济发展壮大的同时,中国更加需要完善个人信息跨境流动之法律规制,综合考量域外经验与本土利益,从完善国内立法、司法与执法,加强国际合作协调两方面,构建有中国特色的个人信息跨境流动之法律规制。具体而言,首先,需要在理念层面坚持网络主权原则的指导,并且以该原则为基础积极开展个人信息跨境流动法律规制的国际合作;其次,需要在制度层面继续推进国家统一立法进程,并且完善与细化相关的行政法规、部门规章等具体法律规范;最后,需要在实施层面落实法律保障机制,通过赋予当事人必要的救济手段,来打击相关的违法行为以树立法律的权威。
该公约对促进信息自由流动与保护个人隐私权之关系进行了协调,要求对于个人信息自动化处理时需要尊重其隐私权;只是,遗憾之处在于,公约并未在欧洲全面适用,只有7个国家批准了公约,但是这些成员并无建立配套之国内法规。[22]其后,欧盟继续在1995年通过了《数据保护指令》(EU Directive95/46/ EC:the Data Protection Directive),以谋求欧盟国家内部的数据自由流通。之后,在2016年欧盟又通过了《通用数据保护条例》(the EU General Data Protection Regulation,GDPR)来取代前者,且已于2018年生效。其中最大的变化在于扩大了个人信息的监管范围,其法规适用于任何与欧盟公民个人信息有关的数据公司,且无论公司是否在欧洲,故而,在事实上施行了个人信息保护的长臂管辖。
最新的GDPR打造了欧盟对于信息跨境流动的全新的法律规制体系。它进一步扩大了个人信息跨境流动的方式,并且细化了适当性认定的方法。因为欧盟对于个人信息跨境流动采取的是一种柔性限制的方式,其以限制为一般原则,但是做出了一些例外,其中适当性保护原则即可看成此种例外的法理基础。在GDPR中,虽然继续扩大了个人信息跨境流动的方式,但同时也扩大了条例的适用范围——全球适用。个人信息保护也更加严格——个人信息处理前要经过知情用户具体清晰的许可、一旦用户反对可随时要求停止使用其个人信息,同时也新增加“个人信息持续控制权”以及“被遗忘权”等新型的数据主体之权利。最后,GDPR处罚的力度也在加强,最少的处罚为两千万欧元。在个人信息跨境流动上,允许在欧盟成员国内自由流动,但是严格限制在此之外的第三国或者国际组织的流动。根据GDPR第五章的要求,数据接收方所在的国家或者地区需要符合“充分保护水平”的标准,这种白名单制度会对国家进行定期审查后不断更新,目前仅有十余个国家或地区符合其法规制度、监管结构、国际条约承诺等要求;另外,欧盟为了促进个人信息流动,采取了柔性政策,允许不在白名单内但是提供适当保护措施的数据流动,而且规定在一些特殊情况下允许个人信息的跨境流动。
欧盟在数据主权主义下,对于个人信息跨境保护采取一种柔性的限制措施。在强化个人信息保护的同时,兼顾个人信息的跨境流动,透过明确的权利义务设定与严格的执法、监督机制,使得两者达到一种平衡。而在立法上,欧盟不断增强法律层级以及效力,从指令到条例的发展,展现了欧盟在协调不同法域的同时统一个人信息跨境流动的法律规制标准。又基于数据主权主义,欧盟不断扩大法律适用的主体以及范围,将传统主权覆盖之属地主义原则扩大到属人主义与属地主义相结合,以因应数字经济与经济全球化之发展。另外,欧盟也与时俱进地进行行政和司法救济的制度改革,GDPR赋予个人信息主体行政救济或者司法救济的双重路径选择,扩宽诉讼主体的原告适格条件,允许数据主体将相关的诉讼权利委托给公益组织代为进行维权。
c4d032d1-1359-488d-9493-075c1cede8f9.jpg)