比较法视野下个人信息跨境流动之法律规制与进路——兼谈我国《个人信息保护法(草案)》
作者:林洧 2022-04-27 15:52 新传播 【字号:大 中 小】
个人信息跨境流动的法律规制,既是国内法问题,亦是国际法问题;在全球化和大数据时代背景下,此项议题也日益为各国所关注。个人信息跨境流动有数据主权与自由流动两方面的利益冲突,在此冲突下,欧盟和美国皆采取不同的法律规制方式:欧盟强调严格的立法、司法、执法保护,而美国则是提倡行业自律与事后问责。其中,欧盟对个人信息跨境流动有较大的法律限制,但这种限制同时也通过白名单等制度设计而获得相对的弹性。美国则是依赖着技术上的绝对优势,倡导个人信息跨境的自由流动,以此谋求其信息科技公司在全球的繁荣发展。基于欧美比较法上的经验与中国的基本国情,在随着数字经济发展壮大的同时,中国更加需要完善个人信息跨境流动之法律规制,综合考量域外经验与本土利益,从完善国内立法、司法与执法,加强国际合作协调两方面,构建有中国特色的个人信息跨境流动之法律规制。具体而言,首先,需要在理念层面坚持网络主权原则的指导,并且以该原则为基础积极开展个人信息跨境流动法律规制的国际合作;其次,需要在制度层面继续推进国家统一立法进程,并且完善与细化相关的行政法规、部门规章等具体法律规范;最后,需要在实施层面落实法律保障机制,通过赋予当事人必要的救济手段,来打击相关的违法行为以树立法律的权威。
在2000年,美国就与欧盟达成了《安全港协议》(U.S.- EU Safe Harbor Framework Documents),相关企业可以权衡自己数据流动的需要以及《安全港协议》的约束而加入《安全港协议》,由此避开欧盟严格的法律监管;同时告知企业,若未向美国商务部提供企业隐私政策以及报告,则会面临美国商业欺诈的指控。因此,大量美国公司加入了安全港协议,但是其目的并非加强保护个人信息,而是以此逃避欧盟的管辖而远离个人信息纠纷。这种协调两个经济体之间个人信息保护冲突的协议,最后于2015年被欧盟法院认定为无效,失去其合法性。[25]之后,美国与欧盟又于2016年达成了《隐私盾协议》(The EU-U.S. Privacy Shield Framework)以作为《安全港协议》的替代品,但是要求远高于前者,不仅仅继承了原来知情、选择、转移、安全、数据完整、访问、执行等原则的要求,更是加强了救济的方式——美国商务部检举与仲裁,同时还对美国政府访问个人信息进行了限制。总之,《隐私盾协议》本质上是一种强调事后问责的协议,其第一目的为落实美国一向倡导的数据自由主义——数据自由流动也成为其首要目标。讽刺的是,《隐私盾协议》已于2020年7月16日被欧盟法院(ECJ)以不符合欧盟相关法规为由,裁决该协定无效。
美国作为世界上的科技强国,主要通过“行业自律”与“事后问责”之方式进行个人信息跨境流动的规制。美国这种行业自律的国内法规制,体现了美国国内企业在相关市场中自我调节规则的成熟性,有利于提升企业对于数据的利用效率,使其创造更大经济利益。虽然其国内并无统一的法律,但是散布于各个专门法律与规定中的个人信息规制足以保障美国的个人信息安全,同时也更有利于鼓励行业发展。在看似分散的立法当中,美国其实一直主张着一个核心价值——个人信息自由流动,因其更能够带来经济效益,更有利于巩固美国信息领域的霸权地位。但是,美国这种分散立法的方式弊端在于,各种碎片化的立法,容易有重合或者疏忽之处而造成重复规定或者规制空缺。即使与他国签订的国际条约,也仅仅注重如何加强个人信息跨境流动之自由、降低他国的政策限制,皆是为美国的国家利益考量。总之,这种美国法律规制之模式,是建立在美国信息霸权地位的基础上,在个人信息跨境自由流动法律规制的背后,更多考虑的是其所带来的经济价值,并未在伦理道德以及风险上给予足够的重视。
三、本土进路:网络主权背景下之法律规制
在面对纷繁复杂的国际比较法经验,我国究竟是采取欧盟的数据主权主义抑或美国的数据自由主义,一切皆需结合本国国情进行考量。我国已经在2016年通过《网络安全法》,建立了个人信息跨境流动的安全评估机制,[26]要求对于重要数据——影响国家安全和社会公共利益的数据,都应该进行安全评估。
c4d032d1-1359-488d-9493-075c1cede8f9.jpg)