【作者】王威(
广西民族大学国际经贸规则研究院院长、教授、博士生导师
)
【来源】
《法学杂志》2025年第1期
“
数字法治
”
内容提要:
跨境个人信息流动相较于国内个人信息流动具有特殊性。从RCEP实施现状来看,存在数字贸易往来中多种个人信息保护规则并存的情况,加剧了“制度冲突”;大国之间的博弈加剧个人信息跨境规则的复杂性;跨境个人信息治理过程中存在信任度不够的问题;RCEP个人信息跨境流动规则过于笼统。在国内方面,我国现行个人信息跨境流动的法律规则之间存在冲突;个人信息跨境保护缺少行业自律机制;相关司法保护机制亟待完善,尚不能为跨境个人信息流动提供充分的制度供给。RCEP确定的自贸区是全球最大的自贸区,个人信息跨境流动非常频繁,本文结合党的二十届三中全会精神,在RCEP视野下,从两个方面——国际方面,要积极参与构建个人信息跨境流动国际规则的制定,增强《个人信息保护法》的域外适用效力;国内方面,在国家统筹管理个人信息跨境业务的情况下,须从完善国内个人信息跨境流动法律法规,明确境外数据接收主体的法律责任,完善个人信息跨境流动的司法保护体系,设置隐私执法部门和第三方认证机构等方面对相关制度予以完善——探讨构建中国个人信息跨境流动制度。
关键词:
RCEP;个人信息跨境流动;机制研究;法律责任;司法保障
目次
一、
中国个人信息跨境流动保护探赜
二、RCEP现行规定分析及现实困境
三、我国现行立法评述及个人信息跨境流动面临的问题
四、RCEP视野下构建我国个人信息跨境流动的机制
五、结语
2024年7月18日,中国共产党第二十届中央委员会第三次全体会议审议通过了《中共中央关于进一步全面深化改革推进中国式现代化的决定》,其中提出,“高质量发展是全面建设社会主义现代化国家的首要任务。必须以新发展理念引领改革,立足新发展阶段,深化供给侧结构性改革,完善推动高质量发展激励约束机制,塑造发展新动能新优势。要健全因地制宜发展新质生产力体制机制,健全促进实体经济和数字经济深度融合制度,完善发展服务业体制机制,健全现代化基础设施建设体制机制,健全提升产业链供应链韧性和安全水平制度”。[1]数字经济已经成为全球经济非常重要的组成部分,谷歌、Bain & Company等联合发布的《2023年东南亚数字经济报告》表明,自2021年以来,东南亚数字经济收入以27%的复合年增长率增长,2023年以超2000亿美元的总交易额成交,个人信息密集型行业以电子商务、旅游、电讯和软件以及网上付费等方式呈现在交易总额之中。[2]“据有关报道推测,至2025年,东盟总数字经济规模将突破3300亿美元,
‘
中国+东盟
’
预计将在RCEP签署后成为世界上最大的数字经济市场。”[3]与此同时,构建个人信息跨境流动制度这一数字经济发展中的基础性制度,也成为各方通力合作的新阵地。本文将深入践行党的二十届三中全会精神,从个人信息跨境流动保护着手,深入分析RCEP中关于个人信息跨境流动的规定及现实困境,并从加强涉外领域立法、统筹推进国内法治和涉外法治的角度,探索构建中国个人信息跨境流动的机制,促进实体经济和数字经济的融合,健全新质生产力体制机制。
一、中国个人信息跨境流动保护探赜
(一)个人“数据”“信息”的辨析
数据在国际组织中被定义为“是事实、概念或命令的一种特殊表达形式,可通过人工或自动化设备进行通讯,翻译转换或加工处理”[4]。但是从法学范畴来看,数据并不是一个专门的法学名词,目前学术界也没有一个统一而准确的界定。针对“数据”这一概念,中国在2022年5月出台的《数据出境安全评估办法》(以下简称《办法》)第4条中列明了四类需要向国家网信部门申报数据出境安全评估的数据类型,[5]在该四类需要进行申报评估的数据类型中,国家网信办暂未对“重要数据”“其他需要申报数据出境安全评估的情形”作出详细规定。何谓重要数据?重要数据内部有无分类?《办法》中暂无详细阐释。一种看法认为,个人数据所具有的经济价值或者所涉人格权益来源于个人信息,也就是说,“数据”“信息”两者本质上具有一致性;另一种看法认为,两者在范围、性质、状态等方面具有一定的差异。我国《个人信息保护法》第4条规定,“个人信息是以电子或其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。笔者认为,在网络领域中,数据是信息的一种拟态,二者实质上是在这一领域中的统一。信息以数据为载体,同时依赖数据来阐明,与形和质的关系相似,两者关系非常密切。
(二)个人信息“跨境”的界定
在国际法的视野下,“境”指一国行使主权的实体空间,包括陆地、海洋、空中、驻外使馆、船舶和航空器等。在互联网领域中,特别是在产业发展初期,数据流动中是否有传统意义上的“境”存在较大争议,各国更倾向于将“数字是自由流动的”作为促进产业发展的主要倡导理念。“后因前述思想对网络空间有序发展与长期治理之间的冲突,特别在2014年
‘
斯诺登事件
’
后崛起于全球
‘
数据本地化
’
立法活动中,各国逐步认识到国际法治对于网络空间的重要作用,抢在这一空间中建构规则和话语体系的先机,这标志着国家主权也适用于网络空间。”[6]各国开始对信息的跨境流动进行定义,并进一步进行规制。关于个人信息跨境流动的定义,有学者主张“信息在国际的流通”,也有学者认为“数据通过计算机通信系统跨越国家边境的流动”。[7]然而,以上观点对“境”这一定义没有形成系统的阐述。笔者认为,个人信息“跨境”可以参照国际法管辖下的属人原则和属地原则进行定义,也就是说,“跨境”指的是在一个国家内采集并生成的个人信息,“提供”到境外机构、组织、个人或者建立在境外的数据服务器上,此处“提供”不仅指个人信息的传输,也包括读取、存储、使用、加工、公开等。
二、RCEP现行规定分析及现实困境
(一)RCEP关于个人信息跨境流动的规定
在数字经济时代,跨境电子商务、电子签名、无纸化贸易等飞速发展,这些数字贸易都需要数据作为支撑。然而各国根据其自身国内立法和加入的多边数字规则协议,在个人信息跨境监管方面采用了大相径庭的监管标准,这限制了国际数字经济的快速发展,国际数据规则亟须各国协同发展。东盟十国以及中国、澳大利亚、新西兰、韩国、日本共15方成员于2020年11月签订了《区域全面经济伙伴关系协定》(RCEP),这也是我国正式签署的首个嵌入数据跨境流动规则条款的自由贸易协定。RCEP中对个人信息的定义为,“‘Personal information’means any information, including data, about an identified or identifiable individual”。[8]表明RCEP采用的是“识别说+关联说”的做法,即与已识别或可识别的有关自然人的任何信息都属于个人信息。这与我国《个人信息保护法》对个人信息的定义是一致的。[9]
在文本方面,RCEP第12章“电子商务”,第8章附件1“金融服务”、附件2“电信服务”均对个人信息跨境服务作了明确规定。RCEP框架下鼓励个人信息跨境流动,原则上禁止限制,但通过设置特定例外条款,给予了缔约方一定的政策空间,保留了缔约方的监管权限。[10]举例来说,第12章“电子商务”对各成员国之间的线上个人信息保护、非应邀商业电子信息、网络安全等进行了规定。其中,RCEP第12章第14条第2款表明,对于涵盖的人进行商业行为,各缔约方不得强制要求其在境内设置计算设施或使用其领土内的计算设施。[11]第12章第15条第2款表明,缔约方不得阻止涵盖的人为进行商业行为通过电子方式跨境传输信息。[12]可见,无论是对计算设施位置还是对跨境传输信息的规定,RCEP均作出了缔约方不得采取限制个人信息跨境流动措施的原则性规定。从第12章第14条的整体规定可以总结出RCEP禁止“信息本地化”,鼓励个人信息跨境流动的精神。“信息本地化”措施通常会导致他国服务提供商在该国的运营成本大幅上升,形成贸易壁垒,从而影响数字贸易的发展。所以RCEP个人信息跨境流动条款对缔约国设定了禁止“信息本地化”的核心义务。在监管权限方面,RCEP第12章第14条第3款第1项和第12章第15条第3款第1项表明,各缔约方可以出于实现其合法的公共政策目标采取必要的措施,即公共政策目标例外条款。[13]条文对这一条款规定了较为明确的适用标准,即采取的措施应当满足不构成歧视和变相贸易限制的要求。RCEP第12章第14条第3款第2项和第12章第15条第3款第2项规定了基本安全利益例外条款,即各缔约方为维护其基本安全利益可以采取必要的措施。[14]同时,该条款规定其他缔约方不得对基于保护基本安全利益的限制措施提出异议,进一步扩大了缔约方的自由裁量权。
(二)RCEP与CPTPP和DEPA个人信息跨境规则的比较分析
在已签署的国际协定中,RCEP关于个人信息跨境流动的条款是最为详尽的。在RCEP的15个成员国中,有7个国家同时是《全面与进步跨太平洋伙伴关系协定》(CPTPP)的成员国,约占RCEP成员国总数的一半,我国也在积极推进加入CPTPP。《数字经济伙伴关系协定》(DEPA)是全球第一个关于数字经济的重要规则安排。习近平总书记指出:“发展数字经济意义重大,是把握新一轮科技革命和产业变革新机遇的战略选择。”申请加入DEPA有助于在新发展格局下加强与成员国的数字经济合作。因此,对比RCEP与CPTPP和DEPA的个人信息跨境规则,对我国个人信息跨境流动机制的健全与完善具有深远影响。
在共性特征方面,首先,RCEP、CPTPP和DEPA均鼓励个人信息跨境流动,三者在内容上都涵盖了计算设施的位置、无纸化贸易、电子认证和电子签名等促进个人信息跨境流动的条款。其次,RCEP、CPTPP和DEPA均注重保护个人信息安全,三者都设置了公共政策目标例外条款,给予缔约方一定的自主裁量权。在个性特征方面,RCEP个人信息跨境流动的例外规则与CPTPP和DEPA存在差异。RCEP在第12章“电子商务”中规定,缔约方可以基于合法的公共政策目标和基本安全利益阻止个人信息跨境流动。而CPTPP和DEPA只规定了公共政策例外条款。以CPTPP为例,在其第14章“电子商务”中规定,缔约方可以基于合法的公共政策目标阻止个人信息跨境流动。[15]而CPTPP成员国如果想保护基本安全利益,则需要引用第29章“例外和总则”第2条“安全例外”条款。[16]虽然它们都规定了“安全例外”条款,但在内容结构上的不同安排可以看出RCEP缔约方对个人信息跨境流动的态度更为谨慎。
(三)RCEP生效后个人信息跨境流动实施过程中的现实困境
尽管RCEP签署表明我国与其他成员国在国际数据跨境规则合作方面又向前迈进了一大步,但从RCEP实施过程中个人信息跨境流动现状来看,RCEP成员国之间在个人信息跨境流动领域的合作还面临诸多挑战和现实困境,具体包括以下四个方面:
1.多种并行的数据规则体系加剧“制度冲突”的可能性
目前,RCEP成员国多种个人信息跨境流动规则共存并应用。东盟涵盖了以美国为中心的“跨境隐私保护规则体系”(Cross-Border Privacy Rules, CBPR)、日本的“基于信任的数据自由流动体系”(Data Free Flow with Trust, DFFT)、欧盟的GDPR等,这些数据规则的制定主体均凭借经济与外交手段抢占东盟信息市场的主导权。在美国的倡导下,东盟成员国新加坡和菲律宾已引入CBPR;在2019年G20大阪峰会上,日本正式提出了DFFT的倡议,并在其后与东盟各国的数字经济贸易合作中不断推广DFFT,如日本在与湄公河地区国家的合作中特别增加了DFFT的内容。近年来,欧盟也积极扮演“国际规范引导者”的角色,通过各种途径增强GDPR在东盟的影响力。2018年施行的GDPR对东盟大部分国家数据立法的进程与内容修订产生影响。欧盟在出台GDPR后,又出台了一系列关于数据治理的法律文件,如《开放数据指令》(2019年6月)、《数字市场法》(2022年7月)等,而这些规则正好与东盟战略诉求存在联系,从而使欧盟的数据保护规则对东盟具有很大的吸引力。东盟国家以GDPR为参照,或对国内已有个人信息保护法进行修订,或进行新的立法。因此,RCEP其他成员国均有各自的数据规则,这些数据规则和RCEP确定的数据规则同时存在,加剧了“制度冲突”的可能性。
表1CBPR、DFFT、GDPR、RCEP个人信息跨境流动规则内容
注:作者根据CBPR、DFFT、GDPR、RCEP个人信息跨境规则内容整理。
2.大国地缘经济博弈加剧数据跨境规则实施的复杂性
随着中国不断发展壮大以及国际影响力不断增强,RCEP域外国家——美国把中国当作战略竞争对手,美国逐步将其全球战略重心转移到亚太地区,其中东南亚成为其核心地区之一。RCEP的成员国日本、韩国、澳大利亚又是美国的同盟国,美国依靠其“大国优势”,强行提高CBPR在东盟成员国的认可度。2019年以来,美国与东盟在数字经济上的合作不断加强,并逐渐将其囊括到一系列战略规划中,如“东盟网络政策对话”“美国—东盟联通行动数字经济系列计划”“数字连接与网络安全伙伴关系”“美国—东盟智能城市伙伴关系”等,其目的在于以经济影响为手段,然后逐步将经济影响转变为政治影响,继而促进东盟国家引入美国的CBPR。同时,日本还积极利用其在东盟的传统影响力,帮助美国建立符合西方利益标准的“数据流通圈”。[17]如此一来,美国对东盟的数字经济影响力会进一步增强,从而巩固美国在亚太地区的数字霸权。大国之间的地缘经济博弈无疑会进一步增强个人信息跨境流动规则的复杂性,不利于RCEP框架内中国继续深化与其他成员国在个人信息跨境流动领域的战略合作。虽然RCEP已经生效,但是大国间的地缘经济博弈会带来持续影响,在今后修改RCEP个人信息跨境流动条款时,容易出现谈判困难甚至停滞现象,最终有损中国与东盟之间数字贸易的发展。
3.民众信任度不足阻碍跨境个人信息合作
新加坡尤索夫·伊萨东南亚研究所(ISEAS - Yusof Ishak Institute)2024年上半年发布的《2024东南亚国家态势调查报告》显示,多数受访者(67.4%)对中国日益增长的区域经济影响力表示担心,只有32.6%的受访者对此持欢迎态度。日本(58.9%)仍是东南亚最受信任的国家。美国(42.4%)位居第二。近一半(45.5%)的受访者担心中国可能利用其经济和军事实力影响其所在国的利益。[18]东盟与中国、日本、韩国、澳大利亚、新西兰等RCEP缔约国之间开展个人信息跨境流动方面的合作,除考虑RCEP中有关个人信息跨境流动的条款外,国家之间的信任度始终是影响合作的重要因素。虽然近年来中国不断加大与东盟在各个领域合作的深度与广度,不断谋求与东盟更多的合作机会,搭建更大的合作平台,东盟也在积极寻求与中国展开更多的合作。但是根据信任度数据分析,当前中国与东盟的合作尚未充分赢得东盟国家民众对中国的信赖,因此,要在诸如个人信息跨境流动等领域与东盟建立更为深入的合作关系,还需保持足够的耐心,并不断加强与东盟各国的沟通与协作。
4.RCEP个人信息跨境流动规则过于笼统
现行RCEP个人信息跨境流动规则是区域贸易协定中个人信息跨境业务的新样态,有一定进步之处,但该规则也存在与数字经济快速发展不适应的问题。RCEP的个人信息跨境立法设计较为“宽泛”,虽然这为各缔约国发展国内个人信息跨境立法留下了较大空间与法律接口,但也潜藏着缔约国不当使用规则的风险。例如,RCEP“电子商务”章第10条第2款规定“每一缔约方应当努力避免对电子交易施加任何不必要的监管负担”,这一表述有待细化。不同缔约方基于本国国情、地缘经济、政治考量等因素,会对“不必要的监管负担”作出动态且差异化的解释,这会阻碍个人信息跨境流动,抑制个人信息价值的释放,阻碍数字经济高质量发展。当前,中国作为RCEP的主要缔约国,已经丰富了个人信息跨境领域的国内立法,并不断作出动态调整。例如,在《促进和规范数据跨境流动规定》《个人信息出境标准合同办法》等文件中明确了中国个人信息跨境流动需满足的条件,为RCEP个人信息跨境规则提供了中国理念与完善思路,也为中国后续加入CPTPP和DEPA等数字协定奠定了良好基础。但这些细化RCEP个人信息跨境流动的规则均属于强制性的行政法规,没有为企业自身的个人信息跨境行为提供指导。欧盟《通用数据保护条例》和德国《数据保护法》的立法例和司法实践都表明个人信息保护能否实现,更大程度上取决于公司内部治理机制的制度衔接。
三、我国现行立法评述及个人信息跨境流动面临的问题
(一)我国的个人信息保护立法现状
我国国内有百余部法律文件直接或间接地对个人信息跨境流动进行了规定。在刑法方面,《刑法修正案(七)》(2007年)针对特殊主体,即国家机关工作人员和金融、电信等特殊岗位的工作人员设置了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。随后,由于侵犯公民个人信息案件持续增多及该罪犯罪主体的普遍化,《刑法修正案(九)》(2015年)增设了侵犯公民个人信息罪,规定该罪的犯罪主体为一般主体,并对履行职责过程中侵犯个人信息的行为从重处罚。在其他法律条文中,《个人信息保护法》《网络安全法》《数据安全法》《电子商务法》等均对个人信息保护及个人信息跨境流动作了明确的规定。以《个人信息保护法》为例,其第3章专门针对个人信息出境进行了规定,第38条提供了四种主要的个人信息处理者在跨境传输数据层面上合乎规则的方式。[19]另外,个人信息跨境流动还需要满足特定领域的法律规范。例如,《人类遗传资源管理条例》第7条规定,不得向境外提供我国人类遗传资源。
工业和信息化部、公安部等部门出台的加强网络信息保护与规范信息服务市场秩序的决定和规定,则以具体性的要求规定了个人信息跨境流动。比如,除了上文提到的《办法》,国家互联网信息办公室于2023年2月24日出台《个人信息出境标准合同办法》,对个人信息出境标准合同的相关制度细节作了规定;2024年出台《数据出境安全评估申报指南(第二版)》,对应当申报数据出境安全评估等情形作了具体规定,为个人信息跨境流程提供了具体指引。以上立法和规范性文件分别从不同角度规范个人信息跨境流动问题,细化了个人信息出境的相关规则,并初步建立起中国个人信息跨境流动保护的法律规范体系,为个人信息跨境传输主体的传输行为提供了全流程、全方面、多角度的指引。
综上所述,《个人信息保护法》《数据安全法》及相关配套办法的出台具有非常重要的意义,在这些法律法规中,个人信息出境安全评估制度占相当大的比重,不仅要求企业在个人信息出境前向网信部门申报数据出境安全评估,而且如果不满足《办法》第14条规定[20]的出境数据安全的其他情形,企业还需要重新申报评估,这意味着企业必须持续追踪和监督境外接收方对出境个人信息的使用情况。
(二
)我国个人信息跨境流动规制存在的问题
1.有关信息跨境流动的具体规则存在冲突或者模糊不清
一是《网络安全法》与《办法》对安全评估适用主体的规定不一致。按照《网络安全法》第37条的规定,安全评估的主体确定在掌握关键信息的基础设施运营者手中,[21]但与之相匹配的《办法》第2条则将该主体扩展至全部控制数据处理者,[22]这无形中加大了数据处理者的运营成本,对于运营者来说是一个很大的负担。二是《数据出境安全评估申报指南(第二版)》以及《办法》虽然都反映了捍卫我国网络空间主权的价值取向,但是对促进网络信息合法、自由、有序地流动关注不够,也没有充分认识到跨境数据流动在促进经济发展中的作用。三是在关于数据出境的大量法律法规中,意义模糊的字句多次出现,如“其他情况”“其他条件”等。以《个人信息保护法》为例,前文所述其第38条规定个人信息出境需要符合以下条件之一:[23](1)进行安全评估;(2)进行个人信息保护认证;(3)与境外接收方订立标准合同;(4)其他条件。可以看出,对于数据出境的具体评判要求,《个人信息保护法》规定得较为模糊,容易产生困惑。
2.行业自律机制不健全
世界各国对个人信息权利的相关立法一般被视为隐私权或者个人信息层面上的权利。在治理手段上,各国运用行业自律机制是较为普遍的措施,是弥补政府监管外的一种强有力的治理路径,在规范市场主体违法行为、维持市场正常秩序上发挥着极其重要的作用。比如,美国公布的《全球电子商务框架》指出,联邦政府应当鼓励行业自律,采用行业自律模式保护私领域的个人隐私,个人信息安全上的规范大部分由民间机构的行业规则、公司内部制度等组成。[24]我国目前行业自律机制还没有建立健全,国内企业内部个人信息安全层面与国外先进企业相比还有很大差距,与个人隐私安全有关的技术标准及管理标准远滞后于国际先进水平。随着社会发展及公民隐私意识加强,消费者对个人信息安全的需求也越来越高,从某种程度上迫使有关部门、企业等信息控制、运用、经营等主体必须采取措施不断升级隐私安全技术与标准。当前,虽然我国加大了个人信息与互联网隐私领域的立法力度,但是消费者信息被不法公开、买卖等现象仍不断增加,行业自律组织和行业标准对企业市场行为的规制效果尚不明显。
3.跨境个人信息司法保护机制落后
我国最高人民法院要积极参与全球司法规则体系的制定。在数据安全方面,明确表明要积极应对科技发展带来的新问题,在处理数据权利、个人信息保护等案件时要持谨慎态度,这表明我国最高人民法院已经认识到,随着科技的进步和数字经济的兴起,个人信息安全已成为我国法院面临的新挑战,是需要积极应对但又需要谨慎权衡各种影响因素的复杂难题。
跨境个人信息案件作为一种新类型的案件,不仅带有涉外的成分,而且会产生广泛的影响和较高的社会关注度。从实体审理的角度来看,这类案件存在法律具体规定含混不清、损害后果不易计量的审判困境;从诉讼过程来看,由于涉及世界银行的营商环境评比,该类案件审理的时限、开庭的数量等都有很高的要求,这就需要审判人员具备很强的专业能力,当前我国审理此类案件时存在法官专业能力不够突出、案件受理排期时间长等问题。
四、RCEP视野下构建我国个人信息跨境流动的机制
习近平总书记在党的二十大报告中提出:“要加强涉外领域立法,统筹推进国内法治和涉外法治。”构建与中国现在发展阶段和国际地位相适应的涉外法律法规体系,是统筹推进国内法治与涉外法治的重大课题,是维护国家主权、安全和发展利益的制度依据。在涉外法治建设中,涉外立法工作具有基础性作用,为其他各项涉外法治工作提供依据。RCEP作为中国与包括东南亚国家在内的其他国家进行合作的重要机制,应加强个人信息跨境保护领域的涉外立法和国内立法,以增强该合作机制的影响力。
(一)构建我国个人信息跨境流动机制的基本原则
1.平衡个人信息保护与商业利益维护的原则
平衡个人信息保护与商业利益维护的原则体现了保护和利用并重的理念。有学者认为,“种类不同的个人信息其在社会公开性上的水平也是不一样的,其与信息权利人自身生活及人格尊严的联系的程度也有所不同”。[25]平衡原则在数据跨境流动上表现为:一是个人信息社会性属性的澄清。个人信息大多是个人进行社会活动和从事某种行为的产物,通过大数据技术的整合与分析,所产生的个人信息会变成可以获取和使用的数据资源,从而能够对个人进行间接影响及被人支配。由此可见,个人信息除具备个人的隐私性和人身性外,也因为其涵盖经济价值而具备社会性。法律应将本人同意作为取得此项权利的条件,否则对维护个人信赖及交易安全不利。为此,个人信息跨境流动制度的构建必须充分兼顾其社会性和公共性,针对不同种类的个人信息制定差异化的保护规则。二是鼓励经营者合理利用个人信息。经营者对个人信息的依法获取和合理使用与经济有密不可分的联系,在这种情况下,在保护个人信息安全的同时,“打破资料收集的初始目的而对数据加以充分利用”[26]也是必要的。依据《个人信息保护法》第29条的规定,经营者收集和使用敏感信息需要信息主体明示同意。[27]《个人信息保护法》第13条第1款关于同意的一般规则属于明示同意,第2款至第7款则属于敏感信息之外的非敏感个人信息,在收集时信息主体默示同意即可收集和使用。[28]而为更好地保护与自然人人格尊严以及人身、财产安全息息相关的敏感个人信息,法律规定了单独同意、书面同意的更高要求。尽管我国《个人信息保护法》已经有了利用个人信息的规定,但在明确并细化数据保护的有关标准,强化敏感数据保护,明确相关职责等方面存在欠缺,为了更好地鼓励合理利用,并兼顾保护和利用平衡原则,需要进一步完善这方面的立法规定。
2.平衡行政规制与经营自治的原则
实践证明,行政机关积极履行个人信息保护职责以及个人信息经营者自治是跨境个人信息流动保护的重要路径。跨境经营者是以营利为目的的商主体,追求自身利益最大化,仅依靠商主体自治来实现个人信息跨境保护是不符合实际的,跨境个人信息流动到境外时,经营者靠自身的能力对个人信息进行保护的困难增加,而个人主体因已同意经营者收集个人信息、自行举证困难、损失难以量化等问题,维护个人权利极端困难。因此,个人信息跨境流动制度体系成熟国家的实践表明,行政监管机构在跨境个人信息遭受侵犯时,变身为替代维权人,可以起到非常好的维权效果。故我国立法机关应规制行政监管机关在跨境个人信息保护中的责任义务,这些规定对跨境个人信息保护制度功能的实施非常重要。但也要注意到,在确定行政监管机关规制的前提下,应发挥跨境经营者维护个人信息的自治保护功能。当前数字经济背景下,互联网领域具有高度技术性且跨境运营主体大多采取平台运营,跨境运营主体内部自治体现为管理实现数字的更新迭代变革及完善跨境平台的经营规则,与行政监管机构数字联通,这样的经营者内部自治可以更好地借助数字化平台构建经营者互动沟通和监督问责机制,使行政监管机构、经营者内部管理机构、股东、员工、消费者等内外部利益相关方积极参与治理,确保个人信息利益得到维护,从而更好地实现行政规制与经营自治平衡的目的。
3.平衡国内立法与借鉴国际规则相结合的原则
在中国个人信息跨境流动规则立法不断完善的过程中,要注意借鉴有关国际规则的先进性,平衡国内立法的需求。我国《个人信息保护法》确立了跨境个人信息流动的相关制度,即发生被侵权时请求信息接收国给予充分保护,同时加重信息控制者和处理者未能尽到保护责任时所应承担的责任。这种兼顾“充分性”和“责任性”的机制,有利于个人信息跨境流动与个人信息安全保护之间的均衡。为了实现均衡,必然要考虑信息接收国的有关法律规则,平衡国内立法。此外,可以借鉴美国的“情景脉络完整性理论”,该理论认为,不同的情境脉络塑造了不同场景下的资讯流动规范,这些规范又决定了什么样的信息使用行为能够被评价为是适当的,信息流动过程是否合理的判断就要围绕这三个方面展开:信息的类型是什么,信息与何者相关,流动过程、流动的条件或限制。[29]这种理论改变了知情同意的传统方式,不再硬性要求取得各方同意,个人信息能否得到合理利用以是否满足用户合理隐私期待为衡量,这样的理论非常有助于推动个人信息流转使用。
我国应该完善传统意义上的知情同意原则。通常的知情同意其实是主体设置法律关系的前提。个人信息跨境流动制度规制的知情同意理论一般是源自欧盟的个人信息自决权理论和美国的信息隐私权理论,个人信息保护基本涵盖在隐私权理论范畴之内,是个人控制自己隐私的权利表现。我国应该考虑经济社会的不断发展和变化的场景要素,如风险控制能力、社会习惯等因素会对信息处理的敏感程度产生影响,也会影响信息主体的隐私期待与数据处理的风险承受能力,因此,我国个人信息保护规则的构建应考虑与国际规则的适应,考虑场景要素、隐私期待等因素,以规制不同信息主体的个人信息跨境流动。
(二)RCEP视野下构建个人信息跨境流动制度的具体措施
1.国际方面
(1)积极参与个人信息跨境流动国际规则的制定。当前,国际社会并未建立统一的数据跨境流动规则体系,美国、欧盟借机正积极谋求个人信息跨境流动规制及保护标准的主导权,“美式规则”倡导跨境数据自由流动,“欧式规则”则主张个人信息权保护、排除例外条款等。我国当前提出建设人类命运共同体理念,积极推动“一带一路”建设,积极参与国际事务的治理,因此,应该对跨境信息流动规则深入研究和参与,提出并倡导“中式规则”。具体来说,我国应利用世界贸易组织(World Trade Organization, WTO)平台、DEPA谈判平台,在谈判中积极推广我国的信息治理理念,宣传我国的有关法律规定,表达我国对数据跨境流动的观点,推动与我国跨境信息流动利益更贴合的规则。DEPA为全球首个数字经济贸易协定,我国正在积极推进与其谈判,与重要的贸易伙伴就个人信息保护、网络安全以及技术标准等内容签署数据流动协议,在此过程中,积极争取与我国国内有关规则形成制度上的协调,扩大我国数据跨境流动规则影响力。[30]此外,RCEP已经生效实施,其确定的数据跨境流动规则是成员国必须遵守的,但在与其谈判的过程中,必定要与我国国内的有关规定进行适度的协调;在生效实施过程中,我国依然可依据数据产业技术发展及实践情况,推动RCEP等自贸协定确定的有关数据跨境流动规则的修订和不断完善,以期得到制定国际规则更多的话语权。
我国还可以采取其他多元化途径参与到个人信息跨境国际规则的制定中。比如,我国通过典型案例裁判说理的方式宣传有关数据保护的法治理念,增强对我国司法影响力的认同感;积极搭建国际司法交流平台和审判人员常态化交流机制,在RCEP框架下,积极推广中国—东盟大法官交流机制,扩大到与其他成员国的司法人员交流;推动人民法院与具有涉外法治深厚研究基础的科研院校等关于人才的交流机制常态化,打造涉外法治职业共同体等。此外,我国可向国际公布个人信息治理白皮书,就个人信息保护、网络安全和数据安全保护等领域进行信息公布,积极向国际社会宣传我国个人信息跨境保护法治理念,开展交流合作,共同探索反映国际社会共同关切、符合国际社会共同利益的数据安全和个人信息保护规则,以加快推动个人信息跨境流动国际规则的构建。
(2)增强《个人信息保护法》的域外适用效力。我国《个人信息保护法》第3条规定:“在中华人民共和国境内处理自然人个人信息的活动,适用本法。在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一)以向境内自然人提供产品或者服务为目的;(二)分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形。”基于法律规定,我国应建立旨在保障个人信息安全的防御性长臂管辖机制,扩大法律适用范围,通过国际协商、合同约定等形式将之灵活运用到具体的实施过程中,以期得到更广泛的国家认可和实施。此外,我国还可以在时机成熟时,细化《个人信息保护法》第3条第2款第3项“法律、行政法规规定的其他情形”,除境外主体为了给在我国境内的自然人提供货物、服务等,或者为了对其进行监测和分析,抑或在对境内自然人行为进行评价时适用中国法外,扩大并详细列明其他情形下也要适用中国法。
(3)构建更为紧密的中国—东盟命运共同体。中国与东盟已连续4年互为最大贸易伙伴。2024年上半年东盟继续为中国第一大贸易伙伴,贸易额同比增长10.5%。多年来,双方在经济、社会、人文、政治与安全等多个领域展开合作,签署了一系列合作文件,如《中国—东盟全面经济合作框架协议》。但由于大国经济博弈、中国的经济影响力尚未转化为民众的信任度等原因,中国和东盟在数字贸易,尤其是跨境个人信息流动方面,仍面临合作难题。要构建更为紧密的中国—东盟命运共同体,以增强东盟民众在跨境个人信息服务方面对中国的信任,最终实现中国—东盟在跨境个人信息服务方面的进一步合作。构建中国—东盟命运共同体过程中要进一步坚持讲信修睦,深化双方面向和平、安全、繁荣和可持续发展的全面战略伙伴关系。首先,中国和东盟应努力建立利益交融和战略互信的命运共同体,深化构建有效的国际合作机制以增进双方的战略互信与共识,坚持多边主义,进一步开展多层次、多渠道、多元化和多维度的对话与交流,深入践行《中国—东盟全面战略伙伴关系行动计划(2022—2025)》《落实中国—东盟面向和平与繁荣的战略伙伴关系联合宣言的行动计划(2021—2025)》。其次,揭露美国等RCEP域外势力试图瓦解中国与东盟合作的阴谋,为构建中国—东盟命运共同体的互信基石添砖加瓦。
(4)明确个人信息境外接收主体的法律责任。RCEP的个人信息跨境流动规则要求每一缔约方应当考虑相关国际组织或机构的国际标准、原则、指南和准则,以便很好地衔接有关其他国际规则或者国内法。比如,若缔约国交易对方是互联网产业发达的美国,就美国而言,政府全面审核个人信息的责任基于个人信息产业不断扩大而被突破了,行业自律组织逐渐成立并成为负责审核、办理个人信息的主要机构。其设立行业自律组织,将敏感信息以下个人信息跨境申请的审核交由具有较强专业化水平的行业组织主要负责,可设定比较短的审核时限和比较简单的审批程序,同时可以把握个人信息安全与行业发展关系。行业自律组织处置个人信息跨境流动失误造成信息主体个人信息或者隐私被泄露的,应按照过错原则与申请个人信息跨境流动的主体分担侵权赔偿责任,若造成重大损失后果,可由行政监管机关责令停止经营和停业整顿,同时向有关人员公开道歉,处以罚款和行业禁入等。缔约国应当按照以下条款行事,RCEP框架下每一缔约方应当公布其向电子商务用户提供个人信息保护的相关信息,包括:个人如何寻求救济;企业如何遵守任何法律要求;缔约方应当鼓励法人通过互联网等方式公布其与个人信息保护相关的政策和程序;及缔约方应当在可能的范围内合作,以保护从另一缔约方转移来的个人信息。这就需要成员国之间明确数据接收境外主体的法律责任,各方主体签订个人信息跨境传输合同,合同中对有关责任承担作了规定的,应根据当事人意思自治原则对境外主体法律责任进行审查,不得违背法律强制性规定。若当事人没有订立有关书面合同,产生信息主体隐私泄露等损害后果的,考虑充分保护及平等协作原则,境外数据接收方和境内数据提供者或者经营者应对损害结果承担无限连带责任,除非其采取了立即删除且没有产生损害后果等免责措施。[31]因此,我国可以借鉴RCEP框架下有关规定,明确数据接收境外主体及境内提供者的责任。
2.国内方面
(1)完善国内个人信息跨境流动法律法规。RCEP被视为推动全球数字经济发展的重要力量,为企业的数字贸易提供新的机遇,也为数字经济、跨境个人信息流动提供了非常重要的制度基础。目前我国对RCEP数据流动规则的利用还不够充分,虽然经过长时间探讨和研究,网信办发布了《促进和规范数据跨境流动规定》等跨境数据流动的法律法规,但还未达到充分利用RCEP数据规则刺激数字经济发展的目的。我国《数据安全法》《网络安全法》在数据跨境流动方面的现行规定较为笼统。例如,《数据安全法》采取综合立法模式,[32]在这一模式下试图通过较为笼统的法律规定完成个人信息保护和数字经济充分发展的目标,这当然不是一件易事。对跨境数据流动中的个人信息实施分类分级管理,通过区分数据的重要程度以决定其跨境流动程度,可以有效维护数据安全。企业是个人信息跨境流动的重要主体,国家数据监管部门应当引导和推动企业加强数据治理能力建设,打击违法违规个人信息跨境交易行为,从而达到既充分利用RCEP数据跨境服务条款刺激数字经济增长,又保护我国数据安全的目的。
(2)优化监管机关对个人信息处理者的监管方式。RCEP国内监管框架规定,每一缔约方应当在考虑联合国国际贸易法委员会《电子商务示范法》(1996年),2005年11月23日订于纽约的《联合国国际合同使用电子通信公约》,或其他适用于电子商务的国际公约和示范法基础上,采取或维持监管电子交易的法律框架;每一缔约方应当努力避免对电子交易施加任何不必要的监管负担。这就给成员国确定了不低于国际公约的监管标准及不施加不必要的监管的原则。由此,我国应该从两个方面入手:一是个人信息跨境流动多是基于公司主体(数据经营者)进行的,因此,公司治理影响个人信息跨境流动制度体系的运转。公司治理需要实现数字时代变革,符合时代发展趋势,创新数字化治理思维及路径,逐步完善网络平台公司的治理规则,在监管理念和方式上进行创新,发挥互联网开放、创新、多元、合作的特点,从而促进网络平台公司治理水平的提高。二是应该深化对数据经营者的监管模式。比如,《商务部关于印发全面深化服务贸易创新发展试点总体方案的通知》要求在国家网信办统一指挥下,在北京、海南及雄安新区等试点地区进行分类监管跨境数据的流动,并在具备条件的试点地区开通国际互联网数据专用通道,推动第三方数据辅助流通机制等。这种第三方国际数据综合服务的建设应进一步加强,积极配合国家网信部门探索建立地方性数据安全综合评估办法,联系地方数据经营者开展综合性信息安全评估审批工作,形成“国家网信部门—地方—数据出境试点服务经营者”监管链条,更好地服务各企业个人信息出境申报与审批。
(3)完善个人信息跨境流动的司法保护体系。在RCEP框架下,缔约方认识到对话,包括在适当时间与利益相关方对话,对于促进电子商务发展和使用的价值。在进行此类对话时,缔约方应当考虑以下事项:各国个人信息出境与入境相关法律的衔接;跨境个人信息案件管辖及争端解决机制;与电子商务发展和使用相关的其他事项,如反竞争实践、线上争端解决和电子商务相关技能促进,包括专业人员的跨境临时流动。这说明RCEP推动争端的线上解决模式是符合当前网络社会的发展趋势的。习近平总书记强调,“加快提升我国对网络空间的国际话语权和规则制定权”。[33]世界网络信息技术日新月异,网络技术已经深入全社会、全行业,深刻影响着全球发展格局,主要国家均将互联网发展置于国家经济发展和技术创新的突出位置,谋求国家竞争上的优势。笔者认为,我国法院应当在保障个人信息跨境流动便利与安全之间寻求平衡,以完善个人信息跨境司法保护制度为前提,拓宽法院介入路径和保护方式,具体包括以下四个方面:
第一,利用区块链等手段开展个人信息跨境流动线上争端解决机制。这对法院下一步信息化建设工作提出了新的需求:积极推进大数据、人工智能、区块链等新兴科技与司法工作全方位深度融合,深化智慧法院建设,积极推进互联网、人工智能、大数据、云计算、区块链、5G等现代科技在司法领域的深度应用。
第二,设立个人信息保护案件集中管辖。法院传统的审理案件模式很难处理个人信息跨境案件,对此,应优化案件管辖,跨境个人信息案件对法院的信息化建设提出较高要求,把个人信息跨境纠纷案件纳入互联网案件中,建立集中管辖机制,把案件统一移交给互联网法院管辖,在安全层面上实行有力的管理举措,采取能够保证档案安全不被泄露的技术手段,全方位监查督促档案数字化的全过程,促进数据安全更快更好地得到保障。
第三,优化案件审理方式。跨境个人信息案件多出现于互联网领域,其对应的资料都是通过电子的方式保存的,并且可能有境外主体的参与,要对电子证据采信规则进行优化,并引入区块链和其他技术协助进行证据认定。[34]另外,该类案件会对国际的营商环境评价产生影响,数据传输的时效性比较强。因此,普通案件的审理期限应当设定为7天或者15天等较短的审理期限,从而更好地适应现实审判需要。
第四,组成专业审判团队。该类案件对审理方式、审理期限、涉外法律适用等都有很高的要求,需要较高素质的审判团队。我国已经设置了互联网法院,应该建立针对性的个人信息跨境保护审判团队,参与案件审理的人民陪审员也要熟悉信息行业,从而保证这类案件得到高质量的审判,实现司法审判与国际同类案件审判的接轨,更好地实现个人信息跨境保护,在国际社会上赢得司法审判的认同。
(4)设置隐私执法部门和第三方认证机构。我国数据保护尤其是个人信息跨境流动保护方面,国家新闻出版广电总局、工业和信息化部、网信办、公安局等部门拥有执法权,但存在权力分散且交叉的问题。我国应该借鉴欧盟、美国等的司法实践,建立独立且具有针对性的专属我国的个人信息隐私执法机构,不仅可以加强对个人信息跨境流动的治理及保护的力度,还可以适应RCEP有关内容及进一步参与到相关国际组织的讨论与合作中,以逐步实现与国际数据安全保护标准相统一的目标。
世界影响最大的隐私认证机构是电子信任组织(TRUSTe)和商业促进局在线组织(BBBonline)。它们会对接受过隐私认证的网络服务商进行严格监督,不但进行信用评估,如果网络服务商有违规行为,它们还会对其进行制裁,以充分保证行业自律的公信力和权威性。国内还没有与TRUSTe(美国)、BBBOnline(美国)等作用类似的具备一定影响力的第三方认证机构。[35]我国应该设置第三方认证机构,有利于分担行政监管机构压力,这类由政府批准建立或者认可的个人信息跨境处置的第三方认证机构应当保证专业水平高、权威性强,能够独立承担处置个人重大或者敏感信息的职责、审核和监督有关企业和行业自律组织等。第三方认证机构失误造成个人信息跨境违法违规的,应该承担相应民事赔偿责任,并可给予停业、吊销许可证件、罚款、限制从业等行政处罚。
