（甘肅政法大學(xué) 法學(xué)院，甘肅 蘭州 730070）

我國網(wǎng)絡(luò)安全法專設(shè)網(wǎng)絡(luò)信息安全一章，為網(wǎng)絡(luò)運營者合法利用個人信息劃定邊界，同時對于他人泄露、篡改、毀損、竊取個人信息等違法行為進行了明確規(guī)制，在一定程度上彌補了我國個人信息安全強制性法律規(guī)范方面的缺失。然而，不可否認(rèn)的是，我國個人信息安全立法體系尚不完善。放眼世界范圍，個人網(wǎng)絡(luò)信息安全立法較為完善的歐盟各國，經(jīng)過兩年的過渡期，號稱個人信息保護史上最嚴(yán)厲的法律規(guī)范《通用數(shù)據(jù)保護條例》（以下簡稱“條例”）于2018年5月25日在歐盟正式實施。該條例實施的消息一經(jīng)確認(rèn)即引起各國關(guān)注，因該條例適用范圍并不僅僅局限于歐盟境內(nèi)的個人信息，對于那些因為提供貨物或服務(wù)的過程中收集、控制歐盟境內(nèi)自然人或法人個人信息的我國企業(yè)同樣適用，因此受到了我國的重點關(guān)注。依據(jù)該條例第83條規(guī)定，違規(guī)企業(yè)可面臨2000萬歐元或上一年度全球總營業(yè)額的4%的行政罰款，以金額較高者為準(zhǔn)。該條例的誕生標(biāo)示著世界范圍內(nèi)個人網(wǎng)絡(luò)信息保護法律規(guī)制愈加精細和嚴(yán)格，這也為我國正在構(gòu)建的個人信息保護法律體系提供了有益參考。

一、個人網(wǎng)絡(luò)信息保護立法的模式比較

在經(jīng)濟全球化進程加速及網(wǎng)絡(luò)空間命運共同體理念逐漸為各國所接受的背景下，個人網(wǎng)絡(luò)信息作為一種新興的價值形態(tài)開始被重點關(guān)注，由此產(chǎn)生的利益也驅(qū)動了相關(guān)網(wǎng)絡(luò)犯罪行為的快速增長，各國對于個人信息安全的保護也發(fā)生了嬗變，開始從傳統(tǒng)的信息安全保護向現(xiàn)代的網(wǎng)絡(luò)信息安全保護逐漸演進[1]。從世界范圍來看，大多數(shù)國家在立法層面均對個人網(wǎng)絡(luò)信息保護進行了針對性的規(guī)制；從橫向分析來看，目前在世界范圍內(nèi)有關(guān)個人網(wǎng)絡(luò)信息保護的立法模式可歸納為兩種：一種是著眼于事后監(jiān)督、分治共管的立法模式，最具代表的國家是美國，可以稱之為美國模式；一種傾向于事先預(yù)防、集中統(tǒng)管的立法模式，最具代表的是歐盟，可以稱之為歐盟模式[2]。

從立法的價值取向來看，美國模式更加注重規(guī)制公權(quán)力機構(gòu)對于個人網(wǎng)絡(luò)信息的利用行為，即在聯(lián)邦和地方強制性法律規(guī)范中更多的是界定政府利用個人網(wǎng)絡(luò)信息的邊界以及救濟措施。而在私權(quán)利領(lǐng)域，美國模式從維護個人網(wǎng)絡(luò)信息的經(jīng)濟價值的角度傾向于通過市場自我調(diào)節(jié)機制和行業(yè)自律來制約公司、企業(yè)或其他經(jīng)濟組織對于個人網(wǎng)絡(luò)信息的利用，認(rèn)為對個人或市場主體通過合法途徑獲得的個人網(wǎng)絡(luò)信息應(yīng)當(dāng)予以絕對的保護，規(guī)制相對寬松。因此，美國并沒有選擇制定一部專門性的部門法或法典對個人網(wǎng)絡(luò)信息保護進行系統(tǒng)性的規(guī)制，而是將個人網(wǎng)絡(luò)信息保護分散在聯(lián)邦和地方的各單行法規(guī)以及行業(yè)自律性規(guī)范之中[3]。上述單行法規(guī)具有強制力，強調(diào)個人網(wǎng)絡(luò)信息使用過程中數(shù)據(jù)主體的知情權(quán)與選擇權(quán)、私隱保護以及網(wǎng)絡(luò)數(shù)據(jù)使用的透明度。行業(yè)自律性規(guī)范包括行業(yè)協(xié)會制定的標(biāo)準(zhǔn)性認(rèn)證制度以及行為指引等，這些行業(yè)自律性規(guī)范具有靈活性和時效性的特點，能夠避免法律滯后所帶來的治理失效的風(fēng)險，且對于發(fā)揮個人網(wǎng)絡(luò)信息的經(jīng)濟價值具有積極的作用。然而，隨著Facebook數(shù)據(jù)泄露事件的發(fā)酵，美國社會開始意識到國內(nèi)關(guān)于個人網(wǎng)絡(luò)信息保護的立法對于侵犯個人網(wǎng)絡(luò)信息的企業(yè)的規(guī)制過于寬松，《紐約時報》等主流媒體均刊文抨擊美國隱私保護法律規(guī)則[4]。

與美國模式相比，歐盟模式在利益平衡的基礎(chǔ)上，更加偏重對網(wǎng)絡(luò)數(shù)據(jù)主體的數(shù)據(jù)處理權(quán)利的全方位保護，其依據(jù)的是個人網(wǎng)絡(luò)信息自決權(quán)理論，即“個人對其一切具有識別性的個人信息的收集、處理和利用享有決定權(quán)和控制權(quán)”[5]。該理論源自1983年德國憲法法院的一則判例，在該判例中德國憲法法院認(rèn)為在自動化數(shù)據(jù)處理情境下，個人有權(quán)反對個體資料被無限制的收集和使用，提出了個人信息自主的概念和權(quán)利保護理論[6]。因此，歐盟模式以出臺統(tǒng)一的強制性法律規(guī)范的形式對市場主體收集、使用、處理個人網(wǎng)絡(luò)信息各個環(huán)節(jié)進行了細致詳盡的規(guī)制。另外，歐盟在個人網(wǎng)絡(luò)信息統(tǒng)一立法方面進行了多次嘗試，如1981年《關(guān)于自動化處理的個人信息保護公約》、1995年《數(shù)據(jù)保護指令》、1997年《公共數(shù)據(jù)通信領(lǐng)域個人信息處理的隱私保護指令》等[7]。這些法律規(guī)范初步構(gòu)建了涵蓋查閱權(quán)、更正和刪除權(quán)、免受完全自動化決定權(quán)等網(wǎng)絡(luò)數(shù)據(jù)主體權(quán)利體系。但隨著近年來互聯(lián)網(wǎng)技術(shù)的蓬勃發(fā)展和網(wǎng)絡(luò)空間作為全新空域的出現(xiàn)，個人網(wǎng)絡(luò)信息安全也面臨著更加嚴(yán)峻的威脅和挑戰(zhàn)，歐盟內(nèi)部呼吁出臺一個更為全面、先進、強大的網(wǎng)絡(luò)數(shù)據(jù)保護法律規(guī)范，進一步規(guī)范市場主體對個人網(wǎng)絡(luò)信息的利用行為。因此，《通用數(shù)據(jù)保護條例》應(yīng)運而生，該條例作為歐盟個人網(wǎng)絡(luò)信息統(tǒng)一立法、統(tǒng)一監(jiān)管立法模式的最新成果，進一步擴大了數(shù)據(jù)主體的權(quán)利，增設(shè)了遺忘權(quán)、可攜帶權(quán)等權(quán)利內(nèi)容，創(chuàng)立了網(wǎng)絡(luò)數(shù)據(jù)保護官制度，為平衡權(quán)利保護與公共利益也對權(quán)利保護和例外情況進行了詳細規(guī)定，一經(jīng)出臺便引發(fā)世界各國的關(guān)注甚至效仿。

二、我國個人網(wǎng)絡(luò)信息保護立法現(xiàn)狀

我國開始搭建個人信息保護的法律框架的標(biāo)志性立法事件，是2012年全國人大常委會發(fā)布《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》。隨后的一年，工業(yè)和信息化部頒布施行了《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》，該部門規(guī)章系我國首個對個人信息保護相關(guān)問題進行系統(tǒng)性規(guī)制的規(guī)范性法律文件，該規(guī)定對個人信息保護相關(guān)法律概念進行了定義，并首次對網(wǎng)絡(luò)運營主體收集和使用個人信息以及安全保障措施確立了原則和規(guī)范[8]。

盡管該部門規(guī)章開啟了我國加強個人信息保護的立法先河，具有明顯的時代進步性，但該規(guī)定也存在一些不足，如對網(wǎng)絡(luò)運營主體收集、使用個人信息的規(guī)范較為粗糙，缺乏明確指引、關(guān)于網(wǎng)絡(luò)運營者和服務(wù)提供者的法律責(zé)任的規(guī)定過于簡單，行政處罰措施較為單一且處罰上限設(shè)置過低，從事后救濟的角度評價并不足以適應(yīng)個人信息保護需求[9]。此后，我國強化了對于網(wǎng)絡(luò)空間個體信息安全保護立法的力度和水平，《網(wǎng)絡(luò)交易管理辦法》的出臺、《消費者權(quán)益保護法》中增加消費者在消費過程中個人信息安全保護的條款都是出于對個體網(wǎng)絡(luò)信息安全保護的考量。這些法律法規(guī)都明確了經(jīng)營者在經(jīng)營活動中收集、使用消費者個人信息的法定程序和應(yīng)當(dāng)注意的法定義務(wù)；但是，由于上述規(guī)范性法律文件仍局限為民事、行政法律規(guī)范，且相關(guān)規(guī)定過于原則，不具有可執(zhí)行性，事后救濟乏力，隨之產(chǎn)生的負面影響就是侵害個人信息安全事件愈發(fā)頻繁[10]，僅在2013年因個人信息泄露等侵權(quán)事件、利用非法獲取的個人信息實施電信網(wǎng)絡(luò)詐騙而導(dǎo)致的經(jīng)濟損失就達1400多億元[11]。

為遏制上述犯罪行為，全國人大常委會在2015年的《中華人民共和國刑法修正案（九）》中專門增加了侵犯個人信息罪以及拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪，將第三人以及網(wǎng)絡(luò)服務(wù)提供者故意、重大過失侵害個人信息的行為入刑；2017年5月，最高人民法院、最高人民檢察院發(fā)布《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，該司法解釋對于刑法修正案（九）中新增的上述兩個罪名的核心概念，構(gòu)成要件以及量刑規(guī)范進行了具體和細化；2017年頒行的《中華人民共和國網(wǎng)絡(luò)安全法》第四章“網(wǎng)絡(luò)信息安全”中明確了網(wǎng)絡(luò)運營者收集、使用個人信息的一般原則和保護義務(wù)，并著重規(guī)定違反上述義務(wù)的行政處罰規(guī)范。從積極方面來看，網(wǎng)絡(luò)安全法系全國人大常委會制定的法律，與《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》相比，效力等級更高，且內(nèi)容更先進和具體，在一定程度上彌補了個人信息保護法律規(guī)范的不足；但從網(wǎng)絡(luò)安全法的體系設(shè)置來看，個人信息保護僅是該法的一個有機組成部分，網(wǎng)絡(luò)安全法立法的首要目標(biāo)是維護網(wǎng)絡(luò)空間主權(quán)和國家安全，因此網(wǎng)絡(luò)安全法有關(guān)個人信息保護的規(guī)定還停留在較為原則的層面，缺少系統(tǒng)、細致且具有可執(zhí)行性的具體規(guī)范[12]。

除上文所述的對于個人網(wǎng)絡(luò)信息安全保護的專門性立法規(guī)范外，還有一些個人信息保護的零散規(guī)定在《中華人民共和國反恐怖主義法》、《征信業(yè)管理規(guī)定》、《個人信息和重要數(shù)據(jù)出境安全評估辦法》等規(guī)范性法律文件之中可見。另外，個人網(wǎng)絡(luò)信息保護本身不僅僅是一個法律范疇的概念，也涉及相關(guān)技術(shù)規(guī)范。網(wǎng)絡(luò)空間首先是由網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)通信技術(shù)搭建起來的虛擬空間，正因為各類信息數(shù)據(jù)在網(wǎng)絡(luò)空間的儲存和傳輸，才使得網(wǎng)絡(luò)空間逐漸與現(xiàn)實社會的傳統(tǒng)二維空間相互交織起來，演變成了人類社會發(fā)展的一個全新空域[13]。目前，我國關(guān)于個人信息保護的技術(shù)標(biāo)準(zhǔn)首推《信息安全技術(shù)個人信息安全規(guī)范》（GB/T 35273—2017），該規(guī)范于2018年5月正式施行，由阿里巴巴、騰訊等諸多互聯(lián)網(wǎng)領(lǐng)軍企業(yè)以及北京大學(xué)、清華大學(xué)等高等院校聯(lián)合起草，在廣泛汲取各國個人信息保護規(guī)范的基礎(chǔ)上對網(wǎng)絡(luò)運營者和網(wǎng)絡(luò)服務(wù)提供者的處理數(shù)據(jù)行為進行了較為詳盡的規(guī)制，在創(chuàng)建有效的個人信息保護實踐機制方面做出了有益的嘗試。上述標(biāo)準(zhǔn)、技術(shù)規(guī)范也成為衡量和認(rèn)定網(wǎng)絡(luò)運營者是否落實主體義務(wù)的主要依據(jù)。

可見，我國目前也在加快個人網(wǎng)絡(luò)信息保護的相關(guān)立法工作，但因為網(wǎng)絡(luò)信息安全保護立法的技術(shù)性與法律性的雙重屬性，相關(guān)立法模式仍在不斷探索中，目前尚未制定出一部專門的個人網(wǎng)絡(luò)信息保護法，有關(guān)個人網(wǎng)絡(luò)信息保護的法律規(guī)定只散見在多部規(guī)范性法律文件和配套技術(shù)規(guī)范之中。

三、我國現(xiàn)行網(wǎng)絡(luò)信息保護立法體系的不足

（一）網(wǎng)絡(luò)信息保護立法的適用范圍過于狹窄

我國個人網(wǎng)絡(luò)信息保護尚未統(tǒng)一立法，有關(guān)個人網(wǎng)絡(luò)信息保護的法律規(guī)范分散在若干規(guī)范性法律文件中，各法律規(guī)范的適用范圍受制于所在的規(guī)范性文件的規(guī)定。以較為集中和系統(tǒng)的規(guī)制個人信息保護的網(wǎng)絡(luò)安全法為例，該法第二條規(guī)定：“在中華人民共和國境內(nèi)建設(shè)、運營、維護和使用網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理，適用本法?！痹撘?guī)定屬于典型的“屬地”管轄，即將發(fā)生在我國境內(nèi)的數(shù)據(jù)處理行為都納入監(jiān)管范圍。換言之，該法中有關(guān)個人網(wǎng)絡(luò)信息保護的規(guī)范適用范圍仍局限于我國境內(nèi)；進一步說，依據(jù)該法中有關(guān)管轄權(quán)的規(guī)定，對于在我國境內(nèi)發(fā)生的數(shù)據(jù)處理行為才享有完全的和排他的司法管轄權(quán)[14]。從該法規(guī)制的主體對象來看，無論處理該數(shù)據(jù)的主體在我國境內(nèi)是否有經(jīng)常營業(yè)場所，均應(yīng)受我國網(wǎng)絡(luò)安全法的管轄，擴大了該法可適用性的對象范圍，但這一規(guī)定卻忽略了一個關(guān)鍵問題，即數(shù)據(jù)與其他客體不同，互聯(lián)網(wǎng)時代數(shù)據(jù)跨境流動是常態(tài)，對跨境數(shù)據(jù)的處理行為是否有管轄權(quán)？典型如大型跨國企業(yè)在境外總部處理我國公民的個人信息等行為是否受我國法律管轄？又如中國公民在境外的通信數(shù)據(jù)被境外網(wǎng)絡(luò)服務(wù)商濫用如何進行司法保護？顯然，單純規(guī)制發(fā)生在境內(nèi)的個人信息處理行為已經(jīng)無法充分保護數(shù)據(jù)主體的權(quán)利，因此如何拓展網(wǎng)絡(luò)信息保護法律規(guī)范的適用范圍，是下階段相關(guān)個人網(wǎng)絡(luò)信息保護立法的關(guān)鍵問題[15]。

（二）數(shù)據(jù)主體權(quán)利體系設(shè)置欠完善

2018年5月正式實施的推薦標(biāo)準(zhǔn)《信息安全技術(shù)個人信息安全規(guī)范》雖然明確了數(shù)據(jù)控制者和處理者在進行收集、保存、使用、共享、轉(zhuǎn)讓、公開披露等個人信息處理活動中應(yīng)遵循的原則和安全要求[16]，但我國現(xiàn)行的具備強制力的規(guī)范性法律文件并沒有針對數(shù)據(jù)主體的權(quán)利進行系統(tǒng)的明確界定。由此導(dǎo)致相當(dāng)比例的數(shù)據(jù)控制者和處理者在收集、使用個人信息的過程中缺乏法律意識，故意或重大過失侵犯數(shù)據(jù)主體的權(quán)益的行為時有發(fā)生，如注冊手機客戶端時收集的個人信息的類型與實現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能沒有直接關(guān)聯(lián)、過高頻率采集個人信息、傳輸和存儲個人敏感信息時未采用必要安全措施以致發(fā)生信息泄漏，等等。

無論是網(wǎng)絡(luò)安全法還是《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》均未明確規(guī)定網(wǎng)絡(luò)數(shù)據(jù)主體享有何種權(quán)利，這給司法實踐造成了極大困擾。由于缺乏明確規(guī)定，司法實踐中關(guān)于個人網(wǎng)絡(luò)信息安全的民事案件往往面臨無適當(dāng)權(quán)利請求基礎(chǔ)規(guī)范引用的尷尬[17]。目前，數(shù)據(jù)主體個人信息遭到侵害的民事判例大多還只能援引肖像權(quán)、隱私權(quán)等相關(guān)法律規(guī)定，例如，民法總則第一百一十一條雖明確規(guī)定自然人的個人信息受法律保護，但是我國目前立法體系中并未明確將個人信息歸屬于一般人格權(quán)或直接作為個人信息權(quán)進行保護，因此只能適用隱私權(quán)的相關(guān)規(guī)定對相關(guān)權(quán)益予以保護[18]。

（三）數(shù)據(jù)控制者、處理者法律責(zé)任制度缺失

目前，有關(guān)數(shù)據(jù)控制者、處理者侵害數(shù)據(jù)主體法律責(zé)任的規(guī)定，主要分散在網(wǎng)絡(luò)安全法、《關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》等相關(guān)法律規(guī)范中。論及法律責(zé)任，主要可以分為刑事責(zé)任、行政責(zé)任以及民事責(zé)任三大類型。我國目前有關(guān)數(shù)據(jù)控制者、處理者刑事責(zé)任的規(guī)定，主要體現(xiàn)為刑法中的侵犯個人信息罪以及拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪。有關(guān)行政責(zé)任的法律規(guī)定，雖在《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》、網(wǎng)絡(luò)安全法中有所規(guī)定，但仍不夠全面。以網(wǎng)絡(luò)安全法為例，該法僅規(guī)定了網(wǎng)絡(luò)運營者、網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的提供者侵犯數(shù)據(jù)主體同意權(quán)、刪除權(quán)、更正權(quán)以及泄漏個人網(wǎng)絡(luò)信息的行政責(zé)任，行政執(zhí)法主體也不明確。依據(jù)網(wǎng)絡(luò)安全法的有關(guān)規(guī)定，國務(wù)院電信主管部門、公安部門和其他有關(guān)機關(guān)在各自職責(zé)范圍內(nèi)負責(zé)網(wǎng)絡(luò)安全保護和監(jiān)督管理工作，但這一規(guī)定在實踐過程中因執(zhí)法主體不明確或“多頭共管”將明顯降低行政執(zhí)法效能。相比較而言，日本、新加坡、歐盟等國家和地區(qū)均已設(shè)立了獨立的個人信息行政監(jiān)管機構(gòu)，行政執(zhí)法效率更高[19]。而民事責(zé)任的相關(guān)規(guī)定依然停留在侵犯隱私權(quán)、名譽權(quán)等傳統(tǒng)人身權(quán)利的層面，以致網(wǎng)絡(luò)數(shù)據(jù)控制者、處理者在侵害數(shù)據(jù)主體權(quán)益的情況下，數(shù)據(jù)主體除了可以主張侵犯者賠禮道歉、停止侵權(quán)等民事責(zé)任外，想要主張經(jīng)濟賠償則落入無法可依的尷尬境地，網(wǎng)絡(luò)數(shù)據(jù)控制者、處理者法律責(zé)任制度的缺失也變相在一定程度上導(dǎo)致侵害數(shù)據(jù)主體權(quán)利的行為頻繁發(fā)生。

（四）數(shù)據(jù)跨境流動規(guī)則仍處于探索階段

基于網(wǎng)絡(luò)技術(shù)搭建起的網(wǎng)絡(luò)空間之所以能夠脫離出傳統(tǒng)社會的單維空間而變成影響經(jīng)濟全球化進程的重要力量，數(shù)據(jù)跨境流動是不可缺少的必要條件。同時，數(shù)據(jù)跨境流動制度直接關(guān)系到網(wǎng)絡(luò)信息的整體安全，對于防御、處置網(wǎng)絡(luò)安全風(fēng)險和威脅，維護網(wǎng)絡(luò)空間安全和秩序起到至關(guān)重要的作用。鑒于網(wǎng)絡(luò)數(shù)據(jù)跨境流動規(guī)制對于該制度的有效運行有著重要意義，目前發(fā)達國家無一例外都制定了明確可操作的數(shù)據(jù)跨境流動法律規(guī)則。

然而，目前我國數(shù)據(jù)跨境流動的安全評估機制正在初步搭建過程中，2017年《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》和《信息安全技術(shù)數(shù)據(jù)出境安全評估指南（征求意見稿）》先后出臺，我國網(wǎng)絡(luò)安全法以及《信息安全技術(shù)個人信息安全規(guī)范》對數(shù)據(jù)跨境流動的基本態(tài)度也很明確，原則上限制數(shù)據(jù)跨境流動，在例外情況下依照相關(guān)規(guī)定和標(biāo)準(zhǔn)進行安全評估并符合要求的前提下允許數(shù)據(jù)跨境流動。從學(xué)理上分析，之所以我國在數(shù)據(jù)跨境流動的相關(guān)規(guī)則構(gòu)建上采取保守態(tài)度，主要是基于我國網(wǎng)絡(luò)安全體制機制仍不夠完善，現(xiàn)有的網(wǎng)絡(luò)安全立法規(guī)則體系仍處于試驗論證階段，因此盡可能保護國家的整體網(wǎng)絡(luò)信息安全和公民隱私不受侵犯為現(xiàn)階段立法者考量最優(yōu)先保護的法益[20]；但同時，數(shù)據(jù)跨境流動又是網(wǎng)絡(luò)空間中互聯(lián)網(wǎng)經(jīng)濟不可逆的大趨勢，對于提高交易效率和國際競爭力都是必不可少的技術(shù)保障，有關(guān)數(shù)據(jù)跨境流動的規(guī)則設(shè)計實際上就是平衡信息安全和經(jīng)濟發(fā)展兩者之間的利益關(guān)系，但我國目前仍處于制度構(gòu)建探索階段，數(shù)據(jù)跨境流動規(guī)則仍存在一定的法律留白。

四、構(gòu)建我國個人網(wǎng)絡(luò)信息保護立法制度的建議

（一）擴大我國網(wǎng)絡(luò)信息安全保護法的適用范圍

如上文所述，數(shù)據(jù)跨境流動的特性客觀上要求立法時需要適當(dāng)擴大個人網(wǎng)絡(luò)信息保護法的域外效力。美國、歐盟等諸多國家和地區(qū)均不約而同地擴大了國內(nèi)執(zhí)法部門管轄海外數(shù)據(jù)的權(quán)限，并規(guī)定國內(nèi)數(shù)據(jù)保護法律法規(guī)不受本國或地區(qū)領(lǐng)土疆域的限制。據(jù)此，保護我國個人網(wǎng)絡(luò)信息安全的立法工作首先要解決的問題就是突破本國個人網(wǎng)絡(luò)信息保護法的適用范圍，賦予其域外效力；在立法時可參照我國刑法的管轄原則，即不再局限于屬地管轄，應(yīng)當(dāng)構(gòu)造以屬地管轄為核心，同時將屬人管轄和保護管轄原則作為必要補充的長臂管轄原則；適用屬人管轄原則之后，無論數(shù)據(jù)處理行為是否發(fā)生在我國境內(nèi)，只要數(shù)據(jù)運營者在我國境內(nèi)有實體機構(gòu)就有權(quán)進行司法管轄[21]。如此一來，即便在我國境內(nèi)設(shè)有分支機構(gòu)的數(shù)據(jù)運營者的數(shù)據(jù)處理行為發(fā)生在境外，我國法律依然有權(quán)予以管轄；而保護管轄原則則是突破了屬人屬地管轄原則，無論數(shù)據(jù)運營者在我國境內(nèi)是否有實體機構(gòu)，也無論數(shù)據(jù)處理行為發(fā)生在何處，只要是向我國境內(nèi)數(shù)據(jù)主體提供產(chǎn)品、服務(wù)或監(jiān)控其行為，或只要該數(shù)據(jù)運營者處理和持有居住在我國境內(nèi)數(shù)據(jù)主體的數(shù)據(jù)都要受到我國個人網(wǎng)絡(luò)信息保護法律法規(guī)的約束。

（二）明確數(shù)據(jù)主體權(quán)利種類、行使條件、方式以及保障措施

借鑒國外個人網(wǎng)絡(luò)信息保護立法的先進經(jīng)驗，在立法過程中，我們應(yīng)當(dāng)全面合理構(gòu)建數(shù)據(jù)主體的權(quán)利體系，明確數(shù)據(jù)主體具有知情權(quán)、同意權(quán)、選擇權(quán)、修改權(quán)、刪除權(quán)、限制處理權(quán)、拒絕權(quán)、免受自動化決策限制權(quán)、可攜帶權(quán)等權(quán)利[22]，具體而言，在立法中應(yīng)對上述權(quán)利的內(nèi)涵進行明確，對權(quán)利行使的方式、范圍、限制條件以及保障措施均應(yīng)制定具有可操作性的規(guī)范。所謂限制條件是指為這些權(quán)利行使劃定一個邊界，在充分衡量網(wǎng)絡(luò)信息安全和公共利益等法價值的基礎(chǔ)上，對上述權(quán)利進行必要限制。在涉及國家安全、公共安全衛(wèi)生、重大公共利益、刑事犯罪偵查、起訴、審判、學(xué)術(shù)研究、新聞報道等必要情況下，應(yīng)對數(shù)據(jù)主體的權(quán)利行使進行必要的限縮[23]。因此，立法機構(gòu)可以考慮在以下兩種方式中擇一采用：一是在《信息安全技術(shù)個人信息安全規(guī)范》的基礎(chǔ)上對數(shù)據(jù)主體權(quán)利類型、保障措施進行補充和完善，在制定個人信息保護法時一并納入，使之具有強制力和執(zhí)行力；二是盡快確立個人網(wǎng)絡(luò)信息保護安全國家標(biāo)準(zhǔn)，可以考慮在《信息安全技術(shù)個人信息安全規(guī)范》的基礎(chǔ)上進行修改和完善，將推薦標(biāo)準(zhǔn)逐步上升為國家標(biāo)準(zhǔn)，使其具有強制適用的效力，同時在相關(guān)部門法的規(guī)范性法律文件中明確違反上述強制性國家標(biāo)準(zhǔn)的情況下，數(shù)據(jù)主體的權(quán)利保障措施。

（三）健全數(shù)據(jù)運營者、控制者法律責(zé)任制度

個體的信息安全若想得到有效和及時的保護，對于數(shù)據(jù)運營者和控制者的責(zé)任規(guī)制就顯得尤為必要。一方面，應(yīng)當(dāng)完善行政責(zé)任體系，在立法中考慮確定獨立的執(zhí)法主體，通過歸口管理的方式，指定電信主管部門或通過機構(gòu)整合設(shè)立專門的監(jiān)管部門并將其確定為行政執(zhí)法主體，由其統(tǒng)一負責(zé)網(wǎng)絡(luò)安全保護和監(jiān)督管理工作；此外，在法律規(guī)范中將執(zhí)法主體的權(quán)限、組織架構(gòu)、任務(wù)以及職權(quán)范圍予以明確表述，避免出現(xiàn)權(quán)責(zé)不清的情況；在立法中構(gòu)建清晰的數(shù)據(jù)主體權(quán)利體系以及數(shù)據(jù)運營、控制者義務(wù)體系，根據(jù)義務(wù)違反類型、情節(jié)分別設(shè)定行政處罰的責(zé)任承擔(dān)主體、種類、處罰方式以及程序；培育互聯(lián)網(wǎng)行業(yè)建立完善的行業(yè)自律機制，形成國家主導(dǎo)，行業(yè)自律，社會輿論監(jiān)督的多層次縱橫聯(lián)合的監(jiān)管體制。另一方面，通過立法健全民事責(zé)任體系，打破目前數(shù)據(jù)主體追究民事責(zé)任無法可依的窘境。立法機關(guān)或最高人民法院可以在民法總則現(xiàn)有法律規(guī)制的基礎(chǔ)上，制定專門的個人網(wǎng)絡(luò)信息保護法或針對個人網(wǎng)絡(luò)信息保護的司法解釋，將數(shù)據(jù)運營者、控制者違法收集、保存、使用、共享、轉(zhuǎn)讓、披露個人網(wǎng)絡(luò)信息所對應(yīng)的侵權(quán)、違約責(zé)任構(gòu)成條件予以明確，特別是針對上述侵權(quán)、違約責(zé)任的賠償計算方式予以確認(rèn)。例如，在認(rèn)定侵權(quán)責(zé)任構(gòu)成要件的過程中，可以參考商標(biāo)法、反不正當(dāng)競爭法中有關(guān)侵犯商標(biāo)權(quán)、不正當(dāng)競爭行為侵權(quán)損害賠償數(shù)額界定方法，根據(jù)侵權(quán)期間數(shù)據(jù)運營者、控制者的經(jīng)營所得的一定比例推定損失數(shù)額。此外，加大對數(shù)據(jù)運營商提供的格式合同的規(guī)范審查力度，設(shè)置公平合理的違約責(zé)任條款，提高數(shù)據(jù)運營商的違約成本[24]。在救濟層面豐富救濟途徑，如將大規(guī)模個人網(wǎng)絡(luò)信息泄漏事件納入公益訴訟案件受理范圍等。

（四）加快完善數(shù)據(jù)跨境流動的法律規(guī)則

首先，應(yīng)確立跨境流動的一般性原則，即僅在第三國信息接受者采取了與我國法律規(guī)范中列明的同等信息保護措施時，才可以進行數(shù)據(jù)傳輸；其次，完善現(xiàn)有的數(shù)據(jù)跨境流動評估標(biāo)準(zhǔn)，使之更符合我國網(wǎng)絡(luò)安全發(fā)展現(xiàn)狀，兼顧經(jīng)濟發(fā)展和信息安全利益平衡；再次，適時建立數(shù)據(jù)跨境流動白名單制度，在定期審查第三國個人網(wǎng)絡(luò)信息保護法律規(guī)則、監(jiān)管機構(gòu)運行機制以及相關(guān)國際公約或雙邊條約的基礎(chǔ)上，確認(rèn)第三國能夠提供充分的保護時，該數(shù)據(jù)傳輸在一定期限內(nèi)不需要特別授權(quán)或評估；最后，明確數(shù)據(jù)跨境流動例外規(guī)則，并在立法過程中確立數(shù)據(jù)跨境流動的國際協(xié)作措施，如為了公共利益或政府間協(xié)作的需要，雖然第三國或國際組織并不滿足數(shù)據(jù)跨境流動的前提條件，但可以要求數(shù)據(jù)運營者或控制者在提供適當(dāng)?shù)谋Ｕ锨乙呀?jīng)提供了可執(zhí)行的數(shù)據(jù)主體權(quán)利法律救濟的情況下，許可數(shù)據(jù)跨境流動。