葉湘

摘要：粵港澳大灣區(qū)是企業(yè)合規(guī)和管轄權(quán)競合的理想沙箱。以阿里云計算有限公司智能終端操作系統(tǒng)（AliOS）的隱私保護政策為個案研究對象，圍繞個人信息生命周期五個階段的信息處理行為（收集、存儲、使用、轉(zhuǎn)授、公開和刪除），考察在我國收集個人信息最多之一的數(shù)字化企業(yè)的個人信息保護政策是否符合粵港澳三地的法律法規(guī)和相關(guān)標準以及出境場景下個人信息的管轄權(quán)競合情形。阿里云保護個人信息的價值取向與粵港澳涉?zhèn)€人信息保護法律法規(guī)與標準的訂立目的存在沖突。公司個人隱私保護政策的目的與價值預(yù)設(shè)是否合法會極大影響公司處理個人信息行為的合規(guī)性，而阿里云隱私保護政策的目的與價值預(yù)設(shè)不夠嚴謹，個別條款將公司規(guī)模效益凌駕于消費者隱私保護權(quán)益之上，需要重新調(diào)整其隱私保護政策的價值排序，用義務(wù)遏制平臺的信息擴張沖動，細化并厘清其信息規(guī)制義務(wù)。此外，針對出境個人信息，粵港澳三地相關(guān)的法律法規(guī)分別設(shè)置了啟動域外管轄的不同條件，大灣區(qū)內(nèi)差別性的域外管轄與管轄疊加后形成管轄權(quán)競合，凸顯了阿里云隱私保護政策的條文表述不嚴謹，究其根源在于制定政策時以個人信息境內(nèi)流動為定位中心，預(yù)設(shè)場景單一化，未納入出境場景下管轄權(quán)競合的多元情形?！盀硡^(qū)方案”作為處理管轄權(quán)競合的中國模式，以粵港澳司法協(xié)同與一體化治理為“兩翼”，統(tǒng)合網(wǎng)絡(luò)安全與個人信息分等評估和審核機制，防范由阿里云為代表的互聯(lián)網(wǎng)公司以微觀視角制定的隱私保護政策的漏洞和法律風險。

關(guān)鍵詞：司法協(xié)同；跨境合規(guī)；管轄權(quán)競合；信息處理行為；個人信息生命周期

中圖分類號：F127文獻標識碼：A文章編號：1007-8266（2021）07-0106-13

基金項目：國家社會科學基金重大項目“‘一帶一路’沿線國家法律文本翻譯、研究及數(shù)據(jù)庫建設(shè)”（18ZDA157）

《中共中央關(guān)于制定國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和二〇三五年遠景目標的建議》中提出“加快數(shù)字化發(fā)展”的戰(zhàn)略規(guī)劃，建立數(shù)據(jù)資源產(chǎn)權(quán)、交易流通、跨境傳輸和安全保護等基礎(chǔ)制度和標準規(guī)范，積極參與數(shù)字領(lǐng)域國際規(guī)則和標準制定，擴大基礎(chǔ)公共信息數(shù)據(jù)有序開放，建設(shè)國家數(shù)據(jù)統(tǒng)一共享開放平臺，保障國家數(shù)據(jù)安全，加強個人信息保護，確保產(chǎn)業(yè)數(shù)字化在公平、合理、非歧視的數(shù)字國際規(guī)則和標準的保駕護航下進行[ 1 ]。而個人信息保護的立法目的有三點：自然人的人格利益、數(shù)據(jù)產(chǎn)業(yè)的發(fā)展和政府公共管理職能的實現(xiàn)[ 2 ]。三者孰優(yōu)孰次是學者站在公法、私法等不同立場上爭論的焦點。出境場景下的個人信息跨越公法和私法，同時涉及國際公法和國際私法（沖突法）的利益場域。不僅如此，由于網(wǎng)絡(luò)空間以超地域性為基本特征，跨境個人信息的管轄權(quán)呈碎片化，在法律適用上突破了地理坐標的疆域管轄范疇，同時會觸發(fā)不確定的一個或數(shù)個連結(jié)點，造成適用準據(jù)法很難精準定位以及管轄權(quán)競合的紛雜情形。因此，有必要選擇一家代表性的互聯(lián)網(wǎng)數(shù)據(jù)企業(yè)（如阿里云計算有限公司）和個人信息出境場景相對常態(tài)化的一處地理疆域（如粵港澳大灣區(qū)）為考察對象。

我國市場監(jiān)管機構(gòu)分別在2020年11月和2021年4月叫停螞蟻金服（后更名為螞蟻集團）的上市計劃，停止其反競爭行為，并要求其在三年內(nèi)提交自查合規(guī)報告。螞蟻集團與阿里巴巴集團的回應(yīng)提到了“加強個人信息保護與管理”[ 3 ]。我們有必要考察阿里巴巴集團中涉及個人信息業(yè)務(wù)較多的阿里云計算有限公司（以下簡稱“阿里云”，該公司為AliOS的法律主體）的個人信息保護政策是否存在漏洞，在粵港澳大灣區(qū)（以下簡稱“大灣區(qū)”）個人信息跨境流動時是否會產(chǎn)生法律風險。

大灣區(qū)內(nèi)個人信息跨境合規(guī)問題有其區(qū)域特殊性與研究的樣本意義。首先，跨境合規(guī)問題的區(qū)域特殊性在于粵港澳三地同屬中華人民共和國的一部分，大灣區(qū)內(nèi)個人信息跨境不牽扯國家主權(quán)，與以下區(qū)域組織的法律法規(guī)或雙邊協(xié)定規(guī)定的主權(quán)國家之間的個人信息跨境問題存在質(zhì)的不同：歐盟委員會《數(shù)字市場法（提案）》和《數(shù)字服務(wù)法（提案）》①、歐盟《通用數(shù)據(jù)保護條例》（GDPR）及其前身1995年《數(shù)據(jù)保護指令》（該指令確定了數(shù)據(jù)保護的最小原則）、歐洲委員會108公約、經(jīng)濟合作與發(fā)展組織（OECD）《隱私保護和跨境個人數(shù)據(jù)流動指南》1980年版和2013年版、亞太經(jīng)濟合作組織（APEC）隱私框架2005年版和2015年版、美歐雙邊的安全港框架（2015年10月6日失效）及其替代方案隱私盾框架（2016年8月1日生效）、《東盟個人數(shù)據(jù)保護框架》（ASEAN Framework on Person？ al Data Protection，2015年11月27日被采納）。本文研究的大灣區(qū)內(nèi)個人信息“出境”場景是指通過各種技術(shù)和方法，個人信息跨越粵港澳（地理疆域）的流動，包括同一個人信息二次出境（Re-ex？ port）的情形。此外，大灣區(qū)內(nèi)個人信息跨境合規(guī)的樣本意義在于出境信息合規(guī)涉及域內(nèi)管轄權(quán)和域外管轄權(quán)的競合。具體來說，大灣區(qū)不存在統(tǒng)一的區(qū)域性個人信息保護協(xié)同機制，而大灣區(qū)可作為企業(yè)合規(guī)和管轄權(quán)競合的沙箱來試驗出境信息要同時符合存儲地、處理行為發(fā)生地、控制地的法律法規(guī)。

據(jù)2019年上海社會科學院互聯(lián)網(wǎng)研究中心的統(tǒng)計，“自2008年以來，數(shù)據(jù)流動對全球經(jīng)濟增長的貢獻已經(jīng)超過傳統(tǒng)的跨國貿(mào)易和投資”[ 4 ]。在產(chǎn)業(yè)、政府、社會、全民數(shù)字化大趨勢下，各類數(shù)據(jù)在互聯(lián)網(wǎng)企業(yè)眼中堪比新型“石油”，而海量個人信息的數(shù)字化對企業(yè)來說可謂精煉的“成品油”，通過數(shù)據(jù)畫像技術(shù)，可以挖掘出不同細分領(lǐng)域的潛在消費者，所以數(shù)字化的個人信息中包含了巨大的商業(yè)價值。大灣區(qū)跨三個司法管轄區(qū)，個人信息在大灣區(qū)內(nèi)部流動以及與外部司法管轄區(qū)之間的跨境傳輸，都必須考量數(shù)據(jù)流動合規(guī)和個人信息對等保護問題。受保護客體個人信息的跨境合規(guī)是其得到保護的前提。因此，本文將阿里云的隱私保護政策（以下簡稱“阿里云政策”，目前最新版政策的生效日期是2018年1月1日）為個案研究對象，在個人信息出境場景下，圍繞個人信息生命周期5個階段的信息處理行為（收集、存儲、使用、轉(zhuǎn)授、公開和刪除），考察我國大陸收集個人信息最多之一的數(shù)字化企業(yè)的個人信息保護政策是否符合粵港澳三地的法律法規(guī)和相關(guān)標準。同時，從大灣區(qū)的宏觀布局和企業(yè)的微觀對標來探索出境個人信息的準據(jù)法適用和管轄權(quán)競合的難題。簡而言之，在大灣區(qū)以行為（跨境流動中的個人信息處理行為）要素為框架，在出境個人信息管轄權(quán)競合場景下評價企業(yè)更看重法益要素（國家安全、人格權(quán)、用益物權(quán)）還是市場要素（商業(yè)交往權(quán)、成本、利潤）。

大灣區(qū)是我國開放程度最高、經(jīng)濟活力最強的區(qū)域，包括珠三角九市、香港和澳門兩個特別行政區(qū)，總面積5.6萬平方公里，2020年末常住人口超8 600萬人，GDP占全國比重12%左右，跨三個司法管轄區(qū)。大灣區(qū)大體量的經(jīng)濟和人口規(guī)模必然伴隨大體量的個人信息隨著人才、資源、勞動力、技術(shù)等生產(chǎn)要素在內(nèi)部三個司法管轄區(qū)以及大灣區(qū)與“一帶一路”沿線國家和地區(qū)之間的流動。

（一）跨法域的大灣區(qū)

大灣區(qū)的個人信息主體來自制造業(yè)、金融業(yè)和科創(chuàng)業(yè)，具有行業(yè)復(fù)合的特征。不同于東京灣區(qū)（產(chǎn)業(yè)灣區(qū)）、紐約灣區(qū)（金融灣區(qū)）和舊金山灣區(qū)（科技灣區(qū)），粵港澳大灣區(qū)包括東莞制造基地、香港金融中心和深圳科創(chuàng)中心，兼具東京、紐約和舊金山三個灣區(qū)的產(chǎn)業(yè)特征，呈現(xiàn)復(fù)合特點。重視大灣區(qū)市場在個人信息跨境立法中的關(guān)鍵意義是2019年2月18日中共中央、國務(wù)院頒布的《粵港澳大灣區(qū)發(fā)展規(guī)劃綱要》加強區(qū)域一體化建設(shè)的應(yīng)有之義，同時必須利用大灣區(qū)兼有制造、金融、科創(chuàng)產(chǎn)業(yè)類型的市場優(yōu)勢服務(wù)于立法目的；利用廣州南沙與港澳合作建設(shè)中國企業(yè)走出去綜合服務(wù)基地和國際交流平臺，推進阿里云等互聯(lián)網(wǎng)企業(yè)在走出去過程中完善企業(yè)個人信息保護政策，依照《粵港澳大灣區(qū)發(fā)展規(guī)劃綱要》探索互聯(lián)網(wǎng)企業(yè)在內(nèi)地管轄權(quán)和法律框架下，營造高標準的國際化、市場化、法治化營商環(huán)境。

（二）粵港澳和歐盟域外管轄法條對比

在個人信息出境場景下，大灣區(qū)管轄權(quán)競爭的原因是粵港澳三地個人信息保護的法規(guī)具有域外管轄權(quán)。中國大陸涉及個人信息跨境傳輸?shù)姆煞ㄒ?guī)和國家標準主要有11部，其中3部已生效，1部待生效，其他7部為征求意見稿②。中國香港和中國澳門地區(qū)涉及個人信息跨境傳輸?shù)姆芍饕?018年4月20日修訂的香港《個人資料（私隱）條例》和2006年2月10日生效的澳門《個人資料保護法》。

香港地區(qū)的個人信息保護采取的是弱保護模式，違反《個人資料（私隱）保護條例》的行為并不直接可訴，只有資料使用人違反了其他法律條文才可以被起訴。澳門則選擇近似于歐洲的對于個人信息的嚴格保護模式，在個人信息保護法律的位階、廣度和深度上均高于香港[ 5 ]。

關(guān)于域外管轄界定原則，歐盟和中國大陸均基于信息處理行為，即只要被處理的信息涉及境內(nèi)自然人就可以劃定為域外管轄范圍（參見表1），而信息處理者在境內(nèi)還是境外不是決定性因素。[ 6 ]歐盟和中國大陸均未采納信息主體的狹義屬人原則。這種以信息處理行為為原則的界定方式，涉及的域外管轄范圍比以信息主體為境內(nèi)自然人的界定原則涉及的范圍要大。

中國香港和澳門地區(qū)則采取不同的個人信息（在中國港澳地區(qū)法律文本中被稱為個人資料（Personal Data）域外管轄界定原則?？杉{入域外管轄范圍的個人資料包括兩種情形：第一，信息處理主體在境內(nèi)；第二，信息處理主體能通過設(shè)在境內(nèi)的服務(wù)器或服務(wù)供應(yīng)商執(zhí)行處理行為?？蓪⒌诙N情形進一步闡釋為：信息處理主體在境外，通過設(shè)在境內(nèi)的服務(wù)器或服務(wù)供應(yīng)商執(zhí)行處理行為。簡而言之，無論是處理個人信息的行為人在境內(nèi)、被處理的信息涉及境內(nèi)自然人，還是處理行為發(fā)生地涉及境內(nèi)的物理地址，只要三者有其一指向境內(nèi)，跨境的個人信息就可以劃入域外管轄的范圍。

（三）問責機制

歐盟采取風險為本的問責制。依據(jù)《通用數(shù)據(jù)保護條例》第24條，數(shù)據(jù)控制者必須主動采取各項技術(shù)及措施以確保循規(guī)守法；第25條規(guī)定了自定義（By Design）及默認（By Default）的隱私模式；第35條規(guī)定對維護自然人的權(quán)利和自由構(gòu)成較高風險的處理行為進行數(shù)據(jù)保護影響評估；第37條規(guī)定特種機構(gòu)必須指定數(shù)據(jù)保護官。

珠三角九市所在的中國大陸采取處理行為與安全風險為中心的問責制，重視制度、法規(guī)、教育、環(huán)境四大因素，致力于構(gòu)建各方參與個人信息保護的良好環(huán)境，規(guī)定國家機關(guān)處理的個人信息應(yīng)當在中華人民共和國境內(nèi)存儲，向境外提供個人信息應(yīng)至少符合以下程序：安全評估、個人信息保護認證、與境外接收方訂立合同且個人信息處理活動合規(guī)以及符合法律法規(guī)規(guī)定的其他條件。

中國香港地區(qū)基于私隱管理系統(tǒng)，通過視察、人事制度和評估來實施問責。具體而言，依據(jù)香港《個人資料（私隱）條例》第8條，視察對應(yīng)的政府部門或法定法團（Statutory Corporations）的資料使用者所使用的任何個人資料（中國大陸法律文本傾向使用術(shù)語“個人信息”）系統(tǒng)；設(shè)置“保障資料主任”（即數(shù)據(jù)保護官）；評估私隱安全與風險。

中國澳門地區(qū)基于處理行為問責，針對的是個人信息處理主體是否采取足夠的技術(shù)和組織措施來保護個人信息。依據(jù)澳門《個人資料保護法》第15條，“在考慮到已有的技術(shù)知識和因采用該技術(shù)所需成本的情況下，上述措施應(yīng)確保具有與資料處理所帶來的風險及所保護資料的性質(zhì)相適應(yīng)的安全程度”。其中，“成本”“技術(shù)與風險相適應(yīng)”是關(guān)鍵詞，而且“成本”是一個側(cè)重商業(yè)交往權(quán)的市場詞匯，專指利用技術(shù)處理個人資料的各種付出?？梢?，澳門《個人資料保護法》已充分考慮到市場、技術(shù)、安全三者之間的關(guān)系，而委托第三方處理個人信息、采取特別的安全措施以及制定行為守則也需要考量上述兩個關(guān)鍵詞。

2018年11月30日，公安部網(wǎng)絡(luò)安全保衛(wèi)局發(fā)布《互聯(lián)網(wǎng)個人信息安全保護指引（征求意見稿）》，將個人信息的處理行為明確為8個：收集、保存、應(yīng)用、刪除、第三方委托處理、共享和轉(zhuǎn)讓、公開披露以及應(yīng)急處置。個人信息的一個標準生命周期可以按照處理行為分為五個階段：第一階段是信息的收集，第二階段是信息的存儲、持有，第三階段是信息的使用、加工、傳輸、備份、恢復(fù)演練、應(yīng)急處置，第四階段是信息的委托第三方處理、共享和轉(zhuǎn)讓給第三方、特定范圍發(fā)布與傳播、公共范圍公開或披露，第五階段是信息的撤銷、刪除、遺忘。跨境個人信息在上述五個不同階段涉及不同的行為原則，而且與行為原則掛鉤的是個人信息出境合規(guī)與域外管轄范圍。

（一）個人信息出境行為的界定

依據(jù)《個人信息出境安全評估辦法（征求意見稿）》第2條，個人信息出境是指網(wǎng)絡(luò)運營者向境外提供在中華人民共和國境內(nèi)運營中收集的個人信息?！缎畔踩夹g(shù)數(shù)據(jù)出境安全評估指南（征求意見稿）》第3條第7款定義了數(shù)據(jù)出境，并在“注1”中列明了三種數(shù)據(jù)出境的情形：第一，向本國境內(nèi)，但不屬于本國司法管轄或未在境內(nèi)注冊的主體提供個人信息和重要數(shù)據(jù)；第二，數(shù)據(jù)未轉(zhuǎn)移存儲至本國以外的地方，但被境外的機構(gòu)、組織、個人訪問查看的（公開信息、網(wǎng)頁訪問除外）；第三，網(wǎng)絡(luò)運營者集團內(nèi)部數(shù)據(jù)由境內(nèi)轉(zhuǎn)移至境外，涉及其在境內(nèi)運營中收集和產(chǎn)生的個人信息與重要數(shù)據(jù)。這三種情形都是中國大陸互聯(lián)網(wǎng)企業(yè)在大灣區(qū)內(nèi)處理跨境流動個人信息的典型情形。因此，對阿里云個人信息政策進行個案式的樣本分析具有代表性意義。

（二）對個人信息出境處理行為的評估重點

從保障個人信息主體合法權(quán)益的有效性來看，對出境個人信息處理行為的評估重點應(yīng)落在《信息安全技術(shù)數(shù)據(jù)出境安全評估指南（征求意見稿）》第5條第2款第2項“個人信息屬性評估要點”（依個人信息的類型、數(shù)量、范圍、敏感程度和技術(shù)處理情況來評估）以及《個人信息出境安全評估辦法（征求意見稿）》第6條（網(wǎng)絡(luò)運營者或接收者與個人信息主體之間的合同條款是否能夠充分保障個人信息主體合法權(quán)益，合同是否有效執(zhí)行）、第13條（個人信息出境的目的、類型、保存時限，個人信息主體權(quán)益條款的受益人、網(wǎng)絡(luò)運營者或者接收者的賠償責任）和第15條（個人信息接收者更正、刪除義務(wù)和境外保存期限要求）。各類機構(gòu)不能將個人資料保護僅僅當成合規(guī)事宜，必須滿足公眾對隱私保護日益高漲的期待[ 7 ]。

（三）分階段評估個人信息出境的處理行為

2020年5月19日，臉書（Facebook）因觸犯隱私法規(guī)支付給加拿大競爭局（The Competition Bu？ reau）數(shù)百萬美元的和解費，該案件在風險與監(jiān)管寬嚴程度關(guān)系方面為我們提供了以下啟示：如果企業(yè)未能在個人信息或隱私政策中“精確描述其涉隱私的實踐行為”，就會給企業(yè)帶來額外的風險，繼而會被納入更嚴格的監(jiān)管[ 8 ]。同樣，作為出境個人信息的處理者，阿里云可以依據(jù)個人信息保護政策中處理個人信息行為的精確描述來判斷相關(guān)行為不合規(guī)的風險，并確定該如何進行相應(yīng)的監(jiān)管。為此，我們按個人信息生命周期的5個階段逐段評估阿里云個人信息出境的處理行為，以達到評估過程性風險的目的。

1.收集階段

阿里云按經(jīng)營地收集個人信息，存儲地在中國境內(nèi)，但法律文本中“中國境內(nèi)”不包括中國的港澳臺，僅指中國大陸地區(qū)，所以阿里云在大灣區(qū)的中國香港、澳門地區(qū)收集個人信息已經(jīng)出現(xiàn)個人信息出境場景。

相較于《中華人民共和國民法典》（以下簡稱《民法典》）第111條、《中華人民共和國個人信息保護法（草案二次審議稿）》以下簡稱（《個人信息保護法（草案二次審議稿）》）第4條個人信息的定義，阿里云政策第1條個人信息定義同樣以可識別和關(guān)聯(lián)為核心要素，采用“概括+列舉”結(jié)構(gòu)，但列舉部分涵蓋范圍較窄、現(xiàn)代科技特征非常突出。該定義列舉的個人信息包括基本信息（個人手機號碼、電子郵件等）、網(wǎng)絡(luò)身份標識信息（系統(tǒng)賬號、郵箱地址以及與前述有關(guān)的密碼、口令、密碼/口令保護答案等）、個人上網(wǎng)記錄信息（軟件使用記錄、點擊啟動記錄、網(wǎng)站瀏覽記錄、接入Wi-Fi賬號的 Sssid、MAC等）、個人常用設(shè)備信息（硬件型號、設(shè)備MAC地址、AliOS版本、軟件列表唯一設(shè)備識別碼（如IMEI/AliOS ID/UUID/IDFA/OPENUDID/ GUID、SIM卡IMSI信息）以及位置信息（行蹤軌跡、精準定位信息、經(jīng)緯度等）。

在阿里云政策的第1條第1款注冊賬號/會員環(huán)節(jié)，阿里云收集的個人信息至少包括賬戶名（亦稱“昵稱”）、密碼、個人手機號碼、電子郵箱；同時，以手機短信驗證碼或郵件驗證方式（即網(wǎng)絡(luò)身份標識信息）為企業(yè)審查的必備一環(huán)，確認是否本人注冊，這是依中華人民共和國法律法規(guī)要求進行的身份實名認證。除以手機、郵件來激活確認Ali？ OS賬號外，用戶還可以通過淘寶賬號、支付寶賬號等阿里關(guān)聯(lián)公司的賬號登錄激活A(yù)liOS。然而，淘寶賬號、支付寶賬號包含的主要是安全級別高、高度敏感的個人財務(wù)與支付信息，安全等級高于Ali？ OS賬號信息的安全等級，因此，在收集個人信息階段，阿里云可能存在未依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）第41、第42、第43條以及《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》分等區(qū)別對待賬戶信息的風險。

注冊AliOS賬號時，如果用戶補全個人信息，包括性別、出生年月日、居住地、民族、籍貫、本人的真實頭像，阿里云將提供“會員生日特權(quán)”等更個性化的會員服務(wù)。然而，個性化服務(wù)的增值不是很明顯，而且補全個人信息有違最小化原則。如果個人明示同意，被收集的個人信息（如本人的真實頭像）朝完全可識別、輕易可識別又邁進了一大步，為適用該政策的第1條第3款（基于特征標簽進行間接人群畫像并展示、推送產(chǎn)品或服務(wù)或廣告信息）留下方便之門，為擴大商業(yè)交往權(quán)埋下伏筆。而這種擴大商業(yè)交往權(quán)的個人信息處理行為模式是阿里云或者絕大部分市場化互聯(lián)網(wǎng)公司正在采用的模式。如果個人信息出境至澳門出現(xiàn)上述補全個人信息的情形，就違反了澳門《個人資料保護法》第33條第1款的規(guī)定，A酒店收集顧客的完整身份證編號案③就是先例。

2.存儲持有階段

歐盟《通用數(shù)據(jù)保護條例》和中國《網(wǎng)絡(luò)安全法》都秉持數(shù)據(jù)本地化存儲原則。依據(jù)香港《個人資料（私隱）條例》第2條第1款、澳門《個人資料保護法》第3條，香港和澳門堅持信息處理行為導(dǎo)向的數(shù)據(jù)可控原則，即本地區(qū)控制者能夠控制數(shù)據(jù)為原則。依據(jù)阿里云政策第7條，“在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息，存儲在中國境內(nèi)”，以下情形除外：法律法規(guī)有明確規(guī)定，用戶明確授權(quán)，用戶通過互聯(lián)網(wǎng)進行跨境交易等個人主動行為。由于其中的“中國境內(nèi)”不包括中國的港澳臺地區(qū)，因此，通過AliOS個人主動在大灣區(qū)跨境交易產(chǎn)生的個人信息可能存儲在境外，這部分個人信息在出境場景下會出現(xiàn)管轄權(quán)競合，適用法律時阿里云可依據(jù)中國大陸法規(guī)的域外管轄規(guī)定以及港澳法規(guī)中相關(guān)規(guī)定保護個人信息，確保用戶人格權(quán)。

3.使用傳輸應(yīng)急階段

涉及個人信息違規(guī)使用傳輸?shù)陌讣环ζ淅?。普華永道因處理員工個人信息缺少合法依據(jù)受到歐盟處罰，成為歐盟依據(jù)《通用數(shù)據(jù)保護條例》涉就業(yè)者個人信息的第一案[ 9 ]。2019年1月21日，法國數(shù)據(jù)保護監(jiān)管機構(gòu)（CNIL）根據(jù)《通用數(shù)據(jù)保護條例》對谷歌處以5 000萬歐元（約4億元人民幣）的罰款，理由是谷歌在處理個人用戶數(shù)據(jù)時存在缺乏透明度、用戶獲知信息不充分以及缺乏對個性化廣告的有效同意等問題，這是《通用數(shù)據(jù)保護條例》實施后數(shù)額最大的罰單[ 10 ]。

阿里云政策第2條第1款詳細解釋了阿里云如何利用Cookies技術(shù)自動收集“您訪問的頁面地址、您先前訪問的援引頁面的位址、您停留在頁面的時間、您的瀏覽環(huán)境以及顯示設(shè)定等”個人行為偏好信息。該款還規(guī)定，“我們可將此類信息用于我們的營銷和廣告服務(wù)”。這是一種未經(jīng)當事人明示或默示同意的直銷活動，也是為擴大商業(yè)交往權(quán)而對人格權(quán)的侵犯。個人信息出境至香港場景下，阿里云利用Cookies技術(shù)收集個人行為偏好信息并直接用于營銷構(gòu)成違規(guī)，因為香港《個人資料（私隱）條例》第35E條規(guī)定，“如無資料當事人同意，數(shù)據(jù)用戶不得將個人資料用于直接促銷”，第35F條還規(guī)定，“資料使用者首次將個人資料用于直接促銷時須通知資料當事人”。

針對阿里云信息傳輸過程中系統(tǒng)自動決策會“顯著影響您的合法權(quán)益”，而阿里云不能很好約束系統(tǒng)并進行救濟事宜。阿里云政策第5條第6款規(guī)定，“您有權(quán)要求我們做出解釋，我們也將在不侵害商業(yè)秘密或其他用戶權(quán)益、社會公共利益的前提下提供申訴方法”。這類“解釋”加有條件進行申訴的救濟方法不夠直接，達不到充分保障人格權(quán)的目的。與此形成鮮明對比的是澳門《個人資料保護法》第13條“不受自動化決定約束的權(quán)利”，該條第1款規(guī)定，“任何人有權(quán)不受對其權(quán)利義務(wù)范圍產(chǎn)生效力或?qū)ζ溆忻黠@影響并僅基于對資料的自動化處理而做出的決定的約束，且有關(guān)資料僅用作對該人人格的某些方面，尤其是專業(yè)能力、信譽、應(yīng)有的信任或其行為方面的評定”。個人信息出境至澳門場景下，阿里云須考慮此類合規(guī)情形。

4.委托共享披露階段

在個人信息轉(zhuǎn)移存儲地方面，阿里云涉及未經(jīng)用戶二次明示同意、自動轉(zhuǎn)移的違規(guī)情形，還涉及個人信息轉(zhuǎn)移至境外得不到對等或充分保護的可能情形。依據(jù)阿里云政策第4條第1款，用戶的個人信息“存儲于中國的服務(wù)器上，為了安全及備份的需要，AliOS可能將您的信息和資料儲存到AliOS關(guān)聯(lián)公司的服務(wù)器上”。該條款增加了存儲地不確定、脫離本地存儲原則的風險，違反中國大陸《個人信息保護法（草案二次審議稿）》第36條。

阿里云政策第3條第1款對“共享”做了排除式反向定義，即“我們不會與我們關(guān)聯(lián)公司、合作伙伴以外的公司、組織和個人共享您的個人信息”，共享行為很寬泛，而且共享對象也很寬泛、非特定，第3條第1款僅羅列了授權(quán)合作伙伴的類型。盡管第3條第1款第1項舉例詳細說明了信息脫敏與廣告精準推送的時序、邏輯關(guān)系，意在理順AliOS、第三方廣告商、用戶個人三方在商業(yè)交往權(quán)與人格權(quán)上的共贏關(guān)系，但是第3條第1款第2項羅列了4種保密和安全的例外情形，使個人信息在共享后很多情形下處于無保護狀態(tài)，而且該項提供技術(shù)措施（“這些支持包括提供技術(shù)基礎(chǔ)設(shè)施服務(wù)、分析我們服務(wù)的使用方式、衡量廣告和服務(wù)的有效性、提供客戶服務(wù)、支付便利或進行學術(shù)研究和調(diào)查”）時完全導(dǎo)向擴大商業(yè)交往權(quán)，有忽視人格權(quán)的嫌疑。因未限定特定共享行為、侵犯個人隱私權(quán)而遭起訴的前車之鑒是臉書（Facebook）侵權(quán)案。2008年5月30日，加拿大互聯(lián)網(wǎng)政策與公共利益科（CIPPIC）協(xié)同加拿大隱私專業(yè)辦公室（OPC）以允許第三方應(yīng)用程序訪問個人信息等3項違規(guī)事由起訴Facebook[ 11 ]。

個人信息在出境至香港地區(qū)的場景下，阿里云政策的這兩款內(nèi)容也可能面臨違規(guī)的情形。香港《個人資料（私隱）條例》第15條第2款規(guī)定，委托第三方處理須有足夠的保障措施并在監(jiān)察下執(zhí)行保障措施。第16條第1款規(guī)定，采用技術(shù)措施的目的在于控制處理信息的各種行為，最終保護人格權(quán)。第33條規(guī)定，禁止除在指明情況外將個人資料移轉(zhuǎn)至香港以外地方。

個人信息泄密事件頻發(fā)，企業(yè)披露跨境個人信息須合規(guī)。2020年《中國網(wǎng)絡(luò)誠信發(fā)展報告》顯示，28.5%的被調(diào)查者表示曾經(jīng)常遭遇個人信息泄露，而僅有14.8%的被調(diào)查者從未遭遇過個人信息泄露[ 12 ]。阿里云政策第3條第3款第2項規(guī)定，“當我們確定您出現(xiàn)違反法律法規(guī)或嚴重違反Ali？ OS相關(guān)協(xié)議規(guī)則的情況，或為保護AliOS及其關(guān)聯(lián)公司用戶或公眾的人身財產(chǎn)安全免遭侵害，我們可能依據(jù)法律法規(guī)或AliOS相關(guān)協(xié)議要求征得您同意的情況下披露關(guān)于您的個人信息，包括相關(guān)違規(guī)行為以及AliOS已對您采取的措施”。該項對違反法律法規(guī)的嚴重程度、披露范圍都未明確說明，而且征得用戶同意已然是“城下之盟”。該項反映出國家安全、關(guān)聯(lián)公司用戶或公眾的人身財產(chǎn)安全位階高于人格權(quán)的情形。個人信息在出境至香港地區(qū)的場景下，阿里云因用戶違法違規(guī)而征得用戶同意后披露個人信息，可能涉嫌違規(guī)。香港《個人資料（私隱）條例》第20條第5款b項將查閱權(quán)與披露掛鉤，規(guī)定“除非決定該資料使用者須依從該項查閱資料要求，否則不得要求將該資料向該法律程序的任何一方披露（不論是藉文件透露或其他方式披露）”。

阿里云政策第3條第4款規(guī)定，“出于維護您或其他個人的生命、財產(chǎn)等重大合法權(quán)益但又很難得到本人同意的”情形，屬于共享、轉(zhuǎn)讓、公開披露個人信息時事先征得授權(quán)同意的例外的6種情形之一。如果出于維護與用戶（如淘寶平臺上發(fā)生買賣糾紛的香港買家與淘寶店主）利益沖突的其他個人的財產(chǎn)權(quán)益，但又很難得到用戶本人同意的，阿里云不必事先征得用戶授權(quán)同意就可以公開披露其個人信息。無論在個人信息是否出境的場景下，該條款未充分考慮常見情形，未充分保護當事人個人信息，本身很難達成邏輯自洽，存在較大的違規(guī)風險。

5.刪除遺忘階段

針對刪除個人信息達到遺忘、保護的目的，阿里云政策第4條第2款與第3款之間出現(xiàn)權(quán)益指向上的沖突。第2款規(guī)定，“圍繞數(shù)據(jù)生命周期進行的數(shù)據(jù)安全管理體系，從組織建設(shè)、制度設(shè)計、人員管理、產(chǎn)品技術(shù)等方面多維度提升整個系統(tǒng)的安全性”，偏重個人信息安全，目的在于保護人格權(quán)。第3款規(guī)定，“我們只會在達成成本政策所述目的所需的期限內(nèi)保留您的個人信息，除非需要延長保留期或受到法律的允許”。該款不再以數(shù)據(jù)生命周期來管理個人信息，在生命周期尾端刪除相關(guān)的個人信息，而是以“達成成本政策所述目的所需的期限”為管理個人信息的周期?！秱€人信息保護法（草案二次審議稿）》第12條規(guī)定，“個人信息的保存期限應(yīng)當為實現(xiàn)處理目的所必要的最短時間”，此處的處理目的絕非“達成成本政策”，而是指個人信息主體明示同意信息處理者完成約定處理行為這一目的。然而，成本政策所述目的是以收回成本、達成收益為依歸，如果未收回成本，收支平衡就成為“需要延長保留期”的正當借口，所以即便個人信息流動至生命周期尾端，當事人的信息也可能無法被刪除、遺忘，侵害了當事人的被遺忘權(quán)。此外，該政策第5條第5款規(guī)定，“在您主動注銷賬戶之后，我們將停止為您提供產(chǎn)品或服務(wù)，根據(jù)適用法律的要求刪除您的個人信息，或使其匿名化處理。”阿里云本該以刪除操作處理生命周期尾端的個人信息，但該款提供了非法處理個人信息的另一種行為：先匿名化處理個人信息，繼而脫敏后繼續(xù)保留個人信息。個人信息在大灣區(qū)出境至澳門地區(qū)場景下，依據(jù)澳門《個人資料保護法》第40條第2款第2項，“行為人被通知后仍有下列情況之一者，科處相同刑罰：沒有進行刪除、全部或部分銷毀個人資料”，阿里云如未及時刪除澳門用戶的個人信息則構(gòu)成違規(guī)。

在個人信息跨境合規(guī)方面，大灣區(qū)的應(yīng)對策略在宏觀上布局清晰，為地方立法規(guī)制提供了創(chuàng)新空間，但行政色彩過濃。目前，大灣區(qū)方案的“兩翼”一是針對性地注重粵港澳司法協(xié)同與一體化治理，合理解決大灣區(qū)內(nèi)管轄權(quán)分配問題，規(guī)避司法不經(jīng)濟，減少多龍治水的治理成本，降低企業(yè)無統(tǒng)一框架可適從的違規(guī)風險；二是在微觀上以企業(yè)為主體的積極保護兼顧數(shù)據(jù)流動的平衡體系尚處萌芽狀態(tài)，尤其是互聯(lián)網(wǎng)企業(yè)的個人信息保護政策既未充分展現(xiàn)出跨境對等保護的基礎(chǔ)意識，也無對標世界主流數(shù)據(jù)跨境條例和跨國公司成熟的個人信息跨境規(guī)章的構(gòu)想。因此，大灣區(qū)個人信息出境的對策在宏觀上可追求立法、司法以及治理創(chuàng)新，弱化行政管束；微觀上需要“格式化”現(xiàn)有企業(yè)個人信息保護政策的勇氣，強化出境場景下對等保護個人信息的法理意識，將參照和對標的意識落實到企業(yè)個人信息保護政策的條款表述中。

（一）大灣區(qū)方案的宏觀布局

個人信息流動的法域、地區(qū)管理規(guī)則的不統(tǒng)一，已經(jīng)越來越成為發(fā)揮數(shù)據(jù)價值的障礙，影響企業(yè)商業(yè)交往權(quán)的擴張，參照歐盟GDPR建立單一數(shù)據(jù)市場的思路，在大灣區(qū)訂立統(tǒng)一的充分性（Ade？ quacy）保護標準，并以此標準構(gòu)建保護力度相近且契合粵港澳現(xiàn)實情境的個人信息跨境流動規(guī)則勢在必行[ 13 ]。2019年6月在日本大阪召開的G20峰會上，建立允許數(shù)據(jù)跨境自由流動的“數(shù)據(jù)流通圈”成為引人關(guān)注的提議。在大灣區(qū)建立類似的“數(shù)據(jù)流通圈”，能夠助力互聯(lián)網(wǎng)企業(yè)找到新的創(chuàng)新點和經(jīng)濟增長點，解決網(wǎng)絡(luò)空間涉及國家安全、商業(yè)交往、人權(quán)保護的國際社會課題。

GDPR代替1995年指令并擴張了后者的管轄范圍，旨在將原屬歐盟成員國的權(quán)力加以集中，進而為歐盟個人提供統(tǒng)一（Consistent）的隱私保護，達到隱私法律和諧統(tǒng)一、整個歐盟數(shù)據(jù)保護強度一致和跨境隱私保護和諧統(tǒng)一[ 14 ]。大灣區(qū)可以借鑒歐盟這種改分區(qū)自治為集中治理的擴張管轄、建立單一數(shù)據(jù)市場的思路，實現(xiàn)個人信息保護效力統(tǒng)一化。

保護個人信息偏向私益，而主權(quán)者通過制定數(shù)據(jù)本地化法對數(shù)據(jù)進行限制的原因絕非純粹基于公益，所以需要采用不同的立法路徑區(qū)分數(shù)據(jù)（個人和非個人信息）包含的公權(quán)和私權(quán)，避免私法利益被公法干預(yù)，基于統(tǒng)一的保護基礎(chǔ)創(chuàng)設(shè)管理權(quán)，銜接境外針對數(shù)據(jù)本地化的立法[ 15 ]。深圳是互聯(lián)網(wǎng)數(shù)據(jù)企業(yè)的“硅谷”，中國香港是數(shù)據(jù)金融服務(wù)的亞洲中心之一，所以大灣區(qū)既是數(shù)據(jù)服務(wù)的引擎，也是數(shù)據(jù)服務(wù)的消費市場。相比較而言，美國是數(shù)據(jù)服務(wù)的提供方，立法路徑上鼓勵數(shù)據(jù)（包括個人信息）跨境自由流動；歐盟是數(shù)據(jù)服務(wù)市場，立法路徑上圍繞2000年12月7日頒布的《歐盟基本權(quán)利憲章》第8條人人享有個人數(shù)據(jù)受保護的權(quán)利，傾向限制數(shù)據(jù)（包括個人信息）出境，注重數(shù)據(jù)的本地化存儲。大灣區(qū)數(shù)據(jù)服務(wù)“引擎+市場”的雙重屬性與歐美的單一數(shù)據(jù)服務(wù)屬性不同，大灣區(qū)內(nèi)出境個人信息的宏觀治理邏輯上可嘗試以國家安全為要、突出自然人的人格權(quán)（數(shù)據(jù)服務(wù)消費）、兼顧商業(yè)交往權(quán)（數(shù)據(jù)服務(wù)輸出）的路徑。因為改革開放以來“發(fā)展是硬道理”的指導(dǎo)方針凸顯了商業(yè)交往的重要性，但未對自然人的人格權(quán)予以足夠的保護，而且涉?zhèn)€人信息保護的法律《民法典》人格權(quán)編和《個人信息保護法（草案二次審議稿）》開始側(cè)重人權(quán)保護，之前中國大陸的數(shù)據(jù)法律法規(guī)都是以國家安全的合法性為立法路徑。

大灣區(qū)可依據(jù)2020年12月23日生效、國家發(fā)展和改革委員會等四部委發(fā)布的《關(guān)于加快構(gòu)建全國一體化大數(shù)據(jù)中心協(xié)同創(chuàng)新體系的指導(dǎo)意見》（以下簡稱《一體化意見》）進行宏觀布局，構(gòu)建大灣區(qū)跨境個人信息的一體化治理體系。按照《一體化意見》第二部分“發(fā)展目標”的規(guī)劃，到2025年，政府部門間、政企間數(shù)據(jù)壁壘進一步打破，數(shù)據(jù)資源流通活力明顯增強，大數(shù)據(jù)協(xié)同應(yīng)用效果凸顯，數(shù)據(jù)安全保障能力穩(wěn)步提升。

1.立法配置

大灣區(qū)個人信息跨境保護模式?jīng)Q定其立法配置。我國個人信息保護的立法現(xiàn)狀是“公法規(guī)范有余、私法規(guī)范不足”，以犧牲信息主體的權(quán)利為代價來確保絕對的信息自由流通，而且忽視了私法在個人信息保護法律體系的基礎(chǔ)性作用[ 16 ]。我國《個人信息保護法（草案二次審議稿）》第12條規(guī)定，“國家積極參與個人信息保護國際規(guī)則的制定，促進個人信息保護方面的國際交流與合作，推動與其他國家、地區(qū)、國際組織之間的個人信息保護規(guī)則、標準等的互認?！币虼?，大灣區(qū)可模仿歐盟建立單一體制的數(shù)據(jù)監(jiān)管市場，鞏固國家主權(quán)與國家安全的緊密聯(lián)系，強化港澳作為境外不同法域但屬于中國主權(quán)一部分，在個人信息風險防控上以風險等級區(qū)分涉國家安全的個人信息并進行專門監(jiān)控，其建構(gòu)進路是加強“一帶一路”倡議在沿線國家進入大灣區(qū)增大其商業(yè)交往權(quán)中的作用，同時利用“東盟+3（中、日、韓）”機制，發(fā)揮中國在《東盟個人數(shù)據(jù)保護框架》松散架構(gòu)內(nèi)的軟性影響力，充分利用《全球數(shù)據(jù)安全倡議》，主導(dǎo)制定并細化大灣區(qū)區(qū)域性數(shù)字治理規(guī)則。

構(gòu)建以《中華人民共和國個人信息保護法》（以未來生效的法律為準，目前仍是草案二次審議稿）為核心框架的個人信息保護體系，對侵害敏感個人信息的行為可配置更高強度的處罰規(guī)則，增設(shè)個人信息侵權(quán)領(lǐng)域的集團訴訟條款[ 17 ]。在大灣區(qū)跨境數(shù)據(jù)一體化治理過程中，需提供各國通過國際法維護本國及其企業(yè)海外利益的規(guī)則體系和申訴機制。法治與市場規(guī)則三地協(xié)同推進，補齊短板?；浉郯娜胤ㄖ嗡降木獍l(fā)展有助于促進粵港澳市場規(guī)則的對接，營造一體化的法治營商環(huán)境，減少大灣區(qū)內(nèi)部的制度壁壘[ 18 ]。

2.管轄權(quán)競合的解決進路

利用制度設(shè)計減少互聯(lián)網(wǎng)企業(yè)處理出境個人信息違規(guī)案件被拖入相對復(fù)雜的粵港澳管轄權(quán)競合情形，以節(jié)約司法資源。同一事項同時受粵港澳不同沖突法的規(guī)范或調(diào)整，可以參照爭議受兩個不同國際條約或協(xié)議調(diào)整的情形來進行制度設(shè)計?！吨腥A人民共和國與東南亞國家聯(lián)盟全面經(jīng)濟合作框架協(xié)議協(xié)定》和WTO規(guī)則對同一事項都可以調(diào)整之情形，以及爭議既受《北美自由貿(mào)易協(xié)定》（NAFTA）的規(guī)制又受到《關(guān)稅及貿(mào)易總協(xié)定》（GATT）的調(diào)整，可以通過設(shè)置“當事方明示管轄權(quán)的方式”給予爭端解決程序明確而固定的管轄依據(jù)，或者“對爭議類型的不同特征和主體性質(zhì)”進行細分后選擇一類或幾類設(shè)置專屬管轄權(quán)[ 19 ]。在大灣區(qū)就出境個人信息設(shè)置明示管轄權(quán)和專屬管轄權(quán)，是可行的解決管轄權(quán)競合的進路。

3.標準的設(shè)置

建立大灣區(qū)一體化的個人信息安全流通標準，實現(xiàn)從國內(nèi)立法到國際標準的協(xié)同，充分考慮香港、澳門地區(qū)個人信息保護法律法規(guī)體系化建設(shè)比較完備的現(xiàn)實，完善珠三角九市的個人信息跨境流動的治理制度，確保大灣區(qū)個人信息按照統(tǒng)一標準流動時國家安全、商業(yè)發(fā)展、人格尊嚴三者兼顧。建立大灣區(qū)一體化流通標準的進路是政策上梳理跨境流通機制，減少跨境流通制度的阻礙，進而嘗試粵港澳個人信息保護法規(guī)、政策的調(diào)適與對接，按個人信息生命周期分段打通信息流通體系，實現(xiàn)全周期的統(tǒng)一流通標準。

4.專門崗位的設(shè)置

大灣區(qū)方案的“一翼”是嘗試創(chuàng)立粵港澳三地數(shù)據(jù)保護機構(gòu)之間的司法協(xié)同機制，而協(xié)同事務(wù)的執(zhí)行人是數(shù)據(jù)保護官?！霸O(shè)立隱私保護的專門職位”是大灣區(qū)建立統(tǒng)一數(shù)據(jù)標準的重要一環(huán)[ 20 ]。如果中國大陸在“十四五”規(guī)劃期間能夠一步到位設(shè)立職權(quán)統(tǒng)一的數(shù)據(jù)保護官（Data Protection Com？ missioner）將是理想的崗位配置，即便達不到理想配置模式，可在大灣區(qū)先行先試設(shè)置職權(quán)分散的數(shù)個數(shù)據(jù)保護崗位。依據(jù)《互聯(lián)網(wǎng)個人信息安全保護指南》第4條第3款設(shè)立的網(wǎng)絡(luò)管理員和安全管理員可以與香港個人資料私隱專員公署（PCPD）的私隱專員、澳門個人資料保護辦公室（葡文GP？ DP，英文OPDP）主任就大灣區(qū)跨境個人信息保護的司法問題進行協(xié)同，與所涉及的互聯(lián)網(wǎng)企業(yè)談判④。另外，可以增設(shè)審查管理員崗位，加大數(shù)據(jù)合規(guī)的審查力度，有利于保障國家安全，而且可依據(jù)《互聯(lián)網(wǎng)個人信息安全保護指南》第4條第3款第1項c目以及第4條第3款第2項b目將該崗位設(shè)為專職崗，職能與網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、數(shù)據(jù)操作員和安全管理員相同。

5.技術(shù)措施的支持

《網(wǎng)絡(luò)安全法》第21條第2、第3、第4款分別規(guī)定，采取防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施，采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施。可見，《網(wǎng)絡(luò)安全法》旗幟鮮明地將技術(shù)措施作為安保義務(wù)的一部分。同時，《公安機關(guān)互聯(lián)網(wǎng)安全監(jiān)督檢查規(guī)定》也明確以監(jiān)督檢查的職責要求被檢查單位采取技術(shù)措施。對阿里云等互聯(lián)網(wǎng)企業(yè)而言，數(shù)據(jù)畫像的匿名化技術(shù)（Pseudonymisation in Profiling）是必備的基礎(chǔ)技術(shù)，即將個人信息的不同部分加密轉(zhuǎn)譯（Encryption to Translate）為特定的人工識別符（Unique Artificial Identifiers）并分拆存儲[ 21 ]。東盟10國已經(jīng)統(tǒng)一要求企業(yè)具備匿名化技術(shù)。2015年第15次東盟電信與信息技術(shù)部長會議（TEL？ MIN）采納的《東盟個人數(shù)據(jù)保護框架》的第6條g款要求企業(yè)掌握匿名化的技術(shù)，切斷個人數(shù)據(jù)與特定個人的關(guān)聯(lián)。

有限度的數(shù)據(jù)本地化存儲，同時對跨境的關(guān)鍵數(shù)據(jù)保留國家層面的審核權(quán)，已成為當前國際經(jīng)貿(mào)規(guī)則的共識，也是中國加入《全面與進步跨太平洋伙伴關(guān)系協(xié)定》（CPTPP）的明確目標[ 22 ]。

6.明確相關(guān)主體的權(quán)責

相關(guān)主體主要指個人信息主體、控制者、處理者以及接收者。在個人信息生命周期的不同階段，各個主體的身份會有部分重疊。在大灣區(qū)一體化個人信息治理體系下，個人信息是數(shù)據(jù)流通中的要素，大灣區(qū)企業(yè)應(yīng)按個人信息生命周期來評估保護治理主體的權(quán)責、保護成效等重要事項。個人信息出境會影響個人信息主體對個人信息的控制，因而規(guī)定個人信息主體在個人信息出境場景下享有的權(quán)利，既可以緩解由于出境引發(fā)的個人信息主體對個人信息安全的擔憂，也是實現(xiàn)個人信息出境安全的重要手段[ 23 ]。此外，個人信息監(jiān)管者、控制者和主體三者中，個人信息主體處于絕對弱勢地位，而且信息極不對稱，只有在法律法規(guī)中明確個人信息主體的權(quán)利，才能避免個人信息治理體系成為行政管理的分支，更有可能改變或最小化信息不對稱的現(xiàn)實局面[ 24 ]。

在該治理體系下，可將信息處理主體區(qū)分為公共主體和市場主體并以不同要求區(qū)別對待。公共主體處理信息的目的在于維護公共利益，而市場主體的處理目的在于維護主體的經(jīng)濟利益，公共主體處理信息的要求低于市場主體[ 25 ]。從增強互聯(lián)網(wǎng)信息行業(yè)自律、規(guī)則設(shè)計上加大信息處理市場主體的侵權(quán)成本，規(guī)范市場主體處理個人信息的行為與保護私權(quán)的責任。技術(shù)和商業(yè)的結(jié)合具備天然的逐利性，只有以明確權(quán)利保護和行為自由的邊界、增加侵害個人信息的成本為重點來完善規(guī)則設(shè)計，才能夠促使信息從業(yè)者認識到個人信息保護的重要性，逐步實現(xiàn)行業(yè)自律和自我管理[ 16 ]。

響應(yīng)習近平主席所倡導(dǎo)的“豐富開放內(nèi)涵，提高開放水平”，大灣區(qū)需要就開放內(nèi)容進行轉(zhuǎn)型升級，從開放商品流動和要素流動變?yōu)殚_放制度[ 26 ]。可成立大灣區(qū)政府協(xié)會等多種治理組織協(xié)調(diào)共治，打通區(qū)域間的物理、政策隔閡，使資源自由便利流動，使個人信息跨區(qū)域流動得到對應(yīng)治理、對等保護[ 27 ]。

7.個人信息權(quán)益的救濟

在大灣區(qū)個人信息保護一體化治理體系中，以民事機制為主、行政手段和刑事處罰為補充的個人信息救濟機制，有利于通過侵權(quán)責任等私法規(guī)定對個人信息遭受侵害的當事人的損害進行彌補[ 16 ]。

美國擴展隱私權(quán)外延，相繼衍生出數(shù)據(jù)隱私權(quán)、網(wǎng)絡(luò)隱私權(quán)。美國這種基于隱私權(quán)的保護模式不適合中國的國情，中國確立了基于一般權(quán)利的保護模式[ 28 ]。由于間接保護模式和法益保護模式都存在缺陷，在我國能更有效應(yīng)對個人信息侵害行為、兼顧科技和商業(yè)理性發(fā)展的模式是權(quán)利保護模式，該模式可以基于一般人格權(quán)來保護處于弱勢地位的個人信息主體[ 16 ]。

個人信息權(quán)的制度和規(guī)則必須處理好個人信息權(quán)利保護、促進信息自由流通和維護公共利益三者之間的關(guān)系，探究個人信息權(quán)的特征（絕對性或支配性）、內(nèi)容（具體的權(quán)能或子權(quán)利）、行使（權(quán)利界限以及需要平衡的不同利益）、救濟（責任方式、歸責原則和損害賠償）以及相關(guān)配套措施（訴訟方式、程序銜接）等一系列微觀層面的問題，為構(gòu)建個人信息民法保護的中國模式奠定基礎(chǔ)。

（二）企業(yè)的微觀對標

由于企業(yè)的目的及價值的預(yù)設(shè)失當，阿里云在制定其個人信息保護政策的個別條款時，將企業(yè)規(guī)模效益凌駕于消費者隱私保護權(quán)益之上，由此需要在規(guī)范上調(diào)整價值排序，用義務(wù)遏制平臺的信息擴張沖動，細化、厘清其信息規(guī)制義務(wù)[ 29 ]。阿里云的新版政策可以從企業(yè)義務(wù)和用戶權(quán)利角度重劃個人信息保護的價值觀。

新的阿里云政策在結(jié)構(gòu)編排和條款設(shè)置上可參考現(xiàn)代制造業(yè)翹楚CORNING公司的《全球數(shù)據(jù)保護政策》。成立于1851年的CORNING公司在大灣區(qū)的廣州、香港、澳門都設(shè)有辦公場所，大中華區(qū)的總部設(shè)在上海。其《全球數(shù)據(jù)保護政策》的核心框架是GDPR的國際個人數(shù)據(jù)傳輸企業(yè)約束規(guī)則（Binding Corporate Rules），將法律依據(jù)與公司義務(wù)并行編排，明示個人信息處理原則與主體權(quán)利，細分了CORNING集團內(nèi)部或外部的個人信息傳輸，以GDPR的充分保護、對等保護來處理出境個人信息的管轄權(quán)競合事項。但從事光通信、顯示科技、環(huán)境科技、生命科學和特殊材料的CORNING公司所處理的個人信息的類型、數(shù)量、范圍較窄、較少，無法與阿里云利用自動化決策處理信息的寬泛范圍、海量規(guī)模相比。此外，《全球數(shù)據(jù)保護政策》與GDPR一樣適用于數(shù)據(jù)服務(wù)消費市場，而非服務(wù)提供方。阿里云應(yīng)調(diào)整《全球數(shù)據(jù)保護政策》中偏嚴格保護、不利于數(shù)據(jù)流動、限制商業(yè)交往的條款表述。在條款內(nèi)容的表述上，阿里云可參考2021年1月1日生效的世界第二大互聯(lián)網(wǎng)企業(yè)亞馬遜的《數(shù)據(jù)保護政策》，其優(yōu)點在于圍繞個人信息處理行為和處理原則來表述，但缺點也顯而易見，條款內(nèi)容表述太粗，而且極少指涉?zhèn)€人信息出境場景，似乎默認個人信息全球跨境自由流通，有拔高跨國商業(yè)交往權(quán)之嫌。

在新冠肺炎疫情期間，一方面，個人信息處理處于高頻狀態(tài)，數(shù)字經(jīng)濟在疫情期間高速發(fā)展；另一方面，個人信息保護相對處于薄弱的階段。在后疫情時代，個人信息保護的法治環(huán)境會漸趨嚴苛，歐盟的數(shù)據(jù)跨境流動規(guī)則的限制流動模式或防守模式反映了全球日益嚴苛的個人信息保護環(huán)境，“數(shù)據(jù)承載的隱私信息保護模式、路徑以及力度都存在著顯著差異”，進一步導(dǎo)致了法律的割據(jù)狀態(tài)[ 15 ]。在以數(shù)字經(jīng)濟拉動內(nèi)需、推動國內(nèi)國際雙循環(huán)的今天，針對大灣區(qū)數(shù)據(jù)跨境流動中的個人信息保護，探索基于區(qū)域共同體的個人信息跨境傳輸法律規(guī)則，建立大灣區(qū)跨境個人信息的一體化治理體系是中國的應(yīng)然目標。以習近平同志為核心的黨中央提出的總體國家安全觀、黨的十九屆五中全會關(guān)于“堅定不移建設(shè)數(shù)字中國”的要求以及國務(wù)院《促進大數(shù)據(jù)發(fā)展行動綱要》從宏觀上為粵港澳大灣區(qū)建立一體化個人信息保護與治理體系提供了政策指引。數(shù)據(jù)安全事件破壞數(shù)據(jù)、系統(tǒng)和網(wǎng)絡(luò)的保密性、完整性和可用性，損害政府、企業(yè)和個人權(quán)益[ 30 ]。維護國家安全、商業(yè)交往權(quán)和人格權(quán)客觀上呼喚大灣區(qū)創(chuàng)新個人信息保護與治理體系。

另外，管轄權(quán)競合下的涉?zhèn)€人信息保護的準據(jù)法適用應(yīng)該納入阿里云等我國世界級互聯(lián)網(wǎng)企業(yè)的政策考量范圍。大灣區(qū)內(nèi)所涉的管轄權(quán)競合以粵港澳就某一連結(jié)點重復(fù)性管轄為主，平行管轄較少出現(xiàn)。在網(wǎng)絡(luò)空間領(lǐng)域，中國及其大型互聯(lián)網(wǎng)企業(yè)已經(jīng)是優(yōu)質(zhì)數(shù)據(jù)服務(wù)具有競爭優(yōu)勢的提供方，倘若企業(yè)的個人信息保護政策在文本起草時未考量個人信息出境而出現(xiàn)的管轄權(quán)競合場景，那么以企業(yè)合規(guī)來保護人格權(quán)益就好比水中月鏡中花，企業(yè)助力國家成為數(shù)據(jù)強國也缺乏法理支撐。中國的個人信息保護法律法規(guī)尚處于草案階段的1.0版時期，而互聯(lián)網(wǎng)企業(yè)的個人信息保護政策還達不到1.0版，但樹立“參照”“對標”意識并落實到企業(yè)政策的文本制定上將有助于企業(yè)政策配合國家法律快速升級為2.0版。

注釋：

①《數(shù)字市場法（提案）》和《數(shù)字服務(wù)法（提案）》于2020年12月15日被歐盟委員會（European Commission）采納，是歐盟建立單一數(shù)據(jù)市場的系列立法舉措中最重要的兩部提案，參見https：//ec.europa.eu/info/sites/default/files/pro？ posal-regulation-single-market-digital-services-digitalservices-act_en.pdf和https：//ec.europa.eu/digital-singlemarket/en/news/proposal-regulation-european-parliamentand-council-single-market-digital-services-digital（最后訪問于2021年5月30日）。依據(jù)旨在追求市場平等地位、保護個人隱私及反壟斷的《數(shù)字市場法（提案）》對“看門人（Gatekeeper）”的定義，阿里云完全符合“看門人”的規(guī)模和地位這兩重條件，也符合“核心平臺”5種類型中的3種，即某些信息服務(wù)、操作系統(tǒng)和在線中介服務(wù)。而“看門人”需要承擔更大的保護個人信息等多重義務(wù)。這兩部提案各自的影響評估報告全文參見https：//digitalstrategy.ec.europa.eu/en/library/impact-assessment-digitalmarkets- act和https：//digital- strategy.ec.europa.eu/en/li？ brary/impact-assessment-digital-services-act（最后訪問于2021年5月30日）。

②這11部法律包括2017年6月1日施行的《網(wǎng)絡(luò)安全法》、2020年10月1日施行的國家標準《信息安全技術(shù)個人信息安全規(guī)范》、2021年1月1日施行的《民法典》人格權(quán)編、2021年9月1日將施行的《數(shù)據(jù)安全法》以及2017年4月11日發(fā)布的《個人信息和重要數(shù)據(jù)出境安全評估辦法

（征求意見稿）》、2017年8月30日發(fā)布的國家標準《信息安全技術(shù)數(shù)據(jù)出境安全評估指南（草案）》、2018年11月發(fā)布的國家標準《信息安全技術(shù)數(shù)據(jù)出境安全評估指南

（征求意見稿）》、2019年4月10日發(fā)布的《互聯(lián)網(wǎng)個人信息安全保護指南》、2019年6月13日發(fā)布的《個人信息出境安全評估辦法（征求意見稿）》、2021年4月29日發(fā)布的《個人信息保護法（草案二次審議稿）》以及2020年7月15日發(fā)布的地方法規(guī)《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例（征求意見稿）》?！渡钲诮?jīng)濟特區(qū)數(shù)據(jù)條例（征求意見稿）》關(guān)于個人信息保護部分頗具前瞻性，迎合了“十四五”規(guī)劃和二〇三五年遠景目標中的數(shù)字化發(fā)展戰(zhàn)略，明確提出自然人對個人信息擁有數(shù)據(jù)權(quán)，并規(guī)定了相應(yīng)保護規(guī)則。

③A酒店收集顧客的完整身份證編號案，中國澳門個人資料保護辦公室（2019）立案編號0111/2019/IP。案情摘要：顧客到A酒店用膳，結(jié)賬時為了享用長者半價優(yōu)惠的政策，應(yīng)酒店職員要求出示身份證，但在職員未告知且未取得其同意的情況下，在結(jié)賬單據(jù)出現(xiàn)顧客的姓名、完整身份證編號以及出生日期。A酒店被澳門個人資料保護辦公室判定違反適度原則，被處以5 000澳元罰款。

④參見香港個人資料私隱專員公署官網(wǎng)https：//www.pcpd. org.hk/和澳門個人資料保護辦公室官網(wǎng)https：//www.gp？ dp.gov.mo/，最后訪問于2021年5月28日。

參考文獻：

[1]中共中央關(guān)于制定國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和二〇三五年遠景目標的建議[EB/OL].（2020-11-03）[2021-03-08].http：//www.xinhuanet.com/politics/2020-11/03/c_1126693293.htm.

[2]時明濤.大數(shù)據(jù)時代個人信息保護的困境與出路——基于當前研究現(xiàn)狀的評論與反思[J].科技與法律，2020（5）：66-74.

[3]螞蟻集團.以整改為革新契機，更加堅定服務(wù)小微[EB/ OL].（2021-04-12）[2021-05-05].https：//mp.weixin.qq.com/s/fbmDCg4eyEEhiNh3OGL1zg.

[4]上海社會科學院互聯(lián)網(wǎng)研究中心.全球數(shù)據(jù)跨境流動政策與中國戰(zhàn)略研究報告[EB/OL].（2019-08-28）[2021-02-16].https：//www.secrss.com/articles/13274.

[5]李建新.兩岸四地的個人信息保護與行政信息公開[J].法學，2013（7）：95-104.

[6]W GREGORY VOSS.Cross-border data flows，the GDPR，and data governance[J].Washington law review，2020（3）：485-532.

[7]THE PRIVACY COMMISSIONER FOR PERSONAL DA？ TA，HONG KONG.What is privacy management programme[EB/OL].[2021- 05- 19].https：//www.pcpd.org.hk/pmp/pmp. html.

[8]BERNICE KARN，CHRIS HERSH，MARCO CIARLARI？ ELLO.Facebook’s multi-million dollar settlement with the commissioner of competition increases the risks faced by or？ ganizations for non-compliance with privacy laws[EB/OL].（2020-05-26）[2021-05-27].https：//cassels.com/？export= pdf&post_id=11561&force.

[9]涉及員工數(shù)據(jù)違規(guī)行為GDPR首罰：普華永道被罰15萬歐元[EB/OL].（2019-08-28）[2021-05-06].https：//www.se？ crss.com/articles/13277，

[10]歐盟GDPR新政后開出最大罰單：罰款谷歌5000萬歐元[EB/OL].（2019-01-25）[2021-05-06].https：//www.so？ hu.com/a/291499957_100191017.

[11]STEVE COUGHLAN，ROBERT J CURRIE，HUGH M KINDRED，et al. Law beyond borders：extraterritorial ju？ risdiction in an age of globalization[M].Toronto：Irvin Law，2014：230.

[12]《中國網(wǎng)絡(luò)誠信發(fā)展報告》發(fā)布[EB/OL].（2020-12-08）[2021- 05- 06].https：//politics.gmw.cn/2020- 12/08/conten t_34440665.htm.

[13]孫軍.企業(yè)敏感檔案跨境管理的合規(guī)風險[J].檔案學研究，2021（1）：116-120.

[14]SANWOO LEE.A Study on the extraterritorial application of the general data protection regulation with a focus on computing[D].Beijing：China University of Political Science and Law，2018.

[15]田旭.網(wǎng)絡(luò)空間中個人數(shù)據(jù)跨境傳輸法律規(guī)則研究[D].上海：華東政法大學，2020.

[16]王成.個人信息民法保護的模式選擇[J].中國社會科學，2019（6）：124-146，207.

[17]王淼.數(shù)字經(jīng)濟發(fā)展的法律規(guī)制——研討會專家觀點綜述[J].中國流通經(jīng)濟，2020（12）：114-124.

[18]石佑啟，陳可翔.粵港澳大灣區(qū)治理創(chuàng)新的法治進路[J].中國社會科學，2019（11）：64-85，205-206.

[19]顧益民.WTO與CAFTA爭端解決管轄競合之法理與對策[J].理論界，2011（12）：40-42.

[20]涂子沛.建設(shè)粵港澳大灣區(qū)應(yīng)建立統(tǒng)一數(shù)據(jù)標準[EB/ OL].（2020-06-11）[2021-03-10].http：//www.pprd.org.cn/ fzzk/202006/t20200611_520097.htm.

[21]TSE GAN THIO.Data and privacy protection in ASEAN：what does it mean for businesses in the region？[EB/OL].[2020- 09- 04].https：//www2.deloitte.com/content/dam/De？ loitte/sg/Documents/risk/sea-risk-data-privacy-in-asean.pdf.

[22]馮碩.TikTok被禁中的數(shù)據(jù)博弈與法律回應(yīng)[J].東方法學，2021（1）：74-89.

[23]劉新宇.數(shù)據(jù)保護合規(guī)指引與規(guī)則解析[M].北京：中國法制出版社，2020：177.

[24]ORLA LYNSKEY.The foundations of EU data protection law[M].Oxford：Oxford University Press，2015：77.

[25]羅培新.數(shù)據(jù)立法的基本范疇：數(shù)據(jù)權(quán)屬及數(shù)據(jù)處理的頭部、中部及尾部規(guī)則[EB/OL].（2021-04-29）[2021-04-29].https：//mp.weixin.qq.com/s？src=11&timestamp=16196 71689&ver=3037&signature=wk2- Of*m3m8xqzHOEuLg 0Sz*0jAI6YsH9SJeVvvEH90TXloMKyYanbWPbT8t4Dhe*hZJc9XQtbpNtK*AqQUPE2wvJxlZ*vEw9ZkgmC9J14Lra 9UHXR2zRjQ y8W3grFT&new=1.

[26]習近平.在第二屆世界互聯(lián)網(wǎng)大會開幕式上的講話[N].人民日報，2015-12-17（002）.

[27]談蕭，董斯?jié)}.粵港澳大灣區(qū)環(huán)境司法協(xié)作研究[J].法治論壇，2020（4）：127-140.

[28]FRANZISKA BOEHM.A comparison between US and EU data protection legislation for law enforcement[R].Study for the LIBE committee，2015：65-66.

[29]莫林.共享平臺的信息規(guī)制義務(wù)[J].科技與法律，2019（5）：68-75.

[30]OECD.Digital economy outlook 2020[EB/OL].（2020-11-27）[2021-05-26].https：//www.oecd.org/digital/oecd-digi？ tal-economy-outlook-2020-bb167041-en.htm.

責任編輯：方程

Alibaba Cloud’s Personal Information Cross-Border Compliance in GBA：A Perspective of Jurisdiction Concurrence

YE Xiang1，2

（1.Law School，East China University of Political Science and Law，Shanghai 200042，China；2.School of Foreign Languages，Shandong University of Technology，Zibo 255049，Shandong，China）

Abstract：The Guangdong-Hong Kong-Macau Greater Bay Area（GBA）is an ideal sandbox for corporate compliance and jurisdictional concurrence. The author conducts a case study on the privacy policy of AliOS，an intelligent terminal operating system of Alibaba Cloud Computing Co.，Ltd. According to information processing in the five stages of personal information life cycle（collection，storage，use，delegation，disclosure，deletion，etc.），the author investigates whether AliOS privacy policy of the Chinese largest digital enterprise that collects the most personal information in China，goes in line with the laws，regulations and relevant standards of Guangdong，Hong Kong and Macao，and the author also looks into jurisdictional concurrence of crossborder personal information flows. It is found that Ali Cloud’s value orientation of protecting personal information is at odds with the purposes of laws，regulations and standards related to the personal information protection in Guangdong，Hong Kong and Macao. Whether the presupposition of the purpose and value of a company’s privacy policy is lawful has a great impact on the compliance of this company’s personal information processing. However，Ali Cloud’s presupposition of the purpose and value of its privacy policy is not rigorous enough and some of its provisions put Ali Cloud’s economic interests above rights and interests of consumers，so it is urgent to adjust Ali Cloud’s value orientation entailed in its privacy policy and put the company under new regulation. Besides，clearly defined obligations can be used as a regulating means to curbing Ali Cloud’s over-expansion on collecting personal information. In addition，as for the cross-border personal information，laws，regulations and standards of Guangdong，Hong Kong and Macao respectively set different conditions for initiating extraterritorial jurisdiction，so jurisdiction concurrence may come up in case of the superposition of differential extraterritorial jurisdiction and intra-territorial jurisdiction in GBA，which highlights the lax formulation of AliOS privacy policy. Such lax design results from Ali Cloud’s limited and simple setting on personal information flows within Chinese Mainland border，with no preset design on jurisdiction concurrence of crossborder personal information. What’s more，the author also proposes the GBA Plan as a Chinese Model tackling jurisdiction concurrence，which takes the judicial coordination and integrated governance of Guangdong，Hong Kong and Macao as the Dual Wings and integrates the evaluation and audit mechanism of network security and personal information to prevent loopholes and legal risks in AliOS privacy policy，which is formulated from the micro view of Internet companies.

Key words：judicial coordination；cross-border compliance；jurisdiction concurrence；information processing；personal in？ formation life cycle