吳帝標(biāo)

（浙江大學(xué)外國語言文化與國際交流學(xué)院 浙江杭州 310028）

一、兩大體系對立與統(tǒng)一 ——GDPR與CBPR

（一）對立中的兩大體系：價值取向與問責(zé)方式。對于數(shù)據(jù)流動，美歐體系存在著自由流動和保護(hù)隱私的規(guī)制范式。歐盟人權(quán)公約規(guī)定了“隱私及家庭生活受到尊重的權(quán)利”，這也構(gòu)成歐盟在跨境數(shù)據(jù)流動規(guī)制上普遍嚴(yán)格的價值觀。而GDPR中的個人信息保護(hù)，更傾向于狹隘保護(hù)隱私權(quán)。與歐盟將數(shù)據(jù)權(quán)作為基本人權(quán)，并通過硬法保護(hù)不同，CBPR認(rèn)為過度立法會限制貿(mào)易發(fā)展，因而CBPR奉行以市場為主導(dǎo)，以行業(yè)自律為中心的個人數(shù)據(jù)保護(hù)政策。

兩大體系對跨境數(shù)據(jù)流動采用不同的規(guī)制方法，GDPR是以地理區(qū)域為基準(zhǔn)的充分性保護(hù)原則，進(jìn)行事前防范；CBPR則是以組織機構(gòu)為基準(zhǔn)，對違規(guī)行為事后問責(zé)。歐盟的規(guī)制途徑對于歐盟內(nèi)部和外部的數(shù)據(jù)流動采用了統(tǒng)一標(biāo)準(zhǔn)，只要同歐盟公民的個人數(shù)據(jù)發(fā)生關(guān)聯(lián)，GDPR均有權(quán)利加以管制；GDPR限制數(shù)據(jù)傳輸?shù)降乩韺用嫔系臍W盟外部，要求提供充分性的數(shù)據(jù)保護(hù)。非歐盟國家可以選擇：1.制定與GDPR同等的限制；2.接受約束性公司規(guī)則（BCRs）；3.在特定的商業(yè)交易中使用標(biāo)準(zhǔn)合同條款（SCC）[2]。這樣的數(shù)據(jù)隱私政策會對全球數(shù)字和服務(wù)貿(mào)易帶來阻力，增加合規(guī)成本以及公司運營成本，進(jìn)而抑制企業(yè)的創(chuàng)新能力。CBPR在促進(jìn)數(shù)據(jù)流動的目的下，采用行業(yè)自律的辦法。要求企業(yè)執(zhí)行四步走確保數(shù)據(jù)安全：企業(yè)內(nèi)部評估→代理機構(gòu)評估→認(rèn)證符合標(biāo)準(zhǔn)→隱私保護(hù)機構(gòu)問責(zé)處罰（違反相關(guān)條款的企業(yè)）[3]；在實踐中，CBPR認(rèn)證實際上是一個企業(yè)白名單性質(zhì)的做法。

（二）統(tǒng)一中的兩大體系：妥協(xié)與融合。實際的數(shù)據(jù)流動中，兩種規(guī)制模式已經(jīng)呈現(xiàn)出相互融合、相互妥協(xié)的趨勢。2017年，歐盟與APEC在越南探討了體系合作的可能。這種融合見于歐盟GDPR第五章45條“第三國提供充分保護(hù)”基礎(chǔ)上將標(biāo)準(zhǔn)合同等保護(hù)措施作為另一選擇，可以一窺CDPR對問責(zé)制的引入傾向。此外，加拿大等CBPR成員國也在行業(yè)自律的基礎(chǔ)上強化了國際監(jiān)管。美國也與歐盟先后簽訂了“安全港協(xié)議”與“隱私盾協(xié)議”。

歐盟事前防范的規(guī)制方法設(shè)置統(tǒng)一標(biāo)準(zhǔn)，有利于建立穩(wěn)定的個人數(shù)據(jù)保護(hù)。但由于該路徑下的認(rèn)定的高標(biāo)準(zhǔn)，對數(shù)據(jù)流動和電子貿(mào)易帶來阻礙。GDPR事后問責(zé)的方法，削弱了數(shù)據(jù)流動的監(jiān)管，假定了企業(yè)會遵守數(shù)據(jù)保護(hù)條例，過于依賴于行業(yè)自律。如同GDPR第50條所敘述，不同保護(hù)體系應(yīng)該建立合作機制，才能實現(xiàn)效率與安全性的有機結(jié)合。

二、個人信息權(quán)之構(gòu)建

（一）個人信息權(quán)與隱私權(quán)之別。個人隱私的必要性已經(jīng)被各國及區(qū)域立法反復(fù)佐證。例如，1978年的《美國金融隱私法》認(rèn)定消費者有個人信息權(quán)，且金融機構(gòu)有義務(wù)保護(hù)并不得隨意向聯(lián)邦政府提供信息。2016年GDPR第一條開宗明義，將信息納入個人基本權(quán)利。許多國家和組織圍繞信息保護(hù)已經(jīng)建立了相應(yīng)的保護(hù)規(guī)則——在保護(hù)信息權(quán)利的基礎(chǔ)上，對個人信息進(jìn)行處理和利用。

（二）個人信息權(quán)范疇——OECD下的解讀。OECD原則的價值在于為一般規(guī)則提供指導(dǎo)。在具體立法過程中，可以規(guī)范立法目的，使法規(guī)更加靈活。在大數(shù)據(jù)時代的個人信息保護(hù)立法建設(shè)過程中，OECD原則的價值更加突出。對于仍處于起步階段的大數(shù)據(jù)應(yīng)用程序，詳盡立法可能會在抑制行業(yè)發(fā)展。兼顧信息保護(hù)和大數(shù)據(jù)發(fā)展的背景下，基本原則可以平衡這一矛盾。根據(jù)基本原則，在構(gòu)建中國主導(dǎo)的區(qū)域數(shù)據(jù)規(guī)則時候應(yīng)優(yōu)先考慮：限制收集原則、限制使用原則、數(shù)據(jù)保護(hù)原則等。結(jié)合OECD基本原則，個人信息主體權(quán)利的內(nèi)容中應(yīng)強調(diào)以下四項權(quán)利：

1.知情同意權(quán)；知情同意權(quán)是應(yīng)明確定義的基本權(quán)利之一。信息主體有權(quán)了解其個人信息的現(xiàn)狀，此權(quán)利是確保行使其他權(quán)利的前提。隨著個人數(shù)據(jù)的商用擴(kuò)大，知情權(quán)的范圍也越來越廣。在收集信息的過程中，信息主體有權(quán)充分了解收集到的個人信息的主要內(nèi)容、類型和用途。信息業(yè)者應(yīng)用簡單易懂的描述，及時并準(zhǔn)確告知主體其信息處理方式和目的，信息主體未予拒絕不應(yīng)被視為同意。另外，應(yīng)告知該信息的適用范圍，知情權(quán)不僅適用于從個人直接獲取的數(shù)據(jù)，而且還保護(hù)從任何來源獲得的個人信息。

2.數(shù)據(jù)參與權(quán)；數(shù)據(jù)參與權(quán)應(yīng)包括查詢權(quán)、拒絕權(quán)和被遺忘權(quán)。為了合法存儲和使用信息，當(dāng)消費者和企業(yè)的法律關(guān)系被終止，或者主體的個人信息由其他非法信息獲取者擁有時，信息具有被遺忘的權(quán)利。為了在個人信息和合理使用之間取得平衡，應(yīng)甄別信息主體行使遺忘權(quán)的具體情況。依據(jù)OECD原則，作者定義刪除個人信息的原因包括：第一，信息管理者管理和使用個人信息的原目的消失；第二，存儲和管理已到期。第三，個人信息的管理或使用超出授權(quán)范圍。遺忘權(quán)涵蓋自然人的所有信息。

3.數(shù)據(jù)控制權(quán)；數(shù)據(jù)控制權(quán)意味著主體擁有個人信息所有權(quán)利。這項權(quán)利旨在平衡信息自由流通與個人信息的保護(hù)。根據(jù)這項權(quán)利，主體有權(quán)阻止他人獲得個人信息并控制傳播。數(shù)據(jù)控制意味著除非法律允許或獲得個人的明確同意，否則任何代理機構(gòu)、企業(yè)均不得以任何方式獲取、使用、持有或共享這些個人信息。

4.數(shù)據(jù)收益權(quán)；信息主體還應(yīng)該具有獲得收益的權(quán)利。當(dāng)消費者向企業(yè)提交信息以交換商品或服務(wù)時，是基于收益目的授權(quán)。個體付出部分信息權(quán)利獲取信息通信服務(wù)，使用者利用信息升級為具有附加值的數(shù)據(jù)。企業(yè)貢獻(xiàn)信息增值，有權(quán)分享信息利益，最終提高了信息效率。鑒于此，信息主體與信息的使用者建立了默契合作。一方面，消費者是信息的主體，享受信息的最終控制權(quán)。主體應(yīng)具有以上提到的權(quán)利，即知情同意權(quán)，控制權(quán)和參與權(quán)，使用者可以通過開發(fā)讓信息增值，這也是平衡效率和安全的關(guān)鍵所在。

三、一帶一路沿線及周邊國家數(shù)據(jù)保護(hù)立法

縱觀一帶一路沿線各國，都以人權(quán)法理為個人信息保護(hù)確立基礎(chǔ)。作為一帶一路發(fā)起國，中國在推動全球數(shù)字貿(mào)易規(guī)則制定方面，需爭取國際話語權(quán)。本文選取部分一帶一路沿線數(shù)字經(jīng)濟(jì)發(fā)達(dá)國家，對其立法特征進(jìn)行解讀：

阿聯(lián)酋。阿聯(lián)于2019年出臺數(shù)據(jù)保護(hù)法，參考GDPR等法律實踐。阿聯(lián)酋通信管理局（TRA）啟動了2020-2025戰(zhàn)略，以應(yīng)對網(wǎng)絡(luò)安全事件。2019年1月，阿聯(lián)酋總統(tǒng)簽發(fā)總統(tǒng)令，規(guī)范健康領(lǐng)域技術(shù)和交流信息使用行為，該法令對個人健康數(shù)據(jù)的公司提出了數(shù)據(jù)駐留要求，即數(shù)據(jù)本地化。2019年3月，TRA實施了一項規(guī)范IOT運行的政策將GDPR概念引入，如隱私、數(shù)據(jù)最小化和目的限制等。

印度。2018年印度發(fā)布了《個人數(shù)據(jù)保護(hù)法案》（PDPB）。該法案在歐盟GDPR頒布后做出了修改，規(guī)定了印度個人數(shù)據(jù)采集、存儲、處理和傳輸?shù)姆绞?。該法案主要?nèi)容與歐盟GDPR基本一致，但對數(shù)據(jù)客體的界定、數(shù)據(jù)本地化問題、數(shù)據(jù)安全影響評估三項內(nèi)容也作出了富有印度特色的規(guī)定。該法案引進(jìn)并劃分了“數(shù)據(jù)受托人”、“數(shù)據(jù)所有者”和“數(shù)據(jù)處理者”的概念，規(guī)定了數(shù)據(jù)主體的權(quán)利以及數(shù)據(jù)處理者應(yīng)承擔(dān)的義務(wù)。另外，該法案還規(guī)定了個人數(shù)據(jù)跨境傳輸?shù)暮戏ㄍ緩健?/p>

泰國。泰國對各國的數(shù)字經(jīng)濟(jì)思路秉承學(xué)習(xí)的態(tài)度。2018年9月，泰國政府向國會提交了一部包含GDPR特色的個人數(shù)據(jù)保護(hù)法（PDPA）草案，并將于政府公報一年后開始施行，這是泰國第一部規(guī)范數(shù)據(jù)采集、適用的法律，強調(diào)數(shù)據(jù)控制者和處理者的義務(wù)，更加注重保護(hù)數(shù)據(jù)主體的合法權(quán)利。

一帶一路沿線各國趨勢是擴(kuò)大個人數(shù)據(jù)保護(hù)范圍和強度，在法律上明確數(shù)據(jù)主體的權(quán)利以及數(shù)據(jù)使用者的義務(wù)。涉及到數(shù)據(jù)與國家安全的博弈時，各國顯得十分謹(jǐn)慎。部分國家還建立數(shù)據(jù)保護(hù)機構(gòu)，如泰國個人數(shù)據(jù)保護(hù)委員會、新加坡網(wǎng)絡(luò)安全委員會。沿線國家從嚴(yán)立法的觀點和我國立法觀點一致，為下一階段我國開展區(qū)域數(shù)據(jù)流動立法合作打下了基礎(chǔ)。

四、各國立法實踐對我國個人數(shù)據(jù)跨境流動規(guī)則的啟示

（一）推進(jìn)行業(yè)自律制度建設(shè)。行業(yè)自律制度建設(shè)，即加強數(shù)據(jù)行業(yè)的參與立法。數(shù)據(jù)行業(yè)作為新興產(chǎn)業(yè)，即便國家進(jìn)行模糊立法，依然不斷出現(xiàn)新的法律風(fēng)險。而此時，推動行業(yè)形成自律就顯得尤為重要。

1.風(fēng)險評估能力。在跨境數(shù)據(jù)流動過程中，企業(yè)是否可以審慎保管其掌控的數(shù)據(jù)；是否采取了適合的數(shù)據(jù)保護(hù)方案需要要反復(fù)推敲。鑒于行業(yè)內(nèi)部存在爭議或能力參差，我國應(yīng)引入國際上已被廣泛接受的信息安全管理標(biāo)準(zhǔn)，借鑒國際標(biāo)準(zhǔn)化組織和國際電工委員會的政策，如隱私框架標(biāo)準(zhǔn)等。應(yīng)出臺相應(yīng)的使用主體保護(hù)規(guī)則，建立健全數(shù)據(jù)保護(hù)體系，完善企業(yè)數(shù)據(jù)安全能力。制度上，為企業(yè)提供一定的監(jiān)督和指導(dǎo)，提升企業(yè)的數(shù)據(jù)保護(hù)水平。這在消除中國企業(yè)信息保護(hù)缺失的同時，幫助企業(yè)同國際標(biāo)準(zhǔn)接軌。

2.數(shù)據(jù)評定標(biāo)準(zhǔn)。引導(dǎo)大數(shù)據(jù)行業(yè)依照國家法律法規(guī)建立行業(yè)規(guī)范。行業(yè)數(shù)據(jù)評定標(biāo)準(zhǔn)可以納入不同維度的評定專家意見，如技術(shù)向的大數(shù)據(jù)研究院；學(xué)術(shù)向的管理科學(xué)研究院學(xué)術(shù)委員會；商業(yè)向的貴陽大數(shù)據(jù)交易中心。不同維度的專家的關(guān)注不同，但可以共同構(gòu)建跨境數(shù)據(jù)流動監(jiān)管。我國立法機構(gòu)可借鑒優(yōu)秀評定標(biāo)準(zhǔn)，即行業(yè)標(biāo)準(zhǔn)升華為國家立法乃至區(qū)域立法。在數(shù)據(jù)流通宏觀法律項下，行業(yè)可以通過健全數(shù)據(jù)流動法律法規(guī)，為企業(yè)間的數(shù)據(jù)跨境流動提供安全保障。

（二）中國融入國際制度建設(shè)體系。

1.將中國的跨境數(shù)據(jù)保護(hù)方案納入FTA；美國已經(jīng)在FTA談判中引入跨境數(shù)據(jù)監(jiān)管。2012年美韓FTA中，首次在電子商務(wù)章節(jié)中引入跨境數(shù)據(jù)流動規(guī)則，即第15.8條規(guī)定了成員方應(yīng)避免對跨境電子信息流動施加不必要阻礙。[4]即便未對數(shù)據(jù)類型做出清晰界定，但是創(chuàng)造性的路徑提升了美國的跨境數(shù)據(jù)話語權(quán)，標(biāo)志著數(shù)據(jù)流動規(guī)則第一次被納入強制性協(xié)議。中國跨境流動規(guī)則適宜受眾應(yīng)為一帶一路沿線各國。過去幾年中國與沿線各國有了深刻的經(jīng)貿(mào)往來，中國提出的數(shù)據(jù)流動主張更易被接受，有助于鞏固一帶一路成果并提升中國國際話語權(quán)。

2.參與多層次的外交、商貿(mào)談判；故為兵之事，在于順詳敵之意。隨著跨境數(shù)據(jù)流動逐漸熱門起來，并成為新的國際貿(mào)易的重要環(huán)節(jié)。在完善國內(nèi)立法的同時，還應(yīng)積極開展國際合作。可以借鑒美國“隱私盾”路徑，在數(shù)據(jù)使用的同時兼顧隱私保護(hù)。我國可以拓展相應(yīng)的國際體系，為企業(yè)創(chuàng)造營商環(huán)境。同時，我國可通過亞投行、一帶一路區(qū)域立法等渠道，探索區(qū)域數(shù)據(jù)流動規(guī)則談判，并提升數(shù)據(jù)話語權(quán)。在尚未形成統(tǒng)一跨境數(shù)據(jù)流動規(guī)則的情況下，中國可以通過RCEP等談判，向一帶一路沿線及國家輸出跨境數(shù)據(jù)流動標(biāo)準(zhǔn)，降低合規(guī)差異給跨境數(shù)據(jù)流動帶來的風(fēng)險，讓中國標(biāo)準(zhǔn)成為世界標(biāo)準(zhǔn)，實現(xiàn)數(shù)據(jù)產(chǎn)業(yè)發(fā)展和中國國家數(shù)據(jù)話語權(quán)建構(gòu)。

（三）區(qū)分?jǐn)?shù)據(jù)類型。我國政府可參考?xì)W盟的數(shù)據(jù)保護(hù)委員會，設(shè)立統(tǒng)一的執(zhí)法機構(gòu)，同樣措施已被一帶一路部分國家采用。依托《網(wǎng)絡(luò)安全法》，在統(tǒng)一的執(zhí)法機構(gòu)下，明確個人數(shù)據(jù)的邊界范圍，區(qū)分個人敏感信息和一般信息。對前者予以保護(hù)，限制收集、加工和流動。對后者強化利用，最大程度地發(fā)揮其商業(yè)和公共管理的價值。同政府?dāng)?shù)據(jù)相比，個人數(shù)據(jù)的傳輸數(shù)量更大，因此立法中的個人一般數(shù)據(jù)交易范圍應(yīng)采用“負(fù)面清單”模式，制定禁止交易的數(shù)據(jù)目錄，對不同數(shù)據(jù)采取梯度管理方法。

單文華（1998）[5]認(rèn)為負(fù)面清單模式會妨礙東道國對新出現(xiàn)的投資部門行使必要監(jiān)管權(quán)，這對于金磚國家等新興經(jīng)濟(jì)體尤其不利。如按照負(fù)面清單“法不禁止即可為”，外資可對關(guān)系到未來經(jīng)濟(jì)增長根本動力、或涉及重要數(shù)據(jù)流動、或涉及敏感社會政策調(diào)整的若干重要部門“長驅(qū)直入”，從長遠(yuǎn)看可能會危及中國經(jīng)濟(jì)主權(quán)。數(shù)據(jù)作為新型生產(chǎn)資料，使用主體復(fù)雜性、需求差異應(yīng)被綜合考慮，應(yīng)在安全和經(jīng)濟(jì)發(fā)展之間謀求平衡。維護(hù)我國國家利益的同時也能實現(xiàn)數(shù)據(jù)跨境流動的理想狀態(tài)，實現(xiàn)數(shù)據(jù)行業(yè)的長久繁榮。

結(jié)語

國家的數(shù)據(jù)保護(hù)系統(tǒng)通常是國內(nèi)數(shù)據(jù)保護(hù)和跨境數(shù)據(jù)保護(hù)共同組成。為了保護(hù)國內(nèi)數(shù)據(jù)，立法機關(guān)可以設(shè)計高標(biāo)準(zhǔn)的個人信息保護(hù)制度。但是，在設(shè)計跨境系統(tǒng)時，政府不能要求第三國的水平與其國內(nèi)水平保持一致。從本文的分析中可以看出，歐盟的解決方案和美國的解決方案都不能完全適用于中國國情。在構(gòu)建本國個人數(shù)據(jù)跨境流動規(guī)則時，可以對GDPR和CBPR的優(yōu)勢加以借鑒：以問責(zé)制為核心，發(fā)展一般個人信息，明確數(shù)據(jù)主體權(quán)利并對數(shù)據(jù)使用者義務(wù)加以監(jiān)管；以事前防范為方法，保護(hù)敏感個人信息和對國家影響重大的個人信息，避免出現(xiàn)國家安全疏漏。通過參考OECD的基本原則，并借鑒其他國家的方法，闡明個人信息權(quán)利的范圍，應(yīng)包括：知情同意權(quán)、數(shù)據(jù)控制權(quán)、數(shù)據(jù)參與權(quán)和數(shù)據(jù)收益權(quán)。在立法過程中應(yīng)充分發(fā)揮數(shù)據(jù)產(chǎn)業(yè)的力量。在制定數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)方面，必須堅持國情、堅定維護(hù)國家數(shù)據(jù)主權(quán)，在數(shù)據(jù)監(jiān)管與人權(quán)保護(hù)，國家利益和國際合作之間取得適當(dāng)平衡。在跨境數(shù)據(jù)流動立法上，要積極參與國際合作，不斷借鑒已有成熟實踐如FTA為我國跨境數(shù)據(jù)保護(hù)法做背書。也要致力于區(qū)域合作，在一帶一路既有成果的基礎(chǔ)上，繼續(xù)探索中國跨境數(shù)據(jù)流動監(jiān)管合作，提升中國數(shù)據(jù)話語權(quán)。