吳琦瑋

（上海政法學(xué)院 國際法學(xué)院，上海 201701）

近年來，我國不斷加強數(shù)字經(jīng)濟合作，并于2019年簽署了《大阪數(shù)字經(jīng)濟宣言》，將海南自由貿(mào)易港作為該宣言內(nèi)容落實的重點區(qū)域，表明了我國想要逐步開放數(shù)據(jù)市場，促進個人數(shù)據(jù)跨境流動與數(shù)字經(jīng)濟合作的決心?！秴^(qū)域全面經(jīng)濟伙伴關(guān)系協(xié)定》（RECP）于2020 年11 月15 日正式簽署，RECP 對個人數(shù)據(jù)跨境流動做出了新的規(guī)定。

隨著社會經(jīng)濟的發(fā)展，世界各個國家之間的個人數(shù)據(jù)跨境流動日益頻繁，數(shù)字經(jīng)濟活動日益增加，但個人數(shù)據(jù)跨境流動泄露的風險也逐漸提高。因此，平衡推進個人數(shù)據(jù)跨境流動的自由化與加大對個人數(shù)據(jù)跨境流動的保護力度之間的關(guān)系是個人數(shù)據(jù)保護的一個重要議題?！吨腥A人民共和國個人信息保護法》（簡稱《個人信息保護法》）明確載有關(guān)于個人數(shù)據(jù)跨境流動的保護的規(guī)定。RECP 于2020 年11 月15 日正式簽署，我國在RCEP 下應(yīng)對個人數(shù)據(jù)跨境流動的風險成為重要問題。

一、個人數(shù)據(jù)跨境流動概述

在現(xiàn)有的個人數(shù)據(jù)跨境流動規(guī)制的制定及實踐中，始終缺乏一個對于“個人數(shù)據(jù)跨境流動”的清晰定義。即使是在各種各樣的框架、法律和規(guī)制條文當中，也難以找到一個統(tǒng)一的明確描述。

（一）個人數(shù)據(jù)跨境流動的概念

目前世界上對此沒有統(tǒng)一的定義?！皞€人數(shù)據(jù)跨境流動”（transborder flows of personal data）這一概念由OECD 首先在《指南》（1980）中提出，“個人數(shù)據(jù)跨境流動”即是指“個人數(shù)據(jù)的移動跨越了國家邊界”。具體而言，數(shù)據(jù)的流動可以通過電纜或衛(wèi)星以電子方式即時進行，也可以通過人工傳送磁帶、磁盤、卡片或類似媒介來進行，速度較慢。個人數(shù)據(jù)跨境流動的本質(zhì)是以機器可讀的形式傳輸信息。

由于個人數(shù)據(jù)具有人格和財產(chǎn)的雙重屬性，對個人數(shù)據(jù)跨境流動進行立法監(jiān)管的價值也體現(xiàn)在兩個方面。個人數(shù)據(jù)的人格屬性體現(xiàn)為即使個人數(shù)據(jù)離開了數(shù)據(jù)主體國家主權(quán)的保護范圍，也應(yīng)存在適當?shù)膰H法為其權(quán)利提供保護和救濟；而個人數(shù)據(jù)的財產(chǎn)屬性決定了跨境數(shù)據(jù)流動制度應(yīng)盡可能減少和去除阻礙數(shù)據(jù)自由流動的因素，避免國家以保護人權(quán)為借口限制自由貿(mào)易的發(fā)展。[1]

（二）個人數(shù)據(jù)跨境流動保護的必要性

在個人數(shù)據(jù)的跨境流動中，由于各國政治、經(jīng)濟、發(fā)展水平上的巨大差異，個人數(shù)據(jù)的跨境流動風險會因為一國對個人數(shù)據(jù)的保護水平低而有所上升，從而造成個人數(shù)據(jù)的泄露，主要體現(xiàn)為以下兩個方面。

第一，在有隱私和數(shù)據(jù)保護控制的國家從事個人數(shù)據(jù)處理的組織，可能會尋求將其業(yè)務(wù)轉(zhuǎn)移到?jīng)]有保護法律的國家，從而逃避其母國的立法政策的規(guī)制。第二，為了阻止數(shù)據(jù)處理者將其業(yè)務(wù)轉(zhuǎn)移到其他地區(qū)，各國將數(shù)據(jù)轉(zhuǎn)移到其領(lǐng)土以外實施管制，例如頒發(fā)出口許可證，這將危及個人數(shù)據(jù)的自由流動。[2]

在這種情形下，來源于個人數(shù)據(jù)保護水平高的國家的個人數(shù)據(jù)一旦流入個人數(shù)據(jù)保護水平低的國家，就無法得到有效保護，從而不利于國際數(shù)字經(jīng)濟的合作與交流，因此，從國際法層面上對個人數(shù)據(jù)跨境流動進行保護確有必要。

二、RCEP 的數(shù)據(jù)跨境流動保護條款評析

RCEP 關(guān)于個人數(shù)據(jù)跨境流動保護的條款主要為第十二章“電子商務(wù)”，其中第八條和第十條對個人數(shù)據(jù)跨境流動的保護作出了規(guī)定。

（一）線上信息保護

1.要求各締約方具有國內(nèi)數(shù)據(jù)法律體系

RCEP 要求每一締約方應(yīng)當采取或維持保證電子商務(wù)用戶個人信息受到保護的法律框架，即要求各締約方具有能保障電子商務(wù)用戶個人信息安全的國內(nèi)數(shù)據(jù)法律體系。我國在RCEP 生效前已通過《個人信息保護法》與《中華人民共和國數(shù)據(jù)安全法》（簡稱“《數(shù)據(jù)安全法》”），為RCEP 更好地發(fā)揮作用做好了準備。

2.規(guī)定各締約方國內(nèi)數(shù)據(jù)法律所規(guī)定的最低保護標準

RCEP 要求各締約方在制定保護個人信息的法律框架時，應(yīng)當考慮相關(guān)國際組織或機構(gòu)的國際標準、原則、指南和準則。該款對各締約方國內(nèi)數(shù)據(jù)法律所規(guī)定的保護標準作出了要求。

3.要求各締約方普及國內(nèi)數(shù)據(jù)法律

RCEP 要求每一締約方應(yīng)當公布其向電子商務(wù)用戶提供個人信息保護的相關(guān)信息，包括兩個方面，即個人如何尋求救濟，以及企業(yè)如何遵守任何法律要求。

4.鼓勵各締約方境內(nèi)的法人對個人數(shù)據(jù)的相關(guān)保護政策和程序透明化

RCEP 要求各締約方應(yīng)當鼓勵法人通過互聯(lián)網(wǎng)等方式公布其與個人信息保護相關(guān)的政策和程序。該款規(guī)定要求各締約方境內(nèi)的法人自主制定內(nèi)部的、與個人信息保護相關(guān)的政策和程序，以便個人尋求救濟方式。但是，該規(guī)定較為原則性，其具體實施主要還是依賴于各締約方國內(nèi)的相關(guān)規(guī)定。

5.各締約方個人數(shù)據(jù)跨境流動保護的合作

RCEP 要求各締約方應(yīng)當在可能的范圍內(nèi)合作，以保護從一締約方轉(zhuǎn)移來的個人信息。

（二）國內(nèi)監(jiān)管體系

RCEP 既要求各締約方在適用于電子商務(wù)的國際公約和示范法基礎(chǔ)上，如《聯(lián)合國國際貿(mào)易法委員會電子商務(wù)示范法（1996）》、2005 年11 月23 日訂于紐約的《聯(lián)合國國際合同使用電子通信公約》，采取或維持監(jiān)管電子交易的法律框架，又要求各締約方采取的監(jiān)管電子交易的法律框架不能阻礙個人數(shù)據(jù)跨境流動。

（三）RCEP 的數(shù)據(jù)跨境流動保護條款對我國的影響

RCEP 以原則性規(guī)定為主，對個人數(shù)據(jù)保護力度比較弱。RCEP 的個人數(shù)據(jù)跨境流動保護條款采取自愿適用的原則。

三、歐盟個人數(shù)據(jù)跨境流動規(guī)制體系探析

歐盟具有代表性的規(guī)制個人數(shù)據(jù)跨境流動的法律體系，以通用數(shù)據(jù)保護條例（General Data Protection Regulation，以下簡稱GDPR）為代表性文件，對它的內(nèi)容和規(guī)制原因進行分析，有利于我國個人數(shù)據(jù)跨境流動保護規(guī)則的發(fā)展，并制定出我國在這一國際環(huán)境下的符合我國國情的關(guān)于跨境數(shù)據(jù)流動的應(yīng)對方案。

（一）歐盟個人數(shù)據(jù)跨境流動規(guī)制體系內(nèi)容

GDPR 為平衡國家之間、國家與地區(qū)之間或地區(qū)與地區(qū)之間的個人數(shù)據(jù)跨境流動保護水平，主要規(guī)定了以下兩方面的內(nèi)容。

1.限制第三國、第三國境內(nèi)地區(qū)與歐盟之間的個人數(shù)據(jù)跨境流動

GDPR 第45 條對充分性認定作出了規(guī)定，其對歐盟以外的國家和地區(qū)的個人數(shù)據(jù)保護法律體系提出了要求，只有當立法情況、監(jiān)管機構(gòu)設(shè)立情況以及是否參加包含個人數(shù)據(jù)保護內(nèi)容的國際公約或作出相關(guān)承諾這三方面滿足歐盟標準，與歐盟保護水平基本相同的情況下，才被認為提供了充分保護，歐盟才允許其成員國將公民個人數(shù)據(jù)傳輸至該國或該地區(qū)。但是，因為各國個人數(shù)據(jù)法律體系的發(fā)展差異，GDPR 并沒有明確認定充分性的統(tǒng)一具體標準和方法。

2.嚴格的個人數(shù)據(jù)跨境流動監(jiān)管體系

GDPR 設(shè)專章規(guī)定了個人數(shù)據(jù)的監(jiān)管機制，并且首次規(guī)定了以下三個新的內(nèi)容。

第一，GDPR 首次規(guī)定了“單套規(guī)制”，“單套規(guī)制”是指GDPR 將直接適用于歐盟各成員國，無需各成員國單獨批準。[3]因此，其直接避免了因各成員國國內(nèi)數(shù)據(jù)法律規(guī)制不同而導(dǎo)致侵害歐盟公民個人數(shù)據(jù)權(quán)益的情況，強調(diào)了歐盟致力于從整體層面進行跨境數(shù)據(jù)流動治理的決心，促使了各成員國的數(shù)據(jù)監(jiān)管機構(gòu)之間的互相配合與協(xié)助。

第二，GDPR 首次在監(jiān)管環(huán)節(jié)引入了“一站式服務(wù)機制”，設(shè)立了領(lǐng)導(dǎo)監(jiān)管機構(gòu)?！耙徽臼椒?wù)機制”指當與在多個不同歐盟成員國都開設(shè)有分公司的企業(yè)有關(guān)聯(lián)的個人數(shù)據(jù)在不同的成員國接受處理時，將會有一個單獨的監(jiān)督機構(gòu)對全歐盟范圍內(nèi)所有與之相關(guān)的數(shù)據(jù)控制方與數(shù)據(jù)處理方進行全過程監(jiān)察。[4]這個監(jiān)督機構(gòu)通常應(yīng)該是該公司總部所在成員國的數(shù)據(jù)保護機構(gòu)，而這個執(zhí)行一站式服務(wù)機制的監(jiān)督機構(gòu)在GDPR 中被稱作領(lǐng)導(dǎo)監(jiān)管機構(gòu)。

第三，GDPR 極大提升了救濟方式和懲罰力度，數(shù)據(jù)監(jiān)管機構(gòu)有權(quán)對違反GDPR 的企業(yè)作出幾十萬至幾百萬歐元的罰款決定。這極具開創(chuàng)性意義，加大懲罰力度可以真正促使歐盟各成員國的企業(yè)遵守GDPR 的相關(guān)規(guī)定，從而有效遏制侵害歐盟公民個人數(shù)據(jù)權(quán)益的情況發(fā)生。

（二）GDPR 對中國在RCEP 背景下的應(yīng)對路徑的啟示

GDPR 的立法經(jīng)驗對中國在RCEP 背景下完善個人數(shù)據(jù)跨境流動保護的應(yīng)對路徑主要有以下三方面的啟示。

1.與RCEP 其他締約方確立具體的個人數(shù)據(jù)跨境流動保護辦法

如前所述，RCEP 多為原則性規(guī)定，通過與RCEP其他締約方簽訂雙邊協(xié)議，確立具體的個人數(shù)據(jù)跨境流動的保護辦法很有必要，但是，考慮到締約方的國內(nèi)數(shù)據(jù)法律體系的發(fā)展，經(jīng)濟發(fā)展狀況等方面差異較大，其條款的嚴格程度不應(yīng)與GDPR 相同，不然會給各締約方施加過大的負擔。

2.制定個人數(shù)據(jù)跨境流動的保護標準

個人數(shù)據(jù)跨境流動的主要爭議點在于如何平衡個人數(shù)據(jù)跨境流動的自由化與個人數(shù)據(jù)跨境流動保護之間的關(guān)系，制定個人數(shù)據(jù)跨境流動的保護標準能夠解決這一問題。RCEP 締約方的國內(nèi)數(shù)據(jù)法的發(fā)展水平差距較大，要做到完全統(tǒng)一是非常困難的，所以保護標準應(yīng)以不損害任一締約方公民的個人數(shù)據(jù)權(quán)益為底線。在制定具體標準時，可以通過制定一些配套的保障措施，如標準數(shù)據(jù)保護條款、標準合同條款等來彌補跨境數(shù)據(jù)傳輸目的地缺少的對個人數(shù)據(jù)的保護規(guī)定。

3.設(shè)立個人數(shù)據(jù)跨境流動的專門監(jiān)管機構(gòu)

RCEP 對個人數(shù)據(jù)跨境流動的監(jiān)管多依賴于各締約方國內(nèi)的法律框架，設(shè)立一個獨立于各締約方的專門監(jiān)管機構(gòu)很有必要。

四、我國在RCEP 背景下的應(yīng)對路徑

如前文所述，如何在RCEP 的基礎(chǔ)上在加強跨境數(shù)據(jù)流動的同時又有效地維護國家安全、降低數(shù)據(jù)流動的風險，成為了我國在RCEP 生效背景下的一個新議題。針對此問題，提出以下幾方面應(yīng)對路徑。

（一）完善關(guān)于個人數(shù)據(jù)跨境流動監(jiān)管的立法

RCEP 主要依賴于各成員國國內(nèi)個人數(shù)據(jù)跨境流動監(jiān)管機制，因此，《個人信息保護法》應(yīng)聲出臺，其中明確載有允許個人數(shù)據(jù)跨境流動的規(guī)定，該條款對個人數(shù)據(jù)境外接收方數(shù)據(jù)保護能力的最低標準進行了明確規(guī)定，要求不低于《個人信息保護法》所規(guī)定的數(shù)據(jù)保護能力，但是個人數(shù)據(jù)境外接收方的數(shù)據(jù)保護能力是否符合標準要求個人信息處理者自行判斷，并采取措施以保障個人數(shù)據(jù)境外接收方的數(shù)據(jù)保護能力符合標準。然而，《個人信息保護法》沒有對個人數(shù)據(jù)境外接收方的數(shù)據(jù)保護能力具體評估方案作出規(guī)定。因此，為解決上述問題，我國可以對符合我國個人數(shù)據(jù)跨境流動安全評估的國家或國際組織予以認證，并作出充分保護決定。

《數(shù)據(jù)安全法》也明確提出要對數(shù)據(jù)進行分級分類管理，其中就涉及到了個人數(shù)據(jù)。數(shù)據(jù)分級分類管理制度是平衡個人數(shù)據(jù)跨境流動自由化與對個人數(shù)據(jù)跨境流動保護之間關(guān)系的一個可行解決方案，其可以促進個人數(shù)據(jù)流動到境外，同時又限制敏感的個人數(shù)據(jù)的跨境流動。對于數(shù)據(jù)分類標準，可以將個人數(shù)據(jù)劃分為一般數(shù)據(jù)和敏感數(shù)據(jù)，再分別對其進行管理，從而能在促進個人數(shù)據(jù)跨境流動自由化的同時，又保護我國公民的個人數(shù)據(jù)權(quán)益。

此外，完善與上述立法相配套的《個人信息出境安全評估辦法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》《數(shù)據(jù)安全管理辦法》等規(guī)范也十分重要，通過設(shè)置安全評估、例外事項、標準合同等多元數(shù)據(jù)出境途徑，使得《個人信息保護法》以及《數(shù)據(jù)安全法》能真正發(fā)揮其作用，從而有效平衡個人數(shù)據(jù)跨境流動的自由化與加大對個人數(shù)據(jù)跨境流動保護力度之間的關(guān)系。

（二）設(shè)立數(shù)據(jù)跨境流動的專門監(jiān)管機構(gòu)

RCEP下個人數(shù)據(jù)跨境流動的合作以獨立數(shù)據(jù)監(jiān)管機構(gòu)作為各成員方的代表進行展開。我國可以與RCEP 的其他締約方通過信息交換、簽署雙邊協(xié)定等方式，盡可能一致地解決個人數(shù)據(jù)跨境流動的監(jiān)管問題。這將有助于確保各國政府在個人數(shù)據(jù)跨境流動監(jiān)管過程中，不會采取重復(fù)或相互沖突的措施。

（三）推進行業(yè)自律制度建設(shè)

我國不斷完善發(fā)展的個人數(shù)據(jù)保護法律體系提高了企業(yè)的合規(guī)要求，產(chǎn)生了建設(shè)行業(yè)自律制度的需求。由于企業(yè)掌握大量的用戶數(shù)據(jù)，相關(guān)部門應(yīng)要求企業(yè)深入了解關(guān)于個人數(shù)據(jù)保護及個人數(shù)據(jù)跨境流動的要求的規(guī)定，并在日常運營中對其予以嚴格落實，對于其中的一些原則性的規(guī)定，可以將其通過企業(yè)規(guī)章制度等方式予以具體落實。此外，為防止個人數(shù)據(jù)被濫用、失竊、非法交易等行為的發(fā)生，在行業(yè)自律制度中，還可以規(guī)定一定的懲罰性賠償措施。[5]

五、結(jié)語

大數(shù)據(jù)技術(shù)在日常生活中的使用越來越頻繁，個人數(shù)據(jù)跨境流動的可能性也不斷增大。RCEP 是我國首次簽署載有允許個人數(shù)據(jù)跨境流動的區(qū)域性文件，在這一新形勢下，我國如何應(yīng)對隨之而來的個人數(shù)據(jù)跨境流動過程中的潛在的隱私安全風險，成為了一個迄待研究的重大問題。對此，本文提出了三條應(yīng)對路徑，分別為完善國內(nèi)關(guān)于個人數(shù)據(jù)跨境流動監(jiān)管的立法、設(shè)立數(shù)據(jù)跨境流動的專門監(jiān)管機構(gòu)以及推進行業(yè)自律制度建設(shè)。從而構(gòu)建一個更專業(yè)、更系統(tǒng)化、更全面的、符合數(shù)字經(jīng)濟全球化發(fā)展趨勢的個人信息保護法律體系。