法学前沿
Frontiers of Law
- 主办单位:未來中國國際出版集團有限公司
- ISSN:3079-7101(P)
- ISSN:3080-0684(O)
- 期刊分类:人文社科
- 出版周期:月刊
- 投稿量:2
- 浏览量:601
相关文章
暂无数据
个人数据跨境流动的法律规制研究
Research on the Legal Regulation of Cross-border Flows of Personal Data
引言
在数字经济蓬勃发展的当下,数据已然成为驱动全球经济增长与社会变革的核心要素。个人数据作为数据范畴的关键组成部分,其跨境流动规模随互联网技术的迭代与全球化进程的加速呈爆发式增长。然而,这一流动态势在激活数据要素价值、推动国际经贸合作的同时,也引发了一系列深层次的法律与社会问题,如个人信息权益侵害、国家安全风险攀升、国际规则冲突加剧等。在此背景下,系统探究个人数据跨境流动的法律规制体系,既是回应数字时代人权保障与国家治理需求的必然选择,也是构建公平合理的全球数据治理秩序的重要议题。
1. 个人数据跨境流动的理论基础
1.1 相关概念界定
1.1.1 个人数据
个人数据的定义在国际上尚无统一标准,不同国家和地区对此有不同的称呼和理解。尽管称呼不一,如个人数据、个人信息、个人隐私等,不过在个人数据保护领域,这些概念大体上能够交替使用。欧盟及其成员国更偏好采用“个人数据”这一表述,且该术语的定义伴随法律演进逐步清晰化。比如,欧盟推出的《通用数据保护条例》(GDPR)对个人信息进行了界定,即所有能够辨识或者已经被辨识出来的个体信息的总和,这其中包含了可以直接或间接地确定出数据主体的各类信息。法国、英国和德国也采用“个人数据”这一术语,强调可识别性。我国《网络安全法》第76条第5款也规定了个人信息的含义,能对自然人个人身份进行识别的信息,即为个人信息。《数据安全法》第3条规定,数据指用电子或者其他方式记录下来的信息。
综合来看,个人数据的核心特征是可识别性,尽管有学者主张严格区分“个人数据”和“个人信息”,但在实际立法中,两者并没有被严格区分,均以识别性和关联性为判断标准。因此本文将以“个人数据”作为核心表述,认为“个人信息”和“个人数据”在实质上是同义的。
1.1.2 个人数据跨境流动
科技的进步和商业的演变使得数据跨境转移变得频繁和广泛。全球数据交易活动激增,形成了多样化的国际大数据交易市场。早期多用“数据转移”描述这一现象,而现在更倾向于使用“数据流动”,后者更准确地反映了数据的持续流动特性,并成为网络经济的新形态。OECD最初提出了跨国数据传输的理念,即数字化的信息从一国流向另一国的移动过程。1980年发布的OECD《流动指南》与1995年推出的欧盟《指令》均针对个人信息的数据跨境流通做出了界定,并特别关注了这些信息的无障碍传播。
1.2 个人数据跨境流动法律规制的正当性依据
1.2.1 从个体角度:个人信息自决权
信息自主权利指的是个体对自身信息的采集、管理、应用及传递有掌控力和决策力。但现在我们每个人都处于第三方监控的环境中,例如,亚马逊与淘宝跟踪并记录下我们的消费行为,腾讯、微信、新浪微博等平台则掌握着我们的社交网络情况,同时还有许多其他的APP也在存储着大量的个人信息。尽管如此,随着数据保存费用逐渐下降,且分析和发掘技术日益进步,大数据时代的来临可能给我们个人的私密空间带来了空前的风险。另外,大数据的经济效益已超越其初始用途和效果,它可以通过再次运用来获得数据的弹跳式回报,这打破了传统的个人数据保管法律或者隐私法规是以人为中心的原则。
1.2.2 从国家角度:国家数据主权
作为大数据防护的第一准则的数据主权理念强调了一国对于其国内所有数据的所有权与自治权利。这包括了在国内范围内的一国可以完全掌握并掌控其境内所有的数据及其使用或操作的方式,同时也有能力选择如何加入全球性的数据协作项目,并在必要时采用适当且合规的方法来确保国家的跨界数据不会受到侵犯或是被外国监控的风险。需要注意的是,这里的管控并非绝对化,而是要在特定的环境中加以评估,同时也需考虑到其他的因素,特别是涉及国家和安全的利益、文化和伦理价值观念等方面的情况。
总结来说,大规模跨国转移的数据可能会引发私人信息被盗取及国家的安危受到危害的问题,因此需要从法律法规的角度来加以规范化管理。
2. 规制我国个人数据跨境流动的不足
2.1 立法体系性欠缺
我国目前个人数据跨境流动的规定较多,但关于该方面的规定亦不尽相同,包括个人数据跨境的定义条件以及相应情形,或多或少都存在略微差异。尽管《个人信息保护法》的出台较为解决了个人数据保护层面法律法规散乱不成体系的问题,也在个人数据跨境流动方面于网安法等法律基础上进一步细化具体规定,如扩大了个人数据本地化存储的义务主体范围、建立了分类分级制的个人数据跨境传输规则等,但对于一些法律法规规定的概念、定义也仍存在未明确或不能完全衔接的地利,比如关于处理个人数据达到我国网信部门规定数量的个人数据处理者的概念、具体的数值标准等等,目前仍没有具体规定能够完全确定这一概念。
2.2 跨境个人数据的分类方法单一
虽然我们已经构建了关于中国个人隐私信息跨国传输的基本分类体系,但是这个系统主要是基于处理者的类型而不是个人信息自身的等级划分。根据《网络安全管理条例》的规定,数据被划分为普通数据、关键数据和核心数据,其影响力各有差异。核心信息与国家安全密切相关,通常应在本地进行储存,不能跨境提供。狭义的个人数据限于与个人有关的数据,与重要数据、核心数据有明显界限。《数据安全管理办法》指出重要数据通常不包括个人信息。《个人信息保护法》区分敏感和非敏感个人信息,敏感信息一旦泄露可能侵害人格尊严或财产安全,非敏感信息风险较低。在跨境流通情境下,个人信息存在转化为重要数据的可能性,立法者将达到特定数量规模的个人信息界定为重要数据,并对其适用一致的跨境规制规则。然而,仅以量级划分可能忽略其他转化情况,各法规评估方式不一,增加企业评估难度,可能危害国家安全。所以在这个跨国环境下对人的资讯需要重新分级处理,但是目前的规定主要是按照其规模来确定危险等级而不是考虑到这个情景下的高频率及快速反应能力的问题上去了,这样会给公司带来额外的压力并可能会导致一些国家的安保和社会福利方面产生潜在的风险因素。
2.3 数据保护监管机制不健全
当前中国尚无设立专责处理跨国私人资料流通管理的单一组织或监督机制的情况存在,各领域的私密资讯分布较为零散,例如刑侦案件涉及的信息主要归属于公安局系统控制范围之内,而银行业务的数据安全则交予人民银行来维护等不同情况均有出现。同时网络信息化办公室被赋予了监控公民隐私信息的海外流转的责任并拥有一定的执行权力,但其本身并不具备独立行动的能力且需与其他相关部门共同协作才能完成任务。
对于网络经营者的个人信息管理监督部门可以归纳为几个类别:总体指导单位、专门监控机构、行业监察机关及自我约束团体等等。这其中包含了中国网信办、工业和信息化部、公安局、市场监管总局、移动应用程序整治小组、中国人民银行、卫生部、教育委员会、食品药品管理总局、互联网上协会、消费者保护协会和网络安全协会等相关部门。中国的个人信息采集管理的监督部门众多且各自的标准和控制规定不同,目前还没有建立起完整的系统化框架,其执行力度也不够一致。所以,个人数据跨境流动要有统一的管理办法来指导,其所涉部门、领域和专业知识多样,应设置专门监管机构,并且给予独立执法权。
3. 我国个人数据跨境流动规制的完善建议
3.1 完善个人数据跨境流动立法体系
我国国内在个人数据跨境流动规则方面存在多头立法、体系分散的问题,而这一现象并非我国独有,其他国家乃至全球范围内也普遍面临类似困境。因此,完善个人数据跨境流动的立法规则与体系,不仅是我国亟待推进的重要举措,更是全球实现数据跨境有序流动、推动商业贸易发展的必然要求。
随着专门保护个人数据的法律《个人信息保护法》的实施,对于跨界传输的数据处理方式的规定被视为基本准则。我们建议进一步阐明这个立场,并在相关的条款和解读中加以强调。此外,其他关于数据跨境流转的相关法规应该作为辅助性的规定来理解,并且需要保证这些规定的连贯性和一致性,避免出现矛盾或者冲突的情况。例如,参照欧洲GDPR的发布,我们可以建立一套通用的隐私信息保护制度,在整个欧盟范围内实行,但是各成员国有权依据基本准则做出适度的修改,以便符合当地的具体情况。
3.2 对不同跨境场景下的个人数据分类监管
选择何种风险评估方式主要取决于数据类型的风险级别。尽管《管理办法》要求网络运营商在收集和处理重要数据以及个人信息时应遵守相同的跨境监管规则,但实际上并没有根据个人信息跨境风险的大小对非敏感个人信息、敏感个人信息和重要数据进行不同的分类监管。然而,这三者的跨境转移可能会在不同程度上影响国家安全,因此需要对个人数据进行再次分类,以适用不同的监管规则。敏感个人信息和重要数据的保护级别存在一定的一致性,因此在跨境情况下,有必要更细化个人信息的分类,准确辨别敏感个人信息和重要数据是否一致。
对于跨境数据流通管理制度的问题上,采用分级管理的策略可以在不同的等级上实现分类保密,从而确保各种利益都能被平衡考虑。以国家的安防为基础,通过对数据的敏感度分析来确定其类别,包括一般的个人资料、高度敏感的个人信息和重要的个人信息等其他类别的数据。根据这些标准实施动态的管理手段,结合各类别和个人数据的具体情况,特别关注那些可能影响到国家安全的敏感个人数据的技术处理后的结果,明确具体的跨境环境种类,要求公司在自我评估时将其包含进去,如果它们的性质与转化后的关键数据相符,就应该视为关键的数据并受到政府网络安全部门的安全审查,或者必须接受由第三方认证机构的审核。与此同时,还需要评估目标国的个人信息保护水平,作为个人信息处理方,公司也需履行相应义务,如向个人提供跨境详细的信息,征求他们的同意,并确保他们在跨境过程中的个人信息能享受到同等程度的个人隐私保障。需要强调的一点是,中国对各类个人资料和关键数据实施分级管理,并非所有的个人资料都有机会转化为关键数据,例如,根据《管理办法》的规定,并不包括公司运营和个人隐私等内容的数据被视为非关键数据,然而,如果某类个人数据满足了《数据出境安全评估办法》所规定的“有可能损害国家安全或威胁公众福祉”的条件,则有可能会转变为关键数据。
当把个人隐私信息经过处理转变为等同于“关键数据”时,如果它被用于跨境的安全评价,那么就应该把它视为重要的数据并提供相应的保障措施。但是,为了避免可能的泄漏风险及维护用户权益,我们还需进一步决定是否有必要执行额外步骤或者承担更多的责任。这一情况说明,对个人数据进行重新划分并非属于过度细分,也不会给个人信息处理者增添合规难度,而是从我国实际国情出发,促使政府部门与企业以灵活的视角对个人数据进行分类,进而有效缓解监管部门面临的监管难题。
3.3 设置独立的数据监管机构
为了完善监管制度,我国需建立数据保护专门机构,统一监管数据跨境流动,并实施多层次差异化监管。全球范围内,设立专门的数据监督组织被视为控制个人信息跨国传输的核心手段。例如,欧洲联盟(EU)的GDPR与亚太经济合作组织(APEC)的“跨境隐私规范框架”均强制其会员国家创建自主的隐私维护部门,以便应对并处理有关隐私保障的投诉。根据欧盟GDPR的规定,当评价某一国家的数据安全程度能否满足需求时,该国的数据监控组织的存在情况成为一项关键指标。同样地,APEC也对各会员国提出了必须拥有自我执行力的隐私保护部门的要求,以此来确保来自其他国家的民众的私人信息得到妥善保管。
虽然中国法律明确了各级政府部门的个人数据保密责任和义务,但是各地方执行的标准却存在差异化的情况。因此,国家层面需建立统一且独立的监管机构,统筹安全评估,加大数据安全风险评估和监管,确保个人隐私在数据出境时得到保护。《个人信息保护法》虽要求互联网企业成立独立机构监督个人信息保护,但缺乏惩罚制度,影响落实效果。可参考欧盟与美国的成熟经验,设置个人数据保护专员等岗位,通过对商家赔偿责任履行情况的监督,确保相关法律得以有效施行。建立统一监管机构,评估个人数据安全性,关注跨境数据流动规则的漏洞,并进行改进,以在个人隐私保护和数据跨境自由之间取得平衡。
4. 结语
随着经济全球化的推进及网络技术的飞速发展,个人信息跨界传输变得越来越普遍,然而在这个过程中也伴随着一定程度的数据安全风险,如信息泄露等。因此,我们需要提高对数据安全的重视度,将其视为国家安全的重要组成部分。目前,关于数据跨境流转的管理方式并未达成一致意见,但各区域和国家和地区已形成了相对稳定的监管机制。作为世界上最大的数据生产者之一,中国一直在加强国内法律法规体系建设以保护个人信息的安全,并通过规定数据流转的行为来约束其,同时参考其他国家的标准合同模板建立了数据分类等级系统,以此填补现行数据安全管理的空白。但必须承认,现行的立法还处在初级阶段,对于个人数据跨境流动的法律规制还存在缺陷,对数据跨境流动的监管方式需要改进,需要加强国际合作。我们需要在国内法治和对外法律中保持平衡并持续进步,以便尽早建立一套能适应全球化趋势的个人数据跨国传输准则。同时,我们要主动参与地区协议和其他国家间的协作,以更有效的方式应对国际信息流转的需求,从而实现中国的数字化交易和网络安全的同步增长,提升我们在这一领域的话语权。
参考文献:
- [1] 郭雪娇,高天书.数据跨境流动:现实困境与破解路径[J].南方金融,2024(06):78-88.
- [2] 李育慧.跨境数据流动治理规则研究[J].天津经济,2024(06):15-17.
- [3] 范思博.数据跨境流动中的个人数据保护[J].电子知识产权,2020(06):85-97.