跨境電子商務(wù)建設(shè)視角下個(gè)人信息跨境流動(dòng)的隱私權(quán)保護(hù)研究

趙 駿 向 麗

(浙江大學(xué) 光華法學(xué)院， 浙江 杭州 310008)

一、 引 言

為了解鎖經(jīng)濟(jì)增長新來源，提供科學(xué)新視角和政府問責(zé)新機(jī)制，全球經(jīng)濟(jì)正經(jīng)歷著信息爆炸[1]5-6?；ヂ?lián)網(wǎng)改變了貿(mào)易方式，信息傳輸成為企業(yè)經(jīng)濟(jì)發(fā)展和日常運(yùn)作的重要部分。信息通信技術(shù)是在全球經(jīng)濟(jì)中獲取生產(chǎn)力、創(chuàng)新力和增長力的關(guān)鍵[2]2,5。使用個(gè)人信息[注]有學(xué)者使用“個(gè)人數(shù)據(jù)”“個(gè)人資料”“數(shù)據(jù)隱私”，而學(xué)界通常使用“個(gè)人信息”，如張新寶《從隱私到個(gè)人信息：利益再衡量的理論與制度安排》，載《中國法學(xué)》2015年第3期，第38-59頁。本文對此不做區(qū)分，據(jù)文章需要交替使用各用語。能為企業(yè)、個(gè)人、政府和科研機(jī)構(gòu)創(chuàng)造經(jīng)濟(jì)和社會(huì)價(jià)值，個(gè)人信息已經(jīng)成為互聯(lián)網(wǎng)運(yùn)作中的“新石油”、數(shù)字時(shí)代的“新貨幣”[2]10。而個(gè)人信息的跨境流動(dòng)能夠激發(fā)創(chuàng)新力、提升生產(chǎn)力和加速經(jīng)濟(jì)增長[3]96，對國際貿(mào)易具有重要價(jià)值。根據(jù)世界經(jīng)濟(jì)論壇《全球信息技術(shù)報(bào)告》，2012年美國61%(3 837億美元)的服務(wù)貿(mào)易出口和53%的服務(wù)貿(mào)易進(jìn)口是通過數(shù)字化方式傳輸?shù)?。?shù)字貿(mào)易使美國GDP在2011年從3.4%增長至4.8%，創(chuàng)造了相當(dāng)于240萬個(gè)工作崗位。2014年，數(shù)據(jù)流動(dòng)在全球GDP總值中達(dá)到2.8萬億美元[4]39-40。而作為國際貿(mào)易的一種新形態(tài)，跨境電子商務(wù)具有無須法律實(shí)體存在、減少進(jìn)口關(guān)稅和產(chǎn)品符合性檢驗(yàn)、降低金融風(fēng)險(xiǎn)等優(yōu)勢[5]11，也會(huì)促進(jìn)全球經(jīng)濟(jì)貿(mào)易更深層次的變革[6]88。個(gè)人信息的跨境流動(dòng)對跨境電子商務(wù)發(fā)展也具有顯著意義，它為中小企業(yè)參與全球經(jīng)濟(jì)和融入全球價(jià)值鏈創(chuàng)造了新的機(jī)遇，增加了數(shù)字服務(wù)出口的機(jī)會(huì)與價(jià)值，而且全球12%的貨物貿(mào)易都是經(jīng)由數(shù)字平臺完成的[7]5-6。例如，歐洲主要的全球電子商務(wù)平臺Zalando通過數(shù)據(jù)的跨國界維護(hù)和傳輸以跟蹤客戶訂單、供應(yīng)產(chǎn)品，其位于法國、德國、意大利和波蘭的可聯(lián)網(wǎng)倉庫為15個(gè)歐盟國家的2 000萬客戶提供了商品和服務(wù)[8]1。

盡管如此，規(guī)制個(gè)人信息的跨境流動(dòng)也是普遍的。規(guī)制行為的重要考量之一在于濫用個(gè)人信息將威脅到隱私保護(hù)[9]11-12。個(gè)人信息跨境流動(dòng)將威脅到公共利益、國家利益、個(gè)人隱私等[注]參見Burri M.,″The Governance of Data and Data Flows in Trade Agreements: The Pitfalls of Legal Adaption,″ UC Davis Law Review, Vol.51, No.1(2017), pp.67-69。規(guī)制的其他考量還在于國家安全、政治限制、道德限制、知識產(chǎn)權(quán)保護(hù)、商業(yè)限制，見Meltzer J.P.,″The Internet, Cross-border Data Flows and International Trade,″ Asia & the Pacific Policy Studies, Vol.2, No.1(2014), pp.93-96。，本文主要討論其對隱私權(quán)的影響(后文所提到個(gè)人信息跨境流動(dòng)的規(guī)制也僅指出于隱私權(quán)保護(hù)的那部分)。2018年Facebook數(shù)據(jù)泄露事件[注]Rosenberg M., Confessore N. & Cadwalladr C.,″How Trump Consultants Exploited the Facebook Data of Millions,″ 2018-03-17, https://www.nytimes.com/2018/03/17/us/politics/cambridge-analytica-trump-campaign.html, 2019-01-31.再次引發(fā)了人們對信息安全與個(gè)人隱私的擔(dān)憂。個(gè)人信息的開拓性和創(chuàng)新性使用在帶來更大的經(jīng)濟(jì)和社會(huì)效益的同時(shí)也增加了隱私威脅[注]OECD,″Recommendation of the Council Concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data,″ 2019-01-29, https://www.oecd.org/internet/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm#recommendation, 2019-01-31.，面臨著科技飛速發(fā)展帶來的嚴(yán)峻考驗(yàn)[10]284-285。個(gè)人信息保護(hù)在司法實(shí)踐上呈現(xiàn)出以“歐陸逐步發(fā)展個(gè)人信息權(quán)”和“美國隱私權(quán)”為代表的兩種模式[11]119。我國學(xué)者也有主張選擇個(gè)人信息權(quán)保護(hù)路徑的。因?yàn)閭€(gè)人信息權(quán)和隱私權(quán)在權(quán)利屬性的界分、權(quán)利客體的界分、權(quán)利內(nèi)容的界分以及保護(hù)方式上具有差異[12]66-68，隱私權(quán)路徑無法全面保護(hù)個(gè)人信息商業(yè)化利用產(chǎn)生的財(cái)產(chǎn)利益[13]43。而且，出于個(gè)人信息的獨(dú)立性與支配性，個(gè)人信息權(quán)需被視為一種具體人格權(quán)[14]74。但也有學(xué)者認(rèn)為，隱私權(quán)包括個(gè)人信息權(quán)[15]208-209，是個(gè)人享有維護(hù)個(gè)人生活安寧、排除他人非法侵?jǐn)_的權(quán)利[16]487；隱私權(quán)也是個(gè)人對私人信息、私人生活和私人領(lǐng)域進(jìn)行支配和控制的權(quán)利[17]285。對隱私進(jìn)行解釋與重構(gòu)，既能夠在理論上調(diào)和成文法規(guī)范，又能維護(hù)法之穩(wěn)定性。而且，個(gè)人信息權(quán)的討論雖然熱烈，但其如何自洽于既有法律體系則尚未明晰，故本文仍選擇從隱私權(quán)保護(hù)出發(fā)。

總之，規(guī)制數(shù)據(jù)跨境流動(dòng)具有相當(dāng)?shù)谋匾?，個(gè)人隱私保護(hù)與信息自由流動(dòng)間的平衡之于人權(quán)保護(hù)與國際貿(mào)易發(fā)展都將是不可忽視的命題[9]6-9[22]477-478。

二、 跨境電商個(gè)人信息跨境流動(dòng)規(guī)制

分析個(gè)人信息跨境流動(dòng)，對信息的定義是邏輯起點(diǎn)。杜伊認(rèn)為信息應(yīng)當(dāng)具備四個(gè)要素：信息是可分的，信息必須包含一定的內(nèi)容，信息應(yīng)當(dāng)被認(rèn)為是一個(gè)過程，信息可理解為一種知識狀態(tài)或是對知識內(nèi)容的占有，以衡量信息交流的結(jié)果[注]Druey J. N., Information als Gegenstand des Rechts, Zurich: Baden-Baden, 1996。轉(zhuǎn)引自謝遠(yuǎn)揚(yáng)《信息論視角下個(gè)人信息的價(jià)值——兼對隱私權(quán)保護(hù)模式的檢討》，載《清華法學(xué)》2015年第3期，第98頁。。那么，個(gè)人信息就是與私人相關(guān)的信息。在具體定義上有不同方式：概括列舉混合型[注]參見我國臺灣地區(qū)“個(gè)人資料保護(hù)法”第2條。、概括型[注]參見我國香港地區(qū)個(gè)人資料(私隱)條例關(guān)于“個(gè)人資料”的定義。、識別型[注]參見歐盟《一般數(shù)據(jù)保護(hù)條例》，第4條。。識別型是目前立法采用較多的方式，在此定義下，個(gè)人信息是能夠直接或間接識別自然人的信息?？勺R別性是區(qū)分個(gè)人信息與非個(gè)人信息的關(guān)鍵標(biāo)準(zhǔn)，凡能夠單獨(dú)或結(jié)合識別自然人的信息都是個(gè)人信息，否則為非個(gè)人信息[23]107。那么何為可識別性？歐盟是出于“合理性考量”，認(rèn)為如果一項(xiàng)識別需要付出不合理的時(shí)間、努力或資源，那么它就不具有可識別性[24]3-4。加拿大國內(nèi)判例進(jìn)一步明晰，合理的識別是與既有資源結(jié)合[注]Gordon M., The Minister of Health(Canada), 2008 FC 258, para. 32.。美國對于個(gè)人信息定義，除了采取從信息到個(gè)人的可識別性路徑，還納入了從信息到個(gè)人的關(guān)聯(lián)性路徑[25]72。最后，至于“個(gè)人信息跨境流動(dòng)”，按照經(jīng)濟(jì)與合作發(fā)展組織《隱私保護(hù)和個(gè)人數(shù)據(jù)跨境流動(dòng)指南》即指“個(gè)人信息跨越國境的移動(dòng)”。

跨境電商建設(shè)需要國際法與國內(nèi)法雙重視野，其全球性、跨國性的特征要求國際、國內(nèi)規(guī)則的協(xié)調(diào)統(tǒng)一[6]。國際法治與國內(nèi)法治在法治的理念、價(jià)值和核心要素上是一致的，但在形態(tài)與模式上存在差異[26]135-138，全球治理下此二層級法治相互貫通、相互影響，全球治理所依賴的法治需要國際與國內(nèi)法治持續(xù)、廣泛地互動(dòng)[27]82-83。作為跨境電商建設(shè)的重要一環(huán)，個(gè)人信息跨境流動(dòng)規(guī)制同樣需要植根于國際與國內(nèi)的雙重法治土壤。在此過程中，國際規(guī)則旨在關(guān)注不同國家的共同需求，而國內(nèi)規(guī)則更關(guān)注整個(gè)國家在經(jīng)濟(jì)、政治、社會(huì)、文化等多個(gè)領(lǐng)域的需求，立足于國家個(gè)性[28]31-32。規(guī)則間互動(dòng)互融，對全球數(shù)據(jù)流動(dòng)共享共融、和合共生具有重要的現(xiàn)實(shí)意義[29]44。

個(gè)人信息的跨境流動(dòng)有利于跨境電商發(fā)展，但一些國家和地區(qū)會(huì)基于隱私威脅而限制數(shù)據(jù)流動(dòng)。對此，制定或通過恰當(dāng)?shù)姆刹⒋_保其得以執(zhí)行有助于促進(jìn)發(fā)展[30]8-9。自20世紀(jì)70年代起，國際社會(huì)開始探索數(shù)據(jù)保護(hù)規(guī)則。這些規(guī)則平衡著數(shù)據(jù)流動(dòng)各方利益訴求，且以一種確定的方式記錄下來，不斷提升著數(shù)據(jù)保護(hù)水平，也促進(jìn)了技術(shù)的發(fā)展[31]142-144。但不能否認(rèn)的是，盡管數(shù)據(jù)處理的商業(yè)和技術(shù)環(huán)境發(fā)生了根本變化，但利益博弈使得規(guī)則間各自為營，時(shí)至今日，一個(gè)廣為接受的全球范圍數(shù)據(jù)跨境流動(dòng)協(xié)調(diào)規(guī)則依然不可多得[9]6。至于國內(nèi)層面，截至2016年4月，世界上108個(gè)國家實(shí)施了信息保護(hù)法，但立法方式有所區(qū)別，大約60個(gè)國家沒有信息保護(hù)法[注]UNCTAD, Data Protection Regulation and International Data Flows: Implications for Trade and Development, New York: United Nations Publications, 2016, p.42.。此外，很多法律規(guī)則趕不上現(xiàn)實(shí)發(fā)展的節(jié)奏?？傊芗骖檪€(gè)人信息跨境流動(dòng)與其他利益平衡的良法能促進(jìn)國際經(jīng)濟(jì)的發(fā)展，而良法的缺位則阻遏著該領(lǐng)域全球治理的實(shí)現(xiàn)。

三、 規(guī)制個(gè)人信息跨境流動(dòng)的多邊規(guī)則

應(yīng)對全球問題，制定國際規(guī)范，建立可預(yù)期的國際制度，進(jìn)而形成公正、有效的全球化模式是可行路徑[27]81。對于個(gè)人信息跨境流動(dòng)下的隱私權(quán)保護(hù)，我們首先需要明確已有制度現(xiàn)狀，厘清該領(lǐng)域的典型規(guī)則，從而考慮現(xiàn)有制度中的不足，再思考如何進(jìn)行制度的供給或改革。

(一) 價(jià)值傾斜

雖然我們強(qiáng)調(diào)人權(quán)保護(hù)與經(jīng)濟(jì)發(fā)展間的平衡互促，然而在現(xiàn)有主要制度中，歐盟模式傾向于人權(quán)保護(hù)，即在滿足一定條件時(shí)，數(shù)據(jù)可以流動(dòng)；美國模式傾向于數(shù)據(jù)自由流動(dòng)，在特殊情況下允許減損。

當(dāng)混凝土路面局部出現(xiàn)斷板、角隅斷裂、輕微錯(cuò)臺等病害，整體路基完好，根據(jù)舊路檢測評價(jià)路基滿足利用要求是，為避免不均勻沉降，可采用挖除舊路混凝土面層結(jié)構(gòu)直接加鋪路面結(jié)構(gòu)方案處理，可以將混凝土面板打碎后碾壓，將舊路整體作為路床使用。

歐盟對個(gè)人信息保護(hù)的探索處在世界前列，其數(shù)據(jù)流動(dòng)規(guī)則植根于對人的權(quán)利與尊嚴(yán)的維護(hù)，自1995年《個(gè)人數(shù)據(jù)保護(hù)指令》(Directive 95/46/EC)后，歐盟逐漸發(fā)展出一套有別于美國的數(shù)據(jù)保護(hù)規(guī)則，奠定了歐洲數(shù)據(jù)規(guī)則雛形[32]1968。該指令對數(shù)據(jù)跨境流動(dòng)規(guī)定，只有在第三國滿足與該指令相符合的充分保護(hù)條件時(shí)，數(shù)據(jù)方可流動(dòng)至該國。如此措辭不難發(fā)現(xiàn)，歐盟將對人權(quán)的保護(hù)置于數(shù)據(jù)自由流動(dòng)之上，并通過充分保護(hù)人權(quán)增強(qiáng)規(guī)則影響力。但該指令制定時(shí)間久遠(yuǎn)，需要轉(zhuǎn)化為國內(nèi)法施行，易造成歐盟成員國國內(nèi)法異化且效力受損，為了適應(yīng)時(shí)代發(fā)展，歐洲議會(huì)和歐盟理事會(huì)制定了《一般數(shù)據(jù)保護(hù)條例》(GDPR)。條例第五章規(guī)定了個(gè)人數(shù)據(jù)向第三國或國際組織轉(zhuǎn)移的規(guī)則，在一般原則上承襲了指令的規(guī)定，轉(zhuǎn)移的前提是滿足充分保護(hù)條件，并明晰充分保護(hù)條件的判斷標(biāo)準(zhǔn)。在無法評估充分保護(hù)條件時(shí)，控制者或處理者需要提供適當(dāng)保護(hù)措施，且在保證數(shù)據(jù)主體權(quán)利以及具備有效救濟(jì)措施時(shí)方可轉(zhuǎn)移。另外，條例賦予數(shù)據(jù)主體充分權(quán)利，使其具有域外適用效力以擴(kuò)大管轄范圍，設(shè)立獨(dú)立監(jiān)管機(jī)關(guān)，還規(guī)定了嚴(yán)格的處罰條款等以實(shí)現(xiàn)個(gè)人對其數(shù)據(jù)的自主控制。

從美國參與和主導(dǎo)的數(shù)據(jù)流動(dòng)方面的規(guī)則看，美國傾向于數(shù)據(jù)自由流動(dòng)以激發(fā)企業(yè)創(chuàng)新力，落腳點(diǎn)在于經(jīng)濟(jì)發(fā)展。經(jīng)濟(jì)與合作發(fā)展組織《關(guān)于隱私保護(hù)和個(gè)人跨境數(shù)據(jù)轉(zhuǎn)移的指南》(OECD Guidelines)規(guī)定了國際上數(shù)據(jù)自由流動(dòng)，不得施加不合理限制。亞太經(jīng)濟(jì)合作組織《跨境隱私保護(hù)規(guī)則體系》(CBPRS)與《亞太經(jīng)合組織隱私保護(hù)框架》(《APEC隱私框架》)保持一致?！禔PEC隱私框架》對個(gè)人信息跨境流動(dòng)規(guī)定，由私人信息控制者采取合理措施確保接收者能夠提供與該框架規(guī)則相符合的措施，相較于歐盟的充分保護(hù)條件，其對數(shù)據(jù)跨境流動(dòng)的門檻更低。CBPRS具有強(qiáng)烈的美國色彩，倡導(dǎo)信息自由流動(dòng)，鼓勵(lì)促進(jìn)電子商務(wù)和跨境貿(mào)易，是一個(gè)“自愿的，以問責(zé)為基礎(chǔ)的”體系，主要是通過企業(yè)自律機(jī)制發(fā)揮效用，引入隱私執(zhí)法機(jī)構(gòu)和問責(zé)代理機(jī)制。

總之，歐盟個(gè)人數(shù)據(jù)保護(hù)立足于人權(quán)保護(hù)，通過以國家為主導(dǎo)的自上而下的路徑實(shí)施規(guī)則；美國傾向于數(shù)字經(jīng)濟(jì)發(fā)展，依賴企業(yè)自律施行規(guī)則[33]12。筆者認(rèn)為二者不可偏廢，且相輔相成。數(shù)據(jù)的自由流動(dòng)對經(jīng)濟(jì)發(fā)展具有重要價(jià)值，而經(jīng)濟(jì)基礎(chǔ)的夯實(shí)對人權(quán)保護(hù)制度的完善也有積極作用。電子商務(wù)發(fā)展中如能較好地保護(hù)人權(quán)，將激勵(lì)人們接納新型消費(fèi)方式，也認(rèn)可信息流動(dòng)的意義，從而促進(jìn)經(jīng)濟(jì)發(fā)展。故而國際制度的構(gòu)建應(yīng)在二者間尋求動(dòng)態(tài)平衡。2018年10月10日開放簽署的《有關(guān)個(gè)人數(shù)據(jù)自動(dòng)化處理之個(gè)人保護(hù)公約》更新版本作為目前唯一具有法律拘束力的國際性公約就對此做出了嘗試[注]Council of Europe, ″Protocol Amending the Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data,″ https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/223, 2019-01-31.。

(二) “軟硬”失衡

現(xiàn)有規(guī)則中，聯(lián)合國大會(huì)通過的《數(shù)字時(shí)代的隱私權(quán)》、聯(lián)合國人權(quán)理事會(huì)第28/16號決議都強(qiáng)調(diào)對數(shù)字時(shí)代的個(gè)人信息提供隱私權(quán)保護(hù)，OECD Guidelines、CBPRS、數(shù)據(jù)保護(hù)與隱私專員國際大會(huì)發(fā)布的《蒙特勒宣言：全球化世界中個(gè)人數(shù)據(jù)和隱私保護(hù)——尊重多樣性的一致權(quán)利》以及聯(lián)合國國際貿(mào)易法委員會(huì)通過的《電子商務(wù)示范法》等，雖然具有廣泛影響力，但究其根本都是不具有拘束力的倡議性、原則性的“軟法”。其欠缺明確的責(zé)任規(guī)定和程序設(shè)計(jì)，任意性解釋空間大，認(rèn)可程度上具有隨意性，法律發(fā)展具有不規(guī)則性等，如果過度依賴軟法將難以實(shí)現(xiàn)法治[34]45-46，希望由成員國國內(nèi)法轉(zhuǎn)化適用也易造成數(shù)據(jù)保護(hù)規(guī)則的碎片化。而像GDPR這樣的“硬法”卻因過于嚴(yán)苛而難以擴(kuò)大其全球影響力。GDPR生效后，美國商務(wù)部部長威爾伯·羅斯就對其持否定態(tài)度，表示GDPR實(shí)施會(huì)擾亂歐美合作并制造貿(mào)易壁壘[注]Wilbur Ross,″EU Data Privacy Laws Are Likely to Create Barriers to Trade,″ 2018-05-30, https://www.ft.com/content/9d261f44-6255-11e8-bdd1-cc0534df682c, 2019-01-31.。GDPR具有域外效力，但如何域外執(zhí)行以及能否得以執(zhí)行仍不得而知。而且，“硬法”很大程度是對國家主權(quán)的削弱，這實(shí)非國家所愿，就算歐盟成員國也并非全為GDPR的施行做好準(zhǔn)備并樂見其成[注]I-SCOOP,″Why EU Member States and National DPAs Will Not Be Fully Ready for GDPR in Time,″ 2018-02-16, https://www.i-scoop.eu/european-member-states-dpas-ready-gdpr-time/, 2019-01-31.。成員國內(nèi)數(shù)據(jù)保護(hù)水平存在差異，嚴(yán)厲的規(guī)則可能導(dǎo)致企業(yè)創(chuàng)新力下降、合規(guī)成本增加，從而挫傷國際貿(mào)易的發(fā)展。因此，未來在制度構(gòu)建上需要加強(qiáng)軟硬法結(jié)合治理，走向一種混合法治的新模式[35]108。至于如何混合治理，這取決于參與者的力量博弈、差異分配程度、政權(quán)的組成與性質(zhì)以及不同的執(zhí)行方式[36]799。

(三) 適用困難

保護(hù)人權(quán)與基本自由是聯(lián)合國的宗旨之一，聯(lián)合國對隱私權(quán)保護(hù)長期關(guān)切?！豆駲?quán)利和政治權(quán)利國際公約》(ICCPR)明確了對隱私權(quán)的保護(hù)，且規(guī)定公約締約國尊重和保證其領(lǐng)土內(nèi)和受其管轄的一切個(gè)人享有本公約所承認(rèn)的權(quán)利。那么締約國是否需要保護(hù)在其領(lǐng)土外個(gè)人的隱私權(quán)？這涉及ICCPR的域外適用問題。通說認(rèn)為，當(dāng)個(gè)人非位于締約國領(lǐng)土但處于締約國實(shí)際力量或有效控制下時(shí)，ICCPR即具有域外效力[37]621-625。故而，當(dāng)個(gè)人信息傳送至他國，處于他國實(shí)際力量或有效控制下時(shí)，他國應(yīng)當(dāng)給予與ICCPR規(guī)定一致的保護(hù)[38]359-365。但是，許多國家基于將生命權(quán)置于優(yōu)先地位及反恐等原因，并未對公民網(wǎng)絡(luò)隱私給予充分保護(hù)，而人權(quán)公約又缺乏強(qiáng)制執(zhí)行與懲罰的機(jī)制[39]676-677。因此，國家逐漸寄希望于貿(mào)易協(xié)定來解決問題，但現(xiàn)有貿(mào)易協(xié)定仍然存在問題，WTO協(xié)定和《全面與進(jìn)步跨太平洋伙伴關(guān)系協(xié)定》(CPTPP)即如此。

WTO規(guī)則能否直接用以規(guī)制數(shù)據(jù)跨境流動(dòng)也是廣受爭議的。有學(xué)者認(rèn)為應(yīng)首先通過個(gè)案分析將貿(mào)易類型歸類，如能涵納于既有協(xié)定下，再進(jìn)一步討論系屬該協(xié)定下的何種模式或部門，最后判斷是否違反協(xié)定內(nèi)容[40]42-44。但對網(wǎng)上交易和傳遞的數(shù)字化產(chǎn)品能否涵納于既有的WTO協(xié)定莫衷一是[41]19，此時(shí)就難以利用WTO規(guī)則對個(gè)人信息進(jìn)行隱私權(quán)保護(hù)。此外，WTO協(xié)定旨在促進(jìn)貿(mào)易自由化，對人權(quán)保護(hù)關(guān)注不足。將保護(hù)個(gè)人隱私視作例外情形的僅在《服務(wù)貿(mào)易總協(xié)定》中有所規(guī)定(第14條)。因此，利用既有規(guī)則應(yīng)對新問題不免捉襟見肘。對此，有學(xué)者提出，WTO可以采取數(shù)據(jù)區(qū)分方式建立規(guī)則[42]323-348；有學(xué)者建議，因個(gè)人、企業(yè)和政府在數(shù)據(jù)跨境流動(dòng)中各有利益需求，從而發(fā)展出了以美國、歐盟、中國為代表的三種規(guī)制路徑，WTO需要從三者共性出發(fā)制定新規(guī)則[43]245-272。這些討論的共性都在于，如果要在世貿(mào)組織框架下解決問題，就更寄希望于新的多邊規(guī)則或《服務(wù)貿(mào)易協(xié)定》可以有所突破，抑或是WTO能夠從已有的治理經(jīng)驗(yàn)中尋求路徑。至于CPTPP，其明確了電子商務(wù)發(fā)展過程中對個(gè)人信息的保護(hù)。在跨境傳輸信息中，既肯定締約方的監(jiān)管需求，也表明原則上允許個(gè)人信息的跨境傳輸，但在為了實(shí)現(xiàn)合法的公共政策目標(biāo)以及在措施合法的情況下可以減損。CPTPP對數(shù)據(jù)流動(dòng)的規(guī)制仍具有貿(mào)易協(xié)定的一般問題，如談判過程不透明、爭端解決程序影響數(shù)據(jù)保護(hù)規(guī)則以及條文寬泛、缺乏操作性[20]37。

這些規(guī)則對跨境電商發(fā)展中個(gè)人信息跨境流動(dòng)的隱私權(quán)保護(hù)可以起到一定作用，但其存在的問題也表明，建構(gòu)一套適用于數(shù)字經(jīng)濟(jì)發(fā)展的個(gè)人信息跨境流動(dòng)多邊規(guī)則仍然必要。

四、 規(guī)制個(gè)人信息跨境流動(dòng)的國內(nèi)立法模式

除了國際治理，全球治理“兩造”之另一主體即為國家治理?！皣抑卫硎侨蛑卫淼暮诵牟糠帧！盵27]80分析各國國內(nèi)規(guī)則可以了解各國規(guī)定及發(fā)展趨勢，為個(gè)人信息跨境流動(dòng)規(guī)制提供借鑒。如今，數(shù)據(jù)跨境流動(dòng)完全自由或是完全限制都無法實(shí)現(xiàn)發(fā)展，國家基于不同利益需求會(huì)采取不同立法模式，大致可以分為以下三種[注]此三種模式借鑒了張金平的劃分方式，但將其“第三國適當(dāng)性評估模式”改為“適當(dāng)性評估模式”，因?yàn)楫?dāng)個(gè)人數(shù)據(jù)轉(zhuǎn)移至國際組織或港澳臺地區(qū)時(shí)仍適用適當(dāng)性評估；將“數(shù)據(jù)控制者擔(dān)保模式”改為“數(shù)據(jù)控制者確保模式”，因“擔(dān)保”一詞財(cái)產(chǎn)法色彩較重，易產(chǎn)生歧義。參見張金平《跨境數(shù)據(jù)轉(zhuǎn)移的國際規(guī)制及中國法律的應(yīng)對——兼評我國〈網(wǎng)絡(luò)安全法〉上的跨境數(shù)據(jù)轉(zhuǎn)移限制規(guī)則》，載《政治與法律》2016年第12期，第140-144頁。：

(一) 適當(dāng)性評估模式

據(jù)不完全統(tǒng)計(jì)，采取適當(dāng)性評估模式的國家最多，包括很多歐盟成員國，也包括馬來西亞、馬達(dá)加斯加等國[注]DLA PIPER, ″Data Protection Laws of the World,″ 2018.。歐盟成員國采取此模式是因?yàn)槠鋰鴥?nèi)法須與GDPR相符合，GDPR第45條第1款規(guī)定：“個(gè)人數(shù)據(jù)轉(zhuǎn)移至第三國或國際組織，僅于委員會(huì)決定該第三國、第三國國內(nèi)之領(lǐng)域或特定部門、國際組織確有充分程度之保護(hù)時(shí)，方得為之。”這種評估需要考量的因素包括法治、對人權(quán)與基本自由的尊重、國內(nèi)相關(guān)立法、國際規(guī)則與判例、行政與司法救濟(jì)；執(zhí)行的充分、與監(jiān)管機(jī)關(guān)的合作；加入的與個(gè)人數(shù)據(jù)相關(guān)的國際協(xié)定等[注]參見《一般數(shù)據(jù)保護(hù)條例》，第45條第2款。。但值得注意的是，幾乎所有這些國家內(nèi)，該模式都并非數(shù)據(jù)跨境轉(zhuǎn)移的唯一情形，它們或設(shè)置減損條款，或規(guī)定其他情形最終擴(kuò)大數(shù)據(jù)轉(zhuǎn)移之可能。例如，馬來西亞《個(gè)人數(shù)據(jù)法案》中規(guī)定諸多不適用適當(dāng)性評估模式的情形[注]馬來西亞《個(gè)人數(shù)據(jù)保護(hù)法案2010》，第128節(jié)。，其中也包括數(shù)據(jù)控制者確保模式和數(shù)據(jù)主體同意模式。

適當(dāng)性評估模式主要為歐盟成員國所采取，這與歐洲數(shù)據(jù)保護(hù)規(guī)則探索已久不無關(guān)系，因而從立法技術(shù)、實(shí)際操作上看，該模式都更適合。它的優(yōu)勢在于,如果滿足條件就能促進(jìn)數(shù)據(jù)廣泛流動(dòng)，而對國家、地區(qū)和國際組織數(shù)據(jù)保護(hù)制度進(jìn)行評估有利于法律的和諧，在評估保護(hù)是否充分時(shí)采取“白名單”有助于人權(quán)保護(hù)規(guī)則更加透明開放[20]14；其不足在于，進(jìn)行評估程序復(fù)雜、耗時(shí)較長，方式選擇不當(dāng)易異化規(guī)則，且因限制嚴(yán)格而阻礙貿(mào)易發(fā)展[44]134。

(二) 數(shù)據(jù)控制者確保模式

選擇數(shù)據(jù)控制者確保模式的國家有美國[注]美國國家立法中并沒有對個(gè)人信息跨境流動(dòng)施以地域限制，但是大多數(shù)美國企業(yè)都被要求采取合理措施保護(hù)敏感個(gè)人信息的安全，一些州有相關(guān)立法。此外，美國主導(dǎo)CBPRS，整個(gè)規(guī)則體系具有美國色彩。美國2018年3月通過的“CLOUD法案”中也借鑒了該模式。、澳大利亞、加拿大、菲律賓、俄羅斯、新加坡等，大多是APEC成員。這些國家的立法也與《APEC隱私框架》規(guī)定相似，根據(jù)《APEC隱私框架》，個(gè)人信息跨境流動(dòng)不受限制的一個(gè)前提是數(shù)據(jù)控制者采取合理措施確保接收者將采取與框架一致的數(shù)據(jù)保護(hù)措施。該模式選擇從企業(yè)切入擴(kuò)大影響力，不可否認(rèn)，其可以創(chuàng)新數(shù)據(jù)保護(hù)路徑，利于形成企業(yè)數(shù)據(jù)保護(hù)的最佳實(shí)踐。但對企業(yè)監(jiān)管困難，導(dǎo)致新生企業(yè)負(fù)擔(dān)過重[注]參見張金平《跨境數(shù)據(jù)轉(zhuǎn)移的國際規(guī)制及中國法律的應(yīng)對——兼評我國〈網(wǎng)絡(luò)安全法〉上的跨境數(shù)據(jù)轉(zhuǎn)移限制規(guī)則》，載《政治與法律》2016年第12期，第143-144頁。，企業(yè)固有的利益趨向性也使其難以平衡個(gè)人、企業(yè)、政府利益。不過，《APEC隱私框架》在數(shù)據(jù)跨境轉(zhuǎn)移規(guī)制上也納入了數(shù)據(jù)主體同意模式，而澳大利亞InformationPrivacyAct2014除了將同意作為例外情形，還規(guī)定了諸多例外[注]Information Privacy Act 2014(Australian Capital Territory), Principle 8.。

(三) 數(shù)據(jù)主體同意模式

采用數(shù)據(jù)主體同意模式的代表國家就是中國。我國《網(wǎng)絡(luò)安全法》第42條規(guī)定：“網(wǎng)絡(luò)運(yùn)營者不得泄露、篡改、毀損其收集的個(gè)人信息；未經(jīng)被收集者同意，不得向他人提供個(gè)人信息?！敝袊碾娮由虅?wù)發(fā)展世界領(lǐng)先，但數(shù)據(jù)保護(hù)規(guī)則仍處于探索階段。數(shù)據(jù)主體同意模式相較于前兩者更加簡便，將權(quán)利賦予個(gè)人，企業(yè)也減少了合規(guī)成本[20]。由于數(shù)據(jù)保護(hù)規(guī)則尚不成熟，選擇由數(shù)據(jù)主體來決定是否進(jìn)行跨境轉(zhuǎn)移更符合發(fā)展中國家的需求。不過，實(shí)際操作僅就“同意”這一要件就產(chǎn)生諸多困擾。有學(xué)者認(rèn)為它的理論根基不牢固,同意本身缺乏必要性，真實(shí)性也難以保障，不符合經(jīng)濟(jì)考量，并且大量例外規(guī)定實(shí)質(zhì)上削弱了同意基礎(chǔ)的效力[45]128-132。該模式也容易導(dǎo)致數(shù)據(jù)保護(hù)實(shí)踐的碎片化[20]14。此外，在有的國家數(shù)據(jù)主體同意并非個(gè)人信息跨境流動(dòng)的唯一條件，例如，根據(jù)中國《網(wǎng)絡(luò)安全法》第37條，還需進(jìn)行安全評估，但此處的評估與適當(dāng)性評估模式中的評估不同，主要體現(xiàn)在中國的評估是對內(nèi)，是對需要轉(zhuǎn)移的個(gè)人信息和重要數(shù)據(jù)進(jìn)行評估；而歐盟成員國是對外，是對數(shù)據(jù)流入國的保護(hù)水平進(jìn)行評估。而日本《個(gè)人信息保護(hù)法》規(guī)定，除了數(shù)據(jù)主體的同意外，如果接收者能夠持續(xù)采取與日本數(shù)據(jù)保護(hù)規(guī)定相符合的措施或者接收者所在國家對個(gè)人權(quán)利和利益的保護(hù)程度與日本同等，那么數(shù)據(jù)仍可跨境流動(dòng)[注]參見《日本個(gè)人信息保護(hù)法》，第24條。。

(四) 總結(jié)

三種國內(nèi)立法模式實(shí)則反映了歐盟成員國、美國、中國在數(shù)據(jù)治理上呈現(xiàn)的三種典型做法。從上述分析看，目前適當(dāng)性評估模式采用最多，一方面源于歐盟的影響力，另一方面在于其數(shù)據(jù)保護(hù)規(guī)則的特性。三者相比較可以發(fā)現(xiàn)，歐盟成員國的適當(dāng)評估性模式是一種對外的事前防范制度，美國行業(yè)自律+問責(zé)制體現(xiàn)為一種事后途徑[44]，而中國選擇數(shù)據(jù)主體同意+安全評估則是一種對內(nèi)的事前防范制度。中國的選擇是維護(hù)國益、公益的要求，也是大數(shù)據(jù)時(shí)代下實(shí)現(xiàn)國家數(shù)據(jù)安全的自然應(yīng)對[46]75。不同模式的存在反映出世界各國在數(shù)據(jù)保護(hù)上存在經(jīng)濟(jì)、技術(shù)、政治、道德等諸多因素的差異，也是國家處在國家安全、經(jīng)濟(jì)發(fā)展和個(gè)人隱私之間的“三難抉擇”?？缇硵?shù)據(jù)流動(dòng)的規(guī)制是一個(gè)復(fù)雜問題，同時(shí)涉及國內(nèi)政策和國際協(xié)調(diào)，而政策措施具有天然差異且彼此競爭[47]179。但中國、美國、歐盟作為跨境電商發(fā)展的主力軍，為了在數(shù)字經(jīng)濟(jì)時(shí)代謀求長遠(yuǎn)發(fā)展，更應(yīng)該去思索三者共性以尋求合作與共贏?，F(xiàn)實(shí)中也是大多數(shù)國家和地區(qū)會(huì)以一種模式為主，兼采其他模式或設(shè)置其他例外情形以增強(qiáng)法律靈活性，促進(jìn)數(shù)據(jù)跨境流動(dòng)。因此，利益并非不可調(diào)和，合作也非無稽之談。

五、 對中國的啟示與建議

根據(jù)ChinaInternetWatch的數(shù)據(jù)顯示，到2020年中國將成為最大的跨境電子商務(wù)市場[注]CIW,″Cross-border Consumers to Account for over Half of Total Digital Consumers by 2020,″ 2016-07-06, https://www.chinainternetwatch.com/18194/embraces-cross-border-e-commerce/, 2019-01-31.。這意味著中國將更加廣泛地參與到個(gè)人信息跨境流動(dòng)中，因此，研究如何在促進(jìn)跨境電子商務(wù)發(fā)展的同時(shí)保護(hù)公民個(gè)人隱私具有重要意義。鑒于此，筆者提出如下建議。

(一) 多層面齊頭并進(jìn)構(gòu)筑法律規(guī)則體系

目前，我國與規(guī)制個(gè)人信息跨境流動(dòng)保護(hù)相關(guān)的規(guī)則雖然都在一定程度上明確和加強(qiáng)了個(gè)人信息保護(hù)[注]例如2016年頒行的《網(wǎng)絡(luò)安全法》第四章“網(wǎng)絡(luò)信息安全”對個(gè)人信息保護(hù)做出了規(guī)定；《民法總則》明確個(gè)人信息受法律保護(hù)；《消費(fèi)者權(quán)益保護(hù)法》規(guī)定消費(fèi)者享有個(gè)人信息依法得到保護(hù)的權(quán)利；《侵權(quán)責(zé)任法》明確對民事權(quán)益的保護(hù)；《刑法》及相關(guān)司法解釋規(guī)定了“侵犯公民個(gè)人信息罪”；《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》(2011修訂)強(qiáng)調(diào)用戶的通信自由與通信秘密；《信息安全技術(shù)公共及商用服務(wù)系統(tǒng)個(gè)人信息保護(hù)指南》為個(gè)人信息轉(zhuǎn)移提供了指導(dǎo)意見等。，但仍不健全，缺乏具體的執(zhí)行規(guī)則[48]115。有學(xué)者提議出臺專門的個(gè)人信息保護(hù)法，并探討了其立法需求、立法方向、立法模式的選擇[注]例如崔光耀《加快推進(jìn)個(gè)人信息保護(hù)立法》，載《中國信息安全》2018年第3期，第5頁；佚名《全國人大常委會(huì)法工委：正研究個(gè)人信息保護(hù)立法》， 2018-02-26， http://www.chinanews.com/sh/2018/02-26/8454996.shtml， 2019-01-31；周漢華《探索激勵(lì)相容的個(gè)人數(shù)據(jù)治理之道——中國個(gè)人信息保護(hù)法的立法方向》，載《法學(xué)研究》2018年第2期，第3-23頁；蔣舸《個(gè)人信息保護(hù)法立法模式的選擇——以德國經(jīng)驗(yàn)為視角》，載《法律科學(xué)(西北政法大學(xué)學(xué)報(bào))》2011年第2期，第113-120頁。。對此，筆者認(rèn)為，無論是既有法律規(guī)則的完善抑或新規(guī)則的架構(gòu)，都可以借鑒“原則+減損”的模式：以保護(hù)為原則，保護(hù)信息的自由流動(dòng)，同時(shí)也保護(hù)隱私權(quán)；以限制為例外，限制信息跨境轉(zhuǎn)移和限制隱私權(quán)。在進(jìn)行安全評估的前提下，區(qū)分?jǐn)?shù)據(jù)性質(zhì)，納入數(shù)據(jù)主體同意、適當(dāng)性評估、數(shù)據(jù)控制者確保模式及其他條件。不同性質(zhì)的數(shù)據(jù)在跨境流動(dòng)中的意義存在差別，其限制亦應(yīng)不同。數(shù)據(jù)分類限制除了考慮法益平衡，也要兼顧技術(shù)發(fā)展的現(xiàn)狀與未來。而對隱私權(quán)的限制不能是任意的和不合法的[注]參見聯(lián)合國人權(quán)高級專員辦事處《第16號一般性意見：第十七條(隱私權(quán))》，1988年，第2-4段。，國內(nèi)法需要對限制做出規(guī)定，且以保護(hù)國家安全或者預(yù)防混亂與犯罪等為目的[注]Klass and Others v. Germany, ECHR, Judgement, 1978, para.44.。限制還必須是為了保護(hù)合法目的而必不可少的，還需要符合相稱性原則[注]參見聯(lián)合國人權(quán)高級專員辦事處 《第27號一般性意見：第十二條(遷徙自由)》，1999年，第14段。。

雙邊條約[注]此部分的“雙邊條約”與后文“多邊條約”中的“條約”一詞均采廣義，包括協(xié)定、專約、公約、議定書等。參見李浩培《條約法概論》，(北京)法律出版社2003年版，第21頁。相較于多邊條約更易符合締約國利益考量，權(quán)利義務(wù)更加明確，并且它的監(jiān)督和執(zhí)行機(jī)制也更嚴(yán)格[49]347。因?yàn)楦鲊诳缇硵?shù)據(jù)流動(dòng)方面對個(gè)人信息的隱私保護(hù)水平參差不齊，通過訂立雙邊條約或者納入相關(guān)條款到雙邊條約中的方式，中國可在此過程中選擇最為符合其制度、技術(shù)、經(jīng)濟(jì)等情況的方式?！稓W美隱私盾協(xié)議》就是典型代表，雖然美、歐在數(shù)據(jù)保護(hù)規(guī)定上大相徑庭，但在商業(yè)利益的驅(qū)動(dòng)下，雙方仍可達(dá)成彼此較為滿意的妥協(xié)[50]263。而且中國—澳大利亞、中國—韓國自貿(mào)區(qū)協(xié)定中已經(jīng)明確規(guī)定“在線數(shù)據(jù)保護(hù)”，保護(hù)用戶的個(gè)人信息，雖然未細(xì)致到個(gè)人信息的跨境流動(dòng)，但確是良好開端。中國可在雙邊協(xié)定的簽署過程中不斷細(xì)化、推進(jìn)數(shù)據(jù)保護(hù)規(guī)則，從而擴(kuò)大中國規(guī)則的影響力，提升中國話語權(quán)。

在中國倡導(dǎo)構(gòu)建人類命運(yùn)共同體及促進(jìn)全球治理體系變革的背景下，物質(zhì)層面和制度觀念層面的全球公共物品是實(shí)施全球治理的重要保障，也是深入推進(jìn)全球治理的有效途徑[51]9-10。全球治理層面的規(guī)則重塑是重要策略[注]規(guī)則重塑的本質(zhì)是提供一套新的關(guān)于哲學(xué)理念和意識形態(tài)的系統(tǒng)學(xué)說，這套系統(tǒng)學(xué)說至少具備三個(gè)方面的特質(zhì)：一是必須具有內(nèi)外統(tǒng)一性；二是必須體現(xiàn)新舊傳承性；三是必須體現(xiàn)時(shí)代進(jìn)步性。參見王鴻剛《中國參與全球治理：新時(shí)代的機(jī)遇與方向》，載《外交評論》2017年第6期，第16-17頁。，而多邊條約談判對此具有積極意義。多邊條約的優(yōu)勢[49]327利于催生多邊合作[注]Kwakwa V.,″Multilateralism for an Inclusive World,″ 2017-11-01, https://www.worldbank.org/en/news/opinion/2017/11/01/multilateralism-for-an-inclusive-world, 2019-01-31.，甚至能夠發(fā)展成為全球性規(guī)則，比如世界貿(mào)易組織規(guī)則[52]11。并且，現(xiàn)實(shí)也證明多邊條約談判和締結(jié)是國際社會(huì)的常態(tài)[注]交存于聯(lián)合國秘書長的多邊條約超過560份，涉及爭端解決、特權(quán)與豁免、人權(quán)、難民與無國籍人、國際貿(mào)易與發(fā)展等29個(gè)領(lǐng)域，參見United Nations Treaty Collection,″Multilateral Treaties Deposited with the Secretary-General,″ 2019-01-31,https://treaties.un.org/pages/ParticipationStatus.aspx, 2019-01-31。。因此，就跨境數(shù)據(jù)流動(dòng)中的個(gè)人信息隱私權(quán)保護(hù)，中國既可以積極參與已有條約，也可以主動(dòng)倡導(dǎo)新一輪的多邊條約談判。在多邊條約的建構(gòu)上，筆者認(rèn)為中國既要團(tuán)結(jié)發(fā)展中國家，譬如在“一帶一路”建設(shè)中積極推動(dòng)中國規(guī)則的適用；也要主動(dòng)與發(fā)達(dá)國家求同存異，例如中國、美國、歐盟三方可以嘗試在WTO機(jī)制下思索合作的路徑[43]。同時(shí)，可以思索、借鑒我們在曾經(jīng)未知的領(lǐng)域里構(gòu)建國際規(guī)則的經(jīng)驗(yàn)教訓(xùn)，例如海洋領(lǐng)域內(nèi)全球治理路徑的探索。而且，在多邊規(guī)則建構(gòu)過程中要加強(qiáng)“硬法”與“軟法”間的互動(dòng)，視不同情境采取相應(yīng)舉措[注]Shaffer和Pollack對軟硬法間的互動(dòng)提出5種假設(shè)：當(dāng)強(qiáng)國同意時(shí)、當(dāng)強(qiáng)國反對時(shí)、當(dāng)相對弱小國家反對時(shí)、執(zhí)行的遞歸效應(yīng)、硬法與軟法相互對抗，并提供了相應(yīng)建議。詳見Shaffer G.& Pollack M.A.,″Hard vs. Soft Law: Alternatives, Complements and Antagonists in International Governance,″ Minnesota Law Review, Vol.94, No.3(2010), pp.765-798。。

(二) 多主體齊心協(xié)力增強(qiáng)信息隱私保護(hù)

根據(jù)商務(wù)部《中國電子商務(wù)報(bào)告2017》的數(shù)據(jù)顯示：“截至2017年底，全國網(wǎng)絡(luò)購物用戶規(guī)模達(dá)5.33億……經(jīng)中國海關(guān)辦理的跨境電子商務(wù)清單達(dá)6.6億票……”[注]參見商務(wù)部電子商務(wù)和信息化司《中國電子商務(wù)報(bào)告2017》， http://dzsws.mofcom.gov.cn/article/ztxx/ndbg/201805/20180502750562.shtml, 2018年8月23日，第1頁、第4頁。當(dāng)我們愈發(fā)感受到科技帶來的便捷時(shí)，也要意識到隱私保護(hù)正面臨更嚴(yán)峻的威脅。從有關(guān)個(gè)人信息跨境流動(dòng)的國際、國內(nèi)規(guī)則中不難發(fā)現(xiàn)，個(gè)人在其中發(fā)揮著重要作用。數(shù)據(jù)主體的同意要么為一些國家采納為主要的數(shù)據(jù)流動(dòng)立法模式，要么作為其他模式下的一項(xiàng)例外情形出現(xiàn)，因此，個(gè)人應(yīng)積極主動(dòng)行使權(quán)利，2018年“支付寶年度賬單事件”值得引起關(guān)注。

我國《網(wǎng)絡(luò)安全法》對網(wǎng)絡(luò)運(yùn)營者、網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的提供者、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者的義務(wù)都做出了規(guī)定。GDPR對企業(yè)保護(hù)顧客信息施以更加嚴(yán)格的規(guī)定，CBPRS也以企業(yè)的行業(yè)自律和問責(zé)為基礎(chǔ)。嚴(yán)格的義務(wù)規(guī)范在某種程度上將壓力轉(zhuǎn)移到企業(yè)，企業(yè)需增強(qiáng)自身的信息保護(hù)技術(shù)能力。在保護(hù)個(gè)人信息跨境流動(dòng)的具體舉措上，企業(yè)可借鑒CBPRS和歐盟《約束性公司規(guī)則》(BCRS)采取自我評估、用戶授權(quán)、合同約定、第三方安全認(rèn)證等自律方式對個(gè)人信息進(jìn)行管理。此外，企業(yè)也需盡可能在主要營業(yè)地設(shè)立實(shí)體分支機(jī)構(gòu)，使個(gè)人信息受侵害者求助有道。除了硬件層面之外，企業(yè)應(yīng)增強(qiáng)守法意識。對數(shù)據(jù)、信息安全法規(guī)的遵從程度是衡量社會(huì)整體數(shù)據(jù)、信息安全保障水平的重要標(biāo)尺[44]136。數(shù)據(jù)跨境流動(dòng)中，企業(yè)既需要遵守?cái)?shù)據(jù)流出國法規(guī)，也需要遵守?cái)?shù)據(jù)流入國法規(guī)。倘若能夠形成一個(gè)“最佳實(shí)踐”，則可以此為藍(lán)本進(jìn)行推廣。

信息與網(wǎng)絡(luò)安全部《2016—2017年度中國網(wǎng)絡(luò)空間安全綜述》指出，雖然我國網(wǎng)絡(luò)發(fā)展速度快，但卻面臨著嚴(yán)重的網(wǎng)絡(luò)安全威脅，并且這種威脅還在呈現(xiàn)新的變化，諸如網(wǎng)絡(luò)欺詐、網(wǎng)絡(luò)攻擊、勒索軟件等[注]參見《2016—2017年度中國網(wǎng)絡(luò)空間安全綜述》， 2017年12月25日， http://www.sic.gov.cn/news/91/8705.htm， 2019年1月31日。。對此，政府還應(yīng)加強(qiáng)如下舉措：首先，發(fā)展網(wǎng)絡(luò)安全技術(shù)。在跨境電商發(fā)展過程中，除了信息流入國可能會(huì)侵害公民隱私外，信息流出國的信息安全能力也將影響到隱私保護(hù)。因此，政府需要不斷探索完善網(wǎng)絡(luò)安全技術(shù)，諸如將流動(dòng)的數(shù)據(jù)進(jìn)行標(biāo)識分類，針對不同類別的信息采取不同的保護(hù)方式。其次，制定網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，以標(biāo)準(zhǔn)細(xì)化法律規(guī)范。有學(xué)者指出，現(xiàn)有的制度設(shè)計(jì)不足以保障實(shí)質(zhì)性的網(wǎng)絡(luò)安全，標(biāo)準(zhǔn)不可避免地落后于現(xiàn)實(shí)需要[53]28,32。歐盟GDPR施行較晚就在于其試圖制定一套能夠適應(yīng)時(shí)代變化的規(guī)則，但結(jié)果也許并非盡如人意。為了彌補(bǔ)標(biāo)準(zhǔn)的滯后性，可以考慮美國以市場為導(dǎo)向加之以行業(yè)自律進(jìn)行規(guī)制的方式，由市場參與者自主形成標(biāo)準(zhǔn)，輔以國家參與。最后，加強(qiáng)國際交流合作。信息流動(dòng)有利于信息共享，中國作為電商大國，應(yīng)積極構(gòu)建合作平臺，設(shè)計(jì)對話機(jī)制，取得信息流動(dòng)合作的主動(dòng)權(quán)。

跨境電商建設(shè)過程中的個(gè)人信息跨境流動(dòng)關(guān)涉國家安全、個(gè)人隱私、經(jīng)濟(jì)發(fā)展。中國既是經(jīng)濟(jì)大國，又是人口大國，在利益間任一偏廢都難以實(shí)現(xiàn)持久發(fā)展。中國需要將這三方面綜合考量，在數(shù)字經(jīng)濟(jì)發(fā)展中砥礪前行，維持動(dòng)態(tài)平衡，在此過程中，著眼多層面構(gòu)筑法律規(guī)則，并促進(jìn)其良性互動(dòng)。