淺析個人信息跨境使用范圍和保護
——以《歐盟數(shù)據(jù)保護通用條例》為例

■胡紫陽 韓 萌/哈爾濱商業(yè)大學

隨著跨國跨境數(shù)據(jù)交流數(shù)量的日益漸增，極大地方便了人們的生活，人們在選擇商品、選擇服務等方面有了更豐富的選擇，與此同時企業(yè)也能擴大自己的生產(chǎn)渠道和銷售范圍，帶來更多的利潤和外匯。但隨之而來的是個人信息的使用方式和保護問題，廣泛的個人信息包括隱私數(shù)據(jù)、個人的人格利益等信息，一旦泄露或遭到非法獲取，必然會損害個人的權(quán)益；而一些重要信息涉及到國家秘密的，如果被境外不法分子獲取，將嚴重損害國家利益和社會利益。因此，個人信息的跨境使用一方面是不可避免的，另一方面也需要的進行規(guī)制和保護，從而保障個人利益與國家利益，在促進信息交流的同時又推動不同國家和地區(qū)之間的相互發(fā)展。目前，我國還沒有關(guān)于個人信息跨境使用的專門法律，僅在部分法律中有涉及到個人信息保護，如2016年出臺的《網(wǎng)絡(luò)安全法》，其中有涉及到關(guān)鍵信息基礎(chǔ)設(shè)施運營方面和跨境信息傳輸?shù)囊?guī)定，但是涉及范圍較為狹窄，對當前個人信息跨境使用的整體覆蓋面不夠，難以發(fā)揮更大的作用。在國際關(guān)于個人信息保護方面，也僅加入《APEC隱私框架》。在個人信息傳輸中，跨境合作的參與率較低，與我國日益增長的國際經(jīng)貿(mào)流量不相適應。在保障我國公民的個人權(quán)利、并且最大程度地利用數(shù)據(jù)流流量帶來經(jīng)濟增長，有效平衡二者也是值得考慮。

一、個人信息跨境使用的立法現(xiàn)狀

（一）個人信息的范疇

以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的信息，包括但不限于自然人的姓名、出生日期等。［1］其他如《APEC隱私框架》中定義為“個人信息是指與已識別或可識別個人相關(guān)的任何信息”。不同的國家對個人信息的定義有不同界定，但也都集中在自然人作為個體，所具有的各種與之相關(guān)的信息。

（二）個人信息跨境傳輸?shù)慕缍?/h3>

個人信息跨境傳輸?shù)母拍钤?980年首次出現(xiàn)，由國際經(jīng)合與發(fā)展組織在關(guān)于個人信息和隱私的保護中的一個概括性文件中提出的，總結(jié)為個人信息的傳輸穿過了國家邊界。［2］到信息高速傳輸?shù)慕裉欤瑖一虻貐^(qū)境內(nèi)的個人信息向境外（本國或者本地區(qū)以外）傳輸，或者儲存的信息能被境外機構(gòu)或個人知悉和獲取，均可以構(gòu)成個人信息跨境。

（三）個人數(shù)據(jù)跨境使用的現(xiàn)狀

個人數(shù)據(jù)流動的背后是信息經(jīng)濟以及涵蓋政治和文化的多重價值。在個人信息跨境流動的規(guī)范中，我國主要是在《網(wǎng)絡(luò)安全法》和《國家安全法》體現(xiàn)對個人信息跨境流動加以規(guī)制，在《網(wǎng)絡(luò)安全法》起草階段曾進行意見征集，網(wǎng)信辦牽頭的《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》對個人數(shù)據(jù)跨境尤其是出境的內(nèi)容、范圍和相關(guān)概念、相關(guān)保護程序等方面進行說明?！睹穹ǖ洹返娜烁駲?quán)編也對個人信息的概念和范圍有了跟進一步的闡釋，與此同時還有籌劃中的《個人信息保護法》，都將鞏固現(xiàn)有的個人信息的保護，但對個人信息跨境并沒有過多的涉及。因此我國在個人信息的跨境保護方面還需要進一步的學習借鑒。

發(fā)達國家和地區(qū)在科學技術(shù)和管理模式等方面占據(jù)優(yōu)勢地位，因此能更容易獲取到他國個人信息，同時又進一步加強自己境內(nèi)個人信息保護，如美國、歐盟等在本國輸出數(shù)據(jù)過程中采取了“限制和緊縮”手段，制定更為嚴格的法律，主要表現(xiàn)在將個人信息劃分到基本人權(quán)的范圍加以保護。尤其是歐盟，不希望歐盟范圍內(nèi)的個人信息流入到其他國家和地區(qū)被濫用，同時又渴望最大限度獲取其他國家和地區(qū)的個人信息。2016年歐盟頒布《歐盟數(shù)據(jù)保護通用條例》（General Data Protection Regulation，以下簡稱 GDPR），生效是2018年05月25日，一度視為最嚴格的個人數(shù)據(jù)保護方案，1995年頒布的《數(shù)據(jù)保護指令》(Data Protection Directive 95/46/EC)已經(jīng)被取代。新法案對歐盟公民的隱私保護力度和范圍都有了極大提高，對個人信息和數(shù)據(jù)確立基礎(chǔ)性的一些原則和處理方法。［3］

二、《歐盟數(shù)據(jù)保護通用條例》中對個人信息跨境使用的規(guī)定

（一）擴大個人信息范圍

傳統(tǒng)個人信息如姓名、出生日期、住址等，GDPR中增加了與社會發(fā)展相關(guān)的諸多概念，如互聯(lián)網(wǎng)使用記錄、電子數(shù)據(jù)、收入、教育信息等，同時還增加了個人內(nèi)在屬性的信息，如身體狀況和就醫(yī)記錄等與人體密切相關(guān)的信息。新的《歐盟數(shù)據(jù)保護通用條例》中引發(fā)關(guān)注的變化主要集中在該通用條例新增了基因數(shù)據(jù)、生物性識別數(shù)據(jù)和健康相關(guān)的數(shù)據(jù)。其中基因數(shù)據(jù)包括人的自然屬性中有關(guān)遺傳或者獲得性的基因或者DNA，能反映出人的生理或者身體的獨特信息，尤其是對人的生物學的分析，可能包含更多的未表現(xiàn)出的狀態(tài)，如遺傳病或者病變癌癥等。生物性識別如指紋識別、面部識別等特征而能獨特表現(xiàn)的人的標識。和健康相關(guān)的數(shù)據(jù)，指的是與人的自然屬性和社會屬性密切相關(guān)的精神狀態(tài)數(shù)據(jù)（如是否患有精神病等），以及血液樣本、醫(yī)療記錄和藥物禁忌等。這些信息不再局限于普通人易得的信息，而是需要一定科技支撐或者保密性強的個人DNA、血液樣本等，進一步增強了對個人信息的保護。

（二）擴大了適用的范圍和方式

GDPR不僅在歐盟境內(nèi)適用，對境外的信息管理者、處理者、保管者等均予以適用，如歐盟境外向歐盟境內(nèi)提供服務或者存儲的企業(yè)或組織，均受到該條例的約束。歐盟境外的相關(guān)組織和企業(yè)也在積極應對，蘋果公司、微軟公司，還有包括中國騰訊在內(nèi)的互聯(lián)網(wǎng)公司均聲稱遵守GDPR，當在這些公司注冊的用戶在歐盟地區(qū)獲取公民個人信息的時候均會被郵件告知刪除歐盟用戶的信息。

（三）進一步明確處理個人信息的原則

GDPR對處理個人信息的原則主要是獲取的時候要合理合法以及透明。收集個人信息的時候目的具有正當性。使用個人信息的時候盡可能以最少的信息表達即信息使用最小化原則。使用個人信息應當準確無誤，不準確的信息應當及時刪除或者更新。限期“遺忘”，完成某個目的而使用的個人信息，達到目的后應當刪除不再儲存。最后一個是完整性與保密性，即不可隨意泄露個人信息，也不得肆意破壞完整性。

以上六大原則進一步明確了使用歐盟成員國公民個人信息應當遵循的原則。核心是“充分保護”，并且為了在信息轉(zhuǎn)移上進行更深層的規(guī)范，個人信息跨境轉(zhuǎn)移還需要遵循信息處理的原則，［4］有力的保障了個人信息在跨境使用過程中的穩(wěn)定性和安全性。

三、結(jié)語

GDPR對個人信息跨境使用的保護方式是以專章的形式確定，個人信息的范圍也有了極大的擴張，為個人信息的保護確立了統(tǒng)一標準，隨著時代的發(fā)展尤其是科學技術(shù)的更新，可以發(fā)現(xiàn)歐盟在保護個人信息跨境使用方面非常具有前瞻性和全面性，如基因信息、個人健康信息等需要依托高科技方能察覺的，也專門有規(guī)定。這些規(guī)定對我國有極大借鑒意義，我國《民法典》中人格權(quán)編和《個人信息保護法》正在醞釀階段，從目前已知的草案和征求意見稿中可以發(fā)現(xiàn)，并無太多與個人信息跨境使用方面的規(guī)定，這也導致我國公民和企業(yè)、組織等在國際交流中處于不利地位，一方面是沒有保護意識，另一方面也無明確規(guī)范可以遵循。借鑒GDPR，通過平衡各方利益，在制度和規(guī)范上保障個人信息跨境使用，對我國經(jīng)濟、文化等在國際交往中有極大促進意義。