跨境數(shù)據(jù)流動中個人信息權(quán)與中國數(shù)據(jù)話語權(quán)建構(gòu)

吳帝標

（浙江大學外國語言文化與國際交流學院 浙江杭州 310028）

一、兩大體系對立與統(tǒng)一 ——GDPR與CBPR

（一）對立中的兩大體系：價值取向與問責方式。對于數(shù)據(jù)流動，美歐體系存在著自由流動和保護隱私的規(guī)制范式。歐盟人權(quán)公約規(guī)定了“隱私及家庭生活受到尊重的權(quán)利”，這也構(gòu)成歐盟在跨境數(shù)據(jù)流動規(guī)制上普遍嚴格的價值觀。而GDPR中的個人信息保護，更傾向于狹隘保護隱私權(quán)。與歐盟將數(shù)據(jù)權(quán)作為基本人權(quán)，并通過硬法保護不同，CBPR認為過度立法會限制貿(mào)易發(fā)展，因而CBPR奉行以市場為主導，以行業(yè)自律為中心的個人數(shù)據(jù)保護政策。

兩大體系對跨境數(shù)據(jù)流動采用不同的規(guī)制方法，GDPR是以地理區(qū)域為基準的充分性保護原則，進行事前防范；CBPR則是以組織機構(gòu)為基準，對違規(guī)行為事后問責。歐盟的規(guī)制途徑對于歐盟內(nèi)部和外部的數(shù)據(jù)流動采用了統(tǒng)一標準，只要同歐盟公民的個人數(shù)據(jù)發(fā)生關聯(lián)，GDPR均有權(quán)利加以管制；GDPR限制數(shù)據(jù)傳輸?shù)降乩韺用嫔系臍W盟外部，要求提供充分性的數(shù)據(jù)保護。非歐盟國家可以選擇：1.制定與GDPR同等的限制；2.接受約束性公司規(guī)則（BCRs）；3.在特定的商業(yè)交易中使用標準合同條款（SCC）[2]。這樣的數(shù)據(jù)隱私政策會對全球數(shù)字和服務貿(mào)易帶來阻力，增加合規(guī)成本以及公司運營成本，進而抑制企業(yè)的創(chuàng)新能力。CBPR在促進數(shù)據(jù)流動的目的下，采用行業(yè)自律的辦法。要求企業(yè)執(zhí)行四步走確保數(shù)據(jù)安全：企業(yè)內(nèi)部評估→代理機構(gòu)評估→認證符合標準→隱私保護機構(gòu)問責處罰（違反相關條款的企業(yè)）[3]；在實踐中，CBPR認證實際上是一個企業(yè)白名單性質(zhì)的做法。

（二）統(tǒng)一中的兩大體系：妥協(xié)與融合。實際的數(shù)據(jù)流動中，兩種規(guī)制模式已經(jīng)呈現(xiàn)出相互融合、相互妥協(xié)的趨勢。2017年，歐盟與APEC在越南探討了體系合作的可能。這種融合見于歐盟GDPR第五章45條“第三國提供充分保護”基礎上將標準合同等保護措施作為另一選擇，可以一窺CDPR對問責制的引入傾向。此外，加拿大等CBPR成員國也在行業(yè)自律的基礎上強化了國際監(jiān)管。美國也與歐盟先后簽訂了“安全港協(xié)議”與“隱私盾協(xié)議”。

歐盟事前防范的規(guī)制方法設置統(tǒng)一標準，有利于建立穩(wěn)定的個人數(shù)據(jù)保護。但由于該路徑下的認定的高標準，對數(shù)據(jù)流動和電子貿(mào)易帶來阻礙。GDPR事后問責的方法，削弱了數(shù)據(jù)流動的監(jiān)管，假定了企業(yè)會遵守數(shù)據(jù)保護條例，過于依賴于行業(yè)自律。如同GDPR第50條所敘述，不同保護體系應該建立合作機制，才能實現(xiàn)效率與安全性的有機結(jié)合。

二、個人信息權(quán)之構(gòu)建

（一）個人信息權(quán)與隱私權(quán)之別。個人隱私的必要性已經(jīng)被各國及區(qū)域立法反復佐證。例如，1978年的《美國金融隱私法》認定消費者有個人信息權(quán)，且金融機構(gòu)有義務保護并不得隨意向聯(lián)邦政府提供信息。2016年GDPR第一條開宗明義，將信息納入個人基本權(quán)利。許多國家和組織圍繞信息保護已經(jīng)建立了相應的保護規(guī)則——在保護信息權(quán)利的基礎上，對個人信息進行處理和利用。

（二）個人信息權(quán)范疇——OECD下的解讀。OECD原則的價值在于為一般規(guī)則提供指導。在具體立法過程中，可以規(guī)范立法目的，使法規(guī)更加靈活。在大數(shù)據(jù)時代的個人信息保護立法建設過程中，OECD原則的價值更加突出。對于仍處于起步階段的大數(shù)據(jù)應用程序，詳盡立法可能會在抑制行業(yè)發(fā)展。兼顧信息保護和大數(shù)據(jù)發(fā)展的背景下，基本原則可以平衡這一矛盾。根據(jù)基本原則，在構(gòu)建中國主導的區(qū)域數(shù)據(jù)規(guī)則時候應優(yōu)先考慮：限制收集原則、限制使用原則、數(shù)據(jù)保護原則等。結(jié)合OECD基本原則，個人信息主體權(quán)利的內(nèi)容中應強調(diào)以下四項權(quán)利：

1.知情同意權(quán)；知情同意權(quán)是應明確定義的基本權(quán)利之一。信息主體有權(quán)了解其個人信息的現(xiàn)狀，此權(quán)利是確保行使其他權(quán)利的前提。隨著個人數(shù)據(jù)的商用擴大，知情權(quán)的范圍也越來越廣。在收集信息的過程中，信息主體有權(quán)充分了解收集到的個人信息的主要內(nèi)容、類型和用途。信息業(yè)者應用簡單易懂的描述，及時并準確告知主體其信息處理方式和目的，信息主體未予拒絕不應被視為同意。另外，應告知該信息的適用范圍，知情權(quán)不僅適用于從個人直接獲取的數(shù)據(jù)，而且還保護從任何來源獲得的個人信息。

2.數(shù)據(jù)參與權(quán)；數(shù)據(jù)參與權(quán)應包括查詢權(quán)、拒絕權(quán)和被遺忘權(quán)。為了合法存儲和使用信息，當消費者和企業(yè)的法律關系被終止，或者主體的個人信息由其他非法信息獲取者擁有時，信息具有被遺忘的權(quán)利。為了在個人信息和合理使用之間取得平衡，應甄別信息主體行使遺忘權(quán)的具體情況。依據(jù)OECD原則，作者定義刪除個人信息的原因包括：第一，信息管理者管理和使用個人信息的原目的消失；第二，存儲和管理已到期。第三，個人信息的管理或使用超出授權(quán)范圍。遺忘權(quán)涵蓋自然人的所有信息。

3.數(shù)據(jù)控制權(quán)；數(shù)據(jù)控制權(quán)意味著主體擁有個人信息所有權(quán)利。這項權(quán)利旨在平衡信息自由流通與個人信息的保護。根據(jù)這項權(quán)利，主體有權(quán)阻止他人獲得個人信息并控制傳播。數(shù)據(jù)控制意味著除非法律允許或獲得個人的明確同意，否則任何代理機構(gòu)、企業(yè)均不得以任何方式獲取、使用、持有或共享這些個人信息。

4.數(shù)據(jù)收益權(quán)；信息主體還應該具有獲得收益的權(quán)利。當消費者向企業(yè)提交信息以交換商品或服務時，是基于收益目的授權(quán)。個體付出部分信息權(quán)利獲取信息通信服務，使用者利用信息升級為具有附加值的數(shù)據(jù)。企業(yè)貢獻信息增值，有權(quán)分享信息利益，最終提高了信息效率。鑒于此，信息主體與信息的使用者建立了默契合作。一方面，消費者是信息的主體，享受信息的最終控制權(quán)。主體應具有以上提到的權(quán)利，即知情同意權(quán)，控制權(quán)和參與權(quán)，使用者可以通過開發(fā)讓信息增值，這也是平衡效率和安全的關鍵所在。

三、一帶一路沿線及周邊國家數(shù)據(jù)保護立法

縱觀一帶一路沿線各國，都以人權(quán)法理為個人信息保護確立基礎。作為一帶一路發(fā)起國，中國在推動全球數(shù)字貿(mào)易規(guī)則制定方面，需爭取國際話語權(quán)。本文選取部分一帶一路沿線數(shù)字經(jīng)濟發(fā)達國家，對其立法特征進行解讀：

阿聯(lián)酋。阿聯(lián)于2019年出臺數(shù)據(jù)保護法，參考GDPR等法律實踐。阿聯(lián)酋通信管理局（TRA）啟動了2020-2025戰(zhàn)略，以應對網(wǎng)絡安全事件。2019年1月，阿聯(lián)酋總統(tǒng)簽發(fā)總統(tǒng)令，規(guī)范健康領域技術和交流信息使用行為，該法令對個人健康數(shù)據(jù)的公司提出了數(shù)據(jù)駐留要求，即數(shù)據(jù)本地化。2019年3月，TRA實施了一項規(guī)范IOT運行的政策將GDPR概念引入，如隱私、數(shù)據(jù)最小化和目的限制等。

印度。2018年印度發(fā)布了《個人數(shù)據(jù)保護法案》（PDPB）。該法案在歐盟GDPR頒布后做出了修改，規(guī)定了印度個人數(shù)據(jù)采集、存儲、處理和傳輸?shù)姆绞健Ｔ摲ò钢饕獌?nèi)容與歐盟GDPR基本一致，但對數(shù)據(jù)客體的界定、數(shù)據(jù)本地化問題、數(shù)據(jù)安全影響評估三項內(nèi)容也作出了富有印度特色的規(guī)定。該法案引進并劃分了“數(shù)據(jù)受托人”、“數(shù)據(jù)所有者”和“數(shù)據(jù)處理者”的概念，規(guī)定了數(shù)據(jù)主體的權(quán)利以及數(shù)據(jù)處理者應承擔的義務。另外，該法案還規(guī)定了個人數(shù)據(jù)跨境傳輸?shù)暮戏ㄍ緩健?/p>

泰國。泰國對各國的數(shù)字經(jīng)濟思路秉承學習的態(tài)度。2018年9月，泰國政府向國會提交了一部包含GDPR特色的個人數(shù)據(jù)保護法（PDPA）草案，并將于政府公報一年后開始施行，這是泰國第一部規(guī)范數(shù)據(jù)采集、適用的法律，強調(diào)數(shù)據(jù)控制者和處理者的義務，更加注重保護數(shù)據(jù)主體的合法權(quán)利。

一帶一路沿線各國趨勢是擴大個人數(shù)據(jù)保護范圍和強度，在法律上明確數(shù)據(jù)主體的權(quán)利以及數(shù)據(jù)使用者的義務。涉及到數(shù)據(jù)與國家安全的博弈時，各國顯得十分謹慎。部分國家還建立數(shù)據(jù)保護機構(gòu)，如泰國個人數(shù)據(jù)保護委員會、新加坡網(wǎng)絡安全委員會。沿線國家從嚴立法的觀點和我國立法觀點一致，為下一階段我國開展區(qū)域數(shù)據(jù)流動立法合作打下了基礎。

四、各國立法實踐對我國個人數(shù)據(jù)跨境流動規(guī)則的啟示

（一）推進行業(yè)自律制度建設。行業(yè)自律制度建設，即加強數(shù)據(jù)行業(yè)的參與立法。數(shù)據(jù)行業(yè)作為新興產(chǎn)業(yè)，即便國家進行模糊立法，依然不斷出現(xiàn)新的法律風險。而此時，推動行業(yè)形成自律就顯得尤為重要。

1.風險評估能力。在跨境數(shù)據(jù)流動過程中，企業(yè)是否可以審慎保管其掌控的數(shù)據(jù)；是否采取了適合的數(shù)據(jù)保護方案需要要反復推敲。鑒于行業(yè)內(nèi)部存在爭議或能力參差，我國應引入國際上已被廣泛接受的信息安全管理標準，借鑒國際標準化組織和國際電工委員會的政策，如隱私框架標準等。應出臺相應的使用主體保護規(guī)則，建立健全數(shù)據(jù)保護體系，完善企業(yè)數(shù)據(jù)安全能力。制度上，為企業(yè)提供一定的監(jiān)督和指導，提升企業(yè)的數(shù)據(jù)保護水平。這在消除中國企業(yè)信息保護缺失的同時，幫助企業(yè)同國際標準接軌。

2.數(shù)據(jù)評定標準。引導大數(shù)據(jù)行業(yè)依照國家法律法規(guī)建立行業(yè)規(guī)范。行業(yè)數(shù)據(jù)評定標準可以納入不同維度的評定專家意見，如技術向的大數(shù)據(jù)研究院；學術向的管理科學研究院學術委員會；商業(yè)向的貴陽大數(shù)據(jù)交易中心。不同維度的專家的關注不同，但可以共同構(gòu)建跨境數(shù)據(jù)流動監(jiān)管。我國立法機構(gòu)可借鑒優(yōu)秀評定標準，即行業(yè)標準升華為國家立法乃至區(qū)域立法。在數(shù)據(jù)流通宏觀法律項下，行業(yè)可以通過健全數(shù)據(jù)流動法律法規(guī)，為企業(yè)間的數(shù)據(jù)跨境流動提供安全保障。

（二）中國融入國際制度建設體系。

1.將中國的跨境數(shù)據(jù)保護方案納入FTA；美國已經(jīng)在FTA談判中引入跨境數(shù)據(jù)監(jiān)管。2012年美韓FTA中，首次在電子商務章節(jié)中引入跨境數(shù)據(jù)流動規(guī)則，即第15.8條規(guī)定了成員方應避免對跨境電子信息流動施加不必要阻礙。[4]即便未對數(shù)據(jù)類型做出清晰界定，但是創(chuàng)造性的路徑提升了美國的跨境數(shù)據(jù)話語權(quán)，標志著數(shù)據(jù)流動規(guī)則第一次被納入強制性協(xié)議。中國跨境流動規(guī)則適宜受眾應為一帶一路沿線各國。過去幾年中國與沿線各國有了深刻的經(jīng)貿(mào)往來，中國提出的數(shù)據(jù)流動主張更易被接受，有助于鞏固一帶一路成果并提升中國國際話語權(quán)。

2.參與多層次的外交、商貿(mào)談判；故為兵之事，在于順詳敵之意。隨著跨境數(shù)據(jù)流動逐漸熱門起來，并成為新的國際貿(mào)易的重要環(huán)節(jié)。在完善國內(nèi)立法的同時，還應積極開展國際合作?？梢越梃b美國“隱私盾”路徑，在數(shù)據(jù)使用的同時兼顧隱私保護。我國可以拓展相應的國際體系，為企業(yè)創(chuàng)造營商環(huán)境。同時，我國可通過亞投行、一帶一路區(qū)域立法等渠道，探索區(qū)域數(shù)據(jù)流動規(guī)則談判，并提升數(shù)據(jù)話語權(quán)。在尚未形成統(tǒng)一跨境數(shù)據(jù)流動規(guī)則的情況下，中國可以通過RCEP等談判，向一帶一路沿線及國家輸出跨境數(shù)據(jù)流動標準，降低合規(guī)差異給跨境數(shù)據(jù)流動帶來的風險，讓中國標準成為世界標準，實現(xiàn)數(shù)據(jù)產(chǎn)業(yè)發(fā)展和中國國家數(shù)據(jù)話語權(quán)建構(gòu)。

（三）區(qū)分數(shù)據(jù)類型。我國政府可參考歐盟的數(shù)據(jù)保護委員會，設立統(tǒng)一的執(zhí)法機構(gòu)，同樣措施已被一帶一路部分國家采用。依托《網(wǎng)絡安全法》，在統(tǒng)一的執(zhí)法機構(gòu)下，明確個人數(shù)據(jù)的邊界范圍，區(qū)分個人敏感信息和一般信息。對前者予以保護，限制收集、加工和流動。對后者強化利用，最大程度地發(fā)揮其商業(yè)和公共管理的價值。同政府數(shù)據(jù)相比，個人數(shù)據(jù)的傳輸數(shù)量更大，因此立法中的個人一般數(shù)據(jù)交易范圍應采用“負面清單”模式，制定禁止交易的數(shù)據(jù)目錄，對不同數(shù)據(jù)采取梯度管理方法。

單文華（1998）[5]認為負面清單模式會妨礙東道國對新出現(xiàn)的投資部門行使必要監(jiān)管權(quán)，這對于金磚國家等新興經(jīng)濟體尤其不利。如按照負面清單“法不禁止即可為”，外資可對關系到未來經(jīng)濟增長根本動力、或涉及重要數(shù)據(jù)流動、或涉及敏感社會政策調(diào)整的若干重要部門“長驅(qū)直入”，從長遠看可能會危及中國經(jīng)濟主權(quán)。數(shù)據(jù)作為新型生產(chǎn)資料，使用主體復雜性、需求差異應被綜合考慮，應在安全和經(jīng)濟發(fā)展之間謀求平衡。維護我國國家利益的同時也能實現(xiàn)數(shù)據(jù)跨境流動的理想狀態(tài)，實現(xiàn)數(shù)據(jù)行業(yè)的長久繁榮。

結(jié)語

國家的數(shù)據(jù)保護系統(tǒng)通常是國內(nèi)數(shù)據(jù)保護和跨境數(shù)據(jù)保護共同組成。為了保護國內(nèi)數(shù)據(jù)，立法機關可以設計高標準的個人信息保護制度。但是，在設計跨境系統(tǒng)時，政府不能要求第三國的水平與其國內(nèi)水平保持一致。從本文的分析中可以看出，歐盟的解決方案和美國的解決方案都不能完全適用于中國國情。在構(gòu)建本國個人數(shù)據(jù)跨境流動規(guī)則時，可以對GDPR和CBPR的優(yōu)勢加以借鑒：以問責制為核心，發(fā)展一般個人信息，明確數(shù)據(jù)主體權(quán)利并對數(shù)據(jù)使用者義務加以監(jiān)管；以事前防范為方法，保護敏感個人信息和對國家影響重大的個人信息，避免出現(xiàn)國家安全疏漏。通過參考OECD的基本原則，并借鑒其他國家的方法，闡明個人信息權(quán)利的范圍，應包括：知情同意權(quán)、數(shù)據(jù)控制權(quán)、數(shù)據(jù)參與權(quán)和數(shù)據(jù)收益權(quán)。在立法過程中應充分發(fā)揮數(shù)據(jù)產(chǎn)業(yè)的力量。在制定數(shù)據(jù)保護標準方面，必須堅持國情、堅定維護國家數(shù)據(jù)主權(quán)，在數(shù)據(jù)監(jiān)管與人權(quán)保護，國家利益和國際合作之間取得適當平衡。在跨境數(shù)據(jù)流動立法上，要積極參與國際合作，不斷借鑒已有成熟實踐如FTA為我國跨境數(shù)據(jù)保護法做背書。也要致力于區(qū)域合作，在一帶一路既有成果的基礎上，繼續(xù)探索中國跨境數(shù)據(jù)流動監(jiān)管合作，提升中國數(shù)據(jù)話語權(quán)。