个人信息出境的国内法规制路径及体系化完善

摘要：数字化个人信息的大规模跨境传输使得个人权益、公共利益和国家安全利益受损的风险加剧，国际社会尚未达成统一法律规范予以应对。为维护国家数据主权、促进数据产业发展与保障个人信息安全，各国选择以国内法规制的方式对个人信息出境予以监管，具体表现为国家专门立法、联盟统一立法与国家分散立法。我国通过专门立法规制个人信息出境，形成了“硬性”与“软性”两轨监管机制，但存在分轨监管内容交叉、公私共治监管尚未形成的问题，阻碍个人信息的安全出境。在统筹推进国内法治和涉外法治的背景下，我国应以系统观念加强个人信息出境监管建设，从主体上发挥公私体系的协同性，从规范上强化攻防体系的均衡性，从空间上增进内外体系的互动性，为促成个人信息跨境规制的多边共识贡献中国智慧。

关键词：涉外法治；国家规制；数据跨境流动；个人信息出境；系统观念

中图分类号：D99文献标志码：A文章编号：1007-9092（2024）02-0123-018

随着数字经济全球化进程的持续推进，各国之间的经济联系愈发紧密，数据跨境流动成为数字经济发展的必然规律。目前，全球个人信息（数据）保护标准不同且尚未达成国际共识。①随着个人信息出境需求的增加，为促成个人信息跨境的安全自由流动和境内外一致保护，国家纷纷选择通过国内法规制个人信息出境以维护国家主权、安全和发展利益。基于不同的利益考量和价值追求，各国采取了不同的个人信息保护立法模式。赵海乐：《数据主权视角下的个人信息保护国际法治冲突与对策》，《当代法学》，2022年第4期。（①个人信息与个人数据联系紧密且难以区分，前者强调内容，后者强调数据化，个人信息跨境流动的内容多被纳入数据立法之中，本文根据需要交替使用。程啸：《个人信息保护法理解与适用》，中国法制出版社2021年版，第74-75页。）

数据出境国通常会制定数据出境规范，规制个人信息是关键内容。接收个人信息的境外主体包含私主体，也包括公权力机关。针对数据出境国而言，一方面，个人信息的自由流动能够实现数字经济利益；另一方面，个人信息出境或将遭遇损害国家安全、公共利益和个人隐私权的原生风险。为控制原生风险，同时防范因规制措施欠缺合法性而产生的次生风险，彭德雷：《数字贸易的“风险二重性”与规制合作》，《比较法研究》，2019年第1期。国家在国内法中对个人信息出境活动予以规制。鉴于各国规制个人信息出境的立法范式不同，其规制措施的呈现方式也各有侧重。

当前，有关数据跨境流动的研究聚焦于国际法对国内法的影响与国内法对国际法的衔接。在数据跨境流动背景下探讨国际法对国内法影响的研究有：谭观福：《数字贸易中跨境数据流动的国际法规制》，《比较法研究》，2022年第3期；张晓君、屈晓濛：《RCEP数据跨境流动例外条款与中国因应》，《政法论丛》，2022年第3期；张明：《国际贸易法视阈下数据本地化措施的边界及其协调——以<个人信息保护法>为切入点》，《南大法学》，2021年第6期；马光：《FTA数据跨境流动规制的三种例外选择适用》，《政法论坛》，2021年第5期等。在数据跨境流动背景下探讨国内法对国际法衔接的研究有：陈兵、马贤茹：《系统观念下数据跨境流动的治理困境与法治应对》，《安徽大学学报》（哲学社会科学版），2023年第2期；梅傲、李淮俊：《论<数据出境安全评估办法>与DEPA中数据跨境流动规则的衔接》，《上海对外经贸大学学报》，2023年第2期；何波：《中国参与数据跨境流动国际规则的挑战与因应》，《行政法学研究》，2022年第4期；赵海乐：《论我国数据本地化措施与FTA缔约的协调》，《国际经济法学刊》，2022年第2期等。也有研究在单一的国内法角度对数据出境制度进行讨论。相关研究包括：蔡宇姬：《数据出境的界定及监管制度》，《中国政法大学学报》，2023年第3期；丁晓东：《数据跨境流动的法理反思与制度重构——兼评<数据出境安全评估办法>》，《行政法学研究》，2023年第1期；金晶：《作为个人信息跨境传输监管工具的标准合同条款》，《法学研究》，2022年第5期；徐玉梅、王欣宇：《我国重要数据安全法律规制的现实路径——基于国家安全视角》，《学术交流》，2022年第5期；赵精武：《数据跨境传输中标准化合同的构建基础与监管转型》，《法律科学》（西北政法大学学报），2022年第2期等。不过，这些研究均较少论及涉外法治联结国内法治与国际法治的独特重要性。我国的数据安全出境框架初成，但作为涉外法治建设重要内容的个人信息出境制度尚待完善。在百年未有之大变局下，个人信息出境规制呈现出国内法优先、国际法有限的状态。因此，考察研究各国国内法规制个人信息出境的模式和特点，不仅有利于健全我国的个人信息出境监管体系、强化涉外数字法治建设，还有助于我国以国内法治经验推动相关国际规则的发展。

一、国内法规制个人信息出境的生成逻辑

（一）国家规制个人信息出境的内在动因

第一，维护国家数据主权。在数字经济全球化的背景下，科技发展对国家主权权力提出了与时俱进的要求，数据主权是传统国家主权在数据领域的拓展。赵骏：《“一带一路”数字经济的发展图景与法治路径》，《中国法律评论》，2021年第2期。首先，任何国家都有权力在其领土范围内对与数据有关的人和事进行管辖，包括制定法律和采取措施。数据本身兼具无形资产和物理资产两大属性，前者依靠数据所有权人连接着国家管辖权，后者为国家管辖权提供了法理基础，个人信息传输活动至少受到数据出境国的管辖，数据出境国制定的个人信息出境的法律和措施均具备主权属性。其次，国际社会尚未且短时间内难以达成规制个人信息跨境的规范共识，国家优选以国内法维护自身数据主权。在多边层面，尚没有专门针对个人信息跨境规制的多边公约。个人信息跨境保护的相关规则以“碎片”的形式存在于多边贸易体制内，如世界贸易组织《服务贸易总协定》第14条要求“保护与个人信息处理和传播有关的个人隐私及保护个人记录和账户的机密性”，但缺乏对国家数据主权的考虑。在区域层面，区域自由贸易协定的电子商务章节与数字经济协定以不同方式要求成员方对跨境个人信息予以法律保护，数据主权规范的“碎片化”加剧。《区域全面经济伙伴关系协定》（Regional Comprehensive Economic Partnership，RCEP）要求缔约方“在可能的范围内”保护跨境传输的个人信息，给予缔约方充足的数据主权空间。Regional Comprehensive Economic Partnership， Article 12.8.《全面与进步跨太平洋伙伴关系协定》（Comprehensive and Progressive Agreement for Trans-Pacific Partnership， CPTPP）要求缔约方在保护电子商务用户免受其管辖范围内发生的个人信息保护侵害方面努力采取“非歧视做法”，Comprehensive and Progressive Agreement for Trans-Pacific Partnership， Article 14.8.《数字经济伙伴关系协定》（Digital Economy Partnership Agreement， DEPA）则要求缔约方“努力承认其他缔约方的数据保护可信任标志”，Digital Economy Partnership Agreement， Article 4.2.二者对缔约方数据主权作出了进一步的限制，但又存在差别。在双边层面，数据主权的博弈严峻，彭岳：《数据本地化措施的贸易规制问题研究》，《环球法律评论》，2018年第2期。逐渐显现出个人信息跨境监管的“逐顶竞争”之势。金晶：《欧盟的规则，全球的标准？ 数据跨境流动监管的“逐顶竞争”》，《中外法学》，2023年第1期。美国与欧盟的个人信息跨境合作历经波折，先后达成《安全港框架协议》、《隐私盾框架协议》与《欧盟-美国数据隐私框架》，最终以美国限制情报部门访问个人数据、设立数据保护审查法庭等制度性改变对欧盟作出了让步。European Commission， Questions & Answers： EU-US Data Privacy Framework，Jul. 10th 2023， https：//ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752.

第二，促进数据产业发展。首先，数字化的个人信息具有重要经济价值。个人数据的跨境流动及商业利用是数字经济全球化发展的核心，“数据跨境流动”最早出现在经济合作与发展组织（OECD）1980年《隐私保护和个人数据跨境流动指南》第六章，当时就仅适用于个人数据。United Nations Conference on Trade and Development， “Digital Economy Report 2021： Cross-border Data Flows and Development： For Whom the Data Flow”， Sep. 29th 2021， p.51. 随着数字经济的发展，个人信息的内涵逐渐丰富。我国《个人信息保护法》第8条规定个人信息为“以电子或者其他方式记录的与已识别或可识别的自然人有关的各种信息”，比《民法典》《网络安全法》中的个人信息概念更为宽泛。丁晓东：《论个人信息概念的不确定性及其法律应对》，《比较法研究》，2022年第5期。数字化的个人信息易收集，能快速反映出一国人民社会生活的现象及规律，可以为平台经济提供商业判断依据，具有巨大的财产价值与经济利益。其次，合理利用跨境个人信息的经济价值有助于推动数据产业的发展。个人信息涉及社会公共利益，如果因数据出境使某些谋取不正当竞争优势的境外企业大规模滥用个人信息，将破坏市场的公平竞争机制，导致市场垄断或扭曲，造成社会公共利益危机，甚至威胁国家利益。通过国内法规制个人信息的出境活动，能更好地保障国家数字市场的公平公正、激发数据产业的活力。

第三，保障个人信息安全。首先，国家负有保障个人信息跨境安全的义务。国家治理应然地包含对个人信息活动的规制和调整。吴伟光：《大数据技术下个人数据信息私权保护论批判》，《政治与法律》，2016年第7期。国家负有保护公民人格尊严和隐私、安宁的宪法义务，包括消极义务和积极义务。王锡锌：《个人信息国家保护义务及展开》，《中国法学》，2021年第1期。在数字时代，国家不仅仅是超越利益关系的治理者，也是最大的个人信息收集、处理、储存和利用者。张新宝：《从隐私到个人信息：利益再衡量的理论与制度安排》，《中国法学》，2015年第3期。国家需要履行消极义务，保障个人信息不受国家的不当干预。同时，个人信息关乎个人隐私利益，个人信息权益与隐私权的区分暂无定论，至少二者联系密切，但也存在区别。我国法律中的隐私权与美国法和德国法均不同。个人信息权益保护与隐私权的客体或有重叠但绝非重合。以隐私为标准，至少个人信息可以分为涉及个人隐私的个人信息（隐私信息或私密信息）和不涉及隐私的个人信息（其他个人信息）。程啸：《个人信息保护法理解与适用》，中国法制出版社2021年版，第38-39页。其在跨境传输时面临着人格利益与财产利益受损的双重风险。由于国家对出境后个人信息的管控能力有限，金晶：《作为个人信息跨境传输监管工具的标准合同条款》，《法学研究》，2022年第5期。国家必须履行积极义务，创造和维护有利于保护个人信息的出境前规制，预先防范个人信息跨境风险。其次，各国对个人信息保护的标准不同，数据出境国倾向于依靠出境监管实现跨境个人信息的境内外一致保护。目前，各国在个人信息保护上还存在有无标准可依的鸿沟。经联合国贸易和发展会议统计，在194个国家中，有80%的国家已经或正在制定数据保护及隐私立法，20%的国家没有相关数据立法，最不发达国家中仅有57%已经完成或正在进行相关立法，United Nations Conference on Trade and Development， Data Protection and Privacy Legislation Worldwide， Dec. 14th 2021， https：//unctad.org/page/data-protection-and-privacy-legislation-worldwide.缺乏数字技术及相应规则使得数字鸿沟严重。黄惠康：《中国特色大国外交与国际法》，法律出版社2019年版，第366-368页。在已对个人信息及隐私实施法律保护的国家中，保护标准又存在差异与竞争。美国对个人信息的保护承袭了宪法中的隐私权，但联邦与州之间对隐私权的界定尚存在争议。欧盟则以基本人权来诠释和保护个人数据，《通用数据保护条例》（General Data Protection Regulation， GDPR）的序言确立了自然人的个人数据基本权利。然而欧美在个人信息保护权利的具体适用上却因价值分歧而频繁互动竞争。

（二）国家规制个人信息出境的表现方式

国家规制个人信息出境的方式表现在限制措施上，按照措施的特点主要可以划分为四类：本地化限制、评估限制、认证限制与标准合同限制。学者吴玄“依据数据跨境流动限制程度的强弱”将“国家的管理模式”划分为“个人信息出境评估模式”“弱数据本地化模式”和“强数据本地化模式”。本文则依据国家数据跨境限制措施的特点进行分类，重点讨论本地化限制、评估限制、认证限制与标准合同限制四种方式。吴玄：《数据主权视野下个人信息跨境规则的建构》，《清华法学》，2021年第3期。此外，欧盟的约束性企业规则（Binding Corporate Rules， BCR）、European Parliament and European Council， General Data Protection Regulation， Regulation （EU） 2016/679， Article 46（2）（b）.截止到2024年1月3日，获得BCR批准的企业（不区分数据控制者和数据处理者）仅50家，See European Data Protection Board， Approved Binding Corporate Rules， https：//edpb.europa.eu/our-work-tools/accountability-tools/bcr_en.行为准则、European Parliament and European Council， General Data Protection Regulation， Regulation （EU） 2016/679， Article 46（2）（e）.美国的行业隐私指引等限制措施在国际社会并未被广泛适用，在此不作讨论。