暨南大学国际法学硕士
摘要:为了平衡数据保护和数据跨境流动,欧盟立法提供了充分性认定、适当保障措施、特殊例外条款这三大类的个人数据跨境流动方式,而我国立法规定的个人信息跨境流动方式包括安全评估、专业机构认证、标准合同及兜底条款。通过对比分析,我国和欧盟的信息或数据跨境流动方式在“个人信息”和“个人数据”的概念、个人信息或数据跨境流动方式的适用顺序和规范的义务主体、规范的发展历史和成熟度均存在差异。我国的个人信息跨境流动方式仍需制定具体实施细则,进一步建设与国际治理规则接轨的多元化个人信息跨境流动治理方式。
关键词:个人信息,数据跨境流动,GDPR,《个人信息保护法》
引言
在这个互联网科技迅速发展迭代及经济全球化时代,数据跨境流动不可避免。数据跨境流动不仅涉及数据主体的权益,亦涉及国家安全和公共利益的问题。许多国家或地区出于对数据主体权益、国家安全等的保护,根据本区域的政治、经济等发展对数据跨境流动规则及传输方式作了不同规定。最典型的是欧盟数据保护立法,提供了多种法定的数据跨境传输方式供数据控制者和数据处理者选择适用。我国为了保障公民的个人信息安全以及国家和公共安全,于2021年颁布了个人信息保护的统一立法《个人信息保护法》,并专章规定了个人信息跨境提供的规则以及列举了个人信息跨境传输的合法方式。
本文主要针对GDPR第五章第45-49条所列举的个人数据跨境流动方式和我国《个人信息保护法》第38条列举的个人信息出境流动方式进行说明和比较分析。通过对比,分析我国的个人信息与欧盟个人数据跨境流动方式,加强理解我国个人信息跨境流动规则,进一步推动完善我国个人信息跨境流动的相关规定,在促进个人信息跨境自由流动的同时切实的保障公民个人信息权益和国家安全、公共利益。
一、欧盟与我国数据跨境流动方式的比较
欧盟GDPR第五章中规定了三大类个人数据跨境流动方式:充分性决定、适当保障措施、特别例外条款,适当保障措施又包括包括公务机关或机构之间存在有法律约束力和执行力的法律文件、约束性公司规则、标准合同条款、经批准的行为准则、经批准的认证机制等。我国《个人信息保护法》第38条规定了三种个人信息跨境传输方式,包括安全评估、认证机制、标准合同,以及一项兜底性条款。以下对我国和欧盟的数据跨境流动方式关于“个人信息”和“个人数据”的概念、跨境流动方式适用顺序、规范的义务主体和立法发展及经验进行对比分析。
1、“个人数据”与“个人信息”
个人信息与个人数据的法学概念研究向来受到诸多学者的重视,并对这两个概念的性质及关系一直争论不休。有的学者认为个人信息与个人数据在法学上的概念是具有一致性的,不必对其进行区分。1 有的学者认为个人数据包含个人信息,两者存在种属关系。2有的学者认为个人数据不必然是个人信息的形式,个人信息和个人数据在逻辑上存在交叉关系。3-4有的学者认为个人数据是一种载体,而个人信息是存在于载体之上的内容,不能将两个概念混为一谈。5
欧盟GDPR第4条第1款规定,“个人数据是指有关已识别或可识别的自然人(‘数据主体’)的任何信息”。GDPR与经济合作组织隐私框架对个人数据的定义相同,均未区分个人数据和个人信息的概念,而是作为等同互换。
我国《个人信息保护法》第4条第1款规定“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”,另外,《数据安全法》第 3条第1款规定“本法所称数据,是指任何以电子或者其他方式对信息的记录”,该款规定直接将“数据”明确为“信息”的形式。从我国的这两部法律对个人信息与数据概念的定义可以得知,我国对个人信息与数据进行了区分治理,个人信息不同于个人数据,不能将两者混为一谈。因此,我国《个人信息保护法》中的“个人信息”与欧盟GDPR中的“个人数据”的概念存在差异,而概念的差异也将直接影响其规制对象范围的差异化。
2、适用方式的顺序
欧盟GDPR规定个人数据跨境传输方式的适用顺序为“递进式”,我国的个人信息处理者适用方式的选择为“限制选择式”。
根据GDPR第五章中法条表述分析可得,欧盟的数据控制者或数据处理者向境外传输个人数据时的适用顺序是层层递进的,有其适用的先后顺序,即第三国或地区等存在充分性认定时优先适用充分性认定,没有充分性认定的适用适当保障措施,充分性认定和适当保障措施这两种方式都不能适用时,才能选择最后的特殊例外条款作为兜底选择。
根据我国《个人信息保护法》第38条第1款的规定可知,对符合特定条件的个人信息处理者的跨境流动方式作出了限制性规定,其余可选择适用,即当个人信息处理者是关键信息基础设施运营者和达到国家网信部规定数量的个人信息处理者,要求优先适用国家网信部门组织的安全评估,除非另有规定;其他非关键信息基础设施经营者和没有达到国家网信部规定数量的个人信息处理者可以选择适用经专业机构认证、标准合同,这两种方式并没有优先顺序之分,而是可以直接选择适用,但是根据《办法》规定适用标准合同也需要满足相应的条件;最后,当上述个人信息跨境流动方式均不能适用时,可以考虑适用其他相关法律、行政法规的规定。
3、规范的义务主体
欧盟采取的是双义务主体,GDPR第44条明确规定了数据跨境流动的义务主体为数据控制者和数据处理者;我国采取的是单义务主体,《个人信息保护法》第38条规定的是个人信息处理者承担信息跨境流动范围内的安全保障义务。GDPR第4条中对数据控制者和数据处理者的概念作了定义,“数据控制者是指单独或与他人共同决定个人数据处理的目的和方式的自然人、法人、公务机关、办事机构或其他组织”、“数据处理者是指代表数据控制者处理个人数据的自然人、法人、公务机关、办事机构或其他组织”。《个人信息保护法》第73条对个人信息处理者的概念规定为“个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人”。
从概念比较来看,我国的个人信息处理者与欧盟数据控制者的内涵具有相似性,都是决定个人数据或信息的处理目的和方式的主体,即我国没有规范GDPR所规定的“数据控制者”这一义务主体。因此,我国在规范个人信息跨境流动义务主体的范围上比欧盟的义务主体范围要小,仅仅规范个人信息处理者的行为活动将在一定程度上减损我国个人信息保护法律的域外效力。6
4、发展历史及立法经验
欧盟的个人数据保护制度在国际上一直保持领先地位,其立法范式为他国个人数据保护法起到指引和示范作用。早在上世纪60年代,随着数据化处理的发展,欧盟便开始关注个人数据的保护,以德国为代表的欧盟成员国家开始在国内推进制定个人数据保护法规,7到2016年制定了统一的个人数据保护法---GDPR,以及具体规则的相关实施指南和建议,不断发展完善至今,其丰富的个人数据保护立法经验及先进性被其他国家借鉴和运用,包括我国的《个人信息保护法》。在个人数据跨境流动规制方面,欧盟GDPR提供了层次分明的多元化跨境流动方式,其不断演进发展的内容以及较为完善的具体实施指南促进了数据保护和数据流动的平衡。
我国的个人信息保护制度从21世纪初开始发展,先是散落在其他部门法中,再发展到目前的《个人信息保护法》。我国的个人信息保护发展历程较短,《个人信息保护法》的立法体系还不够成熟,就个人信息跨境流动方式而言,仅对其作了原则性规定及简明列举,个人信息跨境流动方式较为单一,且实施细则并未完善,急需作出具体规则的设计回应。
二、我国个人信息跨境流动方式的完善建议
我国的个人信息跨境流动方式主要规定为安全评估、专业机构认证、标准合同条款,且依赖安全评估机制作为个人信息出境的主要选择。单一的传输方式不利于数据经济的发展,我国需要进一步完善现有规则并提供多种选择方式,结合国际规则建立多元化管理机制。
(一)现有个人信息跨境流动方式的进一步完善
经专业机构保护认证的个人信息跨境传输方式的具体实施细则需要进一步完善。欧盟GDPR针对数据处理者和数据控制者的数据处理行为制定了灵活的认证机制,其认证制度的规定及其丰富的立法经验可作为我国完善个人信息保护认证体系的参考。同时借鉴国际上的认证规则经验并依据我国个人信息保护制度的实际需求,加快出台认证机制相关的具体实施细则,明确认证主体、认证程序、认证标准、申诉程序等相关规定,以及考虑国内认证制度和国际认证制度的衔接。
标准合同的个人信息跨境流动方式虽已颁布正式办法,但仍需就它的灵活性适用做进一步改善。欧盟在最新版的标准合同中规定了对接条款,可以使得标准合同的各方选择同意第三方在未来以数据输出方或数据接收方的身份加入合同,受到合同约束。对接条款为合同双方以及第三方提供了额外的灵活性,以应对在整个合同生命周期中实体发生变化的情况。8我国可以考虑借鉴欧盟经验在标准合同中添加对接条款的规定,使得新的合同缔约方更容易加入已签署的合同,增加标准合同的灵活性,为合同缔约各方提供便利,减少缔约成本。
(二)推动双边国际合作
在规制并完善我国国内法律的同时,也要立足于国际视野。由于各地区或国家对个人信息保护制度存在差异,较难协调形成统一的个人信息跨境流动治理国际规则,软法性规定和双边合作则成为国际合作的较优选择。目前国际上对数据跨境传输保护的规范多为软法性规范,例如,经济合作与发展组织于1980年和2013年分别发布的《隐私保护和个人数据跨境流动指南》和《OECD隐私框架》,亚太经济合作组织成员国于2005年签署的《APEC隐私框架》,2022年中国和澳大利亚、日本、新加坡、美国、欧盟等共76个世贸组织成员签署《关于电子商务的联合声明》等等。但前述的软法性规定,与对成员国具有强制约束力的国际条约和协定有所不同,其对成员国不具有强制约束力,仅可作为国家合作或国内立法的参考或辅助性规范。而双边合作可以克服多边合作因国家追求利益和保护权益的不同而导致达成共同治理规则的困难。9例如,美国和欧盟之间通过安全港、隐私盾以及跨大西洋数据隐私框架在一定程度上协调了两种制度冲突---以数据自由流动为主和以数据保护为主---的两个地区之间的企业数据经济往来和数据保护
,这种双边合作跳出了常规的国家间规则统一和互认的国际合作方式。我国可以参照欧美之间的双边数据保护机制,与其他国家签订个人信息跨境保护双边规则,以促进中国与其他国家之间的个人信息跨境流动。
参考文献
1、余筱兰.论法学上的个人信息与个人数据[J].上海法学研究集刊,2021(19);
2、程啸.论大数据时代的个人数据权利[J].中国社会科学,2018(3);
3、周斯佳.个人数据权与个人信息权关系的厘清[J].华东政法大学学报,2020(2);
4、郑飞,李思言.大数据时代的权利演进与竞合:从隐私权、个人信息权到个人数据权[J].上海政法学院学报(法治论丛),2021(5);
5、刘练军.个人信息与个人数据辨析[J].求索,2022(5);
6、王腾,汪金兰.个人数据处理行为人的概念界定与划分问题---基于欧盟范式对我国立法的启示[J].渭南师范学院学报,2021(7);
7、田旭.欧盟个人数据保护法的全球影响成因与启示[J].江西财经大学学报,2020(4);专家解读|个人信息保护法的深远意义:中国与世界,https://www.12377.cn/fl/2021/ebe5baec_web.html.最后访问时间:2022年11月10日;
8、欧盟委员会,《两套标准合同条款的问答》,2021年发布;
9、贾开.跨境数据流动的全球治理:权力冲突与政策合作---以欧美数据跨境流动监管制度的演进为例[J].汕头大学学报(人文社会科学版),2017(5)。
作者:薛玉梅,1995年12月12日,女,汉族,山东省临沂市,暨南大学国际法学硕士,跨境电子商务方向。