個人數據跨境流動規則淺析

代濛

摘 要 隨著互聯網時代的到來，個人數據天然的跨國界流動，其對數據隱私保護帶來了挑戰。實踐中，國內外數據泄露事件也是屢見不鮮。個人數據跨境流動涉及數據的跨國界流動，具有與生俱來的國際性，各國如何制定法律規則予以保護，值得研究和探討。

關鍵詞 個人數據 跨境流動

在全球一體化的時代，數據跨境流動無法避免，但是在其帶來巨大的經濟利益的同時，對數據隱私的保護造成負面影響。大部分國家出于保護本國公民數據隱私考量，紛紛制定了個人數據跨境流動規則。

1個人數據跨境流動的含義

對于個人數據的定義，目前各國或者國際組織并沒有形成統一的說法或者定義。《隱私保護指南》中首次定義了跨境數據流動這一概念，并明確指出：個人數據跨越國家邊境流動。該定義范圍廣泛，即將數據轉移至境外進行存儲、傳輸或處理，或能被境外主體訪問。個人數據流動性的實現，勢必導致個人數據脫離數據主體的控制。尤其是在信息網絡時代，個人數據侵權具有隱秘性，很多時候數據主體已經被侵權卻很難發現。隨著流動性的增強，個人數據變得越來越不可控，甚至開始跨越國界。

2個人數據跨境流動中的主要主體分析

個人數據跨境流動過程主要涉及到三方主體：國內原本持有數據人是數據主體，在個人數據跨境流動中產生了數據收集儲存者和對數據進行分析使用的數據控制處理者。

數據主體是個人數據的原始持有者，擁有數據的所有權。數據主體完全享有對數據的支配權，享有選擇讓不讓他人處理數據的權利，知曉自己的數據何時、何地、被用于何處，由此產生了數據主體享有數據處理操作的知情權、同意權、異議權等權利。但是，隨著數據的被廣泛利用，數據主體面臨的一大問題之一就是其享有的權利已經被嚴重削弱，在國內流動中如此，在跨境流動中更加明顯。

數掂傳遞過程中，數據收集儲存者是獲得數據的一方，在收集個人數據時應當獲得數據主體的同意，并使其知悉數據使用的目的。跨境數據流動過程中，數據收集儲存者承擔了保管數據的責任，保護數據主體的隱私和數據完整性。

歐盟數據保護法律法規中區分了數據控制者與數據處理者。數據控制者是指單獨或與他人聯合決定個人數據的處理目的、條件和方法的自然人、法人、公共機構或其他實體。數據處理者是代表數椐控制者處理個人數據的主體。數據控制者有權決定數據的內容和可以使用的主體，是該對數據處理最終結果負責人的人。而數據處理者是依據數據控制的指示進行處理，并使用技術手段來保障個人數據安全的角色。

3個人數據跨境流動域外法律規則分析

3.1歐盟

歐盟以“充分保護”作為個人數據跨境流動法律規制的核心標準，對個人數據的跨境流動設定了嚴格的限制條件。1995年歐盟制定通過的《關于涉及個人數據處理的個人保護以及此類數據自由流動的指令》中明確規定，“成員國應當規定，只有在不影響遵守依照本指令其他規定通過的國內規定、第三國確保提供充分保護水平時，正在接受處理或者將在傳輸后進行處理的個人數據才能向第三國傳輸。”由于在原有標準下，達到歐盟充分性標準的國家寥寥無幾，對該標準的實際執行造成了很大的障礙，因此2018年的《數據保護通用條例》在第45條規定：“對于歐盟委員會認定的，對數據保護具有充足能力的第三國、第三國中的某個區域或部門、國際組織，都可以自由轉移數據，且不需要經過特定授權。”《數據保護通用條例》增加了對第三國某個區域或部門的評估，相當于放寬了達到第三國“充分保護”標準的條件，改變了原來一刀切的做法。

3.2美國

與歐盟“充分保護”的模式不同，美國在私營領域主要通過行業自律對個人數據跨境流動進行規制。行業自律模式主要包括在線隱私聯盟公布的在線隱私指引和美國兩大著名隱私認證機構制定的兩個隱私保護計劃。在線隱私指引是一項建議性質的隱私指南，兩個隱私保護計劃以在線隱私指引為范本，依據美國聯邦貿易委員會的原則對企業進行隱私認證。符合要求的企業將獲得認證標識，消費者也可以根據該標識來選擇操作規范的企業。同時，對企業進行持續合規審查，對不符合要求的企業進行處罰，以保證隱私認證企業的數據保護質量。

美國以市場調節和行業自治為主導，限制政府干預，由個人同企業在市場上對個人數據進行定價和交易，期望在實現個人數據自由流動的同時保護數據隱私。該模式依據“問責制”原則，以數據自由流動為基礎，默認數據控制者在數據處理過程中會自覺遵守隱私保護義務，僅在出現違法行為之后，才會有行政機關和行業組織出面對此進行處罰。美國在私營領域沒有統一的數據隱私保護法律，采取分散立法的方式，主要包括1974 年的《家庭教育權利與隱私法》、1986 年的《電子通信隱私1998 年的《兒童網上隱私保護法》以及 1999 年制定的《金融服務現代化法》等。

3.3經濟合作與發展組織

經濟合作與發展組織最早提出跨境數據流動的概念，其1980年通過的《隱私保護指南》，是從全球角度對跨境數據流動進行規制的第一個法律標準，該指南確立了八項基本原則，這些原則成為世界躲過制定個人數據保護法律規范的重要參考依據。這些原則包括：收集限制原則、數據質量原則、目的明確原則、使用限制原則、安全保障原則、公開原則、個人參與原則和責任原則。這些基本原則得到了國際上的廣泛認可，也為建立統一的跨境數據流動法律制度起到了積極的作用。

參考文獻

[1] 郭瑜.個人數據保護法研究[M].北京：北京大學出版社，2012.

[2] 王融.大數據保護時代：數據保護與流動規則[M].人民郵電出版社，2017.