個人數據跨境流動法律規制淺析

舒慧

摘 要 數據跨境流通涉及兩個或兩個以上國家或地區，可能會引起不同主權國家之間的對數據保護的沖突;個人數據的價值與個人隱私的保護之間的沖突也在跨境流動中愈演愈烈，對數據跨境流動進行法律規制十分必要。

關鍵詞 個人數據 跨境流通 法律規制

1個人數據跨境流動含義

1980年經合組織《隱私保護和個人數據跨境流通指南》里已經出現“跨境數據流動”的概念。其中指的“數據”僅為個人數據，指可識別和可認定的個人的任何信息。與之不同的是，根據聯合國跨國公司中心定義跨境數據流動是指“跨越國界對存儲在計算機中的機器可讀的數據進行處理、存儲和檢索。”除此之外，跨太平洋伙伴關系協定（以下簡稱“TPP 協定”）中對跨境數據流動概念進行了擴展，主要是淡化了國界觀念，強調數據的流動自由。當前，“個人數據”和“個人信息”都是跨境數據流動法律規制的對象。我國目前采用的是“個人信息”來界定數據保護對象。國際數據公司（IDC）歸納了大數據的四個特征，即海量的數據規模、快速的數據流轉和動態的數據體系、多樣的數據類型和巨大的數據價值。從上述的數據特征中可以看出來跨境數據流動帶來的高收益和高風險。

2個人數據跨境流動法律規制的必要性

信息化和網絡化的發展，使得數據的增長速度和豐富程度遠超出我們的想象，大數據時代中數據的價值不言而喻。同時，數據天然具有流動性，在全球貿易中，跨境數據流動不僅對技術行業至關重要，還推動了傳統行業的創新。在跨境數據流動帶來精準分析和廣泛應用的同時，也給個人隱私安全和國家公共安全帶來了巨大的影響，因此，對數據跨境流動的法律規制極其有必要。一是數據跨境流動給國家數據主權帶來挑戰。個人數據跨境流通涉及多個不同的國家主體，導流經的國家皆有權對該數據行使管轄權，容易造成各國國家數據主權的交叉重疊和沖突，同時越來越多的數據被存儲在“云”當中，其屬于哪個主權國家管轄，存在很大爭議，相關糾紛也很多。二是個人數據跨境流通對個人隱私保護帶來巨大風險。個人數據跨境流通與個人隱私保護的矛盾貫穿始終，現實中大量數據泄露、交易屢禁不止，又例如美國《愛國者法案》規定其情報機構有權搜集全球人民在日常生活中所產生的所有記錄和數據，并有權搜查美國互聯網公司數據存儲中心的所有個人數據，此舉嚴重侵犯了全球人民的隱私權。

3國外個人數據跨境流動法律規制路徑分析

個人數據的流通無可避免，但個人隱私保護刻不容緩，所以個人數據跨境流動法律規制實質是為了實現個人數據保護與自由流通的平衡。歐盟和美國在跨境數據流動法律規制方面主導形成了兩個具有代表性的規則體系——即歐盟“95 指令”與 APEC“跨境隱私規則”，最終實現了數據流動體系化和制度化。

3.1歐洲

歐洲作為個人數據保護的發源地，將個人數據劃為基本人權之一進行保護，并且其保護力度最為強大，所有數據的流動都要獲得數據主體的同意，并且數據流入國必須滿足“充分性”保護要求。

1980年頒布的《有關個人資料自動化處理個人保護公約》是歐洲首部針對跨境流動進行規制的區域性法律文件，對數據保護基本原則、跨境數據流動規制以及締約國之間的合作做出了規定，并要求締約國不能僅以隱私保護為由限制數據的跨境流動，但同時要求規定必須在數據流入國保證可以為數據提供“相同程度保護”的前提下適用。

1995 年的《有關個人數據處理中的個人保護與所涉及數據自由流通的第 95/46/EC 號指令》（以下簡稱“數據保護指令”）借鑒了《有關個人資料自動化處理個人保護公約》的內容。該指令不僅強調了數據在歐盟成員國間自由流動，同時也對向區域外進行數據轉移提出了相應的要求。指令對向區域外轉移數據作出了特別規制，要求只有在第三國確保能夠提供適當保護水平時，才允許該轉移行為的發生。但是，也存在特殊安排，主要包括標準合同條款和約束性公司規則。

《一般數據保護條例》在 2018 年實施并正式取代“指令”。依據該條例規定，歐盟關于跨境數據管理的組織架構分為三個層次。相比指令，條例對于數據保護提出了更為嚴苛且精準的標準要求，并且域外效力趨向性更明顯，其試圖將管轄范圍擴大到部分設立在歐盟境外的主體;同時，條例對于向第三國或國際組織轉移的個人數據信息，新增了更多的條件和適用情況。

3.2亞太地區（美國）

相對于歐盟對個人數據的強保護，美國更強調數據的自由流動，認為強行采取法律結構對其進行規制有極大的可能會“對商業活動產生不可避免的阻礙”，主張以自律規范的形式對個人隱私進行有效保護，美國形成的是以行業性聯邦立法為主，以憲法、普通法和各州立法為輔的立法體系，并形成了以個人救濟為中心、市場調節為主導的信息保護機制。

2004 年通過的 APEC 隱私框架是亞太地區第一個關于跨境數據流動規制的區域性指導文件。隱私框架的制定在很大程度上借鑒了OECD指南，其核心理念與指南一致，基本原則也可以與指南的八項基本原則進行一一對應。

由美國主導并于2015 年達成的區域性協定 《跨太平洋伙伴關系協定》（TPP）專門對“商業信息跨境自由傳輸條款”做出了規定，成為第一個將涉及數據跨境傳輸的約束性條款寫入協定文本并在一定程度上限制了數據本地化存儲的自由貿易協定（FTA），其對跨境數據流動作出相應規制，包括規制對象限定、本地化存儲要求等。

參考文獻

[1] 齊愛民，張才琴，李儀.大數據時代個人信息開發利用法律制度研究[M].法律出版社，2015.

[2] 陳飛等譯.個人數據保護—歐盟指令及成員國經濟、經合組織指導方針[M].法律出版社，2006.