數據主權背景下個人信息跨境流動治理與完善

張書含

(鄭州大學 法學院，河南 鄭州 450001)

從2021年7月起，包括滴滴出行在內的多部app被要求下架或整改，公民個人信息跨境安全問題一時之間近在眼前。習近平總書記指出，“沒有網絡安全就沒有國家安全”，“在信息時代，網絡安全對國家安全牽一發而動全身”。在經濟全球化背景下，網絡對抗與商業競爭、金融競爭逐漸融合，數據可以指導生產，優化服務和輸出，數據信息成為帶動發展和價值增長的重要驅動力，公民個人信息包含公民的基本信息、興趣偏好等各個方面，再乘以巨大的人口基數，是重要的戰略資源。全球化背景下的個人信息跨境流動無可避免，其批量流轉和使用都會帶來巨大的效益，需要國家管轄與規制。數據主權是國家主權在信息時代的表現，[1]世界各國對個人信息跨境流動并未形成統一的規則，導致出現了司法與執法的混亂局面。我國先后出臺了多部法律法規，向全世界展現了數據主權背景下，公民個人信息跨境流動的中國方案。

一、世界各國個人信息跨境流動規則與特征

隨著互聯網時代的到來，無形的數據模糊了屬地管轄，各國對個人信息跨境流動奉行以屬人管轄和效果管轄為基礎的立法理念，但在制度設置上呈現出截然不同的規則模式。

(一)以技術擴張為中心的美國模式

2018年美國頒布生效的《云法案》，將美國執法機關的數據“主權”延伸至美國企業“控制”的境外數據，2019年共和黨議員向參議院提交關于《2019國家安全與個人數據保護法》的提案，通過專門立法的方式對該問題作出細致規定。美國個人信息流通跨境規則核心條款是：美國政府有關機構對境外信息的獲取摒棄了“數據由數據儲存地所擁有”的標準，可直接繞過數據所在國政府，由實際控制數據的美國公司或有關部門對儲存在他國的數據進行管理。需要注意的是，美國《云法案》所稱數據不僅包括本國人儲存在外國境內的數據，也包括由美國實際控制的非美國人的個人數據。

美國模式的信息跨境流通以技術擴張為核心，體現出鮮明的強權色彩。美國以信息自由和技術發展為由，使本國科技企業進入他國市場，獲取他國個人信息。掌握技術和信息的互聯網公司成為美國實行全球長臂管轄的重要依托，助其實現全球長臂管轄。具體實現步驟包括：利用本國經濟地位，和他國簽訂雙邊或單邊協議，鼓勵他國實行更加寬松的信息政策；利用本國技術優勢捕獲他國公民個人信息，借助美國企業的信息管理，實現長臂管轄；利用大國優勢，影響他國立法美國化，企圖將美國法律轉化為全球性規則。[2]

(二)以權利保護為中心的歐盟模式

歐盟主要通過《通用數據條例》(下文稱GDPR)對數據跨境傳輸進行規制。歐盟數據跨境流動規則主要由三部分組成：第一，他國需認同歐盟信息保護理念，并簽訂協議限制協議和信息權利保護協議。第二，歐盟外機構獲得相關數據不但要滿足公法約束條件，也要獲得數據主體的明確具體授權。第三，規定更高的數據控制者義務與責任。GDPR將數據控制者和數據處理者進行區分，若處理者未按照指令處理數據，需要承擔數據控制者責任。

歐盟各國奉行人權至上理念，公民隱私權被認為是基本權利之上的政治訴求，[3]《德國基本法》更以根本法的形式，將人格尊嚴列為“最高憲法價值”。GDPR將隱私權集中表述為個人數據，在人權高度給予最廣泛最充分的保護。[4]GDBR對非歐盟國家個人信息的利用干預表現為：他國在獲取歐盟信息時需要簽訂權利保護協定和限制協定且歐盟法律可非經轉化為國內法而直接在他國適用。各國數據跨境流動規則呈現出“規則差異化”和“理念碎片化”的特點，[5]歐盟法律在他國非經轉化為國內法而直接適用無疑是最直接和最有效的管轄實現模式。

(三)其他國家的信息跨境規則

除美國歐盟外，世界其他國家已經出現針對數據跨境的監管處罰，但對跨境數據傳送持寬松態度。除某些特殊的國際協議或數據保護水平的互認外，日本《個人信息保護法》就一般性的個人數據跨境傳輸所提供的合法路徑主要限于以下三種情形，即征得數據主體同意、接收國獲得個人信息保護委員會認可具備同等保護水平或接收方具備完善的數據保護體系等。俄羅斯雖然不絕對禁止個人數據出境，但要求數據首次存儲必須在俄羅斯的服務器上。

二、主權原則對個人信息跨境流動的適用

主權是國家在本國境內擁有最高的完全排他的權利。數據主權就是國家對本國的個人數據、集體數據、國家數據享有管轄、占有、使用、處分的權利，[6]表現為主權國家在一國域內對于信息的使用和管理，在一國域外對國家享有信息的合作與管轄。[7]在信息化社會，信息具有指導生產、優化服務等多方面重要價值，個人信息跨境流動成為主權國家信息安全治理的重要環節。

(一)個人信息的價值分析

在信息化社會，對個人信息的搜集、處理、利用會對社會穩定、經濟發展、乃至國家安全產生重要影響。故個人信息不但具有人格價值，更有戰略意義。

1．個人信息的人格價值

個人信息與個人隱私是交叉關系，涉及私生活領域的非公開個人信息屬于個人隱私，而公開程度較高的個人信息則不屬于個人隱私。因此個人信息天然的具有隱私權的部分屬性。隱私權在各國被確定為是人格權的一種，是憲法賦予公民的最基本的權利。歐盟GDPR將隱私權籠統的表述為個人信息，而美國則將隱私劃分為自決性隱私和信息性隱私，分別對應個人信息的保護和利用。德國憲法法院認為個人信息是人格的勾畫，個人有決定何時、何種范圍公開個人信息的尊嚴。[8]

個人信息與個人身份綁定，顯示出可識別的人的生活軌跡和人格形象。在信息化社會，人的任何行為都會以信息的形式被記錄和儲存，這些信息包括生活的方方面面，歷經人的生老病死，實現了從搖籃到墳墓的全過程記錄。云計算的發展可以對累計的信息進行加工處理，整合分析，將每個信息標記拼湊成個人的人格側寫圖。在互聯網時代，個人的信息化人格比自身人格更具傳播性。馬斯洛曾言“人格標識的完整性與真實性是主體受到他人尊重的基本條件。”[9](P31)人作為目的性的存在，只有保持其個人信息體現本人真實人格的情況下，才能保證人有尊嚴的生活。[10]

2．個人信息的戰略價值

公民個人信息對于維護國家安全、社會長治久安，商業蓬勃發展都具有重大戰略意義。首先，個人信息與國家安全密切相關。信息和數據是網絡的基礎組成，信息安全是網絡安全的基礎。公民個人信息包含乘以我國巨大的人口基數，是最重要的信息資源之一。如今，在政治目的裹挾之下，有關國家或組織對公民的個人信息的情報分析將對國家安全帶來巨大隱患；其次，個人信息對社會公共治理具有重要價值。“數字政府”與“責任政府”“服務政府”，成為現代政府的基本標志之一。[11](P139)政府對公民個人信息的搜集，有助于政府傾聽民意，科學決策，民主決策。此外，對海量個人信息的分析處理，可以做到政策精準落地，提高政府決策的準確性；最后，個人信息具有極強的商業價值。一方面，個人信息有助于商家了解消費者偏好，高效進行營銷投放，獲得更高的營銷回應比率；另一方面個人信息是重要的產業要素，[12]各種類型個人信息庫為資金信貸、金融證券、行業咨詢等行業提供信息支持、銷售、租賃等業務。

(二)主權原則適用的必要性

首先，個人信息具有一定的主權屬性。一方面，信息跨境流動可能會給國家安全和社會公共利益帶來巨大風險，這類個人信息主要包括關鍵信息基礎設施和達到法定數量的個人信息兩類。個人信息乘以巨大的人口基數，將反映出國家政治、經濟、文化、社會的方方面面。對大量個人信息的處理可以將個人信息轉化公共信息，從而切實威脅我國國家安全和社會穩定；另一方面，對與公民重大利益密切相關的個人信息跨境流動需要國家救濟。在公民個人信息權利受到境外勢力的侵犯時，單純的私法保護是完全不能覆蓋的，而是應該根據保護管轄和屬人管轄原則，由國家進行公力救濟。綜上，個人信息具有主權屬性，個人信息的跨境流動需要在數據主權原則的基礎下進行。

其次，數據具有可規制性。信息技術的發展，模糊了物理國界，數據可儲存在移動硬盤，U盤等實體物中，也可以儲存在云端和網盤中。而云端和傳統領土完全不同，但并非不可規制。包括知識產權、股票、債券等在內的部分財產也具有無形性的特點，但現有制度已經對無形財產的規制積累了豐富的實踐經驗，如：商標權適用注冊地法律，股權適用股東所在國法律。數據與無形資產有許多相似性，根據類推原則，法院有大量的經驗對數據進行司法管轄。

三、個人信息跨境流動規則的中國方案

個人信息跨境流動規則的建立是國家利益、產業利益、公民權利、風險控制之間的動態平衡，涉及多個復雜疑難的社會命題和經濟命題。2017年全國人大常委會通過《網絡安全法》，2021年通過《數據安全法》和《個人信息保護法》，至此，我國逐漸搭建起全行業、系統性的信息跨境流動規則，為世界展現出信息跨境流動規制的中國方案。

(一)我國個人信息跨境流動規則建構

《網絡安全法》第37條主要包括兩點關鍵內容：第一，信息運營者所收集的關鍵信息與重要數據應儲存在我國境內；第二，信息運營者向外傳輸信息時要經過國家有關部門的評估。《數據安全法》第三章“數據安全制度”對數據安全的評估、審查、共享機制進行了更細化規定。同時《數據安全法》25條規定，“對管制物項數據實施出口管制”，管制物項包括涉及國家安全和利益，涉及國際條約義務的數據。但對如何實施出口管制，并未作出可執行的具體化規定；26條則根據國際法的對等原則，對我國采取歧視性和禁止性措施的國家或地區的信息管理者，對等地采取信息跨境流動限制。以上我國法律規制的跨境流動信息當然包括公民個人信息。

2021年8月全國人大常委會通過了《個人信息保護法》，對個人信息的跨境流動做出更系統的規定。該法涉及個人信息跨境流動條款有第三章(第38條到第43條)，第52條和第55條。第三章較為全面系統地規定了個人信息跨境流動的前提條件、必要措施、個人告知義務、影響評估義務、黑名單制度以及外國司法機構獲取個人信息的評估主體等內容。第52條規定了達到規定數量的個人信息流動責任制度。第55條規定了個人信息處理者保護影響評估義務。我國后續出臺的《網絡安全審查辦法》明確規定掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市必須申報網絡安全審查。可見，我國逐步建立起寬領域、體系化、廣覆蓋的個人信息跨境流動制度框架體系。

(二)以信息主權為中心的中國模式

我國個人信息跨境流動模式強調信息跨境流動的信息主權觀和安全觀，構建起以國家安全、數據安全為核心的個人信息跨境流通規則。

1．主張網絡空間主權觀念

我國主張網絡空間主權觀念，反對信息自由化去管制主張，以維護本國政府對網絡空間的控制和治理。在管轄權方面借鑒歐盟“指向管轄”，建立以屬地管轄為基礎的管轄權模式，即向中國公民提供服務或獲取處理中國出口信息的公司均受中國法院管轄。此模式與歐盟擴張屬人管轄，對境內數據運營者適用相比，更為謹慎嚴密。

2．立法理念：維護國家安全

我國立法以維護網絡完全防范主權干預為核心目標。對信息出口采用“效果說”，進行最大范圍的規制。所謂效果說，即只要是非在中國注冊或不受中國管轄的公司對中國公民的信息或中國境內的信息進行獲取，便構成信息出口。我國立法對影響國家安全、社會穩定、國計民生的關鍵信息做出嚴格限制，此類關鍵信息基礎設施建設在國內，嚴禁未經評估的信息跨境流動。

3.以政府為主導的審查模式

我國《數據安全法》以政府為審查主體，建立信息分類、風險評估、數據安全、信息共享的信息管理監測機制。區別于美國多利益相關者分散式審查模式，我國對跨境信息審查更強調政府主導，發揮政府的權威性、高效性和主觀能動性，對個人信息在內的數據跨境流動做出全面嚴格把控。

我國個人數據跨境流動模式整體呈現出較強的限制性，反映出對國家安全、數字經濟發展、公民人格權等價值的平衡，符合我國社會需要和發展需求。規則建構堅持以數據主權為中心，注重保護國家安全和經濟發展，兼顧公民的隱私保護，為世界展現個人信息跨境流動的中國方案。

四、我國個人信息跨境流動制度完善

我國雖已出臺多部法律法規，但在跨境數據流動規則體系中依舊存在監管規制缺位、對重要數據未作出明確定義，以及缺乏足夠的跨境數據流動評估細則和法律依據等問題。

(一)細化數據分級管控機制

我國對公民個人信息的跨境流動經歷了混合監管到分類監管的模式變化。《網絡安全法》將跨境流動信息籠統的稱為“關鍵信息基礎設施”，后續出臺的《數據安全法》和《個人信息保護法》將“關鍵信息”進一步分為“管制物項”和“個人信息”，并建立了不同強度的審查模式。但對個人信息并未作出具體可執行的細化規定，導致在個人信息跨境流動上存在審查不力。

基于此，可將個人信息就審查強度分為三級：第一，涉及國家安全個人信息。對于涉及國家安全、公共利益、國計民生的個人信息，應根據《數據安全法》第21條、22條、24條列為“管制物項”，同時采取了更加嚴格的跨境流動管制措施，實行國家審查；第二，關鍵個人信息。關鍵個人信息包括個人信息基礎設施和達到一定數量的個人信息集合。該類個人信息因其重要性和數量巨大應當儲存在境內，需要跨境流動的，不但要報網信部門進行安全評估，更要取得信息主體的“單獨同意”(39條)；第三，一般個人信息。對于一般的個人信息跨境流動則采用“單獨同意”加三種評估模式自選的保護方式，在數據安全的前提下增強數據流動的靈活性實效性。

(二)加強關鍵信息的重點立法保護

《個人信息保護法》第38條規定了個人信息跨境流動的強制性規定，即通過網信部門安全評估、獲得網信部門規定機構的安全認證或適用網信部門提供格式合同訂立合同，且明確規定滿足其中之一便可。第40條對第一項適用標準做出了具體要求。“關鍵信息基礎設施”施運營者和“處理個人信息達到規定數量”的運營者向境外提供公民個人信息“應當通過國家網信部門組織的安全評估”。這表明這兩類特殊信息運營者向境外提供公民個人信息時，采用更嚴苛的審查標準，必須經過網信部門安全評估，而不適用兩外兩條規定。但《個人信息保護法》并未對“關鍵信息基礎設施”為何、“規定數量”為多少作出明確規定。

《關鍵信息基礎設施安全保護條例》第2條將關鍵信息基礎設施界定為公共交通、國防科技等在內的重要行業領域以及泄漏可能危害國家安全公共利益的設施。法律與行政法規尚未對“處理個人信息達到規定數量”作出規定。因此，立法要不斷細化，對關系國家安全社會穩定的關鍵信息做出細致的、操作性強的重點規定，填補立法空白，為關鍵信息的跨境流動提供具體可操作的執行依據。

(三)提升信息流動全球治理話語權

經濟全球化和網絡互通性的特點要求個人信息跨境流動必須進行國際合作。歐盟與美國借用技術優勢擴寬網絡國境實現長臂管轄，同時以完備的國內法體系影響各國立法，使國內法向國際法轉化，企圖打造有利于本國發展的信息流動新秩序。雖然我國個人信息跨境流動模式與歐美不同，但同樣具有自身制度優勢與前瞻性。我國應順應潮流爭當國際秩序的締造者而非盲從者，[13]增強國際話語權，構建中國特色的個人信息跨境流動體系。

五、結語

跨境數據流動治理涉及國內法與國際法的內外聯動，既需要國內法律政策為公民、企業和國家數據權提供保障，也需要擴展個人信息跨境流動朋友圈。我國跨境數據流動治理立法體系的正當性、合理性與可用性應經得住國際和國內主體的共同檢驗。[14]我國應建立起多部門協同配合的個人信息跨境流動監管體系、重點突出層次分明的數據保護體系、以信息時效為核心的差異化保障體系、以風險管控為核心的信息安全體系。[15]同時，應該加強各法律法規在信息跨境流動中的銜接，在對關鍵信息重點保護維護信息安全的同時，注重與商業發展和權利保護，在嚴格的制度體系下，賦予企業一定的自主權。相較歐美單一的保護模式，我國注重平衡國家安全、數字經濟、個人權利保護，并構建內外聯動的國內法與國際法體系，將完備的國內法推向國際，擴大朋友圈，提升我國信息流動全球治理話語權。