論跨境數據流通中的個人信息保護

在社會生活高度數字化的同時，信息數據收集、儲存、處理、傳輸的成本也在進一步降低，個人數據信息的收集者與使用者在利益的驅使下極易忽視數據主體的同意權，侵害數據主體的個人信息權益。同時，個人信息作為數據的重要構成要件，如果任由公、私主體進行無序的流通與分析，會使一國內部數據的流失，造成嚴重的商業壟斷，甚至會威脅國家安全。如“2021年滴滴事件”中，企業內部數據庫中包含個人信息與國家地理信息的相關要素，赴美上市增加了敏感信息泄露的風險，嚴重威脅了國家層面的數據安全。

《中華人民共和國民法典》首次將個人信息納入民事基本權益的保護范疇。但基于民事主體的法律弱勢地位，以平等保護為內核的民事權益難以在數據跨境流通中為個人信息形成周延保護。由此觀之，應將視角上溯至憲法高度，借域外相關實踐經驗為參照藍本，從中探尋出作為基本權利存在形式的個人信息保護權，并探尋跨境數據流通中個人信息保護的新路徑。

" 一、個人信息保護的理論基礎

" （一）個人信息權益的二元屬性

民事權利基礎理論認為“個人信息作為民法權利范疇，具備對抗一切組織與個體侵害的效力”基于平等保護原則，民事權利不因其侵權主體的公權力屬性而有所減損或豁免。但個人信息權益并非單純的民事權利，具有非排他性、非損耗性，兼具流通和控制雙重價值，在數據流通過程中個人信息權益具有公法賦予的權利屬性，而非僅具有民事權益的人身與財產屬性，因此個人信息的流通環節需要公權力對其予以保護與規制。公權力機關作為信息處理者具有技術、資源、法律地位等天然優勢，若單以民事權利對其予以保護，個人信息權極易淪為“紙面上的權利”，看似處理過程中雙方主體地位平等，實則早已被剝奪了“意思自治”。國家綜合運用行政法、刑法等多部門法來保護個人信息，恰恰是因為信息主體和處理者之間高度不平等，因而需要公法的介入來保障處理結果的公平性。

在跨境流通層面，如果適用民事法律將公權力機關與私主體“一視同仁”，反而會以形式平等掩蓋實質平等，使公權力機關“金蟬脫殼”，借用民事主體地位逃脫監管與處罰。在補償層面，讓侵權人承擔民事責任往往無法實現對個人信息保護的目的。數據流通過程中一旦涉及對個人信息的侵害，在一般侵權訴訟中認定因果關系和確定賠償數額往往對于民事主體過于困難，民事訴訟主體地位的不平等被放大。且公權力機關依法履職過程中造成的損失，應依據公法來進行救濟，應當由公權力機關承擔行政賠償責任。因此單純將個人信息理解為民事權利，既存在法律屬性認定的不周延，也會導致對其公法權利屬性保護的缺位。

" （二）個人信息保護基本權益的規范依據

我國憲法未明確規定個人信息權利的保護。但通過對《中華人民共和國憲法》第三十八條“公民的人格尊嚴不受侵犯”進行解釋，不同的解釋方案將產生不同的結論。第一種觀點將第三十八條的規定理解為“人的尊嚴”，基于“人格尊嚴條款雙重規范意義說”，認為“人格尊嚴”概念，不僅局限于名譽、肖像等具體權利范疇，更蘊含了一種抽象且原則性的概括意義，構成了人權保障的重要基石。鑒于個人信息內含與人格尊嚴密切相關的要素，因此可以合理推斷出個人信息應當受到憲法保護。

第二種解釋將其理解為“一般人格權”。認為憲法上的“人格尊嚴”是一種公民作為具有獨立意志的主體享有的得到尊重的權利，這不同于民事法上僅約束平等主體間的權利，而是憲法上的一般人格權，個人信息受保護是憲法對個人主體意識的肯定與保護。兩種觀點均認同個人信息保護與尊嚴、人格權之間存在著緊密聯系。據此，在個人信息保護的議題上，無論采納何種解釋路徑，均可依據憲法第三十八條將其納入基本權利的保護范疇，從而在數據流通中為個人信息提供更為周延的法律保護。

" 二、個人信息保護路徑的比較分析

" （一）以尊嚴為導向的歐盟保護機制

歐盟在推進境內數據流通的同時，強調個人信息所承載的人權屬性。從歷史演變的角度來看，歐洲的個人信息保護理念與其獨特的人權觀念之間存在著深厚的聯系。從歐洲一體化的進程看，從《巴黎條約》《羅馬條約》到《馬斯特里赫特條約》，歐洲趨同教育與生活的建構也使得該區域內對個人信息保護產生了共鳴。

個人隱私作為個人數據的主要構成要件，兩者往往形影不離，隨著歐盟法院就個人數據的隱私權保護發布相關裁決，2000年的《歐盟基本權利憲章》隨后將個人數據權納入了其保護范疇。這一判決將個人數據權上升為人權高度。在《里斯本條約》中，又將個人數據權的受保護程度加以提升，其作為歐盟成員國的憲法性權利的落實，體現著歐盟對于個人信息的高度重視。憲法性權利優于普通的數據權，因此在個人數據權受到侵害時應對嚴重威脅個人信息安全的行為進行規制。因此，為了維護成員國的憲法性權利，當成員國內的數據進行跨境流通時，歐盟設立了嚴格的審查與評估機制。歐洲注重對數據流通過程的監管，以個人尊嚴構成了個人信息保護的憲法基礎。

" （二）以自由為導向的美國保護機制

美國的個人信息保護以個體自由為導向，個人主義傾向明顯。20世紀六七十年代后，互聯網技術迅猛發展，網絡服務提供者利用信息差大肆收集個人信息，侵害個人信息權。政府為了保護公民隱私和人格尊嚴，出臺了《信息自由法》《隱私權法》《網絡空間電子信息安全法》等系列法案。在此制度背景下，公民的行為若不威脅社會，政府無權干涉公民的私人領域，但若要獲得對個人信息的保護，需要個體進行自主的考量，放棄可能對他人利益造成影響的某些權利，因此以個體為中心的個人信息保護體系并不絕對，而獲得保護的程度具有自由的傾向。

1977年的Whalen v.Roe案使傳統隱私權擴展到個人信息隱私，表現出對信息隱私權在憲法上能夠有一席之地的支持態度。美國在立法方面根據不同領域侵害個人信息及隱私權的行為而單獨立法，法院通過比例原則來考量政府履行公共管理職能時涉及公民個人信息處理行為的合法性。在數據流通中，美國充分給予了公民自主權，體現了對其自由價值的尊重。

歐盟在立法上明確將個人信息保護提升至人權的高度，這種以人權為中心的保護模式，強調了個人信息的不可侵犯性和尊嚴價值，為個人信息的安全與合理利用提供了堅實的法律支撐。相比之下，美國則更加注重以公民隱私權為中心的個人信息保護。公民的個人信息被納入隱私權的保護范疇，嚴格限制了政府和其他機構對個人信息的非法獲取和使用，這種保護模式體現了美國法律對個人自由與隱私權的深切關懷。歐盟與美國所設立的這些符合自身實際情況的個人信息保護模式，不僅為各自區域內的個人信息保護提供了有效的法律保障，同時也為全球范圍內個人信息保護的憲法實踐提供了寶貴的經驗和啟示。

" 三、跨境數據流通中個人信息保護路徑探尋

" （一）主觀權利功能下的保護對策

數據問題的核心在于利益，解決沖突的核心在于對人需要的滿足，這要求國家對現有秩序的維護、對權利的保護、對權利受到侵害時提供及時的救濟，最終實現社會秩序的穩定與公共利益的最大化。

在傳統的信息處理中，數據流通的前置協議往往默認用戶已經對數據收集可能涉及的方方面面已經知情并同意，這顯然與實際生活中的情況相違背。因此，應當提升公權力者的注意義務，提高其服務標準，設定數據跨境流通時的信息特別處理規則。此舉僅僅是在法律既定框架之外，增添了同意的必要條件，從而允許公權力主體在處理個人信息時采用高于私人處理者的標準。同時，諸多具體規范明確了公權力主體在個人信息保護方面所需承擔的公法義務與責任。要構建完備的法律規范體系，建立配套的事后救濟機制，充分考慮到受侵權人的實際訴訟能力和執行能力。然而目前雖然在《中華人民共和國個人信息保護法》和《中華人民共和國民法典》中規定了相應的司法救濟途徑，但個人訴訟受限于取證能力與訴訟規模，難以獲得與公權力機關相匹配的訴訟能力，這也要求為個人信息保護提供公益訴訟的救濟渠道。

" （二）客觀法功能下的保護對策

作為客觀法的基本權利的功能之一是“組織和程序保障功能”。數據流通市場的健康發展有賴于來自交易一線的有效監管措施。可以憲法為基礎，其他部門法為依托構建公正、高效的數據市場，實現國家的積極保護義務，促進個人信息保護。數據市場在數據流通過程中提供交易準入、交易組織、交易監督及事后救濟等服務，將數據規則應用于數據的跨境流通之中。

數據流通中涉及信息處理方的資格審查，可參照行政法中的市場監管，建立“數據準入”的標準。數據準入的核心在于“雙重準入制度”，即數據產品準入和進場準入。違背準入規則，數據市場則有權采取包括剝奪入場資格、限制數據流通等措施。同時市場從數據產品流通各環節都采取更嚴格的審核制度，減少個人信息泄露的風險。

監督數據流通是數據市場的重要功能。數據市場對于數據流通中的個人信息數據所處的審核準入、內容記錄、流通去向等各環節都具有監管職責，同時考量數據處理的風險與利益比例，對數據流通可能涉及的風險進行有效的控制。在“組織與程序保障”功能下，數據市場的建立有利于整合現有的民事侵權、行政監管以及刑事處罰制度，將個人信息的保護提升至基本權利的高度。

" 四、結語

“法治興則國家興”，個人信息保護權具有基本權利的屬性，對其的保護應提升至憲法高度。設定數據市場，明晰公權力機關在數據流通中的信息處理義務，通過完善“前審查、中監管、后救濟”的信息處理模式，由主觀權利與客觀法功能對公權力機關的義務進行確定，由此能充分覆蓋各類個人信息侵害風險源，防范數據流通中個人信息面對的風險，落實個人信息保護權。

（作者單位：山東大學法學院）