数字贸易中个人数据信息跨境保护法律研究

摘

要：随着数字贸易全球化的发展，个人数据信息在国境内外频繁流动的过程中时刻面临着被侵害、被泄露等事件，这就要求我们对个人数据信息给予严格保护。美国和欧盟是数字贸易的重要参与者，两者间的数据流动十分频繁。为突破欧盟数据保护法规的限制，美国利用《安全港协议》和《隐私盾协议》两项双边协议，实现了欧盟数据信息在美国境内的自由流动，促进了数字贸易的飞速发展。从数字贸易着手，通过着力分析《安全港协议》与《隐私盾协议》中个人数据信息保护问题，为我国的个人数据信息保护框架提出可行性建议，以期在实现数字贸易发展的同时保障我国的个人数据信息安全。关键词：数字贸易；个人数据信息；《安全港协议》；《隐私盾协议》中图分类号：D922.28

文献标志码：A

文章编号：1673-291X（2024）08-0137-04一、数字贸易及个人数据信息的概念（一）数字贸易的概念“数字贸易”起源于电子商务，与传统经济相对应，是数字经济推进进程中催生出的全新的经济形态，各经济组织间暂未形成统一的界定。较为成熟的概念来源于美国国家贸易委员会（USITC），USITC在其报告中对“数字贸易”进行了狭义和广义的区分。狭义的“数字贸易”是指通过互联网传输而实现的产品和服务的商业活动，认为其是“无形的数字产品和服务贸易”，并将其分为社交网站服务、搜索引擎服务、数字内容服务和其他数字服务四大类。广义的“数字贸易”将通过互联网交易的实物贸易（即电子商务）纳入到数字贸易中。美国贸易代表办公室指出，数字贸易是广泛的概念，不仅包括通过互联网进行的产品销售以及在线服务的提供，还包括全球价值链数据流、智能制造相关服务以及各类平台和应用。（二）个人信息的概念个人信息的界定是个人信息保护的起点，也是一个复杂而有争议的问题，全球共有“隐私说”“关联说”“识别说”三种评判标准。隐私说。该理论最早起源于美国。Parent教授认为，个人信息是指社会中多数所不愿向外透露者（除了对朋友、家人之外），或者个人极敏感而不愿他人知道者。由此可知，针对“隐私”这一概念的理解，主要取决于信息主体的认知程度和价值判断，其评判标准具有较高的主观随意性，难以形成统一的标准。不同信息主体对同一信息内容存在不同的理解，若认知偏差就会导致数据跨境流动的发展与个人信息保护之间产生价值冲突。关联说。该理论主张，个人信息应包括人之内心、身体、身份、地位及其他关于个人之一切事项之事实、判断、评价等所有信息，即个人信息既包括个人年龄、身体状况、体貌特征等与个体私生活有关的个人信息，还应包括个体参加的社会实践活动、团体成员对个体的评价结果等在内的与个体有关的一切信息集合。该理论涵盖了与个体有关的所有信息，将个体信息内容进行无限放大，在对个体信息给予全方位保护的同时，也加大了跨境流动过程中对数据的保护难度。识别说。该理论是全球个人信息保护的主流观点。不论信息内容是否与主体有关，只要能够直接或间接地锁定特定自然人的身份，就都属于个人信息的范畴。若某一信息可直接识别出某一个体特征，则该信息属于法律保护的范围之内，比如身份证号码、指纹、基因等；若某一信息不能直接断定某一个体，但是，当与其他信息相结合可以间接识别出某一个体时，那该信息也值得保护。例如，姓名在一般情况下可以直接判断某一个体特征，但是在出现重名的情况下，其可以依靠出生年月日、家庭住址、父母亲信息等间接推断出某一个体特征，该类信息属于辅助性信息，在数据跨境流通的过程中也需要给予保护。总而言之，当某信息可以识别出个体特征时，该信息则被统归为法律所保护的个人信息，其虽然没有明确具体的划分标准，但为个人信息的保护提供了可圈可点的确定范围。二、美欧《安全港协议》及《隐私盾协议》（一）美欧《安全港协议》作为经济大国，美国的跨国公司遍及全球，相应地就要求个人数据信息自由流通。与欧盟的“数据保护主义”政策相反，美国更倾向于将个人数据信息视为个人财产，强调数据在国际间自由流通，其将限制数据跨境流动的数据本土化的保护措施视为贸易壁垒，会阻碍经济贸易的发展。由于二者之间的法律规制、数据隐私保护理念、管理模式的不同，使之在跨境贸易中无法达到融合。2000年12月，为了促进美欧之间的商业合作，美国商业部和欧盟签订了数据保护协议，即《安全港协议》，该协议旨在调和美欧间数据流动规制的差异，促进数据流动，以实现数字贸易全球化发展。《安全港协议》是欧盟与美国的第一份跨境数据流动充分性的协议，协议的签订暗示着以美国为代表的行业自律和市场调节机制为主的松散立法體制向以欧盟为代表的统一立法体制暂时做出了让步。欧盟在《个人数据保护指令》中规定了“国际数据传递”规则，即只有当第三国数据保护的水平达到“充分性”标准时，才能将个人资料转移或传输至第三国。美国这种松散立法模式难以达到欧盟“充分保护”标准。为了迎合欧盟立法、拓展欧盟经济市场，美国设立了“安全港”。所谓的“安全港”其实是由美国商务部建立的一个公共目录，在联邦交易委员会和美国交通运输部管辖下的任何组织，自愿遵守“安全港”的规则就可以加入该公共目录，成为“安全港”的一员。《安全港协议》主要包括七项原则和常见问题及答案两部分。欧盟认为，根据自愿原则，有关的网络服务商加入“安全港”，就表示该服务商承认七项原则，遵守欧盟的数据保护政策，对数据信息的保护也已经达到了《通用数据保护条例》的“充分性”标准。在此要求下，美国企业便可进入欧盟市场，收集、处理、利用欧盟公民的个人数据信息。《安全港协议》不仅体现出美欧之间的斗争与妥协，还新创出“数据自由化”与“数据本土化”之间的折中状态，对个人数据信息保护和数字经济全球化的发展具有重要意义。一方面，“美国行业自律模式”与“欧盟机构立法模式”相融合，“数据自由化”与“数据本土化”相结合，极大促进了个人数据信息流动与保护间的平衡，实现了个人信息跨境流动的规范化管理。另一方面，美欧之间的市场准入机制的改变，推进了两者之间电子商务活动的开展，有利于促进双方贸易往来，实现数字经济的发展。但是，2013年“斯诺登事件”中美国“棱镜计划”事件被曝光，以及2015年欧盟法院宣布《安全港协议》因违反《指令》规定而无效，一方面表明美欧模式在个人信息保护方面难以兼容，另一方面也表明，在繁杂的数字贸易实践中，数据跨境流动管理的法律制度需要不断进行调整，以规避互联网时代下人人成为网络“透明人”的风险。《安全港协议》本身也存有弊端。一是准入机制方面，美国企业可通过自愿的方式加入“安全港”。加入即视为承诺，对于其是否达到“充分性”保护标准无人进行审查，且因手续简单、程序模糊、机制不透明，难以形成统一的准入标准。二是惩处机制方面。由于《安全港协议》属于合作协议性质，其不具有法律强制效果，针对企业的违规行为，不得以“侵犯隐私罪”论处，只能以商业合作中的“商业欺诈”惩处，该处罚后果与违规行为间明显不适等。三是救济机制方面。当欧盟个人数据信息在美国遭到不适当使用时，由于救济流程过于复杂，不利于申诉，且此时欧盟管理机制难以介入，使得数据信息主体的救济权力难以得到保障。（二）美欧《隐私盾协议》2013年“斯诺登事件”的爆发和《安全港协议》被诉无效案引发欧盟及其成员国对本国数据跨国流通的担忧，使得美欧之间平稳的合作关系出现了极大的挑战与不确定性。在数字经济全球化飞速发展的当今时代，量值庞大的数据信息本应在国际间自由流通，以发挥数据的经济价值，实现双方贸易共赢。正是意识到数据驱动下的核心竞争力因素，欧美间于2016年再次签订了《隐私盾协议》。该协议是欧盟与美国的第二份跨境数据流动充分性的协议，其意味着美国对欧盟利益的再次妥协，是欧盟立法保护与美国行业自律的折中选择，是美欧之间实现数据共享与数据保护相平衡的又一创新之举。简单地说，《隐私盾协议》是对《安全港协议》的继承与发展。一方面，美欧《隐私盾协议》继续适用《安全港协议》精华部分。首先表现在宗旨方面，两者都体现美欧双方想通过放宽政策，力求寻找保护数据安全与数据自由流通的折中状态，为美欧之间的商业贸易提供数据便利，以促进双方的经济往来。其次是遵循原则方面，《隐私盾协议》仍采用行业自律的参加方式，申请加入的美国企业应遵循七项隐私原则。该原则与《安全港协议》的七项原则保持一致，但又在该原则的基础之上对原则进行解释与补充，重新优化了原则内容，弥补了先前协议的种种弊端。另一方面，《隐私盾协议》以《安全港协议》为基础，并有了新的创新与变革。经过“斯诺登事件”后，人们不仅仅关注数据流通中数据的安全问题，也开始意识到数据泄露后救济问题的重要性。美欧《隐私盾协议》包含完整的争议纠纷解决机制和数据主体权力救济机制，旨在着力解决跨境数据的保护与侵害问题。首先是强化数据主体的救济权力方面，《安全港协议》中规定，当个人信息遭到侵害时，可以向美国商业改善局（BetterBusinessBureau）提交投诉意见，解决方式单一且效率低下，这是《安全港协议》的一个主要缺陷。与之相比，《隐私盾协议》确立了申诉机制，个人可以直接向数据控制者进行投诉，企业必须在45天之内给予回应；如果个人向欧盟的数据保护机构进行投诉，将由美国商务部予以受理、审查，尽最大的努力促进争议解决，并于90天内向数据保护机构作出回复。同时，《隐私盾协议》中还设定了三种替代性纠纷解决机制，若经过申诉、替代性纠纷解决机制处理仍未解决数据问题，数据主体可直接向美国仲裁机构提起仲裁。仲裁裁决具有拘束性，在收到仲裁结果后，数据主体可以向当地法院申请强制执行等。其次是增加数据控制者的义务方面，《安全港协议》中规定，企业依自愿申请加入“安全港”，申请就意味着该企业默认七项原则规定。但未设定审查机构对其进行监督，所以导致企业权力滥用。《隐私盾协议》中除自愿申请加入外，要求企业在加入前首先进行自我认证，加入后需要定期进行自我审核，同时接受美国政府或联邦贸易委员会的定期合规检查，并要求企业作出遵循协议保护个人数据及隐私的公开承诺，该公开承诺具有法律约束力与强制力，当企业违反承诺，未按照要求使用数据进行跨境贸易，则应当承担严重后果，美国商务部有权将其从隐私盾企业名单上剔除，并剥夺该企业对收集数据的控制权。最后是安全机构准入方面，这是一项全新的制度，旨在提高数据收集过程的透明度与安全性能。为防止美国政府借用国家安全的名义进行无差别的大数据监控行为，《隐私盾协议》要求美国企业在收集数据时，要采用小范围、有针对性的收集方式，对于情报机构采用无差别的大规模的数据监控所收集到的信息，仅适用于反恐、网络安全等特定领域。协议中首次要求美国政府向欧盟提供书面的承诺和保证，并确保行政机构在法律执行、维护国家安全和保障公共利益活動中有明确的权力范围、保障与监管机制。同时，美国还设定了专门的监督人员——监察员。监察员独立于国家安全机构，主要任务是处理个人投诉问题，为欧盟数据主体提供救济渠道。总的来说，相比《安全港协议》，《隐私盾协议》在内部与外部审查机制、强化数据主体权力机制、权力受侵害后的救济机制等方面都实现了质的突破。但外界也存在很多质疑的声音，如对申诉程序过于复杂烦琐、整体缺乏透明度、美国政府依旧难以达到充分保护标准等一系列问题的质疑，但其与《安全港协议》本质一致，都是美国政府为趋于欧盟市场所做出的最大程度的妥协。随着2020年7月欧盟法院宣告《隐私盾协议》无效，美欧之间的数字贸易受到限制，数字经济全球化的进程受到很大的阻挠，严重影响了全球跨境数据流动规则的构建。虽然《安全港协议》和《隐私盾协议》都因无法满足欧盟“充分性”的数据保护标准而被欧盟法院宣布无效，但两协议代表了美欧之间关于数据自由流动与数据立法保护间一次又一次的尝试与创新，为个人数据信息跨境传输提供了蓝本，为其他国家数据保护的建设提供了重要的借鉴和引领作用。随着大数据时代的到来，越来越多的国家意识到“个人数据”的价值，实现数据自由流通与数据保护双赢已成为时代焦点问题。协议的签订不仅仅是欧美间个人数据信息保护的法律趋同化的体现，更是国际社会为适应经济变化所作出的关于数据保护的法律趋同化的征兆。三、对我国个人数据信息保护机制的启示作为人口大国、数据强国，我国的数据基础、市场基础以及国家政策基础正在逐步适应数字贸易全球化的发展趋势。但在情况多变的具体跨境实践中，缺乏独立的个人数据信息监管机构、数据保护规范零散、企业自律性不高、国际参与度不够等缺点不断凸显，在享受数据红利的同时，也面临着数据跨境的风险问题。因此，要在借鉴美欧国家间个人数据信息保护经验的基础之上，完善我国跨境数据保护的相关制度，积极推进贸易谈判，在促進数字经济发展的同时，加强对数据信息安全的重视。（一）积极参与国际合作，推动构建国际规则数字贸易是经济全球化和数字化的产物，对国际经济合作和竞争有着重要的影响。数字贸易的发展也带来了新的挑战和机遇，如数据安全、个人隐私、数字治理等。在这样的背景下，中国作为一个数字贸易大国，应当积极参与世界合作，在国际合作中不断提高话语权和国际地位。数字贸易涉及多个国家和地区，需要有协调统一的法律规则和标准来规范和促进。在面对海量数据跨境传输的时候，我国应积极推动构建个人数据信息保护机制，在个人数据保护问题上贡献中国智慧，与国际社会一道探索出一条大数据时代适应当今社会发展的个人数据保护之路。（二）建立健全我国