数据主权背景下个人信息跨境流动治理与完善

张书含

(郑州大学 法学院，河南 郑州 450001)

从2021年7月起，包括滴滴出行在内的多部app被要求下架或整改，公民个人信息跨境安全问题一时之间近在眼前。习近平总书记指出，“没有网络安全就没有国家安全”，“在信息时代，网络安全对国家安全牵一发而动全身”。在经济全球化背景下，网络对抗与商业竞争、金融竞争逐渐融合，数据可以指导生产，优化服务和输出，数据信息成为带动发展和价值增长的重要驱动力，公民个人信息包含公民的基本信息、兴趣偏好等各个方面，再乘以巨大的人口基数，是重要的战略资源。全球化背景下的个人信息跨境流动无可避免，其批量流转和使用都会带来巨大的效益，需要国家管辖与规制。数据主权是国家主权在信息时代的表现，[1]世界各国对个人信息跨境流动并未形成统一的规则，导致出现了司法与执法的混乱局面。我国先后出台了多部法律法规，向全世界展现了数据主权背景下，公民个人信息跨境流动的中国方案。

一、世界各国个人信息跨境流动规则与特征

随着互联网时代的到来，无形的数据模糊了属地管辖，各国对个人信息跨境流动奉行以属人管辖和效果管辖为基础的立法理念，但在制度设置上呈现出截然不同的规则模式。

(一)以技术扩张为中心的美国模式

2018年美国颁布生效的《云法案》，将美国执法机关的数据“主权”延伸至美国企业“控制”的境外数据，2019年共和党议员向参议院提交关于《2019国家安全与个人数据保护法》的提案，通过专门立法的方式对该问题作出细致规定。美国个人信息流通跨境规则核心条款是：美国政府有关机构对境外信息的获取摒弃了“数据由数据储存地所拥有”的标准，可直接绕过数据所在国政府，由实际控制数据的美国公司或有关部门对储存在他国的数据进行管理。需要注意的是，美国《云法案》所称数据不仅包括本国人储存在外国境内的数据，也包括由美国实际控制的非美国人的个人数据。

美国模式的信息跨境流通以技术扩张为核心，体现出鲜明的强权色彩。美国以信息自由和技术发展为由，使本国科技企业进入他国市场，获取他国个人信息。掌握技术和信息的互联网公司成为美国实行全球长臂管辖的重要依托，助其实现全球长臂管辖。具体实现步骤包括：利用本国经济地位，和他国签订双边或单边协议，鼓励他国实行更加宽松的信息政策；利用本国技术优势捕获他国公民个人信息，借助美国企业的信息管理，实现长臂管辖；利用大国优势，影响他国立法美国化，企图将美国法律转化为全球性规则。[2]

(二)以权利保护为中心的欧盟模式

欧盟主要通过《通用数据条例》(下文称GDPR)对数据跨境传输进行规制。欧盟数据跨境流动规则主要由三部分组成：第一，他国需认同欧盟信息保护理念，并签订协议限制协议和信息权利保护协议。第二，欧盟外机构获得相关数据不但要满足公法约束条件，也要获得数据主体的明确具体授权。第三，规定更高的数据控制者义务与责任。GDPR将数据控制者和数据处理者进行区分，若处理者未按照指令处理数据，需要承担数据控制者责任。

欧盟各国奉行人权至上理念，公民隐私权被认为是基本权利之上的政治诉求，[3]《德国基本法》更以根本法的形式，将人格尊严列为“最高宪法价值”。GDPR将隐私权集中表述为个人数据，在人权高度给予最广泛最充分的保护。[4]GDBR对非欧盟国家个人信息的利用干预表现为：他国在获取欧盟信息时需要签订权利保护协定和限制协定且欧盟法律可非经转化为国内法而直接在他国适用。各国数据跨境流动规则呈现出“规则差异化”和“理念碎片化”的特点，[5]欧盟法律在他国非经转化为国内法而直接适用无疑是最直接和最有效的管辖实现模式。

(三)其他国家的信息跨境规则

除美国欧盟外，世界其他国家已经出现针对数据跨境的监管处罚，但对跨境数据传送持宽松态度。除某些特殊的国际协议或数据保护水平的互认外，日本《个人信息保护法》就一般性的个人数据跨境传输所提供的合法路径主要限于以下三种情形，即征得数据主体同意、接收国获得个人信息保护委员会认可具备同等保护水平或接收方具备完善的数据保护体系等。俄罗斯虽然不绝对禁止个人数据出境，但要求数据首次存储必须在俄罗斯的服务器上。

二、主权原则对个人信息跨境流动的适用

主权是国家在本国境内拥有最高的完全排他的权利。数据主权就是国家对本国的个人数据、集体数据、国家数据享有管辖、占有、使用、处分的权利，[6]表现为主权国家在一国域内对于信息的使用和管理，在一国域外对国家享有信息的合作与管辖。[7]在信息化社会，信息具有指导生产、优化服务等多方面重要价值，个人信息跨境流动成为主权国家信息安全治理的重要环节。

(一)个人信息的价值分析

在信息化社会，对个人信息的搜集、处理、利用会对社会稳定、经济发展、乃至国家安全产生重要影响。故个人信息不但具有人格价值，更有战略意义。

1．个人信息的人格价值

个人信息与个人隐私是交叉关系，涉及私生活领域的非公开个人信息属于个人隐私，而公开程度较高的个人信息则不属于个人隐私。因此个人信息天然的具有隐私权的部分属性。隐私权在各国被确定为是人格权的一种，是宪法赋予公民的最基本的权利。欧盟GDPR将隐私权笼统的表述为个人信息，而美国则将隐私划分为自决性隐私和信息性隐私，分别对应个人信息的保护和利用。德国宪法法院认为个人信息是人格的勾画，个人有决定何时、何种范围公开个人信息的尊严。[8]

个人信息与个人身份绑定，显示出可识别的人的生活轨迹和人格形象。在信息化社会，人的任何行为都会以信息的形式被记录和储存，这些信息包括生活的方方面面，历经人的生老病死，实现了从摇篮到坟墓的全过程记录。云计算的发展可以对累计的信息进行加工处理，整合分析，将每个信息标记拼凑成个人的人格侧写图。在互联网时代，个人的信息化人格比自身人格更具传播性。马斯洛曾言“人格标识的完整性与真实性是主体受到他人尊重的基本条件。”[9](P31)人作为目的性的存在，只有保持其个人信息体现本人真实人格的情况下，才能保证人有尊严的生活。[10]

2．个人信息的战略价值

公民个人信息对于维护国家安全、社会长治久安，商业蓬勃发展都具有重大战略意义。首先，个人信息与国家安全密切相关。信息和数据是网络的基础组成，信息安全是网络安全的基础。公民个人信息包含乘以我国巨大的人口基数，是最重要的信息资源之一。如今，在政治目的裹挟之下，有关国家或组织对公民的个人信息的情报分析将对国家安全带来巨大隐患；其次，个人信息对社会公共治理具有重要价值。“数字政府”与“责任政府”“服务政府”，成为现代政府的基本标志之一。[11](P139)政府对公民个人信息的搜集，有助于政府倾听民意，科学决策，民主决策。此外，对海量个人信息的分析处理，可以做到政策精准落地，提高政府决策的准确性；最后，个人信息具有极强的商业价值。一方面，个人信息有助于商家了解消费者偏好，高效进行营销投放，获得更高的营销回应比率；另一方面个人信息是重要的产业要素，[12]各种类型个人信息库为资金信贷、金融证券、行业咨询等行业提供信息支持、销售、租赁等业务。

(二)主权原则适用的必要性

首先，个人信息具有一定的主权属性。一方面，信息跨境流动可能会给国家安全和社会公共利益带来巨大风险，这类个人信息主要包括关键信息基础设施和达到法定数量的个人信息两类。个人信息乘以巨大的人口基数，将反映出国家政治、经济、文化、社会的方方面面。对大量个人信息的处理可以将个人信息转化公共信息，从而切实威胁我国国家安全和社会稳定；另一方面，对与公民重大利益密切相关的个人信息跨境流动需要国家救济。在公民个人信息权利受到境外势力的侵犯时，单纯的私法保护是完全不能覆盖的，而是应该根据保护管辖和属人管辖原则，由国家进行公力救济。综上，个人信息具有主权属性，个人信息的跨境流动需要在数据主权原则的基础下进行。

其次，数据具有可规制性。信息技术的发展，模糊了物理国界，数据可储存在移动硬盘，U盘等实体物中，也可以储存在云端和网盘中。而云端和传统领土完全不同，但并非不可规制。包括知识产权、股票、债券等在内的部分财产也具有无形性的特点，但现有制度已经对无形财产的规制积累了丰富的实践经验，如：商标权适用注册地法律，股权适用股东所在国法律。数据与无形资产有许多相似性，根据类推原则，法院有大量的经验对数据进行司法管辖。

三、个人信息跨境流动规则的中国方案

个人信息跨境流动规则的建立是国家利益、产业利益、公民权利、风险控制之间的动态平衡，涉及多个复杂疑难的社会命题和经济命题。2017年全国人大常委会通过《网络安全法》，2021年通过《数据安全法》和《个人信息保护法》，至此，我国逐渐搭建起全行业、系统性的信息跨境流动规则，为世界展现出信息跨境流动规制的中国方案。

(一)我国个人信息跨境流动规则建构

《网络安全法》第37条主要包括两点关键内容：第一，信息运营者所收集的关键信息与重要数据应储存在我国境内；第二，信息运营者向外传输信息时要经过国家有关部门的评估。《数据安全法》第三章“数据安全制度”对数据安全的评估、审查、共享机制进行了更细化规定。同时《数据安全法》25条规定，“对管制物项数据实施出口管制”，管制物项包括涉及国家安全和利益，涉及国际条约义务的数据。但对如何实施出口管制，并未作出可执行的具体化规定；26条则根据国际法的对等原则，对我国采取歧视性和禁止性措施的国家或地区的信息管理者，对等地采取信息跨境流动限制。以上我国法律规制的跨境流动信息当然包括公民个人信息。

2021年8月全国人大常委会通过了《个人信息保护法》，对个人信息的跨境流动做出更系统的规定。该法涉及个人信息跨境流动条款有第三章(第38条到第43条)，第52条和第55条。第三章较为全面系统地规定了个人信息跨境流动的前提条件、必要措施、个人告知义务、影响评估义务、黑名单制度以及外国司法机构获取个人信息的评估主体等内容。第52条规定了达到规定数量的个人信息流动责任制度。第55条规定了个人信息处理者保护影响评估义务。我国后续出台的《网络安全审查办法》明确规定掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查。可见，我国逐步建立起宽领域、体系化、广覆盖的个人信息跨境流动制度框架体系。

(二)以信息主权为中心的中国模式

我国个人信息跨境流动模式强调信息跨境流动的信息主权观和安全观，构建起以国家安全、数据安全为核心的个人信息跨境流通规则。

1．主张网络空间主权观念

我国主张网络空间主权观念，反对信息自由化去管制主张，以维护本国政府对网络空间的控制和治理。在管辖权方面借鉴欧盟“指向管辖”，建立以属地管辖为基础的管辖权模式，即向中国公民提供服务或获取处理中国出口信息的公司均受中国法院管辖。此模式与欧盟扩张属人管辖，对境内数据运营者适用相比，更为谨慎严密。

2．立法理念：维护国家安全

我国立法以维护网络完全防范主权干预为核心目标。对信息出口采用“效果说”，进行最大范围的规制。所谓效果说，即只要是非在中国注册或不受中国管辖的公司对中国公民的信息或中国境内的信息进行获取，便构成信息出口。我国立法对影响国家安全、社会稳定、国计民生的关键信息做出严格限制，此类关键信息基础设施建设在国内，严禁未经评估的信息跨境流动。

3.以政府为主导的审查模式

我国《数据安全法》以政府为审查主体，建立信息分类、风险评估、数据安全、信息共享的信息管理监测机制。区别于美国多利益相关者分散式审查模式，我国对跨境信息审查更强调政府主导，发挥政府的权威性、高效性和主观能动性，对个人信息在内的数据跨境流动做出全面严格把控。

我国个人数据跨境流动模式整体呈现出较强的限制性，反映出对国家安全、数字经济发展、公民人格权等价值的平衡，符合我国社会需要和发展需求。规则建构坚持以数据主权为中心，注重保护国家安全和经济发展，兼顾公民的隐私保护，为世界展现个人信息跨境流动的中国方案。

四、我国个人信息跨境流动制度完善

我国虽已出台多部法律法规，但在跨境数据流动规则体系中依旧存在监管规制缺位、对重要数据未作出明确定义，以及缺乏足够的跨境数据流动评估细则和法律依据等问题。

(一)细化数据分级管控机制

我国对公民个人信息的跨境流动经历了混合监管到分类监管的模式变化。《网络安全法》将跨境流动信息笼统的称为“关键信息基础设施”，后续出台的《数据安全法》和《个人信息保护法》将“关键信息”进一步分为“管制物项”和“个人信息”，并建立了不同强度的审查模式。但对个人信息并未作出具体可执行的细化规定，导致在个人信息跨境流动上存在审查不力。

基于此，可将个人信息就审查强度分为三级：第一，涉及国家安全个人信息。对于涉及国家安全、公共利益、国计民生的个人信息，应根据《数据安全法》第21条、22条、24条列为“管制物项”，同时采取了更加严格的跨境流动管制措施，实行国家审查；第二，关键个人信息。关键个人信息包括个人信息基础设施和达到一定数量的个人信息集合。该类个人信息因其重要性和数量巨大应当储存在境内，需要跨境流动的，不但要报网信部门进行安全评估，更要取得信息主体的“单独同意”(39条)；第三，一般个人信息。对于一般的个人信息跨境流动则采用“单独同意”加三种评估模式自选的保护方式，在数据安全的前提下增强数据流动的灵活性实效性。

(二)加强关键信息的重点立法保护

《个人信息保护法》第38条规定了个人信息跨境流动的强制性规定，即通过网信部门安全评估、获得网信部门规定机构的安全认证或适用网信部门提供格式合同订立合同，且明确规定满足其中之一便可。第40条对第一项适用标准做出了具体要求。“关键信息基础设施”施运营者和“处理个人信息达到规定数量”的运营者向境外提供公民个人信息“应当通过国家网信部门组织的安全评估”。这表明这两类特殊信息运营者向境外提供公民个人信息时，采用更严苛的审查标准，必须经过网信部门安全评估，而不适用两外两条规定。但《个人信息保护法》并未对“关键信息基础设施”为何、“规定数量”为多少作出明确规定。

《关键信息基础设施安全保护条例》第2条将关键信息基础设施界定为公共交通、国防科技等在内的重要行业领域以及泄漏可能危害国家安全公共利益的设施。法律与行政法规尚未对“处理个人信息达到规定数量”作出规定。因此，立法要不断细化，对关系国家安全社会稳定的关键信息做出细致的、操作性强的重点规定，填补立法空白，为关键信息的跨境流动提供具体可操作的执行依据。

(三)提升信息流动全球治理话语权

经济全球化和网络互通性的特点要求个人信息跨境流动必须进行国际合作。欧盟与美国借用技术优势扩宽网络国境实现长臂管辖，同时以完备的国内法体系影响各国立法，使国内法向国际法转化，企图打造有利于本国发展的信息流动新秩序。虽然我国个人信息跨境流动模式与欧美不同，但同样具有自身制度优势与前瞻性。我国应顺应潮流争当国际秩序的缔造者而非盲从者，[13]增强国际话语权，构建中国特色的个人信息跨境流动体系。

五、结语

跨境数据流动治理涉及国内法与国际法的内外联动，既需要国内法律政策为公民、企业和国家数据权提供保障，也需要扩展个人信息跨境流动朋友圈。我国跨境数据流动治理立法体系的正当性、合理性与可用性应经得住国际和国内主体的共同检验。[14]我国应建立起多部门协同配合的个人信息跨境流动监管体系、重点突出层次分明的数据保护体系、以信息时效为核心的差异化保障体系、以风险管控为核心的信息安全体系。[15]同时，应该加强各法律法规在信息跨境流动中的衔接，在对关键信息重点保护维护信息安全的同时，注重与商业发展和权利保护，在严格的制度体系下，赋予企业一定的自主权。相较欧美单一的保护模式，我国注重平衡国家安全、数字经济、个人权利保护，并构建内外联动的国内法与国际法体系，将完备的国内法推向国际，扩大朋友圈，提升我国信息流动全球治理话语权。