我国跨境电商中网络用户个人信息保护的困境与路径

张卫彬，陈 计

(安徽财经大学 法学院，安徽 蚌埠 233030)

在数字化转型时代，互联网和经济全球化交织在一起，跨境电商作为外贸发展的升级模式，呈现出如火如荼的新态势(图1)。据《中国电子商务报告(2022)》统计，2021年我国跨境电商进出口总量达1.98万亿，其中出口量达1.44万亿，增长率分别为15%和24.5%。面对复杂多变的网络市场环境，许多电商平台不得不采取相应措施来搜集用户的消费数据信息，以实现针对性地推广，提高自身竞争力，扩大市场份额。目前针对跨境电商中个人信息保护的探讨主要集中在国际协调机制[1]和管辖权归属[2]层面，鲜少有学者把研究视角置于国内领域，长期以来我国个人信息保护重视程度不足，始于起步阶段，尽管《网络安全法》和《个人信息和重要数据出境安全评估办法(征求意见稿)》均对个人信息中的重要数据提出了指示性规定，但更具专门性的《重要数据指南》仍处于“萌芽”状态，致使网络用户个人信息保护在跨境电商领域的实践具有一定的困难。因此，通过深入剖析我国跨境电商领域中网络用户个人信息保护存在的问题，并提出相应的解决方案，来契合和满足当前个人信息保护的现实需求。

图1 2017—2021年中国跨境电商进出口总额统计资料来源：中国电子商务报告

一、我国跨境电商中网络用户个人信息保护的立法检视与评述

我国跨境电商中网络用户个人信息保护法律规则欠缺，系统性不足，总体上呈现出较为薄弱的立法样态。2021年8月20日，十三届全国人大常委会第三十次会议审议并通过了第一部针对个人信息保护的专门立法——《中华人民共和国个人信息保护法》，为我国跨境电子商务中个人信息的保护和流动提供了原则性、纲领性的指引，第三十八条指出，“个人信息处理者确因业务需要，要向境外提供信息的，个人信息处理者应采取必要的措施，保障境外接收方处理个人信息达到本法规定的标准”，该法明确了个人信息处理者在信息跨境流动的责任，一定程度上弥补了信息跨境流动的法律空缺，但由于规定得较为宽泛和模糊，缺乏具体的可操作性，发挥的作用极为有限。与之相衔接，我国《电子商务法》第六十九条、第七十一条、第七十九条则规定了，“电子商务经营者应保护电子商务用户信息，违反法律、法规有关个人信息保护规定的，依照相应的规定进行处罚”，两法之间相互协调配合，共同保障跨境电商中用户的信息安全。为了上述法律规范能够落到实处，具备可操作性，2022年7月国家互联网信息办公室又出台了《数据出境安全评估办法》(以下简称“评估办法”)，系统而全面地提出了数据出境的详细标准。“评估办法”第三条、第五条、第八条创设了我国首个数据评估安全体系，要求对数据的出境目的、方式、范围以及境外接收方的技术、能力等方面综合评估，从多维度保障跨境电商中网络用户的个人信息安全。然而前述立法和规范性文件多集中于境内或者电商经营者视角，对用户的关注度不足，如，当用户数据信息泄露、个人信息遭受侵害时救济路径不明；数据跨境输出时，怎样取得用户的同意以及取得何种程度的同意，法律都没有做出明确的规定，其他有关跨境电商网络用户个人信息保护的规则阙如。

通观上述法律规范(表1)，对我国现行立法简要评析如下，首先，在立法形式上采取的是数据主体同意的事前模式。我国《网络安全法》第42条规定，“网络运营者不得泄露、篡改、损毁其收集的个人信息；未经被收集人同意，不得向他人提供信息” ，归纳分析我国在跨境电商领域中个人信息保护的法律规范，不难得出我国立法支持数据主体同意的观点，选用的是“数据主体同意+安全评估”的对内事前防范制度。我国跨境电商规模在世界处于领先地位，但数据保护规则尚不成熟、仍处于探索阶段，数据主体同意模式将权力赋予个人，虽然减少企业的合规成本，但造成网络用户个人信息保护力度不足，数据安全协调治理能力较低。其次，在立法设定上私法合规监督不足。我国跨境电商中网络用户个人信息保护的法律法规多是从行政管理便利的角度出发，没有为企业设立明确的规范与标准，平台难以充分利用自身数据便利的特点为用户提供“个人信息盾”保护。我国《公司法》《合伙企业法》《个人独资企业法》等都没有将个人信息安全保障列为企业内部义务，对商业主体自治尤其是企业内部合规的关注不够，可以借鉴《APEC隐私框架》，从企业切入，创新数据保护路径，形成网络用户个人信息保护的最佳实践 。 最后，在立法体例上呈现出较为分散的样态。我国跨境电商中保护网络用户个人信息的条款既横向分布于不同的法律部门中，又纵向散于不同效力位阶之间[3]，如《刑法修正案(七)》《刑法修正案(九)》第253条对公民贩卖个人信息的犯罪作了相关规定，《个人信息保护法》第66条又对针对个人信息侵权行为设立相应惩罚措施，关于个人信息侵权的处罚方案交叉于刑、民两个学科，不同法律领域内的价值取向和界定标准不一，容易造成部门法之间衔接不当，既不利于主体明确行使权利，又加大争议解决的成本和难度，应在跨境电商领域加速形成以宪法为核心，以法律为主干，以法律、规章及其他规范性文件为补充的相互交融、联动的个人信息保护立法体系。

表1 我国跨境电商网络用户个人信息保护主要法律规范汇总

二、我国跨境电商中网络用户个人信息保护困境：规则阙漏

(一)个人信息保护标准落后

受“公共利益优先”理念的影响，我国长期以来对个人信息的保护力度不足，近年来，我国出台了一些技术标准和管理标准，遗憾的是，技术标准没有专门为个人信息保护而设，管理标准方面也仅考虑了计算机进行个人数据传输时的安全。2012年我国首个全国性个人信息保护标准《信息安全 公共及商用服务信息系统个人信息保护指南》诞生，由中国软件评测中心牵头并联合多家单位共同制定、2017年国家标准化管理委员会又发布了GB/T35273-2017《信息安全技术 个人信息安全规范》；此外地方上也有着制定个人信息保护标准的尝试，如2012年大连市发布了DB21/T 1522《软件及信息服务业个人信息保护规范》、2008年西安软件园发展中心颁布了《陕西软件和信息服务业个人信息保护规范》。从总体上看，我国所颁布的个人信息保护标准相对落后，条款主要集中在个人信息的收集和使用层面，对个人信息的披露和保护鲜有涉及，仍停留在20世纪60年代提出的“公平信息实践”阶段，企业缺乏可操作性，实用性不强，大数据时代来临，我国公民越来越重视个人信息的安全与维护，原有的信息安全规范已不能适应时代的发展，为满足消费者隐私保护的需求，急需制定准确、完整、详尽的个人信息保护规范，逐步建立起一套既符合中国国情又与国际并轨的个人信息保护标准体系。

(二)法律责任属性模糊

在跨境电商侵害网络用户个人信息的司法实践中，通常涉及侵权和合同之债两大问题，即网络用户选择侵权还是合同违约，以何种方式向跨境电商平台主张自己的权利。在现实生活中，跨境电商平台要求消费者必须进行实名注册，才可以在平台进行消费行为。注册行为往往伴随着与平台签订《隐私保护政策》和《注册协议》，该协议用于规范平台和消费者之间的权利义务，明确跨境电商平台收集、整理、使用和披露消费者信息的方式和范围。根据此协议，跨境电商平台一般需要承担保护用户个人信息的义务，当平台由于疏于管理过失或故意地侵害用户个人信息的时候，消费者可以依据协议向跨境电商平台提起赔偿诉求，同时该行为又是一种侵权行为，侵害公民的知情权、信息安全权等人格权，此时在跨境电商平台侵害用户个人信息纠纷中，侵权和违约行为就产生了竞合[4]。在2016年“冯红真诉浙江天猫、淘宝中国侵权责任纠纷案(1)案中原告冯红真2016年7月25日，在天猫国际山田养蜂海外旗舰店购买了“罗马尼亚产成熟洋槐蜂蜜300g”商品1箱，因产品功效未达到广告宣传，双方产生争议，诉至法院。但之前原告与天猫国际签署的《用户服务协议》第九条规定，“本协议之效力、解释、变更、执行与争议解决均适用香港法律，任何与香港的法律冲突规则或原则不适用本协议”，双方已确定了准据法，但审理时太原市中院仍直接依据《中华人民共和国消费者权益保护法》第四十四条的规定，认定原告也没有证据证明被告淘宝中国控股有限公司明知或应知销售者利用平台侵害其合法权益，驳回原告起诉。”中，太原市中院在审理本案的过程中，越过选用法律的论证环节，直接依据《中华人民共和国消费者权益保护法》的规定，判定被告没有侵害原告的合法权益，驳回原告的诉求请求[9]。本案中太原市中院直接采取侵权作为案由来审理案件，而在更多时候，基层人民法院包括派出法庭在内处理类似案件往往按照合同违约进行审理。我国法院在长期“重实体轻程序”的局限性思维下，侵权和违约法律适用模糊，未来需要进一步厘清侵权和违约在跨境电商网络用户个人信息侵权案的适用界限，正确识别法律关系；选取合理便利的规则，实现充分救济当事人合法权益的目标。

(三)强制性规则匮乏

自2021年《个人信息保护法》和2016年《网络安全法》出台以后，跨境电商业务中个人信息数据流转的行为就逐步纳入法治监管的轨道上，我国新规定的国家安全审查制度和本地存储制度对个人数据的利用和保护提出了更高的标准，然而在具体的实践过程中，这些强制性规则在跨境电商个人信息保护的适用中存在着明显的缺陷与不足。首先，国家网信办在国家安全审查制度实施的过程中只具备单向性，即只对我国个人信息数据流向境外时进行审核，当境外数据流入国内是否需要审查在《网络安全法》中并未提及[5]。其次，为了进一步推动跨境电商产业的蓬勃发展，国家安全审查制度和本地存储制度在适用对象上有所限缩，只限定到关键信息基础设施运营者，未采用国际上的通行做法，将适用对象扩大至全网。最后，个人信息和重要数据的解释不明是法律适用时的突出短板，阻碍了强制性规则的落地与实施，为我国跨境电商中个人信息保护的国际合作带来了严峻的挑战。若网络用户的个人信息造成泄漏，被境外不法分子所利用，势必会对我国的国家安全和公共利益造成重大侵害；2018年中美贸易战延续至今且呈形势加剧的趋势，国际社会上反贸易全球化主义浪潮有着复苏迹象[6]，在此背景下，美国想要阻挡我国经济发展的脚步，必然对跨境电商等新型互联网产业提出更严格的个人信息数据保护标准，以图削减我国对外贸易的总量。我国要高度重视跨境电商中的个人信息数据安全问题，建立起一套系统完备的强制性规则体系，用以面对国际贸易中可能出现的冲击和影响。

(四)个人信息安全保护体系缺损

跨境电子商务中的数据流动和保护治理涉及一国网络空间主权，与网络用户个人信息保护息息相关，2020年新加坡电商巨头Lazard公司110万用户个人信息数据泄漏，对于总人口只有570万的新加坡，无疑是一场巨大的灾难，引起了大范围的社会动荡和民众恐慌；无独有偶，2019年我国深圳都市频道报道，深圳市民邹女士查询跨境电商个人额度时，发现自己名下多出40余条非本人购买记录，经海关总署证实其个人信息泄漏并遭到冒用[7]。当前我国《个人信息保护法》《网络安全法》以及《电子商务法》规定了跨境电商平台在收集、整理、使用和披露个人信息时需要满足合法、正当和必要的条件，同时又规定了相应的数据安全储存制度，看似高标准、严要求的个人信息安全保护体系背后仍有很大的改进空间。首先，在个人信息数据本地化存储的过程中，并未对储存方式按照数据备份、数据留存、特定数据留存、自有服务器数据留存等种类进行细化，方式混乱，备份和留存间界限模糊，这些储存行为使得我国的个人信息数据法律保护体系形成空隙，容易引发上述信息安全的一系列事故[8]。其次，我国现行的个人信息数据跨境流转制度采取的政府审批和许可制度与全球数据经济发展的趋势背道而驰，政府数据监管负担过重、监管模糊，容易使得个人信息安全受到侵害，宜将权力下放，充分发挥企业数据安全自我评价机制的积极作用，通过形成数据跨境流转时事前监管事中、事后监管转移的综合监管模式，提升监管的作用和效能，在跨境电商的数据跨境流转阶段充分保障网络用户的个人信息安全。

三、个人信息保护路径展望：理念设计与机制配套

大数据时代，数字经济已经成为各国经济发展繁荣的核心推动力，据中国互联网观察(China Internet Watch)数据显示，早在2020年我国跨境电商规模已经达10.3万亿，位居全球第一[9]，但近年来由于国家个人信息保护制度缺位、个人信息保护法律规则零散、网络用户个人信息保护力度不足，给我国跨境电商经营者造成了巨大的负担。

(一)个人信息保护的理念设计

1.坚持行政机关监管与跨境电商平台自治并重的理念

我国跨境电商网络用户个人信息保护的立法实践中，对行政机关附加的数据安全保障义务过重，而对跨境电商平台的要求畸轻，跨境电商中用户个人信息的保护既需要依托行政机关信息数据保护职责的明确与积极行使，更要充分发挥跨境电商平台主体自治的主观能动性，两者相互协调、相互配合，共同提升网络用户个人信息保护的水平。行政机关在监管的过程中，往往只重视发挥自身的监管效能，忽略跨境电商平台的作用，但在现实案例中，平台在个人信息保护过程中却有着举足轻重的作用，如2008年Facebook 个人信息泄漏丑闻震惊世界，数据被传输至英国剑桥分析公司用于预测美国大选，最后的维权行为是由美国贸易委员会(FTC)委托相关平台实施而非权利人[10]。因此在我国跨境电商网络用户个人信息保护制度的构造上，要贯彻落实行政机关监管和跨境电商平台自治并重的理念，跨境电商业务中个人信息数据传输至边境乃至境外，行政机关仅依靠自身力量进行监管力有不逮，在肯定行政权规制的同时要充分尊重跨境电商平台的内部自治性，企业天然具有追求自身利益最大化的盈利特性，鼓励跨境电商平台在维护个人信息安全的前提下，对个人信息数据合理调配，突破数据收集的初始目的对数据加以充分地利用[11]，以此让企业充分认识到个人信息数据的价值，提高对数据安全保障的重视程度，发挥企业的监管作用，推动跨境电商平台自治模式升级，让网络用户个人信息得到切实的保障。

2.坚持国内立法修正与国际规则借鉴相协调的理念

在跨境电商网络用户个人信息保护的规则架构中，既要植根于中国本土的政治、经济、法律土壤，又要顺应全球信息数据跨境流动治理的趋势，借鉴国际上先进的信息数据治理经验。首先，要对我国传统的知情同意规则进行补足和完善。知情同意是在“同意”的意思表示下允许他人对自身信息加以使用，是主体间交往时设定法律关系的基础与前提行为，然而在数据和算法的冲击下，却有着逐渐失灵的征兆，需要适时对知情同意规则进行修正：所有个人信息的收集与处理未来均需得到同意，但同意应当具体类型化为明示同意、默示同意、有效同意[12]，美国、欧盟所提出的场景和风险理念就是该种修正方式的动态回应，其认为数据开发分析和个人信息保护是一种利益平衡的关系，通过扩大权利人同意的事项范围，加重机构处理和收集数据的责任，来协调个人信息保护和利用的关系。其次，在借鉴国际先进立法经验的基础上，构筑我国本土网络用户个人信息保护规则体系。国际层面跨境电商中个人信息保护规则多集中于双边条约和多边条约，双边条约更符合缔约国双方的利益需求，权利义务明确，监督执行机制严格，以2016年的《欧美隐私盾》为典型代表；而多边条约是在诸多缔约国个人信息保护水平参差不齐背景下，各方求同存异的考量，易于推动全球贸易合作。我国可以兼采上述条约中的先进理念，构造出“原则+减损”的模式，以保护为原则，以限制为例外——既保护信息数据自由流动又保护个人信息安全，既限制信息数据的跨境转移又限制个人信息保障，在进行安全评估的前提下，区分个人信息数据性质，综合引入数据主体同意、适当性评估、数据控制者确保模式[13]，在中国倡导构建人类命运共同体的背景下，推动全球信息数据安全保护体系变革，助力我国跨境电子商务产业的持续性发展。

(二)个人信息保护的机制配套

1.提高个人信息保护标准

标准一般是由专业的标准制定机构或行业的专业性组织制定，用于对行业的技术、管理、操作、流程等方面进行指导，个人信息保护标准也不例外，个人信息保护标准依据标准化对象可以划分为技术标准、管理标准、工作标准和服务标准，但由于技术标准和管理标准的效果更强，作用更为明显，所以主要从这两个维度入手进行分析。

首先，在技术标准上，可将个人信息保护分为3个要素：分享(4种属性)、二次利用(3种属性)和持有数据(3种属性)，其中每个要素都具备若干属性，如二次利用要素有相同情况二次利用、用户定位二次利用、营销目的二次利用等三种属性[14]。从上述每个要素中抽取一个属性，进行排列组合，可以得到36种从宽松到严格的个人信息保护标准(图2)，用户可以依据自身情况对每种属性进行授权，从细微的技术划分标准入手，充分保障用户的个人信息安全。

图2 个人信息保护技术标准运行图

其次，在管理标准上，采用个人信息影响评估模式。随着跨境电商平台日益增多的个人信息侵权行为，用户对个人信息安全保障的需求越来越高，而个人信息影响评估模式则可以实现企业和消费者间的利益平衡，该种模式下，既要考虑企业利益，也要考虑消费者需求；评估范围不仅包括个人行为信息、人际沟通信息也包括个人数据信息；评估过程既包括信息交换、也包括方案适应性研究，通过运用事前预测的方式，让跨境电商平台利用个人信息评估模式预测出可能出现的个人信息侵权风险，给数据主体提供化解这些风险的措施，为网络用户个人信息的保护添设一道“防火墙”。

2.厘清法律责任属性

显然，跨境电子商务中网络用户个人信息的保护实则涉及到了侵权和合同两个领域，我国对法律规则的适用坚持侵权行为和违约行为的绝对区分主义。传统违约和侵权的界分，依据违反义务的来源是约定义务还是法定义务进行辨析，违反约定义务构成合同违约，违法法定义务构成侵权[15]。但随着合同法制度的扩张，合同义务并非全是约定义务，往往伴随着若干默示义务或法定义务，当合同约定的义务涉及人身财产安全时，一方当事人对另一方当事人就具备合理的安全注意义务，此种场合下，安全注意义务就同时具有约定性和法定性，此时对安全注意义务的违反既构成违约也构成侵权，以约定义务和法定义务来辨别责任的属性，逻辑上难以自洽且不够周延。跨境电商中网络用户个人信息的安全保障义务就属于此类情形，用户个人信息数据安全受到侵害时，既违反协议内容构成违约，又侵害人格权构成侵权。在这种情况下，可以通过吸纳利益载体标准对传统划分方法进行补充。利益载体包括履行利益(期待利益)和维持利益(固有利益)，履行利益是合同履行完毕时当事人所能获取的利益，被认为是违约责任所特有，故该种利益之损害对应违约；维持利益是现状利益，在当事人发生损害前的固有利益，主要体现为人身和财产的完整性，对此利益之损害构成侵权[16]。回归到跨境电商领域，在业务开展过程中对个人信息数据的不合理的使用或泄漏，是对用户现状利益(固有利益)即个人信息安全的直接侵害，用户的人身权受损，归入到侵权行为的范畴之下更为妥当。概言之，以义务来源划分为主，辅之利益载体标准，跨境电商中网络用户个人信息受到侵害的纠纷宜纳入侵权纠纷领域，在今后的司法实践中以侵权事由进行审理案件，要求侵权人承担侵权责任，既符合理论的发展趋势也可以更加科学地保障用户的个人信息安全。

3.补足强制性规则

实践证明跨境电商产业是国家经济建设的强劲动力，对整个世界经济发展都有着巨大的价值，但强制性规则缺损难以在网络空间对个人信息保护直接适用，跨境电商领域“法不配位”的现象日趋严峻。首先，要对国家审查制度进行修补。当前我国承担个人信息数据跨境迁移监管的机构是国家网信办，该部门在监督管理时采取单向审核制，即只在数据对外流转时进行审核[17]。众所周知，对国家安全和公共利益的侵害主要来源于境外的监控或间谍行为，如果对境外数据流转至国内不予监管，放任境外数据自由流动，倘若被国外不法分子或间谍组织肆意利用，不仅在一定程度上阻碍跨境电商产业发展，挤压我国网络用户个人信息安全空间，严重的甚至会破坏社会稳定危害公共利益和国家安全，因此需要及时地将境外数据流转至国内的行为纳入审查范畴，以填补法律上的滞后和空白。其次，要完善本地存储制度。所谓本地存储制度是要求本国网络用户在互联网上产生的网络数据均须存储在本国境内的强制性规定[18]，我国《网络安全法》第37条将本地存储制度限定在关键信息之上，是否需要像俄罗斯2014年《澄清电信和电信网络中的个人数据处理程序的修正案》中强制跨境电商将所有互联网上形成的网络数据都储存在境内？显然，基于我国战略发展的通盘考量，采取宽松的政策更加契合我国利益，通过对个人信息数据本土化的限定来加强贸易自由化的推进，在兼顾个人信息保护的同时提升我国跨境电商产业的发展。当然，不将所有个人信息数据纳入本地存储并不意味着不监管，可以适当的扩大关键信息的认定范围，以此在网络用户个人信息保护和跨境电商产业发展之间达到一种微妙的平衡，我国《重要数据识别指南》尚未出台，在该法律规范的制定中，科学地扩大重要数据的范畴，完全可以对本地储存制度进行合理的修正。最后，我国是否有必要引进公共秩序保留？公共秩序保留与强制性规则极其相近，但其适用范围更广，在适用方式上也存在一些差异，部分国家对强制性规则和公共秩序保留采取同时适用的态度[19]，如德国。公共制度保留与社会道德层面的准则密切相关，而这些准则往往都存在模糊地带，我国地大物博、幅员辽阔，道德准则难以在短时间取得共识，不具备适用的法律土壤。同时若对公共秩序保留加以适用，相较于强制性规则，法院拥有更大的自由裁量权，也与我国的立法趋势相冲突，概言之，针对公共秩序保留，我国应采取审慎的态度，暂缓引入。

4.健全个人信息安全保护体系

随着我国跨境电商业务的指数式发展，信息数据安全风险也随之提高，大型个人信息泄露事件频发，据国际数据公司(IDC)预测，未来全球四分之一的人口都将受到信息数据泄漏的威胁，但无论是国内法律还是国际规则对跨境电商中网络用户个人信息的保护尚缺乏应对经验，中国一直倡导网络命运共同体理念，完善的个人信息安全保护体系(图3)不仅可以为我国跨境电商产业的健康发展保驾护航，还可以为全球信息数据安全治理贡献中国智慧和方案。个人信息安全保护体系在完善的过程中，需要充分发挥各方的力量，行政机关、企业和个人共同参与个人信息保护工作，协同推动治理进程。第一，行政机关行应该着力于顶层设计，加强个人信息数据安全执法。首先，在个人信息数据本地化储存时，要对储存方式进行细化，按照数据留存、特有数据留存、自有服务器留存等方式进行存储，井然有序，以降低工作失误信息数据泄漏的可能性。其次，增强复原力(2)复原力是指政府机构抵御网络攻击的能力，即能够抵御破坏并动用各种资源以最大程度减少其影响的能力。，在日常管理中，以最小化访问权限对信息数据进行加密和匿名化处理，持续扫描是否存在漏洞，当发生入侵事件时，及时调用各种资源最大程度地减小个人信息数据泄漏带来的危害。第二，企业应完善内部个人信息数据安全合规管理机制。首先，采取内部信息数据许可使用方案，明确许可使用的范围和方式，并让相关授权员工在文本上进行签署，同时利用大数据和成熟的分析技术检测行为异常的员工，尽可能减少接触个人信息数据的人员，降低信息数据泄漏风险。其次，建立安全事件应对机制，对事件进行预先的评估和报告，阻断导致事件的源头，一旦发生个人信息数据泄漏，采用应急处理方案，将损失降低到最低程度。第三，个人加强信息数据安全保护意识。首先，在跨境电商平台消费时，及时删除个人通话记录、网上购物记录、网站浏览记录等，切实做到防患于未然，不给不法分子留下通过大数据推断出个人隐私信息的机会。其次，当个人信息遭遇泄漏时，要求跨境电商平台删除相关信息或采取必要措施制止，也可以向工商部门、互联网管理部门、公安部门等相关机构进行投诉举报[20]。

图3 个人信息安全保护体系运行图

四、结 语

跨境电子商务中网络用户个人信息的保护是一个极其复杂的问题，涉及到我国的法律、政策和行业规范等多个领域，作为跨境电商这种新型商业模式下引发的侵权纠纷，从覆盖程度和法律后果来看，均有别于传统的个人信息侵权案件。但截至目前，跨境电商中网络用户个人信息保护尚未形成一套统一的规则体系，传统的个人信息保护规则难以应对当下情形，亟须完善。在网络用户个人信息保护体系的具体构造过程中，既要坚持理念的指导又需要有具体的机制作为配套，特别是在法律责任辨明和个人信息安全保护体系健全时，要将现代法学理论融入传统学说中，对既有规则进行一定的修正和完善，并充分尊重企业自治性，发挥行政机关、企业和个人数据安全协同治理的效能，唯有如此，才可以降低个人信息泄漏的风险，在网络用户个人信息保护和跨境电商产业发展之间寻求一个平衡点，为跨境电商中网络用户个人信息的保护提供有现实意义和参考价值的中国方案。此外，未来法律修订时，要充分借鉴欧盟《通用数据保护条例》和美国《消费者隐私权保护法案》的立法经验，结合我国的实际情况，对公共秩序保留和场景风险理论取其精华去其糟粕，制定出一套符合中国本土化路径的跨境电商网络用户个人信息保护制度。