【条文主旨】
本条是关于国家推动个人信息保护国际交流与合作的规定。
【条文理解】
“当前,以数据为新生产要素的数字经济蓬勃发展,数据的竞争已成为国际竞争的重要领域,而个人信息数据是大数据的核心和基础。”[1]因此,主权国家围绕数据控制展开了新一轮激烈竞争,个人信息跨境的国际规则成为网络空间国际治理的重要部分。在此背景下,《个人信息保护法》强调国家积极参与个人信息保护国际规则的制定,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等的互认,既顺应了个人信息保护的世界潮流,也显示了我国在个人信息保护方面自信开放的心态。
一、个人信息保护国际交流与合作的必要性
在大数据时代,数据的巨量流动使得一国自身的立法、司法以及行政执法难以很好地解决数据流动中产生的个人数据自决、信息自由、隐私保护、数据安全、公共利益之间的平衡问题,需要有统一的国际规则加以协调。
首先,当前世界各国个人信息的保护模式及水平差异较大。从20世纪70年代开始,经济合作与发展组织、亚太经济合作组织和欧盟等先后出台了个人信息保护相关准则、指导原则和法规,有140多个国家和地区制定了个人信息保护方面的法律。[2]但由于各国政治、经济、法律传统及历史环境不同,包括个人信息在内的隐私保护模式、理念和具体内容也因国而异。以欧美为例,各国关于个人信息的保护模式、保护水平存在较大差异。就保护模式而言,欧盟以立法保护为原则,行业自律为补充。个人信息保护立法不区分政府部门和私营部门,不区分行业类别,由政府制定适用于所有部门、所有行业的统一法规,由统一的个人信息保护监管机构监督法律的实施。与欧盟不同,美国没有以个人信息保护命名的法规,其对个人信息的保护包含在“隐私”保护的框架之下,对“信息隐私”的保护义务又区分公营部门和私营部门:对公营部门,制定联邦统一隐私权法限制政府收集与存储个人信息的能力;对私营部门,则以行业自律隐私保护为原则,只在隐私容易被侵犯的行业,如电信、金融,才制定专门的隐私保护法。就保护水平而言,欧盟明显高于美国。欧盟采取统一立法保护模式,且对个人信息的保护涵盖收集、利用、储存、披露的所有环节,采取“严进严出”的保护模式。而美国对个人信息保护以行业自律为主,在特定行业虽有信息隐私保护法,但非常零散,难以涵盖个人信息保护的所有环节。如1978年的《美国金融隐私权法》采取了“宽进严出”的隐私保护模式,对个人金融信息的收集无任何限制,渠道多且容易,只要求金融机构不得随意利用、披露个人金融隐私信息。[3]
其次,个人信息的跨境流动日益频繁。随着全球化背景下国际交往的日益广泛,从事跨境经营活动的私人部门之间个人信息的跨境流动也日益深入,许多以数据处理为经营核心的行业,如金融服务、保险、咨询、新闻、网络等,越来越频繁地大量收集、处理和跨国传输数据,即使是以制造业为主和非数据密集型的跨国公司,也需要先进的人力资源信息系统和客户管理平台,同时在全球分支机构间传输这些数据。但是,由于各国对个人信息的保护水平不同,保护水平较高的国家担心如果个人信息被允许传输进入保护水平较低的国家,其本国公民的个人隐私会受到侵犯。此外,在涉及跨境数据传输时,各国还会有数字主权、公共安全、经济利益等多方面的考虑。因此,许多国家都试图采取双重标准,一方面尽可能扩大国内立法的域外适用范围,获取他国的数据;另一方面又尽可能避免本国的数据外流,纷纷根据世贸组织框架下的《服务贸易总协定》(GATS)之隐私例外条款限制跨境数据传输。基于上述情况,在国际层面寻求一种既能让个人信息有序跨境流动,又能解决各国关于个人信息保护的法律冲突,有效保护个人信息隐私的平衡,是经济全球化背景下必须要解决的问题。[4]
二、个人信息保护的国际规则与标准
一般来说,在各国法律、政策和程序的冲突之间寻求一个微妙的平衡,最好的方式就是进行国际合作,通过签订条约、非正式的协定,多边合作,促进和便利各国交流。在个人信息保护方面也是如此。在个人信息保护的国际协调方面,目前主要是通过双边协定、多边协定,以及大量以“指南(Guidelines)”“建议(Recommendations)”或“行业准则(Codes?of?Practice)”命名的“软法”来实现的。[5]
(一)全球性个人信息保护多边条约
在全球层面,首个与个人信息及隐私保护有关的有约束力的多边条约是1966年12月联合国大会通过的《公民权利和政治权利国际公约》第17条,此条规定和1948年《世界人权宣言》第12条的措辞完全相同。区域性的人权保护公约包括《人权和基本自由欧洲公约》《美洲人权公约》等也有类似规定。这些文件都明确承认隐私是基本人权,是对包括个人信息在内的隐私进行国际保护的法律基础,对成员国有约束力。但迄今为止,国际上并无专门对个人信息保护问题进行协调的全球性的国际条约,其主要原因在于,各国历史、文化及法律传统、社会及政治因素迥异,在个人数据保护的立法模式和具体规则等方面很难协调。[6]
(二)区域性的个人信息保护专门立法及条约
虽然不存在专门的有约束力的全球性的有关个人信息保护的国际条约,一些区域性的多边个人信息保护立法性文件却是存在的。较为典型的有:
1.1981年欧洲议会《与个人数据自动化处理有关的个人保护公约》。在个人信息保护方面,第一个具有法律约束力的国际文件是1981年欧洲议会通过的第108号公约——《与个人数据自动化处理有关的个人保护公约》(以下简称《欧洲议会第108号公约》)。该公约确立了自动化处理的个人信息保护的八大原则:一是社会公正原则;二是有限收集原则;三是数据质量原则;四是目的特定原则;五是安全保护原则;六是公开原则;七是时间限制原则;八是个人参与原则。《欧洲议会第108号公约》设定了个人数据最低保护标准,公约签字国有义务制定和公约保持一致的国内法。
2.1995年《欧盟关于个人数据处理及自由流通个人保护指令》(以下简称《欧盟指令》)。《欧盟指令》确立了欧盟个人数据保护的八个重要的基本原则:一是目的有限原则;二是数据质量和比例性原则;三是透明度原则;四是获取、修改和反对原则;五是安全原则;六是充分水平保护原则;七是对特殊数据进行特殊处理的原则;八是实施措施和补救措施的确定原则。《欧盟指令》有两个并行的目标:一是促进个人信息在欧盟境内的顺畅传输;二是高标准保护个人的个人信息隐私。它对欧盟成员国具有约束力,但只规定了各国必须达到的个人数据保护的最低水准,具体立法方式、是否给予更多保护则由各国自行决定。虽然它只对欧盟成员国有约束力,但对其他很多国家也产生了相当大的影响,因为第25~26条规定了禁止将个人数据传输给个人数据保护水平不“充分”的国家。许多非欧盟成员国为此以《欧盟指令》为蓝本通过立法以满足其“充分性”标准的要求。
3.2016年通过的GDPR。相较于《欧盟指令》,GDPR有以下方面的创新:(1)扩大了适用范围,将数据处理活动与向欧盟境内的数据主体提供商品、服务有关的欧盟境外的数据控制方、数据处理方纳入。(2)增强了数据主体的权利,包括数据可携带权、被遗忘权等。(3)严格规定了个人同意的条件,核心的变化是数据主体作出声明,或者做出清晰的肯定性动作,同意才被认为有效。(4)详细规定了数据处理者责任。(5)数据处理记录文档化。(6)通过设计实现隐私保护和通过默认设置实现隐私保护。(7)数据保护影响评估,即如果处理个人信息可能导致个人权益有较高的风险被侵害时(特别是采用新技术时),数据控制方应当进行数据保护影响评估。(8)问责原则变化。(9)规定数据保护官制度。(10)数据跨境流动机制的重构,增加了新的制度安排,如认证机制、行为守则等。(11)规定数据安全事故通知。(12)统一各成员国监督机构的权力和任务,并大幅增加处罚标准。
(三)个人信息保护的国际文件
人类有关隐私保护的国际法文件可以追溯到1948年12月联合国大会通过的《世界人权宣言》第12条对个人的私生活、家庭、住宅和通信等的保护。该宣言并无法律约束力,但可看成是国际层面对包括个人信息保护在内的隐私保护的基础性文件。
对发达国家而言,最重要的个人信息保护国际性文件是1980年经济合作与发展组织(OECD)发布的《隐私保护和个人数据跨境流动指南》(以下简称OECD《指南》)。OECD《指南》规定了隐私保护和个人数据在各国间自由流动的八个基本原则:一是限制收集原则;二是资料完整正确原则;三是特定目的原则;四是限制利用原则;五是安全保护原则;六是公开原则;七是个人参与原则;八是责任原则。但OECD《指南》本身没有法律约束力,各国可以此为基础自行确定其国内立法。OECD《指南》对一些非欧洲国家(如澳大利亚、新西兰、加拿大)个人数据保护标准和立法产生了非常重要的影响,同时也被美国的许多公司和贸易协会认可。
OECD《指南》对2004年的《亚太经合组织隐私保护框架》(以下简称APEC《框架》)也产生了重要影响。APEC《框架》旨在为亚太地区国家提供一套共同的隐私保护规则,它以OECD《指南》为基础,但主要强调的不是隐私权,而是全球商务和信息的自由流动的重要性。它对APEC成员无约束力,因为“过于原则”而被称为“OECD《隐私保护和个人数据跨境流动指南》精简版”。APEC《框架》包括九个信息隐私原则:一是预防损害原则;二是通知原则;三是收集限制原则;四是个人信息的合理使用原则;五是个人信息主体的选择权原则;六是个人信息的完整性原则;七是安全防护原则;八是个人信息主体的获取权和要求改正权原则;九是责任原则。
另一个影响较大的国际性文件是联合国1990年通过的《关于计算机处理的个人数据文档规范指南》(以下简称UN《指南》)。UN《指南》旨在鼓励没有个人信息保护立法的联合国成员国制定个人信息保护立法,也鼓励政府间和非政府间国际组织以负责任的、公平的和友好的方式处理个人信息。UN《指南》确立了个人信息保护的十大原则:一是合法、合理原则;二是准确性原则;三是特定目的原则;四是本人参与原则;五是不得歧视原则;六是例外规定;七是安全原则;八是监督与处罚原则;九是个人数据只在对其提供相似保护的国家间传输原则;十是政府和私人的电脑和手工处理文件均适用指南原则。
(四)个人信息保护的国际安全标准
ISO/IEC?JTC1/SC27(以下简称SC27)是ISO/IEC?JTC1下属安全技术分委员会,于1990年成立,其工作范围主要是信息与通信技术保护的标准研制,包括安全与隐私保护方面的方法、技术和指南。SC27下设五个工作组,其中WG5负责身份管理和隐私保护相关标准的研制和维护,目前已形成包含总体框架、管理要求、技术要求、应用领域、实施指南的标准体系,即ISO/IEC?29100系列标准,包括:ISO/IEC?29100《隐私保护框架》、ISO/IEC?29101《隐私架构框架》、ISO/IEC?29190《隐私能力评估模型》、ISO/IEC?29134《隐私影响评估指南》、ISO/IEC?29151《个人可识别信息保护指南》等。ISO/IEC?29100系列标准从隐私保护原则、架构、要求、风险管理、能力评估等多个层次与数据主体、控制者、处理者多个角度对隐私保护过程全方位进行阐述,形成了较成熟的标准体系,具有重要的指导和参考意义。
三、中国参与个人信息保护国际交流合作的途径
在全球化和信息社会背景下,我国与世界其他国家的政治、经济、文化交往日益频繁,这其中不可避免地涉及个人信息的跨境流动。特别是以数据处理为经营核心的服务贸易领域,如电子商务、金融、保险、网络服务等,与外国的个人信息跨境传输日益常态化,而对个人信息及隐私保护不力会不可避免地阻碍与外国的经贸活动的开展。上述个人信息保护国际协调的成果与经验无疑为解决中外个人信息商业性跨境流通与保护提供了良好的路径。
第一,积极参与个人信息国际保护规则的制定。个人信息保护出现在信息化时代,世界各国几乎同步进入,并不存在先发优势,这就为我们参与规则制定提供了客观条件。而且,个人信息内容广泛且具有包容性,涉及产业结构、国家安全等宏观问题,因此,在个人信息保护范围和标准的确立上,就存在较大的磋商空间,如果不积极参与其中,很可能形成国际贸易中的不利地位。因此,我国应该积极参与个人信息保护的国际协商和政策协调,提高在国际规则形成中的话语权和影响力,以免被动接受规则,而承受由于个人信息保护形成的国际贸易壁垒的不良影响。[13]至于参与的方式,由于各国国情不同,试图通过谈判达成全球性的个人信息保护公约、统一世界所有国家的个人信息保护立法,具有极大的难度。因此,我国解决与他国个人信息跨境流动障碍的最佳途径,无疑是通过国际谈判的方式达成双边解决方案。
第二,积极促进个人信息保护方面的国际交流与合作。个人信息保护是一项非常复杂的工作,不仅仅需要考量技术问题,也需要考虑一个国家的历史传统和文化背景,由此导致个人信息保护的国家差异。即使仅仅出于对技术的考虑,也由于科技水平的限制而存在技术限制和技术缺失,导致个人信息保护方面的制度漏洞,这是各国面临的共同问题。[14]因此,世界各国都有加强个人信息保护国际交流的愿望和需求。我国是世界第二大数字经济体,拥有全球最多的互联网用户,在个人信息保护和数字资源等方面有着得天独厚的优势,对于全球的高科技数据企业都有着很强的吸引力。因此,我国应该更多搭建全球性的交往平台,促进个人信息保护方面的国际合作与交流。比如,我国举办的世界互联网大会就是一个非常好的国际交流平台。借助这一平台,我国积极推动个人信息保护的国际合作,在2020年的世界互联网大会上,组委会就发布了《携手构建网络空间命运共同体行动倡议》,提出加强个人信息保护和数据安全管理,规范个人信息收集、存储、使用、加工、传输、提供、公开等行为,保障个人信息安全,开展数据安全和个人信息保护及相关规则、标准的国际交流合作,推动符合《联合国宪章》宗旨的个人信息保护规则标准国际互认。
第三,积极推动我国与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。针对各国之间的规则壁垒,一方面,我们要积极加强与其他国家、地区、国际组织之间的磋商,争取在尽力找到双方之间的利益最佳平衡点的基础上,推动双方个人信息保护规则的互认;另一方面,我们也要充分利用我国网络大国、数字经济大国的天然优势,不断优化完善我国的个人信息保护规则,以此吸引更多高科技数据企业愿意选择适用我国的个人信息保护规则,同时联合主权观念相近的国家,扩大主权原则直接适用主张的影响,以个人信息跨境区域规则为跳板,最终形成符合我国数据主权理念的个人信息跨境全球规则。[15]此外,还要积极推动我国个人信息保护的国家标准能够得到其他国家、地区、国际组织的认可。目前,我国已经制定或正在研究制定《信息安全技术个人信息安全规范》(GB/T?35273—2020)、《信息安全技术移动智能终端个人信息保护技术要求》(GB/T?34978—2017)、《信息安全技术大数据服务安全能力要求》(GB/T?35274—2017)、《信息安全技术个人信息去标识化指南》(GB/T?37964—2019)、《信息安全技术移动互联网应用(App)收集个人信息基本规范》等多个国家标准,但无论是在体系化、成熟度、可操作性方面,还是在社会的了解接受程度等方面,都有一定的差距,需要我们抓紧完善。
【条文适用】
一、关于《个人信息保护法》的域外效力问题
《个人信息保护法》第3条第1款明确规定:“在中华人民共和国境内处理自然人个人信息的活动,适用本法。”这一规定确立了本法地域效力的基本规则,即主权原则加属地原则。同时,《个人信息保护法》借鉴GDPR的经验,将其适用适当扩张到中华人民共和国的境外,产生了“长臂管辖”的效果。根据《个人信息保护法》第3条第2款的规定,在境内处理自然人个人信息的活动应适用本法,在境外处理境内自然人个人信息的活动,有下列情形之一的,也适用本法:(1)以向境内自然人提供产品或服务为目的;(2)为分析、评估境内自然人的行为;(3)法律、行政法规规定的其他情形。根据该规定,适用范围不仅包括在中国境内处理自然人个人信息的活动,还包括特定情形下在境外处理境内自然人个人信息的活动,此处特定情形既包括个人信息处理者因提供产品或服务而产生的直接信息处理活动,也包括行为分析和评估等企业常见的间接信息处理行为。为与域外管辖相呼应,《个人信息保护法》第53条进一步要求,境外的个人信息处理者应在境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关信息报送履行个人信息保护职责的部门。
但上述关于域外适用效力的条款也存在待进一步明确之处,如《个人信息保护法》第3条关于“在中华人民共和国境内处理自然人个人信息”的判断标准仍不明确。同时,《个人信息保护法》并未针对境外个人信息处理者在境内所设的专门机构或指定代表未履行相关义务的情形制定相应的法律责任。因此,域外管辖效力能否在实践中得到有效实施还需相关部门后续出台实施细则进一步明确。
二、关于《个人信息保护法》个人信息跨境流动规则与国际条约、协定的协调问题
在个人信息跨境流动规则上,《个人信息保护法》规定较其他国家或地区的立法更为严格。如GDPR中,跨境传输的核心基础是“可提供同等保护”,无论是白名单、充分性决定、BCR等豁免机制,还是SCC等协议架构机制,都是为了确认或保证接收方有等同于传输方的个人信息安全保护机制,以防止泄露、滥用等事件的发生。而《个人信息保护法》对于个人信息跨境传输,除了要求“个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准”外,还要求信息处理者“能通过安全性评估和认证”,包括:关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者,确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估;对于其他需要跨境提供个人信息的,规定了经专业机构认证等途径。同时,为了弥补评估认证制的不足,兼顾企业经营需求,《个人信息保护法》也规定了“标准合同”作为跨境传输条件之一。
在《个人信息保护法》更为严格的规则下,客观上需要与国际条约、协定进行协调适用。对此,《个人信息保护法》在两处作出了规定。一是第38条第2款规定:“中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。”二是第41条规定:“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。”根据上述规定,如果在《个人信息保护法》与国际条约、协定的规定存在不一致的情况下,应该按以下原则处理:第一,一般情况下,对于我国未缔结或者未参加的国际条约、协定,即便《个人信息保护法》与其规定不一致,也执行《个人信息保护法》的规定;第二,对于我国缔结或者参加的国际条约、协定,可以按照该国际条约、协定的规定处理跨境传输个人信息行为,或者处理外国司法、执法机构关于提供存储于境内个人信息的请求,此时可不执行《个人信息保护法》的规定;第三,对于外国司法或者执法机构关于提供存储于境内个人信息的请求,如果没有我国缔结或者参加的国际条约、协定的规定,还可按照平等互惠原则进行处理,即对方如果同意我方相关机构的请求的,我方可以按照对等原则同意。但不管是基于我国缔结或者参加的国际条约、协定的规定,还是平等互惠原则,个人信息处理者向外国司法或者执法机构提供存储于我国境内的个人信息时,都必须经我国主管机关批准。
