趙光 | 全球數據治理視角下的個人信息保護立法_風聞

《個人信息保護法（草案）》（以下簡稱《草案》），已由全國人大常委會初次審議並公開向社會徵求意見，理論界和實務界對此都很關注，組織了許多活動對《草案》展開研討，其中焦點是如何平衡個人信息保護和利用的關係。立法本身就是利益平衡的過程，正如彭真同志所説的：“立法就是在矛盾上砍一刀”。個人信息上不單純有個人和企業利益，還涉及國家利益，平衡個人信息保護和利用的關係，要考慮的因素比較多。從全球數據治理視角出發，有利於全面認識需要考量的各種因素，深入理解立法思路和制度安排，為《草案》完善提供建設性意見建議。

全球數據治理面臨的挑戰

近期，個人信息保護成為國際社會普遍關注的焦點，為什麼這個問題會引起國際社會高度關注？一個重要原因是，個人信息別是敏感個人信息關係到社會安全、國家安全等利益，各國對個人信息控制權正展開激烈爭奪，既要限制外國對本國公民個人信息的處理，還要保障自身在履行職責中對公民個人信息的獲取和利用。保護個人信息安全的一個重要措施是限制跨境流動。在這方面採取措施比較早的是歐盟，2000 年之後相關國家的措施逐漸增多，2019 年世界經濟論壇發佈的《全球數據流動治理探索白皮書》顯示，全球範圍內現行數據政策法規已超過200項，對數據流動的總體限制措施在過去十年中翻了一番。美國是數據跨境自由流動的積極倡導者，這主要是因為美國數字經濟處於領先地位，數據自由流動總體上對它是有利的。一旦數據跨境流動對它造成威脅，美國也會採取限制措施，例如，將外國人對“關鍵技術”“關鍵基礎設施”以及處理美國公民敏感信息的公司進行的投資納入審查範圍；強化“電信小組”審查職能，確保美國國內通信數據、與國內通信相關的交易數據、用户賬單記錄等只在美國境內存儲；強化人工智能等數據處理技術的出口管制等。

在個人信息保護上，政府既是保護者，也是處理者。特別是在國家安全領域，近年來美國、歐盟等均採取了強化對個人信息控制的措施，包括加強政府監控權力，要求企業留存數據以協助政府執法，通過“長臂管轄”實現對境外數據的獲取等，有的措施也引起過爭論，加劇了國際社會對信息安全的擔憂和彼此間的不信任。

在這樣的背景下，國際社會圍繞數據治理產生的衝突也自然越來越多。比較典型的就是歐盟與美國關於數據跨境流動的衝突。繼2015 年歐盟法院裁定歐美數據跨境流動“安全港協議”無效後，歐盟法院於2020 年再次裁定新的數據跨境流動“隱私盾協議”無效，主要理由是這項協議無法保證歐盟公民不成為美國情報部門的潛在監控目標，也沒有賦予個人對抗美國政府，尋求司法救濟的權利。由於傳統國際貿易規則已經相對穩定，實施傳統的貿易保護措施變得很困難，於是有的國家開始借隱私保護的名義推行貿易保護主義，例如美國就以隱私保護為藉口打壓我國高科技企業。也有人認為，歐盟宣佈歐美數據跨境流動協議無效，對違反歐盟個人信息保護法律的美國企業進行嚴厲處罰，真正動機也是遏制美國企業、促進歐盟數字經濟發展。

圖源：搜狐

除了具體案件的爭議，圍繞全球數據治理規則話語權爭奪也很激烈，美國等發達國家很早就通過多種途徑推動符合其自身利益的數據治理規則的形成。經濟合作與發展組織(OECD)、亞太經合組織（APEC）、跨太平洋夥伴關係協定（TPP）等都確立了數據治理相關規則。歐盟在其內部推行統一且嚴格的個人信息標準的同時，也利用其經濟和政治影響力，向其他國家推行其個人信息保護政策。

應該怎麼看待和應對挑戰

全球數據治理規則還在探索和磨合中，我們應該怎麼樣看待各種觀點和爭論？用什麼樣的思路處理各種利益的衝突？怎麼樣平衡個人信息保護與利用的關係？習近平總書記提出的人類命運共同體思想對國際社會治理作了深刻闡述，同樣適用於解決全球數據治理問題。雖然近年來對數據跨境流動的限制在總體數量上是增多的，但我們要看到，促進數據依法有序自由流動仍然是大的趨勢。就像人類命運共同體思想所指出的那樣，經濟全球化是社會生產力發展的客觀要求和科技進步的必然結果，是歷史大勢。各國應該推進互聯網領域的開放合作，豐富開放內涵，提高開放水平。對數據跨境流動進行一定限制是必要的，但這種限制應當是數據流動的例外。

對於歐盟數據跨境流動制度，大家通常的反映是限制太嚴格。但是如果我們仔細觀察歐盟的法律和立法文件，我們會發現實際上它也很重視怎麼樣在確保安全的基礎上促進數據流動。歐盟1995 年《數據保護指令》的一個重要目的就是縮小成員國間個人信息保護水平的差距，促進個人信息流動。它背後的邏輯是，如果讓各成員國執行同樣的標準，保護水平基本相當，大家就不用太擔心數據流出去的安全風險，那麼自然就促進了數據跨境流動。《通用數據保護條例》（GDPR）也強調個人信息流動對擴大國際貿易和國際合作是必要的，因此在“充分性認定”之外，通過標準合同條款、有約束力的公司規則等“特殊情況的例外”，滿足數據跨境流動的需要。正是因為有了這些靈活性的補充措施，歐美“隱私盾協議”被判無效後，美國企業在歐盟的數據跨境轉移並沒有完全停止。另外，歐盟還通過《非個人數據自由流動條例》促進非個人信息數據的自由流動。再比如，2020 年的《歐盟人工智能白皮書》的副標題是“追求卓越與信任的歐洲路徑”，“追求卓越”實際上就是在強調要促進人工智能的發展，保持歐盟的競爭力，這也涉及到怎樣發揮信息的資源效應。

個人信息保護是國家主權行使的表現，雖然一國可以通過“長臂管轄”賦予政府獲取境外數據的權力，但要更有效解決衝突，還是需要進行談判協商。例如，由於很少國家能夠達到歐盟規定的個人信息保護標準，為了滿足正常的數據出境需要，歐盟和許多國家都進行了談判，使對方加強個人信息保護以獲得從歐盟轉移數據的資格。“安全港協議”“隱私盾協議”被判無效後，歐美在很短時間內就開始重新談判。美國也是這樣，美國CLOUD 法規定滿足特定條件的外國政府可與美國簽署行政協議，據此可直接要求企業提供在美國存儲的相關數據。2016 年美國和英國達成協議，英國在特定情況下可直接要求美國企業提供存儲在美國境內的相關數據。我國也越來越重視參與國際協商和相關規則的制定，2019 年簽署了《大阪數字經濟宣言》，2020 年發佈《全球數據安全倡議》，強調各方應在相互尊重的基礎上，加強溝通交流，深化對話與合作。

個人信息保護立法的傳承與創新

理解個人信息保護立法，首先需要從國內和國際、當前和長遠的角度全面認識個人信息保護的重要性。技術的發展給人民羣眾的生活帶來了便利，但是也產生了很多負面影響，如果公民個人信息安全得不到保護，必然會影響大家對企業新技術、新產品的信任，企業就難以可持續發展。有的企業也逐漸認識到個人信息保護能提升企業競爭力，因此正主動探索更有效的隱私保護模式。例如，蘋果公司9 月份發佈的iOS 14 系統將廣告追蹤功能做成可開關選項，用户可以決定任何APP 如果要讀取用户設備ID，都需要通過彈窗詢問用户是否同意，這樣就更充分保護了用户的知情權和選擇權。蘋果公司的操作被認為是對“默認同意”行規的“背叛”，但這也提醒整個行業，重視個人信息保護才能贏得用户信任、保持市場競爭力。

個人信息保護水平還關係到對一國營商環境的評價，例如歐盟對數據流入國“充分性保護”的判定標準就包括該國個人信息保護的立法情況以及是否有獨立的個人信息保護機構等。國家加強個人信息保護是積極適應全球化競爭的需要，既有利於本國企業“走出去”，也有利於境外企業“走進來”。《草案》專門就國家機關的行為進行規範， 2020 年8 月，外交部長王毅在全球數字治理研討會上表示，中國政府不會要求中方企業違反別國法律向中國政府提供境外數據，充分表明了我國保護個人信息權益的決心和力度，彰顯了我國在全球數據治理中負責任大國的態度。所以説，《草案》説明中將個人信息保護法定位為權益保護法，是十分準確的。

對於各方面普遍關注的個人信息保護和利用的平衡，《草案》也作了較好的安排。習近平總書記對安全與發展的關係有過深刻闡述，指出“安全是發展的前提，發展是安全的保障，安全和發展要同步推進。”我國信息領域立法一直嚴格遵循該精神，十分重視安全與發展的平衡，我們仔細研讀《網絡安全法》《電子商務法》等法律的立法文件，可以看到它們都重點説明了立法過程中是怎麼平衡好安全與發展關係的。最近新修訂的《未成年人保護法》增加的網絡保護專章，也很好地平衡了未成年人保護和網絡行業發展的關係。《草案》傳承了這種科學的立法思路，在保護個人信息權益的同時，考慮了對個人信息利用的現實需要，例如，區分一般個人信息和敏感個人信息，合理確定信息處理者的義務；豐富個人信息處理的合法性基礎，滿足不同情形下處理個人信息的需要；設置多樣化的數據跨境流動情形，提高數據跨境流動效率、降低數據處理者成本。

《草案》在回應國家參與全球數據治理方面也有很多創新和亮點，例如，規定對境外有關非法處理個人信息行為的管轄，更好應對全球化時代國際執法需要；規定國家可通過締結國際條約等對數據跨境流動作出特別安排，為我國靈活處理個人信息跨境流動問題提供支撐；規定國家有權基於對等原則對其他國家和地區採取反制措施，確保有效應對和解決國際糾紛。這些措施對我國參與全球數據治理，推動公平正義的國際數據治理規則的形成具有重要意義。隨着各方面的深入討論，《草案》也會得到完善。除了立法，還需要國家、企業、社會等各方面共同努力，發揮監管、倫理、市場、技術的作用，有效實現保護個人信息權益和促進數字經濟發展的雙贏。