近年,新一轮数字革命正在重构全球创新版图、重塑世界经济结构。2020年,我国数字经济规模达到39.2万亿元,跨境电子商务渗透企业运营和公民的日常生活,数字经济作为经济社会发展的新动能。党的十九届五中全会通过《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》,明确提出“加快数字化发展”“坚定不移建设制造强国、质量强国、网络强国、数字中国”等重要目标。近期,《个人信息保护法》《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership,下称RCEP)的正式实施、我国申请加入《全面与进步跨太平洋伙伴关系协定》(Comprehensive and Progressive Agreement for Trans-Pacific Partnership,下称CPTPP),致使个人信息跨境司法保护这一议题在司法实践中得到重点关注。
一、跨境数据流动中个人信息司法保护的研究背景与意义
近年来,数字经济时代的正式到来,数字产业逐渐成为全球经济增长的新引擎,其中数据资源作为该产业的重要构成正发挥着战略资源的价值,如何通过技术和法律手段,规制和利用包含个人信息在内的海量数据的规模性跨境流动,维护国家数据安全及健康发展数字经济成为当下各个国家和组织面临的难题和机遇。
(一)个人信息跨境保护的概念辨析
由于个人信息跨境保护涉及的学科跨越国际法学、民商法学、计算机等多个领域,相关概念在不同学科的定义与范围有所差别,对于法律适用规则、司法保护路径及配套机制均可能产生影响,厘清个人信息跨境保护的基本理论及概念辨析是研究构建司法保护体系的必要前提。
1.个人“数据”“信息”的辨析
国际标准化组织(International Standardization Organization)对数据的定义为:“数据是对事实、概念或指令的一种特殊表达形式,这种特殊表达形式可以用人工的方式或者自动化的装置进行通信、翻译转换或者进行加工处理”。但在法学范畴内,数据并非专业法学名词,学界中亦未有统一精准的定义或界限,一种观点倾向于个人数据的经济价值或涉及人格权益的原因来自于个人信息,即二者在实质上是一致的;另一观点认为二者在范围、属性和状态下存在一定差别。我国《个人信息保护法》将个人信息定义为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”笔者认为在网络领域内,数据作为信息的拟态形式,两者本质在该领域是统一的。
2.个人信息“跨境”的界定
在国际法的视野下,“境”是指一个国家行使主权的物理空间,包括陆、海、空、驻外使馆、船舶以及航空器等。在互联网领域,尤其在该行业发展的前期,对于数据流动是否存在传统意义上的“境”有着较多争议,更多是以“数字自由流动”(free flow of data)推动行业发展为主要倡导理念。后来,由于上述理念对于网络空间的有序发展和长期治理存在矛盾,尤其是2014年“斯诺登事件”在世界范围兴起的“数据本地化”立法活动,各国逐渐意识到国际法治在网络空间的重要性,并抢先对该空间内的规则与话语体系进行构建,标志着国家主权同样适用网络空间。关于个人信息跨境的定义,有学者主张是指“信息在国际间的流通”,也有学者认为“数据通过计算机通信系统跨越国家边境的运动”。但是,上述观点对于“境”的定义并未形成充分且系统性阐述。笔者认为个人信息“跨境”可参照国际法管辖中的属人、属地原则,即“跨境”是指一国内收集和产生的个人信息,“提供”至境外机构、组织、个人或设置在境外的数据服务器,这里“提供”不仅指数据的传输,也包括读取、存储、使用、加工、公开等。
(二)个人信息跨境保护的研究背景
早在1980年,经济合作与发展组织制定的《关于隐私保护与个人数据跨境流动的指南》(Guidelines Governing the Protection of Privacy and Transborder Flow of Personal Data)中已经提出个人信息跨境流动的概念及相关法律举措。经过四十余年的发展,欧盟制定了以《通用数据保护条例》(General Data Protection Regulation,下称GDPR)为代表的一系列数据管理条例,美国亦出台了《澄清境外数据的合法使用法案》(Clarify Lawful Overseas Use of Data,下称“云法”)等多部法案,世界各国掀起一轮又一轮立法浪潮并形成了各自特有的司法制约与保护体系,个人信息跨境保护逐渐成为国际私法领域的一项重要议题。我国的跨境数据治理体系机制,尤其个人信息跨境保护体系的研究属于法学新兴领域,相关基本理论尚未形成较为统一的认识,并且我国在该领域面临的现实困境、制度剖析及实践路径均有待探讨。
(三)个人信息跨境保护的研究意义
我国个人信息跨境保护领域相关研究起步较晚,相关理论成果以及实践探索相较欧盟、美国等司法体系成熟的国家或组织尚所不足。本文的研究主要有两方面意义:
一是理论研究方面,鉴于跨境数据治理领域的虚拟性、流动性和无界性等特点,以及个人信息跨境所涉公私法交叉领域等属性,个人信息跨境保护的法益属性和法律适用规则与传统法律有所区别。本文结合国内外的相关研究,对于个人信息跨境的价值理念、制度目标等方面进行研讨,剖析个人信息跨境保护机制的逻辑构成与关键环节,为司法保护机制的构建与完善提供理论支撑,为该领域的理论研究提供不同的视野与维度。
二是实践探索方面,区别于过往研究成果多限于理论研讨,但实践操作性不强的问题。本文紧扣我国《个人信息保护法》出台、CPTPP的申请加入及RCEP的正式实施,结合我国现阶段的现实困境和上述国际协议的相关要求,以个人信息跨境司法保护为切入视角,提出如个人信息分类分级保护的具体规则、人民法院参与个人信息跨境保护的路径方式等实践性较强的路径,对下一阶段我国在该领域的司法实践以及制度构建具有重要的实践参考价值及指导意义。
2017年5月至2018年8月,国家互联网应急中心共发现国内基因数据跨境传输925余包次,涉境内358万个IP地址,4391家境内单位疑似发生基因数据出境行为,上述数据反映我国个人信息跨境司法保护体系有待完善,部分生物基因、行程轨迹等敏感信息不经限制储存和流通于各国互联网服务器,对国家安全、公共利益、个人合法权益等方面形成重大隐患。去年,滴滴公司等企业“悄悄”赴美上市及严重违法违规收集、使用个人信息事件,更是揭开该领域的现实困境。此外,我国的个人信息跨境法律保护体系亦尚未完全符合CPTPP的相关要求。
(一)个人信息跨境的法律规则未统一
CPTPP第14.8条款对于个人信息保护提出了原则性要求:缔约方应采用或维持保护电子商务用户个人信息的法律框架,可以选择“全面保护隐私、个人信息或个人数据的法律、涵盖隐私的特定部门法律或规定执行由企业作出与隐私相关的自愿承诺的法律。”我国《个人信息保护法》的实施一定程度上解决跨境司法保护领域“无法可依”的困境,但该法并不包括个别行业的特别规定,尚未解决涉及个人信息分散保护的现状,且在具体规则适用、分类标准及主体责任等有待细化。
1.司法保护的法律规则有待整合
我国涉及个人信息保护的规范性文件近300余部,分散于不同法律、部门规章及文件,多数文件如《网络借贷信息中介机构业务活动管理暂行办法》《人口健康信息管理办法(试行)》仅规定网络借贷、人口健康信息等特殊领域的保护标准,整体呈现分散化、碎片化,且部分规定存在适用冲突的现象。《个人信息保护法》实施后,和上述文件衔接适用可能存在较大问题。
2.司法保护的分类标准有待完善
我国现有个人信息具体的划分标准主要为《信息安全技术个人信息安全规范》《信息安全技术公共及商用服务信息系统个人信息保护指南》,但是上述文件从制定程序、发布方式、调整对象等角度来看,其法律效力更多属于指导性文件而非部门规章,行政机关依据上述文件进行相应行政处罚的难度较大,法院亦难以将上述文件直接作为具体的裁判依据。此外,个人信息具有多元化的价值,仅将个人信息分为一般和敏感信息,难以体现法益价值与保护措施的匹配性。
3.司法保护的其他主体责任有待细化
《个人信息保护法》《网络安全法》规定关键信息基础设施的运营者、开展数据处理活动的主体等权利义务,但随着个人信息产业的发展,其他新型主体的法律责任应予以补充,如个人信息跨境的境外接收方、处理信息的第三方机构及行业自律组织等民间组织。
(二)法院参与个人信息跨境保护方式落后
周强院长指出:“要积极回应科技发展带来的新问题,审慎处理涉数据权利、个人信息保护等案件。”近年,在参与全球司法规则体系制定的过程中,相对于外交部、商务部、工信部等行政机关的强势介入,法院似乎被国家、学界所忽视,司法规则制定的话语权长期处于缺位状态。
1.相关法律的域外适用有待明确
我国涉及个人信息跨境保护的规范性文件数量多且效力相对较低,相关法律对获取个人信息的境外企业及个人是否具有同等的法律效力、相关机构如何进行规制等方面还有待考察。例如,《电子商务法》规定电子商务经营者对经营中所获取的个人信息应予以严格保密,但对公民在国外购物网站所产生的个人消费等信息该如何处理,国外购物网站是否具有同等保密义务有待实践证明。2019年,阿里巴巴公司宣布将允许美国小企业进驻阿里巴巴网站销售产品,上述企业是否应当遵守我国法律及相关机构如何进行监管等,仍待实践证明。
2.传统审理模式难以应对新形势
2021年,美国互联网巨头facebook承认发生信息库泄露事件,涉超过5.33亿用户个人信息。个人信息跨境案件作为新型案件不仅具有涉外因素,往往具有影响范围广、社会关注度高等特点。在实体审理上,此类案件还存在法律具体规定模糊、损害后果难以衡量等审理难点;在诉讼程序上,因涉及世界银行营商环境评比等原因,案件的审理期限、开庭次数等要求较高,对审判人员专业能力要求较强。同时,区别传统线下审理模式,大规模的电子证据采信问题可通过区块链等技术解决,对法院的下一阶段信息化建设提出新要求。
3.司法保护的参与路径有待健全
不同于普通法国家法院可通过判例方式干预个人信息跨境保护事宜,欧盟法院甚至可通过判例,裁定《欧美隐私盾协议》(EU-U.S.Privacy Shield Agreement)等法律文件失效。在我国对于一般民众而言,向法院诉讼进行维权,当事人不仅需要提供较强专业属性的证据材料,承担较重的举证责任,并且诉讼周期往往较长。此外,我国法院参与保护的方式除案件审判外,并未在其他领域进行有效的路径拓展,即便做出有利于一方当事人的生效裁判,也可能因相关司法保护措施的时效性较弱,无法及时制止违法行为。在各类新闻媒体、学术交流等扩大司法影响力上,我国法院的作为亦相对有限,难以与欧盟及美国抗衡,导致我国在全球跨境数据治理体系中话语权重与经济地位不匹配。
(三)相关配套保障机制缺乏
CPTPP对于缔约方在个人信息保护中应建立促进不同国家个人信息保护体制之间兼容性的机制,即对相关体系的配套机制提出了原则性要求。纵观欧盟和美国等组织的个人信息保护体制,下一阶段我国至少要在两方面进行探索与研究。
1.行业自律及监管的力度不够
区别欧盟对个人信息采用综合立法规制,美国采用总体原则下的分散专业立法,依托行业组织、技术团体、第三方认证机构等私营机构组建行业自律模式,并在联邦通讯委员会和联邦贸易委员会监管下,对法律未涉及的领域进行规则补充,并开展认证和授权等事宜。我国“互联网+电子商务”领域中的用户个人信息保护问题严峻,主要存在个人信息流转链条长,数据保护难度大等问题。互联网行业尚未出台个人信息跨境保护的行业规范或标准,行业自律发展较为滞后。
2.域外国际协作保护机制缺乏
个人信息跨境的司法保护机制,不仅取决于信息提供国如何对于个人信息的出境进行合规性审查及问责,且同样取决于信息获取国后续阶段的保护措施。以GDPR为例,该法案中明确要求数据接收方所在的国家或者地区需要符合“充分保护水平”标准,即国家或组织白名单制度。但另一方面,为不妨碍个人信息的有效流通,GDPR允许部分情况下向能够作出适当保护措施的非白名单国家或地区提供个人信息。从全球来看,我国除WTO体系下电子商务规则提案以及RCEP文件正式生效外,在国际协作保护机制上比如与特定国家的合作交流仍有进一步探索空间。
CPTPP对于不同国家个人信息保护的理念采用“求同存异”较高兼容标准,明确我国个人信息跨境司法保护制度的相关理念,有利于拓展和宣扬我国在网络空间中的国际话语权。而我国个人信息跨境司法保护的制度理论研究起步相对较晚,部分核心问题未形成共识,尚未形成中国特色的价值理念。笔者认为厘清制度的目标价值、立法体系等问题,以期为司法体系的建设提供理论基础与逻辑支撑。
(一)个人信息跨境司法保护的价值理念
通常认为,个人信息保护主要涉及人权领域。前三代人权的理论聚焦于物理空间中的公共参与、生活水准和公平发展等,主要涉及传统法学意义上的人、财、物,对于网络数据和虚拟空间的规约内容十分有限。数字经济的发展,使得传统物理空间及网络虚拟空间的分界线逐渐模糊,个人财产、隐私、教育等面临数字化、信息化的解构与储存。法学界对“第四代人权”即“数字人权”内涵与外延研究较为局限,多数观点集中在个人隐私权的保护,影响跨境领域司法保护体系的基础理论形成。
1.个人信息跨境保护的基本属性
欧盟和美国对于个人信息跨境保护持有不同的基础理论与价值倾向。多数欧洲国家在二战后将对人权的保护理论发展为超过国家体系的根本性权利,并明确个人信息权为基本人权。另外在互联网产业中,欧洲企业的竞争力远不如美国互联网企业,高举人权至上主义符合该欧盟历史渊源和客观条件。而美国作为全球互联网科技强权国家,拥有掌握大规模信息数据流动的能力,鼓励个人信息自由流通符合其国家利益以及战略所需。综上,笔者认为我国在互联网产业以及该领域的历史渊源具有独特性,一味强调人权至上或鼓励数据自由流通不完全符合国家利益,应当对这一问题提出自己的理解与理念。
第一,个人信息具有社会属性。在互联网技术深入渗透社会各个行业,个人信息的属性已经不限于个人私权范围,不同领域中呈现属性复合化。个人作为社会组织成员,多数个人信息是个人与社会建立联系而产生,具有明显社会属性,难以轻易认定该信息产生仅属于其中一方,即个人信息不仅是个人标签自我的工具,亦是社会其他成员识别特定主体的工具,并非是仅为个人而创设的权利,属于社会群体的基础性工具。司法保护机制应充分考虑个人信息的社会属性,平衡信息在社会中的合理使用及个人隐私保护。例如,新冠疫情期间,不宜认定相关部门或公共组织要求个人在跨境旅游时出示行程信息和健康码的行为属于侵犯个人隐私。
第二,个人信息具有主权属性。习近平总书记多次强调国家主权平等原则,倡导国家不分大小。由于个人信息具有一定程度的主权属性,特殊个人信息及其组合可能会涉及国家公共领域安全,应由政府机关设定管辖标准与尺度来行使管辖权。司法保护机制的建立应在保持鼓励个人信息有序流通的基本立场上,平衡个人信息的私权与公权属性。
2.个人信息跨境保护的制度目标
对建立个人信息保护制度的目的,有人提出目的是保障“个人信息自决权”,有人认为目的是保障人格利益和财产利益免受损害。这些观点将个人利益保护视为最重要目标,将研究范围限于隐私权或者财产权等,但忽视了企业、公共及国家利益客观诉求。建立司法保护制度主要为规范监管该领域内法律主体和所涉法定利益之间的纠纷。
个人信息跨境产业发展至今,所涉法律主体及利益形态纷繁复杂,如特定个人、境内外信息处理者、监管部门及相关行业机构等,故该机制设立目的呈现多元化趋势。在依法执行职责的前提下,法院可以客观量化的形式对个人信息进行分类,并明确重点保护法益。如涉及国家安全的个人信息,应以国家利益为重点保护利益而非商业利益;涉及少量且敏感程度较低的个人信息,应结合个人意愿和当事人利益综合考量。
(二)个人信息跨境司法保护的法律体系
个人信息跨境保护所涉及的领域较为复杂。从法律性质上,个人信息既涉及私法,又涉及公法;从法律类别上,刑事、民事、行政等均可能涉及;从行业领域上,电信、金融、生物科学等各行业均可能相关;从利益表达上,不仅涉及主体众多,并且个人隐私、财产价值及公共利益均有涉及。我国相关研究主要涉及欧盟和美国两种不同的立法体系。笔者认为在参照上述两类体系的基础上,提出符合我国国情的新立法体系。
1.美国:分散立法模式
以美国个人信息司法保护体系为例,在个人信息私权领域主要靠行业自律模式进行规范,在公权领域明确了隐私权的相关规则,以其为宪法和有关侵权行为的基础,后分散逐一立法保护。美国立法模式针对不同个人信息类别的司法保护设定对应衡量标准,实现局部利益最大化,并促进个人信息商业发展、行业自律等。其中,美国行业自律模式主要形式有两类:一是建议性行业指引(suggestive industry guidelines),即行业组织制定该行业关于个人信息保护的行位指引或标准,并提供相应示范。此类行业指引不具备强制执行的效力。二是网络隐私认证机制(Online Privacy Seal Program),该机制要求得到许可在其网站上张贴隐私认证标志的网站必须遵守在线个人信息收集的行为规则,并且服从多种形式的监督管理,如TRUSTe、BBBOnline。但是,笔者认为该制度的缺点主要是法律规定之间可能存在矛盾甚至混乱,对行业组织及第三方机构提出了较高标准的自律性要求,不利于司法机关统一法律适用及执法办案。
2.欧盟:综合立法模式
除美国依托其强大的行业自律模式,其他多数发达国家中对个人信息跨境保护采用综合立法。如GDPR不仅规定数据处理的六大原则,尤其对处理方式而言,规定了个人信息必须采用合法的、善意的和对数据主体合理的方式,无论是数据的收集、传输亦或是使用都应符合上述要求。同时,GDPR将相应的数据主体、处理者、管理者的权利义务,以及数据跨境传输的其他规定均予以具体规定。同时,该法案可直接适用于欧盟整体,通过数据主体所在国来确定数据监管机构的管辖,一站式的监管模式进一步加强了法案的执行力。另外,欧盟数据保护委员会(European Data Protection Board)也对于不同数据主体作出了界定及所承担的相应责任规制,特别是数据处理者和数据控制者,数据处理的目的和方式由数据控制者决定,数据处理者仅是依照委托对数据进行处理。综合立法模式确立了个人信息保护的基本原则,具有鲜明的制度优势,有利于统合法律适用从而破解分散执法的窘境。该制度的缺点主要是立法技术要求较高,难以将所有类别的个人信息予以充分且有效的保护,法律条文的可操作性上存在一定模糊,导致司法机关适用法律困难等。
3.中国:统一兼顾模式
不同于GDPR统一全面的个人信息保护法案,我国《个人信息保护法》的制定仍遵循“宜粗不宜细”传统立法精神,除一般规定之外,并未对于特殊领域予以具体规定。现阶段在跨境司法保护领域,我国涉及个人信息跨境保护的专门规范性文件数量较多,《个人信息保护法》的出台并未解决个人信息跨境领域分散立法的现状。如在实践中,相关部门审核人口健康信息出境仍需参照《人口健康信息管理办法(试行)》等。
与其他国家较为成熟的个人信息保护立法相比,我国目前的立法存在宏观上缺乏指导原则,微观上未明确个人信息出境的流程及条件、信息安全评估标准等可操作的细则,难以应对目前日益复杂的个人信息跨境保护的现状。从司法现状来看,我国法院对于跨境数据流动中的个人信息保护方式落后,传统审理模式难以应对个人信息跨境流动的新形势。从国际社会的外部挑战来看,美、欧为首的部分国家和组织对个人信息跨境管辖,从属地原则转向属人原则和效果原则为基础的“长臂管辖”,也对我国个人信息跨境的司法保护形成了严峻的挑战。
因此,为进一步加强《个人信息保护法》与上述规范性文件的衔接,统一相关法律适用。我国应在坚持向综合立法模式转变前提下,制定个人信息跨境保护的基本原则,兼顾原分散立法模式,形成以《个人信息保护法》为总纲,其他特别规范文件为补充的体系化机制。
(三)个人信息跨境司法保护的域外管辖
大数据时代下网络数据跨境流通在一定程度上虚化了传统威斯特伐利亚主权下以领土作为管辖权行使的实现基础。个人信息跨境司法保护流程始于信息传输国的出境保护措施,终于信息接收国的入境保护措施,相关案件域外管辖权成为了司法保护的重点。近年来,国际上对于个人信息跨境保护逐步从属地原则转向以属人原则和效果原则为基础的“长臂管辖”方案成为主流。
1.美国:自由单边主义的长臂管辖模式
美国一贯是“数据自由流通”理论的坚定支持者。近年,该国通过了以“云法案”为代表的一系列法案,体现了美国执法机构对境外企业和个人的信息管辖权,该国倾向于放弃以属地原则为基础“数据存储地”标准,转向“数据访问地/控制者”标准,利用其世界各地高科技公司及互联网的垄断地位,做到在不需征得数据存储地所在国政府同意的情况下,直接获得相应数据,无视他国基于主权所应得的管辖权,破坏国家之间平等地位。2020年,欧洲法院就以“美国的数据保护未能达到欧盟标准”为由,裁决欧盟与美国在2016年达成的《欧美隐私盾协议》 (Privacy Shield Agreement)无效。伦敦大学学院欧洲研究所研究员奥利弗·帕特尔认为,该裁决证明美国的监听制度与欧盟的隐私保护政策无法兼容。在应对其他国家政府、企业对美国境内的个人信息跨境数据进行获取时,除了部分满足美国国会设立标准并愿意接受监督的“适格国家”,美国法律对于数据的流通设立了极为复杂程序及实体标准,严格限制数据外流。如2018年生效《外国投资风险评估现代化法案》(Foreign Investment Risk Review Modernization Act),该法案扩大了外国投资审查委员会的审查范围,将外国人投资保存或收集美国公民敏感个人数据的公司纳入审查范围,严格限制外国企业收集美国公民数据。
2.欧盟:人权保护至上的长臂管辖模式
1981年,部分欧盟成员国就个人信息跨境保护签订了首个公约,即《关于个人数据自动化处理的个人保护公约》(Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data),开启了以人权保护为基础的个人信息域外管辖模式的先河。2016年,欧盟通过被誉为“史上最为严格的数据管理法案”的GDPR,该法案在秉承人权至上理念的基础上,制订严格的个人信息保护责任标准,并且规定若企业在严重违规情况下可被处以两千万欧元或该企业全球年总收入的4%的高额处罚。此外,GDPR第3条在适用范围方面采取“长臂管辖”的方案,即对欧盟境内设立的数据控制者和处理者,无论该数据处理是否在欧盟境内均按照属人原则进行管辖,并对欧盟境外的数据控制者与处理者实施按照效果原则进行管辖,极大程度上扩张了欧盟个人信息保护监管机构的管辖范围,并将司法管辖的臂展伸向全球。GDPR的制度设计更倾向于保护欧盟公民免受隐私和数据泄露的影响,该法案的生效对于在欧盟境内提供网络服务的合规性提出更高要求。
3.中国:主权平等协作的域外管辖模式
《个人信息保护法》第3条、《数据安全法》第2条等均确立了在个人信息跨境领域,我国亦期望实施域外管辖模式。不同于破坏国家主权平等的强权单边管辖主义,我国一贯主张基于威斯特伐利亚体系下国家主权拥有对在国内所产生、处理及相关个人信息的司法管辖权,司法保护体系建立的目的是规制重要个人信息非法出境以及后续保障,并认可国家之间对于个人信息管辖主权平等的理念,体现合作共赢原则。因此,除特殊情况外,我国应在主权管辖主义框架下一定程度上参考借鉴欧盟GDPR跨境管辖的标准,主张维护国家主权、安全和发展,维护个人、组织信息安全的同时,以属地管辖为主要原则,兼顾属人管辖原则及实施效果管辖原则,并通过跨国司法协作或者WTO等国际组织框架下,建立中国的域外司法管辖模式。
习近平总书记强调“加快提升我国对网络空间的国际话语权和规则制定权。”CPTPP的申请加入对于人民法院在个人信息跨境司法保护提出了更高的要求,笔者认为法院应在维护个人信息跨境流通的便利和安全之间找到平衡,树立中国法院的国际司法地位。从体系化建设的角度,提出符合我国数字经济地位的个人信息跨境保护方案,以争取为我国下一步参与CPTPP、WTO等国际规则制定,提供制度优势和国际影响力。
(一)完善个人信息跨境的司法保护体系
结合CPTPP的相关要求,在我国现有法律体系基础上,笔者认为应该通过明确司法保护的基本原则、个人信息分类分级机制以及相关主体的法律责任等方式,进一步健全司法保护体系,维护我国网络空间安全。
1.确立个人信息跨境司法保护的基本原则
明确个人信息跨境司法保护的基本原则,将有效解决《个人信息保护法》实施后与其他规范性文件之间的衔接问题,有利于司法机关统一执法办案,并向世界展示我国的法治理念与发展方向,进一步扩大国际影响力。
(1)依法有序流通原则
在网络全球化时代,我国已经将数字经济作为国家战略的重要发展方向,并积极参与数据跨境全球治理体系中。司法机关应提高政治站位,改变以往较为传统的司法保护理念,顺应时代潮流以及服务国家经济战略大局,在处理个人信息跨境相关案件中,除严厉打击个人信息网络黑灰产业等不法行为,依法防范国家安全、公民隐私等敏感信息遭受侵犯之外,在合法合规应用背景下,努力保障个人信息跨境的依法有序流通,对个人信息跨境的需求秉持依法开放的态度,有效适用个人信息保护的原则,促进个人信息合法利用。
(2)信息充分保护原则
GDPR对数据接受国规定了“充分保护水平”的标准。司法机关应深刻理解到个人信息跨境司法保护是一个系统整体,其保护的成效不仅取决于信息出境前的体系构建,也受制于数据获取国或者组织对个人信息的后续保护措施。因此,司法机关对于同样一组个人信息跨境的申请,在充分考虑信息获取国司法保护现状后,所做出的裁判结果可能也会存在不同。此外,鉴于各国对于个人信息的司法保护程度不同,除签署相关合作条约的国家,以促进互联网全球化为前提,信息保护充分原则不应予以狭义解释或限制,基本符合我国对个人信息保护标准即可。
(3)信息保护豁免原则
个人信息在涉及国家强制管理之外,多数情况下个人信息处理仍属于私权的范围,即个人拥有自由处置自身信息的权利,例如个人可以为经济利益等目的在法律允许范围内放弃一定程度的司法保护,其他个人及机关不得随意干涉。除法律规定应经过相关部门审核或审批情形外,应充分尊重当事人意思自治。此外,在涉及国家安全、公共利益等特殊情况下,个人信息的司法保护限制可予以一定程度豁免。
(4)国际平等协作原则
从机构职能角度出发,我国司法机关不仅应对涉个人信息跨境案件进行裁判,还要负责具体裁判结果执行,如何对境外主体实施相应司法措施是现阶段的一大难题,如境外购物网站对中国公民因消费产生付款记录等敏感个人信息的处理。同理,法院如何执行他国法院对于中国境内实体涉个人信息的裁判也应当予以解决。根据我国主权平等原则,平等协作机制同样适用于个人信息跨境执法,即在遵循签署的国际公约以及双边司法协定的基础上,充分应用平等协作机制,积极推进对境外主体的执法裁判。
2.构建个人信息跨境的分类分级保护规则
《数据安全法》第21条规定了国家建立数据分类分级保护制度,国务院刘鹤副总理亦在2021年中国5G+工业互联网大会提出“要研究推出数据确权和分类分级管理”。由于个人信息价值与主权属性的多样性,简单将个人信息分为一般和敏感信息两类,在司法保护性和数据开放性上难以取得平衡,构建更为多元化的保护机制是未来的个人信息保护的发展趋势。对司法机关而言,个人信息的分类分级将影响对该类信息采取的审核标准及司法保护措施,有利于实现社会利益最大化。
(1)个人信息的分类要素
个人信息重要程度决定意思自治的有效范围及司法保护力度,通过统一的要素式评价方式,客观反映该信息的属性,减少可能出现法律适用不统一,以下三类是衡量信息重要性的主要要素:
一是信息的可识别性。个人信息区别于普通数据最主要的特点是可识别性,即该信息与特定自然人的密切程度,具体评价标准为识别某个特定人所要借助其他关联信息多少,若无需或仅需少量关联信息,可视为识别性较高,如身份证号、个人面部特征及银行账户等。若该信息须借助大量的其他关联信息才能识别特定自然人,则一般视为识别性较低,如性别、年龄和民族等信息。
二是信息的敏感性。即信息泄露后对于国家或个人所造成侵害程度,具体的评价标准为综合对国家安全、财产权益、个人精神等所造成的损失后果,对于敏感性较高的信息应当予以重点保护,如个人征信信息、医疗记录及宗教信仰等信息。
三是信息的规模性。《网络安全审查办法》规定“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”。可见,个人信息的规模也是衡量信息重要性的重要依据之一。此外,需要说明的是规模性不仅指个人信息的数量,同时包括质量即完整度,司法机关应当将上述两者进行综合考量。
(2)个人信息的分类体系
个人信息的二分法已经难以满足当今数字经济的发展和个人信息跨境保护的多元化。如上节所述,建议在个人信息重要性衡量三要素的基础上,以达到满足高标准要素数量“0-3”为衡量基础,将个人信息分类标准扩充为4类:
一是个人核心信息。即三要素同时达到高标准的个人信息,影响范围广且损害结果大。此类个人信息属于一国核心数据,具有极强的主权属性。此类信息的违法跨境传输往往对于国家安全、公共利益或者组织、个人合法权益造成极其严重的危害,属于最高程度的保护对象,如大规模的公民医疗数据或道路交通信息。
二是个人重要信息。即三要素达到两项高标准的个人信息,影响范围广或损害结果大,以主权属性为主。此类信息的违法跨境传输对于国家安全、公共利益或者组织、个人具有较深的危害程度,属于较高程度的保护对象,如个人银行账号。
三是个人敏感信息。即三要素达到一项高标准的个人信息,影响范围以及损害结果相对有限,以私权属性为主。此类信息的违法跨境传输对于国家安全、公共利益或者组织、个人具有较浅的危害程度,属于较低程度的保护对象,如特定个人在某购物网站的浏览记录。
四是一般个人信息。即三要素均未达到高标准的个人信息,影响范围以及损害结果十分有限,具有极强的私权属性。此类信息的违法跨境对于国家安全、公共利益或者组织、个人几乎不具备的危害程度,属于最低程度的保护对象,如某人的生日信息。
(3)个人信息的分级审核制度
个人信息跨境的司法保护措施与信息的类别相对应,并区别于国内信息安全的审核流程,法院在办理相关案件时,应综合对与个人信息跨境保护的程序公正与实体效果予以审核,分为四个类别:
一是国家强制审批制。个人核心信息的跨境传输应完全掌握在国家手中,为防止个人核心信息的不当泄露造成难以预估的损害结果,同时采用事前审批制,只有相关个人信息经法律规定的公权机关审批通过后才能跨境传输,此类信息不适用个人同意豁免原则。需要说明的是,涉及个人核心信息的跨境传输合同应严格审查,未经审批的合同效力可视为未生效。
二是第三方独立审核及报备制。个人重要信息应由国家认定的信息审核机构处理后方可跨境传输,并将相关处理材料报备公权机关。个人重要信息跨境传输合同,未经报备通常不影响法律行为的有效性,但公权机关可以予以相应的行政处罚。此类信息原则上不适用个人同意豁免原则,但相关法律另有规定的除外。
三是行业自律审核制。个人敏感信息的跨境传输应以私权管制为主、公权管制为辅,个人信息跨境审核一般以行业自律或者国家认可的标准合同等基本审核机制为主,此类信息可以适用个人同意豁免原则,但超出豁免范围的行为除外。
四是定期事后报备制。个人一般信息的跨境传输应属于私权管制范围,公权机关一般不予管制。定期报备主要目的是审核是否存在部分企业通过多次分批方式规避审核制等其他违法行为。
3.明确个人信息跨境其他主体的法律职责
以全球互联网产业发达国家如美国、日本等为例,个人信息产业的不断扩大一定程度上将打破由政府全面审核个人信息的局面,负责审核、处理个人信息的第三方或者行业自律组织将引入行业,对于上述主体的法律责任应予以论证分析。
(1)第三方机构
由政府予以设立或认可个人信息跨境处理的第三方机构,此类机构应确保具有较高的专业水平和权威性,独立负责对个人重要或敏感信息进行处理、审核以及对相关企业以及行业自律组织进行监督。其职能作用一方面减少了公权机关对个人信息跨境的审核压力,另一方面可以促进相关产业发展。若因第三方机构的错误导致个人信息违法违规跨境,可以采取承担相应的民事赔偿责任、责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等方式。对个人存在主观故意或工作重大过失的,可以依据损害后果以及主观意图等,除涉及刑法之外,可以采用罚款、行业禁入等处罚。
(2)行业自律组织
个人信息处理的行业组织如网络购物行业个人信息保护委员会,主要负责对敏感信息以下的个人信息跨境申请予以审查。由于是行业自身设立的组织,具有较强专业化水平,同时应把握个人信息安全与行业发展关系,此外,此类组织负责审核的个人信息敏感程度往往不高,可以设置相对较短审核时限以及较为简易的审批手续,促进行业整体发展。若因个人信息跨境处理行业自律组织的错误导致个人信息违法违规跨境,应当与申请信息跨境的主体根据过错原则共同承担侵权赔偿责任。除涉刑法外,造成严重损害后果的,公权机关可责令其暂停业务、停业整顿等处罚,并对相关工作人员及主要负责人予以公开致歉、罚款、行业禁入等处罚。
(3)境外主体
对于境外主体的法律责任承担应主要分为两方面:一是各方主体之间订立个人信息跨境传输的书面合同。合同对于相关的责任承担进行了约定,在不违反法律强制性规定的情况下,法院应当依据当事人意思自治原则,对于境外主体的法律责任予以审查。需要说明,书面合同不能排除公权机关对个人信息的管制,一般适用于敏感信息级别以下的信息。二是各方主体之间未签订相关书面合同的。在充分保护原则和国际平等协作原则的基础上,由于损害结果是数据输出方与接收方共同完成,存在共同的故意,除存在立刻删除或对信息进行不可逆脱敏处理等减轻或免除责任的情形外,原则上境外数据接收方应与个人信息出境的主体对损害结果承担连带赔偿责任。
(二)健全法院参与个人信息跨境保护的路径
在完善个人信息跨境司法保护体系基础上,拓宽法院参与路径与保护方式是实现体系价值的重要途径,亦是司法保护体系有效运转的必要保障,主要有以下三方面:
1.明确《个人信息保护法》域外适用
我国外交政策注重国家之间的平等性及多边性,美国“云法案”体系构建极具进攻性和单边主义色彩不符合我国外交政策。建立以维护个人信息安全为目标的防御性长臂管辖机制,扩展法律适用范围,并通过国际协商等方式在具体实施过程中灵活应用,以获得更多国家的承认与执行。具体为,境外主体以向我国境内可识别的自然人提供商品、服务等进而收集、处理其个人信息的,或为监控、分析、评估境内自然人行为,除法律特别规定外,应适用我国《个人信息保护法》的规定。
2.优化个人信息跨境的办案机制
传统审理模式难以应对个人信息跨境案件的处理,如利用区块链技术认定电子证据真实性等。下一阶段,应从优化案件管辖、审理方式、审判团队及执行模式四方面,加大对于个人信息跨境的保护力度。
(1)设立集中管辖模式
此类案件对于法院信息化建设存在较高要求,故并非所有法院均有足够的能力审理。可在互联网产业发达地区如北京、杭州等地先行先试,将个人信息跨境纠纷纳入“强互联网关联案件”列表,并在此基础上建立集中管辖机制,将案件统一移送至互联网法院。
(2)优化案件审理方式
此类案件主要发生在互联网领域,相应数据均以电子证据形式保存,并且可能涉及境外主体。应采取以全流程网上办案为主,线下办案为辅的模式。优化电子证据的采信规则,引入区块链等技术辅助对证据的认定。此外,此类案件对于世界银行营商环境评价存在影响,且数据传输时效性强,应在诉讼程序上对于普通案件设置较短审理期限,如7天或15天。
(3)成立专项审判团队
由于在审理方式、审理期限、涉外法律适用等上有很高的要求,审判团队应具有专业性强、效率高的能力。可以在互联网法院的内部,成立个人信息跨境保护专项审判团队,保障案件审判的高质高效,并且案件人民陪审员的参与,重点挑选相关从业经验人员为先。
3.积极参与个人信息跨境全球规则的构建
结合CPTPP,我国的国际司法影响力与经济实力严重不相匹配,通过典型案件中的裁判说理向外输出法治理念是扩大影响力的常规手段,但是因缺乏译文、宣传平台与手段等原因,难以被其他国家的法学专家及业界学者所了解与学习,相关法治理念难以对外输出,影响我国在全球法治规则构建中的话语权。司法机关应当积极通过翻译并输出最高人民法院指导性案例等经典案例、搭建国际司法交流平台以及审判人员常态化交流机制等方式,并与各类新闻媒体、法律数据检索网站等单位进行合作,积极传播法治理念与主张,并对外发布我国个人信息治理的白皮书,多元化参与个人信息跨境全球规则制定。
(三)构建个人信息司法保护的配套机制
司法机关不同一般行政机关,其对于个人信息跨境保护的资源与手段具有很大的拘束性,应制定相关的配套措施以解决传统司法机关参与保护的方式较为单一、保护手段时效性滞后的问题。
1.建立个人信息的紧急禁令制度
针对司法手段时效性较差问题,参照证据保全制度,建议赋予法院紧急禁令权。在案件审理时或经审查当事人申请后发现可能存在其他个人信息跨境严重违规的现象,可以直接采取向网络安全部门申请对涉案主体的信息跨境紧急禁令,或者对于部分个人信息数据采取保全机制,即禁止数据拥有者对被保全数据进行相关处理,一方面有利于案件审理,另一方面可以避免相关损失的进一步扩大。
2.制定从业人员、企业行为黑名单制度
针对法院保护方式单一问题,参照失信被执行人黑名单制度,对于企业主管或工作人员在案件中存在刑事犯罪或重大过失,达到了法律规定的行业禁令规定标准,法院可以不通过行政机关,直接在裁判文书中予以处理,并将生效的裁判结果告知相应行政机关及行业组织。
