赵光 | 全球数据治理视角下的个人信息保护立法

《个人信息保护法（草案）》（以下简称《草案》），已由全国人大常委会初次审议并公开向社会征求意见，理论界和实务界对此都很关注，组织了许多活动对《草案》展开研讨，其中焦点是如何平衡个人信息保护和利用的关系。立法本身就是利益平衡的过程，正如彭真同志所说的：“立法就是在矛盾上砍一刀”。个人信息上不单纯有个人和企业利益，还涉及国家利益，平衡个人信息保护和利用的关系，要考虑的因素比较多。从全球数据治理视角出发，有利于全面认识需要考量的各种因素，深入理解立法思路和制度安排，为《草案》完善提供建设性意见建议。

全球数据治理面临的挑战

近期，个人信息保护成为国际社会普遍关注的焦点，为什么这个问题会引起国际社会高度关注？一个重要原因是，个人信息别是敏感个人信息关系到社会安全、国家安全等利益，各国对个人信息控制权正展开激烈争夺，既要限制外国对本国公民个人信息的处理，还要保障自身在履行职责中对公民个人信息的获取和利用。保护个人信息安全的一个重要措施是限制跨境流动。在这方面采取措施比较早的是欧盟，2000 年之后相关国家的措施逐渐增多，2019 年世界经济论坛发布的《全球数据流动治理探索白皮书》显示，全球范围内现行数据政策法规已超过200项，对数据流动的总体限制措施在过去十年中翻了一番。美国是数据跨境自由流动的积极倡导者，这主要是因为美国数字经济处于领先地位，数据自由流动总体上对它是有利的。一旦数据跨境流动对它造成威胁，美国也会采取限制措施，例如，将外国人对“关键技术”“关键基础设施”以及处理美国公民敏感信息的公司进行的投资纳入审查范围；强化“电信小组”审查职能，确保美国国内通信数据、与国内通信相关的交易数据、用户账单记录等只在美国境内存储；强化人工智能等数据处理技术的出口管制等。

在个人信息保护上，政府既是保护者，也是处理者。特别是在国家安全领域，近年来美国、欧盟等均采取了强化对个人信息控制的措施，包括加强政府监控权力，要求企业留存数据以协助政府执法，通过“长臂管辖”实现对境外数据的获取等，有的措施也引起过争论，加剧了国际社会对信息安全的担忧和彼此间的不信任。

在这样的背景下，国际社会围绕数据治理产生的冲突也自然越来越多。比较典型的就是欧盟与美国关于数据跨境流动的冲突。继2015 年欧盟法院裁定欧美数据跨境流动“安全港协议”无效后，欧盟法院于2020 年再次裁定新的数据跨境流动“隐私盾协议”无效，主要理由是这项协议无法保证欧盟公民不成为美国情报部门的潜在监控目标，也没有赋予个人对抗美国政府，寻求司法救济的权利。由于传统国际贸易规则已经相对稳定，实施传统的贸易保护措施变得很困难，于是有的国家开始借隐私保护的名义推行贸易保护主义，例如美国就以隐私保护为借口打压我国高科技企业。也有人认为，欧盟宣布欧美数据跨境流动协议无效，对违反欧盟个人信息保护法律的美国企业进行严厉处罚，真正动机也是遏制美国企业、促进欧盟数字经济发展。

图源：搜狐

除了具体案件的争议，围绕全球数据治理规则话语权争夺也很激烈，美国等发达国家很早就通过多种途径推动符合其自身利益的数据治理规则的形成。经济合作与发展组织(OECD)、亚太经合组织（APEC）、跨太平洋伙伴关系协定（TPP）等都确立了数据治理相关规则。欧盟在其内部推行统一且严格的个人信息标准的同时，也利用其经济和政治影响力，向其他国家推行其个人信息保护政策。

应该怎么看待和应对挑战

全球数据治理规则还在探索和磨合中，我们应该怎么样看待各种观点和争论？用什么样的思路处理各种利益的冲突？怎么样平衡个人信息保护与利用的关系？习近平总书记提出的人类命运共同体思想对国际社会治理作了深刻阐述，同样适用于解决全球数据治理问题。虽然近年来对数据跨境流动的限制在总体数量上是增多的，但我们要看到，促进数据依法有序自由流动仍然是大的趋势。就像人类命运共同体思想所指出的那样，经济全球化是社会生产力发展的客观要求和科技进步的必然结果，是历史大势。各国应该推进互联网领域的开放合作，丰富开放内涵，提高开放水平。对数据跨境流动进行一定限制是必要的，但这种限制应当是数据流动的例外。

对于欧盟数据跨境流动制度，大家通常的反映是限制太严格。但是如果我们仔细观察欧盟的法律和立法文件，我们会发现实际上它也很重视怎么样在确保安全的基础上促进数据流动。欧盟1995 年《数据保护指令》的一个重要目的就是缩小成员国间个人信息保护水平的差距，促进个人信息流动。它背后的逻辑是，如果让各成员国执行同样的标准，保护水平基本相当，大家就不用太担心数据流出去的安全风险，那么自然就促进了数据跨境流动。《通用数据保护条例》（GDPR）也强调个人信息流动对扩大国际贸易和国际合作是必要的，因此在“充分性认定”之外，通过标准合同条款、有约束力的公司规则等“特殊情况的例外”，满足数据跨境流动的需要。正是因为有了这些灵活性的补充措施，欧美“隐私盾协议”被判无效后，美国企业在欧盟的数据跨境转移并没有完全停止。另外，欧盟还通过《非个人数据自由流动条例》促进非个人信息数据的自由流动。再比如，2020 年的《欧盟人工智能白皮书》的副标题是“追求卓越与信任的欧洲路径”，“追求卓越”实际上就是在强调要促进人工智能的发展，保持欧盟的竞争力，这也涉及到怎样发挥信息的资源效应。

个人信息保护是国家主权行使的表现，虽然一国可以通过“长臂管辖”赋予政府获取境外数据的权力，但要更有效解决冲突，还是需要进行谈判协商。例如，由于很少国家能够达到欧盟规定的个人信息保护标准，为了满足正常的数据出境需要，欧盟和许多国家都进行了谈判，使对方加强个人信息保护以获得从欧盟转移数据的资格。“安全港协议”“隐私盾协议”被判无效后，欧美在很短时间内就开始重新谈判。美国也是这样，美国CLOUD 法规定满足特定条件的外国政府可与美国签署行政协议，据此可直接要求企业提供在美国存储的相关数据。2016 年美国和英国达成协议，英国在特定情况下可直接要求美国企业提供存储在美国境内的相关数据。我国也越来越重视参与国际协商和相关规则的制定，2019 年签署了《大阪数字经济宣言》，2020 年发布《全球数据安全倡议》，强调各方应在相互尊重的基础上，加强沟通交流，深化对话与合作。

个人信息保护立法的传承与创新

理解个人信息保护立法，首先需要从国内和国际、当前和长远的角度全面认识个人信息保护的重要性。技术的发展给人民群众的生活带来了便利，但是也产生了很多负面影响，如果公民个人信息安全得不到保护，必然会影响大家对企业新技术、新产品的信任，企业就难以可持续发展。有的企业也逐渐认识到个人信息保护能提升企业竞争力，因此正主动探索更有效的隐私保护模式。例如，苹果公司9 月份发布的iOS 14 系统将广告追踪功能做成可开关选项，用户可以决定任何APP 如果要读取用户设备ID，都需要通过弹窗询问用户是否同意，这样就更充分保护了用户的知情权和选择权。苹果公司的操作被认为是对“默认同意”行规的“背叛”，但这也提醒整个行业，重视个人信息保护才能赢得用户信任、保持市场竞争力。

个人信息保护水平还关系到对一国营商环境的评价，例如欧盟对数据流入国“充分性保护”的判定标准就包括该国个人信息保护的立法情况以及是否有独立的个人信息保护机构等。国家加强个人信息保护是积极适应全球化竞争的需要，既有利于本国企业“走出去”，也有利于境外企业“走进来”。《草案》专门就国家机关的行为进行规范， 2020 年8 月，外交部长王毅在全球数字治理研讨会上表示，中国政府不会要求中方企业违反别国法律向中国政府提供境外数据，充分表明了我国保护个人信息权益的决心和力度，彰显了我国在全球数据治理中负责任大国的态度。所以说，《草案》说明中将个人信息保护法定位为权益保护法，是十分准确的。

对于各方面普遍关注的个人信息保护和利用的平衡，《草案》也作了较好的安排。习近平总书记对安全与发展的关系有过深刻阐述，指出“安全是发展的前提，发展是安全的保障，安全和发展要同步推进。”我国信息领域立法一直严格遵循该精神，十分重视安全与发展的平衡，我们仔细研读《网络安全法》《电子商务法》等法律的立法文件，可以看到它们都重点说明了立法过程中是怎么平衡好安全与发展关系的。最近新修订的《未成年人保护法》增加的网络保护专章，也很好地平衡了未成年人保护和网络行业发展的关系。《草案》传承了这种科学的立法思路，在保护个人信息权益的同时，考虑了对个人信息利用的现实需要，例如，区分一般个人信息和敏感个人信息，合理确定信息处理者的义务；丰富个人信息处理的合法性基础，满足不同情形下处理个人信息的需要；设置多样化的数据跨境流动情形，提高数据跨境流动效率、降低数据处理者成本。

《草案》在回应国家参与全球数据治理方面也有很多创新和亮点，例如，规定对境外有关非法处理个人信息行为的管辖，更好应对全球化时代国际执法需要；规定国家可通过缔结国际条约等对数据跨境流动作出特别安排，为我国灵活处理个人信息跨境流动问题提供支撑；规定国家有权基于对等原则对其他国家和地区采取反制措施，确保有效应对和解决国际纠纷。这些措施对我国参与全球数据治理，推动公平正义的国际数据治理规则的形成具有重要意义。随着各方面的深入讨论，《草案》也会得到完善。除了立法，还需要国家、企业、社会等各方面共同努力，发挥监管、伦理、市场、技术的作用，有效实现保护个人信息权益和促进数字经济发展的双赢。