论跨境电商中个人信息保护的制度构建与完善

发布时间:2021-02-23 作者: 大数据和人工智能法律研究院

摘要

跨越关境或边境的特点使得跨境电商中的个人信息保护具有特殊性。我国现行个人信息保护法律规范或过于原则、缺乏可操作性,或过于强调公权力的介入、行政色彩浓厚,亦或过于强调国家安全或公共秩序而忽略经济增长的需求、增加企业负担,尚不能为跨境电商中的个人信息保护提供充分的制度供给。跨境电商中的个人信息保护法律制度亟待完善,在立法上应坚持个人信息保护与商业利益保护平衡、行政权力规制与经营主体自治平衡、国内立法完善与国际规则借鉴平衡的基本原则;在统一的个人信息保护立法模式下,须从合理清晰地界定个人信息的范围、完善跨境数据流动规则、明确跨境电商经营者的法律责任等方面对相关制度予以完善。

古元

论跨境电商中个人信息保护的制度构建与完善

文 / 中国政法大学民商经济法学院 商法研究所副教授 朱晓娟

全球大型跨境电商平台阿里巴巴、亚马逊等通过互联网跨境传输和处理信息,构建了跨境电商经营者的世界用户网络,有助于降低交易成本、实现商业扩张。可以说,跨境电商的发展必然伴生跨境数据的流动。2013年美国前中情局职员斯诺登曝光美国“棱镜”计划后,鉴于企业跨境信息流动可能引发对个人隐私的侵害、对国家安全的威胁以及对经济下滑的影响,更多国家开始加强对企业跨境信息流动的监管,合规进行跨境信息流动成为企业面向世界经营中必须遵从的重要规则,否则将面临重大风险。跨境电商植根于国内电子商务,我国《电子商务法》第23条规定了电子商务经营者的个人信息保护义务,衔接了电子商务法与个人信息保护的相关法律规定。虽然该法规定了跨境电商的相关内容,但其目的是实现法律体系内部的衔接,而非为跨境电商提供系统性法律规则。因此,对跨境电商中个人信息保护的研究仍需要集中于我国现行个人信息保护法律制度,尤其是个人信息跨境流动的相关规则。在梳理我国关于数据跨境流动相关规则的基础上,为防止贸易上的反钳制,还应该准确把握国际上跨境数据流动的规则与趋势,以正确界定我国跨境电商中对个人信息进行保护的制度体系,为跨境电商法的发展提供制度积累与支撑。


一、跨境电商中个人信息的跨境流动及我国体系分散的个人信息保护立法

(一)数据与信息的区分与跨境流动

个人信息与个人数据间究竟为何种关系,学界大体存在两种观点:大部分学者认为个人信息与个人数据交替使用,不作区分。通过考察世界范围内其他国家的立法可以发现,个人信息保护法的调整范围决定了个人信息或数据包含的内容,即属于具体某一领域的部门法,还是综合性的个人信息保护法,甚至有将个人信息的范围扩展到与法人相关的信息以及特定的具有联结性的设备。部分学者认为,个人信息与个人数据可以在形式上、价值上与立法上进行区分,进而将数据界定为数字化信息,是大数据时代的重要生产资料。还有学者较为系统地对个人数据与个人信息间的内涵关系之分析观点予以总结。笔者认为,上述个人数据与个人信息的区分更多具有形式而非实质意义,因为数字化的个人信息仅仅是信息存储和传输形式的改变,但最终还是能够被识别,难以在实质上区分何为个人信息何为个人数据,故本文所称个人信息与个人数据可以相互替代。通过分析代表性国家的立法例与国际条约等规则可知,数据与信息在不同法域、地区的称谓只是习惯不同而已。美国、中国等国家以及APEC、APPA、IAPP等地区或国际组织习惯使用“个人信息"(personalinformation),而欧盟等国家或地区习惯用“个人数据”的称谓(personaldata)。对于跨境数据流动的界定,代表性的有两种:OECD于20世纪70年代在《跨境数据流动宣言》中将跨境数据流动界定为“计算机化的数据或者信息在国际层面的流动”,联合国跨国公司中心将其界定为“跨越国界对机器可读的数据进行处理、存储和读取等活动”。以上分析清晰地表明,跨境电商中必然存在跨境数据流动。

(二)缺少统一立法的我国个人信息保护信息

虽然我国个人信息保护法律规则丰富,但是欠缺系统性。法律、部门规章及部门指导性文件构成了我国个人信息保护的法律规则体系,《民法典》《电子商务法》《网络安全法T等法律中明确规定了个人信息保护规则,相较于《电子商务法》关于个人信息保护的原则性规定,《民法典》《网络安全法》中的相关规定更为具体,可操作性更强。《刑法修正案(七)》和《刑法修正案(九)》也规定了侵犯个人信息构成犯罪的情形。此外,全国人大常委会、工信部颁布的相关加强网络信息保护、规范信息服务市场秩序等决定与规定中也包含个人信息保护的基本要求,国家质量监督检验检疫总局、国家标准化管理委员会专门发布了特定的个人信息保护指南与规定来加强个人信息保护。上述立法与规范性文件从不同视角提出了对个人信息的保护要求,初步确立了我国个人信息保护的法律机制,尤其是我国《民法典》第111条、第1034条都明确规定了自然人的个人信息受法律保护,构建了自然人与信息处理者之间的基本权利义务框架。然而,上述规范体系缺乏系统性整合,且多数法律规则的适用范围仅限于境内且仅调整特定行业或领域,如《网络安全法》的相关规定主要服务于网络安全的目的,对信息跨境流动的规定较少;又如《民法典》的规定虽然明晰了个人信息的内容、个人信息处理的原则与条件、信息处理者的义务与责任豁免等,但并未明确个人信息保护请求权的救济路径,尤其是个人信息跨境规则阙如。

与此同时,我国个人信息跨境流动的法律规定更显薄弱。我国首个个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《个人信息保护指南》),规定了个人信息管理者将个人信息转移给境外个人信息获得者的规则,明确了数据跨境流动的前提条件。但《个人信息保护指南》作为一个指导性文件而非部门规章,无强制执行的法律效力,因此,在个人信息数据跨境流动规制上发挥的作用极为有限。基于此,有学者曾在2015年得出“总体而言,中国目前既无综合性的个人数据保护法,也缺乏可具操作性的的跨境数据流动规制方案”的结论。2016年全国人大常委会通过的《网络安全法》在一定程度上弥补了跨境数据流动法律规制缺乏的空白,其第37条规定了关键信息基础设施运营者在个人信息保护中应负担的将其获取的个人信息与数据存储于境内的义务、在必须向境外提供时进行安全评估的义务等。该规定虽然符合APEC的相关隐私规则,但仍存在比较模糊、操作性不强的问题。为配合《网络安全法》相关规定的适用,国家网信办颁布《网络产品和服务安全审查办法(试行)》、就《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称《评估办法》)公开征求意见,全国信息安全标准化技术委员会发布《息安全技术据出境安全评估指南(草案)》(以下简称《评估指南》)。上述规范细化了个人信息与数据出境安全审查与评估的相关规则,为数据跨境传输主体实施数据跨境传输行为提供了有效指引。

二、现行立法评述及跨境电商中个人信息保护所受之影响

(一)现行立法评述

我国目前存在直接或间接规定个人信息保护的法律、法规及规章近300部。作为联合国成员国,我国也同时遵守联合国人权宣言关于隐私保护的规定。宪法关于个人基本权利与自由的规定是刑法与民法保护个人信息的渊源,但我国实质上缺乏一部全国性统一的个人信息保护立法,因而需要进一步体系性地规定境内个人信息的保护规则与信息跨境流动规则,同时我国缺乏保护个人信息的专门机构。对我国现行立法的问题简要评析如下:

1、内容分散,效力层级低。如前所述,我国有关个人信息的法律法规在数量上众多,但整体上效力层次不高,具体规则的体系协调性也有待提高。虽然《民法典》与《刑法修正案(七)》和《刑法修正案(九)》关于个人信息的相关规定为个人信息树立了两道保护屏障,但具体要件规定的模糊与规范体系的不够完整阻碍了上述法律的正确适用,甚至民法上个人信息保护规定与隐私权保护的关系还处于争论中。因此,我国急需出台的不是针对某个领域、某类信息处理的管理办法或指导意见,也不是对刑法和民法中涉及信息保护的部分进行简单的修补,而是在宪法指导下的一部个人信息保护法。

2、有关信息跨境流动的具体规则存在矛盾与冲突。首先,《评估办法》对于安全评估适用主体的规定与《网络安全法》不一致。《网络安全法》第37条将安全评估适用主体限于关键信息基础设施运营者,而与其配套的《评估办法》却将主体扩张到所有的数据控制人或处理人,规定所有网络运营者,无论境外接收主体是否为中国国籍,只要因业务需要数据出境都必须先进行安全评估,这无形中增加了作为数据控制人或处理人的运营成本,给跨境电商平台的经营者造成极大的负担。其次,《评估办法》对于安全评估的界定模糊,只是规定为了国家安全或产业安全应当进行评估,但为了个人信息安全应否进行评估并不明确。再次,《评估办法》与《评估指南》虽在具体内容上体现出维护网络空间主权的价值取向,但对于推动网络信息依法自由有序流动关注不足,对跨境数据流动对经济发展的促进作用认识不够。最后,《评估指南》规定过于原则,在具体的操作性规定上明显不足。其虽明确规定了个人信息管理者将个人信息转移给境外个人信息获得者的具体条件,但并未明确是否必须经过安全评估程序。

3、没有形成事前、事中、事后一体的个人信息全流程监管体系。虽然《刑法修正案(九)》在《刑法修正案(七)》的基础上对犯罪主体进行了扩张,但是与《民法典》侵权责任编一样具有事后救济的属性。现行的分散立法导致事前预防机制不足,缺少对数据控制人或管理人有效的事中监控,严重影响个人信息保护法律制度功能的有效发挥。在网络时代,对网络安全及个人信息的全流程监管尤其是信息跨境的全流程监管,以制度事前预防、以机制事中监控,再加之以事后救济,才是更有效的方法。

4、个人信息的处理过程有待明晰化。我国新修改的《消费者权益保护法》第14条规定了消费者个人信息依法受到保护的权利,第29条规定了经营者收集与使用消费者个人信息应遵循的原则,采取保密措施及信息可能泄露、丢失下的补救措施。《网络安全法》对网络运营者、《网络交易管理办法》对网络商品经营者与有关服务经营者的个人信息保护义务也有类似的规定。《民法典》第1035条明确规定个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等,并规定了个人信息处理的原则与条件,但并未包括“转移”与“删除”这两种重要的信息处理行为,而是在第1037条规定了信息处理者满足条件时应自然人要求删除信息的义务,在第1038条规定了信息处理者未经自然人同意不得向他人非法提供其个人信息的义务。将“转移”与“删除”排除在个人信息处理之外,而这两种行为对个人信息保护相当重要,可能使信息处理者免受个人信息处理原则与条件的约束,不利于个人信息的保护。而《个人信息保护指南》虽然以指导性技术文件的形式为行业工作提供了自律规则指引,为相关企业与个人信息保护规则的制定提供了标准,但遗憾的是,由于该指南性质属于指导性而非国家强制性文件,其适用效力无法充分发挥。

5、注重公法色彩的外部监督,而对私法合规机制关注不足。首先,现行立法缺少清晰的标准导致个人很难在数据被侵犯时获得救济,因为大部分的法律法规是从行政管理便利的立场出发,没有为信息被恶意泄露的个人提供损害赔偿请求权的基础。《民法典》的规定也未提供个人信息受到侵犯时明确的请求权基础,需要去识别和确定。其次,现行立法没有为企业提供明确的规范与标准,收集并使用个人信息的企业能否以及在多大程度上使用信息数据,是否对相应数据拥有权力以及何种权利,在现行立法中均无法寻找到相应的依据。在跨境电商领域,跨境电商平台的消费者个人信息权利未能得到完全的保障,而平台自身也无法有效利用相应信息来促进平台的运营发展和提供更好的商业服务,一定程度上制约了平台的发展潜力。因此,过分注重外部监督视角赋予数据控制者的一般性义务,对主体自治尤其是内部合规机制的关注不足,就无法充分发挥内生机制的作用。

我国《公司法》《合伙企业法》以及《个人独资企业法》缺少将个人信息保护内化为企业内部相关主体的义务性规定,这无法体现大数据时代对法律的需求,也未能适应商业发展要求。“即便是以代表世界个人信息保护最高标准著称的欧盟立法中,如欧盟《通用数据保护条例》和德国《数据保护法》的立法例和司法实践表明,个人信息保护的实现有赖于与公司内部治理机制的制度对接。“ 因此,有必要修改我国现行相关企业组织法,发挥其在个人数据保护中的内生性作用。

(二)现行立法对跨境电商中个人信息保护的影响

我国缺乏统一的个人信息保护法,这在客观上影响了我国企业与外国公司(主要指对个人数据跨境流动予以规制的国家)进行外包交易的可能性。商务部与工信部发布的《关于境内企业承接服务外包业务信息保护的若干规定》体现了扭转该种不利局面的努力,该外包措施于2010年2月1日生效,要求信息技术与信息业务外包服务提供者建立具体的数据保护组织或者任命特定的个人作为数据保护官,建立内部的规则以保护业务过程中的保密信息。但该外包措施只是规定了发包方有权依据合同的约定在承包方违约时追究其违约责任,但是并未规定承包方违反上述规定应承担的具体责任,该措施只意识到了发挥内生机制的作用但配套机制构建不足,指引欠清晰。

我国《电子商务法》对电子商务经营者个人信息保护的规定多与其他法律规范的规定内容相关联,若其他法律、行政法规缺乏明确规定,则必然会对电子商务中的个人信息保护产生不利影响。如前所述,我国现行个人信息保护立法的缺位与不足、跨境电商法律制度的阙无,必然会影响包括跨境电商中个人信息保护在内的各项规则的实现。2020年4月10日,国务院举行新闻发布会,商务部部长助理任鸿斌介绍,“2019年,我国跨境电商零售进出口额达到了1862.1亿元人民币,是2015年的5倍,年均增速44.5%,综试区在外贸发展中的作用也日益凸显。”为更好发挥我国跨境电商的世界引领作用,顺应数字经济时代电子商务助力贸易发展的需要,应推进我国个人信息保护统一立法进程,为跨境电商中的个人信息保护提供一般规则基础。电子商务领域内的“信息不对称效应达到了相当严重的程度”,交易相对人本身就居于信息弱势地位,加之跨境电子商务具有全球性、无形性、无纸化等特点,伴随而来的是跨境数据流动范围广,监管较为困难,容易侵害消费者个人信息权利。同时,这些数据对于跨境电商平台而言具有极大的利用价值,通过大数据统计可以更有针对性地进行平台改进,加强与国外其他企业的合作与交流。因此,跨境电商中的个人信息保护制度必须处理好个人信息保护与跨境电商经营者信息合理使用的矛盾,注重发挥跨境电商经营者内生机制的同时,不应过分增加其负担。考虑到跨境数据流动的需要,相关规则的构建需要注意与国际规则的协调与对接。


三、我国跨境电商中个人信息保护的制度体系构建与完善

(一)跨境电商中个人信息保护制度的必要性

随着经济全球化进程的不断加速,国内消费需求的增加,跨境电商发展愈加迅速,出现了包括亚马逊、天猫国际等在内的大量跨境电商平台。随着跨境电商业务的开展,数据跨境流动成为常态,对国家安全、行业安全以及个人隐私安全都产生了深刻影响。在“棱镜门事件”、Google面临爱尔兰数据保护机构DPC调查等数据安全事件频繁发生后,各国纷纷加强信息跨境流通安全立法。目前,世界主流国家和国际组织已经形成较为完备的数据跨境流动管理体系,尤以欧盟、美国、亚太经合组织为代表。

根据欧盟于2018年5月25日正式全面施行的《通用数据保护条例》(GDPR)第3条的规定,只要是为欧盟内的数据主体提供商品或服务,不论是否要求支付对价,都属于条例的调整范围。因此,我国只要从事对欧业务的跨境电商企业必然要受到该条例的调整与制约。欧盟在与境外国家建立跨境数据流动的双边或多边关系中一直坚守数据保护的充分性原则,依据并推行“白名单”制度。只有被欧盟委员会认定为满足“充分性”要求的国家或地区,欧盟成员国才可自由向该国家或地区的企业转移数据。我国目前的数据保护水平显然难以符合要求,尚未进入欧盟认定的“白名单”国家范围内。

对于我国这样不在“白名单”上的国家,数据控制者或处理者需要满足严格的条件才能与欧盟国家进行数据流通,这对我国跨境电商企业的合规能力提出了更高的要求。2218年5月25日《通用数据保护条例》(GDPR)生效当天,已有很多企业向欧洲地区用户更新隐私政策、请求重新授权,但不可否认的是还有许多拥有涉欧电商业务的企业尚未做好应对准备,可能会面临巨额罚款,并因此退出欧洲市场。国家统一个人信息保护制度的缺位、现有的个人信息保护法律规则体系的零散,给我国跨境电商平台经营者造成了极大负担,大大阻碍了跨境电商平台进军欧盟国家市场的步伐,妨碍了跨境贸易流通与经济发展,因此必须尽快完善我国跨境电商中个人信息保护的制度体系。

(二)完善我国跨境电商中个人信息保护应坚持的基本原则

1、坚持个人信息保护与商业利益维护平衡的原则。该原则强调践行保护与利用并重的理念,其内容可直接体现于两方面:一是明确个人信息的社会性或公共性。若仅仅关注个人信息的个人关联性,而忽视其社会性,可能会阻碍人类社会的进步与发展。个人信息大多数是个人社会活动与行为的结果,行为轨迹一旦被记录下来,则成为社会成员可以获取和利用的数据资源,法律应当将本人同意设定为获取该类信息的要件,否则不利于保护个人信赖和交易安全。因此,跨境电商中个人信息保护的制度设计须兼顾个人信息的社会性与公共性,并对不同类型的个人信息设置不同的保护规则。正如学者所言“不同类型的个人信息,社会公开性程度不同,与信息权利人私人生活和人格尊严的关联程度也有所差异”。二是鼓励跨境电商经营者对个人信息的合理使用。跨境电商平台获取个人信息并加以合理利用具有重要的意义,故在维护个人信息安全的前提下,“突破数据收集的初始目的而对数据加以充分利用”瑦是必要的。在利用过程中,应对一般的非敏感个人信息和敏感个人信息区别对待。对于前者,应视为个人默示同意收集,跨境电商经营者在收集时应尽到告知义务,告知的表现形式应当清晰、显著。对于后者,则可以要求跨境电商经营者在收集之前,须获得个人信息主体的明确授权。未来应从立法层面对数据保护相关标准予以明确和细化,其中最重要的是加强对敏感数据的保护、明晰相关责任,以便促使企业提升个人隐私保护意识和切实实施隐私保护行为。

2、坚持行政权力规制与跨境电商经营者自治平衡的原则。跨境电商中个人信息保护义务的实现需要依赖行政权力机关数据保护职责的明确与积极行使,同时须尊重跨境电商经营者的主体自治,二者协同发挥作用。商主体的营利性决定了其自身利益最大化追求的特性,完全依赖其自治实现对个人信息的保护并不现实。跨境电商的信息传输跨越了关境或边境,加剧了跨境电商经营者依靠其自身采取措施保护个人信息的困难,个人信息主体也很容易因为“点击同意”、难以举证、损失难以计算等原因而导致权利最终虚化。其他国家的实践表明,个人信息受到侵害时的一线维权人是数据监管机构,而非个人权利人。故立法中应明确权力机关对跨境电商保护个人信息的监管义务,同时明确行政机关未尽监管义务的责任,这些规定对于个人信息保护制度功能的实现尤为关键。在肯定行政权力机关监管的同时,须尊重跨境电商经营者的内部自治。所谓跨境电商经营者的内部自治,侧重于发挥跨境电商经营者自身对个人信息的保护作用。在数字经济时代,互联网领域极强的技术性以及跨境电商经营者多采用平台经营的特点,决定了跨境电商经营者的内部自治包括公司治理的数字时代变革与作为典型双边市场的平台治理规则的完善等内容。

3、坚持国内立法完善与国际规则借鉴平衡的原则。在完善我国个人信息保护立法与数据跨境流动规则构建的过程中,应注意把握国际上相关规则的变化趋势,吸收国际上先进的立法经验。在这一过程中,须把握两项重点内容:其一,兼采“充分性”原则与“问责制”原则两种跨境数据流动监管标准,构建我国个人信息跨境流动的法律规则。即在要求第三国提供充分保护要求的基础上,增加数据控制者与处理者采取适当保护措施的义务,实现两种标准并用。毕竟“单一路径的规制手段存在自身的不足”,只有立足于本国国情的基础上,兼采两种规制手段,吸收两类监管标准的精华,方能有助于实现个人信息跨境流动和个人信息安全保护间的平衡,维护良好的市场秩序。其二,修正传统的知情同意原则。在传统知情同意思维下,其本质上是“一种主体交往之时设定法律关系的前提与基础行为”,在个人信息利用过程理应遵守该原则。鉴于实践中诸多场景要素会影响数据处理的敏感程度,“社会习俗、法律责任、风险控制能力等规则遵循情况也在同步形塑着数据主体的隐私期待和对数据处理风险的容忍度”,因而在设计个人信息保护规则时应当考虑特定情形、主体期待等因素,协调不同主体间的关系。美国、欧盟的“场景与风险导向理念”正是对这一现实的回应,其改变了知情同意的传统思维,不再僵化地以获取当事人同意为标准,而是将是否符合用户的合理隐私期待作为个人信息是否合理使用的判断标准。上述改变既关注到了信息主体在具体场景中保的期待,也减轻了数据信息利用主体的合规负担,有利于促进个人信息的流通与创新利用。

(三)个人信息保护制度中对跨境电商场景的具体完善建议

由于缺少统一的个人信息保护法导致我国在国际跨境数据流动规则体系中处于相对劣势地位,且只能被动地采取措施应对高保护水准的要求。抛却学界将个人数据纳入隐私权保护还是将个人信息权作为一种单独的人格权加以规范的争论,我国应整合现行个人信息保护的有关法律规定,制定一部统一的个人信息保护一般法。同时,我们不仅应当关注统一个人信息保护法的立法,还应通过其他相关法律制度完善个人信息的体系化保护。为给予跨境电商的个人信息保护明确的制度支持,未来的统一个人信息保护法应规定下列制度:

1、清晰合理地界定个人信息的范围。越敏感的个人信息越具有特定性和与身份结合的紧密性,其作为数据资源的价值越小。个人信息权利均是随着信息社会的发展而出现的,与人格利益紧密相联。但由于不同文化与价值观的差异,难以界定统一的敏感信息标准。对此,可以借鉴我国台湾地区“个人资料保护法”的规定,以相关信息是否与个人核心隐私相关为标准,将敏感隐私信息限定在“医疗、基因、性生活、健康检查、犯罪记录、宗教信仰、通讯记录”等核心和关键隐私之内。我国立法应尊重包括跨境电商企业在内的企业大数据权,肯定其对收集的海量个人数据进行去身份化加工后拥有充分的权利,甚至包括进行以大数据为标的的交易。我国《网络安全法》第42条已对此作出明确规定,但由于技术上存在被再识别的可能,因此个人信息保护统一立法有必要明确禁止去身份化信息的再识别行为并明晰相关主体的责任。

2、规定明晰、可操作的跨境数据流动规则。《评估办法》第2条明确规定了所有网络运营者在境内运营中收集和产生的个人信息和重要数据,因业务需要确需向境外提供时,应当进行安全评估。同时,非网络运营者的其他个人与组织数据出境的安全评估工作参照本办法执行,意味着从事跨境电商业务的个人与组织均可能受到该办法的规制。这一规定扩大了应该进行安全评估的主体范围,有过分增加相关主体合规义务之嫌。理论与实务界也存在着是否应将规制主体限定在《网络安全法》第37条规定的“关键信息基础设施运营者”的争论。笔者认为,跨境电商平台经营者属于典型的网络运营者,但跨境电商业务属于典型的商事行为,应回归《网络安全法》与《国家安全法》的立法本意,将数据出境安全评估的范围限于“关键信息基础设施运营者”在我国境内收集和产生的事关“国家安全、国计民生、公共利益”的个人信息和重要数据,对《评估办》中规定的网络运营者做限缩解释。但是因为跨境电商中涉及个人信息的的跨境流动有影响国家安全的可能,故立法应规定跨境电商经营者负有自行判断是否需要进行安全评估的义务,同时应规定网信部门对于异常数据流动的监控与抽查义务,在发现跨境数据中含有个人的敏感信息或可能损害国家安全时,应追究跨境电商经营者的责任。

3、明晰跨境电商个人信息保护义务者的法律责任。我国个人信息保护的规则不可谓不全面,但是普遍无法落实的原因主要在于没有明确规定各类主体在个人信息保护方面的权利义务,法律责任不仅缺乏具体侵权依据,更无法量化认定其危害程度和危害结果。因此,在统一的个人信息保护法中规定信息保护义务承担者的严格且明晰的法律责任,在跨境电商法中规定跨境电商经营者的个人信息保护义务及具体责任,可将个人信息保护义务作为跨境电商经营者应承担的社会责任加以明确规定。

4、明确数据保护管理部门的法定职责。数据保护管理部门的独立存在及职责清晰不仅有助于境内个人信息的更好保护,更是增加参与国际规则制定的话语权所必须。截止2015年1月底,全世界已有89个国家和独立司法管辖区设立了数据保护当局(DPA)。在数字经济时代,个人数据经常要进行跨境传输,个人信息保护不是一国可以完成的,通常需要各国DPA之间的合作与协调。国际数据保护与隐私专员会议(IDPPCC)就是各国DPA沟通与对话的平台,经常就共同的问题进行探讨与合作。在我国一的个人信息保护法中也应明确规定数据保护管理部门的职责、地位、义务与责任,在现行制度体系中,网信部门最具有职责履行的便利性与专业性,由其作为独立的数据保护部门比较理想。


四、结论

跨境电商中的个人信息保护具有特殊性,因而须在一般意义上的个人信息保护与不当规制信息跨境流动可能导致的对公共秩序与国家安全的损害后果间寻求平衡点。跨境电商平台虽不属于关键信息基础设施,但也应比照适用相关规则,要求跨境电商经营者自行判断是否需要进行安全评估,并应当承担利用内控机制主动审查跨境流动的信息的义务、在信息可能泄露时采取必要的补救措施并向信息保护主管部门报告的义务。同时,跨境电商经营者在履行信息保护义务时,应考虑信息的公共性,对个人信息进行分类区别对待。对何种信息进行严格保护,除了考虑敏感与否的因素外,还应借鉴美国《消费者隐私权利保护法案(草案)》与欧盟《通用数据保护条例》的内容,结合场景与风险因素,尊重企业的数据权利。


原载于《法学杂志》2021年第2期,仅作学习交流之用


返回上一级

400-622-8990