前言
2021年8月20日,十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”),将于2021年11月1日起施行,弥补了我国在个人信息保护上长期只存在分散化法律规定的立法缺位问题,作为个人信息保护领域的基础性法律,构建了一套清晰、系统的个人信息跨境流动规则。
跨境个人信息保护规则
《个人信息保护法》在第三章中,对个人信息跨境保护提供的规则做出如下规定:
其一,明确以向境内自然人提供产品或者服务为目的,或者分析、评估境内自然人的行为等,在我国境外处理境内自然人个人信息的活动适用本法,并要求符合上述情形的境外个人信息处理者在我国境内设立专门机构或者指定代表,负责个人信息保护相关事务;
其二,明确向境外提供个人信息的途径,包括通过国家网信部门组织的安全评估、经专业机构认证、订立标准合同、按照我国缔结或参加的国际条约和协定等;
其三,要求个人信息处理者采取必要措施保障境外接收方的处理活动达到本法规定的保护标准;
其四,对跨境提供个人信息的“告知-同意”作出更严格的要求,切实保障个人的知情权、决定权等权利;
其五,为维护国家主权、安全和发展利益,对跨境提供个人信息的安全评估、向境外司法或执法机构提供个人信息、限制跨境提供个人信息的措施、对外国歧视性措施的反制等作了规定。
我国跨境个人信息保护现状
就我国当前跨境电子商务个人信息保护而言,因我国跨境个人信息保护制度仍有不完善之处,各个国家之间对个人信息保护的国内立法的保护程度及对个人信息跨境流动的保护程度均存在较大差异,且跨境个人信息流动涉及到多个国家之间的法律,存在多重管辖权等问题,导致在实际跨境个人信息流动中存在诸多困难,个人信息跨境侵权现象严重,且在国际监管上也存在较大难度。
(1)管辖权规则的适用
《个人信息保护法》第三条确立了我国的个人信息保护管辖原则:“境内属地+境外属人”。即境内由“个人信息处理行为”作为连接点,境外由“面向处理境内自然人信息”作为连接点。此原则无疑是为了充分保障本法目的得以实现的深度考量,但在面向实务中的具体问题时还需进一步探讨适用细则。
(2)跨境制度待完善
在《个人信息保护法》第三章“个人信息跨境提供的规则”中,目前仍存在一些制度缺口,有关部门应进一步完善相关法律、行政法规和国家网信部门规定。例如:建立的分类分级制的个人信息跨境传输规则第四十条中,关于“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者”,国家网信部门及相关部门、行业应尽快出台相应文件进一步明确:“信息基础设施运营者”的概念、“个人信息处理者”处理具体信息的数量标准、个人信息性质分级要求、具体的出境安全评估办法等问题。
(3)缺乏双多边对接机制
我国《个人信息保护法》第三十八条对于跨境个人信息保护的法律位阶作出规定:国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。当前我国在跨境个人信息保护方面,仍缺乏相应双多边规则对接机制以保障跨境个人信息保护的落实,仍需要依据具体情况完善我国与各国之间的国际条约、协定,通过签订双、多边条约等形式,进一步完善跨境个人信息保护的规则对接机制。
(4)缺乏跨境个人信息合作监管法律机制
目前还没有国际上统一、全球可执行的个人信息保护规则,实际可执行的相关国际协定也很少,且这些协定大多是与贸易有关的协定。而即使各国家、国际组织之间存在已构建的个人信息保护双多边规则对接机制,仍不足以保障跨境个人信息保护的实际落实、执法、监督,且实际执行仍然取决于成员国之间变化无常的关系和政治环境 ,各国家之间的规则缺乏相应的双跨境个人信息合作监管法律机制。
完善我国跨境个人信息保护法律制度
(1)细化管辖权规则
对于管辖权规则,需要进一步完善,例如境外服务提供者是直接适用《个人信息保护法》第三条受到该法律的全部约束还是适用第三十八条仅受到出境规则的部分约束。在实践中还会存在一系列关于管辖权的问题,建议通过司法解释等方式,进一步明确跨境个人信息保护中的管辖权规则,以保障个人信息跨境保护在实践过程中的可操作性。
(2)完善跨境个人信息保护规则
当前的《个人信息保护法》目前在跨境个人信息保护的分级制度方面仍存在一些制度缺口,需要建立有效的分级分类标准,根据个人信息的重要性、时效性、涉及的领域等多个方面进行考量分类,并通过对不同类型、不同级别的个人信息采取不同的监管手段,从而有效的处理个人信息保护和利用的平衡关系,以切实可执行的方式对个人信息侵权进行监管,以保障跨境个人信息制度的可执行性。
故有关部门应进一步完善相关法律、行政法规和国家网信部门规定以完善我国跨境个人信息保护法律制度。国家网信部门及相关部门、行业应尽快出台相应文件进一步明确:“信息基础设施运营者”的概念、“个人信息处理者”处理具体信息的数量标准、个人信息性质分级要求、具体的出境安全评估办法等问题。
(3)签订跨境个人信息保护双多边条约
各国家、国际组织的法律法规都是依据各自的实际情况,结合国情以及历史文化量身定制,大体相同的法律框架下监管思路和运行机制各异。单独制定个人信息保护立法不足以解决跨境个人信息保护的问题,急需我国与各国达成统一的共识。依据《个人信息保护法》规定的国际条约、协定优先原则,我国应因地制宜,主动与各个国家开展数据保护的双多边合作,依据各国对个人信息保护的水平和监管要求,结合相关政治经济因素,就个人信息保护沟通各自的诉求和关切点,通过协商一致的方式达成对跨境个人信息保护的共识。
(4)建立跨境个人信息合作监管法律机制
中国应积极主动与其它国家开展双多边的跨境个人信息保护专项合作监管法律机制,约定定期通报各自落实、执法、监督等的情况和进展,定期回应各自关于跨境个人信息保护的诉求,尽力防范潜在的风险,对于跨境电商中的个人信息的侵权情况等进行联合监管治理,尽可能地在更大范围内安全有序地实现跨境个人信息流动。
结语
在这个信息全球化时代,关于跨境电子商务个人信息保护规则的完善应考虑两方面因素:一方面,我国应该结合实际情况积极完善跨境个人信息保护制度,另一方面,应通过签订跨境个人信息保护双多边条约的方式积极与他国、区域间建立个人信息跨境保护规则,并建立相应的跨境个人信息合作监管法律机制。只有双管齐下,才能真正最终促成个人信息在国际上的互联互通,为跨境电子商务的发展提供良好的环境。跨境电商也应在“走出去”的同时做好跨境个人信息保护衔接,充分理解不同个人信息保护规则的基础上落实相应规则,确保自身在跨境数字贸易中的竞争力。
文/民事代理业务二部 朱宏勇 朱嘉任
