大数据流动背景下个人信息保护法律制度的挑战与对策

引言 在个人信息的跨境流动是大数据时代必然选择的背景下，个人信息保护法律制度面临着诸多挑战，主要包括数据流动利益与个人信息保护利益的冲突难以平衡、技术发展背景下传统法律框架对于个人信息保护的调整滞后以及跨境数据流动背景下数据传输规则不统一产生的问题日益凸显。本文首先比较分析了欧盟、美国及日本等国的个人信息保护立法模式，而后从民事、刑事、行政以及其他法律制度这几个方面分析了我国个人信息保护法律制度的现况，强调了我国的综合性专门立法。针对我国个人信息保护的现状，本文提出了构建开放安全的数据流通体系、区分普通信息和敏感信息、加大个人信息保护的行业自律、加快与数据跨境传输国际规则的衔接等对策与建议，对我国个人信息保护法律制度的完善具有重要意义。内容摘要

在大数据时代背景下，个人信息的跨境流动是必然选择。与此同时也产生了数据流动利益与个人信息保护利益之间冲突难以平衡、传统法律框架对于个人信息保护的调整滞后、数据传输规则不统一等一系列挑战。比较法上，各国关于数据跨境流动的规则亦不尽相同。应当以《个人信息保护法》的制定为契机，通过区分普通信息和敏感信息，以加大个人信息保护的行业自律为手段，构建开放安全的数据流通体系，使之与国际数据跨境规则衔接。

关键词

数字经济 个人信息保护法 数据跨境流动 隐私权 数据权益

第十三届全国人民代表大会第四次会议审议通过的《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》明确提出加快数字化发展，并对此作出了系统部署。数据被誉为“21世纪的石油”，是推动数字化发展的关键要素。当前全球数据量正在迅速增长，平均每40个月就会翻一倍，国际数据公司于2017年发布的《数字时代：2025》预计2025年将增加至175泽字节（ZB, Zettabyte），即1750亿兆字节（TB, Terabyte, 1TB=1024GB），数据量的年复合增长率为61%。各国在享受大数据流动共享、深度开发利用所带来便利的同时，也相继在立法层面建立数据资源的产权界定、市场监管、消费者权益保护、隐私保护、公平竞争、安全保障、跨境传输等方面基础性法律规则，对数据流动予以规范。本文梳理了欧盟、美国和日本三类不同的数据立法模式，探求不同立法模式背后平衡数据流动和个人信息保护的价值取向，以比较法分析为视角，指出差异化的法律制度在大数据流动和科技发展背景下面临的不同挑战，并结合我国已经实施的民法典、消费者权益保护法以及正在立法过程中的个人信息保护法提出对策预判。本文认为，个人信息保护立法不宜过度借鉴欧盟模式强调个人在数据全生命周期中的数据控制权，而应当着眼于保护实效，解决当前较为紧迫的敏感信息、重点领域信息的保护，以公平信息实践原则为基础确定数据收集、处理和使用者的义务，加快与跨境数据流动国际规则的衔接，通过推进数字治理法治化，为企业和个人更多参与分享数据信息创造良好安全的环境，减少数据流动成本，促进数字经济、数字政府、数字社会的蓬勃发展。

一、域外主要个人信息保护立法模式的比较分析（一）欧盟模式

欧洲国家因有二战时期纳粹集团战争机器的历史阴影，十分注重公民基本权利的保障。1950年颁布的《欧洲人权公约》第8条规定：“任何人享有私人、家庭生活及其住宅被尊重的权利。”20世纪70年代的欧洲处于自动化信息处理技术高度发展和福利国家职能发展的时期，公民对国家以福利为由采集、处理个人信息的潜在风险普遍持警惕态度。在这一时代背景下，最初的个人信息保护立法几乎都是以规范国家行为作为立法宗旨的。1970年的德国《黑森州资料保护法》被誉为全球第一部以“资料保护法”命名的法律。在1983年德国联邦宪法法院作出的“人口普查案”判决中，因德国《联邦人口调查法》要求公民提供基本的个人信息，填写详细表格，包括收入来源、职业、教育背景、交通方式等事项，并授权将统计数据移交给地方政府，100多位德国公民提起宪法诉讼。法院认为，《德国基本法》第1条第1款规定的人性尊严条款以及第2条第1款的一般人格权条款表明，基于自主决定理念的个体尊严和自由包括信息自决权，即个人必须被保护免受个人数据的无限收集、储存、使用和传递。该案不仅将信息自决权即个人对信息的权利作为基本人权来保护，而且阐述了政府对个人信息自决权予以限制时应当合宪，包括符合目的性原则、比例原则、法律明确授权原则。该案开启了欧盟国家以个体控制数据为基础的权利型立法理念。1980年，欧洲议会制定了《关于自动化处理个人数据的个人保护公约》（Convention for the Protection of Individuals with regard to the Automatic Processing of Personal Data），规定个人对于数据处理的知情权，查看、纠正及删除权以及获得救济的权利。1990年，德国颁布《联邦个人数据保护法》，规定个人在数据收集、处理和利用等过程中享有完整的信息自决权，包括个人信息知情权、个人信息更正权、个人信息删除权等。1995年欧洲议会制定的《关于个人数据处理和自由流动的个人保护指令》进一步丰富和反映了公平信息准则，具体包括：（1）目的限定原则；（2）数据质量与比例原则；（3）透明性原则；（4）安全性原则；（5）可访问性、更正与异议原则；（6）向他方转移的限制原则；（7）敏感信息特殊保护原则；（8）自动化处理时个人的知情原则。这些内容的拓展使得个人信息自决权成为多面向、多维度的体系化的权利整体。该保护指令出台后，欧盟各成员国相继颁布了各自的个人信息保护法。但各成员国将指令转化为国内立法时存在不同的解释和选择，增加了欧盟个人信息保护法律制度的复杂性、不确定性。

2018年5月，欧盟各成员国正式实施《通用数据保护条例》（GDPR），以人格权为立法逻辑起点，在个人信息保护领域实施标准化、一体化的立法和执法措施。GDPR第4条将个人数据定义为“指任何指向一个已识别确定或可辨识（identifiable）的自然人（数据主体）的信息。该可识别的自然人是指，任何可以通过姓名、身份证号码、定位数据、在线身份识别这类标识，或者利用外观特征、生理特征、基因、心理、经济、文化、社会身份中的一个或多个因素，以直接或间接地识别特定自然人”。GDPR大幅提升了对数据主体的保护水平，以专章规定了数据主体权利，包括信息透明度和信息机制、数据访问权、数据主体的修正权和删除权即“被遗忘权”、限制处理权、反对权、拒绝权和自主决定权、知晓黑客入侵权等，并规定数据主体可以请求违反义务的主体承担损害赔偿责任以及精神损害赔偿。GDPR还规定了数据处理者以及合作方的连带责任，建立了个人信息权利保护的公益诉讼制度，规定数据主体为了自身利益，有权委托非营利组织行使救济权利，以及行使成员国法律所规定的与赔偿权相关的权利。此外，GDPR规定的域外适用条款以及专章规定的基于个人数据向第三国或者国际组织的传输，也对各国的数据立法产生深远影响。

GDPR通过体系化立法的方式，对处于弱势地位的个人以高水平的保护，反对政府、企业和机构滥用个人信息，维护个体的价值和尊严。在推进这一目标实现的同时，欧盟也企图通过争夺数据规则制定的主动权，克服互联网用户基数少、数字经济市场所占份额低、科技创新速度慢的瓶颈，实现一站式执法，以标准化的一致机制促进成员国之间的合作和协助，推动欧盟单一数字市场建设。2020年12月15日，欧盟公布了《数字服务法》（Digital Services Act）和《数字市场法》（Digital Markets Act）的草案，前者旨在加强对数字平台企业的治理，保护用户权益，从规制非法内容管理、广告推送、在线商品交易等角度，构建安全的网络空间，要求在线平台限制非法信息的传播，在合理范围内核查商家提供的信息，向用户推送广告时确保用户充分的知情权。对于在欧盟境内有4500万以上用户（约占欧盟人口的10%）的特大型平台，法案规定了更严格的责任，旨在遏制大型平台企业的垄断，创造公平竞争环境监管。两部法律对于企业违规的最高处罚金额分别达到全球年营业额的6%和10%，如法案生效，将大幅增加大型科技平台企业的合规负担，但对豁免适用的中小企业则可能会争取到竞争与发展空间。

（二）美国模式

与欧盟将个人信息受保护权利视为一种基本权利进行体系化保护的立法思路不同，美国采取对政府权力的一般限制、市场自我规制和特定行业、敏感信息重点保护的立法思路，呈现出分散式、回应式立法的特点。1973年美国健康教育和福利部（Department of Health, Education, and Welfare, HEW）形成了《存储、计算机和公民权利》的HEW报告，首次指出美国法律在个人信息自动化处理背景下存在对个人隐私保护不足的问题，建议成立联邦公平信息实践准则。该报告推动了1974年联邦《隐私法》（Privacy Act）的出台，并成立自动化个人数据机制建议委员会（Advisory Committee on Automated Personal Data System），提出了处理个人数据的公平信息实践准则（Fair Information Practice Principle）：一是通知/知情原则（Notice/Awareness Principle），要求相关机构在收集数据前给个人以清晰的通知，使其知晓信息的使用情况。二是选择/同意原则（Choice/Consent Principle），要求相关机构对个人信息的二次使用须给予个人表达同意与否的机会。三是访问/参与原则（Access/Participation Principle），规定相关机构应保障个人能够了解个人的数据并确认数据的准确性和完整性。四是可靠/安全原则（Integrity/Security Principle），要求创建、维护、使用或传播可识别个人信息的数据必须可靠，并且采取合理措施使数据处于安全环境中。五是执行/救济原则（Enforcement/Redress Principle），要求对于违反原则的行为提供救济渠道和执行措施以防止信息的滥用。1977年，美国政府设立的隐私保护研究委员会（Privacy Protection Study Commission）进一步扩展公平信息实践准则。

在特定行业和敏感信息立法方面，《金融服务现代化法》的规制对象是金融机构；《家庭教育权利与隐私法》的规制对象是公共机构；《健康保险可携带性和责任法案》的规制对象是医疗保健提供方、提供或支付医疗费用的实体、医疗信息交换主体、商业伙伴等实体；《儿童在线隐私保护法》的规制对象是在线收集儿童信息的网站等主体；《驾驶者隐私保护法》规制行政机关、代理机构泄露、销售驾驶者信息。1998年，因罗伯特·博克被提名最高法院法官人选过程中，其收视喜好信息被媒体获取，引发社会争议，又出台了《视频隐私保护法》。在各州层面，不少州出台法律对于侵犯隐私的行为给予近似于侵权法的保护。2020年1月1日，美国加利福尼亚州《消费者隐私法》生效，其保护的消费者涵盖所有的加州居民，无论居民与企业关系如何、在线上或线下被收集个人信息，受管辖的企业范围限定在年收入超过2500万美元，或者为商业目的而年均收集、购买、出售或分享超过5万个消费者、家庭或设备个人信息的企业，即不适用于小微企业和一般自然人的信息收集与处理活动。该法赋予消费者信息披露请求权、信息删除请求权、禁止企业出售个人信息的权利、赔偿诉讼请求权等，被称为美国最严厉的隐私保护立法。2020年2月至3月，加州总检察长两次发布根据《消费者隐私法》制定的实施细则征求意见稿，拟对如何认定个人信息作出指引，个人信息的认定取决于企业是否以识别、关联、描述的方式维护信息，或可以直接或间接与特定的消费者、家庭合理关联起来，并增加了出售未成年人个人信息的隐私政策要求，减轻不直接收集消费者个人信息也不出售信息企业的通知负担等。

（三）日本模式

日本的个人信息保护立法突破了传统公法与私法的界限，定位于社会法范畴，以2003年通过的《个人信息保护法》为基本法，针对行政机关、独立行政法人、地方公共团体等分别制定了《行政机关个人信息保护法》《独立行政法人等个人信息保护法》以及以地方公共团体条例为配套的法律法规。2013年6月，日本东铁公司将约4300万张SuicaIC卡的乘客信息经过一定的匿名处理后，销售给日立公司，由于未通知并经乘客同意，收到大量投诉，东铁公司予以致歉并停止销售。该事件推动了日本《个人信息保护法》于2016年12月的修改，主要内容包括：一是个人信息的范围更加清晰，明确姓名、地址、出生年月、人脸识别、指纹、护照号码、驾驶执照号码、身份证号码等均属于个人信息；增加了敏感信息的概念，有关种族、宗教信仰、医疗历史以及可能带来不当歧视或偏见的信息属于敏感信息，获取时需要事先取得用户同意。二是增加了个人信息保护委员会章节，明确委员会是综合性的独立监督个人信息保护的有权机构，有权为防止个人信息的不当使用而追索个人信息的提供与接收情况，并规定了委员会的设置、任务、职权行使、保密义务、规则制定等。三是加重企业责任，规定在发生信息泄露事件时，企业有义务向个人信息保护委员会和本人报告。四是增加非法提供信息数据库罪，对从事个人信息处理业务或相关数据库业务的法人，包括高管人员、管理人员等，为自己或第三人谋求不正当利益，提供或盗用个人信息时的刑事责任。五是规定了《个人信息保护法》的域外适用条款。

2020年6月，日本再次修改了《个人信息保护法》，增加了处理假名个人信息（Pseudonymously Processed Information）业务的运营商的义务、第三方使用个人信用信息的限制、禁止运营商不当利用的一般条款，加强了运营商对泄露事件的报告义务，明确了个人请求运营商停止使用个人信息的权利等，并扩大了个人信息保护委员会的职权。该修改后的法案将在颁布之日起不超过两年的时间内实施。

二、我国个人信息保护法律制度现况

我国作为互联网行业发展大国，面临个人信息保护与促进数据流动、共享与利用这两大法律价值的平衡与协调。就我国目前个人信息保护法律制度框架来看，采取了多元综合治理保护的立法模式，但内容相对较为分散。

（一）民事法律制度保护

2013年修正的《消费者权益保护法》50条规定了消费者“享有个人信息依法得到保护的权利”，这是我国法律首次从民事权利角度对个人信息作出的规定。2017年3月15日发布的《民法总则》特别规定了个人信息的保护，于111条规定：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”2021年1月1日《民法典》实施后，取代《民法总则》的是以第六章专章规定隐私权和个人信息保护，成为我国立法别具特色的亮眼之处。具体内容为：一是明确通过“可识别性”界定个人信息，即个人信息是以电子或者其他方式记录的能够单独或者能与其他信息结合从而识别特定自然人的各种信息，包括自然人姓名、出生日期、身份证件号码、生物识别信息、电子邮件、电话号码、健康信息、行踪信息等（第1034条第2款）。二是予以综合保护。个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定（第1034条第3款）。三是确立处理个人信息须遵循合法、正当、必要原则，将自然人知情同意作为合法收集和处理的合法性前提（第1035条），且该条对于个人信息处理的基本原则，较三审稿增加了“不得过度处理”。四是建立了个人信息主体的查阅、复制、更正和删除权（第1037条）。五是明确了信息处理者的信息安全保障义务（第1038条）。此外，《民法典》还对处理个人信息的免责事由、国家机关和承担行政职能的法定机构及其工作人员的保密义务等作出了规定。可以说，《民法典》对个人信息保护的规定基本体现了公平信息实践准则的内容，如知情同意原则、收集和使用的目的限定性原则、安全保障原则、个人参与原则等，但以回应当前互联网社会实践亟须解决的问题为主，和经济合作与发展组织的《隐私保护与个人数据跨境流通指南》规定的八项原则、亚太经济合作组织制定的《APEC隐私框架》规定的信息隐私九项原则相比，尚缺乏系统性和完整性。

（二）刑事法律制度保护

《刑法》修正案（九）286条规定：“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：（一）致使违法信息大量传播的；（二）致使用户信息泄露，造成严重后果的；（三）致使刑事案件证据灭失，情节严重的；（四）有其他严重情节的。单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。”

（三）行政法律制度保护

2012年12月28日，全国人民代表大会常务委员会颁布了《关于加强网络信息保护的决定》，2条规定，网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当遵守合法、正当、必要的原则。2013年7月16日，工信部《电信和互联网用户个人信息保护规定》，强调电信业务经营者、互联网信息服务提供者在收集数据时必须遵守“知情同意原则”，强化了有关机构的数据安全保障义务，并明确了相应的责任形态。2017年6月1日施行的《网络安全法》41条，对个人信息的收集、存储、保管和使用进行了全面规范。

（四）其他法律制度的特别规定

2019年8月，国家互联网信息办公室出台《儿童个人信息网络保护规定》，对未成年人采取高于普通人群个人信息保护标准作出专门规定。新修订的《未成年人保护法》72条规定：“信息处理者通过网络处理未成年人个人信息的，应当遵循合法、正当和必要的原则。处理不满十四周岁未成年人个人信息的，应当征得未成年人的父母或者其他监护人同意，但法律、行政法规另有规定的除外。未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的，信息处理者应当及时采取措施予以更正、删除，但法律、行政法规另有规定的除外。”第73条规定：“网络服务提供者发现未成年人通过网络发布私密信息的，应当及时提示，并采取必要的保护措施。”此外，我国在《护照法》《身份证法》《档案法》也都有个人信息保护的规定。

（五）综合性的专门立法

2020年10月13日，《个人信息保护法》草案提请十三届全国人大常委会第二十二次会议审议。草案共八章七十条，对适用范围、个人信息处理规则、跨境传输、个人信息主体在处理活动中的权利、个人信息处理者的义务、监管部门以及罚则作出了全方位的规定，针对个人信息被随意收集、违法获取、过度使用等社会公众高度关注的问题，对个人信息提供了更加强有力的法律保障，并兼顾当前社会对于数据流动与鼓励创新的需要。相较于《网络安全法》中“网络运营者”概念的不确定性，草案规定适用于所有公司在运营中以线上或线下方式处理的消费者用户个人信息、员工个人信息、供应商或者客户代表的信息。该法正式出台后，将成为我国个人信息保护领域第一部综合性法律。2020年7月，《数据安全法》（草案）也向社会公开征求意见，确立数据分级分类管理及风险评估、监测预警和应急处置等数据安全管理各项基本制度，个人的数据安全保护义务，落实数据安全保护责任，明确采取维护数据安全和促进数据开放利用并重的原则。

三、大数据流动背景下个人信息保护法律制度面临的挑战（一）数据流动利益与个人信息保护利益的冲突难以平衡

主流观点均已意识到个人数据之所以具有人格利益和经济价值，在于数据所包含的个人信息。在数据加速流动的时代，大数据汇集了海量个人信息，用户信息和数据的融合能够形成“化学反应”，产生对用户行为模式的可预测性，并且这种预测概率会随着算法的更新迭代以及信息的融合聚集而越发精准，从而能够减少因信息不对称而产生的社会信任成本和协商成本。越是大型、复杂的社会，个人信息流动所具有减少交易障碍、发现商机、促进协商合作的经济价值就越是凸显。从经济效用层面，应当激励数据和信息的分享和传播，使数据生产的信息配置到更加能够被有效利用的地方，便于形成更有效率的生产和生活，使得公众生活、政府施政、社会治理更加智慧和高效。

各国对于加强个人信息保护并无争议，但是对于个人信息的分类，个人信息权利类型，数据的收集、处理和使用原则等基本问题，有的问题共识度高，有的问题则存在很大争议。例如，各国对于受保护的个人信息，基本达成共识，即将可识别性作为个人信息判定的依据。但对于不能直接识别但可以间接识别的个人信息是否纳入受保护的个人信息，各国则存在分歧。再如，个人的知情权、选择权、访问权和更正权，此类个人的信息权利在绝大部分国家和地区的个人信息保护法中都得到了认可，对于被遗忘权、数据携带权、反对用户画像和个性化推荐权等新型个人信息权利，则存在很大争议。比较欧美立法模式不难看出，两者分别代表着消极限制和积极利用两种立法规制思路。欧盟对个人信息的保护比较保守，以人格保护为重点，强调信息主体对个人信息的控制，但即使欧盟GDPR强化数据主体的权利，也没有个人对数据的权利赋权为财产权；而美国在制定法方面非常谨慎，除1974年主要针对政府行为的《隐私法》外，更关注个人数据的经济特性，在监管上采取行业自律的模式，按照重点领域对信用信息、电子通信、金融服务、卫生健康四个领域以及针对儿童等特殊人群予以立法保护，没有综合性立法就个人信息保护进行规制，其保护的理论基础就是公平信息实践准则。如何平衡数据流动和个人信息保护两者利益之间的平衡，不仅涉及法律传统文化、法律资源分配、成本收益和风险预防等方面的考虑，也涉及国家数据规则制定权和产业发展利益的争夺。

（二）技术发展背景下传统法律框架对于个人信息保护的调整滞后

正如学者指出的，个人信息保护的独特性表现为三个方面：一是具有明显的外部性。合理的个人信息保护具有正外部性，实现各方共赢；而隔绝个人信息则会产生负外部性，妨碍信息主体与信息收集者和处理者的合作，妨碍国家、社会与市场对数据的合理使用。二是具有持续性。信息处理和个人之间关系不是一次性的，而是持续互动的。三是个人信息的采集、处理和使用具有不平等性。在上述三项特征中，不平等性特征最为突出。大数据技术使个人变得越来越透明，而数据的控制者和行使者却变得越来越隐秘。例如在2016年，美国阿肯色州发生的一宗谋杀案中，警方发现犯罪嫌疑人使用亚马逊智能家居产品EchoDot，警方要求亚马逊交出相关资料，而亚马逊设备录制的各类个人指令信息主要存储在云端服务商，并非储存于EchoDot设备本身。该案反映出极少有消费者会认真阅读涉及个人信息保护的收集、存储、使用协议，“点击/勾选”按钮的告知与同意条款几乎形同虚设。另一方面，消费者对个人信息的价值以及嗣后可能发生的风险无法准确预见，故其通常选择填写信息以换取微小优惠。有调查显示，90%的谷歌用户知晓谷歌数据收集用于商业模型，71%的受访者均认为不愿意被追踪，但2017年谷歌Alphabet公司收入1110亿美元，如果采取向用户收取搜索服务费预计仅能收取1500万美元，即消费者为搜索服务愿意支付的对价远低于广告商针对数据置放广告的对价，消费者使用搜索服务的一部分对价实际是以提供个人信息为隐含对价的。

由于传统合同法、侵权法等旨在调整平等主体之间的民事关系，重视意思自治、平等协商、过错归责等原则。而在个人信息保护领域，由于技术的高度复杂性，使得用户处于持续性的弱势地位，这也是各国在个人信息保护立法上采取类似劳动法、消费者权益保护法等赋予弱势群体权利的方式予以矫正的原因。然而，科技发展使得大数据集合体内部通过简单的交叉检验，即可令信息匿名化处理技术不再奏效。另一方面，信息匿名化处理技术在迅速发展的智能家居时代可能面临尴尬的局面。例如亚马逊EchoDot和谷歌的Alexa都是能够识别声音指令并进行各项智能操作包括控制家居产品运行的设备，为达到家居产品的智能体验，用户的音频指令数据需要在不同家居设备供应商之间流动，而对信息做匿名化的不可溯源处理后将可能难以实现数据之间的有效流动，且亚马逊和谷歌作为主控制设备供应商难以保证收取指令的其他设备供应商不违反隐私保护。因此，有观点认为设备供应商更应当注重的是信息安全风险，即保护不被个人信息未经授权使用、监控以及不受黑客攻击，将个人信息保护范围交给市场竞争机制去处理。

此外，在现行的数据商业化利用模式下，网络运营服务商投入大量人力、物力和金钱收集网络行为数据去创建数据库，但目前大部分国家对于数据库权利并没有进行立法，而是通过传统的著作权法或合同法来保护。但数据库很可能因为不具有原创性而不能受到著作权法的保护，而合同法又只能约束签署合同的相对人。为此，欧盟于1996年发布了数据库指令（96/9/EC），创建了新型的自成一体的权利（Sui Generis Right），为数据库生产者提供保护，对于他人提取或再利用数据库的内容设置一定的限制。

（三）跨境数据流动背景下数据传输规则不统一产生的问题日益凸显

网络空间是一个庞大的生态且具备自身的独特性，数据的巨量流动使得一国自身的立法、司法以及行政执法难以很好地解决数据流动中产生的个人数据自决、信息自由、隐私保护、数据安全、公共利益之间的平衡问题，需要有统一的国际规则加以协调。但在涉及跨境数据传输时，各国出于数字主权、公共安全、经济利益等考虑，都试图采取双重标准，一方面尽可能扩大国内立法的域外适用范围，获取他国的数据；另一方面又尽可能避免本国的数据外流，纷纷根据世贸组织框架下的《服务贸易总协定》（GATS）之隐私例外条款限制跨境数据传输，由此形成了以美国为代表的宽松型立法、以欧盟为代表的严格型立法、以俄罗斯为代表的本地存取型立法以及以澳大利亚为代表的折中型立法。由于各国关于跨境数据传输的立法理念、适用范围、监管架构、规范途径有较大差异，产生数据跨境交互操作的复杂性、法律冲突和数据交易秩序的不确定性。

当前，全球性的跨境数据传输统一规则尚未形成，1980年经济合作与发展组织（OECD）的《关于隐私保护和个人跨境数据流动指南》，确定了数据保护的最低标准，第3部分规定在数据跨境传输问题上，成员国应当避免以隐私保护和个人自由为名出台立法或政策限制数据的自由流动，但在成员国认为其他成员国未对数据采取同等保护的特殊情况下除外。因此，通过对目的国数据保护水平进行评估即“充分性”（Adequacy）测试后，实行数据跨境传输的“白名单”制度（White List），正在逐渐成为各国双边协商数据跨境传输的基础。值得关注的是，2019年1月23日，日本个人信息保护委员会与欧洲委员会司法、消费者与性别平等委员会宣布了相互认可充分性保护水平（Mutual Adequacy）的联合声明，此系首个不需要额外的数据跨境流动机制即可实现两国之间数据相互平稳传输的框架。迪拜国际金融中心根据该双边声明，将日本纳入白名单，但不适用于日本传输欧盟数据涉及迪拜居民的情形。自2015年以来，欧盟还与韩国也开展了类似磋商。目前，关于跨境数据传输的国际谈判还包括《跨大西洋贸易与投资合作伙伴关系协议》（TTIP）和《服务贸易协议》（TISA）等。联合国贸法会第四工作组电子商务工作组目前正在进行数字经济探索项目，围绕新兴技术应用和跨境数据流动产生的法律问题展开研究，提出了数据交易各方权利、使用分布式账本技术的资产标记化、在线争议解决中技术的运用等前沿问题。

我国《网络安全法》37条对跨境数据传输采取了有限和安全评估方案，规定网络运营商因业务需要，确需向境外提供个人信息的，必须申请国家网信部门的安全评估，但《网络安全法》没有区分基因数据、医疗数据、生物数据等敏感数据的专门保护。由于该条没有规定安全评估标准，存在一定的不确定性和不可预见性，因此也会影响他国对我国的数据充分性保护水平评价，数据出入境在一定程度上受到限制。随着中国互联网平台海外业务拓展、跨境电子交易和网络支付的蓬勃发展，我国数据跨境传输规则与国际规则的协调是未来迫切需要解决的问题。

四、对策与建议

第一，构建开放、安全的数据流通体系。随着我国数字经济、数字社会、数字政府的交融发展，互联网整合线上线下资源，推进数字产业化和产业化数字，个人信息的收集、处理和使用必然更为广泛。在互联网模式下，大数据的价值并不在于某个个体的独特信息，而在于大批量具有共同特点的个人信息所反映出的某种共性。创建严格的个人信息保护制度并不是禁止利用个人信息，而是创造安全的信息环境，增强消费者参与数字经济的信心，使个人更倾向于允许他人出于公共利益目的使用其私人数据，改善政策制定和公共服务，使数据驱动创新真正给国家、社会与公民带来巨大利益。在个人敏感信息进行匿名化、假名化处理后的数据，具有较强的公共属性，原则上运营商不再需要经过本人同意，可以与第三人进行交易、共享，即以促进自由流通为原则，以特殊保护为例外。

第二，区分普通信息和敏感信息。《个人信息保护法》草案已经区别普通信息和敏感信息的保护。为避免大规模数据处理对个人的权益及自主性造成损害，有学者提出，可以借鉴网络著作权治理领域的“选择排除规则”（opt-out）”，即用户享有简单明确、实际可行的拒绝网络运营商获取和使用网络行为数据的途径。日本《次世代医疗基础法》允许认定制作者使用选择排除方式获得医疗信息。即默认患者只要没有表示拒绝即为同意提供医疗数据，以提升医疗信息匿名加工处理的效率。此外，“隐私标识”（privacy mark）认证也是区分普通信息和敏感信息值得借鉴的经验。

第三，加大个人信息保护的行业自律。在市场竞争机制下，除了企业自身的合规审查，倡导行业自律也有助于创造有序的产业环境。目前，在云服务领域已经兴起了云服务等级协议。美国的非营利性网络隐私认证机构TRUSTe、BBBonline（BetterBusinessBureausonline）实行网络隐私认证计划，对企业的隐私保护随时进行测评。我国应当加强对隐私认证机构的建设，形成隐私保护等级和认证体系，鼓励互联网平台企业就信息保护水平和范围展开竞争，根据消费者对个人信息保护的重视程度，选择提供符合其偏好的互联网平台。

第四，加快与数据跨境传输国际规则的衔接。从各国白名单制度的评价体系来看，较为共性的要求为：（1）法律法规对于个人信息保护有相应的立法规范；（2）明确商业运营商处理个人信息应当遵守的义务；（3）相关政策、程序和制度是可识别的；（4）有独立的个人数据保护权力机构保障必须的执行；（5）有相互理解、合作和可互操作的可能性；（5）有执行框架保障数据的相互平稳传输。我国应当积极参与数据跨境传输国际规则的磋商与制定，提供数字经济治理方面的司法经验与案例，促进跨境数据流动所涉规则和标准的协调统一。