引言 在個人信息的跨境流動是大數據時代必然選擇的背景下，個人信息保護法律制度面臨著諸多挑戰，主要包括數據流動利益與個人信息保護利益的沖突難以平衡、技術發展背景下傳統法律框架對于個人信息保護的調整滯后以及跨境數據流動背景下數據傳輸規則不統一產生的問題日益凸顯。本文首先比較分析了歐盟、美國及日本等國的個人信息保護立法模式，而后從民事、刑事、行政以及其他法律制度這幾個方面分析了我國個人信息保護法律制度的現況，強調了我國的綜合性專門立法。針對我國個人信息保護的現狀，本文提出了構建開放安全的數據流通體系、區分普通信息和敏感信息、加大個人信息保護的行業自律、加快與數據跨境傳輸國際規則的銜接等對策與建議，對我國個人信息保護法律制度的完善具有重要意義。內容摘要

在大數據時代背景下，個人信息的跨境流動是必然選擇。與此同時也產生了數據流動利益與個人信息保護利益之間沖突難以平衡、傳統法律框架對于個人信息保護的調整滯后、數據傳輸規則不統一等一系列挑戰。比較法上，各國關于數據跨境流動的規則亦不盡相同。應當以《個人信息保護法》的制定為契機，通過區分普通信息和敏感信息，以加大個人信息保護的行業自律為手段，構建開放安全的數據流通體系，使之與國際數據跨境規則銜接。

關鍵詞

數字經濟 個人信息保護法 數據跨境流動 隱私權 數據權益

第十三屆全國人民代表大會第四次會議審議通過的《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》明確提出加快數字化發展，并對此作出了系統部署。數據被譽為“21世紀的石油”，是推動數字化發展的關鍵要素。當前全球數據量正在迅速增長，平均每40個月就會翻一倍，國際數據公司于2017年發布的《數字時代：2025》預計2025年將增加至175澤字節（ZB, Zettabyte），即1750億兆字節（TB, Terabyte, 1TB=1024GB），數據量的年復合增長率為61%。各國在享受大數據流動共享、深度開發利用所帶來便利的同時，也相繼在立法層面建立數據資源的產權界定、市場監管、消費者權益保護、隱私保護、公平競爭、安全保障、跨境傳輸等方面基礎性法律規則，對數據流動予以規范。本文梳理了歐盟、美國和日本三類不同的數據立法模式，探求不同立法模式背后平衡數據流動和個人信息保護的價值取向，以比較法分析為視角，指出差異化的法律制度在大數據流動和科技發展背景下面臨的不同挑戰，并結合我國已經實施的民法典、消費者權益保護法以及正在立法過程中的個人信息保護法提出對策預判。本文認為，個人信息保護立法不宜過度借鑒歐盟模式強調個人在數據全生命周期中的數據控制權，而應當著眼于保護實效，解決當前較為緊迫的敏感信息、重點領域信息的保護，以公平信息實踐原則為基礎確定數據收集、處理和使用者的義務，加快與跨境數據流動國際規則的銜接，通過推進數字治理法治化，為企業和個人更多參與分享數據信息創造良好安全的環境，減少數據流動成本，促進數字經濟、數字政府、數字社會的蓬勃發展。

一、域外主要個人信息保護立法模式的比較分析（一）歐盟模式

歐洲國家因有二戰時期納粹集團戰爭機器的歷史陰影，十分注重公民基本權利的保障。1950年頒布的《歐洲人權公約》第8條規定：“任何人享有私人、家庭生活及其住宅被尊重的權利。”20世紀70年代的歐洲處于自動化信息處理技術高度發展和福利國家職能發展的時期，公民對國家以福利為由采集、處理個人信息的潛在風險普遍持警惕態度。在這一時代背景下，最初的個人信息保護立法幾乎都是以規范國家行為作為立法宗旨的。1970年的德國《黑森州資料保護法》被譽為全球第一部以“資料保護法”命名的法律。在1983年德國聯邦憲法法院作出的“人口普查案”判決中，因德國《聯邦人口調查法》要求公民提供基本的個人信息，填寫詳細表格，包括收入來源、職業、教育背景、交通方式等事項，并授權將統計數據移交給地方政府，100多位德國公民提起憲法訴訟。法院認為，《德國基本法》第1條第1款規定的人性尊嚴條款以及第2條第1款的一般人格權條款表明，基于自主決定理念的個體尊嚴和自由包括信息自決權，即個人必須被保護免受個人數據的無限收集、儲存、使用和傳遞。該案不僅將信息自決權即個人對信息的權利作為基本人權來保護，而且闡述了政府對個人信息自決權予以限制時應當合憲，包括符合目的性原則、比例原則、法律明確授權原則。該案開啟了歐盟國家以個體控制數據為基礎的權利型立法理念。1980年，歐洲議會制定了《關于自動化處理個人數據的個人保護公約》（Convention for the Protection of Individuals with regard to the Automatic Processing of Personal Data），規定個人對于數據處理的知情權，查看、糾正及刪除權以及獲得救濟的權利。1990年，德國頒布《聯邦個人數據保護法》，規定個人在數據收集、處理和利用等過程中享有完整的信息自決權，包括個人信息知情權、個人信息更正權、個人信息刪除權等。1995年歐洲議會制定的《關于個人數據處理和自由流動的個人保護指令》進一步豐富和反映了公平信息準則，具體包括：（1）目的限定原則；（2）數據質量與比例原則；（3）透明性原則；（4）安全性原則；（5）可訪問性、更正與異議原則；（6）向他方轉移的限制原則；（7）敏感信息特殊保護原則；（8）自動化處理時個人的知情原則。這些內容的拓展使得個人信息自決權成為多面向、多維度的體系化的權利整體。該保護指令出臺后，歐盟各成員國相繼頒布了各自的個人信息保護法。但各成員國將指令轉化為國內立法時存在不同的解釋和選擇，增加了歐盟個人信息保護法律制度的復雜性、不確定性。

2018年5月，歐盟各成員國正式實施《通用數據保護條例》（GDPR），以人格權為立法邏輯起點，在個人信息保護領域實施標準化、一體化的立法和執法措施。GDPR第4條將個人數據定義為“指任何指向一個已識別確定或可辨識（identifiable）的自然人（數據主體）的信息。該可識別的自然人是指，任何可以通過姓名、身份證號碼、定位數據、在線身份識別這類標識，或者利用外觀特征、生理特征、基因、心理、經濟、文化、社會身份中的一個或多個因素，以直接或間接地識別特定自然人”。GDPR大幅提升了對數據主體的保護水平，以專章規定了數據主體權利，包括信息透明度和信息機制、數據訪問權、數據主體的修正權和刪除權即“被遺忘權”、限制處理權、反對權、拒絕權和自主決定權、知曉黑客入侵權等，并規定數據主體可以請求違反義務的主體承擔損害賠償責任以及精神損害賠償。GDPR還規定了數據處理者以及合作方的連帶責任，建立了個人信息權利保護的公益訴訟制度，規定數據主體為了自身利益，有權委托非營利組織行使救濟權利，以及行使成員國法律所規定的與賠償權相關的權利。此外，GDPR規定的域外適用條款以及專章規定的基于個人數據向第三國或者國際組織的傳輸，也對各國的數據立法產生深遠影響。

GDPR通過體系化立法的方式，對處于弱勢地位的個人以高水平的保護，反對政府、企業和機構濫用個人信息，維護個體的價值和尊嚴。在推進這一目標實現的同時，歐盟也企圖通過爭奪數據規則制定的主動權，克服互聯網用戶基數少、數字經濟市場所占份額低、科技創新速度慢的瓶頸，實現一站式執法，以標準化的一致機制促進成員國之間的合作和協助，推動歐盟單一數字市場建設。2020年12月15日，歐盟公布了《數字服務法》（Digital Services Act）和《數字市場法》（Digital Markets Act）的草案，前者旨在加強對數字平臺企業的治理，保護用戶權益，從規制非法內容管理、廣告推送、在線商品交易等角度，構建安全的網絡空間，要求在線平臺限制非法信息的傳播，在合理范圍內核查商家提供的信息，向用戶推送廣告時確保用戶充分的知情權。對于在歐盟境內有4500萬以上用戶（約占歐盟人口的10%）的特大型平臺，法案規定了更嚴格的責任，旨在遏制大型平臺企業的壟斷，創造公平競爭環境監管。兩部法律對于企業違規的最高處罰金額分別達到全球年營業額的6%和10%，如法案生效，將大幅增加大型科技平臺企業的合規負擔，但對豁免適用的中小企業則可能會爭取到競爭與發展空間。

（二）美國模式

與歐盟將個人信息受保護權利視為一種基本權利進行體系化保護的立法思路不同，美國采取對政府權力的一般限制、市場自我規制和特定行業、敏感信息重點保護的立法思路，呈現出分散式、回應式立法的特點。1973年美國健康教育和福利部（Department of Health, Education, and Welfare, HEW）形成了《存儲、計算機和公民權利》的HEW報告，首次指出美國法律在個人信息自動化處理背景下存在對個人隱私保護不足的問題，建議成立聯邦公平信息實踐準則。該報告推動了1974年聯邦《隱私法》（Privacy Act）的出臺，并成立自動化個人數據機制建議委員會（Advisory Committee on Automated Personal Data System），提出了處理個人數據的公平信息實踐準則（Fair Information Practice Principle）：一是通知/知情原則（Notice/Awareness Principle），要求相關機構在收集數據前給個人以清晰的通知，使其知曉信息的使用情況。二是選擇/同意原則（Choice/Consent Principle），要求相關機構對個人信息的二次使用須給予個人表達同意與否的機會。三是訪問/參與原則（Access/Participation Principle），規定相關機構應保障個人能夠了解個人的數據并確認數據的準確性和完整性。四是可靠/安全原則（Integrity/Security Principle），要求創建、維護、使用或傳播可識別個人信息的數據必須可靠，并且采取合理措施使數據處于安全環境中。五是執行/救濟原則（Enforcement/Redress Principle），要求對于違反原則的行為提供救濟渠道和執行措施以防止信息的濫用。1977年，美國政府設立的隱私保護研究委員會（Privacy Protection Study Commission）進一步擴展公平信息實踐準則。

在特定行業和敏感信息立法方面，《金融服務現代化法》的規制對象是金融機構；《家庭教育權利與隱私法》的規制對象是公共機構；《健康保險可攜帶性和責任法案》的規制對象是醫療保健提供方、提供或支付醫療費用的實體、醫療信息交換主體、商業伙伴等實體；《兒童在線隱私保護法》的規制對象是在線收集兒童信息的網站等主體；《駕駛者隱私保護法》規制行政機關、代理機構泄露、銷售駕駛者信息。1998年，因羅伯特·博克被提名最高法院法官人選過程中，其收視喜好信息被媒體獲取，引發社會爭議，又出臺了《視頻隱私保護法》。在各州層面，不少州出臺法律對于侵犯隱私的行為給予近似于侵權法的保護。2020年1月1日，美國加利福尼亞州《消費者隱私法》生效，其保護的消費者涵蓋所有的加州居民，無論居民與企業關系如何、在線上或線下被收集個人信息，受管轄的企業范圍限定在年收入超過2500萬美元，或者為商業目的而年均收集、購買、出售或分享超過5萬個消費者、家庭或設備個人信息的企業，即不適用于小微企業和一般自然人的信息收集與處理活動。該法賦予消費者信息披露請求權、信息刪除請求權、禁止企業出售個人信息的權利、賠償訴訟請求權等，被稱為美國最嚴厲的隱私保護立法。2020年2月至3月，加州總檢察長兩次發布根據《消費者隱私法》制定的實施細則征求意見稿，擬對如何認定個人信息作出指引，個人信息的認定取決于企業是否以識別、關聯、描述的方式維護信息，或可以直接或間接與特定的消費者、家庭合理關聯起來，并增加了出售未成年人個人信息的隱私政策要求，減輕不直接收集消費者個人信息也不出售信息企業的通知負擔等。

（三）日本模式

日本的個人信息保護立法突破了傳統公法與私法的界限，定位于社會法范疇，以2003年通過的《個人信息保護法》為基本法，針對行政機關、獨立行政法人、地方公共團體等分別制定了《行政機關個人信息保護法》《獨立行政法人等個人信息保護法》以及以地方公共團體條例為配套的法律法規。2013年6月，日本東鐵公司將約4300萬張SuicaIC卡的乘客信息經過一定的匿名處理后，銷售給日立公司，由于未通知并經乘客同意，收到大量投訴，東鐵公司予以致歉并停止銷售。該事件推動了日本《個人信息保護法》于2016年12月的修改，主要內容包括：一是個人信息的范圍更加清晰，明確姓名、地址、出生年月、人臉識別、指紋、護照號碼、駕駛執照號碼、身份證號碼等均屬于個人信息；增加了敏感信息的概念，有關種族、宗教信仰、醫療歷史以及可能帶來不當歧視或偏見的信息屬于敏感信息，獲取時需要事先取得用戶同意。二是增加了個人信息保護委員會章節，明確委員會是綜合性的獨立監督個人信息保護的有權機構，有權為防止個人信息的不當使用而追索個人信息的提供與接收情況，并規定了委員會的設置、任務、職權行使、保密義務、規則制定等。三是加重企業責任，規定在發生信息泄露事件時，企業有義務向個人信息保護委員會和本人報告。四是增加非法提供信息數據庫罪，對從事個人信息處理業務或相關數據庫業務的法人，包括高管人員、管理人員等，為自己或第三人謀求不正當利益，提供或盜用個人信息時的刑事責任。五是規定了《個人信息保護法》的域外適用條款。

2020年6月，日本再次修改了《個人信息保護法》，增加了處理假名個人信息（Pseudonymously Processed Information）業務的運營商的義務、第三方使用個人信用信息的限制、禁止運營商不當利用的一般條款，加強了運營商對泄露事件的報告義務，明確了個人請求運營商停止使用個人信息的權利等，并擴大了個人信息保護委員會的職權。該修改后的法案將在頒布之日起不超過兩年的時間內實施。

二、我國個人信息保護法律制度現況

我國作為互聯網行業發展大國，面臨個人信息保護與促進數據流動、共享與利用這兩大法律價值的平衡與協調。就我國目前個人信息保護法律制度框架來看，采取了多元綜合治理保護的立法模式，但內容相對較為分散。

（一）民事法律制度保護

2013年修正的《消費者權益保護法》50條規定了消費者“享有個人信息依法得到保護的權利”，這是我國法律首次從民事權利角度對個人信息作出的規定。2017年3月15日發布的《民法總則》特別規定了個人信息的保護，于111條規定：“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。”2021年1月1日《民法典》實施后，取代《民法總則》的是以第六章專章規定隱私權和個人信息保護，成為我國立法別具特色的亮眼之處。具體內容為：一是明確通過“可識別性”界定個人信息，即個人信息是以電子或者其他方式記錄的能夠單獨或者能與其他信息結合從而識別特定自然人的各種信息，包括自然人姓名、出生日期、身份證件號碼、生物識別信息、電子郵件、電話號碼、健康信息、行蹤信息等（第1034條第2款）。二是予以綜合保護。個人信息中的私密信息，適用有關隱私權的規定；沒有規定的，適用有關個人信息保護的規定（第1034條第3款）。三是確立處理個人信息須遵循合法、正當、必要原則，將自然人知情同意作為合法收集和處理的合法性前提（第1035條），且該條對于個人信息處理的基本原則，較三審稿增加了“不得過度處理”。四是建立了個人信息主體的查閱、復制、更正和刪除權（第1037條）。五是明確了信息處理者的信息安全保障義務（第1038條）。此外，《民法典》還對處理個人信息的免責事由、國家機關和承擔行政職能的法定機構及其工作人員的保密義務等作出了規定。可以說，《民法典》對個人信息保護的規定基本體現了公平信息實踐準則的內容，如知情同意原則、收集和使用的目的限定性原則、安全保障原則、個人參與原則等，但以回應當前互聯網社會實踐亟須解決的問題為主，和經濟合作與發展組織的《隱私保護與個人數據跨境流通指南》規定的八項原則、亞太經濟合作組織制定的《APEC隱私框架》規定的信息隱私九項原則相比，尚缺乏系統性和完整性。

（二）刑事法律制度保護

《刑法》修正案（九）286條規定：“網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務，經監管部門責令采取改正措施而拒不改正，有下列情形之一的，處三年以下有期徒刑、拘役或者管制，并處或者單處罰金：（一）致使違法信息大量傳播的；（二）致使用戶信息泄露，造成嚴重后果的；（三）致使刑事案件證據滅失，情節嚴重的；（四）有其他嚴重情節的。單位犯前款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照前款的規定處罰。有前兩款行為，同時構成其他犯罪的，依照處罰較重的規定定罪處罰。”

（三）行政法律制度保護

2012年12月28日，全國人民代表大會常務委員會頒布了《關于加強網絡信息保護的決定》，2條規定，網絡服務提供者和其他企業事業單位在業務活動中收集、使用公民個人電子信息，應當遵守合法、正當、必要的原則。2013年7月16日，工信部《電信和互聯網用戶個人信息保護規定》，強調電信業務經營者、互聯網信息服務提供者在收集數據時必須遵守“知情同意原則”，強化了有關機構的數據安全保障義務，并明確了相應的責任形態。2017年6月1日施行的《網絡安全法》41條，對個人信息的收集、存儲、保管和使用進行了全面規范。

（四）其他法律制度的特別規定

2019年8月，國家互聯網信息辦公室出臺《兒童個人信息網絡保護規定》，對未成年人采取高于普通人群個人信息保護標準作出專門規定。新修訂的《未成年人保護法》72條規定：“信息處理者通過網絡處理未成年人個人信息的，應當遵循合法、正當和必要的原則。處理不滿十四周歲未成年人個人信息的，應當征得未成年人的父母或者其他監護人同意，但法律、行政法規另有規定的除外。未成年人、父母或者其他監護人要求信息處理者更正、刪除未成年人個人信息的，信息處理者應當及時采取措施予以更正、刪除，但法律、行政法規另有規定的除外。”第73條規定：“網絡服務提供者發現未成年人通過網絡發布私密信息的，應當及時提示，并采取必要的保護措施。”此外，我國在《護照法》《身份證法》《檔案法》也都有個人信息保護的規定。

（五）綜合性的專門立法

2020年10月13日，《個人信息保護法》草案提請十三屆全國人大常委會第二十二次會議審議。草案共八章七十條，對適用范圍、個人信息處理規則、跨境傳輸、個人信息主體在處理活動中的權利、個人信息處理者的義務、監管部門以及罰則作出了全方位的規定，針對個人信息被隨意收集、違法獲取、過度使用等社會公眾高度關注的問題，對個人信息提供了更加強有力的法律保障，并兼顧當前社會對于數據流動與鼓勵創新的需要。相較于《網絡安全法》中“網絡運營者”概念的不確定性，草案規定適用于所有公司在運營中以線上或線下方式處理的消費者用戶個人信息、員工個人信息、供應商或者客戶代表的信息。該法正式出臺后，將成為我國個人信息保護領域第一部綜合性法律。2020年7月，《數據安全法》（草案）也向社會公開征求意見，確立數據分級分類管理及風險評估、監測預警和應急處置等數據安全管理各項基本制度，個人的數據安全保護義務，落實數據安全保護責任，明確采取維護數據安全和促進數據開放利用并重的原則。

三、大數據流動背景下個人信息保護法律制度面臨的挑戰（一）數據流動利益與個人信息保護利益的沖突難以平衡

主流觀點均已意識到個人數據之所以具有人格利益和經濟價值，在于數據所包含的個人信息。在數據加速流動的時代，大數據匯集了海量個人信息，用戶信息和數據的融合能夠形成“化學反應”，產生對用戶行為模式的可預測性，并且這種預測概率會隨著算法的更新迭代以及信息的融合聚集而越發精準，從而能夠減少因信息不對稱而產生的社會信任成本和協商成本。越是大型、復雜的社會，個人信息流動所具有減少交易障礙、發現商機、促進協商合作的經濟價值就越是凸顯。從經濟效用層面，應當激勵數據和信息的分享和傳播，使數據生產的信息配置到更加能夠被有效利用的地方，便于形成更有效率的生產和生活，使得公眾生活、政府施政、社會治理更加智慧和高效。

各國對于加強個人信息保護并無爭議，但是對于個人信息的分類，個人信息權利類型，數據的收集、處理和使用原則等基本問題，有的問題共識度高，有的問題則存在很大爭議。例如，各國對于受保護的個人信息，基本達成共識，即將可識別性作為個人信息判定的依據。但對于不能直接識別但可以間接識別的個人信息是否納入受保護的個人信息，各國則存在分歧。再如，個人的知情權、選擇權、訪問權和更正權，此類個人的信息權利在絕大部分國家和地區的個人信息保護法中都得到了認可，對于被遺忘權、數據攜帶權、反對用戶畫像和個性化推薦權等新型個人信息權利，則存在很大爭議。比較歐美立法模式不難看出，兩者分別代表著消極限制和積極利用兩種立法規制思路。歐盟對個人信息的保護比較保守，以人格保護為重點，強調信息主體對個人信息的控制，但即使歐盟GDPR強化數據主體的權利，也沒有個人對數據的權利賦權為財產權；而美國在制定法方面非常謹慎，除1974年主要針對政府行為的《隱私法》外，更關注個人數據的經濟特性，在監管上采取行業自律的模式，按照重點領域對信用信息、電子通信、金融服務、衛生健康四個領域以及針對兒童等特殊人群予以立法保護，沒有綜合性立法就個人信息保護進行規制，其保護的理論基礎就是公平信息實踐準則。如何平衡數據流動和個人信息保護兩者利益之間的平衡，不僅涉及法律傳統文化、法律資源分配、成本收益和風險預防等方面的考慮，也涉及國家數據規則制定權和產業發展利益的爭奪。

（二）技術發展背景下傳統法律框架對于個人信息保護的調整滯后

正如學者指出的，個人信息保護的獨特性表現為三個方面：一是具有明顯的外部性。合理的個人信息保護具有正外部性，實現各方共贏；而隔絕個人信息則會產生負外部性，妨礙信息主體與信息收集者和處理者的合作，妨礙國家、社會與市場對數據的合理使用。二是具有持續性。信息處理和個人之間關系不是一次性的，而是持續互動的。三是個人信息的采集、處理和使用具有不平等性。在上述三項特征中，不平等性特征最為突出。大數據技術使個人變得越來越透明，而數據的控制者和行使者卻變得越來越隱秘。例如在2016年，美國阿肯色州發生的一宗謀殺案中，警方發現犯罪嫌疑人使用亞馬遜智能家居產品EchoDot，警方要求亞馬遜交出相關資料，而亞馬遜設備錄制的各類個人指令信息主要存儲在云端服務商，并非儲存于EchoDot設備本身。該案反映出極少有消費者會認真閱讀涉及個人信息保護的收集、存儲、使用協議，“點擊/勾選”按鈕的告知與同意條款幾乎形同虛設。另一方面，消費者對個人信息的價值以及嗣后可能發生的風險無法準確預見，故其通常選擇填寫信息以換取微小優惠。有調查顯示，90%的谷歌用戶知曉谷歌數據收集用于商業模型，71%的受訪者均認為不愿意被追蹤，但2017年谷歌Alphabet公司收入1110億美元，如果采取向用戶收取搜索服務費預計僅能收取1500萬美元，即消費者為搜索服務愿意支付的對價遠低于廣告商針對數據置放廣告的對價，消費者使用搜索服務的一部分對價實際是以提供個人信息為隱含對價的。

由于傳統合同法、侵權法等旨在調整平等主體之間的民事關系，重視意思自治、平等協商、過錯歸責等原則。而在個人信息保護領域，由于技術的高度復雜性，使得用戶處于持續性的弱勢地位，這也是各國在個人信息保護立法上采取類似勞動法、消費者權益保護法等賦予弱勢群體權利的方式予以矯正的原因。然而，科技發展使得大數據集合體內部通過簡單的交叉檢驗，即可令信息匿名化處理技術不再奏效。另一方面，信息匿名化處理技術在迅速發展的智能家居時代可能面臨尷尬的局面。例如亞馬遜EchoDot和谷歌的Alexa都是能夠識別聲音指令并進行各項智能操作包括控制家居產品運行的設備，為達到家居產品的智能體驗，用戶的音頻指令數據需要在不同家居設備供應商之間流動，而對信息做匿名化的不可溯源處理后將可能難以實現數據之間的有效流動，且亞馬遜和谷歌作為主控制設備供應商難以保證收取指令的其他設備供應商不違反隱私保護。因此，有觀點認為設備供應商更應當注重的是信息安全風險，即保護不被個人信息未經授權使用、監控以及不受黑客攻擊，將個人信息保護范圍交給市場競爭機制去處理。

此外，在現行的數據商業化利用模式下，網絡運營服務商投入大量人力、物力和金錢收集網絡行為數據去創建數據庫，但目前大部分國家對于數據庫權利并沒有進行立法，而是通過傳統的著作權法或合同法來保護。但數據庫很可能因為不具有原創性而不能受到著作權法的保護，而合同法又只能約束簽署合同的相對人。為此，歐盟于1996年發布了數據庫指令（96/9/EC），創建了新型的自成一體的權利（Sui Generis Right），為數據庫生產者提供保護，對于他人提取或再利用數據庫的內容設置一定的限制。

（三）跨境數據流動背景下數據傳輸規則不統一產生的問題日益凸顯

網絡空間是一個龐大的生態且具備自身的獨特性，數據的巨量流動使得一國自身的立法、司法以及行政執法難以很好地解決數據流動中產生的個人數據自決、信息自由、隱私保護、數據安全、公共利益之間的平衡問題，需要有統一的國際規則加以協調。但在涉及跨境數據傳輸時，各國出于數字主權、公共安全、經濟利益等考慮，都試圖采取雙重標準，一方面盡可能擴大國內立法的域外適用范圍，獲取他國的數據；另一方面又盡可能避免本國的數據外流，紛紛根據世貿組織框架下的《服務貿易總協定》（GATS）之隱私例外條款限制跨境數據傳輸，由此形成了以美國為代表的寬松型立法、以歐盟為代表的嚴格型立法、以俄羅斯為代表的本地存取型立法以及以澳大利亞為代表的折中型立法。由于各國關于跨境數據傳輸的立法理念、適用范圍、監管架構、規范途徑有較大差異，產生數據跨境交互操作的復雜性、法律沖突和數據交易秩序的不確定性。

當前，全球性的跨境數據傳輸統一規則尚未形成，1980年經濟合作與發展組織（OECD）的《關于隱私保護和個人跨境數據流動指南》，確定了數據保護的最低標準，第3部分規定在數據跨境傳輸問題上，成員國應當避免以隱私保護和個人自由為名出臺立法或政策限制數據的自由流動，但在成員國認為其他成員國未對數據采取同等保護的特殊情況下除外。因此，通過對目的國數據保護水平進行評估即“充分性”（Adequacy）測試后，實行數據跨境傳輸的“白名單”制度（White List），正在逐漸成為各國雙邊協商數據跨境傳輸的基礎。值得關注的是，2019年1月23日，日本個人信息保護委員會與歐洲委員會司法、消費者與性別平等委員會宣布了相互認可充分性保護水平（Mutual Adequacy）的聯合聲明，此系首個不需要額外的數據跨境流動機制即可實現兩國之間數據相互平穩傳輸的框架。迪拜國際金融中心根據該雙邊聲明，將日本納入白名單，但不適用于日本傳輸歐盟數據涉及迪拜居民的情形。自2015年以來，歐盟還與韓國也開展了類似磋商。目前，關于跨境數據傳輸的國際談判還包括《跨大西洋貿易與投資合作伙伴關系協議》（TTIP）和《服務貿易協議》（TISA）等。聯合國貿法會第四工作組電子商務工作組目前正在進行數字經濟探索項目，圍繞新興技術應用和跨境數據流動產生的法律問題展開研究，提出了數據交易各方權利、使用分布式賬本技術的資產標記化、在線爭議解決中技術的運用等前沿問題。

我國《網絡安全法》37條對跨境數據傳輸采取了有限和安全評估方案，規定網絡運營商因業務需要，確需向境外提供個人信息的，必須申請國家網信部門的安全評估，但《網絡安全法》沒有區分基因數據、醫療數據、生物數據等敏感數據的專門保護。由于該條沒有規定安全評估標準，存在一定的不確定性和不可預見性，因此也會影響他國對我國的數據充分性保護水平評價，數據出入境在一定程度上受到限制。隨著中國互聯網平臺海外業務拓展、跨境電子交易和網絡支付的蓬勃發展，我國數據跨境傳輸規則與國際規則的協調是未來迫切需要解決的問題。

四、對策與建議

第一，構建開放、安全的數據流通體系。隨著我國數字經濟、數字社會、數字政府的交融發展，互聯網整合線上線下資源，推進數字產業化和產業化數字，個人信息的收集、處理和使用必然更為廣泛。在互聯網模式下，大數據的價值并不在于某個個體的獨特信息，而在于大批量具有共同特點的個人信息所反映出的某種共性。創建嚴格的個人信息保護制度并不是禁止利用個人信息，而是創造安全的信息環境，增強消費者參與數字經濟的信心，使個人更傾向于允許他人出于公共利益目的使用其私人數據，改善政策制定和公共服務，使數據驅動創新真正給國家、社會與公民帶來巨大利益。在個人敏感信息進行匿名化、假名化處理后的數據，具有較強的公共屬性，原則上運營商不再需要經過本人同意，可以與第三人進行交易、共享，即以促進自由流通為原則，以特殊保護為例外。

第二，區分普通信息和敏感信息。《個人信息保護法》草案已經區別普通信息和敏感信息的保護。為避免大規模數據處理對個人的權益及自主性造成損害，有學者提出，可以借鑒網絡著作權治理領域的“選擇排除規則”（opt-out）”，即用戶享有簡單明確、實際可行的拒絕網絡運營商獲取和使用網絡行為數據的途徑。日本《次世代醫療基礎法》允許認定制作者使用選擇排除方式獲得醫療信息。即默認患者只要沒有表示拒絕即為同意提供醫療數據，以提升醫療信息匿名加工處理的效率。此外，“隱私標識”（privacy mark）認證也是區分普通信息和敏感信息值得借鑒的經驗。

第三，加大個人信息保護的行業自律。在市場競爭機制下，除了企業自身的合規審查，倡導行業自律也有助于創造有序的產業環境。目前，在云服務領域已經興起了云服務等級協議。美國的非營利性網絡隱私認證機構TRUSTe、BBBonline（BetterBusinessBureausonline）實行網絡隱私認證計劃，對企業的隱私保護隨時進行測評。我國應當加強對隱私認證機構的建設，形成隱私保護等級和認證體系，鼓勵互聯網平臺企業就信息保護水平和范圍展開競爭，根據消費者對個人信息保護的重視程度，選擇提供符合其偏好的互聯網平臺。

第四，加快與數據跨境傳輸國際規則的銜接。從各國白名單制度的評價體系來看，較為共性的要求為：（1）法律法規對于個人信息保護有相應的立法規范；（2）明確商業運營商處理個人信息應當遵守的義務；（3）相關政策、程序和制度是可識別的；（4）有獨立的個人數據保護權力機構保障必須的執行；（5）有相互理解、合作和可互操作的可能性；（5）有執行框架保障數據的相互平穩傳輸。我國應當積極參與數據跨境傳輸國際規則的磋商與制定，提供數字經濟治理方面的司法經驗與案例，促進跨境數據流動所涉規則和標準的協調統一。