李岩

摘要：数字经济给全球带来机遇和挑战。为抢占发展先机，谋求竞争优势，世界各国基于各自数字技术和数字经济发展情况，制定了各自的数字经济发展战略。国家战略引领立法价值和目标，导致各国立法选择不一。比较欧美数字经济战略对其个人信息保护立法的影响，对于完善我国个人信息保护立法和参与国际规则制定具有重要意义。中国基于网络强国战略和网络空间国际合作战略，应将同步推进个人信息安全和数字经济发展作为立法指导思想，对内尽快出台适合本国实际的个人信息保护专门立法，对外积极参与引领国际立法合作，坚持在WTO现有协定和框架基础上谈判，建立和完善数据治理规则，构建国内国际双重立法保护。

关键词：数字经济战略;个人信息保护立法;欧盟;美国

中图分类号：    文献标志码：A           文章编号：1008-2991（2020）02-005-014

一、问题的提出

科技是第一生产力，信息化引领经济社会发展。数字技术革命正在推动数据成为新的生产要素，数字经济给全球带来机遇和挑战。然而，数字技术创新与风险并存，全球信息泄露事件频发，严重侵犯个人隐私。加大数据保护力度、提升个人信息保护能力刻不容缓。在这样的背景下，加强和完善个人信息（本文中与“个人数据”混同使用）保护立法是保护个人信息权益的根本路径。由于各国数字技术发展和数字经济发展情况不同，制定的数字经济发展战略也不同，导致各国立法选择不同，甚至存在严重分歧。如何在数字技术发展中保护个人信息，而又能促进数字技术和数字经济的发展，成为各国乃至全球亟待解决的问题。建立和完善本国立法，积极参与国际立法合作，消除立法分歧，共同促进全球数字贸易和数字经济发展已成为各国共识和关注焦点。

二、数字经济发展战略引领个人信息立法

（一）国家战略引领立法

国家战略是战略体系中最高层次的战略，是为实现国家总目标而制定的总体战略。国家战略作为上层建筑，由经济基础决定，适应并促进生产力的发展，为经济发展服务。在全球经济发展进入工业4.0阶段，数字经济已经成为其主要特征。数字经济是人類通过大数据（数字化的知识与信息）的识别-选择-过滤-存储-使用，引导资源的快速优化配置与再生、实现经济高质量发展的经济形态。[1]数据作为数字经济主要的生产要素，企业、消费者和政府之间通过网络进行的交易、数据挖掘快速增长。为在数字经济中抢占发展先机，各国积极制定相应数字经济发展战略，引导本国数字经济发展，谋求竞争优势。根据迈克尔·波特的国际竞争优势理论，生产力的优劣与国家环境有关，国家是企业在国际上创造或保持竞争优势的决定因素。[2]数字经济时代，加强数字经济立法是各国国家战略中的重要内容，也是实施国家战略的重要战术手段之一。个人信息保护立法作为数字经济立法的一部分，日益得到各国重视。数字经济发展战略引领个人信息立法，以欧盟和美国为例，两者在个人信息保护立法上存在很大差异。

（二）欧美个人信息保护立法选择比较

欧盟和美国虽然同为网络治理多元化的推动者，但在个人数据保护上出于各自数字技术和数字经济发展情况，制定了各自数字经济战略，按照各自立法价值追求，形成了个人数据保护的两大立法进路。比较欧美两大立法的异同，对于完善我国个人信息保护立法和参与国际规则制定，具有重要意义。

1.欧盟将个人信息保护定性为人权保护

（1）欧洲数字单一市场战略引领欧盟统一立法

为解决欧盟内部市场“碎片化”问题，防止欧盟在数字经济时代被边缘化，发挥欧盟数字经济潜力，保持欧盟企业竞争力，2015年5月6日欧盟发布《数字单一市场战略》，对内统一规则强调消费者保护和建立单一市场。[3]力图打造统一的数字商品、服务和资本市场，加强数字领域互联互通，以推动技术能力发展来保障网络安全，进一步深化欧盟一体化，提升竞争力。[4]欧盟议会在个人数据保护立法中起了重要作用，它把个人隐私保护上升为一种政治优先权。[5]就个人数据和隐私而言，欧盟将个人数据保护定性为人权保护，承诺提供最高的保护水平且由欧盟公约予以保障，对欧盟内部国家实行个人数据自由流动，对个人数据跨境流动采用隐私权充分保护原则。

在法律法规上，欧盟一直采取统一立法模式。1995年欧洲议会和欧盟理事会发布了《个人数据处理和自由流动中个体权利保护指令》（以下简称《指令》），2016年4月14日欧盟议会通过《通用数据保护条例》（以下简称GDPR）。GDPR自2018年5月25日起在欧盟成员国内正式实施，1995年《指令》同时失效，个人数据保护的法律位阶由指令上升为条例。指令是一项立法法令，它设置了所有欧盟国家必须实现的目标，各国在适用它时，可以制定相应的国内法来进行转换，这就导致了各国法律之间的差异，给信息主体带来很大的不便，也给企业带来很大的合规成本，不利于数据交易体系的构建。[6]而GDPR对欧盟所有成员国的国内实体均具有约束力且直接地和完全地适用于所有成员国，其适用范围极为广泛，任何收集、传输、保留或处理涉及到欧盟所有成员国内的个人信息的机构组织均受该条例的约束，明确了欧盟数字单一市场中公司和公共机构应遵循的规则，加强了个人在数字时代的基本权利。在个人数据保护上，GDPR规定不仅收集和使用数据的数据拥有者需要对数据保护负责，数据处理者也需要直接承担合规风险和义务。欧盟通过规范所有在欧洲市场中提供服务的企业对于个人数据的处理来保护个人隐私。

（2）欧盟对个人数据跨境流动强化隐私权充分保护原则

对于个人数据跨境流动的保护，1995年《指令》采用隐私权充分保护原则，即只有当第三国确保能够为个人数据提供充分保护时，才能将个人数据转移或传送至第三国。欧盟和美国于2000年达成了安全港协定，在隐私权充分保护标准上达成妥协。2015年10月6日，欧盟最高司法机构欧洲法院作出裁决，认定美欧《安全港协议》无法充分保护欧盟公民的个人数据，丧失合法性基础。GDPR出台后继续沿用隐私充分保护原则。2016年7月12日欧盟通过了欧盟-美国隐私保护的充分性决定。隐私盾框架于2016年8月1日开始实施，首次赋予了欧盟公民对个人数据跨境传输中企业的不法行为提起诉讼的权利，也明确规定了美国政府跨境访问欧盟数据的具体范围和限制条件，体现了欧盟对隐私权加强保护的立场。[7]

2.美国立法倾向于促进数字经济发展

（1）“美国优先”国家战略力图巩固其优势地位

美国是数字革命的重要发源地，发展数字经济具有先天的技术和人才优势。全球市值排名前5名的互联网巨头亚马逊、微软、苹果、谷歌、脸书均为美国公司。基于“美国优先”理念，美国力图继续巩固其数字经济的优势地位。2018年9月18日美国白宫发布《美国国家网络战略》，提出要培育充满活力和弹性的数字经济，保障美国国家安全和经济繁荣。美国政府虽然一贯坚持保护个人隐私，不过在跨境流动与隐私权保护之间更倾向于利用数字贸易促进经济发展，以保持美国在相关领域的领先地位，维护其贸易政策的核心利益。[8]美国基于在数字服务贸易中的主导地位，将自己定位为全球数字经济的领导者，力促数字贸易和数据跨国界的无缝移动。[9]努力破除所谓的“数字贸易壁垒”，在全球积极推广其数字贸易规则。[10]

（2）美国在隐私权下加大保护个人信息力度

美国并没有与大陆法对应的人格权理论和制度，而是从个人自由发展出涵盖几乎所有个人权利的隐私概念，在立法中将个人数据保护纳入隐私的范畴。[11]而美国对信息隐私主要采取司法救济（普通法保护）模式，具有相应的灵活性。同时，围绕个人信息及隐私保护加强成文立法及规制，美国宪法、联邦及各州法律法规、部门规章及实施细则以及行业自律规则等均有涉及。1974年美国颁布了《隐私权法》，规范政府机构的个人信息利用行为，专门对个人记录的保存和披露进行了规定。在此基础上，美国国会加强相关联邦立法。美国国会网站立法系统检索结果显示，1973年至2019年涉及隐私的联邦立法504个，涉及个人数据立法10个，同时涉及隐私和个人数据的立法7个。但迄今尚未有关于个人数据保护的单独联邦立法。

2018年6月美国加利福尼亚州通过了《2018加州消费者隐私法案》（简称CCPA），加大消费者对个人数据的处置权，与欧盟GDPR内容和目的类似，以互联网社交和商业领域大企业为约束的主要目标，堪称全美各州最严网络隐私保护法规，遭到代表脸书、亚马逊等大型互联网企业的美国互联网协会、加州商会、全国零售商联合会、全国广告商协会等的反对。但加州是美国经济实力最强的州之一，同时拥有科技企业汇聚的硅谷，因此，该法案的通过具有较大示范效应。为避免各州立法分歧，美国行业协会组织、各大互联网科技企业积极推动并参与统一立法。美国互联网协会希望构建优先考虑消费者隐私和数据安全的统一的全国隐私法律框架。美国商会与200个组织共同起草了隐私示范法。苹果、亚马逊等各大科技公司支持全面的联邦隐私立法。

（3）美国坚持个人数据跨境自由流动

对于个人数据跨境流动的保护，美国极力宣扬并拉拢其盟友加入亚太经合组织（APEC）跨境隐私规则体系（简称CBPR体系）。2018年11月30日签署的《美墨加协议》对个人信息保护做了明确规定：“为保护数字贸易用户的个人信息，各方应通过或维持一个法律框架，并考虑相关国际机构的原则和准则，如亚太经合组织跨境隐私规则体系（CBPR）和经合组织理事会关于保护隐私和跨境准则的建议。”CBPR体系是一个在亚太经合组织各经济体之间进行数据流动的自愿的、基于问责制的體系，意图从行业自律和法律规制两个维度对进入该体系企业的隐私保护水平进行有效的控制。[12]CBPR虽然没有要求参与国修改或降低自己在国内对个人数据的保护水平，但是它强制参与国家在管控个人信息出境时，不得要求第三国的数据接收方提供超过APEC隐私框架中包含的九大原则50项具体要求的保护水平。CBPR对个人信息的保护远低于欧盟主导的GDPR。美国通过建立低水平保护的个人信息跨境流动秩序，最终实现个人信息向美国聚拢。[13]

到底是坚持把个人信息安全置于人权至上高度进行绝对保护，还是秉持充分利用个人数据促进数字技术创新和经济发展？不同的数字经济发展战略和立法价值，导致欧盟和美国个人信息保护和个人数据跨境流动立法的模式和内容存在很大差异。譬如，欧盟立法中欧洲议会起到了主要作用，而美国行业协会则在立法中表现积极;欧盟全境施行统一的GDPR，美国则尚未就个人数据保护进行统一专门立法。在个人数据跨境流动的保护上，欧盟和美国更是代表了两个极端。然而，在全球化4.0时代，由于全球数字经济的深度融合，数字贸易的日益增长，国际立法总体趋向不断融合。正如美国《儿童网络隐私保护法》对GDPR中相关儿童数据保护的规定产生了一定的影响，同样欧盟GDPR对美国加州立法和联邦统一立法也产生了相应的辐射效应。欧盟和美国立法差异虽大，但有一点是相同的，就是两者都想成为个人信息保护立法领域的引领者，使自身成为全球法律规则的主导者，以保护和促进自身数字经济的发展。那么，中国个人信息立法如何选择，又怎样参与全球法律规则的制定呢？

三、中国个人信息保护的立法选择

信息化为中国带来了发展机遇，电子商务和人工智能总体发展水平走在世界前列，数字经济发展潜力巨大。个人互联网应用优势明显，中国网民数量世界第一。以百度、阿里巴巴和腾讯为代表的10家中国互联网上市企业进入全球市值30强。《中国数字经济发展与就业白皮书（2019年）》显示，2018年中国数字经济规模达31.3万亿元，占GDP比重34.8%。为抓住这一可能改变世界经济秩序的难得发展机遇，进一步推动数字经济和实体经济深度融合，增强企业创新力和竞争力力，中国确立并实施网络强国战略和网络空间国际合作战略，推进网络强国建设，主动参与网络空间国际治理进程。

（一）中国网络强国战略坚持安全和发展同步推进

2016年3月《中华人民共和国国民经济和社会发展第十三个五年规划纲要》明确提出实施网络强国战略，推动信息技术与经济社会发展深度融合，加快推动信息经济发展壮大。同时，强化信息安全保护，统筹网络安全和信息化发展。

（二）中国个人信息保护立法体系的建立与完善

随着中国数字经济规模的不断扩大，中国在个人信息保护领域的价值取向正在发生转轨，在法益保护与数据开发利用的二元价值之间，中国早期采纳“美国式实践”，近来又转向“欧盟式立法”。[14]多年来，中国一直采取“放水养鱼”的包容态度，鼓励数字经济创新发展。[15]之前的司法实践倾向于鼓励数据开发利用，而现行立法体系则建立在个人信息法益保护与数据开发利用的二元价值平衡基础上。个人信息保护立法亦应兼顾保障个人信息安全和促进信息化发展两个方面，二者同步推进。

2012年3月在全国人大报告中首次提出完善网络法律制度。2012年6月28日，国务院发布了《关于大力推进信息化发展和切实保障信息安全的若干意见》，强调加快能力建设，提升网络与信息安全保障水平。2012年12月28日，第十一届全国人民代表大会常务委员会第三十次会议通过了《关于加强网络信息保护的决定》，明确提出国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息，任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息。随之，我国与个人信息保护相关的法律法规及配套制度逐步建立和完善。搜索北大法宝法律数据库，涉及个人信息的法律有18部，包含《中华人民共和国消费者权益保护法》《中华人民共和国刑法修正案（九）》《中华人民共和国民法总则》和《中华人民共和国电子商务法》等。与个人信息保护密切相关的《中华人民共和国民法典人格权编（草案）》正处于审议阶段。其中，2016年11月7日通过的《中华人民共和国网络安全法》是中国第一部全面规范网络空间安全管理问题的基础性法律，其重要内容之一是防止公民个人信息数据被非法获取、泄露或者非法使用。近年来个人信息保护的立法步伐加快。《公安机关互联网安全监督检查规定》《关于加强跨境金融网络与信息服务管理的通知》等陆续实施，一系列相关办法向社会征求意见。2019年8月22日，国家互联网信息办公室公布《儿童个人信息网络保护规定》，自2019年10月1日起施行。其中的原则、规则都反映了一般个人信息保护的重要理念，通过相关执法实践，能够更进一步积累我国个人信息保护的经验，为我国个人信息保护法律制度的全面构建提供有益探索。[16]《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对个人信息在司法上予以保护。《关于审理个人信息权纠纷案件适用法律若干问题的解释》列入最高人民法院司法解释立项计划。相关行业与技术标准和行业自律公约也陆续发布。2018年5月1日《信息安全技术个人信息安全规范》正式发布并实施，重点对个人信息控制者在开展收集、保存、使用、共享、转让、公开披露等个人信息处理活动中应遵循的原则和安全要求作了详细的阐述，虽参考了欧盟规范的标准，但严苛程度不及欧盟。[17]

整体来看，我国个人信息保护以分散立法为主，逐渐形成综合法律、行政法规、规章、司法解释、行业与技术标准、行业自律公约等体系庞杂的法律体系。

（三）网络空间国际合作战略引领个人信息保护国际立法合作

个人信息的跨境传输本质上具有全球化属性，需要各国、各地区的共同参与，达成多边性协议或多边协调机制，构建国际规则体系。在国际立法合作中，为实现网络强国战略，须加快提升中国对网络空间的国际话语权和规则制定权。2017年3月1日发布的《网络空间国际合作战略》是指导中國参与网络空间国际交流与合作的战略性文件，引领中国积极参与国际立法实践，倡导对隐私权等公民权益的保护，支持联合国大会及人权理事会有关隐私权保护问题的讨论，推动网络空间确立个人隐私保护原则。中国通过双边自由贸易协定规范跨境数据流动，2015年6月签订的中韩自由贸易协定和中澳自由贸易协定都对电子商务中的个人信息保护进行了相应规定。中国积极拓展网络对话合作平台，举办世界互联网大会等国际会议，搭建中国与世界互联互通的国际平台和国际互联网共享共治的中国平台。

2019年，中国以更加积极的态度参与并推进全球治理谈判和国际立法合作，塑造和引领全球化，通过联合国秘书长数字合作高级别小组、世界经济论坛和G20峰会，提出中国的主张。中国支持联合国在全球数字合作和个人隐私保护方面发挥其应有的作用。中国倡导各国要营造公平、公正、非歧视的市场环境，支持以开放、透明、包容、灵活方式在WTO框架下开展与贸易有关的电子商务议题规则制定工作，坚持发展导向，尊重成员监管权利并照顾发展中成员具体关切，在技术进步、商业发展与各成员网络主权、数据安全、隐私保护等合理公共政策目标之间实现平衡，通过平等协商达成平衡、务实、各方都能接受的结果。[18]为此，中国积极参与国际立法合作，推动制定国际规则。2019年1月，在瑞士达沃斯举行的电子商务非正式部长级会议上，中国、美国、欧盟等76个WTO成员签署了《关于电子商务的联合声明》，意在WTO现有协定和框架基础上，启动与贸易有关的电子商务议题谈判，鼓励所有成员参加，制定一套高标准的新规则。5月，WTO成员就新的电子商务规则开启了谈判。中国、美国、欧盟等10个成员提交了首轮提案，中国强调要关注发展中国家的权益。6月，在二十国集团（G20）大阪峰会期间，中国、美国、欧盟等24国签署了《大阪数字经济宣言》，进一步推动数字经济立法谈判。然而，由于各国发展战略不同，立法价值导向不同，数字经济发达国家和发展中国家分歧严重，制定国际立法规则任重道远。中国作为数字经济大国应更加主动参与并积极引领国际立法合作，兼顾发展中国家的立场和各国数字经济发展的现实情况，兼顾个人信息保护和数字经济发展，坚持在WTO框架下推动加强各国立法合作。

欧美对中华人民共和国《网络安全法》第三十七条提过很多意见，美国甚至建议中国加入亚太经合组织跨境隐私规则体系。在网络强国战略和网络空间国际合作战略的引领下，中国愿与各国各地区加强立法合作，并积极进行实践探索。中国在（上海）自由贸易试验区临港新片区开展数据跨境流动保护和国际合作试点工作，实施国际互联网数据跨境安全有序流动。在以《中华人民共和国网络安全法》为基础的现有的个人信息保护法律体系下，对数据跨境流动保护和国际合作先试先行，不仅为《个人信息保护法》的制定和出台奠定实践基础，也为中国引领国际立法规则积累相关经验。