沈子华

放眼环宇，世界各国都拥有独特的自然、历史与人文风光，而这一丰富的“资源”使得旅游及其相关性产业在传播文明，促进人类命运共同体形成的同时，亦能够积极带动国家经济的健康、可持续增长。此外，跨境旅游的发展程度也从侧面体现着一个国家的对外开放纵深。当前，在确立陆疆沿边深入开放以及推进“一带一路”国家主导战略的大背景下，我国入境和出境旅游的人数在长期始终保持着稳定状态的向上趋势。截至2016年12月底，我国出入境旅游的总人数分别达到创纪录的1.22亿人次和1.37亿人次，均为历史同期最高值。①参见戴鹏：《旅游业供给侧结构性改革的多视角分析》，《中国商论》2017年第28期。现阶段，由于我国跨境旅游及其相关产业内部所存在的一系列问题，特别是个人信息安全问题的日益显现与并呈现出“案件化”的态势，加之其在一定意义上与我国的国家安全息息相关。故亟待通过科学而理性的方法构建出适应我国实际性需求的跨境旅游个人信息安全保障法律机制。这既符合现在与未来我国的国家利益与人民福祉，也是对我国在新时期全面构建法制化社会的侧翼性补充。

一、我国跨境旅游中的个人信息安全问题

在21世纪之前，世界范围内的旅游业基于旧体制与科技水平的限制，个人信息安全问题并未得到大范围的呈现。但随着全球逐步进入互联网时代，加之跨境旅游业本身国际性与流通性的显著增强，个人信息安全问题日趋凸显，甚至已然迫在眉睫，并将成为导致未来跨境旅游业内部性困境的首因。

传统理论上，跨境旅游业受国际大环境的影响很大，具体包括政治、经济、军事等方面。与之相适应，这种较强的外部性对于旅游客源国和旅游目的地国的影响溯源亦存在着较大的差异性。从旅游客源国的角度来看待跨境旅游，则首要考虑的是其国内的人均收入水平，特别是建立在“恩格尔系数”上的人均实际可支配收入。①参见戴鹏：《旅游业供给侧结构性改革的多视角分析》，《中国商论》2017年第28期。反观旅游目的地国，则需要优先考量本地的旅游环境，主要涵盖相关的针对境外游客的犯罪率、国家或地区的政治稳定程度等等。而作为全球最具活力的经济体之一的中国，多年来经济的高速发展以及中国国内安全稳定的政治社会状况早已为世界各国所认知并称道，故这两大因素的综合性作用直接性地促成了我国近年来跨境旅游人数的持续性增长。与此同时，“一带一路”战略作为由中国政府所主导的，以古老丝绸之路为依托，面向国际与未来的新政策，它的逐步实现与完善对促进我国跨境旅游事业的发展亦起到了关键性的作用。值得注意的是，由于“一带一路”战略所涵盖地区十分广袤，东亚、南亚、东南亚、西亚、中亚、近东、东北非、中东欧均在其影响范围内。因此，在其具体实施与发展的过程中，中国同上述地区基于文化、商贸、政治等各领域的往来不断增多、增强。这在某种意义上也有力地推动了我国跨境旅游在整体上的跨越式提升。

然而，“世界上任何事物发展到一定阶段，其内部的矛盾性就会显现并逐渐演变成羁绊它继续发展的阻力，而事物只有通过自身力量克服这种内在矛盾与次生性阻力，才能获得更大的发展，并往复循环”。作为马克思主义唯物史观理论中对于事物发展客观规律的经典性描述，跨境旅游及其相关产业的发展亦在此轨道中行进演化。

从世界史视阈上进行探究，就能发现全球范围内的跨境旅游在经过了最初期的迅猛发展以及产业化聚合之后，由其内部发展及制度性缺陷所引发的“内部性”困境②相对应地，跨境旅游的外部性即指在跨境旅游业本身范畴之外的外部力量对个人信息安全问题所造成的影响与变动，这些外部力量包括国家行政干预、突发战争、自然灾害等。就开始凸显，并在长期或是呈规律性周期的制约全球跨境旅游事业的发展。③参见李韩：《对可持续旅游实现形式的若干探讨》，《华中科技大学学报（社会科学版）》2004年第9期。传统上，这种“内部性”的困境可被概括为针对境外游客的人身与财产安全问题、自然灾害频发问题、政治环境稳定程度、战争风险、个人信息安全问题等五大类别。④参见刘文海：《世界旅游业的发展现状、趋势及启迪》，《中国市场》2012年第33期。很长一段时期内，针对境外游客的人身与财产安全问题始终位列这种“内部性”困境的首位，而个人信息安全问题则久居末位。但随着互联网时代的到来，以及移动技术的日渐普及，全球语境下，个人信息安全问题已然仅次于人身与财产安全问题而居于次席，且二者间的量化性差异正在不断缩小（见图1）。

在我国，伴随着跨境旅游及其相关产业的飞速发展，这种“内部性”矛盾也在日益激化，并开始成为制约其本体长远发展的桎梏。相较于世界范围内的情况而言，我国跨境旅游领域内的内部性特点体现在，基于我国政治社会基础与自然大环境的相对稳定性，因而个人信息安全问题连续多年来排在引发“内部性”困境诱因的首位。

图1.2000年与2015年全球跨境旅游“内部性”困境的诱因类别分布① Harson·Meronbog.Development Power of the World’s Tourism Industry[M].Oxford University Press,2016:97-99.

这背后的深层次原因亦是多样化的：首先，我国现行法律体系与结构中对于私人隐私权的认知路径与保护力度十分缺乏，且在理论上也不及欧美日等国家的发展程度。于具体性的实务操作上则更是差强人意。其次，由于我国的移动技术与互联网通信水平均居于世界领先水平，特别是移动支付、扫二维码支付、云盘等一系列生活科技的运用，使得个人信息相较于其他国家更容易在跨境旅游的过程中被获取，从而引发相应的问题与纠纷。最后，中国传统文化对于“信义”理念的推崇、提倡以及国民普遍性自我保护的法律意识不强，都催生了我国跨境旅游过程中大量存在的个人信息安全问题。

由此可较为清晰地明确当前中国语境下跨境旅游所表现出的“内在性”困境的法律动因，即：首先，体现了我国司法大环境与法律精神的局部性缺失，具体来说可总结为长期以来我国司法侧重于对公权力的维护与对公财产的保护，以及我国法律精神所历来强调的国家、集体利益至上等共同造成了对于私权利，特别是对个人信息安全的忽视。其次，在一定程度上反映了我国现有法律及其相关制度的更新较为滞后，无法在短期内对诸如“移动支付”、“扫二维码”等新生事物做出迅速且高效的应对性规范。

二、我国跨境旅游基于个人信息持有的法律责任

（一）个人信息跨境流动所导致的安全风险

在跨境旅游中，跨境消费交易可以通过网上预订或购买操作完成。同时，在大多数情形下，网上交易的成功与否，往往与消费主体是否输入其个人的关联性信息相“绑定”。以外国人在华旅游预订入住酒店为例，国内大部分的中高档酒店官网的预订网页上均要求填写外籍预订者本人姓名及所持的银行卡号、银行卡有效日期等一系列相关信息。这类情形极易于导致个人的银行卡或信用卡信息先为国内的酒店入住预订平台以看似“正当”的途径所获取。而后会经由国内的某些专门性公司或是酒店经营方将入住游客的各类信息转交给境外的同类平台。与之相适应的是，国外的部分酒店官方预订平台亦会做出类似的行径以“回馈”国内的酒店服务平台，这种境况的长期存在对于规模与日俱增的跨境旅游者而言往往是百害而无一利。特别是一旦出现银行卡或信用卡被盗刷的情况，基于目前跨境网上交易证据及法律在国际适用上的困境，以及跨国法律救济机制的严重性缺失，都会使得这类案件的久拖不决，在长期影响跨境旅游消费者的切身利益与权利。

个人信息的跨境流动，是指个人信息数据从境内的服务器流到境外第三方的服务器一端。①参见王楠：《个人信息跨境转移的法律保护》，《重庆工商大学学报(社会科学版）》2016年第1期。跨境旅游个人信息跨境转移主要有两种途径：一是公民出境购物；二是公民在跨境的电商平台上网络购买旅游服务。而后者个人信息的跨境流动极易使个人信息被破坏、滥用与泄露的风险成倍增加。这不仅在微观层面上会给信息主体造成影响，在宏观层面上还会涉及国家安全及贸易壁垒等问题。

（二）跨境旅游个人信息安全的法律责任认定

个人信息在宏观层面上意指与特定个人相关联的、能够反映公民个体本质特征的、具有可识别性的各类符号系统。具体而言，包括个人身份、家庭、健康、工作、财产等各领域的信息。②参见贺帅：《快递实名制下个人信息权的保护》，《怀化学院学报》2016年第5期。2012年11月5日，我国国家质量监督检验检疫总局、国家标准化管理委员会发布了《中华人民共和国信息安全技术公共及商用服务信息系统个人信息保护指南》（下文皆简称为《指南》），③参见李仁杰：《信息主体权益保护问题研究》，《东南大学学报（哲学社会科学版）》2016年第6期。自此将传统意义上的个人信息区分为“个人敏感信息”和“个人一般信息”两大基本概念。从法律角度，跨境旅游个人信息法律关系中涉及“三方”主体，这“三方”主体对持有的个人信息所负的法律责任有所不同：

1.境内旅游者持有的个人信息。根据《指南》的划分，所谓个人敏感信息，即一旦遭到修改或泄露，便会在短时间内对标识的个人信息主体造成不良影响与损害的个人信息。因此，这类信息可以被理解为体现法定人格利益的个人信息，即与人格尊严具有直接性关联的信息。诸如个人的身份证号码、电话号码、基因序列、宗教信仰情况等均属于个人敏感信息的归类范畴。与之相并列的是个人一般信息，是除个人敏感信息以外的另一种“个人信息”概念。一般而言，大多涉及到财产利益，即与个人财产状况密切相关的个人信息。具体包括：银行、支付宝、微信的账号及相应的密保程序等信息。④参见郑毅：《信息消费时代个人信息安全的法律保护》，《郑州大学学报(哲学社会科学版)》2014年第4期。这两个信息在法律效果上有所不同：首先，搜集个人敏感信息需要信息主体的明示同意，而收集个人一般信息时，除非信息主体明确反对，可认为个人信息主体默许同意；其次，前一类信息对信息持有人是无价值的人格要素，后一类个人信息本身就是有价值的财产符号，不管这些个人信息自身有无价值，旅游者持有的个人信息侧重的是信息的自我保护，只有该个人信息被恶意泄露、收集、使用、出售后才可能成为商家牟利的商品。

2.境内旅游经营者持有的旅游消费者的个人信息。旅游经营者获得旅游消费者的个人信息必须经过本人同意，且须负有保密的法定义务。根据我国旅游法的相关规定，旅游经营者应当在经营过程中保证所提供的商品与服务符合保障人身、财产安全的要求；旅游经营者有充分的义务对其在经营过程中所获知的旅游者个人信息予以保密。此外，根据2013年修订的《消费者权益保护法》的相关规定，侵害消费者个人信息保护权的表现形式主要有以下7种情形：经营者未经消费者同意，收集消费者个人信息；经营者未经消费者同意，使用消费者个人信息；经营者泄露所收集消费者个人信息；经营者出售所收集消费者个人信息；经营者非法向他人提供所收集的消费者个人信息；经营者未经消费者同意或者请求向其发送商业性信息；经营者在消费者拒绝的情况下向其发送商业性信息。①参见朱六四：《查办侵害消费者个人信息保护权案的思考》，《中国工商报》2017年第6期。由此可见，旅游经营者持有的个人信息侧重的是法律上的强制义务，即必须负有保密责任。

3.境外旅游经营者持有的个人信息。“互联网+旅游”为跨境旅游带来了极大的发展空间，同时也吸纳和存储了大量的境内个人信息。特别是境外旅游经营者利用技术手段开发出手机程序软件，以方便快捷的方式和路径为我国旅游者提供“新式”旅行服务。以2015年7月香港特别行政区所推出的免费预订香港及海外旅游车服务的手机应用程序——“CoachnVan”为例，仅需经过4个步骤的简单操作，本地及海外旅游者便可轻松规划个性化的旅游车路线。值得一提的是，该项程序的业务范围同时涵盖“点对点接送”、“时租服务”与“特别行程”等，旅游者可按个人需要来选定不同型号的旅游车或是相关性的追加服务。例如双语代驾、专业导游及无线WIFI设备等。这类个人信息极易通过网络、软件而被境外机构或个人所获取，且一旦发生因恶意泄露所引发的侵权，将难以在短时间内依法维护自身的合法权益。造成这种状况的原因：一方面是由于单纯性地国内法救济不能给予完全的司法保障；另一方面，基于跨境旅游者个人信息是国家共同体信息的一部分，间接地构成了国家信息安全的重要组成部分，故跨境旅游者的个人信息保护具有了国家间法律适用上的效果。

三、我国跨境旅游个人信息法律保护的不足

电子商务、网络消费环境下交易市场的国界被淡化，跨境旅游加剧了个人信息的跨境流动，由于现代信息社会个人信息具有的商业价值，使得个人信息保护在跨境交易状态下的安全显得尤为迫切，这必须由法律加以规范和保障。

（一）我国法律仅规定个人信息保护原则

我国《民法总则》《网络安全法》《消费者权益保护法》《刑法修正案（九）》都有对个人信息保护规定：《民法总则》规定了法律保护个人信息的一般原则；《网络安全法》和《消费者权益保护法》具体规定了个人信息获取的同意原则及个人信息收集、使用、公开的法律限制，明确规定了经营者持有个人信息的法律义务；《刑法修正案(九)》则规定了侵犯公民个人信息罪；《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》更是阐明了该罪的入罪条件，即非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上。①参见《最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，《中国信息安全》2017年第6期。从法律追惩的空间范围来看，则必须是发生在我国国境内的侵犯个人信息的违法行为；从法律追惩的责任类型看，法律追责主要是刑事责任、行政责任和民事责任。收集、使用、处理数据不符合法律规定会导致三种法律后果：第一类是刑事意义上的相关责任，个人或单位均可因个人信息犯罪而被处以有期徒刑或是罚金。第二类是民事意义上的相关责任，具体可包括强制性侵害中止、支付损失，公开道歉等。第三类则是行政意义上的责任，主要指代由我国行政部门主导或监督下的通报批评、责令整改以及吊销执照等情形。

（二）我国法律对个人信息跨境流动尚无明确规定

在新出台的《网络安全法》和《国家安全法》中，对于我国当前信息基础设施的运行安全保障与维护部分首次触及到个人信息数据跨境流动的有关问题。但对个人信息数据跨境流动的保护条款付之阙如，如对跨境旅游中的个人信息跨境泄露所导致财产损失如何救济？而且，以民营资本的网企为代表的非国有制经济部门或机构所掌握的个人数据是否可以跨境流动、与国家安全稳定未具有直接关联性的数据在跨境流动时是否需要加以严格审查、以及审查的标准等问题，我国目前的法律对于这些疑问尚无明确性规定，这也从侧面反映出了现阶段我国法律在个人信息跨境流动保护问题上的不足。

在大多数西方发达国家，其国内法通常设有负责个人信息保护的专门性维权或司法机构。不过，在具体对待数据跨境流动时，即使是在西方发达国家内部也会根据本国的实际情况采取同等原则或对等原则。一般意义上，无论采取何种原则，国家安全和数据安全都是依照切实情境做出选择的理性出发点。值得注意的是，跨境法律救济是国家间法律适用的互动，对于跨境电商持有的外国公民的个人信息，应建立个人信息的境外保护原则，尤其需注重国家间基于同领域立法与执法上的协调性调和。

（三）我国跨境旅游数据合规性不足

数据合规是一个新兴概念，主要是指对于数据的持有或使用合法，且不存在侵犯他人隐私的情形，亦不可违反所在国的相关法律。具体而言，就是在信息的搜集、传递、使用、备份等操作环节中要特别注意个人信息安全的保护问题。可以说，这一概念的提出，在无形中要求着跨境旅游个人信息的安全保障需要了解每个国家相应的的法律监管体制。且当前阶段的跨境旅游个人信息数据交易仍具有较大的不确定性，涉及权力归属、资产评估等范畴。就现有的国际经验来看，解决这些问题的核心可被概括为三点。首先，需制定跨境旅游个人信息数据的采集、流通和商用的统一化营运准则。其次，可尝试构建应对数据泄漏时的应急机制，力求危机发生时，可在极短时间内予以数据本体的恢复。最后，以法律形式稳定用户隐私保护机制运行和评价机制。此外，跨境旅游个人信息保护应以对等保护原则或同等保护原则为前提，必须坚定不移地奉行国家安全与稳定至上原则，且需不断进行法律语境下的调适，使之尽快与相关的国际协定相和谐。

四、跨境旅游个人信息法律保护机制构建

任何严谨而精确的法律对策决断与法律机制建构都应建立在对某一现象或问题的科学化综合分析的基础上。加之法律研究与建设所针对的社会现象或问题本身就具有相当程度上的多元性与曲折性特点。而我国作为幅员广袤、人口众多、整体性法律框架不完善、国民法律素质参差不齐的发展中大国，这种多样性与复杂性亦会随之而放大。因此，唯有利用现代化的科学路径与手段对我国跨境旅游及其相关产业中的样本数据进行客观而高效的收集、统计并通过步骤化的推算论证，方能够得出一个具有真正社会意义的参考性数据以服务于我国针对跨境旅游个人信息安全的法律机制构建。

（一）我国跨境旅游个人信息安全预警系统的构建

上文所述的科学化路径与手段主要是指基于旅游管理与预警理论而生成、运行的 TOPSIS 系 统①参见马天、姜德鑫、张雯欣、周浩然：《丝路经济带核心区”（新疆）旅游安全机制的法治化路径研究》，《山东青年政治学院学报》2017年第2期。。 所 谓 TOPSIS（Technique for Order preference by Similarity to an Ideal Solution）法是由美国著名学者C.L.Hwang和K.Yoon二人于1981年首次提出的。TOPSIS法通过对有限评价对象与理想化目标的接近程度进行排序的方法，在现有的对象中进行相对优劣的评价。其构建方法与步骤如下：

通过采集旅游目的地（可宏观到某国，亦可细化至某地）的个人信息安全度、自然灾害爆发频率、交通路况安全度、瘟疫流行性疾病爆发频率、政治稳定度、社会整体稳定度、主客文化融合冲突指数等九大原始性样本数据，再经熵权TOPSIS的综合评价，即：首先通过构造规范化矩阵，把用信息熵法确定的权重（jω）整合到归一化后的数据性矩阵当中②参见马天、张丽、地丽格娜、地里夏提、赵士渊：《十三五”新疆经济破除资源诅咒新基点分析——以对韩旅游客源市场拓展为例》，《渤海大学学报（哲学社会科学版）》2017年第1期。，如下：

其次，确定理想化最优方案Y+和最劣方案Y-。分别为：

第三，计算各评价方案到最优和最劣样本方案的距离d+i 和d-i，国际上一般采用欧氏距离：

最后，计算各评价方案与最优方案的相对贴近度Ci。根据TOPSIS法评价原理，所谓最优方案就是同时满足距离最优方案最近和距离最劣方案最远的两个条件的方案。其演算公式为①参见马天、张丽、地丽格娜、地里夏提、赵士渊：《十三五”新疆经济破除资源诅咒新基点分析——以对韩旅游客源市场拓展为例》，《渤海大学学报（哲学社会科学版）》2017年第1期。：

以TOPSIS系统方法进行跨境旅游综合性安全评价和个人信息安全的预警研究，不仅可以对我国现阶段跨境旅游基础上的个人信息安全问题做出前沿性的科学化预期与判断，也能够在全局上为后续的相关性法律机制的构建提供颇具客观化与科学化的数据、样本的铺垫。从而确保未来我国针对跨境旅游过程中个人信息安全问题所提出、制定的法律保护原则与机制可以在最大程度上符合我国人民与社会的实际性需要，并具有一定纵深的国际融合性。

（二）跨境旅游个人信息的本地保护原则

1.国家层面解释性规则的制定。近年来，为维护网络信息秩序、保护信息安全，我国政府及相关部门业已出台了上百部法律、法规及规章文件，②参见肖成俊、许玉镇：《大数据时代个人信息泄露及其中心治理》，《内蒙古社会科学（汉文版）》2017年第2期。但对于个人信息的跨境流动保护、跨境旅游个人信息安全问题等仅仅是原则性规定，不能有效遏制国家间人员往来中个人信息跨境流动中的侵权及网络信息安全问题。

依据《网络安全法》关于网络信息安全的条款，应尽快制定个人信息跨境流动的实施细则。可比较并具体借鉴欧盟于1995年8月起生效的《关于对个人数据处理中的个体保护及数据自由流动的指令》（下文均简称为《指令》），力求建立起具有我国特色的个人信息跨境转移条件准入制度和相应的操作规则。这个细则要限定一些数据类型、规定转出方和转入方需要遵循的程序和标准、需要采取的保护措施等。跨境旅游个人信息的保护涉及三方主体利益，即旅游者持有的个人信息、旅游经营者持有的个人信息和境外第三方持有的个人信息，在国家层面制定《跨境旅游个人信息安全管理办法》有利于跨境旅游贸易和信息的自由流动。在未来制定的实施细则中应当注意以下内容：一是明确对互联网跨境旅游个人信息流动的合同制度；二是建立旅游者个人信息保护的法律救济制度；三是建立跨境旅游服务企业个人信息的隐私规则体系，实行跨境旅游服务企业个人信息保护的认证制度；四是确立信息安全评估标准进行充分性审查制度。

2.行业层面信息隐私保护自律规范的形成。在跨境旅游个人信息安全保护领域，单纯地依靠国家层面细致入微的立法、行政、司法保护手段，会出现权力过度干预引发的贸易壁垒，从而影响到开放市场条件下旅游贸易的跨国流动。因此，可以考虑在旅游服务行业内部建立个人信息保护的自律规范。③参见 高志明：《个人信息保护中的自律与监督》，《青岛科技大学学报（社会科学版）》2016年第3期。

此种自律规范，应当包括两个部分：一个部分是适用于国家各类企业、行业的个人信息保护自律规范，即由中央网信办组织制定的个人信息保护的行业指引性规范，各行业或者协会按照指引性规范的总体要求加以具体化。二是由具体的行业制定个人信息保护办法，涉及网络技术软件的同意条款服务、隐私标识认证和个人信息保护评价等内容。以“旅游服务企业隐私标识认证”为例，向获取及持有旅游者个人信息的旅游经营者颁发隐私标识，一方面可以督促旅游服务企业改善个人信息保护的技术水平，还可以将该隐私标识纳入国家企业服务认证管理体系，实现与网络信息安全监管系统的衔接。

（三）跨境旅游个人信息的国家间充分保护原则

1.个人信息跨境流动的同一保护规则。跨境旅游是跨境贸易的一部分，跨境旅游与跨境贸易一样，都必须依托个人信息数据的跨境流动来支撑其商业需求。因此，跨境旅游个人信息的安全保障措施，是基于国家安全策略来限制个人信息数据的跨境流动。以欧盟2016年4月14日通过的《一般数据保护条例》为例，新的条例实行充分性保护原则，提高了欧盟对个人信息保护的标准，并且两年后该条例将取代1995年发布的《指令》。①参见张建文、张哲：《个人信息保护法域外效力研究：以欧盟〈一般数据保护条例〉为视角》，《 重庆工商大学学报（社会科学版）》2017年第2期。该条例沿袭了欧盟一贯重视保护隐私权的传统，对于个人信息跨境流动设置了同一保护，分为两个层次：一是欧盟成员国内的数据跨境自由流动的原则；二是欧盟成员国以外的第三国数据跨境流动必须遵循“信息充分性审查”原则。欧盟特别强调政府对数据跨境流动的控制以及建立同一的标准和统一的立法。我国在构建跨境旅游个人信息安全保障的法律机制时，可以借鉴欧盟的《条例》，建立国家内和国家间的个人信息跨境流动的同一标准和统一立法，实现个人信息跨境流动的充分性保护，促使信息传输整个过程中保持数据跨境自由流动与国家安全利益之间的平衡。

2.个人信息跨境流动的对等保护原则。跨境旅游带来个人信息数据的双向流动，对数据流动限制的严与松，会产生类似于贸易顺差和贸易逆差的效果。对于个人信息数据的跨境流动，有些国家、地区采取同等原则或对等原则，而个人信息跨境数据流动的前提，是流入地与流出地对数据的保护达到同等水平。个人信息数据跨境流动与国际贸易的原理类似，贸易有贸易保护主义和贸易自由主义，个人信息数据跨境也有“保护主义”和“自由主义”，每一个国家在立法中都无一例外地规定国家安全、公共利益和个人隐私权的保护。因此，我国跨境旅游个人信息跨境流动法律保障机制的立足和出发点应该是有效建立国家间信息数据传输的对等保护原则，促进全球贸易、电子商务的发展。尽管2012年的《指南》规定了个人信息经营者在跨境转移个人信息时的限制性条款，即未经个人信息主体的明示与同意，或法律法规的明确性许可，亦或是未经主管部门同意，个人信息管理者不得将个人信息以各种方式和渠道转移给境外个人信息获得者。然而，遗憾的是《指南》的规定没有明确个人信息跨境流动的对等保护原则，也没有规定对第三国关于执行个人信息保护立法的审查机制。在大数据及跨境电子商务的背景下，我国亟待未来制定的解释性立法中明确个人信息跨境流动的对等保护原则，促进跨境旅游个人信息安全的法律机制构建。