吴帝标

（浙江大学外国语言文化与国际交流学院 浙江杭州 310028）

一、两大体系对立与统一 ——GDPR与CBPR

（一）对立中的两大体系：价值取向与问责方式。对于数据流动，美欧体系存在着自由流动和保护隐私的规制范式。欧盟人权公约规定了“隐私及家庭生活受到尊重的权利”，这也构成欧盟在跨境数据流动规制上普遍严格的价值观。而GDPR中的个人信息保护，更倾向于狭隘保护隐私权。与欧盟将数据权作为基本人权，并通过硬法保护不同，CBPR认为过度立法会限制贸易发展，因而CBPR奉行以市场为主导，以行业自律为中心的个人数据保护政策。

两大体系对跨境数据流动采用不同的规制方法，GDPR是以地理区域为基准的充分性保护原则，进行事前防范；CBPR则是以组织机构为基准，对违规行为事后问责。欧盟的规制途径对于欧盟内部和外部的数据流动采用了统一标准，只要同欧盟公民的个人数据发生关联，GDPR均有权利加以管制；GDPR限制数据传输到地理层面上的欧盟外部，要求提供充分性的数据保护。非欧盟国家可以选择：1.制定与GDPR同等的限制；2.接受约束性公司规则（BCRs）；3.在特定的商业交易中使用标准合同条款（SCC）[2]。这样的数据隐私政策会对全球数字和服务贸易带来阻力，增加合规成本以及公司运营成本，进而抑制企业的创新能力。CBPR在促进数据流动的目的下，采用行业自律的办法。要求企业执行四步走确保数据安全：企业内部评估→代理机构评估→认证符合标准→隐私保护机构问责处罚（违反相关条款的企业）[3]；在实践中，CBPR认证实际上是一个企业白名单性质的做法。

（二）统一中的两大体系：妥协与融合。实际的数据流动中，两种规制模式已经呈现出相互融合、相互妥协的趋势。2017年，欧盟与APEC在越南探讨了体系合作的可能。这种融合见于欧盟GDPR第五章45条“第三国提供充分保护”基础上将标准合同等保护措施作为另一选择，可以一窥CDPR对问责制的引入倾向。此外，加拿大等CBPR成员国也在行业自律的基础上强化了国际监管。美国也与欧盟先后签订了“安全港协议”与“隐私盾协议”。

欧盟事前防范的规制方法设置统一标准，有利于建立稳定的个人数据保护。但由于该路径下的认定的高标准，对数据流动和电子贸易带来阻碍。GDPR事后问责的方法，削弱了数据流动的监管，假定了企业会遵守数据保护条例，过于依赖于行业自律。如同GDPR第50条所叙述，不同保护体系应该建立合作机制，才能实现效率与安全性的有机结合。

二、个人信息权之构建

（一）个人信息权与隐私权之别。个人隐私的必要性已经被各国及区域立法反复佐证。例如，1978年的《美国金融隐私法》认定消费者有个人信息权，且金融机构有义务保护并不得随意向联邦政府提供信息。2016年GDPR第一条开宗明义，将信息纳入个人基本权利。许多国家和组织围绕信息保护已经建立了相应的保护规则——在保护信息权利的基础上，对个人信息进行处理和利用。

（二）个人信息权范畴——OECD下的解读。OECD原则的价值在于为一般规则提供指导。在具体立法过程中，可以规范立法目的，使法规更加灵活。在大数据时代的个人信息保护立法建设过程中，OECD原则的价值更加突出。对于仍处于起步阶段的大数据应用程序，详尽立法可能会在抑制行业发展。兼顾信息保护和大数据发展的背景下，基本原则可以平衡这一矛盾。根据基本原则，在构建中国主导的区域数据规则时候应优先考虑：限制收集原则、限制使用原则、数据保护原则等。结合OECD基本原则，个人信息主体权利的内容中应强调以下四项权利：

1.知情同意权；知情同意权是应明确定义的基本权利之一。信息主体有权了解其个人信息的现状，此权利是确保行使其他权利的前提。随着个人数据的商用扩大，知情权的范围也越来越广。在收集信息的过程中，信息主体有权充分了解收集到的个人信息的主要内容、类型和用途。信息业者应用简单易懂的描述，及时并准确告知主体其信息处理方式和目的，信息主体未予拒绝不应被视为同意。另外，应告知该信息的适用范围，知情权不仅适用于从个人直接获取的数据，而且还保护从任何来源获得的个人信息。

2.数据参与权；数据参与权应包括查询权、拒绝权和被遗忘权。为了合法存储和使用信息，当消费者和企业的法律关系被终止，或者主体的个人信息由其他非法信息获取者拥有时，信息具有被遗忘的权利。为了在个人信息和合理使用之间取得平衡，应甄别信息主体行使遗忘权的具体情况。依据OECD原则，作者定义删除个人信息的原因包括：第一，信息管理者管理和使用个人信息的原目的消失；第二，存储和管理已到期。第三，个人信息的管理或使用超出授权范围。遗忘权涵盖自然人的所有信息。

3.数据控制权；数据控制权意味着主体拥有个人信息所有权利。这项权利旨在平衡信息自由流通与个人信息的保护。根据这项权利，主体有权阻止他人获得个人信息并控制传播。数据控制意味着除非法律允许或获得个人的明确同意，否则任何代理机构、企业均不得以任何方式获取、使用、持有或共享这些个人信息。

4.数据收益权；信息主体还应该具有获得收益的权利。当消费者向企业提交信息以交换商品或服务时，是基于收益目的授权。个体付出部分信息权利获取信息通信服务，使用者利用信息升级为具有附加值的数据。企业贡献信息增值，有权分享信息利益，最终提高了信息效率。鉴于此，信息主体与信息的使用者建立了默契合作。一方面，消费者是信息的主体，享受信息的最终控制权。主体应具有以上提到的权利，即知情同意权，控制权和参与权，使用者可以通过开发让信息增值，这也是平衡效率和安全的关键所在。

三、一带一路沿线及周边国家数据保护立法

纵观一带一路沿线各国，都以人权法理为个人信息保护确立基础。作为一带一路发起国，中国在推动全球数字贸易规则制定方面，需争取国际话语权。本文选取部分一带一路沿线数字经济发达国家，对其立法特征进行解读：

阿联酋。阿联于2019年出台数据保护法，参考GDPR等法律实践。阿联酋通信管理局（TRA）启动了2020-2025战略，以应对网络安全事件。2019年1月，阿联酋总统签发总统令，规范健康领域技术和交流信息使用行为，该法令对个人健康数据的公司提出了数据驻留要求，即数据本地化。2019年3月，TRA实施了一项规范IOT运行的政策将GDPR概念引入，如隐私、数据最小化和目的限制等。

印度。2018年印度发布了《个人数据保护法案》（PDPB）。该法案在欧盟GDPR颁布后做出了修改，规定了印度个人数据采集、存储、处理和传输的方式。该法案主要内容与欧盟GDPR基本一致，但对数据客体的界定、数据本地化问题、数据安全影响评估三项内容也作出了富有印度特色的规定。该法案引进并划分了“数据受托人”、“数据所有者”和“数据处理者”的概念，规定了数据主体的权利以及数据处理者应承担的义务。另外，该法案还规定了个人数据跨境传输的合法途径。

泰国。泰国对各国的数字经济思路秉承学习的态度。2018年9月，泰国政府向国会提交了一部包含GDPR特色的个人数据保护法（PDPA）草案，并将于政府公报一年后开始施行，这是泰国第一部规范数据采集、适用的法律，强调数据控制者和处理者的义务，更加注重保护数据主体的合法权利。

一带一路沿线各国趋势是扩大个人数据保护范围和强度，在法律上明确数据主体的权利以及数据使用者的义务。涉及到数据与国家安全的博弈时，各国显得十分谨慎。部分国家还建立数据保护机构，如泰国个人数据保护委员会、新加坡网络安全委员会。沿线国家从严立法的观点和我国立法观点一致，为下一阶段我国开展区域数据流动立法合作打下了基础。

四、各国立法实践对我国个人数据跨境流动规则的启示

（一）推进行业自律制度建设。行业自律制度建设，即加强数据行业的参与立法。数据行业作为新兴产业，即便国家进行模糊立法，依然不断出现新的法律风险。而此时，推动行业形成自律就显得尤为重要。

1.风险评估能力。在跨境数据流动过程中，企业是否可以审慎保管其掌控的数据；是否采取了适合的数据保护方案需要要反复推敲。鉴于行业内部存在争议或能力参差，我国应引入国际上已被广泛接受的信息安全管理标准，借鉴国际标准化组织和国际电工委员会的政策，如隐私框架标准等。应出台相应的使用主体保护规则，建立健全数据保护体系，完善企业数据安全能力。制度上，为企业提供一定的监督和指导，提升企业的数据保护水平。这在消除中国企业信息保护缺失的同时，帮助企业同国际标准接轨。

2.数据评定标准。引导大数据行业依照国家法律法规建立行业规范。行业数据评定标准可以纳入不同维度的评定专家意见，如技术向的大数据研究院；学术向的管理科学研究院学术委员会；商业向的贵阳大数据交易中心。不同维度的专家的关注不同，但可以共同构建跨境数据流动监管。我国立法机构可借鉴优秀评定标准，即行业标准升华为国家立法乃至区域立法。在数据流通宏观法律项下，行业可以通过健全数据流动法律法规，为企业间的数据跨境流动提供安全保障。

（二）中国融入国际制度建设体系。

1.将中国的跨境数据保护方案纳入FTA；美国已经在FTA谈判中引入跨境数据监管。2012年美韩FTA中，首次在电子商务章节中引入跨境数据流动规则，即第15.8条规定了成员方应避免对跨境电子信息流动施加不必要阻碍。[4]即便未对数据类型做出清晰界定，但是创造性的路径提升了美国的跨境数据话语权，标志着数据流动规则第一次被纳入强制性协议。中国跨境流动规则适宜受众应为一带一路沿线各国。过去几年中国与沿线各国有了深刻的经贸往来，中国提出的数据流动主张更易被接受，有助于巩固一带一路成果并提升中国国际话语权。

2.参与多层次的外交、商贸谈判；故为兵之事，在于顺详敌之意。随着跨境数据流动逐渐热门起来，并成为新的国际贸易的重要环节。在完善国内立法的同时，还应积极开展国际合作。可以借鉴美国“隐私盾”路径，在数据使用的同时兼顾隐私保护。我国可以拓展相应的国际体系，为企业创造营商环境。同时，我国可通过亚投行、一带一路区域立法等渠道，探索区域数据流动规则谈判，并提升数据话语权。在尚未形成统一跨境数据流动规则的情况下，中国可以通过RCEP等谈判，向一带一路沿线及国家输出跨境数据流动标准，降低合规差异给跨境数据流动带来的风险，让中国标准成为世界标准，实现数据产业发展和中国国家数据话语权建构。

（三）区分数据类型。我国政府可参考欧盟的数据保护委员会，设立统一的执法机构，同样措施已被一带一路部分国家采用。依托《网络安全法》，在统一的执法机构下，明确个人数据的边界范围，区分个人敏感信息和一般信息。对前者予以保护，限制收集、加工和流动。对后者强化利用，最大程度地发挥其商业和公共管理的价值。同政府数据相比，个人数据的传输数量更大，因此立法中的个人一般数据交易范围应采用“负面清单”模式，制定禁止交易的数据目录，对不同数据采取梯度管理方法。

单文华（1998）[5]认为负面清单模式会妨碍东道国对新出现的投资部门行使必要监管权，这对于金砖国家等新兴经济体尤其不利。如按照负面清单“法不禁止即可为”，外资可对关系到未来经济增长根本动力、或涉及重要数据流动、或涉及敏感社会政策调整的若干重要部门“长驱直入”，从长远看可能会危及中国经济主权。数据作为新型生产资料，使用主体复杂性、需求差异应被综合考虑，应在安全和经济发展之间谋求平衡。维护我国国家利益的同时也能实现数据跨境流动的理想状态，实现数据行业的长久繁荣。

结语

国家的数据保护系统通常是国内数据保护和跨境数据保护共同组成。为了保护国内数据，立法机关可以设计高标准的个人信息保护制度。但是，在设计跨境系统时，政府不能要求第三国的水平与其国内水平保持一致。从本文的分析中可以看出，欧盟的解决方案和美国的解决方案都不能完全适用于中国国情。在构建本国个人数据跨境流动规则时，可以对GDPR和CBPR的优势加以借鉴：以问责制为核心，发展一般个人信息，明确数据主体权利并对数据使用者义务加以监管；以事前防范为方法，保护敏感个人信息和对国家影响重大的个人信息，避免出现国家安全疏漏。通过参考OECD的基本原则，并借鉴其他国家的方法，阐明个人信息权利的范围，应包括：知情同意权、数据控制权、数据参与权和数据收益权。在立法过程中应充分发挥数据产业的力量。在制定数据保护标准方面，必须坚持国情、坚定维护国家数据主权，在数据监管与人权保护，国家利益和国际合作之间取得适当平衡。在跨境数据流动立法上，要积极参与国际合作，不断借鉴已有成熟实践如FTA为我国跨境数据保护法做背书。也要致力于区域合作，在一带一路既有成果的基础上，继续探索中国跨境数据流动监管合作，提升中国数据话语权。