浅析个人信息跨境使用范围和保护
——以《欧盟数据保护通用条例》为例

■胡紫阳 韩 萌/哈尔滨商业大学

随着跨国跨境数据交流数量的日益渐增，极大地方便了人们的生活，人们在选择商品、选择服务等方面有了更丰富的选择，与此同时企业也能扩大自己的生产渠道和销售范围，带来更多的利润和外汇。但随之而来的是个人信息的使用方式和保护问题，广泛的个人信息包括隐私数据、个人的人格利益等信息，一旦泄露或遭到非法获取，必然会损害个人的权益；而一些重要信息涉及到国家秘密的，如果被境外不法分子获取，将严重损害国家利益和社会利益。因此，个人信息的跨境使用一方面是不可避免的，另一方面也需要的进行规制和保护，从而保障个人利益与国家利益，在促进信息交流的同时又推动不同国家和地区之间的相互发展。目前，我国还没有关于个人信息跨境使用的专门法律，仅在部分法律中有涉及到个人信息保护，如2016年出台的《网络安全法》，其中有涉及到关键信息基础设施运营方面和跨境信息传输的规定，但是涉及范围较为狭窄，对当前个人信息跨境使用的整体覆盖面不够，难以发挥更大的作用。在国际关于个人信息保护方面，也仅加入《APEC隐私框架》。在个人信息传输中，跨境合作的参与率较低，与我国日益增长的国际经贸流量不相适应。在保障我国公民的个人权利、并且最大程度地利用数据流流量带来经济增长，有效平衡二者也是值得考虑。

一、个人信息跨境使用的立法现状

（一）个人信息的范畴

以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的信息，包括但不限于自然人的姓名、出生日期等。［1］其他如《APEC隐私框架》中定义为“个人信息是指与已识别或可识别个人相关的任何信息”。不同的国家对个人信息的定义有不同界定，但也都集中在自然人作为个体，所具有的各种与之相关的信息。

（二）个人信息跨境传输的界定

个人信息跨境传输的概念在1980年首次出现，由国际经合与发展组织在关于个人信息和隐私的保护中的一个概括性文件中提出的，总结为个人信息的传输穿过了国家边界。［2］到信息高速传输的今天，国家或地区境内的个人信息向境外（本国或者本地区以外）传输，或者储存的信息能被境外机构或个人知悉和获取，均可以构成个人信息跨境。

（三）个人数据跨境使用的现状

个人数据流动的背后是信息经济以及涵盖政治和文化的多重价值。在个人信息跨境流动的规范中，我国主要是在《网络安全法》和《国家安全法》体现对个人信息跨境流动加以规制，在《网络安全法》起草阶段曾进行意见征集，网信办牵头的《个人信息和重要数据出境安全评估办法（征求意见稿）》对个人数据跨境尤其是出境的内容、范围和相关概念、相关保护程序等方面进行说明。《民法典》的人格权编也对个人信息的概念和范围有了跟进一步的阐释，与此同时还有筹划中的《个人信息保护法》，都将巩固现有的个人信息的保护，但对个人信息跨境并没有过多的涉及。因此我国在个人信息的跨境保护方面还需要进一步的学习借鉴。

发达国家和地区在科学技术和管理模式等方面占据优势地位，因此能更容易获取到他国个人信息，同时又进一步加强自己境内个人信息保护，如美国、欧盟等在本国输出数据过程中采取了“限制和紧缩”手段，制定更为严格的法律，主要表现在将个人信息划分到基本人权的范围加以保护。尤其是欧盟，不希望欧盟范围内的个人信息流入到其他国家和地区被滥用，同时又渴望最大限度获取其他国家和地区的个人信息。2016年欧盟颁布《欧盟数据保护通用条例》（General Data Protection Regulation，以下简称 GDPR），生效是2018年05月25日，一度视为最严格的个人数据保护方案，1995年颁布的《数据保护指令》(Data Protection Directive 95/46/EC)已经被取代。新法案对欧盟公民的隐私保护力度和范围都有了极大提高，对个人信息和数据确立基础性的一些原则和处理方法。［3］

二、《欧盟数据保护通用条例》中对个人信息跨境使用的规定

（一）扩大个人信息范围

传统个人信息如姓名、出生日期、住址等，GDPR中增加了与社会发展相关的诸多概念，如互联网使用记录、电子数据、收入、教育信息等，同时还增加了个人内在属性的信息，如身体状况和就医记录等与人体密切相关的信息。新的《欧盟数据保护通用条例》中引发关注的变化主要集中在该通用条例新增了基因数据、生物性识别数据和健康相关的数据。其中基因数据包括人的自然属性中有关遗传或者获得性的基因或者DNA，能反映出人的生理或者身体的独特信息，尤其是对人的生物学的分析，可能包含更多的未表现出的状态，如遗传病或者病变癌症等。生物性识别如指纹识别、面部识别等特征而能独特表现的人的标识。和健康相关的数据，指的是与人的自然属性和社会属性密切相关的精神状态数据（如是否患有精神病等），以及血液样本、医疗记录和药物禁忌等。这些信息不再局限于普通人易得的信息，而是需要一定科技支撑或者保密性强的个人DNA、血液样本等，进一步增强了对个人信息的保护。

（二）扩大了适用的范围和方式

GDPR不仅在欧盟境内适用，对境外的信息管理者、处理者、保管者等均予以适用，如欧盟境外向欧盟境内提供服务或者存储的企业或组织，均受到该条例的约束。欧盟境外的相关组织和企业也在积极应对，苹果公司、微软公司，还有包括中国腾讯在内的互联网公司均声称遵守GDPR，当在这些公司注册的用户在欧盟地区获取公民个人信息的时候均会被邮件告知删除欧盟用户的信息。

（三）进一步明确处理个人信息的原则

GDPR对处理个人信息的原则主要是获取的时候要合理合法以及透明。收集个人信息的时候目的具有正当性。使用个人信息的时候尽可能以最少的信息表达即信息使用最小化原则。使用个人信息应当准确无误，不准确的信息应当及时删除或者更新。限期“遗忘”，完成某个目的而使用的个人信息，达到目的后应当删除不再储存。最后一个是完整性与保密性，即不可随意泄露个人信息，也不得肆意破坏完整性。

以上六大原则进一步明确了使用欧盟成员国公民个人信息应当遵循的原则。核心是“充分保护”，并且为了在信息转移上进行更深层的规范，个人信息跨境转移还需要遵循信息处理的原则，［4］有力的保障了个人信息在跨境使用过程中的稳定性和安全性。

三、结语

GDPR对个人信息跨境使用的保护方式是以专章的形式确定，个人信息的范围也有了极大的扩张，为个人信息的保护确立了统一标准，随着时代的发展尤其是科学技术的更新，可以发现欧盟在保护个人信息跨境使用方面非常具有前瞻性和全面性，如基因信息、个人健康信息等需要依托高科技方能察觉的，也专门有规定。这些规定对我国有极大借鉴意义，我国《民法典》中人格权编和《个人信息保护法》正在酝酿阶段，从目前已知的草案和征求意见稿中可以发现，并无太多与个人信息跨境使用方面的规定，这也导致我国公民和企业、组织等在国际交流中处于不利地位，一方面是没有保护意识，另一方面也无明确规范可以遵循。借鉴GDPR，通过平衡各方利益，在制度和规范上保障个人信息跨境使用，对我国经济、文化等在国际交往中有极大促进意义。