粤港澳大湾区个人信息数据跨境传输与治理的困境探析

付钰禧

摘 要：粤港澳大湾区的智慧化治理与发展刻不容缓，而解决个人信息跨境传输与治理是推进粤港澳大湾区建设过程中不可回避的难题。由于粤港澳三地存在“一国两制三法域”的特殊情况，笔者通过对两岸三地关于个人信息保护制度进行分别考察，并从法律基础等具体角度出发探讨，从而揭示粤港澳大湾区内关于个人信息数据跨境传输与治理的困境与难点。

关键词：粤港澳大湾区;智慧湾区;个人信息数据;跨境传输与治理

中图分类号：F27 文献标识码：A doi：10.19311/j.cnki.1672-3198.2022.10.018

1 问题的提出：湾区智慧化建设的必由之路

2019年2月，中共中央、国务院印发《粤港澳大湾区发展规划纲要》，其中赋予粤港澳大湾区五大战略定位，并以粵港澳大湾区成为世界级城市群为首要目标;而粤港澳大湾区要成为世界级湾区，则需充分利用其优势。而在信息技术和科学技术不断发展的今天，湾区智慧化与粤港澳大湾区的建设战略定位相耦合，凭借大湾区两岸三地的差异化背景，通过技术赋能的路径将粤港澳大湾区的治理能力与治理体现现代化予以提升，使得粤港澳大湾区进行智慧化治理并形成体系化的智慧社会，更快更好地完成世界级湾区建设。

基于此背景，粤港澳大湾区智慧化建设依托于大力发展以 5G、大数据人工智能为代表的数字技术，加快了两岸三地之间的资源跨境流通。然而，数据传输与治理问题是在湾区智慧化治理中不可忽视的挑战。信息治理是智慧化治理的基础与根本，而个人信息数据在信息数据体系中无论是从数量抑或是从使用价值的层面来看，都占据主要地位，因此，粤港澳大湾区若要有效推动智慧化进程，那么解决个人信息数据跨境传输与治理问题是其不可规避的难题。

2 粤港澳三地个人信息数据保护之比较

随着互联网的高速发展，数据传输与运用早已渗入生活各处。数据并非附随性的存在，而是具有高度独立性，因此可以通过不同渠道和方式进行存储与传输，从而产生不同的价值。而在粤港澳大湾区智慧化建设之中，个人信息数据的跨境传输无可避免。因此，有必要对粤港澳三地的个人信息保护制度进行考察，并从法理基础、立法现状、保障机制三个角度进行探讨，为区域间实现良性法律互动奠定基础。

2.1 个人信息数据保护的法理基础

纵观当今世界各国各地区关于个人信息数据保护的法律规制与相应体系，不难看出欧盟与美国对世界各国各地区的影响颇大，这当然也是欧盟与美国于近现代在世界上处于强势的经济与政治地位等方面所决定的;但各国及地区多有借鉴且能长期有效运转，也能证实欧盟与美国的个人信息保护体系具有一定的科学性与代表意义，因此当今个人信息保护的法律基础根据欧盟与美国的不同实践与理论可大致划分为“人格权延伸”与“隐私权延伸”两种形式。

欧盟中以德法意西等为首的多个国家都属“大陆法系”国家，由于大陆法系国家普遍对于隐私权的定义相对狭隘，从而难以将隐私权边界延伸至非私密或公开信息的权利保护，所以以德国为代表的大陆法系国家更多的是通过对人格权制度完善来为个人信息提供法律保障基础，具体实践为将个人信息自决权独立为一种具体的人格权进行保护。而澳门受葡萄牙影响，在澳门民法典中将“个人资料之保护”“个人资料真实权”等对于个人信息保护的具体权利明确归于人格权的章节中进行规范，属于“人格权延伸”的法律基础。而香港属于普通法系，受英美影响较大，对于个人信息保护的法律基础更为偏向“隐私权延伸”。美国作为普通法系代表国家，对隐私权保护的理论基础与法律制度体系相对完善;隐私权这一词在美国的含义不仅限于传统理论中对于“隐私”的定义，其表现归纳为物理性、自治性、信息性等多方面的隐私权，而且美国作为联邦制国家，对于法律适用灵活性要求较高，因此对于相关规范属宏观规制。香港对于个人信息保护的核心法律《个人资料（私隐）条例》便是基于隐私权保护的基础出发，规定了关于个人信息保护最核心的六大原则，对个人信息灵活的进行全方位的保护。

而我国大陆地区现阶段由于《个人信息保护法（草案）》尚未“三读”，因此就现在而言我国对于个人信息权尚未有明确的法案予以确立与保护;我国虽属非“大陆法系”国家，但在实践中往往受到大陆法系的影响，因此我国对于隐私权的权利边界限缩较为明显，难以包含包括公开信息之内等全部个人信息，所以采用“人格权”延伸的形式更为妥当。虽然我国《民法典》人格权编第六章中以“隐私权与个人信息保护”为名规避了个人信息权是否作为一项独立的民事权利，但从即将实施的《个人信息保护法》草案中可以发现，我国目前存在以“人格权延伸”为法律基础，将“个人信息权”作为独立民事权利予以保护的倾向;这也属于我国《宪法》第38条对于人格权这一宪法权利的保障实施的具体化体现。

2.2 个人信息数据保护的立法现状

对于两岸三地的个人信息数据保护立法现状来说，香港地区是亚洲第一个制定个人信息保护专门化法律的地区，于1995年《个人资料（私隐）条例》公布，历经2012年重大修订之后一直沿用至今，条例共10章73条，分别为导言、执行、事务守则、个人资料的查阅及更正等，结合核心六大原则对个人信息数据进行全方位的保护。除此之外，于今年七月，香港特区政府将再一次修订《个人资料（私隐）条例》以打击侵犯个人资料私隐的“起底”行为，该草案已于今年七月二十一日提交立法会进行首读和二读。

澳门特别行政区于2005年制定《个人资料保护法》，该法案由于吸收借鉴较多优秀经验，具有较强的体系性和严密性，因此被称作“亚太地区最强的个人资料保护法”。上述法案共9章46条，分别为一般规定、个人资料的处理和性质及对其处理的正当性、资料当事人的权利等规定;但从整体来看，澳门地区对于个人资料的保护不仅存于该法案，澳门对于个人资料保护立法更具有结构性与层次化，《澳门特别行政区基本法》对公民人格尊严和隐私权的肯认，为个人信息的保护提供依据;《澳门特别行政区民法典》中涉及了个人信息的保护实现了民事法层面的保护;最后再由《个人资料保护法》提供全方位细致的规制，层层递进地对个人信息进行保护。

而我国大陆地区在《个人信息保护法》尚未完全确立生效前，对于个人信息的保护立法较为缺失且不成体系，往往于各部门法的具体条文中予以体现。

2.3 个人信息数据保护的保障实施机制

香港地区为保障《个人资料（私隐）条例》落实与实施，于2006年成立了个人资料隐私专员公署，且公署专员由特别行政区行政长官直接任命，以保障专员有足够的权力基础回应公民的投诉与审查监管案件。甚至在某些案件中，公署专员亦会主动介入予以调查;为了保障《个人资料（私隐）》条例更好地贯彻落实，公署还根据各行业特征发布相应的《实务守则》与《指引》。

澳门地区也成立个人资料保护办公室在澳门特别行政区行政长官监督下独立运作，负责监察、协调对《个人资料保护法》的遵守和执行，其职能主要包括“分析研究”“宣传教育”“处理‘通知’”“发出许可、意见书和指引”“调查及处罚”以及“国际与区际交流与合作”六个方面。但个人资料保护办公室的行政属性较浓，对于在调查中对违法主体所作处罚也仅限于行政类的处罚，不涉及刑事领域。

我国目前没有对于处理个人信息保护的专门机构，对于个人信息的保护由于散落于各部门法中，因此救济主体也因事而异;但从《个人信息保护法（草案）》中可以发现，我国希望国家网信部门负责统筹协调个人信息保护工作和相关监管工作，国务院与县级以上地方人民政府也要在职责范围内承担相应的个人信息保护与监管责任。而在法律责任层面，也倾向采取行政为主，刑事为辅的保障体制。

3 湾区内个人信息数据传输与治理困境

通过上述考察可知，我国由于历史原因使得粤港澳大湾区存在“一国两制三法域”的特殊背景;从社会本身而言，粤港澳三地之间的社会制度、政治制度都有所不同;从法律层面来说，粤港澳三地之间的法系、法律观念与相关具体法律规定都不尽相同，从而造成粤港澳大湾区内个人信息数据传输与治理较为困难。

3.1 个人信息数据传输困境

虽然无论是澳门《个人资料保护法》还是香港《个人资料（私隐）条例》都有对于个人信息跨境传输的具体规定，但由于法律适用范围不同，对于个人信息数据的范围界定差异、监管机构不同等情况带来了相应法律屏障与冲突。在大陆地区的视角下，我国《涉外民事关系法律适用法》中没有明确数据信息跨境传输中的责任与权属问题;且在数据传输流程中，根据我国《计算机信息网络国际联网管理暂行规定》，计算机联网必须使用国家公用电信网提供的国际出入口信道，但港澳地区已属国际联网范畴，违反了上述规定。亦根据《网络安全法》第37条规定，信息跨境传输需要由国家网信部门会同国务院有关部门进行安全评估，这一“看似”程序化的条文實则增加了信息传输的难度，除此之外，我国还存在大量有关信息数据跨境传输的禁止性文件散落于各处，这对个人信息数据跨境流动制造了多层阻碍。而在港澳地区的视角下，由于转移个人信息数据时根据不同地区的不同立场，根据信息处理目的与转出地的个人信息数据保护力度的不同，存在准确度风险、不当变更风险与外泄风险等问题，而且就现在而言，我国个人信息保护力度相较港澳地区较弱，大陆地区是否能达到“接收转移信息当地的法律体系能确保适当的保护程度”中的“适当”程度还需讨论。

3.2 个人信息数据治理困境

首先由于“一国两制三法域”的背景导致大陆地区在个人信息数据治理层面无法与港澳地区保持高度一致，即在司法或执法层面，无法高度契合。毕竟我国整体依旧是社会主义国家，无论是香港还是澳门都只是实行特别化待遇的省级行政区划，港澳地区依旧是处于中央的领导之下，我国不可能仅为数据治理便利，动摇执法体系乃至司法主权，加之两岸三地各自立法体系与法律适用于保护力度的差异，使得湾区内协同治理个人信息安全问题的法律制度壁垒难以消除，给区域间的合作发展带来了诸多困境。在法律层面，依据什么适用什么地方的什么法律？由谁保障该法律实施？为什么由该主体保障实施？诸如此类的问题如多米诺骨牌一般，需要一系列的进行研究和探讨。

除了无法形成高效的纠纷解决机制外，对于保障主体之间的对接和协同工作也是困境所在。香港的公署与澳门的个人资料办公室作为专门化机构来进行个人信息跨境治理中的对外对接协同机构尚且可行，但我国目前大陆地区尚未形成专门化的个人信息保护管理机构，即使《个人信息保护法（草案）》得以通过，也是由国家网信部门负责统筹协调个人信息保护工作及监管工作，国务院与县级以上地方人民政府也需在各自职责范围内保护个人信息，主体方面虽然有了主心骨但依旧较为分散，如何进行衔接与衔接主体间的层级关系与等级划分也是需要深思的问题。

参考文献

[1]郭少青.粤港澳大湾区智慧湾区建设：实践障碍与创新改革[J].电子政务，2020，（12）：10.

[2]陶宁.粤港澳大湾区个人信息跨境治理的困境及其应对[J]. 广州市公安管理干部学院学报，2020，31（1）：5.

[3]唐玲，王晓强，侯维亚，等.港澳台个人信息保护法律法规及标准研究[J].标准科学，2013，（003）：39-42.

[4]杨翱宇.澳门特别行政区个人资料保护法的文本与实践[D].成都：西南政法大学，2017.

[5]杨翱宇.个人信息保护的特别机制研究——以澳门《个人资料保护法》为考察样本[J].图书馆，2018，（03）：68-74.