个人数据跨境流动的行政监管

叶经天

【摘要】互联网时代，国际贸易和国际投资产生了大量跨境流动数据。对个人数据跨境流动的规制，需要以行政监管的视角，运用比例原则对行政监管策略进行建构。基于保护个人数据权益和维护国家安全的目标，我国对于数据跨境流动的行政监管应该秉持适当性原则和必要性原则，在实现行政监管目标的基础上，对数据的跨境流动产生尽量小的影响。在比例原则下，应当采取适当的行政监管措施：市场准入机制和个人信息销售许可、数据分级分类管理、数据留存，并使行政监管的目的与手段能够经受适当性与必要性原则的检验。

【关键词】数据跨境流动；行政监管；比例原则；必要性；适当性

【中图分类号】D912.1

一、引言

习近平总书记在第二届世界互联网大会上强调，互联网是人类的共同家园，各国应该共同构建网络命运共同体，推动网络空间互联互通、共享共治，为开创人类发展更加美好的未来助力[1]。网络空间为数据的流动创造了前提，个人信息转化为数据，没有了空间和时间的阻隔，实现了互联互通，各种数据交换为国际各个行业带来了社会效益和商业价值。但是同时，这种数据流动也给国家、个人的数据安全带来了风险，也因此需要各国对数据跨境流动进行共同治理。对于个人数据跨境流动的规制，行政监管手段必不可少，与此同时，行政权力的行使要符合比例原则，下文就运用比例原则构建、审视我国的行政监管策略，同时提出适当的行政监管措施。行政监管所的首要目的是：保护个人数据权益和维护国家安全，再通过探讨目的和手段的合比例性，分析我国的行政监管策略。需要提到一点，个人数据跨境流动中所谓的个人数据，采用可识别性的解释，即通过信息资料可以识别出具体个人的数据。而对政府数据等非个人数据而言，由于很少涉及到商业利益，也就无所谓个人数据安全和商业利益的平衡，因此下文所提及的数据皆指个人数据。

二、个人数据跨境流动的行政监管目标

（一）保护个人数据权利

个人数据权利，也可以称之为个人信息权。个人数据与个人信息实际上是一体两面，数据是载体、形式，而信息是实质、内容，因此二者经常不加区分[2]。个人信息权是涵盖人格权与财产权的复合权利。从我国《民法典》的编排上可以看出，个人信息是人格权的客体；同时，个人数据作为一种无形财产，可以买卖、加工、传输，也属于财产权的客体，而作为数据主体的个人，对于自己的信息拥有市场交易的控制权，同时这种私权利也要受到公共利益的限制。因此，从人格权和财产权两个向度看，个人数据都在跨境流动中有被侵害的风险，有必要采取行政监管措施保护个人的数据权利。

在互联网大数据的背景下，对于数据流动的市场需求，必然会与个人数据的保护产生矛盾。一方面，个人数据的需求量庞大，数据是21世纪最有价值的资源，数字经济从根本上改变了传统企业经营、生产、销售的方式，不仅如此，数据还可以作为信息时代的生产资料，有大批数据公司以数据为原料，对数据进行加工、处理、分析，进而产出各种数字产品，提供各种数字服务。在全球化的大背景下，企业对外投资、进行贸易，或多或少会涉及到个人数据的跨境流动，这是无可避免的。除了企业对于数据流动存在着路径依赖外，数据主体本身也有对于数据流动的诉求，在浏览网页、利用社交媒体时，数据主体都会自觉或不自觉地将浏览记录、位置等信息传递出去。可见，个人数据的跨境流动是国际经济和社会发展的趋势，无论企业还是个人都对其有巨大的需求[3]。

另一方面，大数据环境又对个人数据的行政监管带来了诸多困难。在传统互联网的信息存储模式下，数据一般存储在本地服务器中，服务器相对固定。但在大数据环境下的云存储模式比较特殊，其属于一种基础设施即服务（IaaS）的云计算服务模式，是将用户上传的资源存储在云端的一种存储方式，用户可以存储文档、图像和音乐文件等数据，大部分云存储服务允许用户跨平台访问其云存储[4]。云服务商可能在不同地区拥有多台服务器或者存储设备，这就导致普通的行政监管模式可能无法对其进行有效的监管[5]。因此迫切需要采取合适的行政监管策略，以保护个人的数据权益。

（二）维护国家安全

个别的个人数据流动可能只属于个体的数据权利范畴，但一旦涉及大范围、大批量的数据跨境流动，这种海量数据流动的意义显然超越了私人权益的界限，从而进一步对国家安全产生影响。具体而言，海量数据的跨境流动可能对经济主权、文化主权和信息主权产生影响。在经济主权方面，由于发达国家的技术优势以及在数据方面的先发优势，发达国家将会掌握一些发展中国家无法掌握或者分析的经济数据，比如本国的经济状况，这会使得发展中国家需要向发达国家购买这些数据，也使得发展中国家在与发达国家进行经济上的交往时，处于自身信息被暴露的被动地位。在文化主权方面，发达国家可以利用掌握的各种个人信息进行大数据分析，从而对发展中国家进行文化输出，发展中国家却无法基于纯粹的技术优势进行价值观输出，因而在文化阵地战中，发展中国家處在弱势地位。在信息主权方面，尤其凸显国家利益受损的问题，数据跨境流动需要人力、物力以及相应地配套制度支撑，发展中国家往往缺乏这种信息技术，在发达国家的压倒性技术优势下，很可能本国的数据产业无法发展起来，使得有效的数据流动变为单向，发展中国家无法利用流向本国的数据产生经济社会效益，相反，发达国家却可以实现对数据的价值转化[6]。

基于国家安全目的，对数据流动进行监管有其必要性。特别是在大数据迅猛发展的当下，国家安全、治理、发展无可避免需要运用数据手段，某些特定的个人数据集合对于国家来说有至关重要的作用[7]，因此在国际贸易与国际投资领域中，对于涉及到国家安全利益的数据跨境流动，有着“国家安全例外”。在世界贸易组织框架下，《关税与贸易总协定》（GATT）与《服务贸易总协定》（GATS）均设置了安全例外规则，允许成员出于自身安全目的获得义务免除。尤其是GATT第21条a款规定：“本协定不得解释为要求任何缔约国提供其根据国家基本安全利益认为不能公布的资料”，该条明确了对于数据流动限制的国家裁量权，成员可以根据自身安全利益，对数据跨境流动作出一定的限制。在国际投资领域，同样存在准入前的国家安全审查以及后台智能传送服务（BITs）中的国家安全根本例外条款[8]。这说明，在国际贸易与国际投资法中，基于国家安全目的的限制获得了合法性认可，我国《个人信息保护法》第四十二条也规定了对危害国家安全信息处理活动的限制与惩罚，所以有必要将维护国家安全列为合理的行政监管目标。

三、运用比例原则衡量行政监管措施：欧盟与美国的经验

上文已经论证了行政监管的两个目标的合理性：对个人数据权益的保护以及对国家安全的维护。下文将根据比例原则，对行政监管的策略进行建构，使得行政监管的手段可以经受比例原则的审视。比例原则包括适当性原则（Geeignetheit）、必要性原则（Erforderlichkeit）以及均衡性原则，三个原则依次递进，构成层次秩序（Rangordnung），比例原则是控制行政权滥用的有效的、不可忽视的利器，[9]对于数据流动的行政监管，同样要遵循比例原则，对限制数据流动的行政手段进行反限制。下文主要运用适当性原则和必要性原则，探讨行政监管措施的合比例性，由于均衡性原则需要在价值层面进行考量和权衡，限于篇幅在此不做展开。

目前，国际上存在着两种比较有影响力的跨境数据流动规制策略，分别以欧盟和美国为代表。欧盟采取了严格限制个人数据跨境流动的监管策略，而美国奉行以市场为主导，以行业自律为中心的规制策略。在价值取向上，欧盟更注重个人数据权的保护，而美国更强调数据的自由流动；在路径选择上，欧盟是“以地理区域为基准”（geographically based），依据“充分性”原则，依照事前防范的规制路径，美国则是“以组织机构为基准”（organizationally based），采用“问责制”原则，进行事后问责[10]。但相同的是，欧盟和美国在国际的跨境数据流动监管规则制定上都有着很大的话语权。

中国数据跨境流动政策更多是从维护国家安全的角度出发，基于网络主权而提出的。例如《网络安全法》第37条规定了：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”实际上，中欧均对日益增长的数据流动采取了深度干预的策略，原因在于，美国凭借其在技术、产业优势以及灵活的监管制度优势，已经在数据跨境流动领域拥有了先发优势，对于个人数据权益的保护、国家安全问题并没有过多的顾虑，而中欧相对于美国，在这些方面都处于劣势，无法采取类似美国的以市场为中心的规制策略。虽然美国的策略最大程度地防止了对数据跨境流动的行政干预，但是对于中欧来说，它不能有效地保护相对应的经济利益和安全利益，因此中欧建立了相类似的普适性数据跨境流动规制机制。可以说，欧盟与中国对数据跨境流动的监管目标是高度一致的，而且欧盟的监管经验相比中国要丰富得多，那么在讨论行政监管措施的合目的性时，欧盟的做法就对我国有着很好的参考价值。要明确的是，对数据流动的行政监管措施只能作为一种手段，其自身并非目的，中国对跨境数据流动的监管要符合比例原则，在实现行政监管目标的前提下，对数据的跨境流动产生尽量小的影响，在商业利益、个人权益、国家安全之中寻找一个最佳平衡点[11]。

四、对个人数据跨境流动的行政监管措施

（一）市场准入机制与个人信息销售许可

行政监管部门需要完善数据服务商的市场准入机制，包括对服务商的技术的技术标准和技术能力进行一定的限制[12]。在组织机构方面，要求服务商具有完备的组织机构和相应地具有专业知识能力的管理人员，以及处理数据的信息专员，以满足对于数据领域的高专业度要求[13]。在适当性原则的考量上，市场准入机制没有什么瑕疵。但是，基于对必要性原则的考量，市场准入机制的壁垒不宜过高，以避免阻碍数据流动，这就不利于中国数据信息产业的发展，遏制了企业数据创新的激情，最终也不利于国家的大数据战略和建设数字中国的目标。过高的技术壁垒也不利于中国在国际中的竞争，在国际互联网“巴尔干化”的大趋势中[14]，中国要立足自身，确立完善的且适合本国的准入标准，以夺取国际竞争中的战略制高点。

个人信息在流动中被侵害的风险越来越高，因此，出于保护个人数据权益的目的，对个人信息的交易进行许可非常重要[12]。该机制可以从源头上控制个人信息的流动渠道，同时，鼓励企业之间相互监督，以竞争的方式促进对于个人信息交易的监督，来保证销售许可机制能够以较少的行政权介入，达成保护个人数据权益的目标。

（二）数据分级分类管理

在对数据流动进行事中监管时，我们可以采取对不同类型数据进行分级分类管理的方式。采用分类监管的方式较为高效，但是分类的标准应该明确适当，不宜过粗或过细。分类标准粗糙，则达不到分级分類的目的，分类标准过于琐细，则可能带来额外的行政监管负担。数据分级可以从三个维度考虑，一是根据保密程度不同，禁止涉密数据、政府数据、重要经济数据等的跨境流动。二是依据个人数据的敏感程度不同，对于涉及身体健康、基因信息、个人账户密码等事关人身权、财产权的数据，禁止其跨境流动[15]。澳大利亚在这方面可供借鉴，澳大利亚制定了澳大利亚隐私原则（APP），个人健康数据属于最为敏感的数据，在收集、使用方面都有着更严格的要求，一般情况下禁止健康数据的跨境流动。在澳大利亚《个人控制的电子健康记录法》（PCEHR）中，禁止具备识别性的个人健康数据向境外传输。一般个人数据的跨境流动则需要遵循APP中的各项规则，违反规定也不能进行数据跨境流动[16]。我国《个人信息保护法》则对敏感数据的处理作出了额外限制，且需要“单独同意”。三是按照《网络安全法》第37条明确的基础设施关键性来划分，《个人信息保护法》也对关键基础设施运营者作出了特别规定，应当将境内收集产生的个人数据存储于境内。对于跨境数据的分级分类管理有利于维护国家安全和保护个人信息安全的政策目标实现，同时，也能平衡经济效益和权益保护的问题，对于重要数据进行重点的行政监管，对于一般数据则采取不那么严格的标准，兼顾个人数据跨境的自由流动、对于个人信息数据的保护和维护国家数据主权的规制目标[17]。

（三）数据留存

2006年，欧盟通过了数据留存指令，最初该指令的出台源于国家安全利益考量，欧洲需要对个人数据的开放，以便执法人员利用个人数据侦查犯罪、打击犯罪。但随着全球化扩张，大数据、云计算等手段的应用也更加广泛，出现了跨国公司异地调用数据用于自身业务的现象。个人数据跨境流动的安全问题逐渐暴露出来，数据留存制度监管的重心不再是本地留存数据，而转变为对数据跨境流动的监管[18]。数据留存指令要求欧盟各国保证留存数据仅供获得授权的国家机关使用，该种授权出自司法机关或者其他职能机构，该指令规定各国数据留存的期限应在6个月至2年之间[19]。欧盟的数据留存制度可供我国借鉴，在国家间数据规制控制权并不对等的客观现实下，数据留存法律制度能够最大化保障国家主权，实现维护国家安全的政策目标。对于数据留存采用的方式，可以规定数据服务商若向境外传输国内用户个人数据，应当进行备案，并要履行相应的法律义务。同时可以运用区块链技术进行数据备案，区块链技术可消除数据被复制、篡改等安全隐患，其成果相比于传统的备案方式，更加有效益，也能够保证数据的原始性[20]。区块链技术使得跨境数据的备案存储能够去中心化，防止产生数据篡改的风险，数据留存制度无疑达到了保护个人数据权益的目的，符合必要性原则。

五、结束语

对监管数据流动的行政机关而言，如何平衡数据保护、数据自由流动和数据主权三者关系，是个不小的难题，行政监管要在实现保护个人数据权益和数据主权的基础上，同时对数据自由流动的侵害最小化。个人数据跨境流动的行政监管目标与数据的跨境自由流动时刻处于矛盾之中，文章虽然探讨了部分可以采取的行政监管措施，包括市场准入机制、数据分类管理制度、数据留存制度，但是由于数据流动规制的复杂性，无法对此类问题进行面面俱到的分析。未来想必也会出现关于个人数据跨境流动的新问题，对于这些新的问题，同样要依据比例原则，采取适当的行政监管手段。

主要参考文献：

[1]习近平.在第二届世界互联网大会开幕式上的讲話[J].中国信息安全，2016（01）：24-27.

[2]申卫星.论个人信息权的构建及其体系化[J].比较法研究，2021（05）：1-13.

[3]韩容.个人数据跨境流动保护机制的域外经验与本土建构[J].京师法学，2019，12（00）：149-169.

[4]Chung H，Park J，Lee S，et al.Digital forensic investigation of cloud storage services[J].Digital Investigation，2012，9（2）：81-95.

[5]何波，石月.跨境数据流动管理实践及对策建议研究[J].互联网天地，2016（12）：29-32.

[6]程卫东.跨境数据流动的法律监管[J].政治与法律，1998（03）：3-5.

[7]洪延青.在发展与安全的平衡中构建数据跨境流动安全评估框架[J].信息安全与通信保密，2017（2）：36-62.

[8]石静霞，张舵.跨境数据流动规制的国家安全问题[J].广西社会科学，2018（8）：128-133.

[9]余凌云.论行政法上的比例原则[J].法学家，2002（02）：31-38.

[10]许多奇.个人数据跨境流动规制的国际格局及中国应对[J].法学论坛，2018，33（3）：130-137.

[11]王融.数据跨境流动政策认知与建议——从美欧政策比较及反思视角[J].信息安全与通信保密，2018（03）：41-53.

[12]王少辉，印后杰.基于政府管理视角的大数据环境下个人信息保护问题研究[J].中国行政管理，2015（11）：19-24.

[13]张敏.大数据交易的双重监管[J].法学杂志，2019， 40（2）：36-42.

[14]许多奇.论跨境数据流动规制企业双向合规的法治保障[J].东方法学，2020（2）：185-197.

[15]胡炜.跨境数据流动的国际法挑战及中国应对[J].社会科学家，2017（11）：107-112.

[16]伦一.澳大利亚跨境数据流动实践及启示[J].信息安全与通信保密，2017（5）：25-32.

[17]胡炜.跨境数据流动立法的价值取向与我国选择[J].社会科学，2018（4）：95-102.

[18]果园.《网络安全法》中数据留存法律制度的解构与建议[J].中国信息安全，2016（06）：34-36.

[19]姚维保，韦景竹.欧盟个人数据流动法律规制及发展趋势研究[J].科学管理研究，2008，26（1）：106-109.

[20]安宝双.跨境数据流动：法律规制与中国方案[J].网络空间安全，2020，11（03）：1-6.