郭子訸:个人信息跨境流动中的保护与监管——以总体国家安全观为视角
上海海事大学法学院法律硕士
要目
一、总体国家安全观下的个人信息与国家安全二、个人信息跨境流动带来的国家安全隐患三、个人信息的自主与控制四、构建个人信息跨境流动的保护与监管体系总体国家安全观擘画了维护国家安全的整体布局,在总体安全观的俯瞰下,个人信息不仅关涉每个公民的具体个人利益及他人利益,而且影响着整个社会和国家的安全。个人信息主动、被动、侵权与非侵权四种形态跨境流动中存在安全风险,个人信息自主论有失偏颇,个人信息保护应从个人控制走向社会控制。在个人信息跨境流动中应当借鉴美国的监管经验,构建个人信息保护与监管并重的法律规制体系。
个人信息的跨境流动,是互联网技术发展与全球信息交流的必然结果。在总体安全观俯瞰下,其不仅是信息主体、信息使用人之间的民商事关系,亦伴随着国家安全风险。我国网络安全法、民法典等已经对个人信息的保护作出了基本规定,但对个人信息跨境流动中的法律规制有所欠缺,尤其缺乏对可能危及网络安全、国家安全的情形之规定。以总体国家安全观为视角,在保护个人信息(权)数据财产(权)的同时,关注个人信息跨境流动中涉及国家安全的问题,从而构建保护与监管并重的个人信息规制体系,对于构建安全有序正义的互联网治理系有着重要的现实意义。
一、总体国家安全观下的个人信息与国家安全
作为新形势下维护和塑造中国特色国家安全的行动指南,“总体国家安全观”从根本上有别于传统安全观。贯彻落实总体国家安全观,就要构建集政治、国土、军事、经济、文化、社会、科技、信息、生态、资源、核安全等于一体的国家安全体系。其中,隶属非传统安全的信息安全,是当今网络时代信息技术发展潮流下必须关注的重点问题。
与传统的陆地、海洋、天空、太空不同的是,作为第五维度的网络空间是由人类自己通过科技手段构筑的,其开放性和透明性促进了信息交换和沟通,但也带来了诸多权利交织于互联网而产生权利冲突、权利自由边界模糊从而可能侵害他人权利、损害社会公共利益、危及国家安全的问题。结合总体国家安全观的指导思想,不难看出所谓“网络安全”不仅是网络本身的安全,其影响着用户、网络服务提供者的安全,更关乎整个国家和社会安全。
个人信息是个人在社会中标识自己、建立联系的基础工具,也是社会了解和识别每一个体并开展活动的依据。《中华人民共和国网络安全法》第76条对个人信息的定义是:“是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”公安部2012年发布的《互联网个人信息安全保护指南》第3.1对个人信息进一步加“注”,还包括通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹等。我国民法典与网络安全法在个人信息定义一致的基础上,将“电子邮箱、健康信息、行踪信息”列举在“等”之前,明确以民事基本法的形式扩大了个人信息的范围。欧盟一般数据保护条例(GDPR)第4条对个人信息的定义是:个人信息包括姓名、身份证件号码、定位数据、网络标识符等标识符,以及可以具体指向自然人身份的一个或更多因素(包括物质的、生理的、基因的、精神状态的、经济的、文化或社会的因素)。与GDPR对比,我国民法典中的个人信息定义采取的是间接识别说,而GDPR则进一步区分了”已识别”和“可识别”两种类型。
个人信息成为大数据时代的“数据”,在收集、存储、传输、运用等个人数据方面,不仅关涉个人信息安全,也与国家安全紧密相连。个人信息在互联网空间的重要性的一个重要体现就在于“收集和整理个人信息都是获取权利的方式”。在数据流动性极强的网络空间内,个人信息往往不可避免主动或被动地流出域外。收集和处理信息的便利性使得个人地理位置、账户资料、信用卡信息、上网行为的具体记录等都可以被分析,而海外信息获得机构或个人无法总是妥善履行数据保管义务,因而数据泄露或非法转移时刻可能发生,每个具体的网络使用者都会给国家安全带来潜在的风险。
二、个人信息跨境流动带来的国家安全隐患
个人信息跨境流动的主要情况发生于用户自发使用跨境网络服务时产生的信息流动,个人信息由国内的用户个人服务器传输到境外目标服务提供者的服务器。除此之外,境外企业在国内开展业务时也会收集、储存大量用户信息,这些信息除了存储在中国子公司的服务器还将传输到境外母公司服务器,客观上也属于个人信息跨境流动的范畴。
从1980年开始,跨境信息流动就已经在世界各国的政策和立法中频繁出现,各国对其概念的界定和规制各不相同,但总的来说个人信息的跨境流动包括两个层面的含义:其一是个人信息跨越一国边界被传输至另一国家或地区,在他国或地区被数据处理手段所使用、存储等;其二是个人信息尚未被传输到境外,但被他国主体访问而泄露信息,从而产生跨境数据的法律冲突问题。互联网信息服务中的个人信息跨境流动发生在多个领域,如跨境电子商务交易、国际应用软件使用过程、比特币等信息货币交易系统、数据分析活动等。
个人信息在跨境流动中的情形多样,从个人信息是否经由权利人主动性流出,以及非主动流出中的被侵权和非侵权流出,但当前的立法体系更多关注于境内的个人信息具体侵权与保护,对于跨境流动中的个人信息与国家安全大多是笼统的原则性规定。要重构总体安全观下的个人信息跨境保护和监管机制,首先需要明晰个人信息在跨境流动中可能带来的安全隐患。
个人信息主动流出,是指用户对于自己的信息明知会流向境外并允许其在全球范围内传播,根据其信息流出的程度,可以分为有意识的故意流出和无意识的过失流出。所谓“故意流出”,是指用户在主动使用跨境网络服务时,知悉并授权境外服务器获取其个人信息,整个过程为用户积极行使个人信息权利的结果,用户对于流出信息是确知的、相对可控的;而“过失流出”,是指用户在主动使用跨境网络服务时,不知晓其部分信息会被传输到境外服务器,即该流出信息未获得用户授权,因而在整个过程中有用户行使个人信息权利的部分,但其无意识状态下流出的信息因无法追溯和跟踪而具有极高的安全风险。
(1)有意识的故意流出
在用户个人信息有意识故意流出的情形下,其对信息跨境流动这一行为是支持或放任的,对流出的信息内容是充分知悉且认可的,但所流出信息对国家而言的安全性无法得到充分保障,境外网络运营者能否妥善保管和使用用户个人信息也无法确定。
从个人信息权人策略来看,正是因为用户在主动使用跨境网络服务,其对服务的效率和便捷性必然有着较高的需求,因而对于信息流动过程中可能影响其个人使用效率的法律规制和监管行为往往秉持反对态度。然而,如若境内对所流出信息没有充分的审查和监督,就可能导致涉密或敏感信息的流出,被不法境外势力获取后必然对国家安全造成威胁。这就牵涉用户自由行使个人信息权利与国家安全的界限问题。
从国家宏观安全角度讲,一方面,被跨境处理的个人信息可能因其携带的重要、敏感信息而给一国带来实质性的安全问题,离境数据被不当收集、恶意利用和非法泄露的风险使得个人数据的完整性和保密性堪忧;另一方面,个人信息的跨境流动打破了一国的安全管理边界,国家主权范围也由此扩展到网络空间,个人信息跨境流动的行为涉及多国利益和跨国法律冲突,数据管辖权争夺、“数据霸权”等潜在问题严重威胁着一国的国家主权。因此,用户行使个人信息权利的自由不应当以威胁国家安全为代价,对个人信息惯有的私权保护的立法立场应当被重新审视。
(2)无意识的过失流出
在用户确知其在使用跨境网络服务但对个人信息流出实际上无意识的情况下,无论境外网络运营者或其他信息取得者是出于任何动机,实际上该行为都是对被流出信息的用户个人信息权的侵犯。由于服务器之间交互复杂、网络传输路径不透明、涉外法律关系不明晰、用户的信息安全意识较弱等原因,用户在使用涉外网络服务时,无法得知或难以明确理解个人信息出境的原因、内容、权限等具体情况,对于网络服务提供者所提供的服务说明往往并不能识别其中的核心信息,更遑论个人信息流动前的“用户同意”。而这种侵权的救济困难性在于,用户的信息是在进行跨境网络服务中被境外网络运营者或境外用户获取的,用户本身对所流出信息并不知情,所以国内很难在事前对所流出信息进行审查或监管。
除了对个人信息权益的侵犯,无意识流出信息的境外信息取得者也会带来国家安全风险。由于用户对被流出信息的内容不知情,很有可能泄露涉密或敏感内容。与和“有意识的故意流出”信息不同的是,“无意识流出”意味着用户在跨境网络服务中并未与境外网络运营者达成获取信息的相关合意,因此境外网络运营者对其个人信息不负有保护义务,其信息内容更容易被随意化分析、使用和处理,被不法分子或机构非法转移、违规利用的风险极高,对国家安全的威胁也更为显著。
个人信息被动流出,是指用户在未主动使用跨境网络服务的情况下,其信息被境外服务器所获取,根据其是否获得用户的授权,可以分为被侵权流出和授权流出。其中“被侵权流出”是指用户对其个人信息向境外流出的事实不知情或不允许,而境外网络运营者或境外用户仍获取其信息用来展示或交易,导致用户的个人信息权受到侵犯;“授权流出”是指用户尽管未主动使用跨境网络服务,但知悉其个人信息将向境外流出并同意其流出,实际上是行使个人信息处置权的个人控制行为。
(1)被侵权流出
个人信息被侵权流出主要发生在两种情形下,其一是行政机关的不当管理导致其工作中收集存储的公民个人信息泄露,其二则是由于经济主体在利益驱动下违法获取个人信息。此外,还有一些个人或企业窃取、截取存储在我国服务器上的个人信息然后转移到国外的服务器上,这种行为也会导致个人信息的侵权流出。
在境内网络服务中,网络安全法明确了用户具有个人信息的删除、更正、投诉举报、知情同意、安全保护等权益,民法典也在侵权责任编明确规定了网络信息侵权的“通知+删除”原则和“反通知+恢复”原则,用户的个人信息权益可以得到较为充分的保障。但是在跨境信息流动中,作为被侵权者的国内用户很难发现其数据的泄露,就算发现亦没有向侵权方有效“通知”的渠道。而关键一步的“删除”在实践中更难履行,被侵权用户通知网络服务提供者后,其可能不作出任何回应或者拒绝删除相关数据。对于境外网站不予删除侵权数据的行为,若不能在流动前加以识别过滤,从而删除被侵权流动的个人信息,不但用户网络信息侵权问题无法解决,也可能危及国家安全。
作为网络安全的核心问题,监管不仅仅是专业保护机构或监督部门的职责,网络服务提供者也应当充分履行监督责任。对被侵权用户的保护,民法典新增加反通知规则将网络服务提供者的角色中立化。网络侵权责任中,网络服务提供者是杠杆,其一端是被侵权人,另一端是侵权网络用户,“通知+删除”与“反通知+恢复”规则并行构成杠杆的平衡。创设性的“反通知”规则将网络服务提供者彻底中立化,使其能够专注于网络服务本身,侵权纠纷亦能得到双方的直接处理。但这种中立化对于网络服务提供者实际上也意味着“去责任化”,其在运营中将缩减对所展示信息进行严密审查的时间,因为侵权行为的纠纷可以直接在侵权方与被侵权方中完成对话,网络服务提供者不再需要对侵权行为保持高度审慎。在处理跨境个人信息侵权问题时,如果境内网络运营者剥离监管责任,跨境侵权行为将更难以解决,用户的个人信息权利无法得到维护,国家安全隐患也不可避免。
此外,需要额外关注未成年人的个人信息,由于未成年人无行为能力或限制行为能力,不能自主决定个人信息的处理,一般会被侵权流出,在所有个人信息中需要保护力度最大。
(2)无侵权的授权流出
在使用境内网络服务时,用户知道并同意其个人信息将被流出境外,这种行为本来是合法且不侵犯个人信息权利的。但对于国家安全而言,无侵权的授权流出要求境内网络运营者对流出信息进行安全化处理和跟踪保障,使得被流出信息在境外也不会对国家安全构成威胁,这意味着对网络运营者的数据处理能力和追查能力有着较高要求。除此之外,网络运营者还应当对涉及国家安全问题的个人信息有着严密的监控机制和处理措施。
目前网络安全法仅规定“未经被收集者同意不得向他人提供个人信息,但是经过处理无法识别特定个人且不能复原的除外”,信息保护重在个人隐私,要求网络运营商对个人信息进行去标签,要求识别区域达到合理的不可逆程度,即通过使用假名、加密、哈希函数等技术手段代替个人信息的识别。可以看到,现行立法思路仍集中在用户个人信息保护的问题上,对于国家安全的风险关注度相对有限,只是笼统规定了个人和组织对危害网络安全行为的举报权,并要求网络运营者应当加强用户发布信息的安全性管理,并未规定规制机制与规制手段举措,无侵权流出的个人信息的国家安全问题没有充分的保障机制。
三、个人信息的自主与控制
对于个人信息的跨境流动问题,还需厘清其规制主体与各自义务。传统的个人信息自主控制论认为,信息处理需要得到信息主体的同意,即个人享有对自己信息的支配权。该理论源于欧洲个人数据保护和美国隐私保护的理论,从20世纪80年代开始在国际上占据主流,故而许多国际组织和国家将个人信息处理的合法性建立在同意的基础上。
在个人信息保护控制理论研究中,马尔曼首先对“信息自决权”进行了阐释:由于自我表现是个人和外界交流的唯一手段,而自我表现的实质就是对个人信息的使用,因此个人应当有权决定如何使用自己的个人信息,以此来实现人格构建与发展。从联邦德国的“人口普查案”到德国联邦个人信息保护法第二次修法运动,个人信息自决权经历了人格权和隐私权的理论争议,但具体主张都落在“对所有个人信息的控制权”。
最为典型的个人控制观体现在欧洲基于人的尊严的个人自治而出台的《个人数据自动化处理中的个人保护公约》,其认为个人信息是人的延伸,而人应当独立自主,因而个人信息亦应当由数据主体掌控,体现个人的意志。在实践中,网络服务提供者为了减轻或免除己方可能承担的责任,通常会在用户协议或单独的隐私权条款中以“用户同意”作为进入“下一步”获得网络服务条件,以此来赋予个人信息处理行为以合法性。作为用户个人信息自决的体现,该行为能从很大程度上保证用户使用网络服务的自主性,但是也可能给网络服务提供者带来责任缺位的安全隐患。这也是个人信息自决权理论所不能解决的安全问题。
在该理论中,信息自决权被定义为一种建立在个人信息之上的支配权,然而事实上,在私法权利体系中,个人信息的自决权无法隶属于绝对权或者支配权。从法学定义上看,绝对权必须建立在一个可归于权利主体的外部客体上,由此他人的自由才不会受到无限度的限制。而个人信息既无法专属于任何一人,也不能被稀缺化,显然不具备充当绝对权客体的条件。还有学者指出“同意并非个人信息处理的正当性基础”,并从用户同意本身缺乏必要性和真实性、用户同意可能造成的过度耗时不符合经济考量、例外大量存在致使同意的基础效力被削弱等几个方面进行了论述。那么,对于个人信息究竟应该如何定性、并基于该性质来进行安全保护呢?
个人信息本身只是一种可以识别某个人的事实或记录,并不当然地应该由个人用户拥有或控制,是任何人均可以使用的资源。由于信息本身只是一种可以识别某个人的事实或记录,纯粹与特定个人有联系不足以使该人对其数据具有支配权乃至享受支配利益。作为信息的子分支,个人信息也具备一般信息的公开性和共享性特征,故而个人只能控制信息的联结却无法决定信息本身的产生与流动,其他任何人都可以利用这种公共领域的数据资源。
在互联网技术的迭代中,世界进入以网络化、智能化为特征的大数据时代,而信息作为大数据技术发展的基础性资源受到广泛关注。当下,世界许多国家意识到大数据对促进国家进步和社会发展的重要性,并从国家战略层面加强信息数据的开发利用。个人信息的公共性、社会性决定了个人信息不应当完全为个人所控制,而应当作为一种公共资源被重新审视。
封闭的个人主义在大数据时代已经难以应对频繁的全球信息交流,欧美传统的个人数据保护理论亦无法解决个人信息的个人自决与社会化利用之间的矛盾。大数据冲击下的个人信息早已走向多样化,其采集、分析和应用也走向全息化,前互联网时代的个人信息自主论已经不能符合当下的社会基础和用户需求。从国家总体安全来看,当前以私权保护为核心的个人信息立法设计存在过分重视个体而忽略整体秩序的局限性,集中在个人控制的视角。结合个人信息的公共属性,他人或社会使用个人信息的正当与否应当由社会或法律决定,无论是境内还是跨境的个人信息保护与规制都应当衡量所涉各方主体的利益,基于“社会控制”的立场而构建起个人信息保护与监管体系。
四、构建个人信息跨境流动的保护与监管体系
1.我国网络安全法已经初步确立了个人信息跨境流动的监管框架,即关键信息基础设施的运营者开展个人信息跨境流动应符合“本地存储+业务需要+安全评估”的规则。然而,第37条存在以下立法缺陷,使得其无法支撑个人信息的跨境流动:其一,受监管的主体范围过于狭窄。除了关键信息基础设施的运营者之外,还需要关注“网络运营者”这一涵盖范围更广的主体,其包括互联网、电信网络、“内网”、信息系统以及工业控制系统的运营者。然而,由于第37条仅约束关键信息基础设施的运营者,从而导致个人信息跨境流动上的监管漏洞。其二,立法过于粗糙,仅停留在原则性的规定上。仅提出个人信息原则上应当进行本地化存储,仅当业务需要,并经安全评估之后才可以出境。至于个人信息出境应遵循的原则、标准、应采取的措施以及安全评估的要点、流程等具体要求,网络安全法均未规定。
2.我国民法典在人格权编对个人信息的保护作了基本规定,对个人信息的处理规定了“合法、正当、必要”的原则,并规定的首要条件是“征得该自然人或者监护人同意,但法律法规另有规定的除外”。如何在保障国家安全的前提下最大程度地满足个人用户的信息权利行使、鼓励互联网交易、促进信息交流与国际合作,需要有法可依、执法有据。
因此,笔者建议由国务院尽快单独制定行政法规,对个人信息数据跨境流动加以专门规制。就立法要解决的问题而言,大体包括:个人信息跨境流动规制的基本原则;跨境个人信息流动限制,包括限制的条件、数据范围和类型,规定转出方和转入方需要遵循的程序、标准;国家安全审查评估制度,如审查、判断对国家安全是否无害的标准和程序,个人信息存储在境外的安全怎么评估;规制机制,国家行政监管(审查)部门及其权利权限,行业自律监管;网络平台审查义务及责任;国际合作处理个人信息保护的对等保护原则或同等保护原则;如何与我国加入的国际公约、条约相协调等。
如果说欧盟建构的是以“基本权利”为基础的数据治理模式,美国建构的是“自由式市场+强监管”的数据治理模式,那么中国试图建构的则应当是“安全风险防范为主、兼顾数字经济发展”的模式。我国的信息立法显然也不能建立“信息与数据乌托邦”,而是要实现与欧盟一般数据保护条例(GDPR)和美国加州消费者隐私法案(CCPA)等欧美主流信息法律模式的对接和融合,为我国未来深度参与直至主导国际数据与信息规则和标准的制定提供坚实的法律基础。例如,GDPR为防范个人信息在境外泄露,禁止国家辖区内个人信息向没有达到足够数据保护水平的第三国或国际组织传输。我国亦可参照该条款出台相关法令,提高跨境信息流动与境外接收阈值,从源头上遏制用户信息的非法流动。
国家在数据与信息领域的建构能力是现代化国家的最基础因素,也是构建信息法律新秩序的核心力量。作为信息主权的掌握者,国家对其管辖范围内产生的所有信息的收集、存储、使用、处理、共享及交易等活动具有最高的决定权。从国家层面上讲,健全信息管理机制应重点关注个人信息出境安全评估和监管,对可能造成我国网络空间安全风险的信息,应当限制相关数据的自由流动。
就行政监管体系而言,个人信息出境安全评估应重点关注信息内容与传播途径两个方面,既要保证其内容符合国家法律法规和政策规定,也要保证网络运营者获得个人信息的渠道合法、正当;在地方层次,网络经营者的个人信息出境记录等情况应得到省级网信部门的定期检查,尤其应重点检查经营者对个人信息流动相关合同中规定义务的履行情况,对其是否存在损害个人信息主体合法权益的行为进行重点关注,保证其在法律规定范畴内合理提供跨境网络服务。
尽管网络经营者的“中立化”角色有利于提高信息流动效率,但随之引发的国家安全风险使得其职责不得不被重新检视。在信息流动尤其是跨境个人信息流动中,网络运营者应当充分保障信息安全,自觉履行信息监管职责,开发软件对出境信息自动识别,对知情且授权的离境用户信息多一次审查,对未达成出境合意的跨境个人信息侵权行为及时遏止。
针对当前立法中网络运营者的监管缺位,除了国家政策和法律的规制、网络运营者的自觉监管外,还应当形成网络信息的全行业自律监管机制。网络运营者应当成立信息安全保护自治组织,聚焦于用户个人信息权利的维护,并以国家网络安全为兜底,防止涉密或敏感信息流出境内。可以参考网络自媒体领域的行业自律组织,通过制定行业规范、受理公众投诉、开展公众教育等方式,在维护国家信息安全和保护公共利益方面发挥作用。网络平台运营商可以考虑设立内容评定委员会。对于是否威胁国家安全,并非所有的个人信息都可以明确地被归于“是”或“否”,可能会存在着相当数量的个人信息,需要在“公众兴趣”“表达自由”与“公共利益”之间进行考量,这样的判定工作应当由专业人士来讨论、来决定。
数据的流动是在线的、保密的,监管的技术难度比较大,成本也比较高。个人信息数据若在跨境流动中被泄露,取证也难,想要消除泄露后的影响更难。Google SpainSL, Google Inc. v AEPD and Mario CostejaGonz á lez一案中,信息主体Gonz á lez于2010年提出的谷歌侵犯其“被遗忘权”的主张,直到2014年才因欧洲联盟法院作出有利于González的判决而得到维护。因此,自律监管主要是事前监管,通过对个人信息数据流出前的审查、排查,使得涉密人员的个人信息、特殊人群的个人信息、个人的敏感信息、金融信息、未成年人个人信息等重要信息数据得不被跨境流动,既能为权利人在国内依据合同法、侵权法主张民事权益,也为网络平台从消极中立的角色改造为积极有为的自律监管者。借鉴欧盟与美国个人金融跨境流动规则中在合同法、企业内部规则、行业准则以及认证机制等自律规则上的安排,明确商业机构在个人信息跨境流动中应采取安全保障措施,并建立以个人信息发送方位核心的责任追究机制。
民法典在侵权责任编明确规定了网络信息侵权的“通知+删除”原则,但是在跨境信息流动中,作为被侵权者的国内用户很难发现其数据的泄露,就算发现亦没有向侵权方有效“通知”的渠道,“删除”在实践中更难履行,被侵权用户通知网络服务提供者后,其可能不作出任何回应或者拒绝删除相关数据。因此,在规定了网络服务商事先监管职责,需要对跨境流动数据进行无侵权个人信息(如核查了征得许可)、无危害国家安全的审查后才允许跨境流动,一旦出现侵权的个人信息跨境流动,应当采用过错推定的归责原则,由国内网络服务商就其已经尽到审查义务举证,否则推定其有过错,从而对个人信息跨境流动给个人造成的损害承担民事赔偿责任,对公共利益以及国家安全造成的损害承担民事责任、行政责任乃至刑事责任。
针对跨境个人信息流动问题,目前在国际上通行的核心机制是区域性法律制度,如欧盟的《关于规范个人数据处理及其自由流动的建议书(一般数据保护条例)》、亚太经济合作组织的《APEC隐私保护框架》及其跨境隐私规则体系、美国的安全港合作机制等,但我国尚未加入相关国际合作,在我国境内也尚未形成有效的个人信息治理体系。现有区域性法律框架合作全部以信息保护机构作为各成员方的代表进行展开,而我国目前缺乏专业的信息保护机构,这就使得我国无法作为参与信息流动合作的执行人。而网络监管部门一直集中于网络运营环境、互联网境外非法攻击等问题,较少聚焦于个人信息的跨境流动领域,这也使得用户个人信息流动所引发的国家安全问题在国际视野下难以解决。
在“网络强国”的战略目标下,与其他国家合作实现数据流动不可避免。个人信息跨境流动的侵权行为地危害发生地一般在境外,即使也对国家安全造成损害,由于受国际私法法律选择适用的限制,没有国家间国际组织间的协议,很难实现“长臂管辖”。通过国际合作及司法协助等方式,实现对个人信息的跨境信息追踪机制,使得“通知+删除”规则能够在侵害发生后立即发挥作用。对于个人难以发现的跨境信息侵权问题,还可以通过延伸至境外的网络服务合作者,通过技术手段审查在跨境网络服务中用户提供的知情同意条款,帮助境内用户找出侵犯其个人信息的境外侵权行为。
尽管国家与网络行业的双重事前监管已经可以规避一定程度的安全风险,但在复杂的跨境流动中,涉及国家安全的个人信息总有泄露和被不当使用的可能,加强国际战略合作,建立起多边的信息安全联保机制。例如,可以与欧盟等区域性自治组织建立起网络边境安全防火墙,对于涉密、敏感信息自动识别和阻断,对于已经流出的风险信息合作追踪,避免进一步传播扩散。
对于跨境个人信息流动中已经发生的严重影响国家安全的刑事案件,应当同时加大国际法和国内法的惩罚力度。应当在全球范围内与其他国家或区域性组织达成国际条约或合作条款,针对我国境内涉及国家安全的个人信息流出境外的犯罪行为,数据传输或接收国能够及时予以通知和转送,并在当地进行有效的刑事规制以阻断犯罪行为延续。而在国内法的规制方面,应当实现由单一的消极防御权能到以二者并举且以积极控制权能为主导的转换。在总体安全观的视阈下,网络空间安全不仅仅是国家军事和政治层次的战略问题,更涉及每一个网络用户个体的权利行使与保护。尽管网络信息侵权问题发生于私法领域,但跨境数据流动的便捷性模糊了网络安全的公法和私法界限我国网络安全法确立了个人信息跨境流动的监管的条款,民法典对个人信息以人格权为基础的私法保护规则,但也明确了“法律法规另有规定除外”条款。
对个人信息跨境流动的监管,需要专门的高层级的立法,建立国家行政监管、行业自律监管的机制,国家与行业在制度和技术层次上共同构建个人信息保护监管体系,兼顾事前防卫与事后救济,对个人信息跨境流动中的侵权损害赔偿确立过错推定规则,从而构建我国总体安全观下的个人信息跨境流动保护与监管并重的规制体系。
往期精彩回顾
刘艳 刘聿澄丨辨析与溯源:一个关于农村土地经营权析出路径的话题
张保红 胡青青:集体经营性建设用地入市增值收益分配法律问题研究
上海市法学会官网
http://www.sls.org.cn