跨境电商视域下个人信息保护制度问题研究

doi:10.12677/ecl.2025.1461811

期刊菜单

跨境电商视域下个人信息保护制度问题研究
Research on Personal Information Protection System Issues from the Perspective of Cross-Border E-Commerce

DOI: 10.12677/ecl.2025.1461811, PDF, HTML, XML,
作者: 邹帜勋：贵州大学法学院，贵州贵阳
关键词: 跨境电商；个人信息保护；法律制度；Cross-Border E-Commerce； Personal Information Protection； Legal System

摘要: 随着跨境电商的蓬勃发展，在跨境流动的过程中容易出现泄露、滥用消费者个人信息等问题，消费者个人信息保护问题逐渐被世界各国所重视。因个人信息具有巨大的经济价值，许多非法获取者为了高额的利益选择侵犯他人的个人信息，进而影响个人信息安全。因此大数据时代个人信息保护任务更为严峻。本文旨在探讨跨境电商背景下消费者个人信息保护面临的挑战，分析现有制度的不足，并提出完善建议，保障消费者个人信息不受非法侵害，以促进跨境电商的可持续发展。

Abstract: With the vigorous development of cross-border e-commerce, the issue of consumer personal information protection has become increasingly prominent. Due to the significant economic value of personal information, problems such as leakage and abuse are prone to occur during cross-border flows, thereby affecting personal information security. Therefore, the task of personal information protection in the era of big data is even more arduous. This paper aims to explore the challenges faced by consumer personal information protection in the context of cross-border e-commerce, analyze the deficiencies of the existing system, and propose improvement suggestions to ensure that consumer personal information is not illegally infringed upon, thereby promoting the sustainable development of cross-border e-commerce.

文章引用：邹帜勋. 跨境电商视域下个人信息保护制度问题研究[J]. 电子商务评论, 2025, 14(6): 862-868. https://doi.org/10.12677/ecl.2025.1461811

1. 引言

近年来，随着大数据时代的到来，跨境电商蓬勃发展已全面覆盖了中国的各个消费群体，数据跨境流动加速了各国产业与经济的数字化转型进程，推动全球数据跨境流动合作已经成为国际社会共同的意愿和选择。

但是，我们也要看到，跨境电商给消费者带来便捷消费方式的同时，消费者个人信息保护也受到了严峻挑战，由于我国现行个人信息保护立法的不足、跨境电商规章制度的相对落后，影响着跨境电商中个人信息保护在内的各项规则的实现，也给跨境电商的发展造成了一定困扰。

因此，跨境电商中的个人信息保护制度必须处理好个人信息保护与跨境电商经营者信息合理使用的矛盾[1]。既要保障跨境电商经营者合理使用信息的权利，也要注重发挥个人信息保护制度的作用。个人信息的泄露和非法使用不仅关系到消费者的个人安全，还关系到电商贸易的健康发展和国家的数据安全。我们必须抢抓机遇，进一步完善跨境电商个人信息保护安全管理制度，促进个人信息高效便利安全跨境流动，从而推动我国跨境电子商务高质量发展。

2. 跨境电商消费者个人信息概述

2.1. 个人信息的定义

个人信息在《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)中定义为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”[2]。跨境电商中涉及的个人信息大多属于“间接个人信息”，通过信息的集合和处理就能识别出个人的私密信息，如购物习惯、家庭地址、个人身份等这些信息。个人信息与个人隐私呈交叉状态，个人隐私与个人信息交叉部门就是私密信息。私密信息本质上就是更为敏感的个人信息，即是信息主体不愿为他人知晓的信息。

美国、德国与欧洲各国对个人信息保护立法均源自隐私权保护。隐私权的概念最早由学者路易斯·布兰蒂斯和萨莫尔·沃伦在《隐私权》一文中提出，他们将隐私权内涵界定为一种“免受外界干扰的、独处的”权利[3]。

德国司法实践中的“领域理论”将私密信息的私密属性由强到弱划分为三个等级：(1) 涉及个人内在(身体或思想)的，根据事物本质的绝对私密；(2) 能够得到同意后进入或了解的相对私密；(3) 能够展现自我的非私密属性[4]。

因为隐私权与个人私密信息之间存在交叉的关系[5]。有些个人信息既是私密信息也是敏感个人信息，有些信息是敏感个人信息却未必是私密信息，因此在侵害一些敏感个人信息的情形下，可能出现《个人信息保护法》和《民法典》的相关规则同时适用的问题，也存在交叉重合引发法律适用争议的问题。

因此，本文选择从个人信息保护角度出发，分析个人信息保护的必要性，总结跨境电商视角下个人信息在区分保护模式下存在的主要问题，研究个人信息监管规范适用的合理方案，从而推动建立我国的个人信息保护处理模式。

2.2. 个人信息与个人数据的区别

个人信息在欧洲部分国家被称为个人数据，其中最早可以追溯到德国1977年《联邦数据保护法》。该法将个人数据定义为“或已识别或可识别的自然人实际情况的具体信息”。在我国，对于个人信息与个人数据的关系。学界大体存在两种观点：大部分学者认为个人信息与个人数据是相同的，二者是一体两面的关系，都是个人权益的体现，可以替代使用，不作区分[6]。部分学者认为个人信息不等于个人数据，数据是表现形式，具有客观性，数据是指任何以电子或者其他方式对信息的记录；信息是其反映的内容，具有主观性，对应的内容和主体不同[7]，因此可以说信息是经过加工后的数据。波斯纳认为，信息的隐秘性体现在自己对不愿为他人所知的个人信息的隐藏[8]。在笔者看来，个人信息与个人数据的区分在个人信息保护制度上意义不大，因为二者没有本质的区别，其本质均为对特定自然人的可识别性。

不管是个人信息还是个人数据，在大数据时代，都是通过数据信息被传输和储存。数据本身就是具体的信息。而本文所探讨的个人信息保护，保护的对象就是信息或数据背后所承载的人格、财产利益，只是在不同的应用场景中个人信息和个人数据强调的侧重点不同，但在法学保护角度两者几乎可以等同。因此，本文所称个人信息与个人数据可以相互替代，不做区分。

2.3. 跨境电商消费者个人信息保护的必要性

随着跨境电子商务的蓬勃发展，各类跨境电商平台不断涌现，数据跨国传输已成为普遍现象，但是信息泄露对国家安全、行业安全以及个人隐私安全都产生了深刻影响。特别是在2013年“棱镜门事件”曝光后，全球各国都相继强化了数据跨境传输的立法监管，全面提升数据安全防护等级，严格规范企业的跨国数据流通行为。

比较法上跨境电商个人信息的保护模式，实质上是与隐私权和个人信息保护的立法模式密切相关的。当前，以欧盟、美国等发达国家为代表的数据强国，都已建立起成熟的数据跨境流动保护规则[9]。从个人信息立法实践来看，对个人信息保护处理模式主要有一元模式和二元模式两种。其中，美国为一元模式的代表，其将个人信息纳入隐私权保护范畴；欧盟为二元模式的代表，发展出独立的信息自决权或个人数据受保护权，将隐私权与个人信息保护相区别，对个人信息进行专门立法保护。

依据欧洲联盟《一般数据保护条例》(GDPR)第3款之规定，自2018年5月25日起，凡向欧盟境内用户提供商品或服务的企业，无论是否收取费用，均需遵守该条例的监管要求。这意味着所有面向欧洲市场开展业务的我国跨境电商企业，都必须接受GDPR的法律约束。

在跨国数据流动的国际合作中，欧盟始终坚持数据保护充分性原则，并实施“适格国家清单”机制。只有获得欧盟委员会“充分性认定”的国家或地区，其企业才能自由接收欧盟成员国的数据转移。现阶段，我国的数据保护标准尚未达到欧盟要求，未能被列入该“适格国家清单”。对于未被列入清单的国家，相关数据处理者必须满足更为严苛的条件才能与欧盟开展数据交换，这对我国跨境电商企业的保护个人信息能力提出了更高的要求。

国内个人信息保护统一立法的缺失，以及现行相关法律体系的零散，给跨境电商平台经营者带来了巨大的压力，严重制约了我国电商企业进军欧盟市场的步伐，妨碍了跨境贸易流通与经济发展。因此，亟需完善跨境电商发展的个人信息保护制度，从而推动我国的跨境贸易的高质量发展。

3. 我国跨境电商中个人信息保护的现实困境

3.1. 国际合作机制不完善

随着跨境数字贸易的快速发展，交易活动往往涉及多国法律管辖，而各国对数据跨境传输的监管要求和存储标准存在显著差异[10]。例如，我国消费者在使用跨境电商服务时，其个人数据可能被传输至数据保护制度相对宽松的境外司法管辖区，这些信息极易被海外犯罪集团非法获取并用于牟利。由于跨境执法存在障碍，国内监管部门难以对境外数据滥用行为进行有效约束，一旦发生境外信息泄露事件，可能对公民的财产安全造成侵害。

当前，我国与部分贸易伙伴国尚未建立完善的税收协定和数字贸易合作框架，在个人数据保护机制与信息共享方面缺乏有效协同。加之各国法律制度存在明显差异，导致国际消费者对我国电商平台并未建立足够的信任，客观上制约了国内电商企业向海外市场拓展。

因此，由于缺少有效的国际合作机制，我国在跨境电商领域消费者个人信息受到境外侵害时，我国往往难以开展有效的跨境监管和权益救济，使得国内外消费者的个人信息安全无法获得全面保障。

3.2. 行政监管不足，职权存在交叉或冲突

首先，个人信息保护的责任主体和职权划分尚不明确。根据《个人信息保护法》第五十二条之规定处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人。如前所述，虽然我国在中已对履行个人信息保护职责的部门进行了规定，但该规定过于宽泛，各部门之间职权范围存在交叉，在履职时可能会出现相互推诿的问题。同时，作为主管部门的网信部门自身职责是相当广泛，将个人信息事项交由网信部门统筹，无疑会增加其负担，对于个人信息的保护，可能会出现监而不管的现象。另一方面，相关单位主体责任不明确，各地文件虽然对侵犯个人信息的规定差异化明显，但总体呈模糊状态，一些地方尚未出台相关规定对监管部门的职权划分，这对个人信息保护具有消极影响。

其次是法律责任惩戒作用不强，跨境电商个人信息侵权案件中普遍存在着监管不足、处罚力度不够的特点，对于泄露个人信息的平台承担法律责任的罚款远不如其通过侵犯信息主体可能获得的违法所得，所以导致相关非法获取信息者在高额的利益面前选择了铤而走险。

3.3. 行业自律体系有待完善

跨境电商业务的健康、快速发展，行业自律的作用不容忽视。我国个人信息保护领域的行业自律体系虽已初步建立，但仍存在明显的制度缺陷。如果完全依赖法律制度、依靠有关行政部门实行监管和治理，需要较高的行政管理和执法成本。而通过电子商务行业自律，降低管理的刚性，可以减少成本，提升效率。当前各行业协会制定的自律规范多以自愿性条款为主，缺乏强制约束力和惩戒机制，实际执行效果有限。这些行业准则往往仅停留在原则性倡议层面，既未明确违规行为的处罚措施，也未设立专门的监督认证机构，导致相关责任主体遵守意愿不足，认证机制流于形式，从而制约了个人信息的保护。

从发展历程来看，我国行业自律机制尚处于起步阶段。相关行业协会成立时间较晚，在跨境数据流动保护等复杂问题上经验不足，专业能力有待提升。特别是在处理涉及境外业务的个人信息保护纠纷时，既缺乏成熟的处置机制，也缺少必要的技术支持和人才储备，难以有效应对跨境电商环境下的数据安全挑战。

3.4. 个人信息保护的权利救济机制不完备

尽管当前立法已确立多元化的救济途径，但这些途径在实践中的效能及其对公民权利的保障作用，仍需进一步检验。依据相关法律规定，当消费者的个人信息在跨境电商交易时受到泄露时，消费者有权通过多种途径寻求权益救济[11]。虽然《个人信息保护法》对法律责任进行了相应规定，但是对救济时效性的规定过于滞后，不利于消费者的维权。具体而言，规定了受理相关投诉、举报的部门，即便处理的最终裁决结果对当事人有利，可鉴于整个流程的繁杂性以及耗费时间较长，消费者的合法权利难以在短时间内迅速得到救济，同时消费者在权利救济过程中往往处于较为弱势的一方，现实中大多数消费者会因救济成本过高而选择放弃维权。

4. 跨境电商个人信息保护完善的应然路径

4.1. 加强个人信息跨境流动的国际合作

在数字经济蓬勃发展和电子商务全球化浪潮的背景下，随着我国积极参与各类国际贸易协定并深入推进“一带一路”合作倡议，我国已发展成为全球规模最大的跨境电商交易市场。数字时代的数据跨境流动已成为常态，个人信息需要国际社会的共同协作才能得到保护。

值得关注的是，我国已加入亚太区域经济合作多年，不仅是亚太经合组织(APEC)的重要成员，还正式加入了APEC隐私框架下的跨境隐私规则(GDPR)体系。这一举措为我国参与全球信息数据治理规则制定奠定了良好基础。加入CBPR体系对我国个人信息跨境流动参与国际合作提供了良好契机，既顺应了对接国际高标准数据规则的发展需求，也为探索数据跨境治理与国际规则接轨提供了实践平台[12]。

因此，我们应抢抓这一机遇，积极构建具有中国特色的跨境数据治理体系。建立以我国为主导的跨境个人信息数据机制，通过小范围区域性试点实践积累经验，进而扩大范围，推动符合我国数据理念的国际个人信息跨境管理规则的构建。

因此，加强个人信息跨境流动的国际合作既能促进数据流通共享的国际市场需求，也是扩大高水平对外开放，发展数字贸易的必然路径。

4.2. 建立专门的监管部门加强监管执法

虽然我国在《个人信息保护法》中已对履行个人信息保护职责的部门进行了规定，但该规定过于笼统，加强监督是依法行政不可或缺的重要环节。由于各部门之间独立工作，尚未构建一套行之有效的信息交换协调机制，在个人信息保护方面往往会存在多部门职能重叠或职能冲突的现象频发，往往会出现缺位或越位的情况，从而影响跨境电商中的消费者个人信息保护。因此，必须加强对行政违法行为的监督管理，强化全方位、全流程监督，提高执法质量，从而保护跨境电商消费者个人信息保护权益。

首先，我国应尽快设立专门的个人信息监管部门，明确个人信息保护管理部门的职权、地位、义务，确立个人信息保护的一体化监管体制，数据保护监管部门的独立存在有助于境内个人信息的更好保护。加强监督个人信息处理者积极保护个人信息，加大力度对窃取和破坏个人信息处理者的行政监管和事后的行政处罚，营造良好的社会环境来保护个人信息。

其次，加强对政府在处理跨境电商个人信息中的行为进行规制，有必要在政府内部构建动态化、责任化的个人信息管理体系。在未来的监管体系中，应当形成行政机关对处理个人信息过程的全方位监管，充分发挥监管机关在个人信息保护中的补充作用。

最后，建立完备有效的个人信息监管体系对防范和化解金融风险、确保跨境电商行业稳健运行有着重要的现实意义，必须持续提升监督执法的前瞻性、精准性、有效性和协同性。监管部门应推动建设责任清晰、高效顺畅的消保工作体系。与兄弟单位共同会商沟通，推动建立消费者权益保护工作机制，明确职责分工，建立信息共享、适当性管理等协作机制。研究制定统一适用的政策措施，确保服务适用统一的消费者权益保护标准，加快构建中国特色现代经济体系离不开完备有效的跨境电商个人信息监管体系。

4.3. 加强行业自律

跨境电商的交易范围往往具备跨国界、跨地域的特性，个人信息仅依靠国家层面的政策规制是难以实现全面有效的保护，行政机关的监管也存在客观上的局限性。在此背景下，亟需强化跨境电商行业的自律管理，推动企业主动融入行业协会组织[13]，通过行业自律破解跨境个人信息保护中的难点问题。

首先，充分发挥行业自律机制的作用。行业自律机制作为法律规制与行政监管的重要补充，具有独特的制度优势：既具备灵活适应性的特点，行业自律可依据市场的发展情况及时调整监管的范围、方式以及相关标准等事项，可为电子商务乃至整个互联网行业的发展创造良好的空间，及时应对技术发展带来的新挑战，有效提升行业整体的数据保护意识，又能够结合不同细分行业的业务特点，制定更具针对性的数据保护规范，缓冲电子商务新技术对法律提出的挑战，电子商务经营者、消费者、电商平台的权益都能获得充分保障。

其次，切实发挥行业协会引领示范作用。指导企业建立科学完善的内部合规体系，健全违规处理机制；鼓励行业标杆企业在技术防护和标准制定方面的经验共享，这些头部企业往往作为数字经济的引领者，承担适度的监管协同责任。既能缓解政府监管压力，也能确保自我监督机制的有效形成。

最后，构建协同治理模式：积极吸纳企业加入行业协会，共同制定高水平的跨境数据保护行业准则，形成政府指导、协会主导、企业参与的新型治理格局，建立规范统一、标识清晰的行业自律机制。引导商家合规经营，建立合规经营制度，明确“谁经营、谁负责”的个人信息保护理念，切实保护消费者的合法权益。加强信用管理，建立经营商家个人信用评价体系，对商家的产品质量、服务水平、个人信息保护等情况进行评级，并在一定范围内进行公示，保护消费者的选择权。

因此，必须重视行业协会的平台作用，强化电商平台的社会责任担当，构建多元共治的个信防护体系，共同维护跨境消费者的个人信息安全。

4.4. 完善个人信息保护机制中的救济渠道

我国《个人信息保护法》规定了跨境电商消费者在信息泄露时的救济途径，但相关条款仍显笼统，个人信息主体或难以进行救济，在实际维权过程中面临操作困难。相关主管部门应加强统筹协调，建立健全高效联动的个人信息保护投诉举报处理体系。我国跨境信息流动规模较大，还可考虑将个人信息保护多重救济。既可以向平台进行相应的救济，也可以寻找监管部门的帮助。

首先，司法救济也应得到进一步完善。司法救济的程序必须予以优化，提高工作效率，避免群众因为程序繁琐、效率不高、时效缓慢而放弃司法救济，从而使信息泄露者逃脱了法律的追究。同时，进一步扩大责任主体，承担责任的主体不仅仅只是数据控制者、处理者，还应对相关监管、认证机构在监管、认证过程中的失职渎职问题进行追责，以确保信息主体能有效地维护个人信息。

其次，必须加强处罚力度，创设惩罚性赔偿制度，在跨境电商个人信息侵权案件中普遍存在着监管不足、处罚力度不够的特点，单纯的损害填平规则难以对个人信息侵权者产生威慑作用，导致了跨境电商卖家利用较小的处罚来获得较大利润的现象。因此，必须要对此类行为严厉打击。只有提高违法犯罪成本，才能使非法获取信息的事件不再发生。让“轻者轻罚，重者重罚”的理念深入人心。

最后，加强个人信息保护中的公民参与。民主性也是法治政府与数字政府建设的必然举措[14]，大数据和信息化的发展推动了政府行动的公开透明，增加公民参与政府数据治理过程的途径，强化政府对处理个人信息行为的公开，便于个人信息来源者行使信息权利。由于政府的数字化转型也对民主化建设提出了更高的要求，政府对个人信息的保护贯穿于个人信息处理的全过程，因此必须强化社会大众对政府的监督，确保公民个人权利不受政府的非法侵害。

5. 结语

在数字经济蓬勃发展的今天，跨境电商的飞速发展为我国的高质量发展做出了突出的贡献，我们也仍需看到我国的跨境电商个人信息保护制度仍有待完善。当前我国目前已初步形成了以《个人信息保护法》为中心的个人信息保护法律体系，但是仍然与西方发达国家存在着差距。究其原因，高速发展的跨境电商行业与个人信息保护制度存在一定程度的脱节，跨境电商行业个人信息泄露的问题仍偶有发生。而这个问题的存在会导致国内外消费者对我国的跨境电商企业产生信任危机，从而影响我国数字贸易的全球化布局，不利于我国国际贸易的发展。

因此，我们必须更好地加强对跨境电商消费者个人信息的保护力度，在加强国际合作、建立专门的个人信息监管部门、加强行业自律等方面做出积极的努力。这既是为我国跨境电商企业的对外发展保驾护航，也为我国跨境电商消费者权益保护添砖加瓦。

参考文献

[1]	童苗苗. RCEP电子商务中个人信息保护的法律问题研究[D]: [硕士学位论文]. 济南: 山东大学, 2022.
[2]	郭绮玲. 跨境电商中个人信息保护的不足与完善[J]. 企业科技与发展, 2020(10): 111-113.
[3]	Warren, S.D. and Brandeis, L.D. (2014) The Right to Privacy. https://www.x-mol.com/paper/1356889918541250560?adv
[4]	Wacks, R. (1989) Personal Information: Privacy and the Law. Clarendon Press.
[5]	王利明. 敏感个人信息保护的基本问题——以《民法典》和《个人信息保护法》的解释为背景[J]. 当代法学, 2022, 36(1): 3-14.
[6]	朱晓峰, 黎泓玥. 私密信息和敏感个人信息区分保护论[J]. 经贸法律评论, 2023(1): 21-38.
[7]	程啸. 个人信息保护中的敏感信息与私密信息[N]. 人民法院报, 2020-11-19(005).
[8]	Posner, R.A. (1983) The Economics of Justice. Harvard University Press, p. 83.
[9]	彭诚信. 论个人信息的双重法律属性[J]. 清华法学, 2021, 15(6): 78-97.
[10]	徐瑞梓. 我国跨境电商中信息安全的法律保护[J]. 中国商论, 2021(3): 21-24.
[11]	唐小然, 吴玄. 个人信息保护法的域外适用研究[J]. 青海社会科学, 2022(4): 156-163.
[12]	陈宇照. 网络平台个人信息保护责任的法律经济学分析[J]. 北京社会科学, 2022(10): 72-80.
[13]	马忠法, 胡玲. 论我国数据安全保护法律制度的完善[J]. 科技与法律, 2021(2): 1-7.
[14]	张勇. 敏感个人信息的公私法一体化保护[J]. 东方法学, 2022(1): 69.

为你推荐

友情链接