摘要: 在数字经济时代,个人信息跨境流动是企业全球化布局与国家数据治理的核心议题。党的二十届三中全会及2024年《促进和规范数据跨境流动规定》为其规制提供了“安全与发展并重”的方向,推动规制重心从“事前严控”转向“全过程动态平衡”。我国实践中,对个人信息跨境流动的法律规制历经三阶段:2016~2020年以《网络安全法》构建基础性规制,2021~2023年借由《个人信息保护法》《数据安全法》形成三维合规路径,2024年起借自贸区试点推进便利化,已构建多层次体系。但仍面临规则适用模糊、风险防控薄弱、国际对接不足的困境。文章提出细化规则、强化全流程防控、深化国际协同、激活地方创新的完善路径,旨在构建安全可控、效率便利的法律规制体系,平衡个人信息保护与数字经济发展,为全球数据治理提供参考。
Abstract: In the era of the digital economy, the cross-border flow of personal information is a core issue for enterprises’ global layout and national data governance. The Third Plenary Session of the 20th CPC Central Committee and the 2024 Provisions on Promoting and Regulating Cross-Border Data Flow have provided the direction of “balancing security and development” for its regulation, shifting the focus of regulation from “strict pre-event control” to “whole-process dynamic balance”. In China’s practice, the legal regulation of cross-border flow of personal information has gone through three stages: from 2016 to 2020, a basic regulatory framework was established based on the Cybersecurity Law; from 2021 to 2023, a three-dimensional compliance pathway was formed by virtue of the Personal Information Protection Law and the Data Security Law; and since 2024, facilitation has been advanced through pilot programs in free trade zones, resulting in the establishment of a multi-level system. However, it still faces dilemmas such as ambiguities in rule application, inadequate risk prevention and control, and insufficient international alignment. This paper proposes improvement paths including refining rules, strengthening full-process prevention and control, deepening international coordination, and activating local innovation, aiming to build a safe, controllable, efficient and convenient legal regulatory system, balance personal information protection and digital economic development, and provide reference for global data governance.
1. 引言
数字经济时代,个人信息作为数字贸易的核心要素,其跨境流动既是企业全球化布局的重要支撑,也是国家数据治理能力的关键体现。党的二十届三中全会明确提出“提升数据安全治理监管能力,建立高效便利安全的数据跨境流动机制”,为我国个人信息跨境流动规制提供了“安全与发展并重”的理论坐标[1]。2024年3月《促进和规范数据跨境流动规定》(以下简称《数据新规》)的出台,进一步放宽个人信息出境申报要求,明确豁免情形,标志着我国规制重心从“事前严控”向“全过程动态平衡”转型。
然而,个人信息跨境流动兼具“人格权属性”与“数据要素属性”,其规制面临三重矛盾:一是个人信息权益保护与数据高效流动的价值冲突,如“一揽子授权”导致知情同意规则虚化;二是国内规则体系与国际高标准规则的衔接难题,如CPTPP、DEPA对数据跨境自由流动的要求与我国安全审查制度的协调;三是中央统一规制与地方创新实践的适配性不足,自贸区负面清单的落地细则等仍有待进一步细化。在此背景下,结合制度变迁理论,梳理我国个人信息跨境流动法律规制的实践脉络,利用风险治理理论系统剖析现存问题并提出完善路径。这不仅关乎个人信息权益的实质保障,更对我国参与全球数字治理、推动数字全球化进程具有重要意义。
2. 我国个人信息跨境流动法律规制的实践演进
我国个人信息跨境流动规制经历了“安全优先–平衡探索–协同完善”三个阶段,逐步形成以“法律为核心、规章为补充、地方试点为突破”的制度体系,其演进逻辑始终围绕“安全可控”与“效率便利”的动态平衡展开。
(一) 初期构建阶段(2016~2020年):以安全为核心的基础性规制
2016年《中华人民共和国网络安全法》首次确立个人信息跨境流动的“境内存储为主,出境评估为例外”原则,明确关键信息基础设施运营者(CIIO)的个人信息境内存储义务,为规制奠定基础。此阶段规制以“风险防控”为首要目标,侧重通过行政管控划定安全底线,如要求CIIO向境外提供个人信息需经安全评估,但未细化评估标准与流程,导致实践中企业合规成本较高。同时,行业层面缺乏统一的个人信息分类标准,部分领域(如金融、医疗等领域)依赖部门规章零散规制,整体呈现“碎片化”特征。
(二) 体系发展阶段(2021~2023年):安全与发展并重的规则细化
2021年《中华人民共和国个人信息保护法》与《中华人民共和国数据安全法》的颁布,标志着规制进入“法治化、体系化”阶段。《个人信息保护法》专章规定“个人信息跨境提供的规则”,构建安全评估、标准合同、个人信息保护认证三大合规路径,明确不同规模个人信息跨境的差异化要求——如处理100万人以上个人信息需申报安全评估,首次实现个人信息跨境规制的“类型化、场景化”。同期出台的《数据出境安全评估办法》《个人信息出境标准合同办法》进一步细化操作流程,具体要求标准合同需明确境外接收方的保护义务与违约追责机制等方面,强化全流程风险管控,从而确保数据在跨境流动过程中的安全性[2]。
此阶段的显著进步在于“区分规制”理念的落地:一方面,将个人信息分为“一般个人信息”与“敏感个人信息”,对生物识别、医疗健康等敏感信息设置更严格的跨境门槛;另一方面,通过“最小必要原则”限制过度收集,如要求企业跨境传输的个人信息不得超出实现处理目的的必要范围,缓解“数据囤积”与“权益侵害”风险。
(三) 优化完善阶段(2024年至今):便利化导向的制度创新
2024年《数据新规》的发布标志着规制从“严监管”向“促发展”转型,核心创新体现在三方面:一是扩大豁免范围,明确国际贸易、学术合作等场景下非敏感个人信息跨境可免于安全评估;二是赋予自贸区制度创新权,允许上海临港、粤港澳大湾区等区域制定数据出境“负面清单”,清单外个人信息跨境可简化流程;三是延长安全评估有效期至2年,降低企业重复申报成本。
地方试点在此阶段发挥了重要突破作用。以上海临港为例,2024年发布《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》,将个人信息分为核心数据(禁止跨境)、重要数据(评估出境)、一般数据(备案流动),并公布智能网联汽车、生物医药领域的一般数据清单,实现“清单之外无审批”;粤港澳大湾区则通过“深港跨境数据验证平台”,利用区块链技术实现个人信息跨境的“可用不可见”,为医疗、教育等场景提供技术合规方案[3],这些实践为全国性规则完善提供了试验田。
3. 我国个人信息跨境流动法律规制的现存问题
尽管我国已构建起多层次规制体系,但结合实践与风险评估,当前规制仍面临规则适用模糊、风险防控薄弱、国际对接不足三大困境,制约个人信息跨境的安全与效率平衡。
(一) 规则适用困境:概念混杂与标准不统一
一是个人信息与重要数据的界定交叉。我国规制中存在个人信息与重要数据的概念混杂问题——如《数据新规》将“1000万人以上个人信息”视同重要数据监管,但未明确“数量阈值”的认定标准,如是否包含重复数据、匿名化数据等,导致企业难以预判合规路径。实践中,部分地区将“10万人敏感个人信息”纳入重要数据评估范围,而部分地区仍按一般个人信息管理,规则适用的地域性差异增加企业合规成本。
二是知情同意规则虚化。通过司法案例分析发现,“一揽子授权”“概括同意”仍是企业获取个人同意的主要方式,如部分平台在用户注册时将“个人信息跨境传输”嵌入服务条款,未单独告知跨境流向与风险。信息不对称导致个人难以实质行使同意权,而法律未明确“二次同意”的触发条件,如个人信息跨境目的地变更时是否需重新获取同意,进一步削弱规则实效。
(二) 风险防控薄弱:全流程监管存在短板
一方面是事前评估机制不够精准。个人信息跨境流动的高风险要素包括“数据处理者提交虚假材料”“出境数据敏感程度失控”等,但当前安全评估多依赖企业自评估报告,缺乏第三方审核与技术核验机制。对于敏感个人信息的分类常存在主观偏差,而监管部门因技术能力限制难以全面核查,导致评估流于形式。
另一方面,事后追责与删除义务落实不足。不仅责任分配规则模糊不清——《个人信息保护法》虽规定过错推定原则,但未明确过错的认定标准,比如企业未检测到境外接收方数据泄露时是否构成过错等情形,实践中多以结果追责为主,难以形成预防效应;并且删除义务执行困难,部分企业因技术限制或经济利益考量,未及时删除已无必要留存的个人信息,而法律尚未明确技术难以实现删除的举证标准。
(三) 国际对接不足:协同治理与规则互认滞后
当前全球个人信息跨境规制呈现多极化格局。欧盟通过GDPR推行“充分性认定”,美国依托《欧美数据隐私框架》(DPF)主导跨大西洋数据流动,而我国与主要贸易伙伴的协同机制仍待完善。我国与德国、新加坡的数据合作备忘录多为原则性约定,未细化个人信息保护标准互认流程。在参与DEPA谈判时,在“个人信息跨境自由流动”“第三方认证互认”等议题上与缔约方仍存在分歧。
此外,跨国平台企业国际合规压力大,面临着“双向合规”困境。一方面,需遵守我国关于个人信息本地化存储、安全评估的要求,另一方面需符合欧盟GDPR的“被遗忘权”、美国《云法案》的“数据调取权”等域外规则。以TikTok为例,因美国“14117号行政命令”需将美国用户数据本地化,同时需满足我国对敏感个人信息跨境的监管要求,该企业的合规成本显著增加,而我国尚未建立有效的域外规制应对机制,难以减轻企业合规负担[4]。
4. 我国个人信息跨境流动法律规制的完善路径
结合安全治理监管框架与全过程规制理念,我国个人信息跨境流动规制需从规则细化、风险防控、国际协同、地方创新四维度发力,构建安全可控、效率便利、对接国际的治理体系。
(一) 细化规则体系:厘清概念边界与标准
首先,应当依据《数据安全技术数据分类分级规则》,明确个人信息与重要数据的区分标准,构建“三维区分框架”。其一,基于“识别性”进行区分。个人信息应具备“可直接或间接识别特定自然人”的特征,而重要数据则更侧重于“危害国家安全、公共利益”的属性。其二,按照“数量阈值”实施分级。明确“100万人以上一般个人信息”“1万人以上敏感个人信息”的认定细则,并对阈值进行动态调整。其三,依据“用途场景”予以归类。例如,医疗、金融领域的个人信息,即便未达到数量阈值,但若涉及公共健康、金融稳定,可将其纳入重要数据监管范畴。
其次,应当优化知情同意规则,推行分层同意与动态告知机制。在数据跨境流动前,企业应就“跨境流向、接收方资质、风险后果”等信息进行单独告知。对于敏感个人信息,需获取“明示单独同意”;对于一般个人信息,可采用“默示同意”方式,但应预留撤回通道[5]。在数据跨境流动过程中,若境外接收方发生变更或数据使用用途扩大,企业需及时向个人推送告知信息,并重新获取个人同意。数据跨境流动完成后,个人可通过“个人信息权益管理平台”查询跨境记录,以切实行使“同意权”。
(二) 强化全流程风险防控:技术赋能与监管升级
第一,应当构建“事前评估–事中监测–事后追责”闭环体系。在事前评估方面,引入第三方机构参与评估工作,要求企业提交数据分类报告和技术防护方案[6]。监管部门可以运用“风险评估模型”,如相关学者提出的“ABT-Petri网模型”,对“材料真实性”与“敏感程度”等35项风险要素进行量化核验,以降低主观偏差。在事中监测方面,推广监管科技的应用,借助区块链技术实现个人信息跨境全链路存证,运用隐私计算技术达成数据可用不可见的效果,从而降低原始数据跨境风险[7]。在事后追责方面,明确“过错”的认定标准。同时,细化“删除义务”的履行要求,对于技术层面难以删除的数据,需采取“限制访问、匿名化处理”等替代措施,并由第三方机构进行验证。
第二,提升违法成本与威慑力。可以参考欧盟GDPR的处罚标准,结合我国实际,设置阶梯式罚款。对轻微违规,诸如未及时更新告知内容等情况,处50万元以下罚款;对严重违规,如故意提交虚假材料、泄露敏感个人信息等情况,处500万元以上或上一年度营业额5%以下罚款,同时追究直接责任人责任。与此同时,建立违法企业黑名单,限制其参与政府采购、跨境合作,对其形成长效威慑。
(三) 深化国际协同:对接规则与机制创新
一是推动双边/多边规则互认。依托“一带一路”倡议,与东盟、中东欧国家签订“个人信息保护互认协议”,参考中德数据合作备忘录,建立政策对话与技术对接机制,统一个人信息分类、安全评估标准;积极参与DEPA、CPTPP谈判,在“敏感个人信息保护”“第三方认证”等议题上提出“中国方案”,推动将“数据安全治理监管”理念纳入国际规则,平衡安全与发展[8];同时,应当建立“域外规制应对机制”,细化《阻断外国法律与措施不当域外适用办法》在个人信息领域的适用,对外国不合理的要求,可通过阻断措施保护我国企业与个人权益。
二是大力扶持平台企业合规能力的系统构建。积极倡导行业协会根据行业特点和实际需求,拟定详尽的“个人信息跨境合规指引”,该指引应涵盖跨境电商、社交平台等不同应用场景,提供具体且可操作的合规清单和技术解决方案,以确保企业在处理个人信息时的合法性和规范性。同时,建议设立专门的“国际合规援助基金”,该基金旨在为资金和资源相对有限的中小企业提供全方位的法律咨询和技术支持,从而有效降低其在合规过程中的经济和时间成本。此外,还应积极推动合规认证的国际互认机制,通过加强与各国监管机构的合作与协调,减少企业在不同国家和地区进行重复认证的负担,提升全球范围内的合规效率,为企业的国际化发展创造更加有利的环境。
(四) 激活地方创新:打造“试点–推广”机制
深入推进自由贸易试验区试点工作。探索支持上海临港、粤港澳大湾区等区域进一步细化“负面清单”[9]。其一,按照行业与场景的不同特点制定清单。例如在金融领域,明确将“用户资金流水”纳入负面清单内容;在教育领域,放宽“非敏感学籍信息”的跨境限制。其二,构建“试点效果评估机制”,由第三方机构定期对清单的安全风险与便利化成效进行评估,总结可复制推广的经验。
构建“中央–地方”协同治理网络。在中央层面制定“个人信息跨境规制指导意见”,明确地方创新边界的框架下,在地方层面建立跨部门协同机制,由网信、发改、商务部门联合设立“数据跨境服务中心”,为企业提供“一站式”合规咨询、评估申报服务[3]。同时,积极推动地方试点经验上升为全国性规则,将上海临港的“数据分类分级管理”的创新举措纳入《个人信息保护法实施条例》修订内容,并将相关举措推广至全国各地。但值得注意的是,在“试点–推广”的过程中,还应当建立“试点–推广”的完善和监管机制。一方面,基于试点工作的发展动态调整推广政策,保证试点的可操作性;另一方面,应当对推广形式、推广效果加以监管和保障,防止试点演变为监管洼地。
5. 总结
我国个人信息跨境流动法律规制体系,不仅是顺应数字经济迅猛发展的内在要求与必然抉择,更是我国积极投身全球数字治理体系构建、彰显负责任大国形象的重要载体与关键环节。当前,该规制体系亟待在“安全治理与有效监管”的总体框架引领下,以“全过程动态平衡”作为核心观念与实施准则。具体而言,需通过精细的规则制定与条款细化,有效化解当前存在的概念界定含混、标准不统一等繁杂问题;同时,借助先进技术手段与工具赋能,全面增强个人信息跨境流动过程中的风险识别、评估与防控能力。此外,还需依托广泛的国际合作与交流,持续提升我国在全球数字治理规则制定中的话语权与影响力,并通过鼓励和支持地方层面的创新实践,充分激发制度层面的活力。展望未来,伴随数字全球化理念的不断深化与实践推进,我国必须进一步加大力度,推动个人信息跨境流动法律规制的“本土化”特色与“国际化”趋势有机融合。既要毫不动摇地坚守个人信息权益保护和国家安全底线,保障数据流动安全可控;又要积极贡献智慧与方案,为构建兼顾数据安全与流通效率的全球数据治理新秩序,提供具有中国特色、契合国际通行规则的“中国方案”,进而在全球数字治理舞台上发挥更为积极且建设性的作用。