论文部分内容阅读
自斯诺登事件之后,个人数据跨境流动逐渐成为全球瞩目的问题,各国纷纷制定相关监管政策以求加强国内数据安全保护。目前各国针对个人数据跨境流动都制定了相关的规则体系,其中尤以欧盟GDPR规则举世瞩目。同时,欧盟对外签订的双边数据流动协定也反映出各国在面对该问题时秉持的不同政策价值与实际中的互相妥协。我国也逐步加紧了个人数据出境的立法,而欧盟关于个人数据跨境流动领域较为丰富的立法与司法实践对我国相关规则的制定极具借鉴意义。本文分析了当代数字贸易背景下个人数据跨境流动的必然性,这与其本身的经济属性相伴相生,但是个人数据的权利属性以及可能给国家社会带来的安全影响使得各国不得不对其跨境流动进行规制。因此,本文所研究的主要问题就是如何在个人数据的全球跨境流动成为必然的背景下平衡对个人数据主体以及国家利益的保护?在这一较大的问题背景下,提出在规制个人数据跨境流动过程中必然会面临的三个法律问题:第一,在个人数据出境前,哪些个人数据的跨境流动需要被纳入规制范围,进而哪些个人数据经过评估可以出境而不会损害国家安全或者数据主体的权益?第二,在个人数据出境时,必然会导致数据主体对其数据控制力的大幅降低,此时数据传输者该如何保障数据主体的权益?第三,在个人数据出境后,作为数据接收地的第三国已经脱离了数据出口国的法律管辖范围,那么该第三国应满足什么保护标准才能作为个人数据的接收地?由于欧盟针对个人数据跨境流动的规定繁如星海,本文所涉及的研究内容将局限在上述三个法律问题上。本文由以下部分组成。导言部分提出问题,阐明本文的研究价值、研究意义、主要研究方法和论文结构,进行文献综述,点明本文的主要创新点与不足之处。第一章,阐述了个人数据所具有的双重属性,个人数据的经济属性决定了个人数据跨境流动之必然以及促进自由跨境流动对国际数字贸易的积极作用,但其权利属性同样决定了各国需要对个人数据的跨境流动加以各方面的规制。首先,为了平衡促进自由贸易和保障国家社会安全及数据主体权益的关系,思考满足何种要求的个人数据可以出境。其次,当个人数据出境本身可能就会给数据主体带来或多或少的危害时,思考该如何加强数据主体对其个人数据的控制,保障其权益的实现。最后,为了避免个人数据流入第三国后给数据出口国及其公民可能带来的负面影响,作为数据接收国的第三国又该有怎样的保护标准。在提出上述三大法律问题后,接着明确了本文所讨论的“个人数据”和“跨境数据流动”的含义。本文认为“个人数据”与“个人信息”具有法律意义上的同义性;而“数据本地化”和“数据留存”与“数据跨境流动”也不是非此即彼的关系。第二章至第四章是本文的主体部分,主要从欧盟GDPR立法、与GDPR相关的解释指南以及欧盟法院作出的相关判例入手分析了第一章中提出的问题。第二章研究了欧盟对可跨境传输的个人数据的规定。欧盟首先明确了需要受到规制的个人数据应该具有“可识别性”,同时欧盟以“一般数据”与“敏感数据”为标准划分个人数据的类型,并根据个人数据的不同类型规定了宽严相济的跨境流动限制措施;判断跨境传输个人数据是否应进行评估时,GDPR规定了独特的数据保护影响评估机制(DPIA),明确了需要进行评估的情形及评估内容。第三章研究了个人数据跨境传输时欧盟规定对数据主体的保护。首先,原则性保护的规定需要贯穿个人数据跨境流动的全程,其中尤以合法性与透明性原则、目的限制与数据最小化原则、完整性与保密性原则与研究内容密切相关;其次,数据传输者需高标准地履行告知义务,告知内容应准确详尽,告知方式应简单清晰且易于获取;最后,个人数据的跨境流动必须要获得数据主体的“有效”同意,并满足相关有效性要素。第四章研究了欧盟规定的可接收个人数据的标准。欧盟在GDPR中明确了与欧盟境内自由传输个人数据的前提是欧盟境外数据接收地满足了“充分性”保护标准,其中欧盟对外签订的欧美《隐私盾协议》与欧日双边数据跨境流动协定为充分性标准判断提供了重要依据。除了以充分性保护标准为原则外,欧盟还肯定了标准合同条款和约束性公司规则为补充,允许数据传输者和数据接收者双方可自行协商满足的相应规则。第五章,在总结上述欧盟规则的基础上对我国的个人数据跨境流动规则提出借鉴意见。我国目前对于个人数据跨境流动的规制仍属初期,虽然已经存在不少立法实践,但还未建立起完善的规制框架。我国对于三大法律问题已经有了部分规定,但是存在不足。首先,对个人信息分类保护存在矛盾与不周延之处,在个人信息出境评估上也为企业设置了过重的合规成本;其次,统一个人信息保护法的缺失导致信息出境时对于信息主体的保护不完善;最后,没有明确的信息接收地标准给个人信息接收后的保护情况带来不确定性。针对上述不足提出相应的完善措施,首先对于敏感数据设置更为严格的出境标准并降低评估难度;其次在现有规则中明确数据主体保护的要素,厘清不同法规间的关系;最后在无法确定个人信息接收地标准的现状下,要积极利用可替代性的规则并且积极加入双边协定的磋商。结语部分,总体上梳理了文章的脉络和论证逻辑,重申了对本文所提出问题进行研究的急迫性与重要性。欧盟丰富的内部立法司法的实践与对外双边协定的签署,是本文重点的研究对象,但是根本目的是为我国近年来对个人信息出境法律框架的完善提供借鉴。