摘要:目前区分敏感个人信息和一般个人信息并对前者施以更为严格的保护措施已成为全球普遍做法。但在敏感个人信息具体类型的认定上,国际社会尚未达成共识,特别是关于金融账户信息、个人位置信息、与刑事判决有关的个人信息是否属于敏感个人信息仍存在争议。美国、欧盟、日本等代表性法域基于不同的监管思路对敏感个人信息跨境流动施以差异化措施:欧盟并不区分敏感个人信息和一般个人信息,而统一设定较严格的跨境流动限制性要求;美国倡导个人信息跨境自由流动,形成市场主导型的监管模式;日本则采取更加务实、灵活的敏感个人信息跨境传输政策,以尽可能吸引更多数据进入本国境内。我国基于国家安全考量的敏感个人信息出境规则更倚重数据出境安全评估,一定程度上挤压了出境标准合同、认证等路径的适用空间。敏感个人信息跨境主要关涉信息主体个人利益,在确保信息主体基本权益和国家数据安全的前提下,其规则设计应以依法合理流动为基础原则,以特定情形禁止或限制出境为例外,建立多元化敏感个人信息跨境流动规则体系,即除了“特定人数+敏感个人信息”的分类标准外,“特定人员+敏感个人信息”也可作为补充标准予以施用。面对当前个人信息跨境流动监管规则碎片化的难题,可先促进特定行业的充分保护水平认定,由点及面,推动国内规则与国际标准的协调,为敏感个人信息流动创建更具持续力的治理结构。
关键词:敏感个人信息跨境流动;数据出境安全评估;标准合同;个人信息保护认证;法益衡量
数据在流动中才能创造价值,跨境流动是数字时代实现数据价值最大化的必然要求。然而,环节多、溯源难、跨法域等特性也决定了数据跨境特别是敏感个人信息的跨境流动蕴含着较高的法律风险。从2015年华大基因未经许可将部分人类遗传资源信息从网上传递出境;到2018年剑桥分析公司被爆出未经授权分析大量脸书用户的政治观念信息,向特定用户投放诱导性广告从而影响英国脱欧和美国大选;再至2022年滴滴公司因违法处理人脸识别信息等敏感个人信息被施以高额处罚等,全球范围内敏感个人信息无序流动的案例屡见不鲜,不仅严重侵害损害了个人信息权益,还威胁到国家安全。
2022年12月,中共中央、国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》明确提出要“构建数据安全合规有序跨境流通机制”“探索建立跨境数据分类分级管理机制”。《数据出境安全评估办法》《个人信息出境标准合同办法》相继出台为敏感个人信息出境提供了指引。然而,我国现行敏感个人信息出境规则设计过多倚重数据出境安全评估,一定程度上挤压了出境标准合同、认证等其他路径的适用空间,与敏感个人信息区分保护的立法初衷并不完全契合,无形中增加了非重要数据类敏感个人信息跨境流动的成本。如何在维护个人信息权益并保障国家数据安全的前提下推动敏感个人信息的双向有序流动,如何有效协调国内规则与国际标准之间的差异,是目前亟待解决的现实问题。
一、敏感个人信息类型辨析
敏感个人信息概念最早出现于欧洲委员会《关于个人数据自动化处理的个人保护公约》(以下简称《108号公约》)第6条,要求各缔约国提供更为严格的保护,以推动敏感个人信息与非敏感个人信息在各缔约国内有序流通。这种对个人信息区分保护的模式已在全球范围内得到广泛应用,但敏感个人信息概念本身在数字革命的深刻影响下变得愈加复杂和模糊。如何界定敏感个人信息一直存在较大分歧:《108号公约》以个人信息揭示或关涉的内容来定义敏感个人信息,包括种族、政治观点、宗教及其他信仰、与健康和性生活有关的个人信息、与刑事判决有关的个人信息等;而以1980年经合组织制定的《关于保护隐私和个人数据跨境流通的指南》(以下简称《OECD指南》)为代表的国际文件则避免了直接对敏感个人信息进行界定。
国内法层面,欧盟、日本、韩国、马来西亚等国家及地区的个人信息保护法专门规定了敏感个人信息的类型,美国州层面的消费者隐私保护法中亦引入敏感个人信息概念。但具体哪些类型的个人信息是敏感个人信息,尚未形成共识。
| 规范来源 | 列举范畴 |
| GDPR欧盟《通用数据保护条例》第9条第1款 | 显示种族或民族背景、政治观念、宗教或哲学信仰或工会成员的个人数据、基因数据、为了特定识别自然人的生物性识别数据、以及和自然人健康、个人性生活或性取向相关的数据 |
| CPRA美国《加州隐私权法》第14条第ae款 | 消费者社保号、驾驶执照、州身份证或护照号码;消费者的账户登录、金融账户、借记卡或信用卡号码,允许访问账户的任何必需的安全或访问代码、密码或凭证;消费者精准地理位置信息;消费者种族或民族血统、宗教或哲学信仰或工会成员身份;消费者邮件、电子邮件和文本信息的内容,除非企业是该通信的预期收件人;消费者基因信息;为唯一识别消费者而对生物识别信息进行的处理;收集和分析有关消费者健康的个人信息;收集和分析的有关消费者性生活或性取向的个人信息 |
| 日本《个人信息保护法》第2条 | 人种、宗教信仰、社会身份、病历、犯罪经历、因犯罪而被害的事实以及其他方面的不当歧视、偏见等 |
| 韩国《个人信息保护法》第23条第1款 | 思想与信念、工会组织和政党的加入与退出、政治观念、健康、性生活 |
| 俄罗斯《个人数据法》第10条第1款、第11条 | 种族和国籍、政治立场、宗教信仰、哲学信仰、健康状况和性生活,生物识别信息 |
| 马来西亚《个人数据保护法》第2条 | 与生理、心理健康相关的信息、政治观念、宗教信仰或其他类似性质的信仰、犯下或被指控犯下任何罪行的信息 |
表1:域外敏感个人信息的类型比较
综合来看,与人格、人身直接关联的个人信息的高敏感性得到广泛认可,不同国家及地区的立法者倾向于将医疗健康、种族、民族、信仰等与人的基本价值禀赋挂钩的信息纳入敏感个人信息的列举项。以基因信息为例,其直接揭示了人类种族起源,与个人生命健康紧密相关,且一旦与个人身份连结即可唯一识别特定个人,天然带有“敏感”属性。然而,金融账户信息、个人位置信息、与刑事判决有关的个人信息等是否属于敏感个人信息,则存在不同认识。
第一, 金融账户信息。包括欧盟、俄罗斯、日本、韩国、澳大利亚在内的多数国家及地区对敏感个人信息的界定并不涉及金融类信息。这与当前多数国家的立法取向契合,即仅将信息主体的敏感个人信息权益界定为一种人格权益,强调敏感个人信息的人格属性。澳大利亚《隐私法与实践报告》(2008)指出,不将金融账户纳入敏感个人信息类型的原因在于“金融信息并不像已有的敏感个人信息那样与个人的身体属性及信仰密切相关”。加之,个人金融信息具有公共属性,对敏感个人信息施以强化保护的传统路径(如施加单独同意要求来限制对个人敏感信息的处理)的保护效果相对有限。反观美国,一直以来都有将金融账户信息列入敏感个人信息的法律传统。《金融服务现代化法案》(GLBA)专门对消费者金融隐私问题作出规定,各州的消费者隐私保护法中也将金融账户信息列入敏感个人信息。其主要理由在于,消费者普遍对其个人金融信息从直觉上抱有保密的期望,且个人金融信息通常与可衡量的财产损失连结,对此类信息进行特殊保护在立法上更具可行性。我国立法与美国类似,亦承认金融账户信息的敏感性,在《个人信息保护法》第28条明确将其纳入敏感个人信息。
第二,个人位置信息。GDPR仅将个人位置信息列为个人信息,但并不属于“特殊类型个人信息”,主要原因在于一直处于变动中的位置信息并不能反映个体固有的专属特征。而且,位置信息具有突出的公共属性,往往被用于实现不同的商业和社会目标,应当由其他法律予以规范。例如,位置信息对于供应链监控、智慧城市的建设以及灾难规划至关重要,但这些场景的信息处理并不在GDPR同意框架内运行。与之相比较,鉴于国内泛滥的第三方位置信息交易以及精准定位严重侵害了消费者隐私权,美国加州、犹他州、康涅狄格州和弗吉尼亚州等州立法都将个人位置信息列为敏感个人信息。我国也将个人位置信息认定为敏感个人信息,但其考虑的重点在于保护人身安全,担心个人位置信息的暴露可能引发刑事犯罪风险。
第三,与刑事判决有关的个人信息。涉及刑事判决的信息与个人关联之密切不言自明。但是,是否将其认定为敏感个人信息,立法上仍存在个人权利和社会公益的权衡取舍。如果将此类信息划入个人隐私的范畴、与名誉权相关联,则对信息主体权益的保护将成为重点,极易被认定是敏感个人信息;但当犯罪记录预防犯罪的公共职能被强调时,其规制重心则落在社会防卫方向,一般不认为是敏感个人信息而受到特别保护,毕竟罪犯应当因其罪行而感到羞愧并接受社会监督。欧洲基于前一种立法考量主张“人道保护型”犯罪记录制度,以西班牙最具代表性,其《个人数据保护法》禁止在互联网上公布署有犯罪人姓名的数据库。而在美国,犯罪记录类信息推定向公众开放,联邦、州或地方政府机构不应禁止普通公民在互联网上发布被定罪者的名单或数据库,发布一项被消除的定罪信息亦不能被禁止或惩罚。基于此,多数州并不将与刑事判决有关的个人信息认定为敏感个人信息。
客观来讲,引入敏感个人信息这一类别的底层逻辑在于立法者认可特殊种类个人信息的存在,承认其所载之内容具备高度的抽象危险性,一旦滥用可能对信息主体造成较大的负面影响和损害。对敏感个人信息类型的具体列举,表明的是立法者对个人信息权益受侵害可能性与权益受影响程度即抽象危险性的判断。而这一判断需要抽离信息处理的个案式情境作出,具备抽象性和广泛适用性。同时,对敏感度的评估要结合一国自身的法律、社会环境、历史文化传统等因素作出综合考量,因而各国立法所认定的敏感个人信息类型呈现一定的差异性。
欧洲对个人信息的认知建立在人格理论的基础之上,认为个人信息是构建个人身份认同不可或缺的面向,形同人格的延伸。保护个人信息,本质上是要维护人性尊严、人格发展、个人主体性等难以金钱化的精神价值。据此,归入敏感个人信息需要特别保护的是那些干扰基本权利的实现、引发歧视等风险、具备强人格属性的个人信息。而美国则呈现出另一种法律文化,即只有在某些特定产业滥用消费者信息问题引发社会广泛关注时,才会制定专门的行业规范并施以额外的保护措施,属于典型的事后补救式立法。实践中能够造成个人信息权益受损的不限于人格损害,还包括财产欺诈、财产损害、身份盗用等等。鉴于此,美国对敏感个人信息具体类型列举更为宽泛。反观我国,个人信息保护法制建设尚在发展期,数字时代个人信息安全风险呈现出明显的多维度、复杂性等特征。面对一体化程度要求更高的数字技术,我国立法对损害程度的判断不仅限于人格尊严、人身安全,还包括财产安全,故而金融账户信息、行踪轨迹信息等也被列入敏感个人信息的类型。
二、敏感个人信息跨境流动的治理模式
正是因为敏感个人信息与个体人格及财产利益密切相关,各国立法者在数据跨境流动规则上或多或少地采取了一定限制或禁止性措施,但又呈现出明显的差异性:欧盟并不专门区分敏感个人信息和一般个人信息,而统一设定较高的跨境流动限制性要求;美国倡导个人信息跨境自由流动,形成市场主导型的监管模式;日本则积极对接协调美国及欧盟的不同规定,采取了更加务实、灵活的个人信息跨境传输政策,以尽可能吸引更多数据进入本国境内。
(一)欧盟:个人信息跨境传输的“水平条款”
为了保护个人数据权这一基本权利和自由,欧盟对于数据跨境流动的标准较为严苛,要求第三方提供与GDPR相当的个人数据保护水平。个人数据跨境流动条款是涵盖所有经济部门的“水平条款”,并不特别区分敏感个人信息和一般个人信息。换言之,敏感个人信息与一般个人信息适用相同的跨境流动规则,包括获得充分保护水平认定、提供适当安全保障以及特殊的克减例外。
1. 充分保护水平认定
充分保护水平认定是欧盟个人数据跨境传输的核心机制。根据GDPR第45条规定,欧盟委员会有权基于第三国的国内立法及其已作出的国际承诺,确定欧盟成员国以外的国家是否提供充分的个人数据保护。获得充分保护水平认定的国家、地区或者国际组织进入白名单,无需经过欧盟数据监管机构的事前授权,就可以实现与欧盟之间包括敏感个人信息在内的数据跨境自由流动。这一为数据跨境流通设置白名单国家的做法在瑞士、日本、俄罗斯等国的个人信息保护立法中也有体现。例如,俄罗斯《联邦个人数据法》规定,运营商向获得充分性认定的国家传输个人数据,仅需向主管机构(Roskomnadzor,RKN)进行通报,无需事前许可。虽然充分保护水平认定机制为个人数据跨境传输提供了便利,但是一国想要进入白名单并非易事。由于信息技术、法律制度、文化传统、经济发展水平等差异,不同国家及地区早已形成了风格迥异的个人信息保护体系,难以与欧盟的要求完全契合。此外,两国关系等政治因素亦会影响充分性的认定结果。目前,仅有14个国家进入欧盟GDPR充分性保护白名单。与之相比,俄罗斯则表现得更为开放,其提供的白名单国家范围更广,除了《108号公约》的缔约国,还涵盖RKN认定的提供同等保护的非缔约国(如澳大利亚、中国等)。
2. 适当安全保障
未能获得充分保护水平认定的,欧盟GDPR提供了替代性方案,包括标准合同条款、约束性公司规则、行为准则和认证机制。标准合同条款是由欧盟数据保护委员会提供合同条款,规定了跨境传输各方的角色分配和责任承担,旨在向信息主体提供与欧盟保护水平基本相当的保障。其中,要求接收方对传输敏感个人信息提供专门的限制和额外的保障措施(如假名化、访问限制等),且输出方应保证其已尽合理努力确定接收方能够履行此义务。以医疗信息为例,一般要求由位于欧盟的医疗机构收集且以假名化形式传输至第三国,并将密钥保留在欧盟境内,通过限制共享密钥的频率和密钥的共享对象等提供额外安全保障。但上述额外措施的实际保障效果并不理想。对于基因信息和其他具备唯一性的生物识别信息,常规的去标识化措施尚不足以消除其可识别性,在与其他数据库交叉比对后仍有可能重新识别到特定个人。同时,在以改进罕见病诊断方法为目标的基因医学研究中,将基因信息与相关的临床结果、患者的病史资料等结合分析是必要步骤,去标识化措施又可能导致处理目的无法实现。
3. 信息主体的明示同意
在数据输出方无法证明存在足够的保障措施的情况下,获得信息主体的明示同意被视为将敏感个人信息传输至第三国的合法性基础。依据GDPR第49条规定,同意应以明确的同意声明(如书面陈述)作出,且数据输出方必须告知信息主体在充足性保护或适当的安全保障措施欠缺的情况下可能面临的跨境流动风险。但是也有欧盟成员国对特定类型的敏感个人信息收集和使用作出更严格的限制,使取得信息主体同意无法成为数据跨境传输的合法路径。比如希腊法规定,基于健康和人寿保险目的处理基因数据应被严格禁止,即便在取得信息主体明确同意的情况下。此外,信息主体的明示同意只能适用于一次性或偶尔性的数据跨境传输活动,对于定期或持续进行的数据跨境传输活动,仅仅基于信息主体同意将数据传输至没有足够保护水平的国家,欧盟数据保护委员会认为其合法性并不充分。而且,一旦敏感个人信息被传输至第三国,还可能因二次使用而需重新获得本人同意,其合规成本相对较高。因此,基于信息主体明示同意进行的敏感个人信息的跨境传输,往往受制于诸多限制,只能算是辅助路径而无法成为常态化的流通渠道。
(二)美国:敏感个人信息的行业监管
美国联邦层面尚未制定专门的个人信息保护法,而是形成了以市场自律为主、政府规制为辅的分散式、部门化的监管模式。相较于政府,美国民众对行业部门给予了更多信任,相信大众媒体能揭发私营经济领域对个人信息的滥用,并认为科技能够解决相关问题,因而政府并不积极介入管制性活动。也就是说,美国将个人信息的收集、处理、利用以及跨境传输问题,委由当事方自行通过协商机制,必要时辅以行业自律守则予以规范。不可否认,行业从业者最具备判断何种规范适合行业的资质,但其出于行业保护的本能亦会损害消费者权益。因此,当某一特定产业部门或领域严重滥用消费者个人信息形成隐私保护危机时,政府也会制定法令以回应社会关切,但政府介入相对是谦抑且克制的。从20世纪70年代起,美国国会陆续制定了特定产业(如医疗、金融、教育等)的专门立法,由此构建独具特色的个人信息保护体系。在个人信息跨境流动问题上,其亦沿袭了部门式的治理范式,对金融、医疗等特殊行业作单独规定。
《健康保险携带和责任法案》(HIPAA)是美国联邦层面制定的规范医疗保健行业的部门法案,为患者个人健康信息的保护设定基本规范。处理个人健康信息必须采取一系列的行政、物理、技术保障措施以及管理要求,并遵循一定的程序,以符合上述要求。HIPAA并未单独规定个人医疗信息跨境传输问题,但其对商业伙伴的规定效力实际及于境外相关机构。HIPAA要求与美国医疗保健机构开展业务合作的医院系统、医疗保健诊所以及其他实体和个人提供相关保证,以证明其愿意并且有能力保护将要共享的个人健康信息。美国医疗保健组织通常会要求相关实体和个人签署商业伙伴协议,协议中需要阐明为保护个人健康信息而必须采取的具体步骤。简言之,在医疗健康领域,对个人健康信息的跨境传输,美国并没有设置严格的限制性和专门性条款,主要通过私主体之间约定的合同义务予以调整。
聚焦金融领域,美国推崇包括个人金融信息在内的金融数据的自由流通。《金融服务现代化法案》对金融机构处理非公开个人信息予以规范。金融机构与关联机构之间可以自由地传输个人金融信息,但与非关联机构之间的个人金融信息流动需要征得信息主体的同意,并向其提供选退机制。相较而言,美国提供了一种更低标准的保护以求在最大限度内促进个人金融信息的自由流动,这一价值取向同样在美国的对外交往中有所表现,即在双边及多边区域性协定中致力于金融数据跨境自由流动,旗帜鲜明地反对金融信息的本地化存储,毕竟金融服务一直是其在全球最具竞争力的关键产业之一,也是国际经贸谈判中的核心利益之所在。在区域多边协定中,以《美墨加协议》(USMCA)最具代表性,其明确三国开展境内义务的基础是金融数据的流动,“软”禁止三国金融机构或跨境金融服务提供者采用数据本地化措施。需要注意的是,考虑到金融监管职责的履行离不开信息的获取,USMCA禁止本地化的前提条件是这种禁止并不会妨碍金融监管机构从境外即刻、直接、完整与持续地获取相关信息。也就是说,USMCA对于金融数据本地化不是“一刀切”式禁止,也要满足其本国金融监管以及个人隐私保护的需求。尽管美国积极倡导金融信息的自由流动,但对于本国个人金融信息的出境仍存在间接管制的“隐性制度”,如2020年3月通过的《外国投资风险审查现代化法》加强了对涉“敏感个人数据”外国投资交易的审查监管。
(三)日本:敏感个人信息跨境流动的弹性化管理
日本没有选择如欧盟、美国一般强势地输出本国个人信息保护要求,而是致力于提高本国数据跨境流通政策的自适性,在协调美欧数据跨境流动规则的同时积极推动国内立法革新。依靠其极具弹性的数据跨境传输政策,日本在美欧间左右逢源,不仅加入美国主导的《跨境隐私规则体系》(CBPR),并与其积极磋商《美日数字贸易协定》,还主动融入欧盟的数据流动圈,成为GDPR生效后第一个获得充分保护水平认定的国家,有效促进了欧盟个人数据流入日本境内。
在国内法层面,日本的个人信息出境限制规则相对克制。在提高个人信息跨境传输透明度的同时重视与美国就“自由”展开的政策协调。2017年修改后的《个人信息保护法》要求个人信息跨境传输必须征得信息主体的事前同意,但同时参考美国引入告知同意的选退机制,将个人信息传输至个人信息保护委员会认定的白名单国家或受APEC隐私框架及CBPR体系担保的境外第三方。一般来说,审查境外接收方是否提供适当保护,一个重要考量因素就是针对敏感个人信息是否采用了特殊保护措施。但日本个人信息保护委员会2022年版《个人信息保护法指南》(向境外第三方提供版)明确其国内法第4章第2款对敏感个人信息的正当收集要求并不适用于境外第三方。日本援引《OECD指南》解释性备忘录的相关说明,认为敏感个人信息的具体内容可能因国情的差异而有所不同,为了能与国际接轨,不要求信息接收方采取国内法针对敏感个人信息收集的特殊措施。
需要说明的是,为了达到欧盟GDPR对个人数据的保护要求,日本个人信息保护委员会就敏感个人信息的保护作出了更高标准保护的承诺。日本《个人信息保护法》规定的敏感个人信息类型较GDPR第9条更窄,为保证从欧盟传输至日本的个人信息保护符合GDPR标准,其不仅通过内阁令对法律中列明的部分敏感个人信息类型作符合GDPR定义的解释,还由个人信息委员会发布补充决议承诺欧盟认定为敏感而日本未作规定的个人信息(如工会成员、性生活和性取向信息)从欧盟传输至日本,将受到同等水平的保护。也就是说,日本认识到敏感个人信息概念中“敏感”的不确定性,给予敏感个人信息跨境传流动规则以适度的灵活性,授权个人信息保护委员会采取必要措施弥合日本与域外主要国家及地区之间的制度和运作差异,建立与国际标准相一致的个人信息保护体系,以尽可能降低境外数据流入日本的法律障碍。
(四)小结
欧盟、美国、日本提供了三种具代表性的敏感个人信息跨境流动治理方案,各有利弊。欧盟的水平条款为个人信息的跨境传输设置统一的保护标准,不区分一般个人信息与敏感个人信息。应该说,该模式有利于设置高水平的个人数据跨境传输标准,并在一定程度上推广其自身的个人数据保护规则。然而,这种严格的保护要求亦阻碍了个人信息跨境自由流动。欧盟发布的针对日本和韩国的充分性保护决定中,都有关于该国敏感个人信息概念、类型和保护措施的详细审查。实际上,日韩两国在敏感个人信息的界定和规则设置上与欧盟差异较大。但为了能够获得充分保护认定,韩国直接修改国内个人信息保护法,通过总统令的方式将欧盟GDPR第9条所规定的特殊类型个人数据均认定为敏感个人信息。
美国的分行业监管模式实际上是针对特别行业实施的定向监管,除了上述特别行业,更多领域仍由当事人双方协商解决,必要时以行业自治规范予以约束。也就说,在未有特殊规定的多数领域,包括敏感个人信息在内的跨境传输是合法的,这也保证了美国数字产业的活力以及在全球范围内的竞争优势。但是,分行业监管也有不周延之虞。尽管敏感个人信息的收集、传输、处理主要集中于金融、医疗、通讯等特定行业,但这并不意味着敏感个人信息的跨境传输活动不会出现在其他领域。例如,日常的智能软件登录等也要求收集人脸识别信息。信息技术的应用促使了各传统行业的革新,破壁现象不断出现,信息处理者的范围有了明显的扩张。以金融领域为例,除了传统的金融机构,提供身份验证服务的电信服务商、市场营销服务的提供商等多元化非金融机构参与处理个人金融信息,而这些机构往往不是法案的适用对象。如若不能及时对这些机构的活动予以规制,敏感个人信息仍暴露于高风险之下,而依赖行业自律机制实施个人信息保护存在明显弊端。实践表明,自律组织的参与度低、执行力差,缺乏有效的监督和处罚机制,企业严格遵守隐私保护自治规则的动力不足,无法充分保护消费者信息安全。加之,分散式的跨境传输体系缺乏统一的适用框架,信息处理者可能需要在不同的场域下遵循不同的法律规定,增加了企业的合规成本。
日本虽然在数字经济领域的综合实力远不及美欧,但其立法者充分认识到了参与全球数字治理、制定国际数据保护和跨境流动规则的战略性意义,其敏感个人信息跨境流动的治理方案更趋缓和、也更具弹性。为吸引更多数据进入本国境内,其积极为入境的敏感个人信息提供额外保护。同时,认识到各国在敏感个人信息界定及具体类型上存在的差异与分歧,为境外接收方提供了必要、合理的责任克减。但此模式下个人信息保护委员会的执法压力较大,需要为弥合日本与外国之间的制度和运作差异设置不同的监管措施与标准。加之,日本弹性化的跨境传输政策是一种防御式策略,为数据流入日本境内减轻障碍的同时,很难为本国公民的敏感个人信息流向境外提供较为全面的安全保障。但综合来看,此模式与日本数据治理策略适配,不仅能够保持国内个人信息保护体系与国际先进标准的动态平衡,积极倡导和推广日本在新技术、新业态下个人信息及隐私保护方面的规则和价值理念,还能提升与其他国家之间的互信合作,助力日本数字经济产业的发展。
三、我国敏感个人信息跨境流动规则审思
我国敏感个人信息出境可以通过安全评估、标准合同、个人信息保护认证等三条路径,个人信息处理者只需满足其中之一即可跨境提供个人信息。对敏感个人信息则作了特殊的限制性要求,即达到一定数量的敏感个人信息传输至境外的,必须通过国家网信部门组织的安全评估。《数据出境安全评估办法》设置了1万人的最低限额,要求向境外累计提供超过此限额敏感个人信息的数据处理者必须申报数据出境安全评估,实际形成了安全评估为主、其他路径为辅的敏感个人信息跨境传输体系。同时,涉及人口健康信息、个人金融信息等特殊类型的敏感个人信息必须存储于境内,原则上不允许跨境传输。
正是基于国家安全的考量,我国对敏感个人信息跨境传输设置了较为严格的限制性措施。从设计理念来看,与标准合同、个人信息保护认证相比,安全评估制度的关键功能在于识别和控制国家安全风险。敏感个人信息出境管理中安全评估制度的宽泛适用,蕴含对境外机构从敏感个人信息中分析出与国家安全相关内容的担忧。而本地化存储以强制性要求将上述敏感个人信息的处理限定在本国管辖范围内,是捍卫国家安全的主要措施。在数字贸易中很多国家亦援引国家安全例外条款作为其数据本地化措施的合法性基础。从适用对象来看,人口信息直接关涉社会安全、生物安全,个人金融信息、信用信息又与经济安全密不可分,都落入国家安全范畴。
(一)三难选择:敏感个人信息跨境传输之法益衡量
国家安全考量下我国敏感个人信息跨境传输规则总体呈现为单一化的规制路径:以安全评估为优先,其他路径的应用空间被严重挤压。客观而言,与重要数据不同,敏感个人信息的法益核心更侧重于对自然人个人合法权益的保护上而非国家安全,采取的规制措施并不仅限于“一事一议”的事前安全审查制度。无论是俄罗斯、新加坡等国个人信息保护法中的明示同意模式,还是GDPR的充分保护条款,都将个人信息处理者的安全保障义务内化于合同条款之中,更多地将个人信息跨境传输问题置于私领域范围内加以讨论,重在平衡敏感个人信息的保护与自由流动之间的利益冲突,而并不强调与国家安全之间的关系。
我国敏感个人信息出境规制的现实困境在于难以兼顾个人信息保护、国家主权安全和信息自由流动的三重法益。全球范围内的立法实践表明,良好的个人信息保护、跨境数据自由流动和维护国家主权安全虽为各国普遍追求的目标,但几乎不可能同时达成。当然,这并不意味着只能以全有或全无的形式选择单一目标作为跨境传输规则制定的价值取向,但立法者需要直面冲突,合理确定不同价值诉求之间的优先级。譬如,重要数据一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全,在规则设计时就需要强调国家安全监管;非个人数据是基本商业活动的最小单位,具备潜在的经济价值且直接损害个人权益的风险较低,应将促进自由流动作为首要目标。而对于敏感个人信息,由于其与自然人个体权益高度关联,一旦泄露或非法使用可能造成严重损害,在保护规则的设计上需要强化信息主体对敏感个人信息的控制,并对信息处理者施以更严格的保护义务和责任。只有当敏感个人信息所载内容与重要数据高度重合时,如系涉密人员的敏感个人信息,此时维护国家安全为优先价值,保护信息主体权益次之。反之,如果在立法思路上过于强调对主权和国家安全的维护,动辄采取本地化存储与出境安全评估等强制性措施,甚至完全禁止敏感个人信息出境,无异于因噎废食,最终背离个人信息跨境流动制度的设立初衷。
(二)内容混同:敏感个人信息出境路径定位不清
安全评估的法理逻辑在于识别数据出境可能对国家安全、公共利益带来的风险并提供更为严格的预防措施,以应对他国政府情报活动的可能威胁。标准合同则是通过固定的协议框架将一国个人信息保护规定内化为私法层面的合同义务履行与违约责任承担,以确保信息主体权益在境外亦能得以充分保护。个人信息保护认证从技术角度强化对个人信息的安全保障,侧重于通过技术指标来识别和治理个人信息出境可能存在的内部管理漏洞和技术安全漏洞。三种路径的规制重心不同,各有其适用的典型场域,理论上能较为全面的覆盖敏感个人信息跨境传输过程中的潜在风险。
然而,我国针对敏感个人信息的安全评估、标准合同、个人信息保护认证三种路径存在审查内容的大幅重叠问题,未能依照各路径的自身逻辑设计区别化且有针对性的具体操作规范。举例来说,安全评估、标准合同和个人信息保护认证均需要个人信息处理者进行事前风险评估。安全评估下要求信息处理者在申报时提供数据出境风险自评估报告,标准合同和个人信息保护认证下则是要求信息处理者对拟向境外接收方提供个人信息的活动开展个人信息保护影响评估。从具体内容来看,两项评估的基本要求相近,审查出境规模、范围、种类、敏感程度以及境外接收方承诺承担的责任义务等。最主要的差异性在于数据出境风险自评估在风险识别方面额外关注可能的国家安全、公共利益以及组织合法权益遭受侵害的风险。但这一差异并非源于安全评估与标准合同功能定位不同,而是将安全评估扩充为应对跨境传输中各种可能风险的兜底性制度,与路径多样化的理念相悖。
此外,安全评估、标准合同和个人信息保护认证都属于个案审查,而非对信息接收国个人信息保护标准的综合性审查。其评估结果仅针对特定商业活动下个人信息的跨境传输。如若改变传输目的等,则需要重新进行评估。归根结底,我国敏感个人信息跨境传输遵循单一的风险识别和预防损害思路,缺乏对持续性跨境传输活动的系统规制。
(三)衔接困难:敏感个人信息跨境流通规则对外融入不足
数据跨境流动治理不仅是国内问题,更是国际问题,离不开国内政策与国际规则的协调以及国家间的合作交流。我国的敏感个人信息跨境流通监管内核与既有的国际规则存在较大差异。相较而言,我国更趋审慎,个人信息跨境流动规则较为严格,尤其针对部分敏感个人信息的本地化存储政策,与上述国家所倡导的有序流动理念有所不同。而且,我国尚未通过双边、区域多边协议与主要经贸伙伴国搭建包括敏感个人信息在内的数据跨境传输合作通道。目前我国仅签署了少量关于向境外提供个人信息的国际协议,且主要为政府部门间的互助条约,并不适用于企业跨境传输敏感个人信息的一般场景。在经贸领域,中国只在与新加坡、韩国等少数国家的自贸协定的电子商务章节下涉及个人信息相关议题,都未直接提及数据跨境流动。《区域全面经济伙伴关系协定》(RECP)虽包含数据自由流动规则和禁止数据本地化的条款,但也仅作原则性承诺,难以为实务操作提供具体指引,更没有针对敏感个人信息跨境流动的专门规定。此外,我国与国际数据保护机构的交流合作也存在明显不足。除了经合组织、亚太经济合作组织等传统的国际经济组织外,世界隐私会议和亚太隐私机构论坛等数据保护机构之间的协作框架对全球数据跨境流动也有着不俗的影响力,但目前我国个人信息保护执法部门尚未借助上述国际平台参与个人信息保护标准的制定以及合作。
四、我国敏感个人信息跨境流动规则的优化路径
(一)敏感个人信息类型的细化
我国《个人信息保护法》对敏感个人信息的界定采“定义+列举”的立法模式,在给出定义的基础上进行类型化列举,并将未列举的事项通过概括性用语加以穷尽。诚然,例示列举在规制范围上更为周延也更加灵活,避免挂一漏万,但是概括性用语的不确定性决定了敏感个人信息的内涵及外延仍缺乏一致的判断标准,并且一旦例示事项设置不严谨,就容易导致指示功能失灵,实际上减损了列举规范所要达到的具象化效果,因此需要提供更为明确的判断标准。
首先,应肯定《个人信息保护法》第28条列举的七类个人信息的敏感性,不再置于特定的场景依据抽象概念进行择入择出的二次判断。如前所述,法律文本中的敏感表征为损害的高风险性,是一种概率选择,不因某一个人在某一特定场景下的不同主观感受而变化。被写入条款的敏感个人信息类型应当是在各种不同场景下都显现出使信息主体遭受权益侵害的高度可能性的个人信息,以增强适用事项的可预期性。
其次,需要对已列明的七类敏感个人信息作细化解释。我国目前列出的敏感个人信息类型宽泛、覆盖面广,但是分类的标准并不统一,各类型之间存在交叉重叠,且由于法律条款中的表述抽象,容易产生歧义。如“特定身份”这一《个人信息保护法》创设的概念,其具体内涵以及与个人身份信息的关系,都需要加以说明。
最后,对非列举敏感个人信息的判断需采审慎态度。非列举的信息类型是否能被认定为敏感个人信息,日韩等国立法将对“等”的解释权交给监管机构,只有政令或总统令认可的非列举个人信息才能被认定为敏感个人信息,以禁止对敏感个人信息的扩大化解释。相较而言,我国对非列举项的判断以第28条界定的概念出发,在相关司法解释未出台前,留给法官的自由裁量空间较大,存在泛化解释的可能。这里,需要提供更具指引性的标准帮助判断个案中某类个人信息是否为敏感个人信息,笔者建议可以从信息主体、可识别性、损害可能性等维度综合分析。例如,基于年龄、身份等因素判断信息主体是否为认知能力低下的弱势群体;依个人信息是单个存在还是集群存在、能否直接连结本人,判断识别特定个人的风险高低;以社会公众的认知为基准判断处理此信息造成信息主体损害的可能性。
(二)建立多元化敏感个人信息跨境传输规制体系
现阶段单一的敏感个人信息跨境传输规制方式无法及时回应社会关切,亦难以适应跨境传输规模庞大、种类繁复、持续多次的特点,建立多元化的敏感个人信息跨境传输规则体系迫在眉睫。一方面,落入重要数据范畴的敏感个人信息提供至境外的,需要按照要求进行安全评估。安全评估识别和预防的主要风险类别是国家安全和社会公共利益风险,基因信息、种族信息等敏感个人信息,具有公共卫生、国家生物安全等维度的战略价值,理应受到重点规制,在出境前应施以安全方面的实质审查。但在具体操作方面,所谓“1万人”的数量限制欠缺有力的数据支撑,且以人数为判断基准的操作方式缺少了定性分析,从立法技术上来说仍有不足,不排除100个特定身份的敏感个人信息即触发国家安全风险的可能。因此,在划定安全评估的适用范围时,除了“特定人数+敏感个人信息”的分类标准外,“特定人员+敏感个人信息” 也可作为补充标准予以施用,以保障安全评估机制的有效识别从而有效控制跨境传输过程中的国家安全风险。此外,评估过程中应强调特定风险点(如政治安全、经济安全等)的精准识别和审查,避免“大撒网”式泛化评估。
另一方面,对于非关涉国家安全的敏感个人信息,可依标准合同、个人信息保护认证路径合法出境。安全评估是“一事一议”性质的事前审核手段,过度扩展其适用范围,无疑将增加企业合规成本、延长评估时间,这并不适用于敏感个人信息出境的一般性情形。在设计敏感个人信息跨境传输规则时,应当充分发挥市场机制作用,相对限缩安全评估的适用范围,充分利用标准合同和个人信息保护认证机制。在标准合同的条款设计中,应强化信息主体权利的保障,并提升权利救济的便利度,以尽可能降低敏感个人信息跨境传输过程中个体权益受侵害风险和不确定性。就个人信息保护认证而言,重点在于设立专业的认证机构对企业敏感个人信息保护能力进行评估。认证机构应当具备相应的专业知识、经验、权威,能深入企业内部对其技术管理水平、应急处置能力等进行综合评估,引导和激励企业依照认证规则处理个人信息。与此同时,为提高认证公信力,认证机构应由国家授权进行认证活动,并由行政主管部门对认证全过程进行监管。
此外,敏感个人信息出境应适当设置合理的例外条款,以增加跨境传输监管制度灵活度和应变性。这里的例外条款主要围绕公共利益保护展开,即基于更大的合法权益和人类共同利益而对某些敏感个人信息跨境流动、共享给予开放的条款。例如,在特定行业和部门间(如税务、海关、金融监管机构、社会保障部门、公共健康服务部门等)的国际信息交换,涉及的敏感个人信息包括基因信息、诊疗记录、个人信用信息等。不过,由于公共利益是一个高度模糊的概念,我国在制定公共利益例外条款时,需要对公共利益的范畴作严格限定,明确列举具体的克减情形。
(三)积极开展国际协调
长期来看,我国仍应坚持国内与国际标准的对接,采取更加灵活的策略,寻求开展互信合作的突破点,推动本国与其他国家之间达成互信,为信息的跨境流动创建更具可持续性的治理结构。
一是积极推动建设特定行业的充分保护水平认定机制。我国虽然尚未与欧盟等国家及地区达成充分协议以实现私营主体和公权力机关的全面信息自由流动,但是聚焦某一具体行业的双边合作仍具备现实基础。以医疗行业为例,美国牵头的HL7卫生信息交换标准为各国医疗体系信息互操作性打通渠道;国际标准化组织(ISO)制定的《信息安全管理标准》(ISO/IEC 27001)《健康信息安全管理标准》(ISO 27799)为医疗保健行业和各医疗组织维护个人健康信息的安全性、完整性和可用性设置了最低要求。技术标准的统一已经为跨境合作奠定了坚实的基础。此外,我国法律规范所列的部分敏感个人信息类型,广泛存储于教育、医疗等领域。我国可以在上述部门率先开展双边合作,推动达成国家间特定行业的充分保护水平认定,继而由点及面,更大范围地减少我国与其他国家在敏感个人信息传输方面的政策冲突,以点对点的合作模式推动敏感个人信息的跨境流动。毕竟特定行业的定点合作将传输的个人信息限定在特定类型,最大限度地减少了不同国家因对敏感度认定的差异而形成的传输壁垒。不仅如此,针对特定行业个人信息保护的规则协调较综合各部门的全面性调整更易实现。
二是尊重各国在敏感个人信息敏感度认定方面的差异,积极推动敏感个人信息跨境传输领域达成双边补充性文件。鉴于我国敏感个人信息的界定标准较为宽泛,留下了灵活解释的弹性空间,可以通过补充性协议作出适合双方敏感个人信息传输的规则设计。需要特别强调的是,开展合作的目的并不在于改变或全盘接受他国的个人信息保护制度,而是希望通过充分协调和沟通,符合两国的共同利益,帮助企业切实提高个人信息保护水平。
三是充分发挥民间团体在跨境传输领域的积极作用。敏感个人信息跨境流动往往涉及多个司法管辖区,规则和标准的制定往往由政府部门牵头,民间组织的参与度不足、积极性也不高。基于此,日本于2016年颁布《官民数据活用推进基本法》,鼓励并吸收了如日本电子产业协会、IT组织联合会等大量地方社团参与跨境数据流动治理。近年来,这些分散的团体逐渐合并,形成了数据社会联盟等受产业界、学界、政府三方支持的大型非营利组织,广泛参与制定日本跨境数据流动技术标准及政策,推进了日本数据跨境流动的国际合作和标准统一。随着数据跨境规模及数量日趋增长,致力于推动数据跨境流动的团体和组织也会越来越多,且往精细化、专业化、国际化的方向发展。我国亦应重视并发挥民间团体在跨境数据流动技术标准制定方面的积极作用,牵头搭建各组织团体交流合作的平台,广泛听取其政策建议。
结语
随着经济和社会活动的全球化,包括敏感个人信息在内的跨境数据流动愈发频繁,驱动数字经济发展的同时亦引发信息和隐私安全风险。我国《个人信息保护法》围绕敏感个人信息构建的区分保护机制无疑是进步之举,但在跨境数据流动领域,敏感个人信息复杂的法益结构仍待进一步的规则细化。与零和博弈不同,立法上的利益衡量目的在于“多赢”和“共和”,在承认和保障一方核心利益的同时,需要让渡其非核心利益以确保其他各方合法利益的实现。构建多元化的敏感个人信息跨境传输规则体系,提供差异化的出境路径,是能动回应各方主体关切的应有之义。“法与时转则治”,放眼全球互联互通和信息技术蓬勃发展的未来,双边乃至多边的开放互信仍应视为敏感个人信息流动治理的终极目标。我国应充分发挥后发优势,在衔接协调现有国际规则的过程中积极寻求与新技术、新商业模式匹配的中国方案。
(限于篇幅,本次推送省略参考文献及注释,如需完整版,请参阅《广西社会科学》2023年第7期)
