法学论文哪里有?笔者认为笔者认为,若按照现行的《个人信息保护法》执行对敏感个人信息的监管和评估规则,既不利于对个人信息权益的保护,也不利于维护国家主权。
第一章 绪论
1.3研究方法
第一,比较研究法。研究美国、欧盟差异化的数据跨境流动法律规制,主要从法律规制体系及条约、协定之文本着手,分析二者在个人数据跨境流动规则上不同的历史背景和立场价值,以及给中国带来的启示。
第二,文献研究法。本文研究的文献主要包括欧盟的《通用数据保护条例》、《隐私盾协议》等各国公布的法律文件,以及国内外学者对个人数据跨境流动的最新著作及论文等。通过阅读大量文献,对不同的问题或难题进行梳理和研究,并在此基础上形成自己的观点。
第三,实证分析法。本文对相关案例进行研究,具体案例诸如斯诺登曝光美国棱镜计划;滴滴出行公司在美国上市可能导致中国公民敏感个人信息的泄漏,或危害国家安全而面临退市;“SchremsII案”中欧盟法院宣布美国隐私盾协议无效等。通过对案例的研究,使读者更加清晰地了解相关法律制度背后的动因。
第三章 个人数据跨境流动法律规制的模式和域外法考察
3.1个人数据跨境流动的法律规制模式
国际上的个人数据跨境的法律规制模式有三种,包括“充分保护水平”的评估模式、数据控制者担保模式、“告知同意”的规制模式。
“充分保护水平”的评估模式又称“白名单”制度,是指一国的数据监管机构根据第三国的申请或主动评估该国的数据保护水平。通过评估认证的国家可适用个人数据保护立法的一般规定,大量的个人数据可以在两国之间自由转移而无需其他程序。例如俄罗斯依据《个人数据自动化处理中的保护公约》罗列出个人数据跨境达到“充分保护水平”的国家名单,包括澳大利亚、新加坡、韩国等多个国家,这也意味着白名单上国家的企业可以合法地收集和处理来自俄罗斯公民的个人数据而无需提供其他数据保障措施。[23]“充分保护水平”评估模式的优势在于政府可主动评估他国个人数据跨境规则的合理性,无论是应急事件发生或事先监管方面,都能及时予以应对和处理,加强对个人隐私和国家数据安全的保护;还能通过评估认证减少企业数据跨境的负担和成本,增加法律的确定性。但是缺点在于该标准过于严格,达到条件的国家寥寥无几。
第五章 我国个人数据跨境流动法律规制及其完善
5.1我国个人数据跨境流动法律规制现状
如前文所述,一国的国内法对个人数据跨境的规制各不相同,而完善的个人数据跨境规则体系是与他国企业建立良好互动关系、维护国家数据主权的重要前提。目前,我国没有形成统一立法,个人数据跨境的相关规则散见于其他法律法规中,具体涉及网络安全保护、数据安全保护、个人信息保护以及出境安全评估等内容。
在网络安全保护方面,有2017年的《网络安全法》、2021年施行的《关键信息基础设施安全保护条例》,其中2022年开始施行的《网络安全审查办法》以防范网络安全风险为主,应事先审查关键信息基础设施运营者和网络平台运营者的数据处理活动的安全性。
在重要数据保护方面,包括2021年的《数据安全法》、2019年发布的《数据安全管理办法(征求意见稿)》。总体而言,主要对网络运营者在境内利用网络开展数据活动及数据安全风险管理的方面作出规定,并且对数据处理者因数据出境行为进行的安全评估也作出相应的细化规定。
在个人信息保护方面,包括2021年的《个人信息保护法》、2021年发布的《网络数据安全管理条例(征求意见稿)》建立在《个人信息保护法》等法律的基础上,对数据处理者应遵循的各类数据跨境评估规则分别作出了具体规定。另外,还有2021年由网信办发布的《汽车数据安全管理若干规定》。
5.2 我国个人数据跨境流动法律规制的主要问题
我国《个人信息保护法》虽然以专章形式规定了“个人信息跨境提供的规则”,但是对于个人数据跨境具体处理方面的规定在有关法律法规中仍然存在矛盾之处。例如个人数据跨境是否要求安全评估的标准各有不同:《个人信息保护法》从个人信息处理者的角度出发,规定只有关键信息基础设施运营者和处理个人信息达到一定数量的个人信息处理者这两类主体要进行安全评估;《数据出境安全评估办法(征求意见稿)》细化了法定“数量”的规定,即“处理个人信息达到一百万人的个人信息处理者”应当向国家网信部门申报安全评估;另外,当数据处理者向境外提供的数据中包含重要数据,或者累计超过十万人的个人信息或一万人以上敏感个人信息时,也要申报安全评估。而《个人信息出境安全评估办法(意见征求稿)》则规定网络运营者在跨境前应当向省级网信部门申报安全评估,由此可见,该办法规定安全评估的前提是以“数据跨境”的行为而“非个人信息处理者的主体身份”为标准,相较于《个人信息保护法》和《评估办法》,扩大了数据出境安全评估主体的范围。
第六章 结论与展望
在信息科技时代的背景下,数字经济逐渐成为世界各国竞争的优势领域。而数据尤其是个人数据,是国际贸易中企业间贸易往来的重要资源,许多国家已经将数据资源列为国家的生产要素。因此,个人数据跨境流动法律规制的研究和完善,能够提高国家的国际竞争力,捍卫国家数据主权;也能监督相关企业和政府机关向境外提供个人数据跨境的行为,从数据出境前的审批、允许出境的条件以及数据出境后的问责制度三个环节入手,发现漏洞并完善,逐步实现国家主权、数据跨境流动自由及个人隐私保护三方面价值的平衡目标。然而,笔者认为,我国个人数据跨境流动规则仍面临许多问题。
目前,我国对数据跨境的管理着眼于维护国家数据主权,在确保国家数据安全的基础上保障个人信息的控制权与商业数据财产权。但有关国家安全的数据范围规定不明确,容易产生数据范围不断向外扩展的问题,监管的方式也趋于单一化,既不利于公民的数据自决权,也在某种程度上加重企业的数据合规负担。实际上,加大对个人数据跨境的监管,其深层原因不仅仅是保障国家数据安全,更重要的是迎合数字经济的到来,以实现数据主权、促进数字经济发展为经济发展目标,充分挖掘数据价值并利用这一宝贵的战略资源促进数据流动。因此,完善我国个人数据跨境制度的法律规制显得尤为重要。我国对跨境数据的管理不是通过限制个人数据的自由流动以实现数据主权,而是通过对跨境流动数据范围的限定,以期实现国家安全、公民隐私以及企业数据财产权之间的价值平衡,减轻企业的数据合规负担,规范数据的跨境流动,为各行业积极迎接数字经济的浪潮创造良好的市场监管环境。
参考文献(略)
