论跨境数据流通中的个人信息保护.docxVIP

论跨境数据流通中的个人信息保护

在社会生活高度数字化的同时，信息数据收集、储存、处理、传输的成本也在进一步降低，个人数据信息的收集者与使用者在利益的驱使下极易忽视数据主体的同意权，侵害数据主体的个人信息权益。同时，个人信息作为数据的重要构成要件，如果任由公、私主体进行无序的流通与分析，会使一国内部数据的流失，造成严重的商业垄断，甚至会威胁国家安全。如“2021年滴滴事件”中，企业内部数据库中包含个人信息与国家地理信息的相关要素，赴美上市增加了敏感信息泄露的风险，严重威胁了国家层面的数据安全。

《中华人民共和国民法典》首次将个人信息纳入民事基本权益的保护范畴。但基于民事主体的法律弱势地位，以平等保护为内核的民事权益难以在数据跨境流通中为个人信息形成周延保护。由此观之，应将视角上溯至宪法高度，借域外相关实践经验为参照蓝本，从中探寻出作为基本权利存在形式的个人信息保护权，并探寻跨境数据流通中个人信息保护的新路径。

民事权利基础理论认为“个人信息作为民法权利范畴，具备对抗一切组织与个体侵害的效力”基于平等保护原则，民事权利不因其侵权主体的公权力属性而有所减损或豁免。但个人信息权益并非单纯的民事权利，具有非排他性、非损耗性，兼具流通和控制双重价值，在数据流通过程中个人信息权益具有公法赋予的权利属性，而非仅具有民事权益的人身与财产属性，因此个人信息的流通环节需要公权力对其予以保护与规制。公权力机关作为信息处理者具有技术、资源、法律地位等天然优势，若单以民事权利对其予以保护，个人信息权极易沦为“纸面上的权利”，看似处理过程中双方主体地位平等，实则早已被剥夺了“意思自治”。国家综合运用行政法、刑法等多部门法来保护个人信息，恰恰是因为信息主体和处理者之间高度不平等，因而需要公法的介入来保障处理结果的公平性。

在跨境流通层面，如果适用民事法律将公权力机关与私主体“一视同仁”，反而会以形式平等掩盖实质平等，使公权力机关“金蝉脱壳”，借用民事主体地位逃脱监管与处罚。在补偿层面，让侵权人承担民事责任往往无法实现对个人信息保护的目的。数据流通过程中一旦涉及对个人信息的侵害，在一般侵权诉讼中认定因果关系和确定赔偿数额往往对于民事主体过于困难，民事诉讼主体地位的不平等被放大。且公权力机关依法履职过程中造成的损失，应依据公法来进行救济，应当由公权力机关承担行政赔偿责任。因此单纯将个人信息理解为民事权利，既存在法律属性认定的不周延，也会导致对其公法权利属性保护的缺位。

我国宪法未明确规定个人信息权利的保护。但通过对《中华人民共和国宪法》第三十八条“公民的人格尊严不受侵犯”进行解释，不同的解释方案将产生不同的结论。第一种观点将第三十八条的规定理解为“人的尊严”，基于“人格尊严条款双重规范意义说”，认为“人格尊严”概念，不仅局限于名誉、肖像等具体权利范畴，更蕴含了一种抽象且原则性的概括意义，构成了人权保障的重要基石。鉴于个人信息内含与人格尊严密切相关的要素，因此可以合理推断出个人信息应当受到宪法保护。

第二种解释将其理解为“一般人格权”。认为宪法上的“人格尊严”是一种公民作为具有独立意志的主体享有的得到尊重的权利，这不同于民事法上仅约束平等主体间的权利，而是宪法上的一般人格权，个人信息受保护是宪法对个人主体意识的肯定与保护。两种观点均认同个人信息保护与尊严、人格权之间存在着紧密联系。据此，在个人信息保护的议题上，无论采纳何种解释路径，均可依据宪法第三十八条将其纳入基本权利的保护范畴，从而在数据流通中为个人信息提供更为周延的法律保护。

欧盟在推进境内数据流通的同时，强调个人信息所承载的人权属性。从历史演变的角度来看，欧洲的个人信息保护理念与其独特的人权观念之间存在着深厚的联系。从欧洲一体化的进程看，从《巴黎条约》《罗马条约》到《马斯特里赫特条约》，欧洲趋同教育与生活的建构也使得该区域内对个人信息保护产生了共鸣。

个人隐私作为个人数据的主要构成要件，两者往往形影不离，随着欧盟法院就个人数据的隐私权保护发布相关裁决，2000年的《欧盟基本权利宪章》随后将个人数据权纳入了其保护范畴。这一判决将个人数据权上升为人权高度。在《里斯本条约》中，又将个人数据权的受保护程度加以提升，其作为欧盟成员国的宪法性权利的落实，体现着欧盟对于个人信息的高度重视。宪法性权利优于普通的数据权，因此在个人数据权受到侵害时应对严重威胁个人信息安全的行为进行规制。因此，为了维护成员国的宪法性权利，当成员国内的数据进行跨境流通时，欧盟设立了严格的审查与评估机制。欧洲注重对数据流通过程的监管，以个人尊严构成了个人信息保护的宪法基础。

美国的个人信息保护以个体自由为导向，个人主义倾向明显。20世纪六七十年代后，互联网技术迅猛发展，网络服务提供者利用信息差大肆收集个人信息，侵害个人信息权。政府为了保护公民隐私和