摘要
<html><head>《个人信息保护法》第 38 条第 3 款规定了个人信息跨境传输的同等保护原则,要求个人信息出境后获得不低于境内标准的持续保护。同等保护原则在理论上发挥着控制个人信息出境流量的“闸口” 功能,但不同于欧盟的广泛重视和普遍施行,其在我国实践中却常处于被忽视的“休眠”状态。究其原因,表层困境在于,评估第三国个人信息保护水平、设置保护标准上的立法缺陷所导致的高成本与难操作性。深层动因则在于,欧盟与我国在全球数字竞争中存在战略目标的根本差异。激活我国的同等保护原则,一方面需立足于当前制度框架,通过优化同等保护评估的责任分配,设置合理的评估基准以补齐当前的制度短板;另一方面需探索沙盒监管机制,增设豁免条款并在自贸区开展法治试验,为在不同场景下适用同等保护原则提供规则储备。
Abstract
<html><head>Article 38(3) of the Personal Information Protection Law establishes the principle of equivalent protection for crossborder transfers of personal information, requiring that personal information transferred abroad continue to receive protection no lower than that provided within China. In theory, this principle functions as a regulatory “gatekeeper” for controlling outbound data fl ows. However, unlike its widespread recognition and consistent application in the European Union, the principle has largely remained dormant and underutilized in Chinese practice. At the surface level, this predicament is attributable to the high costs and practical difficulties arising from legislative deficiencies in assessing third-country personal information protection regimes and in defining appropriate protection standards. At a deeper level, the divergence reflects fundamental differences between the EU and China in their strategic objectives in the context of global digital competition. To revitalize the principle of equivalent protection in China, it is necessary, on the one hand, to operate within the existing institutional framework by optimizing the allocation of assessment responsibilities and establishing reasonable assessment benchmarks to address current institutional shortcomings. On the other hand, it is also essential to explore regulatory sandboxes, introduce additional exemption clauses, and conduct ruleof-law pilot programs in free trade zones, thereby building a normative reserve for the application of the principle of equivalent protection across different scenarios.
一、 引言
《中华人民共和国个人信息保护法》(简称《个人信息保护法》)第38条第3款规定了个人信息跨境传输的同等保护原则,要求“个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准”,该原则发挥着控制个人信息出境的“闸口”功能 (周汉华,2022)。如何理解和适用《个人信息保护法》中的同等保护原则深刻地影响着保障个人权利、维护国家安全及促进数字经济等多重目标的实现。
值得思考的是,作为法律移植产物的同等保护原则,在我国呈现出与欧盟截然不同的发展样态。同等保护原则在欧盟的重要性和影响力已在历次司法判决和监管执法中逐步提升,实现了从法律工具到基本原则的发展演进。当前,同等保护原则已成为欧盟高水平权利保护的象征和数据跨境流动的保护基准。在我国,同等保护原则尚处于起步阶段,其在实践层面尚未得到普遍实施,在理论界也鲜有深入探讨。当前学界仅有少量研究将同等保护原则视作我国《个人信息保护法》对欧盟 《一般数据保护条例》(General Data Protection Regulation,GDPR)的法律移植实践(赵精武, 2022;金晶,2022)。部分文献从功能角度指出,同等保护原则是我国个人信息跨境传输的一般原则,是各类个人信息出境机制的规制目标(刘金瑞,2024)。前者侧重于介绍欧盟制度与判例,对我国同等保护原则的规范表达与实践现状关注不足;后者则囿于宏观层面的功能定位分析,未能深入到实在法规范的微观层面剖析该原则在我国的具体制度构造。那么,同等保护原则在我国立法中的具体表达形态是什么?哪些因素阻碍了其在我国实践中的普遍实施?换言之,本文旨在揭开法律条文背后影响制度运行实效的深层逻辑,以期为同等保护原则的未来激活及其良好实践提供可能方案。
本文遵循如下思路展开:首先,立足于我国实在法规范,分析同等保护原则在我国个人信息跨境传输制度中的具体构造,并将其与欧盟GDPR进行适当比较;其次,剖析该原则在当下实施中面临的多重挑战和潜在影响,揭示其在中欧间呈现不同实践样态的原因;最后,从完善当前制度构造和回应必要实践需求两方面提出同等保护原则的优化路径。
二、 同等保护原则的理论基础、制度建构与中欧比较
(一) 同等保护原则的源起与发展
同等保护原则最早出现在国际文件中,用于协调不同国家的数据保护标准以促进数据跨境流动。①经合组织(OECD)1980年发布的《个人数据隐私和跨境数据流保护指南》(下称《指南》)第16条和第18条强调,成员国应确保个人数据的自由流动,避免各类隐私保护立法、政策及实践对数据跨境流动造成阻碍。为回应各国对无限制的数据跨境流动导致个人数据被转移至他国以规避本国数据保护要求的担忧(Phillips,2018),《指南》第17条允许在“其他成员国无法提供成员国基于其国内立法对特定类型数据所能提供的同等保护”的情形下限制数据跨境流动。其中, 《指南》对“同等保护”的解释为“保护水平应该在效果上大致相同,但无需在形式上或所有方面相同”。欧洲理事会各成员1981年签署的《有关个人数据自动化处理中之个人保护公约》延续了这一思路,其第12条禁止仅以隐私保护为由阻碍数据跨境流动,除非另一方未能提供与一方国内法对特定类型数据同等的保护水平。
此后,同等保护原则被转化为欧盟的具体立法,并逐渐发展为欧盟数据跨境流动的基本原则。 1995年的《数据保护指令》第25条第1款规定,只有在第三国确保提供适当保护水平(adequate level of protection)时,方可跨境传输个人数据。2016年的GDPR序言第101段提出,“个人数据从欧盟转移到第三国时应确保对自然人的保护水平不受损害”,数据跨境流动章节的第44条原则性条款规定,“本章节的各条款需要以确保本条例对自然人保护水平不受损害的方式适用”,即个人数据只允许被传输到和欧盟具有同等数据保护水平的国家和地区。
最初,同等保护原则主要用于评估第三国的数据保护水平是否与GDPR的要求相符,并据此作为是否授予其“充分性认定”的决定依据(Ryngaert & Taylor,2020)。随后,欧盟法院通过一系列具有里程碑意义的判决,显著提升了同等保护原则的地位与影响力,将其塑造为GDPR框架下数据跨境流动的合法性基准。2015年的SchremsⅠ案中,欧盟法院指出,“接受欧盟数据的国家需要对基本权利进行高水平的保护,即在本质上等同于根据《欧洲基本权利宪章》解读的《数据保护指令》在欧盟内所保证的水平”,这意味着将数据跨境流动中对个人数据保护的重要性提升至基本权利的地位。②在2020年的SchremsⅡ案中,欧盟法院进一步将同等保护扩展为GDPR中各类数据出境机制的指导性基准。③
(二) 我国同等保护原则的制度建构
我国在同等保护原则上秉持着与欧盟相似的制度逻辑,其目的在于实现对个人信息超越国境的全程保护,确保个人信息在出境后获得的保护水平与国内相同(龙卫球,2021)。在制度构造上,同等保护原则的相关规定主要集中于《个人信息保护法》第38条第1款第1~3项,即我国个人信息跨境传输主要法律工具(下称“三项个人信息出境机制”)的细化规定中,其内在逻辑围绕着以下三个层次展开:其一为个人信息跨境传输的同等保护要求,其二为同等保护的评估内容,其三为未实现同等保护的潜在法律后果。
其一,同等保护原则是实施个人信息跨境传输的前提条件。首先,三项出境机制均将满足同等保护要求作为个人信息跨境传输的必要条件。《数据出境安全评估办法》(下称《评估办法》)第 8条第1款第2项将境外接收方的个人信息保护水平作为数据出境安全评估的重点评估事项,《个人信息出境认证办法》第6条将同等保护作为个人信息保护认证的重点评定内容。在“个人信息出境标准合同”(下称“标准合同”)中则将同等保护要求作为基本原则及首要合同目的,要求通过书面协议确保境外接收方落实同等保护要求。①其次,同等保护还是个人信息跨境传输前置合规程序中的重要内容。《个人信息出境标准合同办法》(下称《标准合同办法》)第5条将同等保护作为履行《个人信息保护法》第55条个人信息跨境传输的必要程序即个人信息保护影响评估义务的重点评估内容。
其二,同等保护原则要求评估以下两个维度,即境外接收方所在国家或地区的整体个人信息保护水平,以及境外接收方自身的个人信息保护能力。然而,相关评估内容的规定较为宽泛、模糊,且在不同个人信息出境机制之间存在细微差异。如《评估办法》第8条中要求,评估境外接收方所在国家或地区数据安全保护的政策法规和网络安全环境对出境数据安全的影响,以及接收方自身的数据保护水平是否达到我国法律法规和技术标准的要求。②“标准合同”第4条和《网络安全标准实践指南—个人信息跨境处理活动安全认证规范2.0》(下称《认证规范2.0》)第5.4条均进一步细化了评估内容的规定,相关内容与GDPR第45条第2款的充分性认定机制的考虑要素相类似,对第三国个人信息保护水平的评估需要考量其国内立法、国际承诺、监管实践等维度,对个人信息接收方个人信息保护能力的评估需要考量其个人信息跨境传输经验、安全事件处置能力、对公共机关个人信息提供请求的应对情况等因素。
其三,若个人信息跨境流动未能实现同等保护,境内个人信息处理者需要履行中止传输、重新实施特定程序的法律义务,并在损害发生时承担相应法律责任。《评估办法》《认证规范2.0》 《标准合同办法》均规定在出现可能影响同等保护的情况时,境内个人信息处理者应当及时停止个人信息传输,③并重新申报数据出境安全评估、通知认证机构及补充或者重新订立标准合同并履行备案手续。④此外,三项个人信息出境机制均要求在配套的法律文件中明确个人信息损害的法律责任主体,若境外接收方未设置境内法律主体,境内个人信息处理者则需要作为其境内法律责任承担方承担相应民事法律责任。⑤
(三) 中欧同等保护原则的比较分析
同等保护在《个人信息保护法》和GDPR中均充当着个人信息跨境传输的原则性规定,但两者在各类个人信息出境机制的适用情况和同等保护的有效性标准的制度设计上仍有较大差异。
其一,同等保护原则的适用差异。首先,我国《个人信息保护法》下的同等保护原则呈现出适用与不适用的双层结构,该种结构性差异体现出中国立法在原则的普适性与实践的灵活性之间的特殊考量。本文认为,《个人信息保护法》第38条第1款的1~4项的安全审查、标准合同、保护认证以及“其他条件”均受同等保护原则约束,而第38条第2款通过缔结或参加的国际条约、协定传输则不受同等保护约束(龙卫球,2021)。其中,第38条第1款的1~3项涉及的三项个人信息出境机制已对同等保护原则作出了明确要求,目前对于第4项“其他条件”的适用情况还存在不同理解。依目的解释,“其他条件”的目的是为各类个人信息出境的特殊规定预留制度空间(程啸, 2021)。有观点认为,预留的制度空间意味着对同等保护要求的豁免,如《促进和规范数据跨境流动规定》(简称《数据跨境流动新规》)第5条对安全评估、标准合同和保护认证的豁免意味着该新规允许在不符合同等保护原则的情况下向境外提供个人信息(刘金瑞,2024)。但本文认为,第 4项在体系上仍属于第38条第1款的个人信息出境机制,除作出明确的豁免规定外,应当受到与该款下其他个人信息出境机制相同的同等保护约束。《数据跨境流动新规》是出于便利的目的而在形式上对特定程序的豁免而非对同等保护等实质保护要求的豁免,如第10条规定向境外提供个人信息仍需履行个人信息保护影响评估义务。其次,欧盟GDPR下的同等保护原则呈现出“充分性认定—采取适当保障措施—豁免适用”的三层递进式结构。这种精细化的梯度结构设计,为欧盟在不同个人信息保护水平的背景下实现个人信息对外传输提供了多元路径,体现了欧盟立法刚性约束中的规则弹性。在充分性认定名单内的国家和地区证明其个人信息保护水平符合同等保护原则,若未能得到充分性认定,则需要通过第46条和第47条的标准合同条款、约束性公司规则、保护认证机制等适当保障措施,将个人信息保护水平提升至与GDPR“实质等同”的标准。最后,若前述适当保障措施仍无法符合同等保护原则的要求,在满足特定“公共利益所需”等条件的情况下,可根据第49条的克减条款在豁免同等保护原则中适用。
其二,同等保护的有效性存在差异。首先,《个人信息保护法》第38条第1款第1~4项中安全审查、保护认证、标准合同对同等保护的认定情况分属于国家网信办的官方审查、认证机构的社会审查和个人信息处理者的自我审查,除通过国家网信办的安全审查可证明其同等保护有效性得到官方确认外,社会审查和自我审查得出的同等保护有效性结论都未必得到有关部门的认可。因此,该两项个人信息出境机制与未作规定的第4项“其他条件”中的同等保护的有效性都处于不确定状态。其次,在GDPR体系下,充分性认定的核心标准为符合同等保护原则,这意味着基于该认定的数据跨境流动的同等保护有效性已获欧盟官方确认。对于第46条和第47条的各项数据出境机制,以往一般认为数据处理者已通过“适当保障措施”提升数据保护水平,因此默认其符合同等保护要求。然而,Schrems II案挑战了这一认识。欧盟法院指出,采取“适当保障措施”本身并不必然等同于GDPR所要求的“实质等同”保护标准得到满足,其同等保护的有效性还需结合个案具体情况予以判断。若既有保障措施被认为不足以实现“实质等同”保护,数据处理者还负有采取额外合同条款、组织措施或技术手段等“补充措施”以进一步提升个人信息保护水平的义务。①
三、 同等保护原则的实践挑战、潜在影响及战略考量
(一) 同等保护原则的实践挑战
1. 评估主体能力错配
对第三国个人信息保护水平的评估在GDPR框架下依托于充分性认定机制,由欧盟委员会进行统一评估,但由于我国立法未引入与充分性认定相类似的制度,当前的制度框架依赖境内个人信息处理者进行“个案评估”,这在实践中对个体的评估能力带来了巨大挑战。
评估第三国个人信息保护水平是一项耗时且复杂的系统性工程,“既涉及对法律政策的解读, 更需超越文本分析,综合考量文化、环境等多重因素”(Kuner,2017)。可以想象,作为个体的个人信息处理者从对相关信息的充分获取,进而在跨文化的背景下实施有效分析,最后对跨法域的保护标准进行准确比较,每一步实施起来均困难重重。①直观的例子如SchremsⅡ案中要求在数据跨境流动中适用GDPR“适当保障措施”的境内外个人数据处理者与接收方相互合作评估第三国个人数据保护水平是否与GDPR“实质等同”。该判决新增的“个案评估”义务也引致了众多批评 (Cervantes & Emanuel,2020)。相关观点主张,拥有充沛资金支持和监管经验的欧盟委员会在 20余年内也仅对不足20个国家和地区完成评估并做出充分性认定,其充分反映了个体进行“个案评估”的挑战性(Breitbarth,2021)。经济全球化背景下,多国经营已成企业常态。跨国企业为统筹管理,常需在集团内多个跨境分支机构间共享个人信息,这进一步提升了评估的难度与复杂性。②
有观点认为,《个人信息保护认证实施规则》的出台或有助于通过认证机构的专业化力量缓解个体在处理如同等保护评估等个人信息跨境传输法律事务上的局限性(吴沈括,2025)。但考虑到当前我国并未对第三国个人信息保护水平的评估重点、评估方法、评估范围作出具体规定或提供操作指引,③第三方认证机构是否具备能力对众多国家的个人信息保护水平进行准确评估仍然存在疑问。④更为关键的是,该种模式仍然局限于针对特定个体需求所实施的“个案评估”。因不同认证机构或存在不同的评估结论,故个案中的评估结论无法被其他个体所适用,这意味着不同个体将要消耗大量法律资源进行重复评估。这不仅带来了合规的高成本,更在实质上形成了一种“高标准、弱执行”的监管悖论,进而损害法律应有的严肃性和权威性。
2. 保护标准界定模糊
当前三项个人信息出境机制均对《个人信息保护法》中同等保护原则的保护标准,即“本法规定的个人信息保护标准”进行了有意无意的突破。如《评估办法》的标准为“法律、行政法规的规定和强制性国家标准”,《认证规范2.0》的标准为《个人信息保护法》规定的个人信息保护标准,“标准合同”中的标准为“相关法律法规”规定的个人信息保护标准。
根据法律保留原理,将同等保护的标准从《个人信息保护法》本身扩张至行政法规、国家标准等相关规定存在突破上位规定不当、增加公民义务的潜在问题。即使从功能主义角度审视,安全评估适用于特定规模或特殊性质的个人信息和重要数据的跨境传输,①由于其关系到国家安全和社会公共利益而非一般的个人信息权益(郭壬癸和胡延杰,2024),将评估标准扩大至重要数据等规制对象的监管要求或有其合理性。但“标准合同”和保护认证的制度定位仍然落脚于保障个人信息权益及其出境过程的安全可控(赵精武,2023),两者并无充分理由突破《个人信息保护法》的保护标准。从体系解释的角度,对《个人信息保护法》保护标准的理解不可避免地涉及其下位规则,但无法忽视“即使在同样重视权利保障的国家也会因不同理念和传统而存在不同的法律制度”。②相较于各国在个人信息保护基础规则上的普遍共识,下位规则受不同价值理念、监管政策及制度设计的影响仍存在较大差异。下位规则对保护标准的扩张或受既有立法技术不成熟的影响,或也反映了追求绝对安全的潜在观念,这可能导致实践中监管资源、精力无的放矢,同时也意味着双方保护水平重叠度的降低,增加第三国通过我国同等保护评估的难度。③
有观点指出,欧美在数据跨境流动上漫长而纠结的诉讼历史便是追求相同细化规则的潜在弊端的直接体现(单文华和邓娜,2021)。受限于欧美在隐私保护的理念定位、制度体系及实施状况上的系统性差异,双方在“独立的司法救济、可行使的数据权利及公权部门的数据监视权力”等议题的细节层面始终无法达成一致,并导致《安全港协议》和《隐私盾协议》连续被欧盟法院认定无法提供与GDPR“实质等同”的数据保护水平而无效(Tzanou & Vogiatzoglou,2023)。由于欧美于2023年新签署的《数据隐私框架》仍然未能彻底解决上述分歧,它仍然面临着再次被欧盟法院认定无效的不确定性(Gerke & Rezaeikhonakdar,2023)。
(二) 同等保护原则的潜在影响
1. 同等保护原则的个体遵循和监管统一难题
其一,个体层面的合规遵循难题。前文已指出,个案评估的实施难度及宽泛模糊的保护标准对评估第三国个人信息保护水平带来极大挑战。同时,根据《个人信息保护法》第38条第3款,若第三国个人信息保护水平未能满足同等保护要求,则需要采取“必要措施”使个人信息跨境传输中的个人信息保护水平提升至《个人信息保护法》的标准。然而,我国相关部门并未明确“必要措施” 的具体内容及适用方式,仅有学界的相关讨论认为其或包含内部管理制度等组织措施和加密、去标识化、隐私计算等技术措施(龙卫球,2021)。更为关键的是,在个体无法对第三国个人信息保护水平作出准确评估,且对监管标准缺乏洞察的情况下,自然难以判断应当采取何种有效措施。如 Meta、Tiktok等大型科技公司便因在使用标准合同向美国传输个人数据时所采用的组织、技术及合同等方面的补充措施仅能“减轻”而未能有效弥补美国法律保护水平的不足,被欧盟数据保护监管机构认定违反GDPR的“实质等同”要求而处以巨额罚款。④
其二,监管层面的标准统一难题。根据我国个人信息跨境传输的监管体制,国家网信办负责对适用安全评估的同等保护情况进行审查,地方省级网信办负责对适用标准合同、保护认证及其他机制的同等保护情况进行监管。由于地区间的个人信息跨境传输需求各异,且缺乏统一的同等保护评价标准,在实际监管执法中存在着不同地区的监管机关对同等保护的判断不一致乃至冲突的可能性。对监管压力较低的地区而言,为促进当地数字贸易或将倾向于适用宽松的监管标准。相反,对于监管压力较大的地区而言,监管机关对于风险控制的天然偏好将可能导致“过载保护”,即通过适用严格的监管标准过滤部分个人信息跨境传输需求以减轻监管负担并减少潜在风险(薛清嘉, 2023)。此外,在三项个人信息出境机制中,还可能存在不同机制的同等保护标准不一,或地方对标准合同和保护认证的监管倾向于向中央看齐,适用安全审查的较为严苛的标准。①中央和地方以及各地区之间监管标准的潜在差异既对在不同地区经营或采用不同个人信息出境机制的个人信息处理者带来合规遵循难题,又为低水平保护者提供了监管套利空间,两者均不利于同等保护原则的良好实践。
2. 跨境企业的业务限制和合规负担
其一,对国内企业海外扩展的限制。尽管我国已成为全球第二大数字经济体,但我国并未享有与规模相当的国际影响力。重要原因在于,国内互联网企业长期高度依赖本土市场。面对国内市场日渐饱和的现实,开拓海外市场已成为包括互联网行业在内的众多国内企业寻求新增长空间、抢占全球市场份额和提升国际影响力的重要战略。然而,当前世界个人信息跨境传输规则呈现“碎片化”趋势,不同国家的个人信息保护水平参差不齐、个人信息出境规则复杂多样且分属不同法系 (李猛和翟莹,2023)。严格的个人信息跨境传输政策将对企业海外运营所必需的数据跨境交互施加不当限制,并阻碍企业在全球范围内有效获取和利用更多的数据资源(洪延青,2021)。
其二,对外资企业在华经营的挑战。在衡量数字贸易开放度的代表性国际指标上,我国的限制程度仍位于世界前列。②相关在华外资企业的商会调查同样表明,我国个人信息跨境传输政策缺乏对跨国企业从事商业活动时需要将企业数据传输至集团总部或其他境外办公场所等场景的充分考量,③且潜在的数据本地化存储要求将会显著增加企业的在华运营成本。④近年来,数字经济日益成为驱动全球产业变革和经济复苏的关键力量,⑤越来越多的国家认识到保守谨慎的数据政策对吸引外资的负面影响,并着手逐步放宽相关限制(Marel & Ferracane,2021)。我国政策同样将“探索便利化的数据跨境流动安全管理机制”作为提高外资企业投资运营便利化水平的重要措施。⑥若外资企业在华持续面临较高的合规成本与业务链中断风险,恐将削弱其对我国市场的投资意愿。
(三) 中欧实践差异的战略考量
尽管我国和欧盟都将同等保护原则作为个人信息跨境传输的基本原则,但双方在监管实践上呈现出相反的样态。同等保护原则在欧盟已通过法院判决和监管执法得到相当实施,但在我国却处于法律条文上的“休眠”状态。①从表面上看,上文提及的立法缺陷引发的较高施行难度和对企业的负面影响或为潜在原因。但此类负面影响或在不同程度上同样存在于欧盟的制度实践中,难以对该现象提供充分解释。因此,还需要进一步深入到双方的战略层面进行审视中国和欧盟的发展定位及其影响下的监管策略,方能勾勒出其背后的行动逻辑。
1. 欧盟:维护数字主权与引领数字规则的共生
同等保护原则监管的高标准、严要求是欧盟维护自身数字主权和争夺全球数字规则主导权的有力法律工具。
其一,在内部维度上,同等保护原则有利于维护欧盟数字主权。由于欧盟本土缺乏大型互联网公司,对于美国互联网企业在欧盟市场的巨大影响力存在持续焦虑(Nocetti,2021)。近年来,欧盟在数字议题上愈发重视自身的独立性,希望通过维护和提升在数据资源、技术能力等方面的自主性以维护欧盟的“数字主权”(刘业,2023)。在此过程中,同等保护原则不再局限为个人信息跨境传输的权利保障原则,更是一项服务于产业与地缘竞争的法律工具。一方面,数据跨境流动中严格的“实质等同”保护标准,有利于欧盟通过“软性数据本地化”的方式限制大型科技企业的数据流出境外(Chander,2020)。另一方面,合规成本和监管风险的提升将会削弱外国公司的竞争力,迫使部分中小企业因业务或经济考量退出欧洲市场(金晶,2021)。此举间接为欧盟企业创造了相对宽松的竞争环境和更广阔的市场空间,有助于其积累用户基础、提升技术能力,从而培育具有竞争力的本土互联网企业。
其二,在外部维度上,同等保护原则有利于增强欧盟的数字规则影响力。在全球数字竞争中,欧盟在数字立法经验和隐私保护传统上具有比较优势。因此,提倡数字环境中的高水平个人权利保障,抢夺全球数字治理的话语权便成为欧盟形成新竞争优势的破局之策(金晶,2023)。该意图已充分展现在《欧洲数据战略》《塑造欧洲的数字未来》《人工智能白皮书》等政策中所频现的 “发挥全球领导作用”“确保充分遵守欧盟价值观和规则”“推进欧洲方法、制定全球标准”等话语之中。同等保护原则的高标准、严要求既有利于塑造欧盟权利保障水平高的形象和“用户友好型”数字环境,又有助于欧盟通过GDPR的“布鲁塞尔效应”推动欧盟规则的全球性传播(Anu, 2015)。欧盟规则在全球范围内认可度和影响力的提升又将助益于已适应严格监管要求的欧盟企业在全球市场中获得更有利的竞争环境。
2. 中国:价值宣示与监管宽容的耦合
同等保护原则在我国立法文本和监管实践中的“备而不用”状态是平衡维护个人信息权益和发展数字经济的折中考量。
其一,立法上的象征性姿态为同等保护原则提供了价值基础和规范储备。象征性立法指某一立法的规范,目的在于传递立法者在特定时空与社会背景下对某一问题的法与不法的认识,而非发挥实质的规制效果。一方面,同等保护原则被写入《个人信息保护法》后,并在我国后续出台的各类个人信息跨境传输的细化立法中反复出现,充分说明其并非法律移植的“偶然”产物,而是立法者所珍视的价值,展示了我国尊重和保障公民个人信息权益、维护国家数据安全的立场和姿态。另一方面,尽管同等保护原则在当前更多展现为价值宣示的象征性意义,但体系化的立法仍然为我国在将来强化个人信息跨境传输监管,激活该“休眠”法条提供了规范储备。
其二,监管上对同等保护原则的宽容性适用有利于为数字经济发展提供更大的制度空间。监管宽容是指,监管机构对被监管对象违反法律法规或经营规则的行为采取容忍态度,不予纠正或仅施以较轻的监管措施(刘春航,2018)。同等保护原则适用宽容监管的正当性在于,法律原则的适用往往需要在各类价值目标和适用强度上进行权衡,而“监管执法的工作本质决定了存在一种涉及面更为广泛且高于执法利益的公共目标,因此监管机关在实践中必须在相互冲突并不断变化的利益中艰难前行”(德沃金,1998)。一方面,执法者需要充分考量同等保护原则当前的立法缺陷及实施难度,通过“成本-收益”分析严格监管所维护的法益与限制个人信息跨境传输对我国生产生活造成的不利影响。另一方面,执法者还需在数据的自主权、良好保护和自由流动的“不可能三角”中权衡取舍,以服务于更广泛的“公共利益”(黄宁和李杨,2017)。近年来,我国将大力发展数字经济作为重要战略目标,对个人信息跨境传输亦从强监管姿态和限制性立场转向宽严相济、张弛有度状态(Meng,2024)。如党的二十届三中全会提出“建立高效便利安全的数据跨境流动机制” 的发展目标,又如《数据跨境流动新规》对日常商务和生活的个人信息跨境传输给予程序上的便捷性,《全球数据跨境流动合作倡议》提出“鼓励因正常商业和社会活动需要跨境传输数据”。可见,从顶层设计到具体立法,再到国际合作均反映出鼓励数据跨境流通和数字经贸促进的政策逻辑 (洪延青,2024)。在此理解下,这种立法上的“高姿态”与监管中的“灵活性”相结合便表现为实践中的“备而不用”状态,即监管机关通过监管宽容缓解我国同等保护原则与政策目标之间的潜在张力。
四、 我国同等保护原则的路径优化
(一) 同等保护原则的制度完善
1. 同等保护评估中的责任分配
其一,由国家(如国家网信办)对第三国个人信息保护水平统一进行评估。从评估能力看,第三国个人信息保护水平的评估内容繁多,且涉及公共利益、国家安全等政策层面的考量(Dhont, 2019)。国家网信办已在数据出境安全审查的监管实践中积累了相关经验,能够较好地作出准确且符合我国利益的评估结论。①国家层面的统一评估不仅有助于提升评估的专业性与权威性,更有助于向国际社会提供统一、清晰且可预测的中国标准。从评估成本看,第三国的个人信息保护立法、政策具有稳定性和延续性,所得出的评估结论往往可以在长时间内适用。将分散的个案评估转变至国家的统一评估,既能避免众多个体多次、重复的评估需求,极大地减轻企业合规负担,同时为中国各级监管机关提供了统一的监管标准,有利于促进执法的一致性和科学性。具体的评估结果可以通过特定网站公示并动态更新,同时根据各国的个人信息保护风险提供关于如何适用“必要措施” 的必要指引。
其二,由个人信息处理者对境外接收方的个人信息保护能力进行单独评估。境外接收方的个人信息保护能力评估涉及的评估对象数量多、评估内容范围广、个体情况变化快等特点使其不适合由资源有限的监管机关负责。相反,境内个人信息处理者基于双方的合作经历,能够较好地获取境外接收方关于个人信息用途、合规管理情况、个人信息保护经验等信息,并根据自身行业经验对前述信息作出有效分析。此外,通过国家与企业的权责界分,有利于形成“国家管宏观法律保护水平,企业管微观安全保护能力”的协同治理格局,从而提高制度的整体效率。从制度设计的激励与约束机制来看,将境内个人信息处理者对接收方的个人信息保护能力的评估结论与个人信息权益于境外遭受损害时所承担的责任相联系,能够促使其勤勉尽职地履行同等保护要求的出境前评估义务和出境后监督义务,避免其仅关注自身利益而导致我国个人信息流向“保护洼地”。近期我国的立法动态或许反映了该种方案的可接受性。如《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》和《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引》(以下统称 《大湾区标准合同》)第5条,仅要求个人信息处理者评估接收方个人信息保护能力,而不再要求评估第三方的个人信息保护水平,该评估责任的分配便体现了对个人信息处理者的评估能力和信息优势的合理考量。
2. 同等保护评估中的标准设置
首先,同等保护原则的保护标准应该回归到《个人信息保护法》本身。一方面,这既是对法律位阶和立法旨意的尊重,也有利于在总体上维持个人信息保护水平的同时,避免因第三国的个人信息保护立法与我国存在局部差异而对两国的个人信息跨境传输造成不当阻碍。另一方面,我国对于敏感个人信息或重要数据等特殊类型数据的跨境传输监管当前已有《中华人民共和国数据安全法》 等相关立法作出专门规定,保护标准合理回归至《个人信息保护法》不影响前述立法功能的发挥,不会对此类数据的保护要求造成影响。
其次,对《个人信息保护法》第38条第3款“达到本法规定的个人信息保护标准”的理解决定着同等保护原则的评估基准。有观点主张,可以借鉴欧盟法院在SchremsⅡ案中的解释思路,即第三国在个人信息保护立法上不需要“完全一致”(identical),仅需要在保护水平上“实质等同” (金晶,2022;Drechsler,2021)。在基准设置上,应当充分考量中欧在数字竞争中战略目标上的差异,我国应避免盲目对标欧盟的高标准保护或陷入追求“零风险”的思维误区,而应立足于促进数字经贸的目标,采取基于风险的方法,依据风险程度合理应对个人信息跨境传输中的各类问题。我国《全球数据跨境流动合作倡议》提出应充分尊重各国、各地区因国情、社情而采取的不同政策法规和实践基础,以及各方在个人信息跨境传输制度上的差异性。基于此,应该在“和而不同”的理念指引下评估第三国的个人信息保护水平(薛清嘉,2023),即从“整体”综合考虑第三国国内的个人信息保护立法和监管实践,对普遍认可的个人信息保护国际规则、原则、指南等“国际软法”的遵循程度,以及国内公民、组织的个人信息保护意识等多方面因素,避免因过严的评估标准或孤立的评价维度对评估结果造成的不合理影响。此外,在评估过程中,可通过签署备忘录、合作框架及设立常态化对话机制等方式沟通各方在个人信息跨境传输议题上的利益和诉求,促进双方对评估过程和评估结果的互信。①
(二) 同等保护原则的机制创新
1. 探索沙盒监管机制
通过沙盒监管实现特殊情况下大规模、常态化的个人信息跨境传输。当前仍有因个人信息保护水平较低而不符合我国同等保护要求的国家在跨境医疗、科学研究等具有重大影响或关系公共利益等领域上与我国的合作依赖于个人信息跨境传输。对于此类合理且必要的个人信息跨境传输需求不应采取一刀切的禁止态度,但也不应无条件降低保护要求而忽视其中的潜在风险。特别是,该种个人信息传输往往是大规模、常态化的,且涉及对个体权益或国家利益具有较大影响的数据类型,如医疗合作中涉及生物识别信息等敏感个人信息和重要数据。因此,应当探索特殊的监管方案以提高保护水平并合理控制风险。隐私沙盒所创设的受控创新环境有利于测试和部署跨境协作,当前已被多个国家及国际组织在数据保护领域中探索适用。①对于第三国无法提供同等保护但确有必要的个人信息跨境传输,个人信息处理者可以在隐私沙盒中通过与监管机构的沟通、协作制定个性化的监管方案,并根据对风险的持续评估情况不断迭代优化监管要求。我国《个人信息保护法》第38条第 1款第4项的“其他条件”为其提供了法律基础。在制度设计上,可以进一步明确适用隐私沙盒的条件和程序,构建受试企业与两国监管机构及技术专家、个人信息主体等各利益相关方的沟通协作机制,并通过完善适用过程中的激励与问责机制以提升监管的透明度和企业行为的合规性。
2. 增设豁免适用条款
通过豁免条款实现特殊情况下小规模、偶发性的个人信息跨境传输。对于因日常生活、商业往来向个人信息保护水平不符合我国同等保护要求的国家的个人信息跨境传输需求,由于其发生频率低、涉及数据量少,设计个性化的监管方案并不符合“成本-收益”的监管效率和“基于风险” 的监管理念。从便捷实践的角度,有必要针对此类个人信息跨境传输需要增设同等保护的豁免条款。豁免条款的设计可以参考GDPR第49条克减规则的制度定位和适用顺序(刘金瑞,2024)。在制度定位上,豁免条款应当仅适用于特殊少数情形而非常态化、成规模的个人信息跨境传输。原因在于,豁免规则作为同等保护要求的例外情形,意味着个人信息传输至境外将面临更大风险,宽泛的适用范围将会削弱对个人信息的保护,并对其他个人信息出境机制产生替代效应。如欧洲数据保护委员会(EDPB)指出,GDPR的克减条款②并非数据跨境流动的“规则”,③其适用需要被限制在如“数据主体的明确同意、为履行合同或法律请求所必须、为保护公共利益或个人重要利益之目的”等特定情形下。在适用顺序上,豁免条款应当被置于最后顺位,即只有在适用其他个人信息跨境机制并尝试采取“必要措施”后仍无法达到同等保护的情况下方能适用。④此外,在制度设计上,为避免豁免条款的滥用,需要对其适用设置相应的实体和程序义务。如境内个人信息处理者在适用豁免条款时需要论证本次个人信息跨境传输的必要性及合理性,同时将相关情况通知个人信息主体并向相应主管部门备案。
3. 推进自贸区法治试验
在自贸区探索特定类型个人信息同等保护原则豁免或弱化实施的法治试验。高水平对外开放、优化营商环境和促进数字贸易等多重目标对个人信息流动的自由化和便利化提出了新的要求。通过法治实验探索形成安全有序、便捷高效的数据流通机制已成为当下我国各自贸区创新探索的重要议程。①在此背景下,我国上海、北京、天津、广东等地自贸区先后依托自身区位特色和产业优势推出了系列创新举措,如上海发布数据分类分级相关管理办法和数据跨境场景化一般数据清单(白名单),天津、北京发布数据出境管理“负面清单”,广东提出打造“数据特区”并发布《大湾区标准合同》便利数据交互等。但同时也有学者指出,受限于授权立法的法律依据不充分、改革自主权配置较为模糊等问题(陈建平,2023),当前自贸区在个人信息跨境传输方面的探索多为模式创新和技术创新,制度创新方面进展较慢(周念利等,2023)。《数据跨境流动新规》第6条授权自贸区自行制定需要适用三项个人数据出境机制的负面清单,该规定拓展了自贸区的法律事权,为同等保护原则在自贸区的法治试验创造了契机。
具体而言,在自贸区范围内,将在负面清单外(白名单内)的数据类型在个人信息跨境传输中对三项个人信息出境机制豁免的理解作扩大解释,将其从合规程序的豁免扩大至对同等保护原则的弱化或豁免适用。从地方激励的角度,一方面,给予同等保护的弱化或豁免适用的特殊监管政策有利于自贸区在地区竞争中具备更大的制度优势,吸引更多同类型企业入驻并形成产业聚集效应。同时,这将有助于提升各自贸区的试验意愿和创新活力,积极探索在个人信息跨境传输中不同类型个人信息的安全管理和流动便利化方案。从反哺中央的角度,考虑到国家推进同等保护原则的制度完善和全面实施仍需要相当时间,自贸区对同等保护原则的弱化或豁免适用为观察不同类型个人信息在出境后潜在的安全问题及其风险程度,以及各类监管策略和制度性、技术性保护手段的有效性提供了试验参照。这些经验的积累与总结,将为国家在未来系统推进建立第三国个人信息保护水平评估机制及细化“必要保护措施’提供宝贵的实践参考和决策依据。
此外,需要注意在法治思维的指引下加强各自贸区的法治试验协调性,防范各自贸区为争夺政策红利而出现的无序竞争。一方面,避免地方无视自身产业发展情况和数据资源禀赋制定不符合当地需求的负面清单。②另一方面,渐进式推进名单的扩容,确保当前的各数据类型在出境后的风险能够得到良好控制的情况下方可继续扩大试验的数据类型。③
五、 结语
同等保护原则作为《个人信息保护法》与GDPR中个人信息跨境传输的基本原则,旨在实现对个人信息超越国界的持续保护,确保个人信息出境后仍能享有与境内同等的保护水平。然而,该原则在中国与欧盟的立法表达与实践样态上呈现显著差异,这一现象为深入审视法律移植与本土制度融合与调适的理论难题,以及理解中欧双方在数字发展战略层面的不同取向提供了契机。
应该如何理解当前《个人信息保护法》下同等保护原则的“备而不用”状态?一方面,当前同等保护原则的制度设计在评估第三国个人信息保护水平与确定保护标准方面的模糊性与操作难度限制了该原则被普遍适用和遵循。另一方面,同等保护原则所承载的规制目标与个人信息跨境传输间存在的内在张力决定了其不可避免地在不同程度上对依赖于数据交互的境内外企业运营产生负面影响。此时,更为关键且具有挑战性的问题或许在于:如何在安全可控与促进发展这一连续的价值光谱中,寻求契合自身数字发展战略的动态平衡点。
欧盟在个人信息跨境传输中对同等保护原则的严格执法,实则是一种进攻性策略,旨在依托其高水平权利保护的话语优势,积极输出其数字规则,以强化欧盟在全球数字治理中的影响力。我国在立法上的价值宣示与实践中的监管宽容,既反映出制度落地的现实困境,也体现了在现阶段优先保障数据流动效率、服务数字经济发展的策略性考量。当前,随着我国企业国际化进程加速与高水平对外开放格局的深化,有必要逐步激活处于“休眠”状态的同等保护原则。通过优化同等保护的评估责任配置、明晰保护标准以提升制度的可操作性和适应性,并借助沙盒监管、豁免条款与自贸区法治试验等机制创新,增强其满足多样化个人信息跨境传输场景的能力。
从更广阔的全球治理视野看,在当前全球数字治理话语争夺和规则竞争加剧的背景下,我国对同等保护原则的制度完善和机制创新也应当注重提升制度的可解释性、兼容性与国际吸引力。如可依托“一带一路”倡议、区域全面经济伙伴关系协定(RCEP)等合作机制,推广一种基于风险分类、尊重各国差异、体现中国特色的个人信息跨境传输方案,从而在参与全球数字规则塑造的过程中助力构建更加包容、有序的国际治理新秩序。
① 在本文中,《个人信息保护法》的个人信息跨境传输与GDPR的个人数据跨境流动具有相同内涵。本文在中国法语境下表述为“个人信息跨境传输”,在欧盟法语境下表述为“数据跨境流动”。
② Maximillian Schrems v. Data Protection Commissioner,Case C-362/14e.
③ Data Protection Commissioner v. Facebook Ireland Limited and Maximillian Schrems,Case C-311/18e.
① 相关规定参见《个人信息跨境处理活动安全认证规范(V1.0)》第4.1条,《个人信息出境标准合同》第3条。更新后的《个人信息跨境处理活动安全认证规范(V2.0)》第6.2条则进一步将同等保护要求扩展至境外接收方将个人信息转移给第三方的场景中。
② 具体评估内容的雏形在早期国家标准《数据出境安全评估指南(征求意见稿)》中可循踪迹,第5.2.1条规定“评估数据出境计划的安全风险,应综合考虑出境数据的属性和数据出境发生安全事件的可能性及影响程度”,其中数据出境发生安全事件的可能性及影响程度要求评估数据接收方的安全保护能力、采取的措施和数据接收方所在国家或地区的政治法律环境。目前该标准仍处于征求意见状态。
③ 相关规定参见《数据出境安全评估办法》第17条,《个人信息出境标准合同》第7条,《个人信息跨境处理活动安全认证规范2.0》第6.2条。
④ 相关规定参见《数据出境安全评估办法》第14条第1款第2项,《个人信息出境标准合同办法》第8条。
⑤ 相关规定参见《数据出境安全评估办法》第9条,《个人信息出境标准合同》第3条,《个人信息跨境处理活动安全认证规范2.0》第6.2条。
① European Data Protection Board, Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data (version 2.0) , 2021.
① 实务专家认为,对第三国数据保护水平的评估正是个人信息保护影响评估中问题相对困难、评估相较复杂的部分(宁宜凤等,2023)。中国官方或许已认识到这一点,可以察觉的证据在于,在安全审查机制的前置合规程序中,《数据出境安全评估申报指南(第一版)》给出的数据出境风险自评估报告模板第5项将同等保护作为评估境外接收方情况的重要内容,但第二版及第三版给出的自评估报告模板已不再对其作出要求,即数据处理者在履行 《数据出境安全审查》第5条规定的数据出境风险自评估时无需再评估第三国的同等保护情况。尽管其仅是安全审查机制配套性文件中的细微变化,但该规定的变化仍在一定程度上反映了立法者已认识到境内个人信息处理者不适宜承担该项任务。
② 在一起披露的跨境共享个人信息侵权的判决中,境内个人信息处理者的《客户个人数据保护章程》中指出,基于业务需求用户的个人信息将可能在100 个国家和地区中被共享。参见广州互联网法院(2022)粤0192民初6486号判决书。
③ 2017年公布的《信息安全技术数据出境安全评估指南》第B.3.3.1条将个人信息接收方所在国家或地区的政治法律环境的保障能力分为高中低三档,但仅给出各档次的简要文字性描述,不具备可操作性,且其当前仍属于征求意见阶段。
④ 在数据合规的法律实务中,如何评估第三国数据保护水平当前未形成通行、稳定的行业实践。
① 在中国法律下,个人数据和重要数据是不同的,重要数据指的是不包含个人数据,但关系到社会利益和国家安全的数据。
② U.S. Department of Justice, Memorandum in Support of Designation of the European Union and Iceland, Liechtenstein and Norway as Qualifying States Under Executive Order 14086, 2023.
③ 如我国对于个人生物信息、个人金融信息等特殊个人信息设置了更为严格的保护标准。
④ EDPB Binding Decision 1/2023 on the dispute submitted by the Irish SA on data transfers by Meta Platforms Ireland Limited for its Facebook service (Art.65 GDPR) .[2025-06-09]. https://www.dataprotection.ie/en/news-media/latest-news/irish-data-protection-commission-fines-tiktok-eu530-million-and-orderscorrective-measures-following.
① 尽管同等保护原则在文本上并不因所适用的数据出境机制而有所变化,但不同数据出境机制的规制强度或又客观地存在差异。
② 如欧洲国际政治经济中心(ECIPE)于2018年公布的数字贸易限制指数(DTRI)将我国视为对数字贸易施加最多限制的国家,在64个受检验国家中位列第1位,详见:ECIPE,Digital Trade Restrictiveness Index,2018. OECD统计的数字服务贸易限制指数(STRI)显示,我国2022年的数字贸易服务壁垒在 50个受检验国家中位于第16位,详见OECD,STRI: Digital Services Trade Restrictiveness Index(Edition 2023),2023.
③ 参见中国经济与日本企业2024年白皮书[R].北京:中国日本商会,2024; 美国企业在中国白皮书(2023)[R].北京:中国美国商会,2023.
④ 中国欧洲商会《中国数据相关监管要求对欧洲企业的影响》显示,59%和41%的受访企业分别表示我国严格的数据跨境流动监管规定增加了其在华运营的合规成本,并考虑通过数据或业务本地化的方式应对潜在的监管挑战。参见欧盟商会简要调查:中国数据相关监管要求对欧洲企业的影响[R].北京:中国欧盟商会,2023; 中国欧盟商会:商业信心调查2024[R].北京:中国欧盟商会,2024.
⑤ 据统计,2022年全球51个主要经济体的数字经济占GDP比重为46.1%。参见全球数字经济白皮书(2023年)[R].北京:中国信息通信研究院,2024.
⑥ 参见《国务院关于进一步优化外商投资环境加大吸引外商投资力度的意见》以及2023年年底的中央经济工作会议。
① 截至2024年12月,国家网信办共完成安全评估项目285个,个人信息出境标准合同备案1071个,其中安全评估项目中未通过评估的27个,占整体比例不到10%,未通过评估的主要原因是数据处理者未按照法律规定征得个人信息主体同意。当前在公开报道和检索中未发现有因违反同等原则而作出的行政处罚。
① 2024年12月31日上午,国家数据局召开的专题新闻发布会指出,截至2024年12月国家网信办已完成安全评估项目285个。
① 2024年6月26日,中国国家互联网信息办公室主任庄荣文在京会见德国数字化和交通部部长维辛一行,双方共同签署《关于中德数据跨境流动合作的谅解备忘录》。中国与新加坡数字政策对话机制日前在北京召开第一次会议,宣布中国与新加坡将建立数字政策对话机制。2024年6月27日,中国与新加坡也就数据跨境领域的合作开展交流,并明确双方未来合作方向和重点,便利企业数据跨境流动等共识。2024年8月27日,中欧数据跨境流动交流机制第一次会议以视频方式举行,双方就数据跨境流动的具体问题以及监管框架进行了交流。
①《北京市关于加快建设全球数字经济标杆城市的实施方案》提出“争取在自由贸易试验区框架下,通过“监管沙盒”开展监管措施试点,针对数据交易和数据跨境服务制定专项保障政策,利用数据交易平台探索数据跨境传输安全监管规范。”在国外,新加坡的《数据共享指南》、芬兰的《国家人工智能战略》、欧盟的《人工智能协调计划》等政策文件均提出在隐私保护领域探索适用“监管沙盒”。
② European Data Protection Board, Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data (version 2.0) , 2021.
③ 荷兰数据保护局对Uber违反GDPR处以2.9亿欧元罚款中便指出,即使数据跨境传输是履行合同的必要条件,但克减条款并不适用于常态化、大规模的数据跨境传输。
④ 在GDPR框架下,克减规则在适用前必须充分考量各类适当保障措施的有效性。
① 相关政策如《全面深化服务贸易创新发展试点总体方案》提出,“在条件相对较好的试点地区开展数据跨境传输安全管理试点”。《关于支持中国 (江苏)自由贸易试验区推动数据跨境安全有序流动若干工作措施》《中国(浙江)自由贸易试验区扩展区域方案》《横琴粤澳深度合作区建设总体方案》《北京市关于加快建设全球数字经济标杆城市的实施方案》等文件均提出,开展数据跨境传输安全管理试点,探索形成既能便利数据流动又能保障安全的机制。
② 负面清单制定过程中将充分征求相关主管部门意见,负面清单备案时国家互联网信息办公室会同国家数据局对清单进行审核,针对同一领域,如果已经有自贸试验区发布负面清单,其余自贸试验区可以参照执行,不再重复制定。
③ 国家互联网信息办公室会同有关部门正在指导各自贸试验区结合各自产业发展特点制定数据出境负面清单,随着更多负面清单的发布实施,覆盖的领域会越来越宽。