王炜炫

• 1:北京大学法学院

• 
  

摘要(Abstract)：

因在理论和实践层面，《个人信息保护法》第三十九条为个人信息跨境流动所创设的单独同意规则都存在制度缺陷，故有必要对其进行重构。结合美欧立法和司法所采用的场景理论，或可从国内和国际两个维度进行制度改造。在国内规则维度上，可以借鉴美欧规制经验中的场景理论打造风险差异化的规制体系。首先，以“个人信息跨境流动对信息主体可能造成的风险大小”为分类标准区分个人信息跨境流动中的具体信息场景，并以此分为“低风险”“中风险”和“高风险”信息场景；其次，以“知情同意”框架进一步规定信息处理者在不同风险等级信息场景中的合规要求；最后，应当明确所有信息场景均应严格遵守数据最小化原则，以从信息采集源头遏制风险发生。在国际法治维度上，我国或可参照欧盟做法，推动建立健全数据白名单制度，为重塑国际数据法治新格局输出中国方案。

关键词(KeyWords)：个人信息跨境流动;单独同意规则;场景理论;知情同意;充分性认定

基金项目(Foundation):2025年中国法学会贯彻落实党的二十届三中全会精神专项课题“以大协同格局加强涉外法治建设”[项目编号：CLS(2025)ZX0012]的阶段性成果

作者(Author):王炜炫

参考文献(References)：

• [1]刘烈宏.奋力谱写数字经济高质量发展新篇章[N].人民日报，2024-10-24(10). [2]刘士国.信息控制权法理与我国个人信息保护立法[J].政法论丛，2021(3):80. [3]温旭.数字劳动：数字资本主义批判[M].上海：上海人民出版社，2023:14. [4]马新彦，黄舜.论知情同意在个人信息保护规范中的属性[J].吉林大学社会科学学报，2024(5):90-91. [5]甘绍平.自由伦理学[M].贵阳：贵州大学出版社，2020:283. [6]王利明.论相邻关系中的容忍义务[J].社会科学研究，2020(4):19. [7]杨显滨.隐私、个人信息与数据保护的法律互动机制研究[M].上海：上海三联书店，2023:92. [8]万方.个人信息处理中的“同意”与“同意撤回”[J].中国法学，2021(1):168. [9][47]Personal Information Protection Act[EB/OL].[2024-10-30].https://elaw.klri.re.kr/eng_service/lawView.do?hseq=53044&lang=ENG. [10]王炜炫.跨APP个人信息共享的法律规制[J].南方金融，2022(6):92. [11]Danny S.Guamán,Jose M.Del Alamo,Julio C.Caiza.GDPR Compliance Assessment for Cross-Border Personal Data Transfers in Android Apps[J].IEEE Access,2021(9):15979. [12]Dan Jerker B.Svantesson.The Regulation of Cross-Border Data Flows[J].International Data Privacy Law,2011(3):195. [13]Scott Killingsworth.Minding Your Own Business:Privacy Policies in Principle and in Practice[J].Journal of Intellectual Property Law,1999(1):91. [14]谢登科.个人信息跨境提供中的企业合规[J].法学论坛，2023(1):90. [15]Joshua M.Wilson.Cross-Border Data Transfers:A Balancing Act through Federal Law[J].Business Entrepreneurship & Tax Law Review,2022(2):163. [16]管洪博.数字经济下个人信息共享制度的构建[J].法学论坛，2021(6):107. [17]海伦·尼森鲍姆.场景中的隐私：技术、政治和社会生活中的和谐[M].王苑，译.北京：法律出版社，2022:129. [18]Helen Nissenbaum.Privacy as Contextual Integrity[J].Washington Law Review,2004(1):137-138. [19]Administration Discussion Draft:Consumer Privacy Bill of Rights Act of 2015[EB/OL].[2024-10-30].https://obamawhitehouse.archives.gov/sites/default/files/omb/legislative/letters/cpbr-act-of-2015-discussion-draft.pdf. [20]范为.大数据时代个人信息保护的路径重构[J].环球法律评论，2016(5):98-100. [21]肖中华.大数据时代“合理隐私期待”主客观标准的适用[J].江西社会科学，2016(11):184. [22]Omer Tene,Jules Polonetsky.A Theory of Creepy:Technology,Privacy and Shifting Social Norms[J].Yale Journal of Law and Technology,2013—2014(16):91. [23][43][48]General Data Protection Regulation[EB/OL].[2024-10-30].https://gdpr-info.eu/. [24]Theodore Christakis,Dan Felz,Peter Swire.German Court Decision Signals Move Towards Risk-Based Approach to Data Transfers[EB/OL].[2024-10-31].https://www.crossborderdataforum.org/german-court-decision-signals-move-towards-risk-based-approach-to-data-transfers/. [25]周赟.法官造法：作为大前提之审判规范的本质[J].甘肃社会科学，2021(4):173. [26]Paul Bischoff.What is the Consumer Privacy Bill of Rights?[EB/OL].[2024-11-02].https://www.comparitech.com/blog/vpn-privacy/consumer-privacy-bill-of-rights/. [27]许可.自由与安全：数据跨境流动的中国方案[J].环球法律评论，2021(1):29. [28]阿奇科·布希.无隐私时代[M].郑澜，译.北京：北京燕山出版社，2021:166. [29]唐林垚.常态化数字抗疫时代的个人信息保护[J].中国政法大学学报，2021(4):245. [30]Theodore Christakis.The ‘Zero Risk’ Fallacy:International Data Transfers,Foreign Governments’ Access to Data and the Need for a Risk-Based Approach[EB/OL].[2024-11-11].https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4732294. [31]Michael D.Birnhack.A Quest for a Theory of Privacy:Context and Control[J].Jurimetrics,2011(4):448. [32]杨惟钦.敏感个人信息告知同意规则的制度逻辑、规范解释与补强[J].财经法学，2024(1):103. [33]郭传凯.敏感个人信息处理规则的反思与修正[J].政法论坛，2024(3):103. [34]刘金瑞.数据跨境双轨制下个人信息出境监管豁免制度的适用与完善[J].财经法学，2024(5):29. [35]李有星，朱悦，金幼芳，等.数据资源权益保护法立法研究[M].杭州：浙江大学出版社，2019:69. [36]Eszter Hargittai,Alice Marwick.“What Can I Really Do?” Explaining the Privacy Paradox with Online Apathy[J].International Journal of Communication,2016(10):3741-3745. [37]宋亚辉.个人信息的私法保护模式研究：《民法总则》第111条的解释论[J].比较法研究，2019(2):98. [38]龙卫球.中华人民共和国个人信息保护法释义[M].北京：中国法制出版社，2021:185. [39]蔡星月.数据主体的“弱同意”及其规范结构[J].比较法研究，2019(4):85. [40]宋亚辉.数字经济创新中的“科林格里奇困境”及其规制[J].武汉大学学报(哲学社会科学版),2023(3):153. [41]Frank H.Easterbrook.Cyberspace and the Law of the Horse[EB/OL].[2025-03-31].https://chicagounbound.uchicago.edu/cgi/viewcontent.cgi?referer=&httpsredir=1&article=2147&context=journal_articles. [42]新华社.政府工作报告[EB/OL].[2025-03-25].https://www.gov.cn/yaowen/liebiao/202503/content_7013163.htm. [44]Sona R.Makker.Overcoming Foggy Notions of Privacy:How Data Minimization Will Enable Privacy in the Internet of Things[J].UMKC Law Review,2017(4):903. [45]翟相娟.个人信用信息采集最小化原则的适用困境与替代方案[J].南京大学学报(哲学·人文科学·社会科学),2023(3):74. [46]熊光清，王瑞.网络主权：互联网时代对主权观念的重塑[J].中国人民大学学报，2024(1):126. [49]金晶.欧盟的规则，全球的标准?数据跨境流动监管的“逐顶竞争”[J].中外法学，2023(1):53. [50]Matthew Connolly.Will the EU-US Data Privacy Framework Survive Schrems Ⅲ?[J].Trinity College Law Review,2024(27):122-123. [51]王清涛.数字文明[M].北京：中国社会科学出版社，2023:233.

• (1)虽然个人信息属于数据子项,但由于数据是个人信息的重要表现形式,故本文为论述方便,不区分个人信息和数据的用词差异。 (2)参见GRUR-RS 2024,19976.