我國跨境電商中網絡用戶個人信息保護的困境與路徑

張衛彬，陳 計

(安徽財經大學 法學院，安徽 蚌埠 233030)

在數字化轉型時代，互聯網和經濟全球化交織在一起，跨境電商作為外貿發展的升級模式，呈現出如火如荼的新態勢(圖1)。據《中國電子商務報告(2022)》統計，2021年我國跨境電商進出口總量達1.98萬億，其中出口量達1.44萬億，增長率分別為15%和24.5%。面對復雜多變的網絡市場環境，許多電商平臺不得不采取相應措施來搜集用戶的消費數據信息，以實現針對性地推廣，提高自身競爭力，擴大市場份額。目前針對跨境電商中個人信息保護的探討主要集中在國際協調機制[1]和管轄權歸屬[2]層面，鮮少有學者把研究視角置于國內領域，長期以來我國個人信息保護重視程度不足，始于起步階段，盡管《網絡安全法》和《個人信息和重要數據出境安全評估辦法(征求意見稿)》均對個人信息中的重要數據提出了指示性規定，但更具專門性的《重要數據指南》仍處于“萌芽”狀態，致使網絡用戶個人信息保護在跨境電商領域的實踐具有一定的困難。因此，通過深入剖析我國跨境電商領域中網絡用戶個人信息保護存在的問題，并提出相應的解決方案，來契合和滿足當前個人信息保護的現實需求。

圖1 2017—2021年中國跨境電商進出口總額統計資料來源：中國電子商務報告

一、我國跨境電商中網絡用戶個人信息保護的立法檢視與評述

我國跨境電商中網絡用戶個人信息保護法律規則欠缺，系統性不足，總體上呈現出較為薄弱的立法樣態。2021年8月20日，十三屆全國人大常委會第三十次會議審議并通過了第一部針對個人信息保護的專門立法——《中華人民共和國個人信息保護法》，為我國跨境電子商務中個人信息的保護和流動提供了原則性、綱領性的指引，第三十八條指出，“個人信息處理者確因業務需要，要向境外提供信息的，個人信息處理者應采取必要的措施，保障境外接收方處理個人信息達到本法規定的標準”，該法明確了個人信息處理者在信息跨境流動的責任，一定程度上彌補了信息跨境流動的法律空缺，但由于規定得較為寬泛和模糊，缺乏具體的可操作性，發揮的作用極為有限。與之相銜接，我國《電子商務法》第六十九條、第七十一條、第七十九條則規定了，“電子商務經營者應保護電子商務用戶信息，違反法律、法規有關個人信息保護規定的，依照相應的規定進行處罰”，兩法之間相互協調配合，共同保障跨境電商中用戶的信息安全。為了上述法律規范能夠落到實處，具備可操作性，2022年7月國家互聯網信息辦公室又出臺了《數據出境安全評估辦法》(以下簡稱“評估辦法”)，系統而全面地提出了數據出境的詳細標準?！霸u估辦法”第三條、第五條、第八條創設了我國首個數據評估安全體系，要求對數據的出境目的、方式、范圍以及境外接收方的技術、能力等方面綜合評估，從多維度保障跨境電商中網絡用戶的個人信息安全。然而前述立法和規范性文件多集中于境內或者電商經營者視角，對用戶的關注度不足，如，當用戶數據信息泄露、個人信息遭受侵害時救濟路徑不明；數據跨境輸出時，怎樣取得用戶的同意以及取得何種程度的同意，法律都沒有做出明確的規定，其他有關跨境電商網絡用戶個人信息保護的規則闕如。

通觀上述法律規范(表1)，對我國現行立法簡要評析如下，首先，在立法形式上采取的是數據主體同意的事前模式。我國《網絡安全法》第42條規定，“網絡運營者不得泄露、篡改、損毀其收集的個人信息；未經被收集人同意，不得向他人提供信息” ，歸納分析我國在跨境電商領域中個人信息保護的法律規范，不難得出我國立法支持數據主體同意的觀點，選用的是“數據主體同意+安全評估”的對內事前防范制度。我國跨境電商規模在世界處于領先地位，但數據保護規則尚不成熟、仍處于探索階段，數據主體同意模式將權力賦予個人，雖然減少企業的合規成本，但造成網絡用戶個人信息保護力度不足，數據安全協調治理能力較低。其次，在立法設定上私法合規監督不足。我國跨境電商中網絡用戶個人信息保護的法律法規多是從行政管理便利的角度出發，沒有為企業設立明確的規范與標準，平臺難以充分利用自身數據便利的特點為用戶提供“個人信息盾”保護。我國《公司法》《合伙企業法》《個人獨資企業法》等都沒有將個人信息安全保障列為企業內部義務，對商業主體自治尤其是企業內部合規的關注不夠，可以借鑒《APEC隱私框架》，從企業切入，創新數據保護路徑，形成網絡用戶個人信息保護的最佳實踐 。 最后，在立法體例上呈現出較為分散的樣態。我國跨境電商中保護網絡用戶個人信息的條款既橫向分布于不同的法律部門中，又縱向散于不同效力位階之間[3]，如《刑法修正案(七)》《刑法修正案(九)》第253條對公民販賣個人信息的犯罪作了相關規定，《個人信息保護法》第66條又對針對個人信息侵權行為設立相應懲罰措施，關于個人信息侵權的處罰方案交叉于刑、民兩個學科，不同法律領域內的價值取向和界定標準不一，容易造成部門法之間銜接不當，既不利于主體明確行使權利，又加大爭議解決的成本和難度，應在跨境電商領域加速形成以憲法為核心，以法律為主干，以法律、規章及其他規范性文件為補充的相互交融、聯動的個人信息保護立法體系。

表1 我國跨境電商網絡用戶個人信息保護主要法律規范匯總

二、我國跨境電商中網絡用戶個人信息保護困境：規則闕漏

(一)個人信息保護標準落后

受“公共利益優先”理念的影響，我國長期以來對個人信息的保護力度不足，近年來，我國出臺了一些技術標準和管理標準，遺憾的是，技術標準沒有專門為個人信息保護而設，管理標準方面也僅考慮了計算機進行個人數據傳輸時的安全。2012年我國首個全國性個人信息保護標準《信息安全 公共及商用服務信息系統個人信息保護指南》誕生，由中國軟件評測中心牽頭并聯合多家單位共同制定、2017年國家標準化管理委員會又發布了GB/T35273-2017《信息安全技術 個人信息安全規范》；此外地方上也有著制定個人信息保護標準的嘗試，如2012年大連市發布了DB21/T 1522《軟件及信息服務業個人信息保護規范》、2008年西安軟件園發展中心頒布了《陜西軟件和信息服務業個人信息保護規范》。從總體上看，我國所頒布的個人信息保護標準相對落后，條款主要集中在個人信息的收集和使用層面，對個人信息的披露和保護鮮有涉及，仍停留在20世紀60年代提出的“公平信息實踐”階段，企業缺乏可操作性，實用性不強，大數據時代來臨，我國公民越來越重視個人信息的安全與維護，原有的信息安全規范已不能適應時代的發展，為滿足消費者隱私保護的需求，急需制定準確、完整、詳盡的個人信息保護規范，逐步建立起一套既符合中國國情又與國際并軌的個人信息保護標準體系。

(二)法律責任屬性模糊

在跨境電商侵害網絡用戶個人信息的司法實踐中，通常涉及侵權和合同之債兩大問題，即網絡用戶選擇侵權還是合同違約，以何種方式向跨境電商平臺主張自己的權利。在現實生活中，跨境電商平臺要求消費者必須進行實名注冊，才可以在平臺進行消費行為。注冊行為往往伴隨著與平臺簽訂《隱私保護政策》和《注冊協議》，該協議用于規范平臺和消費者之間的權利義務，明確跨境電商平臺收集、整理、使用和披露消費者信息的方式和范圍。根據此協議，跨境電商平臺一般需要承擔保護用戶個人信息的義務，當平臺由于疏于管理過失或故意地侵害用戶個人信息的時候，消費者可以依據協議向跨境電商平臺提起賠償訴求，同時該行為又是一種侵權行為，侵害公民的知情權、信息安全權等人格權，此時在跨境電商平臺侵害用戶個人信息糾紛中，侵權和違約行為就產生了競合[4]。在2016年“馮紅真訴浙江天貓、淘寶中國侵權責任糾紛案(1)案中原告馮紅真2016年7月25日，在天貓國際山田養蜂海外旗艦店購買了“羅馬尼亞產成熟洋槐蜂蜜300g”商品1箱，因產品功效未達到廣告宣傳，雙方產生爭議，訴至法院。但之前原告與天貓國際簽署的《用戶服務協議》第九條規定，“本協議之效力、解釋、變更、執行與爭議解決均適用香港法律，任何與香港的法律沖突規則或原則不適用本協議”，雙方已確定了準據法，但審理時太原市中院仍直接依據《中華人民共和國消費者權益保護法》第四十四條的規定，認定原告也沒有證據證明被告淘寶中國控股有限公司明知或應知銷售者利用平臺侵害其合法權益，駁回原告起訴?！敝?，太原市中院在審理本案的過程中，越過選用法律的論證環節，直接依據《中華人民共和國消費者權益保護法》的規定，判定被告沒有侵害原告的合法權益，駁回原告的訴求請求[9]。本案中太原市中院直接采取侵權作為案由來審理案件，而在更多時候，基層人民法院包括派出法庭在內處理類似案件往往按照合同違約進行審理。我國法院在長期“重實體輕程序”的局限性思維下，侵權和違約法律適用模糊，未來需要進一步厘清侵權和違約在跨境電商網絡用戶個人信息侵權案的適用界限，正確識別法律關系；選取合理便利的規則，實現充分救濟當事人合法權益的目標。

(三)強制性規則匱乏

自2021年《個人信息保護法》和2016年《網絡安全法》出臺以后，跨境電商業務中個人信息數據流轉的行為就逐步納入法治監管的軌道上，我國新規定的國家安全審查制度和本地存儲制度對個人數據的利用和保護提出了更高的標準，然而在具體的實踐過程中，這些強制性規則在跨境電商個人信息保護的適用中存在著明顯的缺陷與不足。首先，國家網信辦在國家安全審查制度實施的過程中只具備單向性，即只對我國個人信息數據流向境外時進行審核，當境外數據流入國內是否需要審查在《網絡安全法》中并未提及[5]。其次，為了進一步推動跨境電商產業的蓬勃發展，國家安全審查制度和本地存儲制度在適用對象上有所限縮，只限定到關鍵信息基礎設施運營者，未采用國際上的通行做法，將適用對象擴大至全網。最后，個人信息和重要數據的解釋不明是法律適用時的突出短板，阻礙了強制性規則的落地與實施，為我國跨境電商中個人信息保護的國際合作帶來了嚴峻的挑戰。若網絡用戶的個人信息造成泄漏，被境外不法分子所利用，勢必會對我國的國家安全和公共利益造成重大侵害；2018年中美貿易戰延續至今且呈形勢加劇的趨勢，國際社會上反貿易全球化主義浪潮有著復蘇跡象[6]，在此背景下，美國想要阻擋我國經濟發展的腳步，必然對跨境電商等新型互聯網產業提出更嚴格的個人信息數據保護標準，以圖削減我國對外貿易的總量。我國要高度重視跨境電商中的個人信息數據安全問題，建立起一套系統完備的強制性規則體系，用以面對國際貿易中可能出現的沖擊和影響。

(四)個人信息安全保護體系缺損

跨境電子商務中的數據流動和保護治理涉及一國網絡空間主權，與網絡用戶個人信息保護息息相關，2020年新加坡電商巨頭Lazard公司110萬用戶個人信息數據泄漏，對于總人口只有570萬的新加坡，無疑是一場巨大的災難，引起了大范圍的社會動蕩和民眾恐慌；無獨有偶，2019年我國深圳都市頻道報道，深圳市民鄒女士查詢跨境電商個人額度時，發現自己名下多出40余條非本人購買記錄，經海關總署證實其個人信息泄漏并遭到冒用[7]。當前我國《個人信息保護法》《網絡安全法》以及《電子商務法》規定了跨境電商平臺在收集、整理、使用和披露個人信息時需要滿足合法、正當和必要的條件，同時又規定了相應的數據安全儲存制度，看似高標準、嚴要求的個人信息安全保護體系背后仍有很大的改進空間。首先，在個人信息數據本地化存儲的過程中，并未對儲存方式按照數據備份、數據留存、特定數據留存、自有服務器數據留存等種類進行細化，方式混亂，備份和留存間界限模糊，這些儲存行為使得我國的個人信息數據法律保護體系形成空隙，容易引發上述信息安全的一系列事故[8]。其次，我國現行的個人信息數據跨境流轉制度采取的政府審批和許可制度與全球數據經濟發展的趨勢背道而馳，政府數據監管負擔過重、監管模糊，容易使得個人信息安全受到侵害，宜將權力下放，充分發揮企業數據安全自我評價機制的積極作用，通過形成數據跨境流轉時事前監管事中、事后監管轉移的綜合監管模式，提升監管的作用和效能，在跨境電商的數據跨境流轉階段充分保障網絡用戶的個人信息安全。

三、個人信息保護路徑展望：理念設計與機制配套

大數據時代，數字經濟已經成為各國經濟發展繁榮的核心推動力，據中國互聯網觀察(China Internet Watch)數據顯示，早在2020年我國跨境電商規模已經達10.3萬億，位居全球第一[9]，但近年來由于國家個人信息保護制度缺位、個人信息保護法律規則零散、網絡用戶個人信息保護力度不足，給我國跨境電商經營者造成了巨大的負擔。

(一)個人信息保護的理念設計

1.堅持行政機關監管與跨境電商平臺自治并重的理念

我國跨境電商網絡用戶個人信息保護的立法實踐中，對行政機關附加的數據安全保障義務過重，而對跨境電商平臺的要求畸輕，跨境電商中用戶個人信息的保護既需要依托行政機關信息數據保護職責的明確與積極行使，更要充分發揮跨境電商平臺主體自治的主觀能動性，兩者相互協調、相互配合，共同提升網絡用戶個人信息保護的水平。行政機關在監管的過程中，往往只重視發揮自身的監管效能，忽略跨境電商平臺的作用，但在現實案例中，平臺在個人信息保護過程中卻有著舉足輕重的作用，如2008年Facebook 個人信息泄漏丑聞震驚世界，數據被傳輸至英國劍橋分析公司用于預測美國大選，最后的維權行為是由美國貿易委員會(FTC)委托相關平臺實施而非權利人[10]。因此在我國跨境電商網絡用戶個人信息保護制度的構造上，要貫徹落實行政機關監管和跨境電商平臺自治并重的理念，跨境電商業務中個人信息數據傳輸至邊境乃至境外，行政機關僅依靠自身力量進行監管力有不逮，在肯定行政權規制的同時要充分尊重跨境電商平臺的內部自治性，企業天然具有追求自身利益最大化的盈利特性，鼓勵跨境電商平臺在維護個人信息安全的前提下，對個人信息數據合理調配，突破數據收集的初始目的對數據加以充分地利用[11]，以此讓企業充分認識到個人信息數據的價值，提高對數據安全保障的重視程度，發揮企業的監管作用，推動跨境電商平臺自治模式升級，讓網絡用戶個人信息得到切實的保障。

2.堅持國內立法修正與國際規則借鑒相協調的理念

在跨境電商網絡用戶個人信息保護的規則架構中，既要植根于中國本土的政治、經濟、法律土壤，又要順應全球信息數據跨境流動治理的趨勢，借鑒國際上先進的信息數據治理經驗。首先，要對我國傳統的知情同意規則進行補足和完善。知情同意是在“同意”的意思表示下允許他人對自身信息加以使用，是主體間交往時設定法律關系的基礎與前提行為，然而在數據和算法的沖擊下，卻有著逐漸失靈的征兆，需要適時對知情同意規則進行修正：所有個人信息的收集與處理未來均需得到同意，但同意應當具體類型化為明示同意、默示同意、有效同意[12]，美國、歐盟所提出的場景和風險理念就是該種修正方式的動態回應，其認為數據開發分析和個人信息保護是一種利益平衡的關系，通過擴大權利人同意的事項范圍，加重機構處理和收集數據的責任，來協調個人信息保護和利用的關系。其次，在借鑒國際先進立法經驗的基礎上，構筑我國本土網絡用戶個人信息保護規則體系。國際層面跨境電商中個人信息保護規則多集中于雙邊條約和多邊條約，雙邊條約更符合締約國雙方的利益需求，權利義務明確，監督執行機制嚴格，以2016年的《歐美隱私盾》為典型代表；而多邊條約是在諸多締約國個人信息保護水平參差不齊背景下，各方求同存異的考量，易于推動全球貿易合作。我國可以兼采上述條約中的先進理念，構造出“原則+減損”的模式，以保護為原則，以限制為例外——既保護信息數據自由流動又保護個人信息安全，既限制信息數據的跨境轉移又限制個人信息保障，在進行安全評估的前提下，區分個人信息數據性質，綜合引入數據主體同意、適當性評估、數據控制者確保模式[13]，在中國倡導構建人類命運共同體的背景下，推動全球信息數據安全保護體系變革，助力我國跨境電子商務產業的持續性發展。

(二)個人信息保護的機制配套

1.提高個人信息保護標準

標準一般是由專業的標準制定機構或行業的專業性組織制定，用于對行業的技術、管理、操作、流程等方面進行指導，個人信息保護標準也不例外，個人信息保護標準依據標準化對象可以劃分為技術標準、管理標準、工作標準和服務標準，但由于技術標準和管理標準的效果更強，作用更為明顯，所以主要從這兩個維度入手進行分析。

首先，在技術標準上，可將個人信息保護分為3個要素：分享(4種屬性)、二次利用(3種屬性)和持有數據(3種屬性)，其中每個要素都具備若干屬性，如二次利用要素有相同情況二次利用、用戶定位二次利用、營銷目的二次利用等三種屬性[14]。從上述每個要素中抽取一個屬性，進行排列組合，可以得到36種從寬松到嚴格的個人信息保護標準(圖2)，用戶可以依據自身情況對每種屬性進行授權，從細微的技術劃分標準入手，充分保障用戶的個人信息安全。

圖2 個人信息保護技術標準運行圖

其次，在管理標準上，采用個人信息影響評估模式。隨著跨境電商平臺日益增多的個人信息侵權行為，用戶對個人信息安全保障的需求越來越高，而個人信息影響評估模式則可以實現企業和消費者間的利益平衡，該種模式下，既要考慮企業利益，也要考慮消費者需求；評估范圍不僅包括個人行為信息、人際溝通信息也包括個人數據信息；評估過程既包括信息交換、也包括方案適應性研究，通過運用事前預測的方式，讓跨境電商平臺利用個人信息評估模式預測出可能出現的個人信息侵權風險，給數據主體提供化解這些風險的措施，為網絡用戶個人信息的保護添設一道“防火墻”。

2.厘清法律責任屬性

顯然，跨境電子商務中網絡用戶個人信息的保護實則涉及到了侵權和合同兩個領域，我國對法律規則的適用堅持侵權行為和違約行為的絕對區分主義。傳統違約和侵權的界分，依據違反義務的來源是約定義務還是法定義務進行辨析，違反約定義務構成合同違約，違法法定義務構成侵權[15]。但隨著合同法制度的擴張，合同義務并非全是約定義務，往往伴隨著若干默示義務或法定義務，當合同約定的義務涉及人身財產安全時，一方當事人對另一方當事人就具備合理的安全注意義務，此種場合下，安全注意義務就同時具有約定性和法定性，此時對安全注意義務的違反既構成違約也構成侵權，以約定義務和法定義務來辨別責任的屬性，邏輯上難以自洽且不夠周延?？缇畴娚讨芯W絡用戶個人信息的安全保障義務就屬于此類情形，用戶個人信息數據安全受到侵害時，既違反協議內容構成違約，又侵害人格權構成侵權。在這種情況下，可以通過吸納利益載體標準對傳統劃分方法進行補充。利益載體包括履行利益(期待利益)和維持利益(固有利益)，履行利益是合同履行完畢時當事人所能獲取的利益，被認為是違約責任所特有，故該種利益之損害對應違約；維持利益是現狀利益，在當事人發生損害前的固有利益，主要體現為人身和財產的完整性，對此利益之損害構成侵權[16]?；貧w到跨境電商領域，在業務開展過程中對個人信息數據的不合理的使用或泄漏，是對用戶現狀利益(固有利益)即個人信息安全的直接侵害，用戶的人身權受損，歸入到侵權行為的范疇之下更為妥當。概言之，以義務來源劃分為主，輔之利益載體標準，跨境電商中網絡用戶個人信息受到侵害的糾紛宜納入侵權糾紛領域，在今后的司法實踐中以侵權事由進行審理案件，要求侵權人承擔侵權責任，既符合理論的發展趨勢也可以更加科學地保障用戶的個人信息安全。

3.補足強制性規則

實踐證明跨境電商產業是國家經濟建設的強勁動力，對整個世界經濟發展都有著巨大的價值，但強制性規則缺損難以在網絡空間對個人信息保護直接適用，跨境電商領域“法不配位”的現象日趨嚴峻。首先，要對國家審查制度進行修補。當前我國承擔個人信息數據跨境遷移監管的機構是國家網信辦，該部門在監督管理時采取單向審核制，即只在數據對外流轉時進行審核[17]。眾所周知，對國家安全和公共利益的侵害主要來源于境外的監控或間諜行為，如果對境外數據流轉至國內不予監管，放任境外數據自由流動，倘若被國外不法分子或間諜組織肆意利用，不僅在一定程度上阻礙跨境電商產業發展，擠壓我國網絡用戶個人信息安全空間，嚴重的甚至會破壞社會穩定危害公共利益和國家安全，因此需要及時地將境外數據流轉至國內的行為納入審查范疇，以填補法律上的滯后和空白。其次，要完善本地存儲制度。所謂本地存儲制度是要求本國網絡用戶在互聯網上產生的網絡數據均須存儲在本國境內的強制性規定[18]，我國《網絡安全法》第37條將本地存儲制度限定在關鍵信息之上，是否需要像俄羅斯2014年《澄清電信和電信網絡中的個人數據處理程序的修正案》中強制跨境電商將所有互聯網上形成的網絡數據都儲存在境內？顯然，基于我國戰略發展的通盤考量，采取寬松的政策更加契合我國利益，通過對個人信息數據本土化的限定來加強貿易自由化的推進，在兼顧個人信息保護的同時提升我國跨境電商產業的發展。當然，不將所有個人信息數據納入本地存儲并不意味著不監管，可以適當的擴大關鍵信息的認定范圍，以此在網絡用戶個人信息保護和跨境電商產業發展之間達到一種微妙的平衡，我國《重要數據識別指南》尚未出臺，在該法律規范的制定中，科學地擴大重要數據的范疇，完全可以對本地儲存制度進行合理的修正。最后，我國是否有必要引進公共秩序保留？公共秩序保留與強制性規則極其相近，但其適用范圍更廣，在適用方式上也存在一些差異，部分國家對強制性規則和公共秩序保留采取同時適用的態度[19]，如德國。公共制度保留與社會道德層面的準則密切相關，而這些準則往往都存在模糊地帶，我國地大物博、幅員遼闊，道德準則難以在短時間取得共識，不具備適用的法律土壤。同時若對公共秩序保留加以適用，相較于強制性規則，法院擁有更大的自由裁量權，也與我國的立法趨勢相沖突，概言之，針對公共秩序保留，我國應采取審慎的態度，暫緩引入。

4.健全個人信息安全保護體系

隨著我國跨境電商業務的指數式發展，信息數據安全風險也隨之提高，大型個人信息泄露事件頻發，據國際數據公司(IDC)預測，未來全球四分之一的人口都將受到信息數據泄漏的威脅，但無論是國內法律還是國際規則對跨境電商中網絡用戶個人信息的保護尚缺乏應對經驗，中國一直倡導網絡命運共同體理念，完善的個人信息安全保護體系(圖3)不僅可以為我國跨境電商產業的健康發展保駕護航，還可以為全球信息數據安全治理貢獻中國智慧和方案。個人信息安全保護體系在完善的過程中，需要充分發揮各方的力量，行政機關、企業和個人共同參與個人信息保護工作，協同推動治理進程。第一，行政機關行應該著力于頂層設計，加強個人信息數據安全執法。首先，在個人信息數據本地化儲存時，要對儲存方式進行細化，按照數據留存、特有數據留存、自有服務器留存等方式進行存儲，井然有序，以降低工作失誤信息數據泄漏的可能性。其次，增強復原力(2)復原力是指政府機構抵御網絡攻擊的能力，即能夠抵御破壞并動用各種資源以最大程度減少其影響的能力。，在日常管理中，以最小化訪問權限對信息數據進行加密和匿名化處理，持續掃描是否存在漏洞，當發生入侵事件時，及時調用各種資源最大程度地減小個人信息數據泄漏帶來的危害。第二，企業應完善內部個人信息數據安全合規管理機制。首先，采取內部信息數據許可使用方案，明確許可使用的范圍和方式，并讓相關授權員工在文本上進行簽署，同時利用大數據和成熟的分析技術檢測行為異常的員工，盡可能減少接觸個人信息數據的人員，降低信息數據泄漏風險。其次，建立安全事件應對機制，對事件進行預先的評估和報告，阻斷導致事件的源頭，一旦發生個人信息數據泄漏，采用應急處理方案，將損失降低到最低程度。第三，個人加強信息數據安全保護意識。首先，在跨境電商平臺消費時，及時刪除個人通話記錄、網上購物記錄、網站瀏覽記錄等，切實做到防患于未然，不給不法分子留下通過大數據推斷出個人隱私信息的機會。其次，當個人信息遭遇泄漏時，要求跨境電商平臺刪除相關信息或采取必要措施制止，也可以向工商部門、互聯網管理部門、公安部門等相關機構進行投訴舉報[20]。

圖3 個人信息安全保護體系運行圖

四、結 語

跨境電子商務中網絡用戶個人信息的保護是一個極其復雜的問題，涉及到我國的法律、政策和行業規范等多個領域，作為跨境電商這種新型商業模式下引發的侵權糾紛，從覆蓋程度和法律后果來看，均有別于傳統的個人信息侵權案件。但截至目前，跨境電商中網絡用戶個人信息保護尚未形成一套統一的規則體系，傳統的個人信息保護規則難以應對當下情形，亟須完善。在網絡用戶個人信息保護體系的具體構造過程中，既要堅持理念的指導又需要有具體的機制作為配套，特別是在法律責任辨明和個人信息安全保護體系健全時，要將現代法學理論融入傳統學說中，對既有規則進行一定的修正和完善，并充分尊重企業自治性，發揮行政機關、企業和個人數據安全協同治理的效能，唯有如此，才可以降低個人信息泄漏的風險，在網絡用戶個人信息保護和跨境電商產業發展之間尋求一個平衡點，為跨境電商中網絡用戶個人信息的保護提供有現實意義和參考價值的中國方案。此外，未來法律修訂時，要充分借鑒歐盟《通用數據保護條例》和美國《消費者隱私權保護法案》的立法經驗，結合我國的實際情況，對公共秩序保留和場景風險理論取其精華去其糟粕，制定出一套符合中國本土化路徑的跨境電商網絡用戶個人信息保護制度。