博士生顾男飞发表论文《个人信用信息跨境流动的全过程法律规制》

作者简介

顾男飞，男，江苏常州人，博士研究生，主要研究方向为经济法、社会法。

*本文系国家社会科学基金一般项目（21BTQ062）的阶段性成果。转载已获作者授权，因版面有限，省略注释。作者身份信息为发文时信息。

目录

一、问题的提出

二、个人信用信息跨境流动的必要性和伴生风险

三、流动前的告知同意与安全评估

四、流动中的国际协同治理与监管科技运用

五、流动后的删除义务履行与法律责任配置

六、结语

摘要

个人信用信息跨境流动是发挥数据价值的关键，也是我国企业顺利出海的重要基础。个人信用信息跨境流动存在较高的数据安全和隐私保护风险，需要完善法律治理体系，在法律合规建设和监管科技运用的基础上，实现双向高效流动。通过剖析个人信用信息跨境流动各环节存在的差异风险，进一步提出在流动前要充分落实告知同意规则和个人信用信息分类管理标准，顺畅衔接风险自评估与安全评估机制；在流动中要积极推动国际协同治理和第三方保护认证互认，强化监管科技运用，提升监管质效；在流动后要明晰删除义务履行要求，合理配置不同主体的法律责任，以此形塑中国特色数据跨境流动风险治理路径，推动个人信用信息安全有序自由流动。

关键词：个人信用信息 跨境流动 全过程规制 国际协同治理 监管科技

正文部分

一、问题的提出

数据的要素价值在流动中方得以实现。在党的二十大报告提出“加快建设贸易强国”的背景下，高质量的个人信用信息是数字贸易的发展根基，需要有序推动个人信用信息跨境流动以满足企业发展需求。2024 年 1 月，商务部部长王文涛为此提出“探索建立以自由流动为基本原则、统筹安全和个人信息保护的数据跨境流动治理体系”。固然数据跨境流动能够充分释放数据所蕴含的货币性价值，但盲目放开数据跨境流动难以满足安全要求，特别是个人信用信息属于敏感信息范畴，兼具财产利益和人格权益，一旦被泄露或篡改，不仅损害公民财产，更可能减损社会评价，造成严重后果。因此，包括跨境流动在内的数据处理行为需要落实严格的保护要求。为切实保护个人信用信息，应结合我国《个人信息保护法》《数据安全法》《征信业务管理办法》等法律法规，明确个人信用信息跨境流动的合规处理要求，并对个人信用信息处理者这一中心节点进行针对性规制。在理清个人信用信息跨境流动全过程法律规制面临问题的基础上，明确个人信用信息处理者的义务履行要求，并提升规则的可操作性。

个人信用信息跨境流动可被界定为跨越国家物理边境的数据处理行为，分为境内数据主动传输存储至境外和境内数据被境外机构访问或者调用。关于数据跨境流动问题，学界进行了较为深入的研究，但存在研究不系统、可操作性弱和法治化程度低等不足，而且在个人信息跨境流动全过程监管中，事前监管尚处于探索阶段，而事中和事后监管层面存在监管主体不明确、监管权限模糊等问题，亟待解决。既有研究主要聚焦于个人信息跨境流动的国内法律规制和国际协同治理，无法满足数据跨境高效流动的预期。为此，郭德香等研究提出，要多元共治，加强法律规制，主动参与国际规则制定和谈判。梅傲等认为，应在数据存储、分析和服务全流程中建立企业合规制度。张路等建议通过确权激励信用数据有序流通。

需特别指出的是，当前关于个人信用信息跨境流动的专门研究仅数篇，研究关注度不足且不深入，需要后续进行针对性研究。以金融服务为代表的数字贸易，在业务中需要跨境流转大量个人信用信息作为评价依据并以此提高服务质量。但当前研究主要聚焦于我国《个人信息保护法》的落实，落脚点更多在个人信息权益保障，而针对个人信用信息处理者的全过程监管研究较匮乏。同时，针对个人信用信息跨境流动的全过程监管主要依赖技术手段及时预警和主动防御来控制泄露风险，然而由于当前法律规制框架滞后于技术发展，主动评估和提前预警的手段并不成熟，动态的数据监测效率较低。因此，亟待从完善法律监管体系和运用监管科技两方面进行深入研究，系统落实个人信用信息安全保护要求，使个人信用信息作为数据资产既能安全“走出去”，也能顺畅“走进来”，在法律合规建设和监管科技运用的基础上，实现双向高效流动。

二、个人信用信息跨境流动的必要性和伴生风险

个人信息被普遍认为是最重要、最具有应用和流动价值的数据要素之一，其中个人信用信息是“王冠上的宝石”。数字经济发展需要高效的个人信用信息流动加以支撑。根据经济合作与发展组织（OECD）预测，数据流动能帮助数字平台、金融等行业提升 32%的利润率。但这些跨境流动的数据中，大多为用户的身份信息等个人信用信息，属于敏感个人信息。数据在大规模且频繁的流动中或将面临巨大的泄露或篡改风险，尤其是个人信用信息跨境流动相较于普通个人信息跨境流动，鲜少通过交易中心进行场内流转，更多是通过企业间授权和交换等场外活动进行。而我国《征信业务管理办法》第40 条仅规定进行必要的审查，缺乏可操作性且难以有效监管。考虑到个人信用信息跨境流动面临的多元风险，应当结合个人信用信息跨境流动全过程，以个人信用信息处理者为核心规制主体，从跨境流动前、流动中、流动后三个阶段，分别进行类型化风险梳理，提升规制针对性。

（一）个人信用信息跨境流动的必要性

数据作为新型生产要素，对土地、资本、劳动力和技术等传统生产要素具有倍增作用，是驱动经济增长的重要引擎。数据只有在流动中才能产生价值，个人信用信息也不例外。个人信用信息是企业进行商业决策、风险评估、产品和服务提供、业务扩张及“出海”的重要基础。企业对个人信用信息跨境流动的需求显著，加之其具有的价值，是各信息处理者努力争取并深度处理的数据类型之一。但风险也巨大，个人信息在泄露数据数量中占比为 91.4%，其中个人信用信息泄露占比居前。随着互联网的快速发展，数据跨境流动的频次和规模呈指数级增长，尤其是随着征信体系的不断完善，个人信用信息的种类也越发丰富，有助于逐步重组生产要素资源，推动经济高质量发展。2023 年 3 月，我国组建了国家数据局，由此实现了在中央层面协调推进数据基础制度建设，统筹数据资源整合共享和开发利用。

个人信用信息的要素价值，一部分源自存量数据产生的聚合性价值，另一部分源自识别性价值。二者相互融合、彼此促进。个人信用信息跨境流动规模的指数级扩增，不仅能促进数字经济发展，也能推动全球市场融合，使企业能为不同国家提供更有针对性的产品和服务，在逆全球化时代推动经济发展。随着网络实名制的推进，基于个人信用信息的识别性价值陡增，能在识别用户的基础上提供更有针对性的服务，赋予个人信用信息更显著的财产价值。这时若悖离数据作为“流动性财产”的特性和价值实现基础，将数据视为固定资产并且进行严格管控，那么流动受阻的个人信用信息将会形成“数据孤岛”，阻碍数字经济的发展。个人信用信息跨境流动受阻，不仅会使宏观层面国家经济发展受到限制，也会对依赖大规模个人信用信息流动的电子商务、社交、移动支付和征信等领域产生严重冲击。流动是实现数据从资源向资产转变的关键。尽管个人信用信息跨境流动存在较高的数据安全和隐私保护风险，但不能“因噎废食”，需在全面保护的基础上释放可流动的个人信用信息，使其能充分发挥数据要素价值以满足生产需要。

（二）个人信用信息跨境流动风险的类型化梳理

个人信用信息跨境流动是数字经济发展的重要基石，且具有流动必要性，但在缺乏有效法律治理和监管科技来保障数据安全的情况下，盲目开放本国个人信用信息存在诸多现实风险。通过梳理数据流动的全过程，可以将个人信用信息跨境流动风险类型化为跨境流动前、流动中、流动后三类风险。同时，个人信用信息处理者作为个人信用信息跨境流动中的核心节点和经手人，是信息泄露或篡改等内部风险的直接责任人，也是黑客攻击等外部风险的责任主体，需更加重视风险治理。

第一，跨境流动前，主要风险有个人信用信息处理者在未履行告知义务和未获得信息主体同意的情况下，调取或转移个人信用信息，以及公司数据库遭受网络攻击。我国《个人信息保护法》要求信息处理者向其他处理者提供个人信息时，须在信息主体知情的基础上获得同意，由此确立了“知情—同意”这一核心规则。但这一规则在当前大规模个人信用信息跨境流动中往往被虚置。一方面，个人信用信息处理者为节约合规成本往往采取“一揽子授权”模式，且在个人信用信息用途发生变动的情况下也较少征询二次同意；另一方面，由于信息不对称，信息主体难以全面掌握个人信用信息跨境流动风险，容易作出对己不利的信息自决。同时，网络攻击逐步专业化，鉴于个人信用信息具有重要的财产价值，攻击对象也从个人设备终端扩展到个人信用信息处理者的服务器，不仅会通过漏洞跨境窃取数据，还会对设备进行加密和勒索，严重威胁个人信用信息安全。此外，需注意到个人信用信息的完整准确采集是全面评估信用状况的基础，若在跨境流动前报送虚假信息，则会对信息主体的财产权乃至名誉权造成损害，需要承担相应的侵权责任。当个人信用信息处理者完整准确报送而非捏造个人信用信息时，即使是逾期还款等负面信息，也不能被认定为名誉权侵权。但当个人信用信息处理者报送不实个人信用信息时，将会对信息主体造成信用评级降级以及生活不便等实际损害，应当承担相应的侵权责任。

第二，跨境流动中，主要风险有各国关于个人信用信息跨境流动的保护目的和标准不统一导致信息流动受阻，而且在流动环节存在较大的泄露和篡改风险。一方面，各国关于个人信用信息跨境流动的规制目标和规则并不一致，比如相较欧盟对数据跨境流动的严格保护力度，美国出于贸易需要弱化了数据保护要求。另一方面，数据跨境流动的传输路径变长，流动中的编程接口、引用系统、通信链路和终端线路等都存在数据泄露风险，不仅可能受到外部的网络攻击威胁，也存在较大的内部合规风险，导致个人信用信息泄露或篡改。

第三，跨境流动后，主要风险有个人信用信息主体的主动删除义务履行不到位、责任过重和承担主体不明等风险。当前信息去标识化和匿名化技术存在较大风险，可能被逆向工程还原，并由此关联信息主体。这时应落实主动删除义务。不过考虑到个人信用信息的价值，部分信息处理者并不能有效落实这一义务，由此导致泄露风险和滥用风险增加。除点对点流动外，个人信用信息经历多次流转，这时难以准确识别责任主体，归责困难。此外，还应注意到责任过度延伸和归责不当问题，不能转向无过错责任或者严格责任原则，施加过高责任将降低个人信用信息处理者的经营积极性，减少信用产品供给，进而制约我国数字经济发展。

总体上看，随着个人信用信息跨境流动规模的扩大，风险逐渐增加，但相应法律监管机制并未进行系统回应，存在可操作性不强等问题。同时，监管科技应用滞后，难以有效满足技术治理的需要。从个人信用信息跨境流动的全过程规制角度看，目前国内治理机制较为单一，在整体上存在可操作性弱等问题；在具体的操作层面则存在知情同意规则落实不到位和安全评估被虚置等问题。虽然当前我国已颁布实施《个人信息保护法》《数据安全法》等法律，出台《数据出境安全评估办法》《个人信息保护认证实施细则》《个人信息出境标准合同办法》《个人信息出境标准合同》等配套文件，但现有的规范较多且杂乱，对个人信用信息处理者提出过于复杂的合规要求，难以有效落实。在国际治理层面也缺乏协同，导致我国企业“出海”面临严峻挑战。针对监管科技运用而言，全过程法律规制的关键在于高效准确地识别和预警各类风险，依赖技术手段进行及时预警和主动防御来控制泄露风险，但主动评估和提前预警

三、流动前的告知同意与安全评估

个人信用信息保护属于过程性行为，事后救济难以有效回应大规模高频次的侵权风险，应重视事前风险预防机制建设，从源头强化个人信用信息保护。针对个人信用信息跨境流动前的风险控制，主要应聚焦于充分保障信息主体的知情同意权，并且结合个人信用信息跨境流动的目的进行二次分类，提升规则的可操作性。同时，应当在完善个人信用信息处理者自评估的基础上，基于个人信用信息保护的特殊要求，构建更有针对性的安全评估机制，并落实网信部门的监管职责，顺畅衔接风险自评估和安全评估机制。

（一）知情同意规则的完善与充分落实

基于知情同意规则的个人信用信息收集环节是跨境流动的起点。为实现促进流动和安全保障的双重目的，个人信用信息处理者需要充分落实告知义务以满足知情条件，并且应当在《个人信息保护法》基础上对该规则进行调整以满足个人信用信息跨境流动的需要。个人信用信息处理者履行告知义务可兼顾效率目标。在告知方式方面，应将个人信用信息采集事项单列于用户协议之外，或者通过加粗方式在用户协议中以单独部分进行告知。此外，应对专业术语添加解释。在告知内容方面，除了明确个人信用信息处理者的名称和联系方式，个人信用信息的处理目的、方式、种类、存储期限，以及行使权利方式和程序等内容外，还应当告知个人信用信息的跨境流向国家和处理者，确保信息主体对个人信用信息的每次流转都可以知情，并细化告知内容以满足透明性标准。而后依照《征信业务管理办法》第 42 条之兜底条款，要求个人信用信息处理者将上述内容向社会公开并接受监督。为解决“一揽子授权”和概括同意所导致的同意规则虚置问题，可结合个人信用信息跨境流动过程设置分段同意规则，如设置“同意采集使用及后续流动”“同意采集使用但拒绝后续流动”“同意采集使用并允许在本国内流动”等选项。同时，可结合个人信用信息保护的需要，依据可识别性的强弱，在不同流动环节设置不同的同意模式。比如在流动前，个人信用信息处于未处理状态，可识别性强，这时需采取明示的以单独同意为代表的强同意模式。在流动中，由于对个人信用信息进行了匿名化处理，基本可模糊姓名、性别、住址等身份信息，虽然存在还原风险但并不显著，可采取默示的以概括同意为代表的弱同意模式。在流动后，个人信用信息则可能被用于提供商品或服务的参考依据，这时可视业务需要采取不同的同意模式。比如基于个性推荐的电子商务和搜索引擎等业务需采取强同意模式，而游戏和导航等业务无需与信息主体紧密关联，可采取弱同意模式。

单纯依靠企业自律难以有效落实知情同意规则，应在此基础上健全行业指导、行政执法等监管框架以及司法救济机制。法律规则因其普适性而难以对各行业进行针对性规定，为此需要发挥行业协会的专业性和主观能动性，结合个人信用信息跨境流动的应用场景和目的地国家的监管要求，在重点行业制定行业标准，并在条件成熟时上升为国家标准。在标准制定后，可通过行业协会自律和第三方认证来推动标准的落实。个人信用信息处理者通过具有公信力认证机构的认证后，将会赋予其更大的社会知名度并降低获客成本，由此获得反向激励，督促其主动履行知情同意规则并且申请认证。但行业协会进行自律监管缺乏强制力，为此，应加强行政执法，重点整治隐私政策模糊、强制捆绑以及授权等违规收集个人信用信息的行为，防止个人信用信息处理者基于信息不对称优势而使知情同意规则被虚置。此外，为切实保障信息主体权益，应转变司法保护模式，将原本的义务保护模式变为权利保护模式，尤其在《个人信息保护法》已经正式赋予信息主体知情权和决定权的背景下，权利保护模式更具有必要性和现实性。实践中不能仅因信息主体进行过概括同意，就判决信息主体败诉；而应落实能动司法要求，考察个人信用信息处理者对知情同意规则的落实情况，进行针对性监管。

（二）基于个人信用信息跨境流动目的之分类标准

除基于《个人信息保护法》将个人信息分类为一般信息和敏感信息并进行不同保护外，还应当结合个人信用信息跨境流动目的进行更精细分类，从而提升规制的针对性，在满足个人信用信息保护要求的基础上推动数据自由流动。2022 年 7 月，《数据出境安全评估办法》（国家互联网信息办公室令第 11号）明确了重点评估处理数据的目的、范围、方式，出境数据的规模、范围、种类、敏感程度等内容，以及分类标准的考量因素。但规定较为原则，需结合个人信用信息跨境流动的具体业务情况进行针对性细化。考虑到同一类型数据对于不同个人信用信息处理者存在差异化价值，且不同类型数据的叠加会增强可识别性，需灵活调整分类标准。应当以业务为抓手进行审批，而不是单纯关注个人信用信息类型。要基于业务类型进行个案审批，在提升监管针对性的基础上节约监管资源。具体而言，个人信用信息处理者基于不同处理目的而采取的处理深度并不相同，威胁程度也是不一样的，需进行类型分析。

考虑到个人信用信息具有的多元化和非结构化特征，监管壁垒很高。为此，应结合各行业数据使用目的和个人信用信息流通场景，制定适用于特定行业、特定领域的个人信用信息分类标准。同时，对经过算法脱敏和去识别化处理的敏感个人信息，可划入一般信息进行保护，并且进行动态调整，持续推进个人信用信息保护。一方面，考虑到数据安全和数据合规问题，我国部分行业和地区率先进行标准制定，比如《金融数据安全 数据安全分级指南》（JR/T0197—2020）和《互联网金融组织数据分类分级指南》（T/ZAIF 1002—2020）等，有效解决了涉及敏感个人信息而导致的“全开”或“全闭”的对立模式。但也需注意，既有行业分类标准主要还是聚焦于金融领域，其他领域的发展较为滞后，需加以重点推进。同时，针对文档、电子邮件、视频和图片等半结构化数据中的个人信息，应从个人信用信息处理者是否存有信息主体的其他信息和处理目的等因素分析其中的可识别性，并逐一进行规制。个人信用信息经过匿名化处理后，将会丧失识别个体的“颗粒度”，更多具有统计意义，应被排除在个人信用信息保护之外，不进行保护。但是，现有匿名化处理并不能够完全保证无法复原，存在再识别风险。为此，可建构基于法律与技术融合的靶向治理路径，将使用风险阈值降低至可接受水平。而后，个人信用信息处理者通过安全评估后，可适当调整个人信用信息保护力度，促进数据要素的高效流动。

（三）风险自评估与安全评估的有效衔接

为落实个人信用信息的保护要求，应坚持个人信用信息处理者风险自评估与网信部门安全评估相结合，在安全的基础上促进个人信用信息有序流动。当个人信用信息达到规定规模时，依照我国《网络安全法》《个人信息保护法》《数据安全法》等法律规定，仅能通过安全评估向境外提供，而不能采取保护认证和出境标准合同等方式对外提供。同时，《数据出境安全评估办法》第 5 条规定：“数据处理者在申报数据出境安全评估前，应当开展数据出境风险自评估。”为落实法律规范中的安全要求，应明确制度的定位和要求，避免监管资源浪费。网信部门作为监管者应当发挥主导作用，依循“风险识别→风险评估→风险管理”基本步骤，不应仅止于风险评估，而要提前介入风险识别环节，并且基于风险评估结果采取差异化监管措施。同时，个人信用信息处理者应当建立长效的风险自评估机制，结合业务变化情况、处理深度、梳理数据规模和类型等情况，进行动态评估，而不是仅在数据出境时进行“一次性审批”，应建立真实性核查制度。

一方面，完善风险自评估机制。除《数据出境安全评估办法》规定的评估事项外，个人信用信息处理者应当基于自身业务情况，健全个人信用信息的安全管理框架和合规制度，进行合规审计并及时整改，而不是仅止于提交报告。同时，当个人信用信息的处理目的、范围、方式等重要事项发生变化时，即使在安全评估的两年有效期内，也应当重新申请安全评估。此外，在评估环节，可参照欧盟提出的数据保护影响评估（DPIA）程序，分为准备阶段、评估阶段、报告及保护阶段分别进行，提升风险评估的有效性。我国行政部门更多是采取结果规制，忽略了过程指导，在后续监管实践中需加以完善。另一方面，完善网信部门的安全评估机制。应通过明晰安全评估要求，开发或主导建设一套可对风险进行动态评估的系统，收集个人信用信息处理者的风险信息并且进行横向对比，总结优秀经验和共性问题，在此基础上发布合规指引或技术指南，对个人信用信息处理者进行更明确的指导。此外，关于网信部门安全评估结果，仅规定个人信用信息处理者在收到评估结果后可向原单位申请复核，且复核结果为最终结论，由此可见该行政行为的可救济性较差。因此，张凌寒研究认为，当评估结果是基于数字经济发展所需而非国家安全时，应设置必要的救济途径，对程序的正当性进行司法审查，逐步实现个人信用信息自由流动目标。

四、流动中的国际协同治理与监管科技运用

个人信用信息不仅要“出得去”，也要“进得来”，从而更好满足我国企业的发展需要。应矫正我国实践中个人信用信息保护过度关注安全的规制思路，积极推动数据跨境流动，通过完善国内数据法律制度提升我国在国际协同治理中的话语权。正如习近平总书记所指出的“要密切观察、主动作为，主动参与国际组织数字经济议题谈判，开展双多边数字治理合作，维护和完善多边数字经济治理机制，及时提出中国方案，发出中国声音”。通过完善安全评估配套的第三方保护认证机制，促进认证标准的国际互通，推动各国互认，满足我国企业的境外数据使用需求。当然，鉴于个人信用信息跨境流动的复杂性，应完善并主动运用相配套的监管科技，以提升针对跨境流动过程的监管质效，有效治理个人信用信息泄露风险。

（一）推动国际协同治理与第三方保护认证互认

健全国内数据治理体系后，应积极推动国际协同治理，在“一带一路”倡议基础上推动“数字一带一路”的建构，实现从“参制”到“创制”的转变，并积极推动国际规则衔接，促进国内企业的全球化发展和数字经济的高质量发展。自 2023 年 7 月起，欧盟与美国、英国与美国、欧盟与日本达成多元的双边数据协议，有效进行标准互认与协同规制。我国可在完善国内数据安全管理制度和有效运用监管科技的基础上，依托“一带一路”以及上海自贸区等试点区域，在签署或更新合规条款时，纳入个人信用信息跨境流动条款，实现在贸易规则层面确定数据流动的自由立场，并单列跨境流动规则以凸显可操作性。当然，应加大我国个人信用信息保护力度，为维护国家数据主权预留充分空间。在具体操作中，可先在治理理念、治理目标和治理原则等层面达成共识，而后再推动具体规则制定，增强规则可操作性。可借助例外条款来平衡不同国家间的利益冲突，提供制度实施的弹性空间。比如“国家安全”等事由及公共政策等例外，通过求同存异促进个人信用信息的跨境流动。同时，为解决国际协同治理所面临的制度模糊与合作碎片化问题，我国应适当让渡规则制定的主导权，通过多边合作机制推动协同规则制定；积极参与概念提出和标准制定等工作，强化国内法律制度的域外适用效力；主动应对个人信用信息跨境流动所面临的域外管辖冲突，监测跨国企业的数据处理行为，更好纾解安全风险。

同时，积极推动第三方保护认证机制发展，通过保障认证机构的独立性和认证内容的严谨性提升认证结果的认可度，并且通过不同国家的结果互认，实现个人信用信息的有序流动。具体而言，个人信用信息保护认证是指由专门机构基于技术标准，对个人信用信息处理者的内部管理体系、业务运行状况和产品服务是否达到保护标准而出具意见。就保护认证模式而言，主要可分为国家认证、第三方认证和自我声明三种。鉴于我国已有网信部门主导的安全评估机制，为提升保护认证的国际认可度，我国选择第三方保护认证模式更为合适。为提升认证结果的公信力，可采取如下措施：第一，为避免被企业和政府部门“俘获”，应以高于欧盟和美国的标准建立类似于美国隐私认证企业 BBB Online 等具有较高影响力的第三方保护认证机构。认证机构类型不能仅限制为以营利为目标的公司，而要成为社会组织型的认证机构以确保其独立性。在机构运作中积极融入国际标准，并争取获得欧盟和美国的官方认可，以增强评估工作的中立性和客观性，有效促进国家、地区间的经贸发展；并建立系统性数据跨境流动法律规范体系，降低合规风险。第二，就认证内容而言，要与国际标准化组织的要求相协调，以确保认证规范的科学性。认证机构不仅要在认证证书颁发前进行全程监控，还要建立认证证书颁发后的跟踪检测机制，确保通过认证的个人信用信息跨境流动产品能够持续符合要求。如果个人信用信息处理者在后续服务中不符合要求，认证机构有权暂停或撤销证书。第三，为吸引他国个人信用信息顺畅流入我国，应当构建公开透明和相互认可的认证保护机制，纾解各国对于个人信用信息保护的担忧。为此，可先推动“一带一路”签约国家的互认，而后可依托WTO 框架实现国际层面的互相认证。

（二）强化监管科技运用以应对个人信用信息安全风险

在技术飞速发展的当下，应充分运用监管科技完善法律监管机制，提升个人信用信息保护效果。第一，可参照金融领域的监管实践，搭建数据自动报送以及实时监测平台，对个人信用信息处理者的行为进行全面监管。比如，卢旺达国家银行通过“电子数据仓库”直接从被监管的金融机构系统抓取数据并自动生成报告，为监管者提供参考，并且进行实时监测，以评估存在的复杂乃至系统性风险。此外，监管部门可通过检查个人信用信息处理者的安全日志来监测存在的安全风险，并查验其员工安全培训机制和数据加密系统是否存在疏漏。第二，在数据传输阶段，监管部门可以推动隐私计算技术的应用，从而实现数据的“可用不可见”。监管机构还可以通过分布式账本技术来验证数据传输的安全性，并使用基于机器学习的数据验证模型来保障个人信用信息传输的准确性，以此推进风险的全面评估。同时，监管部门可要求个人信用信息处理者健全记录留痕机制并进行数据备份，为监管提供参考并防止数据篡改，运用以大模型为代表的人工智能来有效辅助解决个人信用信息跨境流动的内容多样性和复杂性问题。在非法交易监管方面，可基于区块链的智能合约技术建立高效的自动化处理系统，实现交易的可追溯，为政府监管提供有效手段。除此之外，监管部门还可以通过 IP 定位和设置追踪功能，固定访问痕迹和处理记录，对数据处理行为、市场行为和市场信号等进行系统分析，迅速发现异常值并生成风险预警信号，特别是通过知识图谱等技术更好地识别个人信用信息传输过程中存在的篡改和泄露风险，以提升流动透明度。第三，针对个人信用信息处理者提供的流转服务，可以使用可信删除技术，保证个人信用信息使用完毕后第三方不能再从系统重新获取并进行恢复，防范网络攻击造成的风险。鉴于传统技术处理手段存在的不足，可以使用区块链技术实现数据的精准删除，并且防止链上数据受到恶意损坏，监管部门可对此进行针对性检查。简言之，我国应发展并善用监管科技，大力推进国家关键数据基础设施的建设和安全技术的研发，保障个人信用信息的安全流动。

五、流动后的删除义务履行与法律责任配置

为提升个人信用信息的保护力度，个人信用信息处理者应当严格落实《个人信息保护法》第 47 条规定的删除义务，在解构法律规范内容的基础上主动履行删除义务并接受审查。同时，当出现个人信用信息风险并产生损害后，应及时进行规制。但不能过度规制，应明确责任主体并严格落实“过错责任”原则。同时结合损害类型和义务承担程度，合理配置责任，降低法律规制对数字经济发展产生的负面影响。

（一）个人信用信息删除义务的规范内容与履行要求

删除权作为个人信息权益的重要组成部分，是一种较为典型的防御性权利，目的是维护信息完整、准确以及个人信息自决权。虽然《个人信息保护法》采用“有权请求”的表述，但在第 47 条明确了在符合条件时，个人信用信息处理者有义务进行主动删除，而不是以信息主体主动申请为前提。比如，2024 年10 月，欧洲数据保护委员会发布了一个罚款案例，从事信用催收服务的汉堡南澳大利亚公司在个人信用信息的删除截止日期前没有进行删除而被罚款90 万欧元。此案例凸显了个人信用信息处理者履行删除义务的必要性。

为明确个人信用信息跨境流动中删除义务的履行，可从适用情形、例外情形、义务主体三个方面展开。针对适用情形，有以下四点：其一，处理目的已实现、无法实现或为实现处理目的不再必要。基于最小必要原则，个人信用信息处理者在跨境传输个人信用信息时应当结合处理目的进行逐案分析，不能仅凭此前通过的安全审批就任意传输数据，致使安全风险扩大。其二，个人信用信息处理者停止提供产品或服务，或者保存期限已届满。这主要可以结合安全评估和第三方保护认证的事后监管进行，对个人信用信息处理者的业务情况进行实时监管。其三，个人撤回同意。这主要是为保障信息主体的信息自决权，但当数据被进行多次处理，特别是进行了“去标识化”处理，个人信用信息处理者可仅删除原始个人信用信息。其四，违反法律、行政法规或者当事人的约定处理个人信用信息。此情形主要聚焦于个人信用信息处理者合法进行数据处理，如果是违法处理应加以规制。针对例外情形，主要是指保存期限未届满或删除在技术上难以实现。考虑到数据跨境流动的特殊性，当前规定保存期限的证券信息、电子认证信息以及病历资料等极少涉及跨境流动。因此，例外情形主要是聚焦于后者，而这在具有防篡改性特征的区块链技术中尤为显著，且从既有数据中选出特定个人信用信息进行删除需要耗费大量资源。程啸认为，从技术上难以实现应当理解为现有的技术根本无法删除个人信用信息，或者在现有的技术条件下需要付出不合理成本才能删除。当个人信用信息无法被有效删除时，可通过加强事后监管措施保障数据安全。针对义务主体，考虑到个人信用信息跨境流动的过程性，不能仅将安全保障义务限定为跨境传输个人信用信息的征信机构，还需要包括个人信用信息的收集和存储机构、加工机构和使用机构，在满足条件时都应该删除经手的个人信用信息。

数字技术的发展使数据间的关联得到进一步加强，难以对部分个人信用信息进行针对性删除。为此应明确个人信用信息处理者“相对删除”的履行要求，并完善配套的审核机制，确保删除义务的完整有效履行。相较于存储介质物理销毁的“绝对删除”模式，可对“删除”一词作扩张性解释：通过禁止（限制）访问、解除联系以及匿名化等技术手段，使待删除的个人信用信息处于不可检索和不可访问的状态即可。换言之，可结合删除的例外情形，允许个人信用信息处理者结合技术实现、经济成本等因素进行考虑，选择最为合适的删除方式。当然，在条件允许的情况下，可以采取数据覆写或数据擦除等方式对个人信用信息进行完全删除，使删除后的数据不再具有识别功能。考虑到个人信用信息的经济价值，删除义务的履行仅依托个人信用信息处理者的自律是不够的。欧盟和美国将包括删除义务在内的审核权交由网络平台等信息控制者，而信息控制者并不会放弃经济利益，往往“既当运动员又当裁判员”，导致审核权虚置。因此，将审核权交由中立第三方更为可靠。比如，巴西将国家数据保护局（ANPD）提升为特别权力机构，独立于总统之外，以保障其独立性。结合我国当前关于数据跨境流动的制度安排，可将个人信用信息处理者监督义务的审核与现有的安全评估、第三方保护认证相结合，健全相配套的行政监管和第三方评估机制，进行严格审核。

（二）个人信用信息保护责任的分配规则与承担限度

大规模的个人信用信息跨境流动已成为常态，处理环节也逐渐完善。当信息风险变为现实损害时，我国《个人信息保护法》规定，个人信息处理者不能证明自己无过错的，应当承担损害赔偿等侵权责任。责任过重，需要结合实际情况进行调整。

第一，对于归责原则，应当坚持过错推定原则，严格控制无过错原则适用。同时，要重视分析个人信用信息处理者的主观过错，避免单纯为追究法律责任而适用损害就有责任的证据原则。当前，诸如《互联网用户公众账号信息服务管理规定》等规定，对个人信用信息处理者设置了过高责任，使责任承担存在较高的不确定性，并且使《个人信息保护法》中规定的过错推定责任逐步异化为无过错责任，违背了主客观统一的立法目的，可能催生监管懒政，违背了加强事前事中监管的管理理念。为明确主观要件的考察标准，可考虑个人信用信息处理者在跨境流动业务设计时的需求，要求其在安全评估时报送，进行事前监管。如果个人信用信息处理者无法证明提前落实了安全要求，则认定其存在主观过错，应判定其承担相应法律责任。

第二，针对跨境流动各环节，可由个人信用信息处理者自证处理行为的合规性，特别考察其告知、安全保障、删除等义务的履行程度，减少连带责任，将个人信息保护责任承担限缩在较小范围，以保障个人信用信息处理者的积极性和正当经营利益。依照《征信业管理条例》第 38 条规定，个人信用信息处理者在收集环节涉及窃取或以其他方式非法获取信息、采集禁止采集的个人信息或未经同意采集个人信息等情形需要承担法律责任；在存储和加工环节涉及违法提供或出售信息、过失泄露信息以及违规对异议信息进行核查和处理的需要承担法律责任；在使用后逾期不删除个人不良信息或者侵害信息主体合法权益的也需要承担相应法律责任。除对个人信用信息处理机构进行罚款外，也可视情节轻重对直接负责的主管人员和其他直接责任人员进行罚款，以强化威慑。当个人信用信息泄露源头不确定，特别是第三人造成的因果关系中断时，我国《民法典》第 1175 条规定，“损害是因第三人造成的，第三人应当承担侵权责任”。但这并不是个人信用信息处理者的免责事由，无论是个人信用信息遭到第三人攻击而泄露，还是个人信用信息处理者传输给第三人时泄露，个人信用信息处理者需要分别履行安全管理义务和注意义务，承担法律责任。此外，由于个人信用信息跨境流动涉及多个环节，可能存在多个主体共同处理信息，当未采取必要保护措施（有过错）而造成损害时，依照《个人信息保护法》第 20条规定，应承担连带责任。同时依照《民法典》第1172 条规定，当不同主体分别实施侵权行为并造成同一损害的，能确认责任大小或有约定的，各自承担相应责任；难以确认的则平均承担责任。比如，当不同信息处理者分别进行出售信息和歧视，这两种过错行为相互结合后造成同一损害，应各自承担按份责任。由此，应进一步明确法律责任，提升法律适用的可操作性。

第三，针对责任承担限度，应结合损害类型和义务承担程度进行综合确认。比如，对于个人信用信息错误记录问题，如果是个人信用信息处理者的原因导致的，应当考察该原因是否可避免、是否尽到足够的注意义务等；对于其他损害，还需要考察个人信用信息处理者的内部合规制度、经验范围、数据存储规模及是否分类管理等因素。而在处罚金额下限上，因为征信业针对的是个人信用信息，相较于一般的个人信息普遍更具有保护价值，所以也不宜采用无下限模式，采用 5 万元为下限也更为妥当。在此基础上可结合违法情节的严重程度设定相应的罚款金额，以提升针对个人信用信息跨境流动中违法行为的威慑力度。此外，考虑到个人信用信息跨境流动中存在的巨大风险，我国也规定相应刑事责任。比如，侵犯公民个人信息罪，通过加大规制力度倒逼个人信用信息处理者规范信息处理行为，提升个人信用信息保障力度。

六、结语

随着我国法律规制体系逐步健全，个人信用信息跨境流动的监管力度将逐步趋于缓和，以促进数字要素资源价值的发挥，满足数字经济发展的需要。2024 年 3 月，国家互联网信息办公室正式发布《促进和规范数据跨境流动规定》（国家互联网信息办公室令第 16 号），依旧是采取数据安全优先的立法目标，重点强调保护个人信息，但也放宽了个人信息出境申报要求，通过类型化例举方式明确了数据出境安全评估、个人信息出境标准合同、个人信息保护认证的豁免情形，以实现促进数据依法有序自由流动目标。该规定标志着我国监管重点正逐步从“事前”向“事中事后”转变，更强调全过程法律规制要求。2021 年 11 月 1 日，中国正式申请加入《数字经济伙伴关系协定》（DEPA），从 2022 年 8 月至 2024年 5 月，中国加入 DEPA 工作组共进行了五次首席谈判代表会议，但是尚未获准。其中的一个焦点因素在于，形成统一的个人信息跨境流动保护和监管的合作机制。为提升我国国内立法与 DEPA 规则的协同性，需要关注与缔约方的合作管辖、互相承认以及执行机制建设，进而促进更大范围内个人信用信息的自由流动。同时，为平衡自由流动与安全保护的立法目标，回应流动过程中的泄露和篡改风险，需要进一步健全全过程规制机制并提升可操作性，进行类型化、系统化的风险治理。