跨境數(shù)據(jù)流動的國際法挑戰(zhàn)及中國應(yīng)對

胡　煒

（江西省社會科學(xué)院　《江西社會科學(xué)》雜志社，江西　南昌　3300770）

一、問題的提出

電子商務(wù)和服務(wù)外包的異軍突起，產(chǎn)生大量貿(mào)易數(shù)據(jù)，并在全球電子商務(wù)網(wǎng)絡(luò)的推動下在各貿(mào)易國之間廣泛流通，云技術(shù)使得數(shù)據(jù)跨境流通更是呈幾何數(shù)級增長。據(jù)IDC預(yù)測，2010－2020年，人類產(chǎn)生的數(shù)據(jù)量將呈指數(shù)級別增長，以平均兩年翻一番的速度，到2020年，數(shù)據(jù)量將達(dá)到35ZB。[1]這預(yù)示著信息流動將成為世界經(jīng)濟(jì)的命脈，而各國個人數(shù)據(jù)保護(hù)法律的異同可能形成新的壁壘，將嚴(yán)重景影響相關(guān)行業(yè)產(chǎn)業(yè)的發(fā)展，并對各國跨境數(shù)據(jù)流動監(jiān)管制度提出了挑戰(zhàn)。[2]隨著互聯(lián)網(wǎng)的普及、經(jīng)濟(jì)全球化的拓展，云計算和大數(shù)據(jù)為代表的信息技術(shù)跨越式發(fā)展，數(shù)據(jù)跨境流動的速度和數(shù)量實現(xiàn)了質(zhì)的飛躍。因為對個人數(shù)據(jù)的保護(hù)水平和跨境流通的效率之間的關(guān)系著不同的認(rèn)識，世界各國和主要的國際組織在跨境數(shù)據(jù)的監(jiān)管的方式和力度上沖突不斷。歐盟和美國就分別代表了注重保護(hù)個人權(quán)利和注重促進(jìn)貿(mào)易發(fā)展不同立場；2015年“歐盟和美國的數(shù)據(jù)安全港協(xié)議被歐盟高等法院宣判無效”，就反映了兩者在跨境數(shù)據(jù)監(jiān)管上的沖突進(jìn)一步激化。

個人數(shù)據(jù)的安全問題成為全球焦點是在2013年的“棱鏡門事件”之后，美歐的數(shù)據(jù)跨境流動與保護(hù)的雙邊合作信任也降至冰點。其時，奧地利一名法律學(xué)者施雷姆斯向愛爾蘭監(jiān)管機(jī)構(gòu)提起訴訟，指控Facebook向美國政府提供了歐洲公民的相關(guān)數(shù)據(jù)，從而未能對數(shù)據(jù)隱私進(jìn)行充分保護(hù)。2015年歐盟最高法院在判決書中指出：“美國的國家安全、公共利益和執(zhí)法需求都優(yōu)先于安全港協(xié)議，從而使得企業(yè)在面對上述情況時，勢必會漠視安全港協(xié)議中的隱私保護(hù)條款”，“安全港協(xié)議并不能約束政府機(jī)構(gòu)的數(shù)據(jù)審查行為，不能起到充分保護(hù)歐洲公民隱私的作用，因而它是無效的”，F(xiàn)acebook等美國公司應(yīng)立即停止將收集到的歐洲用戶數(shù)據(jù)傳輸至美國。[3]因此，在個人數(shù)據(jù)保護(hù)的問題上，歐盟有著貫穿始終的思路，那就是任何技術(shù)的發(fā)展都不能成為損害個人基本權(quán)利和人格尊嚴(yán)的工具。基于此，歐盟加快了改革數(shù)據(jù)保護(hù)立法的步伐，由此有了《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR）的制定。鑒于全球個人數(shù)據(jù)保護(hù)法的無序與落后，有美國學(xué)者曾預(yù)言，生效后的GDPR甚至有可能成為國際數(shù)據(jù)隱私保護(hù)的標(biāo)準(zhǔn)。[4]

跨境數(shù)據(jù)流動作為一專有名詞，聯(lián)合國、經(jīng)濟(jì)合作組織（OECD）、歐盟等常使用Trans－border Data Flows表示，而美國、澳大利亞等常使用Cross－border Data Flows表示，二種用法無本質(zhì)區(qū)別。鑒于跨境數(shù)據(jù)流動存在國家間協(xié)調(diào)標(biāo)準(zhǔn)、國內(nèi)監(jiān)管摸索前行等諸多現(xiàn)實困難?；ヂ?lián)網(wǎng)具有開放性，跨國數(shù)據(jù)流動自始就是以國際問題展現(xiàn)的，對既有國際法提出了新的挑戰(zhàn)。我國作為互聯(lián)網(wǎng)技術(shù)的后起之秀和網(wǎng)絡(luò)大國，與美國、歐盟等的國際經(jīng)貿(mào)往來日益增多，但數(shù)據(jù)權(quán)、隱私權(quán)保護(hù)水平急待提高，眾多中國公司承受著來自美國、歐盟等國家或地區(qū)較高個人數(shù)據(jù)保護(hù)法律的壓力和指責(zé)。為此，必須高度重視跨境數(shù)據(jù)流通的現(xiàn)實發(fā)展及理論分析，思考我國的應(yīng)對措施。

二、進(jìn)退維谷：跨境數(shù)據(jù)流動監(jiān)管的價值之爭

美歐在跨境數(shù)據(jù)流動方面的爭議焦點固然在于監(jiān)管的強(qiáng)度及范圍，但在這之后更深層次的問題在于：在個人隱私權(quán)與互聯(lián)網(wǎng)經(jīng)濟(jì)發(fā)展空間的保護(hù)之間，何者優(yōu)先抑或如何兼顧。

（一）進(jìn)or退：跨境數(shù)據(jù)監(jiān)管應(yīng)嚴(yán)格還是寬松

需承認(rèn)歐盟立法對個人數(shù)據(jù)流動充分性認(rèn)定的標(biāo)注過于嚴(yán)格，影響國際電子商務(wù)的發(fā)展，其增設(shè)新的保護(hù)指令、適時修改數(shù)據(jù)保護(hù)指令，以及試行約束性企業(yè)規(guī)則（BCRs）機(jī)制將成為歐盟個人數(shù)據(jù)流動法律規(guī)則的發(fā)展方向。受歐盟信息專員辦公室（ICO）的委托，蘭德公司的Neil Robinson等研究員認(rèn)為《歐盟數(shù)據(jù)指令》（以下簡稱EDPD95／46／EC）曾經(jīng)為歐盟乃至全球的跨境數(shù)據(jù)流動管理提供了范本，但隨著經(jīng)濟(jì)全球化、信息技術(shù)的革命，這一指令也已經(jīng)很難適應(yīng)現(xiàn)狀，需要進(jìn)行全面的改革。[5]也有學(xué)者認(rèn)為EDPD95／46／EC對跨境數(shù)據(jù)流通的監(jiān)管過于嚴(yán)厲，不利于國際服務(wù)貿(mào)易的開展，而《APEC的隱私保護(hù)框架》對跨境數(shù)據(jù)的監(jiān)管更為靈活，該框架更有潛力成為全球數(shù)據(jù)保護(hù)的范本。[6]

不同于歐盟把隱私保護(hù)作為一項基本權(quán)利治理，美國基于自由市場基礎(chǔ)，將隱私保護(hù)嵌入到其他法律當(dāng)中。[7]1986年美國國會制定《存儲通信隱私法》的第二章《存儲通信保護(hù)法》是美國網(wǎng)絡(luò)個人數(shù)據(jù)保護(hù)主要的聯(lián)邦法律淵源，盡管計算機(jī)網(wǎng)絡(luò)技術(shù)飛速發(fā)展，但該部法律頒布至今仍然是美國處理跨境數(shù)據(jù)流通的依據(jù)。這種依賴企業(yè)自律的做法雖然廣受工商界歡迎，但也招致了批評，有學(xué)者認(rèn)為通過數(shù)據(jù)控制者的自我管理而實現(xiàn)跨境數(shù)據(jù)有效監(jiān)控的方式不具有可行性。[8]美國與歐盟簽訂的《安全港安全協(xié)定》（U．S－EU safe Harbor Framework）是美國式跨境數(shù)據(jù)管理的典型案例；該協(xié)定不僅使美國企業(yè)滿足了歐盟較高保護(hù)標(biāo)準(zhǔn)，更使得美國得以繼續(xù)維持其長期以來以行業(yè)、企業(yè)自律為特點的跨境數(shù)據(jù)流通的監(jiān)管制度。由此可見無論哪種監(jiān)管方法，其主要著眼點均在于如何維護(hù)個人數(shù)據(jù)保護(hù)與數(shù)據(jù)自由流動之間、個人數(shù)據(jù)保護(hù)與經(jīng)濟(jì)利益之間的平衡。

（二）進(jìn)or退：跨境數(shù)據(jù)監(jiān)管應(yīng)重視安全還是營利

從日常生活對于數(shù)據(jù)自由流動的需求來看，比如通過跟蹤數(shù)據(jù)主體的活動來監(jiān)測鍛煉、食物熱量以改善健康和睡眠，個人數(shù)據(jù)的自由流動和個人數(shù)據(jù)的保護(hù)之間，常常是顧此失彼。而從數(shù)字貿(mào)易的角度來看，當(dāng)一個國家的個人數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)高于另一個國家時，數(shù)據(jù)的自由流動受到?jīng)_擊，從其他國家進(jìn)口服務(wù)和產(chǎn)品都會變得困難，進(jìn)而有形成非關(guān)稅壁壘的可能。在個人數(shù)據(jù)保護(hù)加強(qiáng)的背景下，數(shù)據(jù)控制者和處理者不得不放棄一些借助處理個人數(shù)據(jù)賺取利益的商機(jī)，從而損失了部分經(jīng)濟(jì)利益。同時，GDPR對數(shù)據(jù)控制者和處理者又附加了更多的義務(wù)，提高了它們處理個人數(shù)據(jù)的成本。盡管“一站式”服務(wù)機(jī)制為數(shù)據(jù)控制者和處理者節(jié)省了部分成本，但是這部分利益能否抵消履行相關(guān)義務(wù)帶來的成本負(fù)擔(dān)，對此似乎并沒有積極的看法。

然而由于跨境數(shù)據(jù)的雙重屬性，對跨境數(shù)據(jù)流動進(jìn)行立法監(jiān)管造成巨大的困擾。個人信息的人格權(quán)屬性和社會價值，決定了跨境數(shù)據(jù)流動必須充分認(rèn)識到個人隱私及個人自由的重要性，即使個人信息離開了數(shù)據(jù)主體國家主權(quán)的保護(hù)范圍，也應(yīng)存在適當(dāng)?shù)膰H法為其權(quán)利提供保護(hù)和救濟(jì)；而個人信息的財產(chǎn)屬性和經(jīng)濟(jì)價值，決定了跨境數(shù)據(jù)流動制度應(yīng)盡可能減少和去除阻礙信息自由流動的因素，避免國家以保護(hù)人權(quán)為借口限制自由貿(mào)易的發(fā)展。因此，跨境數(shù)據(jù)流動平衡的這一對價值矛盾，貫穿了制度發(fā)展的始終。在當(dāng)今國際貿(mào)易的進(jìn)程中，這一問題是任何國家都不可避免的。為了解決這一問題，歐盟諸國率先建立了跨境數(shù)據(jù)管理的模式，包括：合同法模式和企業(yè)法模式。為了實現(xiàn)與歐盟數(shù)據(jù)保護(hù)的對接，美歐新達(dá)成了“歐盟－美國隱私盾協(xié)議”，為跨境數(shù)據(jù)流通提供了操作性更強(qiáng)的方式。

三、藕斷絲連：歐盟與美國法律框架的亮點與不足

互聯(lián)網(wǎng)經(jīng)濟(jì)成為全球經(jīng)濟(jì)的“火車頭”，因此對待跨境數(shù)據(jù)的流通必須保持開放的態(tài)度，不能因為安全性的擔(dān)憂而因噎廢食，而要不斷創(chuàng)新管理手段和方法，在強(qiáng)化風(fēng)險管理的基礎(chǔ)上，以第三國充分保護(hù)為原則，開放部分跨境數(shù)據(jù)的流通。1980年9月23日，經(jīng)濟(jì)合作與發(fā)展組織理事會正式通過了《關(guān)于保護(hù)隱私與個人數(shù)據(jù)跨境流動的指南》，該指南是以促進(jìn)個人跨境數(shù)據(jù)流動為導(dǎo)向的首個國際法律文本。OECD《隱私指南》旗幟鮮明地指出：“成員國在本國立法時應(yīng)考慮指南規(guī)定的保護(hù)隱私與個人自由的基本原則，同時成員國應(yīng)努力消除、避免產(chǎn)生以隱私保護(hù)為名的不公正的阻礙個人數(shù)據(jù)跨境流動的障礙?！薄峨[私指南》所確立的基本原則為隨后的美國、歐盟等國家和組織建立跨境數(shù)據(jù)流動管理制度提供了不可多得的參照。

（一）歐盟內(nèi)部：《一般數(shù)據(jù)保護(hù)條例》

2016年歐盟通過了《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡稱GDPR）。條例最大的特色莫過于突破了傳統(tǒng)數(shù)據(jù)保護(hù)規(guī)則的適用范圍，未來新的數(shù)據(jù)保護(hù)立法將不僅針對歐盟內(nèi)部的法人，而且對任何處理歐洲公民數(shù)據(jù)的外國法人都適用。這樣一來，與歐盟進(jìn)行業(yè)務(wù)往來的外國公司，比如想要走出國門的中國企業(yè)，都會受到它的約束。然而對來自歐盟內(nèi)部的企業(yè)而言，貿(mào)易成本將會大大降低，因為條例不僅為歐盟內(nèi)部數(shù)據(jù)流通提供了具體明確的指引，減少了不必要的行政程序，同時還強(qiáng)化了歐盟第三根支柱對數(shù)據(jù)安全的保護(hù)作用。

具體而言，第一，該《條例》第6條明確列舉了合法使用個人數(shù)據(jù)的行為類型，并強(qiáng)調(diào)一個前提，即要獲得數(shù)據(jù)主體的明確同意。在該規(guī)則下，數(shù)據(jù)主體必須首先對那些合法情形進(jìn)行明確的選擇，以便許可數(shù)據(jù)處理者獲得其個人信息，并為未來的數(shù)據(jù)處理行為提供合法保障。該條還列舉了一些特定情形，即便事先沒有獲得數(shù)據(jù)主體的明確同意，數(shù)據(jù)處理者仍然有權(quán)對數(shù)據(jù)進(jìn)行處理。如果“處理數(shù)據(jù)是履行以數(shù)據(jù)主體為一方的合同的必需”，此時，即便沒有數(shù)據(jù)主體的明確同意，該處理行為也是合法的。然而即使在這些特殊情形下，數(shù)據(jù)主體雖然沒有明確同意處理其個人數(shù)據(jù)，但在其個人數(shù)據(jù)被收集后，其必須獲得明確的通知。

第二，《條例》明確了“刪除權(quán)”（或者“被遺忘權(quán)”）。數(shù)據(jù)主體保留有終止任何處理其個人數(shù)據(jù)行為的特權(quán)，有權(quán)請求相關(guān)主體從存儲其個人數(shù)據(jù)的數(shù)據(jù)庫中刪除其個人數(shù)據(jù)。數(shù)據(jù)主體可以在任何時間行使“刪除權(quán)”，但要依據(jù)條例中限制數(shù)據(jù)收集和數(shù)據(jù)處理行為的明確規(guī)定。而數(shù)據(jù)使用者除非能夠證明存在數(shù)據(jù)處理的強(qiáng)制性法律根據(jù)，否則其必須按照數(shù)據(jù)主體的請求刪除該數(shù)據(jù)。這就意味著，《條例》賦予了數(shù)據(jù)主體對其個人數(shù)據(jù)終局性所有權(quán)，使其始終保有要求數(shù)據(jù)使用者刪除其個人數(shù)據(jù)的請求權(quán)，且該權(quán)利不會因訂立契約而消失。

第三，依據(jù)條例形成的新立法將被稱作“規(guī)則”，它與歐盟現(xiàn)行的數(shù)據(jù)保護(hù)指令不同。后者的實施還需要成員國進(jìn)一步立法，而“規(guī)則”將直接作為法律對歐盟所有成員國產(chǎn)生約束力，并且能夠在任何成員國的國內(nèi)法院中直接適用。由于“規(guī)則”的強(qiáng)制執(zhí)行力，后者一旦生效就將對所有成員國形成直接約束力，這對數(shù)據(jù)主體權(quán)利的保護(hù)將更加直接有效。歐盟個人數(shù)據(jù)保護(hù)立法大部分以指令形式出臺，這體現(xiàn)出歐盟在解決個人數(shù)據(jù)保護(hù)問題上的苦心孤詣。具體而言，根據(jù)《歐洲共同體條約》第189條的規(guī)定，指令本身對歐盟所有成員國均具有約束力，但其允許成員國國內(nèi)法自由選擇具體的實施方法和途徑。

（三）美歐之間：從安全港模式到隱私盾協(xié)議

具有鮮明英美法系傳統(tǒng)的美國法律制度一向以保障民眾自由為核心要義，并且美國國際貿(mào)易頻繁，實力雄厚的跨國公司眾多，信息技術(shù)水平獨占鰲頭。積極倡導(dǎo)電子商務(wù)的自由發(fā)展，謹(jǐn)慎立法，對個人信息保護(hù)采取比較弱化的政策更符合美國利益。美國形成了公私分立，以行業(yè)性聯(lián)邦立法為主，以憲法、普通法和各州立法為輔的立法體系，并建立了以個人救濟(jì)為中心、以市場調(diào)節(jié)為主導(dǎo)的個人信息保護(hù)機(jī)制[9]。為了協(xié)調(diào)跨境數(shù)據(jù)流通中歐盟立法保護(hù)與美國自律保護(hù)的沖突，美國和歐盟簽訂了歐美安全港協(xié)定。①美國《兒童在線隱私保護(hù)法》（Children＇s Online Privacy Protection Act，COPPA）是“安全港”概念的創(chuàng)建者；之所以稱之為“安全港”是因為只要企業(yè)遵守了具有法律效用的行業(yè)規(guī)范，其行為就受到該規(guī)范的保護(hù)。具體表現(xiàn)形式為美國商務(wù)部建立的一個類似于“正面清單”的公共目錄，在聯(lián)邦交易委員會和美國交通運輸部管轄下的任何組織，只要自愿遵守安全港原則就可以加入這個公共目錄，成為安全港的一員。[10]

然而，2015年10月，存在了15年之久的歐盟和美國的數(shù)據(jù)“安全港”協(xié)議被歐盟高等法院宣判無效。這一方面預(yù)示了美國在數(shù)據(jù)跨境流動管理的制度方面與歐盟對接失敗，另一方面也表明了隨著政治經(jīng)濟(jì)社會環(huán)境的變化，數(shù)據(jù)跨境流動管理的法律制度也需要不斷進(jìn)行調(diào)整，以規(guī)避互聯(lián)網(wǎng)時代下人人成為網(wǎng)絡(luò)“透明人”的風(fēng)險。該協(xié)議的失效給眾多企業(yè)帶來了巨大的風(fēng)險隱患，為此歐盟與美國火速展開談判，在2016年2月宣布重新達(dá)成了一個新協(xié)定，名曰“歐盟—美國隱私護(hù)盾”（EU－SU Privacy Shield），要求美國公司選擇與美國商務(wù)部達(dá)成一個包含示范條款的合同協(xié)議[11]該協(xié)議是歐盟和美國官方的行政分支條約，在美國主要被應(yīng)用于那些從歐盟獲得個人數(shù)據(jù)并希望獲得隱私盾權(quán)益的美國公司，其框架原則并不影響歐盟成員內(nèi)部的數(shù)據(jù)處理或者改變美國法律下的隱私義務(wù)。[12]該協(xié)議的核心是規(guī)范大西洋兩岸跨境轉(zhuǎn)移個人數(shù)據(jù)的美國公司關(guān)于隱私保護(hù)的內(nèi)容，或者采用包含隱私盾原則的公司規(guī)則，或者選擇與單獨的歐洲公民達(dá)成明晰的知情同意書。

四、閉關(guān)鎖國：俄羅斯跨境流動數(shù)據(jù)的嚴(yán)格監(jiān)管制度

俄羅斯2006年就建立起較為完善的信息保護(hù)和數(shù)據(jù)管理等法律制度，等法律制度，如《關(guān)于信息、信息技術(shù)和信息保護(hù)法》《俄羅斯聯(lián)邦個人數(shù)據(jù)法》《俄羅斯聯(lián)邦大眾傳媒法》《俄羅斯聯(lián)邦安全局法》等。2013年的“棱鏡門事件”之后，基于維護(hù)國家安全的歷史傳統(tǒng)和現(xiàn)實中的網(wǎng)絡(luò)數(shù)據(jù)安全威脅，俄羅斯通過兩次修改立法，明確提出公民數(shù)據(jù)的存儲和處理必須在俄羅斯境內(nèi)進(jìn)行，成為強(qiáng)行實施數(shù)據(jù)本地化存儲的典型代表。此類國家還有巴西、印度、馬來西亞。[13]

2014年5月，俄羅斯修改了《關(guān)于信息、信息技術(shù)和信息保護(hù)法》，在“互聯(lián)網(wǎng)信息傳播組織者的義務(wù)”中增加了境內(nèi)留存的要求。該法規(guī)定：自網(wǎng)民接收、傳遞、發(fā)送和（或）處理語音信息、書面文字、圖像、聲音或者其他電子信息6個月內(nèi)，互聯(lián)網(wǎng)信息傳播組織者必須在俄羅斯境內(nèi)對上述信息及網(wǎng)民個人信息進(jìn)行保存。該修正案還要求互聯(lián)網(wǎng)信息傳播組織者有義務(wù)保留和（或）提供給國家偵查機(jī)關(guān)和安全機(jī)關(guān)上述信息，不履行者將進(jìn)行行政罰款。2014年7月，在《關(guān)于信息、信息技術(shù)和信息保護(hù)法》第16條第4款中增加一項，要求信息擁有者、信息系統(tǒng)運營方有義務(wù)對收集、整理、保存、更新、變動、使用俄羅斯聯(lián)邦公民個人信息的數(shù)據(jù)庫存放在俄羅斯境內(nèi)。在《俄羅斯聯(lián)邦個人數(shù)據(jù)法》第18條增加第5款，要求收集個人數(shù)據(jù)（包括使用互聯(lián)網(wǎng)手段）時，運營商需要保證使用位于俄羅斯境內(nèi)的數(shù)據(jù)庫。

通過兩次修法，俄羅斯以立法確立了數(shù)據(jù)本地存儲的基本規(guī)則，主要包括三點：（1）公民個人信息及相關(guān)信息和數(shù)據(jù)庫的存儲行為需保證在俄羅斯境內(nèi)；（2）處理活動也需要在俄境內(nèi)進(jìn)行，即對俄羅斯公民的個人數(shù)據(jù)的處理活動需要使用俄羅斯境內(nèi)的數(shù)據(jù)庫；（3）使用人有將相關(guān)信息告知有關(guān)部門并協(xié)助有關(guān)部門執(zhí)法的義務(wù)。俄羅斯的立法規(guī)定十分嚴(yán)格，通過對企業(yè)施加法定的義務(wù)實現(xiàn)了政府對數(shù)據(jù)存儲、跨境傳輸、處理等環(huán)節(jié)的全面控制，從而掌握了本國數(shù)據(jù)跨境流動的主動權(quán)。[14]但是，這種近乎閉關(guān)自守的數(shù)據(jù)流動管理方式使得大量外國互聯(lián)網(wǎng)公司的正常運營收到嚴(yán)重影響，一些公司甚至完全退出了俄羅斯市場，這使得俄羅斯本土互聯(lián)網(wǎng)公司失去了與國際一流互聯(lián)網(wǎng)公司交流學(xué)習(xí)的機(jī)會，進(jìn)而也在很大程度上失去了進(jìn)一步獲得優(yōu)質(zhì)數(shù)據(jù)的可能。俄羅斯的數(shù)據(jù)監(jiān)管模式究竟是利大于弊還是弊大于利，還有待長時間的觀察后加以確定。但是據(jù)相關(guān)研究，美國貿(mào)易委員會和歐洲國際政治經(jīng)濟(jì)研究中心均有報告，數(shù)據(jù)儲存本地化要求、市場準(zhǔn)入限制、數(shù)據(jù)隱私和保護(hù)等因素阻礙了本國數(shù)字貿(mào)易的發(fā)展，限制數(shù)據(jù)自由流動將對GDP增長率產(chǎn)生負(fù)面影響。[15]

五、張弛有度：應(yīng)對跨境數(shù)據(jù)流動監(jiān)管挑戰(zhàn)的中國智慧

我國個人數(shù)據(jù)保護(hù)起步較晚，相關(guān)立法和機(jī)構(gòu)設(shè)置還有待進(jìn)一步填補(bǔ)和完善。具體而言，在立法上，我國目前還沒有制定出專門的個人數(shù)據(jù)保護(hù)法，與個人數(shù)據(jù)保護(hù)直接或間接相關(guān)的法律法規(guī)數(shù)量也比較有限。從既有的相關(guān)立法來看，與個人數(shù)據(jù)保護(hù)直接相關(guān)的法律法規(guī)有《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《互聯(lián)網(wǎng)信息服務(wù)管理辦法》等專項法規(guī)以及《刑法》《侵權(quán)責(zé)任法》等立法當(dāng)中針對個人信息保護(hù)的一般性規(guī)定。我國個人數(shù)據(jù)保護(hù)機(jī)制建設(shè)較滯后于社會發(fā)展實踐，如何提高我國個人數(shù)據(jù)保護(hù)相關(guān)立法的及時性、專門性、全面性和有效性。與個人數(shù)據(jù)保護(hù)立法相對應(yīng)，我國在配套機(jī)構(gòu)設(shè)置方面也顯得匱乏和不足?？傮w而言，我國目前個人數(shù)據(jù)保護(hù)制度不足主要體現(xiàn)在以下幾個方面：缺乏統(tǒng)一完善的立法體系和權(quán)責(zé)分明的配套機(jī)構(gòu)；現(xiàn)有個人數(shù)據(jù)保護(hù)相關(guān)立法調(diào)整范圍有限；數(shù)據(jù)主體、數(shù)據(jù)控制者和數(shù)據(jù)處理者的權(quán)利與義務(wù)沒有明確的法律依據(jù)；相關(guān)政策透明度不高、法律法規(guī)不明確等。[16]

正是由于有上述不足的存在，許多從事國際貿(mào)易的中國企業(yè)在“走出去”時常常會面臨來自東道國的種種限制和阻礙。作為我國的頂層設(shè)計戰(zhàn)略，“一帶一路”必將充分依靠中國與有關(guān)國家既有的雙邊、多邊機(jī)制，借助既有的、行之有效的區(qū)域合作平臺實現(xiàn)共同繁榮?？梢源_定，如何對既有的跨境數(shù)據(jù)流動國際法框架進(jìn)行重構(gòu)，并在此框架下最大程度地發(fā)揮我國互聯(lián)網(wǎng)企業(yè)的優(yōu)勢，搶占跨境數(shù)據(jù)流動的制高點，對我國互聯(lián)網(wǎng)經(jīng)濟(jì)乃至整個“走出去”戰(zhàn)略都有著舉足輕重的意義。參與建立新的國際規(guī)則的前提是本國規(guī)則的先進(jìn)和完善，如何完善我國個人數(shù)據(jù)保護(hù)機(jī)制，提升我國數(shù)據(jù)保護(hù)水平，不僅必要而且緊迫。

（一）完善國內(nèi)數(shù)據(jù)保護(hù)的實體法律規(guī)定

世界上已經(jīng)有70多個國家和組織制定了數(shù)據(jù)保護(hù)相關(guān)立法。歐盟將數(shù)據(jù)保護(hù)看作是一項基本人權(quán)，是隱私保護(hù)的重要內(nèi)容，先后制定了《關(guān)于個人數(shù)據(jù)自動化處理之個人保護(hù)公約》《歐盟數(shù)據(jù)保護(hù)指令》和《一般數(shù)據(jù)保護(hù)條例》等；美國通過了《隱私權(quán)法》《信息保護(hù)和安全法》等法律；俄羅斯制定了《關(guān)于信息、信息技術(shù)和信息保護(hù)法》《俄羅斯聯(lián)邦個人數(shù)據(jù)法》等法律。因此我國應(yīng)該積極借鑒歐美發(fā)達(dá)國家和組織的經(jīng)驗，積極制定自己的數(shù)據(jù)保護(hù)法，在促進(jìn)我國國際貿(mào)易發(fā)展的同時，努力維護(hù)國民的隱私權(quán)利和國家的主權(quán)安全。

在立法上，抓緊制定專門的《中華人民共和國數(shù)據(jù)保護(hù)法》，明確個人數(shù)據(jù)保護(hù)權(quán)的內(nèi)涵以及相關(guān)主體的權(quán)利與義務(wù)，并將這些內(nèi)容妥善融入到相關(guān)立法中去，使我國立法在權(quán)衡人權(quán)保障和數(shù)據(jù)流通之間的價值不偏不倚。此外，修改或者完善其他部門法中有關(guān)個人數(shù)據(jù)保護(hù)規(guī)定，使新的專門法與原有部門法在個人數(shù)據(jù)保護(hù)規(guī)定方面能夠相互配合與協(xié)調(diào)，譬如使特殊規(guī)則與一般規(guī)則、行業(yè)規(guī)范能夠并行不悖且有效銜接，并最終建構(gòu)起適合我國國情的個人數(shù)據(jù)保護(hù)綜合模式。[17]其次，在機(jī)構(gòu)設(shè)置上，建立起權(quán)責(zé)分明、分工明確且各層級有效統(tǒng)籌銜接的機(jī)構(gòu)組織體系。按照從中央到地方的層級對個人數(shù)據(jù)保護(hù)機(jī)構(gòu)進(jìn)行布局，充分尊重我國不同地區(qū)實際發(fā)展情況。其中，中央一級是領(lǐng)導(dǎo)核心，地方一級則按照中央統(tǒng)一規(guī)劃部署和地區(qū)發(fā)展需求享有相應(yīng)政策制定權(quán)和監(jiān)督管轄權(quán)。最后，還要加強(qiáng)司法和執(zhí)法效力，以確保個人數(shù)據(jù)保護(hù)立法和機(jī)構(gòu)配置都能發(fā)揮最佳效用。其中應(yīng)特別關(guān)注歐盟個人數(shù)據(jù)保護(hù)專員（EDPS）和歐盟個人數(shù)據(jù)保護(hù)官（DPO）制度，探討移植借鑒的可能性。

（二）尋求隱私分類保護(hù)和促進(jìn)互聯(lián)網(wǎng)經(jīng)濟(jì)的動態(tài)平衡

跨境數(shù)據(jù)流動的保護(hù)手段、保護(hù)傾向、保護(hù)水平，在技術(shù)快速革新的今天缺乏一個國際標(biāo)準(zhǔn)；而這都需要各個國家在人數(shù)據(jù)的保護(hù)水平和跨境數(shù)據(jù)流通的效率上達(dá)成共識。只有這樣，才能更好應(yīng)對不同國家或者區(qū)域間因政治、經(jīng)濟(jì)、文化傳統(tǒng)、宗教信仰而導(dǎo)致的混亂與沖突，以及大數(shù)據(jù)時代賦予“數(shù)據(jù)”的新內(nèi)涵，才能更好應(yīng)對國際上不同管理模式以及數(shù)字經(jīng)濟(jì)快速發(fā)展帶來的新變化。

在數(shù)據(jù)時代，數(shù)據(jù)成為最有價值的資產(chǎn)?？缇硵?shù)據(jù)數(shù)量大，種類多，并且各國法律制度、經(jīng)濟(jì)制度、政治制度和社會習(xí)慣存在著巨大的差異，因此針對跨境數(shù)據(jù)的管理也是困難重重。單一的、被動的管理方式已經(jīng)難以適應(yīng)當(dāng)下跨境數(shù)據(jù)發(fā)展的大趨勢，建立多元化的數(shù)據(jù)管理手段已經(jīng)是迫在眉睫的事情。本文認(rèn)為建立分類的跨境數(shù)據(jù)管理手段無疑是當(dāng)務(wù)之急，其中尤以將隱私保護(hù)信息例外信息進(jìn)行明文規(guī)定最為緊要。盡管應(yīng)當(dāng)排除在隱私保護(hù)信息范圍之外的數(shù)據(jù)類型存在爭議，但是以下兩類數(shù)據(jù)的例外規(guī)定基本已經(jīng)形成一致意見。一如政府?dāng)?shù)據(jù)。信息技術(shù)的發(fā)展與透明度要求的提高使得信息管理行為與電子政務(wù)建設(shè)被加入政府的基本社會治理范疇當(dāng)中，政府能夠使用公民信息。開放政府?dāng)?shù)據(jù)蘊(yùn)含著巨大的經(jīng)濟(jì)社會發(fā)展?jié)摿Γ仁歉鲊鴦?chuàng)建創(chuàng)新型政府的重要驅(qū)動力，也是加強(qiáng)公共信息資源管理的重要內(nèi)容。二如金融數(shù)據(jù)。金融數(shù)據(jù)不公開造成了數(shù)據(jù)孤島，大大減少了數(shù)據(jù)的價值，降低了整個社會金融運行的效率并提高了社會成本，同時也助長了因為封閉帶來的金融壟斷，不利于社會經(jīng)濟(jì)的良性發(fā)展。數(shù)據(jù)的價值在于關(guān)聯(lián)，但是金融行業(yè)的數(shù)據(jù)大部分是割裂和分散的。只有充分實現(xiàn)金融數(shù)據(jù)的共享和流動，才能真正實現(xiàn)資源的充分配置。

（三）在第三國充分保護(hù)原則基礎(chǔ)上放開部分跨境數(shù)據(jù)流動

關(guān)于跨境數(shù)據(jù)流通的管理最高效的方式就是全面落實第三國提供充分保護(hù)原則，把包括第三國提供充分保護(hù)、數(shù)據(jù)控制者及數(shù)據(jù)處理者采取適當(dāng)保護(hù)措施并列為跨境數(shù)據(jù)流通的條件，實現(xiàn)在強(qiáng)化風(fēng)險管理基礎(chǔ)上放開部分跨境數(shù)據(jù)流動。

全面落實第三國提供充分保護(hù)原則要求，數(shù)據(jù)管理部門認(rèn)定數(shù)據(jù)控制者、數(shù)據(jù)處理者能提供適當(dāng)數(shù)據(jù)保護(hù)措施即可向第三國傳輸個人數(shù)據(jù)，無需再經(jīng)其他部門乃至相關(guān)國家的批準(zhǔn)。這里的保護(hù)措施可以參照歐盟的《個數(shù)數(shù)據(jù)保護(hù)指令的》[18]的相關(guān)規(guī)定。數(shù)據(jù)控制者、數(shù)據(jù)處理者采取兩國簽署的標(biāo)準(zhǔn)合同條款和兩國數(shù)據(jù)保護(hù)機(jī)構(gòu)制定的標(biāo)準(zhǔn)合同條款的數(shù)據(jù)保護(hù)措施的情形下，跨境數(shù)據(jù)傳輸無需經(jīng)過其他數(shù)據(jù)保護(hù)機(jī)構(gòu)的批準(zhǔn)。數(shù)據(jù)控制者、數(shù)據(jù)處理者采取具有約束力的公司規(guī)章和兩國數(shù)據(jù)保護(hù)機(jī)構(gòu)特別批準(zhǔn)的合同條款等保護(hù)措施的情況下，需由兩國數(shù)據(jù)保護(hù)機(jī)構(gòu)批準(zhǔn)，不過這種批準(zhǔn)的統(tǒng)一程序以確保兩國簽署的數(shù)據(jù)保護(hù)的合同的統(tǒng)一執(zhí)行。這樣一來，才能在維護(hù)了數(shù)據(jù)保護(hù)法統(tǒng)一性的同時，形成了利于跨境數(shù)據(jù)流通的機(jī)制體系。

針對除上述兩種情形外可對第三國進(jìn)行數(shù)據(jù)傳輸?shù)睦馇樾危覈鴳?yīng)當(dāng)學(xué)習(xí)英國數(shù)據(jù)保護(hù)法中的“國際數(shù)據(jù)流通的自我評價機(jī)制”。即數(shù)據(jù)控制者、數(shù)據(jù)處理者可不經(jīng)數(shù)據(jù)保護(hù)機(jī)構(gòu)事前批準(zhǔn)，為自身合法利益需要而向第三國傳輸個人數(shù)據(jù)（但經(jīng)常性、大規(guī)模的數(shù)據(jù)傳輸除外），不過必須在傳輸前對數(shù)據(jù)傳輸進(jìn)行評估并在此基礎(chǔ)上采取必要保護(hù)措施。這種無嚴(yán)密保護(hù)措施且不經(jīng)批準(zhǔn)可進(jìn)行跨境數(shù)據(jù)流通的機(jī)制是在適應(yīng)瞬息萬變的國際貿(mào)易環(huán)境和難以預(yù)知的世界政治環(huán)境的靈活舉措；但這種舉措給跨境數(shù)據(jù)流動帶來了隱私外泄、危機(jī)國家安全的風(fēng)險，因此這種舉措的實施必須是十分有限的。

結(jié)語

由APEC制定的、亞太地區(qū)經(jīng)濟(jì)一體化的基礎(chǔ)性規(guī)則、亞太地區(qū)唯一的專門規(guī)范跨境數(shù)據(jù)傳輸?shù)膮^(qū)域性規(guī)則——《跨境隱私規(guī)則體系》，截止2015年8月底成員只有美國、墨西哥和日本，加拿大和越南正在申請加入，中國并不在該體系內(nèi)。且在2015年，歐盟和APEC雙方就各自的規(guī)則進(jìn)行了融合探討，為未來建立適用于雙方的統(tǒng)一規(guī)則打好了基礎(chǔ)。作為亞太經(jīng)濟(jì)合作組織中重要的一員，我國應(yīng)發(fā)揮主導(dǎo)地位，主動接受《跨境隱私規(guī)則體系》，實現(xiàn)國內(nèi)法律制度與其對接，才能確保信息和數(shù)據(jù)安全自由流動，促進(jìn)貿(mào)易尤其是服務(wù)貿(mào)易開放。

總體而言，在數(shù)據(jù)的跨境流通領(lǐng)域，未來的方向應(yīng)該朝著在維護(hù)數(shù)據(jù)保護(hù)法規(guī)的統(tǒng)一的同時，適當(dāng)降低標(biāo)準(zhǔn)、明確并簡化程序的方向努力。這樣的改革方向?qū)⑸钍芸鐕練g迎的，并大大促進(jìn)跨境數(shù)據(jù)流通，為世界國際貿(mào)易的發(fā)展提供新的助力。建立統(tǒng)一的協(xié)調(diào)機(jī)制以管理數(shù)據(jù)的跨境流動是各個區(qū)域或國家未來經(jīng)濟(jì)合作的基礎(chǔ)，我國必須主動融入這些規(guī)則體系中，才能在經(jīng)濟(jì)全球化、自由化中扮演更為關(guān)鍵的角色。

[1]樊重俊．?dāng)?shù)據(jù)庫基礎(chǔ)及應(yīng)用[M]．立信會計出版社，2015．277．

[2]GILBERT，F(xiàn)RANCOISE．European Data Protection 2．0：New Compliance Requirements in Sight－What the Proposed EU Data Protection Regulation Means for U．S．Companies[J]．Santa Clara Computer ＆ High Technology Law Journal，Vol．28，Issue 4（2011-2012），pp．815-864．

[3]賈開．跨境數(shù)據(jù)流動的全球治理：權(quán)力沖突與政策合作——以歐美數(shù)據(jù)跨境流動監(jiān)管制度的演進(jìn)為例[J]．汕頭大學(xué)學(xué)報（人文社會科學(xué)版），2017（3）：61．

[4]HERT，P．J．A．De，and V．Papakonstantinou．Three scenarios for international governance of data privacy：Towards an international data privacy organization，preferably a UN agency[J]．Journal of Law ＆ Policy，September，2013，pp．271-324．

[5]NEIL ROBINSON，HANS GRAUX．Review of the European Data Protection Directive[M]．Rand Corporation，2009，33（9）：2528．

[6]JOHANNA G Tan．A Comparative Study of the APEC Privacy Framework－A New Voice in the Data Protection Dialogue[J]．Asian Journal of Comparative Law，2008，3（1）．

[7]REIDENBERG，J．R．．Resolving Conflicting International Data PrivacyRules in Cyberspace[J]．Stanford Law Review，2000，52（5）：1315-1371．

[8]NIGEL WATERS．The APEC Asia－Pacific Privacy Initiative：A New Route to Effective Data Protection or a Trojan Horse for Self－Regulation[EB／OL]．http：／／www2．law．ed．a(chǎn)c．uk／ahrc／script-ed／vol6-1／waters．pdf．

[9]齊愛民．拯救信息社會中的人格——個人信息保護(hù)法總論[M]．北京大學(xué)出版社，2009．184．

[10]耿晨．個人數(shù)據(jù)跨境流動的國際監(jiān)管與合作制度研究[D]．華東政法大學(xué)2014年碩士論文：44－45．

[11]THE U．S．Department of Commerce，EU－SU Privacy Shield[EB／OL]．https：／／www．privacyshield．gov／EU-US-Framework．

[12]曹杰，王晶．跨境數(shù)據(jù)流動規(guī)則分析[J]．國際經(jīng)貿(mào)探索，2017（4）：108－109．

[13]石月．?dāng)?shù)字經(jīng)濟(jì)環(huán)境下的跨境數(shù)據(jù)流動管理[J]．信息安全與通信保密，2015（10）：102．

[14]何波．俄羅斯跨境數(shù)據(jù)流動立法規(guī)則與執(zhí)法實踐[J]．大數(shù)據(jù)，2016（6）：131．

[15]付偉，于長鉞．美歐跨境數(shù)據(jù)流動管理機(jī)制研究及我國的對策建議[J]．中國信息化，2017（6）：55－56．

[16]黃道麗，張敏．大數(shù)據(jù)背景下我國個人數(shù)據(jù)法律保護(hù)模式分析[EB／OL]．人民網(wǎng)，2015－7－10．http：／／theory．people．com．cn／n／2015／0710／c387081－27283556．html．

[17]劉碧琦．美歐《隱私盾協(xié)議》評析[J]．國際法研究，2016（6）：44－45．

[18]European Union．Directive 95／46／EC of the European Parliament and of the Council on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data[EB／OL]．http：／／www．refworld．org／docid／3ddcc1c74．html．