個(gè)人數(shù)據(jù)跨境流動(dòng)規(guī)制的國(guó)際格局及中國(guó)應(yīng)對(duì)

許多奇

(上海交通大學(xué) 凱原法學(xué)院，上海 200030)

伴隨著互聯(lián)網(wǎng)及經(jīng)濟(jì)全球化進(jìn)程的不斷縱深發(fā)展，數(shù)據(jù)在社會(huì)中扮演的角色日益重要，始于20 世紀(jì)60-70年代的數(shù)據(jù)跨境流動(dòng)(“Transborder Data Flow”，“TDR”或“Cross-border Data Flow”)，今天已成為全球貿(mào)易和投資增長(zhǎng)的主要途徑。歐盟和美國(guó)出于各自的歷史傳統(tǒng)和現(xiàn)實(shí)訴求，創(chuàng)建了個(gè)人數(shù)據(jù)跨境流動(dòng)規(guī)制的兩大立法范式。此兩大范式之間既相互競(jìng)爭(zhēng)，又相互妥協(xié)和融合。構(gòu)成了國(guó)際個(gè)人數(shù)據(jù)跨境流動(dòng)規(guī)制的基本格局。深入探討歐盟和美國(guó)立法的內(nèi)容和成因，剖析其所體現(xiàn)的深層次國(guó)家需求和利益博弈，對(duì)于完善我國(guó)的數(shù)據(jù)跨境流動(dòng)規(guī)制立法和參與國(guó)際規(guī)則的制定，都具有重要意義。

一、歐美數(shù)據(jù)跨境流動(dòng)的規(guī)制體系

(一)歐盟：嚴(yán)格限制個(gè)人數(shù)據(jù)跨境流動(dòng)的規(guī)制體系

歐盟關(guān)于個(gè)人數(shù)據(jù)跨境流動(dòng)規(guī)制的立法體系主要是由1981年歐洲理事會(huì)*歐洲理事會(huì)是歐盟建立之前歐洲大陸的小聯(lián)合國(guó)，成立于1949年，由比利時(shí)、丹麥、法國(guó)、德國(guó)、拉脫維亞、西班牙、瑞典等47個(gè)成員國(guó)組成。的《公約》、1995年的《歐盟指令》和2016年的歐盟《條例》三個(gè)標(biāo)志性法律文件構(gòu)成的。

1981年歐洲理事會(huì)通過(guò)的《與個(gè)人數(shù)據(jù)自動(dòng)化處理有關(guān)的個(gè)人保護(hù)公約》 (European Treaty Series, No. 108)*Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, Strasbourg, 28.I.1981.，是歐洲第一個(gè)針對(duì)跨境數(shù)據(jù)流動(dòng)進(jìn)行規(guī)制的區(qū)域性法律文件?！豆s》還僅僅涉及歐洲成員國(guó)之間的數(shù)據(jù)流動(dòng)，它規(guī)定：對(duì)正在或?qū)⒁蛔詣?dòng)化處理的跨境數(shù)據(jù)轉(zhuǎn)移原則上是可以進(jìn)行限制的，成員國(guó)可以自行制定有關(guān)跨境數(shù)據(jù)傳輸?shù)南拗菩砸?guī)定，如轉(zhuǎn)移數(shù)據(jù)的類型等。但公約不允許成員國(guó)僅僅基于隱私權(quán)保護(hù)的考慮，就禁止或以特別許可授權(quán)的方式限制數(shù)據(jù)的跨境轉(zhuǎn)移(第12條)。可見在這一時(shí)期，通過(guò)立法克服各國(guó)國(guó)內(nèi)法造成的數(shù)據(jù)流動(dòng)障礙，積極推動(dòng)成員國(guó)之間的數(shù)據(jù)跨境共享，以實(shí)現(xiàn)歐洲內(nèi)部市場(chǎng)人員、貨物、勞務(wù)、貨幣自由流通的目標(biāo)，是歐洲理事會(huì)進(jìn)行跨境數(shù)據(jù)流動(dòng)規(guī)制立法的主要關(guān)注點(diǎn)。

鑒于數(shù)據(jù)跨境面臨的數(shù)據(jù)未經(jīng)授權(quán)的收集、訪問、使用、披露和篡改的潛在威脅，歐盟逐步開始考慮數(shù)據(jù)脫離歐盟管轄區(qū)的實(shí)際風(fēng)險(xiǎn)，數(shù)據(jù)跨境規(guī)制日漸嚴(yán)格化。歐盟1995年發(fā)布的《個(gè)人數(shù)據(jù)保護(hù)指令》(EU Directive 95/46/EC)*Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, Official Journal L 281 , 23/11/1995 P. 0031-0050.即建立了較高的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，其中提出了著名的“充分保護(hù)原則”?！吨噶睢返?5條規(guī)定：只有當(dāng)數(shù)據(jù)轉(zhuǎn)移目的國(guó)達(dá)到歐盟所認(rèn)可的充分保護(hù)水平的條件下，才可以進(jìn)行數(shù)據(jù)轉(zhuǎn)移，從而確立了歐盟個(gè)人在電子商務(wù)和借助大跨國(guó)公司經(jīng)營(yíng)的社交媒體和郵件通信時(shí)的隱私權(quán)保護(hù)規(guī)范。歐盟承認(rèn)的具有充分?jǐn)?shù)據(jù)保護(hù)能力的國(guó)家僅包括加拿大、瑞士、阿根廷等12 個(gè)。

為了回應(yīng)新興技術(shù)特別是大數(shù)據(jù)、云計(jì)算、智能終端等對(duì)個(gè)人數(shù)據(jù)保護(hù)造成的沖擊，建立統(tǒng)一的內(nèi)部法律框架應(yīng)對(duì)新技術(shù)的發(fā)展，并克服成員國(guó)立法保護(hù)水平差異給數(shù)據(jù)經(jīng)濟(jì)市場(chǎng)發(fā)展造成的障礙，歐洲議會(huì)和歐盟理事會(huì)于2016年4月14日通過(guò)了新的個(gè)人數(shù)據(jù)保護(hù)法，即《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation,以下簡(jiǎn)稱GDPR)。*REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016.該條例將于2018年5月25日正式生效。GDPR不僅在所有成員國(guó)范圍內(nèi)直接具有法律約束力，而且謀求更大的域外效力，明確規(guī)定條例對(duì)在歐盟境外處理個(gè)人數(shù)據(jù)的行為也具有適用效力，即向歐盟公民提供服務(wù)或在歐盟市場(chǎng)內(nèi)經(jīng)營(yíng)的公司，GDPR都有管轄權(quán)。在數(shù)據(jù)跨境問題上，GDPR增加了更多可實(shí)現(xiàn)個(gè)人數(shù)據(jù)跨境轉(zhuǎn)移的條件，并再次強(qiáng)調(diào)歐盟不允許將其公民的個(gè)人數(shù)據(jù)轉(zhuǎn)移至那些不能提供充分保護(hù)的地區(qū)和國(guó)家。GDPR被稱為史上最嚴(yán)格、保護(hù)水平最高的數(shù)據(jù)保護(hù)規(guī)則。

總之，上述“公約”、“指令”和“條例”三個(gè)法律文件的約束力逐漸增強(qiáng)，對(duì)個(gè)人數(shù)據(jù)跨境轉(zhuǎn)移的限制越來(lái)越嚴(yán)格，充分表明了歐盟希望通過(guò)立法的不斷完善保障歐洲共同體整體數(shù)據(jù)保護(hù)水平的訴求，也反映了歐盟希望通過(guò)構(gòu)建“數(shù)字單一市場(chǎng)”提升數(shù)字經(jīng)濟(jì)競(jìng)爭(zhēng)力的愿望。*黃寧、李楊：《“三難選擇”下跨境數(shù)據(jù)流動(dòng)規(guī)制的演進(jìn)與成因》，載《清華大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版)》2017年第5期。

(二)美國(guó)：通過(guò)雙邊或多邊協(xié)議強(qiáng)化數(shù)據(jù)跨境的規(guī)制體系

在“得數(shù)據(jù)者得天下”的新信息時(shí)代，對(duì)跨境數(shù)據(jù)的收集和分析是掌握國(guó)際經(jīng)濟(jì)動(dòng)向，促進(jìn)本國(guó)經(jīng)濟(jì)發(fā)展的重要方式。據(jù)美國(guó)國(guó)際貿(mào)易委員會(huì)(ITC) 估計(jì)，數(shù)據(jù)流動(dòng)使得美國(guó)的GDP增加了3.4-4.8個(gè)百分點(diǎn)，創(chuàng)造了240 萬(wàn)個(gè)就業(yè)*United States International Trade Commission (USITC), Digital Trade in the U.S. and Global Economies, Part 2, August 2014, p.1.。美國(guó)基于其信息產(chǎn)業(yè)的優(yōu)勢(shì)地位以及對(duì)數(shù)據(jù)自由流動(dòng)的依賴性，通過(guò)多種途徑促進(jìn)數(shù)據(jù)跨境，主要作法有以下兩種：

1.與歐盟簽訂雙邊協(xié)議，為企業(yè)獲得數(shù)據(jù)跨境傳輸資格。由于美國(guó)對(duì)于個(gè)人數(shù)據(jù)保護(hù)未能達(dá)到歐盟要求的“充分保護(hù)”水平，美國(guó)企業(yè)在歐盟開展業(yè)務(wù)，從事相關(guān)的跨境個(gè)人數(shù)據(jù)傳輸與交易活動(dòng)受到嚴(yán)重限制。美國(guó)需要找到本國(guó)企業(yè)可以符合歐盟數(shù)據(jù)保護(hù)指令簡(jiǎn)單又高效的辦法；歐盟也考慮到與美國(guó)之間經(jīng)濟(jì)聯(lián)系密切的現(xiàn)實(shí)，在商業(yè)利益驅(qū)動(dòng)下，經(jīng)過(guò)漫長(zhǎng)的談判，美國(guó)商務(wù)部與歐盟委員會(huì)于2000年11月1日達(dá)成了《美歐安全港協(xié)議》(U.S.-EU Safe Harbor Framework)?！栋踩蹍f(xié)議》規(guī)定了七項(xiàng)隱私權(quán)保護(hù)原則：通知原則*通知原則即應(yīng)當(dāng)告知個(gè)人，他們的數(shù)據(jù)正在被收集以及數(shù)據(jù)將如何使用。、選擇原則*選擇原則是指：如果公司計(jì)劃將個(gè)人數(shù)據(jù)傳輸給其他公司，或者不同于原收集數(shù)據(jù)目的而利用該數(shù)據(jù)時(shí)，消費(fèi)者有權(quán)選擇退出；對(duì)于敏感性數(shù)據(jù)，消費(fèi)者可以在數(shù)據(jù)傳輸前或?yàn)椴煌谠占康氖褂迷摂?shù)據(jù)前，以明示的方式選擇加入。、向前轉(zhuǎn)移原則*向前轉(zhuǎn)移原則是指，數(shù)據(jù)收集機(jī)構(gòu)僅能將數(shù)據(jù)轉(zhuǎn)移給遵守這些原則的第三方。、安全原則*安全原則是指，任何持有個(gè)人數(shù)據(jù)的組織應(yīng)當(dāng)以合理的注意防止數(shù)據(jù)流失、濫用及未經(jīng)授權(quán)的接入獲取等。、數(shù)據(jù)完全性原則*數(shù)據(jù)完全性原則是指，收集數(shù)據(jù)應(yīng)當(dāng)與使用目的相關(guān)，并且確保收集數(shù)據(jù)的正確性。任何機(jī)構(gòu)不得以不符合收集數(shù)據(jù)目的之方式進(jìn)行數(shù)據(jù)處理。、接入原則*接入原則是指，數(shù)據(jù)收集機(jī)構(gòu)應(yīng)當(dāng)允許個(gè)人能夠得到本人數(shù)據(jù)。如果數(shù)據(jù)有誤，個(gè)人可以修改或刪除數(shù)據(jù)。和執(zhí)行原則*執(zhí)行原則是指，應(yīng)當(dāng)存在確保上述“安全港原則”成為數(shù)據(jù)收集機(jī)構(gòu)所遵守的具體規(guī)則之主旨，例如個(gè)人向機(jī)構(gòu)追索救濟(jì)或法律對(duì)違規(guī)行為的懲罰?！栋踩蹍f(xié)定》授權(quán)一套雙層執(zhí)行機(jī)制，原則上進(jìn)行行業(yè)自律，如有必要，再由政府執(zhí)法機(jī)構(gòu)執(zhí)行。。歐盟委員會(huì)認(rèn)為美國(guó)的商業(yè)機(jī)構(gòu)只要能夠制定并遵守符合上述安全港原則的隱私保護(hù)政策，就可以加入安全港并被認(rèn)定為達(dá)到《歐盟指令》所要求的“充分保護(hù)水平”，進(jìn)而可以接收和處理來(lái)自歐盟的個(gè)人數(shù)據(jù)。如果違反一系列隱私原則，歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)有權(quán)中止數(shù)據(jù)跨境流動(dòng)?！栋踩蹍f(xié)議》暫時(shí)緩和了歐盟強(qiáng)制規(guī)范與美國(guó)行業(yè)自律之間的矛盾，促進(jìn)了美國(guó)企業(yè)在歐洲的發(fā)展與擴(kuò)張。

但是，《安全港協(xié)議》的達(dá)成無(wú)法作為長(zhǎng)久的解決方案，因?yàn)槊罋W雙方關(guān)于數(shù)據(jù)隱私保護(hù)法律的巨大差異仍然存在。*參見Julia M. Fromholtz, the European Union Data Privacy Directive, Berkeley Technology Law Journal, Vol. 15, 2000, p. 483.歐美數(shù)據(jù)流動(dòng)制度不協(xié)調(diào)的矛盾因斯諾登事件的曝光而更加凸顯，并最終導(dǎo)致安全港協(xié)議的失效。2013年，前NSA雇員愛德華·斯諾登曝光大量來(lái)自美國(guó)情報(bào)機(jī)構(gòu)的機(jī)密文件，其中不乏對(duì)歐洲領(lǐng)導(dǎo)人的監(jiān)控。而蘋果、微軟等這樣的大型科技公司都有意或無(wú)意地參與了NSA的監(jiān)控行動(dòng)。2015 年10月6日，在簽訂了15 年之后，歐盟法院( Court of Justice of the European Union (CJEU) 裁定基于商業(yè)目的的個(gè)人數(shù)據(jù)在歐盟28個(gè)成員和美國(guó)之間合法轉(zhuǎn)移的安全港協(xié)議無(wú)效，裁定的原因是認(rèn)為安全港協(xié)議目前已經(jīng)無(wú)法達(dá)到歐盟的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，無(wú)法阻止公司將數(shù)據(jù)文件泄露給未授權(quán)方*Communication from the commission to the European parliament and the council on the transfer of personal data from the EU to the United States of America under Directive 95 /46 /EC following the judgment by the Court of Justice in Case C-362 /14.。然而，就在安全港協(xié)議失效的一年內(nèi)，歐美在跨境數(shù)據(jù)流動(dòng)創(chuàng)造的商業(yè)利益驅(qū)使下，于2015年末起重新談判，經(jīng)過(guò)反復(fù)磋商和多次修改，于2016年7月12日達(dá)成《歐美隱私盾協(xié)議》(EU-U.S. Privacy Shield Framework)，成為規(guī)制雙方數(shù)據(jù)流動(dòng)的新妥協(xié)方案。

《隱私盾協(xié)議》的核心是對(duì)大西洋兩岸跨境轉(zhuǎn)移個(gè)人數(shù)據(jù)的隱私保護(hù)進(jìn)行規(guī)范，為大西洋兩岸的歐洲和美國(guó)企業(yè)從歐盟向美國(guó)傳輸個(gè)人數(shù)據(jù)過(guò)程中提供歐盟數(shù)據(jù)保護(hù)規(guī)定的合規(guī)機(jī)制，并支持跨大西洋商業(yè)合作的發(fā)展。與《安全港協(xié)議》相同，美國(guó)企業(yè)也采取自愿加入的方式接受《隱私盾協(xié)議》，也要遵守《安全港協(xié)議》提出的七項(xiàng)基本原則；但是《隱私盾協(xié)議》克服了《安全港協(xié)議》存在的一些缺陷及弊端，對(duì)美國(guó)公司施加更重的個(gè)人數(shù)據(jù)保護(hù)義務(wù)，在《安全港協(xié)議》七大原則的具體實(shí)施上要求美國(guó)公司從歐盟進(jìn)口數(shù)據(jù)履行更多承諾。此外，《隱私盾協(xié)議》強(qiáng)化了監(jiān)督與實(shí)施機(jī)制，賦予歐盟公民更豐富的救濟(jì)權(quán)利和救濟(jì)手段：一是它賦予歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)對(duì)數(shù)據(jù)接收者的第三國(guó)的數(shù)據(jù)保護(hù)水平享有充分的調(diào)查權(quán)，突出強(qiáng)調(diào)了公司對(duì)隱私盾協(xié)議相關(guān)質(zhì)詢回應(yīng)的及時(shí)性；二是確保公司一旦違反了隱私盾的條件就要受到制裁，而不像安全港協(xié)議缺乏懲罰性手段。制裁的方式包括對(duì)與原則不一致的裁定結(jié)果必須公開以及要求在特定條件下刪除數(shù)據(jù)。對(duì)于情節(jié)較為嚴(yán)重的，如長(zhǎng)期不履行隱私盾協(xié)議的公司，將被移除隱私盾協(xié)議的名單，并勒令他們交回或者刪除此前在協(xié)議下收集的個(gè)人信息。三是賦予歐盟公民向企業(yè)申訴的權(quán)利，這意味著歐盟公民首次獲得了依據(jù)數(shù)據(jù)保護(hù)規(guī)則向美國(guó)企業(yè)主張權(quán)利的途徑。

美歐在個(gè)人數(shù)據(jù)保護(hù)方式、思路、宗旨等方面存在著巨大差異，《隱私盾協(xié)議》從本質(zhì)上看，仍然是雙方相互妥協(xié)、讓步的產(chǎn)物。從內(nèi)容來(lái)講，它更多地體現(xiàn)出歐盟數(shù)據(jù)保護(hù)制度的最新改革成果，進(jìn)一步拓展了歐盟在國(guó)際規(guī)則制定中的影響力。從意義來(lái)看，《隱私盾協(xié)議》為歐盟和美國(guó)企業(yè)的商業(yè)活動(dòng)提供了制度支持和保障，進(jìn)一步加強(qiáng)了對(duì)歐盟公民個(gè)人數(shù)據(jù)的保護(hù)力度，它還標(biāo)志性地宣告了公權(quán)力對(duì)個(gè)人權(quán)利侵犯應(yīng)當(dāng)受到嚴(yán)格限制的理念。但是，《隱私盾協(xié)議》的程序性規(guī)章仍存在走過(guò)場(chǎng)、不透明等問題，其宣示意義更大于實(shí)質(zhì)意義?！袄忡R門”事件的曝光者斯諾登就將《隱私盾協(xié)議》稱為“說(shuō)明性盾牌”，美國(guó)法律仍缺少對(duì)來(lái)自歐洲數(shù)據(jù)的充分保護(hù)。*Natasha Lomas, Draft Text of EU-US Privacy Shield Deal Fails To Impress the Man Who Slayed Safe Harbor, Feb. 29, 2016, 參見https://techcrunch.com/2016/02/29/lipstick-on-a-pig/, 2018年3月11日最后訪問。

2.借助亞太區(qū)域經(jīng)濟(jì)合作推廣自身模式，爭(zhēng)取數(shù)據(jù)跨境領(lǐng)域的話語(yǔ)權(quán)。與歐盟相比，美國(guó)在參與數(shù)據(jù)跨境流動(dòng)規(guī)制方面少有話語(yǔ)權(quán)。隨著全球進(jìn)入信息社會(huì)，美國(guó)并不甘心在這一領(lǐng)域處于由其他經(jīng)濟(jì)體制制定規(guī)則的地位，它依靠其在亞太地區(qū)的政治經(jīng)濟(jì)影響力推動(dòng)構(gòu)建有別于歐盟的規(guī)則體系，并使之逐漸獲得了執(zhí)行力與約束力。

亞洲太平洋經(jīng)濟(jì)合作組織(APEC)于2004年通過(guò)的“隱私框架”(APEC Privacy Framework)，是亞太地區(qū)達(dá)成的第一份關(guān)于數(shù)據(jù)跨境流動(dòng)規(guī)制的區(qū)域性指導(dǎo)文件?！半[私框架”從促進(jìn)跨境數(shù)據(jù)自由流動(dòng)的思想和目的出發(fā)，顯然是美國(guó)起主導(dǎo)作用的產(chǎn)物。整個(gè)框架都將“促進(jìn)亞太地區(qū)電子商務(wù)”作為目標(biāo)；在“框架”第4章，要求成員經(jīng)濟(jì)體“采取一切合理及適當(dāng)步驟避免和消除任何不必要的信息流動(dòng)障礙”；框架多次提及要在隱私保護(hù)中發(fā)揮“行業(yè)自律”的作用，這些都明顯地打上了美國(guó)數(shù)據(jù)規(guī)制特征的印記。

經(jīng)合組織的《跨境隱私規(guī)則體系》(Cross-Border Privacy Rules，CBPRs)于2012 年正式啟動(dòng)，并于2013年通過(guò)。CBPRs 是美國(guó)加入和支持的數(shù)據(jù)保護(hù)倡議。*參見UNCTAD , Data protection regulations and international data flows: Implications for trade and development , Swizer-land: United Nations Publication , 2016 , p.35 , http:// unctad. Org/ en/ pages/ Publication Webflyer. Aspx ?publicationid=1468, 2018年3月11日最后訪問。它以APEC 隱私框架為基礎(chǔ)，也是旨在確保個(gè)人信息的跨境自由流動(dòng)。不同的是，CBPRs 引入了隱私執(zhí)法機(jī)構(gòu)和問責(zé)代理機(jī)構(gòu)，因而對(duì)加入的企業(yè)形成了實(shí)際的約束作用。*參見黃寧、李楊：《“三難選擇”下跨境數(shù)據(jù)流動(dòng)規(guī)制的演進(jìn)與成因》，載《清華大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版)》2017年第5期。

近年來(lái)，美國(guó)又將跨境數(shù)據(jù)流動(dòng)內(nèi)容納入自由貿(mào)易協(xié)定(FTA)談判，以期借助政治經(jīng)濟(jì)實(shí)力在這些具有較強(qiáng)約束力的“一攬子”協(xié)議中推行自己的數(shù)據(jù)跨境規(guī)則。2012年達(dá)成的《美韓自由貿(mào)易協(xié)定》(U.S.-South Korea Free Trade Agreement)第一次在FTAs電子商務(wù)章節(jié)引入跨境數(shù)據(jù)流動(dòng)規(guī)則，其中第15.8條規(guī)定，成員方應(yīng)努力避免對(duì)跨境電子信息流動(dòng)施加或維持不必要阻礙。*United States-Korea Free Trade Agreement, S. Korea-U.S., June 30, 2007, 46 I.L.M. 642 (entered into force Mar. 15, 2012), See Mira Burri, The Regulation of Data Flows Through Trade Agreements, Georgetown Journal of International Law, Vol. 48, No. 1, 2017, p.418.2015 年，在美國(guó)主導(dǎo)下達(dá)成的《跨太平洋戰(zhàn)略經(jīng)濟(jì)伙伴關(guān)系協(xié)定》 (TPP) 中也專門引入了“商業(yè)信息跨境自由傳輸條款”。在現(xiàn)已公布的電子商務(wù)章節(jié)中，各成員方承諾在維護(hù)特定合法政策目標(biāo)(如個(gè)人信息保護(hù)) 的前提下確保數(shù)據(jù)在全球的自由流動(dòng)以推動(dòng)數(shù)字經(jīng)濟(jì)的發(fā)展。TPP明確規(guī)定成員方可以為了實(shí)現(xiàn)特定合法公共政策目標(biāo)而采取限制性措施，前提是“該措施不構(gòu)成任意或不合理歧視的手段或構(gòu)成對(duì)貿(mào)易的變相限制”。*參見黃寧、李楊：《“三難選擇”下跨境數(shù)據(jù)流動(dòng)規(guī)制的演進(jìn)與成因》，載《清華大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版)》2017年第5期?？傊擅绹?guó)主導(dǎo)將跨境數(shù)據(jù)流動(dòng)規(guī)則納入自由貿(mào)易協(xié)定談判，使自己“跨境數(shù)據(jù)自由流動(dòng)”的主張和規(guī)則在一定條件下為締約國(guó)所接受，并具有較強(qiáng)的約束力。

二、個(gè)人數(shù)據(jù)跨境流動(dòng)歐美兩大規(guī)制體系的比較分析

個(gè)人數(shù)據(jù)跨境流動(dòng)的國(guó)際基本格局由歐盟和美國(guó)兩大規(guī)制體系構(gòu)成，為了對(duì)這一基本格局有更深刻的理解與更準(zhǔn)確的把握，有必要在前面分述兩大規(guī)制體系立法框架和實(shí)踐模式的基礎(chǔ)上，進(jìn)一步從價(jià)值取向、規(guī)制路徑和規(guī)制結(jié)果三個(gè)方面對(duì)歐美兩大體系作一比較分析。

(一)價(jià)值取向：個(gè)人數(shù)據(jù)權(quán)保護(hù)與數(shù)據(jù)跨境自由流動(dòng)

個(gè)人數(shù)據(jù)跨境流動(dòng)歐美兩大規(guī)制體系在價(jià)值取向上存在數(shù)據(jù)權(quán)保護(hù)與數(shù)據(jù)自由流動(dòng)的不同訴求。

歐盟更強(qiáng)調(diào)個(gè)人數(shù)據(jù)權(quán)的保護(hù)，這與歐洲的人權(quán)保護(hù)傳統(tǒng)有著密切的關(guān)系。早在1953年，歐洲理事會(huì)就批準(zhǔn)了《人權(quán)保護(hù)及基本自由公約》，即著名的《歐洲人權(quán)公約》。在公約列明的權(quán)利中，第8條規(guī)定了“對(duì)隱私及家庭生活尊重的權(quán)利”。這種歷史文化傳統(tǒng)使歐洲國(guó)家通過(guò)立法保護(hù)個(gè)人隱私處于領(lǐng)先地位，1973年至1984年全球共有13個(gè)國(guó)家制定了數(shù)據(jù)保護(hù)法，其中就有8個(gè)歐洲國(guó)家。*參見G. Russell, International Information Policy: Evolution of Transborder Data Flow Issues, p.413. 轉(zhuǎn)引自黃寧、李楊：《“三難選擇”下跨境數(shù)據(jù)流動(dòng)規(guī)制的演進(jìn)與成因》，載《清華大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版)》2017年第5期。長(zhǎng)期以來(lái)，歐洲數(shù)據(jù)保護(hù)都是與隱私權(quán)相聯(lián)系的，通說(shuō)認(rèn)為數(shù)據(jù)權(quán)是隱私權(quán)的一部分，所謂的個(gè)人數(shù)據(jù)和信息保護(hù)不過(guò)是從“信息視角”對(duì)隱私權(quán)的一種解讀。*Gloria Gonzalez Fuster, The Emergence of Personal Data Protection as a Fundamental Right of the EU, Springer, 2014, p.214.這也構(gòu)成歐盟在跨境數(shù)據(jù)流動(dòng)規(guī)制上的基本立場(chǎng)。

與歐盟將數(shù)據(jù)權(quán)作為一種基本人權(quán)，并通過(guò)苛嚴(yán)的立法提升保護(hù)水平的作法不同，美國(guó)政府和實(shí)務(wù)界反對(duì)立法規(guī)范個(gè)人數(shù)據(jù)處理行為，認(rèn)為強(qiáng)硬的法律結(jié)構(gòu)會(huì)“不可避免地阻礙商業(yè)活動(dòng)”*戴恩．羅蘭德 等：《信息技術(shù)法》，宋連斌、林一飛、呂國(guó)民譯，武漢大學(xué)出版社2004年版，第308頁(yè)。，而奉行以市場(chǎng)為主導(dǎo)，以行業(yè)自律為中心的個(gè)人數(shù)據(jù)保護(hù)政策。這種立場(chǎng)從根本上決定了美國(guó)在跨境數(shù)據(jù)流動(dòng)上的訴求是更加看重?cái)?shù)據(jù)自由流動(dòng)和經(jīng)濟(jì)利益，更希望通過(guò)促進(jìn)數(shù)據(jù)跨境維護(hù)業(yè)已建立的信息優(yōu)勢(shì)。在大數(shù)據(jù)時(shí)代，美國(guó)更清醒地意識(shí)到數(shù)據(jù)利用意味著價(jià)值和機(jī)遇，也更透徹地理解促進(jìn)數(shù)據(jù)跨境流動(dòng)對(duì)國(guó)家利益產(chǎn)生的潛在裨益。為此，它更加重視通過(guò)鼓勵(lì)數(shù)據(jù)跨境流動(dòng)確立和固化“數(shù)據(jù)占有和利用”的優(yōu)勢(shì)，最大限度地攫取“數(shù)據(jù)金礦”。

在數(shù)據(jù)跨境流動(dòng)的價(jià)值目標(biāo)中，數(shù)據(jù)自由流動(dòng)和數(shù)據(jù)權(quán)保護(hù)兩者缺一不可。一方面，跨境數(shù)據(jù)流動(dòng)在全球的價(jià)值創(chuàng)造能力不容忽視，不僅歐美之間有巨大的跨境數(shù)據(jù)流動(dòng)需求，而且在全球范圍內(nèi)一半的服務(wù)貿(mào)易要依靠跨境數(shù)據(jù)流動(dòng)實(shí)現(xiàn)；另一方面，不斷提高個(gè)人數(shù)據(jù)權(quán)保護(hù)水平對(duì)于提振消費(fèi)者對(duì)數(shù)字貿(mào)易的信心有積極作用，也是社會(huì)發(fā)展進(jìn)步的必然要求。如何在未來(lái)的規(guī)則設(shè)計(jì)中，實(shí)現(xiàn)數(shù)據(jù)權(quán)保護(hù)與數(shù)據(jù)自由流動(dòng)兩大目標(biāo)的協(xié)調(diào)，是一個(gè)值得深入探討的課題。

(二)規(guī)制路徑：“充分性”原則與“問責(zé)制”原則

歐盟和美國(guó)對(duì)跨境數(shù)據(jù)流動(dòng)采用了不同的規(guī)制路徑，歐盟是“以地理區(qū)域?yàn)榛鶞?zhǔn)”，依據(jù)“充分性”原則，進(jìn)行事前防范的規(guī)制路徑；美國(guó)則是“以組織機(jī)構(gòu)為基準(zhǔn)”,依據(jù)“問責(zé)制”原則，進(jìn)行事后問責(zé)的規(guī)制路徑。

歐盟的規(guī)制路徑對(duì)于歐盟內(nèi)部和外部的數(shù)據(jù)流動(dòng)采用了不同標(biāo)準(zhǔn)。它通過(guò)立法(如1995年的《歐盟個(gè)人數(shù)據(jù)保護(hù)指令》)，在歐盟內(nèi)部確立了禁止成員國(guó)借數(shù)據(jù)保護(hù)的名義限制個(gè)人數(shù)據(jù)在歐盟境內(nèi)自由流動(dòng)的標(biāo)準(zhǔn)；但卻禁止個(gè)人數(shù)據(jù)轉(zhuǎn)移到歐盟以外的地理區(qū)域，除非歐盟以外的國(guó)家政府能夠提供“充分”的數(shù)據(jù)保護(hù)?！稓W盟數(shù)據(jù)指令》還說(shuō)明了如何認(rèn)定一國(guó)是否提供“充分”數(shù)據(jù)保護(hù)的依據(jù)，即通過(guò)考察數(shù)據(jù)傳輸?shù)恼w過(guò)程來(lái)判斷一國(guó)相關(guān)法律的完備程度和執(zhí)行情況，此外還要考慮數(shù)據(jù)的性質(zhì)、數(shù)據(jù)處理的目的和期限、數(shù)據(jù)來(lái)源國(guó)和傳輸目的國(guó)等因素。

美國(guó)的規(guī)制路徑是在原則上允許數(shù)據(jù)跨境流動(dòng)的前提下( 不論數(shù)據(jù)在何地理位置) ，要求控制數(shù)據(jù)的機(jī)構(gòu)( 或數(shù)據(jù)控制者) 確保個(gè)人數(shù)據(jù)在跨境傳輸過(guò)程中的安全。亞洲太平洋經(jīng)濟(jì)合作組織(APEC)于2012 年在美國(guó)主導(dǎo)下建立的《跨境隱私規(guī)則體系》( Cross Border Privacy Rules system，CBPRs) ，就帶有明顯的美國(guó)規(guī)制路徑的特征。GBPRs 規(guī)范的對(duì)象是涉及到個(gè)人數(shù)據(jù)跨境傳輸?shù)钠髽I(yè)，在“問責(zé)制” 的基礎(chǔ)上采用行業(yè)自律模式。首先企業(yè)要進(jìn)行自我評(píng)估，然后接受問責(zé)代理機(jī)構(gòu)評(píng)估，若通過(guò)評(píng)估獲得了CBPRs 認(rèn)證，即被認(rèn)可為符合隱私保護(hù)標(biāo)準(zhǔn)的企業(yè)，并且在認(rèn)證目錄網(wǎng)站可查，對(duì)于違反《APEC 隱私框架》相關(guān)條款的企業(yè)，由隱私保護(hù)執(zhí)行機(jī)構(gòu)進(jìn)行問責(zé)處罰。

歐美兩種不同的規(guī)制路徑和原則反映出對(duì)于跨境數(shù)據(jù)流動(dòng)規(guī)制的兩種不同立場(chǎng)，各有其合理性，也各有其不足。歐盟“以地理區(qū)域?yàn)榛鶞?zhǔn)”、“以充分性為原則”的規(guī)制路徑，為數(shù)據(jù)跨境流動(dòng)設(shè)置了統(tǒng)一的標(biāo)準(zhǔn)，有利于建立穩(wěn)定的個(gè)人數(shù)據(jù)保護(hù)秩序并為個(gè)人提供合理的權(quán)利預(yù)期。但不可否認(rèn)的是，由于該路徑下的“充分性”認(rèn)定的高標(biāo)準(zhǔn)和批準(zhǔn)程序的復(fù)雜性，導(dǎo)致了對(duì)于數(shù)據(jù)跨境自由流動(dòng)的嚴(yán)格限制，很可能對(duì)貿(mào)易造成不必要的阻礙。美國(guó)“以組織機(jī)構(gòu)為基準(zhǔn)”，“以問責(zé)制為原則”的規(guī)制路徑，一方面確定了數(shù)據(jù)控制機(jī)構(gòu)(數(shù)據(jù)控制者) 在確保個(gè)人數(shù)據(jù)安全中所應(yīng)遵守的原則，另一方面規(guī)定違反原則所應(yīng)承擔(dān)的責(zé)任。政府僅在該組織機(jī)構(gòu)導(dǎo)致了違反義務(wù)的結(jié)果時(shí)事后問責(zé)，從而大大減輕了對(duì)跨境數(shù)據(jù)流動(dòng)的限制。但“問責(zé)制”以數(shù)據(jù)控制機(jī)構(gòu)(數(shù)據(jù)控制者) 會(huì)自覺遵守個(gè)人數(shù)據(jù)保護(hù)原則為預(yù)設(shè)立場(chǎng)，如果某數(shù)據(jù)控制機(jī)構(gòu)或組織缺乏自覺性，就有可能導(dǎo)致政府或監(jiān)管者在事前或事中對(duì)數(shù)據(jù)控制機(jī)構(gòu)或組織的失控。

(三)規(guī)制結(jié)果：超強(qiáng)影響力與提升話語(yǔ)權(quán)

從1980年OECD出臺(tái)與數(shù)據(jù)跨境流動(dòng)相關(guān)的規(guī)則(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)至今，30多年來(lái)，歐盟與美國(guó)分別主導(dǎo)構(gòu)建了兩種迥然不同的跨境數(shù)據(jù)流動(dòng)規(guī)制體系，深刻地影響了各國(guó)的相關(guān)立法。

從歐盟體系來(lái)看，不僅歐盟成員國(guó)將《個(gè)人數(shù)據(jù)保護(hù)指令》、《通用數(shù)據(jù)保護(hù)條例》的內(nèi)容內(nèi)化為本國(guó)數(shù)據(jù)保護(hù)法的具體規(guī)定，而且許多非歐盟成員國(guó)也按照歐盟數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)提升其國(guó)內(nèi)個(gè)人數(shù)據(jù)和信息保護(hù)水平。不少東歐國(guó)家如阿爾巴尼亞、玻利維亞、克羅地亞、馬其頓、安道爾等國(guó)，甚至俄羅斯聯(lián)邦都陸續(xù)按照歐盟指令和條例制定或修訂了其個(gè)人數(shù)據(jù)保護(hù)法律，以確保國(guó)內(nèi)立法與歐盟規(guī)定相一致。*參見Miriam Wugmeister, Karin Retzer , Cynthia Rich, Morrison & Forester LLP, Global Solution for Cross-border Data Transfers: Making the Case for Corporate Privacy Rules, 38 Geo. J. Int’ I L., Springs, 2007, pp.449-498.其他地區(qū)，如加拿大、阿根廷、澳大利亞、紐西蘭及我國(guó)香港、臺(tái)灣及澳門地區(qū)都制定了新的個(gè)人信息保護(hù)法律，以確保涉及個(gè)人數(shù)據(jù)傳輸?shù)膰?guó)際貿(mào)易不至于因不符合歐盟指令而遭到質(zhì)疑。這些都充分顯示了歐盟在數(shù)據(jù)跨境流動(dòng)國(guó)際規(guī)則制定中的超強(qiáng)影響力。

從美國(guó)體系來(lái)看，其促進(jìn)個(gè)人數(shù)據(jù)跨境自由流動(dòng)的理念與規(guī)則不僅對(duì)經(jīng)合組織(OECD)、亞太經(jīng)合組織(CBPR)的成員國(guó)具有指引、勸導(dǎo)等柔性規(guī)范的作用，而且通過(guò)將自身的跨境數(shù)據(jù)流動(dòng)規(guī)則融入全球經(jīng)貿(mào)規(guī)則體系而獲得較強(qiáng)的約束力，起到一定的剛性約束作用。由此，美國(guó)也提升了自己在跨境數(shù)據(jù)流動(dòng)國(guó)際規(guī)則制定中的話語(yǔ)權(quán)。

三、我國(guó)數(shù)據(jù)跨境傳輸立法應(yīng)對(duì)

(一)我國(guó)數(shù)據(jù)跨境傳輸立法現(xiàn)狀

在全球經(jīng)濟(jì)聯(lián)系日益緊密的今天，越來(lái)越多的國(guó)家和地區(qū)需要進(jìn)行數(shù)據(jù)交換，個(gè)人數(shù)據(jù)跨境傳輸變得愈加平凡。中國(guó)作為世界第二大經(jīng)濟(jì)體, 有著龐大的跨境數(shù)據(jù)流動(dòng)需求，并且發(fā)展?jié)摿薮蟆?jù)阿里研究院統(tǒng)計(jì)，2015 年中國(guó)跨境電商交易規(guī)模達(dá)4.8萬(wàn)億元，同比增長(zhǎng)28%，預(yù)計(jì)到2020年跨境電商交易規(guī)模將達(dá)到12萬(wàn)億元，約占中國(guó)進(jìn)出口總額的37.6%。*曹杰、王晶：《跨境數(shù)據(jù)流動(dòng)規(guī)則分析——以歐美隱私盾協(xié)議為視角》，載《國(guó)際經(jīng)貿(mào)探索》2017年第4期。此外，越來(lái)越多的中國(guó)企業(yè)正在成長(zhǎng)為全球企業(yè)開始“走出去”，加之國(guó)家“一帶一路”戰(zhàn)略給跨境電商帶來(lái)的廣闊發(fā)展空間，數(shù)據(jù)跨境流動(dòng)對(duì)我國(guó)對(duì)外貿(mào)易及經(jīng)濟(jì)發(fā)展有著重大的意義。另一方面，當(dāng)前迅速普及的云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)、智能終端等新技術(shù)對(duì)隱私和數(shù)據(jù)安全帶來(lái)了新的威脅，我國(guó)保護(hù)個(gè)人信息安全和國(guó)家信息安全的現(xiàn)實(shí)需求日益強(qiáng)烈。在這一背景下，立足當(dāng)下個(gè)人數(shù)據(jù)跨境流動(dòng)規(guī)制的國(guó)際格局，審視我國(guó)相關(guān)立法，探討構(gòu)建我國(guó)數(shù)據(jù)跨境規(guī)則的具體路徑，是擺在我們面前的重要任務(wù)。

我國(guó)在數(shù)據(jù)跨境流動(dòng)規(guī)制領(lǐng)域起步較晚，近年來(lái)政府已開始關(guān)注數(shù)據(jù)跨境傳輸問題，但至今仍沒有獨(dú)立的關(guān)于數(shù)據(jù)跨境流動(dòng)的法律，相關(guān)內(nèi)容散現(xiàn)于各類法律法規(guī)、部門規(guī)章之中，較為零散。已有法規(guī)的內(nèi)容總體而言是嚴(yán)格限制國(guó)內(nèi)數(shù)據(jù)向境外轉(zhuǎn)移。其中既限制個(gè)人數(shù)據(jù)，2013年《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》第5．4．5節(jié)規(guī)定：“未經(jīng)個(gè)人信息主體的明示同意，或法律法規(guī)明確規(guī)定，或未經(jīng)主管部門同意，個(gè)人信息管理者不得將個(gè)人信息轉(zhuǎn)移給境外個(gè)人信息獲得者，包括位于境外的個(gè)人或境外注冊(cè)的組織和機(jī)構(gòu)”；也限制個(gè)人健康和金融信息，2011年1月21日中國(guó)人民銀行發(fā)布的部門規(guī)章《人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》第六條規(guī)定：“在中國(guó)境內(nèi)收集的個(gè)人金融信息的儲(chǔ)存、處理和分析應(yīng)當(dāng)在中國(guó)境內(nèi)進(jìn)行，除法律法規(guī)及中國(guó)人民銀行另有規(guī)定外，銀行業(yè)金融機(jī)構(gòu)不得向境外提供境內(nèi)個(gè)人金融信息”；對(duì)于國(guó)家秘密，更是嚴(yán)格限制出境，非法郵寄、托運(yùn)國(guó)家秘密載體出境，或者未經(jīng)有關(guān)主管部門批準(zhǔn)，攜帶、傳遞國(guó)家秘密載體出境等行為，都會(huì)受到刑事責(zé)任的追究( 2010 年《保守國(guó)家秘密法》第48 條) 。

2015年8 月19 日，國(guó)家層面的《關(guān)于促進(jìn)數(shù)據(jù)發(fā)展的行動(dòng)綱要》正式通過(guò)，為全面推進(jìn)我國(guó)數(shù)據(jù)發(fā)展和應(yīng)用，加快建設(shè)數(shù)據(jù)強(qiáng)國(guó)提供了行動(dòng)綱要。2016年11月7日，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》 (以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》) 經(jīng)十二屆全國(guó)人大常委會(huì)第24次會(huì)議通過(guò)后正式頒布，于2017年6月起正式實(shí)施。作為中國(guó)網(wǎng)絡(luò)領(lǐng)域的基本法律，《網(wǎng)絡(luò)安全法》首次對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的數(shù)據(jù)跨境傳輸從法律層面上進(jìn)行了規(guī)制。該法第37條規(guī)定：“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估;法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定?！?該條文在社會(huì)上引起了廣泛關(guān)注，有學(xué)者認(rèn)為這樣的規(guī)定有利于保障我國(guó)的國(guó)家安全、公共安全和個(gè)人的隱私安全;也有專家認(rèn)為這樣的規(guī)定會(huì)對(duì)貿(mào)易產(chǎn)生負(fù)面影響，乃至于影響整體經(jīng)濟(jì)的發(fā)展。*參見鄧志松、戴健民：《〈網(wǎng)絡(luò)安全法〉時(shí)代數(shù)據(jù)跨境傳輸?shù)钠髽I(yè)合規(guī)挑戰(zhàn)》，載《網(wǎng)絡(luò)空間研究》2017年第5期。

(二)我國(guó)數(shù)據(jù)跨境傳輸立法評(píng)析

以上列舉表明，我國(guó)力圖通過(guò)數(shù)據(jù)本地化留存避免跨境數(shù)據(jù)可能產(chǎn)生的國(guó)家安全隱患和個(gè)人隱私風(fēng)險(xiǎn)，效果總的來(lái)看是好的，但是我們也應(yīng)該看到，在數(shù)據(jù)跨境流動(dòng)作為經(jīng)濟(jì)引擎的環(huán)境下，這種保護(hù)措施可能加劇信息不對(duì)稱現(xiàn)象，從而影響我國(guó)的國(guó)際競(jìng)爭(zhēng)力。因?yàn)榭羾?yán)的跨境數(shù)據(jù)流動(dòng)限制，可能使某一市場(chǎng)被孤立或者受到局限，本國(guó)相關(guān)企業(yè)難以參與到國(guó)際化的競(jìng)爭(zhēng)，消費(fèi)者也無(wú)法享受全球規(guī)模帶來(lái)的好處，給經(jīng)濟(jì)發(fā)展帶來(lái)負(fù)面影響。*高山行、劉偉奇：《數(shù)據(jù)跨境流動(dòng)規(guī)制及其應(yīng)對(duì)——對(duì)〈網(wǎng)絡(luò)安全法〉第三十七條的討論》，載《西安交通大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)》，2017年第2期。而且當(dāng)一國(guó)實(shí)施較為嚴(yán)格的數(shù)據(jù)跨境流動(dòng)限制后，其他國(guó)家出于對(duì)等原則也可能采取相似的跨境流動(dòng)限制。對(duì)于數(shù)據(jù)跨境流動(dòng)限制可能帶來(lái)直接的經(jīng)濟(jì)損失，來(lái)自歐盟的一份公告指出，如果我國(guó)的數(shù)據(jù)本地化策略得到全面的實(shí)施，可能減少GDP的1.1%、推動(dòng)中國(guó)出口和長(zhǎng)期增長(zhǎng)的境外對(duì)我國(guó)直接投資的1.8%和出口的1.7%。*Bert Verschelde, the Impact of Data Localisation on China’s Economy, ECIPE Bulletin No. 07/2014, p.3. 參見 http://www.ecipe.org/app/uploads/2014/12/ECIPE_bulletin714_dataloc_china.pdf, 2018年3月11日最后訪問。因而，如何平衡加強(qiáng)國(guó)家安全防范和個(gè)人信息保護(hù)與促進(jìn)跨境數(shù)據(jù)流動(dòng)的關(guān)系，是我國(guó)數(shù)據(jù)跨境流動(dòng)規(guī)制立法需要解決的難題。

(三)數(shù)據(jù)跨境流動(dòng)規(guī)制國(guó)際格局下我國(guó)的應(yīng)對(duì)路徑

目前全球跨境數(shù)據(jù)流動(dòng)的統(tǒng)一規(guī)則尚未形成，現(xiàn)有規(guī)則主要以歐美為首的發(fā)達(dá)國(guó)家引領(lǐng)。在這一國(guó)際格局下，我國(guó)的應(yīng)對(duì)路徑是：

1.完善數(shù)據(jù)跨境流動(dòng)立法，提升法律的可操作性。不論是歐盟范圍內(nèi)還是歐盟與美國(guó)之間已經(jīng)實(shí)現(xiàn)的數(shù)據(jù)跨境流動(dòng)，都是在一定法律框架或相關(guān)規(guī)范下進(jìn)行的，我國(guó)的數(shù)據(jù)跨境流動(dòng)也需要完善的法律制度提供保障。然而，我國(guó)個(gè)人信息保護(hù)層面上的數(shù)據(jù)法制缺位，關(guān)涉商業(yè)秘密或國(guó)家安全的商業(yè)數(shù)據(jù)或政府?dāng)?shù)據(jù)方面的法制也一樣闕如?，F(xiàn)有的數(shù)據(jù)跨境流動(dòng)和個(gè)人數(shù)據(jù)保護(hù)的立法不僅不成系統(tǒng)，還缺乏可操作性。比如2017年6月1日起施行的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》首次對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的數(shù)據(jù)跨境傳輸從法律層面上進(jìn)行了規(guī)定，但卻未明確關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和保護(hù)措施，只是授權(quán)國(guó)務(wù)院制定。因此后續(xù)國(guó)務(wù)院應(yīng)當(dāng)加快推進(jìn)與網(wǎng)絡(luò)安全法相配套的法規(guī)制定。

法治國(guó)家精神要求跨境數(shù)據(jù)流動(dòng)的規(guī)范與約束，須有法可依。科學(xué)合理的規(guī)范體系，能夠?yàn)閿?shù)據(jù)跨境流動(dòng)提供依據(jù)和保障。筆者的具體建議：一是在后續(xù)配套法規(guī)中，對(duì)不同類型的數(shù)據(jù)采取不同的管理方法。對(duì)于涉及國(guó)家秘密、國(guó)家安全以及經(jīng)濟(jì)安全的數(shù)據(jù)嚴(yán)格禁止跨境，要求必須在境內(nèi)的數(shù)據(jù)中心存儲(chǔ)和處理； 對(duì)于政府和公共部門掌握的其他數(shù)據(jù)實(shí)施跨境數(shù)據(jù)流動(dòng)的條件限制，例如要進(jìn)行安全風(fēng)險(xiǎn)評(píng)估；對(duì)普通的個(gè)人數(shù)據(jù)則允許跨境流動(dòng)，但要滿足安全管理要求，可采用問責(zé)制、合同干預(yù)等形式進(jìn)行管理。國(guó)家依法采取措施對(duì)承載著不同利益層次和位階訴求的數(shù)據(jù)流動(dòng)予以規(guī)范和約束，妥善規(guī)定禁止和限制數(shù)據(jù)跨境流動(dòng)的范圍和標(biāo)準(zhǔn)，減少其對(duì)經(jīng)濟(jì)和技術(shù)發(fā)展的阻礙，從而在安全和經(jīng)濟(jì)發(fā)展之間謀求平衡，達(dá)到在保護(hù)本國(guó)個(gè)體、社會(huì)和國(guó)家利益的同時(shí)也能實(shí)現(xiàn)數(shù)據(jù)跨境流動(dòng)與分享的理想狀態(tài)。二是加強(qiáng)立法的科學(xué)性和可操作性。只有通過(guò)科學(xué)立法以明確可跨境流動(dòng)數(shù)據(jù)的類型、范疇、處理方式、保護(hù)措施、風(fēng)險(xiǎn)防范等要素和內(nèi)容，才能既為數(shù)據(jù)的跨境流動(dòng)合法與否提供判斷依據(jù)，增強(qiáng)行為的可預(yù)見性；也為國(guó)家對(duì)數(shù)據(jù)的跨境流動(dòng)規(guī)制提供審查或執(zhí)法依據(jù)，確保數(shù)據(jù)分享的安全性。

2.提高企業(yè)的合規(guī)遵從性，推進(jìn)行業(yè)自律制度建設(shè)。企業(yè)是社會(huì)的主要組成單元，企業(yè)對(duì)數(shù)據(jù)、信息安全法規(guī)遵從義務(wù)履行的成熟度是衡量社會(huì)整體數(shù)據(jù)、信息安全保障水平的重要標(biāo)尺。由于大量的數(shù)據(jù)涉及到國(guó)家安全、基礎(chǔ)設(shè)施狀況和個(gè)人隱私等信息，掌握數(shù)據(jù)的企業(yè)有義務(wù)保障其控制范圍內(nèi)數(shù)據(jù)的安全，防止數(shù)據(jù)泄漏損害國(guó)家利益及侵犯?jìng)€(gè)人隱私。在跨境問題上，企業(yè)還面臨國(guó)內(nèi)外公權(quán)力機(jī)關(guān)依本國(guó)法所提出的數(shù)據(jù)要求，如歐盟通過(guò)標(biāo)準(zhǔn)合同或約束性企業(yè)規(guī)則要求數(shù)據(jù)轉(zhuǎn)移者承擔(dān)數(shù)據(jù)轉(zhuǎn)移安全的直接責(zé)任。在這一背景下，企業(yè)應(yīng)從構(gòu)成IT 社會(huì)一員的立場(chǎng)出發(fā)，從公司法人治理的高度，將數(shù)據(jù)、信息安全注入企業(yè)文化，形成企業(yè)內(nèi)部人員上至總裁下至普通員工，都以自覺遵從保護(hù)個(gè)人數(shù)據(jù)、信息安全的國(guó)家法律法規(guī)以及企業(yè)規(guī)章制度為榮；以不履行保護(hù)義務(wù)的行為為恥的良好風(fēng)氣。

規(guī)制跨境數(shù)據(jù)流動(dòng)，除了通過(guò)完善立法和加強(qiáng)政府監(jiān)管外，還應(yīng)依靠行業(yè)自律制度。各行業(yè)應(yīng)根據(jù)自身特點(diǎn)確立行業(yè)保護(hù)個(gè)人數(shù)據(jù)、信息安全的保障義務(wù)，并通過(guò)行業(yè)規(guī)章、標(biāo)準(zhǔn)等予以具體落實(shí)。規(guī)制跨境數(shù)據(jù)流動(dòng)的行業(yè)自律制度的主要內(nèi)容應(yīng)包括：企業(yè)是否審慎保管其掌控的數(shù)據(jù)？是否采取了足夠的安全保障措施？企業(yè)對(duì)內(nèi)部員工行為是否有及時(shí)的培訓(xùn)和全面的安全紀(jì)律？對(duì)跨境數(shù)據(jù)，轉(zhuǎn)出企業(yè)是否充分尊重?cái)?shù)據(jù)主體的意志或知情權(quán)？是否足夠了解數(shù)據(jù)后期的存儲(chǔ)使用情況及安全保障情況？數(shù)據(jù)接收國(guó)對(duì)本國(guó)企業(yè)數(shù)據(jù)安全保障義務(wù)的法規(guī)完善程度如何、企業(yè)的數(shù)據(jù)安全保障能力如何、承擔(dān)責(zé)任的能力如何？等等。此外，為防止個(gè)人數(shù)據(jù)被濫用、失竊、非法交易等行為的發(fā)生，行業(yè)自律制度還可以采用一定的懲罰性賠償措施?？傊?，行業(yè)自律制度可以為企業(yè)間的數(shù)據(jù)跨境流動(dòng)提供更具靈活性的制度安排和安全保障。

3.大力開展國(guó)際合作，積極參與國(guó)際規(guī)則制定。在互聯(lián)、協(xié)作、開放和共享成為主題的時(shí)代，國(guó)際層面就跨境數(shù)據(jù)流動(dòng)規(guī)制展開合作是不可避免的。目前，盡管諸如歐盟等地區(qū)或國(guó)家對(duì)跨境數(shù)據(jù)流動(dòng)實(shí)施了積極監(jiān)管，但就全球范圍內(nèi)來(lái)說(shuō)尚未形成統(tǒng)一的國(guó)際規(guī)則或條約規(guī)范。在這個(gè)統(tǒng)一規(guī)則尚未形成的窗口期，我國(guó)需要對(duì)跨境數(shù)據(jù)流動(dòng)的全球規(guī)則做前瞻性思考，提早部署研究，爭(zhēng)取做國(guó)際規(guī)則制定的構(gòu)建者，而不應(yīng)成為規(guī)則的被動(dòng)接受者。

具體實(shí)踐中，我國(guó)可以一方面積極參與國(guó)際平臺(tái)上有關(guān)跨境數(shù)據(jù)流動(dòng)規(guī)則的研討，代表中國(guó)企業(yè)利益發(fā)出中國(guó)聲音；另一方面可考慮借助RCEP、FTAAP 等區(qū)域談判尋求建立符合中國(guó)利益的跨境數(shù)據(jù)流動(dòng)規(guī)則。在這方面可以借鑒美國(guó)的做法，美國(guó)亦不被認(rèn)為是能充分保護(hù)數(shù)據(jù)權(quán)的國(guó)家，但《安全港》使得數(shù)以千計(jì)的美國(guó)企業(yè)得以在歐洲開展業(yè)務(wù)。建立類似于“安全港”的合作或加入CBPR 這樣的國(guó)際體系，可以增進(jìn)國(guó)際市場(chǎng)對(duì)中國(guó)企業(yè)的信任，為企業(yè)爭(zhēng)取參與全球競(jìng)爭(zhēng)的機(jī)會(huì)，并在這一過(guò)程中培育行業(yè)的自律，促進(jìn)我國(guó)數(shù)據(jù)保護(hù)水平的提升和相關(guān)行業(yè)的可持續(xù)發(fā)展。隨著我國(guó)在國(guó)際事務(wù)中地位的提升，我國(guó)更可以利用諸如博鰲論壇、亞洲基礎(chǔ)設(shè)施開放銀行、金磚國(guó)家、“一帶一路”戰(zhàn)略等之便開展跨境數(shù)據(jù)流動(dòng)的區(qū)域性合作協(xié)議或規(guī)則談判，以增強(qiáng)中國(guó)在此領(lǐng)域的話語(yǔ)權(quán)。總之，我國(guó)通過(guò)多層次國(guó)際規(guī)則的談判或構(gòu)建，樹立與我國(guó)國(guó)際地位相匹配的數(shù)據(jù)大國(guó)形象，這不僅是維護(hù)國(guó)內(nèi)利益的需要，也是保證跨境數(shù)據(jù)流動(dòng)國(guó)際合作的健康開展與可持續(xù)發(fā)展的要求。*參見金善明：《跨境數(shù)據(jù)流動(dòng)法律風(fēng)險(xiǎn)防范與規(guī)制》，載《中國(guó)對(duì)外貿(mào)易》2016年第6期。