作者：紀(jì)琳琳（上海對(duì)外經(jīng)貿(mào)大學(xué)法學(xué)院碩士研究生）

　　要目

　　一、歐盟數(shù)據(jù)流動(dòng)規(guī)則范式的構(gòu)建

　　二、歐盟數(shù)據(jù)流動(dòng)規(guī)則范式的擴(kuò)張

　　三、歐盟范式擴(kuò)張中中國(guó)的應(yīng)對(duì)方案

　　四、結(jié)語(yǔ)

　　數(shù)據(jù)是21世紀(jì)的“新石油”。正如法律的生命在于經(jīng)驗(yàn)，數(shù)據(jù)的生命在于流動(dòng)，數(shù)據(jù)流動(dòng)全球化是大勢(shì)所趨。數(shù)據(jù)跨境流動(dòng)規(guī)則的制度博弈，實(shí)質(zhì)是數(shù)字市場(chǎng)的全球競(jìng)爭(zhēng)。歐盟通過歐盟一般數(shù)據(jù)保護(hù)條例和非個(gè)人數(shù)據(jù)歐盟境內(nèi)自由流動(dòng)條例完成了個(gè)人數(shù)據(jù)和非個(gè)人數(shù)據(jù)的全類型數(shù)據(jù)流動(dòng)立法。目前，歐盟在全球數(shù)字經(jīng)濟(jì)中的市場(chǎng)份額與其在數(shù)據(jù)領(lǐng)域構(gòu)想的“歐洲中心主義”還尚不匹配，但歐盟通過構(gòu)建高門檻高標(biāo)準(zhǔn)的數(shù)據(jù)跨境傳輸規(guī)則成功地向其他國(guó)家輸出歐盟模式，使歐盟模式得以向世界范圍擴(kuò)張，進(jìn)而深刻影響國(guó)際數(shù)據(jù)治理格局。對(duì)于歐盟范式擴(kuò)張效應(yīng)的產(chǎn)生，中國(guó)應(yīng)客觀審視和借鑒，同時(shí)構(gòu)建本土規(guī)則，形成中國(guó)模式，建構(gòu)數(shù)據(jù)流動(dòng)法律的中國(guó)方案。

　　引言

　　歐盟模式著力于內(nèi)部數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)的統(tǒng)一，但對(duì)于非歐美國(guó)家而言，歐盟模式成為其與歐盟建立數(shù)字經(jīng)濟(jì)合作的一道壁壘。歐盟通過一般數(shù)據(jù)保護(hù)條例（gdpr）抬高市場(chǎng)準(zhǔn)入標(biāo)準(zhǔn)，將不符合標(biāo)準(zhǔn)的國(guó)家和企業(yè)一律排除在外，并通過潛移默化地向外滲透歐盟模式，使其他國(guó)家的數(shù)據(jù)流動(dòng)標(biāo)準(zhǔn)向歐盟靠近，潛移默化地將歐盟模式升級(jí)為一種范式，并不斷地?cái)U(kuò)張其影響力，深刻影響著國(guó)際數(shù)據(jù)流動(dòng)治理格局。

　　一、歐盟數(shù)據(jù)流動(dòng)規(guī)則范式的構(gòu)建

　　歐盟數(shù)據(jù)流動(dòng)規(guī)則范式主要是圍繞兩條主線來構(gòu)建：?jiǎn)我粩?shù)字市場(chǎng)和技術(shù)主權(quán)。即對(duì)內(nèi)要建立統(tǒng)一數(shù)字市場(chǎng)，加快歐盟整體數(shù)字化轉(zhuǎn)型，發(fā)揮歐盟整體優(yōu)勢(shì)，爭(zhēng)做數(shù)字化發(fā)展的領(lǐng)跑者；對(duì)外就是要在隱私安全得以確保的前提下實(shí)現(xiàn)“跨境數(shù)據(jù)自由流動(dòng)”。除上述兩條主線外，歐盟通過以下三種具體方式進(jìn)行歐盟數(shù)據(jù)流動(dòng)規(guī)則范式的構(gòu)建：第一，進(jìn)行g(shù)dpr有關(guān)數(shù)據(jù)跨境的制度設(shè)計(jì)；第二，提出充分性認(rèn)定規(guī)則；第三，設(shè)立標(biāo)準(zhǔn)合同指引。

　　歐盟通過gdpr正在實(shí)現(xiàn)其數(shù)字單一市場(chǎng)的建設(shè)，同時(shí)通過gdpr的域外適用效力將與市場(chǎng)有關(guān)的社會(huì)和經(jīng)濟(jì)政策及監(jiān)管措施外部化，使得歐盟內(nèi)部標(biāo)準(zhǔn)具有外部影響力，通過這樣的制度設(shè)計(jì)，歐盟在向其他國(guó)家及地區(qū)輸出其標(biāo)準(zhǔn)，并在國(guó)際標(biāo)準(zhǔn)的制定的競(jìng)爭(zhēng)上取得了先機(jī)，對(duì)全球的數(shù)據(jù)監(jiān)管產(chǎn)生了深遠(yuǎn)的影響。

　　gdpr有關(guān)數(shù)據(jù)跨境的制度設(shè)計(jì)

　　gdpr第五章規(guī)定個(gè)人數(shù)據(jù)可以在歐盟成員國(guó)之間自由流動(dòng)，沒有任何限制，但是非歐盟成員國(guó)想要從歐盟成員國(guó)處獲取個(gè)人信息數(shù)據(jù)，就需要達(dá)到適足性、充分性標(biāo)準(zhǔn)。如果歐盟數(shù)據(jù)保護(hù)委員會(huì)認(rèn)定第三國(guó)對(duì)被轉(zhuǎn)移數(shù)據(jù)的保護(hù)能夠達(dá)到gdpr規(guī)定的標(biāo)準(zhǔn)，則其與歐盟成員國(guó)之間的數(shù)據(jù)轉(zhuǎn)移不需要特意授權(quán)。相反，除上述情況外，歐盟數(shù)據(jù)保護(hù)委員會(huì)都需要對(duì)第三國(guó)的數(shù)據(jù)保護(hù)水平進(jìn)行評(píng)估，主要評(píng)估包括第三國(guó)關(guān)于人權(quán)和自由的立法是否完備、是否加入并履行與個(gè)人數(shù)據(jù)保護(hù)相關(guān)的國(guó)際協(xié)定或承諾以及政府當(dāng)局對(duì)于數(shù)據(jù)轉(zhuǎn)移、數(shù)據(jù)控制的管理情況等在內(nèi)的相關(guān)事項(xiàng)。顯然，在數(shù)據(jù)跨境流動(dòng)中，歐盟以充分性認(rèn)定機(jī)制作為數(shù)據(jù)跨境流動(dòng)的基準(zhǔn)，當(dāng)?shù)谌龂?guó)對(duì)該數(shù)據(jù)的保護(hù)水平達(dá)到充分性要求，或者經(jīng)過評(píng)估確認(rèn)該國(guó)的數(shù)據(jù)保護(hù)水平能夠達(dá)到與歐盟“實(shí)質(zhì)等同”時(shí)，即能為提供數(shù)據(jù)的歐盟成員國(guó)提供的充分的保障，歐委會(huì)將發(fā)布對(duì)該國(guó)的“充分性”認(rèn)定。此外，根據(jù)gdpr有關(guān)條文規(guī)定，若沒有經(jīng)過“充分性”認(rèn)定，則需要提供一定保障措施，如制定具有約束力的合同條款、第三方認(rèn)證等，但前提是上述保護(hù)措施需要得到國(guó)家數(shù)據(jù)保護(hù)機(jī)構(gòu)的批準(zhǔn)。最后，如果第三國(guó)既未進(jìn)行“充分性”認(rèn)定，又無法提供有效的保障措施，那么歐盟數(shù)據(jù)保護(hù)委員會(huì)將采納列舉方式公布可以轉(zhuǎn)移的數(shù)據(jù)范圍，此即“特殊情形下的義務(wù)克減”條款。

　　充分性認(rèn)定規(guī)則

　　1995年數(shù)據(jù)保護(hù)令（data protection directive）出臺(tái)，在第25條首次提出“充分性保護(hù)原則”的概念。鑒于出臺(tái)的時(shí)間較早，數(shù)據(jù)保護(hù)令雖然提出對(duì)充分保護(hù)水平進(jìn)行認(rèn)定以及應(yīng)當(dāng)進(jìn)行評(píng)估的事項(xiàng)，但沒有提出具體、統(tǒng)一的方法和標(biāo)準(zhǔn)，僅僅是原則性規(guī)定，較為抽象，實(shí)際操作性不強(qiáng)，不能直接用于評(píng)估第三國(guó)對(duì)相關(guān)數(shù)據(jù)保護(hù)水平是否達(dá)到歐盟的要求。

　　2018年5月出臺(tái)的歐盟一般數(shù)據(jù)保護(hù)條例在繼承在先規(guī)定的充分性保護(hù)原則的基礎(chǔ)上，明確了“充分性”的認(rèn)定標(biāo)準(zhǔn)和實(shí)施條件。根據(jù)gdpr第45條的規(guī)定，充分性認(rèn)定是指以第三國(guó)立法與法律實(shí)施情況、數(shù)據(jù)監(jiān)管機(jī)構(gòu)水平、加入個(gè)人數(shù)據(jù)保護(hù)的國(guó)際條約或多邊協(xié)定情況等為評(píng)估標(biāo)準(zhǔn)，判定數(shù)據(jù)所轉(zhuǎn)移至第三國(guó)對(duì)歐盟居民個(gè)人數(shù)據(jù)保護(hù)是否能夠達(dá)到充分保護(hù)的水平，如能達(dá)到充分保護(hù)水平，則獲準(zhǔn)第三國(guó)與歐盟進(jìn)行數(shù)據(jù)跨境傳輸。充分性認(rèn)定規(guī)則被稱為“歐洲個(gè)人數(shù)據(jù)跨境的簽證”，獲得充分性認(rèn)定的國(guó)家與地區(qū)，視為與歐盟及其成員國(guó)具備同等的數(shù)據(jù)保護(hù)能力。

　　目前，世界范圍內(nèi)已有包括安道爾公國(guó)、阿根廷、澤西島、以色列、瑞士與烏拉圭等在內(nèi)的國(guó)家、地區(qū)以及相關(guān)組織通過充分性認(rèn)定。在gdpr的跨境數(shù)據(jù)傳輸機(jī)制中，充分性認(rèn)定機(jī)制要求各國(guó)對(duì)于個(gè)人信息數(shù)據(jù)的保護(hù)標(biāo)準(zhǔn)達(dá)到gdpr的標(biāo)準(zhǔn)，才能獲得gdpr認(rèn)定，這就導(dǎo)致那些想要獲得認(rèn)定的國(guó)家或地區(qū)在進(jìn)行有關(guān)個(gè)人信息數(shù)據(jù)保護(hù)立法時(shí)向歐盟標(biāo)準(zhǔn)靠攏，進(jìn)而擴(kuò)張歐盟數(shù)據(jù)流動(dòng)范式的輻射范圍，如貝林、泰國(guó)、突尼斯、智利、巴西、加拿大等國(guó)更新了數(shù)據(jù)保護(hù)法或提出立法草案，究其立法模式和立法內(nèi)容，明顯深受gdpr影響。

　　上述國(guó)家之所以會(huì)采取與gdpr相似或相同的保護(hù)標(biāo)準(zhǔn)，原因有二：一方面，全球互聯(lián)網(wǎng)產(chǎn)業(yè)十分集中，大多數(shù)國(guó)家都存在數(shù)字經(jīng)濟(jì)生產(chǎn)和消費(fèi)失衡現(xiàn)象，故通過效仿歐盟嚴(yán)格的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)來約束和限制互聯(lián)網(wǎng)強(qiáng)國(guó)的數(shù)據(jù)控制者或管理者；另一方面，歐盟本身就是一個(gè)巨大的商業(yè)市場(chǎng)，對(duì)于非歐盟國(guó)家極具吸引力，大多數(shù)非歐盟成員國(guó)都希望獲得與歐盟進(jìn)行數(shù)據(jù)流動(dòng)的許可。此外，gdpr的影響力早已擴(kuò)張到亞洲，以日本為例，其在2015年頒布的個(gè)人信息保護(hù)法就確立了類似的充分性認(rèn)定機(jī)制。隨著日本在數(shù)據(jù)跨境流動(dòng)規(guī)則日益向歐盟趨同，其于2018年7月與歐盟簽署經(jīng)濟(jì)伙伴關(guān)系協(xié)定，約定建立數(shù)據(jù)流通安全區(qū)，相互將對(duì)方的數(shù)據(jù)保護(hù)體系視為同等有效，這意味著歐日達(dá)成首個(gè)“對(duì)等充分性”協(xié)議。2018年9月，正式對(duì)日本進(jìn)行充分性認(rèn)定程序，并于次年1月通過了對(duì)日本的充分性認(rèn)定，與此同時(shí)日本也作出對(duì)等的認(rèn)定，從而形成世界最大的數(shù)據(jù)安全流通區(qū)，個(gè)人數(shù)據(jù)可以在兩者之間自由流動(dòng)。不妨設(shè)想一下，如果越來越多的國(guó)家，學(xué)習(xí)歐盟與日本之間的“成功經(jīng)驗(yàn)”，那么在這些國(guó)家間將會(huì)形成歐盟主導(dǎo)下以歐盟數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)為基礎(chǔ)的數(shù)據(jù)安全流通區(qū)，gdpr的壁壘效果得以凸顯，將不符合歐盟數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)的國(guó)家一律被排除在外，這些國(guó)家將面臨數(shù)據(jù)流動(dòng)障礙，這時(shí)候阻礙這些國(guó)家數(shù)據(jù)流動(dòng)的不僅是歐盟，而是其他國(guó)家與歐盟結(jié)成的“數(shù)據(jù)安全流通區(qū)”，進(jìn)而深刻影響全球數(shù)據(jù)流動(dòng)和數(shù)據(jù)管理。

　　標(biāo)準(zhǔn)合同指引

　　歐盟標(biāo)準(zhǔn)合同（standard contractual clauses）最早可以追溯到2001年，歐盟委員會(huì)首次推出了基于第95／46／ec號(hào)保護(hù)個(gè)人在數(shù)據(jù)處理和此類數(shù)據(jù)自動(dòng)流動(dòng)中權(quán)利的指令的標(biāo)準(zhǔn)合同條款scc2001c和scc2001p，后在2004年和2010年分別推出了兩個(gè)新版本scc2004c和scc2010p（后者取代scc2001p）。gdpr的第5章對(duì)于從歐盟向第三國(guó)或國(guó)際組織傳輸個(gè)人信息進(jìn)行了規(guī)定，確保自然人數(shù)據(jù)出境后受到的保護(hù)水平不會(huì)被減損。該章節(jié)為此設(shè)置了若干適當(dāng)性保障措施，其中就包括歐盟委員會(huì)制定的標(biāo)準(zhǔn)合同條款。為了落實(shí)該章節(jié)中的要求，歐盟委員會(huì)于2021年6月4日通過“關(guān)于向第三國(guó)轉(zhuǎn)移個(gè)人數(shù)據(jù)的標(biāo)準(zhǔn)合同條款的決定”。（“歐委會(huì)決定”），并將最新版本標(biāo)準(zhǔn)合同條款（“歐盟scc”）作為附件，取代之前所有的scc版本。

　　個(gè)人數(shù)據(jù)的跨境流動(dòng)對(duì)于擴(kuò)展國(guó)際貿(mào)易和國(guó)際合作是必要的，但這也引發(fā)了對(duì)個(gè)人數(shù)據(jù)保護(hù)的憂慮。根據(jù)歐盟95指令和gdpr要求，當(dāng)個(gè)人數(shù)據(jù)從歐盟轉(zhuǎn)移至位于第三國(guó)時(shí)，必須選擇適當(dāng)?shù)暮弦?guī)路徑，以確保對(duì)個(gè)人數(shù)據(jù)的保護(hù)水準(zhǔn)不降低。目前，尚沒有通用的最優(yōu)路徑，不同的企業(yè)應(yīng)根據(jù)自身的數(shù)據(jù)流、業(yè)務(wù)模式和風(fēng)險(xiǎn)特點(diǎn)選擇適當(dāng)?shù)暮弦?guī)路徑。對(duì)互聯(lián)網(wǎng)企業(yè)來說，可以通過用戶點(diǎn)擊來尋求用戶同意，因而獲取用戶同意是最便捷的路徑；對(duì)于擁有大量子公司的大型集團(tuán)企業(yè)而言，制定適用于集團(tuán)內(nèi)部的統(tǒng)一規(guī)則并尋求歐盟監(jiān)管機(jī)關(guān)認(rèn)可是最優(yōu)方案；而對(duì)于大量中小企業(yè)而言，標(biāo)準(zhǔn)合同條款可能是最好的選擇。預(yù)先擬定的標(biāo)準(zhǔn)條款可以減少締約成本，也有助于提升國(guó)際數(shù)據(jù)保護(hù)規(guī)定的一致性和可預(yù)知性。在全球數(shù)據(jù)保護(hù)統(tǒng)一規(guī)則缺失的情況下，標(biāo)準(zhǔn)條款合同成為不同國(guó)家之間在共同規(guī)則下進(jìn)行數(shù)據(jù)移轉(zhuǎn)的重要工具。

　　二、歐盟數(shù)據(jù)流動(dòng)規(guī)則范式的擴(kuò)張

　　歐盟模式的吸引力

　　首先，歐盟數(shù)據(jù)保護(hù)體系具有很強(qiáng)的可模仿性和兼容性，除少數(shù)個(gè)別國(guó)家外，對(duì)數(shù)據(jù)保護(hù)仍然處于空白的國(guó)家具有立法參照的吸引力，它深刻地影響著一些歐盟成員國(guó)以外的其他歐洲國(guó)家、南美國(guó)家以及部分非洲國(guó)家和一些亞太國(guó)家。比如巴西通用數(shù)據(jù)保護(hù)法、印度2019年個(gè)人數(shù)據(jù)保護(hù)法案（草案）都不同程度地借鑒了gdpr模式及其數(shù)據(jù)跨境傳輸規(guī)則。

　　其次，在數(shù)字時(shí)代，數(shù)據(jù)自由流動(dòng)是繁榮貿(mào)易的基礎(chǔ)。越來越多的國(guó)家期望通過數(shù)據(jù)保護(hù)推動(dòng)本國(guó)數(shù)字經(jīng)濟(jì)和貿(mào)易發(fā)展。各國(guó)需要優(yōu)質(zhì)的個(gè)人數(shù)據(jù)以適應(yīng)全球數(shù)字經(jīng)濟(jì)，這意味著不僅需要在境內(nèi)加強(qiáng)個(gè)人數(shù)據(jù)保護(hù)，還需要在境外數(shù)據(jù)本土化的背景下支持自由跨境數(shù)據(jù)流動(dòng)。各國(guó)積極與其他實(shí)行數(shù)據(jù)保護(hù)的國(guó)家和地區(qū)推動(dòng)基于互惠原則的數(shù)據(jù)跨境傳輸，在與其他國(guó)家的自由貿(mào)易協(xié)定中也注重對(duì)跨境數(shù)據(jù)傳輸規(guī)定的補(bǔ)充。這種背景趨勢(shì)下，擁有高標(biāo)準(zhǔn)的數(shù)據(jù)保護(hù)規(guī)則的歐盟毫不例外是一個(gè)最佳選擇。

　　最后，目前的國(guó)際社會(huì)尚未達(dá)成一致的數(shù)據(jù)保護(hù)協(xié)議，各國(guó)的數(shù)據(jù)保護(hù)水平尚存偏差，但是越來越多的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)已經(jīng)向gdpr靠近。正如韓國(guó)nohyoung park教授對(duì)韓國(guó)靠近歐盟模式原因的剖析，韓國(guó)若想在跨境數(shù)字貿(mào)易上成為有力的規(guī)則制定者，必須要在數(shù)據(jù)保護(hù)方面向高標(biāo)準(zhǔn)的數(shù)據(jù)保護(hù)規(guī)則靠近，制定有效的規(guī)則，在此基礎(chǔ)上支持?jǐn)?shù)字貿(mào)易的穩(wěn)定運(yùn)行。歐盟模式的這種吸引力一方面促進(jìn)歐盟模式在其他國(guó)家的仿照適用，使得歐盟數(shù)據(jù)跨境規(guī)則更容易為其他國(guó)家接受；另一方面，這也為輸出歐盟模式，使歐盟模式得以向世界范圍擴(kuò)張，進(jìn)而深刻影響國(guó)際數(shù)據(jù)治理格局奠定基礎(chǔ)。

　　在美國(guó)妥協(xié)中穩(wěn)固

　　除直接全盤接受歐盟數(shù)據(jù)流動(dòng)規(guī)則外，還有一種解決數(shù)據(jù)跨境流動(dòng)難題的處理模式，是由特定的國(guó)家、地區(qū)直接與歐盟相關(guān)機(jī)構(gòu)進(jìn)行磋商并訂立具有法律約束力與可執(zhí)行性的數(shù)據(jù)保護(hù)協(xié)議，最為典型的便是歐美之間的合作與妥協(xié)。

　　1.美歐談判的起始

　　最開始美國(guó)并未達(dá)到歐盟gdpr“充分性認(rèn)定”的要求，但基于個(gè)人數(shù)據(jù)流動(dòng)需要，美國(guó)主動(dòng)就個(gè)人數(shù)據(jù)保護(hù)方面和歐盟進(jìn)行談判協(xié)商，并出臺(tái)《安全港協(xié)議》（the eu-us safe harbor）作為應(yīng)對(duì)措施。按照協(xié)議約定，美國(guó)企業(yè)只有通過規(guī)定的資格認(rèn)證，或者能提供等同于歐盟數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)的保護(hù)措施，才能獲得歐盟成員國(guó)所保存、管理的個(gè)人數(shù)據(jù)。美歐簽署《安全港協(xié)議》之初，阻礙美歐間數(shù)據(jù)流動(dòng)的壁壘一掃而空，促使兩大經(jīng)濟(jì)體之間的數(shù)字貿(mào)易交往十分密切、數(shù)據(jù)跨境流動(dòng)暢通無阻，但隨著時(shí)間推移，美歐對(duì)于個(gè)人信息保護(hù)基本立場(chǎng)的沖突逐漸顯現(xiàn)，甚至愈發(fā)激烈，最后歐洲法院判定“2000／520號(hào)”歐盟決定無效，宣告《安全港協(xié)議》失效?！栋踩蹍f(xié)議》的失效并不出人意外，因?yàn)闊o論哪一項(xiàng)國(guó)際條約和協(xié)定的簽署均以雙方的共同期望和信任為基礎(chǔ)，《安全港協(xié)議》也不例外，美國(guó)在簽署《安全港協(xié)議》時(shí)，僅為解決當(dāng)下難以從歐盟獲取個(gè)人信息數(shù)據(jù)的問題，并非真正認(rèn)同歐盟對(duì)于個(gè)人信息保護(hù)的標(biāo)準(zhǔn)。正所謂“道不同不相為謀”，美歐簽署《安全港協(xié)議》僅能獲得暫時(shí)性的和諧和數(shù)據(jù)流動(dòng)，而它的失敗是可以預(yù)見的。

　　2.美歐談判的繼續(xù)

　　繼《安全港協(xié)議》失敗，美歐就個(gè)人數(shù)據(jù)保護(hù)問題再次開展談判，并最終于2016年簽署《隱私盾協(xié)議》（the eu-us privacy shield），該協(xié)議為美國(guó)設(shè)定了更多數(shù)據(jù)保護(hù)方面的責(zé)任和義務(wù)。此外，根據(jù)《隱私盾協(xié)議》約定，如果歐盟成員國(guó)的數(shù)據(jù)主體如果對(duì)協(xié)議本身或執(zhí)行不滿，可以直接向本國(guó)的數(shù)據(jù)保護(hù)機(jī)關(guān)投訴，數(shù)據(jù)保護(hù)機(jī)關(guān)根據(jù)投訴進(jìn)行調(diào)查，若查證屬實(shí)，則有權(quán)作出中止數(shù)據(jù)流通的決定，這無疑是為歐盟境內(nèi)數(shù)據(jù)主體提供了多重救濟(jì)途徑。歐盟成員國(guó)數(shù)據(jù)保護(hù)機(jī)關(guān)所享有這種決定權(quán)，對(duì)于美國(guó)來說，無疑是一個(gè)“定時(shí)炸彈”，時(shí)刻威脅著美歐雙方數(shù)字經(jīng)濟(jì)合作的持續(xù)性和穩(wěn)定性。而且，由于維護(hù)國(guó)家安全一直是美國(guó)發(fā)展理念的重中之重，相較于歐盟核心關(guān)注個(gè)人信息保護(hù)，美國(guó)對(duì)個(gè)人信息保護(hù)重視程度弱于國(guó)家安全，雙方在核心利益上的差異使得《隱私盾協(xié)議》難以產(chǎn)生預(yù)期的效果。

　　即使美歐雙方對(duì)《安全港協(xié)議》進(jìn)行改進(jìn)，來緩解歐洲法院對(duì)于個(gè)人信息保護(hù)不足的擔(dān)憂，但又即將面臨新一輪的法律挑戰(zhàn)，上述改進(jìn)也只是杯水車薪。2020年7月16日歐洲法院正式宣布?xì)W盟——美國(guó)《隱私盾協(xié)議》無效，起因是max schrems向愛爾蘭數(shù)據(jù)保護(hù)專員提起訴訟，認(rèn)為facebook愛爾蘭不能使用sccs作為數(shù)據(jù)轉(zhuǎn)移機(jī)制，后愛爾蘭高等法院將該案移交給歐洲法院，經(jīng)過審理，最后做出了上述決定。歐洲法院認(rèn)為《隱私盾協(xié)議》無效的理由有二：首先，依據(jù)《隱私盾協(xié)議》的規(guī)定以及美國(guó)基于國(guó)家安全考量進(jìn)行的情報(bào)收集，個(gè)人信息數(shù)據(jù)完全有可能被cia、fbi等情報(bào)部門獲取，從而造成個(gè)人信息數(shù)據(jù)的泄露，因此“隱私盾”協(xié)議并不能對(duì)個(gè)人信息達(dá)到預(yù)想的充分保護(hù)，同時(shí)，歐洲法院還發(fā)現(xiàn)美國(guó)立法中的隱私保護(hù)條款并未達(dá)到歐盟要求的標(biāo)準(zhǔn)；其次，在面對(duì)上述情形時(shí)，旨在處理歐盟成員國(guó)數(shù)據(jù)主體投訴的“隱私盾”監(jiān)察員并不能采取有效措施，缺乏權(quán)威性和獨(dú)立性，根本無法對(duì)美國(guó)有關(guān)部門進(jìn)行調(diào)查和約束。《隱私盾協(xié)議》的失效使美歐之間的數(shù)據(jù)流動(dòng)再次陷入了僵局，美歐之間產(chǎn)生嚴(yán)重的信任危機(jī)，雙方也開始繼續(xù)尋求新的契機(jī)。

　　3.美歐的第三次嘗試

　　2022年3月，歐盟與美國(guó)宣布推出新的數(shù)據(jù)安全流動(dòng)協(xié)議《跨大西洋數(shù)據(jù)隱私框架》（trans-atlantic data privacy framework）。云服務(wù)供應(yīng)商紛紛對(duì)此表示歡迎。拜登總統(tǒng)在宣布這項(xiàng)框架協(xié)議時(shí)指出，該框架強(qiáng)調(diào)了歐美雙方對(duì)隱私、數(shù)據(jù)保護(hù)和法治的共同承諾，它將“再次批準(zhǔn)數(shù)據(jù)的跨大西洋流動(dòng)，此舉有助于為雙邊價(jià)值7.1萬億美元的經(jīng)貿(mào)關(guān)系提供便利”。2022年12月，歐盟委員會(huì)啟動(dòng)了《歐盟——美國(guó)數(shù)據(jù)隱私框架充分性決定草案》（eu-u.s. data privacy framework）的推進(jìn)進(jìn)程，并且據(jù)歐盟委員會(huì)介紹，《草案》反映了其對(duì)美國(guó)法律框架的評(píng)估，并最終認(rèn)定美國(guó)可以為從歐盟成員國(guó)轉(zhuǎn)移到美國(guó)的個(gè)人信息數(shù)據(jù)提供同等于歐盟標(biāo)準(zhǔn)的保護(hù)。

　　從歐美之間數(shù)據(jù)流動(dòng)合作中不難看出美國(guó)對(duì)歐盟的妥協(xié)，雖然美國(guó)數(shù)據(jù)自由流動(dòng)的規(guī)則模式不會(huì)被歐盟模式改變，卻也不能免于受其輻射影響，僅就這一點(diǎn)，對(duì)我國(guó)來說似乎具有一定的思考意義。

　　在區(qū)域談判中擴(kuò)張

　　歐盟對(duì)數(shù)據(jù)的嚴(yán)格保護(hù)標(biāo)準(zhǔn)為歐盟數(shù)據(jù)筑起了一堵高墻，能夠獲得歐委會(huì)“充分性認(rèn)定”的國(guó)家并不多，但是歐盟又是一個(gè)擁有巨大數(shù)字市場(chǎng)的區(qū)域，因此許多國(guó)家不得不與歐盟展開區(qū)域談判。

　　1.區(qū)域談判的開端

　　第一個(gè)在區(qū)域談判領(lǐng)域包含大量電子商務(wù)條款的協(xié)議是歐盟與智利于2002年簽署的歐盟——智利雙邊貿(mào)易協(xié)定，協(xié)定中不僅約定雙方進(jìn)行電子商務(wù)合作，還將電子商務(wù)合作諸如信息技術(shù)、電信領(lǐng)域承諾以及服務(wù)章節(jié)等具體事項(xiàng)進(jìn)行約定。此后，研究數(shù)據(jù)技術(shù)成為歐盟在電子商務(wù)領(lǐng)域創(chuàng)新的新重點(diǎn)，并作為是否與他國(guó)簽署雙邊貿(mào)易協(xié)議的重要考量標(biāo)準(zhǔn)。在歐盟——智利雙邊貿(mào)易協(xié)定中，雖未直接提及個(gè)人信息數(shù)據(jù)保護(hù)，但實(shí)際上歐盟已經(jīng)將數(shù)字經(jīng)濟(jì)貿(mào)易視為新的發(fā)展重點(diǎn)，必將涉及個(gè)人信息數(shù)據(jù)的保護(hù)。

　　2.區(qū)域談判的增多

　　繼歐盟和智利簽署雙邊貿(mào)易協(xié)定后，雙方在數(shù)字經(jīng)濟(jì)合作和電子商務(wù)領(lǐng)域都取得長(zhǎng)足的進(jìn)展，其他國(guó)家紛紛效仿，例如歐盟和韓國(guó)在2010年簽署歐盟－韓國(guó)自由貿(mào)易協(xié)定、歐盟和加拿大在2017年簽署歐盟——加拿大全面經(jīng)濟(jì)貿(mào)易協(xié)定。相較于歐盟——智利雙邊貿(mào)易協(xié)定，歐盟——韓國(guó)自由貿(mào)易協(xié)定在一定程度上借鑒了美國(guó)雙邊貿(mào)易協(xié)定范本，其不僅明確了wto協(xié)議可在哪些方面對(duì)電子商務(wù)措施進(jìn)行規(guī)范，還制定出更為嚴(yán)格的個(gè)人新數(shù)據(jù)保護(hù)條款。一直以來，歐盟對(duì)于個(gè)人信息數(shù)據(jù)的保護(hù)非常重視，不斷將關(guān)于個(gè)人信息數(shù)據(jù)保護(hù)的法律框架向與其簽署雙邊貿(mào)易協(xié)定的國(guó)家擴(kuò)張和推行，試圖將其他國(guó)家拉入歐盟數(shù)據(jù)流動(dòng)范式陣營(yíng)。目前，世界各國(guó)在消費(fèi)者保護(hù)、承認(rèn)電子簽名以及無紙化交易方面的合作越來越頻繁，而歐盟－加拿大全面經(jīng)濟(jì)貿(mào)易協(xié)定為對(duì)電子商務(wù)領(lǐng)域作出更具體的規(guī)定，最終采取了負(fù)面清單方式，并在協(xié)定中就電子商務(wù)信任度和個(gè)人信息數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)進(jìn)行了約定。

　　此外，歐盟在和其他國(guó)家就電子商務(wù)和個(gè)人信息數(shù)據(jù)保護(hù)簽署協(xié)議的同時(shí)，也積極參與跨大西洋貿(mào)易和投資伙伴協(xié)定的談判。這些談判和協(xié)議是建立在這些國(guó)家改變國(guó)內(nèi)立法和政策的基礎(chǔ)上，實(shí)現(xiàn)向歐盟模式靠攏。不妨設(shè)想一下，一旦越來越多的國(guó)家仿效歐盟數(shù)據(jù)保護(hù)規(guī)則，形成以歐盟數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)為共識(shí)的數(shù)據(jù)自由流通區(qū)，那么不符合歐盟數(shù)據(jù)保護(hù)要求的國(guó)家將都被排除在外，面臨數(shù)據(jù)流動(dòng)的障礙，歐盟模式產(chǎn)生的壁壘效果將進(jìn)一步擴(kuò)散，進(jìn)而深刻影響全球數(shù)據(jù)治理格局。區(qū)域談判的進(jìn)行和區(qū)域協(xié)議的達(dá)成，以循序漸進(jìn)的方式進(jìn)一步推廣歐盟gdpr數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)在全球范圍內(nèi)的接受程度，在可預(yù)見的未來，歐盟本身強(qiáng)大的經(jīng)濟(jì)影響力或吸引更多的國(guó)家和企業(yè)遵守其數(shù)據(jù)保護(hù)規(guī)則。

　　三、歐盟范式擴(kuò)張中中國(guó)的應(yīng)對(duì)方案

　　隨著全球數(shù)據(jù)流動(dòng)的不斷加強(qiáng)，歐盟數(shù)據(jù)流動(dòng)范式不斷擴(kuò)張，其他大國(guó)對(duì)數(shù)據(jù)跨境流動(dòng)規(guī)則的博弈不斷加劇，我國(guó)不斷對(duì)外開放，需要提出符合中國(guó)特色的“中國(guó)方案”，依靠國(guó)內(nèi)和國(guó)內(nèi)兩個(gè)大循環(huán)聯(lián)動(dòng)擴(kuò)大我國(guó)數(shù)據(jù)跨境流動(dòng)規(guī)則影響力，建立數(shù)字跨境流動(dòng)“朋友圈”。

　　截至目前，國(guó)家安全和執(zhí)法便利仍是我國(guó)數(shù)據(jù)跨境流動(dòng)管理的主要目標(biāo)，尚未將加強(qiáng)數(shù)字服務(wù)貿(mào)易交流、促進(jìn)數(shù)字企業(yè)全球化發(fā)展納入管理目標(biāo)。在數(shù)據(jù)流動(dòng)全球化的背景下，這顯然是不利于擴(kuò)大我國(guó)數(shù)據(jù)跨境流動(dòng)規(guī)則，以及維護(hù)我國(guó)數(shù)據(jù)主權(quán)。在我國(guó)簽署的所有貿(mào)易協(xié)定中，只有rcep涉及數(shù)據(jù)跨境流動(dòng)，并且該規(guī)定也僅是原則性，較為模糊、抽象，不能通過爭(zhēng)端解決機(jī)制獲得救濟(jì)。同時(shí)，歐美國(guó)家不斷對(duì)數(shù)據(jù)主張長(zhǎng)臂管轄權(quán)，而我國(guó)受制于現(xiàn)行的數(shù)據(jù)流動(dòng)規(guī)則的限制。一方面，難以協(xié)議方式與歐美國(guó)家進(jìn)行數(shù)據(jù)傳輸，另一方面，還可能面臨“規(guī)則排除”的不利境地。近年來，部分國(guó)內(nèi)企業(yè)基于商業(yè)目的進(jìn)行的數(shù)據(jù)跨境流動(dòng)引起歐美國(guó)家的指責(zé)，就是很好的例證。歐盟以很小的市場(chǎng)份額，卻利用其法律制度領(lǐng)域的傳統(tǒng)優(yōu)勢(shì)，一躍成為大多數(shù)國(guó)家制定國(guó)內(nèi)立法的“標(biāo)桿”。

　　結(jié)合當(dāng)前歐盟數(shù)據(jù)流動(dòng)范式不斷擴(kuò)大，立足我國(guó)目前數(shù)據(jù)跨境管理現(xiàn)狀，下文提出我國(guó)應(yīng)采取何種應(yīng)對(duì)措施。

　　提高中國(guó)數(shù)據(jù)保護(hù)水準(zhǔn)

　　歐盟的充分性認(rèn)定標(biāo)準(zhǔn)，實(shí)際上是將歐盟的法律框架強(qiáng)加給其他非歐盟國(guó)家，我國(guó)對(duì)此不能全盤接受，但這并不意味著不能吸納歐盟法律中的可取之處?；谖覈?guó)數(shù)字經(jīng)濟(jì)的領(lǐng)先地位，存在一批市場(chǎng)規(guī)模較大、技術(shù)先進(jìn)以及發(fā)展良好的企業(yè)，對(duì)于這些企業(yè)，可以按照其所在行業(yè)和特點(diǎn)進(jìn)行分類，并將相同或類似的企業(yè)集中到一起，借鑒歐盟個(gè)人信息數(shù)據(jù)保護(hù)項(xiàng)下的立法，專門設(shè)立能夠滿足我國(guó)和歐盟需要的標(biāo)準(zhǔn)協(xié)議框架，另外再?gòu)膰?guó)家層面與歐盟簽署雙邊協(xié)議以保證前述協(xié)議的有效與執(zhí)行。

　　豐富外部合作機(jī)制

　　一方面，中國(guó)要加強(qiáng)中歐合作，繼續(xù)保持“中歐對(duì)話”的傳統(tǒng)優(yōu)勢(shì)，繼續(xù)推進(jìn)與歐盟之間的數(shù)字經(jīng)濟(jì)合作，在抵御歐盟規(guī)則條款影響力的同時(shí)積極向外展示強(qiáng)大的數(shù)字經(jīng)濟(jì)實(shí)力。另一方面，我國(guó)應(yīng)積極參與區(qū)域數(shù)字經(jīng)濟(jì)合作和區(qū)域數(shù)字信息保護(hù)，努力建設(shè)我國(guó)的數(shù)據(jù)保護(hù)“朋友圈”，應(yīng)當(dāng)深入分析gdpr的具體內(nèi)容，提出針對(duì)性的申請(qǐng)意見，參與區(qū)域性數(shù)據(jù)流動(dòng)規(guī)則體系建構(gòu)。

　　建立多方安全計(jì)算與區(qū)塊鏈結(jié)構(gòu)

　　面對(duì)歐盟數(shù)據(jù)流動(dòng)范式，我國(guó)應(yīng)通過借助新興技術(shù)，開展多方安全計(jì)算架構(gòu)，搭建新平臺(tái)，提升數(shù)據(jù)應(yīng)用技術(shù)水平，實(shí)現(xiàn)數(shù)據(jù)利用和數(shù)據(jù)保護(hù)的動(dòng)態(tài)平衡。對(duì)于我國(guó)企業(yè)而言，更應(yīng)將多方安全計(jì)算與區(qū)塊鏈等新興安全技術(shù)引入到企業(yè)內(nèi)，在保證數(shù)據(jù)正常利用的同時(shí)，保護(hù)本企業(yè)所收集、保存的個(gè)人信息。在具體實(shí)踐中，參考gdpr的保護(hù)標(biāo)準(zhǔn)，搭建符合我國(guó)特色的多方安全計(jì)算與區(qū)塊鏈技術(shù)結(jié)構(gòu)，并將該架構(gòu)用于數(shù)字貿(mào)易活動(dòng)，以實(shí)踐來驗(yàn)證該架構(gòu)的合理性以及不足之處。

　　提出數(shù)據(jù)跨境流動(dòng)的“中國(guó)方案”

　　中國(guó)是數(shù)據(jù)資源大國(guó)，在不能全盤接受歐盟法律規(guī)制框架的前提下，立足我國(guó)基本情況，尋求本土規(guī)則，建立“中國(guó)方案”，是中國(guó)數(shù)據(jù)保護(hù)發(fā)展的重中之重。歐盟模式并非最佳方案，不僅審慎分析歐盟法律規(guī)制框架的潛在風(fēng)險(xiǎn)，對(duì)于數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)條款、充分性認(rèn)定等具有歐盟特色的法律工具，更要慎之又慎。中國(guó)數(shù)據(jù)保護(hù)的重心在于本土數(shù)據(jù)的對(duì)外流動(dòng)控制，不僅要避免陷入個(gè)人信息數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)的惡性競(jìng)爭(zhēng)，還有要在全局上統(tǒng)籌，在聚焦個(gè)人信息數(shù)據(jù)保護(hù)的同時(shí)時(shí)刻關(guān)注非個(gè)人信息數(shù)據(jù)的流動(dòng)，積極探索并建構(gòu)價(jià)值中立、適宜法律趨同的法律工具。

　　2022年7月7日，國(guó)家互聯(lián)網(wǎng)信息辦公室公布《數(shù)據(jù)出境安全評(píng)估辦法》，標(biāo)志著我國(guó)數(shù)據(jù)出境管理制度取得重大進(jìn)步，但這僅僅是數(shù)據(jù)跨境流動(dòng)“中國(guó)方案”的一部分，還是遠(yuǎn)遠(yuǎn)不夠的，仍然需要做好以下幾點(diǎn)：第一，以《全球數(shù)據(jù)安全倡議》為基礎(chǔ)，立足我國(guó)數(shù)據(jù)執(zhí)法、數(shù)據(jù)管理、數(shù)據(jù)安全等重要情況，研究分析gdpr的潛在不利風(fēng)險(xiǎn)予以自警，提出“中國(guó)版”解決方案，原則上可以“準(zhǔn)許流動(dòng)為主+本地化為輔+安全評(píng)估例外”為主要模式，對(duì)以商業(yè)為目的數(shù)據(jù)流動(dòng)，可放寬本地化要求，實(shí)現(xiàn)針對(duì)不同情況予以不同的管理標(biāo)準(zhǔn)，實(shí)現(xiàn)張弛有度，有的放矢。第二，將與重要貿(mào)易伙伴簽訂雙邊或多邊協(xié)議作為突破口，其中以與我國(guó)貿(mào)易交往密切、政治信用好、發(fā)展?jié)摿Υ鬄槭走x對(duì)象，為我國(guó)數(shù)據(jù)跨境流動(dòng)“朋友圈”擴(kuò)容，在抵御歐盟數(shù)據(jù)流動(dòng)規(guī)則范式不斷擴(kuò)張的同時(shí)主動(dòng)出擊建立我國(guó)自己的數(shù)據(jù)流動(dòng)規(guī)則并加以推行。第三，確保我國(guó)國(guó)內(nèi)立法與對(duì)外談判需要相銜接，如：有關(guān)個(gè)人信息保護(hù)、數(shù)據(jù)安全的立法，避免出現(xiàn)“兩張皮”。此外，進(jìn)一步完善數(shù)據(jù)分類管理機(jī)制，具體體現(xiàn)為將數(shù)據(jù)按照重要程度進(jìn)行分類，并按照分類執(zhí)行嚴(yán)格標(biāo)準(zhǔn)不同的管理方式，但需要注意，并不能因管理數(shù)據(jù)跨境流動(dòng)的需要，過分限制非敏感數(shù)據(jù)的流動(dòng)，否則將不利于科學(xué)研究和信息互通。第四，鼓勵(lì)“先行先試”，尤其是在自貿(mào)港和自貿(mào)區(qū)進(jìn)行數(shù)據(jù)安全流動(dòng)區(qū)域性改革，并支持浙江、深圳、海南、上海、北京等國(guó)內(nèi)經(jīng)濟(jì)發(fā)展較好地區(qū)推進(jìn)數(shù)據(jù)跨境流動(dòng)安全管理試點(diǎn)，不斷總結(jié)出“中國(guó)方案”。

　　四、結(jié)語(yǔ)

　　強(qiáng)化數(shù)據(jù)保護(hù)是互聯(lián)網(wǎng)時(shí)代下的大勢(shì)所趨，也將必然成為新一輪全球規(guī)則制定的焦點(diǎn)，長(zhǎng)期的立法實(shí)踐和完善的監(jiān)管體系使得歐盟數(shù)據(jù)規(guī)則模式具備一定的可行性，其強(qiáng)調(diào)數(shù)據(jù)保護(hù)的特色使得世界諸多國(guó)家仿效。歐盟數(shù)據(jù)流動(dòng)規(guī)則模式是歐洲建立數(shù)字歐洲的手段，是為了形成歐洲本土優(yōu)勢(shì)，打造歐洲式規(guī)則，并試圖將這種規(guī)則上位成一個(gè)全球性的隱私保護(hù)規(guī)則。當(dāng)各國(guó)或地區(qū)因?yàn)楦鞣N原因而紛紛靠近或者接受歐盟的規(guī)則之后，那么歐盟就徹底獲得了在數(shù)字貿(mào)易數(shù)字經(jīng)濟(jì)這個(gè)領(lǐng)域的領(lǐng)先地位，并且不斷在該領(lǐng)域鞏固和強(qiáng)化其領(lǐng)導(dǎo)地位。歐盟通過建立數(shù)據(jù)流動(dòng)規(guī)則范式，設(shè)置諸多雙邊數(shù)字經(jīng)濟(jì)合作門檻，將諸如合規(guī)成本飆升、數(shù)據(jù)控制責(zé)任過嚴(yán)等不利經(jīng)濟(jì)后果中很大一部分將由歐盟外的數(shù)字經(jīng)濟(jì)大國(guó)負(fù)擔(dān)。實(shí)際上，自歐盟出臺(tái)gdpr，facebook和谷歌因?yàn)樵诜窒碛脩魯?shù)據(jù)方面面臨訴訟，可能遭受高達(dá)30多億歐元的罰款。無獨(dú)有偶，marry meeker也在近期發(fā)布的互聯(lián)網(wǎng)趨勢(shì)報(bào)告中說明，gdpr附加給個(gè)人數(shù)據(jù)管理者和控制者的義務(wù)過重，繁重的義務(wù)必將阻礙個(gè)人數(shù)據(jù)管理者運(yùn)用和管理數(shù)據(jù)。

　　一方面，我國(guó)要慎重對(duì)待歐盟關(guān)于個(gè)人數(shù)據(jù)流動(dòng)執(zhí)法，盡可能通過國(guó)際磋商和政治談判方式解決我國(guó)法律與gdpr之間的沖突，進(jìn)而幫助我國(guó)企業(yè)在歐盟國(guó)家以及和歐盟達(dá)成“對(duì)等充分性”協(xié)議國(guó)家的經(jīng)營(yíng)發(fā)展；另一方面，在保持?jǐn)?shù)字經(jīng)濟(jì)領(lǐng)先地位的同時(shí)，建立我國(guó)自己的數(shù)據(jù)流動(dòng)規(guī)則。最后，可以對(duì)歐盟范式擴(kuò)張這一效應(yīng)進(jìn)行思考與借鑒，從內(nèi)部立法與外部合作兩個(gè)方面做出調(diào)整，并保留本土優(yōu)勢(shì)，在國(guó)際舞臺(tái)上表明我國(guó)在數(shù)據(jù)跨境流動(dòng)領(lǐng)域的態(tài)度和立場(chǎng)，提出“中國(guó)方案”。

更多精彩，請(qǐng)關(guān)注“官方微信”