歐美個(gè)人數(shù)據(jù)跨境轉(zhuǎn)移政策變遷及對(duì)我國(guó)的啟示

□ 王順清，劉 超

（南京財(cái)經(jīng)大學(xué)，江蘇 南京 210023）

歐美個(gè)人數(shù)據(jù)跨境轉(zhuǎn)移政策變遷及對(duì)我國(guó)的啟示

□ 王順清，劉 超

（南京財(cái)經(jīng)大學(xué)，江蘇 南京 210023）

從上世紀(jì)90年代至今，美國(guó)與歐盟間的個(gè)人數(shù)據(jù)跨境轉(zhuǎn)移政策幾經(jīng)變化，期間妥協(xié)交融與沖突對(duì)抗并存。本文在研究其政策變遷的基礎(chǔ)上，剖析了影響政策變化的隱性因素，認(rèn)為我國(guó)在個(gè)人數(shù)據(jù)跨境傳輸領(lǐng)域，應(yīng)理性認(rèn)識(shí)公民數(shù)據(jù)權(quán)與信息安全的相互關(guān)系，高度重視數(shù)據(jù)主權(quán)、數(shù)據(jù)管轄權(quán)對(duì)國(guó)家戰(zhàn)略的意義，完善數(shù)據(jù)跨境流通管控制度，積極參與國(guó)際規(guī)則的制定，發(fā)出中國(guó)的聲音。

信息安全；數(shù)據(jù)主權(quán)；數(shù)據(jù)管轄；數(shù)據(jù)傳輸

近年來(lái)，跨境數(shù)據(jù)傳輸①聯(lián)合國(guó)跨國(guó)公司中心對(duì)跨境數(shù)據(jù)傳輸?shù)慕缍ㄊ牵嚎缭絿?guó)界對(duì)存儲(chǔ)在計(jì)算機(jī)中的機(jī)器可讀的數(shù)據(jù)進(jìn)行處理、存儲(chǔ)和檢索。一般來(lái)說(shuō)，跨境數(shù)據(jù)流動(dòng)可以分為兩類：一種是數(shù)據(jù)跨越國(guó)界傳輸和處理；另一種是數(shù)據(jù)即使沒(méi)有跨越國(guó)界，但被第三國(guó)的主體訪問(wèn)。本文所探討的“數(shù)據(jù)”均指?jìng)€(gè)人數(shù)據(jù)。成為各界關(guān)注的焦點(diǎn)之一，特別是在當(dāng)今大數(shù)據(jù)時(shí)代、云計(jì)算大發(fā)展的背景下，數(shù)據(jù)的跨境傳輸往往涉及公民隱私權(quán)、信息安全甚至是國(guó)家安全。當(dāng)下的社會(huì)發(fā)展很大程度上依托于互聯(lián)網(wǎng)信息交換技術(shù)，越是先進(jìn)、尖端的領(lǐng)域，數(shù)據(jù)信息的傳輸交流越是頻繁。但由于網(wǎng)絡(luò)的特殊性，導(dǎo)致對(duì)網(wǎng)絡(luò)世界的監(jiān)管治理一直是個(gè)難題，因此，跨境數(shù)據(jù)傳輸?shù)难芯恳饬x不言而喻。通常情況下，數(shù)據(jù)主要通過(guò)互聯(lián)網(wǎng)設(shè)備實(shí)現(xiàn)跨境傳輸，所以對(duì)數(shù)據(jù)跨境傳輸?shù)闹卫聿粌H涉及傳統(tǒng)的互聯(lián)網(wǎng)治理還涉及各國(guó)不同法系的沖突與交流，但數(shù)據(jù)傳輸及數(shù)據(jù)保護(hù)方面尚無(wú)通行或可參考的統(tǒng)一的國(guó)際規(guī)則，所以各國(guó)多是立足各自國(guó)情制定相關(guān)法律及政策。

在我國(guó)，2017年6月實(shí)施的《網(wǎng)絡(luò)安全法》就數(shù)據(jù)跨境傳輸如何規(guī)范及治理等問(wèn)題向世界表明了中國(guó)的態(tài)度。［1］由于西方的數(shù)據(jù)應(yīng)用技術(shù)領(lǐng)先于我國(guó)且起步較早，在數(shù)據(jù)傳輸、信息保護(hù)方面已有較多的探索和實(shí)踐，法律政策體系也相對(duì)完善。如一貫注重保護(hù)公民隱私權(quán)和個(gè)人信息安全的歐盟，始終致力于建設(shè)嚴(yán)格的個(gè)人數(shù)據(jù)保護(hù)制度，不僅在其內(nèi)部推動(dòng)實(shí)施，甚至將其高標(biāo)準(zhǔn)和理念延伸至歐洲以外。歐盟與美國(guó)之間的“安全港”協(xié)議以及尚在談判中的“隱私盾”便是數(shù)據(jù)跨境傳輸?shù)慕?jīng)典案例，兩大巨頭之間的個(gè)人數(shù)據(jù)跨境轉(zhuǎn)移政策幾經(jīng)波折，這背后折射出的就是治理跨境信息的關(guān)鍵點(diǎn)以及未來(lái)的發(fā)展趨勢(shì)。

一、兩大法系數(shù)據(jù)保護(hù)制度的暫時(shí)性妥協(xié)——“安全港協(xié)議”的產(chǎn)生

“安全港協(xié)議”是歐洲與北美在信息保護(hù)領(lǐng)域的折中成果，是由歐盟為代表的大陸法系和美國(guó)為代表的英美法系所探索出的規(guī)范信息跨國(guó)傳輸?shù)男聶C(jī)制，也是“權(quán)宜之計(jì)”。因?yàn)橛嘘P(guān)個(gè)人信息保護(hù)和數(shù)據(jù)傳輸，兩大法系的規(guī)范天壤之別，歐美對(duì)這一問(wèn)題的態(tài)度也南轅北轍。

歐洲主張“個(gè)人權(quán)利保護(hù)模式”，歐盟采用的模式以法律規(guī)制為主導(dǎo)，通過(guò)政府立法從法律上確立個(gè)人數(shù)據(jù)保護(hù)的各項(xiàng)基本原則與各項(xiàng)具體的制度，并在此基礎(chǔ)上建立相應(yīng)的司法或行政救濟(jì)措施，形成完備邏輯體系。［2］具有法律規(guī)范性、強(qiáng)制性、體系性、機(jī)械性的特征。最具有代表性的法律文件是1995年頒布的《數(shù)據(jù)保護(hù)指令》（以下簡(jiǎn)稱《指令》）。該《指令》從立法角度保護(hù)個(gè)人數(shù)據(jù)權(quán)利，①數(shù)據(jù)權(quán)利等同于個(gè)人數(shù)據(jù)主權(quán)，是相對(duì)應(yīng)公民數(shù)據(jù)采集義務(wù)而形成的對(duì)數(shù)據(jù)利用的權(quán)力，即用戶對(duì)其數(shù)據(jù)的自決權(quán)和自我控制權(quán)。具體包括對(duì)個(gè)人隱私權(quán)、生命財(cái)產(chǎn)的數(shù)據(jù)保護(hù)、對(duì)企業(yè)資產(chǎn)的數(shù)據(jù)保護(hù)和本國(guó)公民及其他境內(nèi)行為體在國(guó)際社會(huì)的數(shù)據(jù)保護(hù)等。主張隱私權(quán)不容侵犯、保障人權(quán)、統(tǒng)一歐洲數(shù)據(jù)保護(hù)法，［3］并明確規(guī)定禁止將歐盟成員國(guó)公民的私人資料傳輸至他國(guó)，除非這些國(guó)家能夠?qū)?shù)據(jù)資料提供有力的保護(hù)，確保達(dá)到“充分性標(biāo)準(zhǔn)”。美國(guó)則傾向“促進(jìn)資本發(fā)展模式”，干涉甚少。美國(guó)沒(méi)有設(shè)定個(gè)人數(shù)據(jù)保護(hù)最低要求的綜合性聯(lián)邦法律，基本上采取以行業(yè)自律為主導(dǎo)的模式。所謂行業(yè)自律指的是通過(guò)行業(yè)內(nèi)部制定行為規(guī)范或規(guī)章的形式，實(shí)現(xiàn)行業(yè)內(nèi)部的自我規(guī)范和自我約束。［4］除了就政府機(jī)關(guān)及某些如兒童信息、醫(yī)療檔案以及金融數(shù)據(jù)高度敏感的領(lǐng)域進(jìn)行立法保護(hù)外，總體呈現(xiàn)行業(yè)自律即自治性、松散性、靈活性的特點(diǎn)。［5］簡(jiǎn)言之，對(duì)于數(shù)據(jù)傳輸和信息保護(hù)的規(guī)范程度，美國(guó)體現(xiàn)的是“行業(yè)標(biāo)準(zhǔn)”，歐盟體現(xiàn)的是“法律標(biāo)準(zhǔn)”。

但隨著美國(guó)互聯(lián)網(wǎng)產(chǎn)業(yè)的快速發(fā)展，互聯(lián)網(wǎng)廠商在提供服務(wù)的同時(shí)，跨境收集、轉(zhuǎn)移、處理個(gè)人數(shù)據(jù)成為一個(gè)必然趨勢(shì)。然而在歐盟看來(lái)，“美國(guó)模式”下個(gè)人數(shù)據(jù)的保護(hù)明顯不及歐洲，是否能達(dá)到“充分性保護(hù)”值得商榷。雙方法律政策以及保護(hù)力度的斷層，直接影響了個(gè)人數(shù)據(jù)的正常跨境流通。此時(shí)，“安全港協(xié)議”應(yīng)運(yùn)而生，并成為連接歐美兩種法制模式的橋梁。該協(xié)議曾于2000年正式生效，主要涵蓋歐盟與美國(guó)間信息傳輸、數(shù)據(jù)存儲(chǔ)方面的各項(xiàng)議題和標(biāo)準(zhǔn)。之后，歐盟委員會(huì)通過(guò)“NO．2000／520決議”確認(rèn)了“安全港協(xié)議”的合法性和有效性。至此，美國(guó)企業(yè)只要加入該協(xié)議并按照要求作出相應(yīng)承諾，便可將歐盟公民的個(gè)人信息傳輸至美國(guó)境內(nèi)進(jìn)行存儲(chǔ)或處理，此舉極大地便利了雙方個(gè)人數(shù)據(jù)流動(dòng)。

二、歐美數(shù)據(jù)跨境傳輸新波折——“安全港協(xié)議”被廢除

2013年，愛(ài)德華·斯諾登使美國(guó)依靠互聯(lián)網(wǎng)監(jiān)控歐洲公民、窺視世界的行為公之于眾，歐盟成員國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)紛紛質(zhì)疑 “安全港協(xié)議”，雙方于2014年1月重開(kāi)談判，商討應(yīng)對(duì)之策，雙方還未達(dá)成建設(shè)性成果，歐盟一紙判決就徹底否定了原協(xié)議。

2015年10月6日，歐盟最高司法機(jī)構(gòu)歐洲法院作出裁決，宣布?xì)W美所簽署的《安全港協(xié)議》無(wú)效，歐盟境內(nèi)的美國(guó)公司應(yīng)立刻停止其數(shù)據(jù)傳輸活動(dòng)。該爭(zhēng)議由奧地利的一名法律系學(xué)生馬克斯·施姆雷斯最先提出，他向臉書(shū)歐州總部所在地的愛(ài)爾蘭信息監(jiān)督部門(mén)提出申訴，認(rèn)為臉書(shū)愛(ài)爾蘭子公司將歐洲用戶數(shù)據(jù)傳輸至美國(guó)服務(wù)器處理，侵犯了用戶數(shù)據(jù)隱私，未經(jīng)同意使用多種用戶數(shù)據(jù)，以未授權(quán)的方式將數(shù)據(jù)傳輸至外部渠道，協(xié)助美國(guó)國(guó)家安全局（NSA）監(jiān)控。［6］鑒于美國(guó)“棱鏡”計(jì)劃的曝光，美國(guó)情報(bào)部門(mén)聯(lián)合臉書(shū)等公司監(jiān)視歐洲公民信息。有理由相信，美國(guó)法律和制度未能對(duì)數(shù)據(jù)傳輸給予有效的安全和保護(hù)，歐洲用戶隱私被窺探，個(gè)人信息受到美國(guó)國(guó)家機(jī)構(gòu)的監(jiān)控。但愛(ài)爾蘭當(dāng)局駁斥了該項(xiàng)申訴，理由便是援引歐美簽署的《安全港協(xié)議》。對(duì)此，施姆雷斯發(fā)起超過(guò)1萬(wàn)人參與報(bào)名對(duì)該議題提起集體訴訟，愛(ài)爾蘭盧森堡高等法院正式受理此案后，依據(jù)歐盟法律將案件遞交歐洲法院，由歐洲法院對(duì)案中涉及的法律問(wèn)題進(jìn)行“先行裁決”。經(jīng)調(diào)查審理，法院指出：協(xié)議適用于那些加入并承諾執(zhí)行協(xié)議的美國(guó)企業(yè)，而聯(lián)邦政府機(jī)構(gòu)則不受協(xié)議任何管制和約束，這些機(jī)構(gòu)的功能或行為潛在的影響甚至侵犯了《指令》所保護(hù)的歐洲公民的基本權(quán)利，并且美國(guó)當(dāng)前也沒(méi)有任何限制上述影響的具體法律措施以滿足歐洲公民對(duì)個(gè)人資料安全的訴求。法院在裁決要點(diǎn)里強(qiáng)調(diào)：歐洲委員會(huì)未能盡職調(diào)查美國(guó)對(duì)個(gè)人數(shù)據(jù)實(shí)際上是否提供充分性保護(hù)，僅僅通過(guò)審查安全港協(xié)定就得出武斷結(jié)論；通過(guò)《安全港協(xié)議》認(rèn)證的公司為遵守美國(guó)國(guó)家安全局指示、維護(hù)美國(guó)的利益和法律，“無(wú)視”《安全港協(xié)議》的原則和標(biāo)準(zhǔn)；歐洲公民的個(gè)人信息在傳輸過(guò)程中被美國(guó)政府部門(mén)蓄意獲取，數(shù)據(jù)安全和隱私權(quán)受到侵犯時(shí)，《安全港協(xié)議》中沒(méi)有規(guī)定針對(duì)上述情況的救濟(jì)途徑，只有解決商業(yè)糾紛的條款；《安全港協(xié)議》未符合《指令》中對(duì)個(gè)人數(shù)據(jù)保護(hù)鎖規(guī)定的“充分性”標(biāo)準(zhǔn)。［7］綜合多方面，遂裁決《安全港協(xié)議》無(wú)效。

三、歐美個(gè)人數(shù)據(jù)跨境傳輸新渠道——“隱私盾”

2016年初，繼歐美雙方重開(kāi)談判后，歐盟委員會(huì)發(fā)布了包含“隱私護(hù)盾”協(xié)議（下稱“隱私盾”）的法律文本，新協(xié)議將取代原“安全港”框架，發(fā)布的文件包括“充分性決定”草案、美國(guó)政府在執(zhí)法過(guò)程中對(duì)隱私保護(hù)的書(shū)面承諾，以及針對(duì)美國(guó)安全部門(mén)而制定的限制數(shù)據(jù)訪問(wèn)、保護(hù)信息的文本。［8］與它的前身相比，“隱私盾”的保護(hù)承諾不僅覆蓋商業(yè)領(lǐng)域，同時(shí)涵蓋國(guó)家安全部門(mén)訪問(wèn)私人數(shù)據(jù)的范疇，強(qiáng)化了數(shù)據(jù)主體和數(shù)據(jù)主權(quán)的概念?？梢?jiàn)，后者是前者的升級(jí)版，不僅在前者的基礎(chǔ)上查漏補(bǔ)缺，還進(jìn)行了豐富與細(xì)化?！半[私盾”在商業(yè)監(jiān)管和隱私保護(hù)方面有了顯著改善，加強(qiáng)了聯(lián)邦貿(mào)易委員會(huì)（Federal Trade Commission簡(jiǎn)稱“FTC”）和歐盟數(shù)據(jù)保護(hù)部門(mén)間的合作，制定了獨(dú)立嚴(yán)格的執(zhí)行標(biāo)準(zhǔn)以確保防護(hù)效果升級(jí)。新協(xié)議需要強(qiáng)大的監(jiān)控和執(zhí)行機(jī)構(gòu)作為后盾，美國(guó)商務(wù)部（US Department of Commerce簡(jiǎn)稱“DoC”）、聯(lián)邦貿(mào)易委員會(huì)、歐洲數(shù)據(jù)保護(hù)部門(mén) （European Data Protection Authorities簡(jiǎn)稱“DPAs”）三方將通力合作為新協(xié)議保駕護(hù)航。與原協(xié)議相比，“隱私盾”的創(chuàng)新和進(jìn)步之處顯而易見(jiàn)：第一，救濟(jì)機(jī)制的完善是“隱私盾”的一項(xiàng)重要突破。歐洲公民可獲得多種途徑解決問(wèn)題，個(gè)人可以根據(jù)協(xié)議選擇救濟(jì)渠道、救濟(jì)方案或向咨詢機(jī)構(gòu)尋求幫助。救濟(jì)主體還可向侵權(quán)企業(yè)提出申訴，同時(shí)可免費(fèi)獲得替代性糾紛解決方案。參加 “隱私盾”的企業(yè)承諾引入仲裁機(jī)制，而強(qiáng)制性仲裁可為歐洲公民提供最終的法律救濟(jì)。第二，美國(guó)商務(wù)部將直接介入解決投訴和詢問(wèn)。由美國(guó)國(guó)務(wù)卿設(shè)置、掌握“重要新資源”的特別小組監(jiān)督“隱私盾”的執(zhí)行情況，并由副國(guó)務(wù)卿凱瑟琳·諾維利出任監(jiān)察專員。該小組隸屬于國(guó)務(wù)院但獨(dú)立于國(guó)家安全部門(mén)，監(jiān)察機(jī)構(gòu)和監(jiān)察專員還負(fù)責(zé)監(jiān)督國(guó)家安全部門(mén)的數(shù)據(jù)訪問(wèn)情況。第三，可提高數(shù)據(jù)使用透明度，增強(qiáng)參與方所提供的保護(hù)力度，全面告知?dú)W洲公民在新協(xié)議項(xiàng)下的權(quán)利和救濟(jì)方式?！鞍踩蹍f(xié)議”實(shí)施階段，準(zhǔn)入認(rèn)證機(jī)制寬范，許多企業(yè)“寬進(jìn)寬出”，“遵紀(jì)守約”意識(shí)淡薄，這些成為原協(xié)議的漏洞之一?！半[私盾”則對(duì)加入的企業(yè)進(jìn)行了嚴(yán)格認(rèn)證，且規(guī)定了一系列公示和審查制度，明確了企業(yè)義務(wù)。美國(guó)商務(wù)部還定期更新“入盾退盾”的企業(yè)名單，及時(shí)告知公眾相關(guān)企業(yè)的真實(shí)狀況，幫助其了解個(gè)人數(shù)據(jù)被處理的訊息。即便企業(yè)“退盾”，若繼續(xù)存儲(chǔ)或使用其在“入盾”時(shí)期獲得的個(gè)人數(shù)據(jù)，必須對(duì)這些數(shù)據(jù)承擔(dān)相應(yīng)的義務(wù)，給予一定的保護(hù)。第四，“隱私盾”增加了新的隱私保護(hù)合同。即要求跨國(guó)公司向第三方傳輸數(shù)據(jù)或由其代理商處理數(shù)據(jù)時(shí)，確保該個(gè)人數(shù)據(jù)至少享有同等水平的連續(xù)性保護(hù)。根據(jù)合同中的嚴(yán)格問(wèn)責(zé)制，除非符合免責(zé)條件，第三方的違規(guī)行為需由“盾內(nèi)”企業(yè)承擔(dān)后果。第五，“隱私盾”首次為歐洲公民對(duì)情報(bào)活動(dòng)下關(guān)于隱私權(quán)的疑問(wèn)提供了特別解決渠道。作為進(jìn)程的一部分，美國(guó)政府正在對(duì)上述渠道中的一些合理訴求做出承諾和回應(yīng)，如已經(jīng)達(dá)成共識(shí)的歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)與美國(guó)情報(bào)部門(mén)共同負(fù)責(zé)國(guó)家安全準(zhǔn)入問(wèn)題的年度審查。該要求比《一般數(shù)據(jù)保護(hù)條例》①2015年12月15日，歐盟三方機(jī)構(gòu)（歐洲議會(huì)、歐盟理事會(huì)、歐洲委員會(huì)）初步達(dá)成《一般數(shù)據(jù)保護(hù)指令》（GDPR），這是歐盟啟動(dòng)數(shù)據(jù)保護(hù)立法改革四年來(lái)的最新成果。GDPR旨在加強(qiáng)個(gè)體對(duì)其個(gè)人信息的控制力，為其賦予更強(qiáng)數(shù)據(jù)權(quán)利。（以下簡(jiǎn)稱《條例》）的相關(guān)規(guī)定更為嚴(yán)格，因?yàn)椤稐l例》要求至少每4年對(duì)第三方國(guó)家的隱私保護(hù)情況進(jìn)行一次審查。審查主體由歐洲委員會(huì)與美國(guó)商務(wù)部共同組成，對(duì)隱私護(hù)盾的相關(guān)情況進(jìn)行審查并公開(kāi)相關(guān)報(bào)告。此舉意在監(jiān)督美國(guó)履行承諾，保證新協(xié)議的有效運(yùn)行。此外，年度審查為實(shí)質(zhì)資格審查而非形式主義，若發(fā)現(xiàn)美國(guó)企業(yè)和政府部門(mén)存在逾矩行為，歐洲委員會(huì)有權(quán)暫停隱私護(hù)盾的運(yùn)作。

目前，美國(guó)已通過(guò)了司法賠償法案，該法案賦予了歐洲公民保護(hù)個(gè)人數(shù)據(jù)的實(shí)權(quán)，使他們能在美國(guó)法庭上對(duì)抗侵權(quán)的美國(guó)執(zhí)法機(jī)構(gòu)，針對(duì)其數(shù)據(jù)濫用行為進(jìn)行維權(quán)，這為“隱私盾”協(xié)議發(fā)揮更大的效力增加了砝碼。美國(guó)情報(bào)局已向歐盟遞送書(shū)面保證，承諾隨意或普遍的監(jiān)控將不會(huì)再發(fā)生，并且聲明任何情報(bào)局出于國(guó)家安全目的的訪問(wèn)將受到新機(jī)制明確的限制和監(jiān)督。此外，美國(guó)司法部、運(yùn)輸部、國(guó)務(wù)院、聯(lián)邦貿(mào)易委員會(huì)也一同隨附書(shū)信并承諾。限制美國(guó)的官方行為并得到美國(guó)政府的承諾是“隱私盾”范本的突出亮點(diǎn)之一。

四、歐美個(gè)人數(shù)據(jù)跨境轉(zhuǎn)移政策對(duì)我國(guó)的啟示

（一）公民數(shù)據(jù)權(quán)與信息安全可互為表里

歐盟與美國(guó)就數(shù)據(jù)跨境流動(dòng)議題的博弈已20余年，當(dāng)然這樣的較量還會(huì)繼續(xù)?？偨Y(jié)雙方20余年的政策變化不難得出這樣的結(jié)論：由于雙方對(duì)網(wǎng)絡(luò)環(huán)境中涉及的公民隱私權(quán)和信息安全的保護(hù)力度不同，各自的法律政策體系存在明顯差異和沖突，但當(dāng)面對(duì)數(shù)據(jù)跨境傳輸問(wèn)題時(shí)，為了經(jīng)濟(jì)利益雙方會(huì)做出妥協(xié)，尋求創(chuàng)新性的解決之道。這不僅僅是法系相異政法文化沖突的問(wèn)題，深層次方面是出于對(duì)自身政治利益和國(guó)家戰(zhàn)略的考量，完全認(rèn)同對(duì)方幾乎不可能。

憑借先進(jìn)的移動(dòng)互聯(lián)技術(shù)以及大型網(wǎng)絡(luò)數(shù)據(jù)公司的影響力，美國(guó)在網(wǎng)絡(luò)空間和數(shù)據(jù)控制上占有總體優(yōu)勢(shì)。如此背景下，歐盟不遺余力地推行“歐洲保護(hù)標(biāo)準(zhǔn)”與美國(guó)分庭抗禮爭(zhēng)奪數(shù)據(jù)控制權(quán)也是必然選擇。在技術(shù)上處于相對(duì)弱勢(shì)的歐盟深知保護(hù)歐洲公民數(shù)據(jù)的重要性，若是歐洲公民信息任由美國(guó)隨意監(jiān)控，后果將不堪設(shè)想。更何況“斯諾登事件”已經(jīng)敲響了警鐘。無(wú)論是為了保障人權(quán)或是個(gè)人數(shù)據(jù)權(quán)，抑或是從國(guó)家的整體利益出發(fā)來(lái)維護(hù)信息安全，跨境信息流動(dòng)必須置法律政策的嚴(yán)格監(jiān)管之下。

個(gè)人信息資料匯成的大數(shù)據(jù)蘊(yùn)藏著最新科技、社會(huì)動(dòng)態(tài)、市場(chǎng)變化、國(guó)家安全威脅征兆、戰(zhàn)場(chǎng)態(tài)勢(shì)和軍事行動(dòng)等各種政治、經(jīng)濟(jì)、文化、安全等信息。［9］此時(shí)的數(shù)據(jù)不僅關(guān)乎隱私權(quán)，還涉及國(guó)家信息安全，二者互為表里。以蘋(píng)果公司為例，依據(jù)其特有的Apple ID制度，每個(gè)蘋(píng)果產(chǎn)品的背后都對(duì)應(yīng)著一份詳細(xì)的客戶數(shù)據(jù)檔案。這些數(shù)據(jù)信息透露著使用者的郵箱、性別、年齡、興趣愛(ài)好、隱私密聞等信息。2016年2月18日，Apple Pay正式進(jìn)入中國(guó)大陸市場(chǎng)。上述信息輔之以Apple Pay使用后的財(cái)務(wù)數(shù)據(jù)，通過(guò)大數(shù)據(jù)云計(jì)算搜集的用戶資料，將詳細(xì)而真實(shí)的透露一個(gè)地區(qū)或國(guó)家的社會(huì)現(xiàn)狀、經(jīng)濟(jì)水平等等，這對(duì)于一些情報(bào)部門(mén)而言，沒(méi)有任何信息比這些最全面最敏感的數(shù)據(jù)更有說(shuō)服力了，而這些被盜用的數(shù)據(jù)正威脅著信息流失國(guó)的國(guó)家安全。因此，筆者認(rèn)為，此類數(shù)據(jù)信息都應(yīng)該置于安全有效的保護(hù)機(jī)制之下，合理合法的進(jìn)行利用和存儲(chǔ)。當(dāng)這些數(shù)據(jù)信息跨境流動(dòng)時(shí)，更需要周密高效的管理方案進(jìn)行數(shù)據(jù)管轄，維護(hù)本國(guó)信息安全，保護(hù)公民隱私權(quán)，防止信息被外國(guó)勢(shì)力惡意竊取、盜用。

（二）數(shù)據(jù)主權(quán)和數(shù)據(jù)管轄權(quán)與國(guó)家戰(zhàn)略緊密相關(guān)

歐洲法院的裁決文件中曾建議，為了更好地保護(hù)歐洲公民的數(shù)據(jù)安全和隱私權(quán)，將要求美國(guó)跨國(guó)公司將存儲(chǔ)有數(shù)據(jù)信息的服務(wù)器留在歐洲本土，禁止將歐洲數(shù)據(jù)傳回美國(guó)。雖然在后來(lái)達(dá)成的“隱私盾”協(xié)議中歐盟做出了妥協(xié)，不再?gòu)?qiáng)行要求美國(guó)公司將服務(wù)器留在歐洲，但不難看出，關(guān)于服務(wù)器去留問(wèn)題的背后是對(duì)數(shù)據(jù)主權(quán)的考量和對(duì)數(shù)據(jù)管轄權(quán)的爭(zhēng)奪。

互聯(lián)網(wǎng)和科學(xué)技術(shù)的發(fā)展將人類活動(dòng)拓展至虛擬空間，如此背景下，主權(quán)概念也不再局限于傳統(tǒng)實(shí)體空間并得到相應(yīng)擴(kuò)展，數(shù)據(jù)主權(quán)①數(shù)據(jù)主權(quán)可以概括為，在大數(shù)據(jù)、云計(jì)算背景下，一國(guó)對(duì)本國(guó)的數(shù)據(jù)及本國(guó)國(guó)民跨境數(shù)據(jù)擁有所有權(quán)、控制權(quán)、管轄權(quán)和使用權(quán)，是國(guó)家數(shù)據(jù)主權(quán)和個(gè)人數(shù)據(jù)權(quán)利的總和，體現(xiàn)為對(duì)內(nèi)的最高數(shù)據(jù)管控權(quán)和對(duì)外的數(shù)據(jù)處理權(quán)。隨之誕生并延展了國(guó)家主權(quán)的內(nèi)涵。學(xué)界認(rèn)為，跨境數(shù)據(jù)傳輸是數(shù)據(jù)主權(quán)這一概念得以提出的基礎(chǔ)條件和大前提。如前文所述，數(shù)據(jù)信息所承載的意義非凡，數(shù)據(jù)跨境流通涉及的利益方面眾多，上至國(guó)家安全，下至公民權(quán)利，因此，國(guó)際上許多國(guó)家日益重視數(shù)據(jù)主權(quán)和數(shù)據(jù)管轄權(quán)，要求數(shù)據(jù)本土化存儲(chǔ)。服務(wù)器位置本土化是一國(guó)維護(hù)數(shù)據(jù)主權(quán)、行駛數(shù)據(jù)管轄權(quán)的直接體現(xiàn)。如法國(guó)政府宣稱，無(wú)論新協(xié)議如何規(guī)定，在法經(jīng)營(yíng)的有關(guān)美國(guó)公司其存儲(chǔ)信息的服務(wù)器須留在法國(guó)，以便有效地保護(hù)用戶隱私和數(shù)據(jù)安全。據(jù)2015年9月1日開(kāi)始生效的俄羅斯《數(shù)據(jù)本土化法律》規(guī)定，所有收集、處理俄羅斯公民信息的公司，應(yīng)使用位于俄羅斯境內(nèi)的服務(wù)器處理和存儲(chǔ)數(shù)據(jù)，并負(fù)有法律義務(wù)向莫斯科數(shù)據(jù)監(jiān)管部門(mén)報(bào)告本地化情況。［10］巴西政府也通過(guò)立法規(guī)定要求境外的互聯(lián)網(wǎng)公司在其境內(nèi)開(kāi)展互聯(lián)網(wǎng)業(yè)務(wù)必須使用其境內(nèi)的數(shù)據(jù)中心，②谷歌在其發(fā)布的《The Datacenter as a Computer》一書(shū)中，將數(shù)據(jù)中心解釋為“多功能的建筑物能容納多個(gè)服務(wù)器以及通信設(shè)備。這些設(shè)備被放置在一起是因?yàn)樗鼈兙哂邢嗤膶?duì)環(huán)境的要求以及物理安全上的需求，并且這樣放置便于維護(hù)”，而“并不僅僅是一些服務(wù)器的集合”。通過(guò)對(duì)數(shù)據(jù)中心的管理實(shí)現(xiàn)對(duì)數(shù)據(jù)的可控、可管。國(guó)際社會(huì)已經(jīng)開(kāi)始形成這樣的共識(shí)：數(shù)據(jù)已經(jīng)成為支撐國(guó)家安全與發(fā)展的重要戰(zhàn)略資源，占有控制數(shù)據(jù)，就占有了獲取數(shù)據(jù)的巨大價(jià)值；誰(shuí)能挖掘并能利用數(shù)據(jù)的真正價(jià)值，誰(shuí)就等于扼住了時(shí)代發(fā)展的脈搏。當(dāng)下，國(guó)家間數(shù)據(jù)主權(quán)的博弈爭(zhēng)奪日益激烈，侵犯他國(guó)數(shù)據(jù)主權(quán)的現(xiàn)象亦時(shí)有發(fā)生，有些國(guó)家依仗技術(shù)優(yōu)勢(shì)正在推行數(shù)據(jù)霸權(quán)。我國(guó)對(duì)互聯(lián)網(wǎng)領(lǐng)域的立法已日臻完善，對(duì)數(shù)據(jù)主權(quán)和數(shù)據(jù)管轄也提出了相應(yīng)主張和規(guī)定，這就為治理跨境數(shù)據(jù)傳輸提供了法律依據(jù)。相信在《網(wǎng)絡(luò)安全法》的統(tǒng)籌作用下，配套以完善的法規(guī)政策，我國(guó)的數(shù)據(jù)主權(quán)和數(shù)據(jù)管轄權(quán)會(huì)得到充分的保障和捍衛(wèi)。

（三）以網(wǎng)絡(luò)安全法為核心，完善數(shù)據(jù)跨境流通監(jiān)管制度

當(dāng)前，我國(guó)人口數(shù)量全球第一，數(shù)據(jù)應(yīng)用市場(chǎng)復(fù)雜多變，如此龐大的用戶群體使我國(guó)成為世界上數(shù)據(jù)儲(chǔ)量最大、內(nèi)容最豐富的國(guó)家。如何有效地存儲(chǔ)和管理這些數(shù)據(jù)，數(shù)據(jù)跨境流動(dòng)時(shí)又該如何維護(hù)公民的隱私權(quán)并保障其信息安全，捍衛(wèi)數(shù)據(jù)主權(quán)和數(shù)據(jù)管轄權(quán)，都面臨著嚴(yán)峻挑戰(zhàn)。

剛剛實(shí)施的《網(wǎng)絡(luò)安全法》是國(guó)家網(wǎng)絡(luò)領(lǐng)域的基礎(chǔ)性法律，奠定了我國(guó)信息網(wǎng)絡(luò)領(lǐng)域法律治理的基調(diào)。該法強(qiáng)調(diào)了網(wǎng)絡(luò)主權(quán)，注重個(gè)人信息保護(hù)，確立了數(shù)據(jù)離境存儲(chǔ)制度、關(guān)鍵信息基礎(chǔ)設(shè)施重要數(shù)據(jù)跨境傳輸?shù)囊?guī)則。但其不可能涵蓋數(shù)據(jù)傳輸?shù)姆椒矫婷婊蛘呒?xì)化每個(gè)方面的具體事項(xiàng)，所以需要有關(guān)部門(mén)在此基礎(chǔ)上建立具體周詳?shù)姆烧撸晟茢?shù)據(jù)跨境流通監(jiān)管制度。有效的監(jiān)管制度應(yīng)當(dāng)在對(duì)數(shù)據(jù)管控的同時(shí)不影響數(shù)據(jù)正常的傳輸活動(dòng)。應(yīng)將涉及互聯(lián)網(wǎng)數(shù)據(jù)傳輸?shù)碾娦牌髽I(yè)和CDN企業(yè)納入法律的調(diào)整范圍，對(duì)外國(guó)的數(shù)據(jù)入境和國(guó)內(nèi)的數(shù)據(jù)出境進(jìn)行雙向?qū)崟r(shí)監(jiān)控，保護(hù)涉及國(guó)家安全、企業(yè)經(jīng)營(yíng)和公民隱私的數(shù)據(jù)，嚴(yán)控特定信息的跨境傳輸。同時(shí)對(duì)在國(guó)內(nèi)傳輸?shù)臄?shù)據(jù)進(jìn)行審查，嚴(yán)格監(jiān)控其傳播流向，防止公民隱私被竊取，禁止傳播顛覆意識(shí)形態(tài)的信息，完善輿情控制，保障社會(huì)穩(wěn)定。［11］

（四）妥善處理跨境數(shù)據(jù)傳輸?shù)碾y點(diǎn)問(wèn)題

由于數(shù)據(jù)跨境流動(dòng)的特殊性和難控性，數(shù)據(jù)跨境流動(dòng)對(duì)國(guó)家數(shù)據(jù)主權(quán)產(chǎn)生了強(qiáng)烈沖擊，而維護(hù)數(shù)據(jù)主權(quán)過(guò)程將面臨很多難題，這些問(wèn)題又是數(shù)據(jù)跨境傳輸中存在且亟待解決的。

跨境數(shù)據(jù)傳輸牽涉不同主體，且各主體管轄權(quán)交叉重疊。數(shù)據(jù)跨境流動(dòng)時(shí)常涉及信息創(chuàng)造者、接收者和使用者，信息的發(fā)送地、運(yùn)送地及目的地，信息基礎(chǔ)設(shè)施的所在地，信息服務(wù)提供商的國(guó)籍及經(jīng)營(yíng)所在地等，［12］并且數(shù)據(jù)傳輸者、儲(chǔ)存者、占有者的身份會(huì)出現(xiàn)分離，數(shù)據(jù)信息將受多個(gè)不同國(guó)家法律所管轄，而各國(guó)關(guān)于數(shù)據(jù)保護(hù)的法律或政策又不盡相同，如此造成數(shù)據(jù)主權(quán)沖突頻發(fā)就在所難免了。如云計(jì)算、云存儲(chǔ)中的數(shù)據(jù)主權(quán)歸屬問(wèn)題爭(zhēng)議很大。“云”已經(jīng)替代傳統(tǒng)硬件系統(tǒng)進(jìn)行數(shù)據(jù)的存儲(chǔ)和處理，即由網(wǎng)絡(luò)來(lái)為數(shù)據(jù)的計(jì)算和存儲(chǔ)提供資源和服務(wù)。誠(chéng)如百度、阿里巴巴，以及英特爾、蘋(píng)果、谷歌、亞馬遜等跨國(guó)公司都向公眾提供云服務(wù)的產(chǎn)品。國(guó)際社會(huì)對(duì)這些云儲(chǔ)存、云計(jì)算中的數(shù)據(jù)歸屬問(wèn)題沒(méi)有統(tǒng)一定論，目前爭(zhēng)議頗大。網(wǎng)絡(luò)提供者為降低營(yíng)運(yùn)成本、提高客戶滿意度，時(shí)常將其提供的服務(wù)部分外包，如此會(huì)使問(wèn)題更加復(fù)雜化，可能導(dǎo)致多個(gè)主體掌控著同一條數(shù)據(jù)而出現(xiàn)管轄的交叉和重復(fù)。

（五）積極傳達(dá)中國(guó)的聲音，呼喚數(shù)據(jù)保護(hù)的國(guó)際規(guī)則

目前，國(guó)際法或國(guó)際慣例中未對(duì)數(shù)據(jù)管轄和數(shù)據(jù)主權(quán)作出有關(guān)規(guī)定或參考，國(guó)際規(guī)則的制定尚處空白，國(guó)際社會(huì)也未對(duì)各國(guó)數(shù)據(jù)主權(quán)管控范圍進(jìn)行劃分。［13］數(shù)據(jù)由企業(yè)（大部分為跨國(guó)公司）和無(wú)政府組織主導(dǎo)運(yùn)行，游離于政府管轄之外。各國(guó)從維護(hù)自身利益出發(fā)，在加強(qiáng)本國(guó)數(shù)據(jù)管控的同時(shí)，積極主張本國(guó)國(guó)民在他國(guó)的數(shù)據(jù)權(quán)利，造成數(shù)據(jù)主權(quán)的延伸以及基于主權(quán)交叉導(dǎo)致的重復(fù)管轄，甚至?xí)饠?shù)據(jù)管轄權(quán)爭(zhēng)奪的情況。當(dāng)數(shù)據(jù)遭遇多重管轄時(shí)就會(huì)出現(xiàn)服務(wù)提供商挑選法律的現(xiàn)象，導(dǎo)致網(wǎng)絡(luò)服務(wù)商通過(guò)信息轉(zhuǎn)移逃避對(duì)數(shù)據(jù)保護(hù)的國(guó)內(nèi)規(guī)制，從而使數(shù)據(jù)主權(quán)面臨挑戰(zhàn)，加劇數(shù)據(jù)管控的復(fù)雜性。

在各國(guó)數(shù)據(jù)保護(hù)和跨境數(shù)據(jù)流通立法存在差異的情況下，國(guó)際法和一般國(guó)際規(guī)則發(fā)揮著求同存異的規(guī)范作用，而數(shù)據(jù)的跨境傳輸必須置于法律監(jiān)管之下?，F(xiàn)如今，個(gè)人數(shù)據(jù)跨境流動(dòng)日益頻繁，數(shù)字經(jīng)濟(jì)大發(fā)展的現(xiàn)狀更是要求盡快制定相關(guān)國(guó)際規(guī)則，彌補(bǔ)國(guó)際法中數(shù)據(jù)跨境傳輸、數(shù)據(jù)主權(quán)以及數(shù)據(jù)管轄權(quán)的空白。作為世界大國(guó)，我國(guó)在制定完善個(gè)人數(shù)據(jù)保護(hù)、數(shù)據(jù)跨境傳輸?shù)认嚓P(guān)制度的同時(shí)，應(yīng)注重與國(guó)際接軌，積極參與國(guó)際規(guī)則的制定，在數(shù)據(jù)治理和傳輸?shù)膰?guó)際治理中有所作為。

總之，當(dāng)今世界形勢(shì)多變，反全球化浪潮興起，國(guó)際政治撲朔迷離。跨境數(shù)據(jù)傳輸具有涉及利益眾多、波及面廣、治理難度大的特點(diǎn)，在網(wǎng)絡(luò)科技發(fā)展一日千里的今天，越來(lái)越多的國(guó)家意識(shí)到數(shù)據(jù)信息的戰(zhàn)略意義。歐洲一體化正面臨嚴(yán)重挑戰(zhàn)，但主要?dú)W盟成員已形成完備的數(shù)據(jù)權(quán)利意識(shí)并建立了有效的保護(hù)體系，美國(guó)數(shù)據(jù)優(yōu)勢(shì)地位明顯，數(shù)據(jù)霸權(quán)暗流涌動(dòng)。作為網(wǎng)絡(luò)信息領(lǐng)域的后起之秀，憑借中國(guó)今日的能量和成就，必然在世界多極化中承擔(dān)重要角色。所以，對(duì)于數(shù)據(jù)的跨境傳輸特別是涉及中國(guó)的數(shù)據(jù)問(wèn)題，我們必須嚴(yán)肅、慎重，不僅要用戰(zhàn)略眼光維護(hù)中國(guó)的數(shù)據(jù)主權(quán)，明確并行使數(shù)據(jù)管轄權(quán)，還要讓世界傾聽(tīng)中國(guó)的聲音，構(gòu)建跨境數(shù)據(jù)傳輸?shù)牧夹园l(fā)展環(huán)境。

［1］秦安．學(xué)習(xí)貫徹網(wǎng)絡(luò)安全法［J］．中國(guó)信息安全，2016，（12）：29．

［2］［4］［5］孫斯汀．歐美個(gè)人數(shù)據(jù)保護(hù)制度比較研究［D］．中國(guó)政法大學(xué)碩士學(xué)位論文，2008．32．

［3］劉敏敏．《歐盟個(gè)人數(shù)據(jù)保護(hù)指令》的改革和啟示［D］．西南政法大學(xué)碩士學(xué)位論文，2014．1．

［6］See The Court of Justice declares that the Commission＇s US Safe Harbour Decision is invalid，press Release No 117 ／15．Judement in Case C－362／14．Court of Justice of the European U-nion，Luxembourg，6 October 2015．

［7］See ECJ Rules EU－US Safe Harbor Programme is Invalid，Lawflash，2015，pp4－5．

［8］See Davinia Brennan．The European Commission Releases EU－US Privacy Shield，L＆A Goodbody．

［9］［12］［13］杜雁蕓．大數(shù)據(jù)時(shí)代國(guó)家數(shù)據(jù)主權(quán)問(wèn)題研究［J］．國(guó)際觀察，2016，（03）：4－11．

［10］See Reed Smith：Russia ToIncrease Data Audits In 2016 With Data localization Law and More News On The EU＇s Safe Harbor Ruling．Worldwide．January 11．2016．

［11］王永剛．完善立法、明確網(wǎng)絡(luò)主權(quán)、控制數(shù)據(jù)主權(quán)［EB／OL］．人民網(wǎng)，http://opinion.people.com.cn/n/2015/0205/c1003-26511363.html．

（責(zé)任編輯：王秀艷）

The Transition of US－EU Transnational Policies in Personal Data and Its Enlightenment to China

Wang Shunqing，Liu Chao

The Transnational Policies in Personal Data between United States and European Union have changed a lot since 1900s．Compromises and conflicts were side－by－side during this period．The paper was based on transition of policies in US－EU；analysising causes factors behind transition and summarize enlightenment to China．Considering that China should perceive wisely therelationship between civildata rightsand information security，realizing whatdata sovereignty and data jurisdiction means to national strategy．Furthermore，under the guide of Cyber Security Law，the supervise institution of transnational data should be consummated．Be circumspect and handling properly the difficulties，taking an active part in formulating international rules，emitting Chinese voice and make a difference to national community．

s：information security；data sovereignty；data jurisdiction；data transmission

D922．16

A

1007－8207（2017）08－0096－07

2017－04－07

王順清 （1992—），男，江蘇揚(yáng)州人，南京財(cái)經(jīng)大學(xué)法學(xué)院碩士研究生，研究方向?yàn)閲?guó)際法；劉超 （1969—），男，江西贛江人，南京財(cái)經(jīng)大學(xué)教授，法學(xué)博士，碩士研究生導(dǎo)師，研究方向?yàn)閲?guó)際法、歐盟法。