全球跨境數(shù)據(jù)流動的規(guī)制路徑與中國抉擇*

2019-11-15 08:00:04李艷華

時代法學 2019年5期

李艷華

(南京師范大學法學院，江蘇南京 210046)

一、引言

經(jīng)濟全球化時代，以互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算和大數(shù)據(jù)分析為代表的數(shù)字經(jīng)濟的快速擴張對全球貿(mào)易與投資增長產(chǎn)生重要影響。根據(jù)麥肯錫研究所的估算，所有類型的跨境數(shù)據(jù)流動共同作用，通過提高生產(chǎn)率支持經(jīng)濟增長，十余年來促使全球GDP增長了10.1%(1)McKinsey Global Institute, Digital Globalization:The new era of global flows, https://www.mckinsey. com/business-functions/digital-mckinsey/our-insights/digital-globalization-the-new-era-of-global-flows, lastvisited on 9May,2019.?？缇硵?shù)據(jù)流動有利于分享數(shù)據(jù)紅利、推動技術(shù)革新并由此促進整個產(chǎn)業(yè)的蓬勃發(fā)展，而且在某種程度上，還能打擊恐怖主義以及跨國犯罪。但是，各個國家因保護水平存有差距，在跨境數(shù)據(jù)流動中極易造成個人數(shù)據(jù)泄露，從而侵害個人的數(shù)據(jù)隱私權(quán)。第三國政府甚者將個人數(shù)據(jù)用于分析人口結(jié)構(gòu)、人口質(zhì)量以及資源分布等基本國情，從而對一國的國家安全構(gòu)成威脅。為了在數(shù)據(jù)自由和數(shù)據(jù)保護的價值取向間找到平衡點，全球范圍內(nèi)形成了以充分性為原則的歐盟規(guī)制路徑、以組織機構(gòu)為基準的問責制美國式規(guī)制路徑、以數(shù)據(jù)本地化為原則的俄羅斯規(guī)制路徑、以及以利益平衡為導向的折中型澳大利亞規(guī)制路徑。

就目前來看，各國基于跨境數(shù)據(jù)流動的歷史傳統(tǒng)、業(yè)已形成的路徑依賴以及國內(nèi)數(shù)據(jù)發(fā)展環(huán)境，短時間還無法形成統(tǒng)一的全球數(shù)據(jù)協(xié)議。而我國信息技術(shù)發(fā)展較晚，直至最新于2016年11月7日通過的立法成果，即《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》)也未表明中國的路徑抉擇。在一帶一路倡導的時代背景下，淘寶、小米等企業(yè)已經(jīng)將投資市場轉(zhuǎn)向東南亞，2017年6.18以及雙十一的天貓出?；顒颖闶呛芎玫睦C。此外，以騰訊、百度、京東為代表的互聯(lián)網(wǎng)巨擘也亟需拓寬海外市場。在此背景下，中國理應結(jié)合國內(nèi)監(jiān)管環(huán)境，借鑒各國成熟的跨境數(shù)據(jù)流動立法經(jīng)驗，完善數(shù)據(jù)法域，并積極參與國際規(guī)則的制定，這對于我國互聯(lián)網(wǎng)產(chǎn)業(yè)的域外發(fā)展無疑具有深刻的理論與實踐意義。

二、跨境數(shù)據(jù)流動規(guī)制法律問題溯源

(一)跨境數(shù)據(jù)流動的概念界定

通常而言，跨境數(shù)據(jù)流動(trans-border data flows、cross-border data flows)是指數(shù)據(jù)在不同法域之間流動(2)Christopher Kuner, Trans-border Data Flows and Data Privacy Law, Oxford University Press,2013,p.11.。此概念最早由20世紀70年代OECD科學技術(shù)政策委員會(CSTP)下設(shè)的計算機應用工作組(CUG)提出(3)G.Russell Pipe, International Information Policy: Evolution of Trans-border Data Flows Issues, Telematics and Informatics,Vol 1,No.4,1984,p.409.。對于跨境數(shù)據(jù)流動的理解：首先，詳閱此領(lǐng)域的相關(guān)文獻，數(shù)據(jù)與信息所指并無二意，且“個人數(shù)據(jù)跨境流動”多采用“跨境數(shù)據(jù)流動”的說法。其次，基于政府數(shù)據(jù)關(guān)涉公權(quán)屬性，具有本地存儲的天然特征，并且對于跨境數(shù)據(jù)流動的商業(yè)化需求較低。因此，在數(shù)據(jù)跨境政策討論中，提出政府數(shù)據(jù)類別，對于認知數(shù)據(jù)跨境流動政策并無特別意義(4)王融.數(shù)據(jù)跨境流動政策認知與建議——從美歐政策比較及反思視角[J].信息安全與通信保密,2018,(1):43.。再者，跨境數(shù)據(jù)流動的主要方式為提供數(shù)據(jù)給第三方以及第三方訪問數(shù)據(jù)。具體體現(xiàn)在跨境電商、消費者合同、跨境醫(yī)療、跨境金融等服務(wù)貿(mào)易中。最后，跨境數(shù)據(jù)流動主要解決的問題在于如何實現(xiàn)數(shù)據(jù)出口國和數(shù)據(jù)進口國對于數(shù)據(jù)保護和數(shù)據(jù)自由流動的動態(tài)平衡。在對跨境數(shù)據(jù)流動的本身意旨進行厘定之后，筆者將以歷史淵源和價值理念為主線，探究由歐美兩大立法范式所形成的跨境數(shù)據(jù)流動規(guī)制路徑的緣起。

(二)國家規(guī)制：歐美跨境數(shù)據(jù)立法的歷史溯源

美國擁有數(shù)據(jù)優(yōu)勢的歷史傳統(tǒng)，20世紀70年代，阿帕網(wǎng)由純粹的軍事工具轉(zhuǎn)換為軍用和民用兩部分，并逐漸演化為互聯(lián)網(wǎng)的雛形。由于計算機網(wǎng)絡(luò)主要用于政府工作，當時立法規(guī)制集中在如何避免政府濫用公權(quán)力收集個人信息。為此，美國于1973年發(fā)布了題為《錄音、計算機與公民的權(quán)利》的報告，第一次提到網(wǎng)絡(luò)所產(chǎn)生的個人隱私保護問題(5)張凌寒,杜婧.基于隱私權(quán)的個人信息保護路徑研究——以美國為研究視角[J].網(wǎng)絡(luò)法律評論,2016,(1):29.。20世紀90年代，互聯(lián)網(wǎng)技術(shù)開始走向商業(yè)化，這一時期，美國個人隱私權(quán)并未進行統(tǒng)一的立法保護，而是分散在各個行業(yè)立法中。通過行業(yè)自律的方式同樣體現(xiàn)在跨境數(shù)據(jù)流動規(guī)制方面。后于1997年制定的《全球電子商務(wù)框架》提出：平衡個人隱私和信息自由是全球信息基礎(chǔ)設(shè)施發(fā)展的充分條件，恰當?shù)碾[私保護是必要的，但不同的政策可能會形成非關(guān)稅壁壘(6)The White House,The Framework for Global Electronic Commerce,http:// clintonwhitehouse4, archiives, gov /WH/New/Commerce, last visited on 9 May,2019.。近年來，美國通過積極推進APEC和TPP隱私規(guī)則制定，企圖建立以企業(yè)自律為參考標準的跨境數(shù)據(jù)流動規(guī)制話語權(quán)。

由于歷史、文化以及制度等方面的原因，歐洲十分注重對于公民隱私權(quán)的保護。前西德黑森州在1970年通過世界第一部《數(shù)據(jù)保護法》，該法案的執(zhí)法機構(gòu)是數(shù)據(jù)保護委員會，負責官方文件的轉(zhuǎn)移與處理。瑞典于1973年頒布了世界上第一部明確限制個人數(shù)據(jù)跨境流動的法律：實行轉(zhuǎn)移審批制，賦予個人知情、獲取以及修改等數(shù)據(jù)權(quán)利。此后，從1973年到1984年全球共有13個國家制定了數(shù)據(jù)保護法，其中8個都是歐洲國家(7)G.Russell Pipe, International Information Policy: Evolution of Trans-border Data Flows Issues, Telematics and Informatics ,Vol 1,No.4,1984,p.413.。而且，歐洲作為高度一體化的同盟體，為了達到數(shù)據(jù)立法的相對統(tǒng)一，在強調(diào)隱私保護的大前提下，以實現(xiàn)全球數(shù)據(jù)治理為目標，先后制定了三個公約，它們分別是：1981年的《有關(guān)個人數(shù)據(jù)自動化處理的個人保護公約》(Convention for the Protection of Individuals with regard to Automatic Processing of personal Data)(以下簡稱“108公約”)、1995年的《個人數(shù)據(jù)處理中個人權(quán)利保護及促進個人數(shù)據(jù)自由流通指令》(Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data)(以下簡稱“指令”)、以及被稱為史上最嚴格保護個人數(shù)據(jù)的2018年的《通用數(shù)據(jù)保護條例》(General Data Protection Regulation)(以下簡稱“GDPR”)。

(三)國際規(guī)制：WTO隱私保護例外條款的“溢出”效應

在國際層面，歐美由于經(jīng)濟政治利益背道而馳，跨境數(shù)據(jù)流動規(guī)制路徑尚未達成共識。但是WTO框架下的《服務(wù)貿(mào)易總協(xié)定》(GATS)第14條一般例外條款為歐盟的數(shù)據(jù)保護傳統(tǒng)提供了國際法依據(jù)。

GATS是前數(shù)字經(jīng)濟時代的產(chǎn)物，在烏拉圭談判期間，所涉條款很少討論數(shù)字貿(mào)易。但是基于跨境服務(wù)的表現(xiàn)形式(8)GATS將服務(wù)細分為四種形式：跨境交付、境外消費、商業(yè)存在、自然人流動。、相對完善的DSB解釋機制以及GATS自由環(huán)境下承諾列表的設(shè)置，電子商務(wù)自然被納入其中。此外，考慮到國家政策以及主權(quán)的不可讓渡性，GATS為成員國追求非貿(mào)易目標設(shè)置相應條款。首先，就子項而言，GATS第14(c)條規(guī)定，成員可以采取或執(zhí)行“確保與本協(xié)定的規(guī)定不相抵觸的法律或法規(guī)得到遵守所必須的措施”。第14(c)條又劃分出三種情形，包括防止欺詐、保護數(shù)據(jù)傳播過程中的隱私以及確保國家安全。在“美國——賭博案”中，上訴機構(gòu)確定了子項成立的三個條件：即法律法規(guī)得到充分遵守、與WTO不相抵觸、以及在“必須”的情況下。而對第三個條件，即“必須”的標準，則是雙方爭議的重要內(nèi)容。專家組指出，“是否為必須”需考慮所欲保護的法益、對于目標實現(xiàn)的貢獻率以及對于商業(yè)規(guī)制帶來的影響(9)Panel Report, US-Gambling,para.6.477.。其次，就導言而言，如果各國所采取的措施缺乏一致性，很可能被認為構(gòu)成“武斷和不合理的歧視”或“對貿(mào)易的變相限制”(10)Appellate Body Report,US-Gambling,para.292.。上述雙層分析路徑中為檢驗成員國的隱私例外國內(nèi)立法提供了合規(guī)參照。值得注意的是，歐盟“指令”及GDPR所強調(diào)的充分保護措施是否可以成功尋求隱私例外條款的庇護，仍需要WTO爭端解決機構(gòu)的個案認定。

據(jù)此，歐盟于1995年通過了“指令”，該法案明確了跨境數(shù)據(jù)流動中數(shù)據(jù)進口國的保護水平以及數(shù)據(jù)出口國監(jiān)管機構(gòu)的事先審查制度。在“指令”的影響下，數(shù)據(jù)保護蔚然成風。據(jù)不完全統(tǒng)計，有69個國家和地區(qū)的國內(nèi)數(shù)據(jù)保護規(guī)定明令限制跨境數(shù)據(jù)的流動(11)Birnhack, Michael,“The EU Data Protection Directive: An Engine of a Global Regime”, Computer Law &Security Report, Vol. 24,No.6,2008.。由WTO隱私例外條款延伸而來的跨境數(shù)據(jù)保護為此產(chǎn)生“泛安全化”效應。

三、跨境數(shù)據(jù)流動的域外規(guī)制路徑

(一)價值導向：跨境數(shù)據(jù)流動規(guī)制下的“三難選擇”

跨境數(shù)據(jù)流動的規(guī)制類型受制于規(guī)制目標之間的平衡、參與主體之間的競爭以及規(guī)制本身的發(fā)展規(guī)律(12)〔13〕黃寧,李楊.“三難選擇”下跨境數(shù)據(jù)流動規(guī)制的演進與成因[J].清華大學學報(哲學社會科學版)，2017,(5):180-181.179.。該三重因素或基于數(shù)據(jù)保護和數(shù)據(jù)自由的權(quán)衡，或基于參與主體在國際政治經(jīng)濟上的地位，抑或通過賦予制度本身約束力與執(zhí)行力來驅(qū)動路徑的暢通。而規(guī)制路徑最終范式的形成在于對跨境數(shù)據(jù)流動規(guī)制的“三難選擇”：即“良好的數(shù)據(jù)保護”“跨境數(shù)據(jù)自由流動”和各國的“數(shù)據(jù)保護自主權(quán)”〔13〕。不同國家基于不同的價值理念，最終產(chǎn)生以數(shù)據(jù)保護為主導、以數(shù)據(jù)自由流動為核心以及三者兼顧的三種不同的組建關(guān)系。

在國家層面，針對第一種關(guān)系，如果某國以良好的數(shù)據(jù)保護作為數(shù)字經(jīng)濟時代背景下的優(yōu)先目標，且該國本身享有充分的數(shù)據(jù)保護自主權(quán)，則客觀上極易阻遏跨境數(shù)據(jù)的正常流動。在關(guān)系一的架構(gòu)下，形成了以數(shù)據(jù)本地化原則為核心的俄羅斯規(guī)制路徑和以充分性原則為核心的歐盟規(guī)制路徑。針對第二種關(guān)系，為了使跨境數(shù)據(jù)相關(guān)產(chǎn)業(yè)能夠在全球形成終局影響力，通過放寬除了關(guān)涉國家安全、政府利益的數(shù)據(jù)流動標準，實現(xiàn)了企業(yè)的自主管理，但是良好的數(shù)據(jù)保護的實現(xiàn)則相應增加了難度。在關(guān)系二的架構(gòu)下，形成了以問責制原則為核心的美國式規(guī)制路徑。針對第三種關(guān)系，某國在兼顧數(shù)據(jù)保護和數(shù)據(jù)自由流動的基礎(chǔ)上，承認域外跨境數(shù)據(jù)立法的域內(nèi)效力，并且依靠科學的數(shù)據(jù)劃分，實現(xiàn)三者的兼容。即形成以利益均衡為導向的折中型澳大利亞規(guī)制路徑。在國際合作層面，阻礙跨境數(shù)據(jù)流動與全球經(jīng)濟發(fā)展趨勢相左，故排除了關(guān)系一的存在。針對第二種關(guān)系，形成了以美國規(guī)制模式為主導的APEC等國際規(guī)制路徑。針對第三種關(guān)系，因良好的數(shù)據(jù)保護與跨境數(shù)據(jù)自由流動的排斥屬性，若實現(xiàn)較好的調(diào)和，需要國家間讓渡數(shù)據(jù)保護自主權(quán)。歐美主導的規(guī)制路徑在經(jīng)濟政治博弈下形成兩次融合。而GATS14條隱私例外條款的設(shè)置由于缺乏實踐支撐，實效性存疑。在上述“三難選擇”中，各國基于歷史傳統(tǒng)、文化水平、產(chǎn)業(yè)利益、國際形勢的差異而選擇不同的規(guī)制路徑。

(二)國家規(guī)制路徑類型列示

1.歐盟(成員國)：以地理區(qū)域為基準、以充分性原則為核心的規(guī)制路徑

歐盟規(guī)制路徑采用雙重標準，對于歐盟成員國，禁止以數(shù)據(jù)保護為由阻礙跨境數(shù)據(jù)的自由流動；而對于其他第三國，則需以提供充分保護為前提。在理論層面，“指令”與GDPR是充分性保護原則體現(xiàn)的法律文本。兩個文本雖未就充分保護的含義進行界定，卻設(shè)置了充分性保護認定的參考因素。其中，“指令”第四章專門規(guī)定了個人數(shù)據(jù)向非成員國轉(zhuǎn)移的規(guī)則。第25條指出，歐盟委員會將根據(jù)數(shù)據(jù)的性質(zhì)、數(shù)據(jù)處理的目的和期間、數(shù)據(jù)接收國的法治程度以及行業(yè)規(guī)則和安全措施等四種因素來判斷(13)Article 25(2) of the 1995 Data Protection Directive.。此外，該文本第26條第1款規(guī)定了豁免充分性保護的特殊情形，包括獲得數(shù)據(jù)主體同意、履行合同的需要和維護公共利益等。而GDPR在“指令”的基礎(chǔ)上，不僅將規(guī)制對象擴展至特定地區(qū)、行業(yè)領(lǐng)域以及國際組織，還更為詳細的列舉了充分性保護的三重標準：(1)法治狀況，對人權(quán)和基本自由的尊重程度，相關(guān)綜合性立法和專門行業(yè)立法以及立法的實施狀況；(2)存在掌握足夠權(quán)力且有效運行的專門規(guī)制機構(gòu)；(3)加入關(guān)于個人數(shù)據(jù)保護的國際條約或多邊協(xié)定，從而在該領(lǐng)域負有國際法上的義務(wù)(14)Article 45(2) of the 2016 General Data Protection Regulation.。新標準實質(zhì)與形式并重，在考察域外第三國法治狀況的同時，加入專門機構(gòu)監(jiān)管因素。為了保證充分性決定的連續(xù)性與科學性，GDPR還規(guī)定，歐盟委員會至少每隔四年進行重新審查，若不再符合充分性保護的要求，則成員國應該采取必要的措施以防止數(shù)據(jù)跨境流動。此外，GDPR雖然在生效后可以直接被各成員國適用，但一些個人數(shù)據(jù)的轉(zhuǎn)移，仍需要滿足成員國國內(nèi)的某些特殊規(guī)定。例如就兒童的個人數(shù)據(jù)而言，允許成員國對于兒童的年齡在13～16歲作出調(diào)整(15)王融.《歐盟數(shù)據(jù)保護通用條例》詳解[J].大數(shù)據(jù),2016,(7):94.。

在實踐層面，目前只有11個國家和地區(qū)獲得充分性保護認證：包括加拿大、阿根廷、瑞士、安道爾、法羅群島、澤西島、馬恩島、根西島、新西蘭、以色列、烏拉圭東岸共和國(16)張金平.跨境數(shù)據(jù)轉(zhuǎn)移的國際規(guī)制及中國法律的應對——兼評我國《網(wǎng)絡(luò)安全法》上的跨境數(shù)據(jù)轉(zhuǎn)移限制規(guī)則[J].政治與法律,2016,(12):140.。在程序上，通過考察這11份充分性保護認證報告，可以得知歐盟基本上遵循形式審查原則，而對于各個國家的實施效果并未給予足夠關(guān)注。例如2006年歐盟對加拿大的審查報告指出：加拿大的《聯(lián)邦個人信息保護法案》和各省規(guī)則制定符合指令的調(diào)整范疇，且自2002年以來加拿大對于數(shù)據(jù)保護的力度有所加強(17)See European Commission, Commission Decision on the Adequacy of the Protection of Personal Data in Third countries,http://ec.europa.eu/transparency/regdoc/rep/2/2006/EN/2-2006-1520-EN-1-1.Pdf,lastvisited on 9May,2019.。

歐盟規(guī)制路徑雖設(shè)計了統(tǒng)一標準，為個人數(shù)據(jù)權(quán)利的實現(xiàn)提供了合理的預期，且有利于防止第三國規(guī)避本國的數(shù)據(jù)保護立法。但是終究因為程序冗雜、標準過高而阻礙了數(shù)據(jù)的跨境流動。

2.美國：以組織機構(gòu)為基準，以問責制原則為核心的規(guī)制路徑

美國規(guī)制路徑是在保證跨境數(shù)據(jù)自由流動的基礎(chǔ)上，由數(shù)據(jù)控制者或數(shù)據(jù)處理者以合法、合理的方式對數(shù)據(jù)的安全性負責，否則將由數(shù)據(jù)監(jiān)管機構(gòu)問責。與歐盟自上而下統(tǒng)一立法的事前預防模式不同，美國行業(yè)通過制定隱私保護標準，默認數(shù)據(jù)控制者或者處理者在商業(yè)活動中自覺的遵守相關(guān)規(guī)則，僅在事后對于違法行為進行懲罰。因此，該規(guī)制方式能夠最低限度的避免跨境數(shù)據(jù)的滯留，同時也降低了行政機關(guān)的監(jiān)管壓力。

相較于歐盟充分性的保護標準，美國的個人數(shù)據(jù)保護水平主要以隱私保護狀況為考核指標。美國的隱私保護標準分為兩個層級：即在線隱私聯(lián)盟(Online Privacy Alliances，OPA)公布的建議性指引以及由美國兩大隱私認證企業(yè)TRUSTe和BBB Online制定的具有強制約束力的兩個隱私保護計劃(Privacy Seal Program)(18)張舵.略論個人數(shù)據(jù)跨境流動的法律標準[J].中國政法大學學報,2018,(5):102.。前者側(cè)重于保護數(shù)據(jù)主體的知情權(quán)，后者則在OPA指引的基礎(chǔ)上，結(jié)合聯(lián)邦貿(mào)易委員會的隱私保護原則(FTC Principles)(19)FTC原則包括通知原則、選擇原則、訪問原則和數(shù)據(jù)安全原則。制定相關(guān)條款。企業(yè)在進行申請認證程序時，需要提供公司內(nèi)部的隱私規(guī)則與政策，在通過考核后，由上述認證機構(gòu)頒發(fā)認證標識，且可在網(wǎng)上進行公示，以提升消費者的信任。此外，隱私認證機構(gòu)也需要定期進行評估。

美國規(guī)制路徑一方面強調(diào)規(guī)制企業(yè)對于相關(guān)規(guī)則的遵守，另一方面又對違規(guī)企業(yè)實行問責。而上述規(guī)范體系的建構(gòu)旨在為數(shù)字經(jīng)濟產(chǎn)業(yè)創(chuàng)設(shè)最低標準，讓跨境數(shù)據(jù)流動的限制機制回歸市場。值得注意的是，事后問責的處理方式不僅因數(shù)據(jù)難以恢復原狀而導致規(guī)制功能下降，而且對于中小企業(yè)來說操作成本過高。企業(yè)自律水平也參差不齊。未來，隨著加入企業(yè)的不斷增多，監(jiān)管機構(gòu)很可能自顧不暇。此外，對于大型企業(yè)懲罰力度過小，與GDPR所規(guī)定的違規(guī)企業(yè)最高可處罰2000萬歐元或者企業(yè)上一年度全球營業(yè)收入的4%的罰款(兩者取其高)(20)王融.《歐盟數(shù)據(jù)保護通用條例》詳解[J].大數(shù)據(jù),2016,(7):101.相比，威懾力十分有限。

3.俄羅斯：以地理區(qū)域為基準、以數(shù)據(jù)本地化為基本原則的規(guī)制路徑

俄羅斯規(guī)制路徑要求數(shù)據(jù)的存儲與處理在國內(nèi)進行，強烈排斥數(shù)據(jù)的跨境自由流動，以實現(xiàn)對于跨境數(shù)據(jù)的絕對保護。與此相類似的國家還有馬來西亞、巴西及印度等。俄羅斯的“本地存取型”立法最初尚未上升到歐盟以數(shù)據(jù)隱私權(quán)為基本權(quán)利的高度。但是“棱鏡門”事件的發(fā)生直接成為歐洲各國再次關(guān)注數(shù)據(jù)主權(quán)的導火索。俄羅斯數(shù)據(jù)保護立法從自由放任演變?yōu)閲栏裣拗啤?/p>

為此，俄羅斯于2014年5月和2014年7月先后進行了兩次立法修改。就第一次修改而言，《關(guān)于信息、信息技術(shù)和信息保護法》(第149號法令)在互聯(lián)網(wǎng)信息傳播組織義務(wù)項下增加了境內(nèi)存儲的相關(guān)要求，文本規(guī)定：網(wǎng)民在對文字、圖像以及語音等各種信息進行發(fā)送、接收以及處理的過程中，互聯(lián)網(wǎng)信息傳播組織者應將上述信息留存于俄羅斯境內(nèi)。此外，還聲明互聯(lián)網(wǎng)企業(yè)在國家機構(gòu)進行調(diào)查時積極配合的義務(wù)，否則將處以行政罰款。第二次修改則在第149號法令第16條第4款中增加數(shù)據(jù)控制者與數(shù)據(jù)處理者對于存儲、處理俄羅斯公民信息的數(shù)據(jù)庫應留存在俄羅斯境內(nèi)的規(guī)定?！抖砹_斯聯(lián)邦個人數(shù)據(jù)法》(第152號法令)第18條增加第5款，運營商獲取信息需要使用俄羅斯本地的數(shù)據(jù)庫，且需確保數(shù)據(jù)主體的知情權(quán)。通過上述法律修改成果，可以歸納出俄羅斯目前對于數(shù)據(jù)跨境流動的態(tài)度：(1)公民個人信息應存儲于俄羅斯境內(nèi)；(2)處理公民個人信息應在俄羅斯境內(nèi)進行；(3)數(shù)據(jù)相關(guān)主體應積極配合國家監(jiān)管工作(21)何波.俄羅斯跨境數(shù)據(jù)流動立法規(guī)則與執(zhí)法實踐[J].大數(shù)據(jù),2016,(7):131.?？缇硵?shù)據(jù)流動立法在俄羅斯得到高強度的規(guī)制，但其實施方式相對溫和，監(jiān)管機構(gòu)一般通過檢查服務(wù)器服務(wù)商簽訂的書面合同，而非專業(yè)的軟硬件檢測。而且，處罰的力度相對較小，多為小額罰款和限期改正的處罰。

俄羅斯所倡導的數(shù)據(jù)本地化規(guī)制路徑通過嚴控數(shù)據(jù)流動，試圖將侵犯數(shù)據(jù)主體隱私和威脅國家安全的風險扼殺在搖籃里，但其實施的效果并不理想。首先，該理念本身就存有瑕疵，信息安全并不在于物質(zhì)形態(tài)的存儲地點，高度集中有時往往更易受損，甚至有可能成為國內(nèi)政府監(jiān)視公民行為的借口(22)馬蒂亞斯·鮑爾等.數(shù)據(jù)本地化的代價：經(jīng)濟恢復期的自損行為[J].汕頭大學學報(人文社會科學版),2017,(5):45.。其次，數(shù)據(jù)本地化措施是否符合目的、是否必要、是否符合比例原則也存有質(zhì)疑(23)彭岳.數(shù)據(jù)本地化措施的貿(mào)易規(guī)制問題研究[J].環(huán)球法律評論,2018,(2):180-181.。

4.澳大利亞：以利益均衡為導向、以折中型為特征的規(guī)制路徑

相較于歐盟數(shù)據(jù)保護的歷史傳統(tǒng)以及美國強大的互聯(lián)網(wǎng)產(chǎn)業(yè)經(jīng)濟，一些缺失國際主導權(quán)的國家往往選擇迎合立法主流或加入特定區(qū)域、國際組織，為國內(nèi)相關(guān)產(chǎn)業(yè)的數(shù)據(jù)跨境流動提供法律依據(jù)。以澳大利亞為代表的中間派，通過創(chuàng)新跨境數(shù)據(jù)流動機制，結(jié)合立法變革和實踐檢測，以期在“三難選擇”中找到平衡點。

澳大利亞數(shù)據(jù)安全框架圍繞政府商業(yè)安全指令和全面保護安全政策兩層治理構(gòu)架，制定出具有推薦性意義的數(shù)據(jù)安全管理協(xié)議、五項具體規(guī)則和特殊數(shù)據(jù)的安全政策和流程(24)倫一.澳大利亞跨境數(shù)據(jù)流動實踐及啟示[J].信息安全與通信保密,2017,(5):31.。澳大利亞規(guī)制機制是主流規(guī)制路徑和本國獨有管理機制的結(jié)合，具體表現(xiàn)為以下幾個特征：首先，規(guī)制法律專門化，將數(shù)據(jù)類型分為政府數(shù)據(jù)、個人數(shù)據(jù)和健康數(shù)據(jù)。澳大利亞一般不禁止個人數(shù)據(jù)的跨境流動，《1988年隱私法》(以下簡稱《隱私法》)要求APP實體，即澳大利亞隱私原則所規(guī)范的機構(gòu)或個人應采取適當?shù)拇胧ＷC數(shù)據(jù)接受者未違反澳大利亞境內(nèi)法律的規(guī)定。涉及一般數(shù)據(jù)中的敏感數(shù)據(jù)則禁止商業(yè)推廣。對于個人健康數(shù)據(jù)，《個人控制的電子健康記錄法》(PCEHR)第77章原則上禁止可識別的健康數(shù)據(jù)跨境流動，除非出現(xiàn)消費者數(shù)據(jù)必須跨境等情形。其次，承認外國相關(guān)制度的域外效力?！峨[私法》規(guī)定，外國對數(shù)據(jù)跨境流動做出要求，不視為違反澳大利亞《隱私法》。最后，澳大利亞跨境數(shù)據(jù)流動規(guī)制機制與國際規(guī)則相協(xié)調(diào)。《隱私法》與“指令”和GDPR的目標以及部分規(guī)定兼容，都強調(diào)尊重并保障數(shù)據(jù)主體權(quán)利。因為是APEC成員，該法案也同APEC隱私規(guī)則亦步亦趨，但因未加入CBPR，故具體執(zhí)行不受約束。此外，澳大利亞跨境數(shù)據(jù)流動體系與OECD《關(guān)于隱私保護和個人跨境數(shù)據(jù)指南》內(nèi)在邏輯相一致，都通過數(shù)據(jù)開放與安全的價值理念解決“三難選擇”之問題。

澳大利亞規(guī)制路徑是在保護數(shù)據(jù)主體隱私權(quán)的基礎(chǔ)上，調(diào)配經(jīng)濟利益的產(chǎn)物。精準的分類規(guī)則、成熟的法律構(gòu)架以及與國際規(guī)則立法趨勢相適配似乎得以實現(xiàn)良好的數(shù)據(jù)保護、跨境自由流動和數(shù)據(jù)自主權(quán)的平衡，但因過于兼顧，部分功能會因此而減損。例如數(shù)據(jù)類型劃分的交叉所導致的專門法律間不相協(xié)調(diào)，監(jiān)管機構(gòu)配套不足，以及對健康數(shù)據(jù)過度敏感等。事實證明折中的解決方案針對性不強，限度也難以掌控。

以上四種規(guī)制路徑是不同國家在數(shù)字經(jīng)濟迅猛發(fā)展的時代背景下做出的戰(zhàn)略抉擇。或因崇尚隱私保護而放棄數(shù)據(jù)流動帶來的巨大經(jīng)濟收益，或以市場自治的規(guī)律為準則，適當調(diào)整數(shù)據(jù)保護的力度。以俄羅斯為代表的數(shù)據(jù)本地化舉措與其說是對于美國監(jiān)控行為的應激性反應，還不如說為傳統(tǒng)的國家安全找到得以維系的支點，畢竟當下政治環(huán)境成為矛盾焦點。而折中型的澳大利亞規(guī)制路徑似乎通過創(chuàng)新機制、仿效國際模式的形式使“三難選擇”相融合。為了全球化的共同目標，上述路徑出現(xiàn)融合，并由此演化成為不同的國際規(guī)制路徑。

(三)國際規(guī)制路徑類型列示

王利明教授指出：“不同國家之間的立法差異是導致跨境數(shù)據(jù)流動受到阻礙的主要原因?！?25)王利明.論個人信息權(quán)的法律保護——以個人信息權(quán)與隱私權(quán)的界分為中心[J].現(xiàn)代法學,2013,(4):62-72.而實現(xiàn)數(shù)據(jù)的自由流動或通過減少公權(quán)力介入，實現(xiàn)市場自治。或通過放棄市場來迎合歐盟嚴格的數(shù)據(jù)保護標準。但上述單一的規(guī)制路徑對于互聯(lián)網(wǎng)的發(fā)展并未奏效。從國際私法層面來看，解決民商事法律沖突無異于兩種方法，即沖突法和統(tǒng)一實體法。一方面，數(shù)據(jù)監(jiān)管意味著公法的治理，國家談判步履維艱。另一方面，由于國內(nèi)法制環(huán)境和文化的差異，在短期內(nèi)達成國際共識又不具有可能性。盡管歐盟于2012年重新修訂的“108公約”(26)新修訂的“108公約”規(guī)范對象廣泛，且規(guī)定保護標準，準入和執(zhí)行機制更加靈活，包括問卷、面談以及合規(guī)協(xié)助等方式。烏拉圭成為新“108公約”的第一個非歐洲國家。和于1979年成立的全球性DPA專業(yè)組織——國際數(shù)據(jù)保護與隱私專員大會(The International Data Protection and Privacy Commissioners’ Conference，IDPPCC)(27)IDPPCC 共有119 個DPA 成員，每年召開一次會議，其宗旨是在國際層面提供數(shù)據(jù)和隱私保護的領(lǐng)導力。試圖在推動跨境數(shù)據(jù)的全球流動，進而建立統(tǒng)一的多邊機制，但是并未取得實質(zhì)性進展。通過簽訂雙邊協(xié)議、多邊協(xié)議的國際規(guī)制路徑則在國力較量中呈現(xiàn)出不同特征。

1.美國主導下的國際規(guī)制路徑

于2004年通過的APEC隱私框架(APEC Privacy Framework)是亞太地區(qū)第一份有關(guān)跨境數(shù)據(jù)流動規(guī)制的立法文件。為了增強該框架的執(zhí)行力，2012年由美國主導的《跨境隱私規(guī)則》(Cross Border Privacy Rules system)(以下簡稱“CBPR”)可謂美國自律模式的改良版本。該多邊數(shù)據(jù)隱私保護計劃的參與主體包括隱私執(zhí)法機構(gòu)(PEA)、隱私認證機構(gòu)以及規(guī)制企業(yè)。具體運行機制為：隱私認證機構(gòu)根據(jù)隱私框架的9大原則(28)包括避免傷害、通知、收集限制、個人信息的使用、選擇性原則、個人信息的完整性、安全保障、查詢及更正、問責制。和50條具體要求制定標準，規(guī)制企業(yè)可通過自評以及隱私認證機構(gòu)的評估獲得認證標志，之后可負責亞太各國的數(shù)據(jù)跨境傳輸及處理等業(yè)務(wù)。在監(jiān)管層面，分為兩種途徑：第一種由隱私認證機構(gòu)通過消費者投訴和常規(guī)例行檢查跟蹤規(guī)制企業(yè)的違規(guī)行為，以給予批評、取消認證標識和罰款等為懲戒手段。第二種則在第一種渠道救濟不能的情況下，由隱私執(zhí)法機構(gòu)根據(jù)隱私執(zhí)法安排，要求違規(guī)企業(yè)所在國的隱私執(zhí)法機構(gòu)來處理(29)〔36〕弓永欽,王健.APEC與歐盟個人數(shù)據(jù)跨境流動規(guī)則的研究[J].亞太經(jīng)濟,2015,(5):10-12.。此外，于2012年達成的《美韓自由貿(mào)易協(xié)定》(U.S.-South Korea Free Trade Agreement)和2015年簽訂的《跨太平洋戰(zhàn)略經(jīng)濟伙伴關(guān)系協(xié)定》(TPP)同樣帶有強烈的美國色彩。這種以經(jīng)濟力量來決定規(guī)則走向的國際規(guī)制模式不但會在機制出現(xiàn)預警時無法解決，還無形中增設(shè)了加入的成本。

2.從“安全港”到“隱私盾”：歐美路徑的第一次融合

由于歐美跨境數(shù)據(jù)規(guī)制方式的巨大差異，美國無法通過充分保護原則落入歐盟白名單的范疇。但緊密的貿(mào)易投資關(guān)系促使歐美經(jīng)多次磋商，并于2000年11月1日達成《美歐安全港協(xié)議》(U.S.-EU Safe Harbor Framework)。該協(xié)議共包括7項隱私權(quán)保護規(guī)則(30)包括通知原則、選擇原則、向前轉(zhuǎn)移原則、安全原則、數(shù)據(jù)完全性原則、接入原則和執(zhí)行原則。，美國企業(yè)需要加入該協(xié)議，并且承諾遵守上述規(guī)則，方可視同滿足“指令”第25條第6項的充分性認定。這種通過以充分性保護原則嵌入組織機構(gòu)的混合模式，暫時調(diào)和了歐美之間的矛盾。不過事后，一些學者對于此項協(xié)議的達成表示擔憂：只要歐美之間隱私保護的立場存有根本性差異，這項解決方案不能長久(31)Julia M.Fromholz,The European Union Data Privacy Directive,Berkeley Technology Law Journal,Vol.15,2000,p.483.。2013年“棱鏡門”事件的發(fā)生使美國變?yōu)楸娛钢?。雙方于2014年1月重新開始談判，以尋求應對之策。2015年，奧地利的一名法律系學生馬克斯·施姆雷斯向愛爾蘭信息監(jiān)督部門提出申訴，愛爾蘭當局援引《美歐安全港協(xié)議》駁斥了該申訴，后該學生召集其他數(shù)據(jù)主體提起集體訴訟，經(jīng)歐洲法院判決：安全港協(xié)議對于侵犯歐洲公民數(shù)據(jù)隱私權(quán)的情形，只有解決商業(yè)糾紛的條款，并未規(guī)定其他救濟機制，因此不符合“指令”的充分性保護標準；在權(quán)限規(guī)定上，協(xié)議限制了歐盟國家主管機關(guān)的監(jiān)督權(quán)。2016年，歐美重啟談判工作，隨后達成《歐美隱私盾協(xié)議》(EU-U.S. Privacy Shield Framework)。相較于安全港協(xié)議，后者將規(guī)制對象擴展至美國政府以及國家安全部門，救濟機制則從簡單的商業(yè)糾紛解決條款到企業(yè)申訴和強制性終局仲裁。此外，還增加了數(shù)據(jù)主體權(quán)利內(nèi)容等(32)王順清,劉超.歐美個人數(shù)據(jù)跨境轉(zhuǎn)移政策變遷及對我國的啟示[J].法學論壇,2017,(4):98.。

3.歐盟——APEC的雙重認證：歐美路徑的第二次融合

歐盟的“約束性公司規(guī)則(Binding Corporate Rules,BCR)”(33)BCR的規(guī)范對象是在歐洲經(jīng)營的跨國公司，跨國公司在集團內(nèi)部制定符合指令原則的約束性公司規(guī)則即可視為達到充分性保護標準。和美國主導下的APEC跨境隱私規(guī)則(CBPR)均是歐美兩種傳統(tǒng)規(guī)制模式的延伸性成果。與純粹的歐美規(guī)制路徑相比，兩者在許多方面存在相似之處：(1)規(guī)制主體為國際企業(yè)，規(guī)制行為為數(shù)據(jù)流動行為；(2)企業(yè)自愿加入，且僅具有內(nèi)部約束力，違背規(guī)則將會被數(shù)據(jù)保護機構(gòu)予以制裁；(3)“指令”的6大規(guī)則(34)包括合法性、目的限制、透明度、比例性、安全和管理原則。與APEC的9大規(guī)則相比內(nèi)容并無實質(zhì)性差異；(4)均準確界定了數(shù)據(jù)保護的最低標準〔36〕?；趦纱笠?guī)則具備兼容的內(nèi)在特質(zhì)，自2012年9月，歐盟與APEC形成了一個聯(lián)合工作小組，該小組通過比較兩者的異同點，制定相應文本，以促進跨境數(shù)據(jù)在兩個組織成員國之間的自由流動。2014年1月，APEC-EU工作委員會聯(lián)合制定了“BCR規(guī)則體系和CBPR規(guī)則體系共同參考”(以下簡稱“參考”)(35)PEC,Electronic Commerce Steering Group,https://www.apec.org/Groups/Committee-on-Trade-and-Investment/Electronic-Commerce-Steering-Group, last visited on 9 May,2019.，參考不僅重申了兩者的規(guī)則體系，還另外指出需要滿足一些共同標準和認證要求。此外，該文件對于同時申請兩個機構(gòu)的企業(yè)具有強制約束力。為了進一步推動參考的可操作性，自2015年8月，APEC-EU工作委員會與利益相關(guān)者就制定聯(lián)合申請表交換了意見和建議，以實現(xiàn)長期合作的計劃。目前，工作小組正在起草該份申請表。

歐美兩次路徑的融合構(gòu)成了雙邊協(xié)議和多邊協(xié)議的正式范本，為跨境數(shù)據(jù)流動的規(guī)制方式提供了新的邏輯行為路徑。此外，歐美分別自2013年3月和2013年6月開始談判的《服務(wù)貿(mào)易協(xié)議》(TISA)和《跨大西洋貿(mào)易與投資合作伙伴關(guān)系協(xié)議》(TTIP)由于數(shù)據(jù)保護水平存在巨大分歧而遭遇瓶頸。

通過上述國家規(guī)制路徑與國際規(guī)制路徑的詳細闡釋，筆者認為就目前跨境數(shù)據(jù)流動的規(guī)制路徑而言，全球形成如下構(gòu)架體系：

四、中國跨境數(shù)據(jù)流動規(guī)制的法律現(xiàn)狀和路徑抉擇

跨境數(shù)據(jù)流動規(guī)制作為中國互聯(lián)網(wǎng)迅猛發(fā)展背景下探討的議題，已經(jīng)反映在中國近來頒布的立法文件中。一方面，經(jīng)濟全球化的時代趨勢促使許多國家和地區(qū)進行數(shù)據(jù)交換。而中國作為世界第二大經(jīng)濟體，對于數(shù)據(jù)交換的需求顯著增長。據(jù)阿里研究院統(tǒng)計：中國跨境電商交易規(guī)模在2015年達到4.8億元，預計到2020年達到12億元，占中國進出口總額的37.6%(37)曹杰,王晶.跨境數(shù)據(jù)流動規(guī)則分析——以歐美隱私盾協(xié)議為視角[J].國際經(jīng)貿(mào)探索,2017,(4):114.。另一方面，技術(shù)革新給隱私和數(shù)據(jù)安全帶來了前所未有的威脅。而中國相關(guān)領(lǐng)域的立法空白無法規(guī)制跨境數(shù)據(jù)流動這一行為，具體的政策邊界也并不明確。在上述背景下，中國既需認清國內(nèi)和國際經(jīng)濟形勢和立法現(xiàn)狀，又需制定出相應對策以應對跨境數(shù)據(jù)流動中的問題。

(一)法律現(xiàn)狀

首先，對于個人數(shù)據(jù)權(quán)利定位不清，規(guī)制對象屬性不明。法學界或基于個人數(shù)據(jù)因帶有人身屬性的信息而歸于隱私權(quán)或人格權(quán)范疇，或因法律賦予數(shù)據(jù)主體知情權(quán)、控制權(quán)、處理權(quán)而附有財產(chǎn)權(quán)的色彩，因此對于個人數(shù)據(jù)的權(quán)利屬性并未達成一致共識。在互聯(lián)網(wǎng)時代，個人數(shù)據(jù)權(quán)利保護對象和保護方式發(fā)生改變。前者的范圍擴展至進行挖掘和處理后的個人信息。后者則從傳統(tǒng)的消極保護變?yōu)樵趦?yōu)先確保數(shù)據(jù)自由流動的前提下實現(xiàn)數(shù)據(jù)的全方位保護。個人數(shù)據(jù)權(quán)利兼具人身權(quán)和財產(chǎn)權(quán)屬性，全球進入了“后隱私權(quán)”變革時代(38)劉澤剛.歐盟個人數(shù)據(jù)保護的“后隱私權(quán)”變革[J].華東政法大學學報,2018,(4):54.。

其次，立法過于分散化，缺乏體系性。我國現(xiàn)有個人數(shù)據(jù)保護通過統(tǒng)籌性法律和行業(yè)規(guī)定(39)統(tǒng)籌性法律有：《網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例(征求意見)》等，行業(yè)規(guī)定包括《征信業(yè)管理條例》《人口健康信息管理辦法(試行)》等。進行規(guī)制。據(jù)統(tǒng)計，我國現(xiàn)有涉及個人數(shù)據(jù)保護的法律法規(guī)近70部，法律解釋10條以及部門規(guī)章近200部(40)代表委員呼吁個人信息保護單獨立法[J].時代金融,2013,(10):49.。其中，規(guī)制跨境數(shù)據(jù)流動的少之甚少。2013年工信部頒布的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》首次制定了跨境數(shù)據(jù)流動的相關(guān)規(guī)定。2016年通過的《網(wǎng)絡(luò)安全法》第37條模糊界定了數(shù)據(jù)評估的機構(gòu)和數(shù)據(jù)本地存儲的要求。上述立法規(guī)范基本是原則性的規(guī)定，對于數(shù)據(jù)主體權(quán)利的內(nèi)容、規(guī)制方式以及救濟途徑缺失，且試圖通過部門法以偏概全。這種分散化、抽象的立法模式無法為跨境數(shù)據(jù)流動的快速發(fā)展提供法律依據(jù)。

最后，跨境數(shù)據(jù)流動監(jiān)管方式和數(shù)據(jù)保護分類形式單一?；诖笳牧⒎▊鹘y(tǒng)，跨境數(shù)據(jù)流動的監(jiān)管基本由政府主導，由此弱化了企業(yè)的監(jiān)管職責。政府監(jiān)管負擔過重，從而抑制了市場的運行效率。此外，數(shù)據(jù)保護種類寬泛，立法未進行數(shù)據(jù)的有效識別，保護水平的一視同仁忽略了數(shù)據(jù)間的屬性差異。

綜上，中國跨境數(shù)據(jù)流動規(guī)制因立法較晚，在立法模式、立法體系、立法價值導向、立法具體規(guī)則、立法執(zhí)行機制和救濟機制層面過于原則，無法為跨境企業(yè)提供合法合理的預期，以調(diào)整跨境交易行為。數(shù)據(jù)保護和數(shù)據(jù)自由的衡平處于初級階段。

(二)路徑抉擇

鑒于全球主要形成了美、歐、俄、澳四大國內(nèi)路徑，以及美國主導和歐美立法范式融合的國際路徑。中國在立法體系不完善的背景下，理應結(jié)合中國實際情況和國際跨境數(shù)據(jù)流動的發(fā)展趨勢，做出正確的路徑抉擇。據(jù)此，筆者提出如下建議：

1.堅持維護數(shù)據(jù)自主權(quán)，協(xié)調(diào)好數(shù)據(jù)安全與產(chǎn)業(yè)利益的關(guān)系

中國作為大數(shù)據(jù)時代下的后起之秀，在產(chǎn)業(yè)利益帶動國民經(jīng)濟增長并逐漸影響市場類型的基礎(chǔ)上，應同時注重消費者的合法權(quán)益，以及數(shù)據(jù)泄露可能引發(fā)的國家危機。數(shù)據(jù)自主權(quán)的公權(quán)屬性促使歐美為首的數(shù)據(jù)大國嚴格把控。在全球數(shù)據(jù)競爭中，中國也應完善數(shù)據(jù)監(jiān)管機制，牢牢把握自主權(quán)。因為“每個國家都擁有信息自主權(quán)，不能因為經(jīng)濟政治水平差異而施以雙重標準，且任何國家均不得干涉他國的信息自主權(quán)”(41)祝高峰.大數(shù)據(jù)時代國家信息主權(quán)的確立及其立法建議[J].江西社會科學,2016,(7):191.。此外，應建立數(shù)據(jù)共享機制，轉(zhuǎn)變數(shù)據(jù)主權(quán)的防守路徑，以保證數(shù)據(jù)流動的暢通性、透明性以及可操作性。

2.加快統(tǒng)一數(shù)據(jù)保護立法，建立分類和評估機制

中國跨境數(shù)據(jù)立法處于初期階段，各項機制闕如，跨境數(shù)據(jù)流動規(guī)制基本分散于各個部門法中，且以較為含糊的言辭表述。筆者認為：首先，基于跨境數(shù)據(jù)的雙重屬性，應由全國人大常委會制定一部綜合性的《個人數(shù)據(jù)保護法》，不僅能夠提高數(shù)據(jù)保護權(quán)的立法位階，還為部門法嵌入該新型權(quán)利提供規(guī)則指引。目前，據(jù)中國人大網(wǎng)于2018年9月10日公布的《十三屆全國人大常委會立法規(guī)劃》，《個人信息保護法》已被列為第一類項目的第61個。面對數(shù)據(jù)經(jīng)濟發(fā)展的熱潮和新近歐盟生效的最嚴格GDPR，立法進度刻不容緩。其次，在內(nèi)容上，對于不同的數(shù)據(jù)采取不同的管理模式，涉及國家秘密、國家安全的數(shù)據(jù)，根據(jù)GATS第14條隱私例外和國家安全例外條款，將該數(shù)據(jù)留存于中國境內(nèi)。對于普通的個人數(shù)據(jù)，則再詳細劃分為一般數(shù)據(jù)和敏感數(shù)據(jù)。后者原則上禁止，只有滿足嚴格的評估條件或在數(shù)據(jù)主體同意的基礎(chǔ)上方可豁免，從而能強化對個人一般信息的利用和個人敏感信息的保護(42)張新寶.我國個人信息保護法立法主要矛盾研討[J].吉林大學社會科學學報,2018,(5):46-47.。最后，在評估機制上，從《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》的相關(guān)規(guī)定來看，基本上采用以組織機構(gòu)為基準，以問責為原則的美國式規(guī)制路徑。將責任主體歸置于網(wǎng)絡(luò)運營者(43)第12條：網(wǎng)絡(luò)運營者應根據(jù)業(yè)務(wù)發(fā)展和網(wǎng)絡(luò)運營情況，每年對數(shù)據(jù)出境至少進行一次安全評估，及時將評估情況報行業(yè)主管或監(jiān)管部門。當數(shù)據(jù)接收方出現(xiàn)變更，數(shù)據(jù)出境目的、范圍、數(shù)量、類型等發(fā)生較大變化，數(shù)據(jù)接收方或出境數(shù)據(jù)發(fā)生重大安全事件時，應及時重新進行安全評估。，由行業(yè)主管或監(jiān)管部門進行最終評定(44)第5條：國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)數(shù)據(jù)出境安全評估工作，指導行業(yè)主管或監(jiān)管部門組織開展數(shù)據(jù)出境安全評估。第6條：行業(yè)主管或監(jiān)管部門負責本行業(yè)數(shù)據(jù)出境安全評估工作，定期組織開展本行業(yè)數(shù)據(jù)出境安全檢查。。前者的順利進行有賴于行業(yè)自律體系的構(gòu)建，而后者的機構(gòu)設(shè)定容易導致實踐中監(jiān)管缺位。一則機構(gòu)的多功能監(jiān)管往往容易顧此失彼，專業(yè)能力有待考察；二則建立專門的數(shù)據(jù)保護機構(gòu)(DPA)已成為世界潮流，對于中國加入國際或區(qū)域組織，抑或簽訂自由貿(mào)易協(xié)議都是大有裨益的。

3.加強國際合作，建立符合中國國情的規(guī)制路徑

在互聯(lián)、協(xié)作、開放、共享的時代主題下，加強全球化合作成為拓寬本國經(jīng)濟渠道、促進國際交流的重要方式。以歐美為首的國家以積極主動的姿態(tài)制定跨境數(shù)據(jù)流動規(guī)制規(guī)則，通過雙邊、多邊協(xié)議構(gòu)建屬于自己的話語權(quán)。但是目前全球尚未形成統(tǒng)一的國際規(guī)則與條約規(guī)范。對于中國來說，只有在立法理念確定、國內(nèi)立法相對完善、執(zhí)行機制專門化的前提下，具備防御能力后，國際合作的開展才能有效進行。具體路徑建構(gòu)分為兩個層面：第一個層面是迂回路徑：首先，通過建立數(shù)據(jù)保護機構(gòu)，加入CBPR體系，在亞太地區(qū)開展跨境數(shù)字產(chǎn)品貿(mào)易和服務(wù)。截至2018年，韓國已經(jīng)成為繼美國、日本、墨西哥和加拿大后，第五個加入CBPR體系的國家(45)http://www.apec.org/Press/News-Releases/2017/0627_Privacy,last visited on 9 May, 2019.。因中國是APEC的成員國，該路徑也最有可能實現(xiàn)。并且，我國已同韓國簽訂了FTA，而中日韓FTA，中美BIT均在談判，中國—加拿大FTA正在研究中(46)商務(wù)部中國自由貿(mào)易區(qū)服務(wù)網(wǎng)，http://fta.mofcom.gov.cn/,最后訪問日期：2019年5月9日。。故該路徑也有實施的必要性。此外，因目前歐盟與APEC就跨境數(shù)據(jù)流動進行雙重認證，該路徑也可能打通中國與歐盟的傳輸渠道。其次，2018年5月28日生效的GDPR，增設(shè)了跨境數(shù)據(jù)流動的合法機制。在充分性條件難以滿足的情況下，中國可通過制定有約束的公司規(guī)則(BCR)、標準合同條款(SCC)(47)其為歐盟委員會通過的3個標準合同條款，GDPR增加了數(shù)據(jù)監(jiān)管機構(gòu)可以指定標準合同條款的渠道，但是須經(jīng)歐盟委員會認可。、經(jīng)批準的行為規(guī)則(48)詳細行為規(guī)則由數(shù)據(jù)控制者成立的協(xié)會制定，但是需要經(jīng)數(shù)據(jù)監(jiān)管機構(gòu)或歐盟保護委員會通過。和認證機制等形式來實現(xiàn)，因為畢竟有著5億人的歐洲市場。最后，隨著中國企業(yè)隱私數(shù)據(jù)保護的提高，可予以仿效“安全港”“隱私盾”模式，與歐盟等重要經(jīng)濟發(fā)展體洽簽合作協(xié)議。在具備一定的國際影響后，可實施第二層面的主導路徑。中國可利用亞洲基礎(chǔ)設(shè)施開發(fā)銀行、金磚國家、博鰲論壇、“一帶一路”等由中國主導的國際平臺，制定區(qū)域性數(shù)據(jù)跨境流動合作機制，為統(tǒng)一性跨境規(guī)則的制定提供新的思路。

綜上，中國路徑的抉擇應該以實現(xiàn)“三難選擇”的動態(tài)平衡為指導原則，通過統(tǒng)一國內(nèi)數(shù)據(jù)保護立法，建立執(zhí)行機制，為國際雙層路徑的建構(gòu)提供動力。據(jù)此，筆者認為中國跨境數(shù)據(jù)流動規(guī)制路徑如下圖所示：

圖3 中國路徑抉擇模型(資料來源：作者自制)