歐美跨境數(shù)據(jù)流動合作的演進(jìn)歷程、分歧溯源與未來展望*

張倩雯 張文藝

(西南交通大學(xué) 成都 611730)

近年來，技術(shù)的進(jìn)步變革了數(shù)據(jù)收集和共享的方式，提高了生產(chǎn)力和經(jīng)濟效益。數(shù)據(jù)已成為世界各國新的重要經(jīng)濟增長級，促進(jìn)了以數(shù)據(jù)驅(qū)動為核心的新型貿(mào)易發(fā)展。伴隨云服務(wù)的出現(xiàn)，一國的數(shù)據(jù)越來越頻繁地在另一國家存儲、處理和分析，建立在跨境數(shù)據(jù)流動基礎(chǔ)之上的數(shù)字經(jīng)濟正蓬勃發(fā)展?？缇硵?shù)據(jù)流動因而被稱為促進(jìn)商業(yè)的“21世紀(jì)全球化標(biāo)志”和“將全球經(jīng)濟聯(lián)系的結(jié)締組織”[1]。2018年5月，正式生效的歐盟《通用數(shù)據(jù)保護條例》(GDPR)，取代了此前的《數(shù)據(jù)保護指令》。歐盟法院根據(jù)GDPR裁定歐盟與美國的隱私盾協(xié)議失效，引發(fā)了關(guān)于跨境數(shù)據(jù)流動自由與限制的分歧。本文以歐盟與美國的個人跨境數(shù)據(jù)流動規(guī)則為研究對象，基于歐盟法院宣告安全港原則和隱私盾協(xié)議失效的兩個判例，厘清歐美跨境數(shù)據(jù)流動合作從安全港原則到隱私盾協(xié)議的演進(jìn)歷程，深度溯源歐盟和美國對于跨境數(shù)據(jù)流動規(guī)制的分歧，展望后Schrems II時代下歐美跨境數(shù)據(jù)流動的合作前景。本文通過分析隱私盾協(xié)議失效對全球跨境數(shù)據(jù)流動規(guī)則的影響，提出我國的應(yīng)對策略，以期為中國引領(lǐng)全球數(shù)字貿(mào)易規(guī)則制定提供借鑒。

1 歐美跨境數(shù)據(jù)流動合作的演進(jìn)歷程

1.1 安全港原則的建立與失效

《數(shù)據(jù)保護指令》規(guī)定，歐盟與第三國進(jìn)行跨境數(shù)據(jù)流動的商業(yè)活動時，第三國必須提供基本等同于歐盟立法的充分的數(shù)據(jù)隱私保護。為了滿足該“充分性”要求，避免美國企業(yè)在與歐盟的業(yè)務(wù)往來中受到阻礙，促進(jìn)美國與歐盟之間的經(jīng)貿(mào)往來，美國與歐盟經(jīng)過長時間談判，最終于2000年7月正式建立了作為安全保障機制的安全港原則。然而，數(shù)據(jù)傳輸?shù)闹笖?shù)級增長和備受關(guān)注的數(shù)據(jù)安全漏洞，如愛德華·斯諾登對“棱鏡”計劃的揭露使歐盟對美國個人數(shù)據(jù)保護水平產(chǎn)生信任危機。

美國國家安全局對電子通信相關(guān)數(shù)據(jù)的廣泛訪問不僅引發(fā)了歐盟對美國立法或?qū)嵺`能否充分保護個人數(shù)據(jù)的普遍質(zhì)疑，也成為愛爾蘭公民Schrems提起訴訟的直接原因之一。2015年，歐盟法院針對“Schrems訴數(shù)據(jù)保護專員關(guān)于個人隱私在跨境數(shù)據(jù)流動中遭受侵犯案”(以下簡稱“Schrems I案”)，作出了一項里程碑式的判決，即歐盟法院裁定安全港原則不再能夠提供“充分性”的保護[2]。

Schrems I案是繼“愛爾蘭數(shù)字版權(quán)”案、“谷歌西班牙訴AEPD”案之后的第3個強調(diào)隱私和個人數(shù)據(jù)需要受到高水平保護的歐盟法院案例，也是歐盟與美國關(guān)于跨境數(shù)據(jù)流動與隱私保護分歧的開端?？紤]到在判決作出之時，已有5000多家美國公司依靠“自我認(rèn)證”制度來確保在歐盟和美國之間傳輸個人數(shù)據(jù)，安全港原則的失效將使這些公司失去保護屏障，面臨跨大西洋數(shù)據(jù)流動機制重構(gòu)的困境。此外，歐盟與美國之間的信任危機已經(jīng)出現(xiàn)。愛德華·斯諾登揭秘事件使雙方過去賴以維系的數(shù)據(jù)安全互信共識出現(xiàn)裂痕，而安全港原則的失效加劇了歐盟對美國的不信任感。安全港原則的失效可以被視為“布魯塞爾效應(yīng)”的一次間接例證，否決歐盟與美國跨境數(shù)據(jù)流動的安全港原則可能導(dǎo)致美國采取更接近“歐盟模式”的標(biāo)準(zhǔn)[3]。

1.2 隱私盾協(xié)議的達(dá)成與失效

為了確?？绱笪餮髷?shù)據(jù)流動的高效、經(jīng)濟和安全，安全港原則失效以后，歐盟數(shù)據(jù)保護機構(gòu)的工作組呼吁歐盟“與美國當(dāng)局展開討論，以找到政治、法律和技術(shù)解決方案”，從而能夠向美國傳輸“尊重基本權(quán)利”的數(shù)據(jù)。經(jīng)過雙方多次談判，2016年2月，歐盟委員會和美國商務(wù)部宣布就“跨大西洋數(shù)據(jù)流動的新框架：歐盟—美國隱私盾”達(dá)成協(xié)議，并改進(jìn)了安全港原則存在的不足，包括通過引入監(jiān)察員制度來確保獨立監(jiān)督等。然而，基于對美國國內(nèi)的隱私法律和情報活動的審視，隱私盾協(xié)議在解決歐盟個人隱私和數(shù)據(jù)保護問題上能否經(jīng)受住未來可能向歐盟法院提出的法律挑戰(zhàn)仍然具有不確定性。

2016年5月，基于安全港原則失效后Schrems對Facebook適用標(biāo)準(zhǔn)合同條款傳輸個人數(shù)據(jù)的有效性問題提出申訴，數(shù)據(jù)保護專員形成了調(diào)查報告并向法院提起訴訟，繼而引發(fā)了對隱私盾協(xié)議所確保的保護是否充分的審查(以下簡稱“Schrems Ⅱ案”)。2020年7月，歐盟法院再次裁定隱私盾協(xié)議失效。隱私盾協(xié)議有效的關(guān)鍵在于第三國“應(yīng)確保有效的獨立數(shù)據(jù)保護監(jiān)督，并應(yīng)當(dāng)規(guī)定與成員國數(shù)據(jù)保護機構(gòu)的合作機制”，并且“應(yīng)當(dāng)向數(shù)據(jù)主體提供有效和可執(zhí)行的權(quán)利以及有效的行政和司法補救”。歐盟法院認(rèn)為，針對美國《外國情報監(jiān)視法》第702條、《12333號行政命令》以及《總統(tǒng)政策指令28》，美國國家安全機構(gòu)訪問和使用從歐盟傳輸至美國的個人數(shù)據(jù)時，監(jiān)察員受限于國務(wù)院，無權(quán)獨立約束美國情報部門，數(shù)據(jù)主體在美國無法獲得有效司法保障。同時根據(jù)《歐盟基本權(quán)利憲章》第52(1)條“相稱性”原則的要求，美國國內(nèi)法律對各種國家安全機構(gòu)獲取個人數(shù)據(jù)的保護，沒有以歐盟法律所要求的方式和程度加以限制，創(chuàng)造出基本相當(dāng)于歐盟法律所要求的保護情況。因此，由于美國缺乏對個人數(shù)據(jù)保護的有效監(jiān)督和約束，隱私盾協(xié)議失去其效力[4]。

從安全港原則失效到隱私盾協(xié)議失效，歐美跨境數(shù)據(jù)流動雙邊合作協(xié)議兩次遭到歐盟法院的否定。一方面，歐盟進(jìn)一步鞏固了其關(guān)于跨境數(shù)據(jù)流動規(guī)制和隱私權(quán)保護的立場；另一方面，歐美跨境數(shù)據(jù)流動合作背后暗含著雙方深刻的分歧和矛盾。Schrems Ⅱ案將產(chǎn)生廣泛而深遠(yuǎn)的影響。隱私盾協(xié)議失效或許是實現(xiàn)歐盟“技術(shù)主權(quán)”之路的一個重要節(jié)點[5]，也是推動美國國內(nèi)隱私立法改革的重要力量，同時也為中國參與全球跨境數(shù)據(jù)流動規(guī)制提供了參考。

2 歐美跨境數(shù)據(jù)流動合作的分歧溯源

2.1 技術(shù)能力差異

在新一輪“數(shù)字革命”較量中，美國憑借其強大的數(shù)字技術(shù)能力暫時領(lǐng)先歐盟。美國擁有包括亞馬遜、蘋果，谷歌、Facebook和微軟等全球互聯(lián)網(wǎng)科技巨頭公司。這些科技巨頭是技術(shù)創(chuàng)新和產(chǎn)品研發(fā)的重要力量，主導(dǎo)著“數(shù)字革命”的未來走向，掌握著經(jīng)濟發(fā)展和社會變革的關(guān)鍵技術(shù)。硅谷的成功離不開企業(yè)與政府的通力合作。為保障其互聯(lián)網(wǎng)科技公司的高速發(fā)展，自里根政府時期以來，美國基于其國家地位和發(fā)展需要，始終秉持著跨境數(shù)據(jù)自由流動的立場，反對數(shù)字保護主義[6]，堅定地推行一系列諸如《全球電子商務(wù)框架》和《兩黨貿(mào)易優(yōu)先權(quán)和責(zé)任法》的政策，以實現(xiàn)和維護其國家利益[7]。數(shù)字全球化進(jìn)一步增強了美國互聯(lián)網(wǎng)科技公司的技術(shù)能力。

相比美國，歐盟境內(nèi)國際知名互聯(lián)網(wǎng)科技公司較少，市場競爭力較弱。歐盟長期依賴美國互聯(lián)網(wǎng)科技公司，不僅壓縮了歐盟本土數(shù)字企業(yè)的發(fā)展空間，削弱了技術(shù)創(chuàng)新的能力，還增加了歐盟公民個人數(shù)據(jù)和隱私泄露的風(fēng)險。為了改變當(dāng)前數(shù)字技術(shù)國際格局，歐盟將個人數(shù)據(jù)保護置于首要地位，嚴(yán)格地限制個人數(shù)據(jù)的跨境自由流動，增加了外國企業(yè)進(jìn)入歐盟市場的合規(guī)成本。歐盟以“數(shù)字單一市場”作為“技術(shù)主權(quán)”和全球經(jīng)濟影響力的基礎(chǔ)保障；計劃培育一批科技創(chuàng)新企業(yè)，擴大數(shù)字治理的“歐盟模式”在全球的適用和認(rèn)可范圍；將歐盟打造為未來最具吸引力的技術(shù)創(chuàng)新發(fā)展地之一。

由此可見，美國強大的技術(shù)能力需要通過全球范圍內(nèi)的大規(guī)?？缇硵?shù)據(jù)流動來鞏固和提升。然而由于歐盟的技術(shù)能力相對較弱，市場競爭優(yōu)勢不明顯，歐盟更加重視對個人數(shù)據(jù)和隱私的保護，采取措施限制美國互聯(lián)網(wǎng)科技公司進(jìn)入歐盟市場，遂導(dǎo)致歐盟與美國之間就數(shù)據(jù)監(jiān)管、傳輸和保護等議題存在分歧。

2.2 價值主張分歧

價值主張分歧是歐盟法院先后判決安全港原則和隱私盾協(xié)議無效的根本原因。具體而言，是歐盟主張的“技術(shù)主權(quán)”與美國實施的“監(jiān)控資本主義”之間的沖突。谷歌、Facebook等大型互聯(lián)網(wǎng)科技公司的商業(yè)運營模式被稱為“監(jiān)控資本主義”[8]。該模式與傳統(tǒng)企業(yè)經(jīng)營收益方式顯著不同，即在大范圍乃至全球范圍內(nèi)收集、處理和共享數(shù)據(jù)，再以大數(shù)據(jù)為生產(chǎn)要素，單方面監(jiān)控、預(yù)測和改變?nèi)藗兊纳a(chǎn)、消費行為，最終產(chǎn)生利潤和獲得市場?！氨O(jiān)控資本主義”觸及消費者生活的方方面面，然而由于信息了解的不對稱，消費者對互聯(lián)網(wǎng)科技公司如何收集加工海量數(shù)據(jù)的過程卻并不知情。“監(jiān)控資本主義”的不公開和不透明極易侵犯消費者的隱私，這導(dǎo)致數(shù)據(jù)主體和政府對隱私保護、數(shù)據(jù)安全的信任度持續(xù)走低[9]。

面對美國在數(shù)字經(jīng)濟領(lǐng)域全方位領(lǐng)先的形勢以及“監(jiān)控資本主義”的馬太效應(yīng)[10]，2020年2月，歐盟通過發(fā)布《塑造歐洲的數(shù)字未來》《人工智能白皮書》和《歐洲數(shù)據(jù)戰(zhàn)略》，從共識凝聚、技術(shù)創(chuàng)新和戰(zhàn)略布局3個維度籌謀了其數(shù)字經(jīng)濟未來的發(fā)展方向，以期奪回“技術(shù)主權(quán)”。有學(xué)者從基礎(chǔ)設(shè)施和工具、標(biāo)準(zhǔn)和法律規(guī)則，以及價值觀和社會模式3個層面分析歐盟“技術(shù)主權(quán)”的實質(zhì)內(nèi)涵[11]，筆者認(rèn)為其中價值理念是實現(xiàn)“技術(shù)主權(quán)”的根本前提，制度安排是關(guān)鍵路徑，基礎(chǔ)設(shè)施建設(shè)是重要抓手。

“技術(shù)主權(quán)”與“監(jiān)控資本主義”沖突的背后是全球數(shù)字經(jīng)濟的一體化性質(zhì)與主權(quán)國家對安全和國內(nèi)法治負(fù)有責(zé)任之間的結(jié)構(gòu)性矛盾[12]，這也是歐美跨境數(shù)據(jù)流動分歧的根源。僅在2017-2019年，歐盟就對谷歌公司進(jìn)行了3次反壟斷調(diào)查，處以了總計95億美元的罰款。亞馬遜公司也分別被德國、奧地利等歐盟成員國的反壟斷監(jiān)管機構(gòu)和歐盟委員會調(diào)查。在隱私盾協(xié)議失效一年之后，2021年Schrems向歐盟法院第3次起訴 Facebook(以下簡稱“Schrems Ⅲ案”)。Schrems Ⅲ案使近年來在境外頻繁遭受審查和巨額處罰的谷歌、亞馬遜等科技巨頭的處境雪上加霜。

2.3 法律文化沖突

隱私盾協(xié)議無效還反映了歐美深刻的文化分歧，再次印證了跨大西洋數(shù)據(jù)流動機制自始潛在的不穩(wěn)定性，揭示了歐盟和美國在數(shù)據(jù)保護、國家安全以及隱私保護問題上長期存在的分歧。歐盟的隱私觀念源于確保每一個人的“尊嚴(yán)”，而美國的文化價值則源于對“自由”的追求[13]。特別是由于經(jīng)歷了兩次世界大戰(zhàn)等歷史原因，歐盟高度重視對人權(quán)及其它基本權(quán)利的保護，這充分體現(xiàn)在歐盟頒布的一系列法律文件中。歐盟實行嚴(yán)格且全面的個人隱私和數(shù)據(jù)保護規(guī)則，強調(diào)數(shù)據(jù)主體有權(quán)控制和監(jiān)督個人數(shù)據(jù)。相反，美國基于自由市場經(jīng)濟則堅持倡導(dǎo)企業(yè)自我監(jiān)管。美國企業(yè)實體的強大市場地位使歐盟無法推動美國進(jìn)行全面的監(jiān)管改革，而美國倡導(dǎo)的自我監(jiān)管模式也沒有為歐盟所實質(zhì)接受。

3 后Schrems II時代下歐美跨境數(shù)據(jù)流動的合作展望

3.1 歐美跨境數(shù)據(jù)流動合作意愿

雖然現(xiàn)實中歐盟與美國在跨境數(shù)據(jù)流動合作中遇到困難，但二者在經(jīng)貿(mào)領(lǐng)域的深度依存關(guān)系決定未來雙方的合作意愿仍應(yīng)強烈。歐盟與美國是重要的數(shù)字經(jīng)濟合作伙伴。一方面，美國是歐盟最大的貿(mào)易投資伙伴。另一方面，跨北大西洋海域即歐盟與美國之間鋪設(shè)的海底電纜密度最大，而海底電纜的投資者多為其使用者，如亞馬遜、谷歌、Facebook等美國科技巨頭。跨大西洋數(shù)據(jù)流動有助于歐盟成員國和企業(yè)利用數(shù)據(jù)和數(shù)字工具提高生產(chǎn)力和創(chuàng)新能力，提升國際競爭力。雖然歐美現(xiàn)階段就跨境數(shù)據(jù)流動規(guī)則存在較大分歧，但鑒于歐盟與美國間經(jīng)貿(mào)合作頻繁，且一國的跨境數(shù)據(jù)流動規(guī)則與外商投資保護密切相關(guān)[14]，歐盟與美國未來很可能仍然會尋求通過談判達(dá)成新的共識。鑒于維護國家安全、公共利益和個人隱私可能成為國家規(guī)制跨境數(shù)據(jù)流動的合法理由[15]，在未來的談判中，歐美對于跨境數(shù)據(jù)流動達(dá)成合意的關(guān)鍵在于協(xié)調(diào)經(jīng)濟發(fā)展與隱私保護、安全維護的關(guān)系。2021年6月，《歐美峰會聯(lián)合聲明》提出“共同努力確保安全、穩(wěn)定和可信賴地保護消費者，加強隱私保護，同時維持跨大西洋商業(yè)的跨境數(shù)據(jù)流動”，這或許是雙方合作意愿的信號。

3.2 歐美跨境數(shù)據(jù)流動合作路徑

a.重構(gòu)跨大西洋數(shù)據(jù)隱私框架。歐美合作意愿仍然強烈。2022年3月25日，歐盟委員會與美國發(fā)布《跨大西洋數(shù)據(jù)隱私框架聯(lián)合聲明》。這意味著在隱私盾協(xié)議失效一年多以后，歐美原則上再次達(dá)成關(guān)于構(gòu)建跨大西洋數(shù)據(jù)隱私框架的合作，并著力解決Schrems Ⅱ案所導(dǎo)致的國家監(jiān)視、隱私保護和權(quán)利救濟等問題。美國在該框架中作出前所未有的改革承諾，將建立一套新的約束保障措施和規(guī)則對美國情報機構(gòu)獲取歐盟公民數(shù)據(jù)予以限制，確保情報監(jiān)視活動符合國家安全目標(biāo)的必要性和相稱性。為了彌補個人司法救濟的不足，美國將建立包括“數(shù)據(jù)保護審查法院”在內(nèi)的獨立的兩級救濟機制，幫助調(diào)查和解決歐盟公民對美國情報機構(gòu)獲取其數(shù)據(jù)的申訴[16]。

新的數(shù)據(jù)隱私框架將為跨大西洋數(shù)據(jù)流動提供長期和可信賴的法律基礎(chǔ)，在充分保護公民基本權(quán)利的同時，促進(jìn)數(shù)據(jù)自由、安全地跨境流動，推動形成競爭與包容的數(shù)字經(jīng)濟。但是鑒于安全港原則和隱私盾協(xié)議先后兩次失效，新的跨大西洋數(shù)據(jù)隱私框架仍然面臨不確定性，歐美很可能會在此基礎(chǔ)上繼續(xù)考慮其它跨境數(shù)據(jù)流動合作路徑。

b.使用標(biāo)準(zhǔn)合同條款。Schrems Ⅱ案確認(rèn)了可采用標(biāo)準(zhǔn)合同條款繼續(xù)向美國傳輸歐盟數(shù)據(jù)，這也是目前歐美開展跨境數(shù)據(jù)流動合作合法有效、具有互操作性的方式。GDPR第46條規(guī)定標(biāo)準(zhǔn)合同條款和具有約束力公司規(guī)則是傳輸個人數(shù)據(jù)至第三國的適當(dāng)保障措施。具有約束力公司規(guī)則是一套嚴(yán)格的內(nèi)部約束規(guī)則，被稱為數(shù)據(jù)保護的“黃金標(biāo)準(zhǔn)”，但其對于企業(yè)特別是中小型企業(yè)適用存在明顯弊端：除了必須建立數(shù)據(jù)傳輸?shù)暮戏ɑA(chǔ)外，主管監(jiān)管機構(gòu)的審批期限較長，并且成本高昂。所以，標(biāo)準(zhǔn)合同條款成為了企業(yè)的優(yōu)先選擇。使用標(biāo)準(zhǔn)合同條款，還需要采取額外的保障措施確保傳輸至第三國的數(shù)據(jù)保護水平實質(zhì)等同于歐盟標(biāo)準(zhǔn)。2021年6月，歐盟委員會公布了最新版標(biāo)準(zhǔn)合同條款，同時歐洲數(shù)據(jù)保護委員會增加了關(guān)于額外保障措施具體要求的“補充措施建議”，并于隨后提出涵蓋四項歐洲基本保障的指南。至此，歐盟為美國企業(yè)跨境數(shù)據(jù)流動提供了新框架。

c.獲取歐盟充分性認(rèn)定。因企業(yè)合規(guī)成本較高，適用難度較大，標(biāo)準(zhǔn)合同條款和具有約束力公司規(guī)則不足以作為支撐歐美跨境數(shù)據(jù)流動的保障機制[17]。相較而言，獲取歐盟充分性認(rèn)定對于美國是更為一勞永逸的方式。截至2022年2月，共有14個國家和地區(qū)獲得了歐盟的充分性認(rèn)定。但目前美國僅少數(shù)州合乎GDPR“充分”的保護要求。正如Schrems Ⅱ案判決所示，美國無法為用戶對其數(shù)據(jù)享有的隱私權(quán)提供有效司法救濟。在2015年“谷歌Cookie設(shè)置消費者訴訟”案中，美國法院并未承認(rèn)用戶隱私權(quán)是基本人權(quán)，原告作為權(quán)利受損人又難以滿足嚴(yán)苛的起訴證明要求[18]，故用戶難以通過司法程序證明其存在“被監(jiān)視”的損失。美國要想遵守GDPR中關(guān)于數(shù)據(jù)和隱私保護的權(quán)利與義務(wù)規(guī)定，其或可頒布、修改聯(lián)邦內(nèi)的數(shù)據(jù)和隱私保護法來達(dá)到該目的。美國互聯(lián)網(wǎng)科技公司在歐盟擁有巨大的市場，企業(yè)合規(guī)風(fēng)險日增有望迫使美國政府作出讓步，在嚴(yán)格遵守歐盟法律的前提下一定程度上改變“美國模式”，以保護美國企業(yè)海外投資經(jīng)營利益并促進(jìn)歐美數(shù)字貿(mào)易安全、高效、穩(wěn)定地發(fā)展。當(dāng)“布魯塞爾效應(yīng)”開始逐漸作用于美國時，美國獲取歐盟充分性認(rèn)定的時間或許也將隨之到來。

3.3 歐美跨境數(shù)據(jù)流動合作前景

a.“個案審查”增加不確定性。Schrems II案確立了歐盟法院的個案實質(zhì)審查機制，即針對根據(jù)標(biāo)準(zhǔn)合同條款進(jìn)行數(shù)據(jù)跨境傳輸?shù)钠髽I(yè)，歐盟數(shù)據(jù)出口者與第三國數(shù)據(jù)接收者應(yīng)當(dāng)對該傳輸是否足以對數(shù)據(jù)提供充分性保護進(jìn)行個案審查。如果審查不通過，則傳輸應(yīng)當(dāng)暫?；蚪K止。這樣的個案審查制度將從兩方面增加歐美跨境數(shù)據(jù)流動合作的不確定性。

一方面是對現(xiàn)有跨境數(shù)據(jù)流動合作框架的沖擊。鑒于部分歐洲國家和美國之間的隱私盾與歐盟和美國之間的隱私盾相似程度很高，這些歐洲國家和美國之間的跨境數(shù)據(jù)流動合作機制是否受到影響，以及這些國家的數(shù)據(jù)保護立法是否仍然符合歐盟的充分性保護認(rèn)定存在不確定性[19]。

另一方面是個案審查制度賦予了審查主體一定的自由裁量權(quán)，主觀因素也增加了審查結(jié)果的不確定性[20]。對于從歐盟向美國傳輸數(shù)據(jù)的企業(yè)而言，數(shù)據(jù)出口者和接收者必須核實美國是否符合歐盟法律所要求的保護水平，同時要考慮傳輸?shù)臄?shù)據(jù)類別和美國的法律制度。數(shù)據(jù)接收者有義務(wù)告知數(shù)據(jù)出口者標(biāo)準(zhǔn)合同條款不能或者不再提供充分保護的情況，出口者則有義務(wù)暫停或終止數(shù)據(jù)傳輸?？紤]到美國的國家安全法律和實踐，完全符合歐盟嚴(yán)格的保護要求仍然存在困難，數(shù)據(jù)出口者和數(shù)據(jù)接收者可能傾向于避免擴大審查范圍和內(nèi)容，將盡職調(diào)查重點放在垂直行業(yè)和自身安全需求上，在一定程度上涵蓋第三國的法律規(guī)定。審查的主觀考量和保留可能會增加美國安全部門獲取來自歐盟的數(shù)據(jù)的不確定性。

b.加州隱私法提供新路徑。雖然美國數(shù)據(jù)隱私法多針對具體行業(yè)和部門，尚未就跨境數(shù)據(jù)流動的問題制定一部全面涉及個人數(shù)據(jù)和隱私保護權(quán)利的國家法律，但是2020年1月1日生效的《加利福尼亞消費者隱私法》使加利福尼亞州率先建立數(shù)據(jù)隱私法。其后，加利福尼亞州又頒布了《加利福尼亞隱私權(quán)法》，該法與《加利福尼亞消費者隱私法》共同構(gòu)成了加利福尼亞州的數(shù)據(jù)隱私法律制度。2021年3月，弗吉尼亞州州長簽署了《弗吉尼亞消費者數(shù)據(jù)保護法》，使弗吉尼亞州成為繼加利福尼亞州之后美國第二個正式頒布全面消費者隱私立法的州。

GDPR第45條明確歐盟委員會充分性決定可以對某一地區(qū)作出，加利福尼亞州有可能先于美國獲得歐盟對州層面的充分性認(rèn)定?！都永Ｄ醽喯M者隱私法》包括3個主要部分：賦予消費者信息知情權(quán)和“被遺忘權(quán)”；消費者有權(quán)要求公司不出于商業(yè)目的出售數(shù)據(jù)或與第三方共享數(shù)據(jù)；擁有起訴違法公司的權(quán)利。它與GDPR都賦予個人對個人數(shù)據(jù)更多的控制權(quán)，限制公司對數(shù)據(jù)的使用，并賦予監(jiān)管機構(gòu)對不合規(guī)組織進(jìn)行罰款的權(quán)力。加利福尼亞州的隱私立法已經(jīng)非常貼近GDPR的要求。這或許是因為硅谷擁有世界眾多頂尖互聯(lián)網(wǎng)科技公司，修改立法有助于保護這些科技巨頭的投資利益。加利福尼亞等州的立法可能為美國改革數(shù)據(jù)監(jiān)管和隱私保護制度，解決“監(jiān)控資本主義”帶來的信任危機提供可行途徑。

4 中國的應(yīng)對策略

世界正處于百年未有之大變局，全球數(shù)字貿(mào)易規(guī)則制定的話語權(quán)爭奪愈發(fā)激烈，這直接反映在歐美跨境數(shù)據(jù)流動的合作博弈中。中國作為數(shù)字經(jīng)濟大國，應(yīng)準(zhǔn)確把握當(dāng)前數(shù)字貿(mào)易規(guī)則發(fā)展趨勢，從國際和國內(nèi)兩個層面做好應(yīng)對準(zhǔn)備，提供全球跨境數(shù)據(jù)流動規(guī)則的“中國方案”。

4.1 國際視角

a.堅持安全、合作與共贏的原則。尊重網(wǎng)絡(luò)主權(quán)、維護和平安全、促進(jìn)開放合作和構(gòu)建良好秩序是構(gòu)建網(wǎng)絡(luò)空間命運共同體的“四項原則”。尊重一國的網(wǎng)絡(luò)主權(quán)是國家主權(quán)在網(wǎng)絡(luò)空間的具體體現(xiàn)，也是堅持總體國家安全觀的客觀要求。捍衛(wèi)我國網(wǎng)絡(luò)主權(quán)亦受到國際形勢變化影響。歐美合作可能會強化對數(shù)據(jù)本地化的禁止，擴大跨境數(shù)據(jù)流動范圍，進(jìn)一步限制中國互聯(lián)網(wǎng)科技公司參與跨國投資與數(shù)字貿(mào)易，這從歐美近年均加強對中國的外資安全審查可見端倪，例如2020年美國頒布的“TIK TOK禁令”，歐盟宣布排除華為5G技術(shù)等。我國外交部在談到中美關(guān)系時提到，“合則兩利，斗則俱傷”。在對待跨境數(shù)據(jù)流動的問題上，中國必須守住安全底線，相互尊重彼此核心利益和共同關(guān)切，堅持合作共贏的發(fā)展原則，建立跨境數(shù)據(jù)流動國際互信機制，實現(xiàn)數(shù)字經(jīng)濟時代的共贏。

b.推動“數(shù)字絲綢之路”建設(shè)。在第一屆“一帶一路”國際合作高峰論壇上，習(xí)近平總書記強調(diào)推動建設(shè)“數(shù)字絲綢之路”，“一帶一路”沿線國家共同致力于數(shù)字互聯(lián)、信息共享和技術(shù)合作。歐盟是中國共建“一帶一路”的重要合作伙伴。中國可以在維護國家安全和發(fā)展利益的基礎(chǔ)上探尋中歐跨境數(shù)據(jù)流動合作。中國具有先進(jìn)的5G創(chuàng)新技術(shù)、基礎(chǔ)設(shè)施建設(shè)能力和海外投資實力。盡管當(dāng)前歐盟5G技術(shù)的推廣應(yīng)用進(jìn)展緩慢，但歐盟在全球數(shù)據(jù)消費中占有非常大的比重。根據(jù)中國已經(jīng)在《中歐全面投資協(xié)定》談判中做出電子通信、計算機服務(wù)領(lǐng)域的市場準(zhǔn)入承諾，中歐未來若要實現(xiàn)跨境數(shù)據(jù)自由流動，一方面可參照日本、韓國的GDPR合規(guī)路徑，在完善個人數(shù)據(jù)跨境流動規(guī)則的基礎(chǔ)上，尋求歐盟委員會“充分保護”認(rèn)定；另一方面中歐或可使用GDPR第46條規(guī)定的5類適當(dāng)保障措施。鑒于目前歐盟委員會認(rèn)定“充分保護”的高標(biāo)準(zhǔn)，后一路徑對于中歐合作或許更加切實可行。

我國應(yīng)積極推動“數(shù)字絲綢之路”建設(shè)，加快與歐盟開展跨境數(shù)據(jù)流動雙邊合作機制的談判，在此過程中逐步增強中歐數(shù)字互信。通過“數(shù)字絲綢之路”架起溝通橋梁，中歐建立跨境數(shù)據(jù)流動合作關(guān)系，這將有助于擴大中國跨境數(shù)據(jù)流動規(guī)制立場的區(qū)域及全球影響力，實現(xiàn)“一帶一路”高質(zhì)量數(shù)字經(jīng)濟發(fā)展。

c.參與制定國際數(shù)字規(guī)則標(biāo)準(zhǔn)。當(dāng)前全球數(shù)字貿(mào)易規(guī)則大體形成“美國模式”“歐盟模式”與“中國模式”三足鼎立的局面[21]。美歐為掌握數(shù)字貿(mào)易規(guī)則主導(dǎo)權(quán)正在積極推動雙邊或區(qū)域合作?！度媾c進(jìn)步跨太平洋伙伴關(guān)系協(xié)定》(CPTPP)電子商務(wù)章節(jié)囊括了美國關(guān)于跨境數(shù)據(jù)流動的主要立場和規(guī)則要求，并與《美墨加協(xié)定》數(shù)字貿(mào)易章節(jié)代表了美國主導(dǎo)下的區(qū)域或雙邊規(guī)則框架[22]。拜登政府已在起草環(huán)太平洋數(shù)字貿(mào)易協(xié)定。“數(shù)字TPP”或許將成為美國未來拓展其跨境數(shù)據(jù)流動立場的重要途徑。歐盟在與新加坡、墨西哥等國的自由貿(mào)易協(xié)定中已采用“歐式模板”，在目前與印度尼西亞、澳大利亞進(jìn)行的自由貿(mào)易協(xié)定談判中也為納入GDPR數(shù)據(jù)保護規(guī)則留足了規(guī)制空間。2021年，商務(wù)部印發(fā)了《數(shù)字經(jīng)濟對外投資合作工作指引》，明確提出“積極參與國際數(shù)字規(guī)則標(biāo)準(zhǔn)制定，推動中國數(shù)字標(biāo)準(zhǔn)走出去”。中國作為聯(lián)合國安理會常任理事國之一，亦是WTO的重要成員國以及“一帶一路”倡議的發(fā)起方，應(yīng)積極把握國際數(shù)字規(guī)則標(biāo)準(zhǔn)制定主導(dǎo)權(quán)。

中國正在申請加入CPTPP與《數(shù)字經(jīng)濟伙伴關(guān)系協(xié)定》。在維護數(shù)據(jù)安全的基礎(chǔ)上，中國需要對跨境數(shù)據(jù)自由流動、數(shù)據(jù)本地化措施、源代碼以及數(shù)字產(chǎn)品非歧視待遇等具有重要分歧的議題積極但審慎地評估，推動談判進(jìn)程[23]。如何縮小數(shù)字鴻溝，促進(jìn)各國積極開展數(shù)字合作，制定兼顧我國數(shù)字經(jīng)濟發(fā)展和維護國家主權(quán)的國際數(shù)字規(guī)則標(biāo)準(zhǔn)，是我國參與數(shù)字貿(mào)易國際規(guī)則制定的關(guān)鍵。

4.2 國內(nèi)視角

a.加強企業(yè)對外投資數(shù)據(jù)合規(guī)建設(shè)。隨著我國企業(yè)對外投資規(guī)模擴大，歐美等西方國家也加緊了本國的數(shù)據(jù)監(jiān)管和安全審查，國內(nèi)企業(yè)的跨境數(shù)據(jù)流動將受到更加嚴(yán)格的境內(nèi)外審查和合規(guī)要求。以歐盟為例，在歐盟參與跨境數(shù)據(jù)流動的每一企業(yè)平均花費的GDPR合規(guī)成本約為1000萬元；若企業(yè)被認(rèn)定為不符合GDPR合規(guī)要求，則會面臨巨額罰款。

在企業(yè)合規(guī)成本日益增加的背景下，我國可從完善政府監(jiān)管和加強企業(yè)合規(guī)建設(shè)兩方面著手解決。在政府方面，在維護國家安全與公共安全的前提下，我國可適當(dāng)減少部分跨境數(shù)據(jù)流動規(guī)制措施，對標(biāo)GDPR、CPTPP等高標(biāo)準(zhǔn)數(shù)字經(jīng)貿(mào)協(xié)定，創(chuàng)新并整合監(jiān)管機構(gòu)，避免出現(xiàn)多重監(jiān)管和監(jiān)管空白，減輕企業(yè)合規(guī)壓力。構(gòu)建政府監(jiān)管、行業(yè)自律和企業(yè)自覺三方參與的跨境數(shù)據(jù)流動治理體系，營造全社會協(xié)同共治的合規(guī)環(huán)境[24]。在企業(yè)方面，企業(yè)應(yīng)嚴(yán)格遵守其經(jīng)營地所在國和用戶所在國的法律規(guī)定，履行跨境數(shù)據(jù)安全保障義務(wù)，建立個人信息保護合規(guī)制度體系，成立主要由外部成員組成的獨立機構(gòu)對個人信息保護情況進(jìn)行監(jiān)督。在全面增強技術(shù)、制度體系和經(jīng)濟實力的同時，企業(yè)還應(yīng)設(shè)立專門的數(shù)據(jù)合規(guī)部門，做好數(shù)據(jù)跨境風(fēng)險預(yù)警，排除合規(guī)障礙。

b.自貿(mào)區(qū)試點跨境數(shù)據(jù)流動規(guī)則。 從統(tǒng)籌國內(nèi)法治與涉外法治的視角出發(fā)，在堅持國內(nèi)國際雙循環(huán)的新發(fā)展格局，進(jìn)一步擴大對外開放的背景下，我國可借助自貿(mào)區(qū)推動跨境數(shù)據(jù)流動先行先試。2020年8月，商務(wù)部印發(fā)《全面深化服務(wù)貿(mào)易創(chuàng)新發(fā)展試點總體方案》，建議在北京、上海、海南等條件較好的地區(qū)開展數(shù)據(jù)跨境傳輸安全管理試點，對標(biāo)國際高標(biāo)準(zhǔn)高水平，推動數(shù)字營商環(huán)境便利化。

首先，可在自貿(mào)區(qū)建立數(shù)據(jù)出境的安全評估機制。通過探索數(shù)據(jù)分級分類標(biāo)準(zhǔn)，結(jié)合地區(qū)跨境傳輸?shù)臄?shù)據(jù)類型、數(shù)據(jù)接收地和數(shù)據(jù)使用目的等具體情況，設(shè)計一套邏輯完整、程序公平和操作便捷的評估機制。同時，應(yīng)提升自貿(mào)區(qū)信息技術(shù)能力，增強安全評估機制的科學(xué)性、準(zhǔn)確性。其次，國家應(yīng)為自貿(mào)區(qū)探索跨境數(shù)據(jù)流動規(guī)則創(chuàng)造良好的外部法治、經(jīng)濟和政策環(huán)境[25]。國家網(wǎng)信部門可以借鑒GDPR的標(biāo)準(zhǔn)合同條款，制定跨境數(shù)據(jù)流動標(biāo)準(zhǔn)合同以供自貿(mào)區(qū)使用。截至目前，北京數(shù)字貿(mào)易試驗區(qū)、上海和浙江自貿(mào)區(qū)、海南自貿(mào)港已相繼出臺跨境數(shù)據(jù)流動方案。在此基礎(chǔ)之上，我國可進(jìn)一步擴大自貿(mào)區(qū)跨境數(shù)據(jù)流動規(guī)則試點范圍，結(jié)合各自貿(mào)區(qū)的產(chǎn)業(yè)及區(qū)位特征，劃分行業(yè)、地域進(jìn)行跨境數(shù)據(jù)流動改革試驗，有效落實總體方案。最后，自貿(mào)區(qū)跨境數(shù)據(jù)流動規(guī)則的探索和成功經(jīng)驗也將為我國參與談判加入CPTPP與《數(shù)字經(jīng)濟伙伴關(guān)系協(xié)定》奠定堅實的基礎(chǔ)。

c.完善國內(nèi)跨境數(shù)據(jù)流動立法。促進(jìn)數(shù)據(jù)跨境自由流動，不僅需要加強政府監(jiān)管與企業(yè)合規(guī)建設(shè)，對標(biāo)國際高標(biāo)準(zhǔn)數(shù)字規(guī)則，還需要完善國內(nèi)立法。我國已施行《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》，但上述規(guī)范大多數(shù)條款為原則規(guī)定，有待細(xì)化規(guī)定以平衡個人信息保護與數(shù)據(jù)跨境自由流動。例如，在后續(xù)立法中明確個人信息保護具體標(biāo)準(zhǔn)、數(shù)據(jù)分類目錄、安全評估審查、獨立的監(jiān)管機構(gòu)等內(nèi)容[26]?！秱€人信息保護法》中22次提到“安全”一詞，無論是跨境數(shù)據(jù)流動還是在我國境內(nèi)處理個人信息，安全評估的重要性可見一斑。我國應(yīng)盡快出臺《個人信息出境安全評估辦法》等行政法規(guī)，制定重要數(shù)據(jù)分類保護目錄，建立數(shù)據(jù)安全審查制度，發(fā)布企業(yè)數(shù)據(jù)跨境合規(guī)指南等進(jìn)一步為我國企業(yè)數(shù)據(jù)跨境營造安全、有序的法治環(huán)境，增強其抵御境內(nèi)外法律風(fēng)險的能力。

此外，我國可在信息保護和數(shù)據(jù)安全制度下增設(shè)獨立的監(jiān)管機構(gòu)。GDPR第六章對設(shè)立“獨立的數(shù)據(jù)監(jiān)管機構(gòu)”進(jìn)行了專章規(guī)定，是否設(shè)立獨立的監(jiān)管機構(gòu)是歐盟評估第三國或地區(qū)的數(shù)據(jù)和隱私保護水平是否充分的重要審查因素之一。對標(biāo)GDPR，我國《個人信息保護法》并未單獨設(shè)立獨立監(jiān)管機構(gòu)。《數(shù)據(jù)安全法》和《個人信息保護法》中都強調(diào)了國家網(wǎng)信部門或者有關(guān)部門的監(jiān)督管理作用，但海量的數(shù)字平臺和應(yīng)用程序大大增加了監(jiān)管難度。為了提高監(jiān)管效率和促進(jìn)跨境數(shù)據(jù)流動，設(shè)立獨立的監(jiān)管機構(gòu)或有必要。