數(shù)據(jù)跨境流動的歐美政策演進及啟示

［摘要］文章主要基于數(shù)據(jù)保護與數(shù)字經(jīng)濟發(fā)展權(quán)衡的視角，研究個人數(shù)據(jù)跨境流動問題。首先對相關(guān)文獻進行綜述：一方面，數(shù)據(jù)跨境流動能促進數(shù)字經(jīng)濟乃至宏觀經(jīng)濟的發(fā)展，而限制數(shù)據(jù)流動給宏微觀經(jīng)濟帶來負面效應；另一方面，數(shù)據(jù)本地化有助于保障本國數(shù)據(jù)安全的觀念卻受到質(zhì)疑和反駁，理論研究傾向于支持數(shù)據(jù)跨境流動。接著考察歐盟和美國的數(shù)據(jù)跨境流動政策：歐盟一直強調(diào)并堅持嚴格保護個人數(shù)據(jù)，這明顯地抑制了數(shù)據(jù)跨境流動和數(shù)字經(jīng)濟發(fā)展，但歐盟的立場沒有改變，歐盟更為看重對數(shù)據(jù)隱私的高標準保護；美國比較重視數(shù)字經(jīng)濟的發(fā)展，主張適度的隱私保護。最后給出若干建議：我國的國情有自身的特征，不宜照搬歐盟的數(shù)據(jù)制度，可在參考GDPR的基礎(chǔ)上適當?shù)亟档蛿?shù)據(jù)保護水平；逐步放寬數(shù)據(jù)保護，便利數(shù)據(jù)跨境流動，應繼續(xù)成為未來一段時期我國數(shù)據(jù)政策調(diào)整的著力點；我國還可選擇加入APEC的CBPR體系，在適度的隱私保護框架下促進數(shù)據(jù)跨境流動和數(shù)字經(jīng)濟發(fā)展；我國在跟他國的數(shù)據(jù)合作中，政府機構(gòu)出于國家安全目的獲取對方公民的個人信息，應符合“必要”和“成比例”的要求。

［關(guān)鍵詞］數(shù)據(jù)跨境流動；數(shù)據(jù)保護；數(shù)字經(jīng)濟發(fā)展；歐盟；美國

［中圖分類號］F49［文獻標識碼］A［文章編號］1673-0461（2024）10-0027-11

一、引言

1980年9月，5fdf5990460c1a58cd5db012a58859b3經(jīng)濟合作與發(fā)展組織（OECD，簡稱：經(jīng)合組織）發(fā)布《隱私保護和個人數(shù)據(jù)跨境流動指南》（GuidelinesontheProtectionofPrivacyandTransborderFlowsofPersonalData，以下簡稱《OECD指南》），將“個人數(shù)據(jù)”定義為“與已識別或可識別的自然人相關(guān)的任何信息”，歐盟在2016年4月出臺的《通用數(shù)據(jù)保護條例》（GeneralDataProtectionRegulation，以下簡稱GDPR）也沿用了這一定義?！禣ECD指南》還將“個人數(shù)據(jù)跨境流動”定義為“跨越國家界限的個人數(shù)據(jù)移動”。在實踐中，可以將個人數(shù)據(jù)跨境流動理解為個人數(shù)據(jù)跨國界傳輸或能被第三國主體訪問的情形。實際上，跨境流動的不僅有個人數(shù)據(jù)，還有其他類型的數(shù)據(jù)。1985年，OECD在《跨境數(shù)據(jù)流動宣言》（DeclarationonTransborderDataFlows）中所講的“跨境數(shù)據(jù)流動”，是指“計算機化的數(shù)據(jù)或者信息在國際層面的流動”，這就包括但不限于個人數(shù)據(jù)的跨境流動，或者說泛指各種類型的數(shù)據(jù)跨境流動。比如涵蓋企業(yè)的商業(yè)數(shù)據(jù)跨境流動，還涵蓋數(shù)字產(chǎn)品的在線傳輸活動等。經(jīng)合組織（OECD）、世貿(mào)組織（WTO）和國際貨幣基金組織（IMF）共同發(fā)布的《數(shù)字貿(mào)易測度手冊》將數(shù)字貿(mào)易定義為“所有以數(shù)字方式訂購和以數(shù)字方式交付的國際交易”，其中“以數(shù)字方式交付”即以在線傳輸?shù)姆绞竭M行的數(shù)字產(chǎn)品的交易，本身就是數(shù)據(jù)的跨境流動。數(shù)字產(chǎn)品的在線傳輸本身產(chǎn)生的數(shù)據(jù)跨境流動，還是近些年多雙邊經(jīng)貿(mào)談判關(guān)注的焦點問題。以《全面與進步跨太平洋伙伴關(guān)系協(xié)定》（CPTPP）為例，該協(xié)定規(guī)定，當通過電子方式跨境傳輸信息是為“涵蓋的人”（CoveredPerson）開展其業(yè)務(wù)時，締約各方應允許此跨境傳輸，這里所謂的“跨境傳輸”就是指數(shù)字產(chǎn)品的在線傳輸?shù)瓤缇硵?shù)據(jù)流動行為。

本文主要研究個人數(shù)據(jù)的跨境流動，所以下文提到“數(shù)據(jù)跨境流動”，只要沒有特別說明，一般都指個人數(shù)據(jù)的情況。另外，對“數(shù)據(jù)保護”（DataProtection）一詞也做些說明。歐盟是國際上對個人數(shù)據(jù)的保護較為嚴格的經(jīng)濟體，這主要體現(xiàn)在GDPR的規(guī)定中。事實上，在個人數(shù)據(jù)保護興起之初及以后的相當長時間里，其在歐洲都被視為隱私保護在新技術(shù)條件下發(fā)展出的新維度，或者隱私權(quán)制度向信息技術(shù)領(lǐng)域的延伸［1］。后e2d68a4d96f06f6fec17fca55cbe345a來隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，歐盟對個人數(shù)據(jù)保護的態(tài)度進一步強化，《歐盟基本權(quán)利憲章》（CharterofFundamentalRightsoftheEuropeanUnion）除了第7條關(guān)于隱私權(quán)的規(guī)定即“人人均有權(quán)要求尊重其私人與家庭生活、住居及通信”之外，還在第8條單獨將個人數(shù)據(jù)保護確認為一項基本權(quán)利，即“人人均有權(quán)享有個人數(shù)據(jù)之保護”。而美國一直是從隱私權(quán)的角度看待數(shù)據(jù)保護問題，或者說將數(shù)據(jù)保護納入隱私權(quán)的范疇，并沒有將數(shù)據(jù)保護視為與隱私權(quán)并列的一項權(quán)利。從歐美的情況來看，嚴格來講，“數(shù)據(jù)保護”與“隱私保護”（PrivacyProtection）兩個概念的涵義盡管比較接近，但又明顯存在差異，不過，很多文獻和資料在討論數(shù)據(jù)保護問題時，將“隱私保護”視作跟“數(shù)據(jù)保護”大致等價的術(shù)語進行使用，“隱私保護”就被認為是“數(shù)據(jù)保護”的意思，這其實是從粗略或不嚴格的意義上進行使用的，對兩者在涵義上的差異予以忽略。本文在用到兩個術(shù)語時也是這樣的態(tài)度。在各國實踐和學術(shù)層面，還經(jīng)常用到“信息保護”（InformationProtection）一詞，其涵義嚴格說來跟“數(shù)據(jù)保護”有細微的差異，但通常也是將前者視作跟后者基本等價的術(shù)語。下文主要采用“數(shù)據(jù)保護”一詞，有時可能會用到“隱私保護”或“信息保護”，在本文的語境下它們都被視作等價的術(shù)語。

在數(shù)據(jù)跨境流動過程中，應主要關(guān)注兩個方面的問題。一是個人數(shù)據(jù)的保護問題，在數(shù)據(jù)流動中維護數(shù)據(jù)主體的權(quán)益，這對于人們保持對電子商務(wù)的信心很重要。二是數(shù)字經(jīng)濟的發(fā)展問題，對數(shù)據(jù)跨境流動施加較多的限制可能影響電子商務(wù)和數(shù)字經(jīng)濟的發(fā)展［2］。各國考慮的側(cè)重點有差異，其中歐盟和美國是兩個代表性例子。歐盟更多地關(guān)注個人數(shù)據(jù)的保護，而美國更看重數(shù)字經(jīng)濟的發(fā)展。本文基于數(shù)據(jù)保護與數(shù)字經(jīng)濟發(fā)展權(quán)衡的視角，對歐美的情況進行探討和比較分析，以深入研究數(shù)據(jù)跨境流動問題。首先對數(shù)據(jù)流動與數(shù)據(jù)保護、數(shù)字經(jīng)濟發(fā)展的關(guān)系進行理論綜述，回顧和梳理相關(guān)文獻的主要觀點，研究數(shù)據(jù)流動對數(shù)據(jù)保護、數(shù)字經(jīng)濟發(fā)展的影響，或者限制數(shù)據(jù)流動又會帶來怎樣的結(jié)果，接著詳細考察歐盟和美國在長期實踐中對數(shù)據(jù)保護與數(shù)字經(jīng)濟發(fā)展的權(quán)衡，了解歐美對于數(shù)據(jù)跨境流動的考量及其演進歷程，以及歐美立場的沖突與協(xié)調(diào)，最后給出結(jié)論與建議，希望為我國更好地處理數(shù)據(jù)跨境流動問題提供借鑒與參考。

二、相關(guān)研究綜述

很多文獻都涉及數(shù)據(jù)跨境流動對數(shù)據(jù)保護或?qū)?shù)字經(jīng)濟發(fā)展的影響問題。對相關(guān)文獻的主要結(jié)論或觀點做些梳理、歸納和評析，有助于我們深入了解數(shù)據(jù)流動的影響，并為本文奠定理論基礎(chǔ)。數(shù)據(jù)跨境流動對數(shù)據(jù)保護的影響，是指數(shù)據(jù)流動或限制數(shù)據(jù)流動，可能有利于或不利于數(shù)據(jù)保護。而數(shù)據(jù)跨境流動對數(shù)字經(jīng)濟發(fā)展的影響，就是數(shù)據(jù)流動或限制數(shù)據(jù)流動，可能會對數(shù)字經(jīng)濟的發(fā)展產(chǎn)生積極或消極的效應，并進而影響到國際貿(mào)易、經(jīng)濟增長、就業(yè)等。

（一）數(shù)據(jù)跨境流動對數(shù)字經(jīng)濟發(fā)展的影響

互聯(lián)網(wǎng)催生了電子商務(wù)和數(shù)字貿(mào)易，推動數(shù)字經(jīng)濟蓬勃發(fā)展，在這個過程中，每天都有大量的數(shù)據(jù)在跨境流動。數(shù)據(jù)流動對于數(shù)字經(jīng)濟發(fā)展的積極作用似乎是不言而喻的，例如電子商務(wù)企業(yè)借助數(shù)據(jù)資源以拓展商機等，都是我們很容易看到和理解的經(jīng)濟行為，也可能因為這一點，盡管有些文獻涉及討論數(shù)據(jù)流動對數(shù)字經(jīng)濟發(fā)展的積極作用，比如RUDRASWAMY和VANCE（2001）［3］指出，數(shù)據(jù)跨境流動可以支持跨國公司的全球商業(yè)運作，MELTZER（2015）［4］認為數(shù)據(jù)跨境自由流動促進了國際貿(mào)易，提高了各國的經(jīng)濟效率、生產(chǎn)率和福利水平，但總的來看，更多的文獻側(cè)重于討論限制數(shù)據(jù)流動的經(jīng)濟效應。

限制數(shù)據(jù)流動對于數(shù)字經(jīng)濟的發(fā)展來說，既有微觀方面的經(jīng)濟效應，即給企業(yè)、消費者等市場主體帶來的影響，也有宏觀方面的經(jīng)濟效應，即給經(jīng)濟增長、就業(yè)等帶來的影響。以下一些具有代表性的研究，涉及微觀經(jīng)濟效應的討論。SAMBHARYA和PHATAK（1990）［5］探討了跨境數(shù)據(jù)流動法規(guī)對美國跨國公司戰(zhàn)略和運營的影響，認為跨境數(shù)據(jù)流動限制對跨國公司的決策產(chǎn)生了一定的影響，跨國公司將跨境數(shù)據(jù)流動限制帶來的成本向用戶轉(zhuǎn)嫁，最終會損害用戶利益。CLEAR（2000）［6］指出，美國很多公司認為實施歐盟數(shù)據(jù)保護指令所要求的保護措施將產(chǎn)生巨大的經(jīng)濟成本，遵守“安全港”原則的公司要受到違反該原則的公司的競爭優(yōu)勢的沖擊。2017年，歐盟委員會在題為“建立歐洲數(shù)據(jù)經(jīng)濟”的文件中提到，

限制數(shù)據(jù)跨境流動會制約企業(yè)使用更便宜或更具創(chuàng)新性的數(shù)據(jù)服務(wù)，迫使跨國運營的企業(yè)對數(shù)據(jù)存儲和處理做出過多的安排，可能阻礙以數(shù)據(jù)為驅(qū)動力的企業(yè)特別是初創(chuàng)企業(yè)和中小型企業(yè)的發(fā)展。CORY（2017）［7］指出限制數(shù)據(jù)跨境流動給公司帶來較高的合規(guī)成本，進而影響創(chuàng)新能力提升。MATTOO和MELTZER（2018）［8］指出GDPR要求高標準的數(shù)據(jù)保護，遵守約束性公司規(guī)則（BindingCorporateRules，BCR）或標準合同條款（StandardContractualClauses，SCC）給公司帶來較高的經(jīng)濟成本。BREHMER（2018）［9］認為數(shù)據(jù)本地化導致公司的成本增加。POTLURI等（2020）［10］指出，數(shù)據(jù)本地化措施通過限制消費者選擇、提高數(shù)字服務(wù)價格或降低數(shù)字服務(wù)質(zhì)量等途徑給消費者帶來成本。FERRACANE等（2020）［11］發(fā)現(xiàn)，限制數(shù)據(jù)跨境流動的政策對依賴電子數(shù)據(jù)的行業(yè)的下游企業(yè)的生產(chǎn)率產(chǎn)生了顯著的負面影響。

有些文獻側(cè)重討論限制數(shù)據(jù)流動的宏觀經(jīng)濟效應。TAN（2008）［12］認為歐盟嚴格限制數(shù)據(jù)跨境流動政策引起了人們對經(jīng)濟形勢的擔憂，這樣的政策尤其會對國際貿(mào)易產(chǎn)生消極影響。CHANDER和LEˇ（2015）［13］指出數(shù)據(jù)本地化威脅到外包服務(wù)的可能性，對于班加羅爾、阿克拉、馬尼拉是這樣，甚至對于硅谷也是這樣。BADRAN（2018）［14］利用可計算的一般均衡模型（CGE），分析了埃及、摩洛哥、南非、肯尼亞和毛里求斯等非洲國家監(jiān)管數(shù)據(jù)跨境流動的法規(guī)給這些國家所帶來的經(jīng)濟影響，結(jié)果表明數(shù)據(jù)本地化措施會制約國際貿(mào)易發(fā)展。VANDERMAREL和FERRACANE（2021）［15］探討了限制數(shù)據(jù)流動是否對服務(wù)貿(mào)易有抑制作用，發(fā)現(xiàn)嚴格的數(shù)據(jù)跨境流動政策與數(shù)據(jù)密集型服務(wù)的進口呈顯著負相關(guān)。還有些文獻在討論限制數(shù)據(jù)跨境流動的影響時，既涉及宏觀經(jīng)濟效應又涉及微觀經(jīng)濟效應。BAUER等（2014）［16］對巴西、中國、歐盟、印度、印度尼西亞、韓國，以及越南的數(shù)據(jù)隱私和安全法規(guī)所帶來的損失進行量化預測，認為數(shù)據(jù)本地化給這些國家和組織的經(jīng)濟增長造成了負面影響，還提到中小企業(yè)和新企業(yè)因缺乏適應監(jiān)管變化的資源，有可能被逐出市場。2014年，美國國際貿(mào)易委員會在《美國和全球經(jīng)濟中的數(shù)字貿(mào)易Ⅱ》報告中論述了，阻礙數(shù)據(jù)跨境流動對公司創(chuàng)新能力和新產(chǎn)品研發(fā)的負面影響，還指出包括限制數(shù)據(jù)跨境流動的措施在內(nèi)的對外貿(mào)易壁壘給美國的數(shù)字貿(mào)易帶來明顯的不利影響，消除這些壁壘預計使美國實際GDP增加167億美元至414億美元（GDP占比01%至03%）。BAUER等（2016）［17］對歐盟成員國的數(shù)據(jù)本地化措施的經(jīng)濟影響做了評估，認為，從短期來看，數(shù)據(jù)本地化會導致企業(yè)生產(chǎn)率損失、價格上漲、競爭力下降、就業(yè)機會減少和經(jīng)濟活動下降；從長期來看，數(shù)據(jù)本地化使一個國家對外國投資的吸引力降低，導致本地寡頭壟斷，并帶來消費者鎖定效應（LockinEffects），從而剝奪了經(jīng)濟的創(chuàng)新潛力。

（二）數(shù)據(jù)跨境流動對數(shù)據(jù)保護的影響

人們對于數(shù)據(jù)跨境流動的一個普遍看法和擔憂就是，數(shù)據(jù)保護可能面臨更高的風險，或者說個人的數(shù)據(jù)權(quán)益受到侵犯的可能性更高，這當然是相對于數(shù)據(jù)僅限于境內(nèi)流動而言的。不少國家設(shè)法限制數(shù)據(jù)跨境流動，推行數(shù)據(jù)本地化措施，就是希望降低個人數(shù)據(jù)風險，盡量保護個人數(shù)據(jù)安全，SELBY（2017）［18］就提到這一點。這其中的邏輯似乎毋庸置疑，這樣的觀念為人們普遍接受，因為人們潛意識里覺得數(shù)據(jù)不出境就比較安全。然而，有些研究者對此提出了質(zhì)疑或異議。KUNER（2011）［19］指出數(shù)據(jù)儲存地點并不能決定甚至影響數(shù)據(jù)安全，存儲技術(shù)和方法才是決定數(shù)據(jù)安全的關(guān)鍵因素。CHANDER和LEˇ（2015）［13］認為數(shù)據(jù)本地化反映了一些國家對他國監(jiān)視和本國數(shù)據(jù)安全的正當焦慮，但數(shù)據(jù)本地化措施不能提升隱私保護程度和數(shù)據(jù)安全性。MISHRA（2020）［20］認為，包括強制性的數(shù)據(jù)/服務(wù)器本地化在內(nèi)的限制數(shù)據(jù)跨境流動的措施，在實現(xiàn)更高水平的互聯(lián)網(wǎng)安全或信任方面基本無效。

（三）文獻評析

現(xiàn)有文獻普遍認為數(shù)據(jù)跨境流動會給數(shù)字經(jīng)濟發(fā)展帶來積極作用，從不同的視角論述了數(shù)據(jù)跨境流動的益處。已有的研究也表明，限制數(shù)據(jù)流動會帶來諸多不利影響。就微觀經(jīng)濟效應而言，限制數(shù)據(jù)跨境流動的措施增加了企業(yè)的成本，對企業(yè)的生產(chǎn)率、創(chuàng)新能力、競爭力等產(chǎn)生負面沖擊，還尤其不利于中小企業(yè)的發(fā)展，以及會損害消費者利益。限制數(shù)據(jù)流動的宏觀經(jīng)濟效應總的來看是負面的，通常對國際貿(mào)易、數(shù)字貿(mào)易、經(jīng)濟增長、就業(yè)等造成消極影響。尤其應指出的是，相關(guān)研究表明一國推行數(shù)據(jù)本地化措施，對該國自身的經(jīng)濟增長、國際貿(mào)易等也是不利的，比如對于歐盟成員國這樣的發(fā)達經(jīng)濟體所做的研究，以及對于包括我國在內(nèi)的一些發(fā)展中經(jīng)濟體所做的研究，都支持這一結(jié)論。在對數(shù)據(jù)保護的影響方面，人們傾向于認為，數(shù)據(jù)跨境流動相對于僅限于境內(nèi)流動來說，使得個人的數(shù)據(jù)權(quán)益更有可能受到侵犯，正是主要出于這一點擔憂，很多國家都在不同程度上限制數(shù)據(jù)的跨境流動。然而，一些研究者認為，數(shù)據(jù)本地化措施或許無法提升本國個人數(shù)據(jù)的安全性，決定數(shù)據(jù)安全的關(guān)鍵因素不是地理位置而是存儲技術(shù)和方法。

總之，現(xiàn)有研究認為，一方面，數(shù)據(jù)跨境流動有明顯的促進數(shù)字經(jīng)濟乃至宏觀經(jīng)濟發(fā)展的作用，而限制數(shù)據(jù)流動會給宏微觀經(jīng)濟帶來諸多負面影響；另一方面，數(shù)據(jù)本地化之類的措施能提升本國數(shù)據(jù)的安全性的觀念，正受到一些研究者的質(zhì)疑和反駁，因而從相關(guān)利弊的綜合比較來看，相對限制數(shù)據(jù)流動而言，現(xiàn)有的理論研究可能更傾向于支持各國放松或逐步放松對數(shù)據(jù)跨境流動的管制，在更大程度上促進數(shù)據(jù)的跨境流動，以充分釋放數(shù)字經(jīng)濟潛力，助力經(jīng)濟發(fā)展和民生改善。

三、歐盟的立場：將數(shù)據(jù)保護視為優(yōu)先事項

歐盟高度重視人格尊嚴（Human Dignity）與人權(quán)保護，這與近代歐洲的人權(quán)歷史密切相關(guān)。在20世紀之前的歐洲，人格尊嚴并不是人人都能享有或充分享有，當時歐洲的法律主要保護王室成員和貴族的榮譽和尊嚴，而對于社會等級較低的大多數(shù)人來說，其人格尊嚴無法得到保障，受到侵犯是司空見慣的事。一戰(zhàn)結(jié)束后，隨著社會主義思潮的興起和工人階級的崛起，社會流動打破了原有的社會等級結(jié)構(gòu)，歐洲各國的法律都不得不對底層民眾的訴求進行回應，這也導致了社會權(quán)利的興起。甚至納粹德國政府還大力保護社會地位較低者的尊嚴，并在政治綱領(lǐng)中明確提出，所有的國人都應享有平等的尊嚴。不過，納粹德國在二戰(zhàn)中的慘絕人寰的行為卻提醒我們，榮譽和尊嚴僅限于德國人享有，而對于被征服者和異族而言，其面臨的或許只有災難和侮辱。這在很大程度上推動了二戰(zhàn)后的普遍人權(quán)理念的產(chǎn)生［21］。1950年簽署的《歐洲人權(quán)公約》（EuropeanConventiononHumanRights）①，就充分反映了這一點，該公約旨在保護人權(quán)與基本自由，其中第8條就是隱私權(quán)的規(guī)定，在后來對該項權(quán)利所做的寬泛的解釋中，個人數(shù)據(jù)保護也被納入進來。可以說，正是歐洲近現(xiàn)代的人權(quán)發(fā)展歷史和特征，決定了歐盟一貫強調(diào)并堅持嚴格保護個人數(shù)據(jù)?！稓W盟基本權(quán)利憲章》更是在隱私權(quán)規(guī)定（第7條）的基礎(chǔ)上，將個人數(shù)據(jù)保護單列出來作為一項基本權(quán)利（第8條），這進一步凸顯了數(shù)據(jù)保護的重要性。

對于數(shù)據(jù)的跨境流動，歐盟總的來講是支持的，只是在數(shù)據(jù)流動的過程中，人權(quán)與隱私保護的歷史基因促使歐盟要求嚴格保護個人數(shù)據(jù)，或者說按照較高的標準保護個人的數(shù)據(jù)隱私［22］。在符合該要求的前提下，歐盟允許并努力推動數(shù)據(jù)的跨境流動，反之，如果個人的數(shù)據(jù)權(quán)利得不到有效保障，歐盟便會禁止數(shù)據(jù)的跨境流動?？梢姡瑲W盟既支持數(shù)據(jù)流動又強調(diào)數(shù)據(jù)保護，其中數(shù)據(jù)保護是需要優(yōu)先保障的事項［23-24］。歐盟在數(shù)據(jù)流動與數(shù)據(jù)保護問題上的立場，還充分體現(xiàn)在以下幾項具有代表性的文件或法規(guī)中。

（一）數(shù)據(jù)保護公約

歐洲委員會（CouncilofEurope）于1981年通過的《關(guān)于個人數(shù)據(jù)自動化處理的個人保護公約》（ConventionfortheProtectionofIndividualswithregardtoAutomaticProcessingofPersonalData，又稱《第108號公約》）提到“基于對法治、人權(quán)和基本自由的尊重”，“自動處理的個人數(shù)據(jù)越境流動日益頻繁，應擴大對每個人的權(quán)利和基本自由的保障，特別是尊重隱私的權(quán)利”，這表明了保護個人數(shù)據(jù)的態(tài)度，另外又“重申對不分國界的信息自由的承諾”，“認識到有必要協(xié)調(diào)尊重隱私和人與人之間信息自由流動的基本價值觀”，這表明是支持數(shù)據(jù)流動的，應協(xié)調(diào)數(shù)據(jù)流動與數(shù)據(jù)保護的矛盾。

（二）數(shù)據(jù)保護指令

歐盟于1995年頒布《關(guān)于個人數(shù)據(jù)處理及其自由流動的個人保護第95/46/EC號指令》（Directive95/46/EContheProtectionofIndividualswithregardtotheProcessingofPersonalDataandontheFreeMovementofSuchData），該指令通常簡稱《數(shù)據(jù)保護指令》（DataProtectionDirective）?！稊?shù)據(jù)保護指令》指出，“成員國在個人數(shù)據(jù)處理方面對個人權(quán)利和自由，特別是隱私權(quán)的保護水平存在差異，這可能會阻礙將此類數(shù)據(jù)從一個成員國的領(lǐng)土傳輸?shù)搅硪粋€成員國的領(lǐng)土”，這涉及當時該指令出臺的背景，即歐盟各成員國的數(shù)據(jù)保護法律存在很大的差異，各國對個人數(shù)據(jù)的保護力度不一樣，保護水平參差不齊，由此帶來的一個結(jié)果是，妨礙了個人數(shù)據(jù)在成員國之間的流動?！稊?shù)據(jù)保護指令》認為歐盟內(nèi)部市場的運行“要求個人數(shù)據(jù)能夠從一個成員國自由流動到另一個成員國”，這是認識到了數(shù)據(jù)跨境流動的必要性，“為了消除個人數(shù)據(jù)流動的障礙，在數(shù)據(jù)處理中對個人權(quán)利和自由的保護必須在所有成員國保持同等水平”，而《數(shù)據(jù)保護指令》的實施能使歐盟各國的數(shù)據(jù)保護法律趨同，“考慮到各國法律趨同所帶來的同等保護，各成員國將不再能夠以保護個人權(quán)利和自由，特別是隱私權(quán)為理由，限制個人數(shù)據(jù)在它們之間的自由流動”，也就是促進了數(shù)據(jù)在歐盟各成員國之間的流動。當然，《數(shù)據(jù)保護指令》同樣強調(diào)保護個人的數(shù)據(jù)隱私，指出數(shù)據(jù)處理“必須尊重自然人的基本權(quán)利和自由，特別是隱私權(quán)，無論自然人的國籍或居住地如何”，它還致力于提升數(shù)據(jù)保護的力度。在法律趨同進而提升數(shù)據(jù)流動性的過程中，“法律的趨同不應導致其所提供的保護的任何減弱，而應相反地尋求確保在共同體內(nèi)提供高水平的保護”，而《數(shù)據(jù)保護指令》的實施確實加強了歐盟整體的數(shù)據(jù)保護水平。

（三）數(shù)據(jù)保護條例

《數(shù)據(jù)保護指令》本身沒有法律效力，需要成員國依據(jù)指令制訂國內(nèi)法之后才能夠得到實施。在指令的框架約束下，各成員國的數(shù)據(jù)保護法律開始“趨同”（Approximate），只是該指令給成員國留有“自主裁量空間”（AMarginofManoeuvre），在這一因素的作用下，各國的數(shù)據(jù)保護法律仍存在一定的差異，仍在一定程度上妨礙數(shù)據(jù)在成員國之間的流動。正如已取代《數(shù)據(jù)保護指令》的GDPR所指出的，各成員國數(shù)據(jù)“保護水平上的差異是由于在指令95/46/EC的執(zhí)行和適用方面存在差異”。GDPR要求“在歐盟范圍始終一致和同質(zhì)地適用關(guān)于個人數(shù)據(jù)處理中保護自然人的基本權(quán)利和自由的規(guī)則”，而GDPR作為條例是直接適用于所有成員國的，無需轉(zhuǎn)化為國內(nèi)法，這就進一步提高了各國數(shù)據(jù)法規(guī)的一致性，表現(xiàn)在“為所有成員國的自然人提供法律上可執(zhí)行的同等權(quán)利，以及對于控制者和處理者來說同等的義務(wù)和責任，確保對個人數(shù)據(jù)處理的一致性監(jiān)督，和各成員國的同等處罰，以及不同成員國監(jiān)管機構(gòu)之間的有效合作”等，并因此促進了個人數(shù)據(jù)在整個歐盟的自由流動。隨著全球化和技術(shù)的快速發(fā)展，個人數(shù)據(jù)保護面臨新的挑戰(zhàn)，《數(shù)據(jù)保護指令》的保護效果有待改進，數(shù)據(jù)處理中“對自然人的保護存在顯著風險，特別是關(guān)于在線活動”，GDPR要“確保對個人數(shù)據(jù)的高水平保護”。GDPR嚴格保護個人的數(shù)據(jù)隱私，通過強化數(shù)據(jù)主體的權(quán)利以及控制者和處理者的義務(wù)等，有效提升了數(shù)據(jù)保護水平。

隨著GDPR的實施，整個歐盟實現(xiàn)了對個人數(shù)據(jù)的一致性和高水平保護，并在一致性的基礎(chǔ)上促進了數(shù)據(jù)在歐盟內(nèi)部的自由流動。對于歐盟境內(nèi)的個人數(shù)據(jù)流向世界其他地區(qū)，歐盟的態(tài)度是，如果境外對個人數(shù)據(jù)的保護能達到與GDPR相當?shù)乃?，那么允許數(shù)據(jù)流出，反之則不允許。允許數(shù)據(jù)流轉(zhuǎn)至境外，包括兩種情況。一是第三國被歐盟認定為能夠?qū)€人數(shù)據(jù)提供“充分保護”（AdequateLevelofProtection），數(shù)據(jù)可以流轉(zhuǎn)至該第三國。目前僅有少數(shù)國家或地區(qū)獲得歐盟的這一認定。二是在第三國不能提供“充分保護”的情況下，如果某一控制者或處理者能為數(shù)據(jù)安全提供“適當保障”（AppropriateSafeguards），該控制者或處理者可以將個人數(shù)據(jù)傳輸至該第三國。此處的“適當保障”，通過政府機構(gòu)之間簽訂的法律文件、約束性公司規(guī)則、標準數(shù)據(jù)保護條款等方式提供。歐盟嚴格保護數(shù)據(jù)隱私，這使得歐盟的個人數(shù)據(jù)向境外流轉(zhuǎn)受到很大的限制②。研究表明，限制數(shù)據(jù)流動會給數(shù)字經(jīng)濟乃至宏微觀經(jīng)濟帶來諸多負面效應，歐盟對此應該是了解的，但歐盟仍嚴格限制數(shù)據(jù)的跨境流動，主要就是因為，歐盟更為看重對數(shù)據(jù)隱私的高標準保護［25］，如果數(shù)據(jù)流轉(zhuǎn)至保護水平達不到歐盟要求的第三國，歐盟公民的數(shù)據(jù)權(quán)益受到侵犯的可能性便會增加。

有研究指出，數(shù)據(jù)本地化措施或許無法提升本國個人數(shù)據(jù)的安全性，決定數(shù)據(jù)安全的關(guān)鍵因素不是地理位置而是存儲技術(shù)和方法。這對限制數(shù)據(jù)流出境外以保護數(shù)據(jù)隱私的理念形成挑戰(zhàn)。不過，歐盟堅持嚴格限制數(shù)據(jù)的跨境流動，表明上述研究可能還是更多地停留在學術(shù)層面，對歐盟沒產(chǎn)生什么影響，或即便有影響，也并沒有對歐盟的觀念產(chǎn)生實質(zhì)性的沖擊。在歐盟看來，世界上大多數(shù)國家都達不到歐盟的數(shù)據(jù)保護水準，歐盟公民的個人數(shù)據(jù)一旦流出，數(shù)據(jù)隱私受到侵犯的可能性會明顯增加，于是便將數(shù)據(jù)留在歐盟境內(nèi)，但上述研究卻似乎警醒我們，在網(wǎng)絡(luò)技術(shù)時代，傳統(tǒng)地理意義上的境內(nèi)或境外存放個人數(shù)據(jù)，其安全性可能沒有差異，或者說，其面臨的風險可能是一樣的。

上述幾項文件或法規(guī)的相關(guān)表述，在表1中匯總列出。

表1歐盟數(shù)據(jù)保護文件或法規(guī)的相關(guān)表述

文件或法規(guī)相關(guān)表述

《關(guān)于個人數(shù)據(jù)自動化處理的個人保護公約》序言：鑒于歐洲委員會致力于實現(xiàn)成員國之間更大的團結(jié)，尤其是基于對法治、人權(quán)和基本自由的尊重；鑒于自動處理的個人數(shù)據(jù)跨境流動日益頻繁，應擴大對每個人的權(quán)利和基本自由的保障，特別是尊重隱私的權(quán)利；同時重申對不分國界的信息自由的承諾；認識到有必要協(xié)調(diào)尊重隱私和人與人之間信息自由流動的基本價值觀

《關(guān)于個人數(shù)據(jù)自動化處理的個人保護公約》2018年修訂版序言：憶及個人數(shù)據(jù)保護的權(quán)利應考慮其社會角色，并且應當與包括言論自由在內(nèi)的其他人權(quán)和基本自由相協(xié)調(diào)

《關(guān)于個人數(shù)據(jù)處理及其自由流動的個人保護第95/46/EC號指令》數(shù)據(jù)處理必須尊重自然人的基本權(quán)利和自由，特別是隱私權(quán)，無論自然人的國籍或居住地如何；一個確保貨物、人員、服務(wù)和資本自由流動的內(nèi)部市場的建立和運行，要求個人數(shù)據(jù)能夠從一個成員國自由流動到另一個成員國，還要求個人的基本權(quán)利應該得到保障；成員國在個人數(shù)據(jù)處理方面對個人權(quán)利和自由，特別是隱私權(quán)的保護水平存在差異，這可能會阻礙將此類數(shù)據(jù)從一個成員國的領(lǐng)土傳輸?shù)搅硪粋€成員國的領(lǐng)土；為了消除個人數(shù)據(jù)流動的障礙，在數(shù)據(jù)處理中對個人權(quán)利和自由的保護必須在所有成員國保持同等水平；考慮到各國法律趨同所帶來的同等保護，各成員國將不再能夠以保護個人權(quán)利和自由，特別是隱私權(quán)為理由，限制個人數(shù)據(jù)在它們之間的自由流動；法律的趨同不應導致其所提供的保護的任何減弱，而應相反地尋求確保在共同體內(nèi)提供高水平的保護

《通用數(shù)據(jù)保護條例》保護個人數(shù)據(jù)的權(quán)利并非絕對權(quán)利；必須根據(jù)其在社會中的作用來考慮它，并根據(jù)相稱性原則使它與其他基本權(quán)利相平衡；技術(shù)改變了經(jīng)濟和社會生活，應進一步促進個人數(shù)據(jù)在歐盟內(nèi)部的自由流動，以及向第三國和國際組織的轉(zhuǎn)移，同時確保對個人數(shù)據(jù)的高水平保護；公眾普遍認為對自然人的保護存在顯著風險，特別是關(guān)于在線活動；各成員國保護水平上的差異是由于在指令95/46/EC的執(zhí)行和適用方面存在差異；應確保在整個聯(lián)盟中始終一致和同質(zhì)地適用關(guān)于個人數(shù)據(jù)處理中保護自然人的基本權(quán)利和自由的規(guī)則；有必要制定一項條例，為包括微型、中小型企業(yè)在內(nèi)的經(jīng)濟經(jīng)營者提供法律確定性和透明度，并為所有成員國的自然人提供法律上可執(zhí)行的同等權(quán)利，以及對于控制者和處理者來說同等的義務(wù)和責任，確保對個人數(shù)據(jù)處理的一致性監(jiān)督和各成員國的同等處罰，以及不同成員國監(jiān)管機構(gòu)之間的有效合作

四、美國的立場：隱私保護不應過于妨礙數(shù)字經(jīng)濟發(fā)展

歷史與文化的差異，使得美國對待數(shù)據(jù)保護的態(tài)度，跟歐盟并不完全一致。美國也重視保護隱私，但兩相比較，歐盟重視的程度顯然更高［26］。表現(xiàn)在實踐中，歐盟嚴格保護公民的數(shù)據(jù)隱私，對個人數(shù)據(jù)進行高標準保護，并認為這符合歐洲的價值觀，而在美國看來，如此嚴格的保護似無必要，其引發(fā)的后果令人擔憂，即在很大程度上限制了數(shù)據(jù)的跨境流動，抑制了數(shù)字經(jīng)濟的發(fā)展?jié)摿Γ?7］。在歐盟基礎(chǔ)上降低數(shù)據(jù)保護標準，是美國愿意并能夠接受的做法，美國還希望由此促進數(shù)據(jù)流動和數(shù)字經(jīng)濟發(fā)展［28-29］。

考慮到美國在OECD中的主導地位，《OECD指南》在很大程度上反映了美國對于隱私保護的看法。而亞太經(jīng)合組織（APEC）因為其成員不包括歐洲發(fā)達國家，美國在其中的主導作用就更為突出，該組織于2005年發(fā)布的《隱私框架》（PrivacyFramework），就更是充分體現(xiàn)了美國在數(shù)據(jù)保護問題上的立場。美國將數(shù)據(jù)保護納入隱私權(quán)范疇，要求保護個人的數(shù)據(jù)隱私，特別是在互聯(lián)網(wǎng)時代，個人信息受到侵犯的可能性上升，比如《OECD指南》在2013年進行修訂后指出“更加廣泛和創(chuàng)新的個人數(shù)據(jù)使用會增加隱私風險”，APEC《隱私框架》認為“個人可能更難保持對其個人信息的控制”，數(shù)據(jù)保護的必要性進一步突顯。美國強調(diào)隱私保護對于人們保持對電子商務(wù)的信心很重要，從而有利于數(shù)字經(jīng)濟發(fā)展，《隱私框架》就提到，“消費者對在線交易和信息網(wǎng)絡(luò)的隱私與安全缺乏信任和信心，是可能阻礙成員經(jīng)濟體獲得電子商務(wù)的所有益處的一個因素”，《隱私框架》在2015年進行了修訂，修訂后相關(guān)的表述是，“消費者對在線交易、信息網(wǎng)絡(luò)和個人信息管理的隱私與安全的信任和信心，對于成員經(jīng)濟體獲得電子商務(wù)的益處并參與當今信息驅(qū)動式經(jīng)濟至關(guān)重要”③。

但隱私保護是把雙刃劍，嚴格的數(shù)據(jù)保護制度會顯著地抑制數(shù)據(jù)跨境流動和數(shù)字經(jīng)濟發(fā)展，這樣的后果引發(fā)美國的關(guān)切和擔憂。美國并不支持或反對高標準的數(shù)據(jù)保護措施，認為隱私保護不應過于妨礙數(shù)字經(jīng)濟發(fā)展。《OECD指南》指出，“個人數(shù)據(jù)跨境流動有助于經(jīng)濟和社會發(fā)展”，而“關(guān)于隱私保護和個人數(shù)據(jù)跨境流動的國內(nèi)立法可能會阻礙這種跨境流動”，成員國應“努力消除或避免以隱私保護為由給個人數(shù)據(jù)跨境流動造成不合理障礙”“促進成員國之間信息的自由流動”。APEC《隱私框架》更透徹地反映出美國的意圖?！峨[私框架》“認識到信息的自由流動對于發(fā)達和發(fā)展中市場經(jīng)濟體維持經(jīng)濟和社會增長都是必不可少的”④，而“不必要地限制信息流動或給其帶來負擔的監(jiān)管體系對全球商業(yè)和經(jīng)濟產(chǎn)生不利影響”⑤，表明嚴格的數(shù)據(jù)保護法規(guī)會招致較大的負面經(jīng)濟效應?！峨[私框架》“旨在促進整個亞太地區(qū)的電子商務(wù)”，要“平衡信息隱私與商業(yè)需求和商業(yè)利益”⑥，那么隱私保護就應該是適度的，這更加有利于信息的跨境流動，推動數(shù)字經(jīng)濟的發(fā)展⑦。

美國主導的隱私政策的相關(guān)表述，在表2中匯總列出。

五、歐美合作與沖突：歐盟堅持高標準數(shù)據(jù)保護

歐盟《數(shù)據(jù)保護指令》規(guī)定，歐盟數(shù)據(jù)向第三國流轉(zhuǎn)的條件是，該國能夠?qū)€人數(shù)據(jù)提供“充分保護”（AdequateLevelofProtection）。盡管第d684c6fbd5255be4b09db987e1b601e3三國的數(shù)據(jù)保護方法（Means）可能跟歐盟不相同，但第三國提供的“充分保護”，應“實質(zhì)上相當于”（EssentiallyEquivalent）歐盟內(nèi)部的數(shù)據(jù)保護水平。就美國而言，其國內(nèi)的數(shù)據(jù)保護水平達不到歐盟的要求，這意味著歐盟數(shù)據(jù)將被禁止傳輸至美國，跨大西洋經(jīng)貿(mào)關(guān)系將遭受打擊。作為補救的措施，2000年歐盟和美國達成《安全港協(xié)議》（SafeHarbor），歐盟認為在安全港框架下美國企業(yè)能對個人數(shù)據(jù)提供“充分保護”，可以將歐盟公民的數(shù)據(jù)傳輸至美國。在這樣的數(shù)據(jù)跨境流動合作中，歐盟堅持自己的信念，不允許歐盟數(shù)據(jù)流向美國，因為美國國內(nèi)的數(shù)據(jù)保護達不到“充分保護”水準，而是通過簽訂協(xié)議的方式，僅允許遵守協(xié)議的美國企業(yè)將歐盟數(shù)據(jù)輸往美國，在這個過程中能提供“充分保護”，也就是相當于歐盟內(nèi)部對個人數(shù)據(jù)所提供的保護水平⑧。

2015年10月，歐盟法院判決《安全港協(xié)議》無效，認定該協(xié)議并不能夠為歐盟公民的數(shù)據(jù)提供充分保護。2016年歐盟和美國簽訂新的《隱私盾協(xié)議》（PrivacyShield），該協(xié)議在《安全港協(xié)議》的基礎(chǔ)上進行了修補，以確保給個人數(shù)據(jù)提供充分保護。但到了2020年7月，歐盟法院又判決《隱私盾協(xié)議》無效，認定該協(xié)議還是未能提供充分保護。兩份協(xié)議的失效都跟美國當局對個人數(shù)據(jù)的監(jiān)控活動有關(guān)。美國情報機構(gòu)以國家安全為由獲取個人數(shù)據(jù)，然而根據(jù)歐盟法律，國家安全例外應限制在“必要”（Necessary）和“與目的成比例”（Proportional）的范圍內(nèi)，而美國情報機構(gòu)大規(guī)模收集和處理個人信息，使得歐盟居民在美國無法獲得與在歐盟境內(nèi)同等的數(shù)據(jù)隱私保護水平［30］。歐盟和美國就數(shù)據(jù)跨境流動問題繼續(xù)談判和協(xié)商，并于2023年推出《數(shù)據(jù)隱私框架》（DataPrivacyFramework），為歐盟傳輸至美國的個人數(shù)據(jù)提供充分保護?！稊?shù)據(jù)隱私框架》的效果有待觀察，但近二十年來先后發(fā)布三份協(xié)議以保證數(shù)據(jù)保護的充分性（Adequacy），足以說明歐盟在跨大西洋數(shù)據(jù)合作中對高標準數(shù)據(jù)保護的堅持⑨⑩。

歐美在數(shù)據(jù)保護問題上的主要分歧是，美國認為嚴格的數(shù)據(jù)保護措施明顯妨礙數(shù)據(jù)跨境流動和數(shù)字經(jīng)濟發(fā)展，因而主張適度的隱私保護，這一分歧是本文研究的著重點?？绱笪餮髷?shù)據(jù)合作還反映出另類意義上的分歧，即歐盟嚴格的數(shù)據(jù)保護與美國情報機構(gòu)收集個人信息之間的沖突。無論是上述主要分歧還是另類分歧，美國都作出了妥協(xié)，歐盟則沒有動搖嚴格保護個人數(shù)據(jù)的立場，表現(xiàn)在美國企業(yè)必須按照協(xié)議充分保護歐盟公民的數(shù)據(jù)隱私，以及美國政府承諾不會對歐盟個人數(shù)據(jù)采取任意監(jiān)控或大規(guī)模監(jiān)控措施等［31］。當協(xié)議的實際執(zhí)行達不到預期效果時，歐盟便吐故納新，要求采用新的協(xié)議以保證數(shù)據(jù)保護的充分性。

六、主要結(jié)論與建議

（一）理論研究傾向于支持數(shù)據(jù)跨境流動

數(shù)據(jù)跨境流動能促進數(shù)字經(jīng)濟乃至宏觀經(jīng)濟的發(fā)展，而限制數(shù)據(jù)流動給宏微觀經(jīng)濟帶來負面效應，表現(xiàn)在增加企業(yè)的成本、影響企業(yè)的創(chuàng)新能力和生產(chǎn)率、損害消費者的利益、抑制國際貿(mào)易和經(jīng)濟增長等。尤其應指出的是，一國推行數(shù)據(jù)本地化措施，對該國自身的經(jīng)濟發(fā)展也是不利的，無論是對于發(fā)達經(jīng)濟體所做的研究，還是對于發(fā)展中經(jīng)濟體所做的研究，都反映了這一點。人們通常認為，數(shù)據(jù)跨境流動相對于僅限于境內(nèi)流動來說，個人的數(shù)據(jù)權(quán)益更有可能受到侵犯，這樣的觀念卻受到質(zhì)疑和反駁。一些研究者認為，數(shù)據(jù)本地化措施或許無法提升本國個人數(shù)據(jù)的安全性，決定數(shù)據(jù)安全的關(guān)鍵因素不是地理位置而是存儲技術(shù)和方法。綜合考慮利弊，理論研究傾向于支持數(shù)據(jù)跨境流動，以充分釋放數(shù)字經(jīng)濟潛力，助力經(jīng)濟發(fā)展和民生改善。

（二）歐美分歧的核心在于歐盟堅持高標準數(shù)據(jù)保護

歐洲近現(xiàn)代的人權(quán)發(fā)展歷史和特征，決定了歐盟強調(diào)并堅持嚴格保護個人數(shù)據(jù)。這導致歐盟的個人數(shù)據(jù)向境外流轉(zhuǎn)受到較大的限制，進而給數(shù)字經(jīng)濟乃至宏微觀經(jīng)濟帶來諸多負面影響，但歐盟仍嚴格限制數(shù)據(jù)的跨境流動，因為歐盟更為看重對數(shù)據(jù)隱私的高標準保護，如果數(shù)據(jù)流轉(zhuǎn)至保護水平達不到歐盟要求的第三國，歐盟公民的數(shù)據(jù)權(quán)益受到侵犯的可能性便會增加。至于數(shù)據(jù)本地化可能無法提升數(shù)據(jù)安全的觀點，也沒有影響到歐盟的行為，歐盟持有的觀念應該還是：數(shù)據(jù)不出境就比較安全。由于歷史與文化的差異，美國并不支持或反對高標準的數(shù)據(jù)保護措施。這樣的措施顯著地抑制數(shù)據(jù)跨境流動和數(shù)字經(jīng)濟發(fā)展，這更是引發(fā)美國的關(guān)切和擔憂。美國認為數(shù)據(jù)保護不應過于妨礙數(shù)字經(jīng)濟發(fā)展，因而主張適度的隱私保護?？梢?，就數(shù)據(jù)保護與數(shù)字經(jīng)濟發(fā)展的權(quán)衡而言，歐盟和美國考慮的側(cè)重點不一樣，歐盟更多地關(guān)注數(shù)據(jù)隱私的保護，而美國比較看重數(shù)字經(jīng)濟的發(fā)展。

（三）我國可在參考GDPR的基礎(chǔ)上適當?shù)亟档蛿?shù)據(jù)保護水平

對于歐盟嚴格的數(shù)據(jù)保護制度，不能簡單地以“好”抑或“壞”進行評價。歐洲在人權(quán)和自由問題上的歷史基因與觀念傳承，致使歐洲民眾尤其重視人格尊嚴，對隱私權(quán)高度敏感，特別不能容忍侵犯隱私的行為。因此，歐洲民眾支持嚴格的數(shù)據(jù)保護措施，認為這是歐洲價值觀的必然要求。其他國家也普遍重視隱私保護，只是各國的人權(quán)發(fā)展與歷史傳承存在差異，導致各國對隱私權(quán)的態(tài)度并非完全一致，表現(xiàn)在盡管歐盟對侵犯隱私權(quán)的容忍度極低，但其他國家的容忍度可能要稍微高些，因而出臺的數(shù)據(jù)保護措施可能就沒有歐盟那么嚴格，也就是說，其他國家可能認為沒有必要采用類似于歐盟的數(shù)據(jù)保護制度。

我國的國情同樣有自身的特征，民眾有隱私保護的需求，但這樣的需求不是歐洲人的那種嚴苛要求。

考慮到嚴格的數(shù)據(jù)保護制度還不利于數(shù)字經(jīng)濟發(fā)展，所以，我國不宜照搬歐盟的數(shù)據(jù)法規(guī)，更為合適的做法是，在參考GDPR的基礎(chǔ)上適當?shù)亟档蛿?shù)據(jù)保護水平。而現(xiàn)實中，從我國的《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》等法律的相關(guān)規(guī)定以及數(shù)據(jù)流動的實踐來看，我國對數(shù)據(jù)出境的限制仍比較嚴格，在世界上屬于數(shù)據(jù)本地化傾向明顯的國家之一。適當?shù)胤艑挃?shù)據(jù)保護，進一步促進數(shù)據(jù)跨境流動，應繼續(xù)成為未來一段時期我國數(shù)據(jù)政策調(diào)整的著力點。在跨境數(shù)據(jù)合作方面，鑒于APEC的CBPR體系體現(xiàn)的是適度的隱私保護的理念，我國或可選擇加入CBPR體系，跟該體系的其他參與方協(xié)調(diào)數(shù)據(jù)保護標準，助力數(shù)據(jù)跨境流動和數(shù)字經(jīng)濟發(fā)展。

（四）國家安全例外可以借鑒歐盟做法

當本國的個人數(shù)據(jù)傳輸至境外時，他國政府可能以國家安全為由對其進行訪問和使用，這容易引發(fā)人們的焦慮和不安，也是很多國家推行數(shù)據(jù)本地化措施的動機之一。歐盟在與美國的數(shù)據(jù)合作中，允許國家安全例外，但這樣的例外必須是“必要”和“成比例”的，反對美國政府機構(gòu)任意或大規(guī)模獲取歐盟公民的個人信息，一旦出現(xiàn)此類行為，歐盟便不惜中斷跨大西洋數(shù)據(jù)合作。

歐盟的做法具有全球借鑒意義，對于我國也是這樣。我國在跟他國的數(shù)據(jù)合作中，應允許一方政府出于國家安全目的獲取另一方公民的個人信息，但這樣的獲取應限定在“必要”和“成比例”的范圍內(nèi)，雙方都不要泛化或濫用國家安全概念，不對對方公民的數(shù)據(jù)進行大規(guī)模的監(jiān)控，等等。

這樣既考慮了各國正當?shù)膰野踩P(guān)切，同時又將其對個人數(shù)據(jù)隱私的干擾降到了最低限度。

［注釋］

①又稱《歐洲保護人權(quán)與基本自由公約》（EuropeanConventionfortheProtectionofHumanRightsandFundamentalFreedoms）。

②GDPR提到，“保護個人數(shù)據(jù)的權(quán)利并非絕對權(quán)利，必須根據(jù)其在社會中的作用來考慮它，并根據(jù)相稱性原則使它與其他基本權(quán)利相平衡”，《關(guān)于個人數(shù)據(jù)自動化處理的個人保護公約》歷經(jīng)數(shù)次修訂并于2018年經(jīng)過最新一次修訂后，也出現(xiàn)了類似的闡述，“個人數(shù)據(jù)保護的權(quán)利應考慮其社會角色，并且應當與包括言論自由在內(nèi)的其他人權(quán)和基本自由相協(xié)調(diào)”。這說明歐盟認識到嚴格保護數(shù)據(jù)隱私可能產(chǎn)生弊端，特別是其與言論自由存在明顯的矛盾，降低數(shù)據(jù)保護標準則會帶來其他方面的益處，當然這就意味著放松歐盟的個人數(shù)據(jù)向境外的流轉(zhuǎn)，并因此有利于數(shù)字經(jīng)濟的發(fā)展。

③這樣的觀點還體現(xiàn)在近些年由美國主導制定的一些經(jīng)貿(mào)協(xié)定中。從《跨太平洋伙伴關(guān)系協(xié)定》（TPP）演化而來的《全面與進步跨太平洋伙伴關(guān)系協(xié)定》（CPTPP），保留了前者的絕大多數(shù)內(nèi)容，其中就包括電子商務(wù)規(guī)定。CPTPP指出，“各締約方認識到保護電子商務(wù)用戶個人信息的經(jīng)濟和社會效益，及其對增強消費者對電子商務(wù)的信心所發(fā)揮的作用”?！睹绹鞲缂幽么髤f(xié)定》（USMCA）也有同樣的表述。

④在2015年修訂后的《隱私框架》中，修改為“認識到信息的自由流動對于貿(mào)易以及發(fā)達和發(fā)展中市場經(jīng)濟體的經(jīng)濟和社會增長的重要性”。

⑤在2015年修訂后的《隱私框架》中，修改為“不必要地限制信息流動或給其帶來負擔的監(jiān)管體系對全球商業(yè)、經(jīng)濟和個人產(chǎn)生不利影響”。

⑥在2015年修訂后的《隱私框架》中，修改為“尋求協(xié)調(diào)隱私與商業(yè)和社會需求以及商業(yè)利益”。

⑦隱私保護不應過于妨礙數(shù)字經(jīng)濟發(fā)展，這也反映在一些經(jīng)貿(mào)協(xié)定的相關(guān)闡述中，比如USMCA和《美日數(shù)字貿(mào)易協(xié)定》就都指出，“各締約方認識到確保對個人信息跨境流動的任何限制都是必要的并與所呈現(xiàn)的風險相稱之重要性”。APEC還在《隱私框架》的實施中建立了跨境隱私規(guī)則體系（CrossBorderPrivacyRules，簡稱CBPR）?！峨[私框架》在2015年修訂后，CBPR也做了更新。

⑧參見CommissionDecisionontheAdequacyoftheProtectionProvidedbytheSafeHarbour PrivacyPrinciplesandRelatedFrequentlyAskedQuestionsIssuedbytheUSDepartmentofCommerce，EuropeanCommission，2000。

⑨參見CommissionImplementingDecisionontheAdequacyoftheProtectionProvidedbytheEUUS.PrivacyShield，EuropeanCommission，2016；CommissionImplementingDecisionontheAdequateLevelofProtectionofPersonalDataundertheEUUSDataPrivacyFramework，EuropeanCommission，2023。

⑩歐盟基于1995年《數(shù)據(jù)保護指令》，跟美國簽訂《安全港協(xié)議》和《隱私盾協(xié)議》。取代《數(shù)據(jù)保護指令》的GDPR已于2018年5月25日生效，歐盟根據(jù)這一新的數(shù)據(jù)保護法規(guī)，跟美國達成《數(shù)據(jù)隱私框架》。[BFQ][ZK）]

［參考文獻］

［1］劉文杰.美歐數(shù)據(jù)跨境流動的規(guī)則博弈及走向［J］.國際問題研究，2022（6）：65-78.

［2］孫祁，尤利婭·哈里托諾娃.數(shù)據(jù)主權(quán)背景下俄羅斯數(shù)據(jù)跨境流動的立法特點及趨勢［J］.俄羅斯研究，2022（2）：89-107.

［3］RUDRASWAMYV，VANCEDA.Transborderdataflows：adoptionanddiffusionofprotectivelegislationintheglobalelectroniccommerceenvironment［J］.Logisticsinformationmanagement，2001，14（1/2）：127-136.

［4］MELTZERJP.Theinternet，crossborderdataflowsandinternationaltrade［J］.Asia&thepacificpolicystudies，2015，2（1）：90-102.

［5］SAMBHARYARB，PHATAKA.TheeffectoftransborderdataflowrestrictionsonAmericanmultinationalcorporations［J］.Managementinternationalreview，1990，30（3）：267-289.

［6］CLEARM.Fallingintothegap：theEuropeanUnion’sdataprotectionactanditsimpactonUS.lawandcommerce［J］.Journalofcomputerandinformationlaw，2000，18（4）：981-1018.

［7］CORYN.Crossborderdataflows：wherearethebarriers，andwhatdotheycost？［R］.ITIF，2017.

［8］MATTOOA，MELTZERJP.Internationaldataflowsandprivacy：theconflictanditsresolution［J］.Journalofinternationaleconomiclaw，2018，21（4）：769-790.

［9］BREHMERHJ.Datalocalization：theunintendedconsequencesofprivacylitigation［J］.Americanuniversitylawreview，2018，67（3）：927-969.

［10］POTLURISR，SRIDHARV，RAOS.Effectsofdatalocalizationondigitaltrade：anagentbasedmodelingapproach［J］.Telecommunicationspolicy，2020，44：1-16.

［11］FERRACANEMF，KRENJ，VANDERMARELE.Dodatapolicyrestrictionsimpacttheproductivityperformanceoffirmsandindustries？［J］.Reviewofinternationaleconomics，2020，28：674-722.

［12］TANJG.AcomparativestudyoftheAPECprivacyframework—Anewvoiceinthedataprotectiondialogue？［J］.Asianjournalofcomparativelaw，2008，3（1）：1-44.

［13］CHANDERA，LEˇUP.Datanationalism［J］.Emorylawjournal，2015，64（3）：677-740.

［14］BADRANMF.EconomicimpactofdatalocalizationinfiveselectedAfricancountries［J］.Digitalpolicy，regulationandgovernance，2018，20（4）：337-357.

［15］VANDERMARELE，F(xiàn)ERRACANEMF.Dodatapolicyrestrictionsinhibittradeinservices？［J］.Reviewofworldeconomics，2021，157：727-776.

［16］BAUERM，LEEMAKIYAMAH，VANDERMARELE，etal.Thecostsofdatalocalisation：friendlyfireoneconomicrecovery［R］.ECIPE，2014.

［17］BAUERM，F(xiàn)ERRACANEMF，LEEMAKIYAMAH，etal.UnleashinginternaldataflowsintheEU：aneconomicassessmentofdatalocalisationmeasuresintheEUmemberstates［R］.ECIPE，2016.

［18］SELBYJ.Datalocalizationlaws：tradebarriersorlegitimateresponsestocybersecurityrisks，orboth？［J］.Internationaljournaloflawandinformationtechnology，2017，25（3）：213-232.

［19］KUNERC.Regulationoftransborderdataflowsunderdataprotectionandprivacylaw：past，presentandfuture［R］.OECD，2011.

［20］MISHRAN.Privacy，cybersecurity，andGATSarticleXIV：anewfrontierfortradeandinternetregulation？［J］.Worldtradereview，2020，19（3）：341-364.

［21］葉開儒.數(shù)據(jù)跨境流動規(guī)制中的“長臂管轄”——對歐盟GDPR的原旨主義考察［J］.法學評論，2020（1）：106-117.

［22］惠志斌.數(shù)據(jù)經(jīng)濟時代互聯(lián)網(wǎng)企業(yè)跨境數(shù)據(jù)流動風險管理研究［D］.南京：南京大學，2018：3-12.

［23］卜學民.個人數(shù)據(jù)跨境傳輸限制法律問題研究［D］.北京：對外經(jīng)濟貿(mào)易大學，2022：5-26.

［24］姚亭亭.數(shù)據(jù)跨境流動限制性措施對數(shù)字服務(wù)貿(mào)易的影響研究［D］.北京：對外經(jīng)濟貿(mào)易大學，2022：9-23.

［25］金晶.歐盟的規(guī)則，全球的標準？數(shù)據(jù)跨境流動監(jiān)管的“逐頂競爭”［J］.中外法學，2023（1）：46-65.

［26］張曉磊.日本跨境數(shù)據(jù)流動治理問題研究［J］.日本學刊，2020（4）：85-108.

［27］張舵.跨境數(shù)據(jù)流動的法律規(guī)制問題研究［D］.北京：對外經(jīng)濟貿(mào)易大學，2018：7-17.

［28］李墨絲.歐美日跨境數(shù)據(jù)流動規(guī)則的博弈與合作［J］.國際貿(mào)易，2021（2）：82-88.

［29］熊鴻儒，田杰棠.突出重圍：數(shù)據(jù)跨境流動規(guī)則的“中國方案”［J］.人民論壇·學術(shù)前沿，2021（9）：54-62.

［30］李艷華.隱私盾案后歐美數(shù)據(jù)的跨境流動監(jiān)管及中國對策——軟數(shù)據(jù)本地化機制的走向與標準合同條款路徑的革新［J］.歐洲研究，2021（6）：25-49.

［31］單文華，鄧娜.歐美跨境數(shù)據(jù)流動規(guī)制：沖突、協(xié)調(diào)與借鑒——基于歐盟法院“隱私盾”無效案的考察［J］.西安交通大學學報（社會科學版），2021（5）：94-103.

TheEvolutionandEnlightenmentofEuropeanandAmericanPolicieson

CrossborderDataFlow—BasedonthePerspectiveofBalancing

DataProtectionandDigitalEconomyDevelopment

LuoYunkai

（ChineseAcademyofInternationalTradeandEconomicCooperation，Beijing100710，China）

Abstract：Basedontheperspectiveofbalancingdataprotectionanddigitaleconomydevelopment，thispaperstudiesthecrossborderflowofpersonaldata.First，therelevantliteratureisreviewed.Thecrossborderdataflowcanpromotethedevelopmentofthedigitaleconomyandeventhemacroeconomy，whilelimitingthedataflowcanbringnegativeeffectstothemacroandmicroeconomy.Ontheotherhand，theconceptthatdatalocalizationhelpstoensurethesecurityofdomesticdatahasbeenquestionedandrefuted.Theoreticalresearchtendstosupportthecrossborderflowofdata.CrossborderdataflowpoliciesintheEUandtheUS.arethenexamined.TheEUhasalwaysemphasizedandadheredtothestrictprotectionofpersonaldata，whichobviouslyinhibitsthecrossborderflowofdataandthedevelopmentofdigitaleconomy.However，theEU’spositionhasnotchanged，andtheEUattachesmoreimportancetothehighstandardprotectionofdataprivacy.TheUnitedStatesattachesmoreimportancetothedevelopmentofthedigitaleconomyandadvocatesmoderateprivacyprotection.Finally，severalsuggestionsaremade.China’snationalconditionshavetheirowncharacteristics，soitisnotsuitabletocopythedatasystemoftheEuropeanUnion.ThedataprotectionlevelcanbeappropriatelyreducedonthebasisofreferencetoGDPR.GraduallyrelaxingdataprotectionandfacilitatingthecrossborderflowofdatashouldcontinuetobethefocusofChina’sdatapolicyadjustmentinthefuture.ChinacanalsochoosetojointheCBPRsystemofAPECtopromotethecrossborderdataflowandthedevelopmentofdigitaleconomyundertheframeworkofmoderateprivacyprotection.InChina’sdatacooperationwithothercountries，governmentagenciesofonepartymayobtainpersonalinformationaboutcitizensoftheotherpartyfornationalsecuritypurposes，whichshouldmeettherequirementsof“necessity”and“properproportion”.

Keywords：crossborderflowofpersonaldata;dataprotection;digitaleconomydevelopment;EU;theUS.

（責任編輯：張積慧）