罗力

摘要：大规模的跨境数据流动在一定程度上促进了全球经济和国际贸易的快速发展，但也使公民隐私、企业商业秘密和国家安全遭到了极大威胁，这引起了国际组织、各国政府管理部门和隐私保护机构的高度关注。本文在厘定跨境数据流动概念的基础上，重点研究美欧跨境数据流动监管机制的演化过程和最新进展，指出我国一方面要抓紧推出个人数据保护法，将跨境数据流动监管纳入其中，并落实企业在个人数据保护方面的义务，另一方面要积极参与国际上现有的跨境数据流动监管框架，通过各种双边和多边谈判，推动制定新的跨境数据流动规则。

关键词：跨境数据流动；个人数据保护；安全港；隐私盾

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）08-0052-03

云计算、大数据和移动互联网等新兴信息技术的发展和应用，一方面大幅改变了个人数据收集、检索、利用和传输的方式，另一方面也造成了各种个人信息安全侵害事件的频繁发生。在全球贸易和跨境电子商务蓬勃发展、跨境数据流动的地域越来越广，内容越来越丰富的大背景下，为进一步避免本国公民个人数据和企业商业数据被不当传输到信息安全保护机制不完备的国家或地区，愈来愈多的国际组织和国家出台跨境数据流动监管文件，比如美欧隐私盾协议和保护伞协议、俄罗斯限制跨境数据流动行为的数据本地化法律、澳大利亚禁止将能够识别个人的健康数据跨境流动、《中华人民共和国反恐怖主义法》、《中华人民共和国网络安全法》等。本文将对有效支撑互为对方最重要贸易伙伴的美国与欧盟长期开展跨大西洋贸易的跨境数据流动监管演化进行研究，以期为我国在下一步参与双边和多边的跨境数据流动监管谈判时提供借鉴。

1跨境数据流动的概念和内涵

关于跨境数据流动的概念和内涵，国内尚无法律依据，也无统一定义。因此，国际组织有关跨境数据流动监管的法律法规所下的定义，都有助于本文关于跨境数据流动概念和内涵的确定。跨境数据流动的概念最早出现在个人隐私和数据保护条款中，其英文是Trans-borderDataFlows。经济发展与合作组织（OECD）在1980年出台的《关于隐私保护和个人数据跨境流动的指南》中曾指出，个人数据跨境流动（Trcms-border，flows ofpersonal data）是指个人数据点到点的跨越国家、政治疆界进行传输（movements of personal data across national borders）。随着国家贸易的开展和跨境数据流动的日益频繁，跨境数据流动监管的范围已经不再局限于个人数据，而是包含商业数据、政府部门数据等更为多样的形式，因而其作用范围和外部影响也仅非局限于个人数据或隐私保护层面，更是上升到商业秘密、国家安全等高度。虽然跨境数据流动已经成为现代社会生存和发展的一个重要基础，在一定程度上促进了全球经济和国际贸易的发展，但也对部分国家的公民隐私、数据主权和国家安全产生了一定的危害。跨境数据流动监管是典型的多边、多学科交织的复杂领域，该问题至少涉及国际法学、国际政治学、国际关系学、管理学、计算机科学等学科，需要多学科人才来共同研究推进。

2美欧跨境数据流动监管的演化

美歐之间的跨境数据流动监管主要经历了三个阶段，第一阶段为《个人数据保护指令》生效后双方在2000年7月签署的安全港协议阶段，第二阶段为安全港协议被宣告无效后，“标准合同条款”和“约束性企业规则”发挥作用的过渡阶段，第三阶段为“隐私盾协议”和“保护伞协议”阶段。

2.1安全港协议阶段（2000年7月-2015年10月）

欧盟是以法律手段严格保护个人数据和隐私安全的区域，《个人数据保护指令》则是全球个人数据保护法律法规中最具影响力的法律。《个人数据保护指令》在第25条明确要求欧盟成员国在进行跨境数据传输时应遵循一系列重要原则，其中第1项规定，因数据处理而传输到第三国，或拟传输到第三国进行处理的个人数据，成员国应确保第三国在个人数据保护方面已经具备“充分性保护水平”，同时还应遵守指令中所规定的其他国内法律法规。当欧盟委员会或成员国认定第三国的个人数据安全保护措施不具备“充分性保护水平”时，成员国则应相互通报其情况。如果欧盟委员会根据第31条第2项规定，认为第三国采取的个人数据安全保护措施没有达到“充分性保护水平”，除所列举的豁免情况外，欧盟成员国应当采取必要的措施，防止同类数据传输到该第三国。虽然《个人数据保护指令》并没有对“充分性保护水平”的含义及其认定标准进行说明，但在第25条第2项对有关因素进行了说明，即“所有与跨境数据流动有关的情形，包括数据的性质、数据处理的目的、数据来源国及最终目的地国以及该第三国现行的有效法律规定及实行的行业规则及安全措施”等因素。

而美国作为信息技术遥遥领先的国家，拥有占据绝对优势地位的物联网、云计算和大数据等信息服务产业，对于国内公民个人数据和隐私安全保护的价值取向和模式有别于欧盟委员会和各个成员国，虽然国内也有一系列保护个人数据和隐私安全的法律法规，但分散于若干政府机构之中，主要依赖于行业自律。相较于欧盟，美国更多的鼓励推进跨境数据流动，反对外国政府设置各种有碍跨境数据流动的各种措施，因此为了弥补美欧双方在个人数据和隐私安全保护机制上的差距，并顺利开展美欧跨境数据流动，促进美欧跨大西洋贸易，美国商务部在2000年7月正式提出了基于企业“自我认证”和“自我评估”的“安全港隐私保护原则”，即美欧“安全港协议”（Safe Hot-bor），并在同年得到欧盟委员会的认可。企业自主选择加入安全港协议后，必须每12个月接受验证，确认该企业是否符合有关标准，并借此对接《个人数据保护指令》所说的“充分性保护水平”标准。安全港协议的惩罚措施主要包括收回认证、公布企业的侵权行为、提交联邦贸易委员会并采取法律行动等。安全港协议的签订过程提高了欧洲数据保护监管部门和立法部门对企业自律行为的接受程度。

2.2过渡阶段（2015年10月-2016年2月）

奥地利人施雷姆斯（Schrems）在2013年向爱尔兰数据保护监管部门提起集体诉讼，质疑美国社交网站脸谱网利用安全港协议将欧盟成员国公民个人数据传输到美国的合法性，整个诉讼经爱尔兰高等法院向欧盟法院提起后，欧盟法院在2015年10月6日作出判决，宣布安全港协议无效。为了帮助美欧企业渡过安全港协议无效，而新协议尚未签订的真空期，减轻对美欧跨大西洋贸易和跨境电子商务的不良影响，欧盟数据保护监管部门认为《个人数据保护指令》中提及的“标准合同条款”（Standard Contractual Clauses，SCC）和在2003年由第29条工作组提出来的“约束性企业规则”（Birnding Corporate Rules，BCR）仍可适用于美欧跨境数据传输，但数据保护监管部门均须进行个案审查来保护数据主体的权益。

一般情况下，如果无法获得数据主体的同意，原则上应禁止该个人数据的跨境传输，但如果美国企业与欧盟成员国企业签订了“标准合同条款”，承诺按照合同履行有关的数据保护义务，则可以进行跨境数据传输。标准合同条款以数据主体权益保护为目的，它的调整对象为数据传输当事人和数据主体在数据保护上的权、责分配关系，其将《个人数据保护指令》的数据保护原则纳入其中，从传输者和接收者的义务、数据主体作为第三方受益人、责任承担、救济、监管、法律适用等方面进行了规定，比如当损害发生时，由于违反第三方受益人条款，传输方以及接受者须承担连带责任。在美欧各国数据保护法律法规差异较大的情况下，标准合同条款降低了相关主体签订合同的成本，为不同体制下跨境数据传输涉及的法律差异提供了解决方案。

“约束性企业规则”是欧盟数据保护监管部门第29条工作组在2003年提出来的，主要是规范分支机构位于不同国家的跨国企业内部的跨境数据流动。该规则需要得到负责处理个人数据的分支机构所在国家数据保护监管部门的批准。第29条工作组一开始仅将该规则当成一种解决手段，但随着外界环境的变化和规则本身的发展，如今该规则已被直接提出作为安全港协议的替代方案，也被越来越多的监管者和立法者视为符合全球组织内部个人数据跨境流动要求的等量有效机制，认为其提供了一个适用于全球企业进行跨境数据流动的共同标准且符合各国的数据存留条例。签订约束性企业规则的好处，在于为跨国企业集团制定了统一的数据保护政策框架，有助于通过合同、政策和纪律等手段统一协调跨国企业集团内部个人数据保护的实务操作。该规则得到了《个人数据保护指令》第25条、第26条的认可，确保能向尚未被认定为具备“充分性保护水平”国家的分支机构进行跨境数据传输，有效降低了相关风险，也减轻了企业之间频繁签订合同的负担。

2.3隐私盾协议和保护伞协议阶段（2016年2月至今）

随着新兴信息技术的发展和个人数据保护复杂性的增加，欧盟委员会在2012年提出的《一般数据保护规章（General DataProtectionRegulation，GDPR）》在2016年4月获得欧洲议会批准，将于2018年5月在整个欧盟境内实施，并替代现行的《个人数据保护指令》。《一般数据保护规章》在跨境数据流动监管方面一方面继承了《个人数据保护指令》的精髓，另一方面新增了若干要求，比如第三国是否拥有独立且有效执法的监管部门、第三国是否符合国际标准或签订其他现行有效的多边或区域体系中个人数据保护条款。

美欧双方在2016年2月2日宣布达成新的跨境数据流动协议——欧美隐私盾协议（EU-U.S.Privacy Shield），以替代被宣告无效的安全港协议。隐私盾協议也包含七大数据保护原则，但其内容要比安全港隐私协议的七大原则更为丰富，比如在数据传输原则中，将第三方细分为作为数据控制者的第三方和作为代理人的第三方；在数据主体参与原则中，增加了“更正、补充或者删除违反数据保护原则进行处理的信息”这一内容。总的来说，该协议不但加强了美国企业使用个人数据的义务，还提供了欧盟成员国公民寻求各种救济的可能性。如果美国企业要将个人数据从欧盟各个成员国传输到美国，则必须承诺保证数据主体拥有更强的权利。美国商务部将监督该企业公开其承诺，而美国联邦贸易委员会则根据美国法律加以执行。另外，任何处理来自欧盟人力资源数据的企业，都必须承诺遵守欧盟数据保护监管部门的有关决定。美国必须提供书面保证，确保政府机构基于执法和国家安全等理由获取个人数据时，将受到明确的限制和监督；不会对进入美国的欧盟成员国公民个人数据进行无差别、大规模监视；会有一年一度的联合审查机制定期监督隐私盾协议的运作，并将及时公开审查报告。如果美国政府部门和有关企业的行为没有符合标准，欧盟委员会将会暂停隐私盾协议的运行。如果欧盟成员国公民认为其个人数据遭到错误使用时，其将拥有多种救济渠道：欧盟成员国公民可直接向美国企业进行投诉，该企业必须在45天内进行回应；欧盟成员国的数据保护监管部门可将有关投诉移交给美国商务部和联邦贸易委员会，由其协助调查和解决纠纷；美国企业必须提供替代性纠纷解决方案帮助欧盟成员国公民进行投诉并免付投诉费用。欧美隐私盾协议实际上为双方“跨大西洋贸易与投资伙伴协议”中的数据留存和传输条款提供了借鉴，有助于双方打造一个共赢、互利的数字商业体系。

另外，为了加强欧盟和美国执法部门数据交换和处理的信任度，欧美保护伞协议（EU-U.S.UmbrellaAgreement）于2016年12月1日获得欧洲议会正式批准。欧美保护伞协议为欧美执法合作建立了一个综合的数据保护框架，涵盖了欧盟和美国之间以犯罪预防、侦查、调查和起诉刑事犯罪为目的而交换的所有个人数据。保护伞协议将使欧盟成员国公民隐私受到侵犯时，与美国公民享有同等的司法赔偿权。保护伞协议主要包含6项内容：1）数据使用限制，即个人数据只能用于包含预防、调查、侦查或起诉刑事犯罪在内的各种目的，且不得超过这个范围；2）数据传输条件，即当个人数据将被传输到非美国、非欧盟国家或国际组织时，必须事先获得原本传输个人数据的国家数据保护监管部门的同意；3）数据存留期限，即个人数据存留不得超过必要或适当的时间，且必须公布或以其他方式公开存留期限；4）数据获得与修改，即在特定执法背景下，任何公民都有权获得其数据，且当数据发生错误时，能请求有关部门进行修改；5）数据泄露通知，即当数据发生泄露时，将通知数据监管部门，而如果情况允许，将同时通知数据主体；6）司法救济与执行，即如果美国执法部门拒绝欧盟成员国公民获得、修改或非法泄露其个人数据时，欧盟成员国公民有权向美国法院寻求司法赔偿。

3对我国的启示

3.1抓紧出台专门的个人数据保护法，设立综合性的个人数据保护监管部门

从全球个人数据保护立法现状和美欧跨境数据流动监管演化来看，出台个人数据保护法，提升本国的个人数据保护水平，实现数据主体的权益保护仍然是跨境数据流动的重要前提。虽然安全港协议、标准合同条款、约束性企业规则以及隐私盾协议等都是在没有提供充分性保护水平的国家中允许跨境数据流动的进行，其实质都是严格贯彻《个人数据保护指令》所规定的数据主体权益保护框架。鉴于我国至今没有出台专门的个人数据保护法，当务之急是借鉴欧盟《一般数据保护规章》、台湾地区《个人资料保护法》，香港《个人资料（隐私）条例》的立法理念，出臺《个人数据保护法》，界定新兴信息技术背景下个人数据的概念和内涵，区分一般个人数据和个人敏感数据，建立个人数据保护的原则体系，明确规定个人数据收集、处理、使用等环节中的问题，引入团体诉讼的理念，大幅度提高违法侵权的成本，尤其要将个人数据跨境流动的规则纳入其中，建立以数据传输方为中心的责任分担机制，使其实际承担担保责任和连带责任，平衡个人数据保护与跨境数据流动的关系。针对《一般数据保护规章》和隐私盾协议中对设立个人数据监管部门的要求，我国应梳理和整合现有与个人数据监管有关的各个部门的职能，设立综合性的个人数据监管部门，配备足够的执法人员和相应职权，完善监管手段，推进实施跨境数据流动风险评估和跨境数据流动技术监测，让跨境数据流动不再处于“裸奔”状态。

3.2推动建立行业自律制度，严格落实企业保护公民个人数据的责任

从美欧跨境数据流动监管演化来看，美国的行业自律制度在美欧跨境数据流动中发挥了积极的作用，在一定程度上保证了企业对欧盟成员国公民个人数据的保护。近些年，随着我国企业在国际上开展业务的逐渐增多，这些企业日益感受到国外政府和隐私保护部门对其个人数据和隐私保护水平的要求，因此作为除政府部门以外掌握公民个人数据最多的企业，尤其是开展国际业务的跨国企业集团，更应该推动建立我国的行业自律制度，引入国际知名的信息安全管理标准，如ISO/IEC 27001《信息安全管理体系一要求》、ISO/IEC 29100隐私框架标准、英国标准协会BS10012或日本个人信息安全管理标准JIS Q15001等，加强自身的信息安全建设，出台企业个人数据保护制度，建立完善的数据保护系统，尽可能获得相关的国际信息安全评估认证，实践“从设计出发保护个人数据和隐私”（Privacy研Design）的理念，切实提升企业的个人数据保护水平，缓解目前我国因个人数据保护法缺失而呈现出的个人数据保护不力的景象，这也有助于我国政府与其他国家开展双边和多边谈判。

3.3强化国际合作，积极参与制定国际规则

在经济全球化的背景下，就跨境数据流动监管问题开展国际合作是不可避免的。从《一般数据保护规章》中新增的“第三国是否符合国际标准或签订其他现行有效的多边或区域体系中个人数据保护条款”可知，我国一方面可在提升本国个人数据保护水平的基础上，积极参与APEC跨境隐私规则体系（CB-PRs）等现有区域数据保护体系，提高本国跨境数据流动规则的完备程度，赢得外国消费者的信任，另一方面，在全球尚未形成统一跨境数据流动规则的情况下，我国可以借助美国退出《跨太平洋伙伴关系协议》谈判的机会，通过《区域全面经济伙伴关系协定》谈判，与东盟十国、日本、印度、韩国、澳大利亚和新西兰等其他国家在法律、监管和技术等方面主导建立新时期跨境数据传输的国际标准和相关规则，保障跨境数据流动的可行性和公平性，降低由于规则差异给跨境数据流动监管带来的成本和风险。