美欧跨境数据流规则游戏及中国因应

摘要：目前，国际社会尚未就跨境数据流动规则达成共识，美国和欧盟在相关规则制定中占据领先优势，但二者采取了不同的立法模式和标准，存在难以弥合的分歧。为此，美欧在过去20年中持续开展了多轮博弈，2020年7月欧盟法院关于美国无法为欧盟的个人数据提供充分保护、美欧《隐私盾协议》无效的判决，正是这一博弈的最新体现。该判决对于欧盟重新夺回技术主权以及美欧跨境数据流动合作和规则博弈都将产生不可忽视的影响。同时，这一判决所推动的跨境数据流动规则博弈态势对我国利弊并存。我国应着眼于国家安全、数据隐私保护和经济发展的平衡，积极推动现有跨境数据流动国内立法的完善，并通过加入现有的区域性隐私框架等措施积极提升“中国模式”的国际影响力。

关键词：跨境数据流动;隐私盾协议;美欧博弈;规则制定

2020年7月16日，欧盟法院作出判决，认定欧盟与美国之间关于跨境数据传输的《隐私盾协议》无效，从而使美国公司无法继续通过该协议将欧盟的个人数据传输到美国。这一判决是美欧在跨境数据流动规则领域持续争夺和博弈的最新体现。尽管双方正在努力围绕后续安排进行磋商，但迄今为止前景仍不明朗。

国外学者对跨境数据流动①国际规则进行了较多的研究。罗伯特•沃尔特斯(RobertWalters)等人指出，跨境数据流动的“法律协调和法律趋同不仅可以由国际机构推动形成，还可以因跨法域移植法律原则而推动形成”②。帕特里克•勒布隆(PatrickLeblond)等人认为，美国、欧盟和中国这三个数据巨头使用了不同的数据治理方法，与其他规则制定者之间形成了数字鸿沟，这给WTO带来了挑战，也带来了机遇。③克莱尔•沙利文(ClareSullivan)进一步分析了欧盟主导的GDPR模式和美国主导的CBPR模式，认为GDPR模式更适合物联网时代并将继续确立国际数据保护标准。④

国内学界对跨境数据流动国际规则博弈的研究相对较少，既有文献多探讨国内跨境数据流动规则的制定问题。刘宏松、程海烨指出：“跨境数据流动的全球治理呈现两个发展趋势，一是规制多极化和规制标准的俱乐部化，二是美欧将继续争夺跨境数据流动规制的主导权。”⑤曹杰、王晶对《隐私盾协议》安全港协议》和TPP协议进行了对比研究。①但是，这些研究都没有结合欧盟法院关于《隐私盾协议》无效的判决对美欧跨境数据流动规则博弈的最新态势和影响加以深入分析。

因此，本文的主要研究问题是：在美国和欧盟围绕跨境数据流动规则的博弈不断加剧的背景下，欧盟法院关于《隐私盾协议》无效的判决有哪些值得关注之处，将对美欧博弈造成何种影响?以这一判决为视角，中国应当如何提升在跨境数据流动国际规则制定中的话语权和影响力?

一、跨境数据流动规则制定中的美欧博弈

在数字经济时代，跨境数据流动对国际贸易至关重要。麦肯锡全球研究院(MGI)发布的《数字全球化：全球流动的新时代》报告指出，传统的商品、服务贸易和资金流动已经趋于平缓，但跨境数据流动正大幅增长，对全球经济增长的贡献已经超过了传统的货物贸易。②跨境数据流动日益成为国际社会高度关注的一个重要议题，如何通过掌握规则制定权使本国获得更多的数据资源，尤其成为各国关注的焦点。

从数据的自身属性来看，数据的生命在于流动，没有流动性的数据是没有价值的。③数据需要被灵活使用，数据在不断被消化、处理、产生增值服务的同时又能产生更多的数据，从而形成数据回流。④在经济全球化的今天，数据流动往往也是全球性的。跨境数据流动使企业可以直接对接国际客户，拓宽国际市场。

但是，跨境数据流动伴随着个人数据隐私保护的难题，因为出境后的数据监管难度显著增加，数据主体⑤对数据的掌控力也大大削弱，个人数据(例如个人的政治观点、通话记录和社交账号等)一旦被非法获取、泄露和滥用，将导致严重的后果。这就表明，个人数据保护已成为一个不可规避的全球性问题。当然，过于严格的数据隐私保护模式将成为阻碍数据流动的壁垒，使企业面临巨大的法律风险，用户也无法享受数据流动带来的便利。

美国和欧盟同为发达经济体，其信息通信技术及产业发展水平却有着较大差异。美国是这一领域的全球领跑者，2019年《全球云基础设施服务市场排行》显示，美国的亚马逊、微软和谷歌公司分别是全球排名前三的云服务提供商。⑥欧盟的数字技术发展远远落后于美国和中国，中美占全球70个最大数字平台市值的90%，而欧洲所占份额仅为4%。⑦欧盟高度依赖外部云服务提供商，缺乏数据处理和大数据分析能力。①因此，在美欧跨境数据传输中，由于美国拥有技术优势，大量欧盟数据流向美国。②这一态势决定了美国和欧盟对跨境数据流动隐私保护采取了不同的立法模式和标准。

美国没有制定统一的个人信息保护法典，而是在《儿童在线隐私保护法》《健康保险携带和责任法案》等不同领域的立法中分别加以规定。这一模式可以避免因“一刀切”而对企业施加过多的限制，减少立法干预，以便充分发挥技术优势。同时，美国确立了重数据自由流动而轻政府监管的路径，奉行以市场为主导、以行业自律为中心的信息隐私政策。③该模式对个人数据隐私保护的力度较小，认证门槛相对较低，有利于促进数据自由流动。以美国主导建立的亚太经合组织(APEC)跨境隐私规则体系为例，企业以自愿为原则，通过自我评估和问责代理机构评估后即可获得认证，获得认证的企业相互之间可以自由传输数据，其实质是强制加入国放弃其国内的高保护水平，转而认同美国较低的保护水平。④此外，根据2018年颁布的《澄清境外数据合法使用法案》(CLOUD法案)，美国通过“数据控制者标准”对境外数据确立了“长臂管辖权”，使美国政府可以合法地批量获取来自全球的数据。概言之，美国模式具有强烈的保护企业商业利益的色彩和自由市场体制特征，政府监管力度小，对个人数据的隐私保护较为宽松，这降低了进行数据跨境流动的门槛，有利于使全球跨境数据最大程度地流向美国。

与之相对的是，欧盟极为强调个人数据流动中的隐私权保护，确立了统一的、系统化的立法模式，将权利明确赋予数据主体，强调政府自上而下的监管作用。1995年，欧洲议会与欧盟理事会颁布了《关于涉及个人数据处理的个人保护以及此类数据自由流动的第95/46/EC号指令》(简称《个人数据保护指令》)，明确规定成员国应当保护与个人数据处理相关的隐私权。2000年欧盟颁布的《欧洲联盟基本权利宪章》是全球第一份将数据保护列为一项基本人权的法律文件。⑤2018年5月25日，欧盟又通过了《通用数据保护条例》(GDPR)，使之取代《个人数据保护指令》成为欧盟对个人数据保护问题的统一立法，通过赋予数据主体更多权利、对数据控制者实施更加严格的限制以及成员国全面遵守该条例并转化为国内法加以实施的义务，进一步加强了对公民数据和隐私的保护。

根据欧盟相关立法，个人数据可通过三种方式传输出境：其一，当第三国对欧盟个人数据的保护水平实质上等同于欧盟内部确保的保护水平时，由欧盟委员会通过一个“充分性决定”(AdequacyDecision)认定该国已达到充分保护标准，允许将欧盟公民的个人数据传输给该国。⑥其二，通过“标准合同条款”和“有约束力的公司规则”等例外措施，在确保有关数据得到适当保护的前提下允许将个人数据传输出境。①其三，欧盟还规定了在获得用户明确同意或为公共利益考虑等特殊情况下的减损条款，允许将欧盟个人数据传输出境。通过上述规定，欧盟确立了高水平的隐私保护标准，并且通过“充分性决定”等“传导机制”撬动其他意图获得欧盟个人数据的国家，使之达到或者至少接近欧盟对数据和隐私的高水平保护标准。

美欧在跨境数据流动规则上的分歧，既体现了双方在数据和隐私保护问题上的理念差异，同时也直接关涉美欧围绕科技和产业主导地位的竞争。为此，美欧在跨境数据流动领域进行了多轮博弈。

第一轮博弈体现为美欧在2000年签订《安全港协议》(SafeHarborFramework)前后展开的较量。由于1998年正式生效的欧盟《个人数据保护指令》禁止将个人数据传输到未提供“充分保护”的第三国，美国政府在商业利益的驱动下主动提出了“安全港建议”并与欧盟展开谈判，以期解决二者在规则上的差异。2000年12月，美欧签订了第一份个人数据传输协议《安全港协议》，欧盟委员会在此基础上作出了《安全港决定》，认定美国可以为欧盟公民的数据提供充分保护。《安全港协议》参照《个人数据保护指令》制定了七项隐私原则，②自愿选择加入《安全港协议》的美国企业必须遵守这些原则并提出具体落实方案;同时，欧盟在政府机构的监管方面采取了严格的态度，根据美国的隐私保护政策不受政府机构监管的美国企业(如电信业、银行业等)不得加入该协议。可以说，《安全港协议》是美国向欧盟隐私保护制度的首次让步。

2013年美国“斯诺登事件”的爆发使美欧在数据保护问题上陷入了信任危机，并因此展开了双方的第二轮博弈。根据美国国家安全局职员爱德华•斯诺登(EdwardSnowden)曝光的绝密文件，美国长期对本国及其他国家的通信开展大规模秘密监控，包括直接从微软、苹果、谷歌、脸书等9个互联网巨头的服务器收集信息;监控对象不仅包括美国公民，还包括在美国境外使用上述公司服务的客户。美国的大规模网络监控和对公民隐私权的严重侵犯受到了国际社会的广泛谴责，欧盟委员会也声称美国的大规模监控行为是“不可接受的”，要求美国立刻采取补救措施，重新讨论并改进《安全港协议》的内容，让欧盟重拾对美国政府的信任。③

受“斯诺登事件”影响，奥地利公民马克西米利安•施雷姆斯(MaximillianSchrems)于2013年6月25日向爱尔兰数据保护监管机构提出申诉，以欧盟个人数据因美国政府的监控行为而无法得到充分保护为由，要求禁止脸书爱尔兰公司将有关个人数据传输至其美国总部。相关行政和司法程序的结果是，爱尔兰高等法院请求欧盟法院对欧盟委员会《安全港决定》的效力加以确认，因为这直接决定着美国公司能否继续依据《安全港协议》向美国传输欧盟用户的个人数据。欧盟法院于2015年10月6日作出判决，推翻了《安全港决定》关于美国可以为欧盟个人数据提供充分保护的认定，美欧《安全港协议》由此归于无效。随后，经过双方的紧急磋商，美国政府向欧盟委员会出具了书面承诺，保证将对其“出于公共利益获取和使用个人数据”的行为加以限制并提供救济措施，包括承诺建立一个新的国家安全干预监督机制，即独立于美国情报部门的“隐私盾监察员”。在此基础上，美欧于2016年7月达成第二份跨境数据传输协议，即《隐私盾协议》(PrivacyShieldFramework)，欧盟委员会也据此做出了美国可以对传输至美国的个人数据提供充分保护的《隐私盾决定》。《隐私盾协议》对个人数据隐私保护的标准比《安全港协议》更为严格，不仅规定美国情报机构以国家安全为由从欧盟采集个人数据时必须受到约束和限制，还新增了年度联合审查机制，防止美国政府和企业不履行协议的内容。

《隐私盾协议》的签订是美国向欧盟隐私保护制度的第二次让步。但是，这并未使美欧之间围绕跨境数据流动规则的博弈和争夺风平浪静。早在《安全港协议》被判无效后的2015年12月1日，施雷姆斯就再次向爱尔兰数据保护监管机构提出申诉，认为脸书爱尔兰公司即便根据“标准合同条款”向美国总部传输欧盟的个人数据，也无法确保这些数据得到充分保护。2017年10月3日，爱尔兰高等法院对美国的相关法律和措施进行审查后认为，美国没有为欧盟公民提供实质上等同于欧盟的保护水平，这与2016年7月欧盟委员会《隐私盾决定》得出的结论不符。为此，爱尔兰高等法院请求欧盟法院对“标准合同条款”和《隐私盾决定》的效力加以确认，由此揭开了美欧之间新一轮博弈的“大幕”。

二、《隐私盾协议》被判无效案件的主要法律问题

2020年7月16日欧盟法院作出的判决，尽管没有否定根据“标准合同条款”向美国传输欧盟个人数据的合法性，但却认定美国未能提供实质上等同于欧盟的保护水平，欧盟委员会的《隐私盾决定》以及美欧之间的《隐私盾协议》无效。这一判决作为美欧跨境数据流动规则博弈的最新表现，引发了国际社会的广泛关注。对该判决涉及的主要法律问题进行分析，有助于深入理解美欧跨境数据规则博弈的态势和未来走向。

欧盟法院的审查主要围绕《隐私盾决定》第1条第1款进行，欧盟委员会在该款中认定美国为欧盟个人数据提供的保护水平实质上等同于欧盟内部确保的保护水平，因而其可以为相关欧盟数据提供充分的保护。美国政府对传输到美国的个人数据开展情报活动所依据的法律法规是《外国情报监视法》第702条和第12333号行政命令，第28号总统政策指令(PPD-28《信号情报活动》)则规定了美国实施信号情报活动所应遵守的程序和限制，对美国情报部门具有约束力。①欧盟法院从两个方面对美国的保护水平进行了分析。

首先，美国对欧盟个人数据开展的情报活动是否符合比例原则?

《欧洲联盟基本权利宪章》(以下简称《宪章》)第7条规定：“人人均有权要求尊重其私人与家庭生活、住居及通信。”该《宪章》第8条第1款规定：“人人均有权享有个人信息之保护。”虽然第7条和第8条所保护的权利不是绝对的，可能会因国家安全或公共利益等因素受到限制，但根据《宪章》第52条第1款的规定，对《宪章》所规定权利的限制必须符合“比例原则”，即只有在具有必要性且符合欧盟承认的一般权利的目的或需要保护他人的权利和自由时，才可以对权利加以限制。根据欧盟的判例法，比例原则要求对欧盟个人信息权和隐私权进行限制的立法必须明确规定限制措施的范围和适用，并且明确规定最低限度的保障措施。②

《外国情报监视法》第702条允许美国情报部门在政府的监督下收集有关国际恐怖分子、武器扩散者和位于美国境外的其他重要外国情报目标的关键情报。这一规定被美国政府视为最有效的外国情报工具之一，也是其至关重要的国家安全工具。③根据《外国情报监视法》设立的“外国情报监控法院”，其主要任务是根据司法部部长和国家情报总监提交的年度证明对“棱镜计划”等特定监控计划加以审查，核实这些监控计划是否出于获取外国情报信息的目的。