張金平

(北京大學(xué)法學(xué)院，北京 100087)

?

跨境數(shù)據(jù)轉(zhuǎn)移的國際規(guī)制及中國法律的應(yīng)對
——兼評我國《網(wǎng)絡(luò)安全法》上的跨境數(shù)據(jù)轉(zhuǎn)移限制規(guī)則

張金平

(北京大學(xué)法學(xué)院，北京 100087)

在國家層面，世界上近七十個國家基于GATS隱私例外條款依法限制跨境數(shù)據(jù)轉(zhuǎn)移：假定第三國的數(shù)據(jù)保護水平不及本國，如果企業(yè)將數(shù)據(jù)從本國轉(zhuǎn)移到第三國，則屬于規(guī)避本國法律，應(yīng)當(dāng)予以限制；在具體操作上，有第三國適當(dāng)性評估、數(shù)據(jù)控制者擔(dān)保和數(shù)據(jù)主體的同意等三種模式可供選擇。在國際層面，OECD指南和《APEC隱私框架》均為推薦性指南，而TPP、TTIP和TISA在跨境數(shù)據(jù)轉(zhuǎn)移方面擱置爭議、回歸GATS規(guī)則基本成為定局。在這一背景下，我國《網(wǎng)絡(luò)安全法》在跨境數(shù)據(jù)轉(zhuǎn)移規(guī)制方面比較好地做到了消費者利益、產(chǎn)業(yè)利益和國家安全利益的平衡；國內(nèi)市場和國際市場的平衡；國內(nèi)立法和國際規(guī)則的平衡。

隱私；國家安全；個人數(shù)據(jù)；跨境數(shù)據(jù)轉(zhuǎn)移；國際規(guī)則；網(wǎng)絡(luò)安全法

在全球化和數(shù)字化背景下，個人數(shù)據(jù)跨平臺、跨法域的收集、存儲、處理、使用和轉(zhuǎn)移已經(jīng)成為常態(tài)?？缇硵?shù)據(jù)流動有利于促進技術(shù)的革新、經(jīng)濟的發(fā)展以及縮小各國的經(jīng)濟文化差異，甚至有利于打擊跨國犯罪和恐怖主義。然而，企業(yè)進行個人數(shù)據(jù)轉(zhuǎn)移也可能是為了規(guī)避本國保護個人數(shù)據(jù)方面的法律，并濫用這些數(shù)據(jù)侵害相關(guān)主體的個人數(shù)據(jù)權(quán)或隱私權(quán)，甚至，這些數(shù)據(jù)可能被第三國政府用于跨國情報監(jiān)聽。因此，出于對公民合法權(quán)益的保護、企業(yè)的監(jiān)管以及國家安全的考慮，世界各國大多對個人數(shù)據(jù)進行不同程度地立法保護，限制個人數(shù)據(jù)的跨境轉(zhuǎn)移。例如，歐盟1995年《數(shù)據(jù)保護指令》(以下簡稱：《指令》)和2016年《通用數(shù)據(jù)保護條例》(以下簡稱：《通用條例》)都明確限制跨境數(shù)據(jù)轉(zhuǎn)移。在此種立法壓力下，為了本國企業(yè)在歐盟的利益，美國政府于2001年和2016年先后被迫向歐盟委員會妥協(xié)，簽訂安全港框架協(xié)議和隱私盾協(xié)議。又如，我國的全國人大常委會在2015年7月和2016年6月先后發(fā)布《網(wǎng)絡(luò)安全法》草案一稿和草案二稿，其中規(guī)定企業(yè)在中國境內(nèi)存儲個人數(shù)據(jù)，經(jīng)安全評估后方可跨境轉(zhuǎn)移。2016年11月7日，全國人大常委會通過了我國《網(wǎng)絡(luò)安全法》，該法第37條保留了草二稿第35條提供的方案，規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施的運營者因業(yè)務(wù)需要，確需向境外提供個人信息和重要數(shù)據(jù)的，應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行安全評估。

考慮到不少外國企業(yè)和部分政府對于上述方案仍有若干批評意見，*See United States Council for International Business, Aug. 2016 Letter on PRCG Cybersecurity Regulations, available at http://www.uscib.org/uscib-content/uploads/2016/08/Aug-2016-Letter-on-PRCG-Cybersecurity-Regulations-final-EN.pdf, last visited Oct. 22, 2016.筆者于本文中擬結(jié)合關(guān)于跨境數(shù)據(jù)轉(zhuǎn)移的現(xiàn)有國際規(guī)則以及未來十年內(nèi)可能的發(fā)展趨勢，嘗試從國際法和國內(nèi)法相交錯的視角客觀評價我國《網(wǎng)絡(luò)安全法》的有關(guān)規(guī)定，并就未來關(guān)鍵信息基礎(chǔ)設(shè)施運營者的跨境數(shù)據(jù)轉(zhuǎn)移的安全評估辦法的制定提出若干建議。

一、跨境數(shù)據(jù)轉(zhuǎn)移國際規(guī)制的緣起

通常而言，跨境數(shù)據(jù)轉(zhuǎn)移是指數(shù)據(jù)在不同法域之間流動。*European Union Agency for Fundamental Rights, the Council of Europe and the Registry of the European Court of Human Rights, Handbook on European Data protection law, Publications Office of the European Union, 2014, p.130. See also Christopher Kuner, Transborder Data Flows and Data Privacy Law, Oxford University Press, 2013, p.11.使用“轉(zhuǎn)移”的稱謂，主要是考慮了數(shù)據(jù)流動中涉及的兩個不同法域下的不同主體。跨境數(shù)據(jù)轉(zhuǎn)移面臨的問題，主要是指數(shù)據(jù)出口國(數(shù)據(jù)流出國)和數(shù)據(jù)進口國(數(shù)據(jù)流入國)之間對于數(shù)據(jù)保護和數(shù)據(jù)跨境監(jiān)管的法律沖突與調(diào)和。

(一)歐美經(jīng)濟政治博弈所引發(fā)的法制變革

二十世紀(jì)七十年代，美國的阿帕網(wǎng)開始由軍用轉(zhuǎn)為民用，逐漸發(fā)展成為人們熟知的互聯(lián)網(wǎng)。美國的IBM等公司依靠其技術(shù)和商業(yè)優(yōu)勢在世界各國(尤其是歐洲發(fā)達國家)開展跨國業(yè)務(wù)，每年出口超過120億美元的計算機設(shè)備和系統(tǒng)，并通過這些設(shè)備和系統(tǒng)形成的局域網(wǎng)及互聯(lián)網(wǎng)，收集、存儲和跨境轉(zhuǎn)移大量數(shù)據(jù)，掌握其他國家絕大多數(shù)的政府機構(gòu)、企業(yè)、科研機構(gòu)、個人的信息，搶占了全球與計算機有關(guān)產(chǎn)業(yè)的半壁江山。*Garry S. Grossman, “Transborder Data Flow: Separating the Privacy Interests of Individuals and Corporations”, 4 Nw. J. Int'l L.&Busi. 1, 4 (1980).對此，歐洲共同體委員會在1973年指出，在數(shù)據(jù)處理產(chǎn)業(yè)，歐共體內(nèi)部還沒有足夠大的公司(即使是最大的幾家大公司合并仍不夠大)能夠與美國第二梯隊的公司進行競爭，更別說與美國處于第一梯隊的IBM公司競爭。*Commission of the European Communities, Towards a European Policy on the EDP Industry, III/1005/73-E, p.10 (1973).歐共體理事會在1974年指出，目前全世界數(shù)據(jù)處理產(chǎn)業(yè)的結(jié)構(gòu)很不平衡，歐共體內(nèi)部的數(shù)據(jù)處理應(yīng)用令人堪憂，因此有必要在進出口信息處理系統(tǒng)、航空管制數(shù)據(jù)處理系統(tǒng)、計算機輔助設(shè)計等數(shù)據(jù)處理行業(yè)進行重點投入，并且在歐共體內(nèi)部采取統(tǒng)一的數(shù)據(jù)處理政策，爭取在二十世紀(jì)八十年代建立起歐共體強大的計算機相關(guān)產(chǎn)業(yè)。*EC Committee of Economic and Monetary Affairs, Report on the Communication from the Commission of the European Communities to the Council (Doc. 21/75) Containing Initial Proposals for Priority Projects in Data Processing, PE 40.502/fin, p.11 (1975).事后看，歐洲方面的擔(dān)心并不是杞人憂天——2013年的“棱鏡門事件”便是最好的證據(jù)。

1.美國反對歐洲各國制定個人數(shù)據(jù)保護法限制數(shù)據(jù)轉(zhuǎn)移

面對前所未有的挑戰(zhàn)，歐洲各國紛紛開始思考法制應(yīng)對之策。

前西德的黑森州在1970年通過世界上第一部《數(shù)據(jù)保護法》，并成立數(shù)據(jù)保護委員會，專門監(jiān)管黑森州政府官方文件(但不適用于個人文件)的存儲、傳輸，防止非法地獲取、修訂和破壞。*Electronic Privacy Information Center, “Computers and Privacy: The Reaction in Other Countries”, available at https://epic.org/privacy/hew1973report/appenb.htm , last visited June 26, 2016.由此可見，前西德的數(shù)據(jù)保護法其實是傾向于從政府安全的角度進行立法。該法通過后，前西德其他州也相繼通過類似的法律。

瑞典在1973年選擇從保護個人數(shù)據(jù)的角度通過《瑞典數(shù)據(jù)保護法》。該法是世界上第一部明確限制個人跨境數(shù)據(jù)轉(zhuǎn)移的法律：設(shè)立瑞典數(shù)據(jù)監(jiān)管委員會，所有自動處理個人數(shù)據(jù)的計算機系統(tǒng)須經(jīng)數(shù)據(jù)監(jiān)管委員會許可后才能設(shè)立，所有跨境數(shù)據(jù)轉(zhuǎn)移都必須事先獲得數(shù)據(jù)監(jiān)管委員會的批準(zhǔn)。同時，該法還首次明確賦予個人數(shù)據(jù)權(quán)，包括知情、同意權(quán)，獲取、修訂權(quán)。*Ibid.這部法律不僅限制美國企業(yè)處理瑞典公民的個人數(shù)據(jù)，也給瑞典公民個人在互聯(lián)網(wǎng)上開展活動(如設(shè)立BBS)設(shè)置了障礙，因此受到很多自由言論人士的詬病。

法國議會在1972年曾提議進行個人數(shù)據(jù)保護立法，但當(dāng)時法國國內(nèi)對于《法國民法典》第9條規(guī)定的隱私權(quán)與計算機處理的個人數(shù)據(jù)之間的關(guān)系并沒有達成共識：民法典的隱私權(quán)范疇只是由法院來界定的，而在實踐中個人能夠?qū)τ嬎銠C處理的個人數(shù)據(jù)提出何種主張并不確定。*Ibid.直到1978年，法國才通過《信息技術(shù)、數(shù)據(jù)文件與民事自由法》，首次超越《法國民法典》有關(guān)隱私的規(guī)定，明確賦予法國公民對其個人數(shù)據(jù)享有系列權(quán)利：知情同意權(quán)、反對權(quán)、獲取權(quán)、修改權(quán)、被遺忘權(quán)(the right to be forgotten)。數(shù)據(jù)控制者收集和處理個人數(shù)據(jù)必須基于合法目的，且事先獲得數(shù)據(jù)主體的同意。*Library of Congress of United States, “Online Privacy Law: France”, available at http://www.loc.gov/law/help/online-privacy-law/france.php#_ftn1 , last visited June 26, 2016.

之后，丹麥、奧地利、挪威、盧森堡、英國、葡萄牙、西班牙、比利時等國都從個人數(shù)據(jù)保護的角度、相繼出臺了個人數(shù)據(jù)保護法，并以明示(如瑞典)或默示(如法國)的方式限制數(shù)據(jù)的跨境轉(zhuǎn)移。

歐洲國家選擇以個人數(shù)據(jù)保護為由限制數(shù)據(jù)的跨境轉(zhuǎn)移，引起了美國企業(yè)界和政府的強烈反對。對于美國企業(yè)而言，數(shù)據(jù)就是金錢，切斷數(shù)據(jù)流動就等于扼住美國企業(yè)的喉嚨。*Jane A. Zimmerman, “Transborder Data Flows: Problems with the Council of Europe Convention, or Protecting States from Protectionism”, 4 N.W. J. INT'L L. & Bus 601, 604-605 (1982). See also The Economist, Data, Data Everywhere: A Special Report on Managing Information, February 27, 2010.美國駐經(jīng)濟合作與發(fā)展組織代表黛安娜·杜根曾這樣指責(zé)歐洲國家的有關(guān)做法：“如果這些數(shù)據(jù)立法的目的是為了保護公共秩序、財產(chǎn)權(quán)或扼制潛在競爭對手其它方面的發(fā)展，那么這些目的都應(yīng)當(dāng)在立法中直接進行明確。我們不接受以‘保護文化完整性’等借口進行信息控制，特別是這些立法常常只是經(jīng)濟保守主義或是言論監(jiān)控的幌子。我們認為，信息跨境自由流動是民主社會的傳統(tǒng)，我們的法律制度應(yīng)當(dāng)設(shè)計為鼓勵信息自由獲取、限制信息濫用?！?Diana Lady Dougan, OECD Second Symposium on TBDF, in London, England 11-13 (Dec. 1983), quoted in Ronald Wellington Brown, “Economic and Trade Related Aspects of Transborder Data Flow: Elements of a Code for Transnational Commerce”, 6 NW. J. INT'L L. & BUS. 1, 20 (1984).

2.OECD指南的有限協(xié)調(diào)

由于各國經(jīng)濟發(fā)展越來越受跨境數(shù)據(jù)轉(zhuǎn)移的影響，歐洲各國不同數(shù)據(jù)保護法不僅給這些國家與美國的跨境數(shù)據(jù)轉(zhuǎn)移造成影響，也限制了歐洲國家之間的數(shù)據(jù)轉(zhuǎn)移。因此，歐共體委員會在1976年就開始召集各成員國在經(jīng)濟合作與發(fā)展組織(OECD)的代表，共同研究解決方案。*EU Commission, Report Concerning the Developments in the Data-Processing Sector in the Community in Relation to the World Situation, Volume III, COM (76) 524 final Vol. III, 27 October 1976.歐洲各國在歐共體委員會的組織和努力下，聯(lián)合加拿大和澳大利亞等國，于1980年使《關(guān)于隱私保護和個人跨境數(shù)據(jù)轉(zhuǎn)移的指南》(以下簡稱：OECD指南)得以通過。

OECD指南包括5部分22條。第1部分為一般條款，規(guī)定該指南為數(shù)據(jù)保護的最低標(biāo)準(zhǔn)。第2部分規(guī)定成員國內(nèi)部適用層面的8大數(shù)據(jù)處理原則，包括限制收集原則、數(shù)據(jù)質(zhì)量原則、目的明確原則、使用限制原則、安全保障原則、透明原則、個人參與原則和責(zé)任原則。第3部分規(guī)定國際適用層面數(shù)據(jù)跨境自由流動和正當(dāng)限制的基本原則：成員國應(yīng)當(dāng)避免以隱私保護和個人自由為名義出臺立法或政策限制數(shù)據(jù)的自由流動；但特殊情況下可以限制跨境數(shù)據(jù)轉(zhuǎn)移。所謂特殊情況，指的是成員國認為其他成員國未對特定類型數(shù)據(jù)采取同等保護。

實踐中，雖然歐共體委員會及其成員國對OECD指南充滿希望，但它僅是推薦性指南，并沒有強制力，無法真正統(tǒng)一歐洲各國的立法，美國也未采納它。

為了堅定歐洲各國的立場、進一步協(xié)調(diào)歐洲共同體成員國的數(shù)據(jù)保護立法，歐共體理事會在1981年出臺《關(guān)于個人數(shù)據(jù)自動處理過程涉及的各國監(jiān)管機構(gòu)與跨境數(shù)據(jù)轉(zhuǎn)移的個人保護公約》(以下簡稱：歐共體公約)。與OECD指南不同的是，該公約對歐共體成員國具有約束力，其內(nèi)容簡短，目的明確。該公約僅3條，其第2條規(guī)定向非成員國進行跨境數(shù)據(jù)轉(zhuǎn)移的前提是該非成員國對個人數(shù)據(jù)提供了適當(dāng)保護；所謂適當(dāng)保護的評估，成員國當(dāng)局既可以根據(jù)非成員國的立法確定，也可以通過對數(shù)據(jù)轉(zhuǎn)移合同條款的評估而決定。從效果上看，該公約強化了歐洲國家對于數(shù)據(jù)跨境流動的立場，也導(dǎo)致歐美在數(shù)據(jù)跨境問題上的分歧越來越大。盡管如此，歐共體議會下設(shè)的法律委員會仍不滿意。在1981年12月，該委員會建議歐共體議會考慮，“將個人數(shù)據(jù)保護的權(quán)利以一種人權(quán)明確規(guī)定在《歐洲人權(quán)公約》第六議定書的可行性和必要性。基于OECD指南和歐共體公約，我們已經(jīng)采取了具體措施來協(xié)調(diào)成員國數(shù)據(jù)保護法，下一步就要考慮歐共體層面是否有必要出臺更強有力的法律”。*Legal Affairs Committee of European Parliament, Second Report on the Protection of the Rights of the Individual in the Face of Technical Developments in Data Processing, 1981-1982 Eur. Parl. Doc. (No.1-548) (1981), quoted in Ronald Wellington Brown, supra note 11, p.23.

(二)WTO隱私保護例外條款及其對各國法制變革的影響

在國際法律層面，歐美之間的分歧并沒有得到有效解決。然而，這種通過個人數(shù)據(jù)保護限制跨境數(shù)據(jù)轉(zhuǎn)移的做法，在1994年WTO框架下的《服務(wù)貿(mào)易總協(xié)定》(GATS)中得到了明確——成員國可以隱私保護為由限制跨境服務(wù)貿(mào)易。

1.GATS隱私保護例外條款

GATS是第一個規(guī)范跨境服務(wù)貿(mào)易的國際條約，目的在于協(xié)調(diào)各成員國在服務(wù)貿(mào)易方面的法律和政策，在適用范疇上覆蓋了除政府部門提供的服務(wù)和空運服務(wù)之外的其他所有服務(wù)，其成員國達到140多個。GATS將服務(wù)細分成四種形式：跨境交付；境外消費；在他國設(shè)立商業(yè)存在；通過派遣職員到他國提供服務(wù)。因此，電子商務(wù)自然被納入其中。成員國一旦以積極列表的方式承諾了納入GATS規(guī)制的服務(wù)，就受到GATS的管轄。

由于跨境服務(wù)貿(mào)易政策不可避免地涉及成員國的主權(quán)和國內(nèi)政策，GATS第14條“一般例外”條款規(guī)定了成員國可以在一定條件下——“如果下列措施的實施在相同情況的國家間不構(gòu)成任意的或者無端的歧視，或者不構(gòu)成變相的服務(wù)貿(mào)易限制”——采取的四大類措施：(a)為保護公共道德或維持公共秩序的必要措施；(b)為保護人類、動物、植物的生命和健康而采取的措施；(c)為了確保與本協(xié)定不會構(gòu)成不一致的法律或法規(guī)得到遵守所必需采取的措施；(d)雖然與第17條不一致，但該措施針對另一成員國的服務(wù)或服務(wù)提供者收取公平有效的直接稅收，以及雖然與第2條不一致，但該措施涉及的不同待遇是為了避免雙重課稅。GATS第14條第(c)款又細分了三種可采取例外措施的情形：(1)防止欺詐或處理服務(wù)合同違約而產(chǎn)生的影響；(2)保護數(shù)據(jù)處理和傳播中的個人隱私和個人記錄及賬戶的保密性(以下簡稱：“隱私例外條款”)；(3)安全(以下簡稱：“安全例外條款”)。

由此可見，歐洲各國在歐共體委員會的聯(lián)合組織下，成功通過WTO“一國一票”的投票規(guī)則，將成員國對數(shù)據(jù)處理和傳播過程中的個人數(shù)據(jù)保護立法轉(zhuǎn)變?yōu)橐环N合法限制國際自由貿(mào)易的措施。

2.歐盟《關(guān)于個人數(shù)據(jù)自動處理和自由流動的個人保護指令》及其影響

基于GATS隱私例外條款提供的國際法依據(jù)，以及歐盟經(jīng)濟一體化的目標(biāo)，歐盟在1995年快速通過了《關(guān)于個人數(shù)據(jù)自動處理和自由流動的個人保護指令》(以下簡稱：《指令》)，名正言順地限制成員國向非成員國的跨境數(shù)據(jù)轉(zhuǎn)移。

《指令》以法國數(shù)據(jù)保護法和OECD指南為藍本，分8章34條。其第2章規(guī)定合法處理個人數(shù)據(jù)的基本原則：合法處理原則；目的限制原則；同意處理原則；敏感信息特別處理原則；處理與言論自由沖突時的比例原則；透明原則；保密處理和安全處理原則。其第4章規(guī)定數(shù)據(jù)向非成員國跨境轉(zhuǎn)移的規(guī)則?！吨噶睢反蟠髲娀藲W盟各國個人數(shù)據(jù)的保護水平，明確了成員國必須設(shè)立數(shù)據(jù)監(jiān)管部門進行個人跨境數(shù)據(jù)轉(zhuǎn)移的事先審查制度和批準(zhǔn)制度?！吨噶睢穼W盟28個成員國有約束力，各成員國必須通過國內(nèi)立法予以執(zhí)行。

不僅如此，《指令》還掀起了其他國家和地區(qū)進行數(shù)據(jù)保護立法的新浪潮。據(jù)不完全統(tǒng)計，除了歐盟成員國執(zhí)行《指令》之外，冰島、阿根廷、墨西哥、毛里求斯、韓國、日本等七十多個國家和地區(qū)參考《指令》制定了有關(guān)數(shù)據(jù)保護的規(guī)定。*Christopher Kuner, “Regulation of Transborder Data Flows under Data Protection and Privacy Law: Past, Present, and Future”, TILT Law & Technology Working Paper, No.016/2010, p.5. See also Baker & McKenzie Global Privacy Handbook 2016.有69個國家和地區(qū)的有關(guān)數(shù)據(jù)保護的規(guī)定明確限制跨境數(shù)據(jù)轉(zhuǎn)移：歐盟28個成員國、3個歐盟經(jīng)濟區(qū)國家(冰島、挪威、列支敦斯登)、歐洲14個其他國家和地區(qū)(瑞士、盧森堡、圣馬力諾、阿爾巴尼亞、安道爾、波黑、克羅地法羅群島、根西島、馬恩島、澤西島、馬其頓、摩爾多瓦、摩納哥、塞爾維亞)、北美洲3個國家(加拿大、巴哈馬、墨西哥)、南美洲3個國家(阿根廷、哥倫比亞、烏拉圭)、非洲6個國家(貝寧、布基納法索、毛里求斯、摩洛哥、塞內(nèi)加爾、突尼斯)、亞洲10個國家和地區(qū)(亞美尼亞、迪拜自貿(mào)區(qū)、以色列、馬來西亞、韓國、我國臺灣地區(qū)、我國香港特別行政區(qū)、我國澳門特別行政區(qū)、俄羅斯)、大洋洲2個國家(新西蘭、澳大利亞)。由此，《指令》被稱為世界數(shù)據(jù)保護立法的引擎。*Birnhack, Michael, “The EU Data Protection Directive: An Engine of a Global Regime”, Computer Law & Security Report, Vol. 24, No.6, 2008. See also Gregory Shaffer, “Globalization and Social Protection: The Impact of EU and International Rules in the Ratcheting Up of U.S. Privacy Standards”, 25 Yale J. Int'l L. 1, 4 (2000).

二、各國跨境數(shù)據(jù)轉(zhuǎn)移限制的立法模式及其利弊

縱觀世界各國數(shù)據(jù)限制性立法，其背后的基本邏輯都是推定第三國的個人數(shù)據(jù)保護水平?jīng)]有達到本國的同等水平，進而以保護個人數(shù)據(jù)為名限制數(shù)據(jù)的跨境轉(zhuǎn)移，認為如果企業(yè)將個人數(shù)據(jù)從本國轉(zhuǎn)移到第三國就構(gòu)成規(guī)避本國法律。因此，為了支撐這個假定，世界各國在進行數(shù)據(jù)保護立法時，基本上都援引憲法，歐盟更是將個人數(shù)據(jù)權(quán)獨立于隱私權(quán)而直接規(guī)定于《歐盟基本權(quán)利憲章》第8條。

雖然限制跨境數(shù)據(jù)轉(zhuǎn)移的假設(shè)性前提是第三國的個人數(shù)據(jù)保護水平不及本國，但全球化背景下企業(yè)進行跨境數(shù)據(jù)轉(zhuǎn)移卻是國際貿(mào)易的必然需求。事實上，完全禁止跨境數(shù)據(jù)轉(zhuǎn)移并不現(xiàn)實，也無法操作，而且還背負經(jīng)濟保護主義的罵名。因此，各國在限制跨境數(shù)據(jù)轉(zhuǎn)移的時候，也提供了推翻這個假設(shè)性前提的不同機制：一是本國對第三國的個人數(shù)據(jù)保護水平進行適當(dāng)性評估；二是數(shù)據(jù)出口者擔(dān)保數(shù)據(jù)進口者遵守本國個人數(shù)據(jù)保護法；三是數(shù)據(jù)主體通過同意等方式自愿放棄在第三國享受等同本國保護水平的待遇。具有代表性的國家和地區(qū)限制跨境數(shù)據(jù)轉(zhuǎn)移的立法模式有以下三種。

(一)第三國適當(dāng)性評估模式

《指令》第四章專門規(guī)定個人數(shù)據(jù)向非成員國跨境轉(zhuǎn)移的規(guī)則。其第25條規(guī)定，成員國必須確?？缇硵?shù)據(jù)轉(zhuǎn)移的前提是第三國為個人數(shù)據(jù)提供了適當(dāng)水平的保護，第三國適當(dāng)性評估由歐盟委員會根據(jù)第三國的所有情況(包括國內(nèi)法、國際承諾、與歐盟委員會關(guān)于適當(dāng)性談判的結(jié)果)以決議形式作出。

實踐中，歐盟委員會的評估非常嚴(yán)苛，目前僅有11個國家和地區(qū)獲得適當(dāng)性評估：安道爾、阿根廷、加拿大、瑞士、法羅群島、根西島、馬恩島、澤西島、以色列、新西蘭、烏拉圭東岸共和國。另外，美國商務(wù)部在2001年通過與歐盟委員會簽訂安全港框架協(xié)議而被認定為通過了適當(dāng)性評估。不過，“棱鏡門事件”之后，歐盟法院通過施姆雷斯案判決該協(xié)議無效。*Case C-362/14 Maximillian Schrems v Data Protection Commissioner.2016年2月2日，美國商務(wù)部進一步向歐盟委員會讓步，簽訂隱私盾協(xié)議。*European Commission, Restoring Trust in Transatlantic Data Flows through Strong Safeguards: European Commission Presents EU-U.S. Privacy Shield, IP/16/433.

此后，歐盟于2016年4月27日通過替代《指令》的《通用條例》，進一步強化了第三國適當(dāng)性評估的要求?！锻ㄓ脳l例》第45條詳細規(guī)定了歐盟委員會對第三國進行適當(dāng)性評估時應(yīng)當(dāng)考慮的因素：一是第三國的法治情況，包括了是否尊重人權(quán)、是否有具體立法保護個人數(shù)據(jù)、是否有跨境數(shù)據(jù)轉(zhuǎn)移規(guī)則、對個人數(shù)據(jù)權(quán)保護的執(zhí)法和司法情況等；二是否有專門機構(gòu)負責(zé)數(shù)據(jù)保護的執(zhí)法；三是已經(jīng)締結(jié)的、涉及個人數(shù)據(jù)保護的多邊條約或雙邊條約。

歐盟的適當(dāng)性評估的標(biāo)準(zhǔn)非常抽象和主觀，因此受到不少學(xué)者的詬病。例如，歐盟隱私法專家?guī)炖罩赋觯骸巴饨缙毡檎J為歐盟做出適當(dāng)性評估的程序過于繁瑣和低效，自《指令》生效十多年以來只有少數(shù)幾個國家或地區(qū)通過適當(dāng)性評估。另外，在評估第三國是否符合適當(dāng)性要求時還加入了政治因素的考慮?！?Christopher Kuner, supra note 14, p.39.

(二)數(shù)據(jù)控制者擔(dān)保模式

俄羅斯和澳大利亞都是《APEC隱私框架》(APEC Privacy Framework)的成員，不同程度上執(zhí)行該框架采取的有關(guān)跨境數(shù)據(jù)轉(zhuǎn)移的數(shù)據(jù)控制者擔(dān)保模式(《APEC隱私框架》屬推薦性協(xié)議)。

澳大利亞1988年的《隱私法》禁止跨境數(shù)據(jù)轉(zhuǎn)移(僅有個別例外)，但澳大利亞政府發(fā)現(xiàn)這樣的做法無法適應(yīng)日新月異的電子商務(wù)發(fā)展趨勢，*Keynote Address by Ms Hilary McGeachy from Australia Department of Foreign Affairs and Trade, WTO Workshop on E-Commerce, in Geneva, 17-18 (Jun. 2013).于是在2006年修訂該法時增訂了跨境數(shù)據(jù)轉(zhuǎn)移的機制。修訂后的澳大利亞《隱私法》編目一第三部分第8.1條規(guī)定，數(shù)據(jù)控制者在向第三國數(shù)據(jù)接收者轉(zhuǎn)移個人數(shù)據(jù)之前，原則上必須采取“在當(dāng)時情況下所有合理措施”確保第三國接收者并沒有違反澳大利亞隱私原則(透明原則除外)。對于“在當(dāng)時情況下所有合理措施”的理解，澳大利亞信息局局長辦公室發(fā)布的《澳大利亞隱私原則指南》(2014版)指出：“這是一個客觀標(biāo)準(zhǔn)，而且是數(shù)據(jù)控制者有責(zé)任去判斷是否采取了所有的合理措施?！?Office of the Australian Information Commissioner, Australia Privacy Principles Guidelines (Chapter B: Key concepts), 2014, p.22.實踐中，這一標(biāo)準(zhǔn)應(yīng)當(dāng)具體如何操作，以及這種擔(dān)保模式的效果，目前尚不清楚。*貝克·麥肯錫律師事務(wù)所在2016年發(fā)布的《全球隱私指南》中指出，數(shù)據(jù)控制者進行數(shù)據(jù)轉(zhuǎn)移登記可以滿足采取“合理措施”的要求。See Baker & McKenzie, supra note 14, p.24.

俄羅斯2006年通過的《個人數(shù)據(jù)保護法》第12條第1款規(guī)定，數(shù)據(jù)向第三國轉(zhuǎn)移的，數(shù)據(jù)控制者應(yīng)當(dāng)確認第三國提供了“充分水平的保護”。至于何為“充分水平的保護”，該法并未加以明確。不過，俄羅斯信息監(jiān)管局在2013年公布，只要第三國是歐共體公約的簽約國，或者是進入該局特別列明的國家名單，都屬于提供充分水平保護的國家。*See The Order of the Federal Service for Supervision of Communications, Information Technology and Communications of March 15, 2013 No.274, quoted in Zharova Anna, “The salient features of personal data protection laws with special reference to cloud technologies: A comparative study between European countries and Russia”, Applied Computing and Informatics, Vol. 12, No.1, p.8 (2016).值得注意的是，該法第12條第2款還規(guī)定，即使第三國提供了充分水平的保護，俄羅斯當(dāng)局也可以國家安全、國家防衛(wèi)、保護公眾合法權(quán)益為由禁止或者進一步限制數(shù)據(jù)轉(zhuǎn)移。而且，俄羅斯2014年底通過了《數(shù)據(jù)本土化法》(Federal Law No.526-FZ)，要求所有搜集俄羅斯公民個人數(shù)據(jù)的數(shù)據(jù)控制者都應(yīng)當(dāng)將其服務(wù)器設(shè)置在俄羅斯境內(nèi)。*Ibid.盡管該法并沒有直接限制跨境數(shù)據(jù)轉(zhuǎn)移，但也間接限制了數(shù)據(jù)的跨境轉(zhuǎn)移。因此，俄羅斯采取的數(shù)據(jù)控制者擔(dān)保模式，其實更類似于歐盟的第三國適當(dāng)性評估，而且更直接地體現(xiàn)了國家主權(quán)和國家安全方面的考慮。

(三)數(shù)據(jù)主體同意模式

日本《個人數(shù)據(jù)保護法》雖然沒有直接規(guī)定跨境數(shù)據(jù)轉(zhuǎn)移問題，但該法第23條規(guī)定了向第三者提供的限制。該法第23條并沒有對“第三者”進行限定，所以日本境內(nèi)的第三者以及日本境外的第三者都受該條約束。根據(jù)該法第23條的規(guī)定，個人數(shù)據(jù)控制者事先未獲得數(shù)據(jù)主體的同意的，不得將其個人數(shù)據(jù)向第三者提供，但下列四種情形除外：一是根據(jù)法律法規(guī)向第三者提供；二是為保護生命、身體和財產(chǎn)安全而有必要提供，但獲得數(shù)據(jù)主體同意卻很困難；三是為保障公共衛(wèi)生或者兒童健康而特別需要提供，但獲得數(shù)據(jù)主體同意卻很困難；四是為了配合國家機關(guān)、當(dāng)?shù)卣蛘呤跈?quán)組織履行法律法規(guī)規(guī)定的公務(wù)而有必要提供，但獲得數(shù)據(jù)主體同意將妨礙前述公務(wù)的開展。對于“同意”的做出方式，該法并沒有明確。根據(jù)日本經(jīng)濟、貿(mào)易與工業(yè)部發(fā)布的《經(jīng)濟與工業(yè)領(lǐng)域個人數(shù)據(jù)保護指南》，同意的方式包括了口頭和書面的同意，以及點擊網(wǎng)頁上有關(guān)同意的確認鍵。*Ministry of Economy, Trade and Industry, Guidelines for the APPI Concerning Fields of Economy and Industry, quoted in Mondaq, Data Protection Laws of the World Handbook: Second Edition-Japan.不過，考慮到數(shù)據(jù)主體做出同意后又可能要求數(shù)據(jù)提供者停止向第三者提供的情況，該法第23條還規(guī)定，盡管數(shù)據(jù)控制者同意了數(shù)據(jù)主體的停止請求，但隨后及時通知或者讓數(shù)據(jù)主體可以獲悉相關(guān)政策的，仍可以向第三方提供。

由此可見，在日本法規(guī)定的默示限制跨境數(shù)據(jù)轉(zhuǎn)移的機制下，跨境數(shù)據(jù)轉(zhuǎn)移考驗的是數(shù)據(jù)控制者處理數(shù)據(jù)主體做出的同意以及撤回同意的技巧，至于四種無須數(shù)據(jù)主體同意的例外情形，則仍須依賴日本當(dāng)局的個案解釋，因而存在不確定性。

(四)小結(jié)：上述三種立法模式的利弊

上述三種限制跨境數(shù)據(jù)轉(zhuǎn)移的立法模式各有其自身的利弊，并且，限制他國企業(yè)跨境轉(zhuǎn)移數(shù)據(jù)，必然會影響國際貿(mào)易和國際關(guān)系，因此各國大多根據(jù)其憲法、法律以及經(jīng)濟、政治和文化等因素選用符合自身情況的立法模式。

1.限制跨境數(shù)據(jù)轉(zhuǎn)移的優(yōu)點

一般而言，對數(shù)據(jù)的跨境轉(zhuǎn)移進行限制有三大優(yōu)點。其一，確保消費者的合法權(quán)益在其數(shù)據(jù)被轉(zhuǎn)移到第三國之后仍然得到保障。盡管世界各國基本認可隱私權(quán)是一項基本人權(quán)，但在電子商務(wù)時代，并不是每個國家都主動將隱私保護延伸至個人數(shù)據(jù)的保護上。因此，消費者個人數(shù)據(jù)可能在轉(zhuǎn)移到第三國之后無法得到有效的保護，跨境數(shù)據(jù)轉(zhuǎn)移限制是一個將本國法律延伸至域外的有效機制，它至少能夠讓第三國尊重本國的個人數(shù)據(jù)保護，并在行之有效的情況下保障個人數(shù)據(jù)在第三國獲得等同于本國的保護水平。*Christopher Kuner, supra note 14, p.33.其二，提振消費者對電子商務(wù)的信心。電子商務(wù)是計算機技術(shù)發(fā)展和應(yīng)用的產(chǎn)物，通常，人們所熟悉的是傳統(tǒng)的面對面交易，對于網(wǎng)上交易和社交的場景并不熟悉，也無法評估自己在享受電子商務(wù)的同時是否會受到個人隱私或個人數(shù)據(jù)的侵害和損失。因此，只有消費者能夠相信他們的數(shù)據(jù)得到充分的保護，他們才能繼續(xù)相信這個交易，并許可使用其個人數(shù)據(jù)，在網(wǎng)上消費。*The Economist, Data, Data Everywhere: A Special Report on Managing Information, February 27, 2010.其三，可以防止企業(yè)和第三國規(guī)避本國的個人數(shù)據(jù)保護立法，確保本國立法得到遵守和執(zhí)行，實現(xiàn)立法初衷，維護國家主權(quán)。

具體而言，不同的限制跨境數(shù)據(jù)轉(zhuǎn)移的立法模式有不同的優(yōu)點。第三國適當(dāng)性評估模式下，本國政府把握主動權(quán)，可以依法評估第三國的個人數(shù)據(jù)保護水平，給企業(yè)提供一種明確的法律預(yù)見性，減輕企業(yè)向通過評估的國家跨境轉(zhuǎn)移數(shù)據(jù)的成本。數(shù)據(jù)控制者擔(dān)保模式的優(yōu)點是讓跨境數(shù)據(jù)轉(zhuǎn)移的限制機制回歸市場機制。*Hilary McGeachy, supra note 19.換言之，企業(yè)作為市場主體，為了迎合消費者的需求，擔(dān)?？缇硵?shù)據(jù)轉(zhuǎn)移的接受者能夠遵守數(shù)據(jù)出口國的個人數(shù)據(jù)保護法，可以確保消費者個人數(shù)據(jù)的保護水平不因跨境轉(zhuǎn)移而減損，推動消費者積極消費。數(shù)據(jù)主體同意模式的優(yōu)點是讓消費者——個人數(shù)據(jù)的權(quán)利主體——全權(quán)管理自己的權(quán)利，國家并不直接干涉?zhèn)€人數(shù)據(jù)的跨境轉(zhuǎn)移。

2.限制跨境數(shù)據(jù)轉(zhuǎn)移的缺點

世界各國出于保護隱私的原因或捍衛(wèi)國家主權(quán)的原因，假定第三國的個人數(shù)據(jù)保護水平不如本國，從而選擇限制數(shù)據(jù)的跨境轉(zhuǎn)移。然而，這樣的做法與全球化大趨勢和市場機制并不融合，容易領(lǐng)受國家保守主義的罵名。具體而言，三種限制跨境數(shù)據(jù)轉(zhuǎn)移的立法模式的缺點也有所不同。

(1)第三國適當(dāng)性評估模式

第三國適當(dāng)性評估模式的最大缺點是一國政府是否會歧視性地評估第三國的個人數(shù)據(jù)保護水平，從而可能違反GATS“一般例外”條款(有關(guān)隱私保護例外)的條件——成員國采取的措施應(yīng)當(dāng)不構(gòu)成“任意的”或“無端的”歧視，或者“變相的服務(wù)貿(mào)易限制”。

目前在WTO僅有一個案件即美國網(wǎng)絡(luò)賭博案涉及GATS“一般例外”條款的解釋和適用，尚沒有出現(xiàn)直接涉及隱私例外的案件。因此，具體一國的跨境數(shù)據(jù)轉(zhuǎn)移限制立法是否違反GATS仍不清楚。

在美國網(wǎng)絡(luò)賭博案中，WTO上訴機構(gòu)指出：“GATS一般例外條款的設(shè)置方式如同《關(guān)稅及貿(mào)易總協(xié)定》(GATT)一般例外條款的設(shè)置，這兩個例外都是確認成員國有權(quán)根據(jù)在協(xié)定例外條款所列的范圍內(nèi)進行立法。盡管這樣的立法可能會與協(xié)定其他條款相違背，但只要該立法符合例外條款設(shè)定的要求即可?！?Appellate Body Report, United States-Measures Affecting the Cross-Border Supply of Gambling and Betting Services, WT/DS285/AB/R, 7 April 2005, para. 291.至于具體如何判斷成員國采取的國內(nèi)立法是否符合GATS第14條“一般例外”的要求，WTO上訴機構(gòu)提出了“雙層分析法”：“GATS第14條，一如GATT第20條，應(yīng)用‘雙層分析法’來考察一個成員國采取的措施是否合規(guī)。專家組首先應(yīng)當(dāng)確定涉案的措施是否符合第14條中某個具體例外的規(guī)定。這就要求分析涉案措施是否涉及該具體例外規(guī)定的特定利益，并且該措施與該利益是否具有充分的關(guān)聯(lián)度。(根據(jù)GATS第1條第3款，成員國采取的“措施”包括中央和地方政府以及政府授權(quán)機構(gòu)作出的措施，這些措施包括立法和政策。筆者注)所謂‘關(guān)聯(lián)度’應(yīng)當(dāng)通過使用‘與…相關(guān)’(relating to)或者‘有必要就…作出規(guī)定’(necessary to)等術(shù)語明確體現(xiàn)在涉案措施中。一旦確認涉案措施落入第14條的具體例外規(guī)定，那么專家組應(yīng)當(dāng)考慮涉案措施是否滿足第14條序言(chapeau)所設(shè)定的條件?！?Appellate Body Report, US — Gambling, para. 292.關(guān)于GATS第14條序言所設(shè)定的條件，WTO上訴機構(gòu)指出：“通過要求成員國采取的措施不應(yīng)構(gòu)成‘任意的’或‘無端的’歧視，或者‘變相的服務(wù)貿(mào)易限制’，確保了成員國可以合理利用該例外條款，又不至于影響其他成員國通過GATS獲得的權(quán)力。”*Ibid, para. 339.

在實踐中，美國曾在歐美安全港框架協(xié)議談判和隱私盾協(xié)議談判過程中提出《指令》有違反GATS“一般例外”之虞，但最后美方都選擇了讓步，未將該爭議提交到WTO。*Gregory Shaffer, supra note 15, p.8.

(2)數(shù)據(jù)控制者擔(dān)保模式

數(shù)據(jù)控制者擔(dān)保模式的缺點在于個人數(shù)據(jù)保護的重心落在企業(yè)，由此企業(yè)每次進行跨境數(shù)據(jù)轉(zhuǎn)移，都要擔(dān)保數(shù)據(jù)進口者遵守數(shù)據(jù)出口國的法律。一方面，企業(yè)的自律很難監(jiān)督，尤其是涉及數(shù)據(jù)進口者是否遵守數(shù)據(jù)出口國的法律時。另一方面，數(shù)據(jù)控制者擔(dān)保模式對于中小企業(yè)尤其是初創(chuàng)企業(yè)而言，操作起來成本過高。這一點不同于第三國適當(dāng)性評估模式——只要向通過適當(dāng)性評估的第三國轉(zhuǎn)移數(shù)據(jù)，就可以免擔(dān)保、大批量的自由轉(zhuǎn)移數(shù)據(jù)。

(3)數(shù)據(jù)主體同意模式

數(shù)據(jù)主體同意模式有三大缺點。其一，國家假定所有消費者都具備比較高的隱私保護意識和自我管理能力。事實上，并不是所有的消費者都具備這樣的能力，而且很多進行電子商務(wù)的消費者還是未成年人。其二，企業(yè)可以通過多種形式逼迫消費者為了免費服務(wù)而選擇同意。例如，企業(yè)有關(guān)用戶使用守則通常內(nèi)容非常多而且字體非常小，消費者通常不愿意細讀而直接選擇同意。其三，對于企業(yè)而言每次的跨境數(shù)據(jù)轉(zhuǎn)移都要一一獲得數(shù)據(jù)主體的同意，成本非常高。況且，云計算、大數(shù)據(jù)等技術(shù)不斷發(fā)展革新，企業(yè)所處理的個人數(shù)據(jù)量日益龐大，一一授權(quán)模式與市場發(fā)展的趨勢嚴(yán)重不符，容易讓企業(yè)(特別是中小企業(yè))喪失交易機會。

三、跨境數(shù)據(jù)轉(zhuǎn)移的國際條約及其發(fā)展趨勢

在國際層面，如果說OECD指南僅是推薦性標(biāo)準(zhǔn)，并且歐共體公約僅是歐洲共同體內(nèi)部的條約，那么1995年1月施行的GATS就是一個全球性國際條約，并且，其明確賦予WTO成員國有權(quán)以隱私保護為由通過數(shù)據(jù)保護方面的法律。WTO曾被批評為逼迫其成員國政府放棄國內(nèi)隱私立法(尤其是互聯(lián)網(wǎng)隱私領(lǐng)域)。對此，WTO專門進行過澄清：“這樣的提法很難理解。WTO對互聯(lián)網(wǎng)隱私保護從來沒有采取過任何決定和行動。WTO對互聯(lián)網(wǎng)隱私從來沒做過什么，更別說‘逼迫政府放棄國內(nèi)隱私立法’，事實上WTO在任何情況下都沒有權(quán)力這樣做。而且，GATS本身就將個人隱私保護問題納入到整個協(xié)議的框架內(nèi)。GATS第14條的一般例外條款——凌駕于協(xié)議的其他條款——就規(guī)定了政府可以在其認為必要的時候采取措施‘保護數(shù)據(jù)處理和傳播中的個人隱私和個人記錄及賬戶的保密性’。”*WTO, “GATS-Fact and Fiction”, available at https://www.wto.org/english/tratop_e/serv_e/gatsfacts1004_e.pdf, last visited May 30, 2016.總體而言，目前已經(jīng)締結(jié)的和正在談判的國際條約(如TTIP、TISA)在跨境數(shù)據(jù)轉(zhuǎn)移問題上基本都擱置爭議而回歸GATS的隱私例外規(guī)則。

(一)《APEC隱私框架》：數(shù)據(jù)控制者擔(dān)保模式

亞太經(jīng)濟合作組織(APEC)在1998年提出《電子商務(wù)行動計劃》，特別強調(diào)電子商務(wù)的未來發(fā)展不能脫離政府與商業(yè)的合作，如此才能共同確保安全可靠的信息傳輸系統(tǒng)，并處理好隱私保護的問題。*APEC, “APEC Blueprint for Action on Electronic Commerce”, available at http://www.apec.org/Meeting-Papers/Leaders-Declarations/1998/1998_aelm/apec_blueprint_for.aspx , last visited June 26, 2016.認識到有效隱私保護和信息亞太區(qū)域自由流動的平衡對于提振消費者信心和確保電子商務(wù)發(fā)展的重要性，APEC成員國在2004年達成了《APEC隱私框架》。

1.《APEC隱私框架》的理念及核心內(nèi)容

雖然《APEC隱私框架》在形式上類似OECD指南，都是由原則為核心構(gòu)建的保護框架(而且大部分原則都相類似)，都不具有約束力，不過，在指導(dǎo)思想上兩者間卻存在根本性差異：《APEC隱私框架》仍然建立在傳統(tǒng)隱私侵權(quán)法律制度之上，重點解決各成員都非常關(guān)注的意外侵害和濫用個人信息帶來的隱私侵權(quán)損害；OECD指南則鼓勵成員國建立積極的個人數(shù)據(jù)權(quán)利體系。

在這一思想的指導(dǎo)下，《APEC隱私框架》對于個人數(shù)據(jù)的范疇界定也有意排除了政府部門有關(guān)數(shù)據(jù)主體的公開紀(jì)錄、新聞報道、法律要求公開的信息等三種已經(jīng)處于公開狀態(tài)的個人數(shù)據(jù)，如果數(shù)據(jù)控制者從這三種數(shù)據(jù)源而非從數(shù)據(jù)主體處獲得(即這種獲得對于數(shù)據(jù)主體而言并不意外)，則不受該框架的約束。這就大大縮小了《APEC隱私框架》的適用范圍，有利于數(shù)據(jù)更加自由的流動。這種個人數(shù)據(jù)的界定方法不同于歐盟成員國或者歐盟采取的界定方法，后者把所有可能的個人數(shù)據(jù)都納入管轄范圍。

在該思想的指導(dǎo)下，防止損害原則成為《APEC隱私框架》九大原則之首。防止損害原則是指承認個人對于其合法預(yù)期的隱私保護，個人信息的保護制度應(yīng)當(dāng)設(shè)計成防止這些信息的濫用的制度，并且，為應(yīng)對濫用可能帶來的損害危險，成員在設(shè)計法律法規(guī)時有必要考慮對數(shù)據(jù)控制者在收集、使用和轉(zhuǎn)移個人數(shù)據(jù)上設(shè)置特定的義務(wù)，提供在侵害可能性和損害程度方面符合比例原則的救濟方式。

在防止損害原則的統(tǒng)帥下，《APEC隱私框架》的其他八個原則，即通知原則、收集限制原則、使用限制原則、選擇原則、個人數(shù)據(jù)完整性原則、安全保障原則、獲取與修改原則(但數(shù)據(jù)主體的獲取權(quán)和修改權(quán)并不是絕對的，而應(yīng)當(dāng)考慮該成本與具體個案的侵權(quán)危險程度相一致)、責(zé)任原則的設(shè)計也非常務(wù)實。

值得強調(diào)的是，責(zé)任原則要求數(shù)據(jù)控制者對第三者轉(zhuǎn)移數(shù)據(jù)(不論是境內(nèi)還是跨境)時都要事先獲得數(shù)據(jù)主體的同意，或者采取合理措施確保數(shù)據(jù)接收者遵守前述八大原則。對于責(zé)任原則的理解，有兩點值得注意。其一，該原則不同于OECD指南的責(zé)任原則，后者僅要求數(shù)據(jù)控制者本人遵守該指南的其他原則，而前者不僅要求數(shù)據(jù)控制者本人遵守《APEC隱私框架》的其他原則，還專門強調(diào)跨境數(shù)據(jù)轉(zhuǎn)移上的責(zé)任問題。其二，具體設(shè)計數(shù)據(jù)控制者在向第三方(不論是在境內(nèi)還是在境外)進行跨境數(shù)據(jù)轉(zhuǎn)移的責(zé)任時，《APEC隱私框架》提供了兩種解決方案：獲得數(shù)據(jù)主體的同意或者擔(dān)保數(shù)據(jù)接收者遵守數(shù)據(jù)出口國個人數(shù)據(jù)保護法。并且，《APEC隱私框架》還強調(diào)這兩種方案是一種互動機制，如果數(shù)據(jù)控制者與數(shù)據(jù)接收者的關(guān)系不復(fù)存在，數(shù)據(jù)控制者就無法擔(dān)保數(shù)據(jù)接收者遵守原則，此時，應(yīng)當(dāng)有數(shù)據(jù)主體的同意。

2.《APEC隱私框架》的執(zhí)行

盡管《APEC隱私框架》僅是推薦性標(biāo)準(zhǔn)，但澳大利亞、俄羅斯等14個成員通過立法予以采納。*APEC, “The Electronic Commerce Steering Group”, available at http://www.apec.org/Groups/Committee-on-Trade-and-Investment/Electronic-Commerce-Steering-Group.aspx , last visited June 26, 2016.

為了推進各成員的統(tǒng)一執(zhí)行，APEC委員會在2007年出臺《APEC跨境隱私規(guī)則體系》。數(shù)據(jù)控制者可以自由選擇采用該體系規(guī)定的“跨境隱私規(guī)則”(CBPR)，一旦獲得認證，該數(shù)據(jù)控制者就受該規(guī)則的約束。該體系有要求和法律效力兩大重點內(nèi)容。在要求上，CBPR包括以下四大要素。一是自我評估：數(shù)據(jù)控制者根據(jù)APEC制定的“跨境隱私規(guī)則問卷”進行自我評估。二是合規(guī)性審核：數(shù)據(jù)控制者將填好的問卷以及相關(guān)文件提交給APEC認證的隱私責(zé)任評估機構(gòu)，由后者按照《APEC跨境隱私規(guī)則體系》的要求進行審核。三是認證和公開：通過審核的數(shù)據(jù)控制者將公布在APEC網(wǎng)站上，公布的內(nèi)容包括該數(shù)據(jù)控制者、隱私責(zé)任機構(gòu)和隱私執(zhí)法當(dāng)局的聯(lián)系方式。四是爭議解決與執(zhí)行：獲得認證的數(shù)據(jù)控制者，將受到該CBPR的約束，隱私責(zé)任評估機構(gòu)可以按照當(dāng)?shù)胤ê秃贤瑘?zhí)行跨境隱私規(guī)則，隱私執(zhí)法當(dāng)局也可以按照本國法對經(jīng)認證的數(shù)據(jù)控制者采取相應(yīng)的執(zhí)法措施。在法律效力上，該體系并不替代成員本身的相關(guān)法律法規(guī)，如果成員本身沒有相應(yīng)的法律法規(guī)，該體系可以作為該成員的最低保護標(biāo)準(zhǔn)；如果該成員有相應(yīng)的法律法規(guī)，但其要求低于該體系要求，并且數(shù)據(jù)控制者自愿采用該體系的，應(yīng)該遵守高于成員法律法規(guī)的額外要求。*APEC, “APEC Cross-border Privacy Enforcement Arrangement”, available at http://www.apec.org/Groups/Committee-on-Trade-and-Investment/Electronic-Commerce-Steering-Group/Cross-border-Privacy-Enforcement-Arrangement.aspx , last visited June 26, 2016.目前，加拿大、日本、墨西哥和美國等四個成員采納了該體系。

為了推動與非APEC成員的隱私執(zhí)法合作，APEC于2009年提出與OECD指南兼容的《APEC關(guān)于跨境隱私執(zhí)行合作的計劃》。該計劃希望各國通過一個標(biāo)準(zhǔn)的“請求協(xié)助表”就可以與其他國家進行跨境隱私執(zhí)法方面的合作。*APEC, “APEC Cooperation Arrangement for Cross-Border Privacy Enforcement”, available at http://www.apec.org/～/media/Files/Groups/ECSG/CBPR/CBPR-CrossBorderPrivacyEnforcement.pdf , last visited June 26, 2016.

(二)TPP：沒有超越GATS

泛太平洋合作伙伴關(guān)系協(xié)議(TPP)是以2005年文萊、智利、新西蘭和新加坡四國達成的泛太平洋戰(zhàn)略經(jīng)濟合作伙伴協(xié)議為基礎(chǔ)，在美國、澳大利亞、加拿大、日本、馬來西亞、墨西哥、越南和秘魯?shù)劝藝尤牒髷U展談判而成，旨在建構(gòu)超越WTO系列協(xié)議標(biāo)準(zhǔn)之上的勞工、環(huán)境和知識產(chǎn)權(quán)等方面的新國際保護標(biāo)準(zhǔn)。該協(xié)議于2016年2月4日獲得簽署，目前尚未完成生效程序。

在TPP談判過程中，美國商務(wù)部等機構(gòu)和產(chǎn)業(yè)聯(lián)盟在2012年聯(lián)合發(fā)表聲明指出，在21世紀(jì)的知識經(jīng)濟時代，信息與通訊技術(shù)的發(fā)展與應(yīng)用已經(jīng)成為全球經(jīng)濟增長的火車頭，不管是農(nóng)業(yè)、制造業(yè)還是服務(wù)業(yè)，都越來越依賴全球通訊網(wǎng)絡(luò)和跨境信息與數(shù)據(jù)流動來管理業(yè)務(wù)。其中，尤為重要的是中小企業(yè)的創(chuàng)新與發(fā)展，中小企業(yè)很大程度上需要依賴這種低成本、高效率的信息通訊技術(shù)和跨境數(shù)據(jù)自由流動。因此，實現(xiàn)跨境信息與數(shù)據(jù)自由流動是美國的必然訴求。*U.S. Department of Commerce, “Promoting Cross-Border Information and Data Flows in the TPP: Building a Lasting Framework for Economic Growth and Jobs”, available at http://businessroundtable.org/sites/default/files/legacy/uploads/news-center/downloads/TPP_Promoting_Cross-Border_Information_Flows_Statement.pdf , last visited June 26, 2016.

不過，根據(jù)新西蘭政府公開的TPP第14章(電子商務(wù))，在跨境數(shù)據(jù)轉(zhuǎn)移問題上，TPP并沒能實現(xiàn)實質(zhì)性突破：(1)原則上所有的成員應(yīng)當(dāng)允許信息(包括個人信息)通過電子形式進行跨境轉(zhuǎn)移，只要這個轉(zhuǎn)移是為了該特定個人而進行的商業(yè)活動(第14章第11條第2款)；(2)成員須認可其他成員已有的有關(guān)個人數(shù)據(jù)轉(zhuǎn)移方面的法律法規(guī)(第14章第11條第1款)，并且不能妨礙成員采取或者維持這些法律法規(guī)，條件是“這樣的措施并不構(gòu)成任意的或者無端的歧視，或者變相的貿(mào)易限制；而且不會施加超出該措施目的之外的額外限制”(第14章第11條第3款)；(3)原則上成員不得將數(shù)據(jù)存儲本土化作為企業(yè)在本土經(jīng)營的條件，但這并不能妨礙成員采取或者維持這些規(guī)范性要求，條件是“這樣的措施并不構(gòu)成任意的或者無端的歧視，或者變相的貿(mào)易限制；而且不會施加超出該措施目的的額外限制”(第14章第13條)。

應(yīng)當(dāng)說，表面上美國通過談判實現(xiàn)了跨境數(shù)據(jù)自由流動的目的。實際上，TPP除了象征性地表示自己的進步——增加“不會施加超過該措施目的之外的額外限制”——之外，在實質(zhì)內(nèi)容上并沒有超出GATS關(guān)于限制服務(wù)貿(mào)易的“一般例外”規(guī)定。質(zhì)言之，關(guān)于跨境數(shù)據(jù)轉(zhuǎn)移問題，信息跨境自由流動只能是美國的一個不可能實現(xiàn)的夢想——其他國家對美國的防備之心從未消解。*McCamus, D. R. “They Worry Too Much”, CIPS Magazine, March 1970, p.21. See also Maira Sutton, “White House's Claims that the TPP Would Curb Internet Censorship Are Fantasy”, Electronic Frontier Foundation, Mar, 9, 2016.因此，世界各國之間關(guān)于跨境數(shù)據(jù)轉(zhuǎn)移的分歧一直未能消除，GATS談判擱置的隱私例外爭議在22年后的TPP談判中也無法解決，只能維持現(xiàn)狀。或許，這是最好的結(jié)果，至少從國家主權(quán)和國家經(jīng)濟發(fā)展的平衡上，GATS和TPP都不會觸碰各國的底線。

值得注意的是，TPP是一個封閉性多邊談判的結(jié)果，中國目前并未加入TPP談判，未來是否加入尚不確定。值得注意的是，在TPP談判過程中，美國總統(tǒng)奧巴馬曾經(jīng)指出：“當(dāng)我們95%的潛在客戶都在境外時，我們不能讓中國等國家來設(shè)定全球經(jīng)濟的規(guī)則，我們要自己來制定這些規(guī)則?！?Sara Hsu, “China and the Trans-Pacific Partnership”, available at http://thediplomat.com/2015/10/china-and-the-trans-pacific-partnership/ , last visited June 28, 2016.盡管如此，TPP在跨境數(shù)據(jù)轉(zhuǎn)移問題上仍然趨同于WTO標(biāo)準(zhǔn)，未來中國是否加入TPP并不會影響中國在跨境數(shù)據(jù)轉(zhuǎn)移方面的立法與政策。

(三)跨境數(shù)據(jù)轉(zhuǎn)移國際條約的發(fā)展趨勢：制度融合的可能性

目前，關(guān)于跨境數(shù)據(jù)轉(zhuǎn)移，TTIP和TISA等多邊條約仍在談判中。這些談判在很大程度上預(yù)示了未來跨境數(shù)據(jù)轉(zhuǎn)移國際條約的發(fā)展趨勢：一種制度融合的可能性。

1.正在談判的國際條約的動向

與TPP相對應(yīng)的，還有另外一個正在進行談判的跨大西洋貿(mào)易與投資合作伙伴關(guān)系協(xié)議(TTIP)。對于歐美服務(wù)貿(mào)易中跨境數(shù)據(jù)轉(zhuǎn)移問題，歐盟官方2015年7月31日公布了TTIP提案第一部分“市場準(zhǔn)入”第二節(jié)“服務(wù)”第7條“一般例外”規(guī)定，在內(nèi)容上基本照搬GATS“一般例外”的規(guī)定，明確成員政府可以隱私例外為由限制跨境數(shù)據(jù)轉(zhuǎn)移。*European Union, Proposal for Services, Investment and E-Commerce Text, EU-US TTIP Negotiations, 12 November 2015.自2013年6月首次談判以來，歐美已經(jīng)進行了12輪談判，但遠未達成一致。

同樣正在進行的還有《服務(wù)貿(mào)易協(xié)議》(TISA)。TISA開始于2013年3月，談判成員有23個(主要為美國和歐盟)，目的在于擴展GATS的覆蓋范圍和規(guī)則，建立服務(wù)貿(mào)易方面的“金標(biāo)準(zhǔn)”，最終完全融入WTO框架并適用于所有WTO成員。*Jane Kelsey, “Briefing on US TISA Proposal on E-Commerce, Technology Transfer, Cross-border Data Flows and Net Neutrality”, Public Services International, 17 December 2014.其中，美國是該談判的主導(dǎo)者，其希望借此推進全球電子商務(wù)，限制政府以隱私保護為名進行跨境數(shù)據(jù)轉(zhuǎn)移的限制。

根據(jù)泄露的美國有關(guān)TISA的提案(2014年)，其中專門有一個“信息流動”的條款。該條款規(guī)定：“成員政府不能阻止在另一成員境內(nèi)的服務(wù)提供者在本國或者世界上任何其他國家進行轉(zhuǎn)移、獲取、處理和存儲信息，只要這些活動與服務(wù)提供者的商業(yè)有關(guān)?！?Ibid. See also Maira Sutton, “It Doesn't Matter Who Does the Lobbying: Trade Agreements Aren't the Place for Internet Regulations”, Electronic Frontier Foundation, December 19, 2014.而且，美國提議的TISA“一般例外”條款僅規(guī)定只有國家安全例外才能排除適用“信息流動”條款。

對美國的提案，歐盟提出強烈反對。歐盟成員國目前不僅擔(dān)心美國企業(yè)主導(dǎo)電子商務(wù)發(fā)展，導(dǎo)致歐盟零售業(yè)、媒體、出租車的蕭條，還擔(dān)心歐洲的汽車制造業(yè)就會成為下一個被沖擊的產(chǎn)業(yè)。*Ibid.另外，考慮到目前并沒有任何一個WTO成員國依據(jù)GATS隱私例外條款到WTO起訴歐盟，歐盟的提案仍堅持GATS的“一般例外”標(biāo)準(zhǔn)(包括了隱私例外)，拒絕任何可能危及歐盟數(shù)據(jù)保護立法的文本。*Monika Ermert, “TISA Negotiations: Yes To E-Commerce, Data Flows, No To IPR, Data Protection”, Intellectual Property Watch, 17 December 2014.

2.歐美隱私盾談判預(yù)示美國在TTIP和TISA的提議將被駁回

在2015年10月6日，歐盟法院通過施姆雷斯案判決歐美關(guān)于跨境數(shù)據(jù)轉(zhuǎn)移方面的安全港框架協(xié)議無效，原因是歐盟委員會并沒有說明美國基于國內(nèi)法或者國際承諾而在事實上確保了歐盟成員國公民的個人數(shù)據(jù)被轉(zhuǎn)移到美國后能得到適當(dāng)?shù)谋Ｗo。*Case C-362/14 Maximillian Schrems v Data Protection Commissioner.2016年2月2日，美國商務(wù)部進一步向歐盟委員會讓步，愿意簽訂隱私盾協(xié)議。*European Commission, supra note 17.

相較于之前的《歐美安全港框架協(xié)議》，美國在《歐美隱私盾協(xié)議》中作了如下幾方面的承諾和讓步。第一，對向美國轉(zhuǎn)移數(shù)據(jù)的企業(yè)設(shè)置更加嚴(yán)苛的義務(wù)：一是“對外轉(zhuǎn)移數(shù)據(jù)原則”改為“對外轉(zhuǎn)移數(shù)據(jù)的責(zé)任原則”，增加“責(zé)任”二字凸顯企業(yè)的內(nèi)部審核責(zé)任；二是“執(zhí)行原則”改為“救濟、執(zhí)行與責(zé)任原則”，強調(diào)企業(yè)必須給數(shù)據(jù)權(quán)利提供有效的救濟措施，并每年自審一次。第二，美國政府部門承諾履行更加嚴(yán)格的職責(zé)：首先，美國國家情報總監(jiān)書面保證美國政府獲取歐洲公民的個人數(shù)據(jù)時受到《美國第12333號執(zhí)行令》和《美國總統(tǒng)第28號政策指令》的限制；其次，美國國務(wù)卿克里書面承諾在國務(wù)院內(nèi)部成立隱私監(jiān)察使(Ombudsperson)，該監(jiān)察使獨立于國家安全部門，有權(quán)獨立處理歐洲公民有關(guān)美國政府部門是否獲取歐洲公民個人數(shù)據(jù)的申訴。第三，專門強調(diào)對歐洲公民申訴的多種救濟途徑：一是企業(yè)設(shè)置隱私官在45日之內(nèi)處理申訴；二是企業(yè)提供免費的替代性糾紛處理方案；三是歐洲公民向本國數(shù)據(jù)保護局提出申訴，由該局向美國商務(wù)部或聯(lián)邦貿(mào)易委員會移交，后者在90日之內(nèi)作出答復(fù)；四是歐美聯(lián)合設(shè)置一個隱私保護小組，下設(shè)一個仲裁小組作為申訴的最終解決機制。另外，《歐美隱私盾協(xié)議》還附有聯(lián)邦貿(mào)易委員會、交通部和司法部三大部門有關(guān)執(zhí)行該協(xié)議的承諾書。上述承諾書都將在美國聯(lián)邦登記處公開。

盡管如此，歐盟議會仍于2016年5月26日建議歐盟委員會應(yīng)與美國商務(wù)部在下列四個議題上再行談判：(1)關(guān)于美國政府部門獲取已轉(zhuǎn)移數(shù)據(jù)的限制；(2)根據(jù)《歐盟基本權(quán)利憲章》，要求美國明確收集數(shù)據(jù)要限于必要、符合比例原則；(3)隱私監(jiān)察史的權(quán)限和獨立性；(4)對于美國承諾的復(fù)雜救濟機制商談出一個用戶友好且有效的救濟機制。*European Parliament, “EU-US ‘Privacy Shield’ for Data Transfers: Further Improvements Needed, MEPs Say”, Plenary Sessions [26-05-2016-11:58].對此，歐盟委員會和美國商務(wù)部再次進行了談判，美國方面愿意做進一步的讓步，答應(yīng)歐盟委員會接受每年對隱私盾協(xié)議的執(zhí)行進行共同審核，并最終于2016年7月12日正式聯(lián)合宣布《歐美隱私盾協(xié)議》生效。*European Commission, “European Commission Launches EU-U.S. Privacy Shield: Stronger Protection for Transatlantic Data Flows”, IP/16/2461.

從上述過程中不難發(fā)現(xiàn)，美國為了本國企業(yè)在歐盟各國的利益不斷被迫讓步，直到歐盟委員會和歐盟議會滿意為止。筆者據(jù)此認為，美國很難在未來的TTIP和TISA談判中堅持?jǐn)?shù)據(jù)跨境自由流動和不得以隱私保護為由限制跨境數(shù)據(jù)轉(zhuǎn)移的主張。

3.未來跨境數(shù)據(jù)轉(zhuǎn)移的融合可能性

在現(xiàn)有的國際法框架下，GATS提供了WTO成員國限制跨境數(shù)據(jù)轉(zhuǎn)移的合法性依據(jù)，TPP、TTIP和TISA等最近已經(jīng)達成和正在磋商的國際條約都將維持這個局面。因此，鑒于OECD指南和APEC隱私框架提供了兩種限制數(shù)據(jù)轉(zhuǎn)移的可能模式和世界各國對跨境數(shù)據(jù)轉(zhuǎn)移的不同限制模式，可以探討未來跨境數(shù)據(jù)轉(zhuǎn)移的三種融合可能性。*2009年11月3日，非政府組織通過在西班牙舉行的第三十一屆國際隱私權(quán)和個人數(shù)據(jù)保護專員會議發(fā)布了《非政府組織關(guān)于建立全球隱私權(quán)標(biāo)準(zhǔn)的宣言》，呼吁歐洲各國保護隱私權(quán)，建立起有非政府組織充分參與的、基于法治的、尊重基本人權(quán)的和支持民主制度的新的國際隱私權(quán)保護體系。然而，這個宣言只是呼吁歐洲各國加強數(shù)字時代隱私權(quán)的保護，并未提出融合各國隱私權(quán)保護機制的方案。

(1)融合可能性之一：在第三國適當(dāng)性評估模式下加入替代性規(guī)則

第一種融合可能性是參照歐盟的做法，即在第三國適當(dāng)性評估模式下加入替代性規(guī)則。一般情況下，數(shù)據(jù)向第三國轉(zhuǎn)移的前提是該第三國獲得本國適當(dāng)性評估；第三國未獲得本國適當(dāng)性評估而需要進行跨境數(shù)據(jù)轉(zhuǎn)移的，應(yīng)由本國政府提供適當(dāng)性評估的替代性規(guī)則，例如歐盟委員會在2001年批準(zhǔn)施行的“標(biāo)準(zhǔn)合同條款”和“有效企業(yè)規(guī)則”(BCR)。

“標(biāo)準(zhǔn)合同條款”在1995年的《指令》中就已經(jīng)被規(guī)定為一種替代機制。該條款在內(nèi)容上主要要求數(shù)據(jù)出口者和數(shù)據(jù)接收者遵守歐盟數(shù)據(jù)保護指令，并對數(shù)據(jù)主體的損失承擔(dān)連帶責(zé)任。在操作上，《指令》要求該條款嵌入數(shù)據(jù)出口者與數(shù)據(jù)接收者關(guān)于數(shù)據(jù)轉(zhuǎn)移的合同中。這種做法的缺點是該合同每轉(zhuǎn)移一次都要重新簽訂，對于跨國企業(yè)而言成本比較高，而且成員國數(shù)據(jù)監(jiān)管當(dāng)局可以增加額外的要求以及行政審批，從而加大了成本和審批時間。*European Commission Decision 2001/497/EC.

BCR原本并不在《指令》規(guī)定的替代機制之內(nèi)，而是第29條工作組推薦跨國企業(yè)采取的一種替代機制。不過，通過多年的發(fā)展，BCR已經(jīng)被正式納入《通用條例》。BCR包括三項核心規(guī)則即隱私原則、有效性機制和BCR生效標(biāo)志。企業(yè)在起草BCR之后，提交給歐盟成員國的數(shù)據(jù)監(jiān)管當(dāng)局進行審查，審查通過后，該成員國數(shù)據(jù)監(jiān)管當(dāng)局將BCR提交給該企業(yè)有營業(yè)的其他成員國數(shù)據(jù)監(jiān)管當(dāng)局批準(zhǔn)。因此，其要適用于跨國公司內(nèi)部子公司之間的跨境數(shù)據(jù)轉(zhuǎn)移，難度比較大，審批時間比較長，但獲得批準(zhǔn)后無須每次轉(zhuǎn)移都簽訂轉(zhuǎn)移合同，這也向消費者表明該企業(yè)的隱私保護水平達到較高水平。

總體而言，歐盟的適當(dāng)性評估和兩種替代性機制都依賴歐盟成員國數(shù)據(jù)監(jiān)管機構(gòu)的行政審批，要求有專業(yè)的行政機構(gòu)、充分的經(jīng)費和人員開展審批工作，實踐中鮮有企業(yè)獲得歐盟數(shù)據(jù)監(jiān)管當(dāng)局的批準(zhǔn)。例如，歐盟委員會目前公開的獲批準(zhǔn)采取BCR的企業(yè)只有84家跨國企業(yè)，而且獲批的基本上是歐洲本土跨國企業(yè)，美國計算機與互聯(lián)網(wǎng)方面的企業(yè)只有eBay、因特爾和惠普，沒有中國企業(yè)的BCR獲批。*European Commision, “List of Companies for Which the EU BCR Cooperation Procedure is Closed” (June 21, 2016), available at http://ec.europa.eu/justice/data-protection/international-transfers/binding-corporate-rules/bcr_cooperation/index_en.htm, last visited June 26, 2016.

(2)融合可能性之二：在數(shù)據(jù)控制者擔(dān)保模式下加入符合適當(dāng)性評估的國家名單

第二種融合可能性是在數(shù)據(jù)控制者擔(dān)保模式下加入符合適當(dāng)性評估的國家名單。目前俄羅斯采取這種方式，即原則上俄羅斯《個人數(shù)據(jù)保護法》要求數(shù)據(jù)控制者應(yīng)當(dāng)確認第三國提供了“充分水平的保護”，同時俄羅斯信息監(jiān)管局公布了一系列提供了充分水平保護的國家名單。這樣的融合方式適用于APEC成員，將大大減輕數(shù)據(jù)控制者(企業(yè))跨境數(shù)據(jù)轉(zhuǎn)移的成本，方便數(shù)據(jù)的跨境自由流動。

然而，采取《APEC隱私框架》的APEC成員原本的目的就是要減少政府的干預(yù)和政府審批的成本，如果要求政府進行主動審查，又可能與其采取的該模式相違背。所以，這樣的融合方式也不是多數(shù)國家愿意采取的。

(3)融合可能性之三：BCR與CBPR的融合

第三種融合可能性是歐盟成員國與APEC成員之間的跨境數(shù)據(jù)轉(zhuǎn)移規(guī)則的融合，即歐盟的BCR與APEC在2013年推薦的跨境隱私規(guī)則(CBPR)的融合。

自2012年9月開始，APEC與歐盟委員會合作，共同建立“APEC與歐盟聯(lián)合工作組”，共同探討兩大區(qū)域成員的跨境隱私執(zhí)法合作。至2015年11月，該工作組希望從中小企業(yè)的角度探討如何與歐盟的規(guī)則融合，希望將歐盟的BCR和APEC的CBPR進行融合，并通過制定標(biāo)準(zhǔn)加以執(zhí)行。*APEC HOST Workshop & Recommendations Report: APEC Harmonization of Standards for Data & Information Flows, 2015, p.7.

盡管該設(shè)想非常有利于中小企業(yè)進行國際業(yè)務(wù)的拓展，促進各國企業(yè)的創(chuàng)新，但BCR與CBPR之間仍然存在兩大根本性差別。首先，BCR所依據(jù)的是《指令》以及《通用條例》，其與CBPR依據(jù)的《APEC隱私框架》存在很大的差別，前者構(gòu)建的是以憲法性權(quán)利(獨立的個人數(shù)據(jù)權(quán))為基礎(chǔ)的一系列規(guī)則，而后者是以傳統(tǒng)防止隱私侵害為中心的規(guī)則，二者的基本邏輯存在根本性的差異。其次，歐盟雖然采取了BCR規(guī)則，但仍然強調(diào)歐盟及其成員國的主動審查權(quán)，而APEC推薦的CBPR依靠的并不是政府的主動審查，而是非政府組織的認證。從2016年通過的《通用條例》來看，歐盟及其成員國放棄對BCR主動審查權(quán)的可能性微乎其微。與此同時，希望原本并不愿意太多干涉的政府僅僅為了降低中小企業(yè)成本而對CBPR進行主動審查，也不現(xiàn)實。

(4)小結(jié)

總之，前述三種融合可能性能否實現(xiàn)，很大程度上仍取決于不同國家是否及多大程度上愿意放棄本國對于數(shù)據(jù)的控制權(quán)：歐盟國家已實現(xiàn)第一種融合可能性，而且2016年剛通過《通用條例》，未來十年內(nèi)不太可能再考慮另外兩種融合可能性；而其他國家(尤其是APEC成員)雖然可能愿意強化政府的主動審查權(quán)，但又很難預(yù)期其愿意將本國隱私保護標(biāo)準(zhǔn)提高到歐盟個人數(shù)據(jù)基本權(quán)利的高度。因此，未來很長一段時間，世界各國仍將在GATS隱私例外規(guī)則下保持跨境數(shù)據(jù)轉(zhuǎn)移限制性規(guī)則的多樣性。

四、跨境數(shù)據(jù)轉(zhuǎn)移的中國法律應(yīng)對

從歷史角度而言，四十年前歐美展開跨境數(shù)據(jù)轉(zhuǎn)移談判之際，歐洲各國正在加快歐洲共同體的建設(shè)，所關(guān)心的是經(jīng)濟安全和政治自主性，對美國而言則正是計算機和互聯(lián)網(wǎng)技術(shù)全球商業(yè)運作的興起之際，而中國那時還在探索經(jīng)濟建設(shè)和中美關(guān)系正常化。四十年之后，美國依舊是世界頭號大國，在全球互聯(lián)網(wǎng)企業(yè)前十位中占據(jù)六席，中國經(jīng)濟已經(jīng)發(fā)展成為世界第一大經(jīng)濟體大國、在全球互聯(lián)網(wǎng)企業(yè)前十位中也已占了四席，中國企業(yè)在美國也開始遭受美國“國家安全”的打壓，而歐盟經(jīng)濟依舊變化不大且沒有國際大型互聯(lián)網(wǎng)企業(yè)。歐盟在四十年前談判的籌碼是人權(quán)保護，今天歐美隱私盾談判的籌碼依舊是人權(quán)保護，只是程度已經(jīng)上升到了極致——個人數(shù)據(jù)權(quán)已經(jīng)從隱私權(quán)的一部分演變?yōu)楠毩⒋嬖诘幕救藱?quán)。對此，美國總統(tǒng)奧巴馬曾在2015年指出：“我們擁有這個互聯(lián)網(wǎng)，我們的企業(yè)創(chuàng)造了互聯(lián)網(wǎng)，并以一種歐盟企業(yè)無法匹敵的方式擴展和完善它。而歐盟常常在一些問題上擺出一種道德高尚的樣子，其實只是為了獲得他們的經(jīng)濟利益而已。為了打擊谷歌和臉譜公司，歐盟的做法絕大部分是以商業(yè)導(dǎo)向為主的?！?Murad Ahmed, “Obama Attacks Europe over Technology Protectionism”, Financial Times, February 16, 2015.從歐美跨境數(shù)據(jù)轉(zhuǎn)移規(guī)則四十多年的博弈、GATS和TPP在跨境轉(zhuǎn)移規(guī)則方面的構(gòu)建以及TISA等正在談判中的國際條約規(guī)則來看，任何國家、地區(qū)都會對相關(guān)的跨境數(shù)據(jù)轉(zhuǎn)移規(guī)則根據(jù)自身的經(jīng)濟、社會情況做出自己的選擇，同時對其他國家、地區(qū)的相關(guān)規(guī)則提出批評。因此，我國《網(wǎng)絡(luò)安全法》中的跨境數(shù)據(jù)轉(zhuǎn)移限制規(guī)則從起草之初就得到各方面褒貶不一的評價也是正常的。

他山之石可以攻玉，關(guān)于我國《網(wǎng)絡(luò)安全法》第37條所規(guī)定的跨境數(shù)據(jù)轉(zhuǎn)移限制規(guī)則，筆者擬從如下三個方面加以評議，并提出未來制定我國相關(guān)安全評估辦法的若干建議。

(一)消費者利益與產(chǎn)業(yè)利益、國家安全利益的平衡

從現(xiàn)有的各國政府監(jiān)管跨境數(shù)據(jù)轉(zhuǎn)移的法律制度來看，各國政府規(guī)制的切入點是假定第三國的個人數(shù)據(jù)保護水平不及本國的保護水平，規(guī)制核心是監(jiān)管企業(yè)的個人數(shù)據(jù)處理實踐、防止企業(yè)濫用個人數(shù)據(jù)，落腳點是保障本國國家安全利益、產(chǎn)業(yè)利益和消費者的利益。只是在這三方面利益平衡中，歐盟把消費者利益放在整個法律規(guī)制體系所考慮的首要位置，通過整體的個人數(shù)據(jù)保護立法(《指令》及其替代立法《通用條例》)把個人數(shù)據(jù)權(quán)明確規(guī)定下來，并以此來限制跨境數(shù)據(jù)轉(zhuǎn)移。這樣的優(yōu)點是以個人的小權(quán)利實現(xiàn)保護國家安全利益的目的，缺點是會嚴(yán)重損及企業(yè)的經(jīng)營自主權(quán)和積極性而損及產(chǎn)業(yè)利益。美國把產(chǎn)業(yè)利益放在跨境數(shù)據(jù)轉(zhuǎn)移法律制度的核心，僅對特殊敏感的個人數(shù)據(jù)進行單獨立法，其他個人數(shù)據(jù)的保護主要由市場機制來解決。這樣的好處在于最全面的保障產(chǎn)業(yè)利益，但缺點是對于個人利益的保障受到弱化。澳大利亞、俄羅斯等國家采取折中方案，要求數(shù)據(jù)輸出企業(yè)擔(dān)保數(shù)據(jù)接收企業(yè)提供不低于數(shù)據(jù)輸出國的個人數(shù)據(jù)保護水平。

在我國《網(wǎng)絡(luò)安全法》出臺之前，我國并沒有類似歐盟及其成員國那樣的長期立法司法實踐，應(yīng)當(dāng)說，2009年通過的《刑法修正案(七)》、2012年通過的《全國人大常委會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》以及2013年修訂的我國《消費者權(quán)益保護法》已從法律層面確定我國境內(nèi)經(jīng)營的企業(yè)保障個人數(shù)據(jù)的基本要求，初步建立起個人數(shù)據(jù)保護的法律機制，取得了很大的進步。不過，這些規(guī)定仍然過于原則，對于個人數(shù)據(jù)保護的具體規(guī)則不夠細致和全面，且僅涉及個人數(shù)據(jù)國內(nèi)保護，未對跨境數(shù)據(jù)轉(zhuǎn)移限制做出明確規(guī)定。因此，在跨境數(shù)據(jù)轉(zhuǎn)移規(guī)則設(shè)置方面，我國還難以在短時間內(nèi)評估第三國的個人數(shù)據(jù)保護水平低于我國的保護水平，而且第三國評估的標(biāo)準(zhǔn)和程序也容易受到詬病，所以歐盟的做法在客觀上無法效仿。即使具備這樣的客觀水平，但考慮到我國日益興起的互聯(lián)網(wǎng)產(chǎn)業(yè)，歐盟的做法也不值得效仿。因為互聯(lián)網(wǎng)時代(尤其是大數(shù)據(jù)時代)的產(chǎn)品和服務(wù)講究的是創(chuàng)新、反應(yīng)迅速、用戶量大，要適應(yīng)這種趨勢，就不能給企業(yè)(尤其是中小企業(yè))提前預(yù)設(shè)過多的規(guī)則限制,否則就會降低企業(yè)的效率，扼殺企業(yè)創(chuàng)新的積極性。

因此，我國《網(wǎng)絡(luò)安全法》對跨境數(shù)據(jù)轉(zhuǎn)移采取了有限和安全評估方案，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者因業(yè)務(wù)需要，確需向境外提供個人信息的，應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行“安全評估”。值得注意的是，這里使用的法律術(shù)語是“安全評估”，表面上似乎側(cè)重于“國家安全”，但實際上并未指明是“國家安全”、“產(chǎn)業(yè)安全”、“個人數(shù)據(jù)安全”，還是三者的綜合；并且具體的安全評估規(guī)則是放在第二位的、是留待網(wǎng)信部門和國務(wù)院相關(guān)部門制定的。因此，這樣的立法思路和法律術(shù)語選擇的背后體現(xiàn)的正是平衡消費者利益、產(chǎn)業(yè)利益和國家安全利益的思想，提供了我國監(jiān)管跨境數(shù)據(jù)轉(zhuǎn)移的最為廣泛而靈活的法律依據(jù)，符合我國現(xiàn)階段的實際情況，也對未來形勢發(fā)展留有充分的余地。

此外，我國《網(wǎng)絡(luò)安全法》第四章專門規(guī)定網(wǎng)絡(luò)信息安全，再次重申了企業(yè)處理個人數(shù)據(jù)的合法、正當(dāng)和必要這三大原則，設(shè)定了保障個人數(shù)據(jù)的最基本義務(wù)。其中，值得注意的是，我國《網(wǎng)絡(luò)安全法》第42條采用了草案二稿的方案，后者從兩個方面修正了草案一稿第36條：一是從“不得非法向他人提供”個人數(shù)據(jù)改為“未經(jīng)被收集者同意，不得向他人提供”個人數(shù)據(jù)，從而明確非關(guān)鍵信息基礎(chǔ)設(shè)施的企業(yè)向他人提供(并未限制是境內(nèi)提供還是跨境轉(zhuǎn)移)個人數(shù)據(jù)的合法依據(jù)為獲得“被收集者同意”，平衡了非關(guān)鍵信息基礎(chǔ)設(shè)施的企業(yè)經(jīng)營需求和個人數(shù)據(jù)保護中的個人意思自治，也同時明確了國家監(jiān)管關(guān)鍵信息基礎(chǔ)設(shè)施運營者跨境數(shù)據(jù)轉(zhuǎn)移的唯一合法依據(jù)是獲得安全評估；二是把企業(yè)發(fā)生或者可能發(fā)生“信息”泄露、損毀、丟失的情況時向可能受影響用戶的通知義務(wù)，明確規(guī)定為企業(yè)發(fā)生或者可能發(fā)生“個人信息” 泄露、損毀、丟失的情況時向可能受影響用戶的通知義務(wù)，從而更直接地保障個人數(shù)據(jù)。

盡管如此，我國《網(wǎng)絡(luò)安全法》的條文仍停留在政府主動監(jiān)管層面，未來需要從兩個方面強化企業(yè)對個人數(shù)據(jù)的主動保護和分類保護。一是可以借鑒美國2015年底通過的《網(wǎng)絡(luò)安全情報共享法》，*該法規(guī)定企業(yè)共享網(wǎng)絡(luò)安全情報的下列行為不受司法追究：一是監(jiān)控信息系統(tǒng)；二是按照美國國土安全局出臺的共享程序共享或接受網(wǎng)絡(luò)安全威脅指標(biāo)、防御性措施。See S. Rept. 114-32, p.12-13 (2015).增訂企業(yè)自愿共享網(wǎng)絡(luò)安全威脅信息的可以豁免受司法追究該共享行為的規(guī)定，從而鼓勵企業(yè)主動共享網(wǎng)絡(luò)安全威脅信息。需要強調(diào)的是，對于企業(yè)的安全信息共享并非中國首創(chuàng)，美國在這方面有很多立法，《網(wǎng)絡(luò)安全情報共享法》就是最近的一種，而且該法要求以提供責(zé)任豁免的形式鼓勵企業(yè)自愿共享。目前，我國《網(wǎng)絡(luò)安全法》第22條、第25條僅規(guī)定企業(yè)向有關(guān)主管部門報告或協(xié)助的義務(wù)，但并未規(guī)定相應(yīng)的鼓勵措施。二是可以增設(shè)個人基因數(shù)據(jù)、醫(yī)療數(shù)據(jù)、生物數(shù)據(jù)的專門保護方面的規(guī)定，要求收集和處理該類數(shù)據(jù)的企業(yè)以高于其他個人數(shù)據(jù)保護的水平予以保障。*聯(lián)合國2003年10月16日的《人類基因數(shù)據(jù)國際宣言》第2條規(guī)定，“基因數(shù)據(jù)”指的是通過分析核酸或者其它科學(xué)分析獲得的、與個人遺傳特征有關(guān)的信息。《通用條例》第4條規(guī)定，“基因數(shù)據(jù)”指的是與自然人的固有或者后天獲得的基因特征有關(guān)的個人數(shù)據(jù)，該數(shù)據(jù)可以告知該自然人特有的生理學(xué)或者醫(yī)學(xué)的信息，特別是通過分析該自然人生物樣本獲得的信息；“生物數(shù)據(jù)”指的是通過對自然人的物理、生理或行為特征的特定技術(shù)處理獲得的個人數(shù)據(jù)，如面部圖像或指紋，這些數(shù)據(jù)可確認該自然人的特定身份。單個的該類數(shù)據(jù)可能不會產(chǎn)生國家安全的問題，但數(shù)以百萬計甚至數(shù)以億計的中國公民個人的基因數(shù)據(jù)和生物數(shù)據(jù)如果被外國企業(yè)收集并轉(zhuǎn)移到中國境外，就會實際關(guān)涉國家安全。對此，聯(lián)合國2003年10月16日《人類基因數(shù)據(jù)國際宣言》指出，基因數(shù)據(jù)應(yīng)當(dāng)以人權(quán)高度進行特殊保護。歐盟2016年《通用條例》第9條中專門增加了1995年《指令》未規(guī)定的基因數(shù)據(jù)保護規(guī)則，允許成員國對該類數(shù)據(jù)的處理設(shè)置更多的限制。我國《國家安全法》和我國《網(wǎng)絡(luò)安全法》均未有條文涉及基因數(shù)據(jù)、醫(yī)療數(shù)據(jù)、生物數(shù)據(jù)的專門保護，考慮到我國《網(wǎng)絡(luò)安全法》側(cè)重于網(wǎng)絡(luò)產(chǎn)品和服務(wù)而非醫(yī)療與生物領(lǐng)域，比較適宜的彌補方案是要求國家網(wǎng)信部門會同國務(wù)院有關(guān)部門在制定跨境數(shù)據(jù)轉(zhuǎn)移安全評估辦法時，專門區(qū)分出基因數(shù)據(jù)、醫(yī)療數(shù)據(jù)、生物數(shù)據(jù)等特殊個人數(shù)據(jù)的安全評估標(biāo)準(zhǔn)；其他更進一步的保護立法則留待以后解決。

(二)國內(nèi)市場與國際市場的平衡

由于法律具有普適性，我國《網(wǎng)絡(luò)安全法》不僅適用于中國境內(nèi)經(jīng)營的中國企業(yè)和外國企業(yè)，還將影響與前述企業(yè)具有跨境數(shù)據(jù)轉(zhuǎn)移業(yè)務(wù)合作的境外企業(yè)。目前，在國內(nèi)市場中，我國計算機和互聯(lián)網(wǎng)領(lǐng)域企業(yè)實現(xiàn)了跨越式發(fā)展。在未來的國際市場拓展中，歐盟也是重要市場，而“一帶一路”區(qū)域的經(jīng)濟也將融入非常多的互聯(lián)網(wǎng)元素。中國企業(yè)在進入這些市場、因業(yè)務(wù)所需將數(shù)據(jù)轉(zhuǎn)移至中國的時候，其他國家也可能會采取對等的政策，限制中國企業(yè)將數(shù)據(jù)轉(zhuǎn)移至中國處理；或者指責(zé)中國的個人信息保護法制無法給該國公民提供同等水平的保護。例如，歐盟議會阿克塞爾·沃斯等四位議員在2016年6月17日指責(zé)中國，并要求歐盟委員會對中國企業(yè)將歐洲個人數(shù)據(jù)轉(zhuǎn)移到中國的情況進行調(diào)查。*Axel Voss, etc., “Personal Data Transfers to China-What Protection for EU Citizens”, European Parliament, 20 June 2016.因此，對于我國《網(wǎng)絡(luò)安全法》的具體術(shù)語和具體制度的解釋都應(yīng)當(dāng)非常謹(jǐn)慎、全面把握整個跨境數(shù)據(jù)轉(zhuǎn)移法律制度對國內(nèi)市場和國際市場的微妙平衡。

首先，我國《網(wǎng)絡(luò)安全法》中的“個人信息”和“關(guān)鍵信息基礎(chǔ)設(shè)施”這兩個術(shù)語是跨境數(shù)據(jù)轉(zhuǎn)移安全評估的切入點，其內(nèi)涵將直接影響跨境數(shù)據(jù)轉(zhuǎn)移規(guī)制的廣度和深度。一般而言，“個人數(shù)據(jù)”的界定可以采取四種模式：正面概括式、反面概括式、列舉式和概括與列舉相結(jié)合的模式。其中，正面概括式指的是直接界定個人數(shù)據(jù)的概念，這種模式為大多數(shù)國家所采取。例如歐盟《指令》第2條和《通用條例》第4條都正面概括個人數(shù)據(jù)的概念，即“任何確認或者能夠識別自然人的信息；能夠識別自然人指的是一個人可以直接或者間接地被確認”。由此可見，正面概括式可以提供監(jiān)管國最為廣泛的監(jiān)管授權(quán)。類似地，澳大利亞《隱私法》第6條、俄羅斯《個人數(shù)據(jù)保護法》第3條基本照搬歐盟的做法。反面概括式指的是除特別規(guī)定的因素之外的都是個人數(shù)據(jù)，這種模式為美國部分立法所采取。例如美國1984年《有線通信政策法》第313條規(guī)定個人信息為“非集合信息”。列舉式是指明確列舉出屬于個人數(shù)據(jù)的各種數(shù)據(jù)，這種模式同樣為美國部分法律所采取，例如《馬薩諸塞州隱私違規(guī)通知法》將個人數(shù)據(jù)界定為“個人的姓氏和名字，或者與社保號、駕照、銀行賬號、信用卡或借記卡賬號中的一個組合在一起的姓名”。*See Paul M. Schwartz, Daniel J. Solove, “Reconciling Personal Information in the United States and European Union”, 102 California Law Review 877, 888-890 (2014).概括與列舉相結(jié)合的方式綜合了正面概括式和列舉式兩種模式的優(yōu)點，為日本《個人數(shù)據(jù)保護法》第2條所采取。我國《網(wǎng)絡(luò)安全法》的草案一稿和二稿采取的都是概括與列舉相結(jié)合的方式，不同的是草案一稿先列舉后概括，草案二稿先概括后列舉，但其實質(zhì)上都將能夠單獨或與其他信息結(jié)合能夠識別個人身份的信息納入保護范圍。最終通過的我國《網(wǎng)絡(luò)安全法》采用了草案二稿的方案，先強調(diào)可能的范圍，再提供示例。與此同時，在關(guān)鍵信息基礎(chǔ)設(shè)施的定義上，草案一稿第25條采取的是直接列舉式，在很大程度上限縮并僵化了監(jiān)管范圍。有鑒于此，我國《網(wǎng)絡(luò)安全法》最終采用了草案二稿第29條的方案，即將其具體范圍授權(quán)給國務(wù)院另行制定，僅大致概括其范圍為“嚴(yán)重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施”。值得注意的是，歐盟及其成員國與澳大利亞等國并沒有限定僅有關(guān)鍵信息基礎(chǔ)設(shè)施才接受跨境數(shù)據(jù)轉(zhuǎn)移條款的規(guī)制，所以無論我國在關(guān)鍵信息基礎(chǔ)設(shè)施的概念上采取何種定義，都難以超過這些地區(qū)或國家的監(jiān)管范圍。由此可見，在跨境數(shù)據(jù)轉(zhuǎn)移的安全監(jiān)管上，我國通過在法律上設(shè)定個人數(shù)據(jù)和關(guān)鍵信息基礎(chǔ)設(shè)施的開放定義，一方面能夠做出較為寬泛的、低于歐盟監(jiān)管范圍的監(jiān)管授權(quán)，另一方面也能提供企業(yè)相對于正面概括式定義更高的可預(yù)見性。不過，上述界定在46家國外團體看來仍然是監(jiān)管過于寬泛，*See United States Council for International Business, Aug. 2016 Letter on PRCG Cybersecurity Regulations, available at http://www.uscib.org/uscib-content/uploads/2016/08/Aug-2016-Letter-on-PRCG-Cybersecurity-Regulations-final-EN.pdf, last visited Oct. 22, 2016.但這46家團體中，除了美國的商會之外，還包括了歐洲、澳大利亞和日本的商會，但反觀歐盟、澳大利亞和日本的立法，這樣的指責(zé)無疑是雙重標(biāo)準(zhǔn)的產(chǎn)物。

其次，安全評估標(biāo)準(zhǔn)的透明度將影響跨境數(shù)據(jù)轉(zhuǎn)移規(guī)制制度的具體實施。我國《網(wǎng)絡(luò)安全法》第37條沒有直接規(guī)定跨境數(shù)據(jù)轉(zhuǎn)移的安全評估標(biāo)準(zhǔn)，而是授權(quán)由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定，但法律和行政法規(guī)另有規(guī)定的除外。因此，僅從現(xiàn)行法還無法得知跨境數(shù)據(jù)轉(zhuǎn)移安全評估的具體標(biāo)準(zhǔn)，這樣會存在一定的不確定性，容易被指責(zé)。*Ibid.相比較而言，歐盟《指令》和《通用條例》都針對第三國而非具體企業(yè)進行適當(dāng)性評估，并在立法上直接公布評估標(biāo)準(zhǔn)。但正如前文所指出的，歐盟的適當(dāng)性評估非常抽象和主觀(如第三國的法治情況)，也受到很多詬病。*Christopher Kuner, supra note 16, p.39.此外，歐盟的對于企業(yè)進行的“標(biāo)準(zhǔn)合同條款”和“有效企業(yè)規(guī)則”(BCR)的跨境數(shù)據(jù)轉(zhuǎn)移監(jiān)控，也是歐盟委員會制定的，并非最高層級的立法。因此，我國《網(wǎng)絡(luò)安全法》授權(quán)國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定有關(guān)標(biāo)準(zhǔn)并無不妥，但具體的標(biāo)準(zhǔn)仍應(yīng)公布，從而向國內(nèi)外企業(yè)提供比較充分的可預(yù)見性。此外，可以考慮將第三方中立機構(gòu)(例如APEC認證的隱私責(zé)任評估機構(gòu))的評估納入未來具體安全評估的參考因素之一，從而增強安全評估的客觀性和中立性。

最后，我國法律對于非法跨境數(shù)據(jù)轉(zhuǎn)移企業(yè)的責(zé)任追究機制的設(shè)置，并未采用歐盟的懲罰性措施。我國《網(wǎng)絡(luò)安全法》第66條規(guī)定，企業(yè)違反跨境數(shù)據(jù)轉(zhuǎn)移安全評估規(guī)定的，由有關(guān)主管部門責(zé)令改正，給予警告，沒收違法所得，處5萬至50萬元以下的罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照，對直接負責(zé)的主管人員和其他直接責(zé)任人員處以1萬至10萬元的罰款。此前曾有學(xué)者認為5萬至10萬元的罰款相對于年營業(yè)額動輒上千萬甚至數(shù)以億計的互聯(lián)網(wǎng)企業(yè)而言是微乎其微、缺乏威懾力的，因而建議借鑒《通用條例》，采取高額行政處罰機制。誠然，《通用條例》第83條第5款規(guī)定的行政處罰非常具有威懾力(違法跨境數(shù)據(jù)轉(zhuǎn)移規(guī)定的或者侵害個人數(shù)據(jù)權(quán)的，成員國數(shù)據(jù)管理當(dāng)局可對違法企業(yè)處于最高不超過2000萬歐元或者企業(yè)全球年度營業(yè)額的4%的行政罰款)，但這些處罰機制主要針對的是外國企業(yè)，并非歐洲本土企業(yè)。原因其實很簡單，歐洲本土企業(yè)在計算機和互聯(lián)網(wǎng)產(chǎn)業(yè)領(lǐng)域無法抗衡外國企業(yè)。與歐洲市場不同的是，中國境內(nèi)的互聯(lián)網(wǎng)企業(yè)主要是中國本土的企業(yè)，而且這些企業(yè)已經(jīng)占據(jù)了全球前十位互聯(lián)網(wǎng)企業(yè)中的四席，因此我國法無須采用類似歐盟高額處罰的機制進行威懾，依靠責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或吊銷營業(yè)執(zhí)照等行政措施就足以對在中國境內(nèi)經(jīng)營的中國本土企業(yè)和外國企業(yè)產(chǎn)生足夠的威懾力。

(三)國內(nèi)立法與國際規(guī)則的平衡

從目前的互聯(lián)網(wǎng)等技術(shù)發(fā)展以及國內(nèi)網(wǎng)絡(luò)安全威脅的現(xiàn)狀來看，我國法對跨境數(shù)據(jù)轉(zhuǎn)移進行必要的限制是符合我國實際需要的，但具體的限制規(guī)則仍需考慮與現(xiàn)有相關(guān)國際規(guī)則相協(xié)調(diào)。

一般而言，大多數(shù)國家依據(jù)GATS第14條“一般例外”中的隱私例外條款，以個人數(shù)據(jù)或者隱私保護為名、采取第三國適當(dāng)性評估模式、數(shù)據(jù)控制者擔(dān)保模式、數(shù)據(jù)主體同意模式等立法模式限制跨境數(shù)據(jù)轉(zhuǎn)移。然而，如前所述，這些立法模式都有各自的缺點，不一定符合我國的國情。因此，我國應(yīng)考慮另辟蹊徑，既實現(xiàn)維護消費者利益和國家安全、限制數(shù)據(jù)的跨境轉(zhuǎn)移，又不給本國企業(yè)設(shè)置過高的個人數(shù)據(jù)保護執(zhí)法成本。在這一點上，我國《網(wǎng)絡(luò)安全法》對跨境數(shù)據(jù)轉(zhuǎn)移規(guī)制的理由選擇了“安全評估”。而且，如前所述，該法第37條并未明確“安全評估”到底是“個人數(shù)據(jù)安全的評估”、“產(chǎn)業(yè)安全的評估”、“國家安全的評估”還是綜合三者的整體評估，具體的評估標(biāo)準(zhǔn)也授權(quán)相關(guān)部門后續(xù)確定。因此，我國的跨境數(shù)據(jù)轉(zhuǎn)移的安全評估是否符合WTO規(guī)則(是否構(gòu)成國際貿(mào)易壁壘)就成為關(guān)鍵。*國外46家團體認為我國跨境數(shù)據(jù)轉(zhuǎn)移的安全評估構(gòu)成WTO禁止的技術(shù)壁壘。See United States Council for International Business, supra note 58.

從現(xiàn)有WTO規(guī)則來看，GATS不僅在第14條“一般例外”中規(guī)定隱私例外條款，還規(guī)定了“安全例外條款”，而且，這一“安全例外條款”的適用條件與隱私例外條款適用的兩大條件相同：一是“為了確保與本協(xié)定不會構(gòu)成不一致的法律或法規(guī)得到遵守所必需采取的措施”；二是該“措施的實施在相同情況的國家間不構(gòu)成任意的或者無端的歧視，或者不構(gòu)成變相的服務(wù)貿(mào)易限制”。不過，GATS對于該條款中的“安全”并沒有給出明確的界定。此外，GATS第14條之二規(guī)定了“國家安全”例外，即GATS不能解釋為禁止成員國為了以下目的而做出的舉措。一是保護下列核心安全利益而采取任何必要的措施：任何直接或間接向軍事基地提供的服務(wù)；與核裂變和核聚變材料或者衍生這些物質(zhì)有關(guān)的材料；在戰(zhàn)時或者與國際關(guān)系有關(guān)的其他緊急情況。二是承擔(dān)《聯(lián)合國憲章》所要求的維持國際和平與安全而采取的安全措施。按照該規(guī)定，“國家安全”的內(nèi)涵非常狹窄，一國很難援引GATS“國家安全”例外條款作為限制跨境數(shù)據(jù)轉(zhuǎn)移的免責(zé)事由。

不過，從國際實踐來看，有三點值得注。其一，俄羅斯在跨境數(shù)據(jù)轉(zhuǎn)移限制規(guī)則上，除了利用GATS隱私規(guī)則外*《俄羅斯個人數(shù)據(jù)保護法》第2條規(guī)定：“本法旨在保護個人數(shù)據(jù)處理過程中涉及的個人權(quán)利和自由，包括對隱私、個人和家庭秘密方面的權(quán)利?！?，還增加了以國家安全、國家防衛(wèi)、保護公眾合法權(quán)益為由的備用限制機制。具體而言，俄羅斯《個人數(shù)據(jù)保護法》第12條第2款規(guī)定，即使第三國提供了充分水平的保護，俄羅斯當(dāng)局也可以國家安全、國家防衛(wèi)、保護公眾合法權(quán)益為由禁止或者進一步限制數(shù)據(jù)轉(zhuǎn)移。因此，法律上以國家安全和公共安全為由限制跨境數(shù)據(jù)轉(zhuǎn)移也并非沒有先例。其二，目前尚沒有任何國家的跨境數(shù)據(jù)轉(zhuǎn)移限制制度因不符合WTO規(guī)則而被提交到WTO，即使美國曾多次指責(zé)歐盟的做法違反GATS“一般例外”。*Gregory Shaffer, supra note 15, p.8. See also Monika Ermert, “TISA Negotiations: Yes To E-Commerce, Data Flows, No To IPR, Data Protection”, Intellectual Property Watch, 17 December 2014.出現(xiàn)這種現(xiàn)狀的原因非常多，但最重要的原因應(yīng)當(dāng)是控訴國深知WTO在判斷某國制度是否違反GATS“一般例外”時所采取的雙層分析法導(dǎo)致結(jié)果具有很大的不確定性：第一層判斷該國制度與GATS“一般例外”中某個具體例外規(guī)定的關(guān)聯(lián)度，其核心是判斷該國制度是為了保護GATS“一般例外”中某個具體例外規(guī)定的利益而有必要做出的；一旦確認二者具有關(guān)聯(lián)度，進入第二層分析，即判斷該國制度是否違反GATS第14條“一般例外”適用的總體條件，即判斷該國所采取的措施是否構(gòu)成“任意的”或“無端的”歧視或“變相的服務(wù)貿(mào)易限制”，其核心是判斷該國制度是否存在歧視他國，是否影響其他成員國通過GATS獲得的權(quán)力。*Appellate Body Report, US — Gambling, para. 292-339.其三，考慮到跨境數(shù)據(jù)轉(zhuǎn)移制度的核心是重大的經(jīng)濟利益和國際貿(mào)易關(guān)系，目前各國對于跨境數(shù)據(jù)轉(zhuǎn)移方面的分歧都采用雙邊或多邊談判解決，例如歐美談判達成跨境數(shù)據(jù)轉(zhuǎn)移隱私保護安全港協(xié)議和后來的隱私盾協(xié)議；又如美國、澳大利亞、日本等國在TPP的多邊談判中對于跨境數(shù)據(jù)轉(zhuǎn)移問題都擱置爭議，回歸GATS“一般例外”的做法。

因此，我國《網(wǎng)絡(luò)安全法》采取安全評估方式限制跨境數(shù)據(jù)轉(zhuǎn)移后，筆者建議相關(guān)部門在制定安全評估辦法時對“安全評估”中的“安全”作廣義的解釋，即不要將其限定在國家安全、公共安全之內(nèi)，而是還應(yīng)當(dāng)將其解釋為囊括個人隱私保護的個人數(shù)據(jù)安全，從而明確我國的具體安全評估辦法與GATS的“一般例外”規(guī)定以及現(xiàn)在國際實踐的一致性。

(責(zé)任編輯：陳歷幸)

張金平，北京大學(xué)法學(xué)院博士研究生，斯坦福大學(xué)法學(xué)院客座博士生研究員(visiting student researcher)。

DF41

A

1005-9512-(2016)12-0136-19