胡　煒

（江西省社會(huì)科學(xué)院　《江西社會(huì)科學(xué)》雜志社，江西　南昌　3300770）

一、問題的提出

電子商務(wù)和服務(wù)外包的異軍突起，產(chǎn)生大量貿(mào)易數(shù)據(jù)，并在全球電子商務(wù)網(wǎng)絡(luò)的推動(dòng)下在各貿(mào)易國之間廣泛流通，云技術(shù)使得數(shù)據(jù)跨境流通更是呈幾何數(shù)級(jí)增長(zhǎng)。據(jù)IDC預(yù)測(cè)，2010－2020年，人類產(chǎn)生的數(shù)據(jù)量將呈指數(shù)級(jí)別增長(zhǎng)，以平均兩年翻一番的速度，到2020年，數(shù)據(jù)量將達(dá)到35ZB。[1]這預(yù)示著信息流動(dòng)將成為世界經(jīng)濟(jì)的命脈，而各國個(gè)人數(shù)據(jù)保護(hù)法律的異同可能形成新的壁壘，將嚴(yán)重景影響相關(guān)行業(yè)產(chǎn)業(yè)的發(fā)展，并對(duì)各國跨境數(shù)據(jù)流動(dòng)監(jiān)管制度提出了挑戰(zhàn)。[2]隨著互聯(lián)網(wǎng)的普及、經(jīng)濟(jì)全球化的拓展，云計(jì)算和大數(shù)據(jù)為代表的信息技術(shù)跨越式發(fā)展，數(shù)據(jù)跨境流動(dòng)的速度和數(shù)量實(shí)現(xiàn)了質(zhì)的飛躍。因?yàn)閷?duì)個(gè)人數(shù)據(jù)的保護(hù)水平和跨境流通的效率之間的關(guān)系著不同的認(rèn)識(shí)，世界各國和主要的國際組織在跨境數(shù)據(jù)的監(jiān)管的方式和力度上沖突不斷。歐盟和美國就分別代表了注重保護(hù)個(gè)人權(quán)利和注重促進(jìn)貿(mào)易發(fā)展不同立場(chǎng)；2015年“歐盟和美國的數(shù)據(jù)安全港協(xié)議被歐盟高等法院宣判無效”，就反映了兩者在跨境數(shù)據(jù)監(jiān)管上的沖突進(jìn)一步激化。

個(gè)人數(shù)據(jù)的安全問題成為全球焦點(diǎn)是在2013年的“棱鏡門事件”之后，美歐的數(shù)據(jù)跨境流動(dòng)與保護(hù)的雙邊合作信任也降至冰點(diǎn)。其時(shí)，奧地利一名法律學(xué)者施雷姆斯向愛爾蘭監(jiān)管機(jī)構(gòu)提起訴訟，指控Facebook向美國政府提供了歐洲公民的相關(guān)數(shù)據(jù)，從而未能對(duì)數(shù)據(jù)隱私進(jìn)行充分保護(hù)。2015年歐盟最高法院在判決書中指出：“美國的國家安全、公共利益和執(zhí)法需求都優(yōu)先于安全港協(xié)議，從而使得企業(yè)在面對(duì)上述情況時(shí)，勢(shì)必會(huì)漠視安全港協(xié)議中的隱私保護(hù)條款”，“安全港協(xié)議并不能約束政府機(jī)構(gòu)的數(shù)據(jù)審查行為，不能起到充分保護(hù)歐洲公民隱私的作用，因而它是無效的”，F(xiàn)acebook等美國公司應(yīng)立即停止將收集到的歐洲用戶數(shù)據(jù)傳輸至美國。[3]因此，在個(gè)人數(shù)據(jù)保護(hù)的問題上，歐盟有著貫穿始終的思路，那就是任何技術(shù)的發(fā)展都不能成為損害個(gè)人基本權(quán)利和人格尊嚴(yán)的工具?；诖耍瑲W盟加快了改革數(shù)據(jù)保護(hù)立法的步伐，由此有了《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR）的制定。鑒于全球個(gè)人數(shù)據(jù)保護(hù)法的無序與落后，有美國學(xué)者曾預(yù)言，生效后的GDPR甚至有可能成為國際數(shù)據(jù)隱私保護(hù)的標(biāo)準(zhǔn)。[4]

跨境數(shù)據(jù)流動(dòng)作為一專有名詞，聯(lián)合國、經(jīng)濟(jì)合作組織（OECD）、歐盟等常使用Trans－border Data Flows表示，而美國、澳大利亞等常使用Cross－border Data Flows表示，二種用法無本質(zhì)區(qū)別。鑒于跨境數(shù)據(jù)流動(dòng)存在國家間協(xié)調(diào)標(biāo)準(zhǔn)、國內(nèi)監(jiān)管摸索前行等諸多現(xiàn)實(shí)困難?；ヂ?lián)網(wǎng)具有開放性，跨國數(shù)據(jù)流動(dòng)自始就是以國際問題展現(xiàn)的，對(duì)既有國際法提出了新的挑戰(zhàn)。我國作為互聯(lián)網(wǎng)技術(shù)的后起之秀和網(wǎng)絡(luò)大國，與美國、歐盟等的國際經(jīng)貿(mào)往來日益增多，但數(shù)據(jù)權(quán)、隱私權(quán)保護(hù)水平急待提高，眾多中國公司承受著來自美國、歐盟等國家或地區(qū)較高個(gè)人數(shù)據(jù)保護(hù)法律的壓力和指責(zé)。為此，必須高度重視跨境數(shù)據(jù)流通的現(xiàn)實(shí)發(fā)展及理論分析，思考我國的應(yīng)對(duì)措施。

二、進(jìn)退維谷：跨境數(shù)據(jù)流動(dòng)監(jiān)管的價(jià)值之爭(zhēng)

美歐在跨境數(shù)據(jù)流動(dòng)方面的爭(zhēng)議焦點(diǎn)固然在于監(jiān)管的強(qiáng)度及范圍，但在這之后更深層次的問題在于：在個(gè)人隱私權(quán)與互聯(lián)網(wǎng)經(jīng)濟(jì)發(fā)展空間的保護(hù)之間，何者優(yōu)先抑或如何兼顧。

（一）進(jìn)or退：跨境數(shù)據(jù)監(jiān)管應(yīng)嚴(yán)格還是寬松

需承認(rèn)歐盟立法對(duì)個(gè)人數(shù)據(jù)流動(dòng)充分性認(rèn)定的標(biāo)注過于嚴(yán)格，影響國際電子商務(wù)的發(fā)展，其增設(shè)新的保護(hù)指令、適時(shí)修改數(shù)據(jù)保護(hù)指令，以及試行約束性企業(yè)規(guī)則（BCRs）機(jī)制將成為歐盟個(gè)人數(shù)據(jù)流動(dòng)法律規(guī)則的發(fā)展方向。受歐盟信息專員辦公室（ICO）的委托，蘭德公司的Neil Robinson等研究員認(rèn)為《歐盟數(shù)據(jù)指令》（以下簡(jiǎn)稱EDPD95／46／EC）曾經(jīng)為歐盟乃至全球的跨境數(shù)據(jù)流動(dòng)管理提供了范本，但隨著經(jīng)濟(jì)全球化、信息技術(shù)的革命，這一指令也已經(jīng)很難適應(yīng)現(xiàn)狀，需要進(jìn)行全面的改革。[5]也有學(xué)者認(rèn)為EDPD95／46／EC對(duì)跨境數(shù)據(jù)流通的監(jiān)管過于嚴(yán)厲，不利于國際服務(wù)貿(mào)易的開展，而《APEC的隱私保護(hù)框架》對(duì)跨境數(shù)據(jù)的監(jiān)管更為靈活，該框架更有潛力成為全球數(shù)據(jù)保護(hù)的范本。[6]

不同于歐盟把隱私保護(hù)作為一項(xiàng)基本權(quán)利治理，美國基于自由市場(chǎng)基礎(chǔ)，將隱私保護(hù)嵌入到其他法律當(dāng)中。[7]1986年美國國會(huì)制定《存儲(chǔ)通信隱私法》的第二章《存儲(chǔ)通信保護(hù)法》是美國網(wǎng)絡(luò)個(gè)人數(shù)據(jù)保護(hù)主要的聯(lián)邦法律淵源，盡管計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)飛速發(fā)展，但該部法律頒布至今仍然是美國處理跨境數(shù)據(jù)流通的依據(jù)。這種依賴企業(yè)自律的做法雖然廣受工商界歡迎，但也招致了批評(píng)，有學(xué)者認(rèn)為通過數(shù)據(jù)控制者的自我管理而實(shí)現(xiàn)跨境數(shù)據(jù)有效監(jiān)控的方式不具有可行性。[8]美國與歐盟簽訂的《安全港安全協(xié)定》（U．S－EU safe Harbor Framework）是美國式跨境數(shù)據(jù)管理的典型案例；該協(xié)定不僅使美國企業(yè)滿足了歐盟較高保護(hù)標(biāo)準(zhǔn)，更使得美國得以繼續(xù)維持其長(zhǎng)期以來以行業(yè)、企業(yè)自律為特點(diǎn)的跨境數(shù)據(jù)流通的監(jiān)管制度。由此可見無論哪種監(jiān)管方法，其主要著眼點(diǎn)均在于如何維護(hù)個(gè)人數(shù)據(jù)保護(hù)與數(shù)據(jù)自由流動(dòng)之間、個(gè)人數(shù)據(jù)保護(hù)與經(jīng)濟(jì)利益之間的平衡。

（二）進(jìn)or退：跨境數(shù)據(jù)監(jiān)管應(yīng)重視安全還是營(yíng)利

從日常生活對(duì)于數(shù)據(jù)自由流動(dòng)的需求來看，比如通過跟蹤數(shù)據(jù)主體的活動(dòng)來監(jiān)測(cè)鍛煉、食物熱量以改善健康和睡眠，個(gè)人數(shù)據(jù)的自由流動(dòng)和個(gè)人數(shù)據(jù)的保護(hù)之間，常常是顧此失彼。而從數(shù)字貿(mào)易的角度來看，當(dāng)一個(gè)國家的個(gè)人數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)高于另一個(gè)國家時(shí)，數(shù)據(jù)的自由流動(dòng)受到?jīng)_擊，從其他國家進(jìn)口服務(wù)和產(chǎn)品都會(huì)變得困難，進(jìn)而有形成非關(guān)稅壁壘的可能。在個(gè)人數(shù)據(jù)保護(hù)加強(qiáng)的背景下，數(shù)據(jù)控制者和處理者不得不放棄一些借助處理個(gè)人數(shù)據(jù)賺取利益的商機(jī)，從而損失了部分經(jīng)濟(jì)利益。同時(shí)，GDPR對(duì)數(shù)據(jù)控制者和處理者又附加了更多的義務(wù)，提高了它們處理個(gè)人數(shù)據(jù)的成本。盡管“一站式”服務(wù)機(jī)制為數(shù)據(jù)控制者和處理者節(jié)省了部分成本，但是這部分利益能否抵消履行相關(guān)義務(wù)帶來的成本負(fù)擔(dān)，對(duì)此似乎并沒有積極的看法。

然而由于跨境數(shù)據(jù)的雙重屬性，對(duì)跨境數(shù)據(jù)流動(dòng)進(jìn)行立法監(jiān)管造成巨大的困擾。個(gè)人信息的人格權(quán)屬性和社會(huì)價(jià)值，決定了跨境數(shù)據(jù)流動(dòng)必須充分認(rèn)識(shí)到個(gè)人隱私及個(gè)人自由的重要性，即使個(gè)人信息離開了數(shù)據(jù)主體國家主權(quán)的保護(hù)范圍，也應(yīng)存在適當(dāng)?shù)膰H法為其權(quán)利提供保護(hù)和救濟(jì)；而個(gè)人信息的財(cái)產(chǎn)屬性和經(jīng)濟(jì)價(jià)值，決定了跨境數(shù)據(jù)流動(dòng)制度應(yīng)盡可能減少和去除阻礙信息自由流動(dòng)的因素，避免國家以保護(hù)人權(quán)為借口限制自由貿(mào)易的發(fā)展。因此，跨境數(shù)據(jù)流動(dòng)平衡的這一對(duì)價(jià)值矛盾，貫穿了制度發(fā)展的始終。在當(dāng)今國際貿(mào)易的進(jìn)程中，這一問題是任何國家都不可避免的。為了解決這一問題，歐盟諸國率先建立了跨境數(shù)據(jù)管理的模式，包括：合同法模式和企業(yè)法模式。為了實(shí)現(xiàn)與歐盟數(shù)據(jù)保護(hù)的對(duì)接，美歐新達(dá)成了“歐盟－美國隱私盾協(xié)議”，為跨境數(shù)據(jù)流通提供了操作性更強(qiáng)的方式。

三、藕斷絲連：歐盟與美國法律框架的亮點(diǎn)與不足

互聯(lián)網(wǎng)經(jīng)濟(jì)成為全球經(jīng)濟(jì)的“火車頭”，因此對(duì)待跨境數(shù)據(jù)的流通必須保持開放的態(tài)度，不能因?yàn)榘踩缘膿?dān)憂而因噎廢食，而要不斷創(chuàng)新管理手段和方法，在強(qiáng)化風(fēng)險(xiǎn)管理的基礎(chǔ)上，以第三國充分保護(hù)為原則，開放部分跨境數(shù)據(jù)的流通。1980年9月23日，經(jīng)濟(jì)合作與發(fā)展組織理事會(huì)正式通過了《關(guān)于保護(hù)隱私與個(gè)人數(shù)據(jù)跨境流動(dòng)的指南》，該指南是以促進(jìn)個(gè)人跨境數(shù)據(jù)流動(dòng)為導(dǎo)向的首個(gè)國際法律文本。OECD《隱私指南》旗幟鮮明地指出：“成員國在本國立法時(shí)應(yīng)考慮指南規(guī)定的保護(hù)隱私與個(gè)人自由的基本原則，同時(shí)成員國應(yīng)努力消除、避免產(chǎn)生以隱私保護(hù)為名的不公正的阻礙個(gè)人數(shù)據(jù)跨境流動(dòng)的障礙?！薄峨[私指南》所確立的基本原則為隨后的美國、歐盟等國家和組織建立跨境數(shù)據(jù)流動(dòng)管理制度提供了不可多得的參照。

（一）歐盟內(nèi)部：《一般數(shù)據(jù)保護(hù)條例》

2016年歐盟通過了《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡(jiǎn)稱GDPR）。條例最大的特色莫過于突破了傳統(tǒng)數(shù)據(jù)保護(hù)規(guī)則的適用范圍，未來新的數(shù)據(jù)保護(hù)立法將不僅針對(duì)歐盟內(nèi)部的法人，而且對(duì)任何處理歐洲公民數(shù)據(jù)的外國法人都適用。這樣一來，與歐盟進(jìn)行業(yè)務(wù)往來的外國公司，比如想要走出國門的中國企業(yè)，都會(huì)受到它的約束。然而對(duì)來自歐盟內(nèi)部的企業(yè)而言，貿(mào)易成本將會(huì)大大降低，因?yàn)闂l例不僅為歐盟內(nèi)部數(shù)據(jù)流通提供了具體明確的指引，減少了不必要的行政程序，同時(shí)還強(qiáng)化了歐盟第三根支柱對(duì)數(shù)據(jù)安全的保護(hù)作用。

具體而言，第一，該《條例》第6條明確列舉了合法使用個(gè)人數(shù)據(jù)的行為類型，并強(qiáng)調(diào)一個(gè)前提，即要獲得數(shù)據(jù)主體的明確同意。在該規(guī)則下，數(shù)據(jù)主體必須首先對(duì)那些合法情形進(jìn)行明確的選擇，以便許可數(shù)據(jù)處理者獲得其個(gè)人信息，并為未來的數(shù)據(jù)處理行為提供合法保障。該條還列舉了一些特定情形，即便事先沒有獲得數(shù)據(jù)主體的明確同意，數(shù)據(jù)處理者仍然有權(quán)對(duì)數(shù)據(jù)進(jìn)行處理。如果“處理數(shù)據(jù)是履行以數(shù)據(jù)主體為一方的合同的必需”，此時(shí)，即便沒有數(shù)據(jù)主體的明確同意，該處理行為也是合法的。然而即使在這些特殊情形下，數(shù)據(jù)主體雖然沒有明確同意處理其個(gè)人數(shù)據(jù)，但在其個(gè)人數(shù)據(jù)被收集后，其必須獲得明確的通知。

第二，《條例》明確了“刪除權(quán)”（或者“被遺忘權(quán)”）。數(shù)據(jù)主體保留有終止任何處理其個(gè)人數(shù)據(jù)行為的特權(quán)，有權(quán)請(qǐng)求相關(guān)主體從存儲(chǔ)其個(gè)人數(shù)據(jù)的數(shù)據(jù)庫中刪除其個(gè)人數(shù)據(jù)。數(shù)據(jù)主體可以在任何時(shí)間行使“刪除權(quán)”，但要依據(jù)條例中限制數(shù)據(jù)收集和數(shù)據(jù)處理行為的明確規(guī)定。而數(shù)據(jù)使用者除非能夠證明存在數(shù)據(jù)處理的強(qiáng)制性法律根據(jù)，否則其必須按照數(shù)據(jù)主體的請(qǐng)求刪除該數(shù)據(jù)。這就意味著，《條例》賦予了數(shù)據(jù)主體對(duì)其個(gè)人數(shù)據(jù)終局性所有權(quán)，使其始終保有要求數(shù)據(jù)使用者刪除其個(gè)人數(shù)據(jù)的請(qǐng)求權(quán)，且該權(quán)利不會(huì)因訂立契約而消失。

第三，依據(jù)條例形成的新立法將被稱作“規(guī)則”，它與歐盟現(xiàn)行的數(shù)據(jù)保護(hù)指令不同。后者的實(shí)施還需要成員國進(jìn)一步立法，而“規(guī)則”將直接作為法律對(duì)歐盟所有成員國產(chǎn)生約束力，并且能夠在任何成員國的國內(nèi)法院中直接適用。由于“規(guī)則”的強(qiáng)制執(zhí)行力，后者一旦生效就將對(duì)所有成員國形成直接約束力，這對(duì)數(shù)據(jù)主體權(quán)利的保護(hù)將更加直接有效。歐盟個(gè)人數(shù)據(jù)保護(hù)立法大部分以指令形式出臺(tái)，這體現(xiàn)出歐盟在解決個(gè)人數(shù)據(jù)保護(hù)問題上的苦心孤詣。具體而言，根據(jù)《歐洲共同體條約》第189條的規(guī)定，指令本身對(duì)歐盟所有成員國均具有約束力，但其允許成員國國內(nèi)法自由選擇具體的實(shí)施方法和途徑。

（三）美歐之間：從安全港模式到隱私盾協(xié)議

具有鮮明英美法系傳統(tǒng)的美國法律制度一向以保障民眾自由為核心要義，并且美國國際貿(mào)易頻繁，實(shí)力雄厚的跨國公司眾多，信息技術(shù)水平獨(dú)占鰲頭。積極倡導(dǎo)電子商務(wù)的自由發(fā)展，謹(jǐn)慎立法，對(duì)個(gè)人信息保護(hù)采取比較弱化的政策更符合美國利益。美國形成了公私分立，以行業(yè)性聯(lián)邦立法為主，以憲法、普通法和各州立法為輔的立法體系，并建立了以個(gè)人救濟(jì)為中心、以市場(chǎng)調(diào)節(jié)為主導(dǎo)的個(gè)人信息保護(hù)機(jī)制[9]。為了協(xié)調(diào)跨境數(shù)據(jù)流通中歐盟立法保護(hù)與美國自律保護(hù)的沖突，美國和歐盟簽訂了歐美安全港協(xié)定。①美國《兒童在線隱私保護(hù)法》（Children＇s Online Privacy Protection Act，COPPA）是“安全港”概念的創(chuàng)建者；之所以稱之為“安全港”是因?yàn)橹灰髽I(yè)遵守了具有法律效用的行業(yè)規(guī)范，其行為就受到該規(guī)范的保護(hù)。具體表現(xiàn)形式為美國商務(wù)部建立的一個(gè)類似于“正面清單”的公共目錄，在聯(lián)邦交易委員會(huì)和美國交通運(yùn)輸部管轄下的任何組織，只要自愿遵守安全港原則就可以加入這個(gè)公共目錄，成為安全港的一員。[10]

然而，2015年10月，存在了15年之久的歐盟和美國的數(shù)據(jù)“安全港”協(xié)議被歐盟高等法院宣判無效。這一方面預(yù)示了美國在數(shù)據(jù)跨境流動(dòng)管理的制度方面與歐盟對(duì)接失敗，另一方面也表明了隨著政治經(jīng)濟(jì)社會(huì)環(huán)境的變化，數(shù)據(jù)跨境流動(dòng)管理的法律制度也需要不斷進(jìn)行調(diào)整，以規(guī)避互聯(lián)網(wǎng)時(shí)代下人人成為網(wǎng)絡(luò)“透明人”的風(fēng)險(xiǎn)。該協(xié)議的失效給眾多企業(yè)帶來了巨大的風(fēng)險(xiǎn)隱患，為此歐盟與美國火速展開談判，在2016年2月宣布重新達(dá)成了一個(gè)新協(xié)定，名曰“歐盟—美國隱私護(hù)盾”（EU－SU Privacy Shield），要求美國公司選擇與美國商務(wù)部達(dá)成一個(gè)包含示范條款的合同協(xié)議[11]該協(xié)議是歐盟和美國官方的行政分支條約，在美國主要被應(yīng)用于那些從歐盟獲得個(gè)人數(shù)據(jù)并希望獲得隱私盾權(quán)益的美國公司，其框架原則并不影響歐盟成員內(nèi)部的數(shù)據(jù)處理或者改變美國法律下的隱私義務(wù)。[12]該協(xié)議的核心是規(guī)范大西洋兩岸跨境轉(zhuǎn)移個(gè)人數(shù)據(jù)的美國公司關(guān)于隱私保護(hù)的內(nèi)容，或者采用包含隱私盾原則的公司規(guī)則，或者選擇與單獨(dú)的歐洲公民達(dá)成明晰的知情同意書。

四、閉關(guān)鎖國：俄羅斯跨境流動(dòng)數(shù)據(jù)的嚴(yán)格監(jiān)管制度

俄羅斯2006年就建立起較為完善的信息保護(hù)和數(shù)據(jù)管理等法律制度，等法律制度，如《關(guān)于信息、信息技術(shù)和信息保護(hù)法》《俄羅斯聯(lián)邦個(gè)人數(shù)據(jù)法》《俄羅斯聯(lián)邦大眾傳媒法》《俄羅斯聯(lián)邦安全局法》等。2013年的“棱鏡門事件”之后，基于維護(hù)國家安全的歷史傳統(tǒng)和現(xiàn)實(shí)中的網(wǎng)絡(luò)數(shù)據(jù)安全威脅，俄羅斯通過兩次修改立法，明確提出公民數(shù)據(jù)的存儲(chǔ)和處理必須在俄羅斯境內(nèi)進(jìn)行，成為強(qiáng)行實(shí)施數(shù)據(jù)本地化存儲(chǔ)的典型代表。此類國家還有巴西、印度、馬來西亞。[13]

2014年5月，俄羅斯修改了《關(guān)于信息、信息技術(shù)和信息保護(hù)法》，在“互聯(lián)網(wǎng)信息傳播組織者的義務(wù)”中增加了境內(nèi)留存的要求。該法規(guī)定：自網(wǎng)民接收、傳遞、發(fā)送和（或）處理語音信息、書面文字、圖像、聲音或者其他電子信息6個(gè)月內(nèi)，互聯(lián)網(wǎng)信息傳播組織者必須在俄羅斯境內(nèi)對(duì)上述信息及網(wǎng)民個(gè)人信息進(jìn)行保存。該修正案還要求互聯(lián)網(wǎng)信息傳播組織者有義務(wù)保留和（或）提供給國家偵查機(jī)關(guān)和安全機(jī)關(guān)上述信息，不履行者將進(jìn)行行政罰款。2014年7月，在《關(guān)于信息、信息技術(shù)和信息保護(hù)法》第16條第4款中增加一項(xiàng)，要求信息擁有者、信息系統(tǒng)運(yùn)營(yíng)方有義務(wù)對(duì)收集、整理、保存、更新、變動(dòng)、使用俄羅斯聯(lián)邦公民個(gè)人信息的數(shù)據(jù)庫存放在俄羅斯境內(nèi)。在《俄羅斯聯(lián)邦個(gè)人數(shù)據(jù)法》第18條增加第5款，要求收集個(gè)人數(shù)據(jù)（包括使用互聯(lián)網(wǎng)手段）時(shí)，運(yùn)營(yíng)商需要保證使用位于俄羅斯境內(nèi)的數(shù)據(jù)庫。

通過兩次修法，俄羅斯以立法確立了數(shù)據(jù)本地存儲(chǔ)的基本規(guī)則，主要包括三點(diǎn)：（1）公民個(gè)人信息及相關(guān)信息和數(shù)據(jù)庫的存儲(chǔ)行為需保證在俄羅斯境內(nèi)；（2）處理活動(dòng)也需要在俄境內(nèi)進(jìn)行，即對(duì)俄羅斯公民的個(gè)人數(shù)據(jù)的處理活動(dòng)需要使用俄羅斯境內(nèi)的數(shù)據(jù)庫；（3）使用人有將相關(guān)信息告知有關(guān)部門并協(xié)助有關(guān)部門執(zhí)法的義務(wù)。俄羅斯的立法規(guī)定十分嚴(yán)格，通過對(duì)企業(yè)施加法定的義務(wù)實(shí)現(xiàn)了政府對(duì)數(shù)據(jù)存儲(chǔ)、跨境傳輸、處理等環(huán)節(jié)的全面控制，從而掌握了本國數(shù)據(jù)跨境流動(dòng)的主動(dòng)權(quán)。[14]但是，這種近乎閉關(guān)自守的數(shù)據(jù)流動(dòng)管理方式使得大量外國互聯(lián)網(wǎng)公司的正常運(yùn)營(yíng)收到嚴(yán)重影響，一些公司甚至完全退出了俄羅斯市場(chǎng)，這使得俄羅斯本土互聯(lián)網(wǎng)公司失去了與國際一流互聯(lián)網(wǎng)公司交流學(xué)習(xí)的機(jī)會(huì)，進(jìn)而也在很大程度上失去了進(jìn)一步獲得優(yōu)質(zhì)數(shù)據(jù)的可能。俄羅斯的數(shù)據(jù)監(jiān)管模式究竟是利大于弊還是弊大于利，還有待長(zhǎng)時(shí)間的觀察后加以確定。但是據(jù)相關(guān)研究，美國貿(mào)易委員會(huì)和歐洲國際政治經(jīng)濟(jì)研究中心均有報(bào)告，數(shù)據(jù)儲(chǔ)存本地化要求、市場(chǎng)準(zhǔn)入限制、數(shù)據(jù)隱私和保護(hù)等因素阻礙了本國數(shù)字貿(mào)易的發(fā)展，限制數(shù)據(jù)自由流動(dòng)將對(duì)GDP增長(zhǎng)率產(chǎn)生負(fù)面影響。[15]

五、張弛有度：應(yīng)對(duì)跨境數(shù)據(jù)流動(dòng)監(jiān)管挑戰(zhàn)的中國智慧

我國個(gè)人數(shù)據(jù)保護(hù)起步較晚，相關(guān)立法和機(jī)構(gòu)設(shè)置還有待進(jìn)一步填補(bǔ)和完善。具體而言，在立法上，我國目前還沒有制定出專門的個(gè)人數(shù)據(jù)保護(hù)法，與個(gè)人數(shù)據(jù)保護(hù)直接或間接相關(guān)的法律法規(guī)數(shù)量也比較有限。從既有的相關(guān)立法來看，與個(gè)人數(shù)據(jù)保護(hù)直接相關(guān)的法律法規(guī)有《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《互聯(lián)網(wǎng)信息服務(wù)管理辦法》等專項(xiàng)法規(guī)以及《刑法》《侵權(quán)責(zé)任法》等立法當(dāng)中針對(duì)個(gè)人信息保護(hù)的一般性規(guī)定。我國個(gè)人數(shù)據(jù)保護(hù)機(jī)制建設(shè)較滯后于社會(huì)發(fā)展實(shí)踐，如何提高我國個(gè)人數(shù)據(jù)保護(hù)相關(guān)立法的及時(shí)性、專門性、全面性和有效性。與個(gè)人數(shù)據(jù)保護(hù)立法相對(duì)應(yīng)，我國在配套機(jī)構(gòu)設(shè)置方面也顯得匱乏和不足。總體而言，我國目前個(gè)人數(shù)據(jù)保護(hù)制度不足主要體現(xiàn)在以下幾個(gè)方面：缺乏統(tǒng)一完善的立法體系和權(quán)責(zé)分明的配套機(jī)構(gòu)；現(xiàn)有個(gè)人數(shù)據(jù)保護(hù)相關(guān)立法調(diào)整范圍有限；數(shù)據(jù)主體、數(shù)據(jù)控制者和數(shù)據(jù)處理者的權(quán)利與義務(wù)沒有明確的法律依據(jù)；相關(guān)政策透明度不高、法律法規(guī)不明確等。[16]

正是由于有上述不足的存在，許多從事國際貿(mào)易的中國企業(yè)在“走出去”時(shí)常常會(huì)面臨來自東道國的種種限制和阻礙。作為我國的頂層設(shè)計(jì)戰(zhàn)略，“一帶一路”必將充分依靠中國與有關(guān)國家既有的雙邊、多邊機(jī)制，借助既有的、行之有效的區(qū)域合作平臺(tái)實(shí)現(xiàn)共同繁榮?？梢源_定，如何對(duì)既有的跨境數(shù)據(jù)流動(dòng)國際法框架進(jìn)行重構(gòu)，并在此框架下最大程度地發(fā)揮我國互聯(lián)網(wǎng)企業(yè)的優(yōu)勢(shì)，搶占跨境數(shù)據(jù)流動(dòng)的制高點(diǎn)，對(duì)我國互聯(lián)網(wǎng)經(jīng)濟(jì)乃至整個(gè)“走出去”戰(zhàn)略都有著舉足輕重的意義。參與建立新的國際規(guī)則的前提是本國規(guī)則的先進(jìn)和完善，如何完善我國個(gè)人數(shù)據(jù)保護(hù)機(jī)制，提升我國數(shù)據(jù)保護(hù)水平，不僅必要而且緊迫。

（一）完善國內(nèi)數(shù)據(jù)保護(hù)的實(shí)體法律規(guī)定

世界上已經(jīng)有70多個(gè)國家和組織制定了數(shù)據(jù)保護(hù)相關(guān)立法。歐盟將數(shù)據(jù)保護(hù)看作是一項(xiàng)基本人權(quán)，是隱私保護(hù)的重要內(nèi)容，先后制定了《關(guān)于個(gè)人數(shù)據(jù)自動(dòng)化處理之個(gè)人保護(hù)公約》《歐盟數(shù)據(jù)保護(hù)指令》和《一般數(shù)據(jù)保護(hù)條例》等；美國通過了《隱私權(quán)法》《信息保護(hù)和安全法》等法律；俄羅斯制定了《關(guān)于信息、信息技術(shù)和信息保護(hù)法》《俄羅斯聯(lián)邦個(gè)人數(shù)據(jù)法》等法律。因此我國應(yīng)該積極借鑒歐美發(fā)達(dá)國家和組織的經(jīng)驗(yàn)，積極制定自己的數(shù)據(jù)保護(hù)法，在促進(jìn)我國國際貿(mào)易發(fā)展的同時(shí)，努力維護(hù)國民的隱私權(quán)利和國家的主權(quán)安全。

在立法上，抓緊制定專門的《中華人民共和國數(shù)據(jù)保護(hù)法》，明確個(gè)人數(shù)據(jù)保護(hù)權(quán)的內(nèi)涵以及相關(guān)主體的權(quán)利與義務(wù)，并將這些內(nèi)容妥善融入到相關(guān)立法中去，使我國立法在權(quán)衡人權(quán)保障和數(shù)據(jù)流通之間的價(jià)值不偏不倚。此外，修改或者完善其他部門法中有關(guān)個(gè)人數(shù)據(jù)保護(hù)規(guī)定，使新的專門法與原有部門法在個(gè)人數(shù)據(jù)保護(hù)規(guī)定方面能夠相互配合與協(xié)調(diào)，譬如使特殊規(guī)則與一般規(guī)則、行業(yè)規(guī)范能夠并行不悖且有效銜接，并最終建構(gòu)起適合我國國情的個(gè)人數(shù)據(jù)保護(hù)綜合模式。[17]其次，在機(jī)構(gòu)設(shè)置上，建立起權(quán)責(zé)分明、分工明確且各層級(jí)有效統(tǒng)籌銜接的機(jī)構(gòu)組織體系。按照從中央到地方的層級(jí)對(duì)個(gè)人數(shù)據(jù)保護(hù)機(jī)構(gòu)進(jìn)行布局，充分尊重我國不同地區(qū)實(shí)際發(fā)展情況。其中，中央一級(jí)是領(lǐng)導(dǎo)核心，地方一級(jí)則按照中央統(tǒng)一規(guī)劃部署和地區(qū)發(fā)展需求享有相應(yīng)政策制定權(quán)和監(jiān)督管轄權(quán)。最后，還要加強(qiáng)司法和執(zhí)法效力，以確保個(gè)人數(shù)據(jù)保護(hù)立法和機(jī)構(gòu)配置都能發(fā)揮最佳效用。其中應(yīng)特別關(guān)注歐盟個(gè)人數(shù)據(jù)保護(hù)專員（EDPS）和歐盟個(gè)人數(shù)據(jù)保護(hù)官（DPO）制度，探討移植借鑒的可能性。

（二）尋求隱私分類保護(hù)和促進(jìn)互聯(lián)網(wǎng)經(jīng)濟(jì)的動(dòng)態(tài)平衡

跨境數(shù)據(jù)流動(dòng)的保護(hù)手段、保護(hù)傾向、保護(hù)水平，在技術(shù)快速革新的今天缺乏一個(gè)國際標(biāo)準(zhǔn)；而這都需要各個(gè)國家在人數(shù)據(jù)的保護(hù)水平和跨境數(shù)據(jù)流通的效率上達(dá)成共識(shí)。只有這樣，才能更好應(yīng)對(duì)不同國家或者區(qū)域間因政治、經(jīng)濟(jì)、文化傳統(tǒng)、宗教信仰而導(dǎo)致的混亂與沖突，以及大數(shù)據(jù)時(shí)代賦予“數(shù)據(jù)”的新內(nèi)涵，才能更好應(yīng)對(duì)國際上不同管理模式以及數(shù)字經(jīng)濟(jì)快速發(fā)展帶來的新變化。

在數(shù)據(jù)時(shí)代，數(shù)據(jù)成為最有價(jià)值的資產(chǎn)。跨境數(shù)據(jù)數(shù)量大，種類多，并且各國法律制度、經(jīng)濟(jì)制度、政治制度和社會(huì)習(xí)慣存在著巨大的差異，因此針對(duì)跨境數(shù)據(jù)的管理也是困難重重。單一的、被動(dòng)的管理方式已經(jīng)難以適應(yīng)當(dāng)下跨境數(shù)據(jù)發(fā)展的大趨勢(shì)，建立多元化的數(shù)據(jù)管理手段已經(jīng)是迫在眉睫的事情。本文認(rèn)為建立分類的跨境數(shù)據(jù)管理手段無疑是當(dāng)務(wù)之急，其中尤以將隱私保護(hù)信息例外信息進(jìn)行明文規(guī)定最為緊要。盡管應(yīng)當(dāng)排除在隱私保護(hù)信息范圍之外的數(shù)據(jù)類型存在爭(zhēng)議，但是以下兩類數(shù)據(jù)的例外規(guī)定基本已經(jīng)形成一致意見。一如政府?dāng)?shù)據(jù)。信息技術(shù)的發(fā)展與透明度要求的提高使得信息管理行為與電子政務(wù)建設(shè)被加入政府的基本社會(huì)治理范疇當(dāng)中，政府能夠使用公民信息。開放政府?dāng)?shù)據(jù)蘊(yùn)含著巨大的經(jīng)濟(jì)社會(huì)發(fā)展?jié)摿?，既是各國?chuàng)建創(chuàng)新型政府的重要驅(qū)動(dòng)力，也是加強(qiáng)公共信息資源管理的重要內(nèi)容。二如金融數(shù)據(jù)。金融數(shù)據(jù)不公開造成了數(shù)據(jù)孤島，大大減少了數(shù)據(jù)的價(jià)值，降低了整個(gè)社會(huì)金融運(yùn)行的效率并提高了社會(huì)成本，同時(shí)也助長(zhǎng)了因?yàn)榉忾]帶來的金融壟斷，不利于社會(huì)經(jīng)濟(jì)的良性發(fā)展。數(shù)據(jù)的價(jià)值在于關(guān)聯(lián)，但是金融行業(yè)的數(shù)據(jù)大部分是割裂和分散的。只有充分實(shí)現(xiàn)金融數(shù)據(jù)的共享和流動(dòng)，才能真正實(shí)現(xiàn)資源的充分配置。

（三）在第三國充分保護(hù)原則基礎(chǔ)上放開部分跨境數(shù)據(jù)流動(dòng)

關(guān)于跨境數(shù)據(jù)流通的管理最高效的方式就是全面落實(shí)第三國提供充分保護(hù)原則，把包括第三國提供充分保護(hù)、數(shù)據(jù)控制者及數(shù)據(jù)處理者采取適當(dāng)保護(hù)措施并列為跨境數(shù)據(jù)流通的條件，實(shí)現(xiàn)在強(qiáng)化風(fēng)險(xiǎn)管理基礎(chǔ)上放開部分跨境數(shù)據(jù)流動(dòng)。

全面落實(shí)第三國提供充分保護(hù)原則要求，數(shù)據(jù)管理部門認(rèn)定數(shù)據(jù)控制者、數(shù)據(jù)處理者能提供適當(dāng)數(shù)據(jù)保護(hù)措施即可向第三國傳輸個(gè)人數(shù)據(jù)，無需再經(jīng)其他部門乃至相關(guān)國家的批準(zhǔn)。這里的保護(hù)措施可以參照歐盟的《個(gè)數(shù)數(shù)據(jù)保護(hù)指令的》[18]的相關(guān)規(guī)定。數(shù)據(jù)控制者、數(shù)據(jù)處理者采取兩國簽署的標(biāo)準(zhǔn)合同條款和兩國數(shù)據(jù)保護(hù)機(jī)構(gòu)制定的標(biāo)準(zhǔn)合同條款的數(shù)據(jù)保護(hù)措施的情形下，跨境數(shù)據(jù)傳輸無需經(jīng)過其他數(shù)據(jù)保護(hù)機(jī)構(gòu)的批準(zhǔn)。數(shù)據(jù)控制者、數(shù)據(jù)處理者采取具有約束力的公司規(guī)章和兩國數(shù)據(jù)保護(hù)機(jī)構(gòu)特別批準(zhǔn)的合同條款等保護(hù)措施的情況下，需由兩國數(shù)據(jù)保護(hù)機(jī)構(gòu)批準(zhǔn)，不過這種批準(zhǔn)的統(tǒng)一程序以確保兩國簽署的數(shù)據(jù)保護(hù)的合同的統(tǒng)一執(zhí)行。這樣一來，才能在維護(hù)了數(shù)據(jù)保護(hù)法統(tǒng)一性的同時(shí)，形成了利于跨境數(shù)據(jù)流通的機(jī)制體系。

針對(duì)除上述兩種情形外可對(duì)第三國進(jìn)行數(shù)據(jù)傳輸?shù)睦馇樾?，我國?yīng)當(dāng)學(xué)習(xí)英國數(shù)據(jù)保護(hù)法中的“國際數(shù)據(jù)流通的自我評(píng)價(jià)機(jī)制”。即數(shù)據(jù)控制者、數(shù)據(jù)處理者可不經(jīng)數(shù)據(jù)保護(hù)機(jī)構(gòu)事前批準(zhǔn)，為自身合法利益需要而向第三國傳輸個(gè)人數(shù)據(jù)（但經(jīng)常性、大規(guī)模的數(shù)據(jù)傳輸除外），不過必須在傳輸前對(duì)數(shù)據(jù)傳輸進(jìn)行評(píng)估并在此基礎(chǔ)上采取必要保護(hù)措施。這種無嚴(yán)密保護(hù)措施且不經(jīng)批準(zhǔn)可進(jìn)行跨境數(shù)據(jù)流通的機(jī)制是在適應(yīng)瞬息萬變的國際貿(mào)易環(huán)境和難以預(yù)知的世界政治環(huán)境的靈活舉措；但這種舉措給跨境數(shù)據(jù)流動(dòng)帶來了隱私外泄、危機(jī)國家安全的風(fēng)險(xiǎn)，因此這種舉措的實(shí)施必須是十分有限的。

結(jié)語

由APEC制定的、亞太地區(qū)經(jīng)濟(jì)一體化的基礎(chǔ)性規(guī)則、亞太地區(qū)唯一的專門規(guī)范跨境數(shù)據(jù)傳輸?shù)膮^(qū)域性規(guī)則——《跨境隱私規(guī)則體系》，截止2015年8月底成員只有美國、墨西哥和日本，加拿大和越南正在申請(qǐng)加入，中國并不在該體系內(nèi)。且在2015年，歐盟和APEC雙方就各自的規(guī)則進(jìn)行了融合探討，為未來建立適用于雙方的統(tǒng)一規(guī)則打好了基礎(chǔ)。作為亞太經(jīng)濟(jì)合作組織中重要的一員，我國應(yīng)發(fā)揮主導(dǎo)地位，主動(dòng)接受《跨境隱私規(guī)則體系》，實(shí)現(xiàn)國內(nèi)法律制度與其對(duì)接，才能確保信息和數(shù)據(jù)安全自由流動(dòng)，促進(jìn)貿(mào)易尤其是服務(wù)貿(mào)易開放。

總體而言，在數(shù)據(jù)的跨境流通領(lǐng)域，未來的方向應(yīng)該朝著在維護(hù)數(shù)據(jù)保護(hù)法規(guī)的統(tǒng)一的同時(shí)，適當(dāng)降低標(biāo)準(zhǔn)、明確并簡(jiǎn)化程序的方向努力。這樣的改革方向?qū)⑸钍芸鐕練g迎的，并大大促進(jìn)跨境數(shù)據(jù)流通，為世界國際貿(mào)易的發(fā)展提供新的助力。建立統(tǒng)一的協(xié)調(diào)機(jī)制以管理數(shù)據(jù)的跨境流動(dòng)是各個(gè)區(qū)域或國家未來經(jīng)濟(jì)合作的基礎(chǔ)，我國必須主動(dòng)融入這些規(guī)則體系中，才能在經(jīng)濟(jì)全球化、自由化中扮演更為關(guān)鍵的角色。

[1]樊重俊．?dāng)?shù)據(jù)庫基礎(chǔ)及應(yīng)用[M]．立信會(huì)計(jì)出版社，2015．277．

[2]GILBERT，F(xiàn)RANCOISE．European Data Protection 2．0：New Compliance Requirements in Sight－What the Proposed EU Data Protection Regulation Means for U．S．Companies[J]．Santa Clara Computer ＆ High Technology Law Journal，Vol．28，Issue 4（2011-2012），pp．815-864．

[3]賈開．跨境數(shù)據(jù)流動(dòng)的全球治理：權(quán)力沖突與政策合作——以歐美數(shù)據(jù)跨境流動(dòng)監(jiān)管制度的演進(jìn)為例[J]．汕頭大學(xué)學(xué)報(bào)（人文社會(huì)科學(xué)版），2017（3）：61．

[4]HERT，P．J．A．De，and V．Papakonstantinou．Three scenarios for international governance of data privacy：Towards an international data privacy organization，preferably a UN agency[J]．Journal of Law ＆ Policy，September，2013，pp．271-324．

[5]NEIL ROBINSON，HANS GRAUX．Review of the European Data Protection Directive[M]．Rand Corporation，2009，33（9）：2528．

[6]JOHANNA G Tan．A Comparative Study of the APEC Privacy Framework－A New Voice in the Data Protection Dialogue[J]．Asian Journal of Comparative Law，2008，3（1）．

[7]REIDENBERG，J．R．．Resolving Conflicting International Data PrivacyRules in Cyberspace[J]．Stanford Law Review，2000，52（5）：1315-1371．

[8]NIGEL WATERS．The APEC Asia－Pacific Privacy Initiative：A New Route to Effective Data Protection or a Trojan Horse for Self－Regulation[EB／OL]．http：／／www2．law．ed．a(chǎn)c．uk／ahrc／script-ed／vol6-1／waters．pdf．

[9]齊愛民．拯救信息社會(huì)中的人格——個(gè)人信息保護(hù)法總論[M]．北京大學(xué)出版社，2009．184．

[10]耿晨．個(gè)人數(shù)據(jù)跨境流動(dòng)的國際監(jiān)管與合作制度研究[D]．華東政法大學(xué)2014年碩士論文：44－45．

[11]THE U．S．Department of Commerce，EU－SU Privacy Shield[EB／OL]．https：／／www．privacyshield．gov／EU-US-Framework．

[12]曹杰，王晶．跨境數(shù)據(jù)流動(dòng)規(guī)則分析[J]．國際經(jīng)貿(mào)探索，2017（4）：108－109．

[13]石月．?dāng)?shù)字經(jīng)濟(jì)環(huán)境下的跨境數(shù)據(jù)流動(dòng)管理[J]．信息安全與通信保密，2015（10）：102．

[14]何波．俄羅斯跨境數(shù)據(jù)流動(dòng)立法規(guī)則與執(zhí)法實(shí)踐[J]．大數(shù)據(jù)，2016（6）：131．

[15]付偉，于長(zhǎng)鉞．美歐跨境數(shù)據(jù)流動(dòng)管理機(jī)制研究及我國的對(duì)策建議[J]．中國信息化，2017（6）：55－56．

[16]黃道麗，張敏．大數(shù)據(jù)背景下我國個(gè)人數(shù)據(jù)法律保護(hù)模式分析[EB／OL]．人民網(wǎng)，2015－7－10．http：／／theory．people．com．cn／n／2015／0710／c387081－27283556．html．

[17]劉碧琦．美歐《隱私盾協(xié)議》評(píng)析[J]．國際法研究，2016（6）：44－45．

[18]European Union．Directive 95／46／EC of the European Parliament and of the Council on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data[EB／OL]．http：／／www．refworld．org／docid／3ddcc1c74．html．