伍藝

摘要：為打擊跨國(guó)網(wǎng)絡(luò)犯罪，維護(hù)國(guó)家安全，各國(guó)積極開展雙邊或多邊的執(zhí)法合作，其中對(duì)個(gè)人數(shù)據(jù)的保護(hù)問題成為關(guān)注的焦點(diǎn)。執(zhí)法領(lǐng)域個(gè)人數(shù)據(jù)保護(hù)的全球標(biāo)準(zhǔn)尚未形成，美國(guó)和歐盟因數(shù)據(jù)保護(hù)立法的差異性和對(duì)隱私權(quán)概念的不同理解，在致力于協(xié)調(diào)兩國(guó)數(shù)據(jù)保護(hù)立法上進(jìn)行了諸多嘗試，美國(guó)和歐盟簽訂了一系列數(shù)據(jù)分享協(xié)定，比如《歐盟美國(guó)雙邊法律互助協(xié)定》《旅客訂座記錄協(xié)定》《環(huán)球銀行金融電信協(xié)會(huì)協(xié)定》等，但這些數(shù)據(jù)分享協(xié)定有不同的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)。為了重建跨大西洋數(shù)據(jù)流動(dòng)的信任，美國(guó)和歐盟達(dá)成了《歐美數(shù)據(jù)保護(hù)總協(xié)定》，為美國(guó)和歐盟提供綜合性的執(zhí)法領(lǐng)域數(shù)據(jù)保護(hù)框架。根據(jù)美國(guó)和歐盟的經(jīng)驗(yàn)，我國(guó)應(yīng)積極參與全球多邊規(guī)則的制定、統(tǒng)一國(guó)內(nèi)個(gè)人數(shù)據(jù)保護(hù)規(guī)則、針對(duì)執(zhí)法領(lǐng)域個(gè)人數(shù)據(jù)保護(hù)進(jìn)行專門立法、分階段和分部門與境外執(zhí)法機(jī)構(gòu)訂立雙邊協(xié)定。

關(guān)鍵詞：個(gè)人數(shù)據(jù)保護(hù)；跨境數(shù)據(jù)轉(zhuǎn)移；執(zhí)法合作；國(guó)家安全

中圖分類號(hào)：D914；D923.8文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1673-8268（2018）03-0052-08

一、引言

全面加強(qiáng)網(wǎng)絡(luò)空間法治建設(shè)，是習(xí)近平新時(shí)代中國(guó)特色社會(huì)主義思想的新要求。只有全面加強(qiáng)網(wǎng)絡(luò)空間法制建設(shè)，建立完善的網(wǎng)絡(luò)空間法治體系，才能更好地落實(shí)總書記全面依法治國(guó)的新要求。個(gè)人數(shù)據(jù)保護(hù)和國(guó)家安全目標(biāo)的平衡是網(wǎng)絡(luò)空間法治的焦點(diǎn)議題之一。近年來，我國(guó)關(guān)于網(wǎng)絡(luò)安全的規(guī)制，分別從法律法規(guī)、戰(zhàn)略政策、管理體制等方面入手，全面開展數(shù)據(jù)資源安全保障實(shí)踐，將大數(shù)據(jù)安全納入到我國(guó)總體安全觀中。為打擊網(wǎng)絡(luò)犯罪和經(jīng)濟(jì)犯罪、加強(qiáng)反恐行動(dòng)、打擊人口販賣、反腐敗和追逃追贓，與世界各國(guó)開展執(zhí)法安全合作是必由之路。

自美國(guó)911恐怖襲擊事件之后，恐怖主義對(duì)國(guó)家安全的威脅引起了全世界的廣泛關(guān)注。2001年，聯(lián)合國(guó)安理會(huì)就提出進(jìn)行全球反恐合作，各國(guó)政府也認(rèn)為有必要建立全球性的安全合作機(jī)制，自此各國(guó)加強(qiáng)了反恐合作，但恐怖襲擊仍接連發(fā)生。為了進(jìn)一步精確地發(fā)現(xiàn)、調(diào)查、阻止和控訴恐怖主義和嚴(yán)重的刑事犯罪，政府執(zhí)法機(jī)構(gòu)以保護(hù)國(guó)家安全為由對(duì)旅行者數(shù)據(jù)、金融數(shù)據(jù)、面部識(shí)別數(shù)據(jù)以及網(wǎng)絡(luò)使用者的活動(dòng)等數(shù)據(jù)進(jìn)行廣泛的收集，反恐政策中許多措施都依靠處理和分享執(zhí)法機(jī)構(gòu)掌握的數(shù)據(jù)來實(shí)施。在這些措施的實(shí)施過程中，個(gè)人數(shù)據(jù)保護(hù)的問題成為了各方關(guān)注的焦點(diǎn)。尤其是歐盟的數(shù)據(jù)保護(hù)是自成一類的法律體系，其數(shù)據(jù)保護(hù)的標(biāo)準(zhǔn)非常嚴(yán)格。由于美歐在數(shù)據(jù)和隱私保護(hù)問題上存在大量不易協(xié)調(diào)的立法差異，美國(guó)和歐盟簽署了許多關(guān)于以執(zhí)法為目的的數(shù)據(jù)收集、處理、儲(chǔ)存和轉(zhuǎn)移的協(xié)定。目前缺乏全球的隱私和數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，在執(zhí)法領(lǐng)域達(dá)成一個(gè)全球性的數(shù)據(jù)保護(hù)框架并非易事。本文主要研究美歐執(zhí)法機(jī)構(gòu)在法律實(shí)施過程中的個(gè)人數(shù)據(jù)保護(hù)問題，并不包含國(guó)家間進(jìn)行商業(yè)數(shù)據(jù)轉(zhuǎn)移的問題。以美國(guó)和歐盟為研究視角，主要是因?yàn)槊罋W之間的合作是目前最先進(jìn)的，涉及大量的法律問題。通過對(duì)美歐國(guó)際數(shù)據(jù)治理規(guī)則的研究，提出中國(guó)參與執(zhí)法合作的個(gè)人數(shù)據(jù)保護(hù)路徑。

二、跨境數(shù)據(jù)交換協(xié)定的源起

（一）國(guó)家安全合作的需要

自 20世紀(jì)90年代起，歐盟和美國(guó)就開始在不同的安全議題上進(jìn)行合作。美國(guó)911恐怖襲擊事件之后，美國(guó)加強(qiáng)了反恐措施，呼吁所有國(guó)家提供支持。由于免簽的西歐圣戰(zhàn)者很容易進(jìn)入美國(guó)，且基地組織的一些據(jù)點(diǎn)也在歐盟成員國(guó)找到，在比利時(shí)、法國(guó)、德國(guó)、意大利、西班牙、英國(guó)逮捕了一些與911恐怖襲擊事件相關(guān)的基地組織成員，所以，同歐盟執(zhí)法機(jī)構(gòu)的合作成為美國(guó)的首要選擇。但是，在反恐政策上，美國(guó)和歐盟的路徑不同，美國(guó)的反恐措施主要集中于增加軍事措施和武力，歐盟的反恐計(jì)劃則以執(zhí)法機(jī)構(gòu)和情報(bào)機(jī)構(gòu)的預(yù)防措施為首要考慮[1]。因此，歐盟常被認(rèn)為是“平民的”（civilian）或是“軟權(quán)力”（soft power）的，因?yàn)樗岢氖欠擒娛禄头敲{迫性的措施。然而，美國(guó)則施行的是一種“硬權(quán)力”（hard power），通過運(yùn)用霸權(quán)來出口自己的價(jià)值觀念[2]。 雖然歐盟對(duì)全球安全規(guī)則的影響力很大，但是在美國(guó)的反恐規(guī)則面前，一樣成為了規(guī)則的接受者“norm-taker”，因?yàn)?11恐怖襲擊事件發(fā)生之后，美國(guó)基于數(shù)據(jù)交換的反恐措施迫在眉睫。但通過長(zhǎng)期的安全合作，美歐之間還是達(dá)成了優(yōu)先使用預(yù)防措施而非軍事干涉的一致意見。雖然美歐企圖通過推進(jìn)共同目標(biāo)來強(qiáng)調(diào)跨大西洋領(lǐng)域的共同價(jià)值觀，比如民主、法治、市場(chǎng)經(jīng)濟(jì)和人權(quán)，但在處理安全問題上他們并不是通常保持一致的目標(biāo)取向。尤其在斯諾登“棱鏡門事件”之后，美歐的“聯(lián)盟價(jià)值”（alliance of values）降至冰點(diǎn)。

（二）立法保護(hù)的差異性不易協(xié)調(diào)

歐盟的數(shù)據(jù)保護(hù)體系是通過歐盟初級(jí)法律和次級(jí)法律的綜合性規(guī)制，加上歐盟法院（Court of Justice of the European Union，CJEU）和歐洲人權(quán)法院（European Court of Human Rights，ECtHR）判例法形成。自《里斯本條約》生效以來，數(shù)據(jù)保護(hù)被歐盟確立為一項(xiàng)基本權(quán)利。執(zhí)法領(lǐng)域數(shù)據(jù)保護(hù)的基本原則已經(jīng)形成，歐盟數(shù)據(jù)保護(hù)正朝著規(guī)則更加統(tǒng)一、對(duì)數(shù)據(jù)控制者和處理者的規(guī)制更加直接以及對(duì)個(gè)人數(shù)據(jù)保護(hù)權(quán)利更加重視的方向發(fā)展。美國(guó)法律中以憲法條文來規(guī)制執(zhí)法領(lǐng)域的數(shù)據(jù)保護(hù)十分有限。多年來，適用于美國(guó)公民和非美國(guó)公民的權(quán)利及程序方面的機(jī)構(gòu)性差異問題是歐盟關(guān)注的焦點(diǎn)。由于美國(guó)和歐盟數(shù)據(jù)保護(hù)存在著憲法保護(hù)的差異、數(shù)據(jù)保護(hù)的標(biāo)準(zhǔn)不同、數(shù)據(jù)分享的方式不同、監(jiān)督機(jī)制的獨(dú)立性不同以及權(quán)利救濟(jì)的起點(diǎn)和適用范圍不同，所以盡管在某種程度上某些法律概念是相近的，但大部分歐盟數(shù)據(jù)保護(hù)規(guī)定都不存在于美國(guó)法之中。即便是對(duì)美國(guó)公民適用的所有數(shù)據(jù)保護(hù)規(guī)則均對(duì)歐盟公民適用，但在歐盟看來仍存在著巨大的差異，因?yàn)槊绹?guó)的數(shù)據(jù)保護(hù)尚未形成統(tǒng)一的數(shù)據(jù)保護(hù)體系，在涉及非美國(guó)公民時(shí)這一缺陷則更加凸顯?！?015司法救濟(jì)法案》和《自由法案》也僅在一定程度上改善其沖突局面。

（三）歷史因素導(dǎo)致“隱私權(quán)”概念的差異

歐盟將“隱私”作為一種人權(quán)予以保護(hù)，然而美國(guó)傾向于將“隱私”作為一種超國(guó)家的自由權(quán)。這種差別主要由歷史原因造成，歐洲人在經(jīng)歷了納粹利用公共和教堂數(shù)據(jù)識(shí)別猶太人，對(duì)猶太人進(jìn)行大屠殺的歷史遭遇中變得尤其敏感。由于個(gè)人數(shù)據(jù)被濫用造成的惡果，使得保護(hù)“人的尊嚴(yán)”和“個(gè)人身份”的理念在20世紀(jì)和21世紀(jì)的歐洲更加鞏固。除了《歐盟基本權(quán)利憲章》（Charter of Fundamental Rights of the European Union，CFR）第七條規(guī)定了“每個(gè)人都有權(quán)享受私人生活”外，還在第八條中進(jìn)一步規(guī)定了“數(shù)據(jù)保護(hù)權(quán)”（right to data protection）。隱私權(quán)和數(shù)據(jù)保護(hù)權(quán)最大的區(qū)別就是，數(shù)據(jù)保護(hù)權(quán)是一種自決權(quán)，個(gè)人可以決定他們的數(shù)據(jù)將被怎樣處理，所以，數(shù)據(jù)保護(hù)權(quán)與個(gè)人尊嚴(yán)相關(guān)。美國(guó)法僅使用“隱私權(quán)”的概念，但是歐盟法將“隱私權(quán)”和“數(shù)據(jù)保護(hù)權(quán)”視為兩種不同的概念[3]。在歐盟，數(shù)據(jù)保護(hù)權(quán)已形成“一般法律原則”，并受《歐洲聯(lián)盟運(yùn)行條約》（Treaty on the Functioning of the European Union，TFEU）第十六條的規(guī)制。數(shù)據(jù)保護(hù)的基本權(quán)利長(zhǎng)期都受到歐盟法院、歐盟成員國(guó)法院、歐洲人權(quán)法院的判例法保護(hù)，幾乎所有的成員國(guó)憲法都加入了數(shù)據(jù)保護(hù)概念。

因美歐對(duì)“隱私”概念的不同理解導(dǎo)致了政府在“隱私權(quán)”保護(hù)中的職能差別。在美國(guó)，政府在隱私權(quán)保護(hù)中的義務(wù)是盡量克制，不采取特殊的措施，是一種“消極責(zé)任”（negative duty），但是在歐盟，隱私權(quán)保護(hù)是一種“積極責(zé)任”（positive duty），政府堅(jiān)決肯定地保護(hù)隱私權(quán)[4]。對(duì)于歐盟而言，政府僅克制采取不合理的措施是不夠的，而是有附加的積極義務(wù)確保任何個(gè)人都不會(huì)受到任何第三方（政府性的或非政府性）的不法干預(yù)。由于歷史觀念的影響和政府職能的差別，隱私權(quán)、數(shù)據(jù)保護(hù)權(quán)和言論自由權(quán)在美國(guó)和歐盟所占的比重不同。在美國(guó)，言論自由權(quán)的比重相比隱私權(quán)要大，比如美國(guó)《梅根法》就是美國(guó)言論自由的一種表達(dá)方式。

由于以上原因，盡管美國(guó)和歐盟參與了一系列全球性隱私和數(shù)據(jù)保護(hù)規(guī)則，但并未建立起普遍的數(shù)據(jù)保護(hù)框架，在特殊部門領(lǐng)域仍主要依靠跨境數(shù)據(jù)交換協(xié)定來進(jìn)行數(shù)據(jù)交換。三、美歐主要的跨境數(shù)據(jù)交換協(xié)定及數(shù)據(jù)保護(hù)條款美歐之間交換數(shù)據(jù)的渠道多種多樣，可以通過司法請(qǐng)求函、法院傳票傳喚、非正式會(huì)議等。本文主要就美國(guó)和歐盟之間主要的數(shù)據(jù)交換協(xié)定進(jìn)行闡述。美國(guó)和歐盟主要簽署了《歐盟美國(guó)雙邊司法互助協(xié)定》（EU-US Mutual Legal Assistance Treaty，以下簡(jiǎn)稱《EU-US MLAT》）、《旅客訂座記錄協(xié)定》（Passenger Name Records Agreement，以下簡(jiǎn)稱《PNR協(xié)定》）、《環(huán)球銀行金融電信協(xié)會(huì)協(xié)定》（Society for the Worldwide Interbank Financial Telecommunication Agreement，以下簡(jiǎn)稱《SWIFT協(xié)定》）。

（一）跨境數(shù)據(jù)交換協(xié)定

1.《EU-US MLAT》

在簽署《EU-US MLAT》之前，歐洲已經(jīng)有16個(gè)國(guó)家同美國(guó)簽署了雙邊互助協(xié)定，一些聯(lián)合國(guó)的公約也包含了雙邊司法互助的條款。歐盟層面，歐洲委員會(huì)在1959年就已經(jīng)有關(guān)于司法互助的公約，歐盟成員國(guó)之間也在2000年就達(dá)成了互助公約。在911事件后的2003年7月25日，美歐簽署了《EU-US MLAT》，該協(xié)定主要是在美國(guó)的高壓下產(chǎn)生的，該協(xié)定生效后，雙邊的司法機(jī)構(gòu)在調(diào)查犯罪中可以獲取銀行賬戶和金融數(shù)據(jù)。但該協(xié)定的運(yùn)用效果和幾率并不高，各成員國(guó)對(duì)該協(xié)定的批準(zhǔn)程序非常緩慢，有的在2010年2月才生效。即便是批準(zhǔn)后，也仍然存在從請(qǐng)求到執(zhí)行程序時(shí)間過長(zhǎng)的問題，一個(gè)程序走完大概需要十個(gè)月或者更長(zhǎng)的時(shí)間，且沒有網(wǎng)上的遞交系統(tǒng)，許多政府機(jī)構(gòu)并不知道怎樣來發(fā)送請(qǐng)求，后續(xù)的程序要求也很多。當(dāng)一個(gè)請(qǐng)求發(fā)送至美國(guó)，美國(guó)國(guó)際事務(wù)辦公室（Office of International Affairs，OIA）首先進(jìn)行審查，再發(fā)送到地區(qū)檢察官，最后由美國(guó)司法部對(duì)這一請(qǐng)求進(jìn)行探討。實(shí)際上，歐盟成員國(guó)和美國(guó)官方機(jī)構(gòu)缺乏對(duì)互助協(xié)定渠道的使用，一些國(guó)家經(jīng)常通過其他國(guó)家的公司獲得數(shù)據(jù)，或通過非正式電郵的方式，而非采取司法互助協(xié)定的形式。

2.《PNR協(xié)定》

《PNR協(xié)定》也是受美國(guó)反恐政策的影響產(chǎn)生的。2001年10月，美國(guó)頒布了《航空運(yùn)輸安全法案》，該法案規(guī)定所有歐洲的航空公司航班降落和從美國(guó)領(lǐng)域起飛都必須向美國(guó)海關(guān)邊防總署提供電子旅客訂座記錄數(shù)據(jù)。2001年之前，美國(guó)的執(zhí)法機(jī)構(gòu)僅能通過手動(dòng)方式根據(jù)個(gè)案需要，經(jīng)CJEU同意，才可獲得必要的數(shù)據(jù)[5]。911事件之后，美國(guó)法律要求所有的航空公司航班抵達(dá)、中轉(zhuǎn)、離開美國(guó)領(lǐng)土都需要在離境之前通過電子方式轉(zhuǎn)移所有的旅客訂座記錄。如果任何航空公司不遵守該規(guī)定，則可能遭受嚴(yán)重后果，比如，取消其在美國(guó)領(lǐng)土內(nèi)所有地區(qū)的著陸權(quán)，驅(qū)除出美國(guó)市場(chǎng)，或是進(jìn)行罰款，只要一個(gè)旅客數(shù)據(jù)遺漏則可能遭受高達(dá)5 000美元的罰款。如果遵守美國(guó)法律，歐盟的航空公司則違背了歐盟法律框架，特別是《歐洲議會(huì)和歐盟理事會(huì)1995年10月24日關(guān)于涉及個(gè)人數(shù)據(jù)處理的個(gè)人保護(hù)以及此類數(shù)據(jù)自由流動(dòng)的第95/46/EC號(hào)指令》（以下簡(jiǎn)稱95/46/EC指令），該指令第二十五條規(guī)定，如向第三國(guó)轉(zhuǎn)移數(shù)據(jù)需事先通過歐盟委員會(huì)“充分保護(hù)決定”（adequacy decision）的認(rèn)證，但美國(guó)并沒有得到認(rèn)證。為了解決美國(guó)和歐盟法律之間的沖突，歐盟委員會(huì)要求美國(guó)機(jī)構(gòu)延長(zhǎng)歐盟公司遵守新法的期限，并開啟了PNR協(xié)定的談判，旨在達(dá)成與95/46/EC指令第二十五條標(biāo)準(zhǔn)相關(guān)的條款。2004年至2011年，美國(guó)和歐盟陸續(xù)達(dá)成了四份《PNR協(xié)定》。第四份《PNR協(xié)定》于2012年7月開始生效，至少要到2019年才會(huì)考慮更新的問題?！禤NR辦定》被美國(guó)官方認(rèn)為是很高效的工具，2008年至2009年，美國(guó)通過數(shù)據(jù)識(shí)別了超過3 000個(gè)潛在的恐怖分子。比如，2008年孟買襲擊的策劃者David Headley在芝加哥機(jī)場(chǎng)被捕就是通過他的PNR數(shù)據(jù)確認(rèn)的。Faisal Shahzad是2010年5月1日美國(guó)紐約時(shí)代廣場(chǎng)汽車炸彈襲擊案的行兇者，Najibullah Zazi是紐約地鐵放置炸彈的行兇者，美國(guó)警方都是通過獲得他們的PNR數(shù)據(jù)對(duì)其進(jìn)行的抓捕。

3.《SWIFT協(xié)定》

美國(guó)和歐盟從2001年9月11日開始交換金融數(shù)據(jù)，2001年12月，美國(guó)和歐盟執(zhí)法機(jī)構(gòu)（EU law enforcement agency，Europol）簽訂了兩份協(xié)定促進(jìn)全球金融數(shù)據(jù)的交換，這也是布什政府在911事件之后“恐怖主義金融跟蹤計(jì)劃”（Terrorist Finance Tracking Program，TFTP）的一部分。有了TFTP，美國(guó)官方可以通過環(huán)球銀行金融電信協(xié)會(huì)（Society for Worldwide Interbank Financial Telecommunications，SWIFT）私人公司獲得歐盟公民的數(shù)據(jù)。這個(gè)計(jì)劃是秘密進(jìn)行的，歐盟并不知情，因?yàn)镾WIFT公司的總部在比利時(shí)，但是在美國(guó)領(lǐng)域內(nèi)有服務(wù)器，美國(guó)可以通過官方傳喚的方式讓其提供標(biāo)準(zhǔn)信息。這個(gè)計(jì)劃對(duì)于美國(guó)執(zhí)法機(jī)構(gòu)來說非常有吸引力，因?yàn)樵摴緩?00個(gè)國(guó)家中的1 000家金融機(jī)構(gòu)處收集了個(gè)人數(shù)據(jù)[6]。美國(guó)每天可以獲得1.27千萬的交易數(shù)據(jù)，一旦數(shù)據(jù)被獲得將會(huì)被保存124天[7]。2006年，《紐約時(shí)報(bào)》揭露了TFTP計(jì)劃，從那時(shí)起，歐盟就開始注意到通過在美國(guó)的服務(wù)器傳輸歐盟公民數(shù)據(jù)的問題。既然SWIFT的總部在比利時(shí)，它就應(yīng)該遵守比利時(shí)國(guó)內(nèi)法執(zhí)行95/46/EC指令。2006年10月，第二十九條工作小組發(fā)言稱該計(jì)劃違背歐盟數(shù)據(jù)保護(hù)法律。之后，SWIFT決定將其服務(wù)器全部搬到歐洲。這使得達(dá)成符合歐盟法律的SWIFT數(shù)據(jù)轉(zhuǎn)移的協(xié)定迫在眉睫。

2009年10月30日，美國(guó)和歐盟簽訂了第一份《SWIFT協(xié)定》，之后，歐盟議會(huì)對(duì)該協(xié)定提出了幾個(gè)關(guān)于隱私權(quán)的問題：（1）該協(xié)定中缺乏必要性和相稱性的規(guī)定；（2）該協(xié)定并未尊重目的限制原則；（3）對(duì)歐盟公民的司法救濟(jì)缺乏保護(hù)；（4）數(shù)據(jù)傳輸?shù)姆绞?，?dǎo)致了批量數(shù)據(jù)（bulk data）的傳送和保存；（5）有必要建立一個(gè)歐盟內(nèi)部的TFTP來處理歐盟內(nèi)部的數(shù)據(jù)。所以，歐盟議會(huì)最終并沒有通過該協(xié)定。因?yàn)榈谝环荨禨WIFT協(xié)定》沒有通過，所以接下來的數(shù)月里，歐盟成員國(guó)向美國(guó)轉(zhuǎn)移數(shù)據(jù)僅依據(jù)《EU-US MLAT》和成員國(guó)與美國(guó)的《雙邊司法互助協(xié)定》，這樣的程序非常慢且效率低[8]，所以第二份《SWIFT協(xié)定》的達(dá)成勢(shì)在必行。第二份《SWIFT協(xié)定》在歐盟議會(huì)的參與下，最終在2010年6月28日達(dá)成。第二份《SWIFT協(xié)定》基于TFEU第八十七（二）條和八十八（二）條的規(guī)定，并且吸收了一些歐盟議會(huì)的建議，比如美國(guó)對(duì)歐盟公民行政和司法救濟(jì)的可能性、給予Europol對(duì)美國(guó)財(cái)政部發(fā)出的請(qǐng)求的批準(zhǔn)權(quán)、加入了由歐盟委員會(huì)任命的駐華盛頓的獨(dú)立的觀察員（observer）、加入了數(shù)據(jù)保留和刪除條款以及歐盟對(duì)等的TFTP計(jì)劃。歐盟議會(huì)關(guān)于廢除批量數(shù)據(jù)和pull system的建議以及建立司法監(jiān)督機(jī)制的建議并未被采納。由于這兩個(gè)建議是充分性數(shù)據(jù)保護(hù)框架考量中的重要措施，因此許多學(xué)者認(rèn)為第二份協(xié)定與第一份并沒有實(shí)質(zhì)性的不同[9]。

（二）數(shù)據(jù)交換協(xié)定中的數(shù)據(jù)保護(hù)條款

美國(guó)和歐盟基于國(guó)家安全合作的每一個(gè)國(guó)際數(shù)據(jù)交換協(xié)定都有其數(shù)據(jù)保護(hù)條款，但這些協(xié)定中的數(shù)據(jù)保護(hù)條款并不一致，不同領(lǐng)域的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)并不相同，要達(dá)成全球安全領(lǐng)域的數(shù)據(jù)保護(hù)規(guī)則更是難上加難。

1.《PNR協(xié)定》中的數(shù)據(jù)保護(hù)條款

從2004年至2012年，在《PNR協(xié)定》的不斷更替中，數(shù)據(jù)保護(hù)的條款也日漸完善。2012年的《PNR協(xié)定》包含了更多數(shù)據(jù)保護(hù)條款。

首先，針對(duì)數(shù)據(jù)轉(zhuǎn)移的方法。根據(jù)《PNR協(xié)定》第十五（四）條的規(guī)定使用“push method”，即由航空公司在他們的數(shù)據(jù)庫(kù)中收集PNR數(shù)據(jù)，之后再將這些數(shù)據(jù)轉(zhuǎn)移給相關(guān)的政府機(jī)構(gòu)?！皃ush system”是一種進(jìn)步。在2007《PNR協(xié)定》舊的“pull method”下，數(shù)據(jù)在美國(guó)法律的規(guī)制下被收集和處理，阻礙了歐盟數(shù)據(jù)保護(hù)法的實(shí)施效力。其次，數(shù)據(jù)保留的期限也有所改善。為了符合協(xié)定第八條的規(guī)定，美國(guó)國(guó)土安全部引入了自動(dòng)定位系統(tǒng)（Automated Targeting System，ATS）。被授權(quán)ATS系統(tǒng)的使用者可以獲得五年的活躍數(shù)據(jù)庫(kù)。但是PNR數(shù)據(jù)將在6個(gè)月之后去個(gè)人化，即6個(gè)月之后，ATS的使用者僅可以看到電腦代號(hào)、訂票系統(tǒng)、記錄日期及旅程路線，個(gè)人數(shù)據(jù)將不可見。再次，針對(duì)個(gè)人權(quán)利的行使。2012年《PNR協(xié)定》中規(guī)定，任何國(guó)家的任何乘客都有權(quán)獲得、修改和刪除美國(guó)海關(guān)及邊境保護(hù)局（Bureau of Customs and Border Protection，CBP）收集的其個(gè)人數(shù)據(jù)。數(shù)據(jù)可以通過發(fā)一份信息自由指令（Free of Information Act，F(xiàn)OIA）的請(qǐng)求獲得，如果請(qǐng)求被拒絕還有上訴的權(quán)利。2012年，美國(guó)國(guó)土安全委員會(huì)收到22 000份FOIA請(qǐng)求，但該請(qǐng)求回復(fù)的時(shí)間卻令人失望。復(fù)次，針對(duì)數(shù)據(jù)披露和安全保護(hù)問題。PNR數(shù)據(jù)的披露由《美國(guó)海關(guān)和邊境保護(hù)條例》來規(guī)制，根據(jù)該條例的規(guī)定，請(qǐng)求需要簽署特殊的PNR披露表格，確保信息的保密性和在未經(jīng)美國(guó)國(guó)土安全部授權(quán)的情況下限制對(duì)第三方適用。CBP的網(wǎng)絡(luò)僅能供通過安全加密設(shè)備授權(quán)的使用者使用。任何內(nèi)部共享都被記錄到硬拷貝上，來自非國(guó)土安全部門的請(qǐng)求都被保留和審計(jì)。對(duì)于PNR轉(zhuǎn)移的監(jiān)管，CBP每隔六個(gè)月將會(huì)對(duì)乘客自動(dòng)定位系統(tǒng)（Automated Targeting System-Passenger，ATS-P）的使用進(jìn)行審查。因此，所有的PNR數(shù)據(jù)使用者都必須通過隱私訓(xùn)練，通過測(cè)試，才可以使用ATS。2012年，美國(guó)國(guó)土安全部隱私辦公室下設(shè)隱私監(jiān)督小組，對(duì)隱私調(diào)查、隱私訴訟和救濟(jì)進(jìn)行處理。最后，2012《PNR協(xié)定》還明確規(guī)定不能僅憑信息的自動(dòng)識(shí)別做出決定，即禁止非法的特征分析（profiling），這主要是基于之前在缺乏調(diào)查的情況下對(duì)潛在的恐怖分子進(jìn)行認(rèn)定的大量錯(cuò)誤。即使2012《PNR協(xié)定》規(guī)定了許多數(shù)據(jù)保護(hù)條款，但對(duì)于歐盟而言，在CJEU做出廢除《數(shù)據(jù)保留指令》的判決后，該協(xié)定的一些內(nèi)容與CJEU的裁判相悖，因此，2012《PNR協(xié)定》面臨著修改。

2.《SWIFT協(xié)定》中的數(shù)據(jù)保護(hù)條款

《SWIFT協(xié)定》中的數(shù)據(jù)保護(hù)條款與《PNR協(xié)定》中的條款有一些不同之處。比如根據(jù)《SWIFT協(xié)定》第五（七）條的規(guī)定，數(shù)據(jù)保留的種類包括姓名、賬戶、地址、國(guó)籍、證件號(hào)碼。一旦進(jìn)入美國(guó)財(cái)政部數(shù)據(jù)庫(kù)的數(shù)據(jù)，只有符合打擊恐怖主義和恐怖金融的必要性條件才能保留，5年是最長(zhǎng)的保護(hù)期限?！禤NR協(xié)定》包含19類數(shù)據(jù)，并且允許將乘客數(shù)據(jù)最多保留15年?！禨WIFT協(xié)定》第十二條和第十三條對(duì)數(shù)據(jù)轉(zhuǎn)移中的監(jiān)管問題進(jìn)行規(guī)定，要求設(shè)立獨(dú)立監(jiān)察員，獨(dú)立監(jiān)察員由歐盟委員會(huì)和美國(guó)財(cái)政部任命。監(jiān)察員要對(duì)TFTP數(shù)據(jù)庫(kù)進(jìn)行常規(guī)檢查，確保其符合數(shù)據(jù)提取的要求，對(duì)數(shù)據(jù)的提取是否用于調(diào)查、阻止、偵查或起訴恐怖主義及恐怖金融要特別審查?！禨WIFT協(xié)定》還規(guī)定了充分的數(shù)據(jù)安全措施，如果任何收索和提取被認(rèn)為違反了第五條數(shù)據(jù)保護(hù)措施的規(guī)定，監(jiān)察員將向上級(jí)組織匯報(bào)并阻止其操作?！禨WIFT協(xié)定》第十四、十五、十六、十八條是關(guān)于個(gè)人權(quán)利的規(guī)定，包括數(shù)據(jù)的獲取、修改、消除和阻斷不準(zhǔn)確數(shù)據(jù)權(quán)利的規(guī)定以及非歧視管理和司法救濟(jì)權(quán)利的規(guī)定。任何人可以通過國(guó)家數(shù)據(jù)保護(hù)機(jī)構(gòu)（Data Protection Authority，DPA）提出請(qǐng)求獲得美國(guó)財(cái)政部掌握的數(shù)據(jù)，由DPA向美國(guó)機(jī)構(gòu)發(fā)出正式的請(qǐng)求。但經(jīng)檢驗(yàn)該系統(tǒng)的辦事效率很低，并沒有起到真正保障個(gè)人權(quán)利的目的[10]。一些《SWIFT協(xié)定》的數(shù)據(jù)保護(hù)條款與《PNR協(xié)定》基本一致，比如，通過“push method”方式獲得數(shù)據(jù)，對(duì)數(shù)據(jù)持續(xù)轉(zhuǎn)移的規(guī)定。雖然這兩個(gè)協(xié)定在這兩方面的規(guī)定基本相同，但更多的卻是其不同之處。最近，CJEU廢除《數(shù)據(jù)保留指令》的判決對(duì)《SWIFT協(xié)定》也產(chǎn)生了影響，尤其是《SWIFT協(xié)定》的批量數(shù)據(jù)轉(zhuǎn)移，以及缺乏獨(dú)立的行政監(jiān)督機(jī)制和對(duì)數(shù)據(jù)主體缺乏通知都與CJEU的裁判意見相左。四、美國(guó)和歐盟執(zhí)法合作中數(shù)據(jù)保護(hù)規(guī)則的協(xié)調(diào)路徑為了使雙邊的隱私法律更加接近，歐盟和美國(guó)采取了許多措施，以歐盟和美國(guó)參與的全球規(guī)則和公約為基礎(chǔ)，開展了一系列的雙邊合作，以建立共同的隱私規(guī)則。

（一）參與全球多邊規(guī)則

美國(guó)和歐盟參與的全球規(guī)則主要有《OECD隱私指南》（OECD Privacy Guidelines）、《APEC隱私框架》（APEC Privacy Framework）、《公平信息實(shí)踐原則》（Fair Information Practice Principles，F(xiàn)IPPs）以及《歐洲理事會(huì)網(wǎng)絡(luò)犯罪公約》（Council of Europe Convention on Cybercrime）。

首先，《OECD隱私指南》確定的原則與95/EC/46指令、歐盟成員國(guó)數(shù)據(jù)保護(hù)立法相似。因此，OECD是建立跨境數(shù)據(jù)流動(dòng)規(guī)則的關(guān)鍵性組織。2012年7月25日，美國(guó)正式成為APEC跨境數(shù)據(jù)隱私規(guī)則體系（Cross Border Privacy Rules System， CBPR）的參與方?！禔PEC隱私框架》為所有的APEC經(jīng)濟(jì)體創(chuàng)造了隱私義務(wù)。雖然歐盟非正式成員方，但是第二十九條工作小組根據(jù)CBPR的要求發(fā)布了普通的參考指引和歐盟的約束性公司規(guī)則（Binding Corporate Rules，BCRs）。因此《APEC隱私框架》可以說是使兩大法律框架更加接近的基礎(chǔ)。實(shí)際上，美國(guó)并沒有完全履行《OECD隱私指南》和《APEC隱私框架》規(guī)定的義務(wù)。比如說，數(shù)據(jù)質(zhì)量原則或目的限制原則在許多公約中都有詳細(xì)的定義，但是美國(guó)法律卻沒有數(shù)據(jù)質(zhì)量原則或目的限制原則的規(guī)定[11]。

其次，美國(guó)和歐盟都是1973年FIPPs的參與方，“公平信息實(shí)踐原則”包含的透明度原則、個(gè)人參與原則、目的限制原則、數(shù)據(jù)安全原則等都是全球隱私法律的核心要素。之后，F(xiàn)IPPs首次植入《美國(guó)1974隱私法案》，并對(duì)1980年《OECD隱私指南》和95/46/EC指令產(chǎn)生了影響。FIPPs的建立就是為了促進(jìn)隱私法律的和諧，使其可適用于任何國(guó)際數(shù)據(jù)流動(dòng)。但實(shí)際上，美國(guó)和歐盟采取了不同的路徑來實(shí)施FIPPs[12]，F(xiàn)IPPs不能使美國(guó)和歐盟的數(shù)據(jù)保護(hù)體系完全協(xié)調(diào)。

最后，美國(guó)及所有的歐盟成員國(guó)都簽訂了2001年10月的《歐洲理事會(huì)網(wǎng)絡(luò)犯罪公約》（CoE Cybercrime Convention），該公約為警察和司法訪問計(jì)算機(jī)數(shù)據(jù)制定了框架。該公約第十五條規(guī)定了獨(dú)立的監(jiān)督機(jī)制，第二十七條規(guī)定了在缺乏國(guó)際協(xié)定的情況下的雙邊協(xié)助機(jī)制。因此，《歐洲理事會(huì)網(wǎng)絡(luò)犯罪公約》為美歐提供了一個(gè)安全的、高效的框架，以確保電子數(shù)據(jù)在需要調(diào)查和起訴犯罪時(shí)，可被法律實(shí)施機(jī)構(gòu)獲得。然而，《歐洲理事會(huì)網(wǎng)絡(luò)犯罪公約》的范圍非常特殊，規(guī)定對(duì)九類網(wǎng)絡(luò)犯罪行為以刑法處罰，但對(duì)于如侵犯?jìng)€(gè)人隱私、網(wǎng)絡(luò)暴力等行為并沒有對(duì)應(yīng)的條款，該公約還需要修改以應(yīng)對(duì)當(dāng)前的網(wǎng)絡(luò)犯罪趨勢(shì)，所以該公約并沒有提供一個(gè)全面的數(shù)據(jù)保護(hù)機(jī)制。

（二）雙邊合作安排

除了多邊參與的協(xié)定外，美國(guó)和歐盟還深入了雙邊的合作，比如建立了高層聯(lián)絡(luò)小組（EU-US High Level Contact Group，HLCG）和美歐數(shù)據(jù)保護(hù)及隱私工作小組。HLCG于2006年建立，由歐盟和美國(guó)的高級(jí)官員組成，用于討論雙邊執(zhí)法領(lǐng)域的數(shù)據(jù)交換問題，確認(rèn)了一些執(zhí)法領(lǐng)域數(shù)據(jù)處理的共同原則[13]。美歐數(shù)據(jù)保護(hù)和隱私工作小組是在美國(guó)國(guó)家安全局的丑聞發(fā)生之后，圍繞美國(guó)監(jiān)督計(jì)劃以及對(duì)歐盟公民個(gè)人數(shù)據(jù)的影響于2013年7月建立的。該小組由歐盟委員會(huì)成員、歐盟理事會(huì)主席、歐盟對(duì)外行動(dòng)機(jī)構(gòu)（European External Action Service，EEAS）、歐盟反恐協(xié)調(diào)員、第二十九條工作小組、歐盟成員國(guó)的10個(gè)專家組成。同時(shí)，美國(guó)司法部、美國(guó)國(guó)家情報(bào)局局長(zhǎng)辦公室、美國(guó)國(guó)務(wù)院、美國(guó)國(guó)土安全部也參與其中。該小組在2013年組織了三次會(huì)議，并發(fā)布了一份關(guān)于釋明《自由者法案》第二百五十一節(jié)和《外國(guó)情報(bào)監(jiān)視法案修正案》第二百零七節(jié)爭(zhēng)議的詳盡報(bào)告。之后，并沒有新的報(bào)告產(chǎn)生，且除了解釋跨大西洋個(gè)人數(shù)據(jù)交換的技術(shù)性問題之外，該小組存在的意義并不大。

（三）達(dá)成綜合性的數(shù)據(jù)保護(hù)框架

基于以上分析可知，歐盟和美國(guó)并未建立起普遍的數(shù)據(jù)保護(hù)框架，任何一個(gè)協(xié)定看起來都是不充分的，為了重建跨大西洋數(shù)據(jù)流動(dòng)的信任，一個(gè)新的法律文件——《歐美數(shù)據(jù)保護(hù)傘協(xié)定》（The Umbrella EU-US Data Protection Agreement）應(yīng)運(yùn)而生。在過去的10年，美國(guó)和歐盟一起嘗試著建立數(shù)據(jù)保護(hù)領(lǐng)域的綜合性框架，2009年3月，《歐美數(shù)據(jù)隱私保護(hù)協(xié)定》（EU-US Data Privacy and Protection Agreement，DPPA）第一次啟動(dòng)。2010年，歐盟委員會(huì)開始草擬談判條款，2011年3月，開始正式談判。2016年6月2日，雙方正式簽署該協(xié)定，并于2017年2月正式生效。該協(xié)定是歐盟和美國(guó)執(zhí)法合作的綜合性高水平的數(shù)據(jù)保護(hù)框架，既覆蓋了所有以組織、偵查、調(diào)查、起訴犯罪為目的的個(gè)人數(shù)據(jù)（比如姓名、地址、犯罪記錄）的交換，也覆蓋了基于國(guó)際協(xié)定和以這些目的為由，將個(gè)人數(shù)據(jù)通過私人實(shí)體轉(zhuǎn)移至符合協(xié)定要求的其他國(guó)家機(jī)構(gòu)的情況，但不覆蓋國(guó)家安全機(jī)構(gòu)之間的數(shù)據(jù)交換以及私人實(shí)體或公司之間的數(shù)據(jù)交換。與規(guī)制商業(yè)數(shù)據(jù)交換的《美歐隱私盾協(xié)定》不同，《歐美數(shù)據(jù)保護(hù)傘協(xié)定》并不是以特殊協(xié)定為基礎(chǔ)轉(zhuǎn)移至美國(guó)的數(shù)據(jù)的法律基礎(chǔ)，比如《PNR協(xié)定》。

但是，在美歐對(duì)數(shù)據(jù)保護(hù)法律進(jìn)行改革的進(jìn)程中，有學(xué)者認(rèn)為歐盟是美國(guó)規(guī)則的“接受者”（norm-taking），外部因素在歐盟數(shù)據(jù)保護(hù)立法中占據(jù)著一席之地，尤其是為了平衡安全和數(shù)據(jù)保護(hù)，美國(guó)施加了外部壓力。因此，未來的全球安全領(lǐng)域數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)將會(huì)受到美國(guó)的很大影響。五、中國(guó)參與執(zhí)法合作中的數(shù)據(jù)保護(hù)現(xiàn)狀及策略網(wǎng)絡(luò)犯罪是目前最重要的犯罪形式之一，中國(guó)正面臨著如何更有效地打擊跨境網(wǎng)絡(luò)犯罪的問題。打擊跨境網(wǎng)絡(luò)犯罪不能僅憑傳統(tǒng)的執(zhí)法手段去預(yù)防和避免，還需要采用數(shù)據(jù)或信息分析手段。企業(yè)與企業(yè)或國(guó)家與國(guó)家之間進(jìn)行大數(shù)據(jù)開放和共享已是大勢(shì)所趨，大數(shù)據(jù)分析日漸成為有效的網(wǎng)絡(luò)犯罪治理工具。“個(gè)人信息的跨境轉(zhuǎn)移使得個(gè)人信息被泄露、破壞、濫用的風(fēng)險(xiǎn)大大增加。這不僅在微觀層面上會(huì)給信息主體造成影響，在宏觀層面上還會(huì)涉及國(guó)家安全及貿(mào)易壁壘等問題?！盵14]由此引發(fā)了對(duì)一系列問題的思考，比如，數(shù)據(jù)共享中執(zhí)法部門與私營(yíng)單位合作的問題、全球或區(qū)域數(shù)據(jù)交換平臺(tái)的建立問題、數(shù)據(jù)共享的邊界、數(shù)據(jù)共享的主體選擇、不同的利益方有不同的共享范圍和方式、數(shù)據(jù)安全問題、數(shù)據(jù)共享中的個(gè)人數(shù)據(jù)隱私保護(hù)問題、各國(guó)對(duì)于個(gè)人數(shù)據(jù)保護(hù)的差異問題等等?？梢哉f，在國(guó)際執(zhí)法活動(dòng)中，中國(guó)與外國(guó)的執(zhí)法部門和有關(guān)國(guó)際組織已經(jīng)建立了良好的對(duì)話機(jī)制，已經(jīng)形成了全方位、立體化、多層次、講實(shí)效的國(guó)際執(zhí)法安全合作工作格局。截至2017年2月，我國(guó)已與70個(gè)國(guó)家締結(jié)司法協(xié)助條約、資產(chǎn)返還和分享協(xié)定、引渡條約和打擊“恐怖主義”“分裂主義”“極端主義”的合作協(xié)定。這些協(xié)定中涉及部分個(gè)人數(shù)據(jù)的共享，但并未形成對(duì)個(gè)人數(shù)據(jù)的保護(hù)和權(quán)利救濟(jì)機(jī)制。比如，中國(guó)公民的個(gè)人數(shù)據(jù)如果通過官方機(jī)構(gòu)或是私營(yíng)企業(yè)轉(zhuǎn)移到美國(guó)執(zhí)法機(jī)構(gòu)手中，其是否能夠得到足夠的保護(hù)，如果中國(guó)公民個(gè)人數(shù)據(jù)權(quán)利受到侵犯是否可以尋求司法救濟(jì)。美國(guó)《2015司法救濟(jì)法案》中將“覆蓋國(guó)家”（covered countries）的公民定義為“覆蓋人員”（covered persons），“覆蓋人員”的民事救濟(jì)權(quán)利被限制在“覆蓋記錄”（covered record）范圍內(nèi)，傳送給美國(guó)指定機(jī)構(gòu)或部門的“覆蓋記錄”會(huì)受到美國(guó)法的保護(hù)。2017年2月1日，美國(guó)司法部長(zhǎng)公布了27個(gè)“覆蓋國(guó)家”的名單，其中并未包括中國(guó)，因此，中國(guó)公民的個(gè)人數(shù)據(jù)在美國(guó)處于“裸奔”的狀態(tài)。為此，筆者提出如下幾方面的策略建議。

第一，積極參與全球多邊規(guī)則。作為世界人口大國(guó)，中國(guó)將成為世界第一數(shù)據(jù)資源大國(guó)，各大跨國(guó)公司都在針對(duì)中國(guó)的數(shù)據(jù)資源制定數(shù)據(jù)戰(zhàn)略，中國(guó)的數(shù)據(jù)資源是世界各國(guó)商業(yè)機(jī)構(gòu)和政府機(jī)構(gòu)的必爭(zhēng)之地。中國(guó)的數(shù)據(jù)保護(hù)缺乏國(guó)際協(xié)助，對(duì)數(shù)據(jù)保護(hù)規(guī)則的參與程度尚處于起步階段。目前，全球安全領(lǐng)域數(shù)據(jù)規(guī)則正處于形成階段，這是我國(guó)參與規(guī)則制定的契機(jī)，因此，中國(guó)應(yīng)積極參與全球多邊規(guī)則的治理，努力為全球安全治理貢獻(xiàn)“中國(guó)智慧”和“中國(guó)方案”。

第二，確定國(guó)內(nèi)法中統(tǒng)一的數(shù)據(jù)保護(hù)規(guī)則，對(duì)執(zhí)法領(lǐng)域數(shù)據(jù)保護(hù)規(guī)則進(jìn)行專門立法。我國(guó)的《個(gè)人信息保護(hù)法》尚未出臺(tái)，在2012年全國(guó)人民代表大會(huì)常務(wù)委員會(huì)頒布《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》（以下簡(jiǎn)稱《決定》）之前，中國(guó)境內(nèi)并沒有個(gè)人數(shù)據(jù)保護(hù)的專門立法。《決定》出臺(tái)之后，在相關(guān)法律、法規(guī)、部門規(guī)章的修訂中進(jìn)一步補(bǔ)充了對(duì)個(gè)人數(shù)據(jù)的法律規(guī)定，形成了初步的保護(hù)框架。很長(zhǎng)一段時(shí)間內(nèi)，中國(guó)主要是依靠間接手段對(duì)“個(gè)人數(shù)據(jù)”進(jìn)行保護(hù)，比如，通過對(duì)“個(gè)人尊嚴(yán)”“個(gè)人隱私”等相關(guān)范疇進(jìn)行保護(hù)，或是通過信息安全管理制度進(jìn)行保護(hù)。2013年，工信部通過了《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》，為中國(guó)互聯(lián)網(wǎng)和電信部門建立了相對(duì)完整的數(shù)據(jù)保護(hù)制度，中國(guó)的數(shù)據(jù)保護(hù)漸入佳境。在今后的數(shù)據(jù)保護(hù)規(guī)則中，應(yīng)重點(diǎn)加強(qiáng)對(duì)執(zhí)法合作中個(gè)人數(shù)據(jù)的保護(hù)，并且，對(duì)數(shù)據(jù)的保護(hù)規(guī)則要給予專門立法。從美國(guó)和歐盟的立法來看，執(zhí)法領(lǐng)域的數(shù)據(jù)保護(hù)已經(jīng)形成一套規(guī)則體系，且與商業(yè)數(shù)據(jù)流動(dòng)的法律規(guī)制體系不同。執(zhí)法合作中的數(shù)據(jù)保護(hù)涉及國(guó)家機(jī)構(gòu)之間的合作，是國(guó)家數(shù)據(jù)主權(quán)和國(guó)家安全合作的重要組成部分。

第三，分階段、分部門訂立雙邊數(shù)據(jù)交換協(xié)定。目前，我國(guó)對(duì)金融客戶數(shù)據(jù)和公司員工數(shù)據(jù)明令禁止向境外傳輸，確立了一般禁止、例外許可的原則。我國(guó)應(yīng)分階段與境外執(zhí)法機(jī)構(gòu)簽訂雙邊協(xié)定，以確定金融數(shù)據(jù)、旅客數(shù)據(jù)等轉(zhuǎn)移機(jī)制和權(quán)利救濟(jì)機(jī)制，防止中國(guó)公民個(gè)人數(shù)據(jù)被境外執(zhí)法機(jī)構(gòu)濫用的情況發(fā)生，為我國(guó)公民在海外全球個(gè)人數(shù)據(jù)權(quán)利的保護(hù)提供法律基礎(chǔ)。

參考文獻(xiàn)：

[1]PORTER A L， BENDIEK A. Counter-terrorism cooperation in the transatlantic security community[J]. European Security，2012（4）：498.

[2]REES W. The US-EU Security Relationship： The Tensions between a European and a Global Agenda[M]. Elizabethtown， US： Palgrave Macmillan，2011：22-28.

[3]GONZLEZ F G. The Emergence of Personal Data Protection as a Fundamental Right of the EU[M]. London：Springer，2014：257-262.

[4]KUNER C. The transatlantic divide over data privacy rights[EB/OL].（2013-05-20）[2017-10-18].https：∥iapp.org/news/a/the-transatlantic-divide-over-data-privacy-rights/.

[5]BARROS X. The external dimension of EU counter-terrorism： The challenges of the European Parliament in front of the European Court of Justice[J]. European Security，2012（4）：518-536.

[6]MACKENZIE A. The external dimension of European homeland security[M]∥KAUNERT C， LONARD S， PAWLAK P. European Homeland Security： A European Strategy in the Making？New York：Routledge，2012：107.

[7]DE HERT P， DE SCHUTTER B. International transfers of data in the field of JHA： The lessons of Europol， PNR and SWIFT[M]∥MARTENCZUK B， VAN THIEL S. Justice， Liberty， Security： New Challenges for EU External Relations. Brussels：VUB Press，2008：299-334.

[8]CREMONA M. Justice and Home Affairs in a Globalised World： Ambitions and Reality in the Tale of the EU-US SWIFT Agreement[J].Austrian Academy of Sciences， Institute for European Integration Research， 2011（4）：1-30.

[9]SERVENT R A， MACKENZIE A. Is the EP still a data protection champion？ The case of SWIFT[J]. Perspectives on European Politics and Society，2011（4）：390-406.

[10]WESSELING M. Evaluation of EU measures to combat terrorist financing[M]. Brussels： Political Department Citizens，Rights and Constitutiond Affairs，European Parliament，2014：33.

[11]DE BUSSER E. Data Protection in EU and US Criminal Cooperation： A Substantive Law Approach to the EU Internal and Transatlantic Cooperation in Criminal Matters between Judicial and Law Enforcement Authorities[M]. Antwerpen： Maklu Publishers，2009：305.

[12]WLOF C， MAXWELL W. So close， yet so far apart： The EU and U.S. visions of a new privacy framework[J].Antitrust，2012（3）：8-13.

[13]Council of the European Union. Final Report by EU-US High Level Contact Group on information sharing and privacy and personal data protection[R/OL].（2008-05-28）[2017-10-10].http：∥www.dhs.gov/european-union-and United-states-principle-information-sharing-privacy-and-personal-data-protection.

[14]王楠.個(gè)人信息跨境轉(zhuǎn)移的法律保護(hù)——以公司隱私規(guī)則為視角[J].重慶工商大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2016（1）：69.

Abstract：In order to combat transnational cybercrimes and safeguard national security， countries actively carry out bilateral or multilateral law enforcement cooperation， among which the protection of personal data becomes the focal issue. There are no consolidated standards of personal data protection in the field of law enforcement. The US and EU have many differences in data protection legislations and the concepts of privacy. Both made many attempts to approximate the EU and the US privacy legislations. A series of agreements between the EU and the US have been concluded， for instance The EU-US Mutual Legal Assistance Agreement， Agreements on PNRs and SWIFT agreements. But， these data sharing agreements have different data protection standards. To rebuild trust of transatlantic cross-border data flows， EU and US concluded the umbrella EU-US Data Protection Agreement， a comprehensive data protection framework in the field of law enforcement. Based on the experience of the US and the EU， China should actively participate in the formulation of global multilateral rules， unify domestic personal data protection rules， issue personal data protection legislation in law enforcement field， and conclude bilateral agreements with foreign law enforcement agencies step by step.

Keywords：personal data protection； cross-border data transfer； law enforcement； national security

（編輯：劉仲秋）