李艷華

(南京師范大學(xué)法學(xué)院，江蘇 南京 210046)

一、引言

經(jīng)濟(jì)全球化時(shí)代，以互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計(jì)算和大數(shù)據(jù)分析為代表的數(shù)字經(jīng)濟(jì)的快速擴(kuò)張對(duì)全球貿(mào)易與投資增長(zhǎng)產(chǎn)生重要影響。根據(jù)麥肯錫研究所的估算，所有類(lèi)型的跨境數(shù)據(jù)流動(dòng)共同作用，通過(guò)提高生產(chǎn)率支持經(jīng)濟(jì)增長(zhǎng)，十余年來(lái)促使全球GDP增長(zhǎng)了10.1%(1)McKinsey Global Institute, Digital Globalization:The new era of global flows, https://www.mckinsey. com/business-functions/digital-mckinsey/our-insights/digital-globalization-the-new-era-of-global-flows, lastvisited on 9May,2019.?？缇硵?shù)據(jù)流動(dòng)有利于分享數(shù)據(jù)紅利、推動(dòng)技術(shù)革新并由此促進(jìn)整個(gè)產(chǎn)業(yè)的蓬勃發(fā)展，而且在某種程度上，還能打擊恐怖主義以及跨國(guó)犯罪。但是，各個(gè)國(guó)家因保護(hù)水平存有差距，在跨境數(shù)據(jù)流動(dòng)中極易造成個(gè)人數(shù)據(jù)泄露，從而侵害個(gè)人的數(shù)據(jù)隱私權(quán)。第三國(guó)政府甚者將個(gè)人數(shù)據(jù)用于分析人口結(jié)構(gòu)、人口質(zhì)量以及資源分布等基本國(guó)情，從而對(duì)一國(guó)的國(guó)家安全構(gòu)成威脅。為了在數(shù)據(jù)自由和數(shù)據(jù)保護(hù)的價(jià)值取向間找到平衡點(diǎn)，全球范圍內(nèi)形成了以充分性為原則的歐盟規(guī)制路徑、以組織機(jī)構(gòu)為基準(zhǔn)的問(wèn)責(zé)制美國(guó)式規(guī)制路徑、以數(shù)據(jù)本地化為原則的俄羅斯規(guī)制路徑、以及以利益平衡為導(dǎo)向的折中型澳大利亞規(guī)制路徑。

就目前來(lái)看，各國(guó)基于跨境數(shù)據(jù)流動(dòng)的歷史傳統(tǒng)、業(yè)已形成的路徑依賴(lài)以及國(guó)內(nèi)數(shù)據(jù)發(fā)展環(huán)境，短時(shí)間還無(wú)法形成統(tǒng)一的全球數(shù)據(jù)協(xié)議。而我國(guó)信息技術(shù)發(fā)展較晚，直至最新于2016年11月7日通過(guò)的立法成果，即《中華人民共和國(guó)網(wǎng)絡(luò)安全法》(以下簡(jiǎn)稱(chēng)《網(wǎng)絡(luò)安全法》)也未表明中國(guó)的路徑抉擇。在一帶一路倡導(dǎo)的時(shí)代背景下，淘寶、小米等企業(yè)已經(jīng)將投資市場(chǎng)轉(zhuǎn)向東南亞，2017年6.18以及雙十一的天貓出?；顒?dòng)便是很好的例證。此外，以騰訊、百度、京東為代表的互聯(lián)網(wǎng)巨擘也亟需拓寬海外市場(chǎng)。在此背景下，中國(guó)理應(yīng)結(jié)合國(guó)內(nèi)監(jiān)管環(huán)境，借鑒各國(guó)成熟的跨境數(shù)據(jù)流動(dòng)立法經(jīng)驗(yàn)，完善數(shù)據(jù)法域，并積極參與國(guó)際規(guī)則的制定，這對(duì)于我國(guó)互聯(lián)網(wǎng)產(chǎn)業(yè)的域外發(fā)展無(wú)疑具有深刻的理論與實(shí)踐意義。

二、跨境數(shù)據(jù)流動(dòng)規(guī)制法律問(wèn)題溯源

(一)跨境數(shù)據(jù)流動(dòng)的概念界定

通常而言，跨境數(shù)據(jù)流動(dòng)(trans-border data flows、cross-border data flows)是指數(shù)據(jù)在不同法域之間流動(dòng)(2)Christopher Kuner, Trans-border Data Flows and Data Privacy Law, Oxford University Press,2013,p.11.。此概念最早由20世紀(jì)70年代OECD科學(xué)技術(shù)政策委員會(huì)(CSTP)下設(shè)的計(jì)算機(jī)應(yīng)用工作組(CUG)提出(3)G.Russell Pipe, International Information Policy: Evolution of Trans-border Data Flows Issues, Telematics and Informatics,Vol 1,No.4,1984,p.409.。對(duì)于跨境數(shù)據(jù)流動(dòng)的理解：首先，詳閱此領(lǐng)域的相關(guān)文獻(xiàn)，數(shù)據(jù)與信息所指并無(wú)二意，且“個(gè)人數(shù)據(jù)跨境流動(dòng)”多采用“跨境數(shù)據(jù)流動(dòng)”的說(shuō)法。其次，基于政府?dāng)?shù)據(jù)關(guān)涉公權(quán)屬性，具有本地存儲(chǔ)的天然特征，并且對(duì)于跨境數(shù)據(jù)流動(dòng)的商業(yè)化需求較低。因此，在數(shù)據(jù)跨境政策討論中，提出政府?dāng)?shù)據(jù)類(lèi)別，對(duì)于認(rèn)知數(shù)據(jù)跨境流動(dòng)政策并無(wú)特別意義(4)王融.數(shù)據(jù)跨境流動(dòng)政策認(rèn)知與建議——從美歐政策比較及反思視角[J].信息安全與通信保密,2018,(1):43.。再者，跨境數(shù)據(jù)流動(dòng)的主要方式為提供數(shù)據(jù)給第三方以及第三方訪(fǎng)問(wèn)數(shù)據(jù)。具體體現(xiàn)在跨境電商、消費(fèi)者合同、跨境醫(yī)療、跨境金融等服務(wù)貿(mào)易中。最后，跨境數(shù)據(jù)流動(dòng)主要解決的問(wèn)題在于如何實(shí)現(xiàn)數(shù)據(jù)出口國(guó)和數(shù)據(jù)進(jìn)口國(guó)對(duì)于數(shù)據(jù)保護(hù)和數(shù)據(jù)自由流動(dòng)的動(dòng)態(tài)平衡。在對(duì)跨境數(shù)據(jù)流動(dòng)的本身意旨進(jìn)行厘定之后，筆者將以歷史淵源和價(jià)值理念為主線(xiàn)，探究由歐美兩大立法范式所形成的跨境數(shù)據(jù)流動(dòng)規(guī)制路徑的緣起。

(二)國(guó)家規(guī)制：歐美跨境數(shù)據(jù)立法的歷史溯源

美國(guó)擁有數(shù)據(jù)優(yōu)勢(shì)的歷史傳統(tǒng)，20世紀(jì)70年代，阿帕網(wǎng)由純粹的軍事工具轉(zhuǎn)換為軍用和民用兩部分，并逐漸演化為互聯(lián)網(wǎng)的雛形。由于計(jì)算機(jī)網(wǎng)絡(luò)主要用于政府工作，當(dāng)時(shí)立法規(guī)制集中在如何避免政府濫用公權(quán)力收集個(gè)人信息。為此，美國(guó)于1973年發(fā)布了題為《錄音、計(jì)算機(jī)與公民的權(quán)利》的報(bào)告，第一次提到網(wǎng)絡(luò)所產(chǎn)生的個(gè)人隱私保護(hù)問(wèn)題(5)張凌寒,杜婧.基于隱私權(quán)的個(gè)人信息保護(hù)路徑研究——以美國(guó)為研究視角[J].網(wǎng)絡(luò)法律評(píng)論,2016,(1):29.。20世紀(jì)90年代，互聯(lián)網(wǎng)技術(shù)開(kāi)始走向商業(yè)化，這一時(shí)期，美國(guó)個(gè)人隱私權(quán)并未進(jìn)行統(tǒng)一的立法保護(hù)，而是分散在各個(gè)行業(yè)立法中。通過(guò)行業(yè)自律的方式同樣體現(xiàn)在跨境數(shù)據(jù)流動(dòng)規(guī)制方面。后于1997年制定的《全球電子商務(wù)框架》提出：平衡個(gè)人隱私和信息自由是全球信息基礎(chǔ)設(shè)施發(fā)展的充分條件，恰當(dāng)?shù)碾[私保護(hù)是必要的，但不同的政策可能會(huì)形成非關(guān)稅壁壘(6)The White House,The Framework for Global Electronic Commerce,http:// clintonwhitehouse4, archiives, gov /WH/New/Commerce, last visited on 9 May,2019.。近年來(lái)，美國(guó)通過(guò)積極推進(jìn)APEC和TPP隱私規(guī)則制定，企圖建立以企業(yè)自律為參考標(biāo)準(zhǔn)的跨境數(shù)據(jù)流動(dòng)規(guī)制話(huà)語(yǔ)權(quán)。

由于歷史、文化以及制度等方面的原因，歐洲十分注重對(duì)于公民隱私權(quán)的保護(hù)。前西德黑森州在1970年通過(guò)世界第一部《數(shù)據(jù)保護(hù)法》，該法案的執(zhí)法機(jī)構(gòu)是數(shù)據(jù)保護(hù)委員會(huì)，負(fù)責(zé)官方文件的轉(zhuǎn)移與處理。瑞典于1973年頒布了世界上第一部明確限制個(gè)人數(shù)據(jù)跨境流動(dòng)的法律：實(shí)行轉(zhuǎn)移審批制，賦予個(gè)人知情、獲取以及修改等數(shù)據(jù)權(quán)利。此后，從1973年到1984年全球共有13個(gè)國(guó)家制定了數(shù)據(jù)保護(hù)法，其中8個(gè)都是歐洲國(guó)家(7)G.Russell Pipe, International Information Policy: Evolution of Trans-border Data Flows Issues, Telematics and Informatics ,Vol 1,No.4,1984,p.413.。而且，歐洲作為高度一體化的同盟體，為了達(dá)到數(shù)據(jù)立法的相對(duì)統(tǒng)一，在強(qiáng)調(diào)隱私保護(hù)的大前提下，以實(shí)現(xiàn)全球數(shù)據(jù)治理為目標(biāo)，先后制定了三個(gè)公約，它們分別是：1981年的《有關(guān)個(gè)人數(shù)據(jù)自動(dòng)化處理的個(gè)人保護(hù)公約》(Convention for the Protection of Individuals with regard to Automatic Processing of personal Data)(以下簡(jiǎn)稱(chēng)“108公約”)、1995年的《個(gè)人數(shù)據(jù)處理中個(gè)人權(quán)利保護(hù)及促進(jìn)個(gè)人數(shù)據(jù)自由流通指令》(Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data)(以下簡(jiǎn)稱(chēng)“指令”)、以及被稱(chēng)為史上最嚴(yán)格保護(hù)個(gè)人數(shù)據(jù)的2018年的《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation)(以下簡(jiǎn)稱(chēng)“GDPR”)。

(三)國(guó)際規(guī)制：WTO隱私保護(hù)例外條款的“溢出”效應(yīng)

在國(guó)際層面，歐美由于經(jīng)濟(jì)政治利益背道而馳，跨境數(shù)據(jù)流動(dòng)規(guī)制路徑尚未達(dá)成共識(shí)。但是WTO框架下的《服務(wù)貿(mào)易總協(xié)定》(GATS)第14條一般例外條款為歐盟的數(shù)據(jù)保護(hù)傳統(tǒng)提供了國(guó)際法依據(jù)。

GATS是前數(shù)字經(jīng)濟(jì)時(shí)代的產(chǎn)物，在烏拉圭談判期間，所涉條款很少討論數(shù)字貿(mào)易。但是基于跨境服務(wù)的表現(xiàn)形式(8)GATS將服務(wù)細(xì)分為四種形式：跨境交付、境外消費(fèi)、商業(yè)存在、自然人流動(dòng)。、相對(duì)完善的DSB解釋機(jī)制以及GATS自由環(huán)境下承諾列表的設(shè)置，電子商務(wù)自然被納入其中。此外，考慮到國(guó)家政策以及主權(quán)的不可讓渡性，GATS為成員國(guó)追求非貿(mào)易目標(biāo)設(shè)置相應(yīng)條款。首先，就子項(xiàng)而言，GATS第14(c)條規(guī)定，成員可以采取或執(zhí)行“確保與本協(xié)定的規(guī)定不相抵觸的法律或法規(guī)得到遵守所必須的措施”。第14(c)條又劃分出三種情形，包括防止欺詐、保護(hù)數(shù)據(jù)傳播過(guò)程中的隱私以及確保國(guó)家安全。在“美國(guó)——賭博案”中，上訴機(jī)構(gòu)確定了子項(xiàng)成立的三個(gè)條件：即法律法規(guī)得到充分遵守、與WTO不相抵觸、以及在“必須”的情況下。而對(duì)第三個(gè)條件，即“必須”的標(biāo)準(zhǔn)，則是雙方爭(zhēng)議的重要內(nèi)容。專(zhuān)家組指出，“是否為必須”需考慮所欲保護(hù)的法益、對(duì)于目標(biāo)實(shí)現(xiàn)的貢獻(xiàn)率以及對(duì)于商業(yè)規(guī)制帶來(lái)的影響(9)Panel Report, US-Gambling,para.6.477.。其次，就導(dǎo)言而言，如果各國(guó)所采取的措施缺乏一致性，很可能被認(rèn)為構(gòu)成“武斷和不合理的歧視”或“對(duì)貿(mào)易的變相限制”(10)Appellate Body Report,US-Gambling,para.292.。上述雙層分析路徑中為檢驗(yàn)成員國(guó)的隱私例外國(guó)內(nèi)立法提供了合規(guī)參照。值得注意的是，歐盟“指令”及GDPR所強(qiáng)調(diào)的充分保護(hù)措施是否可以成功尋求隱私例外條款的庇護(hù)，仍需要WTO爭(zhēng)端解決機(jī)構(gòu)的個(gè)案認(rèn)定。

據(jù)此，歐盟于1995年通過(guò)了“指令”，該法案明確了跨境數(shù)據(jù)流動(dòng)中數(shù)據(jù)進(jìn)口國(guó)的保護(hù)水平以及數(shù)據(jù)出口國(guó)監(jiān)管機(jī)構(gòu)的事先審查制度。在“指令”的影響下，數(shù)據(jù)保護(hù)蔚然成風(fēng)。據(jù)不完全統(tǒng)計(jì)，有69個(gè)國(guó)家和地區(qū)的國(guó)內(nèi)數(shù)據(jù)保護(hù)規(guī)定明令限制跨境數(shù)據(jù)的流動(dòng)(11)Birnhack, Michael,“The EU Data Protection Directive: An Engine of a Global Regime”, Computer Law &Security Report, Vol. 24,No.6,2008.。由WTO隱私例外條款延伸而來(lái)的跨境數(shù)據(jù)保護(hù)為此產(chǎn)生“泛安全化”效應(yīng)。

三、跨境數(shù)據(jù)流動(dòng)的域外規(guī)制路徑

(一)價(jià)值導(dǎo)向：跨境數(shù)據(jù)流動(dòng)規(guī)制下的“三難選擇”

跨境數(shù)據(jù)流動(dòng)的規(guī)制類(lèi)型受制于規(guī)制目標(biāo)之間的平衡、參與主體之間的競(jìng)爭(zhēng)以及規(guī)制本身的發(fā)展規(guī)律(12)〔13〕黃寧,李楊.“三難選擇”下跨境數(shù)據(jù)流動(dòng)規(guī)制的演進(jìn)與成因[J].清華大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版)，2017,(5):180-181.179.。該三重因素或基于數(shù)據(jù)保護(hù)和數(shù)據(jù)自由的權(quán)衡，或基于參與主體在國(guó)際政治經(jīng)濟(jì)上的地位，抑或通過(guò)賦予制度本身約束力與執(zhí)行力來(lái)驅(qū)動(dòng)路徑的暢通。而規(guī)制路徑最終范式的形成在于對(duì)跨境數(shù)據(jù)流動(dòng)規(guī)制的“三難選擇”：即“良好的數(shù)據(jù)保護(hù)”“跨境數(shù)據(jù)自由流動(dòng)”和各國(guó)的“數(shù)據(jù)保護(hù)自主權(quán)”〔13〕。不同國(guó)家基于不同的價(jià)值理念，最終產(chǎn)生以數(shù)據(jù)保護(hù)為主導(dǎo)、以數(shù)據(jù)自由流動(dòng)為核心以及三者兼顧的三種不同的組建關(guān)系。

在國(guó)家層面，針對(duì)第一種關(guān)系，如果某國(guó)以良好的數(shù)據(jù)保護(hù)作為數(shù)字經(jīng)濟(jì)時(shí)代背景下的優(yōu)先目標(biāo)，且該國(guó)本身享有充分的數(shù)據(jù)保護(hù)自主權(quán)，則客觀(guān)上極易阻遏跨境數(shù)據(jù)的正常流動(dòng)。在關(guān)系一的架構(gòu)下，形成了以數(shù)據(jù)本地化原則為核心的俄羅斯規(guī)制路徑和以充分性原則為核心的歐盟規(guī)制路徑。針對(duì)第二種關(guān)系，為了使跨境數(shù)據(jù)相關(guān)產(chǎn)業(yè)能夠在全球形成終局影響力，通過(guò)放寬除了關(guān)涉國(guó)家安全、政府利益的數(shù)據(jù)流動(dòng)標(biāo)準(zhǔn)，實(shí)現(xiàn)了企業(yè)的自主管理，但是良好的數(shù)據(jù)保護(hù)的實(shí)現(xiàn)則相應(yīng)增加了難度。在關(guān)系二的架構(gòu)下，形成了以問(wèn)責(zé)制原則為核心的美國(guó)式規(guī)制路徑。針對(duì)第三種關(guān)系，某國(guó)在兼顧數(shù)據(jù)保護(hù)和數(shù)據(jù)自由流動(dòng)的基礎(chǔ)上，承認(rèn)域外跨境數(shù)據(jù)立法的域內(nèi)效力，并且依靠科學(xué)的數(shù)據(jù)劃分，實(shí)現(xiàn)三者的兼容。即形成以利益均衡為導(dǎo)向的折中型澳大利亞規(guī)制路徑。在國(guó)際合作層面，阻礙跨境數(shù)據(jù)流動(dòng)與全球經(jīng)濟(jì)發(fā)展趨勢(shì)相左，故排除了關(guān)系一的存在。針對(duì)第二種關(guān)系，形成了以美國(guó)規(guī)制模式為主導(dǎo)的APEC等國(guó)際規(guī)制路徑。針對(duì)第三種關(guān)系，因良好的數(shù)據(jù)保護(hù)與跨境數(shù)據(jù)自由流動(dòng)的排斥屬性，若實(shí)現(xiàn)較好的調(diào)和，需要國(guó)家間讓渡數(shù)據(jù)保護(hù)自主權(quán)。歐美主導(dǎo)的規(guī)制路徑在經(jīng)濟(jì)政治博弈下形成兩次融合。而GATS14條隱私例外條款的設(shè)置由于缺乏實(shí)踐支撐，實(shí)效性存疑。在上述“三難選擇”中，各國(guó)基于歷史傳統(tǒng)、文化水平、產(chǎn)業(yè)利益、國(guó)際形勢(shì)的差異而選擇不同的規(guī)制路徑。

(二)國(guó)家規(guī)制路徑類(lèi)型列示

1.歐盟(成員國(guó))：以地理區(qū)域?yàn)榛鶞?zhǔn)、以充分性原則為核心的規(guī)制路徑

歐盟規(guī)制路徑采用雙重標(biāo)準(zhǔn)，對(duì)于歐盟成員國(guó)，禁止以數(shù)據(jù)保護(hù)為由阻礙跨境數(shù)據(jù)的自由流動(dòng)；而對(duì)于其他第三國(guó)，則需以提供充分保護(hù)為前提。在理論層面，“指令”與GDPR是充分性保護(hù)原則體現(xiàn)的法律文本。兩個(gè)文本雖未就充分保護(hù)的含義進(jìn)行界定，卻設(shè)置了充分性保護(hù)認(rèn)定的參考因素。其中，“指令”第四章專(zhuān)門(mén)規(guī)定了個(gè)人數(shù)據(jù)向非成員國(guó)轉(zhuǎn)移的規(guī)則。第25條指出，歐盟委員會(huì)將根據(jù)數(shù)據(jù)的性質(zhì)、數(shù)據(jù)處理的目的和期間、數(shù)據(jù)接收國(guó)的法治程度以及行業(yè)規(guī)則和安全措施等四種因素來(lái)判斷(13)Article 25(2) of the 1995 Data Protection Directive.。此外，該文本第26條第1款規(guī)定了豁免充分性保護(hù)的特殊情形，包括獲得數(shù)據(jù)主體同意、履行合同的需要和維護(hù)公共利益等。而GDPR在“指令”的基礎(chǔ)上，不僅將規(guī)制對(duì)象擴(kuò)展至特定地區(qū)、行業(yè)領(lǐng)域以及國(guó)際組織，還更為詳細(xì)的列舉了充分性保護(hù)的三重標(biāo)準(zhǔn)：(1)法治狀況，對(duì)人權(quán)和基本自由的尊重程度，相關(guān)綜合性立法和專(zhuān)門(mén)行業(yè)立法以及立法的實(shí)施狀況；(2)存在掌握足夠權(quán)力且有效運(yùn)行的專(zhuān)門(mén)規(guī)制機(jī)構(gòu)；(3)加入關(guān)于個(gè)人數(shù)據(jù)保護(hù)的國(guó)際條約或多邊協(xié)定，從而在該領(lǐng)域負(fù)有國(guó)際法上的義務(wù)(14)Article 45(2) of the 2016 General Data Protection Regulation.。新標(biāo)準(zhǔn)實(shí)質(zhì)與形式并重，在考察域外第三國(guó)法治狀況的同時(shí)，加入專(zhuān)門(mén)機(jī)構(gòu)監(jiān)管因素。為了保證充分性決定的連續(xù)性與科學(xué)性，GDPR還規(guī)定，歐盟委員會(huì)至少每隔四年進(jìn)行重新審查，若不再符合充分性保護(hù)的要求，則成員國(guó)應(yīng)該采取必要的措施以防止數(shù)據(jù)跨境流動(dòng)。此外，GDPR雖然在生效后可以直接被各成員國(guó)適用，但一些個(gè)人數(shù)據(jù)的轉(zhuǎn)移，仍需要滿(mǎn)足成員國(guó)國(guó)內(nèi)的某些特殊規(guī)定。例如就兒童的個(gè)人數(shù)據(jù)而言，允許成員國(guó)對(duì)于兒童的年齡在13～16歲作出調(diào)整(15)王融.《歐盟數(shù)據(jù)保護(hù)通用條例》詳解[J].大數(shù)據(jù),2016,(7):94.。

在實(shí)踐層面，目前只有11個(gè)國(guó)家和地區(qū)獲得充分性保護(hù)認(rèn)證：包括加拿大、阿根廷、瑞士、安道爾、法羅群島、澤西島、馬恩島、根西島、新西蘭、以色列、烏拉圭東岸共和國(guó)(16)張金平.跨境數(shù)據(jù)轉(zhuǎn)移的國(guó)際規(guī)制及中國(guó)法律的應(yīng)對(duì)——兼評(píng)我國(guó)《網(wǎng)絡(luò)安全法》上的跨境數(shù)據(jù)轉(zhuǎn)移限制規(guī)則[J].政治與法律,2016,(12):140.。在程序上，通過(guò)考察這11份充分性保護(hù)認(rèn)證報(bào)告，可以得知?dú)W盟基本上遵循形式審查原則，而對(duì)于各個(gè)國(guó)家的實(shí)施效果并未給予足夠關(guān)注。例如2006年歐盟對(duì)加拿大的審查報(bào)告指出：加拿大的《聯(lián)邦個(gè)人信息保護(hù)法案》和各省規(guī)則制定符合指令的調(diào)整范疇，且自2002年以來(lái)加拿大對(duì)于數(shù)據(jù)保護(hù)的力度有所加強(qiáng)(17)See European Commission, Commission Decision on the Adequacy of the Protection of Personal Data in Third countries,http://ec.europa.eu/transparency/regdoc/rep/2/2006/EN/2-2006-1520-EN-1-1.Pdf,lastvisited on 9May,2019.。

歐盟規(guī)制路徑雖設(shè)計(jì)了統(tǒng)一標(biāo)準(zhǔn)，為個(gè)人數(shù)據(jù)權(quán)利的實(shí)現(xiàn)提供了合理的預(yù)期，且有利于防止第三國(guó)規(guī)避本國(guó)的數(shù)據(jù)保護(hù)立法。但是終究因?yàn)槌绦蛉唠s、標(biāo)準(zhǔn)過(guò)高而阻礙了數(shù)據(jù)的跨境流動(dòng)。

2.美國(guó)：以組織機(jī)構(gòu)為基準(zhǔn)，以問(wèn)責(zé)制原則為核心的規(guī)制路徑

美國(guó)規(guī)制路徑是在保證跨境數(shù)據(jù)自由流動(dòng)的基礎(chǔ)上，由數(shù)據(jù)控制者或數(shù)據(jù)處理者以合法、合理的方式對(duì)數(shù)據(jù)的安全性負(fù)責(zé)，否則將由數(shù)據(jù)監(jiān)管機(jī)構(gòu)問(wèn)責(zé)。與歐盟自上而下統(tǒng)一立法的事前預(yù)防模式不同，美國(guó)行業(yè)通過(guò)制定隱私保護(hù)標(biāo)準(zhǔn)，默認(rèn)數(shù)據(jù)控制者或者處理者在商業(yè)活動(dòng)中自覺(jué)的遵守相關(guān)規(guī)則，僅在事后對(duì)于違法行為進(jìn)行懲罰。因此，該規(guī)制方式能夠最低限度的避免跨境數(shù)據(jù)的滯留，同時(shí)也降低了行政機(jī)關(guān)的監(jiān)管壓力。

相較于歐盟充分性的保護(hù)標(biāo)準(zhǔn)，美國(guó)的個(gè)人數(shù)據(jù)保護(hù)水平主要以隱私保護(hù)狀況為考核指標(biāo)。美國(guó)的隱私保護(hù)標(biāo)準(zhǔn)分為兩個(gè)層級(jí)：即在線(xiàn)隱私聯(lián)盟(Online Privacy Alliances，OPA)公布的建議性指引以及由美國(guó)兩大隱私認(rèn)證企業(yè)TRUSTe和BBB Online制定的具有強(qiáng)制約束力的兩個(gè)隱私保護(hù)計(jì)劃(Privacy Seal Program)(18)張舵.略論個(gè)人數(shù)據(jù)跨境流動(dòng)的法律標(biāo)準(zhǔn)[J].中國(guó)政法大學(xué)學(xué)報(bào),2018,(5):102.。前者側(cè)重于保護(hù)數(shù)據(jù)主體的知情權(quán)，后者則在OPA指引的基礎(chǔ)上，結(jié)合聯(lián)邦貿(mào)易委員會(huì)的隱私保護(hù)原則(FTC Principles)(19)FTC原則包括通知原則、選擇原則、訪(fǎng)問(wèn)原則和數(shù)據(jù)安全原則。制定相關(guān)條款。企業(yè)在進(jìn)行申請(qǐng)認(rèn)證程序時(shí)，需要提供公司內(nèi)部的隱私規(guī)則與政策，在通過(guò)考核后，由上述認(rèn)證機(jī)構(gòu)頒發(fā)認(rèn)證標(biāo)識(shí)，且可在網(wǎng)上進(jìn)行公示，以提升消費(fèi)者的信任。此外，隱私認(rèn)證機(jī)構(gòu)也需要定期進(jìn)行評(píng)估。

美國(guó)規(guī)制路徑一方面強(qiáng)調(diào)規(guī)制企業(yè)對(duì)于相關(guān)規(guī)則的遵守，另一方面又對(duì)違規(guī)企業(yè)實(shí)行問(wèn)責(zé)。而上述規(guī)范體系的建構(gòu)旨在為數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)創(chuàng)設(shè)最低標(biāo)準(zhǔn)，讓跨境數(shù)據(jù)流動(dòng)的限制機(jī)制回歸市場(chǎng)。值得注意的是，事后問(wèn)責(zé)的處理方式不僅因數(shù)據(jù)難以恢復(fù)原狀而導(dǎo)致規(guī)制功能下降，而且對(duì)于中小企業(yè)來(lái)說(shuō)操作成本過(guò)高。企業(yè)自律水平也參差不齊。未來(lái)，隨著加入企業(yè)的不斷增多，監(jiān)管機(jī)構(gòu)很可能自顧不暇。此外，對(duì)于大型企業(yè)懲罰力度過(guò)小，與GDPR所規(guī)定的違規(guī)企業(yè)最高可處罰2000萬(wàn)歐元或者企業(yè)上一年度全球營(yíng)業(yè)收入的4%的罰款(兩者取其高)(20)王融.《歐盟數(shù)據(jù)保護(hù)通用條例》詳解[J].大數(shù)據(jù),2016,(7):101.相比，威懾力十分有限。

3.俄羅斯：以地理區(qū)域?yàn)榛鶞?zhǔn)、以數(shù)據(jù)本地化為基本原則的規(guī)制路徑

俄羅斯規(guī)制路徑要求數(shù)據(jù)的存儲(chǔ)與處理在國(guó)內(nèi)進(jìn)行，強(qiáng)烈排斥數(shù)據(jù)的跨境自由流動(dòng)，以實(shí)現(xiàn)對(duì)于跨境數(shù)據(jù)的絕對(duì)保護(hù)。與此相類(lèi)似的國(guó)家還有馬來(lái)西亞、巴西及印度等。俄羅斯的“本地存取型”立法最初尚未上升到歐盟以數(shù)據(jù)隱私權(quán)為基本權(quán)利的高度。但是“棱鏡門(mén)”事件的發(fā)生直接成為歐洲各國(guó)再次關(guān)注數(shù)據(jù)主權(quán)的導(dǎo)火索。俄羅斯數(shù)據(jù)保護(hù)立法從自由放任演變?yōu)閲?yán)格限制。

為此，俄羅斯于2014年5月和2014年7月先后進(jìn)行了兩次立法修改。就第一次修改而言，《關(guān)于信息、信息技術(shù)和信息保護(hù)法》(第149號(hào)法令)在互聯(lián)網(wǎng)信息傳播組織義務(wù)項(xiàng)下增加了境內(nèi)存儲(chǔ)的相關(guān)要求，文本規(guī)定：網(wǎng)民在對(duì)文字、圖像以及語(yǔ)音等各種信息進(jìn)行發(fā)送、接收以及處理的過(guò)程中，互聯(lián)網(wǎng)信息傳播組織者應(yīng)將上述信息留存于俄羅斯境內(nèi)。此外，還聲明互聯(lián)網(wǎng)企業(yè)在國(guó)家機(jī)構(gòu)進(jìn)行調(diào)查時(shí)積極配合的義務(wù)，否則將處以行政罰款。第二次修改則在第149號(hào)法令第16條第4款中增加數(shù)據(jù)控制者與數(shù)據(jù)處理者對(duì)于存儲(chǔ)、處理俄羅斯公民信息的數(shù)據(jù)庫(kù)應(yīng)留存在俄羅斯境內(nèi)的規(guī)定?！抖砹_斯聯(lián)邦個(gè)人數(shù)據(jù)法》(第152號(hào)法令)第18條增加第5款，運(yùn)營(yíng)商獲取信息需要使用俄羅斯本地的數(shù)據(jù)庫(kù)，且需確保數(shù)據(jù)主體的知情權(quán)。通過(guò)上述法律修改成果，可以歸納出俄羅斯目前對(duì)于數(shù)據(jù)跨境流動(dòng)的態(tài)度：(1)公民個(gè)人信息應(yīng)存儲(chǔ)于俄羅斯境內(nèi)；(2)處理公民個(gè)人信息應(yīng)在俄羅斯境內(nèi)進(jìn)行；(3)數(shù)據(jù)相關(guān)主體應(yīng)積極配合國(guó)家監(jiān)管工作(21)何波.俄羅斯跨境數(shù)據(jù)流動(dòng)立法規(guī)則與執(zhí)法實(shí)踐[J].大數(shù)據(jù),2016,(7):131.。跨境數(shù)據(jù)流動(dòng)立法在俄羅斯得到高強(qiáng)度的規(guī)制，但其實(shí)施方式相對(duì)溫和，監(jiān)管機(jī)構(gòu)一般通過(guò)檢查服務(wù)器服務(wù)商簽訂的書(shū)面合同，而非專(zhuān)業(yè)的軟硬件檢測(cè)。而且，處罰的力度相對(duì)較小，多為小額罰款和限期改正的處罰。

俄羅斯所倡導(dǎo)的數(shù)據(jù)本地化規(guī)制路徑通過(guò)嚴(yán)控?cái)?shù)據(jù)流動(dòng)，試圖將侵犯數(shù)據(jù)主體隱私和威脅國(guó)家安全的風(fēng)險(xiǎn)扼殺在搖籃里，但其實(shí)施的效果并不理想。首先，該理念本身就存有瑕疵，信息安全并不在于物質(zhì)形態(tài)的存儲(chǔ)地點(diǎn)，高度集中有時(shí)往往更易受損，甚至有可能成為國(guó)內(nèi)政府監(jiān)視公民行為的借口(22)馬蒂亞斯·鮑爾等.數(shù)據(jù)本地化的代價(jià)：經(jīng)濟(jì)恢復(fù)期的自損行為[J].汕頭大學(xué)學(xué)報(bào)(人文社會(huì)科學(xué)版),2017,(5):45.。其次，數(shù)據(jù)本地化措施是否符合目的、是否必要、是否符合比例原則也存有質(zhì)疑(23)彭岳.數(shù)據(jù)本地化措施的貿(mào)易規(guī)制問(wèn)題研究[J].環(huán)球法律評(píng)論,2018,(2):180-181.。

4.澳大利亞：以利益均衡為導(dǎo)向、以折中型為特征的規(guī)制路徑

相較于歐盟數(shù)據(jù)保護(hù)的歷史傳統(tǒng)以及美國(guó)強(qiáng)大的互聯(lián)網(wǎng)產(chǎn)業(yè)經(jīng)濟(jì)，一些缺失國(guó)際主導(dǎo)權(quán)的國(guó)家往往選擇迎合立法主流或加入特定區(qū)域、國(guó)際組織，為國(guó)內(nèi)相關(guān)產(chǎn)業(yè)的數(shù)據(jù)跨境流動(dòng)提供法律依據(jù)。以澳大利亞為代表的中間派，通過(guò)創(chuàng)新跨境數(shù)據(jù)流動(dòng)機(jī)制，結(jié)合立法變革和實(shí)踐檢測(cè)，以期在“三難選擇”中找到平衡點(diǎn)。

澳大利亞數(shù)據(jù)安全框架?chē)@政府商業(yè)安全指令和全面保護(hù)安全政策兩層治理構(gòu)架，制定出具有推薦性意義的數(shù)據(jù)安全管理協(xié)議、五項(xiàng)具體規(guī)則和特殊數(shù)據(jù)的安全政策和流程(24)倫一.澳大利亞跨境數(shù)據(jù)流動(dòng)實(shí)踐及啟示[J].信息安全與通信保密,2017,(5):31.。澳大利亞規(guī)制機(jī)制是主流規(guī)制路徑和本國(guó)獨(dú)有管理機(jī)制的結(jié)合，具體表現(xiàn)為以下幾個(gè)特征：首先，規(guī)制法律專(zhuān)門(mén)化，將數(shù)據(jù)類(lèi)型分為政府?dāng)?shù)據(jù)、個(gè)人數(shù)據(jù)和健康數(shù)據(jù)。澳大利亞一般不禁止個(gè)人數(shù)據(jù)的跨境流動(dòng)，《1988年隱私法》(以下簡(jiǎn)稱(chēng)《隱私法》)要求APP實(shí)體，即澳大利亞隱私原則所規(guī)范的機(jī)構(gòu)或個(gè)人應(yīng)采取適當(dāng)?shù)拇胧?，保證數(shù)據(jù)接受者未違反澳大利亞境內(nèi)法律的規(guī)定。涉及一般數(shù)據(jù)中的敏感數(shù)據(jù)則禁止商業(yè)推廣。對(duì)于個(gè)人健康數(shù)據(jù)，《個(gè)人控制的電子健康記錄法》(PCEHR)第77章原則上禁止可識(shí)別的健康數(shù)據(jù)跨境流動(dòng)，除非出現(xiàn)消費(fèi)者數(shù)據(jù)必須跨境等情形。其次，承認(rèn)外國(guó)相關(guān)制度的域外效力?！峨[私法》規(guī)定，外國(guó)對(duì)數(shù)據(jù)跨境流動(dòng)做出要求，不視為違反澳大利亞《隱私法》。最后，澳大利亞跨境數(shù)據(jù)流動(dòng)規(guī)制機(jī)制與國(guó)際規(guī)則相協(xié)調(diào)?！峨[私法》與“指令”和GDPR的目標(biāo)以及部分規(guī)定兼容，都強(qiáng)調(diào)尊重并保障數(shù)據(jù)主體權(quán)利。因?yàn)槭茿PEC成員，該法案也同APEC隱私規(guī)則亦步亦趨，但因未加入CBPR，故具體執(zhí)行不受約束。此外，澳大利亞跨境數(shù)據(jù)流動(dòng)體系與OECD《關(guān)于隱私保護(hù)和個(gè)人跨境數(shù)據(jù)指南》內(nèi)在邏輯相一致，都通過(guò)數(shù)據(jù)開(kāi)放與安全的價(jià)值理念解決“三難選擇”之問(wèn)題。

澳大利亞規(guī)制路徑是在保護(hù)數(shù)據(jù)主體隱私權(quán)的基礎(chǔ)上，調(diào)配經(jīng)濟(jì)利益的產(chǎn)物。精準(zhǔn)的分類(lèi)規(guī)則、成熟的法律構(gòu)架以及與國(guó)際規(guī)則立法趨勢(shì)相適配似乎得以實(shí)現(xiàn)良好的數(shù)據(jù)保護(hù)、跨境自由流動(dòng)和數(shù)據(jù)自主權(quán)的平衡，但因過(guò)于兼顧，部分功能會(huì)因此而減損。例如數(shù)據(jù)類(lèi)型劃分的交叉所導(dǎo)致的專(zhuān)門(mén)法律間不相協(xié)調(diào)，監(jiān)管機(jī)構(gòu)配套不足，以及對(duì)健康數(shù)據(jù)過(guò)度敏感等。事實(shí)證明折中的解決方案針對(duì)性不強(qiáng)，限度也難以掌控。

以上四種規(guī)制路徑是不同國(guó)家在數(shù)字經(jīng)濟(jì)迅猛發(fā)展的時(shí)代背景下做出的戰(zhàn)略抉擇?；蛞虺缟须[私保護(hù)而放棄數(shù)據(jù)流動(dòng)帶來(lái)的巨大經(jīng)濟(jì)收益，或以市場(chǎng)自治的規(guī)律為準(zhǔn)則，適當(dāng)調(diào)整數(shù)據(jù)保護(hù)的力度。以俄羅斯為代表的數(shù)據(jù)本地化舉措與其說(shuō)是對(duì)于美國(guó)監(jiān)控行為的應(yīng)激性反應(yīng)，還不如說(shuō)為傳統(tǒng)的國(guó)家安全找到得以維系的支點(diǎn)，畢竟當(dāng)下政治環(huán)境成為矛盾焦點(diǎn)。而折中型的澳大利亞規(guī)制路徑似乎通過(guò)創(chuàng)新機(jī)制、仿效國(guó)際模式的形式使“三難選擇”相融合。為了全球化的共同目標(biāo)，上述路徑出現(xiàn)融合，并由此演化成為不同的國(guó)際規(guī)制路徑。

(三)國(guó)際規(guī)制路徑類(lèi)型列示

王利明教授指出：“不同國(guó)家之間的立法差異是導(dǎo)致跨境數(shù)據(jù)流動(dòng)受到阻礙的主要原因?！?25)王利明.論個(gè)人信息權(quán)的法律保護(hù)——以個(gè)人信息權(quán)與隱私權(quán)的界分為中心[J].現(xiàn)代法學(xué),2013,(4):62-72.而實(shí)現(xiàn)數(shù)據(jù)的自由流動(dòng)或通過(guò)減少公權(quán)力介入，實(shí)現(xiàn)市場(chǎng)自治。或通過(guò)放棄市場(chǎng)來(lái)迎合歐盟嚴(yán)格的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)。但上述單一的規(guī)制路徑對(duì)于互聯(lián)網(wǎng)的發(fā)展并未奏效。從國(guó)際私法層面來(lái)看，解決民商事法律沖突無(wú)異于兩種方法，即沖突法和統(tǒng)一實(shí)體法。一方面，數(shù)據(jù)監(jiān)管意味著公法的治理，國(guó)家談判步履維艱。另一方面，由于國(guó)內(nèi)法制環(huán)境和文化的差異，在短期內(nèi)達(dá)成國(guó)際共識(shí)又不具有可能性。盡管歐盟于2012年重新修訂的“108公約”(26)新修訂的“108公約”規(guī)范對(duì)象廣泛，且規(guī)定保護(hù)標(biāo)準(zhǔn)，準(zhǔn)入和執(zhí)行機(jī)制更加靈活，包括問(wèn)卷、面談以及合規(guī)協(xié)助等方式。烏拉圭成為新“108公約”的第一個(gè)非歐洲國(guó)家。和于1979年成立的全球性DPA專(zhuān)業(yè)組織——國(guó)際數(shù)據(jù)保護(hù)與隱私專(zhuān)員大會(huì)(The International Data Protection and Privacy Commissioners’ Conference，IDPPCC)(27)IDPPCC 共有119 個(gè)DPA 成員，每年召開(kāi)一次會(huì)議，其宗旨是在國(guó)際層面提供數(shù)據(jù)和隱私保護(hù)的領(lǐng)導(dǎo)力。試圖在推動(dòng)跨境數(shù)據(jù)的全球流動(dòng)，進(jìn)而建立統(tǒng)一的多邊機(jī)制，但是并未取得實(shí)質(zhì)性進(jìn)展。通過(guò)簽訂雙邊協(xié)議、多邊協(xié)議的國(guó)際規(guī)制路徑則在國(guó)力較量中呈現(xiàn)出不同特征。

1.美國(guó)主導(dǎo)下的國(guó)際規(guī)制路徑

于2004年通過(guò)的APEC隱私框架(APEC Privacy Framework)是亞太地區(qū)第一份有關(guān)跨境數(shù)據(jù)流動(dòng)規(guī)制的立法文件。為了增強(qiáng)該框架的執(zhí)行力，2012年由美國(guó)主導(dǎo)的《跨境隱私規(guī)則》(Cross Border Privacy Rules system)(以下簡(jiǎn)稱(chēng)“CBPR”)可謂美國(guó)自律模式的改良版本。該多邊數(shù)據(jù)隱私保護(hù)計(jì)劃的參與主體包括隱私執(zhí)法機(jī)構(gòu)(PEA)、隱私認(rèn)證機(jī)構(gòu)以及規(guī)制企業(yè)。具體運(yùn)行機(jī)制為：隱私認(rèn)證機(jī)構(gòu)根據(jù)隱私框架的9大原則(28)包括避免傷害、通知、收集限制、個(gè)人信息的使用、選擇性原則、個(gè)人信息的完整性、安全保障、查詢(xún)及更正、問(wèn)責(zé)制。和50條具體要求制定標(biāo)準(zhǔn)，規(guī)制企業(yè)可通過(guò)自評(píng)以及隱私認(rèn)證機(jī)構(gòu)的評(píng)估獲得認(rèn)證標(biāo)志，之后可負(fù)責(zé)亞太各國(guó)的數(shù)據(jù)跨境傳輸及處理等業(yè)務(wù)。在監(jiān)管層面，分為兩種途徑：第一種由隱私認(rèn)證機(jī)構(gòu)通過(guò)消費(fèi)者投訴和常規(guī)例行檢查跟蹤規(guī)制企業(yè)的違規(guī)行為，以給予批評(píng)、取消認(rèn)證標(biāo)識(shí)和罰款等為懲戒手段。第二種則在第一種渠道救濟(jì)不能的情況下，由隱私執(zhí)法機(jī)構(gòu)根據(jù)隱私執(zhí)法安排，要求違規(guī)企業(yè)所在國(guó)的隱私執(zhí)法機(jī)構(gòu)來(lái)處理(29)〔36〕弓永欽,王健.APEC與歐盟個(gè)人數(shù)據(jù)跨境流動(dòng)規(guī)則的研究[J].亞太經(jīng)濟(jì),2015,(5):10-12.。此外，于2012年達(dá)成的《美韓自由貿(mào)易協(xié)定》(U.S.-South Korea Free Trade Agreement)和2015年簽訂的《跨太平洋戰(zhàn)略經(jīng)濟(jì)伙伴關(guān)系協(xié)定》(TPP)同樣帶有強(qiáng)烈的美國(guó)色彩。這種以經(jīng)濟(jì)力量來(lái)決定規(guī)則走向的國(guó)際規(guī)制模式不但會(huì)在機(jī)制出現(xiàn)預(yù)警時(shí)無(wú)法解決，還無(wú)形中增設(shè)了加入的成本。

2.從“安全港”到“隱私盾”：歐美路徑的第一次融合

由于歐美跨境數(shù)據(jù)規(guī)制方式的巨大差異，美國(guó)無(wú)法通過(guò)充分保護(hù)原則落入歐盟白名單的范疇。但緊密的貿(mào)易投資關(guān)系促使歐美經(jīng)多次磋商，并于2000年11月1日達(dá)成《美歐安全港協(xié)議》(U.S.-EU Safe Harbor Framework)。該協(xié)議共包括7項(xiàng)隱私權(quán)保護(hù)規(guī)則(30)包括通知原則、選擇原則、向前轉(zhuǎn)移原則、安全原則、數(shù)據(jù)完全性原則、接入原則和執(zhí)行原則。，美國(guó)企業(yè)需要加入該協(xié)議，并且承諾遵守上述規(guī)則，方可視同滿(mǎn)足“指令”第25條第6項(xiàng)的充分性認(rèn)定。這種通過(guò)以充分性保護(hù)原則嵌入組織機(jī)構(gòu)的混合模式，暫時(shí)調(diào)和了歐美之間的矛盾。不過(guò)事后，一些學(xué)者對(duì)于此項(xiàng)協(xié)議的達(dá)成表示擔(dān)憂(yōu)：只要?dú)W美之間隱私保護(hù)的立場(chǎng)存有根本性差異，這項(xiàng)解決方案不能長(zhǎng)久(31)Julia M.Fromholz,The European Union Data Privacy Directive,Berkeley Technology Law Journal,Vol.15,2000,p.483.。2013年“棱鏡門(mén)”事件的發(fā)生使美國(guó)變?yōu)楸娛钢?。雙方于2014年1月重新開(kāi)始談判，以尋求應(yīng)對(duì)之策。2015年，奧地利的一名法律系學(xué)生馬克斯·施姆雷斯向愛(ài)爾蘭信息監(jiān)督部門(mén)提出申訴，愛(ài)爾蘭當(dāng)局援引《美歐安全港協(xié)議》駁斥了該申訴，后該學(xué)生召集其他數(shù)據(jù)主體提起集體訴訟，經(jīng)歐洲法院判決：安全港協(xié)議對(duì)于侵犯歐洲公民數(shù)據(jù)隱私權(quán)的情形，只有解決商業(yè)糾紛的條款，并未規(guī)定其他救濟(jì)機(jī)制，因此不符合“指令”的充分性保護(hù)標(biāo)準(zhǔn)；在權(quán)限規(guī)定上，協(xié)議限制了歐盟國(guó)家主管機(jī)關(guān)的監(jiān)督權(quán)。2016年，歐美重啟談判工作，隨后達(dá)成《歐美隱私盾協(xié)議》(EU-U.S. Privacy Shield Framework)。相較于安全港協(xié)議，后者將規(guī)制對(duì)象擴(kuò)展至美國(guó)政府以及國(guó)家安全部門(mén)，救濟(jì)機(jī)制則從簡(jiǎn)單的商業(yè)糾紛解決條款到企業(yè)申訴和強(qiáng)制性終局仲裁。此外，還增加了數(shù)據(jù)主體權(quán)利內(nèi)容等(32)王順清,劉超.歐美個(gè)人數(shù)據(jù)跨境轉(zhuǎn)移政策變遷及對(duì)我國(guó)的啟示[J].法學(xué)論壇,2017,(4):98.。

3.歐盟——APEC的雙重認(rèn)證：歐美路徑的第二次融合

歐盟的“約束性公司規(guī)則(Binding Corporate Rules,BCR)”(33)BCR的規(guī)范對(duì)象是在歐洲經(jīng)營(yíng)的跨國(guó)公司，跨國(guó)公司在集團(tuán)內(nèi)部制定符合指令原則的約束性公司規(guī)則即可視為達(dá)到充分性保護(hù)標(biāo)準(zhǔn)。和美國(guó)主導(dǎo)下的APEC跨境隱私規(guī)則(CBPR)均是歐美兩種傳統(tǒng)規(guī)制模式的延伸性成果。與純粹的歐美規(guī)制路徑相比，兩者在許多方面存在相似之處：(1)規(guī)制主體為國(guó)際企業(yè)，規(guī)制行為為數(shù)據(jù)流動(dòng)行為；(2)企業(yè)自愿加入，且僅具有內(nèi)部約束力，違背規(guī)則將會(huì)被數(shù)據(jù)保護(hù)機(jī)構(gòu)予以制裁；(3)“指令”的6大規(guī)則(34)包括合法性、目的限制、透明度、比例性、安全和管理原則。與APEC的9大規(guī)則相比內(nèi)容并無(wú)實(shí)質(zhì)性差異；(4)均準(zhǔn)確界定了數(shù)據(jù)保護(hù)的最低標(biāo)準(zhǔn)〔36〕?；趦纱笠?guī)則具備兼容的內(nèi)在特質(zhì)，自2012年9月，歐盟與APEC形成了一個(gè)聯(lián)合工作小組，該小組通過(guò)比較兩者的異同點(diǎn)，制定相應(yīng)文本，以促進(jìn)跨境數(shù)據(jù)在兩個(gè)組織成員國(guó)之間的自由流動(dòng)。2014年1月，APEC-EU工作委員會(huì)聯(lián)合制定了“BCR規(guī)則體系和CBPR規(guī)則體系共同參考”(以下簡(jiǎn)稱(chēng)“參考”)(35)PEC,Electronic Commerce Steering Group,https://www.apec.org/Groups/Committee-on-Trade-and-Investment/Electronic-Commerce-Steering-Group, last visited on 9 May,2019.，參考不僅重申了兩者的規(guī)則體系，還另外指出需要滿(mǎn)足一些共同標(biāo)準(zhǔn)和認(rèn)證要求。此外，該文件對(duì)于同時(shí)申請(qǐng)兩個(gè)機(jī)構(gòu)的企業(yè)具有強(qiáng)制約束力。為了進(jìn)一步推動(dòng)參考的可操作性，自2015年8月，APEC-EU工作委員會(huì)與利益相關(guān)者就制定聯(lián)合申請(qǐng)表交換了意見(jiàn)和建議，以實(shí)現(xiàn)長(zhǎng)期合作的計(jì)劃。目前，工作小組正在起草該份申請(qǐng)表。

歐美兩次路徑的融合構(gòu)成了雙邊協(xié)議和多邊協(xié)議的正式范本，為跨境數(shù)據(jù)流動(dòng)的規(guī)制方式提供了新的邏輯行為路徑。此外，歐美分別自2013年3月和2013年6月開(kāi)始談判的《服務(wù)貿(mào)易協(xié)議》(TISA)和《跨大西洋貿(mào)易與投資合作伙伴關(guān)系協(xié)議》(TTIP)由于數(shù)據(jù)保護(hù)水平存在巨大分歧而遭遇瓶頸。

通過(guò)上述國(guó)家規(guī)制路徑與國(guó)際規(guī)制路徑的詳細(xì)闡釋?zhuān)P者認(rèn)為就目前跨境數(shù)據(jù)流動(dòng)的規(guī)制路徑而言，全球形成如下構(gòu)架體系：

四、中國(guó)跨境數(shù)據(jù)流動(dòng)規(guī)制的法律現(xiàn)狀和路徑抉擇

跨境數(shù)據(jù)流動(dòng)規(guī)制作為中國(guó)互聯(lián)網(wǎng)迅猛發(fā)展背景下探討的議題，已經(jīng)反映在中國(guó)近來(lái)頒布的立法文件中。一方面，經(jīng)濟(jì)全球化的時(shí)代趨勢(shì)促使許多國(guó)家和地區(qū)進(jìn)行數(shù)據(jù)交換。而中國(guó)作為世界第二大經(jīng)濟(jì)體，對(duì)于數(shù)據(jù)交換的需求顯著增長(zhǎng)。據(jù)阿里研究院統(tǒng)計(jì)：中國(guó)跨境電商交易規(guī)模在2015年達(dá)到4.8億元，預(yù)計(jì)到2020年達(dá)到12億元，占中國(guó)進(jìn)出口總額的37.6%(37)曹杰,王晶.跨境數(shù)據(jù)流動(dòng)規(guī)則分析——以歐美隱私盾協(xié)議為視角[J].國(guó)際經(jīng)貿(mào)探索,2017,(4):114.。另一方面，技術(shù)革新給隱私和數(shù)據(jù)安全帶來(lái)了前所未有的威脅。而中國(guó)相關(guān)領(lǐng)域的立法空白無(wú)法規(guī)制跨境數(shù)據(jù)流動(dòng)這一行為，具體的政策邊界也并不明確。在上述背景下，中國(guó)既需認(rèn)清國(guó)內(nèi)和國(guó)際經(jīng)濟(jì)形勢(shì)和立法現(xiàn)狀，又需制定出相應(yīng)對(duì)策以應(yīng)對(duì)跨境數(shù)據(jù)流動(dòng)中的問(wèn)題。

(一)法律現(xiàn)狀

首先，對(duì)于個(gè)人數(shù)據(jù)權(quán)利定位不清，規(guī)制對(duì)象屬性不明。法學(xué)界或基于個(gè)人數(shù)據(jù)因帶有人身屬性的信息而歸于隱私權(quán)或人格權(quán)范疇，或因法律賦予數(shù)據(jù)主體知情權(quán)、控制權(quán)、處理權(quán)而附有財(cái)產(chǎn)權(quán)的色彩，因此對(duì)于個(gè)人數(shù)據(jù)的權(quán)利屬性并未達(dá)成一致共識(shí)。在互聯(lián)網(wǎng)時(shí)代，個(gè)人數(shù)據(jù)權(quán)利保護(hù)對(duì)象和保護(hù)方式發(fā)生改變。前者的范圍擴(kuò)展至進(jìn)行挖掘和處理后的個(gè)人信息。后者則從傳統(tǒng)的消極保護(hù)變?yōu)樵趦?yōu)先確保數(shù)據(jù)自由流動(dòng)的前提下實(shí)現(xiàn)數(shù)據(jù)的全方位保護(hù)。個(gè)人數(shù)據(jù)權(quán)利兼具人身權(quán)和財(cái)產(chǎn)權(quán)屬性，全球進(jìn)入了“后隱私權(quán)”變革時(shí)代(38)劉澤剛.歐盟個(gè)人數(shù)據(jù)保護(hù)的“后隱私權(quán)”變革[J].華東政法大學(xué)學(xué)報(bào),2018,(4):54.。

其次，立法過(guò)于分散化，缺乏體系性。我國(guó)現(xiàn)有個(gè)人數(shù)據(jù)保護(hù)通過(guò)統(tǒng)籌性法律和行業(yè)規(guī)定(39)統(tǒng)籌性法律有：《網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見(jiàn))》等，行業(yè)規(guī)定包括《征信業(yè)管理?xiàng)l例》《人口健康信息管理辦法(試行)》等。進(jìn)行規(guī)制。據(jù)統(tǒng)計(jì)，我國(guó)現(xiàn)有涉及個(gè)人數(shù)據(jù)保護(hù)的法律法規(guī)近70部，法律解釋10條以及部門(mén)規(guī)章近200部(40)代表委員呼吁個(gè)人信息保護(hù)單獨(dú)立法[J].時(shí)代金融,2013,(10):49.。其中，規(guī)制跨境數(shù)據(jù)流動(dòng)的少之甚少。2013年工信部頒布的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》首次制定了跨境數(shù)據(jù)流動(dòng)的相關(guān)規(guī)定。2016年通過(guò)的《網(wǎng)絡(luò)安全法》第37條模糊界定了數(shù)據(jù)評(píng)估的機(jī)構(gòu)和數(shù)據(jù)本地存儲(chǔ)的要求。上述立法規(guī)范基本是原則性的規(guī)定，對(duì)于數(shù)據(jù)主體權(quán)利的內(nèi)容、規(guī)制方式以及救濟(jì)途徑缺失，且試圖通過(guò)部門(mén)法以偏概全。這種分散化、抽象的立法模式無(wú)法為跨境數(shù)據(jù)流動(dòng)的快速發(fā)展提供法律依據(jù)。

最后，跨境數(shù)據(jù)流動(dòng)監(jiān)管方式和數(shù)據(jù)保護(hù)分類(lèi)形式單一?；诖笳牧⒎▊鹘y(tǒng)，跨境數(shù)據(jù)流動(dòng)的監(jiān)管基本由政府主導(dǎo)，由此弱化了企業(yè)的監(jiān)管職責(zé)。政府監(jiān)管負(fù)擔(dān)過(guò)重，從而抑制了市場(chǎng)的運(yùn)行效率。此外，數(shù)據(jù)保護(hù)種類(lèi)寬泛，立法未進(jìn)行數(shù)據(jù)的有效識(shí)別，保護(hù)水平的一視同仁忽略了數(shù)據(jù)間的屬性差異。

綜上，中國(guó)跨境數(shù)據(jù)流動(dòng)規(guī)制因立法較晚，在立法模式、立法體系、立法價(jià)值導(dǎo)向、立法具體規(guī)則、立法執(zhí)行機(jī)制和救濟(jì)機(jī)制層面過(guò)于原則，無(wú)法為跨境企業(yè)提供合法合理的預(yù)期，以調(diào)整跨境交易行為。數(shù)據(jù)保護(hù)和數(shù)據(jù)自由的衡平處于初級(jí)階段。

(二)路徑抉擇

鑒于全球主要形成了美、歐、俄、澳四大國(guó)內(nèi)路徑，以及美國(guó)主導(dǎo)和歐美立法范式融合的國(guó)際路徑。中國(guó)在立法體系不完善的背景下，理應(yīng)結(jié)合中國(guó)實(shí)際情況和國(guó)際跨境數(shù)據(jù)流動(dòng)的發(fā)展趨勢(shì)，做出正確的路徑抉擇。據(jù)此，筆者提出如下建議：

1.堅(jiān)持維護(hù)數(shù)據(jù)自主權(quán)，協(xié)調(diào)好數(shù)據(jù)安全與產(chǎn)業(yè)利益的關(guān)系

中國(guó)作為大數(shù)據(jù)時(shí)代下的后起之秀，在產(chǎn)業(yè)利益帶動(dòng)國(guó)民經(jīng)濟(jì)增長(zhǎng)并逐漸影響市場(chǎng)類(lèi)型的基礎(chǔ)上，應(yīng)同時(shí)注重消費(fèi)者的合法權(quán)益，以及數(shù)據(jù)泄露可能引發(fā)的國(guó)家危機(jī)。數(shù)據(jù)自主權(quán)的公權(quán)屬性促使歐美為首的數(shù)據(jù)大國(guó)嚴(yán)格把控。在全球數(shù)據(jù)競(jìng)爭(zhēng)中，中國(guó)也應(yīng)完善數(shù)據(jù)監(jiān)管機(jī)制，牢牢把握自主權(quán)。因?yàn)椤懊總€(gè)國(guó)家都擁有信息自主權(quán)，不能因?yàn)榻?jīng)濟(jì)政治水平差異而施以雙重標(biāo)準(zhǔn)，且任何國(guó)家均不得干涉他國(guó)的信息自主權(quán)”(41)祝高峰.大數(shù)據(jù)時(shí)代國(guó)家信息主權(quán)的確立及其立法建議[J].江西社會(huì)科學(xué),2016,(7):191.。此外，應(yīng)建立數(shù)據(jù)共享機(jī)制，轉(zhuǎn)變數(shù)據(jù)主權(quán)的防守路徑，以保證數(shù)據(jù)流動(dòng)的暢通性、透明性以及可操作性。

2.加快統(tǒng)一數(shù)據(jù)保護(hù)立法，建立分類(lèi)和評(píng)估機(jī)制

中國(guó)跨境數(shù)據(jù)立法處于初期階段，各項(xiàng)機(jī)制闕如，跨境數(shù)據(jù)流動(dòng)規(guī)制基本分散于各個(gè)部門(mén)法中，且以較為含糊的言辭表述。筆者認(rèn)為：首先，基于跨境數(shù)據(jù)的雙重屬性，應(yīng)由全國(guó)人大常委會(huì)制定一部綜合性的《個(gè)人數(shù)據(jù)保護(hù)法》，不僅能夠提高數(shù)據(jù)保護(hù)權(quán)的立法位階，還為部門(mén)法嵌入該新型權(quán)利提供規(guī)則指引。目前，據(jù)中國(guó)人大網(wǎng)于2018年9月10日公布的《十三屆全國(guó)人大常委會(huì)立法規(guī)劃》，《個(gè)人信息保護(hù)法》已被列為第一類(lèi)項(xiàng)目的第61個(gè)。面對(duì)數(shù)據(jù)經(jīng)濟(jì)發(fā)展的熱潮和新近歐盟生效的最嚴(yán)格GDPR，立法進(jìn)度刻不容緩。其次，在內(nèi)容上，對(duì)于不同的數(shù)據(jù)采取不同的管理模式，涉及國(guó)家秘密、國(guó)家安全的數(shù)據(jù)，根據(jù)GATS第14條隱私例外和國(guó)家安全例外條款，將該數(shù)據(jù)留存于中國(guó)境內(nèi)。對(duì)于普通的個(gè)人數(shù)據(jù)，則再詳細(xì)劃分為一般數(shù)據(jù)和敏感數(shù)據(jù)。后者原則上禁止，只有滿(mǎn)足嚴(yán)格的評(píng)估條件或在數(shù)據(jù)主體同意的基礎(chǔ)上方可豁免，從而能強(qiáng)化對(duì)個(gè)人一般信息的利用和個(gè)人敏感信息的保護(hù)(42)張新寶.我國(guó)個(gè)人信息保護(hù)法立法主要矛盾研討[J].吉林大學(xué)社會(huì)科學(xué)學(xué)報(bào),2018,(5):46-47.。最后，在評(píng)估機(jī)制上，從《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法(征求意見(jiàn)稿)》的相關(guān)規(guī)定來(lái)看，基本上采用以組織機(jī)構(gòu)為基準(zhǔn)，以問(wèn)責(zé)為原則的美國(guó)式規(guī)制路徑。將責(zé)任主體歸置于網(wǎng)絡(luò)運(yùn)營(yíng)者(43)第12條：網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)根據(jù)業(yè)務(wù)發(fā)展和網(wǎng)絡(luò)運(yùn)營(yíng)情況，每年對(duì)數(shù)據(jù)出境至少進(jìn)行一次安全評(píng)估，及時(shí)將評(píng)估情況報(bào)行業(yè)主管或監(jiān)管部門(mén)。當(dāng)數(shù)據(jù)接收方出現(xiàn)變更，數(shù)據(jù)出境目的、范圍、數(shù)量、類(lèi)型等發(fā)生較大變化，數(shù)據(jù)接收方或出境數(shù)據(jù)發(fā)生重大安全事件時(shí)，應(yīng)及時(shí)重新進(jìn)行安全評(píng)估。，由行業(yè)主管或監(jiān)管部門(mén)進(jìn)行最終評(píng)定(44)第5條：國(guó)家網(wǎng)信部門(mén)統(tǒng)籌協(xié)調(diào)數(shù)據(jù)出境安全評(píng)估工作，指導(dǎo)行業(yè)主管或監(jiān)管部門(mén)組織開(kāi)展數(shù)據(jù)出境安全評(píng)估。第6條：行業(yè)主管或監(jiān)管部門(mén)負(fù)責(zé)本行業(yè)數(shù)據(jù)出境安全評(píng)估工作，定期組織開(kāi)展本行業(yè)數(shù)據(jù)出境安全檢查。。前者的順利進(jìn)行有賴(lài)于行業(yè)自律體系的構(gòu)建，而后者的機(jī)構(gòu)設(shè)定容易導(dǎo)致實(shí)踐中監(jiān)管缺位。一則機(jī)構(gòu)的多功能監(jiān)管往往容易顧此失彼，專(zhuān)業(yè)能力有待考察；二則建立專(zhuān)門(mén)的數(shù)據(jù)保護(hù)機(jī)構(gòu)(DPA)已成為世界潮流，對(duì)于中國(guó)加入國(guó)際或區(qū)域組織，抑或簽訂自由貿(mào)易協(xié)議都是大有裨益的。

3.加強(qiáng)國(guó)際合作，建立符合中國(guó)國(guó)情的規(guī)制路徑

在互聯(lián)、協(xié)作、開(kāi)放、共享的時(shí)代主題下，加強(qiáng)全球化合作成為拓寬本國(guó)經(jīng)濟(jì)渠道、促進(jìn)國(guó)際交流的重要方式。以歐美為首的國(guó)家以積極主動(dòng)的姿態(tài)制定跨境數(shù)據(jù)流動(dòng)規(guī)制規(guī)則，通過(guò)雙邊、多邊協(xié)議構(gòu)建屬于自己的話(huà)語(yǔ)權(quán)。但是目前全球尚未形成統(tǒng)一的國(guó)際規(guī)則與條約規(guī)范。對(duì)于中國(guó)來(lái)說(shuō)，只有在立法理念確定、國(guó)內(nèi)立法相對(duì)完善、執(zhí)行機(jī)制專(zhuān)門(mén)化的前提下，具備防御能力后，國(guó)際合作的開(kāi)展才能有效進(jìn)行。具體路徑建構(gòu)分為兩個(gè)層面：第一個(gè)層面是迂回路徑：首先，通過(guò)建立數(shù)據(jù)保護(hù)機(jī)構(gòu)，加入CBPR體系，在亞太地區(qū)開(kāi)展跨境數(shù)字產(chǎn)品貿(mào)易和服務(wù)。截至2018年，韓國(guó)已經(jīng)成為繼美國(guó)、日本、墨西哥和加拿大后，第五個(gè)加入CBPR體系的國(guó)家(45)http://www.apec.org/Press/News-Releases/2017/0627_Privacy,last visited on 9 May, 2019.。因中國(guó)是APEC的成員國(guó)，該路徑也最有可能實(shí)現(xiàn)。并且，我國(guó)已同韓國(guó)簽訂了FTA，而中日韓FTA，中美BIT均在談判，中國(guó)—加拿大FTA正在研究中(46)商務(wù)部中國(guó)自由貿(mào)易區(qū)服務(wù)網(wǎng)，http://fta.mofcom.gov.cn/,最后訪(fǎng)問(wèn)日期：2019年5月9日。。故該路徑也有實(shí)施的必要性。此外，因目前歐盟與APEC就跨境數(shù)據(jù)流動(dòng)進(jìn)行雙重認(rèn)證，該路徑也可能打通中國(guó)與歐盟的傳輸渠道。其次，2018年5月28日生效的GDPR，增設(shè)了跨境數(shù)據(jù)流動(dòng)的合法機(jī)制。在充分性條件難以滿(mǎn)足的情況下，中國(guó)可通過(guò)制定有約束的公司規(guī)則(BCR)、標(biāo)準(zhǔn)合同條款(SCC)(47)其為歐盟委員會(huì)通過(guò)的3個(gè)標(biāo)準(zhǔn)合同條款，GDPR增加了數(shù)據(jù)監(jiān)管機(jī)構(gòu)可以指定標(biāo)準(zhǔn)合同條款的渠道，但是須經(jīng)歐盟委員會(huì)認(rèn)可。、經(jīng)批準(zhǔn)的行為規(guī)則(48)詳細(xì)行為規(guī)則由數(shù)據(jù)控制者成立的協(xié)會(huì)制定，但是需要經(jīng)數(shù)據(jù)監(jiān)管機(jī)構(gòu)或歐盟保護(hù)委員會(huì)通過(guò)。和認(rèn)證機(jī)制等形式來(lái)實(shí)現(xiàn)，因?yàn)楫吘褂兄?億人的歐洲市場(chǎng)。最后，隨著中國(guó)企業(yè)隱私數(shù)據(jù)保護(hù)的提高，可予以仿效“安全港”“隱私盾”模式，與歐盟等重要經(jīng)濟(jì)發(fā)展體洽簽合作協(xié)議。在具備一定的國(guó)際影響后，可實(shí)施第二層面的主導(dǎo)路徑。中國(guó)可利用亞洲基礎(chǔ)設(shè)施開(kāi)發(fā)銀行、金磚國(guó)家、博鰲論壇、“一帶一路”等由中國(guó)主導(dǎo)的國(guó)際平臺(tái)，制定區(qū)域性數(shù)據(jù)跨境流動(dòng)合作機(jī)制，為統(tǒng)一性跨境規(guī)則的制定提供新的思路。

綜上，中國(guó)路徑的抉擇應(yīng)該以實(shí)現(xiàn)“三難選擇”的動(dòng)態(tài)平衡為指導(dǎo)原則，通過(guò)統(tǒng)一國(guó)內(nèi)數(shù)據(jù)保護(hù)立法，建立執(zhí)行機(jī)制，為國(guó)際雙層路徑的建構(gòu)提供動(dòng)力。據(jù)此，筆者認(rèn)為中國(guó)跨境數(shù)據(jù)流動(dòng)規(guī)制路徑如下圖所示：

圖3 中國(guó)路徑抉擇模型(資料來(lái)源：作者自制)