張繼紅

內(nèi)容摘要：商事交易的國(guó)際化使得個(gè)人數(shù)據(jù)跨境傳輸日趨頻繁，而各國(guó)立法規(guī)則及執(zhí)法體制差異性較大，以歐盟為代表的數(shù)據(jù)本地化政策嚴(yán)格限制個(gè)人數(shù)據(jù)的跨境傳輸，與數(shù)據(jù)貿(mào)易全球化趨勢(shì)存在內(nèi)在沖突。如何協(xié)調(diào)個(gè)人數(shù)據(jù)跨境傳輸與個(gè)人數(shù)據(jù)保護(hù)之間的矛盾，成為亟待解決的現(xiàn)實(shí)問題。隨著《安全港協(xié)議》的失效，歐美開啟新一輪談判，并于2016年達(dá)成“隱私盾協(xié)議”，從內(nèi)容上更多體現(xiàn)了歐盟數(shù)據(jù)保護(hù)法制的最新成果。在跨境數(shù)據(jù)傳輸領(lǐng)域，歐盟采用單邊保護(hù)措施，推定其所信奉的數(shù)據(jù)保護(hù)價(jià)值理念，具有較強(qiáng)的對(duì)立性，難以實(shí)現(xiàn)理想效果；雙邊協(xié)議則可在短期內(nèi)調(diào)和兩國(guó)之間的矛盾；但從長(zhǎng)遠(yuǎn)看，個(gè)人數(shù)據(jù)跨境傳輸本質(zhì)上具有全球化屬性，需要多個(gè)國(guó)家及地區(qū)共同參與并達(dá)成多邊協(xié)議才能提供根本性解決方案。

關(guān)鍵詞：跨境傳輸 個(gè)人數(shù)據(jù)保護(hù) 隱私盾協(xié)議 安全港協(xié)定

商事交易的國(guó)際化使得個(gè)人信息跨境傳輸變得愈加頻繁，數(shù)以千萬計(jì)的個(gè)人數(shù)據(jù)通過網(wǎng)絡(luò)在全世界傳輸，以完成各種交易或管理行為。例如，美國(guó)企業(yè)TRW Information Services（消費(fèi)者信用信息收集機(jī)構(gòu)）與日本信用組織簽署協(xié)議，允許相互利用對(duì)方的數(shù)據(jù)庫(kù)，以核查居住在本國(guó)的對(duì)方僑民的信用記錄?！? 〕為了降低高昂的勞動(dòng)成本、節(jié)約資源，一些企業(yè)還會(huì)把部分工作外包給其他國(guó)家的機(jī)構(gòu)，將包括身份證、信用記錄、稅務(wù)、保險(xiǎn)等個(gè)人數(shù)據(jù)跨國(guó)轉(zhuǎn)移至一些人工成本相對(duì)較低的熱門地區(qū)，如印度、菲律賓等國(guó)。這種境外安排將工作拆分為數(shù)個(gè)能夠有效管理的部分，使企業(yè)能夠?qū)⒂邢拶Y源集中在核心領(lǐng)域，可大大提升其市場(chǎng)競(jìng)爭(zhēng)力?！? 〕

大數(shù)據(jù)、云計(jì)算、互聯(lián)網(wǎng)等科技手段的廣泛應(yīng)用，使得數(shù)據(jù)處理和傳輸愈加便捷，但也增加了監(jiān)控和管理的難度。個(gè)人數(shù)據(jù)可能在A地收集、B地處理、C地儲(chǔ)存、D地使用，跨境因素的介入使得個(gè)人數(shù)據(jù)保護(hù)問題變得更加錯(cuò)綜復(fù)雜。一些大型跨國(guó)企業(yè)的服務(wù)外包業(yè)務(wù)（特別是外包機(jī)構(gòu)位于個(gè)人數(shù)據(jù)保護(hù)水平較差地區(qū)），使得數(shù)據(jù)安全問題愈加嚴(yán)峻?！? 〕而作為執(zhí)法部門的數(shù)據(jù)監(jiān)管機(jī)構(gòu)卻因?yàn)樯婕熬惩鈧€(gè)人數(shù)據(jù)控制者或處理者，其調(diào)查及制裁程序難以開展及執(zhí)行。如何在大數(shù)據(jù)、云計(jì)算等新技術(shù)背景下促進(jìn)個(gè)人數(shù)據(jù)的跨境流動(dòng)并確保安全，有效協(xié)調(diào)各國(guó)數(shù)據(jù)保護(hù)法制的差異性，是一個(gè)亟待解決的現(xiàn)實(shí)問題。

一、跨境數(shù)據(jù)流動(dòng)政策的矛盾與沖突：數(shù)據(jù)本地化與數(shù)據(jù)自由化

（一）跨境數(shù)據(jù)傳輸限制：數(shù)據(jù)本地化

針對(duì)跨境數(shù)據(jù)傳輸問題，為了實(shí)現(xiàn)對(duì)本國(guó)公民個(gè)人數(shù)據(jù)的保護(hù)，很多國(guó)家及地區(qū)都在某種程度上追求數(shù)據(jù)收集、存儲(chǔ)和利用本地化，限制或禁止數(shù)據(jù)的跨境流動(dòng)。這里，數(shù)據(jù)跨境傳輸?shù)南拗菩问接兴町悾行┮髷?shù)據(jù)輸入地區(qū)達(dá)到“充分保護(hù)”標(biāo)準(zhǔn)，有些則對(duì)受益方施加特定要求如履行合同義務(wù)、取得同意或附加其他條件等。

第一類，嚴(yán)格限制數(shù)據(jù)跨境傳輸?shù)膰?guó)家及地區(qū)，以歐盟最為典型。1995年《個(gè)人數(shù)據(jù)保護(hù)指令》（以下簡(jiǎn)稱《歐盟指令》）就數(shù)據(jù)跨境流動(dòng)問題進(jìn)行了專門規(guī)定，確立了“充分保護(hù)原則”。〔4 〕如果查明第三國(guó)未能提供其所要求的“充分保護(hù)”時(shí)，成員國(guó)應(yīng)當(dāng)采取必要措施以阻止任何相同類型的數(shù)據(jù)向第三國(guó)傳輸。〔5 〕受其影響，歐洲主要國(guó)家如法國(guó)、德國(guó)、瑞典、西班牙、荷蘭、比利時(shí)、奧地利、冰島、匈牙利、瑞士等都采用嚴(yán)格限制跨境數(shù)據(jù)傳輸?shù)牧⒎Ｊ健?016年《通用數(shù)據(jù)保護(hù)條例》（以下簡(jiǎn)稱GDPR）替代了《歐盟指令》，進(jìn)一步擴(kuò)大了條例的域外管轄權(quán)，明確規(guī)定GDPR對(duì)在歐盟境外處理個(gè)人數(shù)據(jù)的行為也具有適用效力。盡管歐盟指令也宣示其域外效力，但其從未明確說明擁有超歐盟區(qū)域的域外管轄效力。〔6 〕這次對(duì)指令的修改，再次強(qiáng)調(diào)歐盟不允許將其公民的個(gè)人數(shù)據(jù)轉(zhuǎn)移至那些不能提供充分保護(hù)的地區(qū)或國(guó)家，充分表明了歐盟希望通過立法的不斷完善以保障歐盟整體數(shù)據(jù)保護(hù)水平?！? 〕

當(dāng)然，該模式亦會(huì)提供一些例外情形，類似《歐盟指令》第26條規(guī)定，如獲得數(shù)據(jù)主體的明確同意，基于當(dāng)事人的利益而履行合同、采用標(biāo)準(zhǔn)合同條款、維護(hù)重大公共利益等。然而，實(shí)踐中數(shù)據(jù)監(jiān)管機(jī)構(gòu)通常會(huì)對(duì)上述例外作狹義解釋，以嚴(yán)格限制其適用，從而確保其本國(guó)或本區(qū)域公民的個(gè)人數(shù)據(jù)轉(zhuǎn)移安全。

第二類，針對(duì)數(shù)據(jù)傳輸?shù)谌绞┘恿x務(wù)和責(zé)任的國(guó)家，如加拿大、日本。相比較而言，此種模式對(duì)數(shù)據(jù)是經(jīng)跨境傳輸、還是在國(guó)內(nèi)轉(zhuǎn)移至第三方并不作具體區(qū)分，而是適用統(tǒng)一規(guī)則。這里的“第三方”，包括附屬機(jī)構(gòu)、關(guān)聯(lián)機(jī)構(gòu)以及母公司等，而不論其所處地點(diǎn)在哪里。簡(jiǎn)言之，上述兩國(guó)立法要求傳輸機(jī)構(gòu)對(duì)于將數(shù)據(jù)傳輸至第三方應(yīng)承擔(dān)相應(yīng)的個(gè)人數(shù)據(jù)保護(hù)之責(zé)，通常采用合同形式明確彼此之間的數(shù)據(jù)保護(hù)義務(wù)及責(zé)任。例如，位于加拿大的公司，如果將其所持有的個(gè)人數(shù)據(jù)轉(zhuǎn)移至第三方，必須在合同中明確數(shù)據(jù)保護(hù)條款，以確保第三方機(jī)構(gòu)能夠提供同等水平的保護(hù)。

第三，取得“同意”或達(dá)到其他條件的國(guó)家，如韓國(guó)。在上述地區(qū)，不要求必須簽署將個(gè)人數(shù)據(jù)轉(zhuǎn)移至境外第三方的合同。但是，韓國(guó)要求必須得到數(shù)據(jù)主體的“選入同意”?！? 〕

總體而言，不論是要求數(shù)據(jù)輸入方達(dá)到充分保護(hù)標(biāo)準(zhǔn)，還是通過合同、施加特殊程序性要求如取得許可等，都表明各國(guó)立法者對(duì)于跨境數(shù)據(jù)傳輸?shù)幕緫B(tài)度，即施以一定程度的限制，防止個(gè)人數(shù)據(jù)的隨意輸出及濫用，從而保障國(guó)家安全并防范外國(guó)監(jiān)控，以此提升對(duì)本國(guó)公民數(shù)據(jù)的保護(hù)水平。雖然數(shù)據(jù)本地化實(shí)現(xiàn)了對(duì)源自本國(guó)的個(gè)人數(shù)據(jù)收集、存儲(chǔ)和利用等全過程的主動(dòng)控制，但也在一定程度上失去了獲得優(yōu)質(zhì)數(shù)據(jù)的可能，阻礙了本國(guó)數(shù)字經(jīng)濟(jì)的發(fā)展，進(jìn)而形成非關(guān)稅壁壘。

（二）跨境數(shù)據(jù)傳輸自由化

為了打破不同國(guó)家及地區(qū)在數(shù)據(jù)跨境傳輸上的壁壘和限制，推動(dòng)全球數(shù)字貿(mào)易便利化，更有效的實(shí)現(xiàn)數(shù)據(jù)跨境流動(dòng)的執(zhí)法合作，滿足企業(yè)間數(shù)據(jù)跨境傳輸?shù)膶?shí)際需要，包括經(jīng)合組織（OECD）、亞太經(jīng)合組織（以下簡(jiǎn)稱APEC）等國(guó)際組織制定了一系列的指南和政策，積極推動(dòng)跨境數(shù)據(jù)傳輸自由化。

1980年OECD制定的《關(guān)于隱私保護(hù)和個(gè)人數(shù)據(jù)跨境流動(dòng)指南》明確指出，個(gè)人數(shù)據(jù)的跨境流動(dòng)有利于經(jīng)濟(jì)和社會(huì)發(fā)展，應(yīng)促進(jìn)數(shù)據(jù)在成員國(guó)之間的自由流動(dòng)，建議成員國(guó)努力消除或避免以隱私保護(hù)的名義為個(gè)人數(shù)據(jù)跨境流動(dòng)制定不當(dāng)障礙，建立“自由流動(dòng)與合法限制原則”（第15條至第18條），包括：成員國(guó)應(yīng)當(dāng)采取合理和適當(dāng)?shù)拇胧┐_保個(gè)人數(shù)據(jù)的國(guó)際流通；成員國(guó)之間應(yīng)去除個(gè)人數(shù)據(jù)國(guó)際流動(dòng)的限制；成員國(guó)應(yīng)避免借保護(hù)個(gè)人數(shù)據(jù)及個(gè)人自由之理由，在超出保護(hù)的必要程度內(nèi)，創(chuàng)設(shè)個(gè)人數(shù)據(jù)國(guó)際流通障礙的法律與政策等。同時(shí)，OECD于2007年6月通過“隱私保護(hù)及跨境合作執(zhí)行建議”，要求成員國(guó)執(zhí)行跨境合作執(zhí)行隱私保護(hù)相關(guān)法律時(shí)，應(yīng)采取以下適當(dāng)措施：（1）改善國(guó)內(nèi)隱私法規(guī)執(zhí)行架構(gòu)，以便于本國(guó)主管機(jī)關(guān)與外國(guó)相應(yīng)機(jī)關(guān)的合作；（2）建構(gòu)有利于執(zhí)行跨國(guó)合作隱私保護(hù)法規(guī)的有效國(guó)際機(jī)制；（3）在執(zhí)行上述法規(guī)時(shí)，應(yīng)相互提供協(xié)助，包括通知、申訴、協(xié)助調(diào)查以及在適當(dāng)安全保護(hù)措施基礎(chǔ)上共享信息；（4）與利害相關(guān)方進(jìn)行有利于上述法規(guī)執(zhí)行的討論及交流。〔9 〕

此外，為了鼓勵(lì)個(gè)人數(shù)據(jù)在亞太地區(qū)的跨境自由流通，APEC于2013年通過了《跨境隱私規(guī)則體系》（以下簡(jiǎn)稱CBPR），其主要目的在于，確保全球組織能夠收集、取得、使用或者處理APEC經(jīng)濟(jì)體的數(shù)據(jù)，在組織內(nèi)制定并實(shí)施統(tǒng)一方法，以便全球獲取和使用個(gè)人數(shù)據(jù)。同時(shí)，推動(dòng)國(guó)際機(jī)制來促進(jìn)和加強(qiáng)信息隱私權(quán)保護(hù)，并維持APEC經(jīng)濟(jì)體及其貿(mào)易伙伴間信息流動(dòng)的連續(xù)性。

值得一提的是，2015年在美國(guó)主導(dǎo)下達(dá)成的《跨太平洋戰(zhàn)略經(jīng)濟(jì)伙伴關(guān)系協(xié)定》（以下簡(jiǎn)稱TPP）電子商務(wù)章引入“商業(yè)信息跨境自由傳輸條款”，以規(guī)制數(shù)據(jù)跨境傳輸并限制數(shù)據(jù)本地化存儲(chǔ)，強(qiáng)制性要求各方允許數(shù)據(jù)跨境流動(dòng)?！?0 〕雖然TPP也規(guī)定了一些例外情形，如實(shí)現(xiàn)公共政策目標(biāo)采取限制措施，但要求不得對(duì)數(shù)據(jù)傳輸施加超出實(shí)現(xiàn)合法公共政策目標(biāo)所需的限制?！?1 〕

正是由于個(gè)人數(shù)據(jù)的雙重屬性，一方面?zhèn)€人數(shù)據(jù)的人格權(quán)屬性，使得以歐盟為代表的國(guó)家及地區(qū)更關(guān)注個(gè)人數(shù)據(jù)及個(gè)人自由的重要性，采取數(shù)據(jù)本地化的限制性措施；另一方面，個(gè)人數(shù)據(jù)所蘊(yùn)含的巨大財(cái)產(chǎn)價(jià)值和經(jīng)濟(jì)利益，又是促使跨境數(shù)據(jù)傳輸自由化的關(guān)鍵因素?？缇硵?shù)據(jù)傳輸本地化和自由化這一對(duì)價(jià)值矛盾與沖突，始終貫徹跨境數(shù)據(jù)傳輸規(guī)則始終。這里，有必要以現(xiàn)有國(guó)際組織如聯(lián)合國(guó)等為主導(dǎo)進(jìn)行跨境數(shù)據(jù)傳輸國(guó)際規(guī)則的框架設(shè)計(jì)，積極推動(dòng)各國(guó)數(shù)據(jù)監(jiān)管部門之間的合作與交流，降低個(gè)人數(shù)據(jù)流動(dòng)的跨境障礙，提升數(shù)據(jù)傳輸?shù)谋憷?，增加跨境?shù)據(jù)傳輸國(guó)際規(guī)則的透明度。

二、歐美跨境數(shù)據(jù)傳輸政策協(xié)調(diào)：從《安全港協(xié)定》到《隱私盾協(xié)議》

20世紀(jì)70年代以來，美國(guó)與歐盟在隱私權(quán)保護(hù)上的巨大差異成為貿(mào)易爭(zhēng)端的焦點(diǎn)。美國(guó)堅(jiān)持靈活保護(hù)的策略，通過自律機(jī)制配合政府的執(zhí)法保障來實(shí)現(xiàn)保護(hù)隱私權(quán)的目的。而歐盟卻傾向于通過嚴(yán)苛立法對(duì)個(gè)人數(shù)據(jù)跨國(guó)流動(dòng)進(jìn)行保護(hù)，即“充分保護(hù)”標(biāo)準(zhǔn)。由于美國(guó)對(duì)于個(gè)人數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)未能達(dá)到歐盟要求的水平，將嚴(yán)重限制美國(guó)企業(yè)在歐盟開展業(yè)務(wù)。為了縮小兩種不同數(shù)據(jù)保護(hù)模式的差異性，并提供美國(guó)企業(yè)可以符合歐盟數(shù)據(jù)保護(hù)規(guī)則簡(jiǎn)單又高效的方法，美國(guó)商務(wù)部與歐盟委員會(huì)共同提出所謂的“安全港隱私原則”，于2000年11月1日達(dá)成了《安全港協(xié)定》。

（一）歐美《安全港協(xié)定》框架

“安全港”是指由美國(guó)商務(wù)部建立公共目錄，在交通運(yùn)輸部和聯(lián)邦貿(mào)易委員會(huì)管轄下的任何機(jī)構(gòu)以自愿的形式加入。一旦選擇加入，就要公開宣誓自己完全接受安全港原則的約束，而且每年還要向商務(wù)部提交公開隱私政策的書面報(bào)告，以此來證明自身確實(shí)遵循這些原則，否則便被視為商業(yè)欺詐行為?！?2 〕自《安全港協(xié)定》生效起，有超過2000家美國(guó)企業(yè)或組織申請(qǐng)加入安全港計(jì)劃。需要注意的是，美歐所簽訂的《安全港協(xié)定》并未涵蓋金融服務(wù)業(yè)及相關(guān)行業(yè)的個(gè)人信息處理?！?3 〕

《安全港協(xié)定》規(guī)定了七項(xiàng)隱私權(quán)保護(hù)原則，被奉為“國(guó)際安全港隱私原則”，〔14 〕即：通知原則；選擇原則；向前轉(zhuǎn)移原則；安全原則（Security）；數(shù)據(jù)完整性原則；接入原則；執(zhí)行原則?！?5 〕《安全港協(xié)定》授權(quán)一套雙層執(zhí)行機(jī)制，原則上進(jìn)行行業(yè)自律；如有必要，再由政府執(zhí)法機(jī)構(gòu)執(zhí)行?！?6 〕《安全港協(xié)定》吸引美國(guó)企業(yè)積極加入的一個(gè)主要原因：安全港實(shí)施的有關(guān)爭(zhēng)議由美國(guó)法律而非歐盟法律確定，歐盟個(gè)人數(shù)據(jù)保護(hù)機(jī)構(gòu)對(duì)于美國(guó)企業(yè)在美國(guó)的行為并無管轄權(quán)。〔17 〕

《安全港協(xié)定》在信息技術(shù)方興未艾之時(shí)發(fā)揮了積極的作用，一方面積極促進(jìn)了美國(guó)企業(yè)在歐洲的發(fā)展及擴(kuò)張，便利了歐美商業(yè)往來特別是中小企業(yè)的發(fā)展，降低了美歐間信息產(chǎn)業(yè)市場(chǎng)的準(zhǔn)入門檻；另一方面，對(duì)國(guó)際跨境數(shù)據(jù)傳輸規(guī)范的統(tǒng)一起到了推動(dòng)作用，體現(xiàn)了行業(yè)自律和強(qiáng)制規(guī)范兩種監(jiān)管體制的有機(jī)融合，在不同國(guó)家的監(jiān)管體制之間開創(chuàng)了先例。只要符合歐盟數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)的國(guó)家、地區(qū)、組織、團(tuán)體皆可適用于安全港。目前，除美國(guó)安全港體系外，包括阿根廷、加拿大、瑞士等在內(nèi)的11個(gè)國(guó)家和地區(qū)均達(dá)到了歐盟制定的“充分保護(hù)標(biāo)準(zhǔn)”，跨境數(shù)據(jù)傳輸規(guī)制日益統(tǒng)一化，極大地促進(jìn)了國(guó)際網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)囊?guī)范化治理。〔18 〕

如前所述，對(duì)歐盟信息產(chǎn)業(yè)準(zhǔn)入門檻的實(shí)質(zhì)標(biāo)準(zhǔn)降低，以及進(jìn)入安全港的企業(yè)可以忽略歐盟各國(guó)法律上的差異，使得美國(guó)企業(yè)合法地在兩國(guó)間傳輸數(shù)據(jù)，大量數(shù)據(jù)被送往美國(guó)進(jìn)行存儲(chǔ)和分析。2013年，前NSA雇員愛德華·斯諾登曝光大量來自美國(guó)情報(bào)機(jī)構(gòu)的機(jī)密文件，其中不乏對(duì)歐洲領(lǐng)導(dǎo)人的監(jiān)控。在這當(dāng)中，像蘋果、微軟等大型科技公司則都有意或無意地參與了NSA的監(jiān)控行動(dòng)，直接導(dǎo)致歐洲民眾對(duì)數(shù)據(jù)安全的擔(dān)憂與日俱增，美歐之間的合作關(guān)系開始出現(xiàn)了陰影、裂痕以及種種的不確定性。

在此背景下，一名來自?shī)W地利的公民Max Schrems向Facebook歐洲總部所在地愛爾蘭數(shù)據(jù)保護(hù)專員投訴，指出Facebook向美國(guó)政府提供歐洲公民相關(guān)數(shù)據(jù)，未能達(dá)到《安全港協(xié)定》規(guī)定的充分保護(hù)要求。出于對(duì)美國(guó)情報(bào)機(jī)構(gòu)入侵的擔(dān)憂，歐洲法院于2015年10月6日最終裁定第2000/520號(hào)決定無效，直接導(dǎo)致《安全港協(xié)定》失效。該判決使得跨大西洋數(shù)據(jù)傳輸?shù)暮戏ㄐ砸罁?jù)缺失，依賴該協(xié)定的4500多家美國(guó)企業(yè)處于法律上的不確定狀態(tài)。

大數(shù)據(jù)等新興技術(shù)的發(fā)展使得原有制度出現(xiàn)了裂痕，制定于2000年前的《安全港協(xié)定》在處理新問題時(shí)呈現(xiàn)出明顯的滯后性，已無法有效應(yīng)對(duì)新時(shí)期的問題和挑戰(zhàn)?？缇硵?shù)據(jù)泄露和濫用問題日益嚴(yán)峻，個(gè)人數(shù)據(jù)安全的脆弱性進(jìn)一步凸顯，原有的“安全港”已不再安全，技術(shù)發(fā)展成為倒逼法律制度不斷更新完善的現(xiàn)實(shí)力量。

（二）2016年歐美《隱私盾協(xié)議》（EU-US Privacy Shield）

雖然除了《安全港協(xié)定》，美歐之間的數(shù)據(jù)傳輸可以通過“標(biāo)準(zhǔn)合同條款”及“約束性公司規(guī)則”等替代性規(guī)則。然而，上述兩種路徑的適用都要受到歐盟成員國(guó)國(guó)內(nèi)數(shù)據(jù)保護(hù)機(jī)構(gòu)的監(jiān)督及審查，且只要有一個(gè)數(shù)據(jù)主體提出申請(qǐng)，上述審查程序即可啟動(dòng)。這給美歐之間的數(shù)據(jù)傳輸帶來極大的不確定性。〔19 〕歐洲委員會(huì)指出，美歐數(shù)據(jù)流動(dòng)受阻可能會(huì)造成歐盟整體國(guó)民生產(chǎn)總值下降0.8%-1.3%?！?0 〕美國(guó)商務(wù)部也擔(dān)心，一旦《安全港協(xié)定》被撤銷很可能對(duì)美歐經(jīng)濟(jì)帶來不小的沖擊?！?1 〕

基于此，美國(guó)和歐盟圍繞新的替代性協(xié)定積極展開對(duì)話和磋商，并于2016年2月2日達(dá)成一項(xiàng)新的框架協(xié)議，即《隱私盾協(xié)議》。〔22 〕新協(xié)議由美國(guó)商務(wù)部和歐洲委員會(huì)共同設(shè)計(jì)，為大西洋兩岸的歐洲和美國(guó)企業(yè)從歐盟向美國(guó)傳輸個(gè)人數(shù)據(jù)過程中提供歐盟數(shù)據(jù)保護(hù)規(guī)定的合規(guī)機(jī)制，并支持跨大西洋商業(yè)合作的發(fā)展。歐洲委員會(huì)認(rèn)為，新條約足以使個(gè)人數(shù)據(jù)在現(xiàn)有的歐盟數(shù)據(jù)保護(hù)立法框架下進(jìn)行傳輸，同時(shí)將給予企業(yè)一段時(shí)間對(duì)新隱私協(xié)議進(jìn)行學(xué)習(xí)，并升級(jí)其內(nèi)部合規(guī)機(jī)制。數(shù)據(jù)單一市場(chǎng)副主席Andrus Ansip指出：“新的歐美隱私盾框架能夠確保美歐個(gè)人數(shù)據(jù)傳輸?shù)陌踩?，并大大提升商業(yè)活動(dòng)的透明度。” 〔23 〕

作為《安全港協(xié)定》的替代機(jī)制，《隱私盾協(xié)議》在內(nèi)容上與《安全港協(xié)定》有著一定的相似性。其中，《隱私盾協(xié)議》也要遵守與《安全港協(xié)定》相同的七項(xiàng)基本原則，美國(guó)企業(yè)仍然采取自愿加入的方式接受《隱私盾協(xié)議》。但更重要的是，《隱私盾協(xié)議》彌補(bǔ)了先前《安全港協(xié)定》存在的種種缺陷及弊端，對(duì)美國(guó)公司施加更重的個(gè)人數(shù)據(jù)保護(hù)義務(wù)，強(qiáng)化了監(jiān)督和執(zhí)行機(jī)制，并賦予歐盟公民救濟(jì)權(quán)利等，在內(nèi)容上有很多新的突破。與此同時(shí)，《隱私盾協(xié)議》不僅包含美歐之間在數(shù)據(jù)傳輸方面的新承諾，還克服了原先《安全港協(xié)定》僅就個(gè)人數(shù)據(jù)跨境傳輸私人活動(dòng)進(jìn)行規(guī)制的局限性，對(duì)美歐之間以國(guó)家安全為目的個(gè)人數(shù)據(jù)傳輸行為也納入?yún)f(xié)議調(diào)整的范圍。

第一，《隱私盾協(xié)議》對(duì)入盾企業(yè)提出了新要求，以便更充分地保護(hù)個(gè)人數(shù)據(jù)。（1）加入企業(yè)必須在其隱私政策中公示入盾承諾及保證符合新協(xié)議，該承諾和保證可以依據(jù)美國(guó)法執(zhí)行。加入企業(yè)必須通知數(shù)據(jù)主體有權(quán)訪問其個(gè)人數(shù)據(jù)，以及應(yīng)公共當(dāng)局要求披露個(gè)人數(shù)據(jù)的規(guī)定。執(zhí)法部門對(duì)入盾企業(yè)的合規(guī)情況以及將數(shù)據(jù)向第三方進(jìn)行轉(zhuǎn)讓都具有管轄權(quán)。不僅如此，入盾企業(yè)還要完成定期自證審查，并接受美國(guó)聯(lián)邦機(jī)構(gòu)的監(jiān)督和調(diào)查。（2）加入企業(yè)須對(duì)轉(zhuǎn)移至第三方的數(shù)據(jù)負(fù)責(zé)。當(dāng)加入企業(yè)將數(shù)據(jù)轉(zhuǎn)移至數(shù)據(jù)控制者或處理者第三方時(shí)，其必須遵循通知數(shù)據(jù)主體及并供數(shù)據(jù)主體選擇退出機(jī)制。在獲取數(shù)據(jù)主體同意的前提下，須與第三方訂立合同約定僅能用于有限的、明確的、特定的目的，并且第三方將會(huì)提供與收集方同等程度的個(gè)人數(shù)據(jù)保護(hù)措施。（3）加入企業(yè)必須配合美國(guó)商務(wù)部行動(dòng)，即及時(shí)回應(yīng)商務(wù)部有關(guān)新條約框架下提出的質(zhì)詢或要求。（4）在個(gè)人數(shù)據(jù)持有期間存續(xù)時(shí)，加入企業(yè)須確保按規(guī)定保護(hù)個(gè)人數(shù)據(jù)。在此基礎(chǔ)上，加入企業(yè)嗣后退出新協(xié)議的，若其選擇繼續(xù)留存已經(jīng)獲取的個(gè)人數(shù)據(jù)，則其必須對(duì)留存的數(shù)據(jù)繼續(xù)履行新協(xié)議的保護(hù)義務(wù)，或通過其他授權(quán)的方式為該等數(shù)據(jù)提供足夠的保護(hù)。

第二，《隱私盾協(xié)議》為歐盟境內(nèi)數(shù)據(jù)主體提供了多種救濟(jì)手段及措施。（1）監(jiān)察程序。歐盟公民個(gè)人有權(quán)直接對(duì)加入新協(xié)議的美國(guó)企業(yè)提起監(jiān)察，該企業(yè)必須在45日之內(nèi)回應(yīng)該訴求。就歐盟公民提起的監(jiān)察，入盾企業(yè)必須在不對(duì)個(gè)人造成費(fèi)用負(fù)擔(dān)等情況下建立獨(dú)立的處置機(jī)制，保證每個(gè)歐盟公民的監(jiān)察和爭(zhēng)議都能夠得到調(diào)查和快速處理。（2）若歐盟公民將投訴提交至歐盟任一數(shù)據(jù)保護(hù)當(dāng)局，則美國(guó)商務(wù)部需在90日內(nèi)回復(fù)該數(shù)據(jù)保護(hù)當(dāng)局，并保證審查該糾紛并盡最大努力促使投訴得以快速解決。美國(guó)聯(lián)邦貿(mào)易委員會(huì)承諾將有力的執(zhí)行新協(xié)議，包括優(yōu)先處理來自歐盟成員國(guó)各數(shù)據(jù)保護(hù)當(dāng)局、美國(guó)商務(wù)部、隱私自律監(jiān)管機(jī)構(gòu)和其他獨(dú)立救濟(jì)機(jī)制移交的請(qǐng)求。（3）歐盟公民個(gè)人有權(quán)在美國(guó)州法院直接提起訴訟程序，包括誤導(dǎo)性陳述等訴請(qǐng)。

第三，對(duì)于國(guó)家安全及執(zhí)法的數(shù)據(jù)訪問，美國(guó)政府明確作出了權(quán)力約束的保證。而這也是美國(guó)官方首次承諾對(duì)美國(guó)有關(guān)情報(bào)系統(tǒng)的情報(bào)活動(dòng)進(jìn)行實(shí)質(zhì)性約束。美國(guó)情報(bào)界已經(jīng)就適用于該組織的美國(guó)憲法、成文法等各層級(jí)的法律法規(guī)，以及來自美國(guó)政府立法、司法、行政三個(gè)分支的監(jiān)管，形成書面文件并呈交歐洲委員會(huì)。美國(guó)司法部則提供了一份關(guān)于對(duì)美國(guó)政府基于執(zhí)法、公眾利益等目的訪問商業(yè)數(shù)據(jù)和其他美國(guó)公司持有數(shù)據(jù)的各種限制。具體而言，美國(guó)基于國(guó)家安全實(shí)施的任何數(shù)據(jù)訪問，均須有明確的限制條件和監(jiān)管。美國(guó)政府承諾不對(duì)從歐盟轉(zhuǎn)移至美國(guó)境內(nèi)的個(gè)人數(shù)據(jù)進(jìn)行無差別、規(guī)?；谋O(jiān)控；批量收集的公民個(gè)人數(shù)據(jù)僅能用于反恐怖主義、防止核擴(kuò)散、網(wǎng)絡(luò)安全等六個(gè)特定目的，且前提是遵守新協(xié)議保護(hù)個(gè)人數(shù)據(jù)的有關(guān)原則和規(guī)則。另外，新協(xié)議還史無前例為歐盟公民個(gè)人就信號(hào)情報(bào)活動(dòng)的質(zhì)詢開通了一條特別通道——監(jiān)察專員制度。監(jiān)察專員獨(dú)立于美國(guó)國(guó)家安全機(jī)關(guān)，專門負(fù)責(zé)處理歐盟公民的相關(guān)投訴。通過該制度，歐盟公民可以向該監(jiān)察專員提交質(zhì)詢，并得到美國(guó)政府在遵守美國(guó)國(guó)家安全義務(wù)前提下給出的答復(fù)。美國(guó)副國(guó)務(wù)卿諾維利將擔(dān)任首任監(jiān)察專員，直接對(duì)美國(guó)國(guó)務(wù)卿負(fù)責(zé)，不受任何來自情報(bào)系統(tǒng)的約束。

第四，美國(guó)政府承諾將進(jìn)一步強(qiáng)化與歐盟成員國(guó)各數(shù)據(jù)保護(hù)機(jī)構(gòu)的合作。具體包括：在商務(wù)部建立聯(lián)絡(luò)處，專門負(fù)責(zé)與歐盟各數(shù)據(jù)保護(hù)當(dāng)局進(jìn)行聯(lián)系，推動(dòng)有關(guān)投訴的解決，協(xié)助歐盟各成員國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)尋找特定企業(yè)加入、執(zhí)行新協(xié)議的情況，并向歐盟各數(shù)據(jù)保護(hù)當(dāng)局提供有關(guān)新協(xié)議的材料供其在網(wǎng)站上發(fā)布，以增加協(xié)議在歐盟公民和企業(yè)執(zhí)行的透明度。美國(guó)聯(lián)邦貿(mào)易委員會(huì)亦承諾將加強(qiáng)與歐盟各成員國(guó)數(shù)據(jù)保護(hù)當(dāng)局的合作，包括在聯(lián)邦貿(mào)易委員會(huì)內(nèi)部建立聯(lián)絡(luò)處以及標(biāo)準(zhǔn)化的進(jìn)程，供歐盟各數(shù)據(jù)保護(hù)當(dāng)局轉(zhuǎn)交監(jiān)察；在不違反保密法律法規(guī)的前提下，就監(jiān)察轉(zhuǎn)交與轉(zhuǎn)交機(jī)構(gòu)進(jìn)行信息交換；同時(shí)還將與歐盟各成員國(guó)數(shù)據(jù)保護(hù)當(dāng)局進(jìn)行緊密的執(zhí)法合作。在此基礎(chǔ)上，新協(xié)議還構(gòu)建了一項(xiàng)年度聯(lián)合審查機(jī)制。美國(guó)商務(wù)部、聯(lián)邦貿(mào)易委員會(huì)以及其他聯(lián)邦機(jī)構(gòu)還將與歐盟委員會(huì)、各成員國(guó)數(shù)據(jù)保護(hù)當(dāng)局及第29條工作組的代表們召開年度會(huì)議，共同研討有關(guān)新協(xié)議的運(yùn)作、執(zhí)行、監(jiān)管及執(zhí)法等問題。

從《安全港協(xié)定》的發(fā)展歷史來看，其執(zhí)行和適用就不斷受到來自各方的質(zhì)疑。據(jù)統(tǒng)計(jì)，僅2009年一年之內(nèi)就有七起投訴直指該協(xié)定的執(zhí)行。從2000年至2015年，針對(duì)《安全港協(xié)議》的投訴遠(yuǎn)遠(yuǎn)超過1300件，但最終被執(zhí)行的案件只有40個(gè)，其中僅有兩家公司被執(zhí)行了罰款處罰。〔24 〕因此，與《安全港協(xié)定》相比較，《隱私盾協(xié)議》在內(nèi)容及執(zhí)行力上更加具體和完善。新協(xié)議為歐盟的數(shù)據(jù)主體提供了一系列強(qiáng)有力、可執(zhí)行的保護(hù)措施，諸如企業(yè)披露如何使用個(gè)人數(shù)據(jù)的透明度要求、強(qiáng)有力的美國(guó)政府監(jiān)管以及與歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)更緊密的合作。更為重要的是，《隱私盾協(xié)議》還賦予了歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)對(duì)數(shù)據(jù)接收者第三國(guó)的數(shù)據(jù)保護(hù)水平享有充分的調(diào)查權(quán)。這無疑使得歐盟對(duì)其境內(nèi)的個(gè)人數(shù)據(jù)保護(hù)擁有更加穩(wěn)定并具有延展性的監(jiān)督權(quán)，也為歐盟數(shù)據(jù)主體的數(shù)據(jù)控制權(quán)多了一份保障和安全。

然而，仍然有很多人對(duì)《隱私盾協(xié)議》的規(guī)定是否能夠得到貫徹執(zhí)行，持懷疑態(tài)度。雖然從表面上看，《隱私盾協(xié)議》更加細(xì)致且執(zhí)行性強(qiáng)，但其程序性規(guī)則存在走過場(chǎng)、不透明等問題，其宣示意義更大于實(shí)質(zhì)意義?！袄忡R門”事件的曝光者斯諾登就將《隱私盾協(xié)議》稱為“說明性盾牌”，而起訴《安全港協(xié)定》無效案的原告Max Schrems更是認(rèn)為新協(xié)議只是“新瓶裝舊酒”，美國(guó)法律依舊缺少對(duì)來自歐洲數(shù)據(jù)的充分保護(hù)?！?5 〕第29條工作組也于2016年4月13日發(fā)布了關(guān)于“隱私盾”框架的分析意見。該分析意見指出，“隱私盾”并未排除美國(guó)知識(shí)產(chǎn)權(quán)機(jī)構(gòu)對(duì)歐洲個(gè)人數(shù)據(jù)的大量且隨意的收集行為?！?6 〕而且，在“被處理”的標(biāo)準(zhǔn)認(rèn)定上，美國(guó)及歐盟存在較大分歧，但這種認(rèn)識(shí)的不一致在“隱私盾”框架中并未加以明確的解釋和說明?！?7 〕

鑒于美歐在個(gè)人數(shù)據(jù)保護(hù)方式、價(jià)值理念等方面存在著巨大差異，《隱私盾協(xié)議》從實(shí)質(zhì)上看仍然是美歐相互妥協(xié)、讓步的產(chǎn)物，從內(nèi)容上更多的體現(xiàn)出歐盟數(shù)據(jù)保護(hù)制度最新改革成果，迫使美國(guó)接受與歐盟相近的個(gè)人數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)。同時(shí)，《隱私盾協(xié)議》凸顯了“棱鏡門”事件后美歐重建信任合作關(guān)系的努力?！袄忡R門”事件后，歐盟對(duì)美國(guó)在個(gè)人信息安全措施上表示嚴(yán)重懷疑，雙方政府層面的網(wǎng)絡(luò)合作幾乎停滯。為了最大限度地降低“棱鏡門”事件的負(fù)面影響，美國(guó)在情報(bào)收集、網(wǎng)絡(luò)安全等方面不斷進(jìn)行改革和調(diào)整。2016年1月17日通過《第28號(hào)總統(tǒng)行政指令》，將之前大規(guī)模信息收集方式改為有針對(duì)的數(shù)據(jù)獲取，同時(shí)還將美國(guó)境內(nèi)的隱私保護(hù)拓展適用至非美國(guó)公民?！?8 〕2016年2月24日，奧巴馬簽署了《司法救濟(jì)法案》，賦予歐洲公民與美國(guó)公民同等的司法救濟(jì)權(quán)，即歐洲公民有權(quán)針對(duì)美國(guó)政府不當(dāng)披露個(gè)人信息的行為，依據(jù)《1974年隱私法案》在美國(guó)法院提起訴訟。而在此之前，僅有美國(guó)公民才能向法院提起聯(lián)邦機(jī)構(gòu)侵害個(gè)人隱私的訴訟。〔29 〕該法案的主要目的就是為了修補(bǔ)歐盟對(duì)美國(guó)個(gè)人數(shù)據(jù)保護(hù)不足的裂縫，增加彼此之間的信任。

《隱私盾協(xié)議》的簽署，為歐盟及美國(guó)企業(yè)的商業(yè)活動(dòng)提供了制度支持和保障，進(jìn)一步提升了對(duì)歐盟公民個(gè)人數(shù)據(jù)的保護(hù)水平，標(biāo)志性地宣告了政府公權(quán)力對(duì)個(gè)人權(quán)利侵犯應(yīng)當(dāng)受到嚴(yán)格限制的理念。〔30 〕換言之，美國(guó)需要更加注重公權(quán)力對(duì)公民個(gè)人權(quán)利干涉的限制和約束。但是，隨著歐洲恐怖主義抬頭，歐盟嚴(yán)格的個(gè)人數(shù)據(jù)保護(hù)法制也開始出現(xiàn)動(dòng)搖，以國(guó)家安全利益名義開始對(duì)個(gè)人數(shù)據(jù)保護(hù)設(shè)置一些適用例外。例如，法國(guó)憲法委員會(huì)通過了一項(xiàng)監(jiān)察法案，允許政府不經(jīng)過法院授權(quán)就可以監(jiān)控可能是恐怖分子的電話及電子郵件。同時(shí)，還要求網(wǎng)絡(luò)服務(wù)提供商安裝所謂的“黑盒子”以監(jiān)控及分析元數(shù)據(jù)，并要求網(wǎng)絡(luò)服務(wù)商將數(shù)據(jù)提供給情報(bào)機(jī)構(gòu)。〔31 〕2016年發(fā)生在德國(guó)的恐怖襲擊事件也促使德國(guó)政府開始要求寬松的隱私保護(hù)法，以便政府機(jī)構(gòu)能夠較為便利地監(jiān)控網(wǎng)上數(shù)據(jù)，如電子郵件、App、Skype信息等?！?2 〕而在此之前，與其他歐盟成員國(guó)相比，法國(guó)及德國(guó)都建立了相當(dāng)嚴(yán)格的個(gè)人數(shù)據(jù)保護(hù)制度，兩國(guó)近期以國(guó)家安全名義放松國(guó)內(nèi)個(gè)人數(shù)據(jù)保護(hù)措施執(zhí)行的表現(xiàn)，可能將成為未來個(gè)人數(shù)據(jù)法制在某些領(lǐng)域有所調(diào)整的一種信號(hào)。也就是說，國(guó)家安全利益保護(hù)在歐盟境內(nèi)可能會(huì)得到更多的制度豁免，更易納入個(gè)人數(shù)據(jù)跨境傳輸?shù)睦夥懂牎?/p>

與之相對(duì)應(yīng)，美國(guó)廣被詬病的寬松的個(gè)人隱私保護(hù)模式，近期開始趨向于嚴(yán)格限制聯(lián)邦政府機(jī)構(gòu)獲取個(gè)人信息。2015年10月8日，在《安全港協(xié)定》被廢止兩天后，加利福尼亞州通過了《電子通訊隱私法案》。該法案禁止政府機(jī)構(gòu)強(qiáng)制性要求商業(yè)機(jī)構(gòu)提供任何“電子通訊信息或電子設(shè)備信息”，除非其持有根據(jù)特殊情形頒發(fā)的搜查令、竊聽許可、電子閱讀器記錄許可、傳票等。該法案獲得網(wǎng)業(yè)巨頭如谷歌、臉書、蘋果、關(guān)系網(wǎng)（LinkedIn）、Dropbox以及推特的一致支持。〔33 〕應(yīng)該說，歐美兩大數(shù)據(jù)保護(hù)模式在跨境數(shù)據(jù)傳輸政策上都出現(xiàn)了不同程度的調(diào)整，相互汲取對(duì)方立法模式的優(yōu)點(diǎn)，形成彼此融合、妥協(xié)的發(fā)展趨勢(shì)。

三、個(gè)人數(shù)據(jù)跨境傳輸政策的相關(guān)檢討

隨著計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的蓬勃發(fā)展，包括個(gè)人數(shù)據(jù)的收集、存儲(chǔ)、使用、分享及傳輸在本質(zhì)上即具有全球化特征，已然超越了一國(guó)或一個(gè)地區(qū)的地理界限，對(duì)傳統(tǒng)主權(quán)理論提出了嚴(yán)峻挑戰(zhàn)?！?4 〕僅僅依靠個(gè)別國(guó)家或區(qū)域性組織如歐盟內(nèi)部法律治理規(guī)范已經(jīng)明顯捉襟見肘。而各個(gè)主權(quán)國(guó)家對(duì)個(gè)人數(shù)據(jù)的保護(hù)標(biāo)準(zhǔn)及水平并不統(tǒng)一，個(gè)人數(shù)據(jù)可能會(huì)被傳輸?shù)奖Ｗo(hù)程度較低的國(guó)家或地區(qū)進(jìn)行處理、編輯、利用、銷售等，使得個(gè)人數(shù)據(jù)的保護(hù)效果被大打折扣。針對(duì)這一問題，以歐盟為代表的地區(qū)及國(guó)家通過創(chuàng)設(shè)所謂的“域外效力”，即禁止將個(gè)人數(shù)據(jù)傳輸至未能提供充分保護(hù)的非歐盟成員國(guó)，對(duì)個(gè)人數(shù)據(jù)的跨境傳輸及處理行為加以規(guī)制。雖然說這種單邊的倒逼機(jī)制從某種程度上說確實(shí)可以影響相關(guān)國(guó)家的立法，迫使其提高國(guó)內(nèi)個(gè)人數(shù)據(jù)的保護(hù)水平，但也形成了國(guó)際貿(mào)易往來的巨大屏障。對(duì)在全球設(shè)立多個(gè)分支機(jī)構(gòu)或附屬機(jī)構(gòu)的跨國(guó)公司而言，其因需要遵守不同的數(shù)據(jù)保護(hù)政策所投入的精力、資源也在逐日增加，成本負(fù)擔(dān)十分沉重。如何調(diào)和個(gè)人數(shù)據(jù)跨境傳輸自由流通與個(gè)人數(shù)據(jù)保護(hù)之間的矛盾與沖突問題，則是擺在各國(guó)立法者面前的一個(gè)難題。

（一）單邊性保護(hù)措施

單邊性保護(hù)措施主要存在于一些經(jīng)濟(jì)實(shí)力、國(guó)際影響力比較大的國(guó)家及地區(qū)性組織，如美國(guó)及歐盟，主要采取一些制裁性措施，單方推行其所信奉的法律理念及原則，迫使被制裁國(guó)能夠改變其行為模式，建立與其宗旨相符的個(gè)人數(shù)據(jù)保護(hù)立法，從而達(dá)到保護(hù)其境內(nèi)公民個(gè)人數(shù)據(jù)權(quán)益的目的?！?5 〕其中，以歐盟最為典型。

歐盟先后通過《個(gè)人數(shù)據(jù)保護(hù)指令》《通用數(shù)據(jù)保護(hù)條例》將個(gè)人數(shù)據(jù)保護(hù)法規(guī)直接適用于其成員國(guó)境內(nèi)，并以限制個(gè)人數(shù)據(jù)的傳輸為制裁手段，要求非歐盟成員國(guó)提供滿足其要求的“充分保護(hù)”。于是，許多非歐盟成員國(guó)擔(dān)心面臨來自歐盟“數(shù)據(jù)傳輸禁止”的制裁，會(huì)按照歐盟數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)提升其國(guó)內(nèi)個(gè)人數(shù)據(jù)保護(hù)水平，以投其所好。不少東歐國(guó)家如阿爾巴尼亞、玻利維亞、克羅地亞、馬其頓、安道爾等國(guó)，甚至俄羅斯聯(lián)邦都陸續(xù)按照歐盟指令制定或修訂了其個(gè)人數(shù)據(jù)保護(hù)法律，以確保國(guó)內(nèi)立法與歐盟法制相一致?！?6 〕其他國(guó)家或地區(qū)，如加拿大、阿根廷、澳大利亞、新西蘭等國(guó)，以及中國(guó)香港、臺(tái)灣及澳門地區(qū)都制定了新的個(gè)人數(shù)據(jù)保護(hù)法律，以確保涉及個(gè)人數(shù)據(jù)傳輸?shù)膰?guó)際貿(mào)易不至于因不符合歐盟指令而遭到質(zhì)疑。

當(dāng)然，對(duì)于個(gè)人數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)制定主導(dǎo)權(quán)的爭(zhēng)奪，也是一國(guó)或一個(gè)地區(qū)鞏固其既有經(jīng)濟(jì)利益的手段。但移植不可避免地會(huì)受到輸入國(guó)因政治、文化、經(jīng)濟(jì)、歷史等因素的影響，存在排斥反應(yīng)。〔37 〕簡(jiǎn)單、粗暴地推行單一國(guó)家或地區(qū)的法律制度及價(jià)值信仰于其他國(guó)家，容易產(chǎn)生抵觸、敵對(duì)情緒，甚至被視為“制度帝國(guó)主義”、〔38 〕霸權(quán)主義，不利于長(zhǎng)期的合作與交流。具體到個(gè)人信息領(lǐng)域，某些國(guó)家或地區(qū)組織欲將使用國(guó)內(nèi)或區(qū)域內(nèi)的個(gè)人數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)推行至全球，勢(shì)必會(huì)對(duì)其他主權(quán)國(guó)家產(chǎn)生在價(jià)值理念等方面的沖突。〔39 〕在《安全港協(xié)定》簽訂之前，在歐洲市場(chǎng)擁有營(yíng)業(yè)網(wǎng)點(diǎn)的美國(guó)企業(yè)面對(duì)可能來自歐盟的數(shù)據(jù)禁運(yùn)，也表現(xiàn)得十分焦慮。他們認(rèn)為這一行為無疑相當(dāng)于對(duì)企業(yè)內(nèi)部的營(yíng)運(yùn)模式進(jìn)行獨(dú)裁式的指導(dǎo)，將引發(fā)美歐之間的貿(mào)易爭(zhēng)端?！?0 〕經(jīng)濟(jì)實(shí)力較強(qiáng)的國(guó)家尚還可與歐盟在數(shù)據(jù)保護(hù)問題上討價(jià)還價(jià)，如美歐之間就達(dá)成了雙邊協(xié)議（《安全港協(xié)定》及《隱私盾協(xié)議》）。但對(duì)于其他非歐盟國(guó)家而言，歐盟數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)就具有比較強(qiáng)的對(duì)立性和侵略性，容易導(dǎo)致國(guó)與國(guó)之間關(guān)系緊張。因此，在個(gè)人數(shù)據(jù)跨境傳輸領(lǐng)域，采用單邊性措施很難達(dá)到理想效果。

（二）雙邊性保護(hù)措施

相較于單邊性措施容易引發(fā)矛盾與沖突，國(guó)與國(guó)之間的雙邊性談判、磋商可以較好地解決信息跨境傳輸?shù)南嚓P(guān)問題，就此引發(fā)的爭(zhēng)議也較單邊更少。與此同時(shí)，雙邊性協(xié)議也不像多邊性談判會(huì)牽涉多個(gè)國(guó)家，為了達(dá)成協(xié)議所耗費(fèi)的時(shí)間成本也會(huì)大大降低，更容易推進(jìn)合作。因此，在個(gè)人數(shù)據(jù)跨境傳輸方面，雙邊性協(xié)議在短時(shí)間內(nèi)具有比較強(qiáng)的可操作性。

這里，比較典型的雙邊性協(xié)議就是前文述及的美歐《安全港協(xié)定》以及《隱私盾協(xié)議》，美歐之間通過雙邊協(xié)議大大縮小了在個(gè)人數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)上的差異，采用美國(guó)企業(yè)自證方式加入“安全港”及之后的“隱私盾”，公開承諾遵守個(gè)人數(shù)據(jù)保護(hù)的相關(guān)規(guī)則。美國(guó)政府也無須全面修改其國(guó)內(nèi)法，大大降低了其國(guó)內(nèi)的立法成本。2008年12月，美國(guó)與瑞士也達(dá)成了“安全港框架”，用以解決因?yàn)閮蓢?guó)之間數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)不一而影響跨境數(shù)據(jù)傳輸問題。

然而，雙邊性協(xié)議的達(dá)成本身受到協(xié)議參與國(guó)自身經(jīng)濟(jì)、政治力量的制約。如果兩個(gè)國(guó)家實(shí)力相當(dāng)，則雙邊性協(xié)議的內(nèi)容對(duì)于參與國(guó)而言應(yīng)是相互妥協(xié)讓步的結(jié)果。反之，如果實(shí)力懸殊過大，這種雙邊性談判必然成為利益失衡狀態(tài)下對(duì)弱國(guó)主權(quán)的一種侵蝕和傷害?！?1 〕另外，雙邊性協(xié)議僅僅解決兩國(guó)之間的跨境數(shù)據(jù)傳輸問題，相比多邊性措施其適用范圍過窄。若要盡可能多的獲得其他國(guó)家或地區(qū)的跨境數(shù)據(jù)傳輸認(rèn)可，就需要逐一與不同國(guó)家進(jìn)行談判、磋商，而國(guó)際談判過程通常復(fù)雜、冗長(zhǎng)，直接導(dǎo)致時(shí)間及資源成本不斷攀升，形成巨大的交易成本。

由此可見，雖然雙邊性協(xié)議在短期內(nèi)對(duì)于調(diào)和不同國(guó)家之間的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)不一問題，屬于比較可行的解決路徑。但從長(zhǎng)遠(yuǎn)看，個(gè)人數(shù)據(jù)跨境傳輸本質(zhì)上具有全球化性質(zhì)，需要多個(gè)國(guó)家及地區(qū)的共同參與并達(dá)成多邊性協(xié)議或機(jī)制，才能使問題得以根本性解決。

（三）多邊性保護(hù)措施

大數(shù)據(jù)時(shí)代，個(gè)人數(shù)據(jù)的收集、使用、處理、傳輸及分享主要通過網(wǎng)絡(luò)或電腦等科技手段進(jìn)行，個(gè)人數(shù)據(jù)被濫用的現(xiàn)象屢禁不止。單靠某個(gè)國(guó)家或地區(qū)，或者幾個(gè)國(guó)家?guī)缀醪豢赡苡行У貙?shí)施及執(zhí)行國(guó)內(nèi)的個(gè)人數(shù)據(jù)保護(hù)制度。個(gè)人數(shù)據(jù)處理的國(guó)際化，使得切實(shí)落實(shí)個(gè)人數(shù)據(jù)保護(hù)措施需要國(guó)際社會(huì)、各個(gè)國(guó)家的共同努力和積極參與。

1.區(qū)域性多邊保護(hù)措施

各個(gè)國(guó)家或地區(qū)個(gè)人信息保護(hù)法制差異性極大，而其本身又有獨(dú)特的政治、經(jīng)濟(jì)、文化、歷史背景，這也勢(shì)必造成多邊性談判的阻力巨大，要想達(dá)成初步共識(shí)難度相當(dāng)大。作為過渡性手段，區(qū)域性多邊機(jī)制的建議應(yīng)該說是很好的嘗試。但是，即便是建立了單一市場(chǎng)的歐盟，推行統(tǒng)一的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)的談判過程也并非一帆風(fēng)順，受到來自各國(guó)及各個(gè)行業(yè)利益集團(tuán)的影響。以1995年歐盟《個(gè)人數(shù)據(jù)保護(hù)指令》為例，在五年的磋商過程中，就形成了南北方兩大陣營(yíng)。英國(guó)、愛爾蘭、丹麥、芬蘭、挪威及瑞典組成所謂“北方陣營(yíng)”，反對(duì)將信息隱私視為基本人權(quán)，認(rèn)為新聞自由亦應(yīng)得到保護(hù)。在最后表決時(shí)，英國(guó)投了棄權(quán)票，以示對(duì)指令的反對(duì)態(tài)度。法國(guó)、意大利、西班牙及盧森堡則為另一陣營(yíng)。因?yàn)榉制巛^大，指令的最終版本具有相當(dāng)程度的開放性，還有諸多例外條款，是各方利益妥協(xié)、讓步的結(jié)果。2016年《通用數(shù)據(jù)保護(hù)條例》彌補(bǔ)了《歐盟指令》的不足之外，具有自動(dòng)執(zhí)行效果，能夠直接適用于歐盟各成員國(guó)，不再需要進(jìn)行國(guó)內(nèi)法的轉(zhuǎn)化。但是近期，隨著英國(guó)的正式脫歐，反全球化的思潮開始不斷涌現(xiàn)。

相比歐盟具有剛性約束力的特點(diǎn)，亞太經(jīng)合組織及經(jīng)合組織采用了柔性規(guī)范的思路。如前所述，OECD通過的《有關(guān)隱私保護(hù)及個(gè)人數(shù)據(jù)跨境流動(dòng)指南》及《隱私保護(hù)及有關(guān)跨境合作執(zhí)行建議》僅具有勸告、指導(dǎo)作用，不具有強(qiáng)制約束力，只能提供成員國(guó)及其他國(guó)家有關(guān)個(gè)人信息保護(hù)立法或跨境合作的執(zhí)行參考。但是，對(duì)于經(jīng)濟(jì)欠發(fā)達(dá)、較貧窮的非工業(yè)化國(guó)家來說，OECD往往被描述為“富人俱樂部”，其成員大都是經(jīng)濟(jì)實(shí)力強(qiáng)的工業(yè)化國(guó)家，其主要弊端在于該組織缺乏開放性和透明性。亞太經(jīng)合組織既不像歐盟基于條約或憲法產(chǎn)生，也不類似OECD設(shè)立準(zhǔn)入門檻要求，其組織結(jié)構(gòu)更加松散，由各種大小會(huì)議維持，成員APEC所為的承諾也并無強(qiáng)制執(zhí)行力。雖然APEC在隱私保護(hù)領(lǐng)域的綱領(lǐng)、政策并無約束力，但是確立了該領(lǐng)域最低而非最高的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，允許會(huì)員采取更嚴(yán)格的立法，或多或少的影響著會(huì)員關(guān)于個(gè)人數(shù)據(jù)保護(hù)法制的建設(shè)。APEC成員國(guó)個(gè)人數(shù)據(jù)保護(hù)相關(guān)法制分歧性非常大，既有保護(hù)程度較高、采用綜合性統(tǒng)一立法的日本、韓國(guó)、澳大利亞、加拿大以及中國(guó)臺(tái)灣地區(qū)，也有采用部門立法、行業(yè)自律的美國(guó)，還有沒有建立個(gè)人數(shù)據(jù)保護(hù)法的印尼、菲律賓等國(guó)家和中國(guó)大陸地區(qū)。數(shù)據(jù)產(chǎn)品可為一種“奢侈品”，經(jīng)濟(jì)發(fā)達(dá)的成員需求更為強(qiáng)烈，而各成員國(guó)保護(hù)水平及狀態(tài)不一，也被視為亞太經(jīng)合組織之間限制個(gè)人數(shù)據(jù)流通的潛在障礙。相對(duì)于歐盟、OECD，亞太經(jīng)合組織成員的經(jīng)濟(jì)、文化、政治及社會(huì)發(fā)展程度差異性更大，想要建立并推行具有強(qiáng)制執(zhí)行力的統(tǒng)一多邊性個(gè)人信息保護(hù)規(guī)則更是難上加難。

應(yīng)該說，區(qū)域性多邊保護(hù)措施充分發(fā)揮了某一區(qū)域地緣化優(yōu)勢(shì)，將該地區(qū)諸多國(guó)家聯(lián)合起來形成合力，更有利于在跨境數(shù)據(jù)傳輸方面達(dá)成一致意見。但是，區(qū)域性保護(hù)措施其影響力畢竟有限，要想建立長(zhǎng)期、制度性的合作方式，唯有大多數(shù)國(guó)家達(dá)成共識(shí)，形成具有普遍性的行為規(guī)范，才能真正解決個(gè)人數(shù)據(jù)跨境傳輸問題。加之，網(wǎng)絡(luò)科技又締造出一種新形態(tài)的社會(huì)交往模式，單靠地方、國(guó)家或某個(gè)區(qū)域組織的傳統(tǒng)管理方式難以應(yīng)對(duì)全球化、網(wǎng)絡(luò)化帶來的風(fēng)險(xiǎn)及挑戰(zhàn)，唯有采取新的策略以及全球性規(guī)范才能尋求根本性的解決之道。

2.全球性多邊保護(hù)措施

全球性多邊保護(hù)措施，雖然能夠統(tǒng)籌協(xié)調(diào)世界范圍內(nèi)不同背景的國(guó)家在數(shù)據(jù)保護(hù)方面的差異性，但因?yàn)閰⑴c國(guó)家眾多且缺乏國(guó)際性法律框架，將面臨信息不對(duì)稱、不確定性大等諸多問題，妥協(xié)程度相比區(qū)域性措施及雙邊協(xié)定更大，且談判成本更高。盡管多邊性談判面臨重重困難，但由更多國(guó)家合作和參與下制定的跨境數(shù)據(jù)傳輸規(guī)則不僅更具有實(shí)效性，能夠大幅降低重要的信息收集、監(jiān)督與執(zhí)行協(xié)議的成本，還能通過建立清晰明確的法律機(jī)制及程序性規(guī)則，使得各國(guó)在個(gè)人數(shù)據(jù)保護(hù)領(lǐng)域的決策及執(zhí)行更加透明化，〔42 〕對(duì)于參與數(shù)據(jù)處理的企業(yè)及其他機(jī)構(gòu)而言亦能形成穩(wěn)定的預(yù)期，有針對(duì)性地制定其隱私政策。

事實(shí)上，很多國(guó)際組織如聯(lián)合國(guó)、經(jīng)合組織、亞太經(jīng)合組織等都制定了個(gè)人數(shù)據(jù)流通的指南、政策等，應(yīng)該說在多邊合作領(lǐng)域作了非常好的嘗試。歐洲各國(guó)為了遵循1995年歐盟《個(gè)人數(shù)據(jù)保護(hù)指令》的規(guī)定，紛紛設(shè)立了專門的數(shù)據(jù)保護(hù)機(jī)構(gòu)。自1979年開始，各國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)每年召開“數(shù)據(jù)保護(hù)與隱私專員國(guó)際會(huì)議”。〔43 〕2005年9月在瑞士舉辦的第27屆數(shù)據(jù)保護(hù)與隱私專員國(guó)際會(huì)議，通過了“蒙特勒宣言”，認(rèn)識(shí)到各國(guó)數(shù)據(jù)保護(hù)法律規(guī)范的分歧性，而造成個(gè)人數(shù)據(jù)全球化流動(dòng)所應(yīng)有的保護(hù)措施缺失，呼吁各國(guó)在尊重法律、政治、經(jīng)濟(jì)及文化背景多樣性的同時(shí)，應(yīng)強(qiáng)化先前的國(guó)際組織如經(jīng)合組織、聯(lián)合國(guó)、歐盟及亞太經(jīng)合組織提出的關(guān)于個(gè)人數(shù)據(jù)保護(hù)的基本原則，使其獲得世界性的普遍認(rèn)可。各國(guó)政府、國(guó)際組織及超國(guó)家的組織應(yīng)加強(qiáng)合作，發(fā)展個(gè)人數(shù)據(jù)保護(hù)的普遍性公約。同時(shí)，呼吁聯(lián)合國(guó)應(yīng)該通過具有約束力的法律規(guī)范，將個(gè)人數(shù)據(jù)保護(hù)及相關(guān)權(quán)利列為具有執(zhí)行力的人權(quán)?！?4 〕這里，為了促使個(gè)人數(shù)據(jù)的自由流動(dòng)及全球性個(gè)人數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)的建立，可以借助一些全球性政府間國(guó)際組織如聯(lián)合國(guó)等，積極探索多邊性保護(hù)措施。

2007年，經(jīng)合組織采納了的“隱私保護(hù)建議”就明確指出，成員國(guó)應(yīng)當(dāng)促成一個(gè)非正式隱私執(zhí)行框架的建立，隱私執(zhí)行當(dāng)局及其他利益相關(guān)方應(yīng)當(dāng)就隱私制度的執(zhí)行合作進(jìn)行討論，分享跨境數(shù)據(jù)傳輸領(lǐng)域執(zhí)行的實(shí)踐經(jīng)驗(yàn)。隱私保護(hù)執(zhí)行機(jī)構(gòu)之間應(yīng)加強(qiáng)合作，遵守國(guó)內(nèi)法及建議要求。正是基于該建議，并考慮到諸如聯(lián)合國(guó)、經(jīng)合組織、亞太經(jīng)合組織都關(guān)注到數(shù)據(jù)保護(hù)的執(zhí)行問題。2010年3月，11個(gè)國(guó)家及地區(qū)的隱私執(zhí)行當(dāng)局聯(lián)合起來建立了“全球隱私執(zhí)行網(wǎng)絡(luò)”（The Global Privacy Enforcement Network， GPEN），并提出了行動(dòng)計(jì)劃。之后，16個(gè)國(guó)家的隱私執(zhí)行當(dāng)局也加入了該計(jì)劃?！?5 〕GPEN設(shè)立的目的，就是為了聯(lián)合全世界的隱私執(zhí)行機(jī)構(gòu)以促成隱私保護(hù)法制在跨境領(lǐng)域的合作，具體包括：交換有關(guān)跨境執(zhí)行方面的經(jīng)驗(yàn)、問題，分享執(zhí)行技巧及好的實(shí)踐措施，加強(qiáng)與隱私執(zhí)行相關(guān)組織的對(duì)話，建立雙邊、多邊合作機(jī)制等。為了吸引更多的隱私保護(hù)執(zhí)行機(jī)構(gòu)加入，GPEN作為一個(gè)開放性網(wǎng)絡(luò)，只要向GPEN委員會(huì)提出申請(qǐng)并簽署行動(dòng)計(jì)劃，就可以加入。為了發(fā)揮在隱私執(zhí)行機(jī)制建設(shè)上的作用，GPEN采取以下行動(dòng)：定期召開會(huì)議討論執(zhí)行問題；展示不同監(jiān)管機(jī)制下有效的調(diào)查技巧及執(zhí)行策略；探討程序、實(shí)體以及證據(jù)規(guī)則方面的相似性及差異性；涉及多方執(zhí)行機(jī)構(gòu)的調(diào)查合作；與其他相關(guān)組織的合作；向跨司法管轄區(qū)的有關(guān)消費(fèi)者或者商業(yè)隱私及數(shù)據(jù)安全的教育項(xiàng)目提供支持；保持與其他國(guó)際組織的合作；對(duì)參與執(zhí)行機(jī)構(gòu)進(jìn)行人員的調(diào)配。就像GPEN在行動(dòng)計(jì)劃中特別強(qiáng)調(diào)的那樣，“行動(dòng)計(jì)劃并不具有強(qiáng)制性，也不會(huì)要求加入機(jī)構(gòu)提供機(jī)密或敏感信息”，也無意于干涉有關(guān)國(guó)家主權(quán)、民事及刑事法律執(zhí)行、國(guó)家安全等的政府行為。〔46 〕雖然沒有約束力，但從目前運(yùn)行情形看，已經(jīng)有50多個(gè)國(guó)家及地區(qū)的數(shù)據(jù)保護(hù)機(jī)構(gòu)加入GPEN，具有相當(dāng)?shù)膹V泛性和代表性，有助于發(fā)現(xiàn)并促成數(shù)據(jù)保護(hù)規(guī)則的統(tǒng)一框架，是關(guān)于跨境數(shù)據(jù)傳輸領(lǐng)域執(zhí)行機(jī)構(gòu)之間進(jìn)行緊密合作的一個(gè)非常有益的嘗試。在將來，GPEN可在綜合各國(guó)數(shù)據(jù)保護(hù)實(shí)踐及跨境執(zhí)行合作的基礎(chǔ)上，提出有關(guān)跨境數(shù)據(jù)傳輸?shù)膰?guó)際規(guī)則草案，并提交聯(lián)合國(guó)審議，能夠更快的促進(jìn)多邊性保護(hù)機(jī)制的形成。

有學(xué)者提出，可以在世界貿(mào)易組織框架下，推動(dòng)“信息隱私總協(xié)定”的達(dá)成。畢竟，不論各個(gè)利益集團(tuán)或國(guó)家的意愿如何，跨境個(gè)人數(shù)據(jù)傳輸必然涉及與服務(wù)相關(guān)的貿(mào)易問題，WTO難以置身事外。并由此提出，可以藉由涉及知識(shí)產(chǎn)權(quán)的TRIPS協(xié)定所建立的知識(shí)產(chǎn)權(quán)保護(hù)標(biāo)準(zhǔn)，將其納入締約國(guó)國(guó)內(nèi)法制之中?！?7 〕該建議看似具有相當(dāng)?shù)暮侠硇?，但缺乏一定的可操作性。個(gè)人數(shù)據(jù)是否屬于知識(shí)產(chǎn)權(quán)的范疇，本身存在極大的爭(zhēng)議，將其納入TRIPS協(xié)定的難度極大。再加之，WTO本身的談判時(shí)間及成本巨大，參與國(guó)家情況差別極大，協(xié)商更是費(fèi)時(shí)費(fèi)力。例如，烏拉圭回合談判時(shí)，有120個(gè)國(guó)家參與，談判時(shí)間更是長(zhǎng)達(dá)9年，2001年開始的多哈談判也是如此。

隨著大數(shù)據(jù)時(shí)代的到來，個(gè)人數(shù)據(jù)的收集、存儲(chǔ)、使用、傳輸?shù)刃袨橐呀?jīng)遍及全球，早就超越國(guó)家及地域界限，這也使得數(shù)據(jù)跨境流通問題已非一國(guó)或一個(gè)地區(qū)的內(nèi)部力量就能徹底解決。即便區(qū)域性多邊保護(hù)措施如歐盟，雖然排除了其成員國(guó)內(nèi)部的數(shù)據(jù)流動(dòng)障礙，但當(dāng)個(gè)人數(shù)據(jù)傳輸至非歐盟成員國(guó)時(shí)，會(huì)因“數(shù)據(jù)禁運(yùn)”而形成較高的貿(mào)易壁壘。只有通過更多國(guó)家參與全球多邊性組織如聯(lián)合國(guó)建立數(shù)據(jù)跨境流通的適用規(guī)則，才能真正實(shí)現(xiàn)既保護(hù)個(gè)人數(shù)據(jù)，又促使其跨境合理流動(dòng)的目標(biāo)。

結(jié) 語(yǔ)

大數(shù)據(jù)時(shí)代個(gè)人數(shù)據(jù)已經(jīng)成為各方爭(zhēng)奪的寶貴資源，數(shù)字經(jīng)濟(jì)亦逐漸成為國(guó)際貿(mào)易發(fā)展的重要力量。跨境數(shù)據(jù)傳輸自由化與數(shù)據(jù)本地化這一對(duì)相互沖突的價(jià)值目標(biāo)一致貫穿跨境數(shù)據(jù)傳輸?shù)娜^程。閉關(guān)自守、完全禁止數(shù)據(jù)跨境流通會(huì)嚴(yán)重阻礙數(shù)字經(jīng)濟(jì)的發(fā)展，在保障個(gè)人數(shù)據(jù)安全性的前提下允許數(shù)據(jù)跨境傳輸才符合未來的發(fā)展趨勢(shì)。反觀我國(guó)，個(gè)人數(shù)據(jù)保護(hù)起步較晚，雖然目前尚未出臺(tái)專門的個(gè)人數(shù)據(jù)保護(hù)法，但《刑法》《網(wǎng)絡(luò)安全法》《民法總則》《消費(fèi)者權(quán)益保護(hù)法》等都有針對(duì)個(gè)人信息保護(hù)的一般性規(guī)定。2017年4月，國(guó)家網(wǎng)信辦發(fā)布了《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》，確立了跨境數(shù)據(jù)傳輸安全評(píng)估的基本原則和程序。應(yīng)該說，我國(guó)個(gè)人信息法律保護(hù)體系正在逐步完善，但與歐美等國(guó)相比仍存在較大差距。作為亞太經(jīng)合組織的重要一員，我國(guó)應(yīng)積極參與跨境數(shù)據(jù)傳輸國(guó)際規(guī)則的制定，并在此框架下最大限度地發(fā)揮我國(guó)互聯(lián)網(wǎng)企業(yè)的優(yōu)勢(shì)，實(shí)現(xiàn)國(guó)內(nèi)信息保護(hù)法律制度與國(guó)際規(guī)則的對(duì)接與協(xié)調(diào)，在數(shù)字經(jīng)濟(jì)全球化過程中扮演更加重要的角色。