田曉萍

(深圳大學法學院，廣東 深圳 518060)

2018年5月，歐盟《一般數(shù)據(jù)保護條例》(GDPR)正式實施，它是20多年來數(shù)據(jù)隱私法領域最重大的變化，是目前全球范圍內(nèi)個人數(shù)據(jù)保護標準最高的具有約束力和執(zhí)行力的規(guī)則。2019年1月，法國數(shù)據(jù)保護監(jiān)管機構認定谷歌違反GDPR，對其處以近5700萬歐元的重罰，這是GDPR實施后第一個被處罰的美國科技巨頭，①該處罰高調(diào)宣告了GDPR時代的到來。GDPR對歐盟乃至全球的個人數(shù)據(jù)保護制度和數(shù)字經(jīng)濟的發(fā)展，都將產(chǎn)生深遠影響。

《歐盟基本權利憲章》將個人數(shù)據(jù)保護納入基本人權的范疇，闡明了歐盟數(shù)據(jù)保護的基本立場。②歐盟數(shù)據(jù)立法一體化的演進，從1981年《108號公約》③，1995年《數(shù)據(jù)保護指令》④，到2018年GDPR，呈現(xiàn)出法律制度從原則到具體、法律效力從弱到強、監(jiān)管機制從虛到實的態(tài)勢，基本權利語境下的個人數(shù)據(jù)隱私保護達到前所未有的高度。數(shù)據(jù)法律政策的考量涵蓋隱私保護、數(shù)字經(jīng)濟、公共利益、國家安全等復雜的維度。任何國家和地區(qū)都是根據(jù)自身的經(jīng)濟、政治、社會、文化傳統(tǒng)等因素，力求取得利益最大化的平衡點。歐盟雖然一直強調(diào)其數(shù)據(jù)保護的人權立場，但不容忽視的是，GDPR也是歐洲“數(shù)字一體化市場”戰(zhàn)略的重要抓手。⑤GDPR第1條開宗明義，在明確“保護自然人的基本權利和自由，尤其是個人數(shù)據(jù)保護的權利”之后，隨即指出：“不得以保護個人數(shù)據(jù)處理中的相關自然人為由，對歐盟內(nèi)部個人數(shù)據(jù)的自由流動進行限制。”從歐盟內(nèi)部來說，GDPR反對數(shù)據(jù)本地化，通過有直接約束力的統(tǒng)一規(guī)則，強化數(shù)據(jù)的流動性，為歐盟數(shù)字一體化市場掃清了法律障礙。但與此同時，對歐盟外部而言，嚴厲的數(shù)據(jù)保護制度使其他國家和地區(qū)在同歐盟的經(jīng)貿(mào)往來中面臨嚴峻的合規(guī)挑戰(zhàn)，迫使其增加合規(guī)成本、面臨不確定的執(zhí)法，乃至延宕其進入歐盟市場。美國商務部長羅斯撰文指出，“GDPR的實施會嚴重破壞大西洋兩岸的合作，對包括美國在內(nèi)的歐盟外所有國家和地區(qū)構成不必要的貿(mào)易壁壘?！雹?/p>

近年來，中國數(shù)字經(jīng)濟發(fā)展迅速，2018年我國數(shù)字經(jīng)濟總量達到 31.3萬億元，占GDP 比重為34.8%。[1]P15億人口的歐盟成熟市場對中國互聯(lián)網(wǎng)企業(yè)具有強烈的吸引力,GDPR的實施使中國相關企業(yè)面臨極大的法律風險。小米生態(tài)鏈企業(yè)Yeelight智能燈泡，因無法在GDPR生效前滿足合規(guī)而暫停服務。⑦2018年12月，因涉嫌違反GDPR，摩拜單車遭到德國數(shù)據(jù)監(jiān)管機構的調(diào)查。⑧2019年1月，在達沃斯世界經(jīng)濟論壇上，馬云指出，“歐洲對技術總是關注隱私、監(jiān)管和安全。阿里選擇去非洲，而不是去過度擔心的歐洲?！北M管歐盟數(shù)字產(chǎn)業(yè)的競爭力不強，但其占據(jù)著數(shù)據(jù)保護領域的制高點，隨著GDPR的落地執(zhí)行，其制度輸出的影響力和國際話語權得以強化。對歐盟以外的國家和地區(qū)，尤其是互聯(lián)網(wǎng)領域最具競爭力的美國和中國而言，GDPR成為數(shù)字經(jīng)濟時代的新型貿(mào)易壁壘，具有貿(mào)易保護主義的實際效果。GDPR產(chǎn)生貿(mào)易壁壘效果的制度機理是什么？美國政府主要通過哪些途徑化解該壁壘？美國的經(jīng)驗中國是否有借鑒的可行性？中國應如何應對？本文試圖從貿(mào)易壁壘的角度考察GDPR，對上述問題進行探討。

一、GDPR：數(shù)字經(jīng)濟時代面向非歐盟國家的貿(mào)易壁壘

(一)GDPR作為貿(mào)易壁壘的背景：歐盟數(shù)字經(jīng)濟生產(chǎn)和消費的失衡

隨著信息技術的不斷創(chuàng)新發(fā)展，及其與經(jīng)濟社會的深度融合，數(shù)字經(jīng)濟已成為實現(xiàn)價值增值與效率提升、促進世界經(jīng)濟增長的新動能。發(fā)達國家和發(fā)展中國家都將發(fā)展數(shù)字經(jīng)濟作為國家層面的優(yōu)先戰(zhàn)略。數(shù)據(jù)是數(shù)字經(jīng)濟時代的關鍵性生產(chǎn)要素，各國的數(shù)據(jù)保護立法是其數(shù)字經(jīng)濟戰(zhàn)略部署的重要環(huán)節(jié)。適度的個人數(shù)據(jù)保護可以提升數(shù)據(jù)主體對數(shù)字產(chǎn)業(yè)的信任，有利于數(shù)字經(jīng)濟的發(fā)展；嚴苛的個人數(shù)據(jù)保護則會降低商業(yè)效率，抑制數(shù)字經(jīng)濟的活力。美國是全球信息技術和數(shù)字經(jīng)濟的頭號強國，其個人數(shù)據(jù)保護與歐盟相比要寬松許多。

歐盟的GDPR作為目前全球最嚴苛的個人數(shù)據(jù)保護制度，在保護人權的價值理念背后，也包含了重要的經(jīng)濟利益考量。一方面，歐盟在數(shù)字經(jīng)濟領域的企業(yè)競爭力顯著落后于美國和中國。根據(jù)瑪麗·米克爾發(fā)布的2018互聯(lián)網(wǎng)趨勢報告，當今全球市值最高的前20家互聯(lián)網(wǎng)公司中，美國11家，中國9家，沒有一家歐盟國家的公司入圍。⑨根據(jù)聯(lián)合國貿(mào)發(fā)會發(fā)布的《世界投資報告2017-投資與數(shù)字經(jīng)濟》，在網(wǎng)絡平臺、數(shù)字化解決方案、電子商務、數(shù)字內(nèi)容、IT、電信設施等主要數(shù)字經(jīng)濟領域，美國企業(yè)從數(shù)量和規(guī)模上占據(jù)絕對優(yōu)勢，其次為中國。另一方面，歐盟5億人口，市場成熟，互聯(lián)網(wǎng)基礎設施較為完善，數(shù)字經(jīng)濟消費市場龐大，潛能可觀。目前，美國的互聯(lián)網(wǎng)巨頭如谷歌、臉書、亞馬遜等在歐盟提供廣泛的服務，歐洲本土則缺乏具有相應競爭力的企業(yè)。在數(shù)字經(jīng)濟生產(chǎn)和消費極不平衡的背景下，歐盟實施史上最嚴的數(shù)據(jù)保護法，并不會遭遇來自本國企業(yè)界利益集團的強有力反對，卻可以增強其同外國互聯(lián)網(wǎng)巨頭的博弈籌碼。因此，歐盟以統(tǒng)一市場的優(yōu)勢為依托，緊握規(guī)則制定的話語權，實施嚴格的GDPR，劍指美、中兩國企業(yè)，少有“殺敵一千，自損八百”的后顧之憂。在GDPR的威懾之下，在歐盟數(shù)字化市場中所占份額最大的美國企業(yè)首當其沖，它們需要大幅增加合規(guī)成本，還可能面臨最高為全球總營收4%的巨額罰款。對快速崛起正謀求全球擴張的中國互聯(lián)網(wǎng)企業(yè)而言，歐盟市場的法律風險可能使其暫時轉(zhuǎn)入觀望。歐盟國家企業(yè)則可以內(nèi)部市場的統(tǒng)一規(guī)則為依托，享受數(shù)據(jù)自由流動的便利，獲得一定的發(fā)展空間。

(二)GDPR作為貿(mào)易壁壘的屬性：社會性壁壘和技術性壁壘

在傳統(tǒng)貿(mào)易壁壘受到國際條約較為嚴格約束的背景下，以技術壁壘、環(huán)境壁壘、社會壁壘為代表的新型貿(mào)易壁壘層出不窮。這些新型貿(mào)易壁壘通常旨在保護生命健康、人權、環(huán)境，通過國內(nèi)政策和法規(guī)實施，具有一定的合理性和適用的平等性，但又可以產(chǎn)生貿(mào)易保護主義的實際效果。GDPR兼具社會性壁壘和技術性壁壘的性質(zhì)，是數(shù)字經(jīng)濟時代的新型貿(mào)易壁壘。[2]

以往國際貿(mào)易中的社會性壁壘主要指以保護勞工權益為由采取的貿(mào)易保護措施，其特點是以國際人權條約中有關社會保障、勞工權利等規(guī)定為基礎，制定較高的勞工標準(如歐洲的SA8000標準)，從而削弱發(fā)展中國家在勞動力成本方面的優(yōu)勢。歐盟數(shù)據(jù)立法源于基本人權保護。1950年《歐洲人權公約》第8條第1款規(guī)定：“每個人都有權要求尊重他的私人和家庭生活、住宅和通信。”歐洲委員會在20世紀七十年代主張將個人數(shù)據(jù)視為《歐洲人權公約》第8條第1款的一部分。2000年《歐盟基本權利憲章》第8條明文規(guī)定個人數(shù)據(jù)保護。GDPR以上述人權條約為依托，確立高標準的個人數(shù)據(jù)保護制度，提高市場門檻，是一種新型的社會性貿(mào)易壁壘。技術性貿(mào)易壁壘是指通過頒布法律、法令、條例、規(guī)定，建立嚴苛的技術標準、認證制度、衛(wèi)生檢驗檢疫制度等，達到提高市場準入門檻、形成貿(mào)易障礙的效果。GDPR確立了個人數(shù)據(jù)處理中的諸多操作規(guī)范和具體標準，包括收集個人數(shù)據(jù)時應當提供的信息、數(shù)據(jù)處理活動的記錄規(guī)則、數(shù)據(jù)主體行使訪問權、更正權和可攜權的操作方式等，還提出了建立數(shù)據(jù)保護認證機制。GDPR一系列復雜而嚴苛的規(guī)則需要企業(yè)大幅提高合規(guī)成本，否則將被排除在歐盟市場之外，具有典型的技術性壁壘的特征。

二、 GDPR產(chǎn)生貿(mào)易壁壘效果的制度機理

(一)高水平的個人數(shù)據(jù)保護抬高市場門檻

GDPR強化了數(shù)據(jù)主體對個人數(shù)據(jù)的控制權利，并賦予更廣泛的權利內(nèi)容。根據(jù)GDPR，一般情況下，對個人數(shù)據(jù)的處理須取得當事人的明確同意，該同意必須是在知情的情況下、基于特定目的、自由作出的，獲取當事人同意的相關協(xié)議應當使用清晰而直白的語言，以簡潔、透明、易懂和容易獲取的方式呈現(xiàn)，否則無效。數(shù)據(jù)主體有權隨時撤回同意，同意的撤回應和同意的作出一樣簡單。數(shù)據(jù)主體享有對個人數(shù)據(jù)的訪問權、更正權、被遺忘權、可攜權、限制處理權、自動化決策的反對權等。其中，被遺忘權和可攜權是兩種新型權利。被遺忘權是指，當數(shù)據(jù)主體依法撤回同意或者控制者不再有合法理由繼續(xù)處理數(shù)據(jù)等情形時，數(shù)據(jù)主體有權要求刪除數(shù)據(jù)?？刂普卟粌H要刪除自己所控制的數(shù)據(jù)，還要對其公開傳播的數(shù)據(jù)負責，通知其他第三方進行刪除。在開放的互聯(lián)網(wǎng)空間，要求數(shù)據(jù)控制者對其公開傳播的所有數(shù)據(jù)負責，是非常嚴苛且難以完成的義務?？蓴y權是一項權利制度創(chuàng)新，指數(shù)據(jù)主體有權以有序的、普遍使用的、機器可讀的方式獲取個人數(shù)據(jù)，并有權將這些數(shù)據(jù)從一個控制者傳輸?shù)搅硪粋€控制者，但行使可攜權時不能對他人的權利或自由產(chǎn)生負面影響。在GDPR的框架下，數(shù)據(jù)主體對個人數(shù)據(jù)的控制力顯著提升。另一方面，GDPR對數(shù)據(jù)控制者和處理者的義務做了全面而嚴格的界定，包括：以默認方式保護數(shù)據(jù)的義務、數(shù)據(jù)處理活動的記錄義務、確保數(shù)據(jù)處理安全的義務、數(shù)據(jù)泄漏后72小時內(nèi)的通知義務、數(shù)據(jù)保護影響評估的義務、設立數(shù)據(jù)保護官的義務等,并且提倡在歐盟層面建立數(shù)據(jù)保護認證機制，以證明數(shù)據(jù)控制者和處理者對個人數(shù)據(jù)的處理操作符合GDPR。

為確保數(shù)據(jù)主體權利的實現(xiàn)，GDPR對監(jiān)管機構和救濟處罰措施都做了具體安排。GDPR要求各成員國設立獨立的監(jiān)管機構，負責監(jiān)控條例的實施。監(jiān)管機構具有調(diào)查、矯正、建議、提起法律訴訟的權力。數(shù)據(jù)主體根據(jù)GDPR所賦予的權利被侵犯時，可以向監(jiān)管機構提起申訴，也可以向法院提起訴訟。在最嚴重的違法行為發(fā)生時，監(jiān)管機構對數(shù)據(jù)控制者和處理者最高可處罰金2000萬歐元或者企業(yè)上一年全球總營業(yè)額的4%(兩者取其高)。高昂的罰金額度對企業(yè)構成強烈的威懾。為了達到GDPR的數(shù)據(jù)保護標準，企業(yè)需要完善內(nèi)部數(shù)據(jù)保護合規(guī)制度，對一切數(shù)據(jù)的收集和處理活動都要采取相應的保護措施，包括一系列形式工作和實質(zhì)措施。據(jù)《福布斯》報道，在2018年5月正式實施前的兩年間(GDPR于2016年4月獲得通過)，美國財富前500強企業(yè)就花費了78億美元合規(guī)成本，中型企業(yè)在這兩年間花費的合規(guī)成本為55萬美元。根據(jù)普華永道會計師事務所的調(diào)查，68%的美國公司預計花費100萬到1000萬美元以滿足GDPR的合規(guī)要求。

(二)復雜的規(guī)則帶來執(zhí)法的不確定性

GDPR共十章、99條，涉及諸多復雜的概念、原則、規(guī)則，且很多概念和事項都屬新創(chuàng)。GDPR發(fā)布后，歐盟數(shù)據(jù)保護委員會(EDPB)又發(fā)布了二十多項指南。指南涉及數(shù)據(jù)保護官、數(shù)據(jù)保護影響評估、識別主導監(jiān)管機構、行政處罰、充分保護認定等各方關切的廣泛問題。歐盟許多成員也陸續(xù)頒布GDPR指南。龐雜的規(guī)則帶來認知上的困境，而且，許多規(guī)則的適用標準仍不明確。美國科羅拉多大學教授Alison在《紐約時報》撰文指出，“GDPR非常復雜，帶來很大的困惑。許多要受到GDPR約束的科學家和數(shù)據(jù)管理員都認為，該條例難以理解，甚至懷疑不可能做到完全遵守?！盙DPR是不同價值平衡和多種利益訴求妥協(xié)的產(chǎn)物，這是造成其復雜性的重要原因。GDPR秉持二元立法目標——保護個人權利并促進數(shù)據(jù)的自由流動，數(shù)據(jù)主體并非享有絕對權利，數(shù)據(jù)主體的權利需要與其他正當利益相平衡。GDPR一般適用于所有個人數(shù)據(jù)處理中的個人權利保護，然而，企業(yè)、政府、學術機構處理個人數(shù)據(jù)的目的截然不同。GDPR草案發(fā)布后，曾收到4000多份修改意見，反映了利益訴求的分化。況且，歐盟28個成員國，不同的歷史經(jīng)驗和社會現(xiàn)實決定了其對個人數(shù)據(jù)保護的立場會有所分別。例如，德國基于納粹統(tǒng)治的痛苦記憶，對政府和企業(yè)收集個人數(shù)據(jù)非常戒備，北歐國家則重視將數(shù)據(jù)收集和整理用于支持社會福利體系的運作。此外，為彌合現(xiàn)行規(guī)則和未來新技術發(fā)展可能產(chǎn)生的鴻溝，GDPR使用了一些寬泛的原則，也留下了有待解釋的空間。

GDPR引入諸多平衡機制來協(xié)調(diào)各方利益，規(guī)則設計中表現(xiàn)為對權利作出適當限制、對責任予以適當豁免，以及諸多例外情形。例如，GDPR第17條“被遺忘權”共三款，第1款規(guī)定數(shù)據(jù)主體刪除個人數(shù)據(jù)的權利，第2款規(guī)定了數(shù)據(jù)控制者對其公開傳播的數(shù)據(jù)的責任。鑒于被遺忘權雖然關乎重要的個人權利，但也可能與言論自由、信息自由流動、公眾知情權等公共價值存在尖銳的矛盾，需要對此權利作出必要的限制，第3款規(guī)定了不適用被遺忘權的5種例外情形：(1)行使表達自由和信息自由權；(2)基于公共利益和履行法律職責所必需；(3)為實現(xiàn)公共健康領域的公共利益；(4)基于歷史、統(tǒng)計和科學研究的目的；(5)為提起、行使或辯護法律性主張。雖然做出了這些限制，被遺忘權仍然面臨很多質(zhì)疑。對用戶提出的被遺忘權請求，企業(yè)可能首先需要審查是否屬于立法中規(guī)定的例外情形，而“表達自由”、“公共利益”這些抽象的判斷標準，無疑是將企業(yè)拖入裁判的泥潭，并由此形成一種新形式的“網(wǎng)絡審查”。這必然帶來規(guī)則適用的不確定性，GDPR中還有很多這類情形。GDPR復雜且?guī)в邢喈敳淮_定性的規(guī)則，給遵守者帶來極大的合規(guī)困境和負擔。對監(jiān)管機構而言，則賦予其較大的裁量權，可能產(chǎn)生執(zhí)法的選擇性和不可預見性，還可以此增強與境外互聯(lián)網(wǎng)產(chǎn)業(yè)巨頭博弈的話語權。

(三)寬泛的管轄范圍導致域外適用

互聯(lián)網(wǎng)空間的開放性、個人數(shù)據(jù)流動和處理的跨國性，決定了GDPR充分的個人數(shù)據(jù)保護不會僅止于歐盟。GDPR第3條“地域范圍”兼采屬地管轄和屬人管轄兩種標準，將GDPR的適用范圍擴展至歐盟境外。該條款直接關系到境內(nèi)外數(shù)據(jù)處理的主體和場景是否納入GDPR管轄，引起各方的重點關注和質(zhì)疑。為明晰該條款的適用，2018年11月，EDPB發(fā)布長達23頁的《關于GDPR適用地域范圍的解釋指南》(公開征求意見版)?！吨改稀分袑DPR適用地域范圍的兩種標準做了詳細的闡釋和例舉，并創(chuàng)設了新的規(guī)則以促進其域外適用的落地執(zhí)行。

GDPR下的屬地管轄是指，以在歐盟境內(nèi)有“機構設置”作為適用標準。根據(jù)GDPR第3條第1款，數(shù)據(jù)控制者或處理者在歐盟境內(nèi)有機構設置，該機構活動涉及的個人數(shù)據(jù)處理，不論數(shù)據(jù)處理行為是否在歐盟內(nèi)進行，均適用GDPR。該條款的適用需要從三方面綜合判定：第一，在歐盟內(nèi)有機構設置。機構設置是指通過穩(wěn)定安排從事真實有效的經(jīng)營活動，安排的法律形式不要求一定是具有法人資格的子公司或分支機構?！吨改稀分羞M一步闡明，在某些情況下，非歐盟實體在歐盟內(nèi)有一個雇員或一個代理人，如具備足夠的穩(wěn)定性，就可能構成穩(wěn)定安排。[3]P5由此可見，在歐盟境內(nèi)有機構設置的范圍相當寬泛，既包括在歐盟內(nèi)設立的數(shù)據(jù)控制者或處理者，也包括歐盟外的數(shù)據(jù)控制者或處理者在歐盟成員國內(nèi)有某種穩(wěn)定安排，其法律形式不限。第二，個人數(shù)據(jù)處理由該機構活動所涉及。根據(jù)《指南》，即使在歐盟設置的機構沒有實際參加任何非歐盟實體的數(shù)據(jù)處理行為，該機構的活動也可能與這些數(shù)據(jù)處理行為間接相關。例如，一家中國企業(yè)經(jīng)營的電商網(wǎng)站，其數(shù)據(jù)處理行為全部在中國進行，但是它在柏林設立了一個歐洲辦事處負責領導和執(zhí)行歐盟市場的商業(yè)推廣和市場活動，旨在使該電商網(wǎng)站的服務盈利，則中國公司由此進行的個人數(shù)據(jù)處理與其歐洲辦事處的活動間接相關，屬于GDPR的適用情形。[3]P7第三，不考慮數(shù)據(jù)處理行為發(fā)生的地理位置。只要在歐盟境內(nèi)有機構設置，且個人數(shù)據(jù)處理由該機構活動所涉及，不論數(shù)據(jù)處理行為是否在歐盟內(nèi)進行，都可適用GDPR。

GDPR下的屬人管轄是指，以數(shù)據(jù)處理的“目標主體”在歐盟境內(nèi)作為適用標準。根據(jù)GDPR第3條第2款，在歐盟外設立的數(shù)據(jù)控制者或處理者，只要其個人數(shù)據(jù)處理是為歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務，或?qū)Πl(fā)生在歐盟境內(nèi)的數(shù)據(jù)主體的活動進行監(jiān)控，即受GDPR約束。該條款的適用需要同時滿足兩個條件：第一，數(shù)據(jù)主體在歐盟境內(nèi)。這是指在其個人信息被收集的時候，數(shù)據(jù)主體在地理上位于歐盟境內(nèi)，無關其是否具有歐盟成員國的國籍或法律身份，因而并不限于歐盟的公民、居民。[3]P13第二，個人數(shù)據(jù)處理是針對歐盟內(nèi)的數(shù)據(jù)主體提供商品、服務，或者監(jiān)控其在歐盟內(nèi)的活動。提供商品或服務并不要求支付對價或真實發(fā)生，具有此意圖即可，例如提供產(chǎn)品或服務的網(wǎng)站上出現(xiàn)歐盟成員國的語言和貨幣，或提及歐盟的消費者和使用者，就被認為有此意圖。在判定數(shù)據(jù)主體在歐盟內(nèi)的活動被監(jiān)控時，要求監(jiān)控有特定目的，也就是數(shù)據(jù)主體在歐盟內(nèi)的活動在互聯(lián)網(wǎng)上被追蹤，其個人信息經(jīng)收集和后續(xù)處理利用，是為了分析或預測其個人行為、偏好，作出與此人相關的決策等。

GDPR通過“機構設置”和“目標主體”這兩種標準實現(xiàn)了擴張性的域外適用。這種域外適用的實質(zhì)是行政執(zhí)法權的擴張，面臨著對境外企業(yè)如何實現(xiàn)監(jiān)管、調(diào)查和執(zhí)法的難題，而且很可能與企業(yè)所在國的執(zhí)法主權產(chǎn)生沖突，難以得到所在國的配合與協(xié)助。為解決這一執(zhí)法難題，GDPR第27條規(guī)定了指定歐盟代表的義務。在歐盟外設立的數(shù)據(jù)控制者或處理者，因其向歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務，或監(jiān)控歐盟內(nèi)數(shù)據(jù)主體的活動而受GDPR約束，有義務在歐盟內(nèi)指定一名代表，該代表可以是個人、商業(yè)實體或非商業(yè)實體，數(shù)據(jù)監(jiān)管機構可以對此代表處以罰金或執(zhí)行其他懲罰。[3]P19-20這意味著，在適用“目標主體”標準時，對境外企業(yè)的執(zhí)法可以通過歐盟內(nèi)的代表這一連接點得以實現(xiàn)。適用“機構設置”標準時，根據(jù)GDPR，即使數(shù)據(jù)處理行為在境外，也可以通過歐盟境內(nèi)設置的機構這一連接點進行監(jiān)督執(zhí)法。這兩種情形下的執(zhí)法思路異曲同工，都是通過境內(nèi)的某一連接點將境外企業(yè)納入其可控范圍，從而實現(xiàn)對域外數(shù)據(jù)控制者和處理者的有效約束和執(zhí)法。與歐盟境內(nèi)企業(yè)相比，這種要求顯然會增加歐盟境外企業(yè)的額外負擔和市場進入阻礙，但是卻有利于保障歐盟本土市場和歐盟數(shù)據(jù)主體的權利。由此，GDPR構筑起一張密實的大網(wǎng)，將幾乎所有投資歐盟的企業(yè)和與歐盟有業(yè)務往來的企業(yè)都網(wǎng)羅其中，使其面臨兩難選擇：或者遵守GDPR的高標準，或者退出歐盟市場。

(四)嚴格控制的數(shù)據(jù)跨境流動強化了制度輸出

數(shù)據(jù)跨境流動是數(shù)字貿(mào)易的內(nèi)在要求。GDPR沒有明確的數(shù)據(jù)本地化要求，其對個人數(shù)據(jù)流出歐盟主要通過充分性認定和充分保障兩種機制加以嚴格控制，基本原則是個人數(shù)據(jù)出境的目的地或接收方提供與歐盟境內(nèi)基本相同的保護水平，目標在于GDPR保護的個人數(shù)據(jù)權利在數(shù)據(jù)出境后仍然能夠得到充分保證。

充分性認定是歐盟個人數(shù)據(jù)跨境流動最重要的機制，認定的對象是歐盟以外的第三國、第三國的特定地區(qū)、行業(yè)領域以及國際組織，只有歐委會認定其能提供充分保護，才可以將個人數(shù)據(jù)向其進行轉(zhuǎn)移。充分性保護要求第三國提供與歐盟基本等同的保護水平。根據(jù)GDPR第45條，歐委會主要從三方面進行充分性評估：首先，考察其法治水平、尊重人權和基本自由的情況、一般性和部門性立法及其實施(包括公共安全、國防、國家安全、刑法和公共機構獲取個人數(shù)據(jù)等方面)，以及數(shù)據(jù)主體權利的有效性和可執(zhí)行性、行政和司法救濟途徑。第二，要求設立獨立且有效運行的監(jiān)管機構，監(jiān)管機構有充分的執(zhí)法權、負責個人數(shù)據(jù)保護規(guī)則的實施、為數(shù)據(jù)主體行使權利提供支持和建議，以及與歐盟成員國的監(jiān)管機構進行合作。第三，考察第三國或國際組織參加與個人數(shù)據(jù)保護相關的具有法律約束力的國際條約情況。加入歐委會《108號公約》是一項予以關注的因素。獲得充分性認定并非一勞永逸，歐委會對第三國或地區(qū)會定期進行復審，根據(jù)其個人數(shù)據(jù)保護的實踐情況，可能修改、暫停、甚至撤銷充分性認定。目前，獲得歐委會充分性認定的國家為數(shù)不多，包括：阿根廷、以色列、日本、新西蘭、瑞士、烏拉圭、安道爾、馬恩島、澤西島、法羅群島、根西島。加拿大獲得的充分性認定僅適用于屬于“加拿大信息保護和電子文件法”范圍的私營實體。

在充分性認定機制缺失的情況下，數(shù)據(jù)控制者或處理者只有能提供充分的保障措施，且數(shù)據(jù)主體的權利和救濟在法律上可執(zhí)行時，才可以將個人數(shù)據(jù)轉(zhuǎn)移至歐盟境外。根據(jù)GDPR第46條，主要有下列幾種充分保障機制可供選擇：公共機構之間有法律約束力和執(zhí)行力的文件；有約束力的公司規(guī)則；標準數(shù)據(jù)保護條款；協(xié)會行為準則；認證機制等。各種保障機制都需要獲得歐委會或歐盟成員國數(shù)據(jù)監(jiān)管機構的批準才能生效，其核心在于嚴格控制個人數(shù)據(jù)出境后的保護標準。如未能滿足充分性認定和充分保障機制的條件，個人數(shù)據(jù)轉(zhuǎn)移至歐盟境外的例外情形非常有限，并且給數(shù)據(jù)控制者帶來很高的舉證責任。要求數(shù)據(jù)控制者在充分告知數(shù)據(jù)主體相關風險的情況下獲得數(shù)據(jù)主體的明示同意，或者數(shù)據(jù)控制者能證明數(shù)據(jù)轉(zhuǎn)移具有某種必要性，如實現(xiàn)公共利益、履行合同、司法訴求等，嚴格的舉證要求使其難以適用頻繁、大規(guī)模的個人數(shù)據(jù)轉(zhuǎn)移。

GDPR的跨境數(shù)據(jù)傳輸機制中，充分性認定機制提供了整體解決方案，獲得認定的前提是該國家或地區(qū)的個人數(shù)據(jù)保護水平達到了GDPR的要求，這必然促使希望獲得認定國家或地區(qū)的立法向歐盟標準靠攏。充分保障機制雖然是針對數(shù)據(jù)控制者或處理者，但同時要求數(shù)據(jù)主體的權利和救濟在法律上可執(zhí)行，這也間接對數(shù)據(jù)控制者或處理者所在地的個人數(shù)據(jù)保護法提出了要求?？缇硵?shù)據(jù)流動的這種制度設計使GDPR產(chǎn)生傳導效應，進一步強化了歐盟數(shù)據(jù)保護制度輸出的影響力。除歐盟國家以外，一些近期更新了數(shù)據(jù)保護法或提出立法草案的國家，如突尼斯、泰國、智利、巴西、加拿大、新西蘭、貝林等，其立法都深受GDPR影響。GDPR發(fā)生傳導效應的根源在于：一方面，歐盟市場對歐盟外國家的吸引力促使其希望獲得數(shù)據(jù)流動的許可；另一方面，在全球互聯(lián)網(wǎng)產(chǎn)業(yè)集中度較高的情況下，大多數(shù)國家與歐盟一樣，數(shù)字經(jīng)濟的生產(chǎn)和消費失衡，仿效歐盟嚴格的數(shù)據(jù)保護法可以更有效地約束美國、中國等互聯(lián)網(wǎng)強國的數(shù)據(jù)控制者或處理者。

值得注意的是，GDPR的數(shù)據(jù)跨境流動規(guī)則也會被其他國家所仿效。日本2015年《個人信息保護法》中就確立了類似的充分性認定機制。在制度逐步趨同的背景下，2018年7月，日本和歐盟在達成《經(jīng)濟伙伴關系協(xié)定》之后的會議聯(lián)合聲明中宣布，雙方約定互相將對方的數(shù)據(jù)保護系統(tǒng)視為同等有效，建立一個數(shù)據(jù)安全流通區(qū)。這意味著，歐日致力于達成首個“對等充分性”協(xié)議，并旋即展開實質(zhì)性的推進。2018年9月，歐委會正式啟動對日本的充分性認定程序。2019年1月23日，歐委會通過對日本的充分性認定，日本也同時做出對等的認定，由此，個人數(shù)據(jù)可以在兩大經(jīng)濟體間自由傳輸，形成世界最大的數(shù)據(jù)安全流通區(qū)。以日本的情形推之，一旦越來越多的國家仿效歐盟數(shù)據(jù)保護規(guī)則，包括其跨境數(shù)據(jù)流動規(guī)則，在這些國家間將形成以歐盟數(shù)據(jù)保護標準為共識的數(shù)據(jù)自由流通區(qū)，不符合其數(shù)據(jù)保護要求的國家則被排除在外，將面臨數(shù)據(jù)流動的障礙，GDPR產(chǎn)生的壁壘效果將逐步擴散，進而深刻影響全球數(shù)據(jù)治理格局。

三、美國化解歐盟數(shù)據(jù)立法壁壘的主要途徑

美國和歐盟的個人數(shù)據(jù)保護制度差異較大。美國沒有統(tǒng)一的個人數(shù)據(jù)保護法，而是根據(jù)需要在不同部門分別立法；美國沒有將個人數(shù)據(jù)權確立為憲法意義上的基本人權，認為除非有不能避免的風險且市場本身無法糾正，否則不應進行聯(lián)邦立法；美國也沒有獨立的數(shù)據(jù)保護機構，主要通過行業(yè)自律和民事救濟的途徑解決糾紛。[4]P53相對寬松的個人數(shù)據(jù)保護模式符合美國互聯(lián)網(wǎng)企業(yè)的利益，有益于維持其全球領先的行業(yè)優(yōu)勢和促進數(shù)字經(jīng)濟的發(fā)展。美國不可能改變其國內(nèi)法律體系以滿足歐盟標準，歐盟也不認可美國達到了充分性保護。然而，美國和歐盟之間存在大量的跨境貿(mào)易往來和投資活動，尤其是美國的互聯(lián)網(wǎng)企業(yè)在歐盟存在重大的商業(yè)利益，化解歐盟數(shù)據(jù)保護產(chǎn)生的市場壁壘具有迫切的現(xiàn)實需求。美、歐之間數(shù)據(jù)保護制度的分歧由來已久，美國政府多年來積極尋求該問題的解決方案并取得一定效果。

(一)通過雙邊協(xié)議與歐盟達成妥協(xié)

自歐盟1995年《指令》實施以來，由于美國未達到歐盟認可的個人信息“充分保護”水平，美國企業(yè)在歐盟開展業(yè)務面臨嚴重限制。為解決大西洋兩岸數(shù)據(jù)流動的法律障礙，美國和歐盟于2000年簽訂《安全港協(xié)議》。該協(xié)議并不要求改革國家法律制度，而是為美國公司遵守歐盟規(guī)則提供了一攬子解決方案。《安全港協(xié)議》框架下的個人數(shù)據(jù)保護要求與歐盟《指令》的數(shù)據(jù)保護原則和標準相一致,美國企業(yè)可以自愿申請加入《安全港協(xié)議》?！叭敫邸逼髽I(yè)必須遵守協(xié)議要求，并且每年向商務部提交公開隱私政策的書面報告，從而可以接受和處理來自歐盟的個人數(shù)據(jù)?！栋踩蹍f(xié)議》生效后，有超過4400家美國企業(yè)和組織加入,包括谷歌、臉書、微軟等。雙邊安排使得美國企業(yè)可以合法地在兩地間傳輸數(shù)據(jù)，促進了美國企業(yè)在歐盟的發(fā)展和擴張。2013年隨著“棱鏡計劃”曝光，《安全港協(xié)議》存在的問題和漏洞凸顯出來?；凇栋踩蹍f(xié)議》中的國家安全和公共利益豁免，美國國家安全局一直通過進入微軟、谷歌、蘋果等網(wǎng)絡巨頭的服務器監(jiān)控公民的個人信息，包括對歐洲領導人的監(jiān)控。在此背景下，長期致力于隱私保護的奧地利公民Max Schrems向愛爾蘭高等法院提出申訴，指Facebook未能給歐洲公民的個人數(shù)據(jù)提供充分保護，要求禁止其將個人數(shù)據(jù)傳輸至美國。2015年10月，歐洲法院裁定《安全港協(xié)議》無效，理由是該協(xié)議已經(jīng)無法滿足歐盟的數(shù)據(jù)保護標準，不能阻止企業(yè)將個人數(shù)據(jù)文件泄露給未經(jīng)授權方。

鑒于美歐間密切的商業(yè)利益聯(lián)系，數(shù)據(jù)流動受阻已是彼此不可承受之重，美歐間緊急磋商，2016年2月即達成新的框架協(xié)議——《隱私盾協(xié)議》?！峨[私盾協(xié)議》由美國商務部和歐委會共同設計，同樣采取企業(yè)自愿加入的方式。針對《安全港協(xié)議》運行中暴露的缺陷，以及因應歐盟數(shù)據(jù)保護制度的最新發(fā)展，《隱私盾協(xié)議》做了如下主要改進：其一，在調(diào)整范圍方面，除商業(yè)目的下的數(shù)據(jù)跨境流動，還納入了美歐間以國家安全為目的的個人數(shù)據(jù)傳輸。美國政府應向歐盟提交書面承諾，確保美國執(zhí)法部門只在明確的權利范圍和監(jiān)管機制下才能審查來自歐盟的個人數(shù)據(jù)。其二，美國公司將承擔更多的數(shù)據(jù)保護義務，數(shù)據(jù)保護標準更加細致嚴格，美國公司在違反隱私盾下承諾的情形下，將有相應的制裁機制追究責任。其三，在監(jiān)督執(zhí)行方面，《隱私盾協(xié)議》確立了聯(lián)合審查機制，美國商務部和歐盟委員會聯(lián)合監(jiān)督，確保協(xié)議的有效執(zhí)行。如果美國企業(yè)和政府未能履行其承諾，歐委會將暫停協(xié)議的運作。其四，在數(shù)據(jù)主體的救濟途徑方面，歐盟公民可以直接對加入?yún)f(xié)議的美國公司提起申訴，美國公司必須及時回應該訴求。歐盟公民還可以向歐盟的數(shù)據(jù)監(jiān)管機構提起申訴，由該機構將申訴移交給美國商務部或聯(lián)邦貿(mào)易委員會，促使爭議快速解決。歐盟公民還有權直接在美國法院提起訴訟。《隱私盾協(xié)議》使美國和歐盟企業(yè)的業(yè)務活動重新獲得制度保障，目前已有超過2500家企業(yè)加入。

從《安全港協(xié)議》到《隱私盾協(xié)議》,個人數(shù)據(jù)保護的歐盟標準步步緊逼，美國則不斷妥協(xié)。在此過程中，歐盟不僅迫使美國企業(yè)提高數(shù)據(jù)保護標準，還一定程度上推動了美國制度環(huán)境的變化。例如，《安全港協(xié)議》失效后，美國加州通過了《電子通訊隱私法案》，禁止政府機構強制要求商業(yè)機構提供任何電子通訊信息，除非持有特殊情形下頒發(fā)的搜查令、竊聽許可、傳票等。為配合《隱私盾協(xié)議》的實施，2016年奧巴馬簽署了《司法救濟法案》，針對美國政府不當披露個人信息的行為，歐洲公民有權依據(jù)《1974年隱私法案》在美國法院提起訴訟。2018年加州出臺《消費者隱私法案》(CCPA)，對企業(yè)提出了更多通知、披露義務，并針對數(shù)據(jù)泄露規(guī)定了法定損害賠償金，是美國州層面最嚴格的隱私立法，也被視為最具有GDPR色彩的美國隱私立法。當然，美國并沒有根本改變其國內(nèi)的隱私立法導向和立法模式。即使是CCPA，其制度內(nèi)核仍體現(xiàn)出與歐盟制度的烙印差異，更加注重消費者保護的實際效果，以及與促進企業(yè)發(fā)展、技術創(chuàng)新之間的平衡。

(二)通過區(qū)域協(xié)議與歐盟爭奪話語權

美國作為全球數(shù)字經(jīng)濟的領頭羊，由歐盟引領全球數(shù)據(jù)保護立法不符合美國利益，美國借助其在亞太地區(qū)的政治經(jīng)濟影響力，試圖以區(qū)域協(xié)議的方式構建符合自身利益的規(guī)制體系，從而獲得一定程度的話語權，在國際層面與歐盟制度相互抗衡、影響和融合。

在美國的倡導和推動下，亞太經(jīng)合組織于2005年通過《APEC隱私框架》，《框架》與歐盟的規(guī)制體系存在顯著差異?！犊蚣堋沸蜓灾须m然也確認了個人信息的隱私價值，但其并未將隱私權看作基本人權，其關注的重心是通過隱私保護增強消費者信心，通過統(tǒng)一規(guī)則促進數(shù)據(jù)跨境流動，從而實現(xiàn)促進亞太地區(qū)電子商務發(fā)展的目標。《框架》要求成員經(jīng)濟體采取“一切合理及適當步驟避免和消除任何不必要的信息流動障礙”。《框架》確立的一套信息隱私原則主要源于OECD1980年《隱私保護和個人數(shù)據(jù)跨境流通指南》的保護原則,明顯低于歐盟95年《指令》的保護標準。為推動《框架》的執(zhí)行，APEC于2011年出臺“跨境隱私規(guī)則”(CBPR)，為涉及數(shù)據(jù)跨境傳輸?shù)钠髽I(yè)提供了一個自愿認證系統(tǒng)。CBPR機制下，認證的核心是評估企業(yè)是否遵循《框架》規(guī)定的個人信息保護原則，通過認證的不同國家的不同公司，可以不受阻礙地相互傳輸數(shù)據(jù)。加入CBPR的成員方需要在國內(nèi)指定問責代理機構并經(jīng)APEC認可。企業(yè)首先對其跨境數(shù)據(jù)流動的內(nèi)部政策進行自我評估，然后提交給問責代理機構進行審查評估，通過評估被認證為CBPR遵守方，相關信息公布在認證目錄網(wǎng)站，問責代理機構或本地的數(shù)據(jù)隱私機構負責執(zhí)行和處理違規(guī)行為。CBPR機制的運行邏輯類似于歐盟的“有約束力的公司規(guī)則”(BCR)機制，即遵循一套統(tǒng)一隱私規(guī)則的企業(yè)之間可以跨國傳輸數(shù)據(jù)。為促進歐盟和亞太地區(qū)的個人數(shù)據(jù)流動，2012年APEC和歐盟成立聯(lián)合工作組，致力于CBPR和BCR兩個體系間的互通和融合。2014年工作組制定了“BCR和CBPR體系共同參考”，作為一個非正式的檢查清單，列舉了兩個體系在認證方面的共同要求和差異性。2015年聯(lián)合工作組表達了從執(zhí)行層面融合兩個體系的意向，擬合作制定企業(yè)同時加入兩個體系的聯(lián)合申請表。但是，由于兩個體系的顯著差異，CBPR以《框架》原則為基礎，BCR以《指令》和GDPR為基礎，CBPR的隱私保護標準明顯低于BCR，兩者的融合進展緩慢，至今未有實質(zhì)性的突破。

《APEC隱私框架》和CBPR是美國通過區(qū)域協(xié)議推行美式數(shù)據(jù)規(guī)制標準的最重要成果，但是，從運行實踐觀察，《框架》對APEC成員方?jīng)]有法律約束力，僅為推薦性標準，對該地區(qū)國家的數(shù)據(jù)隱私法并無實質(zhì)性影響。加入CBPR的有美國、日本、墨西哥、加拿大、韓國、新加坡、澳大利亞和中國臺北。其中一些國家尚未指定問責代理機構或問責代理機構仍在申請之中，因而這些國家還無法實際運行CBPR體系。真正開始運作CBPR的目前只有美國和日本。取得CBPR認證的企業(yè)目前僅24家，其中美國23家，日本1家。迄今為止美國通過APEC獲得的實際影響力非常有限。事實上，日本、墨西哥、韓國、加拿大、新加坡、澳大利亞等APEC成員方的國內(nèi)數(shù)據(jù)保護水平都在向歐盟95年《指令》，乃至GDPR靠攏，明顯超出APEC的保護水平。執(zhí)行CBPR則意味著這些國家和地區(qū)要實行“內(nèi)緊外松”的數(shù)據(jù)保護制度，即在國內(nèi)執(zhí)行較高水平的數(shù)據(jù)保護，而數(shù)據(jù)出境時第三國的數(shù)據(jù)接收方只要達到APEC的較低保護水平，就允許出境。這既不利于本國利益，也限制了國家主權，CBPR遇冷也就不足為奇。然而，美國仍在借助其政治經(jīng)濟影響力，積極游說和推動更多APEC成員方加入并執(zhí)行CBPR體系。

除此之外，美國還在其主導的自由貿(mào)易協(xié)定中推行促進數(shù)據(jù)自由流動的規(guī)則。2012年達成的美韓FTA，電子商務章中要求“各締約方應盡量避免對電子信息跨境流動施加或維持不必要的壁壘”。從措辭看，該規(guī)定呈現(xiàn)原則性的特點，還不具有強制性約束力。金融服務章中的相關規(guī)定相對較為明確，“締約方應準許對方的金融機構，出于正常業(yè)務活動的需要，以電子或其他形式傳送信息、進行跨境數(shù)據(jù)處理?！边@是美國在FTA中首次引入數(shù)據(jù)跨境流動規(guī)則，雖然只是框架性的初步規(guī)定，但它代表了美國今后FTA談判中的導向。2015年達成的TPP，第14章電子商務第8條規(guī)定了各締約方保護個人信息的義務，但是在注釋6中指出，締約方履行個人信息保護義務的方式包括諸如，“統(tǒng)一的隱私法、個人信息法或個人數(shù)據(jù)保護法，涵蓋隱私保護的特定部門法，監(jiān)督企業(yè)自愿進行隱私保護的法律?！痹撟⑨屢耘e例列舉的方式非常寬泛地涵蓋了各種數(shù)據(jù)隱私保護模式，設置了很低的義務履行要求。電子商務章第11條又規(guī)定，各締約方應允許個人信息跨境自由流動，除非出于正當?shù)墓舱吣繕?。即使公共政策目標包括個人信息保護，根據(jù)注釋6，只要一締約方采取了任何一種隱私保護模式，就應當被認為達到了個人信息保護要求，其他締約方就不應當限制個人信息向其傳輸。

不論是APEC框架下的CBPR體系，還是自由貿(mào)易協(xié)定中的數(shù)據(jù)流動規(guī)則，美國都在以較低水平的數(shù)據(jù)保護為基礎構建有利于數(shù)據(jù)自由流動的跨境規(guī)則，旨在促進數(shù)據(jù)向美國流動。這和歐盟通過個人信息出境的“充分”保護要求促使全球數(shù)據(jù)保護水平向歐盟靠攏是背道而馳的。正因如此，歐盟在和美國開展的TTIP談判中一再聲稱：個人信息保護是基本人權，決不能在貿(mào)易談判中談沒了?？梢姎W盟是堅決杜絕TPP中上述類似條款的。雖然迄今為止，美國在區(qū)域協(xié)議中取得的實際成果極為有限，但是美歐間的博弈將是長期而激烈的。美國能否以APEC下的CBPR和自由貿(mào)易協(xié)定撬動歐盟的主導格局，拉低全球數(shù)據(jù)保護水平，還有待觀察。

四、中國當前應對GDPR的可行性措施

(一)現(xiàn)階段借鑒美國經(jīng)驗不具有可行性

2018年9月，我國的《個人信息保護法》列入立法規(guī)劃，目前尚處于討論階段。當前，我國個人信息保護的法律依據(jù)是散見于公法和私法不同部門法中的相關規(guī)定，包括但不限于《民法總則》《侵權責任法》《網(wǎng)絡安全法》《電子商務法》《消費者權益保護法》等法律，《征信業(yè)管理條例》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》《網(wǎng)絡預約出租車經(jīng)營服務管理暫行辦法》等行政法規(guī)和部門規(guī)章。這些規(guī)定大都較為簡單、操作性不強，且規(guī)定分散、不成體系，規(guī)定之間缺乏聯(lián)系和相互支撐，甚至存在矛盾和混亂。由于立法不完善、私力救濟不足、行政監(jiān)管缺位，我國當前的個人信息保護框架失衡，既不能為自然人提供充分的個人信息權利保障、也無力滿足市場對個人信息利用的合理需求，更因國際視野缺乏，無法在國際規(guī)則制定和跨境執(zhí)法中發(fā)揮應有的作用。[5]以我國目前的個人信息保護狀況，我國不可能獲得歐盟的充分性認定。然而，中國企業(yè)在中歐商貿(mào)往來中，不論是銀行、金融、保險、醫(yī)療健康、航空等傳統(tǒng)企業(yè)，還是跨境電商、社交網(wǎng)絡、智能出行、智能家居等新興領域，都會面臨GDPR的合規(guī)挑戰(zhàn)。上述美國政府應對歐盟數(shù)據(jù)立法的舉措，中國目前是否可以借鑒？

美歐政府間締結的《隱私盾協(xié)議》，是化解數(shù)字貿(mào)易壁壘、解決數(shù)據(jù)跨境流動最行之有效的途徑。美歐間能夠達成雙邊協(xié)議，有賴于四方面因素：一是美歐之間的經(jīng)濟依存度較高，美國是歐盟最大的出口國市場，且美國的互聯(lián)網(wǎng)公司在歐盟提供廣泛的服務?！栋踩蹍f(xié)議》失效后，歐洲委員會曾表明，美歐數(shù)據(jù)流動受阻可能會造成歐盟整體國民生產(chǎn)總值下降0.8%-1.3%。二是美歐之間長期以來的政治互信，《隱私盾協(xié)議》的內(nèi)容廣泛，還涉及反恐、洗錢、國家安全等敏感事項。三是美國強大的外部執(zhí)法威懾機制能夠有效約束信息控制者的行為。美國憲法、聯(lián)邦法律、州法對于個人信息都有相應的保護規(guī)定，只是聯(lián)邦層面缺乏一部統(tǒng)一的適用于市場主體的個人信息保護法。美國聯(lián)邦貿(mào)易委員會、各州總檢察長、民事(集團)訴訟、國會監(jiān)督與媒體監(jiān)督及社會監(jiān)督等機制毫不亞于歐盟國家個人信息管理局的執(zhí)法力度。[6]P17四是美國為達成協(xié)議做出了更多的妥協(xié)。中國如果想仿效美國，與歐盟達成類似的雙邊協(xié)議，目前較為有利的因素是中歐之間密切的經(jīng)貿(mào)往來，中國是歐盟的第二大貿(mào)易伙伴，歐盟是中國的第一大貿(mào)易伙伴。但是，中國的互聯(lián)網(wǎng)企業(yè)國際化程度不高，歐盟市場對其沒有依賴。最為不利的因素是我國目前較低水平的個人信息保護，基礎性立法和標準較為匱乏、執(zhí)法監(jiān)督機制分散無力、救濟手段不足，與《隱私盾協(xié)議》的要求差距較大。在我國國內(nèi)法制作出改善之前，我國與歐盟達成類似雙邊協(xié)議尚不具備可行性，更遑論在區(qū)域和國際層面提出個人數(shù)據(jù)保護和數(shù)據(jù)流動的標準、參與國際規(guī)則制定。因而，政府的當務之急是從國內(nèi)法層面加強個人信息保護立法和執(zhí)法體系的建設。

(二)構建符合國際立法趨勢和我國現(xiàn)實需求的個人信息保護法

中國的數(shù)字經(jīng)濟規(guī)模僅次于美國，位列全球第二。全球市值最高的20家互聯(lián)網(wǎng)公司中，中國占據(jù)9席，僅次于美國的11席，但是，中國公司以本土化運營為主，其國際化程度遠不及美國公司。目前，我國企業(yè)有實力且有需求深度參與國際競爭，拓展海外市場，在全球數(shù)字經(jīng)濟的發(fā)展中謀求更廣闊的空間。歐盟引領的個人數(shù)據(jù)保護立法不斷提升全球數(shù)據(jù)保護水平和市場門檻，倒逼中國企業(yè)提高個人信息數(shù)據(jù)保護標準。另一方面，國內(nèi)近年來屢屢發(fā)生個人信息泄露和濫用事件，也需要建立有效機制約束個人信息控制者或處理者的行為，這既是保護我國個人權益的必要，也是增強消費者對互聯(lián)網(wǎng)線上服務的信心，深入發(fā)展數(shù)字經(jīng)濟的內(nèi)在要求。不可否認，我國較為寬松的個人信息保護政策，在過去十幾年間對我國互聯(lián)網(wǎng)企業(yè)和數(shù)字經(jīng)濟的迅猛發(fā)展發(fā)揮了助力作用，但是在目前的國內(nèi)外形勢下，我國應當適度提高個人信息保護水平。我國正處于個人信息保護法立法的關鍵時期，我國需要根據(jù)國際立法趨勢和國內(nèi)情況，合理構建個人信息保護法，力求在數(shù)字經(jīng)濟發(fā)展、個人信息保護和國家安全間取得最佳平衡。

1.我國的個人信息保護法不宜盲目追隨歐盟的GDPR，但應達到全球第一代個人信息保護法的標準,同時吸收第二代和第三代個人信息保護法中的適宜因素。根據(jù)澳大利亞Graham Greenleaf教授的研究，全球個人信息保護法的演進歷經(jīng)三代：第一代以1980年OECD《指南》和1981年歐委會《108號公約》為代表，確立了個人信息保護法的基本內(nèi)容。目前，全球已經(jīng)有126個國家的立法達到了第一代保護標準，其中75個歐洲以外的國家。第二代以歐盟1995年《指令》為代表，在第一代的基礎上加入了更高保護標準的一些要求，如“數(shù)據(jù)最少夠用”、“數(shù)據(jù)刪除”、“獨立的個人數(shù)據(jù)保護機構”等等。75個非歐洲國家立法的平均水平已經(jīng)至少滿足這些要求的一半以上。第三代以歐盟GDPR為代表，在第二代的基礎上進一步擴展了數(shù)據(jù)主體權利，如“被遺忘權”、“可攜權”，還增加了“企業(yè)設立數(shù)據(jù)保護官”、 “設計隱私”、“數(shù)據(jù)發(fā)生安全事故后及時通知”等要求。作為第一代個人信息保護法的標志性立法文件近來也作出了與時俱進的修訂。2013年OECD修訂1980年《指南》時，保持其核心原則，但根據(jù)形勢的變化增加了部分原則的具體實施要求，如在落實責任原則時，增加了安全事故發(fā)生時的通知要求。2018年《108號公約》現(xiàn)代化的修訂版完成，重申并強化原有基本原則的同時，加入了GDPR的部分要素。

在歐盟立法的引領下，全球個人信息保護的實質(zhì)原則表現(xiàn)出相當?shù)内呁浴５谝淮鷤€人信息保護法的基本原則歷經(jīng)30多年的實踐檢驗，現(xiàn)在為國際社會成員普遍接受，體現(xiàn)了其合理性和穩(wěn)定性。因而，我國的個人信息保護法首先應全面達到第一代個人信息保護法的標準，確立如下基本原則：信息收集限制原則、質(zhì)量原則、目的特定化原則、使用限制原則、安全保護原則、公開原則、個人參與原則、責任原則。第二代和第三代個人信息保護法中的新增要素需要逐一考察，對那些回應了網(wǎng)絡發(fā)展新情況，實踐證明可行，又被許多國家普遍接受的要素，應予以采納，例如敏感信息特別保護、安全事故發(fā)生后的報告和通知要求等。GDPR實施剛滿一年，其諸多新規(guī)則的現(xiàn)實效果和可操作性、其對數(shù)字經(jīng)濟的深層影響、其對技術發(fā)展的適應性等，都還有待觀察。即使在歐盟數(shù)據(jù)保護法的發(fā)源地德國，對GDPR仍存在很多批評。甚至有觀點認為，GDPR存在結構性缺陷以及實施層面的巨大挑戰(zhàn)，需要實質(zhì)性地改變和完善。況且，深化發(fā)展數(shù)字經(jīng)濟是我國目前擴展經(jīng)濟發(fā)展新空間的重要戰(zhàn)略，GDPR嚴苛的數(shù)據(jù)保護義務對數(shù)據(jù)控制者或處理者施加了很重的負擔，會抑制數(shù)字經(jīng)濟發(fā)展的活力，我國不宜全面借鑒GDPR。

2.個人數(shù)據(jù)出境規(guī)則的設計應兼顧安全和發(fā)展，根據(jù)數(shù)據(jù)的不同性質(zhì)采取不同的監(jiān)管路徑。我國立法對個人數(shù)據(jù)出境采取嚴格的本地化存儲和出境安全評估機制進行管控。2017年6月開始實施的《網(wǎng)絡安全法》第37條規(guī)定，“關鍵信息基礎設施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內(nèi)存儲。因業(yè)務需要，確需向境外提供的，應當按照國家網(wǎng)信部門會同國務院有關部門制定辦法進行安全評估。法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定?！?017年4月國家網(wǎng)信辦發(fā)布的《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》同樣遵循境內(nèi)存儲和出境安全評估原則，但其適用的義務主體范圍更廣，不限于“關鍵基礎設施的運營者”，而是包含所有“網(wǎng)絡運營者”在我國境內(nèi)“收集和產(chǎn)生的個人信息和重要數(shù)據(jù)”。安全評估根據(jù)出境數(shù)據(jù)的數(shù)量、類型和重要程度等分為網(wǎng)絡運營者自評估和政府部門評估兩種機制。這一立法取向，將幾乎所有個人信息數(shù)據(jù)廣泛納入境內(nèi)存儲和出境安全評估范圍，體現(xiàn)出強化數(shù)據(jù)主權和政府管控的意圖。

《評估辦法》設置了非常全面的評估內(nèi)容，但缺乏明確的評估合格標準。評估內(nèi)容涵蓋個人信息和重要數(shù)據(jù)的基本情況、數(shù)據(jù)主體是否同意、數(shù)據(jù)接收方的保護水平、數(shù)據(jù)出境后的各種風險等方面。其中關于信息數(shù)據(jù)的基本情況和數(shù)據(jù)主體的同意較為容易判定，但是，數(shù)據(jù)接收方的保護水平和數(shù)據(jù)出境后的風險審查沒有客觀標準，增加了評估的難度和不確定性。歐盟的數(shù)據(jù)跨境流動規(guī)則主要是對數(shù)據(jù)接收國的相關法律和執(zhí)法機制，以及數(shù)據(jù)接收方的保護水平進行評估，以歐盟的數(shù)據(jù)保護水平為參照標準，屬于資格審查，一旦通過認定就可以在相對穩(wěn)定且可預見的環(huán)境下跨境傳輸數(shù)據(jù)。我國《評估辦法》沒有規(guī)定數(shù)據(jù)接收國或接收方必須提供與我國個人信息保護法相同的水平，這使得對接收方保護能力的認定沒有實質(zhì)標準。此外，評估內(nèi)容中關于數(shù)據(jù)出境后可能面臨的各方面風險的審查，對開展評估的網(wǎng)絡運營者和政府監(jiān)管機構的信息收集和評估能力都提出了較高要求，而且，由于沒有統(tǒng)一標準，不同評估者對相同情況下的風險評估結果可能不一致。面面俱到又缺乏明確標準的評估要求，不能為市場主體營造穩(wěn)定可預期的數(shù)據(jù)流動法律環(huán)境，并增加其合規(guī)成本。當然，這使得政府對個人數(shù)據(jù)出境審查有更大的裁量權和話語權。

從《評估辦法》看，我國目前偏重于通過政府的嚴格監(jiān)管，高度維護數(shù)據(jù)主權和數(shù)據(jù)出境的安全。但是，從數(shù)字經(jīng)濟發(fā)展的角度看，會造成市場主體不必要的負擔，嚴重阻礙數(shù)據(jù)跨境傳輸，而且容易招致其他國家的對等措施，影響數(shù)字貿(mào)易的健康發(fā)展。《評估辦法》尚在征求意見階段，我國個人數(shù)據(jù)出境規(guī)則的構建應當力求在安全和發(fā)展的需求間取得平衡。首先，應當區(qū)分數(shù)據(jù)的不同性質(zhì)，有針對性地對其跨境流動采用不同的管理路徑。對一般個人數(shù)據(jù)出境進行監(jiān)管的政策目標是保護公民隱私和公民的個人信息自決權利。對重要數(shù)據(jù)和敏感數(shù)據(jù)出境進行管控的政策目標是保護國家安全和公共利益。不同政策目標下，數(shù)據(jù)出境的制度設計和管控措施都應當不一樣。第二，重要數(shù)據(jù)和敏感數(shù)據(jù)，因其涉及國家安全和公共利益等更重大的利益，應當由政府直接進行嚴格監(jiān)管，要求本地化存儲，并且由政府介入具體情境下的出境評估。第三，對一般個人數(shù)據(jù)，可以參照歐盟的數(shù)據(jù)流動監(jiān)管模式，重點評估數(shù)據(jù)接收國的個人數(shù)據(jù)保護法律環(huán)境和數(shù)據(jù)接收企業(yè)的個人信息保護機制是否完善，GDPR中的充分性認定制度、標準合同機制等都可資借鑒。同時，對境外數(shù)據(jù)接收方個人數(shù)據(jù)保護水平的評估標準也應明確以我國國內(nèi)法的保護水平為準，前提是我國統(tǒng)一的《個人信息保護法》盡快出臺。這種監(jiān)管模式下，政府依據(jù)明確的標準對境外接收方事先進行資格審查，可以為市場提供穩(wěn)定預期，降低評估成本，同時也達到了保護個人信息權利的目的。以此為基礎，我國還可以同其他國家達成相互認證個人數(shù)據(jù)保護水平的協(xié)議，促進數(shù)據(jù)的雙向流動和數(shù)字經(jīng)濟的發(fā)展。

3. 設置權威的個人信息保護執(zhí)法機構，改變執(zhí)法分散低效的現(xiàn)狀。我國統(tǒng)一的《個人信息保護法》尚未出臺，涉及個人信息保護方面的法律呈碎片化狀態(tài)，監(jiān)管執(zhí)法也較為分散。根據(jù)我國現(xiàn)行制度，嚴重侵犯個人信息的犯罪行為依靠公安和司法部門進行刑事打擊，其余一般侵犯個人信息的情形主要由行業(yè)主管部門進行監(jiān)督執(zhí)法，包括網(wǎng)信辦、工信部、市場監(jiān)管局，以及金融、醫(yī)療等專門領域的主管部門。多頭分散的管理體制造成各主管部門職責不明確，一方面在職責交叉的領域容易造成重復執(zhí)法、競爭性執(zhí)法，或者互相推諉，另一方面還可能存在監(jiān)管的真空地帶。2019年1月，中央網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局四部門聯(lián)合發(fā)布關于開展APP違法違規(guī)收集使用個人信息專項治理的公告。此后，2019年3月，市場監(jiān)管局和中央網(wǎng)信辦發(fā)布關于開展APP安全認證工作的公告，這兩部門將組織開展APP安全認證，指定中國網(wǎng)絡安全審查技術與認證中心為認證機構，并頒布《移動互聯(lián)網(wǎng)應用程序(APP)安全認證實施規(guī)則》。2019年6月28日，工信部辦公廳印發(fā)《電信和互聯(lián)網(wǎng)行業(yè)提升網(wǎng)絡數(shù)據(jù)安全保護能力專項行動方案》的通知，在“深化APP違法違規(guī)專項治理”部分，提出“組織第三方評測機構開展APP安全滾動式評測，對在網(wǎng)絡安全和用戶信息保護方面存在違法違規(guī)行為的APP及時進行下架和公開曝光”，以及“引導第三方機構開展APP數(shù)據(jù)安全管理認證”。據(jù)此文件，工信部也準備組織測評和評估，但是，通知中沒有明確第三方評測和認證機構是何機構，也沒有說明此認證與網(wǎng)信辦和市場監(jiān)管局3月發(fā)布的認證規(guī)則、指定的認證機構是否存在聯(lián)系。工信部的通知后續(xù)如何操作也不明確，如果部門間能夠協(xié)調(diào)一致、分工合作當然最好，如果都要爭奪APP安全評估工作的主導權，則會造成資源浪費、增加企業(yè)負擔。標準不統(tǒng)一，最終損害執(zhí)法機關的權威性，這也正是分散執(zhí)法的弊端。

歐盟GDPR中關于個人數(shù)據(jù)跨境流動的“充分性認定”機制，在評估數(shù)據(jù)接收國個人信息保護的法律環(huán)境時，其中一項重要因素就是要求設立獨立且有效運行的個人信息保護監(jiān)管機構，監(jiān)管機構有充分的執(zhí)法權，并與歐盟成員國的監(jiān)管機構進行合作。受歐盟立法影響，很多國家都設置了專門的個人信息保護機構。例如，日本在2015年修改《個人信息保護法》之后，2016年1月設立了個人信息保護委員會，由內(nèi)閣總理大臣直屬管轄，獨立行使職權，負責監(jiān)督執(zhí)法、處理投訴、制定規(guī)范性文件、進行國際合作等事項。APEC“跨境隱私規(guī)則”體系也要求加入方在國內(nèi)指定“問責代理機構”，由問責代理機構或數(shù)據(jù)隱私機構負責執(zhí)行和處理違規(guī)行為。由此可見，世界主要國家和國際組織的個人數(shù)據(jù)跨境流動制度在評估接受國個人信息保護水平時，個人信息保護機構的執(zhí)法能力已成為一項必要考察因素。

大數(shù)據(jù)時代，數(shù)據(jù)大規(guī)模、頻繁傳輸已成常態(tài)，對個人信息保護執(zhí)法提出了更高要求。我國目前多頭混治的管理體制，不能提供高效、及時的個人信息保護。我國應當設置權威機構進行統(tǒng)一監(jiān)管，可以考慮由國家網(wǎng)信部門承擔這一職責，同時，在金融、醫(yī)療等特殊專業(yè)領域，其主管部門在網(wǎng)信部門的指導和監(jiān)督下履行其職責范圍內(nèi)的個人信息保護職責。設置統(tǒng)一、職責明確的個人信息保護執(zhí)法機構，提高執(zhí)法水平，不僅有利于保障我國公民的合法權益，還可以提高我國在個人信息保護方面的國際形象，為我國參加個人數(shù)據(jù)跨境流動的雙邊和區(qū)域機制提供制度支持。

綜上所述，以貿(mào)易壁壘的角度考察GDPR，并非否定其人權保護的的立場和積極作用，而是從其對數(shù)字貿(mào)易的實際效果出發(fā)，探討其制度設計的影響和可能的因應。歐盟憑借其統(tǒng)一大市場和高超的立法水平，在個人數(shù)據(jù)保護領域保持著持續(xù)輸出制度的影響力。越來越多歐盟以外國家和地區(qū)的個人數(shù)據(jù)保護法向95年《指令》標準乃至GDPR標準靠攏。非洲等新興市場國家也開始積極仿效歐盟的數(shù)據(jù)立法。因個人數(shù)據(jù)保護產(chǎn)生的市場壁壘，也會在其他地區(qū)日益凸顯。美國作為全球互聯(lián)網(wǎng)產(chǎn)業(yè)和數(shù)字經(jīng)濟的領頭羊，其個人數(shù)據(jù)保護立法的理念和路徑與歐盟大相徑庭。美國試圖通過區(qū)域協(xié)議，提出符合美國利益的較低標準的個人數(shù)據(jù)保護和跨境流動規(guī)則，以此抗衡歐盟的制度引領，然而迄今為止影響有限。但是，美歐間能夠通過有效的雙邊協(xié)議達成妥協(xié)，在很大程度上化解歐盟數(shù)據(jù)立法產(chǎn)生的壁壘。相比之下，中國則相當被動，目前無法從雙邊或區(qū)域?qū)用嫣岢鲇行Ы鉀Q方案，這對中國企業(yè)深度參與全球數(shù)字經(jīng)濟競爭非常不利。中國亟待完善相關國內(nèi)法，出臺符合我國現(xiàn)實需求的個人信息保護法，適當提高個人信息保護標準，設計兼顧安全與發(fā)展的個人信息數(shù)據(jù)出境規(guī)則，設置權威的個人信息保護執(zhí)法機構。以此為基礎，我國才可能對外談判雙邊條約，在區(qū)域和多邊談判中提出中國立場，參與數(shù)字經(jīng)濟時代個人數(shù)據(jù)保護國際規(guī)則的構建。

注釋：

① Tony Romn. France fines Google nearly $57 million for first major violation of new European privacy regime[N]. The Washington Post. 21 Jan 2019.

② 《歐盟基本權利憲章》第8條“個人數(shù)據(jù)保護”規(guī)定：人人均有權享有個人數(shù)據(jù)的保護。個人有權了解并更正被收集的個人數(shù)據(jù)。個人數(shù)據(jù)處理只能基于特定目的，且經(jīng)數(shù)據(jù)主體同意或依法律的其他規(guī)定公正進行。

③ 《108號公約》全稱《個人數(shù)據(jù)自動化處理中的個人保護公約》，1981年由歐洲委員會頒布，是歐洲數(shù)據(jù)立法的奠基性法案，確立了數(shù)據(jù)保護的基本原則和框架，但公約為非自動執(zhí)行條約，需成員國國內(nèi)立法實施。

④ 《數(shù)據(jù)保護指令》全稱《歐洲議會和歐盟理事會1995年10月24日與個人數(shù)據(jù)處理有關的個人保護以及此類數(shù)據(jù)的自由流動指令》。該指令對個人數(shù)據(jù)處理合法性的一般原則、司法救濟、向第三國轉(zhuǎn)移個人數(shù)據(jù)、監(jiān)管機構和執(zhí)行措施等進行了規(guī)定。歐盟要求成員國都制定各自的數(shù)據(jù)保護法，且必須達到指令要求的保護程度。

⑤ 2015年歐盟委員會啟動《數(shù)字化單一市場戰(zhàn)略》，旨在通過采取一系列措施消除法律和監(jiān)管障礙，增進成員國間的合作與交流，將28個成員國市場打造成為一個統(tǒng)一的數(shù)字市場，共同推動歐盟數(shù)字經(jīng)濟的發(fā)展。

⑥ Wilbur Ross. EU data privacy laws are likely to create barriers to trade[N]. Financial Times. 30 May 2018.

⑦ 歐盟數(shù)據(jù)保護條例生效，小米智能燈Yeelight不滿足GDPR將停止服務[N].搜狐網(wǎng).2018-5-24. http://www.sohu.com/a/232805384_127714.

⑧ Tobias Buck. Mobike faces probe by Berlin data protection regulator[N].Financial Times.10 Dec 2018.

⑨ See Mary Meeker’s 2018 Internet Trend Report[R]. 30 May 2018.

⑩ See UNCTAD. World Investment Report 2017-Inverment and the Digital Economy[R]. http://unctad.org/en/PublicationsLibrary/wir2017_en.pdf.