賈 開(kāi)

（清華大學(xué)公共管理學(xué)院，北京 100084）

跨境數(shù)據(jù)流動(dòng)的全球治理：權(quán)力沖突與政策合作
——以歐美數(shù)據(jù)跨境流動(dòng)監(jiān)管制度的演進(jìn)為例

賈 開(kāi)

（清華大學(xué)公共管理學(xué)院，北京 100084）

數(shù)字經(jīng)濟(jì)的全球擴(kuò)張已經(jīng)使得跨境數(shù)據(jù)流動(dòng)成為常態(tài)，但不同國(guó)家間規(guī)制傳統(tǒng)與制度環(huán)境的差異使得跨境數(shù)據(jù)流動(dòng)的全球治理成為難題。不過(guò)即便如此，在各國(guó)不對(duì)其國(guó)內(nèi)規(guī)制制度做出重大調(diào)整的前提下，政策共識(shí)與國(guó)際合作依然可能存在?！栋踩蹍f(xié)議》代表了歐美在承認(rèn)制度差異前提下的政策共識(shí)，“9·11事件”后，美國(guó)國(guó)內(nèi)政策的轉(zhuǎn)折為當(dāng)前沖突的爆發(fā)埋下了伏筆，《隱私盾協(xié)議》為新的國(guó)際合作打開(kāi)了窗口。歐盟與美國(guó)跨境數(shù)據(jù)流動(dòng)監(jiān)管制度的演進(jìn)歷史，淋漓盡致地體現(xiàn)了跨境數(shù)據(jù)流動(dòng)全球治理沖突與合作的反復(fù)與交替。

跨境數(shù)據(jù)流動(dòng)；規(guī)制沖突；國(guó)際合作

賈開(kāi) （1985-），男，四川人，清華大學(xué)公共管理學(xué)院博士研究生，研究領(lǐng)域包括互聯(lián)網(wǎng)治理、數(shù)據(jù)治理和平臺(tái)經(jīng)濟(jì)規(guī)制。

自1980年代經(jīng)合組織（OECD）首次提出“跨境數(shù)據(jù)流動(dòng)”（Trans-border Data Flow）的概念之后，數(shù)字經(jīng)濟(jì)的快速擴(kuò)張已經(jīng)使這一現(xiàn)象逐漸成為常態(tài)。無(wú)論是軟件開(kāi)發(fā)、服務(wù)外包等數(shù)據(jù)處理業(yè)務(wù)在全球分工體系下的日益成熟，還是以互聯(lián)網(wǎng)跨國(guó)公司形態(tài)存在的社交平臺(tái)、搜索引擎、電子商務(wù)的日益普及，都同時(shí)推動(dòng)著跨境數(shù)據(jù)流動(dòng)在體量和頻率兩個(gè)方面的指數(shù)化增長(zhǎng)。但與傳統(tǒng)貨物貿(mào)易不同，被視為大數(shù)據(jù)時(shí)代“核心資源”的“數(shù)據(jù)”，卻與個(gè)人隱私、公共安全等社會(huì)價(jià)值密不可分。也正因?yàn)槿绱?，?dāng)站在全球數(shù)據(jù)貿(mào)易的角度呼喚數(shù)據(jù)的自由流動(dòng)時(shí)，規(guī)制者還不得不同時(shí)考慮對(duì)于其他社會(huì)價(jià)值的保護(hù)，并因而對(duì)跨境數(shù)據(jù)流動(dòng)做出限制，由此便引發(fā)了跨境數(shù)據(jù)流動(dòng)的全球治理議題：協(xié)調(diào)不同國(guó)家的制度差異以平衡數(shù)據(jù)跨境流動(dòng)的收益與成本，并最終在全球范圍內(nèi)促成“公地喜劇”。①關(guān)于“公地喜劇”的理論可參見(jiàn)Carol Rose（1986）。此處的公地喜劇是指更為自由的跨境數(shù)據(jù)流動(dòng)有利于形成全球數(shù)據(jù)“公地”，并提高數(shù)據(jù)的利用效率。

遺憾的是，不同于貨物貿(mào)易或金融市場(chǎng)，跨境數(shù)據(jù)流動(dòng)沒(méi)有建立起類似于世界貿(mào)易組織或世界銀行這樣傳統(tǒng)的全球治理機(jī)制，國(guó)家間的規(guī)制沖突持續(xù)不斷；但另一方面，跨境數(shù)據(jù)流動(dòng)并沒(méi)有因此而中斷，全球范圍內(nèi)的數(shù)字經(jīng)濟(jì)依然在以超常規(guī)的速度不斷向前發(fā)展。如何對(duì)這一現(xiàn)象做出解釋，便成為了學(xué)者亟需回答的問(wèn)題。具體而言：為何在缺乏國(guó)際制度共識(shí)并因而未能建立多邊治理機(jī)制的情況下，大體量、高頻次的數(shù)據(jù)依然能夠跨境流動(dòng)？

與此同時(shí)，伴隨著“斯諾登事件”而持續(xù)發(fā)酵的大規(guī)模數(shù)據(jù)審查丑聞，在全球范圍再次引發(fā)了對(duì)于美國(guó)霸權(quán)的擔(dān)憂，各國(guó)也由此產(chǎn)生了對(duì)于跨境數(shù)據(jù)流動(dòng)施加更強(qiáng)限制的制度訴求。包括俄羅斯、澳大利亞、巴西等國(guó)在內(nèi)，“數(shù)據(jù)本地化”①Chander,Anupam,and U.P.Le."Breaking the Web:Data Localization vs.the Global Internet." SSRN Electronic Journal (2014).日漸成為普遍的制度改革方向；而這樣的制度改革又不可避免地加劇了全球數(shù)據(jù)貿(mào)易的“巴爾干化”，有悖于“互聯(lián)互通、共享共治”的全球互聯(lián)網(wǎng)治理精神。由此引發(fā)的問(wèn)題是，建立在國(guó)家主權(quán)訴求基礎(chǔ)上的數(shù)據(jù)規(guī)制政策，是否是對(duì)抗美國(guó)霸權(quán)主義的唯一途徑？事實(shí)上，盡管歐洲各國(guó)深受“棱鏡計(jì)劃”之害，但歐盟與美國(guó)并未走向割裂，跨境數(shù)據(jù)流動(dòng)依然在雙方新締結(jié)的《隱私盾協(xié)議》（Privacy Shield）下恢復(fù)正常。這一事實(shí)至少說(shuō)明，沖突在所難免，但跨境數(shù)據(jù)流動(dòng)依然能夠找到政策共識(shí)并帶來(lái)國(guó)際合作，其并不絕對(duì)導(dǎo)致單邊主義的數(shù)據(jù)割裂。

本文將以歐盟與美國(guó)在監(jiān)管制度方面的沖突與合作為例，闡述跨境數(shù)據(jù)流動(dòng)全球治理機(jī)制的演變過(guò)程，并進(jìn)一步解釋跨境數(shù)據(jù)流動(dòng)國(guó)際合作的可能性，試圖為未來(lái)的制度改進(jìn)提供事實(shí)基礎(chǔ)和政策建議。本文將分為四個(gè)部分。第一部分解釋跨境數(shù)據(jù)流動(dòng)國(guó)際沖突的根源及其在歐盟與美國(guó)的體現(xiàn)；第二部分以《安全港協(xié)議》（Safe Harbor）為例，闡述歐盟與美國(guó)在制度沖突的背景下尋找政策共識(shí)和國(guó)際合作的空間與過(guò)程；第三部分將從歷史演進(jìn)的角度，回顧“9·11事件”及“斯諾登事件”對(duì)于歐美跨境數(shù)據(jù)流動(dòng)國(guó)際合作的沖擊及深遠(yuǎn)影響。第四部分將落腳于歐美新達(dá)成的“隱私盾協(xié)議”，再次解釋國(guó)際合作的可能性。

一、沖突的起源：規(guī)制傳統(tǒng)與制度差異

跨境數(shù)據(jù)流動(dòng)的核心問(wèn)題是個(gè)人數(shù)據(jù)隱私保護(hù)與跨境數(shù)據(jù)自由流動(dòng)的平衡。雖然各國(guó)政府都承認(rèn)保護(hù)個(gè)人數(shù)據(jù)隱私的必要性，但就跨境數(shù)據(jù)流動(dòng)的全球治理機(jī)制而言，沖突的根源則來(lái)自于各國(guó)規(guī)制傳統(tǒng)與制度體系的差異。

1970年代，美國(guó)和瑞士在兩國(guó)達(dá)成的《公平信息實(shí)務(wù)準(zhǔn)則》（Fair Information Practice Principles）中對(duì)警告、許可、精確性、安全性等概念進(jìn)行了定義，由此形成了最早的針對(duì)數(shù)據(jù)隱私權(quán)的監(jiān)管立法。自此之后，大多數(shù)國(guó)家立法和國(guó)際條約都是以此為基礎(chǔ)。1980年代，OECD又進(jìn)一步將其編纂成典，形成了《隱私權(quán)和個(gè)人數(shù)據(jù)跨境流動(dòng)保護(hù)的指導(dǎo)原則》（Guidelines on the protection of privacy and Trans-border fl ows of personal data）。正是在這些準(zhǔn)則或原則的基礎(chǔ)上，大多數(shù)國(guó)家就加強(qiáng)國(guó)內(nèi)隱私權(quán)監(jiān)管達(dá)成了理念共識(shí)。但即便如此，各國(guó)法律的監(jiān)管范圍以及監(jiān)管方式卻呈現(xiàn)出非常明顯的不同，由此便導(dǎo)致了跨境數(shù)據(jù)流動(dòng)的規(guī)制沖突，而美國(guó)與歐盟則是最為典型的國(guó)家與地區(qū)。②Bennett,Colin 1992.Regulating privacy:data protection and public policy in Europe and the United States.Ithaca:Cornell University Press.長(zhǎng)久以來(lái)，美國(guó)與歐盟在公民的數(shù)據(jù)隱私保護(hù)方面采取了迥異的發(fā)展路徑。二者的區(qū)別體現(xiàn)在以下幾個(gè)方面：

就立法原則而言，美國(guó)的數(shù)據(jù)隱私保護(hù)沿襲了其對(duì)于合同原則的堅(jiān)持，“法無(wú)禁止即可為”，只要沒(méi)有明確的法律限制，公司可以自由地使用用戶個(gè)人數(shù)據(jù)。相比之下，歐洲則體現(xiàn)了其對(duì)于合同實(shí)質(zhì)內(nèi)容的關(guān)注，其注意到了公司與用戶在數(shù)據(jù)使用和數(shù)據(jù)保護(hù)方面不對(duì)等的權(quán)力結(jié)構(gòu)與風(fēng)險(xiǎn)敞口，因而在法律中明確規(guī)定了對(duì)于公司隱私政策的限制。

就監(jiān)管范圍而言，美國(guó)立法者僅僅強(qiáng)調(diào)對(duì)公共部門進(jìn)行監(jiān)管而對(duì)私人部門實(shí)行“自定規(guī)則”（Self-Regulation）。雖然銀行、電信等敏感行業(yè)受到特別法律規(guī)則的限制，但對(duì)于更多的私人部門而言，并沒(méi)有單獨(dú)的立法規(guī)制。相比之下，歐盟對(duì)公民數(shù)據(jù)隱私的保護(hù)范圍更為廣泛，同時(shí)適用于公共和私人部門。①Newman,Abraham 2008.Building Transnational Civil Liberties:Trans-governmental Entrepreneurs and the European Data Privacy Directive.International Organization.62(1):103-30.

就法律文本和執(zhí)法權(quán)力而言，美國(guó)針對(duì)數(shù)據(jù)隱私保護(hù)的法規(guī)監(jiān)督和執(zhí)行權(quán)力被分散在不同的政府機(jī)構(gòu)手中。以1974年《隱私權(quán)監(jiān)管法案》（Privacy Act）為代表的美國(guó)監(jiān)管制度旨在規(guī)制公共部門，其執(zhí)行權(quán)力被分散到包括聯(lián)邦預(yù)算管理辦公室、聯(lián)邦貿(mào)易委員會(huì)和聯(lián)邦儲(chǔ)備委員會(huì)在內(nèi)的一系列機(jī)構(gòu)之中。即便如此，聯(lián)邦預(yù)算管理辦公室的監(jiān)督和執(zhí)行權(quán)力也都處于消極狀態(tài)（即不訴不理），而且僅僅只有一部分州對(duì)數(shù)據(jù)隱私權(quán)保護(hù)進(jìn)行了立法規(guī)制。②Schwartz,Paul,and J.R.Reidenberg."Data Privacy Law:A Study of United States Data Protection." Government Information Quarterly 14.2(1997).相比之下，歐盟的數(shù)據(jù)監(jiān)管政策由“數(shù)據(jù)隱私權(quán)監(jiān)管委員會(huì)”這樣一個(gè)獨(dú)立結(jié)構(gòu)來(lái)監(jiān)督并執(zhí)行，其承擔(dān)著對(duì)數(shù)據(jù)使用過(guò)程中的投訴及爭(zhēng)執(zhí)進(jìn)行監(jiān)督和調(diào)解的職能（Flaherty,1989）。這些獨(dú)立機(jī)構(gòu)受到財(cái)政預(yù)算保證、負(fù)責(zé)人長(zhǎng)期任職，并且獨(dú)立于其他行政部門。與此同時(shí)，歐盟于1995年通過(guò)了一項(xiàng)旨在歐洲范圍內(nèi)規(guī)范個(gè)人信息數(shù)據(jù)采集和傳輸行為的法律指令。③《個(gè)人數(shù)據(jù)采集和傳輸行為保護(hù)指令》（The Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data 95/46/EC,1995 O.J.(L 281) 31）該指令不僅統(tǒng)一了各國(guó)有關(guān)數(shù)據(jù)隱私保護(hù)的分散法律，更為關(guān)鍵的是，其第25款包含了治外法權(quán)條款，明確禁止向尚未建立“充分”（Adequate）的數(shù)據(jù)隱私權(quán)保護(hù)法律的國(guó)家傳輸數(shù)據(jù)——而這便是導(dǎo)致歐盟與美國(guó)跨境數(shù)據(jù)流動(dòng)沖突的焦點(diǎn)所在。

歐盟的“充分保護(hù)”標(biāo)準(zhǔn)的核心要求包括兩點(diǎn)：一方面，具備獨(dú)立的監(jiān)管機(jī)構(gòu)且同時(shí)覆蓋公共和私人部門的監(jiān)管原則——顯而易見(jiàn)的是，美國(guó)的法律體系不符合這一標(biāo)準(zhǔn)。另一方面，美國(guó)國(guó)內(nèi)的立法者也不可能全盤推倒當(dāng)前法律體系并依照“充分保護(hù)”原則對(duì)其進(jìn)行改革重塑，因?yàn)檫@既涉及國(guó)家主權(quán)、法治理念等重大政治問(wèn)題，又涉及法律執(zhí)行的績(jī)效問(wèn)題。在美國(guó)人看來(lái)，歐盟數(shù)據(jù)隱私保護(hù)的法律體系雖然完備、統(tǒng)一，但卻“空有其表”，其在法律實(shí)施過(guò)程中總是受困于執(zhí)行力度的孱弱。例如在2014年，谷歌因收集街景數(shù)據(jù)時(shí)未能充分告知被收集者的個(gè)人數(shù)據(jù)使用情況而被認(rèn)定違法，法國(guó)數(shù)據(jù)隱私保護(hù)機(jī)構(gòu)CNIL裁定對(duì)其的懲罰額度是15萬(wàn)歐元，而這甚至是CNIL開(kāi)出的史上最高罰單。相比于谷歌每年高達(dá)上百億的凈利潤(rùn)而言，如此之低的懲罰幾乎不能對(duì)其帶來(lái)絲毫影響。④https://www.rt.com/news/france-google- fi ne-privacy-339/也惟其如此，在不可能推動(dòng)美國(guó)國(guó)內(nèi)法律體系變革的前提下，圍繞數(shù)據(jù)隱私保護(hù)的規(guī)制制度沖突在所難免；而歐美之間如果缺乏某種形式的國(guó)際合作，數(shù)據(jù)跨境流動(dòng)幾乎是天方夜譚——也正是在這一背景下，《安全港協(xié)議》被創(chuàng)新性地提了出來(lái)。

二、尋找政策共識(shí)：《安全港協(xié)議》與國(guó)際合作

傳統(tǒng)觀點(diǎn)認(rèn)為全球化一定會(huì)導(dǎo)致不同國(guó)家監(jiān)管制度的融合統(tǒng)一，現(xiàn)實(shí)主義的觀點(diǎn)更進(jìn)一步認(rèn)為跨國(guó)治理體系是由霸權(quán)國(guó)家提供，并在其主導(dǎo)下改變其他國(guó)家內(nèi)部法律制度的進(jìn)程（Tonnelsosn,2000）。但在跨境數(shù)據(jù)流動(dòng)的例子中，既沒(méi)有看到美國(guó)改變其國(guó)內(nèi)法律體系以滿足歐盟標(biāo)準(zhǔn)，也沒(méi)有看到歐盟接受美國(guó)現(xiàn)狀并認(rèn)可其符合“充分保護(hù)”原則。

事實(shí)上，歐盟數(shù)據(jù)隱私保護(hù)指令的第29款和第31款分別設(shè)立了兩個(gè)咨詢委員會(huì)，⑤29款規(guī)定的咨詢委員會(huì)是由各成員國(guó)數(shù)據(jù)隱私權(quán)保護(hù)執(zhí)行機(jī)構(gòu)代表組成的工作組（Working Party），31款規(guī)定的咨詢委員會(huì)是由各成員國(guó)代表組成的信息委員會(huì)（comitology committee）。以對(duì)其他國(guó)家的國(guó)內(nèi)數(shù)據(jù)隱私權(quán)保護(hù)法律進(jìn)行評(píng)估并向歐盟委員會(huì)提交評(píng)估報(bào)告，后者據(jù)此做出是否滿足“充分保護(hù)”原則的決定。一旦歐盟委員會(huì)判定該國(guó)法律體系不符合“充分保護(hù)”原則，歐盟將中止其與該國(guó)的跨境數(shù)據(jù)流動(dòng)。正是在這樣的制度威脅下，包括加拿大、澳大利亞、日本、阿根廷在內(nèi)的40多個(gè)國(guó)家都改革了國(guó)內(nèi)的法律體系，建立了綜合性的監(jiān)管體制。①Newman,Abraham."Innovating European Data Privacy Regulation:Unintended Pathways to Experimentalist Governance." (2010).

但對(duì)于美國(guó)來(lái)說(shuō)，改變其國(guó)內(nèi)法律體系以適應(yīng)歐盟要求，不僅存在上一節(jié)所提到的政治問(wèn)題，同時(shí)也存在改革成本問(wèn)題。以金融服務(wù)行業(yè)為例，美國(guó)國(guó)內(nèi)大量存在且極易獲取的公民信用報(bào)告是其提供專業(yè)服務(wù)的基礎(chǔ)，而這種情況卻鮮見(jiàn)于歐洲。也正因?yàn)榇耍瑲W盟與美國(guó)的跨境數(shù)據(jù)流動(dòng)必須找出除了“統(tǒng)一”或“承認(rèn)”之外的第三條路徑，而這便導(dǎo)致了《安全港協(xié)議》的誕生。

《安全港協(xié)議》于2000年7月簽署并于當(dāng)年11月正式生效，它并不強(qiáng)迫美國(guó)改變其國(guó)內(nèi)法律監(jiān)管環(huán)境，但同時(shí)歐盟也很明確地拒絕承認(rèn)美國(guó)監(jiān)管措施等效于歐盟標(biāo)準(zhǔn)；②Farrell,Henry."Constructing the International Foundations of E-Commerce The EU-U.S.Safe Harbor Arrangement." International Organization 57.2(2003):277-306.相反的是，《安全港協(xié)議》直接要求參與跨境數(shù)據(jù)交換的公司遵守歐盟規(guī)則而不要求對(duì)整個(gè)國(guó)家的法律體系進(jìn)行改革。③Long,William J.,and M.P.Quek."Personal data privacy protection in an age of globalization:The US-EU safe harbor compromise." Journal of European Public Policy 9.3(2002):325-344.為保證協(xié)議的落實(shí)，美國(guó)企業(yè)要么選擇接受歐盟獨(dú)立機(jī)構(gòu)的監(jiān)管，要么由美國(guó)聯(lián)邦貿(mào)易委員作為最后一道“防火墻”對(duì)企業(yè)進(jìn)行監(jiān)督。在實(shí)際操作中，美國(guó)商務(wù)部將給出承諾遵守《安全港協(xié)議》的公司清單。④清單可參見(jiàn)http://www.export.gov/safeharbor/doc_safeharbor_index.asp.由此，《安全港協(xié)議》構(gòu)建了歐盟與美國(guó)在跨境數(shù)據(jù)流動(dòng)領(lǐng)域的國(guó)際合作機(jī)制，在不強(qiáng)制要求企業(yè)對(duì)其國(guó)內(nèi)數(shù)據(jù)處理方式進(jìn)行修正的同時(shí)，也仍然能夠保證歐洲公民的信息數(shù)據(jù)在國(guó)外受到與其在歐盟國(guó)內(nèi)相當(dāng)?shù)谋Ｗo(hù)。在其簽署之后的15年里，《安全港協(xié)議》也成為了包括Google、Facebook、Microsoft在內(nèi)的超過(guò)4500家企業(yè)賴以運(yùn)營(yíng)的生命線。

需要指出的是，雖然《安全港協(xié)議》并不強(qiáng)制要求美國(guó)的監(jiān)管法律做出改變，但在其長(zhǎng)期運(yùn)營(yíng)中，該協(xié)議也對(duì)美國(guó)的制度環(huán)境造成了潛移默化的影響。首先，《安全港協(xié)議》促使跨國(guó)公司開(kāi)始嚴(yán)肅對(duì)待跨境數(shù)據(jù)流動(dòng)的問(wèn)題。例如，“泛大西洋商業(yè)對(duì)話”和“國(guó)際商會(huì)”都已經(jīng)設(shè)立專門的工作組來(lái)應(yīng)對(duì)這一領(lǐng)域的監(jiān)管沖突。⑤COWLES,MG."The Global Business Dialogue on e-commerce (GBDe):Private fi rms,public policy,global governance." TA-Datenbank-Nachrichten 10.4 (2001):70-79.再者，《安全港協(xié)議》推動(dòng)了美國(guó)國(guó)內(nèi)隱私保護(hù)監(jiān)管機(jī)構(gòu)的變革。舉例而言，雖然美國(guó)聯(lián)邦貿(mào)易委員會(huì)（FTC）的職責(zé)并不包括公民的數(shù)據(jù)隱私保護(hù)，但在《安全港協(xié)議》的影響下，F(xiàn)TC目前已經(jīng)成為美國(guó)國(guó)內(nèi)負(fù)責(zé)網(wǎng)絡(luò)隱私監(jiān)管的核心部門。FTC的執(zhí)法依據(jù)是其在涉及企業(yè)是否進(jìn)行“公平交易”（Fair Business Practice）的方面的裁決權(quán)。只要企業(yè)公開(kāi)其隱私保護(hù)條款或在線聲明，F(xiàn)TC就可以據(jù)此執(zhí)法權(quán)對(duì)企業(yè)進(jìn)行監(jiān)管并督促其遵守公開(kāi)承諾，從而間接起到保護(hù)公民數(shù)據(jù)隱私的作用。最后，《安全港協(xié)議》影響了美國(guó)國(guó)內(nèi)的立法變化。自2000年以來(lái)，許多美國(guó)聯(lián)邦和州的隱私與安全保護(hù)法律被修改或制定，這包括《聯(lián)邦貿(mào)易委員會(huì)法案》第5條、《有線通信政策法案》、《電子通信隱私發(fā)》、《金融隱私權(quán)法案》等等。

從這一角度看，盡管歐盟與美國(guó)存在著針?shù)h相對(duì)的監(jiān)管制度沖突，但《安全港協(xié)議》卻仍然實(shí)現(xiàn)了在承認(rèn)差別的前提下開(kāi)展國(guó)際合作的可能性，跨境數(shù)據(jù)流動(dòng)也因此在歐盟與美國(guó)之間暢通無(wú)阻。值得注意的是，傳統(tǒng)思維所理解的美國(guó)霸權(quán)主義并沒(méi)有出現(xiàn)在歐美跨境數(shù)據(jù)流動(dòng)之中；恰恰相反，在全球數(shù)字經(jīng)濟(jì)中處于弱勢(shì)的歐盟，卻利用《安全港協(xié)議》撬動(dòng)了美國(guó)國(guó)內(nèi)法律體系的變革。由此我們也可以看出，即使在短期內(nèi)難以達(dá)成共識(shí)的制度分歧，在具體的機(jī)制創(chuàng)新推動(dòng)下仍然可能走向國(guó)際合作。但同樣不可忽視的是，這樣的政策共識(shí)與國(guó)際合作并非一勞永逸，規(guī)制傳統(tǒng)的差異與制度沖突的本質(zhì)并未改變，外界環(huán)境的變遷隨時(shí)可能導(dǎo)致合作的失敗。也正因?yàn)榇耍堋八怪Z登事件”的影響，《安全港協(xié)議》在運(yùn)營(yíng)長(zhǎng)達(dá)15年之后壽終正寢。

三、“9·11事件”與斯諾登：美國(guó)的變化與新沖突的爆發(fā)

2013年“斯諾登事件”曝光后，奧地利人Max Schrems向愛(ài)爾蘭數(shù)據(jù)監(jiān)管機(jī)構(gòu)提起訴訟，指控Facebook向美國(guó)政府提供數(shù)據(jù)。2014年該案被移至歐盟最高法院，并最終于一年后做出判決：《安全港協(xié)議》因未能充分保證歐洲公民的數(shù)據(jù)隱私而被裁定無(wú)效并予以撤銷。歐盟最高法院在判決書(shū)中明確指出，“美國(guó)的國(guó)家安全、公共利益和執(zhí)法需求都優(yōu)先于‘安全港’協(xié)議，從而使得企業(yè)在面對(duì)上述情況時(shí)，勢(shì)必漠視‘安全港’協(xié)議中的隱私保護(hù)條款?！踩邸瘏f(xié)議并不能約束政府機(jī)構(gòu)的數(shù)據(jù)審查行為，不能起到充分保護(hù)歐洲公民隱私的作用，因而它是無(wú)效的。”

《安全港協(xié)議》的廢除標(biāo)志著歐美數(shù)據(jù)跨境流動(dòng)的沖突達(dá)到了頂點(diǎn)，但這并非僅僅只是因?yàn)椤八怪Z登事件”的持續(xù)發(fā)酵而造成。事實(shí)上，自1990年代后半期開(kāi)始，美國(guó)執(zhí)法部門便試圖改革國(guó)內(nèi)的法律規(guī)制體系，以擴(kuò)大其數(shù)據(jù)收集和監(jiān)控的能力與權(quán)力?！?·11事件”的爆發(fā)為此打開(kāi)了“機(jī)會(huì)之窗”，并由此為當(dāng)前沖突埋下了伏筆。

“9·11事件”之前，美國(guó)國(guó)會(huì)和司法機(jī)構(gòu)對(duì)行政機(jī)關(guān)的數(shù)據(jù)收集和監(jiān)控行為施加了較強(qiáng)的限制。1976年，由參議員Frank Church領(lǐng)銜的專門委員會(huì)發(fā)布了著名的“邱奇委員會(huì)報(bào)告”（Church Committee Report），揭露了政府以國(guó)家安全之名實(shí)施的大規(guī)模電子監(jiān)控行為。在該報(bào)告的影響下，美國(guó)國(guó)會(huì)于1978年通過(guò)了《外國(guó)情報(bào)審查法案》（Foreign Intelligence Surveillance Act，F(xiàn)ISA），從而將執(zhí)法部門專門針對(duì)外國(guó)情報(bào)機(jī)構(gòu)的數(shù)據(jù)監(jiān)控行為與針對(duì)美國(guó)公民犯罪調(diào)查的數(shù)據(jù)監(jiān)控行為區(qū)分開(kāi)，由此避免了執(zhí)法部門以國(guó)家安全為名對(duì)美國(guó)公民的大規(guī)模數(shù)據(jù)監(jiān)控。①1986年美國(guó)國(guó)會(huì)專門通過(guò)了《電子通訊隱私法案》（Electronic Communication Privacy Act,ECPA），對(duì)執(zhí)法部門針對(duì)美國(guó)公民的數(shù)據(jù)監(jiān)控行為進(jìn)行了規(guī)范。

1990年代后半期，伴隨著科技創(chuàng)新的不斷進(jìn)步，執(zhí)法部門已經(jīng)在技術(shù)上具備了收集和分析大規(guī)模數(shù)據(jù)的能力，②盡管這一時(shí)期圍繞人工智能的研究沒(méi)有實(shí)現(xiàn)預(yù)期結(jié)果，但計(jì)算統(tǒng)計(jì)學(xué)卻出現(xiàn)了突破性進(jìn)展，由此為大規(guī)模行為數(shù)據(jù)的分析提供了技術(shù)支撐（Mattew,2016）。請(qǐng)參見(jiàn)Matthew Jones,Great Exploitations:Data Mining,Legal Modernization,and the NSA.2016.但它卻依然面臨著法律上的束縛。根據(jù)FISA的規(guī)制要求，執(zhí)法部門的數(shù)據(jù)監(jiān)控行為必須獲得法律授權(quán)。1999年，美國(guó)國(guó)家安全局（National Security Agency,NSA）試圖繞過(guò)FISA的規(guī)制要求，希望在只針對(duì)標(biāo)記數(shù)據(jù)（metadata）③標(biāo)記數(shù)據(jù)（Metadata）是指通信過(guò)程中不涉及內(nèi)容的地址數(shù)據(jù)，例如通信人、電子郵件地址等。的監(jiān)控行為中不用獲得法律授權(quán)，但美國(guó)司法部（Department of Justice,DOJ）在情報(bào)政策評(píng)論中卻拒絕了NSA的要求，認(rèn)為標(biāo)記數(shù)據(jù)監(jiān)控依然是“搜查”（Search）行為并構(gòu)成了對(duì)于公民隱私權(quán)的傷害。事實(shí)上，在九十年代后半期，執(zhí)法部門一直在推動(dòng)FISA改革，試圖對(duì)數(shù)據(jù)審查法律進(jìn)行“現(xiàn)代化改造”（Modernization of surveillance law），但這一改革直到“9·11事件”發(fā)生后才出現(xiàn)了實(shí)質(zhì)性進(jìn)展。

“9·11事件”后美國(guó)政府組成了“9·11”調(diào)查委員會(huì)，對(duì)情報(bào)工作進(jìn)行全面的反省式調(diào)查。委員會(huì)的最終報(bào)告指出，導(dǎo)致“9·11”發(fā)生的重要原因之一是情報(bào)系統(tǒng)存在漏洞。盡管FBI已經(jīng)得到了犯罪分子（美國(guó)公民）可能會(huì)發(fā)動(dòng)襲擊的情報(bào)，但因無(wú)法確認(rèn)嫌疑人與國(guó)外恐怖組織有關(guān)，從而不能依照FISA獲得對(duì)嫌疑人進(jìn)行數(shù)據(jù)監(jiān)控的法律授權(quán)，由此貽誤了補(bǔ)救時(shí)機(jī)。④Senate Report No.108-040.基于委員會(huì)的調(diào)查結(jié)果，美國(guó)對(duì)數(shù)據(jù)規(guī)制的國(guó)內(nèi)法律體系做出了重大調(diào)整，這主要體現(xiàn)在以下兩個(gè)方面：

首先，對(duì)FISA做出了重大改革。改革前的FISA規(guī)定，只有當(dāng)針對(duì)外國(guó)情報(bào)機(jī)構(gòu)是執(zhí)法部門數(shù)據(jù)收集與監(jiān)控行為的“主要目的”（Primary Purpose）時(shí)，F(xiàn)ISC才會(huì)給予法律授權(quán)；改革后，這一約束條件被改為了“重要目的”（Signi fi cant Purpose）。換而言之，只要當(dāng)執(zhí)法部門證明該調(diào)查與外國(guó)情報(bào)機(jī)構(gòu)相關(guān)，即使其不是主要目的，執(zhí)法部門也可以獲得法律授權(quán)從而開(kāi)展數(shù)據(jù)收集與監(jiān)控。這一變化最直接的證明來(lái)自于外國(guó)情報(bào)審查法庭（Foreign Intelligence Surveillance Court,FISC）所發(fā)出的法律授權(quán)數(shù)量變化。FISC是FISA設(shè)立的專門法庭，負(fù)責(zé)對(duì)執(zhí)法部門的數(shù)據(jù)監(jiān)控請(qǐng)求做出審查。從1979年到1999年，F(xiàn)ISC發(fā)出的法律授權(quán)數(shù)量從199增長(zhǎng)到了886；而這一數(shù)字在2002年增長(zhǎng)到了1228，并進(jìn)一步在2003年、2004年分別增加到1727和1758。①DANIEL J.SOLOVE & PAUL M.SCHWARTZ,PRIVACY,LAW ENFORCEMENT,AND NATIONAL SECURITY (2014).p.166.

再者，《愛(ài)國(guó)者法案》（USA Patriot Act）出臺(tái)?！?·11事件”發(fā)生后，美國(guó)國(guó)會(huì)即迅速通過(guò)了《愛(ài)國(guó)者法案》，該法案對(duì)隨后的世界形勢(shì)產(chǎn)生了深遠(yuǎn)影響并引起了諸多爭(zhēng)議。就數(shù)據(jù)規(guī)制而言，最為關(guān)鍵的是第215節(jié)。第215節(jié)規(guī)定執(zhí)法部門可以在獲得授權(quán)的情況下對(duì)美國(guó)境內(nèi)任何組織或個(gè)人實(shí)施數(shù)據(jù)收集與監(jiān)控，同時(shí)第215節(jié)還進(jìn)一步規(guī)定數(shù)據(jù)被索取方不能向其他任何人公開(kāi)執(zhí)法部門所索取的數(shù)據(jù)內(nèi)容（也即閉嘴原則，Gag Order）。第215節(jié)隨后成為NSA對(duì)通信標(biāo)記數(shù)據(jù)（bulk telephone metadata）進(jìn)行大規(guī)模監(jiān)控的法律依據(jù)，而接受數(shù)據(jù)索取要求的通信公司或互聯(lián)網(wǎng)公司也因此不能向媒體公開(kāi)執(zhí)法部門是否向其且提出了何種數(shù)據(jù)索取要求。后者對(duì)公眾監(jiān)督帶來(lái)了極大的阻礙，直到“斯諾登事件”的爆發(fā)才泄漏出美國(guó)安全部門大規(guī)模數(shù)據(jù)監(jiān)控的“冰山一角”。

在《安全港協(xié)議》的掩蓋下，歐盟國(guó)家并沒(méi)有注意到表面上正常運(yùn)行的跨境數(shù)據(jù)流動(dòng)已經(jīng)發(fā)生了本質(zhì)變化。自“9·11事件”之后做出重大調(diào)整的美國(guó)國(guó)內(nèi)規(guī)制體系，已經(jīng)不再能夠?qū)?zhí)法部門和安全部門的數(shù)據(jù)收集與監(jiān)控行為施加有效約束；與此同時(shí)，由于“閉嘴原則”的存在，承諾接受《安全港協(xié)議》的美國(guó)公司即使向美國(guó)政府提交數(shù)據(jù)，其也不能按照《安全港協(xié)議》要求向歐盟規(guī)制部門提交相關(guān)報(bào)告。規(guī)制制度的沖突再次凸顯，《安全港協(xié)議》名存實(shí)亡。但即便如此，數(shù)字經(jīng)濟(jì)全球化程度的加深已經(jīng)使得跨境數(shù)據(jù)流動(dòng)不可中斷，如何在舊體系崩潰的情況下尋找新的國(guó)際合作機(jī)會(huì)，成為接下來(lái)的緊迫工程，而歐美再次達(dá)成的“隱私盾協(xié)議”（Privacy Shield）無(wú)疑在沖突不斷的國(guó)際形勢(shì)下再次給予了人們希望。

四、《隱私盾協(xié)議》：國(guó)際合作的未來(lái)與挑戰(zhàn)

在裁定《安全港協(xié)議》無(wú)效并予以撤銷的同時(shí)，歐盟表示，希望在2016年1月底之前與美國(guó)達(dá)成新的數(shù)據(jù)貿(mào)易協(xié)議；②http://techcrunch.com/2015/11/06/safe-harbor-2-talks-deadline/否則，歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)將單方面宣布他們認(rèn)為合適的數(shù)據(jù)跨境流動(dòng)方式。③http://www.nytimes.com/2016/02/01/technology/us-european-data-transfer-deal.html?_r=0在經(jīng)過(guò)艱苦談判后，歐盟談判組終于在同年2月初宣布與美國(guó)達(dá)成了新的框架協(xié)議（被稱為《隱私盾協(xié)議》，Privacy Shield），從而暫時(shí)解決了跨境數(shù)據(jù)貿(mào)易可能陷入中斷的困境。④http://europa.eu/rapid/press-release_IP-16-216_en.htm?locale=en新協(xié)議的達(dá)成時(shí)間雖然超過(guò)了歐盟設(shè)定的截止日期，但其仍然為歐美跨境數(shù)據(jù)流動(dòng)的當(dāng)前困境帶來(lái)了曙光。

新協(xié)議的主要內(nèi)容包括三個(gè)方面：⑤http://europa.eu/rapid/press-release_IP-16-216_en.htm?locale=en第一，美國(guó)公司將承擔(dān)更多的數(shù)據(jù)隱私保護(hù)責(zé)任，美國(guó)商務(wù)部將監(jiān)督美國(guó)公司所做出的數(shù)據(jù)保護(hù)承諾，而美國(guó)聯(lián)邦貿(mào)易委員會(huì)將負(fù)責(zé)其落實(shí)。第二，美國(guó)政府給出書(shū)面承諾，保證美國(guó)執(zhí)法部門只在明確限制條件和監(jiān)管之下才對(duì)歐洲公民數(shù)據(jù)進(jìn)行審查，從而排除了一般性、不加區(qū)分的大規(guī)模審查。為監(jiān)督美國(guó)執(zhí)法部門的行為，歐盟和美國(guó)商務(wù)部每年都將舉行聯(lián)合評(píng)估。第三，新協(xié)議為歐洲公民提供了多個(gè)渠道的救濟(jì)措施。一方面，美國(guó)公司必須對(duì)歐洲公民的質(zhì)疑作出回應(yīng)，而歐盟監(jiān)管機(jī)構(gòu)可以將歐洲公民的起訴移交給美國(guó)商務(wù)部或聯(lián)邦貿(mào)易委員會(huì)；另一方面，新協(xié)議將設(shè)立特別監(jiān)察員職位，以應(yīng)對(duì)歐洲公民針對(duì)美國(guó)執(zhí)法部門的起訴。

盡管相對(duì)于《安全港協(xié)議》而言，《隱私盾協(xié)議》已經(jīng)有了很大的進(jìn)步，但這并不代表歐美跨境數(shù)據(jù)流動(dòng)問(wèn)題就一勞永逸。

一方面，新協(xié)議還將面臨歐洲最高法院（Europe Court of Justice,ECJ）的審查，而是否能通過(guò)審查仍然存在較大的不確定性。數(shù)據(jù)保護(hù)活動(dòng)家Max Schrems即認(rèn)為“隱私保護(hù)協(xié)議”遠(yuǎn)遠(yuǎn)達(dá)不到ECJ的要求，他主張?jiān)诿绹?guó)沒(méi)有停止大規(guī)模的網(wǎng)絡(luò)審查之前，應(yīng)該中止跨境數(shù)據(jù)流動(dòng)。①http://europe-v-facebook.org/PS_update.pdf類似的，長(zhǎng)期致力于數(shù)據(jù)保護(hù)的歐洲議會(huì)議員Jan Philipp Albrecht也認(rèn)為該協(xié)議不會(huì)在ECJ上得到通過(guò)。②http://www.greens-efa.eu/eu-us-data-protectionsafe-harbour-15127.html由所有歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)代表組成的歐盟數(shù)據(jù)隱私監(jiān)管實(shí)體第29條工作組（Article 29 Working Group）對(duì)《隱私盾協(xié)議》也發(fā)表了最終評(píng)估意見(jiàn)，認(rèn)定其不符合歐洲數(shù)據(jù)隱私保護(hù)原則。③http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/press_release_ shield_en.pdf盡管該評(píng)估結(jié)果僅僅只是作為歐盟委員會(huì)的參考意見(jiàn)，但輿論同樣認(rèn)為這對(duì)于新協(xié)定的最終通過(guò)蒙上了陰影。④http://www.natlawreview.com/article/privacy-shield-rejected-gdpr-accepted-what-means-to-your-organization-and-what-you

另一方面，新協(xié)議并未能從根本上解決歐美在數(shù)據(jù)跨境流動(dòng)上的核心沖突。就歐盟而言，其核心利益是公民的數(shù)據(jù)隱私保護(hù)問(wèn)題；就美國(guó)而言，對(duì)于國(guó)家安全的考慮仍然勝過(guò)對(duì)于公民數(shù)據(jù)隱私的保護(hù)。⑤http://fortune.com/2016/02/01/no-deal-safe-harbor/正因?yàn)榇?，美?guó)國(guó)內(nèi)的大規(guī)模網(wǎng)絡(luò)審查，以及歐洲公民難以通過(guò)美國(guó)國(guó)內(nèi)法院或獨(dú)立機(jī)構(gòu)尋求數(shù)據(jù)權(quán)利保護(hù)（相反，美國(guó)公民可以在歐洲尋求權(quán)利保護(hù)）便成為歐美之間的核心分歧。新協(xié)議中，美國(guó)政府所給出的書(shū)面承諾有助于緩解歐盟的擔(dān)憂情緒，但這并不代表美國(guó)做出了根本轉(zhuǎn)變，例如美國(guó)參議院司法委員會(huì)在同期通過(guò)了《司法救濟(jì)法案》（Judicial Redress Act）。這一法案本來(lái)是試圖允許歐洲公民在數(shù)據(jù)隱私受到侵害時(shí)可以尋求美國(guó)聯(lián)邦機(jī)構(gòu)的保護(hù)，但在法案通過(guò)前的最后時(shí)刻，“不得損害國(guó)家安全”這一前提仍然被加入其中。媒體認(rèn)為，這一變化直接導(dǎo)致了新協(xié)議最終未能在截止日期之前（即1月底）達(dá)成。⑥http://fortune.com/2016/02/01/no-deal-safe-harbor/

在對(duì)《隱私盾協(xié)議》的初稿做出進(jìn)一步修改后，2016年6月底歐盟最終對(duì)歐美跨境數(shù)據(jù)流動(dòng)的新協(xié)議開(kāi)了綠燈。最后的修改主要明確了三個(gè)方面：一是從歐洲傳送至美國(guó)的大規(guī)模數(shù)據(jù)收集必須提前獲得許可，且必須盡量明確目標(biāo)和限定范圍；二是當(dāng)最初的收集目的改變時(shí)，相關(guān)公司應(yīng)刪除數(shù)據(jù)；三是要求對(duì)相關(guān)數(shù)據(jù)問(wèn)題進(jìn)行監(jiān)管的監(jiān)察員必須獨(dú)立于美國(guó)家安全局。⑦劉耀華，石月.歐美“隱私盾”協(xié)議及對(duì)我國(guó)網(wǎng)絡(luò)數(shù)據(jù)保護(hù)的啟示[J].現(xiàn)代電信科技，2016,46（5）:12-16.至此，歐美終于再次對(duì)跨境數(shù)據(jù)流動(dòng)達(dá)成政策共識(shí)，新的國(guó)際合作再次形成。

值得注意的是，當(dāng)前的國(guó)際合作仍然是脆弱且充滿了不確定性。盡管諸多公司都認(rèn)為，《隱私盾協(xié)議》的最終達(dá)成象征了歐美在跨境數(shù)據(jù)流動(dòng)規(guī)制領(lǐng)域“相互信任”的恢復(fù)，但未來(lái)前景遠(yuǎn)不如看上去那么樂(lè)觀。這一方面是由于美國(guó)并沒(méi)有從根本上做出改變，自“9·11事件”后發(fā)生巨大轉(zhuǎn)折的美國(guó)國(guó)內(nèi)規(guī)制制度到目前為止并沒(méi)有做出本質(zhì)性的調(diào)整，因而歐美間的制度分歧仍然持續(xù)存在。另一方面，美國(guó)國(guó)內(nèi)規(guī)制部門越來(lái)越多地表達(dá)了其對(duì)境外數(shù)據(jù)“管轄權(quán)”的興趣，最明顯的例子便是微軟公司狀告美國(guó)司法部一案。司法部為搜查某涉毒人員的電子郵件信息向微軟公司索要相關(guān)數(shù)據(jù)，但該數(shù)據(jù)卻存放在位于愛(ài)爾蘭的數(shù)據(jù)中心。美國(guó)司法部卻認(rèn)為，它有權(quán)向總部位于美國(guó)境內(nèi)的任何企業(yè)索要該企業(yè)用戶的電子郵件內(nèi)容，無(wú)論其數(shù)據(jù)是否存放在美國(guó)境內(nèi)。⑧https://www.theguardian.com/technology/2015/sep/09/microsoft-court-case-hotmail-ireland-search-warrant2016年7月，美國(guó)第二巡回法院裁定微軟公司勝訴，判決司法部無(wú)權(quán)要求微軟提供存儲(chǔ)在美國(guó)境外的數(shù)據(jù)。①https://www.theguardian.com/technology/2016/jul/14/microsoft-emails-court-ruling-us-government這一判決進(jìn)一步緩和了跨境數(shù)據(jù)流動(dòng)的規(guī)制沖突，但美國(guó)司法部門在此案中所表達(dá)出的強(qiáng)硬態(tài)度卻仍然使得人們不得不擔(dān)憂國(guó)際合作的未來(lái)脆弱性問(wèn)題。

結(jié)論

伴隨著數(shù)字經(jīng)濟(jì)全球化程度的加深以及全球互聯(lián)網(wǎng)日益緊密地結(jié)合在一起，跨境數(shù)據(jù)流動(dòng)已經(jīng)成為時(shí)代發(fā)展的必然要求；但另一方面，不同主權(quán)國(guó)家規(guī)制傳統(tǒng)與制度環(huán)境的差異卻使得跨境數(shù)據(jù)流動(dòng)的規(guī)制沖突日益嚴(yán)重，達(dá)成政策共識(shí)的可能性日漸困難。但即便如此，本文的分析指出，在不對(duì)各國(guó)國(guó)內(nèi)制度環(huán)境做出根本調(diào)整的前提下，國(guó)際合作依然是可能的。

本文并不試圖對(duì)未來(lái)的政策改革提出具體的政策建議，但本文對(duì)歐盟與美國(guó)跨境數(shù)據(jù)流動(dòng)國(guó)際合作演變歷史的回顧，卻有利于更清晰地認(rèn)識(shí)全球數(shù)據(jù)治理的當(dāng)前現(xiàn)實(shí)與核心沖突。需要指出的是，盡管憑借其商業(yè)公司的壟斷地位，美國(guó)的確在全球數(shù)據(jù)治理中占據(jù)優(yōu)勢(shì)地位，但這并不代表在跨境數(shù)據(jù)流動(dòng)領(lǐng)域存在美國(guó)霸權(quán)。從本文分析中可以看到，美國(guó)國(guó)內(nèi)制度也在經(jīng)歷著復(fù)雜的動(dòng)態(tài)變化，并因此對(duì)國(guó)際治理體系產(chǎn)生了不同影響。也正因?yàn)槿绱?，片面?qiáng)調(diào)美國(guó)霸權(quán)主義并因此倡導(dǎo)割裂全球數(shù)據(jù)流動(dòng)的政策取向，可能并非是最優(yōu)的政策選擇；認(rèn)識(shí)到跨境數(shù)據(jù)流動(dòng)的全球不可分割性，并因此尋找政策共識(shí)和國(guó)際合作的空間與可能性，才是走向“互聯(lián)互通、共享共治”的正確途徑。

Con fl ict and Cooperation:Evolvement of Trans-Border Data Flows between US and EU

JIA Kai

The global expansion of digital economy has already made trans-border data flow essential and critical,while the differences of regulation and institution environment between sovereign states result in divergence and con fl icts.However,the history of EU-US trans-border data fl ow governance protocol proved the possibility of policy consensus and international cooperation without unifying different domestic institution systems."Safe Harbor" represented the initial policy consensus while "9·11" event indicated the transformation of US domestic regulations which resulted the current con fl icts.“Privacy Shield” opened new room for the fragile international cooperation.

trans-border data fl ow,regulation con fl ict,international cooperation

F49; TP393

A

1001-4225（2017）05-0057-08

（責(zé)任編輯：鐘宇歡）

本文是首都師范大學(xué)文化研究院重大研究項(xiàng)目“互聯(lián)網(wǎng)+城市治理：智慧城市2.0的理論與政策研究”（項(xiàng)目號(hào)：ICS-2016-A-03）的階段性成果。