田曉萍

(深圳大學(xué)法學(xué)院，廣東 深圳 518060)

2018年5月，歐盟《一般數(shù)據(jù)保護(hù)條例》(GDPR)正式實(shí)施，它是20多年來數(shù)據(jù)隱私法領(lǐng)域最重大的變化，是目前全球范圍內(nèi)個(gè)人數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)最高的具有約束力和執(zhí)行力的規(guī)則。2019年1月，法國數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)認(rèn)定谷歌違反GDPR，對(duì)其處以近5700萬歐元的重罰，這是GDPR實(shí)施后第一個(gè)被處罰的美國科技巨頭，①該處罰高調(diào)宣告了GDPR時(shí)代的到來。GDPR對(duì)歐盟乃至全球的個(gè)人數(shù)據(jù)保護(hù)制度和數(shù)字經(jīng)濟(jì)的發(fā)展，都將產(chǎn)生深遠(yuǎn)影響。

《歐盟基本權(quán)利憲章》將個(gè)人數(shù)據(jù)保護(hù)納入基本人權(quán)的范疇，闡明了歐盟數(shù)據(jù)保護(hù)的基本立場。②歐盟數(shù)據(jù)立法一體化的演進(jìn)，從1981年《108號(hào)公約》③，1995年《數(shù)據(jù)保護(hù)指令》④，到2018年GDPR，呈現(xiàn)出法律制度從原則到具體、法律效力從弱到強(qiáng)、監(jiān)管機(jī)制從虛到實(shí)的態(tài)勢，基本權(quán)利語境下的個(gè)人數(shù)據(jù)隱私保護(hù)達(dá)到前所未有的高度。數(shù)據(jù)法律政策的考量涵蓋隱私保護(hù)、數(shù)字經(jīng)濟(jì)、公共利益、國家安全等復(fù)雜的維度。任何國家和地區(qū)都是根據(jù)自身的經(jīng)濟(jì)、政治、社會(huì)、文化傳統(tǒng)等因素，力求取得利益最大化的平衡點(diǎn)。歐盟雖然一直強(qiáng)調(diào)其數(shù)據(jù)保護(hù)的人權(quán)立場，但不容忽視的是，GDPR也是歐洲“數(shù)字一體化市場”戰(zhàn)略的重要抓手。⑤GDPR第1條開宗明義，在明確“保護(hù)自然人的基本權(quán)利和自由，尤其是個(gè)人數(shù)據(jù)保護(hù)的權(quán)利”之后，隨即指出：“不得以保護(hù)個(gè)人數(shù)據(jù)處理中的相關(guān)自然人為由，對(duì)歐盟內(nèi)部個(gè)人數(shù)據(jù)的自由流動(dòng)進(jìn)行限制?！睆臍W盟內(nèi)部來說，GDPR反對(duì)數(shù)據(jù)本地化，通過有直接約束力的統(tǒng)一規(guī)則，強(qiáng)化數(shù)據(jù)的流動(dòng)性，為歐盟數(shù)字一體化市場掃清了法律障礙。但與此同時(shí)，對(duì)歐盟外部而言，嚴(yán)厲的數(shù)據(jù)保護(hù)制度使其他國家和地區(qū)在同歐盟的經(jīng)貿(mào)往來中面臨嚴(yán)峻的合規(guī)挑戰(zhàn)，迫使其增加合規(guī)成本、面臨不確定的執(zhí)法，乃至延宕其進(jìn)入歐盟市場。美國商務(wù)部長羅斯撰文指出，“GDPR的實(shí)施會(huì)嚴(yán)重破壞大西洋兩岸的合作，對(duì)包括美國在內(nèi)的歐盟外所有國家和地區(qū)構(gòu)成不必要的貿(mào)易壁壘?！雹?/p>

近年來，中國數(shù)字經(jīng)濟(jì)發(fā)展迅速，2018年我國數(shù)字經(jīng)濟(jì)總量達(dá)到 31.3萬億元，占GDP 比重為34.8%。[1]P15億人口的歐盟成熟市場對(duì)中國互聯(lián)網(wǎng)企業(yè)具有強(qiáng)烈的吸引力,GDPR的實(shí)施使中國相關(guān)企業(yè)面臨極大的法律風(fēng)險(xiǎn)。小米生態(tài)鏈企業(yè)Yeelight智能燈泡，因無法在GDPR生效前滿足合規(guī)而暫停服務(wù)。⑦2018年12月，因涉嫌違反GDPR，摩拜單車遭到德國數(shù)據(jù)監(jiān)管機(jī)構(gòu)的調(diào)查。⑧2019年1月，在達(dá)沃斯世界經(jīng)濟(jì)論壇上，馬云指出，“歐洲對(duì)技術(shù)總是關(guān)注隱私、監(jiān)管和安全。阿里選擇去非洲，而不是去過度擔(dān)心的歐洲?！北M管歐盟數(shù)字產(chǎn)業(yè)的競爭力不強(qiáng)，但其占據(jù)著數(shù)據(jù)保護(hù)領(lǐng)域的制高點(diǎn)，隨著GDPR的落地執(zhí)行，其制度輸出的影響力和國際話語權(quán)得以強(qiáng)化。對(duì)歐盟以外的國家和地區(qū)，尤其是互聯(lián)網(wǎng)領(lǐng)域最具競爭力的美國和中國而言，GDPR成為數(shù)字經(jīng)濟(jì)時(shí)代的新型貿(mào)易壁壘，具有貿(mào)易保護(hù)主義的實(shí)際效果。GDPR產(chǎn)生貿(mào)易壁壘效果的制度機(jī)理是什么？美國政府主要通過哪些途徑化解該壁壘？美國的經(jīng)驗(yàn)中國是否有借鑒的可行性？中國應(yīng)如何應(yīng)對(duì)？本文試圖從貿(mào)易壁壘的角度考察GDPR，對(duì)上述問題進(jìn)行探討。

一、GDPR：數(shù)字經(jīng)濟(jì)時(shí)代面向非歐盟國家的貿(mào)易壁壘

(一)GDPR作為貿(mào)易壁壘的背景：歐盟數(shù)字經(jīng)濟(jì)生產(chǎn)和消費(fèi)的失衡

隨著信息技術(shù)的不斷創(chuàng)新發(fā)展，及其與經(jīng)濟(jì)社會(huì)的深度融合，數(shù)字經(jīng)濟(jì)已成為實(shí)現(xiàn)價(jià)值增值與效率提升、促進(jìn)世界經(jīng)濟(jì)增長的新動(dòng)能。發(fā)達(dá)國家和發(fā)展中國家都將發(fā)展數(shù)字經(jīng)濟(jì)作為國家層面的優(yōu)先戰(zhàn)略。數(shù)據(jù)是數(shù)字經(jīng)濟(jì)時(shí)代的關(guān)鍵性生產(chǎn)要素，各國的數(shù)據(jù)保護(hù)立法是其數(shù)字經(jīng)濟(jì)戰(zhàn)略部署的重要環(huán)節(jié)。適度的個(gè)人數(shù)據(jù)保護(hù)可以提升數(shù)據(jù)主體對(duì)數(shù)字產(chǎn)業(yè)的信任，有利于數(shù)字經(jīng)濟(jì)的發(fā)展；嚴(yán)苛的個(gè)人數(shù)據(jù)保護(hù)則會(huì)降低商業(yè)效率，抑制數(shù)字經(jīng)濟(jì)的活力。美國是全球信息技術(shù)和數(shù)字經(jīng)濟(jì)的頭號(hào)強(qiáng)國，其個(gè)人數(shù)據(jù)保護(hù)與歐盟相比要寬松許多。

歐盟的GDPR作為目前全球最嚴(yán)苛的個(gè)人數(shù)據(jù)保護(hù)制度，在保護(hù)人權(quán)的價(jià)值理念背后，也包含了重要的經(jīng)濟(jì)利益考量。一方面，歐盟在數(shù)字經(jīng)濟(jì)領(lǐng)域的企業(yè)競爭力顯著落后于美國和中國。根據(jù)瑪麗·米克爾發(fā)布的2018互聯(lián)網(wǎng)趨勢報(bào)告，當(dāng)今全球市值最高的前20家互聯(lián)網(wǎng)公司中，美國11家，中國9家，沒有一家歐盟國家的公司入圍。⑨根據(jù)聯(lián)合國貿(mào)發(fā)會(huì)發(fā)布的《世界投資報(bào)告2017-投資與數(shù)字經(jīng)濟(jì)》，在網(wǎng)絡(luò)平臺(tái)、數(shù)字化解決方案、電子商務(wù)、數(shù)字內(nèi)容、IT、電信設(shè)施等主要數(shù)字經(jīng)濟(jì)領(lǐng)域，美國企業(yè)從數(shù)量和規(guī)模上占據(jù)絕對(duì)優(yōu)勢，其次為中國。另一方面，歐盟5億人口，市場成熟，互聯(lián)網(wǎng)基礎(chǔ)設(shè)施較為完善，數(shù)字經(jīng)濟(jì)消費(fèi)市場龐大，潛能可觀。目前，美國的互聯(lián)網(wǎng)巨頭如谷歌、臉書、亞馬遜等在歐盟提供廣泛的服務(wù)，歐洲本土則缺乏具有相應(yīng)競爭力的企業(yè)。在數(shù)字經(jīng)濟(jì)生產(chǎn)和消費(fèi)極不平衡的背景下，歐盟實(shí)施史上最嚴(yán)的數(shù)據(jù)保護(hù)法，并不會(huì)遭遇來自本國企業(yè)界利益集團(tuán)的強(qiáng)有力反對(duì)，卻可以增強(qiáng)其同外國互聯(lián)網(wǎng)巨頭的博弈籌碼。因此，歐盟以統(tǒng)一市場的優(yōu)勢為依托，緊握規(guī)則制定的話語權(quán)，實(shí)施嚴(yán)格的GDPR，劍指美、中兩國企業(yè)，少有“殺敵一千，自損八百”的后顧之憂。在GDPR的威懾之下，在歐盟數(shù)字化市場中所占份額最大的美國企業(yè)首當(dāng)其沖，它們需要大幅增加合規(guī)成本，還可能面臨最高為全球總營收4%的巨額罰款。對(duì)快速崛起正謀求全球擴(kuò)張的中國互聯(lián)網(wǎng)企業(yè)而言，歐盟市場的法律風(fēng)險(xiǎn)可能使其暫時(shí)轉(zhuǎn)入觀望。歐盟國家企業(yè)則可以內(nèi)部市場的統(tǒng)一規(guī)則為依托，享受數(shù)據(jù)自由流動(dòng)的便利，獲得一定的發(fā)展空間。

(二)GDPR作為貿(mào)易壁壘的屬性：社會(huì)性壁壘和技術(shù)性壁壘

在傳統(tǒng)貿(mào)易壁壘受到國際條約較為嚴(yán)格約束的背景下，以技術(shù)壁壘、環(huán)境壁壘、社會(huì)壁壘為代表的新型貿(mào)易壁壘層出不窮。這些新型貿(mào)易壁壘通常旨在保護(hù)生命健康、人權(quán)、環(huán)境，通過國內(nèi)政策和法規(guī)實(shí)施，具有一定的合理性和適用的平等性，但又可以產(chǎn)生貿(mào)易保護(hù)主義的實(shí)際效果。GDPR兼具社會(huì)性壁壘和技術(shù)性壁壘的性質(zhì)，是數(shù)字經(jīng)濟(jì)時(shí)代的新型貿(mào)易壁壘。[2]

以往國際貿(mào)易中的社會(huì)性壁壘主要指以保護(hù)勞工權(quán)益為由采取的貿(mào)易保護(hù)措施，其特點(diǎn)是以國際人權(quán)條約中有關(guān)社會(huì)保障、勞工權(quán)利等規(guī)定為基礎(chǔ)，制定較高的勞工標(biāo)準(zhǔn)(如歐洲的SA8000標(biāo)準(zhǔn))，從而削弱發(fā)展中國家在勞動(dòng)力成本方面的優(yōu)勢。歐盟數(shù)據(jù)立法源于基本人權(quán)保護(hù)。1950年《歐洲人權(quán)公約》第8條第1款規(guī)定：“每個(gè)人都有權(quán)要求尊重他的私人和家庭生活、住宅和通信?！睔W洲委員會(huì)在20世紀(jì)七十年代主張將個(gè)人數(shù)據(jù)視為《歐洲人權(quán)公約》第8條第1款的一部分。2000年《歐盟基本權(quán)利憲章》第8條明文規(guī)定個(gè)人數(shù)據(jù)保護(hù)。GDPR以上述人權(quán)條約為依托，確立高標(biāo)準(zhǔn)的個(gè)人數(shù)據(jù)保護(hù)制度，提高市場門檻，是一種新型的社會(huì)性貿(mào)易壁壘。技術(shù)性貿(mào)易壁壘是指通過頒布法律、法令、條例、規(guī)定，建立嚴(yán)苛的技術(shù)標(biāo)準(zhǔn)、認(rèn)證制度、衛(wèi)生檢驗(yàn)檢疫制度等，達(dá)到提高市場準(zhǔn)入門檻、形成貿(mào)易障礙的效果。GDPR確立了個(gè)人數(shù)據(jù)處理中的諸多操作規(guī)范和具體標(biāo)準(zhǔn)，包括收集個(gè)人數(shù)據(jù)時(shí)應(yīng)當(dāng)提供的信息、數(shù)據(jù)處理活動(dòng)的記錄規(guī)則、數(shù)據(jù)主體行使訪問權(quán)、更正權(quán)和可攜權(quán)的操作方式等，還提出了建立數(shù)據(jù)保護(hù)認(rèn)證機(jī)制。GDPR一系列復(fù)雜而嚴(yán)苛的規(guī)則需要企業(yè)大幅提高合規(guī)成本，否則將被排除在歐盟市場之外，具有典型的技術(shù)性壁壘的特征。

二、 GDPR產(chǎn)生貿(mào)易壁壘效果的制度機(jī)理

(一)高水平的個(gè)人數(shù)據(jù)保護(hù)抬高市場門檻

GDPR強(qiáng)化了數(shù)據(jù)主體對(duì)個(gè)人數(shù)據(jù)的控制權(quán)利，并賦予更廣泛的權(quán)利內(nèi)容。根據(jù)GDPR，一般情況下，對(duì)個(gè)人數(shù)據(jù)的處理須取得當(dāng)事人的明確同意，該同意必須是在知情的情況下、基于特定目的、自由作出的，獲取當(dāng)事人同意的相關(guān)協(xié)議應(yīng)當(dāng)使用清晰而直白的語言，以簡潔、透明、易懂和容易獲取的方式呈現(xiàn)，否則無效。數(shù)據(jù)主體有權(quán)隨時(shí)撤回同意，同意的撤回應(yīng)和同意的作出一樣簡單。數(shù)據(jù)主體享有對(duì)個(gè)人數(shù)據(jù)的訪問權(quán)、更正權(quán)、被遺忘權(quán)、可攜權(quán)、限制處理權(quán)、自動(dòng)化決策的反對(duì)權(quán)等。其中，被遺忘權(quán)和可攜權(quán)是兩種新型權(quán)利。被遺忘權(quán)是指，當(dāng)數(shù)據(jù)主體依法撤回同意或者控制者不再有合法理由繼續(xù)處理數(shù)據(jù)等情形時(shí)，數(shù)據(jù)主體有權(quán)要求刪除數(shù)據(jù)?？刂普卟粌H要?jiǎng)h除自己所控制的數(shù)據(jù)，還要對(duì)其公開傳播的數(shù)據(jù)負(fù)責(zé)，通知其他第三方進(jìn)行刪除。在開放的互聯(lián)網(wǎng)空間，要求數(shù)據(jù)控制者對(duì)其公開傳播的所有數(shù)據(jù)負(fù)責(zé)，是非常嚴(yán)苛且難以完成的義務(wù)?？蓴y權(quán)是一項(xiàng)權(quán)利制度創(chuàng)新，指數(shù)據(jù)主體有權(quán)以有序的、普遍使用的、機(jī)器可讀的方式獲取個(gè)人數(shù)據(jù)，并有權(quán)將這些數(shù)據(jù)從一個(gè)控制者傳輸?shù)搅硪粋€(gè)控制者，但行使可攜權(quán)時(shí)不能對(duì)他人的權(quán)利或自由產(chǎn)生負(fù)面影響。在GDPR的框架下，數(shù)據(jù)主體對(duì)個(gè)人數(shù)據(jù)的控制力顯著提升。另一方面，GDPR對(duì)數(shù)據(jù)控制者和處理者的義務(wù)做了全面而嚴(yán)格的界定，包括：以默認(rèn)方式保護(hù)數(shù)據(jù)的義務(wù)、數(shù)據(jù)處理活動(dòng)的記錄義務(wù)、確保數(shù)據(jù)處理安全的義務(wù)、數(shù)據(jù)泄漏后72小時(shí)內(nèi)的通知義務(wù)、數(shù)據(jù)保護(hù)影響評(píng)估的義務(wù)、設(shè)立數(shù)據(jù)保護(hù)官的義務(wù)等,并且提倡在歐盟層面建立數(shù)據(jù)保護(hù)認(rèn)證機(jī)制，以證明數(shù)據(jù)控制者和處理者對(duì)個(gè)人數(shù)據(jù)的處理操作符合GDPR。

為確保數(shù)據(jù)主體權(quán)利的實(shí)現(xiàn)，GDPR對(duì)監(jiān)管機(jī)構(gòu)和救濟(jì)處罰措施都做了具體安排。GDPR要求各成員國設(shè)立獨(dú)立的監(jiān)管機(jī)構(gòu)，負(fù)責(zé)監(jiān)控條例的實(shí)施。監(jiān)管機(jī)構(gòu)具有調(diào)查、矯正、建議、提起法律訴訟的權(quán)力。數(shù)據(jù)主體根據(jù)GDPR所賦予的權(quán)利被侵犯時(shí)，可以向監(jiān)管機(jī)構(gòu)提起申訴，也可以向法院提起訴訟。在最嚴(yán)重的違法行為發(fā)生時(shí)，監(jiān)管機(jī)構(gòu)對(duì)數(shù)據(jù)控制者和處理者最高可處罰金2000萬歐元或者企業(yè)上一年全球總營業(yè)額的4%(兩者取其高)。高昂的罰金額度對(duì)企業(yè)構(gòu)成強(qiáng)烈的威懾。為了達(dá)到GDPR的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，企業(yè)需要完善內(nèi)部數(shù)據(jù)保護(hù)合規(guī)制度，對(duì)一切數(shù)據(jù)的收集和處理活動(dòng)都要采取相應(yīng)的保護(hù)措施，包括一系列形式工作和實(shí)質(zhì)措施。據(jù)《福布斯》報(bào)道，在2018年5月正式實(shí)施前的兩年間(GDPR于2016年4月獲得通過)，美國財(cái)富前500強(qiáng)企業(yè)就花費(fèi)了78億美元合規(guī)成本，中型企業(yè)在這兩年間花費(fèi)的合規(guī)成本為55萬美元。根據(jù)普華永道會(huì)計(jì)師事務(wù)所的調(diào)查，68%的美國公司預(yù)計(jì)花費(fèi)100萬到1000萬美元以滿足GDPR的合規(guī)要求。

(二)復(fù)雜的規(guī)則帶來執(zhí)法的不確定性

GDPR共十章、99條，涉及諸多復(fù)雜的概念、原則、規(guī)則，且很多概念和事項(xiàng)都屬新創(chuàng)。GDPR發(fā)布后，歐盟數(shù)據(jù)保護(hù)委員會(huì)(EDPB)又發(fā)布了二十多項(xiàng)指南。指南涉及數(shù)據(jù)保護(hù)官、數(shù)據(jù)保護(hù)影響評(píng)估、識(shí)別主導(dǎo)監(jiān)管機(jī)構(gòu)、行政處罰、充分保護(hù)認(rèn)定等各方關(guān)切的廣泛問題。歐盟許多成員也陸續(xù)頒布GDPR指南。龐雜的規(guī)則帶來認(rèn)知上的困境，而且，許多規(guī)則的適用標(biāo)準(zhǔn)仍不明確。美國科羅拉多大學(xué)教授Alison在《紐約時(shí)報(bào)》撰文指出，“GDPR非常復(fù)雜，帶來很大的困惑。許多要受到GDPR約束的科學(xué)家和數(shù)據(jù)管理員都認(rèn)為，該條例難以理解，甚至懷疑不可能做到完全遵守。”GDPR是不同價(jià)值平衡和多種利益訴求妥協(xié)的產(chǎn)物，這是造成其復(fù)雜性的重要原因。GDPR秉持二元立法目標(biāo)——保護(hù)個(gè)人權(quán)利并促進(jìn)數(shù)據(jù)的自由流動(dòng)，數(shù)據(jù)主體并非享有絕對(duì)權(quán)利，數(shù)據(jù)主體的權(quán)利需要與其他正當(dāng)利益相平衡。GDPR一般適用于所有個(gè)人數(shù)據(jù)處理中的個(gè)人權(quán)利保護(hù)，然而，企業(yè)、政府、學(xué)術(shù)機(jī)構(gòu)處理個(gè)人數(shù)據(jù)的目的截然不同。GDPR草案發(fā)布后，曾收到4000多份修改意見，反映了利益訴求的分化。況且，歐盟28個(gè)成員國，不同的歷史經(jīng)驗(yàn)和社會(huì)現(xiàn)實(shí)決定了其對(duì)個(gè)人數(shù)據(jù)保護(hù)的立場會(huì)有所分別。例如，德國基于納粹統(tǒng)治的痛苦記憶，對(duì)政府和企業(yè)收集個(gè)人數(shù)據(jù)非常戒備，北歐國家則重視將數(shù)據(jù)收集和整理用于支持社會(huì)福利體系的運(yùn)作。此外，為彌合現(xiàn)行規(guī)則和未來新技術(shù)發(fā)展可能產(chǎn)生的鴻溝，GDPR使用了一些寬泛的原則，也留下了有待解釋的空間。

GDPR引入諸多平衡機(jī)制來協(xié)調(diào)各方利益，規(guī)則設(shè)計(jì)中表現(xiàn)為對(duì)權(quán)利作出適當(dāng)限制、對(duì)責(zé)任予以適當(dāng)豁免，以及諸多例外情形。例如，GDPR第17條“被遺忘權(quán)”共三款，第1款規(guī)定數(shù)據(jù)主體刪除個(gè)人數(shù)據(jù)的權(quán)利，第2款規(guī)定了數(shù)據(jù)控制者對(duì)其公開傳播的數(shù)據(jù)的責(zé)任。鑒于被遺忘權(quán)雖然關(guān)乎重要的個(gè)人權(quán)利，但也可能與言論自由、信息自由流動(dòng)、公眾知情權(quán)等公共價(jià)值存在尖銳的矛盾，需要對(duì)此權(quán)利作出必要的限制，第3款規(guī)定了不適用被遺忘權(quán)的5種例外情形：(1)行使表達(dá)自由和信息自由權(quán)；(2)基于公共利益和履行法律職責(zé)所必需；(3)為實(shí)現(xiàn)公共健康領(lǐng)域的公共利益；(4)基于歷史、統(tǒng)計(jì)和科學(xué)研究的目的；(5)為提起、行使或辯護(hù)法律性主張。雖然做出了這些限制，被遺忘權(quán)仍然面臨很多質(zhì)疑。對(duì)用戶提出的被遺忘權(quán)請(qǐng)求，企業(yè)可能首先需要審查是否屬于立法中規(guī)定的例外情形，而“表達(dá)自由”、“公共利益”這些抽象的判斷標(biāo)準(zhǔn)，無疑是將企業(yè)拖入裁判的泥潭，并由此形成一種新形式的“網(wǎng)絡(luò)審查”。這必然帶來規(guī)則適用的不確定性，GDPR中還有很多這類情形。GDPR復(fù)雜且?guī)в邢喈?dāng)不確定性的規(guī)則，給遵守者帶來極大的合規(guī)困境和負(fù)擔(dān)。對(duì)監(jiān)管機(jī)構(gòu)而言，則賦予其較大的裁量權(quán)，可能產(chǎn)生執(zhí)法的選擇性和不可預(yù)見性，還可以此增強(qiáng)與境外互聯(lián)網(wǎng)產(chǎn)業(yè)巨頭博弈的話語權(quán)。

(三)寬泛的管轄范圍導(dǎo)致域外適用

互聯(lián)網(wǎng)空間的開放性、個(gè)人數(shù)據(jù)流動(dòng)和處理的跨國性，決定了GDPR充分的個(gè)人數(shù)據(jù)保護(hù)不會(huì)僅止于歐盟。GDPR第3條“地域范圍”兼采屬地管轄和屬人管轄兩種標(biāo)準(zhǔn)，將GDPR的適用范圍擴(kuò)展至歐盟境外。該條款直接關(guān)系到境內(nèi)外數(shù)據(jù)處理的主體和場景是否納入GDPR管轄，引起各方的重點(diǎn)關(guān)注和質(zhì)疑。為明晰該條款的適用，2018年11月，EDPB發(fā)布長達(dá)23頁的《關(guān)于GDPR適用地域范圍的解釋指南》(公開征求意見版)?！吨改稀分袑?duì)GDPR適用地域范圍的兩種標(biāo)準(zhǔn)做了詳細(xì)的闡釋和例舉，并創(chuàng)設(shè)了新的規(guī)則以促進(jìn)其域外適用的落地執(zhí)行。

GDPR下的屬地管轄是指，以在歐盟境內(nèi)有“機(jī)構(gòu)設(shè)置”作為適用標(biāo)準(zhǔn)。根據(jù)GDPR第3條第1款，數(shù)據(jù)控制者或處理者在歐盟境內(nèi)有機(jī)構(gòu)設(shè)置，該機(jī)構(gòu)活動(dòng)涉及的個(gè)人數(shù)據(jù)處理，不論數(shù)據(jù)處理行為是否在歐盟內(nèi)進(jìn)行，均適用GDPR。該條款的適用需要從三方面綜合判定：第一，在歐盟內(nèi)有機(jī)構(gòu)設(shè)置。機(jī)構(gòu)設(shè)置是指通過穩(wěn)定安排從事真實(shí)有效的經(jīng)營活動(dòng)，安排的法律形式不要求一定是具有法人資格的子公司或分支機(jī)構(gòu)?！吨改稀分羞M(jìn)一步闡明，在某些情況下，非歐盟實(shí)體在歐盟內(nèi)有一個(gè)雇員或一個(gè)代理人，如具備足夠的穩(wěn)定性，就可能構(gòu)成穩(wěn)定安排。[3]P5由此可見，在歐盟境內(nèi)有機(jī)構(gòu)設(shè)置的范圍相當(dāng)寬泛，既包括在歐盟內(nèi)設(shè)立的數(shù)據(jù)控制者或處理者，也包括歐盟外的數(shù)據(jù)控制者或處理者在歐盟成員國內(nèi)有某種穩(wěn)定安排，其法律形式不限。第二，個(gè)人數(shù)據(jù)處理由該機(jī)構(gòu)活動(dòng)所涉及。根據(jù)《指南》，即使在歐盟設(shè)置的機(jī)構(gòu)沒有實(shí)際參加任何非歐盟實(shí)體的數(shù)據(jù)處理行為，該機(jī)構(gòu)的活動(dòng)也可能與這些數(shù)據(jù)處理行為間接相關(guān)。例如，一家中國企業(yè)經(jīng)營的電商網(wǎng)站，其數(shù)據(jù)處理行為全部在中國進(jìn)行，但是它在柏林設(shè)立了一個(gè)歐洲辦事處負(fù)責(zé)領(lǐng)導(dǎo)和執(zhí)行歐盟市場的商業(yè)推廣和市場活動(dòng)，旨在使該電商網(wǎng)站的服務(wù)盈利，則中國公司由此進(jìn)行的個(gè)人數(shù)據(jù)處理與其歐洲辦事處的活動(dòng)間接相關(guān)，屬于GDPR的適用情形。[3]P7第三，不考慮數(shù)據(jù)處理行為發(fā)生的地理位置。只要在歐盟境內(nèi)有機(jī)構(gòu)設(shè)置，且個(gè)人數(shù)據(jù)處理由該機(jī)構(gòu)活動(dòng)所涉及，不論數(shù)據(jù)處理行為是否在歐盟內(nèi)進(jìn)行，都可適用GDPR。

GDPR下的屬人管轄是指，以數(shù)據(jù)處理的“目標(biāo)主體”在歐盟境內(nèi)作為適用標(biāo)準(zhǔn)。根據(jù)GDPR第3條第2款，在歐盟外設(shè)立的數(shù)據(jù)控制者或處理者，只要其個(gè)人數(shù)據(jù)處理是為歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)，或?qū)Πl(fā)生在歐盟境內(nèi)的數(shù)據(jù)主體的活動(dòng)進(jìn)行監(jiān)控，即受GDPR約束。該條款的適用需要同時(shí)滿足兩個(gè)條件：第一，數(shù)據(jù)主體在歐盟境內(nèi)。這是指在其個(gè)人信息被收集的時(shí)候，數(shù)據(jù)主體在地理上位于歐盟境內(nèi)，無關(guān)其是否具有歐盟成員國的國籍或法律身份，因而并不限于歐盟的公民、居民。[3]P13第二，個(gè)人數(shù)據(jù)處理是針對(duì)歐盟內(nèi)的數(shù)據(jù)主體提供商品、服務(wù)，或者監(jiān)控其在歐盟內(nèi)的活動(dòng)。提供商品或服務(wù)并不要求支付對(duì)價(jià)或真實(shí)發(fā)生，具有此意圖即可，例如提供產(chǎn)品或服務(wù)的網(wǎng)站上出現(xiàn)歐盟成員國的語言和貨幣，或提及歐盟的消費(fèi)者和使用者，就被認(rèn)為有此意圖。在判定數(shù)據(jù)主體在歐盟內(nèi)的活動(dòng)被監(jiān)控時(shí)，要求監(jiān)控有特定目的，也就是數(shù)據(jù)主體在歐盟內(nèi)的活動(dòng)在互聯(lián)網(wǎng)上被追蹤，其個(gè)人信息經(jīng)收集和后續(xù)處理利用，是為了分析或預(yù)測其個(gè)人行為、偏好，作出與此人相關(guān)的決策等。

GDPR通過“機(jī)構(gòu)設(shè)置”和“目標(biāo)主體”這兩種標(biāo)準(zhǔn)實(shí)現(xiàn)了擴(kuò)張性的域外適用。這種域外適用的實(shí)質(zhì)是行政執(zhí)法權(quán)的擴(kuò)張，面臨著對(duì)境外企業(yè)如何實(shí)現(xiàn)監(jiān)管、調(diào)查和執(zhí)法的難題，而且很可能與企業(yè)所在國的執(zhí)法主權(quán)產(chǎn)生沖突，難以得到所在國的配合與協(xié)助。為解決這一執(zhí)法難題，GDPR第27條規(guī)定了指定歐盟代表的義務(wù)。在歐盟外設(shè)立的數(shù)據(jù)控制者或處理者，因其向歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)，或監(jiān)控歐盟內(nèi)數(shù)據(jù)主體的活動(dòng)而受GDPR約束，有義務(wù)在歐盟內(nèi)指定一名代表，該代表可以是個(gè)人、商業(yè)實(shí)體或非商業(yè)實(shí)體，數(shù)據(jù)監(jiān)管機(jī)構(gòu)可以對(duì)此代表處以罰金或執(zhí)行其他懲罰。[3]P19-20這意味著，在適用“目標(biāo)主體”標(biāo)準(zhǔn)時(shí)，對(duì)境外企業(yè)的執(zhí)法可以通過歐盟內(nèi)的代表這一連接點(diǎn)得以實(shí)現(xiàn)。適用“機(jī)構(gòu)設(shè)置”標(biāo)準(zhǔn)時(shí)，根據(jù)GDPR，即使數(shù)據(jù)處理行為在境外，也可以通過歐盟境內(nèi)設(shè)置的機(jī)構(gòu)這一連接點(diǎn)進(jìn)行監(jiān)督執(zhí)法。這兩種情形下的執(zhí)法思路異曲同工，都是通過境內(nèi)的某一連接點(diǎn)將境外企業(yè)納入其可控范圍，從而實(shí)現(xiàn)對(duì)域外數(shù)據(jù)控制者和處理者的有效約束和執(zhí)法。與歐盟境內(nèi)企業(yè)相比，這種要求顯然會(huì)增加歐盟境外企業(yè)的額外負(fù)擔(dān)和市場進(jìn)入阻礙，但是卻有利于保障歐盟本土市場和歐盟數(shù)據(jù)主體的權(quán)利。由此，GDPR構(gòu)筑起一張密實(shí)的大網(wǎng)，將幾乎所有投資歐盟的企業(yè)和與歐盟有業(yè)務(wù)往來的企業(yè)都網(wǎng)羅其中，使其面臨兩難選擇：或者遵守GDPR的高標(biāo)準(zhǔn)，或者退出歐盟市場。

(四)嚴(yán)格控制的數(shù)據(jù)跨境流動(dòng)強(qiáng)化了制度輸出

數(shù)據(jù)跨境流動(dòng)是數(shù)字貿(mào)易的內(nèi)在要求。GDPR沒有明確的數(shù)據(jù)本地化要求，其對(duì)個(gè)人數(shù)據(jù)流出歐盟主要通過充分性認(rèn)定和充分保障兩種機(jī)制加以嚴(yán)格控制，基本原則是個(gè)人數(shù)據(jù)出境的目的地或接收方提供與歐盟境內(nèi)基本相同的保護(hù)水平，目標(biāo)在于GDPR保護(hù)的個(gè)人數(shù)據(jù)權(quán)利在數(shù)據(jù)出境后仍然能夠得到充分保證。

充分性認(rèn)定是歐盟個(gè)人數(shù)據(jù)跨境流動(dòng)最重要的機(jī)制，認(rèn)定的對(duì)象是歐盟以外的第三國、第三國的特定地區(qū)、行業(yè)領(lǐng)域以及國際組織，只有歐委會(huì)認(rèn)定其能提供充分保護(hù)，才可以將個(gè)人數(shù)據(jù)向其進(jìn)行轉(zhuǎn)移。充分性保護(hù)要求第三國提供與歐盟基本等同的保護(hù)水平。根據(jù)GDPR第45條，歐委會(huì)主要從三方面進(jìn)行充分性評(píng)估：首先，考察其法治水平、尊重人權(quán)和基本自由的情況、一般性和部門性立法及其實(shí)施(包括公共安全、國防、國家安全、刑法和公共機(jī)構(gòu)獲取個(gè)人數(shù)據(jù)等方面)，以及數(shù)據(jù)主體權(quán)利的有效性和可執(zhí)行性、行政和司法救濟(jì)途徑。第二，要求設(shè)立獨(dú)立且有效運(yùn)行的監(jiān)管機(jī)構(gòu)，監(jiān)管機(jī)構(gòu)有充分的執(zhí)法權(quán)、負(fù)責(zé)個(gè)人數(shù)據(jù)保護(hù)規(guī)則的實(shí)施、為數(shù)據(jù)主體行使權(quán)利提供支持和建議，以及與歐盟成員國的監(jiān)管機(jī)構(gòu)進(jìn)行合作。第三，考察第三國或國際組織參加與個(gè)人數(shù)據(jù)保護(hù)相關(guān)的具有法律約束力的國際條約情況。加入歐委會(huì)《108號(hào)公約》是一項(xiàng)予以關(guān)注的因素。獲得充分性認(rèn)定并非一勞永逸，歐委會(huì)對(duì)第三國或地區(qū)會(huì)定期進(jìn)行復(fù)審，根據(jù)其個(gè)人數(shù)據(jù)保護(hù)的實(shí)踐情況，可能修改、暫停、甚至撤銷充分性認(rèn)定。目前，獲得歐委會(huì)充分性認(rèn)定的國家為數(shù)不多，包括：阿根廷、以色列、日本、新西蘭、瑞士、烏拉圭、安道爾、馬恩島、澤西島、法羅群島、根西島。加拿大獲得的充分性認(rèn)定僅適用于屬于“加拿大信息保護(hù)和電子文件法”范圍的私營實(shí)體。

在充分性認(rèn)定機(jī)制缺失的情況下，數(shù)據(jù)控制者或處理者只有能提供充分的保障措施，且數(shù)據(jù)主體的權(quán)利和救濟(jì)在法律上可執(zhí)行時(shí)，才可以將個(gè)人數(shù)據(jù)轉(zhuǎn)移至歐盟境外。根據(jù)GDPR第46條，主要有下列幾種充分保障機(jī)制可供選擇：公共機(jī)構(gòu)之間有法律約束力和執(zhí)行力的文件；有約束力的公司規(guī)則；標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)條款；協(xié)會(huì)行為準(zhǔn)則；認(rèn)證機(jī)制等。各種保障機(jī)制都需要獲得歐委會(huì)或歐盟成員國數(shù)據(jù)監(jiān)管機(jī)構(gòu)的批準(zhǔn)才能生效，其核心在于嚴(yán)格控制個(gè)人數(shù)據(jù)出境后的保護(hù)標(biāo)準(zhǔn)。如未能滿足充分性認(rèn)定和充分保障機(jī)制的條件，個(gè)人數(shù)據(jù)轉(zhuǎn)移至歐盟境外的例外情形非常有限，并且給數(shù)據(jù)控制者帶來很高的舉證責(zé)任。要求數(shù)據(jù)控制者在充分告知數(shù)據(jù)主體相關(guān)風(fēng)險(xiǎn)的情況下獲得數(shù)據(jù)主體的明示同意，或者數(shù)據(jù)控制者能證明數(shù)據(jù)轉(zhuǎn)移具有某種必要性，如實(shí)現(xiàn)公共利益、履行合同、司法訴求等，嚴(yán)格的舉證要求使其難以適用頻繁、大規(guī)模的個(gè)人數(shù)據(jù)轉(zhuǎn)移。

GDPR的跨境數(shù)據(jù)傳輸機(jī)制中，充分性認(rèn)定機(jī)制提供了整體解決方案，獲得認(rèn)定的前提是該國家或地區(qū)的個(gè)人數(shù)據(jù)保護(hù)水平達(dá)到了GDPR的要求，這必然促使希望獲得認(rèn)定國家或地區(qū)的立法向歐盟標(biāo)準(zhǔn)靠攏。充分保障機(jī)制雖然是針對(duì)數(shù)據(jù)控制者或處理者，但同時(shí)要求數(shù)據(jù)主體的權(quán)利和救濟(jì)在法律上可執(zhí)行，這也間接對(duì)數(shù)據(jù)控制者或處理者所在地的個(gè)人數(shù)據(jù)保護(hù)法提出了要求?？缇硵?shù)據(jù)流動(dòng)的這種制度設(shè)計(jì)使GDPR產(chǎn)生傳導(dǎo)效應(yīng)，進(jìn)一步強(qiáng)化了歐盟數(shù)據(jù)保護(hù)制度輸出的影響力。除歐盟國家以外，一些近期更新了數(shù)據(jù)保護(hù)法或提出立法草案的國家，如突尼斯、泰國、智利、巴西、加拿大、新西蘭、貝林等，其立法都深受GDPR影響。GDPR發(fā)生傳導(dǎo)效應(yīng)的根源在于：一方面，歐盟市場對(duì)歐盟外國家的吸引力促使其希望獲得數(shù)據(jù)流動(dòng)的許可；另一方面，在全球互聯(lián)網(wǎng)產(chǎn)業(yè)集中度較高的情況下，大多數(shù)國家與歐盟一樣，數(shù)字經(jīng)濟(jì)的生產(chǎn)和消費(fèi)失衡，仿效歐盟嚴(yán)格的數(shù)據(jù)保護(hù)法可以更有效地約束美國、中國等互聯(lián)網(wǎng)強(qiáng)國的數(shù)據(jù)控制者或處理者。

值得注意的是，GDPR的數(shù)據(jù)跨境流動(dòng)規(guī)則也會(huì)被其他國家所仿效。日本2015年《個(gè)人信息保護(hù)法》中就確立了類似的充分性認(rèn)定機(jī)制。在制度逐步趨同的背景下，2018年7月，日本和歐盟在達(dá)成《經(jīng)濟(jì)伙伴關(guān)系協(xié)定》之后的會(huì)議聯(lián)合聲明中宣布，雙方約定互相將對(duì)方的數(shù)據(jù)保護(hù)系統(tǒng)視為同等有效，建立一個(gè)數(shù)據(jù)安全流通區(qū)。這意味著，歐日致力于達(dá)成首個(gè)“對(duì)等充分性”協(xié)議，并旋即展開實(shí)質(zhì)性的推進(jìn)。2018年9月，歐委會(huì)正式啟動(dòng)對(duì)日本的充分性認(rèn)定程序。2019年1月23日，歐委會(huì)通過對(duì)日本的充分性認(rèn)定，日本也同時(shí)做出對(duì)等的認(rèn)定，由此，個(gè)人數(shù)據(jù)可以在兩大經(jīng)濟(jì)體間自由傳輸，形成世界最大的數(shù)據(jù)安全流通區(qū)。以日本的情形推之，一旦越來越多的國家仿效歐盟數(shù)據(jù)保護(hù)規(guī)則，包括其跨境數(shù)據(jù)流動(dòng)規(guī)則，在這些國家間將形成以歐盟數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)為共識(shí)的數(shù)據(jù)自由流通區(qū)，不符合其數(shù)據(jù)保護(hù)要求的國家則被排除在外，將面臨數(shù)據(jù)流動(dòng)的障礙，GDPR產(chǎn)生的壁壘效果將逐步擴(kuò)散，進(jìn)而深刻影響全球數(shù)據(jù)治理格局。

三、美國化解歐盟數(shù)據(jù)立法壁壘的主要途徑

美國和歐盟的個(gè)人數(shù)據(jù)保護(hù)制度差異較大。美國沒有統(tǒng)一的個(gè)人數(shù)據(jù)保護(hù)法，而是根據(jù)需要在不同部門分別立法；美國沒有將個(gè)人數(shù)據(jù)權(quán)確立為憲法意義上的基本人權(quán)，認(rèn)為除非有不能避免的風(fēng)險(xiǎn)且市場本身無法糾正，否則不應(yīng)進(jìn)行聯(lián)邦立法；美國也沒有獨(dú)立的數(shù)據(jù)保護(hù)機(jī)構(gòu)，主要通過行業(yè)自律和民事救濟(jì)的途徑解決糾紛。[4]P53相對(duì)寬松的個(gè)人數(shù)據(jù)保護(hù)模式符合美國互聯(lián)網(wǎng)企業(yè)的利益，有益于維持其全球領(lǐng)先的行業(yè)優(yōu)勢和促進(jìn)數(shù)字經(jīng)濟(jì)的發(fā)展。美國不可能改變其國內(nèi)法律體系以滿足歐盟標(biāo)準(zhǔn)，歐盟也不認(rèn)可美國達(dá)到了充分性保護(hù)。然而，美國和歐盟之間存在大量的跨境貿(mào)易往來和投資活動(dòng)，尤其是美國的互聯(lián)網(wǎng)企業(yè)在歐盟存在重大的商業(yè)利益，化解歐盟數(shù)據(jù)保護(hù)產(chǎn)生的市場壁壘具有迫切的現(xiàn)實(shí)需求。美、歐之間數(shù)據(jù)保護(hù)制度的分歧由來已久，美國政府多年來積極尋求該問題的解決方案并取得一定效果。

(一)通過雙邊協(xié)議與歐盟達(dá)成妥協(xié)

自歐盟1995年《指令》實(shí)施以來，由于美國未達(dá)到歐盟認(rèn)可的個(gè)人信息“充分保護(hù)”水平，美國企業(yè)在歐盟開展業(yè)務(wù)面臨嚴(yán)重限制。為解決大西洋兩岸數(shù)據(jù)流動(dòng)的法律障礙，美國和歐盟于2000年簽訂《安全港協(xié)議》。該協(xié)議并不要求改革國家法律制度，而是為美國公司遵守歐盟規(guī)則提供了一攬子解決方案?！栋踩蹍f(xié)議》框架下的個(gè)人數(shù)據(jù)保護(hù)要求與歐盟《指令》的數(shù)據(jù)保護(hù)原則和標(biāo)準(zhǔn)相一致,美國企業(yè)可以自愿申請(qǐng)加入《安全港協(xié)議》。“入港”企業(yè)必須遵守協(xié)議要求，并且每年向商務(wù)部提交公開隱私政策的書面報(bào)告，從而可以接受和處理來自歐盟的個(gè)人數(shù)據(jù)?！栋踩蹍f(xié)議》生效后，有超過4400家美國企業(yè)和組織加入,包括谷歌、臉書、微軟等。雙邊安排使得美國企業(yè)可以合法地在兩地間傳輸數(shù)據(jù)，促進(jìn)了美國企業(yè)在歐盟的發(fā)展和擴(kuò)張。2013年隨著“棱鏡計(jì)劃”曝光，《安全港協(xié)議》存在的問題和漏洞凸顯出來?；凇栋踩蹍f(xié)議》中的國家安全和公共利益豁免，美國國家安全局一直通過進(jìn)入微軟、谷歌、蘋果等網(wǎng)絡(luò)巨頭的服務(wù)器監(jiān)控公民的個(gè)人信息，包括對(duì)歐洲領(lǐng)導(dǎo)人的監(jiān)控。在此背景下，長期致力于隱私保護(hù)的奧地利公民Max Schrems向愛爾蘭高等法院提出申訴，指Facebook未能給歐洲公民的個(gè)人數(shù)據(jù)提供充分保護(hù)，要求禁止其將個(gè)人數(shù)據(jù)傳輸至美國。2015年10月，歐洲法院裁定《安全港協(xié)議》無效，理由是該協(xié)議已經(jīng)無法滿足歐盟的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，不能阻止企業(yè)將個(gè)人數(shù)據(jù)文件泄露給未經(jīng)授權(quán)方。

鑒于美歐間密切的商業(yè)利益聯(lián)系，數(shù)據(jù)流動(dòng)受阻已是彼此不可承受之重，美歐間緊急磋商，2016年2月即達(dá)成新的框架協(xié)議——《隱私盾協(xié)議》?！峨[私盾協(xié)議》由美國商務(wù)部和歐委會(huì)共同設(shè)計(jì)，同樣采取企業(yè)自愿加入的方式。針對(duì)《安全港協(xié)議》運(yùn)行中暴露的缺陷，以及因應(yīng)歐盟數(shù)據(jù)保護(hù)制度的最新發(fā)展，《隱私盾協(xié)議》做了如下主要改進(jìn)：其一，在調(diào)整范圍方面，除商業(yè)目的下的數(shù)據(jù)跨境流動(dòng)，還納入了美歐間以國家安全為目的的個(gè)人數(shù)據(jù)傳輸。美國政府應(yīng)向歐盟提交書面承諾，確保美國執(zhí)法部門只在明確的權(quán)利范圍和監(jiān)管機(jī)制下才能審查來自歐盟的個(gè)人數(shù)據(jù)。其二，美國公司將承擔(dān)更多的數(shù)據(jù)保護(hù)義務(wù)，數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)更加細(xì)致嚴(yán)格，美國公司在違反隱私盾下承諾的情形下，將有相應(yīng)的制裁機(jī)制追究責(zé)任。其三，在監(jiān)督執(zhí)行方面，《隱私盾協(xié)議》確立了聯(lián)合審查機(jī)制，美國商務(wù)部和歐盟委員會(huì)聯(lián)合監(jiān)督，確保協(xié)議的有效執(zhí)行。如果美國企業(yè)和政府未能履行其承諾，歐委會(huì)將暫停協(xié)議的運(yùn)作。其四，在數(shù)據(jù)主體的救濟(jì)途徑方面，歐盟公民可以直接對(duì)加入?yún)f(xié)議的美國公司提起申訴，美國公司必須及時(shí)回應(yīng)該訴求。歐盟公民還可以向歐盟的數(shù)據(jù)監(jiān)管機(jī)構(gòu)提起申訴，由該機(jī)構(gòu)將申訴移交給美國商務(wù)部或聯(lián)邦貿(mào)易委員會(huì)，促使?fàn)幾h快速解決。歐盟公民還有權(quán)直接在美國法院提起訴訟。《隱私盾協(xié)議》使美國和歐盟企業(yè)的業(yè)務(wù)活動(dòng)重新獲得制度保障，目前已有超過2500家企業(yè)加入。

從《安全港協(xié)議》到《隱私盾協(xié)議》,個(gè)人數(shù)據(jù)保護(hù)的歐盟標(biāo)準(zhǔn)步步緊逼，美國則不斷妥協(xié)。在此過程中，歐盟不僅迫使美國企業(yè)提高數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，還一定程度上推動(dòng)了美國制度環(huán)境的變化。例如，《安全港協(xié)議》失效后，美國加州通過了《電子通訊隱私法案》，禁止政府機(jī)構(gòu)強(qiáng)制要求商業(yè)機(jī)構(gòu)提供任何電子通訊信息，除非持有特殊情形下頒發(fā)的搜查令、竊聽許可、傳票等。為配合《隱私盾協(xié)議》的實(shí)施，2016年奧巴馬簽署了《司法救濟(jì)法案》，針對(duì)美國政府不當(dāng)披露個(gè)人信息的行為，歐洲公民有權(quán)依據(jù)《1974年隱私法案》在美國法院提起訴訟。2018年加州出臺(tái)《消費(fèi)者隱私法案》(CCPA)，對(duì)企業(yè)提出了更多通知、披露義務(wù)，并針對(duì)數(shù)據(jù)泄露規(guī)定了法定損害賠償金，是美國州層面最嚴(yán)格的隱私立法，也被視為最具有GDPR色彩的美國隱私立法。當(dāng)然，美國并沒有根本改變其國內(nèi)的隱私立法導(dǎo)向和立法模式。即使是CCPA，其制度內(nèi)核仍體現(xiàn)出與歐盟制度的烙印差異，更加注重消費(fèi)者保護(hù)的實(shí)際效果，以及與促進(jìn)企業(yè)發(fā)展、技術(shù)創(chuàng)新之間的平衡。

(二)通過區(qū)域協(xié)議與歐盟爭奪話語權(quán)

美國作為全球數(shù)字經(jīng)濟(jì)的領(lǐng)頭羊，由歐盟引領(lǐng)全球數(shù)據(jù)保護(hù)立法不符合美國利益，美國借助其在亞太地區(qū)的政治經(jīng)濟(jì)影響力，試圖以區(qū)域協(xié)議的方式構(gòu)建符合自身利益的規(guī)制體系，從而獲得一定程度的話語權(quán)，在國際層面與歐盟制度相互抗衡、影響和融合。

在美國的倡導(dǎo)和推動(dòng)下，亞太經(jīng)合組織于2005年通過《APEC隱私框架》，《框架》與歐盟的規(guī)制體系存在顯著差異?！犊蚣堋沸蜓灾须m然也確認(rèn)了個(gè)人信息的隱私價(jià)值，但其并未將隱私權(quán)看作基本人權(quán)，其關(guān)注的重心是通過隱私保護(hù)增強(qiáng)消費(fèi)者信心，通過統(tǒng)一規(guī)則促進(jìn)數(shù)據(jù)跨境流動(dòng)，從而實(shí)現(xiàn)促進(jìn)亞太地區(qū)電子商務(wù)發(fā)展的目標(biāo)?！犊蚣堋芬蟪蓡T經(jīng)濟(jì)體采取“一切合理及適當(dāng)步驟避免和消除任何不必要的信息流動(dòng)障礙”。《框架》確立的一套信息隱私原則主要源于OECD1980年《隱私保護(hù)和個(gè)人數(shù)據(jù)跨境流通指南》的保護(hù)原則,明顯低于歐盟95年《指令》的保護(hù)標(biāo)準(zhǔn)。為推動(dòng)《框架》的執(zhí)行，APEC于2011年出臺(tái)“跨境隱私規(guī)則”(CBPR)，為涉及數(shù)據(jù)跨境傳輸?shù)钠髽I(yè)提供了一個(gè)自愿認(rèn)證系統(tǒng)。CBPR機(jī)制下，認(rèn)證的核心是評(píng)估企業(yè)是否遵循《框架》規(guī)定的個(gè)人信息保護(hù)原則，通過認(rèn)證的不同國家的不同公司，可以不受阻礙地相互傳輸數(shù)據(jù)。加入CBPR的成員方需要在國內(nèi)指定問責(zé)代理機(jī)構(gòu)并經(jīng)APEC認(rèn)可。企業(yè)首先對(duì)其跨境數(shù)據(jù)流動(dòng)的內(nèi)部政策進(jìn)行自我評(píng)估，然后提交給問責(zé)代理機(jī)構(gòu)進(jìn)行審查評(píng)估，通過評(píng)估被認(rèn)證為CBPR遵守方，相關(guān)信息公布在認(rèn)證目錄網(wǎng)站，問責(zé)代理機(jī)構(gòu)或本地的數(shù)據(jù)隱私機(jī)構(gòu)負(fù)責(zé)執(zhí)行和處理違規(guī)行為。CBPR機(jī)制的運(yùn)行邏輯類似于歐盟的“有約束力的公司規(guī)則”(BCR)機(jī)制，即遵循一套統(tǒng)一隱私規(guī)則的企業(yè)之間可以跨國傳輸數(shù)據(jù)。為促進(jìn)歐盟和亞太地區(qū)的個(gè)人數(shù)據(jù)流動(dòng)，2012年APEC和歐盟成立聯(lián)合工作組，致力于CBPR和BCR兩個(gè)體系間的互通和融合。2014年工作組制定了“BCR和CBPR體系共同參考”，作為一個(gè)非正式的檢查清單，列舉了兩個(gè)體系在認(rèn)證方面的共同要求和差異性。2015年聯(lián)合工作組表達(dá)了從執(zhí)行層面融合兩個(gè)體系的意向，擬合作制定企業(yè)同時(shí)加入兩個(gè)體系的聯(lián)合申請(qǐng)表。但是，由于兩個(gè)體系的顯著差異，CBPR以《框架》原則為基礎(chǔ)，BCR以《指令》和GDPR為基礎(chǔ)，CBPR的隱私保護(hù)標(biāo)準(zhǔn)明顯低于BCR，兩者的融合進(jìn)展緩慢，至今未有實(shí)質(zhì)性的突破。

《APEC隱私框架》和CBPR是美國通過區(qū)域協(xié)議推行美式數(shù)據(jù)規(guī)制標(biāo)準(zhǔn)的最重要成果，但是，從運(yùn)行實(shí)踐觀察，《框架》對(duì)APEC成員方?jīng)]有法律約束力，僅為推薦性標(biāo)準(zhǔn)，對(duì)該地區(qū)國家的數(shù)據(jù)隱私法并無實(shí)質(zhì)性影響。加入CBPR的有美國、日本、墨西哥、加拿大、韓國、新加坡、澳大利亞和中國臺(tái)北。其中一些國家尚未指定問責(zé)代理機(jī)構(gòu)或問責(zé)代理機(jī)構(gòu)仍在申請(qǐng)之中，因而這些國家還無法實(shí)際運(yùn)行CBPR體系。真正開始運(yùn)作CBPR的目前只有美國和日本。取得CBPR認(rèn)證的企業(yè)目前僅24家，其中美國23家，日本1家。迄今為止美國通過APEC獲得的實(shí)際影響力非常有限。事實(shí)上，日本、墨西哥、韓國、加拿大、新加坡、澳大利亞等APEC成員方的國內(nèi)數(shù)據(jù)保護(hù)水平都在向歐盟95年《指令》，乃至GDPR靠攏，明顯超出APEC的保護(hù)水平。執(zhí)行CBPR則意味著這些國家和地區(qū)要實(shí)行“內(nèi)緊外松”的數(shù)據(jù)保護(hù)制度，即在國內(nèi)執(zhí)行較高水平的數(shù)據(jù)保護(hù)，而數(shù)據(jù)出境時(shí)第三國的數(shù)據(jù)接收方只要達(dá)到APEC的較低保護(hù)水平，就允許出境。這既不利于本國利益，也限制了國家主權(quán)，CBPR遇冷也就不足為奇。然而，美國仍在借助其政治經(jīng)濟(jì)影響力，積極游說和推動(dòng)更多APEC成員方加入并執(zhí)行CBPR體系。

除此之外，美國還在其主導(dǎo)的自由貿(mào)易協(xié)定中推行促進(jìn)數(shù)據(jù)自由流動(dòng)的規(guī)則。2012年達(dá)成的美韓FTA，電子商務(wù)章中要求“各締約方應(yīng)盡量避免對(duì)電子信息跨境流動(dòng)施加或維持不必要的壁壘”。從措辭看，該規(guī)定呈現(xiàn)原則性的特點(diǎn)，還不具有強(qiáng)制性約束力。金融服務(wù)章中的相關(guān)規(guī)定相對(duì)較為明確，“締約方應(yīng)準(zhǔn)許對(duì)方的金融機(jī)構(gòu)，出于正常業(yè)務(wù)活動(dòng)的需要，以電子或其他形式傳送信息、進(jìn)行跨境數(shù)據(jù)處理?！边@是美國在FTA中首次引入數(shù)據(jù)跨境流動(dòng)規(guī)則，雖然只是框架性的初步規(guī)定，但它代表了美國今后FTA談判中的導(dǎo)向。2015年達(dá)成的TPP，第14章電子商務(wù)第8條規(guī)定了各締約方保護(hù)個(gè)人信息的義務(wù)，但是在注釋6中指出，締約方履行個(gè)人信息保護(hù)義務(wù)的方式包括諸如，“統(tǒng)一的隱私法、個(gè)人信息法或個(gè)人數(shù)據(jù)保護(hù)法，涵蓋隱私保護(hù)的特定部門法，監(jiān)督企業(yè)自愿進(jìn)行隱私保護(hù)的法律?！痹撟⑨屢耘e例列舉的方式非常寬泛地涵蓋了各種數(shù)據(jù)隱私保護(hù)模式，設(shè)置了很低的義務(wù)履行要求。電子商務(wù)章第11條又規(guī)定，各締約方應(yīng)允許個(gè)人信息跨境自由流動(dòng)，除非出于正當(dāng)?shù)墓舱吣繕?biāo)。即使公共政策目標(biāo)包括個(gè)人信息保護(hù)，根據(jù)注釋6，只要一締約方采取了任何一種隱私保護(hù)模式，就應(yīng)當(dāng)被認(rèn)為達(dá)到了個(gè)人信息保護(hù)要求，其他締約方就不應(yīng)當(dāng)限制個(gè)人信息向其傳輸。

不論是APEC框架下的CBPR體系，還是自由貿(mào)易協(xié)定中的數(shù)據(jù)流動(dòng)規(guī)則，美國都在以較低水平的數(shù)據(jù)保護(hù)為基礎(chǔ)構(gòu)建有利于數(shù)據(jù)自由流動(dòng)的跨境規(guī)則，旨在促進(jìn)數(shù)據(jù)向美國流動(dòng)。這和歐盟通過個(gè)人信息出境的“充分”保護(hù)要求促使全球數(shù)據(jù)保護(hù)水平向歐盟靠攏是背道而馳的。正因如此，歐盟在和美國開展的TTIP談判中一再聲稱：個(gè)人信息保護(hù)是基本人權(quán)，決不能在貿(mào)易談判中談沒了?？梢姎W盟是堅(jiān)決杜絕TPP中上述類似條款的。雖然迄今為止，美國在區(qū)域協(xié)議中取得的實(shí)際成果極為有限，但是美歐間的博弈將是長期而激烈的。美國能否以APEC下的CBPR和自由貿(mào)易協(xié)定撬動(dòng)歐盟的主導(dǎo)格局，拉低全球數(shù)據(jù)保護(hù)水平，還有待觀察。

四、中國當(dāng)前應(yīng)對(duì)GDPR的可行性措施

(一)現(xiàn)階段借鑒美國經(jīng)驗(yàn)不具有可行性

2018年9月，我國的《個(gè)人信息保護(hù)法》列入立法規(guī)劃，目前尚處于討論階段。當(dāng)前，我國個(gè)人信息保護(hù)的法律依據(jù)是散見于公法和私法不同部門法中的相關(guān)規(guī)定，包括但不限于《民法總則》《侵權(quán)責(zé)任法》《網(wǎng)絡(luò)安全法》《電子商務(wù)法》《消費(fèi)者權(quán)益保護(hù)法》等法律，《征信業(yè)管理?xiàng)l例》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》《網(wǎng)絡(luò)預(yù)約出租車經(jīng)營服務(wù)管理暫行辦法》等行政法規(guī)和部門規(guī)章。這些規(guī)定大都較為簡單、操作性不強(qiáng)，且規(guī)定分散、不成體系，規(guī)定之間缺乏聯(lián)系和相互支撐，甚至存在矛盾和混亂。由于立法不完善、私力救濟(jì)不足、行政監(jiān)管缺位，我國當(dāng)前的個(gè)人信息保護(hù)框架失衡，既不能為自然人提供充分的個(gè)人信息權(quán)利保障、也無力滿足市場對(duì)個(gè)人信息利用的合理需求，更因國際視野缺乏，無法在國際規(guī)則制定和跨境執(zhí)法中發(fā)揮應(yīng)有的作用。[5]以我國目前的個(gè)人信息保護(hù)狀況，我國不可能獲得歐盟的充分性認(rèn)定。然而，中國企業(yè)在中歐商貿(mào)往來中，不論是銀行、金融、保險(xiǎn)、醫(yī)療健康、航空等傳統(tǒng)企業(yè)，還是跨境電商、社交網(wǎng)絡(luò)、智能出行、智能家居等新興領(lǐng)域，都會(huì)面臨GDPR的合規(guī)挑戰(zhàn)。上述美國政府應(yīng)對(duì)歐盟數(shù)據(jù)立法的舉措，中國目前是否可以借鑒？

美歐政府間締結(jié)的《隱私盾協(xié)議》，是化解數(shù)字貿(mào)易壁壘、解決數(shù)據(jù)跨境流動(dòng)最行之有效的途徑。美歐間能夠達(dá)成雙邊協(xié)議，有賴于四方面因素：一是美歐之間的經(jīng)濟(jì)依存度較高，美國是歐盟最大的出口國市場，且美國的互聯(lián)網(wǎng)公司在歐盟提供廣泛的服務(wù)?！栋踩蹍f(xié)議》失效后，歐洲委員會(huì)曾表明，美歐數(shù)據(jù)流動(dòng)受阻可能會(huì)造成歐盟整體國民生產(chǎn)總值下降0.8%-1.3%。二是美歐之間長期以來的政治互信，《隱私盾協(xié)議》的內(nèi)容廣泛，還涉及反恐、洗錢、國家安全等敏感事項(xiàng)。三是美國強(qiáng)大的外部執(zhí)法威懾機(jī)制能夠有效約束信息控制者的行為。美國憲法、聯(lián)邦法律、州法對(duì)于個(gè)人信息都有相應(yīng)的保護(hù)規(guī)定，只是聯(lián)邦層面缺乏一部統(tǒng)一的適用于市場主體的個(gè)人信息保護(hù)法。美國聯(lián)邦貿(mào)易委員會(huì)、各州總檢察長、民事(集團(tuán))訴訟、國會(huì)監(jiān)督與媒體監(jiān)督及社會(huì)監(jiān)督等機(jī)制毫不亞于歐盟國家個(gè)人信息管理局的執(zhí)法力度。[6]P17四是美國為達(dá)成協(xié)議做出了更多的妥協(xié)。中國如果想仿效美國，與歐盟達(dá)成類似的雙邊協(xié)議，目前較為有利的因素是中歐之間密切的經(jīng)貿(mào)往來，中國是歐盟的第二大貿(mào)易伙伴，歐盟是中國的第一大貿(mào)易伙伴。但是，中國的互聯(lián)網(wǎng)企業(yè)國際化程度不高，歐盟市場對(duì)其沒有依賴。最為不利的因素是我國目前較低水平的個(gè)人信息保護(hù)，基礎(chǔ)性立法和標(biāo)準(zhǔn)較為匱乏、執(zhí)法監(jiān)督機(jī)制分散無力、救濟(jì)手段不足，與《隱私盾協(xié)議》的要求差距較大。在我國國內(nèi)法制作出改善之前，我國與歐盟達(dá)成類似雙邊協(xié)議尚不具備可行性，更遑論在區(qū)域和國際層面提出個(gè)人數(shù)據(jù)保護(hù)和數(shù)據(jù)流動(dòng)的標(biāo)準(zhǔn)、參與國際規(guī)則制定。因而，政府的當(dāng)務(wù)之急是從國內(nèi)法層面加強(qiáng)個(gè)人信息保護(hù)立法和執(zhí)法體系的建設(shè)。

(二)構(gòu)建符合國際立法趨勢和我國現(xiàn)實(shí)需求的個(gè)人信息保護(hù)法

中國的數(shù)字經(jīng)濟(jì)規(guī)模僅次于美國，位列全球第二。全球市值最高的20家互聯(lián)網(wǎng)公司中，中國占據(jù)9席，僅次于美國的11席，但是，中國公司以本土化運(yùn)營為主，其國際化程度遠(yuǎn)不及美國公司。目前，我國企業(yè)有實(shí)力且有需求深度參與國際競爭，拓展海外市場，在全球數(shù)字經(jīng)濟(jì)的發(fā)展中謀求更廣闊的空間。歐盟引領(lǐng)的個(gè)人數(shù)據(jù)保護(hù)立法不斷提升全球數(shù)據(jù)保護(hù)水平和市場門檻，倒逼中國企業(yè)提高個(gè)人信息數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)。另一方面，國內(nèi)近年來屢屢發(fā)生個(gè)人信息泄露和濫用事件，也需要建立有效機(jī)制約束個(gè)人信息控制者或處理者的行為，這既是保護(hù)我國個(gè)人權(quán)益的必要，也是增強(qiáng)消費(fèi)者對(duì)互聯(lián)網(wǎng)線上服務(wù)的信心，深入發(fā)展數(shù)字經(jīng)濟(jì)的內(nèi)在要求。不可否認(rèn)，我國較為寬松的個(gè)人信息保護(hù)政策，在過去十幾年間對(duì)我國互聯(lián)網(wǎng)企業(yè)和數(shù)字經(jīng)濟(jì)的迅猛發(fā)展發(fā)揮了助力作用，但是在目前的國內(nèi)外形勢下，我國應(yīng)當(dāng)適度提高個(gè)人信息保護(hù)水平。我國正處于個(gè)人信息保護(hù)法立法的關(guān)鍵時(shí)期，我國需要根據(jù)國際立法趨勢和國內(nèi)情況，合理構(gòu)建個(gè)人信息保護(hù)法，力求在數(shù)字經(jīng)濟(jì)發(fā)展、個(gè)人信息保護(hù)和國家安全間取得最佳平衡。

1.我國的個(gè)人信息保護(hù)法不宜盲目追隨歐盟的GDPR，但應(yīng)達(dá)到全球第一代個(gè)人信息保護(hù)法的標(biāo)準(zhǔn),同時(shí)吸收第二代和第三代個(gè)人信息保護(hù)法中的適宜因素。根據(jù)澳大利亞Graham Greenleaf教授的研究，全球個(gè)人信息保護(hù)法的演進(jìn)歷經(jīng)三代：第一代以1980年OECD《指南》和1981年歐委會(huì)《108號(hào)公約》為代表，確立了個(gè)人信息保護(hù)法的基本內(nèi)容。目前，全球已經(jīng)有126個(gè)國家的立法達(dá)到了第一代保護(hù)標(biāo)準(zhǔn)，其中75個(gè)歐洲以外的國家。第二代以歐盟1995年《指令》為代表，在第一代的基礎(chǔ)上加入了更高保護(hù)標(biāo)準(zhǔn)的一些要求，如“數(shù)據(jù)最少夠用”、“數(shù)據(jù)刪除”、“獨(dú)立的個(gè)人數(shù)據(jù)保護(hù)機(jī)構(gòu)”等等。75個(gè)非歐洲國家立法的平均水平已經(jīng)至少滿足這些要求的一半以上。第三代以歐盟GDPR為代表，在第二代的基礎(chǔ)上進(jìn)一步擴(kuò)展了數(shù)據(jù)主體權(quán)利，如“被遺忘權(quán)”、“可攜權(quán)”，還增加了“企業(yè)設(shè)立數(shù)據(jù)保護(hù)官”、 “設(shè)計(jì)隱私”、“數(shù)據(jù)發(fā)生安全事故后及時(shí)通知”等要求。作為第一代個(gè)人信息保護(hù)法的標(biāo)志性立法文件近來也作出了與時(shí)俱進(jìn)的修訂。2013年OECD修訂1980年《指南》時(shí)，保持其核心原則，但根據(jù)形勢的變化增加了部分原則的具體實(shí)施要求，如在落實(shí)責(zé)任原則時(shí)，增加了安全事故發(fā)生時(shí)的通知要求。2018年《108號(hào)公約》現(xiàn)代化的修訂版完成，重申并強(qiáng)化原有基本原則的同時(shí)，加入了GDPR的部分要素。

在歐盟立法的引領(lǐng)下，全球個(gè)人信息保護(hù)的實(shí)質(zhì)原則表現(xiàn)出相當(dāng)?shù)内呁?。第一代個(gè)人信息保護(hù)法的基本原則歷經(jīng)30多年的實(shí)踐檢驗(yàn)，現(xiàn)在為國際社會(huì)成員普遍接受，體現(xiàn)了其合理性和穩(wěn)定性。因而，我國的個(gè)人信息保護(hù)法首先應(yīng)全面達(dá)到第一代個(gè)人信息保護(hù)法的標(biāo)準(zhǔn)，確立如下基本原則：信息收集限制原則、質(zhì)量原則、目的特定化原則、使用限制原則、安全保護(hù)原則、公開原則、個(gè)人參與原則、責(zé)任原則。第二代和第三代個(gè)人信息保護(hù)法中的新增要素需要逐一考察，對(duì)那些回應(yīng)了網(wǎng)絡(luò)發(fā)展新情況，實(shí)踐證明可行，又被許多國家普遍接受的要素，應(yīng)予以采納，例如敏感信息特別保護(hù)、安全事故發(fā)生后的報(bào)告和通知要求等。GDPR實(shí)施剛滿一年，其諸多新規(guī)則的現(xiàn)實(shí)效果和可操作性、其對(duì)數(shù)字經(jīng)濟(jì)的深層影響、其對(duì)技術(shù)發(fā)展的適應(yīng)性等，都還有待觀察。即使在歐盟數(shù)據(jù)保護(hù)法的發(fā)源地德國，對(duì)GDPR仍存在很多批評(píng)。甚至有觀點(diǎn)認(rèn)為，GDPR存在結(jié)構(gòu)性缺陷以及實(shí)施層面的巨大挑戰(zhàn)，需要實(shí)質(zhì)性地改變和完善。況且，深化發(fā)展數(shù)字經(jīng)濟(jì)是我國目前擴(kuò)展經(jīng)濟(jì)發(fā)展新空間的重要戰(zhàn)略，GDPR嚴(yán)苛的數(shù)據(jù)保護(hù)義務(wù)對(duì)數(shù)據(jù)控制者或處理者施加了很重的負(fù)擔(dān)，會(huì)抑制數(shù)字經(jīng)濟(jì)發(fā)展的活力，我國不宜全面借鑒GDPR。

2.個(gè)人數(shù)據(jù)出境規(guī)則的設(shè)計(jì)應(yīng)兼顧安全和發(fā)展，根據(jù)數(shù)據(jù)的不同性質(zhì)采取不同的監(jiān)管路徑。我國立法對(duì)個(gè)人數(shù)據(jù)出境采取嚴(yán)格的本地化存儲(chǔ)和出境安全評(píng)估機(jī)制進(jìn)行管控。2017年6月開始實(shí)施的《網(wǎng)絡(luò)安全法》第37條規(guī)定，“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定辦法進(jìn)行安全評(píng)估。法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。”2017年4月國家網(wǎng)信辦發(fā)布的《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法(征求意見稿)》同樣遵循境內(nèi)存儲(chǔ)和出境安全評(píng)估原則，但其適用的義務(wù)主體范圍更廣，不限于“關(guān)鍵基礎(chǔ)設(shè)施的運(yùn)營者”，而是包含所有“網(wǎng)絡(luò)運(yùn)營者”在我國境內(nèi)“收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)”。安全評(píng)估根據(jù)出境數(shù)據(jù)的數(shù)量、類型和重要程度等分為網(wǎng)絡(luò)運(yùn)營者自評(píng)估和政府部門評(píng)估兩種機(jī)制。這一立法取向，將幾乎所有個(gè)人信息數(shù)據(jù)廣泛納入境內(nèi)存儲(chǔ)和出境安全評(píng)估范圍，體現(xiàn)出強(qiáng)化數(shù)據(jù)主權(quán)和政府管控的意圖。

《評(píng)估辦法》設(shè)置了非常全面的評(píng)估內(nèi)容，但缺乏明確的評(píng)估合格標(biāo)準(zhǔn)。評(píng)估內(nèi)容涵蓋個(gè)人信息和重要數(shù)據(jù)的基本情況、數(shù)據(jù)主體是否同意、數(shù)據(jù)接收方的保護(hù)水平、數(shù)據(jù)出境后的各種風(fēng)險(xiǎn)等方面。其中關(guān)于信息數(shù)據(jù)的基本情況和數(shù)據(jù)主體的同意較為容易判定，但是，數(shù)據(jù)接收方的保護(hù)水平和數(shù)據(jù)出境后的風(fēng)險(xiǎn)審查沒有客觀標(biāo)準(zhǔn)，增加了評(píng)估的難度和不確定性。歐盟的數(shù)據(jù)跨境流動(dòng)規(guī)則主要是對(duì)數(shù)據(jù)接收國的相關(guān)法律和執(zhí)法機(jī)制，以及數(shù)據(jù)接收方的保護(hù)水平進(jìn)行評(píng)估，以歐盟的數(shù)據(jù)保護(hù)水平為參照標(biāo)準(zhǔn)，屬于資格審查，一旦通過認(rèn)定就可以在相對(duì)穩(wěn)定且可預(yù)見的環(huán)境下跨境傳輸數(shù)據(jù)。我國《評(píng)估辦法》沒有規(guī)定數(shù)據(jù)接收國或接收方必須提供與我國個(gè)人信息保護(hù)法相同的水平，這使得對(duì)接收方保護(hù)能力的認(rèn)定沒有實(shí)質(zhì)標(biāo)準(zhǔn)。此外，評(píng)估內(nèi)容中關(guān)于數(shù)據(jù)出境后可能面臨的各方面風(fēng)險(xiǎn)的審查，對(duì)開展評(píng)估的網(wǎng)絡(luò)運(yùn)營者和政府監(jiān)管機(jī)構(gòu)的信息收集和評(píng)估能力都提出了較高要求，而且，由于沒有統(tǒng)一標(biāo)準(zhǔn)，不同評(píng)估者對(duì)相同情況下的風(fēng)險(xiǎn)評(píng)估結(jié)果可能不一致。面面俱到又缺乏明確標(biāo)準(zhǔn)的評(píng)估要求，不能為市場主體營造穩(wěn)定可預(yù)期的數(shù)據(jù)流動(dòng)法律環(huán)境，并增加其合規(guī)成本。當(dāng)然，這使得政府對(duì)個(gè)人數(shù)據(jù)出境審查有更大的裁量權(quán)和話語權(quán)。

從《評(píng)估辦法》看，我國目前偏重于通過政府的嚴(yán)格監(jiān)管，高度維護(hù)數(shù)據(jù)主權(quán)和數(shù)據(jù)出境的安全。但是，從數(shù)字經(jīng)濟(jì)發(fā)展的角度看，會(huì)造成市場主體不必要的負(fù)擔(dān)，嚴(yán)重阻礙數(shù)據(jù)跨境傳輸，而且容易招致其他國家的對(duì)等措施，影響數(shù)字貿(mào)易的健康發(fā)展?！对u(píng)估辦法》尚在征求意見階段，我國個(gè)人數(shù)據(jù)出境規(guī)則的構(gòu)建應(yīng)當(dāng)力求在安全和發(fā)展的需求間取得平衡。首先，應(yīng)當(dāng)區(qū)分?jǐn)?shù)據(jù)的不同性質(zhì)，有針對(duì)性地對(duì)其跨境流動(dòng)采用不同的管理路徑。對(duì)一般個(gè)人數(shù)據(jù)出境進(jìn)行監(jiān)管的政策目標(biāo)是保護(hù)公民隱私和公民的個(gè)人信息自決權(quán)利。對(duì)重要數(shù)據(jù)和敏感數(shù)據(jù)出境進(jìn)行管控的政策目標(biāo)是保護(hù)國家安全和公共利益。不同政策目標(biāo)下，數(shù)據(jù)出境的制度設(shè)計(jì)和管控措施都應(yīng)當(dāng)不一樣。第二，重要數(shù)據(jù)和敏感數(shù)據(jù)，因其涉及國家安全和公共利益等更重大的利益，應(yīng)當(dāng)由政府直接進(jìn)行嚴(yán)格監(jiān)管，要求本地化存儲(chǔ)，并且由政府介入具體情境下的出境評(píng)估。第三，對(duì)一般個(gè)人數(shù)據(jù)，可以參照歐盟的數(shù)據(jù)流動(dòng)監(jiān)管模式，重點(diǎn)評(píng)估數(shù)據(jù)接收國的個(gè)人數(shù)據(jù)保護(hù)法律環(huán)境和數(shù)據(jù)接收企業(yè)的個(gè)人信息保護(hù)機(jī)制是否完善，GDPR中的充分性認(rèn)定制度、標(biāo)準(zhǔn)合同機(jī)制等都可資借鑒。同時(shí)，對(duì)境外數(shù)據(jù)接收方個(gè)人數(shù)據(jù)保護(hù)水平的評(píng)估標(biāo)準(zhǔn)也應(yīng)明確以我國國內(nèi)法的保護(hù)水平為準(zhǔn)，前提是我國統(tǒng)一的《個(gè)人信息保護(hù)法》盡快出臺(tái)。這種監(jiān)管模式下，政府依據(jù)明確的標(biāo)準(zhǔn)對(duì)境外接收方事先進(jìn)行資格審查，可以為市場提供穩(wěn)定預(yù)期，降低評(píng)估成本，同時(shí)也達(dá)到了保護(hù)個(gè)人信息權(quán)利的目的。以此為基礎(chǔ)，我國還可以同其他國家達(dá)成相互認(rèn)證個(gè)人數(shù)據(jù)保護(hù)水平的協(xié)議，促進(jìn)數(shù)據(jù)的雙向流動(dòng)和數(shù)字經(jīng)濟(jì)的發(fā)展。

3. 設(shè)置權(quán)威的個(gè)人信息保護(hù)執(zhí)法機(jī)構(gòu)，改變執(zhí)法分散低效的現(xiàn)狀。我國統(tǒng)一的《個(gè)人信息保護(hù)法》尚未出臺(tái)，涉及個(gè)人信息保護(hù)方面的法律呈碎片化狀態(tài)，監(jiān)管執(zhí)法也較為分散。根據(jù)我國現(xiàn)行制度，嚴(yán)重侵犯個(gè)人信息的犯罪行為依靠公安和司法部門進(jìn)行刑事打擊，其余一般侵犯個(gè)人信息的情形主要由行業(yè)主管部門進(jìn)行監(jiān)督執(zhí)法，包括網(wǎng)信辦、工信部、市場監(jiān)管局，以及金融、醫(yī)療等專門領(lǐng)域的主管部門。多頭分散的管理體制造成各主管部門職責(zé)不明確，一方面在職責(zé)交叉的領(lǐng)域容易造成重復(fù)執(zhí)法、競爭性執(zhí)法，或者互相推諉，另一方面還可能存在監(jiān)管的真空地帶。2019年1月，中央網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局四部門聯(lián)合發(fā)布關(guān)于開展APP違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告。此后，2019年3月，市場監(jiān)管局和中央網(wǎng)信辦發(fā)布關(guān)于開展APP安全認(rèn)證工作的公告，這兩部門將組織開展APP安全認(rèn)證，指定中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心為認(rèn)證機(jī)構(gòu)，并頒布《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(APP)安全認(rèn)證實(shí)施規(guī)則》。2019年6月28日，工信部辦公廳印發(fā)《電信和互聯(lián)網(wǎng)行業(yè)提升網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)能力專項(xiàng)行動(dòng)方案》的通知，在“深化APP違法違規(guī)專項(xiàng)治理”部分，提出“組織第三方評(píng)測機(jī)構(gòu)開展APP安全滾動(dòng)式評(píng)測，對(duì)在網(wǎng)絡(luò)安全和用戶信息保護(hù)方面存在違法違規(guī)行為的APP及時(shí)進(jìn)行下架和公開曝光”，以及“引導(dǎo)第三方機(jī)構(gòu)開展APP數(shù)據(jù)安全管理認(rèn)證”。據(jù)此文件，工信部也準(zhǔn)備組織測評(píng)和評(píng)估，但是，通知中沒有明確第三方評(píng)測和認(rèn)證機(jī)構(gòu)是何機(jī)構(gòu)，也沒有說明此認(rèn)證與網(wǎng)信辦和市場監(jiān)管局3月發(fā)布的認(rèn)證規(guī)則、指定的認(rèn)證機(jī)構(gòu)是否存在聯(lián)系。工信部的通知后續(xù)如何操作也不明確，如果部門間能夠協(xié)調(diào)一致、分工合作當(dāng)然最好，如果都要爭奪APP安全評(píng)估工作的主導(dǎo)權(quán)，則會(huì)造成資源浪費(fèi)、增加企業(yè)負(fù)擔(dān)。標(biāo)準(zhǔn)不統(tǒng)一，最終損害執(zhí)法機(jī)關(guān)的權(quán)威性，這也正是分散執(zhí)法的弊端。

歐盟GDPR中關(guān)于個(gè)人數(shù)據(jù)跨境流動(dòng)的“充分性認(rèn)定”機(jī)制，在評(píng)估數(shù)據(jù)接收國個(gè)人信息保護(hù)的法律環(huán)境時(shí)，其中一項(xiàng)重要因素就是要求設(shè)立獨(dú)立且有效運(yùn)行的個(gè)人信息保護(hù)監(jiān)管機(jī)構(gòu)，監(jiān)管機(jī)構(gòu)有充分的執(zhí)法權(quán)，并與歐盟成員國的監(jiān)管機(jī)構(gòu)進(jìn)行合作。受歐盟立法影響，很多國家都設(shè)置了專門的個(gè)人信息保護(hù)機(jī)構(gòu)。例如，日本在2015年修改《個(gè)人信息保護(hù)法》之后，2016年1月設(shè)立了個(gè)人信息保護(hù)委員會(huì)，由內(nèi)閣總理大臣直屬管轄，獨(dú)立行使職權(quán)，負(fù)責(zé)監(jiān)督執(zhí)法、處理投訴、制定規(guī)范性文件、進(jìn)行國際合作等事項(xiàng)。APEC“跨境隱私規(guī)則”體系也要求加入方在國內(nèi)指定“問責(zé)代理機(jī)構(gòu)”，由問責(zé)代理機(jī)構(gòu)或數(shù)據(jù)隱私機(jī)構(gòu)負(fù)責(zé)執(zhí)行和處理違規(guī)行為。由此可見，世界主要國家和國際組織的個(gè)人數(shù)據(jù)跨境流動(dòng)制度在評(píng)估接受國個(gè)人信息保護(hù)水平時(shí)，個(gè)人信息保護(hù)機(jī)構(gòu)的執(zhí)法能力已成為一項(xiàng)必要考察因素。

大數(shù)據(jù)時(shí)代，數(shù)據(jù)大規(guī)模、頻繁傳輸已成常態(tài)，對(duì)個(gè)人信息保護(hù)執(zhí)法提出了更高要求。我國目前多頭混治的管理體制，不能提供高效、及時(shí)的個(gè)人信息保護(hù)。我國應(yīng)當(dāng)設(shè)置權(quán)威機(jī)構(gòu)進(jìn)行統(tǒng)一監(jiān)管，可以考慮由國家網(wǎng)信部門承擔(dān)這一職責(zé)，同時(shí)，在金融、醫(yī)療等特殊專業(yè)領(lǐng)域，其主管部門在網(wǎng)信部門的指導(dǎo)和監(jiān)督下履行其職責(zé)范圍內(nèi)的個(gè)人信息保護(hù)職責(zé)。設(shè)置統(tǒng)一、職責(zé)明確的個(gè)人信息保護(hù)執(zhí)法機(jī)構(gòu)，提高執(zhí)法水平，不僅有利于保障我國公民的合法權(quán)益，還可以提高我國在個(gè)人信息保護(hù)方面的國際形象，為我國參加個(gè)人數(shù)據(jù)跨境流動(dòng)的雙邊和區(qū)域機(jī)制提供制度支持。

綜上所述，以貿(mào)易壁壘的角度考察GDPR，并非否定其人權(quán)保護(hù)的的立場和積極作用，而是從其對(duì)數(shù)字貿(mào)易的實(shí)際效果出發(fā)，探討其制度設(shè)計(jì)的影響和可能的因應(yīng)。歐盟憑借其統(tǒng)一大市場和高超的立法水平，在個(gè)人數(shù)據(jù)保護(hù)領(lǐng)域保持著持續(xù)輸出制度的影響力。越來越多歐盟以外國家和地區(qū)的個(gè)人數(shù)據(jù)保護(hù)法向95年《指令》標(biāo)準(zhǔn)乃至GDPR標(biāo)準(zhǔn)靠攏。非洲等新興市場國家也開始積極仿效歐盟的數(shù)據(jù)立法。因個(gè)人數(shù)據(jù)保護(hù)產(chǎn)生的市場壁壘，也會(huì)在其他地區(qū)日益凸顯。美國作為全球互聯(lián)網(wǎng)產(chǎn)業(yè)和數(shù)字經(jīng)濟(jì)的領(lǐng)頭羊，其個(gè)人數(shù)據(jù)保護(hù)立法的理念和路徑與歐盟大相徑庭。美國試圖通過區(qū)域協(xié)議，提出符合美國利益的較低標(biāo)準(zhǔn)的個(gè)人數(shù)據(jù)保護(hù)和跨境流動(dòng)規(guī)則，以此抗衡歐盟的制度引領(lǐng)，然而迄今為止影響有限。但是，美歐間能夠通過有效的雙邊協(xié)議達(dá)成妥協(xié)，在很大程度上化解歐盟數(shù)據(jù)立法產(chǎn)生的壁壘。相比之下，中國則相當(dāng)被動(dòng)，目前無法從雙邊或區(qū)域?qū)用嫣岢鲇行Ы鉀Q方案，這對(duì)中國企業(yè)深度參與全球數(shù)字經(jīng)濟(jì)競爭非常不利。中國亟待完善相關(guān)國內(nèi)法，出臺(tái)符合我國現(xiàn)實(shí)需求的個(gè)人信息保護(hù)法，適當(dāng)提高個(gè)人信息保護(hù)標(biāo)準(zhǔn)，設(shè)計(jì)兼顧安全與發(fā)展的個(gè)人信息數(shù)據(jù)出境規(guī)則，設(shè)置權(quán)威的個(gè)人信息保護(hù)執(zhí)法機(jī)構(gòu)。以此為基礎(chǔ)，我國才可能對(duì)外談判雙邊條約，在區(qū)域和多邊談判中提出中國立場，參與數(shù)字經(jīng)濟(jì)時(shí)代個(gè)人數(shù)據(jù)保護(hù)國際規(guī)則的構(gòu)建。

注釋：

① Tony Romn. France fines Google nearly $57 million for first major violation of new European privacy regime[N]. The Washington Post. 21 Jan 2019.

② 《歐盟基本權(quán)利憲章》第8條“個(gè)人數(shù)據(jù)保護(hù)”規(guī)定：人人均有權(quán)享有個(gè)人數(shù)據(jù)的保護(hù)。個(gè)人有權(quán)了解并更正被收集的個(gè)人數(shù)據(jù)。個(gè)人數(shù)據(jù)處理只能基于特定目的，且經(jīng)數(shù)據(jù)主體同意或依法律的其他規(guī)定公正進(jìn)行。

③ 《108號(hào)公約》全稱《個(gè)人數(shù)據(jù)自動(dòng)化處理中的個(gè)人保護(hù)公約》，1981年由歐洲委員會(huì)頒布，是歐洲數(shù)據(jù)立法的奠基性法案，確立了數(shù)據(jù)保護(hù)的基本原則和框架，但公約為非自動(dòng)執(zhí)行條約，需成員國國內(nèi)立法實(shí)施。

④ 《數(shù)據(jù)保護(hù)指令》全稱《歐洲議會(huì)和歐盟理事會(huì)1995年10月24日與個(gè)人數(shù)據(jù)處理有關(guān)的個(gè)人保護(hù)以及此類數(shù)據(jù)的自由流動(dòng)指令》。該指令對(duì)個(gè)人數(shù)據(jù)處理合法性的一般原則、司法救濟(jì)、向第三國轉(zhuǎn)移個(gè)人數(shù)據(jù)、監(jiān)管機(jī)構(gòu)和執(zhí)行措施等進(jìn)行了規(guī)定。歐盟要求成員國都制定各自的數(shù)據(jù)保護(hù)法，且必須達(dá)到指令要求的保護(hù)程度。

⑤ 2015年歐盟委員會(huì)啟動(dòng)《數(shù)字化單一市場戰(zhàn)略》，旨在通過采取一系列措施消除法律和監(jiān)管障礙，增進(jìn)成員國間的合作與交流，將28個(gè)成員國市場打造成為一個(gè)統(tǒng)一的數(shù)字市場，共同推動(dòng)歐盟數(shù)字經(jīng)濟(jì)的發(fā)展。

⑥ Wilbur Ross. EU data privacy laws are likely to create barriers to trade[N]. Financial Times. 30 May 2018.

⑦ 歐盟數(shù)據(jù)保護(hù)條例生效，小米智能燈Yeelight不滿足GDPR將停止服務(wù)[N].搜狐網(wǎng).2018-5-24. http://www.sohu.com/a/232805384_127714.

⑧ Tobias Buck. Mobike faces probe by Berlin data protection regulator[N].Financial Times.10 Dec 2018.

⑨ See Mary Meeker’s 2018 Internet Trend Report[R]. 30 May 2018.

⑩ See UNCTAD. World Investment Report 2017-Inverment and the Digital Economy[R]. http://unctad.org/en/PublicationsLibrary/wir2017_en.pdf.