邵國(guó)松 黃 琪

(1.上海交通大學(xué)媒體與傳播學(xué)院，上海 200030；2.四川大學(xué)文學(xué)與新聞學(xué)院，成都 610064)

一、兩大個(gè)人數(shù)據(jù)保護(hù)體系

一般認(rèn)為，個(gè)人數(shù)據(jù)保護(hù)有兩個(gè)理論來(lái)源，一個(gè)是歐盟基于保護(hù)人之尊嚴(yán)的數(shù)據(jù)保護(hù)理論，一個(gè)是美國(guó)基于保護(hù)個(gè)人自由的隱私理論。(1)Reidenberg J R.Resolving Conflicting International Data Privacy Rules in Cyberspace[J].Stanford Law Review，2000，52：1315-1372.在這兩種理念下發(fā)展出的數(shù)據(jù)保護(hù)體系，已成為當(dāng)今世界的兩大主流保護(hù)模式，共同影響著國(guó)際社會(huì)個(gè)人數(shù)據(jù)保護(hù)規(guī)則的形成與演變。

(一)歐盟個(gè)人數(shù)據(jù)保護(hù)體系

歐盟的個(gè)人數(shù)據(jù)保護(hù)體系發(fā)軔于一個(gè)國(guó)家的州級(jí)法律。1970年9月30日，聯(lián)邦德國(guó)黑森州議會(huì)在威斯巴登頒布了世界上第一部信息隱私法。隨后，聯(lián)邦德國(guó)其他各州和歐洲其他國(guó)家也陸續(xù)頒布了類似的數(shù)據(jù)保護(hù)法規(guī)。1980年，歐洲委員會(huì)通過(guò)了《個(gè)人數(shù)據(jù)自動(dòng)化處理中的個(gè)人保護(hù)公約》，該公約為世界上第一部關(guān)于個(gè)人信息保護(hù)的國(guó)際公約，旨在保護(hù)包括隱私權(quán)在內(nèi)的個(gè)人基本權(quán)利與自由。

1995年，歐盟頒布《數(shù)據(jù)保護(hù)指令》(Data Protection Directive，以下簡(jiǎn)稱DPD)，為個(gè)人數(shù)據(jù)保護(hù)提供了全面的規(guī)范。DPD的目標(biāo)主要有二：一是要求成員國(guó)保護(hù)公民的基本權(quán)利和自由，尤其是保護(hù)有關(guān)個(gè)人數(shù)據(jù)處理方面的隱私權(quán)；二是促進(jìn)個(gè)人數(shù)據(jù)在成員國(guó)內(nèi)部或成員國(guó)之間的自由流通。(2)Schwartz P M.The EU-U.S.Privacy Collision：A Turn to Institutions and Procedures[J].Harvard Law Review，2013，126：1966-2009.個(gè)人數(shù)據(jù)在此被界定為“與一個(gè)身份已被識(shí)別或可被識(shí)別的自然人相關(guān)的任何信息”。DPD為各成員國(guó)制定了一系列有關(guān)個(gè)人數(shù)據(jù)保護(hù)的基本規(guī)范。這些規(guī)范主要涉及數(shù)據(jù)主體的權(quán)利與數(shù)據(jù)控制者的義務(wù)兩個(gè)部分。數(shù)據(jù)主體的權(quán)利包括：接觸的權(quán)利；更正、刪除或封存?zhèn)€人數(shù)據(jù)的權(quán)利；反對(duì)的權(quán)利。數(shù)據(jù)控制者的義務(wù)包括：數(shù)據(jù)質(zhì)量原則；數(shù)據(jù)處理的合法原則；敏感數(shù)據(jù)的處理原則；告知當(dāng)事人原則；設(shè)置數(shù)據(jù)保護(hù)專員。在國(guó)家層面上，DPD要求成員國(guó)必須成立一個(gè)或多個(gè)數(shù)據(jù)保護(hù)機(jī)構(gòu)，對(duì)所轄范圍內(nèi)企業(yè)數(shù)據(jù)保護(hù)法的履行情況進(jìn)行監(jiān)督。該機(jī)構(gòu)必須具備完全的獨(dú)立性，對(duì)涉嫌違反個(gè)人數(shù)據(jù)保護(hù)法的公共或私營(yíng)機(jī)構(gòu)具有調(diào)查、行政干預(yù)、提起法律訴訟等權(quán)力。此外，DPD還對(duì)將個(gè)人數(shù)據(jù)轉(zhuǎn)移或傳送至第三國(guó)的情形進(jìn)行了特別規(guī)定：除非該第三國(guó)對(duì)于個(gè)人數(shù)據(jù)進(jìn)行了充分程度的保護(hù)，否則將不被允許。值得一提的是，這些規(guī)范只是歐盟為成員國(guó)設(shè)置的最低標(biāo)準(zhǔn)，成員國(guó)可根據(jù)本國(guó)情況制定更高標(biāo)準(zhǔn)。

到了2012年，為應(yīng)對(duì)全球化和信息技術(shù)快速發(fā)展所帶來(lái)的挑戰(zhàn)，歐盟重新審視了先前的個(gè)人數(shù)據(jù)保護(hù)框架，制定了更具包容性、更具法律效力的《數(shù)據(jù)保護(hù)通例》(General Data Protection Regulation，以下簡(jiǎn)稱GDPR)。該通例于2018年5月25日開(kāi)始實(shí)施。DPD對(duì)成員國(guó)沒(méi)有直接約束力，需要各國(guó)通過(guò)國(guó)內(nèi)立法將其有效化，這也導(dǎo)致各國(guó)數(shù)據(jù)保護(hù)實(shí)踐的較大差異。制定GDPR的一個(gè)重要目標(biāo)就是將成員國(guó)數(shù)據(jù)保護(hù)的不同法律法規(guī)統(tǒng)一起來(lái)，并將此法律直接運(yùn)用到各成員國(guó)(無(wú)須通過(guò)國(guó)內(nèi)立法)。此外，GDPR擴(kuò)大了數(shù)據(jù)保護(hù)的領(lǐng)土范圍，除了歐盟范圍內(nèi)的適用，還適用于數(shù)據(jù)主體在歐盟境內(nèi)，但是控制者不在歐盟境內(nèi)，而在歐盟境內(nèi)向數(shù)據(jù)主體提供產(chǎn)品或服務(wù)的數(shù)據(jù)處理活動(dòng)的情形(即所有向歐盟居民提供產(chǎn)品或服務(wù)的企業(yè))。與DPD相比，GDPR還涉及以下一些重要變化：增加了數(shù)據(jù)控制者的義務(wù)；擴(kuò)大了數(shù)據(jù)主體的權(quán)利；加大了對(duì)違法行為的懲罰。(3)邵國(guó)松.網(wǎng)絡(luò)傳播法導(dǎo)論[M].北京：中國(guó)人民大學(xué)出版社，2017：207.

論者指出，本著保護(hù)人的尊嚴(yán)的目的，歐盟個(gè)人數(shù)據(jù)保護(hù)體系的發(fā)展主脈絡(luò)是將個(gè)人數(shù)據(jù)保護(hù)作為一項(xiàng)獨(dú)立的基本權(quán)利來(lái)加以保護(hù)。該體系對(duì)數(shù)據(jù)處理的所有關(guān)鍵環(huán)節(jié)都加以嚴(yán)格規(guī)制，其保護(hù)之嚴(yán)密與全面，可被認(rèn)為是精心設(shè)計(jì)和打造的結(jié)果。但能否達(dá)到其期待的規(guī)制效果，對(duì)數(shù)據(jù)產(chǎn)業(yè)和經(jīng)濟(jì)發(fā)展是否存在負(fù)面影響，還有待研究。

(二)美國(guó)個(gè)人數(shù)據(jù)保護(hù)體系

在美國(guó)，與個(gè)人信息有關(guān)的權(quán)益保護(hù)主要處于隱私保護(hù)范疇，從而發(fā)展出發(fā)達(dá)的隱私權(quán)保護(hù)體系。美國(guó)法中的隱私概念含義相當(dāng)廣泛，強(qiáng)調(diào)個(gè)人自由，除非為了公共利益，個(gè)人事務(wù)自決，免受非法打擾。(4)高富平.個(gè)人數(shù)據(jù)使用合規(guī)：現(xiàn)行規(guī)則檢討與建議[EB/OL].(2017-08-31)[2019-11-12].https：//mp.weixin.qq.com/s/ytyqwzySPl_pnSJ4WXn1Aw.

1974年的《隱私法》是美國(guó)唯一一部保護(hù)信息隱私的聯(lián)邦立法。盡管該法的標(biāo)題看似寬泛，但只適用于聯(lián)邦政府對(duì)個(gè)人數(shù)據(jù)的處理，對(duì)于州政府或私營(yíng)部門(mén)則無(wú)約束力。它規(guī)定了美國(guó)政府機(jī)構(gòu)在收集、儲(chǔ)存、使用公民個(gè)人信息時(shí)所必須遵守的規(guī)則。比如，沒(méi)有當(dāng)事人的書(shū)面允許，政府機(jī)構(gòu)不能向任何人或機(jī)構(gòu)泄露任何當(dāng)事人的有關(guān)信息。當(dāng)事人有權(quán)向行政機(jī)關(guān)提出要求，看他們究竟收集了自己什么樣的信息。如果這些信息不準(zhǔn)確，政府機(jī)構(gòu)需要根據(jù)本人的合理要求給予更正。任何采集、保有、使用或傳播個(gè)人信息的行政機(jī)關(guān)，必須保證該信息可靠地用于既定目的，合理地預(yù)防該信息的濫用。由于美國(guó)實(shí)行聯(lián)邦體制，該法并不適用于各州，絕大多數(shù)州缺乏綜合性的隱私法案，而是提供適用于特定領(lǐng)域或關(guān)注點(diǎn)的零散法規(guī)，比如“獲取教育記錄和虐待兒童數(shù)據(jù)庫(kù)”的規(guī)定。(5)Shaffer G.Globalization and Social Protection：The Impact of EU and International Rules in the Ratcheting up of U.S.Privacy Standards[J].The Yale Journal of International Law，2000，25：1-88.除了聯(lián)邦政府就某些特定問(wèn)題規(guī)定的立法外，各州法律幾乎沒(méi)有統(tǒng)一之處。雖然美國(guó)憲法的一些條款對(duì)州和聯(lián)邦政府官員的行為提供了一些隱私保障，但其覆蓋范圍相當(dāng)有限，而且只適用于政府行為，而非私人行為。

對(duì)于商業(yè)機(jī)構(gòu)收集和使用個(gè)人信息，美國(guó)目前采取的是分散立法模式，即對(duì)特定信息領(lǐng)域進(jìn)行專項(xiàng)立法保護(hù)，主要包括《公平信用報(bào)告法》《健康保險(xiǎn)攜帶和責(zé)任法》《兒童網(wǎng)上隱私保護(hù)法》等，分別針對(duì)個(gè)人信用信息、醫(yī)療信息和兒童個(gè)人信息等敏感領(lǐng)域。這些分散式立法對(duì)于保護(hù)特定領(lǐng)域的個(gè)人數(shù)據(jù)起到了關(guān)鍵的作用，但還有更多的數(shù)據(jù)游離于這些法律的管制之外，因此需要其他方式加以補(bǔ)充，比如美國(guó)特別強(qiáng)調(diào)的業(yè)界自律模式，包括但不限于建議性行業(yè)指導(dǎo)、網(wǎng)絡(luò)隱私認(rèn)證、技術(shù)保護(hù)模式、隱私政策聲明等。(6)邵國(guó)松.網(wǎng)絡(luò)傳播法導(dǎo)論[M].北京：中國(guó)人民大學(xué)出版社，2017：202-204.論者指出，業(yè)界自律可以最小化政府對(duì)企業(yè)的干預(yù)，這與美國(guó)的自由主義經(jīng)濟(jì)模式一脈相承。

另外，美國(guó)聯(lián)邦貿(mào)易委員會(huì)(FTC)在數(shù)據(jù)保護(hù)方面扮演了相當(dāng)重要的角色。它不僅能彌補(bǔ)分散式立法的缺陷，而且能和業(yè)界自律進(jìn)行無(wú)縫對(duì)接，促使業(yè)界真正履行隱私保護(hù)的承諾。表面看來(lái)，F(xiàn)TC有可能淪為“橡皮圖章”式的執(zhí)法機(jī)構(gòu)，因?yàn)槠鋱?zhí)法資源有限，缺乏民事處罰手段，罰款權(quán)限也相當(dāng)有限，但FTC對(duì)違法機(jī)構(gòu)的審查相當(dāng)漫長(zhǎng)，大多數(shù)公司都會(huì)不堪其累，這就是FTC能對(duì)美國(guó)公司產(chǎn)生巨大震懾力的主要原因。(7)邵國(guó)松.網(wǎng)絡(luò)傳播法導(dǎo)論[M].北京：中國(guó)人民大學(xué)出版社，2017：204.比如，2019年，F(xiàn)acebook因未經(jīng)用戶授權(quán)將用戶信息泄露給第三方，并通過(guò)帶有欺詐性的設(shè)置和描述，從而被FTC罰款50億美元，可謂史無(wú)前例。這一事件也象征著FTC在隱私與網(wǎng)絡(luò)安全方面監(jiān)管公司的重大變化。面對(duì)FTC的調(diào)查，大部分公司都會(huì)接受調(diào)解，這樣一來(lái)就無(wú)須承擔(dān)法律責(zé)任，無(wú)名譽(yù)受損之風(fēng)險(xiǎn)，也不會(huì)遭遇高額罰款。但是若接受調(diào)解，公司就必須接受“同意令”(consent order)。同意令的內(nèi)容主要包括：禁止犯同樣的錯(cuò)誤；罰款；告知用戶(甚至進(jìn)行賠償)；刪除或禁止使用數(shù)據(jù)；完善隱私保護(hù)政策；建立全面的隱私保護(hù)體系；同意接受獨(dú)立第三方的合規(guī)評(píng)估；定期向FTC匯報(bào)等。這就被監(jiān)管機(jī)構(gòu)上了一道緊箍咒，使其謹(jǐn)慎從事，竭力做好數(shù)據(jù)安全和隱私保護(hù)工作。

二、個(gè)人數(shù)據(jù)保護(hù)體系全球融合的趨勢(shì)

如上所示，歐盟與美國(guó)分別采用不同的數(shù)據(jù)保護(hù)模式，相較于歐盟更多的依賴政府監(jiān)管，美國(guó)則更強(qiáng)調(diào)業(yè)界自律和市場(chǎng)機(jī)制。不同體系之間的碰撞與沖突在所難免。雖然歐洲數(shù)據(jù)處理市場(chǎng)基本上被美國(guó)壟斷，但歐盟龐大的優(yōu)質(zhì)消費(fèi)者市場(chǎng)以及引領(lǐng)國(guó)際規(guī)則制定的能力，為歐盟提供了相當(dāng)大的談判籌碼。(8)張金平.歐盟個(gè)人數(shù)據(jù)權(quán)的演進(jìn)及其啟示[J].法商研究，2019(5)：182-192.兩大體系的本質(zhì)差異迫使雙方就數(shù)據(jù)跨境流動(dòng)等問(wèn)題進(jìn)行了一系列的調(diào)和，以避免橫跨大西洋的貿(mào)易戰(zhàn)爭(zhēng)。這種調(diào)和促進(jìn)了兩大體系的融合，并影響到全球數(shù)據(jù)保護(hù)體系的走勢(shì)。

(一)歐美數(shù)據(jù)保護(hù)體系的融合趨勢(shì)

1.GDPR出臺(tái)之前

在GDPR出臺(tái)之前，DPD第25條所要求的“充分保護(hù)水平”一直是美國(guó)互聯(lián)網(wǎng)企業(yè)的心病。如果達(dá)不到這一數(shù)據(jù)保護(hù)要求，美國(guó)企業(yè)就難以實(shí)現(xiàn)與歐洲之間數(shù)據(jù)傳輸?shù)臅惩ㄐ耘c便捷性。安全港協(xié)議(Safe Harbor Rules)、標(biāo)準(zhǔn)合同條款(Standard Contractual Clauses)、約束性公司規(guī)則(Binding Corporate Rules)等協(xié)議和規(guī)則的出臺(tái)則大大緩解了這一矛盾。

安全港協(xié)議是美國(guó)和歐盟于2000年12月達(dá)成的協(xié)議，用于調(diào)整美國(guó)企業(yè)出口以及處理歐洲公民的個(gè)人數(shù)據(jù)。根據(jù)協(xié)議，收集個(gè)人數(shù)據(jù)的企業(yè)必須通知個(gè)人其數(shù)據(jù)被收集，并告知他們將對(duì)數(shù)據(jù)進(jìn)行怎樣的處理，企業(yè)必須得到允許后方可把信息傳遞給第三方，必須允許個(gè)人訪問(wèn)被收集的數(shù)據(jù)，并保證數(shù)據(jù)的真實(shí)性和安全性，以及采取措施保障這些條款得到遵從。安全港協(xié)議的目標(biāo)是確保美國(guó)企業(yè)在達(dá)到歐盟較高保護(hù)標(biāo)準(zhǔn)的同時(shí)，維持美國(guó)長(zhǎng)久以來(lái)一直采用的業(yè)界自律機(jī)制。安全港協(xié)議并非沒(méi)有漏洞，但人們普遍認(rèn)為它為解決歐美沖突提供了一個(gè)合理的、現(xiàn)實(shí)的選擇，可被稱為隱私法的“軟”協(xié)調(diào)。(9)Swire P P.Elephants and Mice Revisited：Law and Choice of Law on the Internet[J].University of Pennsylvania Law Review，2005，153：1975-2002.

歐盟委員會(huì)還在2001年6月和2004年12月相繼通過(guò)了兩套適用于數(shù)據(jù)控制者的標(biāo)準(zhǔn)合同條款，另在2010年2月通過(guò)了一套適用于數(shù)據(jù)處理者的標(biāo)準(zhǔn)合同條款。(10)詳情參見(jiàn)歐洲委員會(huì)關(guān)于標(biāo)準(zhǔn)合同條款的介紹：https：//ec.europa.eu/info/law/law-topic/data-protection.其目的在于通過(guò)在數(shù)據(jù)轉(zhuǎn)移雙方的合同中納入標(biāo)準(zhǔn)合同條款，將DPD規(guī)定的法定義務(wù)和責(zé)任轉(zhuǎn)化為合同義務(wù)和違約責(zé)任，尤其是轉(zhuǎn)化為合同雙方對(duì)作為第三者的數(shù)據(jù)主體的合同義務(wù)和違約責(zé)任，然后通過(guò)納入爭(zhēng)議解決及法律適用等條款，來(lái)確保數(shù)據(jù)主體的權(quán)利落到實(shí)處。(11)馮堅(jiān)堅(jiān)，袁立志.標(biāo)準(zhǔn)合同條款：歐盟個(gè)人數(shù)據(jù)出境的常規(guī)路徑之一[EB/OL].(2018-06-22)[2019-12-06].https：//mlaw.wkinfo.com.cn/professional-articles/detail/NjAwMDAwMzI3MDY%3D?module=.標(biāo)準(zhǔn)合同條款雖然是數(shù)據(jù)轉(zhuǎn)移雙方之間的合同，但重點(diǎn)卻是數(shù)據(jù)主體的權(quán)利及其保護(hù)機(jī)制。標(biāo)準(zhǔn)合同條款不僅簡(jiǎn)化了企業(yè)制定數(shù)據(jù)傳輸協(xié)議的過(guò)程，也簡(jiǎn)化了數(shù)據(jù)保護(hù)委員會(huì)對(duì)內(nèi)部隱私程序的識(shí)別。這對(duì)于歐美雙邊企業(yè)之間的數(shù)據(jù)便捷傳輸無(wú)疑都是有利的。

此外，歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)第29條工作組(12)第29條工作組(The Article 29 Data Protection Working Party)為歐盟數(shù)據(jù)保護(hù)權(quán)威機(jī)構(gòu)，是一個(gè)獨(dú)立的歐洲顧問(wèn)機(jī)構(gòu)。根據(jù)GDPR規(guī)定，第29條工作組將由新組建的歐盟數(shù)據(jù)保護(hù)委員會(huì)(EDPB)替代。在2003年公布了所謂的約束性公司規(guī)則，這是有關(guān)在公司實(shí)體或集團(tuán)內(nèi)進(jìn)行國(guó)際數(shù)據(jù)傳輸?shù)膮f(xié)議，獲得歐盟認(rèn)可。協(xié)議規(guī)定，如果傳輸涉及特殊類型數(shù)據(jù)，數(shù)據(jù)主體有權(quán)被告知，或者在向非充分保護(hù)的第三國(guó)傳輸前被事先告知；針對(duì)歐盟境外的數(shù)據(jù)處理疑問(wèn)，數(shù)據(jù)主體應(yīng)有權(quán)在合理時(shí)間內(nèi)獲得答復(fù)等；跨國(guó)公司、集團(tuán)公司如果具備歐盟成員國(guó)數(shù)據(jù)管理機(jī)構(gòu)認(rèn)可的約束性公司規(guī)則，則可以直接進(jìn)行集團(tuán)內(nèi)部的數(shù)據(jù)跨境傳輸，而無(wú)須另行批準(zhǔn)。(13)European Commission.Binding Corporate Rules[EB/OL].(2018-05-25)[2020-02-12].https：//ec.europa.eu/info/law/law-topic/data.英特爾、花旗集團(tuán)、E-bay、安永、GE、愛(ài)馬仕等數(shù)十家跨國(guó)集團(tuán)公司都參與了歐盟主導(dǎo)的這個(gè)協(xié)議。

2.GDPR出臺(tái)之后

在GDPR出臺(tái)之后，美國(guó)開(kāi)始對(duì)其隱私法進(jìn)行調(diào)整，以保持和歐盟新體系的兼容。首要的調(diào)整是美國(guó)國(guó)會(huì)2016年2月通過(guò)的《司法補(bǔ)救法》(Judicial Redress Act),該法將1974年《隱私法》中的隱私保護(hù)和救濟(jì)條款擴(kuò)展到美國(guó)以外符合條件的國(guó)家/地區(qū)的公民。(14)U.S.Department of Justice.Judicial Redress Act[EB/OL].(2016-02-24)[2020-02-12].https：//www.justice.gov/opcl/judicial-redress-act-2015.條件主要有二：一是該國(guó)家/地區(qū)允許出于商業(yè)目的將個(gè)人數(shù)據(jù)轉(zhuǎn)移到美國(guó)；二是該國(guó)家/地區(qū)不會(huì)實(shí)施實(shí)質(zhì)影響美國(guó)國(guó)家安全的數(shù)據(jù)轉(zhuǎn)移政策。涉嫌隱私侵犯行為發(fā)生在美國(guó)時(shí)，這些國(guó)家和地區(qū)的公民便可享受和美國(guó)人同等的司法救濟(jì)。這個(gè)法律的及時(shí)通過(guò)為之后的傘形協(xié)議(Umbrella Agreement)和隱私盾(Privacy Shield)協(xié)議鋪平了道路。

2016年6月，歐盟和美國(guó)達(dá)成了涉及犯罪數(shù)據(jù)的傘形協(xié)議。該協(xié)議為歐美之間與犯罪活動(dòng)相關(guān)的所有數(shù)據(jù)交換提供法律保障。歐盟成員國(guó)公民在發(fā)現(xiàn)其個(gè)人數(shù)據(jù)受到侵害時(shí)，能與美國(guó)公民享受同等的起訴權(quán)利。協(xié)議還規(guī)定：數(shù)據(jù)使用僅限于犯罪活動(dòng)的預(yù)防、發(fā)現(xiàn)、調(diào)查和起訴；將數(shù)據(jù)轉(zhuǎn)移到美國(guó)、歐盟之外的機(jī)構(gòu)，必須事先獲得最初提供數(shù)據(jù)之國(guó)家的同意；數(shù)據(jù)保留不得超過(guò)必要或合適的期限，且保留期限必須公之于世等。由于此共享數(shù)據(jù)協(xié)議的通過(guò)，歐美在打擊跨境犯罪方面變得更為高效，同時(shí)也緩解了歐盟此前對(duì)缺乏商定保護(hù)措施的擔(dān)憂。

此外，在2015年Schrems案的判決中，因不能對(duì)歐盟公民的數(shù)據(jù)提供充分水平保護(hù)，歐美之前達(dá)成的安全港協(xié)議被正式宣布無(wú)效。(15)奧地利隱私保護(hù)倡導(dǎo)者M(jìn)ax Schrems與Facebook愛(ài)爾蘭公司之間的訴訟導(dǎo)致了歐盟與美國(guó)之間的隱私談判，美國(guó)對(duì)隱私保護(hù)措施的修改為談判的其中一部分。經(jīng)過(guò)不斷磋商和艱難談判，歐美在2016年7月推出了隱私盾協(xié)議(Privacy Shield)，以作為安全港協(xié)議的替代版，為跨境數(shù)據(jù)流動(dòng)繼續(xù)提供制度保障。較之安全港協(xié)議，隱私盾協(xié)議有許多創(chuàng)新之處。比如，在規(guī)范對(duì)象方面，“隱私盾”協(xié)議約束納入名單內(nèi)的企業(yè)和退出名單的企業(yè)以及第三方；在合作機(jī)制方面，美國(guó)與歐盟建立了年度聯(lián)合審查機(jī)制；在權(quán)力限制方面，美國(guó)政府首度承諾官方行動(dòng)將受到約束；在權(quán)利救濟(jì)方面，隱私盾協(xié)議為歐洲公民提供了更多的救濟(jì)途徑。(16)URL.EU-US Privacy Shield[EB/OL].(2016-02-02)[2019-12-27].https：//ec.europa.eu/info/law/law-topic/data-protection/international-dimension-.隱私盾協(xié)議的達(dá)成，為跨大西洋數(shù)據(jù)流通提供了新的安全框架，也促進(jìn)了歐美雙方數(shù)字經(jīng)濟(jì)的持續(xù)增長(zhǎng)。

2018年6月，即GDPR生效一個(gè)月之后，美國(guó)加州州議會(huì)通過(guò)《加州消費(fèi)者隱私法》(California Consumer Privacy Act，簡(jiǎn)稱CCPA)。如果說(shuō)GDPR是歐盟“史上最嚴(yán)”的數(shù)據(jù)保護(hù)法，那么CCPA則被認(rèn)為全美最嚴(yán)厲的隱私保護(hù)法。鑒于大多數(shù)互聯(lián)網(wǎng)企業(yè)總部都設(shè)在加州，因此該法對(duì)美國(guó)乃至世界的互聯(lián)網(wǎng)企業(yè)影響重大。受法律傳統(tǒng)等因素的影響，CCPA與GDPR在立法價(jià)值方面存在本質(zhì)差異，但兩者相同之處甚多。首先，立法的目的基本相同，均為通過(guò)規(guī)范企業(yè)處理數(shù)據(jù)的行為，強(qiáng)化與數(shù)據(jù)相關(guān)的責(zé)任，設(shè)置較為嚴(yán)格的懲罰，以加強(qiáng)對(duì)個(gè)人數(shù)據(jù)和隱私的保護(hù)。其次，立法的內(nèi)容也有諸多共性，比如關(guān)于個(gè)人信息的定義均較為廣泛；均為個(gè)人新設(shè)數(shù)據(jù)可攜帶權(quán)、刪除權(quán)等權(quán)利；均要求企業(yè)告知用戶收集、使用、共享數(shù)據(jù)的具體信息；均強(qiáng)調(diào)尊重個(gè)人的信息自決權(quán)；均對(duì)兒童數(shù)據(jù)的同意作了具體規(guī)定；均設(shè)置較嚴(yán)格的處罰方式，為個(gè)人提供救濟(jì)途徑；均通過(guò)設(shè)置例外賦予多種合規(guī)路徑，鼓勵(lì)數(shù)據(jù)流通等。(17)State of California Department of Justice.California Consumer Privacy Act(CCPA)[EB/OL].(2018-06-28)[2020-01-15].https：//oag.ca.gov/privacy/ccpa.論者指出，如果說(shuō)前述歐美之間一系列雙邊協(xié)議是零星的、權(quán)宜性的融合舉措，那么以CCPA為代表的美國(guó)立法則預(yù)示著兩大模式體系化融合的趨勢(shì)。

(二)數(shù)據(jù)保護(hù)法律的全球趨同趨勢(shì)

如前所述，數(shù)據(jù)保護(hù)法誕生于20世紀(jì)70年代的德國(guó)，之后隨著信息技術(shù)的不斷發(fā)展和隱私侵犯的相應(yīng)加劇，對(duì)于數(shù)據(jù)隱私予以保護(hù)已成為全球性的立法實(shí)踐。發(fā)展至今，已有126個(gè)國(guó)家和地區(qū)頒布了數(shù)據(jù)保護(hù)法，其中60%是歐洲以外的地方。近十年的立法趨勢(shì)尤為明顯，平均每年頒布的新法近5部。另有34個(gè)國(guó)家已將數(shù)據(jù)保護(hù)列入正式的立法議程，預(yù)計(jì)再過(guò)十年，世界上幾乎所有的國(guó)家都將擁有自己的數(shù)據(jù)保護(hù)法。(18)Greenleaf G.Global Convergence of Data Privacy Standards and Laws:Speaking Notes for the European Commission Events on the Launch of the General Data Protection Regulation(GDPR)in Brussels &New Delhi.[J/OL].(2018-05-25)[2020-01-15].https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3184548#.

全球范圍內(nèi)的大量立法并未導(dǎo)致數(shù)據(jù)保護(hù)的混亂與差異，反而出現(xiàn)全球標(biāo)準(zhǔn)的高度趨同。所有這126部法律都與1980年歐洲理事會(huì)108號(hào)公約的最初版本和經(jīng)合組織(OECD)隱私準(zhǔn)則所確立的10項(xiàng)內(nèi)容相似。自歐盟1995年推出DPD以來(lái)，全球數(shù)據(jù)保護(hù)的立法明顯受到DPD標(biāo)準(zhǔn)的影響。2016年GDPR的問(wèn)世，則帶來(lái)了更高層次的立法趨同。比如，馬來(lái)西亞立法中的“數(shù)據(jù)可攜性”、韓國(guó)立法中的“4%行政罰款”、印度尼西亞立法中的“被遺忘的權(quán)利”等明顯采納了GDPR的立法創(chuàng)新。此外，大量歐洲以外的跨國(guó)公司，已明確表示“遵照GDPR”規(guī)則對(duì)用戶數(shù)據(jù)加以保護(hù)，盡管它們并沒(méi)有如此行事的法律義務(wù)。

另一方面，主權(quán)國(guó)家對(duì)數(shù)據(jù)主權(quán)的重視以及對(duì)數(shù)據(jù)利益的爭(zhēng)奪，使得數(shù)據(jù)的全球流動(dòng)時(shí)常出現(xiàn)遲滯乃至發(fā)生爭(zhēng)端。發(fā)展中國(guó)家盡管會(huì)模仿歐美的數(shù)據(jù)保護(hù)制度，但并不意味著會(huì)臣服于歐美的力量以至于讓渡自身的數(shù)據(jù)主權(quán)。另外，由于每個(gè)國(guó)家存有各自的情況與路徑，數(shù)據(jù)保護(hù)很難遵循全球通用的一種模式。對(duì)此，我們或許可以借鑒《網(wǎng)絡(luò)犯罪公約》以及國(guó)際知識(shí)產(chǎn)權(quán)公約等領(lǐng)域的規(guī)制經(jīng)驗(yàn)，打造一個(gè)數(shù)據(jù)保護(hù)的國(guó)際公約。鑒于GDPR既被認(rèn)為是歐盟成員國(guó)的數(shù)據(jù)保護(hù)公約，也是歐洲之外眾多國(guó)家模仿的對(duì)象，相關(guān)國(guó)際組織可考慮以GDPR為藍(lán)本，設(shè)計(jì)全球化數(shù)據(jù)流動(dòng)與保護(hù)的基本規(guī)則，同時(shí)給各個(gè)國(guó)家留下自治空間，最大化消除數(shù)據(jù)在全球范圍內(nèi)使用與保護(hù)的障礙。

三、個(gè)人數(shù)據(jù)保護(hù)全球融合面臨的挑戰(zhàn)

(一)兩大數(shù)據(jù)保護(hù)體系的沖突

1.保護(hù)理念的不同

在歐洲，數(shù)據(jù)(隱私)保護(hù)被囊括在人權(quán)保護(hù)的范疇內(nèi)，并被視為公法的一個(gè)重要組成部分。因此，歐盟熱衷于制定成文法律，通過(guò)打造全面的權(quán)責(zé)規(guī)范進(jìn)行預(yù)防性保護(hù)。在立法形式方面，歐盟熱衷于綜合性立法，孜孜以求構(gòu)建全面的數(shù)據(jù)保護(hù)體系。在綜合性立法中，部門(mén)/行業(yè)立法僅為一種備選，用于在總框架內(nèi)規(guī)制特殊情況。綜合性立法為評(píng)估“適當(dāng)性”與“充分性”提供了一個(gè)相對(duì)明確的目標(biāo)及標(biāo)準(zhǔn)。而且，它要求創(chuàng)建專門(mén)的數(shù)據(jù)保護(hù)機(jī)構(gòu)，以確保這些權(quán)利得到監(jiān)督和執(zhí)行。在歐盟數(shù)據(jù)保護(hù)模式中，政府力量不斷在增強(qiáng)擴(kuò)張，力圖通過(guò)高標(biāo)準(zhǔn)制度、強(qiáng)有力執(zhí)法實(shí)現(xiàn)對(duì)個(gè)人數(shù)據(jù)權(quán)利的保護(hù)。

相對(duì)于歐盟及其追隨者對(duì)綜合立法的偏愛(ài)，美國(guó)則是明顯的例外。如上所述，美國(guó)是典型的分散立法模式，它按部門(mén)、行業(yè)性質(zhì)對(duì)信息隱私進(jìn)行監(jiān)管，對(duì)公共機(jī)構(gòu)和私營(yíng)部門(mén)也有不同的調(diào)整規(guī)范，在部門(mén)法體系下，數(shù)據(jù)保護(hù)主要依靠歷久彌新的業(yè)界自律機(jī)制。美國(guó)長(zhǎng)期以來(lái)對(duì)集權(quán)方式表示懷疑，美國(guó)憲法的核心精神為限制政府權(quán)力。表現(xiàn)在數(shù)據(jù)保護(hù)方面，則是有意識(shí)地削弱聯(lián)邦政府的力量(比如，隱私領(lǐng)域最重要的立法《隱私法》只對(duì)聯(lián)邦政府機(jī)構(gòu)的活動(dòng)進(jìn)行約束)，且認(rèn)為部門(mén)法而非綜合法可以使國(guó)家對(duì)數(shù)據(jù)市場(chǎng)的干預(yù)最小化。

即便加州通過(guò)了和GDPR類似的CCPA，兩者還是存在本質(zhì)差異。前者將個(gè)人數(shù)據(jù)權(quán)作為一種基本人權(quán)加以保護(hù)，其立法目的是強(qiáng)化對(duì)數(shù)據(jù)權(quán)利的保護(hù)，原則上禁止數(shù)據(jù)的商業(yè)使用，例外情況下合法授權(quán)允許；后者的立法目的是對(duì)數(shù)據(jù)的商業(yè)利用進(jìn)行規(guī)范，原則上允許數(shù)據(jù)的商業(yè)使用，在特定條件下加以禁止。

總體而言，歐盟主張統(tǒng)一和嚴(yán)格立法，而美國(guó)傾向分散和寬松立法；歐盟強(qiáng)調(diào)政府部門(mén)對(duì)數(shù)據(jù)保護(hù)的監(jiān)管，而美國(guó)則主張政府的有限干預(yù)。這些差別反映了兩者在個(gè)人數(shù)據(jù)保護(hù)政策基礎(chǔ)理念上的分歧。(19)王融.數(shù)據(jù)治理——精細(xì)科學(xué)的政策平衡[EB/OL].(2018-12-10)[2020-01-15].http：//www.sohu.com/a/280866783_455313.

2.保護(hù)實(shí)踐的差異

歐美數(shù)據(jù)保護(hù)的理念不同，也造成了保護(hù)實(shí)踐的差異。比如，歐盟更重視“公正信息準(zhǔn)則”(FIP)，包括數(shù)據(jù)收集的限制；數(shù)據(jù)質(zhì)量原則；以及通知、訪問(wèn)和改正的個(gè)人權(quán)利。(20)Schwartz P M.The EU-U.S.Privacy Collision：A Turn to Institutions and Procedures[J].Harvard Law Review，2013，126：1966-2009.而且，部分FIP要素只存在于歐盟體系內(nèi)，比如：只依據(jù)法律處理個(gè)人數(shù)據(jù)；由獨(dú)立的數(shù)據(jù)保護(hù)機(jī)構(gòu)進(jìn)行監(jiān)管；限制向缺乏足夠隱私保護(hù)的國(guó)家輸出數(shù)據(jù)；限制信息的自動(dòng)化決策；以及對(duì)敏感數(shù)據(jù)的額外保護(hù)。而美國(guó)在這方面的最大差異就是它并不支持“在沒(méi)有法律授權(quán)的情況下不能處理個(gè)人信息”這一觀念。相反，美國(guó)法律秉持監(jiān)管最少化原則，允許信息收集和處理，除非法律明確禁止該活動(dòng)。此外，美國(guó)主張個(gè)人數(shù)據(jù)的保護(hù)要考慮數(shù)據(jù)控制者的利益，個(gè)人僅有一定的參與權(quán)而非控制權(quán)；在國(guó)際層面，基于國(guó)內(nèi)的憲法第一修正案(言論自由)和數(shù)據(jù)處理產(chǎn)業(yè)的優(yōu)勢(shì)主張數(shù)據(jù)跨境自由流動(dòng)。(21)張金平.歐盟個(gè)人數(shù)據(jù)權(quán)的演進(jìn)及其啟示[J].法商研究，2019(5)：182-192.

美國(guó)與歐盟的另一個(gè)顯著差異是，美國(guó)沒(méi)有設(shè)立嚴(yán)格法律意義上的數(shù)據(jù)保護(hù)機(jī)構(gòu)。在監(jiān)管方面，美國(guó)最接近國(guó)家數(shù)據(jù)保護(hù)機(jī)構(gòu)的是FTC。如前所述，盡管FTC在保護(hù)隱私方面扮演著重要角色，但對(duì)商業(yè)機(jī)構(gòu)缺乏嚴(yán)格意義上的法律管轄權(quán)，執(zhí)法范圍仍相對(duì)有限。它更重要的作用在于外圍懲罰，通過(guò)對(duì)機(jī)構(gòu)的違法行為進(jìn)行調(diào)查或罰款發(fā)揮其監(jiān)管效能，而并不主動(dòng)嵌入機(jī)構(gòu)內(nèi)部進(jìn)行監(jiān)管。這與歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)全面深入的管轄權(quán)限形成鮮明對(duì)比。

較之于歐盟，美國(guó)強(qiáng)調(diào)在消費(fèi)者權(quán)益保護(hù)和促進(jìn)企業(yè)發(fā)展及技術(shù)創(chuàng)新之間取得平衡。歐盟并不區(qū)分公司盈利與否、規(guī)模大小和服務(wù)性質(zhì)，從私營(yíng)機(jī)構(gòu)到政府部門(mén)，從中小企業(yè)到跨國(guó)公司，甚至是個(gè)人，只要收集和處理個(gè)人數(shù)據(jù)，均受規(guī)制，且遵守相同的高標(biāo)準(zhǔn)合規(guī)要求。(22)王融，吳怡.美歐隱私立法是否走向趨同？加州消費(fèi)者隱私法CCPA給出答案[EB/OL].(2019-09-26)[2020-01-15].http：//www.sohu.com/a/343633883_455313.反之，美國(guó)法律的高標(biāo)準(zhǔn)保護(hù)僅限于特定的敏感信息行業(yè)。另外，美國(guó)企業(yè)有足夠的空間去嘗試新的數(shù)據(jù)處理方式，開(kāi)拓新業(yè)務(wù)領(lǐng)域的企業(yè)受管制的可能性更小。在歐盟體系中，無(wú)論老牌或新興企業(yè)，無(wú)論何種技術(shù)創(chuàng)新，都要面臨數(shù)據(jù)法律的全面監(jiān)管，除非存在法定例外情形。比如，美國(guó)法律對(duì)信息的自動(dòng)化處理不設(shè)限制，而GDPR對(duì)此明確賦予數(shù)據(jù)主體反對(duì)權(quán)。上述內(nèi)容僅為歐美數(shù)據(jù)保護(hù)實(shí)踐差異的部分列舉，但可以預(yù)見(jiàn)會(huì)給兩大數(shù)據(jù)保護(hù)體系的融合帶來(lái)變數(shù)。

(二)發(fā)展中國(guó)家融入全球體系面臨的挑戰(zhàn)

對(duì)于非歐盟國(guó)家(尤其是沒(méi)有建立或健全數(shù)據(jù)保護(hù)制度的發(fā)展中國(guó)家)而言，GDPR是其數(shù)據(jù)立法的標(biāo)桿。然而，對(duì)于發(fā)展中國(guó)家模仿、借鑒歐盟模式并非沒(méi)有批評(píng)之聲。(23)Shaffer G.Globalization and Social Protection：The Impact of EU and International Rules in the Ratcheting up of U.S.Privacy Standards[J].The Yale Journal of International Law，2000，25：1-88.尤其是發(fā)展中國(guó)家在經(jīng)濟(jì)、技術(shù)、法律層面的缺陷和短板，使得它們?cè)谌谌肴蝮w系的過(guò)程中面臨較大的困難，而且也難以達(dá)到預(yù)期功效。

1.經(jīng)濟(jì)層面

履行或遵守GDPR規(guī)范的成本是巨大的，對(duì)于發(fā)展中國(guó)家而言是一筆不小的負(fù)擔(dān)，這就有可能導(dǎo)致發(fā)展中國(guó)家對(duì)GDPR的完整執(zhí)行大打折扣。即便一個(gè)發(fā)展中國(guó)家存在全面的數(shù)據(jù)保護(hù)制度，也可能缺乏實(shí)施和執(zhí)行這些法律的資源手段，從而使數(shù)據(jù)保護(hù)制度最終淪為一個(gè)空架子。GDPR的高成本不僅會(huì)影響政府，還會(huì)波及所有受監(jiān)管的公司。比如，設(shè)置專員以回應(yīng)消費(fèi)者的訴求或投訴并進(jìn)行自我評(píng)估，是數(shù)據(jù)合規(guī)的基本要求，但很多發(fā)展中國(guó)家的企業(yè)因預(yù)算所限無(wú)法達(dá)到。另外，發(fā)展中國(guó)家需要考慮的一個(gè)問(wèn)題是，嚴(yán)格的數(shù)據(jù)保護(hù)可能會(huì)給快速發(fā)展的信息產(chǎn)業(yè)創(chuàng)新帶來(lái)阻礙。中美兩國(guó)的互聯(lián)網(wǎng)巨頭企業(yè)無(wú)一不是通過(guò)借助龐大的用戶數(shù)據(jù)而蓬勃發(fā)展起來(lái)的，若這些企業(yè)創(chuàng)辦于一個(gè)有著嚴(yán)格數(shù)據(jù)保護(hù)的環(huán)境中，則難以取得如此規(guī)模的成就。歐盟在世界互聯(lián)網(wǎng)經(jīng)濟(jì)競(jìng)爭(zhēng)中相對(duì)落后于中美兩國(guó)，可視為一個(gè)反證。

2.技術(shù)層面

在信息時(shí)代，因勞動(dòng)力缺乏受教育的機(jī)會(huì)或受教育的技術(shù)勞動(dòng)力外流，發(fā)展中國(guó)家面臨嚴(yán)重的技術(shù)瓶頸。即使在歐美等發(fā)達(dá)國(guó)家，信息技術(shù)方面的人才也并非如想象的那么充裕，遑論一個(gè)沒(méi)有同等教育水準(zhǔn)的發(fā)展中國(guó)家。對(duì)于部分發(fā)展中國(guó)家而言，采取最基本的數(shù)據(jù)保護(hù)措施都有可能是一個(gè)無(wú)法完成的難題。另外，發(fā)展中國(guó)家通常存在大量的社會(huì)民生問(wèn)題(比如住房、醫(yī)療、清潔飲用水等)亟待解決，如此，對(duì)信息技術(shù)以及教育的重視與投資便自然擺在次要的位置。這些不利因素使得發(fā)展中國(guó)家無(wú)法有足夠的人力和技術(shù)資源來(lái)移植和執(zhí)行GDPR的規(guī)定。

3.法律制度層面

發(fā)展中國(guó)家通常法律制度較為落后，難以滿足GDPR的高標(biāo)準(zhǔn)、嚴(yán)要求。沒(méi)有完善的法律制度，對(duì)數(shù)據(jù)權(quán)益被侵犯的補(bǔ)救以及對(duì)侵犯數(shù)據(jù)權(quán)益的懲罰，就難以落實(shí)或根本不知道如何落實(shí)。沒(méi)有成熟的司法體系，數(shù)據(jù)爭(zhēng)端更有可能遭遇經(jīng)常性的拖延或泥牛入海般的官僚程序。比如，經(jīng)濟(jì)學(xué)家馬蒂厄·凱明(Matthieu Chemin)的一項(xiàng)調(diào)查顯示，在印度處理任何案件平均需要2年時(shí)間。(24)轉(zhuǎn)引自Curtiss T.Privacy Harmonization and the Developing World：The Impact of the EU’s General Data Protection Regulation on Developing Economics[J].Washington Journal of Law,Technology &Arts，2016，12(1)：95-122.發(fā)展中國(guó)家落后的法律及低效的司法效率，有可能損害自身與GDPR對(duì)接的努力及收益。

4.改進(jìn)的建議

從上文可以看出，GDPR保護(hù)范圍廣但執(zhí)行成本高。筆者以為，對(duì)于發(fā)展中國(guó)家而言，最好的方法或許是采取共管(co-regulatory)模式。該模式強(qiáng)調(diào)以政府的法律要求為背景，行業(yè)制定可執(zhí)行的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)。由于這些標(biāo)準(zhǔn)是由那些在監(jiān)管領(lǐng)域有專長(zhǎng)的人而非不懂技術(shù)的政府官員來(lái)制定，該模式實(shí)施起來(lái)可能會(huì)更有效果。若要從共管模式中受益，發(fā)展中國(guó)家必須加大教育和科技領(lǐng)域的投資，還應(yīng)構(gòu)建值得信賴的、高效的司法系統(tǒng)。此外，發(fā)展中國(guó)家應(yīng)評(píng)估其企業(yè)是否有獨(dú)立保護(hù)用戶數(shù)據(jù)的能力，并為消費(fèi)者提供有效的行政和司法補(bǔ)救手段。

四、個(gè)人數(shù)據(jù)保護(hù)的中國(guó)路徑與中外對(duì)接問(wèn)題

(一)個(gè)人數(shù)據(jù)保護(hù)的中國(guó)路徑

歐美自20世紀(jì)70年代開(kāi)始建立其個(gè)人數(shù)據(jù)保護(hù)制度，我國(guó)起步較晚，直至進(jìn)入21世紀(jì)才對(duì)個(gè)人數(shù)據(jù)予以立法保護(hù)。在立法過(guò)程中，我們移植了不少歐美體系的信息保護(hù)制度。比如，《網(wǎng)絡(luò)安全法》參照GDPR規(guī)定個(gè)人有權(quán)同意他人是否可以收集其個(gè)人信息、有權(quán)要求更正和刪除其個(gè)人信息等。再比如，國(guó)家標(biāo)準(zhǔn)《個(gè)人信息安全規(guī)范》關(guān)于個(gè)人信息的定義、個(gè)人信息處理的基本原則、信息主體及信息控制者等法律關(guān)系主體的設(shè)置等與GDPR如出一轍。即便如此，我國(guó)個(gè)人信息的立法保護(hù)仍存鮮明的中國(guó)特色，大致有三：

1.刑法先行

與歐美數(shù)據(jù)隱私法孕育于民事領(lǐng)域不同，我國(guó)則發(fā)端于刑法，呈現(xiàn)明顯的“刑先民后”立法軌跡。這與我國(guó)社會(huì)乃至個(gè)人的自治意識(shí)較弱有關(guān)。很久以來(lái)，我們的隱私文化有欠發(fā)達(dá)。進(jìn)入時(shí)下的互聯(lián)網(wǎng)時(shí)代，人們開(kāi)始關(guān)注其個(gè)人信息，主要是擔(dān)心信息泄露所帶來(lái)的人身和財(cái)產(chǎn)安全。這集中體現(xiàn)在兩個(gè)方面：一是電信詐騙，我國(guó)個(gè)人信息保護(hù)就是從打擊電信詐騙起步的；二是企業(yè)因開(kāi)拓市場(chǎng)需要對(duì)個(gè)人信息的需求非常旺盛，導(dǎo)致個(gè)人信息的灰色產(chǎn)業(yè)(個(gè)人信息買賣)非常猖獗。(25)高富平.個(gè)人數(shù)據(jù)保護(hù)的中國(guó)視角[EB/OL].(2019-05-20)[2020-01-07].https：//www.luohanacademy.com/cn/insights/d89015b9ac3e1eeb.也因?yàn)榇?，我?guó)首先啟用刑法來(lái)保護(hù)個(gè)人信息。2005年通過(guò)的《刑法修正案(五)》就設(shè)置了“竊取、收買、非法提供信用卡信息罪”。2009年通過(guò)的《刑法修正案(七)》則將出售或非法提供公民個(gè)人信息和竊取、非法獲取公民個(gè)人信息入刑。2015年通過(guò)的《刑法修正案(九)》則將犯罪主體由“國(guó)家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員”擴(kuò)展為一般主體。2017年，最高人民法院、最高人民檢察院發(fā)布了《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》，對(duì)刑法規(guī)定及其適用作出了詳細(xì)解釋，并賦權(quán)法官根據(jù)數(shù)量、類型、獲利等情節(jié)來(lái)判斷各種個(gè)人信息買賣、提供或流通等行為能否入刑。

然而，刑法的嚴(yán)格保護(hù)也有可能導(dǎo)致企業(yè)獲取個(gè)人信息的正常需求被一刀切斷，刑法的初始目標(biāo)是確保人身財(cái)產(chǎn)安全與社會(huì)安全，結(jié)果也有可能凍結(jié)了個(gè)人信息的合法流動(dòng)。人類社會(huì)發(fā)展到今天，個(gè)人信息的流動(dòng)與交易已成為一個(gè)普遍現(xiàn)象。如按照當(dāng)前的刑法標(biāo)準(zhǔn)加以執(zhí)行，則會(huì)出現(xiàn)入刑范圍太寬、入刑門(mén)檻太低的問(wèn)題。因此有學(xué)者認(rèn)為，我國(guó)個(gè)人信息刑法保護(hù)已陷入兩難困境：我國(guó)的特殊“社情”催生了刑事保護(hù)，但嚴(yán)格執(zhí)法可能殃及正當(dāng)?shù)膫€(gè)人信息利用及技術(shù)創(chuàng)新；另一方面，違法的個(gè)人信息買賣不禁止，就無(wú)法營(yíng)造一個(gè)正當(dāng)?shù)膫€(gè)人信息利用環(huán)境。(26)高富平.個(gè)人數(shù)據(jù)保護(hù)的中國(guó)視角[EB/OL].(2019-05-20)[2020-01-07].https：//www.luohanacademy.com/cn/insights/d89015b9ac3e1eeb.

2.分散立法

我國(guó)個(gè)人信息保護(hù)立法雖然模仿歐盟模式，但是并沒(méi)有形成綜合性法律體系，法律規(guī)定相當(dāng)零散。根據(jù)有關(guān)學(xué)者統(tǒng)計(jì)，我國(guó)目前有近40部法律、30余部法規(guī)以及近200部規(guī)章涉及個(gè)人信息保護(hù)。(27)邵國(guó)松.“被遺忘的權(quán)利”：個(gè)人信息保護(hù)的新問(wèn)題及對(duì)策[J].南京社會(huì)科學(xué)，2013(2)：104-109.除有《全國(guó)人大常委會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》《全國(guó)人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《網(wǎng)絡(luò)安全法》等專門(mén)立法外，個(gè)人信息保護(hù)還散見(jiàn)于《憲法》《刑法》《民法總則》《國(guó)家安全法》《保守國(guó)家秘密法》《消費(fèi)者權(quán)益保護(hù)法》《民法典》等法律中。而且，工信部、公安部、衛(wèi)健委、銀監(jiān)會(huì)、證監(jiān)會(huì)等部門(mén)也就各自主管領(lǐng)域發(fā)布了大量的規(guī)章制度，在行政層面上規(guī)范互聯(lián)網(wǎng)、醫(yī)療、個(gè)人信用等方方面面的個(gè)人信息。這些分散立法看似與美國(guó)的立法模式相似，實(shí)則在立法理念、保護(hù)邏輯、法律規(guī)則等方面存在極大的差異。我們的分散式立法本質(zhì)上是應(yīng)對(duì)式立法。它缺乏頂層規(guī)劃與整體設(shè)計(jì)，對(duì)個(gè)人信息保護(hù)的目的、在何種層面進(jìn)行保護(hù)、何為個(gè)人信息保護(hù)控制權(quán)等核心問(wèn)題缺乏體系化的考慮，結(jié)果造成每個(gè)法律法規(guī)各自為政，缺乏內(nèi)在的邏輯和協(xié)調(diào)。而且，碎片化立法容易導(dǎo)致規(guī)則缺乏必要的彈性，也使得規(guī)范層級(jí)偏低，立法權(quán)威和管理的有效性受到減損。(28)彭誠(chéng)信，向秦.“信息”與“數(shù)據(jù)”的私法界定[J].河南社會(huì)科學(xué)，2019(11)：25-37.

3.“同意”前置

在我國(guó)現(xiàn)行法律體系中，個(gè)人信息的收集以及使用須事先征得信息主體的同意。例如，《消費(fèi)者權(quán)益保護(hù)法》第29條規(guī)定：“經(jīng)營(yíng)者收集、使用消費(fèi)者個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)消費(fèi)者同意?！薄毒W(wǎng)絡(luò)安全法》第41條規(guī)定：“網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開(kāi)收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意?！弊钚骂C布的《民法典》第1035條關(guān)于個(gè)人信息處理的原則仍全面沿襲了前述之規(guī)定，并無(wú)突破?！巴狻币馕吨鴤€(gè)人信息由個(gè)人控制或支配。盡管個(gè)人信息控制論為個(gè)人信息保護(hù)的理論基礎(chǔ)，但不等同于非經(jīng)同意不得使用個(gè)人信息的規(guī)則。在歐盟，合法性為個(gè)人數(shù)據(jù)處理的基礎(chǔ)，同意只是合法性基礎(chǔ)之一，它并沒(méi)有上升為一種權(quán)利，而是作為一種特殊情形的保護(hù)模式。在美國(guó)，個(gè)人對(duì)信息的控制也不是一項(xiàng)絕對(duì)權(quán)，它受到憲法第一修正案的制約，對(duì)信息的控制應(yīng)與信息的自由流動(dòng)平衡，而不能起阻礙效應(yīng)。因此，美國(guó)的《隱私法》對(duì)個(gè)人同意的范圍進(jìn)行嚴(yán)格限制，沒(méi)有將個(gè)人控制一般化。質(zhì)言之，個(gè)人信息控制理論在歐美沒(méi)有升級(jí)對(duì)個(gè)人數(shù)據(jù)的排他支配權(quán)，我國(guó)則是目前國(guó)際社會(huì)為數(shù)不多的在個(gè)人信息收集、使用上將同意規(guī)則前置的國(guó)家。(29)高富平.個(gè)人信息保護(hù)：從個(gè)人控制到社會(huì)控制[J].法學(xué)研究，2018(3)：84-101.要徹底貫徹這個(gè)規(guī)定不僅不現(xiàn)實(shí)，而且會(huì)阻礙個(gè)人信息的正常流通。

(二)個(gè)人數(shù)據(jù)保護(hù)的中外對(duì)接

如上所述，即便形式上借鑒了歐美的保護(hù)制度，我國(guó)個(gè)人信息保護(hù)仍存鮮明的中國(guó)特色。隨著國(guó)內(nèi)外環(huán)境的變化，已有學(xué)者提議要建立起一套和歐美媲美乃至抗衡的信息保護(hù)制度。在此背景下，我國(guó)個(gè)人信息保護(hù)法律是否還需要和世界主流體系對(duì)接？若真有需要，又當(dāng)如何對(duì)接？這是我國(guó)當(dāng)下大力發(fā)展數(shù)據(jù)驅(qū)動(dòng)產(chǎn)業(yè)時(shí)必須認(rèn)真對(duì)待的兩個(gè)問(wèn)題。

1.是否需要和世界對(duì)接？

當(dāng)今世界以人工智能為代表的技術(shù)革命暗潮涌動(dòng)，而這一輪技術(shù)革命的核心要素在于個(gè)人數(shù)據(jù)的收集和利用，因此眾多國(guó)家紛紛從戰(zhàn)略高度予以重視并付諸行動(dòng)。在個(gè)人數(shù)據(jù)保護(hù)層面，歐美為第一檔次，處于規(guī)則制定者地位，其他國(guó)家為第二或更低檔次，屬于追隨者與被動(dòng)承受者角色。(30)高富平，王苑.論個(gè)人數(shù)據(jù)保護(hù)制度的源流——域外立法的歷史分析和啟示[J].河南社會(huì)科學(xué)，2019(11)：38-49.我國(guó)雖處于第二檔次，但與其他第二檔層次的國(guó)家甚至與歐盟相比，具有許多后者不可比擬的發(fā)展優(yōu)勢(shì)。歐盟追求全面、嚴(yán)格、完善的數(shù)據(jù)立法固然有其歷史緣由，但很大一部分原因在于歐洲的數(shù)據(jù)市場(chǎng)長(zhǎng)期被美國(guó)網(wǎng)絡(luò)巨頭占據(jù)。因此，歐盟立法的一個(gè)重要目的就是限制美國(guó)企業(yè)，保護(hù)、扶持和發(fā)展歐盟本土數(shù)據(jù)產(chǎn)業(yè)，進(jìn)而在全球數(shù)據(jù)處理市場(chǎng)獲得一席之地。(31)張金平.歐盟個(gè)人數(shù)據(jù)權(quán)的演進(jìn)及其啟示[J].法商研究，2019(5)：182-192.我國(guó)雖為一個(gè)發(fā)展中經(jīng)濟(jì)體，但在我國(guó)數(shù)據(jù)處理市場(chǎng)中占主導(dǎo)地位的一直都是本土企業(yè)，部分本土企業(yè)更是在國(guó)際市場(chǎng)高居前位(比如，百度、騰訊、阿里巴巴三家公司多年來(lái)穩(wěn)居世界互聯(lián)網(wǎng)公司市值前十)。因此，我國(guó)數(shù)據(jù)立法的主要目的不是防止他國(guó)挑戰(zhàn)我國(guó)的數(shù)據(jù)處理市場(chǎng)，而是如何為本土信息產(chǎn)業(yè)的壯大創(chuàng)造良好的制度環(huán)境，并防范本土企業(yè)實(shí)施不正當(dāng)競(jìng)爭(zhēng)。我國(guó)數(shù)據(jù)市場(chǎng)的規(guī)模在國(guó)際社會(huì)可與歐美媲美，但與歐美市場(chǎng)之間的互相影響與滲透不同，我國(guó)數(shù)據(jù)處理市場(chǎng)相對(duì)孤立封閉，外部影響微弱且難以介入。這使得我國(guó)數(shù)據(jù)法律在一個(gè)相對(duì)封閉的市場(chǎng)環(huán)境中運(yùn)行，涉及數(shù)據(jù)出入境規(guī)則及域外效力問(wèn)題較少，與國(guó)際主動(dòng)對(duì)接的機(jī)會(huì)也較少。

然而，隨著中國(guó)企業(yè)走向世界的決心日益堅(jiān)定，向世界拓展的節(jié)奏逐漸加快，數(shù)據(jù)的跨境流動(dòng)和保護(hù)也必然成為我國(guó)企業(yè)要解決的關(guān)鍵問(wèn)題。2020年，美國(guó)政府以數(shù)據(jù)安全為名對(duì)字節(jié)跳動(dòng)旗下的抖音海外版Tiktok進(jìn)行封殺，體現(xiàn)了個(gè)人信息保護(hù)與國(guó)際規(guī)則接軌的緊迫性。美國(guó)打壓Tiktok自然有多個(gè)層面的考慮，但如前所述，我國(guó)當(dāng)前的個(gè)人數(shù)據(jù)保護(hù)制度的確需要改進(jìn)，在促進(jìn)數(shù)據(jù)產(chǎn)業(yè)發(fā)展的同時(shí)，需要加大用戶信息保護(hù)的力度，否則難以取信于世界。尤其是，個(gè)人數(shù)據(jù)不可阻擋地會(huì)在全球流動(dòng)，沒(méi)有任何國(guó)家和地區(qū)真能將其局限于一國(guó)國(guó)境之內(nèi)。這都要求我們積極主動(dòng)和世界對(duì)接，創(chuàng)建一套高水準(zhǔn)的、符合中國(guó)國(guó)情的數(shù)據(jù)保護(hù)體系。

2.如何和世界對(duì)接？

在如何和世界主流體系對(duì)接方面，我國(guó)進(jìn)行了一些移植性嘗試，但效果尚不顯著。對(duì)接的首要問(wèn)題是要理解歐美兩大體系的特點(diǎn)。歐盟體系偏好綜合立法，偏向數(shù)據(jù)權(quán)利保護(hù)一方，意在打造公民的基本數(shù)據(jù)權(quán)利體系。而且，當(dāng)前歐盟模式在世界范圍內(nèi)較美國(guó)模式更占主導(dǎo)地位，自然有其易于學(xué)習(xí)和模仿的優(yōu)勢(shì)。無(wú)論從大陸法系的銜接性還是從現(xiàn)實(shí)情況出發(fā)，我國(guó)向歐盟標(biāo)準(zhǔn)靠攏看似具有更大的可行性。

傳統(tǒng)的美國(guó)模式強(qiáng)調(diào)業(yè)界自律，最小化政府干預(yù)，因而偏好數(shù)據(jù)的自由流通，以促進(jìn)數(shù)字經(jīng)濟(jì)的發(fā)展。美國(guó)數(shù)據(jù)保護(hù)的最新成果——CCPA——?jiǎng)t吸收了歐盟GDPR的經(jīng)驗(yàn)，同時(shí)又部分保留了美國(guó)立法的自由主義傳統(tǒng)。簡(jiǎn)而言之，CCPA旨在通過(guò)提升數(shù)據(jù)利用的透明度來(lái)實(shí)現(xiàn)主體的隱私控制權(quán)，進(jìn)而尋求數(shù)據(jù)價(jià)值利用與主體權(quán)益保護(hù)的一致性。在立法實(shí)踐上，CCPA弱化了個(gè)人信息主體的絕對(duì)控制權(quán)，從而為數(shù)據(jù)處理和控制企業(yè)進(jìn)行商業(yè)創(chuàng)新預(yù)留了空間。在賦予個(gè)人數(shù)據(jù)開(kāi)放共享、甚至買賣出售空間的同時(shí)，CCPA又對(duì)數(shù)據(jù)隱私主體的基本權(quán)益予以堅(jiān)決保護(hù)。從這個(gè)層面來(lái)講，CCPA或許更適合我國(guó)的國(guó)情。我國(guó)當(dāng)前的使命主要是促進(jìn)數(shù)字產(chǎn)業(yè)的創(chuàng)新與發(fā)展，實(shí)現(xiàn)數(shù)字技術(shù)革命的彎道超車，從而在此基礎(chǔ)上給民眾帶來(lái)更多的技術(shù)紅利。如果全盤(pán)采取GDPR那般嚴(yán)密的保護(hù)體系，不僅有可能大幅壓縮我國(guó)互聯(lián)網(wǎng)企業(yè)的成長(zhǎng)空間，客觀上也有可能限制技術(shù)、資金與人才的自由流動(dòng)。從這個(gè)意義上講，CCPA的整體平衡、均等保護(hù)策略，對(duì)于我國(guó)的個(gè)人數(shù)據(jù)法律保護(hù)而言，或許具有更好的參考價(jià)值。

參照歐美兩大保護(hù)體系，我們可從頂層、整體設(shè)計(jì)我國(guó)的個(gè)人信息保護(hù)體系，尤其有必要出臺(tái)一部基于我國(guó)國(guó)情的個(gè)人信息保護(hù)法，以結(jié)束當(dāng)前分散立法、“九龍治水”的混亂局面。在立法理念上，我國(guó)應(yīng)牢牢秉持“安全風(fēng)險(xiǎn)防范為主、兼顧數(shù)字經(jīng)濟(jì)”的立法原則，推崇“促進(jìn)數(shù)據(jù)自由流動(dòng)和便捷交易”的價(jià)值取向，平衡個(gè)人信息的保護(hù)與數(shù)字經(jīng)濟(jì)的發(fā)展。在立法實(shí)踐層面，我們應(yīng)采用個(gè)人信息的有效利用和有效保護(hù)相結(jié)合方案。有效利用強(qiáng)調(diào)個(gè)人信息流通的經(jīng)濟(jì)和社會(huì)價(jià)值；我們尤其需要終止“同意前置”的剛性要求，因?yàn)檫@可能導(dǎo)致對(duì)個(gè)人信息控制的絕對(duì)化，阻礙個(gè)人信息的正常流通和有效利用。有效保護(hù)要求商業(yè)機(jī)構(gòu)充分履行安全保障義務(wù)，故應(yīng)阻止對(duì)個(gè)體主體權(quán)益的侵犯；而在個(gè)體主體權(quán)益遭到侵害時(shí)，又能提供便利、高效的救濟(jì)機(jī)制。

此外，鑒于個(gè)人數(shù)據(jù)保護(hù)全球融合的最大原動(dòng)力來(lái)自個(gè)人數(shù)據(jù)的跨境流動(dòng)，我們應(yīng)在現(xiàn)有法律基礎(chǔ)之上，進(jìn)一步完善數(shù)據(jù)跨境流動(dòng)的法律體系。我們尤其需要盡快通過(guò)和實(shí)施個(gè)人信息保護(hù)法，以保障跨境流動(dòng)中數(shù)據(jù)主權(quán)和數(shù)據(jù)自由的平衡。目前，歐盟GDPR要求歐盟境外的數(shù)據(jù)接收方在達(dá)到與其相同的數(shù)據(jù)保護(hù)水平時(shí)數(shù)據(jù)才可跨境；(32)歐盟GDPR規(guī)定，向獲得歐盟保護(hù)水平認(rèn)定的國(guó)家或國(guó)際組織轉(zhuǎn)移個(gè)人數(shù)據(jù)，不需要任何特別授權(quán)。目前，獲得認(rèn)定的國(guó)家包括安道爾、阿根廷、加拿大(部分)、法羅群島(屬丹麥)、格恩西、以色列、馬恩島(英國(guó)屬地)、澤西、新西蘭、瑞士、烏拉圭、美國(guó) (隱私盾)，但不包括我國(guó)。美國(guó)新近通過(guò)的CLOUD法則賦予美國(guó)執(zhí)法部門(mén)通過(guò)服務(wù)提供商獲取存儲(chǔ)于境外的電子數(shù)據(jù)的權(quán)力。(33)美國(guó)2018年初通過(guò)《澄清合法使用境外數(shù)據(jù)法》(簡(jiǎn)稱CLOUD法案)，賦予美國(guó)執(zhí)法部門(mén)通過(guò)服務(wù)提供商獲取存儲(chǔ)于境外的電子數(shù)據(jù)的權(quán)力，同時(shí)也賦予“適格外國(guó)政府”通過(guò)服務(wù)提供商獲取存儲(chǔ)于美國(guó)的電子數(shù)據(jù)的權(quán)力。我國(guó)目前尚不屬于該法所謂的“適格外國(guó)政府”。我國(guó)《網(wǎng)絡(luò)安全法》強(qiáng)制規(guī)定了數(shù)據(jù)本地化儲(chǔ)存制度，(34)我國(guó)《網(wǎng)絡(luò)安全法》明確規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)必須在境內(nèi)存儲(chǔ)；如因業(yè)務(wù)確需向境外提供的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定的辦法進(jìn)行安全評(píng)估。這固然有利于保護(hù)我國(guó)的數(shù)據(jù)主權(quán)，但也有可能影響數(shù)據(jù)的跨境流動(dòng)。因此，我們有必要完善個(gè)人信息立法，在保障數(shù)據(jù)主權(quán)、提升境內(nèi)數(shù)據(jù)保護(hù)水準(zhǔn)的同時(shí)，積極主動(dòng)利用國(guó)際公約或雙邊、多邊對(duì)話機(jī)制構(gòu)建境外數(shù)據(jù)的互惠、對(duì)等獲取機(jī)制。