張倩雯 張文藝

(西南交通大學(xué) 成都 611730)

近年來，技術(shù)的進(jìn)步變革了數(shù)據(jù)收集和共享的方式，提高了生產(chǎn)力和經(jīng)濟(jì)效益。數(shù)據(jù)已成為世界各國新的重要經(jīng)濟(jì)增長級(jí)，促進(jìn)了以數(shù)據(jù)驅(qū)動(dòng)為核心的新型貿(mào)易發(fā)展。伴隨云服務(wù)的出現(xiàn)，一國的數(shù)據(jù)越來越頻繁地在另一國家存儲(chǔ)、處理和分析，建立在跨境數(shù)據(jù)流動(dòng)基礎(chǔ)之上的數(shù)字經(jīng)濟(jì)正蓬勃發(fā)展?？缇硵?shù)據(jù)流動(dòng)因而被稱為促進(jìn)商業(yè)的“21世紀(jì)全球化標(biāo)志”和“將全球經(jīng)濟(jì)聯(lián)系的結(jié)締組織”[1]。2018年5月，正式生效的歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)，取代了此前的《數(shù)據(jù)保護(hù)指令》。歐盟法院根據(jù)GDPR裁定歐盟與美國的隱私盾協(xié)議失效，引發(fā)了關(guān)于跨境數(shù)據(jù)流動(dòng)自由與限制的分歧。本文以歐盟與美國的個(gè)人跨境數(shù)據(jù)流動(dòng)規(guī)則為研究對(duì)象，基于歐盟法院宣告安全港原則和隱私盾協(xié)議失效的兩個(gè)判例，厘清歐美跨境數(shù)據(jù)流動(dòng)合作從安全港原則到隱私盾協(xié)議的演進(jìn)歷程，深度溯源歐盟和美國對(duì)于跨境數(shù)據(jù)流動(dòng)規(guī)制的分歧，展望后Schrems II時(shí)代下歐美跨境數(shù)據(jù)流動(dòng)的合作前景。本文通過分析隱私盾協(xié)議失效對(duì)全球跨境數(shù)據(jù)流動(dòng)規(guī)則的影響，提出我國的應(yīng)對(duì)策略，以期為中國引領(lǐng)全球數(shù)字貿(mào)易規(guī)則制定提供借鑒。

1 歐美跨境數(shù)據(jù)流動(dòng)合作的演進(jìn)歷程

1.1 安全港原則的建立與失效

《數(shù)據(jù)保護(hù)指令》規(guī)定，歐盟與第三國進(jìn)行跨境數(shù)據(jù)流動(dòng)的商業(yè)活動(dòng)時(shí)，第三國必須提供基本等同于歐盟立法的充分的數(shù)據(jù)隱私保護(hù)。為了滿足該“充分性”要求，避免美國企業(yè)在與歐盟的業(yè)務(wù)往來中受到阻礙，促進(jìn)美國與歐盟之間的經(jīng)貿(mào)往來，美國與歐盟經(jīng)過長時(shí)間談判，最終于2000年7月正式建立了作為安全保障機(jī)制的安全港原則。然而，數(shù)據(jù)傳輸?shù)闹笖?shù)級(jí)增長和備受關(guān)注的數(shù)據(jù)安全漏洞，如愛德華·斯諾登對(duì)“棱鏡”計(jì)劃的揭露使歐盟對(duì)美國個(gè)人數(shù)據(jù)保護(hù)水平產(chǎn)生信任危機(jī)。

美國國家安全局對(duì)電子通信相關(guān)數(shù)據(jù)的廣泛訪問不僅引發(fā)了歐盟對(duì)美國立法或?qū)嵺`能否充分保護(hù)個(gè)人數(shù)據(jù)的普遍質(zhì)疑，也成為愛爾蘭公民Schrems提起訴訟的直接原因之一。2015年，歐盟法院針對(duì)“Schrems訴數(shù)據(jù)保護(hù)專員關(guān)于個(gè)人隱私在跨境數(shù)據(jù)流動(dòng)中遭受侵犯案”(以下簡稱“Schrems I案”)，作出了一項(xiàng)里程碑式的判決，即歐盟法院裁定安全港原則不再能夠提供“充分性”的保護(hù)[2]。

Schrems I案是繼“愛爾蘭數(shù)字版權(quán)”案、“谷歌西班牙訴AEPD”案之后的第3個(gè)強(qiáng)調(diào)隱私和個(gè)人數(shù)據(jù)需要受到高水平保護(hù)的歐盟法院案例，也是歐盟與美國關(guān)于跨境數(shù)據(jù)流動(dòng)與隱私保護(hù)分歧的開端?？紤]到在判決作出之時(shí)，已有5000多家美國公司依靠“自我認(rèn)證”制度來確保在歐盟和美國之間傳輸個(gè)人數(shù)據(jù)，安全港原則的失效將使這些公司失去保護(hù)屏障，面臨跨大西洋數(shù)據(jù)流動(dòng)機(jī)制重構(gòu)的困境。此外，歐盟與美國之間的信任危機(jī)已經(jīng)出現(xiàn)。愛德華·斯諾登揭秘事件使雙方過去賴以維系的數(shù)據(jù)安全互信共識(shí)出現(xiàn)裂痕，而安全港原則的失效加劇了歐盟對(duì)美國的不信任感。安全港原則的失效可以被視為“布魯塞爾效應(yīng)”的一次間接例證，否決歐盟與美國跨境數(shù)據(jù)流動(dòng)的安全港原則可能導(dǎo)致美國采取更接近“歐盟模式”的標(biāo)準(zhǔn)[3]。

1.2 隱私盾協(xié)議的達(dá)成與失效

為了確保跨大西洋數(shù)據(jù)流動(dòng)的高效、經(jīng)濟(jì)和安全，安全港原則失效以后，歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)的工作組呼吁歐盟“與美國當(dāng)局展開討論，以找到政治、法律和技術(shù)解決方案”，從而能夠向美國傳輸“尊重基本權(quán)利”的數(shù)據(jù)。經(jīng)過雙方多次談判，2016年2月，歐盟委員會(huì)和美國商務(wù)部宣布就“跨大西洋數(shù)據(jù)流動(dòng)的新框架：歐盟—美國隱私盾”達(dá)成協(xié)議，并改進(jìn)了安全港原則存在的不足，包括通過引入監(jiān)察員制度來確保獨(dú)立監(jiān)督等。然而，基于對(duì)美國國內(nèi)的隱私法律和情報(bào)活動(dòng)的審視，隱私盾協(xié)議在解決歐盟個(gè)人隱私和數(shù)據(jù)保護(hù)問題上能否經(jīng)受住未來可能向歐盟法院提出的法律挑戰(zhàn)仍然具有不確定性。

2016年5月，基于安全港原則失效后Schrems對(duì)Facebook適用標(biāo)準(zhǔn)合同條款傳輸個(gè)人數(shù)據(jù)的有效性問題提出申訴，數(shù)據(jù)保護(hù)專員形成了調(diào)查報(bào)告并向法院提起訴訟，繼而引發(fā)了對(duì)隱私盾協(xié)議所確保的保護(hù)是否充分的審查(以下簡稱“Schrems Ⅱ案”)。2020年7月，歐盟法院再次裁定隱私盾協(xié)議失效。隱私盾協(xié)議有效的關(guān)鍵在于第三國“應(yīng)確保有效的獨(dú)立數(shù)據(jù)保護(hù)監(jiān)督，并應(yīng)當(dāng)規(guī)定與成員國數(shù)據(jù)保護(hù)機(jī)構(gòu)的合作機(jī)制”，并且“應(yīng)當(dāng)向數(shù)據(jù)主體提供有效和可執(zhí)行的權(quán)利以及有效的行政和司法補(bǔ)救”。歐盟法院認(rèn)為，針對(duì)美國《外國情報(bào)監(jiān)視法》第702條、《12333號(hào)行政命令》以及《總統(tǒng)政策指令28》，美國國家安全機(jī)構(gòu)訪問和使用從歐盟傳輸至美國的個(gè)人數(shù)據(jù)時(shí)，監(jiān)察員受限于國務(wù)院，無權(quán)獨(dú)立約束美國情報(bào)部門，數(shù)據(jù)主體在美國無法獲得有效司法保障。同時(shí)根據(jù)《歐盟基本權(quán)利憲章》第52(1)條“相稱性”原則的要求，美國國內(nèi)法律對(duì)各種國家安全機(jī)構(gòu)獲取個(gè)人數(shù)據(jù)的保護(hù)，沒有以歐盟法律所要求的方式和程度加以限制，創(chuàng)造出基本相當(dāng)于歐盟法律所要求的保護(hù)情況。因此，由于美國缺乏對(duì)個(gè)人數(shù)據(jù)保護(hù)的有效監(jiān)督和約束，隱私盾協(xié)議失去其效力[4]。

從安全港原則失效到隱私盾協(xié)議失效，歐美跨境數(shù)據(jù)流動(dòng)雙邊合作協(xié)議兩次遭到歐盟法院的否定。一方面，歐盟進(jìn)一步鞏固了其關(guān)于跨境數(shù)據(jù)流動(dòng)規(guī)制和隱私權(quán)保護(hù)的立場；另一方面，歐美跨境數(shù)據(jù)流動(dòng)合作背后暗含著雙方深刻的分歧和矛盾。Schrems Ⅱ案將產(chǎn)生廣泛而深遠(yuǎn)的影響。隱私盾協(xié)議失效或許是實(shí)現(xiàn)歐盟“技術(shù)主權(quán)”之路的一個(gè)重要節(jié)點(diǎn)[5]，也是推動(dòng)美國國內(nèi)隱私立法改革的重要力量，同時(shí)也為中國參與全球跨境數(shù)據(jù)流動(dòng)規(guī)制提供了參考。

2 歐美跨境數(shù)據(jù)流動(dòng)合作的分歧溯源

2.1 技術(shù)能力差異

在新一輪“數(shù)字革命”較量中，美國憑借其強(qiáng)大的數(shù)字技術(shù)能力暫時(shí)領(lǐng)先歐盟。美國擁有包括亞馬遜、蘋果，谷歌、Facebook和微軟等全球互聯(lián)網(wǎng)科技巨頭公司。這些科技巨頭是技術(shù)創(chuàng)新和產(chǎn)品研發(fā)的重要力量，主導(dǎo)著“數(shù)字革命”的未來走向，掌握著經(jīng)濟(jì)發(fā)展和社會(huì)變革的關(guān)鍵技術(shù)。硅谷的成功離不開企業(yè)與政府的通力合作。為保障其互聯(lián)網(wǎng)科技公司的高速發(fā)展，自里根政府時(shí)期以來，美國基于其國家地位和發(fā)展需要，始終秉持著跨境數(shù)據(jù)自由流動(dòng)的立場，反對(duì)數(shù)字保護(hù)主義[6]，堅(jiān)定地推行一系列諸如《全球電子商務(wù)框架》和《兩黨貿(mào)易優(yōu)先權(quán)和責(zé)任法》的政策，以實(shí)現(xiàn)和維護(hù)其國家利益[7]。數(shù)字全球化進(jìn)一步增強(qiáng)了美國互聯(lián)網(wǎng)科技公司的技術(shù)能力。

相比美國，歐盟境內(nèi)國際知名互聯(lián)網(wǎng)科技公司較少，市場競爭力較弱。歐盟長期依賴美國互聯(lián)網(wǎng)科技公司，不僅壓縮了歐盟本土數(shù)字企業(yè)的發(fā)展空間，削弱了技術(shù)創(chuàng)新的能力，還增加了歐盟公民個(gè)人數(shù)據(jù)和隱私泄露的風(fēng)險(xiǎn)。為了改變當(dāng)前數(shù)字技術(shù)國際格局，歐盟將個(gè)人數(shù)據(jù)保護(hù)置于首要地位，嚴(yán)格地限制個(gè)人數(shù)據(jù)的跨境自由流動(dòng)，增加了外國企業(yè)進(jìn)入歐盟市場的合規(guī)成本。歐盟以“數(shù)字單一市場”作為“技術(shù)主權(quán)”和全球經(jīng)濟(jì)影響力的基礎(chǔ)保障；計(jì)劃培育一批科技創(chuàng)新企業(yè)，擴(kuò)大數(shù)字治理的“歐盟模式”在全球的適用和認(rèn)可范圍；將歐盟打造為未來最具吸引力的技術(shù)創(chuàng)新發(fā)展地之一。

由此可見，美國強(qiáng)大的技術(shù)能力需要通過全球范圍內(nèi)的大規(guī)?？缇硵?shù)據(jù)流動(dòng)來鞏固和提升。然而由于歐盟的技術(shù)能力相對(duì)較弱，市場競爭優(yōu)勢不明顯，歐盟更加重視對(duì)個(gè)人數(shù)據(jù)和隱私的保護(hù)，采取措施限制美國互聯(lián)網(wǎng)科技公司進(jìn)入歐盟市場，遂導(dǎo)致歐盟與美國之間就數(shù)據(jù)監(jiān)管、傳輸和保護(hù)等議題存在分歧。

2.2 價(jià)值主張分歧

價(jià)值主張分歧是歐盟法院先后判決安全港原則和隱私盾協(xié)議無效的根本原因。具體而言，是歐盟主張的“技術(shù)主權(quán)”與美國實(shí)施的“監(jiān)控資本主義”之間的沖突。谷歌、Facebook等大型互聯(lián)網(wǎng)科技公司的商業(yè)運(yùn)營模式被稱為“監(jiān)控資本主義”[8]。該模式與傳統(tǒng)企業(yè)經(jīng)營收益方式顯著不同，即在大范圍乃至全球范圍內(nèi)收集、處理和共享數(shù)據(jù)，再以大數(shù)據(jù)為生產(chǎn)要素，單方面監(jiān)控、預(yù)測和改變?nèi)藗兊纳a(chǎn)、消費(fèi)行為，最終產(chǎn)生利潤和獲得市場?！氨O(jiān)控資本主義”觸及消費(fèi)者生活的方方面面，然而由于信息了解的不對(duì)稱，消費(fèi)者對(duì)互聯(lián)網(wǎng)科技公司如何收集加工海量數(shù)據(jù)的過程卻并不知情。“監(jiān)控資本主義”的不公開和不透明極易侵犯消費(fèi)者的隱私，這導(dǎo)致數(shù)據(jù)主體和政府對(duì)隱私保護(hù)、數(shù)據(jù)安全的信任度持續(xù)走低[9]。

面對(duì)美國在數(shù)字經(jīng)濟(jì)領(lǐng)域全方位領(lǐng)先的形勢以及“監(jiān)控資本主義”的馬太效應(yīng)[10]，2020年2月，歐盟通過發(fā)布《塑造歐洲的數(shù)字未來》《人工智能白皮書》和《歐洲數(shù)據(jù)戰(zhàn)略》，從共識(shí)凝聚、技術(shù)創(chuàng)新和戰(zhàn)略布局3個(gè)維度籌謀了其數(shù)字經(jīng)濟(jì)未來的發(fā)展方向，以期奪回“技術(shù)主權(quán)”。有學(xué)者從基礎(chǔ)設(shè)施和工具、標(biāo)準(zhǔn)和法律規(guī)則，以及價(jià)值觀和社會(huì)模式3個(gè)層面分析歐盟“技術(shù)主權(quán)”的實(shí)質(zhì)內(nèi)涵[11]，筆者認(rèn)為其中價(jià)值理念是實(shí)現(xiàn)“技術(shù)主權(quán)”的根本前提，制度安排是關(guān)鍵路徑，基礎(chǔ)設(shè)施建設(shè)是重要抓手。

“技術(shù)主權(quán)”與“監(jiān)控資本主義”沖突的背后是全球數(shù)字經(jīng)濟(jì)的一體化性質(zhì)與主權(quán)國家對(duì)安全和國內(nèi)法治負(fù)有責(zé)任之間的結(jié)構(gòu)性矛盾[12]，這也是歐美跨境數(shù)據(jù)流動(dòng)分歧的根源。僅在2017-2019年，歐盟就對(duì)谷歌公司進(jìn)行了3次反壟斷調(diào)查，處以了總計(jì)95億美元的罰款。亞馬遜公司也分別被德國、奧地利等歐盟成員國的反壟斷監(jiān)管機(jī)構(gòu)和歐盟委員會(huì)調(diào)查。在隱私盾協(xié)議失效一年之后，2021年Schrems向歐盟法院第3次起訴 Facebook(以下簡稱“Schrems Ⅲ案”)。Schrems Ⅲ案使近年來在境外頻繁遭受審查和巨額處罰的谷歌、亞馬遜等科技巨頭的處境雪上加霜。

2.3 法律文化沖突

隱私盾協(xié)議無效還反映了歐美深刻的文化分歧，再次印證了跨大西洋數(shù)據(jù)流動(dòng)機(jī)制自始潛在的不穩(wěn)定性，揭示了歐盟和美國在數(shù)據(jù)保護(hù)、國家安全以及隱私保護(hù)問題上長期存在的分歧。歐盟的隱私觀念源于確保每一個(gè)人的“尊嚴(yán)”，而美國的文化價(jià)值則源于對(duì)“自由”的追求[13]。特別是由于經(jīng)歷了兩次世界大戰(zhàn)等歷史原因，歐盟高度重視對(duì)人權(quán)及其它基本權(quán)利的保護(hù)，這充分體現(xiàn)在歐盟頒布的一系列法律文件中。歐盟實(shí)行嚴(yán)格且全面的個(gè)人隱私和數(shù)據(jù)保護(hù)規(guī)則，強(qiáng)調(diào)數(shù)據(jù)主體有權(quán)控制和監(jiān)督個(gè)人數(shù)據(jù)。相反，美國基于自由市場經(jīng)濟(jì)則堅(jiān)持倡導(dǎo)企業(yè)自我監(jiān)管。美國企業(yè)實(shí)體的強(qiáng)大市場地位使歐盟無法推動(dòng)美國進(jìn)行全面的監(jiān)管改革，而美國倡導(dǎo)的自我監(jiān)管模式也沒有為歐盟所實(shí)質(zhì)接受。

3 后Schrems II時(shí)代下歐美跨境數(shù)據(jù)流動(dòng)的合作展望

3.1 歐美跨境數(shù)據(jù)流動(dòng)合作意愿

雖然現(xiàn)實(shí)中歐盟與美國在跨境數(shù)據(jù)流動(dòng)合作中遇到困難，但二者在經(jīng)貿(mào)領(lǐng)域的深度依存關(guān)系決定未來雙方的合作意愿仍應(yīng)強(qiáng)烈。歐盟與美國是重要的數(shù)字經(jīng)濟(jì)合作伙伴。一方面，美國是歐盟最大的貿(mào)易投資伙伴。另一方面，跨北大西洋海域即歐盟與美國之間鋪設(shè)的海底電纜密度最大，而海底電纜的投資者多為其使用者，如亞馬遜、谷歌、Facebook等美國科技巨頭?？绱笪餮髷?shù)據(jù)流動(dòng)有助于歐盟成員國和企業(yè)利用數(shù)據(jù)和數(shù)字工具提高生產(chǎn)力和創(chuàng)新能力，提升國際競爭力。雖然歐美現(xiàn)階段就跨境數(shù)據(jù)流動(dòng)規(guī)則存在較大分歧，但鑒于歐盟與美國間經(jīng)貿(mào)合作頻繁，且一國的跨境數(shù)據(jù)流動(dòng)規(guī)則與外商投資保護(hù)密切相關(guān)[14]，歐盟與美國未來很可能仍然會(huì)尋求通過談判達(dá)成新的共識(shí)。鑒于維護(hù)國家安全、公共利益和個(gè)人隱私可能成為國家規(guī)制跨境數(shù)據(jù)流動(dòng)的合法理由[15]，在未來的談判中，歐美對(duì)于跨境數(shù)據(jù)流動(dòng)達(dá)成合意的關(guān)鍵在于協(xié)調(diào)經(jīng)濟(jì)發(fā)展與隱私保護(hù)、安全維護(hù)的關(guān)系。2021年6月，《歐美峰會(huì)聯(lián)合聲明》提出“共同努力確保安全、穩(wěn)定和可信賴地保護(hù)消費(fèi)者，加強(qiáng)隱私保護(hù)，同時(shí)維持跨大西洋商業(yè)的跨境數(shù)據(jù)流動(dòng)”，這或許是雙方合作意愿的信號(hào)。

3.2 歐美跨境數(shù)據(jù)流動(dòng)合作路徑

a.重構(gòu)跨大西洋數(shù)據(jù)隱私框架。歐美合作意愿仍然強(qiáng)烈。2022年3月25日，歐盟委員會(huì)與美國發(fā)布《跨大西洋數(shù)據(jù)隱私框架聯(lián)合聲明》。這意味著在隱私盾協(xié)議失效一年多以后，歐美原則上再次達(dá)成關(guān)于構(gòu)建跨大西洋數(shù)據(jù)隱私框架的合作，并著力解決Schrems Ⅱ案所導(dǎo)致的國家監(jiān)視、隱私保護(hù)和權(quán)利救濟(jì)等問題。美國在該框架中作出前所未有的改革承諾，將建立一套新的約束保障措施和規(guī)則對(duì)美國情報(bào)機(jī)構(gòu)獲取歐盟公民數(shù)據(jù)予以限制，確保情報(bào)監(jiān)視活動(dòng)符合國家安全目標(biāo)的必要性和相稱性。為了彌補(bǔ)個(gè)人司法救濟(jì)的不足，美國將建立包括“數(shù)據(jù)保護(hù)審查法院”在內(nèi)的獨(dú)立的兩級(jí)救濟(jì)機(jī)制，幫助調(diào)查和解決歐盟公民對(duì)美國情報(bào)機(jī)構(gòu)獲取其數(shù)據(jù)的申訴[16]。

新的數(shù)據(jù)隱私框架將為跨大西洋數(shù)據(jù)流動(dòng)提供長期和可信賴的法律基礎(chǔ)，在充分保護(hù)公民基本權(quán)利的同時(shí)，促進(jìn)數(shù)據(jù)自由、安全地跨境流動(dòng)，推動(dòng)形成競爭與包容的數(shù)字經(jīng)濟(jì)。但是鑒于安全港原則和隱私盾協(xié)議先后兩次失效，新的跨大西洋數(shù)據(jù)隱私框架仍然面臨不確定性，歐美很可能會(huì)在此基礎(chǔ)上繼續(xù)考慮其它跨境數(shù)據(jù)流動(dòng)合作路徑。

b.使用標(biāo)準(zhǔn)合同條款。Schrems Ⅱ案確認(rèn)了可采用標(biāo)準(zhǔn)合同條款繼續(xù)向美國傳輸歐盟數(shù)據(jù)，這也是目前歐美開展跨境數(shù)據(jù)流動(dòng)合作合法有效、具有互操作性的方式。GDPR第46條規(guī)定標(biāo)準(zhǔn)合同條款和具有約束力公司規(guī)則是傳輸個(gè)人數(shù)據(jù)至第三國的適當(dāng)保障措施。具有約束力公司規(guī)則是一套嚴(yán)格的內(nèi)部約束規(guī)則，被稱為數(shù)據(jù)保護(hù)的“黃金標(biāo)準(zhǔn)”，但其對(duì)于企業(yè)特別是中小型企業(yè)適用存在明顯弊端：除了必須建立數(shù)據(jù)傳輸?shù)暮戏ɑA(chǔ)外，主管監(jiān)管機(jī)構(gòu)的審批期限較長，并且成本高昂。所以，標(biāo)準(zhǔn)合同條款成為了企業(yè)的優(yōu)先選擇。使用標(biāo)準(zhǔn)合同條款，還需要采取額外的保障措施確保傳輸至第三國的數(shù)據(jù)保護(hù)水平實(shí)質(zhì)等同于歐盟標(biāo)準(zhǔn)。2021年6月，歐盟委員會(huì)公布了最新版標(biāo)準(zhǔn)合同條款，同時(shí)歐洲數(shù)據(jù)保護(hù)委員會(huì)增加了關(guān)于額外保障措施具體要求的“補(bǔ)充措施建議”，并于隨后提出涵蓋四項(xiàng)歐洲基本保障的指南。至此，歐盟為美國企業(yè)跨境數(shù)據(jù)流動(dòng)提供了新框架。

c.獲取歐盟充分性認(rèn)定。因企業(yè)合規(guī)成本較高，適用難度較大，標(biāo)準(zhǔn)合同條款和具有約束力公司規(guī)則不足以作為支撐歐美跨境數(shù)據(jù)流動(dòng)的保障機(jī)制[17]。相較而言，獲取歐盟充分性認(rèn)定對(duì)于美國是更為一勞永逸的方式。截至2022年2月，共有14個(gè)國家和地區(qū)獲得了歐盟的充分性認(rèn)定。但目前美國僅少數(shù)州合乎GDPR“充分”的保護(hù)要求。正如Schrems Ⅱ案判決所示，美國無法為用戶對(duì)其數(shù)據(jù)享有的隱私權(quán)提供有效司法救濟(jì)。在2015年“谷歌Cookie設(shè)置消費(fèi)者訴訟”案中，美國法院并未承認(rèn)用戶隱私權(quán)是基本人權(quán)，原告作為權(quán)利受損人又難以滿足嚴(yán)苛的起訴證明要求[18]，故用戶難以通過司法程序證明其存在“被監(jiān)視”的損失。美國要想遵守GDPR中關(guān)于數(shù)據(jù)和隱私保護(hù)的權(quán)利與義務(wù)規(guī)定，其或可頒布、修改聯(lián)邦內(nèi)的數(shù)據(jù)和隱私保護(hù)法來達(dá)到該目的。美國互聯(lián)網(wǎng)科技公司在歐盟擁有巨大的市場，企業(yè)合規(guī)風(fēng)險(xiǎn)日增有望迫使美國政府作出讓步，在嚴(yán)格遵守歐盟法律的前提下一定程度上改變“美國模式”，以保護(hù)美國企業(yè)海外投資經(jīng)營利益并促進(jìn)歐美數(shù)字貿(mào)易安全、高效、穩(wěn)定地發(fā)展。當(dāng)“布魯塞爾效應(yīng)”開始逐漸作用于美國時(shí)，美國獲取歐盟充分性認(rèn)定的時(shí)間或許也將隨之到來。

3.3 歐美跨境數(shù)據(jù)流動(dòng)合作前景

a.“個(gè)案審查”增加不確定性。Schrems II案確立了歐盟法院的個(gè)案實(shí)質(zhì)審查機(jī)制，即針對(duì)根據(jù)標(biāo)準(zhǔn)合同條款進(jìn)行數(shù)據(jù)跨境傳輸?shù)钠髽I(yè)，歐盟數(shù)據(jù)出口者與第三國數(shù)據(jù)接收者應(yīng)當(dāng)對(duì)該傳輸是否足以對(duì)數(shù)據(jù)提供充分性保護(hù)進(jìn)行個(gè)案審查。如果審查不通過，則傳輸應(yīng)當(dāng)暫?；蚪K止。這樣的個(gè)案審查制度將從兩方面增加歐美跨境數(shù)據(jù)流動(dòng)合作的不確定性。

一方面是對(duì)現(xiàn)有跨境數(shù)據(jù)流動(dòng)合作框架的沖擊。鑒于部分歐洲國家和美國之間的隱私盾與歐盟和美國之間的隱私盾相似程度很高，這些歐洲國家和美國之間的跨境數(shù)據(jù)流動(dòng)合作機(jī)制是否受到影響，以及這些國家的數(shù)據(jù)保護(hù)立法是否仍然符合歐盟的充分性保護(hù)認(rèn)定存在不確定性[19]。

另一方面是個(gè)案審查制度賦予了審查主體一定的自由裁量權(quán)，主觀因素也增加了審查結(jié)果的不確定性[20]。對(duì)于從歐盟向美國傳輸數(shù)據(jù)的企業(yè)而言，數(shù)據(jù)出口者和接收者必須核實(shí)美國是否符合歐盟法律所要求的保護(hù)水平，同時(shí)要考慮傳輸?shù)臄?shù)據(jù)類別和美國的法律制度。數(shù)據(jù)接收者有義務(wù)告知數(shù)據(jù)出口者標(biāo)準(zhǔn)合同條款不能或者不再提供充分保護(hù)的情況，出口者則有義務(wù)暫?；蚪K止數(shù)據(jù)傳輸。考慮到美國的國家安全法律和實(shí)踐，完全符合歐盟嚴(yán)格的保護(hù)要求仍然存在困難，數(shù)據(jù)出口者和數(shù)據(jù)接收者可能傾向于避免擴(kuò)大審查范圍和內(nèi)容，將盡職調(diào)查重點(diǎn)放在垂直行業(yè)和自身安全需求上，在一定程度上涵蓋第三國的法律規(guī)定。審查的主觀考量和保留可能會(huì)增加美國安全部門獲取來自歐盟的數(shù)據(jù)的不確定性。

b.加州隱私法提供新路徑。雖然美國數(shù)據(jù)隱私法多針對(duì)具體行業(yè)和部門，尚未就跨境數(shù)據(jù)流動(dòng)的問題制定一部全面涉及個(gè)人數(shù)據(jù)和隱私保護(hù)權(quán)利的國家法律，但是2020年1月1日生效的《加利福尼亞消費(fèi)者隱私法》使加利福尼亞州率先建立數(shù)據(jù)隱私法。其后，加利福尼亞州又頒布了《加利福尼亞隱私權(quán)法》，該法與《加利福尼亞消費(fèi)者隱私法》共同構(gòu)成了加利福尼亞州的數(shù)據(jù)隱私法律制度。2021年3月，弗吉尼亞州州長簽署了《弗吉尼亞消費(fèi)者數(shù)據(jù)保護(hù)法》，使弗吉尼亞州成為繼加利福尼亞州之后美國第二個(gè)正式頒布全面消費(fèi)者隱私立法的州。

GDPR第45條明確歐盟委員會(huì)充分性決定可以對(duì)某一地區(qū)作出，加利福尼亞州有可能先于美國獲得歐盟對(duì)州層面的充分性認(rèn)定。《加利福尼亞消費(fèi)者隱私法》包括3個(gè)主要部分：賦予消費(fèi)者信息知情權(quán)和“被遺忘權(quán)”；消費(fèi)者有權(quán)要求公司不出于商業(yè)目的出售數(shù)據(jù)或與第三方共享數(shù)據(jù)；擁有起訴違法公司的權(quán)利。它與GDPR都賦予個(gè)人對(duì)個(gè)人數(shù)據(jù)更多的控制權(quán)，限制公司對(duì)數(shù)據(jù)的使用，并賦予監(jiān)管機(jī)構(gòu)對(duì)不合規(guī)組織進(jìn)行罰款的權(quán)力。加利福尼亞州的隱私立法已經(jīng)非常貼近GDPR的要求。這或許是因?yàn)楣韫葥碛惺澜绫姸囗敿饣ヂ?lián)網(wǎng)科技公司，修改立法有助于保護(hù)這些科技巨頭的投資利益。加利福尼亞等州的立法可能為美國改革數(shù)據(jù)監(jiān)管和隱私保護(hù)制度，解決“監(jiān)控資本主義”帶來的信任危機(jī)提供可行途徑。

4 中國的應(yīng)對(duì)策略

世界正處于百年未有之大變局，全球數(shù)字貿(mào)易規(guī)則制定的話語權(quán)爭奪愈發(fā)激烈，這直接反映在歐美跨境數(shù)據(jù)流動(dòng)的合作博弈中。中國作為數(shù)字經(jīng)濟(jì)大國，應(yīng)準(zhǔn)確把握當(dāng)前數(shù)字貿(mào)易規(guī)則發(fā)展趨勢，從國際和國內(nèi)兩個(gè)層面做好應(yīng)對(duì)準(zhǔn)備，提供全球跨境數(shù)據(jù)流動(dòng)規(guī)則的“中國方案”。

4.1 國際視角

a.堅(jiān)持安全、合作與共贏的原則。尊重網(wǎng)絡(luò)主權(quán)、維護(hù)和平安全、促進(jìn)開放合作和構(gòu)建良好秩序是構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體的“四項(xiàng)原則”。尊重一國的網(wǎng)絡(luò)主權(quán)是國家主權(quán)在網(wǎng)絡(luò)空間的具體體現(xiàn)，也是堅(jiān)持總體國家安全觀的客觀要求。捍衛(wèi)我國網(wǎng)絡(luò)主權(quán)亦受到國際形勢變化影響。歐美合作可能會(huì)強(qiáng)化對(duì)數(shù)據(jù)本地化的禁止，擴(kuò)大跨境數(shù)據(jù)流動(dòng)范圍，進(jìn)一步限制中國互聯(lián)網(wǎng)科技公司參與跨國投資與數(shù)字貿(mào)易，這從歐美近年均加強(qiáng)對(duì)中國的外資安全審查可見端倪，例如2020年美國頒布的“TIK TOK禁令”，歐盟宣布排除華為5G技術(shù)等。我國外交部在談到中美關(guān)系時(shí)提到，“合則兩利，斗則俱傷”。在對(duì)待跨境數(shù)據(jù)流動(dòng)的問題上，中國必須守住安全底線，相互尊重彼此核心利益和共同關(guān)切，堅(jiān)持合作共贏的發(fā)展原則，建立跨境數(shù)據(jù)流動(dòng)國際互信機(jī)制，實(shí)現(xiàn)數(shù)字經(jīng)濟(jì)時(shí)代的共贏。

b.推動(dòng)“數(shù)字絲綢之路”建設(shè)。在第一屆“一帶一路”國際合作高峰論壇上，習(xí)近平總書記強(qiáng)調(diào)推動(dòng)建設(shè)“數(shù)字絲綢之路”，“一帶一路”沿線國家共同致力于數(shù)字互聯(lián)、信息共享和技術(shù)合作。歐盟是中國共建“一帶一路”的重要合作伙伴。中國可以在維護(hù)國家安全和發(fā)展利益的基礎(chǔ)上探尋中歐跨境數(shù)據(jù)流動(dòng)合作。中國具有先進(jìn)的5G創(chuàng)新技術(shù)、基礎(chǔ)設(shè)施建設(shè)能力和海外投資實(shí)力。盡管當(dāng)前歐盟5G技術(shù)的推廣應(yīng)用進(jìn)展緩慢，但歐盟在全球數(shù)據(jù)消費(fèi)中占有非常大的比重。根據(jù)中國已經(jīng)在《中歐全面投資協(xié)定》談判中做出電子通信、計(jì)算機(jī)服務(wù)領(lǐng)域的市場準(zhǔn)入承諾，中歐未來若要實(shí)現(xiàn)跨境數(shù)據(jù)自由流動(dòng)，一方面可參照日本、韓國的GDPR合規(guī)路徑，在完善個(gè)人數(shù)據(jù)跨境流動(dòng)規(guī)則的基礎(chǔ)上，尋求歐盟委員會(huì)“充分保護(hù)”認(rèn)定；另一方面中歐或可使用GDPR第46條規(guī)定的5類適當(dāng)保障措施。鑒于目前歐盟委員會(huì)認(rèn)定“充分保護(hù)”的高標(biāo)準(zhǔn)，后一路徑對(duì)于中歐合作或許更加切實(shí)可行。

我國應(yīng)積極推動(dòng)“數(shù)字絲綢之路”建設(shè)，加快與歐盟開展跨境數(shù)據(jù)流動(dòng)雙邊合作機(jī)制的談判，在此過程中逐步增強(qiáng)中歐數(shù)字互信。通過“數(shù)字絲綢之路”架起溝通橋梁，中歐建立跨境數(shù)據(jù)流動(dòng)合作關(guān)系，這將有助于擴(kuò)大中國跨境數(shù)據(jù)流動(dòng)規(guī)制立場的區(qū)域及全球影響力，實(shí)現(xiàn)“一帶一路”高質(zhì)量數(shù)字經(jīng)濟(jì)發(fā)展。

c.參與制定國際數(shù)字規(guī)則標(biāo)準(zhǔn)。當(dāng)前全球數(shù)字貿(mào)易規(guī)則大體形成“美國模式”“歐盟模式”與“中國模式”三足鼎立的局面[21]。美歐為掌握數(shù)字貿(mào)易規(guī)則主導(dǎo)權(quán)正在積極推動(dòng)雙邊或區(qū)域合作?！度媾c進(jìn)步跨太平洋伙伴關(guān)系協(xié)定》(CPTPP)電子商務(wù)章節(jié)囊括了美國關(guān)于跨境數(shù)據(jù)流動(dòng)的主要立場和規(guī)則要求，并與《美墨加協(xié)定》數(shù)字貿(mào)易章節(jié)代表了美國主導(dǎo)下的區(qū)域或雙邊規(guī)則框架[22]。拜登政府已在起草環(huán)太平洋數(shù)字貿(mào)易協(xié)定。“數(shù)字TPP”或許將成為美國未來拓展其跨境數(shù)據(jù)流動(dòng)立場的重要途徑。歐盟在與新加坡、墨西哥等國的自由貿(mào)易協(xié)定中已采用“歐式模板”，在目前與印度尼西亞、澳大利亞進(jìn)行的自由貿(mào)易協(xié)定談判中也為納入GDPR數(shù)據(jù)保護(hù)規(guī)則留足了規(guī)制空間。2021年，商務(wù)部印發(fā)了《數(shù)字經(jīng)濟(jì)對(duì)外投資合作工作指引》，明確提出“積極參與國際數(shù)字規(guī)則標(biāo)準(zhǔn)制定，推動(dòng)中國數(shù)字標(biāo)準(zhǔn)走出去”。中國作為聯(lián)合國安理會(huì)常任理事國之一，亦是WTO的重要成員國以及“一帶一路”倡議的發(fā)起方，應(yīng)積極把握國際數(shù)字規(guī)則標(biāo)準(zhǔn)制定主導(dǎo)權(quán)。

中國正在申請(qǐng)加入CPTPP與《數(shù)字經(jīng)濟(jì)伙伴關(guān)系協(xié)定》。在維護(hù)數(shù)據(jù)安全的基礎(chǔ)上，中國需要對(duì)跨境數(shù)據(jù)自由流動(dòng)、數(shù)據(jù)本地化措施、源代碼以及數(shù)字產(chǎn)品非歧視待遇等具有重要分歧的議題積極但審慎地評(píng)估，推動(dòng)談判進(jìn)程[23]。如何縮小數(shù)字鴻溝，促進(jìn)各國積極開展數(shù)字合作，制定兼顧我國數(shù)字經(jīng)濟(jì)發(fā)展和維護(hù)國家主權(quán)的國際數(shù)字規(guī)則標(biāo)準(zhǔn)，是我國參與數(shù)字貿(mào)易國際規(guī)則制定的關(guān)鍵。

4.2 國內(nèi)視角

a.加強(qiáng)企業(yè)對(duì)外投資數(shù)據(jù)合規(guī)建設(shè)。隨著我國企業(yè)對(duì)外投資規(guī)模擴(kuò)大，歐美等西方國家也加緊了本國的數(shù)據(jù)監(jiān)管和安全審查，國內(nèi)企業(yè)的跨境數(shù)據(jù)流動(dòng)將受到更加嚴(yán)格的境內(nèi)外審查和合規(guī)要求。以歐盟為例，在歐盟參與跨境數(shù)據(jù)流動(dòng)的每一企業(yè)平均花費(fèi)的GDPR合規(guī)成本約為1000萬元；若企業(yè)被認(rèn)定為不符合GDPR合規(guī)要求，則會(huì)面臨巨額罰款。

在企業(yè)合規(guī)成本日益增加的背景下，我國可從完善政府監(jiān)管和加強(qiáng)企業(yè)合規(guī)建設(shè)兩方面著手解決。在政府方面，在維護(hù)國家安全與公共安全的前提下，我國可適當(dāng)減少部分跨境數(shù)據(jù)流動(dòng)規(guī)制措施，對(duì)標(biāo)GDPR、CPTPP等高標(biāo)準(zhǔn)數(shù)字經(jīng)貿(mào)協(xié)定，創(chuàng)新并整合監(jiān)管機(jī)構(gòu)，避免出現(xiàn)多重監(jiān)管和監(jiān)管空白，減輕企業(yè)合規(guī)壓力。構(gòu)建政府監(jiān)管、行業(yè)自律和企業(yè)自覺三方參與的跨境數(shù)據(jù)流動(dòng)治理體系，營造全社會(huì)協(xié)同共治的合規(guī)環(huán)境[24]。在企業(yè)方面，企業(yè)應(yīng)嚴(yán)格遵守其經(jīng)營地所在國和用戶所在國的法律規(guī)定，履行跨境數(shù)據(jù)安全保障義務(wù)，建立個(gè)人信息保護(hù)合規(guī)制度體系，成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督。在全面增強(qiáng)技術(shù)、制度體系和經(jīng)濟(jì)實(shí)力的同時(shí)，企業(yè)還應(yīng)設(shè)立專門的數(shù)據(jù)合規(guī)部門，做好數(shù)據(jù)跨境風(fēng)險(xiǎn)預(yù)警，排除合規(guī)障礙。

b.自貿(mào)區(qū)試點(diǎn)跨境數(shù)據(jù)流動(dòng)規(guī)則。 從統(tǒng)籌國內(nèi)法治與涉外法治的視角出發(fā)，在堅(jiān)持國內(nèi)國際雙循環(huán)的新發(fā)展格局，進(jìn)一步擴(kuò)大對(duì)外開放的背景下，我國可借助自貿(mào)區(qū)推動(dòng)跨境數(shù)據(jù)流動(dòng)先行先試。2020年8月，商務(wù)部印發(fā)《全面深化服務(wù)貿(mào)易創(chuàng)新發(fā)展試點(diǎn)總體方案》，建議在北京、上海、海南等條件較好的地區(qū)開展數(shù)據(jù)跨境傳輸安全管理試點(diǎn)，對(duì)標(biāo)國際高標(biāo)準(zhǔn)高水平，推動(dòng)數(shù)字營商環(huán)境便利化。

首先，可在自貿(mào)區(qū)建立數(shù)據(jù)出境的安全評(píng)估機(jī)制。通過探索數(shù)據(jù)分級(jí)分類標(biāo)準(zhǔn)，結(jié)合地區(qū)跨境傳輸?shù)臄?shù)據(jù)類型、數(shù)據(jù)接收地和數(shù)據(jù)使用目的等具體情況，設(shè)計(jì)一套邏輯完整、程序公平和操作便捷的評(píng)估機(jī)制。同時(shí)，應(yīng)提升自貿(mào)區(qū)信息技術(shù)能力，增強(qiáng)安全評(píng)估機(jī)制的科學(xué)性、準(zhǔn)確性。其次，國家應(yīng)為自貿(mào)區(qū)探索跨境數(shù)據(jù)流動(dòng)規(guī)則創(chuàng)造良好的外部法治、經(jīng)濟(jì)和政策環(huán)境[25]。國家網(wǎng)信部門可以借鑒GDPR的標(biāo)準(zhǔn)合同條款，制定跨境數(shù)據(jù)流動(dòng)標(biāo)準(zhǔn)合同以供自貿(mào)區(qū)使用。截至目前，北京數(shù)字貿(mào)易試驗(yàn)區(qū)、上海和浙江自貿(mào)區(qū)、海南自貿(mào)港已相繼出臺(tái)跨境數(shù)據(jù)流動(dòng)方案。在此基礎(chǔ)之上，我國可進(jìn)一步擴(kuò)大自貿(mào)區(qū)跨境數(shù)據(jù)流動(dòng)規(guī)則試點(diǎn)范圍，結(jié)合各自貿(mào)區(qū)的產(chǎn)業(yè)及區(qū)位特征，劃分行業(yè)、地域進(jìn)行跨境數(shù)據(jù)流動(dòng)改革試驗(yàn)，有效落實(shí)總體方案。最后，自貿(mào)區(qū)跨境數(shù)據(jù)流動(dòng)規(guī)則的探索和成功經(jīng)驗(yàn)也將為我國參與談判加入CPTPP與《數(shù)字經(jīng)濟(jì)伙伴關(guān)系協(xié)定》奠定堅(jiān)實(shí)的基礎(chǔ)。

c.完善國內(nèi)跨境數(shù)據(jù)流動(dòng)立法。促進(jìn)數(shù)據(jù)跨境自由流動(dòng)，不僅需要加強(qiáng)政府監(jiān)管與企業(yè)合規(guī)建設(shè)，對(duì)標(biāo)國際高標(biāo)準(zhǔn)數(shù)字規(guī)則，還需要完善國內(nèi)立法。我國已施行《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》，但上述規(guī)范大多數(shù)條款為原則規(guī)定，有待細(xì)化規(guī)定以平衡個(gè)人信息保護(hù)與數(shù)據(jù)跨境自由流動(dòng)。例如，在后續(xù)立法中明確個(gè)人信息保護(hù)具體標(biāo)準(zhǔn)、數(shù)據(jù)分類目錄、安全評(píng)估審查、獨(dú)立的監(jiān)管機(jī)構(gòu)等內(nèi)容[26]?！秱€(gè)人信息保護(hù)法》中22次提到“安全”一詞，無論是跨境數(shù)據(jù)流動(dòng)還是在我國境內(nèi)處理個(gè)人信息，安全評(píng)估的重要性可見一斑。我國應(yīng)盡快出臺(tái)《個(gè)人信息出境安全評(píng)估辦法》等行政法規(guī)，制定重要數(shù)據(jù)分類保護(hù)目錄，建立數(shù)據(jù)安全審查制度，發(fā)布企業(yè)數(shù)據(jù)跨境合規(guī)指南等進(jìn)一步為我國企業(yè)數(shù)據(jù)跨境營造安全、有序的法治環(huán)境，增強(qiáng)其抵御境內(nèi)外法律風(fēng)險(xiǎn)的能力。

此外，我國可在信息保護(hù)和數(shù)據(jù)安全制度下增設(shè)獨(dú)立的監(jiān)管機(jī)構(gòu)。GDPR第六章對(duì)設(shè)立“獨(dú)立的數(shù)據(jù)監(jiān)管機(jī)構(gòu)”進(jìn)行了專章規(guī)定，是否設(shè)立獨(dú)立的監(jiān)管機(jī)構(gòu)是歐盟評(píng)估第三國或地區(qū)的數(shù)據(jù)和隱私保護(hù)水平是否充分的重要審查因素之一。對(duì)標(biāo)GDPR，我國《個(gè)人信息保護(hù)法》并未單獨(dú)設(shè)立獨(dú)立監(jiān)管機(jī)構(gòu)?！稊?shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》中都強(qiáng)調(diào)了國家網(wǎng)信部門或者有關(guān)部門的監(jiān)督管理作用，但海量的數(shù)字平臺(tái)和應(yīng)用程序大大增加了監(jiān)管難度。為了提高監(jiān)管效率和促進(jìn)跨境數(shù)據(jù)流動(dòng)，設(shè)立獨(dú)立的監(jiān)管機(jī)構(gòu)或有必要。