何 東

（青海民族大學法學院,青海 西寧 810007）

歐美的諸多貿(mào)易往來都涉及個人數(shù)據(jù)的跨境流動。從2000年到2020年，歐美簽署的《安全港協(xié)議》和《隱私盾協(xié)議》，使得美國獲得了作為歐盟個人數(shù)據(jù)傳輸目的地的資格。在此期間，二者在個人數(shù)據(jù)傳輸方面只是偶有矛盾和分歧，沒有出現(xiàn)較大的紛爭。然而，雙方在個人數(shù)據(jù)跨境流動規(guī)制方面存在著巨大的理念沖突，在數(shù)字經(jīng)濟的發(fā)展中又互為競爭對手，因此，歐美之間的個人數(shù)據(jù)流動規(guī)制模式在運行中難免會遇到阻力。2020年，歐盟法院先后確認《安全港協(xié)議》和《隱私盾協(xié)議》失去法律效力。探討兩個協(xié)議失效案件，進而充分認識歐美個人數(shù)據(jù)跨境傳輸模式中內(nèi)在的體制機制矛盾，并研判世界個人數(shù)據(jù)流動規(guī)制法律創(chuàng)制的發(fā)展方向。可以為中國立足本國實際構建本國個人數(shù)據(jù)流動規(guī)制框架、積極參與世界范圍內(nèi)法律的制定提供有益的參考和建議。

1 歐美個人數(shù)據(jù)跨境流動規(guī)制安排的緣起

針對向外傳輸?shù)挠騼?nèi)數(shù)據(jù)，歐盟采取充分保護規(guī)則對其進行保護。歐盟依據(jù)自身標準對域外國家和地區(qū)的立法體系、公民權利保障狀況、法律適用情況等進行充分考察，從而確定該國或該地區(qū)是否具有保護公民個人數(shù)據(jù)安全的能力。只有經(jīng)歐盟審核符合條件的國家和地區(qū)才可以成為歐盟個人數(shù)據(jù)傳輸?shù)哪康牡亍Ｓ捎跉W盟對個人數(shù)據(jù)保護進行了嚴格的法律規(guī)定，當前只有13個國家符合歐盟的數(shù)據(jù)保護標準。而美國尚未進行全國層面的公民信息保護法律的創(chuàng)制，因此其數(shù)據(jù)規(guī)制模式難以得到歐盟委員會的承認，而歐美之間又存在著緊密的經(jīng)貿(mào)聯(lián)系，促進兩者之間的信息傳輸勢在必行。在這樣的背景下，歐盟和美國先后簽訂了《安全港協(xié)議》和《隱私盾協(xié)議》。

1.1 《安全港協(xié)議》

1.1.1 《安全港協(xié)議》的簽署及其主旨

歐美之間的貿(mào)易額巨大，雙方在交易過程中不可避免地要向彼此傳輸大量的個人跨境數(shù)據(jù)。尋求一種有效而又能符合歐美法律規(guī)定的數(shù)據(jù)傳輸方式一直是雙方所追尋的目標。早在1995年，歐盟頒布了《數(shù)據(jù)保護指令》。歐盟已經(jīng)開始管制域內(nèi)數(shù)據(jù)向域外國家和地區(qū)的傳輸[1]。在1998年，歐盟和美國正式開啟了談判，意欲實現(xiàn)歐盟個人數(shù)據(jù)向美國的自由傳輸。密切的經(jīng)貿(mào)往來促使歐美開啟了長期的協(xié)商，并最終簽署了《安全港協(xié)議》?！栋踩蹍f(xié)議》于2000年得以生效，美國的數(shù)據(jù)保護能力得到了歐盟“非全面”的承認。

《安全港協(xié)議》對個人數(shù)據(jù)的保護做出詳細的規(guī)定，商業(yè)機構可以自愿參與到該協(xié)議之中，進而獲得開展關涉歐美之間個人數(shù)據(jù)流動貿(mào)易的資格[2]。憑借“安全港”模式提供的機制優(yōu)勢，美國商業(yè)機構針對歐盟市場開發(fā)出了一套特有的商業(yè)范式，獲得了高額商業(yè)利潤。作為兩大經(jīng)濟體談判的重要成果，該協(xié)議對公民隱私的保護作出了全面的規(guī)定。

1.1.2 SchermsⅠ案件導致《安全港協(xié)議》機制失去效力

因個人網(wǎng)絡信息未經(jīng)本人同意被傳輸至美國，奧地利人Max Schrems認為其個人數(shù)據(jù)安全未能得到有效保障，于2013年提起訴訟，當時對跨大西洋數(shù)據(jù)傳輸進行規(guī)制的文件是《安全港協(xié)議》。后來，歐盟法院對該案進行了審理和判決，指出與保護公民隱私相比，美國把維護國家安全和促進經(jīng)濟發(fā)展的法律的適用放在了更為優(yōu)先的位置。因此《安全港協(xié)議》不足以使傳輸至美國的歐盟個人信息安全得到有效保障，自此《安全港協(xié)議》對歐美數(shù)據(jù)傳輸不再具有約束力。

1.2 《隱私盾協(xié)議》

1.2.1 《隱私盾協(xié)議》的頒行及其要旨

《安全港協(xié)議》失效以后，跨大西洋數(shù)據(jù)傳輸再次處于無序的狀態(tài)之中，極大的阻礙了歐美之間的經(jīng)濟往來。歐美雙方不得不迅速開啟談判，在《安全港協(xié)議》失效的時間尚不足一年時，雙方最終簽署了《隱私盾協(xié)議》。該協(xié)議從2016年7月生效?！峨[私盾協(xié)議》對《安全港協(xié)議》的內(nèi)容進行了補充修正，自愿接受該協(xié)議規(guī)制的商業(yè)機構達5 000余個[3]。此后，跨大西洋數(shù)據(jù)傳輸再次得到了有力的規(guī)制。為了盡快恢復歐美之間的數(shù)據(jù)自由傳輸，與《安全港協(xié)議》相比，美國在簽訂《隱私盾協(xié)議》時做出了大量的退讓。

1.2.2 SchermsⅡ案件和跨大西洋個人數(shù)據(jù)傳輸規(guī)制分歧的研究

《隱私盾協(xié)議》被判定無效一案和《安全港協(xié)議》被判定無效一案相承接，因此又被稱為SchermsⅡ案件。在《安全港協(xié)議》對歐美個人數(shù)據(jù)傳輸不再具有管制力后，為了繼續(xù)向美國傳輸歐盟個人信息，F(xiàn)acebook以SCCs數(shù)據(jù)安全保障機制作為合規(guī)手段以使得歐美之間的信息流動得以正常進行。然而，Max Schrems于2015年再次向愛爾蘭數(shù)據(jù)保護委員會進行申訴，以歐盟公民隱私無法得到有效保障為由請求禁用SCCs數(shù)據(jù)安全保障機制。在此案移送到歐盟法院的過程中，愛爾蘭司法機構在質(zhì)疑標準合同條款中規(guī)定的數(shù)據(jù)安全保障機制（以下簡稱SCCs數(shù)據(jù)安全保障機制）合規(guī)性的同時，也開始對《隱私盾協(xié)議》的規(guī)制效力問題進行進一步的探討。歐盟法院的判決指出，美國政府擁有訪問和掌握個人數(shù)據(jù)的極大權力，這足以使歐盟公民的信息安全權利遭受侵犯。此外，歐盟域內(nèi)的個人難以赴美以法律手段制裁侵犯公民信息權利的美國企業(yè)，并成功維護自身權益。《隱私盾協(xié)議》于2020年被認定為失去法律約束力。然而，SCCs數(shù)據(jù)安全保障機制仍然具有效力。

歐盟尤其擔憂美國國家部門可以自由查看歐盟域內(nèi)居民的信息和隱私，可是歐盟域內(nèi)的個人卻難以維權。歐盟法院在對《隱私盾協(xié)議》失去效力一案進行審判時明確指出，美國的信息搜集行為不止一次對歐盟內(nèi)部的個人信息安全造成威脅，可是美國的規(guī)制模式卻難以為歐盟內(nèi)部的個人數(shù)據(jù)提供符合歐盟信息保護準則的有力保障。美國《外國情報監(jiān)視法案》甚至規(guī)定，美國的信息搜集部門能夠?qū)γ绹蛲獾耐鈬瞬扇⌒畔⑺鸭胧?。美國?0任總統(tǒng)羅納德·威爾遜·里根曾在其任期內(nèi)以其總統(tǒng)特權使美國第12333號行政法令中規(guī)定的政府進行的個人數(shù)據(jù)搜查（以下簡稱EO12333）獲得合法地位，EO12333使得美國國家安全局（NSA）截獲歐盟正在傳輸中信息的行為獲得了法律的認可。長期以來，歐盟將公民的個人信息安全權利視為歐盟公民的一項重要權利，美國肆意搜集境外私人數(shù)據(jù)的行為，顯然違反了歐盟構建其個人數(shù)據(jù)跨境規(guī)制機制的初衷。歐盟根本法對公民個人隱私權的保護做出了細致的規(guī)定?？傮w而言，歐盟《通用數(shù)據(jù)保護條例》中有關個人數(shù)據(jù)流動規(guī)制的條款不得與歐盟《基本權利憲章》對歐盟公民基本權利的規(guī)定相違背。

2 歐盟和美國個人數(shù)據(jù)跨境流動規(guī)制體系的對比

歐美兩種個人數(shù)據(jù)傳輸規(guī)制模式存在較大的立法理念差異，兩種模式在立法價值、規(guī)制手段、立法效果等方面都迥然不同。正是兩種體制存在的諸多不同之處，最終導致了《安全港協(xié)議》和《隱私盾協(xié)議》的失效。下面本文將從以下幾個層面來對兩種模式進行對比研究。

2.1 歐美個人數(shù)據(jù)跨境流動規(guī)制模式價值取向的差別

歐盟基于維護公民基本權益的出發(fā)點，創(chuàng)制了相關法規(guī)以強化對公民隱私信息權利的保護，歐盟《基本權利憲章》也對公民個人數(shù)據(jù)權利的保護作出了具體規(guī)定。歐盟司法部門在具體案件的法律適用中有效地維護了公民的數(shù)據(jù)權利。保護個人信息這一得到歐洲人權機構普遍認同的理念在《歐洲人權公約》中也得到了承認。公民個人數(shù)據(jù)信息不能任由他方非法搜集和使用的價值取向在歐洲早已深入人心。

美國歷任總統(tǒng)都鼓勵強化商業(yè)機構的行業(yè)自我管控，相比于公民數(shù)據(jù)保護，將促進經(jīng)濟發(fā)展置于更為重要的位置。20世紀90年代，美國第42任總統(tǒng)威廉·杰斐遜·克林頓極力向世界各地推介美國的行業(yè)自我管控機制，意圖使之成為各國通行的準則[4]。美國部分學者曾對歐盟在1995年頒行的《數(shù)據(jù)保護指令》持懷疑態(tài)度，并撰文批評該指令阻礙了歐美之間服務、貿(mào)易的開展?？傮w而言，美國規(guī)制機制更注重對個人信息整合者的權益，而非作為信息主體的公民的個人權益的保護。

2.2 歐美個人數(shù)據(jù)跨境流動規(guī)制立法模式的差別

《通用數(shù)據(jù)保護條例》對歐盟成員國實行統(tǒng)一的個人數(shù)據(jù)規(guī)制準則，因此也便于歐盟域外的國家和地區(qū)進行法律移植。歐盟司法部門將《隱私盾協(xié)議》和《安全港協(xié)議》認定為無效，看似是為了保護公民的信息權利，但從本質(zhì)上來看，歐盟不乏以自身數(shù)據(jù)規(guī)制法律制衡美國，動搖其在歐洲信息產(chǎn)業(yè)中“一家獨大”的地位。在客觀方面，歐盟的法律確實對歐洲的數(shù)字經(jīng)濟發(fā)展起到了促進作用。歐盟的數(shù)據(jù)信息規(guī)制法規(guī)涉及跨境商貿(mào)的各個方面，可用以規(guī)制商貿(mào)往來中所有與個人數(shù)據(jù)流動相關的情形。

在跨境數(shù)據(jù)規(guī)制方面，美國的立法對其他國家和地區(qū)的引領作用仍遠不及歐盟。有大量的美國商業(yè)機構為了順利開展境外貿(mào)易，在對歐盟的貿(mào)易實踐中一直自愿接受歐盟《通用數(shù)據(jù)保護條例》的規(guī)制。2020年加利福尼亞州出臺的《加州隱私權法案》（CPRA）當屬美國各個州中極具立法成就的法律文件。該法案在修正之后作出了設立專司維護公民信息權益部門的規(guī)定，對少兒隱私信息的內(nèi)容進行了擴充，規(guī)范了信息存留制度，并對商品、服務購買者維權的途徑進行了規(guī)范和說明。然而，美國至今沒有頒行可以在整個國家普遍適用以維護公民數(shù)據(jù)信息權利的法規(guī)，與歐盟《通用數(shù)據(jù)保護條例》在歐盟各成員國都具有規(guī)制力相比，美國在法律創(chuàng)制方面并不占優(yōu)勢。當前美國開始著手創(chuàng)制可以在全美普遍適用的數(shù)據(jù)規(guī)制法律，但鑒于國內(nèi)對此一直有反對的聲音，因此，這一法律能否順利出臺仍然有待觀察。盡管美國一直致力于擴大自身在全球數(shù)據(jù)流動規(guī)制立法領域的話語權，并取得了一些成績，但相比于歐盟，其立法話語權仍有待增強。

2.3 歐美個人數(shù)據(jù)跨境流動規(guī)制法律執(zhí)行的差別

加入歐盟的國家全部設立了職權明確的維護公民個人隱私信息安全的部門，負責相關法規(guī)的執(zhí)行。對于違反歐盟《通用數(shù)據(jù)保護條例》的機構和個人，這些部門都可以對其進行罰款，罰款的額度甚至可以高達2 000萬歐元。不僅如此，歐盟公民還可以自主向?qū)ζ鋰覕?shù)據(jù)保護機構（DPA）提出申請，回應并處理公民的申請是歐盟法律規(guī)定的DPA必須履行的義務。

截至目前，美國尚未頒布可以在各州普遍適用的法律以維護公民數(shù)據(jù)信息權利，且未設置職責明確的專門管理公民信息保護的部門，而是由美國聯(lián)邦貿(mào)易委員會（FTC）具體負責執(zhí)行相關法律。FTC不是專門管理公民信息的部門，其主要職權是管控商業(yè)機構的壟斷行為，以及調(diào)查商品、服務購買者所提出的投訴。

根據(jù)美國個人數(shù)據(jù)規(guī)制法律，美國對觸犯法律的商業(yè)機構的罰款數(shù)額可以達到無限高。例如，F(xiàn)TC曾在2019年給涉及劍橋分析公司事件的Face book開出了50億美元的巨額罰單。歐洲學者曾將FTC的法律實施情況與DPA進行對比，公開批評DPA對法律的執(zhí)行力度低。歐盟法律賦予了DPA諸多職權，其在實施法律時也更容易在相關法律找到依據(jù)?？墒窃诰唧w案件的法律執(zhí)行中，歐盟卻沒有像美國一樣對商業(yè)機構處以數(shù)億美元高額罰款的先例。

3 后《隱私盾協(xié)議》時期的歐美個人數(shù)據(jù)跨境流動規(guī)制

3.1 歐美個人數(shù)據(jù)跨境流動規(guī)制分歧仍然存在

歐盟司法部門相繼認定《安全港協(xié)議》《隱私盾協(xié)議》不具有法律約束力，但歐美個人數(shù)據(jù)跨境規(guī)制模式存在的分歧仍然沒有消除。從總體上來看，歐美在信息產(chǎn)業(yè)和數(shù)字經(jīng)濟領域的競爭日益激烈。Christopher Kuner曾指出，《安全港協(xié)議》《隱私盾協(xié)議》、某些保護性認證規(guī)則抑或SCCs數(shù)據(jù)安全保障機制，都難以實現(xiàn)對公民個人隱私信息權利的有效維護。此類規(guī)制措施難以使公民數(shù)據(jù)有效規(guī)避他國的信息搜集行為[4]。

在跨境數(shù)據(jù)流動規(guī)制方面，歐美從相異的角度出發(fā)，其理念分歧很難在短時間內(nèi)徹底消除。歐盟司法部門將《隱私盾協(xié)議》認定為無效使得跨大西洋信息傳輸再次處于無序和混亂的狀態(tài)。目前，無法預測歐美之間何時能達成新的協(xié)議，乃至歐美能否達成新的協(xié)議也仍然是個未知數(shù)。歐盟始終堅持保護個體人權的理念，在維護公民信息權利方面不肯做出絲毫妥協(xié)，美國也沒有表現(xiàn)出修正其本國法律，從而進一步開展與歐盟之間關涉?zhèn)€人數(shù)據(jù)跨境流動貿(mào)易的積極性。《安全港協(xié)議》和《隱私盾協(xié)議》相繼失去效力使得歐美再次簽署相關文件變得異常艱難。

3.2 協(xié)調(diào)歐美個人數(shù)據(jù)跨境流動的可行性措施

由于歐美經(jīng)濟聯(lián)系緊密，不可能做到彼此脫鉤。個人數(shù)據(jù)的傳輸對大西洋兩岸兩大經(jīng)濟體之間商貿(mào)往來的重要性不言而喻?！栋踩蹍f(xié)議》和《隱私盾協(xié)議》相繼失去法律約束力，有必要采取協(xié)調(diào)歐美個人數(shù)據(jù)跨境流動的可行性措施，以促進兩地之間的數(shù)據(jù)傳輸。

3.2.1 合適的保護數(shù)據(jù)安全的舉措

在歐美尚未達成新的共識的情況下，歐盟的內(nèi)部數(shù)據(jù)信息仍然能夠借助SCCs數(shù)據(jù)安全保障機制流向歐盟以外的國家和地區(qū)。作為歐盟提前創(chuàng)制并允許使用的協(xié)議規(guī)范機制，在歐盟與他方簽署協(xié)議之后，SCCs數(shù)據(jù)安全保障機制允許歐盟和該國或該地區(qū)之間個人數(shù)據(jù)的自由流通。但是，相關協(xié)議的簽署必須建立在該國或該地區(qū)具有歐盟所認證的數(shù)據(jù)保護能力這一基礎之上。

有學者曾撰文批評SCCs數(shù)據(jù)安全保障機制存在的漏洞。然而，該機制在實踐中的運行已經(jīng)證明了其功能與作用。僅僅因為和某個國家或地區(qū)之間數(shù)據(jù)傳輸?shù)拿芏鴹売肧CCs數(shù)據(jù)安全保障機制，此舉無異于因噎廢食。在《安全港協(xié)議》和《隱私盾協(xié)議》不再具有法律約束力之后，棄用該機制意味著歐美之間數(shù)據(jù)傳輸?shù)穆窂奖粡氐讛財郲5]。如今，越來越多的美國商業(yè)機構依靠SCCs數(shù)據(jù)安全保障機制來保障其與歐盟市場的貿(mào)易往來。

3.2.2 《通用數(shù)據(jù)保護條例》第49條規(guī)定的特殊情形下義務克減

不符合歐盟充分保護規(guī)則或者不能適用數(shù)據(jù)安全保障機制的個人數(shù)據(jù)不能傳輸至歐盟以外的國家和地區(qū)，除非數(shù)據(jù)傳輸符合《通用數(shù)據(jù)保護條例》第49條所述明的七種例外情況。這些情況可以歸為三大類型，一是作為數(shù)據(jù)擁有者的公民個人允許數(shù)據(jù)傳輸；二是數(shù)據(jù)傳輸是保障社會福祉的必要手段；三是數(shù)據(jù)擁有者本身的利益必須在數(shù)據(jù)傳輸中才能得以實現(xiàn)。歐盟法律對于這些克減商業(yè)機構義務的規(guī)定做出了嚴苛的規(guī)定。因此，《通用數(shù)據(jù)保護條例》第49條的規(guī)定僅針對于少數(shù)特殊情況，通常的個人數(shù)據(jù)跨境流動仍然必須符合歐盟數(shù)據(jù)傳輸?shù)某浞直Ｗo規(guī)則，抑或適用SCCs數(shù)據(jù)安全保障機制，從而保障數(shù)據(jù)傳輸?shù)捻樌M行。

3.2.3 信息本土化

信息本土化規(guī)則的規(guī)定，歐盟域內(nèi)的個人數(shù)據(jù)只能由歐盟進行分析研究，將數(shù)據(jù)傳輸至域外國家和地區(qū)的商業(yè)機構將會受到法律的嚴厲懲處。這樣既能保護公民隱私，又能有力地打擊美國數(shù)字經(jīng)濟在歐盟市場的持續(xù)擴張，促進了歐盟各國數(shù)字經(jīng)濟的發(fā)展。歐盟采取的信息本土化措施，給歐盟商業(yè)機構開展中關涉數(shù)據(jù)傳輸?shù)馁Q(mào)易造成了阻礙，美國商界對在歐洲市場開展業(yè)務的熱情驟減[6]。然而，鑒于美國信息產(chǎn)業(yè)在歐盟各國有著極高的滲透程度，將所有個人信息本土化抑或關閉歐美之間的信息傳輸通道都不是可取的。此外，信息本土化會在妨礙貿(mào)易全球化進程的同時，給各國各地區(qū)之間信息互通體系的構建造成阻礙。甚至有學者擔憂信息本土化可能促使貿(mào)易保護主義的出現(xiàn)，從而發(fā)展成為一種有悖于世界貿(mào)易組織準則的貿(mào)易保護手段。

3.2.4 美國的某個區(qū)域抑或某個產(chǎn)業(yè)獲得歐盟“充分保護”規(guī)則的認證

美國的某個地區(qū)抑或某個產(chǎn)業(yè)獲得歐盟充分保護規(guī)則的認證，從而獲得作為歐盟數(shù)據(jù)傳輸目的地的資格，是有法律依據(jù)的。根據(jù)《通用數(shù)據(jù)保護條例》第45條，歐盟域外國家的某個區(qū)域在經(jīng)歐盟充分保護規(guī)則的認證審核后，可以取得作為歐盟數(shù)據(jù)傳輸目的地的資格。因此，如果美國的某個區(qū)域頒行了具有實操性的個人數(shù)傳輸法規(guī)，設立了符合歐盟法律要求的DPA，并且可以保證歐盟數(shù)據(jù)不流動至美國其他區(qū)域，在理論上，此區(qū)域是有資格獲得歐盟的個人數(shù)據(jù)的。關于某個產(chǎn)業(yè)取得歐盟充分保護規(guī)則的認證的具體情況，歐美之間已經(jīng)簽署協(xié)定將此方案用以解決實際問題。例如，2021年，為了促進民用航空工業(yè)的發(fā)展，美國和歐盟以簽署協(xié)定的方式，把將歐盟乘客基本信息傳輸至美國的行為認定為合法。此外，歐美之間其他產(chǎn)業(yè)的合作也可以參考這一案例。

4 結(jié)語

《安全港協(xié)議》和《隱私盾協(xié)議》之所以相繼被歐盟司法部門認定為無效，是因為美國對公民信息權利的保護難以達到歐盟法律規(guī)定的標準，同時也從側(cè)面表明了歐美在數(shù)字經(jīng)濟發(fā)展進程中競爭的激烈程度。歐盟以《通用數(shù)據(jù)保護條例》為代表的個人數(shù)據(jù)規(guī)制法律體系引領了全球的數(shù)據(jù)治理潮流，為歐盟以外其他國家和地區(qū)的跨境數(shù)據(jù)規(guī)制立法提供了可供參考的模板。美國則憑借自身信息產(chǎn)業(yè)的領先地位，以與他國簽署自貿(mào)協(xié)定、參與國際組織法律創(chuàng)制等方式，積極將自身跨境數(shù)據(jù)規(guī)制體制推介給世界各國，大力促進世界范圍內(nèi)數(shù)據(jù)信息的高效傳輸。歐美之間信息傳輸機制的矛盾和分歧很可能使各國在進行立法時更加注重對公民信息的保護，也給中國構建自身的跨境數(shù)據(jù)規(guī)制機制帶來了啟發(fā)。我國應在充分保護公民隱私信息的基礎上，積極參與全球性數(shù)據(jù)規(guī)制法規(guī)的創(chuàng)制，并在有效保護公民數(shù)據(jù)隱私的基礎上，促進數(shù)字經(jīng)濟的增長和繁榮。