孟現(xiàn)雪

摘? ?要：隨著數(shù)字貿易全球化的發(fā)展，個人數(shù)據(jù)信息在國境內外頻繁流動的過程中時刻面臨著被侵害、被泄露等事件，這就要求我們對個人數(shù)據(jù)信息給予嚴格保護。美國和歐盟是數(shù)字貿易的重要參與者，兩者間的數(shù)據(jù)流動十分頻繁。為突破歐盟數(shù)據(jù)保護法規(guī)的限制，美國利用《安全港協(xié)議》和《隱私盾協(xié)議》兩項雙邊協(xié)議，實現(xiàn)了歐盟數(shù)據(jù)信息在美國境內的自由流動，促進了數(shù)字貿易的飛速發(fā)展。從數(shù)字貿易著手，通過著力分析《安全港協(xié)議》與《隱私盾協(xié)議》中個人數(shù)據(jù)信息保護問題，為我國的個人數(shù)據(jù)信息保護框架提出可行性建議，以期在實現(xiàn)數(shù)字貿易發(fā)展的同時保障我國的個人數(shù)據(jù)信息安全。

關鍵詞：數(shù)字貿易；個人數(shù)據(jù)信息；《安全港協(xié)議》；《隱私盾協(xié)議》

中圖分類號：D922.28? ? ? ?文獻標志碼：A? ? ? 文章編號：1673-291X（2024）08-0137-04

一、數(shù)字貿易及個人數(shù)據(jù)信息的概念

（一）數(shù)字貿易的概念

“數(shù)字貿易”起源于電子商務，與傳統(tǒng)經(jīng)濟相對應，是數(shù)字經(jīng)濟推進進程中催生出的全新的經(jīng)濟形態(tài)，各經(jīng)濟組織間暫未形成統(tǒng)一的界定。較為成熟的概念來源于美國國家貿易委員會（USITC），USITC在其報告中對“數(shù)字貿易”進行了狹義和廣義的區(qū)分。狹義的“數(shù)字貿易”是指通過互聯(lián)網(wǎng)傳輸而實現(xiàn)的產品和服務的商業(yè)活動，認為其是“無形的數(shù)字產品和服務貿易”，并將其分為社交網(wǎng)站服務、搜索引擎服務、數(shù)字內容服務和其他數(shù)字服務四大類。廣義的“數(shù)字貿易”將通過互聯(lián)網(wǎng)交易的實物貿易（即電子商務）納入到數(shù)字貿易中。美國貿易代表辦公室指出，數(shù)字貿易是廣泛的概念，不僅包括通過互聯(lián)網(wǎng)進行的產品銷售以及在線服務的提供，還包括全球價值鏈數(shù)據(jù)流、智能制造相關服務以及各類平臺和應用。

（二）個人信息的概念

個人信息的界定是個人信息保護的起點，也是一個復雜而有爭議的問題，全球共有“隱私說”“關聯(lián)說”“識別說”三種評判標準。

隱私說。該理論最早起源于美國。Parent教授認為，個人信息是指社會中多數(shù)所不愿向外透露者（除了對朋友、家人之外），或者個人極敏感而不愿他人知道者。由此可知，針對“隱私”這一概念的理解，主要取決于信息主體的認知程度和價值判斷，其評判標準具有較高的主觀隨意性，難以形成統(tǒng)一的標準。不同信息主體對同一信息內容存在不同的理解，若認知偏差就會導致數(shù)據(jù)跨境流動的發(fā)展與個人信息保護之間產生價值沖突。

關聯(lián)說。該理論主張，個人信息應包括人之內心、身體、身份、地位及其他關于個人之一切事項之事實、判斷、評價等所有信息，即個人信息既包括個人年齡、身體狀況、體貌特征等與個體私生活有關的個人信息，還應包括個體參加的社會實踐活動、團體成員對個體的評價結果等在內的與個體有關的一切信息集合。該理論涵蓋了與個體有關的所有信息，將個體信息內容進行無限放大，在對個體信息給予全方位保護的同時，也加大了跨境流動過程中對數(shù)據(jù)的保護難度。

識別說。該理論是全球個人信息保護的主流觀點。不論信息內容是否與主體有關，只要能夠直接或間接地鎖定特定自然人的身份，就都屬于個人信息的范疇。若某一信息可直接識別出某一個體特征，則該信息屬于法律保護的范圍之內，比如身份證號碼、指紋、基因等；若某一信息不能直接斷定某一個體，但是，當與其他信息相結合可以間接識別出某一個體時，那該信息也值得保護。例如，姓名在一般情況下可以直接判斷某一個體特征，但是在出現(xiàn)重名的情況下，其可以依靠出生年月日、家庭住址、父母親信息等間接推斷出某一個體特征，該類信息屬于輔助性信息，在數(shù)據(jù)跨境流通的過程中也需要給予保護。總而言之，當某信息可以識別出個體特征時，該信息則被統(tǒng)歸為法律所保護的個人信息，其雖然沒有明確具體的劃分標準，但為個人信息的保護提供了可圈可點的確定范圍。

二、美歐《安全港協(xié)議》及《隱私盾協(xié)議》

（一）美歐《安全港協(xié)議》

作為經(jīng)濟大國，美國的跨國公司遍及全球，相應地就要求個人數(shù)據(jù)信息自由流通。與歐盟的“數(shù)據(jù)保護主義”政策相反，美國更傾向于將個人數(shù)據(jù)信息視為個人財產，強調數(shù)據(jù)在國際間自由流通，其將限制數(shù)據(jù)跨境流動的數(shù)據(jù)本土化的保護措施視為貿易壁壘，會阻礙經(jīng)濟貿易的發(fā)展。由于二者之間的法律規(guī)制、數(shù)據(jù)隱私保護理念、管理模式的不同，使之在跨境貿易中無法達到融合。2000年12月，為了促進美歐之間的商業(yè)合作，美國商業(yè)部和歐盟簽訂了數(shù)據(jù)保護協(xié)議，即《安全港協(xié)議》，該協(xié)議旨在調和美歐間數(shù)據(jù)流動規(guī)制的差異，促進數(shù)據(jù)流動，以實現(xiàn)數(shù)字貿易全球化發(fā)展。

《安全港協(xié)議》是歐盟與美國的第一份跨境數(shù)據(jù)流動充分性的協(xié)議，協(xié)議的簽訂暗示著以美國為代表的行業(yè)自律和市場調節(jié)機制為主的松散立法體制向以歐盟為代表的統(tǒng)一立法體制暫時做出了讓步。歐盟在《個人數(shù)據(jù)保護指令》中規(guī)定了“國際數(shù)據(jù)傳遞”規(guī)則，即只有當?shù)谌龂鴶?shù)據(jù)保護的水平達到“充分性”標準時，才能將個人資料轉移或傳輸至第三國。美國這種松散立法模式難以達到歐盟“充分保護”標準。為了迎合歐盟立法、拓展歐盟經(jīng)濟市場，美國設立了“安全港”。所謂的“安全港”其實是由美國商務部建立的一個公共目錄，在聯(lián)邦交易委員會和美國交通運輸部管轄下的任何組織，自愿遵守“安全港”的規(guī)則就可以加入該公共目錄，成為“安全港”的一員?！栋踩蹍f(xié)議》主要包括七項原則和常見問題及答案兩部分。歐盟認為，根據(jù)自愿原則，有關的網(wǎng)絡服務商加入“安全港”，就表示該服務商承認七項原則，遵守歐盟的數(shù)據(jù)保護政策，對數(shù)據(jù)信息的保護也已經(jīng)達到了《通用數(shù)據(jù)保護條例》的“充分性”標準。在此要求下，美國企業(yè)便可進入歐盟市場，收集、處理、利用歐盟公民的個人數(shù)據(jù)信息。

《安全港協(xié)議》不僅體現(xiàn)出美歐之間的斗爭與妥協(xié)，還新創(chuàng)出“數(shù)據(jù)自由化”與“數(shù)據(jù)本土化”之間的折中狀態(tài)，對個人數(shù)據(jù)信息保護和數(shù)字經(jīng)濟全球化的發(fā)展具有重要意義。一方面，“美國行業(yè)自律模式”與“歐盟機構立法模式”相融合，“數(shù)據(jù)自由化”與“數(shù)據(jù)本土化”相結合，極大促進了個人數(shù)據(jù)信息流動與保護間的平衡，實現(xiàn)了個人信息跨境流動的規(guī)范化管理。另一方面，美歐之間的市場準入機制的改變，推進了兩者之間電子商務活動的開展，有利于促進雙方貿易往來，實現(xiàn)數(shù)字經(jīng)濟的發(fā)展。

但是，2013年“斯諾登事件”中美國“棱鏡計劃”事件被曝光，以及2015年歐盟法院宣布《安全港協(xié)議》因違反《指令》規(guī)定而無效，一方面表明美歐模式在個人信息保護方面難以兼容，另一方面也表明，在繁雜的數(shù)字貿易實踐中，數(shù)據(jù)跨境流動管理的法律制度需要不斷進行調整，以規(guī)避互聯(lián)網(wǎng)時代下人人成為網(wǎng)絡“透明人”的風險。《安全港協(xié)議》本身也存有弊端。一是準入機制方面，美國企業(yè)可通過自愿的方式加入“安全港”。加入即視為承諾，對于其是否達到“充分性”保護標準無人進行審查，且因手續(xù)簡單、程序模糊、機制不透明，難以形成統(tǒng)一的準入標準。二是懲處機制方面。由于《安全港協(xié)議》屬于合作協(xié)議性質，其不具有法律強制效果，針對企業(yè)的違規(guī)行為，不得以“侵犯隱私罪”論處，只能以商業(yè)合作中的“商業(yè)欺詐”懲處，該處罰后果與違規(guī)行為間明顯不適等。三是救濟機制方面。當歐盟個人數(shù)據(jù)信息在美國遭到不適當使用時，由于救濟流程過于復雜，不利于申訴，且此時歐盟管理機制難以介入，使得數(shù)據(jù)信息主體的救濟權力難以得到保障。

（二）美歐《隱私盾協(xié)議》

2013年“斯諾登事件”的爆發(fā)和《安全港協(xié)議》被訴無效案引發(fā)歐盟及其成員國對本國數(shù)據(jù)跨國流通的擔憂，使得美歐之間平穩(wěn)的合作關系出現(xiàn)了極大的挑戰(zhàn)與不確定性。在數(shù)字經(jīng)濟全球化飛速發(fā)展的當今時代，量值龐大的數(shù)據(jù)信息本應在國際間自由流通，以發(fā)揮數(shù)據(jù)的經(jīng)濟價值，實現(xiàn)雙方貿易共贏。正是意識到數(shù)據(jù)驅動下的核心競爭力因素，歐美間于2016年再次簽訂了《隱私盾協(xié)議》。該協(xié)議是歐盟與美國的第二份跨境數(shù)據(jù)流動充分性的協(xié)議，其意味著美國對歐盟利益的再次妥協(xié)，是歐盟立法保護與美國行業(yè)自律的折中選擇，是美歐之間實現(xiàn)數(shù)據(jù)共享與數(shù)據(jù)保護相平衡的又一創(chuàng)新之舉。

簡單地說，《隱私盾協(xié)議》是對《安全港協(xié)議》的繼承與發(fā)展。一方面，美歐《隱私盾協(xié)議》繼續(xù)適用《安全港協(xié)議》精華部分。首先表現(xiàn)在宗旨方面，兩者都體現(xiàn)美歐雙方想通過放寬政策，力求尋找保護數(shù)據(jù)安全與數(shù)據(jù)自由流通的折中狀態(tài)，為美歐之間的商業(yè)貿易提供數(shù)據(jù)便利，以促進雙方的經(jīng)濟往來。其次是遵循原則方面，《隱私盾協(xié)議》仍采用行業(yè)自律的參加方式，申請加入的美國企業(yè)應遵循七項隱私原則。該原則與《安全港協(xié)議》的七項原則保持一致，但又在該原則的基礎之上對原則進行解釋與補充，重新優(yōu)化了原則內容，彌補了先前協(xié)議的種種弊端。

另一方面，《隱私盾協(xié)議》以《安全港協(xié)議》為基礎，并有了新的創(chuàng)新與變革。經(jīng)過“斯諾登事件”后，人們不僅僅關注數(shù)據(jù)流通中數(shù)據(jù)的安全問題，也開始意識到數(shù)據(jù)泄露后救濟問題的重要性。美歐《隱私盾協(xié)議》包含完整的爭議糾紛解決機制和數(shù)據(jù)主體權力救濟機制，旨在著力解決跨境數(shù)據(jù)的保護與侵害問題。首先是強化數(shù)據(jù)主體的救濟權力方面，《安全港協(xié)議》中規(guī)定，當個人信息遭到侵害時，可以向美國商業(yè)改善局（Better Business Bureau）提交投訴意見，解決方式單一且效率低下，這是《安全港協(xié)議》的一個主要缺陷。與之相比，《隱私盾協(xié)議》確立了申訴機制，個人可以直接向數(shù)據(jù)控制者進行投訴，企業(yè)必須在45天之內給予回應；如果個人向歐盟的數(shù)據(jù)保護機構進行投訴，將由美國商務部予以受理、審查，盡最大的努力促進爭議解決，并于90天內向數(shù)據(jù)保護機構作出回復。同時，《隱私盾協(xié)議》中還設定了三種替代性糾紛解決機制，若經(jīng)過申訴、替代性糾紛解決機制處理仍未解決數(shù)據(jù)問題，數(shù)據(jù)主體可直接向美國仲裁機構提起仲裁。仲裁裁決具有拘束性，在收到仲裁結果后，數(shù)據(jù)主體可以向當?shù)胤ㄔ荷暾垙娭茍?zhí)行等。其次是增加數(shù)據(jù)控制者的義務方面，《安全港協(xié)議》中規(guī)定，企業(yè)依自愿申請加入“安全港”，申請就意味著該企業(yè)默認七項原則規(guī)定。但未設定審查機構對其進行監(jiān)督，所以導致企業(yè)權力濫用?！峨[私盾協(xié)議》中除自愿申請加入外，要求企業(yè)在加入前首先進行自我認證，加入后需要定期進行自我審核，同時接受美國政府或聯(lián)邦貿易委員會的定期合規(guī)檢查，并要求企業(yè)作出遵循協(xié)議保護個人數(shù)據(jù)及隱私的公開承諾，該公開承諾具有法律約束力與強制力，當企業(yè)違反承諾，未按照要求使用數(shù)據(jù)進行跨境貿易，則應當承擔嚴重后果，美國商務部有權將其從隱私盾企業(yè)名單上剔除，并剝奪該企業(yè)對收集數(shù)據(jù)的控制權。最后是安全機構準入方面，這是一項全新的制度，旨在提高數(shù)據(jù)收集過程的透明度與安全性能。為防止美國政府借用國家安全的名義進行無差別的大數(shù)據(jù)監(jiān)控行為，《隱私盾協(xié)議》要求美國企業(yè)在收集數(shù)據(jù)時，要采用小范圍、有針對性的收集方式，對于情報機構采用無差別的大規(guī)模的數(shù)據(jù)監(jiān)控所收集到的信息，僅適用于反恐、網(wǎng)絡安全等特定領域。協(xié)議中首次要求美國政府向歐盟提供書面的承諾和保證，并確保行政機構在法律執(zhí)行、維護國家安全和保障公共利益活動中有明確的權力范圍、保障與監(jiān)管機制。同時，美國還設定了專門的監(jiān)督人員——監(jiān)察員。監(jiān)察員獨立于國家安全機構，主要任務是處理個人投訴問題，為歐盟數(shù)據(jù)主體提供救濟渠道。

總的來說，相比《安全港協(xié)議》，《隱私盾協(xié)議》在內部與外部審查機制、強化數(shù)據(jù)主體權力機制、權力受侵害后的救濟機制等方面都實現(xiàn)了質的突破。但外界也存在很多質疑的聲音，如對申訴程序過于復雜煩瑣、整體缺乏透明度、美國政府依舊難以達到充分保護標準等一系列問題的質疑，但其與《安全港協(xié)議》本質一致，都是美國政府為趨于歐盟市場所做出的最大程度的妥協(xié)。隨著2020年7月歐盟法院宣告《隱私盾協(xié)議》無效，美歐之間的數(shù)字貿易受到限制，數(shù)字經(jīng)濟全球化的進程受到很大的阻撓，嚴重影響了全球跨境數(shù)據(jù)流動規(guī)則的構建。

雖然《安全港協(xié)議》和《隱私盾協(xié)議》都因無法滿足歐盟“充分性”的數(shù)據(jù)保護標準而被歐盟法院宣布無效，但兩協(xié)議代表了美歐之間關于數(shù)據(jù)自由流動與數(shù)據(jù)立法保護間一次又一次的嘗試與創(chuàng)新，為個人數(shù)據(jù)信息跨境傳輸提供了藍本，為其他國家數(shù)據(jù)保護的建設提供了重要的借鑒和引領作用。隨著大數(shù)據(jù)時代的到來，越來越多的國家意識到“個人數(shù)據(jù)”的價值，實現(xiàn)數(shù)據(jù)自由流通與數(shù)據(jù)保護雙贏已成為時代焦點問題。協(xié)議的簽訂不僅僅是歐美間個人數(shù)據(jù)信息保護的法律趨同化的體現(xiàn)，更是國際社會為適應經(jīng)濟變化所作出的關于數(shù)據(jù)保護的法律趨同化的征兆。

三、對我國個人數(shù)據(jù)信息保護機制的啟示

作為人口大國、數(shù)據(jù)強國，我國的數(shù)據(jù)基礎、市場基礎以及國家政策基礎正在逐步適應數(shù)字貿易全球化的發(fā)展趨勢。但在情況多變的具體跨境實踐中，缺乏獨立的個人數(shù)據(jù)信息監(jiān)管機構、數(shù)據(jù)保護規(guī)范零散、企業(yè)自律性不高、國際參與度不夠等缺點不斷凸顯，在享受數(shù)據(jù)紅利的同時，也面臨著數(shù)據(jù)跨境的風險問題。因此，要在借鑒美歐國家間個人數(shù)據(jù)信息保護經(jīng)驗的基礎之上，完善我國跨境數(shù)據(jù)保護的相關制度，積極推進貿易談判，在促進數(shù)字經(jīng)濟發(fā)展的同時，加強對數(shù)據(jù)信息安全的重視。

（一）積極參與國際合作，推動構建國際規(guī)則

數(shù)字貿易是經(jīng)濟全球化和數(shù)字化的產物，對國際經(jīng)濟合作和競爭有著重要的影響。數(shù)字貿易的發(fā)展也帶來了新的挑戰(zhàn)和機遇，如數(shù)據(jù)安全、個人隱私、數(shù)字治理等。在這樣的背景下，中國作為一個數(shù)字貿易大國，應當積極參與世界合作，在國際合作中不斷提高話語權和國際地位。數(shù)字貿易涉及多個國家和地區(qū)，需要有協(xié)調統(tǒng)一的法律規(guī)則和標準來規(guī)范和促進。在面對海量數(shù)據(jù)跨境傳輸?shù)臅r候，我國應積極推動構建個人數(shù)據(jù)信息保護機制，在個人數(shù)據(jù)保護問題上貢獻中國智慧，與國際社會一道探索出一條大數(shù)據(jù)時代適應當今社會發(fā)展的個人數(shù)據(jù)保護之路。

（二）建立健全我國個人數(shù)據(jù)信息跨境流動的保護制度

我國已經(jīng)建立了以《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》為核心的個人數(shù)據(jù)信息跨境制度法律框架，以及相關的法律法規(guī)草案，為個人數(shù)據(jù)信息跨境流動提供了法律依據(jù)和規(guī)范要求。但是，現(xiàn)有的規(guī)則較為零散，缺乏全面、完整的個人信息跨境流動保護體系。我國應當汲取歐盟的優(yōu)秀經(jīng)驗，結合我國具體實踐，推動形成系統(tǒng)的個人信息保護法律框架體系，健全我國跨境數(shù)據(jù)的保護制度。

（三）加大對企業(yè)的監(jiān)管力度，推動企業(yè)建立行業(yè)自律機制

作為數(shù)據(jù)信息的收集者、處理者，企業(yè)或組織在數(shù)據(jù)流動跟數(shù)據(jù)安全間的平衡中發(fā)揮著重要的作用。我國法律嚴格規(guī)范數(shù)據(jù)收集者的義務，對違反規(guī)定的企業(yè)最高處以5 000 萬元或上一年度營業(yè)額5%的罰款。我國法律應結合個人數(shù)據(jù)信息量從嚴從重處罰違法違規(guī)行為，加大對企業(yè)的監(jiān)管力度，形成震懾力。與此同時，我國應當借鑒美國的行業(yè)自律規(guī)范，推動企業(yè)自身對數(shù)據(jù)信息保護制度的建設，完善企業(yè)自身的信息保護水平。

（四）加強人才培養(yǎng)和能力建設，提升數(shù)字貿易的創(chuàng)新和競爭力

數(shù)字貿易是一種高技術、高附加值、高智能的貿易形式，需要有大量的專業(yè)人才和高素質的從業(yè)者來支撐和推動。我國應該加強數(shù)字貿易的人才培養(yǎng)和能力建設，加強教育和培訓，培養(yǎng)數(shù)字貿易的理論知識和實踐知識的人才，培養(yǎng)具有數(shù)字貿易儲備人才的專業(yè)水平和職業(yè)素養(yǎng)，提高數(shù)字貿易的人才供給和質量，激發(fā)數(shù)字貿易的創(chuàng)新活力和潛力，提升數(shù)字貿易的核心競爭力和國際影響力。

參考文獻：

[1]? ?王孛.美國與歐盟個人信息跨國流通安全港協(xié)議簡論[J].知識經(jīng)濟，2008（4）：46-47.

[2]? ?胡煒.跨境數(shù)據(jù)流動的國際法挑戰(zhàn)及中國應對[J].社會科學家，2017（11）：107-112.

[3]? ?王輝.歐盟與美國達成“信息安全港”協(xié)議[J].全球科技經(jīng)濟瞭望，2000（11）：4-5.

[4]? ?劉志雄.跨境數(shù)據(jù)流動的全球態(tài)勢及對我國的啟示[J].人民論壇，2021（33）：102-105.

[5]? ?鄭遠民，鄭和斌.網(wǎng)絡時代跨境個人數(shù)據(jù)保護救濟機制探究：以《歐美隱私盾》為例[J].廣西大學學報（哲學社會科學版），2018（2）：42-48.

[6]? ?劉碧琦.美歐《隱私盾協(xié)議》評析[J].國際法研究，2016（6）：35-47.

[7]? ?高紅靜.歐盟個人數(shù)據(jù)保護的做法及啟示[J].保密科學技術，2018（9）：1，53-59.

[責任編輯? ?興? ?華]