個人數(shù)據(jù)跨境傳輸限制及其解決方案

張繼紅

內(nèi)容摘要：商事交易的國際化使得個人數(shù)據(jù)跨境傳輸日趨頻繁，而各國立法規(guī)則及執(zhí)法體制差異性較大，以歐盟為代表的數(shù)據(jù)本地化政策嚴格限制個人數(shù)據(jù)的跨境傳輸，與數(shù)據(jù)貿(mào)易全球化趨勢存在內(nèi)在沖突。如何協(xié)調(diào)個人數(shù)據(jù)跨境傳輸與個人數(shù)據(jù)保護之間的矛盾，成為亟待解決的現(xiàn)實問題。隨著《安全港協(xié)議》的失效，歐美開啟新一輪談判，并于2016年達成“隱私盾協(xié)議”，從內(nèi)容上更多體現(xiàn)了歐盟數(shù)據(jù)保護法制的最新成果。在跨境數(shù)據(jù)傳輸領(lǐng)域，歐盟采用單邊保護措施，推定其所信奉的數(shù)據(jù)保護價值理念，具有較強的對立性，難以實現(xiàn)理想效果；雙邊協(xié)議則可在短期內(nèi)調(diào)和兩國之間的矛盾；但從長遠看，個人數(shù)據(jù)跨境傳輸本質(zhì)上具有全球化屬性，需要多個國家及地區(qū)共同參與并達成多邊協(xié)議才能提供根本性解決方案。

關(guān)鍵詞：跨境傳輸 個人數(shù)據(jù)保護 隱私盾協(xié)議 安全港協(xié)定

商事交易的國際化使得個人信息跨境傳輸變得愈加頻繁，數(shù)以千萬計的個人數(shù)據(jù)通過網(wǎng)絡(luò)在全世界傳輸，以完成各種交易或管理行為。例如，美國企業(yè)TRW Information Services（消費者信用信息收集機構(gòu)）與日本信用組織簽署協(xié)議，允許相互利用對方的數(shù)據(jù)庫，以核查居住在本國的對方僑民的信用記錄。〔1 〕為了降低高昂的勞動成本、節(jié)約資源，一些企業(yè)還會把部分工作外包給其他國家的機構(gòu)，將包括身份證、信用記錄、稅務(wù)、保險等個人數(shù)據(jù)跨國轉(zhuǎn)移至一些人工成本相對較低的熱門地區(qū)，如印度、菲律賓等國。這種境外安排將工作拆分為數(shù)個能夠有效管理的部分，使企業(yè)能夠?qū)⒂邢拶Y源集中在核心領(lǐng)域，可大大提升其市場競爭力?！? 〕

大數(shù)據(jù)、云計算、互聯(lián)網(wǎng)等科技手段的廣泛應(yīng)用，使得數(shù)據(jù)處理和傳輸愈加便捷，但也增加了監(jiān)控和管理的難度。個人數(shù)據(jù)可能在A地收集、B地處理、C地儲存、D地使用，跨境因素的介入使得個人數(shù)據(jù)保護問題變得更加錯綜復(fù)雜。一些大型跨國企業(yè)的服務(wù)外包業(yè)務(wù)（特別是外包機構(gòu)位于個人數(shù)據(jù)保護水平較差地區(qū)），使得數(shù)據(jù)安全問題愈加嚴峻?！? 〕而作為執(zhí)法部門的數(shù)據(jù)監(jiān)管機構(gòu)卻因為涉及境外個人數(shù)據(jù)控制者或處理者，其調(diào)查及制裁程序難以開展及執(zhí)行。如何在大數(shù)據(jù)、云計算等新技術(shù)背景下促進個人數(shù)據(jù)的跨境流動并確保安全，有效協(xié)調(diào)各國數(shù)據(jù)保護法制的差異性，是一個亟待解決的現(xiàn)實問題。

一、跨境數(shù)據(jù)流動政策的矛盾與沖突：數(shù)據(jù)本地化與數(shù)據(jù)自由化

（一）跨境數(shù)據(jù)傳輸限制：數(shù)據(jù)本地化

針對跨境數(shù)據(jù)傳輸問題，為了實現(xiàn)對本國公民個人數(shù)據(jù)的保護，很多國家及地區(qū)都在某種程度上追求數(shù)據(jù)收集、存儲和利用本地化，限制或禁止數(shù)據(jù)的跨境流動。這里，數(shù)據(jù)跨境傳輸?shù)南拗菩问接兴町?，有些要求?shù)據(jù)輸入地區(qū)達到“充分保護”標準，有些則對受益方施加特定要求如履行合同義務(wù)、取得同意或附加其他條件等。

第一類，嚴格限制數(shù)據(jù)跨境傳輸?shù)膰壹暗貐^(qū)，以歐盟最為典型。1995年《個人數(shù)據(jù)保護指令》（以下簡稱《歐盟指令》）就數(shù)據(jù)跨境流動問題進行了專門規(guī)定，確立了“充分保護原則”?！? 〕如果查明第三國未能提供其所要求的“充分保護”時，成員國應(yīng)當采取必要措施以阻止任何相同類型的數(shù)據(jù)向第三國傳輸?！? 〕受其影響，歐洲主要國家如法國、德國、瑞典、西班牙、荷蘭、比利時、奧地利、冰島、匈牙利、瑞士等都采用嚴格限制跨境數(shù)據(jù)傳輸?shù)牧⒎Ｊ健?016年《通用數(shù)據(jù)保護條例》（以下簡稱GDPR）替代了《歐盟指令》，進一步擴大了條例的域外管轄權(quán)，明確規(guī)定GDPR對在歐盟境外處理個人數(shù)據(jù)的行為也具有適用效力。盡管歐盟指令也宣示其域外效力，但其從未明確說明擁有超歐盟區(qū)域的域外管轄效力?！? 〕這次對指令的修改，再次強調(diào)歐盟不允許將其公民的個人數(shù)據(jù)轉(zhuǎn)移至那些不能提供充分保護的地區(qū)或國家，充分表明了歐盟希望通過立法的不斷完善以保障歐盟整體數(shù)據(jù)保護水平?！? 〕

當然，該模式亦會提供一些例外情形，類似《歐盟指令》第26條規(guī)定，如獲得數(shù)據(jù)主體的明確同意，基于當事人的利益而履行合同、采用標準合同條款、維護重大公共利益等。然而，實踐中數(shù)據(jù)監(jiān)管機構(gòu)通常會對上述例外作狹義解釋，以嚴格限制其適用，從而確保其本國或本區(qū)域公民的個人數(shù)據(jù)轉(zhuǎn)移安全。

第二類，針對數(shù)據(jù)傳輸?shù)谌绞┘恿x務(wù)和責任的國家，如加拿大、日本。相比較而言，此種模式對數(shù)據(jù)是經(jīng)跨境傳輸、還是在國內(nèi)轉(zhuǎn)移至第三方并不作具體區(qū)分，而是適用統(tǒng)一規(guī)則。這里的“第三方”，包括附屬機構(gòu)、關(guān)聯(lián)機構(gòu)以及母公司等，而不論其所處地點在哪里。簡言之，上述兩國立法要求傳輸機構(gòu)對于將數(shù)據(jù)傳輸至第三方應(yīng)承擔相應(yīng)的個人數(shù)據(jù)保護之責，通常采用合同形式明確彼此之間的數(shù)據(jù)保護義務(wù)及責任。例如，位于加拿大的公司，如果將其所持有的個人數(shù)據(jù)轉(zhuǎn)移至第三方，必須在合同中明確數(shù)據(jù)保護條款，以確保第三方機構(gòu)能夠提供同等水平的保護。

第三，取得“同意”或達到其他條件的國家，如韓國。在上述地區(qū)，不要求必須簽署將個人數(shù)據(jù)轉(zhuǎn)移至境外第三方的合同。但是，韓國要求必須得到數(shù)據(jù)主體的“選入同意”?！? 〕

總體而言，不論是要求數(shù)據(jù)輸入方達到充分保護標準，還是通過合同、施加特殊程序性要求如取得許可等，都表明各國立法者對于跨境數(shù)據(jù)傳輸?shù)幕緫B(tài)度，即施以一定程度的限制，防止個人數(shù)據(jù)的隨意輸出及濫用，從而保障國家安全并防范外國監(jiān)控，以此提升對本國公民數(shù)據(jù)的保護水平。雖然數(shù)據(jù)本地化實現(xiàn)了對源自本國的個人數(shù)據(jù)收集、存儲和利用等全過程的主動控制，但也在一定程度上失去了獲得優(yōu)質(zhì)數(shù)據(jù)的可能，阻礙了本國數(shù)字經(jīng)濟的發(fā)展，進而形成非關(guān)稅壁壘。

（二）跨境數(shù)據(jù)傳輸自由化

為了打破不同國家及地區(qū)在數(shù)據(jù)跨境傳輸上的壁壘和限制，推動全球數(shù)字貿(mào)易便利化，更有效的實現(xiàn)數(shù)據(jù)跨境流動的執(zhí)法合作，滿足企業(yè)間數(shù)據(jù)跨境傳輸?shù)膶嶋H需要，包括經(jīng)合組織（OECD）、亞太經(jīng)合組織（以下簡稱APEC）等國際組織制定了一系列的指南和政策，積極推動跨境數(shù)據(jù)傳輸自由化。

1980年OECD制定的《關(guān)于隱私保護和個人數(shù)據(jù)跨境流動指南》明確指出，個人數(shù)據(jù)的跨境流動有利于經(jīng)濟和社會發(fā)展，應(yīng)促進數(shù)據(jù)在成員國之間的自由流動，建議成員國努力消除或避免以隱私保護的名義為個人數(shù)據(jù)跨境流動制定不當障礙，建立“自由流動與合法限制原則”（第15條至第18條），包括：成員國應(yīng)當采取合理和適當?shù)拇胧┐_保個人數(shù)據(jù)的國際流通；成員國之間應(yīng)去除個人數(shù)據(jù)國際流動的限制；成員國應(yīng)避免借保護個人數(shù)據(jù)及個人自由之理由，在超出保護的必要程度內(nèi)，創(chuàng)設(shè)個人數(shù)據(jù)國際流通障礙的法律與政策等。同時，OECD于2007年6月通過“隱私保護及跨境合作執(zhí)行建議”，要求成員國執(zhí)行跨境合作執(zhí)行隱私保護相關(guān)法律時，應(yīng)采取以下適當措施：（1）改善國內(nèi)隱私法規(guī)執(zhí)行架構(gòu)，以便于本國主管機關(guān)與外國相應(yīng)機關(guān)的合作；（2）建構(gòu)有利于執(zhí)行跨國合作隱私保護法規(guī)的有效國際機制；（3）在執(zhí)行上述法規(guī)時，應(yīng)相互提供協(xié)助，包括通知、申訴、協(xié)助調(diào)查以及在適當安全保護措施基礎(chǔ)上共享信息；（4）與利害相關(guān)方進行有利于上述法規(guī)執(zhí)行的討論及交流?！? 〕

此外，為了鼓勵個人數(shù)據(jù)在亞太地區(qū)的跨境自由流通，APEC于2013年通過了《跨境隱私規(guī)則體系》（以下簡稱CBPR），其主要目的在于，確保全球組織能夠收集、取得、使用或者處理APEC經(jīng)濟體的數(shù)據(jù)，在組織內(nèi)制定并實施統(tǒng)一方法，以便全球獲取和使用個人數(shù)據(jù)。同時，推動國際機制來促進和加強信息隱私權(quán)保護，并維持APEC經(jīng)濟體及其貿(mào)易伙伴間信息流動的連續(xù)性。

值得一提的是，2015年在美國主導(dǎo)下達成的《跨太平洋戰(zhàn)略經(jīng)濟伙伴關(guān)系協(xié)定》（以下簡稱TPP）電子商務(wù)章引入“商業(yè)信息跨境自由傳輸條款”，以規(guī)制數(shù)據(jù)跨境傳輸并限制數(shù)據(jù)本地化存儲，強制性要求各方允許數(shù)據(jù)跨境流動?！?0 〕雖然TPP也規(guī)定了一些例外情形，如實現(xiàn)公共政策目標采取限制措施，但要求不得對數(shù)據(jù)傳輸施加超出實現(xiàn)合法公共政策目標所需的限制。〔11 〕

正是由于個人數(shù)據(jù)的雙重屬性，一方面?zhèn)€人數(shù)據(jù)的人格權(quán)屬性，使得以歐盟為代表的國家及地區(qū)更關(guān)注個人數(shù)據(jù)及個人自由的重要性，采取數(shù)據(jù)本地化的限制性措施；另一方面，個人數(shù)據(jù)所蘊含的巨大財產(chǎn)價值和經(jīng)濟利益，又是促使跨境數(shù)據(jù)傳輸自由化的關(guān)鍵因素?？缇硵?shù)據(jù)傳輸本地化和自由化這一對價值矛盾與沖突，始終貫徹跨境數(shù)據(jù)傳輸規(guī)則始終。這里，有必要以現(xiàn)有國際組織如聯(lián)合國等為主導(dǎo)進行跨境數(shù)據(jù)傳輸國際規(guī)則的框架設(shè)計，積極推動各國數(shù)據(jù)監(jiān)管部門之間的合作與交流，降低個人數(shù)據(jù)流動的跨境障礙，提升數(shù)據(jù)傳輸?shù)谋憷?，增加跨境?shù)據(jù)傳輸國際規(guī)則的透明度。

二、歐美跨境數(shù)據(jù)傳輸政策協(xié)調(diào)：從《安全港協(xié)定》到《隱私盾協(xié)議》

20世紀70年代以來，美國與歐盟在隱私權(quán)保護上的巨大差異成為貿(mào)易爭端的焦點。美國堅持靈活保護的策略，通過自律機制配合政府的執(zhí)法保障來實現(xiàn)保護隱私權(quán)的目的。而歐盟卻傾向于通過嚴苛立法對個人數(shù)據(jù)跨國流動進行保護，即“充分保護”標準。由于美國對于個人數(shù)據(jù)保護標準未能達到歐盟要求的水平，將嚴重限制美國企業(yè)在歐盟開展業(yè)務(wù)。為了縮小兩種不同數(shù)據(jù)保護模式的差異性，并提供美國企業(yè)可以符合歐盟數(shù)據(jù)保護規(guī)則簡單又高效的方法，美國商務(wù)部與歐盟委員會共同提出所謂的“安全港隱私原則”，于2000年11月1日達成了《安全港協(xié)定》。

（一）歐美《安全港協(xié)定》框架

“安全港”是指由美國商務(wù)部建立公共目錄，在交通運輸部和聯(lián)邦貿(mào)易委員會管轄下的任何機構(gòu)以自愿的形式加入。一旦選擇加入，就要公開宣誓自己完全接受安全港原則的約束，而且每年還要向商務(wù)部提交公開隱私政策的書面報告，以此來證明自身確實遵循這些原則，否則便被視為商業(yè)欺詐行為?！?2 〕自《安全港協(xié)定》生效起，有超過2000家美國企業(yè)或組織申請加入安全港計劃。需要注意的是，美歐所簽訂的《安全港協(xié)定》并未涵蓋金融服務(wù)業(yè)及相關(guān)行業(yè)的個人信息處理?！?3 〕

《安全港協(xié)定》規(guī)定了七項隱私權(quán)保護原則，被奉為“國際安全港隱私原則”，〔14 〕即：通知原則；選擇原則；向前轉(zhuǎn)移原則；安全原則（Security）；數(shù)據(jù)完整性原則；接入原則；執(zhí)行原則?！?5 〕《安全港協(xié)定》授權(quán)一套雙層執(zhí)行機制，原則上進行行業(yè)自律；如有必要，再由政府執(zhí)法機構(gòu)執(zhí)行?！?6 〕《安全港協(xié)定》吸引美國企業(yè)積極加入的一個主要原因：安全港實施的有關(guān)爭議由美國法律而非歐盟法律確定，歐盟個人數(shù)據(jù)保護機構(gòu)對于美國企業(yè)在美國的行為并無管轄權(quán)。〔17 〕

《安全港協(xié)定》在信息技術(shù)方興未艾之時發(fā)揮了積極的作用，一方面積極促進了美國企業(yè)在歐洲的發(fā)展及擴張，便利了歐美商業(yè)往來特別是中小企業(yè)的發(fā)展，降低了美歐間信息產(chǎn)業(yè)市場的準入門檻；另一方面，對國際跨境數(shù)據(jù)傳輸規(guī)范的統(tǒng)一起到了推動作用，體現(xiàn)了行業(yè)自律和強制規(guī)范兩種監(jiān)管體制的有機融合，在不同國家的監(jiān)管體制之間開創(chuàng)了先例。只要符合歐盟數(shù)據(jù)保護標準的國家、地區(qū)、組織、團體皆可適用于安全港。目前，除美國安全港體系外，包括阿根廷、加拿大、瑞士等在內(nèi)的11個國家和地區(qū)均達到了歐盟制定的“充分保護標準”，跨境數(shù)據(jù)傳輸規(guī)制日益統(tǒng)一化，極大地促進了國際網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)囊?guī)范化治理?！?8 〕

如前所述，對歐盟信息產(chǎn)業(yè)準入門檻的實質(zhì)標準降低，以及進入安全港的企業(yè)可以忽略歐盟各國法律上的差異，使得美國企業(yè)合法地在兩國間傳輸數(shù)據(jù)，大量數(shù)據(jù)被送往美國進行存儲和分析。2013年，前NSA雇員愛德華·斯諾登曝光大量來自美國情報機構(gòu)的機密文件，其中不乏對歐洲領(lǐng)導(dǎo)人的監(jiān)控。在這當中，像蘋果、微軟等大型科技公司則都有意或無意地參與了NSA的監(jiān)控行動，直接導(dǎo)致歐洲民眾對數(shù)據(jù)安全的擔憂與日俱增，美歐之間的合作關(guān)系開始出現(xiàn)了陰影、裂痕以及種種的不確定性。

在此背景下，一名來自奧地利的公民Max Schrems向Facebook歐洲總部所在地愛爾蘭數(shù)據(jù)保護專員投訴，指出Facebook向美國政府提供歐洲公民相關(guān)數(shù)據(jù)，未能達到《安全港協(xié)定》規(guī)定的充分保護要求。出于對美國情報機構(gòu)入侵的擔憂，歐洲法院于2015年10月6日最終裁定第2000/520號決定無效，直接導(dǎo)致《安全港協(xié)定》失效。該判決使得跨大西洋數(shù)據(jù)傳輸?shù)暮戏ㄐ砸罁?jù)缺失，依賴該協(xié)定的4500多家美國企業(yè)處于法律上的不確定狀態(tài)。

大數(shù)據(jù)等新興技術(shù)的發(fā)展使得原有制度出現(xiàn)了裂痕，制定于2000年前的《安全港協(xié)定》在處理新問題時呈現(xiàn)出明顯的滯后性，已無法有效應(yīng)對新時期的問題和挑戰(zhàn)。跨境數(shù)據(jù)泄露和濫用問題日益嚴峻，個人數(shù)據(jù)安全的脆弱性進一步凸顯，原有的“安全港”已不再安全，技術(shù)發(fā)展成為倒逼法律制度不斷更新完善的現(xiàn)實力量。

（二）2016年歐美《隱私盾協(xié)議》（EU-US Privacy Shield）

雖然除了《安全港協(xié)定》，美歐之間的數(shù)據(jù)傳輸可以通過“標準合同條款”及“約束性公司規(guī)則”等替代性規(guī)則。然而，上述兩種路徑的適用都要受到歐盟成員國國內(nèi)數(shù)據(jù)保護機構(gòu)的監(jiān)督及審查，且只要有一個數(shù)據(jù)主體提出申請，上述審查程序即可啟動。這給美歐之間的數(shù)據(jù)傳輸帶來極大的不確定性?！?9 〕歐洲委員會指出，美歐數(shù)據(jù)流動受阻可能會造成歐盟整體國民生產(chǎn)總值下降0.8%-1.3%?！?0 〕美國商務(wù)部也擔心，一旦《安全港協(xié)定》被撤銷很可能對美歐經(jīng)濟帶來不小的沖擊?！?1 〕

基于此，美國和歐盟圍繞新的替代性協(xié)定積極展開對話和磋商，并于2016年2月2日達成一項新的框架協(xié)議，即《隱私盾協(xié)議》?！?2 〕新協(xié)議由美國商務(wù)部和歐洲委員會共同設(shè)計，為大西洋兩岸的歐洲和美國企業(yè)從歐盟向美國傳輸個人數(shù)據(jù)過程中提供歐盟數(shù)據(jù)保護規(guī)定的合規(guī)機制，并支持跨大西洋商業(yè)合作的發(fā)展。歐洲委員會認為，新條約足以使個人數(shù)據(jù)在現(xiàn)有的歐盟數(shù)據(jù)保護立法框架下進行傳輸，同時將給予企業(yè)一段時間對新隱私協(xié)議進行學(xué)習，并升級其內(nèi)部合規(guī)機制。數(shù)據(jù)單一市場副主席Andrus Ansip指出：“新的歐美隱私盾框架能夠確保美歐個人數(shù)據(jù)傳輸?shù)陌踩裕⒋蟠筇嵘虡I(yè)活動的透明度?！?〔23 〕

作為《安全港協(xié)定》的替代機制，《隱私盾協(xié)議》在內(nèi)容上與《安全港協(xié)定》有著一定的相似性。其中，《隱私盾協(xié)議》也要遵守與《安全港協(xié)定》相同的七項基本原則，美國企業(yè)仍然采取自愿加入的方式接受《隱私盾協(xié)議》。但更重要的是，《隱私盾協(xié)議》彌補了先前《安全港協(xié)定》存在的種種缺陷及弊端，對美國公司施加更重的個人數(shù)據(jù)保護義務(wù)，強化了監(jiān)督和執(zhí)行機制，并賦予歐盟公民救濟權(quán)利等，在內(nèi)容上有很多新的突破。與此同時，《隱私盾協(xié)議》不僅包含美歐之間在數(shù)據(jù)傳輸方面的新承諾，還克服了原先《安全港協(xié)定》僅就個人數(shù)據(jù)跨境傳輸私人活動進行規(guī)制的局限性，對美歐之間以國家安全為目的個人數(shù)據(jù)傳輸行為也納入?yún)f(xié)議調(diào)整的范圍。

第一，《隱私盾協(xié)議》對入盾企業(yè)提出了新要求，以便更充分地保護個人數(shù)據(jù)。（1）加入企業(yè)必須在其隱私政策中公示入盾承諾及保證符合新協(xié)議，該承諾和保證可以依據(jù)美國法執(zhí)行。加入企業(yè)必須通知數(shù)據(jù)主體有權(quán)訪問其個人數(shù)據(jù)，以及應(yīng)公共當局要求披露個人數(shù)據(jù)的規(guī)定。執(zhí)法部門對入盾企業(yè)的合規(guī)情況以及將數(shù)據(jù)向第三方進行轉(zhuǎn)讓都具有管轄權(quán)。不僅如此，入盾企業(yè)還要完成定期自證審查，并接受美國聯(lián)邦機構(gòu)的監(jiān)督和調(diào)查。（2）加入企業(yè)須對轉(zhuǎn)移至第三方的數(shù)據(jù)負責。當加入企業(yè)將數(shù)據(jù)轉(zhuǎn)移至數(shù)據(jù)控制者或處理者第三方時，其必須遵循通知數(shù)據(jù)主體及并供數(shù)據(jù)主體選擇退出機制。在獲取數(shù)據(jù)主體同意的前提下，須與第三方訂立合同約定僅能用于有限的、明確的、特定的目的，并且第三方將會提供與收集方同等程度的個人數(shù)據(jù)保護措施。（3）加入企業(yè)必須配合美國商務(wù)部行動，即及時回應(yīng)商務(wù)部有關(guān)新條約框架下提出的質(zhì)詢或要求。（4）在個人數(shù)據(jù)持有期間存續(xù)時，加入企業(yè)須確保按規(guī)定保護個人數(shù)據(jù)。在此基礎(chǔ)上，加入企業(yè)嗣后退出新協(xié)議的，若其選擇繼續(xù)留存已經(jīng)獲取的個人數(shù)據(jù)，則其必須對留存的數(shù)據(jù)繼續(xù)履行新協(xié)議的保護義務(wù)，或通過其他授權(quán)的方式為該等數(shù)據(jù)提供足夠的保護。

第二，《隱私盾協(xié)議》為歐盟境內(nèi)數(shù)據(jù)主體提供了多種救濟手段及措施。（1）監(jiān)察程序。歐盟公民個人有權(quán)直接對加入新協(xié)議的美國企業(yè)提起監(jiān)察，該企業(yè)必須在45日之內(nèi)回應(yīng)該訴求。就歐盟公民提起的監(jiān)察，入盾企業(yè)必須在不對個人造成費用負擔等情況下建立獨立的處置機制，保證每個歐盟公民的監(jiān)察和爭議都能夠得到調(diào)查和快速處理。（2）若歐盟公民將投訴提交至歐盟任一數(shù)據(jù)保護當局，則美國商務(wù)部需在90日內(nèi)回復(fù)該數(shù)據(jù)保護當局，并保證審查該糾紛并盡最大努力促使投訴得以快速解決。美國聯(lián)邦貿(mào)易委員會承諾將有力的執(zhí)行新協(xié)議，包括優(yōu)先處理來自歐盟成員國各數(shù)據(jù)保護當局、美國商務(wù)部、隱私自律監(jiān)管機構(gòu)和其他獨立救濟機制移交的請求。（3）歐盟公民個人有權(quán)在美國州法院直接提起訴訟程序，包括誤導(dǎo)性陳述等訴請。

第三，對于國家安全及執(zhí)法的數(shù)據(jù)訪問，美國政府明確作出了權(quán)力約束的保證。而這也是美國官方首次承諾對美國有關(guān)情報系統(tǒng)的情報活動進行實質(zhì)性約束。美國情報界已經(jīng)就適用于該組織的美國憲法、成文法等各層級的法律法規(guī)，以及來自美國政府立法、司法、行政三個分支的監(jiān)管，形成書面文件并呈交歐洲委員會。美國司法部則提供了一份關(guān)于對美國政府基于執(zhí)法、公眾利益等目的訪問商業(yè)數(shù)據(jù)和其他美國公司持有數(shù)據(jù)的各種限制。具體而言，美國基于國家安全實施的任何數(shù)據(jù)訪問，均須有明確的限制條件和監(jiān)管。美國政府承諾不對從歐盟轉(zhuǎn)移至美國境內(nèi)的個人數(shù)據(jù)進行無差別、規(guī)?；谋O(jiān)控；批量收集的公民個人數(shù)據(jù)僅能用于反恐怖主義、防止核擴散、網(wǎng)絡(luò)安全等六個特定目的，且前提是遵守新協(xié)議保護個人數(shù)據(jù)的有關(guān)原則和規(guī)則。另外，新協(xié)議還史無前例為歐盟公民個人就信號情報活動的質(zhì)詢開通了一條特別通道——監(jiān)察專員制度。監(jiān)察專員獨立于美國國家安全機關(guān)，專門負責處理歐盟公民的相關(guān)投訴。通過該制度，歐盟公民可以向該監(jiān)察專員提交質(zhì)詢，并得到美國政府在遵守美國國家安全義務(wù)前提下給出的答復(fù)。美國副國務(wù)卿諾維利將擔任首任監(jiān)察專員，直接對美國國務(wù)卿負責，不受任何來自情報系統(tǒng)的約束。

第四，美國政府承諾將進一步強化與歐盟成員國各數(shù)據(jù)保護機構(gòu)的合作。具體包括：在商務(wù)部建立聯(lián)絡(luò)處，專門負責與歐盟各數(shù)據(jù)保護當局進行聯(lián)系，推動有關(guān)投訴的解決，協(xié)助歐盟各成員國數(shù)據(jù)保護機構(gòu)尋找特定企業(yè)加入、執(zhí)行新協(xié)議的情況，并向歐盟各數(shù)據(jù)保護當局提供有關(guān)新協(xié)議的材料供其在網(wǎng)站上發(fā)布，以增加協(xié)議在歐盟公民和企業(yè)執(zhí)行的透明度。美國聯(lián)邦貿(mào)易委員會亦承諾將加強與歐盟各成員國數(shù)據(jù)保護當局的合作，包括在聯(lián)邦貿(mào)易委員會內(nèi)部建立聯(lián)絡(luò)處以及標準化的進程，供歐盟各數(shù)據(jù)保護當局轉(zhuǎn)交監(jiān)察；在不違反保密法律法規(guī)的前提下，就監(jiān)察轉(zhuǎn)交與轉(zhuǎn)交機構(gòu)進行信息交換；同時還將與歐盟各成員國數(shù)據(jù)保護當局進行緊密的執(zhí)法合作。在此基礎(chǔ)上，新協(xié)議還構(gòu)建了一項年度聯(lián)合審查機制。美國商務(wù)部、聯(lián)邦貿(mào)易委員會以及其他聯(lián)邦機構(gòu)還將與歐盟委員會、各成員國數(shù)據(jù)保護當局及第29條工作組的代表們召開年度會議，共同研討有關(guān)新協(xié)議的運作、執(zhí)行、監(jiān)管及執(zhí)法等問題。

從《安全港協(xié)定》的發(fā)展歷史來看，其執(zhí)行和適用就不斷受到來自各方的質(zhì)疑。據(jù)統(tǒng)計，僅2009年一年之內(nèi)就有七起投訴直指該協(xié)定的執(zhí)行。從2000年至2015年，針對《安全港協(xié)議》的投訴遠遠超過1300件，但最終被執(zhí)行的案件只有40個，其中僅有兩家公司被執(zhí)行了罰款處罰?！?4 〕因此，與《安全港協(xié)定》相比較，《隱私盾協(xié)議》在內(nèi)容及執(zhí)行力上更加具體和完善。新協(xié)議為歐盟的數(shù)據(jù)主體提供了一系列強有力、可執(zhí)行的保護措施，諸如企業(yè)披露如何使用個人數(shù)據(jù)的透明度要求、強有力的美國政府監(jiān)管以及與歐盟數(shù)據(jù)保護機構(gòu)更緊密的合作。更為重要的是，《隱私盾協(xié)議》還賦予了歐盟數(shù)據(jù)保護機構(gòu)對數(shù)據(jù)接收者第三國的數(shù)據(jù)保護水平享有充分的調(diào)查權(quán)。這無疑使得歐盟對其境內(nèi)的個人數(shù)據(jù)保護擁有更加穩(wěn)定并具有延展性的監(jiān)督權(quán)，也為歐盟數(shù)據(jù)主體的數(shù)據(jù)控制權(quán)多了一份保障和安全。

然而，仍然有很多人對《隱私盾協(xié)議》的規(guī)定是否能夠得到貫徹執(zhí)行，持懷疑態(tài)度。雖然從表面上看，《隱私盾協(xié)議》更加細致且執(zhí)行性強，但其程序性規(guī)則存在走過場、不透明等問題，其宣示意義更大于實質(zhì)意義。“棱鏡門”事件的曝光者斯諾登就將《隱私盾協(xié)議》稱為“說明性盾牌”，而起訴《安全港協(xié)定》無效案的原告Max Schrems更是認為新協(xié)議只是“新瓶裝舊酒”，美國法律依舊缺少對來自歐洲數(shù)據(jù)的充分保護?！?5 〕第29條工作組也于2016年4月13日發(fā)布了關(guān)于“隱私盾”框架的分析意見。該分析意見指出，“隱私盾”并未排除美國知識產(chǎn)權(quán)機構(gòu)對歐洲個人數(shù)據(jù)的大量且隨意的收集行為。〔26 〕而且，在“被處理”的標準認定上，美國及歐盟存在較大分歧，但這種認識的不一致在“隱私盾”框架中并未加以明確的解釋和說明?！?7 〕

鑒于美歐在個人數(shù)據(jù)保護方式、價值理念等方面存在著巨大差異，《隱私盾協(xié)議》從實質(zhì)上看仍然是美歐相互妥協(xié)、讓步的產(chǎn)物，從內(nèi)容上更多的體現(xiàn)出歐盟數(shù)據(jù)保護制度最新改革成果，迫使美國接受與歐盟相近的個人數(shù)據(jù)保護標準。同時，《隱私盾協(xié)議》凸顯了“棱鏡門”事件后美歐重建信任合作關(guān)系的努力?！袄忡R門”事件后，歐盟對美國在個人信息安全措施上表示嚴重懷疑，雙方政府層面的網(wǎng)絡(luò)合作幾乎停滯。為了最大限度地降低“棱鏡門”事件的負面影響，美國在情報收集、網(wǎng)絡(luò)安全等方面不斷進行改革和調(diào)整。2016年1月17日通過《第28號總統(tǒng)行政指令》，將之前大規(guī)模信息收集方式改為有針對的數(shù)據(jù)獲取，同時還將美國境內(nèi)的隱私保護拓展適用至非美國公民?！?8 〕2016年2月24日，奧巴馬簽署了《司法救濟法案》，賦予歐洲公民與美國公民同等的司法救濟權(quán)，即歐洲公民有權(quán)針對美國政府不當披露個人信息的行為，依據(jù)《1974年隱私法案》在美國法院提起訴訟。而在此之前，僅有美國公民才能向法院提起聯(lián)邦機構(gòu)侵害個人隱私的訴訟。〔29 〕該法案的主要目的就是為了修補歐盟對美國個人數(shù)據(jù)保護不足的裂縫，增加彼此之間的信任。

《隱私盾協(xié)議》的簽署，為歐盟及美國企業(yè)的商業(yè)活動提供了制度支持和保障，進一步提升了對歐盟公民個人數(shù)據(jù)的保護水平，標志性地宣告了政府公權(quán)力對個人權(quán)利侵犯應(yīng)當受到嚴格限制的理念?！?0 〕換言之，美國需要更加注重公權(quán)力對公民個人權(quán)利干涉的限制和約束。但是，隨著歐洲恐怖主義抬頭，歐盟嚴格的個人數(shù)據(jù)保護法制也開始出現(xiàn)動搖，以國家安全利益名義開始對個人數(shù)據(jù)保護設(shè)置一些適用例外。例如，法國憲法委員會通過了一項監(jiān)察法案，允許政府不經(jīng)過法院授權(quán)就可以監(jiān)控可能是恐怖分子的電話及電子郵件。同時，還要求網(wǎng)絡(luò)服務(wù)提供商安裝所謂的“黑盒子”以監(jiān)控及分析元數(shù)據(jù)，并要求網(wǎng)絡(luò)服務(wù)商將數(shù)據(jù)提供給情報機構(gòu)?！?1 〕2016年發(fā)生在德國的恐怖襲擊事件也促使德國政府開始要求寬松的隱私保護法，以便政府機構(gòu)能夠較為便利地監(jiān)控網(wǎng)上數(shù)據(jù)，如電子郵件、App、Skype信息等?！?2 〕而在此之前，與其他歐盟成員國相比，法國及德國都建立了相當嚴格的個人數(shù)據(jù)保護制度，兩國近期以國家安全名義放松國內(nèi)個人數(shù)據(jù)保護措施執(zhí)行的表現(xiàn)，可能將成為未來個人數(shù)據(jù)法制在某些領(lǐng)域有所調(diào)整的一種信號。也就是說，國家安全利益保護在歐盟境內(nèi)可能會得到更多的制度豁免，更易納入個人數(shù)據(jù)跨境傳輸?shù)睦夥懂牎?/p>

與之相對應(yīng)，美國廣被詬病的寬松的個人隱私保護模式，近期開始趨向于嚴格限制聯(lián)邦政府機構(gòu)獲取個人信息。2015年10月8日，在《安全港協(xié)定》被廢止兩天后，加利福尼亞州通過了《電子通訊隱私法案》。該法案禁止政府機構(gòu)強制性要求商業(yè)機構(gòu)提供任何“電子通訊信息或電子設(shè)備信息”，除非其持有根據(jù)特殊情形頒發(fā)的搜查令、竊聽許可、電子閱讀器記錄許可、傳票等。該法案獲得網(wǎng)業(yè)巨頭如谷歌、臉書、蘋果、關(guān)系網(wǎng)（LinkedIn）、Dropbox以及推特的一致支持。〔33 〕應(yīng)該說，歐美兩大數(shù)據(jù)保護模式在跨境數(shù)據(jù)傳輸政策上都出現(xiàn)了不同程度的調(diào)整，相互汲取對方立法模式的優(yōu)點，形成彼此融合、妥協(xié)的發(fā)展趨勢。

三、個人數(shù)據(jù)跨境傳輸政策的相關(guān)檢討

隨著計算機及網(wǎng)絡(luò)技術(shù)的蓬勃發(fā)展，包括個人數(shù)據(jù)的收集、存儲、使用、分享及傳輸在本質(zhì)上即具有全球化特征，已然超越了一國或一個地區(qū)的地理界限，對傳統(tǒng)主權(quán)理論提出了嚴峻挑戰(zhàn)?！?4 〕僅僅依靠個別國家或區(qū)域性組織如歐盟內(nèi)部法律治理規(guī)范已經(jīng)明顯捉襟見肘。而各個主權(quán)國家對個人數(shù)據(jù)的保護標準及水平并不統(tǒng)一，個人數(shù)據(jù)可能會被傳輸?shù)奖Ｗo程度較低的國家或地區(qū)進行處理、編輯、利用、銷售等，使得個人數(shù)據(jù)的保護效果被大打折扣。針對這一問題，以歐盟為代表的地區(qū)及國家通過創(chuàng)設(shè)所謂的“域外效力”，即禁止將個人數(shù)據(jù)傳輸至未能提供充分保護的非歐盟成員國，對個人數(shù)據(jù)的跨境傳輸及處理行為加以規(guī)制。雖然說這種單邊的倒逼機制從某種程度上說確實可以影響相關(guān)國家的立法，迫使其提高國內(nèi)個人數(shù)據(jù)的保護水平，但也形成了國際貿(mào)易往來的巨大屏障。對在全球設(shè)立多個分支機構(gòu)或附屬機構(gòu)的跨國公司而言，其因需要遵守不同的數(shù)據(jù)保護政策所投入的精力、資源也在逐日增加，成本負擔十分沉重。如何調(diào)和個人數(shù)據(jù)跨境傳輸自由流通與個人數(shù)據(jù)保護之間的矛盾與沖突問題，則是擺在各國立法者面前的一個難題。

（一）單邊性保護措施

單邊性保護措施主要存在于一些經(jīng)濟實力、國際影響力比較大的國家及地區(qū)性組織，如美國及歐盟，主要采取一些制裁性措施，單方推行其所信奉的法律理念及原則，迫使被制裁國能夠改變其行為模式，建立與其宗旨相符的個人數(shù)據(jù)保護立法，從而達到保護其境內(nèi)公民個人數(shù)據(jù)權(quán)益的目的?！?5 〕其中，以歐盟最為典型。

歐盟先后通過《個人數(shù)據(jù)保護指令》《通用數(shù)據(jù)保護條例》將個人數(shù)據(jù)保護法規(guī)直接適用于其成員國境內(nèi)，并以限制個人數(shù)據(jù)的傳輸為制裁手段，要求非歐盟成員國提供滿足其要求的“充分保護”。于是，許多非歐盟成員國擔心面臨來自歐盟“數(shù)據(jù)傳輸禁止”的制裁，會按照歐盟數(shù)據(jù)保護標準提升其國內(nèi)個人數(shù)據(jù)保護水平，以投其所好。不少東歐國家如阿爾巴尼亞、玻利維亞、克羅地亞、馬其頓、安道爾等國，甚至俄羅斯聯(lián)邦都陸續(xù)按照歐盟指令制定或修訂了其個人數(shù)據(jù)保護法律，以確保國內(nèi)立法與歐盟法制相一致?！?6 〕其他國家或地區(qū)，如加拿大、阿根廷、澳大利亞、新西蘭等國，以及中國香港、臺灣及澳門地區(qū)都制定了新的個人數(shù)據(jù)保護法律，以確保涉及個人數(shù)據(jù)傳輸?shù)膰H貿(mào)易不至于因不符合歐盟指令而遭到質(zhì)疑。

當然，對于個人數(shù)據(jù)保護標準制定主導(dǎo)權(quán)的爭奪，也是一國或一個地區(qū)鞏固其既有經(jīng)濟利益的手段。但移植不可避免地會受到輸入國因政治、文化、經(jīng)濟、歷史等因素的影響，存在排斥反應(yīng)?！?7 〕簡單、粗暴地推行單一國家或地區(qū)的法律制度及價值信仰于其他國家，容易產(chǎn)生抵觸、敵對情緒，甚至被視為“制度帝國主義”、〔38 〕霸權(quán)主義，不利于長期的合作與交流。具體到個人信息領(lǐng)域，某些國家或地區(qū)組織欲將使用國內(nèi)或區(qū)域內(nèi)的個人數(shù)據(jù)保護標準推行至全球，勢必會對其他主權(quán)國家產(chǎn)生在價值理念等方面的沖突。〔39 〕在《安全港協(xié)定》簽訂之前，在歐洲市場擁有營業(yè)網(wǎng)點的美國企業(yè)面對可能來自歐盟的數(shù)據(jù)禁運，也表現(xiàn)得十分焦慮。他們認為這一行為無疑相當于對企業(yè)內(nèi)部的營運模式進行獨裁式的指導(dǎo)，將引發(fā)美歐之間的貿(mào)易爭端?！?0 〕經(jīng)濟實力較強的國家尚還可與歐盟在數(shù)據(jù)保護問題上討價還價，如美歐之間就達成了雙邊協(xié)議（《安全港協(xié)定》及《隱私盾協(xié)議》）。但對于其他非歐盟國家而言，歐盟數(shù)據(jù)保護標準就具有比較強的對立性和侵略性，容易導(dǎo)致國與國之間關(guān)系緊張。因此，在個人數(shù)據(jù)跨境傳輸領(lǐng)域，采用單邊性措施很難達到理想效果。

（二）雙邊性保護措施

相較于單邊性措施容易引發(fā)矛盾與沖突，國與國之間的雙邊性談判、磋商可以較好地解決信息跨境傳輸?shù)南嚓P(guān)問題，就此引發(fā)的爭議也較單邊更少。與此同時，雙邊性協(xié)議也不像多邊性談判會牽涉多個國家，為了達成協(xié)議所耗費的時間成本也會大大降低，更容易推進合作。因此，在個人數(shù)據(jù)跨境傳輸方面，雙邊性協(xié)議在短時間內(nèi)具有比較強的可操作性。

這里，比較典型的雙邊性協(xié)議就是前文述及的美歐《安全港協(xié)定》以及《隱私盾協(xié)議》，美歐之間通過雙邊協(xié)議大大縮小了在個人數(shù)據(jù)保護標準上的差異，采用美國企業(yè)自證方式加入“安全港”及之后的“隱私盾”，公開承諾遵守個人數(shù)據(jù)保護的相關(guān)規(guī)則。美國政府也無須全面修改其國內(nèi)法，大大降低了其國內(nèi)的立法成本。2008年12月，美國與瑞士也達成了“安全港框架”，用以解決因為兩國之間數(shù)據(jù)保護標準不一而影響跨境數(shù)據(jù)傳輸問題。

然而，雙邊性協(xié)議的達成本身受到協(xié)議參與國自身經(jīng)濟、政治力量的制約。如果兩個國家實力相當，則雙邊性協(xié)議的內(nèi)容對于參與國而言應(yīng)是相互妥協(xié)讓步的結(jié)果。反之，如果實力懸殊過大，這種雙邊性談判必然成為利益失衡狀態(tài)下對弱國主權(quán)的一種侵蝕和傷害?！?1 〕另外，雙邊性協(xié)議僅僅解決兩國之間的跨境數(shù)據(jù)傳輸問題，相比多邊性措施其適用范圍過窄。若要盡可能多的獲得其他國家或地區(qū)的跨境數(shù)據(jù)傳輸認可，就需要逐一與不同國家進行談判、磋商，而國際談判過程通常復(fù)雜、冗長，直接導(dǎo)致時間及資源成本不斷攀升，形成巨大的交易成本。

由此可見，雖然雙邊性協(xié)議在短期內(nèi)對于調(diào)和不同國家之間的數(shù)據(jù)保護標準不一問題，屬于比較可行的解決路徑。但從長遠看，個人數(shù)據(jù)跨境傳輸本質(zhì)上具有全球化性質(zhì)，需要多個國家及地區(qū)的共同參與并達成多邊性協(xié)議或機制，才能使問題得以根本性解決。

（三）多邊性保護措施

大數(shù)據(jù)時代，個人數(shù)據(jù)的收集、使用、處理、傳輸及分享主要通過網(wǎng)絡(luò)或電腦等科技手段進行，個人數(shù)據(jù)被濫用的現(xiàn)象屢禁不止。單靠某個國家或地區(qū)，或者幾個國家?guī)缀醪豢赡苡行У貙嵤┘皥?zhí)行國內(nèi)的個人數(shù)據(jù)保護制度。個人數(shù)據(jù)處理的國際化，使得切實落實個人數(shù)據(jù)保護措施需要國際社會、各個國家的共同努力和積極參與。

1.區(qū)域性多邊保護措施

各個國家或地區(qū)個人信息保護法制差異性極大，而其本身又有獨特的政治、經(jīng)濟、文化、歷史背景，這也勢必造成多邊性談判的阻力巨大，要想達成初步共識難度相當大。作為過渡性手段，區(qū)域性多邊機制的建議應(yīng)該說是很好的嘗試。但是，即便是建立了單一市場的歐盟，推行統(tǒng)一的數(shù)據(jù)保護標準的談判過程也并非一帆風順，受到來自各國及各個行業(yè)利益集團的影響。以1995年歐盟《個人數(shù)據(jù)保護指令》為例，在五年的磋商過程中，就形成了南北方兩大陣營。英國、愛爾蘭、丹麥、芬蘭、挪威及瑞典組成所謂“北方陣營”，反對將信息隱私視為基本人權(quán)，認為新聞自由亦應(yīng)得到保護。在最后表決時，英國投了棄權(quán)票，以示對指令的反對態(tài)度。法國、意大利、西班牙及盧森堡則為另一陣營。因為分歧較大，指令的最終版本具有相當程度的開放性，還有諸多例外條款，是各方利益妥協(xié)、讓步的結(jié)果。2016年《通用數(shù)據(jù)保護條例》彌補了《歐盟指令》的不足之外，具有自動執(zhí)行效果，能夠直接適用于歐盟各成員國，不再需要進行國內(nèi)法的轉(zhuǎn)化。但是近期，隨著英國的正式脫歐，反全球化的思潮開始不斷涌現(xiàn)。

相比歐盟具有剛性約束力的特點，亞太經(jīng)合組織及經(jīng)合組織采用了柔性規(guī)范的思路。如前所述，OECD通過的《有關(guān)隱私保護及個人數(shù)據(jù)跨境流動指南》及《隱私保護及有關(guān)跨境合作執(zhí)行建議》僅具有勸告、指導(dǎo)作用，不具有強制約束力，只能提供成員國及其他國家有關(guān)個人信息保護立法或跨境合作的執(zhí)行參考。但是，對于經(jīng)濟欠發(fā)達、較貧窮的非工業(yè)化國家來說，OECD往往被描述為“富人俱樂部”，其成員大都是經(jīng)濟實力強的工業(yè)化國家，其主要弊端在于該組織缺乏開放性和透明性。亞太經(jīng)合組織既不像歐盟基于條約或憲法產(chǎn)生，也不類似OECD設(shè)立準入門檻要求，其組織結(jié)構(gòu)更加松散，由各種大小會議維持，成員APEC所為的承諾也并無強制執(zhí)行力。雖然APEC在隱私保護領(lǐng)域的綱領(lǐng)、政策并無約束力，但是確立了該領(lǐng)域最低而非最高的數(shù)據(jù)保護標準，允許會員采取更嚴格的立法，或多或少的影響著會員關(guān)于個人數(shù)據(jù)保護法制的建設(shè)。APEC成員國個人數(shù)據(jù)保護相關(guān)法制分歧性非常大，既有保護程度較高、采用綜合性統(tǒng)一立法的日本、韓國、澳大利亞、加拿大以及中國臺灣地區(qū)，也有采用部門立法、行業(yè)自律的美國，還有沒有建立個人數(shù)據(jù)保護法的印尼、菲律賓等國家和中國大陸地區(qū)。數(shù)據(jù)產(chǎn)品可為一種“奢侈品”，經(jīng)濟發(fā)達的成員需求更為強烈，而各成員國保護水平及狀態(tài)不一，也被視為亞太經(jīng)合組織之間限制個人數(shù)據(jù)流通的潛在障礙。相對于歐盟、OECD，亞太經(jīng)合組織成員的經(jīng)濟、文化、政治及社會發(fā)展程度差異性更大，想要建立并推行具有強制執(zhí)行力的統(tǒng)一多邊性個人信息保護規(guī)則更是難上加難。

應(yīng)該說，區(qū)域性多邊保護措施充分發(fā)揮了某一區(qū)域地緣化優(yōu)勢，將該地區(qū)諸多國家聯(lián)合起來形成合力，更有利于在跨境數(shù)據(jù)傳輸方面達成一致意見。但是，區(qū)域性保護措施其影響力畢竟有限，要想建立長期、制度性的合作方式，唯有大多數(shù)國家達成共識，形成具有普遍性的行為規(guī)范，才能真正解決個人數(shù)據(jù)跨境傳輸問題。加之，網(wǎng)絡(luò)科技又締造出一種新形態(tài)的社會交往模式，單靠地方、國家或某個區(qū)域組織的傳統(tǒng)管理方式難以應(yīng)對全球化、網(wǎng)絡(luò)化帶來的風險及挑戰(zhàn)，唯有采取新的策略以及全球性規(guī)范才能尋求根本性的解決之道。

2.全球性多邊保護措施

全球性多邊保護措施，雖然能夠統(tǒng)籌協(xié)調(diào)世界范圍內(nèi)不同背景的國家在數(shù)據(jù)保護方面的差異性，但因為參與國家眾多且缺乏國際性法律框架，將面臨信息不對稱、不確定性大等諸多問題，妥協(xié)程度相比區(qū)域性措施及雙邊協(xié)定更大，且談判成本更高。盡管多邊性談判面臨重重困難，但由更多國家合作和參與下制定的跨境數(shù)據(jù)傳輸規(guī)則不僅更具有實效性，能夠大幅降低重要的信息收集、監(jiān)督與執(zhí)行協(xié)議的成本，還能通過建立清晰明確的法律機制及程序性規(guī)則，使得各國在個人數(shù)據(jù)保護領(lǐng)域的決策及執(zhí)行更加透明化，〔42 〕對于參與數(shù)據(jù)處理的企業(yè)及其他機構(gòu)而言亦能形成穩(wěn)定的預(yù)期，有針對性地制定其隱私政策。

事實上，很多國際組織如聯(lián)合國、經(jīng)合組織、亞太經(jīng)合組織等都制定了個人數(shù)據(jù)流通的指南、政策等，應(yīng)該說在多邊合作領(lǐng)域作了非常好的嘗試。歐洲各國為了遵循1995年歐盟《個人數(shù)據(jù)保護指令》的規(guī)定，紛紛設(shè)立了專門的數(shù)據(jù)保護機構(gòu)。自1979年開始，各國數(shù)據(jù)保護機構(gòu)每年召開“數(shù)據(jù)保護與隱私專員國際會議”?！?3 〕2005年9月在瑞士舉辦的第27屆數(shù)據(jù)保護與隱私專員國際會議，通過了“蒙特勒宣言”，認識到各國數(shù)據(jù)保護法律規(guī)范的分歧性，而造成個人數(shù)據(jù)全球化流動所應(yīng)有的保護措施缺失，呼吁各國在尊重法律、政治、經(jīng)濟及文化背景多樣性的同時，應(yīng)強化先前的國際組織如經(jīng)合組織、聯(lián)合國、歐盟及亞太經(jīng)合組織提出的關(guān)于個人數(shù)據(jù)保護的基本原則，使其獲得世界性的普遍認可。各國政府、國際組織及超國家的組織應(yīng)加強合作，發(fā)展個人數(shù)據(jù)保護的普遍性公約。同時，呼吁聯(lián)合國應(yīng)該通過具有約束力的法律規(guī)范，將個人數(shù)據(jù)保護及相關(guān)權(quán)利列為具有執(zhí)行力的人權(quán)?！?4 〕這里，為了促使個人數(shù)據(jù)的自由流動及全球性個人數(shù)據(jù)保護標準的建立，可以借助一些全球性政府間國際組織如聯(lián)合國等，積極探索多邊性保護措施。

2007年，經(jīng)合組織采納了的“隱私保護建議”就明確指出，成員國應(yīng)當促成一個非正式隱私執(zhí)行框架的建立，隱私執(zhí)行當局及其他利益相關(guān)方應(yīng)當就隱私制度的執(zhí)行合作進行討論，分享跨境數(shù)據(jù)傳輸領(lǐng)域執(zhí)行的實踐經(jīng)驗。隱私保護執(zhí)行機構(gòu)之間應(yīng)加強合作，遵守國內(nèi)法及建議要求。正是基于該建議，并考慮到諸如聯(lián)合國、經(jīng)合組織、亞太經(jīng)合組織都關(guān)注到數(shù)據(jù)保護的執(zhí)行問題。2010年3月，11個國家及地區(qū)的隱私執(zhí)行當局聯(lián)合起來建立了“全球隱私執(zhí)行網(wǎng)絡(luò)”（The Global Privacy Enforcement Network， GPEN），并提出了行動計劃。之后，16個國家的隱私執(zhí)行當局也加入了該計劃?！?5 〕GPEN設(shè)立的目的，就是為了聯(lián)合全世界的隱私執(zhí)行機構(gòu)以促成隱私保護法制在跨境領(lǐng)域的合作，具體包括：交換有關(guān)跨境執(zhí)行方面的經(jīng)驗、問題，分享執(zhí)行技巧及好的實踐措施，加強與隱私執(zhí)行相關(guān)組織的對話，建立雙邊、多邊合作機制等。為了吸引更多的隱私保護執(zhí)行機構(gòu)加入，GPEN作為一個開放性網(wǎng)絡(luò)，只要向GPEN委員會提出申請并簽署行動計劃，就可以加入。為了發(fā)揮在隱私執(zhí)行機制建設(shè)上的作用，GPEN采取以下行動：定期召開會議討論執(zhí)行問題；展示不同監(jiān)管機制下有效的調(diào)查技巧及執(zhí)行策略；探討程序、實體以及證據(jù)規(guī)則方面的相似性及差異性；涉及多方執(zhí)行機構(gòu)的調(diào)查合作；與其他相關(guān)組織的合作；向跨司法管轄區(qū)的有關(guān)消費者或者商業(yè)隱私及數(shù)據(jù)安全的教育項目提供支持；保持與其他國際組織的合作；對參與執(zhí)行機構(gòu)進行人員的調(diào)配。就像GPEN在行動計劃中特別強調(diào)的那樣，“行動計劃并不具有強制性，也不會要求加入機構(gòu)提供機密或敏感信息”，也無意于干涉有關(guān)國家主權(quán)、民事及刑事法律執(zhí)行、國家安全等的政府行為?！?6 〕雖然沒有約束力，但從目前運行情形看，已經(jīng)有50多個國家及地區(qū)的數(shù)據(jù)保護機構(gòu)加入GPEN，具有相當?shù)膹V泛性和代表性，有助于發(fā)現(xiàn)并促成數(shù)據(jù)保護規(guī)則的統(tǒng)一框架，是關(guān)于跨境數(shù)據(jù)傳輸領(lǐng)域執(zhí)行機構(gòu)之間進行緊密合作的一個非常有益的嘗試。在將來，GPEN可在綜合各國數(shù)據(jù)保護實踐及跨境執(zhí)行合作的基礎(chǔ)上，提出有關(guān)跨境數(shù)據(jù)傳輸?shù)膰H規(guī)則草案，并提交聯(lián)合國審議，能夠更快的促進多邊性保護機制的形成。

有學(xué)者提出，可以在世界貿(mào)易組織框架下，推動“信息隱私總協(xié)定”的達成。畢竟，不論各個利益集團或國家的意愿如何，跨境個人數(shù)據(jù)傳輸必然涉及與服務(wù)相關(guān)的貿(mào)易問題，WTO難以置身事外。并由此提出，可以藉由涉及知識產(chǎn)權(quán)的TRIPS協(xié)定所建立的知識產(chǎn)權(quán)保護標準，將其納入締約國國內(nèi)法制之中。〔47 〕該建議看似具有相當?shù)暮侠硇?，但缺乏一定的可操作性。個人數(shù)據(jù)是否屬于知識產(chǎn)權(quán)的范疇，本身存在極大的爭議，將其納入TRIPS協(xié)定的難度極大。再加之，WTO本身的談判時間及成本巨大，參與國家情況差別極大，協(xié)商更是費時費力。例如，烏拉圭回合談判時，有120個國家參與，談判時間更是長達9年，2001年開始的多哈談判也是如此。

隨著大數(shù)據(jù)時代的到來，個人數(shù)據(jù)的收集、存儲、使用、傳輸?shù)刃袨橐呀?jīng)遍及全球，早就超越國家及地域界限，這也使得數(shù)據(jù)跨境流通問題已非一國或一個地區(qū)的內(nèi)部力量就能徹底解決。即便區(qū)域性多邊保護措施如歐盟，雖然排除了其成員國內(nèi)部的數(shù)據(jù)流動障礙，但當個人數(shù)據(jù)傳輸至非歐盟成員國時，會因“數(shù)據(jù)禁運”而形成較高的貿(mào)易壁壘。只有通過更多國家參與全球多邊性組織如聯(lián)合國建立數(shù)據(jù)跨境流通的適用規(guī)則，才能真正實現(xiàn)既保護個人數(shù)據(jù)，又促使其跨境合理流動的目標。

結(jié) 語

大數(shù)據(jù)時代個人數(shù)據(jù)已經(jīng)成為各方爭奪的寶貴資源，數(shù)字經(jīng)濟亦逐漸成為國際貿(mào)易發(fā)展的重要力量?？缇硵?shù)據(jù)傳輸自由化與數(shù)據(jù)本地化這一對相互沖突的價值目標一致貫穿跨境數(shù)據(jù)傳輸?shù)娜^程。閉關(guān)自守、完全禁止數(shù)據(jù)跨境流通會嚴重阻礙數(shù)字經(jīng)濟的發(fā)展，在保障個人數(shù)據(jù)安全性的前提下允許數(shù)據(jù)跨境傳輸才符合未來的發(fā)展趨勢。反觀我國，個人數(shù)據(jù)保護起步較晚，雖然目前尚未出臺專門的個人數(shù)據(jù)保護法，但《刑法》《網(wǎng)絡(luò)安全法》《民法總則》《消費者權(quán)益保護法》等都有針對個人信息保護的一般性規(guī)定。2017年4月，國家網(wǎng)信辦發(fā)布了《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》，確立了跨境數(shù)據(jù)傳輸安全評估的基本原則和程序。應(yīng)該說，我國個人信息法律保護體系正在逐步完善，但與歐美等國相比仍存在較大差距。作為亞太經(jīng)合組織的重要一員，我國應(yīng)積極參與跨境數(shù)據(jù)傳輸國際規(guī)則的制定，并在此框架下最大限度地發(fā)揮我國互聯(lián)網(wǎng)企業(yè)的優(yōu)勢，實現(xiàn)國內(nèi)信息保護法律制度與國際規(guī)則的對接與協(xié)調(diào)，在數(shù)字經(jīng)濟全球化過程中扮演更加重要的角色。