貿(mào)易壁壘視角下的歐盟《一般數(shù)據(jù)保護條例》

田曉萍

(深圳大學(xué)法學(xué)院，廣東 深圳 518060)

2018年5月，歐盟《一般數(shù)據(jù)保護條例》(GDPR)正式實施，它是20多年來數(shù)據(jù)隱私法領(lǐng)域最重大的變化，是目前全球范圍內(nèi)個人數(shù)據(jù)保護標(biāo)準(zhǔn)最高的具有約束力和執(zhí)行力的規(guī)則。2019年1月，法國數(shù)據(jù)保護監(jiān)管機構(gòu)認定谷歌違反GDPR，對其處以近5700萬歐元的重罰，這是GDPR實施后第一個被處罰的美國科技巨頭，①該處罰高調(diào)宣告了GDPR時代的到來。GDPR對歐盟乃至全球的個人數(shù)據(jù)保護制度和數(shù)字經(jīng)濟的發(fā)展，都將產(chǎn)生深遠影響。

《歐盟基本權(quán)利憲章》將個人數(shù)據(jù)保護納入基本人權(quán)的范疇，闡明了歐盟數(shù)據(jù)保護的基本立場。②歐盟數(shù)據(jù)立法一體化的演進，從1981年《108號公約》③，1995年《數(shù)據(jù)保護指令》④，到2018年GDPR，呈現(xiàn)出法律制度從原則到具體、法律效力從弱到強、監(jiān)管機制從虛到實的態(tài)勢，基本權(quán)利語境下的個人數(shù)據(jù)隱私保護達到前所未有的高度。數(shù)據(jù)法律政策的考量涵蓋隱私保護、數(shù)字經(jīng)濟、公共利益、國家安全等復(fù)雜的維度。任何國家和地區(qū)都是根據(jù)自身的經(jīng)濟、政治、社會、文化傳統(tǒng)等因素，力求取得利益最大化的平衡點。歐盟雖然一直強調(diào)其數(shù)據(jù)保護的人權(quán)立場，但不容忽視的是，GDPR也是歐洲“數(shù)字一體化市場”戰(zhàn)略的重要抓手。⑤GDPR第1條開宗明義，在明確“保護自然人的基本權(quán)利和自由，尤其是個人數(shù)據(jù)保護的權(quán)利”之后，隨即指出：“不得以保護個人數(shù)據(jù)處理中的相關(guān)自然人為由，對歐盟內(nèi)部個人數(shù)據(jù)的自由流動進行限制?！睆臍W盟內(nèi)部來說，GDPR反對數(shù)據(jù)本地化，通過有直接約束力的統(tǒng)一規(guī)則，強化數(shù)據(jù)的流動性，為歐盟數(shù)字一體化市場掃清了法律障礙。但與此同時，對歐盟外部而言，嚴厲的數(shù)據(jù)保護制度使其他國家和地區(qū)在同歐盟的經(jīng)貿(mào)往來中面臨嚴峻的合規(guī)挑戰(zhàn)，迫使其增加合規(guī)成本、面臨不確定的執(zhí)法，乃至延宕其進入歐盟市場。美國商務(wù)部長羅斯撰文指出，“GDPR的實施會嚴重破壞大西洋兩岸的合作，對包括美國在內(nèi)的歐盟外所有國家和地區(qū)構(gòu)成不必要的貿(mào)易壁壘。”⑥

近年來，中國數(shù)字經(jīng)濟發(fā)展迅速，2018年我國數(shù)字經(jīng)濟總量達到 31.3萬億元，占GDP 比重為34.8%。[1]P15億人口的歐盟成熟市場對中國互聯(lián)網(wǎng)企業(yè)具有強烈的吸引力,GDPR的實施使中國相關(guān)企業(yè)面臨極大的法律風(fēng)險。小米生態(tài)鏈企業(yè)Yeelight智能燈泡，因無法在GDPR生效前滿足合規(guī)而暫停服務(wù)。⑦2018年12月，因涉嫌違反GDPR，摩拜單車遭到德國數(shù)據(jù)監(jiān)管機構(gòu)的調(diào)查。⑧2019年1月，在達沃斯世界經(jīng)濟論壇上，馬云指出，“歐洲對技術(shù)總是關(guān)注隱私、監(jiān)管和安全。阿里選擇去非洲，而不是去過度擔(dān)心的歐洲?！北M管歐盟數(shù)字產(chǎn)業(yè)的競爭力不強，但其占據(jù)著數(shù)據(jù)保護領(lǐng)域的制高點，隨著GDPR的落地執(zhí)行，其制度輸出的影響力和國際話語權(quán)得以強化。對歐盟以外的國家和地區(qū)，尤其是互聯(lián)網(wǎng)領(lǐng)域最具競爭力的美國和中國而言，GDPR成為數(shù)字經(jīng)濟時代的新型貿(mào)易壁壘，具有貿(mào)易保護主義的實際效果。GDPR產(chǎn)生貿(mào)易壁壘效果的制度機理是什么？美國政府主要通過哪些途徑化解該壁壘？美國的經(jīng)驗中國是否有借鑒的可行性？中國應(yīng)如何應(yīng)對？本文試圖從貿(mào)易壁壘的角度考察GDPR，對上述問題進行探討。

一、GDPR：數(shù)字經(jīng)濟時代面向非歐盟國家的貿(mào)易壁壘

(一)GDPR作為貿(mào)易壁壘的背景：歐盟數(shù)字經(jīng)濟生產(chǎn)和消費的失衡

隨著信息技術(shù)的不斷創(chuàng)新發(fā)展，及其與經(jīng)濟社會的深度融合，數(shù)字經(jīng)濟已成為實現(xiàn)價值增值與效率提升、促進世界經(jīng)濟增長的新動能。發(fā)達國家和發(fā)展中國家都將發(fā)展數(shù)字經(jīng)濟作為國家層面的優(yōu)先戰(zhàn)略。數(shù)據(jù)是數(shù)字經(jīng)濟時代的關(guān)鍵性生產(chǎn)要素，各國的數(shù)據(jù)保護立法是其數(shù)字經(jīng)濟戰(zhàn)略部署的重要環(huán)節(jié)。適度的個人數(shù)據(jù)保護可以提升數(shù)據(jù)主體對數(shù)字產(chǎn)業(yè)的信任，有利于數(shù)字經(jīng)濟的發(fā)展；嚴苛的個人數(shù)據(jù)保護則會降低商業(yè)效率，抑制數(shù)字經(jīng)濟的活力。美國是全球信息技術(shù)和數(shù)字經(jīng)濟的頭號強國，其個人數(shù)據(jù)保護與歐盟相比要寬松許多。

歐盟的GDPR作為目前全球最嚴苛的個人數(shù)據(jù)保護制度，在保護人權(quán)的價值理念背后，也包含了重要的經(jīng)濟利益考量。一方面，歐盟在數(shù)字經(jīng)濟領(lǐng)域的企業(yè)競爭力顯著落后于美國和中國。根據(jù)瑪麗·米克爾發(fā)布的2018互聯(lián)網(wǎng)趨勢報告，當(dāng)今全球市值最高的前20家互聯(lián)網(wǎng)公司中，美國11家，中國9家，沒有一家歐盟國家的公司入圍。⑨根據(jù)聯(lián)合國貿(mào)發(fā)會發(fā)布的《世界投資報告2017-投資與數(shù)字經(jīng)濟》，在網(wǎng)絡(luò)平臺、數(shù)字化解決方案、電子商務(wù)、數(shù)字內(nèi)容、IT、電信設(shè)施等主要數(shù)字經(jīng)濟領(lǐng)域，美國企業(yè)從數(shù)量和規(guī)模上占據(jù)絕對優(yōu)勢，其次為中國。另一方面，歐盟5億人口，市場成熟，互聯(lián)網(wǎng)基礎(chǔ)設(shè)施較為完善，數(shù)字經(jīng)濟消費市場龐大，潛能可觀。目前，美國的互聯(lián)網(wǎng)巨頭如谷歌、臉書、亞馬遜等在歐盟提供廣泛的服務(wù)，歐洲本土則缺乏具有相應(yīng)競爭力的企業(yè)。在數(shù)字經(jīng)濟生產(chǎn)和消費極不平衡的背景下，歐盟實施史上最嚴的數(shù)據(jù)保護法，并不會遭遇來自本國企業(yè)界利益集團的強有力反對，卻可以增強其同外國互聯(lián)網(wǎng)巨頭的博弈籌碼。因此，歐盟以統(tǒng)一市場的優(yōu)勢為依托，緊握規(guī)則制定的話語權(quán)，實施嚴格的GDPR，劍指美、中兩國企業(yè)，少有“殺敵一千，自損八百”的后顧之憂。在GDPR的威懾之下，在歐盟數(shù)字化市場中所占份額最大的美國企業(yè)首當(dāng)其沖，它們需要大幅增加合規(guī)成本，還可能面臨最高為全球總營收4%的巨額罰款。對快速崛起正謀求全球擴張的中國互聯(lián)網(wǎng)企業(yè)而言，歐盟市場的法律風(fēng)險可能使其暫時轉(zhuǎn)入觀望。歐盟國家企業(yè)則可以內(nèi)部市場的統(tǒng)一規(guī)則為依托，享受數(shù)據(jù)自由流動的便利，獲得一定的發(fā)展空間。

(二)GDPR作為貿(mào)易壁壘的屬性：社會性壁壘和技術(shù)性壁壘

在傳統(tǒng)貿(mào)易壁壘受到國際條約較為嚴格約束的背景下，以技術(shù)壁壘、環(huán)境壁壘、社會壁壘為代表的新型貿(mào)易壁壘層出不窮。這些新型貿(mào)易壁壘通常旨在保護生命健康、人權(quán)、環(huán)境，通過國內(nèi)政策和法規(guī)實施，具有一定的合理性和適用的平等性，但又可以產(chǎn)生貿(mào)易保護主義的實際效果。GDPR兼具社會性壁壘和技術(shù)性壁壘的性質(zhì)，是數(shù)字經(jīng)濟時代的新型貿(mào)易壁壘。[2]

以往國際貿(mào)易中的社會性壁壘主要指以保護勞工權(quán)益為由采取的貿(mào)易保護措施，其特點是以國際人權(quán)條約中有關(guān)社會保障、勞工權(quán)利等規(guī)定為基礎(chǔ)，制定較高的勞工標(biāo)準(zhǔn)(如歐洲的SA8000標(biāo)準(zhǔn))，從而削弱發(fā)展中國家在勞動力成本方面的優(yōu)勢。歐盟數(shù)據(jù)立法源于基本人權(quán)保護。1950年《歐洲人權(quán)公約》第8條第1款規(guī)定：“每個人都有權(quán)要求尊重他的私人和家庭生活、住宅和通信。”歐洲委員會在20世紀(jì)七十年代主張將個人數(shù)據(jù)視為《歐洲人權(quán)公約》第8條第1款的一部分。2000年《歐盟基本權(quán)利憲章》第8條明文規(guī)定個人數(shù)據(jù)保護。GDPR以上述人權(quán)條約為依托，確立高標(biāo)準(zhǔn)的個人數(shù)據(jù)保護制度，提高市場門檻，是一種新型的社會性貿(mào)易壁壘。技術(shù)性貿(mào)易壁壘是指通過頒布法律、法令、條例、規(guī)定，建立嚴苛的技術(shù)標(biāo)準(zhǔn)、認證制度、衛(wèi)生檢驗檢疫制度等，達到提高市場準(zhǔn)入門檻、形成貿(mào)易障礙的效果。GDPR確立了個人數(shù)據(jù)處理中的諸多操作規(guī)范和具體標(biāo)準(zhǔn)，包括收集個人數(shù)據(jù)時應(yīng)當(dāng)提供的信息、數(shù)據(jù)處理活動的記錄規(guī)則、數(shù)據(jù)主體行使訪問權(quán)、更正權(quán)和可攜權(quán)的操作方式等，還提出了建立數(shù)據(jù)保護認證機制。GDPR一系列復(fù)雜而嚴苛的規(guī)則需要企業(yè)大幅提高合規(guī)成本，否則將被排除在歐盟市場之外，具有典型的技術(shù)性壁壘的特征。

二、 GDPR產(chǎn)生貿(mào)易壁壘效果的制度機理

(一)高水平的個人數(shù)據(jù)保護抬高市場門檻

GDPR強化了數(shù)據(jù)主體對個人數(shù)據(jù)的控制權(quán)利，并賦予更廣泛的權(quán)利內(nèi)容。根據(jù)GDPR，一般情況下，對個人數(shù)據(jù)的處理須取得當(dāng)事人的明確同意，該同意必須是在知情的情況下、基于特定目的、自由作出的，獲取當(dāng)事人同意的相關(guān)協(xié)議應(yīng)當(dāng)使用清晰而直白的語言，以簡潔、透明、易懂和容易獲取的方式呈現(xiàn)，否則無效。數(shù)據(jù)主體有權(quán)隨時撤回同意，同意的撤回應(yīng)和同意的作出一樣簡單。數(shù)據(jù)主體享有對個人數(shù)據(jù)的訪問權(quán)、更正權(quán)、被遺忘權(quán)、可攜權(quán)、限制處理權(quán)、自動化決策的反對權(quán)等。其中，被遺忘權(quán)和可攜權(quán)是兩種新型權(quán)利。被遺忘權(quán)是指，當(dāng)數(shù)據(jù)主體依法撤回同意或者控制者不再有合法理由繼續(xù)處理數(shù)據(jù)等情形時，數(shù)據(jù)主體有權(quán)要求刪除數(shù)據(jù)。控制者不僅要刪除自己所控制的數(shù)據(jù)，還要對其公開傳播的數(shù)據(jù)負責(zé)，通知其他第三方進行刪除。在開放的互聯(lián)網(wǎng)空間，要求數(shù)據(jù)控制者對其公開傳播的所有數(shù)據(jù)負責(zé)，是非常嚴苛且難以完成的義務(wù)。可攜權(quán)是一項權(quán)利制度創(chuàng)新，指數(shù)據(jù)主體有權(quán)以有序的、普遍使用的、機器可讀的方式獲取個人數(shù)據(jù)，并有權(quán)將這些數(shù)據(jù)從一個控制者傳輸?shù)搅硪粋€控制者，但行使可攜權(quán)時不能對他人的權(quán)利或自由產(chǎn)生負面影響。在GDPR的框架下，數(shù)據(jù)主體對個人數(shù)據(jù)的控制力顯著提升。另一方面，GDPR對數(shù)據(jù)控制者和處理者的義務(wù)做了全面而嚴格的界定，包括：以默認方式保護數(shù)據(jù)的義務(wù)、數(shù)據(jù)處理活動的記錄義務(wù)、確保數(shù)據(jù)處理安全的義務(wù)、數(shù)據(jù)泄漏后72小時內(nèi)的通知義務(wù)、數(shù)據(jù)保護影響評估的義務(wù)、設(shè)立數(shù)據(jù)保護官的義務(wù)等,并且提倡在歐盟層面建立數(shù)據(jù)保護認證機制，以證明數(shù)據(jù)控制者和處理者對個人數(shù)據(jù)的處理操作符合GDPR。

為確保數(shù)據(jù)主體權(quán)利的實現(xiàn)，GDPR對監(jiān)管機構(gòu)和救濟處罰措施都做了具體安排。GDPR要求各成員國設(shè)立獨立的監(jiān)管機構(gòu)，負責(zé)監(jiān)控條例的實施。監(jiān)管機構(gòu)具有調(diào)查、矯正、建議、提起法律訴訟的權(quán)力。數(shù)據(jù)主體根據(jù)GDPR所賦予的權(quán)利被侵犯時，可以向監(jiān)管機構(gòu)提起申訴，也可以向法院提起訴訟。在最嚴重的違法行為發(fā)生時，監(jiān)管機構(gòu)對數(shù)據(jù)控制者和處理者最高可處罰金2000萬歐元或者企業(yè)上一年全球總營業(yè)額的4%(兩者取其高)。高昂的罰金額度對企業(yè)構(gòu)成強烈的威懾。為了達到GDPR的數(shù)據(jù)保護標(biāo)準(zhǔn)，企業(yè)需要完善內(nèi)部數(shù)據(jù)保護合規(guī)制度，對一切數(shù)據(jù)的收集和處理活動都要采取相應(yīng)的保護措施，包括一系列形式工作和實質(zhì)措施。據(jù)《福布斯》報道，在2018年5月正式實施前的兩年間(GDPR于2016年4月獲得通過)，美國財富前500強企業(yè)就花費了78億美元合規(guī)成本，中型企業(yè)在這兩年間花費的合規(guī)成本為55萬美元。根據(jù)普華永道會計師事務(wù)所的調(diào)查，68%的美國公司預(yù)計花費100萬到1000萬美元以滿足GDPR的合規(guī)要求。

(二)復(fù)雜的規(guī)則帶來執(zhí)法的不確定性

GDPR共十章、99條，涉及諸多復(fù)雜的概念、原則、規(guī)則，且很多概念和事項都屬新創(chuàng)。GDPR發(fā)布后，歐盟數(shù)據(jù)保護委員會(EDPB)又發(fā)布了二十多項指南。指南涉及數(shù)據(jù)保護官、數(shù)據(jù)保護影響評估、識別主導(dǎo)監(jiān)管機構(gòu)、行政處罰、充分保護認定等各方關(guān)切的廣泛問題。歐盟許多成員也陸續(xù)頒布GDPR指南。龐雜的規(guī)則帶來認知上的困境，而且，許多規(guī)則的適用標(biāo)準(zhǔn)仍不明確。美國科羅拉多大學(xué)教授Alison在《紐約時報》撰文指出，“GDPR非常復(fù)雜，帶來很大的困惑。許多要受到GDPR約束的科學(xué)家和數(shù)據(jù)管理員都認為，該條例難以理解，甚至懷疑不可能做到完全遵守?！盙DPR是不同價值平衡和多種利益訴求妥協(xié)的產(chǎn)物，這是造成其復(fù)雜性的重要原因。GDPR秉持二元立法目標(biāo)——保護個人權(quán)利并促進數(shù)據(jù)的自由流動，數(shù)據(jù)主體并非享有絕對權(quán)利，數(shù)據(jù)主體的權(quán)利需要與其他正當(dāng)利益相平衡。GDPR一般適用于所有個人數(shù)據(jù)處理中的個人權(quán)利保護，然而，企業(yè)、政府、學(xué)術(shù)機構(gòu)處理個人數(shù)據(jù)的目的截然不同。GDPR草案發(fā)布后，曾收到4000多份修改意見，反映了利益訴求的分化。況且，歐盟28個成員國，不同的歷史經(jīng)驗和社會現(xiàn)實決定了其對個人數(shù)據(jù)保護的立場會有所分別。例如，德國基于納粹統(tǒng)治的痛苦記憶，對政府和企業(yè)收集個人數(shù)據(jù)非常戒備，北歐國家則重視將數(shù)據(jù)收集和整理用于支持社會福利體系的運作。此外，為彌合現(xiàn)行規(guī)則和未來新技術(shù)發(fā)展可能產(chǎn)生的鴻溝，GDPR使用了一些寬泛的原則，也留下了有待解釋的空間。

GDPR引入諸多平衡機制來協(xié)調(diào)各方利益，規(guī)則設(shè)計中表現(xiàn)為對權(quán)利作出適當(dāng)限制、對責(zé)任予以適當(dāng)豁免，以及諸多例外情形。例如，GDPR第17條“被遺忘權(quán)”共三款，第1款規(guī)定數(shù)據(jù)主體刪除個人數(shù)據(jù)的權(quán)利，第2款規(guī)定了數(shù)據(jù)控制者對其公開傳播的數(shù)據(jù)的責(zé)任。鑒于被遺忘權(quán)雖然關(guān)乎重要的個人權(quán)利，但也可能與言論自由、信息自由流動、公眾知情權(quán)等公共價值存在尖銳的矛盾，需要對此權(quán)利作出必要的限制，第3款規(guī)定了不適用被遺忘權(quán)的5種例外情形：(1)行使表達自由和信息自由權(quán)；(2)基于公共利益和履行法律職責(zé)所必需；(3)為實現(xiàn)公共健康領(lǐng)域的公共利益；(4)基于歷史、統(tǒng)計和科學(xué)研究的目的；(5)為提起、行使或辯護法律性主張。雖然做出了這些限制，被遺忘權(quán)仍然面臨很多質(zhì)疑。對用戶提出的被遺忘權(quán)請求，企業(yè)可能首先需要審查是否屬于立法中規(guī)定的例外情形，而“表達自由”、“公共利益”這些抽象的判斷標(biāo)準(zhǔn)，無疑是將企業(yè)拖入裁判的泥潭，并由此形成一種新形式的“網(wǎng)絡(luò)審查”。這必然帶來規(guī)則適用的不確定性，GDPR中還有很多這類情形。GDPR復(fù)雜且?guī)в邢喈?dāng)不確定性的規(guī)則，給遵守者帶來極大的合規(guī)困境和負擔(dān)。對監(jiān)管機構(gòu)而言，則賦予其較大的裁量權(quán)，可能產(chǎn)生執(zhí)法的選擇性和不可預(yù)見性，還可以此增強與境外互聯(lián)網(wǎng)產(chǎn)業(yè)巨頭博弈的話語權(quán)。

(三)寬泛的管轄范圍導(dǎo)致域外適用

互聯(lián)網(wǎng)空間的開放性、個人數(shù)據(jù)流動和處理的跨國性，決定了GDPR充分的個人數(shù)據(jù)保護不會僅止于歐盟。GDPR第3條“地域范圍”兼采屬地管轄和屬人管轄兩種標(biāo)準(zhǔn)，將GDPR的適用范圍擴展至歐盟境外。該條款直接關(guān)系到境內(nèi)外數(shù)據(jù)處理的主體和場景是否納入GDPR管轄，引起各方的重點關(guān)注和質(zhì)疑。為明晰該條款的適用，2018年11月，EDPB發(fā)布長達23頁的《關(guān)于GDPR適用地域范圍的解釋指南》(公開征求意見版)?！吨改稀分袑DPR適用地域范圍的兩種標(biāo)準(zhǔn)做了詳細的闡釋和例舉，并創(chuàng)設(shè)了新的規(guī)則以促進其域外適用的落地執(zhí)行。

GDPR下的屬地管轄是指，以在歐盟境內(nèi)有“機構(gòu)設(shè)置”作為適用標(biāo)準(zhǔn)。根據(jù)GDPR第3條第1款，數(shù)據(jù)控制者或處理者在歐盟境內(nèi)有機構(gòu)設(shè)置，該機構(gòu)活動涉及的個人數(shù)據(jù)處理，不論數(shù)據(jù)處理行為是否在歐盟內(nèi)進行，均適用GDPR。該條款的適用需要從三方面綜合判定：第一，在歐盟內(nèi)有機構(gòu)設(shè)置。機構(gòu)設(shè)置是指通過穩(wěn)定安排從事真實有效的經(jīng)營活動，安排的法律形式不要求一定是具有法人資格的子公司或分支機構(gòu)?！吨改稀分羞M一步闡明，在某些情況下，非歐盟實體在歐盟內(nèi)有一個雇員或一個代理人，如具備足夠的穩(wěn)定性，就可能構(gòu)成穩(wěn)定安排。[3]P5由此可見，在歐盟境內(nèi)有機構(gòu)設(shè)置的范圍相當(dāng)寬泛，既包括在歐盟內(nèi)設(shè)立的數(shù)據(jù)控制者或處理者，也包括歐盟外的數(shù)據(jù)控制者或處理者在歐盟成員國內(nèi)有某種穩(wěn)定安排，其法律形式不限。第二，個人數(shù)據(jù)處理由該機構(gòu)活動所涉及。根據(jù)《指南》，即使在歐盟設(shè)置的機構(gòu)沒有實際參加任何非歐盟實體的數(shù)據(jù)處理行為，該機構(gòu)的活動也可能與這些數(shù)據(jù)處理行為間接相關(guān)。例如，一家中國企業(yè)經(jīng)營的電商網(wǎng)站，其數(shù)據(jù)處理行為全部在中國進行，但是它在柏林設(shè)立了一個歐洲辦事處負責(zé)領(lǐng)導(dǎo)和執(zhí)行歐盟市場的商業(yè)推廣和市場活動，旨在使該電商網(wǎng)站的服務(wù)盈利，則中國公司由此進行的個人數(shù)據(jù)處理與其歐洲辦事處的活動間接相關(guān)，屬于GDPR的適用情形。[3]P7第三，不考慮數(shù)據(jù)處理行為發(fā)生的地理位置。只要在歐盟境內(nèi)有機構(gòu)設(shè)置，且個人數(shù)據(jù)處理由該機構(gòu)活動所涉及，不論數(shù)據(jù)處理行為是否在歐盟內(nèi)進行，都可適用GDPR。

GDPR下的屬人管轄是指，以數(shù)據(jù)處理的“目標(biāo)主體”在歐盟境內(nèi)作為適用標(biāo)準(zhǔn)。根據(jù)GDPR第3條第2款，在歐盟外設(shè)立的數(shù)據(jù)控制者或處理者，只要其個人數(shù)據(jù)處理是為歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)，或?qū)Πl(fā)生在歐盟境內(nèi)的數(shù)據(jù)主體的活動進行監(jiān)控，即受GDPR約束。該條款的適用需要同時滿足兩個條件：第一，數(shù)據(jù)主體在歐盟境內(nèi)。這是指在其個人信息被收集的時候，數(shù)據(jù)主體在地理上位于歐盟境內(nèi)，無關(guān)其是否具有歐盟成員國的國籍或法律身份，因而并不限于歐盟的公民、居民。[3]P13第二，個人數(shù)據(jù)處理是針對歐盟內(nèi)的數(shù)據(jù)主體提供商品、服務(wù)，或者監(jiān)控其在歐盟內(nèi)的活動。提供商品或服務(wù)并不要求支付對價或真實發(fā)生，具有此意圖即可，例如提供產(chǎn)品或服務(wù)的網(wǎng)站上出現(xiàn)歐盟成員國的語言和貨幣，或提及歐盟的消費者和使用者，就被認為有此意圖。在判定數(shù)據(jù)主體在歐盟內(nèi)的活動被監(jiān)控時，要求監(jiān)控有特定目的，也就是數(shù)據(jù)主體在歐盟內(nèi)的活動在互聯(lián)網(wǎng)上被追蹤，其個人信息經(jīng)收集和后續(xù)處理利用，是為了分析或預(yù)測其個人行為、偏好，作出與此人相關(guān)的決策等。

GDPR通過“機構(gòu)設(shè)置”和“目標(biāo)主體”這兩種標(biāo)準(zhǔn)實現(xiàn)了擴張性的域外適用。這種域外適用的實質(zhì)是行政執(zhí)法權(quán)的擴張，面臨著對境外企業(yè)如何實現(xiàn)監(jiān)管、調(diào)查和執(zhí)法的難題，而且很可能與企業(yè)所在國的執(zhí)法主權(quán)產(chǎn)生沖突，難以得到所在國的配合與協(xié)助。為解決這一執(zhí)法難題，GDPR第27條規(guī)定了指定歐盟代表的義務(wù)。在歐盟外設(shè)立的數(shù)據(jù)控制者或處理者，因其向歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)，或監(jiān)控歐盟內(nèi)數(shù)據(jù)主體的活動而受GDPR約束，有義務(wù)在歐盟內(nèi)指定一名代表，該代表可以是個人、商業(yè)實體或非商業(yè)實體，數(shù)據(jù)監(jiān)管機構(gòu)可以對此代表處以罰金或執(zhí)行其他懲罰。[3]P19-20這意味著，在適用“目標(biāo)主體”標(biāo)準(zhǔn)時，對境外企業(yè)的執(zhí)法可以通過歐盟內(nèi)的代表這一連接點得以實現(xiàn)。適用“機構(gòu)設(shè)置”標(biāo)準(zhǔn)時，根據(jù)GDPR，即使數(shù)據(jù)處理行為在境外，也可以通過歐盟境內(nèi)設(shè)置的機構(gòu)這一連接點進行監(jiān)督執(zhí)法。這兩種情形下的執(zhí)法思路異曲同工，都是通過境內(nèi)的某一連接點將境外企業(yè)納入其可控范圍，從而實現(xiàn)對域外數(shù)據(jù)控制者和處理者的有效約束和執(zhí)法。與歐盟境內(nèi)企業(yè)相比，這種要求顯然會增加歐盟境外企業(yè)的額外負擔(dān)和市場進入阻礙，但是卻有利于保障歐盟本土市場和歐盟數(shù)據(jù)主體的權(quán)利。由此，GDPR構(gòu)筑起一張密實的大網(wǎng)，將幾乎所有投資歐盟的企業(yè)和與歐盟有業(yè)務(wù)往來的企業(yè)都網(wǎng)羅其中，使其面臨兩難選擇：或者遵守GDPR的高標(biāo)準(zhǔn)，或者退出歐盟市場。

(四)嚴格控制的數(shù)據(jù)跨境流動強化了制度輸出

數(shù)據(jù)跨境流動是數(shù)字貿(mào)易的內(nèi)在要求。GDPR沒有明確的數(shù)據(jù)本地化要求，其對個人數(shù)據(jù)流出歐盟主要通過充分性認定和充分保障兩種機制加以嚴格控制，基本原則是個人數(shù)據(jù)出境的目的地或接收方提供與歐盟境內(nèi)基本相同的保護水平，目標(biāo)在于GDPR保護的個人數(shù)據(jù)權(quán)利在數(shù)據(jù)出境后仍然能夠得到充分保證。

充分性認定是歐盟個人數(shù)據(jù)跨境流動最重要的機制，認定的對象是歐盟以外的第三國、第三國的特定地區(qū)、行業(yè)領(lǐng)域以及國際組織，只有歐委會認定其能提供充分保護，才可以將個人數(shù)據(jù)向其進行轉(zhuǎn)移。充分性保護要求第三國提供與歐盟基本等同的保護水平。根據(jù)GDPR第45條，歐委會主要從三方面進行充分性評估：首先，考察其法治水平、尊重人權(quán)和基本自由的情況、一般性和部門性立法及其實施(包括公共安全、國防、國家安全、刑法和公共機構(gòu)獲取個人數(shù)據(jù)等方面)，以及數(shù)據(jù)主體權(quán)利的有效性和可執(zhí)行性、行政和司法救濟途徑。第二，要求設(shè)立獨立且有效運行的監(jiān)管機構(gòu)，監(jiān)管機構(gòu)有充分的執(zhí)法權(quán)、負責(zé)個人數(shù)據(jù)保護規(guī)則的實施、為數(shù)據(jù)主體行使權(quán)利提供支持和建議，以及與歐盟成員國的監(jiān)管機構(gòu)進行合作。第三，考察第三國或國際組織參加與個人數(shù)據(jù)保護相關(guān)的具有法律約束力的國際條約情況。加入歐委會《108號公約》是一項予以關(guān)注的因素。獲得充分性認定并非一勞永逸，歐委會對第三國或地區(qū)會定期進行復(fù)審，根據(jù)其個人數(shù)據(jù)保護的實踐情況，可能修改、暫停、甚至撤銷充分性認定。目前，獲得歐委會充分性認定的國家為數(shù)不多，包括：阿根廷、以色列、日本、新西蘭、瑞士、烏拉圭、安道爾、馬恩島、澤西島、法羅群島、根西島。加拿大獲得的充分性認定僅適用于屬于“加拿大信息保護和電子文件法”范圍的私營實體。

在充分性認定機制缺失的情況下，數(shù)據(jù)控制者或處理者只有能提供充分的保障措施，且數(shù)據(jù)主體的權(quán)利和救濟在法律上可執(zhí)行時，才可以將個人數(shù)據(jù)轉(zhuǎn)移至歐盟境外。根據(jù)GDPR第46條，主要有下列幾種充分保障機制可供選擇：公共機構(gòu)之間有法律約束力和執(zhí)行力的文件；有約束力的公司規(guī)則；標(biāo)準(zhǔn)數(shù)據(jù)保護條款；協(xié)會行為準(zhǔn)則；認證機制等。各種保障機制都需要獲得歐委會或歐盟成員國數(shù)據(jù)監(jiān)管機構(gòu)的批準(zhǔn)才能生效，其核心在于嚴格控制個人數(shù)據(jù)出境后的保護標(biāo)準(zhǔn)。如未能滿足充分性認定和充分保障機制的條件，個人數(shù)據(jù)轉(zhuǎn)移至歐盟境外的例外情形非常有限，并且給數(shù)據(jù)控制者帶來很高的舉證責(zé)任。要求數(shù)據(jù)控制者在充分告知數(shù)據(jù)主體相關(guān)風(fēng)險的情況下獲得數(shù)據(jù)主體的明示同意，或者數(shù)據(jù)控制者能證明數(shù)據(jù)轉(zhuǎn)移具有某種必要性，如實現(xiàn)公共利益、履行合同、司法訴求等，嚴格的舉證要求使其難以適用頻繁、大規(guī)模的個人數(shù)據(jù)轉(zhuǎn)移。

GDPR的跨境數(shù)據(jù)傳輸機制中，充分性認定機制提供了整體解決方案，獲得認定的前提是該國家或地區(qū)的個人數(shù)據(jù)保護水平達到了GDPR的要求，這必然促使希望獲得認定國家或地區(qū)的立法向歐盟標(biāo)準(zhǔn)靠攏。充分保障機制雖然是針對數(shù)據(jù)控制者或處理者，但同時要求數(shù)據(jù)主體的權(quán)利和救濟在法律上可執(zhí)行，這也間接對數(shù)據(jù)控制者或處理者所在地的個人數(shù)據(jù)保護法提出了要求。跨境數(shù)據(jù)流動的這種制度設(shè)計使GDPR產(chǎn)生傳導(dǎo)效應(yīng)，進一步強化了歐盟數(shù)據(jù)保護制度輸出的影響力。除歐盟國家以外，一些近期更新了數(shù)據(jù)保護法或提出立法草案的國家，如突尼斯、泰國、智利、巴西、加拿大、新西蘭、貝林等，其立法都深受GDPR影響。GDPR發(fā)生傳導(dǎo)效應(yīng)的根源在于：一方面，歐盟市場對歐盟外國家的吸引力促使其希望獲得數(shù)據(jù)流動的許可；另一方面，在全球互聯(lián)網(wǎng)產(chǎn)業(yè)集中度較高的情況下，大多數(shù)國家與歐盟一樣，數(shù)字經(jīng)濟的生產(chǎn)和消費失衡，仿效歐盟嚴格的數(shù)據(jù)保護法可以更有效地約束美國、中國等互聯(lián)網(wǎng)強國的數(shù)據(jù)控制者或處理者。

值得注意的是，GDPR的數(shù)據(jù)跨境流動規(guī)則也會被其他國家所仿效。日本2015年《個人信息保護法》中就確立了類似的充分性認定機制。在制度逐步趨同的背景下，2018年7月，日本和歐盟在達成《經(jīng)濟伙伴關(guān)系協(xié)定》之后的會議聯(lián)合聲明中宣布，雙方約定互相將對方的數(shù)據(jù)保護系統(tǒng)視為同等有效，建立一個數(shù)據(jù)安全流通區(qū)。這意味著，歐日致力于達成首個“對等充分性”協(xié)議，并旋即展開實質(zhì)性的推進。2018年9月，歐委會正式啟動對日本的充分性認定程序。2019年1月23日，歐委會通過對日本的充分性認定，日本也同時做出對等的認定，由此，個人數(shù)據(jù)可以在兩大經(jīng)濟體間自由傳輸，形成世界最大的數(shù)據(jù)安全流通區(qū)。以日本的情形推之，一旦越來越多的國家仿效歐盟數(shù)據(jù)保護規(guī)則，包括其跨境數(shù)據(jù)流動規(guī)則，在這些國家間將形成以歐盟數(shù)據(jù)保護標(biāo)準(zhǔn)為共識的數(shù)據(jù)自由流通區(qū)，不符合其數(shù)據(jù)保護要求的國家則被排除在外，將面臨數(shù)據(jù)流動的障礙，GDPR產(chǎn)生的壁壘效果將逐步擴散，進而深刻影響全球數(shù)據(jù)治理格局。

三、美國化解歐盟數(shù)據(jù)立法壁壘的主要途徑

美國和歐盟的個人數(shù)據(jù)保護制度差異較大。美國沒有統(tǒng)一的個人數(shù)據(jù)保護法，而是根據(jù)需要在不同部門分別立法；美國沒有將個人數(shù)據(jù)權(quán)確立為憲法意義上的基本人權(quán)，認為除非有不能避免的風(fēng)險且市場本身無法糾正，否則不應(yīng)進行聯(lián)邦立法；美國也沒有獨立的數(shù)據(jù)保護機構(gòu)，主要通過行業(yè)自律和民事救濟的途徑解決糾紛。[4]P53相對寬松的個人數(shù)據(jù)保護模式符合美國互聯(lián)網(wǎng)企業(yè)的利益，有益于維持其全球領(lǐng)先的行業(yè)優(yōu)勢和促進數(shù)字經(jīng)濟的發(fā)展。美國不可能改變其國內(nèi)法律體系以滿足歐盟標(biāo)準(zhǔn)，歐盟也不認可美國達到了充分性保護。然而，美國和歐盟之間存在大量的跨境貿(mào)易往來和投資活動，尤其是美國的互聯(lián)網(wǎng)企業(yè)在歐盟存在重大的商業(yè)利益，化解歐盟數(shù)據(jù)保護產(chǎn)生的市場壁壘具有迫切的現(xiàn)實需求。美、歐之間數(shù)據(jù)保護制度的分歧由來已久，美國政府多年來積極尋求該問題的解決方案并取得一定效果。

(一)通過雙邊協(xié)議與歐盟達成妥協(xié)

自歐盟1995年《指令》實施以來，由于美國未達到歐盟認可的個人信息“充分保護”水平，美國企業(yè)在歐盟開展業(yè)務(wù)面臨嚴重限制。為解決大西洋兩岸數(shù)據(jù)流動的法律障礙，美國和歐盟于2000年簽訂《安全港協(xié)議》。該協(xié)議并不要求改革國家法律制度，而是為美國公司遵守歐盟規(guī)則提供了一攬子解決方案?！栋踩蹍f(xié)議》框架下的個人數(shù)據(jù)保護要求與歐盟《指令》的數(shù)據(jù)保護原則和標(biāo)準(zhǔn)相一致,美國企業(yè)可以自愿申請加入《安全港協(xié)議》。“入港”企業(yè)必須遵守協(xié)議要求，并且每年向商務(wù)部提交公開隱私政策的書面報告，從而可以接受和處理來自歐盟的個人數(shù)據(jù)。《安全港協(xié)議》生效后，有超過4400家美國企業(yè)和組織加入,包括谷歌、臉書、微軟等。雙邊安排使得美國企業(yè)可以合法地在兩地間傳輸數(shù)據(jù)，促進了美國企業(yè)在歐盟的發(fā)展和擴張。2013年隨著“棱鏡計劃”曝光，《安全港協(xié)議》存在的問題和漏洞凸顯出來?；凇栋踩蹍f(xié)議》中的國家安全和公共利益豁免，美國國家安全局一直通過進入微軟、谷歌、蘋果等網(wǎng)絡(luò)巨頭的服務(wù)器監(jiān)控公民的個人信息，包括對歐洲領(lǐng)導(dǎo)人的監(jiān)控。在此背景下，長期致力于隱私保護的奧地利公民Max Schrems向愛爾蘭高等法院提出申訴，指Facebook未能給歐洲公民的個人數(shù)據(jù)提供充分保護，要求禁止其將個人數(shù)據(jù)傳輸至美國。2015年10月，歐洲法院裁定《安全港協(xié)議》無效，理由是該協(xié)議已經(jīng)無法滿足歐盟的數(shù)據(jù)保護標(biāo)準(zhǔn)，不能阻止企業(yè)將個人數(shù)據(jù)文件泄露給未經(jīng)授權(quán)方。

鑒于美歐間密切的商業(yè)利益聯(lián)系，數(shù)據(jù)流動受阻已是彼此不可承受之重，美歐間緊急磋商，2016年2月即達成新的框架協(xié)議——《隱私盾協(xié)議》?！峨[私盾協(xié)議》由美國商務(wù)部和歐委會共同設(shè)計，同樣采取企業(yè)自愿加入的方式。針對《安全港協(xié)議》運行中暴露的缺陷，以及因應(yīng)歐盟數(shù)據(jù)保護制度的最新發(fā)展，《隱私盾協(xié)議》做了如下主要改進：其一，在調(diào)整范圍方面，除商業(yè)目的下的數(shù)據(jù)跨境流動，還納入了美歐間以國家安全為目的的個人數(shù)據(jù)傳輸。美國政府應(yīng)向歐盟提交書面承諾，確保美國執(zhí)法部門只在明確的權(quán)利范圍和監(jiān)管機制下才能審查來自歐盟的個人數(shù)據(jù)。其二，美國公司將承擔(dān)更多的數(shù)據(jù)保護義務(wù)，數(shù)據(jù)保護標(biāo)準(zhǔn)更加細致嚴格，美國公司在違反隱私盾下承諾的情形下，將有相應(yīng)的制裁機制追究責(zé)任。其三，在監(jiān)督執(zhí)行方面，《隱私盾協(xié)議》確立了聯(lián)合審查機制，美國商務(wù)部和歐盟委員會聯(lián)合監(jiān)督，確保協(xié)議的有效執(zhí)行。如果美國企業(yè)和政府未能履行其承諾，歐委會將暫停協(xié)議的運作。其四，在數(shù)據(jù)主體的救濟途徑方面，歐盟公民可以直接對加入?yún)f(xié)議的美國公司提起申訴，美國公司必須及時回應(yīng)該訴求。歐盟公民還可以向歐盟的數(shù)據(jù)監(jiān)管機構(gòu)提起申訴，由該機構(gòu)將申訴移交給美國商務(wù)部或聯(lián)邦貿(mào)易委員會，促使?fàn)幾h快速解決。歐盟公民還有權(quán)直接在美國法院提起訴訟?！峨[私盾協(xié)議》使美國和歐盟企業(yè)的業(yè)務(wù)活動重新獲得制度保障，目前已有超過2500家企業(yè)加入。

從《安全港協(xié)議》到《隱私盾協(xié)議》,個人數(shù)據(jù)保護的歐盟標(biāo)準(zhǔn)步步緊逼，美國則不斷妥協(xié)。在此過程中，歐盟不僅迫使美國企業(yè)提高數(shù)據(jù)保護標(biāo)準(zhǔn)，還一定程度上推動了美國制度環(huán)境的變化。例如，《安全港協(xié)議》失效后，美國加州通過了《電子通訊隱私法案》，禁止政府機構(gòu)強制要求商業(yè)機構(gòu)提供任何電子通訊信息，除非持有特殊情形下頒發(fā)的搜查令、竊聽許可、傳票等。為配合《隱私盾協(xié)議》的實施，2016年奧巴馬簽署了《司法救濟法案》，針對美國政府不當(dāng)披露個人信息的行為，歐洲公民有權(quán)依據(jù)《1974年隱私法案》在美國法院提起訴訟。2018年加州出臺《消費者隱私法案》(CCPA)，對企業(yè)提出了更多通知、披露義務(wù)，并針對數(shù)據(jù)泄露規(guī)定了法定損害賠償金，是美國州層面最嚴格的隱私立法，也被視為最具有GDPR色彩的美國隱私立法。當(dāng)然，美國并沒有根本改變其國內(nèi)的隱私立法導(dǎo)向和立法模式。即使是CCPA，其制度內(nèi)核仍體現(xiàn)出與歐盟制度的烙印差異，更加注重消費者保護的實際效果，以及與促進企業(yè)發(fā)展、技術(shù)創(chuàng)新之間的平衡。

(二)通過區(qū)域協(xié)議與歐盟爭奪話語權(quán)

美國作為全球數(shù)字經(jīng)濟的領(lǐng)頭羊，由歐盟引領(lǐng)全球數(shù)據(jù)保護立法不符合美國利益，美國借助其在亞太地區(qū)的政治經(jīng)濟影響力，試圖以區(qū)域協(xié)議的方式構(gòu)建符合自身利益的規(guī)制體系，從而獲得一定程度的話語權(quán)，在國際層面與歐盟制度相互抗衡、影響和融合。

在美國的倡導(dǎo)和推動下，亞太經(jīng)合組織于2005年通過《APEC隱私框架》，《框架》與歐盟的規(guī)制體系存在顯著差異?！犊蚣堋沸蜓灾须m然也確認了個人信息的隱私價值，但其并未將隱私權(quán)看作基本人權(quán)，其關(guān)注的重心是通過隱私保護增強消費者信心，通過統(tǒng)一規(guī)則促進數(shù)據(jù)跨境流動，從而實現(xiàn)促進亞太地區(qū)電子商務(wù)發(fā)展的目標(biāo)?！犊蚣堋芬蟪蓡T經(jīng)濟體采取“一切合理及適當(dāng)步驟避免和消除任何不必要的信息流動障礙”?！犊蚣堋反_立的一套信息隱私原則主要源于OECD1980年《隱私保護和個人數(shù)據(jù)跨境流通指南》的保護原則,明顯低于歐盟95年《指令》的保護標(biāo)準(zhǔn)。為推動《框架》的執(zhí)行，APEC于2011年出臺“跨境隱私規(guī)則”(CBPR)，為涉及數(shù)據(jù)跨境傳輸?shù)钠髽I(yè)提供了一個自愿認證系統(tǒng)。CBPR機制下，認證的核心是評估企業(yè)是否遵循《框架》規(guī)定的個人信息保護原則，通過認證的不同國家的不同公司，可以不受阻礙地相互傳輸數(shù)據(jù)。加入CBPR的成員方需要在國內(nèi)指定問責(zé)代理機構(gòu)并經(jīng)APEC認可。企業(yè)首先對其跨境數(shù)據(jù)流動的內(nèi)部政策進行自我評估，然后提交給問責(zé)代理機構(gòu)進行審查評估，通過評估被認證為CBPR遵守方，相關(guān)信息公布在認證目錄網(wǎng)站，問責(zé)代理機構(gòu)或本地的數(shù)據(jù)隱私機構(gòu)負責(zé)執(zhí)行和處理違規(guī)行為。CBPR機制的運行邏輯類似于歐盟的“有約束力的公司規(guī)則”(BCR)機制，即遵循一套統(tǒng)一隱私規(guī)則的企業(yè)之間可以跨國傳輸數(shù)據(jù)。為促進歐盟和亞太地區(qū)的個人數(shù)據(jù)流動，2012年APEC和歐盟成立聯(lián)合工作組，致力于CBPR和BCR兩個體系間的互通和融合。2014年工作組制定了“BCR和CBPR體系共同參考”，作為一個非正式的檢查清單，列舉了兩個體系在認證方面的共同要求和差異性。2015年聯(lián)合工作組表達了從執(zhí)行層面融合兩個體系的意向，擬合作制定企業(yè)同時加入兩個體系的聯(lián)合申請表。但是，由于兩個體系的顯著差異，CBPR以《框架》原則為基礎(chǔ)，BCR以《指令》和GDPR為基礎(chǔ)，CBPR的隱私保護標(biāo)準(zhǔn)明顯低于BCR，兩者的融合進展緩慢，至今未有實質(zhì)性的突破。

《APEC隱私框架》和CBPR是美國通過區(qū)域協(xié)議推行美式數(shù)據(jù)規(guī)制標(biāo)準(zhǔn)的最重要成果，但是，從運行實踐觀察，《框架》對APEC成員方?jīng)]有法律約束力，僅為推薦性標(biāo)準(zhǔn)，對該地區(qū)國家的數(shù)據(jù)隱私法并無實質(zhì)性影響。加入CBPR的有美國、日本、墨西哥、加拿大、韓國、新加坡、澳大利亞和中國臺北。其中一些國家尚未指定問責(zé)代理機構(gòu)或問責(zé)代理機構(gòu)仍在申請之中，因而這些國家還無法實際運行CBPR體系。真正開始運作CBPR的目前只有美國和日本。取得CBPR認證的企業(yè)目前僅24家，其中美國23家，日本1家。迄今為止美國通過APEC獲得的實際影響力非常有限。事實上，日本、墨西哥、韓國、加拿大、新加坡、澳大利亞等APEC成員方的國內(nèi)數(shù)據(jù)保護水平都在向歐盟95年《指令》，乃至GDPR靠攏，明顯超出APEC的保護水平。執(zhí)行CBPR則意味著這些國家和地區(qū)要實行“內(nèi)緊外松”的數(shù)據(jù)保護制度，即在國內(nèi)執(zhí)行較高水平的數(shù)據(jù)保護，而數(shù)據(jù)出境時第三國的數(shù)據(jù)接收方只要達到APEC的較低保護水平，就允許出境。這既不利于本國利益，也限制了國家主權(quán)，CBPR遇冷也就不足為奇。然而，美國仍在借助其政治經(jīng)濟影響力，積極游說和推動更多APEC成員方加入并執(zhí)行CBPR體系。

除此之外，美國還在其主導(dǎo)的自由貿(mào)易協(xié)定中推行促進數(shù)據(jù)自由流動的規(guī)則。2012年達成的美韓FTA，電子商務(wù)章中要求“各締約方應(yīng)盡量避免對電子信息跨境流動施加或維持不必要的壁壘”。從措辭看，該規(guī)定呈現(xiàn)原則性的特點，還不具有強制性約束力。金融服務(wù)章中的相關(guān)規(guī)定相對較為明確，“締約方應(yīng)準(zhǔn)許對方的金融機構(gòu)，出于正常業(yè)務(wù)活動的需要，以電子或其他形式傳送信息、進行跨境數(shù)據(jù)處理?！边@是美國在FTA中首次引入數(shù)據(jù)跨境流動規(guī)則，雖然只是框架性的初步規(guī)定，但它代表了美國今后FTA談判中的導(dǎo)向。2015年達成的TPP，第14章電子商務(wù)第8條規(guī)定了各締約方保護個人信息的義務(wù)，但是在注釋6中指出，締約方履行個人信息保護義務(wù)的方式包括諸如，“統(tǒng)一的隱私法、個人信息法或個人數(shù)據(jù)保護法，涵蓋隱私保護的特定部門法，監(jiān)督企業(yè)自愿進行隱私保護的法律。”該注釋以舉例列舉的方式非常寬泛地涵蓋了各種數(shù)據(jù)隱私保護模式，設(shè)置了很低的義務(wù)履行要求。電子商務(wù)章第11條又規(guī)定，各締約方應(yīng)允許個人信息跨境自由流動，除非出于正當(dāng)?shù)墓舱吣繕?biāo)。即使公共政策目標(biāo)包括個人信息保護，根據(jù)注釋6，只要一締約方采取了任何一種隱私保護模式，就應(yīng)當(dāng)被認為達到了個人信息保護要求，其他締約方就不應(yīng)當(dāng)限制個人信息向其傳輸。

不論是APEC框架下的CBPR體系，還是自由貿(mào)易協(xié)定中的數(shù)據(jù)流動規(guī)則，美國都在以較低水平的數(shù)據(jù)保護為基礎(chǔ)構(gòu)建有利于數(shù)據(jù)自由流動的跨境規(guī)則，旨在促進數(shù)據(jù)向美國流動。這和歐盟通過個人信息出境的“充分”保護要求促使全球數(shù)據(jù)保護水平向歐盟靠攏是背道而馳的。正因如此，歐盟在和美國開展的TTIP談判中一再聲稱：個人信息保護是基本人權(quán)，決不能在貿(mào)易談判中談沒了?？梢姎W盟是堅決杜絕TPP中上述類似條款的。雖然迄今為止，美國在區(qū)域協(xié)議中取得的實際成果極為有限，但是美歐間的博弈將是長期而激烈的。美國能否以APEC下的CBPR和自由貿(mào)易協(xié)定撬動歐盟的主導(dǎo)格局，拉低全球數(shù)據(jù)保護水平，還有待觀察。

四、中國當(dāng)前應(yīng)對GDPR的可行性措施

(一)現(xiàn)階段借鑒美國經(jīng)驗不具有可行性

2018年9月，我國的《個人信息保護法》列入立法規(guī)劃，目前尚處于討論階段。當(dāng)前，我國個人信息保護的法律依據(jù)是散見于公法和私法不同部門法中的相關(guān)規(guī)定，包括但不限于《民法總則》《侵權(quán)責(zé)任法》《網(wǎng)絡(luò)安全法》《電子商務(wù)法》《消費者權(quán)益保護法》等法律，《征信業(yè)管理條例》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》《網(wǎng)絡(luò)預(yù)約出租車經(jīng)營服務(wù)管理暫行辦法》等行政法規(guī)和部門規(guī)章。這些規(guī)定大都較為簡單、操作性不強，且規(guī)定分散、不成體系，規(guī)定之間缺乏聯(lián)系和相互支撐，甚至存在矛盾和混亂。由于立法不完善、私力救濟不足、行政監(jiān)管缺位，我國當(dāng)前的個人信息保護框架失衡，既不能為自然人提供充分的個人信息權(quán)利保障、也無力滿足市場對個人信息利用的合理需求，更因國際視野缺乏，無法在國際規(guī)則制定和跨境執(zhí)法中發(fā)揮應(yīng)有的作用。[5]以我國目前的個人信息保護狀況，我國不可能獲得歐盟的充分性認定。然而，中國企業(yè)在中歐商貿(mào)往來中，不論是銀行、金融、保險、醫(yī)療健康、航空等傳統(tǒng)企業(yè)，還是跨境電商、社交網(wǎng)絡(luò)、智能出行、智能家居等新興領(lǐng)域，都會面臨GDPR的合規(guī)挑戰(zhàn)。上述美國政府應(yīng)對歐盟數(shù)據(jù)立法的舉措，中國目前是否可以借鑒？

美歐政府間締結(jié)的《隱私盾協(xié)議》，是化解數(shù)字貿(mào)易壁壘、解決數(shù)據(jù)跨境流動最行之有效的途徑。美歐間能夠達成雙邊協(xié)議，有賴于四方面因素：一是美歐之間的經(jīng)濟依存度較高，美國是歐盟最大的出口國市場，且美國的互聯(lián)網(wǎng)公司在歐盟提供廣泛的服務(wù)?！栋踩蹍f(xié)議》失效后，歐洲委員會曾表明，美歐數(shù)據(jù)流動受阻可能會造成歐盟整體國民生產(chǎn)總值下降0.8%-1.3%。二是美歐之間長期以來的政治互信，《隱私盾協(xié)議》的內(nèi)容廣泛，還涉及反恐、洗錢、國家安全等敏感事項。三是美國強大的外部執(zhí)法威懾機制能夠有效約束信息控制者的行為。美國憲法、聯(lián)邦法律、州法對于個人信息都有相應(yīng)的保護規(guī)定，只是聯(lián)邦層面缺乏一部統(tǒng)一的適用于市場主體的個人信息保護法。美國聯(lián)邦貿(mào)易委員會、各州總檢察長、民事(集團)訴訟、國會監(jiān)督與媒體監(jiān)督及社會監(jiān)督等機制毫不亞于歐盟國家個人信息管理局的執(zhí)法力度。[6]P17四是美國為達成協(xié)議做出了更多的妥協(xié)。中國如果想仿效美國，與歐盟達成類似的雙邊協(xié)議，目前較為有利的因素是中歐之間密切的經(jīng)貿(mào)往來，中國是歐盟的第二大貿(mào)易伙伴，歐盟是中國的第一大貿(mào)易伙伴。但是，中國的互聯(lián)網(wǎng)企業(yè)國際化程度不高，歐盟市場對其沒有依賴。最為不利的因素是我國目前較低水平的個人信息保護，基礎(chǔ)性立法和標(biāo)準(zhǔn)較為匱乏、執(zhí)法監(jiān)督機制分散無力、救濟手段不足，與《隱私盾協(xié)議》的要求差距較大。在我國國內(nèi)法制作出改善之前，我國與歐盟達成類似雙邊協(xié)議尚不具備可行性，更遑論在區(qū)域和國際層面提出個人數(shù)據(jù)保護和數(shù)據(jù)流動的標(biāo)準(zhǔn)、參與國際規(guī)則制定。因而，政府的當(dāng)務(wù)之急是從國內(nèi)法層面加強個人信息保護立法和執(zhí)法體系的建設(shè)。

(二)構(gòu)建符合國際立法趨勢和我國現(xiàn)實需求的個人信息保護法

中國的數(shù)字經(jīng)濟規(guī)模僅次于美國，位列全球第二。全球市值最高的20家互聯(lián)網(wǎng)公司中，中國占據(jù)9席，僅次于美國的11席，但是，中國公司以本土化運營為主，其國際化程度遠不及美國公司。目前，我國企業(yè)有實力且有需求深度參與國際競爭，拓展海外市場，在全球數(shù)字經(jīng)濟的發(fā)展中謀求更廣闊的空間。歐盟引領(lǐng)的個人數(shù)據(jù)保護立法不斷提升全球數(shù)據(jù)保護水平和市場門檻，倒逼中國企業(yè)提高個人信息數(shù)據(jù)保護標(biāo)準(zhǔn)。另一方面，國內(nèi)近年來屢屢發(fā)生個人信息泄露和濫用事件，也需要建立有效機制約束個人信息控制者或處理者的行為，這既是保護我國個人權(quán)益的必要，也是增強消費者對互聯(lián)網(wǎng)線上服務(wù)的信心，深入發(fā)展數(shù)字經(jīng)濟的內(nèi)在要求。不可否認，我國較為寬松的個人信息保護政策，在過去十幾年間對我國互聯(lián)網(wǎng)企業(yè)和數(shù)字經(jīng)濟的迅猛發(fā)展發(fā)揮了助力作用，但是在目前的國內(nèi)外形勢下，我國應(yīng)當(dāng)適度提高個人信息保護水平。我國正處于個人信息保護法立法的關(guān)鍵時期，我國需要根據(jù)國際立法趨勢和國內(nèi)情況，合理構(gòu)建個人信息保護法，力求在數(shù)字經(jīng)濟發(fā)展、個人信息保護和國家安全間取得最佳平衡。

1.我國的個人信息保護法不宜盲目追隨歐盟的GDPR，但應(yīng)達到全球第一代個人信息保護法的標(biāo)準(zhǔn),同時吸收第二代和第三代個人信息保護法中的適宜因素。根據(jù)澳大利亞Graham Greenleaf教授的研究，全球個人信息保護法的演進歷經(jīng)三代：第一代以1980年OECD《指南》和1981年歐委會《108號公約》為代表，確立了個人信息保護法的基本內(nèi)容。目前，全球已經(jīng)有126個國家的立法達到了第一代保護標(biāo)準(zhǔn)，其中75個歐洲以外的國家。第二代以歐盟1995年《指令》為代表，在第一代的基礎(chǔ)上加入了更高保護標(biāo)準(zhǔn)的一些要求，如“數(shù)據(jù)最少夠用”、“數(shù)據(jù)刪除”、“獨立的個人數(shù)據(jù)保護機構(gòu)”等等。75個非歐洲國家立法的平均水平已經(jīng)至少滿足這些要求的一半以上。第三代以歐盟GDPR為代表，在第二代的基礎(chǔ)上進一步擴展了數(shù)據(jù)主體權(quán)利，如“被遺忘權(quán)”、“可攜權(quán)”，還增加了“企業(yè)設(shè)立數(shù)據(jù)保護官”、 “設(shè)計隱私”、“數(shù)據(jù)發(fā)生安全事故后及時通知”等要求。作為第一代個人信息保護法的標(biāo)志性立法文件近來也作出了與時俱進的修訂。2013年OECD修訂1980年《指南》時，保持其核心原則，但根據(jù)形勢的變化增加了部分原則的具體實施要求，如在落實責(zé)任原則時，增加了安全事故發(fā)生時的通知要求。2018年《108號公約》現(xiàn)代化的修訂版完成，重申并強化原有基本原則的同時，加入了GDPR的部分要素。

在歐盟立法的引領(lǐng)下，全球個人信息保護的實質(zhì)原則表現(xiàn)出相當(dāng)?shù)内呁?。第一代個人信息保護法的基本原則歷經(jīng)30多年的實踐檢驗，現(xiàn)在為國際社會成員普遍接受，體現(xiàn)了其合理性和穩(wěn)定性。因而，我國的個人信息保護法首先應(yīng)全面達到第一代個人信息保護法的標(biāo)準(zhǔn)，確立如下基本原則：信息收集限制原則、質(zhì)量原則、目的特定化原則、使用限制原則、安全保護原則、公開原則、個人參與原則、責(zé)任原則。第二代和第三代個人信息保護法中的新增要素需要逐一考察，對那些回應(yīng)了網(wǎng)絡(luò)發(fā)展新情況，實踐證明可行，又被許多國家普遍接受的要素，應(yīng)予以采納，例如敏感信息特別保護、安全事故發(fā)生后的報告和通知要求等。GDPR實施剛滿一年，其諸多新規(guī)則的現(xiàn)實效果和可操作性、其對數(shù)字經(jīng)濟的深層影響、其對技術(shù)發(fā)展的適應(yīng)性等，都還有待觀察。即使在歐盟數(shù)據(jù)保護法的發(fā)源地德國，對GDPR仍存在很多批評。甚至有觀點認為，GDPR存在結(jié)構(gòu)性缺陷以及實施層面的巨大挑戰(zhàn)，需要實質(zhì)性地改變和完善。況且，深化發(fā)展數(shù)字經(jīng)濟是我國目前擴展經(jīng)濟發(fā)展新空間的重要戰(zhàn)略，GDPR嚴苛的數(shù)據(jù)保護義務(wù)對數(shù)據(jù)控制者或處理者施加了很重的負擔(dān)，會抑制數(shù)字經(jīng)濟發(fā)展的活力，我國不宜全面借鑒GDPR。

2.個人數(shù)據(jù)出境規(guī)則的設(shè)計應(yīng)兼顧安全和發(fā)展，根據(jù)數(shù)據(jù)的不同性質(zhì)采取不同的監(jiān)管路徑。我國立法對個人數(shù)據(jù)出境采取嚴格的本地化存儲和出境安全評估機制進行管控。2017年6月開始實施的《網(wǎng)絡(luò)安全法》第37條規(guī)定，“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定辦法進行安全評估。法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。”2017年4月國家網(wǎng)信辦發(fā)布的《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》同樣遵循境內(nèi)存儲和出境安全評估原則，但其適用的義務(wù)主體范圍更廣，不限于“關(guān)鍵基礎(chǔ)設(shè)施的運營者”，而是包含所有“網(wǎng)絡(luò)運營者”在我國境內(nèi)“收集和產(chǎn)生的個人信息和重要數(shù)據(jù)”。安全評估根據(jù)出境數(shù)據(jù)的數(shù)量、類型和重要程度等分為網(wǎng)絡(luò)運營者自評估和政府部門評估兩種機制。這一立法取向，將幾乎所有個人信息數(shù)據(jù)廣泛納入境內(nèi)存儲和出境安全評估范圍，體現(xiàn)出強化數(shù)據(jù)主權(quán)和政府管控的意圖。

《評估辦法》設(shè)置了非常全面的評估內(nèi)容，但缺乏明確的評估合格標(biāo)準(zhǔn)。評估內(nèi)容涵蓋個人信息和重要數(shù)據(jù)的基本情況、數(shù)據(jù)主體是否同意、數(shù)據(jù)接收方的保護水平、數(shù)據(jù)出境后的各種風(fēng)險等方面。其中關(guān)于信息數(shù)據(jù)的基本情況和數(shù)據(jù)主體的同意較為容易判定，但是，數(shù)據(jù)接收方的保護水平和數(shù)據(jù)出境后的風(fēng)險審查沒有客觀標(biāo)準(zhǔn)，增加了評估的難度和不確定性。歐盟的數(shù)據(jù)跨境流動規(guī)則主要是對數(shù)據(jù)接收國的相關(guān)法律和執(zhí)法機制，以及數(shù)據(jù)接收方的保護水平進行評估，以歐盟的數(shù)據(jù)保護水平為參照標(biāo)準(zhǔn)，屬于資格審查，一旦通過認定就可以在相對穩(wěn)定且可預(yù)見的環(huán)境下跨境傳輸數(shù)據(jù)。我國《評估辦法》沒有規(guī)定數(shù)據(jù)接收國或接收方必須提供與我國個人信息保護法相同的水平，這使得對接收方保護能力的認定沒有實質(zhì)標(biāo)準(zhǔn)。此外，評估內(nèi)容中關(guān)于數(shù)據(jù)出境后可能面臨的各方面風(fēng)險的審查，對開展評估的網(wǎng)絡(luò)運營者和政府監(jiān)管機構(gòu)的信息收集和評估能力都提出了較高要求，而且，由于沒有統(tǒng)一標(biāo)準(zhǔn)，不同評估者對相同情況下的風(fēng)險評估結(jié)果可能不一致。面面俱到又缺乏明確標(biāo)準(zhǔn)的評估要求，不能為市場主體營造穩(wěn)定可預(yù)期的數(shù)據(jù)流動法律環(huán)境，并增加其合規(guī)成本。當(dāng)然，這使得政府對個人數(shù)據(jù)出境審查有更大的裁量權(quán)和話語權(quán)。

從《評估辦法》看，我國目前偏重于通過政府的嚴格監(jiān)管，高度維護數(shù)據(jù)主權(quán)和數(shù)據(jù)出境的安全。但是，從數(shù)字經(jīng)濟發(fā)展的角度看，會造成市場主體不必要的負擔(dān)，嚴重阻礙數(shù)據(jù)跨境傳輸，而且容易招致其他國家的對等措施，影響數(shù)字貿(mào)易的健康發(fā)展。《評估辦法》尚在征求意見階段，我國個人數(shù)據(jù)出境規(guī)則的構(gòu)建應(yīng)當(dāng)力求在安全和發(fā)展的需求間取得平衡。首先，應(yīng)當(dāng)區(qū)分數(shù)據(jù)的不同性質(zhì)，有針對性地對其跨境流動采用不同的管理路徑。對一般個人數(shù)據(jù)出境進行監(jiān)管的政策目標(biāo)是保護公民隱私和公民的個人信息自決權(quán)利。對重要數(shù)據(jù)和敏感數(shù)據(jù)出境進行管控的政策目標(biāo)是保護國家安全和公共利益。不同政策目標(biāo)下，數(shù)據(jù)出境的制度設(shè)計和管控措施都應(yīng)當(dāng)不一樣。第二，重要數(shù)據(jù)和敏感數(shù)據(jù)，因其涉及國家安全和公共利益等更重大的利益，應(yīng)當(dāng)由政府直接進行嚴格監(jiān)管，要求本地化存儲，并且由政府介入具體情境下的出境評估。第三，對一般個人數(shù)據(jù)，可以參照歐盟的數(shù)據(jù)流動監(jiān)管模式，重點評估數(shù)據(jù)接收國的個人數(shù)據(jù)保護法律環(huán)境和數(shù)據(jù)接收企業(yè)的個人信息保護機制是否完善，GDPR中的充分性認定制度、標(biāo)準(zhǔn)合同機制等都可資借鑒。同時，對境外數(shù)據(jù)接收方個人數(shù)據(jù)保護水平的評估標(biāo)準(zhǔn)也應(yīng)明確以我國國內(nèi)法的保護水平為準(zhǔn)，前提是我國統(tǒng)一的《個人信息保護法》盡快出臺。這種監(jiān)管模式下，政府依據(jù)明確的標(biāo)準(zhǔn)對境外接收方事先進行資格審查，可以為市場提供穩(wěn)定預(yù)期，降低評估成本，同時也達到了保護個人信息權(quán)利的目的。以此為基礎(chǔ)，我國還可以同其他國家達成相互認證個人數(shù)據(jù)保護水平的協(xié)議，促進數(shù)據(jù)的雙向流動和數(shù)字經(jīng)濟的發(fā)展。

3. 設(shè)置權(quán)威的個人信息保護執(zhí)法機構(gòu)，改變執(zhí)法分散低效的現(xiàn)狀。我國統(tǒng)一的《個人信息保護法》尚未出臺，涉及個人信息保護方面的法律呈碎片化狀態(tài)，監(jiān)管執(zhí)法也較為分散。根據(jù)我國現(xiàn)行制度，嚴重侵犯個人信息的犯罪行為依靠公安和司法部門進行刑事打擊，其余一般侵犯個人信息的情形主要由行業(yè)主管部門進行監(jiān)督執(zhí)法，包括網(wǎng)信辦、工信部、市場監(jiān)管局，以及金融、醫(yī)療等專門領(lǐng)域的主管部門。多頭分散的管理體制造成各主管部門職責(zé)不明確，一方面在職責(zé)交叉的領(lǐng)域容易造成重復(fù)執(zhí)法、競爭性執(zhí)法，或者互相推諉，另一方面還可能存在監(jiān)管的真空地帶。2019年1月，中央網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局四部門聯(lián)合發(fā)布關(guān)于開展APP違法違規(guī)收集使用個人信息專項治理的公告。此后，2019年3月，市場監(jiān)管局和中央網(wǎng)信辦發(fā)布關(guān)于開展APP安全認證工作的公告，這兩部門將組織開展APP安全認證，指定中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心為認證機構(gòu)，并頒布《移動互聯(lián)網(wǎng)應(yīng)用程序(APP)安全認證實施規(guī)則》。2019年6月28日，工信部辦公廳印發(fā)《電信和互聯(lián)網(wǎng)行業(yè)提升網(wǎng)絡(luò)數(shù)據(jù)安全保護能力專項行動方案》的通知，在“深化APP違法違規(guī)專項治理”部分，提出“組織第三方評測機構(gòu)開展APP安全滾動式評測，對在網(wǎng)絡(luò)安全和用戶信息保護方面存在違法違規(guī)行為的APP及時進行下架和公開曝光”，以及“引導(dǎo)第三方機構(gòu)開展APP數(shù)據(jù)安全管理認證”。據(jù)此文件，工信部也準(zhǔn)備組織測評和評估，但是，通知中沒有明確第三方評測和認證機構(gòu)是何機構(gòu)，也沒有說明此認證與網(wǎng)信辦和市場監(jiān)管局3月發(fā)布的認證規(guī)則、指定的認證機構(gòu)是否存在聯(lián)系。工信部的通知后續(xù)如何操作也不明確，如果部門間能夠協(xié)調(diào)一致、分工合作當(dāng)然最好，如果都要爭奪APP安全評估工作的主導(dǎo)權(quán)，則會造成資源浪費、增加企業(yè)負擔(dān)。標(biāo)準(zhǔn)不統(tǒng)一，最終損害執(zhí)法機關(guān)的權(quán)威性，這也正是分散執(zhí)法的弊端。

歐盟GDPR中關(guān)于個人數(shù)據(jù)跨境流動的“充分性認定”機制，在評估數(shù)據(jù)接收國個人信息保護的法律環(huán)境時，其中一項重要因素就是要求設(shè)立獨立且有效運行的個人信息保護監(jiān)管機構(gòu)，監(jiān)管機構(gòu)有充分的執(zhí)法權(quán)，并與歐盟成員國的監(jiān)管機構(gòu)進行合作。受歐盟立法影響，很多國家都設(shè)置了專門的個人信息保護機構(gòu)。例如，日本在2015年修改《個人信息保護法》之后，2016年1月設(shè)立了個人信息保護委員會，由內(nèi)閣總理大臣直屬管轄，獨立行使職權(quán)，負責(zé)監(jiān)督執(zhí)法、處理投訴、制定規(guī)范性文件、進行國際合作等事項。APEC“跨境隱私規(guī)則”體系也要求加入方在國內(nèi)指定“問責(zé)代理機構(gòu)”，由問責(zé)代理機構(gòu)或數(shù)據(jù)隱私機構(gòu)負責(zé)執(zhí)行和處理違規(guī)行為。由此可見，世界主要國家和國際組織的個人數(shù)據(jù)跨境流動制度在評估接受國個人信息保護水平時，個人信息保護機構(gòu)的執(zhí)法能力已成為一項必要考察因素。

大數(shù)據(jù)時代，數(shù)據(jù)大規(guī)模、頻繁傳輸已成常態(tài)，對個人信息保護執(zhí)法提出了更高要求。我國目前多頭混治的管理體制，不能提供高效、及時的個人信息保護。我國應(yīng)當(dāng)設(shè)置權(quán)威機構(gòu)進行統(tǒng)一監(jiān)管，可以考慮由國家網(wǎng)信部門承擔(dān)這一職責(zé)，同時，在金融、醫(yī)療等特殊專業(yè)領(lǐng)域，其主管部門在網(wǎng)信部門的指導(dǎo)和監(jiān)督下履行其職責(zé)范圍內(nèi)的個人信息保護職責(zé)。設(shè)置統(tǒng)一、職責(zé)明確的個人信息保護執(zhí)法機構(gòu)，提高執(zhí)法水平，不僅有利于保障我國公民的合法權(quán)益，還可以提高我國在個人信息保護方面的國際形象，為我國參加個人數(shù)據(jù)跨境流動的雙邊和區(qū)域機制提供制度支持。

綜上所述，以貿(mào)易壁壘的角度考察GDPR，并非否定其人權(quán)保護的的立場和積極作用，而是從其對數(shù)字貿(mào)易的實際效果出發(fā)，探討其制度設(shè)計的影響和可能的因應(yīng)。歐盟憑借其統(tǒng)一大市場和高超的立法水平，在個人數(shù)據(jù)保護領(lǐng)域保持著持續(xù)輸出制度的影響力。越來越多歐盟以外國家和地區(qū)的個人數(shù)據(jù)保護法向95年《指令》標(biāo)準(zhǔn)乃至GDPR標(biāo)準(zhǔn)靠攏。非洲等新興市場國家也開始積極仿效歐盟的數(shù)據(jù)立法。因個人數(shù)據(jù)保護產(chǎn)生的市場壁壘，也會在其他地區(qū)日益凸顯。美國作為全球互聯(lián)網(wǎng)產(chǎn)業(yè)和數(shù)字經(jīng)濟的領(lǐng)頭羊，其個人數(shù)據(jù)保護立法的理念和路徑與歐盟大相徑庭。美國試圖通過區(qū)域協(xié)議，提出符合美國利益的較低標(biāo)準(zhǔn)的個人數(shù)據(jù)保護和跨境流動規(guī)則，以此抗衡歐盟的制度引領(lǐng)，然而迄今為止影響有限。但是，美歐間能夠通過有效的雙邊協(xié)議達成妥協(xié)，在很大程度上化解歐盟數(shù)據(jù)立法產(chǎn)生的壁壘。相比之下，中國則相當(dāng)被動，目前無法從雙邊或區(qū)域?qū)用嫣岢鲇行Ы鉀Q方案，這對中國企業(yè)深度參與全球數(shù)字經(jīng)濟競爭非常不利。中國亟待完善相關(guān)國內(nèi)法，出臺符合我國現(xiàn)實需求的個人信息保護法，適當(dāng)提高個人信息保護標(biāo)準(zhǔn)，設(shè)計兼顧安全與發(fā)展的個人信息數(shù)據(jù)出境規(guī)則，設(shè)置權(quán)威的個人信息保護執(zhí)法機構(gòu)。以此為基礎(chǔ)，我國才可能對外談判雙邊條約，在區(qū)域和多邊談判中提出中國立場，參與數(shù)字經(jīng)濟時代個人數(shù)據(jù)保護國際規(guī)則的構(gòu)建。

注釋：

① Tony Romn. France fines Google nearly $57 million for first major violation of new European privacy regime[N]. The Washington Post. 21 Jan 2019.

② 《歐盟基本權(quán)利憲章》第8條“個人數(shù)據(jù)保護”規(guī)定：人人均有權(quán)享有個人數(shù)據(jù)的保護。個人有權(quán)了解并更正被收集的個人數(shù)據(jù)。個人數(shù)據(jù)處理只能基于特定目的，且經(jīng)數(shù)據(jù)主體同意或依法律的其他規(guī)定公正進行。

③ 《108號公約》全稱《個人數(shù)據(jù)自動化處理中的個人保護公約》，1981年由歐洲委員會頒布，是歐洲數(shù)據(jù)立法的奠基性法案，確立了數(shù)據(jù)保護的基本原則和框架，但公約為非自動執(zhí)行條約，需成員國國內(nèi)立法實施。

④ 《數(shù)據(jù)保護指令》全稱《歐洲議會和歐盟理事會1995年10月24日與個人數(shù)據(jù)處理有關(guān)的個人保護以及此類數(shù)據(jù)的自由流動指令》。該指令對個人數(shù)據(jù)處理合法性的一般原則、司法救濟、向第三國轉(zhuǎn)移個人數(shù)據(jù)、監(jiān)管機構(gòu)和執(zhí)行措施等進行了規(guī)定。歐盟要求成員國都制定各自的數(shù)據(jù)保護法，且必須達到指令要求的保護程度。

⑤ 2015年歐盟委員會啟動《數(shù)字化單一市場戰(zhàn)略》，旨在通過采取一系列措施消除法律和監(jiān)管障礙，增進成員國間的合作與交流，將28個成員國市場打造成為一個統(tǒng)一的數(shù)字市場，共同推動歐盟數(shù)字經(jīng)濟的發(fā)展。

⑥ Wilbur Ross. EU data privacy laws are likely to create barriers to trade[N]. Financial Times. 30 May 2018.

⑦ 歐盟數(shù)據(jù)保護條例生效，小米智能燈Yeelight不滿足GDPR將停止服務(wù)[N].搜狐網(wǎng).2018-5-24. http://www.sohu.com/a/232805384_127714.

⑧ Tobias Buck. Mobike faces probe by Berlin data protection regulator[N].Financial Times.10 Dec 2018.

⑨ See Mary Meeker’s 2018 Internet Trend Report[R]. 30 May 2018.

⑩ See UNCTAD. World Investment Report 2017-Inverment and the Digital Economy[R]. http://unctad.org/en/PublicationsLibrary/wir2017_en.pdf.