美歐跨境數(shù)據(jù)流動規(guī)則博弈及中國因應(yīng)

黃志雄 韋欣妤

基金項(xiàng)目：國家社會科學(xué)基金重大項(xiàng)目“網(wǎng)絡(luò)空間國際規(guī)則博弈的中國主張與話語權(quán)研究”（20&ZD204）。

黃志雄，武漢大學(xué)國際法研究所教授，武漢大學(xué)網(wǎng)絡(luò)治理研究院研究員，博士生導(dǎo)師，教育部青年長江學(xué)者。

①本文中，“跨境數(shù)據(jù)流動”是指“個人數(shù)據(jù)跨境流動”。

②Robert Walters， Leon Trakman and Bruno Zeller， Data Protection Law： A Comparative Analysis of Asia-Pacific and European Approaches， Springer， 2019， p.427.

③Susan Ariel Aaronson， Patrick Leblond， “Another Digital Divide： The Rise of Data Realms and Its Implications for the WTO”， Journal of International Economic Law， 2018， 21， p.272.

④Clare Sullivan， “EU GDPR or APEC CBPR？ A Comparative Analysis of the Approach of the EU and APEC to Cross Border Data Transfers and Protection of Personal Data in the IoT Era”， Computer Law & Security Review， 2019（35）， p.397.

⑤劉宏松、程海燁：《跨境數(shù)據(jù)流動的全球治理——進(jìn)展、趨勢與中國路徑》，《國際展望》，2020年第6期，第78頁。

目前，國際社會尚未就跨境數(shù)據(jù)流動規(guī)則達(dá)成共識，美國和歐盟在相關(guān)規(guī)則制定中占據(jù)領(lǐng)先優(yōu)勢，但二者采取了不同的立法模式和標(biāo)準(zhǔn)，存在難以彌合的分歧。為此，美歐在過去20年中持續(xù)開展了多輪博弈，2020年7月歐盟法院關(guān)于美國無法為歐盟的個人數(shù)據(jù)提供充分保護(hù)、美歐《隱私盾協(xié)議》無效的判決，正是這一博弈的最新體現(xiàn)。該判決對于歐盟重新奪回技術(shù)主權(quán)以及美歐跨境數(shù)據(jù)流動合作和規(guī)則博弈都將產(chǎn)生不可忽視的影響。同時，這一判決所推動的跨境數(shù)據(jù)流動規(guī)則博弈態(tài)勢對我國利弊并存。我國應(yīng)著眼于國家安全、數(shù)據(jù)隱私保護(hù)和經(jīng)濟(jì)發(fā)展的平衡，積極推動現(xiàn)有跨境數(shù)據(jù)流動國內(nèi)立法的完善，并通過加入現(xiàn)有的區(qū)域性隱私框架等措施積極提升“中國模式”的國際影響力。

跨境數(shù)據(jù)流動; 隱私盾協(xié)議; 美歐博弈; 規(guī)則制定

D99A003113

2020年7月16日，歐盟法院作出判決，認(rèn)定歐盟與美國之間關(guān)于跨境數(shù)據(jù)傳輸?shù)摹峨[私盾協(xié)議》無效，從而使美國公司無法繼續(xù)通過該協(xié)議將歐盟的個人數(shù)據(jù)傳輸?shù)矫绹?。這一判決是美歐在跨境數(shù)據(jù)流動規(guī)則領(lǐng)域持續(xù)爭奪和博弈的最新體現(xiàn)。盡管雙方正在努力圍繞后續(xù)安排進(jìn)行磋商，但迄今為止前景仍不明朗。

國外學(xué)者對跨境數(shù)據(jù)流動①國際規(guī)則進(jìn)行了較多的研究。羅伯特·沃爾特斯（Robert Walters）等人指出，跨境數(shù)據(jù)流動的“法律協(xié)調(diào)和法律趨同不僅可以由國際機(jī)構(gòu)推動形成，還可以因跨法域移植法律原則而推動形成”②。帕特里克·勒布隆（Patrick Leblond）等人認(rèn)為，美國、歐盟和中國這三個數(shù)據(jù)巨頭使用了不同的數(shù)據(jù)治理方法，與其他規(guī)則制定者之間形成了數(shù)字鴻溝，這給WTO帶來了挑戰(zhàn)，也帶來了機(jī)遇。③克萊爾·沙利文（Clare Sullivan）進(jìn)一步分析了歐盟主導(dǎo)的GDPR模式和美國主導(dǎo)的CBPR模式，認(rèn)為GDPR模式更適合物聯(lián)網(wǎng)時代并將繼續(xù)確立國際數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)。④

國內(nèi)學(xué)界對跨境數(shù)據(jù)流動國際規(guī)則博弈的研究相對較少，既有文獻(xiàn)多探討國內(nèi)跨境數(shù)據(jù)流動規(guī)則的制定問題。劉宏松、程海燁指出：“跨境數(shù)據(jù)流動的全球治理呈現(xiàn)兩個發(fā)展趨勢，一是規(guī)制多極化和規(guī)制標(biāo)準(zhǔn)的俱樂部化，二是美歐將繼續(xù)爭奪跨境數(shù)據(jù)流動規(guī)制的主導(dǎo)權(quán)。”⑤曹杰、王晶對《隱私盾協(xié)議》《安全港協(xié)議》和TPP協(xié)議進(jìn)行了對比研究。曹杰、王晶：《跨境數(shù)據(jù)流動規(guī)則分析——以歐美隱私盾協(xié)議為視角》，《國際經(jīng)貿(mào)探索》，2017年第4期，第110112頁。但是，這些研究都沒有結(jié)合歐盟法院關(guān)于《隱私盾協(xié)議》無效的判決對美歐跨境數(shù)據(jù)流動規(guī)則博弈的最新態(tài)勢和影響加以深入分析。

因此，本文的主要研究問題是：在美國和歐盟圍繞跨境數(shù)據(jù)流動規(guī)則的博弈不斷加劇的背景下，歐盟法院關(guān)于《隱私盾協(xié)議》無效的判決有哪些值得關(guān)注之處，將對美歐博弈造成何種影響？以這一判決為視角，中國應(yīng)當(dāng)如何提升在跨境數(shù)據(jù)流動國際規(guī)則制定中的話語權(quán)和影響力？

一、 跨境數(shù)據(jù)流動規(guī)則制定中的美歐博弈

在數(shù)字經(jīng)濟(jì)時代，跨境數(shù)據(jù)流動對國際貿(mào)易至關(guān)重要。麥肯錫全球研究院（MGI）發(fā)布的《數(shù)字全球化：全球流動的新時代》報告指出，傳統(tǒng)的商品、服務(wù)貿(mào)易和資金流動已經(jīng)趨于平緩，但跨境數(shù)據(jù)流動正大幅增長，對全球經(jīng)濟(jì)增長的貢獻(xiàn)已經(jīng)超過了傳統(tǒng)的貨物貿(mào)易。McKinsey Global Institute （MGI）， “Digital Globalization： The New Era of Global Flows”， https：//www.mckinsey.com/～/media/McKinsey/Business%20Functions/McKinsey%20Digital/Our%20Insights/Digital%20globaliz ation%20The%20new%20era%20of%20global%20flows/MGI-Digital-globalization-Full-report.pdf， March 2016， p.2， p.24， p.75.跨境數(shù)據(jù)流動日益成為國際社會高度關(guān)注的一個重要議題，如何通過掌握規(guī)則制定權(quán)使本國獲得更多的數(shù)據(jù)資源，尤其成為各國關(guān)注的焦點(diǎn)。

從數(shù)據(jù)的自身屬性來看，數(shù)據(jù)的生命在于流動，沒有流動性的數(shù)據(jù)是沒有價值的。阿里研究院：《數(shù)據(jù)生產(chǎn)力崛起：新動能 新治理》，2020年9月5日，第170頁。數(shù)據(jù)需要被靈活使用，數(shù)據(jù)在不斷被消化、處理、產(chǎn)生增值服務(wù)的同時又能產(chǎn)生更多的數(shù)據(jù)，從而形成數(shù)據(jù)回流。曾鳴：《智能商業(yè)》，中信出版集團(tuán)，2018年，第5859頁。在經(jīng)濟(jì)全球化的今天，數(shù)據(jù)流動往往也是全球性的?？缇硵?shù)據(jù)流動使企業(yè)可以直接對接國際客戶，拓寬國際市場。

但是，跨境數(shù)據(jù)流動伴隨著個人數(shù)據(jù)隱私保護(hù)的難題，因?yàn)槌鼍澈蟮臄?shù)據(jù)監(jiān)管難度顯著增加，數(shù)據(jù)主體本文所討論的數(shù)據(jù)主體是指任何已識別或可識別的自然人。一個可識別的自然人是一個能夠被直接或間接識別的個體，特別是通過諸如姓名、身份編號、地址數(shù)據(jù)、網(wǎng)上標(biāo)識或者自然人所特有的一項(xiàng)或多項(xiàng)的身體性、生理性、遺傳性、精神性、經(jīng)濟(jì)性、文化性或社會性身份而被識別的個體。參見GDPR第4條第1款。對數(shù)據(jù)的掌控力也大大削弱，個人數(shù)據(jù)（例如個人的政治觀點(diǎn)、通話記錄和社交賬號等）一旦被非法獲取、泄露和濫用，將導(dǎo)致嚴(yán)重的后果。這就表明，個人數(shù)據(jù)保護(hù)已成為一個不可規(guī)避的全球性問題。當(dāng)然，過于嚴(yán)格的數(shù)據(jù)隱私保護(hù)模式將成為阻礙數(shù)據(jù)流動的壁壘，使企業(yè)面臨巨大的法律風(fēng)險，用戶也無法享受數(shù)據(jù)流動帶來的便利。

美國和歐盟同為發(fā)達(dá)經(jīng)濟(jì)體，其信息通信技術(shù)及產(chǎn)業(yè)發(fā)展水平卻有著較大差異。美國是這一領(lǐng)域的全球領(lǐng)跑者，2019年《全球云基礎(chǔ)設(shè)施服務(wù)市場排行》顯示，美國的亞馬遜、微軟和谷歌公司分別是全球排名前三的云服務(wù)提供商。Canalys， “Global Cloud Infrastructure Market Q4 2019 and Full Year 2019”， https：//www.canalys.com/newsroom/canalys-worldwide-cloud-infrastructure-Q4-2019-and-full-year-2019， 20200204.歐盟的數(shù)字技術(shù)發(fā)展遠(yuǎn)遠(yuǎn)落后于美國和中國，中美占全球70個最大數(shù)字平臺市值的90%，而歐洲所占份額僅為4%。United Nations， “Digital Economy Report 2019， Value Creation and Capture： Implications for Developing Countries”， https：//unctad.org/system/files/official-document/der2019_en.pdf， p.xvi.歐盟高度依賴外部云服務(wù)提供商，缺乏數(shù)據(jù)處理和大數(shù)據(jù)分析能力。European Commission， “A European Strategy for Data”， https：//ec.europa.eu/info/sites/info/files/communication-european-strategy-data-19feb2020_en.pdf， 20200219， pp.911.因此，在美歐跨境數(shù)據(jù)傳輸中，由于美國擁有技術(shù)優(yōu)勢，大量歐盟數(shù)據(jù)流向美國。例如，2012年6月，微軟Hotmail、谷歌Gmail和雅虎Mail來自歐洲國家的獨(dú)立訪客總數(shù)超過2.27億，超過了所有其他供應(yīng)商。2012年3月，訪問臉書和臉書手機(jī)版的獨(dú)立歐洲用戶總數(shù)為1.965億，這使臉書成為歐洲最大的社交網(wǎng)絡(luò)。參見European Commission， “Rebuilding Trust in EU-US Data Flows”， https：//eur-lex.europa.eu/legal-content/EN/TXT/？uri=CELEX%3A52013DC0846， 20131127， p.3。這一態(tài)勢決定了美國和歐盟對跨境數(shù)據(jù)流動隱私保護(hù)采取了不同的立法模式和標(biāo)準(zhǔn)。

美國沒有制定統(tǒng)一的個人信息保護(hù)法典，而是在《兒童在線隱私保護(hù)法》《健康保險攜帶和責(zé)任法案》等不同領(lǐng)域的立法中分別加以規(guī)定。這一模式可以避免因“一刀切”而對企業(yè)施加過多的限制，減少立法干預(yù)，以便充分發(fā)揮技術(shù)優(yōu)勢。同時，美國確立了重數(shù)據(jù)自由流動而輕政府監(jiān)管的路徑，奉行以市場為主導(dǎo)、以行業(yè)自律為中心的信息隱私政策?？琢罱埽骸秱€人資料隱私的法律保護(hù)》，武漢大學(xué)出版社，2009年，第145頁。該模式對個人數(shù)據(jù)隱私保護(hù)的力度較小，認(rèn)證門檻相對較低，有利于促進(jìn)數(shù)據(jù)自由流動。以美國主導(dǎo)建立的亞太經(jīng)合組織（APEC）跨境隱私規(guī)則體系為例，企業(yè)以自愿為原則，通過自我評估和問責(zé)代理機(jī)構(gòu)評估后即可獲得認(rèn)證，獲得認(rèn)證的企業(yè)相互之間可以自由傳輸數(shù)據(jù)，其實(shí)質(zhì)是強(qiáng)制加入國放棄其國內(nèi)的高保護(hù)水平，轉(zhuǎn)而認(rèn)同美國較低的保護(hù)水平。洪延青：《美國快速通過CLOUD法案 明確數(shù)據(jù)主權(quán)戰(zhàn)略》，《中國信息安全》，2018年第4期，第35頁。此外，根據(jù)2018 年頒布的《澄清境外數(shù)據(jù)合法使用法案》（CLOUD法案），美國通過“數(shù)據(jù)控制者標(biāo)準(zhǔn)”對境外數(shù)據(jù)確立了“長臂管轄權(quán)”，使美國政府可以合法地批量獲取來自全球的數(shù)據(jù)。概言之，美國模式具有強(qiáng)烈的保護(hù)企業(yè)商業(yè)利益的色彩和自由市場體制特征，政府監(jiān)管力度小，對個人數(shù)據(jù)的隱私保護(hù)較為寬松，這降低了進(jìn)行數(shù)據(jù)跨境流動的門檻，有利于使全球跨境數(shù)據(jù)最大程度地流向美國。

與之相對的是，歐盟極為強(qiáng)調(diào)個人數(shù)據(jù)流動中的隱私權(quán)保護(hù)，確立了統(tǒng)一的、系統(tǒng)化的立法模式，將權(quán)利明確賦予數(shù)據(jù)主體，強(qiáng)調(diào)政府自上而下的監(jiān)管作用。1995年，歐洲議會與歐盟理事會頒布了《關(guān)于涉及個人數(shù)據(jù)處理的個人保護(hù)以及此類數(shù)據(jù)自由流動的第95/46/EC號指令》（簡稱《個人數(shù)據(jù)保護(hù)指令》），明確規(guī)定成員國應(yīng)當(dāng)保護(hù)與個人數(shù)據(jù)處理相關(guān)的隱私權(quán)。2000年歐盟頒布的《歐洲聯(lián)盟基本權(quán)利憲章》是全球第一份將數(shù)據(jù)保護(hù)列為一項(xiàng)基本人權(quán)的法律文件。Robert Walters， Leon Trakman and Bruno Zeller， Data Protection Law： A Comparative Analysis of Asia-Pacific and European Approaches， Springer， 2019， p.47.2018年5月25日，歐盟又通過了《通用數(shù)據(jù)保護(hù)條例》（GDPR），使之取代《個人數(shù)據(jù)保護(hù)指令》成為歐盟對個人數(shù)據(jù)保護(hù)問題的統(tǒng)一立法，通過賦予數(shù)據(jù)主體更多權(quán)利、對數(shù)據(jù)控制者實(shí)施更加嚴(yán)格的限制以及成員國全面遵守該條例并轉(zhuǎn)化為國內(nèi)法加以實(shí)施的義務(wù)，進(jìn)一步加強(qiáng)了對公民數(shù)據(jù)和隱私的保護(hù)。

根據(jù)歐盟相關(guān)立法，個人數(shù)據(jù)可通過三種方式傳輸出境：其一，當(dāng)?shù)谌龂鴮W盟個人數(shù)據(jù)的保護(hù)水平實(shí)質(zhì)上等同于歐盟內(nèi)部確保的保護(hù)水平時，由歐盟委員會通過一個“充分性決定”（Adequacy Decision）認(rèn)定該國已達(dá)到充分保護(hù)標(biāo)準(zhǔn)，允許將歐盟公民的個人數(shù)據(jù)傳輸給該國。參見GDPR第44條、第45條第1款、第101條和第104條。“充分性決定”是一個白名單機(jī)制，目前僅有13個國家（或司法管轄權(quán)）獲得認(rèn)證，包括安道爾、阿根廷、加拿大（僅限商業(yè)組織）、法羅群島、根西島、以色列、馬恩島、澤西島、新西蘭、瑞士、烏拉圭、美國（如果數(shù)據(jù)接受者適用《隱私盾協(xié)議》）、日本（2019年1月，歐日達(dá)成個人數(shù)據(jù)跨境傳輸充分性框架）。另外，歐盟與韓國之間的充分性決定談判于2021年3月30日結(jié)束，歐盟委員會將在歐盟內(nèi)部的相應(yīng)程序完成后正式做出針對韓國的充分性決定。其二，通過“標(biāo)準(zhǔn)合同條款”和“有約束力的公司規(guī)則”等例外措施，在確保有關(guān)數(shù)據(jù)得到適當(dāng)保護(hù)的前提下允許將個人數(shù)據(jù)傳輸出境。“標(biāo)準(zhǔn)合同條款”和“有約束力的公司規(guī)則”均為企業(yè)自愿加入機(jī)制。前者是歐盟委員會根據(jù)歐盟個人數(shù)據(jù)保護(hù)規(guī)則制定的標(biāo)準(zhǔn)合同，一旦公司簽署合同，就負(fù)有遵照合同向個人數(shù)據(jù)主體提供保護(hù)的義務(wù);后者是歐盟委員會針對跨國企業(yè)制定的規(guī)則體系，通過認(rèn)證的跨國企業(yè)可以在其集團(tuán)內(nèi)部自由傳輸個人數(shù)據(jù)。 其三，歐盟還規(guī)定了在獲得用戶明確同意或?yàn)楣怖婵紤]等特殊情況下的減損條款，允許將歐盟個人數(shù)據(jù)傳輸出境。通過上述規(guī)定，歐盟確立了高水平的隱私保護(hù)標(biāo)準(zhǔn)，并且通過“充分性決定”等“傳導(dǎo)機(jī)制”撬動其他意圖獲得歐盟個人數(shù)據(jù)的國家，使之達(dá)到或者至少接近歐盟對數(shù)據(jù)和隱私的高水平保護(hù)標(biāo)準(zhǔn)。

美歐在跨境數(shù)據(jù)流動規(guī)則上的分歧，既體現(xiàn)了雙方在數(shù)據(jù)和隱私保護(hù)問題上的理念差異，同時也直接關(guān)涉美歐圍繞科技和產(chǎn)業(yè)主導(dǎo)地位的競爭。為此，美歐在跨境數(shù)據(jù)流動領(lǐng)域進(jìn)行了多輪博弈。

第一輪博弈體現(xiàn)為美歐在2000年簽訂《安全港協(xié)議》（Safe Harbor Framework）前后展開的較量。由于1998年正式生效的歐盟《個人數(shù)據(jù)保護(hù)指令》禁止將個人數(shù)據(jù)傳輸?shù)轿刺峁俺浞直Ｗo(hù)”的第三國，美國政府在商業(yè)利益的驅(qū)動下主動提出了“安全港建議”并與歐盟展開談判，以期解決二者在規(guī)則上的差異。2000年12月，美歐簽訂了第一份個人數(shù)據(jù)傳輸協(xié)議《安全港協(xié)議》，歐盟委員會在此基礎(chǔ)上作出了《安全港決定》，認(rèn)定美國可以為歐盟公民的數(shù)據(jù)提供充分保護(hù)?！栋踩蹍f(xié)議》參照《個人數(shù)據(jù)保護(hù)指令》制定了七項(xiàng)隱私原則，這些原則要求：收集個人數(shù)據(jù)的企業(yè)必須通知個人其數(shù)據(jù)被收集，并告知他們將對數(shù)據(jù)所進(jìn)行的處理，企業(yè)必須得到允許才能把信息傳遞給第三方，必須允許個人訪問被收集的數(shù)據(jù)，并保證數(shù)據(jù)的真實(shí)性和安全性以及采取措施保證這些條款得到遵從。自愿選擇加入《安全港協(xié)議》的美國企業(yè)必須遵守這些原則并提出具體落實(shí)方案;同時，歐盟在政府機(jī)構(gòu)的監(jiān)管方面采取了嚴(yán)格的態(tài)度，根據(jù)美國的隱私保護(hù)政策不受政府機(jī)構(gòu)監(jiān)管的美國企業(yè)（如電信業(yè)、銀行業(yè)等）不得加入該協(xié)議。可以說，《安全港協(xié)議》是美國向歐盟隱私保護(hù)制度的首次讓步。

2013年美國“斯諾登事件”的爆發(fā)使美歐在數(shù)據(jù)保護(hù)問題上陷入了信任危機(jī)，并因此展開了雙方的第二輪博弈。根據(jù)美國國家安全局職員愛德華·斯諾登（Edward Snowden）曝光的絕密文件，美國長期對本國及其他國家的通信開展大規(guī)模秘密監(jiān)控，包括直接從微軟、蘋果、谷歌、臉書等9個互聯(lián)網(wǎng)巨頭的服務(wù)器收集信息;監(jiān)控對象不僅包括美國公民，還包括在美國境外使用上述公司服務(wù)的客戶。美國的大規(guī)模網(wǎng)絡(luò)監(jiān)控和對公民隱私權(quán)的嚴(yán)重侵犯受到了國際社會的廣泛譴責(zé)，歐盟委員會也聲稱美國的大規(guī)模監(jiān)控行為是“不可接受的”，要求美國立刻采取補(bǔ)救措施，重新討論并改進(jìn)《安全港協(xié)議》的內(nèi)容，讓歐盟重拾對美國政府的信任。European Commission， “Rebuilding Trust in EU-US Data Flows”， https：//eur-lex.europa.eu/legal-content/EN/TXT/？uri=CELEX%3A52013DC0846， 20131127， pp.27.

受“斯諾登事件”影響，奧地利公民馬克西米利安·施雷姆斯（Maximillian Schrems）于2013年6月25日向愛爾蘭數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)提出申訴，以歐盟個人數(shù)據(jù)因美國政府的監(jiān)控行為而無法得到充分保護(hù)為由，要求禁止臉書愛爾蘭公司將有關(guān)個人數(shù)據(jù)傳輸至其美國總部。相關(guān)行政和司法程序的結(jié)果是，愛爾蘭高等法院請求歐盟法院對歐盟委員會《安全港決定》的效力加以確認(rèn)，因?yàn)檫@直接決定著美國公司能否繼續(xù)依據(jù)《安全港協(xié)議》向美國傳輸歐盟用戶的個人數(shù)據(jù)。歐盟法院于2015年10月6日作出判決，推翻了《安全港決定》關(guān)于美國可以為歐盟個人數(shù)據(jù)提供充分保護(hù)的認(rèn)定，美歐《安全港協(xié)議》由此歸于無效。隨后，經(jīng)過雙方的緊急磋商，美國政府向歐盟委員會出具了書面承諾，保證將對其“出于公共利益獲取和使用個人數(shù)據(jù)”的行為加以限制并提供救濟(jì)措施，包括承諾建立一個新的國家安全干預(yù)監(jiān)督機(jī)制，即獨(dú)立于美國情報部門的“隱私盾監(jiān)察員”。在此基礎(chǔ)上，美歐于2016年7月達(dá)成第二份跨境數(shù)據(jù)傳輸協(xié)議，即《隱私盾協(xié)議》（Privacy Shield Framework），歐盟委員會也據(jù)此做出了美國可以對傳輸至美國的個人數(shù)據(jù)提供充分保護(hù)的《隱私盾決定》?！峨[私盾協(xié)議》對個人數(shù)據(jù)隱私保護(hù)的標(biāo)準(zhǔn)比《安全港協(xié)議》更為嚴(yán)格，不僅規(guī)定美國情報機(jī)構(gòu)以國家安全為由從歐盟采集個人數(shù)據(jù)時必須受到約束和限制，還新增了年度聯(lián)合審查機(jī)制，防止美國政府和企業(yè)不履行協(xié)議的內(nèi)容。

《隱私盾協(xié)議》的簽訂是美國向歐盟隱私保護(hù)制度的第二次讓步。但是，這并未使美歐之間圍繞跨境數(shù)據(jù)流動規(guī)則的博弈和爭奪風(fēng)平浪靜。早在《安全港協(xié)議》被判無效后的2015年12月1日，施雷姆斯就再次向愛爾蘭數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)提出申訴，認(rèn)為臉書愛爾蘭公司即便根據(jù)“標(biāo)準(zhǔn)合同條款”向美國總部傳輸歐盟的個人數(shù)據(jù)，也無法確保這些數(shù)據(jù)得到充分保護(hù)。2017年10月3日，愛爾蘭高等法院對美國的相關(guān)法律和措施進(jìn)行審查后認(rèn)為，美國沒有為歐盟公民提供實(shí)質(zhì)上等同于歐盟的保護(hù)水平，這與2016年7月歐盟委員會《隱私盾決定》得出的結(jié)論不符。為此，愛爾蘭高等法院請求歐盟法院對“標(biāo)準(zhǔn)合同條款”和《隱私盾決定》的效力加以確認(rèn)，由此揭開了美歐之間新一輪博弈的“大幕”。

二、 《隱私盾協(xié)議》被判無效案件的主要法律問題

2020年7月16日歐盟法院作出的判決，盡管沒有否定根據(jù)“標(biāo)準(zhǔn)合同條款”向美國傳輸歐盟個人數(shù)據(jù)的合法性，但卻認(rèn)定美國未能提供實(shí)質(zhì)上等同于歐盟的保護(hù)水平，歐盟委員會的《隱私盾決定》以及美歐之間的《隱私盾協(xié)議》無效。這一判決作為美歐跨境數(shù)據(jù)流動規(guī)則博弈的最新表現(xiàn)，引發(fā)了國際社會的廣泛關(guān)注。對該判決涉及的主要法律問題進(jìn)行分析，有助于深入理解美歐跨境數(shù)據(jù)規(guī)則博弈的態(tài)勢和未來走向。

歐盟法院的審查主要圍繞《隱私盾決定》第1條第1款進(jìn)行，歐盟委員會在該款中認(rèn)定美國為歐盟個人數(shù)據(jù)提供的保護(hù)水平實(shí)質(zhì)上等同于歐盟內(nèi)部確保的保護(hù)水平，因而其可以為相關(guān)歐盟數(shù)據(jù)提供充分的保護(hù)。美國政府對傳輸?shù)矫绹膫€人數(shù)據(jù)開展情報活動所依據(jù)的法律法規(guī)是《外國情報監(jiān)視法》第702條和第12333號行政命令，第28號總統(tǒng)政策指令（PPD28《信號情報活動》）則規(guī)定了美國實(shí)施信號情報活動所應(yīng)遵守的程序和限制，對美國情報部門具有約束力。參見歐盟法院判決（C311/18，Judgment：ECLI：EU：C：2020：559）第45，60段。歐盟法院從兩個方面對美國的保護(hù)水平進(jìn)行了分析。

首先，美國對歐盟個人數(shù)據(jù)開展的情報活動是否符合比例原則？

《歐洲聯(lián)盟基本權(quán)利憲章》（以下簡稱《憲章》）第7條規(guī)定：“人人均有權(quán)要求尊重其私人與家庭生活、住居及通信。”該《憲章》第8條第1款規(guī)定：“人人均有權(quán)享有個人信息之保護(hù)。”雖然第7條和第8條所保護(hù)的權(quán)利不是絕對的，可能會因國家安全或公共利益等因素受到限制，但根據(jù)《憲章》第52條第1款的規(guī)定，對《憲章》所規(guī)定權(quán)利的限制必須符合“比例原則”，即只有在具有必要性且符合歐盟承認(rèn)的一般權(quán)利的目的或需要保護(hù)他人的權(quán)利和自由時，才可以對權(quán)利加以限制。根據(jù)歐盟的判例法，比例原則要求對歐盟個人信息權(quán)和隱私權(quán)進(jìn)行限制的立法必須明確規(guī)定限制措施的范圍和適用，并且明確規(guī)定最低限度的保障措施。參見歐盟法院判決（C311/18，Judgment：ECLI：EU：C：2020：559）第175176段。判例法參見Opinion 1/15 （EU-Canada PNR Agreement） of 26 July 2017（EU：C：2017：592）第140141段。

《外國情報監(jiān)視法》第702條允許美國情報部門在政府的監(jiān)督下收集有關(guān)國際恐怖分子、武器擴(kuò)散者和位于美國境外的其他重要外國情報目標(biāo)的關(guān)鍵情報。這一規(guī)定被美國政府視為最有效的外國情報工具之一，也是其至關(guān)重要的國家安全工具。The White House， “Statement by the President on FISA Amendments Reauthorization Act of 2017”， https：//wwwwhitehousegov/briefings-statements/statement-president-fisa-amendments-reauthorization-act-2017/， 20180119.根據(jù)《外國情報監(jiān)視法》設(shè)立的“外國情報監(jiān)控法院”，其主要任務(wù)是根據(jù)司法部部長和國家情報總監(jiān)提交的年度證明對“棱鏡計劃”等特定監(jiān)控計劃加以審查，核實(shí)這些監(jiān)控計劃是否出于獲取外國情報信息的目的。歐盟法院對《外國情報監(jiān)視法》第702條進(jìn)行分析后認(rèn)為，美國外國情報監(jiān)控法院并不審查“個人是否被適當(dāng)?shù)刈鳛楂@取外國情報信息的目標(biāo)”，且第702條未規(guī)定對政府監(jiān)控計劃的限制，對于監(jiān)控計劃所針對的非美國人也未規(guī)定相應(yīng)的保障。參見歐盟法院判決（C311/18，Judgment：ECLI：EU：C：2020：559）第179段。因此，基于《外國情報監(jiān)視法》第702條實(shí)施的監(jiān)控計劃不符合比例原則，無法為歐盟個人數(shù)據(jù)提供充分保護(hù)。

對于第12333號行政命令，歐盟法院指出，該行政命令沒有賦予美國法院對政府部門進(jìn)行強(qiáng)制執(zhí)行的權(quán)利。由于根據(jù)第12333號行政命令實(shí)施的監(jiān)控計劃必須符合第28號總統(tǒng)政策指令的要求，因此需要將兩項(xiàng)命令結(jié)合起來分析。第28號總統(tǒng)政策指令允許情報部門在不使用與特定目標(biāo)有關(guān)的識別碼的情況下“批量”收集情報信息或數(shù)據(jù)，這將使根據(jù)第12333號行政命令實(shí)施的監(jiān)視計劃可以在不受任何司法審查的情況下獲取傳輸至美國的數(shù)據(jù)。歐盟法院認(rèn)為，美國未明確地界定這種大規(guī)模收集情報信息或數(shù)據(jù)行為的范圍，違反了比例原則。參見歐盟法院判決（C311/18，Judgment：ECLI：EU：C：2020：559）第182184段。

其次，美國是否為權(quán)利可能受到侵犯的歐盟數(shù)據(jù)主體提供了“有效的行政和司法救濟(jì)”？

《憲章》第47條規(guī)定，當(dāng)權(quán)利受到侵犯時，人人均有權(quán)在法庭上獲得有效救濟(jì)，數(shù)據(jù)主體必須擁有向獨(dú)立、公正的法庭提起法律訴訟的權(quán)利。為了強(qiáng)化對這一權(quán)利的保障，GDPR第45條規(guī)定，歐盟委員會在評估第三國的保護(hù)水平是否充分時，應(yīng)特別考慮“對個人數(shù)據(jù)被轉(zhuǎn)移的數(shù)據(jù)主體的有效行政和司法救濟(jì)”。歐盟法院認(rèn)為，在個人數(shù)據(jù)被傳輸至第三國的情況下，有效的救濟(jì)措施尤為重要，因?yàn)闅W盟成員國的行政和司法當(dāng)局往往沒有足夠的權(quán)力對數(shù)據(jù)主體提出的投訴采取有效行動，數(shù)據(jù)主體不得不求助于該第三國的國家當(dāng)局和法院。參見歐盟法院判決（C311/18，Judgment：ECLI：EU：C：2020：559）第189段。

第28號總統(tǒng)政策指令和第12333號行政命令均未授予數(shù)據(jù)主體在法庭上對美國當(dāng)局提起訴訟的權(quán)利。參見歐盟法院判決（C311/18，Judgment：ECLI：EU：C：2020：559）第192段。為了調(diào)和雙方法律差異、滿足歐盟的要求，美國在《隱私盾決定》的附件中承諾設(shè)置隱私盾監(jiān)察員制度。隱私盾監(jiān)察員獨(dú)立于美國情報部門，直接向美國國務(wù)卿報告，國務(wù)卿確保監(jiān)察員客觀地履行其職能。但歐盟法院審理后認(rèn)為，隱私盾監(jiān)察員制度存在缺陷。首先，隱私盾監(jiān)察員是美國國務(wù)院的一個組成部分，由美國國務(wù)卿任命，美國沒有對監(jiān)察員的任免問題提供任何特定的保證，導(dǎo)致該制度的獨(dú)立性存疑。其次，沒有證據(jù)證明，隱私盾監(jiān)察員可以作出對情報部門有約束力的決定。參見歐盟法院判決（C311/18，Judgment：ECLI：EU：C：2020：559）第195196段。隱私盾監(jiān)察員制度不屬于《憲章》第47條所要求的獨(dú)立、公正的法庭，美國并未提供實(shí)質(zhì)上等同于歐盟內(nèi)部的保護(hù)水平。

綜上所述，歐盟法院認(rèn)為，歐盟委員會在《隱私盾決定》第1條第1款中認(rèn)定美國提供了充分的保護(hù)，這不符合《憲章》第7條、第8條、第47條以及GDPR第45條的要求，該決定應(yīng)屬無效，基于該決定達(dá)成的《隱私盾協(xié)議》也隨之無效。

需要看到的是，《隱私盾協(xié)議》無效判決并非2015年《安全港協(xié)議》無效判決的簡單“重演”。盡管《安全港協(xié)議》無效判決中簡要提及了“美國政府部門普遍獲取電子通信內(nèi)容的行為超出了保護(hù)國家安全的嚴(yán)格必要和相稱性的程度，位于歐盟的數(shù)據(jù)主體無法得到行政和司法救濟(jì)”參見歐盟法院判決（C362/14，Judgment ：ECLI：EU：C：2015：650）第9395段。 ，但并未對美國有關(guān)監(jiān)控的立法進(jìn)行詳細(xì)審查，也未對比例原則等進(jìn)行解釋和具體運(yùn)用，而主要是基于協(xié)議本身存在的缺陷（如未要求美國達(dá)到與歐盟實(shí)質(zhì)上相同的個人數(shù)據(jù)保護(hù)水平）將之判定為無效。參見歐盟法院判決（C362/14，Judgment ：ECLI：EU：C：2015：650）第82，83，86段。 但在《隱私盾協(xié)議》無效判決中，歐盟法院卻對美國國內(nèi)有關(guān)監(jiān)控的立法和政策進(jìn)行了詳細(xì)審查和質(zhì)疑。這意味著，如果美國想要與歐盟再次達(dá)成個人數(shù)據(jù)傳輸協(xié)議，很可能需要對其監(jiān)控立法和政策進(jìn)行修改，或者至少進(jìn)行更為嚴(yán)格的限制。該判決還詳細(xì)揭示了歐盟在審查第三國的數(shù)據(jù)保護(hù)水平、確定歐盟個人數(shù)據(jù)能否被傳輸?shù)皆摰谌龂鴷r所考慮的因素，這對美國以外的其他國家同樣具有很大的參考價值。判決表明，第三國是否提供了實(shí)質(zhì)上等同于歐盟內(nèi)部確保的保護(hù)水平是法院審查的出發(fā)點(diǎn)，比例原則和數(shù)據(jù)主體向法庭提起訴訟的權(quán)利是法院審查的重點(diǎn)。

根據(jù)歐盟法院的判決，“標(biāo)準(zhǔn)合同條款”可以確保歐盟個人數(shù)據(jù)得到充分保護(hù)，因而在《隱私盾協(xié)議》無效后，美國企業(yè)仍可選擇通過“標(biāo)準(zhǔn)合同條款”等機(jī)制進(jìn)行數(shù)據(jù)傳輸。但是，由于第三國的當(dāng)局不是“標(biāo)準(zhǔn)合同條款”的當(dāng)事方，“標(biāo)準(zhǔn)合同條款”無法對第三國的當(dāng)局產(chǎn)生約束力，企業(yè)所在國的監(jiān)控立法和政策將對該企業(yè)的保護(hù)水平造成極大的影響，即便企業(yè)提供了保障措施，也難以抗衡當(dāng)局的監(jiān)控立法和政策。正如一位德國數(shù)據(jù)保護(hù)機(jī)構(gòu)的官員所言：“如果《隱私盾協(xié)議》無效主要是由于美國不斷升級的間諜活動，那么同樣的情況也一定適用于標(biāo)準(zhǔn)合同條款?！盫incent Manancourt， “EUs Rejection of US Surveillance also Tests Its Commitment to Privacy”，https：//www.politico.eu/article/rejection-of-us-surveillance-tests-eu-mettle-on-privacy-shield/， 20200716.在此情況下，歐盟內(nèi)部對通過“標(biāo)準(zhǔn)合同條款”向美國傳輸數(shù)據(jù)的質(zhì)疑和法律挑戰(zhàn)很可能仍將繼續(xù)，除非美國對其監(jiān)控立法和政策做出修改或加大限制。

總之，在《隱私盾協(xié)議》無效判決中，歐盟借助剛開始生效不久的GDPR又一次對美國數(shù)據(jù)保護(hù)水平提出了強(qiáng)有力的挑戰(zhàn)，并發(fā)出了堅定捍衛(wèi)歐盟數(shù)據(jù)和隱私保護(hù)標(biāo)準(zhǔn)的信號。在前兩次博弈的過程中，美國雖不斷作出讓步但都未涉及對國內(nèi)法的修改，但面對此次判決，美國有可能不得不考慮對監(jiān)控立法和政策進(jìn)行修改。美國國會研究服務(wù)部在一篇報告中指出，面對《隱私盾協(xié)議》無效判決，美國國會可以作出的選擇之一是制定在一定程度上符合GDPR要求的全面的國家隱私立法，這可以使美國不再需要考慮與歐盟訂立數(shù)據(jù)流動協(xié)議。③The Congressional Research Service， “U.S.-EU Privacy Shield”， August 6， 2020（ IF 11613 VERSION 2）.

三、 《隱私盾協(xié)議》無效判決的影響

《隱私盾協(xié)議》無效判決，有可能對美歐乃至全球跨境數(shù)據(jù)流動的國際合作與博弈產(chǎn)生深遠(yuǎn)影響。

（一）對美歐跨境數(shù)據(jù)流動合作造成打擊

《隱私盾協(xié)議》無效判決帶來的最直接的影響是對美歐跨境數(shù)據(jù)流動合作造成了打擊，特別是增加了美國科技企業(yè)進(jìn)行個人數(shù)據(jù)傳輸?shù)暮弦?guī)成本，從而將對這些企業(yè)在歐盟的經(jīng)營產(chǎn)生較大的影響。

截至2020年7月，共有5380家企業(yè)和組織自愿加入《隱私盾協(xié)議》。③《隱私盾協(xié)議》被判無效后，如果這些企業(yè)和組織繼續(xù)基于《隱私盾協(xié)議》將歐盟用戶的個人數(shù)據(jù)傳輸至美國，將違反歐盟法律，它們不得不尋找其他的機(jī)制來替代《隱私盾協(xié)議》。對于美國而言，相關(guān)企業(yè)和組織不得不付出更多合規(guī)成本，與歐盟本土公司相比競爭力將下降。同時，這種法律不確定性可能會阻礙云計算和大數(shù)據(jù)等數(shù)字服務(wù)的發(fā)展。在數(shù)字經(jīng)濟(jì)時代，個人數(shù)據(jù)已成為一項(xiàng)極具價值的資產(chǎn)，2020年歐盟公民數(shù)據(jù)的估計價值為近1萬億歐元。Boston Consulting Group， “The Value of Our Digital Identity”， https：//www.bcg.com/en-kr/publications/2012/digital-economy-consumer-insight-value-of-our-digital-identity， 20121120.美國科技企業(yè)具有技術(shù)優(yōu)勢，而無法進(jìn)行數(shù)據(jù)傳輸將影響美國電子通信和數(shù)據(jù)處理服務(wù)，給美國的數(shù)字經(jīng)濟(jì)發(fā)展造成損失。美國的一些銀行、律師事務(wù)所和其他商業(yè)實(shí)體也會受到波及，它們在向歐盟客戶銷售產(chǎn)品時通常會獲得一些個人數(shù)據(jù)，《隱私盾協(xié)議》無效后，這些個人數(shù)據(jù)將難以被獲取。

當(dāng)然，這一判決也會使歐盟對數(shù)字服務(wù)的利用受到影響，歐盟的科技公司和大學(xué)無法再使用基于《隱私盾協(xié)議》開展的美國云服務(wù)，歐盟的醫(yī)院也無法使用位于歐盟境外的呼叫中心。同時，判決還將對歐盟的經(jīng)濟(jì)造成影響。早在《安全港協(xié)議》無效判決做出時，就有研究認(rèn)為，美歐間的數(shù)據(jù)流通受阻將會造成歐盟的整體國民生產(chǎn)總值下降0.8%～1.3%。Yann Padova，“The Safe Harbour Is Invalid ： What Tools Remain for Data Transfers and What Comes Next？” International Data Privacy Law， 2016， 139（6）， p.140.

（二）有助于歐盟奪回技術(shù)主權(quán)

在以往的美歐跨境數(shù)據(jù)傳輸活動中，美國因掌握技術(shù)優(yōu)勢，歐盟不得不處于被動受制地位。美國科技企業(yè)占據(jù)了大量市場份額，阻礙了歐盟本土科技公司的發(fā)展，減少了歐盟的數(shù)字經(jīng)濟(jì)收入。同時，個人數(shù)據(jù)被傳輸?shù)矫绹螅瑲W盟公民在一定程度上失去了對其個人數(shù)據(jù)的控制，歐盟及其成員國的執(zhí)法能力也受到了制約。這種被動地位引發(fā)了歐盟的擔(dān)憂。為了扭轉(zhuǎn)這一局面，2020年2月，歐盟委員會連續(xù)發(fā)布了《塑造歐洲數(shù)字未來》《歐洲數(shù)據(jù)戰(zhàn)略》和《人工智能白皮書》三份數(shù)字轉(zhuǎn)型戰(zhàn)略文件，表達(dá)了歐盟對于建立統(tǒng)一的規(guī)范化數(shù)字市場、把握數(shù)字經(jīng)濟(jì)主權(quán)的強(qiáng)烈愿望。歐盟委員會主席烏爾蘇拉·馮德萊恩指出，歐洲要奪回“技術(shù)主權(quán)”（tech sovereignty），這意味著歐洲必須有能力根據(jù)自己的價值觀并遵守自己的規(guī)則來做出自己的選擇。Ursula von der Leyen， “Shaping Europes Digital Future”， https：//moderndiplomacy.eu/2020/02/21/shaping-europes-digital-future/， 20200221.

本案中，對隱私和監(jiān)控等方面的要求都來自歐盟，歐盟根據(jù)自己的價值觀并遵守自己的規(guī)則做出了自己的選擇。同時，由于判決增加了相關(guān)企業(yè)進(jìn)行跨境數(shù)據(jù)傳輸?shù)睦щy，部分企業(yè)不得不考慮實(shí)行數(shù)據(jù)本地化，這可以使企業(yè)無須再考慮所屬國與歐盟之間的法律差異問題，減少相應(yīng)的成本，同時也將有助于歐盟實(shí)現(xiàn)“數(shù)字主權(quán)”戰(zhàn)略。歐盟數(shù)字轉(zhuǎn)型戰(zhàn)略文件《歐洲數(shù)據(jù)戰(zhàn)略》的實(shí)際主導(dǎo)人、現(xiàn)任歐盟內(nèi)部市場專員蒂埃里·布雷頓（Thierry Breton）認(rèn)為：“留住數(shù)據(jù)、用好數(shù)據(jù)就是歐盟企業(yè)成功的關(guān)鍵?！焙檠忧?、朱玲鳳、張朝等：《歐盟提出“技術(shù)主權(quán)”概念 引領(lǐng)歐盟數(shù)字化轉(zhuǎn)型戰(zhàn)略》，《中國信息安全》，2020年第3期，第70頁。目前，歐盟大力支持建設(shè)歐洲數(shù)據(jù)云計算平臺“GAIA-X”，以提高歐盟在歐洲大陸存儲數(shù)據(jù)的能力。Vincent Manancourt， “The Demise of Privacy Shield May Be the End of US-Europe Data Transfers”， https：//www.politico.eu/article/privacy-shield-is-dead-long-live-data-localization/， 20200803.判決作出后，柏林?jǐn)?shù)據(jù)監(jiān)管機(jī)構(gòu)的負(fù)責(zé)人表示：“為了方便或節(jié)省成本而將個人數(shù)據(jù)傳輸?shù)矫绹臅r代在這一判決之后已經(jīng)結(jié)束?，F(xiàn)在是歐洲數(shù)字獨(dú)立的時候了?！盫incent Manancourt， “EUs Rejection of US Surveillance also Tests Its Commitment to Privacy”， https：//www.politico.eu/article/rejection-of-us-surveillance-tests-eu-mettle-on-privacy-shield/， 20200716.自主掌控數(shù)據(jù)信息是歐盟“技術(shù)主權(quán)”戰(zhàn)略的目標(biāo)之一。忻華：《“歐洲經(jīng)濟(jì)主權(quán)與技術(shù)主權(quán)”的戰(zhàn)略內(nèi)涵分析》，《歐洲研究》，2020年第4期，第5頁。判決使歐盟對數(shù)據(jù)的保護(hù)、管理和控制力大為加強(qiáng)，改變了歐盟的被動地位，是歐盟未來追求數(shù)字科技領(lǐng)域世界領(lǐng)先地位的基礎(chǔ)。

（三）使歐盟模式在美歐博弈中占據(jù)主動權(quán)

在跨境數(shù)據(jù)規(guī)則博弈中，歐盟采取了重視個人數(shù)據(jù)和隱私權(quán)利保護(hù)的模式，對數(shù)據(jù)出境設(shè)置了較高的門檻，美國則采取了重視數(shù)據(jù)自由流動、輕政府監(jiān)管的模式，對個人數(shù)據(jù)隱私保護(hù)的力度較小。

《隱私盾協(xié)議》無效判決使歐盟模式的國際影響力得以提升。歐盟委員會明確表示，要在國際上推廣歐盟關(guān)于數(shù)據(jù)收集、處理和傳輸?shù)囊?guī)則。European Commission， “Rebuilding Trust in EU-US Data Flows”， https：//eur-lex.europa.eu/legal-content/EN/TXT/？uri=CELEX%3A52013DC0846， 20131127， p.9.《隱私盾協(xié)議》無效判決向其他國家展示了歐盟GDPR所代表的高標(biāo)準(zhǔn)數(shù)據(jù)隱私保護(hù)及審查機(jī)制，并且借助“必須實(shí)質(zhì)上等同于歐盟內(nèi)部確保的保護(hù)水平”這一前提，迫使意圖與歐盟開展跨境數(shù)據(jù)流動合作的其他國家不得不向歐盟模式看齊，并提供相應(yīng)的保證。由此，適用歐盟模式的國家和地區(qū)將逐漸增多。這正是歐盟憑借其巨大的市場資源形成的單方面監(jiān)管全球市場的能力，即所謂的“布魯塞爾效應(yīng)”，表現(xiàn)為跨國公司為了避免對數(shù)據(jù)流動造成代價高昂的中斷，而選擇根據(jù)歐盟規(guī)則調(diào)整其數(shù)字隱私政策。臉書公司的首席執(zhí)行官馬克·扎克伯格（Mark Zuckerberg）是GDPR的支持者，他曾表示：“我們打算在世界各地提供所有相同的控制，而不僅僅是在歐洲。”Josh Constine， “Zuckerberg Says Facebook Will Offer GDPR Privacy Controls Everywhere”， https：//techcrunch.com/2018/04/04/zuckerberg-gdpr/， 20180405.包括蘋果、谷歌和微軟在內(nèi)的許多全球科技公司已經(jīng)采用了與GDPR類似的全球隱私政策。European Council on Foreign Relations， “Broken Shield： Privacy versus Surveillance in Europe”， https：//ecfr.eu/article/commentary_broken_shield_privacy_versus_surveillance_in_europe/， 20200730.盡管美歐下一步將達(dá)成何種談判結(jié)果還有待確定，但越來越多的公司面對目前歐盟逐漸加大隱私保護(hù)力度的情況，已主動向歐盟模式看齊，這恰恰表明此次判決推動了跨境數(shù)據(jù)流動規(guī)則領(lǐng)域的“布魯塞爾效應(yīng)”。

《隱私盾協(xié)議》無效判決也是對美國倡導(dǎo)的自由流動模式的制衡。該判決向國際社會展示了歐盟對個人數(shù)據(jù)隱私保護(hù)的重視，之后其他國家的數(shù)據(jù)業(yè)務(wù)將經(jīng)過歐盟更加嚴(yán)格的審查。2020年11月，歐盟結(jié)合判決陸續(xù)發(fā)布了《關(guān)于補(bǔ)充傳輸機(jī)制以確保遵守歐盟個人數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)的建議》《針對監(jiān)控措施的關(guān)于歐盟重要保障的建議》和《歐盟標(biāo)準(zhǔn)合同條款》草案，對“充分保護(hù)”的評估要素、數(shù)據(jù)主體應(yīng)獲得有效的救濟(jì)和比例原則等規(guī)定進(jìn)行了再次強(qiáng)調(diào)。顯然，這將推動各國重視和加強(qiáng)對數(shù)據(jù)隱私權(quán)的保護(hù)。即便是高舉“支持跨境數(shù)據(jù)自由流動，反對數(shù)據(jù)本地化措施”大旗的美國，也不得不更加關(guān)注如何糾正歐盟法院指出的美國監(jiān)控法存在的缺陷。

總之，《隱私盾協(xié)議》無效判決進(jìn)一步加劇了美歐在數(shù)字貿(mào)易領(lǐng)域的緊張關(guān)系，并將產(chǎn)生深遠(yuǎn)的影響。美國商務(wù)部部長威爾伯·羅斯（Wilbur Ross）聲稱對這一判決“深感失望”，美國將繼續(xù)與歐盟就此事保持密切聯(lián)系，“希望將對高達(dá)7.1萬億美元的跨大西洋經(jīng)濟(jì)關(guān)系的負(fù)面影響降到最低”U.S. Department of Commerce， “U.S. Secretary of Commerce Wilbur Ross Statement on Schrems II Ruling and the Importance of EU-US. Data Flows”， https：//20172021.commerce.gov/index.php/news/press-releases/2020/07/us-secretary-commerce-wilbur-ross-statement-schrems-ii-ruling-and.html， 20200716.。盡管美歐將得出何種談判結(jié)果還有待確定，但這很可能將迫使美國繼續(xù)向歐盟隱私保護(hù)制度作出讓步。從美歐在跨境數(shù)據(jù)流動領(lǐng)域進(jìn)行的三輪博弈可以看出，美國不得不接受越來越高的隱私保護(hù)標(biāo)準(zhǔn)，向歐盟隱私保護(hù)制度作出更多讓步，美國隱私保護(hù)規(guī)則對歐盟的影響和制約變小，歐盟正逐漸掌握主導(dǎo)權(quán)。

四、 美歐博弈下我國的處境和對策

面對美歐在跨境數(shù)據(jù)流動規(guī)則領(lǐng)域勢必長期存在的博弈，有必要對我國的處境及對策加以深入探究。

（一）跨境數(shù)據(jù)流動規(guī)則博弈中的中國處境

隨著過去二十多年互聯(lián)網(wǎng)在中國的迅猛發(fā)展，我國已經(jīng)成為綜合實(shí)力僅次于美國的網(wǎng)絡(luò)大國、數(shù)據(jù)資源大國和全球數(shù)據(jù)中心。阿里巴巴、騰訊、字節(jié)跳動等互聯(lián)網(wǎng)公司已建成具有國際領(lǐng)先水平的大數(shù)據(jù)存儲與處理平臺，在跨境網(wǎng)絡(luò)支付、跨境電子商務(wù)、信息網(wǎng)絡(luò)服務(wù)等應(yīng)用領(lǐng)域居于全球領(lǐng)先地位。2020年我國數(shù)據(jù)總量有望達(dá)到8000EB，占全球數(shù)據(jù)總量的21%。參見馬其家、李曉楠：《論我國數(shù)據(jù)跨境流動監(jiān)管規(guī)則的構(gòu)建》，《法治研究》，2021年第1期，第92頁。不過，我國政府和企業(yè)近年來頻頻在跨境數(shù)據(jù)流動領(lǐng)域受到抹黑、打壓和無端限制。例如，2020年美國、印度等國正是以TikTok 和 Wechat 涉嫌未經(jīng)許可將國外用戶個人信息傳輸?shù)街袊⒂锌赡軗p害他們的國家安全為由，試圖禁止上述產(chǎn)品的使用。

《隱私盾協(xié)議》無效判決所推動的跨境數(shù)據(jù)流動規(guī)則博弈態(tài)勢對中國而言利弊并存。該判決所體現(xiàn)的數(shù)據(jù)流動中的高標(biāo)準(zhǔn)隱私保護(hù)，在一定程度上代表了數(shù)據(jù)治理的未來發(fā)展趨勢，值得我國重視和借鑒。同時，判決也進(jìn)一步揭開了美國政府通過大規(guī)模網(wǎng)絡(luò)監(jiān)控肆意侵犯他國公民數(shù)據(jù)隱私權(quán)的面目，揭示了美國濫用“國家安全”借口、推出所謂的“清潔網(wǎng)絡(luò)”計劃打壓中國科技企業(yè)的虛偽性。但也必須看到，過高的隱私保護(hù)標(biāo)準(zhǔn)將會加重數(shù)字技術(shù)型公司的運(yùn)營成本，不利于我國企業(yè)開展數(shù)字貿(mào)易。

與美歐相比，我國跨境數(shù)據(jù)傳輸規(guī)則的制定起步較晚，尚未形成一套清晰、完整的規(guī)則體系，各項(xiàng)規(guī)范仍在探索中。當(dāng)前，中國跨境數(shù)據(jù)規(guī)則為分散立法模式。涉及跨境數(shù)據(jù)流動的現(xiàn)行規(guī)范主要有《中華人民共和國網(wǎng)絡(luò)安全法》《人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個人金融信息保護(hù)工作的通知》和《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》等，但真正聚焦于跨境數(shù)據(jù)流動問題的立法大多處于草案狀態(tài)，例如《中華人民共和國數(shù)據(jù)安全法（草案）》《個人信息出境安全評估辦法（征求意見稿）》和《中華人民共和國個人信息保護(hù)法（草案）》。針對跨境數(shù)據(jù)隱私保護(hù)的條款十分匱乏，缺乏透明度，數(shù)據(jù)主體擁有的權(quán)利未得到明確。從內(nèi)容上看，我國目前采取的是以保障數(shù)據(jù)主權(quán)和數(shù)據(jù)安全為前提的跨境數(shù)據(jù)流動模式，實(shí)行“安全評估”制度，主張實(shí)施一定的數(shù)據(jù)本地化措施，優(yōu)先保護(hù)國家安全，對數(shù)據(jù)跨境流動的限制較為嚴(yán)格。2017年3月，外交部和國家互聯(lián)網(wǎng)信息辦公室聯(lián)合發(fā)布了《網(wǎng)絡(luò)空間國際合作戰(zhàn)略》，指出要在國家主權(quán)基礎(chǔ)上構(gòu)建公正合理的網(wǎng)絡(luò)空間國際秩序。2020年9月，中國在《全球數(shù)據(jù)安全倡議》中表示要構(gòu)建和平、安全、開放、合作、有序的“網(wǎng)絡(luò)空間命運(yùn)共同體”，各國應(yīng)尊重他國主權(quán)、司法管轄權(quán)和對數(shù)據(jù)的安全管理權(quán)。但是，由于相關(guān)配套規(guī)則的缺位，有關(guān)規(guī)則和實(shí)踐引發(fā)了一些反對數(shù)據(jù)本地化國家的誤解。上述問題的存在，使中國跨境數(shù)據(jù)流動規(guī)則難以產(chǎn)生國際影響力，中國企業(yè)在開展跨境數(shù)據(jù)商業(yè)活動時容易遭到其他國家的質(zhì)疑和阻礙，從而導(dǎo)致與中國達(dá)成互信、簽訂數(shù)據(jù)跨境流動協(xié)議的國家較少。

（二）中國的對策

基于中國在跨境數(shù)據(jù)流動規(guī)則博弈中的處境，如何合理借鑒其他國家的成熟經(jīng)驗(yàn)，立足于我國的現(xiàn)實(shí)關(guān)切并綜合考慮其他國家的利益需求，構(gòu)建一個契合網(wǎng)絡(luò)空間命運(yùn)共同體理念、有可能得到普遍認(rèn)可的 “中國模式”，推動平衡有序的數(shù)據(jù)跨境流動，已經(jīng)成為我國亟須面對的一個重大問題。

首先，我國需要著眼于實(shí)現(xiàn)國家安全、數(shù)據(jù)隱私保護(hù)和促進(jìn)經(jīng)濟(jì)發(fā)展三者的平衡，對跨境數(shù)據(jù)流動國內(nèi)立法進(jìn)行完善。

美國的“斯諾登事件”表明，數(shù)據(jù)存在被他國非法竊取的風(fēng)險，跨境數(shù)據(jù)尤其如此。因此，鑒于當(dāng)前復(fù)雜的國際關(guān)系，我國仍然需要堅持總體國家安全觀，將國家安全作為數(shù)據(jù)流動的前提，防止其他國家非法獲取我國重要數(shù)據(jù)并對我國國家利益造成損害。2020年9月，中國提出了《全球數(shù)據(jù)安全倡議》，呼吁各國反對利用信息技術(shù)破壞他國關(guān)鍵基礎(chǔ)設(shè)施或竊取重要數(shù)據(jù)，以及利用其從事危害他國國家安全和社會公共利益的行為。我國《網(wǎng)絡(luò)安全法》確立了安全評估制度，但是，由于缺乏對相關(guān)定義的解釋和實(shí)施細(xì)則，該制度被一些國家認(rèn)為缺乏透明度。2019年6月，國家互聯(lián)網(wǎng)信息辦公室頒布了《個人信息出境安全評估辦法（征求意見稿）》，對安全評估制度的評估部門、評估材料和評估內(nèi)容等進(jìn)行了詳細(xì)規(guī)定。實(shí)際上，我國安全評估制度并非僅限于評估是否損害國家安全和公共利益，還包括評估是否能充分保障個人信息主體的合法權(quán)益。對于不能或難以維護(hù)個人信息主體的合法權(quán)益的網(wǎng)絡(luò)運(yùn)營者，網(wǎng)信部門可以要求暫?；蚪K止向境外提供個人信息。這與本案中歐盟委員會評估“第三國是否能為歐盟個人數(shù)據(jù)提供充分保護(hù)”相類似?！秱€人信息出境安全評估辦法（征求意見稿）》不僅有利于消除他國對我國安全評估制度的誤解，也有利于進(jìn)一步防止他國非法竊取我國重要數(shù)據(jù)，維護(hù)我國國家安全和公民權(quán)益。

概而言之，我國應(yīng)繼續(xù)堅持“安全評估”制度，對重要數(shù)據(jù)的跨境流動采取謹(jǐn)慎態(tài)度，將國家安全、個人隱私、產(chǎn)業(yè)安全作為數(shù)據(jù)出境的前提，加快制定和通過《個人信息出境安全評估辦法（征求意見稿）》和《數(shù)據(jù)安全管理辦法（征求意見稿）》等具有可執(zhí)行性和透明度的實(shí)施細(xì)則。建議對個人數(shù)據(jù)進(jìn)行更為明確的分級分類，采取不同的審核和保護(hù)標(biāo)準(zhǔn)，例如細(xì)分為個人數(shù)據(jù)、敏感個人數(shù)據(jù)和關(guān)鍵數(shù)據(jù)。敏感個人數(shù)據(jù)的出境應(yīng)獲得用戶同意，且數(shù)據(jù)處理者應(yīng)進(jìn)行風(fēng)險評估，關(guān)鍵數(shù)據(jù)原則上不允許出境，除非通過安全評估。對于敏感個人數(shù)據(jù)的傳輸和存儲，有必要進(jìn)一步明確具體的安全處理措施，例如進(jìn)行匿名化或加密技術(shù)處理。同時，有必要成立專門的個人信息保護(hù)應(yīng)急響應(yīng)小組，使網(wǎng)信部門可以防止和及時制止破壞網(wǎng)絡(luò)安全的行為，發(fā)揮政府在跨境數(shù)據(jù)流動中的治理和管控作用。在加入現(xiàn)有跨境隱私框架時，也應(yīng)重點(diǎn)考慮該框架是否將有損于我國的監(jiān)管自主權(quán)。以亞太經(jīng)合組織框架下的跨境隱私規(guī)則體系為例，該體系提供了亞太經(jīng)合組織區(qū)域內(nèi)個人數(shù)據(jù)保護(hù)的最低標(biāo)準(zhǔn)，一旦加入，我國就不得要求獲得該體系認(rèn)證的數(shù)據(jù)接收方提供超過該體系的保護(hù)水平，這將限制我國對數(shù)據(jù)出境進(jìn)行國家安全審查的權(quán)利。

鑒于隱私保護(hù)在跨境數(shù)據(jù)流動中的重要性，我國應(yīng)在立法中對此加以必要的規(guī)定。GDPR明確授予數(shù)據(jù)主體七種權(quán)利，即知情權(quán)、訪問權(quán)、修正權(quán)、刪除權(quán)（又稱“被遺忘權(quán)”）、限制處理權(quán)、可攜帶權(quán)和拒絕權(quán)，并詳細(xì)規(guī)定了數(shù)據(jù)處理者和數(shù)據(jù)控制者應(yīng)承擔(dān)的義務(wù)。我國關(guān)于數(shù)據(jù)主體權(quán)利和數(shù)據(jù)處理者義務(wù)的規(guī)定散見于《網(wǎng)絡(luò)安全法》和《信息安全技術(shù)個人信息安全規(guī)范》等規(guī)定中，且一些規(guī)定較為模糊，這使得數(shù)據(jù)隱私保護(hù)無法得到充分的重視，數(shù)據(jù)主體難以獲悉自己的權(quán)利并及時獲得救濟(jì)，行政執(zhí)法或司法裁判可能陷于無法可依的境地。

因此，建議采取統(tǒng)一的數(shù)據(jù)保護(hù)立法模式，爭取早日形成統(tǒng)一的、全國性的專門法律，這是增進(jìn)國際社會對中國跨境數(shù)據(jù)流動規(guī)則模式的信任度和認(rèn)可度的重要環(huán)節(jié)。在《隱私盾協(xié)議》無效判決中，有三項(xiàng)認(rèn)定可為我國立法提供借鑒。其一，第三國是否提供了實(shí)質(zhì)上等同于歐盟內(nèi)部確保的保護(hù)水平。這是法院審查的出發(fā)點(diǎn)，這一認(rèn)定突破了數(shù)據(jù)保護(hù)規(guī)則的傳統(tǒng)適用范圍，使適用效力擴(kuò)展至任何處理歐盟個人數(shù)據(jù)的外國法人，借鑒該認(rèn)定有利于維護(hù)我國公民的數(shù)據(jù)隱私。其二，統(tǒng)一的數(shù)據(jù)保護(hù)機(jī)構(gòu)。我國立法中缺乏統(tǒng)一的個人信息保護(hù)機(jī)構(gòu)，獨(dú)立的監(jiān)督機(jī)制也尚未形成。許可、羅嫣、于智精：《歐盟國際數(shù)據(jù)傳輸新規(guī)挑戰(zhàn)我國數(shù)據(jù)報送制度》，https：//mp.weixin.qq.com/s/PlHUvrAcx26FljQNu-Ga-Q，2020年11月13日。這一制度的缺位將對我國企業(yè)在歐盟開展數(shù)據(jù)傳輸活動造成阻礙。建議在立法中對此進(jìn)行完善，設(shè)立統(tǒng)一的、專門的數(shù)據(jù)保護(hù)機(jī)構(gòu)，依法對個人信息保護(hù)問題進(jìn)行獨(dú)立監(jiān)督，對數(shù)據(jù)處理者和數(shù)據(jù)控制者責(zé)任的履行進(jìn)行定期審查和評估，一旦發(fā)現(xiàn)違規(guī)行為則有權(quán)加以阻止。其三，比例原則。該原則不僅能有效限制外國政府對我國個人數(shù)據(jù)展開情報活動，也能規(guī)范我國政府機(jī)關(guān)調(diào)取企業(yè)數(shù)據(jù)的行為，提升行為的合理性。除此之外，《中華人民共和國個人信息保護(hù)法（草案）》第42條規(guī)定，對于損害我國公民的個人信息權(quán)益的境外組織或個人，國家網(wǎng)信部門可以制作“限制或者禁止個人信息提供清單”。這表明我國將構(gòu)建“黑名單制度”。為了進(jìn)一步保護(hù)數(shù)據(jù)主體的權(quán)利，建議我國建立與“黑名單制度”相配套的域外責(zé)任追究機(jī)制，追究相關(guān)違法者的法律責(zé)任，加強(qiáng)警示作用。

但是，我國不宜通過立法設(shè)置與歐盟相似的高水平隱私保護(hù)標(biāo)準(zhǔn)以及政府單方監(jiān)管模式，而應(yīng)采用立法和行業(yè)自律雙起效模式，鼓勵信息技術(shù)公司在此基礎(chǔ)上制定本公司或行業(yè)隱私保護(hù)政策，給予企業(yè)更多靈活空間。建立可落地實(shí)施、具有活力的數(shù)據(jù)管理秩序，以作為行政監(jiān)管的補(bǔ)充。與美國的行業(yè)自律模式不同的是，由于立法發(fā)揮了基礎(chǔ)性作用，政府部門和數(shù)據(jù)隱私保護(hù)機(jī)構(gòu)仍然可以對企業(yè)進(jìn)行有效的監(jiān)管和監(jiān)督，可以有效克服美國行業(yè)自律模式存在的弊端。這種觀點(diǎn)在《數(shù)據(jù)安全法（草案）》中得到了體現(xiàn)：該草案第9條規(guī)定，國家建立健全數(shù)據(jù)安全協(xié)同治理體系，推動有關(guān)部門、行業(yè)組織、企業(yè)、個人等共同參與數(shù)據(jù)安全保護(hù)工作;第15條規(guī)定，除國務(wù)院有關(guān)部門組織制定數(shù)據(jù)相關(guān)標(biāo)準(zhǔn)外，國家還支持企業(yè)、研究機(jī)構(gòu)、高等學(xué)校、相關(guān)行業(yè)組織等參與標(biāo)準(zhǔn)制定。由此可知，《數(shù)據(jù)安全法》通過和實(shí)施后，信息技術(shù)公司將發(fā)揮越來越重要的作用。

關(guān)于經(jīng)濟(jì)發(fā)展問題，目前，中國對跨境數(shù)據(jù)流動的限制較為嚴(yán)格，難以滿足我國數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)發(fā)展的需要。中國擁有發(fā)展數(shù)字經(jīng)濟(jì)的良好基礎(chǔ)，政府應(yīng)當(dāng)轉(zhuǎn)換思維，明確數(shù)據(jù)的基礎(chǔ)性和戰(zhàn)略性資源作用，營造有利于經(jīng)濟(jì)發(fā)展的政策環(huán)境，采取一定的措施促進(jìn)數(shù)據(jù)自由流動。例如，對內(nèi)制定企業(yè)在數(shù)據(jù)搜集、處理和分析等方面的專屬稅收優(yōu)惠政策，并豐富數(shù)據(jù)合法出境的渠道;對外考慮與其他國家簽訂跨境數(shù)據(jù)自由流動協(xié)議。在制定保護(hù)數(shù)據(jù)隱私的政策時，政府應(yīng)保持嚴(yán)謹(jǐn)?shù)膽B(tài)度，事先進(jìn)行市場調(diào)研，對隱私監(jiān)管政策可能造成的經(jīng)濟(jì)影響進(jìn)行準(zhǔn)確評估。數(shù)據(jù)的自由流動是大數(shù)據(jù)時代的本質(zhì)需求，只有使數(shù)據(jù)依法有序地自由流動，才能持續(xù)促進(jìn)數(shù)字技術(shù)創(chuàng)新，釋放互聯(lián)網(wǎng)行業(yè)的發(fā)展?jié)摿?，保障?shù)據(jù)流動帶來的巨大的經(jīng)濟(jì)效益。綜上，與美國和歐盟模式側(cè)重某一利益保護(hù)相比，中國跨境數(shù)據(jù)流動規(guī)則應(yīng)實(shí)現(xiàn)國家安全、數(shù)據(jù)隱私保護(hù)和促進(jìn)經(jīng)濟(jì)發(fā)展三者的平衡，實(shí)現(xiàn)對跨境數(shù)據(jù)多元化和全方位的保護(hù)。

其次，我國還應(yīng)加強(qiáng)國際合作，積極與重要貿(mào)易伙伴國達(dá)成數(shù)據(jù)傳輸協(xié)定，建立跨境數(shù)據(jù)流動“朋友圈”，擴(kuò)大中國模式的影響力。

我國可以考慮借鑒歐盟的“白名單制度”，將符合相關(guān)條件、通過相關(guān)審查的國家或地區(qū)納入可進(jìn)行數(shù)據(jù)自由流動的范圍。我國也可以選擇加入現(xiàn)有的區(qū)域隱私框架來促進(jìn)數(shù)據(jù)自由流動。以加入《全面與進(jìn)步跨太平洋伙伴關(guān)系協(xié)定》（CPTPP）為例，雖然CPTPP的跨境數(shù)據(jù)傳輸條款對數(shù)據(jù)本地化措施進(jìn)行了一定的限制，但并未對“合法的公共政策目標(biāo)”進(jìn)行具體定義或列舉。CPTPP對數(shù)據(jù)本地化措施進(jìn)行限制的規(guī)定表現(xiàn)為：第14.11條規(guī)定，為了“實(shí)現(xiàn)合法公共政策目標(biāo)”而限制信息跨境傳輸?shù)拇胧挥性诓粯?gòu)成“任意或不合理歧視或?qū)Q(mào)易構(gòu)成變相限制”以及“不對信息傳輸施加超出實(shí)現(xiàn)目標(biāo)所需限度的限制”的情況下才可以使用;第14.13條規(guī)定，任何一方均不得將“在其領(lǐng)土內(nèi)使用或設(shè)置計算設(shè)施”作為在其領(lǐng)土內(nèi)開展業(yè)務(wù)的條件。這可以使CPTPP的締約方擁有更多的內(nèi)部監(jiān)管自主權(quán)，時業(yè)偉：《跨境數(shù)據(jù)流動中的國際貿(mào)易規(guī)則：規(guī)制、兼容與發(fā)展》，《比較法研究》，2020年第4期，第179頁。是符合我國當(dāng)前利益的選擇。CPTPP是僅次于北美自由貿(mào)易協(xié)定和歐盟單一市場的第三大貿(mào)易協(xié)定。它覆蓋了4.98億人口，簽署國的國內(nèi)生產(chǎn)總值之和占全球經(jīng)濟(jì)總量的13%。《商務(wù)部回應(yīng)CPTPP：支持建設(shè)符合WTO原則的區(qū)域自由貿(mào)易安排》，http：//www.gov.cn/xinwen/201901/10/content_5356808.htm？_zbs_baidu_bk， 2019年1月10日。加入CPTPP可以有效促進(jìn)區(qū)域內(nèi)的數(shù)據(jù)自由流動，有利于我國企業(yè)拓寬國際市場，同時提升和鍛造中國參與全球貿(mào)易治理的能力。

我國還可以通過與“一帶一路”沿線國家簽訂區(qū)域數(shù)據(jù)流通協(xié)議，建立由中國引領(lǐng)的跨境數(shù)據(jù)流動“朋友圈”。當(dāng)前，“一帶一路”相關(guān)投資已經(jīng)從傳統(tǒng)的基礎(chǔ)設(shè)施項(xiàng)目拓寬至貿(mào)易、互聯(lián)網(wǎng)等數(shù)據(jù)密集型行業(yè)，而且中國與“一帶一路”沿線國家具有良好的信任基礎(chǔ)，在核心原則上沒有較大分歧，與這些國家簽訂區(qū)域數(shù)據(jù)流通協(xié)議不僅具有可行性，還具有多種益處：一是可以促進(jìn)區(qū)域數(shù)據(jù)自由流動，營造良好的投資氛圍，促進(jìn)我國數(shù)字服務(wù)的發(fā)展;二是向國際社會釋放我國支持?jǐn)?shù)據(jù)自由流動的信號，消除誤解和偏見;三是通過與“一帶一路”沿線國家加強(qiáng)國際合作，可以構(gòu)建跨境數(shù)據(jù)流動的信任體系，有利于擴(kuò)大中國模式在跨境數(shù)據(jù)流動規(guī)則博弈中的影響力，增強(qiáng)話語權(quán);四是簽訂區(qū)域數(shù)據(jù)流通協(xié)議有利于先在區(qū)域內(nèi)實(shí)現(xiàn)規(guī)則趨同，再由此及彼，逐步增強(qiáng)中國模式的國際影響力。

五、 結(jié) 語

美國和歐盟較早提出和建立了跨境數(shù)據(jù)流動規(guī)則，在規(guī)則制定領(lǐng)域已占據(jù)領(lǐng)先優(yōu)勢。歐盟通過GDPR確立了被稱為“世界上采用最廣泛的個人數(shù)據(jù)保護(hù)模式”，大多數(shù)國家在國內(nèi)立法中都在不同程度上適用其原則。Clare Sullivan， “EU GDPR or APEC CBPR？ A Comparative Analysis of the Approach of the EU and APEC to Cross Border Data Transfers and Protection of Personal Data in the IoT Era”， Computer Law & Security Review， 2019（35）， p.381.美國則通過推動亞太經(jīng)合組織隱私框架下的跨境隱私規(guī)則體系等舉措，旗幟鮮明地支持跨境數(shù)據(jù)自由流動，反對數(shù)據(jù)本地化，與其盟友建立了數(shù)據(jù)流動“朋友圈”?！峨[私盾協(xié)議》無效判決表明，美歐在跨境數(shù)據(jù)流動規(guī)則領(lǐng)域的博弈已經(jīng)白熱化并將長期存在。目前來看，歐盟模式已經(jīng)在博弈中占據(jù)了一定主動權(quán)，其國際影響力得到了再次提升。

盡管跨境數(shù)據(jù)流動已成為各國政府近年的核心議題，但歐盟、美國和中國這三個擁有最大數(shù)字產(chǎn)業(yè)規(guī)模的國家或組織選擇了不同的立法模式和標(biāo)準(zhǔn)，這不僅容易引發(fā)國家間的貿(mào)易摩擦，還增加了企業(yè)的合規(guī)成本。從長期來看，制定多邊跨境數(shù)據(jù)流動國際規(guī)則具有必要性。掌握國際規(guī)則的制定權(quán)，將直接助力于在未來的國際商業(yè)競爭中占據(jù)優(yōu)勢。與美歐相比，中國跨境數(shù)據(jù)流動規(guī)則的制定起步較晚且存在一些不足之處。目前，我國數(shù)字產(chǎn)業(yè)規(guī)模已居世界前列，需要提出自身的跨境數(shù)據(jù)流動規(guī)則模式，在保護(hù)公民數(shù)據(jù)隱私的同時兼顧國家安全和產(chǎn)業(yè)經(jīng)濟(jì)發(fā)展。與此同時，我國應(yīng)通過簽訂區(qū)域數(shù)據(jù)流通協(xié)議和加入現(xiàn)有的區(qū)域性隱私框架等措施，積極提升中國模式的國際影響力，最終推動構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體，實(shí)現(xiàn)各國在網(wǎng)絡(luò)空間的合作共贏、共同發(fā)展。

The Rule Games between the US and EU on Transborder Data Flows

and Chinas Response： From the Perspective of Invalidation

Judgment of the Privacy Shield Framework

HUANG Zhixiong， WEI Xinyu

Institute of International Law， Wuhan University， Wuhan 430072， China

At present， the international community has not reached a consensus on the rules of transborder data flows. The United States and the European Union take the lead in the relevant rule making， but they have adopted different legislative models and standards between which there are gaps difficult to bridge. To this end， the US and EU have carried out multiple rounds of games in the past 20 years. The judgment of the European Court of Justice in July 2020 that the US can not provide sufficient protection for the EUs personal data and the invalidation of the US-EU Privacy Shield Framework is the latest manifestation of this game. The judgment will have a significant impact on the EUs recapture of technological sovereignty， as well as transborder data flows cooperation and games between the US and EU. Meanwhile， the game situation of rules on transborder data flows promoted by this judgment has both advantages and disadvantages for China. China should focus on the balance of national security， data privacy protection and economic development. The improvement of existing domestic legislation on transborder data flows should be actively promoted. China should also enhance the international influence of “the Chinese pattern”through such measures as joining in the existing regional privacy framework.

transborder data flows; Privacy Shield Framework; game between the US and EU; rule making