個人數(shù)據(jù)保護(hù)全球融合的趨勢與挑戰(zhàn)

邵國松 黃 琪

(1.上海交通大學(xué)媒體與傳播學(xué)院，上海 200030；2.四川大學(xué)文學(xué)與新聞學(xué)院，成都 610064)

一、兩大個人數(shù)據(jù)保護(hù)體系

一般認(rèn)為，個人數(shù)據(jù)保護(hù)有兩個理論來源，一個是歐盟基于保護(hù)人之尊嚴(yán)的數(shù)據(jù)保護(hù)理論，一個是美國基于保護(hù)個人自由的隱私理論。(1)Reidenberg J R.Resolving Conflicting International Data Privacy Rules in Cyberspace[J].Stanford Law Review，2000，52：1315-1372.在這兩種理念下發(fā)展出的數(shù)據(jù)保護(hù)體系，已成為當(dāng)今世界的兩大主流保護(hù)模式，共同影響著國際社會個人數(shù)據(jù)保護(hù)規(guī)則的形成與演變。

(一)歐盟個人數(shù)據(jù)保護(hù)體系

歐盟的個人數(shù)據(jù)保護(hù)體系發(fā)軔于一個國家的州級法律。1970年9月30日，聯(lián)邦德國黑森州議會在威斯巴登頒布了世界上第一部信息隱私法。隨后，聯(lián)邦德國其他各州和歐洲其他國家也陸續(xù)頒布了類似的數(shù)據(jù)保護(hù)法規(guī)。1980年，歐洲委員會通過了《個人數(shù)據(jù)自動化處理中的個人保護(hù)公約》，該公約為世界上第一部關(guān)于個人信息保護(hù)的國際公約，旨在保護(hù)包括隱私權(quán)在內(nèi)的個人基本權(quán)利與自由。

1995年，歐盟頒布《數(shù)據(jù)保護(hù)指令》(Data Protection Directive，以下簡稱DPD)，為個人數(shù)據(jù)保護(hù)提供了全面的規(guī)范。DPD的目標(biāo)主要有二：一是要求成員國保護(hù)公民的基本權(quán)利和自由，尤其是保護(hù)有關(guān)個人數(shù)據(jù)處理方面的隱私權(quán)；二是促進(jìn)個人數(shù)據(jù)在成員國內(nèi)部或成員國之間的自由流通。(2)Schwartz P M.The EU-U.S.Privacy Collision：A Turn to Institutions and Procedures[J].Harvard Law Review，2013，126：1966-2009.個人數(shù)據(jù)在此被界定為“與一個身份已被識別或可被識別的自然人相關(guān)的任何信息”。DPD為各成員國制定了一系列有關(guān)個人數(shù)據(jù)保護(hù)的基本規(guī)范。這些規(guī)范主要涉及數(shù)據(jù)主體的權(quán)利與數(shù)據(jù)控制者的義務(wù)兩個部分。數(shù)據(jù)主體的權(quán)利包括：接觸的權(quán)利；更正、刪除或封存?zhèn)€人數(shù)據(jù)的權(quán)利；反對的權(quán)利。數(shù)據(jù)控制者的義務(wù)包括：數(shù)據(jù)質(zhì)量原則；數(shù)據(jù)處理的合法原則；敏感數(shù)據(jù)的處理原則；告知當(dāng)事人原則；設(shè)置數(shù)據(jù)保護(hù)專員。在國家層面上，DPD要求成員國必須成立一個或多個數(shù)據(jù)保護(hù)機(jī)構(gòu)，對所轄范圍內(nèi)企業(yè)數(shù)據(jù)保護(hù)法的履行情況進(jìn)行監(jiān)督。該機(jī)構(gòu)必須具備完全的獨(dú)立性，對涉嫌違反個人數(shù)據(jù)保護(hù)法的公共或私營機(jī)構(gòu)具有調(diào)查、行政干預(yù)、提起法律訴訟等權(quán)力。此外，DPD還對將個人數(shù)據(jù)轉(zhuǎn)移或傳送至第三國的情形進(jìn)行了特別規(guī)定：除非該第三國對于個人數(shù)據(jù)進(jìn)行了充分程度的保護(hù)，否則將不被允許。值得一提的是，這些規(guī)范只是歐盟為成員國設(shè)置的最低標(biāo)準(zhǔn)，成員國可根據(jù)本國情況制定更高標(biāo)準(zhǔn)。

到了2012年，為應(yīng)對全球化和信息技術(shù)快速發(fā)展所帶來的挑戰(zhàn)，歐盟重新審視了先前的個人數(shù)據(jù)保護(hù)框架，制定了更具包容性、更具法律效力的《數(shù)據(jù)保護(hù)通例》(General Data Protection Regulation，以下簡稱GDPR)。該通例于2018年5月25日開始實(shí)施。DPD對成員國沒有直接約束力，需要各國通過國內(nèi)立法將其有效化，這也導(dǎo)致各國數(shù)據(jù)保護(hù)實(shí)踐的較大差異。制定GDPR的一個重要目標(biāo)就是將成員國數(shù)據(jù)保護(hù)的不同法律法規(guī)統(tǒng)一起來，并將此法律直接運(yùn)用到各成員國(無須通過國內(nèi)立法)。此外，GDPR擴(kuò)大了數(shù)據(jù)保護(hù)的領(lǐng)土范圍，除了歐盟范圍內(nèi)的適用，還適用于數(shù)據(jù)主體在歐盟境內(nèi)，但是控制者不在歐盟境內(nèi)，而在歐盟境內(nèi)向數(shù)據(jù)主體提供產(chǎn)品或服務(wù)的數(shù)據(jù)處理活動的情形(即所有向歐盟居民提供產(chǎn)品或服務(wù)的企業(yè))。與DPD相比，GDPR還涉及以下一些重要變化：增加了數(shù)據(jù)控制者的義務(wù)；擴(kuò)大了數(shù)據(jù)主體的權(quán)利；加大了對違法行為的懲罰。(3)邵國松.網(wǎng)絡(luò)傳播法導(dǎo)論[M].北京：中國人民大學(xué)出版社，2017：207.

論者指出，本著保護(hù)人的尊嚴(yán)的目的，歐盟個人數(shù)據(jù)保護(hù)體系的發(fā)展主脈絡(luò)是將個人數(shù)據(jù)保護(hù)作為一項(xiàng)獨(dú)立的基本權(quán)利來加以保護(hù)。該體系對數(shù)據(jù)處理的所有關(guān)鍵環(huán)節(jié)都加以嚴(yán)格規(guī)制，其保護(hù)之嚴(yán)密與全面，可被認(rèn)為是精心設(shè)計和打造的結(jié)果。但能否達(dá)到其期待的規(guī)制效果，對數(shù)據(jù)產(chǎn)業(yè)和經(jīng)濟(jì)發(fā)展是否存在負(fù)面影響，還有待研究。

(二)美國個人數(shù)據(jù)保護(hù)體系

在美國，與個人信息有關(guān)的權(quán)益保護(hù)主要處于隱私保護(hù)范疇，從而發(fā)展出發(fā)達(dá)的隱私權(quán)保護(hù)體系。美國法中的隱私概念含義相當(dāng)廣泛，強(qiáng)調(diào)個人自由，除非為了公共利益，個人事務(wù)自決，免受非法打擾。(4)高富平.個人數(shù)據(jù)使用合規(guī)：現(xiàn)行規(guī)則檢討與建議[EB/OL].(2017-08-31)[2019-11-12].https：//mp.weixin.qq.com/s/ytyqwzySPl_pnSJ4WXn1Aw.

1974年的《隱私法》是美國唯一一部保護(hù)信息隱私的聯(lián)邦立法。盡管該法的標(biāo)題看似寬泛，但只適用于聯(lián)邦政府對個人數(shù)據(jù)的處理，對于州政府或私營部門則無約束力。它規(guī)定了美國政府機(jī)構(gòu)在收集、儲存、使用公民個人信息時所必須遵守的規(guī)則。比如，沒有當(dāng)事人的書面允許，政府機(jī)構(gòu)不能向任何人或機(jī)構(gòu)泄露任何當(dāng)事人的有關(guān)信息。當(dāng)事人有權(quán)向行政機(jī)關(guān)提出要求，看他們究竟收集了自己什么樣的信息。如果這些信息不準(zhǔn)確，政府機(jī)構(gòu)需要根據(jù)本人的合理要求給予更正。任何采集、保有、使用或傳播個人信息的行政機(jī)關(guān)，必須保證該信息可靠地用于既定目的，合理地預(yù)防該信息的濫用。由于美國實(shí)行聯(lián)邦體制，該法并不適用于各州，絕大多數(shù)州缺乏綜合性的隱私法案，而是提供適用于特定領(lǐng)域或關(guān)注點(diǎn)的零散法規(guī)，比如“獲取教育記錄和虐待兒童數(shù)據(jù)庫”的規(guī)定。(5)Shaffer G.Globalization and Social Protection：The Impact of EU and International Rules in the Ratcheting up of U.S.Privacy Standards[J].The Yale Journal of International Law，2000，25：1-88.除了聯(lián)邦政府就某些特定問題規(guī)定的立法外，各州法律幾乎沒有統(tǒng)一之處。雖然美國憲法的一些條款對州和聯(lián)邦政府官員的行為提供了一些隱私保障，但其覆蓋范圍相當(dāng)有限，而且只適用于政府行為，而非私人行為。

對于商業(yè)機(jī)構(gòu)收集和使用個人信息，美國目前采取的是分散立法模式，即對特定信息領(lǐng)域進(jìn)行專項(xiàng)立法保護(hù)，主要包括《公平信用報告法》《健康保險攜帶和責(zé)任法》《兒童網(wǎng)上隱私保護(hù)法》等，分別針對個人信用信息、醫(yī)療信息和兒童個人信息等敏感領(lǐng)域。這些分散式立法對于保護(hù)特定領(lǐng)域的個人數(shù)據(jù)起到了關(guān)鍵的作用，但還有更多的數(shù)據(jù)游離于這些法律的管制之外，因此需要其他方式加以補(bǔ)充，比如美國特別強(qiáng)調(diào)的業(yè)界自律模式，包括但不限于建議性行業(yè)指導(dǎo)、網(wǎng)絡(luò)隱私認(rèn)證、技術(shù)保護(hù)模式、隱私政策聲明等。(6)邵國松.網(wǎng)絡(luò)傳播法導(dǎo)論[M].北京：中國人民大學(xué)出版社，2017：202-204.論者指出，業(yè)界自律可以最小化政府對企業(yè)的干預(yù)，這與美國的自由主義經(jīng)濟(jì)模式一脈相承。

另外，美國聯(lián)邦貿(mào)易委員會(FTC)在數(shù)據(jù)保護(hù)方面扮演了相當(dāng)重要的角色。它不僅能彌補(bǔ)分散式立法的缺陷，而且能和業(yè)界自律進(jìn)行無縫對接，促使業(yè)界真正履行隱私保護(hù)的承諾。表面看來，F(xiàn)TC有可能淪為“橡皮圖章”式的執(zhí)法機(jī)構(gòu)，因?yàn)槠鋱?zhí)法資源有限，缺乏民事處罰手段，罰款權(quán)限也相當(dāng)有限，但FTC對違法機(jī)構(gòu)的審查相當(dāng)漫長，大多數(shù)公司都會不堪其累，這就是FTC能對美國公司產(chǎn)生巨大震懾力的主要原因。(7)邵國松.網(wǎng)絡(luò)傳播法導(dǎo)論[M].北京：中國人民大學(xué)出版社，2017：204.比如，2019年，F(xiàn)acebook因未經(jīng)用戶授權(quán)將用戶信息泄露給第三方，并通過帶有欺詐性的設(shè)置和描述，從而被FTC罰款50億美元，可謂史無前例。這一事件也象征著FTC在隱私與網(wǎng)絡(luò)安全方面監(jiān)管公司的重大變化。面對FTC的調(diào)查，大部分公司都會接受調(diào)解，這樣一來就無須承擔(dān)法律責(zé)任，無名譽(yù)受損之風(fēng)險，也不會遭遇高額罰款。但是若接受調(diào)解，公司就必須接受“同意令”(consent order)。同意令的內(nèi)容主要包括：禁止犯同樣的錯誤；罰款；告知用戶(甚至進(jìn)行賠償)；刪除或禁止使用數(shù)據(jù)；完善隱私保護(hù)政策；建立全面的隱私保護(hù)體系；同意接受獨(dú)立第三方的合規(guī)評估；定期向FTC匯報等。這就被監(jiān)管機(jī)構(gòu)上了一道緊箍咒，使其謹(jǐn)慎從事，竭力做好數(shù)據(jù)安全和隱私保護(hù)工作。

二、個人數(shù)據(jù)保護(hù)體系全球融合的趨勢

如上所示，歐盟與美國分別采用不同的數(shù)據(jù)保護(hù)模式，相較于歐盟更多的依賴政府監(jiān)管，美國則更強(qiáng)調(diào)業(yè)界自律和市場機(jī)制。不同體系之間的碰撞與沖突在所難免。雖然歐洲數(shù)據(jù)處理市場基本上被美國壟斷，但歐盟龐大的優(yōu)質(zhì)消費(fèi)者市場以及引領(lǐng)國際規(guī)則制定的能力，為歐盟提供了相當(dāng)大的談判籌碼。(8)張金平.歐盟個人數(shù)據(jù)權(quán)的演進(jìn)及其啟示[J].法商研究，2019(5)：182-192.兩大體系的本質(zhì)差異迫使雙方就數(shù)據(jù)跨境流動等問題進(jìn)行了一系列的調(diào)和，以避免橫跨大西洋的貿(mào)易戰(zhàn)爭。這種調(diào)和促進(jìn)了兩大體系的融合，并影響到全球數(shù)據(jù)保護(hù)體系的走勢。

(一)歐美數(shù)據(jù)保護(hù)體系的融合趨勢

1.GDPR出臺之前

在GDPR出臺之前，DPD第25條所要求的“充分保護(hù)水平”一直是美國互聯(lián)網(wǎng)企業(yè)的心病。如果達(dá)不到這一數(shù)據(jù)保護(hù)要求，美國企業(yè)就難以實(shí)現(xiàn)與歐洲之間數(shù)據(jù)傳輸?shù)臅惩ㄐ耘c便捷性。安全港協(xié)議(Safe Harbor Rules)、標(biāo)準(zhǔn)合同條款(Standard Contractual Clauses)、約束性公司規(guī)則(Binding Corporate Rules)等協(xié)議和規(guī)則的出臺則大大緩解了這一矛盾。

安全港協(xié)議是美國和歐盟于2000年12月達(dá)成的協(xié)議，用于調(diào)整美國企業(yè)出口以及處理歐洲公民的個人數(shù)據(jù)。根據(jù)協(xié)議，收集個人數(shù)據(jù)的企業(yè)必須通知個人其數(shù)據(jù)被收集，并告知他們將對數(shù)據(jù)進(jìn)行怎樣的處理，企業(yè)必須得到允許后方可把信息傳遞給第三方，必須允許個人訪問被收集的數(shù)據(jù)，并保證數(shù)據(jù)的真實(shí)性和安全性，以及采取措施保障這些條款得到遵從。安全港協(xié)議的目標(biāo)是確保美國企業(yè)在達(dá)到歐盟較高保護(hù)標(biāo)準(zhǔn)的同時，維持美國長久以來一直采用的業(yè)界自律機(jī)制。安全港協(xié)議并非沒有漏洞，但人們普遍認(rèn)為它為解決歐美沖突提供了一個合理的、現(xiàn)實(shí)的選擇，可被稱為隱私法的“軟”協(xié)調(diào)。(9)Swire P P.Elephants and Mice Revisited：Law and Choice of Law on the Internet[J].University of Pennsylvania Law Review，2005，153：1975-2002.

歐盟委員會還在2001年6月和2004年12月相繼通過了兩套適用于數(shù)據(jù)控制者的標(biāo)準(zhǔn)合同條款，另在2010年2月通過了一套適用于數(shù)據(jù)處理者的標(biāo)準(zhǔn)合同條款。(10)詳情參見歐洲委員會關(guān)于標(biāo)準(zhǔn)合同條款的介紹：https：//ec.europa.eu/info/law/law-topic/data-protection.其目的在于通過在數(shù)據(jù)轉(zhuǎn)移雙方的合同中納入標(biāo)準(zhǔn)合同條款，將DPD規(guī)定的法定義務(wù)和責(zé)任轉(zhuǎn)化為合同義務(wù)和違約責(zé)任，尤其是轉(zhuǎn)化為合同雙方對作為第三者的數(shù)據(jù)主體的合同義務(wù)和違約責(zé)任，然后通過納入爭議解決及法律適用等條款，來確保數(shù)據(jù)主體的權(quán)利落到實(shí)處。(11)馮堅堅，袁立志.標(biāo)準(zhǔn)合同條款：歐盟個人數(shù)據(jù)出境的常規(guī)路徑之一[EB/OL].(2018-06-22)[2019-12-06].https：//mlaw.wkinfo.com.cn/professional-articles/detail/NjAwMDAwMzI3MDY%3D?module=.標(biāo)準(zhǔn)合同條款雖然是數(shù)據(jù)轉(zhuǎn)移雙方之間的合同，但重點(diǎn)卻是數(shù)據(jù)主體的權(quán)利及其保護(hù)機(jī)制。標(biāo)準(zhǔn)合同條款不僅簡化了企業(yè)制定數(shù)據(jù)傳輸協(xié)議的過程，也簡化了數(shù)據(jù)保護(hù)委員會對內(nèi)部隱私程序的識別。這對于歐美雙邊企業(yè)之間的數(shù)據(jù)便捷傳輸無疑都是有利的。

此外，歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)第29條工作組(12)第29條工作組(The Article 29 Data Protection Working Party)為歐盟數(shù)據(jù)保護(hù)權(quán)威機(jī)構(gòu)，是一個獨(dú)立的歐洲顧問機(jī)構(gòu)。根據(jù)GDPR規(guī)定，第29條工作組將由新組建的歐盟數(shù)據(jù)保護(hù)委員會(EDPB)替代。在2003年公布了所謂的約束性公司規(guī)則，這是有關(guān)在公司實(shí)體或集團(tuán)內(nèi)進(jìn)行國際數(shù)據(jù)傳輸?shù)膮f(xié)議，獲得歐盟認(rèn)可。協(xié)議規(guī)定，如果傳輸涉及特殊類型數(shù)據(jù)，數(shù)據(jù)主體有權(quán)被告知，或者在向非充分保護(hù)的第三國傳輸前被事先告知；針對歐盟境外的數(shù)據(jù)處理疑問，數(shù)據(jù)主體應(yīng)有權(quán)在合理時間內(nèi)獲得答復(fù)等；跨國公司、集團(tuán)公司如果具備歐盟成員國數(shù)據(jù)管理機(jī)構(gòu)認(rèn)可的約束性公司規(guī)則，則可以直接進(jìn)行集團(tuán)內(nèi)部的數(shù)據(jù)跨境傳輸，而無須另行批準(zhǔn)。(13)European Commission.Binding Corporate Rules[EB/OL].(2018-05-25)[2020-02-12].https：//ec.europa.eu/info/law/law-topic/data.英特爾、花旗集團(tuán)、E-bay、安永、GE、愛馬仕等數(shù)十家跨國集團(tuán)公司都參與了歐盟主導(dǎo)的這個協(xié)議。

2.GDPR出臺之后

在GDPR出臺之后，美國開始對其隱私法進(jìn)行調(diào)整，以保持和歐盟新體系的兼容。首要的調(diào)整是美國國會2016年2月通過的《司法補(bǔ)救法》(Judicial Redress Act),該法將1974年《隱私法》中的隱私保護(hù)和救濟(jì)條款擴(kuò)展到美國以外符合條件的國家/地區(qū)的公民。(14)U.S.Department of Justice.Judicial Redress Act[EB/OL].(2016-02-24)[2020-02-12].https：//www.justice.gov/opcl/judicial-redress-act-2015.條件主要有二：一是該國家/地區(qū)允許出于商業(yè)目的將個人數(shù)據(jù)轉(zhuǎn)移到美國；二是該國家/地區(qū)不會實(shí)施實(shí)質(zhì)影響美國國家安全的數(shù)據(jù)轉(zhuǎn)移政策。涉嫌隱私侵犯行為發(fā)生在美國時，這些國家和地區(qū)的公民便可享受和美國人同等的司法救濟(jì)。這個法律的及時通過為之后的傘形協(xié)議(Umbrella Agreement)和隱私盾(Privacy Shield)協(xié)議鋪平了道路。

2016年6月，歐盟和美國達(dá)成了涉及犯罪數(shù)據(jù)的傘形協(xié)議。該協(xié)議為歐美之間與犯罪活動相關(guān)的所有數(shù)據(jù)交換提供法律保障。歐盟成員國公民在發(fā)現(xiàn)其個人數(shù)據(jù)受到侵害時，能與美國公民享受同等的起訴權(quán)利。協(xié)議還規(guī)定：數(shù)據(jù)使用僅限于犯罪活動的預(yù)防、發(fā)現(xiàn)、調(diào)查和起訴；將數(shù)據(jù)轉(zhuǎn)移到美國、歐盟之外的機(jī)構(gòu)，必須事先獲得最初提供數(shù)據(jù)之國家的同意；數(shù)據(jù)保留不得超過必要或合適的期限，且保留期限必須公之于世等。由于此共享數(shù)據(jù)協(xié)議的通過，歐美在打擊跨境犯罪方面變得更為高效，同時也緩解了歐盟此前對缺乏商定保護(hù)措施的擔(dān)憂。

此外，在2015年Schrems案的判決中，因不能對歐盟公民的數(shù)據(jù)提供充分水平保護(hù)，歐美之前達(dá)成的安全港協(xié)議被正式宣布無效。(15)奧地利隱私保護(hù)倡導(dǎo)者M(jìn)ax Schrems與Facebook愛爾蘭公司之間的訴訟導(dǎo)致了歐盟與美國之間的隱私談判，美國對隱私保護(hù)措施的修改為談判的其中一部分。經(jīng)過不斷磋商和艱難談判，歐美在2016年7月推出了隱私盾協(xié)議(Privacy Shield)，以作為安全港協(xié)議的替代版，為跨境數(shù)據(jù)流動繼續(xù)提供制度保障。較之安全港協(xié)議，隱私盾協(xié)議有許多創(chuàng)新之處。比如，在規(guī)范對象方面，“隱私盾”協(xié)議約束納入名單內(nèi)的企業(yè)和退出名單的企業(yè)以及第三方；在合作機(jī)制方面，美國與歐盟建立了年度聯(lián)合審查機(jī)制；在權(quán)力限制方面，美國政府首度承諾官方行動將受到約束；在權(quán)利救濟(jì)方面，隱私盾協(xié)議為歐洲公民提供了更多的救濟(jì)途徑。(16)URL.EU-US Privacy Shield[EB/OL].(2016-02-02)[2019-12-27].https：//ec.europa.eu/info/law/law-topic/data-protection/international-dimension-.隱私盾協(xié)議的達(dá)成，為跨大西洋數(shù)據(jù)流通提供了新的安全框架，也促進(jìn)了歐美雙方數(shù)字經(jīng)濟(jì)的持續(xù)增長。

2018年6月，即GDPR生效一個月之后，美國加州州議會通過《加州消費(fèi)者隱私法》(California Consumer Privacy Act，簡稱CCPA)。如果說GDPR是歐盟“史上最嚴(yán)”的數(shù)據(jù)保護(hù)法，那么CCPA則被認(rèn)為全美最嚴(yán)厲的隱私保護(hù)法。鑒于大多數(shù)互聯(lián)網(wǎng)企業(yè)總部都設(shè)在加州，因此該法對美國乃至世界的互聯(lián)網(wǎng)企業(yè)影響重大。受法律傳統(tǒng)等因素的影響，CCPA與GDPR在立法價值方面存在本質(zhì)差異，但兩者相同之處甚多。首先，立法的目的基本相同，均為通過規(guī)范企業(yè)處理數(shù)據(jù)的行為，強(qiáng)化與數(shù)據(jù)相關(guān)的責(zé)任，設(shè)置較為嚴(yán)格的懲罰，以加強(qiáng)對個人數(shù)據(jù)和隱私的保護(hù)。其次，立法的內(nèi)容也有諸多共性，比如關(guān)于個人信息的定義均較為廣泛；均為個人新設(shè)數(shù)據(jù)可攜帶權(quán)、刪除權(quán)等權(quán)利；均要求企業(yè)告知用戶收集、使用、共享數(shù)據(jù)的具體信息；均強(qiáng)調(diào)尊重個人的信息自決權(quán)；均對兒童數(shù)據(jù)的同意作了具體規(guī)定；均設(shè)置較嚴(yán)格的處罰方式，為個人提供救濟(jì)途徑；均通過設(shè)置例外賦予多種合規(guī)路徑，鼓勵數(shù)據(jù)流通等。(17)State of California Department of Justice.California Consumer Privacy Act(CCPA)[EB/OL].(2018-06-28)[2020-01-15].https：//oag.ca.gov/privacy/ccpa.論者指出，如果說前述歐美之間一系列雙邊協(xié)議是零星的、權(quán)宜性的融合舉措，那么以CCPA為代表的美國立法則預(yù)示著兩大模式體系化融合的趨勢。

(二)數(shù)據(jù)保護(hù)法律的全球趨同趨勢

如前所述，數(shù)據(jù)保護(hù)法誕生于20世紀(jì)70年代的德國，之后隨著信息技術(shù)的不斷發(fā)展和隱私侵犯的相應(yīng)加劇，對于數(shù)據(jù)隱私予以保護(hù)已成為全球性的立法實(shí)踐。發(fā)展至今，已有126個國家和地區(qū)頒布了數(shù)據(jù)保護(hù)法，其中60%是歐洲以外的地方。近十年的立法趨勢尤為明顯，平均每年頒布的新法近5部。另有34個國家已將數(shù)據(jù)保護(hù)列入正式的立法議程，預(yù)計再過十年，世界上幾乎所有的國家都將擁有自己的數(shù)據(jù)保護(hù)法。(18)Greenleaf G.Global Convergence of Data Privacy Standards and Laws:Speaking Notes for the European Commission Events on the Launch of the General Data Protection Regulation(GDPR)in Brussels &New Delhi.[J/OL].(2018-05-25)[2020-01-15].https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3184548#.

全球范圍內(nèi)的大量立法并未導(dǎo)致數(shù)據(jù)保護(hù)的混亂與差異，反而出現(xiàn)全球標(biāo)準(zhǔn)的高度趨同。所有這126部法律都與1980年歐洲理事會108號公約的最初版本和經(jīng)合組織(OECD)隱私準(zhǔn)則所確立的10項(xiàng)內(nèi)容相似。自歐盟1995年推出DPD以來，全球數(shù)據(jù)保護(hù)的立法明顯受到DPD標(biāo)準(zhǔn)的影響。2016年GDPR的問世，則帶來了更高層次的立法趨同。比如，馬來西亞立法中的“數(shù)據(jù)可攜性”、韓國立法中的“4%行政罰款”、印度尼西亞立法中的“被遺忘的權(quán)利”等明顯采納了GDPR的立法創(chuàng)新。此外，大量歐洲以外的跨國公司，已明確表示“遵照GDPR”規(guī)則對用戶數(shù)據(jù)加以保護(hù)，盡管它們并沒有如此行事的法律義務(wù)。

另一方面，主權(quán)國家對數(shù)據(jù)主權(quán)的重視以及對數(shù)據(jù)利益的爭奪，使得數(shù)據(jù)的全球流動時常出現(xiàn)遲滯乃至發(fā)生爭端。發(fā)展中國家盡管會模仿歐美的數(shù)據(jù)保護(hù)制度，但并不意味著會臣服于歐美的力量以至于讓渡自身的數(shù)據(jù)主權(quán)。另外，由于每個國家存有各自的情況與路徑，數(shù)據(jù)保護(hù)很難遵循全球通用的一種模式。對此，我們或許可以借鑒《網(wǎng)絡(luò)犯罪公約》以及國際知識產(chǎn)權(quán)公約等領(lǐng)域的規(guī)制經(jīng)驗(yàn)，打造一個數(shù)據(jù)保護(hù)的國際公約。鑒于GDPR既被認(rèn)為是歐盟成員國的數(shù)據(jù)保護(hù)公約，也是歐洲之外眾多國家模仿的對象，相關(guān)國際組織可考慮以GDPR為藍(lán)本，設(shè)計全球化數(shù)據(jù)流動與保護(hù)的基本規(guī)則，同時給各個國家留下自治空間，最大化消除數(shù)據(jù)在全球范圍內(nèi)使用與保護(hù)的障礙。

三、個人數(shù)據(jù)保護(hù)全球融合面臨的挑戰(zhàn)

(一)兩大數(shù)據(jù)保護(hù)體系的沖突

1.保護(hù)理念的不同

在歐洲，數(shù)據(jù)(隱私)保護(hù)被囊括在人權(quán)保護(hù)的范疇內(nèi)，并被視為公法的一個重要組成部分。因此，歐盟熱衷于制定成文法律，通過打造全面的權(quán)責(zé)規(guī)范進(jìn)行預(yù)防性保護(hù)。在立法形式方面，歐盟熱衷于綜合性立法，孜孜以求構(gòu)建全面的數(shù)據(jù)保護(hù)體系。在綜合性立法中，部門/行業(yè)立法僅為一種備選，用于在總框架內(nèi)規(guī)制特殊情況。綜合性立法為評估“適當(dāng)性”與“充分性”提供了一個相對明確的目標(biāo)及標(biāo)準(zhǔn)。而且，它要求創(chuàng)建專門的數(shù)據(jù)保護(hù)機(jī)構(gòu)，以確保這些權(quán)利得到監(jiān)督和執(zhí)行。在歐盟數(shù)據(jù)保護(hù)模式中，政府力量不斷在增強(qiáng)擴(kuò)張，力圖通過高標(biāo)準(zhǔn)制度、強(qiáng)有力執(zhí)法實(shí)現(xiàn)對個人數(shù)據(jù)權(quán)利的保護(hù)。

相對于歐盟及其追隨者對綜合立法的偏愛，美國則是明顯的例外。如上所述，美國是典型的分散立法模式，它按部門、行業(yè)性質(zhì)對信息隱私進(jìn)行監(jiān)管，對公共機(jī)構(gòu)和私營部門也有不同的調(diào)整規(guī)范，在部門法體系下，數(shù)據(jù)保護(hù)主要依靠歷久彌新的業(yè)界自律機(jī)制。美國長期以來對集權(quán)方式表示懷疑，美國憲法的核心精神為限制政府權(quán)力。表現(xiàn)在數(shù)據(jù)保護(hù)方面，則是有意識地削弱聯(lián)邦政府的力量(比如，隱私領(lǐng)域最重要的立法《隱私法》只對聯(lián)邦政府機(jī)構(gòu)的活動進(jìn)行約束)，且認(rèn)為部門法而非綜合法可以使國家對數(shù)據(jù)市場的干預(yù)最小化。

即便加州通過了和GDPR類似的CCPA，兩者還是存在本質(zhì)差異。前者將個人數(shù)據(jù)權(quán)作為一種基本人權(quán)加以保護(hù)，其立法目的是強(qiáng)化對數(shù)據(jù)權(quán)利的保護(hù)，原則上禁止數(shù)據(jù)的商業(yè)使用，例外情況下合法授權(quán)允許；后者的立法目的是對數(shù)據(jù)的商業(yè)利用進(jìn)行規(guī)范，原則上允許數(shù)據(jù)的商業(yè)使用，在特定條件下加以禁止。

總體而言，歐盟主張統(tǒng)一和嚴(yán)格立法，而美國傾向分散和寬松立法；歐盟強(qiáng)調(diào)政府部門對數(shù)據(jù)保護(hù)的監(jiān)管，而美國則主張政府的有限干預(yù)。這些差別反映了兩者在個人數(shù)據(jù)保護(hù)政策基礎(chǔ)理念上的分歧。(19)王融.數(shù)據(jù)治理——精細(xì)科學(xué)的政策平衡[EB/OL].(2018-12-10)[2020-01-15].http：//www.sohu.com/a/280866783_455313.

2.保護(hù)實(shí)踐的差異

歐美數(shù)據(jù)保護(hù)的理念不同，也造成了保護(hù)實(shí)踐的差異。比如，歐盟更重視“公正信息準(zhǔn)則”(FIP)，包括數(shù)據(jù)收集的限制；數(shù)據(jù)質(zhì)量原則；以及通知、訪問和改正的個人權(quán)利。(20)Schwartz P M.The EU-U.S.Privacy Collision：A Turn to Institutions and Procedures[J].Harvard Law Review，2013，126：1966-2009.而且，部分FIP要素只存在于歐盟體系內(nèi)，比如：只依據(jù)法律處理個人數(shù)據(jù)；由獨(dú)立的數(shù)據(jù)保護(hù)機(jī)構(gòu)進(jìn)行監(jiān)管；限制向缺乏足夠隱私保護(hù)的國家輸出數(shù)據(jù)；限制信息的自動化決策；以及對敏感數(shù)據(jù)的額外保護(hù)。而美國在這方面的最大差異就是它并不支持“在沒有法律授權(quán)的情況下不能處理個人信息”這一觀念。相反，美國法律秉持監(jiān)管最少化原則，允許信息收集和處理，除非法律明確禁止該活動。此外，美國主張個人數(shù)據(jù)的保護(hù)要考慮數(shù)據(jù)控制者的利益，個人僅有一定的參與權(quán)而非控制權(quán)；在國際層面，基于國內(nèi)的憲法第一修正案(言論自由)和數(shù)據(jù)處理產(chǎn)業(yè)的優(yōu)勢主張數(shù)據(jù)跨境自由流動。(21)張金平.歐盟個人數(shù)據(jù)權(quán)的演進(jìn)及其啟示[J].法商研究，2019(5)：182-192.

美國與歐盟的另一個顯著差異是，美國沒有設(shè)立嚴(yán)格法律意義上的數(shù)據(jù)保護(hù)機(jī)構(gòu)。在監(jiān)管方面，美國最接近國家數(shù)據(jù)保護(hù)機(jī)構(gòu)的是FTC。如前所述，盡管FTC在保護(hù)隱私方面扮演著重要角色，但對商業(yè)機(jī)構(gòu)缺乏嚴(yán)格意義上的法律管轄權(quán)，執(zhí)法范圍仍相對有限。它更重要的作用在于外圍懲罰，通過對機(jī)構(gòu)的違法行為進(jìn)行調(diào)查或罰款發(fā)揮其監(jiān)管效能，而并不主動嵌入機(jī)構(gòu)內(nèi)部進(jìn)行監(jiān)管。這與歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)全面深入的管轄權(quán)限形成鮮明對比。

較之于歐盟，美國強(qiáng)調(diào)在消費(fèi)者權(quán)益保護(hù)和促進(jìn)企業(yè)發(fā)展及技術(shù)創(chuàng)新之間取得平衡。歐盟并不區(qū)分公司盈利與否、規(guī)模大小和服務(wù)性質(zhì)，從私營機(jī)構(gòu)到政府部門，從中小企業(yè)到跨國公司，甚至是個人，只要收集和處理個人數(shù)據(jù)，均受規(guī)制，且遵守相同的高標(biāo)準(zhǔn)合規(guī)要求。(22)王融，吳怡.美歐隱私立法是否走向趨同？加州消費(fèi)者隱私法CCPA給出答案[EB/OL].(2019-09-26)[2020-01-15].http：//www.sohu.com/a/343633883_455313.反之，美國法律的高標(biāo)準(zhǔn)保護(hù)僅限于特定的敏感信息行業(yè)。另外，美國企業(yè)有足夠的空間去嘗試新的數(shù)據(jù)處理方式，開拓新業(yè)務(wù)領(lǐng)域的企業(yè)受管制的可能性更小。在歐盟體系中，無論老牌或新興企業(yè)，無論何種技術(shù)創(chuàng)新，都要面臨數(shù)據(jù)法律的全面監(jiān)管，除非存在法定例外情形。比如，美國法律對信息的自動化處理不設(shè)限制，而GDPR對此明確賦予數(shù)據(jù)主體反對權(quán)。上述內(nèi)容僅為歐美數(shù)據(jù)保護(hù)實(shí)踐差異的部分列舉，但可以預(yù)見會給兩大數(shù)據(jù)保護(hù)體系的融合帶來變數(shù)。

(二)發(fā)展中國家融入全球體系面臨的挑戰(zhàn)

對于非歐盟國家(尤其是沒有建立或健全數(shù)據(jù)保護(hù)制度的發(fā)展中國家)而言，GDPR是其數(shù)據(jù)立法的標(biāo)桿。然而，對于發(fā)展中國家模仿、借鑒歐盟模式并非沒有批評之聲。(23)Shaffer G.Globalization and Social Protection：The Impact of EU and International Rules in the Ratcheting up of U.S.Privacy Standards[J].The Yale Journal of International Law，2000，25：1-88.尤其是發(fā)展中國家在經(jīng)濟(jì)、技術(shù)、法律層面的缺陷和短板，使得它們在融入全球體系的過程中面臨較大的困難，而且也難以達(dá)到預(yù)期功效。

1.經(jīng)濟(jì)層面

履行或遵守GDPR規(guī)范的成本是巨大的，對于發(fā)展中國家而言是一筆不小的負(fù)擔(dān)，這就有可能導(dǎo)致發(fā)展中國家對GDPR的完整執(zhí)行大打折扣。即便一個發(fā)展中國家存在全面的數(shù)據(jù)保護(hù)制度，也可能缺乏實(shí)施和執(zhí)行這些法律的資源手段，從而使數(shù)據(jù)保護(hù)制度最終淪為一個空架子。GDPR的高成本不僅會影響政府，還會波及所有受監(jiān)管的公司。比如，設(shè)置專員以回應(yīng)消費(fèi)者的訴求或投訴并進(jìn)行自我評估，是數(shù)據(jù)合規(guī)的基本要求，但很多發(fā)展中國家的企業(yè)因預(yù)算所限無法達(dá)到。另外，發(fā)展中國家需要考慮的一個問題是，嚴(yán)格的數(shù)據(jù)保護(hù)可能會給快速發(fā)展的信息產(chǎn)業(yè)創(chuàng)新帶來阻礙。中美兩國的互聯(lián)網(wǎng)巨頭企業(yè)無一不是通過借助龐大的用戶數(shù)據(jù)而蓬勃發(fā)展起來的，若這些企業(yè)創(chuàng)辦于一個有著嚴(yán)格數(shù)據(jù)保護(hù)的環(huán)境中，則難以取得如此規(guī)模的成就。歐盟在世界互聯(lián)網(wǎng)經(jīng)濟(jì)競爭中相對落后于中美兩國，可視為一個反證。

2.技術(shù)層面

在信息時代，因勞動力缺乏受教育的機(jī)會或受教育的技術(shù)勞動力外流，發(fā)展中國家面臨嚴(yán)重的技術(shù)瓶頸。即使在歐美等發(fā)達(dá)國家，信息技術(shù)方面的人才也并非如想象的那么充裕，遑論一個沒有同等教育水準(zhǔn)的發(fā)展中國家。對于部分發(fā)展中國家而言，采取最基本的數(shù)據(jù)保護(hù)措施都有可能是一個無法完成的難題。另外，發(fā)展中國家通常存在大量的社會民生問題(比如住房、醫(yī)療、清潔飲用水等)亟待解決，如此，對信息技術(shù)以及教育的重視與投資便自然擺在次要的位置。這些不利因素使得發(fā)展中國家無法有足夠的人力和技術(shù)資源來移植和執(zhí)行GDPR的規(guī)定。

3.法律制度層面

發(fā)展中國家通常法律制度較為落后，難以滿足GDPR的高標(biāo)準(zhǔn)、嚴(yán)要求。沒有完善的法律制度，對數(shù)據(jù)權(quán)益被侵犯的補(bǔ)救以及對侵犯數(shù)據(jù)權(quán)益的懲罰，就難以落實(shí)或根本不知道如何落實(shí)。沒有成熟的司法體系，數(shù)據(jù)爭端更有可能遭遇經(jīng)常性的拖延或泥牛入海般的官僚程序。比如，經(jīng)濟(jì)學(xué)家馬蒂厄·凱明(Matthieu Chemin)的一項(xiàng)調(diào)查顯示，在印度處理任何案件平均需要2年時間。(24)轉(zhuǎn)引自Curtiss T.Privacy Harmonization and the Developing World：The Impact of the EU’s General Data Protection Regulation on Developing Economics[J].Washington Journal of Law,Technology &Arts，2016，12(1)：95-122.發(fā)展中國家落后的法律及低效的司法效率，有可能損害自身與GDPR對接的努力及收益。

4.改進(jìn)的建議

從上文可以看出，GDPR保護(hù)范圍廣但執(zhí)行成本高。筆者以為，對于發(fā)展中國家而言，最好的方法或許是采取共管(co-regulatory)模式。該模式強(qiáng)調(diào)以政府的法律要求為背景，行業(yè)制定可執(zhí)行的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)。由于這些標(biāo)準(zhǔn)是由那些在監(jiān)管領(lǐng)域有專長的人而非不懂技術(shù)的政府官員來制定，該模式實(shí)施起來可能會更有效果。若要從共管模式中受益，發(fā)展中國家必須加大教育和科技領(lǐng)域的投資，還應(yīng)構(gòu)建值得信賴的、高效的司法系統(tǒng)。此外，發(fā)展中國家應(yīng)評估其企業(yè)是否有獨(dú)立保護(hù)用戶數(shù)據(jù)的能力，并為消費(fèi)者提供有效的行政和司法補(bǔ)救手段。

四、個人數(shù)據(jù)保護(hù)的中國路徑與中外對接問題

(一)個人數(shù)據(jù)保護(hù)的中國路徑

歐美自20世紀(jì)70年代開始建立其個人數(shù)據(jù)保護(hù)制度，我國起步較晚，直至進(jìn)入21世紀(jì)才對個人數(shù)據(jù)予以立法保護(hù)。在立法過程中，我們移植了不少歐美體系的信息保護(hù)制度。比如，《網(wǎng)絡(luò)安全法》參照GDPR規(guī)定個人有權(quán)同意他人是否可以收集其個人信息、有權(quán)要求更正和刪除其個人信息等。再比如，國家標(biāo)準(zhǔn)《個人信息安全規(guī)范》關(guān)于個人信息的定義、個人信息處理的基本原則、信息主體及信息控制者等法律關(guān)系主體的設(shè)置等與GDPR如出一轍。即便如此，我國個人信息的立法保護(hù)仍存鮮明的中國特色，大致有三：

1.刑法先行

與歐美數(shù)據(jù)隱私法孕育于民事領(lǐng)域不同，我國則發(fā)端于刑法，呈現(xiàn)明顯的“刑先民后”立法軌跡。這與我國社會乃至個人的自治意識較弱有關(guān)。很久以來，我們的隱私文化有欠發(fā)達(dá)。進(jìn)入時下的互聯(lián)網(wǎng)時代，人們開始關(guān)注其個人信息，主要是擔(dān)心信息泄露所帶來的人身和財產(chǎn)安全。這集中體現(xiàn)在兩個方面：一是電信詐騙，我國個人信息保護(hù)就是從打擊電信詐騙起步的；二是企業(yè)因開拓市場需要對個人信息的需求非常旺盛，導(dǎo)致個人信息的灰色產(chǎn)業(yè)(個人信息買賣)非常猖獗。(25)高富平.個人數(shù)據(jù)保護(hù)的中國視角[EB/OL].(2019-05-20)[2020-01-07].https：//www.luohanacademy.com/cn/insights/d89015b9ac3e1eeb.也因?yàn)榇耍覈紫葐⒂眯谭▉肀Ｗo(hù)個人信息。2005年通過的《刑法修正案(五)》就設(shè)置了“竊取、收買、非法提供信用卡信息罪”。2009年通過的《刑法修正案(七)》則將出售或非法提供公民個人信息和竊取、非法獲取公民個人信息入刑。2015年通過的《刑法修正案(九)》則將犯罪主體由“國家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員”擴(kuò)展為一般主體。2017年，最高人民法院、最高人民檢察院發(fā)布了《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，對刑法規(guī)定及其適用作出了詳細(xì)解釋，并賦權(quán)法官根據(jù)數(shù)量、類型、獲利等情節(jié)來判斷各種個人信息買賣、提供或流通等行為能否入刑。

然而，刑法的嚴(yán)格保護(hù)也有可能導(dǎo)致企業(yè)獲取個人信息的正常需求被一刀切斷，刑法的初始目標(biāo)是確保人身財產(chǎn)安全與社會安全，結(jié)果也有可能凍結(jié)了個人信息的合法流動。人類社會發(fā)展到今天，個人信息的流動與交易已成為一個普遍現(xiàn)象。如按照當(dāng)前的刑法標(biāo)準(zhǔn)加以執(zhí)行，則會出現(xiàn)入刑范圍太寬、入刑門檻太低的問題。因此有學(xué)者認(rèn)為，我國個人信息刑法保護(hù)已陷入兩難困境：我國的特殊“社情”催生了刑事保護(hù)，但嚴(yán)格執(zhí)法可能殃及正當(dāng)?shù)膫€人信息利用及技術(shù)創(chuàng)新；另一方面，違法的個人信息買賣不禁止，就無法營造一個正當(dāng)?shù)膫€人信息利用環(huán)境。(26)高富平.個人數(shù)據(jù)保護(hù)的中國視角[EB/OL].(2019-05-20)[2020-01-07].https：//www.luohanacademy.com/cn/insights/d89015b9ac3e1eeb.

2.分散立法

我國個人信息保護(hù)立法雖然模仿歐盟模式，但是并沒有形成綜合性法律體系，法律規(guī)定相當(dāng)零散。根據(jù)有關(guān)學(xué)者統(tǒng)計，我國目前有近40部法律、30余部法規(guī)以及近200部規(guī)章涉及個人信息保護(hù)。(27)邵國松.“被遺忘的權(quán)利”：個人信息保護(hù)的新問題及對策[J].南京社會科學(xué)，2013(2)：104-109.除有《全國人大常委會關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》《全國人大常委會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《網(wǎng)絡(luò)安全法》等專門立法外，個人信息保護(hù)還散見于《憲法》《刑法》《民法總則》《國家安全法》《保守國家秘密法》《消費(fèi)者權(quán)益保護(hù)法》《民法典》等法律中。而且，工信部、公安部、衛(wèi)健委、銀監(jiān)會、證監(jiān)會等部門也就各自主管領(lǐng)域發(fā)布了大量的規(guī)章制度，在行政層面上規(guī)范互聯(lián)網(wǎng)、醫(yī)療、個人信用等方方面面的個人信息。這些分散立法看似與美國的立法模式相似，實(shí)則在立法理念、保護(hù)邏輯、法律規(guī)則等方面存在極大的差異。我們的分散式立法本質(zhì)上是應(yīng)對式立法。它缺乏頂層規(guī)劃與整體設(shè)計，對個人信息保護(hù)的目的、在何種層面進(jìn)行保護(hù)、何為個人信息保護(hù)控制權(quán)等核心問題缺乏體系化的考慮，結(jié)果造成每個法律法規(guī)各自為政，缺乏內(nèi)在的邏輯和協(xié)調(diào)。而且，碎片化立法容易導(dǎo)致規(guī)則缺乏必要的彈性，也使得規(guī)范層級偏低，立法權(quán)威和管理的有效性受到減損。(28)彭誠信，向秦.“信息”與“數(shù)據(jù)”的私法界定[J].河南社會科學(xué)，2019(11)：25-37.

3.“同意”前置

在我國現(xiàn)行法律體系中，個人信息的收集以及使用須事先征得信息主體的同意。例如，《消費(fèi)者權(quán)益保護(hù)法》第29條規(guī)定：“經(jīng)營者收集、使用消費(fèi)者個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)消費(fèi)者同意?！薄毒W(wǎng)絡(luò)安全法》第41條規(guī)定：“網(wǎng)絡(luò)運(yùn)營者收集、使用個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。”最新頒布的《民法典》第1035條關(guān)于個人信息處理的原則仍全面沿襲了前述之規(guī)定，并無突破?！巴狻币馕吨鴤€人信息由個人控制或支配。盡管個人信息控制論為個人信息保護(hù)的理論基礎(chǔ)，但不等同于非經(jīng)同意不得使用個人信息的規(guī)則。在歐盟，合法性為個人數(shù)據(jù)處理的基礎(chǔ)，同意只是合法性基礎(chǔ)之一，它并沒有上升為一種權(quán)利，而是作為一種特殊情形的保護(hù)模式。在美國，個人對信息的控制也不是一項(xiàng)絕對權(quán)，它受到憲法第一修正案的制約，對信息的控制應(yīng)與信息的自由流動平衡，而不能起阻礙效應(yīng)。因此，美國的《隱私法》對個人同意的范圍進(jìn)行嚴(yán)格限制，沒有將個人控制一般化。質(zhì)言之，個人信息控制理論在歐美沒有升級對個人數(shù)據(jù)的排他支配權(quán)，我國則是目前國際社會為數(shù)不多的在個人信息收集、使用上將同意規(guī)則前置的國家。(29)高富平.個人信息保護(hù)：從個人控制到社會控制[J].法學(xué)研究，2018(3)：84-101.要徹底貫徹這個規(guī)定不僅不現(xiàn)實(shí)，而且會阻礙個人信息的正常流通。

(二)個人數(shù)據(jù)保護(hù)的中外對接

如上所述，即便形式上借鑒了歐美的保護(hù)制度，我國個人信息保護(hù)仍存鮮明的中國特色。隨著國內(nèi)外環(huán)境的變化，已有學(xué)者提議要建立起一套和歐美媲美乃至抗衡的信息保護(hù)制度。在此背景下，我國個人信息保護(hù)法律是否還需要和世界主流體系對接？若真有需要，又當(dāng)如何對接？這是我國當(dāng)下大力發(fā)展數(shù)據(jù)驅(qū)動產(chǎn)業(yè)時必須認(rèn)真對待的兩個問題。

1.是否需要和世界對接？

當(dāng)今世界以人工智能為代表的技術(shù)革命暗潮涌動，而這一輪技術(shù)革命的核心要素在于個人數(shù)據(jù)的收集和利用，因此眾多國家紛紛從戰(zhàn)略高度予以重視并付諸行動。在個人數(shù)據(jù)保護(hù)層面，歐美為第一檔次，處于規(guī)則制定者地位，其他國家為第二或更低檔次，屬于追隨者與被動承受者角色。(30)高富平，王苑.論個人數(shù)據(jù)保護(hù)制度的源流——域外立法的歷史分析和啟示[J].河南社會科學(xué)，2019(11)：38-49.我國雖處于第二檔次，但與其他第二檔層次的國家甚至與歐盟相比，具有許多后者不可比擬的發(fā)展優(yōu)勢。歐盟追求全面、嚴(yán)格、完善的數(shù)據(jù)立法固然有其歷史緣由，但很大一部分原因在于歐洲的數(shù)據(jù)市場長期被美國網(wǎng)絡(luò)巨頭占據(jù)。因此，歐盟立法的一個重要目的就是限制美國企業(yè)，保護(hù)、扶持和發(fā)展歐盟本土數(shù)據(jù)產(chǎn)業(yè)，進(jìn)而在全球數(shù)據(jù)處理市場獲得一席之地。(31)張金平.歐盟個人數(shù)據(jù)權(quán)的演進(jìn)及其啟示[J].法商研究，2019(5)：182-192.我國雖為一個發(fā)展中經(jīng)濟(jì)體，但在我國數(shù)據(jù)處理市場中占主導(dǎo)地位的一直都是本土企業(yè)，部分本土企業(yè)更是在國際市場高居前位(比如，百度、騰訊、阿里巴巴三家公司多年來穩(wěn)居世界互聯(lián)網(wǎng)公司市值前十)。因此，我國數(shù)據(jù)立法的主要目的不是防止他國挑戰(zhàn)我國的數(shù)據(jù)處理市場，而是如何為本土信息產(chǎn)業(yè)的壯大創(chuàng)造良好的制度環(huán)境，并防范本土企業(yè)實(shí)施不正當(dāng)競爭。我國數(shù)據(jù)市場的規(guī)模在國際社會可與歐美媲美，但與歐美市場之間的互相影響與滲透不同，我國數(shù)據(jù)處理市場相對孤立封閉，外部影響微弱且難以介入。這使得我國數(shù)據(jù)法律在一個相對封閉的市場環(huán)境中運(yùn)行，涉及數(shù)據(jù)出入境規(guī)則及域外效力問題較少，與國際主動對接的機(jī)會也較少。

然而，隨著中國企業(yè)走向世界的決心日益堅定，向世界拓展的節(jié)奏逐漸加快，數(shù)據(jù)的跨境流動和保護(hù)也必然成為我國企業(yè)要解決的關(guān)鍵問題。2020年，美國政府以數(shù)據(jù)安全為名對字節(jié)跳動旗下的抖音海外版Tiktok進(jìn)行封殺，體現(xiàn)了個人信息保護(hù)與國際規(guī)則接軌的緊迫性。美國打壓Tiktok自然有多個層面的考慮，但如前所述，我國當(dāng)前的個人數(shù)據(jù)保護(hù)制度的確需要改進(jìn)，在促進(jìn)數(shù)據(jù)產(chǎn)業(yè)發(fā)展的同時，需要加大用戶信息保護(hù)的力度，否則難以取信于世界。尤其是，個人數(shù)據(jù)不可阻擋地會在全球流動，沒有任何國家和地區(qū)真能將其局限于一國國境之內(nèi)。這都要求我們積極主動和世界對接，創(chuàng)建一套高水準(zhǔn)的、符合中國國情的數(shù)據(jù)保護(hù)體系。

2.如何和世界對接？

在如何和世界主流體系對接方面，我國進(jìn)行了一些移植性嘗試，但效果尚不顯著。對接的首要問題是要理解歐美兩大體系的特點(diǎn)。歐盟體系偏好綜合立法，偏向數(shù)據(jù)權(quán)利保護(hù)一方，意在打造公民的基本數(shù)據(jù)權(quán)利體系。而且，當(dāng)前歐盟模式在世界范圍內(nèi)較美國模式更占主導(dǎo)地位，自然有其易于學(xué)習(xí)和模仿的優(yōu)勢。無論從大陸法系的銜接性還是從現(xiàn)實(shí)情況出發(fā)，我國向歐盟標(biāo)準(zhǔn)靠攏看似具有更大的可行性。

傳統(tǒng)的美國模式強(qiáng)調(diào)業(yè)界自律，最小化政府干預(yù)，因而偏好數(shù)據(jù)的自由流通，以促進(jìn)數(shù)字經(jīng)濟(jì)的發(fā)展。美國數(shù)據(jù)保護(hù)的最新成果——CCPA——則吸收了歐盟GDPR的經(jīng)驗(yàn)，同時又部分保留了美國立法的自由主義傳統(tǒng)。簡而言之，CCPA旨在通過提升數(shù)據(jù)利用的透明度來實(shí)現(xiàn)主體的隱私控制權(quán)，進(jìn)而尋求數(shù)據(jù)價值利用與主體權(quán)益保護(hù)的一致性。在立法實(shí)踐上，CCPA弱化了個人信息主體的絕對控制權(quán)，從而為數(shù)據(jù)處理和控制企業(yè)進(jìn)行商業(yè)創(chuàng)新預(yù)留了空間。在賦予個人數(shù)據(jù)開放共享、甚至買賣出售空間的同時，CCPA又對數(shù)據(jù)隱私主體的基本權(quán)益予以堅決保護(hù)。從這個層面來講，CCPA或許更適合我國的國情。我國當(dāng)前的使命主要是促進(jìn)數(shù)字產(chǎn)業(yè)的創(chuàng)新與發(fā)展，實(shí)現(xiàn)數(shù)字技術(shù)革命的彎道超車，從而在此基礎(chǔ)上給民眾帶來更多的技術(shù)紅利。如果全盤采取GDPR那般嚴(yán)密的保護(hù)體系，不僅有可能大幅壓縮我國互聯(lián)網(wǎng)企業(yè)的成長空間，客觀上也有可能限制技術(shù)、資金與人才的自由流動。從這個意義上講，CCPA的整體平衡、均等保護(hù)策略，對于我國的個人數(shù)據(jù)法律保護(hù)而言，或許具有更好的參考價值。

參照歐美兩大保護(hù)體系，我們可從頂層、整體設(shè)計我國的個人信息保護(hù)體系，尤其有必要出臺一部基于我國國情的個人信息保護(hù)法，以結(jié)束當(dāng)前分散立法、“九龍治水”的混亂局面。在立法理念上，我國應(yīng)牢牢秉持“安全風(fēng)險防范為主、兼顧數(shù)字經(jīng)濟(jì)”的立法原則，推崇“促進(jìn)數(shù)據(jù)自由流動和便捷交易”的價值取向，平衡個人信息的保護(hù)與數(shù)字經(jīng)濟(jì)的發(fā)展。在立法實(shí)踐層面，我們應(yīng)采用個人信息的有效利用和有效保護(hù)相結(jié)合方案。有效利用強(qiáng)調(diào)個人信息流通的經(jīng)濟(jì)和社會價值；我們尤其需要終止“同意前置”的剛性要求，因?yàn)檫@可能導(dǎo)致對個人信息控制的絕對化，阻礙個人信息的正常流通和有效利用。有效保護(hù)要求商業(yè)機(jī)構(gòu)充分履行安全保障義務(wù)，故應(yīng)阻止對個體主體權(quán)益的侵犯；而在個體主體權(quán)益遭到侵害時，又能提供便利、高效的救濟(jì)機(jī)制。

此外，鑒于個人數(shù)據(jù)保護(hù)全球融合的最大原動力來自個人數(shù)據(jù)的跨境流動，我們應(yīng)在現(xiàn)有法律基礎(chǔ)之上，進(jìn)一步完善數(shù)據(jù)跨境流動的法律體系。我們尤其需要盡快通過和實(shí)施個人信息保護(hù)法，以保障跨境流動中數(shù)據(jù)主權(quán)和數(shù)據(jù)自由的平衡。目前，歐盟GDPR要求歐盟境外的數(shù)據(jù)接收方在達(dá)到與其相同的數(shù)據(jù)保護(hù)水平時數(shù)據(jù)才可跨境；(32)歐盟GDPR規(guī)定，向獲得歐盟保護(hù)水平認(rèn)定的國家或國際組織轉(zhuǎn)移個人數(shù)據(jù)，不需要任何特別授權(quán)。目前，獲得認(rèn)定的國家包括安道爾、阿根廷、加拿大(部分)、法羅群島(屬丹麥)、格恩西、以色列、馬恩島(英國屬地)、澤西、新西蘭、瑞士、烏拉圭、美國 (隱私盾)，但不包括我國。美國新近通過的CLOUD法則賦予美國執(zhí)法部門通過服務(wù)提供商獲取存儲于境外的電子數(shù)據(jù)的權(quán)力。(33)美國2018年初通過《澄清合法使用境外數(shù)據(jù)法》(簡稱CLOUD法案)，賦予美國執(zhí)法部門通過服務(wù)提供商獲取存儲于境外的電子數(shù)據(jù)的權(quán)力，同時也賦予“適格外國政府”通過服務(wù)提供商獲取存儲于美國的電子數(shù)據(jù)的權(quán)力。我國目前尚不屬于該法所謂的“適格外國政府”。我國《網(wǎng)絡(luò)安全法》強(qiáng)制規(guī)定了數(shù)據(jù)本地化儲存制度，(34)我國《網(wǎng)絡(luò)安全法》明確規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)必須在境內(nèi)存儲；如因業(yè)務(wù)確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估。這固然有利于保護(hù)我國的數(shù)據(jù)主權(quán)，但也有可能影響數(shù)據(jù)的跨境流動。因此，我們有必要完善個人信息立法，在保障數(shù)據(jù)主權(quán)、提升境內(nèi)數(shù)據(jù)保護(hù)水準(zhǔn)的同時，積極主動利用國際公約或雙邊、多邊對話機(jī)制構(gòu)建境外數(shù)據(jù)的互惠、對等獲取機(jī)制。