跨境數據轉移的國際規制及中國法律的應對
——兼評我國《網絡安全法》上的跨境數據轉移限制規則

張金平

(北京大學法學院，北京 100087)

?

跨境數據轉移的國際規制及中國法律的應對
——兼評我國《網絡安全法》上的跨境數據轉移限制規則

張金平

(北京大學法學院，北京 100087)

在國家層面，世界上近七十個國家基于GATS隱私例外條款依法限制跨境數據轉移：假定第三國的數據保護水平不及本國，如果企業將數據從本國轉移到第三國，則屬于規避本國法律，應當予以限制；在具體操作上，有第三國適當性評估、數據控制者擔保和數據主體的同意等三種模式可供選擇。在國際層面，OECD指南和《APEC隱私框架》均為推薦性指南，而TPP、TTIP和TISA在跨境數據轉移方面擱置爭議、回歸GATS規則基本成為定局。在這一背景下，我國《網絡安全法》在跨境數據轉移規制方面比較好地做到了消費者利益、產業利益和國家安全利益的平衡；國內市場和國際市場的平衡；國內立法和國際規則的平衡。

隱私；國家安全；個人數據；跨境數據轉移；國際規則；網絡安全法

在全球化和數字化背景下，個人數據跨平臺、跨法域的收集、存儲、處理、使用和轉移已經成為常態。跨境數據流動有利于促進技術的革新、經濟的發展以及縮小各國的經濟文化差異，甚至有利于打擊跨國犯罪和恐怖主義。然而，企業進行個人數據轉移也可能是為了規避本國保護個人數據方面的法律，并濫用這些數據侵害相關主體的個人數據權或隱私權，甚至，這些數據可能被第三國政府用于跨國情報監聽。因此，出于對公民合法權益的保護、企業的監管以及國家安全的考慮，世界各國大多對個人數據進行不同程度地立法保護，限制個人數據的跨境轉移。例如，歐盟1995年《數據保護指令》(以下簡稱：《指令》)和2016年《通用數據保護條例》(以下簡稱：《通用條例》)都明確限制跨境數據轉移。在此種立法壓力下，為了本國企業在歐盟的利益，美國政府于2001年和2016年先后被迫向歐盟委員會妥協，簽訂安全港框架協議和隱私盾協議。又如，我國的全國人大常委會在2015年7月和2016年6月先后發布《網絡安全法》草案一稿和草案二稿，其中規定企業在中國境內存儲個人數據，經安全評估后方可跨境轉移。2016年11月7日，全國人大常委會通過了我國《網絡安全法》，該法第37條保留了草二稿第35條提供的方案，規定關鍵信息基礎設施的運營者因業務需要，確需向境外提供個人信息和重要數據的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。

考慮到不少外國企業和部分政府對于上述方案仍有若干批評意見，*See United States Council for International Business, Aug. 2016 Letter on PRCG Cybersecurity Regulations, available at http://www.uscib.org/uscib-content/uploads/2016/08/Aug-2016-Letter-on-PRCG-Cybersecurity-Regulations-final-EN.pdf, last visited Oct. 22, 2016.筆者于本文中擬結合關于跨境數據轉移的現有國際規則以及未來十年內可能的發展趨勢，嘗試從國際法和國內法相交錯的視角客觀評價我國《網絡安全法》的有關規定，并就未來關鍵信息基礎設施運營者的跨境數據轉移的安全評估辦法的制定提出若干建議。

一、跨境數據轉移國際規制的緣起

通常而言，跨境數據轉移是指數據在不同法域之間流動。*European Union Agency for Fundamental Rights, the Council of Europe and the Registry of the European Court of Human Rights, Handbook on European Data protection law, Publications Office of the European Union, 2014, p.130. See also Christopher Kuner, Transborder Data Flows and Data Privacy Law, Oxford University Press, 2013, p.11.使用“轉移”的稱謂，主要是考慮了數據流動中涉及的兩個不同法域下的不同主體。跨境數據轉移面臨的問題，主要是指數據出口國(數據流出國)和數據進口國(數據流入國)之間對于數據保護和數據跨境監管的法律沖突與調和。

(一)歐美經濟政治博弈所引發的法制變革

二十世紀七十年代，美國的阿帕網開始由軍用轉為民用，逐漸發展成為人們熟知的互聯網。美國的IBM等公司依靠其技術和商業優勢在世界各國(尤其是歐洲發達國家)開展跨國業務，每年出口超過120億美元的計算機設備和系統，并通過這些設備和系統形成的局域網及互聯網，收集、存儲和跨境轉移大量數據，掌握其他國家絕大多數的政府機構、企業、科研機構、個人的信息，搶占了全球與計算機有關產業的半壁江山。*Garry S. Grossman, “Transborder Data Flow: Separating the Privacy Interests of Individuals and Corporations”, 4 Nw. J. Int'l L.&Busi. 1, 4 (1980).對此，歐洲共同體委員會在1973年指出，在數據處理產業，歐共體內部還沒有足夠大的公司(即使是最大的幾家大公司合并仍不夠大)能夠與美國第二梯隊的公司進行競爭，更別說與美國處于第一梯隊的IBM公司競爭。*Commission of the European Communities, Towards a European Policy on the EDP Industry, III/1005/73-E, p.10 (1973).歐共體理事會在1974年指出，目前全世界數據處理產業的結構很不平衡，歐共體內部的數據處理應用令人堪憂，因此有必要在進出口信息處理系統、航空管制數據處理系統、計算機輔助設計等數據處理行業進行重點投入，并且在歐共體內部采取統一的數據處理政策，爭取在二十世紀八十年代建立起歐共體強大的計算機相關產業。*EC Committee of Economic and Monetary Affairs, Report on the Communication from the Commission of the European Communities to the Council (Doc. 21/75) Containing Initial Proposals for Priority Projects in Data Processing, PE 40.502/fin, p.11 (1975).事后看，歐洲方面的擔心并不是杞人憂天——2013年的“棱鏡門事件”便是最好的證據。

1.美國反對歐洲各國制定個人數據保護法限制數據轉移

面對前所未有的挑戰，歐洲各國紛紛開始思考法制應對之策。

前西德的黑森州在1970年通過世界上第一部《數據保護法》，并成立數據保護委員會，專門監管黑森州政府官方文件(但不適用于個人文件)的存儲、傳輸，防止非法地獲取、修訂和破壞。*Electronic Privacy Information Center, “Computers and Privacy: The Reaction in Other Countries”, available at https://epic.org/privacy/hew1973report/appenb.htm , last visited June 26, 2016.由此可見，前西德的數據保護法其實是傾向于從政府安全的角度進行立法。該法通過后，前西德其他州也相繼通過類似的法律。

瑞典在1973年選擇從保護個人數據的角度通過《瑞典數據保護法》。該法是世界上第一部明確限制個人跨境數據轉移的法律：設立瑞典數據監管委員會，所有自動處理個人數據的計算機系統須經數據監管委員會許可后才能設立，所有跨境數據轉移都必須事先獲得數據監管委員會的批準。同時，該法還首次明確賦予個人數據權，包括知情、同意權，獲取、修訂權。*Ibid.這部法律不僅限制美國企業處理瑞典公民的個人數據，也給瑞典公民個人在互聯網上開展活動(如設立BBS)設置了障礙，因此受到很多自由言論人士的詬病。

法國議會在1972年曾提議進行個人數據保護立法，但當時法國國內對于《法國民法典》第9條規定的隱私權與計算機處理的個人數據之間的關系并沒有達成共識：民法典的隱私權范疇只是由法院來界定的，而在實踐中個人能夠對計算機處理的個人數據提出何種主張并不確定。*Ibid.直到1978年，法國才通過《信息技術、數據文件與民事自由法》，首次超越《法國民法典》有關隱私的規定，明確賦予法國公民對其個人數據享有系列權利：知情同意權、反對權、獲取權、修改權、被遺忘權(the right to be forgotten)。數據控制者收集和處理個人數據必須基于合法目的，且事先獲得數據主體的同意。*Library of Congress of United States, “Online Privacy Law: France”, available at http://www.loc.gov/law/help/online-privacy-law/france.php#_ftn1 , last visited June 26, 2016.

之后，丹麥、奧地利、挪威、盧森堡、英國、葡萄牙、西班牙、比利時等國都從個人數據保護的角度、相繼出臺了個人數據保護法，并以明示(如瑞典)或默示(如法國)的方式限制數據的跨境轉移。

歐洲國家選擇以個人數據保護為由限制數據的跨境轉移，引起了美國企業界和政府的強烈反對。對于美國企業而言，數據就是金錢，切斷數據流動就等于扼住美國企業的喉嚨。*Jane A. Zimmerman, “Transborder Data Flows: Problems with the Council of Europe Convention, or Protecting States from Protectionism”, 4 N.W. J. INT'L L. & Bus 601, 604-605 (1982). See also The Economist, Data, Data Everywhere: A Special Report on Managing Information, February 27, 2010.美國駐經濟合作與發展組織代表黛安娜·杜根曾這樣指責歐洲國家的有關做法：“如果這些數據立法的目的是為了保護公共秩序、財產權或扼制潛在競爭對手其它方面的發展，那么這些目的都應當在立法中直接進行明確。我們不接受以‘保護文化完整性’等借口進行信息控制，特別是這些立法常常只是經濟保守主義或是言論監控的幌子。我們認為，信息跨境自由流動是民主社會的傳統，我們的法律制度應當設計為鼓勵信息自由獲取、限制信息濫用。”*Diana Lady Dougan, OECD Second Symposium on TBDF, in London, England 11-13 (Dec. 1983), quoted in Ronald Wellington Brown, “Economic and Trade Related Aspects of Transborder Data Flow: Elements of a Code for Transnational Commerce”, 6 NW. J. INT'L L. & BUS. 1, 20 (1984).

2.OECD指南的有限協調

由于各國經濟發展越來越受跨境數據轉移的影響，歐洲各國不同數據保護法不僅給這些國家與美國的跨境數據轉移造成影響，也限制了歐洲國家之間的數據轉移。因此，歐共體委員會在1976年就開始召集各成員國在經濟合作與發展組織(OECD)的代表，共同研究解決方案。*EU Commission, Report Concerning the Developments in the Data-Processing Sector in the Community in Relation to the World Situation, Volume III, COM (76) 524 final Vol. III, 27 October 1976.歐洲各國在歐共體委員會的組織和努力下，聯合加拿大和澳大利亞等國，于1980年使《關于隱私保護和個人跨境數據轉移的指南》(以下簡稱：OECD指南)得以通過。

OECD指南包括5部分22條。第1部分為一般條款，規定該指南為數據保護的最低標準。第2部分規定成員國內部適用層面的8大數據處理原則，包括限制收集原則、數據質量原則、目的明確原則、使用限制原則、安全保障原則、透明原則、個人參與原則和責任原則。第3部分規定國際適用層面數據跨境自由流動和正當限制的基本原則：成員國應當避免以隱私保護和個人自由為名義出臺立法或政策限制數據的自由流動；但特殊情況下可以限制跨境數據轉移。所謂特殊情況，指的是成員國認為其他成員國未對特定類型數據采取同等保護。

實踐中，雖然歐共體委員會及其成員國對OECD指南充滿希望，但它僅是推薦性指南，并沒有強制力，無法真正統一歐洲各國的立法，美國也未采納它。

為了堅定歐洲各國的立場、進一步協調歐洲共同體成員國的數據保護立法，歐共體理事會在1981年出臺《關于個人數據自動處理過程涉及的各國監管機構與跨境數據轉移的個人保護公約》(以下簡稱：歐共體公約)。與OECD指南不同的是，該公約對歐共體成員國具有約束力，其內容簡短，目的明確。該公約僅3條，其第2條規定向非成員國進行跨境數據轉移的前提是該非成員國對個人數據提供了適當保護；所謂適當保護的評估，成員國當局既可以根據非成員國的立法確定，也可以通過對數據轉移合同條款的評估而決定。從效果上看，該公約強化了歐洲國家對于數據跨境流動的立場，也導致歐美在數據跨境問題上的分歧越來越大。盡管如此，歐共體議會下設的法律委員會仍不滿意。在1981年12月，該委員會建議歐共體議會考慮，“將個人數據保護的權利以一種人權明確規定在《歐洲人權公約》第六議定書的可行性和必要性。基于OECD指南和歐共體公約，我們已經采取了具體措施來協調成員國數據保護法，下一步就要考慮歐共體層面是否有必要出臺更強有力的法律”。*Legal Affairs Committee of European Parliament, Second Report on the Protection of the Rights of the Individual in the Face of Technical Developments in Data Processing, 1981-1982 Eur. Parl. Doc. (No.1-548) (1981), quoted in Ronald Wellington Brown, supra note 11, p.23.

(二)WTO隱私保護例外條款及其對各國法制變革的影響

在國際法律層面，歐美之間的分歧并沒有得到有效解決。然而，這種通過個人數據保護限制跨境數據轉移的做法，在1994年WTO框架下的《服務貿易總協定》(GATS)中得到了明確——成員國可以隱私保護為由限制跨境服務貿易。

1.GATS隱私保護例外條款

GATS是第一個規范跨境服務貿易的國際條約，目的在于協調各成員國在服務貿易方面的法律和政策，在適用范疇上覆蓋了除政府部門提供的服務和空運服務之外的其他所有服務，其成員國達到140多個。GATS將服務細分成四種形式：跨境交付；境外消費；在他國設立商業存在；通過派遣職員到他國提供服務。因此，電子商務自然被納入其中。成員國一旦以積極列表的方式承諾了納入GATS規制的服務，就受到GATS的管轄。

由于跨境服務貿易政策不可避免地涉及成員國的主權和國內政策，GATS第14條“一般例外”條款規定了成員國可以在一定條件下——“如果下列措施的實施在相同情況的國家間不構成任意的或者無端的歧視，或者不構成變相的服務貿易限制”——采取的四大類措施：(a)為保護公共道德或維持公共秩序的必要措施；(b)為保護人類、動物、植物的生命和健康而采取的措施；(c)為了確保與本協定不會構成不一致的法律或法規得到遵守所必需采取的措施；(d)雖然與第17條不一致，但該措施針對另一成員國的服務或服務提供者收取公平有效的直接稅收，以及雖然與第2條不一致，但該措施涉及的不同待遇是為了避免雙重課稅。GATS第14條第(c)款又細分了三種可采取例外措施的情形：(1)防止欺詐或處理服務合同違約而產生的影響；(2)保護數據處理和傳播中的個人隱私和個人記錄及賬戶的保密性(以下簡稱：“隱私例外條款”)；(3)安全(以下簡稱：“安全例外條款”)。

由此可見，歐洲各國在歐共體委員會的聯合組織下，成功通過WTO“一國一票”的投票規則，將成員國對數據處理和傳播過程中的個人數據保護立法轉變為一種合法限制國際自由貿易的措施。

2.歐盟《關于個人數據自動處理和自由流動的個人保護指令》及其影響

基于GATS隱私例外條款提供的國際法依據，以及歐盟經濟一體化的目標，歐盟在1995年快速通過了《關于個人數據自動處理和自由流動的個人保護指令》(以下簡稱：《指令》)，名正言順地限制成員國向非成員國的跨境數據轉移。

《指令》以法國數據保護法和OECD指南為藍本，分8章34條。其第2章規定合法處理個人數據的基本原則：合法處理原則；目的限制原則；同意處理原則；敏感信息特別處理原則；處理與言論自由沖突時的比例原則；透明原則；保密處理和安全處理原則。其第4章規定數據向非成員國跨境轉移的規則。《指令》大大強化了歐盟各國個人數據的保護水平，明確了成員國必須設立數據監管部門進行個人跨境數據轉移的事先審查制度和批準制度。《指令》對歐盟28個成員國有約束力，各成員國必須通過國內立法予以執行。

不僅如此，《指令》還掀起了其他國家和地區進行數據保護立法的新浪潮。據不完全統計，除了歐盟成員國執行《指令》之外，冰島、阿根廷、墨西哥、毛里求斯、韓國、日本等七十多個國家和地區參考《指令》制定了有關數據保護的規定。*Christopher Kuner, “Regulation of Transborder Data Flows under Data Protection and Privacy Law: Past, Present, and Future”, TILT Law & Technology Working Paper, No.016/2010, p.5. See also Baker & McKenzie Global Privacy Handbook 2016.有69個國家和地區的有關數據保護的規定明確限制跨境數據轉移：歐盟28個成員國、3個歐盟經濟區國家(冰島、挪威、列支敦斯登)、歐洲14個其他國家和地區(瑞士、盧森堡、圣馬力諾、阿爾巴尼亞、安道爾、波黑、克羅地法羅群島、根西島、馬恩島、澤西島、馬其頓、摩爾多瓦、摩納哥、塞爾維亞)、北美洲3個國家(加拿大、巴哈馬、墨西哥)、南美洲3個國家(阿根廷、哥倫比亞、烏拉圭)、非洲6個國家(貝寧、布基納法索、毛里求斯、摩洛哥、塞內加爾、突尼斯)、亞洲10個國家和地區(亞美尼亞、迪拜自貿區、以色列、馬來西亞、韓國、我國臺灣地區、我國香港特別行政區、我國澳門特別行政區、俄羅斯)、大洋洲2個國家(新西蘭、澳大利亞)。由此，《指令》被稱為世界數據保護立法的引擎。*Birnhack, Michael, “The EU Data Protection Directive: An Engine of a Global Regime”, Computer Law & Security Report, Vol. 24, No.6, 2008. See also Gregory Shaffer, “Globalization and Social Protection: The Impact of EU and International Rules in the Ratcheting Up of U.S. Privacy Standards”, 25 Yale J. Int'l L. 1, 4 (2000).

二、各國跨境數據轉移限制的立法模式及其利弊

縱觀世界各國數據限制性立法，其背后的基本邏輯都是推定第三國的個人數據保護水平沒有達到本國的同等水平，進而以保護個人數據為名限制數據的跨境轉移，認為如果企業將個人數據從本國轉移到第三國就構成規避本國法律。因此，為了支撐這個假定，世界各國在進行數據保護立法時，基本上都援引憲法，歐盟更是將個人數據權獨立于隱私權而直接規定于《歐盟基本權利憲章》第8條。

雖然限制跨境數據轉移的假設性前提是第三國的個人數據保護水平不及本國，但全球化背景下企業進行跨境數據轉移卻是國際貿易的必然需求。事實上，完全禁止跨境數據轉移并不現實，也無法操作，而且還背負經濟保護主義的罵名。因此，各國在限制跨境數據轉移的時候，也提供了推翻這個假設性前提的不同機制：一是本國對第三國的個人數據保護水平進行適當性評估；二是數據出口者擔保數據進口者遵守本國個人數據保護法；三是數據主體通過同意等方式自愿放棄在第三國享受等同本國保護水平的待遇。具有代表性的國家和地區限制跨境數據轉移的立法模式有以下三種。

(一)第三國適當性評估模式

《指令》第四章專門規定個人數據向非成員國跨境轉移的規則。其第25條規定，成員國必須確保跨境數據轉移的前提是第三國為個人數據提供了適當水平的保護，第三國適當性評估由歐盟委員會根據第三國的所有情況(包括國內法、國際承諾、與歐盟委員會關于適當性談判的結果)以決議形式作出。

實踐中，歐盟委員會的評估非常嚴苛，目前僅有11個國家和地區獲得適當性評估：安道爾、阿根廷、加拿大、瑞士、法羅群島、根西島、馬恩島、澤西島、以色列、新西蘭、烏拉圭東岸共和國。另外，美國商務部在2001年通過與歐盟委員會簽訂安全港框架協議而被認定為通過了適當性評估。不過，“棱鏡門事件”之后，歐盟法院通過施姆雷斯案判決該協議無效。*Case C-362/14 Maximillian Schrems v Data Protection Commissioner.2016年2月2日，美國商務部進一步向歐盟委員會讓步，簽訂隱私盾協議。*European Commission, Restoring Trust in Transatlantic Data Flows through Strong Safeguards: European Commission Presents EU-U.S. Privacy Shield, IP/16/433.

此后，歐盟于2016年4月27日通過替代《指令》的《通用條例》，進一步強化了第三國適當性評估的要求。《通用條例》第45條詳細規定了歐盟委員會對第三國進行適當性評估時應當考慮的因素：一是第三國的法治情況，包括了是否尊重人權、是否有具體立法保護個人數據、是否有跨境數據轉移規則、對個人數據權保護的執法和司法情況等；二是否有專門機構負責數據保護的執法；三是已經締結的、涉及個人數據保護的多邊條約或雙邊條約。

歐盟的適當性評估的標準非常抽象和主觀，因此受到不少學者的詬病。例如，歐盟隱私法專家庫勒指出：“外界普遍認為歐盟做出適當性評估的程序過于繁瑣和低效，自《指令》生效十多年以來只有少數幾個國家或地區通過適當性評估。另外，在評估第三國是否符合適當性要求時還加入了政治因素的考慮。”*Christopher Kuner, supra note 14, p.39.

(二)數據控制者擔保模式

俄羅斯和澳大利亞都是《APEC隱私框架》(APEC Privacy Framework)的成員，不同程度上執行該框架采取的有關跨境數據轉移的數據控制者擔保模式(《APEC隱私框架》屬推薦性協議)。

澳大利亞1988年的《隱私法》禁止跨境數據轉移(僅有個別例外)，但澳大利亞政府發現這樣的做法無法適應日新月異的電子商務發展趨勢，*Keynote Address by Ms Hilary McGeachy from Australia Department of Foreign Affairs and Trade, WTO Workshop on E-Commerce, in Geneva, 17-18 (Jun. 2013).于是在2006年修訂該法時增訂了跨境數據轉移的機制。修訂后的澳大利亞《隱私法》編目一第三部分第8.1條規定，數據控制者在向第三國數據接收者轉移個人數據之前，原則上必須采取“在當時情況下所有合理措施”確保第三國接收者并沒有違反澳大利亞隱私原則(透明原則除外)。對于“在當時情況下所有合理措施”的理解，澳大利亞信息局局長辦公室發布的《澳大利亞隱私原則指南》(2014版)指出：“這是一個客觀標準，而且是數據控制者有責任去判斷是否采取了所有的合理措施。”*Office of the Australian Information Commissioner, Australia Privacy Principles Guidelines (Chapter B: Key concepts), 2014, p.22.實踐中，這一標準應當具體如何操作，以及這種擔保模式的效果，目前尚不清楚。*貝克·麥肯錫律師事務所在2016年發布的《全球隱私指南》中指出，數據控制者進行數據轉移登記可以滿足采取“合理措施”的要求。See Baker & McKenzie, supra note 14, p.24.

俄羅斯2006年通過的《個人數據保護法》第12條第1款規定，數據向第三國轉移的，數據控制者應當確認第三國提供了“充分水平的保護”。至于何為“充分水平的保護”，該法并未加以明確。不過，俄羅斯信息監管局在2013年公布，只要第三國是歐共體公約的簽約國，或者是進入該局特別列明的國家名單，都屬于提供充分水平保護的國家。*See The Order of the Federal Service for Supervision of Communications, Information Technology and Communications of March 15, 2013 No.274, quoted in Zharova Anna, “The salient features of personal data protection laws with special reference to cloud technologies: A comparative study between European countries and Russia”, Applied Computing and Informatics, Vol. 12, No.1, p.8 (2016).值得注意的是，該法第12條第2款還規定，即使第三國提供了充分水平的保護，俄羅斯當局也可以國家安全、國家防衛、保護公眾合法權益為由禁止或者進一步限制數據轉移。而且，俄羅斯2014年底通過了《數據本土化法》(Federal Law No.526-FZ)，要求所有搜集俄羅斯公民個人數據的數據控制者都應當將其服務器設置在俄羅斯境內。*Ibid.盡管該法并沒有直接限制跨境數據轉移，但也間接限制了數據的跨境轉移。因此，俄羅斯采取的數據控制者擔保模式，其實更類似于歐盟的第三國適當性評估，而且更直接地體現了國家主權和國家安全方面的考慮。

(三)數據主體同意模式

日本《個人數據保護法》雖然沒有直接規定跨境數據轉移問題，但該法第23條規定了向第三者提供的限制。該法第23條并沒有對“第三者”進行限定，所以日本境內的第三者以及日本境外的第三者都受該條約束。根據該法第23條的規定，個人數據控制者事先未獲得數據主體的同意的，不得將其個人數據向第三者提供，但下列四種情形除外：一是根據法律法規向第三者提供；二是為保護生命、身體和財產安全而有必要提供，但獲得數據主體同意卻很困難；三是為保障公共衛生或者兒童健康而特別需要提供，但獲得數據主體同意卻很困難；四是為了配合國家機關、當地政府或者授權組織履行法律法規規定的公務而有必要提供，但獲得數據主體同意將妨礙前述公務的開展。對于“同意”的做出方式，該法并沒有明確。根據日本經濟、貿易與工業部發布的《經濟與工業領域個人數據保護指南》，同意的方式包括了口頭和書面的同意，以及點擊網頁上有關同意的確認鍵。*Ministry of Economy, Trade and Industry, Guidelines for the APPI Concerning Fields of Economy and Industry, quoted in Mondaq, Data Protection Laws of the World Handbook: Second Edition-Japan.不過，考慮到數據主體做出同意后又可能要求數據提供者停止向第三者提供的情況，該法第23條還規定，盡管數據控制者同意了數據主體的停止請求，但隨后及時通知或者讓數據主體可以獲悉相關政策的，仍可以向第三方提供。

由此可見，在日本法規定的默示限制跨境數據轉移的機制下，跨境數據轉移考驗的是數據控制者處理數據主體做出的同意以及撤回同意的技巧，至于四種無須數據主體同意的例外情形，則仍須依賴日本當局的個案解釋，因而存在不確定性。

(四)小結：上述三種立法模式的利弊

上述三種限制跨境數據轉移的立法模式各有其自身的利弊，并且，限制他國企業跨境轉移數據，必然會影響國際貿易和國際關系，因此各國大多根據其憲法、法律以及經濟、政治和文化等因素選用符合自身情況的立法模式。

1.限制跨境數據轉移的優點

一般而言，對數據的跨境轉移進行限制有三大優點。其一，確保消費者的合法權益在其數據被轉移到第三國之后仍然得到保障。盡管世界各國基本認可隱私權是一項基本人權，但在電子商務時代，并不是每個國家都主動將隱私保護延伸至個人數據的保護上。因此，消費者個人數據可能在轉移到第三國之后無法得到有效的保護，跨境數據轉移限制是一個將本國法律延伸至域外的有效機制，它至少能夠讓第三國尊重本國的個人數據保護，并在行之有效的情況下保障個人數據在第三國獲得等同于本國的保護水平。*Christopher Kuner, supra note 14, p.33.其二，提振消費者對電子商務的信心。電子商務是計算機技術發展和應用的產物，通常，人們所熟悉的是傳統的面對面交易，對于網上交易和社交的場景并不熟悉，也無法評估自己在享受電子商務的同時是否會受到個人隱私或個人數據的侵害和損失。因此，只有消費者能夠相信他們的數據得到充分的保護，他們才能繼續相信這個交易，并許可使用其個人數據，在網上消費。*The Economist, Data, Data Everywhere: A Special Report on Managing Information, February 27, 2010.其三，可以防止企業和第三國規避本國的個人數據保護立法，確保本國立法得到遵守和執行，實現立法初衷，維護國家主權。

具體而言，不同的限制跨境數據轉移的立法模式有不同的優點。第三國適當性評估模式下，本國政府把握主動權，可以依法評估第三國的個人數據保護水平，給企業提供一種明確的法律預見性，減輕企業向通過評估的國家跨境轉移數據的成本。數據控制者擔保模式的優點是讓跨境數據轉移的限制機制回歸市場機制。*Hilary McGeachy, supra note 19.換言之，企業作為市場主體，為了迎合消費者的需求，擔保跨境數據轉移的接受者能夠遵守數據出口國的個人數據保護法，可以確保消費者個人數據的保護水平不因跨境轉移而減損，推動消費者積極消費。數據主體同意模式的優點是讓消費者——個人數據的權利主體——全權管理自己的權利，國家并不直接干涉個人數據的跨境轉移。

2.限制跨境數據轉移的缺點

世界各國出于保護隱私的原因或捍衛國家主權的原因，假定第三國的個人數據保護水平不如本國，從而選擇限制數據的跨境轉移。然而，這樣的做法與全球化大趨勢和市場機制并不融合，容易領受國家保守主義的罵名。具體而言，三種限制跨境數據轉移的立法模式的缺點也有所不同。

(1)第三國適當性評估模式

第三國適當性評估模式的最大缺點是一國政府是否會歧視性地評估第三國的個人數據保護水平，從而可能違反GATS“一般例外”條款(有關隱私保護例外)的條件——成員國采取的措施應當不構成“任意的”或“無端的”歧視，或者“變相的服務貿易限制”。

目前在WTO僅有一個案件即美國網絡賭博案涉及GATS“一般例外”條款的解釋和適用，尚沒有出現直接涉及隱私例外的案件。因此，具體一國的跨境數據轉移限制立法是否違反GATS仍不清楚。

在美國網絡賭博案中，WTO上訴機構指出：“GATS一般例外條款的設置方式如同《關稅及貿易總協定》(GATT)一般例外條款的設置，這兩個例外都是確認成員國有權根據在協定例外條款所列的范圍內進行立法。盡管這樣的立法可能會與協定其他條款相違背，但只要該立法符合例外條款設定的要求即可。”*Appellate Body Report, United States-Measures Affecting the Cross-Border Supply of Gambling and Betting Services, WT/DS285/AB/R, 7 April 2005, para. 291.至于具體如何判斷成員國采取的國內立法是否符合GATS第14條“一般例外”的要求，WTO上訴機構提出了“雙層分析法”：“GATS第14條，一如GATT第20條，應用‘雙層分析法’來考察一個成員國采取的措施是否合規。專家組首先應當確定涉案的措施是否符合第14條中某個具體例外的規定。這就要求分析涉案措施是否涉及該具體例外規定的特定利益，并且該措施與該利益是否具有充分的關聯度。(根據GATS第1條第3款，成員國采取的“措施”包括中央和地方政府以及政府授權機構作出的措施，這些措施包括立法和政策。筆者注)所謂‘關聯度’應當通過使用‘與…相關’(relating to)或者‘有必要就…作出規定’(necessary to)等術語明確體現在涉案措施中。一旦確認涉案措施落入第14條的具體例外規定，那么專家組應當考慮涉案措施是否滿足第14條序言(chapeau)所設定的條件。”*Appellate Body Report, US — Gambling, para. 292.關于GATS第14條序言所設定的條件，WTO上訴機構指出：“通過要求成員國采取的措施不應構成‘任意的’或‘無端的’歧視，或者‘變相的服務貿易限制’，確保了成員國可以合理利用該例外條款，又不至于影響其他成員國通過GATS獲得的權力。”*Ibid, para. 339.

在實踐中，美國曾在歐美安全港框架協議談判和隱私盾協議談判過程中提出《指令》有違反GATS“一般例外”之虞，但最后美方都選擇了讓步，未將該爭議提交到WTO。*Gregory Shaffer, supra note 15, p.8.

(2)數據控制者擔保模式

數據控制者擔保模式的缺點在于個人數據保護的重心落在企業，由此企業每次進行跨境數據轉移，都要擔保數據進口者遵守數據出口國的法律。一方面，企業的自律很難監督，尤其是涉及數據進口者是否遵守數據出口國的法律時。另一方面，數據控制者擔保模式對于中小企業尤其是初創企業而言，操作起來成本過高。這一點不同于第三國適當性評估模式——只要向通過適當性評估的第三國轉移數據，就可以免擔保、大批量的自由轉移數據。

(3)數據主體同意模式

數據主體同意模式有三大缺點。其一，國家假定所有消費者都具備比較高的隱私保護意識和自我管理能力。事實上，并不是所有的消費者都具備這樣的能力，而且很多進行電子商務的消費者還是未成年人。其二，企業可以通過多種形式逼迫消費者為了免費服務而選擇同意。例如，企業有關用戶使用守則通常內容非常多而且字體非常小，消費者通常不愿意細讀而直接選擇同意。其三，對于企業而言每次的跨境數據轉移都要一一獲得數據主體的同意，成本非常高。況且，云計算、大數據等技術不斷發展革新，企業所處理的個人數據量日益龐大，一一授權模式與市場發展的趨勢嚴重不符，容易讓企業(特別是中小企業)喪失交易機會。

三、跨境數據轉移的國際條約及其發展趨勢

在國際層面，如果說OECD指南僅是推薦性標準，并且歐共體公約僅是歐洲共同體內部的條約，那么1995年1月施行的GATS就是一個全球性國際條約，并且，其明確賦予WTO成員國有權以隱私保護為由通過數據保護方面的法律。WTO曾被批評為逼迫其成員國政府放棄國內隱私立法(尤其是互聯網隱私領域)。對此，WTO專門進行過澄清：“這樣的提法很難理解。WTO對互聯網隱私保護從來沒有采取過任何決定和行動。WTO對互聯網隱私從來沒做過什么，更別說‘逼迫政府放棄國內隱私立法’，事實上WTO在任何情況下都沒有權力這樣做。而且，GATS本身就將個人隱私保護問題納入到整個協議的框架內。GATS第14條的一般例外條款——凌駕于協議的其他條款——就規定了政府可以在其認為必要的時候采取措施‘保護數據處理和傳播中的個人隱私和個人記錄及賬戶的保密性’。”*WTO, “GATS-Fact and Fiction”, available at https://www.wto.org/english/tratop_e/serv_e/gatsfacts1004_e.pdf, last visited May 30, 2016.總體而言，目前已經締結的和正在談判的國際條約(如TTIP、TISA)在跨境數據轉移問題上基本都擱置爭議而回歸GATS的隱私例外規則。

(一)《APEC隱私框架》：數據控制者擔保模式

亞太經濟合作組織(APEC)在1998年提出《電子商務行動計劃》，特別強調電子商務的未來發展不能脫離政府與商業的合作，如此才能共同確保安全可靠的信息傳輸系統，并處理好隱私保護的問題。*APEC, “APEC Blueprint for Action on Electronic Commerce”, available at http://www.apec.org/Meeting-Papers/Leaders-Declarations/1998/1998_aelm/apec_blueprint_for.aspx , last visited June 26, 2016.認識到有效隱私保護和信息亞太區域自由流動的平衡對于提振消費者信心和確保電子商務發展的重要性，APEC成員國在2004年達成了《APEC隱私框架》。

1.《APEC隱私框架》的理念及核心內容

雖然《APEC隱私框架》在形式上類似OECD指南，都是由原則為核心構建的保護框架(而且大部分原則都相類似)，都不具有約束力，不過，在指導思想上兩者間卻存在根本性差異：《APEC隱私框架》仍然建立在傳統隱私侵權法律制度之上，重點解決各成員都非常關注的意外侵害和濫用個人信息帶來的隱私侵權損害；OECD指南則鼓勵成員國建立積極的個人數據權利體系。

在這一思想的指導下，《APEC隱私框架》對于個人數據的范疇界定也有意排除了政府部門有關數據主體的公開紀錄、新聞報道、法律要求公開的信息等三種已經處于公開狀態的個人數據，如果數據控制者從這三種數據源而非從數據主體處獲得(即這種獲得對于數據主體而言并不意外)，則不受該框架的約束。這就大大縮小了《APEC隱私框架》的適用范圍，有利于數據更加自由的流動。這種個人數據的界定方法不同于歐盟成員國或者歐盟采取的界定方法，后者把所有可能的個人數據都納入管轄范圍。

在該思想的指導下，防止損害原則成為《APEC隱私框架》九大原則之首。防止損害原則是指承認個人對于其合法預期的隱私保護，個人信息的保護制度應當設計成防止這些信息的濫用的制度，并且，為應對濫用可能帶來的損害危險，成員在設計法律法規時有必要考慮對數據控制者在收集、使用和轉移個人數據上設置特定的義務，提供在侵害可能性和損害程度方面符合比例原則的救濟方式。

在防止損害原則的統帥下，《APEC隱私框架》的其他八個原則，即通知原則、收集限制原則、使用限制原則、選擇原則、個人數據完整性原則、安全保障原則、獲取與修改原則(但數據主體的獲取權和修改權并不是絕對的，而應當考慮該成本與具體個案的侵權危險程度相一致)、責任原則的設計也非常務實。

值得強調的是，責任原則要求數據控制者對第三者轉移數據(不論是境內還是跨境)時都要事先獲得數據主體的同意，或者采取合理措施確保數據接收者遵守前述八大原則。對于責任原則的理解，有兩點值得注意。其一，該原則不同于OECD指南的責任原則，后者僅要求數據控制者本人遵守該指南的其他原則，而前者不僅要求數據控制者本人遵守《APEC隱私框架》的其他原則，還專門強調跨境數據轉移上的責任問題。其二，具體設計數據控制者在向第三方(不論是在境內還是在境外)進行跨境數據轉移的責任時，《APEC隱私框架》提供了兩種解決方案：獲得數據主體的同意或者擔保數據接收者遵守數據出口國個人數據保護法。并且，《APEC隱私框架》還強調這兩種方案是一種互動機制，如果數據控制者與數據接收者的關系不復存在，數據控制者就無法擔保數據接收者遵守原則，此時，應當有數據主體的同意。

2.《APEC隱私框架》的執行

盡管《APEC隱私框架》僅是推薦性標準，但澳大利亞、俄羅斯等14個成員通過立法予以采納。*APEC, “The Electronic Commerce Steering Group”, available at http://www.apec.org/Groups/Committee-on-Trade-and-Investment/Electronic-Commerce-Steering-Group.aspx , last visited June 26, 2016.

為了推進各成員的統一執行，APEC委員會在2007年出臺《APEC跨境隱私規則體系》。數據控制者可以自由選擇采用該體系規定的“跨境隱私規則”(CBPR)，一旦獲得認證，該數據控制者就受該規則的約束。該體系有要求和法律效力兩大重點內容。在要求上，CBPR包括以下四大要素。一是自我評估：數據控制者根據APEC制定的“跨境隱私規則問卷”進行自我評估。二是合規性審核：數據控制者將填好的問卷以及相關文件提交給APEC認證的隱私責任評估機構，由后者按照《APEC跨境隱私規則體系》的要求進行審核。三是認證和公開：通過審核的數據控制者將公布在APEC網站上，公布的內容包括該數據控制者、隱私責任機構和隱私執法當局的聯系方式。四是爭議解決與執行：獲得認證的數據控制者，將受到該CBPR的約束，隱私責任評估機構可以按照當地法和合同執行跨境隱私規則，隱私執法當局也可以按照本國法對經認證的數據控制者采取相應的執法措施。在法律效力上，該體系并不替代成員本身的相關法律法規，如果成員本身沒有相應的法律法規，該體系可以作為該成員的最低保護標準；如果該成員有相應的法律法規，但其要求低于該體系要求，并且數據控制者自愿采用該體系的，應該遵守高于成員法律法規的額外要求。*APEC, “APEC Cross-border Privacy Enforcement Arrangement”, available at http://www.apec.org/Groups/Committee-on-Trade-and-Investment/Electronic-Commerce-Steering-Group/Cross-border-Privacy-Enforcement-Arrangement.aspx , last visited June 26, 2016.目前，加拿大、日本、墨西哥和美國等四個成員采納了該體系。

為了推動與非APEC成員的隱私執法合作，APEC于2009年提出與OECD指南兼容的《APEC關于跨境隱私執行合作的計劃》。該計劃希望各國通過一個標準的“請求協助表”就可以與其他國家進行跨境隱私執法方面的合作。*APEC, “APEC Cooperation Arrangement for Cross-Border Privacy Enforcement”, available at http://www.apec.org/～/media/Files/Groups/ECSG/CBPR/CBPR-CrossBorderPrivacyEnforcement.pdf , last visited June 26, 2016.

(二)TPP：沒有超越GATS

泛太平洋合作伙伴關系協議(TPP)是以2005年文萊、智利、新西蘭和新加坡四國達成的泛太平洋戰略經濟合作伙伴協議為基礎，在美國、澳大利亞、加拿大、日本、馬來西亞、墨西哥、越南和秘魯等八國加入后擴展談判而成，旨在建構超越WTO系列協議標準之上的勞工、環境和知識產權等方面的新國際保護標準。該協議于2016年2月4日獲得簽署，目前尚未完成生效程序。

在TPP談判過程中，美國商務部等機構和產業聯盟在2012年聯合發表聲明指出，在21世紀的知識經濟時代，信息與通訊技術的發展與應用已經成為全球經濟增長的火車頭，不管是農業、制造業還是服務業，都越來越依賴全球通訊網絡和跨境信息與數據流動來管理業務。其中，尤為重要的是中小企業的創新與發展，中小企業很大程度上需要依賴這種低成本、高效率的信息通訊技術和跨境數據自由流動。因此，實現跨境信息與數據自由流動是美國的必然訴求。*U.S. Department of Commerce, “Promoting Cross-Border Information and Data Flows in the TPP: Building a Lasting Framework for Economic Growth and Jobs”, available at http://businessroundtable.org/sites/default/files/legacy/uploads/news-center/downloads/TPP_Promoting_Cross-Border_Information_Flows_Statement.pdf , last visited June 26, 2016.

不過，根據新西蘭政府公開的TPP第14章(電子商務)，在跨境數據轉移問題上，TPP并沒能實現實質性突破：(1)原則上所有的成員應當允許信息(包括個人信息)通過電子形式進行跨境轉移，只要這個轉移是為了該特定個人而進行的商業活動(第14章第11條第2款)；(2)成員須認可其他成員已有的有關個人數據轉移方面的法律法規(第14章第11條第1款)，并且不能妨礙成員采取或者維持這些法律法規，條件是“這樣的措施并不構成任意的或者無端的歧視，或者變相的貿易限制；而且不會施加超出該措施目的之外的額外限制”(第14章第11條第3款)；(3)原則上成員不得將數據存儲本土化作為企業在本土經營的條件，但這并不能妨礙成員采取或者維持這些規范性要求，條件是“這樣的措施并不構成任意的或者無端的歧視，或者變相的貿易限制；而且不會施加超出該措施目的的額外限制”(第14章第13條)。

應當說，表面上美國通過談判實現了跨境數據自由流動的目的。實際上，TPP除了象征性地表示自己的進步——增加“不會施加超過該措施目的之外的額外限制”——之外，在實質內容上并沒有超出GATS關于限制服務貿易的“一般例外”規定。質言之，關于跨境數據轉移問題，信息跨境自由流動只能是美國的一個不可能實現的夢想——其他國家對美國的防備之心從未消解。*McCamus, D. R. “They Worry Too Much”, CIPS Magazine, March 1970, p.21. See also Maira Sutton, “White House's Claims that the TPP Would Curb Internet Censorship Are Fantasy”, Electronic Frontier Foundation, Mar, 9, 2016.因此，世界各國之間關于跨境數據轉移的分歧一直未能消除，GATS談判擱置的隱私例外爭議在22年后的TPP談判中也無法解決，只能維持現狀。或許，這是最好的結果，至少從國家主權和國家經濟發展的平衡上，GATS和TPP都不會觸碰各國的底線。

值得注意的是，TPP是一個封閉性多邊談判的結果，中國目前并未加入TPP談判，未來是否加入尚不確定。值得注意的是，在TPP談判過程中，美國總統奧巴馬曾經指出：“當我們95%的潛在客戶都在境外時，我們不能讓中國等國家來設定全球經濟的規則，我們要自己來制定這些規則。”*Sara Hsu, “China and the Trans-Pacific Partnership”, available at http://thediplomat.com/2015/10/china-and-the-trans-pacific-partnership/ , last visited June 28, 2016.盡管如此，TPP在跨境數據轉移問題上仍然趨同于WTO標準，未來中國是否加入TPP并不會影響中國在跨境數據轉移方面的立法與政策。

(三)跨境數據轉移國際條約的發展趨勢：制度融合的可能性

目前，關于跨境數據轉移，TTIP和TISA等多邊條約仍在談判中。這些談判在很大程度上預示了未來跨境數據轉移國際條約的發展趨勢：一種制度融合的可能性。

1.正在談判的國際條約的動向

與TPP相對應的，還有另外一個正在進行談判的跨大西洋貿易與投資合作伙伴關系協議(TTIP)。對于歐美服務貿易中跨境數據轉移問題，歐盟官方2015年7月31日公布了TTIP提案第一部分“市場準入”第二節“服務”第7條“一般例外”規定，在內容上基本照搬GATS“一般例外”的規定，明確成員政府可以隱私例外為由限制跨境數據轉移。*European Union, Proposal for Services, Investment and E-Commerce Text, EU-US TTIP Negotiations, 12 November 2015.自2013年6月首次談判以來，歐美已經進行了12輪談判，但遠未達成一致。

同樣正在進行的還有《服務貿易協議》(TISA)。TISA開始于2013年3月，談判成員有23個(主要為美國和歐盟)，目的在于擴展GATS的覆蓋范圍和規則，建立服務貿易方面的“金標準”，最終完全融入WTO框架并適用于所有WTO成員。*Jane Kelsey, “Briefing on US TISA Proposal on E-Commerce, Technology Transfer, Cross-border Data Flows and Net Neutrality”, Public Services International, 17 December 2014.其中，美國是該談判的主導者，其希望借此推進全球電子商務，限制政府以隱私保護為名進行跨境數據轉移的限制。

根據泄露的美國有關TISA的提案(2014年)，其中專門有一個“信息流動”的條款。該條款規定：“成員政府不能阻止在另一成員境內的服務提供者在本國或者世界上任何其他國家進行轉移、獲取、處理和存儲信息，只要這些活動與服務提供者的商業有關。”*Ibid. See also Maira Sutton, “It Doesn't Matter Who Does the Lobbying: Trade Agreements Aren't the Place for Internet Regulations”, Electronic Frontier Foundation, December 19, 2014.而且，美國提議的TISA“一般例外”條款僅規定只有國家安全例外才能排除適用“信息流動”條款。

對美國的提案，歐盟提出強烈反對。歐盟成員國目前不僅擔心美國企業主導電子商務發展，導致歐盟零售業、媒體、出租車的蕭條，還擔心歐洲的汽車制造業就會成為下一個被沖擊的產業。*Ibid.另外，考慮到目前并沒有任何一個WTO成員國依據GATS隱私例外條款到WTO起訴歐盟，歐盟的提案仍堅持GATS的“一般例外”標準(包括了隱私例外)，拒絕任何可能危及歐盟數據保護立法的文本。*Monika Ermert, “TISA Negotiations: Yes To E-Commerce, Data Flows, No To IPR, Data Protection”, Intellectual Property Watch, 17 December 2014.

2.歐美隱私盾談判預示美國在TTIP和TISA的提議將被駁回

在2015年10月6日，歐盟法院通過施姆雷斯案判決歐美關于跨境數據轉移方面的安全港框架協議無效，原因是歐盟委員會并沒有說明美國基于國內法或者國際承諾而在事實上確保了歐盟成員國公民的個人數據被轉移到美國后能得到適當的保護。*Case C-362/14 Maximillian Schrems v Data Protection Commissioner.2016年2月2日，美國商務部進一步向歐盟委員會讓步，愿意簽訂隱私盾協議。*European Commission, supra note 17.

相較于之前的《歐美安全港框架協議》，美國在《歐美隱私盾協議》中作了如下幾方面的承諾和讓步。第一，對向美國轉移數據的企業設置更加嚴苛的義務：一是“對外轉移數據原則”改為“對外轉移數據的責任原則”，增加“責任”二字凸顯企業的內部審核責任；二是“執行原則”改為“救濟、執行與責任原則”，強調企業必須給數據權利提供有效的救濟措施，并每年自審一次。第二，美國政府部門承諾履行更加嚴格的職責：首先，美國國家情報總監書面保證美國政府獲取歐洲公民的個人數據時受到《美國第12333號執行令》和《美國總統第28號政策指令》的限制；其次，美國國務卿克里書面承諾在國務院內部成立隱私監察使(Ombudsperson)，該監察使獨立于國家安全部門，有權獨立處理歐洲公民有關美國政府部門是否獲取歐洲公民個人數據的申訴。第三，專門強調對歐洲公民申訴的多種救濟途徑：一是企業設置隱私官在45日之內處理申訴；二是企業提供免費的替代性糾紛處理方案；三是歐洲公民向本國數據保護局提出申訴，由該局向美國商務部或聯邦貿易委員會移交，后者在90日之內作出答復；四是歐美聯合設置一個隱私保護小組，下設一個仲裁小組作為申訴的最終解決機制。另外，《歐美隱私盾協議》還附有聯邦貿易委員會、交通部和司法部三大部門有關執行該協議的承諾書。上述承諾書都將在美國聯邦登記處公開。

盡管如此，歐盟議會仍于2016年5月26日建議歐盟委員會應與美國商務部在下列四個議題上再行談判：(1)關于美國政府部門獲取已轉移數據的限制；(2)根據《歐盟基本權利憲章》，要求美國明確收集數據要限于必要、符合比例原則；(3)隱私監察史的權限和獨立性；(4)對于美國承諾的復雜救濟機制商談出一個用戶友好且有效的救濟機制。*European Parliament, “EU-US ‘Privacy Shield’ for Data Transfers: Further Improvements Needed, MEPs Say”, Plenary Sessions [26-05-2016-11:58].對此，歐盟委員會和美國商務部再次進行了談判，美國方面愿意做進一步的讓步，答應歐盟委員會接受每年對隱私盾協議的執行進行共同審核，并最終于2016年7月12日正式聯合宣布《歐美隱私盾協議》生效。*European Commission, “European Commission Launches EU-U.S. Privacy Shield: Stronger Protection for Transatlantic Data Flows”, IP/16/2461.

從上述過程中不難發現，美國為了本國企業在歐盟各國的利益不斷被迫讓步，直到歐盟委員會和歐盟議會滿意為止。筆者據此認為，美國很難在未來的TTIP和TISA談判中堅持數據跨境自由流動和不得以隱私保護為由限制跨境數據轉移的主張。

3.未來跨境數據轉移的融合可能性

在現有的國際法框架下，GATS提供了WTO成員國限制跨境數據轉移的合法性依據，TPP、TTIP和TISA等最近已經達成和正在磋商的國際條約都將維持這個局面。因此，鑒于OECD指南和APEC隱私框架提供了兩種限制數據轉移的可能模式和世界各國對跨境數據轉移的不同限制模式，可以探討未來跨境數據轉移的三種融合可能性。*2009年11月3日，非政府組織通過在西班牙舉行的第三十一屆國際隱私權和個人數據保護專員會議發布了《非政府組織關于建立全球隱私權標準的宣言》，呼吁歐洲各國保護隱私權，建立起有非政府組織充分參與的、基于法治的、尊重基本人權的和支持民主制度的新的國際隱私權保護體系。然而，這個宣言只是呼吁歐洲各國加強數字時代隱私權的保護，并未提出融合各國隱私權保護機制的方案。

(1)融合可能性之一：在第三國適當性評估模式下加入替代性規則

第一種融合可能性是參照歐盟的做法，即在第三國適當性評估模式下加入替代性規則。一般情況下，數據向第三國轉移的前提是該第三國獲得本國適當性評估；第三國未獲得本國適當性評估而需要進行跨境數據轉移的，應由本國政府提供適當性評估的替代性規則，例如歐盟委員會在2001年批準施行的“標準合同條款”和“有效企業規則”(BCR)。

“標準合同條款”在1995年的《指令》中就已經被規定為一種替代機制。該條款在內容上主要要求數據出口者和數據接收者遵守歐盟數據保護指令，并對數據主體的損失承擔連帶責任。在操作上，《指令》要求該條款嵌入數據出口者與數據接收者關于數據轉移的合同中。這種做法的缺點是該合同每轉移一次都要重新簽訂，對于跨國企業而言成本比較高，而且成員國數據監管當局可以增加額外的要求以及行政審批，從而加大了成本和審批時間。*European Commission Decision 2001/497/EC.

BCR原本并不在《指令》規定的替代機制之內，而是第29條工作組推薦跨國企業采取的一種替代機制。不過，通過多年的發展，BCR已經被正式納入《通用條例》。BCR包括三項核心規則即隱私原則、有效性機制和BCR生效標志。企業在起草BCR之后，提交給歐盟成員國的數據監管當局進行審查，審查通過后，該成員國數據監管當局將BCR提交給該企業有營業的其他成員國數據監管當局批準。因此，其要適用于跨國公司內部子公司之間的跨境數據轉移，難度比較大，審批時間比較長，但獲得批準后無須每次轉移都簽訂轉移合同，這也向消費者表明該企業的隱私保護水平達到較高水平。

總體而言，歐盟的適當性評估和兩種替代性機制都依賴歐盟成員國數據監管機構的行政審批，要求有專業的行政機構、充分的經費和人員開展審批工作，實踐中鮮有企業獲得歐盟數據監管當局的批準。例如，歐盟委員會目前公開的獲批準采取BCR的企業只有84家跨國企業，而且獲批的基本上是歐洲本土跨國企業，美國計算機與互聯網方面的企業只有eBay、因特爾和惠普，沒有中國企業的BCR獲批。*European Commision, “List of Companies for Which the EU BCR Cooperation Procedure is Closed” (June 21, 2016), available at http://ec.europa.eu/justice/data-protection/international-transfers/binding-corporate-rules/bcr_cooperation/index_en.htm, last visited June 26, 2016.

(2)融合可能性之二：在數據控制者擔保模式下加入符合適當性評估的國家名單

第二種融合可能性是在數據控制者擔保模式下加入符合適當性評估的國家名單。目前俄羅斯采取這種方式，即原則上俄羅斯《個人數據保護法》要求數據控制者應當確認第三國提供了“充分水平的保護”，同時俄羅斯信息監管局公布了一系列提供了充分水平保護的國家名單。這樣的融合方式適用于APEC成員，將大大減輕數據控制者(企業)跨境數據轉移的成本，方便數據的跨境自由流動。

然而，采取《APEC隱私框架》的APEC成員原本的目的就是要減少政府的干預和政府審批的成本，如果要求政府進行主動審查，又可能與其采取的該模式相違背。所以，這樣的融合方式也不是多數國家愿意采取的。

(3)融合可能性之三：BCR與CBPR的融合

第三種融合可能性是歐盟成員國與APEC成員之間的跨境數據轉移規則的融合，即歐盟的BCR與APEC在2013年推薦的跨境隱私規則(CBPR)的融合。

自2012年9月開始，APEC與歐盟委員會合作，共同建立“APEC與歐盟聯合工作組”，共同探討兩大區域成員的跨境隱私執法合作。至2015年11月，該工作組希望從中小企業的角度探討如何與歐盟的規則融合，希望將歐盟的BCR和APEC的CBPR進行融合，并通過制定標準加以執行。*APEC HOST Workshop & Recommendations Report: APEC Harmonization of Standards for Data & Information Flows, 2015, p.7.

盡管該設想非常有利于中小企業進行國際業務的拓展，促進各國企業的創新，但BCR與CBPR之間仍然存在兩大根本性差別。首先，BCR所依據的是《指令》以及《通用條例》，其與CBPR依據的《APEC隱私框架》存在很大的差別，前者構建的是以憲法性權利(獨立的個人數據權)為基礎的一系列規則，而后者是以傳統防止隱私侵害為中心的規則，二者的基本邏輯存在根本性的差異。其次，歐盟雖然采取了BCR規則，但仍然強調歐盟及其成員國的主動審查權，而APEC推薦的CBPR依靠的并不是政府的主動審查，而是非政府組織的認證。從2016年通過的《通用條例》來看，歐盟及其成員國放棄對BCR主動審查權的可能性微乎其微。與此同時，希望原本并不愿意太多干涉的政府僅僅為了降低中小企業成本而對CBPR進行主動審查，也不現實。

(4)小結

總之，前述三種融合可能性能否實現，很大程度上仍取決于不同國家是否及多大程度上愿意放棄本國對于數據的控制權：歐盟國家已實現第一種融合可能性，而且2016年剛通過《通用條例》，未來十年內不太可能再考慮另外兩種融合可能性；而其他國家(尤其是APEC成員)雖然可能愿意強化政府的主動審查權，但又很難預期其愿意將本國隱私保護標準提高到歐盟個人數據基本權利的高度。因此，未來很長一段時間，世界各國仍將在GATS隱私例外規則下保持跨境數據轉移限制性規則的多樣性。

四、跨境數據轉移的中國法律應對

從歷史角度而言，四十年前歐美展開跨境數據轉移談判之際，歐洲各國正在加快歐洲共同體的建設，所關心的是經濟安全和政治自主性，對美國而言則正是計算機和互聯網技術全球商業運作的興起之際，而中國那時還在探索經濟建設和中美關系正常化。四十年之后，美國依舊是世界頭號大國，在全球互聯網企業前十位中占據六席，中國經濟已經發展成為世界第一大經濟體大國、在全球互聯網企業前十位中也已占了四席，中國企業在美國也開始遭受美國“國家安全”的打壓，而歐盟經濟依舊變化不大且沒有國際大型互聯網企業。歐盟在四十年前談判的籌碼是人權保護，今天歐美隱私盾談判的籌碼依舊是人權保護，只是程度已經上升到了極致——個人數據權已經從隱私權的一部分演變為獨立存在的基本人權。對此，美國總統奧巴馬曾在2015年指出：“我們擁有這個互聯網，我們的企業創造了互聯網，并以一種歐盟企業無法匹敵的方式擴展和完善它。而歐盟常常在一些問題上擺出一種道德高尚的樣子，其實只是為了獲得他們的經濟利益而已。為了打擊谷歌和臉譜公司，歐盟的做法絕大部分是以商業導向為主的。”*Murad Ahmed, “Obama Attacks Europe over Technology Protectionism”, Financial Times, February 16, 2015.從歐美跨境數據轉移規則四十多年的博弈、GATS和TPP在跨境轉移規則方面的構建以及TISA等正在談判中的國際條約規則來看，任何國家、地區都會對相關的跨境數據轉移規則根據自身的經濟、社會情況做出自己的選擇，同時對其他國家、地區的相關規則提出批評。因此，我國《網絡安全法》中的跨境數據轉移限制規則從起草之初就得到各方面褒貶不一的評價也是正常的。

他山之石可以攻玉，關于我國《網絡安全法》第37條所規定的跨境數據轉移限制規則，筆者擬從如下三個方面加以評議，并提出未來制定我國相關安全評估辦法的若干建議。

(一)消費者利益與產業利益、國家安全利益的平衡

從現有的各國政府監管跨境數據轉移的法律制度來看，各國政府規制的切入點是假定第三國的個人數據保護水平不及本國的保護水平，規制核心是監管企業的個人數據處理實踐、防止企業濫用個人數據，落腳點是保障本國國家安全利益、產業利益和消費者的利益。只是在這三方面利益平衡中，歐盟把消費者利益放在整個法律規制體系所考慮的首要位置，通過整體的個人數據保護立法(《指令》及其替代立法《通用條例》)把個人數據權明確規定下來，并以此來限制跨境數據轉移。這樣的優點是以個人的小權利實現保護國家安全利益的目的，缺點是會嚴重損及企業的經營自主權和積極性而損及產業利益。美國把產業利益放在跨境數據轉移法律制度的核心，僅對特殊敏感的個人數據進行單獨立法，其他個人數據的保護主要由市場機制來解決。這樣的好處在于最全面的保障產業利益，但缺點是對于個人利益的保障受到弱化。澳大利亞、俄羅斯等國家采取折中方案，要求數據輸出企業擔保數據接收企業提供不低于數據輸出國的個人數據保護水平。

在我國《網絡安全法》出臺之前，我國并沒有類似歐盟及其成員國那樣的長期立法司法實踐，應當說，2009年通過的《刑法修正案(七)》、2012年通過的《全國人大常委會關于加強網絡信息保護的決定》以及2013年修訂的我國《消費者權益保護法》已從法律層面確定我國境內經營的企業保障個人數據的基本要求，初步建立起個人數據保護的法律機制，取得了很大的進步。不過，這些規定仍然過于原則，對于個人數據保護的具體規則不夠細致和全面，且僅涉及個人數據國內保護，未對跨境數據轉移限制做出明確規定。因此，在跨境數據轉移規則設置方面，我國還難以在短時間內評估第三國的個人數據保護水平低于我國的保護水平，而且第三國評估的標準和程序也容易受到詬病，所以歐盟的做法在客觀上無法效仿。即使具備這樣的客觀水平，但考慮到我國日益興起的互聯網產業，歐盟的做法也不值得效仿。因為互聯網時代(尤其是大數據時代)的產品和服務講究的是創新、反應迅速、用戶量大，要適應這種趨勢，就不能給企業(尤其是中小企業)提前預設過多的規則限制,否則就會降低企業的效率，扼殺企業創新的積極性。

因此，我國《網絡安全法》對跨境數據轉移采取了有限和安全評估方案，關鍵信息基礎設施的運營者因業務需要，確需向境外提供個人信息的，應當按照國家網信部門會同國務院有關部門制定的辦法進行“安全評估”。值得注意的是，這里使用的法律術語是“安全評估”，表面上似乎側重于“國家安全”，但實際上并未指明是“國家安全”、“產業安全”、“個人數據安全”，還是三者的綜合；并且具體的安全評估規則是放在第二位的、是留待網信部門和國務院相關部門制定的。因此，這樣的立法思路和法律術語選擇的背后體現的正是平衡消費者利益、產業利益和國家安全利益的思想，提供了我國監管跨境數據轉移的最為廣泛而靈活的法律依據，符合我國現階段的實際情況，也對未來形勢發展留有充分的余地。

此外，我國《網絡安全法》第四章專門規定網絡信息安全，再次重申了企業處理個人數據的合法、正當和必要這三大原則，設定了保障個人數據的最基本義務。其中，值得注意的是，我國《網絡安全法》第42條采用了草案二稿的方案，后者從兩個方面修正了草案一稿第36條：一是從“不得非法向他人提供”個人數據改為“未經被收集者同意，不得向他人提供”個人數據，從而明確非關鍵信息基礎設施的企業向他人提供(并未限制是境內提供還是跨境轉移)個人數據的合法依據為獲得“被收集者同意”，平衡了非關鍵信息基礎設施的企業經營需求和個人數據保護中的個人意思自治，也同時明確了國家監管關鍵信息基礎設施運營者跨境數據轉移的唯一合法依據是獲得安全評估；二是把企業發生或者可能發生“信息”泄露、損毀、丟失的情況時向可能受影響用戶的通知義務，明確規定為企業發生或者可能發生“個人信息” 泄露、損毀、丟失的情況時向可能受影響用戶的通知義務，從而更直接地保障個人數據。

盡管如此，我國《網絡安全法》的條文仍停留在政府主動監管層面，未來需要從兩個方面強化企業對個人數據的主動保護和分類保護。一是可以借鑒美國2015年底通過的《網絡安全情報共享法》，*該法規定企業共享網絡安全情報的下列行為不受司法追究：一是監控信息系統；二是按照美國國土安全局出臺的共享程序共享或接受網絡安全威脅指標、防御性措施。See S. Rept. 114-32, p.12-13 (2015).增訂企業自愿共享網絡安全威脅信息的可以豁免受司法追究該共享行為的規定，從而鼓勵企業主動共享網絡安全威脅信息。需要強調的是，對于企業的安全信息共享并非中國首創，美國在這方面有很多立法，《網絡安全情報共享法》就是最近的一種，而且該法要求以提供責任豁免的形式鼓勵企業自愿共享。目前，我國《網絡安全法》第22條、第25條僅規定企業向有關主管部門報告或協助的義務，但并未規定相應的鼓勵措施。二是可以增設個人基因數據、醫療數據、生物數據的專門保護方面的規定，要求收集和處理該類數據的企業以高于其他個人數據保護的水平予以保障。*聯合國2003年10月16日的《人類基因數據國際宣言》第2條規定，“基因數據”指的是通過分析核酸或者其它科學分析獲得的、與個人遺傳特征有關的信息。《通用條例》第4條規定，“基因數據”指的是與自然人的固有或者后天獲得的基因特征有關的個人數據，該數據可以告知該自然人特有的生理學或者醫學的信息，特別是通過分析該自然人生物樣本獲得的信息；“生物數據”指的是通過對自然人的物理、生理或行為特征的特定技術處理獲得的個人數據，如面部圖像或指紋，這些數據可確認該自然人的特定身份。單個的該類數據可能不會產生國家安全的問題，但數以百萬計甚至數以億計的中國公民個人的基因數據和生物數據如果被外國企業收集并轉移到中國境外，就會實際關涉國家安全。對此，聯合國2003年10月16日《人類基因數據國際宣言》指出，基因數據應當以人權高度進行特殊保護。歐盟2016年《通用條例》第9條中專門增加了1995年《指令》未規定的基因數據保護規則，允許成員國對該類數據的處理設置更多的限制。我國《國家安全法》和我國《網絡安全法》均未有條文涉及基因數據、醫療數據、生物數據的專門保護，考慮到我國《網絡安全法》側重于網絡產品和服務而非醫療與生物領域，比較適宜的彌補方案是要求國家網信部門會同國務院有關部門在制定跨境數據轉移安全評估辦法時，專門區分出基因數據、醫療數據、生物數據等特殊個人數據的安全評估標準；其他更進一步的保護立法則留待以后解決。

(二)國內市場與國際市場的平衡

由于法律具有普適性，我國《網絡安全法》不僅適用于中國境內經營的中國企業和外國企業，還將影響與前述企業具有跨境數據轉移業務合作的境外企業。目前，在國內市場中，我國計算機和互聯網領域企業實現了跨越式發展。在未來的國際市場拓展中，歐盟也是重要市場，而“一帶一路”區域的經濟也將融入非常多的互聯網元素。中國企業在進入這些市場、因業務所需將數據轉移至中國的時候，其他國家也可能會采取對等的政策，限制中國企業將數據轉移至中國處理；或者指責中國的個人信息保護法制無法給該國公民提供同等水平的保護。例如，歐盟議會阿克塞爾·沃斯等四位議員在2016年6月17日指責中國，并要求歐盟委員會對中國企業將歐洲個人數據轉移到中國的情況進行調查。*Axel Voss, etc., “Personal Data Transfers to China-What Protection for EU Citizens”, European Parliament, 20 June 2016.因此，對于我國《網絡安全法》的具體術語和具體制度的解釋都應當非常謹慎、全面把握整個跨境數據轉移法律制度對國內市場和國際市場的微妙平衡。

首先，我國《網絡安全法》中的“個人信息”和“關鍵信息基礎設施”這兩個術語是跨境數據轉移安全評估的切入點，其內涵將直接影響跨境數據轉移規制的廣度和深度。一般而言，“個人數據”的界定可以采取四種模式：正面概括式、反面概括式、列舉式和概括與列舉相結合的模式。其中，正面概括式指的是直接界定個人數據的概念，這種模式為大多數國家所采取。例如歐盟《指令》第2條和《通用條例》第4條都正面概括個人數據的概念，即“任何確認或者能夠識別自然人的信息；能夠識別自然人指的是一個人可以直接或者間接地被確認”。由此可見，正面概括式可以提供監管國最為廣泛的監管授權。類似地，澳大利亞《隱私法》第6條、俄羅斯《個人數據保護法》第3條基本照搬歐盟的做法。反面概括式指的是除特別規定的因素之外的都是個人數據，這種模式為美國部分立法所采取。例如美國1984年《有線通信政策法》第313條規定個人信息為“非集合信息”。列舉式是指明確列舉出屬于個人數據的各種數據，這種模式同樣為美國部分法律所采取，例如《馬薩諸塞州隱私違規通知法》將個人數據界定為“個人的姓氏和名字，或者與社保號、駕照、銀行賬號、信用卡或借記卡賬號中的一個組合在一起的姓名”。*See Paul M. Schwartz, Daniel J. Solove, “Reconciling Personal Information in the United States and European Union”, 102 California Law Review 877, 888-890 (2014).概括與列舉相結合的方式綜合了正面概括式和列舉式兩種模式的優點，為日本《個人數據保護法》第2條所采取。我國《網絡安全法》的草案一稿和二稿采取的都是概括與列舉相結合的方式，不同的是草案一稿先列舉后概括，草案二稿先概括后列舉，但其實質上都將能夠單獨或與其他信息結合能夠識別個人身份的信息納入保護范圍。最終通過的我國《網絡安全法》采用了草案二稿的方案，先強調可能的范圍，再提供示例。與此同時，在關鍵信息基礎設施的定義上，草案一稿第25條采取的是直接列舉式，在很大程度上限縮并僵化了監管范圍。有鑒于此，我國《網絡安全法》最終采用了草案二稿第29條的方案，即將其具體范圍授權給國務院另行制定，僅大致概括其范圍為“嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施”。值得注意的是，歐盟及其成員國與澳大利亞等國并沒有限定僅有關鍵信息基礎設施才接受跨境數據轉移條款的規制，所以無論我國在關鍵信息基礎設施的概念上采取何種定義，都難以超過這些地區或國家的監管范圍。由此可見，在跨境數據轉移的安全監管上，我國通過在法律上設定個人數據和關鍵信息基礎設施的開放定義，一方面能夠做出較為寬泛的、低于歐盟監管范圍的監管授權，另一方面也能提供企業相對于正面概括式定義更高的可預見性。不過，上述界定在46家國外團體看來仍然是監管過于寬泛，*See United States Council for International Business, Aug. 2016 Letter on PRCG Cybersecurity Regulations, available at http://www.uscib.org/uscib-content/uploads/2016/08/Aug-2016-Letter-on-PRCG-Cybersecurity-Regulations-final-EN.pdf, last visited Oct. 22, 2016.但這46家團體中，除了美國的商會之外，還包括了歐洲、澳大利亞和日本的商會，但反觀歐盟、澳大利亞和日本的立法，這樣的指責無疑是雙重標準的產物。

其次，安全評估標準的透明度將影響跨境數據轉移規制制度的具體實施。我國《網絡安全法》第37條沒有直接規定跨境數據轉移的安全評估標準，而是授權由國家網信部門會同國務院有關部門制定，但法律和行政法規另有規定的除外。因此，僅從現行法還無法得知跨境數據轉移安全評估的具體標準，這樣會存在一定的不確定性，容易被指責。*Ibid.相比較而言，歐盟《指令》和《通用條例》都針對第三國而非具體企業進行適當性評估，并在立法上直接公布評估標準。但正如前文所指出的，歐盟的適當性評估非常抽象和主觀(如第三國的法治情況)，也受到很多詬病。*Christopher Kuner, supra note 16, p.39.此外，歐盟的對于企業進行的“標準合同條款”和“有效企業規則”(BCR)的跨境數據轉移監控，也是歐盟委員會制定的，并非最高層級的立法。因此，我國《網絡安全法》授權國家網信部門會同國務院有關部門制定有關標準并無不妥，但具體的標準仍應公布，從而向國內外企業提供比較充分的可預見性。此外，可以考慮將第三方中立機構(例如APEC認證的隱私責任評估機構)的評估納入未來具體安全評估的參考因素之一，從而增強安全評估的客觀性和中立性。

最后，我國法律對于非法跨境數據轉移企業的責任追究機制的設置，并未采用歐盟的懲罰性措施。我國《網絡安全法》第66條規定，企業違反跨境數據轉移安全評估規定的，由有關主管部門責令改正，給予警告，沒收違法所得，處5萬至50萬元以下的罰款，并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處以1萬至10萬元的罰款。此前曾有學者認為5萬至10萬元的罰款相對于年營業額動輒上千萬甚至數以億計的互聯網企業而言是微乎其微、缺乏威懾力的，因而建議借鑒《通用條例》，采取高額行政處罰機制。誠然，《通用條例》第83條第5款規定的行政處罰非常具有威懾力(違法跨境數據轉移規定的或者侵害個人數據權的，成員國數據管理當局可對違法企業處于最高不超過2000萬歐元或者企業全球年度營業額的4%的行政罰款)，但這些處罰機制主要針對的是外國企業，并非歐洲本土企業。原因其實很簡單，歐洲本土企業在計算機和互聯網產業領域無法抗衡外國企業。與歐洲市場不同的是，中國境內的互聯網企業主要是中國本土的企業，而且這些企業已經占據了全球前十位互聯網企業中的四席，因此我國法無須采用類似歐盟高額處罰的機制進行威懾，依靠責令暫停相關業務、停業整頓、吊銷相關業務許可證或吊銷營業執照等行政措施就足以對在中國境內經營的中國本土企業和外國企業產生足夠的威懾力。

(三)國內立法與國際規則的平衡

從目前的互聯網等技術發展以及國內網絡安全威脅的現狀來看，我國法對跨境數據轉移進行必要的限制是符合我國實際需要的，但具體的限制規則仍需考慮與現有相關國際規則相協調。

一般而言，大多數國家依據GATS第14條“一般例外”中的隱私例外條款，以個人數據或者隱私保護為名、采取第三國適當性評估模式、數據控制者擔保模式、數據主體同意模式等立法模式限制跨境數據轉移。然而，如前所述，這些立法模式都有各自的缺點，不一定符合我國的國情。因此，我國應考慮另辟蹊徑，既實現維護消費者利益和國家安全、限制數據的跨境轉移，又不給本國企業設置過高的個人數據保護執法成本。在這一點上，我國《網絡安全法》對跨境數據轉移規制的理由選擇了“安全評估”。而且，如前所述，該法第37條并未明確“安全評估”到底是“個人數據安全的評估”、“產業安全的評估”、“國家安全的評估”還是綜合三者的整體評估，具體的評估標準也授權相關部門后續確定。因此，我國的跨境數據轉移的安全評估是否符合WTO規則(是否構成國際貿易壁壘)就成為關鍵。*國外46家團體認為我國跨境數據轉移的安全評估構成WTO禁止的技術壁壘。See United States Council for International Business, supra note 58.

從現有WTO規則來看，GATS不僅在第14條“一般例外”中規定隱私例外條款，還規定了“安全例外條款”，而且，這一“安全例外條款”的適用條件與隱私例外條款適用的兩大條件相同：一是“為了確保與本協定不會構成不一致的法律或法規得到遵守所必需采取的措施”；二是該“措施的實施在相同情況的國家間不構成任意的或者無端的歧視，或者不構成變相的服務貿易限制”。不過，GATS對于該條款中的“安全”并沒有給出明確的界定。此外，GATS第14條之二規定了“國家安全”例外，即GATS不能解釋為禁止成員國為了以下目的而做出的舉措。一是保護下列核心安全利益而采取任何必要的措施：任何直接或間接向軍事基地提供的服務；與核裂變和核聚變材料或者衍生這些物質有關的材料；在戰時或者與國際關系有關的其他緊急情況。二是承擔《聯合國憲章》所要求的維持國際和平與安全而采取的安全措施。按照該規定，“國家安全”的內涵非常狹窄，一國很難援引GATS“國家安全”例外條款作為限制跨境數據轉移的免責事由。

不過，從國際實踐來看，有三點值得注。其一，俄羅斯在跨境數據轉移限制規則上，除了利用GATS隱私規則外*《俄羅斯個人數據保護法》第2條規定：“本法旨在保護個人數據處理過程中涉及的個人權利和自由，包括對隱私、個人和家庭秘密方面的權利。”，還增加了以國家安全、國家防衛、保護公眾合法權益為由的備用限制機制。具體而言，俄羅斯《個人數據保護法》第12條第2款規定，即使第三國提供了充分水平的保護，俄羅斯當局也可以國家安全、國家防衛、保護公眾合法權益為由禁止或者進一步限制數據轉移。因此，法律上以國家安全和公共安全為由限制跨境數據轉移也并非沒有先例。其二，目前尚沒有任何國家的跨境數據轉移限制制度因不符合WTO規則而被提交到WTO，即使美國曾多次指責歐盟的做法違反GATS“一般例外”。*Gregory Shaffer, supra note 15, p.8. See also Monika Ermert, “TISA Negotiations: Yes To E-Commerce, Data Flows, No To IPR, Data Protection”, Intellectual Property Watch, 17 December 2014.出現這種現狀的原因非常多，但最重要的原因應當是控訴國深知WTO在判斷某國制度是否違反GATS“一般例外”時所采取的雙層分析法導致結果具有很大的不確定性：第一層判斷該國制度與GATS“一般例外”中某個具體例外規定的關聯度，其核心是判斷該國制度是為了保護GATS“一般例外”中某個具體例外規定的利益而有必要做出的；一旦確認二者具有關聯度，進入第二層分析，即判斷該國制度是否違反GATS第14條“一般例外”適用的總體條件，即判斷該國所采取的措施是否構成“任意的”或“無端的”歧視或“變相的服務貿易限制”，其核心是判斷該國制度是否存在歧視他國，是否影響其他成員國通過GATS獲得的權力。*Appellate Body Report, US — Gambling, para. 292-339.其三，考慮到跨境數據轉移制度的核心是重大的經濟利益和國際貿易關系，目前各國對于跨境數據轉移方面的分歧都采用雙邊或多邊談判解決，例如歐美談判達成跨境數據轉移隱私保護安全港協議和后來的隱私盾協議；又如美國、澳大利亞、日本等國在TPP的多邊談判中對于跨境數據轉移問題都擱置爭議，回歸GATS“一般例外”的做法。

因此，我國《網絡安全法》采取安全評估方式限制跨境數據轉移后，筆者建議相關部門在制定安全評估辦法時對“安全評估”中的“安全”作廣義的解釋，即不要將其限定在國家安全、公共安全之內，而是還應當將其解釋為囊括個人隱私保護的個人數據安全，從而明確我國的具體安全評估辦法與GATS的“一般例外”規定以及現在國際實踐的一致性。

(責任編輯：陳歷幸)

張金平，北京大學法學院博士研究生，斯坦福大學法學院客座博士生研究員(visiting student researcher)。

DF41

A

1005-9512-(2016)12-0136-19