跨境數據流動的全球治理：權力沖突與政策合作
——以歐美數據跨境流動監管制度的演進為例

賈 開

（清華大學公共管理學院，北京 100084）

跨境數據流動的全球治理：權力沖突與政策合作
——以歐美數據跨境流動監管制度的演進為例

賈 開

（清華大學公共管理學院，北京 100084）

數字經濟的全球擴張已經使得跨境數據流動成為常態，但不同國家間規制傳統與制度環境的差異使得跨境數據流動的全球治理成為難題。不過即便如此，在各國不對其國內規制制度做出重大調整的前提下，政策共識與國際合作依然可能存在。《安全港協議》代表了歐美在承認制度差異前提下的政策共識，“9·11事件”后，美國國內政策的轉折為當前沖突的爆發埋下了伏筆，《隱私盾協議》為新的國際合作打開了窗口。歐盟與美國跨境數據流動監管制度的演進歷史，淋漓盡致地體現了跨境數據流動全球治理沖突與合作的反復與交替。

跨境數據流動；規制沖突；國際合作

賈開 （1985-），男，四川人，清華大學公共管理學院博士研究生，研究領域包括互聯網治理、數據治理和平臺經濟規制。

自1980年代經合組織（OECD）首次提出“跨境數據流動”（Trans-border Data Flow）的概念之后，數字經濟的快速擴張已經使這一現象逐漸成為常態。無論是軟件開發、服務外包等數據處理業務在全球分工體系下的日益成熟，還是以互聯網跨國公司形態存在的社交平臺、搜索引擎、電子商務的日益普及，都同時推動著跨境數據流動在體量和頻率兩個方面的指數化增長。但與傳統貨物貿易不同，被視為大數據時代“核心資源”的“數據”，卻與個人隱私、公共安全等社會價值密不可分。也正因為如此，當站在全球數據貿易的角度呼喚數據的自由流動時，規制者還不得不同時考慮對于其他社會價值的保護，并因而對跨境數據流動做出限制，由此便引發了跨境數據流動的全球治理議題：協調不同國家的制度差異以平衡數據跨境流動的收益與成本，并最終在全球范圍內促成“公地喜劇”。①關于“公地喜劇”的理論可參見Carol Rose（1986）。此處的公地喜劇是指更為自由的跨境數據流動有利于形成全球數據“公地”，并提高數據的利用效率。

遺憾的是，不同于貨物貿易或金融市場，跨境數據流動沒有建立起類似于世界貿易組織或世界銀行這樣傳統的全球治理機制，國家間的規制沖突持續不斷；但另一方面，跨境數據流動并沒有因此而中斷，全球范圍內的數字經濟依然在以超常規的速度不斷向前發展。如何對這一現象做出解釋，便成為了學者亟需回答的問題。具體而言：為何在缺乏國際制度共識并因而未能建立多邊治理機制的情況下，大體量、高頻次的數據依然能夠跨境流動？

與此同時，伴隨著“斯諾登事件”而持續發酵的大規模數據審查丑聞，在全球范圍再次引發了對于美國霸權的擔憂，各國也由此產生了對于跨境數據流動施加更強限制的制度訴求。包括俄羅斯、澳大利亞、巴西等國在內，“數據本地化”①Chander,Anupam,and U.P.Le."Breaking the Web:Data Localization vs.the Global Internet." SSRN Electronic Journal (2014).日漸成為普遍的制度改革方向；而這樣的制度改革又不可避免地加劇了全球數據貿易的“巴爾干化”，有悖于“互聯互通、共享共治”的全球互聯網治理精神。由此引發的問題是，建立在國家主權訴求基礎上的數據規制政策，是否是對抗美國霸權主義的唯一途徑？事實上，盡管歐洲各國深受“棱鏡計劃”之害，但歐盟與美國并未走向割裂，跨境數據流動依然在雙方新締結的《隱私盾協議》（Privacy Shield）下恢復正常。這一事實至少說明，沖突在所難免，但跨境數據流動依然能夠找到政策共識并帶來國際合作，其并不絕對導致單邊主義的數據割裂。

本文將以歐盟與美國在監管制度方面的沖突與合作為例，闡述跨境數據流動全球治理機制的演變過程，并進一步解釋跨境數據流動國際合作的可能性，試圖為未來的制度改進提供事實基礎和政策建議。本文將分為四個部分。第一部分解釋跨境數據流動國際沖突的根源及其在歐盟與美國的體現；第二部分以《安全港協議》（Safe Harbor）為例，闡述歐盟與美國在制度沖突的背景下尋找政策共識和國際合作的空間與過程；第三部分將從歷史演進的角度，回顧“9·11事件”及“斯諾登事件”對于歐美跨境數據流動國際合作的沖擊及深遠影響。第四部分將落腳于歐美新達成的“隱私盾協議”，再次解釋國際合作的可能性。

一、沖突的起源：規制傳統與制度差異

跨境數據流動的核心問題是個人數據隱私保護與跨境數據自由流動的平衡。雖然各國政府都承認保護個人數據隱私的必要性，但就跨境數據流動的全球治理機制而言，沖突的根源則來自于各國規制傳統與制度體系的差異。

1970年代，美國和瑞士在兩國達成的《公平信息實務準則》（Fair Information Practice Principles）中對警告、許可、精確性、安全性等概念進行了定義，由此形成了最早的針對數據隱私權的監管立法。自此之后，大多數國家立法和國際條約都是以此為基礎。1980年代，OECD又進一步將其編纂成典，形成了《隱私權和個人數據跨境流動保護的指導原則》（Guidelines on the protection of privacy and Trans-border fl ows of personal data）。正是在這些準則或原則的基礎上，大多數國家就加強國內隱私權監管達成了理念共識。但即便如此，各國法律的監管范圍以及監管方式卻呈現出非常明顯的不同，由此便導致了跨境數據流動的規制沖突，而美國與歐盟則是最為典型的國家與地區。②Bennett,Colin 1992.Regulating privacy:data protection and public policy in Europe and the United States.Ithaca:Cornell University Press.長久以來，美國與歐盟在公民的數據隱私保護方面采取了迥異的發展路徑。二者的區別體現在以下幾個方面：

就立法原則而言，美國的數據隱私保護沿襲了其對于合同原則的堅持，“法無禁止即可為”，只要沒有明確的法律限制，公司可以自由地使用用戶個人數據。相比之下，歐洲則體現了其對于合同實質內容的關注，其注意到了公司與用戶在數據使用和數據保護方面不對等的權力結構與風險敞口，因而在法律中明確規定了對于公司隱私政策的限制。

就監管范圍而言，美國立法者僅僅強調對公共部門進行監管而對私人部門實行“自定規則”（Self-Regulation）。雖然銀行、電信等敏感行業受到特別法律規則的限制，但對于更多的私人部門而言，并沒有單獨的立法規制。相比之下，歐盟對公民數據隱私的保護范圍更為廣泛，同時適用于公共和私人部門。①Newman,Abraham 2008.Building Transnational Civil Liberties:Trans-governmental Entrepreneurs and the European Data Privacy Directive.International Organization.62(1):103-30.

就法律文本和執法權力而言，美國針對數據隱私保護的法規監督和執行權力被分散在不同的政府機構手中。以1974年《隱私權監管法案》（Privacy Act）為代表的美國監管制度旨在規制公共部門，其執行權力被分散到包括聯邦預算管理辦公室、聯邦貿易委員會和聯邦儲備委員會在內的一系列機構之中。即便如此，聯邦預算管理辦公室的監督和執行權力也都處于消極狀態（即不訴不理），而且僅僅只有一部分州對數據隱私權保護進行了立法規制。②Schwartz,Paul,and J.R.Reidenberg."Data Privacy Law:A Study of United States Data Protection." Government Information Quarterly 14.2(1997).相比之下，歐盟的數據監管政策由“數據隱私權監管委員會”這樣一個獨立結構來監督并執行，其承擔著對數據使用過程中的投訴及爭執進行監督和調解的職能（Flaherty,1989）。這些獨立機構受到財政預算保證、負責人長期任職，并且獨立于其他行政部門。與此同時，歐盟于1995年通過了一項旨在歐洲范圍內規范個人信息數據采集和傳輸行為的法律指令。③《個人數據采集和傳輸行為保護指令》（The Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data 95/46/EC,1995 O.J.(L 281) 31）該指令不僅統一了各國有關數據隱私保護的分散法律，更為關鍵的是，其第25款包含了治外法權條款，明確禁止向尚未建立“充分”（Adequate）的數據隱私權保護法律的國家傳輸數據——而這便是導致歐盟與美國跨境數據流動沖突的焦點所在。

歐盟的“充分保護”標準的核心要求包括兩點：一方面，具備獨立的監管機構且同時覆蓋公共和私人部門的監管原則——顯而易見的是，美國的法律體系不符合這一標準。另一方面，美國國內的立法者也不可能全盤推倒當前法律體系并依照“充分保護”原則對其進行改革重塑，因為這既涉及國家主權、法治理念等重大政治問題，又涉及法律執行的績效問題。在美國人看來，歐盟數據隱私保護的法律體系雖然完備、統一，但卻“空有其表”，其在法律實施過程中總是受困于執行力度的孱弱。例如在2014年，谷歌因收集街景數據時未能充分告知被收集者的個人數據使用情況而被認定違法，法國數據隱私保護機構CNIL裁定對其的懲罰額度是15萬歐元，而這甚至是CNIL開出的史上最高罰單。相比于谷歌每年高達上百億的凈利潤而言，如此之低的懲罰幾乎不能對其帶來絲毫影響。④https://www.rt.com/news/france-google- fi ne-privacy-339/也惟其如此，在不可能推動美國國內法律體系變革的前提下，圍繞數據隱私保護的規制制度沖突在所難免；而歐美之間如果缺乏某種形式的國際合作，數據跨境流動幾乎是天方夜譚——也正是在這一背景下，《安全港協議》被創新性地提了出來。

二、尋找政策共識：《安全港協議》與國際合作

傳統觀點認為全球化一定會導致不同國家監管制度的融合統一，現實主義的觀點更進一步認為跨國治理體系是由霸權國家提供，并在其主導下改變其他國家內部法律制度的進程（Tonnelsosn,2000）。但在跨境數據流動的例子中，既沒有看到美國改變其國內法律體系以滿足歐盟標準，也沒有看到歐盟接受美國現狀并認可其符合“充分保護”原則。

事實上，歐盟數據隱私保護指令的第29款和第31款分別設立了兩個咨詢委員會，⑤29款規定的咨詢委員會是由各成員國數據隱私權保護執行機構代表組成的工作組（Working Party），31款規定的咨詢委員會是由各成員國代表組成的信息委員會（comitology committee）。以對其他國家的國內數據隱私權保護法律進行評估并向歐盟委員會提交評估報告，后者據此做出是否滿足“充分保護”原則的決定。一旦歐盟委員會判定該國法律體系不符合“充分保護”原則，歐盟將中止其與該國的跨境數據流動。正是在這樣的制度威脅下，包括加拿大、澳大利亞、日本、阿根廷在內的40多個國家都改革了國內的法律體系，建立了綜合性的監管體制。①Newman,Abraham."Innovating European Data Privacy Regulation:Unintended Pathways to Experimentalist Governance." (2010).

但對于美國來說，改變其國內法律體系以適應歐盟要求，不僅存在上一節所提到的政治問題，同時也存在改革成本問題。以金融服務行業為例，美國國內大量存在且極易獲取的公民信用報告是其提供專業服務的基礎，而這種情況卻鮮見于歐洲。也正因為此，歐盟與美國的跨境數據流動必須找出除了“統一”或“承認”之外的第三條路徑，而這便導致了《安全港協議》的誕生。

《安全港協議》于2000年7月簽署并于當年11月正式生效，它并不強迫美國改變其國內法律監管環境，但同時歐盟也很明確地拒絕承認美國監管措施等效于歐盟標準；②Farrell,Henry."Constructing the International Foundations of E-Commerce The EU-U.S.Safe Harbor Arrangement." International Organization 57.2(2003):277-306.相反的是，《安全港協議》直接要求參與跨境數據交換的公司遵守歐盟規則而不要求對整個國家的法律體系進行改革。③Long,William J.,and M.P.Quek."Personal data privacy protection in an age of globalization:The US-EU safe harbor compromise." Journal of European Public Policy 9.3(2002):325-344.為保證協議的落實，美國企業要么選擇接受歐盟獨立機構的監管，要么由美國聯邦貿易委員作為最后一道“防火墻”對企業進行監督。在實際操作中，美國商務部將給出承諾遵守《安全港協議》的公司清單。④清單可參見http://www.export.gov/safeharbor/doc_safeharbor_index.asp.由此，《安全港協議》構建了歐盟與美國在跨境數據流動領域的國際合作機制，在不強制要求企業對其國內數據處理方式進行修正的同時，也仍然能夠保證歐洲公民的信息數據在國外受到與其在歐盟國內相當的保護。在其簽署之后的15年里，《安全港協議》也成為了包括Google、Facebook、Microsoft在內的超過4500家企業賴以運營的生命線。

需要指出的是，雖然《安全港協議》并不強制要求美國的監管法律做出改變，但在其長期運營中，該協議也對美國的制度環境造成了潛移默化的影響。首先，《安全港協議》促使跨國公司開始嚴肅對待跨境數據流動的問題。例如，“泛大西洋商業對話”和“國際商會”都已經設立專門的工作組來應對這一領域的監管沖突。⑤COWLES,MG."The Global Business Dialogue on e-commerce (GBDe):Private fi rms,public policy,global governance." TA-Datenbank-Nachrichten 10.4 (2001):70-79.再者，《安全港協議》推動了美國國內隱私保護監管機構的變革。舉例而言，雖然美國聯邦貿易委員會（FTC）的職責并不包括公民的數據隱私保護，但在《安全港協議》的影響下，FTC目前已經成為美國國內負責網絡隱私監管的核心部門。FTC的執法依據是其在涉及企業是否進行“公平交易”（Fair Business Practice）的方面的裁決權。只要企業公開其隱私保護條款或在線聲明，FTC就可以據此執法權對企業進行監管并督促其遵守公開承諾，從而間接起到保護公民數據隱私的作用。最后，《安全港協議》影響了美國國內的立法變化。自2000年以來，許多美國聯邦和州的隱私與安全保護法律被修改或制定，這包括《聯邦貿易委員會法案》第5條、《有線通信政策法案》、《電子通信隱私發》、《金融隱私權法案》等等。

從這一角度看，盡管歐盟與美國存在著針鋒相對的監管制度沖突，但《安全港協議》卻仍然實現了在承認差別的前提下開展國際合作的可能性，跨境數據流動也因此在歐盟與美國之間暢通無阻。值得注意的是，傳統思維所理解的美國霸權主義并沒有出現在歐美跨境數據流動之中；恰恰相反，在全球數字經濟中處于弱勢的歐盟，卻利用《安全港協議》撬動了美國國內法律體系的變革。由此我們也可以看出，即使在短期內難以達成共識的制度分歧，在具體的機制創新推動下仍然可能走向國際合作。但同樣不可忽視的是，這樣的政策共識與國際合作并非一勞永逸，規制傳統的差異與制度沖突的本質并未改變，外界環境的變遷隨時可能導致合作的失敗。也正因為此，受“斯諾登事件”的影響，《安全港協議》在運營長達15年之后壽終正寢。

三、“9·11事件”與斯諾登：美國的變化與新沖突的爆發

2013年“斯諾登事件”曝光后，奧地利人Max Schrems向愛爾蘭數據監管機構提起訴訟，指控Facebook向美國政府提供數據。2014年該案被移至歐盟最高法院，并最終于一年后做出判決：《安全港協議》因未能充分保證歐洲公民的數據隱私而被裁定無效并予以撤銷。歐盟最高法院在判決書中明確指出，“美國的國家安全、公共利益和執法需求都優先于‘安全港’協議，從而使得企業在面對上述情況時，勢必漠視‘安全港’協議中的隱私保護條款?！踩邸瘏f議并不能約束政府機構的數據審查行為，不能起到充分保護歐洲公民隱私的作用，因而它是無效的?！?/p>

《安全港協議》的廢除標志著歐美數據跨境流動的沖突達到了頂點，但這并非僅僅只是因為“斯諾登事件”的持續發酵而造成。事實上，自1990年代后半期開始，美國執法部門便試圖改革國內的法律規制體系，以擴大其數據收集和監控的能力與權力?！?·11事件”的爆發為此打開了“機會之窗”，并由此為當前沖突埋下了伏筆。

“9·11事件”之前，美國國會和司法機構對行政機關的數據收集和監控行為施加了較強的限制。1976年，由參議員Frank Church領銜的專門委員會發布了著名的“邱奇委員會報告”（Church Committee Report），揭露了政府以國家安全之名實施的大規模電子監控行為。在該報告的影響下，美國國會于1978年通過了《外國情報審查法案》（Foreign Intelligence Surveillance Act，FISA），從而將執法部門專門針對外國情報機構的數據監控行為與針對美國公民犯罪調查的數據監控行為區分開，由此避免了執法部門以國家安全為名對美國公民的大規模數據監控。①1986年美國國會專門通過了《電子通訊隱私法案》（Electronic Communication Privacy Act,ECPA），對執法部門針對美國公民的數據監控行為進行了規范。

1990年代后半期，伴隨著科技創新的不斷進步，執法部門已經在技術上具備了收集和分析大規模數據的能力，②盡管這一時期圍繞人工智能的研究沒有實現預期結果，但計算統計學卻出現了突破性進展，由此為大規模行為數據的分析提供了技術支撐（Mattew,2016）。請參見Matthew Jones,Great Exploitations:Data Mining,Legal Modernization,and the NSA.2016.但它卻依然面臨著法律上的束縛。根據FISA的規制要求，執法部門的數據監控行為必須獲得法律授權。1999年，美國國家安全局（National Security Agency,NSA）試圖繞過FISA的規制要求，希望在只針對標記數據（metadata）③標記數據（Metadata）是指通信過程中不涉及內容的地址數據，例如通信人、電子郵件地址等。的監控行為中不用獲得法律授權，但美國司法部（Department of Justice,DOJ）在情報政策評論中卻拒絕了NSA的要求，認為標記數據監控依然是“搜查”（Search）行為并構成了對于公民隱私權的傷害。事實上，在九十年代后半期，執法部門一直在推動FISA改革，試圖對數據審查法律進行“現代化改造”（Modernization of surveillance law），但這一改革直到“9·11事件”發生后才出現了實質性進展。

“9·11事件”后美國政府組成了“9·11”調查委員會，對情報工作進行全面的反省式調查。委員會的最終報告指出，導致“9·11”發生的重要原因之一是情報系統存在漏洞。盡管FBI已經得到了犯罪分子（美國公民）可能會發動襲擊的情報，但因無法確認嫌疑人與國外恐怖組織有關，從而不能依照FISA獲得對嫌疑人進行數據監控的法律授權，由此貽誤了補救時機。④Senate Report No.108-040.基于委員會的調查結果，美國對數據規制的國內法律體系做出了重大調整，這主要體現在以下兩個方面：

首先，對FISA做出了重大改革。改革前的FISA規定，只有當針對外國情報機構是執法部門數據收集與監控行為的“主要目的”（Primary Purpose）時，FISC才會給予法律授權；改革后，這一約束條件被改為了“重要目的”（Signi fi cant Purpose）。換而言之，只要當執法部門證明該調查與外國情報機構相關，即使其不是主要目的，執法部門也可以獲得法律授權從而開展數據收集與監控。這一變化最直接的證明來自于外國情報審查法庭（Foreign Intelligence Surveillance Court,FISC）所發出的法律授權數量變化。FISC是FISA設立的專門法庭，負責對執法部門的數據監控請求做出審查。從1979年到1999年，FISC發出的法律授權數量從199增長到了886；而這一數字在2002年增長到了1228，并進一步在2003年、2004年分別增加到1727和1758。①DANIEL J.SOLOVE & PAUL M.SCHWARTZ,PRIVACY,LAW ENFORCEMENT,AND NATIONAL SECURITY (2014).p.166.

再者，《愛國者法案》（USA Patriot Act）出臺?！?·11事件”發生后，美國國會即迅速通過了《愛國者法案》，該法案對隨后的世界形勢產生了深遠影響并引起了諸多爭議。就數據規制而言，最為關鍵的是第215節。第215節規定執法部門可以在獲得授權的情況下對美國境內任何組織或個人實施數據收集與監控，同時第215節還進一步規定數據被索取方不能向其他任何人公開執法部門所索取的數據內容（也即閉嘴原則，Gag Order）。第215節隨后成為NSA對通信標記數據（bulk telephone metadata）進行大規模監控的法律依據，而接受數據索取要求的通信公司或互聯網公司也因此不能向媒體公開執法部門是否向其且提出了何種數據索取要求。后者對公眾監督帶來了極大的阻礙，直到“斯諾登事件”的爆發才泄漏出美國安全部門大規模數據監控的“冰山一角”。

在《安全港協議》的掩蓋下，歐盟國家并沒有注意到表面上正常運行的跨境數據流動已經發生了本質變化。自“9·11事件”之后做出重大調整的美國國內規制體系，已經不再能夠對執法部門和安全部門的數據收集與監控行為施加有效約束；與此同時，由于“閉嘴原則”的存在，承諾接受《安全港協議》的美國公司即使向美國政府提交數據，其也不能按照《安全港協議》要求向歐盟規制部門提交相關報告。規制制度的沖突再次凸顯，《安全港協議》名存實亡。但即便如此，數字經濟全球化程度的加深已經使得跨境數據流動不可中斷，如何在舊體系崩潰的情況下尋找新的國際合作機會，成為接下來的緊迫工程，而歐美再次達成的“隱私盾協議”（Privacy Shield）無疑在沖突不斷的國際形勢下再次給予了人們希望。

四、《隱私盾協議》：國際合作的未來與挑戰

在裁定《安全港協議》無效并予以撤銷的同時，歐盟表示，希望在2016年1月底之前與美國達成新的數據貿易協議；②http://techcrunch.com/2015/11/06/safe-harbor-2-talks-deadline/否則，歐盟數據保護機構將單方面宣布他們認為合適的數據跨境流動方式。③http://www.nytimes.com/2016/02/01/technology/us-european-data-transfer-deal.html?_r=0在經過艱苦談判后，歐盟談判組終于在同年2月初宣布與美國達成了新的框架協議（被稱為《隱私盾協議》，Privacy Shield），從而暫時解決了跨境數據貿易可能陷入中斷的困境。④http://europa.eu/rapid/press-release_IP-16-216_en.htm?locale=en新協議的達成時間雖然超過了歐盟設定的截止日期，但其仍然為歐美跨境數據流動的當前困境帶來了曙光。

新協議的主要內容包括三個方面：⑤http://europa.eu/rapid/press-release_IP-16-216_en.htm?locale=en第一，美國公司將承擔更多的數據隱私保護責任，美國商務部將監督美國公司所做出的數據保護承諾，而美國聯邦貿易委員會將負責其落實。第二，美國政府給出書面承諾，保證美國執法部門只在明確限制條件和監管之下才對歐洲公民數據進行審查，從而排除了一般性、不加區分的大規模審查。為監督美國執法部門的行為，歐盟和美國商務部每年都將舉行聯合評估。第三，新協議為歐洲公民提供了多個渠道的救濟措施。一方面，美國公司必須對歐洲公民的質疑作出回應，而歐盟監管機構可以將歐洲公民的起訴移交給美國商務部或聯邦貿易委員會；另一方面，新協議將設立特別監察員職位，以應對歐洲公民針對美國執法部門的起訴。

盡管相對于《安全港協議》而言，《隱私盾協議》已經有了很大的進步，但這并不代表歐美跨境數據流動問題就一勞永逸。

一方面，新協議還將面臨歐洲最高法院（Europe Court of Justice,ECJ）的審查，而是否能通過審查仍然存在較大的不確定性。數據保護活動家Max Schrems即認為“隱私保護協議”遠遠達不到ECJ的要求，他主張在美國沒有停止大規模的網絡審查之前，應該中止跨境數據流動。①http://europe-v-facebook.org/PS_update.pdf類似的，長期致力于數據保護的歐洲議會議員Jan Philipp Albrecht也認為該協議不會在ECJ上得到通過。②http://www.greens-efa.eu/eu-us-data-protectionsafe-harbour-15127.html由所有歐盟數據保護機構代表組成的歐盟數據隱私監管實體第29條工作組（Article 29 Working Group）對《隱私盾協議》也發表了最終評估意見，認定其不符合歐洲數據隱私保護原則。③http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/press_release_ shield_en.pdf盡管該評估結果僅僅只是作為歐盟委員會的參考意見，但輿論同樣認為這對于新協定的最終通過蒙上了陰影。④http://www.natlawreview.com/article/privacy-shield-rejected-gdpr-accepted-what-means-to-your-organization-and-what-you

另一方面，新協議并未能從根本上解決歐美在數據跨境流動上的核心沖突。就歐盟而言，其核心利益是公民的數據隱私保護問題；就美國而言，對于國家安全的考慮仍然勝過對于公民數據隱私的保護。⑤http://fortune.com/2016/02/01/no-deal-safe-harbor/正因為此，美國國內的大規模網絡審查，以及歐洲公民難以通過美國國內法院或獨立機構尋求數據權利保護（相反，美國公民可以在歐洲尋求權利保護）便成為歐美之間的核心分歧。新協議中，美國政府所給出的書面承諾有助于緩解歐盟的擔憂情緒，但這并不代表美國做出了根本轉變，例如美國參議院司法委員會在同期通過了《司法救濟法案》（Judicial Redress Act）。這一法案本來是試圖允許歐洲公民在數據隱私受到侵害時可以尋求美國聯邦機構的保護，但在法案通過前的最后時刻，“不得損害國家安全”這一前提仍然被加入其中。媒體認為，這一變化直接導致了新協議最終未能在截止日期之前（即1月底）達成。⑥http://fortune.com/2016/02/01/no-deal-safe-harbor/

在對《隱私盾協議》的初稿做出進一步修改后，2016年6月底歐盟最終對歐美跨境數據流動的新協議開了綠燈。最后的修改主要明確了三個方面：一是從歐洲傳送至美國的大規模數據收集必須提前獲得許可，且必須盡量明確目標和限定范圍；二是當最初的收集目的改變時，相關公司應刪除數據；三是要求對相關數據問題進行監管的監察員必須獨立于美國家安全局。⑦劉耀華，石月.歐美“隱私盾”協議及對我國網絡數據保護的啟示[J].現代電信科技，2016,46（5）:12-16.至此，歐美終于再次對跨境數據流動達成政策共識，新的國際合作再次形成。

值得注意的是，當前的國際合作仍然是脆弱且充滿了不確定性。盡管諸多公司都認為，《隱私盾協議》的最終達成象征了歐美在跨境數據流動規制領域“相互信任”的恢復，但未來前景遠不如看上去那么樂觀。這一方面是由于美國并沒有從根本上做出改變，自“9·11事件”后發生巨大轉折的美國國內規制制度到目前為止并沒有做出本質性的調整，因而歐美間的制度分歧仍然持續存在。另一方面，美國國內規制部門越來越多地表達了其對境外數據“管轄權”的興趣，最明顯的例子便是微軟公司狀告美國司法部一案。司法部為搜查某涉毒人員的電子郵件信息向微軟公司索要相關數據，但該數據卻存放在位于愛爾蘭的數據中心。美國司法部卻認為，它有權向總部位于美國境內的任何企業索要該企業用戶的電子郵件內容，無論其數據是否存放在美國境內。⑧https://www.theguardian.com/technology/2015/sep/09/microsoft-court-case-hotmail-ireland-search-warrant2016年7月，美國第二巡回法院裁定微軟公司勝訴，判決司法部無權要求微軟提供存儲在美國境外的數據。①https://www.theguardian.com/technology/2016/jul/14/microsoft-emails-court-ruling-us-government這一判決進一步緩和了跨境數據流動的規制沖突，但美國司法部門在此案中所表達出的強硬態度卻仍然使得人們不得不擔憂國際合作的未來脆弱性問題。

結論

伴隨著數字經濟全球化程度的加深以及全球互聯網日益緊密地結合在一起，跨境數據流動已經成為時代發展的必然要求；但另一方面，不同主權國家規制傳統與制度環境的差異卻使得跨境數據流動的規制沖突日益嚴重，達成政策共識的可能性日漸困難。但即便如此，本文的分析指出，在不對各國國內制度環境做出根本調整的前提下，國際合作依然是可能的。

本文并不試圖對未來的政策改革提出具體的政策建議，但本文對歐盟與美國跨境數據流動國際合作演變歷史的回顧，卻有利于更清晰地認識全球數據治理的當前現實與核心沖突。需要指出的是，盡管憑借其商業公司的壟斷地位，美國的確在全球數據治理中占據優勢地位，但這并不代表在跨境數據流動領域存在美國霸權。從本文分析中可以看到，美國國內制度也在經歷著復雜的動態變化，并因此對國際治理體系產生了不同影響。也正因為如此，片面強調美國霸權主義并因此倡導割裂全球數據流動的政策取向，可能并非是最優的政策選擇；認識到跨境數據流動的全球不可分割性，并因此尋找政策共識和國際合作的空間與可能性，才是走向“互聯互通、共享共治”的正確途徑。

Con fl ict and Cooperation:Evolvement of Trans-Border Data Flows between US and EU

JIA Kai

The global expansion of digital economy has already made trans-border data flow essential and critical,while the differences of regulation and institution environment between sovereign states result in divergence and con fl icts.However,the history of EU-US trans-border data fl ow governance protocol proved the possibility of policy consensus and international cooperation without unifying different domestic institution systems."Safe Harbor" represented the initial policy consensus while "9·11" event indicated the transformation of US domestic regulations which resulted the current con fl icts.“Privacy Shield” opened new room for the fragile international cooperation.

trans-border data fl ow,regulation con fl ict,international cooperation

F49; TP393

A

1001-4225（2017）05-0057-08

（責任編輯：鐘宇歡）

本文是首都師范大學文化研究院重大研究項目“互聯網+城市治理：智慧城市2.0的理論與政策研究”（項目號：ICS-2016-A-03）的階段性成果。