美歐跨境數據流動管理機制研究及我國的對策建議

文｜付偉，于長鉞

美歐跨境數據流動管理機制研究及我國的對策建議

文｜付偉，于長鉞

互聯網、云計算和大數據正在加速向各領域滲透，并不斷改變人們的生產生活方式，驅動經濟發展，重塑企業和國家的競爭力。數據資源的收集、處理、挖掘和分析已經突破了地域的限制，跨越國境的數據流動越來越頻繁，跨境數據流動管理已經成為個人數據保護和數字經濟發展的核心問題。美國、歐盟等國家和地區，以及一些國際組織有關跨境數據流動管理方面的經驗和做法值得認真研究和借鑒。

一、跨境數據流的定義

跨境數據流可譯為Trans-border Data Flows或Cross-border Data Flows，二者無本質區別。聯合國、經濟合作組織（OECD）、歐盟等常使用前者，而美國、澳大利亞等常使用后者。早期的文獻中還經常使用“信息自由流動”，即Free Flows of Information。本文對這幾種說法不做區分，均納入研究范圍。

當前，有關跨境數據流的具體定義尚未形成統一的意見。1980年，OECD在《隱私保護和個人數據跨境流動指南》中就跨境個人數據流做了簡明扼要的定義，認為跨境個人數據流就是個人數據的跨越國界流動。1982年，聯合國跨國公司中心認為跨境數據流是指跨越國界對計算機處理的機器可讀數據進行處理、存儲和檢索。雖然這個定義出現較早，而且從技術上看也是過時的，但是直到現在，它依舊是研究和學習中被引用最多的概念。我國學者也較早關注跨境數據流問題，周宏仁認為越境數據流是指數據通過計算機通信系統跨越國家邊境的運動，并闡述了跨境數據流的法律框架所涉及的數據安全、責任、使用權的認可等幾個關鍵問題，并認為跨境數據流是一個非常值得關注的、相當復雜的、具有強烈的信息時代特征的數字世界治理問題。綜合以上定義和觀點，一般簡單地認為，數據跨境流動是指機器可讀的數據通過互聯網和信息系統跨域國家邊境的運動。

二、跨境數據流動重要性

互聯網正在成為不同國家和地區的買賣者進行商業活動的關鍵平臺，并使得跨境數據流動成為全球經濟一體化和驅動國際貿易發展的重要支撐?！洞龠M大數據發展行動綱要》指出數據已經成為國家基礎性戰略資源,以數據流引領技術流、物質流、資金流、人才流，將深刻影響社會分工協作的組織模式，促進生產組織方式的集約和創新。2014年美國商會發布了一份名為《商無國界——跨境數據流的重要性與全球繁榮》的報告，開篇就提及跨境信息流動驅動了今天的全球經濟發展，跨境數據流使得商業和消費者能夠獲得最好的技術和服務。

跨境數據流動提升數字貿易發展。美國布魯金斯學會的研究顯示，歐美之間的數據跨境流動頻率全球最高，比美國和亞洲地區的數據流動高50%，幾乎是美國和拉美跨境數據流的2倍。而與此相對應的，2012年，美國出口到歐盟的服務中72%（1406億美元）是數字化可交付服務（Digitally Deliverable Services），而美國出口到全球的數字化可交付服務價值約3837億美元，約占美國服務出口額的61%。2014年8月美國貿易委員會發布《美國和全球經濟中的數字貿易》報告顯示，數字貿易可通過提高生產率、降低貿易成本對經濟產出做貢獻，改善信息獲得，為中小企業增加市場機會，2012年數字貿易貢獻了美國GDP的3.4%-4.8%。

數據驅動的經濟使得區域邊界越來越模糊，國際貿易的障礙不斷降低，經濟全球化和專業化分工不斷提升。就某一種商品而言，其可能由歐洲設計、中國生產、美國管理、印度維護，但是產品有關的員工、顧客和供應鏈數據和信息必須在全球范圍內共享。對跨境數據流的限制可能對經濟增長造成負面影響。美國貿易委員會的報告指出，數據儲存本地化要求、市場準入限制、數據隱私和保護等因素阻礙了美國數字貿易的發展，可能影響0.1%-0.3%的美國GDP增速。2014年3月歐洲國際政治經濟研究中心發布的《數據本地化的代價》報告也顯示，限制數據自由流動將對GDP增長率產生負面影響，其中，中國為-1.1%，巴西為-0.2%，歐盟為-0.4%，印度為-0.1%。

三、國外跨境數據流動管理機制

美國、歐盟及部分國際組織等都提出過跨境數據流動管理主張，且發布過相關法律和政策文件,形成了較為完善的跨境數據流動管理機制。

（一）美國的跨境數據流動管理機制

美國偏向限制政府權力，同時，其信息技術和跨國公司發展一直處于世界領先的地位，美國堅持認為，倉促立法會限制電子商務的發展，對個人信息保護采取寬松態度，依靠商業機構自身的力量來保護個人（特別是消費者）信息，才是最為有效的保護機制。因此，美國沒有專門出臺一部針對隱私和數據保護的法規，而是傾向于支持自由的跨境數據流動。2010年6月，美國金融服務論壇在給美國商務部國家電信管理局名為《互聯網經濟中的信息隱私與創新》信件中指出，美國政府在確保創新與監管之間的平衡是至關重要的，過于規范的監管制度可能扼殺創新，因而沒有保護消費者隱私權益，同時也可能使美國企業在全球競爭中處于劣勢地位。在互聯網時代背景下，跨境數據流動已經成為人們日常生活的一部分，國家限制跨境數據流動或者處以高度系統化的隱私制度會造成顯著的經濟成本，對跨境數據流動的限制已經過時。

美國的數據政策相對寬泛和自由，且無系統化的法規和規則，數據出口主要依據《出口管理條例》（EAR）、《國際軍火交易條例》（ITAR）及專業領域的法案。其中，EAR重點限制技術數據（含軟件）、技術參數數據庫和部分關鍵領域的數據，并提出進行備案制或者許可制管理要求。同時，美國對醫療、教育、金融服務、信用報告、兒童等特定領域的數據的存儲和流動有著極為嚴格的要求。一方面，美國依據各類隱私法案對隱私數據保護提出要求，限制或者有條件允許數據跨境流動。另一方面，在一些重要行業和領域，美國有很多法案對數據流動和存儲提出嚴格要求。例如，醫療數據方面的美國健康保險攜帶和責任法案（HIPAA），金融服務數據方面的格雷姆-里奇-比利雷法案（GLBA）。在電信領域，美國外資投資委員會（CFIUS）會要求通信基礎設施應位于美國境內，通信數據、交易數據、用戶信息等僅存儲在美國境內。此外，美國對阻礙跨境數據流動的行為非常關注。2014年4月，德國和法國倡議建立一個歐洲內部的通信網絡，以避免電子郵件和其他數據通過美國傳輸。美國貿易代表辦公室對該倡議提出了批評，并認為此舉可能違反國際貿易法。同時，美國貿易代表辦公室在其全球電信貿易壁壘年度審查報告中表示，阻礙跨境數據流動是一個嚴重且越來越令人擔憂的問題。

美國的跨境數據流動管理與其全球貿易戰略和政策一致，即跨境數據流動管理的核心是維護美國在全球貿易中的主導地位。因此，美國的跨境數據流動管理機構主（見圖1）要集中在貿易領域，主要包括美國商務部、美國聯邦貿易委員會、美國貿易代表辦公室及美國司法部等。其中，商務部負責“安全港”協議、數據隱私盾協議等重要協議的實施；聯邦貿易委員會主要參與貿易領域相關的隱私和數據保護法案的實施；貿易代表辦公室重點關注電子商務和跨境貿易中的跨境數據流動問題，核心任務是推動全球數據自由流動；司法部主要職責是保障法律法規的施行，對美國公司持有的跨境數據流行使司法管轄權。另外，美國的一些獨立機構和委員會也承擔了相應的監管職能。

圖1 美國跨境數據流動管理機構及其職能

（二）歐盟的跨境數據流動管理機制

歐盟重點關注個人數據跨境流動中存在的隱私問題，其有關個人隱私保護的法律也是全球最嚴格的，所有數據的流動都要獲得數據主體的同意，且個人數據流入目的國需滿足“充分性”保護要求。在數據進出口管理方面，根據歐盟的法律要求，向歐盟之外轉移數據的過程中，必須按照兩步程序，一是由于數據轉移是一種數據處理，必須有數據轉移的法律依據；二是跨境數據流動必須有法律依據，以便確保在進口國家數據也能得到“充分保護”。1996年，歐洲發生了有關數據轉移出境的最早爭執?；ㄆ煦y行由于將德國信用卡數據轉移到了美國分公司，而受到強烈批評。后來，花旗銀行在德國數據保護專員的幫助下使用了合同方式，才找到了數據轉移的法律基礎。

基于上述管理理念，歐盟先后制定了系列涉及個人數據跨境流動的法律法規，包括《歐洲理事會108號公約》、《數據保護指令》（1995）、《歐盟議會和歐盟理事會關于共同體機構和組織處理個人數據和促進這些數據自由流動的個人數據保護》（2000）、《通用數據保護條例》（2015）等。歐盟還與美國就個人數據跨境流動簽訂了兩個協議，即商業領域的《歐美隱私護盾協議》（取代“安全港”協議）和執法領域的《歐美保護傘協議》。

依據《通用數據保護條例》,歐盟涉及跨境數據流動管理的組織架構分為三個層次（見圖2）：基層單位層面，歐盟要求公共機構和雇員超過250人的企業設立一名數據保護官(DPO),數據保護官直接向單位管理者匯報；成員國層面，要求各國成立獨立監管機構(（DPAs）)，行使數據保護監管權利，對不遵守法律的企業最高可以罰款2000萬歐元或全球年營業額的4%，完成年度工作報告，并提交給所在國的議會，以及公眾、歐盟委員會和歐洲數據保護委員會；歐盟層面，要求設立數據保護監管專員（EDPS），其主要職責是加強對歐盟各機構處理個人數據進行指導和監督。并成立歐盟數據保護委員會，其成員由各國獨立監管機構的負責人和歐盟數據保護監管專員組成。其主要任務是向歐盟委員會提出個人數據保護的建議，促進和檢查新的數據保護規則的執行，以及促進與全球范圍內數據保護立法和實踐的交流。歐盟數據保護委員會秘書處設在歐盟數據保護監管專員辦公室。

在互聯網和商業環境中，數據連續轉移，以及數據在處理者之間的流動成為常態。歐盟對此做了嚴格要求。歐盟理事會和歐盟議會賦予歐盟委員會認定第三方國家是否具備個人數據保護充分性的權利。截止2015年9月，歐盟委員會確認安道爾、阿根廷、加拿大（商業機構）、法羅群島、根西島、以色列、馬恩島、澤西島、瑞士、烏拉圭、美國商務部的安全港隱私原則等能夠提供充分保護?；诖驌魢乐胤缸锖涂植乐髁x的需求，歐盟與美國、加拿大和澳大利亞簽署了雙邊空中乘客姓名記錄協議，同時還與美國簽署了雙邊的恐怖分子追蹤項目。為更好的滿足商業企業跨境數據流動的需要，歐盟提供了“安全港”、標準合同條款、約束性企業規則等多種可供選擇的跨境數據流動管理機制。

此外，歐盟還通過“數字化單一市場”戰略強化其數據跨境流動主張。2010年《歐盟2020戰略》提出數字化單一市場概念，2015年5月發布數字化單一市場戰略，旨在打破歐盟內部的數字市場壁壘，整合各成員國的碎片化規則，實現區域內數據自由流動和數字網絡與服務的繁榮，預期將帶來4150億歐元的產業價值和380萬個工作機會。戰略還提出2016年啟動“歐盟數據自由流動計劃”，旨在排除數據自由流動中存在的技術和法律障礙，并將有針對性地解決數據的所有權以及互通性等問題。

圖2 歐盟跨境數據流動管理機構及其職能

（三）歐盟和美國在重要協議中的跨境數據流動管理制度安排

歐盟和美國之間的數據跨境流動非?；钴S，并且形成了較為完善的跨境數據流動管理的制度安排。由于歐盟和美國在隱私保護機制方面存在實質差異，為更好地保護美國企業的利益，美國對歐盟的《數據保護指令》給予了關注，并提出了名為“安全港”的解決建議。2000年7月，歐盟通過“安全港決議”（Safe Harbour Decision），認可了由美國提出的、能夠對因商業目的從歐盟轉移的個人數據提供充分保護的“安全港隱私保護原則”和“常見問答”。2013年，“棱鏡門”事件對“安全港”協議造成了重大沖擊。雖然，美國就加強“安全港”數據保護與歐盟進行了有效的磋商和談判，并取得了一系列進展，但是，2015年10月6日，歐洲法院還是在一起案件中宣布歐美數據共享協議（即“安全港協議”）失效。這標志著歐美之間自2000年完成的跨境數據流動管理制度失效。

為了保障歐美之間的數字經濟與貿易發展正常進行，歐美在安全港協議失效后推進了新的跨境數據流動管理制度安排。2016年6月，美國和歐盟簽署數據《“保護傘”協議》，旨在為雙方的執法部門及刑事司法機關之間的個人數據交換提供全面和高水平的保護；8月，美國和歐盟簽署的《歐美隱私盾協議》正式生效，美國承諾加強對個人數據的保護力度，提供多種救濟途徑，并設置監督專員，受理歐盟的相關申訴。

（四） 國際組織的跨境數據流動管理主張

跨境數據流動對于全球經濟中開展商務活動日趨重要，聯合國貿發會議、經濟合作組織、亞太經合組織、北美安全與繁榮聯盟等均提出過跨境數據流動管理的相關主張。2016年4月，聯合國貿發會議發布《數據保護規則與數據全球流動：貿易與發展的影響》指出，運用專門的文件和促進一種或更多的機制是解決跨境數據流動問題的關鍵，數據保護立法應避免成為貿易和創新的新障礙。2013年，OECD發布了在1980年版的基礎上修訂后的《隱私保護和個人數據跨境流動指南》。指南認為，過去三十多年，跨境數據流動的方法發生了根本性變化，建議成員國實施與數據傳輸隱私風險相適應的數據傳輸約束，同時兼顧個人數據的敏感性，以及數據處理的目的和內容。如果修訂后的指南被成員國接受，跨境數據流的限制將基于風險評估，而非依賴于現有的約束限制，具體國家的充分性評估將不再采用固定單一的方法。

為更好促進亞太經合組織成員經濟體的隱私保護，避免產生不必要的障礙，2005年，APEC發布了《亞太經合組織隱私框架》，闡述了該組織有關跨境信息流（數據流）的相關主張?？蚣苷J為，電子商務在擴展商業機會，降低成本，增加效率，提升生活質量，以及促進小企業參與國際貿易等方面潛力巨大，消費者、企業和政府均將受益于區域數據傳輸，同時，框架可通過隱私保護消除信息流動的障礙，從而確保亞太地區持續的貿易和經濟增長[17]。APEC采取了企業自律性隱私政策來保護跨境數據流動中數據權利，即APEC隱私保護框架下“探路者項目”建立的跨境隱私規則體系。

北美安全與繁榮聯盟（SPP）是加拿大、墨西哥和美國為加強安全和經濟領域的合作而于2005年發起的一個圍繞既定目的區域級別對話。其中，有關跨境數據流動的問題于2008年起納入對話議題之中，并于2008-2009年連續舉辦三次跨境數據流論壇會議，論壇參會者包括三國政府代表、商業團體、民間團體和學術界。論壇的目的是為利益相關者創造有關跨境數據流動問題的對話機制，并力圖解釋阻礙跨境數據流動不僅僅影響商業領域的日?；顒?，而且影響了整個市場和北美經濟。2008年4月，在北美安全與繁榮聯盟體系下，來自加拿大、墨西哥和美國的代表簽署了信息自由流動聲明（the Statement on the Free Flow of Information），并隨之成為北美領袖峰會的一部分。峰會認為，持續的經濟增長有賴于“在透明的法律、政策和監管環境中，允許信息自由跨境流動，并促進其在貿易和商業的應用”。

四、我國加快構建跨境數據流動管理機制的政策建議

我國已經是全球產業鏈的一部分，與國外的產業技術合作必然涉及到數據的轉移和交換，需要合理的數據跨境流動。同時隨著數字貿易規模不斷擴大，中國與美國、歐盟等國家和地區在數字貿易領域的貿易摩擦也將接踵而至。加快構建符合我國利益的跨境數據流動管理機制意義重大。為此，提出如下政策建議。

（一）完善數據跨境流動管理思路

按照《網絡安全法》的要求，從國家安全、產業發展和隱私保護三個層面完善數據跨境流動管理思路。一是保障國家安全，嚴格監管重點領域數據跨境流動。對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等關鍵信息基礎設施和重點領域的數據跨境流動提出嚴格監管要求，控制總量數據和核心數據流出。二是促進產業發展，提升數據跨境流動繁榮程度。明確數據保護標準，在充分保護的前提下，允許商業領域的數據自由流動，促進數字經濟發展。同時，借鑒歐盟抗衡美國的做法，研究制定包括反壟斷調查、市場準入等符合我國產業發展和國際規則的政策措施。三是保護個人隱私，按照《個人信息和重要數據出境安全評估辦法》對個人數據跨境流動進行監管，建立起人們對數字經濟發展的信心，有利于與歐美等就數據跨境流動問題開展全面的對話和談判，既能夠保障民眾的權益，又助于我國企業“走出去”。

（二）加大跨境數據流動的研究工作

跨境數據流動管理涉及信息技術、互聯網、經濟、法律、管理等眾多學科和領域，同時也是實操性很強的領域，事關國家經濟發展、個人隱私保護和信息安全等重大問題。歐美在該領域已經進行了長達30多年的研究和實踐，而我國跨境數據流動管理研究和實踐還處于起步階段。因而，我國有必要加大跨境數據流動管理方面的研究，以應對可能面臨的跨境數據流動問題。具體可以嘗試組建集政府、企業、高校、協會、科研機構等專家學者組成的研究團隊，對跨境數據流動管理問題進行全面深入的研究。

（三） 積極參與跨境數據流保護和貿易規則的制定

從歐盟提出的“促進歐盟關于數據收集、處理和轉移的規定在國際上的實施，促進隱私保護標準國際化”，美國信息技術與創新基金會（ITIF）在其2013年12月《數據國家主義的錯誤前景》分析報告中建議“美國聯合其貿易伙伴制定《數據狀態日內瓦公約》（Geneva Convention on the Status of Data）以建立政府獲取數據的標準”，以及美國布魯金斯學會等機構連續發布的互聯網、跨境數據流動、國際貿易和經濟增長關系的系列文章等來看，國際上已著手醞釀和考慮有關數據保護、流動和交易的國際標準和貿易規則，以此來規范世界各國數據獲取、使用和所有權等重大問題。為更好地爭取主動權，我國應積極參與這些游戲規則的制定。

作者單位：
付偉：北京郵電大學經濟管理學院，工業和信息化部電子科學技術情報研究所
于長鉞：北京郵電大學經濟管理學院，中國電子技術標準化研究院