歐美個人數據跨境轉移政策變遷及對我國的啟示

□ 王順清，劉 超

（南京財經大學，江蘇 南京 210023）

歐美個人數據跨境轉移政策變遷及對我國的啟示

□ 王順清，劉 超

（南京財經大學，江蘇 南京 210023）

從上世紀90年代至今，美國與歐盟間的個人數據跨境轉移政策幾經變化，期間妥協交融與沖突對抗并存。本文在研究其政策變遷的基礎上，剖析了影響政策變化的隱性因素，認為我國在個人數據跨境傳輸領域，應理性認識公民數據權與信息安全的相互關系，高度重視數據主權、數據管轄權對國家戰略的意義，完善數據跨境流通管控制度，積極參與國際規則的制定，發出中國的聲音。

信息安全；數據主權；數據管轄；數據傳輸

近年來，跨境數據傳輸①聯合國跨國公司中心對跨境數據傳輸的界定是：跨越國界對存儲在計算機中的機器可讀的數據進行處理、存儲和檢索。一般來說，跨境數據流動可以分為兩類：一種是數據跨越國界傳輸和處理；另一種是數據即使沒有跨越國界，但被第三國的主體訪問。本文所探討的“數據”均指個人數據。成為各界關注的焦點之一，特別是在當今大數據時代、云計算大發展的背景下，數據的跨境傳輸往往涉及公民隱私權、信息安全甚至是國家安全。當下的社會發展很大程度上依托于互聯網信息交換技術，越是先進、尖端的領域，數據信息的傳輸交流越是頻繁。但由于網絡的特殊性，導致對網絡世界的監管治理一直是個難題，因此，跨境數據傳輸的研究意義不言而喻。通常情況下，數據主要通過互聯網設備實現跨境傳輸，所以對數據跨境傳輸的治理不僅涉及傳統的互聯網治理還涉及各國不同法系的沖突與交流，但數據傳輸及數據保護方面尚無通行或可參考的統一的國際規則，所以各國多是立足各自國情制定相關法律及政策。

在我國，2017年6月實施的《網絡安全法》就數據跨境傳輸如何規范及治理等問題向世界表明了中國的態度。［1］由于西方的數據應用技術領先于我國且起步較早，在數據傳輸、信息保護方面已有較多的探索和實踐，法律政策體系也相對完善。如一貫注重保護公民隱私權和個人信息安全的歐盟，始終致力于建設嚴格的個人數據保護制度，不僅在其內部推動實施，甚至將其高標準和理念延伸至歐洲以外。歐盟與美國之間的“安全港”協議以及尚在談判中的“隱私盾”便是數據跨境傳輸的經典案例，兩大巨頭之間的個人數據跨境轉移政策幾經波折，這背后折射出的就是治理跨境信息的關鍵點以及未來的發展趨勢。

一、兩大法系數據保護制度的暫時性妥協——“安全港協議”的產生

“安全港協議”是歐洲與北美在信息保護領域的折中成果，是由歐盟為代表的大陸法系和美國為代表的英美法系所探索出的規范信息跨國傳輸的新機制，也是“權宜之計”。因為有關個人信息保護和數據傳輸，兩大法系的規范天壤之別，歐美對這一問題的態度也南轅北轍。

歐洲主張“個人權利保護模式”，歐盟采用的模式以法律規制為主導，通過政府立法從法律上確立個人數據保護的各項基本原則與各項具體的制度，并在此基礎上建立相應的司法或行政救濟措施，形成完備邏輯體系。［2］具有法律規范性、強制性、體系性、機械性的特征。最具有代表性的法律文件是1995年頒布的《數據保護指令》（以下簡稱《指令》）。該《指令》從立法角度保護個人數據權利，①數據權利等同于個人數據主權，是相對應公民數據采集義務而形成的對數據利用的權力，即用戶對其數據的自決權和自我控制權。具體包括對個人隱私權、生命財產的數據保護、對企業資產的數據保護和本國公民及其他境內行為體在國際社會的數據保護等。主張隱私權不容侵犯、保障人權、統一歐洲數據保護法，［3］并明確規定禁止將歐盟成員國公民的私人資料傳輸至他國，除非這些國家能夠對數據資料提供有力的保護，確保達到“充分性標準”。美國則傾向“促進資本發展模式”，干涉甚少。美國沒有設定個人數據保護最低要求的綜合性聯邦法律，基本上采取以行業自律為主導的模式。所謂行業自律指的是通過行業內部制定行為規范或規章的形式，實現行業內部的自我規范和自我約束。［4］除了就政府機關及某些如兒童信息、醫療檔案以及金融數據高度敏感的領域進行立法保護外，總體呈現行業自律即自治性、松散性、靈活性的特點。［5］簡言之，對于數據傳輸和信息保護的規范程度，美國體現的是“行業標準”，歐盟體現的是“法律標準”。

但隨著美國互聯網產業的快速發展，互聯網廠商在提供服務的同時，跨境收集、轉移、處理個人數據成為一個必然趨勢。然而在歐盟看來，“美國模式”下個人數據的保護明顯不及歐洲，是否能達到“充分性保護”值得商榷。雙方法律政策以及保護力度的斷層，直接影響了個人數據的正常跨境流通。此時，“安全港協議”應運而生，并成為連接歐美兩種法制模式的橋梁。該協議曾于2000年正式生效，主要涵蓋歐盟與美國間信息傳輸、數據存儲方面的各項議題和標準。之后，歐盟委員會通過“NO．2000／520決議”確認了“安全港協議”的合法性和有效性。至此，美國企業只要加入該協議并按照要求作出相應承諾，便可將歐盟公民的個人信息傳輸至美國境內進行存儲或處理，此舉極大地便利了雙方個人數據流動。

二、歐美數據跨境傳輸新波折——“安全港協議”被廢除

2013年，愛德華·斯諾登使美國依靠互聯網監控歐洲公民、窺視世界的行為公之于眾，歐盟成員國數據保護機構紛紛質疑 “安全港協議”，雙方于2014年1月重開談判，商討應對之策，雙方還未達成建設性成果，歐盟一紙判決就徹底否定了原協議。

2015年10月6日，歐盟最高司法機構歐洲法院作出裁決，宣布歐美所簽署的《安全港協議》無效，歐盟境內的美國公司應立刻停止其數據傳輸活動。該爭議由奧地利的一名法律系學生馬克斯·施姆雷斯最先提出，他向臉書歐州總部所在地的愛爾蘭信息監督部門提出申訴，認為臉書愛爾蘭子公司將歐洲用戶數據傳輸至美國服務器處理，侵犯了用戶數據隱私，未經同意使用多種用戶數據，以未授權的方式將數據傳輸至外部渠道，協助美國國家安全局（NSA）監控。［6］鑒于美國“棱鏡”計劃的曝光，美國情報部門聯合臉書等公司監視歐洲公民信息。有理由相信，美國法律和制度未能對數據傳輸給予有效的安全和保護，歐洲用戶隱私被窺探，個人信息受到美國國家機構的監控。但愛爾蘭當局駁斥了該項申訴，理由便是援引歐美簽署的《安全港協議》。對此，施姆雷斯發起超過1萬人參與報名對該議題提起集體訴訟，愛爾蘭盧森堡高等法院正式受理此案后，依據歐盟法律將案件遞交歐洲法院，由歐洲法院對案中涉及的法律問題進行“先行裁決”。經調查審理，法院指出：協議適用于那些加入并承諾執行協議的美國企業，而聯邦政府機構則不受協議任何管制和約束，這些機構的功能或行為潛在的影響甚至侵犯了《指令》所保護的歐洲公民的基本權利，并且美國當前也沒有任何限制上述影響的具體法律措施以滿足歐洲公民對個人資料安全的訴求。法院在裁決要點里強調：歐洲委員會未能盡職調查美國對個人數據實際上是否提供充分性保護，僅僅通過審查安全港協定就得出武斷結論；通過《安全港協議》認證的公司為遵守美國國家安全局指示、維護美國的利益和法律，“無視”《安全港協議》的原則和標準；歐洲公民的個人信息在傳輸過程中被美國政府部門蓄意獲取，數據安全和隱私權受到侵犯時，《安全港協議》中沒有規定針對上述情況的救濟途徑，只有解決商業糾紛的條款；《安全港協議》未符合《指令》中對個人數據保護鎖規定的“充分性”標準。［7］綜合多方面，遂裁決《安全港協議》無效。

三、歐美個人數據跨境傳輸新渠道——“隱私盾”

2016年初，繼歐美雙方重開談判后，歐盟委員會發布了包含“隱私護盾”協議（下稱“隱私盾”）的法律文本，新協議將取代原“安全港”框架，發布的文件包括“充分性決定”草案、美國政府在執法過程中對隱私保護的書面承諾，以及針對美國安全部門而制定的限制數據訪問、保護信息的文本。［8］與它的前身相比，“隱私盾”的保護承諾不僅覆蓋商業領域，同時涵蓋國家安全部門訪問私人數據的范疇，強化了數據主體和數據主權的概念。可見，后者是前者的升級版，不僅在前者的基礎上查漏補缺，還進行了豐富與細化。“隱私盾”在商業監管和隱私保護方面有了顯著改善，加強了聯邦貿易委員會（Federal Trade Commission簡稱“FTC”）和歐盟數據保護部門間的合作，制定了獨立嚴格的執行標準以確保防護效果升級。新協議需要強大的監控和執行機構作為后盾，美國商務部（US Department of Commerce簡稱“DoC”）、聯邦貿易委員會、歐洲數據保護部門 （European Data Protection Authorities簡稱“DPAs”）三方將通力合作為新協議保駕護航。與原協議相比，“隱私盾”的創新和進步之處顯而易見：第一，救濟機制的完善是“隱私盾”的一項重要突破。歐洲公民可獲得多種途徑解決問題，個人可以根據協議選擇救濟渠道、救濟方案或向咨詢機構尋求幫助。救濟主體還可向侵權企業提出申訴，同時可免費獲得替代性糾紛解決方案。參加 “隱私盾”的企業承諾引入仲裁機制，而強制性仲裁可為歐洲公民提供最終的法律救濟。第二，美國商務部將直接介入解決投訴和詢問。由美國國務卿設置、掌握“重要新資源”的特別小組監督“隱私盾”的執行情況，并由副國務卿凱瑟琳·諾維利出任監察專員。該小組隸屬于國務院但獨立于國家安全部門，監察機構和監察專員還負責監督國家安全部門的數據訪問情況。第三，可提高數據使用透明度，增強參與方所提供的保護力度，全面告知歐洲公民在新協議項下的權利和救濟方式。“安全港協議”實施階段，準入認證機制寬范，許多企業“寬進寬出”，“遵紀守約”意識淡薄，這些成為原協議的漏洞之一。“隱私盾”則對加入的企業進行了嚴格認證，且規定了一系列公示和審查制度，明確了企業義務。美國商務部還定期更新“入盾退盾”的企業名單，及時告知公眾相關企業的真實狀況，幫助其了解個人數據被處理的訊息。即便企業“退盾”，若繼續存儲或使用其在“入盾”時期獲得的個人數據，必須對這些數據承擔相應的義務，給予一定的保護。第四，“隱私盾”增加了新的隱私保護合同。即要求跨國公司向第三方傳輸數據或由其代理商處理數據時，確保該個人數據至少享有同等水平的連續性保護。根據合同中的嚴格問責制，除非符合免責條件，第三方的違規行為需由“盾內”企業承擔后果。第五，“隱私盾”首次為歐洲公民對情報活動下關于隱私權的疑問提供了特別解決渠道。作為進程的一部分，美國政府正在對上述渠道中的一些合理訴求做出承諾和回應，如已經達成共識的歐盟數據保護機構與美國情報部門共同負責國家安全準入問題的年度審查。該要求比《一般數據保護條例》①2015年12月15日，歐盟三方機構（歐洲議會、歐盟理事會、歐洲委員會）初步達成《一般數據保護指令》（GDPR），這是歐盟啟動數據保護立法改革四年來的最新成果。GDPR旨在加強個體對其個人信息的控制力，為其賦予更強數據權利。（以下簡稱《條例》）的相關規定更為嚴格，因為《條例》要求至少每4年對第三方國家的隱私保護情況進行一次審查。審查主體由歐洲委員會與美國商務部共同組成，對隱私護盾的相關情況進行審查并公開相關報告。此舉意在監督美國履行承諾，保證新協議的有效運行。此外，年度審查為實質資格審查而非形式主義，若發現美國企業和政府部門存在逾矩行為，歐洲委員會有權暫停隱私護盾的運作。

目前，美國已通過了司法賠償法案，該法案賦予了歐洲公民保護個人數據的實權，使他們能在美國法庭上對抗侵權的美國執法機構，針對其數據濫用行為進行維權，這為“隱私盾”協議發揮更大的效力增加了砝碼。美國情報局已向歐盟遞送書面保證，承諾隨意或普遍的監控將不會再發生，并且聲明任何情報局出于國家安全目的的訪問將受到新機制明確的限制和監督。此外，美國司法部、運輸部、國務院、聯邦貿易委員會也一同隨附書信并承諾。限制美國的官方行為并得到美國政府的承諾是“隱私盾”范本的突出亮點之一。

四、歐美個人數據跨境轉移政策對我國的啟示

（一）公民數據權與信息安全可互為表里

歐盟與美國就數據跨境流動議題的博弈已20余年，當然這樣的較量還會繼續。總結雙方20余年的政策變化不難得出這樣的結論：由于雙方對網絡環境中涉及的公民隱私權和信息安全的保護力度不同，各自的法律政策體系存在明顯差異和沖突，但當面對數據跨境傳輸問題時，為了經濟利益雙方會做出妥協，尋求創新性的解決之道。這不僅僅是法系相異政法文化沖突的問題，深層次方面是出于對自身政治利益和國家戰略的考量，完全認同對方幾乎不可能。

憑借先進的移動互聯技術以及大型網絡數據公司的影響力，美國在網絡空間和數據控制上占有總體優勢。如此背景下，歐盟不遺余力地推行“歐洲保護標準”與美國分庭抗禮爭奪數據控制權也是必然選擇。在技術上處于相對弱勢的歐盟深知保護歐洲公民數據的重要性，若是歐洲公民信息任由美國隨意監控，后果將不堪設想。更何況“斯諾登事件”已經敲響了警鐘。無論是為了保障人權或是個人數據權，抑或是從國家的整體利益出發來維護信息安全，跨境信息流動必須置法律政策的嚴格監管之下。

個人信息資料匯成的大數據蘊藏著最新科技、社會動態、市場變化、國家安全威脅征兆、戰場態勢和軍事行動等各種政治、經濟、文化、安全等信息。［9］此時的數據不僅關乎隱私權，還涉及國家信息安全，二者互為表里。以蘋果公司為例，依據其特有的Apple ID制度，每個蘋果產品的背后都對應著一份詳細的客戶數據檔案。這些數據信息透露著使用者的郵箱、性別、年齡、興趣愛好、隱私密聞等信息。2016年2月18日，Apple Pay正式進入中國大陸市場。上述信息輔之以Apple Pay使用后的財務數據，通過大數據云計算搜集的用戶資料，將詳細而真實的透露一個地區或國家的社會現狀、經濟水平等等，這對于一些情報部門而言，沒有任何信息比這些最全面最敏感的數據更有說服力了，而這些被盜用的數據正威脅著信息流失國的國家安全。因此，筆者認為，此類數據信息都應該置于安全有效的保護機制之下，合理合法的進行利用和存儲。當這些數據信息跨境流動時，更需要周密高效的管理方案進行數據管轄，維護本國信息安全，保護公民隱私權，防止信息被外國勢力惡意竊取、盜用。

（二）數據主權和數據管轄權與國家戰略緊密相關

歐洲法院的裁決文件中曾建議，為了更好地保護歐洲公民的數據安全和隱私權，將要求美國跨國公司將存儲有數據信息的服務器留在歐洲本土，禁止將歐洲數據傳回美國。雖然在后來達成的“隱私盾”協議中歐盟做出了妥協，不再強行要求美國公司將服務器留在歐洲，但不難看出，關于服務器去留問題的背后是對數據主權的考量和對數據管轄權的爭奪。

互聯網和科學技術的發展將人類活動拓展至虛擬空間，如此背景下，主權概念也不再局限于傳統實體空間并得到相應擴展，數據主權①數據主權可以概括為，在大數據、云計算背景下，一國對本國的數據及本國國民跨境數據擁有所有權、控制權、管轄權和使用權，是國家數據主權和個人數據權利的總和，體現為對內的最高數據管控權和對外的數據處理權。隨之誕生并延展了國家主權的內涵。學界認為，跨境數據傳輸是數據主權這一概念得以提出的基礎條件和大前提。如前文所述，數據信息所承載的意義非凡，數據跨境流通涉及的利益方面眾多，上至國家安全，下至公民權利，因此，國際上許多國家日益重視數據主權和數據管轄權，要求數據本土化存儲。服務器位置本土化是一國維護數據主權、行駛數據管轄權的直接體現。如法國政府宣稱，無論新協議如何規定，在法經營的有關美國公司其存儲信息的服務器須留在法國，以便有效地保護用戶隱私和數據安全。據2015年9月1日開始生效的俄羅斯《數據本土化法律》規定，所有收集、處理俄羅斯公民信息的公司，應使用位于俄羅斯境內的服務器處理和存儲數據，并負有法律義務向莫斯科數據監管部門報告本地化情況。［10］巴西政府也通過立法規定要求境外的互聯網公司在其境內開展互聯網業務必須使用其境內的數據中心，②谷歌在其發布的《The Datacenter as a Computer》一書中，將數據中心解釋為“多功能的建筑物能容納多個服務器以及通信設備。這些設備被放置在一起是因為它們具有相同的對環境的要求以及物理安全上的需求，并且這樣放置便于維護”，而“并不僅僅是一些服務器的集合”。通過對數據中心的管理實現對數據的可控、可管。國際社會已經開始形成這樣的共識：數據已經成為支撐國家安全與發展的重要戰略資源，占有控制數據，就占有了獲取數據的巨大價值；誰能挖掘并能利用數據的真正價值，誰就等于扼住了時代發展的脈搏。當下，國家間數據主權的博弈爭奪日益激烈，侵犯他國數據主權的現象亦時有發生，有些國家依仗技術優勢正在推行數據霸權。我國對互聯網領域的立法已日臻完善，對數據主權和數據管轄也提出了相應主張和規定，這就為治理跨境數據傳輸提供了法律依據。相信在《網絡安全法》的統籌作用下，配套以完善的法規政策，我國的數據主權和數據管轄權會得到充分的保障和捍衛。

（三）以網絡安全法為核心，完善數據跨境流通監管制度

當前，我國人口數量全球第一，數據應用市場復雜多變，如此龐大的用戶群體使我國成為世界上數據儲量最大、內容最豐富的國家。如何有效地存儲和管理這些數據，數據跨境流動時又該如何維護公民的隱私權并保障其信息安全，捍衛數據主權和數據管轄權，都面臨著嚴峻挑戰。

剛剛實施的《網絡安全法》是國家網絡領域的基礎性法律，奠定了我國信息網絡領域法律治理的基調。該法強調了網絡主權，注重個人信息保護，確立了數據離境存儲制度、關鍵信息基礎設施重要數據跨境傳輸的規則。但其不可能涵蓋數據傳輸的方方面面或者細化每個方面的具體事項，所以需要有關部門在此基礎上建立具體周詳的法律政策，完善數據跨境流通監管制度。有效的監管制度應當在對數據管控的同時不影響數據正常的傳輸活動。應將涉及互聯網數據傳輸的電信企業和CDN企業納入法律的調整范圍，對外國的數據入境和國內的數據出境進行雙向實時監控，保護涉及國家安全、企業經營和公民隱私的數據，嚴控特定信息的跨境傳輸。同時對在國內傳輸的數據進行審查，嚴格監控其傳播流向，防止公民隱私被竊取，禁止傳播顛覆意識形態的信息，完善輿情控制，保障社會穩定。［11］

（四）妥善處理跨境數據傳輸的難點問題

由于數據跨境流動的特殊性和難控性，數據跨境流動對國家數據主權產生了強烈沖擊，而維護數據主權過程將面臨很多難題，這些問題又是數據跨境傳輸中存在且亟待解決的。

跨境數據傳輸牽涉不同主體，且各主體管轄權交叉重疊。數據跨境流動時常涉及信息創造者、接收者和使用者，信息的發送地、運送地及目的地，信息基礎設施的所在地，信息服務提供商的國籍及經營所在地等，［12］并且數據傳輸者、儲存者、占有者的身份會出現分離，數據信息將受多個不同國家法律所管轄，而各國關于數據保護的法律或政策又不盡相同，如此造成數據主權沖突頻發就在所難免了。如云計算、云存儲中的數據主權歸屬問題爭議很大。“云”已經替代傳統硬件系統進行數據的存儲和處理，即由網絡來為數據的計算和存儲提供資源和服務。誠如百度、阿里巴巴，以及英特爾、蘋果、谷歌、亞馬遜等跨國公司都向公眾提供云服務的產品。國際社會對這些云儲存、云計算中的數據歸屬問題沒有統一定論，目前爭議頗大。網絡提供者為降低營運成本、提高客戶滿意度，時常將其提供的服務部分外包，如此會使問題更加復雜化，可能導致多個主體掌控著同一條數據而出現管轄的交叉和重復。

（五）積極傳達中國的聲音，呼喚數據保護的國際規則

目前，國際法或國際慣例中未對數據管轄和數據主權作出有關規定或參考，國際規則的制定尚處空白，國際社會也未對各國數據主權管控范圍進行劃分。［13］數據由企業（大部分為跨國公司）和無政府組織主導運行，游離于政府管轄之外。各國從維護自身利益出發，在加強本國數據管控的同時，積極主張本國國民在他國的數據權利，造成數據主權的延伸以及基于主權交叉導致的重復管轄，甚至會引起數據管轄權爭奪的情況。當數據遭遇多重管轄時就會出現服務提供商挑選法律的現象，導致網絡服務商通過信息轉移逃避對數據保護的國內規制，從而使數據主權面臨挑戰，加劇數據管控的復雜性。

在各國數據保護和跨境數據流通立法存在差異的情況下，國際法和一般國際規則發揮著求同存異的規范作用，而數據的跨境傳輸必須置于法律監管之下。現如今，個人數據跨境流動日益頻繁，數字經濟大發展的現狀更是要求盡快制定相關國際規則，彌補國際法中數據跨境傳輸、數據主權以及數據管轄權的空白。作為世界大國，我國在制定完善個人數據保護、數據跨境傳輸等相關制度的同時，應注重與國際接軌，積極參與國際規則的制定，在數據治理和傳輸的國際治理中有所作為。

總之，當今世界形勢多變，反全球化浪潮興起，國際政治撲朔迷離。跨境數據傳輸具有涉及利益眾多、波及面廣、治理難度大的特點，在網絡科技發展一日千里的今天，越來越多的國家意識到數據信息的戰略意義。歐洲一體化正面臨嚴重挑戰，但主要歐盟成員已形成完備的數據權利意識并建立了有效的保護體系，美國數據優勢地位明顯，數據霸權暗流涌動。作為網絡信息領域的后起之秀，憑借中國今日的能量和成就，必然在世界多極化中承擔重要角色。所以，對于數據的跨境傳輸特別是涉及中國的數據問題，我們必須嚴肅、慎重，不僅要用戰略眼光維護中國的數據主權，明確并行使數據管轄權，還要讓世界傾聽中國的聲音，構建跨境數據傳輸的良性發展環境。

［1］秦安．學習貫徹網絡安全法［J］．中國信息安全，2016，（12）：29．

［2］［4］［5］孫斯汀．歐美個人數據保護制度比較研究［D］．中國政法大學碩士學位論文，2008．32．

［3］劉敏敏．《歐盟個人數據保護指令》的改革和啟示［D］．西南政法大學碩士學位論文，2014．1．

［6］See The Court of Justice declares that the Commission＇s US Safe Harbour Decision is invalid，press Release No 117 ／15．Judement in Case C－362／14．Court of Justice of the European U-nion，Luxembourg，6 October 2015．

［7］See ECJ Rules EU－US Safe Harbor Programme is Invalid，Lawflash，2015，pp4－5．

［8］See Davinia Brennan．The European Commission Releases EU－US Privacy Shield，L＆A Goodbody．

［9］［12］［13］杜雁蕓．大數據時代國家數據主權問題研究［J］．國際觀察，2016，（03）：4－11．

［10］See Reed Smith：Russia ToIncrease Data Audits In 2016 With Data localization Law and More News On The EU＇s Safe Harbor Ruling．Worldwide．January 11．2016．

［11］王永剛．完善立法、明確網絡主權、控制數據主權［EB／OL］．人民網，http://opinion.people.com.cn/n/2015/0205/c1003-26511363.html．

（責任編輯：王秀艷）

The Transition of US－EU Transnational Policies in Personal Data and Its Enlightenment to China

Wang Shunqing，Liu Chao

The Transnational Policies in Personal Data between United States and European Union have changed a lot since 1900s．Compromises and conflicts were side－by－side during this period．The paper was based on transition of policies in US－EU；analysising causes factors behind transition and summarize enlightenment to China．Considering that China should perceive wisely therelationship between civildata rightsand information security，realizing whatdata sovereignty and data jurisdiction means to national strategy．Furthermore，under the guide of Cyber Security Law，the supervise institution of transnational data should be consummated．Be circumspect and handling properly the difficulties，taking an active part in formulating international rules，emitting Chinese voice and make a difference to national community．

s：information security；data sovereignty；data jurisdiction；data transmission

D922．16

A

1007－8207（2017）08－0096－07

2017－04－07

王順清 （1992—），男，江蘇揚州人，南京財經大學法學院碩士研究生，研究方向為國際法；劉超 （1969—），男，江西贛江人，南京財經大學教授，法學博士，碩士研究生導師，研究方向為國際法、歐盟法。