大數據時代執法合作中個人數據跨境保護問題研究

伍藝

摘要：為打擊跨國網絡犯罪，維護國家安全，各國積極開展雙邊或多邊的執法合作，其中對個人數據的保護問題成為關注的焦點。執法領域個人數據保護的全球標準尚未形成，美國和歐盟因數據保護立法的差異性和對隱私權概念的不同理解，在致力于協調兩國數據保護立法上進行了諸多嘗試，美國和歐盟簽訂了一系列數據分享協定，比如《歐盟美國雙邊法律互助協定》《旅客訂座記錄協定》《環球銀行金融電信協會協定》等，但這些數據分享協定有不同的數據保護標準。為了重建跨大西洋數據流動的信任，美國和歐盟達成了《歐美數據保護總協定》，為美國和歐盟提供綜合性的執法領域數據保護框架。根據美國和歐盟的經驗，我國應積極參與全球多邊規則的制定、統一國內個人數據保護規則、針對執法領域個人數據保護進行專門立法、分階段和分部門與境外執法機構訂立雙邊協定。

關鍵詞：個人數據保護；跨境數據轉移；執法合作；國家安全

中圖分類號：D914；D923.8文獻標識碼：A文章編號：1673-8268（2018）03-0052-08

一、引言

全面加強網絡空間法治建設，是習近平新時代中國特色社會主義思想的新要求。只有全面加強網絡空間法制建設，建立完善的網絡空間法治體系，才能更好地落實總書記全面依法治國的新要求。個人數據保護和國家安全目標的平衡是網絡空間法治的焦點議題之一。近年來，我國關于網絡安全的規制，分別從法律法規、戰略政策、管理體制等方面入手，全面開展數據資源安全保障實踐，將大數據安全納入到我國總體安全觀中。為打擊網絡犯罪和經濟犯罪、加強反恐行動、打擊人口販賣、反腐敗和追逃追贓，與世界各國開展執法安全合作是必由之路。

自美國911恐怖襲擊事件之后，恐怖主義對國家安全的威脅引起了全世界的廣泛關注。2001年，聯合國安理會就提出進行全球反恐合作，各國政府也認為有必要建立全球性的安全合作機制，自此各國加強了反恐合作，但恐怖襲擊仍接連發生。為了進一步精確地發現、調查、阻止和控訴恐怖主義和嚴重的刑事犯罪，政府執法機構以保護國家安全為由對旅行者數據、金融數據、面部識別數據以及網絡使用者的活動等數據進行廣泛的收集，反恐政策中許多措施都依靠處理和分享執法機構掌握的數據來實施。在這些措施的實施過程中，個人數據保護的問題成為了各方關注的焦點。尤其是歐盟的數據保護是自成一類的法律體系，其數據保護的標準非常嚴格。由于美歐在數據和隱私保護問題上存在大量不易協調的立法差異，美國和歐盟簽署了許多關于以執法為目的的數據收集、處理、儲存和轉移的協定。目前缺乏全球的隱私和數據保護標準，在執法領域達成一個全球性的數據保護框架并非易事。本文主要研究美歐執法機構在法律實施過程中的個人數據保護問題，并不包含國家間進行商業數據轉移的問題。以美國和歐盟為研究視角，主要是因為美歐之間的合作是目前最先進的，涉及大量的法律問題。通過對美歐國際數據治理規則的研究，提出中國參與執法合作的個人數據保護路徑。

二、跨境數據交換協定的源起

（一）國家安全合作的需要

自 20世紀90年代起，歐盟和美國就開始在不同的安全議題上進行合作。美國911恐怖襲擊事件之后，美國加強了反恐措施，呼吁所有國家提供支持。由于免簽的西歐圣戰者很容易進入美國，且基地組織的一些據點也在歐盟成員國找到，在比利時、法國、德國、意大利、西班牙、英國逮捕了一些與911恐怖襲擊事件相關的基地組織成員，所以，同歐盟執法機構的合作成為美國的首要選擇。但是，在反恐政策上，美國和歐盟的路徑不同，美國的反恐措施主要集中于增加軍事措施和武力，歐盟的反恐計劃則以執法機構和情報機構的預防措施為首要考慮[1]。因此，歐盟常被認為是“平民的”（civilian）或是“軟權力”（soft power）的，因為它提倡的是非軍事化和非脅迫性的措施。然而，美國則施行的是一種“硬權力”（hard power），通過運用霸權來出口自己的價值觀念[2]。 雖然歐盟對全球安全規則的影響力很大，但是在美國的反恐規則面前，一樣成為了規則的接受者“norm-taker”，因為911恐怖襲擊事件發生之后，美國基于數據交換的反恐措施迫在眉睫。但通過長期的安全合作，美歐之間還是達成了優先使用預防措施而非軍事干涉的一致意見。雖然美歐企圖通過推進共同目標來強調跨大西洋領域的共同價值觀，比如民主、法治、市場經濟和人權，但在處理安全問題上他們并不是通常保持一致的目標取向。尤其在斯諾登“棱鏡門事件”之后，美歐的“聯盟價值”（alliance of values）降至冰點。

（二）立法保護的差異性不易協調

歐盟的數據保護體系是通過歐盟初級法律和次級法律的綜合性規制，加上歐盟法院（Court of Justice of the European Union，CJEU）和歐洲人權法院（European Court of Human Rights，ECtHR）判例法形成。自《里斯本條約》生效以來，數據保護被歐盟確立為一項基本權利。執法領域數據保護的基本原則已經形成，歐盟數據保護正朝著規則更加統一、對數據控制者和處理者的規制更加直接以及對個人數據保護權利更加重視的方向發展。美國法律中以憲法條文來規制執法領域的數據保護十分有限。多年來，適用于美國公民和非美國公民的權利及程序方面的機構性差異問題是歐盟關注的焦點。由于美國和歐盟數據保護存在著憲法保護的差異、數據保護的標準不同、數據分享的方式不同、監督機制的獨立性不同以及權利救濟的起點和適用范圍不同，所以盡管在某種程度上某些法律概念是相近的，但大部分歐盟數據保護規定都不存在于美國法之中。即便是對美國公民適用的所有數據保護規則均對歐盟公民適用，但在歐盟看來仍存在著巨大的差異，因為美國的數據保護尚未形成統一的數據保護體系，在涉及非美國公民時這一缺陷則更加凸顯。《2015司法救濟法案》和《自由法案》也僅在一定程度上改善其沖突局面。

（三）歷史因素導致“隱私權”概念的差異

歐盟將“隱私”作為一種人權予以保護，然而美國傾向于將“隱私”作為一種超國家的自由權。這種差別主要由歷史原因造成，歐洲人在經歷了納粹利用公共和教堂數據識別猶太人，對猶太人進行大屠殺的歷史遭遇中變得尤其敏感。由于個人數據被濫用造成的惡果，使得保護“人的尊嚴”和“個人身份”的理念在20世紀和21世紀的歐洲更加鞏固。除了《歐盟基本權利憲章》（Charter of Fundamental Rights of the European Union，CFR）第七條規定了“每個人都有權享受私人生活”外，還在第八條中進一步規定了“數據保護權”（right to data protection）。隱私權和數據保護權最大的區別就是，數據保護權是一種自決權，個人可以決定他們的數據將被怎樣處理，所以，數據保護權與個人尊嚴相關。美國法僅使用“隱私權”的概念，但是歐盟法將“隱私權”和“數據保護權”視為兩種不同的概念[3]。在歐盟，數據保護權已形成“一般法律原則”，并受《歐洲聯盟運行條約》（Treaty on the Functioning of the European Union，TFEU）第十六條的規制。數據保護的基本權利長期都受到歐盟法院、歐盟成員國法院、歐洲人權法院的判例法保護，幾乎所有的成員國憲法都加入了數據保護概念。

因美歐對“隱私”概念的不同理解導致了政府在“隱私權”保護中的職能差別。在美國，政府在隱私權保護中的義務是盡量克制，不采取特殊的措施，是一種“消極責任”（negative duty），但是在歐盟，隱私權保護是一種“積極責任”（positive duty），政府堅決肯定地保護隱私權[4]。對于歐盟而言，政府僅克制采取不合理的措施是不夠的，而是有附加的積極義務確保任何個人都不會受到任何第三方（政府性的或非政府性）的不法干預。由于歷史觀念的影響和政府職能的差別，隱私權、數據保護權和言論自由權在美國和歐盟所占的比重不同。在美國，言論自由權的比重相比隱私權要大，比如美國《梅根法》就是美國言論自由的一種表達方式。

由于以上原因，盡管美國和歐盟參與了一系列全球性隱私和數據保護規則，但并未建立起普遍的數據保護框架，在特殊部門領域仍主要依靠跨境數據交換協定來進行數據交換。三、美歐主要的跨境數據交換協定及數據保護條款美歐之間交換數據的渠道多種多樣，可以通過司法請求函、法院傳票傳喚、非正式會議等。本文主要就美國和歐盟之間主要的數據交換協定進行闡述。美國和歐盟主要簽署了《歐盟美國雙邊司法互助協定》（EU-US Mutual Legal Assistance Treaty，以下簡稱《EU-US MLAT》）、《旅客訂座記錄協定》（Passenger Name Records Agreement，以下簡稱《PNR協定》）、《環球銀行金融電信協會協定》（Society for the Worldwide Interbank Financial Telecommunication Agreement，以下簡稱《SWIFT協定》）。

（一）跨境數據交換協定

1.《EU-US MLAT》

在簽署《EU-US MLAT》之前，歐洲已經有16個國家同美國簽署了雙邊互助協定，一些聯合國的公約也包含了雙邊司法互助的條款。歐盟層面，歐洲委員會在1959年就已經有關于司法互助的公約，歐盟成員國之間也在2000年就達成了互助公約。在911事件后的2003年7月25日，美歐簽署了《EU-US MLAT》，該協定主要是在美國的高壓下產生的，該協定生效后，雙邊的司法機構在調查犯罪中可以獲取銀行賬戶和金融數據。但該協定的運用效果和幾率并不高，各成員國對該協定的批準程序非常緩慢，有的在2010年2月才生效。即便是批準后，也仍然存在從請求到執行程序時間過長的問題，一個程序走完大概需要十個月或者更長的時間，且沒有網上的遞交系統，許多政府機構并不知道怎樣來發送請求，后續的程序要求也很多。當一個請求發送至美國，美國國際事務辦公室（Office of International Affairs，OIA）首先進行審查，再發送到地區檢察官，最后由美國司法部對這一請求進行探討。實際上，歐盟成員國和美國官方機構缺乏對互助協定渠道的使用，一些國家經常通過其他國家的公司獲得數據，或通過非正式電郵的方式，而非采取司法互助協定的形式。

2.《PNR協定》

《PNR協定》也是受美國反恐政策的影響產生的。2001年10月，美國頒布了《航空運輸安全法案》，該法案規定所有歐洲的航空公司航班降落和從美國領域起飛都必須向美國海關邊防總署提供電子旅客訂座記錄數據。2001年之前，美國的執法機構僅能通過手動方式根據個案需要，經CJEU同意，才可獲得必要的數據[5]。911事件之后，美國法律要求所有的航空公司航班抵達、中轉、離開美國領土都需要在離境之前通過電子方式轉移所有的旅客訂座記錄。如果任何航空公司不遵守該規定，則可能遭受嚴重后果，比如，取消其在美國領土內所有地區的著陸權，驅除出美國市場，或是進行罰款，只要一個旅客數據遺漏則可能遭受高達5 000美元的罰款。如果遵守美國法律，歐盟的航空公司則違背了歐盟法律框架，特別是《歐洲議會和歐盟理事會1995年10月24日關于涉及個人數據處理的個人保護以及此類數據自由流動的第95/46/EC號指令》（以下簡稱95/46/EC指令），該指令第二十五條規定，如向第三國轉移數據需事先通過歐盟委員會“充分保護決定”（adequacy decision）的認證，但美國并沒有得到認證。為了解決美國和歐盟法律之間的沖突，歐盟委員會要求美國機構延長歐盟公司遵守新法的期限，并開啟了PNR協定的談判，旨在達成與95/46/EC指令第二十五條標準相關的條款。2004年至2011年，美國和歐盟陸續達成了四份《PNR協定》。第四份《PNR協定》于2012年7月開始生效，至少要到2019年才會考慮更新的問題。《PNR辦定》被美國官方認為是很高效的工具，2008年至2009年，美國通過數據識別了超過3 000個潛在的恐怖分子。比如，2008年孟買襲擊的策劃者David Headley在芝加哥機場被捕就是通過他的PNR數據確認的。Faisal Shahzad是2010年5月1日美國紐約時代廣場汽車炸彈襲擊案的行兇者，Najibullah Zazi是紐約地鐵放置炸彈的行兇者，美國警方都是通過獲得他們的PNR數據對其進行的抓捕。

3.《SWIFT協定》

美國和歐盟從2001年9月11日開始交換金融數據，2001年12月，美國和歐盟執法機構（EU law enforcement agency，Europol）簽訂了兩份協定促進全球金融數據的交換，這也是布什政府在911事件之后“恐怖主義金融跟蹤計劃”（Terrorist Finance Tracking Program，TFTP）的一部分。有了TFTP，美國官方可以通過環球銀行金融電信協會（Society for Worldwide Interbank Financial Telecommunications，SWIFT）私人公司獲得歐盟公民的數據。這個計劃是秘密進行的，歐盟并不知情，因為SWIFT公司的總部在比利時，但是在美國領域內有服務器，美國可以通過官方傳喚的方式讓其提供標準信息。這個計劃對于美國執法機構來說非常有吸引力，因為該公司從200個國家中的1 000家金融機構處收集了個人數據[6]。美國每天可以獲得1.27千萬的交易數據，一旦數據被獲得將會被保存124天[7]。2006年，《紐約時報》揭露了TFTP計劃，從那時起，歐盟就開始注意到通過在美國的服務器傳輸歐盟公民數據的問題。既然SWIFT的總部在比利時，它就應該遵守比利時國內法執行95/46/EC指令。2006年10月，第二十九條工作小組發言稱該計劃違背歐盟數據保護法律。之后，SWIFT決定將其服務器全部搬到歐洲。這使得達成符合歐盟法律的SWIFT數據轉移的協定迫在眉睫。

2009年10月30日，美國和歐盟簽訂了第一份《SWIFT協定》，之后，歐盟議會對該協定提出了幾個關于隱私權的問題：（1）該協定中缺乏必要性和相稱性的規定；（2）該協定并未尊重目的限制原則；（3）對歐盟公民的司法救濟缺乏保護；（4）數據傳輸的方式，導致了批量數據（bulk data）的傳送和保存；（5）有必要建立一個歐盟內部的TFTP來處理歐盟內部的數據。所以，歐盟議會最終并沒有通過該協定。因為第一份《SWIFT協定》沒有通過，所以接下來的數月里，歐盟成員國向美國轉移數據僅依據《EU-US MLAT》和成員國與美國的《雙邊司法互助協定》，這樣的程序非常慢且效率低[8]，所以第二份《SWIFT協定》的達成勢在必行。第二份《SWIFT協定》在歐盟議會的參與下，最終在2010年6月28日達成。第二份《SWIFT協定》基于TFEU第八十七（二）條和八十八（二）條的規定，并且吸收了一些歐盟議會的建議，比如美國對歐盟公民行政和司法救濟的可能性、給予Europol對美國財政部發出的請求的批準權、加入了由歐盟委員會任命的駐華盛頓的獨立的觀察員（observer）、加入了數據保留和刪除條款以及歐盟對等的TFTP計劃。歐盟議會關于廢除批量數據和pull system的建議以及建立司法監督機制的建議并未被采納。由于這兩個建議是充分性數據保護框架考量中的重要措施，因此許多學者認為第二份協定與第一份并沒有實質性的不同[9]。

（二）數據交換協定中的數據保護條款

美國和歐盟基于國家安全合作的每一個國際數據交換協定都有其數據保護條款，但這些協定中的數據保護條款并不一致，不同領域的數據保護標準并不相同，要達成全球安全領域的數據保護規則更是難上加難。

1.《PNR協定》中的數據保護條款

從2004年至2012年，在《PNR協定》的不斷更替中，數據保護的條款也日漸完善。2012年的《PNR協定》包含了更多數據保護條款。

首先，針對數據轉移的方法。根據《PNR協定》第十五（四）條的規定使用“push method”，即由航空公司在他們的數據庫中收集PNR數據，之后再將這些數據轉移給相關的政府機構。“push system”是一種進步。在2007《PNR協定》舊的“pull method”下，數據在美國法律的規制下被收集和處理，阻礙了歐盟數據保護法的實施效力。其次，數據保留的期限也有所改善。為了符合協定第八條的規定，美國國土安全部引入了自動定位系統（Automated Targeting System，ATS）。被授權ATS系統的使用者可以獲得五年的活躍數據庫。但是PNR數據將在6個月之后去個人化，即6個月之后，ATS的使用者僅可以看到電腦代號、訂票系統、記錄日期及旅程路線，個人數據將不可見。再次，針對個人權利的行使。2012年《PNR協定》中規定，任何國家的任何乘客都有權獲得、修改和刪除美國海關及邊境保護局（Bureau of Customs and Border Protection，CBP）收集的其個人數據。數據可以通過發一份信息自由指令（Free of Information Act，FOIA）的請求獲得，如果請求被拒絕還有上訴的權利。2012年，美國國土安全委員會收到22 000份FOIA請求，但該請求回復的時間卻令人失望。復次，針對數據披露和安全保護問題。PNR數據的披露由《美國海關和邊境保護條例》來規制，根據該條例的規定，請求需要簽署特殊的PNR披露表格，確保信息的保密性和在未經美國國土安全部授權的情況下限制對第三方適用。CBP的網絡僅能供通過安全加密設備授權的使用者使用。任何內部共享都被記錄到硬拷貝上，來自非國土安全部門的請求都被保留和審計。對于PNR轉移的監管，CBP每隔六個月將會對乘客自動定位系統（Automated Targeting System-Passenger，ATS-P）的使用進行審查。因此，所有的PNR數據使用者都必須通過隱私訓練，通過測試，才可以使用ATS。2012年，美國國土安全部隱私辦公室下設隱私監督小組，對隱私調查、隱私訴訟和救濟進行處理。最后，2012《PNR協定》還明確規定不能僅憑信息的自動識別做出決定，即禁止非法的特征分析（profiling），這主要是基于之前在缺乏調查的情況下對潛在的恐怖分子進行認定的大量錯誤。即使2012《PNR協定》規定了許多數據保護條款，但對于歐盟而言，在CJEU做出廢除《數據保留指令》的判決后，該協定的一些內容與CJEU的裁判相悖，因此，2012《PNR協定》面臨著修改。

2.《SWIFT協定》中的數據保護條款

《SWIFT協定》中的數據保護條款與《PNR協定》中的條款有一些不同之處。比如根據《SWIFT協定》第五（七）條的規定，數據保留的種類包括姓名、賬戶、地址、國籍、證件號碼。一旦進入美國財政部數據庫的數據，只有符合打擊恐怖主義和恐怖金融的必要性條件才能保留，5年是最長的保護期限。《PNR協定》包含19類數據，并且允許將乘客數據最多保留15年。《SWIFT協定》第十二條和第十三條對數據轉移中的監管問題進行規定，要求設立獨立監察員，獨立監察員由歐盟委員會和美國財政部任命。監察員要對TFTP數據庫進行常規檢查，確保其符合數據提取的要求，對數據的提取是否用于調查、阻止、偵查或起訴恐怖主義及恐怖金融要特別審查。《SWIFT協定》還規定了充分的數據安全措施，如果任何收索和提取被認為違反了第五條數據保護措施的規定，監察員將向上級組織匯報并阻止其操作。《SWIFT協定》第十四、十五、十六、十八條是關于個人權利的規定，包括數據的獲取、修改、消除和阻斷不準確數據權利的規定以及非歧視管理和司法救濟權利的規定。任何人可以通過國家數據保護機構（Data Protection Authority，DPA）提出請求獲得美國財政部掌握的數據，由DPA向美國機構發出正式的請求。但經檢驗該系統的辦事效率很低，并沒有起到真正保障個人權利的目的[10]。一些《SWIFT協定》的數據保護條款與《PNR協定》基本一致，比如，通過“push method”方式獲得數據，對數據持續轉移的規定。雖然這兩個協定在這兩方面的規定基本相同，但更多的卻是其不同之處。最近，CJEU廢除《數據保留指令》的判決對《SWIFT協定》也產生了影響，尤其是《SWIFT協定》的批量數據轉移，以及缺乏獨立的行政監督機制和對數據主體缺乏通知都與CJEU的裁判意見相左。四、美國和歐盟執法合作中數據保護規則的協調路徑為了使雙邊的隱私法律更加接近，歐盟和美國采取了許多措施，以歐盟和美國參與的全球規則和公約為基礎，開展了一系列的雙邊合作，以建立共同的隱私規則。

（一）參與全球多邊規則

美國和歐盟參與的全球規則主要有《OECD隱私指南》（OECD Privacy Guidelines）、《APEC隱私框架》（APEC Privacy Framework）、《公平信息實踐原則》（Fair Information Practice Principles，FIPPs）以及《歐洲理事會網絡犯罪公約》（Council of Europe Convention on Cybercrime）。

首先，《OECD隱私指南》確定的原則與95/EC/46指令、歐盟成員國數據保護立法相似。因此，OECD是建立跨境數據流動規則的關鍵性組織。2012年7月25日，美國正式成為APEC跨境數據隱私規則體系（Cross Border Privacy Rules System， CBPR）的參與方。《APEC隱私框架》為所有的APEC經濟體創造了隱私義務。雖然歐盟非正式成員方，但是第二十九條工作小組根據CBPR的要求發布了普通的參考指引和歐盟的約束性公司規則（Binding Corporate Rules，BCRs）。因此《APEC隱私框架》可以說是使兩大法律框架更加接近的基礎。實際上，美國并沒有完全履行《OECD隱私指南》和《APEC隱私框架》規定的義務。比如說，數據質量原則或目的限制原則在許多公約中都有詳細的定義，但是美國法律卻沒有數據質量原則或目的限制原則的規定[11]。

其次，美國和歐盟都是1973年FIPPs的參與方，“公平信息實踐原則”包含的透明度原則、個人參與原則、目的限制原則、數據安全原則等都是全球隱私法律的核心要素。之后，FIPPs首次植入《美國1974隱私法案》，并對1980年《OECD隱私指南》和95/46/EC指令產生了影響。FIPPs的建立就是為了促進隱私法律的和諧，使其可適用于任何國際數據流動。但實際上，美國和歐盟采取了不同的路徑來實施FIPPs[12]，FIPPs不能使美國和歐盟的數據保護體系完全協調。

最后，美國及所有的歐盟成員國都簽訂了2001年10月的《歐洲理事會網絡犯罪公約》（CoE Cybercrime Convention），該公約為警察和司法訪問計算機數據制定了框架。該公約第十五條規定了獨立的監督機制，第二十七條規定了在缺乏國際協定的情況下的雙邊協助機制。因此，《歐洲理事會網絡犯罪公約》為美歐提供了一個安全的、高效的框架，以確保電子數據在需要調查和起訴犯罪時，可被法律實施機構獲得。然而，《歐洲理事會網絡犯罪公約》的范圍非常特殊，規定對九類網絡犯罪行為以刑法處罰，但對于如侵犯個人隱私、網絡暴力等行為并沒有對應的條款，該公約還需要修改以應對當前的網絡犯罪趨勢，所以該公約并沒有提供一個全面的數據保護機制。

（二）雙邊合作安排

除了多邊參與的協定外，美國和歐盟還深入了雙邊的合作，比如建立了高層聯絡小組（EU-US High Level Contact Group，HLCG）和美歐數據保護及隱私工作小組。HLCG于2006年建立，由歐盟和美國的高級官員組成，用于討論雙邊執法領域的數據交換問題，確認了一些執法領域數據處理的共同原則[13]。美歐數據保護和隱私工作小組是在美國國家安全局的丑聞發生之后，圍繞美國監督計劃以及對歐盟公民個人數據的影響于2013年7月建立的。該小組由歐盟委員會成員、歐盟理事會主席、歐盟對外行動機構（European External Action Service，EEAS）、歐盟反恐協調員、第二十九條工作小組、歐盟成員國的10個專家組成。同時，美國司法部、美國國家情報局局長辦公室、美國國務院、美國國土安全部也參與其中。該小組在2013年組織了三次會議，并發布了一份關于釋明《自由者法案》第二百五十一節和《外國情報監視法案修正案》第二百零七節爭議的詳盡報告。之后，并沒有新的報告產生，且除了解釋跨大西洋個人數據交換的技術性問題之外，該小組存在的意義并不大。

（三）達成綜合性的數據保護框架

基于以上分析可知，歐盟和美國并未建立起普遍的數據保護框架，任何一個協定看起來都是不充分的，為了重建跨大西洋數據流動的信任，一個新的法律文件——《歐美數據保護傘協定》（The Umbrella EU-US Data Protection Agreement）應運而生。在過去的10年，美國和歐盟一起嘗試著建立數據保護領域的綜合性框架，2009年3月，《歐美數據隱私保護協定》（EU-US Data Privacy and Protection Agreement，DPPA）第一次啟動。2010年，歐盟委員會開始草擬談判條款，2011年3月，開始正式談判。2016年6月2日，雙方正式簽署該協定，并于2017年2月正式生效。該協定是歐盟和美國執法合作的綜合性高水平的數據保護框架，既覆蓋了所有以組織、偵查、調查、起訴犯罪為目的的個人數據（比如姓名、地址、犯罪記錄）的交換，也覆蓋了基于國際協定和以這些目的為由，將個人數據通過私人實體轉移至符合協定要求的其他國家機構的情況，但不覆蓋國家安全機構之間的數據交換以及私人實體或公司之間的數據交換。與規制商業數據交換的《美歐隱私盾協定》不同，《歐美數據保護傘協定》并不是以特殊協定為基礎轉移至美國的數據的法律基礎，比如《PNR協定》。

但是，在美歐對數據保護法律進行改革的進程中，有學者認為歐盟是美國規則的“接受者”（norm-taking），外部因素在歐盟數據保護立法中占據著一席之地，尤其是為了平衡安全和數據保護，美國施加了外部壓力。因此，未來的全球安全領域數據保護標準將會受到美國的很大影響。五、中國參與執法合作中的數據保護現狀及策略網絡犯罪是目前最重要的犯罪形式之一，中國正面臨著如何更有效地打擊跨境網絡犯罪的問題。打擊跨境網絡犯罪不能僅憑傳統的執法手段去預防和避免，還需要采用數據或信息分析手段。企業與企業或國家與國家之間進行大數據開放和共享已是大勢所趨，大數據分析日漸成為有效的網絡犯罪治理工具。“個人信息的跨境轉移使得個人信息被泄露、破壞、濫用的風險大大增加。這不僅在微觀層面上會給信息主體造成影響，在宏觀層面上還會涉及國家安全及貿易壁壘等問題。”[14]由此引發了對一系列問題的思考，比如，數據共享中執法部門與私營單位合作的問題、全球或區域數據交換平臺的建立問題、數據共享的邊界、數據共享的主體選擇、不同的利益方有不同的共享范圍和方式、數據安全問題、數據共享中的個人數據隱私保護問題、各國對于個人數據保護的差異問題等等。可以說，在國際執法活動中，中國與外國的執法部門和有關國際組織已經建立了良好的對話機制，已經形成了全方位、立體化、多層次、講實效的國際執法安全合作工作格局。截至2017年2月，我國已與70個國家締結司法協助條約、資產返還和分享協定、引渡條約和打擊“恐怖主義”“分裂主義”“極端主義”的合作協定。這些協定中涉及部分個人數據的共享，但并未形成對個人數據的保護和權利救濟機制。比如，中國公民的個人數據如果通過官方機構或是私營企業轉移到美國執法機構手中，其是否能夠得到足夠的保護，如果中國公民個人數據權利受到侵犯是否可以尋求司法救濟。美國《2015司法救濟法案》中將“覆蓋國家”（covered countries）的公民定義為“覆蓋人員”（covered persons），“覆蓋人員”的民事救濟權利被限制在“覆蓋記錄”（covered record）范圍內，傳送給美國指定機構或部門的“覆蓋記錄”會受到美國法的保護。2017年2月1日，美國司法部長公布了27個“覆蓋國家”的名單，其中并未包括中國，因此，中國公民的個人數據在美國處于“裸奔”的狀態。為此，筆者提出如下幾方面的策略建議。

第一，積極參與全球多邊規則。作為世界人口大國，中國將成為世界第一數據資源大國，各大跨國公司都在針對中國的數據資源制定數據戰略，中國的數據資源是世界各國商業機構和政府機構的必爭之地。中國的數據保護缺乏國際協助，對數據保護規則的參與程度尚處于起步階段。目前，全球安全領域數據規則正處于形成階段，這是我國參與規則制定的契機，因此，中國應積極參與全球多邊規則的治理，努力為全球安全治理貢獻“中國智慧”和“中國方案”。

第二，確定國內法中統一的數據保護規則，對執法領域數據保護規則進行專門立法。我國的《個人信息保護法》尚未出臺，在2012年全國人民代表大會常務委員會頒布《關于加強網絡信息保護的決定》（以下簡稱《決定》）之前，中國境內并沒有個人數據保護的專門立法。《決定》出臺之后，在相關法律、法規、部門規章的修訂中進一步補充了對個人數據的法律規定，形成了初步的保護框架。很長一段時間內，中國主要是依靠間接手段對“個人數據”進行保護，比如，通過對“個人尊嚴”“個人隱私”等相關范疇進行保護，或是通過信息安全管理制度進行保護。2013年，工信部通過了《電信和互聯網用戶個人信息保護規定》，為中國互聯網和電信部門建立了相對完整的數據保護制度，中國的數據保護漸入佳境。在今后的數據保護規則中，應重點加強對執法合作中個人數據的保護，并且，對數據的保護規則要給予專門立法。從美國和歐盟的立法來看，執法領域的數據保護已經形成一套規則體系，且與商業數據流動的法律規制體系不同。執法合作中的數據保護涉及國家機構之間的合作，是國家數據主權和國家安全合作的重要組成部分。

第三，分階段、分部門訂立雙邊數據交換協定。目前，我國對金融客戶數據和公司員工數據明令禁止向境外傳輸，確立了一般禁止、例外許可的原則。我國應分階段與境外執法機構簽訂雙邊協定，以確定金融數據、旅客數據等轉移機制和權利救濟機制，防止中國公民個人數據被境外執法機構濫用的情況發生，為我國公民在海外全球個人數據權利的保護提供法律基礎。

參考文獻：

[1]PORTER A L， BENDIEK A. Counter-terrorism cooperation in the transatlantic security community[J]. European Security，2012（4）：498.

[2]REES W. The US-EU Security Relationship： The Tensions between a European and a Global Agenda[M]. Elizabethtown， US： Palgrave Macmillan，2011：22-28.

[3]GONZLEZ F G. The Emergence of Personal Data Protection as a Fundamental Right of the EU[M]. London：Springer，2014：257-262.

[4]KUNER C. The transatlantic divide over data privacy rights[EB/OL].（2013-05-20）[2017-10-18].https：∥iapp.org/news/a/the-transatlantic-divide-over-data-privacy-rights/.

[5]BARROS X. The external dimension of EU counter-terrorism： The challenges of the European Parliament in front of the European Court of Justice[J]. European Security，2012（4）：518-536.

[6]MACKENZIE A. The external dimension of European homeland security[M]∥KAUNERT C， LONARD S， PAWLAK P. European Homeland Security： A European Strategy in the Making？New York：Routledge，2012：107.

[7]DE HERT P， DE SCHUTTER B. International transfers of data in the field of JHA： The lessons of Europol， PNR and SWIFT[M]∥MARTENCZUK B， VAN THIEL S. Justice， Liberty， Security： New Challenges for EU External Relations. Brussels：VUB Press，2008：299-334.

[8]CREMONA M. Justice and Home Affairs in a Globalised World： Ambitions and Reality in the Tale of the EU-US SWIFT Agreement[J].Austrian Academy of Sciences， Institute for European Integration Research， 2011（4）：1-30.

[9]SERVENT R A， MACKENZIE A. Is the EP still a data protection champion？ The case of SWIFT[J]. Perspectives on European Politics and Society，2011（4）：390-406.

[10]WESSELING M. Evaluation of EU measures to combat terrorist financing[M]. Brussels： Political Department Citizens，Rights and Constitutiond Affairs，European Parliament，2014：33.

[11]DE BUSSER E. Data Protection in EU and US Criminal Cooperation： A Substantive Law Approach to the EU Internal and Transatlantic Cooperation in Criminal Matters between Judicial and Law Enforcement Authorities[M]. Antwerpen： Maklu Publishers，2009：305.

[12]WLOF C， MAXWELL W. So close， yet so far apart： The EU and U.S. visions of a new privacy framework[J].Antitrust，2012（3）：8-13.

[13]Council of the European Union. Final Report by EU-US High Level Contact Group on information sharing and privacy and personal data protection[R/OL].（2008-05-28）[2017-10-10].http：∥www.dhs.gov/european-union-and United-states-principle-information-sharing-privacy-and-personal-data-protection.

[14]王楠.個人信息跨境轉移的法律保護——以公司隱私規則為視角[J].重慶工商大學學報（社會科學版），2016（1）：69.

Abstract：In order to combat transnational cybercrimes and safeguard national security， countries actively carry out bilateral or multilateral law enforcement cooperation， among which the protection of personal data becomes the focal issue. There are no consolidated standards of personal data protection in the field of law enforcement. The US and EU have many differences in data protection legislations and the concepts of privacy. Both made many attempts to approximate the EU and the US privacy legislations. A series of agreements between the EU and the US have been concluded， for instance The EU-US Mutual Legal Assistance Agreement， Agreements on PNRs and SWIFT agreements. But， these data sharing agreements have different data protection standards. To rebuild trust of transatlantic cross-border data flows， EU and US concluded the umbrella EU-US Data Protection Agreement， a comprehensive data protection framework in the field of law enforcement. Based on the experience of the US and the EU， China should actively participate in the formulation of global multilateral rules， unify domestic personal data protection rules， issue personal data protection legislation in law enforcement field， and conclude bilateral agreements with foreign law enforcement agencies step by step.

Keywords：personal data protection； cross-border data transfer； law enforcement； national security

（編輯：劉仲秋）