全球跨境數據流動的規制路徑與中國抉擇*

李艷華

(南京師范大學法學院，江蘇 南京 210046)

一、引言

經濟全球化時代，以互聯網、物聯網、云計算和大數據分析為代表的數字經濟的快速擴張對全球貿易與投資增長產生重要影響。根據麥肯錫研究所的估算，所有類型的跨境數據流動共同作用，通過提高生產率支持經濟增長，十余年來促使全球GDP增長了10.1%(1)McKinsey Global Institute, Digital Globalization:The new era of global flows, https://www.mckinsey. com/business-functions/digital-mckinsey/our-insights/digital-globalization-the-new-era-of-global-flows, lastvisited on 9May,2019.。跨境數據流動有利于分享數據紅利、推動技術革新并由此促進整個產業的蓬勃發展，而且在某種程度上，還能打擊恐怖主義以及跨國犯罪。但是，各個國家因保護水平存有差距，在跨境數據流動中極易造成個人數據泄露，從而侵害個人的數據隱私權。第三國政府甚者將個人數據用于分析人口結構、人口質量以及資源分布等基本國情，從而對一國的國家安全構成威脅。為了在數據自由和數據保護的價值取向間找到平衡點，全球范圍內形成了以充分性為原則的歐盟規制路徑、以組織機構為基準的問責制美國式規制路徑、以數據本地化為原則的俄羅斯規制路徑、以及以利益平衡為導向的折中型澳大利亞規制路徑。

就目前來看，各國基于跨境數據流動的歷史傳統、業已形成的路徑依賴以及國內數據發展環境，短時間還無法形成統一的全球數據協議。而我國信息技術發展較晚，直至最新于2016年11月7日通過的立法成果，即《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)也未表明中國的路徑抉擇。在一帶一路倡導的時代背景下，淘寶、小米等企業已經將投資市場轉向東南亞，2017年6.18以及雙十一的天貓出海活動便是很好的例證。此外，以騰訊、百度、京東為代表的互聯網巨擘也亟需拓寬海外市場。在此背景下，中國理應結合國內監管環境，借鑒各國成熟的跨境數據流動立法經驗，完善數據法域，并積極參與國際規則的制定，這對于我國互聯網產業的域外發展無疑具有深刻的理論與實踐意義。

二、跨境數據流動規制法律問題溯源

(一)跨境數據流動的概念界定

通常而言，跨境數據流動(trans-border data flows、cross-border data flows)是指數據在不同法域之間流動(2)Christopher Kuner, Trans-border Data Flows and Data Privacy Law, Oxford University Press,2013,p.11.。此概念最早由20世紀70年代OECD科學技術政策委員會(CSTP)下設的計算機應用工作組(CUG)提出(3)G.Russell Pipe, International Information Policy: Evolution of Trans-border Data Flows Issues, Telematics and Informatics,Vol 1,No.4,1984,p.409.。對于跨境數據流動的理解：首先，詳閱此領域的相關文獻，數據與信息所指并無二意，且“個人數據跨境流動”多采用“跨境數據流動”的說法。其次，基于政府數據關涉公權屬性，具有本地存儲的天然特征，并且對于跨境數據流動的商業化需求較低。因此，在數據跨境政策討論中，提出政府數據類別，對于認知數據跨境流動政策并無特別意義(4)王融.數據跨境流動政策認知與建議——從美歐政策比較及反思視角[J].信息安全與通信保密,2018,(1):43.。再者，跨境數據流動的主要方式為提供數據給第三方以及第三方訪問數據。具體體現在跨境電商、消費者合同、跨境醫療、跨境金融等服務貿易中。最后，跨境數據流動主要解決的問題在于如何實現數據出口國和數據進口國對于數據保護和數據自由流動的動態平衡。在對跨境數據流動的本身意旨進行厘定之后，筆者將以歷史淵源和價值理念為主線，探究由歐美兩大立法范式所形成的跨境數據流動規制路徑的緣起。

(二)國家規制：歐美跨境數據立法的歷史溯源

美國擁有數據優勢的歷史傳統，20世紀70年代，阿帕網由純粹的軍事工具轉換為軍用和民用兩部分，并逐漸演化為互聯網的雛形。由于計算機網絡主要用于政府工作，當時立法規制集中在如何避免政府濫用公權力收集個人信息。為此，美國于1973年發布了題為《錄音、計算機與公民的權利》的報告，第一次提到網絡所產生的個人隱私保護問題(5)張凌寒,杜婧.基于隱私權的個人信息保護路徑研究——以美國為研究視角[J].網絡法律評論,2016,(1):29.。20世紀90年代，互聯網技術開始走向商業化，這一時期，美國個人隱私權并未進行統一的立法保護，而是分散在各個行業立法中。通過行業自律的方式同樣體現在跨境數據流動規制方面。后于1997年制定的《全球電子商務框架》提出：平衡個人隱私和信息自由是全球信息基礎設施發展的充分條件，恰當的隱私保護是必要的，但不同的政策可能會形成非關稅壁壘(6)The White House,The Framework for Global Electronic Commerce,http:// clintonwhitehouse4, archiives, gov /WH/New/Commerce, last visited on 9 May,2019.。近年來，美國通過積極推進APEC和TPP隱私規則制定，企圖建立以企業自律為參考標準的跨境數據流動規制話語權。

由于歷史、文化以及制度等方面的原因，歐洲十分注重對于公民隱私權的保護。前西德黑森州在1970年通過世界第一部《數據保護法》，該法案的執法機構是數據保護委員會，負責官方文件的轉移與處理。瑞典于1973年頒布了世界上第一部明確限制個人數據跨境流動的法律：實行轉移審批制，賦予個人知情、獲取以及修改等數據權利。此后，從1973年到1984年全球共有13個國家制定了數據保護法，其中8個都是歐洲國家(7)G.Russell Pipe, International Information Policy: Evolution of Trans-border Data Flows Issues, Telematics and Informatics ,Vol 1,No.4,1984,p.413.。而且，歐洲作為高度一體化的同盟體，為了達到數據立法的相對統一，在強調隱私保護的大前提下，以實現全球數據治理為目標，先后制定了三個公約，它們分別是：1981年的《有關個人數據自動化處理的個人保護公約》(Convention for the Protection of Individuals with regard to Automatic Processing of personal Data)(以下簡稱“108公約”)、1995年的《個人數據處理中個人權利保護及促進個人數據自由流通指令》(Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data)(以下簡稱“指令”)、以及被稱為史上最嚴格保護個人數據的2018年的《通用數據保護條例》(General Data Protection Regulation)(以下簡稱“GDPR”)。

(三)國際規制：WTO隱私保護例外條款的“溢出”效應

在國際層面，歐美由于經濟政治利益背道而馳，跨境數據流動規制路徑尚未達成共識。但是WTO框架下的《服務貿易總協定》(GATS)第14條一般例外條款為歐盟的數據保護傳統提供了國際法依據。

GATS是前數字經濟時代的產物，在烏拉圭談判期間，所涉條款很少討論數字貿易。但是基于跨境服務的表現形式(8)GATS將服務細分為四種形式：跨境交付、境外消費、商業存在、自然人流動。、相對完善的DSB解釋機制以及GATS自由環境下承諾列表的設置，電子商務自然被納入其中。此外，考慮到國家政策以及主權的不可讓渡性，GATS為成員國追求非貿易目標設置相應條款。首先，就子項而言，GATS第14(c)條規定，成員可以采取或執行“確保與本協定的規定不相抵觸的法律或法規得到遵守所必須的措施”。第14(c)條又劃分出三種情形，包括防止欺詐、保護數據傳播過程中的隱私以及確保國家安全。在“美國——賭博案”中，上訴機構確定了子項成立的三個條件：即法律法規得到充分遵守、與WTO不相抵觸、以及在“必須”的情況下。而對第三個條件，即“必須”的標準，則是雙方爭議的重要內容。專家組指出，“是否為必須”需考慮所欲保護的法益、對于目標實現的貢獻率以及對于商業規制帶來的影響(9)Panel Report, US-Gambling,para.6.477.。其次，就導言而言，如果各國所采取的措施缺乏一致性，很可能被認為構成“武斷和不合理的歧視”或“對貿易的變相限制”(10)Appellate Body Report,US-Gambling,para.292.。上述雙層分析路徑中為檢驗成員國的隱私例外國內立法提供了合規參照。值得注意的是，歐盟“指令”及GDPR所強調的充分保護措施是否可以成功尋求隱私例外條款的庇護，仍需要WTO爭端解決機構的個案認定。

據此，歐盟于1995年通過了“指令”，該法案明確了跨境數據流動中數據進口國的保護水平以及數據出口國監管機構的事先審查制度。在“指令”的影響下，數據保護蔚然成風。據不完全統計，有69個國家和地區的國內數據保護規定明令限制跨境數據的流動(11)Birnhack, Michael,“The EU Data Protection Directive: An Engine of a Global Regime”, Computer Law &Security Report, Vol. 24,No.6,2008.。由WTO隱私例外條款延伸而來的跨境數據保護為此產生“泛安全化”效應。

三、跨境數據流動的域外規制路徑

(一)價值導向：跨境數據流動規制下的“三難選擇”

跨境數據流動的規制類型受制于規制目標之間的平衡、參與主體之間的競爭以及規制本身的發展規律(12)〔13〕黃寧,李楊.“三難選擇”下跨境數據流動規制的演進與成因[J].清華大學學報(哲學社會科學版)，2017,(5):180-181.179.。該三重因素或基于數據保護和數據自由的權衡，或基于參與主體在國際政治經濟上的地位，抑或通過賦予制度本身約束力與執行力來驅動路徑的暢通。而規制路徑最終范式的形成在于對跨境數據流動規制的“三難選擇”：即“良好的數據保護”“跨境數據自由流動”和各國的“數據保護自主權”〔13〕。不同國家基于不同的價值理念，最終產生以數據保護為主導、以數據自由流動為核心以及三者兼顧的三種不同的組建關系。

在國家層面，針對第一種關系，如果某國以良好的數據保護作為數字經濟時代背景下的優先目標，且該國本身享有充分的數據保護自主權，則客觀上極易阻遏跨境數據的正常流動。在關系一的架構下，形成了以數據本地化原則為核心的俄羅斯規制路徑和以充分性原則為核心的歐盟規制路徑。針對第二種關系，為了使跨境數據相關產業能夠在全球形成終局影響力，通過放寬除了關涉國家安全、政府利益的數據流動標準，實現了企業的自主管理，但是良好的數據保護的實現則相應增加了難度。在關系二的架構下，形成了以問責制原則為核心的美國式規制路徑。針對第三種關系，某國在兼顧數據保護和數據自由流動的基礎上，承認域外跨境數據立法的域內效力，并且依靠科學的數據劃分，實現三者的兼容。即形成以利益均衡為導向的折中型澳大利亞規制路徑。在國際合作層面，阻礙跨境數據流動與全球經濟發展趨勢相左，故排除了關系一的存在。針對第二種關系，形成了以美國規制模式為主導的APEC等國際規制路徑。針對第三種關系，因良好的數據保護與跨境數據自由流動的排斥屬性，若實現較好的調和，需要國家間讓渡數據保護自主權。歐美主導的規制路徑在經濟政治博弈下形成兩次融合。而GATS14條隱私例外條款的設置由于缺乏實踐支撐，實效性存疑。在上述“三難選擇”中，各國基于歷史傳統、文化水平、產業利益、國際形勢的差異而選擇不同的規制路徑。

(二)國家規制路徑類型列示

1.歐盟(成員國)：以地理區域為基準、以充分性原則為核心的規制路徑

歐盟規制路徑采用雙重標準，對于歐盟成員國，禁止以數據保護為由阻礙跨境數據的自由流動；而對于其他第三國，則需以提供充分保護為前提。在理論層面，“指令”與GDPR是充分性保護原則體現的法律文本。兩個文本雖未就充分保護的含義進行界定，卻設置了充分性保護認定的參考因素。其中，“指令”第四章專門規定了個人數據向非成員國轉移的規則。第25條指出，歐盟委員會將根據數據的性質、數據處理的目的和期間、數據接收國的法治程度以及行業規則和安全措施等四種因素來判斷(13)Article 25(2) of the 1995 Data Protection Directive.。此外，該文本第26條第1款規定了豁免充分性保護的特殊情形，包括獲得數據主體同意、履行合同的需要和維護公共利益等。而GDPR在“指令”的基礎上，不僅將規制對象擴展至特定地區、行業領域以及國際組織，還更為詳細的列舉了充分性保護的三重標準：(1)法治狀況，對人權和基本自由的尊重程度，相關綜合性立法和專門行業立法以及立法的實施狀況；(2)存在掌握足夠權力且有效運行的專門規制機構；(3)加入關于個人數據保護的國際條約或多邊協定，從而在該領域負有國際法上的義務(14)Article 45(2) of the 2016 General Data Protection Regulation.。新標準實質與形式并重，在考察域外第三國法治狀況的同時，加入專門機構監管因素。為了保證充分性決定的連續性與科學性，GDPR還規定，歐盟委員會至少每隔四年進行重新審查，若不再符合充分性保護的要求，則成員國應該采取必要的措施以防止數據跨境流動。此外，GDPR雖然在生效后可以直接被各成員國適用，但一些個人數據的轉移，仍需要滿足成員國國內的某些特殊規定。例如就兒童的個人數據而言，允許成員國對于兒童的年齡在13～16歲作出調整(15)王融.《歐盟數據保護通用條例》詳解[J].大數據,2016,(7):94.。

在實踐層面，目前只有11個國家和地區獲得充分性保護認證：包括加拿大、阿根廷、瑞士、安道爾、法羅群島、澤西島、馬恩島、根西島、新西蘭、以色列、烏拉圭東岸共和國(16)張金平.跨境數據轉移的國際規制及中國法律的應對——兼評我國《網絡安全法》上的跨境數據轉移限制規則[J].政治與法律,2016,(12):140.。在程序上，通過考察這11份充分性保護認證報告，可以得知歐盟基本上遵循形式審查原則，而對于各個國家的實施效果并未給予足夠關注。例如2006年歐盟對加拿大的審查報告指出：加拿大的《聯邦個人信息保護法案》和各省規則制定符合指令的調整范疇，且自2002年以來加拿大對于數據保護的力度有所加強(17)See European Commission, Commission Decision on the Adequacy of the Protection of Personal Data in Third countries,http://ec.europa.eu/transparency/regdoc/rep/2/2006/EN/2-2006-1520-EN-1-1.Pdf,lastvisited on 9May,2019.。

歐盟規制路徑雖設計了統一標準，為個人數據權利的實現提供了合理的預期，且有利于防止第三國規避本國的數據保護立法。但是終究因為程序冗雜、標準過高而阻礙了數據的跨境流動。

2.美國：以組織機構為基準，以問責制原則為核心的規制路徑

美國規制路徑是在保證跨境數據自由流動的基礎上，由數據控制者或數據處理者以合法、合理的方式對數據的安全性負責，否則將由數據監管機構問責。與歐盟自上而下統一立法的事前預防模式不同，美國行業通過制定隱私保護標準，默認數據控制者或者處理者在商業活動中自覺的遵守相關規則，僅在事后對于違法行為進行懲罰。因此，該規制方式能夠最低限度的避免跨境數據的滯留，同時也降低了行政機關的監管壓力。

相較于歐盟充分性的保護標準，美國的個人數據保護水平主要以隱私保護狀況為考核指標。美國的隱私保護標準分為兩個層級：即在線隱私聯盟(Online Privacy Alliances，OPA)公布的建議性指引以及由美國兩大隱私認證企業TRUSTe和BBB Online制定的具有強制約束力的兩個隱私保護計劃(Privacy Seal Program)(18)張舵.略論個人數據跨境流動的法律標準[J].中國政法大學學報,2018,(5):102.。前者側重于保護數據主體的知情權，后者則在OPA指引的基礎上，結合聯邦貿易委員會的隱私保護原則(FTC Principles)(19)FTC原則包括通知原則、選擇原則、訪問原則和數據安全原則。制定相關條款。企業在進行申請認證程序時，需要提供公司內部的隱私規則與政策，在通過考核后，由上述認證機構頒發認證標識，且可在網上進行公示，以提升消費者的信任。此外，隱私認證機構也需要定期進行評估。

美國規制路徑一方面強調規制企業對于相關規則的遵守，另一方面又對違規企業實行問責。而上述規范體系的建構旨在為數字經濟產業創設最低標準，讓跨境數據流動的限制機制回歸市場。值得注意的是，事后問責的處理方式不僅因數據難以恢復原狀而導致規制功能下降，而且對于中小企業來說操作成本過高。企業自律水平也參差不齊。未來，隨著加入企業的不斷增多，監管機構很可能自顧不暇。此外，對于大型企業懲罰力度過小，與GDPR所規定的違規企業最高可處罰2000萬歐元或者企業上一年度全球營業收入的4%的罰款(兩者取其高)(20)王融.《歐盟數據保護通用條例》詳解[J].大數據,2016,(7):101.相比，威懾力十分有限。

3.俄羅斯：以地理區域為基準、以數據本地化為基本原則的規制路徑

俄羅斯規制路徑要求數據的存儲與處理在國內進行，強烈排斥數據的跨境自由流動，以實現對于跨境數據的絕對保護。與此相類似的國家還有馬來西亞、巴西及印度等。俄羅斯的“本地存取型”立法最初尚未上升到歐盟以數據隱私權為基本權利的高度。但是“棱鏡門”事件的發生直接成為歐洲各國再次關注數據主權的導火索。俄羅斯數據保護立法從自由放任演變為嚴格限制。

為此，俄羅斯于2014年5月和2014年7月先后進行了兩次立法修改。就第一次修改而言，《關于信息、信息技術和信息保護法》(第149號法令)在互聯網信息傳播組織義務項下增加了境內存儲的相關要求，文本規定：網民在對文字、圖像以及語音等各種信息進行發送、接收以及處理的過程中，互聯網信息傳播組織者應將上述信息留存于俄羅斯境內。此外，還聲明互聯網企業在國家機構進行調查時積極配合的義務，否則將處以行政罰款。第二次修改則在第149號法令第16條第4款中增加數據控制者與數據處理者對于存儲、處理俄羅斯公民信息的數據庫應留存在俄羅斯境內的規定。《俄羅斯聯邦個人數據法》(第152號法令)第18條增加第5款，運營商獲取信息需要使用俄羅斯本地的數據庫，且需確保數據主體的知情權。通過上述法律修改成果，可以歸納出俄羅斯目前對于數據跨境流動的態度：(1)公民個人信息應存儲于俄羅斯境內；(2)處理公民個人信息應在俄羅斯境內進行；(3)數據相關主體應積極配合國家監管工作(21)何波.俄羅斯跨境數據流動立法規則與執法實踐[J].大數據,2016,(7):131.。跨境數據流動立法在俄羅斯得到高強度的規制，但其實施方式相對溫和，監管機構一般通過檢查服務器服務商簽訂的書面合同，而非專業的軟硬件檢測。而且，處罰的力度相對較小，多為小額罰款和限期改正的處罰。

俄羅斯所倡導的數據本地化規制路徑通過嚴控數據流動，試圖將侵犯數據主體隱私和威脅國家安全的風險扼殺在搖籃里，但其實施的效果并不理想。首先，該理念本身就存有瑕疵，信息安全并不在于物質形態的存儲地點，高度集中有時往往更易受損，甚至有可能成為國內政府監視公民行為的借口(22)馬蒂亞斯·鮑爾等.數據本地化的代價：經濟恢復期的自損行為[J].汕頭大學學報(人文社會科學版),2017,(5):45.。其次，數據本地化措施是否符合目的、是否必要、是否符合比例原則也存有質疑(23)彭岳.數據本地化措施的貿易規制問題研究[J].環球法律評論,2018,(2):180-181.。

4.澳大利亞：以利益均衡為導向、以折中型為特征的規制路徑

相較于歐盟數據保護的歷史傳統以及美國強大的互聯網產業經濟，一些缺失國際主導權的國家往往選擇迎合立法主流或加入特定區域、國際組織，為國內相關產業的數據跨境流動提供法律依據。以澳大利亞為代表的中間派，通過創新跨境數據流動機制，結合立法變革和實踐檢測，以期在“三難選擇”中找到平衡點。

澳大利亞數據安全框架圍繞政府商業安全指令和全面保護安全政策兩層治理構架，制定出具有推薦性意義的數據安全管理協議、五項具體規則和特殊數據的安全政策和流程(24)倫一.澳大利亞跨境數據流動實踐及啟示[J].信息安全與通信保密,2017,(5):31.。澳大利亞規制機制是主流規制路徑和本國獨有管理機制的結合，具體表現為以下幾個特征：首先，規制法律專門化，將數據類型分為政府數據、個人數據和健康數據。澳大利亞一般不禁止個人數據的跨境流動，《1988年隱私法》(以下簡稱《隱私法》)要求APP實體，即澳大利亞隱私原則所規范的機構或個人應采取適當的措施，保證數據接受者未違反澳大利亞境內法律的規定。涉及一般數據中的敏感數據則禁止商業推廣。對于個人健康數據，《個人控制的電子健康記錄法》(PCEHR)第77章原則上禁止可識別的健康數據跨境流動，除非出現消費者數據必須跨境等情形。其次，承認外國相關制度的域外效力。《隱私法》規定，外國對數據跨境流動做出要求，不視為違反澳大利亞《隱私法》。最后，澳大利亞跨境數據流動規制機制與國際規則相協調。《隱私法》與“指令”和GDPR的目標以及部分規定兼容，都強調尊重并保障數據主體權利。因為是APEC成員，該法案也同APEC隱私規則亦步亦趨，但因未加入CBPR，故具體執行不受約束。此外，澳大利亞跨境數據流動體系與OECD《關于隱私保護和個人跨境數據指南》內在邏輯相一致，都通過數據開放與安全的價值理念解決“三難選擇”之問題。

澳大利亞規制路徑是在保護數據主體隱私權的基礎上，調配經濟利益的產物。精準的分類規則、成熟的法律構架以及與國際規則立法趨勢相適配似乎得以實現良好的數據保護、跨境自由流動和數據自主權的平衡，但因過于兼顧，部分功能會因此而減損。例如數據類型劃分的交叉所導致的專門法律間不相協調，監管機構配套不足，以及對健康數據過度敏感等。事實證明折中的解決方案針對性不強，限度也難以掌控。

以上四種規制路徑是不同國家在數字經濟迅猛發展的時代背景下做出的戰略抉擇。或因崇尚隱私保護而放棄數據流動帶來的巨大經濟收益，或以市場自治的規律為準則，適當調整數據保護的力度。以俄羅斯為代表的數據本地化舉措與其說是對于美國監控行為的應激性反應，還不如說為傳統的國家安全找到得以維系的支點，畢竟當下政治環境成為矛盾焦點。而折中型的澳大利亞規制路徑似乎通過創新機制、仿效國際模式的形式使“三難選擇”相融合。為了全球化的共同目標，上述路徑出現融合，并由此演化成為不同的國際規制路徑。

(三)國際規制路徑類型列示

王利明教授指出：“不同國家之間的立法差異是導致跨境數據流動受到阻礙的主要原因。”(25)王利明.論個人信息權的法律保護——以個人信息權與隱私權的界分為中心[J].現代法學,2013,(4):62-72.而實現數據的自由流動或通過減少公權力介入，實現市場自治。或通過放棄市場來迎合歐盟嚴格的數據保護標準。但上述單一的規制路徑對于互聯網的發展并未奏效。從國際私法層面來看，解決民商事法律沖突無異于兩種方法，即沖突法和統一實體法。一方面，數據監管意味著公法的治理，國家談判步履維艱。另一方面，由于國內法制環境和文化的差異，在短期內達成國際共識又不具有可能性。盡管歐盟于2012年重新修訂的“108公約”(26)新修訂的“108公約”規范對象廣泛，且規定保護標準，準入和執行機制更加靈活，包括問卷、面談以及合規協助等方式。烏拉圭成為新“108公約”的第一個非歐洲國家。和于1979年成立的全球性DPA專業組織——國際數據保護與隱私專員大會(The International Data Protection and Privacy Commissioners’ Conference，IDPPCC)(27)IDPPCC 共有119 個DPA 成員，每年召開一次會議，其宗旨是在國際層面提供數據和隱私保護的領導力。試圖在推動跨境數據的全球流動，進而建立統一的多邊機制，但是并未取得實質性進展。通過簽訂雙邊協議、多邊協議的國際規制路徑則在國力較量中呈現出不同特征。

1.美國主導下的國際規制路徑

于2004年通過的APEC隱私框架(APEC Privacy Framework)是亞太地區第一份有關跨境數據流動規制的立法文件。為了增強該框架的執行力，2012年由美國主導的《跨境隱私規則》(Cross Border Privacy Rules system)(以下簡稱“CBPR”)可謂美國自律模式的改良版本。該多邊數據隱私保護計劃的參與主體包括隱私執法機構(PEA)、隱私認證機構以及規制企業。具體運行機制為：隱私認證機構根據隱私框架的9大原則(28)包括避免傷害、通知、收集限制、個人信息的使用、選擇性原則、個人信息的完整性、安全保障、查詢及更正、問責制。和50條具體要求制定標準，規制企業可通過自評以及隱私認證機構的評估獲得認證標志，之后可負責亞太各國的數據跨境傳輸及處理等業務。在監管層面，分為兩種途徑：第一種由隱私認證機構通過消費者投訴和常規例行檢查跟蹤規制企業的違規行為，以給予批評、取消認證標識和罰款等為懲戒手段。第二種則在第一種渠道救濟不能的情況下，由隱私執法機構根據隱私執法安排，要求違規企業所在國的隱私執法機構來處理(29)〔36〕弓永欽,王健.APEC與歐盟個人數據跨境流動規則的研究[J].亞太經濟,2015,(5):10-12.。此外，于2012年達成的《美韓自由貿易協定》(U.S.-South Korea Free Trade Agreement)和2015年簽訂的《跨太平洋戰略經濟伙伴關系協定》(TPP)同樣帶有強烈的美國色彩。這種以經濟力量來決定規則走向的國際規制模式不但會在機制出現預警時無法解決，還無形中增設了加入的成本。

2.從“安全港”到“隱私盾”：歐美路徑的第一次融合

由于歐美跨境數據規制方式的巨大差異，美國無法通過充分保護原則落入歐盟白名單的范疇。但緊密的貿易投資關系促使歐美經多次磋商，并于2000年11月1日達成《美歐安全港協議》(U.S.-EU Safe Harbor Framework)。該協議共包括7項隱私權保護規則(30)包括通知原則、選擇原則、向前轉移原則、安全原則、數據完全性原則、接入原則和執行原則。，美國企業需要加入該協議，并且承諾遵守上述規則，方可視同滿足“指令”第25條第6項的充分性認定。這種通過以充分性保護原則嵌入組織機構的混合模式，暫時調和了歐美之間的矛盾。不過事后，一些學者對于此項協議的達成表示擔憂：只要歐美之間隱私保護的立場存有根本性差異，這項解決方案不能長久(31)Julia M.Fromholz,The European Union Data Privacy Directive,Berkeley Technology Law Journal,Vol.15,2000,p.483.。2013年“棱鏡門”事件的發生使美國變為眾矢之的。雙方于2014年1月重新開始談判，以尋求應對之策。2015年，奧地利的一名法律系學生馬克斯·施姆雷斯向愛爾蘭信息監督部門提出申訴，愛爾蘭當局援引《美歐安全港協議》駁斥了該申訴，后該學生召集其他數據主體提起集體訴訟，經歐洲法院判決：安全港協議對于侵犯歐洲公民數據隱私權的情形，只有解決商業糾紛的條款，并未規定其他救濟機制，因此不符合“指令”的充分性保護標準；在權限規定上，協議限制了歐盟國家主管機關的監督權。2016年，歐美重啟談判工作，隨后達成《歐美隱私盾協議》(EU-U.S. Privacy Shield Framework)。相較于安全港協議，后者將規制對象擴展至美國政府以及國家安全部門，救濟機制則從簡單的商業糾紛解決條款到企業申訴和強制性終局仲裁。此外，還增加了數據主體權利內容等(32)王順清,劉超.歐美個人數據跨境轉移政策變遷及對我國的啟示[J].法學論壇,2017,(4):98.。

3.歐盟——APEC的雙重認證：歐美路徑的第二次融合

歐盟的“約束性公司規則(Binding Corporate Rules,BCR)”(33)BCR的規范對象是在歐洲經營的跨國公司，跨國公司在集團內部制定符合指令原則的約束性公司規則即可視為達到充分性保護標準。和美國主導下的APEC跨境隱私規則(CBPR)均是歐美兩種傳統規制模式的延伸性成果。與純粹的歐美規制路徑相比，兩者在許多方面存在相似之處：(1)規制主體為國際企業，規制行為為數據流動行為；(2)企業自愿加入，且僅具有內部約束力，違背規則將會被數據保護機構予以制裁；(3)“指令”的6大規則(34)包括合法性、目的限制、透明度、比例性、安全和管理原則。與APEC的9大規則相比內容并無實質性差異；(4)均準確界定了數據保護的最低標準〔36〕。基于兩大規則具備兼容的內在特質，自2012年9月，歐盟與APEC形成了一個聯合工作小組，該小組通過比較兩者的異同點，制定相應文本，以促進跨境數據在兩個組織成員國之間的自由流動。2014年1月，APEC-EU工作委員會聯合制定了“BCR規則體系和CBPR規則體系共同參考”(以下簡稱“參考”)(35)PEC,Electronic Commerce Steering Group,https://www.apec.org/Groups/Committee-on-Trade-and-Investment/Electronic-Commerce-Steering-Group, last visited on 9 May,2019.，參考不僅重申了兩者的規則體系，還另外指出需要滿足一些共同標準和認證要求。此外，該文件對于同時申請兩個機構的企業具有強制約束力。為了進一步推動參考的可操作性，自2015年8月，APEC-EU工作委員會與利益相關者就制定聯合申請表交換了意見和建議，以實現長期合作的計劃。目前，工作小組正在起草該份申請表。

歐美兩次路徑的融合構成了雙邊協議和多邊協議的正式范本，為跨境數據流動的規制方式提供了新的邏輯行為路徑。此外，歐美分別自2013年3月和2013年6月開始談判的《服務貿易協議》(TISA)和《跨大西洋貿易與投資合作伙伴關系協議》(TTIP)由于數據保護水平存在巨大分歧而遭遇瓶頸。

通過上述國家規制路徑與國際規制路徑的詳細闡釋，筆者認為就目前跨境數據流動的規制路徑而言，全球形成如下構架體系：

四、中國跨境數據流動規制的法律現狀和路徑抉擇

跨境數據流動規制作為中國互聯網迅猛發展背景下探討的議題，已經反映在中國近來頒布的立法文件中。一方面，經濟全球化的時代趨勢促使許多國家和地區進行數據交換。而中國作為世界第二大經濟體，對于數據交換的需求顯著增長。據阿里研究院統計：中國跨境電商交易規模在2015年達到4.8億元，預計到2020年達到12億元，占中國進出口總額的37.6%(37)曹杰,王晶.跨境數據流動規則分析——以歐美隱私盾協議為視角[J].國際經貿探索,2017,(4):114.。另一方面，技術革新給隱私和數據安全帶來了前所未有的威脅。而中國相關領域的立法空白無法規制跨境數據流動這一行為，具體的政策邊界也并不明確。在上述背景下，中國既需認清國內和國際經濟形勢和立法現狀，又需制定出相應對策以應對跨境數據流動中的問題。

(一)法律現狀

首先，對于個人數據權利定位不清，規制對象屬性不明。法學界或基于個人數據因帶有人身屬性的信息而歸于隱私權或人格權范疇，或因法律賦予數據主體知情權、控制權、處理權而附有財產權的色彩，因此對于個人數據的權利屬性并未達成一致共識。在互聯網時代，個人數據權利保護對象和保護方式發生改變。前者的范圍擴展至進行挖掘和處理后的個人信息。后者則從傳統的消極保護變為在優先確保數據自由流動的前提下實現數據的全方位保護。個人數據權利兼具人身權和財產權屬性，全球進入了“后隱私權”變革時代(38)劉澤剛.歐盟個人數據保護的“后隱私權”變革[J].華東政法大學學報,2018,(4):54.。

其次，立法過于分散化，缺乏體系性。我國現有個人數據保護通過統籌性法律和行業規定(39)統籌性法律有：《網絡安全法》《關鍵信息基礎設施安全保護條例(征求意見)》等，行業規定包括《征信業管理條例》《人口健康信息管理辦法(試行)》等。進行規制。據統計，我國現有涉及個人數據保護的法律法規近70部，法律解釋10條以及部門規章近200部(40)代表委員呼吁個人信息保護單獨立法[J].時代金融,2013,(10):49.。其中，規制跨境數據流動的少之甚少。2013年工信部頒布的《信息安全技術公共及商用服務信息系統個人信息保護指南》首次制定了跨境數據流動的相關規定。2016年通過的《網絡安全法》第37條模糊界定了數據評估的機構和數據本地存儲的要求。上述立法規范基本是原則性的規定，對于數據主體權利的內容、規制方式以及救濟途徑缺失，且試圖通過部門法以偏概全。這種分散化、抽象的立法模式無法為跨境數據流動的快速發展提供法律依據。

最后，跨境數據流動監管方式和數據保護分類形式單一。基于大政府的立法傳統，跨境數據流動的監管基本由政府主導，由此弱化了企業的監管職責。政府監管負擔過重，從而抑制了市場的運行效率。此外，數據保護種類寬泛，立法未進行數據的有效識別，保護水平的一視同仁忽略了數據間的屬性差異。

綜上，中國跨境數據流動規制因立法較晚，在立法模式、立法體系、立法價值導向、立法具體規則、立法執行機制和救濟機制層面過于原則，無法為跨境企業提供合法合理的預期，以調整跨境交易行為。數據保護和數據自由的衡平處于初級階段。

(二)路徑抉擇

鑒于全球主要形成了美、歐、俄、澳四大國內路徑，以及美國主導和歐美立法范式融合的國際路徑。中國在立法體系不完善的背景下，理應結合中國實際情況和國際跨境數據流動的發展趨勢，做出正確的路徑抉擇。據此，筆者提出如下建議：

1.堅持維護數據自主權，協調好數據安全與產業利益的關系

中國作為大數據時代下的后起之秀，在產業利益帶動國民經濟增長并逐漸影響市場類型的基礎上，應同時注重消費者的合法權益，以及數據泄露可能引發的國家危機。數據自主權的公權屬性促使歐美為首的數據大國嚴格把控。在全球數據競爭中，中國也應完善數據監管機制，牢牢把握自主權。因為“每個國家都擁有信息自主權，不能因為經濟政治水平差異而施以雙重標準，且任何國家均不得干涉他國的信息自主權”(41)祝高峰.大數據時代國家信息主權的確立及其立法建議[J].江西社會科學,2016,(7):191.。此外，應建立數據共享機制，轉變數據主權的防守路徑，以保證數據流動的暢通性、透明性以及可操作性。

2.加快統一數據保護立法，建立分類和評估機制

中國跨境數據立法處于初期階段，各項機制闕如，跨境數據流動規制基本分散于各個部門法中，且以較為含糊的言辭表述。筆者認為：首先，基于跨境數據的雙重屬性，應由全國人大常委會制定一部綜合性的《個人數據保護法》，不僅能夠提高數據保護權的立法位階，還為部門法嵌入該新型權利提供規則指引。目前，據中國人大網于2018年9月10日公布的《十三屆全國人大常委會立法規劃》，《個人信息保護法》已被列為第一類項目的第61個。面對數據經濟發展的熱潮和新近歐盟生效的最嚴格GDPR，立法進度刻不容緩。其次，在內容上，對于不同的數據采取不同的管理模式，涉及國家秘密、國家安全的數據，根據GATS第14條隱私例外和國家安全例外條款，將該數據留存于中國境內。對于普通的個人數據，則再詳細劃分為一般數據和敏感數據。后者原則上禁止，只有滿足嚴格的評估條件或在數據主體同意的基礎上方可豁免，從而能強化對個人一般信息的利用和個人敏感信息的保護(42)張新寶.我國個人信息保護法立法主要矛盾研討[J].吉林大學社會科學學報,2018,(5):46-47.。最后，在評估機制上，從《個人信息和重要數據出境安全評估辦法(征求意見稿)》的相關規定來看，基本上采用以組織機構為基準，以問責為原則的美國式規制路徑。將責任主體歸置于網絡運營者(43)第12條：網絡運營者應根據業務發展和網絡運營情況，每年對數據出境至少進行一次安全評估，及時將評估情況報行業主管或監管部門。當數據接收方出現變更，數據出境目的、范圍、數量、類型等發生較大變化，數據接收方或出境數據發生重大安全事件時，應及時重新進行安全評估。，由行業主管或監管部門進行最終評定(44)第5條：國家網信部門統籌協調數據出境安全評估工作，指導行業主管或監管部門組織開展數據出境安全評估。第6條：行業主管或監管部門負責本行業數據出境安全評估工作，定期組織開展本行業數據出境安全檢查。。前者的順利進行有賴于行業自律體系的構建，而后者的機構設定容易導致實踐中監管缺位。一則機構的多功能監管往往容易顧此失彼，專業能力有待考察；二則建立專門的數據保護機構(DPA)已成為世界潮流，對于中國加入國際或區域組織，抑或簽訂自由貿易協議都是大有裨益的。

3.加強國際合作，建立符合中國國情的規制路徑

在互聯、協作、開放、共享的時代主題下，加強全球化合作成為拓寬本國經濟渠道、促進國際交流的重要方式。以歐美為首的國家以積極主動的姿態制定跨境數據流動規制規則，通過雙邊、多邊協議構建屬于自己的話語權。但是目前全球尚未形成統一的國際規則與條約規范。對于中國來說，只有在立法理念確定、國內立法相對完善、執行機制專門化的前提下，具備防御能力后，國際合作的開展才能有效進行。具體路徑建構分為兩個層面：第一個層面是迂回路徑：首先，通過建立數據保護機構，加入CBPR體系，在亞太地區開展跨境數字產品貿易和服務。截至2018年，韓國已經成為繼美國、日本、墨西哥和加拿大后，第五個加入CBPR體系的國家(45)http://www.apec.org/Press/News-Releases/2017/0627_Privacy,last visited on 9 May, 2019.。因中國是APEC的成員國，該路徑也最有可能實現。并且，我國已同韓國簽訂了FTA，而中日韓FTA，中美BIT均在談判，中國—加拿大FTA正在研究中(46)商務部中國自由貿易區服務網，http://fta.mofcom.gov.cn/,最后訪問日期：2019年5月9日。。故該路徑也有實施的必要性。此外，因目前歐盟與APEC就跨境數據流動進行雙重認證，該路徑也可能打通中國與歐盟的傳輸渠道。其次，2018年5月28日生效的GDPR，增設了跨境數據流動的合法機制。在充分性條件難以滿足的情況下，中國可通過制定有約束的公司規則(BCR)、標準合同條款(SCC)(47)其為歐盟委員會通過的3個標準合同條款，GDPR增加了數據監管機構可以指定標準合同條款的渠道，但是須經歐盟委員會認可。、經批準的行為規則(48)詳細行為規則由數據控制者成立的協會制定，但是需要經數據監管機構或歐盟保護委員會通過。和認證機制等形式來實現，因為畢竟有著5億人的歐洲市場。最后，隨著中國企業隱私數據保護的提高，可予以仿效“安全港”“隱私盾”模式，與歐盟等重要經濟發展體洽簽合作協議。在具備一定的國際影響后，可實施第二層面的主導路徑。中國可利用亞洲基礎設施開發銀行、金磚國家、博鰲論壇、“一帶一路”等由中國主導的國際平臺，制定區域性數據跨境流動合作機制，為統一性跨境規則的制定提供新的思路。

綜上，中國路徑的抉擇應該以實現“三難選擇”的動態平衡為指導原則，通過統一國內數據保護立法，建立執行機制，為國際雙層路徑的建構提供動力。據此，筆者認為中國跨境數據流動規制路徑如下圖所示：

圖3 中國路徑抉擇模型(資料來源：作者自制)