美歐跨境數據流動規則博弈及中國因應

黃志雄 韋欣妤

基金項目：國家社會科學基金重大項目“網絡空間國際規則博弈的中國主張與話語權研究”（20&ZD204）。

黃志雄，武漢大學國際法研究所教授，武漢大學網絡治理研究院研究員，博士生導師，教育部青年長江學者。

①本文中，“跨境數據流動”是指“個人數據跨境流動”。

②Robert Walters， Leon Trakman and Bruno Zeller， Data Protection Law： A Comparative Analysis of Asia-Pacific and European Approaches， Springer， 2019， p.427.

③Susan Ariel Aaronson， Patrick Leblond， “Another Digital Divide： The Rise of Data Realms and Its Implications for the WTO”， Journal of International Economic Law， 2018， 21， p.272.

④Clare Sullivan， “EU GDPR or APEC CBPR？ A Comparative Analysis of the Approach of the EU and APEC to Cross Border Data Transfers and Protection of Personal Data in the IoT Era”， Computer Law & Security Review， 2019（35）， p.397.

⑤劉宏松、程海燁：《跨境數據流動的全球治理——進展、趨勢與中國路徑》，《國際展望》，2020年第6期，第78頁。

目前，國際社會尚未就跨境數據流動規則達成共識，美國和歐盟在相關規則制定中占據領先優勢，但二者采取了不同的立法模式和標準，存在難以彌合的分歧。為此，美歐在過去20年中持續開展了多輪博弈，2020年7月歐盟法院關于美國無法為歐盟的個人數據提供充分保護、美歐《隱私盾協議》無效的判決，正是這一博弈的最新體現。該判決對于歐盟重新奪回技術主權以及美歐跨境數據流動合作和規則博弈都將產生不可忽視的影響。同時，這一判決所推動的跨境數據流動規則博弈態勢對我國利弊并存。我國應著眼于國家安全、數據隱私保護和經濟發展的平衡，積極推動現有跨境數據流動國內立法的完善，并通過加入現有的區域性隱私框架等措施積極提升“中國模式”的國際影響力。

跨境數據流動; 隱私盾協議; 美歐博弈; 規則制定

D99A003113

2020年7月16日，歐盟法院作出判決，認定歐盟與美國之間關于跨境數據傳輸的《隱私盾協議》無效，從而使美國公司無法繼續通過該協議將歐盟的個人數據傳輸到美國。這一判決是美歐在跨境數據流動規則領域持續爭奪和博弈的最新體現。盡管雙方正在努力圍繞后續安排進行磋商，但迄今為止前景仍不明朗。

國外學者對跨境數據流動①國際規則進行了較多的研究。羅伯特·沃爾特斯（Robert Walters）等人指出，跨境數據流動的“法律協調和法律趨同不僅可以由國際機構推動形成，還可以因跨法域移植法律原則而推動形成”②。帕特里克·勒布隆（Patrick Leblond）等人認為，美國、歐盟和中國這三個數據巨頭使用了不同的數據治理方法，與其他規則制定者之間形成了數字鴻溝，這給WTO帶來了挑戰，也帶來了機遇。③克萊爾·沙利文（Clare Sullivan）進一步分析了歐盟主導的GDPR模式和美國主導的CBPR模式，認為GDPR模式更適合物聯網時代并將繼續確立國際數據保護標準。④

國內學界對跨境數據流動國際規則博弈的研究相對較少，既有文獻多探討國內跨境數據流動規則的制定問題。劉宏松、程海燁指出：“跨境數據流動的全球治理呈現兩個發展趨勢，一是規制多極化和規制標準的俱樂部化，二是美歐將繼續爭奪跨境數據流動規制的主導權。”⑤曹杰、王晶對《隱私盾協議》《安全港協議》和TPP協議進行了對比研究。曹杰、王晶：《跨境數據流動規則分析——以歐美隱私盾協議為視角》，《國際經貿探索》，2017年第4期，第110112頁。但是，這些研究都沒有結合歐盟法院關于《隱私盾協議》無效的判決對美歐跨境數據流動規則博弈的最新態勢和影響加以深入分析。

因此，本文的主要研究問題是：在美國和歐盟圍繞跨境數據流動規則的博弈不斷加劇的背景下，歐盟法院關于《隱私盾協議》無效的判決有哪些值得關注之處，將對美歐博弈造成何種影響？以這一判決為視角，中國應當如何提升在跨境數據流動國際規則制定中的話語權和影響力？

一、 跨境數據流動規則制定中的美歐博弈

在數字經濟時代，跨境數據流動對國際貿易至關重要。麥肯錫全球研究院（MGI）發布的《數字全球化：全球流動的新時代》報告指出，傳統的商品、服務貿易和資金流動已經趨于平緩，但跨境數據流動正大幅增長，對全球經濟增長的貢獻已經超過了傳統的貨物貿易。McKinsey Global Institute （MGI）， “Digital Globalization： The New Era of Global Flows”， https：//www.mckinsey.com/～/media/McKinsey/Business%20Functions/McKinsey%20Digital/Our%20Insights/Digital%20globaliz ation%20The%20new%20era%20of%20global%20flows/MGI-Digital-globalization-Full-report.pdf， March 2016， p.2， p.24， p.75.跨境數據流動日益成為國際社會高度關注的一個重要議題，如何通過掌握規則制定權使本國獲得更多的數據資源，尤其成為各國關注的焦點。

從數據的自身屬性來看，數據的生命在于流動，沒有流動性的數據是沒有價值的。阿里研究院：《數據生產力崛起：新動能 新治理》，2020年9月5日，第170頁。數據需要被靈活使用，數據在不斷被消化、處理、產生增值服務的同時又能產生更多的數據，從而形成數據回流。曾鳴：《智能商業》，中信出版集團，2018年，第5859頁。在經濟全球化的今天，數據流動往往也是全球性的。跨境數據流動使企業可以直接對接國際客戶，拓寬國際市場。

但是，跨境數據流動伴隨著個人數據隱私保護的難題，因為出境后的數據監管難度顯著增加，數據主體本文所討論的數據主體是指任何已識別或可識別的自然人。一個可識別的自然人是一個能夠被直接或間接識別的個體，特別是通過諸如姓名、身份編號、地址數據、網上標識或者自然人所特有的一項或多項的身體性、生理性、遺傳性、精神性、經濟性、文化性或社會性身份而被識別的個體。參見GDPR第4條第1款。對數據的掌控力也大大削弱，個人數據（例如個人的政治觀點、通話記錄和社交賬號等）一旦被非法獲取、泄露和濫用，將導致嚴重的后果。這就表明，個人數據保護已成為一個不可規避的全球性問題。當然，過于嚴格的數據隱私保護模式將成為阻礙數據流動的壁壘，使企業面臨巨大的法律風險，用戶也無法享受數據流動帶來的便利。

美國和歐盟同為發達經濟體，其信息通信技術及產業發展水平卻有著較大差異。美國是這一領域的全球領跑者，2019年《全球云基礎設施服務市場排行》顯示，美國的亞馬遜、微軟和谷歌公司分別是全球排名前三的云服務提供商。Canalys， “Global Cloud Infrastructure Market Q4 2019 and Full Year 2019”， https：//www.canalys.com/newsroom/canalys-worldwide-cloud-infrastructure-Q4-2019-and-full-year-2019， 20200204.歐盟的數字技術發展遠遠落后于美國和中國，中美占全球70個最大數字平臺市值的90%，而歐洲所占份額僅為4%。United Nations， “Digital Economy Report 2019， Value Creation and Capture： Implications for Developing Countries”， https：//unctad.org/system/files/official-document/der2019_en.pdf， p.xvi.歐盟高度依賴外部云服務提供商，缺乏數據處理和大數據分析能力。European Commission， “A European Strategy for Data”， https：//ec.europa.eu/info/sites/info/files/communication-european-strategy-data-19feb2020_en.pdf， 20200219， pp.911.因此，在美歐跨境數據傳輸中，由于美國擁有技術優勢，大量歐盟數據流向美國。例如，2012年6月，微軟Hotmail、谷歌Gmail和雅虎Mail來自歐洲國家的獨立訪客總數超過2.27億，超過了所有其他供應商。2012年3月，訪問臉書和臉書手機版的獨立歐洲用戶總數為1.965億，這使臉書成為歐洲最大的社交網絡。參見European Commission， “Rebuilding Trust in EU-US Data Flows”， https：//eur-lex.europa.eu/legal-content/EN/TXT/？uri=CELEX%3A52013DC0846， 20131127， p.3。這一態勢決定了美國和歐盟對跨境數據流動隱私保護采取了不同的立法模式和標準。

美國沒有制定統一的個人信息保護法典，而是在《兒童在線隱私保護法》《健康保險攜帶和責任法案》等不同領域的立法中分別加以規定。這一模式可以避免因“一刀切”而對企業施加過多的限制，減少立法干預，以便充分發揮技術優勢。同時，美國確立了重數據自由流動而輕政府監管的路徑，奉行以市場為主導、以行業自律為中心的信息隱私政策。孔令杰：《個人資料隱私的法律保護》，武漢大學出版社，2009年，第145頁。該模式對個人數據隱私保護的力度較小，認證門檻相對較低，有利于促進數據自由流動。以美國主導建立的亞太經合組織（APEC）跨境隱私規則體系為例，企業以自愿為原則，通過自我評估和問責代理機構評估后即可獲得認證，獲得認證的企業相互之間可以自由傳輸數據，其實質是強制加入國放棄其國內的高保護水平，轉而認同美國較低的保護水平。洪延青：《美國快速通過CLOUD法案 明確數據主權戰略》，《中國信息安全》，2018年第4期，第35頁。此外，根據2018 年頒布的《澄清境外數據合法使用法案》（CLOUD法案），美國通過“數據控制者標準”對境外數據確立了“長臂管轄權”，使美國政府可以合法地批量獲取來自全球的數據。概言之，美國模式具有強烈的保護企業商業利益的色彩和自由市場體制特征，政府監管力度小，對個人數據的隱私保護較為寬松，這降低了進行數據跨境流動的門檻，有利于使全球跨境數據最大程度地流向美國。

與之相對的是，歐盟極為強調個人數據流動中的隱私權保護，確立了統一的、系統化的立法模式，將權利明確賦予數據主體，強調政府自上而下的監管作用。1995年，歐洲議會與歐盟理事會頒布了《關于涉及個人數據處理的個人保護以及此類數據自由流動的第95/46/EC號指令》（簡稱《個人數據保護指令》），明確規定成員國應當保護與個人數據處理相關的隱私權。2000年歐盟頒布的《歐洲聯盟基本權利憲章》是全球第一份將數據保護列為一項基本人權的法律文件。Robert Walters， Leon Trakman and Bruno Zeller， Data Protection Law： A Comparative Analysis of Asia-Pacific and European Approaches， Springer， 2019， p.47.2018年5月25日，歐盟又通過了《通用數據保護條例》（GDPR），使之取代《個人數據保護指令》成為歐盟對個人數據保護問題的統一立法，通過賦予數據主體更多權利、對數據控制者實施更加嚴格的限制以及成員國全面遵守該條例并轉化為國內法加以實施的義務，進一步加強了對公民數據和隱私的保護。

根據歐盟相關立法，個人數據可通過三種方式傳輸出境：其一，當第三國對歐盟個人數據的保護水平實質上等同于歐盟內部確保的保護水平時，由歐盟委員會通過一個“充分性決定”（Adequacy Decision）認定該國已達到充分保護標準，允許將歐盟公民的個人數據傳輸給該國。參見GDPR第44條、第45條第1款、第101條和第104條。“充分性決定”是一個白名單機制，目前僅有13個國家（或司法管轄權）獲得認證，包括安道爾、阿根廷、加拿大（僅限商業組織）、法羅群島、根西島、以色列、馬恩島、澤西島、新西蘭、瑞士、烏拉圭、美國（如果數據接受者適用《隱私盾協議》）、日本（2019年1月，歐日達成個人數據跨境傳輸充分性框架）。另外，歐盟與韓國之間的充分性決定談判于2021年3月30日結束，歐盟委員會將在歐盟內部的相應程序完成后正式做出針對韓國的充分性決定。其二，通過“標準合同條款”和“有約束力的公司規則”等例外措施，在確保有關數據得到適當保護的前提下允許將個人數據傳輸出境。“標準合同條款”和“有約束力的公司規則”均為企業自愿加入機制。前者是歐盟委員會根據歐盟個人數據保護規則制定的標準合同，一旦公司簽署合同，就負有遵照合同向個人數據主體提供保護的義務;后者是歐盟委員會針對跨國企業制定的規則體系，通過認證的跨國企業可以在其集團內部自由傳輸個人數據。 其三，歐盟還規定了在獲得用戶明確同意或為公共利益考慮等特殊情況下的減損條款，允許將歐盟個人數據傳輸出境。通過上述規定，歐盟確立了高水平的隱私保護標準，并且通過“充分性決定”等“傳導機制”撬動其他意圖獲得歐盟個人數據的國家，使之達到或者至少接近歐盟對數據和隱私的高水平保護標準。

美歐在跨境數據流動規則上的分歧，既體現了雙方在數據和隱私保護問題上的理念差異，同時也直接關涉美歐圍繞科技和產業主導地位的競爭。為此，美歐在跨境數據流動領域進行了多輪博弈。

第一輪博弈體現為美歐在2000年簽訂《安全港協議》（Safe Harbor Framework）前后展開的較量。由于1998年正式生效的歐盟《個人數據保護指令》禁止將個人數據傳輸到未提供“充分保護”的第三國，美國政府在商業利益的驅動下主動提出了“安全港建議”并與歐盟展開談判，以期解決二者在規則上的差異。2000年12月，美歐簽訂了第一份個人數據傳輸協議《安全港協議》，歐盟委員會在此基礎上作出了《安全港決定》，認定美國可以為歐盟公民的數據提供充分保護。《安全港協議》參照《個人數據保護指令》制定了七項隱私原則，這些原則要求：收集個人數據的企業必須通知個人其數據被收集，并告知他們將對數據所進行的處理，企業必須得到允許才能把信息傳遞給第三方，必須允許個人訪問被收集的數據，并保證數據的真實性和安全性以及采取措施保證這些條款得到遵從。自愿選擇加入《安全港協議》的美國企業必須遵守這些原則并提出具體落實方案;同時，歐盟在政府機構的監管方面采取了嚴格的態度，根據美國的隱私保護政策不受政府機構監管的美國企業（如電信業、銀行業等）不得加入該協議。可以說，《安全港協議》是美國向歐盟隱私保護制度的首次讓步。

2013年美國“斯諾登事件”的爆發使美歐在數據保護問題上陷入了信任危機，并因此展開了雙方的第二輪博弈。根據美國國家安全局職員愛德華·斯諾登（Edward Snowden）曝光的絕密文件，美國長期對本國及其他國家的通信開展大規模秘密監控，包括直接從微軟、蘋果、谷歌、臉書等9個互聯網巨頭的服務器收集信息;監控對象不僅包括美國公民，還包括在美國境外使用上述公司服務的客戶。美國的大規模網絡監控和對公民隱私權的嚴重侵犯受到了國際社會的廣泛譴責，歐盟委員會也聲稱美國的大規模監控行為是“不可接受的”，要求美國立刻采取補救措施，重新討論并改進《安全港協議》的內容，讓歐盟重拾對美國政府的信任。European Commission， “Rebuilding Trust in EU-US Data Flows”， https：//eur-lex.europa.eu/legal-content/EN/TXT/？uri=CELEX%3A52013DC0846， 20131127， pp.27.

受“斯諾登事件”影響，奧地利公民馬克西米利安·施雷姆斯（Maximillian Schrems）于2013年6月25日向愛爾蘭數據保護監管機構提出申訴，以歐盟個人數據因美國政府的監控行為而無法得到充分保護為由，要求禁止臉書愛爾蘭公司將有關個人數據傳輸至其美國總部。相關行政和司法程序的結果是，愛爾蘭高等法院請求歐盟法院對歐盟委員會《安全港決定》的效力加以確認，因為這直接決定著美國公司能否繼續依據《安全港協議》向美國傳輸歐盟用戶的個人數據。歐盟法院于2015年10月6日作出判決，推翻了《安全港決定》關于美國可以為歐盟個人數據提供充分保護的認定，美歐《安全港協議》由此歸于無效。隨后，經過雙方的緊急磋商，美國政府向歐盟委員會出具了書面承諾，保證將對其“出于公共利益獲取和使用個人數據”的行為加以限制并提供救濟措施，包括承諾建立一個新的國家安全干預監督機制，即獨立于美國情報部門的“隱私盾監察員”。在此基礎上，美歐于2016年7月達成第二份跨境數據傳輸協議，即《隱私盾協議》（Privacy Shield Framework），歐盟委員會也據此做出了美國可以對傳輸至美國的個人數據提供充分保護的《隱私盾決定》。《隱私盾協議》對個人數據隱私保護的標準比《安全港協議》更為嚴格，不僅規定美國情報機構以國家安全為由從歐盟采集個人數據時必須受到約束和限制，還新增了年度聯合審查機制，防止美國政府和企業不履行協議的內容。

《隱私盾協議》的簽訂是美國向歐盟隱私保護制度的第二次讓步。但是，這并未使美歐之間圍繞跨境數據流動規則的博弈和爭奪風平浪靜。早在《安全港協議》被判無效后的2015年12月1日，施雷姆斯就再次向愛爾蘭數據保護監管機構提出申訴，認為臉書愛爾蘭公司即便根據“標準合同條款”向美國總部傳輸歐盟的個人數據，也無法確保這些數據得到充分保護。2017年10月3日，愛爾蘭高等法院對美國的相關法律和措施進行審查后認為，美國沒有為歐盟公民提供實質上等同于歐盟的保護水平，這與2016年7月歐盟委員會《隱私盾決定》得出的結論不符。為此，愛爾蘭高等法院請求歐盟法院對“標準合同條款”和《隱私盾決定》的效力加以確認，由此揭開了美歐之間新一輪博弈的“大幕”。

二、 《隱私盾協議》被判無效案件的主要法律問題

2020年7月16日歐盟法院作出的判決，盡管沒有否定根據“標準合同條款”向美國傳輸歐盟個人數據的合法性，但卻認定美國未能提供實質上等同于歐盟的保護水平，歐盟委員會的《隱私盾決定》以及美歐之間的《隱私盾協議》無效。這一判決作為美歐跨境數據流動規則博弈的最新表現，引發了國際社會的廣泛關注。對該判決涉及的主要法律問題進行分析，有助于深入理解美歐跨境數據規則博弈的態勢和未來走向。

歐盟法院的審查主要圍繞《隱私盾決定》第1條第1款進行，歐盟委員會在該款中認定美國為歐盟個人數據提供的保護水平實質上等同于歐盟內部確保的保護水平，因而其可以為相關歐盟數據提供充分的保護。美國政府對傳輸到美國的個人數據開展情報活動所依據的法律法規是《外國情報監視法》第702條和第12333號行政命令，第28號總統政策指令（PPD28《信號情報活動》）則規定了美國實施信號情報活動所應遵守的程序和限制，對美國情報部門具有約束力。參見歐盟法院判決（C311/18，Judgment：ECLI：EU：C：2020：559）第45，60段。歐盟法院從兩個方面對美國的保護水平進行了分析。

首先，美國對歐盟個人數據開展的情報活動是否符合比例原則？

《歐洲聯盟基本權利憲章》（以下簡稱《憲章》）第7條規定：“人人均有權要求尊重其私人與家庭生活、住居及通信。”該《憲章》第8條第1款規定：“人人均有權享有個人信息之保護。”雖然第7條和第8條所保護的權利不是絕對的，可能會因國家安全或公共利益等因素受到限制，但根據《憲章》第52條第1款的規定，對《憲章》所規定權利的限制必須符合“比例原則”，即只有在具有必要性且符合歐盟承認的一般權利的目的或需要保護他人的權利和自由時，才可以對權利加以限制。根據歐盟的判例法，比例原則要求對歐盟個人信息權和隱私權進行限制的立法必須明確規定限制措施的范圍和適用，并且明確規定最低限度的保障措施。參見歐盟法院判決（C311/18，Judgment：ECLI：EU：C：2020：559）第175176段。判例法參見Opinion 1/15 （EU-Canada PNR Agreement） of 26 July 2017（EU：C：2017：592）第140141段。

《外國情報監視法》第702條允許美國情報部門在政府的監督下收集有關國際恐怖分子、武器擴散者和位于美國境外的其他重要外國情報目標的關鍵情報。這一規定被美國政府視為最有效的外國情報工具之一，也是其至關重要的國家安全工具。The White House， “Statement by the President on FISA Amendments Reauthorization Act of 2017”， https：//wwwwhitehousegov/briefings-statements/statement-president-fisa-amendments-reauthorization-act-2017/， 20180119.根據《外國情報監視法》設立的“外國情報監控法院”，其主要任務是根據司法部部長和國家情報總監提交的年度證明對“棱鏡計劃”等特定監控計劃加以審查，核實這些監控計劃是否出于獲取外國情報信息的目的。歐盟法院對《外國情報監視法》第702條進行分析后認為，美國外國情報監控法院并不審查“個人是否被適當地作為獲取外國情報信息的目標”，且第702條未規定對政府監控計劃的限制，對于監控計劃所針對的非美國人也未規定相應的保障。參見歐盟法院判決（C311/18，Judgment：ECLI：EU：C：2020：559）第179段。因此，基于《外國情報監視法》第702條實施的監控計劃不符合比例原則，無法為歐盟個人數據提供充分保護。

對于第12333號行政命令，歐盟法院指出，該行政命令沒有賦予美國法院對政府部門進行強制執行的權利。由于根據第12333號行政命令實施的監控計劃必須符合第28號總統政策指令的要求，因此需要將兩項命令結合起來分析。第28號總統政策指令允許情報部門在不使用與特定目標有關的識別碼的情況下“批量”收集情報信息或數據，這將使根據第12333號行政命令實施的監視計劃可以在不受任何司法審查的情況下獲取傳輸至美國的數據。歐盟法院認為，美國未明確地界定這種大規模收集情報信息或數據行為的范圍，違反了比例原則。參見歐盟法院判決（C311/18，Judgment：ECLI：EU：C：2020：559）第182184段。

其次，美國是否為權利可能受到侵犯的歐盟數據主體提供了“有效的行政和司法救濟”？

《憲章》第47條規定，當權利受到侵犯時，人人均有權在法庭上獲得有效救濟，數據主體必須擁有向獨立、公正的法庭提起法律訴訟的權利。為了強化對這一權利的保障，GDPR第45條規定，歐盟委員會在評估第三國的保護水平是否充分時，應特別考慮“對個人數據被轉移的數據主體的有效行政和司法救濟”。歐盟法院認為，在個人數據被傳輸至第三國的情況下，有效的救濟措施尤為重要，因為歐盟成員國的行政和司法當局往往沒有足夠的權力對數據主體提出的投訴采取有效行動，數據主體不得不求助于該第三國的國家當局和法院。參見歐盟法院判決（C311/18，Judgment：ECLI：EU：C：2020：559）第189段。

第28號總統政策指令和第12333號行政命令均未授予數據主體在法庭上對美國當局提起訴訟的權利。參見歐盟法院判決（C311/18，Judgment：ECLI：EU：C：2020：559）第192段。為了調和雙方法律差異、滿足歐盟的要求，美國在《隱私盾決定》的附件中承諾設置隱私盾監察員制度。隱私盾監察員獨立于美國情報部門，直接向美國國務卿報告，國務卿確保監察員客觀地履行其職能。但歐盟法院審理后認為，隱私盾監察員制度存在缺陷。首先，隱私盾監察員是美國國務院的一個組成部分，由美國國務卿任命，美國沒有對監察員的任免問題提供任何特定的保證，導致該制度的獨立性存疑。其次，沒有證據證明，隱私盾監察員可以作出對情報部門有約束力的決定。參見歐盟法院判決（C311/18，Judgment：ECLI：EU：C：2020：559）第195196段。隱私盾監察員制度不屬于《憲章》第47條所要求的獨立、公正的法庭，美國并未提供實質上等同于歐盟內部的保護水平。

綜上所述，歐盟法院認為，歐盟委員會在《隱私盾決定》第1條第1款中認定美國提供了充分的保護，這不符合《憲章》第7條、第8條、第47條以及GDPR第45條的要求，該決定應屬無效，基于該決定達成的《隱私盾協議》也隨之無效。

需要看到的是，《隱私盾協議》無效判決并非2015年《安全港協議》無效判決的簡單“重演”。盡管《安全港協議》無效判決中簡要提及了“美國政府部門普遍獲取電子通信內容的行為超出了保護國家安全的嚴格必要和相稱性的程度，位于歐盟的數據主體無法得到行政和司法救濟”參見歐盟法院判決（C362/14，Judgment ：ECLI：EU：C：2015：650）第9395段。 ，但并未對美國有關監控的立法進行詳細審查，也未對比例原則等進行解釋和具體運用，而主要是基于協議本身存在的缺陷（如未要求美國達到與歐盟實質上相同的個人數據保護水平）將之判定為無效。參見歐盟法院判決（C362/14，Judgment ：ECLI：EU：C：2015：650）第82，83，86段。 但在《隱私盾協議》無效判決中，歐盟法院卻對美國國內有關監控的立法和政策進行了詳細審查和質疑。這意味著，如果美國想要與歐盟再次達成個人數據傳輸協議，很可能需要對其監控立法和政策進行修改，或者至少進行更為嚴格的限制。該判決還詳細揭示了歐盟在審查第三國的數據保護水平、確定歐盟個人數據能否被傳輸到該第三國時所考慮的因素，這對美國以外的其他國家同樣具有很大的參考價值。判決表明，第三國是否提供了實質上等同于歐盟內部確保的保護水平是法院審查的出發點，比例原則和數據主體向法庭提起訴訟的權利是法院審查的重點。

根據歐盟法院的判決，“標準合同條款”可以確保歐盟個人數據得到充分保護，因而在《隱私盾協議》無效后，美國企業仍可選擇通過“標準合同條款”等機制進行數據傳輸。但是，由于第三國的當局不是“標準合同條款”的當事方，“標準合同條款”無法對第三國的當局產生約束力，企業所在國的監控立法和政策將對該企業的保護水平造成極大的影響，即便企業提供了保障措施，也難以抗衡當局的監控立法和政策。正如一位德國數據保護機構的官員所言：“如果《隱私盾協議》無效主要是由于美國不斷升級的間諜活動，那么同樣的情況也一定適用于標準合同條款。”Vincent Manancourt， “EUs Rejection of US Surveillance also Tests Its Commitment to Privacy”，https：//www.politico.eu/article/rejection-of-us-surveillance-tests-eu-mettle-on-privacy-shield/， 20200716.在此情況下，歐盟內部對通過“標準合同條款”向美國傳輸數據的質疑和法律挑戰很可能仍將繼續，除非美國對其監控立法和政策做出修改或加大限制。

總之，在《隱私盾協議》無效判決中，歐盟借助剛開始生效不久的GDPR又一次對美國數據保護水平提出了強有力的挑戰，并發出了堅定捍衛歐盟數據和隱私保護標準的信號。在前兩次博弈的過程中，美國雖不斷作出讓步但都未涉及對國內法的修改，但面對此次判決，美國有可能不得不考慮對監控立法和政策進行修改。美國國會研究服務部在一篇報告中指出，面對《隱私盾協議》無效判決，美國國會可以作出的選擇之一是制定在一定程度上符合GDPR要求的全面的國家隱私立法，這可以使美國不再需要考慮與歐盟訂立數據流動協議。③The Congressional Research Service， “U.S.-EU Privacy Shield”， August 6， 2020（ IF 11613 VERSION 2）.

三、 《隱私盾協議》無效判決的影響

《隱私盾協議》無效判決，有可能對美歐乃至全球跨境數據流動的國際合作與博弈產生深遠影響。

（一）對美歐跨境數據流動合作造成打擊

《隱私盾協議》無效判決帶來的最直接的影響是對美歐跨境數據流動合作造成了打擊，特別是增加了美國科技企業進行個人數據傳輸的合規成本，從而將對這些企業在歐盟的經營產生較大的影響。

截至2020年7月，共有5380家企業和組織自愿加入《隱私盾協議》。③《隱私盾協議》被判無效后，如果這些企業和組織繼續基于《隱私盾協議》將歐盟用戶的個人數據傳輸至美國，將違反歐盟法律，它們不得不尋找其他的機制來替代《隱私盾協議》。對于美國而言，相關企業和組織不得不付出更多合規成本，與歐盟本土公司相比競爭力將下降。同時，這種法律不確定性可能會阻礙云計算和大數據等數字服務的發展。在數字經濟時代，個人數據已成為一項極具價值的資產，2020年歐盟公民數據的估計價值為近1萬億歐元。Boston Consulting Group， “The Value of Our Digital Identity”， https：//www.bcg.com/en-kr/publications/2012/digital-economy-consumer-insight-value-of-our-digital-identity， 20121120.美國科技企業具有技術優勢，而無法進行數據傳輸將影響美國電子通信和數據處理服務，給美國的數字經濟發展造成損失。美國的一些銀行、律師事務所和其他商業實體也會受到波及，它們在向歐盟客戶銷售產品時通常會獲得一些個人數據，《隱私盾協議》無效后，這些個人數據將難以被獲取。

當然，這一判決也會使歐盟對數字服務的利用受到影響，歐盟的科技公司和大學無法再使用基于《隱私盾協議》開展的美國云服務，歐盟的醫院也無法使用位于歐盟境外的呼叫中心。同時，判決還將對歐盟的經濟造成影響。早在《安全港協議》無效判決做出時，就有研究認為，美歐間的數據流通受阻將會造成歐盟的整體國民生產總值下降0.8%～1.3%。Yann Padova，“The Safe Harbour Is Invalid ： What Tools Remain for Data Transfers and What Comes Next？” International Data Privacy Law， 2016， 139（6）， p.140.

（二）有助于歐盟奪回技術主權

在以往的美歐跨境數據傳輸活動中，美國因掌握技術優勢，歐盟不得不處于被動受制地位。美國科技企業占據了大量市場份額，阻礙了歐盟本土科技公司的發展，減少了歐盟的數字經濟收入。同時，個人數據被傳輸到美國后，歐盟公民在一定程度上失去了對其個人數據的控制，歐盟及其成員國的執法能力也受到了制約。這種被動地位引發了歐盟的擔憂。為了扭轉這一局面，2020年2月，歐盟委員會連續發布了《塑造歐洲數字未來》《歐洲數據戰略》和《人工智能白皮書》三份數字轉型戰略文件，表達了歐盟對于建立統一的規范化數字市場、把握數字經濟主權的強烈愿望。歐盟委員會主席烏爾蘇拉·馮德萊恩指出，歐洲要奪回“技術主權”（tech sovereignty），這意味著歐洲必須有能力根據自己的價值觀并遵守自己的規則來做出自己的選擇。Ursula von der Leyen， “Shaping Europes Digital Future”， https：//moderndiplomacy.eu/2020/02/21/shaping-europes-digital-future/， 20200221.

本案中，對隱私和監控等方面的要求都來自歐盟，歐盟根據自己的價值觀并遵守自己的規則做出了自己的選擇。同時，由于判決增加了相關企業進行跨境數據傳輸的困難，部分企業不得不考慮實行數據本地化，這可以使企業無須再考慮所屬國與歐盟之間的法律差異問題，減少相應的成本，同時也將有助于歐盟實現“數字主權”戰略。歐盟數字轉型戰略文件《歐洲數據戰略》的實際主導人、現任歐盟內部市場專員蒂埃里·布雷頓（Thierry Breton）認為：“留住數據、用好數據就是歐盟企業成功的關鍵。”洪延青、朱玲鳳、張朝等：《歐盟提出“技術主權”概念 引領歐盟數字化轉型戰略》，《中國信息安全》，2020年第3期，第70頁。目前，歐盟大力支持建設歐洲數據云計算平臺“GAIA-X”，以提高歐盟在歐洲大陸存儲數據的能力。Vincent Manancourt， “The Demise of Privacy Shield May Be the End of US-Europe Data Transfers”， https：//www.politico.eu/article/privacy-shield-is-dead-long-live-data-localization/， 20200803.判決作出后，柏林數據監管機構的負責人表示：“為了方便或節省成本而將個人數據傳輸到美國的時代在這一判決之后已經結束。現在是歐洲數字獨立的時候了。”Vincent Manancourt， “EUs Rejection of US Surveillance also Tests Its Commitment to Privacy”， https：//www.politico.eu/article/rejection-of-us-surveillance-tests-eu-mettle-on-privacy-shield/， 20200716.自主掌控數據信息是歐盟“技術主權”戰略的目標之一。忻華：《“歐洲經濟主權與技術主權”的戰略內涵分析》，《歐洲研究》，2020年第4期，第5頁。判決使歐盟對數據的保護、管理和控制力大為加強，改變了歐盟的被動地位，是歐盟未來追求數字科技領域世界領先地位的基礎。

（三）使歐盟模式在美歐博弈中占據主動權

在跨境數據規則博弈中，歐盟采取了重視個人數據和隱私權利保護的模式，對數據出境設置了較高的門檻，美國則采取了重視數據自由流動、輕政府監管的模式，對個人數據隱私保護的力度較小。

《隱私盾協議》無效判決使歐盟模式的國際影響力得以提升。歐盟委員會明確表示，要在國際上推廣歐盟關于數據收集、處理和傳輸的規則。European Commission， “Rebuilding Trust in EU-US Data Flows”， https：//eur-lex.europa.eu/legal-content/EN/TXT/？uri=CELEX%3A52013DC0846， 20131127， p.9.《隱私盾協議》無效判決向其他國家展示了歐盟GDPR所代表的高標準數據隱私保護及審查機制，并且借助“必須實質上等同于歐盟內部確保的保護水平”這一前提，迫使意圖與歐盟開展跨境數據流動合作的其他國家不得不向歐盟模式看齊，并提供相應的保證。由此，適用歐盟模式的國家和地區將逐漸增多。這正是歐盟憑借其巨大的市場資源形成的單方面監管全球市場的能力，即所謂的“布魯塞爾效應”，表現為跨國公司為了避免對數據流動造成代價高昂的中斷，而選擇根據歐盟規則調整其數字隱私政策。臉書公司的首席執行官馬克·扎克伯格（Mark Zuckerberg）是GDPR的支持者，他曾表示：“我們打算在世界各地提供所有相同的控制，而不僅僅是在歐洲。”Josh Constine， “Zuckerberg Says Facebook Will Offer GDPR Privacy Controls Everywhere”， https：//techcrunch.com/2018/04/04/zuckerberg-gdpr/， 20180405.包括蘋果、谷歌和微軟在內的許多全球科技公司已經采用了與GDPR類似的全球隱私政策。European Council on Foreign Relations， “Broken Shield： Privacy versus Surveillance in Europe”， https：//ecfr.eu/article/commentary_broken_shield_privacy_versus_surveillance_in_europe/， 20200730.盡管美歐下一步將達成何種談判結果還有待確定，但越來越多的公司面對目前歐盟逐漸加大隱私保護力度的情況，已主動向歐盟模式看齊，這恰恰表明此次判決推動了跨境數據流動規則領域的“布魯塞爾效應”。

《隱私盾協議》無效判決也是對美國倡導的自由流動模式的制衡。該判決向國際社會展示了歐盟對個人數據隱私保護的重視，之后其他國家的數據業務將經過歐盟更加嚴格的審查。2020年11月，歐盟結合判決陸續發布了《關于補充傳輸機制以確保遵守歐盟個人數據保護標準的建議》《針對監控措施的關于歐盟重要保障的建議》和《歐盟標準合同條款》草案，對“充分保護”的評估要素、數據主體應獲得有效的救濟和比例原則等規定進行了再次強調。顯然，這將推動各國重視和加強對數據隱私權的保護。即便是高舉“支持跨境數據自由流動，反對數據本地化措施”大旗的美國，也不得不更加關注如何糾正歐盟法院指出的美國監控法存在的缺陷。

總之，《隱私盾協議》無效判決進一步加劇了美歐在數字貿易領域的緊張關系，并將產生深遠的影響。美國商務部部長威爾伯·羅斯（Wilbur Ross）聲稱對這一判決“深感失望”，美國將繼續與歐盟就此事保持密切聯系，“希望將對高達7.1萬億美元的跨大西洋經濟關系的負面影響降到最低”U.S. Department of Commerce， “U.S. Secretary of Commerce Wilbur Ross Statement on Schrems II Ruling and the Importance of EU-US. Data Flows”， https：//20172021.commerce.gov/index.php/news/press-releases/2020/07/us-secretary-commerce-wilbur-ross-statement-schrems-ii-ruling-and.html， 20200716.。盡管美歐將得出何種談判結果還有待確定，但這很可能將迫使美國繼續向歐盟隱私保護制度作出讓步。從美歐在跨境數據流動領域進行的三輪博弈可以看出，美國不得不接受越來越高的隱私保護標準，向歐盟隱私保護制度作出更多讓步，美國隱私保護規則對歐盟的影響和制約變小，歐盟正逐漸掌握主導權。

四、 美歐博弈下我國的處境和對策

面對美歐在跨境數據流動規則領域勢必長期存在的博弈，有必要對我國的處境及對策加以深入探究。

（一）跨境數據流動規則博弈中的中國處境

隨著過去二十多年互聯網在中國的迅猛發展，我國已經成為綜合實力僅次于美國的網絡大國、數據資源大國和全球數據中心。阿里巴巴、騰訊、字節跳動等互聯網公司已建成具有國際領先水平的大數據存儲與處理平臺，在跨境網絡支付、跨境電子商務、信息網絡服務等應用領域居于全球領先地位。2020年我國數據總量有望達到8000EB，占全球數據總量的21%。參見馬其家、李曉楠：《論我國數據跨境流動監管規則的構建》，《法治研究》，2021年第1期，第92頁。不過，我國政府和企業近年來頻頻在跨境數據流動領域受到抹黑、打壓和無端限制。例如，2020年美國、印度等國正是以TikTok 和 Wechat 涉嫌未經許可將國外用戶個人信息傳輸到中國、有可能損害他們的國家安全為由，試圖禁止上述產品的使用。

《隱私盾協議》無效判決所推動的跨境數據流動規則博弈態勢對中國而言利弊并存。該判決所體現的數據流動中的高標準隱私保護，在一定程度上代表了數據治理的未來發展趨勢，值得我國重視和借鑒。同時，判決也進一步揭開了美國政府通過大規模網絡監控肆意侵犯他國公民數據隱私權的面目，揭示了美國濫用“國家安全”借口、推出所謂的“清潔網絡”計劃打壓中國科技企業的虛偽性。但也必須看到，過高的隱私保護標準將會加重數字技術型公司的運營成本，不利于我國企業開展數字貿易。

與美歐相比，我國跨境數據傳輸規則的制定起步較晚，尚未形成一套清晰、完整的規則體系，各項規范仍在探索中。當前，中國跨境數據規則為分散立法模式。涉及跨境數據流動的現行規范主要有《中華人民共和國網絡安全法》《人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知》和《信息安全技術公共及商用服務信息系統個人信息保護指南》等，但真正聚焦于跨境數據流動問題的立法大多處于草案狀態，例如《中華人民共和國數據安全法（草案）》《個人信息出境安全評估辦法（征求意見稿）》和《中華人民共和國個人信息保護法（草案）》。針對跨境數據隱私保護的條款十分匱乏，缺乏透明度，數據主體擁有的權利未得到明確。從內容上看，我國目前采取的是以保障數據主權和數據安全為前提的跨境數據流動模式，實行“安全評估”制度，主張實施一定的數據本地化措施，優先保護國家安全，對數據跨境流動的限制較為嚴格。2017年3月，外交部和國家互聯網信息辦公室聯合發布了《網絡空間國際合作戰略》，指出要在國家主權基礎上構建公正合理的網絡空間國際秩序。2020年9月，中國在《全球數據安全倡議》中表示要構建和平、安全、開放、合作、有序的“網絡空間命運共同體”，各國應尊重他國主權、司法管轄權和對數據的安全管理權。但是，由于相關配套規則的缺位，有關規則和實踐引發了一些反對數據本地化國家的誤解。上述問題的存在，使中國跨境數據流動規則難以產生國際影響力，中國企業在開展跨境數據商業活動時容易遭到其他國家的質疑和阻礙，從而導致與中國達成互信、簽訂數據跨境流動協議的國家較少。

（二）中國的對策

基于中國在跨境數據流動規則博弈中的處境，如何合理借鑒其他國家的成熟經驗，立足于我國的現實關切并綜合考慮其他國家的利益需求，構建一個契合網絡空間命運共同體理念、有可能得到普遍認可的 “中國模式”，推動平衡有序的數據跨境流動，已經成為我國亟須面對的一個重大問題。

首先，我國需要著眼于實現國家安全、數據隱私保護和促進經濟發展三者的平衡，對跨境數據流動國內立法進行完善。

美國的“斯諾登事件”表明，數據存在被他國非法竊取的風險，跨境數據尤其如此。因此，鑒于當前復雜的國際關系，我國仍然需要堅持總體國家安全觀，將國家安全作為數據流動的前提，防止其他國家非法獲取我國重要數據并對我國國家利益造成損害。2020年9月，中國提出了《全球數據安全倡議》，呼吁各國反對利用信息技術破壞他國關鍵基礎設施或竊取重要數據，以及利用其從事危害他國國家安全和社會公共利益的行為。我國《網絡安全法》確立了安全評估制度，但是，由于缺乏對相關定義的解釋和實施細則，該制度被一些國家認為缺乏透明度。2019年6月，國家互聯網信息辦公室頒布了《個人信息出境安全評估辦法（征求意見稿）》，對安全評估制度的評估部門、評估材料和評估內容等進行了詳細規定。實際上，我國安全評估制度并非僅限于評估是否損害國家安全和公共利益，還包括評估是否能充分保障個人信息主體的合法權益。對于不能或難以維護個人信息主體的合法權益的網絡運營者，網信部門可以要求暫停或終止向境外提供個人信息。這與本案中歐盟委員會評估“第三國是否能為歐盟個人數據提供充分保護”相類似。《個人信息出境安全評估辦法（征求意見稿）》不僅有利于消除他國對我國安全評估制度的誤解，也有利于進一步防止他國非法竊取我國重要數據，維護我國國家安全和公民權益。

概而言之，我國應繼續堅持“安全評估”制度，對重要數據的跨境流動采取謹慎態度，將國家安全、個人隱私、產業安全作為數據出境的前提，加快制定和通過《個人信息出境安全評估辦法（征求意見稿）》和《數據安全管理辦法（征求意見稿）》等具有可執行性和透明度的實施細則。建議對個人數據進行更為明確的分級分類，采取不同的審核和保護標準，例如細分為個人數據、敏感個人數據和關鍵數據。敏感個人數據的出境應獲得用戶同意，且數據處理者應進行風險評估，關鍵數據原則上不允許出境，除非通過安全評估。對于敏感個人數據的傳輸和存儲，有必要進一步明確具體的安全處理措施，例如進行匿名化或加密技術處理。同時，有必要成立專門的個人信息保護應急響應小組，使網信部門可以防止和及時制止破壞網絡安全的行為，發揮政府在跨境數據流動中的治理和管控作用。在加入現有跨境隱私框架時，也應重點考慮該框架是否將有損于我國的監管自主權。以亞太經合組織框架下的跨境隱私規則體系為例，該體系提供了亞太經合組織區域內個人數據保護的最低標準，一旦加入，我國就不得要求獲得該體系認證的數據接收方提供超過該體系的保護水平，這將限制我國對數據出境進行國家安全審查的權利。

鑒于隱私保護在跨境數據流動中的重要性，我國應在立法中對此加以必要的規定。GDPR明確授予數據主體七種權利，即知情權、訪問權、修正權、刪除權（又稱“被遺忘權”）、限制處理權、可攜帶權和拒絕權，并詳細規定了數據處理者和數據控制者應承擔的義務。我國關于數據主體權利和數據處理者義務的規定散見于《網絡安全法》和《信息安全技術個人信息安全規范》等規定中，且一些規定較為模糊，這使得數據隱私保護無法得到充分的重視，數據主體難以獲悉自己的權利并及時獲得救濟，行政執法或司法裁判可能陷于無法可依的境地。

因此，建議采取統一的數據保護立法模式，爭取早日形成統一的、全國性的專門法律，這是增進國際社會對中國跨境數據流動規則模式的信任度和認可度的重要環節。在《隱私盾協議》無效判決中，有三項認定可為我國立法提供借鑒。其一，第三國是否提供了實質上等同于歐盟內部確保的保護水平。這是法院審查的出發點，這一認定突破了數據保護規則的傳統適用范圍，使適用效力擴展至任何處理歐盟個人數據的外國法人，借鑒該認定有利于維護我國公民的數據隱私。其二，統一的數據保護機構。我國立法中缺乏統一的個人信息保護機構，獨立的監督機制也尚未形成。許可、羅嫣、于智精：《歐盟國際數據傳輸新規挑戰我國數據報送制度》，https：//mp.weixin.qq.com/s/PlHUvrAcx26FljQNu-Ga-Q，2020年11月13日。這一制度的缺位將對我國企業在歐盟開展數據傳輸活動造成阻礙。建議在立法中對此進行完善，設立統一的、專門的數據保護機構，依法對個人信息保護問題進行獨立監督，對數據處理者和數據控制者責任的履行進行定期審查和評估，一旦發現違規行為則有權加以阻止。其三，比例原則。該原則不僅能有效限制外國政府對我國個人數據展開情報活動，也能規范我國政府機關調取企業數據的行為，提升行為的合理性。除此之外，《中華人民共和國個人信息保護法（草案）》第42條規定，對于損害我國公民的個人信息權益的境外組織或個人，國家網信部門可以制作“限制或者禁止個人信息提供清單”。這表明我國將構建“黑名單制度”。為了進一步保護數據主體的權利，建議我國建立與“黑名單制度”相配套的域外責任追究機制，追究相關違法者的法律責任，加強警示作用。

但是，我國不宜通過立法設置與歐盟相似的高水平隱私保護標準以及政府單方監管模式，而應采用立法和行業自律雙起效模式，鼓勵信息技術公司在此基礎上制定本公司或行業隱私保護政策，給予企業更多靈活空間。建立可落地實施、具有活力的數據管理秩序，以作為行政監管的補充。與美國的行業自律模式不同的是，由于立法發揮了基礎性作用，政府部門和數據隱私保護機構仍然可以對企業進行有效的監管和監督，可以有效克服美國行業自律模式存在的弊端。這種觀點在《數據安全法（草案）》中得到了體現：該草案第9條規定，國家建立健全數據安全協同治理體系，推動有關部門、行業組織、企業、個人等共同參與數據安全保護工作;第15條規定，除國務院有關部門組織制定數據相關標準外，國家還支持企業、研究機構、高等學校、相關行業組織等參與標準制定。由此可知，《數據安全法》通過和實施后，信息技術公司將發揮越來越重要的作用。

關于經濟發展問題，目前，中國對跨境數據流動的限制較為嚴格，難以滿足我國數字經濟產業發展的需要。中國擁有發展數字經濟的良好基礎，政府應當轉換思維，明確數據的基礎性和戰略性資源作用，營造有利于經濟發展的政策環境，采取一定的措施促進數據自由流動。例如，對內制定企業在數據搜集、處理和分析等方面的專屬稅收優惠政策，并豐富數據合法出境的渠道;對外考慮與其他國家簽訂跨境數據自由流動協議。在制定保護數據隱私的政策時，政府應保持嚴謹的態度，事先進行市場調研，對隱私監管政策可能造成的經濟影響進行準確評估。數據的自由流動是大數據時代的本質需求，只有使數據依法有序地自由流動，才能持續促進數字技術創新，釋放互聯網行業的發展潛力，保障數據流動帶來的巨大的經濟效益。綜上，與美國和歐盟模式側重某一利益保護相比，中國跨境數據流動規則應實現國家安全、數據隱私保護和促進經濟發展三者的平衡，實現對跨境數據多元化和全方位的保護。

其次，我國還應加強國際合作，積極與重要貿易伙伴國達成數據傳輸協定，建立跨境數據流動“朋友圈”，擴大中國模式的影響力。

我國可以考慮借鑒歐盟的“白名單制度”，將符合相關條件、通過相關審查的國家或地區納入可進行數據自由流動的范圍。我國也可以選擇加入現有的區域隱私框架來促進數據自由流動。以加入《全面與進步跨太平洋伙伴關系協定》（CPTPP）為例，雖然CPTPP的跨境數據傳輸條款對數據本地化措施進行了一定的限制，但并未對“合法的公共政策目標”進行具體定義或列舉。CPTPP對數據本地化措施進行限制的規定表現為：第14.11條規定，為了“實現合法公共政策目標”而限制信息跨境傳輸的措施，只有在不構成“任意或不合理歧視或對貿易構成變相限制”以及“不對信息傳輸施加超出實現目標所需限度的限制”的情況下才可以使用;第14.13條規定，任何一方均不得將“在其領土內使用或設置計算設施”作為在其領土內開展業務的條件。這可以使CPTPP的締約方擁有更多的內部監管自主權，時業偉：《跨境數據流動中的國際貿易規則：規制、兼容與發展》，《比較法研究》，2020年第4期，第179頁。是符合我國當前利益的選擇。CPTPP是僅次于北美自由貿易協定和歐盟單一市場的第三大貿易協定。它覆蓋了4.98億人口，簽署國的國內生產總值之和占全球經濟總量的13%。《商務部回應CPTPP：支持建設符合WTO原則的區域自由貿易安排》，http：//www.gov.cn/xinwen/201901/10/content_5356808.htm？_zbs_baidu_bk， 2019年1月10日。加入CPTPP可以有效促進區域內的數據自由流動，有利于我國企業拓寬國際市場，同時提升和鍛造中國參與全球貿易治理的能力。

我國還可以通過與“一帶一路”沿線國家簽訂區域數據流通協議，建立由中國引領的跨境數據流動“朋友圈”。當前，“一帶一路”相關投資已經從傳統的基礎設施項目拓寬至貿易、互聯網等數據密集型行業，而且中國與“一帶一路”沿線國家具有良好的信任基礎，在核心原則上沒有較大分歧，與這些國家簽訂區域數據流通協議不僅具有可行性，還具有多種益處：一是可以促進區域數據自由流動，營造良好的投資氛圍，促進我國數字服務的發展;二是向國際社會釋放我國支持數據自由流動的信號，消除誤解和偏見;三是通過與“一帶一路”沿線國家加強國際合作，可以構建跨境數據流動的信任體系，有利于擴大中國模式在跨境數據流動規則博弈中的影響力，增強話語權;四是簽訂區域數據流通協議有利于先在區域內實現規則趨同，再由此及彼，逐步增強中國模式的國際影響力。

五、 結 語

美國和歐盟較早提出和建立了跨境數據流動規則，在規則制定領域已占據領先優勢。歐盟通過GDPR確立了被稱為“世界上采用最廣泛的個人數據保護模式”，大多數國家在國內立法中都在不同程度上適用其原則。Clare Sullivan， “EU GDPR or APEC CBPR？ A Comparative Analysis of the Approach of the EU and APEC to Cross Border Data Transfers and Protection of Personal Data in the IoT Era”， Computer Law & Security Review， 2019（35）， p.381.美國則通過推動亞太經合組織隱私框架下的跨境隱私規則體系等舉措，旗幟鮮明地支持跨境數據自由流動，反對數據本地化，與其盟友建立了數據流動“朋友圈”。《隱私盾協議》無效判決表明，美歐在跨境數據流動規則領域的博弈已經白熱化并將長期存在。目前來看，歐盟模式已經在博弈中占據了一定主動權，其國際影響力得到了再次提升。

盡管跨境數據流動已成為各國政府近年的核心議題，但歐盟、美國和中國這三個擁有最大數字產業規模的國家或組織選擇了不同的立法模式和標準，這不僅容易引發國家間的貿易摩擦，還增加了企業的合規成本。從長期來看，制定多邊跨境數據流動國際規則具有必要性。掌握國際規則的制定權，將直接助力于在未來的國際商業競爭中占據優勢。與美歐相比，中國跨境數據流動規則的制定起步較晚且存在一些不足之處。目前，我國數字產業規模已居世界前列，需要提出自身的跨境數據流動規則模式，在保護公民數據隱私的同時兼顧國家安全和產業經濟發展。與此同時，我國應通過簽訂區域數據流通協議和加入現有的區域性隱私框架等措施，積極提升中國模式的國際影響力，最終推動構建網絡空間命運共同體，實現各國在網絡空間的合作共贏、共同發展。

The Rule Games between the US and EU on Transborder Data Flows

and Chinas Response： From the Perspective of Invalidation

Judgment of the Privacy Shield Framework

HUANG Zhixiong， WEI Xinyu

Institute of International Law， Wuhan University， Wuhan 430072， China

At present， the international community has not reached a consensus on the rules of transborder data flows. The United States and the European Union take the lead in the relevant rule making， but they have adopted different legislative models and standards between which there are gaps difficult to bridge. To this end， the US and EU have carried out multiple rounds of games in the past 20 years. The judgment of the European Court of Justice in July 2020 that the US can not provide sufficient protection for the EUs personal data and the invalidation of the US-EU Privacy Shield Framework is the latest manifestation of this game. The judgment will have a significant impact on the EUs recapture of technological sovereignty， as well as transborder data flows cooperation and games between the US and EU. Meanwhile， the game situation of rules on transborder data flows promoted by this judgment has both advantages and disadvantages for China. China should focus on the balance of national security， data privacy protection and economic development. The improvement of existing domestic legislation on transborder data flows should be actively promoted. China should also enhance the international influence of “the Chinese pattern”through such measures as joining in the existing regional privacy framework.

transborder data flows; Privacy Shield Framework; game between the US and EU; rule making