歐盟個人數據跨境傳輸治理演進、范式及其鏡鑒

司偉攀

（中國科學技術信息研究所人工智能發展研究中心，北京 100038）

隨著數字技術對社會發展的影響日益擴大，數據已經成為一種重要的戰略資源，屬于新型生產要素。充分利用國內國際兩個市場兩種資源，是盡可能釋放數據生產要素價值、積極拓展數字經濟全球化道路的關鍵。個人數據作為數據的具體類型之一，同樣發揮著其獨特的生產要素價值功能。個人數據是互聯網的“新石油”，也是數字世界的“新貨幣”［1］。據不完全統計，截至2020 年10 月，全球已經有140多個國家和地區制定了個人數據保護方面的法律［2］。開展個人數據跨境傳輸是進一步挖掘其生產要素價值的重要舉措，但國際社會就個人數據跨境傳輸并不存在統一的模式，且基于國家安全、經濟效益和個人權益等因素的考量，個人數據跨境傳輸還展現出了濃厚的地緣政治色彩，聚焦數據主權、產業競爭、權利保護等多元價值之間的復雜博弈突顯，并逐漸形成了不同立場傾向的個人數據跨境傳輸范式，對國際社會數字貿易和服務產生了重要影響。為了保護個人信息權益，規范個人信息出境活動，2023 年2 月，我國出臺了《個人信息出境標準合同辦法》；同年3 月，又公布了《信息安全技術個人信息跨境傳輸認證要求》征求意見稿。在當前中美競爭形勢背景下，深入研究歐盟個人數據跨境傳輸范式，是統籌國內國際兩個大局、加強中歐合作、拓寬我國數字經濟發展空間、發揮數據生產要素價值的重要支撐，不僅有助于我國數字經濟發展更好融入國際市場，也有利于維護國家安全和公民的個人權益，還能進一步完善我國個人數據跨境傳輸制度體系。

1 歐盟個人數據跨境傳輸治理基本演進

1970 年，德國黑森州率先頒布全球首部地方性《數據保護法》，開辟出一個全新的立法領域。隨著信息技術的發展、個人數據經濟價值的顯現以及個人數據跨境傳輸所帶來的風險，以歐盟為代表的國際社會逐漸意識到，有必要通過完善立法構建個人數據跨境傳輸標準。以一些代表性文件的出臺為重要節點，歐盟個人數據跨境傳輸治理大致可以劃分“公約—指令—條例”的演進，但三者之間并非絕對的替代與被替代關系，而是適用效力的升級。

第一，公約。1980 年，經濟合作與發展組織（OECD）［3］發布由歐洲國家主導完成的《關于隱私保護與個人數據跨境流動的指南》，目的是防止歐盟成員國因過于強調對個人數據的保護而限制了其流通，并提出“個人數據跨境流動”的簡明概念，即是指個人數據跨越國境的移動。2013 年，該指南得到了新的修訂，并進一步降低了個人數據跨境流通的門檻。1981 年，歐洲理事會［4］頒布了第一份具有約束力的國際文書——《關于個人數據自動化處理的個人保護公約》（以下簡稱“108 號公約”），以保護個人免受收集、處理個人數據時可能出現的濫用行為的危害，并尋求實現對個人數據跨境流動的同步規制。如其不僅在第12 條對締約國之間的個人數據跨境傳輸設置了若干條件，還強調締約國不得僅以保護隱私之目的而禁止傳輸或設置特別授權條件。但108 號公約的實施過程并不順暢，實踐效果也不盡如人意，至1995 年只有10 個國家批準了公約，另有8 個國家簽署而未批準［5］。為給各國個人信息保護立法提供指引和促進歐洲內部貿易市場的統一發展，歐洲決定實行個人信息保護立法“一攬子”計劃，并頒布了個人信息保護一般框架指令［6］。需要說明的是，108 號公約并未因此廢除，而是經歷了數次修訂，并于2018 年完成最新一次修訂，以適應信息、數字社會的發展。

第二，指令。相較于108 號公約對個人數據跨境傳輸的籠統、原則性規定，1995 年歐洲議會和理事會通過《個人數據保護指令》（DPD），以建立在歐盟成員國具有更高適用效力和個人數據保護標準的法律制度。其第25 條規定，當向第三國傳輸個人數據時，只有該第三國對個人數據的保護達到了歐洲所認可的水平時，才可以實施傳輸行為［7］。DPD 是歐洲在構建統一、專門的個人數據安全保護模式方面邁出的重要一步，表明個人數據安全是不能忽視、直接影響歐洲內部交往的關鍵問題。出臺DPD 的重要目的還在于為個人數據處理中個人基本權利和自由的保護提供統一規定，以及確保個人信息在歐盟成員國之間的跨境流通。之后，以歐盟標準實施個人數據保護的立場又進一步得到了強化。2012 年，歐盟委員會［8］發布的《在互聯世界中保護隱私：面向21 世紀的歐洲數據保護框架》中指出，在個人數據傳輸時，無論位于何地的信息處理者何時向歐盟公民提供商品或服務，均應采用歐盟的保護標準。但在歐盟立法體系中，“指令”（directives）對其成員國不具有直接適用性，而是需要將其轉化為各成員國的內部法，且各成員國對指令的具體轉化還具有一定程度的自由裁量權［9］。另外，20 世紀90 年代是互聯網開始逐步發展的時代，故DPD 帶有鮮明的時代烙印，無法有效應對之后互聯網和信息時代大發展、層出不窮的新技術帶來的個人數據保護新危機。在這種DPD 的具體適用與時代背景之下，歐盟開始謀劃新一代個人數據保護法律規范。

第三，條例。2016 年，歐盟推出了替代DPD 的保護標準更高、規定更為細致、操作性更強的個人數據保護法律——《通用數據保護條例》（GDPR）。“嚴格性”是GDPR 的最顯著特點之一，被認為是全球最嚴的個人數據保護法律，展現了近20 年來數據隱私規則領域發生的最重要變化［10］。GDPR 對數據安全的保護達到了新高度。一是在效力層級方面，GDPR 的效力層級在歐盟是條例（regulation），編號為EU-DSGVO，其效力僅次于憲法［10］。條例一經施行，便成為歐盟各成員國國內法的一部分，具有在各成員國內部直接適用的效力，擁有全面的拘束力［9］。因此，GDPR 的效力位階高于歐盟成員國的國內法。二是在個人數據的處理方面，設置了更為嚴格的處理程序。三是在責任承擔方面，加大了對違反條例行為的處罰力度。而在個人數據跨境傳輸領域，GDPR 所確立的充分性原則、“白名單”制度、長臂管轄權制度等，更是影響了包括我國在內的全球許多國家個人數據保護立法、政策制度或標準的制定，產生布魯塞爾效應。

2 歐盟個人數據跨境傳輸范式價值取向及路徑

歐盟個人數據跨境傳輸標準的制定與出臺有著其深刻的外在和內在現實原因，直接影響了其嚴格的個人數據跨境傳輸范式的構建。

2.1 歐盟個人數據跨境傳輸范式價值取向

2021 年，聯合國貿易和發展會議發布《2021 年數字經濟報告——數據跨境流動和發展：數據為誰流動？》報告，對全球數據跨境流動的發展和政策情況進行深入分析，指出當前全球范圍內以數據驅動的數字經濟表現出極大的不平衡，基于參與數據驅動的數字經濟并從中受益的能力，中美兩國占全球最大數字平臺市值的近90%，兩國最大的數字平臺（蘋果、微軟、亞馬遜、谷歌、臉譜網、騰訊和阿里巴巴）正積極參與全球數據價值鏈的各個環節：基于平臺面向用戶收集數據、通過海底電纜和衛星傳輸數據、建設數據中心存儲數據，以及利用人工智能等技術分析、處理和使用數據［11］。這表明，相對于歐盟而言，中美兩國在數據跨境傳輸領域具有相當的技術優勢和經濟效益優勢。

美國是世界上數字技術能力、數字經濟發展水平最高的國家，占據了全球數據高地。2019 年福布斯發布的“全球數字經濟100 強榜”的前10 位中，有7 家美國公司、1 家中國公司，無歐洲公司；前50 強中，也僅有8 個歐洲國家的公司入圍［12］。美國基于其在全球領先的、強大的數字產業競爭優勢，為獲取更大的經濟效益，通過打造區域性數據流動框架，構建了一種積極、寬松的個人數據跨境流通制度。例如，美國在其主導制定《跨太平洋伙伴關系協定》（TPP）時，就將“全球信息和數據自由流動”的理念植入其中。TPP 第14.11 條規定，除非為實現合法公共政策目標，締約國不得禁止或變相限制通過電子方式跨境傳輸信息（包括個人信息）［13］。在《美墨加協議》（USMCA）中還首次引入了禁止本地數據存儲的條款，提出盡可能減少數字貿易壁壘，確保數據的跨境自由傳輸［14］；同時，美國還通過頒布《澄清域外合法使用數據法》構建長臂管轄權機制，賦予美國執法機關調取美國企業存儲在境外數據的權利。這也就意味著，對于美國企業業務所到之處收集的個人數據，美國執法機關均可獲取。此類規定實際上是美國利用其強大的數字經濟和產業優勢，構建能夠促進己方數字經濟發展的數據自由流動機制的反映。因此，數據的跨境傳輸并非單純的技術和經濟問題，也蘊含著深刻的國家安全、數據主權和個人數據安全等因素，具有濃厚的政治色彩。

在數字經濟水平和數字技術均不占據全球領先地位的形勢下，歐盟借助其傳統立法優勢，從制定數據跨境傳輸標準的角度積極開展個人數據跨境傳輸立法，通過高標準、高門檻的立法彌補其數字經濟發展劣勢，增強國際話語權。歐盟個人數據跨境傳輸立法多元化的價值取向主要體現在以下方面：

第一，尊重和保護公民的基本權利。與美國基于經濟發展目的而采取相對寬松的個人數據跨境傳輸機制不同，歐盟明確將保護個人數據視為人的一項基本權利。這種觀念的產生有著深刻的歷史根源，尤其是在二戰期間，納粹分子通過獲取個人數據的方式識別并迫害了大量猶太人，使得歐洲人民對個人數據保護與基本人權之間的緊密聯系深有感觸，強化個人數據保護理念在二戰后逐漸深入人心。GDPR 深刻體現了這種理念，其序言第1 條開宗明義地指出，自然人在個人數據處理過程中獲得保護是一項基本權利。該權利源自《歐盟基本權利憲章》的第8 條第1 款和《歐盟運行條約》的第16 條第1 款，即“人人享有就其個人數據獲得保護的權利”［15］。因此，歐盟側重于將個人數據保護置于優先考慮的位階之上，保護個人數據就是保護人的基本權利。歐盟法院確認美歐之間《隱私盾協議》無效的裁決，就是其踐行保護人權理念的典型例證。

第二，構建統一的數據保護制度，對內打破成員國之間數據流動壁壘，打造歐盟數字單一市場，促進數字經濟發展。數十年來，歐洲一直在謀求一體化進程，歐盟成立的重要目標之一便是統一歐洲市場，在數字時代以統一式數據保護立法整合分散式立法成為其貫徹數字單一市場戰略的關鍵舉措，具有強烈的經濟目的［16］。GDPR 在序言中指出，DPD 未能使公眾普遍認知自然人保護，特別是線上活動的顯著風險，為確保對個人數據安全的保護維持在統一的高水平之上，并消除其在歐盟內部跨境傳輸的困境，且有鑒于在歐盟內部市場建立互信體系促進數字經濟發展的重要性，應在歐盟建立強大和更為統一并可有效實施的個人數據保護框架［15］。因此，通過統一立法助力打造數字單一市場，也是歐盟為促進數字經濟發展作出的重要立法實踐。

第三，強化數據主權和技術主權，對外提高個人數據流出歐盟的門檻。GDPR 原則上禁止跨境傳輸個人數據，只有在滿足法定條件的情況下才可以實施此類行為。GDPR 規定，當個人數據向第三國或國際組織傳輸時，本條例所提供的保護水平不得被減損（not undermined），數據的流入國或國際組織必須提供與GDPR 實質等同（essentially equivalent）的保護水平。在實踐中，歐盟與美國分別于2000 年和2016 年簽署了關于個人數據跨境傳輸的《安全港協議》和《隱私盾協議》，但這兩份文件分別于2015 年、2020 年被歐盟法院裁定無效，原因就在于美國未能提供與歐盟同等水平的個人數據安全保護。在整個國際競爭環境中，與中美相比，歐盟缺乏國際領先的互聯網公司，這極大地限制了其在數字經濟領域的主動權，而高標準的個人數據保護制度可為其獲得國際競爭優勢提供一定的支撐［17］。

2.2 歐盟個人數據跨境傳輸路徑

整體上，根據GDPR 的要旨，歐盟個人數據跨境傳輸可以分為歐盟成員國之間的個人數據跨境傳輸（內部傳輸）和歐盟向第三國、其他國際組織開展的個人數據跨境傳輸（外部傳輸）兩種類型，本研究主要分析外部傳輸這種類型。GDPR 第五章以專章的形式對外部傳輸進行了規定，設計了具有層次性的傳輸路徑；同時，結合GDPR 的各章節考察，還包括長臂管轄權和國際合作制度的適用。

2.2.1 基于充分性認定條件下的“白名單”制度

當歐盟委員會認定第三國、其他國際組織或其他區域具有保護個人數據的充分性水平時，可以不經特別授權即可向這些國家、國際組織傳輸個人數據。簡言之，充分性認定是指有關國家、國際組織的個人數據保護水平達到歐盟認可的標準。在這個過程中，歐盟委員會以實施法案的方式將通過充分性認定的國家、國際組織列入個人數據跨境自由傳輸的“白名單”。該實施法案至少每4 年審查一次，屆時將考慮這些國家、國際組織在個人數據保護方面的所有相關發展情況［15］。

充分性認定具有較高的門檻，歐盟委員會將特別考慮該國或國際組織的有關法律規則建設情況，如相關的公共安全、防御、國家安全、刑法及公共權力機構獲得個人數據的途徑，以及有關立法、數據保護規則、措施的執行等；獨立監管機構的建設和運行情況；已達成的國際承諾，尤其是與個人數據保護有關的國際義務履行情況等諸多事項。從整個充分性認定的流程來看，歐盟在對充分性的判定、撤銷、修改或中止等程序中擁有較大的自由裁量權。目前，通過歐盟委員會充分性認定的國家數量仍然較少，僅有安道爾、根西島、澤西島、阿根廷、以色列、新西蘭、加拿大（僅限商業機構）、日本、烏拉圭、韓國等十余個國家或地區被列入了“白名單”［18］。值得注意的是，日本、韓國等國為滿足此充分性認定要求，均對本國的個人數據保護立法進行了修改。

2.2.2 未進入“白名單”情形下應提供適當安全保障的跨境傳輸

當缺少充分性認定時，個人數據的控制者或處理者當且僅當提供適當的保障，以及為數據主體提供可執行的權利與有效的法律救濟措施，才可將個人數據傳輸到第三國或國際組織。此時，應采取何種措施才構成“適當的保障”，成為需要考慮的重要問題。對此，GDPR第46條規定了一系列具體內容，包括標準合同條款、具有約束力的公司規則以及經過監管機構批準的行為準則（如認證機制）等。如在標準合同條款方面，其基本邏輯是一種路徑審批，即通過采用標準合同條款而開展的跨境傳輸不需經監管機構的個案審批，因為標準合同條款本身是由歐盟委員會事先批準通過的。自DPD 頒布以來，歐盟共發布過3 版標準合同條款［19］。立足GDPR 的適用需要，2021 年6 月，歐盟委員會通過了兩組新版標準合同條款，其中之一是個人數據跨境傳輸標準合同條款。

2.2.3 充分性認定和適當的保障均不滿足時特殊情況下的跨境傳輸

GDPR 還設計了一條在特殊情況下可以例外開展個人數據跨境傳輸的路徑，即不滿足條例所規定的充分性認定和未提供適當保障措施時應滿足法定的7 種特殊情況，才可向第三國或國際組織傳輸個人數據。具體包括：（1）數據主體充分了解傳輸可能對其造成的風險時，仍明確同意傳輸；（2）為履行合同義務或履行簽訂契約前數據主體所提出的要求；（3）為履行對數據主體有益的協議；（4）為了公共利益；（5）對于法律請求權的確立、行使或抗辯是必要的；（6）因數據主體身體上或法律上的原因無法作出同意的意思表示時，為保護數據主體或其他人的關鍵利益；（7）滿足歐盟或其成員國的數據傳輸登記要求［15］。

2.2.4 在特殊情形之外的例外跨境傳輸

在以上可以實施個人數據跨境傳輸的條件均不滿足的情況下，GDPR 又給出了能夠進行傳輸的例外情形，但附加了嚴格的實施條件，例如：該傳輸是偶發性的，而非常態化、重復性的；只涉及一小部分數據主體的權利；對實現數據控制者的“壓倒性”合法利益是必要的，且不會與數據主體的權利、利益或自由相沖突；控制者已經對圍繞數據傳輸的情形進行了評估，并提供適當的個人數據安全保障；同時，控制者還應履行GDPR 第13 條、14 條規定的法定義務，向數據主體告知傳輸行為，及其所追求的“壓倒性”合法利益［15］。但實踐中，能夠根據本情形開展個人數據跨境傳輸的案例鳳毛麟角，體現出GDPR 在此方面的嚴格立場［20］。

2.3 歐盟個人數據跨境傳輸長臂管轄權制度

長臂管轄權是GDPR 構建的個人數據安全保護重要制度之一，但在DPD 中并無長臂管轄權制度的存在，彼時DPD 僅適用于在歐盟設立機構或通過歐盟境內的設備處理數據的情形，采用的為屬地管轄原則，因此，企業跨境提供個人數據傳輸服務的，可規避歐盟法律適用［21］。GDPR 形式上僅在歐盟經濟區中的31 個國家適用，但借助效果原則（影響主義原則）將執法權擴展到了其轄域之外，呈現出由屬地管轄向屬人管轄、保護管轄的擴張，使得GDPR 成為一部事實上的世界法［22］。

GDPR 第3 條規定，歐盟構建了以機構設立地、目標指向和國際公法作為管轄權適用的具體標準。第一，機構設立的標準——屬地管轄。主要考察數據控制者、處理者在歐盟內部是否設立相關機構，且相關機構的有關行為既適用于數據控制者、處理者在歐盟境內所設立機構實施的數據處理行為，而不論該行為是否發生在歐盟境內。第二，目標指向標準——屬人管轄。該標準是GDPR 的效力能夠擴展到全球的關鍵，主要考察的是非歐盟境內設立的機構。分為兩種情況：一是對在非歐盟境內設立的數據處理機構為歐盟的數據主體提供商品或服務，且無論數據主體是否支付了對價；二是對歐盟境內數據主體實施監控行為。第三，國際公法標準——保護管轄。雖然數據控制者、處理者在歐盟境內未設立機構，但根據國際公法應適用歐盟成員國法律的數據控制者的個人數據處理行為。基于上述管轄標準，歐盟將其執法權限延伸至了歐盟之外，并在實踐中進行了應用。如在以Schrems Ⅱ案為代表的案件中，歐盟法院通過個案開展司法審查，將其實施管轄的“長臂”擴展至第三國，并以此評估該國數據保護法律水平、實質審查該國法律是否符合歐盟基本權利保護水平等超國家事項［23］。

長臂管轄權制度的適用帶來了多方面的影響。從歐盟的角度來看，長臂管轄符合歐盟的利益，能夠維護歐洲公民的個人數據安全和歐盟數據主權；但從歐盟外部來看，長臂管轄的適用則可能會帶來對其他國家主權的挑戰，同時，歐盟實施長臂管轄是否能夠實現其制度設計的初衷效果仍存在疑問，即若缺乏他國的配合，歐盟如何在境外開展案件調查和執法，以及作出的處罰決定如何執行都存在未知數，并易引發外交沖突。整體而言，雖然長臂管轄在較高程度上保護了歐盟公民的基本權利，但從實質上考察，這也反映出歐盟試圖通過法律主導國際規則的制定，以增強其國際競爭優勢的愿望［24］。

2.4 歐盟個人數據跨境傳輸中的國際合作

GDPR 明確規定，發展國際合作機制是促進個人數據保護立法有效執行、提供國際互助（如通知、調查協助、信息交換等）和進一步促進國際合作問題研究的重要舉措［15］。典型做法如歐盟與日本、美國之間的合作。2018 年 7 月，距GDPR 生效僅2個月后，歐盟與日本達成了一項被稱為“全球最大規模的自由貿易區之一”的《經濟伙伴關系協定》［25］，該協定彌合了日本與歐盟之間在個人數據跨境傳輸規則等方面的差異，實現了與GDPR 的對接。歐盟與美國則存在關于建立個人數據跨境傳輸機制的三度合作。盡管歐盟與美國二者之前簽署的《安全港協議》和《隱私盾協議》均被歐盟法院以美國不能實現對歐洲公民的充分性保護為由裁定無效，但相互之間的國際合作并未因此中斷。2022 年3 月，歐盟、美國又第三次提出新的數據安全流動協議——《跨大西洋數據隱私框架》，目的依然是推動數據在歐美之間自由、安全地傳輸，但美國在此過程中進行了一定程度的妥協。這也反映出，盡管美國擁有的眾多大型互聯網科技企業占據了歐盟的大部分數字市場，但歐盟借助嚴格的立法提高了其開展國際博弈與合作的籌碼，獲得了一定的國際話語權。

3 數字全球化下我國個人數據跨境傳輸制度的因應

數字經濟是全球未來的發展方向［26］。作為全球化的一種新形式，數字全球化通過網絡和數字平臺促進數據的跨境流動改變了國際經濟的形式、全球化參與者的構成以及與之相關的國際經濟投資規則體系［27］。數據作為一種重要的新型生產要素，在數字經濟全球化過程中發揮了不可或缺的關鍵作用。隨著我國融入全球數字經濟程度的日益加深，為滿足在國際競爭與合作中維護發展與安全的需要，亟須建立健全以個人數據跨境傳輸為代表的數據流通法律法規和體制機制。在立足我國國情的基礎上，對照我國既有相關法律規范、政策制度，合理借鑒歐盟立法與實踐經驗，可為我國構建更加完善的個人數據跨境傳輸機制提供鏡鑒。

3.1 我國個人數據跨境傳輸制度的政策定位

全球范圍內，針對個人數據跨境傳輸存在多種機制，除了以上論述的歐盟的防守型——在基本權利和價值觀的基礎上由個人控制數據、美國的寬松型——強調私營部門對數據的控制以獲取經濟利益之外，還存在俄羅斯的嚴格型——完全基于屬地原則的數據本土化管轄模式［28］460-464。與國際社會不同模式相比較，我國個人數據跨境傳輸立法呈現出上述3 種類型的交織，即基于數據本土化立場，在一定程度上構建了支持個人數據跨境傳輸的機制。

第一，以維護國家安全為首要指導原則。當前，我國已經形成了以《網絡安全法》《數據安全法》《個人信息保護法》等法律為核心，以《數據出境安全評估辦法》《個人信息出境標準合同辦法》《個人信息跨境處理活動安全認證規范V2.0（征求意見稿）》等為支柱的個人數據跨境傳輸法律法規和標準規范體系。正如以上所述，數字時代的個人信息具有國家安全、經濟效益和個人權利多元價值，蘊含著復雜、多樣的社會利益。但與歐盟以個人權利為基本支撐的個人數據保護模式不同，我國更為強調個人數據跨境傳輸中國家安全的重要性，如《數據出境安全評估辦法》是基于安全導向而實施，并存在針對個人信息和重要數據跨境傳輸分類管理的不同。該評估辦法第4 條規定，數據處理者向境外提供重要數據或個人信息時，均應向國家網信部門申報數據出境安全評估；但對于重要數據的安全評估不存在門檻的限制，而對個人信息須達到一定的數量標準時方啟動評估。這便在實際上表明，安全評估在保護個人信息之時，更傾向保護國家安全和公共利益［29］。

第二，建立了以數據本土化為基礎的個人數據跨境傳輸制度。回溯我國有關個人數據跨境傳輸政策制度和立法實踐可以發現，我國已經初步形成了基于數據本土化和出境安全評估為主要抓手的個人數據跨境傳輸治理體系。雖然數據本土化并非意味著絕對禁止數據的跨境傳輸，但其存在較為嚴格的傳輸限制。我國無論是在具體領域還是統一的個人數據保護方面都體現出了這種治理特點（見表1～表3）；同時，在我國提出或參與制定的國際性文件中也體現出明顯的數據本土化訴求，防守型特征突顯。

表1 我國部分具體領域的個人數據保護政策或立法

表2 我國部分涉及個人數據保護的統一立法或政策制度

表3 我國提出或參與構建的涉個人數據跨境流通多雙邊協議

3.2 我國個人數據跨境傳輸制度的價值評析

綜合來看，在數字經濟全球化浪潮下，基于數據跨境傳輸的復雜特征，我國現行個人數據跨境傳輸制度在能夠發揮積極作用的同時，也具有明顯的自身特點。

第一，重視從國家安全、數據安全的角度構建個人數據跨境傳輸機制。從我國相關數據治理立法、政策和國際協議來看，都體現了數據本土化訴求。毋庸置疑，這種審慎的態度以及數據安全評估等制度的適用，能夠降低個人數據跨境傳輸后可能因被濫用、修改、二次傳播等造成的危害，可以起到重要的數據出境風險規避功能，有利于維護國家數據主權及數據本身所承載的個人權益。因此，從這個角度衡量，為應對歐盟、美國等數據傳輸上的數字霸權，我國的現行制度能夠發揮重要的安全保障作用。

第二，面臨融入全球數字經濟迅速發展的局限性。數字全球化必然導致數據的跨境傳輸，這也是盡可能釋放數據生產要素價值的關鍵，構建數字時代國際貿易新方式、新規則是各國發展數字經濟的重要選擇。但毋庸諱言，我國個人數據跨境傳輸制度體系具有極強的單邊管控性，維護數據安全的同時也在一定程度上限制了數據的正常流動，既不利于我國對外交流合作，也不利于汲取域外先進技術和資源［28］470-473。一方面，既有制度體系在一定程度上限制了數據的正常流動，容易形成碎片化、片面化的“數據孤島”；另一方面，數據交換是開展國際合作的重要基礎，但較強的數據本土化制度將難以吸引境外數據流入我國以及推動雙邊或多邊的數據合作交流；此外，數據本土化也非徹底解決歐盟、美國等數據管轄權的擴張的良策。如歐盟法院通過司法審查對GDPR 管轄權的擴張具有攻擊他國數據保護制度屏障的作用，為使得本國企業等實體組織順利進入歐洲市場，一些國家可能不得不通過改變本國既有數據保護制度對GDPR 作出妥協［30］。

第三，有待進一步提升個人數據跨境傳輸機制的可操作性。我國已經初步建立起支持個人數據跨境傳輸的機制，但該機制中的許多規定仍面臨過于原則、籠統，缺少必要的實施細則或指南的局面，存在難以落地落實的困境。如《網絡安全法》雖然提出了數據本土化與出境安全評估相結合的監管機制，但未能結合數據跨境流動的具體場景等進行多層次、差異化監管，可操作性有待加強［31］。又如，RCEP 已經明確規定非囿于公共政策目標和基本安全利益不得限制數據的跨境傳輸，但如何具體落實其所倡導的數據傳輸原則，尚需有關協議各締約方之間進一步提出更為明確的實施機制；同時，在我國簽署的其他相關國際合作協議中，也對數據安全管理權進行了強調，但對于數據管理爭議而產生的問題，尚未建立充分的多雙邊解決機制。

對涉及個人數據跨境傳輸國際規則制定的參與具有謹慎性。這種謹慎性與我國數據立法尚不健全和為維護國家安全、數據主權之目的密切相關。如盡管我國屬于RCEP 中的重要經濟體，但對于RCEP框架下所提出的跨境隱私保護規則（CBPR），我國并未獲得批準加入，主要原因在于該規則旨在建立一個低保護等級的個人數據跨境傳輸機制，締約國不得以高水平的保護限制個人數據的跨境傳輸，傾向于美國寬松型的數據流通模式［32］。

3.3 我國個人數據跨境傳輸制度體系完善思路

全球數字領域競爭與合作共存。基于中美競爭背景，加強中歐合作成為進一步促進我國數字經濟發展的可選途徑。立足國情，結合歐盟個人數據跨境傳輸范式適用及其價值取向，我國可從以下方面進一步完善個人數據跨境傳輸制度體系。

3.3.1 適當調整個人數據跨境傳輸的傳統治理思維

我國個人數據跨境傳輸制度現狀具有明顯的防守型特征，既是由于我國不具有美國的網絡技術領先地位，且因長期以來受絕對數據主權思維慣性影響而實施妥協性防御措施［30］；也與我國現有數據治理體系存在不足，以及因國際數據流動缺乏平等性而采取的自我防范密切相關［28］471。事實上，GDPR所建立的嚴格個人數據跨境傳輸制度，在高標準保護個人數據安全的同時，也一直面臨著是否會阻礙歐盟數字經濟發展的爭議。對我國而言，立足維護國家安全、數據主權的基礎，為進一步釋放數據流動空間和激發數據市場活力，實現數字經濟發展與安全的協調，有必要適當調整個人數據跨境傳輸的治理思維，增強數據跨境傳輸自由度。實際上，這種理念在RCEP 框架及我國《個人信息保護法》中已有所體現。與我國個人數據跨境傳輸機制相比，RCEP 限制條件相對較低；我國《個人信息保護法》第38 條規定，我國所締結或參加的國際條約、協定，對個人信息的跨境傳輸條件有規定的，可按照其規定執行。這也表明了我國支持在維護國家安全前提下，促進個人數據跨境流通的態度，然而，當前面臨的問題是如何將這種思維應用到個人數據跨境傳輸的實踐中去。

3.3.2 尋求建立部分而非完全的充分性認定協議

依據GDPR 關于充分性認定的規定，我國基本上不能獲得歐盟完全的充分性認定，但在具體的實踐中，歐盟與他國開展的相關合作也并非要求滿足完全的充分性認定。如歐盟對于加拿大的充分性認定限于商業組織的主體范圍內，而歐盟與美國之間的《隱私盾協議》《跨大西洋數據隱私框架》等協議更是在雙方不同個人數據保護理念下加強合作的表現。事實上，美國并未如歐盟一樣建立關于個人數據保護的綜合性立法，而是結合具體領域特點開展規制，具有明顯的分散式立法的特點，且美國也未建立GDPR 中所規定的獨立的數據監管機構，故美國并不符合歐盟完全充分性認定的條件，但美歐之間仍通過企業和政府層面的制度設計，實現了在個人數據跨境傳輸上的妥協［33］。

對于我國而言，以我國既有法律制度為基礎，在不違反我國個人信息跨境傳輸基本法律制度的前提下，可根據以下方面因素促進與歐盟達成部分充分性協議，彌補雙方因監管制度不同而產生的信任缺失：一是借助數據出境安全性評估制度，實現與歐盟部分充分性認定的對接。主要原因在于，相較于充分性認定體現的統一標準性質，具有個案審查特點的數據出境安全評估制度實際上更為嚴格，對個人數據的跨境傳輸限制性更強。二是適當調整數據安全監管機構機制。我國《個人信息保護法》規定，國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作；《數據安全法》中更是規定由工業、電信、交通、公安、國安、網信等部門共同組成數據安全監管機制。在此方面，我國可借鑒美國與歐盟達成相關協議時的機制調整——美國在國務院設立獨立的監察員機構，專門負責向歐盟數據主體提供救濟措施，以促進中歐關于充分性的談判［33］。三是強化企業等商業主體自身的數據安全合規性，為實現中歐合作提供必要的行業實踐基礎。

3.3.3 提升個人數據跨境傳輸機制的可操作性

完善個人數據分類分級跨境傳輸制度是提升個人數據跨境傳輸可操作性的重要途徑。在個人數據的分類分級管理上，我國已經有了一定的實踐，如基于個人數據的具體類型、跨境傳輸的數量規模等設置了跨境傳輸的條件。此外，還可以借鑒歐盟的“白名單”制度，實現對個人數據跨境傳輸國家的分類、梯度式管理。

我國《個人信息保護法》第42 條首創了個人信息跨境傳輸中的“黑名單”制度，即境外的組織、個人從事侵害我國公民的個人信息權益、國家安全、公共利益的個人信息處理活動的，可將其列入限制或者禁止向其提供個人信息的清單。這種“黑名單”制度主要體現為一種事后的規制，但對于完善個人數據跨境傳輸的事前治理而言，可借鑒歐盟的“白名單”制度，結合跨境傳輸的個人數據具體類型，根據不同國家數據立法、政策、監管機構建設等情況，考察評估該國的數據安全保護水平是否能夠達到我國的個人信息保護標準；對于能夠高水平滿足我國保護標準的國家，可以豁免跨境傳輸審查或適當減少審查的程序，以降低數據生產要素價值發揮的成本、提高經濟性，而對于其他存在一定或較大安全保護風險的國家，則給予相對嚴格的個人數據跨境傳輸審查。

3.3.4 拓展國際合作空間增強維護數據安全的話語權

長臂管轄權制度的適用易造成對一國國家安全、司法主權和數據主權的沖擊，利益爭奪是隱藏在其背后的關鍵因素。為有效應對長臂管轄可能帶來的危害，我國除了需要進一步完善國內立法外，還應在國際上積極作為，以前瞻性的戰略布局，以內外法律聯動的視角，利用“一帶一路”建設等平臺搭建具有全球視野的個人數據跨境傳輸國際互信機制。當前，我國已經簽署了以RCEP 為代表的國際協議，并正申請加入《全面與進步跨太平洋伙伴關系協定》（CPTPP）和《數字經濟伙伴關系協定》（DEPA），在這些框架下逐步建立長效跨境執法合作機制是消解長臂管轄沖突的重要舉措［34］。通過國際合作，既能夠推動形成具有廣泛認可的跨境傳輸規則促進個人數據的往來，也可以增強我國在數據安全治理方面的國際話語權。

4 結論

在數字經濟背景下，開展個人數據跨境傳輸是發揮數據生產要素價值的重要途徑之一。以實現發展與安全的協調為導向，通過立足我國國情，合理借鑒歐盟經驗，適當調整我國防守型個人數據跨境傳輸思維，采取“部分充分性認定”加強與歐盟GDPR 的對接，利用個人數據跨境傳輸“白名單”制度實現與“黑名單”制度的互補，以及建立長效跨境執法合作機制應對他國長臂管轄帶來的影響等，有助于進一步完善我國個人數據跨境傳輸機制，維護數據安全。但在目前全球存在以歐盟為代表的不同類型的個人數據跨境傳輸范式情況下，使得維護個人數據安全成為一項復雜且長期的工程。為推動個人數據跨境傳輸的可持續安全，構建公平、合理、有效的數據治理國際規則是進一步筑牢國家間信任，盡力彌合國際社會因數字治理理念不同而帶來的數字發展鴻溝的重要路徑。為此，通過完善我國個人數據跨境傳輸機制，也能夠發揮加強國際數據互通合作、促進達成相關國際治理規則共識的重要作用。