從“數據隱私框架”看歐美數據跨境流動的規則博弈

單文華 鄧娜

摘要： 歐美《隱私盾協議》失效后，雙方為了恢復數據跨境流動秩序，于２０２２ 年底達成了“數據隱私框架”。該框架旨在回應歐盟法院在“《隱私盾協議》無效案” 中提出的主要關切。２０２３ 年７月，歐盟委員會基于該框架對美國的個人數據保護水平發布了充分性認定決議。然而，該框架并未對美國情報機構大規模收集數據與窺探隱私的行為施加實質性限制。此外，框架建立的雙層救濟機制由于缺乏獨立性，也無法給數據隱私權益受損的歐盟公民提供充分有效的救濟。與《隱私盾協議》相比，該框架在本質上并沒有明顯的突破。歐盟和美國在雙方數據跨境流動制度安排上的博弈，表面上是兩種數據保護理念和治理模式的碰撞，實際上反映出了歐盟實施“ 數字主權” 戰略與美國維護“ 數字霸權” 地位之間存在的根本利益沖突。歐美憑借各自優勢，在數字經濟時代爭奪全球數字治理話語權。通過深入研究歐美之間關于“ 數據隱私框架” 的規則博弈，可以為我國在選擇適合本土的數據監管模式和提升數據治理規則話語權方面提供重要的思考和啟示。

關鍵詞：《隱私盾協議》；數據跨境流動；“數據隱私框架”；充分性認定決議；數字主權；數字霸權

中圖分類號：Ｄ９１３ 文獻標識碼：Ａ 文章編號：１００４－８０４９（２０２４）０１－００４４－１３

歐美《隱私盾協議》（ＥＵ－ＵＳ Ｐｒｉｖａｃｙ ＳｈｉｅｌｄＦｒａｍｅｗｏｒｋ）失效后，雙方經過兩年多的深入談判，終于達成了新的“數據隱私框架”（ＥＵ－ＵＳＤａｔａ Ｐｒｉｖａｃｙ Ｆｒａｍｅｗｏｒｋ），并由美國總統拜登簽署《關于加強美國信號情報活動保障措施的行政命令》（Ｅｎｈａｎｃｉｎｇ Ｓａｆｅｇｕａｒｄｓ ｆｏｒ Ｕ．Ｓ． ＳｉｇｎａｌｓＩｎｔｅｌｌｉｇｅｎｃｅ Ａｃｔｉｖｉｔｉｅｓ，又稱“第１４０８６ 號行政命令”）加以落實。“數據隱私框架”旨在替代先前的《隱私盾協議》，為跨大西洋數據自由流動提供新的法律基礎。２０２３ 年７ 月，歐盟委員會以“數據隱私框架”為基礎，發布了關于美國個人數據保護水平的充分性認定決議。至此，經過長達三年的懸而未決，歐美數據跨境流動安排終于塵埃落定。

在美國簽署第１４０８６ 號行政命令后，歐洲議會第一時間作出了回應。他們認可了美國在提升數據保護水平方面所做的努力，但同時也表達了對這一措施是否能達到歐盟標準的擔憂。① 許多歐洲學者持有與歐洲議會相似的觀點，如伊麗莎白（Ｅｌｉｚａｂｅｔｈ）強調，盡管美國情報法律體系有所改進，但大規模監控的可能性仍然存在；②阿什利（Ａｓｈｌｅｙ）分析了該行政命令建立的救濟機制，并質疑其是否滿足歐盟法律對于“有效司法保護”的基本要求。③ 而美國學者普遍認為歐盟的法律要求過于苛刻，并認為該行政命令已經是“在美國成文法和憲法框架內可行的最佳方式”。④ 國外對歐美之間數據跨境流動規制矛盾根源的深入分析普遍較為缺乏。

國內關于歐美數據跨境流動的研究成果豐富，主要集中在《安全港協議》無效案、《隱私盾協議》無效案、歐美對個人數據保護和數據跨境流動規制模式的比較、雙方分歧和博弈的根源分析，以及對我國的借鑒意義等方面。然而，從“數據隱私框架”角度切入的研究較為稀缺，目前僅有陳麗娜對雙層救濟機制的制度形式和制度成效進行了探討。⑤ 深入剖析歐美“數據隱私框架”，有助于洞察歐美數據跨境流動之爭存在的深層次問題，為我國在全球數字戰略競爭中更好地把握國際數字治理趨勢并選擇適合本土的數據監管模式提供有益啟示。

一、背景：歐美《隱私盾協議》無效案

自２０１５ 年１０ 月歐盟法院宣布歐美《安全港協議》（ＥＵ－ＵＳ Ｓａｆｅ Ｈａｒｂｏｒ Ｆｒａｍｅｗｏｒｋ）失效后，美國互聯網巨頭臉書（Ｆａｃｅｂｏｏｋ）轉而采用“ 標準合同條款” （ Ｓｔａｎｄａｒｄｓ ＣｏｎｔｒａｃｔｕａｌＣｌａｕｓｅｓ）⑥作為向美國傳輸歐盟用戶數據的依據。然而，在２０１５ 年底，奧地利法學學生麥克思·施雷姆斯（Ｍａｘ Ｓｃｈｒｅｍｓ）以臉書在向美國傳輸其個人數據時未能提供充分保護為由，向愛爾蘭數據保護委員會提出投訴，要求暫停臉書使用標準合同條款。在案件審理期間，歐美為恢復雙方數據的自由流動重新簽訂了《隱私盾協議》，并于２０１６ 年７ 月開始實施。因此，愛爾蘭高等法院在向歐盟法院移交該案時，同時對《隱私盾協議》的有效性提出了質疑。經過調查，歐盟法院認為美國當局將國家安全與法律執行置于公民隱私保護原則之上，其國內龐雜的情報法律體系并未充分考慮對公民數據隱私權利的保障，而且歐盟公民對此缺乏有效的司法救濟途徑。２０２０ 年７ 月，歐盟法院認定美國未能提供與歐盟“實質等同”（ｅｓｓｅｎｔｉａｌｌｙ ｅｑｕｉｖａ?ｌｅｎｔ）的數據和隱私保護水平，判定《隱私盾協議》失效。由于“《隱私盾協議》無效案”與判定《安全港協議》失效的“ 施雷姆斯第一案”（Ｓｃｈｒｅｍｓ Ⅰ）一脈相承，故又稱“施雷姆斯第二案”（Ｓｃｈｒｅｍｓ Ⅱ）。歐盟法院判定兩份協議失效的理由如出一轍，可見數據隱私保護問題是歐美數字經貿往來的癥結所在。

在《隱私盾協議》失效后，眾多歐盟境內的外國企業為了應對歐盟愈發嚴格的數據跨境傳輸合規要求，不得不選擇成本更高、流程更復雜的方式，如使用標準合同條款或其他替代工具，作為暫時性的解決方案。其中，約有１０％的此類企業選擇將數據存儲在本地，或者干脆放棄在歐盟的業務。① 美國數字企業巨頭“ 元”（Ｍｅｔａ，前身為臉書）在２０２２ 年２ 月向美國證券交易委員會提交的年度報告中明確指出，歐盟的《一般數據保護條例》（Ｇｅｎｅｒａｌ Ｄａｔａ ＰｒｏｔｅｃｔｉｏｎＲｅｇｕｌａｔｉｏｎ）嚴重阻礙了其將歐盟用戶數據傳輸和存儲至美國服務器。《隱私盾協議》的失效無疑給歐美數字經貿關系帶來了明顯的沖擊。雙方亟需就數據跨境流動問題展開深入協商，尋找合適的解決方案。

二、歐美“數據隱私框架”的主要成果和意義

《隱私盾協議》的失效嚴重擾亂了歐美之間正常的數據流動秩序，如何確保個人數據安全高效地流動成為雙方的重大關切。自２０２０ 年７月“施雷姆斯第二案”判決生效以來，歐美雙方一直在積極磋議新的數據流動規則和隱私保護方案，終于在２０２２ 年３ 月達成了“數據隱私框架”原則性協議。同年１０ 月，美國頒布行政命令，正式落實這一框架。這標志著歷時兩年多的跨大西洋數據流動之爭終于取得了實質性的成果。

２．１達成跨大西洋“ 數據隱私框架” 原則性協議

２０２２ 年３ 月，美國總統拜登和歐盟委員會主席馮德萊恩共同宣布，雙方已就全新的跨大西洋“數據隱私框架”達成原則性協議。這一框架旨在解決歐盟法院在“施雷姆斯第二案”判決中提出的核心關切，重建歐盟個人數據傳輸至美國的重要法律機制。美國承諾對本國信號情報活動實施新的限制措施，以加強對數據隱私和公民自由的保護。改革后的情報部門在追求國家安全目標時，其行動是必要且相稱的。此外，美國將加強信號情報活動的分層監督，并建立獨立的雙層救濟機制。歐盟委員會與美國政府將繼續合作，將這一協議轉化為雙方正式簽署的法律文件，從而落實新的跨大西洋“數據隱私框架”。這份原則性協議不僅體現了歐盟與美國為恢復穩定、可信賴的數據流動所做的努力，也凸顯了雙方之間緊密的數字經貿往來對商業數據安全、高效流動的迫切需求。

２．２ 美國頒布行政命令（ ＥＯ１４０８６） 限制信號情報活動

為了確保美國在“數據隱私框架”原則性協議中的承諾得以落實，美國總統拜登于２０２２ 年１０ 月簽署了《關于加強美國信號情報活動保障措施的行政命令》。這一行政命令對美國情報機構的信號情報活動設定了嚴格的限制，強調在處理個人數據時應充分尊重個人的合法隱私利益。

《 關于加強美國信號情報活動保障措施的行政命令》規定了美國情報機構在獲取個人數據時應遵循的總體原則，即只有在法律允許或經總統授權，且為實現法定的國家安全目標所必需的情況下，才能進行必要且相稱的數據收集活動。此外，該行政命令還強調了對相關機構的監管要求。具體來說，該行政命令明確了可以收集信號情報的１２ 項合法目標，包括評估外國政府的能力、防范恐怖主義和間諜活動、維護選舉和政治程序的公正性等。美國國家情報總監辦公室的公民自由保護官（Ｃｉｖｉｌ ＬｉｂｅｒｔｉｅｓＰｒｏｔｅｃｔｉｏｎ Ｏｆｆｉｃｅｒ）將以上述合法目標為基礎，對《國家情報優先框架》（Ｎａｔｉｏｎａｌ Ｉｎｔｅｌｌｉｇｅｎｃｅ Ｐｒｉ?ｏｒｉｔｉｅｓ Ｆｒａｍｅｗｏｒｋ）②中的“情報優先級別”進行“驗證”，確保情報活動的推進在于實現一個或多個合法目標。而且，實施情報活動應當符合必要性和比例性原則的要求。情報活動必須基于對所有相關因素的全面和合理評估，確保只在必要的情況下進行，并以與“經過驗證的情報優先級別”（ｖａｌｉｄａｔｅｄ ｉｎｔｅｌｌｉｇｅｎｃｅ ｐｒｉｏｒｉｔｙ）相匹配的方式進行，避免對隱私和公民自由造成不成比例的影響。此外，情報收集應當“盡可能量身定制”（ａｓ ｔａｉｌｏｒｅｄ ａｓ ｆｅａｓｉｂｌｅ），優先考慮有針對性而非批量收集數據。原則上，只有在認定無法通過定向收集方式合理獲取有效情報信息后，情報部門才能被授權實施大規模的情報收集活動。而且，大批量收集個人信息只能適用于防范恐怖主義、間諜活動、網絡安全威脅等六項特定目標。當情報機構處理通過信號情報活動收集的個人數據時，必須遵循數據最小化原則，并在保護數據安全、限制數據訪問等方面遵循特定要求和程序。

《關于加強美國信號情報活動保障措施的行政命令》作為踐行“數據隱私框架”的核心法律文件，為之后歐盟委員會對美國數據隱私保護狀況發布充分性認定決議奠定了基礎。這一行政命令明顯加強了美國信號情報活動中對數據隱私和公民自由的保護力度，有效避免了外國公民遭受不受限制的監控。尤其是１２ 項合法目標的確立，不僅約束了美國情報機構之前不受實質限制的監控行為，還縮小了美國《外國情報監視法案》（Ｆｏｒｅｉｇｎ Ｉｎｔｅｌｌｉｇｅｎｃｅ ＳｕｒｖｅｉｌｌａｎｃｅＡｃｔ １９７８）第７０２ 條中“外國情報”的定義范圍，代表著美國在保護外國公民隱私方面的重大進步。

２．３ 美國為保護數據隱私權利建立雙層救濟機制

《關于加強美國信號情報活動保障措施的行政命令》的第三部分創建了一套雙層救濟機制，以處理在特定范圍內違反美國法律與信號情報活動相關的“合格申訴” （ｑｕａｌｉｆｙｉｎｇ ｃｏｍ?ｐｌａｉｎｔｓ），為受到美國情報機構行為影響的歐盟公民提供了一種維權途徑。若歐盟公民發現其個人數據在向美國傳輸的過程中，存在違反美國法律（包括《關于加強美國信號情報活動保障措施的行政命令》）的情況，他們有權向該救濟機制提出申訴。

第一層救濟機制由美國國家情報總監辦公室的公民自由保護官組成。該官員將對“合格申訴”進行調查和審查，并在必要時下令采取適當的補救措施。第二層救濟機制由數據保護審查法庭（Ｄａｔａ Ｐｒｏｔｅｃｔｉｏｎ Ｒｅｖｉｅｗ Ｃｏｕｒｔ）構成。該法庭由美國司法部按照《關于加強美國信號情報活動保障措施的行政命令》的要求在其內部組建。為了確保公正性，司法部長必須根據特定的遴選標準任命至少六名法官和兩名特別辯護人。申訴人和情報機構人員均可就公民自由保護官的決定向法庭申請復審。通常，由三名法官組成審查組對申請進行審查。此外，每一起申訴案件都會選任一名特別辯護人，該辯護人不僅應協助審查組開展工作，還應代表申訴人的利益進行抗辯。法庭在審查過程中，將參考公民自由保護官的審查記錄以及申訴人、特別辯護人或情報機構所提供的信息或意見書。同時，其作出的決定必須遵循美國最高法院的相關判例。最后，公民自由保護官應按照法庭的要求行事，而情報機構也須遵守公民自由保護官和法庭審查組作出的決定。

新的雙層救濟機制相對于以前的隱私盾監察員制度有了一定進步，其獨立性得到了明顯提升。《關于加強美國信號情報活動保障措施的行政命令》通過明確美國國家情報總監的職責界限和限定罷免公民自由保護官的理由，提高了第一層救濟機制的獨立性。并且，通過制定數據保護審查法庭法官的選拔、任命、監督和罷免標準，降低了司法部長對第二層救濟機制的影響，進一步確保了機制的獨立性。該行政命令還賦予法庭調查和獲取信息的權力，以及作出有約束力裁決的權力，這在一定程度上保障了法庭的獨立性。

三、歐盟委員會的充分性認定決議及其爭議

在“數據隱私框架”的推動下，美國針對本國的信號情報活動制定了新的限制措施，并為歐盟數據主體的隱私權利和自由提供了更完善的保障措施和救濟機制。歐盟委員會強調“數據隱私框架”相比于《隱私盾協議》的重大改進，在綜合評估美國當前的數據保護狀況后，于２０２３ 年７ 月發布了一份肯定性的充分性認定決議。美國改進后的數據保護水平能否達到歐盟法律要求的“實質等同”標準，是其能否重新獲得歐盟充分性認定的關鍵問題，也是雙方博弈的焦點。

３．１ 對美國當前數據保護狀況的評估和結論

根據歐盟《一般數據保護條例》第４５（２）條的規定，歐盟委員會在作出充分性認定時，必須對第三國或地區的法律秩序進行全面評估，考察內容包括法律法規、人權保護、司法救濟、國防及國家安全等方面。在對美國的充分性認定決議中，歐盟委員會明確指出，《關于加強美國信號情報活動保障措施的行政命令》所建立的限制、保障和救濟機制是美國法律框架的重要組成部分，為歐盟委員會作出充分性認定提供了基礎。歐盟委員會審視了歐美“數據隱私框架”的各項原則、加入框架的美國企業的承諾和認證義務，以及美國商務部對框架的管理和執行責任等，認為美國的法律體系總體上能夠保障這些原則的有效實施。美國的監督機制和救濟機制確保了實踐中違反數據保護規則的行為能夠被及時發現和處罰，并為數據主體提供了訪問、糾正或刪除個人數據的法律救濟途徑。

此外，針對美國當局為刑事執法和國家安全等公共利益而干預歐盟公民基本數據權利的行為，《關于加強美國信號情報活動保障措施的行政命令》已將其嚴格限制在實現相關合法目標的必要范圍內，并為歐盟公民免受此類干預提供了有效的法律保障。① 綜上所述，歐盟委員會認為，在“數據隱私框架”下，美國可以為從歐盟傳輸至美國境內的個人數據提供與歐盟《一般數據保護條例》標準“實質等同”的保護。同時，歐盟公民根據《歐盟基本權利憲章》享有的基本權利在美國也能得到充分尊重和保障。因此，歐盟委員會作出決議，允許歐盟境內的個人數據根據《一般數據保護條例》第４５ 條的規定傳輸至美國，而無需額外的授權。

３．２ 博弈焦點：當前美國數據保護水平是否達到歐盟“實質等同”要求

歐盟的充分性認定決議引發了各利益相關方和學者的廣泛關注與討論。自“施雷姆斯第二案”以來，許多學者認為美國必須對其本國的監控法律體系進行實質性改革，這是其重新獲得歐盟充分性認定的先決條件。盡管《關于加強美國信號情報活動保障措施的行政命令》對美國當局的信號情報活動施加了一些新的限制，但美國的法律框架總體上仍然為大規模監控保留了廣闊的空間。此外，美國為數據權益受損的外國公民提供的救濟并不充分。實際上，美國只是在表面上遵循了部分歐盟法律的形式要求，但并未真正落實歐盟從根本上限制大規模監控、保護人權的精神。②

（１）未實質改革的美國信號情報法律體系

在錯綜復雜的美國情報法律體系中，與外國個人隱私數據保護沖突最為明顯的是《外國情報監視法案》第７０２ 條和總統第１２３３３ 號行政命令《美國情報活動》（ Ｕｎｉｔｅｄ ＳｔａｔｅｓＩｎｔｅｌｌｉｇｅｎｃｅ Ａｃｔｉｖｉｔｉｅｓ）。《外國情報監視法案》第７０２ 條允許情報部門進行大規模監控，包括對美國境外的非美國公民。該法條為美國的“棱鏡”（ＰＲＩＳＭ）和“上游”（ＵＰＳＴＲＥＡＭ）監控計劃提供了法律依據。而《美國情報活動》行政命令則為美國國家安全局超出公共安全目的的監控行為提供了法律基礎，例如允許其通過跨大西洋水底電纜攔截來自歐盟的在途數據，從而規避美國國內數據隱私保護法律的監管。值得注意的是，“數據隱私框架”并未對這兩項關鍵法律進行修訂或實質限制。相反，《關于加強美國信號情報活動保障措施的行政命令》在很大程度上只是替代了美國《第２８ 號總統政策指令》，而該指令的部分規定已被撤銷。③ 此外，該指令因對美國情報活動的限制過于簡單籠統，而被歐盟法院詬病流于形式，而《關于加強美國信號情報活動保障措施的行政命令》也存在類似問題。

首先，《關于加強美國信號情報活動保障措施的行政命令》規定了１２ 項合法目標，這些目標表面上看似限制了情報活動的實施，但實際上對監控過程和結果的限制并不一定有效。至少在某些情況下，確定特定目標并不能有效地縮小監控和數據收集的范圍。以其中一個合法目標“防范外國對網絡安全的威脅”為例，保護網絡安全涉及的范圍非常廣泛，該目標理論上可以作為持續監控所有人的所有互聯網活動的正當理由。此外，合法目標的設定還存在諸多細節問題。例如，《關于加強美國信號情報活動保障措施的行政命令》允許情報部門以“保護政府財產和防范跨國犯罪威脅” 為由實施監控。按照常理推測，輕微破壞公物或者輕微犯罪的案件應當不屬于此類，但目標本身并沒有明確嚴重程度這一門檻。更令人擔憂的是，行政命令規定總統可以授權更新合法目標清單。而且，如果公布更新的清單會對美國的國家安全構成風險，總統可以選擇秘密修改。這一規定直接導致合法目標的限定形同虛設。如果目標清單連自身內容都失去了確定性和公開性，其對情報機構活動的限制與規范則更是無從談起。

其次，實施信號情報活動應當遵循的必要性和比例性原則存在主觀性較大、容易受到自由解釋影響的問題。而且，這兩個原則比較模糊寬泛，較難在實踐中為信號情報活動提供具體指引。必要性和比例性原則是起源于國際法的關鍵術語，除非美國能夠依照國際判例法來解釋和應用相關條款，否則將它們納入行政命令只不過是在法律上裝點門面。① 美國司法部在《數據保護審查法庭》條例中明確規定，法庭在解釋《關于加強美國信號情報活動保障措施的行政命令》時必須完全根據美國法律及法律傳統，而不包括任何其他法律來源。這使得人們難以相信，必要性和比例性測試能夠以一種對美國監控活動有實質檢查意義的方式進行。②此外，比例性原則要求監控活動以與“經過驗證的情報優先級別”相稱的方式進行。由于美國國家情報優先級別是保密的，對此只能參考美國國家情報總監發布的非機密的《全球威脅評估》（Ｗｏｒｌｄｗｉｄｅ Ｔｈｒｅａｔ Ａｓｓｅｓｓｍｅｎｔ）。美國國家情報當局傾向于用高度概括的措辭描述威脅，例如“有組織犯罪”和“移民”等，從而給當局進行擴大解釋并采取更寬泛的措施提供基礎。因此，若情報機構以“更重要的優先事項”為由實施更廣泛和更具侵入性的監控，比例性原則反而可能為其提供合理辯護。

綜上所述，《關于加強美國信號情報活動保障措施的行政命令》在事實上容納了大規模收集數據的行為。該行政命令的必要性標準主要考慮合法目標所需，適用于所有形式的監控，并未對大規模收集數據這種高風險的監控形式施加進一步限制。行政命令試圖通過約束情報機構收集數據以后的查詢、使用、傳播、保留等行為來減輕侵犯隱私的問題，這種后端的數據隱私保護方式其實收效甚微，具體可參考已經公布的《外國情報監視法案》法庭意見和監控透明度報告。而根據《美國情報活動》行政命令進行的情報收集活動不受司法監督和審判，其存在的合規問題很可能會更加嚴重。批量收集不可避免會導致與實現合法目標無關的私人通信或者其他數據被情報機構收集，這種任意的監控形式被歐盟法院譴責為侵犯了隱私權本質，“允許公共當局在普遍基礎上獲取電子通信內容的立法，必須被視為對《歐盟基本權利憲章》第７條所保障的尊重私人生活的基本權利的精神的違背。”③

（２）救濟機制的局限性

① 歐盟數據主體難以在美國司法救濟體系中獲得充分的“訴訟資格”。

美國憲法第三條規定的普通聯邦法院，理論上可以滿足《歐盟基本權利憲章》第４７ 條規定的“獨立、公正”法庭的標準。如果歐盟公民能夠向此類法院提起訴訟以保護數據隱私權利，那么是可以達到《歐盟基本權利憲章》規定的“獲取有效救濟”要求的。然而，根據美國憲法第三條，原告在向聯邦法院提起訴訟之前，必須證明自己具備“訴訟資格”（ｓｔａｎｄｉｎｇ），即要求其證明已經遭受“事實損害”（ｉｎｊｕｒｙ ｉｎ ｆａｃｔ）。①

但是，行政部門往往會援引保密條款來阻止訴訟當事人獲取相關證據，這使得原告難以證明在情報機構的活動中遭受了事實損害，即使原告已經委托了具有安全許可證明的律師。在少數情況下，即使原告確立了訴訟資格，行政部門又會根據國家機密特權提出駁回起訴的訴訟請求，法院通常會予以支持。美國情報體系的多重保密制度給歐盟公民向聯邦法院尋求數據隱私權益救濟造成了實質困難，甚至也給美國本國公民帶來了類似難題。在美國法院涉及情報機構非法監控的案件中，很少有原告的起訴被法官或陪審團審理。實際上，美國政府通過實施多層保密制度，成功阻止了所有在美國法院提出的質疑情報監控合法性的民事訴訟，因而美國法院從未對《外國情報監視法案》第７０２ 條和《美國情報活動》行政命令下監控的合法性問題作出裁決。② 在美國法律體系中，憲法第四修正案是美國公民對抗非法監控最重要的訴因和最有效的武器。然而，對于與美國沒有“重大自愿聯系”（ｓｉｇｎｉｆｉｃａｎｔ ｖｏｌｕｎｔａｒｙ ｃｏｎｎｅｃｔｉｏｎ ｗｉｔｈ ｔｈｅＵ．Ｓ．）的歐盟公民來說，憲法修正案并不適用。

② 新的雙層救濟機制缺乏獨立性。

盡管“數據隱私框架”創建的雙層救濟機制對現狀有所改進，但是由于其隸屬于美國行政部門，不免被視為隱私盾監察員制度的升級版，而后者已經在“施雷姆斯第二案”中被歐盟法院否定。③ 由于缺乏獨立性，新救濟機制不能滿足《歐盟基本權利憲章》第４７ 條所規定的法庭標準。歐盟法院在２０１８ 年的一起判例中，對法庭“獨立”的含義作出了具體解釋：“有關機構應完全自主地行使其司法職能，不受任何等級限制或隸屬于任何其他機構，并且不受任何來源的命令或指示”。④ 在２０１９ 年的一起判例中，歐盟法院進一步強調法庭的獨立是提供“有效司法保護”（ｅｆｆｅｃｔｉｖｅ ｊｕｄｉｃｉａｌ ｐｒｏｔｅｃｔｉｏｎ）的基本要求。盡管拜登政府采取了一些措施來確保救濟機制的獨立性，但是組成救濟機制第一層的公民自由保護官隸屬于國家情報總監辦公室，第二層數據保護審查法庭隸屬于司法部，這兩層救濟機制實際上都是美國行政部門分支的組成部分。而且，根據規定，公民自由保護官還必須“適當尊重國家安全官員作出的任何相關決定”。而對于法庭的運轉，事實調查由國家情報總監辦公室而非法庭進行，法官由司法部長而非情報機構之外的第三方挑選任命，而且總統可以推翻法庭的裁決。可見，法庭并非如歐盟法院所要求的那樣“完全自主”運作，也沒有擺脫“等級限制”。歐盟法院還強調，必須“保護法官免受可能損害其獨立判斷或影響其決定的外部干預或壓力”，并指出有關法官任職期限和解職規則必須“消除個人心中關于該機構是否受外部因素影響及能否在利益面前保持中立的任何合理懷疑”。⑤ 然而，《關于加強美國信號情報活動保障措施的行政命令》及其配套法律并未限制總統對法官免職的權力。法官四年任期期滿以后的續任，也依賴于行政部門。這些情況都與歐盟法院保護法官免受干預、保持法官獨立自主的精神相悖，可能導致產生有偏見的裁決。

３．３ 各利益相關方評價

美國的數據隱私保護狀況盡管獲得了歐盟委員會的肯定，但是各方對其評價不一。歐洲多國的地區數據保護機構在認可美國進步的同時，對其是否能像歐盟一樣將公民數據隱私權利作為基礎權利進行保護表示擔憂；大多數字權利組織和隱私保護組織也認為美國的數據隱私保護水平未能達到歐盟標準，兩者之間仍然存在明顯差距；甚至有學者提議美國國會從根本上修訂情報法律體系以符合歐盟的“實質等同”要求。① 國際商會數據保護工作組主席庫勒（Ｃｈｒｉｓｔｏｐｈｅｒ Ｋｕｎｅｒ）指出，歐盟希望通過《隱私盾協議》、其他充分性認定或標準合同條款這類程序性機制，在美國的法律實踐中達到保護數據與隱私權利的目標，這只是一種不切實際的想象。因為這些機制無法為個人數據提供能夠對抗美國情報收集活動與政府監控的保護。②而考慮到歐美之間恢復個人數據自由流動所帶來的巨大經濟收益，如為企業節約合規成本、降低數據轉移至美國后的潛在風險、創造更加穩定的商業環境等，部分行業協會如數字歐洲和信息技術工業委員會則高度肯定了充分性認定決議的意義。③

歐盟和美國在數據跨境流動問題上的立場不同，因此很難找到根本的解決方案。隨著國際數字貿易蓬勃發展，雙方在此領域的競爭和妥協將持續存在。雖然美國在最新達成的“數據隱私框架”中并未真正改革其信號情報法律體系，并且創建的雙層救濟機制存在明顯的獨立性問題，但是美國在本次博弈中已經作出了幾次重大讓步，進一步協商弱化其國家安全法律將更加不符合美國的利益。④ 有學者認為，使用行政命令和司法部法規相結合的非法定方法來取代《隱私盾協議》是目前美國成文法和憲法結構中最切實可行的方案。⑤ 因為無論是要求美國實質性改革本國的信號情報法律體系，以更有效地限制信號情報的收集使用，還是頒布相應法律，允許歐盟數據主體就美國情報機構的不當監控行為向聯邦法院提起訴訟，都將面臨巨大的政治和法律障礙。⑥ 雖然美國當前的數據隱私保護水平與歐盟的期望可能還存在一定的差距，但是考慮到高效的數據跨境流動對跨大西洋數字經濟關系至關重要，歐盟委員會仍然通過了關于美國數據保護水平的充分性認定草案，為跨大西洋數字貿易注入了新的活力。

四、歐美數據跨境流動規制矛盾的根源分析

歐美雙方就“數據隱私框架”的談判，表面上是兩種數據保護理念和治理模式的碰撞，實際上反映了歐盟“技術主權”意識覺醒以后，試圖打破美國數字技術壟斷地位，擺脫對美國的依賴，實現真正的自主的強烈愿望。歐美關于數據跨境流動規則的博弈，本質上源于歐盟實施“數字主權”戰略與美國維護“數字霸權”地位之爭，是雙方在數字經濟時代憑借各自優勢爭奪全球數字治理話語權。

４．１ 監控資本主義促進美國互聯網巨頭崛起

美國互聯網巨頭的崛起離不開“監控資本主義”（Ｓｕｒｖｅｉｌｌａｎｃｅ Ｃａｐｉｔａｌｉｓｍ）。監控資本主義以收集大量用戶個人數據為基礎，通過數據挖掘與算法分析產出經濟效益。這種數據收集與市場化運作已經逐漸成為當今全球數字企業默認的主要商業運行模式。“個人數據的商品化使其成為地球上最具價值的資源之一”。① 從通訊信息、網頁瀏覽、購物記錄、在線支付、運動軌跡到睡眠質量，被監測到的個人數據源源不斷地被送回互聯網科技平臺。通過對這些海量數據的實時收集、存儲、深度挖掘及算法分析，企業能夠更精準地鎖定潛在消費者，以及開發更多符合消費者需求的產品與服務，更好地為廣告營銷及擴大再生產服務。② 廣泛收集海量數據是大數據分析、機器學習訓練、人工智能開發等數字技術發展的基礎，過度監管可能會妨礙相關技術進步、造成相關產業萎縮。從根本上講，歐盟嚴格的個人數據權利保護制度與監控資本主義的要求是相背離的。

目前美國數字科技巨頭憑借技術優勢，在全球數字產業鏈中處于壟斷地位，既缺乏有力競爭，也缺乏有效監管。③ 美國大規模監控活動的實施，與其互聯網科技巨頭的壟斷地位息息相關。雖然監控活動名義上只為維護國家安全，但是其獲取的各種情報數據可以在國際競爭中轉化為技術、經濟、政治甚至軍事等各方面的優勢。美國《澄清域外合法使用數據法》（Ｃｌａｒｉｆｙ Ｌａｗｆｕｌ Ｏｖｅｒｓｅａｓ Ｕｓｅ ｏｆ Ｄａｔａ Ａｃｔ，即“云法案”）確立了“數據控制者標準”，打破了他國的主權疆域界限，為其全球“數字霸權”的確立奠定了基礎。④ 當前，世界范圍內的數據正越來越向美國的數字科技巨頭集中，這進一步擠壓了各國互聯網和數字企業的生存空間，甚至可能威脅到各國的國家安全與獨立自主。⑤

４．２ 歐盟“數字主權”與美國“數字霸權”之爭

美國依靠其互聯網通信技術的先發優勢以及豐富的人才儲備，培育了谷歌、微軟、臉書、亞馬遜四大互聯網科技巨頭。這四家企業在全球數字領域確立了行業標準，并占領了巨大的市場份額。隨著國家間數字競爭日益政治化，美國采取了多種經濟和政治手段來遏制其他國家的數字信息技術發展，在全球范圍內形成了“數字霸權”。⑥ 憑借這種“數字霸權”，美國在國際經濟活動中享有特權，并形成了一種更為高效隱蔽的新型財富掠奪方式。⑦ 作為美國第三大數字貿易伙伴的歐盟，雖然擁有強大的科技實力與發達的制造業，卻未能孕育出大型的數字科技企業。這使得歐盟在全球數字經濟市場所占份額與其經濟實力并不相稱。而且，美國國家安全利益至上的單邊霸權思維給雙方的戰略合作造成難以彌合的裂痕。⑧ 歐美之間關于數字主權的分歧由來已久，歐洲以增強技術自主為核心實施的“數字主權”戰略與美國鞏固“數字霸權”以持續攫取利益之間存在明顯的結構性沖突。⑨ 雖然歐盟當前的數字經濟實力有限，但是其標準和規則在國際經濟規制中仍然具有獨特和重要的影響力。 歐盟試圖依靠其完善的數據隱私保護制度來主導國際數字治理話語權，維護其在數字時代的利益。這在一定程度上反映了歐盟數據治理規則的布魯塞爾效應與美國監控資本主義的馬太效應之間的對抗。為了限制美國數字科技巨頭在歐盟的無序擴張，并為本土互聯網科技企業的成長創造空間，歐盟采取了多項措施，并頒布了一系列數據相關法案。除了推行數字服務稅試圖將美國科技巨頭攫取的數字紅利留在歐洲以外，歐盟還在２０２２ 年先后通過了《數據治理法案》（Ｄａｔａ Ｇｏｖ?ｅｒｎａｎｃｅ Ａｃｔ）、《數字市場法案》（Ｄｉｇｉｔａｌ ＭａｒｋｅｔｓＡｃｔ）和《數字服務法案》（Ｄｉｇｉｔａｌ Ｓｅｒｖｉｃｅｓ Ａｃｔ）。隨后，歐盟進一步完善了《數據治理法案》，將其修訂為《數據法案》（Ｄａｔａ Ａｃｔ）。

《數字市場法案》主要針對大型互聯網企業濫用市場支配地位的不公平競爭行為。該法案根據特定標準認定部分大型在線平臺為“守門人”企業，對其規定了具體的“應為” 和“不應為”義務，對違反規定的企業規定了明確的懲罰措施，包括罰款甚至“行為性或結構性救濟措施”，例如剝離部分業務。歐盟認定的“守門人”企業多數來自美國，因此該法案也被視為針對美國數字科技巨頭制定的最新義務清單。《數字服務法案》旨在創造更加安全的數字空間與保障用戶的基本權利，為此加強了對互聯網平臺問題的治理，尤其強調平臺對于內容的監管義務。而且，該法案要求互聯網平臺向歐洲監管機構公開其進行內容推薦的算法，以增強歐盟對內容自主管控的力度。《數字服務法案》規定的許多義務僅適用于在歐洲擁有超過４ ５００萬用戶的大型平臺，多數為美國企業（臉書、推特和優兔等都包含在內），違者可能面臨高至全球年營業總額６％的罰款。① 《數據法案》旨在按照歐盟的規則和價值觀為數字市場提供更多可用數據，以激發歐盟數字經濟活力。

綜上所述，歐盟力圖通過各種政策手段壓制互聯網數字巨頭廣泛存在的贏家通吃局面，為本土中小企業參與競爭和創新創造公平友好的環境。同時，歐盟還致力于塑造數字經濟和數據治理規則，使歐盟成為數據驅動型社會的領導者。歐盟迫切希望掌控數字技術主權，減少歐盟成員國對外關鍵技術依賴，提升歐盟在數字時代設定自身規則與價值觀的能力，最終重新定義更為對等的跨大西洋伙伴關系。面對歐盟利用數字規則發出的挑戰，美國一方面在“數據隱私框架”磋商中堅定維護本國的信號情報法律體系，一方面憑借其數字技術優勢和數字科技巨頭的國際壟斷地位推動相關國際標準和規則的制定。此外，美國還加快了國內綜合性數據隱私保護立法的進程。美國參議兩院在２０２２ 年６ 月共同發布了《美國數據隱私和保護法》（Ａｍｅｒｉｃａｎ Ｄａｔａ Ｐｒｉｖａｃｙ ａｎｄ Ｐｒｏｔｅｃｔｉｏｎ Ａｃｔ）草案，這是美國首次在聯邦而非單個州的層面提出此類立法。

４．３ 爭奪全球數字治理話語權

歐美都力圖將各自的數據治理理念和模式推廣為全球范本，不僅在雙方的數據跨境流動安排中展開了直接交鋒，而且在國際層面展開了關于數據保護和數據跨境流動標準制定的博弈，爭奪全球數字治理話語權。歐盟和美國分別借助國內規則的向外流動打造出符合各自利益的數據流動圈，在國際上形成了由歐盟和美國兩大規制體系主導的數字治理基本格局。②

歐盟憑借其數據隱私保護立法的先發優勢，不斷向國際社會輸出規則，擴大其數據治理規則的國際影響力。歐盟一方面通過《一般數據保護條例》為其成員國的數據跨境流動提供統一標準，著力打造內部數字單一市場；另一方面憑借《一般數據保護條例》的“充分性保護水平認定”機制建立了數據跨境自由流動的白名單，將加拿大、日本、阿根廷等諸多國家和地區納入其數據治理陣營。由于歐盟《一般數據保護條例》域外適用廣泛且法律模式可移植性高，已經在事實上成為全球數據保護的標桿，俄羅斯、日本、韓國、巴西、智利等國家在制定本國數據保護法律時都以其為參照范本。為了擴大與歐盟的數字經貿合作空間，部分國家還按照歐盟標準提升了本國的數據保護水平。

美國則主要通過多邊和雙邊協議強化其對規則的主導權。首先，美國利用其在經濟合作與發展組織（ＯＥＣＤ）、二十國集團（Ｇ２０）、亞太經濟合作組織（ＡＰＥＣ）等國際組織中的優勢地位，大力推行其倡導的數據跨境自由流動和反對數據本地化理念，主導發布在信息化背景下國際上首份關于數據跨境流動的法律文件《關于隱私保護與個人數據跨境流動的指南》（ＯＥＣＤ Ｇｕｉｄｅｌｉｎｅｓ ｏｎ ｔｈｅ Ｐｒｏｔｅｃｔｉｏｎ ｏｆ Ｐｒｉｖａｃｙａｎｄ Ｔｒａｎｓｂｏｒｄｅｒ Ｆｌｏｗｓ ｏｆ Ｐｅｒｓｏｎａｌ Ｄａｔａ），并且借助亞太經濟合作組織建立的跨境隱私規則體系（Ｃｒｏｓｓ－Ｂｏｒｄｅｒ Ｐｒｉｖａｃｙ Ｒｕｌｅｓ Ｓｙｓｔｅｍ）擴大了美國在亞太地區制定規則的話語權。此外，美國將數據流動議題納入自由貿易協定規制范圍，利用其在談判中的傳統主動地位，借助一攬子協議將其數據治理理念與模式向經貿合作國家強勢推廣，并且試圖在全球推進具備法律約束力的跨境數據流動規則體系。① 美國在今后的自由貿易協定談判中還將繼續深化數據跨境流動條款， 謀求制定更高水平的數據跨境流動規則。②

五、歐美數據跨境流動的規則博弈帶給中國的思考

數據監管已成為國際競爭的新領域。歐美都力圖將各自的數據治理理念和模式推廣為全球范本，在雙方的數據跨境流動安排中展開了直接交鋒。數據治理話語權的博弈已經超出經濟范疇，與政治甚至意識形態問題交織。如何選擇適合本土的數據監管模式，如何應對歐美在數據治理話語權方面的博弈，是值得我國思考的重要議題。

５．１ 注重我國數字經濟與歐盟的差異，兼顧數據進出口的平衡發展

“施雷姆斯第二案”是歐盟輸出數據法律規則的又一成功實踐。歐盟立法者有意在數據流動監管中嵌入具有擴張功能的概念和規則，旨在將其數據治理理念和模式推向全球，這其中也包括我國。我國的數據治理法律體系，包括數據跨境流動規則，在很大程度上借鑒了歐盟《一般數據保護條例》的核心概念和典型制度。這種法律移植短期內填補了國內數據法律體系的空白，具有積極意義。然而，每個國家的經濟、政治、社會、文化、價值觀和優先發展事項等情況都不盡相同，因此數據監管模式也應當因地制宜，沒有普適的“黃金標準”。在數字治理法律體系已經形成的情況下，我國應更加注重結合本國具體國情，選擇更適合本土的數據監管模式。

我國的數字經濟發展情況與歐盟存在顯著差異。在歐盟這一數字經濟的“洼地”，未能培育出大規模的互聯網企業，而中國孕育了諸如字節跳動、騰訊和阿里巴巴等具有國際競爭力的互聯網企業。歐盟數據治理的重點在于通過實施嚴格的數據流出政策來保護數據主體的權利，深層次的經濟動機在于遏制外國互聯網巨頭的擴張，為本土中小企業的發展創造空間。

相比之下，我國在考慮數據流出風險的同時，還需顧及本國互聯網企業在海外運營時將數據傳輸回國內的需求。當前，我國和歐盟都高度重視防范跨境數據流出的風險。但是，過于嚴格的數據跨境流動政策可能引發他國的反制措施，不利于我國互聯網企業在海外運營的數據回流，從而制約其進一步發展。因此，我國應避免盲目采納歐盟模式的立法慣性或立法惰性，而應適度放寬對商業數據跨境流動的審查限制，兼顧數據進出口的平衡發展。③

５．２ 培育我國的數據市場規模，提升數據治理規則制定的話語權

歐盟成熟的數據市場對于“布魯塞爾效應”（歐盟憑借市場力量單方面監管全球市場的能力）的發揮起到了關鍵作用，而跨國企業在其中扮演了不可或缺的角色。歐盟的數據法律主要目的在于規范內部市場，由于跨國企業無法舍棄歐盟市場，它們不得不接受歐盟的監管，并按照歐盟的規則調整其運營行為。并且，為了便于內部管理和節約運營成本，跨國公司有動力在全球分支機構中推行符合歐盟標準的統一規則。① 此外，為了確保與國內非出口型企業競爭的優勢，跨國企業還有動力游說本國采納歐盟的數據立法模式。而且，它們不僅有資本，還有能力在制度的支持下實現這一目標。最終，歐盟標準不僅在經濟層面上，而且在法律層面上轉化為全球標準。可見，歐盟數據治理模式的全球擴張高度依賴于歐盟市場的全球影響力，這是全球數據監管競爭的基礎邏輯。② 美國在“施雷姆斯第二案”后作出讓步，與歐盟達成“數據隱私框架”，主要原因正是看重歐盟的市場規模。因此，我國若想在全球數據規制中擁有話語權，最有效的途徑之一就是進一步培育本土的數據市場規模。隨著跨國企業在我國市場的數據產品和服務出口比例增加，我國在全球數據規則制定方面的影響力也將逐步提升。

我國擁有龐大的網民基數，這是我國發展大規模數據市場的比較優勢。為了培育我國的數據市場規模，需要建立高效的數據流通和交易制度，重點在于尊重自由市場原則和合同自由原則。在自由市場中，數據作為商品可以進行自由交換和流通，從而促進數據共享。企業可以根據市場需求自主決定數據的收集、處理和使用方式，從而提高數據的質量和價值。自由市場原則還有利于激發市場主體的活力和創造力，推動數據市場的競爭和創新。此外，自由市場原則可以促進數據的跨境流動和國際合作，推動全球數據市場的形成和發展。合同自由原則在培育數據市場中也可發揮重要作用。通過合同約定，交易雙方可以明確數據權屬、使用范圍、保密義務等事項，減少糾紛和沖突的發生。同時，合同自由原則有助于提高市場的透明度和可預測性。總之，在培育數據市場的過程中，應充分尊重和發揮自由市場原則和合同自由原則的作用，為數據市場的健康發展提供有力的支持。

５．３ 完善立法機關和企業之間的溝通機制，助力我國數字企業發展

歐盟法院雖然先后判定《安全港協議》和《隱私盾協議》失效，但是在美國并未對本國情報法律體系作出根本改革的情況下，歐美又達成了“數據隱私框架”，恢復了雙方之間的數據流動秩序，足見數字經濟實力和技術實力在數字經濟體國際交往中的決定性作用。美國數字科技巨頭的成長與其國內法律體制的保障密不可分。無論是達成“數據隱私框架”和簽署《關于加強美國信號情報活動保障措施的行政命令》以滿足美國互聯網企業在歐盟開展業務的需求，還是２０１８ 年頒布《澄清域外合法使用數據法》為美國獲取境外數據提供法律基礎，都充分體現了美國數字企業的利益。這些法律文件的及時發布與美國政治中的游說制度緊密相關。美國的經濟利益集團通過游說制度影響立法進程，確保立法能夠充分回應企業的需求并保障其利益。

我國互聯網企業在海外發展面臨諸多挑戰，如何將這些實際需求及時、高效地傳達給立法機關，以增強立法的科學性和針對性，為企業的海外發展保駕護航，為其與美國互聯網企業之間的競爭提供助力，是一個值得深思的問題。為了加強我國立法機關和企業之間的溝通，可以從以下幾個方面進行嘗試：一是加強立法前的調研和論證，深入了解數字企業的需求和痛點。可以通過問卷調查、實地走訪、座談會等方式收集數字企業的建議，并邀請相關領域的專家學者和數字企業代表等參與立法前的論證，對數字企業的發展需求進行充分討論和評估，以確保法律法規的科學性和合理性。二是健全反饋機制，及時收集數字企業在法律法規實施后的意見和建議，對法律法規進行相應完善和調整。這些措施有助于優化立法機關和企業之間的溝通機制，助力我國數字企業發展。

六、結 語

從《安全港協議》到《隱私盾協議》，再到２０２２ 年的“數據隱私框架”，歐盟和美國二十多年以來就雙方的數據跨境流動制度安排展開了多輪博弈。《隱私盾協議》的失效，本質上是歐盟在“數字主權”戰略下憑借其數據隱私規制話語權對美國牽制的一種反制。而“數據隱私框架”的達成，則是歐盟考慮到“跨大西洋數據流動對于促成歐美之間價值７．１ 萬億美元的經濟關系至關重要”而作出的妥協①。隨著數字技術政治化趨勢的加劇以及中美戰略競爭的升級，我國需要更加謹慎妥善地處理與美國和歐盟的數字博弈關系。作為數字地緣版圖中的重要經濟體，中美歐如何在數字網絡空間進行相互尊重、合作共贏的包容性競爭，如何以多邊力量共同推動全球數字技術進步和維護數字空間秩序，是全球數字治理面臨的新課題。

責任編輯 鄧文科