國際貿易中個人數據跨境流動法律規制模式

時至今日，世界各國在個人數據跨境流動規制方面仍未形成統一的制度體系，相關制度的構建仍以歐盟和美國為代表。歐盟重視對公民個人權利的保護，以保護公民個人權利為立法目的構建了其跨境數據規制框架。美國則將促進本國經濟增長作為其構建跨境數據規制框架的首要目的，利用與其他國家和國際組織簽訂協議、強化行業自我約束等方式建立了本國的規制模式。歐盟和美國的個人數據流動立法規制模式在立法價值、立法手段、立法效果諸層面都迥然相異。本文運用文獻研究法和比較研究法，深入細致地分析和比較了歐盟和美國的個人數據規制模式進行，以期為我國規制機制的構建提供參考。

一、引言

隨著第三次工業革命的興起并不斷深入發展，數據已經深入到人們日常的經濟和社會生活中。個人數據的跨境流動，已經成為當前國際貿易發展和世界經濟增長的重要推動力量。基于自身的立法理念和規制目的，歐盟和美國分別建立了彼此的個人數據跨境流動規制模式。這兩種模式雖彼此博弈，卻又彼此協調，互相吸收對方的優點以發展自己，形成了當今世界個人數據跨境流動規制的兩大主流模式。筆者將系統分析歐盟和美國兩種模式形成的基礎及其制度手段，研判其對于歐盟和美國發展經濟和公民數據權利保護的作用，以及其背后所隱藏的利益競爭和惠利需求。

二、歐盟的個人數據跨境數據流動規制模式：對個人數據跨境流動嚴格管束的模式

歐洲理事會各成員國于1981年簽署的《有關個人數據自動化處理之個人保護公約》、歐盟于1995年頒布的《個人數據保護指令》、歐盟于1996年頒行的《通用數據保護條例》共同構筑了歐盟個人數據跨境流動規制的基本法律框架。

1981年歐洲理事會成員國簽署的《有關個人數據自動化處理之個人保護公約》，在歐盟乃至世界個人數據跨境流動規制史上都具有劃時代的意義。作為歐洲理事會內部首個規制成員國之間個人數據跨境流動的規范性文件，受制于當時信息技術發展的程度有限和個人對信息技術認識的狹隘等因素，《公約》雖然不可避免地具有某些局限性，例如，其對個人數據流動規制的范圍僅僅局限于歐洲理事會各個成員國，但是其中的一些開創性規定對于我們今天仍然具有積極意義。《公約》賦予成員國一定的立法自主權，授權各成員國可以根據自身情況以立法形式約束個人數據的跨境流動。第12條明確規定，成員國不得單單以保護公民數據隱私為立法出發點，嚴格管束數據跨境流動。在當時，實現歐洲理事會內部數據信息的互聯互通，進而促進歐洲范圍內商品、服務的流轉，成為歐洲國家進行跨境數據流動規制的重要目的。

在沒有得到數據主體許可的情況下，一旦跨境數據被非法搜集，數據主體的權利極有可能遭受損害。考慮到這一點，在個人數據跨境流動規制層面，歐盟采取的立法措施愈發嚴格。1995年，歐盟頒行了《個人數據保護指令》，將對跨境數據的保護提升到了更高的水平。聞名于學界的“充分保護原則”正是出自該文件。《指令》第25條明確指出，數據跨境流動的前提在于，數據所流向的目的地必須具有保障數據安全的能力。并且，該國或者該地區是否具有此項能力，須由歐盟依據歐盟的規定進行認證。鑒于歐盟認證規定的嚴苛性，符合相關規定的國家只有加拿大、瑞士等12個。

21世紀以來，信息技術迅猛發展，既有的法律文件在規制個人數據跨境流動方面已然不合時宜。新技術的出現要求創制新的法律文件解決數據隱私保護所面臨的難題。2016年歐盟出臺的《通用數據保護條例》成為當前對數據保護力度最大、對跨境數據犯罪行為懲治最為嚴厲的法律文件。《條例》的管轄范圍不僅涉及歐盟各成員國，并對歐盟以外其他國家和地區的數據流動做出限制性規定。凡是將歐盟作為商品和服務市場的企業，都必須自覺接受《條例》的管束。此外，《條例》又一次強調，只有具備保護數據隱私能力的國家和地區才能成為跨境數據流向的目的地。

從《公約》到《條例》，再到《指令》，歐盟立法對個人數據跨境流動的管制力度不斷加大，體現了其建設歐盟統一數據信息體制的立法初衷。

三、美國的個人數據跨境數據流動規制模式：利用雙方、多方協定構建跨境數據規制框架

當今的世界，掌握了更有效更精確數據信息的國家和地區，將會優先獲得發展的主動權。跨境信息的搜集和研究對研判世界商品貿易的發展形勢，加快經濟增長的重要性不言而喻。美國信息產業高度發達，其經濟發展有賴于信息充分自由的流動。為實現數據信息的有效流動，美國采取的措施包括如下。

1.和歐盟訂立協定，保證本國企業獲得數據信息的權益。歐盟對域內數據流向的目的地有著嚴格的要求，而美國對個人數據的保護水平與歐盟的要求相去甚遠。鑒于此，凡是與個人數據流動相關的商業往來，美國企業往往受到歐盟法律的掣肘，以至于其業務難以開展。密切的經貿往來促使美歐開啟了長期的協商，最終美國和歐盟簽署了《美歐安全港協議》。作為兩大經濟體談判的重要成果，該協議對公民隱私的保護作出了全面的規定。美國企業必遵守《安全港協議》中關于公民隱私信息保護的七項原則，才能得到歐盟《歐盟個人數據保護指令》的認可，符合歐盟法律所規定的“充分保護”標準，從而獲得作為歐盟域內個人數據傳輸目的地的資格。《安全港協議》的簽署使美國行業自我約束和歐盟重視人權的理念沖突得以有效化解，密切了二者之間的經濟往來。然而，保護公民隱私和促進經貿發展之間仍然存在著難以調和的矛盾。僅憑《安全港協議》終究不能徹底消除歐美在數據保護理念上的分歧。2013年，曾供職于美國國家安全局的工作人員將美國監聽歐洲政治人物一事公之于眾，加劇了歐美數據傳輸規制體制的矛盾，直接導致了《安全港協議》的失效。在達成協議的15年后，歐洲法院認為《安全港協議》難以達到歐盟數據保護的要求，因其難以確保企業對個人數據的合理使用，為避免非法使用者獲取個人數據信息，于2015年將歐美之間關涉商業貿易的個人數據傳輸認定為非法。可是，《安全港協議》被認定失去效力的時間尚且不足一年，密切的商業往來迫使歐美再次坐到談判桌前，在雙方互相做出讓步之后，在2016年簽訂了《隱私盾協議》。

從本質上看，《隱私盾協議》仍是規制歐美數據跨境流動，促進雙方經貿發展的法律文件。美國的商業機構可依據自身意愿選擇加入協議。《隱私盾協議》在對《安全港協議》糾偏補正的同時，對美國商業機構作出了更加嚴格的義務性規定，在歐盟數據向美國傳輸時，美國商業機構必須依法履行義務。不僅如此，協議還為歐盟公民自我救濟規定了諸多切實可行的措施。

2.憑借亞太經合組織推介美國體制，擴大美式體制的影響力。相對于歐盟，在參與國際跨境數據規制法律制定方面，美國發揮的作用有限。21世紀以來，信息化浪潮席卷全球，面對在跨境數據法規制定方面話語權不足的現實，美國不甘屈居于歐盟之下，憑借自身的政治經濟優勢在亞洲和太平洋沿岸地區制定了和歐盟有較大差異的跨境數據流動規制體制，并取得了一系列成果。

2004年，亞太經合組織頒行了著名的法律文件《隱私框架》。作為亞太地區首個管束跨境數據流動的法律文件，《框架》制定的初衷在于實現個人數據在各國各地區之間的有效傳輸。作為在美國一手支配下所制定出的法律文件，《框架》旨在加快亞太地區電子商貿的發展，在第4章規定，該區域內各國各地區應當以切實可行的舉措打破信息傳輸的阻礙。《框架》不止一次指出，要加強行業的自我約束。諸如此類的規定無一不反映出美國在制定這一法律文件時所起的主導作用。

在《框架》的基礎上，亞太經合組織于2013年頒布了《跨境隱私規則體系》。與《框架》相同，《跨境隱私規則體系》的目標之一也是力求促進數據的跨境傳輸。不同的是，針對違反規則的法人機構，該體系有針對性地增設了管理機構，從而對受此體系管制的企業形成有效的規制。為了進一步增強在跨境數據流動規制法律制定中的話語權，最近這些年，美國在自由貿易談判中加入了對個人數據跨境規制的協商。具有代表性的是美國和韓國于2012年簽署的《美韓自由貿易協定》，對個人數據跨境進行規制的具體措施首次在該協定的電子商務專章中得到了承認。此外，該協定還指出，美韓雙方在非必要情況下，不得設置障礙以妨害數據的自由流動。美國于2015年與環太平洋諸國簽署了《跨太平洋戰略經濟伙伴關系協定》，其中對商貿數據在各成員國之間的流動做出了特別規定。在當前可知的電子商貿專章可以清楚地看到，為了促進數字經濟的增長，各成員國保證在不違反當前法治規范的基礎上，加快信息在世界范圍內的自由傳輸。由此可見，為推廣自身的個人數據跨境流動規制模式，美國在與其他經濟體進行自由貿易的協商時，將本國對跨境數據規制的規則加入遇談判內容中，并使之對參與談判的其他各方產生約束力。

四、歐盟和美國個人數據跨境流動規制體系的對比

1.立法價值：公民權利保護和數據自由傳輸。在個人數據跨境流動規制模式的立法價值上，歐盟和美國存在明顯差異。歐盟主張跨境數據流動規制的前提是要充分保障人權，而美國則強調促進個人數據的自由傳輸。

歐盟注重對公民信息隱私權利的保護，歐盟重視對公民權利保護的風尚早已有之。歐洲理事會于1953年就已經頒行了《人權保護及基本自由公約》，也就是在人權發展史上有名的《歐洲人權公約》。公約的第8條明確了對公民隱私權的保護。歐洲素來有重視人權保障的立法習慣。自1973 年到1984 年這段期間，在世界范圍內進行數據保護立法的13個國家中，歐洲國家的數量達到了8個。一直以來，歐洲都把關于公民數據保護方面的工作，置于保護公民隱私權的框架之中。歐盟的一些立法專家甚至認為，應當將公民的數據信息權納入公民的隱私權之中，以實現二者的一體保護。公民的個人數據權，也只是從數據信息角度對公民隱私權的理解。因此，重視人權保障也就成為歐盟規制個人數據跨境流動的重要出發點。

與歐盟把公民的數據信息權利視為公民重要的人權，利用制定嚴格的法律對跨境數據進行管理的規制模式不同，美國的立法機構則傾向于發揮市場的作用，認為嚴苛的立法無疑將會對企業間的交易造成負面影響，反對利用強制性立法手段調整企業行為，強調以強化行業自我約束的方式維護市場秩序。基于這樣的立法價值取向，美國在制定跨境數據流動規制規則時，首先考慮到的是促進數據的有效流動，進而以此獲得商業利潤，并希望利用全球范圍內跨境數據的自由傳輸鞏固自身信息產業的領先地位。當今的世界已經進入信息化時代，美國深知掌握數據所能帶來的經濟效用，明晰地認識到數據的自由傳輸對于國家長遠利益所能起到的積極作用。正因為如此，美國積極推廣自身的規制模式，以便其繼續鞏固自身可以優先掌握并使用數據的有利地位，充分挖掘數據蘊藏的價值。

2.立法手段：充分保護機制與追究責任機制。針對跨境數據規制的手段，歐盟依循“充分保護”原則，在數據傳輸前做好有效的預防工作，確保傳輸中數據的安全性。美國則建立了數據傳輸的問責機制，對在數據傳輸中侵犯公民隱私權利的機構追究其法律責任。對于區域內外的數據傳輸，歐盟有著不同的要求。歐盟用法律文件（如《歐盟個人數據保護指令》）的形式，鼓勵歐盟內部數據的自由傳輸，限制成員國以保護公民隱私為名，妨害數據流動的措施。然而，歐盟針對內部數據向外流出，實行進行嚴格的管控，只有有能力確保數據安全的域外國家和地區，才有資格成為歐盟數據傳輸的目的地。在確認域外國家和地區是否具有保障個人數據安全的能力方面，《歐盟個人數據保護指令》做出了細致的規定。

從總體上看，美國允許跨境數據在世界范圍內自由充分的流動，但這必須基于一個前提，掌握他人數據的主體必須確保數據的安全，防止公民隱私的泄露。2012年，亞太經合組織在美國倡導下達成的《跨境隱私規則體系》極具美國模式的色彩。《體系》規定凡是在經營業務中涉及到數據傳輸的企業，必須在追究責任機制上遵守行業自我約束模式。只有自身測評合格，并經專業機構審核合格的企業才具備從事相關業務的資格。相關執法機構有權對不遵守《APEC隱私框架》的企業進行懲處。

3.立法效果：擴大影響力和增強話語權。自經合組織于1980年頒布跨境數據傳輸規制的法律文件，直至今天，已有四十多年。在此期間，歐盟和美國依據各自不同的價值取向，建立了兩種迥異的模式，對其他國家規制體制的形成產生了深遠影響。

在歐盟內部，諸多東歐國家，乃至俄羅斯在創制法律時，也將歐盟的法律文件作為重要參考，以保障其規制模式和歐盟的統一。為了得到國際社會的認可，保障自身關涉公民信息跨境流動的交易順利開展，加拿大、澳大利亞和我國的港澳臺地區甚至將其有關個人數據跨境流動規制的法律文件重新創制并頒行。以上所述都表明了，在世界范圍內，歐盟在創制個人數據跨境傳輸法律法規方面對其他國家和地區的巨大影響。

美國的規制模式秉持加快數據有效傳輸的原則，該原則在經合組織，亞太經合組織的跨境數據流動規制機制法律文件中得到了體現，從而對這些組織的成員產生了較大影響，對成員的數據傳輸具有約束作用。

五、結語

歐美個人數據跨境數據流動規制機制構建了當今世界數據跨境流動規制的基本國際格局。二者雖然在數據規制的手段、目的、價值取向諸方面皆有不同，但都對其他國家和地區的數據規制立法產生了不可忽視的影響。鑒于我國在跨境數據傳輸立法方面起步晚于歐美，相關立法仍未成體系，我們應使立法更具實操性、提高商業機構自我約束的守法自覺性，并積極投身于全球范圍內法律文件的創制，為國內公司創造開展跨境貿易競爭的機遇，更好地維護我國的發展利益。