推進“一帶一路”數(shù)據(jù)跨境流動的中國方案

推進〃一帶一路〃數(shù)據(jù)跨境流動的中國方案

中國應(yīng)當在尊重各國主權(quán)、安全、發(fā)展利益的前提下，通過雙多邊數(shù)據(jù)保護

合作，切實促進基于“一帶一路"的數(shù)據(jù)跨境流動，充分釋放國際合作發(fā)展的潛

力。

目前，歐盟將自己的數(shù)據(jù)保護模式奉為圭臬,堅持要求其他國家向其看

齊，方可與歐盟進行數(shù)據(jù)流動。美國則從政治經(jīng)濟利益出發(fā)，通過推行基于低

水平保護的數(shù)據(jù)跨境流動模式實現(xiàn)數(shù)據(jù)向美國匯聚，在鞏固和強化美國公司對

全球數(shù)據(jù)掌控的同時，壓縮了各國自主選擇數(shù)據(jù)保護水平的規(guī)制空間。美歐劃

定數(shù)據(jù)流動"小圈子”的做法，并不符合中國倡導共建“一帶一路"的指導精

神。

中國應(yīng)當在尊重各國主權(quán)、安全、發(fā)展利益的前提下，通過雙多邊數(shù)據(jù)保

護合作，切實促進基于“一帶一路"的數(shù)據(jù)跨境流動，充分釋放國際合作發(fā)展

的潛力。

目錄

一、美國的數(shù)據(jù)跨境流動范式

二、歐盟的數(shù)據(jù)跨境流動范式

三、基于“一帶一路〃的中國數(shù)據(jù)跨境制度構(gòu)想

四、結(jié)語

導語

從2013年中國匡家領(lǐng)導人提出共建"絲綢之路經(jīng)濟帶〃和"21世紀海上

絲綢之路”的重大倡議，中國就致力于從"政策溝通、設(shè)施聯(lián)通、貿(mào)易暢通、

資金融通、民心相通”五個重點方面推動"一帶一路〃的建謝口發(fā)展。截至

2021年1月30日，中國已經(jīng)同140個國家和31個國際組織簽署205份共建

"一帶一路”合作文件。從地理上看，這些國家遍布亞洲、非洲I、大洋洲I、歐

洲I、南美洲、北美洲。在萬物互聯(lián)的智能化時代，“一帶一路”除了通信線路

的互聯(lián)互通，必然還伴隨數(shù)據(jù)在“一帶一路"之上的跨境流動。

目前，美歐都通過多種舉措組合的方式，在全球范圍內(nèi)推行符合其價值觀

和政治經(jīng)濟利益的數(shù)據(jù)跨境流動"小圈子"。而我國隨著網(wǎng)絡(luò)安全法的生效，

以及《數(shù)據(jù)安全法（草案）》《個人信息保護法（草案）》向社會公開征求意

見，數(shù)據(jù)跨境流動制度最終方案也呼之欲出。本文將討論在美歐數(shù)據(jù)跨境流動

范式的影響下，我國為推進"一帶一路"數(shù)據(jù)跨境流動可提出的方案。

一、美國的數(shù)據(jù)跨境流動范式

沂年來，美國一直借助亞太區(qū)域經(jīng)濟合作不斷深化自身在數(shù)據(jù)跨境流動規(guī)

則制定的話語權(quán)，在各個國際場合始終推行以亞太經(jīng)濟合作組織（APEC）的隱

私框架（APECPrivacyFramework,APEC隱私框架）為基礎(chǔ)構(gòu)建的跨境隱私

規(guī)則體系（CrossBorderPrivacyRules,CBPRs）。

例如，2017年9月，美國向WTO貿(mào)易服務(wù)委員會提交了針對我國網(wǎng)絡(luò)安

全法的文件，重點針對的即《網(wǎng)絡(luò)安全法》第37條所規(guī)定的數(shù)據(jù)出境安全評

估制度。在該份文件中，美國認為我國網(wǎng)絡(luò)安全法所規(guī)定的數(shù)據(jù)跨境安全評估

制度將"產(chǎn)生非常繁重的義務(wù)要求，阻礙商業(yè)運作,對隱私保護也并無裨

益"；而目前"已經(jīng)存在實現(xiàn)隱私保護的且并不煩瑣(lessburdensome

option)的其他選擇，包括國際跨境隱私保護框架，例如中國支持的APEC跨

境隱私規(guī)則”。

及至2020年,外媒報道美國在6月召開的APEC事務(wù)級別磋商中，提議

將CBPRs體系獨立于APEC框架外，從而讓巴西等非APEC成員也有加入的可

能，不過其目的更可能是將本為APEC成員的中國排除在外，尤其是排除中國

參與推進規(guī)則的制定?？梢钥闯?，APEC的CBPRs制度代表了美國在國際層面

對數(shù)據(jù)跨境流動的利益訴求。同時，在美國國內(nèi)法層面，美國外國投資委員會

(CFIUS)對外商投資審查越來越展現(xiàn)出防范特定國家實體通過投資美國企業(yè)

得以訪問數(shù)據(jù)的傾向。

因此，本節(jié)將從制度設(shè)計邏輯、實施情況、政治經(jīng)濟衡量等多個角度對

CBPRs進行深入分析，并結(jié)合對外商投資審查制度的分析，提煉美國在數(shù)據(jù)跨

境流動方面的總體戰(zhàn)略。

l.CBPRs的制度設(shè)計邏輯

CBPRs的宗旨是通過特定的機制保障APEC隱私框架中九大原則在成員經(jīng)

濟體中得到實現(xiàn)，為亞太地區(qū)的個人信息隱私保護提供指導性原則和標準，最

終促使區(qū)域內(nèi)個人信息在得到保護的基礎(chǔ)上實現(xiàn)無障礙流動，推動亞太地區(qū)跨

境電子商務(wù)的發(fā)展。究其實質(zhì)，CBPRs促進個人數(shù)據(jù)跨境流動的基本邏輯是,

如果位處于不同國家的不同公司，統(tǒng)一承諾并遵循APEC隱私框架提出的九大

個人數(shù)據(jù)保護原則，則個人數(shù)據(jù)在這些公司之間流動就應(yīng)該不受阻礙。相應(yīng)

地,由于這些公司都通過同一套原則來保護個人數(shù)據(jù)，那參與CBPRs的國家就

不得再以保護個人數(shù)據(jù)為理由，阻礙個人數(shù)據(jù)的跨境流動。

因此，整個CBPRs制度提供的個人數(shù)據(jù)保護水平，有賴于APEC隱私嘔

架。如果要參與CBPRs,則特定經(jīng)濟體需要首先對此認同。但事實上，APEC

隱私框架所提供的個人信息保護水平十分有限。

按照國際個人信息保護的頂尖學者格林利夫(Greenleaf)教授的研究，

個人信息保護立法已經(jīng)歷經(jīng)了兩代，目前很可能進入了第三代。

第一代個人信息保護立法的典型是經(jīng)濟合作與發(fā)展組織(OECD)在1980

年發(fā)布的《隱私保護和個人數(shù)據(jù)跨境流動指南》(Guidelinesonthe

ProtectionofPrivacyandTransborderFlowsofPersonalData,以下簡稱

"OECD指南〃)和歐洲理事會(CouncilofEurope)1981年發(fā)布的〃第

108號公約〃。兩份文件在內(nèi)容上有很大程度重疊，并共同定義了現(xiàn)代意義上

的"個人信息保護法"應(yīng)具備的基本內(nèi)容。

第二代個人信息保護原則的代表性立法就是歐盟95年的指令。其在第一

代原則的基礎(chǔ)上進行了擴展,加入了包括"數(shù)據(jù)最小化""刪除”"敏感信

息〃"獨立的個人信息保護機構(gòu)〃等十個要素。

第三代個人信息保護原則的代表性立法還是由歐盟主導的，即《通用數(shù)據(jù)

保護條例》與第二

(GeneralDataProtectionRegulation,GDPR)oGDPR

代立法相比又有了擴展，新增內(nèi)容包括“數(shù)據(jù)保護官〃"數(shù)據(jù)保護影響評

估”"發(fā)生數(shù)據(jù)安全事件后對數(shù)據(jù)保護機構(gòu)的報告和對個人的通知""數(shù)據(jù)可

攜帶權(quán)〃等。

2004年問世的APEC隱私框架從一開始就建立在OECD指南的基礎(chǔ)之

上,其在前言部分明確提及〃本框架與1980年OECD指南的核心理念保持一

致"。雖然OECD指南在2013年發(fā)布了新版的隱私框架，但是內(nèi)容沒有太大

的改動，主要是增加了"建立數(shù)據(jù)保護機構(gòu)”"發(fā)生數(shù)據(jù)安全事件后對數(shù)據(jù)保

護機構(gòu)的報告和對個人的通知""問責原則”等內(nèi)容。

緊隨著OECD指南的修改步伐，APEC隱私框架在2016年的改動也主要

是向2013年版本的OECD指南看齊。因此，從前文勾勒的代際演進來看，

APEC隱私框架中包含的九大原則以及OECD指南，很大程度上依然“凍結(jié)于

20世紀80年代"，因此屬于第一代個人信息保護立法的水準。

2.CBPRS的實施情況

CBPRs在2012年正式啟動，向APEC經(jīng)濟體開放。目前，其官方網(wǎng)站上

聲稱美國、墨西哥、日本、加拿大、新加坡、韓國、澳大利亞、中國臺灣、菲

律賓等九個經(jīng)濟體已經(jīng)加入。顯然，這九個經(jīng)濟體均可算是美國的盟友國家或

地區(qū)。但CBPRs在其官網(wǎng)上也承認：〃目前，總部設(shè)在日本、韓國、新加坡和

美國的公司均可獲得CBPRs認證。"換句話說，另外5個國家或地區(qū)并沒有

實際開始CBPRs認證的運營。

特別值得注意的是，墨西哥是從2013年就決定加入CBPRs,加拿大是

2015年決定加入，但是兩個國家拖延了這么長的時間,還沒有指定問責機構(gòu)

(accountabilityagent),所以即便兩個最早加入的國家到現(xiàn)在為止都尚未

開始運作CBPRs體系,不免讓人困惑這背后的原因。

從取得CBPRs認證的企業(yè)情況來看,到目前為止，取得CBPRs認證的企

業(yè)數(shù)量為36家，其中有3家日本公司，2家新加坡公司，其余為美國公司。與

之形成鮮明對比的是，在歐美隱私盾協(xié)議被推翻前，共有5000余家企業(yè)加入

其中。顯然，從參與企業(yè)數(shù)量來看，差距異常明顯。企業(yè)如此低的參與度，顯

然不能簡單用APEC經(jīng)濟體之間的貿(mào)易量低于美歐之間的貿(mào)易量來解釋。

3.CBPRS的政治經(jīng)濟考量

美國不懈地推進CBPRs近十年之久，但無論是參與的經(jīng)濟體數(shù)量，還是參

與的企業(yè)，都乏善可陳，恰恰反映了CBPRs在政治經(jīng)濟考量方面并不符合很多

國家的利益。換句話說，CBPRs過于彰顯了美國的利益。

一方面，CBPRs體系提供的個人數(shù)據(jù)保護水平實際上僅符合了美國國內(nèi)目

前的隱私立法現(xiàn)狀。仍然從前文所述的個人數(shù)據(jù)立法代際演進的視角來看，

"沒有哪個APEC經(jīng)濟體維系了與APEC隱私框架持平的低水平個人數(shù)據(jù)保護

立法〃。就連已經(jīng)參與CBPRs的九個經(jīng)濟體，除美國外，其國內(nèi)立法已經(jīng)持平

或超越第二代立法。在回顧2013年OECD指南更新的過程時，格林利夫教授

直言，”在美國尚未能生效自己的全面數(shù)據(jù)保護立法時，OECD指南(1980

年和2013年版本)中的原則已經(jīng)是美國在國際協(xié)議中所能接受的最大限度的

隱私保護水平”。

另一方面，參與CBPRs意味著經(jīng)濟體必須放棄對數(shù)據(jù)出境提出符合其國內(nèi)

水平的保護要求。從原理上來說，一個國家的數(shù)據(jù)保護制度，一般來說包括兩

部分，一部分是數(shù)據(jù)在國內(nèi)的保護，另一部分是數(shù)據(jù)跨境制度。綜觀各國立法

和實踐,后者的目的不夕可保障數(shù)據(jù)出境后還享有和國內(nèi)相同或相似的保護水

平。而一旦參與了CBPRs,一個對國內(nèi)數(shù)據(jù)保護提出高要求的經(jīng)濟體，在數(shù)據(jù)

跨境時，就不能再要求接收方或接收國的數(shù)據(jù)保護水平與自身等同或相似，轉(zhuǎn)

而只能接受CBPRs提供的第一代個人數(shù)據(jù)保護立法所提供的保護水平。

這方面最明顯的例子是韓國。在全亞洲范圍內(nèi)，韓國的個人信息保護法可

謂非常嚴格，但在加入CBPRs后，當境外獲得CBPRs認證的數(shù)據(jù)接收方只提

供了低水平個人數(shù)據(jù)保護時,韓國也不能禁止數(shù)據(jù)向其流動。這也是為什么在

加入前，韓國必須修改自己國內(nèi)的法律以適應(yīng)CBPRs的要求。

綜合上述兩方面看，美國政府極力宣揚CBPRs體系，并拉攏其堅定盟友的

加盟，其核心實質(zhì)是——通過建立于低水平保護的個人信息跨境流動秩序，確

保各國家不會用〃自身國內(nèi)提供了高水平保護"為理由而限制個人信息的跨境

流動，最終實現(xiàn)個人信息向美國或美國公司的匯聚。

CBPRs體系使美國目前的個人信息保護水平事實上成為個人數(shù)據(jù)跨境流動

的“金標準”。在有關(guān)CBPRs宣講會中，美國官員極力宣揚CBPRs的好處是

參與國家不需要通過、修改自己的國內(nèi)法；CBPRs可以和各國家國內(nèi)的個人信

息保護法律并行不悖，其潛臺詞無非是CBPRs制度不像歐盟，無論是在充分性

認定的談判中，還是在美歐之間隱私盾的談判中，都需要其他國家修改自己的

法律向歐盟靠攏，或承諾按照歐盟水準開展數(shù)據(jù)保護。

但事實上，美國官員有意或無意地模糊了一個非常重要的區(qū)分:

CBPRs雖然沒有要求參與國修改或降低自己在國內(nèi)對個人數(shù)據(jù)的保護水

平，但是它強制參與國在管控個人信息出境時，不得要求第三國的數(shù)據(jù)接收方

提供超過APEC隱私框架水準的數(shù)據(jù)保護水平。

4.美國對外國投資的審查

2018年，美國對外國投資審查制度進行重大改革，頒布《外國投資風險評

估現(xiàn)代化法案》（以下簡稱FIRRMA法案），旨在大幅度擴張美國外國投資委

員會（CFIUS）的審查權(quán)限，對外國投資者在美國的投資實施更嚴格監(jiān)管審

查。在FIRRMA法案框架下，CFIUS管轄范圍擴張到一些非控制性的投資上。

根據(jù)美國財政部在2020年生效的"FIRRMA實施條例"中進一步明確，如果

滿足以下兩個條件，該非控制性投資即受CFIUS的管轄：一是涉及某些特定行

業(yè)的美國企業(yè)；二是賦予外國人（foreignperson）某些特定權(quán)利。

具體來看，CFIUS對非控制性投資的擴大管轄,就網(wǎng)信領(lǐng)域來說,主要是

對涉及關(guān)鍵基礎(chǔ)設(shè)施（criticalinfrastructure）、關(guān)鍵技術(shù)（critical

technology）及敏感個人數(shù)據(jù)（sensitivepersonaldataofUnitedStates

citizens）的美國企業(yè)（以下簡稱為TID企業(yè)）的外國投資。

同時，根據(jù)FIRRMA法案，CFIUS所管轄的對美國TID企業(yè)的非控制性投

資，賦予外國人的某些特定權(quán)利主要是指下列權(quán)利之一：其一，能夠訪問任何

"重大非公開技術(shù)信息"；其二，獲得美國商業(yè)實體的董事會（或起到類似管

理功能的機構(gòu)）的成員資格或觀察員權(quán)利，或提名某人擔任董事會（或起到類

似管理功能的機構(gòu)）職位的權(quán)利;其三，除了通過股權(quán)投票外,能夠參與到美

國商業(yè)實體重大決策，如涉及美國公民個人敏感信息的使用、開發(fā)、獲取、保

護或披露，關(guān)鍵技術(shù)的使用、開發(fā)、獲取或披露，或?qū)﹃P(guān)鍵基礎(chǔ)設(shè)施的管理、

運營、制造或供應(yīng)。

在CFIUS得到強化后，美國政府也不吝使用，特別是針對來自中國的投

資。2019年，因為個人數(shù)據(jù)原因，CFIUS要求我國兩家企業(yè)出售已控股的

PatientsLikeMe（一家為促進疾病診斷和治療而將患有相似疾病的患者聯(lián)系起

來的在線服務(wù)平臺）和Grindr（在線交友軟件）。同樣是個人數(shù)據(jù)原因，

2020年3月,CFIUS要求北京中長石基信息技犬有限公司剝離其已經(jīng)完成的

對美國酒店物業(yè)管理軟件公司StayNTouch的收購。到2020年年中，CFIUS

要求字節(jié)跳動科技有限公司剝離對Music.ly的投資。及至2020年8月5日，

美國政府宣布所謂的“清潔網(wǎng)絡(luò)計劃〃。

按照美國政府的說法，該計劃是"特朗普政府為保護美國公民的隱私和美

國公司最敏感的信息，使其免受中國共產(chǎn)黨等惡意行為者的侵略性入侵而采取

的綜合性策略"。具體來說，"清潔網(wǎng)絡(luò)計劃”包括：清潔的運營商、清潔的

應(yīng)用商店、清潔的移動應(yīng)用、清潔的云、清潔的光纜。

無論是CFIUS還是清潔網(wǎng)絡(luò)計劃，均是美國通過國家安全例外限制數(shù)據(jù)被

"非美國人"（nonU.Sperson）所訪問。換句話說,美國政府現(xiàn)在著力于限

制數(shù)據(jù)流向特定的主體，而對數(shù)據(jù)流向特定的地區(qū)并不那么在意,只要數(shù)據(jù)持

續(xù)處于〃美國人〃的控制之中。

5.小結(jié)

總結(jié)前文所述，可提煉出美國在數(shù)據(jù)跨境流動的主要范式：一方面通過在

國際層面推行基于低水平保護的CBPRs體系，使其在無須改動其國內(nèi)立法的情

況下，能夠盡可能將數(shù)據(jù)匯聚回美國國內(nèi)，極大地方便美國跨國公司全球統(tǒng)一

運營；另一方面，數(shù)據(jù)在通過CBPRs體系為美國跨國公司掌握之后,再通過美

國國內(nèi)外商投資審查等制度避免因投資事由導致數(shù)據(jù)為特定國家實體所訪問。

換言之,美國政府通過制度性工具同時做到數(shù)據(jù)方面的"開源"和"節(jié)流〃，

兩者相互配合極大強化、鞏固了美國企業(yè)在全球研發(fā)和運營中的優(yōu)勢地位。

二、歐盟的數(shù)據(jù)跨境流動范式

最完整體現(xiàn)歐盟數(shù)據(jù)跨境流動范式的無疑是2018年5月正式實施的《通

用保護條例》(GDPR)。但本節(jié)對歐盟的分析不拘泥于GDPR條文本

身，而是深入分析上屆歐盟委員會實施GDPR跨境制度的核心訴求、歐盟法院

(CJEU)推翻隱私盾協(xié)議的緣由,以及本屆歐盟委員會提出的技術(shù)主權(quán)概念,

以此勾勒出歐盟在當下及近期將會采取的數(shù)據(jù)跨境流動范式。

1.GDPR數(shù)據(jù)跨境流動制度的基本邏輯

GDPR第44條規(guī)定了歐盟個人數(shù)據(jù)跨境流動的基本原則，核心是確保在

跨境傳輸?shù)那樾沃校珿DPR提供的個人數(shù)據(jù)保護水平〃不會減損"(not

undermined)。也就是說，GDPR提供的保護水平應(yīng)該隨著個人數(shù)據(jù)的流動

而詢(followthedata)。按照GDPR的邏輯，個人數(shù)據(jù)受保護是一項基本

人權(quán)。因此，個人信息在跨境場景下的保護，也主要是為了保障個人合法權(quán)

益，即便數(shù)據(jù)已經(jīng)流出了國境。

在GDPR看來，數(shù)據(jù)流出國境，與數(shù)據(jù)在境內(nèi)流動相比，有三個主要的變

化：一是數(shù)據(jù)流出后適用的法律法規(guī)不同了；二是原境內(nèi)監(jiān)管機關(guān)無法對接收

數(shù)據(jù)的境外主體實施管轄權(quán)；三是個人數(shù)據(jù)主體維護自身合法權(quán)益的渠道變少

了，且變得更加困難。因此，GDPR數(shù)據(jù)跨境流動制度的設(shè)計,主要著力于解

決上述三方面問題。在具體制度設(shè)計方面，GDPR在第五章規(guī)定了豐富的數(shù)據(jù)

跨境傳輸機制，由于認證、行為準則等機制尚未正式實施，本節(jié)將重點討論標

準格式合同條款、有拘束力公司準則以及充分性認定三種機制。

根據(jù)GDPR的規(guī)定，標準格式合同條款(StandardContractClauses,

SCC)是由歐盟委員會或監(jiān)管H胞通過的、企業(yè)與企業(yè)之間將歐盟公民個人數(shù)

據(jù)跨境傳輸?shù)綒W盟境外所采用的合同模板。see通過固定數(shù)據(jù)出境后所受保護

原則，決定數(shù)據(jù)出境后所受保護水平。同時，see也引入問責制，通過法律責

任劃分的形式，將境內(nèi)組織明確為主要問責主體，為境內(nèi)監(jiān)管機關(guān)追究責任提

供了便利。當然，境內(nèi)主體也可以通過合同的形式，繼續(xù)追究境外主體的責

任。此外，see還在其合同中規(guī)定了個人數(shù)據(jù)主體可以基于合同擁有一些特定

的權(quán)利。

有約束力的公司準則(BindingCorporateRules,BCR),主要適用于跨

國公司、集團公司，也是著力于上述三個方面?？鐕?、集團公司可制定約

束企業(yè)內(nèi)部之間進行數(shù)據(jù)跨境傳輸?shù)膫€人數(shù)據(jù)保護規(guī)則,如果歐盟認可BCR提

供的數(shù)據(jù)保護水平，便可以在集團內(nèi)部進行數(shù)據(jù)跨境傳輸，無須另行批準。

BCR的保障機制在于即便跨國分公司所在國家的保護水平比較低,則該分公司

還是需要遵守BCR,根據(jù)BCR規(guī)定的原則提供數(shù)據(jù)保護。

具體來說，特定公司在提交BCR申請時，需要確定主申報國家。一旦主申

報國家確定，則以該公司在主申報國家的主體作為承擔有關(guān)于數(shù)據(jù)出境的所有

法律責任的主體——監(jiān)管機關(guān)、個人數(shù)據(jù)主體，均可以通過境內(nèi)的公司主體來

追究法律責任。

充分性認定是GDPR核心的數(shù)據(jù)跨境流動機制，只有數(shù)據(jù)接收方所在國家

具有與歐盟實質(zhì)等同的個人數(shù)據(jù)保護水平，數(shù)據(jù)方可向其進行跨境傳輸。在

GDPR第45條明確指出在進行充分性認定時所考慮的相關(guān)因素，包括法治和

基本人權(quán)保護程度、是否存在獨立且有效運轉(zhuǎn)的監(jiān)管機構(gòu)等。對某個國家或地

區(qū)進行充分性認定，就意味著對該國家或地區(qū)法律法規(guī)的認可；意味著認可該

國家或地區(qū)監(jiān)管機關(guān)對數(shù)據(jù)保護的執(zhí)法力度；也意味著對個人行使權(quán)利便利程

度的認可。因此，充分性認定是個非常慎重的過程，需要全方面的考察。

目前，歐盟確認安道爾、阿根廷、加拿大（商業(yè)組織）、法羅群島、根西

島、以色列、馬恩島、日本、澤西島、新西蘭、瑞士和烏拉圭等國家或地區(qū)具

有同等數(shù)據(jù)保護水平。

此外，GDPR第49條也規(guī)定了基于公共利益、為提起、行使或抗辯法律

訴求等例外情形，或者僅涉及偶發(fā)、少量數(shù)據(jù)的跨境流動情形，允許在欠缺前

述三種機制條件下,遂行數(shù)據(jù)跨境流動。

2.上屆歐盟委員會對GDPR跨境制度的政治經(jīng)濟考量

從前文分析來看,GDPR數(shù)據(jù)跨境流動制度似乎無關(guān)政治經(jīng)濟考量，而僅

僅關(guān)注個人合法權(quán)益保護。但2017年1月10日歐盟委員會對外發(fā)布的一份通

信《在一個全球化的世界中交換和保護個人數(shù)據(jù)》，展現(xiàn)了歐盟委員會如此制

度設(shè)計的另外一個視角。

在這份發(fā)向歐洲議會和歐盟理事會的通信中，歐盟委員會闡述了實施

GDPR數(shù)據(jù)跨境流動制度時的四項意圖。

一是抓住時機讓世界向歐盟看齊。歐盟委員會指出，雖然各國對個人數(shù)據(jù)

保護的路徑、立法發(fā)展存在差異，但近年來展現(xiàn)出一種趨同——普遍接納了一

些重要的數(shù)據(jù)保護基本原則。顯然，不同的數(shù)據(jù)保護體系能夠更好地相互兼容

是件好事，有助于數(shù)據(jù)的全球自由流動。于是歐盟委員會提出，歐盟應(yīng)抓住這

樣的機會，通過推動法律體系趨同，達到推廣歐盟數(shù)據(jù)保護價值和促進數(shù)據(jù)流

動的目的。

二是歐盟的個人數(shù)據(jù)保護體系和改革理應(yīng)是世界的標桿。歐盟以GDPR為

代表推進個人數(shù)據(jù)保護改革，賦予數(shù)據(jù)主體更多的自主控制權(quán)，是在數(shù)字經(jīng)濟

中增強消費者信任的正道，并且GDPR以條例的形式，統(tǒng)一在歐盟境內(nèi)適用，

降低了公司在不同成員國內(nèi)的合規(guī)成本。同時，歐盟成功地結(jié)合了最高水平的

個人數(shù)據(jù)保護和開放的國際數(shù)據(jù)流動，有潛力成為能夠同時提供自由流動和信

任的數(shù)據(jù)服務(wù)中心。

三是個人數(shù)據(jù)保護是不容談判的。在通信中，歐盟委員會多次用了強硬的

措辭。例如，隱私不是可以交易的商品；尊重隱私，是穩(wěn)定、安全、競爭性的

全球商業(yè)流動的前提條件。在數(shù)字時代，高水平的數(shù)據(jù)保護，應(yīng)當與國際貿(mào)易

攜手發(fā)展。當然，這不是意味著歐盟就放棄數(shù)字貿(mào)易發(fā)展：雖然在貿(mào)易協(xié)定

中，個人數(shù)據(jù)保護是不容談判的，但歐盟的數(shù)據(jù)保護體系提供了一系列不同的

工具，可以在高水平保護的同時滿足不同場景下數(shù)據(jù)流動的需求。

四是推動世界向歐盟看齊的最重要抓手是用好"充分性認定"。歐盟委員

會在通信中指出，一旦對某個國家給予了"充分性認定"，數(shù)據(jù)流動到該國就

相當于數(shù)據(jù)在歐盟內(nèi)部流動,該國也就獲得了進入歐盟單一市場的特權(quán)

(privilegedaccess);尤其是在充分性認定所帶來的特權(quán)，歐盟委員會在通

信中勾勒出是否啟動對某個國家的"充分性認定”進程，所考慮的主要方面，

包括特定國家與歐盟之間的商貿(mào)關(guān)系、數(shù)據(jù)流動情況，特定國家在其所在區(qū)域

中是告是隱私和數(shù)據(jù)保護的"領(lǐng)頭羊"，以及特定國家與歐盟的政治關(guān)系，特

別是是否秉持共同的價值和目標。基于上述考慮，2017年開展"充分性認定”

對話時，歐盟委員會在東亞首選日本和韓國，并根據(jù)印度在數(shù)據(jù)保護中的立法

進步情況，視情決定是否和印度開展對話。

總結(jié)此份通信，歐盟委員會將如何戰(zhàn)略性地發(fā)揮GDPR數(shù)據(jù)跨境流動制度

的功能可見一斑：想要獲得來自歐盟的數(shù)據(jù)，只能向歐盟靠攏，不僅是法律制

度和保護水平，而且是基本價值觀和總體政治關(guān)系。因此綜合來看，在亞太地

區(qū)先是日本、韓國、印度向歐盟靠攏，而秉持不同價值觀的中國則暫不被考

慮。隨后事態(tài)的發(fā)展也印證了這份通信的觀點。近年來，歐盟和日本達成了充

分性認定，和韓國的談判也取得了顯著的進展。

3.歐盟法院推翻隱私盾協(xié)議

2020年7月16日，歐盟法院就備受關(guān)注的SchremsII案作出判決，認

定因美國數(shù)據(jù)保護水平未能達到歐盟標準，歐盟與美國在2016年達成的美歐

數(shù)據(jù)跨境轉(zhuǎn)移機制“隱私盾協(xié)議〃無效，同時確認歐盟see繼續(xù)有效。這是歐

盟法院繼2015年認定"美歐安全港框架〃(EU-USSafeHarbor

Framework)無效以來，廢止的第二項美歐間個人數(shù)據(jù)跨境轉(zhuǎn)移機制。

歐盟法院判決的核心論據(jù)在于美國政府根據(jù)《外國情報監(jiān)視法》第702條

和《12333號美國情報活動行政令》開展情報監(jiān)視活動，認為美國把國家安

全、公共利益和執(zhí)法的要求放在首位，其國內(nèi)法對公權(quán)力調(diào)取數(shù)據(jù)的限制，與

歐盟類似的法律限制不匹配,主要體現(xiàn)在數(shù)據(jù)調(diào)取不符合比例性原則，監(jiān)控項

目也不符合"嚴格必要〃的原則，沒有提供對可能成為目標的非美國人員的保

障，未賦予數(shù)據(jù)主體在法院針對美國當局提起訴訟的權(quán)利。因此，美國企業(yè)即

使加入"隱私盾〃，也無法擺脫這些美國法的約束。故“隱私盾協(xié)議〃無法為

歐盟轉(zhuǎn)移到美國的個人數(shù)據(jù)提供充分保護。

但與此同時，在判決中歐盟法院卻支持SCC繼續(xù)有效。歐盟法院認為，雖

然SCC作為合同只能約束數(shù)據(jù)進出口雙方，不能約束數(shù)據(jù)接收國的政府公共機

構(gòu)，但并不必然導致SCC失效。數(shù)據(jù)接收國的政府公共機構(gòu)出于“民主社會"

下的國家安全、國防、公共安全目的對個人數(shù)據(jù)在“必要程度”下的數(shù)據(jù)訪

問，并不與SCC沖突。SCC條款的有效性取決于是否具有一個有效的機制通保

實踐中個人數(shù)據(jù)在接收國得到歐盟同樣標準的保護，以及在SCC的條件不能被

遵守時，雙方是否會立即中止或禁止數(shù)據(jù)轉(zhuǎn)移。歐盟法院認為SCC已經(jīng)建立了

這一有效機制。

歐盟法院還特別指出，數(shù)據(jù)出口方和接收方都有義務(wù)，"一事一議"地在

數(shù)據(jù)跨境前去評估第三國是否提供充分數(shù)據(jù)保護水平；必要時，可以增加額外

的保護措施。數(shù)據(jù)接收方一旦發(fā)現(xiàn)自己不能遵守see(比如第三國執(zhí)法協(xié)助請

求不允許接收方向出口方披露)，則接收方有義務(wù)立即通知數(shù)據(jù)出口方自己不

能遵守see,出口方應(yīng)該暫停或者終止數(shù)據(jù)跨境；如果出口方?jīng)Q定繼續(xù)跨境轉(zhuǎn)

移，應(yīng)該通知本國數(shù)據(jù)保護監(jiān)管機構(gòu)。除非有歐盟委員會對第三國的"數(shù)據(jù)保

護充分性”認定，數(shù)據(jù)保護監(jiān)管機構(gòu)一旦認為see不能在當?shù)貒业玫阶駨模?/p>

而且也不能通過其他方式提供同等于歐盟的數(shù)據(jù)保護水平時，監(jiān)管機構(gòu)應(yīng)該暫

?；蛘呓箶?shù)據(jù)轉(zhuǎn)移到第三國。

4.新一屆歐盟委員會提出的技術(shù)主權(quán)概念

2020年2月，歐盟委員會同時發(fā)布了三份重要的數(shù)字戰(zhàn)略文件，分別是

《塑造歐洲的數(shù)字未來》、《人工智能白皮書》和《歐洲數(shù)據(jù)戰(zhàn)略》。貫穿著

三份戰(zhàn)略文件的一個核心概念，用新一屆歐盟委員會的主席烏爾蘇拉?馮德萊恩

(UrsulavonderLeyen)自己的話來概括，就是歐盟必須重新奪回自己的

“技術(shù)主權(quán)"。所謂"技術(shù)主權(quán)"，在馮德萊恩看來，就是"歐洲必須具有的

能力，即必須根據(jù)自己的價值觀并遵守自己的規(guī)則來做出自己的選擇〃。

結(jié)合這三份戰(zhàn)略文件的內(nèi)容，歐盟的技術(shù)主權(quán)概念實際上在三個層面上展

開——基礎(chǔ)設(shè)施和工具、標準和法律規(guī)則，以及價值觀和社會模式。在基礎(chǔ)設(shè)

施和工具層面，《歐洲數(shù)據(jù)戰(zhàn)略》提出應(yīng)發(fā)展歐盟自己的云服務(wù)產(chǎn)業(yè)。歐盟認

為其經(jīng)濟的數(shù)字化轉(zhuǎn)型取決于安全、節(jié)能、負擔得起的高質(zhì)量數(shù)據(jù)處理能力。

目前，歐盟高度依賴外部供應(yīng)商，因此需要采取措施減少對外的技術(shù)依賴。在

標準和法律規(guī)則層面,歐盟一致認為建立優(yōu)秀的標準和法律規(guī)則是其強項。

三份戰(zhàn)略文件中多處提到了GDPR在統(tǒng)一翔居保護規(guī)則、推進數(shù)字單一市

場方面的巨大作用。在GDPR成功經(jīng)驗的基礎(chǔ)上，三份文件進一步提出了明確

的立法計劃。例如旨在激勵各方數(shù)據(jù)共享的數(shù)據(jù)法案；以及針對科技巨頭收

集、使用、共享數(shù)據(jù)中限制創(chuàng)新和競爭問題的數(shù)字服務(wù)法案等。在價值觀和社

會模式的層面，歐盟希望繼續(xù)通過其建立的基本人權(quán)(如數(shù)據(jù)保護、隱私和不

得歧視)體系、消費者保護、產(chǎn)品安全和責任規(guī)則等法律框架，持續(xù)監(jiān)管包括

數(shù)據(jù)處理和人工智能等在內(nèi)的技術(shù)發(fā)展和應(yīng)用。

聚焦于數(shù)據(jù)，《歐洲數(shù)據(jù)戰(zhàn)略》實際主導人歐盟內(nèi)部市場專員蒂埃里?布雷

頓(ThierryBreton)在系列文件出臺前后發(fā)表了一系列“激進”的言論。例如

"歐盟的數(shù)據(jù)就應(yīng)當留在歐盟境內(nèi)"；歐盟應(yīng)當用工業(yè)政策來孵簡口培訓歐盟

中的冠軍企業(yè)，而恰好留住數(shù)據(jù)、用好數(shù)據(jù)就是歐盟企業(yè)成功的關(guān)鍵；以及

"我確信這些帝國將來不可能好日子依舊，他們攫取了太多的價值"。

5.總結(jié)

為持續(xù)保障個人數(shù)據(jù)受保護的基本權(quán)利，歐盟GDPR圍繞著數(shù)據(jù)保護水平

不降低的原則，為數(shù)據(jù)跨境流動制度提供了多種法律工具。這些法律工具的核

心目標均在于要求數(shù)據(jù)接收國或境外的數(shù)據(jù)接收方提供與GDPR"實質(zhì)性等

同"(essentiallyequivalent)的保護水平?？梢哉f，GDPR實現(xiàn)了歐盟數(shù)據(jù)

保護模式和影響力向境外的投射。

而歐盟法院兩次對Schrems案件的判決，事實上將〃充分性認定〃和〃有

約束力的公司準則"突出為最牢靠和穩(wěn)定的數(shù)據(jù)跨境流動工具。前者需要歐盟

委員會對數(shù)據(jù)接收國遂行全面詳盡的評估，后者同樣需要歐盟成員國數(shù)據(jù)保護

機構(gòu)對所提交的公司準則進行全面詳盡的評估，兩者均有賴于歐盟單方面的自

由裁量。在上屆和本屆歐盟委員會充分意識到數(shù)據(jù)對于歐盟對外商貿(mào)和數(shù)字轉(zhuǎn)

型至關(guān)重要的角色的情況下,可想而知上述自由裁量在作出時，將更加蘊含除

個人權(quán)利保障之外的政治經(jīng)濟考量。

三、基于“一帶一路〃的中國數(shù)據(jù)跨境制度構(gòu)想

作為“一帶一路”倡議的發(fā)起者，中國的數(shù)據(jù)跨境制度安排，應(yīng)當對倡議

的推行有所設(shè)計。而從前文看來，美國和歐盟都在推行由自身主導的、反映自

身利益的數(shù)據(jù)跨境流動"小圈子"，那中國在推動“一帶一路"建設(shè)時應(yīng)該就

數(shù)據(jù)跨境流動做何種戰(zhàn)略選擇？是效仿美國和歐洲，在"一帶一路"中關(guān)起門

來搞小圈子或者俱樂部，還是堅持"和平合作、開放包容、互學互鑒、互利共

贏的絲綢之路精神"。

如果選擇前者，不可避免地要和歐美的數(shù)據(jù)跨境流動發(fā)生直接對沖，對特

定國家以及特定國家的特定企業(yè)來說，就須在〃一帶一路〃、美國商貿(mào)圈、歐

盟商貿(mào)圈中做出選擇。

如果選擇后者，中國應(yīng)該采取哪些具體的舉措？

L貿(mào)易規(guī)則談判

目前，世界貿(mào)易組織（WTO）電子商務(wù)規(guī)則談判在進展之中,2019年我

國也正式加入其中。數(shù)據(jù)跨境流動、數(shù)據(jù)本地化、個人信息保護等具體事項恰

在電子商務(wù)規(guī)則談判之中。但從WTO相關(guān)談判的過往歷史來看，電子商務(wù)規(guī)

則"進展緩慢"，”各成員方紛紛轉(zhuǎn)向簽署各類區(qū)域貿(mào)易協(xié)定”。

而區(qū)域貿(mào)易協(xié)定中，”數(shù)字貿(mào)易國際規(guī)則主要體現(xiàn)在美歐等發(fā)達國家引領(lǐng)

制定的區(qū)域貿(mào)易協(xié)定中。在WTO公布的涉及數(shù)字貿(mào)易和的40多個區(qū)域協(xié)定

中，32個協(xié)定將數(shù)字貿(mào)易（電子商務(wù)）單獨設(shè)章，其中美國主導13個，歐盟

主導7個，其他協(xié)定也基本上由已與美歐簽署協(xié)定后的國家或地區(qū)之間互相簽

署"。

從上述趨勢看，在WTO層面的數(shù)據(jù)跨境流動的談判，必然會經(jīng)歷美歐之

間理念、制度、利益之間的沖突。

如果以正在談判之中的歐盟與印度尼西亞貿(mào)易協(xié)定中的數(shù)據(jù)跨境流動條款

為分析樣本，可以看到歐盟的基本訴求是在貿(mào)易協(xié)定中為GDPR的實施留出足

夠的規(guī)制空間。以新近簽署的《美加墨貿(mào)易協(xié)定》（USMCA）中的數(shù)據(jù)跨境

流動條款作為分析樣本的話,可以看到美國的基本訴求還是〃強迫“各成員國

同意一個基于1氐水平保護的個人信息跨境流動制度，以使各國的個人信息方便

地向美國聚攏。顯然，美國在贊易談判中提出的條義，是為CBPRs體系的后續(xù)

推廣而〃量體裁衣"。

我國的立場則可以新近簽署的《區(qū)域全面經(jīng)濟伙伴關(guān)系協(xié)定》（RCEP）為

分析樣本。RCEP第十二章為電子商務(wù)，其第15條為〃通過電子方式跨境傳輸

信息”。與《跨太平洋伙伴關(guān)系協(xié)定》（TPP）或《全面進步的跨太平洋伙伴

關(guān)系協(xié)定》（CPTPP）的文本相比，RCEP吸納了其大多數(shù)內(nèi)容，但同時增力口

了兩個顯著變化：

一是注釋14中的"就本項而言，締約方確認實施此類合法公共政策的必

要性應(yīng)當由實施的締約方?jīng)Q定"。換句話說,新增的這個注釋賦予了締約方自

主決定何為"合法公共政策〃，因此相比于CPTPP和TPP,RCEP更加尊重各

個締約方的規(guī)制自由(regulatoryautonomy);二是新增了"該締約方認為

對保護其基本安全利益所必需的任何措施。其他締約方不得對此類措施提出異

議"。這一條款相當于在"合法公共政策目標"例外之外，另外開辟了"基本

安全利益”(essentialsecurityinterests)的例外。

可以看出，RCEP條款最顯著的特點是給各個締約方留足了規(guī)制空間。由

于捌居跨境流動是個相對嶄新的議題，涉及許多層面且往往相互沖突的利益訴

求，因此RCEP中此條款的設(shè)計更加尊重各國的主權(quán)、安全和發(fā)展利益。相比

之下，歐盟的條款只允許依據(jù)個人數(shù)據(jù)保護而對數(shù)據(jù)跨境流動做出限制，拒絕

承認其他合法公共政策目標；而美國的條款雖然承認合法公共政策目標，但拒

絕了其他國家按照自己的意愿對個人數(shù)據(jù)保護水平作出設(shè)計的自由。

考慮到RCEP此條款的上述特點，以及〃一帶一路〃國家的廣泛性，因

此筆者的第一個建議是：當我國和其他國家簽署共建"一帶一路”合作義件

時，均可以RCEP中此條款作為數(shù)據(jù)跨境流動的格式條款，吸納于合作文件之

中。

2.雙多邊數(shù)據(jù)保護合作

單純通過前文所述的貿(mào)易規(guī)則設(shè)計，并不足以促成數(shù)據(jù)在“一帶一路〃上

的互聯(lián)互通。如果共建"一帶一路"的國家出于各種政策目