【数据法学】冯洋：论个人数据保护全球规则的形成路径 ——以欧盟充分保护原则为中心的探讨

B D A I L C 

 欢 迎 关 注 

欧盟试图凭借充分保护原则迫使其他国家的个人数据保护立法向欧盟靠拢，最终目的是建立以欧盟模式为蓝本的全球个人数据保护统一规则。欧盟单方面推行其个人数据保护标准不符合当前全球数据治理多元化的现实。未来数据隐私保护的国际标准不应只是某国或者某地区单方意志的体现，而应是全球各国共同参与建设、体现共识的产物。

张伟民

论个人数据保护全球规则的形成路径

——以欧盟充分保护原则为中心的探讨

浙江大学光华法学院博士后 / 冯洋

1997年美国学者杰西卡·马修斯(Jessica Mathews)和安娜·施洛特(Anne Slaughter)分别撰文指出，1945年以来以联合国为核心的全球治理体系已难以继续推进，全球治理体系的建设需要另辟新径。尽管这两位学者对于全球治理新体系的演进路径有不同的看法，他们都认为计算机和通讯技术的发展已成为全球治理新体系发展的主要动力。[1]全球治理新体系的发展显著地体现在个人数据保护领域。欧盟委员会于1995年通过了《数据保护指令》(Data Protection Directive)（以下简称《指令》）。该法的出台标志着西欧个人数据保护进入“大一统”的欧盟法时代。2016年欧盟委员会通过了《数据保护基本法规》(General Data Protection Regulation)(以下简称《基本法规》)，该法进一步加强了对个人数据的保护。欧盟意图使其创设的个人数据保护规则成为全球统一规则。欧盟个人数据保护规则“全球化”的重要推手是其创设的数据跨境流动的“充分保护原则”。该原则要求凡是接收欧盟个人数据的国家，其个人数据保护状况应达到充分(adequacy)的程度。

当前欧盟的经济、政治实力依然强劲，它提出的充分保护原则得到一些国家的积极响应并不足为奇。问题在于，欧盟单方面推出此项原则是否能够得到世界各国的普遍认同，从而为构建“欧盟版”全球统一数据保护规则奠定基础。尤其需要考察的是美国和中国的态度。如果这两个与欧盟经济体量相当的大国不认同此原则，不按照欧盟的标准提高各自国家的个人数据保护，那么欧盟个人数据保护规则的全球化之路将很难实现。本文在剖析充分保护原则的内涵的基础上，探讨该原则的世界影响，讨论的重点在于欧盟和美国是如何围绕该原则进行互动，希望能够为我国个人数据保护制度的构建以及我国参与全球个人数据保护规则的制定等问题提供有益的思路。

1

 欧盟个人数据的充分保护原则

《指令》和《基本法规》均规定接收欧盟个人数据的国家对个人数据的保护应达到“充分”(adequacy)的程度。[1]对于这一限制，我们可以结合欧盟对其境内个人数据流动的规定来理解。在获得数据主体(data subject)的明确同意后，数据传送者可将相关个人数据在欧盟境内传送，但是不得径直传向欧盟境外。[2]只有当欧盟将其他国家的个人数据保护状况认定为充分后，在欧盟境内的个人数据才能自由流入这些国家。换言之，在个人数据流动问题上，实现个人数据充分保护的国家将被视为是欧盟领土的延伸。充分保护原则犹如一道人为构筑的 “堤坝”，横亘在欧盟和其他国家之间，将个人数据的洪流挡在欧盟的一侧。

充分保护原则在欧盟的确立是多种因素合力产生的结果。首先，这同数据的物理特性有关。数据具有无限复制、瞬时传输、传输成本极低等特性。放任个人数据出境，将使得境外不法分子利用所在国数据保护较弱的“优势”，对欧盟个人数据进行恶意利用，最终损害欧盟居民的利益，也使得欧盟在其境内维持严格的数据保护的努力大打折扣。其次，该原则的确立是吸取历史教训的结果，具有立法上的延续性。二战结束后，饱受纳粹暴行的西欧各国纷纷将隐私权上升到公民基本人权的高度加以保护。早在20世纪90年代初，德国等西欧国家便已将对等保护作为个人数据跨境流动的前提。[3]最后，充分保护原则的施行以欧盟强大的政治、经济实力为后盾。政治上，欧盟成员国是世界许多国家的前宗主国，对后者有着广泛的政治影响。经济上，当前欧盟是世界第一大经济体，是包括美国在内的世界许多国家的重要贸易伙伴和投资目的地。外国政府和企业为了能够最大程度地从欧盟市场获益，他们将不得不以积极的态度回应欧盟对跨境数据的保护要求。

非欧盟国家对个人数据的保护究竟要多充分才能构成欧盟数据保护法语境下的“充分保护”?这个问题可以从法律文本和实践这两个维度进行分析。从法律文本来看，无论是《指令》还是《基本法规》都未对充分保护进行定义，也未给出判断充分与否的标准。但是这两份法律文件都列举了审查他国个人数据保护状况应考虑的因素。《指令》规定与个人数据传送相关的所有因素都应该纳入审查的范围，其中尤其需要注意的是数据的性质、数据处理的目的和期间、数据接收国的法治程度以及行业规则和安全措施等四种因素。[4]《指令》的上述规定表明欧盟注重考察他国个人数据保护的实际状况。但是问题在于上述的规定较为宽泛，在审查过程中操作性不强，因为很难找到若干标准去客观地判断他国的法治程度的高低以及个人数据在事实上是否处于充分保护的状态。

与《指令》相比，《基本法规》在审查标准上有所突破。这部法规较为细致地列举了3类审查标准，它们分别是（1）法治状况、对人权和基本自由的尊重程度、相关综合性立法和专门行业立法以及立法的实施状况；（2）存在掌握足够权力且有效运行的专门规制机构；（3）加入关于个人数据保护的国际条约或多边协定，从而在该领域负有国际法上的义务。[5]上述三类审查标准可谓是形式与实质并重。从形式上看，他国个人数据充分保护的标准较为明确，即，有无综合性立法和特别领域立法，有无专门规制机构，以及是否签署相关国际条约或多边协定。

从实践来看，自1998年《指令》实施以来，欧盟先后认定安道尔、阿根廷、加拿大、法罗群岛等11个国家和地区的个人数据保护达到充分的程度。[6]通过考察欧盟委员会出具的11份审查报告，可以发现欧盟的审查主要是形式审查，即，审查这11个国家的个人数据保护法是否纳入了《指令》的原则和要求。如在2006年公布的加拿大数据保护审查报告中，欧盟委员会认定加拿大的《联邦个人信息保护法案》和各省同类法案纳入了《指令》的原则和要求。而对加拿大立法实施状况的考察，该报告的表述极为简略和模糊，该报告宣称：“关于加拿大相关数据保护核心原则的实施，（欧盟）委员会未发现任何重大问题；相反，自2002年以来，加拿大的数据保护机制及其实施已得到加强”。[7]

11国个人数据审查报告显示欧盟不承认个人数据充分保护模式的多元化。只有当其他国家的个人数据保护在形式和内容上与欧盟模式大体一致时，这些国家才有可能被欧盟认定为实现个人数据充分保护的国家。欧盟模式形式上的两大显著特征在于全面覆盖公私领域的个人数据保护基本法以及专门规制机构。这一颇为单一充分保护认定标准表明欧盟按照其自身的标准保护数据隐私的坚定姿态。正如一位欧盟官员所言：“数据保护可以是解决当前诸多问题的一剂良方，但是它绝不是一个可以讨价还价的问题”。[8]

2

充分保护原则与欧盟个人数据保护模式的世界影响

在充分保护原则的推动下，欧盟个人数据保护模式得以在全球范围内被复制和借鉴。截至2017年9月，全球已有约120个国家制定了全面覆盖公私部门的个人数据保护法。从内容上看，许多国家的个人数据保护法同欧盟相关立法有着相当程度的相似性。2012年澳大利亚学者格兰汉姆·格林立夫(Graham Greenleaf)在比较当时欧洲以外38个国家的个人数据保护法后，认为这些法律普遍接受了1980年经合组织通过的《个人隐私和个人数据跨境流动指引》和1981年欧盟委员会通过的《欧洲与个人数据自动处理相关的保护协定》基本原则和要求。[1]这两个国际协定都是在西欧国家的主导下制定。此外，格林立夫还发现这38部数据保护法还或多或少地纳入了《指令》中的更高要求，如数据跨境的限制、创设专门规制机构、赋予司法救济的权利等。[2]

其他国家的个人数据保护法同欧盟立法存在内容上的相似性，这并不能排除前者独立生成的可能性，但是这种可能性仅仅是理论上的。欧盟模式的世界影响可以从以下两个方面折射出来。首先，除以色列、新西兰等少数国家外，绝大多数非欧盟国家出台个人数据保护法的时间是在1995年之后，也就是《指令》出台以后。这些国家在进行相关立法时具有借鉴《指令》的时间条件。立法是国之大事，这些国家没有理由忽视当时已存在的欧盟同类立法。其次，从世界范围来看，该领域的法律制度呈现出从立法起源地向外扩展的轨迹，即，德国、瑞典等欧盟成员国—欧盟多数成员国—欧盟—绝大多数欧洲国家—世界其他国家。这一扩散轨迹反映出个人数据保护立法的起源地只有一个，即，70年代的以德国为代表的西欧国家。

欧盟个人数据保护模式的世界影响是欧盟矢志推动的结果。2010年欧盟委员会在一份公报中明白地宣称：“欧盟关于数据隐私的法律制度常常被其他国家作为规制同类问题的标准。无论是在欧盟境内还是欧盟境外，欧盟这类制度的效力和影响力都是极为显著的。因此，以相关欧盟数据隐私立法为基础，欧盟须坚持推动全球个人数据保护法律规则和技术标准的发展。”[3]美国学者桑尼·于恩(Sunni Yuen)指出由于世界绝大多数国家不具备同欧盟讨价还价的实力，使得《指令》中的规则成为事实上的世界标准。[4]格林立夫在肯定欧盟个人数据保护立法的世界影响的基础上，提出以欧盟模式为蓝本形成全球个人数据保护法律体系的进路，即，将《欧洲与个人数据自动处理相关的保护协定》这个具有法律约束力的地区性的国际协定扩展成全球性的国际协定。[5]

借助充分保护原则，欧盟的个人数据保护立法已具有相当的世界影响力，其已成为世界许多国家起草同类法律时所借鉴的重要制度资源。规定更为细致、保护力度更强的《基本法规》已于2018年5月正式实施，这意味着欧盟对希望进口其个人数据的国家提出了更高的制度要求，这将在客观上起到提升欧盟个人数据保护规则的世界影响的作用。但是断言欧盟个人数据保护的规则将成为全球统一规则还为时尚早。美国和中国与欧盟体量相当，这两国是数据的主要生产国和利用国。美国和中国是否接受欧盟个人数据保护规则将在很大程度上决定后者的“全球化”之路能走多远。美国启动个人数据保护立法的时间并不比欧盟晚，且在实践中形成了完全不同与欧盟的保护模式。本文的下一节围绕美国的个人数据保护模式及其是否符合欧盟充分保护原则进行探讨。

3

充分保护原则视野下的美国个人数据保护制度

(一) 美国模式不符合欧盟充分保护原则的要求

与欧盟以基本法为主的个人数据保护模式不同，美国的个人数据保护制度形成了以行业自治为主，专门性立法为辅的保护模式。美国立法和政策制定者希望市场在个人数据保护方面发挥主要作用。[1]1998年在提交给国会的一份报告中，美国联邦委员会正式提出行业自治应是美国个人数据保护的主要途径。这份报告提出个人数据保护的五项保护要求，分别是：(1)告知消费者关于信息被收集的事实；(2)赋予消费者选择和同意信息使用和流转的权利；(3)应保障消费者获取被收集信息，以及纠正错误信息的权利；(4)企业采用合理、正当的方式收集、利用信息；(5) 企业应制定有效的关于上述个人数据保护的实施机制和损害救济机制。[2]联邦贸易委员会的职责是监督这些企业切实地贯彻这些细则，使得后者兑现保护个人数据的承诺。[3]

早在1971年，美国国会就制定了《合理消费者信用报告法案》(Fair Credit Reporting Act)。尽管立法起步早、数量较多，但是迄今为止美国国会并未制定出像欧盟《指令》、《基本法规》那样覆盖公私部门的个人数据保护法。当前覆盖范围最广的联邦法律是国会于1974年制定的《隐私法案》(Privacy Act)，但该法仅规范联邦政府机构收集、处理和保存公民个人信息的活动。由于联邦体制的关系，美国大多数州并未制定规范各自州政府机构使用公民个人信息的法律。除《隐私法案》外，美国其他关于个人数据保护的立法都是保护某一特定领域个人数据的专门性立法，如1988年制定的《录像带隐私保护法案》(Video Privacy Protection Act)旨在保护录像带租用客户的个人数据，其他通过立法规范的个人数据保护领域还包括无线和有线通讯、网上儿童隐私、计算机合理使用等。[4]

从欧盟的视角来看，美国行业自治为主、专门性立法为辅的个人数据保护模式未实现对个人数据的充分保护，这主要体现在以下3个方面。

第一，行业自我规制效果不佳。2000年美国联邦贸易委员会出具的一份调研报告显示，尽管绝大多数的商业网站制定了各自的个人数据保护规则，但其中仅有20%的细则体现了联邦贸易委员会于1998年提出的5项保护要求。[5]在这份报告中，联邦贸易委员会承认行业自治尚未实现对个人信息的充分保护。[6]2016年美国学者佛罗仁萨×马若塔(Florencia Marotta)对美国249个网站隐私政策进行测评后发现，73%的网站或多或少地与联邦贸易委员会提出的保护要求不符。[7]马若塔的研究表明仅仅依靠充分竞争条件下的行业自治并不能实现对数据隐私的有效保护。

第二，专门性立法存在缺陷。2000年在承认行业自我规制尚未取得良好效果后，美国联邦委员会建议国会加强个人数据保护的立法。[8] 但美国专门性立法存在严重的缺陷，这体现在：（1）与欧盟的基本法模式相比，专门性立法模式在个人数据保护范围上具有零散性和滞后性，无法将所有行业的个人信息和新兴行业的个人信息纳入到保护的范围中来；[9]（2）现行不同法律对个人数据的界定不一致，有的法律将个人数据定义为识别某个自然人的信息；有的法律采用排除法，明确规定哪些数据属于公共数据，从而把这类数据从个人数据范围中排除出去；还有的法律明确列举了个人数据的类型。个人数据界定的不一致影响了美国个人数据保护法律制度的内部和谐；从法律相对人的视角来看，个人数据界定的不一致增加了相对人守法的成本。[10]

第三，缺乏专门规制机构和相应保障机制。尽管美国有学者认识到，建立数据保护的专门规制机构已成为世界范围内的普遍现象，而缺乏这类机构的国家将处于不利的地位，但迄今为止无论是在联邦层面，还是在州层面，美国都没有建立这类机构。[11]以联邦机构为例，数据保护的职责分散在若干机构中，这些机构包括：联邦贸易委员会、消费者保护局、行政管理和预算局、金融管理局、社会保障局、卫生和公共服务部、国家电信和信息管理局等。这些联邦机构在个人数据保护方面缺乏明确的授权和职权分工。[12]另外，关于个人数据保护机构之间的沟通协调机制、相关程序和专门救济机制都未能通过立法建立起来。

欧盟政府和法学界对美国个人数据保护的现状有清晰的认识。他们普遍认为美国的个人数据保护并未达到欧盟的要求。1999年欧盟数据保护工作小组出具的一份意见书提到：“当前美国以专门领域立法和行业自我规制为中心的个人数据保护制度，并不能为所有传入美国的欧盟个人数据提供充分保护。”[13]美国政府对美国和欧盟之间制度差异的现状也有清晰认识，尽管美国企业对于欧盟个人数据有着巨大的需求，但美国政府从未请求欧盟对其是否实现对个人数据的充分保护进行审查。迄今为止欧盟也从未启动关于美国个人数据保护状况的审查。

(二) 无法弥合的鸿沟——美国不会转向欧盟模式

在欧盟的基本法保护模式被越来越多的国家所接受的大背景下，美国是否会选择接受欧盟模式，构建个人数据保护法和专门规制机构？构建这一制度带来的好处是显而易见的—能够消除欧盟和美国之间个人数据流动的制度障碍，促进双方数据经济的发展。通过分析欧盟和美国各自立法理念和历史进路的差异，我们可以发现至少在可预见的较长时期里，美国不会转向欧盟模式，具体分析如下：

首先，欧盟和美国在数据隐私保护理念上存在显著不同。欧盟重视社会权利的保护。该理念认为公法是保障包括隐私权在内的公民社会权利的基础，而国家承担了提供这类保障的义务。公民隐私是否得到充分保护完全取决于隐私权保护的法律是否得到有效执行。[14]基于社会权利保护理念的欧盟数据保护制侧重于保障公民隐私权。对于数据流动，欧盟模式强调国家权力的全面介入，并进行事前合法性审查。

美国隐私权保护深受自由主义理念的影响。该理念强调限制国家权力，对国家干预市场主体的行为持谨慎和怀疑的态度。在此理念下，公民个人数据保护的主要威胁来自政府，因此美国立法者认为个人信息保护的立法覆盖面不应过大。通过双方合意而达成的契约和不依靠强制力实施的行业自治才是个人数据规制的主要手段。美国司法实践表明，隐私权在同美国宪法第一修正案所保护的言论自由发生冲突时，法院往往倾向于保护言论自由。[15]

其次，欧盟和美国在个人数据保护立法伊始就显现出显著的不同，这种差异在随后的较长历史时期内没有实现弥合，而是继续保持了下来。自1973年瑞典制定第一部个人数据保护法以来，西欧国家在个人数据保护上无一例外地采取综合性的立法形式。[16]欧盟一体化进程也是统一和整合其成员国国内法的过程，面对当时各成员国已较为成熟的个人数据保护法制，欧盟立法者自然而然地选择制定综合性的数据保护法，即，1995年制定的《指令》和2016年制定的《基本法规》。[17]

在1974年，美国国会也曾考虑制定一部综合性的信息隐私保护法，但此项议案未获通过。[18]经过近半个世纪的发展，美国社会已经适应了个人数据保护的专门性立法模式，产生了制度上的“路径依赖”(path dependence)。美国学者保罗·施瓦茨从学理上总结了这一模式带来的好处。他认为出台统一的个人数据保护法将会阻碍美国各州的立法实验，削弱立法创新的动力，并且由于此类立法的修改较为困难，容易使该法在出台后不久就落后于科技快速发展的现实；而专门性的法律的制定和修改更为灵活，能够更为充分地发挥地方立法“试验田”的作用。[19]

通过上述的讨论，我们可以得出如下的结论。关于个人数据保护制度的构建，欧盟和美国的根本差异并不在于发展阶段的“领先”与“滞后”上，而是在于立法理念的不同。美国在制度构建之初就选择了一条与欧盟截然不同的道路，经过五十年的发展，美国和欧盟在在个人数据保护立法上的差异越来越明显，双方都对自身的制度选择产生了路径依赖。可以预见的是至少在较长的一段时期内，美国不会在个人数据保护立法方面转向欧盟模式。

4

美国的反抗：从“安全港协议”到“隐私护盾协议”

对于美国和其他未实现对个人数据充分保护的国家，欧盟提供了3种保障个人数据流动的替代机制。它们分别是（1）个案申请；（2）数据主体的同意；（3）订立数据跨境流动合同。[1]上述3中替代机制中，订立格式合同似乎是最为便捷、成本最低的保障数据跨境流动的机制。但是这一机制并不受美国政府机构和企业的欢迎。主要原因是美方认为合同的内容由欧盟单方面拟定，不利于维护美国的利益。格式合同关于数据传送方和接收方承担共同责任的规定，将把美国企业（数据接收方）拖入诉讼纠纷之中。格式合同中关于纠纷管辖法院是欧盟成员国法院和适用欧盟法的规定也让美方感到不安。因为与美国个人数据保护立法相比，欧盟个人数据保护立法要严苛得多，适用欧盟法将使美方处于十分不利的地位。[2]

基于上述的原因，自《指令》1998年正式生效后，美国积极地同欧盟谈判，希望能够订立双边协议并在其中融入美国的利益诉求。[3]美国是迄今为止唯一的不接受欧盟在个人数据跨境领域的单方制度安排，并积极寻求双边谈判的国家。美国和欧盟先后订立了安全港协议和隐私护盾协议。

(一) 不安全的“安全港协议”（2000-2015）

经过长达两年的艰难谈判，美国和欧盟于2000年6月签订了“安全港协议”(safe harbor agreement)。[4] 该协议比照《指令》的规定，纳入了企业应遵循的七项关于个人数据保护的要求，包括：（1）告知消费者其个人数据被收集的事实和被使用的期限；（2）消费者有权拒绝个人数据的收集；（3）限制个人数据的再次传送；（4）以合理的方式保护个人数据；（5）个人数据的使用必须同收集和利用的目的相关；（6）消费者有权获取个人数据和修正不正确的数据信息；（7）必须采取合理手段保障上述规定的有效施行。[5]

对欧盟个人数据有需求的美国企业可在自愿的基础上向美国商务部提出申请。提出申请的企业须证明其对欧盟个人数据的收集和利用遵循了上述要求。经美国商务部认证的企业将被视为对个人数据提供充分保护，从而可以不受阻碍地将个人数据从欧盟传入美国。对于已通过认证的企业，美国商务部有权监督其个人数据保护状况。如果美国商务部裁定企业违反了安全港协议，那么欧盟成员国可以基于该裁定，阻止该企业将收集的个人数据传回美国。

安全港协议是欧盟和美国在个人数据保护上相互妥协的产物。对于追求实际保护效果的欧盟而言，该协议能够起到提升美国企业个人数据保护状况的效果。此外，该协议让美国联邦机构（如美国商务部和联邦贸易委员会）介入到跨境数据的规制中来，使得跨境数据流动不再是纯粹的行业自治问题。对于美国而言，该协议带来的最大好处是既能确保欧盟个人数据流向美国，又能维持美国传统的个人数据保护模式。[6]相较于个案审查、格式合同等机制，安全港协议更受美国企业的亲睐，原因是其不仅能够极大地降低交易成本，还能够使美国联邦机构取得审查企业个人数据保护的主导权；在此过程中，较为宽松的美国法律和政策也得以适用。[7]

安全港协议签署受到一些欧盟成员国个人数据保护机构和学者的反对。批评者认为安全港协议无法保障欧盟个人数据的安全，批评意见主要集中在协议核心条款的内容过于模糊、美国执法机构权限太窄、缺乏专门救济机制等。[8]随着协议名单上的美国企业数量的逐年递增，欧盟方面的忧虑和不满也随之增长。[9]2013年5月爱德华·斯诺登(Edward Snowden)泄密事件成为该协议命运的转折点。

美国中央情报局前雇员爱德华·斯诺登(Edward Snowden)披露美国国家安全局通过棱镜计划(PRISM)大规模收集欧盟居民的个人信息。这一事件严重影响了欧盟和美国在个人数据保护上的互信。[10]欧盟官方机构很快进行了回应。在2015年马克思·斯希瑞姆(Max Schrems)诉爱尔兰数据保护专员一案中，欧洲法院认为安全港协议未能确保欧盟个人数据在美国得到充分保护，这体现在（1）该协议未能阻止脸书等美国企业将欧盟居民的个人数据无差别地泄露给美国安全局；（2）该协议未能保障欧盟居民获得美国法院的司法救济—即使个人数据被美国政府机构滥用，欧盟居民也无权在美国提起司法诉讼。[11]基于上述理由，欧洲法院裁定安全港协议无效。

(二) 前途未卜的“隐私盾协议”（2016-至今）

2015年欧洲法院的一纸判决使得施行了15年之久的安全港协议突然失效。尽管如此，欧盟和美国还是认为有必要通过双边协议的方式保障欧盟个人数据流向美国。2016年7月欧盟委员会和美国商务部宣布签订名为“隐私盾”(privacy shield )的双边协议。

与安全港协议相比，隐私护盾协议的新内容主要有如下3个方面。 首先，该协议强化了美国企业的个人数据保护义务和美国联邦机构的监管职责。以企业的告知义务为例，安全港协议对于这项义务中仅有几句原则性的规定，但在隐私护盾协议中，该项义务被扩展成14项具体的要求。[12]

其次，该协议对美国政府机构获取欧盟个人数据的活动进行了限制。只有为了侦查和对抗5种与国家安全有关的犯罪活动时，美国政府机构才可以获取欧盟个人数据。这五种犯罪活动分别是：（1）间谍活动；（2）恐怖主义活动；（3）与大规模杀伤性武器有关的活动；（4）对武装部队产生威胁的活动；（5）跨国犯罪活动。[13]

最后，该协议为欧盟公民提供了若干救济渠道。欧盟居民如果认为其个人数据在美国遭到滥用，那么他有权向本国的个人数据保护机构提出申诉，后者应将申诉转至美国商务部和联邦贸易委员会。美国政府创设了调查专员(ombudsperson)，该专员负责处理与国家安全有关的数据收集和使用争议。调查专员独立于美国情报机构，他直接对国务卿负责。

在欧盟看来，隐私护盾协议的签订是喜忧参半的事。喜的是欧盟成功说服美国提高了对欧盟个人数据的保护。欧盟还第一次通过双边协议的方式限制了美国政府收集欧盟个人数据的活动。忧在于美国政府虽然愿意通过双边协议的形式提高对欧盟个人数据的保护，但是其显然不打算改革本国个人数据保护制度。欧盟一些官员和学者认为，隐私护盾协议只是按照2015年欧洲法院的判决对安全港协议进行修补和完善，但根本问题并没有解决，即，美国现行的行业规则和法律规则无法对欧盟个人数据提供充分的保护。[14]可以想见，隐私盾协议将在一片质疑声中施行。在当前美国和欧盟的个人数据保护立法都处于快速发展的背景下，双方制度变革所产生的张力（或合力）将决定隐私护盾协议的存续。

5

结论

由于数据瞬时流动的物理特性和全球电子商务平台等跨国数据经济体的发展，个人数据保护规则的全球统一已是未来的趋势，关键问题在于全球个人数据保护规则应该如何形成。欧盟的方案是利用充分保护原则，使得其他国家的个人数据保护立法高度仿效欧盟立法，最终形成以欧盟个人数据保护规则为蓝本的全球统一规则。

但是在可预见的较长时期内，欧盟的个人数据保护规则很难变成全球统一的规则，主要原因在于欧盟单方面地推行其个人数据保护标准不符合当前全球数据治理多元化的现实。充分保护原则的提出多少带有“制度帝国主义(regulatory imperialism)”的专横。[①]可是当前的欧洲已不是第一次工业革命期间作为世界经济中心的欧洲。在大数据的生产、利用以及数据经济等领域，美国和中国处于更为强势的地位。在个人数据保护问题上，即便是同属西方世界的美国也不愿在个人数据保护立法上接受欧盟模式。另外，从1995年欧盟制定《数据保护指令》以来的23年的时间里，仅有11个国家被欧盟承认实现了对个人数据的充分保护。目前日本和韩国的申请正在审查之中。按照如此缓慢的审查进程，全球多数国家的个人数据保护要获得欧盟的承认还要需要极为漫长的时期。综合上述分析，欧盟模式的全球个人数据保护规则很难形成，即使形成也极有可能处于难以为继的状态。

在我国个人数据保护立法构建的初期，中国学者也试图借鉴欧盟关于充分保护的规定。在周汉华研究员和齐爱民教授各自起草的个人信息保护法专家建议稿中，对于接收中国数据的第三国数据保护状况都提出了要求。前者提出数据接收国应提供充分的法律保护，后者提出数据接收国应提供我国法律规定的最低保护。[②]但是2016年制定的《网络安全法》并未采纳两位学者的建议，而是要求数据在出境前应进行安全评估。[③]

2017年国家网信办发布的《个人信息和重要数据出境安全评估办法（征求意见稿）》（以下简称《办法》），创制了数据出境安全评估的若干具体规则。一方面，该《办法》对出境数据的安全评估有十分严格的禁止性规定，如未经数据主体同意的，或者有安全风险的都不得出境。此外，《办法》还包含兜底条款，即第11条第3款：凡是国家网信部门，公安部门、安全部门认定不能出境的，数据便不得出境。另一方面，该《办法》仍然有相当大的允许个人数据自由流动的空间，这体现在根据《办法》第9条。根据这一条款的规定，原则上只有累计含有50万人以上的个人信息或者数据数量超过1000GB的，才会纳入到监管部门的安全评估中来。对于低于这一数量的个人信息，《办法》实授权给网络运营者进行自我评估。这实际上是一种“抓大放小”的政策。当然上述仅是针对《办法》进行的规范分析，由于存在兜底条款以及其他相关条款存在一定的模糊性，仅依据上述规范并不能准确判断我国数据跨境的限制状况。只有待我国安全评估的陆续开展，我们才能对其评估的实际范围进行经验总结，进而判断安全评估对数据跨境流动的实际影响。

从域外效力来看，我国《网络安全法》不承认该法数据跨境流动问题上具有域外效力。根据《办法》第8条的规定，安全评估主要针对的是数据本身的属性，如出境必要性、数量、敏感性等，而不是第三国的数据保护状况。如此来看，我国的数据跨境规则更加强调本国的保护义务，而不是数据接收国的保护现状，显示出颇为“内敛”的立法姿态。“内敛”的中国数据跨境规则独树一帜，同“外向”的欧盟数据跨境规则形成对比。以对内安全审查为主要内容的数据跨境规则尊重了数据接收国的立法主权，符合当前全球数据治理多元化的现实。尤其需要指出的是，这样的立法姿态符合“一带一路”倡议的精神，在个人数据保护问题上不对他国提出制度要求，有助于打消数据接收国的疑虑，促进沿线国家同中国的数据业务的发展。这也符合全球数据治理多元化的现实。未来数据治理的全球规则应建立在充分尊重世界各国不同的理念、制度以及发展阶段的基础之上。这些规则不应只是某国或者某地区单方意志的体现，而应是全球各国共同参与建设，反映它们的共识的结果。

参考文献

（请向下滑动）

[1] 马修斯认为未来民族国家(nation-state)将逐渐瓦解，国家权力将分散到超国家实体、地方政府、非政府组织等其他类型的机构中，该演变的最终结果是“网络状”全球治理的兴起；而施洛特则认为国家权力不可能被替代，全球治理更多地体现为各国政府机构之间的协作，参见 Jessica Mathews, Power Shift, 76 Foreign Affairs. 51-53(1997); Anne Slaughter, The Real New World Order, 76 Foreign Affairs 197 (1997). 

1.欧盟个人数据的充分保护原则

[1] See Paul M. Schwartz, Preemption and Privacy, 118 Yale Law Journal 914-915 (2009).

[2] See Article 25(1) of the Data Protection Directive and Article 45(1) of the 2012 General Data Protection Regulation.

[3] Article7(1) of the 1995 Data Protection Directive.

[4] Preface of the 1995 Data Protection Directive.

[5] Article 25(2) of the 1995 Data Protection Directive.

[6] Article 45(2) of the 2012 General Data Protection Regulation.

[7] 这11个国家分别是安道尔、阿根廷、加拿大、瑞士、法罗群岛、根西岛、以色列、马恩岛、泽西岛、乌拉圭和新西兰，参见欧盟委员会关于他国数据保护达到充分程度的审查决定，2017年9月26日：

http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm。

[8] See European Commission, Commission Decisions on the Adequacy of the Protection of Personal Data in Third Countries, March 1, 2018,

https://ec.europa.eu/info/law/law-topic/data-protection_en.

[9] Fred Cate, Privacy in the Information Age, New York: Brookings Institution, 1997, p.42.

2.充分保护原则与欧盟个人数据保护模式的世界影响

[10] Graham Greenleaf, The Influence of European Data Privacy Standards Outside Europe: Implications for Globalization of Convention 108, 2 International Data Privacy Law. 73-74 (2012).

[11] Ibid., 75-77.

[12] EU Commission, A Comprehensive Approach on Personal Data Protection in the European Union (January 14, 2011), 

http://ec.europa.eu/justice/news/consulting_public/0006/com_2010_609_en.pdf.

[13] Sunni Yuen, Exporting Trust with Data: Audited Self-Regulation as a Solution to Cross-Border Data Transfer Protection Concerns in the Offshore Outsourcing Industry, 9 Columbia. Science & Technology Law Review 41, 69-70.

[14] Graham Greenleaf, The Influence of European Data Privacy Standards Outside Europe: Implications for Globalization of Convention 108, 2 International Data Privacy Law 68, 81-83 (2012).

[15] Federal Trade Commission, Protecting Consumers in the Next Tech-age: A Report by the FTC Staff (March 28, 2008), 

https://www.ftc.gov/reports/protecting-consumers-next-tech-ade-report-staff-federal-trade-commission.

[16] Federal Trade Commission, Privacy Online: A Report to Congress, (June 1998) 

https://www.ftc.gov/reports/privacy-online-report-congress.

3.充分保护原则视野下的美国个人数据保护制度

[17] Federal Trade Commission, Protecting Consumers in the Next Tech-age: A Report by the FTC Staff (March 28, 2008), 

https://www.ftc.gov/reports/protecting-consumers-next-tech-ade-report-staff-federal-trade-commission.

[18] 美国联邦层面的相关立法包括《电子通讯隐私法案》(The Electronic Communications Privacy Act)(1986);《计算机诈骗和滥用法案》(The Computer Fraud and Abuse Act)(1986); 《儿童网上隐私保护法案》(The Children’s Online Privacy Protection Act)(1998)等。

[19] Federal Trade Commission, Privacy On-line: Fair Information Practices in the Electronic Marketplace: A Report to Congress (2000), 

https://www.ftc.gov/policy/reports/policy-reports/commission-and-staff-reports.

[20] Federal Trade Commission, Privacy On-line: Fair Information Practices in the Electronic Marketplace: A Report to Congress (2000), 

https://www.ftc.gov/policy/reports/policy-reports/commission-and-staff-reports.

[21] Florencia Marotta, Self-regulation and Competition in Privacy Policies, 45 Journal of Legal Studies 2016, 1-2.

[22] Federal Trade Commission, Privacy On-line: Fair Information Practices in the Electronic Marketplace: A Report to Congress (2000),

https://www.ftc.gov/policy/reports/policy-reports/commission-and-staff-reports.

[23] Paul M. Schwartz, The EU-US Privacy Collision: A Turn to Institutions and Procedures, 126 Harvard Law Review. 1975 (2013).

[24] Paul M. Schwartz and Daniel J. Solove. Reconciling Personal Information in the United States and European Union, 102 California Law Review. 897 (2013).

[25] Robert Gellman, A Better Way to Approach Privacy Policy in the United States: Establish a Non-Regulatory Privacy Protection Board, 54 Hastings Law Journal 1187 (2002).

[26] Paul M. Schwartz, The EU-US Privacy Collision: A Turn to Institutions and Procedures, 126 Harvard Law Review 1977-1978 (2013).

[27] Working Party: On the Protection of Individuals with Regard to the Processing of Personal Data (1999), 

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm.

[28] Joel R. Reidenberg, Resolving Conflicting International Data Privacy Rules in Cyberspace, 52 Stanford Law Review 1347 (2000).

[29] 在2011年艾美仕医药市场研究公司案中，美国最高法院认为佛蒙特州2007年制定的旨在限制医生出售、公开和使用就诊记录的州法案，违反了美国宪法第一修正案关于保障（商业）言论自由的规定, 参见Sorrell v. IMS Health Inc.131 S. Ct. 2653 (2011).

[30] Paul M. Schwartz, Preemption and Privacy, 118 Yale Law Journal 914-915 (2009).

[31] Fred H. Cate, Privacy in the information age, Washington DC: Brooking Institution Press, 1997, pp. 5-7.

[32]2007年微软公司总裁比尔·盖茨(Bill Gates)呼吁制定一部全面覆盖公私部门的联邦隐私保护法，但是他的呼吁并未获得当时国会议员响应，参见Anne Broache, Gates Urges Federal Data Privacy Law, CNET NEWS, Mar. 8, 2007, 

http://www.zdnet.com/article/gates-urges-federal-data-privacy-law/.

[33] Paul M. Schwartz, Preemption and Privacy, 118 Yale Law Journal 946 (2009).

[34] Articles 25(4) and 26(1) of the Data Protection Directive and Article 45(1) of the General Regulation.

4.美国的反抗：从“安全港协议”到“隐私护盾协议”

[35] Tracey DiLascio, How Safe Is the Safe Harbor-US and EU Data Privacy Law and the Enforcement of the FTC's Safe Harbor Program, 22 Boston University International Law Journal. 413-414 (2004).  

[36] 美国和欧盟展开双边谈判符合欧盟法律的规定。《指令》第25条第5款规定：在适当的时候，欧盟委员会应通过协商的方式确保其他国家满足充分保护个人数据的要求。这一规定同样见于《基本法规》第45条第6款。

[37] European Commission, Commission Decision 2000/520/EC of 26 July 2000 Pursuant to Directive 95/46/EC of the European Parliament, 

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32000D0520:EN:HTML.

[38] Federal Trade Commission, Enforcement of the U.S.-EU and U.S.-Swill Safe Harbor Frameworks, 

https://www.ftc.gov/tips-advice/business-center/guidance/federal-trade-commission-enforcement-us-eu-us-swiss-safe-harbor.

[39] Morey Elizabeth Barnes, Falling Short of the Mark: The United States Response to the European Union’s Data Privacy Directive, 27 Northwestern Journal of International Law & Business 171, 179-180 (2006). 

[40] Lothar Determann, Determann's Field Guide to International Data Privacy Law Compliance (Edward Elgar Publishing 2012), p. 38.

[41] See Joel R. Reidenberg, E-Commerce and Trans-Atlantic Privacy, 38 Houston Law Review 717, 740-745 (2002).

[42]截至2015年10月，安全港协议名单上共有约4500家美国企业，参见See the U.S.-EU Safe Harbor List, 

https://www.export.gov/safeharbor_eu, 最后访问时间：[2017-9-26].

[43] 斯诺登泄密事件发生后不久，欧盟委员会发布一份指导意见，该意见指出避风港协议的缺陷并列举13项具体的改进意见，参见 European Commission, Guidance on Transatlantic Data Transfers following the Schrems Ruling (Nov. 6, 2015), 

http://ec.europa.eu/justice/newsroom/data-protection/news/151106_en.htm.

[44] 2013年，欧盟公民马克西密安·希瑞姆斯在爱尔兰将该国的数据保护专员告上法庭, 斯希瑞姆声称美国脸书公司(facebook)在将他的个人数据传回美国本土后未能实现对这些数据的充分保护，因为该公司将数据泄露给美国安全局。而爱尔兰数据保护专员则宣称脸书公司已通过美国商务部的认证，属于遵守安全港协议的企业，因此该企业已实现了对数据的充分保护。该案于2015年诉至欧洲法院，参见Maximillian Schrems v. Data Protection Commissioner, 2015 E.C.R. I-19.

[45] See U.S. Department of Commerce, Privacy Shield, 

https://www.privacyshield.gov/article?id=1-NOTICE.

[46] European Commission, EU Commission and United States Agree on a New Framework for Transatlantic Data Flows: EU-US Privacy Shield 1 (2016), 

http://europa.eu/rapid/press-release_IP-16-216_en.htm.

[47] Martin A. Weiss and Kristin Archick, US-EU Data Privacy: from Safe Harbor to Privacy Shield, Congressional Research Service (2016), p. 11.

5.结论

[48] Jonathan R. Macey, Regulatory Globalization as a Response to Regulatory Competition, 52 Emory Law Journal. 1353-1355(2003).

[49] 参见周汉华：《个人信息保护法（专家建议稿）及立法研究报告》，法律出版社，2006年，第17页；齐爱民：《中华人民共和国个人信息保护法示范法草案学者建议稿》，《河北法学》2005年第6期。

[50] 《中华人民共和国网络安全法》第37条。

载于《浙江学刊》 2018年第04期

感谢作者对本公众号的授权

本文仅作学习交流之用

石君

编辑：钟柳依

欢迎点击“阅读原文”