张茜茜等：数据跨境流动有哪些国际规则与协定？

张茜茜涂群数据要素评论

2024-09-16

世界贸易组织（WTO）形成于前互联网时期，没有规制跨境数据流动的专门规则，世界各国的数据跨境流动监管议题多以自由贸易协定（FTA）作为WTO的有益补充，以多边或双边方式对数字贸易新议题制定新规则，不断完善数据跨境流动监管环境。后来，《全面与进步跨太平洋伙伴关系协定》（CPTPP）、《数字经济伙伴关系协定》（DEPA）、《区域全面经济伙伴关系协定》（RCEP）和《美墨加贸易协定》（USMCA）等4个多边自由贸易协定均以“自由流动为原则，限制监管为例外”模式，从特定例外限制、一般例外限制和安全例外限制等三方面，为跨境数据流动规定了“原则+例外”的规制模式。相比较而言，4个多边自由贸易协定的规制标准大致相同，并且都在电子商务或数字贸易章节下对数据跨境流动规定了特定例外限制条款，但是，《区域全面经济伙伴关系协定》（RCEP）监管权更大，《美墨加贸易协定》（USMCA）自由度更高，《全面与进步跨太平洋伙伴关系协定》（CPTPP）和《数字经济伙伴关系协定》（DEPA）限制较为折中。此外，2023年6月，美英两国共同发布《大西洋宣言：21世纪美英经济伙伴关系框架》，宣布双方承诺建立美英数据桥（U.S.-UK Data Bridge）。2023年7月10日，欧盟委员会通过了《欧盟-美国数据隐私框架》（隐私盾2.0），重新恢复了由于原先“隐私盾”框架无效而受阻的跨大西洋数据流动。

1. 《全面与进步跨太平洋伙伴关系协定》（CPTPP）

《全面与进步跨太平洋伙伴关系协定》（CPTPP）是最早对数据跨境流动作出明确规定的全球多边自由贸易协定，由日本、澳大利亚等国主导，既倡导数据跨境自由流动，也赋予了缔约方规制权。我国于2021年9月正式提出加入CPTPP的申请。

CPTPP在第十四章对数据跨境流动的规定是：缔约方应允许通过电子方式跨境传输数据，对通过电子方式传输数据和计算设施的使用可设有各自的监管要求，缔约方为实现合法公共政策目的可采取或维持限制措施，只要该措施没有构成不合理歧视或者未超出所需限度的限制。

2.《美国-墨西哥-加拿大协定》（USMCA）

《美墨加贸易协定》（USMCA）由美国主导，基于美国强大的数字经济贸易地位和数字技术保障等强竞争力，强调数据跨境的自由流动，旨在确立自由贸易协定中数据跨境自由流动的高标准并提高规则的实际约束力。USMCA奉行更高标准数据跨境流动规则，更强调数字贸易的自由化，数据跨境流动特定例外限制规则制定的相对宽松，以促进数据在世界范围内的自由流动。

USMCA第十九章对数据跨境流动的规定是：缔约方不得禁止或限制通过电子方式跨境传输数据，缔约方在未构成不合理歧视或者未超出所需限度的限制情况下，可为实现合法的公共政策目标采取或维持必要限制措施。USMCA虽然在“通过电子方式跨境传输信息”中设置了特定例外，但删除了“计算设施的位置”中特定例外的规定，以限制缔约方对电子商务活动进行监管的政策空间。该协定在第19.12条“计算设施的位置”条款中，并没有规定”公共政策目标例外”，仅规定缔约方不得要求被覆盖的人员在该方领土内使用或定位计算设施作为在该领土内开展业务的条件。通过对数据跨境流动特定例外限制规则的删减，《美墨加贸易协定》要求计算设施非本地化且未规定例外情形，进一步提高了数据的开放程度。

3.《区域全面经济伙伴关系协定》（RCEP）

《区域全面经济伙伴关系协定》（RCEP）由东盟主导，更注重对数据跨境流动的监管自主。考虑到各国数字贸易发展的不同情况，该协定的特定例外限制条款范围明显较广，例外规则更为宽泛，赋予了缔约方更大的数据跨境流动监管权，增加了缔约方对数据跨境流动采取限制的可能性。

RCEP在第十二章对数据跨境流动的规定是：缔约方不得对“计算设施的位置”和通过电子方式跨境传输数据作出限制，但缔约方为实现合法的公共政策目标或保护其基本安全利益，可以采取必要措施对数据跨境流动进行限制。此外，作为主要由发展中国家驱动的自由贸易协定，RCEP更尊重缔约方基于“基本安全利益”的监管需求，在第12.14条和第12.15条增加了保护缔约方基本安全利益的例外条款，且其他缔约方不得对此类措施提出异议。该协定在特定例外条款中额外加入了安全例外，将“基本安全利益例外”规定在“电子商务”章节之下，作为“公共政策目标例外”的平行条款一同适用。在涉及基本安全利益方面，RCEP缔约方拥有更高水平的监管自主权，这也是它最显著的特色。RCEP也规定了“公共政策目标例外”，但在公共政策目标例外的“合法”认定上，该协定在第12.14条和第12.15条的脚注中说明，缔约方确认实施合法公共政策的必要性由实施政策的缔约方决定，明确了缔约方的专断权，且这种权利可以避开其他缔约方政府的挑战，强化了缔约方采取例外措施的自由裁量权。

4. 《数字经济伙伴关系协定》（DEPA）

《数字经济伙伴关系协定》（DEPA）的主导国同时也是CPTPP的成员国，主要由美国、日本等国主导，基本上完全借鉴了CPTPP关于数据跨境流动的相关规定，两者的数据跨境流动条款和数据本土化条款基本一致，都采用了“合法公共政策目标”这种专门例外。我国于2021年11月正式提出加入DEPA的申请。

DEPA第四章对数据跨境流动的规定是：缔约方应允许通过电子方式跨境传输数据，对通过电子方式传输数据和计算设施的使用可设有各自的监管要求，只要没有构成不合理歧视或者未超出所需限度的限制，缔约方为实现合法公共政策目的可采取或维持限制措施。

5.《大西洋宣言：21世纪美英经济伙伴关系框架》（数据桥）

2023年6月8日，美国总统拜登与英国首相苏纳克在白宫会谈后共同发布《大西洋宣言：21世纪美英经济伙伴关系框架》（以下简称“大西洋宣言”），并随附《21世纪美英经济伙伴关系行动计划》（以下简称“行动计划”），双方承诺将从五个方面开展合作：一是加强美英在关键和新兴技术方面的进一步合作；二是推进在经济安全和技术保护工具包和供应链方面的合作；三是进行包容和负责任的数字化转型；四是建设未来的清洁能源经济；五是进一步加强在国防、卫生安全和太空领域的联盟。其中，在第三方面“合作实现包容性和负责任的数字化转型”中，双方将在三个方面加强合作，包括加强数据合作、加快推进人工智能合作、深化隐私保护技术方面的合作等。

——加强数据合作。美英两国一致认为，安全可靠的数据跨境流动是进一步创新的基础。为此，两国承诺建立美英数据桥（U.S.-UK Data Bridge），以促进两国之间的数据流动，同时确保强有力和有效的隐私保护。两国正致力于完成两国各自的评估工作，以便执行大西洋宣言框架。并将通过协调进一步提升数字经济的可信度，包括支持建立全球跨境隐私规则平台，并就数据安全风险建立共识。

——加快推进人工智能合作。美英认识到人工智能有潜力改变我们的社会和经济，决定通过政府力量，释放这些技术快速发展带来的机遇并降低风险。两国将加快在人工智能方面的合作，尤其要确保该技术的安全和负责任发展。两国都支持正在进行的国际活动，包括经合组织、联合国、全球人工智能伙伴关系、欧洲委员会和国际标准组织等开展的活动，并认为有必要在此基础上更进一步，特别是在人工智能的风险和机遇方面。英国已于2023年在英国举办第一届人工智能安全全球峰会（Global Summit on AI Safety），美国副总统哈里斯高级别出席峰会。美国已采取强有力的行动来推动负责任的创新，并正在推动全面应对人工智能风险和机遇的进程，包括公司、学界、民间机构以及盟友和合作伙伴的全面参与。

——深化隐私保护技术方面的合作。为了最大限度地负责任使用数据，美英计划发起隐私保护技术合作（Collaboration on Privacy Enhancing Technologies），并训练负责任的人工智能模型，实现经济和社会效益，同时保护个人隐私和双方的民主价值观。

6.《欧盟-美国数据隐私框架》（隐私盾2.0）

2023年7月10日，欧盟委员会通过了《欧盟-美国数据隐私框架》（隐私盾2.0），重新恢复了因2020年7月欧盟法院判决“隐私盾”框架无效而受阻的跨大西洋数据流动。

——欧美数据跨境流动协议经历了三个阶段。自2000 年以来，欧美数据跨境流动经历了三个发展阶段：第一阶段是2000年的《欧美安全港框架》。安全港框架规定，美国企业只要向美国商务部自我认证遵守满足欧盟《数据保护指令》（指令95/46/EC）相关原则与要求，即可接收从欧盟传输来的个人数据。但是，安全港原则留有特别条款，对于美国政府机构根据国家安全、公共利益及执法需求做出的行为实行例外原则。2013年斯诺登事件爆发，揭示在个人和企业等数据主体不知情的情况下，所有被传输至美国甚至经过美国的数据都有可能被美国情报机关通过数据服务商的主动配合或对主干电信网络的监听获取。据此，2013年，奥地利律师Schrems对Facebook Ireland Ltd提起投诉，要求禁止Facebook Ireland Ltd依据安全港框架将其个人数据转移到美国。2015年10月，欧盟法院发布Schrems I决定，宣布安全港框架无效，认为安全港框架违反《数据保护指令》（指令95/46/EC），侵犯欧盟公民的个人数据根本权利。第二阶段是2016年《欧美隐私盾协议》。2016年，欧盟委员会通过第2016/125号决定，批准《欧美隐私盾协议》，根据隐私盾协议，美国设立独立的隐私盾监察员，负责监督国家安全干预。美国还向欧盟提供关于为国家安全目的访问数据的限制和保障措施的详细承诺。第一，美国企业承担更强义务。美国企业须至少每年提交一次遵守隐私盾要求的自我确认书，完全遵守相关隐私原则，公开隐私政策和执法部门获取个人数据的请求等。美国商务部、联邦贸易委员会、交通部等政府部门负责监督美国企业履行隐私盾义务的行为。第二，明确将美国政府开展网络监控和获取个人信息的范围限制在六个方面：一是侦测、反击外国势力的特定行动；二是反恐；三是反制核扩散；四是网络安全；五是侦测、反制对美国和同盟军事力量构成的威胁；六是打击国际犯罪威胁，包括逃避刑事制裁的行为。美国政府承诺不再进行大规模的任意监控。但是，爱尔兰数据保护专员向爱尔兰高等法院提起Schrems II诉讼，并向欧盟法院移交11个问题要求确认。欧盟法院经审理后认为：美国对数据保护的限制违反比例原则，美国法律没有为数据隐私受到损害的欧盟主体提供有效的救济措施，隐私盾监察员隶属于美国国务院，其独立性存疑。鉴于以上调查结果，欧盟法院认为美国未能为欧盟主体提供有效的救济措施以解决数据传输安全缺陷，于2020年7月宣布第2016/1250号关于隐私盾的充分性决定无效。第三阶段是2023年《欧美数据隐私框架》。经过多年的合作和谈判，2023年7月，欧盟委员会通过《欧美数据隐私框架》充分性决定，被称为隐私盾2.0版。根据数据隐私框架，当个人数据从欧盟向经框架认证的美国公司流动时，美国公司不再需要提供决定要求以外的安全措施。《欧美数据隐私框架》体系由两个部分组成：一是美国商务部发布的《欧美数据隐私框架原则》，二是框架配套文件，包括《第14086号关于加强美国信号情报活动保障的行政令》及其他相关规范美国情报机关活动的文件。美国商务部负责管理《欧美数据隐私框架》日常运作，处理认证申请并监督参与公司是否继续满足认证要求，并通过公示认证名单和退出名单的方式保障数据传输过程中的透明度，认证名单每年更新。美国联邦贸易委员会将针对美国公司遵守框架下义务的情况开展执法。欧盟委员会将持续监测并定期审查充分性决定。首次审查将在充分性决定生效后的一年内进行，根据首次审查结果，欧盟委员会将在与欧盟成员国和数据保护机构协商基础上，决定未来审查周期（审查至少每四年进行一次）。若出现影响美国隐私保护水平的事件，欧盟委员会可调整甚至撤销充分性决定。

——《欧美数据隐私框架》为畅通欧美间数据跨境流动提供了极大便利。美欧间跨大西洋数据流动的贸易7.1万亿美元的经济活动，分别占美国和欧盟跨国数据流动规模的一半以上，框架为美国企业适用GDPR提供大量豁免，为欧美之间的数据跨境提供极大的便利。

——美国通过发布总统令为达成协议做出了巨大让步。鉴于美国政府无意修改大规模监控相关法律，将美国宪法第四修正案免遭政府不合理搜查、扣押的权利扩展至欧盟数据主体，为解决欧盟法院提出的担忧，美国总统拜登于2022年10月签署《第14086号关于加强美国信号情报活动保障的行政令》，在强调情报能力对保障美国国家安全利益、保护公民免受伤害的重要性的同时，重申情报活动必须将所有人在处理个人数据时均享有的合法隐私利益纳入考量。《行政令》一方面将美国情报机构对数据的访问限制在保护国家安全所必需的范围内，并明确要求美国情报机构在信息解密时告知被监控个人，并扩大合规官责任，另一方面对隐私盾框架下的救济措施进行优化，设立独立且有约束力的双层救济机制，以调查和解决关于美国情报机构收集和使用从欧洲经济区向美国公司转移的个人数据的投诉。美国采取行政令形式，在既不影响美国收集外国情报能力，又兼顾境外欧盟人员隐私利益保障的情况下，获取欧盟委员会的充分性认定并推动欧美数据跨境传输，是极具实用主义的策略选择。2023年7月3日，美国国家情报总监办公室确认，美国情报部门已根据第14086号行政令对情报活动采取相应的管理措施，重点内容包括：一是国家情报总监办公室有权获取与国家安全有关或为履行职责所需的所有信息和情报；二是保护通过情报收集的个人信息；三是公民自由保护官负责监督国家情报总监办公室遵守本文件规定的情况；四是国家情报总监办公室不得采取任何旨在阻碍或不当影响公民自由保护官审查投诉或数据保护审查法院的任何行动。国家情报总监办公室应当遵守公民自由保护官的任何决定，除非数据保护审查法院有不同决定，并在违规后采取适当补救措施；五是有权访问受本文件约束信息的所有国家情报总监办公室人员将接受有关适用要求的培训。

相关阅读