個人數(shù)據(jù)跨境流動規(guī)制的國際格局及中國應(yīng)對

許多奇

(上海交通大學(xué) 凱原法學(xué)院，上海 200030)

伴隨著互聯(lián)網(wǎng)及經(jīng)濟(jì)全球化進(jìn)程的不斷縱深發(fā)展，數(shù)據(jù)在社會中扮演的角色日益重要，始于20 世紀(jì)60-70年代的數(shù)據(jù)跨境流動(“Transborder Data Flow”，“TDR”或“Cross-border Data Flow”)，今天已成為全球貿(mào)易和投資增長的主要途徑。歐盟和美國出于各自的歷史傳統(tǒng)和現(xiàn)實(shí)訴求，創(chuàng)建了個人數(shù)據(jù)跨境流動規(guī)制的兩大立法范式。此兩大范式之間既相互競爭，又相互妥協(xié)和融合。構(gòu)成了國際個人數(shù)據(jù)跨境流動規(guī)制的基本格局。深入探討歐盟和美國立法的內(nèi)容和成因，剖析其所體現(xiàn)的深層次國家需求和利益博弈，對于完善我國的數(shù)據(jù)跨境流動規(guī)制立法和參與國際規(guī)則的制定，都具有重要意義。

一、歐美數(shù)據(jù)跨境流動的規(guī)制體系

(一)歐盟：嚴(yán)格限制個人數(shù)據(jù)跨境流動的規(guī)制體系

歐盟關(guān)于個人數(shù)據(jù)跨境流動規(guī)制的立法體系主要是由1981年歐洲理事會*歐洲理事會是歐盟建立之前歐洲大陸的小聯(lián)合國，成立于1949年，由比利時、丹麥、法國、德國、拉脫維亞、西班牙、瑞典等47個成員國組成。的《公約》、1995年的《歐盟指令》和2016年的歐盟《條例》三個標(biāo)志性法律文件構(gòu)成的。

1981年歐洲理事會通過的《與個人數(shù)據(jù)自動化處理有關(guān)的個人保護(hù)公約》 (European Treaty Series, No. 108)*Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, Strasbourg, 28.I.1981.，是歐洲第一個針對跨境數(shù)據(jù)流動進(jìn)行規(guī)制的區(qū)域性法律文件?！豆s》還僅僅涉及歐洲成員國之間的數(shù)據(jù)流動，它規(guī)定：對正在或?qū)⒁蛔詣踊幚淼目缇硵?shù)據(jù)轉(zhuǎn)移原則上是可以進(jìn)行限制的，成員國可以自行制定有關(guān)跨境數(shù)據(jù)傳輸?shù)南拗菩砸?guī)定，如轉(zhuǎn)移數(shù)據(jù)的類型等。但公約不允許成員國僅僅基于隱私權(quán)保護(hù)的考慮，就禁止或以特別許可授權(quán)的方式限制數(shù)據(jù)的跨境轉(zhuǎn)移(第12條)?？梢娫谶@一時期，通過立法克服各國國內(nèi)法造成的數(shù)據(jù)流動障礙，積極推動成員國之間的數(shù)據(jù)跨境共享，以實(shí)現(xiàn)歐洲內(nèi)部市場人員、貨物、勞務(wù)、貨幣自由流通的目標(biāo)，是歐洲理事會進(jìn)行跨境數(shù)據(jù)流動規(guī)制立法的主要關(guān)注點(diǎn)。

鑒于數(shù)據(jù)跨境面臨的數(shù)據(jù)未經(jīng)授權(quán)的收集、訪問、使用、披露和篡改的潛在威脅，歐盟逐步開始考慮數(shù)據(jù)脫離歐盟管轄區(qū)的實(shí)際風(fēng)險，數(shù)據(jù)跨境規(guī)制日漸嚴(yán)格化。歐盟1995年發(fā)布的《個人數(shù)據(jù)保護(hù)指令》(EU Directive 95/46/EC)*Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, Official Journal L 281 , 23/11/1995 P. 0031-0050.即建立了較高的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，其中提出了著名的“充分保護(hù)原則”?！吨噶睢返?5條規(guī)定：只有當(dāng)數(shù)據(jù)轉(zhuǎn)移目的國達(dá)到歐盟所認(rèn)可的充分保護(hù)水平的條件下，才可以進(jìn)行數(shù)據(jù)轉(zhuǎn)移，從而確立了歐盟個人在電子商務(wù)和借助大跨國公司經(jīng)營的社交媒體和郵件通信時的隱私權(quán)保護(hù)規(guī)范。歐盟承認(rèn)的具有充分?jǐn)?shù)據(jù)保護(hù)能力的國家僅包括加拿大、瑞士、阿根廷等12 個。

為了回應(yīng)新興技術(shù)特別是大數(shù)據(jù)、云計(jì)算、智能終端等對個人數(shù)據(jù)保護(hù)造成的沖擊，建立統(tǒng)一的內(nèi)部法律框架應(yīng)對新技術(shù)的發(fā)展，并克服成員國立法保護(hù)水平差異給數(shù)據(jù)經(jīng)濟(jì)市場發(fā)展造成的障礙，歐洲議會和歐盟理事會于2016年4月14日通過了新的個人數(shù)據(jù)保護(hù)法，即《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation,以下簡稱GDPR)。*REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016.該條例將于2018年5月25日正式生效。GDPR不僅在所有成員國范圍內(nèi)直接具有法律約束力，而且謀求更大的域外效力，明確規(guī)定條例對在歐盟境外處理個人數(shù)據(jù)的行為也具有適用效力，即向歐盟公民提供服務(wù)或在歐盟市場內(nèi)經(jīng)營的公司，GDPR都有管轄權(quán)。在數(shù)據(jù)跨境問題上，GDPR增加了更多可實(shí)現(xiàn)個人數(shù)據(jù)跨境轉(zhuǎn)移的條件，并再次強(qiáng)調(diào)歐盟不允許將其公民的個人數(shù)據(jù)轉(zhuǎn)移至那些不能提供充分保護(hù)的地區(qū)和國家。GDPR被稱為史上最嚴(yán)格、保護(hù)水平最高的數(shù)據(jù)保護(hù)規(guī)則。

總之，上述“公約”、“指令”和“條例”三個法律文件的約束力逐漸增強(qiáng)，對個人數(shù)據(jù)跨境轉(zhuǎn)移的限制越來越嚴(yán)格，充分表明了歐盟希望通過立法的不斷完善保障歐洲共同體整體數(shù)據(jù)保護(hù)水平的訴求，也反映了歐盟希望通過構(gòu)建“數(shù)字單一市場”提升數(shù)字經(jīng)濟(jì)競爭力的愿望。*黃寧、李楊：《“三難選擇”下跨境數(shù)據(jù)流動規(guī)制的演進(jìn)與成因》，載《清華大學(xué)學(xué)報(哲學(xué)社會科學(xué)版)》2017年第5期。

(二)美國：通過雙邊或多邊協(xié)議強(qiáng)化數(shù)據(jù)跨境的規(guī)制體系

在“得數(shù)據(jù)者得天下”的新信息時代，對跨境數(shù)據(jù)的收集和分析是掌握國際經(jīng)濟(jì)動向，促進(jìn)本國經(jīng)濟(jì)發(fā)展的重要方式。據(jù)美國國際貿(mào)易委員會(ITC) 估計(jì)，數(shù)據(jù)流動使得美國的GDP增加了3.4-4.8個百分點(diǎn)，創(chuàng)造了240 萬個就業(yè)*United States International Trade Commission (USITC), Digital Trade in the U.S. and Global Economies, Part 2, August 2014, p.1.。美國基于其信息產(chǎn)業(yè)的優(yōu)勢地位以及對數(shù)據(jù)自由流動的依賴性，通過多種途徑促進(jìn)數(shù)據(jù)跨境，主要作法有以下兩種：

1.與歐盟簽訂雙邊協(xié)議，為企業(yè)獲得數(shù)據(jù)跨境傳輸資格。由于美國對于個人數(shù)據(jù)保護(hù)未能達(dá)到歐盟要求的“充分保護(hù)”水平，美國企業(yè)在歐盟開展業(yè)務(wù)，從事相關(guān)的跨境個人數(shù)據(jù)傳輸與交易活動受到嚴(yán)重限制。美國需要找到本國企業(yè)可以符合歐盟數(shù)據(jù)保護(hù)指令簡單又高效的辦法；歐盟也考慮到與美國之間經(jīng)濟(jì)聯(lián)系密切的現(xiàn)實(shí)，在商業(yè)利益驅(qū)動下，經(jīng)過漫長的談判，美國商務(wù)部與歐盟委員會于2000年11月1日達(dá)成了《美歐安全港協(xié)議》(U.S.-EU Safe Harbor Framework)?！栋踩蹍f(xié)議》規(guī)定了七項(xiàng)隱私權(quán)保護(hù)原則：通知原則*通知原則即應(yīng)當(dāng)告知個人，他們的數(shù)據(jù)正在被收集以及數(shù)據(jù)將如何使用。、選擇原則*選擇原則是指：如果公司計(jì)劃將個人數(shù)據(jù)傳輸給其他公司，或者不同于原收集數(shù)據(jù)目的而利用該數(shù)據(jù)時，消費(fèi)者有權(quán)選擇退出；對于敏感性數(shù)據(jù)，消費(fèi)者可以在數(shù)據(jù)傳輸前或?yàn)椴煌谠占康氖褂迷摂?shù)據(jù)前，以明示的方式選擇加入。、向前轉(zhuǎn)移原則*向前轉(zhuǎn)移原則是指，數(shù)據(jù)收集機(jī)構(gòu)僅能將數(shù)據(jù)轉(zhuǎn)移給遵守這些原則的第三方。、安全原則*安全原則是指，任何持有個人數(shù)據(jù)的組織應(yīng)當(dāng)以合理的注意防止數(shù)據(jù)流失、濫用及未經(jīng)授權(quán)的接入獲取等。、數(shù)據(jù)完全性原則*數(shù)據(jù)完全性原則是指，收集數(shù)據(jù)應(yīng)當(dāng)與使用目的相關(guān)，并且確保收集數(shù)據(jù)的正確性。任何機(jī)構(gòu)不得以不符合收集數(shù)據(jù)目的之方式進(jìn)行數(shù)據(jù)處理。、接入原則*接入原則是指，數(shù)據(jù)收集機(jī)構(gòu)應(yīng)當(dāng)允許個人能夠得到本人數(shù)據(jù)。如果數(shù)據(jù)有誤，個人可以修改或刪除數(shù)據(jù)。和執(zhí)行原則*執(zhí)行原則是指，應(yīng)當(dāng)存在確保上述“安全港原則”成為數(shù)據(jù)收集機(jī)構(gòu)所遵守的具體規(guī)則之主旨，例如個人向機(jī)構(gòu)追索救濟(jì)或法律對違規(guī)行為的懲罰?！栋踩蹍f(xié)定》授權(quán)一套雙層執(zhí)行機(jī)制，原則上進(jìn)行行業(yè)自律，如有必要，再由政府執(zhí)法機(jī)構(gòu)執(zhí)行。。歐盟委員會認(rèn)為美國的商業(yè)機(jī)構(gòu)只要能夠制定并遵守符合上述安全港原則的隱私保護(hù)政策，就可以加入安全港并被認(rèn)定為達(dá)到《歐盟指令》所要求的“充分保護(hù)水平”，進(jìn)而可以接收和處理來自歐盟的個人數(shù)據(jù)。如果違反一系列隱私原則，歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)有權(quán)中止數(shù)據(jù)跨境流動。《安全港協(xié)議》暫時緩和了歐盟強(qiáng)制規(guī)范與美國行業(yè)自律之間的矛盾，促進(jìn)了美國企業(yè)在歐洲的發(fā)展與擴(kuò)張。

但是，《安全港協(xié)議》的達(dá)成無法作為長久的解決方案，因?yàn)槊罋W雙方關(guān)于數(shù)據(jù)隱私保護(hù)法律的巨大差異仍然存在。*參見Julia M. Fromholtz, the European Union Data Privacy Directive, Berkeley Technology Law Journal, Vol. 15, 2000, p. 483.歐美數(shù)據(jù)流動制度不協(xié)調(diào)的矛盾因斯諾登事件的曝光而更加凸顯，并最終導(dǎo)致安全港協(xié)議的失效。2013年，前NSA雇員愛德華·斯諾登曝光大量來自美國情報機(jī)構(gòu)的機(jī)密文件，其中不乏對歐洲領(lǐng)導(dǎo)人的監(jiān)控。而蘋果、微軟等這樣的大型科技公司都有意或無意地參與了NSA的監(jiān)控行動。2015 年10月6日，在簽訂了15 年之后，歐盟法院( Court of Justice of the European Union (CJEU) 裁定基于商業(yè)目的的個人數(shù)據(jù)在歐盟28個成員和美國之間合法轉(zhuǎn)移的安全港協(xié)議無效，裁定的原因是認(rèn)為安全港協(xié)議目前已經(jīng)無法達(dá)到歐盟的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，無法阻止公司將數(shù)據(jù)文件泄露給未授權(quán)方*Communication from the commission to the European parliament and the council on the transfer of personal data from the EU to the United States of America under Directive 95 /46 /EC following the judgment by the Court of Justice in Case C-362 /14.。然而，就在安全港協(xié)議失效的一年內(nèi)，歐美在跨境數(shù)據(jù)流動創(chuàng)造的商業(yè)利益驅(qū)使下，于2015年末起重新談判，經(jīng)過反復(fù)磋商和多次修改，于2016年7月12日達(dá)成《歐美隱私盾協(xié)議》(EU-U.S. Privacy Shield Framework)，成為規(guī)制雙方數(shù)據(jù)流動的新妥協(xié)方案。

《隱私盾協(xié)議》的核心是對大西洋兩岸跨境轉(zhuǎn)移個人數(shù)據(jù)的隱私保護(hù)進(jìn)行規(guī)范，為大西洋兩岸的歐洲和美國企業(yè)從歐盟向美國傳輸個人數(shù)據(jù)過程中提供歐盟數(shù)據(jù)保護(hù)規(guī)定的合規(guī)機(jī)制，并支持跨大西洋商業(yè)合作的發(fā)展。與《安全港協(xié)議》相同，美國企業(yè)也采取自愿加入的方式接受《隱私盾協(xié)議》，也要遵守《安全港協(xié)議》提出的七項(xiàng)基本原則；但是《隱私盾協(xié)議》克服了《安全港協(xié)議》存在的一些缺陷及弊端，對美國公司施加更重的個人數(shù)據(jù)保護(hù)義務(wù)，在《安全港協(xié)議》七大原則的具體實(shí)施上要求美國公司從歐盟進(jìn)口數(shù)據(jù)履行更多承諾。此外，《隱私盾協(xié)議》強(qiáng)化了監(jiān)督與實(shí)施機(jī)制，賦予歐盟公民更豐富的救濟(jì)權(quán)利和救濟(jì)手段：一是它賦予歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)對數(shù)據(jù)接收者的第三國的數(shù)據(jù)保護(hù)水平享有充分的調(diào)查權(quán)，突出強(qiáng)調(diào)了公司對隱私盾協(xié)議相關(guān)質(zhì)詢回應(yīng)的及時性；二是確保公司一旦違反了隱私盾的條件就要受到制裁，而不像安全港協(xié)議缺乏懲罰性手段。制裁的方式包括對與原則不一致的裁定結(jié)果必須公開以及要求在特定條件下刪除數(shù)據(jù)。對于情節(jié)較為嚴(yán)重的，如長期不履行隱私盾協(xié)議的公司，將被移除隱私盾協(xié)議的名單，并勒令他們交回或者刪除此前在協(xié)議下收集的個人信息。三是賦予歐盟公民向企業(yè)申訴的權(quán)利，這意味著歐盟公民首次獲得了依據(jù)數(shù)據(jù)保護(hù)規(guī)則向美國企業(yè)主張權(quán)利的途徑。

美歐在個人數(shù)據(jù)保護(hù)方式、思路、宗旨等方面存在著巨大差異，《隱私盾協(xié)議》從本質(zhì)上看，仍然是雙方相互妥協(xié)、讓步的產(chǎn)物。從內(nèi)容來講，它更多地體現(xiàn)出歐盟數(shù)據(jù)保護(hù)制度的最新改革成果，進(jìn)一步拓展了歐盟在國際規(guī)則制定中的影響力。從意義來看，《隱私盾協(xié)議》為歐盟和美國企業(yè)的商業(yè)活動提供了制度支持和保障，進(jìn)一步加強(qiáng)了對歐盟公民個人數(shù)據(jù)的保護(hù)力度，它還標(biāo)志性地宣告了公權(quán)力對個人權(quán)利侵犯應(yīng)當(dāng)受到嚴(yán)格限制的理念。但是，《隱私盾協(xié)議》的程序性規(guī)章仍存在走過場、不透明等問題，其宣示意義更大于實(shí)質(zhì)意義。“棱鏡門”事件的曝光者斯諾登就將《隱私盾協(xié)議》稱為“說明性盾牌”，美國法律仍缺少對來自歐洲數(shù)據(jù)的充分保護(hù)。*Natasha Lomas, Draft Text of EU-US Privacy Shield Deal Fails To Impress the Man Who Slayed Safe Harbor, Feb. 29, 2016, 參見https://techcrunch.com/2016/02/29/lipstick-on-a-pig/, 2018年3月11日最后訪問。

2.借助亞太區(qū)域經(jīng)濟(jì)合作推廣自身模式，爭取數(shù)據(jù)跨境領(lǐng)域的話語權(quán)。與歐盟相比，美國在參與數(shù)據(jù)跨境流動規(guī)制方面少有話語權(quán)。隨著全球進(jìn)入信息社會，美國并不甘心在這一領(lǐng)域處于由其他經(jīng)濟(jì)體制制定規(guī)則的地位，它依靠其在亞太地區(qū)的政治經(jīng)濟(jì)影響力推動構(gòu)建有別于歐盟的規(guī)則體系，并使之逐漸獲得了執(zhí)行力與約束力。

亞洲太平洋經(jīng)濟(jì)合作組織(APEC)于2004年通過的“隱私框架”(APEC Privacy Framework)，是亞太地區(qū)達(dá)成的第一份關(guān)于數(shù)據(jù)跨境流動規(guī)制的區(qū)域性指導(dǎo)文件?！半[私框架”從促進(jìn)跨境數(shù)據(jù)自由流動的思想和目的出發(fā)，顯然是美國起主導(dǎo)作用的產(chǎn)物。整個框架都將“促進(jìn)亞太地區(qū)電子商務(wù)”作為目標(biāo)；在“框架”第4章，要求成員經(jīng)濟(jì)體“采取一切合理及適當(dāng)步驟避免和消除任何不必要的信息流動障礙”；框架多次提及要在隱私保護(hù)中發(fā)揮“行業(yè)自律”的作用，這些都明顯地打上了美國數(shù)據(jù)規(guī)制特征的印記。

經(jīng)合組織的《跨境隱私規(guī)則體系》(Cross-Border Privacy Rules，CBPRs)于2012 年正式啟動，并于2013年通過。CBPRs 是美國加入和支持的數(shù)據(jù)保護(hù)倡議。*參見UNCTAD , Data protection regulations and international data flows: Implications for trade and development , Swizer-land: United Nations Publication , 2016 , p.35 , http:// unctad. Org/ en/ pages/ Publication Webflyer. Aspx ?publicationid=1468, 2018年3月11日最后訪問。它以APEC 隱私框架為基礎(chǔ)，也是旨在確保個人信息的跨境自由流動。不同的是，CBPRs 引入了隱私執(zhí)法機(jī)構(gòu)和問責(zé)代理機(jī)構(gòu)，因而對加入的企業(yè)形成了實(shí)際的約束作用。*參見黃寧、李楊：《“三難選擇”下跨境數(shù)據(jù)流動規(guī)制的演進(jìn)與成因》，載《清華大學(xué)學(xué)報(哲學(xué)社會科學(xué)版)》2017年第5期。

近年來，美國又將跨境數(shù)據(jù)流動內(nèi)容納入自由貿(mào)易協(xié)定(FTA)談判，以期借助政治經(jīng)濟(jì)實(shí)力在這些具有較強(qiáng)約束力的“一攬子”協(xié)議中推行自己的數(shù)據(jù)跨境規(guī)則。2012年達(dá)成的《美韓自由貿(mào)易協(xié)定》(U.S.-South Korea Free Trade Agreement)第一次在FTAs電子商務(wù)章節(jié)引入跨境數(shù)據(jù)流動規(guī)則，其中第15.8條規(guī)定，成員方應(yīng)努力避免對跨境電子信息流動施加或維持不必要阻礙。*United States-Korea Free Trade Agreement, S. Korea-U.S., June 30, 2007, 46 I.L.M. 642 (entered into force Mar. 15, 2012), See Mira Burri, The Regulation of Data Flows Through Trade Agreements, Georgetown Journal of International Law, Vol. 48, No. 1, 2017, p.418.2015 年，在美國主導(dǎo)下達(dá)成的《跨太平洋戰(zhàn)略經(jīng)濟(jì)伙伴關(guān)系協(xié)定》 (TPP) 中也專門引入了“商業(yè)信息跨境自由傳輸條款”。在現(xiàn)已公布的電子商務(wù)章節(jié)中，各成員方承諾在維護(hù)特定合法政策目標(biāo)(如個人信息保護(hù)) 的前提下確保數(shù)據(jù)在全球的自由流動以推動數(shù)字經(jīng)濟(jì)的發(fā)展。TPP明確規(guī)定成員方可以為了實(shí)現(xiàn)特定合法公共政策目標(biāo)而采取限制性措施，前提是“該措施不構(gòu)成任意或不合理歧視的手段或構(gòu)成對貿(mào)易的變相限制”。*參見黃寧、李楊：《“三難選擇”下跨境數(shù)據(jù)流動規(guī)制的演進(jìn)與成因》，載《清華大學(xué)學(xué)報(哲學(xué)社會科學(xué)版)》2017年第5期。總之，由美國主導(dǎo)將跨境數(shù)據(jù)流動規(guī)則納入自由貿(mào)易協(xié)定談判，使自己“跨境數(shù)據(jù)自由流動”的主張和規(guī)則在一定條件下為締約國所接受，并具有較強(qiáng)的約束力。

二、個人數(shù)據(jù)跨境流動歐美兩大規(guī)制體系的比較分析

個人數(shù)據(jù)跨境流動的國際基本格局由歐盟和美國兩大規(guī)制體系構(gòu)成，為了對這一基本格局有更深刻的理解與更準(zhǔn)確的把握，有必要在前面分述兩大規(guī)制體系立法框架和實(shí)踐模式的基礎(chǔ)上，進(jìn)一步從價值取向、規(guī)制路徑和規(guī)制結(jié)果三個方面對歐美兩大體系作一比較分析。

(一)價值取向：個人數(shù)據(jù)權(quán)保護(hù)與數(shù)據(jù)跨境自由流動

個人數(shù)據(jù)跨境流動歐美兩大規(guī)制體系在價值取向上存在數(shù)據(jù)權(quán)保護(hù)與數(shù)據(jù)自由流動的不同訴求。

歐盟更強(qiáng)調(diào)個人數(shù)據(jù)權(quán)的保護(hù)，這與歐洲的人權(quán)保護(hù)傳統(tǒng)有著密切的關(guān)系。早在1953年，歐洲理事會就批準(zhǔn)了《人權(quán)保護(hù)及基本自由公約》，即著名的《歐洲人權(quán)公約》。在公約列明的權(quán)利中，第8條規(guī)定了“對隱私及家庭生活尊重的權(quán)利”。這種歷史文化傳統(tǒng)使歐洲國家通過立法保護(hù)個人隱私處于領(lǐng)先地位，1973年至1984年全球共有13個國家制定了數(shù)據(jù)保護(hù)法，其中就有8個歐洲國家。*參見G. Russell, International Information Policy: Evolution of Transborder Data Flow Issues, p.413. 轉(zhuǎn)引自黃寧、李楊：《“三難選擇”下跨境數(shù)據(jù)流動規(guī)制的演進(jìn)與成因》，載《清華大學(xué)學(xué)報(哲學(xué)社會科學(xué)版)》2017年第5期。長期以來，歐洲數(shù)據(jù)保護(hù)都是與隱私權(quán)相聯(lián)系的，通說認(rèn)為數(shù)據(jù)權(quán)是隱私權(quán)的一部分，所謂的個人數(shù)據(jù)和信息保護(hù)不過是從“信息視角”對隱私權(quán)的一種解讀。*Gloria Gonzalez Fuster, The Emergence of Personal Data Protection as a Fundamental Right of the EU, Springer, 2014, p.214.這也構(gòu)成歐盟在跨境數(shù)據(jù)流動規(guī)制上的基本立場。

與歐盟將數(shù)據(jù)權(quán)作為一種基本人權(quán)，并通過苛嚴(yán)的立法提升保護(hù)水平的作法不同，美國政府和實(shí)務(wù)界反對立法規(guī)范個人數(shù)據(jù)處理行為，認(rèn)為強(qiáng)硬的法律結(jié)構(gòu)會“不可避免地阻礙商業(yè)活動”*戴恩．羅蘭德 等：《信息技術(shù)法》，宋連斌、林一飛、呂國民譯，武漢大學(xué)出版社2004年版，第308頁。，而奉行以市場為主導(dǎo)，以行業(yè)自律為中心的個人數(shù)據(jù)保護(hù)政策。這種立場從根本上決定了美國在跨境數(shù)據(jù)流動上的訴求是更加看重?cái)?shù)據(jù)自由流動和經(jīng)濟(jì)利益，更希望通過促進(jìn)數(shù)據(jù)跨境維護(hù)業(yè)已建立的信息優(yōu)勢。在大數(shù)據(jù)時代，美國更清醒地意識到數(shù)據(jù)利用意味著價值和機(jī)遇，也更透徹地理解促進(jìn)數(shù)據(jù)跨境流動對國家利益產(chǎn)生的潛在裨益。為此，它更加重視通過鼓勵數(shù)據(jù)跨境流動確立和固化“數(shù)據(jù)占有和利用”的優(yōu)勢，最大限度地攫取“數(shù)據(jù)金礦”。

在數(shù)據(jù)跨境流動的價值目標(biāo)中，數(shù)據(jù)自由流動和數(shù)據(jù)權(quán)保護(hù)兩者缺一不可。一方面，跨境數(shù)據(jù)流動在全球的價值創(chuàng)造能力不容忽視，不僅歐美之間有巨大的跨境數(shù)據(jù)流動需求，而且在全球范圍內(nèi)一半的服務(wù)貿(mào)易要依靠跨境數(shù)據(jù)流動實(shí)現(xiàn)；另一方面，不斷提高個人數(shù)據(jù)權(quán)保護(hù)水平對于提振消費(fèi)者對數(shù)字貿(mào)易的信心有積極作用，也是社會發(fā)展進(jìn)步的必然要求。如何在未來的規(guī)則設(shè)計(jì)中，實(shí)現(xiàn)數(shù)據(jù)權(quán)保護(hù)與數(shù)據(jù)自由流動兩大目標(biāo)的協(xié)調(diào)，是一個值得深入探討的課題。

(二)規(guī)制路徑：“充分性”原則與“問責(zé)制”原則

歐盟和美國對跨境數(shù)據(jù)流動采用了不同的規(guī)制路徑，歐盟是“以地理區(qū)域?yàn)榛鶞?zhǔn)”，依據(jù)“充分性”原則，進(jìn)行事前防范的規(guī)制路徑；美國則是“以組織機(jī)構(gòu)為基準(zhǔn)”,依據(jù)“問責(zé)制”原則，進(jìn)行事后問責(zé)的規(guī)制路徑。

歐盟的規(guī)制路徑對于歐盟內(nèi)部和外部的數(shù)據(jù)流動采用了不同標(biāo)準(zhǔn)。它通過立法(如1995年的《歐盟個人數(shù)據(jù)保護(hù)指令》)，在歐盟內(nèi)部確立了禁止成員國借數(shù)據(jù)保護(hù)的名義限制個人數(shù)據(jù)在歐盟境內(nèi)自由流動的標(biāo)準(zhǔn)；但卻禁止個人數(shù)據(jù)轉(zhuǎn)移到歐盟以外的地理區(qū)域，除非歐盟以外的國家政府能夠提供“充分”的數(shù)據(jù)保護(hù)?！稓W盟數(shù)據(jù)指令》還說明了如何認(rèn)定一國是否提供“充分”數(shù)據(jù)保護(hù)的依據(jù)，即通過考察數(shù)據(jù)傳輸?shù)恼w過程來判斷一國相關(guān)法律的完備程度和執(zhí)行情況，此外還要考慮數(shù)據(jù)的性質(zhì)、數(shù)據(jù)處理的目的和期限、數(shù)據(jù)來源國和傳輸目的國等因素。

美國的規(guī)制路徑是在原則上允許數(shù)據(jù)跨境流動的前提下( 不論數(shù)據(jù)在何地理位置) ，要求控制數(shù)據(jù)的機(jī)構(gòu)( 或數(shù)據(jù)控制者) 確保個人數(shù)據(jù)在跨境傳輸過程中的安全。亞洲太平洋經(jīng)濟(jì)合作組織(APEC)于2012 年在美國主導(dǎo)下建立的《跨境隱私規(guī)則體系》( Cross Border Privacy Rules system，CBPRs) ，就帶有明顯的美國規(guī)制路徑的特征。GBPRs 規(guī)范的對象是涉及到個人數(shù)據(jù)跨境傳輸?shù)钠髽I(yè)，在“問責(zé)制” 的基礎(chǔ)上采用行業(yè)自律模式。首先企業(yè)要進(jìn)行自我評估，然后接受問責(zé)代理機(jī)構(gòu)評估，若通過評估獲得了CBPRs 認(rèn)證，即被認(rèn)可為符合隱私保護(hù)標(biāo)準(zhǔn)的企業(yè)，并且在認(rèn)證目錄網(wǎng)站可查，對于違反《APEC 隱私框架》相關(guān)條款的企業(yè)，由隱私保護(hù)執(zhí)行機(jī)構(gòu)進(jìn)行問責(zé)處罰。

歐美兩種不同的規(guī)制路徑和原則反映出對于跨境數(shù)據(jù)流動規(guī)制的兩種不同立場，各有其合理性，也各有其不足。歐盟“以地理區(qū)域?yàn)榛鶞?zhǔn)”、“以充分性為原則”的規(guī)制路徑，為數(shù)據(jù)跨境流動設(shè)置了統(tǒng)一的標(biāo)準(zhǔn)，有利于建立穩(wěn)定的個人數(shù)據(jù)保護(hù)秩序并為個人提供合理的權(quán)利預(yù)期。但不可否認(rèn)的是，由于該路徑下的“充分性”認(rèn)定的高標(biāo)準(zhǔn)和批準(zhǔn)程序的復(fù)雜性，導(dǎo)致了對于數(shù)據(jù)跨境自由流動的嚴(yán)格限制，很可能對貿(mào)易造成不必要的阻礙。美國“以組織機(jī)構(gòu)為基準(zhǔn)”，“以問責(zé)制為原則”的規(guī)制路徑，一方面確定了數(shù)據(jù)控制機(jī)構(gòu)(數(shù)據(jù)控制者) 在確保個人數(shù)據(jù)安全中所應(yīng)遵守的原則，另一方面規(guī)定違反原則所應(yīng)承擔(dān)的責(zé)任。政府僅在該組織機(jī)構(gòu)導(dǎo)致了違反義務(wù)的結(jié)果時事后問責(zé)，從而大大減輕了對跨境數(shù)據(jù)流動的限制。但“問責(zé)制”以數(shù)據(jù)控制機(jī)構(gòu)(數(shù)據(jù)控制者) 會自覺遵守個人數(shù)據(jù)保護(hù)原則為預(yù)設(shè)立場，如果某數(shù)據(jù)控制機(jī)構(gòu)或組織缺乏自覺性，就有可能導(dǎo)致政府或監(jiān)管者在事前或事中對數(shù)據(jù)控制機(jī)構(gòu)或組織的失控。

(三)規(guī)制結(jié)果：超強(qiáng)影響力與提升話語權(quán)

從1980年OECD出臺與數(shù)據(jù)跨境流動相關(guān)的規(guī)則(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)至今，30多年來，歐盟與美國分別主導(dǎo)構(gòu)建了兩種迥然不同的跨境數(shù)據(jù)流動規(guī)制體系，深刻地影響了各國的相關(guān)立法。

從歐盟體系來看，不僅歐盟成員國將《個人數(shù)據(jù)保護(hù)指令》、《通用數(shù)據(jù)保護(hù)條例》的內(nèi)容內(nèi)化為本國數(shù)據(jù)保護(hù)法的具體規(guī)定，而且許多非歐盟成員國也按照歐盟數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)提升其國內(nèi)個人數(shù)據(jù)和信息保護(hù)水平。不少東歐國家如阿爾巴尼亞、玻利維亞、克羅地亞、馬其頓、安道爾等國，甚至俄羅斯聯(lián)邦都陸續(xù)按照歐盟指令和條例制定或修訂了其個人數(shù)據(jù)保護(hù)法律，以確保國內(nèi)立法與歐盟規(guī)定相一致。*參見Miriam Wugmeister, Karin Retzer , Cynthia Rich, Morrison & Forester LLP, Global Solution for Cross-border Data Transfers: Making the Case for Corporate Privacy Rules, 38 Geo. J. Int’ I L., Springs, 2007, pp.449-498.其他地區(qū)，如加拿大、阿根廷、澳大利亞、紐西蘭及我國香港、臺灣及澳門地區(qū)都制定了新的個人信息保護(hù)法律，以確保涉及個人數(shù)據(jù)傳輸?shù)膰H貿(mào)易不至于因不符合歐盟指令而遭到質(zhì)疑。這些都充分顯示了歐盟在數(shù)據(jù)跨境流動國際規(guī)則制定中的超強(qiáng)影響力。

從美國體系來看，其促進(jìn)個人數(shù)據(jù)跨境自由流動的理念與規(guī)則不僅對經(jīng)合組織(OECD)、亞太經(jīng)合組織(CBPR)的成員國具有指引、勸導(dǎo)等柔性規(guī)范的作用，而且通過將自身的跨境數(shù)據(jù)流動規(guī)則融入全球經(jīng)貿(mào)規(guī)則體系而獲得較強(qiáng)的約束力，起到一定的剛性約束作用。由此，美國也提升了自己在跨境數(shù)據(jù)流動國際規(guī)則制定中的話語權(quán)。

三、我國數(shù)據(jù)跨境傳輸立法應(yīng)對

(一)我國數(shù)據(jù)跨境傳輸立法現(xiàn)狀

在全球經(jīng)濟(jì)聯(lián)系日益緊密的今天，越來越多的國家和地區(qū)需要進(jìn)行數(shù)據(jù)交換，個人數(shù)據(jù)跨境傳輸變得愈加平凡。中國作為世界第二大經(jīng)濟(jì)體, 有著龐大的跨境數(shù)據(jù)流動需求，并且發(fā)展?jié)摿薮?。?jù)阿里研究院統(tǒng)計(jì)，2015 年中國跨境電商交易規(guī)模達(dá)4.8萬億元，同比增長28%，預(yù)計(jì)到2020年跨境電商交易規(guī)模將達(dá)到12萬億元，約占中國進(jìn)出口總額的37.6%。*曹杰、王晶：《跨境數(shù)據(jù)流動規(guī)則分析——以歐美隱私盾協(xié)議為視角》，載《國際經(jīng)貿(mào)探索》2017年第4期。此外，越來越多的中國企業(yè)正在成長為全球企業(yè)開始“走出去”，加之國家“一帶一路”戰(zhàn)略給跨境電商帶來的廣闊發(fā)展空間，數(shù)據(jù)跨境流動對我國對外貿(mào)易及經(jīng)濟(jì)發(fā)展有著重大的意義。另一方面，當(dāng)前迅速普及的云計(jì)算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)、智能終端等新技術(shù)對隱私和數(shù)據(jù)安全帶來了新的威脅，我國保護(hù)個人信息安全和國家信息安全的現(xiàn)實(shí)需求日益強(qiáng)烈。在這一背景下，立足當(dāng)下個人數(shù)據(jù)跨境流動規(guī)制的國際格局，審視我國相關(guān)立法，探討構(gòu)建我國數(shù)據(jù)跨境規(guī)則的具體路徑，是擺在我們面前的重要任務(wù)。

我國在數(shù)據(jù)跨境流動規(guī)制領(lǐng)域起步較晚，近年來政府已開始關(guān)注數(shù)據(jù)跨境傳輸問題，但至今仍沒有獨(dú)立的關(guān)于數(shù)據(jù)跨境流動的法律，相關(guān)內(nèi)容散現(xiàn)于各類法律法規(guī)、部門規(guī)章之中，較為零散。已有法規(guī)的內(nèi)容總體而言是嚴(yán)格限制國內(nèi)數(shù)據(jù)向境外轉(zhuǎn)移。其中既限制個人數(shù)據(jù)，2013年《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》第5．4．5節(jié)規(guī)定：“未經(jīng)個人信息主體的明示同意，或法律法規(guī)明確規(guī)定，或未經(jīng)主管部門同意，個人信息管理者不得將個人信息轉(zhuǎn)移給境外個人信息獲得者，包括位于境外的個人或境外注冊的組織和機(jī)構(gòu)”；也限制個人健康和金融信息，2011年1月21日中國人民銀行發(fā)布的部門規(guī)章《人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個人金融信息保護(hù)工作的通知》第六條規(guī)定：“在中國境內(nèi)收集的個人金融信息的儲存、處理和分析應(yīng)當(dāng)在中國境內(nèi)進(jìn)行，除法律法規(guī)及中國人民銀行另有規(guī)定外，銀行業(yè)金融機(jī)構(gòu)不得向境外提供境內(nèi)個人金融信息”；對于國家秘密，更是嚴(yán)格限制出境，非法郵寄、托運(yùn)國家秘密載體出境，或者未經(jīng)有關(guān)主管部門批準(zhǔn)，攜帶、傳遞國家秘密載體出境等行為，都會受到刑事責(zé)任的追究( 2010 年《保守國家秘密法》第48 條) 。

2015年8 月19 日，國家層面的《關(guān)于促進(jìn)數(shù)據(jù)發(fā)展的行動綱要》正式通過，為全面推進(jìn)我國數(shù)據(jù)發(fā)展和應(yīng)用，加快建設(shè)數(shù)據(jù)強(qiáng)國提供了行動綱要。2016年11月7日，《中華人民共和國網(wǎng)絡(luò)安全法》 (以下簡稱《網(wǎng)絡(luò)安全法》) 經(jīng)十二屆全國人大常委會第24次會議通過后正式頒布，于2017年6月起正式實(shí)施。作為中國網(wǎng)絡(luò)領(lǐng)域的基本法律，《網(wǎng)絡(luò)安全法》首次對關(guān)鍵信息基礎(chǔ)設(shè)施的數(shù)據(jù)跨境傳輸從法律層面上進(jìn)行了規(guī)制。該法第37條規(guī)定：“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估;法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。” 該條文在社會上引起了廣泛關(guān)注，有學(xué)者認(rèn)為這樣的規(guī)定有利于保障我國的國家安全、公共安全和個人的隱私安全;也有專家認(rèn)為這樣的規(guī)定會對貿(mào)易產(chǎn)生負(fù)面影響，乃至于影響整體經(jīng)濟(jì)的發(fā)展。*參見鄧志松、戴健民：《〈網(wǎng)絡(luò)安全法〉時代數(shù)據(jù)跨境傳輸?shù)钠髽I(yè)合規(guī)挑戰(zhàn)》，載《網(wǎng)絡(luò)空間研究》2017年第5期。

(二)我國數(shù)據(jù)跨境傳輸立法評析

以上列舉表明，我國力圖通過數(shù)據(jù)本地化留存避免跨境數(shù)據(jù)可能產(chǎn)生的國家安全隱患和個人隱私風(fēng)險，效果總的來看是好的，但是我們也應(yīng)該看到，在數(shù)據(jù)跨境流動作為經(jīng)濟(jì)引擎的環(huán)境下，這種保護(hù)措施可能加劇信息不對稱現(xiàn)象，從而影響我國的國際競爭力。因?yàn)榭羾?yán)的跨境數(shù)據(jù)流動限制，可能使某一市場被孤立或者受到局限，本國相關(guān)企業(yè)難以參與到國際化的競爭，消費(fèi)者也無法享受全球規(guī)模帶來的好處，給經(jīng)濟(jì)發(fā)展帶來負(fù)面影響。*高山行、劉偉奇：《數(shù)據(jù)跨境流動規(guī)制及其應(yīng)對——對〈網(wǎng)絡(luò)安全法〉第三十七條的討論》，載《西安交通大學(xué)學(xué)報(社會科學(xué)版)》，2017年第2期。而且當(dāng)一國實(shí)施較為嚴(yán)格的數(shù)據(jù)跨境流動限制后，其他國家出于對等原則也可能采取相似的跨境流動限制。對于數(shù)據(jù)跨境流動限制可能帶來直接的經(jīng)濟(jì)損失，來自歐盟的一份公告指出，如果我國的數(shù)據(jù)本地化策略得到全面的實(shí)施，可能減少GDP的1.1%、推動中國出口和長期增長的境外對我國直接投資的1.8%和出口的1.7%。*Bert Verschelde, the Impact of Data Localisation on China’s Economy, ECIPE Bulletin No. 07/2014, p.3. 參見 http://www.ecipe.org/app/uploads/2014/12/ECIPE_bulletin714_dataloc_china.pdf, 2018年3月11日最后訪問。因而，如何平衡加強(qiáng)國家安全防范和個人信息保護(hù)與促進(jìn)跨境數(shù)據(jù)流動的關(guān)系，是我國數(shù)據(jù)跨境流動規(guī)制立法需要解決的難題。

(三)數(shù)據(jù)跨境流動規(guī)制國際格局下我國的應(yīng)對路徑

目前全球跨境數(shù)據(jù)流動的統(tǒng)一規(guī)則尚未形成，現(xiàn)有規(guī)則主要以歐美為首的發(fā)達(dá)國家引領(lǐng)。在這一國際格局下，我國的應(yīng)對路徑是：

1.完善數(shù)據(jù)跨境流動立法，提升法律的可操作性。不論是歐盟范圍內(nèi)還是歐盟與美國之間已經(jīng)實(shí)現(xiàn)的數(shù)據(jù)跨境流動，都是在一定法律框架或相關(guān)規(guī)范下進(jìn)行的，我國的數(shù)據(jù)跨境流動也需要完善的法律制度提供保障。然而，我國個人信息保護(hù)層面上的數(shù)據(jù)法制缺位，關(guān)涉商業(yè)秘密或國家安全的商業(yè)數(shù)據(jù)或政府?dāng)?shù)據(jù)方面的法制也一樣闕如。現(xiàn)有的數(shù)據(jù)跨境流動和個人數(shù)據(jù)保護(hù)的立法不僅不成系統(tǒng)，還缺乏可操作性。比如2017年6月1日起施行的《中華人民共和國網(wǎng)絡(luò)安全法》首次對關(guān)鍵信息基礎(chǔ)設(shè)施的數(shù)據(jù)跨境傳輸從法律層面上進(jìn)行了規(guī)定，但卻未明確關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和保護(hù)措施，只是授權(quán)國務(wù)院制定。因此后續(xù)國務(wù)院應(yīng)當(dāng)加快推進(jìn)與網(wǎng)絡(luò)安全法相配套的法規(guī)制定。

法治國家精神要求跨境數(shù)據(jù)流動的規(guī)范與約束，須有法可依?？茖W(xué)合理的規(guī)范體系，能夠?yàn)閿?shù)據(jù)跨境流動提供依據(jù)和保障。筆者的具體建議：一是在后續(xù)配套法規(guī)中，對不同類型的數(shù)據(jù)采取不同的管理方法。對于涉及國家秘密、國家安全以及經(jīng)濟(jì)安全的數(shù)據(jù)嚴(yán)格禁止跨境，要求必須在境內(nèi)的數(shù)據(jù)中心存儲和處理； 對于政府和公共部門掌握的其他數(shù)據(jù)實(shí)施跨境數(shù)據(jù)流動的條件限制，例如要進(jìn)行安全風(fēng)險評估；對普通的個人數(shù)據(jù)則允許跨境流動，但要滿足安全管理要求，可采用問責(zé)制、合同干預(yù)等形式進(jìn)行管理。國家依法采取措施對承載著不同利益層次和位階訴求的數(shù)據(jù)流動予以規(guī)范和約束，妥善規(guī)定禁止和限制數(shù)據(jù)跨境流動的范圍和標(biāo)準(zhǔn)，減少其對經(jīng)濟(jì)和技術(shù)發(fā)展的阻礙，從而在安全和經(jīng)濟(jì)發(fā)展之間謀求平衡，達(dá)到在保護(hù)本國個體、社會和國家利益的同時也能實(shí)現(xiàn)數(shù)據(jù)跨境流動與分享的理想狀態(tài)。二是加強(qiáng)立法的科學(xué)性和可操作性。只有通過科學(xué)立法以明確可跨境流動數(shù)據(jù)的類型、范疇、處理方式、保護(hù)措施、風(fēng)險防范等要素和內(nèi)容，才能既為數(shù)據(jù)的跨境流動合法與否提供判斷依據(jù)，增強(qiáng)行為的可預(yù)見性；也為國家對數(shù)據(jù)的跨境流動規(guī)制提供審查或執(zhí)法依據(jù)，確保數(shù)據(jù)分享的安全性。

2.提高企業(yè)的合規(guī)遵從性，推進(jìn)行業(yè)自律制度建設(shè)。企業(yè)是社會的主要組成單元，企業(yè)對數(shù)據(jù)、信息安全法規(guī)遵從義務(wù)履行的成熟度是衡量社會整體數(shù)據(jù)、信息安全保障水平的重要標(biāo)尺。由于大量的數(shù)據(jù)涉及到國家安全、基礎(chǔ)設(shè)施狀況和個人隱私等信息，掌握數(shù)據(jù)的企業(yè)有義務(wù)保障其控制范圍內(nèi)數(shù)據(jù)的安全，防止數(shù)據(jù)泄漏損害國家利益及侵犯個人隱私。在跨境問題上，企業(yè)還面臨國內(nèi)外公權(quán)力機(jī)關(guān)依本國法所提出的數(shù)據(jù)要求，如歐盟通過標(biāo)準(zhǔn)合同或約束性企業(yè)規(guī)則要求數(shù)據(jù)轉(zhuǎn)移者承擔(dān)數(shù)據(jù)轉(zhuǎn)移安全的直接責(zé)任。在這一背景下，企業(yè)應(yīng)從構(gòu)成IT 社會一員的立場出發(fā)，從公司法人治理的高度，將數(shù)據(jù)、信息安全注入企業(yè)文化，形成企業(yè)內(nèi)部人員上至總裁下至普通員工，都以自覺遵從保護(hù)個人數(shù)據(jù)、信息安全的國家法律法規(guī)以及企業(yè)規(guī)章制度為榮；以不履行保護(hù)義務(wù)的行為為恥的良好風(fēng)氣。

規(guī)制跨境數(shù)據(jù)流動，除了通過完善立法和加強(qiáng)政府監(jiān)管外，還應(yīng)依靠行業(yè)自律制度。各行業(yè)應(yīng)根據(jù)自身特點(diǎn)確立行業(yè)保護(hù)個人數(shù)據(jù)、信息安全的保障義務(wù)，并通過行業(yè)規(guī)章、標(biāo)準(zhǔn)等予以具體落實(shí)。規(guī)制跨境數(shù)據(jù)流動的行業(yè)自律制度的主要內(nèi)容應(yīng)包括：企業(yè)是否審慎保管其掌控的數(shù)據(jù)？是否采取了足夠的安全保障措施？企業(yè)對內(nèi)部員工行為是否有及時的培訓(xùn)和全面的安全紀(jì)律？對跨境數(shù)據(jù)，轉(zhuǎn)出企業(yè)是否充分尊重?cái)?shù)據(jù)主體的意志或知情權(quán)？是否足夠了解數(shù)據(jù)后期的存儲使用情況及安全保障情況？數(shù)據(jù)接收國對本國企業(yè)數(shù)據(jù)安全保障義務(wù)的法規(guī)完善程度如何、企業(yè)的數(shù)據(jù)安全保障能力如何、承擔(dān)責(zé)任的能力如何？等等。此外，為防止個人數(shù)據(jù)被濫用、失竊、非法交易等行為的發(fā)生，行業(yè)自律制度還可以采用一定的懲罰性賠償措施?？傊?，行業(yè)自律制度可以為企業(yè)間的數(shù)據(jù)跨境流動提供更具靈活性的制度安排和安全保障。

3.大力開展國際合作，積極參與國際規(guī)則制定。在互聯(lián)、協(xié)作、開放和共享成為主題的時代，國際層面就跨境數(shù)據(jù)流動規(guī)制展開合作是不可避免的。目前，盡管諸如歐盟等地區(qū)或國家對跨境數(shù)據(jù)流動實(shí)施了積極監(jiān)管，但就全球范圍內(nèi)來說尚未形成統(tǒng)一的國際規(guī)則或條約規(guī)范。在這個統(tǒng)一規(guī)則尚未形成的窗口期，我國需要對跨境數(shù)據(jù)流動的全球規(guī)則做前瞻性思考，提早部署研究，爭取做國際規(guī)則制定的構(gòu)建者，而不應(yīng)成為規(guī)則的被動接受者。

具體實(shí)踐中，我國可以一方面積極參與國際平臺上有關(guān)跨境數(shù)據(jù)流動規(guī)則的研討，代表中國企業(yè)利益發(fā)出中國聲音；另一方面可考慮借助RCEP、FTAAP 等區(qū)域談判尋求建立符合中國利益的跨境數(shù)據(jù)流動規(guī)則。在這方面可以借鑒美國的做法，美國亦不被認(rèn)為是能充分保護(hù)數(shù)據(jù)權(quán)的國家，但《安全港》使得數(shù)以千計(jì)的美國企業(yè)得以在歐洲開展業(yè)務(wù)。建立類似于“安全港”的合作或加入CBPR 這樣的國際體系，可以增進(jìn)國際市場對中國企業(yè)的信任，為企業(yè)爭取參與全球競爭的機(jī)會，并在這一過程中培育行業(yè)的自律，促進(jìn)我國數(shù)據(jù)保護(hù)水平的提升和相關(guān)行業(yè)的可持續(xù)發(fā)展。隨著我國在國際事務(wù)中地位的提升，我國更可以利用諸如博鰲論壇、亞洲基礎(chǔ)設(shè)施開放銀行、金磚國家、“一帶一路”戰(zhàn)略等之便開展跨境數(shù)據(jù)流動的區(qū)域性合作協(xié)議或規(guī)則談判，以增強(qiáng)中國在此領(lǐng)域的話語權(quán)?？傊?，我國通過多層次國際規(guī)則的談判或構(gòu)建，樹立與我國國際地位相匹配的數(shù)據(jù)大國形象，這不僅是維護(hù)國內(nèi)利益的需要，也是保證跨境數(shù)據(jù)流動國際合作的健康開展與可持續(xù)發(fā)展的要求。*參見金善明：《跨境數(shù)據(jù)流動法律風(fēng)險防范與規(guī)制》，載《中國對外貿(mào)易》2016年第6期。