貿易壁壘視角下的歐盟《一般數據保護條例》

田曉萍

(深圳大學法學院，廣東 深圳 518060)

2018年5月，歐盟《一般數據保護條例》(GDPR)正式實施，它是20多年來數據隱私法領域最重大的變化，是目前全球范圍內個人數據保護標準最高的具有約束力和執行力的規則。2019年1月，法國數據保護監管機構認定谷歌違反GDPR，對其處以近5700萬歐元的重罰，這是GDPR實施后第一個被處罰的美國科技巨頭，①該處罰高調宣告了GDPR時代的到來。GDPR對歐盟乃至全球的個人數據保護制度和數字經濟的發展，都將產生深遠影響。

《歐盟基本權利憲章》將個人數據保護納入基本人權的范疇，闡明了歐盟數據保護的基本立場。②歐盟數據立法一體化的演進，從1981年《108號公約》③，1995年《數據保護指令》④，到2018年GDPR，呈現出法律制度從原則到具體、法律效力從弱到強、監管機制從虛到實的態勢，基本權利語境下的個人數據隱私保護達到前所未有的高度。數據法律政策的考量涵蓋隱私保護、數字經濟、公共利益、國家安全等復雜的維度。任何國家和地區都是根據自身的經濟、政治、社會、文化傳統等因素，力求取得利益最大化的平衡點。歐盟雖然一直強調其數據保護的人權立場，但不容忽視的是，GDPR也是歐洲“數字一體化市場”戰略的重要抓手。⑤GDPR第1條開宗明義，在明確“保護自然人的基本權利和自由，尤其是個人數據保護的權利”之后，隨即指出：“不得以保護個人數據處理中的相關自然人為由，對歐盟內部個人數據的自由流動進行限制。”從歐盟內部來說，GDPR反對數據本地化，通過有直接約束力的統一規則，強化數據的流動性，為歐盟數字一體化市場掃清了法律障礙。但與此同時，對歐盟外部而言，嚴厲的數據保護制度使其他國家和地區在同歐盟的經貿往來中面臨嚴峻的合規挑戰，迫使其增加合規成本、面臨不確定的執法，乃至延宕其進入歐盟市場。美國商務部長羅斯撰文指出，“GDPR的實施會嚴重破壞大西洋兩岸的合作，對包括美國在內的歐盟外所有國家和地區構成不必要的貿易壁壘。”⑥

近年來，中國數字經濟發展迅速，2018年我國數字經濟總量達到 31.3萬億元，占GDP 比重為34.8%。[1]P15億人口的歐盟成熟市場對中國互聯網企業具有強烈的吸引力,GDPR的實施使中國相關企業面臨極大的法律風險。小米生態鏈企業Yeelight智能燈泡，因無法在GDPR生效前滿足合規而暫停服務。⑦2018年12月，因涉嫌違反GDPR，摩拜單車遭到德國數據監管機構的調查。⑧2019年1月，在達沃斯世界經濟論壇上，馬云指出，“歐洲對技術總是關注隱私、監管和安全。阿里選擇去非洲，而不是去過度擔心的歐洲。”盡管歐盟數字產業的競爭力不強，但其占據著數據保護領域的制高點，隨著GDPR的落地執行，其制度輸出的影響力和國際話語權得以強化。對歐盟以外的國家和地區，尤其是互聯網領域最具競爭力的美國和中國而言，GDPR成為數字經濟時代的新型貿易壁壘，具有貿易保護主義的實際效果。GDPR產生貿易壁壘效果的制度機理是什么？美國政府主要通過哪些途徑化解該壁壘？美國的經驗中國是否有借鑒的可行性？中國應如何應對？本文試圖從貿易壁壘的角度考察GDPR，對上述問題進行探討。

一、GDPR：數字經濟時代面向非歐盟國家的貿易壁壘

(一)GDPR作為貿易壁壘的背景：歐盟數字經濟生產和消費的失衡

隨著信息技術的不斷創新發展，及其與經濟社會的深度融合，數字經濟已成為實現價值增值與效率提升、促進世界經濟增長的新動能。發達國家和發展中國家都將發展數字經濟作為國家層面的優先戰略。數據是數字經濟時代的關鍵性生產要素，各國的數據保護立法是其數字經濟戰略部署的重要環節。適度的個人數據保護可以提升數據主體對數字產業的信任，有利于數字經濟的發展；嚴苛的個人數據保護則會降低商業效率，抑制數字經濟的活力。美國是全球信息技術和數字經濟的頭號強國，其個人數據保護與歐盟相比要寬松許多。

歐盟的GDPR作為目前全球最嚴苛的個人數據保護制度，在保護人權的價值理念背后，也包含了重要的經濟利益考量。一方面，歐盟在數字經濟領域的企業競爭力顯著落后于美國和中國。根據瑪麗·米克爾發布的2018互聯網趨勢報告，當今全球市值最高的前20家互聯網公司中，美國11家，中國9家，沒有一家歐盟國家的公司入圍。⑨根據聯合國貿發會發布的《世界投資報告2017-投資與數字經濟》，在網絡平臺、數字化解決方案、電子商務、數字內容、IT、電信設施等主要數字經濟領域，美國企業從數量和規模上占據絕對優勢，其次為中國。另一方面，歐盟5億人口，市場成熟，互聯網基礎設施較為完善，數字經濟消費市場龐大，潛能可觀。目前，美國的互聯網巨頭如谷歌、臉書、亞馬遜等在歐盟提供廣泛的服務，歐洲本土則缺乏具有相應競爭力的企業。在數字經濟生產和消費極不平衡的背景下，歐盟實施史上最嚴的數據保護法，并不會遭遇來自本國企業界利益集團的強有力反對，卻可以增強其同外國互聯網巨頭的博弈籌碼。因此，歐盟以統一市場的優勢為依托，緊握規則制定的話語權，實施嚴格的GDPR，劍指美、中兩國企業，少有“殺敵一千，自損八百”的后顧之憂。在GDPR的威懾之下，在歐盟數字化市場中所占份額最大的美國企業首當其沖，它們需要大幅增加合規成本，還可能面臨最高為全球總營收4%的巨額罰款。對快速崛起正謀求全球擴張的中國互聯網企業而言，歐盟市場的法律風險可能使其暫時轉入觀望。歐盟國家企業則可以內部市場的統一規則為依托，享受數據自由流動的便利，獲得一定的發展空間。

(二)GDPR作為貿易壁壘的屬性：社會性壁壘和技術性壁壘

在傳統貿易壁壘受到國際條約較為嚴格約束的背景下，以技術壁壘、環境壁壘、社會壁壘為代表的新型貿易壁壘層出不窮。這些新型貿易壁壘通常旨在保護生命健康、人權、環境，通過國內政策和法規實施，具有一定的合理性和適用的平等性，但又可以產生貿易保護主義的實際效果。GDPR兼具社會性壁壘和技術性壁壘的性質，是數字經濟時代的新型貿易壁壘。[2]

以往國際貿易中的社會性壁壘主要指以保護勞工權益為由采取的貿易保護措施，其特點是以國際人權條約中有關社會保障、勞工權利等規定為基礎，制定較高的勞工標準(如歐洲的SA8000標準)，從而削弱發展中國家在勞動力成本方面的優勢。歐盟數據立法源于基本人權保護。1950年《歐洲人權公約》第8條第1款規定：“每個人都有權要求尊重他的私人和家庭生活、住宅和通信。”歐洲委員會在20世紀七十年代主張將個人數據視為《歐洲人權公約》第8條第1款的一部分。2000年《歐盟基本權利憲章》第8條明文規定個人數據保護。GDPR以上述人權條約為依托，確立高標準的個人數據保護制度，提高市場門檻，是一種新型的社會性貿易壁壘。技術性貿易壁壘是指通過頒布法律、法令、條例、規定，建立嚴苛的技術標準、認證制度、衛生檢驗檢疫制度等，達到提高市場準入門檻、形成貿易障礙的效果。GDPR確立了個人數據處理中的諸多操作規范和具體標準，包括收集個人數據時應當提供的信息、數據處理活動的記錄規則、數據主體行使訪問權、更正權和可攜權的操作方式等，還提出了建立數據保護認證機制。GDPR一系列復雜而嚴苛的規則需要企業大幅提高合規成本，否則將被排除在歐盟市場之外，具有典型的技術性壁壘的特征。

二、 GDPR產生貿易壁壘效果的制度機理

(一)高水平的個人數據保護抬高市場門檻

GDPR強化了數據主體對個人數據的控制權利，并賦予更廣泛的權利內容。根據GDPR，一般情況下，對個人數據的處理須取得當事人的明確同意，該同意必須是在知情的情況下、基于特定目的、自由作出的，獲取當事人同意的相關協議應當使用清晰而直白的語言，以簡潔、透明、易懂和容易獲取的方式呈現，否則無效。數據主體有權隨時撤回同意，同意的撤回應和同意的作出一樣簡單。數據主體享有對個人數據的訪問權、更正權、被遺忘權、可攜權、限制處理權、自動化決策的反對權等。其中，被遺忘權和可攜權是兩種新型權利。被遺忘權是指，當數據主體依法撤回同意或者控制者不再有合法理由繼續處理數據等情形時，數據主體有權要求刪除數據。控制者不僅要刪除自己所控制的數據，還要對其公開傳播的數據負責，通知其他第三方進行刪除。在開放的互聯網空間，要求數據控制者對其公開傳播的所有數據負責，是非常嚴苛且難以完成的義務。可攜權是一項權利制度創新，指數據主體有權以有序的、普遍使用的、機器可讀的方式獲取個人數據，并有權將這些數據從一個控制者傳輸到另一個控制者，但行使可攜權時不能對他人的權利或自由產生負面影響。在GDPR的框架下，數據主體對個人數據的控制力顯著提升。另一方面，GDPR對數據控制者和處理者的義務做了全面而嚴格的界定，包括：以默認方式保護數據的義務、數據處理活動的記錄義務、確保數據處理安全的義務、數據泄漏后72小時內的通知義務、數據保護影響評估的義務、設立數據保護官的義務等,并且提倡在歐盟層面建立數據保護認證機制，以證明數據控制者和處理者對個人數據的處理操作符合GDPR。

為確保數據主體權利的實現，GDPR對監管機構和救濟處罰措施都做了具體安排。GDPR要求各成員國設立獨立的監管機構，負責監控條例的實施。監管機構具有調查、矯正、建議、提起法律訴訟的權力。數據主體根據GDPR所賦予的權利被侵犯時，可以向監管機構提起申訴，也可以向法院提起訴訟。在最嚴重的違法行為發生時，監管機構對數據控制者和處理者最高可處罰金2000萬歐元或者企業上一年全球總營業額的4%(兩者取其高)。高昂的罰金額度對企業構成強烈的威懾。為了達到GDPR的數據保護標準，企業需要完善內部數據保護合規制度，對一切數據的收集和處理活動都要采取相應的保護措施，包括一系列形式工作和實質措施。據《福布斯》報道，在2018年5月正式實施前的兩年間(GDPR于2016年4月獲得通過)，美國財富前500強企業就花費了78億美元合規成本，中型企業在這兩年間花費的合規成本為55萬美元。根據普華永道會計師事務所的調查，68%的美國公司預計花費100萬到1000萬美元以滿足GDPR的合規要求。

(二)復雜的規則帶來執法的不確定性

GDPR共十章、99條，涉及諸多復雜的概念、原則、規則，且很多概念和事項都屬新創。GDPR發布后，歐盟數據保護委員會(EDPB)又發布了二十多項指南。指南涉及數據保護官、數據保護影響評估、識別主導監管機構、行政處罰、充分保護認定等各方關切的廣泛問題。歐盟許多成員也陸續頒布GDPR指南。龐雜的規則帶來認知上的困境，而且，許多規則的適用標準仍不明確。美國科羅拉多大學教授Alison在《紐約時報》撰文指出，“GDPR非常復雜，帶來很大的困惑。許多要受到GDPR約束的科學家和數據管理員都認為，該條例難以理解，甚至懷疑不可能做到完全遵守。”GDPR是不同價值平衡和多種利益訴求妥協的產物，這是造成其復雜性的重要原因。GDPR秉持二元立法目標——保護個人權利并促進數據的自由流動，數據主體并非享有絕對權利，數據主體的權利需要與其他正當利益相平衡。GDPR一般適用于所有個人數據處理中的個人權利保護，然而，企業、政府、學術機構處理個人數據的目的截然不同。GDPR草案發布后，曾收到4000多份修改意見，反映了利益訴求的分化。況且，歐盟28個成員國，不同的歷史經驗和社會現實決定了其對個人數據保護的立場會有所分別。例如，德國基于納粹統治的痛苦記憶，對政府和企業收集個人數據非常戒備，北歐國家則重視將數據收集和整理用于支持社會福利體系的運作。此外，為彌合現行規則和未來新技術發展可能產生的鴻溝，GDPR使用了一些寬泛的原則，也留下了有待解釋的空間。

GDPR引入諸多平衡機制來協調各方利益，規則設計中表現為對權利作出適當限制、對責任予以適當豁免，以及諸多例外情形。例如，GDPR第17條“被遺忘權”共三款，第1款規定數據主體刪除個人數據的權利，第2款規定了數據控制者對其公開傳播的數據的責任。鑒于被遺忘權雖然關乎重要的個人權利，但也可能與言論自由、信息自由流動、公眾知情權等公共價值存在尖銳的矛盾，需要對此權利作出必要的限制，第3款規定了不適用被遺忘權的5種例外情形：(1)行使表達自由和信息自由權；(2)基于公共利益和履行法律職責所必需；(3)為實現公共健康領域的公共利益；(4)基于歷史、統計和科學研究的目的；(5)為提起、行使或辯護法律性主張。雖然做出了這些限制，被遺忘權仍然面臨很多質疑。對用戶提出的被遺忘權請求，企業可能首先需要審查是否屬于立法中規定的例外情形，而“表達自由”、“公共利益”這些抽象的判斷標準，無疑是將企業拖入裁判的泥潭，并由此形成一種新形式的“網絡審查”。這必然帶來規則適用的不確定性，GDPR中還有很多這類情形。GDPR復雜且帶有相當不確定性的規則，給遵守者帶來極大的合規困境和負擔。對監管機構而言，則賦予其較大的裁量權，可能產生執法的選擇性和不可預見性，還可以此增強與境外互聯網產業巨頭博弈的話語權。

(三)寬泛的管轄范圍導致域外適用

互聯網空間的開放性、個人數據流動和處理的跨國性，決定了GDPR充分的個人數據保護不會僅止于歐盟。GDPR第3條“地域范圍”兼采屬地管轄和屬人管轄兩種標準，將GDPR的適用范圍擴展至歐盟境外。該條款直接關系到境內外數據處理的主體和場景是否納入GDPR管轄，引起各方的重點關注和質疑。為明晰該條款的適用，2018年11月，EDPB發布長達23頁的《關于GDPR適用地域范圍的解釋指南》(公開征求意見版)。《指南》中對GDPR適用地域范圍的兩種標準做了詳細的闡釋和例舉，并創設了新的規則以促進其域外適用的落地執行。

GDPR下的屬地管轄是指，以在歐盟境內有“機構設置”作為適用標準。根據GDPR第3條第1款，數據控制者或處理者在歐盟境內有機構設置，該機構活動涉及的個人數據處理，不論數據處理行為是否在歐盟內進行，均適用GDPR。該條款的適用需要從三方面綜合判定：第一，在歐盟內有機構設置。機構設置是指通過穩定安排從事真實有效的經營活動，安排的法律形式不要求一定是具有法人資格的子公司或分支機構。《指南》中進一步闡明，在某些情況下，非歐盟實體在歐盟內有一個雇員或一個代理人，如具備足夠的穩定性，就可能構成穩定安排。[3]P5由此可見，在歐盟境內有機構設置的范圍相當寬泛，既包括在歐盟內設立的數據控制者或處理者，也包括歐盟外的數據控制者或處理者在歐盟成員國內有某種穩定安排，其法律形式不限。第二，個人數據處理由該機構活動所涉及。根據《指南》，即使在歐盟設置的機構沒有實際參加任何非歐盟實體的數據處理行為，該機構的活動也可能與這些數據處理行為間接相關。例如，一家中國企業經營的電商網站，其數據處理行為全部在中國進行，但是它在柏林設立了一個歐洲辦事處負責領導和執行歐盟市場的商業推廣和市場活動，旨在使該電商網站的服務盈利，則中國公司由此進行的個人數據處理與其歐洲辦事處的活動間接相關，屬于GDPR的適用情形。[3]P7第三，不考慮數據處理行為發生的地理位置。只要在歐盟境內有機構設置，且個人數據處理由該機構活動所涉及，不論數據處理行為是否在歐盟內進行，都可適用GDPR。

GDPR下的屬人管轄是指，以數據處理的“目標主體”在歐盟境內作為適用標準。根據GDPR第3條第2款，在歐盟外設立的數據控制者或處理者，只要其個人數據處理是為歐盟境內的數據主體提供商品或服務，或對發生在歐盟境內的數據主體的活動進行監控，即受GDPR約束。該條款的適用需要同時滿足兩個條件：第一，數據主體在歐盟境內。這是指在其個人信息被收集的時候，數據主體在地理上位于歐盟境內，無關其是否具有歐盟成員國的國籍或法律身份，因而并不限于歐盟的公民、居民。[3]P13第二，個人數據處理是針對歐盟內的數據主體提供商品、服務，或者監控其在歐盟內的活動。提供商品或服務并不要求支付對價或真實發生，具有此意圖即可，例如提供產品或服務的網站上出現歐盟成員國的語言和貨幣，或提及歐盟的消費者和使用者，就被認為有此意圖。在判定數據主體在歐盟內的活動被監控時，要求監控有特定目的，也就是數據主體在歐盟內的活動在互聯網上被追蹤，其個人信息經收集和后續處理利用，是為了分析或預測其個人行為、偏好，作出與此人相關的決策等。

GDPR通過“機構設置”和“目標主體”這兩種標準實現了擴張性的域外適用。這種域外適用的實質是行政執法權的擴張，面臨著對境外企業如何實現監管、調查和執法的難題，而且很可能與企業所在國的執法主權產生沖突，難以得到所在國的配合與協助。為解決這一執法難題，GDPR第27條規定了指定歐盟代表的義務。在歐盟外設立的數據控制者或處理者，因其向歐盟內的數據主體提供商品或服務，或監控歐盟內數據主體的活動而受GDPR約束，有義務在歐盟內指定一名代表，該代表可以是個人、商業實體或非商業實體，數據監管機構可以對此代表處以罰金或執行其他懲罰。[3]P19-20這意味著，在適用“目標主體”標準時，對境外企業的執法可以通過歐盟內的代表這一連接點得以實現。適用“機構設置”標準時，根據GDPR，即使數據處理行為在境外，也可以通過歐盟境內設置的機構這一連接點進行監督執法。這兩種情形下的執法思路異曲同工，都是通過境內的某一連接點將境外企業納入其可控范圍，從而實現對域外數據控制者和處理者的有效約束和執法。與歐盟境內企業相比，這種要求顯然會增加歐盟境外企業的額外負擔和市場進入阻礙，但是卻有利于保障歐盟本土市場和歐盟數據主體的權利。由此，GDPR構筑起一張密實的大網，將幾乎所有投資歐盟的企業和與歐盟有業務往來的企業都網羅其中，使其面臨兩難選擇：或者遵守GDPR的高標準，或者退出歐盟市場。

(四)嚴格控制的數據跨境流動強化了制度輸出

數據跨境流動是數字貿易的內在要求。GDPR沒有明確的數據本地化要求，其對個人數據流出歐盟主要通過充分性認定和充分保障兩種機制加以嚴格控制，基本原則是個人數據出境的目的地或接收方提供與歐盟境內基本相同的保護水平，目標在于GDPR保護的個人數據權利在數據出境后仍然能夠得到充分保證。

充分性認定是歐盟個人數據跨境流動最重要的機制，認定的對象是歐盟以外的第三國、第三國的特定地區、行業領域以及國際組織，只有歐委會認定其能提供充分保護，才可以將個人數據向其進行轉移。充分性保護要求第三國提供與歐盟基本等同的保護水平。根據GDPR第45條，歐委會主要從三方面進行充分性評估：首先，考察其法治水平、尊重人權和基本自由的情況、一般性和部門性立法及其實施(包括公共安全、國防、國家安全、刑法和公共機構獲取個人數據等方面)，以及數據主體權利的有效性和可執行性、行政和司法救濟途徑。第二，要求設立獨立且有效運行的監管機構，監管機構有充分的執法權、負責個人數據保護規則的實施、為數據主體行使權利提供支持和建議，以及與歐盟成員國的監管機構進行合作。第三，考察第三國或國際組織參加與個人數據保護相關的具有法律約束力的國際條約情況。加入歐委會《108號公約》是一項予以關注的因素。獲得充分性認定并非一勞永逸，歐委會對第三國或地區會定期進行復審，根據其個人數據保護的實踐情況，可能修改、暫停、甚至撤銷充分性認定。目前，獲得歐委會充分性認定的國家為數不多，包括：阿根廷、以色列、日本、新西蘭、瑞士、烏拉圭、安道爾、馬恩島、澤西島、法羅群島、根西島。加拿大獲得的充分性認定僅適用于屬于“加拿大信息保護和電子文件法”范圍的私營實體。

在充分性認定機制缺失的情況下，數據控制者或處理者只有能提供充分的保障措施，且數據主體的權利和救濟在法律上可執行時，才可以將個人數據轉移至歐盟境外。根據GDPR第46條，主要有下列幾種充分保障機制可供選擇：公共機構之間有法律約束力和執行力的文件；有約束力的公司規則；標準數據保護條款；協會行為準則；認證機制等。各種保障機制都需要獲得歐委會或歐盟成員國數據監管機構的批準才能生效，其核心在于嚴格控制個人數據出境后的保護標準。如未能滿足充分性認定和充分保障機制的條件，個人數據轉移至歐盟境外的例外情形非常有限，并且給數據控制者帶來很高的舉證責任。要求數據控制者在充分告知數據主體相關風險的情況下獲得數據主體的明示同意，或者數據控制者能證明數據轉移具有某種必要性，如實現公共利益、履行合同、司法訴求等，嚴格的舉證要求使其難以適用頻繁、大規模的個人數據轉移。

GDPR的跨境數據傳輸機制中，充分性認定機制提供了整體解決方案，獲得認定的前提是該國家或地區的個人數據保護水平達到了GDPR的要求，這必然促使希望獲得認定國家或地區的立法向歐盟標準靠攏。充分保障機制雖然是針對數據控制者或處理者，但同時要求數據主體的權利和救濟在法律上可執行，這也間接對數據控制者或處理者所在地的個人數據保護法提出了要求。跨境數據流動的這種制度設計使GDPR產生傳導效應，進一步強化了歐盟數據保護制度輸出的影響力。除歐盟國家以外，一些近期更新了數據保護法或提出立法草案的國家，如突尼斯、泰國、智利、巴西、加拿大、新西蘭、貝林等，其立法都深受GDPR影響。GDPR發生傳導效應的根源在于：一方面，歐盟市場對歐盟外國家的吸引力促使其希望獲得數據流動的許可；另一方面，在全球互聯網產業集中度較高的情況下，大多數國家與歐盟一樣，數字經濟的生產和消費失衡，仿效歐盟嚴格的數據保護法可以更有效地約束美國、中國等互聯網強國的數據控制者或處理者。

值得注意的是，GDPR的數據跨境流動規則也會被其他國家所仿效。日本2015年《個人信息保護法》中就確立了類似的充分性認定機制。在制度逐步趨同的背景下，2018年7月，日本和歐盟在達成《經濟伙伴關系協定》之后的會議聯合聲明中宣布，雙方約定互相將對方的數據保護系統視為同等有效，建立一個數據安全流通區。這意味著，歐日致力于達成首個“對等充分性”協議，并旋即展開實質性的推進。2018年9月，歐委會正式啟動對日本的充分性認定程序。2019年1月23日，歐委會通過對日本的充分性認定，日本也同時做出對等的認定，由此，個人數據可以在兩大經濟體間自由傳輸，形成世界最大的數據安全流通區。以日本的情形推之，一旦越來越多的國家仿效歐盟數據保護規則，包括其跨境數據流動規則，在這些國家間將形成以歐盟數據保護標準為共識的數據自由流通區，不符合其數據保護要求的國家則被排除在外，將面臨數據流動的障礙，GDPR產生的壁壘效果將逐步擴散，進而深刻影響全球數據治理格局。

三、美國化解歐盟數據立法壁壘的主要途徑

美國和歐盟的個人數據保護制度差異較大。美國沒有統一的個人數據保護法，而是根據需要在不同部門分別立法；美國沒有將個人數據權確立為憲法意義上的基本人權，認為除非有不能避免的風險且市場本身無法糾正，否則不應進行聯邦立法；美國也沒有獨立的數據保護機構，主要通過行業自律和民事救濟的途徑解決糾紛。[4]P53相對寬松的個人數據保護模式符合美國互聯網企業的利益，有益于維持其全球領先的行業優勢和促進數字經濟的發展。美國不可能改變其國內法律體系以滿足歐盟標準，歐盟也不認可美國達到了充分性保護。然而，美國和歐盟之間存在大量的跨境貿易往來和投資活動，尤其是美國的互聯網企業在歐盟存在重大的商業利益，化解歐盟數據保護產生的市場壁壘具有迫切的現實需求。美、歐之間數據保護制度的分歧由來已久，美國政府多年來積極尋求該問題的解決方案并取得一定效果。

(一)通過雙邊協議與歐盟達成妥協

自歐盟1995年《指令》實施以來，由于美國未達到歐盟認可的個人信息“充分保護”水平，美國企業在歐盟開展業務面臨嚴重限制。為解決大西洋兩岸數據流動的法律障礙，美國和歐盟于2000年簽訂《安全港協議》。該協議并不要求改革國家法律制度，而是為美國公司遵守歐盟規則提供了一攬子解決方案。《安全港協議》框架下的個人數據保護要求與歐盟《指令》的數據保護原則和標準相一致,美國企業可以自愿申請加入《安全港協議》。“入港”企業必須遵守協議要求，并且每年向商務部提交公開隱私政策的書面報告，從而可以接受和處理來自歐盟的個人數據。《安全港協議》生效后，有超過4400家美國企業和組織加入,包括谷歌、臉書、微軟等。雙邊安排使得美國企業可以合法地在兩地間傳輸數據，促進了美國企業在歐盟的發展和擴張。2013年隨著“棱鏡計劃”曝光，《安全港協議》存在的問題和漏洞凸顯出來。基于《安全港協議》中的國家安全和公共利益豁免，美國國家安全局一直通過進入微軟、谷歌、蘋果等網絡巨頭的服務器監控公民的個人信息，包括對歐洲領導人的監控。在此背景下，長期致力于隱私保護的奧地利公民Max Schrems向愛爾蘭高等法院提出申訴，指Facebook未能給歐洲公民的個人數據提供充分保護，要求禁止其將個人數據傳輸至美國。2015年10月，歐洲法院裁定《安全港協議》無效，理由是該協議已經無法滿足歐盟的數據保護標準，不能阻止企業將個人數據文件泄露給未經授權方。

鑒于美歐間密切的商業利益聯系，數據流動受阻已是彼此不可承受之重，美歐間緊急磋商，2016年2月即達成新的框架協議——《隱私盾協議》。《隱私盾協議》由美國商務部和歐委會共同設計，同樣采取企業自愿加入的方式。針對《安全港協議》運行中暴露的缺陷，以及因應歐盟數據保護制度的最新發展，《隱私盾協議》做了如下主要改進：其一，在調整范圍方面，除商業目的下的數據跨境流動，還納入了美歐間以國家安全為目的的個人數據傳輸。美國政府應向歐盟提交書面承諾，確保美國執法部門只在明確的權利范圍和監管機制下才能審查來自歐盟的個人數據。其二，美國公司將承擔更多的數據保護義務，數據保護標準更加細致嚴格，美國公司在違反隱私盾下承諾的情形下，將有相應的制裁機制追究責任。其三，在監督執行方面，《隱私盾協議》確立了聯合審查機制，美國商務部和歐盟委員會聯合監督，確保協議的有效執行。如果美國企業和政府未能履行其承諾，歐委會將暫停協議的運作。其四，在數據主體的救濟途徑方面，歐盟公民可以直接對加入協議的美國公司提起申訴，美國公司必須及時回應該訴求。歐盟公民還可以向歐盟的數據監管機構提起申訴，由該機構將申訴移交給美國商務部或聯邦貿易委員會，促使爭議快速解決。歐盟公民還有權直接在美國法院提起訴訟。《隱私盾協議》使美國和歐盟企業的業務活動重新獲得制度保障，目前已有超過2500家企業加入。

從《安全港協議》到《隱私盾協議》,個人數據保護的歐盟標準步步緊逼，美國則不斷妥協。在此過程中，歐盟不僅迫使美國企業提高數據保護標準，還一定程度上推動了美國制度環境的變化。例如，《安全港協議》失效后，美國加州通過了《電子通訊隱私法案》，禁止政府機構強制要求商業機構提供任何電子通訊信息，除非持有特殊情形下頒發的搜查令、竊聽許可、傳票等。為配合《隱私盾協議》的實施，2016年奧巴馬簽署了《司法救濟法案》，針對美國政府不當披露個人信息的行為，歐洲公民有權依據《1974年隱私法案》在美國法院提起訴訟。2018年加州出臺《消費者隱私法案》(CCPA)，對企業提出了更多通知、披露義務，并針對數據泄露規定了法定損害賠償金，是美國州層面最嚴格的隱私立法，也被視為最具有GDPR色彩的美國隱私立法。當然，美國并沒有根本改變其國內的隱私立法導向和立法模式。即使是CCPA，其制度內核仍體現出與歐盟制度的烙印差異，更加注重消費者保護的實際效果，以及與促進企業發展、技術創新之間的平衡。

(二)通過區域協議與歐盟爭奪話語權

美國作為全球數字經濟的領頭羊，由歐盟引領全球數據保護立法不符合美國利益，美國借助其在亞太地區的政治經濟影響力，試圖以區域協議的方式構建符合自身利益的規制體系，從而獲得一定程度的話語權，在國際層面與歐盟制度相互抗衡、影響和融合。

在美國的倡導和推動下，亞太經合組織于2005年通過《APEC隱私框架》，《框架》與歐盟的規制體系存在顯著差異。《框架》序言中雖然也確認了個人信息的隱私價值，但其并未將隱私權看作基本人權，其關注的重心是通過隱私保護增強消費者信心，通過統一規則促進數據跨境流動，從而實現促進亞太地區電子商務發展的目標。《框架》要求成員經濟體采取“一切合理及適當步驟避免和消除任何不必要的信息流動障礙”。《框架》確立的一套信息隱私原則主要源于OECD1980年《隱私保護和個人數據跨境流通指南》的保護原則,明顯低于歐盟95年《指令》的保護標準。為推動《框架》的執行，APEC于2011年出臺“跨境隱私規則”(CBPR)，為涉及數據跨境傳輸的企業提供了一個自愿認證系統。CBPR機制下，認證的核心是評估企業是否遵循《框架》規定的個人信息保護原則，通過認證的不同國家的不同公司，可以不受阻礙地相互傳輸數據。加入CBPR的成員方需要在國內指定問責代理機構并經APEC認可。企業首先對其跨境數據流動的內部政策進行自我評估，然后提交給問責代理機構進行審查評估，通過評估被認證為CBPR遵守方，相關信息公布在認證目錄網站，問責代理機構或本地的數據隱私機構負責執行和處理違規行為。CBPR機制的運行邏輯類似于歐盟的“有約束力的公司規則”(BCR)機制，即遵循一套統一隱私規則的企業之間可以跨國傳輸數據。為促進歐盟和亞太地區的個人數據流動，2012年APEC和歐盟成立聯合工作組，致力于CBPR和BCR兩個體系間的互通和融合。2014年工作組制定了“BCR和CBPR體系共同參考”，作為一個非正式的檢查清單，列舉了兩個體系在認證方面的共同要求和差異性。2015年聯合工作組表達了從執行層面融合兩個體系的意向，擬合作制定企業同時加入兩個體系的聯合申請表。但是，由于兩個體系的顯著差異，CBPR以《框架》原則為基礎，BCR以《指令》和GDPR為基礎，CBPR的隱私保護標準明顯低于BCR，兩者的融合進展緩慢，至今未有實質性的突破。

《APEC隱私框架》和CBPR是美國通過區域協議推行美式數據規制標準的最重要成果，但是，從運行實踐觀察，《框架》對APEC成員方沒有法律約束力，僅為推薦性標準，對該地區國家的數據隱私法并無實質性影響。加入CBPR的有美國、日本、墨西哥、加拿大、韓國、新加坡、澳大利亞和中國臺北。其中一些國家尚未指定問責代理機構或問責代理機構仍在申請之中，因而這些國家還無法實際運行CBPR體系。真正開始運作CBPR的目前只有美國和日本。取得CBPR認證的企業目前僅24家，其中美國23家，日本1家。迄今為止美國通過APEC獲得的實際影響力非常有限。事實上，日本、墨西哥、韓國、加拿大、新加坡、澳大利亞等APEC成員方的國內數據保護水平都在向歐盟95年《指令》，乃至GDPR靠攏，明顯超出APEC的保護水平。執行CBPR則意味著這些國家和地區要實行“內緊外松”的數據保護制度，即在國內執行較高水平的數據保護，而數據出境時第三國的數據接收方只要達到APEC的較低保護水平，就允許出境。這既不利于本國利益，也限制了國家主權，CBPR遇冷也就不足為奇。然而，美國仍在借助其政治經濟影響力，積極游說和推動更多APEC成員方加入并執行CBPR體系。

除此之外，美國還在其主導的自由貿易協定中推行促進數據自由流動的規則。2012年達成的美韓FTA，電子商務章中要求“各締約方應盡量避免對電子信息跨境流動施加或維持不必要的壁壘”。從措辭看，該規定呈現原則性的特點，還不具有強制性約束力。金融服務章中的相關規定相對較為明確，“締約方應準許對方的金融機構，出于正常業務活動的需要，以電子或其他形式傳送信息、進行跨境數據處理。”這是美國在FTA中首次引入數據跨境流動規則，雖然只是框架性的初步規定，但它代表了美國今后FTA談判中的導向。2015年達成的TPP，第14章電子商務第8條規定了各締約方保護個人信息的義務，但是在注釋6中指出，締約方履行個人信息保護義務的方式包括諸如，“統一的隱私法、個人信息法或個人數據保護法，涵蓋隱私保護的特定部門法，監督企業自愿進行隱私保護的法律。”該注釋以舉例列舉的方式非常寬泛地涵蓋了各種數據隱私保護模式，設置了很低的義務履行要求。電子商務章第11條又規定，各締約方應允許個人信息跨境自由流動，除非出于正當的公共政策目標。即使公共政策目標包括個人信息保護，根據注釋6，只要一締約方采取了任何一種隱私保護模式，就應當被認為達到了個人信息保護要求，其他締約方就不應當限制個人信息向其傳輸。

不論是APEC框架下的CBPR體系，還是自由貿易協定中的數據流動規則，美國都在以較低水平的數據保護為基礎構建有利于數據自由流動的跨境規則，旨在促進數據向美國流動。這和歐盟通過個人信息出境的“充分”保護要求促使全球數據保護水平向歐盟靠攏是背道而馳的。正因如此，歐盟在和美國開展的TTIP談判中一再聲稱：個人信息保護是基本人權，決不能在貿易談判中談沒了。可見歐盟是堅決杜絕TPP中上述類似條款的。雖然迄今為止，美國在區域協議中取得的實際成果極為有限，但是美歐間的博弈將是長期而激烈的。美國能否以APEC下的CBPR和自由貿易協定撬動歐盟的主導格局，拉低全球數據保護水平，還有待觀察。

四、中國當前應對GDPR的可行性措施

(一)現階段借鑒美國經驗不具有可行性

2018年9月，我國的《個人信息保護法》列入立法規劃，目前尚處于討論階段。當前，我國個人信息保護的法律依據是散見于公法和私法不同部門法中的相關規定，包括但不限于《民法總則》《侵權責任法》《網絡安全法》《電子商務法》《消費者權益保護法》等法律，《征信業管理條例》《電信和互聯網用戶個人信息保護規定》《網絡預約出租車經營服務管理暫行辦法》等行政法規和部門規章。這些規定大都較為簡單、操作性不強，且規定分散、不成體系，規定之間缺乏聯系和相互支撐，甚至存在矛盾和混亂。由于立法不完善、私力救濟不足、行政監管缺位，我國當前的個人信息保護框架失衡，既不能為自然人提供充分的個人信息權利保障、也無力滿足市場對個人信息利用的合理需求，更因國際視野缺乏，無法在國際規則制定和跨境執法中發揮應有的作用。[5]以我國目前的個人信息保護狀況，我國不可能獲得歐盟的充分性認定。然而，中國企業在中歐商貿往來中，不論是銀行、金融、保險、醫療健康、航空等傳統企業，還是跨境電商、社交網絡、智能出行、智能家居等新興領域，都會面臨GDPR的合規挑戰。上述美國政府應對歐盟數據立法的舉措，中國目前是否可以借鑒？

美歐政府間締結的《隱私盾協議》，是化解數字貿易壁壘、解決數據跨境流動最行之有效的途徑。美歐間能夠達成雙邊協議，有賴于四方面因素：一是美歐之間的經濟依存度較高，美國是歐盟最大的出口國市場，且美國的互聯網公司在歐盟提供廣泛的服務。《安全港協議》失效后，歐洲委員會曾表明，美歐數據流動受阻可能會造成歐盟整體國民生產總值下降0.8%-1.3%。二是美歐之間長期以來的政治互信，《隱私盾協議》的內容廣泛，還涉及反恐、洗錢、國家安全等敏感事項。三是美國強大的外部執法威懾機制能夠有效約束信息控制者的行為。美國憲法、聯邦法律、州法對于個人信息都有相應的保護規定，只是聯邦層面缺乏一部統一的適用于市場主體的個人信息保護法。美國聯邦貿易委員會、各州總檢察長、民事(集團)訴訟、國會監督與媒體監督及社會監督等機制毫不亞于歐盟國家個人信息管理局的執法力度。[6]P17四是美國為達成協議做出了更多的妥協。中國如果想仿效美國，與歐盟達成類似的雙邊協議，目前較為有利的因素是中歐之間密切的經貿往來，中國是歐盟的第二大貿易伙伴，歐盟是中國的第一大貿易伙伴。但是，中國的互聯網企業國際化程度不高，歐盟市場對其沒有依賴。最為不利的因素是我國目前較低水平的個人信息保護，基礎性立法和標準較為匱乏、執法監督機制分散無力、救濟手段不足，與《隱私盾協議》的要求差距較大。在我國國內法制作出改善之前，我國與歐盟達成類似雙邊協議尚不具備可行性，更遑論在區域和國際層面提出個人數據保護和數據流動的標準、參與國際規則制定。因而，政府的當務之急是從國內法層面加強個人信息保護立法和執法體系的建設。

(二)構建符合國際立法趨勢和我國現實需求的個人信息保護法

中國的數字經濟規模僅次于美國，位列全球第二。全球市值最高的20家互聯網公司中，中國占據9席，僅次于美國的11席，但是，中國公司以本土化運營為主，其國際化程度遠不及美國公司。目前，我國企業有實力且有需求深度參與國際競爭，拓展海外市場，在全球數字經濟的發展中謀求更廣闊的空間。歐盟引領的個人數據保護立法不斷提升全球數據保護水平和市場門檻，倒逼中國企業提高個人信息數據保護標準。另一方面，國內近年來屢屢發生個人信息泄露和濫用事件，也需要建立有效機制約束個人信息控制者或處理者的行為，這既是保護我國個人權益的必要，也是增強消費者對互聯網線上服務的信心，深入發展數字經濟的內在要求。不可否認，我國較為寬松的個人信息保護政策，在過去十幾年間對我國互聯網企業和數字經濟的迅猛發展發揮了助力作用，但是在目前的國內外形勢下，我國應當適度提高個人信息保護水平。我國正處于個人信息保護法立法的關鍵時期，我國需要根據國際立法趨勢和國內情況，合理構建個人信息保護法，力求在數字經濟發展、個人信息保護和國家安全間取得最佳平衡。

1.我國的個人信息保護法不宜盲目追隨歐盟的GDPR，但應達到全球第一代個人信息保護法的標準,同時吸收第二代和第三代個人信息保護法中的適宜因素。根據澳大利亞Graham Greenleaf教授的研究，全球個人信息保護法的演進歷經三代：第一代以1980年OECD《指南》和1981年歐委會《108號公約》為代表，確立了個人信息保護法的基本內容。目前，全球已經有126個國家的立法達到了第一代保護標準，其中75個歐洲以外的國家。第二代以歐盟1995年《指令》為代表，在第一代的基礎上加入了更高保護標準的一些要求，如“數據最少夠用”、“數據刪除”、“獨立的個人數據保護機構”等等。75個非歐洲國家立法的平均水平已經至少滿足這些要求的一半以上。第三代以歐盟GDPR為代表，在第二代的基礎上進一步擴展了數據主體權利，如“被遺忘權”、“可攜權”，還增加了“企業設立數據保護官”、 “設計隱私”、“數據發生安全事故后及時通知”等要求。作為第一代個人信息保護法的標志性立法文件近來也作出了與時俱進的修訂。2013年OECD修訂1980年《指南》時，保持其核心原則，但根據形勢的變化增加了部分原則的具體實施要求，如在落實責任原則時，增加了安全事故發生時的通知要求。2018年《108號公約》現代化的修訂版完成，重申并強化原有基本原則的同時，加入了GDPR的部分要素。

在歐盟立法的引領下，全球個人信息保護的實質原則表現出相當的趨同性。第一代個人信息保護法的基本原則歷經30多年的實踐檢驗，現在為國際社會成員普遍接受，體現了其合理性和穩定性。因而，我國的個人信息保護法首先應全面達到第一代個人信息保護法的標準，確立如下基本原則：信息收集限制原則、質量原則、目的特定化原則、使用限制原則、安全保護原則、公開原則、個人參與原則、責任原則。第二代和第三代個人信息保護法中的新增要素需要逐一考察，對那些回應了網絡發展新情況，實踐證明可行，又被許多國家普遍接受的要素，應予以采納，例如敏感信息特別保護、安全事故發生后的報告和通知要求等。GDPR實施剛滿一年，其諸多新規則的現實效果和可操作性、其對數字經濟的深層影響、其對技術發展的適應性等，都還有待觀察。即使在歐盟數據保護法的發源地德國，對GDPR仍存在很多批評。甚至有觀點認為，GDPR存在結構性缺陷以及實施層面的巨大挑戰，需要實質性地改變和完善。況且，深化發展數字經濟是我國目前擴展經濟發展新空間的重要戰略，GDPR嚴苛的數據保護義務對數據控制者或處理者施加了很重的負擔，會抑制數字經濟發展的活力，我國不宜全面借鑒GDPR。

2.個人數據出境規則的設計應兼顧安全和發展，根據數據的不同性質采取不同的監管路徑。我國立法對個人數據出境采取嚴格的本地化存儲和出境安全評估機制進行管控。2017年6月開始實施的《網絡安全法》第37條規定，“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定辦法進行安全評估。法律、行政法規另有規定的，依照其規定。”2017年4月國家網信辦發布的《個人信息和重要數據出境安全評估辦法(征求意見稿)》同樣遵循境內存儲和出境安全評估原則，但其適用的義務主體范圍更廣，不限于“關鍵基礎設施的運營者”，而是包含所有“網絡運營者”在我國境內“收集和產生的個人信息和重要數據”。安全評估根據出境數據的數量、類型和重要程度等分為網絡運營者自評估和政府部門評估兩種機制。這一立法取向，將幾乎所有個人信息數據廣泛納入境內存儲和出境安全評估范圍，體現出強化數據主權和政府管控的意圖。

《評估辦法》設置了非常全面的評估內容，但缺乏明確的評估合格標準。評估內容涵蓋個人信息和重要數據的基本情況、數據主體是否同意、數據接收方的保護水平、數據出境后的各種風險等方面。其中關于信息數據的基本情況和數據主體的同意較為容易判定，但是，數據接收方的保護水平和數據出境后的風險審查沒有客觀標準，增加了評估的難度和不確定性。歐盟的數據跨境流動規則主要是對數據接收國的相關法律和執法機制，以及數據接收方的保護水平進行評估，以歐盟的數據保護水平為參照標準，屬于資格審查，一旦通過認定就可以在相對穩定且可預見的環境下跨境傳輸數據。我國《評估辦法》沒有規定數據接收國或接收方必須提供與我國個人信息保護法相同的水平，這使得對接收方保護能力的認定沒有實質標準。此外，評估內容中關于數據出境后可能面臨的各方面風險的審查，對開展評估的網絡運營者和政府監管機構的信息收集和評估能力都提出了較高要求，而且，由于沒有統一標準，不同評估者對相同情況下的風險評估結果可能不一致。面面俱到又缺乏明確標準的評估要求，不能為市場主體營造穩定可預期的數據流動法律環境，并增加其合規成本。當然，這使得政府對個人數據出境審查有更大的裁量權和話語權。

從《評估辦法》看，我國目前偏重于通過政府的嚴格監管，高度維護數據主權和數據出境的安全。但是，從數字經濟發展的角度看，會造成市場主體不必要的負擔，嚴重阻礙數據跨境傳輸，而且容易招致其他國家的對等措施，影響數字貿易的健康發展。《評估辦法》尚在征求意見階段，我國個人數據出境規則的構建應當力求在安全和發展的需求間取得平衡。首先，應當區分數據的不同性質，有針對性地對其跨境流動采用不同的管理路徑。對一般個人數據出境進行監管的政策目標是保護公民隱私和公民的個人信息自決權利。對重要數據和敏感數據出境進行管控的政策目標是保護國家安全和公共利益。不同政策目標下，數據出境的制度設計和管控措施都應當不一樣。第二，重要數據和敏感數據，因其涉及國家安全和公共利益等更重大的利益，應當由政府直接進行嚴格監管，要求本地化存儲，并且由政府介入具體情境下的出境評估。第三，對一般個人數據，可以參照歐盟的數據流動監管模式，重點評估數據接收國的個人數據保護法律環境和數據接收企業的個人信息保護機制是否完善，GDPR中的充分性認定制度、標準合同機制等都可資借鑒。同時，對境外數據接收方個人數據保護水平的評估標準也應明確以我國國內法的保護水平為準，前提是我國統一的《個人信息保護法》盡快出臺。這種監管模式下，政府依據明確的標準對境外接收方事先進行資格審查，可以為市場提供穩定預期，降低評估成本，同時也達到了保護個人信息權利的目的。以此為基礎，我國還可以同其他國家達成相互認證個人數據保護水平的協議，促進數據的雙向流動和數字經濟的發展。

3. 設置權威的個人信息保護執法機構，改變執法分散低效的現狀。我國統一的《個人信息保護法》尚未出臺，涉及個人信息保護方面的法律呈碎片化狀態，監管執法也較為分散。根據我國現行制度，嚴重侵犯個人信息的犯罪行為依靠公安和司法部門進行刑事打擊，其余一般侵犯個人信息的情形主要由行業主管部門進行監督執法，包括網信辦、工信部、市場監管局，以及金融、醫療等專門領域的主管部門。多頭分散的管理體制造成各主管部門職責不明確，一方面在職責交叉的領域容易造成重復執法、競爭性執法，或者互相推諉，另一方面還可能存在監管的真空地帶。2019年1月，中央網信辦、工信部、公安部、市場監管總局四部門聯合發布關于開展APP違法違規收集使用個人信息專項治理的公告。此后，2019年3月，市場監管局和中央網信辦發布關于開展APP安全認證工作的公告，這兩部門將組織開展APP安全認證，指定中國網絡安全審查技術與認證中心為認證機構，并頒布《移動互聯網應用程序(APP)安全認證實施規則》。2019年6月28日，工信部辦公廳印發《電信和互聯網行業提升網絡數據安全保護能力專項行動方案》的通知，在“深化APP違法違規專項治理”部分，提出“組織第三方評測機構開展APP安全滾動式評測，對在網絡安全和用戶信息保護方面存在違法違規行為的APP及時進行下架和公開曝光”，以及“引導第三方機構開展APP數據安全管理認證”。據此文件，工信部也準備組織測評和評估，但是，通知中沒有明確第三方評測和認證機構是何機構，也沒有說明此認證與網信辦和市場監管局3月發布的認證規則、指定的認證機構是否存在聯系。工信部的通知后續如何操作也不明確，如果部門間能夠協調一致、分工合作當然最好，如果都要爭奪APP安全評估工作的主導權，則會造成資源浪費、增加企業負擔。標準不統一，最終損害執法機關的權威性，這也正是分散執法的弊端。

歐盟GDPR中關于個人數據跨境流動的“充分性認定”機制，在評估數據接收國個人信息保護的法律環境時，其中一項重要因素就是要求設立獨立且有效運行的個人信息保護監管機構，監管機構有充分的執法權，并與歐盟成員國的監管機構進行合作。受歐盟立法影響，很多國家都設置了專門的個人信息保護機構。例如，日本在2015年修改《個人信息保護法》之后，2016年1月設立了個人信息保護委員會，由內閣總理大臣直屬管轄，獨立行使職權，負責監督執法、處理投訴、制定規范性文件、進行國際合作等事項。APEC“跨境隱私規則”體系也要求加入方在國內指定“問責代理機構”，由問責代理機構或數據隱私機構負責執行和處理違規行為。由此可見，世界主要國家和國際組織的個人數據跨境流動制度在評估接受國個人信息保護水平時，個人信息保護機構的執法能力已成為一項必要考察因素。

大數據時代，數據大規模、頻繁傳輸已成常態，對個人信息保護執法提出了更高要求。我國目前多頭混治的管理體制，不能提供高效、及時的個人信息保護。我國應當設置權威機構進行統一監管，可以考慮由國家網信部門承擔這一職責，同時，在金融、醫療等特殊專業領域，其主管部門在網信部門的指導和監督下履行其職責范圍內的個人信息保護職責。設置統一、職責明確的個人信息保護執法機構，提高執法水平，不僅有利于保障我國公民的合法權益，還可以提高我國在個人信息保護方面的國際形象，為我國參加個人數據跨境流動的雙邊和區域機制提供制度支持。

綜上所述，以貿易壁壘的角度考察GDPR，并非否定其人權保護的的立場和積極作用，而是從其對數字貿易的實際效果出發，探討其制度設計的影響和可能的因應。歐盟憑借其統一大市場和高超的立法水平，在個人數據保護領域保持著持續輸出制度的影響力。越來越多歐盟以外國家和地區的個人數據保護法向95年《指令》標準乃至GDPR標準靠攏。非洲等新興市場國家也開始積極仿效歐盟的數據立法。因個人數據保護產生的市場壁壘，也會在其他地區日益凸顯。美國作為全球互聯網產業和數字經濟的領頭羊，其個人數據保護立法的理念和路徑與歐盟大相徑庭。美國試圖通過區域協議，提出符合美國利益的較低標準的個人數據保護和跨境流動規則，以此抗衡歐盟的制度引領，然而迄今為止影響有限。但是，美歐間能夠通過有效的雙邊協議達成妥協，在很大程度上化解歐盟數據立法產生的壁壘。相比之下，中國則相當被動，目前無法從雙邊或區域層面提出有效解決方案，這對中國企業深度參與全球數字經濟競爭非常不利。中國亟待完善相關國內法，出臺符合我國現實需求的個人信息保護法，適當提高個人信息保護標準，設計兼顧安全與發展的個人信息數據出境規則，設置權威的個人信息保護執法機構。以此為基礎，我國才可能對外談判雙邊條約，在區域和多邊談判中提出中國立場，參與數字經濟時代個人數據保護國際規則的構建。

注釋：

① Tony Romn. France fines Google nearly $57 million for first major violation of new European privacy regime[N]. The Washington Post. 21 Jan 2019.

② 《歐盟基本權利憲章》第8條“個人數據保護”規定：人人均有權享有個人數據的保護。個人有權了解并更正被收集的個人數據。個人數據處理只能基于特定目的，且經數據主體同意或依法律的其他規定公正進行。

③ 《108號公約》全稱《個人數據自動化處理中的個人保護公約》，1981年由歐洲委員會頒布，是歐洲數據立法的奠基性法案，確立了數據保護的基本原則和框架，但公約為非自動執行條約，需成員國國內立法實施。

④ 《數據保護指令》全稱《歐洲議會和歐盟理事會1995年10月24日與個人數據處理有關的個人保護以及此類數據的自由流動指令》。該指令對個人數據處理合法性的一般原則、司法救濟、向第三國轉移個人數據、監管機構和執行措施等進行了規定。歐盟要求成員國都制定各自的數據保護法，且必須達到指令要求的保護程度。

⑤ 2015年歐盟委員會啟動《數字化單一市場戰略》，旨在通過采取一系列措施消除法律和監管障礙，增進成員國間的合作與交流，將28個成員國市場打造成為一個統一的數字市場，共同推動歐盟數字經濟的發展。

⑥ Wilbur Ross. EU data privacy laws are likely to create barriers to trade[N]. Financial Times. 30 May 2018.

⑦ 歐盟數據保護條例生效，小米智能燈Yeelight不滿足GDPR將停止服務[N].搜狐網.2018-5-24. http://www.sohu.com/a/232805384_127714.

⑧ Tobias Buck. Mobike faces probe by Berlin data protection regulator[N].Financial Times.10 Dec 2018.

⑨ See Mary Meeker’s 2018 Internet Trend Report[R]. 30 May 2018.

⑩ See UNCTAD. World Investment Report 2017-Inverment and the Digital Economy[R]. http://unctad.org/en/PublicationsLibrary/wir2017_en.pdf.