歐美個人數據跨境流動規制：沖突與協調
——基于歐盟法院判定“安全港”“隱私盾”無效案的考察

何 東

（青海民族大學法學院,青海 西寧 810007）

歐美的諸多貿易往來都涉及個人數據的跨境流動。從2000年到2020年，歐美簽署的《安全港協議》和《隱私盾協議》，使得美國獲得了作為歐盟個人數據傳輸目的地的資格。在此期間，二者在個人數據傳輸方面只是偶有矛盾和分歧，沒有出現較大的紛爭。然而，雙方在個人數據跨境流動規制方面存在著巨大的理念沖突，在數字經濟的發展中又互為競爭對手，因此，歐美之間的個人數據流動規制模式在運行中難免會遇到阻力。2020年，歐盟法院先后確認《安全港協議》和《隱私盾協議》失去法律效力。探討兩個協議失效案件，進而充分認識歐美個人數據跨境傳輸模式中內在的體制機制矛盾，并研判世界個人數據流動規制法律創制的發展方向。可以為中國立足本國實際構建本國個人數據流動規制框架、積極參與世界范圍內法律的制定提供有益的參考和建議。

1 歐美個人數據跨境流動規制安排的緣起

針對向外傳輸的域內數據，歐盟采取充分保護規則對其進行保護。歐盟依據自身標準對域外國家和地區的立法體系、公民權利保障狀況、法律適用情況等進行充分考察，從而確定該國或該地區是否具有保護公民個人數據安全的能力。只有經歐盟審核符合條件的國家和地區才可以成為歐盟個人數據傳輸的目的地。由于歐盟對個人數據保護進行了嚴格的法律規定，當前只有13個國家符合歐盟的數據保護標準。而美國尚未進行全國層面的公民信息保護法律的創制，因此其數據規制模式難以得到歐盟委員會的承認，而歐美之間又存在著緊密的經貿聯系，促進兩者之間的信息傳輸勢在必行。在這樣的背景下，歐盟和美國先后簽訂了《安全港協議》和《隱私盾協議》。

1.1 《安全港協議》

1.1.1 《安全港協議》的簽署及其主旨

歐美之間的貿易額巨大，雙方在交易過程中不可避免地要向彼此傳輸大量的個人跨境數據。尋求一種有效而又能符合歐美法律規定的數據傳輸方式一直是雙方所追尋的目標。早在1995年，歐盟頒布了《數據保護指令》。歐盟已經開始管制域內數據向域外國家和地區的傳輸[1]。在1998年，歐盟和美國正式開啟了談判，意欲實現歐盟個人數據向美國的自由傳輸。密切的經貿往來促使歐美開啟了長期的協商，并最終簽署了《安全港協議》。《安全港協議》于2000年得以生效，美國的數據保護能力得到了歐盟“非全面”的承認。

《安全港協議》對個人數據的保護做出詳細的規定，商業機構可以自愿參與到該協議之中，進而獲得開展關涉歐美之間個人數據流動貿易的資格[2]。憑借“安全港”模式提供的機制優勢，美國商業機構針對歐盟市場開發出了一套特有的商業范式，獲得了高額商業利潤。作為兩大經濟體談判的重要成果，該協議對公民隱私的保護作出了全面的規定。

1.1.2 SchermsⅠ案件導致《安全港協議》機制失去效力

因個人網絡信息未經本人同意被傳輸至美國，奧地利人Max Schrems認為其個人數據安全未能得到有效保障，于2013年提起訴訟，當時對跨大西洋數據傳輸進行規制的文件是《安全港協議》。后來，歐盟法院對該案進行了審理和判決，指出與保護公民隱私相比，美國把維護國家安全和促進經濟發展的法律的適用放在了更為優先的位置。因此《安全港協議》不足以使傳輸至美國的歐盟個人信息安全得到有效保障，自此《安全港協議》對歐美數據傳輸不再具有約束力。

1.2 《隱私盾協議》

1.2.1 《隱私盾協議》的頒行及其要旨

《安全港協議》失效以后，跨大西洋數據傳輸再次處于無序的狀態之中，極大的阻礙了歐美之間的經濟往來。歐美雙方不得不迅速開啟談判，在《安全港協議》失效的時間尚不足一年時，雙方最終簽署了《隱私盾協議》。該協議從2016年7月生效。《隱私盾協議》對《安全港協議》的內容進行了補充修正，自愿接受該協議規制的商業機構達5 000余個[3]。此后，跨大西洋數據傳輸再次得到了有力的規制。為了盡快恢復歐美之間的數據自由傳輸，與《安全港協議》相比，美國在簽訂《隱私盾協議》時做出了大量的退讓。

1.2.2 SchermsⅡ案件和跨大西洋個人數據傳輸規制分歧的研究

《隱私盾協議》被判定無效一案和《安全港協議》被判定無效一案相承接，因此又被稱為SchermsⅡ案件。在《安全港協議》對歐美個人數據傳輸不再具有管制力后，為了繼續向美國傳輸歐盟個人信息，Facebook以SCCs數據安全保障機制作為合規手段以使得歐美之間的信息流動得以正常進行。然而，Max Schrems于2015年再次向愛爾蘭數據保護委員會進行申訴，以歐盟公民隱私無法得到有效保障為由請求禁用SCCs數據安全保障機制。在此案移送到歐盟法院的過程中，愛爾蘭司法機構在質疑標準合同條款中規定的數據安全保障機制（以下簡稱SCCs數據安全保障機制）合規性的同時，也開始對《隱私盾協議》的規制效力問題進行進一步的探討。歐盟法院的判決指出，美國政府擁有訪問和掌握個人數據的極大權力，這足以使歐盟公民的信息安全權利遭受侵犯。此外，歐盟域內的個人難以赴美以法律手段制裁侵犯公民信息權利的美國企業，并成功維護自身權益。《隱私盾協議》于2020年被認定為失去法律約束力。然而，SCCs數據安全保障機制仍然具有效力。

歐盟尤其擔憂美國國家部門可以自由查看歐盟域內居民的信息和隱私，可是歐盟域內的個人卻難以維權。歐盟法院在對《隱私盾協議》失去效力一案進行審判時明確指出，美國的信息搜集行為不止一次對歐盟內部的個人信息安全造成威脅，可是美國的規制模式卻難以為歐盟內部的個人數據提供符合歐盟信息保護準則的有力保障。美國《外國情報監視法案》甚至規定，美國的信息搜集部門能夠對美國域外的外國人采取信息搜集措施。美國第40任總統羅納德·威爾遜·里根曾在其任期內以其總統特權使美國第12333號行政法令中規定的政府進行的個人數據搜查（以下簡稱EO12333）獲得合法地位，EO12333使得美國國家安全局（NSA）截獲歐盟正在傳輸中信息的行為獲得了法律的認可。長期以來，歐盟將公民的個人信息安全權利視為歐盟公民的一項重要權利，美國肆意搜集境外私人數據的行為，顯然違反了歐盟構建其個人數據跨境規制機制的初衷。歐盟根本法對公民個人隱私權的保護做出了細致的規定。總體而言，歐盟《通用數據保護條例》中有關個人數據流動規制的條款不得與歐盟《基本權利憲章》對歐盟公民基本權利的規定相違背。

2 歐盟和美國個人數據跨境流動規制體系的對比

歐美兩種個人數據傳輸規制模式存在較大的立法理念差異，兩種模式在立法價值、規制手段、立法效果等方面都迥然不同。正是兩種體制存在的諸多不同之處，最終導致了《安全港協議》和《隱私盾協議》的失效。下面本文將從以下幾個層面來對兩種模式進行對比研究。

2.1 歐美個人數據跨境流動規制模式價值取向的差別

歐盟基于維護公民基本權益的出發點，創制了相關法規以強化對公民隱私信息權利的保護，歐盟《基本權利憲章》也對公民個人數據權利的保護作出了具體規定。歐盟司法部門在具體案件的法律適用中有效地維護了公民的數據權利。保護個人信息這一得到歐洲人權機構普遍認同的理念在《歐洲人權公約》中也得到了承認。公民個人數據信息不能任由他方非法搜集和使用的價值取向在歐洲早已深入人心。

美國歷任總統都鼓勵強化商業機構的行業自我管控，相比于公民數據保護，將促進經濟發展置于更為重要的位置。20世紀90年代，美國第42任總統威廉·杰斐遜·克林頓極力向世界各地推介美國的行業自我管控機制，意圖使之成為各國通行的準則[4]。美國部分學者曾對歐盟在1995年頒行的《數據保護指令》持懷疑態度，并撰文批評該指令阻礙了歐美之間服務、貿易的開展。總體而言，美國規制機制更注重對個人信息整合者的權益，而非作為信息主體的公民的個人權益的保護。

2.2 歐美個人數據跨境流動規制立法模式的差別

《通用數據保護條例》對歐盟成員國實行統一的個人數據規制準則，因此也便于歐盟域外的國家和地區進行法律移植。歐盟司法部門將《隱私盾協議》和《安全港協議》認定為無效，看似是為了保護公民的信息權利，但從本質上來看，歐盟不乏以自身數據規制法律制衡美國，動搖其在歐洲信息產業中“一家獨大”的地位。在客觀方面，歐盟的法律確實對歐洲的數字經濟發展起到了促進作用。歐盟的數據信息規制法規涉及跨境商貿的各個方面，可用以規制商貿往來中所有與個人數據流動相關的情形。

在跨境數據規制方面，美國的立法對其他國家和地區的引領作用仍遠不及歐盟。有大量的美國商業機構為了順利開展境外貿易，在對歐盟的貿易實踐中一直自愿接受歐盟《通用數據保護條例》的規制。2020年加利福尼亞州出臺的《加州隱私權法案》（CPRA）當屬美國各個州中極具立法成就的法律文件。該法案在修正之后作出了設立專司維護公民信息權益部門的規定，對少兒隱私信息的內容進行了擴充，規范了信息存留制度，并對商品、服務購買者維權的途徑進行了規范和說明。然而，美國至今沒有頒行可以在整個國家普遍適用以維護公民數據信息權利的法規，與歐盟《通用數據保護條例》在歐盟各成員國都具有規制力相比，美國在法律創制方面并不占優勢。當前美國開始著手創制可以在全美普遍適用的數據規制法律，但鑒于國內對此一直有反對的聲音，因此，這一法律能否順利出臺仍然有待觀察。盡管美國一直致力于擴大自身在全球數據流動規制立法領域的話語權，并取得了一些成績，但相比于歐盟，其立法話語權仍有待增強。

2.3 歐美個人數據跨境流動規制法律執行的差別

加入歐盟的國家全部設立了職權明確的維護公民個人隱私信息安全的部門，負責相關法規的執行。對于違反歐盟《通用數據保護條例》的機構和個人，這些部門都可以對其進行罰款，罰款的額度甚至可以高達2 000萬歐元。不僅如此，歐盟公民還可以自主向對其國家數據保護機構（DPA）提出申請，回應并處理公民的申請是歐盟法律規定的DPA必須履行的義務。

截至目前，美國尚未頒布可以在各州普遍適用的法律以維護公民數據信息權利，且未設置職責明確的專門管理公民信息保護的部門，而是由美國聯邦貿易委員會（FTC）具體負責執行相關法律。FTC不是專門管理公民信息的部門，其主要職權是管控商業機構的壟斷行為，以及調查商品、服務購買者所提出的投訴。

根據美國個人數據規制法律，美國對觸犯法律的商業機構的罰款數額可以達到無限高。例如，FTC曾在2019年給涉及劍橋分析公司事件的Face book開出了50億美元的巨額罰單。歐洲學者曾將FTC的法律實施情況與DPA進行對比，公開批評DPA對法律的執行力度低。歐盟法律賦予了DPA諸多職權，其在實施法律時也更容易在相關法律找到依據。可是在具體案件的法律執行中，歐盟卻沒有像美國一樣對商業機構處以數億美元高額罰款的先例。

3 后《隱私盾協議》時期的歐美個人數據跨境流動規制

3.1 歐美個人數據跨境流動規制分歧仍然存在

歐盟司法部門相繼認定《安全港協議》《隱私盾協議》不具有法律約束力，但歐美個人數據跨境規制模式存在的分歧仍然沒有消除。從總體上來看，歐美在信息產業和數字經濟領域的競爭日益激烈。Christopher Kuner曾指出，《安全港協議》《隱私盾協議》、某些保護性認證規則抑或SCCs數據安全保障機制，都難以實現對公民個人隱私信息權利的有效維護。此類規制措施難以使公民數據有效規避他國的信息搜集行為[4]。

在跨境數據流動規制方面，歐美從相異的角度出發，其理念分歧很難在短時間內徹底消除。歐盟司法部門將《隱私盾協議》認定為無效使得跨大西洋信息傳輸再次處于無序和混亂的狀態。目前，無法預測歐美之間何時能達成新的協議，乃至歐美能否達成新的協議也仍然是個未知數。歐盟始終堅持保護個體人權的理念，在維護公民信息權利方面不肯做出絲毫妥協，美國也沒有表現出修正其本國法律，從而進一步開展與歐盟之間關涉個人數據跨境流動貿易的積極性。《安全港協議》和《隱私盾協議》相繼失去效力使得歐美再次簽署相關文件變得異常艱難。

3.2 協調歐美個人數據跨境流動的可行性措施

由于歐美經濟聯系緊密，不可能做到彼此脫鉤。個人數據的傳輸對大西洋兩岸兩大經濟體之間商貿往來的重要性不言而喻。《安全港協議》和《隱私盾協議》相繼失去法律約束力，有必要采取協調歐美個人數據跨境流動的可行性措施，以促進兩地之間的數據傳輸。

3.2.1 合適的保護數據安全的舉措

在歐美尚未達成新的共識的情況下，歐盟的內部數據信息仍然能夠借助SCCs數據安全保障機制流向歐盟以外的國家和地區。作為歐盟提前創制并允許使用的協議規范機制，在歐盟與他方簽署協議之后，SCCs數據安全保障機制允許歐盟和該國或該地區之間個人數據的自由流通。但是，相關協議的簽署必須建立在該國或該地區具有歐盟所認證的數據保護能力這一基礎之上。

有學者曾撰文批評SCCs數據安全保障機制存在的漏洞。然而，該機制在實踐中的運行已經證明了其功能與作用。僅僅因為和某個國家或地區之間數據傳輸的矛盾而棄用SCCs數據安全保障機制，此舉無異于因噎廢食。在《安全港協議》和《隱私盾協議》不再具有法律約束力之后，棄用該機制意味著歐美之間數據傳輸的路徑被徹底斬斷[5]。如今，越來越多的美國商業機構依靠SCCs數據安全保障機制來保障其與歐盟市場的貿易往來。

3.2.2 《通用數據保護條例》第49條規定的特殊情形下義務克減

不符合歐盟充分保護規則或者不能適用數據安全保障機制的個人數據不能傳輸至歐盟以外的國家和地區，除非數據傳輸符合《通用數據保護條例》第49條所述明的七種例外情況。這些情況可以歸為三大類型，一是作為數據擁有者的公民個人允許數據傳輸；二是數據傳輸是保障社會福祉的必要手段；三是數據擁有者本身的利益必須在數據傳輸中才能得以實現。歐盟法律對于這些克減商業機構義務的規定做出了嚴苛的規定。因此，《通用數據保護條例》第49條的規定僅針對于少數特殊情況，通常的個人數據跨境流動仍然必須符合歐盟數據傳輸的充分保護規則，抑或適用SCCs數據安全保障機制，從而保障數據傳輸的順利進行。

3.2.3 信息本土化

信息本土化規則的規定，歐盟域內的個人數據只能由歐盟進行分析研究，將數據傳輸至域外國家和地區的商業機構將會受到法律的嚴厲懲處。這樣既能保護公民隱私，又能有力地打擊美國數字經濟在歐盟市場的持續擴張，促進了歐盟各國數字經濟的發展。歐盟采取的信息本土化措施，給歐盟商業機構開展中關涉數據傳輸的貿易造成了阻礙，美國商界對在歐洲市場開展業務的熱情驟減[6]。然而，鑒于美國信息產業在歐盟各國有著極高的滲透程度，將所有個人信息本土化抑或關閉歐美之間的信息傳輸通道都不是可取的。此外，信息本土化會在妨礙貿易全球化進程的同時，給各國各地區之間信息互通體系的構建造成阻礙。甚至有學者擔憂信息本土化可能促使貿易保護主義的出現，從而發展成為一種有悖于世界貿易組織準則的貿易保護手段。

3.2.4 美國的某個區域抑或某個產業獲得歐盟“充分保護”規則的認證

美國的某個地區抑或某個產業獲得歐盟充分保護規則的認證，從而獲得作為歐盟數據傳輸目的地的資格，是有法律依據的。根據《通用數據保護條例》第45條，歐盟域外國家的某個區域在經歐盟充分保護規則的認證審核后，可以取得作為歐盟數據傳輸目的地的資格。因此，如果美國的某個區域頒行了具有實操性的個人數傳輸法規，設立了符合歐盟法律要求的DPA，并且可以保證歐盟數據不流動至美國其他區域，在理論上，此區域是有資格獲得歐盟的個人數據的。關于某個產業取得歐盟充分保護規則的認證的具體情況，歐美之間已經簽署協定將此方案用以解決實際問題。例如，2021年，為了促進民用航空工業的發展，美國和歐盟以簽署協定的方式，把將歐盟乘客基本信息傳輸至美國的行為認定為合法。此外，歐美之間其他產業的合作也可以參考這一案例。

4 結語

《安全港協議》和《隱私盾協議》之所以相繼被歐盟司法部門認定為無效，是因為美國對公民信息權利的保護難以達到歐盟法律規定的標準，同時也從側面表明了歐美在數字經濟發展進程中競爭的激烈程度。歐盟以《通用數據保護條例》為代表的個人數據規制法律體系引領了全球的數據治理潮流，為歐盟以外其他國家和地區的跨境數據規制立法提供了可供參考的模板。美國則憑借自身信息產業的領先地位，以與他國簽署自貿協定、參與國際組織法律創制等方式，積極將自身跨境數據規制體制推介給世界各國，大力促進世界范圍內數據信息的高效傳輸。歐美之間信息傳輸機制的矛盾和分歧很可能使各國在進行立法時更加注重對公民信息的保護，也給中國構建自身的跨境數據規制機制帶來了啟發。我國應在充分保護公民隱私信息的基礎上，積極參與全球性數據規制法規的創制，并在有效保護公民數據隱私的基礎上，促進數字經濟的增長和繁榮。