“三难选择”下跨境数据流动规制的演进与成因

近年来，跨境数据流动规制问题引起了广泛关注。实际上跨境数据流动规制已经有30多年的发展历史，并演化出分别由欧盟和美国主导的两套规制体系。但全球层面的规制却存在“三难选择”，无法同时兼顾“良好的数据保护”“跨境数据自由流动”和“数据保护自主权”。在此框架下，规制目标之间的平衡、参与主体之间的竞争以及规制本身对约束力和执行力的诉求构成了推动规制演进的三重因素。结合这些规律，中国应借鉴欧盟与美国的规制方法，推进国内规制实践，确立最合适的规制模式，尽快参与规制竞争。

跨境数据流动；数据流动规制；数据保护

近年来，跨境数据流动规制问题引起了越来越多的关注。由于用户信息大规模泄露事件在全球频繁发生，很多国家相继以保护公民隐私或国家信息安全为由出台数据本地化（data localization）政策，要求本国公民的数据必须存储在境内服务器中。其中既有加拿大、澳大利亚等发达国家，也有巴西、印度、俄罗斯、越南、泰国、马来西亚、印度尼西亚等发展中国家。这是一种较为极端的跨境数据流动规制措施，将完全阻止本国个人数据向境外传输。这种政策背后的动因较为复杂，除隐私保护和信息安全外，还涉及国内信息监控和产业保护等目标。但阻碍跨境数据流动还可能对国际贸易、投资和经济增长产生不利影响。根据欧洲国际政治经济研究中心（ECIPE）的估算，如果实施全面数据本地化政策，巴西GDP将损失4.2%，越南将损失3.1%。

在当前较有影响力的贸易和投资协定谈判（文本）中，跨境数据流动规制成为一项重要条款。2015年达成的《跨太平洋伙伴关系协定》（Trans-Pacific Partnership Agreement，TPP）电子商务章节第9条规定，“如果该活动涵盖个人或企业商业行为，各缔约方应该允许信息通过电子方式跨境传输，其中包括个人信息”。2012年发起的《服务贸易协定》（Trade in Services Agreement，TiSA）谈判的已知文本中，美国、日本、哥伦比亚等国提出的方案主张在个人数据关系到服务贸易的情况下禁止缔约方阻碍跨境数据流动。2013年启动的《跨大西洋贸易与投资伙伴协定》（Transatlantic Trade and Investment Partnership，TTIP）谈判中，跨境数据流动问题一直是美欧之间的主要分歧之一。

一、跨境数据流动规制及其与数据保护法的关系

（一）跨境数据流动规制的定义

“跨境数据流动”的概念最早在20世纪70年代由OECD科学技术政策委员会（CSTP）下设的计算机应用工作组（CUG）提出。现有文献对“跨境数据流动”有很多表述方式，如transborder data flows、transborder flows of personal data、international information transfer、cross-border data flows、cross-border flows of personal data等，其中最权威的定义出自1980年OECD发布的《关于隐私保护与个人数据跨境流动的指南》（Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data，以下简称“指南”）。“指南”第1条第3款将“个人数据跨境流动”（transborder flows of personal data）简明定义为“跨越国境的个人数据移动”，第2款将“个人数据”定义为“任何与已被识别或可识别的个人（数据主体）有关的信息”。事实上，由于在跨境数据流动问题上最重要最具争议的就是个人数据跨境流动，因而目前绝大部分文献都以“跨境数据流动”代指“个人数据跨境流动”。本文也将沿循惯例，并将研究范围限定在“个人数据跨境流动”。此外，该领域的文献往往将“数据”与“信息”“资料”等说法混用，其内涵并没有本质区别。关于跨境数据流动规制，本文也采用较宽泛的定义，既包括专门限制跨境数据流动的法律法规，也包括要求跨境数据输出、接收、处理或存储方采取某些特定措施的规则。因此，无论是一国单方面制定的限制本国个人数据流出的法律法规，还是国际层面达成的关于跨境数据流动的规范或标准，都属于本文所研究的“规制”范围。这些“规制”要解决的问题主要有两个，一是在多大程度上以及如何确保在跨境数据流动条件下的个人隐私保护，另一个是在多大程度上以及如何允许数据自由流动。

（二）跨境数据流动规制与数据保护法的关系

很多国家的数据保护法都包含跨境数据流动条款，这本身就属于单边跨境数据流动规制。但在此之外，国际层面的规制与数据保护法关系较为复杂。就静态比较来看，二者的规制对象是一致的，但规制目标却存在差别。数据保护法的规制目标主要是保护个人隐私，跨境数据流动规制的目标却同时包括保护个人隐私和确保合理的数据流动。就动态发展来看，二者不仅有紧密的历史渊源，而且在内容上相互影响，在功能上也存在补充。

从起源上看，国际层面的规制是为应对各国数据保护法的差异造成的数据流动障碍。1980年时，OECD多数成员国已经制定数据保护法，但国内立法的差异可能阻碍数据流动。因此，“指南”的宗旨之一就是避免数据保护对成员国经济社会发展造成损害。对欧洲来说，同样需要解决各国差异性的数据保护法造成的数据流动障碍。1974年瑞典资料调查委员会就曾以英国不具有资料保护法为由禁止向英国转移个人资料。为此，1981年欧洲委员会（The Council of Europe）通过了《有关个人数据自动化处理的个人保护公约》（Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data，以下简称“公约”），希望通过规定数据保护的基本原则来协调跨境数据流动。但“公约”并不具备实质约束力，无法从根本上解决问题。为彻底解决大量的国内法、规章和行政规定带来的成员国间保护水平的差异，欧洲议会（The European Parliament）和欧盟理事会（The Council of European Union）在1995年通过了《关于涉及个人数据处理的个人保护以及此类数据自由流动的第95/46/EC号指令》（Directive on the Protection of Individuals with regard to the Processing of Personal Data and on the Free Movement of such Data，以下简称“指令”），以强制约束力为成员国确立了数据保护的统一标准。

欧洲议会与欧盟委员会的旗帜

由于国际规制均是由参与国经过磋商或谈判制定的，其中很多内容就源于参与国的数据保护法。例如，“指令”中的核心内容大部分都是从欧盟各成员国的国内立法和做法融合而来。从资料保护原则到资料控制者的责任和义务，再到资料当事人的权利，都是融合各国立法的结果。2000年达成的从欧盟向美国转移数据的“安全港”模式，其实最早是由美国1988年通过的《儿童在线隐私保护法》（COPPA）创设的。又如，2016年欧洲议会和欧盟理事会通过的《统一数据保护条例》（General Data Protection Regulation，以下简称“条例”）的数据保护专员制度就来源于法、德等国的国内法。

同时，国际层面的规制也对很多国家数据保护法的制定或修订产生了影响。1984年全球共13个国家已经制定的全国或行业性数据保护法中都包含了“指南”或“公约”的部分条款。根据1995年“指令”的规定，欧盟各成员国专门对已有数据保护法进行了修订。德国在1997年根据“指令”修订了1977年制定的《联邦数据保护法》，专门新增了对个人数据向第三国转移的规定。

对于已制定数据保护法的国家来说，参与国际规制可以弥补国内法对本国公民数据保护的不足。由于资料处理涉及当事方的住所可能位于不同国家，资料处理行为也可能与不同国家相关，一国很难单靠本国资料保护机构为公民提供适当的资料保护。跨境数据流动中如果出现隐私保护问题，除存在国内法的域外效力问题和冲突法中的法律选择问题，还面临跨境执行的困难。隐私执法机构在跨境环境下有时会受限于不充分的预防或救济权力、不一致的法律体系以及资源限制这类实际障碍。因此，通过国际规制来协调各国国内法的适用范围、冲突法中的法律适用乃至各国机构间的信息交换和协助执行，对于参与国强化对本国公民数据的保护能力是十分有利的。

二、跨境数据流动规制的历史演进

由于经济发展和信息技术水平的领先，跨境数据流动规制主要由欧盟和美国主导，二者在规制立场和规制模式上差别较大，并以此为基础演化出两个不同的规制体系，这两个体系一方面相互竞争，另一方面也存在一定程度的妥协与融合。此外，两个体系之外还有很多国家相继以单边方式实施规制。

（一）欧洲（欧盟）方面的演进：“公约”“指令”与“条例”

由于历史、文化、制度等方面的原因，欧盟比其他地区更加重视个人隐私保护。欧洲是个人信息保护法的发祥地。德国黑森州在1970年制定了世界上最早的个人信息保护法，瑞典在1973年颁布了世界上第一部国家级个人信息保护法。欧洲在立法保护个人隐私上的领先并不是局部现象，1973年至1984年全球共有13个国家制定了数据保护法，其中8个都是欧洲国家。

欧盟一向认为，个人信息上的权利是基本人权，必须通过立法予以确认和给予相当的保护，这也构成欧盟在跨境数据流动规制上的基本立场。1981年的“公约”、1995年的“指令”和2016年的“条例”分别是欧盟在不同阶段的标志性法律文件，其前后差异也反映了欧盟规制的演进方向。总起来看，这三份文件的约束力逐渐增强，隐私保护标准逐步提高，操作条款也越来越具体。

1981年的“公约”是欧洲第一个针对跨境数据流动进行规制的区域性法律文件。公约内容主要包括数据保护的基本原则、跨境数据流动规则和缔约国之间的相互协作。其中第12条第2款要求缔约国不能仅以隐私保护为由限制跨境数据流动，第3款对某些类型数据的国内立法作出例外规定，但同时要求在其他缔约国提供“相同程度保护”的条件下仍然要确保跨境数据自由流动。说明在这一时期，欧共体对跨境数据流动的关注点主要是各国国内法造成的数据流动障碍。同时需要注意，公约没有强调后来的“第三国”或“非缔约国”概念。

1995年的“指令”虽然在数据保护原则等方面对“公约”进行了借鉴，但却在更多的内容上显现出差异。首先，“指令”具备了法律约束力，其中第32条要求所有欧盟成员国在指令通过后三年内将其中的规定转化为国内法。其次，指令规定了更加宽泛的适用范围、更加具体的对象定义、更加严格的数据处理标准和全面的数据保护机制，体现出欧盟对个人隐私保护的高度重视。其三，指令在跨境数据流动上的立场变得十分鲜明，在强调区域内数据自由流动的同时，对向区域外的数据转移作出严格规制。一方面，指令第1条就规定“各成员国不得以个人权利和自由（特别是隐私权）保护为由限制或者禁止成员国之间个人数据的自由流动”，却并没有像“公约”一样随后作出例外规定。另一方面，指令第4章专门作为“向第三国转移个人数据”章节，并在其中第25条规定“只有在第三国确保提供适当保护水平时，才能将个人数据向第三国转移”。当然，指令也为向不能提供充分保护水平的第三国转移数据作出了特殊安排，目前在欧盟成员国与第三国之间普遍使用的标准合同条款（Standard Contractual Clauses，即SCCs）和约束性公司规则（Binding Corporate Rules，即BCRs）就是这种安排的产物。最后，指令还要求各成员国规定一个以上公共机构作为拥有相关监督权、调查权、干预权和诉讼权的独立监管机构。“指令”与“公约”之间的这些差异很大程度上反映了从“欧共体”经济一体化向“欧盟”政治一体化的转变，各成员国公共政策的协调统一已经成为欧盟的目标。

2016年欧洲议会和欧盟理事会通过了“条例”，将在2018年正式实施并彻底取代“指令”。与“指令”相比，“条例”篇幅更长，对内容进行了大量增删和修正。第一，在所有成员国范围内直接具有法律约束力，不再像“指令”那样需要成员国进行转化。第二，使得数据保护标准更严格和具体。不仅进一步明确个人数据的范畴，增加数据主体的更正权、被遗忘权等一些新权利，还对数据处理者新增大量保护义务。第三，谋求更大的域外效力，试图将管辖范围扩大到部分设立于欧盟境外的主体。第四，在向第三国或国际组织转移个人数据方面，增加更多可实现个人数据跨境转移的条件或情形。第五，“条例”引入了数据保护专员制度，要求当数据处理由公共机构实施等情形时，数据控制者和数据处理者必须指定一名具备专业素养、充足资源和充分独立性的数据保护专员，负责监督、建议并与监管机构进行协作。“条例”与“指令”的差异，不仅是“指令”近10年实践的经验转化，也是对近年来大规模数据生产、存储、转移和处理的回应，更反映了欧盟希望通过构建“数字单一市场”提升数字经济竞争力的愿望。

（二）亚太（美国）方面的演进：从APEC隐私框架到TPP

美国与欧盟在个人信息保护上的基本立场明显不同。美国政府和实务界更多地主张以自律规范保护个人信息，认为强硬的法律结构将“不可避免地阻碍商业活动”，反对将个人信息之上的权利作为基本人权对待，也反对立法规范个人信息处理行为。因此，美国并没有制定统一的个人信息保护法，而是对私人行业采取分散立法的模式，并奉行以市场为主导、以行业自治为中心的信息隐私政策。这种立场从根本上决定了美国在跨境数据流动规制上的态度，即更加看重数据自由流动和经济利益。

与欧盟相比，美国在参与跨境数据流动规制方面相对落后。“指令”出台前，美欧曾就“指令”可能造成的双边数据流动障碍展开了长时间谈判。当时曾有学者指出，美国已经事实上与欧洲大部分信息隐私规则分道扬镳，随着全球进入“信息社会”，美国将不得不面临在这一领域由其他经济体制定规则的局面。但事实表明，美国在该领域仍然获得了一定程度的话语权，并且依靠其在亚太地区的政治经济影响力推动构建了有别于欧洲的规制体系。APEC隐私框架与跨境隐私规则、美韩自由贸易协定以及TPP相关章节就是这种话语权的体现。考虑到美国在OECD中的地位以及“指南”对APEC隐私框架的影响，“指南”也可以看做是美国主导的规制演进路线的起点。总起来看，美国借助亚太区域经济合作不断推广自身规制理念和规制模式，使得这一规制体系逐渐获得了执行力和约束力。

OECD的“指南”带有明显的美国主张的痕迹。首先，在总则部分第5条专门规定，“在联邦制国家的特殊情况下，对准则的遵守可以受联邦内部分权制度的影响”，显然就是为美国量身定制的例外。其次，与欧洲方面的“公约”特别是“指令”相比，指南对数据自由流动的重视显然要超过个人隐私保护。或者说，指南实际上是把隐私保护作为促进数据自由流动的手段。指南的第三部分“国际应用基本原则：自由流动与法律限制”所强调的均是避免对跨境数据流动造成限制。比如第16条要求成员国采取合理恰当的措施确保个人数据跨境流动，第17条要求成员国避免限制本国与其他成员国间的个人数据跨境流动，第18条又进一步规定，“成员国应避免以保护隐私和个人自由的名义制定超过了保护需要并造成个人数据跨境流动障碍的法律、政策和做法”。

2004年通过的APEC隐私框架（APEC Privacy Framework）是亚太地区达成的第一份关于跨境数据流动规制的区域性指导文件。由于APEC的21个经济体中有7个同时也是OECD成员，OECD“指南”对于隐私框架的制定起到了重要作用。隐私框架在前言部分特别提及，“本框架与1980年OECD指南的核心理念是一致的”。隐私框架与“指南”同样重视数据自由流动，比如在第4章要求成员经济体“采取一切合理及适当步骤避免和消除任何不必要的信息流动障碍”。在最核心的数据保护原则方面，隐私框架的9项原则基本可以与“指南”8项原则一一对应（见表1）。当然，在秉承“指南”核心理念与原则之外，隐私框架也呈现出一些显著差异。一是向实践操作大幅扩展。隐私框架用很长的篇幅对框架执行进行规制，涵盖了国内执行应考量的措施和国际执行的规范。二是较强的区域性。整个框架都将“促进亚太地区电子商务”作为目标。第32条在明确了成员执行自主权后，仍然强调要“使APEC地区的隐私保护途径趋于一致”。三是带有更加明显的美国规制特征。隐私框架中数次提及要在隐私保护中发挥“行业自律”的作用，并强调公私部门的相互合作。此外，APEC隐私框架虽然同“指南”一样不具有法律约束力，但以此为基础构建的跨境隐私规则体系（CrossBorder Privacy Rules，CBPRs）已经在2012年正式启动，并且引入了隐私执法机构和问责代理机构，因而对加入的企业形成了实际约束作用。CBPRs也是为数不多的获得美国加入和支持的数据保护倡议之一。

2004年APEC会议领导人合影

近年来，美国又开始在自由贸易协定（FTAs）谈判中引入跨境数据流动内容。这一方面是因为FTAs具有较强的法律约束力，另一方面是因为美国更容易借助政治经济实力在这些“一揽子”协议中推广规则。2012年达成的《美—韩自由贸易协定》第一次在FTAs电子商务章节纳入跨境数据流动规则，第15.8条规定“成员方应努力避免对跨境电子信息流动施加或维持不必要阻碍”。2015年在美国主导下达成的区域性协定TPP也专门引入“商业信息跨境自由传输条款”。虽然这些条款均没有对跨境数据流动规则作出足够具体的规定，但却对美国在该领域的话语权具有重要意义。首先，这是第一次在美国的主导下将跨境数据流动规则纳入具有法律约束力的协议中。其次，这表明其他缔约国能够在一定条件下接受美国“跨境数据自由流动”主张。最后，跨境数据流动规则借此开始融入全球经贸规则体系，与之相关的经济利益会得到更多考量。

（三）妥协、融合与竞争

有学者认为，欧盟规制方式是“以地域为基础”（geographicallybased）的，APEC规制方式是“以组织为基础”（organisationallybased）的，前者要求数据流入国的法律必须能够提供“充分的”“类似的”或“对等的”保护，后者则要求数据转出机构为转移后的数据保护负责。30多年来，虽然欧盟与美国分别主导形成了两种迥异的跨境数据流动规制方式，但紧密的经贸联系和数据传输需要使双方不得不就该问题展开频繁的直接接触，在激烈竞争的同时，也达成了一些妥协与融合。

其一，“安全港”与“隐私盾”是美欧为维持双边数据流动而达成的妥协方案。“指令”第25条禁止成员国向不能提供“充分保护水平”的第三国转移个人数据，美国却不属于能够提供“充分保护水平”的国家，“指令”第26条提供的例外规定也无法解决由此造成的从欧盟向美国转移数据的障碍。为此，美国与欧盟经过漫长谈判于2000年达成了妥协性的解决方案，即《美欧安全港协议》（U.S.-EU Safe Harbor Framework）。美国的商业机构只要能够制定并遵守符合安全港原则的隐私保护政策，就可以加入“安全港”并被认定为达到“指令”所要求的“充分保护水平”，进而可以接收和处理来自欧盟的个人数据。“安全港”方案通过双边协议的方式赋予行业自律以法律效力，暂时调和了欧盟统一立法与美国自律保护之间的矛盾。该方案达成时曾有学者提出担忧，认为只要两方关于数据隐私保护法律的巨大差异仍然存在，这种谈判结果就无法作为长久解决方案。“棱镜门”事件的发生使这种担忧变为现实。2015年欧洲法院裁定作为《美欧安全港协议》基础的“欧盟2000/520号决定”无效，直接阻断了跨大西洋数据流动的主要渠道。随后，美欧双方经过紧急谈判磋商和多次修改，于2016年达成《欧美隐私盾协议》（EU-U.S.Privacy Shield Framework），成为规制双方数据流动的新妥协方案。相比于“安全港”，“隐私盾”进一步强化了个人数据保护的优先地位，不仅扩大了规范对象范围，提供了更多救济途径，而且限制了美国政府对欧洲公民数据的访问和收集行为。

其二，BCRs与CBPRs互认是美欧两种规制局部融合的尝试。BCRs与CBPRs分别是欧盟和美国两种规制方式向实际操作体系转化的产物。BCRs的法律基础是“指令”第26条，它是针对总部或者子公司在欧盟的跨国企业而制定的规则体系，为在第三国不能达到“充分保护水平”的情况下跨国企业内部的跨境数据流动提供了渠道。CBPRs的基础是APEC隐私框架，类似于美国的行业自律体系，它是“规范APEC成员经济体企业个人信息跨境传输活动的自愿的多边数据隐私保护计划”。截至2017年3月，加入CBPRs的经济体有美国、墨西哥、日本和加拿大等4个国家。从2012年开始，欧盟与APEC就组成了联合工作组，希望促进两个体系之间的互通，进而为欧洲与亚太区域间跨境数据流动提供便利。这是美欧两种规制方式通过对等谈判进行局部融合的首次尝试，但这项工作进展较为缓慢，仅在2014年发布了一项关于两个体系异同的参考性文件，并在2015年宣布将开发一份企业同时加入两个体系的联合申请表。

其三，美欧仍然在TTIP、TiSA谈判中激烈竞争规制主导权。由于美国与欧盟的共同参与，TiSA谈判和TTIP谈判中，跨境数据流动规则成为关键的分歧之一。TiSA谈判文本是保密的，但从各方谈判立场推测，与TPP类似的措辞可能出现在最终文本中，但国内数据保护的要求不可能被显著削弱。2017年1月美国与欧盟联合发布的TTIP谈判进展报告中，双方在几个重要领域的分歧就包括“如何表述关于数据流动的承诺，同时尊重保护隐私的合法关切”。由此可见，通过大型自贸协定谈判，美国与欧盟围绕跨境数据流动规制主导权的竞争正在变得更加直接和激烈。

（四）“体系外”国家的单边规制

在美国与欧盟主导的两大规制体系之外，还有很多国家以单边的方式对跨境数据流动进行规制。20世纪七八十年代时，很多发展中国家认为跨境数据流动会损害自身的主权、隐私权以及社会、文化和政治完整性，于是通过限制出口数据类型、实施歧视性技术标准等方式阻碍本国数据向境外转移。例如，巴西在20世纪80年代制定的信息政策规定，如果巴西本地的计算机有能力完成相应工作，跨国公司必须在巴西国内使用巴西的计算机进行数据处理。与此同时，部分发达国家也出于经济原因限制跨境数据流动。例如，20世纪80年代加拿大的《银行业法案》（Banking Act）要求在加拿大经营的银行必须将基本记录放在境内，使得跨国银行在进行集中化处理服务时必须首先在加拿大境内处理原始数据。此后，“体系外”国家单边规制措施也时有出现。

近年来，这种单边规制现象变得更突出，而且以发展中国家最为普遍。例如，马来西亚在2010年要求将本国人的数据存储在本地服务器中，印度从2011年开始严格限制“敏感个人数据或信息”向境外转移，印度尼西亚2012年要求公共服务提供商将数据中心放在境内，尼日利亚在2013年要求信息通讯技术公司必须将所有注册用户和消费者数据存储在国内。其原因可能有三个，一是信息通信技术的发展、应用和扩散使得跨境数据流动规模迅速扩大；二是大部分发达国家已经加入了美欧的规制体系，单边规制措施受到约束；三是发展中国家由于信息技术水平相对落后，在保护国家信息安全和国内相关产业方面面临更大压力。

20世纪80年代加拿大要求在加拿大经营的银行必须将基本记录放在境内，使得跨国银行在进行集中化处理服务时必须首先在加拿大境内处理原始数据。

三、跨境数据流动规制演进的主要成因

（一）跨境数据流动规制的“三难选择”

从全球范围看，针对跨境数据流动的规制存在“三难选择”问题，即“良好的数据保护”“跨境数据自由流动”和各国政府“数据保护自主权”不可能同时达成（见表2）。

情境1中，如果各国政府享有充分的数据保护自主权，同时又将良好的数据保护作为目标，那么各国就会制定严格的国内数据保护法。一方面，数据保护法往往会直接限制本国数据向境外转移；另一方面，不同数据保护法间的差异也会对跨境数据流动造成障碍，因而无法实现数据自由流动。情境2中，如果各国政府享有充分的数据保护自主权，同时又将跨境数据自由流动作为目标，那么很多国家会出于发展国内相关产业的考虑而竞相放松数据保护标准，吸引国外数据流入，形成“数据天堂”，最终导致整体数据保护水平下降。情境3中，如果既要达成良好的数据保护，又要确保跨境数据自由流动，就必须使各国放弃数据保护自主权，转而将这种权力让渡给一个超主权的机构，或者通过协定方式形成统一的约束力。也就是说，只有放弃“数据保护自主权”，才可能同时实现“良好的数据保护”与“跨境数据自由流动”。

“三难选择”存在的根本原因在于，跨境数据流动既是国内问题也是国际问题，因而同时涉及国内政策和国际协调。但各国政策目标及政策措施之间存在天然差异，并会为此相互竞争。所以，除非以强制性约束力保证各国政策的协调，在差异性的政策目标上就只能顾此失彼。

前述三种情境可以用现实中的情况做类比。情境1与情境2分别近似于欧盟和美国的跨境数据流动规制体系。欧盟以“指令”为基础确立了数据保护自主权，并将个人隐私保护作为首要目标，但从欧盟向区域外的数据转移却受到严格限制。美国数据保护自主权体现为长期确立的行业自律机制，同时又致力于跨境数据自由流动，但国内数据保护水平却并不高。情境3则近似于欧盟区域内的情况，“指令”或“条例”在保护个人隐私的同时，确保了成员国间数据自由流动，但前提条件是各成员国将“指令”转化为国内法或直接接受“条例”的约束力，即成员国放弃数据保护自主权。假如将情境3扩大到全球层面则意味着“良好的数据保护”与“跨境数据自由流动”同时达成的条件是全球建立统一的、有强制约束力的数据保护机制。

事实上，这三种情境已经大致显示了全球层面跨境数据流动规制的演进框架。虽然情境3是规制演进的理想目标，但在此之前，仍然会表现为情境1与情境2之间的竞争。竞争将主要围绕“良好的数据保护”与“跨境数据自由流动”两个目标之间的权衡展开。而目标平衡点的选择、竞争主体的力量对比以及规制本身的客观规律共同决定了竞争的结果，从而影响了规制的演进方向。

（二）推动跨境数据流动规制演进的三重因素

1.规制目标之间的平衡

规制目标之间的平衡是推动规制演进的第一重因素。虽然全球层面的“良好的数据保护”和“跨境数据自由流动”还难以实现，但目前的规制体系均是以这两个目标之间的平衡作为规制的宗旨，区别仅在于平衡点位置的选择。即便从同一规制体系的历史演化来看，平衡点的变化也是推动规制演进的一项主要因素。“良好的数据保护”反映的主要是社会对个人隐私权的诉求，“跨境数据自由流动”反映的则是经济体对经济利益的诉求。因此，当政治、经济、社会、技术等因素变动导致这两种诉求出现变化时，原有平衡点就会被打破，继而推动规制的演进，达到新的平衡点。

例如，从“公约”到“指令”的演进就是平衡点向个人隐私保护移动的结果。虽然欧共体要求成员国批准通过“公约”，但欧共体委员会仍然认为“公约”对个人隐私保护的关注不足。欧共体转变为欧盟后，通过保护欧盟公民个人权利来促进政治一体化的需求进一步增加。因此，“指令”中个人隐私权保护比数据自由流动占据更多的权重。“指令”文本也指出：“本指令所包含的个人权利和自由（特别是隐私权）的保护原则实质性地扩大了‘公约’所包含的相关内容。”又如，近年来“跨境数据自由流动”的条款开始出现在贸易协定中，则是因为数据流动中的经济利益被赋予更多的权重。一方面，信息通信技术发展和普及使跨境数据流动规模更加庞大。从2005年到2014年，全球实际使用的互联网跨境带宽增加了45倍。另一方面，跨境数据流动对全球化及经济发展作用更加重要。目前全球约12%的货物贸易是通过电子商务实现的，约50%的服务贸易已经实现了数字化。

2.参与主体之间的竞争

参与主体之间的竞争是推动规制演进的第二重因素，既可能是因为原有参与主体的影响力出现了变化，也可能因为有新的参与主体加入了竞争。参与主体之间相互竞争的出发点是使规制能够更加符合自身的法律法规和经济社会利益。在第一种情况下，规制会向相对影响力提升一方的主张靠近。在第二种情况下，新主体的加入会扰乱原有均衡，最终演进方向取决于新的竞争格局和博弈过程。

例如，美欧之间从“安全港”到“隐私盾”的演进，原因就是“棱镜门”事件导致美国的道德话语权削弱，因此最终谈判结果更符合欧盟的主张。欧盟出台“指令”的目的之一是与美国和日本进行国际竞争，特别是限制美国在数据处理产业上的主导地位。欧共体向欧盟的转变强化了成员国间的协调性，最终达成了严格限制数据向第三国转移的规定。再如，2010年以后发达经济体推动规制演进的活跃度明显提高了。除前文述及的“条例”、TPP、TTIP、TiSA等新规制外，一些具有重要影响力的旧规制也在近年得到修订。2012年欧洲委员会通过了修订版“公约”，2013年OECD理事会通过了修订版“指南”，其驱动因素除数据流动规模迅速扩大以外，还与新主体加入有关。大量的发展中国家开始加入跨境数据流动及其规制行列，并且产生了实际影响力，对原有美欧均衡格局带来冲击。一方面，“体系外”的很多发展中国家以立法形式对跨境数据流动进行单边规制。目前全球已有60多个国家制定了包含跨境数据流动规定的数据保护法或隐私法，其中就有非洲、拉美、中东等地区的很多发展中国家。另一方面，发展中国家在全球跨境数据流动中的重要性越来越高。据估计，20世纪70年代末时全球信息转移的90%仅由少数几家西方企业控制。近年来发展中国家开始加速融入全球数据流动网络。2004年至2015年使用跨境带宽超过1Gb的国家从75个增加到164个，新兴经济体使用跨境带宽的增长速度已经超过发达经济体。新兴经济体作为跨境数据服务生产者和消费者的地位在迅速崛起。根据WTO的统计，印度电信、计算机和信息服务出口占全球份额从2005年的8%提高到2015年的12%。中国则由于庞大的互联网用户规模被视为一个巨大的潜在云计算服务市场。这些新的参与主体的加入，给掌握规制主导权的发达经济体带来了压力，促使它们加快调整规制体系，客观上推动了规制演进。

“隐私盾”

3.规制本身的发展规律

获得更强的约束力和执行力是规制本身的发展规律，构成了推动规制演进的第三重因素。向更强的约束力和执行力演化是国际规则发展的客观要求。只有获得约束力和执行力，国际规则才能具备发挥作用的基础和手段，进而完成规制目标。以国际贸易规则为例，GATT演变为WTO后，强有力的争端解决机制的建立使得“软约束”变成“硬约束”，促进了整个多边贸易体制的发展。

前述“三难选择”中理想的情境3，即是假定通过各国让渡部分主权来赋予规制更强的约束力和执行力。但当前具有较大影响力的跨境数据流动规制均局限在区域范围内，而没有出现主导性的多边规制，关键原因在于更大范围的权力让渡更加困难。在多边层面形成跨境数据流动规制的尝试并非没有先例，但均没有成功。比如1990年联合国大会通过了《自动化资料档案中个人资料处理的有关准则》，确立了各国立法对数据保护应贯彻的一些标准，但该准则成效不大。还有学者曾建议在WTO下签署《信息隐私总协定》（General Agreement on Information Privacy，GAIP），也没有获得响应。

从现实情况看，美欧两大规制体系演进就是不断强化约束力与执行力的过程。欧盟从“公约”到“指令”再到“条例”，不仅约束力不断增强，还先后通过设立监管机构和数据保护专员不断提高执行力。APEC跨境隐私规则虽然在2004年就已达成，但直到2012年CBPRs体系启动后才产生实际影响，是因为CBPRs体系通过建立隐私执法机构和问责代理机构制度增加了约束力和执行力。

联合国旗帜及其纽约总部

四、结论与启示

（一）结论

经过30年的发展，跨境数据流动规制已经演化出分别由欧盟和美国主导的两套规制体系。欧盟主导的规制体系更倾向于高水平的隐私保护，强调以立法的方式进行事前防范。美国主导的规制体系更倾向于数据自由流动，主张以行业自律的形式进行事后问责。这两套体系不仅相互竞争，也达成了局部妥协融合。在两套规制体系外，很多国家往往以分散的、单边的方式对跨境数据流动实施规制，却并没有产生直接的国际影响。由于跨境数据流动同时涉及国内政策和国际协调，全球层面的规制存在“三难选择”。“良好的数据保护”“跨境数据自由流动”和“数据保护自主权”无法同时兼顾。在此框架下，规制目标之间的平衡、参与主体之间的竞争以及规制本身对约束力和执行力的诉求构成了推动规制演进的三重因素，共同影响了规制演进的方向。

（二）对中国的启示

随着跨境数据流动规模迅速增加，其对经济增长影响也越来越大。2014年数据流动对全球GDP的贡献约为2.8万亿美元，超过了货物流动的贡献。中国互联网用户人数居全球首位，也是全球最大的B2C电子商务市场，在跨境数据流动方面有巨大发展潜力。因此，积极参与和实施跨境数据流动规制越来越成为一项无法回避的任务。但中国在跨境数据流动规制领域起步较晚，还没有出台全国性的个人数据保护法律，近年来仅在一些相关法律法规中简单限制国内数据向境外转移，具体的政策边界并不明确。例如，2013年开始实施的《信息安全技术——公共及商用服务信息系统个人信息保护指南》是中国第一个个人信息保护国家标准，却仅在第5.4.5条简要规定“未经个人信息主体的明示同意，或法律法规明确规定，或未经主管部门同意，个人信息管理者不得将个人信息转移给境外个人信息获得者”。2016年底通过的《网络安全法》也笼统规定，关键信息基础设施的运营者必须将在境内运营中收集和产生的个人信息和重要数据存储在境内。

欧盟与美国均是在数据保护实践的基础上，经过长期演化和调整，才发展出较为成熟的跨境数据流动规制体系。中国如果希望通过独立发展规制体系的方式尽快提升影响力，既缺乏基础也缺少时间，尤其是在隐私保护和经济发展两个目标上难以轻易作出权衡。最佳的途径应该是学习借鉴欧盟与美国的规制方法，同时分步骤推进国内规制实践，进而根据实践效果确立最合适的规制模式。首先，应指定或设立具体的数据保护机构，并授予该机构必要的执法权力，尽快申请加入CBPRs体系。同时鼓励与欧盟有业务往来的跨国企业使用SCCs或申请BCRs认证，引导企业提升隐私保护意识和标准。其次，在一定数量的企业具备较高隐私保护水平后，借鉴“安全港”模式，与欧盟等重要贸易伙伴洽签规制双边数据流动协议。最后，结合本国实际制定完备的法律或条例，确立数据保护的原则和模式，统一规制跨境数据流动，发展由中国主导的规制体系。

[原文载于《清华大学学报》（哲学社会科学版）2017年第5期，作者：黄宁，系南开大学经济与社会发展研究院与中国科学技术发展战略研究院联合博士后；李杨，系对外经济贸易大学中国WTO研究院副研究员。]

编辑：若水

欢迎大家关注本微信号！

独立精神

《清华大学学报》（哲学社会科学版）

官方微信平台

Journal_of_Thu