田晓萍

(深圳大学法学院，广东 深圳 518060)

2018年5月，欧盟《一般数据保护条例》(GDPR)正式实施，它是20多年来数据隐私法领域最重大的变化，是目前全球范围内个人数据保护标准最高的具有约束力和执行力的规则。2019年1月，法国数据保护监管机构认定谷歌违反GDPR，对其处以近5700万欧元的重罚，这是GDPR实施后第一个被处罚的美国科技巨头，①该处罚高调宣告了GDPR时代的到来。GDPR对欧盟乃至全球的个人数据保护制度和数字经济的发展，都将产生深远影响。

《欧盟基本权利宪章》将个人数据保护纳入基本人权的范畴，阐明了欧盟数据保护的基本立场。②欧盟数据立法一体化的演进，从1981年《108号公约》③，1995年《数据保护指令》④，到2018年GDPR，呈现出法律制度从原则到具体、法律效力从弱到强、监管机制从虚到实的态势，基本权利语境下的个人数据隐私保护达到前所未有的高度。数据法律政策的考量涵盖隐私保护、数字经济、公共利益、国家安全等复杂的维度。任何国家和地区都是根据自身的经济、政治、社会、文化传统等因素，力求取得利益最大化的平衡点。欧盟虽然一直强调其数据保护的人权立场，但不容忽视的是，GDPR也是欧洲“数字一体化市场”战略的重要抓手。⑤GDPR第1条开宗明义，在明确“保护自然人的基本权利和自由，尤其是个人数据保护的权利”之后，随即指出：“不得以保护个人数据处理中的相关自然人为由，对欧盟内部个人数据的自由流动进行限制。”从欧盟内部来说，GDPR反对数据本地化，通过有直接约束力的统一规则，强化数据的流动性，为欧盟数字一体化市场扫清了法律障碍。但与此同时，对欧盟外部而言，严厉的数据保护制度使其他国家和地区在同欧盟的经贸往来中面临严峻的合规挑战，迫使其增加合规成本、面临不确定的执法，乃至延宕其进入欧盟市场。美国商务部长罗斯撰文指出，“GDPR的实施会严重破坏大西洋两岸的合作，对包括美国在内的欧盟外所有国家和地区构成不必要的贸易壁垒。”⑥

近年来，中国数字经济发展迅速，2018年我国数字经济总量达到 31.3万亿元，占GDP 比重为34.8%。[1]P15亿人口的欧盟成熟市场对中国互联网企业具有强烈的吸引力,GDPR的实施使中国相关企业面临极大的法律风险。小米生态链企业Yeelight智能灯泡，因无法在GDPR生效前满足合规而暂停服务。⑦2018年12月，因涉嫌违反GDPR，摩拜单车遭到德国数据监管机构的调查。⑧2019年1月，在达沃斯世界经济论坛上，马云指出，“欧洲对技术总是关注隐私、监管和安全。阿里选择去非洲，而不是去过度担心的欧洲。”尽管欧盟数字产业的竞争力不强，但其占据着数据保护领域的制高点，随着GDPR的落地执行，其制度输出的影响力和国际话语权得以强化。对欧盟以外的国家和地区，尤其是互联网领域最具竞争力的美国和中国而言，GDPR成为数字经济时代的新型贸易壁垒，具有贸易保护主义的实际效果。GDPR产生贸易壁垒效果的制度机理是什么？美国政府主要通过哪些途径化解该壁垒？美国的经验中国是否有借鉴的可行性？中国应如何应对？本文试图从贸易壁垒的角度考察GDPR，对上述问题进行探讨。

一、GDPR：数字经济时代面向非欧盟国家的贸易壁垒

(一)GDPR作为贸易壁垒的背景：欧盟数字经济生产和消费的失衡

随着信息技术的不断创新发展，及其与经济社会的深度融合，数字经济已成为实现价值增值与效率提升、促进世界经济增长的新动能。发达国家和发展中国家都将发展数字经济作为国家层面的优先战略。数据是数字经济时代的关键性生产要素，各国的数据保护立法是其数字经济战略部署的重要环节。适度的个人数据保护可以提升数据主体对数字产业的信任，有利于数字经济的发展；严苛的个人数据保护则会降低商业效率，抑制数字经济的活力。美国是全球信息技术和数字经济的头号强国，其个人数据保护与欧盟相比要宽松许多。

欧盟的GDPR作为目前全球最严苛的个人数据保护制度，在保护人权的价值理念背后，也包含了重要的经济利益考量。一方面，欧盟在数字经济领域的企业竞争力显著落后于美国和中国。根据玛丽·米克尔发布的2018互联网趋势报告，当今全球市值最高的前20家互联网公司中，美国11家，中国9家，没有一家欧盟国家的公司入围。⑨根据联合国贸发会发布的《世界投资报告2017-投资与数字经济》，在网络平台、数字化解决方案、电子商务、数字内容、IT、电信设施等主要数字经济领域，美国企业从数量和规模上占据绝对优势，其次为中国。另一方面，欧盟5亿人口，市场成熟，互联网基础设施较为完善，数字经济消费市场庞大，潜能可观。目前，美国的互联网巨头如谷歌、脸书、亚马逊等在欧盟提供广泛的服务，欧洲本土则缺乏具有相应竞争力的企业。在数字经济生产和消费极不平衡的背景下，欧盟实施史上最严的数据保护法，并不会遭遇来自本国企业界利益集团的强有力反对，却可以增强其同外国互联网巨头的博弈筹码。因此，欧盟以统一市场的优势为依托，紧握规则制定的话语权，实施严格的GDPR，剑指美、中两国企业，少有“杀敌一千，自损八百”的后顾之忧。在GDPR的威慑之下，在欧盟数字化市场中所占份额最大的美国企业首当其冲，它们需要大幅增加合规成本，还可能面临最高为全球总营收4%的巨额罚款。对快速崛起正谋求全球扩张的中国互联网企业而言，欧盟市场的法律风险可能使其暂时转入观望。欧盟国家企业则可以内部市场的统一规则为依托，享受数据自由流动的便利，获得一定的发展空间。

(二)GDPR作为贸易壁垒的属性：社会性壁垒和技术性壁垒

在传统贸易壁垒受到国际条约较为严格约束的背景下，以技术壁垒、环境壁垒、社会壁垒为代表的新型贸易壁垒层出不穷。这些新型贸易壁垒通常旨在保护生命健康、人权、环境，通过国内政策和法规实施，具有一定的合理性和适用的平等性，但又可以产生贸易保护主义的实际效果。GDPR兼具社会性壁垒和技术性壁垒的性质，是数字经济时代的新型贸易壁垒。[2]

以往国际贸易中的社会性壁垒主要指以保护劳工权益为由采取的贸易保护措施，其特点是以国际人权条约中有关社会保障、劳工权利等规定为基础，制定较高的劳工标准(如欧洲的SA8000标准)，从而削弱发展中国家在劳动力成本方面的优势。欧盟数据立法源于基本人权保护。1950年《欧洲人权公约》第8条第1款规定：“每个人都有权要求尊重他的私人和家庭生活、住宅和通信。”欧洲委员会在20世纪七十年代主张将个人数据视为《欧洲人权公约》第8条第1款的一部分。2000年《欧盟基本权利宪章》第8条明文规定个人数据保护。GDPR以上述人权条约为依托，确立高标准的个人数据保护制度，提高市场门槛，是一种新型的社会性贸易壁垒。技术性贸易壁垒是指通过颁布法律、法令、条例、规定，建立严苛的技术标准、认证制度、卫生检验检疫制度等，达到提高市场准入门槛、形成贸易障碍的效果。GDPR确立了个人数据处理中的诸多操作规范和具体标准，包括收集个人数据时应当提供的信息、数据处理活动的记录规则、数据主体行使访问权、更正权和可携权的操作方式等，还提出了建立数据保护认证机制。GDPR一系列复杂而严苛的规则需要企业大幅提高合规成本，否则将被排除在欧盟市场之外，具有典型的技术性壁垒的特征。

二、 GDPR产生贸易壁垒效果的制度机理

(一)高水平的个人数据保护抬高市场门槛

GDPR强化了数据主体对个人数据的控制权利，并赋予更广泛的权利内容。根据GDPR，一般情况下，对个人数据的处理须取得当事人的明确同意，该同意必须是在知情的情况下、基于特定目的、自由作出的，获取当事人同意的相关协议应当使用清晰而直白的语言，以简洁、透明、易懂和容易获取的方式呈现，否则无效。数据主体有权随时撤回同意，同意的撤回应和同意的作出一样简单。数据主体享有对个人数据的访问权、更正权、被遗忘权、可携权、限制处理权、自动化决策的反对权等。其中，被遗忘权和可携权是两种新型权利。被遗忘权是指，当数据主体依法撤回同意或者控制者不再有合法理由继续处理数据等情形时，数据主体有权要求删除数据。控制者不仅要删除自己所控制的数据，还要对其公开传播的数据负责，通知其他第三方进行删除。在开放的互联网空间，要求数据控制者对其公开传播的所有数据负责，是非常严苛且难以完成的义务。可携权是一项权利制度创新，指数据主体有权以有序的、普遍使用的、机器可读的方式获取个人数据，并有权将这些数据从一个控制者传输到另一个控制者，但行使可携权时不能对他人的权利或自由产生负面影响。在GDPR的框架下，数据主体对个人数据的控制力显著提升。另一方面，GDPR对数据控制者和处理者的义务做了全面而严格的界定，包括：以默认方式保护数据的义务、数据处理活动的记录义务、确保数据处理安全的义务、数据泄漏后72小时内的通知义务、数据保护影响评估的义务、设立数据保护官的义务等,并且提倡在欧盟层面建立数据保护认证机制，以证明数据控制者和处理者对个人数据的处理操作符合GDPR。

为确保数据主体权利的实现，GDPR对监管机构和救济处罚措施都做了具体安排。GDPR要求各成员国设立独立的监管机构，负责监控条例的实施。监管机构具有调查、矫正、建议、提起法律诉讼的权力。数据主体根据GDPR所赋予的权利被侵犯时，可以向监管机构提起申诉，也可以向法院提起诉讼。在最严重的违法行为发生时，监管机构对数据控制者和处理者最高可处罚金2000万欧元或者企业上一年全球总营业额的4%(两者取其高)。高昂的罚金额度对企业构成强烈的威慑。为了达到GDPR的数据保护标准，企业需要完善内部数据保护合规制度，对一切数据的收集和处理活动都要采取相应的保护措施，包括一系列形式工作和实质措施。据《福布斯》报道，在2018年5月正式实施前的两年间(GDPR于2016年4月获得通过)，美国财富前500强企业就花费了78亿美元合规成本，中型企业在这两年间花费的合规成本为55万美元。根据普华永道会计师事务所的调查，68%的美国公司预计花费100万到1000万美元以满足GDPR的合规要求。

(二)复杂的规则带来执法的不确定性

GDPR共十章、99条，涉及诸多复杂的概念、原则、规则，且很多概念和事项都属新创。GDPR发布后，欧盟数据保护委员会(EDPB)又发布了二十多项指南。指南涉及数据保护官、数据保护影响评估、识别主导监管机构、行政处罚、充分保护认定等各方关切的广泛问题。欧盟许多成员也陆续颁布GDPR指南。庞杂的规则带来认知上的困境，而且，许多规则的适用标准仍不明确。美国科罗拉多大学教授Alison在《纽约时报》撰文指出，“GDPR非常复杂，带来很大的困惑。许多要受到GDPR约束的科学家和数据管理员都认为，该条例难以理解，甚至怀疑不可能做到完全遵守。”GDPR是不同价值平衡和多种利益诉求妥协的产物，这是造成其复杂性的重要原因。GDPR秉持二元立法目标——保护个人权利并促进数据的自由流动，数据主体并非享有绝对权利，数据主体的权利需要与其他正当利益相平衡。GDPR一般适用于所有个人数据处理中的个人权利保护，然而，企业、政府、学术机构处理个人数据的目的截然不同。GDPR草案发布后，曾收到4000多份修改意见，反映了利益诉求的分化。况且，欧盟28个成员国，不同的历史经验和社会现实决定了其对个人数据保护的立场会有所分别。例如，德国基于纳粹统治的痛苦记忆，对政府和企业收集个人数据非常戒备，北欧国家则重视将数据收集和整理用于支持社会福利体系的运作。此外，为弥合现行规则和未来新技术发展可能产生的鸿沟，GDPR使用了一些宽泛的原则，也留下了有待解释的空间。

GDPR引入诸多平衡机制来协调各方利益，规则设计中表现为对权利作出适当限制、对责任予以适当豁免，以及诸多例外情形。例如，GDPR第17条“被遗忘权”共三款，第1款规定数据主体删除个人数据的权利，第2款规定了数据控制者对其公开传播的数据的责任。鉴于被遗忘权虽然关乎重要的个人权利，但也可能与言论自由、信息自由流动、公众知情权等公共价值存在尖锐的矛盾，需要对此权利作出必要的限制，第3款规定了不适用被遗忘权的5种例外情形：(1)行使表达自由和信息自由权；(2)基于公共利益和履行法律职责所必需；(3)为实现公共健康领域的公共利益；(4)基于历史、统计和科学研究的目的；(5)为提起、行使或辩护法律性主张。虽然做出了这些限制，被遗忘权仍然面临很多质疑。对用户提出的被遗忘权请求，企业可能首先需要审查是否属于立法中规定的例外情形，而“表达自由”、“公共利益”这些抽象的判断标准，无疑是将企业拖入裁判的泥潭，并由此形成一种新形式的“网络审查”。这必然带来规则适用的不确定性，GDPR中还有很多这类情形。GDPR复杂且带有相当不确定性的规则，给遵守者带来极大的合规困境和负担。对监管机构而言，则赋予其较大的裁量权，可能产生执法的选择性和不可预见性，还可以此增强与境外互联网产业巨头博弈的话语权。

(三)宽泛的管辖范围导致域外适用

互联网空间的开放性、个人数据流动和处理的跨国性，决定了GDPR充分的个人数据保护不会仅止于欧盟。GDPR第3条“地域范围”兼采属地管辖和属人管辖两种标准，将GDPR的适用范围扩展至欧盟境外。该条款直接关系到境内外数据处理的主体和场景是否纳入GDPR管辖，引起各方的重点关注和质疑。为明晰该条款的适用，2018年11月，EDPB发布长达23页的《关于GDPR适用地域范围的解释指南》(公开征求意见版)。《指南》中对GDPR适用地域范围的两种标准做了详细的阐释和例举，并创设了新的规则以促进其域外适用的落地执行。

GDPR下的属地管辖是指，以在欧盟境内有“机构设置”作为适用标准。根据GDPR第3条第1款，数据控制者或处理者在欧盟境内有机构设置，该机构活动涉及的个人数据处理，不论数据处理行为是否在欧盟内进行，均适用GDPR。该条款的适用需要从三方面综合判定：第一，在欧盟内有机构设置。机构设置是指通过稳定安排从事真实有效的经营活动，安排的法律形式不要求一定是具有法人资格的子公司或分支机构。《指南》中进一步阐明，在某些情况下，非欧盟实体在欧盟内有一个雇员或一个代理人，如具备足够的稳定性，就可能构成稳定安排。[3]P5由此可见，在欧盟境内有机构设置的范围相当宽泛，既包括在欧盟内设立的数据控制者或处理者，也包括欧盟外的数据控制者或处理者在欧盟成员国内有某种稳定安排，其法律形式不限。第二，个人数据处理由该机构活动所涉及。根据《指南》，即使在欧盟设置的机构没有实际参加任何非欧盟实体的数据处理行为，该机构的活动也可能与这些数据处理行为间接相关。例如，一家中国企业经营的电商网站，其数据处理行为全部在中国进行，但是它在柏林设立了一个欧洲办事处负责领导和执行欧盟市场的商业推广和市场活动，旨在使该电商网站的服务盈利，则中国公司由此进行的个人数据处理与其欧洲办事处的活动间接相关，属于GDPR的适用情形。[3]P7第三，不考虑数据处理行为发生的地理位置。只要在欧盟境内有机构设置，且个人数据处理由该机构活动所涉及，不论数据处理行为是否在欧盟内进行，都可适用GDPR。

GDPR下的属人管辖是指，以数据处理的“目标主体”在欧盟境内作为适用标准。根据GDPR第3条第2款，在欧盟外设立的数据控制者或处理者，只要其个人数据处理是为欧盟境内的数据主体提供商品或服务，或对发生在欧盟境内的数据主体的活动进行监控，即受GDPR约束。该条款的适用需要同时满足两个条件：第一，数据主体在欧盟境内。这是指在其个人信息被收集的时候，数据主体在地理上位于欧盟境内，无关其是否具有欧盟成员国的国籍或法律身份，因而并不限于欧盟的公民、居民。[3]P13第二，个人数据处理是针对欧盟内的数据主体提供商品、服务，或者监控其在欧盟内的活动。提供商品或服务并不要求支付对价或真实发生，具有此意图即可，例如提供产品或服务的网站上出现欧盟成员国的语言和货币，或提及欧盟的消费者和使用者，就被认为有此意图。在判定数据主体在欧盟内的活动被监控时，要求监控有特定目的，也就是数据主体在欧盟内的活动在互联网上被追踪，其个人信息经收集和后续处理利用，是为了分析或预测其个人行为、偏好，作出与此人相关的决策等。

GDPR通过“机构设置”和“目标主体”这两种标准实现了扩张性的域外适用。这种域外适用的实质是行政执法权的扩张，面临着对境外企业如何实现监管、调查和执法的难题，而且很可能与企业所在国的执法主权产生冲突，难以得到所在国的配合与协助。为解决这一执法难题，GDPR第27条规定了指定欧盟代表的义务。在欧盟外设立的数据控制者或处理者，因其向欧盟内的数据主体提供商品或服务，或监控欧盟内数据主体的活动而受GDPR约束，有义务在欧盟内指定一名代表，该代表可以是个人、商业实体或非商业实体，数据监管机构可以对此代表处以罚金或执行其他惩罚。[3]P19-20这意味着，在适用“目标主体”标准时，对境外企业的执法可以通过欧盟内的代表这一连接点得以实现。适用“机构设置”标准时，根据GDPR，即使数据处理行为在境外，也可以通过欧盟境内设置的机构这一连接点进行监督执法。这两种情形下的执法思路异曲同工，都是通过境内的某一连接点将境外企业纳入其可控范围，从而实现对域外数据控制者和处理者的有效约束和执法。与欧盟境内企业相比，这种要求显然会增加欧盟境外企业的额外负担和市场进入阻碍，但是却有利于保障欧盟本土市场和欧盟数据主体的权利。由此，GDPR构筑起一张密实的大网，将几乎所有投资欧盟的企业和与欧盟有业务往来的企业都网罗其中，使其面临两难选择：或者遵守GDPR的高标准，或者退出欧盟市场。

(四)严格控制的数据跨境流动强化了制度输出

数据跨境流动是数字贸易的内在要求。GDPR没有明确的数据本地化要求，其对个人数据流出欧盟主要通过充分性认定和充分保障两种机制加以严格控制，基本原则是个人数据出境的目的地或接收方提供与欧盟境内基本相同的保护水平，目标在于GDPR保护的个人数据权利在数据出境后仍然能够得到充分保证。

充分性认定是欧盟个人数据跨境流动最重要的机制，认定的对象是欧盟以外的第三国、第三国的特定地区、行业领域以及国际组织，只有欧委会认定其能提供充分保护，才可以将个人数据向其进行转移。充分性保护要求第三国提供与欧盟基本等同的保护水平。根据GDPR第45条，欧委会主要从三方面进行充分性评估：首先，考察其法治水平、尊重人权和基本自由的情况、一般性和部门性立法及其实施(包括公共安全、国防、国家安全、刑法和公共机构获取个人数据等方面)，以及数据主体权利的有效性和可执行性、行政和司法救济途径。第二，要求设立独立且有效运行的监管机构，监管机构有充分的执法权、负责个人数据保护规则的实施、为数据主体行使权利提供支持和建议，以及与欧盟成员国的监管机构进行合作。第三，考察第三国或国际组织参加与个人数据保护相关的具有法律约束力的国际条约情况。加入欧委会《108号公约》是一项予以关注的因素。获得充分性认定并非一劳永逸，欧委会对第三国或地区会定期进行复审，根据其个人数据保护的实践情况，可能修改、暂停、甚至撤销充分性认定。目前，获得欧委会充分性认定的国家为数不多，包括：阿根廷、以色列、日本、新西兰、瑞士、乌拉圭、安道尔、马恩岛、泽西岛、法罗群岛、根西岛。加拿大获得的充分性认定仅适用于属于“加拿大信息保护和电子文件法”范围的私营实体。

在充分性认定机制缺失的情况下，数据控制者或处理者只有能提供充分的保障措施，且数据主体的权利和救济在法律上可执行时，才可以将个人数据转移至欧盟境外。根据GDPR第46条，主要有下列几种充分保障机制可供选择：公共机构之间有法律约束力和执行力的文件；有约束力的公司规则；标准数据保护条款；协会行为准则；认证机制等。各种保障机制都需要获得欧委会或欧盟成员国数据监管机构的批准才能生效，其核心在于严格控制个人数据出境后的保护标准。如未能满足充分性认定和充分保障机制的条件，个人数据转移至欧盟境外的例外情形非常有限，并且给数据控制者带来很高的举证责任。要求数据控制者在充分告知数据主体相关风险的情况下获得数据主体的明示同意，或者数据控制者能证明数据转移具有某种必要性，如实现公共利益、履行合同、司法诉求等，严格的举证要求使其难以适用频繁、大规模的个人数据转移。

GDPR的跨境数据传输机制中，充分性认定机制提供了整体解决方案，获得认定的前提是该国家或地区的个人数据保护水平达到了GDPR的要求，这必然促使希望获得认定国家或地区的立法向欧盟标准靠拢。充分保障机制虽然是针对数据控制者或处理者，但同时要求数据主体的权利和救济在法律上可执行，这也间接对数据控制者或处理者所在地的个人数据保护法提出了要求。跨境数据流动的这种制度设计使GDPR产生传导效应，进一步强化了欧盟数据保护制度输出的影响力。除欧盟国家以外，一些近期更新了数据保护法或提出立法草案的国家，如突尼斯、泰国、智利、巴西、加拿大、新西兰、贝林等，其立法都深受GDPR影响。GDPR发生传导效应的根源在于：一方面，欧盟市场对欧盟外国家的吸引力促使其希望获得数据流动的许可；另一方面，在全球互联网产业集中度较高的情况下，大多数国家与欧盟一样，数字经济的生产和消费失衡，仿效欧盟严格的数据保护法可以更有效地约束美国、中国等互联网强国的数据控制者或处理者。

值得注意的是，GDPR的数据跨境流动规则也会被其他国家所仿效。日本2015年《个人信息保护法》中就确立了类似的充分性认定机制。在制度逐步趋同的背景下，2018年7月，日本和欧盟在达成《经济伙伴关系协定》之后的会议联合声明中宣布，双方约定互相将对方的数据保护系统视为同等有效，建立一个数据安全流通区。这意味着，欧日致力于达成首个“对等充分性”协议，并旋即展开实质性的推进。2018年9月，欧委会正式启动对日本的充分性认定程序。2019年1月23日，欧委会通过对日本的充分性认定，日本也同时做出对等的认定，由此，个人数据可以在两大经济体间自由传输，形成世界最大的数据安全流通区。以日本的情形推之，一旦越来越多的国家仿效欧盟数据保护规则，包括其跨境数据流动规则，在这些国家间将形成以欧盟数据保护标准为共识的数据自由流通区，不符合其数据保护要求的国家则被排除在外，将面临数据流动的障碍，GDPR产生的壁垒效果将逐步扩散，进而深刻影响全球数据治理格局。

三、美国化解欧盟数据立法壁垒的主要途径

美国和欧盟的个人数据保护制度差异较大。美国没有统一的个人数据保护法，而是根据需要在不同部门分别立法；美国没有将个人数据权确立为宪法意义上的基本人权，认为除非有不能避免的风险且市场本身无法纠正，否则不应进行联邦立法；美国也没有独立的数据保护机构，主要通过行业自律和民事救济的途径解决纠纷。[4]P53相对宽松的个人数据保护模式符合美国互联网企业的利益，有益于维持其全球领先的行业优势和促进数字经济的发展。美国不可能改变其国内法律体系以满足欧盟标准，欧盟也不认可美国达到了充分性保护。然而，美国和欧盟之间存在大量的跨境贸易往来和投资活动，尤其是美国的互联网企业在欧盟存在重大的商业利益，化解欧盟数据保护产生的市场壁垒具有迫切的现实需求。美、欧之间数据保护制度的分歧由来已久，美国政府多年来积极寻求该问题的解决方案并取得一定效果。

(一)通过双边协议与欧盟达成妥协

自欧盟1995年《指令》实施以来，由于美国未达到欧盟认可的个人信息“充分保护”水平，美国企业在欧盟开展业务面临严重限制。为解决大西洋两岸数据流动的法律障碍，美国和欧盟于2000年签订《安全港协议》。该协议并不要求改革国家法律制度，而是为美国公司遵守欧盟规则提供了一揽子解决方案。《安全港协议》框架下的个人数据保护要求与欧盟《指令》的数据保护原则和标准相一致,美国企业可以自愿申请加入《安全港协议》。“入港”企业必须遵守协议要求，并且每年向商务部提交公开隐私政策的书面报告，从而可以接受和处理来自欧盟的个人数据。《安全港协议》生效后，有超过4400家美国企业和组织加入,包括谷歌、脸书、微软等。双边安排使得美国企业可以合法地在两地间传输数据，促进了美国企业在欧盟的发展和扩张。2013年随着“棱镜计划”曝光，《安全港协议》存在的问题和漏洞凸显出来。基于《安全港协议》中的国家安全和公共利益豁免，美国国家安全局一直通过进入微软、谷歌、苹果等网络巨头的服务器监控公民的个人信息，包括对欧洲领导人的监控。在此背景下，长期致力于隐私保护的奥地利公民Max Schrems向爱尔兰高等法院提出申诉，指Facebook未能给欧洲公民的个人数据提供充分保护，要求禁止其将个人数据传输至美国。2015年10月，欧洲法院裁定《安全港协议》无效，理由是该协议已经无法满足欧盟的数据保护标准，不能阻止企业将个人数据文件泄露给未经授权方。

鉴于美欧间密切的商业利益联系，数据流动受阻已是彼此不可承受之重，美欧间紧急磋商，2016年2月即达成新的框架协议——《隐私盾协议》。《隐私盾协议》由美国商务部和欧委会共同设计，同样采取企业自愿加入的方式。针对《安全港协议》运行中暴露的缺陷，以及因应欧盟数据保护制度的最新发展，《隐私盾协议》做了如下主要改进：其一，在调整范围方面，除商业目的下的数据跨境流动，还纳入了美欧间以国家安全为目的的个人数据传输。美国政府应向欧盟提交书面承诺，确保美国执法部门只在明确的权利范围和监管机制下才能审查来自欧盟的个人数据。其二，美国公司将承担更多的数据保护义务，数据保护标准更加细致严格，美国公司在违反隐私盾下承诺的情形下，将有相应的制裁机制追究责任。其三，在监督执行方面，《隐私盾协议》确立了联合审查机制，美国商务部和欧盟委员会联合监督，确保协议的有效执行。如果美国企业和政府未能履行其承诺，欧委会将暂停协议的运作。其四，在数据主体的救济途径方面，欧盟公民可以直接对加入协议的美国公司提起申诉，美国公司必须及时回应该诉求。欧盟公民还可以向欧盟的数据监管机构提起申诉，由该机构将申诉移交给美国商务部或联邦贸易委员会，促使争议快速解决。欧盟公民还有权直接在美国法院提起诉讼。《隐私盾协议》使美国和欧盟企业的业务活动重新获得制度保障，目前已有超过2500家企业加入。

从《安全港协议》到《隐私盾协议》,个人数据保护的欧盟标准步步紧逼，美国则不断妥协。在此过程中，欧盟不仅迫使美国企业提高数据保护标准，还一定程度上推动了美国制度环境的变化。例如，《安全港协议》失效后，美国加州通过了《电子通讯隐私法案》，禁止政府机构强制要求商业机构提供任何电子通讯信息，除非持有特殊情形下颁发的搜查令、窃听许可、传票等。为配合《隐私盾协议》的实施，2016年奥巴马签署了《司法救济法案》，针对美国政府不当披露个人信息的行为，欧洲公民有权依据《1974年隐私法案》在美国法院提起诉讼。2018年加州出台《消费者隐私法案》(CCPA)，对企业提出了更多通知、披露义务，并针对数据泄露规定了法定损害赔偿金，是美国州层面最严格的隐私立法，也被视为最具有GDPR色彩的美国隐私立法。当然，美国并没有根本改变其国内的隐私立法导向和立法模式。即使是CCPA，其制度内核仍体现出与欧盟制度的烙印差异，更加注重消费者保护的实际效果，以及与促进企业发展、技术创新之间的平衡。

(二)通过区域协议与欧盟争夺话语权

美国作为全球数字经济的领头羊，由欧盟引领全球数据保护立法不符合美国利益，美国借助其在亚太地区的政治经济影响力，试图以区域协议的方式构建符合自身利益的规制体系，从而获得一定程度的话语权，在国际层面与欧盟制度相互抗衡、影响和融合。

在美国的倡导和推动下，亚太经合组织于2005年通过《APEC隐私框架》，《框架》与欧盟的规制体系存在显著差异。《框架》序言中虽然也确认了个人信息的隐私价值，但其并未将隐私权看作基本人权，其关注的重心是通过隐私保护增强消费者信心，通过统一规则促进数据跨境流动，从而实现促进亚太地区电子商务发展的目标。《框架》要求成员经济体采取“一切合理及适当步骤避免和消除任何不必要的信息流动障碍”。《框架》确立的一套信息隐私原则主要源于OECD1980年《隐私保护和个人数据跨境流通指南》的保护原则,明显低于欧盟95年《指令》的保护标准。为推动《框架》的执行，APEC于2011年出台“跨境隐私规则”(CBPR)，为涉及数据跨境传输的企业提供了一个自愿认证系统。CBPR机制下，认证的核心是评估企业是否遵循《框架》规定的个人信息保护原则，通过认证的不同国家的不同公司，可以不受阻碍地相互传输数据。加入CBPR的成员方需要在国内指定问责代理机构并经APEC认可。企业首先对其跨境数据流动的内部政策进行自我评估，然后提交给问责代理机构进行审查评估，通过评估被认证为CBPR遵守方，相关信息公布在认证目录网站，问责代理机构或本地的数据隐私机构负责执行和处理违规行为。CBPR机制的运行逻辑类似于欧盟的“有约束力的公司规则”(BCR)机制，即遵循一套统一隐私规则的企业之间可以跨国传输数据。为促进欧盟和亚太地区的个人数据流动，2012年APEC和欧盟成立联合工作组，致力于CBPR和BCR两个体系间的互通和融合。2014年工作组制定了“BCR和CBPR体系共同参考”，作为一个非正式的检查清单，列举了两个体系在认证方面的共同要求和差异性。2015年联合工作组表达了从执行层面融合两个体系的意向，拟合作制定企业同时加入两个体系的联合申请表。但是，由于两个体系的显著差异，CBPR以《框架》原则为基础，BCR以《指令》和GDPR为基础，CBPR的隐私保护标准明显低于BCR，两者的融合进展缓慢，至今未有实质性的突破。

《APEC隐私框架》和CBPR是美国通过区域协议推行美式数据规制标准的最重要成果，但是，从运行实践观察，《框架》对APEC成员方没有法律约束力，仅为推荐性标准，对该地区国家的数据隐私法并无实质性影响。加入CBPR的有美国、日本、墨西哥、加拿大、韩国、新加坡、澳大利亚和中国台北。其中一些国家尚未指定问责代理机构或问责代理机构仍在申请之中，因而这些国家还无法实际运行CBPR体系。真正开始运作CBPR的目前只有美国和日本。取得CBPR认证的企业目前仅24家，其中美国23家，日本1家。迄今为止美国通过APEC获得的实际影响力非常有限。事实上，日本、墨西哥、韩国、加拿大、新加坡、澳大利亚等APEC成员方的国内数据保护水平都在向欧盟95年《指令》，乃至GDPR靠拢，明显超出APEC的保护水平。执行CBPR则意味着这些国家和地区要实行“内紧外松”的数据保护制度，即在国内执行较高水平的数据保护，而数据出境时第三国的数据接收方只要达到APEC的较低保护水平，就允许出境。这既不利于本国利益，也限制了国家主权，CBPR遇冷也就不足为奇。然而，美国仍在借助其政治经济影响力，积极游说和推动更多APEC成员方加入并执行CBPR体系。

除此之外，美国还在其主导的自由贸易协定中推行促进数据自由流动的规则。2012年达成的美韩FTA，电子商务章中要求“各缔约方应尽量避免对电子信息跨境流动施加或维持不必要的壁垒”。从措辞看，该规定呈现原则性的特点，还不具有强制性约束力。金融服务章中的相关规定相对较为明确，“缔约方应准许对方的金融机构，出于正常业务活动的需要，以电子或其他形式传送信息、进行跨境数据处理。”这是美国在FTA中首次引入数据跨境流动规则，虽然只是框架性的初步规定，但它代表了美国今后FTA谈判中的导向。2015年达成的TPP，第14章电子商务第8条规定了各缔约方保护个人信息的义务，但是在注释6中指出，缔约方履行个人信息保护义务的方式包括诸如，“统一的隐私法、个人信息法或个人数据保护法，涵盖隐私保护的特定部门法，监督企业自愿进行隐私保护的法律。”该注释以举例列举的方式非常宽泛地涵盖了各种数据隐私保护模式，设置了很低的义务履行要求。电子商务章第11条又规定，各缔约方应允许个人信息跨境自由流动，除非出于正当的公共政策目标。即使公共政策目标包括个人信息保护，根据注释6，只要一缔约方采取了任何一种隐私保护模式，就应当被认为达到了个人信息保护要求，其他缔约方就不应当限制个人信息向其传输。

不论是APEC框架下的CBPR体系，还是自由贸易协定中的数据流动规则，美国都在以较低水平的数据保护为基础构建有利于数据自由流动的跨境规则，旨在促进数据向美国流动。这和欧盟通过个人信息出境的“充分”保护要求促使全球数据保护水平向欧盟靠拢是背道而驰的。正因如此，欧盟在和美国开展的TTIP谈判中一再声称：个人信息保护是基本人权，决不能在贸易谈判中谈没了。可见欧盟是坚决杜绝TPP中上述类似条款的。虽然迄今为止，美国在区域协议中取得的实际成果极为有限，但是美欧间的博弈将是长期而激烈的。美国能否以APEC下的CBPR和自由贸易协定撬动欧盟的主导格局，拉低全球数据保护水平，还有待观察。

四、中国当前应对GDPR的可行性措施

(一)现阶段借鉴美国经验不具有可行性

2018年9月，我国的《个人信息保护法》列入立法规划，目前尚处于讨论阶段。当前，我国个人信息保护的法律依据是散见于公法和私法不同部门法中的相关规定，包括但不限于《民法总则》《侵权责任法》《网络安全法》《电子商务法》《消费者权益保护法》等法律，《征信业管理条例》《电信和互联网用户个人信息保护规定》《网络预约出租车经营服务管理暂行办法》等行政法规和部门规章。这些规定大都较为简单、操作性不强，且规定分散、不成体系，规定之间缺乏联系和相互支撑，甚至存在矛盾和混乱。由于立法不完善、私力救济不足、行政监管缺位，我国当前的个人信息保护框架失衡，既不能为自然人提供充分的个人信息权利保障、也无力满足市场对个人信息利用的合理需求，更因国际视野缺乏，无法在国际规则制定和跨境执法中发挥应有的作用。[5]以我国目前的个人信息保护状况，我国不可能获得欧盟的充分性认定。然而，中国企业在中欧商贸往来中，不论是银行、金融、保险、医疗健康、航空等传统企业，还是跨境电商、社交网络、智能出行、智能家居等新兴领域，都会面临GDPR的合规挑战。上述美国政府应对欧盟数据立法的举措，中国目前是否可以借鉴？

美欧政府间缔结的《隐私盾协议》，是化解数字贸易壁垒、解决数据跨境流动最行之有效的途径。美欧间能够达成双边协议，有赖于四方面因素：一是美欧之间的经济依存度较高，美国是欧盟最大的出口国市场，且美国的互联网公司在欧盟提供广泛的服务。《安全港协议》失效后，欧洲委员会曾表明，美欧数据流动受阻可能会造成欧盟整体国民生产总值下降0.8%-1.3%。二是美欧之间长期以来的政治互信，《隐私盾协议》的内容广泛，还涉及反恐、洗钱、国家安全等敏感事项。三是美国强大的外部执法威慑机制能够有效约束信息控制者的行为。美国宪法、联邦法律、州法对于个人信息都有相应的保护规定，只是联邦层面缺乏一部统一的适用于市场主体的个人信息保护法。美国联邦贸易委员会、各州总检察长、民事(集团)诉讼、国会监督与媒体监督及社会监督等机制毫不亚于欧盟国家个人信息管理局的执法力度。[6]P17四是美国为达成协议做出了更多的妥协。中国如果想仿效美国，与欧盟达成类似的双边协议，目前较为有利的因素是中欧之间密切的经贸往来，中国是欧盟的第二大贸易伙伴，欧盟是中国的第一大贸易伙伴。但是，中国的互联网企业国际化程度不高，欧盟市场对其没有依赖。最为不利的因素是我国目前较低水平的个人信息保护，基础性立法和标准较为匮乏、执法监督机制分散无力、救济手段不足，与《隐私盾协议》的要求差距较大。在我国国内法制作出改善之前，我国与欧盟达成类似双边协议尚不具备可行性，更遑论在区域和国际层面提出个人数据保护和数据流动的标准、参与国际规则制定。因而，政府的当务之急是从国内法层面加强个人信息保护立法和执法体系的建设。

(二)构建符合国际立法趋势和我国现实需求的个人信息保护法

中国的数字经济规模仅次于美国，位列全球第二。全球市值最高的20家互联网公司中，中国占据9席，仅次于美国的11席，但是，中国公司以本土化运营为主，其国际化程度远不及美国公司。目前，我国企业有实力且有需求深度参与国际竞争，拓展海外市场，在全球数字经济的发展中谋求更广阔的空间。欧盟引领的个人数据保护立法不断提升全球数据保护水平和市场门槛，倒逼中国企业提高个人信息数据保护标准。另一方面，国内近年来屡屡发生个人信息泄露和滥用事件，也需要建立有效机制约束个人信息控制者或处理者的行为，这既是保护我国个人权益的必要，也是增强消费者对互联网线上服务的信心，深入发展数字经济的内在要求。不可否认，我国较为宽松的个人信息保护政策，在过去十几年间对我国互联网企业和数字经济的迅猛发展发挥了助力作用，但是在目前的国内外形势下，我国应当适度提高个人信息保护水平。我国正处于个人信息保护法立法的关键时期，我国需要根据国际立法趋势和国内情况，合理构建个人信息保护法，力求在数字经济发展、个人信息保护和国家安全间取得最佳平衡。

1.我国的个人信息保护法不宜盲目追随欧盟的GDPR，但应达到全球第一代个人信息保护法的标准,同时吸收第二代和第三代个人信息保护法中的适宜因素。根据澳大利亚Graham Greenleaf教授的研究，全球个人信息保护法的演进历经三代：第一代以1980年OECD《指南》和1981年欧委会《108号公约》为代表，确立了个人信息保护法的基本内容。目前，全球已经有126个国家的立法达到了第一代保护标准，其中75个欧洲以外的国家。第二代以欧盟1995年《指令》为代表，在第一代的基础上加入了更高保护标准的一些要求，如“数据最少够用”、“数据删除”、“独立的个人数据保护机构”等等。75个非欧洲国家立法的平均水平已经至少满足这些要求的一半以上。第三代以欧盟GDPR为代表，在第二代的基础上进一步扩展了数据主体权利，如“被遗忘权”、“可携权”，还增加了“企业设立数据保护官”、 “设计隐私”、“数据发生安全事故后及时通知”等要求。作为第一代个人信息保护法的标志性立法文件近来也作出了与时俱进的修订。2013年OECD修订1980年《指南》时，保持其核心原则，但根据形势的变化增加了部分原则的具体实施要求，如在落实责任原则时，增加了安全事故发生时的通知要求。2018年《108号公约》现代化的修订版完成，重申并强化原有基本原则的同时，加入了GDPR的部分要素。

在欧盟立法的引领下，全球个人信息保护的实质原则表现出相当的趋同性。第一代个人信息保护法的基本原则历经30多年的实践检验，现在为国际社会成员普遍接受，体现了其合理性和稳定性。因而，我国的个人信息保护法首先应全面达到第一代个人信息保护法的标准，确立如下基本原则：信息收集限制原则、质量原则、目的特定化原则、使用限制原则、安全保护原则、公开原则、个人参与原则、责任原则。第二代和第三代个人信息保护法中的新增要素需要逐一考察，对那些回应了网络发展新情况，实践证明可行，又被许多国家普遍接受的要素，应予以采纳，例如敏感信息特别保护、安全事故发生后的报告和通知要求等。GDPR实施刚满一年，其诸多新规则的现实效果和可操作性、其对数字经济的深层影响、其对技术发展的适应性等，都还有待观察。即使在欧盟数据保护法的发源地德国，对GDPR仍存在很多批评。甚至有观点认为，GDPR存在结构性缺陷以及实施层面的巨大挑战，需要实质性地改变和完善。况且，深化发展数字经济是我国目前扩展经济发展新空间的重要战略，GDPR严苛的数据保护义务对数据控制者或处理者施加了很重的负担，会抑制数字经济发展的活力，我国不宜全面借鉴GDPR。

2.个人数据出境规则的设计应兼顾安全和发展，根据数据的不同性质采取不同的监管路径。我国立法对个人数据出境采取严格的本地化存储和出境安全评估机制进行管控。2017年6月开始实施的《网络安全法》第37条规定，“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定办法进行安全评估。法律、行政法规另有规定的，依照其规定。”2017年4月国家网信办发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》同样遵循境内存储和出境安全评估原则，但其适用的义务主体范围更广，不限于“关键基础设施的运营者”，而是包含所有“网络运营者”在我国境内“收集和产生的个人信息和重要数据”。安全评估根据出境数据的数量、类型和重要程度等分为网络运营者自评估和政府部门评估两种机制。这一立法取向，将几乎所有个人信息数据广泛纳入境内存储和出境安全评估范围，体现出强化数据主权和政府管控的意图。

《评估办法》设置了非常全面的评估内容，但缺乏明确的评估合格标准。评估内容涵盖个人信息和重要数据的基本情况、数据主体是否同意、数据接收方的保护水平、数据出境后的各种风险等方面。其中关于信息数据的基本情况和数据主体的同意较为容易判定，但是，数据接收方的保护水平和数据出境后的风险审查没有客观标准，增加了评估的难度和不确定性。欧盟的数据跨境流动规则主要是对数据接收国的相关法律和执法机制，以及数据接收方的保护水平进行评估，以欧盟的数据保护水平为参照标准，属于资格审查，一旦通过认定就可以在相对稳定且可预见的环境下跨境传输数据。我国《评估办法》没有规定数据接收国或接收方必须提供与我国个人信息保护法相同的水平，这使得对接收方保护能力的认定没有实质标准。此外，评估内容中关于数据出境后可能面临的各方面风险的审查，对开展评估的网络运营者和政府监管机构的信息收集和评估能力都提出了较高要求，而且，由于没有统一标准，不同评估者对相同情况下的风险评估结果可能不一致。面面俱到又缺乏明确标准的评估要求，不能为市场主体营造稳定可预期的数据流动法律环境，并增加其合规成本。当然，这使得政府对个人数据出境审查有更大的裁量权和话语权。

从《评估办法》看，我国目前偏重于通过政府的严格监管，高度维护数据主权和数据出境的安全。但是，从数字经济发展的角度看，会造成市场主体不必要的负担，严重阻碍数据跨境传输，而且容易招致其他国家的对等措施，影响数字贸易的健康发展。《评估办法》尚在征求意见阶段，我国个人数据出境规则的构建应当力求在安全和发展的需求间取得平衡。首先，应当区分数据的不同性质，有针对性地对其跨境流动采用不同的管理路径。对一般个人数据出境进行监管的政策目标是保护公民隐私和公民的个人信息自决权利。对重要数据和敏感数据出境进行管控的政策目标是保护国家安全和公共利益。不同政策目标下，数据出境的制度设计和管控措施都应当不一样。第二，重要数据和敏感数据，因其涉及国家安全和公共利益等更重大的利益，应当由政府直接进行严格监管，要求本地化存储，并且由政府介入具体情境下的出境评估。第三，对一般个人数据，可以参照欧盟的数据流动监管模式，重点评估数据接收国的个人数据保护法律环境和数据接收企业的个人信息保护机制是否完善，GDPR中的充分性认定制度、标准合同机制等都可资借鉴。同时，对境外数据接收方个人数据保护水平的评估标准也应明确以我国国内法的保护水平为准，前提是我国统一的《个人信息保护法》尽快出台。这种监管模式下，政府依据明确的标准对境外接收方事先进行资格审查，可以为市场提供稳定预期，降低评估成本，同时也达到了保护个人信息权利的目的。以此为基础，我国还可以同其他国家达成相互认证个人数据保护水平的协议，促进数据的双向流动和数字经济的发展。

3. 设置权威的个人信息保护执法机构，改变执法分散低效的现状。我国统一的《个人信息保护法》尚未出台，涉及个人信息保护方面的法律呈碎片化状态，监管执法也较为分散。根据我国现行制度，严重侵犯个人信息的犯罪行为依靠公安和司法部门进行刑事打击，其余一般侵犯个人信息的情形主要由行业主管部门进行监督执法，包括网信办、工信部、市场监管局，以及金融、医疗等专门领域的主管部门。多头分散的管理体制造成各主管部门职责不明确，一方面在职责交叉的领域容易造成重复执法、竞争性执法，或者互相推诿，另一方面还可能存在监管的真空地带。2019年1月，中央网信办、工信部、公安部、市场监管总局四部门联合发布关于开展APP违法违规收集使用个人信息专项治理的公告。此后，2019年3月，市场监管局和中央网信办发布关于开展APP安全认证工作的公告，这两部门将组织开展APP安全认证，指定中国网络安全审查技术与认证中心为认证机构，并颁布《移动互联网应用程序(APP)安全认证实施规则》。2019年6月28日，工信部办公厅印发《电信和互联网行业提升网络数据安全保护能力专项行动方案》的通知，在“深化APP违法违规专项治理”部分，提出“组织第三方评测机构开展APP安全滚动式评测，对在网络安全和用户信息保护方面存在违法违规行为的APP及时进行下架和公开曝光”，以及“引导第三方机构开展APP数据安全管理认证”。据此文件，工信部也准备组织测评和评估，但是，通知中没有明确第三方评测和认证机构是何机构，也没有说明此认证与网信办和市场监管局3月发布的认证规则、指定的认证机构是否存在联系。工信部的通知后续如何操作也不明确，如果部门间能够协调一致、分工合作当然最好，如果都要争夺APP安全评估工作的主导权，则会造成资源浪费、增加企业负担。标准不统一，最终损害执法机关的权威性，这也正是分散执法的弊端。

欧盟GDPR中关于个人数据跨境流动的“充分性认定”机制，在评估数据接收国个人信息保护的法律环境时，其中一项重要因素就是要求设立独立且有效运行的个人信息保护监管机构，监管机构有充分的执法权，并与欧盟成员国的监管机构进行合作。受欧盟立法影响，很多国家都设置了专门的个人信息保护机构。例如，日本在2015年修改《个人信息保护法》之后，2016年1月设立了个人信息保护委员会，由内阁总理大臣直属管辖，独立行使职权，负责监督执法、处理投诉、制定规范性文件、进行国际合作等事项。APEC“跨境隐私规则”体系也要求加入方在国内指定“问责代理机构”，由问责代理机构或数据隐私机构负责执行和处理违规行为。由此可见，世界主要国家和国际组织的个人数据跨境流动制度在评估接受国个人信息保护水平时，个人信息保护机构的执法能力已成为一项必要考察因素。

大数据时代，数据大规模、频繁传输已成常态，对个人信息保护执法提出了更高要求。我国目前多头混治的管理体制，不能提供高效、及时的个人信息保护。我国应当设置权威机构进行统一监管，可以考虑由国家网信部门承担这一职责，同时，在金融、医疗等特殊专业领域，其主管部门在网信部门的指导和监督下履行其职责范围内的个人信息保护职责。设置统一、职责明确的个人信息保护执法机构，提高执法水平，不仅有利于保障我国公民的合法权益，还可以提高我国在个人信息保护方面的国际形象，为我国参加个人数据跨境流动的双边和区域机制提供制度支持。

综上所述，以贸易壁垒的角度考察GDPR，并非否定其人权保护的的立场和积极作用，而是从其对数字贸易的实际效果出发，探讨其制度设计的影响和可能的因应。欧盟凭借其统一大市场和高超的立法水平，在个人数据保护领域保持着持续输出制度的影响力。越来越多欧盟以外国家和地区的个人数据保护法向95年《指令》标准乃至GDPR标准靠拢。非洲等新兴市场国家也开始积极仿效欧盟的数据立法。因个人数据保护产生的市场壁垒，也会在其他地区日益凸显。美国作为全球互联网产业和数字经济的领头羊，其个人数据保护立法的理念和路径与欧盟大相径庭。美国试图通过区域协议，提出符合美国利益的较低标准的个人数据保护和跨境流动规则，以此抗衡欧盟的制度引领，然而迄今为止影响有限。但是，美欧间能够通过有效的双边协议达成妥协，在很大程度上化解欧盟数据立法产生的壁垒。相比之下，中国则相当被动，目前无法从双边或区域层面提出有效解决方案，这对中国企业深度参与全球数字经济竞争非常不利。中国亟待完善相关国内法，出台符合我国现实需求的个人信息保护法，适当提高个人信息保护标准，设计兼顾安全与发展的个人信息数据出境规则，设置权威的个人信息保护执法机构。以此为基础，我国才可能对外谈判双边条约，在区域和多边谈判中提出中国立场，参与数字经济时代个人数据保护国际规则的构建。

注释：

① Tony Romn. France fines Google nearly $57 million for first major violation of new European privacy regime[N]. The Washington Post. 21 Jan 2019.

② 《欧盟基本权利宪章》第8条“个人数据保护”规定：人人均有权享有个人数据的保护。个人有权了解并更正被收集的个人数据。个人数据处理只能基于特定目的，且经数据主体同意或依法律的其他规定公正进行。

③ 《108号公约》全称《个人数据自动化处理中的个人保护公约》，1981年由欧洲委员会颁布，是欧洲数据立法的奠基性法案，确立了数据保护的基本原则和框架，但公约为非自动执行条约，需成员国国内立法实施。

④ 《数据保护指令》全称《欧洲议会和欧盟理事会1995年10月24日与个人数据处理有关的个人保护以及此类数据的自由流动指令》。该指令对个人数据处理合法性的一般原则、司法救济、向第三国转移个人数据、监管机构和执行措施等进行了规定。欧盟要求成员国都制定各自的数据保护法，且必须达到指令要求的保护程度。

⑤ 2015年欧盟委员会启动《数字化单一市场战略》，旨在通过采取一系列措施消除法律和监管障碍，增进成员国间的合作与交流，将28个成员国市场打造成为一个统一的数字市场，共同推动欧盟数字经济的发展。

⑥ Wilbur Ross. EU data privacy laws are likely to create barriers to trade[N]. Financial Times. 30 May 2018.

⑦ 欧盟数据保护条例生效，小米智能灯Yeelight不满足GDPR将停止服务[N].搜狐网.2018-5-24. http://www.sohu.com/a/232805384_127714.

⑧ Tobias Buck. Mobike faces probe by Berlin data protection regulator[N].Financial Times.10 Dec 2018.

⑨ See Mary Meeker’s 2018 Internet Trend Report[R]. 30 May 2018.

⑩ See UNCTAD. World Investment Report 2017-Inverment and the Digital Economy[R]. http://unctad.org/en/PublicationsLibrary/wir2017_en.pdf.