李艳华

(南京师范大学法学院，江苏 南京 210046)

一、引言

经济全球化时代，以互联网、物联网、云计算和大数据分析为代表的数字经济的快速扩张对全球贸易与投资增长产生重要影响。根据麦肯锡研究所的估算，所有类型的跨境数据流动共同作用，通过提高生产率支持经济增长，十余年来促使全球GDP增长了10.1%(1)McKinsey Global Institute, Digital Globalization:The new era of global flows, https://www.mckinsey. com/business-functions/digital-mckinsey/our-insights/digital-globalization-the-new-era-of-global-flows, lastvisited on 9May,2019.。跨境数据流动有利于分享数据红利、推动技术革新并由此促进整个产业的蓬勃发展，而且在某种程度上，还能打击恐怖主义以及跨国犯罪。但是，各个国家因保护水平存有差距，在跨境数据流动中极易造成个人数据泄露，从而侵害个人的数据隐私权。第三国政府甚者将个人数据用于分析人口结构、人口质量以及资源分布等基本国情，从而对一国的国家安全构成威胁。为了在数据自由和数据保护的价值取向间找到平衡点，全球范围内形成了以充分性为原则的欧盟规制路径、以组织机构为基准的问责制美国式规制路径、以数据本地化为原则的俄罗斯规制路径、以及以利益平衡为导向的折中型澳大利亚规制路径。

就目前来看，各国基于跨境数据流动的历史传统、业已形成的路径依赖以及国内数据发展环境，短时间还无法形成统一的全球数据协议。而我国信息技术发展较晚，直至最新于2016年11月7日通过的立法成果，即《中华人民共和国网络安全法》(以下简称《网络安全法》)也未表明中国的路径抉择。在一带一路倡导的时代背景下，淘宝、小米等企业已经将投资市场转向东南亚，2017年6.18以及双十一的天猫出海活动便是很好的例证。此外，以腾讯、百度、京东为代表的互联网巨擘也亟需拓宽海外市场。在此背景下，中国理应结合国内监管环境，借鉴各国成熟的跨境数据流动立法经验，完善数据法域，并积极参与国际规则的制定，这对于我国互联网产业的域外发展无疑具有深刻的理论与实践意义。

二、跨境数据流动规制法律问题溯源

(一)跨境数据流动的概念界定

通常而言，跨境数据流动(trans-border data flows、cross-border data flows)是指数据在不同法域之间流动(2)Christopher Kuner, Trans-border Data Flows and Data Privacy Law, Oxford University Press,2013,p.11.。此概念最早由20世纪70年代OECD科学技术政策委员会(CSTP)下设的计算机应用工作组(CUG)提出(3)G.Russell Pipe, International Information Policy: Evolution of Trans-border Data Flows Issues, Telematics and Informatics,Vol 1,No.4,1984,p.409.。对于跨境数据流动的理解：首先，详阅此领域的相关文献，数据与信息所指并无二意，且“个人数据跨境流动”多采用“跨境数据流动”的说法。其次，基于政府数据关涉公权属性，具有本地存储的天然特征，并且对于跨境数据流动的商业化需求较低。因此，在数据跨境政策讨论中，提出政府数据类别，对于认知数据跨境流动政策并无特别意义(4)王融.数据跨境流动政策认知与建议——从美欧政策比较及反思视角[J].信息安全与通信保密,2018,(1):43.。再者，跨境数据流动的主要方式为提供数据给第三方以及第三方访问数据。具体体现在跨境电商、消费者合同、跨境医疗、跨境金融等服务贸易中。最后，跨境数据流动主要解决的问题在于如何实现数据出口国和数据进口国对于数据保护和数据自由流动的动态平衡。在对跨境数据流动的本身意旨进行厘定之后，笔者将以历史渊源和价值理念为主线，探究由欧美两大立法范式所形成的跨境数据流动规制路径的缘起。

(二)国家规制：欧美跨境数据立法的历史溯源

美国拥有数据优势的历史传统，20世纪70年代，阿帕网由纯粹的军事工具转换为军用和民用两部分，并逐渐演化为互联网的雏形。由于计算机网络主要用于政府工作，当时立法规制集中在如何避免政府滥用公权力收集个人信息。为此，美国于1973年发布了题为《录音、计算机与公民的权利》的报告，第一次提到网络所产生的个人隐私保护问题(5)张凌寒,杜婧.基于隐私权的个人信息保护路径研究——以美国为研究视角[J].网络法律评论,2016,(1):29.。20世纪90年代，互联网技术开始走向商业化，这一时期，美国个人隐私权并未进行统一的立法保护，而是分散在各个行业立法中。通过行业自律的方式同样体现在跨境数据流动规制方面。后于1997年制定的《全球电子商务框架》提出：平衡个人隐私和信息自由是全球信息基础设施发展的充分条件，恰当的隐私保护是必要的，但不同的政策可能会形成非关税壁垒(6)The White House,The Framework for Global Electronic Commerce,http:// clintonwhitehouse4, archiives, gov /WH/New/Commerce, last visited on 9 May,2019.。近年来，美国通过积极推进APEC和TPP隐私规则制定，企图建立以企业自律为参考标准的跨境数据流动规制话语权。

由于历史、文化以及制度等方面的原因，欧洲十分注重对于公民隐私权的保护。前西德黑森州在1970年通过世界第一部《数据保护法》，该法案的执法机构是数据保护委员会，负责官方文件的转移与处理。瑞典于1973年颁布了世界上第一部明确限制个人数据跨境流动的法律：实行转移审批制，赋予个人知情、获取以及修改等数据权利。此后，从1973年到1984年全球共有13个国家制定了数据保护法，其中8个都是欧洲国家(7)G.Russell Pipe, International Information Policy: Evolution of Trans-border Data Flows Issues, Telematics and Informatics ,Vol 1,No.4,1984,p.413.。而且，欧洲作为高度一体化的同盟体，为了达到数据立法的相对统一，在强调隐私保护的大前提下，以实现全球数据治理为目标，先后制定了三个公约，它们分别是：1981年的《有关个人数据自动化处理的个人保护公约》(Convention for the Protection of Individuals with regard to Automatic Processing of personal Data)(以下简称“108公约”)、1995年的《个人数据处理中个人权利保护及促进个人数据自由流通指令》(Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data)(以下简称“指令”)、以及被称为史上最严格保护个人数据的2018年的《通用数据保护条例》(General Data Protection Regulation)(以下简称“GDPR”)。

(三)国际规制：WTO隐私保护例外条款的“溢出”效应

在国际层面，欧美由于经济政治利益背道而驰，跨境数据流动规制路径尚未达成共识。但是WTO框架下的《服务贸易总协定》(GATS)第14条一般例外条款为欧盟的数据保护传统提供了国际法依据。

GATS是前数字经济时代的产物，在乌拉圭谈判期间，所涉条款很少讨论数字贸易。但是基于跨境服务的表现形式(8)GATS将服务细分为四种形式：跨境交付、境外消费、商业存在、自然人流动。、相对完善的DSB解释机制以及GATS自由环境下承诺列表的设置，电子商务自然被纳入其中。此外，考虑到国家政策以及主权的不可让渡性，GATS为成员国追求非贸易目标设置相应条款。首先，就子项而言，GATS第14(c)条规定，成员可以采取或执行“确保与本协定的规定不相抵触的法律或法规得到遵守所必须的措施”。第14(c)条又划分出三种情形，包括防止欺诈、保护数据传播过程中的隐私以及确保国家安全。在“美国——赌博案”中，上诉机构确定了子项成立的三个条件：即法律法规得到充分遵守、与WTO不相抵触、以及在“必须”的情况下。而对第三个条件，即“必须”的标准，则是双方争议的重要内容。专家组指出，“是否为必须”需考虑所欲保护的法益、对于目标实现的贡献率以及对于商业规制带来的影响(9)Panel Report, US-Gambling,para.6.477.。其次，就导言而言，如果各国所采取的措施缺乏一致性，很可能被认为构成“武断和不合理的歧视”或“对贸易的变相限制”(10)Appellate Body Report,US-Gambling,para.292.。上述双层分析路径中为检验成员国的隐私例外国内立法提供了合规参照。值得注意的是，欧盟“指令”及GDPR所强调的充分保护措施是否可以成功寻求隐私例外条款的庇护，仍需要WTO争端解决机构的个案认定。

据此，欧盟于1995年通过了“指令”，该法案明确了跨境数据流动中数据进口国的保护水平以及数据出口国监管机构的事先审查制度。在“指令”的影响下，数据保护蔚然成风。据不完全统计，有69个国家和地区的国内数据保护规定明令限制跨境数据的流动(11)Birnhack, Michael,“The EU Data Protection Directive: An Engine of a Global Regime”, Computer Law &Security Report, Vol. 24,No.6,2008.。由WTO隐私例外条款延伸而来的跨境数据保护为此产生“泛安全化”效应。

三、跨境数据流动的域外规制路径

(一)价值导向：跨境数据流动规制下的“三难选择”

跨境数据流动的规制类型受制于规制目标之间的平衡、参与主体之间的竞争以及规制本身的发展规律(12)〔13〕黄宁,李杨.“三难选择”下跨境数据流动规制的演进与成因[J].清华大学学报(哲学社会科学版)，2017,(5):180-181.179.。该三重因素或基于数据保护和数据自由的权衡，或基于参与主体在国际政治经济上的地位，抑或通过赋予制度本身约束力与执行力来驱动路径的畅通。而规制路径最终范式的形成在于对跨境数据流动规制的“三难选择”：即“良好的数据保护”“跨境数据自由流动”和各国的“数据保护自主权”〔13〕。不同国家基于不同的价值理念，最终产生以数据保护为主导、以数据自由流动为核心以及三者兼顾的三种不同的组建关系。

在国家层面，针对第一种关系，如果某国以良好的数据保护作为数字经济时代背景下的优先目标，且该国本身享有充分的数据保护自主权，则客观上极易阻遏跨境数据的正常流动。在关系一的架构下，形成了以数据本地化原则为核心的俄罗斯规制路径和以充分性原则为核心的欧盟规制路径。针对第二种关系，为了使跨境数据相关产业能够在全球形成终局影响力，通过放宽除了关涉国家安全、政府利益的数据流动标准，实现了企业的自主管理，但是良好的数据保护的实现则相应增加了难度。在关系二的架构下，形成了以问责制原则为核心的美国式规制路径。针对第三种关系，某国在兼顾数据保护和数据自由流动的基础上，承认域外跨境数据立法的域内效力，并且依靠科学的数据划分，实现三者的兼容。即形成以利益均衡为导向的折中型澳大利亚规制路径。在国际合作层面，阻碍跨境数据流动与全球经济发展趋势相左，故排除了关系一的存在。针对第二种关系，形成了以美国规制模式为主导的APEC等国际规制路径。针对第三种关系，因良好的数据保护与跨境数据自由流动的排斥属性，若实现较好的调和，需要国家间让渡数据保护自主权。欧美主导的规制路径在经济政治博弈下形成两次融合。而GATS14条隐私例外条款的设置由于缺乏实践支撑，实效性存疑。在上述“三难选择”中，各国基于历史传统、文化水平、产业利益、国际形势的差异而选择不同的规制路径。

(二)国家规制路径类型列示

1.欧盟(成员国)：以地理区域为基准、以充分性原则为核心的规制路径

欧盟规制路径采用双重标准，对于欧盟成员国，禁止以数据保护为由阻碍跨境数据的自由流动；而对于其他第三国，则需以提供充分保护为前提。在理论层面，“指令”与GDPR是充分性保护原则体现的法律文本。两个文本虽未就充分保护的含义进行界定，却设置了充分性保护认定的参考因素。其中，“指令”第四章专门规定了个人数据向非成员国转移的规则。第25条指出，欧盟委员会将根据数据的性质、数据处理的目的和期间、数据接收国的法治程度以及行业规则和安全措施等四种因素来判断(13)Article 25(2) of the 1995 Data Protection Directive.。此外，该文本第26条第1款规定了豁免充分性保护的特殊情形，包括获得数据主体同意、履行合同的需要和维护公共利益等。而GDPR在“指令”的基础上，不仅将规制对象扩展至特定地区、行业领域以及国际组织，还更为详细的列举了充分性保护的三重标准：(1)法治状况，对人权和基本自由的尊重程度，相关综合性立法和专门行业立法以及立法的实施状况；(2)存在掌握足够权力且有效运行的专门规制机构；(3)加入关于个人数据保护的国际条约或多边协定，从而在该领域负有国际法上的义务(14)Article 45(2) of the 2016 General Data Protection Regulation.。新标准实质与形式并重，在考察域外第三国法治状况的同时，加入专门机构监管因素。为了保证充分性决定的连续性与科学性，GDPR还规定，欧盟委员会至少每隔四年进行重新审查，若不再符合充分性保护的要求，则成员国应该采取必要的措施以防止数据跨境流动。此外，GDPR虽然在生效后可以直接被各成员国适用，但一些个人数据的转移，仍需要满足成员国国内的某些特殊规定。例如就儿童的个人数据而言，允许成员国对于儿童的年龄在13～16岁作出调整(15)王融.《欧盟数据保护通用条例》详解[J].大数据,2016,(7):94.。

在实践层面，目前只有11个国家和地区获得充分性保护认证：包括加拿大、阿根廷、瑞士、安道尔、法罗群岛、泽西岛、马恩岛、根西岛、新西兰、以色列、乌拉圭东岸共和国(16)张金平.跨境数据转移的国际规制及中国法律的应对——兼评我国《网络安全法》上的跨境数据转移限制规则[J].政治与法律,2016,(12):140.。在程序上，通过考察这11份充分性保护认证报告，可以得知欧盟基本上遵循形式审查原则，而对于各个国家的实施效果并未给予足够关注。例如2006年欧盟对加拿大的审查报告指出：加拿大的《联邦个人信息保护法案》和各省规则制定符合指令的调整范畴，且自2002年以来加拿大对于数据保护的力度有所加强(17)See European Commission, Commission Decision on the Adequacy of the Protection of Personal Data in Third countries,http://ec.europa.eu/transparency/regdoc/rep/2/2006/EN/2-2006-1520-EN-1-1.Pdf,lastvisited on 9May,2019.。

欧盟规制路径虽设计了统一标准，为个人数据权利的实现提供了合理的预期，且有利于防止第三国规避本国的数据保护立法。但是终究因为程序冗杂、标准过高而阻碍了数据的跨境流动。

2.美国：以组织机构为基准，以问责制原则为核心的规制路径

美国规制路径是在保证跨境数据自由流动的基础上，由数据控制者或数据处理者以合法、合理的方式对数据的安全性负责，否则将由数据监管机构问责。与欧盟自上而下统一立法的事前预防模式不同，美国行业通过制定隐私保护标准，默认数据控制者或者处理者在商业活动中自觉的遵守相关规则，仅在事后对于违法行为进行惩罚。因此，该规制方式能够最低限度的避免跨境数据的滞留，同时也降低了行政机关的监管压力。

相较于欧盟充分性的保护标准，美国的个人数据保护水平主要以隐私保护状况为考核指标。美国的隐私保护标准分为两个层级：即在线隐私联盟(Online Privacy Alliances，OPA)公布的建议性指引以及由美国两大隐私认证企业TRUSTe和BBB Online制定的具有强制约束力的两个隐私保护计划(Privacy Seal Program)(18)张舵.略论个人数据跨境流动的法律标准[J].中国政法大学学报,2018,(5):102.。前者侧重于保护数据主体的知情权，后者则在OPA指引的基础上，结合联邦贸易委员会的隐私保护原则(FTC Principles)(19)FTC原则包括通知原则、选择原则、访问原则和数据安全原则。制定相关条款。企业在进行申请认证程序时，需要提供公司内部的隐私规则与政策，在通过考核后，由上述认证机构颁发认证标识，且可在网上进行公示，以提升消费者的信任。此外，隐私认证机构也需要定期进行评估。

美国规制路径一方面强调规制企业对于相关规则的遵守，另一方面又对违规企业实行问责。而上述规范体系的建构旨在为数字经济产业创设最低标准，让跨境数据流动的限制机制回归市场。值得注意的是，事后问责的处理方式不仅因数据难以恢复原状而导致规制功能下降，而且对于中小企业来说操作成本过高。企业自律水平也参差不齐。未来，随着加入企业的不断增多，监管机构很可能自顾不暇。此外，对于大型企业惩罚力度过小，与GDPR所规定的违规企业最高可处罚2000万欧元或者企业上一年度全球营业收入的4%的罚款(两者取其高)(20)王融.《欧盟数据保护通用条例》详解[J].大数据,2016,(7):101.相比，威慑力十分有限。

3.俄罗斯：以地理区域为基准、以数据本地化为基本原则的规制路径

俄罗斯规制路径要求数据的存储与处理在国内进行，强烈排斥数据的跨境自由流动，以实现对于跨境数据的绝对保护。与此相类似的国家还有马来西亚、巴西及印度等。俄罗斯的“本地存取型”立法最初尚未上升到欧盟以数据隐私权为基本权利的高度。但是“棱镜门”事件的发生直接成为欧洲各国再次关注数据主权的导火索。俄罗斯数据保护立法从自由放任演变为严格限制。

为此，俄罗斯于2014年5月和2014年7月先后进行了两次立法修改。就第一次修改而言，《关于信息、信息技术和信息保护法》(第149号法令)在互联网信息传播组织义务项下增加了境内存储的相关要求，文本规定：网民在对文字、图像以及语音等各种信息进行发送、接收以及处理的过程中，互联网信息传播组织者应将上述信息留存于俄罗斯境内。此外，还声明互联网企业在国家机构进行调查时积极配合的义务，否则将处以行政罚款。第二次修改则在第149号法令第16条第4款中增加数据控制者与数据处理者对于存储、处理俄罗斯公民信息的数据库应留存在俄罗斯境内的规定。《俄罗斯联邦个人数据法》(第152号法令)第18条增加第5款，运营商获取信息需要使用俄罗斯本地的数据库，且需确保数据主体的知情权。通过上述法律修改成果，可以归纳出俄罗斯目前对于数据跨境流动的态度：(1)公民个人信息应存储于俄罗斯境内；(2)处理公民个人信息应在俄罗斯境内进行；(3)数据相关主体应积极配合国家监管工作(21)何波.俄罗斯跨境数据流动立法规则与执法实践[J].大数据,2016,(7):131.。跨境数据流动立法在俄罗斯得到高强度的规制，但其实施方式相对温和，监管机构一般通过检查服务器服务商签订的书面合同，而非专业的软硬件检测。而且，处罚的力度相对较小，多为小额罚款和限期改正的处罚。

俄罗斯所倡导的数据本地化规制路径通过严控数据流动，试图将侵犯数据主体隐私和威胁国家安全的风险扼杀在摇篮里，但其实施的效果并不理想。首先，该理念本身就存有瑕疵，信息安全并不在于物质形态的存储地点，高度集中有时往往更易受损，甚至有可能成为国内政府监视公民行为的借口(22)马蒂亚斯·鲍尔等.数据本地化的代价：经济恢复期的自损行为[J].汕头大学学报(人文社会科学版),2017,(5):45.。其次，数据本地化措施是否符合目的、是否必要、是否符合比例原则也存有质疑(23)彭岳.数据本地化措施的贸易规制问题研究[J].环球法律评论,2018,(2):180-181.。

4.澳大利亚：以利益均衡为导向、以折中型为特征的规制路径

相较于欧盟数据保护的历史传统以及美国强大的互联网产业经济，一些缺失国际主导权的国家往往选择迎合立法主流或加入特定区域、国际组织，为国内相关产业的数据跨境流动提供法律依据。以澳大利亚为代表的中间派，通过创新跨境数据流动机制，结合立法变革和实践检测，以期在“三难选择”中找到平衡点。

澳大利亚数据安全框架围绕政府商业安全指令和全面保护安全政策两层治理构架，制定出具有推荐性意义的数据安全管理协议、五项具体规则和特殊数据的安全政策和流程(24)伦一.澳大利亚跨境数据流动实践及启示[J].信息安全与通信保密,2017,(5):31.。澳大利亚规制机制是主流规制路径和本国独有管理机制的结合，具体表现为以下几个特征：首先，规制法律专门化，将数据类型分为政府数据、个人数据和健康数据。澳大利亚一般不禁止个人数据的跨境流动，《1988年隐私法》(以下简称《隐私法》)要求APP实体，即澳大利亚隐私原则所规范的机构或个人应采取适当的措施，保证数据接受者未违反澳大利亚境内法律的规定。涉及一般数据中的敏感数据则禁止商业推广。对于个人健康数据，《个人控制的电子健康记录法》(PCEHR)第77章原则上禁止可识别的健康数据跨境流动，除非出现消费者数据必须跨境等情形。其次，承认外国相关制度的域外效力。《隐私法》规定，外国对数据跨境流动做出要求，不视为违反澳大利亚《隐私法》。最后，澳大利亚跨境数据流动规制机制与国际规则相协调。《隐私法》与“指令”和GDPR的目标以及部分规定兼容，都强调尊重并保障数据主体权利。因为是APEC成员，该法案也同APEC隐私规则亦步亦趋，但因未加入CBPR，故具体执行不受约束。此外，澳大利亚跨境数据流动体系与OECD《关于隐私保护和个人跨境数据指南》内在逻辑相一致，都通过数据开放与安全的价值理念解决“三难选择”之问题。

澳大利亚规制路径是在保护数据主体隐私权的基础上，调配经济利益的产物。精准的分类规则、成熟的法律构架以及与国际规则立法趋势相适配似乎得以实现良好的数据保护、跨境自由流动和数据自主权的平衡，但因过于兼顾，部分功能会因此而减损。例如数据类型划分的交叉所导致的专门法律间不相协调，监管机构配套不足，以及对健康数据过度敏感等。事实证明折中的解决方案针对性不强，限度也难以掌控。

以上四种规制路径是不同国家在数字经济迅猛发展的时代背景下做出的战略抉择。或因崇尚隐私保护而放弃数据流动带来的巨大经济收益，或以市场自治的规律为准则，适当调整数据保护的力度。以俄罗斯为代表的数据本地化举措与其说是对于美国监控行为的应激性反应，还不如说为传统的国家安全找到得以维系的支点，毕竟当下政治环境成为矛盾焦点。而折中型的澳大利亚规制路径似乎通过创新机制、仿效国际模式的形式使“三难选择”相融合。为了全球化的共同目标，上述路径出现融合，并由此演化成为不同的国际规制路径。

(三)国际规制路径类型列示

王利明教授指出：“不同国家之间的立法差异是导致跨境数据流动受到阻碍的主要原因。”(25)王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J].现代法学,2013,(4):62-72.而实现数据的自由流动或通过减少公权力介入，实现市场自治。或通过放弃市场来迎合欧盟严格的数据保护标准。但上述单一的规制路径对于互联网的发展并未奏效。从国际私法层面来看，解决民商事法律冲突无异于两种方法，即冲突法和统一实体法。一方面，数据监管意味着公法的治理，国家谈判步履维艰。另一方面，由于国内法制环境和文化的差异，在短期内达成国际共识又不具有可能性。尽管欧盟于2012年重新修订的“108公约”(26)新修订的“108公约”规范对象广泛，且规定保护标准，准入和执行机制更加灵活，包括问卷、面谈以及合规协助等方式。乌拉圭成为新“108公约”的第一个非欧洲国家。和于1979年成立的全球性DPA专业组织——国际数据保护与隐私专员大会(The International Data Protection and Privacy Commissioners’ Conference，IDPPCC)(27)IDPPCC 共有119 个DPA 成员，每年召开一次会议，其宗旨是在国际层面提供数据和隐私保护的领导力。试图在推动跨境数据的全球流动，进而建立统一的多边机制，但是并未取得实质性进展。通过签订双边协议、多边协议的国际规制路径则在国力较量中呈现出不同特征。

1.美国主导下的国际规制路径

于2004年通过的APEC隐私框架(APEC Privacy Framework)是亚太地区第一份有关跨境数据流动规制的立法文件。为了增强该框架的执行力，2012年由美国主导的《跨境隐私规则》(Cross Border Privacy Rules system)(以下简称“CBPR”)可谓美国自律模式的改良版本。该多边数据隐私保护计划的参与主体包括隐私执法机构(PEA)、隐私认证机构以及规制企业。具体运行机制为：隐私认证机构根据隐私框架的9大原则(28)包括避免伤害、通知、收集限制、个人信息的使用、选择性原则、个人信息的完整性、安全保障、查询及更正、问责制。和50条具体要求制定标准，规制企业可通过自评以及隐私认证机构的评估获得认证标志，之后可负责亚太各国的数据跨境传输及处理等业务。在监管层面，分为两种途径：第一种由隐私认证机构通过消费者投诉和常规例行检查跟踪规制企业的违规行为，以给予批评、取消认证标识和罚款等为惩戒手段。第二种则在第一种渠道救济不能的情况下，由隐私执法机构根据隐私执法安排，要求违规企业所在国的隐私执法机构来处理(29)〔36〕弓永钦,王健.APEC与欧盟个人数据跨境流动规则的研究[J].亚太经济,2015,(5):10-12.。此外，于2012年达成的《美韩自由贸易协定》(U.S.-South Korea Free Trade Agreement)和2015年签订的《跨太平洋战略经济伙伴关系协定》(TPP)同样带有强烈的美国色彩。这种以经济力量来决定规则走向的国际规制模式不但会在机制出现预警时无法解决，还无形中增设了加入的成本。

2.从“安全港”到“隐私盾”：欧美路径的第一次融合

由于欧美跨境数据规制方式的巨大差异，美国无法通过充分保护原则落入欧盟白名单的范畴。但紧密的贸易投资关系促使欧美经多次磋商，并于2000年11月1日达成《美欧安全港协议》(U.S.-EU Safe Harbor Framework)。该协议共包括7项隐私权保护规则(30)包括通知原则、选择原则、向前转移原则、安全原则、数据完全性原则、接入原则和执行原则。，美国企业需要加入该协议，并且承诺遵守上述规则，方可视同满足“指令”第25条第6项的充分性认定。这种通过以充分性保护原则嵌入组织机构的混合模式，暂时调和了欧美之间的矛盾。不过事后，一些学者对于此项协议的达成表示担忧：只要欧美之间隐私保护的立场存有根本性差异，这项解决方案不能长久(31)Julia M.Fromholz,The European Union Data Privacy Directive,Berkeley Technology Law Journal,Vol.15,2000,p.483.。2013年“棱镜门”事件的发生使美国变为众矢之的。双方于2014年1月重新开始谈判，以寻求应对之策。2015年，奥地利的一名法律系学生马克斯·施姆雷斯向爱尔兰信息监督部门提出申诉，爱尔兰当局援引《美欧安全港协议》驳斥了该申诉，后该学生召集其他数据主体提起集体诉讼，经欧洲法院判决：安全港协议对于侵犯欧洲公民数据隐私权的情形，只有解决商业纠纷的条款，并未规定其他救济机制，因此不符合“指令”的充分性保护标准；在权限规定上，协议限制了欧盟国家主管机关的监督权。2016年，欧美重启谈判工作，随后达成《欧美隐私盾协议》(EU-U.S. Privacy Shield Framework)。相较于安全港协议，后者将规制对象扩展至美国政府以及国家安全部门，救济机制则从简单的商业纠纷解决条款到企业申诉和强制性终局仲裁。此外，还增加了数据主体权利内容等(32)王顺清,刘超.欧美个人数据跨境转移政策变迁及对我国的启示[J].法学论坛,2017,(4):98.。

3.欧盟——APEC的双重认证：欧美路径的第二次融合

欧盟的“约束性公司规则(Binding Corporate Rules,BCR)”(33)BCR的规范对象是在欧洲经营的跨国公司，跨国公司在集团内部制定符合指令原则的约束性公司规则即可视为达到充分性保护标准。和美国主导下的APEC跨境隐私规则(CBPR)均是欧美两种传统规制模式的延伸性成果。与纯粹的欧美规制路径相比，两者在许多方面存在相似之处：(1)规制主体为国际企业，规制行为为数据流动行为；(2)企业自愿加入，且仅具有内部约束力，违背规则将会被数据保护机构予以制裁；(3)“指令”的6大规则(34)包括合法性、目的限制、透明度、比例性、安全和管理原则。与APEC的9大规则相比内容并无实质性差异；(4)均准确界定了数据保护的最低标准〔36〕。基于两大规则具备兼容的内在特质，自2012年9月，欧盟与APEC形成了一个联合工作小组，该小组通过比较两者的异同点，制定相应文本，以促进跨境数据在两个组织成员国之间的自由流动。2014年1月，APEC-EU工作委员会联合制定了“BCR规则体系和CBPR规则体系共同参考”(以下简称“参考”)(35)PEC,Electronic Commerce Steering Group,https://www.apec.org/Groups/Committee-on-Trade-and-Investment/Electronic-Commerce-Steering-Group, last visited on 9 May,2019.，参考不仅重申了两者的规则体系，还另外指出需要满足一些共同标准和认证要求。此外，该文件对于同时申请两个机构的企业具有强制约束力。为了进一步推动参考的可操作性，自2015年8月，APEC-EU工作委员会与利益相关者就制定联合申请表交换了意见和建议，以实现长期合作的计划。目前，工作小组正在起草该份申请表。

欧美两次路径的融合构成了双边协议和多边协议的正式范本，为跨境数据流动的规制方式提供了新的逻辑行为路径。此外，欧美分别自2013年3月和2013年6月开始谈判的《服务贸易协议》(TISA)和《跨大西洋贸易与投资合作伙伴关系协议》(TTIP)由于数据保护水平存在巨大分歧而遭遇瓶颈。

通过上述国家规制路径与国际规制路径的详细阐释，笔者认为就目前跨境数据流动的规制路径而言，全球形成如下构架体系：

四、中国跨境数据流动规制的法律现状和路径抉择

跨境数据流动规制作为中国互联网迅猛发展背景下探讨的议题，已经反映在中国近来颁布的立法文件中。一方面，经济全球化的时代趋势促使许多国家和地区进行数据交换。而中国作为世界第二大经济体，对于数据交换的需求显著增长。据阿里研究院统计：中国跨境电商交易规模在2015年达到4.8亿元，预计到2020年达到12亿元，占中国进出口总额的37.6%(37)曹杰,王晶.跨境数据流动规则分析——以欧美隐私盾协议为视角[J].国际经贸探索,2017,(4):114.。另一方面，技术革新给隐私和数据安全带来了前所未有的威胁。而中国相关领域的立法空白无法规制跨境数据流动这一行为，具体的政策边界也并不明确。在上述背景下，中国既需认清国内和国际经济形势和立法现状，又需制定出相应对策以应对跨境数据流动中的问题。

(一)法律现状

首先，对于个人数据权利定位不清，规制对象属性不明。法学界或基于个人数据因带有人身属性的信息而归于隐私权或人格权范畴，或因法律赋予数据主体知情权、控制权、处理权而附有财产权的色彩，因此对于个人数据的权利属性并未达成一致共识。在互联网时代，个人数据权利保护对象和保护方式发生改变。前者的范围扩展至进行挖掘和处理后的个人信息。后者则从传统的消极保护变为在优先确保数据自由流动的前提下实现数据的全方位保护。个人数据权利兼具人身权和财产权属性，全球进入了“后隐私权”变革时代(38)刘泽刚.欧盟个人数据保护的“后隐私权”变革[J].华东政法大学学报,2018,(4):54.。

其次，立法过于分散化，缺乏体系性。我国现有个人数据保护通过统筹性法律和行业规定(39)统筹性法律有：《网络安全法》《关键信息基础设施安全保护条例(征求意见)》等，行业规定包括《征信业管理条例》《人口健康信息管理办法(试行)》等。进行规制。据统计，我国现有涉及个人数据保护的法律法规近70部，法律解释10条以及部门规章近200部(40)代表委员呼吁个人信息保护单独立法[J].时代金融,2013,(10):49.。其中，规制跨境数据流动的少之甚少。2013年工信部颁布的《信息安全技术公共及商用服务信息系统个人信息保护指南》首次制定了跨境数据流动的相关规定。2016年通过的《网络安全法》第37条模糊界定了数据评估的机构和数据本地存储的要求。上述立法规范基本是原则性的规定，对于数据主体权利的内容、规制方式以及救济途径缺失，且试图通过部门法以偏概全。这种分散化、抽象的立法模式无法为跨境数据流动的快速发展提供法律依据。

最后，跨境数据流动监管方式和数据保护分类形式单一。基于大政府的立法传统，跨境数据流动的监管基本由政府主导，由此弱化了企业的监管职责。政府监管负担过重，从而抑制了市场的运行效率。此外，数据保护种类宽泛，立法未进行数据的有效识别，保护水平的一视同仁忽略了数据间的属性差异。

综上，中国跨境数据流动规制因立法较晚，在立法模式、立法体系、立法价值导向、立法具体规则、立法执行机制和救济机制层面过于原则，无法为跨境企业提供合法合理的预期，以调整跨境交易行为。数据保护和数据自由的衡平处于初级阶段。

(二)路径抉择

鉴于全球主要形成了美、欧、俄、澳四大国内路径，以及美国主导和欧美立法范式融合的国际路径。中国在立法体系不完善的背景下，理应结合中国实际情况和国际跨境数据流动的发展趋势，做出正确的路径抉择。据此，笔者提出如下建议：

1.坚持维护数据自主权，协调好数据安全与产业利益的关系

中国作为大数据时代下的后起之秀，在产业利益带动国民经济增长并逐渐影响市场类型的基础上，应同时注重消费者的合法权益，以及数据泄露可能引发的国家危机。数据自主权的公权属性促使欧美为首的数据大国严格把控。在全球数据竞争中，中国也应完善数据监管机制，牢牢把握自主权。因为“每个国家都拥有信息自主权，不能因为经济政治水平差异而施以双重标准，且任何国家均不得干涉他国的信息自主权”(41)祝高峰.大数据时代国家信息主权的确立及其立法建议[J].江西社会科学,2016,(7):191.。此外，应建立数据共享机制，转变数据主权的防守路径，以保证数据流动的畅通性、透明性以及可操作性。

2.加快统一数据保护立法，建立分类和评估机制

中国跨境数据立法处于初期阶段，各项机制阙如，跨境数据流动规制基本分散于各个部门法中，且以较为含糊的言辞表述。笔者认为：首先，基于跨境数据的双重属性，应由全国人大常委会制定一部综合性的《个人数据保护法》，不仅能够提高数据保护权的立法位阶，还为部门法嵌入该新型权利提供规则指引。目前，据中国人大网于2018年9月10日公布的《十三届全国人大常委会立法规划》，《个人信息保护法》已被列为第一类项目的第61个。面对数据经济发展的热潮和新近欧盟生效的最严格GDPR，立法进度刻不容缓。其次，在内容上，对于不同的数据采取不同的管理模式，涉及国家秘密、国家安全的数据，根据GATS第14条隐私例外和国家安全例外条款，将该数据留存于中国境内。对于普通的个人数据，则再详细划分为一般数据和敏感数据。后者原则上禁止，只有满足严格的评估条件或在数据主体同意的基础上方可豁免，从而能强化对个人一般信息的利用和个人敏感信息的保护(42)张新宝.我国个人信息保护法立法主要矛盾研讨[J].吉林大学社会科学学报,2018,(5):46-47.。最后，在评估机制上，从《个人信息和重要数据出境安全评估办法(征求意见稿)》的相关规定来看，基本上采用以组织机构为基准，以问责为原则的美国式规制路径。将责任主体归置于网络运营者(43)第12条：网络运营者应根据业务发展和网络运营情况，每年对数据出境至少进行一次安全评估，及时将评估情况报行业主管或监管部门。当数据接收方出现变更，数据出境目的、范围、数量、类型等发生较大变化，数据接收方或出境数据发生重大安全事件时，应及时重新进行安全评估。，由行业主管或监管部门进行最终评定(44)第5条：国家网信部门统筹协调数据出境安全评估工作，指导行业主管或监管部门组织开展数据出境安全评估。第6条：行业主管或监管部门负责本行业数据出境安全评估工作，定期组织开展本行业数据出境安全检查。。前者的顺利进行有赖于行业自律体系的构建，而后者的机构设定容易导致实践中监管缺位。一则机构的多功能监管往往容易顾此失彼，专业能力有待考察；二则建立专门的数据保护机构(DPA)已成为世界潮流，对于中国加入国际或区域组织，抑或签订自由贸易协议都是大有裨益的。

3.加强国际合作，建立符合中国国情的规制路径

在互联、协作、开放、共享的时代主题下，加强全球化合作成为拓宽本国经济渠道、促进国际交流的重要方式。以欧美为首的国家以积极主动的姿态制定跨境数据流动规制规则，通过双边、多边协议构建属于自己的话语权。但是目前全球尚未形成统一的国际规则与条约规范。对于中国来说，只有在立法理念确定、国内立法相对完善、执行机制专门化的前提下，具备防御能力后，国际合作的开展才能有效进行。具体路径建构分为两个层面：第一个层面是迂回路径：首先，通过建立数据保护机构，加入CBPR体系，在亚太地区开展跨境数字产品贸易和服务。截至2018年，韩国已经成为继美国、日本、墨西哥和加拿大后，第五个加入CBPR体系的国家(45)http://www.apec.org/Press/News-Releases/2017/0627_Privacy,last visited on 9 May, 2019.。因中国是APEC的成员国，该路径也最有可能实现。并且，我国已同韩国签订了FTA，而中日韩FTA，中美BIT均在谈判，中国—加拿大FTA正在研究中(46)商务部中国自由贸易区服务网，http://fta.mofcom.gov.cn/,最后访问日期：2019年5月9日。。故该路径也有实施的必要性。此外，因目前欧盟与APEC就跨境数据流动进行双重认证，该路径也可能打通中国与欧盟的传输渠道。其次，2018年5月28日生效的GDPR，增设了跨境数据流动的合法机制。在充分性条件难以满足的情况下，中国可通过制定有约束的公司规则(BCR)、标准合同条款(SCC)(47)其为欧盟委员会通过的3个标准合同条款，GDPR增加了数据监管机构可以指定标准合同条款的渠道，但是须经欧盟委员会认可。、经批准的行为规则(48)详细行为规则由数据控制者成立的协会制定，但是需要经数据监管机构或欧盟保护委员会通过。和认证机制等形式来实现，因为毕竟有着5亿人的欧洲市场。最后，随着中国企业隐私数据保护的提高，可予以仿效“安全港”“隐私盾”模式，与欧盟等重要经济发展体洽签合作协议。在具备一定的国际影响后，可实施第二层面的主导路径。中国可利用亚洲基础设施开发银行、金砖国家、博鳌论坛、“一带一路”等由中国主导的国际平台，制定区域性数据跨境流动合作机制，为统一性跨境规则的制定提供新的思路。

综上，中国路径的抉择应该以实现“三难选择”的动态平衡为指导原则，通过统一国内数据保护立法，建立执行机制，为国际双层路径的建构提供动力。据此，笔者认为中国跨境数据流动规制路径如下图所示：

图3 中国路径抉择模型(资料来源：作者自制)