●周云涛 李佳星

（作者单位：中央编办）

习近平总书记指出，数字经济正在成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量，发展数字经济是把握新一轮科技革命和产业变革新机遇的战略选择。过去十几年间，全球数字经济呈指数级增长，相关制度规则成为世界主要经济体争夺新型贸易主导权的重要选择。美国、欧盟都在积极参与新一轮数字经济的国际规则竞争，形成各有特点的法律制度体系和政府机构职能体系。本文通过梳理和比较欧美数据法律制度及机构职能情况，为我国完善相关领域制度提供参考。

一、欧盟的数据法律制度和机构职能设置

（一）欧盟的数据法律制度

由于历史、文化、制度等方面原因，欧盟比其他地区更加重视个人数据和隐私保护。1981年和1995年，欧盟（及其前身欧共体）先后出台了《关于自动化处理的个人信息保护公约》（以下简称《公约》）和《关于个人信息处理保护及个人信息自由传输的指令》（以下简称《指令》），对个人信息概念、保护原则和跨国传输等作了初步规定，并设置了专门的个人信息保护研究机构和行政机构。但由于是否加入《公约》以及如何实施《公约》取决于各成员国的自由选择，且各国在转化《指令》时拥有较大的自由选择权，欧盟各国个人信息保护仍呈现参差不齐的局面。为解决立法不统一、执法分散、成本高昂等问题，更好地服务数字经济发展，在各国立法基础上，欧盟逐步形成以《通用数据保护条例》（GDPR）和《非个人数据自由流动条例》（RFFND）为主体的统一数据法律制度体系。

2016年通过的GDPR以“条例”形式直接适用于各成员国，较为彻底地解决了成员国法律制度差异问题。GDPR加强了对个人数据的保护，一是明确了“个人数据”的定义；二是加大了政府对欧盟境内个人数据权利的保护力度，明确政府保护个人对数据的知情权、数据访问权、反对权等诸多权利的责任，对违法行为从严处罚；三是扩大政府保护数据的管辖范围，确立了“属地管辖+属人管辖+保护性管辖”的原则；四是规范数据跨境流动，明确“充分保护”的原则，列举了满足“充分保护”的具体情形。

2018年欧盟出台的RFFND与GDPR互相呼应、协调适用，为非个人数据的存储和利用确定了统一的自由流通规则。其内容主要包括三方面：一是界定非个人数据为GDPR规定的个人数据以外的数据；二是确保非个人数据自由流动，在处理公共部门数据的特定情况下，成员国须向欧盟通报数据本地化限制措施；三是鼓励在欧盟层面建立数据服务提供商数据转移行为准则，在便利用户变更数据存储的同时，不对数据服务提供商造成过大负担。

当前，欧盟还在继续推进数字领域的相关立法。欧盟已就《数字市场法案》（DMA）和《数字服务法案》（DSA）达成一致，将加强政府对商业数据主体的监管。前者侧重于遏制大型网络平台的恶性竞争行为，构建公平开放的数字市场；而后者则致力于构建安全、可预测和可信任的网络环境，进一步加强政府对消费者权利的保护。

但同时，欧盟数据规则也面临一些质疑，如对个人数据的严格保护造成一定的效率损失；企业面临较高的数据合规成本；扩张的个人数据权利面临与知情权、言论自由等基本权利的冲突；强化政府监管带来较高执法成本等。

（二）欧盟的数据保护机构及职能

与数据统一化立法的推进相适应，欧盟数据保护机构也逐渐走向统一化和专门化。在欧盟层面，由欧洲数据保护委员会和欧洲数据保护监管局统筹行使数据监管权；在成员国层面，也设立了专门的数据监管机构，共同构成了欧盟的数据保护机构体系。

1.欧洲数据保护委员会（EDPB）

1995年颁布的《指令》设置了专门的个人信息保护研究机构和行政机构，包括第29条工作组，负责持续跟踪研究和报告欧盟个人信息保护状况。GDPR以第29条工作组为基础，于2018年设立EDPB作为欧盟层面的数据保护机构，主要职责是保证欧盟数据保护规则统一适用，促进各成员国监管机构合作。EDPB由各成员国数据监管机构的代表及欧洲数据监管局的数据保护监管员组成，承担为GDPR的关键概念作出解释、就与个人数据保护和欧盟新立法提案相关的问题向欧盟委员会提供建议、发布相关指引和建议，并在成员国监管机构之间发生争端时作出裁定等具体职责。

2.欧洲数据监管局（EDPS）

EDPS设立于2001年，主要职责是对欧盟内部机构在日常工作中的个人数据使用合规情况进行监管，是对政府行政行为而非企业商业行为的监管。具体而言，EDPS负责监测及管理欧盟组织机构处理个人数据的情况，就影响隐私的政策和立法提供咨询，并与各相关机构密切合作以保持数据监管的一致性。EDPS的设立有助于欧盟提升自身对个人数据收集、处理的合法性和透明度，为组织机构实施良好公共行为提供指导；同时也提升了个人信息立法的科学性。下设的业务部门主要包括监督与实施部门、政策与咨询部门、IT政策部门及信息与交流部门等。

3.专门的数据监管机构

各成员国的数据监管机构滥觞于《指令》，旨在对国内数据控制者的数据处理活动进行监督。GDPR进一步对设立数据监管机构作出强制性规定，各成员国可设置一个或多个数据监管机构，要求该机构“保持完全的独立性”，不受任何外部影响。数据监管机构的主要任务是在本国范围内监控和执行GDPR，监控信息和通信技术、商业实践等相关领域发展对个人数据保护产生影响的情况，制定认证标准或行业规范，处理数据主体向数据监管机构的申诉（包括对数据处理主体进行处罚）等。同时，数据监管机构也承担RFFND项下协助成员国政府机构调取数据的职责。

4.数据保护官

为保证企业有效实施法规，GDPR还要求大型企业（雇员250人以上）必须设立数据保护官。这一岗位并非虚职，在企业数据违法情况下，数据保护官将被追究法律责任。

欧盟的数据保护机构体系层级清晰、分工明确，EDPB主要承担整体的制度建设和协调职能，EDPS和各成员国内的专门数据监管机构分别对欧盟组织内部和成员国内的数据行为进行监管，数据保护官则承担商业企业内部的数据监管职责，各方职责环环相扣，在提升数据监管权力运行效率、加强个人数据保护和数据合规利用等方面取得了明显成效，鲜明地体现了保护个人数据权利的价值取向。但同时，也不可避免地遇到一些问题，比如：严格的监管体系和过低的投诉门槛造成监管机构不堪重负，反过来影响了监管效果；层层监管和过高的数据保护标准，也在一定程度上影响了数据产业发展，欧盟境内少有极高市值的互联网企业，与此可能不无关系。

二、美国的数据法律制度和机构职能

（一）美国的数据法律制度

与欧盟不同，美国从产业利益出发，对数据持积极利用态度，数据保护法律体系呈现以市场为主导、立法为补充的特点，没有形成全面系统的数据保护法，而是呈现出分散于不同层级、不同区域、不同行业的复杂法律拼凑体。

联邦层面，美国1974年通过《隐私法》，重点规范政府机构收集、使用个人信息的行为，对保护个人隐私发挥了重要作用。对企业收集、使用个人信息的行为，则采取分行业的分散立法模式，在电信、金融、健康、教育以及儿童在线隐私等领域分别出台了专门法律。州层面，各州制定了数百个隐私和数据安全法规，涉及数据保护、数据处理、隐私政策、社会安全号码使用、数据泄露通知等多个领域，对个人数据的界定也标准不一。

美国数据法律制度中，最有代表性的是加利福尼亚州的相关制度。加州一直处于数据隐私保护前沿，已有超过25项州隐私和数据安全法。2018年通过的《加州消费者隐私权法案》（CCPA），借鉴欧盟GDPR，采取了在州层面统一数据立法的新尝试，加强了政府对消费者数据权利的保护，规定了消费者享有的若干新权利。2020年，加州在CCPA的基础上提出《加州隐私权与执法法案》（CPRA），进一步扩张了受政府管理的企业范围，扩大了消费者隐私权的范畴，规定了更严格的数据保护措施。

在制度的域外适用方面，美国2018年通过《澄清域外合法使用数据法》（CLOUD 法案），以解决政府获取境外数据以及外国政府获取境内数据的问题。CLOUD法案采用“数据控制者标准”，明确“无论通信、记录或其他信息是否存储在美国境内，服务提供者应按照本章规定要求保存、备份、披露通信内容、记录或其他信息，只要上述通信内容、记录或其他信息为该服务提供者所拥有、监管或控制。”CLOUD法案同时对“适格外国政府”获取美国境内数据进行严格限制，要被认定为“适格”，外国政府须与美国政府签署专门行政协议，并经司法部部长认定和国会批准。

（二）美国的数据保护机构及职能

美国采取分散型立法的方式，联邦层面与州层面、州与州之间差异较大，且数据监管更多服务于产业发展，因此未设置统一的数据监管机构，执法权分散于不同行业领域。

1.美国数据保护机构设置现状

美国以不同的法律授权不同的机构行使数据保护职责。其中，联邦贸易委员会（FTC）承担了较多任务。FTC依据《数据保护法案》负责联邦层面个人信息保护规则的制定，并根据各行业法律法规授权，对大部分商业实体进行监管，保护消费者免受不公平或欺诈性的贸易对待，包括不公平的隐私和数据安全做法，在事实上承担了综合性、跨越行业的个人隐私保护执法机构职责。

除FTC外，其他行业机构如联邦通信委员会、卫生与公众服务部、联邦银行监管机构等，依法行使各自领域内数据保护的执法权。

值得注意的是，2022年4月，美国在联邦层面成立了网络空间和数字政策局（CDP），重点关注国家网络安全、信息经济发展和数字技术三大领域。CDP设置的外交意义大于个人信息保护或产业促进的意义。

同时，行业自律也是美国数据管理体系的重要补充，主要分为两大类：一是倡议性隐私保护自律组织，主要研究制定隐私保护指引，倡议成员实行隐私自律，典型代表是网络隐私联盟（OPA）；二是网络隐私认证计划，个人隐私保护认证组织对符合标准的企业颁发隐私认证证书，监督企业实施隐私自律守则，处理个人网络隐私问题纠纷，典型代表是电子信任组织（TRUSTe）。行业自律可以避免完全市场自由调控造成的无序，也能防止政府仓促立法带来的法律滞后风险，但也面临企业参与积极性不高、自律机制缺乏有效监督、宽松管制削弱个人隐私保护等问题，需要与政府监管有机衔接、协调配合。

2.建立专门数据机构的尝试

随着国内数据产业发展，以及欧盟在专门数据机构监管方面取得的成效，美国国内也出现了统一数据立法和建立专门数据监管机构的呼声。2020年，纽约州参议员Kirsten Gillibrand提议设立“专门的联邦数据保护局”（DPA）作为独立机构，受让FTC的部分权力，负责为其他联邦部门和机构“提供领导和协调”，包括执行联邦隐私和数据保护法律，制定有关隐私、数据保护和公平信息实践的标准模板和指南，检查和监管高风险数据行为等。州层面，加州2020年出台CPRA，拟设立独立的数据隐私机构“加州隐私保护局”，在2023年CPRA生效后替代原加州总检察长办公室相关职责，负责统一执行CCPA和CPRA。

设立统一的专门数据监管机构综合性行使监管权力是美国数据企业乐见其成的方向。在各州立法参差不齐的情况下，统一规则有利于减少监管环境差异性，降低企业合规成本，减少业务损失。但目前各州情况不一，两党纷争不断，再加上新冠肺炎疫情的影响，相关立法进程比较缓慢，加州隐私保护局的工作成效也有待实践检验，统一机构的建立仍然长路漫漫。

三、欧美数据管理机构设置与职能分析比较

总的看，欧盟和美国受制于各自的历史、文化、经济发展及政治现实，在立法价值取向、政府机构定位、履职重点、执法保障和数据跨境管理等方面各有特点；但同时，随着数字经济的发展，欧美也在相互借鉴，尽力消弭在数据管理中的根本性分歧。

就二者差异而言，一是从政府的职能定位看，欧盟持政府应当承担数据保护义务的立场，强调政府对个人数据承担的保障义务和监管权力；而美国深受自由主义理念影响，对政府干预市场主体和个人数据权利更加保守和谨慎，以双方契约自治和行业自律作为规范和保护个人数据的主要手段。

二是从政府履职的重点和路径看，尽管欧美的相关立法及机构都致力于实现国家数据主权、数据产业利益和个人数据权利三者的平衡和最优，但欧盟主要侧重保护个人数据权利，通过加强个人数据保护立法、强化个人数据权利保护来达到保护国家数据主权和发展数据产业的目标；而美国更侧重保护相关产业利益，主要通过企业内在激励、市场自律机制来解决个人数据保护问题。

三是从机构的设置模式看，与统一的数据立法相对应，欧盟形成了较为完整和全面的政府数据管理体系：在行政体系中，以EDPB为核心，EDPS及各国的专门数据监管机构分别在欧盟内部和各成员国境内作为数据管理与权利保护的补充和延伸，各机构职责虽各有侧重，但都呈现出明显的综合性；在行政系统之外，GDPR还强制要求大型企业设置数据保护官，在更微观的层面落实数据合规要求。而美国由FTC和其他不同的机构分散行使数据监管职责，呈现联邦和州并行管理、行业自律作为重要补充的格局。

四是从跨境数据流动的管理职能看，欧盟数据管理机构以地理区域为基准，依据“充分性”原则进行事前防范，对内部和外部的数据流动采用差异化标准，允许个人数据在欧盟境内自由流动，禁止个人数据转移到欧盟以外的地理区域，除非欧盟以外国家通过事前评估提供“充分”的数据保护。美国更加鼓励数据跨境流动，但以组织机构为基准，要求数据控制者确保跨境传输的数据安全，并进行事后问责。

五是从数据的域外管理职能看，欧盟和美国也存在明显的差异，并引发在数据国际合作与交流中的冲突。例如，美国CLOUD法案与欧盟GDPR的个人信息保护法律体系存在域外适用冲突，以数据司法为例，依据前者，美国法院有权向美国执法机关签发搜查令，强制美国企业提交存储于境外的用户数据，但根据GDPR第48条，除非依据国际协议，欧盟之外法院作出的命令无法在欧盟境内适用。

就发展趋势而言，欧美在数据制度规则和监管方面正呈现出融合的发展趋势。一方面，欧美在数据规则上相互借鉴、取长补短，有逐步走向融合的发展趋势。例如，欧盟正在改变刚性的权利保护规则，GDPR借鉴美国做法，规定监管者在作出处罚时要充分考虑“场景”“风险”等要素；更加重视促进数据有效利用，2020年通过的《数据治理法》和正在研究制定的《数据法案》，致力于解决政府与企业、企业与企业间的数据共享问题，进一步塑造公平且开放的数字经济环境。崇尚市场自治的美国也开始转向，更加重视个人数据权利保护，借鉴欧盟做法，采取更多法律措施加强数据隐私保护。美国的互联网企业深受欧盟数据保护规则影响，基本按照GDPR的要求制定隐私企业标准。加州的CCPA和CPRA效仿GDPR，规定了一系列个人数据权利，强化政府监管要求。另一方面，欧美也在寻求通过国际谈判和合作增强彼此数据规则和管理体系的兼容性。例如，美国在与欧盟进行的“安全港”“隐私盾”等跨境数据谈判以及CCPA等最新立法中，扩大了个人数据保护范围；欧盟委员会为应对CLOUD法案带来的域外适用冲突问题，2018年推出了欧盟电子证据规章草案，容许成员国司法部门强制要求境内服务提供者快速提交或保存特定数据，并就电子物证跨境传输的司法协助问题与美国进行协商。2022年3月，欧盟委员会和美国就跨大西洋数据隐私框架达成一致，在推动数据跨境流动协同性上取得重大突破。