美欧跨境数据流动规则演变及启示

随着大数据、云计算、区块链、人工智能等新一代信息通信技术快速融合发展，全球数字化进程不断深化，人类加速进入数字经济时代。作为连接全球经济的纽带，跨境数据流动虽然为全球化带来了新动能，但是也引发了国家安全、数据主权、隐私保护、数据监管等一系列问题。美欧作为全球两大主要数字经济体，围绕跨境数据流动规则的主导权发生了多轮博弈。从 2000 年的《安全港协议》到 2016 年的《隐私盾协议》，再到 2023 年的《欧美数据隐私框架协议》，美欧跨境数据流动政策不断迭代更新，促成了双方关于企业责任、政府约束、事后救济等机制的不断完善。本文通过梳理美欧跨大西洋数据流动规则的演变过程，重点分析了《欧美数据隐私框架协议》的主要内容与特点，探究双方在数据治理上的核心关切和主要矛盾，并提出完善我国跨境数据治理的思路。

美欧一直宣称，跨大西洋的数据流动量超过全球任何其他地区间的数据流，牵动着价值7.1 万亿美元的跨大西洋经济关系。因此，跨境数据流动规则成为影响美欧关系的重要因素，历经 20 余年仍处于不断调整中。

1.1　2000 年至 2015 年：《安全港协议》的自我管理

美欧跨境数据治理的第一次尝试是 2000 年11 月正式出台的《安全港协议》（Safe Harbor）。该协议以欧盟 1995 年《数据保护指令》（Data Protection Directive，DPD）设定的“充分性认定”原则为基础，再次强调数据传输第三国的数据保护水平必须与欧盟保护水平达到实质等同。该协议设定了知情、选择、转移、安全、数据完整、访问、执行 7 项隐私保护原则，有力调节了当时美欧之间的数据保护差异。美国共 4 500 家企业参与了《安全港协议》，相关企业只需要每年向美国商务部提交一封自证信，承诺将会遵守协议所规定的原则，就可以自由地接收从欧盟方面传来的任何个人数据。美国联邦贸易委员 会（Federal Trade Commission，FTC） 负 责 审查企业的违规行为，具体包括核查、纠纷解决和补救措施三部分，若企业持续违规则被吊销进入“安全港”的身份。

《安全港协议》确保美欧跨境数据自由流通十年有余，直至 2013 年的斯诺登事件爆发，该事件披露了所有传输至美国的数据都可以在当事人或企业毫不知情的情况下，被美国政府下属情报机构在电信运营商的配合下进行监听获取。对此，欧盟官员提出审查《安全港协议》，并展开了与美方的谈判，聚焦在提升透明度、确保救济措施、强化执法以及限制美国情报机构获取数据四大优先性举措。其中《安全港协议》中的“国家安全例外”特殊条款规定与欧盟要求限制对《安全港协议》数据的访问之间的矛盾成为谈判焦点 。2013 年，奥地利律师马克斯·施雷姆斯（Max Schrems）一纸诉讼将美国脸书公司告上法庭（即 Schrems I 案），希望禁止脸书在《安全港协议》下将其个人数据转移到美国的行为。该案于 2014 年被移至欧盟最高法院，欧洲法院（Court of Justice of the European Union，CJEU）于 2015 年 10 月做出判决，提出3 个问题：一是加入《安全港协议》的企业隐私政策不透明；二是美国商务部没有对协议认证的有效性进行跟进；三是缺乏对欧盟公民的补救举措。欧盟委员会同时表示，在采用《安全港协议》时，无法预见情报机构在商业交易背景下大规模访问运输到美国的数据，所以宣布该协议无效。

1.2　2016 年至 2020 年：《隐私盾协议》的监管加码

《 安 全 港 协 议》 被 判 无 效 之 后， 为 维 持美欧企业与机构间日常的跨境数据流动，欧盟与美国政府着手制定新的数据传输隐私保护框架，并于 2016 年通过《隐私盾协议》（Privacy Shield）。《隐私盾协议》基本沿袭了《安全港协议》的主要内容，细化了七项隐私保护原则，并额外增加了关于敏感数据、次要责任、数据保护机构的作用、人力资源数据、制药和医疗产品以及公开可用数据的规定。相较于《安全港协议》，《隐私盾协议》还附带了美国国家安全机构的承诺，并回应了欧洲法院提出的问题，主要体现在：一是强化承诺，意图引入欧盟个人数据的美国企业需要公开承诺履行关于个人数据处理的原则以及保护欧盟数据主体权利，这包括细化的通知义务、数据留存限制、受限的访问权、更严格的转移条件和责任制度等。二是严格执法，美国商务部必须监管 FTC对于《隐私盾协议》的执法，对于未遵守规定的企业实行严格的惩罚或者限制其使用该协议。三是明确保障措施和透明度义务。根据美国司法部和国家情报总监办公室书面承诺，美国政府对欧盟个人数据的访问将受到明确的限制和监督机制的约束。双方将针对国家安全准入问题进行每年一次的联合审查，以定期监测该制度的运作情况。四是提供更多的救济途径，包括向企业投诉，公司将有 45 天的时间来解决投诉；向本国数据保护机构申诉，后者可将未解决的投诉提交至美国联邦贸易委员会；在联邦贸易委员会不受理的情况下，将向索赔人提供一个免费的替代性争端解决机制。针对有关国家情报机构可能进入的投诉，美国国务院将设立一名新的特别监察员，进行独立于情报系统的审查。

欧盟数据保护机构第 29 条工作组承认《隐私盾协议》取得“重大改进”，并指出《安全港协议》的许多缺陷已被解决。但是工作组仍然对《隐私盾协议》的国家安全条款以及细则表达了担忧 ，包括：一是当收集个人数据的目的不存在时，机构没有明确规定删除该数据的义务；二是数据向第三国转移的保护措施不足；三是过于复杂的救济机制；四是限制美国官员访问数据的保障举措不够；五是协议与 2016 年4 月正式生效的《通用数据保护条例》（General Data Protection Regulation，GDPR）是否具有一致性。

除《安全港协议》外，欧盟还认可“标准合同条款”（Standard Contractual Clauses，SCCs）和“约束性公司规则”（Binding Corporate Rules，BCRs）等机制，这也是《安全港协议》失效后欧美之间主要的数据传输机制。2015 年底施雷姆斯再次向爱尔兰数据保护委员会提出申诉，要求暂停脸书使用 SCCs 跨境传输数据。在审理期间，爱尔兰高等法院对《隐私盾协议》的有效性提出疑问并提交给欧洲法院。欧洲法院认为《隐私盾协议》所提出的情报系统内控机制是一种并不独立于行政系统内部的事后保护，并不足以保护欧盟公民的个人信息，所谓的监察专员制度也并不能为欧盟公民提供可通过诉讼保护的权利 ，因此在 2020 年宣布该协议无效。

1.3　2022 年至今：《欧美数据隐私框架协议》

再续前缘《隐私盾协议》失效后，美欧双方再次经历长达两年的漫长谈判，最终在美方妥协下达成一致。

第一阶段是美国政府主动让步表态。双方于 2022 年 3 月就“跨大西洋数据流动隐私框架”在原则上达成共识。为了将原则性协议落实到美国法律中，2022 年 10 月，美国总统拜登签署《关于加强美国信号情报活动保障措施的行政令》（第 14086 号行政令），将美国情报部门对欧盟公民数据的访问限制在保护国家安全所“必要且相称”的范围内。

第二阶段是欧盟的迅速跟进回应。2022 年12 月，欧盟委员会正式发布《关于欧美数据流动隐私框架的充分性决定草案》，并转交给欧洲数据保护委员会征求意见。2023 年 2 月，欧洲数据保护委员会（European Data Protection Board，EDPB）发布对充分性草案的评估结果，对该框架表示基本认可。

第三阶段是美欧双方的二次握手表态确认。2023 年 7 月，美国国家情报总监办公室发表声明，美国情报部门已根据“第 14086 号行政令”对情报活动采取了相应的管理措施。美国商务部也发布实施声明，强调美国已履行实施该框架协议的承诺。随后，欧盟委员会于 2023 年7 月 10 日全面通过《欧美数据隐私框架协议》的充分性决议 。2023 年 7 月 17 日，美国商务部推出数据流动隐私框架计划网站，公开了美国商务部制定的《欧美数据隐私框架协议》，供符合条件的美国公司作为参考，进行自我认证并加入框架，美欧之间的数据自由传输终于得到恢复。

《欧美数据隐私框架协议》是继《安全港协议》《隐私盾协议》之后，美欧再次尝试建立稳定的跨大西洋数据流动制度安排。

2.1　主要内容

《欧美数据隐私框架协议》主要回应了之前两版协议中未解决的关键问题 。一是限制美情报机构活动。欧盟之前批评美国情报机构执法时违反“必要且相称”原则，存在过度执法现象。基于此，该协议将“必要且相称”原则设定为主要规定，将美国情报机构对数据的访问限制在保护国家安全所必需的范围内，规定美国情报机构需要在信息解密时告知被监控的个人；美国国家情报总监办公室应当以实现目的为限进行情报传递；参照法律存留有关情报信息，不能因国籍而区别存留；保证数据的准确性、安全性以及可访问性。

二 是 完 善 个 人 救 济 途 径。针 对 欧 盟 此 前诟病跨境数据传输协议缺乏救济措施的问题，此次协议最为显著的改变就是针对欧盟公民建立了双层救济机制。第一层，美国情报部门将设立“公民自由保护官”（Civil Liberties Protection Officer，CLPO），负责对投诉进行初步调查。外国公民可向 CLPO 对美国情报部门提起诉讼。第二层，建立美国数据保护审查法院（Data Protection Review Court，DPRC）。DPRC法官由非美国政府官员组成，不受美国司法部的监督。若申诉人不接受 CLPO 审查的结果，可以就 CLPO 的决定向 DPRC 提起上诉。DPRC 将有权进行调查，从情报机构获得相关信息，审查 CLPO 所判定违规行为的决定在法律上是否正确、是否有实质性证据支持，并做出具有约束力的救济决定。在 DPRC 的审查过程中，一名隶属于司法部、具有国家安全情报权限的特别律师（Special Advocate）将代表申诉人的利益在DPRC 庭前表达意见。但特别律师与申诉人之间不存在律师和当事人关系，也不得在与申诉人交流时泄露国家安全信息。

三 是 强 化 审 查 和 监 督 机 制。根 据 协 议，美国独立监察机构隐私和公民自由监督委员会（Privacy and Civil Liberties Oversight Board，PCLOB）将对 CLPO 和 DPRC 进行年度审查，以判断其是否能够及时对符合条件的诉讼进行审查，以及运行机制是否合乎规范。

2.2　前景展望

《欧美数据隐私框架协议》在一定程度上厘清了欧美间国家安全与个人隐私保护之间的边界，有效促进了双方数据保护制度的融合，使跨大西洋数据流动得以全面恢复，其经济影响、地缘影响也正在逐渐显现。

在经济影响方面，跨大西洋数据流动影响着从制造业、运输业到金融和互联网服务的美欧经济体系，其中 70% 是中小型企业。与大公司相比，跨大西洋数据流动受限对于中小企业来说影响更大，因为中小企业缺乏相应的资源来满足复杂的法律要求。对此，《欧美数据隐私框架协议》允许通过认证后的企业将个人数据从欧盟转移到美国，暂时满足了美欧企业对建立“强有力的跨大西洋数据流动框架”的诉求，而不再需要额外的转移机制，如标准合同条款或约束性公司规则，以及额外的转移影响评估，这无疑将降低企业的成本，为美欧数据流动带来法律确定性，因而获得了双方企业的一致欢迎。

在地缘政治影响方面，《欧美数据隐私框架协议》在某种程度上充当了美欧关系的“晴雨表”角色，特朗普执政后期，美欧关系跌宕起伏，造成《隐私盾协议》失效后的跨境数据规制谈判踌躇不前。拜登政府上台后以跨境数据流动规制为抓手加快修复与欧盟的关系，在部分条款上进行了让步，其背后意图在于拉拢欧盟稳定跨大西洋关系，全力与中国开展战略竞争并实现“竞赢”，包括联合欧盟国家发布“互联网未来宣言”，将促进信息自由流动作为建立以美国为中心的全球数字生态系统的重要举措。

在发展前景上，《欧美数据隐私框架协议》是否能平稳运行，欧盟会不会发起新一轮对框架的诉讼，美方是否能遵守框架要求，仍然存在较大的不确定性。一方面，欧盟难以约束美国监控行为。尽管美方进一步规范了情报收集行为，并设立了完善的救济机制，但欧盟依旧无法对美国政府的情报监控行为进行监管，其中最为主要的矛盾集中在 DPRC 仍属于美国行政系统内部的自我纠正机制，而非完全独立的法院；且欧方对法院人员任命程序表示怀疑，进而对其决策的公平透明表示质疑；并且申诉人必须通过隶属于美国政府的特别律师表达意见，无法直接面对 DPRC。因此，第 14086 号行政令只是美国单方面的证明，在美国《外国情报监视法》（Foreign Intelligence Surveillance Act）没有进行重大修正的情况下，仅靠第 14086 号行政令无法真正消除欧盟公民对数据安全的担忧。另一方面，欧盟“数字主权”进程加速。近年来，欧盟陆续出台《数字服务法》《数字市场法》和《人工智能法》等法律，加快构建欧盟“数字主权”，其核心观点之一在于强调对于欧盟公民数据的本地化驻留，这使得美国科技企业在欧洲市场面临的隐私保护压力以及高额罚款必然会越来越大，再加上欧洲议会认为《欧美数据隐私框架协议》缺乏一个“客观标准”来有效地证明政府侵犯隐私的行为，因此判断其并不完全符合欧盟的法律标准，成为悬在新协议之上的“达摩克利斯之剑”。

从《安全港协议》到《隐私盾协议》，再到《欧美数据隐私框架协议》，美欧跨境数据博弈背后反映了双方的理念分歧和逻辑差异。

3.1　权利驱动与市场驱动的理念分歧

由于历史原因，欧盟将尊重私人生活和保护个人信息视为基本人权，《欧洲人权公约》第 7、8 条中对尊重隐私生活进行了专门规定，并得到了欧洲人权法院的大力支持 。2016 年生效的GDPR 中第 44 条款也明确禁止将个人数据传输至欧盟外，除非接收国能够提供与欧盟同等水平的保护。欧盟借助充分性认定机制、SCCs 和BCRs 等保障措施确保欧盟公民的个人数据无论处于何地都能受到与欧盟立法水平相当的保护。在欧盟主导的国际贸易协议中，GDPR 提出的隐私标准已成为一项强制性要求。总的来看，欧盟认为，只要未有法律明确规定，则一般禁止“收集和处理个人数据”。

美国对于数据保护和个人隐私则具有不同的认知，认为“法无禁止则可为”，只要未明确触犯法律则支持“收集和处理个人数据”。这主要是因为美国拥有最发达的数字经济和最庞大的数据体量，在全球数据流动体系中属于数据流入国，不受限制的数据流动规则能够让美国利益最大化。因此，美国倾向于一种以市场为主导的方法，不赞成他国以法律设置数据跨境流动壁垒，意图依靠企业的自我监管实施数据保护，因此美国政府公开支持私营部门关于隐私保护措施的倡议。

3.2　统一立法与分散立法的法律体系差异

欧盟与美国的个人数据保护法律体系存在根本的不同。欧盟的数据保护法律以 1995 年《数据保护指令》为基础，建立了欧盟范围内的综合性数据保护框架，统一了欧盟各国的数据保护规则。此后，2002 年的《电子隐私指令》以及 2016 年的 GDPR 均追求欧盟范围内的统一数据保护立法。

美 国 隐 私 立 法 较 为 分 散， 缺 乏 统 一 的 数据保护框架，主要通过行业立法和州立法来设置相关规定。行业立法主要覆盖金融、保险、电视电信、消费者信用、儿童隐私等领域，如《金融隐私权法案》（Rightto Financial Privacy Act，RFPA）、《健康保险隐私及责任法案》（Health Insurance Portability and Accountability Act，HIPAA）、《儿童在线隐私权保护法案》（The Children's Online Privacy Protection Act，COPPA）等。在州立法层面，加利福尼亚州通过的《加州消费者隐私法》（California Consumer Privacy Act，CCPA）是全美隐私立法的先行者，对美国隐私权保护产生了重要影响。美国也未设立专门的隐私保护机构，联邦的数据隐私事务主要由负责处理企业不正当竞争和欺诈消费者行为的 FTC 实施。近年来，在斯诺登事件、剑桥分析事件发生后，美国两党也在积极推动《 数 据 隐 私 保 护 法》（American Data Privacy and Protection Act，ADPPA）、《同意法案》（Consent Act）和《在线隐私法案》（Online Privacy Act，OPA）等统一立法，目前面临的阻力仍然较大。

在这样的法律体系差异下，欧盟在跨境数据流通上反倒呈现出一致对外的“国家联合体”形象，即以欧盟统一的高规格数据保护模式来设置跨境数据流动标准；美国由于缺乏统一的联邦隐私立法，因此在跨境数据流动规制上更为“随意”，意图在国家“有意”缺位下推行企业的自律。因此当强制遇到自律时，美欧之间的矛盾必然会爆发。

3.3　对国家安全例外的范围限制不同

欧洲法院对欧盟内部的情报活动主要通过“比例原则”进行限制，要求国家安全必须在受到真实、紧迫且可预见的威胁时才可进行相关活动。而执法机构在调取或收集这些数据之后，对数据进行的读取或利用等行为都必须严格符合当初调取或收集时的目的，并要有法院或独立行政机关复核。

美国的国家安全法案则凌驾于美欧跨境数据传输协议之上。美国 1978 年《外国情报监视法案》（Foreign Intelligence Surveillance Act，FISA） 第702 条和美国第 12333 号行政令（EO12333）与欧盟个人数据保护冲突最为明显。FISA 第 702 条规定，情报部门可实行大规模监控，包括对处于美国境外的非美国公民的监控，从而为美国的“棱镜”（Prism）和“上游”（Upstream）①监控计划提供法律基础。第 12333 号行政令于1981 年由美国前总统里根签署，为美国情报当局拓展了新的更加广泛的监控权限，并为美国国家安全局大量超出公共安全目的的监控行为提供了法律依据。而且美国国家安全局根据第12333 号行政令实施的情报收集活动不受司法监督和审判。总的来说，美国情报机构数据收集范围未有明确的界线，这直接违背了欧盟所坚持的“比例原则”。

随着《数据出境安全评估办法》《个人信息出境标准合同办法》《个人信息保护认证实施规则》等法规和标准的不断出台，我国的数据出境安全管理制度架构已基本成形。美欧之间二十多年来在数据跨境流动领域的博弈对我国跨境数据治理具有一定的借鉴意义。

一是明晰综合平衡的跨境数据治理理念。数字化时代，数据关系到个人、企业、国家三方利益。美国和欧盟在数据治理上的交锋体现了对不同方的侧重 。我国应当在两者的基础上综合考虑国家安全利益的保护，塑造更加平衡的数据治理理念。一方面，本着统筹发展以及安全、效率与公平的原则，兼顾好个人信息保护、企业商业利益和国家安全之间的关系；另一方面，政府部门应与国内互联网企业以及金融机构、大型实体企业在跨境数据流动管理、扩大全球数据管控能力等方面开展合作，建立健全跨境数据流动治理体系。

二是完善数据跨境流动规则。2022 年 9 月，《数据出境安全评估办法》正式生效，这是我国数据出境监管历程中的重要一步，《数据出境安全评估办法》的出台将进一步规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据安全有序跨境流动。2022 年12 月，《国务院关于构建数据基础制度更好发挥数据要素作用的意见》对外发布，提出“统筹数据开发利用和数据安全保护，探索建立跨境数据分类分级管理机制”，“探索构建多渠道、便利化的数据跨境流动监管机制，健全多部门协调配合的数据跨境流动监管体系”。对此，应进一步完善数据出境安全评估、个人信息保护认证、个人信息出境标准合同的配套措施，开辟数据出境便捷通道，创新数据出境安全评估和个人信息出境标准合同制度，采用“事前、事中、事后”相结合的监管机制，强化出境数据全生命周期风险防范与安全管理。

三是在国际上积极推广我国数据治理的主张。美欧在跨境数据上的博弈反映了对数据治理国际话语权的争夺，特别是利用双方的产业先发优势形成在国际数据跨境流动规则上的竞争优势，使得我国在争夺数字产业、数字治理话语权等关键领域将处于更加被动的态势。对此，我国一方面可积极参与世界贸易组织（World Trade Organization，WTO）电子商务谈判，借助WTO 平台推广我国的数据治理理念；另一方面与重要贸易伙伴签订数据流动双边协议，就个人信息保护、数据安全及网络安全、技术规范及标准等方面形成“一揽子”制度安排，为我国数据跨境流动规则主张“增容扩圈”。此外，我国应以加入《数字经济伙伴关系协议》（Digital Economy Partnership Agreement，DEPA）为契机，不断扩大数据跨境合作朋友圈。

美欧个人数据跨境传输经历了《安全港协议》《隐私盾协议》以及《欧美数据隐私框架协议》三次制度安排。《欧美数据隐私框架协议》对限制美情报机构活动、完善个人救济途径、强化审查和监督机制进行了改革，但由于欧盟仍难以约束美国监控行为，以及欧盟“数字主权”进程加速，美欧跨境数据流动规制仍然具有较大不确定性，其根本矛盾在于欧美双方在跨境数据流动上具有权利驱动与市场驱动的理念分歧，统一立法与分散立法的法律体系差异，对国家安全例外的范围限制不同等因素。美欧跨境数据流动对我国跨境数据治理具有一定的借鉴意义，我国应进一步明晰综合平衡的跨境数据治理理念，完善数据跨境流动规则，在国际上积极推广我国数据治理的主张。