美歐數據跨境流動(dòng)的規則博弈及走向

劉文杰

〔提 要〕在數字經(jīng)濟時(shí)代，各國圍繞數據跨境流動(dòng)的合作與競爭成為全球治理領(lǐng)域的焦點(diǎn)議題。數據跨境流動(dòng)引發(fā)的權力爭奪、法律較量等問(wèn)題日益突出，數據保護標準尤其是數據跨境流動(dòng)規則主導權之爭更趨激烈。美國與歐盟在數據跨境流動(dòng)領(lǐng)域長(cháng)期開(kāi)展密切合作，但圍繞數據跨境流動(dòng)標準的確定，美歐均希望取得主導權，這導致雙方發(fā)生多輪激烈博弈。歐盟以立法為數據跨境傳輸規定了嚴格條件，基本宗旨是確保其數據保護水平不會(huì )因數據向第三國或國際組織傳輸而下降，為此不惜宣告構成跨大西洋數據流動(dòng)法律基礎的“安全港決定”和“隱私盾決定”無(wú)效。造成美歐數據跨境流動(dòng)協(xié)議失效的表層原因在于美國的數據收集制度偏離了歐盟秉持的個(gè)人數據保護原則，深層原因是雙方對數據流動(dòng)所持立場(chǎng)的差異以及美國將其國家安全訴求凌駕于他國利益之上的單邊霸權思維。

進(jìn)入數字經(jīng)濟時(shí)代，對數據跨境流動(dòng)的規制在全球治理中所占分量越來(lái)越重。國家及國際組織在這一領(lǐng)域開(kāi)展的合作與競爭成為近幾年來(lái)全球治理領(lǐng)域的重要議題。綜合來(lái)看，由于制度、文化、經(jīng)濟發(fā)展水平等方面的差異，不同國家對數據保護的理解不同，圍繞數據保護尤其是數據跨境流動(dòng)存在著(zhù)規則主導權之爭。美國與歐盟是全球兩大主要經(jīng)濟體，相互間存在著(zhù)政治、經(jīng)濟、社會(huì )、文化等諸多領(lǐng)域的緊密聯(lián)系。伴隨著(zhù)大西洋兩岸貨物和服務(wù)貿易的開(kāi)展，數據跨境流動(dòng)已經(jīng)成為常態(tài)。但圍繞數據跨境流動(dòng)標準的確定，美歐均希望取得主導權，這導致雙方發(fā)生多輪激烈博弈。深入探析美歐之間的數據保護標準之爭，有助于更加清楚地認識圍繞數據跨境流動(dòng)形成的全球治理格局，為爭取這一領(lǐng)域的規則創(chuàng )建權提供有益參考。

隨著(zhù)全球化和數字經(jīng)濟的發(fā)展，數據跨境流動(dòng)已經(jīng)成為全球治理領(lǐng)域的重要議題。圍繞這一議題，各國及國際組織提出一系列治理方案，并致力于達成穩定的雙邊和多邊安排。[1]參見(jiàn)孫南翔：《CPTPP數字貿易規則：制度博弈、規范差異與中國因應》，《學(xué)術(shù)論壇》2022年第7期，第1-10頁(yè)；
王歡雪：《從東盟數據跨境流動(dòng)治理機制展望與中國的數據跨境流動(dòng)合作》，《中國標準化》2022年第10期（下），第38-40頁(yè)，第50頁(yè)。然而，基于不同的國情和利益訴求，這些治理方案不盡一致，相互間甚至存在較大的差異?？傮w而言，在數據跨境流動(dòng)的全球治理領(lǐng)域，各國、地區之間將會(huì )長(cháng)期呈現合作與競爭并存的態(tài)勢。

（一）數據跨境流動(dòng)的重要性和特殊性

電子化個(gè)人數據出現空前規模的增長(cháng)并在全球范圍頻繁傳輸，是人類(lèi)進(jìn)入數字時(shí)代的一個(gè)標志性現象。包括電子商務(wù)、快遞物流、地圖導航等在內的現代服務(wù)諸多領(lǐng)域是以個(gè)人數據的采集和傳輸作為支撐的。個(gè)人數據的跨境流動(dòng)在全球化時(shí)代已經(jīng)變得不可或缺，其不但便利了個(gè)體，更有力推動(dòng)了國際貿易與投資的發(fā)展。個(gè)人數據的跨境流動(dòng)也是技術(shù)和商業(yè)模式創(chuàng )新的內在要求。各國企業(yè)、組織、個(gè)人廣泛采用的云存儲服務(wù)就是將服務(wù)器部署在不同的國家和地區，從而實(shí)現數據存儲和傳輸的最優(yōu)化，這其中也包含個(gè)人數據的跨境流動(dòng)。在美國白宮2022年3月發(fā)表的聲明中，數據跨境流動(dòng)的重要性得到高度強調，“數據流動(dòng)對跨大西洋經(jīng)濟關(guān)系和所有經(jīng)濟部門(mén)的大小公司都至關(guān)重要。事實(shí)上，在美國和歐洲之間流動(dòng)的數據比世界上任何其他地方都多，這促成美國和歐盟之間的經(jīng)濟關(guān)系達到7.1萬(wàn)億美元”。[1]The White House, “FACT SHEET: United States and European Commission Joint Statement on Trans-Atlantic Data Privacy Framework,” March 25, 2022, https://www.whitehouse.gov/briefing-room/statements-releases/2022/03/25/fact-sheet-united-states-and-europeancommission-announce-trans-atlantic-data-privacy-framework/.

同時(shí)，個(gè)人數據跨境流動(dòng)也具有特殊性，表現在個(gè)人數據涉及人格利益，這種利益并不因為信息“交割”而消失。與貨物的流動(dòng)相比，個(gè)人數據的流動(dòng)通常采用電子傳輸方式，在瞬間完成，很容易轉移到陌生人手中。由于個(gè)人數據是可以識別特定自然人的信息，是對自然人活動(dòng)及行蹤軌跡的記錄，因此影響到數據主體的安全與自由。此外，個(gè)人數據流動(dòng)往往由數據主體以外的人（數據控制人、數據處理人）實(shí)施，數據主體無(wú)法加以控制，甚至對自身數據的流動(dòng)茫然不知，使其暴露在違法犯罪行為之下的風(fēng)險大增。20世紀70年代，計算機開(kāi)始廣泛應用于個(gè)人數據處理領(lǐng)域，導致存儲、比較、選擇和獲取個(gè)人數據的可能性得到極大擴張。個(gè)人數據可以同時(shí)處于地理上分散的、成千上萬(wàn)的使用者支配之下，這一現象引發(fā)了公眾對計算機處理個(gè)人數據所蘊含危險的關(guān)注。個(gè)人數據保護由此迎來(lái)第一波立法浪潮。

進(jìn)入21世紀，互聯(lián)網(wǎng)應用席卷全球，個(gè)人信息收集的普遍化和自動(dòng)化、個(gè)人信息存儲的無(wú)限量和無(wú)限期、個(gè)人信息轉移的瞬間性和低成本，加之消費者與信息采集者在力量上的不對等，導致過(guò)度采集、長(cháng)期存儲而又缺乏安全措施之下的個(gè)人信息泄露風(fēng)險、濫用風(fēng)險較之以往大大增加。公眾的訴求已經(jīng)不限于簡(jiǎn)單的停止收集或者刪除信息，而是希望對個(gè)人信息被利用的過(guò)程施加有效控制。因此，本世紀以來(lái)，全球掀起新一輪的個(gè)人數據保護立法浪潮。歐盟《一般數據保護條例》的出臺即為代表，美國也有議員在聯(lián)邦層面提出統一個(gè)人數據保護法案，中國繼《民法典》規定有關(guān)個(gè)人信息保護條款之后，《個(gè)人信息保護法》及《數據安全法》也相繼出臺，反映出各國對新時(shí)代個(gè)人數據保護訴求的積極回應。

（二）圍繞數據跨境流動(dòng)的國際角力

鑒于個(gè)人數據跨境流動(dòng)的重要性和特殊性，制定調整數據流動(dòng)的國際規則有顯著(zhù)必要性。雖然雙邊協(xié)定是解決這一問(wèn)題的選項之一，但其在實(shí)踐層面耗時(shí)耗力，收效也不明顯，原因在于人員流動(dòng)以及為人員提供的相關(guān)服務(wù)往往跨越多國，數據流動(dòng)需求不限于兩國之間?？紤]到這一情況，更為現實(shí)的解決方案是多邊規則進(jìn)路，即通過(guò)區域貿易協(xié)定（專(zhuān)門(mén)的數字協(xié)定或包含在貿易協(xié)定中的數據流動(dòng)條款）解決數據跨境流動(dòng)問(wèn)題。

美國作為世界最大經(jīng)濟體，擁有最發(fā)達的數字經(jīng)濟和數字產(chǎn)業(yè)，在數據的全球流動(dòng)體系中，更多地扮演輸入方和受益方的角色。例如，Statista的統計數據表明，自2017年至今，在全球云基礎設施服務(wù)市場(chǎng)排行榜上，美國的亞馬遜、微軟和谷歌公司所占有的市場(chǎng)份額始終名列前三。[1]“Cloud Infrastructure Services Vendor Market Share Worldwide from 4th Quarter 2017 to 1st Quarter 2022,” August 25, 2022, https://www.statista.com/statistics/967365/worldwide-cloudinfrastructure-services-market-share-vendor/.不受限制的數據流動(dòng)更符合美國利益，推行數據本地化則會(huì )妨礙美國科技產(chǎn)業(yè)和信息產(chǎn)業(yè)的發(fā)展。因此，在數據跨境流動(dòng)問(wèn)題上，美國持一種相對自由的立場(chǎng)，不贊成他國以限制數據跨境的法律政策設置貿易壁壘。[2]戴恩·羅蘭德、伊麗莎白·麥克唐納：《信息技術(shù)法》，宋連斌等譯，武漢大學(xué)出版社2004年版，第308頁(yè)。美國認同的數據跨境隱私規則體系建立在亞太經(jīng)合組織隱私框架的基礎上，而后者又以經(jīng)濟合作與發(fā)展組織的《隱私與個(gè)人數據跨境流動(dòng)保護指南》為基礎。該指南最初發(fā)布于1980年，更強調企業(yè)遵守個(gè)人數據保護諸項原則的承諾。2013年，指南發(fā)布新版，增加了“建立數據保護機構”、“發(fā)生數據安全事件后通知數據保護機構和數據主體”以及“問(wèn)責原則”，但其相對較低的個(gè)人數據保護門(mén)檻尤其是針對數據跨境流動(dòng)相對寬松的立場(chǎng)并無(wú)改變。[3]洪延青：《推進(jìn)“一帶一路”數據跨境流動(dòng)的中國方案——以美歐范式為背景的展開(kāi)》，《中國法律評論》2021年第2期，第30-42頁(yè)。

與美國立場(chǎng)不同，歐盟致力于更高水平的個(gè)人數據保護和對數據跨境流動(dòng)的更嚴格監管。2016年通過(guò)的《一般數據保護條例》確立了大數據時(shí)代數據跨境流動(dòng)規則框架，目的是使數據主體在歐盟享受到的保護水平不因數據跨境流動(dòng)而降低。通過(guò)《一般數據保護條例》，歐盟向全世界傳遞了個(gè)人數據保護和跨境流動(dòng)規則應向歐盟看齊的意圖。該條例規定，歐盟應對目標國進(jìn)行個(gè)人數據保護充分性評估，評估對象包括目標國法律制度尤其是公權力部門(mén)訪(fǎng)問(wèn)個(gè)人數據的可行性和條件，實(shí)際上涵蓋了目標國價(jià)值觀(guān)、意識形態(tài)和政治制度等方面。[1]Nigel Cory, Daniel Castro and Ellysse Dick, “‘Schrems II’: What Invalidating the EU-U.S. Privacy Shield Means for Transatlantic Trade and Innovation,” Information Technology & Innovation Foundation Program, December 3, 2020, https://itif.org/publications/2020/12/03/schrems-ii-whatinvalidating-eu-us-privacy-shield-means-transatlantic/.

在個(gè)人數據跨境流動(dòng)的全球角力場(chǎng)上，還有其他相對折衷的方案。如中國加入的《區域全面經(jīng)濟伙伴關(guān)系協(xié)定》（RCEP）第12章“電子商務(wù)”只是要求締約方應當在可能的范圍內合作，以保護從一締約方轉移來(lái)的個(gè)人信息。就“通過(guò)電子方式跨境傳輸信息”，協(xié)定認可締約方對通過(guò)電子方式傳輸信息有各自的監管要求，允許締約方采取或維持其認為實(shí)現合法公共政策目標所必要的措施。協(xié)定還強調，此類(lèi)合法公共政策的必要性由相關(guān)締約方自己決定，從而更加尊重締約方的主權和各自特點(diǎn)，給締約方留出了較大政策設計空間。當然，這并不意味著(zhù)RCEP忽略了個(gè)人數據安全。協(xié)定第12章第8條是關(guān)于線(xiàn)上個(gè)人信息保護的規定，要求每一締約方在制定保護個(gè)人信息的法律框架時(shí)，應當考慮相關(guān)國際組織或機構的國際標準、原則、指南和準則。

此外，中國積極申請加入的《數字經(jīng)濟伙伴關(guān)系協(xié)定》（DEPA）在數據跨境流動(dòng)問(wèn)題上，對締約方同樣采取了一種相對靈活的態(tài)度。[2]周念利、于美月：《中國應如何對接DEPA——基于DEPA與RCEP對比的視角》，《理論學(xué)刊》2022年第2期，第55-64頁(yè)。該協(xié)定第4章“數據問(wèn)題”要求每一締約方應允許為開(kāi)展業(yè)務(wù)目的通過(guò)電子方式跨境傳輸信息，其中包括個(gè)人信息；
與RCEP表述相同，協(xié)定認可締約方有各自的監管要求，可以采取或維持合法公共政策目標所要求的措施。DEPA同樣設有個(gè)人信息保護規定，強調了個(gè)人信息保護的收集限制、數據質(zhì)量、用途說(shuō)明、使用限制、安全保障、透明度、個(gè)人參與以及責任原則，并敦促每一締約方致力于制定機制，促進(jìn)不同個(gè)人信息保護體制之間的兼容性和互操作性。

2022年10月，美國總統拜登簽署《關(guān)于加強美國信號情報活動(dòng)保障措施的行政命令》，以實(shí)施該國3月與歐盟最新達成的數據隱私框架協(xié)議——《跨大西洋數據隱私框架》。這是美歐圍繞數據跨境流動(dòng)監管開(kāi)展的第三次嘗試，此前雙方已就該問(wèn)題博弈多年，曾于2000年和2016年先后簽訂《安全港協(xié)議》和《隱私盾協(xié)議》，但二者均以歐盟法院認定無(wú)效告終。

（一）“安全港決定”和“隱私盾決定”的相繼失效

1998年，歐盟《關(guān)于個(gè)人數據處理及其自由流動(dòng)的個(gè)人保護第95/46/EC號指令》（以下簡(jiǎn)稱(chēng)《個(gè)人數據保護指令》）正式生效，禁止將個(gè)人數據傳輸到未提供“充分保護”的第三國。出于商業(yè)利益考慮，美國與歐盟2000年12月達成有關(guān)個(gè)人數據跨境傳輸的《安全港協(xié)議》，歐盟委員會(huì )在此基礎上作出第2000/520號決定（“安全港決定”），確認美國能夠為歐盟公民的個(gè)人數據提供充分的制度保障。

2013年，“安全港決定”的效力遭遇來(lái)自歐盟內部的挑戰。這一挑戰不是來(lái)自雙方行政部門(mén)的質(zhì)疑，而是通過(guò)個(gè)案受到歐盟法院的司法審查。斯諾登“棱鏡門(mén)”事件同年曝出后，奧地利國民馬克西米利安·施雷姆斯（Maximillian Schrems）[1]施雷姆斯自2008年以來(lái)一直是臉書(shū)公司的用戶(hù)。與居住在歐盟國家的其他用戶(hù)一樣，施雷姆斯的部分或全部個(gè)人數據被臉書(shū)愛(ài)爾蘭公司轉移到位于美國的臉書(shū)公司服務(wù)器上，并在那里進(jìn)行處理。向愛(ài)爾蘭個(gè)人數據監管機構提出申訴，認為美國關(guān)于個(gè)人信息保護的保護強度遠低于歐盟，請求禁止臉書(shū)愛(ài)爾蘭公司將其個(gè)人信息傳輸至美國境內。監管機構依據歐盟委員會(huì )“安全港決定”，認為美國確保了足夠的保護水平，駁回了投訴。施雷姆斯隨即向法院起訴。經(jīng)過(guò)層層審理，歐盟法院2015年10月作出判決，宣布歐盟委員會(huì )“安全港決定”無(wú)效（“Schrems I判決”）。[2]“Case: C-362/14 – Schrems I,” https://www.europeansources.info/record/judgment-incase-c-362-14-maximillian-schrems-v-data-protection-commissioner/.

“安全港決定”被判無(wú)效后，美國與歐盟展開(kāi)緊急磋商。美國政府向歐盟委員會(huì )出具書(shū)面承諾，保證將對其“出于公共利益獲取和使用個(gè)人數據”的行為加以限制并提供救濟措施，建立獨立于美國情報部門(mén)的“隱私盾監察員”等。同時(shí)，《一般數據保護條例》于2016年4月經(jīng)歐洲議會(huì )投票通過(guò)。在此背景下，美歐于2016年7月達成第二份數據跨境傳輸協(xié)議，即《隱私盾協(xié)議》。歐盟委員會(huì )據此再次作出美國可以對傳輸至美國的個(gè)人數據提供充分保護的第2016/1250號決定（“隱私盾決定”）?？紤]到上述新情況，審理施雷姆斯與臉書(shū)公司訴訟的愛(ài)爾蘭法院請求歐盟法院裁決第2016/1250號決定是否有效。

2020年7月，歐盟法院作出判決，宣布第2016/1250號“隱私盾決定”無(wú)效。[1]“Case: C-311/18 - Schrems II,” https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=en/.法院的審查主要圍繞“隱私盾決定”第1條第1款進(jìn)行，歐盟委員會(huì )在該款中認定美國為歐盟個(gè)人數據提供的保護水平實(shí)質(zhì)上等同于歐盟的保護水平。但歐盟法院認為，美國對外國人數據的情報收集制度不符合歐盟法律規定的比例原則。[2]《歐盟基本權利憲章》要求，對行使基本權利的任何限制必須由法律規定，必須特別指出在什么情況和什么條件下可以對個(gè)人數據保護進(jìn)行減損和限制，并規定最低限度的保障措施，以便數據主體在其個(gè)人數據免受濫用方面獲得足夠的保障。一方面，美國《外國情報監視法》第702條沒(méi)有對其賦予的、為獲取外國情報目的實(shí)施監視計劃的權力有任何限制，也沒(méi)有對可能成為這些計劃目標的非美國人給予保障，因此沒(méi)有滿(mǎn)足比例原則要求。另一方面，基于美國第12333號行政命令開(kāi)展的監控允許情報機關(guān)對流動(dòng)到美國的數據進(jìn)行“批量”收集，且不受任何司法審查的限制。因此，該行政命令也不符合比例原則。

歐盟法院還認為，盡管“隱私盾決定”規定了美國當局在實(shí)施有關(guān)監視計劃時(shí)必須遵守的要求，但美國《外國情報監視法》第702條和第12333號行政命令都沒(méi)有賦予數據主體可在法院起訴美國當局的權利，數據主體沒(méi)有獲得有效救濟的機會(huì )?！半[私盾決定”中的美方隱私盾監察員雖然被描述為“獨立于情報部門(mén)”，卻是由美國國務(wù)卿任命的，是美國國務(wù)院的一個(gè)組成部分?！半[私盾決定”中也沒(méi)有任何內容表明監察員相對于行政部門(mén)的獨立性。[3]“Case: C-274/14 - Banco de Santander,” https://ec.europa.eu/newsroom/comp/items/667196/en.因此，“隱私盾決定”提到的監察員機制并沒(méi)有提供相當于《歐盟基本權利憲章》第47條所要求的保障。[4]《歐盟基本權利憲章》第47條第1款要求，每個(gè)受歐盟法律保障的人有權在權利和自由受到侵犯時(shí)向法庭獲得有效救濟。根據該條第2款，每個(gè)人都有權得到一個(gè)獨立和公正的法庭的審理。

（二）圍繞《跨大西洋數據隱私框架》的磋商

由于“安全港決定”和“隱私盾決定”歸于無(wú)效，美歐不得不就個(gè)人數據跨境流動(dòng)開(kāi)展新一輪磋商。2022年3月，美歐發(fā)表聯(lián)合聲明，承諾建立一個(gè)新的跨大西洋數據隱私框架，并解決歐盟法院在2020年“隱私盾決定”無(wú)效判決中提出的關(guān)切。美方承諾推行新的保障措施，以確保其在追求國家安全目標時(shí)開(kāi)展的信號情報活動(dòng)是“必要”和“成比例的”，并為歐盟個(gè)人建立新的針對信號情報活動(dòng)的救濟機制。[1]The White House, “United States and European Commission Joint Statement on Trans-Atlantic Data Privacy Framework,” March 25, 2022, https://www.whitehouse.gov/briefing-room/statements-releases/2022/03/25/united-states-and-european-commission-joint-statement-on-transatlantic-data-privacy-framework/.

根據《跨大西洋數據隱私框架》，美方的承諾包括加強對美國信號情報活動(dòng)中的公民隱私和自由的保障、建立獨立和有約束力的新救濟機制以及加強對信號情報活動(dòng)的分層監督。新的框架旨在確保：美國只有在為達到合法的國家安全目標所必需的情況下，才可以進(jìn)行信號情報收集，并且不得對個(gè)人隱私和自由造成不成比例的影響；
歐盟公民可以向多層新救濟機制尋求法律救濟，該機制包括一個(gè)獨立于美國政府的數據保護審查法庭，其將有充分的權力對索賠進(jìn)行裁決并根據需要指導補救措施；
美國情報機構將實(shí)施程序，監督公民隱私和自由新標準得到有效遵守。同時(shí)，參與到該框架中的公司和組織將被要求繼續遵守隱私盾原則，可通過(guò)美國商務(wù)部對其遵守該原則進(jìn)行自我認證。歐盟公民將繼續擁有多種救濟渠道，包括通過(guò)替代性爭議解決方案和有約束力的仲裁來(lái)解決其對參與方的投訴。2022年10月，美國總統拜登簽署行政命令，將上述承諾落實(shí)于紙面，作為歐盟委員會(huì )進(jìn)行保護充分性認定的評估基礎。[2]The White House, “FACT SHEET: President Biden Signs Executive Order to Implement the European Union-U.S. Data Privacy Framework,” October 7, 2022, https://www.whitehouse.gov/briefing-room/statements-releases/2022/10/07/fact-sheet-president-biden-signs-executive-order-toimplement-the-european-union-u-s-data-privacy-framework/.

無(wú)論在歐洲還是美國，個(gè)人數據保護都起源于隱私權制度，在數據保護規則的創(chuàng )建上，美國甚至呈現出某種向歐洲靠攏的態(tài)勢。盡管如此，雙方仍然就數據跨境流動(dòng)問(wèn)題發(fā)生了激烈的沖突，乃至出現兩次政府間協(xié)議被歐盟法院否決的結果，個(gè)中原因需深入探究。

（一）數據跨境保護在歐盟內部的制度定位

1.個(gè)人數據保護：從隱私權到獨立的基本權利

梳理歷史可以發(fā)現，在個(gè)人數據保護興起之初及以后的相當長(cháng)時(shí)間里，其在歐洲都被視為隱私保護在新技術(shù)條件下發(fā)展出的新維度，或者隱私權制度向信息處理尤其是自動(dòng)化信息處理領(lǐng)域的延伸。歐洲理事會(huì )1981年《關(guān)于個(gè)人數據自動(dòng)化處理的個(gè)人保護公約》（又被稱(chēng)為歐洲《第108號公約》）規定了個(gè)人數據質(zhì)量、敏感數據、數據安全、數據保護與限制、個(gè)人數據跨境傳輸等個(gè)人數據保護制度。歐盟1995年《個(gè)人數據保護指令》第1條第1款即明確，在符合本指令規定的前提下，成員國應當對自然人的基本權利和自由，尤其是對與處理個(gè)人數據相關(guān)的隱私權加以保護。指令強調，調整個(gè)人數據處理國內法的目標是保護自然人的基本權利和自由，特別是《歐洲人權公約》第8條所確認的隱私權。隱私權的使命是捍衛個(gè)體生活的自主決定權，而個(gè)人數據保護所捍衛的信息自決權乃是其中不可或缺的組成部分。[1]“BVerfGE 65, 1 - Volksz?hlung,” https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Gerichtsurteile_und_-beschluesse/bverfge_65_1_-_volkszaehlung.pdf.

本世紀以來(lái)，伴隨著(zhù)互聯(lián)網(wǎng)的高速發(fā)展，人工智能與大數據技術(shù)應用日益普及，歐盟立法者對個(gè)人數據保護的態(tài)度進(jìn)一步強化。2000年《歐盟基本權利憲章》第8條在第7條“隱私權”之外，單獨將個(gè)人數據保護確認為一項基本權利。該條規定，任何人享有就與其相關(guān)的個(gè)人數據獲得保護的權利；
個(gè)人數據必須基于本人同意或法定事由得到公平處理，任何人有權查詢(xún)其個(gè)人數據，并有權要求更正；
個(gè)人數據處理的合規應當由一個(gè)獨立機構負責。取代《個(gè)人數據保護指令》的《一般數據保護條例》指出，自然人在個(gè)人數據處理方面獲得保護屬于一種基本權利。該條例第1條第2款規定，保護自然人的基本權利與自由，尤其是其個(gè)人數據受保護的權利。

2.歐盟的數據跨境流動(dòng)調整機制

《一般數據保護條例》第5章對歐盟向第三國或國際組織轉移個(gè)人數據作出規定，基本宗旨是確保自然人的數據出境后受到的保護水平不會(huì )被減損。為實(shí)現這一目標，條例作了詳細規定，創(chuàng )立了復雜的機制。

在這套機制中，“保護充分性認定”居于首要位置。如果歐盟委員會(huì )認定第三國、該國的一個(gè)或多個(gè)特定部門(mén)或有關(guān)國際組織可確保充分（即與《一般數據保護條例》水平相當）的保護水平，則數據處理人可將個(gè)人數據從歐盟轉移到該第三國或國際組織。這種基于“保護充分性認定”發(fā)生的數據流動(dòng)不再要求任何具體的授權。為作出認定，歐盟委員會(huì )應當對目標國或國際組織進(jìn)行全面評估并定期審查，評估時(shí)應特別考慮以下因素：相關(guān)領(lǐng)域的一般性和部門(mén)立法以及這些立法的實(shí)施、包括數據跨境流動(dòng)規則在內的數據保護規則、專(zhuān)業(yè)守則和安全措施、判例法等，有效和可執行的數據主體權利、個(gè)人數據轉移場(chǎng)合對數據主體的有效行政和司法救濟；
負責確保和強制遵守數據保護規則的一個(gè)或多個(gè)獨立的監督機構的存在和有效運作，具有充分的執法權協(xié)助和建議數據主體行使其權利，并與歐盟成員國的監督機構合作；
目標國或國際組織已作出的國際承諾，或因參加的有法律約束力的公約或文書(shū)、多邊或區域機制而產(chǎn)生的其他義務(wù)，特別是在保護個(gè)人數據方面。

如果未獲取歐盟委員會(huì )的“保護充分性認定”，那么只有在提供了適當保障措施的情況下，數據控制者或處理者才可以將個(gè)人數據轉移到第三國或國際組織，且要滿(mǎn)足數據主體權利可執行以及存在有效法律救濟的條件。適當保障措施存在多種形式，最為重要的是依據《一般數據保護條例》第47條所規定的有約束力的公司準則、歐盟委員會(huì )或監管機構審核、采用的標準數據保護條款或根據《一般數據保護條例》第42條批準的認證機制進(jìn)行的認證。

“隱私盾決定”的無(wú)效意味著(zhù)歐洲企業(yè)不能以“保護充分性認定”為依據向美國傳輸歐盟的個(gè)人數據，美歐雙方均難避免受到負面影響。美國跨國科技企業(yè)無(wú)法自由傳輸歐盟客戶(hù)的數據，而歐盟企業(yè)在利用境外服務(wù)方面也可能遭遇明顯障礙。早在“安全港決定”無(wú)效判決作出時(shí)，就有研究認為，因此導致的數據流通受阻會(huì )造成歐盟區內的國內生產(chǎn)總值下降0.8%~1.3%。[1]Yann Padova, “The Safe Harbour Is Invalid: What Tools Remain for Data Transfers and What Comes Next?,” International Data Privacy Law, Vol.139, 2016, p.140.美歐雙方存在努力尋求（例如通過(guò)《跨大西洋數據隱私框架》方式）重新達成合作的動(dòng)力。

（二）美國個(gè)人數據保護制度的特點(diǎn)及問(wèn)題

在美國，無(wú)論是立法還是司法審判層面，無(wú)論在公法還是私法領(lǐng)域，個(gè)人數據保護都是隱私權制度的組成部分。進(jìn)入計算機與電信時(shí)代，個(gè)人數據保護被單獨提上立法議程。在美國聯(lián)邦和州一級的立法中，個(gè)人數據保護大多被冠以隱私保護之名。在晚近的司法判決中，諸如手機定位信息等個(gè)人數據被美國聯(lián)邦最高法院認定為隱私信息。[1]Carpenter v. United States, “138 S.Ct. 2206 (2018),” https://supreme.justia.com/cases/federal/us/585/16-402/ .迄今為止，美國并不存在類(lèi)似于歐盟《一般數據保護條例》或成員國個(gè)人數據保護法那樣的聯(lián)邦統一立法，有關(guān)個(gè)人數據保護制度分散于聯(lián)邦或州的部門(mén)性法律中。近些年來(lái)，在個(gè)人數據保護的制度設計尤其是保護強度上，美國一定程度上顯現出向歐盟看齊的態(tài)勢。

在數據跨境流動(dòng)領(lǐng)域，美國以《澄清境外合法使用數據法案》（簡(jiǎn)稱(chēng)CLOUD法）規定，美國企業(yè)在境外的經(jīng)營(yíng)活動(dòng)只要與美國有足夠的聯(lián)系，執法部門(mén)即可以在一定條件下調取企業(yè)存儲在境外的數據。如果外國監管部門(mén)想要調取美國本土數據，則需要達到法案規定的“適格外國政府”標準。對外國政府發(fā)出的調取數據的命令，CLOUD法案有嚴格限制，包括不得侵犯言論自由、向美國提供相互訪(fǎng)問(wèn)數據的準入權利等，且美國保留停止外國政府調取數據命令的權力。簡(jiǎn)言之，該法案為美國本土監管部門(mén)調取他國數據規定了寬松的條件，卻沒(méi)有給予外國監管部門(mén)調取美國境內數據的同等權力，實(shí)際上是單邊主義的霸權思維在數據跨境流動(dòng)領(lǐng)域內的擴張。[2]許可：《數據主權視野中的CLOUD法案》，《中國信息安全》2018年第4期，第40-42頁(yè)。

此外，在電子數據的監視和調取方面，美國存在著(zhù)兩套法律體系，即以1978年通過(guò)的《電子通信隱私法》（ECPA，后經(jīng)過(guò)多次修正）為核心、適用于一般執法情形下的數據調取規定，以及以《外國情報監視法》（FISA）和第12333號行政命令（里根總統簽署）等為核心、面向國家安全的數據監視和調取制度。后一套制度與數據跨境流動(dòng)關(guān)系更為密切，因而成為歐盟法院“隱私盾決定”訴訟的審查對象。

《外國情報監視法》與第12333號行政命令等構成美國獲取外國情報的制度框架。執法部門(mén)廣泛援引的《外國情報監視法》第702條來(lái)源于該法2008年的修正法案，其授權美國情報機構出于保障國家安全目的，向美國企業(yè)收集、查閱外國人的通信，而提供信息的企業(yè)無(wú)需通知受影響的用戶(hù)。該條同時(shí)規定了定位程序和傷害最小化程序，以確保監視僅針對外國公民，減少對美國公民數據的附帶收集。美國政府稱(chēng)，第702條對保障國家安全、打擊恐怖主義至關(guān)重要。[1]The Federal Bureau of Investigation, “Defending the Value of FISA Section 702,” October 13, 2017, https://www.fbi.gov/news/speeches/defending-the-value-of-fisa-section-702.第12333號行政令則授權美國國家安全局訪(fǎng)問(wèn)大西洋海底電纜，在數據抵達美國之前收集和保留傳輸的數據；
根據該行政命令開(kāi)展的活動(dòng)不受成文法的約束。

《外國情報監視法》第702條沒(méi)有對其賦予的、為獲取外國情報目的實(shí)施監視計劃的政府權力施加限制，也沒(méi)有對可能成為這些計劃目標的外國人提供充分的法律保障。第12333號行政命令和第PPD-28號行政命令（奧巴馬總統簽署）均未賦予數據主體在法院起訴美國當局的權利。因此，這兩項行政命令給予外國人的保護亦未達到《歐盟基本權利憲章》所要求的水平。事實(shí)上，《外國情報監視法》及第12333號行政命令對數據監視和調取的規定相對寬泛和不透明，且缺乏司法監督，這一點(diǎn)即使在美國國內也受到人權組織的詬病。[2]American Civil Liberties Union, “Warrantless Surveillance under Section 702 of FISA,” November 1, 2022, https://www.aclu.org/issues/national-security/privacy-and-surveillance/warrantlesssurveillance-under-section-702-fisa.例如，依據《外國情報監視法》創(chuàng )設的外國情報監視法庭（FISC）負責批準情報部門(mén)的監視計劃，但該法庭對監視項目進(jìn)行年度整體性批準，而非個(gè)案審批，年度計劃里只需說(shuō)明監視的數據類(lèi)別而非具體的目標個(gè)人的信息，且年度計劃內容和FISC裁決均默認保密。據統計，FISC從1979—2019年間共批準了42947項年度監視計劃，僅否決了135項，其中123項還是在2013年“棱鏡門(mén)事件”后予以否決的。[3]The Administrative Office of the U.S. Courts, “The U.S. Courts Statistics & Reports,” November 30, 2020, https://www.uscourts.gov/statistics-reports/analysisreports/directors-reportforeign-intelligence-surveillancecourts.

由于上述法律和行政命令給予情報部門(mén)的寬泛授權，美國政府實(shí)施了數項大規模數據監聽(tīng)計劃。按照《外國情報監視法》第702條開(kāi)展的情報監視包括“上游計劃”和“下游計劃”（原“棱鏡計劃”）等?！吧嫌斡媱潯鄙婕懊绹閳蟛块T(mén)對全球互聯(lián)網(wǎng)骨干網(wǎng)的數據復制和過(guò)濾，包括元數據和通信內容；
“下游計劃”則要求美國企業(yè)向情報部門(mén)披露目標賬戶(hù)接收和發(fā)送的通信和數據。根據第12333號行政命令，美國情報部門(mén)也開(kāi)展了大規模監視計劃，收集數以?xún)|計的移動(dòng)電話(huà)位置記錄、個(gè)人電子郵件中的通信錄和地址簿等。此外，無(wú)論《外國情報監視法》第702條還是第12333號行政命令對情報的定義都相對寬泛，造成收集、保存和使用大量與國家安全無(wú)關(guān)信息的風(fēng)險。[1]參見(jiàn)張春飛、楊筱敏：《從<歐美隱私盾>協(xié)議失效看美國政府電子數據調取體系》，《信息通信技術(shù)與政策》2021年第1期。

綜上，造成歐盟方面否定美國個(gè)人信息安全保證的原因，并不在于雙方制度或價(jià)值觀(guān)有所差異。恰恰相反，二者在這些方面并不存在本質(zhì)區別。美歐個(gè)人數據跨境保護協(xié)議遭到否定也并非源于經(jīng)濟競爭中相互排擠的沖動(dòng)，而是在于美國方面在保護個(gè)人數據免于來(lái)自公權力部門(mén)的不當干預上存在制度缺陷，尤其是對于境外個(gè)體數據保護的歧視性對待，基于慣有的霸權思維，將所謂美國國家安全片面地置于境外個(gè)體的基本權利之上。

結合歐盟法院作出的兩次無(wú)效判決來(lái)看，美方關(guān)于數據跨境保護的新承諾仍然不無(wú)問(wèn)題。雖然新的行政命令使用了歐盟法律的措辭即《歐洲基本權利憲章》第52條中的“必要”和“成比例的”，而不是第PPD-28號行政命令第1（d）中使用的“盡可能量身定制”，以此向歐盟方面表明向其靠攏的誠意，但新行政命令并沒(méi)有從制度上改變美方電子監控法律的內容，正在實(shí)施的大規模電子監控計劃恐難有所改變。盡管歐盟法院兩次宣布美國有關(guān)監控的法律和做法不構成“合比例”，然而新的行政命令并不禁止所謂的“批量監視”，從境外發(fā)送給美國網(wǎng)絡(luò )服務(wù)商的數據仍將最終進(jìn)入“棱鏡計劃”或“上游計劃”收集范圍。此外，行政命令中的“法院”也不是歐盟方面期待的真正意義上的法院。按照新行政命令的規定，個(gè)人數據救濟機制將是一個(gè)兩步程序，第一步由國家情報總監的官員進(jìn)行處理，第二步由“數據保護審查法庭”加以裁決。但是，兩者均非《歐洲基本權利憲章》第47條或美國憲法意義上的法院，而只是美國行政部門(mén)內的一個(gè)機構。新系統只是以前的“監察員”機制的升級版本，后者已被歐盟法院否定?；谝陨侠碛?，作為個(gè)人數據保護社會(huì )活動(dòng)家的施雷姆斯表示，如果歐盟委員會(huì )對新行政命令給予肯定，可能再次引發(fā)訴訟。[1]“First Reaction: Executive Order on US Surveillance Unlikely to Satisfy EU Law,” NOYB Organization, October 7, 2022, https://noyb.eu/en/new-us-executive-order-unlikely-satisfy-eu-law.

綜觀(guān)美歐圍繞數據跨境流動(dòng)議題博弈的全過(guò)程，可以得到的啟示是，在數字全球治理領(lǐng)域，圍繞數據跨境流動(dòng)規則主導權而展開(kāi)的各方博弈將日益突出，并將在較長(cháng)一段時(shí)間內存在。在圍繞數據跨境流動(dòng)展開(kāi)的美歐博弈中，歐盟一方握有一定的主導權，從每一次協(xié)議失效后美方均積極作出新的承諾即可看出。美國哥倫比亞大學(xué)法學(xué)院教授布拉德福德于2012年提出著(zhù)名的“布魯塞爾效應”理論。該理論認為，總部設在比利時(shí)布魯塞爾的歐盟通過(guò)一系列調整市場(chǎng)經(jīng)濟的指令、規定，例如競爭政策、環(huán)境保護、食品安全、隱私保護或者社交媒體仇恨言論監管等領(lǐng)域的立法，使其影響力向全球市場(chǎng)滲透，相當程度上實(shí)現了單方面為國際商業(yè)環(huán)境確立標準的效果。所謂“布魯塞爾效應”，就是全球商業(yè)市場(chǎng)的諸多重要方面呈現出行為標準歐洲化。這一現象也顯示出歐盟依然擁有重要和獨特的影響全球經(jīng)濟規制政策的力量。[2]Anu Bradford, The Brussels Eあect: How the European Union Rules the World,Oxford University Press,2020, p.14．2020年2月，歐盟委員會(huì )連續發(fā)布了《塑造歐洲數字未來(lái)》、《歐洲數據戰略》和《人工智能白皮書(shū)》三份數字轉型戰略文件，顯示出爭取國際數字經(jīng)濟規則主導權的強烈愿望，從一個(gè)側面印證了“布魯塞爾效應”的存在。