跨境信息流動(dòng)專題研究

數(shù)字經(jīng)濟(jì)時(shí)代，數(shù)據(jù)是新的生產(chǎn)要素，也是基礎(chǔ)性資源和戰(zhàn)略性資源。隨著云計(jì)算、大數(shù)據(jù)的快速發(fā)展，跨境信息流動(dòng)規(guī)模化、頻繁化趨勢明顯。當(dāng)前，各國受限于國內(nèi)、國際發(fā)展情況，對跨境信息流動(dòng)的監(jiān)管要求不統(tǒng)一，圍繞跨境信息流動(dòng)的國際談判將成為不可避免的重要議題。一概論（一）概念界定及研究范圍當(dāng)前，全球?qū)τ诳缇承畔⒘鲃?dòng)還未有統(tǒng)一的定義?？缇承畔⒘鲃?dòng)在中文中有跨境數(shù)據(jù)流動(dòng)、跨境數(shù)據(jù)轉(zhuǎn)移等不同表述方式；英文表述中，聯(lián)合國、OECD、歐盟等常使用“TransborderDataFlow”一詞，而美國、澳大利亞等常使用“Cross-borderDataFlow”一詞，一些文獻(xiàn)，尤其是早期的文獻(xiàn)常常使用“信息自由流動(dòng)”即“FreeFlowofInformation”。表1國際組織及各國對跨境信息流動(dòng)的概念界定國家/國際組織概念名稱概念內(nèi)容來源OECDTransborderDataFlow個(gè)人數(shù)據(jù)的跨越國界流動(dòng)《保護(hù)隱私和個(gè)人數(shù)據(jù)跨境流動(dòng)的指導(dǎo)方針》聯(lián)合國TransborderDataFlow跨越國界對存儲(chǔ)在計(jì)算機(jī)中的機(jī)器可讀的數(shù)據(jù)進(jìn)行處理、存儲(chǔ)和檢索跨國公司中心澳大利亞Cross-borderDataFlow跨境信息流動(dòng)應(yīng)當(dāng)以是否被澳大利亞國界以外接入進(jìn)行區(qū)分：如果個(gè)人數(shù)據(jù)存儲(chǔ)于澳大利亞，卻在澳大利亞境外被訪問的話，即可被視為跨境轉(zhuǎn)移。如果個(gè)人數(shù)據(jù)僅僅因?yàn)槁酚善骶壒识虝捍鎯?chǔ)于澳大利亞境外，卻沒有被訪問的話，可以不受《隱私法》關(guān)于跨境信息流動(dòng)原則的約束澳大利亞法律改革委員會(huì)（ALRC）對《隱私法》的解釋中國數(shù)據(jù)出境數(shù)據(jù)出境，是指網(wǎng)絡(luò)運(yùn)營者將在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)，提供給位于境外的機(jī)構(gòu)、組織、個(gè)人《個(gè)人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》|Excel下載表1國際組織及各國對跨境信息流動(dòng)的概念界定從字面意思來看，跨境信息流動(dòng)包含“跨境”“信息”“流動(dòng)”三個(gè)關(guān)鍵詞?！翱缇场钡暮x一般指跨越國境，之所以與國際貿(mào)易中規(guī)定的“跨越關(guān)境”有所區(qū)別，主要源于跨境信息流動(dòng)不涉及關(guān)稅、檢驗(yàn)檢疫、通關(guān)等系列海關(guān)流程，卻與一國法律法規(guī)政策密切相關(guān)?！靶畔ⅰ痹趪飧黜?xiàng)文件表述中有“Data”“Information”，“Information”（信息）的含義一般來講比較寬泛，包含所有的信息流動(dòng)，包括媒體信息、宣傳信息等，“Data”（數(shù)據(jù)）的表述相對狹義，集中于個(gè)人、商業(yè)部門、公共部門生活、運(yùn)營過程中實(shí)際的數(shù)據(jù)。關(guān)于信息的種類，當(dāng)前國際上還未有統(tǒng)一的分類規(guī)定，各國際組織、世界各國按照自身實(shí)際需求在相關(guān)法律條文、規(guī)定中，對不同的跨境數(shù)據(jù)進(jìn)行說明，主要有政府?dāng)?shù)據(jù)、個(gè)人數(shù)據(jù)、敏感數(shù)據(jù)、重要數(shù)據(jù)等。表2關(guān)于跨境信息流動(dòng)中具體信息類別的說明具體內(nèi)容來源OECD個(gè)人資料是指任何關(guān)于一個(gè)被識(shí)別或可以被識(shí)別的自然人（本人）的信息，其形式不僅限于電腦處理的個(gè)人資料，還包括人工處理的個(gè)人資料《保護(hù)隱私和個(gè)人數(shù)據(jù)跨境流動(dòng)的指導(dǎo)方針》美國信息隱私又稱個(gè)人信息隱私，是指自然人對其個(gè)人信息的保密、公開和支配、控制享有的隱私權(quán)。信息隱私主要涉及以下兩個(gè)方面的內(nèi)容：①對個(gè)人信息的保密、公開和利用的利益；②支配、控制已公開的個(gè)人信息的利益《隱私權(quán)法》加拿大個(gè)人信息為“個(gè)人識(shí)別信息”，但不包括姓名、職務(wù)、辦公地址、辦公電話《個(gè)人信息保護(hù)和電子文件法》中國個(gè)人信息，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等《個(gè)人信息和重要數(shù)據(jù)出境安全評估辦法》重要數(shù)據(jù)，是指與國家安全、經(jīng)濟(jì)發(fā)展，以及社會(huì)公共利益密切相關(guān)的數(shù)據(jù)，具體范圍參照國家有關(guān)標(biāo)準(zhǔn)和重要數(shù)據(jù)識(shí)別指南澳大利亞政府?dāng)?shù)據(jù)指的是涉及公眾的業(yè)務(wù)和權(quán)力的數(shù)據(jù)、機(jī)關(guān)工作手冊、涉及公眾的決策和建議的文件1982年《信息自由法》健康數(shù)據(jù)指的是：①關(guān)于個(gè)人健康或身體殘疾的數(shù)據(jù)；②個(gè)人目前或?qū)砜赡芙邮艿闹委熐闆r的數(shù)據(jù)；③在治療過程中收集或提供的數(shù)據(jù)；④個(gè)人與身份組織、器官捐獻(xiàn)有關(guān)的數(shù)據(jù)；⑤能夠?qū)€(gè)人健康狀況起到預(yù)測作用的或可證明與其他人親緣關(guān)系的個(gè)人基因數(shù)據(jù)《個(gè)人控制的電子健康記錄法》（PCEHR）、1988年《隱私法》個(gè)人數(shù)據(jù)指的是理論及實(shí)踐中可識(shí)別個(gè)人身份的數(shù)據(jù)及觀點(diǎn)，無論數(shù)據(jù)或觀點(diǎn)是否真實(shí)或以物質(zhì)形式記錄?？勺R(shí)別的個(gè)人數(shù)據(jù)包括了個(gè)人的全名、別名或曾用名，個(gè)人生日，個(gè)人性別，個(gè)人目前的住址或曾經(jīng)住址（之前兩個(gè)），個(gè)人目前雇主或之前雇主姓名，個(gè)人的駕駛證件號(hào)碼《隱私法》|Excel下載表2關(guān)于跨境信息流動(dòng)中具體信息類別的說明“流動(dòng)”一詞有“flow”“transfer”，但內(nèi)涵基本相同，數(shù)據(jù)被跨境讀取、處理、存儲(chǔ)、轉(zhuǎn)移等都屬于流動(dòng)范疇。需要注意的是，境外數(shù)據(jù)由一國境內(nèi)中轉(zhuǎn)，但未經(jīng)任何變動(dòng)或加工處理的情形不屬于本國跨境信息流動(dòng)的管理范疇。同時(shí)，對于一國而言，有數(shù)據(jù)出口和數(shù)據(jù)進(jìn)口之分，一般而言，數(shù)據(jù)進(jìn)口國很少會(huì)自發(fā)制定政策限制數(shù)據(jù)流入，國際談判也主要集中于數(shù)據(jù)出口管理政策。鑒于此，本報(bào)告中，跨境信息流動(dòng)是指數(shù)據(jù)通過互聯(lián)網(wǎng)和信息系統(tǒng)跨越國家邊境的運(yùn)動(dòng)。跨境信息流動(dòng)政策、立場、管理措施是指面向數(shù)據(jù)出口的相關(guān)規(guī)定。（二）基本判斷：跨境信息流動(dòng)是數(shù)字經(jīng)濟(jì)發(fā)展的必然以互聯(lián)網(wǎng)為代表的信息技術(shù)不斷加速與經(jīng)濟(jì)社會(huì)各領(lǐng)域深度融合，全球正處于從工業(yè)經(jīng)濟(jì)邁向數(shù)字經(jīng)濟(jì)的重要?dú)v史機(jī)遇期，數(shù)據(jù)成為驅(qū)動(dòng)經(jīng)濟(jì)社會(huì)創(chuàng)新發(fā)展的重要?jiǎng)恿?。在全球?jīng)濟(jì)一體化的背景下，全球跨境數(shù)據(jù)量迅猛增長，跨境信息流動(dòng)成為不可避免的發(fā)展態(tài)勢。當(dāng)前，跨境信息流動(dòng)面臨的問題，主要是各國對于數(shù)據(jù)保護(hù)、數(shù)據(jù)跨境監(jiān)管的法律規(guī)定不統(tǒng)一。由于各國經(jīng)濟(jì)發(fā)展水平、信息產(chǎn)業(yè)結(jié)構(gòu)、政治意識(shí)形態(tài)等方面的不同，且跨境信息流動(dòng)不僅影響到經(jīng)濟(jì)的發(fā)展，而且影響到國家安全、公眾利益，因此，各國對于跨境信息流動(dòng)的主張、管理等方面都有所差異。這也成為跨境信息流動(dòng)在國際談判中日益重要的原因。未來，隨著互聯(lián)網(wǎng)與經(jīng)濟(jì)社會(huì)的深度融合，跨境信息流動(dòng)的國際談判將占有越來越重要的地位。這既是不可避免的趨勢，也是我們必須要提前應(yīng)對的重要議題。二各國跨境信息流動(dòng)決策因素及管理措施（一）各國跨境信息流動(dòng)立場決策因素由于數(shù)據(jù)中包含了諸多信息，隨著跨境信息流動(dòng)規(guī)模的不斷擴(kuò)大，信息安全日益成為各個(gè)國際組織和國家關(guān)注的重點(diǎn)，各國紛紛出臺(tái)相關(guān)文件和法律對其進(jìn)行規(guī)范和監(jiān)管，旨在平衡跨境信息流動(dòng)中涉及的國家安全、產(chǎn)業(yè)發(fā)展和消費(fèi)者保護(hù)三者的關(guān)系?？傮w來看，一國跨境信息流動(dòng)相關(guān)政策的制定受國內(nèi)和國外兩方面因素的影響。國內(nèi)因素主要包括經(jīng)濟(jì)發(fā)展、國家安全和公眾利益三個(gè)方面。經(jīng)濟(jì)發(fā)展主要圍繞跨境信息流動(dòng)相關(guān)產(chǎn)業(yè)在國家經(jīng)濟(jì)發(fā)展中的地位和作用，包括信息產(chǎn)業(yè)的發(fā)展規(guī)模、產(chǎn)業(yè)結(jié)構(gòu)和就業(yè)帶動(dòng)水平。經(jīng)濟(jì)發(fā)展指標(biāo)主要代表了國家經(jīng)濟(jì)發(fā)展、企業(yè)發(fā)展的利益，一般來講，一國信息產(chǎn)業(yè)中數(shù)字服務(wù)產(chǎn)業(yè)規(guī)模越大、占比越高，其對降低跨境信息流動(dòng)限制的訴求越大。國家安全主要是指跨境信息流動(dòng)對國家安全的影響、網(wǎng)絡(luò)治理原則、網(wǎng)絡(luò)安全保障能力等方面。國家安全包括政治安全、經(jīng)濟(jì)安全、國土安全、社會(huì)安全、網(wǎng)絡(luò)安全等。一國網(wǎng)絡(luò)主權(quán)意識(shí)、網(wǎng)絡(luò)安全保障能力均能夠影響一國對跨境信息流動(dòng)的限制手段。公眾利益主要圍繞一國的個(gè)人隱私保護(hù)基礎(chǔ)和要求，個(gè)人數(shù)據(jù)保護(hù)意識(shí)、已有的法律基礎(chǔ)等因素會(huì)影響到一國在跨境信息流動(dòng)方面的管理方式。一般來講，個(gè)人隱私保護(hù)相關(guān)法律基礎(chǔ)越完善，社會(huì)文化傳統(tǒng)對個(gè)人隱私保護(hù)的要求越高，在推進(jìn)跨境信息流動(dòng)時(shí)，所需滿足的個(gè)人隱私保護(hù)的要求越高。國際因素主要包括國際治理原則、國際承諾、政治利益、貿(mào)易關(guān)系等幾方面的內(nèi)容。國際治理原則是指一國對于自由貿(mào)易的態(tài)度，以及對國際數(shù)字經(jīng)濟(jì)秩序、規(guī)則等相關(guān)方面的態(tài)度和立場。國際承諾指一國在多邊、雙邊協(xié)定中已經(jīng)做出的跨境信息流動(dòng)相關(guān)承諾。政治利益和貿(mào)易關(guān)系側(cè)重一國與美國、歐盟等具有明確國際主張并正在積極推動(dòng)的國家間的政治、貿(mào)易關(guān)系。一般來講，與其有密切的政治利益關(guān)系、經(jīng)濟(jì)關(guān)系的國家更容易受到相關(guān)主張的影響。表3各國跨境信息流動(dòng)決策因素決策因素關(guān)注點(diǎn)說明國內(nèi)國家安全國家安全影響跨境信息流動(dòng)對一國國家安全（政治安全、經(jīng)濟(jì)安全、國土安全、社會(huì)安全、網(wǎng)絡(luò)安全）等方面的影響網(wǎng)絡(luò)治理原則對網(wǎng)絡(luò)管轄權(quán)、網(wǎng)絡(luò)內(nèi)容、網(wǎng)絡(luò)執(zhí)法等方面的原則和要求網(wǎng)絡(luò)安全保障能力一國網(wǎng)絡(luò)安全保障技術(shù)水平、產(chǎn)業(yè)發(fā)展水平以及防御能力經(jīng)濟(jì)發(fā)展信息產(chǎn)業(yè)發(fā)展規(guī)模一國在ICT、數(shù)字產(chǎn)品、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等相關(guān)行業(yè)的發(fā)展水平信息產(chǎn)業(yè)結(jié)構(gòu)包括一國傳統(tǒng)信息產(chǎn)業(yè)、平臺(tái)企業(yè)、新型數(shù)字服務(wù)企業(yè)發(fā)展占比、競爭優(yōu)勢就業(yè)帶動(dòng)水平跨境信息流動(dòng)相關(guān)產(chǎn)業(yè)對一國就業(yè)的帶動(dòng)作用公眾利益數(shù)據(jù)保護(hù)意識(shí)社會(huì)對個(gè)人隱私保護(hù)的認(rèn)識(shí)、要求程度已有法律基礎(chǔ)一國國內(nèi)法規(guī)在個(gè)人隱私保護(hù)方面的規(guī)定國際國家治理原則一國是否支持自由貿(mào)易，以及對國際數(shù)字經(jīng)濟(jì)秩序、規(guī)則的態(tài)度和立場國際承諾在多邊、雙邊協(xié)定中所做出的相關(guān)承諾政治利益與美國、歐盟等主要國家的政治利益關(guān)系貿(mào)易關(guān)系與美國、歐盟等主要國家的貿(mào)易關(guān)系|Excel下載表3各國跨境信息流動(dòng)決策因素（二）各國跨境信息流動(dòng)管理措施全球各國對于跨境信息流動(dòng)都有一定的管理措施，按照國家對跨境信息流動(dòng)立場、態(tài)度不同，所采取的措施類別、嚴(yán)格程度也有所差別?？傮w來看，主要采取分級(jí)分類的方式進(jìn)行管理，通過對數(shù)據(jù)的重要程度進(jìn)行區(qū)分，采取不同級(jí)別的限制措施。一般來講，限制措施主要包括完全禁止跨境傳輸、數(shù)據(jù)本地化管理、第三國適當(dāng)性評估、風(fēng)險(xiǎn)評估、數(shù)據(jù)控制者擔(dān)保、數(shù)據(jù)主體同意等。1.完全禁止跨境傳輸對于涉及國家安全、軍事機(jī)密、個(gè)人關(guān)鍵信息等敏感數(shù)據(jù)，各國均做出了禁止跨境流動(dòng)的規(guī)定，但各個(gè)國家對于敏感數(shù)據(jù)的界定不盡相同。禁止跨境傳輸能夠保護(hù)敏感數(shù)據(jù)，進(jìn)一步保障國家安全和公眾利益。但同時(shí)也會(huì)帶來兩方面的問題，一是過量禁止跨境信息流動(dòng)會(huì)阻礙正常的商業(yè)活動(dòng)，不利于本國數(shù)字經(jīng)濟(jì)發(fā)展。二是國際組織在各類宣言、文件中普遍強(qiáng)調(diào)，成員國不可對信息傳輸施加超出實(shí)現(xiàn)目標(biāo)所需要的限制。因此，過多限制跨境信息傳輸可能會(huì)在國際談判中處于不利地位。表4各國禁止跨境傳輸相關(guān)政策匯總國家具體規(guī)定內(nèi)容美國2016年美國發(fā)布的《1075——聯(lián)邦、州和地方機(jī)構(gòu)稅收信息安全指南》規(guī)定聯(lián)邦機(jī)構(gòu)必須將稅收系統(tǒng)的接收、處理、儲(chǔ)存或轉(zhuǎn)移地限制在美國領(lǐng)土、大使館或軍事駐地內(nèi)澳大利亞澳大利亞《個(gè)人控制的電子健康記錄法》將與消費(fèi)者有關(guān)的個(gè)人數(shù)據(jù)與個(gè)人健康數(shù)據(jù)區(qū)分開，規(guī)定禁止可識(shí)別個(gè)人身份的健康數(shù)據(jù)向澳大利亞以外地區(qū)傳輸，例外事項(xiàng)除外印度印度在建立本地基礎(chǔ)設(shè)施的基礎(chǔ)上，要求存儲(chǔ)在這些企業(yè)的公民個(gè)人信息、政府信息和公司信息不得轉(zhuǎn)移至境外新西蘭公司把商業(yè)記錄信息存儲(chǔ)在境內(nèi)法國對電子通信網(wǎng)絡(luò)進(jìn)行偵聽的系統(tǒng)必須在境內(nèi)建立和實(shí)施|Excel下載表4各國禁止跨境傳輸相關(guān)政策匯總2.數(shù)據(jù)本地化管理數(shù)據(jù)存儲(chǔ)本地化方式主要包括設(shè)施本地化、數(shù)據(jù)本地化。設(shè)施本地化要求企業(yè)使用數(shù)據(jù)來源國的存儲(chǔ)設(shè)施進(jìn)行數(shù)據(jù)存儲(chǔ)、處理。數(shù)據(jù)本地化要求將數(shù)據(jù)存儲(chǔ)在數(shù)據(jù)來源國境內(nèi)。數(shù)據(jù)本地化并非禁止數(shù)據(jù)的跨境傳輸，因此并不等同于禁止跨境信息流動(dòng)。數(shù)據(jù)本地化政策的優(yōu)點(diǎn)有三：一是有助于促進(jìn)本國數(shù)字產(chǎn)業(yè)的發(fā)展，設(shè)施本地化能夠促進(jìn)本國相關(guān)硬件產(chǎn)業(yè)的發(fā)展，而數(shù)據(jù)的本地化必然使企業(yè)增加投資，拉動(dòng)就業(yè)；二是有助于本國執(zhí)法，數(shù)據(jù)存儲(chǔ)在境內(nèi)，為國內(nèi)的行政機(jī)構(gòu)、司法機(jī)構(gòu)開展犯罪偵查、保護(hù)國家安全提供了方便；三是有助于本國數(shù)據(jù)管理，在數(shù)據(jù)本地化存儲(chǔ)的基礎(chǔ)上，各國可以根據(jù)自身需求，在對數(shù)據(jù)進(jìn)行合理限制和規(guī)范的基礎(chǔ)上進(jìn)行跨境流動(dòng)，從而防止數(shù)據(jù)的濫用。但數(shù)據(jù)本地化管理并不能完全保障數(shù)據(jù)安全?；ヂ?lián)網(wǎng)時(shí)代的數(shù)據(jù)安全保護(hù)主要取決于網(wǎng)絡(luò)安全保障和防護(hù)能力。若一國網(wǎng)絡(luò)安全防護(hù)能力較差，則數(shù)據(jù)集中存儲(chǔ)反而更容易受到網(wǎng)絡(luò)攻擊，導(dǎo)致重要數(shù)據(jù)的泄露。表5各國數(shù)據(jù)本地化相關(guān)政策匯總國家限制數(shù)據(jù)美國2015年發(fā)布修訂規(guī)則，要求所有云計(jì)算服務(wù)提供商在國內(nèi)存儲(chǔ)數(shù)據(jù)加拿大（不列顛哥倫比亞、新斯科舍?。?qiáng)制要求公共機(jī)構(gòu)（如學(xué)校、醫(yī)院）保存的個(gè)人數(shù)據(jù)必須在加拿大存儲(chǔ)和訪問俄羅斯2014年底通過了《數(shù)據(jù)本土化法》（FederalLawNo.526-FZ），要求所有搜集俄羅斯公民個(gè)人數(shù)據(jù)的數(shù)據(jù)控制者都應(yīng)當(dāng)將其服務(wù)器設(shè)置在俄羅斯境內(nèi)越南要求企業(yè)的搜索引擎、數(shù)據(jù)中心和云服務(wù)的數(shù)據(jù)應(yīng)當(dāng)存儲(chǔ)在境內(nèi)尼日利亞所有的ATM國內(nèi)交易應(yīng)當(dāng)通過本地的路由器，并且不得在境外處理交易路由器委內(nèi)瑞拉國內(nèi)支付交易應(yīng)當(dāng)在境內(nèi)處理丹麥、挪威禁止使用服務(wù)器在境外的云服務(wù)韓國金融機(jī)構(gòu)的服務(wù)器應(yīng)當(dāng)存儲(chǔ)在境內(nèi)巴西要求Google、Facebook等公司在境內(nèi)建立數(shù)據(jù)中心|Excel下載表5各國數(shù)據(jù)本地化相關(guān)政策匯總3.第三國適當(dāng)性評估第三國適當(dāng)性評估是指將數(shù)據(jù)保護(hù)水平的充分性作為與境外國家傳輸跨境信息的前提。第三國適當(dāng)性評估的主要目的是保護(hù)數(shù)據(jù)安全、防止數(shù)據(jù)濫用。由于各國對數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)和水平不同，第三國適當(dāng)性評估更有利于保證本國數(shù)據(jù)受到應(yīng)有的保護(hù)。但其執(zhí)行情況受限于評估標(biāo)準(zhǔn)，評估標(biāo)準(zhǔn)中的主觀性指標(biāo)，往往更容易加入一國政府的政治考慮。表6各國第三國適當(dāng)性評估相關(guān)政策匯總國家限制措施歐盟《指令》第四章專門規(guī)定個(gè)人數(shù)據(jù)向非成員國跨境轉(zhuǎn)移的規(guī)則。其第25條規(guī)定，成員國必須確?？缇硵?shù)據(jù)轉(zhuǎn)移的前提是第三國為個(gè)人數(shù)據(jù)提供了適當(dāng)水平的保護(hù)，第三國適當(dāng)性評估由歐盟委員會(huì)根據(jù)第三國的所有情況以決議形式做出2016年《指令》的《通用條例》第45條詳細(xì)規(guī)定了歐盟委員會(huì)對第三國進(jìn)行適當(dāng)性評估時(shí)應(yīng)當(dāng)考慮的因素俄羅斯《個(gè)人數(shù)據(jù)保護(hù)法》第12條第1款規(guī)定，數(shù)據(jù)向第三國轉(zhuǎn)移的，數(shù)據(jù)控制者應(yīng)當(dāng)確認(rèn)第三國提供了“充分水平的保護(hù)”《個(gè)人數(shù)據(jù)保護(hù)法》第12條第2款還規(guī)定，即使第三國提供了充分水平的保護(hù)，俄羅斯當(dāng)局也可以以國家安全、國家防衛(wèi)、保護(hù)公眾合法權(quán)益為由禁止或者進(jìn)一步限制數(shù)據(jù)轉(zhuǎn)移澳大利亞《數(shù)據(jù)安全分類系統(tǒng)》中規(guī)定政府?dāng)?shù)據(jù)方面，當(dāng)數(shù)據(jù)通過雙邊安全文書希望實(shí)現(xiàn)互惠的分類數(shù)據(jù)保護(hù)時(shí)，需要采取與澳大利亞保護(hù)性安全標(biāo)識(shí)類似的措施，以保證數(shù)據(jù)被置于不低于提供數(shù)據(jù)一方政府要求的保護(hù)水平|Excel下載表6各國第三國適當(dāng)性評估相關(guān)政策匯總4.風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)評估是指在數(shù)據(jù)出口前，由相關(guān)主管部門對數(shù)據(jù)進(jìn)行評估，識(shí)別其潛在風(fēng)險(xiǎn)，并采取相應(yīng)措施防范安全風(fēng)險(xiǎn)。這一管理方式，優(yōu)點(diǎn)是防范了數(shù)據(jù)風(fēng)險(xiǎn)，缺點(diǎn)是增加了政府的監(jiān)管成本，對于出口較為頻繁的數(shù)據(jù)，多次審批也降低了企業(yè)效率。表7各國風(fēng)險(xiǎn)評估相關(guān)政策匯總國家限制措施澳大利亞《政府信息外包、高岸存儲(chǔ)和處理ICT安排政策與風(fēng)險(xiǎn)管理指南》將政府信息分級(jí)，其中對于非保密的信息，要求政府機(jī)構(gòu)進(jìn)行安全風(fēng)險(xiǎn)評估之后才能實(shí)施外包加拿大《關(guān)于解決美國愛國者法案和跨境信息流動(dòng)問題的聯(lián)邦戰(zhàn)略》中財(cái)政委員會(huì)要求每一個(gè)政府機(jī)構(gòu)對數(shù)據(jù)處理合同進(jìn)行評估以識(shí)別任何與美國愛國者法案相關(guān)的潛在風(fēng)險(xiǎn)，評估風(fēng)險(xiǎn)層級(jí)，并且采取修正措施來解決安全風(fēng)險(xiǎn)問題美國《出口管理?xiàng)l例》（EAR）和《國際軍火交易條例》（ITAR）分別對非軍用和軍用的相關(guān)技術(shù)數(shù)據(jù)進(jìn)行出口許可管理|Excel下載表7各國風(fēng)險(xiǎn)評估相關(guān)政策匯總5.數(shù)據(jù)控制者擔(dān)保數(shù)據(jù)控制者擔(dān)保是要求企業(yè)在跨境信息傳輸時(shí)通過合同、條款等方式對數(shù)據(jù)的安全性和使用合法性進(jìn)行擔(dān)保。這一管理方式將保護(hù)數(shù)據(jù)安全、防止數(shù)據(jù)濫用的責(zé)任由政府轉(zhuǎn)移到企業(yè)。這一管理方式的優(yōu)點(diǎn)是將數(shù)據(jù)保護(hù)機(jī)制回歸到市場機(jī)制，鼓勵(lì)企業(yè)為了迎合消費(fèi)者要求而保障數(shù)據(jù)安全可靠，減輕了政府的行政審批壓力。缺點(diǎn)是：一方面，這一機(jī)制需要企業(yè)有較高的自律水平；另一方面，對于中小企業(yè)來說，操作成本較高。表8各國數(shù)據(jù)控制者擔(dān)保相關(guān)數(shù)據(jù)匯總國家限制措施澳大利亞數(shù)據(jù)控制者在向第三國數(shù)據(jù)接收者轉(zhuǎn)移個(gè)人數(shù)據(jù)之前，原則上必須采取“在當(dāng)時(shí)情況下所有合理措施”確保第三國接收者并沒有違反澳大利亞隱私原則（透明原則除外）|Excel下載表8各國數(shù)據(jù)控制者擔(dān)保相關(guān)數(shù)據(jù)匯總6.數(shù)據(jù)主體同意數(shù)據(jù)主體同意方式是指企業(yè)在數(shù)據(jù)出口前須獲得數(shù)據(jù)主體的同意。該方式的優(yōu)點(diǎn)是賦予消費(fèi)者以控制數(shù)據(jù)傳輸及使用的權(quán)利，強(qiáng)調(diào)數(shù)據(jù)主體對數(shù)據(jù)使用的責(zé)任，但有三個(gè)方面的缺點(diǎn)：一是數(shù)據(jù)保護(hù)水平取決于消費(fèi)者隱私保護(hù)意識(shí)，二是企業(yè)可以通過多種形式控制消費(fèi)者的選擇，三是增加了企業(yè)數(shù)據(jù)處理成本。表9各國數(shù)據(jù)主體同意相關(guān)政策匯總國家限制措施泰國《個(gè)人信息保護(hù)法》草案將要求在海外數(shù)據(jù)轉(zhuǎn)移之前，數(shù)據(jù)主體必須以書面形式向海外轉(zhuǎn)移者做出具體同意，同時(shí)轉(zhuǎn)移目的地國的個(gè)人資料保護(hù)法必須能足夠保護(hù)信息日本《個(gè)人數(shù)據(jù)保護(hù)法》第23條規(guī)定了向第三者提供的限制。日本境內(nèi)的第三者以及日本境外的第三者都受該條約束《經(jīng)濟(jì)與工業(yè)領(lǐng)域個(gè)人數(shù)據(jù)保護(hù)指南》規(guī)定，同意的方式包括口頭和書面的同意，以及點(diǎn)擊網(wǎng)頁上有關(guān)同意的確認(rèn)鍵?？紤]到數(shù)據(jù)主體做出同意后又可能要求數(shù)據(jù)提供者停止向第三者提供的情況，該法做了相關(guān)規(guī)定|Excel下載表9各國數(shù)據(jù)主體同意相關(guān)政策匯總（三）典型國家分析1.美國（1）基本立場：支持自由的跨境信息流動(dòng)美國支持跨境數(shù)據(jù)流自由流動(dòng)，并長期致力于在全球范圍內(nèi)消除跨境數(shù)據(jù)流自由流動(dòng)障礙。從決策因素來看，美國以推動(dòng)經(jīng)濟(jì)發(fā)展為主。首先，美國數(shù)字服務(wù)產(chǎn)業(yè)發(fā)展全球領(lǐng)先。美國是全球經(jīng)濟(jì)、軍事和科技實(shí)力最強(qiáng)的國家，以互聯(lián)網(wǎng)和跨境數(shù)據(jù)流為基礎(chǔ)的數(shù)字服務(wù)產(chǎn)業(yè)和跨國公司發(fā)展一直處于世界領(lǐng)先的地位。跨境信息自由流動(dòng)是支持?jǐn)?shù)字服務(wù)產(chǎn)業(yè)發(fā)展的基礎(chǔ)，對跨境數(shù)據(jù)流進(jìn)行大規(guī)模限制不符合國家利益。其次，美國偏向限制政府權(quán)力。美國對個(gè)人信息保護(hù)采取寬松態(tài)度，將企業(yè)責(zé)任最小化至公共責(zé)任，以商業(yè)力量保護(hù)消費(fèi)者信息。（2）管理手段：以行業(yè)自律為主美國沒有專門出臺(tái)一部針對跨境數(shù)據(jù)流的數(shù)據(jù)保護(hù)法規(guī)，有關(guān)數(shù)據(jù)出口的限制和法規(guī)零散出現(xiàn)在各領(lǐng)域法案中，重點(diǎn)管理軍用數(shù)據(jù)、技術(shù)數(shù)據(jù)、關(guān)鍵基礎(chǔ)設(shè)施數(shù)據(jù)、關(guān)鍵個(gè)人數(shù)據(jù)的跨境流動(dòng)。對于技術(shù)數(shù)據(jù)，美國在《出口管理?xiàng)l例》《國際軍火交易條例》中分別對非軍用和軍用的相關(guān)技術(shù)數(shù)據(jù)進(jìn)行出口許可管理。提供數(shù)據(jù)處理服務(wù)的相關(guān)主體或者掌握數(shù)據(jù)所有權(quán)的相關(guān)主體在數(shù)據(jù)出口時(shí)，必須獲得法律規(guī)定的出口許可證。其中，美國法律對數(shù)據(jù)出口的管理范圍非常寬泛，即使是向美國境內(nèi)的外國公民傳遞數(shù)據(jù)，也被視為出口。對于基礎(chǔ)設(shè)施數(shù)據(jù)，美國對包括商用核設(shè)施、政府設(shè)施、交通系統(tǒng)、銀行和金融、國防工業(yè)基地等在內(nèi)的關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的跨境信息流動(dòng)進(jìn)行了嚴(yán)格的限制和管理。美國在其《國家基礎(chǔ)設(shè)施保護(hù)計(jì)劃》（2013）中指出，影響關(guān)鍵基礎(chǔ)設(shè)施的風(fēng)險(xiǎn)環(huán)境是復(fù)雜的和不斷變化的。長期以來，關(guān)鍵基礎(chǔ)設(shè)施一直受物理威脅和自然災(zāi)害的影響，而現(xiàn)在網(wǎng)絡(luò)威脅越來越明顯，諸如網(wǎng)絡(luò)安全漏洞、網(wǎng)絡(luò)攻擊的信息技術(shù)和網(wǎng)絡(luò)威脅對關(guān)鍵基礎(chǔ)設(shè)施產(chǎn)生重要影響。不斷增長的數(shù)據(jù)和信息對于運(yùn)營和維護(hù)基礎(chǔ)設(shè)施非常必要，但是這些數(shù)據(jù)和信息很容易受到非法訪問，并影響其保密性、完整性和可用性。對于重要行業(yè)和個(gè)人數(shù)據(jù)，美國出臺(tái)了多項(xiàng)法案進(jìn)行管理。例如，在電信領(lǐng)域，CFIUS會(huì)要求國外投資者與其下設(shè)的電信小組簽署安全協(xié)定，要求其國內(nèi)通信基礎(chǔ)設(shè)施應(yīng)位于美國境內(nèi)，將通信數(shù)據(jù)、交易數(shù)據(jù)、用戶信息等僅存儲(chǔ)在美國境內(nèi)。（3）國際策略：積極在全球范圍內(nèi)推動(dòng)跨境數(shù)據(jù)流自由流動(dòng)美國通過多雙邊談判積極推行跨境數(shù)據(jù)自由流動(dòng)。美國在韓美自貿(mào)協(xié)定、WTO、TPP、TTIP、TISA等多邊談判以及各類國際論壇中將推進(jìn)跨境數(shù)據(jù)自由流動(dòng)作為重點(diǎn)議題，其中TPP中集成了美國認(rèn)為最全面、最高標(biāo)準(zhǔn)的數(shù)字標(biāo)準(zhǔn)規(guī)則。隨著特朗普上臺(tái)及其貿(mào)易政策方向從以規(guī)則為基礎(chǔ)的多邊主義向以實(shí)力、實(shí)用為基礎(chǔ)的雙邊主義轉(zhuǎn)變，美國正式退出TPP。TTIP、TISA等多雙邊協(xié)定目前也處于暫停狀態(tài)。但這并不意味著美國關(guān)于數(shù)字貿(mào)易規(guī)則的立場和訴求會(huì)發(fā)生重大改變，在USTR發(fā)布的《2017年貿(mào)易政策議程和2016年年度報(bào)告》中，“總統(tǒng)貿(mào)易政策議程”部分最高優(yōu)先事項(xiàng)一節(jié)，明確點(diǎn)出美國企業(yè)由于別國封堵或不合理地限制數(shù)據(jù)和數(shù)字服務(wù)的流動(dòng)以及竊取交易秘密而受到損害，為此，美國政府將利用所有可能的杠桿鼓勵(lì)其他國家開放市場，給美國企業(yè)提供公平、互惠的市場準(zhǔn)入。2.歐盟（1）基本立場：支持“充分保護(hù)”條件下的跨境信息流動(dòng)首先，歐盟高度重視個(gè)人數(shù)據(jù)保護(hù)。歐盟關(guān)注個(gè)人數(shù)據(jù)跨境流動(dòng)中涉及的隱私問題，將個(gè)人信息保護(hù)視為人權(quán)的一部分，其監(jiān)管出發(fā)點(diǎn)是嚴(yán)格控制個(gè)人數(shù)據(jù)流動(dòng)。其次，歐盟數(shù)字服務(wù)產(chǎn)業(yè)落后于北美。歐洲是全球發(fā)達(dá)國家較為集中的區(qū)域，但是總體來講，其信息產(chǎn)業(yè)發(fā)展與北美該產(chǎn)業(yè)差距巨大。例如，與北美地區(qū)（美國和加拿大）同行相比，歐洲云計(jì)算企業(yè)在融資、企業(yè)價(jià)值、并購等方面處于顯著弱勢。2012年北美云計(jì)算市場平均季度融資比歐洲高1倍有余，平均企業(yè)價(jià)值高于歐洲33%，企業(yè)并購情況是歐洲的1.5倍。（2）管理措施：全面、嚴(yán)格的管理體系歐盟通過《歐洲理事會(huì)108號(hào)公約》、《數(shù)據(jù)保護(hù)指令》（1995）、《歐盟議會(huì)和歐盟理事會(huì)關(guān)于共同體機(jī)構(gòu)和組織處理個(gè)人數(shù)據(jù)和促進(jìn)這些數(shù)據(jù)自由流動(dòng)的個(gè)人數(shù)據(jù)保護(hù)》（2000）、《通用數(shù)據(jù)保護(hù)條例》（2015）等文件對個(gè)人數(shù)據(jù)的隱私保護(hù)進(jìn)行了全面、嚴(yán)格的規(guī)定，形成了嚴(yán)格、全面的管理體系（具體內(nèi)容將在報(bào)告第三部分詳細(xì)闡述）。歐盟關(guān)于跨境信息流動(dòng)的規(guī)制對歐盟國和非歐盟國劃分了明確的界限。因此，一些國家為促進(jìn)本國的電子商務(wù)或數(shù)字產(chǎn)業(yè)發(fā)展，與歐盟簽訂了數(shù)據(jù)保護(hù)相關(guān)的協(xié)議。例如，2016年通過的《美國-歐盟隱私護(hù)盾》，提出了七大原則，支持美歐之間的跨境信息流動(dòng)?？傮w來看，歐盟以保護(hù)為優(yōu)先的策略，雖然加強(qiáng)了個(gè)人數(shù)據(jù)保護(hù)，但嚴(yán)厲的保護(hù)措施阻礙了企業(yè)的利益，不利于產(chǎn)業(yè)培養(yǎng)。未來，歐盟有望適當(dāng)放寬數(shù)據(jù)跨境流動(dòng)的規(guī)制，促進(jìn)產(chǎn)業(yè)發(fā)展。2017年3月歐洲委員會(huì)發(fā)布數(shù)字化單一市場（DigitalSingleMarket，DSM）中期報(bào)告，旨在破除電子商務(wù)發(fā)展障礙、發(fā)展跨境電子活動(dòng)。數(shù)據(jù)方面，委員會(huì)表示他們正準(zhǔn)備在2017年秋天出臺(tái)一部關(guān)于非個(gè)人數(shù)據(jù)跨境自由流動(dòng)的法律。3.俄羅斯（1）基本立場：“安全為先”，限制跨境信息流動(dòng)俄羅斯是典型的以保障國家安全為首要考慮因素的國家。2013年斯諾登揭露了美國全球監(jiān)控計(jì)劃，出于本國安全的擔(dān)憂，俄羅斯開始考慮加強(qiáng)網(wǎng)絡(luò)監(jiān)控和強(qiáng)化數(shù)據(jù)跨境流動(dòng)管理。俄羅斯信息政策和信息技術(shù)及通信委員會(huì)的一名發(fā)言人曾于棱鏡門事件后呼吁俄羅斯應(yīng)該加強(qiáng)其“數(shù)據(jù)主權(quán)”，通過立法要求電子郵件、社交網(wǎng)站等企業(yè)將其收集的俄羅斯用戶的數(shù)據(jù)在俄境內(nèi)留存。（2）管理措施：嚴(yán)格的數(shù)據(jù)本地化管理俄羅斯對跨境信息流動(dòng)管理的態(tài)度經(jīng)歷了“由寬到嚴(yán)”的轉(zhuǎn)變。2006年，俄羅斯通過了兩部數(shù)據(jù)管理相關(guān)法律，分別是《關(guān)于信息、信息技術(shù)和信息保護(hù)法》《俄羅斯聯(lián)邦個(gè)人數(shù)據(jù)法》，核心在于防范對數(shù)據(jù)的非法獲取、使用，保護(hù)公民在個(gè)人信息處理中的權(quán)利和義務(wù)。棱鏡門事件后，俄羅斯于2015年5月、7月兩次對這兩部數(shù)據(jù)管理相關(guān)法律進(jìn)行修改，基本確立了數(shù)據(jù)本地存儲(chǔ)的基本規(guī)則。三國際組織跨境隱私規(guī)則體系分析（一）基本情況隨著經(jīng)濟(jì)全球化和數(shù)字經(jīng)濟(jì)的發(fā)展，國際社會(huì)對跨境信息流動(dòng)關(guān)注度逐漸提高，往往依靠單一國家制定政策很難協(xié)調(diào)兩國之間的信息流動(dòng)問題，因此，各國際組織紛紛出臺(tái)政策對跨境信息流動(dòng)進(jìn)行規(guī)定和治理。目前，各國際組織制定跨境信息流規(guī)則的基本情況如圖1所示。圖1國際組織制定規(guī)則的基本情況1.發(fā)展與保護(hù)的平衡是前提，但在規(guī)范過程中各有側(cè)重國際組織在制定規(guī)則時(shí)，都是在發(fā)展和保護(hù)兩個(gè)條件下尋求一個(gè)平衡點(diǎn)，但是由于各組織出發(fā)點(diǎn)不同，因此在制定規(guī)則過程中各有側(cè)重。大部分經(jīng)濟(jì)組織都以發(fā)展為前提，制定規(guī)則的過程中更注重不應(yīng)因數(shù)據(jù)保護(hù)而損害發(fā)展。而歐盟則將個(gè)人信息保護(hù)置于發(fā)展之前進(jìn)行考量。因此，在具體實(shí)施過程中，經(jīng)濟(jì)組織的規(guī)則往往開放性較強(qiáng)，而歐盟的規(guī)則對信息保護(hù)的要求更加嚴(yán)格。2.覆蓋范圍較廣的國際組織規(guī)則推進(jìn)步履維艱，區(qū)域性國際組織規(guī)則更具可操作性跨境信息流動(dòng)談判參與方越多，規(guī)則制定復(fù)雜程度就越高，尤其是在參與方各國經(jīng)濟(jì)、科技、文化等各方面發(fā)展水平不一致的情況下，就更難找到合乎各方利益的準(zhǔn)則。大部分覆蓋范圍廣的國際組織在制定跨境信息流動(dòng)規(guī)則時(shí)舉步維艱，目前，多數(shù)可操作性強(qiáng)、可落地的規(guī)則都是由區(qū)域性國際組織制定的。例如，WTO面向的國家眾多，且各國發(fā)展水平差異較大，發(fā)達(dá)國家和發(fā)展中國家訴求不同導(dǎo)致在談判中矛盾難以調(diào)和，在制定跨境信息規(guī)則的過程中陷入談判的僵局，難以推進(jìn)。由于歐洲各國發(fā)展步伐較一致，歐盟早期成員均為發(fā)達(dá)國家，目前發(fā)達(dá)國家成員依然占大多數(shù)，無論是經(jīng)濟(jì)、技術(shù)還是政治、文化等方面，歐盟都經(jīng)過了長期的磨合與發(fā)展，因此在推廣規(guī)則時(shí)能夠事半功倍，目前歐盟內(nèi)部已經(jīng)形成了較完善的閉環(huán)，信息在歐盟內(nèi)實(shí)現(xiàn)了自由流動(dòng)。APEC的CBPR體系也具有較強(qiáng)的可操作性。3.企業(yè)層面規(guī)則可操作性更強(qiáng)，國家層面規(guī)則往往缺乏約束力國際層面的規(guī)則由于需要各方長期談判，約束力較強(qiáng)的國際規(guī)則很難制定，因此，大部分國際組織，如OECD、APEC、G20等在國家層面出具的都是原則性、指導(dǎo)性和倡議性的規(guī)則，這類規(guī)則的約束力較弱，主要依靠企業(yè)、行業(yè)自律。在操作層面，企業(yè)往往是跨境數(shù)據(jù)流動(dòng)的主體，面向企業(yè)的規(guī)則體系往往更具備可操作性。歐盟BCR體系和APEC的CBPR體系是目前最受關(guān)注的兩大規(guī)則體系，二者都是針對企業(yè)而制定的，企業(yè)可以申請加入規(guī)則體系，并保證企業(yè)內(nèi)部信息流動(dòng)的安全，接受專門機(jī)構(gòu)的審查，即可實(shí)現(xiàn)在規(guī)定范圍內(nèi)信息跨境流動(dòng)。企業(yè)規(guī)則對超級(jí)跨國公司意義重大，在國家級(jí)談判推動(dòng)停滯時(shí)，當(dāng)企業(yè)需求足以支付單獨(dú)加入規(guī)則的成本時(shí)，就有了新的選擇。因此這類規(guī)則在可操作性方面更強(qiáng)，也成為當(dāng)前各國信息跨境新的聚焦點(diǎn)。（二）歐盟、APEC跨境隱私規(guī)則體系分析1.歐盟歐盟于1995年頒布了《有關(guān)個(gè)人數(shù)據(jù)處理中的個(gè)人保護(hù)與所涉及的數(shù)據(jù)自由流通的第95/46/EC號(hào)指令》（以下簡稱《指令》），此后，第29條工作組配合《指令》實(shí)施發(fā)布了一系列解釋文件和指導(dǎo)性文件，共同構(gòu)成了應(yīng)用至今的歐盟跨境數(shù)據(jù)保護(hù)機(jī)制?！吨噶睢窞闅W盟建立了統(tǒng)一的信息保護(hù)機(jī)制，解決了內(nèi)部成員國內(nèi)部的信息流動(dòng)問題，在歐盟各國禁止限制個(gè)人信息跨境流動(dòng)。同時(shí)，《指令》對歐盟之外的國家和企業(yè)也做了相關(guān)的規(guī)定，主要包括充分保護(hù)原則和例外規(guī)定。例外規(guī)定包括法定例外和三種保護(hù)措施。目前受關(guān)注最多的是三種保護(hù)措施中針對跨國企業(yè)的BCR規(guī)則。BCR規(guī)則是當(dāng)企業(yè)所在國不符合充分保護(hù)原則時(shí)，企業(yè)為進(jìn)入歐盟國家而自愿申請的自律性規(guī)則，由跨國公司制定，規(guī)定企業(yè)內(nèi)部數(shù)據(jù)處理和轉(zhuǎn)移，具有法律約束力。BCR規(guī)則經(jīng)過批準(zhǔn)可認(rèn)定企業(yè)符合《數(shù)據(jù)保護(hù)指令》第二十六條第二款中“適當(dāng)保障措施”的條件，成為“充分保護(hù)”例外情況，通過保障大型跨國企業(yè)內(nèi)部信息的安全，賦予歐盟內(nèi)跨國公司進(jìn)行內(nèi)部數(shù)據(jù)的跨境轉(zhuǎn)移的權(quán)利。但是BCR審批程序復(fù)雜而不確定，并且審批時(shí)間漫長，前期申請成本和后期維護(hù)成本較高，只適用于大型跨國企業(yè)，一般企業(yè)并不適用。2016年5月，歐盟發(fā)布了《一般數(shù)據(jù)保護(hù)條例》（以下簡稱《條例》），并將于2018年5月27日正式生效，從而取代正式的《指令》?！稐l例》統(tǒng)一了此前由《指令》和系列解釋文件構(gòu)成的數(shù)據(jù)保護(hù)規(guī)則，并在其基礎(chǔ)上進(jìn)行了補(bǔ)充和完善，強(qiáng)化了個(gè)人權(quán)利，明確了執(zhí)行、監(jiān)督、救濟(jì)與制裁機(jī)制，以及相關(guān)實(shí)施標(biāo)準(zhǔn)。表10歐盟《指令》與《條例》對比《指令》《條例》法律效力需要各成員國據(jù)此在本國立法并加以執(zhí)行正式實(shí)施后將在歐盟范圍內(nèi)立即生效，無須成員國立法確認(rèn)，減少了各成員國理解不同而產(chǎn)生的國內(nèi)立法差異立法管轄權(quán)屬地原則；

適用范圍涵蓋組織機(jī)構(gòu)設(shè)立在境內(nèi)的數(shù)據(jù)控制者及其所涉及的數(shù)據(jù)處理行為，以及使用了成員國境內(nèi)的設(shè)備所進(jìn)行的數(shù)據(jù)處理行為屬地與屬人原則相結(jié)合；

適用范圍包括營業(yè)場所設(shè)立在歐盟境內(nèi)的數(shù)據(jù)控制者和處理者所進(jìn)行的數(shù)據(jù)處理活動(dòng)，不論處理行為是否發(fā)生在歐盟境內(nèi)，管轄范圍更加寬泛數(shù)據(jù)轉(zhuǎn)移規(guī)則規(guī)定了三個(gè)層級(jí)的數(shù)據(jù)轉(zhuǎn)移規(guī)則

（1）第三國經(jīng)歐盟委員會(huì)認(rèn)定具有“充分保護(hù)”水平；

（2）數(shù)據(jù)轉(zhuǎn)移滿足法定例外的幾種情形；

（3）保障措施：標(biāo)準(zhǔn)合同文本模式、約束性公司規(guī)則、安全港模式保留了《指令》的數(shù)據(jù)轉(zhuǎn)移規(guī)則，并在此基礎(chǔ)上進(jìn)行了修補(bǔ)和完善：

（1）明確了“充分保護(hù)水平”的認(rèn)定標(biāo)準(zhǔn)和實(shí)施條件，解除了“充分保護(hù)水平”認(rèn)定時(shí)造成的誤解；

（2）豐富了“法定例外條款”的相關(guān)內(nèi)容；

（3）明確了“約束性公司規(guī)則”的法律地位，并對具體內(nèi)容進(jìn)行了進(jìn)一步明確，倡導(dǎo)在歐盟范圍內(nèi)使用具有普遍認(rèn)可度的數(shù)據(jù)保護(hù)印章與標(biāo)識(shí)制度數(shù)據(jù)主體權(quán)利包括有權(quán)獲取數(shù)據(jù)，有權(quán)知道數(shù)據(jù)源自何處，有權(quán)要求糾正不準(zhǔn)確的數(shù)據(jù)，有權(quán)將不法處理數(shù)據(jù)者訴諸法律，有權(quán)在某些情形下收回其允許使用數(shù)據(jù)的許可等新增了更正權(quán)、被遺忘權(quán)、限制處理權(quán)、持續(xù)控制權(quán)等主體權(quán)利監(jiān)管、救濟(jì)與制裁（1）第29條工作組主要負(fù)責(zé)推進(jìn)《指令》的落實(shí)；

（2）將救濟(jì)與制裁具體規(guī)定的權(quán)利賦予各成員國（1）設(shè)置“歐洲數(shù)據(jù)保護(hù)委員會(huì)”，負(fù)責(zé)貫徹《條例》實(shí)施及相關(guān)數(shù)據(jù)保護(hù)工作；

（2）要求數(shù)據(jù)控制者設(shè)立“數(shù)據(jù)保護(hù)專員”

（3）個(gè)人數(shù)據(jù)主體可向監(jiān)管機(jī)構(gòu)進(jìn)行投訴，或向法院起訴

（4）加大制裁力度規(guī)定違法的懲罰金額由成員國自行確定，懲罰上限處于歐盟立法中最高標(biāo)準(zhǔn)。一般性違法行為，罰款上限為1000萬歐元或上年全球營業(yè)收入的2%（取較大值），嚴(yán)重違法行為或造成嚴(yán)重后果的，罰款上限為2000萬歐元或上年全球營業(yè)收入的4%（取較大值）|Excel下載表10歐盟《指令》與《條例》對比2.APECAPEC積極致力于推動(dòng)亞太地區(qū)的跨境信息流動(dòng)。1998年，APEC部長通過了《電子商務(wù)行動(dòng)藍(lán)圖》。2004年，APEC根據(jù)《電子商務(wù)行動(dòng)藍(lán)圖》發(fā)布了APEC隱私框架。2007年，部長們通過了“APEC數(shù)據(jù)隱私探路者倡議”，以促進(jìn)APEC隱私框架在國際層面的實(shí)施，該倡議中包含的共同承諾最終促成了APEC跨境隱私規(guī)則體系（以下簡稱“CBPR體系”）。APEC隱私框架主要內(nèi)容為九大指導(dǎo)原則與幫助APEC經(jīng)濟(jì)體加強(qiáng)國內(nèi)信息保護(hù)和促進(jìn)APEC經(jīng)濟(jì)體之間跨境信息流動(dòng)的實(shí)施指南。CBPR體系是針對APEC成員方經(jīng)濟(jì)體企業(yè)、由企業(yè)自愿加入的多邊數(shù)據(jù)隱私保護(hù)計(jì)劃。CBPR規(guī)則建立在APEC隱私框架的基礎(chǔ)上，以企業(yè)為基本單元，致力于推動(dòng)APEC隱私框架在成員國內(nèi)獲得更廣泛的認(rèn)可和實(shí)施。CBPR規(guī)則設(shè)計(jì)了三方規(guī)則相關(guān)者，包括隱私執(zhí)法機(jī)構(gòu)、問責(zé)代理機(jī)構(gòu)和從事跨境信息流動(dòng)的企業(yè)，形成規(guī)則問責(zé)和執(zhí)法分離的雙重審查機(jī)制。CBPR體系首先由APEC各成員經(jīng)濟(jì)體申請加入，需要設(shè)立一個(gè)隱私執(zhí)法機(jī)構(gòu)，同時(shí)要求一國至少擁有一個(gè)問責(zé)代理機(jī)構(gòu)。問責(zé)代理機(jī)構(gòu)是CBPR體系的重點(diǎn)與核心，APEC對其審核采取了十分嚴(yán)格的標(biāo)準(zhǔn)，申請加入的問責(zé)代理機(jī)構(gòu)必須經(jīng)過APEC成員國全體同意，申請才能獲批，并且每年APEC都對其進(jìn)行重新審核。問責(zé)代理機(jī)構(gòu)取得資質(zhì)后，管理范圍內(nèi)企業(yè)可申請隱私保護(hù)認(rèn)證，申請?zhí)峤缓?，機(jī)構(gòu)根據(jù)避免傷害、提前通知、有限收集、個(gè)人信息使用、有選擇使用、完整性、安全保障、授權(quán)和修改及問責(zé)原則，對申請企業(yè)進(jìn)行問卷測評及審查，并對通過審核的企業(yè)進(jìn)行保護(hù)信賴標(biāo)識(shí)，授權(quán)其享有在體系內(nèi)自由地進(jìn)行個(gè)人信息的跨境轉(zhuǎn)移而不受成員方經(jīng)濟(jì)體國內(nèi)法限制的權(quán)利。目前，共有美國、墨西哥、日本、加拿大四個(gè)國家和22家企業(yè)（21家美國企業(yè)，1家日本企業(yè)）加入CBPR體系。3.BCR規(guī)則與CBPR體系的對比為調(diào)解各國及地區(qū)關(guān)于個(gè)人信息跨境流動(dòng)時(shí)帶來的隱私保護(hù)問題和貿(mào)易保護(hù)問題之間的矛盾，國際組織發(fā)揮作用，制定了一系列組織內(nèi)統(tǒng)一的信息跨境