推進(jìn)〃一帶一路〃數(shù)據(jù)跨境流動(dòng)的中國(guó)方案

中國(guó)應(yīng)當(dāng)在尊重各國(guó)主權(quán)、安全、發(fā)展利益的前提下，通過(guò)雙多邊數(shù)據(jù)保護(hù)

合作，切實(shí)促進(jìn)基于“一帶一路"的數(shù)據(jù)跨境流動(dòng)，充分釋放國(guó)際合作發(fā)展的潛

力。

目前，歐盟將自己的數(shù)據(jù)保護(hù)模式奉為圭臬,堅(jiān)持要求其他國(guó)家向其看

齊，方可與歐盟進(jìn)行數(shù)據(jù)流動(dòng)。美國(guó)則從政治經(jīng)濟(jì)利益出發(fā)，通過(guò)推行基于低

水平保護(hù)的數(shù)據(jù)跨境流動(dòng)模式實(shí)現(xiàn)數(shù)據(jù)向美國(guó)匯聚，在鞏固和強(qiáng)化美國(guó)公司對(duì)

全球數(shù)據(jù)掌控的同時(shí)，壓縮了各國(guó)自主選擇數(shù)據(jù)保護(hù)水平的規(guī)制空間。美歐劃

定數(shù)據(jù)流動(dòng)"小圈子”的做法，并不符合中國(guó)倡導(dǎo)共建“一帶一路"的指導(dǎo)精

神。

中國(guó)應(yīng)當(dāng)在尊重各國(guó)主權(quán)、安全、發(fā)展利益的前提下，通過(guò)雙多邊數(shù)據(jù)保

護(hù)合作，切實(shí)促進(jìn)基于“一帶一路"的數(shù)據(jù)跨境流動(dòng)，充分釋放國(guó)際合作發(fā)展

的潛力。

目錄

一、美國(guó)的數(shù)據(jù)跨境流動(dòng)范式

二、歐盟的數(shù)據(jù)跨境流動(dòng)范式

三、基于“一帶一路〃的中國(guó)數(shù)據(jù)跨境制度構(gòu)想

四、結(jié)語(yǔ)

導(dǎo)語(yǔ)

從2013年中國(guó)匡家領(lǐng)導(dǎo)人提出共建"絲綢之路經(jīng)濟(jì)帶〃和"21世紀(jì)海上

絲綢之路”的重大倡議，中國(guó)就致力于從"政策溝通、設(shè)施聯(lián)通、貿(mào)易暢通、

資金融通、民心相通”五個(gè)重點(diǎn)方面推動(dòng)"一帶一路〃的建謝口發(fā)展。截至

2021年1月30日，中國(guó)已經(jīng)同140個(gè)國(guó)家和31個(gè)國(guó)際組織簽署205份共建

"一帶一路”合作文件。從地理上看，這些國(guó)家遍布亞洲、非洲I、大洋洲I、歐

洲I、南美洲、北美洲。在萬(wàn)物互聯(lián)的智能化時(shí)代，“一帶一路”除了通信線路

的互聯(lián)互通，必然還伴隨數(shù)據(jù)在“一帶一路"之上的跨境流動(dòng)。

目前，美歐都通過(guò)多種舉措組合的方式，在全球范圍內(nèi)推行符合其價(jià)值觀

和政治經(jīng)濟(jì)利益的數(shù)據(jù)跨境流動(dòng)"小圈子"。而我國(guó)隨著網(wǎng)絡(luò)安全法的生效，

以及《數(shù)據(jù)安全法（草案）》《個(gè)人信息保護(hù)法（草案）》向社會(huì)公開征求意

見(jiàn)，數(shù)據(jù)跨境流動(dòng)制度最終方案也呼之欲出。本文將討論在美歐數(shù)據(jù)跨境流動(dòng)

范式的影響下，我國(guó)為推進(jìn)"一帶一路"數(shù)據(jù)跨境流動(dòng)可提出的方案。

一、美國(guó)的數(shù)據(jù)跨境流動(dòng)范式

沂年來(lái)，美國(guó)一直借助亞太區(qū)域經(jīng)濟(jì)合作不斷深化自身在數(shù)據(jù)跨境流動(dòng)規(guī)

則制定的話語(yǔ)權(quán)，在各個(gè)國(guó)際場(chǎng)合始終推行以亞太經(jīng)濟(jì)合作組織（APEC）的隱

私框架（APECPrivacyFramework,APEC隱私框架）為基礎(chǔ)構(gòu)建的跨境隱私

規(guī)則體系（CrossBorderPrivacyRules,CBPRs）。

例如，2017年9月，美國(guó)向WTO貿(mào)易服務(wù)委員會(huì)提交了針對(duì)我國(guó)網(wǎng)絡(luò)安

全法的文件，重點(diǎn)針對(duì)的即《網(wǎng)絡(luò)安全法》第37條所規(guī)定的數(shù)據(jù)出境安全評(píng)

估制度。在該份文件中，美國(guó)認(rèn)為我國(guó)網(wǎng)絡(luò)安全法所規(guī)定的數(shù)據(jù)跨境安全評(píng)估

制度將"產(chǎn)生非常繁重的義務(wù)要求，阻礙商業(yè)運(yùn)作,對(duì)隱私保護(hù)也并無(wú)裨

益"；而目前"已經(jīng)存在實(shí)現(xiàn)隱私保護(hù)的且并不煩瑣(lessburdensome

option)的其他選擇，包括國(guó)際跨境隱私保護(hù)框架，例如中國(guó)支持的APEC跨

境隱私規(guī)則”。

及至2020年,外媒報(bào)道美國(guó)在6月召開的APEC事務(wù)級(jí)別磋商中，提議

將CBPRs體系獨(dú)立于APEC框架外，從而讓巴西等非APEC成員也有加入的可

能，不過(guò)其目的更可能是將本為APEC成員的中國(guó)排除在外，尤其是排除中國(guó)

參與推進(jìn)規(guī)則的制定?？梢钥闯?，APEC的CBPRs制度代表了美國(guó)在國(guó)際層面

對(duì)數(shù)據(jù)跨境流動(dòng)的利益訴求。同時(shí)，在美國(guó)國(guó)內(nèi)法層面，美國(guó)外國(guó)投資委員會(huì)

(CFIUS)對(duì)外商投資審查越來(lái)越展現(xiàn)出防范特定國(guó)家實(shí)體通過(guò)投資美國(guó)企業(yè)

得以訪問(wèn)數(shù)據(jù)的傾向。

因此，本節(jié)將從制度設(shè)計(jì)邏輯、實(shí)施情況、政治經(jīng)濟(jì)衡量等多個(gè)角度對(duì)

CBPRs進(jìn)行深入分析，并結(jié)合對(duì)外商投資審查制度的分析，提煉美國(guó)在數(shù)據(jù)跨

境流動(dòng)方面的總體戰(zhàn)略。

l.CBPRs的制度設(shè)計(jì)邏輯

CBPRs的宗旨是通過(guò)特定的機(jī)制保障APEC隱私框架中九大原則在成員經(jīng)

濟(jì)體中得到實(shí)現(xiàn)，為亞太地區(qū)的個(gè)人信息隱私保護(hù)提供指導(dǎo)性原則和標(biāo)準(zhǔn)，最

終促使區(qū)域內(nèi)個(gè)人信息在得到保護(hù)的基礎(chǔ)上實(shí)現(xiàn)無(wú)障礙流動(dòng)，推動(dòng)亞太地區(qū)跨

境電子商務(wù)的發(fā)展。究其實(shí)質(zhì)，CBPRs促進(jìn)個(gè)人數(shù)據(jù)跨境流動(dòng)的基本邏輯是,

如果位處于不同國(guó)家的不同公司，統(tǒng)一承諾并遵循APEC隱私框架提出的九大

個(gè)人數(shù)據(jù)保護(hù)原則，則個(gè)人數(shù)據(jù)在這些公司之間流動(dòng)就應(yīng)該不受阻礙。相應(yīng)

地,由于這些公司都通過(guò)同一套原則來(lái)保護(hù)個(gè)人數(shù)據(jù)，那參與CBPRs的國(guó)家就

不得再以保護(hù)個(gè)人數(shù)據(jù)為理由，阻礙個(gè)人數(shù)據(jù)的跨境流動(dòng)。

因此，整個(gè)CBPRs制度提供的個(gè)人數(shù)據(jù)保護(hù)水平，有賴于APEC隱私嘔

架。如果要參與CBPRs,則特定經(jīng)濟(jì)體需要首先對(duì)此認(rèn)同。但事實(shí)上，APEC

隱私框架所提供的個(gè)人信息保護(hù)水平十分有限。

按照國(guó)際個(gè)人信息保護(hù)的頂尖學(xué)者格林利夫(Greenleaf)教授的研究，

個(gè)人信息保護(hù)立法已經(jīng)歷經(jīng)了兩代，目前很可能進(jìn)入了第三代。

第一代個(gè)人信息保護(hù)立法的典型是經(jīng)濟(jì)合作與發(fā)展組織(OECD)在1980

年發(fā)布的《隱私保護(hù)和個(gè)人數(shù)據(jù)跨境流動(dòng)指南》(Guidelinesonthe

ProtectionofPrivacyandTransborderFlowsofPersonalData,以下簡(jiǎn)稱

"OECD指南〃)和歐洲理事會(huì)(CouncilofEurope)1981年發(fā)布的〃第

108號(hào)公約〃。兩份文件在內(nèi)容上有很大程度重疊，并共同定義了現(xiàn)代意義上

的"個(gè)人信息保護(hù)法"應(yīng)具備的基本內(nèi)容。

第二代個(gè)人信息保護(hù)原則的代表性立法就是歐盟95年的指令。其在第一

代原則的基礎(chǔ)上進(jìn)行了擴(kuò)展,加入了包括"數(shù)據(jù)最小化""刪除”"敏感信

息〃"獨(dú)立的個(gè)人信息保護(hù)機(jī)構(gòu)〃等十個(gè)要素。

第三代個(gè)人信息保護(hù)原則的代表性立法還是由歐盟主導(dǎo)的，即《通用數(shù)據(jù)

保護(hù)條例》與第二

(GeneralDataProtectionRegulation,GDPR)oGDPR

代立法相比又有了擴(kuò)展，新增內(nèi)容包括“數(shù)據(jù)保護(hù)官〃"數(shù)據(jù)保護(hù)影響評(píng)

估”"發(fā)生數(shù)據(jù)安全事件后對(duì)數(shù)據(jù)保護(hù)機(jī)構(gòu)的報(bào)告和對(duì)個(gè)人的通知""數(shù)據(jù)可

攜帶權(quán)〃等。

2004年問(wèn)世的APEC隱私框架從一開始就建立在OECD指南的基礎(chǔ)之

上,其在前言部分明確提及〃本框架與1980年OECD指南的核心理念保持一

致"。雖然OECD指南在2013年發(fā)布了新版的隱私框架，但是內(nèi)容沒(méi)有太大

的改動(dòng)，主要是增加了"建立數(shù)據(jù)保護(hù)機(jī)構(gòu)”"發(fā)生數(shù)據(jù)安全事件后對(duì)數(shù)據(jù)保

護(hù)機(jī)構(gòu)的報(bào)告和對(duì)個(gè)人的通知""問(wèn)責(zé)原則”等內(nèi)容。

緊隨著OECD指南的修改步伐，APEC隱私框架在2016年的改動(dòng)也主要

是向2013年版本的OECD指南看齊。因此，從前文勾勒的代際演進(jìn)來(lái)看，

APEC隱私框架中包含的九大原則以及OECD指南，很大程度上依然“凍結(jié)于

20世紀(jì)80年代"，因此屬于第一代個(gè)人信息保護(hù)立法的水準(zhǔn)。

2.CBPRS的實(shí)施情況

CBPRs在2012年正式啟動(dòng)，向APEC經(jīng)濟(jì)體開放。目前，其官方網(wǎng)站上

聲稱美國(guó)、墨西哥、日本、加拿大、新加坡、韓國(guó)、澳大利亞、中國(guó)臺(tái)灣、菲

律賓等九個(gè)經(jīng)濟(jì)體已經(jīng)加入。顯然，這九個(gè)經(jīng)濟(jì)體均可算是美國(guó)的盟友國(guó)家或

地區(qū)。但CBPRs在其官網(wǎng)上也承認(rèn)：〃目前，總部設(shè)在日本、韓國(guó)、新加坡和

美國(guó)的公司均可獲得CBPRs認(rèn)證。"換句話說(shuō)，另外5個(gè)國(guó)家或地區(qū)并沒(méi)有

實(shí)際開始CBPRs認(rèn)證的運(yùn)營(yíng)。

特別值得注意的是，墨西哥是從2013年就決定加入CBPRs,加拿大是

2015年決定加入，但是兩個(gè)國(guó)家拖延了這么長(zhǎng)的時(shí)間,還沒(méi)有指定問(wèn)責(zé)機(jī)構(gòu)

(accountabilityagent),所以即便兩個(gè)最早加入的國(guó)家到現(xiàn)在為止都尚未

開始運(yùn)作CBPRs體系,不免讓人困惑這背后的原因。

從取得CBPRs認(rèn)證的企業(yè)情況來(lái)看,到目前為止，取得CBPRs認(rèn)證的企

業(yè)數(shù)量為36家，其中有3家日本公司，2家新加坡公司，其余為美國(guó)公司。與

之形成鮮明對(duì)比的是，在歐美隱私盾協(xié)議被推翻前，共有5000余家企業(yè)加入

其中。顯然，從參與企業(yè)數(shù)量來(lái)看，差距異常明顯。企業(yè)如此低的參與度，顯

然不能簡(jiǎn)單用APEC經(jīng)濟(jì)體之間的貿(mào)易量低于美歐之間的貿(mào)易量來(lái)解釋。

3.CBPRS的政治經(jīng)濟(jì)考量

美國(guó)不懈地推進(jìn)CBPRs近十年之久，但無(wú)論是參與的經(jīng)濟(jì)體數(shù)量，還是參

與的企業(yè)，都乏善可陳，恰恰反映了CBPRs在政治經(jīng)濟(jì)考量方面并不符合很多

國(guó)家的利益。換句話說(shuō)，CBPRs過(guò)于彰顯了美國(guó)的利益。

一方面，CBPRs體系提供的個(gè)人數(shù)據(jù)保護(hù)水平實(shí)際上僅符合了美國(guó)國(guó)內(nèi)目

前的隱私立法現(xiàn)狀。仍然從前文所述的個(gè)人數(shù)據(jù)立法代際演進(jìn)的視角來(lái)看，

"沒(méi)有哪個(gè)APEC經(jīng)濟(jì)體維系了與APEC隱私框架持平的低水平個(gè)人數(shù)據(jù)保護(hù)

立法〃。就連已經(jīng)參與CBPRs的九個(gè)經(jīng)濟(jì)體，除美國(guó)外，其國(guó)內(nèi)立法已經(jīng)持平

或超越第二代立法。在回顧2013年OECD指南更新的過(guò)程時(shí)，格林利夫教授

直言，”在美國(guó)尚未能生效自己的全面數(shù)據(jù)保護(hù)立法時(shí)，OECD指南(1980

年和2013年版本)中的原則已經(jīng)是美國(guó)在國(guó)際協(xié)議中所能接受的最大限度的

隱私保護(hù)水平”。

另一方面，參與CBPRs意味著經(jīng)濟(jì)體必須放棄對(duì)數(shù)據(jù)出境提出符合其國(guó)內(nèi)

水平的保護(hù)要求。從原理上來(lái)說(shuō)，一個(gè)國(guó)家的數(shù)據(jù)保護(hù)制度，一般來(lái)說(shuō)包括兩

部分，一部分是數(shù)據(jù)在國(guó)內(nèi)的保護(hù)，另一部分是數(shù)據(jù)跨境制度。綜觀各國(guó)立法

和實(shí)踐,后者的目的不夕可保障數(shù)據(jù)出境后還享有和國(guó)內(nèi)相同或相似的保護(hù)水

平。而一旦參與了CBPRs,一個(gè)對(duì)國(guó)內(nèi)數(shù)據(jù)保護(hù)提出高要求的經(jīng)濟(jì)體，在數(shù)據(jù)

跨境時(shí)，就不能再要求接收方或接收國(guó)的數(shù)據(jù)保護(hù)水平與自身等同或相似，轉(zhuǎn)

而只能接受CBPRs提供的第一代個(gè)人數(shù)據(jù)保護(hù)立法所提供的保護(hù)水平。

這方面最明顯的例子是韓國(guó)。在全亞洲范圍內(nèi)，韓國(guó)的個(gè)人信息保護(hù)法可

謂非常嚴(yán)格，但在加入CBPRs后，當(dāng)境外獲得CBPRs認(rèn)證的數(shù)據(jù)接收方只提

供了低水平個(gè)人數(shù)據(jù)保護(hù)時(shí),韓國(guó)也不能禁止數(shù)據(jù)向其流動(dòng)。這也是為什么在

加入前，韓國(guó)必須修改自己國(guó)內(nèi)的法律以適應(yīng)CBPRs的要求。

綜合上述兩方面看，美國(guó)政府極力宣揚(yáng)CBPRs體系，并拉攏其堅(jiān)定盟友的

加盟，其核心實(shí)質(zhì)是——通過(guò)建立于低水平保護(hù)的個(gè)人信息跨境流動(dòng)秩序，確

保各國(guó)家不會(huì)用〃自身國(guó)內(nèi)提供了高水平保護(hù)"為理由而限制個(gè)人信息的跨境

流動(dòng)，最終實(shí)現(xiàn)個(gè)人信息向美國(guó)或美國(guó)公司的匯聚。

CBPRs體系使美國(guó)目前的個(gè)人信息保護(hù)水平事實(shí)上成為個(gè)人數(shù)據(jù)跨境流動(dòng)

的“金標(biāo)準(zhǔn)”。在有關(guān)CBPRs宣講會(huì)中，美國(guó)官員極力宣揚(yáng)CBPRs的好處是

參與國(guó)家不需要通過(guò)、修改自己的國(guó)內(nèi)法；CBPRs可以和各國(guó)家國(guó)內(nèi)的個(gè)人信

息保護(hù)法律并行不悖，其潛臺(tái)詞無(wú)非是CBPRs制度不像歐盟，無(wú)論是在充分性

認(rèn)定的談判中，還是在美歐之間隱私盾的談判中，都需要其他國(guó)家修改自己的

法律向歐盟靠攏，或承諾按照歐盟水準(zhǔn)開展數(shù)據(jù)保護(hù)。

但事實(shí)上，美國(guó)官員有意或無(wú)意地模糊了一個(gè)非常重要的區(qū)分:

CBPRs雖然沒(méi)有要求參與國(guó)修改或降低自己在國(guó)內(nèi)對(duì)個(gè)人數(shù)據(jù)的保護(hù)水

平，但是它強(qiáng)制參與國(guó)在管控個(gè)人信息出境時(shí)，不得要求第三國(guó)的數(shù)據(jù)接收方

提供超過(guò)APEC隱私框架水準(zhǔn)的數(shù)據(jù)保護(hù)水平。

4.美國(guó)對(duì)外國(guó)投資的審查

2018年，美國(guó)對(duì)外國(guó)投資審查制度進(jìn)行重大改革，頒布《外國(guó)投資風(fēng)險(xiǎn)評(píng)

估現(xiàn)代化法案》（以下簡(jiǎn)稱FIRRMA法案），旨在大幅度擴(kuò)張美國(guó)外國(guó)投資委

員會(huì)（CFIUS）的審查權(quán)限，對(duì)外國(guó)投資者在美國(guó)的投資實(shí)施更嚴(yán)格監(jiān)管審

查。在FIRRMA法案框架下，CFIUS管轄范圍擴(kuò)張到一些非控制性的投資上。

根據(jù)美國(guó)財(cái)政部在2020年生效的"FIRRMA實(shí)施條例"中進(jìn)一步明確，如果

滿足以下兩個(gè)條件，該非控制性投資即受CFIUS的管轄：一是涉及某些特定行

業(yè)的美國(guó)企業(yè)；二是賦予外國(guó)人（foreignperson）某些特定權(quán)利。

具體來(lái)看，CFIUS對(duì)非控制性投資的擴(kuò)大管轄,就網(wǎng)信領(lǐng)域來(lái)說(shuō),主要是

對(duì)涉及關(guān)鍵基礎(chǔ)設(shè)施（criticalinfrastructure）、關(guān)鍵技術(shù)（critical

technology）及敏感個(gè)人數(shù)據(jù)（sensitivepersonaldataofUnitedStates

citizens）的美國(guó)企業(yè)（以下簡(jiǎn)稱為TID企業(yè)）的外國(guó)投資。

同時(shí)，根據(jù)FIRRMA法案，CFIUS所管轄的對(duì)美國(guó)TID企業(yè)的非控制性投

資，賦予外國(guó)人的某些特定權(quán)利主要是指下列權(quán)利之一：其一，能夠訪問(wèn)任何

"重大非公開技術(shù)信息"；其二，獲得美國(guó)商業(yè)實(shí)體的董事會(huì)（或起到類似管

理功能的機(jī)構(gòu)）的成員資格或觀察員權(quán)利，或提名某人擔(dān)任董事會(huì)（或起到類

似管理功能的機(jī)構(gòu)）職位的權(quán)利;其三，除了通過(guò)股權(quán)投票外,能夠參與到美

國(guó)商業(yè)實(shí)體重大決策，如涉及美國(guó)公民個(gè)人敏感信息的使用、開發(fā)、獲取、保

護(hù)或披露，關(guān)鍵技術(shù)的使用、開發(fā)、獲取或披露，或?qū)﹃P(guān)鍵基礎(chǔ)設(shè)施的管理、

運(yùn)營(yíng)、制造或供應(yīng)。

在CFIUS得到強(qiáng)化后，美國(guó)政府也不吝使用，特別是針對(duì)來(lái)自中國(guó)的投

資。2019年，因?yàn)閭€(gè)人數(shù)據(jù)原因，CFIUS要求我國(guó)兩家企業(yè)出售已控股的

PatientsLikeMe（一家為促進(jìn)疾病診斷和治療而將患有相似疾病的患者聯(lián)系起

來(lái)的在線服務(wù)平臺(tái)）和Grindr（在線交友軟件）。同樣是個(gè)人數(shù)據(jù)原因，

2020年3月,CFIUS要求北京中長(zhǎng)石基信息技犬有限公司剝離其已經(jīng)完成的

對(duì)美國(guó)酒店物業(yè)管理軟件公司StayNTouch的收購(gòu)。到2020年年中，CFIUS

要求字節(jié)跳動(dòng)科技有限公司剝離對(duì)Music.ly的投資。及至2020年8月5日，

美國(guó)政府宣布所謂的“清潔網(wǎng)絡(luò)計(jì)劃〃。

按照美國(guó)政府的說(shuō)法，該計(jì)劃是"特朗普政府為保護(hù)美國(guó)公民的隱私和美

國(guó)公司最敏感的信息，使其免受中國(guó)共產(chǎn)黨等惡意行為者的侵略性入侵而采取

的綜合性策略"。具體來(lái)說(shuō)，"清潔網(wǎng)絡(luò)計(jì)劃”包括：清潔的運(yùn)營(yíng)商、清潔的

應(yīng)用商店、清潔的移動(dòng)應(yīng)用、清潔的云、清潔的光纜。

無(wú)論是CFIUS還是清潔網(wǎng)絡(luò)計(jì)劃，均是美國(guó)通過(guò)國(guó)家安全例外限制數(shù)據(jù)被

"非美國(guó)人"（nonU.Sperson）所訪問(wèn)。換句話說(shuō),美國(guó)政府現(xiàn)在著力于限

制數(shù)據(jù)流向特定的主體，而對(duì)數(shù)據(jù)流向特定的地區(qū)并不那么在意,只要數(shù)據(jù)持

續(xù)處于〃美國(guó)人〃的控制之中。

5.小結(jié)

總結(jié)前文所述，可提煉出美國(guó)在數(shù)據(jù)跨境流動(dòng)的主要范式：一方面通過(guò)在

國(guó)際層面推行基于低水平保護(hù)的CBPRs體系，使其在無(wú)須改動(dòng)其國(guó)內(nèi)立法的情

況下，能夠盡可能將數(shù)據(jù)匯聚回美國(guó)國(guó)內(nèi)，極大地方便美國(guó)跨國(guó)公司全球統(tǒng)一

運(yùn)營(yíng)；另一方面，數(shù)據(jù)在通過(guò)CBPRs體系為美國(guó)跨國(guó)公司掌握之后,再通過(guò)美

國(guó)國(guó)內(nèi)外商投資審查等制度避免因投資事由導(dǎo)致數(shù)據(jù)為特定國(guó)家實(shí)體所訪問(wèn)。

換言之,美國(guó)政府通過(guò)制度性工具同時(shí)做到數(shù)據(jù)方面的"開源"和"節(jié)流〃，

兩者相互配合極大強(qiáng)化、鞏固了美國(guó)企業(yè)在全球研發(fā)和運(yùn)營(yíng)中的優(yōu)勢(shì)地位。

二、歐盟的數(shù)據(jù)跨境流動(dòng)范式

最完整體現(xiàn)歐盟數(shù)據(jù)跨境流動(dòng)范式的無(wú)疑是2018年5月正式實(shí)施的《通

用保護(hù)條例》(GDPR)。但本節(jié)對(duì)歐盟的分析不拘泥于GDPR條文本

身，而是深入分析上屆歐盟委員會(huì)實(shí)施GDPR跨境制度的核心訴求、歐盟法院

(CJEU)推翻隱私盾協(xié)議的緣由,以及本屆歐盟委員會(huì)提出的技術(shù)主權(quán)概念,

以此勾勒出歐盟在當(dāng)下及近期將會(huì)采取的數(shù)據(jù)跨境流動(dòng)范式。

1.GDPR數(shù)據(jù)跨境流動(dòng)制度的基本邏輯

GDPR第44條規(guī)定了歐盟個(gè)人數(shù)據(jù)跨境流動(dòng)的基本原則，核心是確保在

跨境傳輸?shù)那樾沃?，GDPR提供的個(gè)人數(shù)據(jù)保護(hù)水平〃不會(huì)減損"(not

undermined)。也就是說(shuō)，GDPR提供的保護(hù)水平應(yīng)該隨著個(gè)人數(shù)據(jù)的流動(dòng)

而詢(followthedata)。按照GDPR的邏輯，個(gè)人數(shù)據(jù)受保護(hù)是一項(xiàng)基本

人權(quán)。因此，個(gè)人信息在跨境場(chǎng)景下的保護(hù)，也主要是為了保障個(gè)人合法權(quán)

益，即便數(shù)據(jù)已經(jīng)流出了國(guó)境。

在GDPR看來(lái)，數(shù)據(jù)流出國(guó)境，與數(shù)據(jù)在境內(nèi)流動(dòng)相比，有三個(gè)主要的變

化：一是數(shù)據(jù)流出后適用的法律法規(guī)不同了；二是原境內(nèi)監(jiān)管機(jī)關(guān)無(wú)法對(duì)接收

數(shù)據(jù)的境外主體實(shí)施管轄權(quán)；三是個(gè)人數(shù)據(jù)主體維護(hù)自身合法權(quán)益的渠道變少

了，且變得更加困難。因此，GDPR數(shù)據(jù)跨境流動(dòng)制度的設(shè)計(jì),主要著力于解

決上述三方面問(wèn)題。在具體制度設(shè)計(jì)方面，GDPR在第五章規(guī)定了豐富的數(shù)據(jù)

跨境傳輸機(jī)制，由于認(rèn)證、行為準(zhǔn)則等機(jī)制尚未正式實(shí)施，本節(jié)將重點(diǎn)討論標(biāo)

準(zhǔn)格式合同條款、有拘束力公司準(zhǔn)則以及充分性認(rèn)定三種機(jī)制。

根據(jù)GDPR的規(guī)定，標(biāo)準(zhǔn)格式合同條款(StandardContractClauses,

SCC)是由歐盟委員會(huì)或監(jiān)管H胞通過(guò)的、企業(yè)與企業(yè)之間將歐盟公民個(gè)人數(shù)

據(jù)跨境傳輸?shù)綒W盟境外所采用的合同模板。see通過(guò)固定數(shù)據(jù)出境后所受保護(hù)

原則，決定數(shù)據(jù)出境后所受保護(hù)水平。同時(shí)，see也引入問(wèn)責(zé)制，通過(guò)法律責(zé)

任劃分的形式，將境內(nèi)組織明確為主要問(wèn)責(zé)主體，為境內(nèi)監(jiān)管機(jī)關(guān)追究責(zé)任提

供了便利。當(dāng)然，境內(nèi)主體也可以通過(guò)合同的形式，繼續(xù)追究境外主體的責(zé)

任。此外，see還在其合同中規(guī)定了個(gè)人數(shù)據(jù)主體可以基于合同擁有一些特定

的權(quán)利。

有約束力的公司準(zhǔn)則(BindingCorporateRules,BCR),主要適用于跨

國(guó)公司、集團(tuán)公司，也是著力于上述三個(gè)方面?？鐕?guó)公司、集團(tuán)公司可制定約

束企業(yè)內(nèi)部之間進(jìn)行數(shù)據(jù)跨境傳輸?shù)膫€(gè)人數(shù)據(jù)保護(hù)規(guī)則,如果歐盟認(rèn)可BCR提

供的數(shù)據(jù)保護(hù)水平，便可以在集團(tuán)內(nèi)部進(jìn)行數(shù)據(jù)跨境傳輸，無(wú)須另行批準(zhǔn)。

BCR的保障機(jī)制在于即便跨國(guó)分公司所在國(guó)家的保護(hù)水平比較低,則該分公司

還是需要遵守BCR,根據(jù)BCR規(guī)定的原則提供數(shù)據(jù)保護(hù)。

具體來(lái)說(shuō)，特定公司在提交BCR申請(qǐng)時(shí)，需要確定主申報(bào)國(guó)家。一旦主申

報(bào)國(guó)家確定，則以該公司在主申報(bào)國(guó)家的主體作為承擔(dān)有關(guān)于數(shù)據(jù)出境的所有

法律責(zé)任的主體——監(jiān)管機(jī)關(guān)、個(gè)人數(shù)據(jù)主體，均可以通過(guò)境內(nèi)的公司主體來(lái)

追究法律責(zé)任。

充分性認(rèn)定是GDPR核心的數(shù)據(jù)跨境流動(dòng)機(jī)制，只有數(shù)據(jù)接收方所在國(guó)家

具有與歐盟實(shí)質(zhì)等同的個(gè)人數(shù)據(jù)保護(hù)水平，數(shù)據(jù)方可向其進(jìn)行跨境傳輸。在

GDPR第45條明確指出在進(jìn)行充分性認(rèn)定時(shí)所考慮的相關(guān)因素，包括法治和

基本人權(quán)保護(hù)程度、是否存在獨(dú)立且有效運(yùn)轉(zhuǎn)的監(jiān)管機(jī)構(gòu)等。對(duì)某個(gè)國(guó)家或地

區(qū)進(jìn)行充分性認(rèn)定，就意味著對(duì)該國(guó)家或地區(qū)法律法規(guī)的認(rèn)可；意味著認(rèn)可該

國(guó)家或地區(qū)監(jiān)管機(jī)關(guān)對(duì)數(shù)據(jù)保護(hù)的執(zhí)法力度；也意味著對(duì)個(gè)人行使權(quán)利便利程

度的認(rèn)可。因此，充分性認(rèn)定是個(gè)非常慎重的過(guò)程，需要全方面的考察。

目前，歐盟確認(rèn)安道爾、阿根廷、加拿大（商業(yè)組織）、法羅群島、根西

島、以色列、馬恩島、日本、澤西島、新西蘭、瑞士和烏拉圭等國(guó)家或地區(qū)具

有同等數(shù)據(jù)保護(hù)水平。

此外，GDPR第49條也規(guī)定了基于公共利益、為提起、行使或抗辯法律

訴求等例外情形，或者僅涉及偶發(fā)、少量數(shù)據(jù)的跨境流動(dòng)情形，允許在欠缺前

述三種機(jī)制條件下,遂行數(shù)據(jù)跨境流動(dòng)。

2.上屆歐盟委員會(huì)對(duì)GDPR跨境制度的政治經(jīng)濟(jì)考量

從前文分析來(lái)看,GDPR數(shù)據(jù)跨境流動(dòng)制度似乎無(wú)關(guān)政治經(jīng)濟(jì)考量，而僅

僅關(guān)注個(gè)人合法權(quán)益保護(hù)。但2017年1月10日歐盟委員會(huì)對(duì)外發(fā)布的一份通

信《在一個(gè)全球化的世界中交換和保護(hù)個(gè)人數(shù)據(jù)》，展現(xiàn)了歐盟委員會(huì)如此制

度設(shè)計(jì)的另外一個(gè)視角。

在這份發(fā)向歐洲議會(huì)和歐盟理事會(huì)的通信中，歐盟委員會(huì)闡述了實(shí)施

GDPR數(shù)據(jù)跨境流動(dòng)制度時(shí)的四項(xiàng)意圖。

一是抓住時(shí)機(jī)讓世界向歐盟看齊。歐盟委員會(huì)指出，雖然各國(guó)對(duì)個(gè)人數(shù)據(jù)

保護(hù)的路徑、立法發(fā)展存在差異，但近年來(lái)展現(xiàn)出一種趨同——普遍接納了一

些重要的數(shù)據(jù)保護(hù)基本原則。顯然，不同的數(shù)據(jù)保護(hù)體系能夠更好地相互兼容

是件好事，有助于數(shù)據(jù)的全球自由流動(dòng)。于是歐盟委員會(huì)提出，歐盟應(yīng)抓住這

樣的機(jī)會(huì)，通過(guò)推動(dòng)法律體系趨同，達(dá)到推廣歐盟數(shù)據(jù)保護(hù)價(jià)值和促進(jìn)數(shù)據(jù)流

動(dòng)的目的。

二是歐盟的個(gè)人數(shù)據(jù)保護(hù)體系和改革理應(yīng)是世界的標(biāo)桿。歐盟以GDPR為

代表推進(jìn)個(gè)人數(shù)據(jù)保護(hù)改革，賦予數(shù)據(jù)主體更多的自主控制權(quán)，是在數(shù)字經(jīng)濟(jì)

中增強(qiáng)消費(fèi)者信任的正道，并且GDPR以條例的形式，統(tǒng)一在歐盟境內(nèi)適用，

降低了公司在不同成員國(guó)內(nèi)的合規(guī)成本。同時(shí)，歐盟成功地結(jié)合了最高水平的

個(gè)人數(shù)據(jù)保護(hù)和開放的國(guó)際數(shù)據(jù)流動(dòng)，有潛力成為能夠同時(shí)提供自由流動(dòng)和信

任的數(shù)據(jù)服務(wù)中心。

三是個(gè)人數(shù)據(jù)保護(hù)是不容談判的。在通信中，歐盟委員會(huì)多次用了強(qiáng)硬的

措辭。例如，隱私不是可以交易的商品；尊重隱私，是穩(wěn)定、安全、競(jìng)爭(zhēng)性的

全球商業(yè)流動(dòng)的前提條件。在數(shù)字時(shí)代，高水平的數(shù)據(jù)保護(hù)，應(yīng)當(dāng)與國(guó)際貿(mào)易

攜手發(fā)展。當(dāng)然，這不是意味著歐盟就放棄數(shù)字貿(mào)易發(fā)展：雖然在貿(mào)易協(xié)定

中，個(gè)人數(shù)據(jù)保護(hù)是不容談判的，但歐盟的數(shù)據(jù)保護(hù)體系提供了一系列不同的

工具，可以在高水平保護(hù)的同時(shí)滿足不同場(chǎng)景下數(shù)據(jù)流動(dòng)的需求。

四是推動(dòng)世界向歐盟看齊的最重要抓手是用好"充分性認(rèn)定"。歐盟委員

會(huì)在通信中指出，一旦對(duì)某個(gè)國(guó)家給予了"充分性認(rèn)定"，數(shù)據(jù)流動(dòng)到該國(guó)就

相當(dāng)于數(shù)據(jù)在歐盟內(nèi)部流動(dòng),該國(guó)也就獲得了進(jìn)入歐盟單一市場(chǎng)的特權(quán)

(privilegedaccess);尤其是在充分性認(rèn)定所帶來(lái)的特權(quán)，歐盟委員會(huì)在通

信中勾勒出是否啟動(dòng)對(duì)某個(gè)國(guó)家的"充分性認(rèn)定”進(jìn)程，所考慮的主要方面，

包括特定國(guó)家與歐盟之間的商貿(mào)關(guān)系、數(shù)據(jù)流動(dòng)情況，特定國(guó)家在其所在區(qū)域

中是告是隱私和數(shù)據(jù)保護(hù)的"領(lǐng)頭羊"，以及特定國(guó)家與歐盟的政治關(guān)系，特

別是是否秉持共同的價(jià)值和目標(biāo)?；谏鲜隹紤]，2017年開展"充分性認(rèn)定”

對(duì)話時(shí)，歐盟委員會(huì)在東亞首選日本和韓國(guó)，并根據(jù)印度在數(shù)據(jù)保護(hù)中的立法

進(jìn)步情況，視情決定是否和印度開展對(duì)話。

總結(jié)此份通信，歐盟委員會(huì)將如何戰(zhàn)略性地發(fā)揮GDPR數(shù)據(jù)跨境流動(dòng)制度

的功能可見(jiàn)一斑：想要獲得來(lái)自歐盟的數(shù)據(jù)，只能向歐盟靠攏，不僅是法律制

度和保護(hù)水平，而且是基本價(jià)值觀和總體政治關(guān)系。因此綜合來(lái)看，在亞太地

區(qū)先是日本、韓國(guó)、印度向歐盟靠攏，而秉持不同價(jià)值觀的中國(guó)則暫不被考

慮。隨后事態(tài)的發(fā)展也印證了這份通信的觀點(diǎn)。近年來(lái)，歐盟和日本達(dá)成了充

分性認(rèn)定，和韓國(guó)的談判也取得了顯著的進(jìn)展。

3.歐盟法院推翻隱私盾協(xié)議

2020年7月16日，歐盟法院就備受關(guān)注的SchremsII案作出判決，認(rèn)

定因美國(guó)數(shù)據(jù)保護(hù)水平未能達(dá)到歐盟標(biāo)準(zhǔn)，歐盟與美國(guó)在2016年達(dá)成的美歐

數(shù)據(jù)跨境轉(zhuǎn)移機(jī)制“隱私盾協(xié)議〃無(wú)效，同時(shí)確認(rèn)歐盟see繼續(xù)有效。這是歐

盟法院繼2015年認(rèn)定"美歐安全港框架〃(EU-USSafeHarbor

Framework)無(wú)效以來(lái)，廢止的第二項(xiàng)美歐間個(gè)人數(shù)據(jù)跨境轉(zhuǎn)移機(jī)制。

歐盟法院判決的核心論據(jù)在于美國(guó)政府根據(jù)《外國(guó)情報(bào)監(jiān)視法》第702條

和《12333號(hào)美國(guó)情報(bào)活動(dòng)行政令》開展情報(bào)監(jiān)視活動(dòng)，認(rèn)為美國(guó)把國(guó)家安

全、公共利益和執(zhí)法的要求放在首位，其國(guó)內(nèi)法對(duì)公權(quán)力調(diào)取數(shù)據(jù)的限制，與

歐盟類似的法律限制不匹配,主要體現(xiàn)在數(shù)據(jù)調(diào)取不符合比例性原則，監(jiān)控項(xiàng)

目也不符合"嚴(yán)格必要〃的原則，沒(méi)有提供對(duì)可能成為目標(biāo)的非美國(guó)人員的保

障，未賦予數(shù)據(jù)主體在法院針對(duì)美國(guó)當(dāng)局提起訴訟的權(quán)利。因此，美國(guó)企業(yè)即

使加入"隱私盾〃，也無(wú)法擺脫這些美國(guó)法的約束。故“隱私盾協(xié)議〃無(wú)法為

歐盟轉(zhuǎn)移到美國(guó)的個(gè)人數(shù)據(jù)提供充分保護(hù)。

但與此同時(shí)，在判決中歐盟法院卻支持SCC繼續(xù)有效。歐盟法院認(rèn)為，雖

然SCC作為合同只能約束數(shù)據(jù)進(jìn)出口雙方，不能約束數(shù)據(jù)接收國(guó)的政府公共機(jī)

構(gòu)，但并不必然導(dǎo)致SCC失效。數(shù)據(jù)接收國(guó)的政府公共機(jī)構(gòu)出于“民主社會(huì)"

下的國(guó)家安全、國(guó)防、公共安全目的對(duì)個(gè)人數(shù)據(jù)在“必要程度”下的數(shù)據(jù)訪

問(wèn)，并不與SCC沖突。SCC條款的有效性取決于是否具有一個(gè)有效的機(jī)制通保

實(shí)踐中個(gè)人數(shù)據(jù)在接收國(guó)得到歐盟同樣標(biāo)準(zhǔn)的保護(hù)，以及在SCC的條件不能被

遵守時(shí)，雙方是否會(huì)立即中止或禁止數(shù)據(jù)轉(zhuǎn)移。歐盟法院認(rèn)為SCC已經(jīng)建立了

這一有效機(jī)制。

歐盟法院還特別指出，數(shù)據(jù)出口方和接收方都有義務(wù)，"一事一議"地在

數(shù)據(jù)跨境前去評(píng)估第三國(guó)是否提供充分?jǐn)?shù)據(jù)保護(hù)水平；必要時(shí)，可以增加額外

的保護(hù)措施。數(shù)據(jù)接收方一旦發(fā)現(xiàn)自己不能遵守see(比如第三國(guó)執(zhí)法協(xié)助請(qǐng)

求不允許接收方向出口方披露)，則接收方有義務(wù)立即通知數(shù)據(jù)出口方自己不

能遵守see,出口方應(yīng)該暫?；蛘呓K止數(shù)據(jù)跨境；如果出口方?jīng)Q定繼續(xù)跨境轉(zhuǎn)

移，應(yīng)該通知本國(guó)數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)。除非有歐盟委員會(huì)對(duì)第三國(guó)的"數(shù)據(jù)保

護(hù)充分性”認(rèn)定，數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)一旦認(rèn)為see不能在當(dāng)?shù)貒?guó)家得到遵從，

而且也不能通過(guò)其他方式提供同等于歐盟的數(shù)據(jù)保護(hù)水平時(shí)，監(jiān)管機(jī)構(gòu)應(yīng)該暫

?；蛘呓箶?shù)據(jù)轉(zhuǎn)移到第三國(guó)。

4.新一屆歐盟委員會(huì)提出的技術(shù)主權(quán)概念

2020年2月，歐盟委員會(huì)同時(shí)發(fā)布了三份重要的數(shù)字戰(zhàn)略文件，分別是

《塑造歐洲的數(shù)字未來(lái)》、《人工智能白皮書》和《歐洲數(shù)據(jù)戰(zhàn)略》。貫穿著

三份戰(zhàn)略文件的一個(gè)核心概念，用新一屆歐盟委員會(huì)的主席烏爾蘇拉?馮德萊恩

(UrsulavonderLeyen)自己的話來(lái)概括，就是歐盟必須重新奪回自己的

“技術(shù)主權(quán)"。所謂"技術(shù)主權(quán)"，在馮德萊恩看來(lái)，就是"歐洲必須具有的

能力，即必須根據(jù)自己的價(jià)值觀并遵守自己的規(guī)則來(lái)做出自己的選擇〃。

結(jié)合這三份戰(zhàn)略文件的內(nèi)容，歐盟的技術(shù)主權(quán)概念實(shí)際上在三個(gè)層面上展

開——基礎(chǔ)設(shè)施和工具、標(biāo)準(zhǔn)和法律規(guī)則，以及價(jià)值觀和社會(huì)模式。在基礎(chǔ)設(shè)

施和工具層面，《歐洲數(shù)據(jù)戰(zhàn)略》提出應(yīng)發(fā)展歐盟自己的云服務(wù)產(chǎn)業(yè)。歐盟認(rèn)

為其經(jīng)濟(jì)的數(shù)字化轉(zhuǎn)型取決于安全、節(jié)能、負(fù)擔(dān)得起的高質(zhì)量數(shù)據(jù)處理能力。

目前，歐盟高度依賴外部供應(yīng)商，因此需要采取措施減少對(duì)外的技術(shù)依賴。在

標(biāo)準(zhǔn)和法律規(guī)則層面,歐盟一致認(rèn)為建立優(yōu)秀的標(biāo)準(zhǔn)和法律規(guī)則是其強(qiáng)項(xiàng)。

三份戰(zhàn)略文件中多處提到了GDPR在統(tǒng)一翔居保護(hù)規(guī)則、推進(jìn)數(shù)字單一市

場(chǎng)方面的巨大作用。在GDPR成功經(jīng)驗(yàn)的基礎(chǔ)上，三份文件進(jìn)一步提出了明確

的立法計(jì)劃。例如旨在激勵(lì)各方數(shù)據(jù)共享的數(shù)據(jù)法案；以及針對(duì)科技巨頭收

集、使用、共享數(shù)據(jù)中限制創(chuàng)新和競(jìng)爭(zhēng)問(wèn)題的數(shù)字服務(wù)法案等。在價(jià)值觀和社

會(huì)模式的層面，歐盟希望繼續(xù)通過(guò)其建立的基本人權(quán)(如數(shù)據(jù)保護(hù)、隱私和不

得歧視)體系、消費(fèi)者保護(hù)、產(chǎn)品安全和責(zé)任規(guī)則等法律框架，持續(xù)監(jiān)管包括

數(shù)據(jù)處理和人工智能等在內(nèi)的技術(shù)發(fā)展和應(yīng)用。

聚焦于數(shù)據(jù)，《歐洲數(shù)據(jù)戰(zhàn)略》實(shí)際主導(dǎo)人歐盟內(nèi)部市場(chǎng)專員蒂埃里?布雷

頓(ThierryBreton)在系列文件出臺(tái)前后發(fā)表了一系列“激進(jìn)”的言論。例如

"歐盟的數(shù)據(jù)就應(yīng)當(dāng)留在歐盟境內(nèi)"；歐盟應(yīng)當(dāng)用工業(yè)政策來(lái)孵簡(jiǎn)口培訓(xùn)歐盟

中的冠軍企業(yè)，而恰好留住數(shù)據(jù)、用好數(shù)據(jù)就是歐盟企業(yè)成功的關(guān)鍵；以及

"我確信這些帝國(guó)將來(lái)不可能好日子依舊，他們攫取了太多的價(jià)值"。

5.總結(jié)

為持續(xù)保障個(gè)人數(shù)據(jù)受保護(hù)的基本權(quán)利，歐盟GDPR圍繞著數(shù)據(jù)保護(hù)水平

不降低的原則，為數(shù)據(jù)跨境流動(dòng)制度提供了多種法律工具。這些法律工具的核

心目標(biāo)均在于要求數(shù)據(jù)接收國(guó)或境外的數(shù)據(jù)接收方提供與GDPR"實(shí)質(zhì)性等

同"(essentiallyequivalent)的保護(hù)水平?？梢哉f(shuō)，GDPR實(shí)現(xiàn)了歐盟數(shù)據(jù)

保護(hù)模式和影響力向境外的投射。

而歐盟法院兩次對(duì)Schrems案件的判決，事實(shí)上將〃充分性認(rèn)定〃和〃有

約束力的公司準(zhǔn)則"突出為最牢靠和穩(wěn)定的數(shù)據(jù)跨境流動(dòng)工具。前者需要?dú)W盟

委員會(huì)對(duì)數(shù)據(jù)接收國(guó)遂行全面詳盡的評(píng)估，后者同樣需要?dú)W盟成員國(guó)數(shù)據(jù)保護(hù)

機(jī)構(gòu)對(duì)所提交的公司準(zhǔn)則進(jìn)行全面詳盡的評(píng)估，兩者均有賴于歐盟單方面的自

由裁量。在上屆和本屆歐盟委員會(huì)充分意識(shí)到數(shù)據(jù)對(duì)于歐盟對(duì)外商貿(mào)和數(shù)字轉(zhuǎn)

型至關(guān)重要的角色的情況下,可想而知上述自由裁量在作出時(shí)，將更加蘊(yùn)含除

個(gè)人權(quán)利保障之外的政治經(jīng)濟(jì)考量。

三、基于“一帶一路〃的中國(guó)數(shù)據(jù)跨境制度構(gòu)想

作為“一帶一路”倡議的發(fā)起者，中國(guó)的數(shù)據(jù)跨境制度安排，應(yīng)當(dāng)對(duì)倡議

的推行有所設(shè)計(jì)。而從前文看來(lái)，美國(guó)和歐盟都在推行由自身主導(dǎo)的、反映自

身利益的數(shù)據(jù)跨境流動(dòng)"小圈子"，那中國(guó)在推動(dòng)“一帶一路"建設(shè)時(shí)應(yīng)該就

數(shù)據(jù)跨境流動(dòng)做何種戰(zhàn)略選擇？是效仿美國(guó)和歐洲，在"一帶一路"中關(guān)起門

來(lái)搞小圈子或者俱樂(lè)部，還是堅(jiān)持"和平合作、開放包容、互學(xué)互鑒、互利共

贏的絲綢之路精神"。

如果選擇前者，不可避免地要和歐美的數(shù)據(jù)跨境流動(dòng)發(fā)生直接對(duì)沖，對(duì)特

定國(guó)家以及特定國(guó)家的特定企業(yè)來(lái)說(shuō)，就須在〃一帶一路〃、美國(guó)商貿(mào)圈、歐

盟商貿(mào)圈中做出選擇。

如果選擇后者，中國(guó)應(yīng)該采取哪些具體的舉措？

L貿(mào)易規(guī)則談判

目前，世界貿(mào)易組織（WTO）電子商務(wù)規(guī)則談判在進(jìn)展之中,2019年我

國(guó)也正式加入其中。數(shù)據(jù)跨境流動(dòng)、數(shù)據(jù)本地化、個(gè)人信息保護(hù)等具體事項(xiàng)恰

在電子商務(wù)規(guī)則談判之中。但從WTO相關(guān)談判的過(guò)往歷史來(lái)看，電子商務(wù)規(guī)

則"進(jìn)展緩慢"，”各成員方紛紛轉(zhuǎn)向簽署各類區(qū)域貿(mào)易協(xié)定”。

而區(qū)域貿(mào)易協(xié)定中，”數(shù)字貿(mào)易國(guó)際規(guī)則主要體現(xiàn)在美歐等發(fā)達(dá)國(guó)家引領(lǐng)

制定的區(qū)域貿(mào)易協(xié)定中。在WTO公布的涉及數(shù)字貿(mào)易和的40多個(gè)區(qū)域協(xié)定

中，32個(gè)協(xié)定將數(shù)字貿(mào)易（電子商務(wù)）單獨(dú)設(shè)章，其中美國(guó)主導(dǎo)13個(gè)，歐盟

主導(dǎo)7個(gè)，其他協(xié)定也基本上由已與美歐簽署協(xié)定后的國(guó)家或地區(qū)之間互相簽

署"。

從上述趨勢(shì)看，在WTO層面的數(shù)據(jù)跨境流動(dòng)的談判，必然會(huì)經(jīng)歷美歐之

間理念、制度、利益之間的沖突。

如果以正在談判之中的歐盟與印度尼西亞貿(mào)易協(xié)定中的數(shù)據(jù)跨境流動(dòng)條款

為分析樣本，可以看到歐盟的基本訴求是在貿(mào)易協(xié)定中為GDPR的實(shí)施留出足

夠的規(guī)制空間。以新近簽署的《美加墨貿(mào)易協(xié)定》（USMCA）中的數(shù)據(jù)跨境

流動(dòng)條款作為分析樣本的話,可以看到美國(guó)的基本訴求還是〃強(qiáng)迫“各成員國(guó)

同意一個(gè)基于1氐水平保護(hù)的個(gè)人信息跨境流動(dòng)制度，以使各國(guó)的個(gè)人信息方便

地向美國(guó)聚攏。顯然，美國(guó)在贊易談判中提出的條義，是為CBPRs體系的后續(xù)

推廣而〃量體裁衣"。

我國(guó)的立場(chǎng)則可以新近簽署的《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》（RCEP）為

分析樣本。RCEP第十二章為電子商務(wù)，其第15條為〃通過(guò)電子方式跨境傳輸

信息”。與《跨太平洋伙伴關(guān)系協(xié)定》（TPP）或《全面進(jìn)步的跨太平洋伙伴

關(guān)系協(xié)定》（CPTPP）的文本相比，RCEP吸納了其大多數(shù)內(nèi)容，但同時(shí)增力口

了兩個(gè)顯著變化：

一是注釋14中的"就本項(xiàng)而言，締約方確認(rèn)實(shí)施此類合法公共政策的必

要性應(yīng)當(dāng)由實(shí)施的締約方?jīng)Q定"。換句話說(shuō),新增的這個(gè)注釋賦予了締約方自

主決定何為"合法公共政策〃，因此相比于CPTPP和TPP,RCEP更加尊重各

個(gè)締約方的規(guī)制自由(regulatoryautonomy);二是新增了"該締約方認(rèn)為

對(duì)保護(hù)其基本安全利益所必需的任何措施。其他締約方不得對(duì)此類措施提出異

議"。這一條款相當(dāng)于在"合法公共政策目標(biāo)"例外之外，另外開辟了"基本

安全利益”(essentialsecurityinterests)的例外。

可以看出，RCEP條款最顯著的特點(diǎn)是給各個(gè)締約方留足了規(guī)制空間。由

于捌居跨境流動(dòng)是個(gè)相對(duì)嶄新的議題，涉及許多層面且往往相互沖突的利益訴

求，因此RCEP中此條款的設(shè)計(jì)更加尊重各國(guó)的主權(quán)、安全和發(fā)展利益。相比

之下，歐盟的條款只允許依據(jù)個(gè)人數(shù)據(jù)保護(hù)而對(duì)數(shù)據(jù)跨境流動(dòng)做出限制，拒絕

承認(rèn)其他合法公共政策目標(biāo)；而美國(guó)的條款雖然承認(rèn)合法公共政策目標(biāo)，但拒

絕了其他國(guó)家按照自己的意愿對(duì)個(gè)人數(shù)據(jù)保護(hù)水平作出設(shè)計(jì)的自由。

考慮到RCEP此條款的上述特點(diǎn)，以及〃一帶一路〃國(guó)家的廣泛性，因

此筆者的第一個(gè)建議是：當(dāng)我國(guó)和其他國(guó)家簽署共建"一帶一路”合作義件

時(shí)，均可以RCEP中此條款作為數(shù)據(jù)跨境流動(dòng)的格式條款，吸納于合作文件之

中。

2.雙多邊數(shù)據(jù)保護(hù)合作

單純通過(guò)前文所述的貿(mào)易規(guī)則設(shè)計(jì)，并不足以促成數(shù)據(jù)在“一帶一路〃上

的互聯(lián)互通。如果共建"一帶一路"的國(guó)家出于各種政策目