美欧《隐私盾协议》之无效及中国应对路径*

肖 雄

（华东政法大学，上海 200042）

0 引 言

当信息化发展跨入万物互联的时代，数据化已经成为各行各业都亟需考虑的问题。“新冠”疫情爆发进一步加快了电子商务、数字贸易、电子服务贸易的发展，这一切都以数据流动要素为基础条件。2020年《隐私盾协议》的无效无疑将跨境数据自由流动的议题再次推向高潮，在万物互联时代的开局之年，分析该协议无效的缘由及后续影响，将对我国参与跨境数据自由流动全球框架构建大有裨益。

1 《隐私盾协议》无效之缘由

在Schrems案六年之后，当事人Schrems再次提起法律诉讼，并要求数据保护监管机构对Facebook的数据传输是否违反了欧盟数据保护法，并侵犯了欧盟公民的隐私权利作出答复。该案件于2019年7月9日再次提交欧盟法院，欧盟法院最终认定《隐私盾协议》无效。笔者认为欧盟法院的判决仅仅是该协议无效的宣明，在无效背后还有其他深层因素。

1.1 不符合欧盟隐私保护基本法规要求

在Schrems II判决中，法院认为关于将个人数据从Facebook爱尔兰公司转移到美国的问题，美国的监视法没有得到充分的限制，无法满足《欧盟基本权利宪章》提出的“基本等同”要求。此外，法院认为美国监视法规和相关法律缺乏相称性，收集的数据不限于严格必要的数据①“严格必要”是指为了国家安全之必要而收集数据，对应美国《外国情报监控法》中的规定。，以及美国法院对非美国人员数据收集没有任何有意义的补救措施。可见美国法律对于监视数据的分类并不严谨或者存在执法乱象的问题，在为国家安全之目的监视数据中并没有严格遵守法律规定。在判决中法院还指出，美国隐私监察员既不独立，也不能实施任何有意义的补救措施②See Case 311/18, Data Protection Commissioner v. Facebook Ireland and Schrems.。这不符合欧盟对于隐私保护整体价值取向的要求。

1.2 《外国情报监控法案》（FISA）第702条、第12333号行政命令并不符合比例原则

FISA第702条授权美国国安局在无须获得法院授权的情况下，即可监控境外的外籍人士。原本第702条将在2018年1月19日过期，但经过美国国会投票通过表决，使该法案的有效期延长至2023年，表明美国参议院实际上已确保恢复对外国人监听计划。随着702条款的实施，欧盟公民的数据实际上受到了“不加选择的大规模监视”，因为该法规允许美国政府收集任何外国情报目标的电子通信数据。欧盟法院认为第702条没有规定对实施外国情报监视计划的权力有任何限制，或对这些计划潜在目标的非美国人存在任何保障。

对第12333号行政命令，欧盟法院指出“也没有授予美国当局强制执行的权利。”并更进一步指出，第12333号行政命令未能“以足够明确和精确的方式界定大量收集个人数据的范围”。

总体上，欧盟法院认为监视必须符合必要性与相称性，符合国家安全的需要。但是FISA第702条和第12333号行政命令并不符合比例原则的要求。因此，基于这些规定的监视计划并不能被认作是严格必要的。

1.3 美国政府执行《隐私盾协议》并不积极

美国商务部按照协议规定设置了一名隐私监察员，但是相较于欧盟的隐私保护法律，美国隐私保护水平还远远不够。美国政府没有设立数据保护机构[1]，自2019年隐私盾年度审查以后，其在边境开展积极的监视措施，包括对面部识别和社交媒体标识符的收集[2]。

就总体判决而言，与Schrems I案的判决一致，Schrems II案的法院认为在无法确保美国个人数据隐私保护水平达到欧洲要求之前，欧盟的个人数据保护机构必须暂停或禁止个人数据的转让。针对标准合同条款的适用，虽然欧盟法院认定标准合同条款传输数据仍然有效，但是只有在独立监督当局能够确保遵守欧盟法律的情况下，标准合同条款才能继续为跨大西洋数据流动提供法律依据。

2 《隐私盾协议》无效之后续影响

《隐私盾协议》无效不仅仅关乎美欧之间的数据传输问题，还会给世界其他国家数据跨境流动带来重击。美欧作为发达国家典范，世界其他后发国家会借鉴其法律模式与制度完善弥补自身的法律空白。在数据跨境流动制度上亦是如此，《隐私盾协议》无效无疑增强了数据跨境流动压力，各主权国家会越发关注本国数据安全和公民个人隐私保障而采取限制措施为数据跨境流动设立障碍。这不仅会给美欧经贸往来带来严重影响，还会对全球数字经济以及统一数据跨境流动制度构建产生消极影响。

2.1 美欧关系首当其冲

《隐私盾协议》无效对美欧之间的影响首先会在经贸关系上表现出来。美国公司可能不再使用隐私盾作为将个人数据从欧盟转移到美国的法律依据。对美国企业来说，大量公司将因为数据跨境困难而不能在欧盟继续顺利开展经营业务，或者欧洲业务陷入瘫痪状态。对于欧盟公民来说，协议无效将会带来诸多不便。美国许多公司在欧洲大规模扩展业务范围，并且同类型的业务公司在欧盟国家本土存在空缺。如果数据不能在大西洋顺畅流动，这些用户服务将会受到限制甚至消失。

但是从实际情况来看，尽管美国公司可能不能使用隐私盾作为将个人数据从欧盟转移到美国的工具，但迄今为止已经通过《隐私盾协议》认证处理个人数据的公司继续遵守着协议规定[3]。在Schrems判决之后，美国商务部同样表示，它将“继续管理安全港项目，包括处理提交到安全港框架的自我认证”[4]。可以看出，即使没有了欧洲向美国跨境转移个人数据的约定，美国政府可能有意促成新版“隐私盾”的谈判，并同时确保企业商业行为仍对个人隐私友好。究其背后的因素，美国特朗普总统上台之后，盟友关系出现裂痕，美国开始采取“美国中心”的政治外交导向，但美欧作为传统盟友，对于个人隐私保护“表面上”具有着相同的价值趋向，在国际利益上大体方向还是一致。所以在2020年8月10日，Schrems II判决《隐私盾协议》无效之后，美国商务部和欧盟委员会又宣布开始讨论加强美欧隐私盾框架的潜力并遵守欧盟法院的判决。总之，《隐私盾协议》无效会对美欧经贸产生影响，但是并未触及其根本利益，美国与欧盟还是会在相互妥协中达成新版的“隐私盾”。

2.2 美欧跨国企业业务受限，数字经济全球拓展受阻

在美国与欧盟之间，美国主要扮演数据进口方的角色，而欧盟则为数据出口方的角色。《隐私盾协议》无效之后，对于欧盟数据出口方而言，因为Schrems II判决没有规定宽限期制度，继续通过隐私盾机制传输数据就会变为非法行为，对应的这部分业务也会立刻陷入停滞状态。对于谷歌、苹果、脸书等大型跨国企业，他们可以增加成本将数据服务基站设立在欧盟境内进行数据传输服务，以此遵守欧盟法律规定，但是依旧会因为漏洞或其他因素传输了欧盟公民个人数据，被欧盟委员会处以巨额罚款。但是，对于中小企业来说，基于高昂的人力成本及技术限制，协议失效将抬高数据传输安全条件的门槛，并直接影响中小企业在欧洲市场营运，客观上形成进入欧洲市场的壁垒[5]。

美欧隐私盾的无效不仅仅作用于两者之间，还会波及全球数据经济市场。欧盟法律历来被许多后发国家所借鉴，例如通用数据保护条例（GDPR）作为欧盟的数据保护法就被印度等后发国家借鉴。然而，数字强国与弱国之间本就存在数据鸿沟，弱国对于开放本国数据传输持怀疑态度，如果欧盟宣布《隐私盾协议》无效，限制了美国企业收集欧盟公民数据，那么可以预见美欧《隐私盾协议》无效可能在全球范围内造成逆向影响，使其他国家收紧本国数据跨境流动政策与法律，为数字经济全球拓展设置壁垒。

2.3 滞后统一跨境数据流动规则构建

随着互联网及其衍生技术的发展，区块链、大数据、人脸识别等全范围应用到人类生活中，个人越来越关注自我隐私保护，国家也越发注重本国公民个人数据的价值，数字主权、数字安全成为了各国需要考虑的话题。而美欧《隐私盾协议》无效很可能打击国家开放数据跨境流动的信心，阻碍跨境数据流动统一规则的构建。比如美欧在WTO电子商务谈判中的分歧可能会扩大，其他国家因受到影响，可能对数据跨境流动采取消极态度，这些都会延缓协调统一数据跨境流动规则的构建进程。

2.4 依据标准合同条款（SCC）进行数据跨境传输遭创

在Schrems II案件中，欧盟法院不仅认定美欧《隐私盾协议》无效，还对SCC的效力提出质疑。欧盟法院认为SCC具有固有的合同性质，不能约束第三国的政府当局，所以需要采取“额外的保障措施”来确保个人数据流到“恶劣”的政策法律环境中后，还能享有充分的保护。但是当时并没有解释这些措施可能是什么①2020年11月12日欧盟委员会发布了《第2016/679号条例（GDPR）下将个人数据跨境传输至第三国的标准合同条款的实施决定（草案）》，其中附有新版标准合同条款。，所以很多公司并不清楚他们是否可以合法地继续向欧盟转移个人数据，关键是欧盟出口的大量数据依赖于标准合同条款。这样所有的SCC都变成了迷你的充分性决定，在此种情况下，大公司能够负担得起审查外国监视法是否符合欧盟法律的昂贵法律咨询费用，而小公司则负担不起，依靠SCC来进行欧盟数据传输的企业会受到严重打击[6]。

3 中国应对路径

虽然《隐私盾协议》无效在法律层面并不会对我国产生影响，但是其影响会波及我国数据跨境流动政策、跨国企业数据跨境传输等方面。在美欧为主导的跨境数据流动规则框架构建中，我国如何借鉴其他国家经验，立足我国实际面向国际，构建数据跨境流动中国规则要从多方面考虑，将保障国家安全、保护个人隐私、维护我国企业出海发展权益三者有机结合[7]。

3.1 转变对数据跨境转移的态度

我国目前对数据跨境转移的态度可以从以下方面看出。一方面，在国内立法上，我国对跨境数据流动存在一定的限制，比如《中华人民共和国网络安全法》规定个人信息和重要数据的数据本地化措施；《关键信息基础设施安全保护条例（征求意见稿）》规定关键信息基础设施的运行维护应当在境内实施，并再次强调个人信息和重要数据的境内储存和跨境流动审批；《个人信息出境安全评估办法（征求意见稿）》细化跨境信息流动评估制度，规定评估所需提交材料，评估程序以及部门；《数据安全管理办法（征求意见稿）》规定网络运营者发布、共享、交易或向境外提供重要数据的安全风险评估。但是从2020年公布的《中华人民共和国个人信息保护法（草案）》发现，该法规定个人信息跨境提供的几个并列条件，其中包括安全评估、认证机制、合同条款、其他措施。从条文中可以看到我国扩大了数据跨境提供等路径，并且设置了兜底条款。另一方面，在我国参与的国际协定及谈判上，2020年我国与东盟、日韩、澳大利亚等国家达成的《区域全面经济伙伴关系协定》（RCEP）反映了我国对数据跨境问题立场的微妙变化，RCEP第十二章电子商务部分规定，一缔约方不得阻止涵盖的人为进行商业行为而通过电子方式跨境传输信息，并规定了之后统一跨境数据流动规则的构建倡议。

综上可以看出，我国对于数据跨境流动立场的转变，由完全限制变为逐渐开放。随着我国企业技术成熟，走向海外，数据自由流动也成为我国企业发展的关键要素。我国也应当在立法上进一步落实开放策略。

3.2 落实数据分类制度，合理设置国家安全例外

应对当下美欧主导数据跨境流动机制的现状，我国需要从数据保护与数据跨境角度完善国内立法。其中最重要的两个方面是数据的合理分类和投资安全例外的设置，二者是管理数据跨国流动的关键所在。

根据国际权威机构Statista的统计和预测，2020年全球数据产生量预计达到64.2 ZB，而到2025年，这一数字将达到180 ZB，全球数据量即将迎来更大规模的爆发[8]。所以要想对所有数据进行评估监管并不现实，要确立好数据分类的标准才能更好地实现数据跨境自由流动，笔者认为先横向将数据按种类分为个人数据、公共（政府）数据以及商业数据，这三者并没有完全明晰的界限，在一组数据处理的不同阶段，它会有不同的叫法，再纵向按行业大类将数据分为金融、交通、医疗、社交等类别。这样横纵划分之后可以将数据更好地归类分析，以便评估机构进行出入境安全评估。比如个人数据在个体之中一般要受到严格的评估，但是当个人数据进入企业端进行数据脱敏之后就可以进行传输。还需要注意纵向划分上的限制，如果该数据涉及金融、交通、健康、基因等法律规定限制出境的信息或者属于重要信息时，该数据仍然不能进行跨境传输。比如2020年Tik Tok美国部分的收购被商务部出台文件否决，其中暗含的原因是该软件对兴趣爱好追踪的算法是以中国几亿用户的使用习惯为基础形成的，这就属于个人数据脱敏之后仍然不符合跨境传输条件的范畴。这样通过数据分类就可以分为允许自由流动和需要经过评估两个部分。对于允许自由流动的数据，在境外数据接收方符合中国个人信息保护和网络安全技术标准的前提下，允许数据跨境自由流动。这样既可以达到数据跨境自由流动的目的，也能兼顾重要数据、敏感数据评估，对于我国跨国互联网企业数据回流意义重大。

目前在WTO电子商务谈判中，针对跨境数据流动的例外与限制，美国提出以“合法公共政策目标”为例外，以数据跨境自由流动为原则，但是此种例外不能违反必要性的原则，日本、加拿大、巴西与美国立场相近，但是他们对于“合法公共政策目标”容忍性更高[9]。美国的“合法公共政策目标”例外可以包含隐私保护的内容，但是例外的要求很高，是由美国发达的互联网产业以及收集他国用户数据的目的所决定的。欧盟并没有设置安全例外条款，但是欧盟GDPR将个人隐私置于高位，变相限制数据跨境传输。笔者认为，安全例外因为各个国家社会文化背景不同、信息网络发展程度不同、政治立场不同而有着不同的内涵与外延。可能存在一些国家为了本国产业竞争力和安全利益，而使用国家安全例外限制数据跨境流动，这是属于安全例外条款的泛化适用。综合分析，我国设置安全例外可以参考美国的“合法公共政策目标”的做法，提高政策灵活性，但是标准设置不能像美国要求那么高，也不能将泛化安全例外。随着我国跨国互联网企业增多，我国应当保持前瞻性的视角设置安全例外，以免他国以此为由限制我国互联网企业数据跨境自由流动。

3.3 通过区域贸易协定与电子商务谈判扩大立场影响力

除了国内数据保护立法，在国际赛道上我国也需要主动出击。在WTO多边机制、RTA、BITs、FTA谈判中我国应当通过利益博弈与合作促使国内数据流动规则转变为条约条款，以此提高我国在数据跨境流动规则构建中的话语权。

首先，在下一轮电子商务谈判中，我国应该在转变数据跨境转移态度的基础上主动出击，提出我国倡议。在电子商务谈判中对于数据跨境流动主要存在三种态度。第一，自由流动为主，尽量少设限制。以美国、加拿大为代表，其提案内容与美国、加拿大在USMCA第十九章“数字贸易”规定的相似，要求允许数据跨境自由流动[10]。第二，个人隐私保护至上，允许符合条件的数据跨境流动。以欧盟为代表，其认为个人信息和隐私保护是公民基本权利，数据跨境自由流动也要让步于个人信息隐私保护[11]。第三，严格的数据本地化，以印度和大部分非洲国家为代表，印度国内立法将个人数据纳入数据本地化的规制范畴，实行严格的分级制度，设有少量的豁免制度[12]。印度和多数非洲国家并不赞同制定新一代的电子商务国际规则，而主张维持1998年“电子商务工作计划”，为本国保留规制电子商务和促进数字产业发展的权利[13]。此外日韩的做法也需要考虑在内，两国都以跨境数据流动政策灵活性为主导，加强与美欧两大跨境数据流动监管框架对接[14]。笔者认为我国应该在数字贸易或者电子商务框架下，主动拥抱数据自由跨境流动，同时确保国内立法完善。此外，我国应当吸取欧盟个人隐私保护规则经验，但是出于互联网产业发展数据集中特性，规则松紧程度不宜过高。

其次，在区域贸易协定中，推进“中国模式”。笔者认为最具实际意义的是RCEP协定。其涵盖约35亿人口，GDP总和达23万亿美元，占全球总量的1/3，所涵盖区域成为世界最大的自贸区。如果在RECP框架之下能够达成数据跨境转移规则，对于我国数字产业发展和全球数据跨境流动规则制定能产生长远的积极作用。综上所述，RCEP第十二章电子商务部分第十六条规定，通过电子方式跨境传输信息，各方认识到各国对于数据跨境流动的监管要求可能存在差异，同时各方也达成共识，不得阻止涵盖的人为进行商业行为而通过电子方式跨境传输信息，最后各方一致认为对该话题要进行合作对话。此条文背景下，我国可以在RCEP范围内加快数据流动规则构建，以达成小规模的规则认同。其中的核心是中日韩三国，在RCEP框架之下达成数据流动规则协定，为今后中日韩自贸区建立减少障碍，推进东亚经济一体化进程。

最后，在投资协定中，积极推进该问题纳入投资法律框架规制。欧盟作为全球第三大消费市场，我国企业海外投资不可避免地会进入欧洲市场，并且会产生数据跨境流动需求。如果中欧之间能就数据跨境流动议题达成协议，不仅有利于我国企业开拓欧洲市场，还能提高在相关问题国际谈判中我国的话语权。目前根据欧盟GDPR规定，我国个人信息保护现状通过白名单制度审查尚存在较大困难。企业私人之间可以通过标准合同条款或者约束性公司规则进行数据跨境转移，但是面对庞大的数据量时，这种方式并不方便。所以在中欧双边投资协定中纳入数据跨境流动规则具有显著意义。2020年12月30日《中欧投资协定》（Comprehensive Agreement on Investment，CAI）谈判如期完成，此次投资协定不是普通的双边投资协定（BIT），而是全面的综合性投资保护协定[15]。该协定谈判成功表明欧盟在国际局势博弈上不可忽视中国力量，我国可以顺势积极推进在CAI框架下就数据跨境流动规则进行谈判。

4 结 语

当下世界数据跨境流动规则是以美欧为主导的二元规则，美国与欧盟在该问题下有较大的价值差异。美国通过USMCA、TTP的影响力以及亚太经合组织CBPR框架积极推广其数据跨境自由流动价值观与规则。欧盟也积极推动GDPR成为数据跨境流动规则的“全球黄金标准”。可见美欧在数据跨境流动全球规则构建上的竞争激烈，美欧《隐私盾协议》的无效也是二者之间博弈的结果。目前欧盟在规则话语权上占据优势，但是美国凭借其强大的数字经济优势与其对抗。与美国相比，虽然我国互联网经济发达，但是从数字经济角度看，我国数字经济规模不到美国的二分之一[16]，我国目前数字产业主要是作为电子商务的辅助，并不是单纯的数字贸易；与欧盟相比，我国数据跨境流动规则还较为分散，相关配套制度也未完全落地。在此背景下，我国更需要构建自己的数据跨境流动规则，在国际数据跨境规则构建中提出中国倡议。在人类命运共同体理论指导下促进国际社会网络空间和谐发展。