欧美个人数据跨境流动规制：冲突与协调
——基于欧盟法院判定“安全港”“隐私盾”无效案的考察

何 东

（青海民族大学法学院,青海 西宁 810007）

欧美的诸多贸易往来都涉及个人数据的跨境流动。从2000年到2020年，欧美签署的《安全港协议》和《隐私盾协议》，使得美国获得了作为欧盟个人数据传输目的地的资格。在此期间，二者在个人数据传输方面只是偶有矛盾和分歧，没有出现较大的纷争。然而，双方在个人数据跨境流动规制方面存在着巨大的理念冲突，在数字经济的发展中又互为竞争对手，因此，欧美之间的个人数据流动规制模式在运行中难免会遇到阻力。2020年，欧盟法院先后确认《安全港协议》和《隐私盾协议》失去法律效力。探讨两个协议失效案件，进而充分认识欧美个人数据跨境传输模式中内在的体制机制矛盾，并研判世界个人数据流动规制法律创制的发展方向。可以为中国立足本国实际构建本国个人数据流动规制框架、积极参与世界范围内法律的制定提供有益的参考和建议。

1 欧美个人数据跨境流动规制安排的缘起

针对向外传输的域内数据，欧盟采取充分保护规则对其进行保护。欧盟依据自身标准对域外国家和地区的立法体系、公民权利保障状况、法律适用情况等进行充分考察，从而确定该国或该地区是否具有保护公民个人数据安全的能力。只有经欧盟审核符合条件的国家和地区才可以成为欧盟个人数据传输的目的地。由于欧盟对个人数据保护进行了严格的法律规定，当前只有13个国家符合欧盟的数据保护标准。而美国尚未进行全国层面的公民信息保护法律的创制，因此其数据规制模式难以得到欧盟委员会的承认，而欧美之间又存在着紧密的经贸联系，促进两者之间的信息传输势在必行。在这样的背景下，欧盟和美国先后签订了《安全港协议》和《隐私盾协议》。

1.1 《安全港协议》

1.1.1 《安全港协议》的签署及其主旨

欧美之间的贸易额巨大，双方在交易过程中不可避免地要向彼此传输大量的个人跨境数据。寻求一种有效而又能符合欧美法律规定的数据传输方式一直是双方所追寻的目标。早在1995年，欧盟颁布了《数据保护指令》。欧盟已经开始管制域内数据向域外国家和地区的传输[1]。在1998年，欧盟和美国正式开启了谈判，意欲实现欧盟个人数据向美国的自由传输。密切的经贸往来促使欧美开启了长期的协商，并最终签署了《安全港协议》。《安全港协议》于2000年得以生效，美国的数据保护能力得到了欧盟“非全面”的承认。

《安全港协议》对个人数据的保护做出详细的规定，商业机构可以自愿参与到该协议之中，进而获得开展关涉欧美之间个人数据流动贸易的资格[2]。凭借“安全港”模式提供的机制优势，美国商业机构针对欧盟市场开发出了一套特有的商业范式，获得了高额商业利润。作为两大经济体谈判的重要成果，该协议对公民隐私的保护作出了全面的规定。

1.1.2 SchermsⅠ案件导致《安全港协议》机制失去效力

因个人网络信息未经本人同意被传输至美国，奥地利人Max Schrems认为其个人数据安全未能得到有效保障，于2013年提起诉讼，当时对跨大西洋数据传输进行规制的文件是《安全港协议》。后来，欧盟法院对该案进行了审理和判决，指出与保护公民隐私相比，美国把维护国家安全和促进经济发展的法律的适用放在了更为优先的位置。因此《安全港协议》不足以使传输至美国的欧盟个人信息安全得到有效保障，自此《安全港协议》对欧美数据传输不再具有约束力。

1.2 《隐私盾协议》

1.2.1 《隐私盾协议》的颁行及其要旨

《安全港协议》失效以后，跨大西洋数据传输再次处于无序的状态之中，极大的阻碍了欧美之间的经济往来。欧美双方不得不迅速开启谈判，在《安全港协议》失效的时间尚不足一年时，双方最终签署了《隐私盾协议》。该协议从2016年7月生效。《隐私盾协议》对《安全港协议》的内容进行了补充修正，自愿接受该协议规制的商业机构达5 000余个[3]。此后，跨大西洋数据传输再次得到了有力的规制。为了尽快恢复欧美之间的数据自由传输，与《安全港协议》相比，美国在签订《隐私盾协议》时做出了大量的退让。

1.2.2 SchermsⅡ案件和跨大西洋个人数据传输规制分歧的研究

《隐私盾协议》被判定无效一案和《安全港协议》被判定无效一案相承接，因此又被称为SchermsⅡ案件。在《安全港协议》对欧美个人数据传输不再具有管制力后，为了继续向美国传输欧盟个人信息，Facebook以SCCs数据安全保障机制作为合规手段以使得欧美之间的信息流动得以正常进行。然而，Max Schrems于2015年再次向爱尔兰数据保护委员会进行申诉，以欧盟公民隐私无法得到有效保障为由请求禁用SCCs数据安全保障机制。在此案移送到欧盟法院的过程中，爱尔兰司法机构在质疑标准合同条款中规定的数据安全保障机制（以下简称SCCs数据安全保障机制）合规性的同时，也开始对《隐私盾协议》的规制效力问题进行进一步的探讨。欧盟法院的判决指出，美国政府拥有访问和掌握个人数据的极大权力，这足以使欧盟公民的信息安全权利遭受侵犯。此外，欧盟域内的个人难以赴美以法律手段制裁侵犯公民信息权利的美国企业，并成功维护自身权益。《隐私盾协议》于2020年被认定为失去法律约束力。然而，SCCs数据安全保障机制仍然具有效力。

欧盟尤其担忧美国国家部门可以自由查看欧盟域内居民的信息和隐私，可是欧盟域内的个人却难以维权。欧盟法院在对《隐私盾协议》失去效力一案进行审判时明确指出，美国的信息搜集行为不止一次对欧盟内部的个人信息安全造成威胁，可是美国的规制模式却难以为欧盟内部的个人数据提供符合欧盟信息保护准则的有力保障。美国《外国情报监视法案》甚至规定，美国的信息搜集部门能够对美国域外的外国人采取信息搜集措施。美国第40任总统罗纳德·威尔逊·里根曾在其任期内以其总统特权使美国第12333号行政法令中规定的政府进行的个人数据搜查（以下简称EO12333）获得合法地位，EO12333使得美国国家安全局（NSA）截获欧盟正在传输中信息的行为获得了法律的认可。长期以来，欧盟将公民的个人信息安全权利视为欧盟公民的一项重要权利，美国肆意搜集境外私人数据的行为，显然违反了欧盟构建其个人数据跨境规制机制的初衷。欧盟根本法对公民个人隐私权的保护做出了细致的规定。总体而言，欧盟《通用数据保护条例》中有关个人数据流动规制的条款不得与欧盟《基本权利宪章》对欧盟公民基本权利的规定相违背。

2 欧盟和美国个人数据跨境流动规制体系的对比

欧美两种个人数据传输规制模式存在较大的立法理念差异，两种模式在立法价值、规制手段、立法效果等方面都迥然不同。正是两种体制存在的诸多不同之处，最终导致了《安全港协议》和《隐私盾协议》的失效。下面本文将从以下几个层面来对两种模式进行对比研究。

2.1 欧美个人数据跨境流动规制模式价值取向的差别

欧盟基于维护公民基本权益的出发点，创制了相关法规以强化对公民隐私信息权利的保护，欧盟《基本权利宪章》也对公民个人数据权利的保护作出了具体规定。欧盟司法部门在具体案件的法律适用中有效地维护了公民的数据权利。保护个人信息这一得到欧洲人权机构普遍认同的理念在《欧洲人权公约》中也得到了承认。公民个人数据信息不能任由他方非法搜集和使用的价值取向在欧洲早已深入人心。

美国历任总统都鼓励强化商业机构的行业自我管控，相比于公民数据保护，将促进经济发展置于更为重要的位置。20世纪90年代，美国第42任总统威廉·杰斐逊·克林顿极力向世界各地推介美国的行业自我管控机制，意图使之成为各国通行的准则[4]。美国部分学者曾对欧盟在1995年颁行的《数据保护指令》持怀疑态度，并撰文批评该指令阻碍了欧美之间服务、贸易的开展。总体而言，美国规制机制更注重对个人信息整合者的权益，而非作为信息主体的公民的个人权益的保护。

2.2 欧美个人数据跨境流动规制立法模式的差别

《通用数据保护条例》对欧盟成员国实行统一的个人数据规制准则，因此也便于欧盟域外的国家和地区进行法律移植。欧盟司法部门将《隐私盾协议》和《安全港协议》认定为无效，看似是为了保护公民的信息权利，但从本质上来看，欧盟不乏以自身数据规制法律制衡美国，动摇其在欧洲信息产业中“一家独大”的地位。在客观方面，欧盟的法律确实对欧洲的数字经济发展起到了促进作用。欧盟的数据信息规制法规涉及跨境商贸的各个方面，可用以规制商贸往来中所有与个人数据流动相关的情形。

在跨境数据规制方面，美国的立法对其他国家和地区的引领作用仍远不及欧盟。有大量的美国商业机构为了顺利开展境外贸易，在对欧盟的贸易实践中一直自愿接受欧盟《通用数据保护条例》的规制。2020年加利福尼亚州出台的《加州隐私权法案》（CPRA）当属美国各个州中极具立法成就的法律文件。该法案在修正之后作出了设立专司维护公民信息权益部门的规定，对少儿隐私信息的内容进行了扩充，规范了信息存留制度，并对商品、服务购买者维权的途径进行了规范和说明。然而，美国至今没有颁行可以在整个国家普遍适用以维护公民数据信息权利的法规，与欧盟《通用数据保护条例》在欧盟各成员国都具有规制力相比，美国在法律创制方面并不占优势。当前美国开始着手创制可以在全美普遍适用的数据规制法律，但鉴于国内对此一直有反对的声音，因此，这一法律能否顺利出台仍然有待观察。尽管美国一直致力于扩大自身在全球数据流动规制立法领域的话语权，并取得了一些成绩，但相比于欧盟，其立法话语权仍有待增强。

2.3 欧美个人数据跨境流动规制法律执行的差别

加入欧盟的国家全部设立了职权明确的维护公民个人隐私信息安全的部门，负责相关法规的执行。对于违反欧盟《通用数据保护条例》的机构和个人，这些部门都可以对其进行罚款，罚款的额度甚至可以高达2 000万欧元。不仅如此，欧盟公民还可以自主向对其国家数据保护机构（DPA）提出申请，回应并处理公民的申请是欧盟法律规定的DPA必须履行的义务。

截至目前，美国尚未颁布可以在各州普遍适用的法律以维护公民数据信息权利，且未设置职责明确的专门管理公民信息保护的部门，而是由美国联邦贸易委员会（FTC）具体负责执行相关法律。FTC不是专门管理公民信息的部门，其主要职权是管控商业机构的垄断行为，以及调查商品、服务购买者所提出的投诉。

根据美国个人数据规制法律，美国对触犯法律的商业机构的罚款数额可以达到无限高。例如，FTC曾在2019年给涉及剑桥分析公司事件的Face book开出了50亿美元的巨额罚单。欧洲学者曾将FTC的法律实施情况与DPA进行对比，公开批评DPA对法律的执行力度低。欧盟法律赋予了DPA诸多职权，其在实施法律时也更容易在相关法律找到依据。可是在具体案件的法律执行中，欧盟却没有像美国一样对商业机构处以数亿美元高额罚款的先例。

3 后《隐私盾协议》时期的欧美个人数据跨境流动规制

3.1 欧美个人数据跨境流动规制分歧仍然存在

欧盟司法部门相继认定《安全港协议》《隐私盾协议》不具有法律约束力，但欧美个人数据跨境规制模式存在的分歧仍然没有消除。从总体上来看，欧美在信息产业和数字经济领域的竞争日益激烈。Christopher Kuner曾指出，《安全港协议》《隐私盾协议》、某些保护性认证规则抑或SCCs数据安全保障机制，都难以实现对公民个人隐私信息权利的有效维护。此类规制措施难以使公民数据有效规避他国的信息搜集行为[4]。

在跨境数据流动规制方面，欧美从相异的角度出发，其理念分歧很难在短时间内彻底消除。欧盟司法部门将《隐私盾协议》认定为无效使得跨大西洋信息传输再次处于无序和混乱的状态。目前，无法预测欧美之间何时能达成新的协议，乃至欧美能否达成新的协议也仍然是个未知数。欧盟始终坚持保护个体人权的理念，在维护公民信息权利方面不肯做出丝毫妥协，美国也没有表现出修正其本国法律，从而进一步开展与欧盟之间关涉个人数据跨境流动贸易的积极性。《安全港协议》和《隐私盾协议》相继失去效力使得欧美再次签署相关文件变得异常艰难。

3.2 协调欧美个人数据跨境流动的可行性措施

由于欧美经济联系紧密，不可能做到彼此脱钩。个人数据的传输对大西洋两岸两大经济体之间商贸往来的重要性不言而喻。《安全港协议》和《隐私盾协议》相继失去法律约束力，有必要采取协调欧美个人数据跨境流动的可行性措施，以促进两地之间的数据传输。

3.2.1 合适的保护数据安全的举措

在欧美尚未达成新的共识的情况下，欧盟的内部数据信息仍然能够借助SCCs数据安全保障机制流向欧盟以外的国家和地区。作为欧盟提前创制并允许使用的协议规范机制，在欧盟与他方签署协议之后，SCCs数据安全保障机制允许欧盟和该国或该地区之间个人数据的自由流通。但是，相关协议的签署必须建立在该国或该地区具有欧盟所认证的数据保护能力这一基础之上。

有学者曾撰文批评SCCs数据安全保障机制存在的漏洞。然而，该机制在实践中的运行已经证明了其功能与作用。仅仅因为和某个国家或地区之间数据传输的矛盾而弃用SCCs数据安全保障机制，此举无异于因噎废食。在《安全港协议》和《隐私盾协议》不再具有法律约束力之后，弃用该机制意味着欧美之间数据传输的路径被彻底斩断[5]。如今，越来越多的美国商业机构依靠SCCs数据安全保障机制来保障其与欧盟市场的贸易往来。

3.2.2 《通用数据保护条例》第49条规定的特殊情形下义务克减

不符合欧盟充分保护规则或者不能适用数据安全保障机制的个人数据不能传输至欧盟以外的国家和地区，除非数据传输符合《通用数据保护条例》第49条所述明的七种例外情况。这些情况可以归为三大类型，一是作为数据拥有者的公民个人允许数据传输；二是数据传输是保障社会福祉的必要手段；三是数据拥有者本身的利益必须在数据传输中才能得以实现。欧盟法律对于这些克减商业机构义务的规定做出了严苛的规定。因此，《通用数据保护条例》第49条的规定仅针对于少数特殊情况，通常的个人数据跨境流动仍然必须符合欧盟数据传输的充分保护规则，抑或适用SCCs数据安全保障机制，从而保障数据传输的顺利进行。

3.2.3 信息本土化

信息本土化规则的规定，欧盟域内的个人数据只能由欧盟进行分析研究，将数据传输至域外国家和地区的商业机构将会受到法律的严厉惩处。这样既能保护公民隐私，又能有力地打击美国数字经济在欧盟市场的持续扩张，促进了欧盟各国数字经济的发展。欧盟采取的信息本土化措施，给欧盟商业机构开展中关涉数据传输的贸易造成了阻碍，美国商界对在欧洲市场开展业务的热情骤减[6]。然而，鉴于美国信息产业在欧盟各国有着极高的渗透程度，将所有个人信息本土化抑或关闭欧美之间的信息传输通道都不是可取的。此外，信息本土化会在妨碍贸易全球化进程的同时，给各国各地区之间信息互通体系的构建造成阻碍。甚至有学者担忧信息本土化可能促使贸易保护主义的出现，从而发展成为一种有悖于世界贸易组织准则的贸易保护手段。

3.2.4 美国的某个区域抑或某个产业获得欧盟“充分保护”规则的认证

美国的某个地区抑或某个产业获得欧盟充分保护规则的认证，从而获得作为欧盟数据传输目的地的资格，是有法律依据的。根据《通用数据保护条例》第45条，欧盟域外国家的某个区域在经欧盟充分保护规则的认证审核后，可以取得作为欧盟数据传输目的地的资格。因此，如果美国的某个区域颁行了具有实操性的个人数传输法规，设立了符合欧盟法律要求的DPA，并且可以保证欧盟数据不流动至美国其他区域，在理论上，此区域是有资格获得欧盟的个人数据的。关于某个产业取得欧盟充分保护规则的认证的具体情况，欧美之间已经签署协定将此方案用以解决实际问题。例如，2021年，为了促进民用航空工业的发展，美国和欧盟以签署协定的方式，把将欧盟乘客基本信息传输至美国的行为认定为合法。此外，欧美之间其他产业的合作也可以参考这一案例。

4 结语

《安全港协议》和《隐私盾协议》之所以相继被欧盟司法部门认定为无效，是因为美国对公民信息权利的保护难以达到欧盟法律规定的标准，同时也从侧面表明了欧美在数字经济发展进程中竞争的激烈程度。欧盟以《通用数据保护条例》为代表的个人数据规制法律体系引领了全球的数据治理潮流，为欧盟以外其他国家和地区的跨境数据规制立法提供了可供参考的模板。美国则凭借自身信息产业的领先地位，以与他国签署自贸协定、参与国际组织法律创制等方式，积极将自身跨境数据规制体制推介给世界各国，大力促进世界范围内数据信息的高效传输。欧美之间信息传输机制的矛盾和分歧很可能使各国在进行立法时更加注重对公民信息的保护，也给中国构建自身的跨境数据规制机制带来了启发。我国应在充分保护公民隐私信息的基础上，积极参与全球性数据规制法规的创制，并在有效保护公民数据隐私的基础上，促进数字经济的增长和繁荣。