个人数据跨境流动保护机制的域外经验与本土建构

个人数据跨境流动保护机制的域外经验与本土建构

韩 容 [472]

在互联网时代，个人数据跨境流动已成为社会互动、经济发展和技术进步的重要因素。[473]与此同时，个人数据流动带来的过度收集和滥用行为对数据主体的人身和财产安全造成了严重的威胁。2018年Facebook的用户数据“失窃”事件；2016年俄罗斯最大社交网站被黑，1.7亿个用户数据遭到外泄；2016年雅虎的网站被黑客入侵，5亿用户数据遭到泄露。接踵而至的个人数据泄露事件敲响了各国对个人数据保护的警钟，各国纷纷加快了个人数据跨境流动保护的立法步伐，并实施相应的行政执法和司法措施来全方位地保护本国的个人数据在跨境流动中免受侵害。例如，2018年5月生效的欧盟《一般数据保护条令》（以下简称GDPR）就对个人数据跨境流动做出了全面详细的规定，希望在个人数据保护方面成为“领头羊”，并占据相关国际规则制定的“制高点”。个人数据跨境流动保护法具有域外的效力，国内对个人数据保护的力度越强、法治水平越健全，那么个人数据跨境流动的安全系数就越高。因此，面对保护国家和国民安全的现实需要以及国际经济、法治等环境的变化，中国也需要加快国内个人数据跨境流动保护的治理步伐，同时提高全球治理水平，以维护国家利益和数据主体的权益。

个人数据跨境流动的过程涉及多个主体的行为及不同法律制度的衔接与调和，对其保护离不开政府和企业等多方的合作。鉴于此，本文首先分析了当前个人数据跨境流动的需求现状与保护的困境，随后介绍和评析了个人数据跨境流动保护的国际趋势，包括充分性保护评估标准、有效企业规则（binding corporate rules，以下简称BCR）[474]以及采取的一些行政监管措施和跨国司法合作等做法。最后，在借鉴国际经验的基础上，结合中国的经济、网络、技术等发展情况，本文提出应当从立法、执法、司法三个层面对个人数据跨境流动进行保护，同时政府进行宏观指导与企业提供微观技术支持，从而建构本土保护机制。本文的研究契合了中国“大数据”战略的需要以及国际上对个人数据保护的趋势，具有重大理论与实践意义。

一、个人数据跨境流动中存在的问题

在网络空间命运共同体的背景下，以地域为标志的传统法律在规制具有无边界性、高速度性、不可预见性、海量性的个人数据跨境流动问题上显得捉襟见肘。[475]个人数据跨境流动的核心问题在于：如何促进数据自由流动的同时保护国家安全以及数据主体的权益不受侵犯？目前，个人数据跨境流动的需求在不断增加，但与之相应的保护措施却遭遇了“瓶颈”。

（一）网络空间命运共同体对个人数据跨境流动的保护提出要求

习近平在第二届世界互联网大会上强调各国应当共同构建网络空间命运共同体，推进网络空间的共享、共管和共治。网络空间是个人数据跨境流动的主要场所，网络空间的存在打破了传统的地域及时间限制，从而让个人数据在全球即时“产生”和“共享”。具体来说，在大数据时代，个人行为和生活细节被数据化，“产生”了大量的个人数据，让个人生活轨迹变得“透明化”。[476]个人数据在这个没有边界的“共同体”中不断地流动，从而为企业决策提供参考、科技发展提供助力以及促进了各国之间的人文交流等，实现了个人数据全球“共享”所带来的商业、社会等价值。

然而，网络实现了个人数据跨时空“共享”的同时，也提高了个人数据跨境流动的风险系数，这无疑要求各国对个人数据的跨境流动进行“共管”和“共治”。目前，全球数据整体呈现出数据储存的集中化趋势，这种储存模式使个人数据的跨境流动更加频繁，从而更容易发生个人数据混同、丢失或遭受篡改等事件。例如，不法分子在非法获取部分个人数据后，对数据主体的电子账户、政治倾向、宗教信仰等数据进行挖掘，从而侵犯了数据主体的权益。因此，各国在享受个人数据跨境流动所带来的利益的同时，也要加强对个人数据跨境流动行为的规制，从而维护数据主体的权益和保障经济的可持续发展。一方面，国家有权对本国公民的个人数据进行治理。国家对个人数据跨境流动进行规制的基础是国家对数据拥有的主权，有权根据本国的国家意志自行决定如何治理个人数据的跨境流动。[477]网络空间命运共同体赋予了各国以平等身份共同治理国际网络空间权利，[478]各国应当积极行使对个人数据保护的国家主权。另一方面，“共管”要求各国加强国际合作制定统一标准，“共治”要求各国协调对个人数据跨境流动保护的立法、行政、司法等措施，各国有义务共同保护个人数据跨境流动的安全性，为个人数据的跨境流动打造一个可靠、安全的绿色“共同体”。

（二）个人数据跨境流动的需求与保护的困境

尽管个人数据跨境流动存在较高的泄露或者遭受攻击的风险，在其巨大的经济与社会价值驱动下，全球范围内的数字经济依然在以超常规的速度不断向前发展。[479]而且，企业与数据主体对个人数据跨境流动的需求在不断增长，日益增长的需求与风险系数的提高要求国家采取有效的保护措施。然而，各国针对个人数据的跨境流动采取限制收集范围、匿名化处理等限制性保护措施并未达到良好的效果。由此，就产生了个人数据跨境流动的需求与保护不足之间的困境，各国应当重新考虑如何平衡国际经济贸易的发展与个人数据跨境流动的保护。

1.个人数据跨境流动的需求巨大

目前，个人数据跨境流动的需求呈现出爆炸式的增长趋势。互联网企业、电子商务企业等的发展需要海量用户数据的支持，国际投资、贸易等活动也需要分析个人数据从而开发国际市场。个人数据作为互联网企业的主要产品，是“新的石油”，是21世纪最有价值的资源。数字经济从根本上改变着企业跨界生产和营销货物及服务的方式。[480]数据公司每天都在以数字痕迹为主要原材料，生产出消费者无法摆脱的各种数字产品和服务。[481]国际投资的发展，企业在外国分公司的国际活动仍在扩张，大约1500家国有跨国企业拥有86000多家外国分公司。[482]企业对外投资都或多或少地涉及内部和外部的个人数据跨境流动，对其需求日益增加。与此同时，“数字贸易”也在迅速发展，国际贸易的发展对个人数据跨境流动的需求也在增长。由此可知，无论是企业自身的生产还是对外的国际投资贸易都对个人数据的跨境流动有需求。

同时，数据主体对个人数据跨境流动的需求同样也在增加，他们越来越多地对外主动将个人数据流动到境外。一方面，随着社交媒体的发展，个人对Facebook、Twitter、Google等境外网络社交媒体的需求增加，在利用这些平台的时候不可避免地需要向境外流动个人数据。另一方面，数据主体用个人数据在全球进行消费。用户浏览外国网页是免费的，但实质上是在用属性数据如搜索记录、点击记录、视频观看记录等“个人数据”进行支付，这个过程同样也是个人数据的跨境流动。互联网等企业利用用户的个人数据进行广告推销从而获得巨额的财富。[483]此外，日常生活中的很多决策活动也需要个人数据的跨境流动。例如，使用Google翻译、全球购、亚马逊等网站在全球范围内挑选物美价廉的商品等。

由此可知，个人数据的跨境流动是国际经济和社会发展的趋势，个人数据的价值就体现在流动上，企业与个人都对其有巨大的需求。在全球化大背景下，各国不能因为个人数据流动风险的负面影响而放弃其潜在的价值。因此，研究和探讨中国个人数据跨境流动保护机制的建构具有重大的现实需求和时代意义。

2.个人数据跨境流动保护的挑战

各国主要是通过国内立法以及相应的行政执法措施和司法救济来对个人数据跨境流动进行保护。例如，日本《个人信息保护法案》第20条规定了对个人数据储存的安全管理措施 [484]，并引入“匿名处理信息”措施来平衡个人数据的流动和保护。[485]然而，这些做法并不足以有效地应对个人数据跨境流动保护带来的挑战。

首先，在个人数据的收集、处理、利用等方面进行立法规制较为困难。鉴于人工智能技术以及数据挖掘技术的强大，限制企业收集个人的敏感数据从而限制个人数据的收集范围似乎不太可行。科技的快速发展使得收集和分享个人数据的规模显著提高。企业以及公权力机构为了更有效率地开展相关的活动，都在运用科技以前所未有的规模收集和利用个人数据。此外，个人数据的收集通常都具有很强的身份性，基于某一条数据几乎就可以挖掘所有其他相关的信息。例如，Facebook的一个“点赞”就可以告知一个人的性别和种族，还可以预测一个人的年龄、智商以及宗教和政治观点等有关个人数据。数据主体往往对自己数据跨境流动的情况并不了解，许多企业以“赚钱”和“提供更好的客户体验”的名义来收集和交换个人数据。[486]在这种情况下，往往是数据主体主动将个人数据传输给企业，很难规制企业对个人数据的收集行为。同时，企业也没有充分披露用户数据的处理方式，包括收集和共享的内容、对象以及情形等信息，现实中也存在用户的数据在未经允许的情况下被不同网站共享的情形，这种不透明性使得企业的相关行为难以受到法律的规制。

其次，在限制及监管等行政措施方面也未能降低个人数据跨境流动中的风险，其带来的负面效应反而更多。许多国家在个人数据跨境流动的监管方面都采取“数据本土化措施”即根据有关法律规定或者政策要求，企业需将储存和处理的数据在物理意义上（储存数据的基础设施等）限制在国内。[487]采取此种做法的国家有越南、马来西亚、澳大利亚、加拿大、欧盟、俄罗斯和中国等。例如，2011年中国的《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第6条的规定。[488]然而，数据本土化措施并非规避个人数据跨境流动风险的“万能药”，这种数据本土化措施存在诸多的缺陷，遭到美国等其他国家的质疑和批评。《跨太平洋伙伴关系协定》（以下简称TPP）中明确禁止了成员国颁布数据本土化的法律或相关政策。个人数据本土化措施存在诸多不足，一方面，数据本土化措施的成本非常高，企业通常需要购置昂贵的基础设施并采取防护措施来保障储存的个人数据安全；另一方面，数据本土化措施增加了政府访问数据所带来的风险，政府有权限访问本土化的数据，这不仅扩大了网络的攻击面同时也降低了数据安全工具的功效，因为企业要为政府访问数据“开后门”，从而将个人数据和企业安全置于更多风险之中。[489]

此外，数据主体的权益遭受侵害后在司法救济方面遭遇管辖权冲突、跨国取证困难等挑战。在个人数据跨境流动过程中往往会涉及多个连接点，如数据主体住所地、侵权行为地、侵权结果地、受影响地，等等。这时，根据传统的管辖规则，会产生管辖权冲突或管辖真空问题。传统的确定管辖权的连接因素如物理位置等与个人数据跨境流动行为没有太多的关联性，从而会导致难以解决个人数据纠纷的管辖和取证。此外，个人数据的跨境流动通常是捉摸不定的。例如，境外企业收集境内个人数据，该企业在境内没有实体或者在境内有实体，但数据已经流动到境外；或者收集数据的是一家企业，但有多家企业进行数据的储存和处理，如在云计算环境下有多家云计算服务提供者使用虚拟服务器提供数据储存和处理服务，这导致难以找到数据的具体位置，就连服务提供商可能都不知道数据储存的具体位置。[490]这种情况下，一方面是难以确定责任主体导致管辖困难，另一方面是取证困难导致难以处理纠纷。同时，多家企业进行个人数据分享也导致难以确定是谁泄露或者滥用了个人数据，因此也很难与受害人建立起因果关系。[491]个人数据的跨境流动通常是瞬间发生的事，其行为的物理特征性不强，这就加大了取证的难度。

大数据时代，数字经济的发展以及互联网的无国界性使得个人数据跨境流动成为一种需求，然而，各国个人数据跨境流动的保护机制却遭遇困境。因此，有必要对国际上对个人数据跨境流动保护的制度及具体做法进行梳理和分析，从而为本土保护机制的建构提供借鉴经验。

二、个人数据跨境流动保护的国际趋势及评析

个人数据跨境流动的风险并未减少企业及个人对其的需求，在价值的驱动下个人数据的跨境流动是无法制止和阻挡的。因此，各国只能是在平衡各个权益主体的利益后对个人数据跨境流动进行规制和监管，从而降低其风险。目前，以欧盟为代表的各国或地区对个人数据跨境流动的保护工作主要是从以下三个方面开展的：首先，对个人数据流入国的充分性保护水平进行评估，否则只能在法定例外的情况下流动；其次，对个人数据流动行为的监管，包括政府专门部门进行监管以及企业内部的监管；最后，在发生个人数据泄露、滥用等事件后，除了在国内进行企业、司法等救济之外，还进行国际司法协作。下面将对这些做法进行阐述和评析。

（一）个人数据保护的充分性评估及评析

由于各国对个人数据的保护水平不一致，个人数据流出国通常根据国内法律制度中设定的一些参数对流入国的个人数据保护的充分性进行评估。这种做法的典型代表就是欧盟，欧盟的GDPR对个人数据保护的充分性评估进行了详细的规定。当欧洲委员会认为个人数据流入国对个人数据和隐私的保护水准和欧盟相当时，就认定为满足充分性评估标准，之后的个人数据流动就不需要获得特别授权。充分性评估主要考虑以下几个因素：法治水平，即对人权和基本自由的尊重，该国专门或者一般性的立法、政府机构等公共机构对个人数据的访问权限等；同时，还涉及个人数据保护法的执法情况、数据保护具体规则、行业规则、转移规则以及安全措施的完备性，以及相关的行政和司法救济是否有效地保护了数据主体的权利；此外，还要判断个人数据流入国是否存在一个独立有效的监管机构来保障个人数据保护法得到遵守，协助和建议数据主体行使权利以及负责与他国的监管机构进行合作事宜；最后，考察个人数据流入国或组织所加入的保护个人数据的双边或多边协定的情况，以及是否采取了个人数据保护的相应配套措施等。[492]如果不满足充分性保护标准，数据流入国可以采取其他措施来达到与充分性相当的保护标准。例如，有一个或多个特定部门对企业实施至少每四年进行一次的定期审查，这些监督机构按照法律规定评估审查是否达到了与充分性相当的保护标准。此外，个人数据控制者或处理者应当保障数据主体可以行使其权利以及能够得到有效的法律救济。[493]适当的保障措施包括BCR、个人数据保护委员会或者监管机构根据审查程序通过的标准数据保护条款、经过核准的行为守则等措施。BCR是规范跨国企业内部个人数据流动的一种机制，要求企业内部采取制度以及技术措施保障个人数据流动的安全性，该机制从侧面保障了数据流入国对个人数据保护的充分性。[494]

在没有达到充分性保护的标准以及没有适当保障措施时，个人数据的跨境流动只有在满足下列情况之一时才能够进行：数据主体对适当的流动明确知情，并且是在数据主体获悉由于缺乏充分性决定及适当的保障措施而进行此类流动的可能风险后的同意流动；流动是为履行数据主体参与的合同之必要，抑或处理因数据主体在签订合同前的请求而采取的措施；为了保护数据主体或其他自然人的切身利益之必要；保护公共利益的必要；该流动对于确立、行使或维护法律诉求是必要的；流动是控制者或者第三方为了追求合法利益之必要，但是需要具有行为能力以及权利能力的数据主体表示同意。[495]同时，《APEC隐私框架》第16条 [496]，《俄罗斯个人数据保护法》第12条第1款 [497]，中国的《网络安全法》第37条 [498]，《澳大利亚隐私法》第8条第1款 [499]也做出了类似的规定。此外，新加坡也规定了数据跨境流动的条件，转让个人数据的组织确保接收方有足够的保护水平（无论规定或合同约定），且不低于新加坡个人数据保护的标准。印度在个人数据跨境流动方面也规定，仅有在接收者采取了与控制者同等保护措施时，才可以将个人敏感数据转移给第三方。

虽然个人数据流入国不受流出国法规的约束和管辖，但根据充分性评估的要求，数据流入国应达到数据流出国的数据充分性保护标准，从而间接地遵守这些法律制度。充分性保护评估可以视为个人数据流出国的个人数据保护政策向数据流入国的“扩张”，即个人数据保护法域外效力的扩张。其实， GDPR的法律适用范围就实现了从属地主义扩展至属人主义的突破，该法规适用于非欧盟实体向欧盟人员提供商品或服务的情况，囊括了所有在欧盟法规范围内的网站、社交网络服务和应用程序提供商，只要他们与居住在欧盟的数据主体存在互动，不管其数据处理行为是否实际发生于欧盟范围内。[500]个人数据跨境流动法律关系的主体、客体以及行为往往涉及不同的国家。个人数据保护法律的域外效力扩张所引发的法律冲突问题也越来越突出，行为人通常受制于多个国家的法律。个人数据控制者要遵守数据流出国以及流入国及转移后的第三方国家的相关法律规定。[501]具体来说，企业在境外经营或者是面对国际客户时，应当遵守相关国家（服务地国）的有关个人数据跨境流动保护的法律。如果企业使用第三方提供的云计算服务，提供者同样也要遵守服务地国的法律。[502]尽管企业对个人数据流出国的法律制定以及实施没有发言权，甚至根本不了解和掌握，但也需要遵守这些法律。[503]各国的个人数据保护“法律网”增加了企业的合规成本，无疑对个人数据的经济价值开发与利用会产生不利的影响。此外，充分性评估也面临着主观性太强的质疑，各国的经济发展水平不一致以及对个人权利保护的程度也不一致，欧盟将个人数据作为一种基本人权保护并且要求其他国家也这样做，这种做法带有保护本国经济的主观性质。目前，符合GDPR充分性保护标准的国家仅仅只有十多个，该标准形成了他国与欧盟个人数据跨境流动的制度壁垒，无疑不利于国际经济贸易的发展。

（二）个人数据的行政监管及评析

个人数据跨境流动保护的另一措施就是行政监管。政府设立专门的监督机构监督企业依法对跨境流动的个人数据进行风险管理。行政监管机构的监管逐渐加强，一方面，体现在政府对跨境流动的个人数据的访问权扩大，甚至是直接在源头上“封杀”个人数据的跨境流动；另一方面，对数据控制者即企业的合规性要求提高，要求企业内部建立相应的个人数据保护规章制度和组织结构，从而降低个人数据跨境流动的风险。

1.行政监管加强及评析

由于个人数据保护涉及一定的技术知识与专业性，各国的政府监管主体通常比较专业化和独立化，如美国设立的联邦贸易委员会、新加坡设立的个人信息保护委员会、韩国及日本设立的个人信息保护委员会。[504]这些专门的行政监管机构对个人数据的访问权力往往较大，从而监督个人数据跨境流动的行为。例如，许多云计算服务提供者在多个国家都有数据中心，所在国政府为了对国内的数据中心进行监管和规制，都会强制云计算服务提供商允许监管机构在维护国家安全或执法等特定的情形下访问个人数据。美国的《爱国者法案》规定美国政府有不受限制的权利访问美国云计算服务提供商或者其分支机构储存在美国之外的数据。此外，美国总统特朗普2018年3月签署了《澄清境外合法使用数据法案》（CLOUD ACT），该法案赋予美国执法机构能访问美国企业存储在任何国家中的在线数据。欧盟也有相类似的规定，根据GDPR，国家数据保护机构的监管领域适用于注册的外国公司，只要外国公司通过固定安排等在其成员国实施了有效的（即使很小）活动。[505]同时，欧盟在2018年4月公布了“电子证据”提案（E-Evidence Proposals），规定欧盟的执法机构可以直接向所有在欧盟境内运营的企业调取存储在欧盟境外的个人数据。此外，有的国家以安全为名义，加大了对个人数据跨境流动的“封杀”力度。由于Telegram拒绝向俄罗斯国家安全机构提供用户加密信息的访问权限，俄罗斯联邦通信监管局于2018年4月13日起就封杀了Telegram客户端以及180万个亚马逊和谷歌云服务IP地址。

政府对跨境流动数据的访问权增强虽然有利于保护国家安全，但同时也增加了数据主体的权益遭受侵犯的风险。同时，监管国政府也有可能不正当获取他国公民的个人数据，存在个人数据泄露的隐患。数据访问的主体增加就意味着数据被泄露、篡改以及滥用的可能性增加，同时，有的国家会滥用政府的行政权力，这阻碍了数据控制主体对个人数据的安全保护。例如， 2018年以微软为首的34家高科技公司签署了一项保护用户数据安全的网络安全技术协议。然而，此协议并未得到政府的支持，世界上所有的技术协议在面对法院命令或一些政府可能用来追捕异见人士或政治对手的搜查令时都是无效的。因此，一味地强调政府对个人数据跨境流动的监管并不一定能达到保护的效果。

2.企业的风险防控及评析

个人数据跨境流动安全性的保障措施兼具制度性与技术性。政府设立专门的行政监管机构有利于保障个人数据在跨境流动过程中的安全，但前提是数据控制者进行配合，具体落实相关的制度。这时，就需要企业内部进行自我监管。企业主要是设立保护个人数据跨境流动的组织机构以及建立规章制度来进行自我监管，对个人数据进行风险防控。

在组织机构方面，主要是增加DPO（数据保护官）来监管企业的行为。GDPR中第37条至第39条对于数据控制者设立DPO做出了明确规定，当数据控制者或处理者处理大规模特殊类别的数据时应当任命一名DPO，DPO可以是个人数据控制者或处理者的员工或者根据特定服务协议而聘请的人，数据控制者应当公布DPO的联系方式并报告给监管机构。[506]其他国家也有类似的规定，韩国在《个人信息保护法》中要求个人信息处理者必须指定一名隐私官；2017年印度电子信息技术部发布的《印度数据保护框架白皮书》中也提出了DPO的要求；新加坡于2014年7月1日正式生效的《新加坡个人信息保护法》中也明确了企业须委任一名隐私专员，负责遵守数据保护法律；[507]英国也引入了DPO，其职责是将为数据控制者提供数据保护方面的建议、处理申诉并确保法律得到遵守。[508]DPO是进行企业自我监管的一种尝试，虽然其效果如何还有待实践的检验，但这是企业进行自律的一种体现，有利于保障企业遵守保护个人数据的法律制度。

在规章制度方面，主要是要求企业对个人数据跨境流动进行合规性管理和风险防控，从而达到自我监管的效果。GDPR第35条要求对于高风险的数据处理业务，要事先进行数据保护影响评估，规定了尤其需要适用评估的领域——对个人特征的系统性评价、对大量敏感数据的处理以及对公共领域大规模的系统性监控。并且对于高风险的个人数据业务，企业须提前向政府监管机构咨询。OECD通过的《理事会关于隐私保护和个人数据跨境流通指南的建议（2013）》（以下简称“《2013指南》”）中增加了数据控制者要实施隐私管理规划的义务，要求企业必须根据其从事业务的结构、规模、数量和敏感度等制定对个人数据进行隐私管理的规划，以确保其所控制的个人数据在网络空间中流动的安全性。该隐私管理规划的范围还包含其他可能承担责任主体的操作行为，数据控制者将数据传输给境外其他数据控制者时就需要承担共同责任。[509]韩国《个人信息保护法》针对高风险的个人数据处理引入了个人数据影响评价制度。[510]企业对个人数据进行风险管理，有利于提高保护个人数据的意识和降低个人数据跨境流动的风险。

个人数据的跨境流动也是一种市场行为，市场具有自我调节和规制的功能，如果只是简单对数据控制者施加各种强制性外部要求，忽视企业对个人数据的需求，这将难以激励企业对个人数据跨境流动的保护，[511]也不能有效地保障数据主体的权益与国家安全。加强企业自身的合规性建设有利于实现行业自律，减轻政府监管的工作量并降低工作难度，但同时也加大了企业的成本。有的企业因不能够达到GDPR规定的标准甚至面临着破产，即使是Facebook、Instagram这样的大型互联网企业也面临着上千万美元的年支出，这无疑会增加企业的财政支出从而削弱企业的核心竞争力。[512]与此同时，一味地强调企业自身的监管责任也是不太现实的，企业自身没有动力去保护个人数据的安全流动，因为这不会给企业带来收入。因此，激励企业加强个人数据的安全工作，降低企业的合规成本，这样才能切实促使企业主动保护个人数据在跨境流动过程中的安全，从而保障企业的持续健康发展。

（三）个人数据的司法救济及评析

个人数据跨境流动提高了其风险系数，无论多么奏效的监管措施或者保障措施也不可能完全避免纠纷的产生。因此，对个人数据跨境流动的司法救济是保护数据主体权益的最后一道屏障。然而，个人数据流出国的执法机构往往难以追查与境外活动有关的侵权行为。个人数据跨境流动的司法救济需要数据流出国与流入国进行执法机构之间的密切合作、信息交换，并在必要时进行跨国联合调查。在欧美签订的“隐私盾”协议中，欧盟要求美国为欧洲公民提供多种途径的救济。首先，欧洲公民的数据受到侵害后，欧洲公民可以向企业进行投诉来获得救济；其次，欧盟境内的个人数据保护机构可与美国商务部、联邦贸易委员会合作进行调查处理个人数据侵权等纠纷。此外，数据主体可以求助于免费的替代性纠纷解决机制（ADR）。在以上方式都不适用的情况下，欧洲公民可以求助隐私保护专家组进行仲裁，仲裁裁决具有约束性，以确保每个投诉都能得到解决。

在国际司法合作方面，OECD的《2013指南》中新增了实施跨境隐私执法合作的要求，希望各国达成保护个人数据的国际性协议和建立全球性执法机构合作网络，使数据主体可以在数据流入国进行投诉和维权。例如，各国执法机构可以通过执法授权来实现境内个人数据保护机构执法权的域外效力，从而减少域外执法阻碍与成本、提高工作效率并促进各国个人数据保护的执法信息共享，推动全球个人数据保护水平的统一化进程。[513]GDPR第50条也专门规定了进行国际合作事项。[514]在欧美的“隐私盾”协议中，美国政府与欧盟建立了年度联合审查机制，包括为了执法和国家安全而进行的数据访问，同时也对美国国内个人数据保护法的执行进行监督。[515]例如，利益相关方会在年度隐私峰会就隐私法趋势进行汇报，并落实年度联合审查机制，从而确保合作保护数据主体权利的措施得到实施。[516]此外，“隐私盾”协议中对数据流入国政府机构执法的透明度做出了具体的规定，并承诺针对欧盟公民的建立新的个人数据权益救济机制。[517]

数据流入国与数据流出国之间达成司法合作协议可以拓宽数据主体的救济渠道和降低司法救济成本，国家间的执法以及司法合作也更有利于消除取证、诉讼以及执行等障碍。但目前来说，还需要进一步扩大和具体化合作范围，如明确和减少协助取证的具体程序、扩大判决的承认与执行范围等。GDPR中规定，只有基于国际协议（如司法协助条约）才能在欧盟成员国境内予以承认或强制执行有关个人数据的判决或裁决。[518]然而，并非所有的数据输出国与数据流入国都有司法协助条约。因此，还需要进一步完善个人数据跨境流动的国际司法合作。

三、中国个人数据跨境流动保护机制的建构

随着区域经济一体化、多边合作程度的不断深化，个人数据跨境流动已成为不可阻挡的趋势。随着GDPR的生效，其他国家和地区个人数据保护立法的完善及相关制度的建设，中国也应当关注和积极应对。首先，通过数据立法确立个人数据跨境流动保护的充分性评估标准，为个人数据跨境流动的保护提供一个参考标准；其次，建立“政府监管+行业自律”的监督机制，平衡数据主体权益保护与产业发展之间的利益，激励企业对跨境流动的个人数据进行保护；最后，协调个人数据保护的国内立法与国际规则的衔接，为个人数据跨境流动减少阻碍和数据主体的跨国司法救济提供便利。

（一）加强立法和建立充分性保护评估标准

中国目前没有专门的、综合性的个人数据保护法，对个人数据跨境流动的规制散见于法律、行政法规以及部门规章中，存在具体规定不全面、实践操作困难等问题。《网络安全法》中涉及对关键基础设施的个人数据跨境流动安全评估，但该法是一部上位法，还需要部门规章对其进行细化和解释。个人数据跨境流动保护法律具有域外的效力，应当以国际通行的个人数据保护标准为基础设计具体保护内容，尽快制定统一的个人数据保护法，明确个人数据跨境流动保护的充分性评估标准，以避免出现因境内个人数据保护不力影响境外个人数据商业的情况。具体来说，应当以国家法律的形式明确个人数据跨境流动保护的基本原则、企业跨境收集和使用个人数据等行为的规范，并加大对个人数据滥用、侵犯个人隐私等不法行为的打击和惩戒。具体的充分性保护评估标准可以参照GDPR中的评估个人数据流入国充分性保护中考虑的因素，但对具有争议性的因素进行排除。例如，可以设立第三方的充分性认证机构进行认证，考察个人数据跨境流动的环境、技术保障措施、风险防控规划、规章制度、救济渠道等。在设立标准的过程中，可以对各种因素进行加权和赋值，并邀请企业代表、技术专家对标准的科学性和可行性进行论证，为企业提供个人数据跨境流动保护的参考标准。目前，国家还不太可能在短时间内制定出有效的充分性保护评估标准，企业可以根据国家制定的目标与框架进行自我评估，评估后根据自身的技术等情况给自己制定相应的技术和管理行为标准，在合适的时机上升到技术标准管制的“行业标准主导模式”。[519]在国家没有出台相应的标准之前，行业标准可以作为个人数据跨境流动保护的充分性最低评估标准。

（二）“政府监管+行业自律”的监管机制

2018年4月，美国智库“新美国基金会”旗下的“数字权利排名”（Ranking Digital Rights）项目发布的《2018企业社会责任指数》中显示，中国互联网公司百度和腾讯在披露处理用户信息和服务条款方面做出了重大改进。[520]中国企业有能力满足政府审查和监管的要求以及提高行业领域中对个人数据保护的水平。因此，对个人数据跨境流动的监管方式可以是“政府监督”与“行业自律”的结合模式。

1.政府设立专门的监管机构

政府专门机构对个人数据的跨境流动进行监管，有利于加强与各国个人数据保护机构的信息沟通与执法合作，了解国际社会中个人数据保护的最新趋势。政府有关部门应当建立个人数据跨境流动的审核评估机制，核准个人数据是否可以进行跨境流动，并定期检查企业的合规性措施以及是否及时处理了数据主体的投诉，确保企业遵守和落实个人数据跨境流动保护的法律法规。[521]然而，政府拥有监管权并不意味着政府可以为所欲为，政府在保障国家安全的基础上应当适当限制自己的公权力，为私人主体留下发展的空间。对此，可以借鉴“隐私盾”协议中的做法，该协议中美国书面承诺“公共当局”对个人数据的访问将会受到限制并且不存在无差别的大规模监视。在美国的体系下，隐私规定的存在是为了确保个人隐私免受政府的侵害。企业对数据主体的权利侵害后，联邦贸易委员会要求数据控制者签订一些加强个人数据保护措施的协议，从而加强个人数据的安全。因此，中国政府设立专门机构进行监管时，应当明确监管的手段，明确访问跨境流动的个人数据的范围与情形，不得随意阻碍或者禁止个人数据的跨境流动。个人数据作为数据主体的一项私权，数据主体有权自由进行数据消费和交换，以实现数据提供者和消费者的最大利益。同时，政府作为公权力组织也有权为了国家安全、公共安全对个人数据信息的产生、使用、转移等行为进行调整和规制。因此，需要设立专门的个人数据跨境流动监管机构，并明确其职权范围，以此平衡国家监管的公权与个人实现自我利益的私权。

2.激励驱动下的行业自律

个人数据是一种商品，如果仅仅是政府机构给予企业强制性的限制和要求，并不一定能达到良好的效果。企业承担的保护个人数据跨境流动的责任和义务应当与该行为的风险成正比，以便在数据主体的权益与企业经济利益之间取得平衡。虽然GDPR在个人数据跨境流动时给企业设定了诸多义务，但同时也规定了转移低风险的个人数据时免除一定的义务，给予了企业一定的商业空间。例如，GDPR中规定如果企业如果采取了加密等措施保护个人数据，那么在个人数据可能发生泄露的时候就免除向政府部门以及数据主体的告知义务。

协调个人数据保护与数据自由流动的较好的做法就是形成激励驱动下的行业自律。如果法律制度缺乏激励，就会出现执行成本高、规制对象抵触、执行效果差、执行权威受损等问题。互联网企业的核心资产就是个人数据，企业有开发利用个人数据的动力，但是没有保护的动力，而且多点采集、多点使用与跨边界的特点使个人数据保护难度较高，这时如果强制要求企业去保护，并不能达到个人数据的保护效果。因此，应当将内部自律与外部监督结合，让企业主动承担更多保护个人数据的责任，将个人数据作为企业需要，即将个人数据的安全嵌入企业的整体安全中，从而实现企业的健康、可持续发展。降低合规成本是激励制度的根本核心，政府提供制度上的保障，企业根据法律的规定提供相应的技术支持并披露他们确保用户数据安全的措施，即应该表明他们遵守了行业保护标准以及通过了相关的安全审查并建立了解决数据泄露问题的途径等。[522]此外，企业依法进行跨境传输其合法控制的个人数据的，有义务保护其持有的个人数据的安全性和其传输行为的合规性。[523]政府与企业二者相辅相成和有效连接，从而保护跨境流动中的个人数据。自下而上的市场规制模式可以激励市场主体对个人数据的主动保护，辅之必要的政府审查与监管措施，有助于个人数据跨境流动多元治理模式的展开。

因此，建议构建个人数据保护的政府监管和行业自律机制，通过国家主导、行业自律，建立高效联动、动态的个人数据跨境流动安全保护机制。具体而言，建议在中央网信办统筹领导下，构建国家部委行业监管和专门的个人数据跨境流动监管与协调部门，督促网络运营者建立安全组织机构，落实企业的个人数据跨境流动安全管理责任；同时须充分发挥行业自律作用，鼓励建立行业的自律组织以及内部的相互监督机制，做到政府监管和行业自律“双管齐下”。[524]

（三）建构国内与国际相互合作的权益救济机制

司法救济是数据主体在可能或已经受到侵害的情况下的有效救济手段。个人数据跨境流动涉及多个主体以及在不同国家的行为，在司法救济上存在法律差异、国家司法主权壁垒、取证及执行困难等障碍。因此，需要构建国内与国际相互合作的权益救济机制，加强与其他国家在个人数据跨境流动争端中的司法互助和协作。

首先，个人数据跨境流动面临着不同法律制度的制约，中国需要以保障个人数据跨境流动的安全为目标，协调境内的规则制度与境外的规则制度，共同为个人数据的跨境流动打造生态的网络空间。跨境法律救济是国家间法律适用的互动，在个人数据跨境流动保护制度方面需注重国家间基于同领域立法与执法上的协调性调和。[525]在国内的司法实践中，要加强侵权责任主体的认定，合理行使管辖权与提高案件的审判水平。例如，积极推进网站、域名、IP地址和电话等信息的实名制，持续提升登记信息准确率，建立网络与数据安全责任追究体系。各级法院应当提高对个人数据跨境流动涉外争端审判水平，在综合考量取证、审判、执行等因素后合理行使管辖权。

其次，迄今为止国际上还没有专门针对个人数据跨境流动保护的全球性的规则或者机制，但任何国家都不可能单独应对个人数据跨境流动保护的相关问题。同时，网络空间的全球性就决定了“游戏规则”除各国国内的保护规则外，还应包括各国合作制定的全球性规则。[526]在当前国际社会难以制定全球性多边个人数据保护公约的背景下，中国可以借鉴欧美“隐私盾”协议中较好的做法，与其他国家达成个人数据跨境流动保护的双边或多边协议法律框架。[527]这种法律框架可以是专门针对个人数据保护的也可以是合并在其他类型的条约中。例如，在与他国制定新一代自由贸易协定数据传输的新规则时，可以通过解释现有的规则以及纳入更具体的条款来保护个人数据的跨境流动。[528]

此外，国家个人数据跨境流动监督机构应采取适当措施建立国际合作机制、提供国际互助，包括通过通知、调查协助和信息交流等方式与相关利益方进行讨论和开展国际合作，促进个人数据保护法的域外适用及执行。

四、结语

随着新一代互联网技术的涌现与社会化应用，个人数据跨境流动过程中遭到的威胁增多，不断出现的新问题与新挑战催生新的治理需求与热点，对个人数据跨境流动保护的研究有利于推动理论的发展也符合实践的需要。本文研究的视角新颖，在网络空间命运共同体下，从立法、行政、司法三个角度分析了个人数据跨境流动的国际保护趋势，提出了具有针对性和可操作性的个人数据跨境流动保护机制的本土建构设想，即加快个人数据保护立法和制定充分性评估标准；设立专门的机构在其职权范围内进行监管以及激励企业的行业自律；构建国内与国际合作的权益救济制度，在立法和制度上进行协调以及促进国际性规则的制定。同时，个人数据跨境流动保护机制的构建并非某个部门或某个国家的事情，需要政府和企业、国内与国际的协调和共同努力。中国作为经济总量第二的世界性大国，更应该积极探讨个人数据跨境流动的保护机制，促进数字经济和贸易的健康发展。