美歐數據跨境流動博弈歷程分析與啟示

陶然

1995年，歐盟出臺《個人數據保護指令》引發了美歐數據跨境流動博弈。此后近30年，歐盟接連廢除了《安全港協議》《隱私盾協議》等美歐數據跨境流動方案，并以違反歐盟法律為由，對臉書、亞馬遜、谷歌等美企提起訴訟。2023年7月，歐盟委員會發布聯合聲明，宣布通過對《美歐數據隱私框架》的充分性認定，被認為是雙方博弈的第三輪妥協方案，為其近30年數據跨境紛爭畫上了最新的休止符。

一、第一輪博弈圍繞個人數據保護展開：從歐盟出臺《個人數據保護指令》到美歐達成《安全港協議》

上世紀90年代，隨著互聯網經濟快速發展，個人隱私泄露問題逐漸增多。1995年，歐盟從保護隱私角度出臺《個人數據保護指令》，為美企獲取在歐數據設置門檻，引發了雙方數據跨境流動首輪博弈。

（一）為保護個人隱私安全，歐盟出臺《個人數據保護指令》，使得美企獲取歐盟數據合規性成本大幅增加

1995年，為解決互聯網經濟發展伴生的個人隱私外泄問題，歐盟遵照《歐洲保護人權與基本自由公約》精神出臺《個人數據保護指令》，其中第25、26條規則對歐盟數據外流作出明確規定。第25條提出，歐盟居民的個人信息只能向具有“充分保護水平”的國家（地區）傳輸，并陸續審核通過了新西蘭、日本等12個國家（地區），而美國不在其“白名單”中；第26條提出，在數據主體明確同意、傳輸數據具有必要性、保護數據主體利益和重大公共利益不受侵犯等前提下，可通過標準合同條款（SCCs）或約束性公司規則（BCRs）的方式，向不具備充分保護水平的地區傳輸個人數據。此后，美國只得依照SCCs或BCRs獲取在歐數據，對于總部或子公司在歐盟的美國企業，在申請并通過BCRs審核后，可實現集團內部的數據傳輸。對于其他情形，需依照SCCs每次形成標準合同。

（二）為挽回在歐商業利益，美國遵從歐盟要求，推動達成美歐《安全港協議》

在商業利益驅使下，美國政府向歐盟規則妥協，遵從《個人數據保護指令》原則擬定了《安全港協議》，并與歐盟于2000年達成一致?！栋踩蹍f議》要求美國企業在收集歐盟數據時，應盡到通知義務、告知處理方式、允許數據主體訪問其被收集的數據、提出完善的保障措施，且未經許可不得傳給第三方等。通過安全港協議審核的美國企業可與歐盟開展數據跨境流動，不必另受BCRs或SCCs約束。

（三）此次博弈，始于歐盟的人權保護主張，止于美國為追求經濟利益而作出的讓步

歐盟向來注重人權保護，在個人數據保護方面也彰顯了人權至上的主張?？v觀歐盟歷史，其文藝復興、宗教改革、啟蒙運動等歷次社會運動，均體現了人權意識。受此影響，歐盟的《歐盟基本權利憲章》《個人數據保護指令》以及《通用數據保護條例》（GDPR）等政策法規，均強調保障個人數據安全。美國高度重視歐盟市場，美國為維護其在歐利益是向歐盟規則妥協的根本原因。歐盟是美國第一大數字貿易伙伴，且美對歐數字貿易存在巨大順差。據估算，如美國不對此作讓步，其對歐盟的數字貿易出口將下降31%。

二、第二輪博弈圍繞國家政治安全展開：從歐盟廢除《安全港協議》到美歐建立《隱私盾協議》

《安全港協議》為美企獲取歐盟數據提供了便利，但隨著“棱鏡門”事件曝光，歐盟于2015年宣布廢除《安全港協議》，引發了第二輪數據跨境流動博弈。

（一）“棱鏡門”事件引發“信任危機”，歐盟宣布廢除《安全港協議》，美歐數據跨境流動倒退回首輪博弈階段

2013年，“棱鏡門”事件，曝光了美國國家安全局利用《安全港協議》對歐盟進行大規模數據監測和遷移，包括直接從微軟、蘋果、谷歌、臉書等9個互聯網巨頭的服務器收集信息，直接引發了歐盟對美國的“信任危機”。2015年，歐盟單方面宣布廢除《安全港協議》，美國與歐盟的數據跨境流動再次陷入僵局。美企從歐盟獲取數據，倒退回《個人數據保護指令》階段，數據跨境傳輸合規成本增加，對歐盟本地公司的競爭優勢大幅下降。

（二）為消除負面影響，美國積極推動與歐盟達成《隱私盾協議》

為挽回在歐商業利益并“洗白”本國形象，美國向歐盟書面承諾，保證不在歐盟超范圍獲取數據，并設置獨立于美國情報部門的“隱私盾監察員”監督。2016年，美國與歐盟達成了《隱私盾協議》。與《安全港協議》相比，《隱私盾協議》在數據保護方面更為嚴格，并新增了年度聯合審查機制，防止美國政府和企業不履行協議內容。

（三）此次博弈，始于歐盟的政治安全風險隱憂，止于美國為了挽回經濟利益和維護國際形象而做出的系列承諾

歐盟廢除《安全港協議》的主要原因，是美方無法對從歐盟獲取的數據提供充分性保護。在此階段，歐盟除了關注人權外，更加關注數據跨境引致的政治安全風險；美國做出的系列承諾，除了維護其在歐經濟利益外，也旨在消減“棱鏡門”的負面影響。

三、第三輪博弈圍繞雙方經濟利益展開：從歐盟廢除《隱私盾協議》到美歐達成《數據隱私框架》

《隱私盾協議》生效后，美企獲取歐盟數據再次有便捷方法可依，直至2020年8月，歐盟以違反GDPR為由宣布廢除《隱私盾協議》，引發雙方最新一輪數據跨境博弈。

（一）歐盟在綜合考慮隱私保護、政治安全等因素之外，更加重視本土數字經濟企業發展，宣布廢除《隱私盾協議》，美歐數據跨境再次倒退回首輪博弈階段

2016年，歐盟在《個人數據保護指令》基礎上修訂出臺了GDPR，旨在進一步加強個人隱私保護。2020年，歐盟出臺了《數字市場法》《數字服務法》，提出了守門人條款、數字稅等規則，被認為劍指美國數字經濟龍頭企業，進而扶植其本土數字經濟企業發展。此外，歐盟國家簽署了建立歐洲云計算平臺的宣言，并推動建立Gaia－X云計算平臺，提升數據本地化存儲能力和處理水平。2020年8月，歐盟宣布廢止《隱私盾協議》，受此判決影響，《隱私盾協議》框架下獲得認證的近5400家美國公司，再次倒退回SCCs和BCRs階段，對歐盟本地企業的競爭優勢再次大幅下降。

（二）基于維護其經濟利益和意圖主導國際規則制定等因素，美國再次向歐盟妥協，推進與歐盟達成《歐盟—美國數據隱私框架》原則性共識

在美國極力斡旋下，2022年4月，拜登總統訪歐期間，雙方宣布就《跨大西洋數據隱私框架》達成5項原則性共識，包括確保數據自由安全的流動、美國情報機構不可輕易調取數據、數據跨境流動受到美國和歐盟的雙重審查、強化調取歐盟數據的美國公司義務、強化年度監管和審核機制等。2022年5月，G7數字部長會期間，美國會同法、德、意等國聯合發布《促進可信數據自由流動計劃》，提出“強強聯合”，將圍繞數據跨境的流動模式、監管舉措、相關技術等擬定具體行動。2022年10月，美國總統簽署《關于加強美國信號情報活動保障措施的行政命令》，強化了美國情報機構數據工作中對公民隱私安全的保障，并創建了一套獨立的、具有約束力的多層補救機制。2023年7月，歐盟委員會宣布《歐盟—美國數據隱私框架》通過充分性認證，標志著雙方最新的數據跨境流動方案正式達成。

（三）此次博弈，始于歐盟對個人隱私保護的更高要求和推進歐盟區域數字經濟發展的戰略需要，止于美國為了經濟利益而向歐盟規則作出的讓步，反映出美歐共同主導全球規則的愿望

在此階段，歐盟為促進其數字經濟發展，挖掘歐盟區域內數據要素價值，對美國龍頭企業屢屢重拳出擊。美國為追求在歐數字經濟紅利，一如既往迎合歐盟相關制度法規，竭力調和與歐盟的立場分歧。美歐共同主導全球數據跨境規則的共識進一步加強，表達了通過共同推進規則制定、促進數字經濟發展的愿望。

四、對我國的啟示與建議

美歐數據跨境流動規則30年博弈，是歐盟基于個人數據保護、國家政治安全、數字經濟發展的考量，迫使美國為了經濟利益向其妥協的過程。歐盟和我國都是美國重要的數字貿易伙伴，美歐博弈歷程對于制定完善我國數據跨境流動相關細則，在中美博弈中把握主動有積極借鑒意義。

（一）堅守政治安全底線，加強重要數據安全保障

歐盟擬定數據跨境規則的首要關切，是與政府域外數據監測和調取相關的國家政治安全問題。歐盟廢除《安全港協議》《隱私盾協議》的主要理由，都是美方無法對從其獲取的數據充分保護。歐盟采取出臺GDPR、設數據保護官、建設歐洲數據云計算平臺等系列舉措，不斷提升本土數據保護水平。于我國而言，宜從數據管理、技術應用、設施升級等方面加強重要數據安全保障。推動采取分類分級方式，將數據按領域分類、按重要性分級，確保核心數據安全。強化網絡態勢感知能力，加強對數據跨境流動的監管。提升關鍵基礎設施國產化水平，強化核心技術自主研發，為數據跨境流動提供可靠保障。

（二）強化個人數據保護，切實保障公民隱私安全

在數據跨境流動博弈過程中，歐盟高度重視個人隱私保護，并依據各國對個人數據保護水平形成了數據跨境流動白名單。美國13556號行政令啟動的《受控非密信息管理》《加州隱私權法》（CPRA）等地方法規也對個人數據保護作了約定。于我國而言，應從完善制度和技術保障等方面加強個人數據保護。加快形成個人數據跨境流動的實施細則，進一步提升數據跨境流動中個人隱私保護的可操作性。強化可信執行環境、聯邦學習等隱私計算技術應用，鼓勵以“數據不動算法動”“設置安全區域”等方式，試點開展數據跨境流動工作。

（三）釋放數據要素價值，助力推進數字經濟發展

美國歷次向歐盟規則妥協，在于歐盟是美國最大的數字貿易國和順差來源地，更多獲取歐盟數據意味著更好發揮數據倍增效應，進而推進美國數字經濟發展。歐盟近年來愈發重視本土數據價值，故力圖構建“外嚴內松”的單一市場環境，扶植本土數字經濟發展。于我國而言，在筑牢數據安全底線的前提下，在部分行業領域試點推進數據跨境流動。把握RCEP生效機遇，結合申請加入DEPA契機，探索建立數據跨境流動試驗區，加快形成可復制可推廣的先進模式。

（四）依托有關地方平臺，探索構建數據跨境流動試點

從美歐數據跨境博弈歷程看，全球數據跨境規則體系形成不是一蹴而就的，距離形成普適性規則還有較長一段路要走。全球數字經濟加快發展背景下，數據跨境流動規則成為各方數字貿易合作的前提和基礎，美國與歐盟都希望通過強強聯合鞏固其全球優先地位。于我國而言，應加快試點探索，逐步增強在全球數據跨境流動中的話語權。結合我國數字經濟優勢領域，制定“親疏有別”的數據跨境流動政策，依托中國—東盟信息港等平臺，發揮廣西、云南等地地緣優勢，加強與東盟方面交流合作，優先加強規則互認，推進制定以我為主的區域數據跨境流動規則，逐步擴展數據跨境流動朋友圈。

〔作者為國家發展改革委創新驅動發展中心（國家發展改革委數字經濟研究發展中心）數字經濟政策推進處助理研究員〕