美国数据跨境流动监管的实践经验及启示

摘 要：数字经济时代下，数据跨境流动在助推国际贸易发展的同时，也为国家安全、商业机密、民众隐私保护带来极大威胁。如何在数据跨境流动的安全性和成长性中找到平衡点，是中国政府管理部门及隐私保护机构必须思考的问题。美国在数据跨境流动监管方面先后经历“初步规制”、“安全港”、“隐私护盾”三个阶段，已经形成较为完备的监管体系。由此，中国应积极借鉴美国经验，从细化法律要素、建立分类跨境数据管理体系、打造政企数据共享机制、引入第三方机构评估、坚持较高强度的本地化约束、建构“空间命运共同体”等方面持续深化推进跨境数据监管。

关键词：美国;数据跨境流通;监管;多边合作

“数据跨境流动”这一概念由经济合作与发展组织（OECD）提出，具体指数据跨国界传输以及可被第三国访问的情况。在经济全球化背景下，数据跨境流动逐渐成为数字经济发展的显著特征。数据资源逐渐成为一国发展的“核心资源”，同国家安全、个人隐私保护、经济发展等社会价值紧密相连。这一背景下，数据跨境流动监管问题成为各国关注焦点和矛盾频发区。例如，2021年7月，莫斯科法院对谷歌处以300万卢布罚款，原因在于谷歌拒绝将俄罗斯用户数据存储于俄罗斯本土服务器之上。中国近年来虽已开始制定有关数据跨境流动的监管规则，但由于缺乏相关的监管及立法经验，致使数据跨境规制整体进度相对缓慢。作为数据跨境流动监管的重要范式之一，美国在数据流动规则制定、执法程序设置方面已经较为成熟，对于中国完善数据跨境流动监管、强化国际协作具有极为重要的现实意义。

一、美国数据跨境流动监管的演变历程

（一）初步规制阶段（1970- 2000年）

美国数据跨境流动监管活动最早可追溯到上世纪70年代。1970年美国和瑞士共同成立《公平信息实务准则》（下称《准则》），其中规范了关于数据警告、许可、精确性、安全性等概念，是针对数据隐私权最早的一部监管立法。1974年，美国进一步出台《隐私权监管法案》。然而，由于该法案执行权被分散到联邦贸易委员会、联邦预算管理办公室和联邦储备委员会等不同政府机构，实施效果不佳。1980年，OECD以《准则》为基础，形成《隐私权和个人数据跨境流动保护的指导原则》，使多数国家在国内隐私权管理方面达成基本共识。此后，美国携手多个国家、地区与国际组织共同关注数据跨境问题。1997年，克林顿政府出台《全球电子商务框架》，其中关于跨境数据流动治理的准则成为多国立法参考标准。基于此，美国数据跨境流动问题得到初步规制。

（二）“安全港”阶段（2001- 2015年）

进入21世纪，美国加大了同其他国家的数据跨境流动联合监管力度。为适应欧盟“充分保护”原则，美国转向与欧盟合作，在数据跨境问题上构建合作机制。《安全港协议》由此诞生。在具体内容上，《安全港协议》要求参与数据跨境交换的相关企业严格遵守欧盟规则，但对于企业所在国家的法律体系并未做出要求。在协议签署后的一段时间中，《安全港协议》成为Microsoft、Google、Facebook等超过4500家企业赖以运营的生命线。2011年，美国同欧盟就电子商务问题共同提出一般性原则，并将此原则引入双边和多边协定谈判。2013年美国在全球范围内大肆监听的“棱镜计划”曝光，引起欧洲剧烈反响。基于这一事件，欧盟法院在2014年10月否决《安全港协议》，认为该协定已不再适用欧美双方。此后，美国对跨境数据流动监管更加具有针对性。除欧盟外，美国与约旦、韩国等多国在数据跨境流动方面也达成多项协定，对跨境电子数据传输等事项形成简单约定。

（三）“隐私护盾”阶段（2016年至今）

为削弱“棱镜计划”的负面影响，美国与欧盟经过谈判协商，于2016年2月2日达成“隐私护盾”协定。该协定主张在保护个人隐私的同时满足政府需求。此外，美国欲将获取海外数据方式合法化，通过增加多项立法为获取他国数据提供便利。2018年3月，美国通过《澄清境外数据合法使用法案》，击碎各国本土化數据保护屏障，在国际上形成了美国主导的数据主权规则体系。同年4月12日，美国向世贸组织总理事会提交了一份新议案（JOB/GC/178），提出包括信息自由流动在内的七项议题。总体来看，美国一定程度上支持数据跨境流动，但对于外国政府针对数据跨境流动设置的一系列措施则持反对态度。

二、美国数据跨境流动监管的措施及经验

（一）应用分类模式管理跨境数据

考虑到跨境数据来源渠道庞杂，为提高管理效率，美国依据数据价值形成重要数据、一般数据与个人数据三类管理模式。其一，重要数据。虽然在美国现有的法律体系中并未明确禁止数据跨境流动，但在认为国外网络运营商存在数据安全隐患时，会要求其在美国境内设置通信基础设施，并将通信数据、用户数据、交易数据等关键信息数据储存于美国境内。对于外资企业而言，这一强制措施意味着要在美国境内建立新的本地数据中心，导致运营成本进一步增加，损害投资利润。其二，一般数据。对于医疗、科技等行业数据，美国依据《出口管理条例》进行跨境管理。提供数据处理服务及数据所有权的相关主体必须取得出口许可证才能进行数据跨境流动。其三，个人数据。美国在个人数据的监管上相对宽松，允许个人数据自由流动。根据美国制定的个人数据隐私保护标准，监管部门很少在事前或事中对个人数据进行监管，仅在事后对于数据处理者的违法行为进行问责。整体而言，通过分级分类管理模式，美国不仅能够确保国家利益，还能使各类跨境流动数据得到适合自身特点的区别监督。

（二）采取政企信息共享强化数据跨境监管

在数据跨境流动监管方面，美国权力机关高度重视企业作用，常以国家安全为由，要求科技公司与执法机构进行数据信息共享。此前，美国纽约联邦地区法院曾要求微软公司协助调查一起毒品案，并要求其向调查局提交该用户的个人网络数据信息。但由于相关数据内容存储地并不在美国境内，因此微软拒绝向FBI提供用户数据，并提出废除搜查令的动议。这一事件引起社会对国家安全与个人隐私的广泛争论。为促进企业与执法机构数据共享，美国出台《网络安全信息共享法案》，以国土安全部为纽带，使企业与执法机构之间产生紧密联系，并以“阻止网络攻击”为名实现收集用户个人数据。2018年美国通过《CLOUD法案》，指导执法部门依法直接访问境外数据，为美国政府跨境调取本国公民数据提供极大便利。《CLOUD法案》的出台使得科技公司不仅可以减少因隐私案带来的漫长诉讼，而且也脱离了被舆论抨击的处境。同时，为尽可能多地收集跨境数据，美国一直以来在国际上倡导以大数据促进各国数据共享和交流。

（三）利用多边合作监管数据跨境

纵观美国数据跨境流动监管的历史进程可知，围绕跨境流动数据，美国一直尝试同其他国家进行联合监管。欧盟与美国2007年签署的《安全港协议》中，规定美国企业如果满足欧盟所规定的“充分保护水平”，则可获得跨境数据流动监管。2016年签订的“隐私护盾”协定又进一步规范了美欧之间企业及政府获取对方数据的权限。除了与欧盟之间的合作外，近年来美国还一直试图在其主导建立的TPP、USMCA中推行自身跨境流动数据的理念及制度。如此前TPP中就明确规定“允许缔约一方监管以电子方式传输的数据”，即TPP协定中包含的经济体之间可以联合监管。2018年美墨加三国签署的USMCA中在数据跨境流动方面同TPP也基本保持一致。此外，美国还与日本、韩国等国家联合推出CBPR体系。该体系以自愿认证为核心，通过认证的企业即可实现相互数据自由传输。借助联合监管，美国实现数据域名管辖权的大幅增加，跨境数据流动监管力度得到加强。

（四）借助第三方机构进行数据安全评估

在跨境數据评估方面，美国采取以第三方机构评估数据安全水平的方式，保证评估结果的公平性。这一点在美国主导建立的CBPR体系中得以凸显。CBPR体系中的经济体成员会从本国派出至少一个国家机关或私人企业作为问责机构，为该体系提供数据保护水平认证服务。问责代理机构需要评估认证成员国数字企业的隐私保护水平，证明该国国内保护政策符合APEC隐私框架。其中，著名的隐私认证公司TRUSTe就在CBPR体系中担任美国的问责代理机构。TRUSTe为多种标准提供隐私认证，除了CBPR体系认证，还包括欧盟约束性公司规则、美国瑞士安全港协议、美国《儿童在线隐私保护法》等的认证。目前经TRUSTe认证的公司达5000多家，其中包括苹果公司、YouTube、脸谱、微软和微信海外版。第三方机构参与数据保护水平评估不仅使评估结果更科学专业，还可以有效缓解监管机构和企业的评估压力，有效提高跨境数据评估水平。

（五）反对严苛的数据本地化措施

凭借数字贸易领域的优势地位，美国在数据跨境流动监管上主张宽松适度，主要表现在禁止或反对数据本地化措施，以此促进国内数字经济发展。2016年2月，由美国推动签署的TPP首次将数据跨境流动约束性条款纳入自贸协定文本，其中核心议题就是讨论数据跨境流动规则。在“电子商务”章节第14.11条和第14.13条都明确表示各方禁止数据本地化，允许数据跨境流动。但是TPP也允许各方为实现公共政策目标而采取适当的本地化措施。虽然美国后续退出TPP，但TPP协定总体来说较为符合美国的产业利益。随着全球进入数据流动新时代，跨境数据流动总量逐年上升。美国推动数据自由流动有效节省了数据境内储存和备份成本、数据出入境的评估和审查成本，使数据跨境的手续得到简化，提高交易效率。

三、启示

（一）细化数据法律要素，夯实政府监管法律基础

围绕跨境数据流动，美国在各行业领域立法非常充足，如医疗健康领域的HIPPI法案、儿童隐私领域的COPPA法案、金融领域的FCRA法案。美国2018年通过《澄清境外数据的合法使用方案》将跨境数据流动的监管范围在立法层面扩展到境外。同美国相比，中国在数据跨境流通监管方面的法律基础建设较为薄弱。对此，中国应在现有数据保护框架内，对监管涉及到的主体、法律权益进行不断细化。具体而言，应结合《网络安全法》与《个人信息保护法》，确立一套清晰的数据监管法律框架，对主管部门、适用情形、主管对象、监管原则等核心内容进行清晰界定。在此基础上，中国应根据数据分类、数据性质、影响力大小等要素，将数据主体义务责任进行明确，并进一步形成数据安全风险认证与评估制度。如此，企业、个人等主体的跨境数据流动行为才能有法可依，相关监管部门管理活动也将更加规范。

（二）建立分类跨境数据管理体系，实现区别监管

不同类型的跨境流动数据，其背后价值也有所不同。如果监管方式和力度不做区分，很容易造成非必要的监管过严或者过松现象。针对于此，中国应充分借鉴美国分类管理模式，以市场机制为主，按照“政府监管+企业自律”原则，确立宽严不同的分级分类监管政策。政府应考虑国内实际情况，选择代表性较强的跨境个人数据主要目的地和现实场景，形成“以数据保护为主，若干例外情况为辅”的认定方法。按照行业及信息进行具体分类，确定“重要数据”的涵盖范围。同时，政府要联合各行业主管部门、行业协会及第三方组织，针对各领域中重要数据制定相应的识别标准，并根据数据泄露、滥用等情况对国家影响程度划分数据跨境风险等级。在此基础上，政府需按照风险程度高低制定与之相符的监管方式。例如，对于重要数据跨境实施严格的管理措施;对于一般数据实施限制性管理;对于个人数据实施宽松适度管理措施。

（三）打造政企数据共享机制，推进监管行为便利化

目前，中国政府数据开放尚处于初级阶段。在法律框架不完善的情况下，政府既缺乏开放数据的动力，亦不具备把控数据开放水平的能力。这就使得可以开放的政府数据相对有限，导致企业难以从政府获取高价值数据。从企业角度出发，由于内部数据涉及到商业机密与隐私保护，其对政府开放的意愿同样不高，尤其是对于掌握大量数据的互联网企业，如腾讯、阿里巴巴等大型企业，其数据更难以向政府开放。基于此，中国应借鉴美国政企信息共享的经验，建立政企数据共享机制，使政府通过合规渠道获取企业数据。第一，政府需平等对待企业，表明其使用企业数据的用途、方式与范围，规范化使用企业数据。第二，相关部门需将企业开放数据的质量、贡献度等要素纳入数据开放评价体系。另外，对数据开放突出、积极共享的企业给予税收抵扣等政策支持，为政府监管数据跨境流动提供便利。

（四）引入第三方机构评估，提高数据跨境保护水平

中国监管机构评估主要采取主体分散的评估模式，缺乏第三方机构评估的形式，因此极易造成评估标准不一致、重复评估的情况。面对大量的数据流动，不同评估部门对数据跨境理解及对数据安全程度要求存在差异，最终得出不同评估结果实属常态。经过行业主管部门和监管机构评估后，数据在跨境过程中仍存在被泄露、损毁、篡改、滥用的情况，且评估机构所承担的责任也未明确。为解决这一困境，我国可借鉴美国经验，引入第三方机构评估数据跨境安全水平，并及时从以下方面规范第三方评估市场。第一，对评估机构进行评估能力、评估资质的认证。第二，监督管理第三方评估机构评估的形式、过程及方式。第三，明确第三方评估机构失职或造成损失的责任。引入第三方评估机构并规范其运作方式，以此提升数据跨境流动的评估水平。

（五）坚持高强度的本地化约束，下调非敏感领域数据本地化规则严苛度

在存储地规制方面，美国多次强调应禁止和反对本地化强制措施。但需要看清的一点是，美国这样做是由于其在互联网领域拥有的强大技术优势。对于中国而言，贸然放开数据本地化约束，很有可能造成国家安全及经济运行等潜在风险。因此，短期来看，中国应选择保守策略，继续坚持较高强度的数据本地化约束。在这一主基调上，根据实际情况，逐步放宽本地化限制。对于非敏感数据，在数据主体同意的情况下，不禁止跨境电商平台的用户个人交易信息跨境流动，并允许其将数据存储器安排在境外，以此提高电子商务交易效率。此外，如果数据跨境流动目的国具有较高的数据保护水平，没有触碰中国数据保护底线，也可适当降低数据本地化要求的严苛程度。

（六）构建“网络命运共同体”，形成联合监管同盟

由美国经验可知，数据跨境流动监管绝不只是国家内部的事情，其顺利实行往往需要其他国家主动配合。从这一角度分析，构建“网络命运共同体”，同其他国家形成联合监管同盟是中国数据跨境流动监管的必经之路。近年来，中非合作论坛、中国-中东欧论坛等国际合作开展顺利，中国应抓住时代契机，在建立健全监管规则的同时，由国家网信部门牵头，外交部、商务部进行配合，共同推进数据跨境流动监管。一方面，在多边经贸谈判过程中，适时适量嵌入数据跨境流动监管的规则谈判内容。对于非洲、东南亚、东盟等一些友好国家，我国可采用“白名单”制度，形成跨境数据互信体系。另一方面，我国应积极参与APEC、OECD等国际平台合作，推动国际间统一数据保护规则的制定和实行。在《国家安全法》要求基础上，将数据跨境流动共同监管纳入外交战略，推动自身数据跨境流动“朋友圈”建设，实现安全与发展并行。

参考文献：

[1]搜狐网.加州拟议《隐私权法案》，修订强化CCPA，更加趋向GDPR条款.[EB/OL].https：//www.sohu.com/a/400861754_442599.[2020-06-10].

[2]环球视野.美国快速通过Cloud法案，清晰明确数据主权战略.[EB/OL].http：//www.globalview.cn/html/societies/info_24334.html.[2018-05-03].

[3]律星说. 数据合规|中美数据跨境法律规范体系概览.[EB/OL].https：//baijiahao.baidu.com/s？id=1690186367767464260&wfr=spider&for=pc.[2021-01-29].

[4]新浪財经.重罚1.4亿！非法收集人脸照片，这家美国公司面临大罚单！人脸识别技术是恶是善？.[EB/OL].http：//finance.sina.com.cn/stock/zqgd/2021-12-05/doc-ikyamrmy6924767.shtml.[2021-12-05].

[5]崔静.欧美数据跨境流动监管的经验做法及我国的策略选择[J].经济体制改革，2021（2）：173-179.

[6]薛亚君.数字贸易规则中的数据本地化问题探究[J].对外经贸实务，2019（8）：17-20.

[作者简介]余萍（1982—），女，广州工程技术职业学院讲师;研究方向：金融经济、创新创业。