美欧数据跨境流动博弈历程分析与启示

陶然

1995年，欧盟出台《个人数据保护指令》引发了美欧数据跨境流动博弈。此后近30年，欧盟接连废除了《安全港协议》《隐私盾协议》等美欧数据跨境流动方案，并以违反欧盟法律为由，对脸书、亚马逊、谷歌等美企提起诉讼。2023年7月，欧盟委员会发布联合声明，宣布通过对《美欧数据隐私框架》的充分性认定，被认为是双方博弈的第三轮妥协方案，为其近30年数据跨境纷争画上了最新的休止符。

一、第一轮博弈围绕个人数据保护展开：从欧盟出台《个人数据保护指令》到美欧达成《安全港协议》

上世纪90年代，随着互联网经济快速发展，个人隐私泄露问题逐渐增多。1995年，欧盟从保护隐私角度出台《个人数据保护指令》，为美企获取在欧数据设置门槛，引发了双方数据跨境流动首轮博弈。

（一）为保护个人隐私安全，欧盟出台《个人数据保护指令》，使得美企获取欧盟数据合规性成本大幅增加

1995年，为解决互联网经济发展伴生的个人隐私外泄问题，欧盟遵照《欧洲保护人权与基本自由公约》精神出台《个人数据保护指令》，其中第25、26条规则对欧盟数据外流作出明确规定。第25条提出，欧盟居民的个人信息只能向具有“充分保护水平”的国家（地区）传输，并陆续审核通过了新西兰、日本等12个国家（地区），而美国不在其“白名单”中；第26条提出，在数据主体明确同意、传输数据具有必要性、保护数据主体利益和重大公共利益不受侵犯等前提下，可通过标准合同条款（SCCs）或约束性公司规则（BCRs）的方式，向不具备充分保护水平的地区传输个人数据。此后，美国只得依照SCCs或BCRs获取在欧数据，对于总部或子公司在欧盟的美国企业，在申请并通过BCRs审核后，可实现集团内部的数据传输。对于其他情形，需依照SCCs每次形成标准合同。

（二）为挽回在欧商业利益，美国遵从欧盟要求，推动达成美欧《安全港协议》

在商业利益驱使下，美国政府向欧盟规则妥协，遵从《个人数据保护指令》原则拟定了《安全港协议》，并与欧盟于2000年达成一致。《安全港协议》要求美国企业在收集欧盟数据时，应尽到通知义务、告知处理方式、允许数据主体访问其被收集的数据、提出完善的保障措施，且未经许可不得传给第三方等。通过安全港协议审核的美国企业可与欧盟开展数据跨境流动，不必另受BCRs或SCCs约束。

（三）此次博弈，始于欧盟的人权保护主张，止于美国为追求经济利益而作出的让步

欧盟向来注重人权保护，在个人数据保护方面也彰显了人权至上的主张。纵观欧盟历史，其文艺复兴、宗教改革、启蒙运动等历次社会运动，均体现了人权意识。受此影响，欧盟的《欧盟基本权利宪章》《个人数据保护指令》以及《通用数据保护条例》（GDPR）等政策法规，均强调保障个人数据安全。美国高度重视欧盟市场，美国为维护其在欧利益是向欧盟规则妥协的根本原因。欧盟是美国第一大数字贸易伙伴，且美对欧数字贸易存在巨大顺差。据估算，如美国不对此作让步，其对欧盟的数字贸易出口将下降31%。

二、第二轮博弈围绕国家政治安全展开：从欧盟废除《安全港协议》到美欧建立《隐私盾协议》

《安全港协议》为美企获取欧盟数据提供了便利，但随着“棱镜门”事件曝光，欧盟于2015年宣布废除《安全港协议》，引发了第二轮数据跨境流动博弈。

（一）“棱镜门”事件引发“信任危机”，欧盟宣布废除《安全港协议》，美欧数据跨境流动倒退回首轮博弈阶段

2013年，“棱镜门”事件，曝光了美国国家安全局利用《安全港协议》对欧盟进行大规模数据监测和迁移，包括直接从微软、苹果、谷歌、脸书等9个互联网巨头的服务器收集信息，直接引发了欧盟对美国的“信任危机”。2015年，欧盟单方面宣布废除《安全港协议》，美国与欧盟的数据跨境流动再次陷入僵局。美企从欧盟获取数据，倒退回《个人数据保护指令》阶段，数据跨境传输合规成本增加，对欧盟本地公司的竞争优势大幅下降。

（二）为消除负面影响，美国积极推动与欧盟达成《隐私盾协议》

为挽回在欧商业利益并“洗白”本国形象，美国向欧盟书面承诺，保证不在欧盟超范围获取数据，并设置独立于美国情报部门的“隐私盾监察员”监督。2016年，美国与欧盟达成了《隐私盾协议》。与《安全港协议》相比，《隐私盾协议》在数据保护方面更为严格，并新增了年度联合审查机制，防止美国政府和企业不履行協议内容。

（三）此次博弈，始于欧盟的政治安全风险隐忧，止于美国为了挽回经济利益和维护国际形象而做出的系列承诺

欧盟废除《安全港协议》的主要原因，是美方无法对从欧盟获取的数据提供充分性保护。在此阶段，欧盟除了关注人权外，更加关注数据跨境引致的政治安全风险；美国做出的系列承诺，除了维护其在欧经济利益外，也旨在消减“棱镜门”的负面影响。

三、第三轮博弈围绕双方经济利益展开：从欧盟废除《隐私盾协议》到美欧达成《数据隐私框架》

《隐私盾协议》生效后，美企获取欧盟数据再次有便捷方法可依，直至2020年8月，欧盟以违反GDPR为由宣布废除《隐私盾协议》，引发双方最新一轮数据跨境博弈。

（一）欧盟在综合考虑隐私保护、政治安全等因素之外，更加重视本土数字经济企业发展，宣布废除《隐私盾协议》，美欧数据跨境再次倒退回首轮博弈阶段

2016年，欧盟在《个人数据保护指令》基础上修订出台了GDPR，旨在进一步加强个人隐私保护。2020年，欧盟出台了《数字市场法》《数字服务法》，提出了守门人条款、数字税等规则，被认为剑指美国数字经济龙头企业，进而扶植其本土数字经济企业发展。此外，欧盟国家签署了建立欧洲云计算平台的宣言，并推动建立Gaia－X云计算平台，提升数据本地化存储能力和处理水平。2020年8月，欧盟宣布废止《隐私盾协议》，受此判决影响，《隐私盾协议》框架下获得认证的近5400家美国公司，再次倒退回SCCs和BCRs阶段，对欧盟本地企业的竞争优势再次大幅下降。

（二）基于维护其经济利益和意图主导国际规则制定等因素，美国再次向欧盟妥协，推进与欧盟达成《欧盟—美国数据隐私框架》原则性共识

在美国极力斡旋下，2022年4月，拜登总统访欧期间，双方宣布就《跨大西洋数据隐私框架》达成5项原则性共识，包括确保数据自由安全的流动、美国情报机构不可轻易调取数据、数据跨境流动受到美国和欧盟的双重审查、强化调取欧盟数据的美國公司义务、强化年度监管和审核机制等。2022年5月，G7数字部长会期间，美国会同法、德、意等国联合发布《促进可信数据自由流动计划》，提出“强强联合”，将围绕数据跨境的流动模式、监管举措、相关技术等拟定具体行动。2022年10月，美国总统签署《关于加强美国信号情报活动保障措施的行政命令》，强化了美国情报机构数据工作中对公民隐私安全的保障，并创建了一套独立的、具有约束力的多层补救机制。2023年7月，欧盟委员会宣布《欧盟—美国数据隐私框架》通过充分性认证，标志着双方最新的数据跨境流动方案正式达成。

（三）此次博弈，始于欧盟对个人隐私保护的更高要求和推进欧盟区域数字经济发展的战略需要，止于美国为了经济利益而向欧盟规则作出的让步，反映出美欧共同主导全球规则的愿望

在此阶段，欧盟为促进其数字经济发展，挖掘欧盟区域内数据要素价值，对美国龙头企业屡屡重拳出击。美国为追求在欧数字经济红利，一如既往迎合欧盟相关制度法规，竭力调和与欧盟的立场分歧。美欧共同主导全球数据跨境规则的共识进一步加强，表达了通过共同推进规则制定、促进数字经济发展的愿望。

四、对我国的启示与建议

美欧数据跨境流动规则30年博弈，是欧盟基于个人数据保护、国家政治安全、数字经济发展的考量，迫使美国为了经济利益向其妥协的过程。欧盟和我国都是美国重要的数字贸易伙伴，美欧博弈历程对于制定完善我国数据跨境流动相关细则，在中美博弈中把握主动有积极借鉴意义。

（一）坚守政治安全底线，加强重要数据安全保障

欧盟拟定数据跨境规则的首要关切，是与政府域外数据监测和调取相关的国家政治安全问题。欧盟废除《安全港协议》《隐私盾协议》的主要理由，都是美方无法对从其获取的数据充分保护。欧盟采取出台GDPR、设数据保护官、建设欧洲数据云计算平台等系列举措，不断提升本土数据保护水平。于我国而言，宜从数据管理、技术应用、设施升级等方面加强重要数据安全保障。推动采取分类分级方式，将数据按领域分类、按重要性分级，确保核心数据安全。强化网络态势感知能力，加强对数据跨境流动的监管。提升关键基础设施国产化水平，强化核心技术自主研发，为数据跨境流动提供可靠保障。

（二）强化个人数据保护，切实保障公民隐私安全

在数据跨境流动博弈过程中，欧盟高度重视个人隐私保护，并依据各国对个人数据保护水平形成了数据跨境流动白名单。美国13556号行政令启动的《受控非密信息管理》《加州隐私权法》（CPRA）等地方法规也对个人数据保护作了约定。于我国而言，应从完善制度和技术保障等方面加强个人数据保护。加快形成个人数据跨境流动的实施细则，进一步提升数据跨境流动中个人隐私保护的可操作性。强化可信执行环境、联邦学习等隐私计算技术应用，鼓励以“数据不动算法动”“设置安全区域”等方式，试点开展数据跨境流动工作。

（三）释放数据要素价值，助力推进数字经济发展

美国历次向欧盟规则妥协，在于欧盟是美国最大的数字贸易国和顺差来源地，更多获取欧盟数据意味着更好发挥数据倍增效应，进而推进美国数字经济发展。欧盟近年来愈发重视本土数据价值，故力图构建“外严内松”的单一市场环境，扶植本土数字经济发展。于我国而言，在筑牢数据安全底线的前提下，在部分行业领域试点推进数据跨境流动。把握RCEP生效机遇，结合申请加入DEPA契机，探索建立数据跨境流动试验区，加快形成可复制可推广的先进模式。

（四）依托有关地方平台，探索构建数据跨境流动试点

从美欧数据跨境博弈历程看，全球数据跨境规则体系形成不是一蹴而就的，距离形成普适性规则还有较长一段路要走。全球数字经济加快发展背景下，数据跨境流动规则成为各方数字贸易合作的前提和基础，美国与欧盟都希望通过强强联合巩固其全球优先地位。于我国而言，应加快试点探索，逐步增强在全球数据跨境流动中的话语权。结合我国数字经济优势领域，制定“亲疏有别”的数据跨境流动政策，依托中国—东盟信息港等平台，发挥广西、云南等地地缘优势，加强与东盟方面交流合作，优先加强规则互认，推进制定以我为主的区域数据跨境流动规则，逐步扩展数据跨境流动朋友圈。

〔作者为国家发展改革委创新驱动发展中心（国家发展改革委数字经济研究发展中心）数字经济政策推进处助理研究员〕