美欧跨境数据流动监管演化及对我国启示.docVIP

美欧跨境数据流动监管演化及对我国启示 　　摘要：大规模的跨境数据流动在一定程度上促进了全球经济和国际贸易的快速发展，但也使公民隐私、企业商业秘密和国家安全遭到了极大威胁，这引起了国际组织、各国政府管理部门和隐私保护机构的高度关注。本文在厘定跨境数据流动概念的基础上，重点研究美欧跨境数据流动监管机制的演化过程和最新进展，指出我国一方面要抓紧推出个人数据保护法，将跨境数据流动监管纳入其中，并落实企业在个人数据保护方面的义务，另一方面要积极参与国际上现有的跨境数据流动监管框架，通过各种双边和多边谈判，推动制定新的跨境数据流动规则。 　　关键词：跨境数据流动；个人数据保护；安全港；隐私盾 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）08-0052-03 　　云计算、大数据和移动互联网等新兴信息技术的发展和应用，一方面大幅改变了个人数据收集、检索、利用和传输的方式，另一方面也造成了各种个人信息安全侵害事件的频繁发生。在全球贸易和跨境电子商务蓬勃发展、跨境数据流动的地域越来越广，内容越来越丰富的大背景下，为进一步避免本国公民个人数据和企业商业数据被不当传输到信息安全保护机制不完备的国家或地区，愈来愈多的国际组织和国家出台跨境数据流动监管文件，比如美欧隐私盾协议和保护伞协议、俄罗斯限制跨境数据流动行为的数据本地化法律、澳大利亚禁止将能够识别个人的健康数据跨境流动、《中华人民共和国反恐怖主义法》、《中华人民共和国网络安全法》等。本文将对有效支撑互为对方最重要贸易伙伴的美国与欧盟长期开展跨大西洋贸易的跨境数据流动监管演化进行研究，以期为我国在下一步参与双边和多边的跨境数据流动监管谈判时提供借鉴。 　　1跨境数据流动的概念和内涵 　　关于跨境数据流动的概念和内涵，国内尚无法律依据，也无统一定义。因此，国际组织有关跨境数据流动监管的法律法规所下的定义，都有助于本文关于跨境数据流动概念和内涵的确定。跨境数据流动的概念最早出现在个人隐私和数据保护条款中，其英文是Trans-borderDataFlows。经济发展与合作组织（OECD）在1980年出台的《关于隐私保护和个人数据跨境流动的指南》中曾指出，个人数据跨境流动（Trcms-border，flows ofpersonal data）是指个人数据点到点的跨越国家、政治疆界进行传输（movements of personal data across national borders）。随着国家贸易的开展和跨境数据流动的日益频繁，跨境数据流动监管的范围已经不再局限于个人数据，而是包含商业数据、政府部门数据等更为多样的形式，因而其作用范围和外部影响也仅非局限于个人数据或隐私保护层面，更是上升到商业秘密、国家安全等高度。虽然跨境数据流动已经成为现代社会生存和发展的一个重要基础，在一定程度上促进了全球经济和国际贸易的发展，但也对部分国家的公民隐私、数据主权和国家安全产生了一定的危害。跨境数据流动监管是典型的多边、多学科交织的复杂领域，该问题至少涉及国际法学、国际政治学、国际关系学、管理学、计算机科学等学科，需要多学科人才来共同研究推进。 　　2美欧跨境数据流动监管的演化 　　美?W之间的跨境数据流动监管主要经历了三个阶段，第一阶段为《个人数据保护指令》生效后双方在2000年7月签署的安全港协议阶段，第二阶段为安全港协议被宣告无效后，“标准合同条款”和“约束性企业规则”发挥作用的过渡阶段，第三阶段为“隐私盾协议”和“保护伞协议”阶段。 　　2.1安全港协议阶段（2000年7月-2015年10月） 　　欧盟是以法律手段严格保护个人数据和隐私安全的区域，《个人数据保护指令》则是全球个人数据保护法律法规中最具影响力的法律。《个人数据保护指令》在第25条明确要求欧盟成员国在进行跨境数据传输时应遵循一系列重要原则，其中第1项规定，因数据处理而传输到第三国，或拟传输到第三国进行处理的个人数据，成员国应确保第三国在个人数据保护方面已经具备“充分性保护水平”，同时还应遵守指令中所规定的其他国内法律法规。当欧盟委员会或成员国认定第三国的个人数据安全保护措施不具备“充分性保护水平”时，成员国则应相互通报其情况。如果欧盟委员会根据第31条第2项规定，认为第三国采取的个人数据安全保护措施没有达到“充分性保护水平”，除所列举的豁免情况外，欧盟成员国应当采取必要的措施，防止同类数据传输到该第三国。虽然《个人数据保护指令》并没有对“充分性保护水平”的含义及其认定标准进行说明，但在第25条第2项对有关因素进行了说明，即“所有与跨境数据流动有关的情形，包括数据的性质、数据处理的目的、数据来源国及最终目的地国以及该第三国现行的有效法律规定及实行的行业规则及安全措施”等因素。 　　而美