欧盟@@数据@@流动@@范式的扩张以@@及中国的应对方案@@

作者@@：纪琳琳@@（上海@@对外经贸大学法学院硕士研究生@@）

　　要目@@

　　一@@、欧盟@@数据@@流动@@规则范式的构建@@

　　二@@、欧盟@@数据@@流动@@规则范式的扩张@@

　　三@@、欧盟@@范式扩张中中国的应对方案@@

　　四@@、结语@@

　　数据@@是@@@@21世纪的@@“新石油@@”。正如@@法律的生命在@@于经验@@，数据@@的生命在@@于流动@@，数据@@流动@@全球化是@@大势所趋@@。数据@@跨境流动规则的制度博弈@@，实质是@@数字市场的全球竞争@@。欧盟@@通过@@欧盟@@一@@般数据@@保护条例和@@非个人数据@@欧盟@@境内自由流动条例完成了个人数据@@和@@非个人数据@@的全类型数据@@流动@@立法@@。目前@@，欧盟@@在@@全球数字经济@@中的市场份额与其在@@@@数据@@领域构想的@@“欧洲中心主义@@”还尚不匹配@@，但欧盟@@通过@@构建高门槛高标准的数据@@跨境传输规则成功地向其他国家输出欧盟@@模式@@，使欧盟@@模式得以@@向世界范围扩张@@，进而深刻影响@@国际数据@@治理@@格局@@。对于欧盟@@范式扩张效应的产生@@，中国应客观审视和@@借鉴@@，同时@@@@构建本土规则@@，形成中国模式@@，建构数据@@流动@@法律的中国方案@@@@。

　　引言@@

　　欧盟@@模式着力于内部数据@@保护标准的统一@@@@，但对于非欧美国@@家而言@@，欧盟@@模式成为其与欧盟@@建立@@数字经济@@合作的一@@道壁垒@@。欧盟@@通过@@一@@般数据@@保护条例@@（gdpr）抬高市场准入标准@@，将不符合标准的国家和@@企业一@@律排除在@@外@@，并通过潜移默化地向外渗透欧盟@@模式@@，使其他国家的数据@@流动@@标准向欧盟@@靠近@@@@，潜移默化地将欧盟@@模式升级为一@@种范式@@，并不断地扩张其影响@@力@@，深刻影响@@着国际数据@@流动@@治理格局@@。

　　一@@、欧盟@@数据@@流动@@规则范式的构建@@

　　欧盟@@数据@@流动@@规则范式主要是@@围绕两条主线来构建@@：单一@@数字市场和@@技术主权@@。即对内要建立@@统一@@数字市场@@，加快欧盟@@整体数字化转型@@@@，发挥欧盟@@整体优势@@，争做数字化发展的领跑者@@；对外就是@@要在@@隐私安全得以@@确保的前提下实现@@“跨境数据@@自由流动@@”。除上述两条主线外@@，欧盟@@通过@@以@@下三@@种具体方式进行@@欧盟@@数据@@流动@@规则范式的构建@@@@：第@@一@@@@，进行@@gdpr有关数据@@跨境的制度设计@@；第@@二@@@@，提出@@充分性@@认定@@@@规则@@@@；第@@三@@@@，设立标准合同指引@@@@。

　　欧盟@@通过@@gdpr正在@@实现其数字单一@@市场的建设@@，同时@@@@通过@@gdpr的域外适用效力将与市场有关的社会和@@经济政策及监管措施外部化@@，使得欧盟@@内部标准具有外部影响@@力@@，通过这样的制度设计@@，欧盟@@在@@向其他国家及地区输出其标准@@，并在@@国际标准的制定的竞争上取得了先机@@，对全球的数据@@监管产生了深远的影响@@@@。

　　gdpr有关数据@@跨境的制度设计@@

　　gdpr第@@五章规定个人数据@@可以@@在@@欧盟@@@@成员国之间自由流动@@，没有任何限制@@，但是@@非欧盟@@成员国想要从欧盟@@成员国处获取个人信息数据@@@@，就需要达到适足性@@、充分性@@标准@@。如@@果欧盟@@数据@@保护委员会认定@@第@@三@@@@国对被转移数据@@的保护能够达到@@gdpr规定的标准@@@@，则其与欧盟@@成员国之间的数据@@转移不需要特意授权@@。相反@@，除上述情况外@@，欧盟@@数据@@保护委员会都需要对第@@三@@@@国的数据@@保护水平进行@@评估@@，主要评估包括第@@三@@@@国关于人权和@@自由的立法是@@否完备@@、是@@否加入并履行与个人数据@@保护相关的国际协定或承诺以@@及政府@@当局对于数据@@转移@@、数据@@控制的管理情况等在@@内的相关事项@@。显然@@，在@@数据@@跨境流动中@@，欧盟@@以@@充分性@@认定@@@@机制作为数据@@跨境流动的基准@@，当第@@三@@@@国对该数据@@的保护水平达到充分性@@要求@@@@，或者经过评估确认该国的数据@@保护水平能够达到与欧盟@@@@“实质等同@@”时@@，即能为提供数据@@的欧盟@@成员国提供的充分的保障@@，欧委会将发布对该国的@@“充分性@@”认定@@。此外@@，根据@@gdpr有关条文规定@@，若没有经过@@“充分性@@”认定@@，则需要提供一@@定保障措施@@，如@@制定具有约束力的合同条款@@@@、第@@三@@@@方认证等@@，但前提是@@上述保护措施需要得到国家数据@@保护机构的批准@@。最后@@，如@@果第@@三@@@@国既未进行@@@@“充分性@@”认定@@，又无法提供有效的保障措施@@，那么欧盟@@数据@@保护委员会将采纳列举方式公布可以@@转移的数据@@范围@@，此即@@“特殊情形下的义务克减@@”条款@@。

　　充分性@@认定@@@@规则@@

　　1995年@@数据@@保护令@@（data protection directive）出台@@，在@@第@@@@25条首次@@提出@@@@“充分性@@保护原则@@”的概念@@。鉴于出台@@的时@@间较早@@，数据@@保护令虽然提出@@对充分保护水平进行@@认定@@以@@及应当进行@@评估的事项@@，但没有提出@@具体@@、统一@@的方法和@@标准@@，仅仅是@@原则性规定@@，较为抽象@@@@，实际操作性不强@@，不能直接用于评估第@@三@@@@国对相关数据@@保护水平是@@否达到欧盟@@的要求@@@@@@。

　　2018年@@5月@@出台@@的欧盟@@一@@般数据@@保护条例在@@继@@承在@@先规定的充分性@@保护原则@@的基础上@@，明确了@@“充分性@@”的认定@@标准和@@实施条件@@。根据@@gdpr第@@45条的规定@@，充分性@@认定@@@@是@@指以@@第@@三@@@@国立法与法律实施情况@@、数据@@监管机构水平@@、加入个人数据@@保护的国际条约或多边协定情况等为评估标准@@，判定数据@@所转移至第@@三@@@@国对欧盟@@居民个人数据@@保护是@@否能够达到充分保护的水平@@，如@@能达到充分保护水平@@，则获准第@@三@@@@国与欧盟@@进行@@数据@@跨境传输@@。充分性@@认定@@@@规则@@被称为@@“欧洲个人数据@@跨境的签证@@”，获得充分性@@认定@@@@的国家与地区@@，视为与欧盟@@及其成员国具备同等的数据@@保护能力@@。

　　目前@@，世界范围内已有包括安道尔公国@@、阿根廷@@、泽西岛@@、以@@色列@@、瑞士与乌拉圭等在@@内的国家@@、地区以@@及相关组织通过充分性@@认定@@@@@@。在@@gdpr的跨境数据@@传输机制中@@，充分性@@认定@@@@机制要求@@各国对于个人信息数据@@的保护标准@@达到@@gdpr的标准@@，才能获得@@gdpr认定@@，这就导致那些想要获得认定@@的国家或地区在@@进行@@有关个人信息数据@@保护立法时@@向欧盟@@标准靠拢@@，进而扩张欧盟@@数据@@流动@@范式的辐射范围@@，如@@贝林@@、泰国@@、突尼斯@@、智利@@、巴西@@、加拿大等国更新了数据@@保护法或提出@@立法草案@@@@，究其立法模式和@@立法内容@@，明显深受@@gdpr影响@@。

　　上述国家之所以@@会采取与@@gdpr相似或相同的保护标准@@@@，原因有二@@@@：一@@方面@@，全球互联网@@产业十分集中@@，大多数国家都存在@@数字经济@@生产和@@消费失衡现象@@，故通过效仿欧盟@@严格的数据@@保护标准来约束和@@限制互联网@@强国的数据@@控制者或管理者@@；另一@@方面@@@@，欧盟@@本身就是@@一@@个巨大的商业市场@@，对于非欧盟@@国家极具吸引力@@，大多数非欧盟@@成员国都希望获得与欧盟@@进行@@数据@@流动@@的许可@@。此外@@，gdpr的影响@@力早已扩张到亚洲@@，以@@日@@本为例@@，其在@@@@2015年@@颁布的个人信息保护法就确立了类似的充分性@@认定@@@@机制@@。随着日@@本在@@数据@@跨境流动规则日@@益向欧盟@@趋同@@，其于@@2018年@@7月@@与欧盟@@签署经济伙伴关系协定@@，约定@@建立@@数据@@流通安全区@@，相互将对方的数据@@保护体系视为同等有效@@，这意味着欧日@@达成首个@@“对等充分性@@@@”协议@@。2018年@@9月@@，正式对日@@本进行@@充分性@@认定@@@@程序@@，并于次@@年@@@@1月@@通过了对日@@本的充分性@@认定@@@@@@，与此同时@@@@日@@本也作出对等的认定@@@@，从而形成世界最大的数据@@安全流通区@@@@，个人数据@@可以@@在@@两者之间自由流动@@。不妨设想一@@下@@，如@@果越来越多的国家@@，学习欧盟@@与日@@本之间的@@“成功经验@@”，那么在@@这些国家间将会形成欧盟@@主导下以@@欧盟@@数据@@保护标准为基础@@的数据@@安全流通区@@@@，gdpr的壁垒效果得以@@凸显@@，将不符合欧盟@@数据@@保护标准的国家一@@律被排除在@@外@@，这些国家将面临数据@@流动@@障碍@@，这时@@候阻碍这些国家数据@@流动@@的不仅是@@欧盟@@@@，而是@@其他国家与欧盟@@结成的@@“数据@@安全流通区@@”，进而深刻影响@@全球数据@@流动@@和@@数据@@管理@@@@。

　　标准合同指引@@

　　欧盟@@标准合同@@（standard contractual clauses）最早可以@@追溯到@@2001年@@，欧盟@@委员会首次@@推出了基于第@@@@95／46／ec号@@保护个人在@@数据@@处理和@@此类数据@@自动流动中权利的指令的标准@@合同条款@@@@scc2001c和@@scc2001p，后在@@@@2004年@@和@@@@2010年@@分别推出了两个新版本@@@@scc2004c和@@scc2010p（后者取代@@scc2001p）。gdpr的第@@@@5章对于从欧盟@@向第@@三@@@@国或国际组织传输个人信息进行@@了规定@@，确保自然人数据@@出境后受到的保护水平不会被减损@@。该章节为此设置了若干适当性保障措施@@，其中就包括欧盟@@委员会制定的标准@@合同条款@@@@。为了落实该章节中的要求@@@@@@，欧盟@@委员会于@@2021年@@6月@@4日@@通过@@“关于向第@@三@@@@国转移个人数据@@的标准@@合同条款@@的决定@@”。（“欧委会决定@@”），并将最新版本@@标准合同条款@@@@（“欧盟@@scc”）作为附件@@，取代之前所有的@@scc版本@@。

　　个人数据@@的跨境流动对于扩展国际贸易和@@国际合作是@@必要的@@，但这也引发了对个人数据@@保护的忧虑@@。根据@@欧盟@@@@95指令和@@@@gdpr要求@@，当个人数据@@从欧盟@@转移至位于第@@三@@@@国时@@@@，必须选择适当的合规路径@@，以@@确保对个人数据@@的保护水准不降低@@。目前@@，尚没有通用的最优路径@@，不同的企业应根据@@自身的数据@@流@@、业务模式和@@风险特点选择适当的合规路径@@。对互联网@@企业来说@@，可以@@通过用户点击来寻求用户同意@@，因而获取用户同意是@@最便捷的路径@@；对于拥有大量子公司的大型集团企业而言@@，制定适用于集团内部的统一@@规则并寻求欧盟@@监管机关认可是@@最优方案@@；而对于大量中小企业而言@@，标准合同条款@@可能是@@最好的选择@@。预先拟定的标准@@条款@@可以@@减少缔约成本@@，也有助于提升国际数据@@保护规定的一@@致性和@@可预知性@@。在@@全球数据@@保护统一@@规则缺失的情况下@@，标准条款@@合同成为不同国家之间在@@共同规则下进行@@数据@@移转的重要工具@@。

　　二@@、欧盟@@数据@@流动@@规则范式的扩张@@

　　欧盟@@模式的吸引力@@

　　首先@@，欧盟@@数据@@保护体系具有很强的可模仿性和@@兼容性@@，除少数个别国家外@@，对数据@@保护仍然处于空白的国家具有立法参照的吸引力@@，它深刻地影响@@着一@@些欧盟@@成员国以@@外的其他欧洲国家@@、南美国@@家以@@及部分非洲国家和@@一@@些亚太国家@@。比如@@巴西@@通用数据@@保护法@@、印度@@2019年@@个人数据@@保护法案@@（草案@@）都不同程度地借鉴了@@gdpr模式及其数据@@跨境传输规则@@。

　　其次@@@@，在@@数字时@@代@@，数据@@自由流动是@@繁荣贸易的基础@@。越来越多的国家期望通过数据@@保护推动本国数字经济@@和@@贸易发展@@。各国需要优质的个人数据@@以@@适应全球数字经济@@@@，这意味着不仅需要在@@境内加强个人数据@@保护@@，还需要在@@境外数据@@本土化的背景下支持自由跨境数据@@流动@@@@。各国积极与其他实行数据@@保护的国家和@@地区推动基于互惠原则的数据@@跨境传输@@，在@@与其他国家的自由贸易协定中也注重对跨境数据@@传输规定的补充@@。这种背景趋势下@@，拥有高标准的数据@@保护规则的欧盟@@毫不例外是@@一@@个最佳选择@@。

　　最后@@，目前@@的国际社会尚未达成一@@致的数据@@保护协议@@@@，各国的数据@@保护水平尚存偏差@@，但是@@越来越多的数据@@保护标准已经向@@gdpr靠近@@。正如@@韩国@@nohyoung park教授对韩国靠近@@欧盟@@模式原因的剖析@@，韩国若想在@@跨境数字贸易上成为有力的规则制定者@@，必须要在@@数据@@保护方面向高标准的数据@@保护规则靠近@@@@，制定有效的规则@@，在@@此基础上支持数字贸易的稳定运行@@。欧盟@@模式的这种吸引力一@@方面@@促进欧盟@@模式在@@其他国家的仿照适用@@，使得欧盟@@数据@@跨境规则更容易为其他国家接受@@；另一@@方面@@@@，这也为输出欧盟@@模式@@，使欧盟@@模式得以@@向世界范围扩张@@，进而深刻影响@@国际数据@@治理@@格局@@奠定基础@@。

　　在@@美国@@妥协中稳固@@

　　除直接全盘接受欧盟@@数据@@流动@@规则外@@，还有一@@种解决数据@@跨境流动难题的处理模式@@，是@@由特定的国家@@、地区直接与欧盟@@相关机构进行@@磋商并订立具有法律约束力与可执行性的数据@@保护协议@@@@，最为典型的便是@@欧美之间的合作与妥协@@。

　　1.美欧谈判的起始@@

　　最开始美国@@并未达到欧盟@@@@gdpr“充分性@@认定@@@@”的要求@@@@，但基于个人数据@@流动@@需要@@，美国@@主动就个人数据@@保护方面和@@欧盟@@进行@@谈判协商@@，并出台@@@@《安全港协议@@@@》（the eu-us safe harbor）作为应对措施@@。按照协议@@约定@@@@，美国@@企业只有@@通过规定的资格认证@@，或者能提供等同于欧盟@@数据@@保护标准的保护措施@@，才能获得@@欧盟@@成员国所保存@@、管理的个人数据@@@@。美欧签署@@《安全港协议@@@@》之初@@，阻碍美欧间数据@@流动@@的壁垒一@@扫而空@@，促使两大经济体之间的数字贸易交往十分密切@@、数据@@跨境流动畅通无阻@@，但随着时@@间推移@@，美欧对于个人信息保护基本立场的冲突逐渐显现@@，甚至愈发激烈@@，最后@@欧洲法院判定@@“2000／520号@@”欧盟@@决定无效@@@@，宣告@@《安全港协议@@@@》失效@@。《安全港协议@@@@》的失效@@并不出人意外@@，因为无论哪一@@项国际条约和@@协定的签署均以@@双方的共同期望和@@信任为基础@@@@，《安全港协议@@@@》也不例外@@，美国@@在@@签署@@《安全港协议@@@@》时@@，仅为解决当下难以@@从欧盟@@获取个人信息数据@@的问题@@，并非真正认同欧盟@@对于个人信息保护的标准@@@@。正所谓@@“道不同不相为谋@@”，美欧签署@@《安全港协议@@@@》仅能获得暂时@@性的和@@谐和@@数据@@流动@@@@，而它的失败@@是@@可以@@预见的@@。

　　2.美欧谈判的继@@续@@

　　继@@《安全港协议@@@@》失败@@，美欧就个人数据@@保护问题再次@@开展谈判@@，并最终于@@2016年@@签署@@《隐私盾@@协议@@@@》（the eu-us privacy shield），该协议@@为美国@@设定了更多@@数据@@保护方面的责任和@@义务@@。此外@@，根据@@《隐私盾@@协议@@@@》约定@@，如@@果欧盟@@成员国的数据@@主体@@如@@果对协议@@本身或执行不满@@，可以@@直接向本国的数据@@保护机关投诉@@，数据@@保护机关根据@@投诉进行@@调查@@，若查证属实@@，则有权作出中止数据@@流通的决定@@，这无疑是@@为欧盟@@境内数据@@主体@@提供了多重救济途径@@。欧盟@@成员国数据@@保护机关所享有这种决定权@@，对于美国@@来说@@，无疑是@@一@@个@@“定时@@炸弹@@”，时@@刻威胁着美欧双方数字经济@@合作的持续性和@@稳定性@@。而且@@，由于维护国家安全一@@直是@@美国@@发展理念的重中之重@@，相较于欧盟@@@@核心关注@@个人信息保护@@，美国@@对个人信息保护重视程度弱于国家安全@@，双方在@@核心利益上的差异使得@@《隐私盾@@协议@@@@》难以@@产生预期的效果@@。

　　即使美欧双方对@@《安全港协议@@@@》进行@@改进@@，来缓解欧洲法院对于个人信息保护不足的担忧@@，但又即将面临新一@@轮的法律挑战@@，上述改进也只是@@杯水车薪@@。2020年@@7月@@16日@@欧洲法院正式宣布欧盟@@@@——美国@@《隐私盾@@协议@@@@》无效@@，起因是@@@@max schrems向爱尔兰数据@@保护专员提起诉讼@@，认为@@facebook爱尔兰不能使用@@sccs作为数据@@转移机制@@，后爱尔兰高等法院将该案移交给欧洲法院@@，经过审理@@，最后@@做出了上述决定@@。欧洲法院认为@@@@《隐私盾@@协议@@@@》无效@@的理由有二@@@@：首先@@，依据@@《隐私盾@@协议@@@@》的规定以@@及美国@@基于国家安全考量进行@@的情报收集@@，个人信息数据@@完全有可能被@@cia、fbi等情报部门获取@@，从而造成个人信息数据@@的泄露@@，因此@@“隐私盾@@”协议@@并不能对个人信息达到预想的充分保护@@，同时@@@@，欧洲法院还发现美国@@立法中的隐私保护条款@@并未达到欧盟@@要求@@的标准@@@@；其次@@@@，在@@面对上述情形时@@@@，旨在@@处理欧盟@@成员国数据@@主体@@投诉的@@“隐私盾@@”监察员并不能采取有效措施@@，缺乏权威性和@@独立性@@，根本无法对美国@@有关部门进行@@调查和@@约束@@。《隐私盾@@协议@@@@》的失效@@使美欧之间的数据@@流动@@再次@@陷入了僵局@@，美欧之间产生严重的信任危机@@，双方也开始继@@续寻求新的契机@@。

　　3.美欧的第@@@@三@@次@@尝试@@

　　2022年@@3月@@，欧盟@@与美国@@宣布推出新的数据@@安全流动协议@@@@《跨大西洋数据@@隐私框架@@》（trans-atlantic data privacy framework）。云服务供应商纷纷对此表示欢迎@@。拜登总统在@@宣布这项框架协议@@时@@指出@@，该框架强调了欧美双方对隐私@@、数据@@保护和@@法治的共同承诺@@，它将@@“再次@@批准数据@@的跨大西洋流动@@，此举有助于为双边价值@@7.1万亿美元的经贸关系提供便利@@”。2022年@@12月@@，欧盟@@委员会启动了@@《欧盟@@——美国@@数据@@隐私框架充分性@@决定草案@@@@》（eu-u.s. data privacy framework）的推进进程@@，并且据欧盟@@委员会介绍@@，《草案@@》反映了其对美国@@法律框架的评估@@，并最终认定@@美国@@可以@@为从欧盟@@成员国转移到美国@@的个人信息数据@@提供同等于欧盟@@标准的保护@@。

　　从欧美之间数据@@流动@@合作中不难看出美国@@对欧盟@@的妥协@@，虽然美国@@数据@@自由流动的规则模式不会被欧盟@@模式改变@@，却也不能免于受其辐射影响@@@@，仅就这一@@点@@，对我国来说似乎具有一@@定的思考意义@@。

　　在@@区域谈判中扩张@@

　　欧盟@@对数据@@的严格保护标准为欧盟@@数据@@筑起了一@@堵高墙@@，能够获得欧委会@@“充分性@@认定@@@@”的国家并不多@@，但是@@欧盟@@又是@@一@@个拥有巨大数字市场的区域@@，因此@@许多国家不得不与欧盟@@展开区域谈判@@。

　　1.区域谈判的开端@@

　　第@@一@@@@个在@@区域谈判领域包含大量电子商务条款@@的协议@@是@@欧盟@@与智利@@于@@2002年@@签署@@的欧盟@@@@——智利@@双边贸易协定@@，协定中不仅约定@@双方进行@@电子商务合作@@，还将电子商务合作诸如@@信息技术@@、电信领域承诺以@@及服务章节等具体事项进行@@约定@@@@。此后@@，研究数据@@技术成为欧盟@@在@@电子商务领域创新的新重点@@，并作为是@@否与他国签署双边贸易协议@@的重要考量标准@@。在@@欧盟@@@@——智利@@双边贸易协定@@中@@，虽未直接提及个人信息数据@@保护@@，但实际上@@欧盟@@已经将数字经济@@贸易视为新的发展重点@@，必将涉及个人信息数据@@的保护@@。

　　2.区域谈判的增多@@

　　继@@欧盟@@和@@智利@@签署双边贸易协定后@@，双方在@@数字经济@@合作和@@电子商务领域都取得长足的进展@@，其他国家纷纷效仿@@，例如@@欧盟@@和@@韩国在@@@@2010年@@签署@@欧盟@@@@－韩国自由贸易协定@@、欧盟@@和@@加拿大在@@@@2017年@@签署@@欧盟@@@@——加拿大全面经济贸易协定@@。相较于欧盟@@@@——智利@@双边贸易协定@@，欧盟@@——韩国自由贸易协定@@在@@一@@定程度上借鉴了美国@@双边贸易协定范本@@，其不仅明确了@@@@wto协议@@可在@@哪些方面对电子商务措施进行@@规范@@，还制定出更为严格的个人新数据@@保护条款@@@@。一@@直以@@来@@，欧盟@@对于个人信息数据@@的保护非常重视@@，不断将关于个人信息数据@@保护的法律框架向与其签署双边贸易协定的国家扩张和@@推行@@，试图将其他国家拉入欧盟@@数据@@流动@@范式阵营@@。目前@@，世界各国在@@消费者保护@@、承认电子签名以@@及无纸化交易方面的合作越来越频繁@@，而欧盟@@@@－加拿大全面经济贸易协定@@为对电子商务领域作出更具体的规定@@，最终采取了负面清单方式@@，并在@@协定中就电子商务信任度和@@个人信息数据@@保护标准进行@@了约定@@@@。

　　此外@@，欧盟@@在@@和@@其他国家就电子商务和@@个人信息数据@@保护签署协议@@的同时@@@@@@，也积极参与跨大西洋贸易和@@投资伙伴协定的谈判@@。这些谈判和@@协议@@是@@建立@@在@@这些国家改变国内立法和@@政策的基础上@@，实现向欧盟@@模式靠拢@@。不妨设想一@@下@@，一@@旦越来越多的国家仿效欧盟@@数据@@保护规则@@，形成以@@欧盟@@数据@@保护标准为共识的数据@@自由流通区@@，那么不符合欧盟@@数据@@保护要求@@的国家将都被排除在@@外@@，面临数据@@流动@@的障碍@@，欧盟@@模式产生的壁垒效果将进一@@步扩散@@，进而深刻影响@@全球数据@@治理@@格局@@。区域谈判的进行@@和@@区域协议@@的达成@@，以@@循序渐进的方式进一@@步推广欧盟@@@@gdpr数据@@保护标准在@@全球范围内的接受程度@@，在@@可预见的未来@@，欧盟@@本身强大的经济影响@@力或吸引更多@@的国家和@@企业遵守其数据@@保护规则@@。

　　三@@、欧盟@@范式扩张中中国的应对方案@@

　　随着全球数据@@流动@@的不断加强@@，欧盟@@数据@@流动@@范式不断扩张@@，其他大国对数据@@跨境流动规则的博弈不断加剧@@，我国不断对外开放@@，需要提出@@符合中国特色的@@“中国方案@@”，依靠国内和@@国内两个大循环联动扩大我国数据@@跨境流动规则影响@@力@@，建立@@数字跨境流动@@“朋友圈@@”。

　　截至目前@@@@，国家安全和@@执法便利仍是@@我国数据@@跨境流动管理的主要目@@标@@，尚未将加强数字服务贸易交流@@、促进数字企业全球化发展纳入管理目标@@。在@@数据@@流动@@全球化的背景下@@，这显然@@是@@不利于扩大我国数据@@跨境流动规则@@，以@@及维护我国数据@@主权@@。在@@我国签署的所有贸易协定中@@，只有@@rcep涉及数据@@跨境流动@@，并且该规定也仅是@@原则性@@，较为模糊@@、抽象@@，不能通过争端解决机制获得救济@@。同时@@@@，欧美国@@家不断对数据@@主张长臂管辖权@@，而我国受制于现行的数据@@流动@@规则的限制@@。一@@方面@@，难以@@协议@@方式与欧美国@@家进行@@数据@@传输@@，另一@@方面@@@@，还可能面临@@“规则排除@@”的不利境地@@。近年@@来@@，部分国内企业基于商业目的进行@@的数据@@跨境流动引起欧美国@@家的指责@@，就是@@很好的例证@@。欧盟@@以@@很小的市场份额@@，却利用其法律制度领域的传统优势@@@@，一@@跃成为大多数国家制定国内立法的@@“标杆@@”。

　　结合当前欧盟@@数据@@流动@@范式不断扩大@@，立足我国目前@@数据@@跨境管理现状@@，下文提出@@我国应采取何种应对措施@@。

　　提高中国数据@@保护水准@@

　　欧盟@@的充分性@@认定@@@@标准@@，实际上@@是@@将欧盟@@的法律框架强加给其他非欧盟@@国家@@，我国对此不能全盘接受@@，但这并不意味着不能吸纳欧盟@@法律中的可取之处@@。基于我国数字经济@@的领先地位@@，存在@@一@@批市场规模较大@@、技术先进以@@及发展良好的企业@@，对于这些企业@@，可以@@按照其所在@@行业和@@特点进行@@分类@@，并将相同或类似的企业集中到一@@起@@，借鉴欧盟@@个人信息数据@@保护项下的立法@@，专门设立能够满足我国和@@欧盟@@需要的标准@@协议@@框架@@，另外再从国家层面与欧盟@@签署双边协议@@以@@保证前述协议@@的有效与执行@@。

　　丰富外部合作机制@@

　　一@@方面@@，中国要加强中欧合作@@，继@@续保持@@“中欧对话@@”的传统优势@@，继@@续推进与欧盟@@之间的数字经济@@合作@@，在@@抵御欧盟@@规则条款@@影响@@力的同时@@@@积极向外展示强大的数字经济@@实力@@。另一@@方面@@@@，我国应积极参与区域数字经济@@合作和@@区域数字信息保护@@，努力建设我国的数据@@保护@@“朋友圈@@”，应当深入分析@@gdpr的具体内容@@，提出@@针对性的申请意见@@，参与区域性数据@@流动@@规则体系建构@@。

　　建立@@多方安全计算与区块链结构@@

　　面对欧盟@@数据@@流动@@范式@@，我国应通过借助新兴技术@@，开展多方安全计算架构@@，搭建新平台@@@@，提升数据@@应用技术水平@@，实现数据@@利用和@@数据@@保护的动态平衡@@。对于我国企业而言@@，更应将多方安全计算与区块链等新兴安全技术引入到企业内@@，在@@保证数据@@正常利用的同时@@@@@@，保护本企业所收集@@、保存的个人信息@@。在@@具体实践中@@，参考@@gdpr的保护标准@@，搭建符合我国特色的多方安全计算与区块链技术结构@@，并将该架构用于数字贸易活动@@，以@@实践来验证该架构的合理性以@@及不足之处@@。

　　提出@@数据@@跨境流动的@@“中国方案@@”

　　中国是@@数据@@资源大国@@，在@@不能全盘接受欧盟@@法律规制框架的前提下@@，立足我国基本情况@@，寻求本土规则@@，建立@@“中国方案@@”，是@@中国数据@@保护发展的重中之重@@。欧盟@@模式并非最佳方案@@，不仅审慎分析欧盟@@法律规制框架的潜在@@风险@@，对于数据@@保护标准条款@@@@、充分性@@认定@@@@等具有欧盟@@特色的法律工具@@，更要慎之又慎@@。中国数据@@保护的重心在@@于本土数据@@的对外流动控制@@，不仅要避免陷入个人信息数据@@保护标准的恶性竞争@@，还有要在@@全局上统筹@@，在@@聚焦个人信息数据@@保护的同时@@@@时@@刻关注@@非个人信息数据@@的流动@@，积极探索并建构价值中立@@、适宜法律趋同的法律工具@@。

　　2022年@@7月@@7日@@，国家互联网@@信息办公室公布@@《数据@@出境安全评估办法@@》，标志着我国数据@@出境管理制度取得重大进步@@，但这仅仅是@@数据@@跨境流动@@“中国方案@@”的一@@部分@@，还是@@远远不够的@@，仍然需要做好以@@下几点@@：第@@一@@@@，以@@《全球数据@@安全倡议@@》为基础@@，立足我国数据@@执法@@、数据@@管理@@、数据@@安全等重要情况@@，研究分析@@gdpr的潜在@@不利风险予以@@自警@@，提出@@“中国版@@”解决方案@@，原则上可以@@@@“准许流动为主@@+本地化为辅@@+安全评估例外@@”为主要模式@@，对以@@商业为目的数据@@流动@@@@，可放宽本地化要求@@@@，实现针对不同情况予以@@不同的管理标准@@，实现张弛有度@@，有的放矢@@。第@@二@@@@，将与重要贸易伙伴签订双边或多边协议@@作为突破口@@，其中以@@与我国贸易交往密切@@、政治信用好@@、发展潜力大为首选对象@@，为我国数据@@跨境流动@@“朋友圈@@”扩容@@，在@@抵御欧盟@@数据@@流动@@规则范式不断扩张的同时@@@@主动出击建立@@我国自己的数据@@流动@@规则@@并加以@@推行@@。第@@三@@@@，确保我国国内立法与对外谈判需要相衔接@@，如@@：有关个人信息保护@@、数据@@安全的立法@@，避免出现@@“两张皮@@”。此外@@，进一@@步完善数据@@分类管理机制@@，具体体现为将数据@@按照重要程度进行@@分类@@，并按照分类执行严格标准不同的管理方式@@，但需要注意@@，并不能因管理数据@@跨境流动的需要@@，过分限制非敏感数据@@的流动@@，否则将不利于科学研究和@@信息互通@@。第@@四@@@@，鼓励@@“先行先试@@”，尤其是@@在@@自贸港和@@自贸区进行@@数据@@安全流动区域性改革@@，并支持浙江@@、深圳@@、海南@@、上海@@、北京等国内经济发展较好地区推进数据@@跨境流动安全管理试点@@，不断总结出@@“中国方案@@”。

　　四@@、结语@@

　　强化数据@@保护是@@互联网@@时@@代下的大势所趋@@，也将必然成为新一@@轮全球规则制定的焦点@@，长期的立法实践和@@完善的监管体系使得欧盟@@数据@@规则模式具备一@@定的可行性@@，其强调数据@@保护的特色使得世界诸多国家仿效@@。欧盟@@数据@@流动@@规则模式是@@欧洲建立@@数字欧洲的手段@@，是@@为了形成欧洲本土优势@@，打造欧洲式规则@@，并试图将这种规则上位成一@@个全球性的隐私保护规则@@。当各国或地区因为各种原因而纷纷靠近@@或者接受欧盟@@的规则之后@@，那么欧盟@@就彻底获得了在@@数字贸易数字经济@@这个领域的领先地位@@，并且不断在@@该领域巩固和@@强化其领导地位@@。欧盟@@通过@@建立@@数据@@流动@@规则范式@@，设置诸多双边数字经济@@合作门槛@@，将诸如@@合规成本飙升@@、数据@@控制责任过严等不利经济后果中很大一@@部分将由欧盟@@外的数字经济@@大国负担@@。实际上@@，自欧盟@@出台@@@@gdpr，facebook和@@谷歌因为在@@分享@@用户数据@@方面面临诉讼@@，可能遭受高达@@30多亿欧元的罚款@@。无独有偶@@，marry meeker也在@@近期发布的互联网@@趋势报告中说明@@，gdpr附加给个人数据@@管理@@者和@@控制者的义务过重@@，繁重的义务必将阻碍个人数据@@管理@@者运用和@@管理数据@@@@。

　　一@@方面@@，我国要慎重对待欧盟@@关于个人数据@@流动@@执法@@，尽可能通过国际磋商和@@政治谈判方式解决我国法律与@@gdpr之间的冲突@@，进而帮助我国企业在@@欧盟@@@@国家以@@及和@@欧盟@@达成@@“对等充分性@@@@”协议@@国家的经营发展@@；另一@@方面@@@@，在@@保持数字经济@@领先地位的同时@@@@@@，建立@@我国自己的数据@@流动@@规则@@。最后@@，可以@@对欧盟@@范式扩张这一@@效应进行@@思考与借鉴@@，从内部立法与外部合作两个方面做出调整@@，并保留本土优势@@，在@@国际舞台上表明我国在@@数据@@跨境流动领域的态度和@@立场@@，提出@@“中国方案@@”。

更多@@精彩@@，请关注@@@@“官方微信@@”