跨境数据转移的国际规制及中国法律的应对
——兼评我国《网络安全法》上的跨境数据转移限制规则

张金平

(北京大学法学院，北京 100087)



跨境数据转移的国际规制及中国法律的应对
——兼评我国《网络安全法》上的跨境数据转移限制规则

张金平

(北京大学法学院，北京 100087)

在国家层面，世界上近七十个国家基于GATS隐私例外条款依法限制跨境数据转移：假定第三国的数据保护水平不及本国，如果企业将数据从本国转移到第三国，则属于规避本国法律，应当予以限制；在具体操作上，有第三国适当性评估、数据控制者担保和数据主体的同意等三种模式可供选择。在国际层面，OECD指南和《APEC隐私框架》均为推荐性指南，而TPP、TTIP和TISA在跨境数据转移方面搁置争议、回归GATS规则基本成为定局。在这一背景下，我国《网络安全法》在跨境数据转移规制方面比较好地做到了消费者利益、产业利益和国家安全利益的平衡；国内市场和国际市场的平衡；国内立法和国际规则的平衡。

隐私；国家安全；个人数据；跨境数据转移；国际规则；网络安全法

在全球化和数字化背景下，个人数据跨平台、跨法域的收集、存储、处理、使用和转移已经成为常态。跨境数据流动有利于促进技术的革新、经济的发展以及缩小各国的经济文化差异，甚至有利于打击跨国犯罪和恐怖主义。然而，企业进行个人数据转移也可能是为了规避本国保护个人数据方面的法律，并滥用这些数据侵害相关主体的个人数据权或隐私权，甚至，这些数据可能被第三国政府用于跨国情报监听。因此，出于对公民合法权益的保护、企业的监管以及国家安全的考虑，世界各国大多对个人数据进行不同程度地立法保护，限制个人数据的跨境转移。例如，欧盟1995年《数据保护指令》(以下简称：《指令》)和2016年《通用数据保护条例》(以下简称：《通用条例》)都明确限制跨境数据转移。在此种立法压力下，为了本国企业在欧盟的利益，美国政府于2001年和2016年先后被迫向欧盟委员会妥协，签订安全港框架协议和隐私盾协议。又如，我国的全国人大常委会在2015年7月和2016年6月先后发布《网络安全法》草案一稿和草案二稿，其中规定企业在中国境内存储个人数据，经安全评估后方可跨境转移。2016年11月7日，全国人大常委会通过了我国《网络安全法》，该法第37条保留了草二稿第35条提供的方案，规定关键信息基础设施的运营者因业务需要，确需向境外提供个人信息和重要数据的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。

考虑到不少外国企业和部分政府对于上述方案仍有若干批评意见，*See United States Council for International Business, Aug. 2016 Letter on PRCG Cybersecurity Regulations, available at http://www.uscib.org/uscib-content/uploads/2016/08/Aug-2016-Letter-on-PRCG-Cybersecurity-Regulations-final-EN.pdf, last visited Oct. 22, 2016.笔者于本文中拟结合关于跨境数据转移的现有国际规则以及未来十年内可能的发展趋势，尝试从国际法和国内法相交错的视角客观评价我国《网络安全法》的有关规定，并就未来关键信息基础设施运营者的跨境数据转移的安全评估办法的制定提出若干建议。

一、跨境数据转移国际规制的缘起

通常而言，跨境数据转移是指数据在不同法域之间流动。*European Union Agency for Fundamental Rights, the Council of Europe and the Registry of the European Court of Human Rights, Handbook on European Data protection law, Publications Office of the European Union, 2014, p.130. See also Christopher Kuner, Transborder Data Flows and Data Privacy Law, Oxford University Press, 2013, p.11.使用“转移”的称谓，主要是考虑了数据流动中涉及的两个不同法域下的不同主体。跨境数据转移面临的问题，主要是指数据出口国(数据流出国)和数据进口国(数据流入国)之间对于数据保护和数据跨境监管的法律冲突与调和。

(一)欧美经济政治博弈所引发的法制变革

二十世纪七十年代，美国的阿帕网开始由军用转为民用，逐渐发展成为人们熟知的互联网。美国的IBM等公司依靠其技术和商业优势在世界各国(尤其是欧洲发达国家)开展跨国业务，每年出口超过120亿美元的计算机设备和系统，并通过这些设备和系统形成的局域网及互联网，收集、存储和跨境转移大量数据，掌握其他国家绝大多数的政府机构、企业、科研机构、个人的信息，抢占了全球与计算机有关产业的半壁江山。*Garry S. Grossman, “Transborder Data Flow: Separating the Privacy Interests of Individuals and Corporations”, 4 Nw. J. Int'l L.&Busi. 1, 4 (1980).对此，欧洲共同体委员会在1973年指出，在数据处理产业，欧共体内部还没有足够大的公司(即使是最大的几家大公司合并仍不够大)能够与美国第二梯队的公司进行竞争，更别说与美国处于第一梯队的IBM公司竞争。*Commission of the European Communities, Towards a European Policy on the EDP Industry, III/1005/73-E, p.10 (1973).欧共体理事会在1974年指出，目前全世界数据处理产业的结构很不平衡，欧共体内部的数据处理应用令人堪忧，因此有必要在进出口信息处理系统、航空管制数据处理系统、计算机辅助设计等数据处理行业进行重点投入，并且在欧共体内部采取统一的数据处理政策，争取在二十世纪八十年代建立起欧共体强大的计算机相关产业。*EC Committee of Economic and Monetary Affairs, Report on the Communication from the Commission of the European Communities to the Council (Doc. 21/75) Containing Initial Proposals for Priority Projects in Data Processing, PE 40.502/fin, p.11 (1975).事后看，欧洲方面的担心并不是杞人忧天——2013年的“棱镜门事件”便是最好的证据。

1.美国反对欧洲各国制定个人数据保护法限制数据转移

面对前所未有的挑战，欧洲各国纷纷开始思考法制应对之策。

前西德的黑森州在1970年通过世界上第一部《数据保护法》，并成立数据保护委员会，专门监管黑森州政府官方文件(但不适用于个人文件)的存储、传输，防止非法地获取、修订和破坏。*Electronic Privacy Information Center, “Computers and Privacy: The Reaction in Other Countries”, available at https://epic.org/privacy/hew1973report/appenb.htm , last visited June 26, 2016.由此可见，前西德的数据保护法其实是倾向于从政府安全的角度进行立法。该法通过后，前西德其他州也相继通过类似的法律。

瑞典在1973年选择从保护个人数据的角度通过《瑞典数据保护法》。该法是世界上第一部明确限制个人跨境数据转移的法律：设立瑞典数据监管委员会，所有自动处理个人数据的计算机系统须经数据监管委员会许可后才能设立，所有跨境数据转移都必须事先获得数据监管委员会的批准。同时，该法还首次明确赋予个人数据权，包括知情、同意权，获取、修订权。*Ibid.这部法律不仅限制美国企业处理瑞典公民的个人数据，也给瑞典公民个人在互联网上开展活动(如设立BBS)设置了障碍，因此受到很多自由言论人士的诟病。

法国议会在1972年曾提议进行个人数据保护立法，但当时法国国内对于《法国民法典》第9条规定的隐私权与计算机处理的个人数据之间的关系并没有达成共识：民法典的隐私权范畴只是由法院来界定的，而在实践中个人能够对计算机处理的个人数据提出何种主张并不确定。*Ibid.直到1978年，法国才通过《信息技术、数据文件与民事自由法》，首次超越《法国民法典》有关隐私的规定，明确赋予法国公民对其个人数据享有系列权利：知情同意权、反对权、获取权、修改权、被遗忘权(the right to be forgotten)。数据控制者收集和处理个人数据必须基于合法目的，且事先获得数据主体的同意。*Library of Congress of United States, “Online Privacy Law: France”, available at http://www.loc.gov/law/help/online-privacy-law/france.php#_ftn1 , last visited June 26, 2016.

之后，丹麦、奥地利、挪威、卢森堡、英国、葡萄牙、西班牙、比利时等国都从个人数据保护的角度、相继出台了个人数据保护法，并以明示(如瑞典)或默示(如法国)的方式限制数据的跨境转移。

欧洲国家选择以个人数据保护为由限制数据的跨境转移，引起了美国企业界和政府的强烈反对。对于美国企业而言，数据就是金钱，切断数据流动就等于扼住美国企业的喉咙。*Jane A. Zimmerman, “Transborder Data Flows: Problems with the Council of Europe Convention, or Protecting States from Protectionism”, 4 N.W. J. INT'L L. & Bus 601, 604-605 (1982). See also The Economist, Data, Data Everywhere: A Special Report on Managing Information, February 27, 2010.美国驻经济合作与发展组织代表黛安娜·杜根曾这样指责欧洲国家的有关做法：“如果这些数据立法的目的是为了保护公共秩序、财产权或扼制潜在竞争对手其它方面的发展，那么这些目的都应当在立法中直接进行明确。我们不接受以‘保护文化完整性’等借口进行信息控制，特别是这些立法常常只是经济保守主义或是言论监控的幌子。我们认为，信息跨境自由流动是民主社会的传统，我们的法律制度应当设计为鼓励信息自由获取、限制信息滥用。”*Diana Lady Dougan, OECD Second Symposium on TBDF, in London, England 11-13 (Dec. 1983), quoted in Ronald Wellington Brown, “Economic and Trade Related Aspects of Transborder Data Flow: Elements of a Code for Transnational Commerce”, 6 NW. J. INT'L L. & BUS. 1, 20 (1984).

2.OECD指南的有限协调

由于各国经济发展越来越受跨境数据转移的影响，欧洲各国不同数据保护法不仅给这些国家与美国的跨境数据转移造成影响，也限制了欧洲国家之间的数据转移。因此，欧共体委员会在1976年就开始召集各成员国在经济合作与发展组织(OECD)的代表，共同研究解决方案。*EU Commission, Report Concerning the Developments in the Data-Processing Sector in the Community in Relation to the World Situation, Volume III, COM (76) 524 final Vol. III, 27 October 1976.欧洲各国在欧共体委员会的组织和努力下，联合加拿大和澳大利亚等国，于1980年使《关于隐私保护和个人跨境数据转移的指南》(以下简称：OECD指南)得以通过。

OECD指南包括5部分22条。第1部分为一般条款，规定该指南为数据保护的最低标准。第2部分规定成员国内部适用层面的8大数据处理原则，包括限制收集原则、数据质量原则、目的明确原则、使用限制原则、安全保障原则、透明原则、个人参与原则和责任原则。第3部分规定国际适用层面数据跨境自由流动和正当限制的基本原则：成员国应当避免以隐私保护和个人自由为名义出台立法或政策限制数据的自由流动；但特殊情况下可以限制跨境数据转移。所谓特殊情况，指的是成员国认为其他成员国未对特定类型数据采取同等保护。

实践中，虽然欧共体委员会及其成员国对OECD指南充满希望，但它仅是推荐性指南，并没有强制力，无法真正统一欧洲各国的立法，美国也未采纳它。

为了坚定欧洲各国的立场、进一步协调欧洲共同体成员国的数据保护立法，欧共体理事会在1981年出台《关于个人数据自动处理过程涉及的各国监管机构与跨境数据转移的个人保护公约》(以下简称：欧共体公约)。与OECD指南不同的是，该公约对欧共体成员国具有约束力，其内容简短，目的明确。该公约仅3条，其第2条规定向非成员国进行跨境数据转移的前提是该非成员国对个人数据提供了适当保护；所谓适当保护的评估，成员国当局既可以根据非成员国的立法确定，也可以通过对数据转移合同条款的评估而决定。从效果上看，该公约强化了欧洲国家对于数据跨境流动的立场，也导致欧美在数据跨境问题上的分歧越来越大。尽管如此，欧共体议会下设的法律委员会仍不满意。在1981年12月，该委员会建议欧共体议会考虑，“将个人数据保护的权利以一种人权明确规定在《欧洲人权公约》第六议定书的可行性和必要性。基于OECD指南和欧共体公约，我们已经采取了具体措施来协调成员国数据保护法，下一步就要考虑欧共体层面是否有必要出台更强有力的法律”。*Legal Affairs Committee of European Parliament, Second Report on the Protection of the Rights of the Individual in the Face of Technical Developments in Data Processing, 1981-1982 Eur. Parl. Doc. (No.1-548) (1981), quoted in Ronald Wellington Brown, supra note 11, p.23.

(二)WTO隐私保护例外条款及其对各国法制变革的影响

在国际法律层面，欧美之间的分歧并没有得到有效解决。然而，这种通过个人数据保护限制跨境数据转移的做法，在1994年WTO框架下的《服务贸易总协定》(GATS)中得到了明确——成员国可以隐私保护为由限制跨境服务贸易。

1.GATS隐私保护例外条款

GATS是第一个规范跨境服务贸易的国际条约，目的在于协调各成员国在服务贸易方面的法律和政策，在适用范畴上覆盖了除政府部门提供的服务和空运服务之外的其他所有服务，其成员国达到140多个。GATS将服务细分成四种形式：跨境交付；境外消费；在他国设立商业存在；通过派遣职员到他国提供服务。因此，电子商务自然被纳入其中。成员国一旦以积极列表的方式承诺了纳入GATS规制的服务，就受到GATS的管辖。

由于跨境服务贸易政策不可避免地涉及成员国的主权和国内政策，GATS第14条“一般例外”条款规定了成员国可以在一定条件下——“如果下列措施的实施在相同情况的国家间不构成任意的或者无端的歧视，或者不构成变相的服务贸易限制”——采取的四大类措施：(a)为保护公共道德或维持公共秩序的必要措施；(b)为保护人类、动物、植物的生命和健康而采取的措施；(c)为了确保与本协定不会构成不一致的法律或法规得到遵守所必需采取的措施；(d)虽然与第17条不一致，但该措施针对另一成员国的服务或服务提供者收取公平有效的直接税收，以及虽然与第2条不一致，但该措施涉及的不同待遇是为了避免双重课税。GATS第14条第(c)款又细分了三种可采取例外措施的情形：(1)防止欺诈或处理服务合同违约而产生的影响；(2)保护数据处理和传播中的个人隐私和个人记录及账户的保密性(以下简称：“隐私例外条款”)；(3)安全(以下简称：“安全例外条款”)。

由此可见，欧洲各国在欧共体委员会的联合组织下，成功通过WTO“一国一票”的投票规则，将成员国对数据处理和传播过程中的个人数据保护立法转变为一种合法限制国际自由贸易的措施。

2.欧盟《关于个人数据自动处理和自由流动的个人保护指令》及其影响

基于GATS隐私例外条款提供的国际法依据，以及欧盟经济一体化的目标，欧盟在1995年快速通过了《关于个人数据自动处理和自由流动的个人保护指令》(以下简称：《指令》)，名正言顺地限制成员国向非成员国的跨境数据转移。

《指令》以法国数据保护法和OECD指南为蓝本，分8章34条。其第2章规定合法处理个人数据的基本原则：合法处理原则；目的限制原则；同意处理原则；敏感信息特别处理原则；处理与言论自由冲突时的比例原则；透明原则；保密处理和安全处理原则。其第4章规定数据向非成员国跨境转移的规则。《指令》大大强化了欧盟各国个人数据的保护水平，明确了成员国必须设立数据监管部门进行个人跨境数据转移的事先审查制度和批准制度。《指令》对欧盟28个成员国有约束力，各成员国必须通过国内立法予以执行。

不仅如此，《指令》还掀起了其他国家和地区进行数据保护立法的新浪潮。据不完全统计，除了欧盟成员国执行《指令》之外，冰岛、阿根廷、墨西哥、毛里求斯、韩国、日本等七十多个国家和地区参考《指令》制定了有关数据保护的规定。*Christopher Kuner, “Regulation of Transborder Data Flows under Data Protection and Privacy Law: Past, Present, and Future”, TILT Law & Technology Working Paper, No.016/2010, p.5. See also Baker & McKenzie Global Privacy Handbook 2016.有69个国家和地区的有关数据保护的规定明确限制跨境数据转移：欧盟28个成员国、3个欧盟经济区国家(冰岛、挪威、列支敦斯登)、欧洲14个其他国家和地区(瑞士、卢森堡、圣马力诺、阿尔巴尼亚、安道尔、波黑、克罗地法罗群岛、根西岛、马恩岛、泽西岛、马其顿、摩尔多瓦、摩纳哥、塞尔维亚)、北美洲3个国家(加拿大、巴哈马、墨西哥)、南美洲3个国家(阿根廷、哥伦比亚、乌拉圭)、非洲6个国家(贝宁、布基纳法索、毛里求斯、摩洛哥、塞内加尔、突尼斯)、亚洲10个国家和地区(亚美尼亚、迪拜自贸区、以色列、马来西亚、韩国、我国台湾地区、我国香港特别行政区、我国澳门特别行政区、俄罗斯)、大洋洲2个国家(新西兰、澳大利亚)。由此，《指令》被称为世界数据保护立法的引擎。*Birnhack, Michael, “The EU Data Protection Directive: An Engine of a Global Regime”, Computer Law & Security Report, Vol. 24, No.6, 2008. See also Gregory Shaffer, “Globalization and Social Protection: The Impact of EU and International Rules in the Ratcheting Up of U.S. Privacy Standards”, 25 Yale J. Int'l L. 1, 4 (2000).

二、各国跨境数据转移限制的立法模式及其利弊

纵观世界各国数据限制性立法，其背后的基本逻辑都是推定第三国的个人数据保护水平没有达到本国的同等水平，进而以保护个人数据为名限制数据的跨境转移，认为如果企业将个人数据从本国转移到第三国就构成规避本国法律。因此，为了支撑这个假定，世界各国在进行数据保护立法时，基本上都援引宪法，欧盟更是将个人数据权独立于隐私权而直接规定于《欧盟基本权利宪章》第8条。

虽然限制跨境数据转移的假设性前提是第三国的个人数据保护水平不及本国，但全球化背景下企业进行跨境数据转移却是国际贸易的必然需求。事实上，完全禁止跨境数据转移并不现实，也无法操作，而且还背负经济保护主义的骂名。因此，各国在限制跨境数据转移的时候，也提供了推翻这个假设性前提的不同机制：一是本国对第三国的个人数据保护水平进行适当性评估；二是数据出口者担保数据进口者遵守本国个人数据保护法；三是数据主体通过同意等方式自愿放弃在第三国享受等同本国保护水平的待遇。具有代表性的国家和地区限制跨境数据转移的立法模式有以下三种。

(一)第三国适当性评估模式

《指令》第四章专门规定个人数据向非成员国跨境转移的规则。其第25条规定，成员国必须确保跨境数据转移的前提是第三国为个人数据提供了适当水平的保护，第三国适当性评估由欧盟委员会根据第三国的所有情况(包括国内法、国际承诺、与欧盟委员会关于适当性谈判的结果)以决议形式作出。

实践中，欧盟委员会的评估非常严苛，目前仅有11个国家和地区获得适当性评估：安道尔、阿根廷、加拿大、瑞士、法罗群岛、根西岛、马恩岛、泽西岛、以色列、新西兰、乌拉圭东岸共和国。另外，美国商务部在2001年通过与欧盟委员会签订安全港框架协议而被认定为通过了适当性评估。不过，“棱镜门事件”之后，欧盟法院通过施姆雷斯案判决该协议无效。*Case C-362/14 Maximillian Schrems v Data Protection Commissioner.2016年2月2日，美国商务部进一步向欧盟委员会让步，签订隐私盾协议。*European Commission, Restoring Trust in Transatlantic Data Flows through Strong Safeguards: European Commission Presents EU-U.S. Privacy Shield, IP/16/433.

此后，欧盟于2016年4月27日通过替代《指令》的《通用条例》，进一步强化了第三国适当性评估的要求。《通用条例》第45条详细规定了欧盟委员会对第三国进行适当性评估时应当考虑的因素：一是第三国的法治情况，包括了是否尊重人权、是否有具体立法保护个人数据、是否有跨境数据转移规则、对个人数据权保护的执法和司法情况等；二是否有专门机构负责数据保护的执法；三是已经缔结的、涉及个人数据保护的多边条约或双边条约。

欧盟的适当性评估的标准非常抽象和主观，因此受到不少学者的诟病。例如，欧盟隐私法专家库勒指出：“外界普遍认为欧盟做出适当性评估的程序过于繁琐和低效，自《指令》生效十多年以来只有少数几个国家或地区通过适当性评估。另外，在评估第三国是否符合适当性要求时还加入了政治因素的考虑。”*Christopher Kuner, supra note 14, p.39.

(二)数据控制者担保模式

俄罗斯和澳大利亚都是《APEC隐私框架》(APEC Privacy Framework)的成员，不同程度上执行该框架采取的有关跨境数据转移的数据控制者担保模式(《APEC隐私框架》属推荐性协议)。

澳大利亚1988年的《隐私法》禁止跨境数据转移(仅有个别例外)，但澳大利亚政府发现这样的做法无法适应日新月异的电子商务发展趋势，*Keynote Address by Ms Hilary McGeachy from Australia Department of Foreign Affairs and Trade, WTO Workshop on E-Commerce, in Geneva, 17-18 (Jun. 2013).于是在2006年修订该法时增订了跨境数据转移的机制。修订后的澳大利亚《隐私法》编目一第三部分第8.1条规定，数据控制者在向第三国数据接收者转移个人数据之前，原则上必须采取“在当时情况下所有合理措施”确保第三国接收者并没有违反澳大利亚隐私原则(透明原则除外)。对于“在当时情况下所有合理措施”的理解，澳大利亚信息局局长办公室发布的《澳大利亚隐私原则指南》(2014版)指出：“这是一个客观标准，而且是数据控制者有责任去判断是否采取了所有的合理措施。”*Office of the Australian Information Commissioner, Australia Privacy Principles Guidelines (Chapter B: Key concepts), 2014, p.22.实践中，这一标准应当具体如何操作，以及这种担保模式的效果，目前尚不清楚。*贝克·麦肯锡律师事务所在2016年发布的《全球隐私指南》中指出，数据控制者进行数据转移登记可以满足采取“合理措施”的要求。See Baker & McKenzie, supra note 14, p.24.

俄罗斯2006年通过的《个人数据保护法》第12条第1款规定，数据向第三国转移的，数据控制者应当确认第三国提供了“充分水平的保护”。至于何为“充分水平的保护”，该法并未加以明确。不过，俄罗斯信息监管局在2013年公布，只要第三国是欧共体公约的签约国，或者是进入该局特别列明的国家名单，都属于提供充分水平保护的国家。*See The Order of the Federal Service for Supervision of Communications, Information Technology and Communications of March 15, 2013 No.274, quoted in Zharova Anna, “The salient features of personal data protection laws with special reference to cloud technologies: A comparative study between European countries and Russia”, Applied Computing and Informatics, Vol. 12, No.1, p.8 (2016).值得注意的是，该法第12条第2款还规定，即使第三国提供了充分水平的保护，俄罗斯当局也可以国家安全、国家防卫、保护公众合法权益为由禁止或者进一步限制数据转移。而且，俄罗斯2014年底通过了《数据本土化法》(Federal Law No.526-FZ)，要求所有搜集俄罗斯公民个人数据的数据控制者都应当将其服务器设置在俄罗斯境内。*Ibid.尽管该法并没有直接限制跨境数据转移，但也间接限制了数据的跨境转移。因此，俄罗斯采取的数据控制者担保模式，其实更类似于欧盟的第三国适当性评估，而且更直接地体现了国家主权和国家安全方面的考虑。

(三)数据主体同意模式

日本《个人数据保护法》虽然没有直接规定跨境数据转移问题，但该法第23条规定了向第三者提供的限制。该法第23条并没有对“第三者”进行限定，所以日本境内的第三者以及日本境外的第三者都受该条约束。根据该法第23条的规定，个人数据控制者事先未获得数据主体的同意的，不得将其个人数据向第三者提供，但下列四种情形除外：一是根据法律法规向第三者提供；二是为保护生命、身体和财产安全而有必要提供，但获得数据主体同意却很困难；三是为保障公共卫生或者儿童健康而特别需要提供，但获得数据主体同意却很困难；四是为了配合国家机关、当地政府或者授权组织履行法律法规规定的公务而有必要提供，但获得数据主体同意将妨碍前述公务的开展。对于“同意”的做出方式，该法并没有明确。根据日本经济、贸易与工业部发布的《经济与工业领域个人数据保护指南》，同意的方式包括了口头和书面的同意，以及点击网页上有关同意的确认键。*Ministry of Economy, Trade and Industry, Guidelines for the APPI Concerning Fields of Economy and Industry, quoted in Mondaq, Data Protection Laws of the World Handbook: Second Edition-Japan.不过，考虑到数据主体做出同意后又可能要求数据提供者停止向第三者提供的情况，该法第23条还规定，尽管数据控制者同意了数据主体的停止请求，但随后及时通知或者让数据主体可以获悉相关政策的，仍可以向第三方提供。

由此可见，在日本法规定的默示限制跨境数据转移的机制下，跨境数据转移考验的是数据控制者处理数据主体做出的同意以及撤回同意的技巧，至于四种无须数据主体同意的例外情形，则仍须依赖日本当局的个案解释，因而存在不确定性。

(四)小结：上述三种立法模式的利弊

上述三种限制跨境数据转移的立法模式各有其自身的利弊，并且，限制他国企业跨境转移数据，必然会影响国际贸易和国际关系，因此各国大多根据其宪法、法律以及经济、政治和文化等因素选用符合自身情况的立法模式。

1.限制跨境数据转移的优点

一般而言，对数据的跨境转移进行限制有三大优点。其一，确保消费者的合法权益在其数据被转移到第三国之后仍然得到保障。尽管世界各国基本认可隐私权是一项基本人权，但在电子商务时代，并不是每个国家都主动将隐私保护延伸至个人数据的保护上。因此，消费者个人数据可能在转移到第三国之后无法得到有效的保护，跨境数据转移限制是一个将本国法律延伸至域外的有效机制，它至少能够让第三国尊重本国的个人数据保护，并在行之有效的情况下保障个人数据在第三国获得等同于本国的保护水平。*Christopher Kuner, supra note 14, p.33.其二，提振消费者对电子商务的信心。电子商务是计算机技术发展和应用的产物，通常，人们所熟悉的是传统的面对面交易，对于网上交易和社交的场景并不熟悉，也无法评估自己在享受电子商务的同时是否会受到个人隐私或个人数据的侵害和损失。因此，只有消费者能够相信他们的数据得到充分的保护，他们才能继续相信这个交易，并许可使用其个人数据，在网上消费。*The Economist, Data, Data Everywhere: A Special Report on Managing Information, February 27, 2010.其三，可以防止企业和第三国规避本国的个人数据保护立法，确保本国立法得到遵守和执行，实现立法初衷，维护国家主权。

具体而言，不同的限制跨境数据转移的立法模式有不同的优点。第三国适当性评估模式下，本国政府把握主动权，可以依法评估第三国的个人数据保护水平，给企业提供一种明确的法律预见性，减轻企业向通过评估的国家跨境转移数据的成本。数据控制者担保模式的优点是让跨境数据转移的限制机制回归市场机制。*Hilary McGeachy, supra note 19.换言之，企业作为市场主体，为了迎合消费者的需求，担保跨境数据转移的接受者能够遵守数据出口国的个人数据保护法，可以确保消费者个人数据的保护水平不因跨境转移而减损，推动消费者积极消费。数据主体同意模式的优点是让消费者——个人数据的权利主体——全权管理自己的权利，国家并不直接干涉个人数据的跨境转移。

2.限制跨境数据转移的缺点

世界各国出于保护隐私的原因或捍卫国家主权的原因，假定第三国的个人数据保护水平不如本国，从而选择限制数据的跨境转移。然而，这样的做法与全球化大趋势和市场机制并不融合，容易领受国家保守主义的骂名。具体而言，三种限制跨境数据转移的立法模式的缺点也有所不同。

(1)第三国适当性评估模式

第三国适当性评估模式的最大缺点是一国政府是否会歧视性地评估第三国的个人数据保护水平，从而可能违反GATS“一般例外”条款(有关隐私保护例外)的条件——成员国采取的措施应当不构成“任意的”或“无端的”歧视，或者“变相的服务贸易限制”。

目前在WTO仅有一个案件即美国网络赌博案涉及GATS“一般例外”条款的解释和适用，尚没有出现直接涉及隐私例外的案件。因此，具体一国的跨境数据转移限制立法是否违反GATS仍不清楚。

在美国网络赌博案中，WTO上诉机构指出：“GATS一般例外条款的设置方式如同《关税及贸易总协定》(GATT)一般例外条款的设置，这两个例外都是确认成员国有权根据在协定例外条款所列的范围内进行立法。尽管这样的立法可能会与协定其他条款相违背，但只要该立法符合例外条款设定的要求即可。”*Appellate Body Report, United States-Measures Affecting the Cross-Border Supply of Gambling and Betting Services, WT/DS285/AB/R, 7 April 2005, para. 291.至于具体如何判断成员国采取的国内立法是否符合GATS第14条“一般例外”的要求，WTO上诉机构提出了“双层分析法”：“GATS第14条，一如GATT第20条，应用‘双层分析法’来考察一个成员国采取的措施是否合规。专家组首先应当确定涉案的措施是否符合第14条中某个具体例外的规定。这就要求分析涉案措施是否涉及该具体例外规定的特定利益，并且该措施与该利益是否具有充分的关联度。(根据GATS第1条第3款，成员国采取的“措施”包括中央和地方政府以及政府授权机构作出的措施，这些措施包括立法和政策。笔者注)所谓‘关联度’应当通过使用‘与…相关’(relating to)或者‘有必要就…作出规定’(necessary to)等术语明确体现在涉案措施中。一旦确认涉案措施落入第14条的具体例外规定，那么专家组应当考虑涉案措施是否满足第14条序言(chapeau)所设定的条件。”*Appellate Body Report, US — Gambling, para. 292.关于GATS第14条序言所设定的条件，WTO上诉机构指出：“通过要求成员国采取的措施不应构成‘任意的’或‘无端的’歧视，或者‘变相的服务贸易限制’，确保了成员国可以合理利用该例外条款，又不至于影响其他成员国通过GATS获得的权力。”*Ibid, para. 339.

在实践中，美国曾在欧美安全港框架协议谈判和隐私盾协议谈判过程中提出《指令》有违反GATS“一般例外”之虞，但最后美方都选择了让步，未将该争议提交到WTO。*Gregory Shaffer, supra note 15, p.8.

(2)数据控制者担保模式

数据控制者担保模式的缺点在于个人数据保护的重心落在企业，由此企业每次进行跨境数据转移，都要担保数据进口者遵守数据出口国的法律。一方面，企业的自律很难监督，尤其是涉及数据进口者是否遵守数据出口国的法律时。另一方面，数据控制者担保模式对于中小企业尤其是初创企业而言，操作起来成本过高。这一点不同于第三国适当性评估模式——只要向通过适当性评估的第三国转移数据，就可以免担保、大批量的自由转移数据。

(3)数据主体同意模式

数据主体同意模式有三大缺点。其一，国家假定所有消费者都具备比较高的隐私保护意识和自我管理能力。事实上，并不是所有的消费者都具备这样的能力，而且很多进行电子商务的消费者还是未成年人。其二，企业可以通过多种形式逼迫消费者为了免费服务而选择同意。例如，企业有关用户使用守则通常内容非常多而且字体非常小，消费者通常不愿意细读而直接选择同意。其三，对于企业而言每次的跨境数据转移都要一一获得数据主体的同意，成本非常高。况且，云计算、大数据等技术不断发展革新，企业所处理的个人数据量日益庞大，一一授权模式与市场发展的趋势严重不符，容易让企业(特别是中小企业)丧失交易机会。

三、跨境数据转移的国际条约及其发展趋势

在国际层面，如果说OECD指南仅是推荐性标准，并且欧共体公约仅是欧洲共同体内部的条约，那么1995年1月施行的GATS就是一个全球性国际条约，并且，其明确赋予WTO成员国有权以隐私保护为由通过数据保护方面的法律。WTO曾被批评为逼迫其成员国政府放弃国内隐私立法(尤其是互联网隐私领域)。对此，WTO专门进行过澄清：“这样的提法很难理解。WTO对互联网隐私保护从来没有采取过任何决定和行动。WTO对互联网隐私从来没做过什么，更别说‘逼迫政府放弃国内隐私立法’，事实上WTO在任何情况下都没有权力这样做。而且，GATS本身就将个人隐私保护问题纳入到整个协议的框架内。GATS第14条的一般例外条款——凌驾于协议的其他条款——就规定了政府可以在其认为必要的时候采取措施‘保护数据处理和传播中的个人隐私和个人记录及账户的保密性’。”*WTO, “GATS-Fact and Fiction”, available at https://www.wto.org/english/tratop_e/serv_e/gatsfacts1004_e.pdf, last visited May 30, 2016.总体而言，目前已经缔结的和正在谈判的国际条约(如TTIP、TISA)在跨境数据转移问题上基本都搁置争议而回归GATS的隐私例外规则。

(一)《APEC隐私框架》：数据控制者担保模式

亚太经济合作组织(APEC)在1998年提出《电子商务行动计划》，特别强调电子商务的未来发展不能脱离政府与商业的合作，如此才能共同确保安全可靠的信息传输系统，并处理好隐私保护的问题。*APEC, “APEC Blueprint for Action on Electronic Commerce”, available at http://www.apec.org/Meeting-Papers/Leaders-Declarations/1998/1998_aelm/apec_blueprint_for.aspx , last visited June 26, 2016.认识到有效隐私保护和信息亚太区域自由流动的平衡对于提振消费者信心和确保电子商务发展的重要性，APEC成员国在2004年达成了《APEC隐私框架》。

1.《APEC隐私框架》的理念及核心内容

虽然《APEC隐私框架》在形式上类似OECD指南，都是由原则为核心构建的保护框架(而且大部分原则都相类似)，都不具有约束力，不过，在指导思想上两者间却存在根本性差异：《APEC隐私框架》仍然建立在传统隐私侵权法律制度之上，重点解决各成员都非常关注的意外侵害和滥用个人信息带来的隐私侵权损害；OECD指南则鼓励成员国建立积极的个人数据权利体系。

在这一思想的指导下，《APEC隐私框架》对于个人数据的范畴界定也有意排除了政府部门有关数据主体的公开纪录、新闻报道、法律要求公开的信息等三种已经处于公开状态的个人数据，如果数据控制者从这三种数据源而非从数据主体处获得(即这种获得对于数据主体而言并不意外)，则不受该框架的约束。这就大大缩小了《APEC隐私框架》的适用范围，有利于数据更加自由的流动。这种个人数据的界定方法不同于欧盟成员国或者欧盟采取的界定方法，后者把所有可能的个人数据都纳入管辖范围。

在该思想的指导下，防止损害原则成为《APEC隐私框架》九大原则之首。防止损害原则是指承认个人对于其合法预期的隐私保护，个人信息的保护制度应当设计成防止这些信息的滥用的制度，并且，为应对滥用可能带来的损害危险，成员在设计法律法规时有必要考虑对数据控制者在收集、使用和转移个人数据上设置特定的义务，提供在侵害可能性和损害程度方面符合比例原则的救济方式。

在防止损害原则的统帅下，《APEC隐私框架》的其他八个原则，即通知原则、收集限制原则、使用限制原则、选择原则、个人数据完整性原则、安全保障原则、获取与修改原则(但数据主体的获取权和修改权并不是绝对的，而应当考虑该成本与具体个案的侵权危险程度相一致)、责任原则的设计也非常务实。

值得强调的是，责任原则要求数据控制者对第三者转移数据(不论是境内还是跨境)时都要事先获得数据主体的同意，或者采取合理措施确保数据接收者遵守前述八大原则。对于责任原则的理解，有两点值得注意。其一，该原则不同于OECD指南的责任原则，后者仅要求数据控制者本人遵守该指南的其他原则，而前者不仅要求数据控制者本人遵守《APEC隐私框架》的其他原则，还专门强调跨境数据转移上的责任问题。其二，具体设计数据控制者在向第三方(不论是在境内还是在境外)进行跨境数据转移的责任时，《APEC隐私框架》提供了两种解决方案：获得数据主体的同意或者担保数据接收者遵守数据出口国个人数据保护法。并且，《APEC隐私框架》还强调这两种方案是一种互动机制，如果数据控制者与数据接收者的关系不复存在，数据控制者就无法担保数据接收者遵守原则，此时，应当有数据主体的同意。

2.《APEC隐私框架》的执行

尽管《APEC隐私框架》仅是推荐性标准，但澳大利亚、俄罗斯等14个成员通过立法予以采纳。*APEC, “The Electronic Commerce Steering Group”, available at http://www.apec.org/Groups/Committee-on-Trade-and-Investment/Electronic-Commerce-Steering-Group.aspx , last visited June 26, 2016.

为了推进各成员的统一执行，APEC委员会在2007年出台《APEC跨境隐私规则体系》。数据控制者可以自由选择采用该体系规定的“跨境隐私规则”(CBPR)，一旦获得认证，该数据控制者就受该规则的约束。该体系有要求和法律效力两大重点内容。在要求上，CBPR包括以下四大要素。一是自我评估：数据控制者根据APEC制定的“跨境隐私规则问卷”进行自我评估。二是合规性审核：数据控制者将填好的问卷以及相关文件提交给APEC认证的隐私责任评估机构，由后者按照《APEC跨境隐私规则体系》的要求进行审核。三是认证和公开：通过审核的数据控制者将公布在APEC网站上，公布的内容包括该数据控制者、隐私责任机构和隐私执法当局的联系方式。四是争议解决与执行：获得认证的数据控制者，将受到该CBPR的约束，隐私责任评估机构可以按照当地法和合同执行跨境隐私规则，隐私执法当局也可以按照本国法对经认证的数据控制者采取相应的执法措施。在法律效力上，该体系并不替代成员本身的相关法律法规，如果成员本身没有相应的法律法规，该体系可以作为该成员的最低保护标准；如果该成员有相应的法律法规，但其要求低于该体系要求，并且数据控制者自愿采用该体系的，应该遵守高于成员法律法规的额外要求。*APEC, “APEC Cross-border Privacy Enforcement Arrangement”, available at http://www.apec.org/Groups/Committee-on-Trade-and-Investment/Electronic-Commerce-Steering-Group/Cross-border-Privacy-Enforcement-Arrangement.aspx , last visited June 26, 2016.目前，加拿大、日本、墨西哥和美国等四个成员采纳了该体系。

为了推动与非APEC成员的隐私执法合作，APEC于2009年提出与OECD指南兼容的《APEC关于跨境隐私执行合作的计划》。该计划希望各国通过一个标准的“请求协助表”就可以与其他国家进行跨境隐私执法方面的合作。*APEC, “APEC Cooperation Arrangement for Cross-Border Privacy Enforcement”, available at http://www.apec.org/～/media/Files/Groups/ECSG/CBPR/CBPR-CrossBorderPrivacyEnforcement.pdf , last visited June 26, 2016.

(二)TPP：没有超越GATS

泛太平洋合作伙伴关系协议(TPP)是以2005年文莱、智利、新西兰和新加坡四国达成的泛太平洋战略经济合作伙伴协议为基础，在美国、澳大利亚、加拿大、日本、马来西亚、墨西哥、越南和秘鲁等八国加入后扩展谈判而成，旨在建构超越WTO系列协议标准之上的劳工、环境和知识产权等方面的新国际保护标准。该协议于2016年2月4日获得签署，目前尚未完成生效程序。

在TPP谈判过程中，美国商务部等机构和产业联盟在2012年联合发表声明指出，在21世纪的知识经济时代，信息与通讯技术的发展与应用已经成为全球经济增长的火车头，不管是农业、制造业还是服务业，都越来越依赖全球通讯网络和跨境信息与数据流动来管理业务。其中，尤为重要的是中小企业的创新与发展，中小企业很大程度上需要依赖这种低成本、高效率的信息通讯技术和跨境数据自由流动。因此，实现跨境信息与数据自由流动是美国的必然诉求。*U.S. Department of Commerce, “Promoting Cross-Border Information and Data Flows in the TPP: Building a Lasting Framework for Economic Growth and Jobs”, available at http://businessroundtable.org/sites/default/files/legacy/uploads/news-center/downloads/TPP_Promoting_Cross-Border_Information_Flows_Statement.pdf , last visited June 26, 2016.

不过，根据新西兰政府公开的TPP第14章(电子商务)，在跨境数据转移问题上，TPP并没能实现实质性突破：(1)原则上所有的成员应当允许信息(包括个人信息)通过电子形式进行跨境转移，只要这个转移是为了该特定个人而进行的商业活动(第14章第11条第2款)；(2)成员须认可其他成员已有的有关个人数据转移方面的法律法规(第14章第11条第1款)，并且不能妨碍成员采取或者维持这些法律法规，条件是“这样的措施并不构成任意的或者无端的歧视，或者变相的贸易限制；而且不会施加超出该措施目的之外的额外限制”(第14章第11条第3款)；(3)原则上成员不得将数据存储本土化作为企业在本土经营的条件，但这并不能妨碍成员采取或者维持这些规范性要求，条件是“这样的措施并不构成任意的或者无端的歧视，或者变相的贸易限制；而且不会施加超出该措施目的的额外限制”(第14章第13条)。

应当说，表面上美国通过谈判实现了跨境数据自由流动的目的。实际上，TPP除了象征性地表示自己的进步——增加“不会施加超过该措施目的之外的额外限制”——之外，在实质内容上并没有超出GATS关于限制服务贸易的“一般例外”规定。质言之，关于跨境数据转移问题，信息跨境自由流动只能是美国的一个不可能实现的梦想——其他国家对美国的防备之心从未消解。*McCamus, D. R. “They Worry Too Much”, CIPS Magazine, March 1970, p.21. See also Maira Sutton, “White House's Claims that the TPP Would Curb Internet Censorship Are Fantasy”, Electronic Frontier Foundation, Mar, 9, 2016.因此，世界各国之间关于跨境数据转移的分歧一直未能消除，GATS谈判搁置的隐私例外争议在22年后的TPP谈判中也无法解决，只能维持现状。或许，这是最好的结果，至少从国家主权和国家经济发展的平衡上，GATS和TPP都不会触碰各国的底线。

值得注意的是，TPP是一个封闭性多边谈判的结果，中国目前并未加入TPP谈判，未来是否加入尚不确定。值得注意的是，在TPP谈判过程中，美国总统奥巴马曾经指出：“当我们95%的潜在客户都在境外时，我们不能让中国等国家来设定全球经济的规则，我们要自己来制定这些规则。”*Sara Hsu, “China and the Trans-Pacific Partnership”, available at http://thediplomat.com/2015/10/china-and-the-trans-pacific-partnership/ , last visited June 28, 2016.尽管如此，TPP在跨境数据转移问题上仍然趋同于WTO标准，未来中国是否加入TPP并不会影响中国在跨境数据转移方面的立法与政策。

(三)跨境数据转移国际条约的发展趋势：制度融合的可能性

目前，关于跨境数据转移，TTIP和TISA等多边条约仍在谈判中。这些谈判在很大程度上预示了未来跨境数据转移国际条约的发展趋势：一种制度融合的可能性。

1.正在谈判的国际条约的动向

与TPP相对应的，还有另外一个正在进行谈判的跨大西洋贸易与投资合作伙伴关系协议(TTIP)。对于欧美服务贸易中跨境数据转移问题，欧盟官方2015年7月31日公布了TTIP提案第一部分“市场准入”第二节“服务”第7条“一般例外”规定，在内容上基本照搬GATS“一般例外”的规定，明确成员政府可以隐私例外为由限制跨境数据转移。*European Union, Proposal for Services, Investment and E-Commerce Text, EU-US TTIP Negotiations, 12 November 2015.自2013年6月首次谈判以来，欧美已经进行了12轮谈判，但远未达成一致。

同样正在进行的还有《服务贸易协议》(TISA)。TISA开始于2013年3月，谈判成员有23个(主要为美国和欧盟)，目的在于扩展GATS的覆盖范围和规则，建立服务贸易方面的“金标准”，最终完全融入WTO框架并适用于所有WTO成员。*Jane Kelsey, “Briefing on US TISA Proposal on E-Commerce, Technology Transfer, Cross-border Data Flows and Net Neutrality”, Public Services International, 17 December 2014.其中，美国是该谈判的主导者，其希望借此推进全球电子商务，限制政府以隐私保护为名进行跨境数据转移的限制。

根据泄露的美国有关TISA的提案(2014年)，其中专门有一个“信息流动”的条款。该条款规定：“成员政府不能阻止在另一成员境内的服务提供者在本国或者世界上任何其他国家进行转移、获取、处理和存储信息，只要这些活动与服务提供者的商业有关。”*Ibid. See also Maira Sutton, “It Doesn't Matter Who Does the Lobbying: Trade Agreements Aren't the Place for Internet Regulations”, Electronic Frontier Foundation, December 19, 2014.而且，美国提议的TISA“一般例外”条款仅规定只有国家安全例外才能排除适用“信息流动”条款。

对美国的提案，欧盟提出强烈反对。欧盟成员国目前不仅担心美国企业主导电子商务发展，导致欧盟零售业、媒体、出租车的萧条，还担心欧洲的汽车制造业就会成为下一个被冲击的产业。*Ibid.另外，考虑到目前并没有任何一个WTO成员国依据GATS隐私例外条款到WTO起诉欧盟，欧盟的提案仍坚持GATS的“一般例外”标准(包括了隐私例外)，拒绝任何可能危及欧盟数据保护立法的文本。*Monika Ermert, “TISA Negotiations: Yes To E-Commerce, Data Flows, No To IPR, Data Protection”, Intellectual Property Watch, 17 December 2014.

2.欧美隐私盾谈判预示美国在TTIP和TISA的提议将被驳回

在2015年10月6日，欧盟法院通过施姆雷斯案判决欧美关于跨境数据转移方面的安全港框架协议无效，原因是欧盟委员会并没有说明美国基于国内法或者国际承诺而在事实上确保了欧盟成员国公民的个人数据被转移到美国后能得到适当的保护。*Case C-362/14 Maximillian Schrems v Data Protection Commissioner.2016年2月2日，美国商务部进一步向欧盟委员会让步，愿意签订隐私盾协议。*European Commission, supra note 17.

相较于之前的《欧美安全港框架协议》，美国在《欧美隐私盾协议》中作了如下几方面的承诺和让步。第一，对向美国转移数据的企业设置更加严苛的义务：一是“对外转移数据原则”改为“对外转移数据的责任原则”，增加“责任”二字凸显企业的内部审核责任；二是“执行原则”改为“救济、执行与责任原则”，强调企业必须给数据权利提供有效的救济措施，并每年自审一次。第二，美国政府部门承诺履行更加严格的职责：首先，美国国家情报总监书面保证美国政府获取欧洲公民的个人数据时受到《美国第12333号执行令》和《美国总统第28号政策指令》的限制；其次，美国国务卿克里书面承诺在国务院内部成立隐私监察使(Ombudsperson)，该监察使独立于国家安全部门，有权独立处理欧洲公民有关美国政府部门是否获取欧洲公民个人数据的申诉。第三，专门强调对欧洲公民申诉的多种救济途径：一是企业设置隐私官在45日之内处理申诉；二是企业提供免费的替代性纠纷处理方案；三是欧洲公民向本国数据保护局提出申诉，由该局向美国商务部或联邦贸易委员会移交，后者在90日之内作出答复；四是欧美联合设置一个隐私保护小组，下设一个仲裁小组作为申诉的最终解决机制。另外，《欧美隐私盾协议》还附有联邦贸易委员会、交通部和司法部三大部门有关执行该协议的承诺书。上述承诺书都将在美国联邦登记处公开。

尽管如此，欧盟议会仍于2016年5月26日建议欧盟委员会应与美国商务部在下列四个议题上再行谈判：(1)关于美国政府部门获取已转移数据的限制；(2)根据《欧盟基本权利宪章》，要求美国明确收集数据要限于必要、符合比例原则；(3)隐私监察史的权限和独立性；(4)对于美国承诺的复杂救济机制商谈出一个用户友好且有效的救济机制。*European Parliament, “EU-US ‘Privacy Shield’ for Data Transfers: Further Improvements Needed, MEPs Say”, Plenary Sessions [26-05-2016-11:58].对此，欧盟委员会和美国商务部再次进行了谈判，美国方面愿意做进一步的让步，答应欧盟委员会接受每年对隐私盾协议的执行进行共同审核，并最终于2016年7月12日正式联合宣布《欧美隐私盾协议》生效。*European Commission, “European Commission Launches EU-U.S. Privacy Shield: Stronger Protection for Transatlantic Data Flows”, IP/16/2461.

从上述过程中不难发现，美国为了本国企业在欧盟各国的利益不断被迫让步，直到欧盟委员会和欧盟议会满意为止。笔者据此认为，美国很难在未来的TTIP和TISA谈判中坚持数据跨境自由流动和不得以隐私保护为由限制跨境数据转移的主张。

3.未来跨境数据转移的融合可能性

在现有的国际法框架下，GATS提供了WTO成员国限制跨境数据转移的合法性依据，TPP、TTIP和TISA等最近已经达成和正在磋商的国际条约都将维持这个局面。因此，鉴于OECD指南和APEC隐私框架提供了两种限制数据转移的可能模式和世界各国对跨境数据转移的不同限制模式，可以探讨未来跨境数据转移的三种融合可能性。*2009年11月3日，非政府组织通过在西班牙举行的第三十一届国际隐私权和个人数据保护专员会议发布了《非政府组织关于建立全球隐私权标准的宣言》，呼吁欧洲各国保护隐私权，建立起有非政府组织充分参与的、基于法治的、尊重基本人权的和支持民主制度的新的国际隐私权保护体系。然而，这个宣言只是呼吁欧洲各国加强数字时代隐私权的保护，并未提出融合各国隐私权保护机制的方案。

(1)融合可能性之一：在第三国适当性评估模式下加入替代性规则

第一种融合可能性是参照欧盟的做法，即在第三国适当性评估模式下加入替代性规则。一般情况下，数据向第三国转移的前提是该第三国获得本国适当性评估；第三国未获得本国适当性评估而需要进行跨境数据转移的，应由本国政府提供适当性评估的替代性规则，例如欧盟委员会在2001年批准施行的“标准合同条款”和“有效企业规则”(BCR)。

“标准合同条款”在1995年的《指令》中就已经被规定为一种替代机制。该条款在内容上主要要求数据出口者和数据接收者遵守欧盟数据保护指令，并对数据主体的损失承担连带责任。在操作上，《指令》要求该条款嵌入数据出口者与数据接收者关于数据转移的合同中。这种做法的缺点是该合同每转移一次都要重新签订，对于跨国企业而言成本比较高，而且成员国数据监管当局可以增加额外的要求以及行政审批，从而加大了成本和审批时间。*European Commission Decision 2001/497/EC.

BCR原本并不在《指令》规定的替代机制之内，而是第29条工作组推荐跨国企业采取的一种替代机制。不过，通过多年的发展，BCR已经被正式纳入《通用条例》。BCR包括三项核心规则即隐私原则、有效性机制和BCR生效标志。企业在起草BCR之后，提交给欧盟成员国的数据监管当局进行审查，审查通过后，该成员国数据监管当局将BCR提交给该企业有营业的其他成员国数据监管当局批准。因此，其要适用于跨国公司内部子公司之间的跨境数据转移，难度比较大，审批时间比较长，但获得批准后无须每次转移都签订转移合同，这也向消费者表明该企业的隐私保护水平达到较高水平。

总体而言，欧盟的适当性评估和两种替代性机制都依赖欧盟成员国数据监管机构的行政审批，要求有专业的行政机构、充分的经费和人员开展审批工作，实践中鲜有企业获得欧盟数据监管当局的批准。例如，欧盟委员会目前公开的获批准采取BCR的企业只有84家跨国企业，而且获批的基本上是欧洲本土跨国企业，美国计算机与互联网方面的企业只有eBay、因特尔和惠普，没有中国企业的BCR获批。*European Commision, “List of Companies for Which the EU BCR Cooperation Procedure is Closed” (June 21, 2016), available at http://ec.europa.eu/justice/data-protection/international-transfers/binding-corporate-rules/bcr_cooperation/index_en.htm, last visited June 26, 2016.

(2)融合可能性之二：在数据控制者担保模式下加入符合适当性评估的国家名单

第二种融合可能性是在数据控制者担保模式下加入符合适当性评估的国家名单。目前俄罗斯采取这种方式，即原则上俄罗斯《个人数据保护法》要求数据控制者应当确认第三国提供了“充分水平的保护”，同时俄罗斯信息监管局公布了一系列提供了充分水平保护的国家名单。这样的融合方式适用于APEC成员，将大大减轻数据控制者(企业)跨境数据转移的成本，方便数据的跨境自由流动。

然而，采取《APEC隐私框架》的APEC成员原本的目的就是要减少政府的干预和政府审批的成本，如果要求政府进行主动审查，又可能与其采取的该模式相违背。所以，这样的融合方式也不是多数国家愿意采取的。

(3)融合可能性之三：BCR与CBPR的融合

第三种融合可能性是欧盟成员国与APEC成员之间的跨境数据转移规则的融合，即欧盟的BCR与APEC在2013年推荐的跨境隐私规则(CBPR)的融合。

自2012年9月开始，APEC与欧盟委员会合作，共同建立“APEC与欧盟联合工作组”，共同探讨两大区域成员的跨境隐私执法合作。至2015年11月，该工作组希望从中小企业的角度探讨如何与欧盟的规则融合，希望将欧盟的BCR和APEC的CBPR进行融合，并通过制定标准加以执行。*APEC HOST Workshop & Recommendations Report: APEC Harmonization of Standards for Data & Information Flows, 2015, p.7.

尽管该设想非常有利于中小企业进行国际业务的拓展，促进各国企业的创新，但BCR与CBPR之间仍然存在两大根本性差别。首先，BCR所依据的是《指令》以及《通用条例》，其与CBPR依据的《APEC隐私框架》存在很大的差别，前者构建的是以宪法性权利(独立的个人数据权)为基础的一系列规则，而后者是以传统防止隐私侵害为中心的规则，二者的基本逻辑存在根本性的差异。其次，欧盟虽然采取了BCR规则，但仍然强调欧盟及其成员国的主动审查权，而APEC推荐的CBPR依靠的并不是政府的主动审查，而是非政府组织的认证。从2016年通过的《通用条例》来看，欧盟及其成员国放弃对BCR主动审查权的可能性微乎其微。与此同时，希望原本并不愿意太多干涉的政府仅仅为了降低中小企业成本而对CBPR进行主动审查，也不现实。

(4)小结

总之，前述三种融合可能性能否实现，很大程度上仍取决于不同国家是否及多大程度上愿意放弃本国对于数据的控制权：欧盟国家已实现第一种融合可能性，而且2016年刚通过《通用条例》，未来十年内不太可能再考虑另外两种融合可能性；而其他国家(尤其是APEC成员)虽然可能愿意强化政府的主动审查权，但又很难预期其愿意将本国隐私保护标准提高到欧盟个人数据基本权利的高度。因此，未来很长一段时间，世界各国仍将在GATS隐私例外规则下保持跨境数据转移限制性规则的多样性。

四、跨境数据转移的中国法律应对

从历史角度而言，四十年前欧美展开跨境数据转移谈判之际，欧洲各国正在加快欧洲共同体的建设，所关心的是经济安全和政治自主性，对美国而言则正是计算机和互联网技术全球商业运作的兴起之际，而中国那时还在探索经济建设和中美关系正常化。四十年之后，美国依旧是世界头号大国，在全球互联网企业前十位中占据六席，中国经济已经发展成为世界第一大经济体大国、在全球互联网企业前十位中也已占了四席，中国企业在美国也开始遭受美国“国家安全”的打压，而欧盟经济依旧变化不大且没有国际大型互联网企业。欧盟在四十年前谈判的筹码是人权保护，今天欧美隐私盾谈判的筹码依旧是人权保护，只是程度已经上升到了极致——个人数据权已经从隐私权的一部分演变为独立存在的基本人权。对此，美国总统奥巴马曾在2015年指出：“我们拥有这个互联网，我们的企业创造了互联网，并以一种欧盟企业无法匹敌的方式扩展和完善它。而欧盟常常在一些问题上摆出一种道德高尚的样子，其实只是为了获得他们的经济利益而已。为了打击谷歌和脸谱公司，欧盟的做法绝大部分是以商业导向为主的。”*Murad Ahmed, “Obama Attacks Europe over Technology Protectionism”, Financial Times, February 16, 2015.从欧美跨境数据转移规则四十多年的博弈、GATS和TPP在跨境转移规则方面的构建以及TISA等正在谈判中的国际条约规则来看，任何国家、地区都会对相关的跨境数据转移规则根据自身的经济、社会情况做出自己的选择，同时对其他国家、地区的相关规则提出批评。因此，我国《网络安全法》中的跨境数据转移限制规则从起草之初就得到各方面褒贬不一的评价也是正常的。

他山之石可以攻玉，关于我国《网络安全法》第37条所规定的跨境数据转移限制规则，笔者拟从如下三个方面加以评议，并提出未来制定我国相关安全评估办法的若干建议。

(一)消费者利益与产业利益、国家安全利益的平衡

从现有的各国政府监管跨境数据转移的法律制度来看，各国政府规制的切入点是假定第三国的个人数据保护水平不及本国的保护水平，规制核心是监管企业的个人数据处理实践、防止企业滥用个人数据，落脚点是保障本国国家安全利益、产业利益和消费者的利益。只是在这三方面利益平衡中，欧盟把消费者利益放在整个法律规制体系所考虑的首要位置，通过整体的个人数据保护立法(《指令》及其替代立法《通用条例》)把个人数据权明确规定下来，并以此来限制跨境数据转移。这样的优点是以个人的小权利实现保护国家安全利益的目的，缺点是会严重损及企业的经营自主权和积极性而损及产业利益。美国把产业利益放在跨境数据转移法律制度的核心，仅对特殊敏感的个人数据进行单独立法，其他个人数据的保护主要由市场机制来解决。这样的好处在于最全面的保障产业利益，但缺点是对于个人利益的保障受到弱化。澳大利亚、俄罗斯等国家采取折中方案，要求数据输出企业担保数据接收企业提供不低于数据输出国的个人数据保护水平。

在我国《网络安全法》出台之前，我国并没有类似欧盟及其成员国那样的长期立法司法实践，应当说，2009年通过的《刑法修正案(七)》、2012年通过的《全国人大常委会关于加强网络信息保护的决定》以及2013年修订的我国《消费者权益保护法》已从法律层面确定我国境内经营的企业保障个人数据的基本要求，初步建立起个人数据保护的法律机制，取得了很大的进步。不过，这些规定仍然过于原则，对于个人数据保护的具体规则不够细致和全面，且仅涉及个人数据国内保护，未对跨境数据转移限制做出明确规定。因此，在跨境数据转移规则设置方面，我国还难以在短时间内评估第三国的个人数据保护水平低于我国的保护水平，而且第三国评估的标准和程序也容易受到诟病，所以欧盟的做法在客观上无法效仿。即使具备这样的客观水平，但考虑到我国日益兴起的互联网产业，欧盟的做法也不值得效仿。因为互联网时代(尤其是大数据时代)的产品和服务讲究的是创新、反应迅速、用户量大，要适应这种趋势，就不能给企业(尤其是中小企业)提前预设过多的规则限制,否则就会降低企业的效率，扼杀企业创新的积极性。

因此，我国《网络安全法》对跨境数据转移采取了有限和安全评估方案，关键信息基础设施的运营者因业务需要，确需向境外提供个人信息的，应当按照国家网信部门会同国务院有关部门制定的办法进行“安全评估”。值得注意的是，这里使用的法律术语是“安全评估”，表面上似乎侧重于“国家安全”，但实际上并未指明是“国家安全”、“产业安全”、“个人数据安全”，还是三者的综合；并且具体的安全评估规则是放在第二位的、是留待网信部门和国务院相关部门制定的。因此，这样的立法思路和法律术语选择的背后体现的正是平衡消费者利益、产业利益和国家安全利益的思想，提供了我国监管跨境数据转移的最为广泛而灵活的法律依据，符合我国现阶段的实际情况，也对未来形势发展留有充分的余地。

此外，我国《网络安全法》第四章专门规定网络信息安全，再次重申了企业处理个人数据的合法、正当和必要这三大原则，设定了保障个人数据的最基本义务。其中，值得注意的是，我国《网络安全法》第42条采用了草案二稿的方案，后者从两个方面修正了草案一稿第36条：一是从“不得非法向他人提供”个人数据改为“未经被收集者同意，不得向他人提供”个人数据，从而明确非关键信息基础设施的企业向他人提供(并未限制是境内提供还是跨境转移)个人数据的合法依据为获得“被收集者同意”，平衡了非关键信息基础设施的企业经营需求和个人数据保护中的个人意思自治，也同时明确了国家监管关键信息基础设施运营者跨境数据转移的唯一合法依据是获得安全评估；二是把企业发生或者可能发生“信息”泄露、损毁、丢失的情况时向可能受影响用户的通知义务，明确规定为企业发生或者可能发生“个人信息” 泄露、损毁、丢失的情况时向可能受影响用户的通知义务，从而更直接地保障个人数据。

尽管如此，我国《网络安全法》的条文仍停留在政府主动监管层面，未来需要从两个方面强化企业对个人数据的主动保护和分类保护。一是可以借鉴美国2015年底通过的《网络安全情报共享法》，*该法规定企业共享网络安全情报的下列行为不受司法追究：一是监控信息系统；二是按照美国国土安全局出台的共享程序共享或接受网络安全威胁指标、防御性措施。See S. Rept. 114-32, p.12-13 (2015).增订企业自愿共享网络安全威胁信息的可以豁免受司法追究该共享行为的规定，从而鼓励企业主动共享网络安全威胁信息。需要强调的是，对于企业的安全信息共享并非中国首创，美国在这方面有很多立法，《网络安全情报共享法》就是最近的一种，而且该法要求以提供责任豁免的形式鼓励企业自愿共享。目前，我国《网络安全法》第22条、第25条仅规定企业向有关主管部门报告或协助的义务，但并未规定相应的鼓励措施。二是可以增设个人基因数据、医疗数据、生物数据的专门保护方面的规定，要求收集和处理该类数据的企业以高于其他个人数据保护的水平予以保障。*联合国2003年10月16日的《人类基因数据国际宣言》第2条规定，“基因数据”指的是通过分析核酸或者其它科学分析获得的、与个人遗传特征有关的信息。《通用条例》第4条规定，“基因数据”指的是与自然人的固有或者后天获得的基因特征有关的个人数据，该数据可以告知该自然人特有的生理学或者医学的信息，特别是通过分析该自然人生物样本获得的信息；“生物数据”指的是通过对自然人的物理、生理或行为特征的特定技术处理获得的个人数据，如面部图像或指纹，这些数据可确认该自然人的特定身份。单个的该类数据可能不会产生国家安全的问题，但数以百万计甚至数以亿计的中国公民个人的基因数据和生物数据如果被外国企业收集并转移到中国境外，就会实际关涉国家安全。对此，联合国2003年10月16日《人类基因数据国际宣言》指出，基因数据应当以人权高度进行特殊保护。欧盟2016年《通用条例》第9条中专门增加了1995年《指令》未规定的基因数据保护规则，允许成员国对该类数据的处理设置更多的限制。我国《国家安全法》和我国《网络安全法》均未有条文涉及基因数据、医疗数据、生物数据的专门保护，考虑到我国《网络安全法》侧重于网络产品和服务而非医疗与生物领域，比较适宜的弥补方案是要求国家网信部门会同国务院有关部门在制定跨境数据转移安全评估办法时，专门区分出基因数据、医疗数据、生物数据等特殊个人数据的安全评估标准；其他更进一步的保护立法则留待以后解决。

(二)国内市场与国际市场的平衡

由于法律具有普适性，我国《网络安全法》不仅适用于中国境内经营的中国企业和外国企业，还将影响与前述企业具有跨境数据转移业务合作的境外企业。目前，在国内市场中，我国计算机和互联网领域企业实现了跨越式发展。在未来的国际市场拓展中，欧盟也是重要市场，而“一带一路”区域的经济也将融入非常多的互联网元素。中国企业在进入这些市场、因业务所需将数据转移至中国的时候，其他国家也可能会采取对等的政策，限制中国企业将数据转移至中国处理；或者指责中国的个人信息保护法制无法给该国公民提供同等水平的保护。例如，欧盟议会阿克塞尔·沃斯等四位议员在2016年6月17日指责中国，并要求欧盟委员会对中国企业将欧洲个人数据转移到中国的情况进行调查。*Axel Voss, etc., “Personal Data Transfers to China-What Protection for EU Citizens”, European Parliament, 20 June 2016.因此，对于我国《网络安全法》的具体术语和具体制度的解释都应当非常谨慎、全面把握整个跨境数据转移法律制度对国内市场和国际市场的微妙平衡。

首先，我国《网络安全法》中的“个人信息”和“关键信息基础设施”这两个术语是跨境数据转移安全评估的切入点，其内涵将直接影响跨境数据转移规制的广度和深度。一般而言，“个人数据”的界定可以采取四种模式：正面概括式、反面概括式、列举式和概括与列举相结合的模式。其中，正面概括式指的是直接界定个人数据的概念，这种模式为大多数国家所采取。例如欧盟《指令》第2条和《通用条例》第4条都正面概括个人数据的概念，即“任何确认或者能够识别自然人的信息；能够识别自然人指的是一个人可以直接或者间接地被确认”。由此可见，正面概括式可以提供监管国最为广泛的监管授权。类似地，澳大利亚《隐私法》第6条、俄罗斯《个人数据保护法》第3条基本照搬欧盟的做法。反面概括式指的是除特别规定的因素之外的都是个人数据，这种模式为美国部分立法所采取。例如美国1984年《有线通信政策法》第313条规定个人信息为“非集合信息”。列举式是指明确列举出属于个人数据的各种数据，这种模式同样为美国部分法律所采取，例如《马萨诸塞州隐私违规通知法》将个人数据界定为“个人的姓氏和名字，或者与社保号、驾照、银行账号、信用卡或借记卡账号中的一个组合在一起的姓名”。*See Paul M. Schwartz, Daniel J. Solove, “Reconciling Personal Information in the United States and European Union”, 102 California Law Review 877, 888-890 (2014).概括与列举相结合的方式综合了正面概括式和列举式两种模式的优点，为日本《个人数据保护法》第2条所采取。我国《网络安全法》的草案一稿和二稿采取的都是概括与列举相结合的方式，不同的是草案一稿先列举后概括，草案二稿先概括后列举，但其实质上都将能够单独或与其他信息结合能够识别个人身份的信息纳入保护范围。最终通过的我国《网络安全法》采用了草案二稿的方案，先强调可能的范围，再提供示例。与此同时，在关键信息基础设施的定义上，草案一稿第25条采取的是直接列举式，在很大程度上限缩并僵化了监管范围。有鉴于此，我国《网络安全法》最终采用了草案二稿第29条的方案，即将其具体范围授权给国务院另行制定，仅大致概括其范围为“严重危害国家安全、国计民生、公共利益的关键信息基础设施”。值得注意的是，欧盟及其成员国与澳大利亚等国并没有限定仅有关键信息基础设施才接受跨境数据转移条款的规制，所以无论我国在关键信息基础设施的概念上采取何种定义，都难以超过这些地区或国家的监管范围。由此可见，在跨境数据转移的安全监管上，我国通过在法律上设定个人数据和关键信息基础设施的开放定义，一方面能够做出较为宽泛的、低于欧盟监管范围的监管授权，另一方面也能提供企业相对于正面概括式定义更高的可预见性。不过，上述界定在46家国外团体看来仍然是监管过于宽泛，*See United States Council for International Business, Aug. 2016 Letter on PRCG Cybersecurity Regulations, available at http://www.uscib.org/uscib-content/uploads/2016/08/Aug-2016-Letter-on-PRCG-Cybersecurity-Regulations-final-EN.pdf, last visited Oct. 22, 2016.但这46家团体中，除了美国的商会之外，还包括了欧洲、澳大利亚和日本的商会，但反观欧盟、澳大利亚和日本的立法，这样的指责无疑是双重标准的产物。

其次，安全评估标准的透明度将影响跨境数据转移规制制度的具体实施。我国《网络安全法》第37条没有直接规定跨境数据转移的安全评估标准，而是授权由国家网信部门会同国务院有关部门制定，但法律和行政法规另有规定的除外。因此，仅从现行法还无法得知跨境数据转移安全评估的具体标准，这样会存在一定的不确定性，容易被指责。*Ibid.相比较而言，欧盟《指令》和《通用条例》都针对第三国而非具体企业进行适当性评估，并在立法上直接公布评估标准。但正如前文所指出的，欧盟的适当性评估非常抽象和主观(如第三国的法治情况)，也受到很多诟病。*Christopher Kuner, supra note 16, p.39.此外，欧盟的对于企业进行的“标准合同条款”和“有效企业规则”(BCR)的跨境数据转移监控，也是欧盟委员会制定的，并非最高层级的立法。因此，我国《网络安全法》授权国家网信部门会同国务院有关部门制定有关标准并无不妥，但具体的标准仍应公布，从而向国内外企业提供比较充分的可预见性。此外，可以考虑将第三方中立机构(例如APEC认证的隐私责任评估机构)的评估纳入未来具体安全评估的参考因素之一，从而增强安全评估的客观性和中立性。

最后，我国法律对于非法跨境数据转移企业的责任追究机制的设置，并未采用欧盟的惩罚性措施。我国《网络安全法》第66条规定，企业违反跨境数据转移安全评估规定的，由有关主管部门责令改正，给予警告，没收违法所得，处5万至50万元以下的罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处以1万至10万元的罚款。此前曾有学者认为5万至10万元的罚款相对于年营业额动辄上千万甚至数以亿计的互联网企业而言是微乎其微、缺乏威慑力的，因而建议借鉴《通用条例》，采取高额行政处罚机制。诚然，《通用条例》第83条第5款规定的行政处罚非常具有威慑力(违法跨境数据转移规定的或者侵害个人数据权的，成员国数据管理当局可对违法企业处于最高不超过2000万欧元或者企业全球年度营业额的4%的行政罚款)，但这些处罚机制主要针对的是外国企业，并非欧洲本土企业。原因其实很简单，欧洲本土企业在计算机和互联网产业领域无法抗衡外国企业。与欧洲市场不同的是，中国境内的互联网企业主要是中国本土的企业，而且这些企业已经占据了全球前十位互联网企业中的四席，因此我国法无须采用类似欧盟高额处罚的机制进行威慑，依靠责令暂停相关业务、停业整顿、吊销相关业务许可证或吊销营业执照等行政措施就足以对在中国境内经营的中国本土企业和外国企业产生足够的威慑力。

(三)国内立法与国际规则的平衡

从目前的互联网等技术发展以及国内网络安全威胁的现状来看，我国法对跨境数据转移进行必要的限制是符合我国实际需要的，但具体的限制规则仍需考虑与现有相关国际规则相协调。

一般而言，大多数国家依据GATS第14条“一般例外”中的隐私例外条款，以个人数据或者隐私保护为名、采取第三国适当性评估模式、数据控制者担保模式、数据主体同意模式等立法模式限制跨境数据转移。然而，如前所述，这些立法模式都有各自的缺点，不一定符合我国的国情。因此，我国应考虑另辟蹊径，既实现维护消费者利益和国家安全、限制数据的跨境转移，又不给本国企业设置过高的个人数据保护执法成本。在这一点上，我国《网络安全法》对跨境数据转移规制的理由选择了“安全评估”。而且，如前所述，该法第37条并未明确“安全评估”到底是“个人数据安全的评估”、“产业安全的评估”、“国家安全的评估”还是综合三者的整体评估，具体的评估标准也授权相关部门后续确定。因此，我国的跨境数据转移的安全评估是否符合WTO规则(是否构成国际贸易壁垒)就成为关键。*国外46家团体认为我国跨境数据转移的安全评估构成WTO禁止的技术壁垒。See United States Council for International Business, supra note 58.

从现有WTO规则来看，GATS不仅在第14条“一般例外”中规定隐私例外条款，还规定了“安全例外条款”，而且，这一“安全例外条款”的适用条件与隐私例外条款适用的两大条件相同：一是“为了确保与本协定不会构成不一致的法律或法规得到遵守所必需采取的措施”；二是该“措施的实施在相同情况的国家间不构成任意的或者无端的歧视，或者不构成变相的服务贸易限制”。不过，GATS对于该条款中的“安全”并没有给出明确的界定。此外，GATS第14条之二规定了“国家安全”例外，即GATS不能解释为禁止成员国为了以下目的而做出的举措。一是保护下列核心安全利益而采取任何必要的措施：任何直接或间接向军事基地提供的服务；与核裂变和核聚变材料或者衍生这些物质有关的材料；在战时或者与国际关系有关的其他紧急情况。二是承担《联合国宪章》所要求的维持国际和平与安全而采取的安全措施。按照该规定，“国家安全”的内涵非常狭窄，一国很难援引GATS“国家安全”例外条款作为限制跨境数据转移的免责事由。

不过，从国际实践来看，有三点值得注。其一，俄罗斯在跨境数据转移限制规则上，除了利用GATS隐私规则外*《俄罗斯个人数据保护法》第2条规定：“本法旨在保护个人数据处理过程中涉及的个人权利和自由，包括对隐私、个人和家庭秘密方面的权利。”，还增加了以国家安全、国家防卫、保护公众合法权益为由的备用限制机制。具体而言，俄罗斯《个人数据保护法》第12条第2款规定，即使第三国提供了充分水平的保护，俄罗斯当局也可以国家安全、国家防卫、保护公众合法权益为由禁止或者进一步限制数据转移。因此，法律上以国家安全和公共安全为由限制跨境数据转移也并非没有先例。其二，目前尚没有任何国家的跨境数据转移限制制度因不符合WTO规则而被提交到WTO，即使美国曾多次指责欧盟的做法违反GATS“一般例外”。*Gregory Shaffer, supra note 15, p.8. See also Monika Ermert, “TISA Negotiations: Yes To E-Commerce, Data Flows, No To IPR, Data Protection”, Intellectual Property Watch, 17 December 2014.出现这种现状的原因非常多，但最重要的原因应当是控诉国深知WTO在判断某国制度是否违反GATS“一般例外”时所采取的双层分析法导致结果具有很大的不确定性：第一层判断该国制度与GATS“一般例外”中某个具体例外规定的关联度，其核心是判断该国制度是为了保护GATS“一般例外”中某个具体例外规定的利益而有必要做出的；一旦确认二者具有关联度，进入第二层分析，即判断该国制度是否违反GATS第14条“一般例外”适用的总体条件，即判断该国所采取的措施是否构成“任意的”或“无端的”歧视或“变相的服务贸易限制”，其核心是判断该国制度是否存在歧视他国，是否影响其他成员国通过GATS获得的权力。*Appellate Body Report, US — Gambling, para. 292-339.其三，考虑到跨境数据转移制度的核心是重大的经济利益和国际贸易关系，目前各国对于跨境数据转移方面的分歧都采用双边或多边谈判解决，例如欧美谈判达成跨境数据转移隐私保护安全港协议和后来的隐私盾协议；又如美国、澳大利亚、日本等国在TPP的多边谈判中对于跨境数据转移问题都搁置争议，回归GATS“一般例外”的做法。

因此，我国《网络安全法》采取安全评估方式限制跨境数据转移后，笔者建议相关部门在制定安全评估办法时对“安全评估”中的“安全”作广义的解释，即不要将其限定在国家安全、公共安全之内，而是还应当将其解释为囊括个人隐私保护的个人数据安全，从而明确我国的具体安全评估办法与GATS的“一般例外”规定以及现在国际实践的一致性。

(责任编辑：陈历幸)

张金平，北京大学法学院博士研究生，斯坦福大学法学院客座博士生研究员(visiting student researcher)。

DF41

A

1005-9512-(2016)12-0136-19