跨境数据流动中的隐私保护问题研究

魏若竹

一、跨境数据流动自由与隐私保护需求冲突

（一）跨境数据流动加剧隐私侵权风险

数字经济时代，以跨境数据流动为内容的跨国贸易正在飞速发展，承载着公民个人信息的数据快速、大规模在互联网上流动，使得公民的隐私处于前所未有的巨大风险之中，隐私侵权的空间范围、主体范围，侵权行为的隐蔽性和后果的严重性都大大增加。

具体来看，跨境数据流动语境下隐私侵权的空间范围扩大表现为：数字经济时代到来之前，隐私侵权行为主要指的是对公民住宅等有形物理空间进行侵入或干扰的行为；而在跨境数据流动语境之下，大量承载着公民个人信息的数据在互联网上储存并快速传播，这些储存在网络空间之中的数据构成了一种新的无形的、虚拟的网络隐私空间。[1]参见吉朝珑：“网络隐私权司法保护之框架构建”，载《河北法学》2008年第5期，第42页。对公民数据隐私空间的侵入或干扰也会构成隐私侵权，例如对他人经过加密的云盘的侵入或干扰。[2]参见吕彦：“给予网上人身权保护的几个问题”，载《社会科学研究》2002年第1期，第97页。而且，一些在传统物理空间中不构成隐私侵权的行为在网络隐私空间内会被认定为侵权。[3]参见王利明：“隐私权的新发展”，载《人大法律评论》2009年第1期，第5页。

跨境数据流动语境下隐私侵权的主体范围扩大表现为：传统的隐私侵权主体往往与隐私权人有现实生活中的关联，因此侵权主体的数量和范围有限。但在跨境数据流动语境之下，任何人都可能通过网络成为侵权主体，因此侵权行为人与隐私权人可能没有任何现实关联。[4]参见齐爱民：《个人资料保护法原理及其跨国流通法律问题研究》，武汉大学出版社2004年版，第127页。例如“人肉搜索”这一典型的侵害隐私的行为，侵权行为人不仅包括直接泄露他人隐私信息的个体，还包括借助网络传播他人隐私信息从而成为间接侵权人的任何互联网用户。此外，企业在提供服务或商品时，往往需要用户提交包括姓名、身份证号码、手机号码、住址等在内的基本信息并收集、使用用户的商品搜索及浏览记录、购买偏好等信息以更好地改进其服务或商品。但企业收集、使用用户数据的行为可能并未获得用户的授权或超出了用户的授权范围，从而造成隐私侵权。因此，企业也成为跨境数据流动语境下侵害隐私的主要主体之一。

跨境数据流动语境下隐私侵权行为的隐蔽性增强、[5]参见张新宝：《隐私权的法律保护》，群众法律出版社1998年版，第164～168页。危害后果增大表现为：跨境数据流动的存在可能使得隐私侵权行为发生于虚拟的网络空间或国外，追查隐私侵权行为人的难度远远高于现实隐私侵权。同时，跨境数据流动的存在使得隐私侵权的危害后果大大增加，因为公民个人隐私信息一旦因跨境数据流动在互联网上被泄露，就会在极短的时间内传播至世界各地，且一旦侵权行为发生，就很难完全消除侵权行为造成的消极影响。例如“艳照门”事件，相关照片一旦被上传到互联网，则世界各地的互联网使用者均可对照片进行浏览、下载，很难查清全部侵权人。而且即使确认侵权存在，也无法完全删除网络上流传的所有侵权图片，因为可能有用户将侵权图片下载在电脑中再次上传到互联网上。

（二）隐私保护的需求阻碍跨境数据流动自由

正是由于跨境数据流动语境下隐私侵权风险加剧，一些国家开始采取限制跨境数据流动的措施来保护其国内公民的个人隐私，[6]常见的措施如本地化要求、数据封锁、数据过筛、跨境数据流量限制等。试图从根本上减少因跨境数据流动所产生的隐私风险。这些措施虽然在一定程度上减少了因跨境数据流动所带来的隐私风险，但严重阻碍了跨境数据流动自由，使数据无法通过自由流动创造价值，不利于数字型企业及数字贸易的发展。从微观角度来看，企业通过与用户签署软件使用协议等方式获取了对用户数据进行收集、储存、使用的权利，因此其对相应数据进行商业利用具有正当性。隐私保护措施的存在使得企业在对数据进行收集、储存、使用时仅能选择该国境内的数据储存服务器或数据分析公司，在结果上使得企业无法自由选择更合适的合作者，提高了企业的生产经营成本、减损了经济效率及创新性。[7]See IvaMihaylova,Could the Recently Enacted Data Localization Requirements in Russia Backfire?Journa l World Trade Vol.50:2,p.313,316-317(2016).从宏观的角度来看，跨境数据流动作为数字经济时代开展贸易的重要环节，对其自由流动进行限制与贸易自由化的趋势不符，把天然具有全球化特征的数据市场人为分割为国家市场或区域市场，不利于数据作为生产要素在全球范围内的自由流动及以数据为内容的国际贸易的发展。[8]参见惠志斌：《数据经济时代企业跨境数据流动风险管理》，社会科学文献出版社2018年8月版，第67页。WIPO:Global Innovation Index(GII) 2019,https://www.wipo.int/global_innovation_index/en/2019/,最后访问时间：2019年12月12日。

因此，跨境数据流动自由与隐私保护需求之间的冲突表现为：一方面，频繁的跨境数据流动正在使个人隐私面临上世纪无法想象的风险；另一方面，部分国家为了防范跨境数据流动所产生的隐私风险，采取了限制跨境数据流动的措施，这些措施会对国际贸易产生消极影响，从长远来看不利于经济的发展和企业的发展创新。

二、平衡跨境数据流动自由与隐私保护需求的制度实践及分析

为了解决跨境数据流动自由与隐私保护需求之间的冲突，各国纷纷制定国内法规并积极促成国际谈判，相关的制度实践可以分为单边模式、多边模式、双边或区域模式。

（一）平衡跨境数据流动自由与隐私保护需求的单边模式

根据不同国家实体法的内容不同，可以将单边模式分为本地化模式、充分性保护模式和问责制模式。[9]参见韩静雅：“跨境数据流动国际规制的焦点问题分析”，载《河北法学》2016年第10期，第172页；陈咏梅、张姣：“跨境数据流动国际规制新发展：困境与前路”，载《上海对外经贸大学学报》2017年第6期，第38页；黄宁、李杨：“‘三难选择’下跨境数据流动规制的演进与成因”，载《清华大学学报》（哲学社会科学版）2017年第5期，第175页。

1.本地化模式

本地化模式指的是部分国家以跨境数据流动自由会损害隐私权为由，[10]事实上，采取本地化模式并非仅仅基于保护隐私的需求，还有国家数据主权、政治方面、产业发展等方面的考量，但本文仅讨论其与隐私保护之间的因果关系。相关的观点参见李海英：“数据本地化立法与数字贸易的国际规则”，载《信息安全研究》2016年第9期，第782页；Chander A.Uyen P,Data Nationalism,Emory Law Jou rnal,Vol 64:3,p.677-740(2015);Gisela Moohan,Elizabeth Morton,etal.Transborder,Data Flow:A Review of Issu es and Policies,Library Review,Vol.37:3,p.33(1988).要求企业的数据处理和储存活动必须在该国国内进行。这一模式下，相关国家采用一种“闭关锁国”的态度将数据严格限制在一国的国境之内，数据无法跨境传输，因而也从根本上避免了因跨境数据流动所产生的隐私风险。从适用范围上看，部分国家的本地化措施所针对的行业范围较广，例如俄罗斯联邦第242号法案将《个人信息法》（No.152-FZ）第18条修改为：在通过互联网收集个人数据期间，运营商应确保使用俄罗斯联邦内的数据库对俄罗斯公民的个人数据进行记录、系统化、收集、储存、修改。[11]Russia Federal Law No.242-FZ of July 21,2014,article 2.而部分国家的本地化措施仅针对特定行业，例如，我国《中华人民共和国网络安全法》要求关键信息基础设施运营者将个人信息和重要数据存储于本国；[12]《中华人民共和国网络安全法》第37条：关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。澳大利亚2012年出台的《我的健康记录法》规定了医疗信息方面的本地存储、加工及处理原则；[13]Australia My Health Records Act 2012(No.63,2012),article 77“Requirement not to hold or take rec ords outside Australia”.印度尼西亚2008年出台的《信息和电子交易法》中包含公共服务电子系统运营者将数据存储于印尼境内的要求。[14]Law No.11 of 2008 of the Republic of Indonesia Electronic information and Transactions,article 17.2.印度尼西亚于2016年对该法案进行了修订，但该修订案（No.19 of 2016）并未对有关本地化要求的条款进行修改。

针对所有行业普遍实施的本地化措施被大多数国家批判，因为数字经济之所以得以飞速发展正是基于其没有地域限制的优势。如果不允许数据跨境流动，则从宏观上来看，数字经济的优势将不复存在；从微观上来看，本地企业将失去与外国企业进行合作交流的机会，外国优秀企业的正常运行也会受到影响。有学者认为，数据的存取地虽然会对隐私保护产生一定影响，但对隐私保护而言更重要的是数据存取的方法和技术。[15]USTR, 2015 National Trade Estimate Report on Foreign Trade Barriers,https://ustr.gov/about-us/policyoffices/press-office/reports-and-publications/2015/2015-national-trade-estimate;Daniel Castro,The False Promise of Da ta Nationalism,The Information Technology and Innovation Foundation,December 2013.而且本地化措施会使数据的存储高度集中，这种状态往往会使数据处于更易受损的状态，因为其很有可能成为政府对公民行为进行监视的借口，因此将存储数据的地点作为防范跨境数据流动中可能产生的个人隐私风险的手段并不合理。[16]参见马蒂亚斯·鲍尔：“数据本地化的代价：经济恢复期的自损行为”，载《汕头大学学报》（人文社会科学版）2017年第5期，第44页。

2.充分性保护模式

充分性保护模式指的是：部分国家以其他国家是否可以提供充分的隐私保护水平作为判断是否允许数据跨境流动的标准，即划定严格的隐私保护水平，只有其他国家国内法所提供的隐私保护水平“充分”“可比”或“相当于”[17]不同国家采取的措辞具有细微的差别，例如欧盟采取的措辞为“充分”，而加拿大采取的是“可比”或“相当于”，但从实质上看是相同的，本文中笔者将其归纳为充分性保护模式。本国所要求的隐私保护水平时，才允许数据跨境流动。在充分性保护模式下，相关国家坚持的原则是任何跨境数据传输都不得减损对个人隐私的保护水平，[18]See Article 44“General principle for transfers”of GDPR.以保护隐私权为由禁止跨境数据自由流动，在能够提供符合标准的隐私保护的情况下，才例外地允许跨境数据自由流动。

由于充分性保护模式需要判断数据接受国国内法所能提供的隐私保护水平，主要防范来源于数据接收国国内的风险，故该模式实际上以地理位置为基准因素。以欧盟《通用数据保护条例》（General Data Protection Regulation,简称GDPR）的规定为例，其要求在欧盟成员国之间允许数据自由流动，而对于非欧盟成员国的国家，只有在欧盟委员会认定该国可以为隐私提供“充分的”“基本相当于”欧盟法令的保护水平的情况下，才允许私营公司将在欧盟范围内收集的数据转让给该国。[19]在具体认定该外国的隐私保护水平是否满足要求时，GDPR 规定，需要考量的因素包括：该国国内与人权以及隐私相关的立法以及执法情况、是否存在专门的有效运作的独立监管机构以确保相关规则的遵守并与他国监管机构进行合作、是否存在具有约束力的与个人数据保护相关的国际协定及国际义务。Article45(2)“ Transfers on the basis of an adequacy decision”of GDPR.这种以地理位置为基准的做法实际上依赖于相关国家本身可提供的隐私保护水平，因为在做出允许跨境数据流动的充分性决定时，权衡的因素是该国家整体的立法及执法情况，而且一旦做出该充分性决定，即意味着欧盟成员国有义务不阻碍数据从其领土流出，而不论与跨境数据流动相关的主体是其他国家的哪一个企业。[20]目前获得欧盟委员会充分性决定的国家及地区仅包括安道尔、阿根廷、加拿大（限于商业组织）、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、瑞士、乌拉圭等12 个，而且有学者认为上述获得充分性决定的主要是前英国殖民地的国家，例如法罗群岛、马恩岛、泽西岛，因此充分性决定的不确定性太强。

同时，为了尽可能避免相关制度对贸易的正常开展产生不利影响，采取充分性保护模式的国家还制定了一些配套制度以促进经济和贸易发展。例如，欧盟制定了标准合同条款[21]是一种经过欧盟委员会认可的格式合同，如果贸易双方经过合意采用了特定的格式合同，则允许双方进行跨境数据传输，因为该格式合同中已经对隐私保护进行了明确的约定，实际上是通过合同义务取代了对数据接收国国内法的要求。、约束性企业规则[22]Article 47“Binding corporate rules”of GDPR:The competent supervisory authority shall approve bindin g corporate rules in accordance with the consistency mechanism set out in Article 63,provided that they:…、单一转让行动等制度，作为与不具有充分性决定的国家及其企业进行跨境数据传输的依据。这些规则意在为不具有充分性决定的国家的企业提供一种替代做法，使数据传输者为被传输数据的安全提供保障，一旦传输过程中发生隐私侵权行为，则数据主体或监管机构可以依据合同条款或公司内部规则向数据传输者进行追责。但从实践的角度来看，上述配套制度的利用率较低，且对于中小企业来说负担过重，因此充分性模式整体上仍然体现出个人隐私保护优先的价值取向，未充分平衡跨境数据流动自由与隐私保护需求之间的关系。

而且，就充分性决定本身而言，其存在违反贸易自由化义务的可能性。以欧盟为例，其虽然规定了一些关于认定是否具备充分性时应当考量的因素，但相关的判断标准并不明确，实践中需要欧盟委员会根据实际情况进行自由裁量。因此，欧盟委员会可能对具有相似个人数据保护水平的国家做出不同结果的决定，[23]Cf.already G.SHAFFER,The Power of EU Collective Action:The Impact of EU Data Privacy Regulat ion on US Business Practice,European Law Journal,Vol.5:4,p.425-426(1999).也就是造成实质上的不平等进而违反最惠国待遇；[24]GATS 第2.1条：关于本协定涵盖的任何措施，每一成员对于任何其他成员的服务和服务提供者，应立即和无条件地给予不低于其给予任何其他国家同类服务和服务提供者的待遇。也可能未对他国服务或服务提供者提供与本国服务或服务提供者平等或更优的竞争环境，[25]C.L.REYES,WTO- Compliant Protection of Fundamental Rights:Lessons from the EU Privacy Directiv e,Melbourne Journal of International Law,Vol.12:1,p.22-23(2011).从而违反国民待遇的要求。[26]GATS第17.1条：对于列入减让表的部门，在遵守其中所列任何条件和资格的前提下，每一成员在影响服务提供的所有措施方面给予任何其他成员的服务和服务提供者的待遇，不得低于其给予本国同类服务和服务提供者的待遇。因此，采取充分性保护模式的国家应当特别注意政策的透明性和非歧视性，客观公正地适用规则，以避免被其他国家挑战为违反贸易自由化义务。

3.问责制模式

问责制模式是一种事后保护模式，即事前不因隐私保护对跨境数据流动自由进行限制，如果在跨境数据流动过程中侵害了数据主体的隐私，则在侵权行为发生后对数据传输主体进行追责，由数据控制者或数据处理者承担对隐私权人的侵权责任。[27]See Magdalena Sitek,Peter Terem,Marta Wójcicka eds, 2013 OECD Guidelines on the Protection of Pr ivacy and Transborder Flows of Personal Data as an Example of Recent Trends in Personal Data Protection,Alci de De Gasperi University Press,2014.“这一模式实际上包含事前及事后两方面内容，在事前由企业自发采取适当的措施，例如行业自律机制，在数据传输的过程中保障数据流动的安全性；如果企业未能合理保障数据主体的隐私，则由政府机构对其进行事后问责。”[28]沈玉良：《全球数字贸易规则研究》，复旦大学出版社2018年版，第138页。

在问责制模式下，相关国家坚持的原则是：跨境数据的自由流动应当得到优先保护，虽然跨境数据流动可能产生的隐私风险是一个现实的关切，但不应当以此为由阻碍数据的自由流动，如果确实发生隐私侵权行为，则对数据传输主体进行事后追责。由于问责制模式并不考察数据跨境流动时接收数据企业所在的地理位置（即国家），其防范的风险主要是接收数据的组织所带来的风险，因此其采取的判断基准是接收数据的组织而非企业所处地理位置。[29]See Christopher Kuner,Regulation of Transborder Data Flows under Data Protection and Privacy Law:P ast,Present and Future”,OECD Digital Economy Papers,No.187,OECD Publishing.总的来看，与充分性保护模式所要求的高标准隐私保护水平不同，问责制模式意在创设一种使得数据流动限制机制回归市场的状态，仅为数据主体的隐私提供最低标准的保护，以保障数据能够自由跨境流动。

问责制模式的优点在于：能够保障跨境数据传输的正常进行，避免了跨境数据流动壁垒；以组织为基准的监管方法认识到了地理位置因素在跨境数据流动中重要性的降低，更加契合数字经济的发展特点；对违规行为的事后追责和行业自律制度的实施能够督促企业以不侵犯个人隐私的方式进行跨境数据传输，能够在一定程度上达到保护个人隐私的目的，而且相较于强制性的个人隐私保护标准更加灵活。但问责制模式的缺点在于过分依赖企业的自律，一些自律程度较低的企业很可能会频繁发生侵权，虽然可以通过事后的问责使侵权企业承担一部分金钱赔偿责任，但隐私权被侵害的状态已经发生，给数据主体带来的精神上的损害无法被恢复。而且随着数字经济的不断发展，跨境数据流动也会越来越频繁，这无疑给监管机构带来了更大的监管压力。

综上所述，各国国内法所采取的本地化模式、充分性保护模式或问责制模式均具有不可忽视的缺点，并非解决跨境数据流动自由与隐私保护需求冲突的良好选择。

（二）平衡跨境数据流动自由与隐私保护需求的双边及区域模式

由于当前双边及区域贸易协定数量较多，笔者在此选取《全面与进步跨太平洋伙伴关系协定》（Comprehensive Progressive Trans-Pacific Partnership， CPTPP）、《美墨加协定》（The United States-Mexico-Canada Agreement,USMCA）、《欧盟-加拿大综合性经济贸易协定》（EU-Canada Comprehensive Economic and Trade Agreement,，CETA）为代表，分析其跨境数据流动条款及隐私保护条款的具体内容及异同点。之所以选择CPTPP 是因为，在近年来生效的贸易协定中，CPTPP 不仅率先提出了许多新的、更高的贸易自由化规则，而且缔约国遍布亚太地区，对亚太地区的经济影响力较大。而USMCA 和CETA 则分别是在美国或欧盟主导下签订的贸易协定的典型代表，《美韩自由贸易协定》《欧盟越南自由贸易协定》等其他由美国或欧盟主导签订的自由贸易协定在跨境数据流动与隐私保护议题上与USMCA 和CETA 中所采取的措辞没有太大区别，因此仅选取这两个作为美式和欧式自由贸易协定的代表进行分析。为了更直观的了解各自由贸易协定在措辞及内容上的区别，笔者制作了下表：

表一 新型贸易协定跨境数据流动与隐私保护规则对比

[35]CETA 第16.5条。[36]CPTPP 第14.13条。[37]USMCA 第19.12条。[38]CPTPP 第14.7条第2 款、第14.8条。[39]USMCA 第19.7条第2 款、第19.8条。[40]CETA 第16.4条、第16.6条。

这三个新型贸易协定中关于跨境数据流动与隐私保护的条款均位于电子商务章节，相关内容可主要概括为三个方面：跨境数据流动的原则及例外、本地化措施、个人隐私保护，其中，本地化措施可以视为跨境数据流动自由原则下的具体制度。因此，以下将从跨境数据流动与个人隐私保护两方面分别展开阐述。

1.跨境数据流动条款

对比上述三个贸易协定中的相关条款可以发现，在跨境数据流动方面，CPTPP 与USMCA 的共同立场可以概括为：以跨境数据流动自由为原则，以“合法公共政策目标”为例外。同时，实施例外需要满足两个条件：第一，限制跨境数据流动自由的措施不构成任意或不合理的歧视且不会对贸易造成变相限制，第二，实施该措施对跨境数据流动自由所形成的限制未超出实现目标的必要限度。[41]参见CPTPP 第14.11 及USMCA19.11条。

上述条款虽然为跨境数据流动设置了“合法公共政策目标”例外，但并未明确“合法公共政策目标”的范围及实施该例外的条件。即使借鉴GATS 框架中的例外规定，将（1）采取特定措施对于实现“合法公共政策目标”的贡献率，（2）是否存在其他限制贸易竞争程度更低的替代性措施，作为实现合法公共政策目标的必要条件，[42]See C.L.REYES, WTO- Compliant Protection of Fundamental Rights:Lessons from the EU Privacy Dir ective,Melbourne Journal of International Law,Vol.12:1,p.32-33(2011).也无法直接断言个人隐私必然构成“合法公共政策目标”。毕竟美国不论在贸易谈判中还是在其国内法的制定中，都将跨境数据流动语境下的隐私保护视为一个消费者保护问题，也就是说，个人隐私保护在美国并不是高于贸易自由的公共政策目标。更何况不论是CPTPP 还是USMCA 都主张高于WTO 水平的贸易自由化标准，那么在例外条款的设置上，如果认为“合法公共政策目标”的范围大于GATS，则实际上会导致贸易自由化会受到更多的限制。在这一前提下，如果“合法公共政策目标”包含GATS 例外中的个人隐私保护目标，则完全没有必要将GATS 例外条款的措辞弃之不用，转而采取一种全新的措辞，毕竟是否支持跨境数据流动自由及隐私保护是否构成其例外是电子商务章节最重要的争议焦点。因此，有理由认为CPTPP 和USMCA的“合法公共政策目标”之范围小于GATS 所规定的范围。但具体如何认定“合法公共政策目标”的范围仍然有待官方的声明或具体的案例。

相较而言，USMCA 关于跨境数据流动自由的措辞更为严格，因为CPTPP 中保留了各国制定各自跨境传输数据监管要求的条款，得益于这一规定，CPTPP 的缔约方越南于2019年1月开始实施《网络安全法》，并在其中提出了数据本地化要求；马来西亚也正在修订其国内的个人数据保护法。而USMCA 则去除了这一条款。

CETA 中并不包括关于跨境数据流动的原则及例外的条款，仅要求各国对跨境数据流动进行监管并强调相关的国内监管应当具备透明度和可预测性，同时强调对数据传输者在传输或储存数据方面的责任进行持续对话。依据这一条款，欧盟与加拿大之间的跨境数据流动仍然适用GDPR 中的规定，即在具备充分性决定的国家，欧盟负有保证数据流动自由的义务，在不具备充分性决定的国家，禁止跨境数据传输。[43]除CETA 外，欧盟在与韩国的谈判中也坚持了这一立场。See The EU-Korea Free Korea FTA Trade Agr eement.因此，该条款承认了欧盟域内个人隐私保护法规在国际贸易角度的合法性，如果其他国家希望同欧盟开展跨境数据传输，则必须要满足欧盟的充分性评估，否则只能放弃欧盟广阔的数字经济市场。[44]See Mckinsey Global Institute,Digital Globalization,The New Era of Global Flows,March 2016.

为了贯彻跨境数据自由流动的立场，CPTPP 和USMCA 中还包含禁止本地化的条款。与跨境数据流动条款相一致，在此问题上CPTPP 的规定也较USMCA 更加宽松，因为CPTPP 虽然设置了禁止本地化的条款作为一般要求，但仍然允许各国在例外条件下设置本地化法规，只要设置本地化法规满足“合法公共政策目标”，而USMCA 则并未设置例外条款。

CETA 中则并不包含禁止本地化的条款，有部分数字企业的法律顾问认为，欧盟的充分性决定从本质上来说属于本地化措施的一种，因此其在贸易协定中并不支持禁止本地化。[45]See Apple Senior Director,Global Privacy Law and Policy Jane Horvath’s speech in International Conf erence of Data Protection and Privacy Commissioners,Sep 29,2017.持这种观点的人之所以做出上述论断是因为：在他们看来，充分性决定限制了企业将在欧盟域内收集到的数据传输至其他国家，从而限制了数据进行全球流动的能力，导致数据只能在欧盟内部储存、传输、处理，一些企业在GDPR 出台后将其数据储存设备由欧盟境外转移到了欧盟境内，从而在事实上产生了与本地化措施相似的结果。[46]See Shell International’s data privacy legal counsel, Monika Tomczak-Górlikowska’s speech in Internation al Conference of Data Protection and Privacy Commissioners,Sep 29,2017.但笔者并不赞同这种观点，因为欧盟对于数据本地化也持有反对态度，认为数据本地化是不必要且有害的。[47]See Shivam Srivastav,Indian Draft Data Protection Bill:Data Localization Mandate Unnecessary &Ha rmful,Says EU,Inc42 Staff,21 Nov,2018.虽然从结果上看，充分性决定确实产生了限制跨境数据流动的效果，但不同于俄罗斯等国家完全禁止数据储存在国外的规定，欧盟的法规仅仅限制数据流向不具有隐私保护充分性的国家。换言之，只要一个国家的隐私保护水平足够，则欧盟并不阻碍数据流动，甚至对于获得了充分性决定的国家而言，欧盟成员国对于跨境数据流动自由负有保障义务。更何况，除充分性决定外，欧盟还设置了标准合同条款、约束性企业规则等配套制度，使得企业可以将数据传输至不具有充分性决定的国家。因此，直接将欧盟限制跨境数据流动的充分性决定等同于本地化措施是不合理的。[48]See Bruno Gencarelli,A European Data Protection Framework,https://www.etda.or.th/app/webroot/content_ files/13/files/229829_20180518_Bruno%20Gencarelli.pdf.

总的来看，在跨境数据传输问题上，CETA 赋予各国监管机构最大程度的自主权，CPTPP 也赋予监管机构一定程度的管理空间，USMCA 则在此问题上最为严格，并未通过条文赋予国内监管机构对跨境数据传输进行管理的权利，而是支持跨境数据流动自由。因此，在USMCA 框架下，缔约国国内监管机构对数据流动自由的限制很可能被其他国家质疑为违反协定义务。另外，不论CPTPP还是USMCA 都没有明确“合法公共政策目标”的范围和实施例外的条件，因此在实践中可能产生争议。

2.个人隐私保护条款

从条文的分类上来看，各贸易协定通过消费者保护和个人信息保护这两个独立的条款来实现个人隐私保护。三个贸易协定的共同之处在于均禁止对消费者造成损害的不公平或欺诈性商业行为，同时强调缔约国应制定非歧视性的个人信息保护法律框架。其不同之处在于对于如何实现个人信息保护所采用的措辞。具体来看，CPTPP 仅要求缔约国在制定保护国内个人信息保护法时考虑相关国际机构的原则和指导方针，但并未明确国际机构的范围。同时，CPTPP 并未对成员国采取何种方式以保护个人信息进行限制，成员国不必出台一部专门的个人信息保护法来履行条约义务，综合性的法律甚至是行业自律都被认为合格履行条约义务的体现。USMCA 同样认可通过综合性法律或行业自律实现个人信息保护的合法性，其与CPTPP 的不同之处在于直接指出国际机构原则及指导方针的具体指代对象为OECD 及APEC 隐私指南。而CETA 允许各缔约国自行制定国内个人信息保护法，结合CETA 跨境数据流动条款中对数据传输者责任的规定可以看出，欧盟仍然坚持了一贯的个人隐私保护优先于跨境数据流动自由的立场。综合来看，CPTPP 和USMCA 建议各缔约方采纳国际隐私框架的规定，而CETA 则允许缔约方适用国内隐私保护规则。

各自由贸易协定在个人隐私保护条款上的立场实际上与其各自在跨境数据流动问题上的立场互相配合。支持跨境数据流动自由的CPTPP 和USMCA 均在个人隐私保护方面建议采纳国际隐私框架的规定，认为国际隐私框架可以在跨境数据流动语境下实现良好的个人隐私保护，以国际隐私框架为范本制定国内隐私保护法可以为依托跨境数据流动进行的国际贸易提供平等的竞争环境。而CETA 在隐私保护优先于跨境数据流动立场的影响下，赋予缔约国制定国内个人信息保护规则的自由，是欧盟试图将其域内高标准隐私保护规则影响力逐步扩大，从而最终促成国际统一的高标准隐私保护规则的表现。

许多学者高度评价CPTPP 和USMCA 中建议成员国采纳国际隐私框架的做法，认为这一规定打破了贸易协定和国际隐私框架之间的隔阂，有利于在数字经济时代实现“对个人隐私进行良好保护”和“跨境数据流动自由”的双赢局面。[49]参见许多奇：“个人数据跨境流动规制的国际格局及中国应对”，载《法学论坛》2018年第3期，第131页。但实际上从OECD 和APEC 隐私框架的内容上看，二者均以事后问责作为指导原则，体现了美国所提倡的跨境数据流动自由优先的思想，是美国主导下形成的规则体系。笔者认为，CPTPP 和USMCA 建议成员国采纳国际隐私框架的这一规定确实存在一定积极意义，因为目前仍然有很多国家尚未制定数字经济时代的隐私保护法，对这些国家来说，国际隐私框架可以为其制定国内法提供一定的参考。但问责原则的存在使得CPTPP 和USMCA 无法从根本上解决跨境数据流动自由与隐私保护需求之间的冲突。

综合CPTPP、USMCA 及CETA 中的跨境数据流动条款与隐私保护条款可以发现，三者对于跨境数据流动自由和隐私保护的态度可以用如下图示表示。

图一 新型贸易协定数据隐私保护立场对比

之所以形成这样的立场，是由于CPTPP 的前身TPP 在美国的主导下形成，美国退出TPP 后，其他国家虽然冻结了一些高标准条款，但主要集中在知识产权和金融服务等方面，电子商务章节并未进行改变，因此CPTPP 中关于跨境数据流动与隐私保护的条款在一定程度上体现了美国所提倡的跨境数据流动自由思想。但由于CPTPP 的谈判国家众多，各国的经济发展水平尤其是电子商务发展水平不一，因此其跨境数据流动与隐私保护方面的条款也体现出了对美国主导的跨境数据流动自由思想的一定折中。而USMCA 相较于CPTPP 表现出了更加明显的跨境数据流动自由立场。但两者在跨境数据流动自由与隐私保护之间都更倾向于保护数据流动自由，强调不对数字经济发展造成不必要的阻碍，例如二者均包含禁止本地化条款。CETA 作为欧盟主导的自由贸易协定，体现了欧盟一贯支持的将个人信息作为基本人权进行高标准保护的态度，只强调国内监管的透明性和可预测性，并未赋予缔约国保障跨境数据流动自由的义务，反而重申了数据处理者的责任和各国制定国内个人信息保护法的自由。

因此，虽然目前的新型贸易协定已经达成了一些共识，例如就跨境数据流动议题展开谈判、保护消费者和个人信息的必要性，但是在核心的问题上仍然具有较大的分歧，主要集中在隐私是否构成阻碍跨境数据流动自由的合理理由，以及各国制定国内个人信息保护法的标准。

（三）平衡跨境数据流动与隐私保护的多边模式

多边模式主要指的是WTO 框架。WTO 框架是工业经济时代多边贸易谈判的产物，虽然近年来WTO 已经充分注意到数字贸易的重要性，但目前仅形成了一系列不具有强制约束力的对电子传输免征关税的宣言，[50]例如2001年多哈宣言、2005年香港宣言、2015年内罗毕宣言等一系列电子传输免征关税延期宣言。并未明确电子传输免税是否适用于利用互联网传输产品或服务，也未通过针对跨境数据流动和个人隐私保护的正面明确规定。[51]See S.Wunsch-Vincent,The WTO, the Internet and Trade in Digital Products:EC-US Perspectives,Ox ford University Press,2006,p.40.

目前WTO 框架下的GATS 可以适用于跨境数据流动下的隐私问题。一方面，DSB 近年来在具体案件的裁决中表达了将GATS 框架下的义务适用于成员国跨境数据流动的立场。在安提瓜诉美国博彩服务案（DS285）中，专家组裁定：“如果成员国未在具体承诺表中对跨境服务提供方式进行限制，即意味着该国接受通过任何方式提供该类服务，包括技术进步后所产生的新的方式。”[52]See Panel Report,US－Gambling,para.6.285.http://wto.org/english/Tratop_e/dispu_e/cases_e/ds285_e.htm,Ca se 285.美国诉中国出版物与音像制品案（DS363）[53]http://wto.org/english/Tratop_e/dispu_e/cases_e/ds285_e.htm,Case 363.再次声明了这一立场。另一方面，GATS 第14条表明GATS 允许以保护个人隐私为由实施限制跨境数据流动的措施，但适用该条款需满足的要求包括：第一，采取措施时应当本着最大善意，且实施该措施的目的是保护个人隐私；第二，措施的采用应当是必要的，即措施与保护个人隐私的特定目的之间存在因果关系，措施的采用应当符合最少贸易限制原则，也就是说采取的措施是可以达成实施目的措施中对贸易限制最少的一种；第三，该措施的采用应当是非歧视的，且不会对服务贸易造成限制或变相限制。但目前尚未有案例援引这一条款作为限制跨境数据流动措施的抗辩理由。[54]GATS 第14条：只要这类措施的实施不在情况相同的国家问构成武断的、或不公正的歧视，或构成对服务贸易的变相限制，则本协定的规定不得解释为阻止任何成员采用或实施以下措施：……（c）为确保服从与本协定规定不相抵触的包括与下述有关的法律和法规所必需的：……（2）保护与个人资料的处理和散播有关的个人隐私以及保护个人记录和账户秘密的；……

因此，运用GATS 框架规制跨境数据流动与隐私具有三重不确定性：第一，根据成员国具体承诺表的不同，可能会得出是否适用跨境数据流动的不同结果。也就是说，在成员国未对具体承诺表中跨境服务提供方式进行限制的情况下，根据DSB 裁决可以推定其具体承诺义务包含通过跨境数据流动方式提供的服务，但是在成员国未做出具体承诺或在具体承诺中声明限制服务提供方式的情况下，则无法依据已有的DSB 裁决推定GATS 义务适用于该成员国。第二，成员国具体承诺的做出依赖于服务行业分类和服务提供模式，但针对目前出现的一些不在传统服务行业分类中的新型服务行业及其所属的服务提供模式，例如云端数据的存储使用，显然无法使成员国承担相应的义务。第三，在实践过程中，不论是GATS 义务是否适用于跨境数据流动的认定，还是隐私是否可以作为阻碍跨境数据流动的抗辩，都需要由DSB 进行个案认定，存在个案认定中的不确定性。

以进一步开放跨境电子商务为宗旨的《国际服务贸易协定》（Trade in Service Agreement,TISA）谈判中包含较为详细的跨境数据流动条款和隐私保护条款。2011年，欧盟和美国在TISA 的谈判中提出了有关信息自由流动条款的联合措辞，约有50 个国家（占世贸组织成员国的1/3 以上，占世界服务贸易总量的70%）同意减少服务贸易（包括电子商贸）壁垒。[55]See What is TISA(Trade in Services Agreement),http://www.esf.be/new/multilateral-plurilateral-negotiatio ns/ tisa/what-is-tisa-trade-in-services-agreement/,最后访问时间：2020年1月21日。然而，随着谈判的进行，各国价值取向的差异逐渐显现，导致各方迟迟无法就此达成共识。各国的价值取向大致可以分为三类，以美国为首的国家强调跨境数据流动在当前时代的重要性，认为应当允许数据完全自由流动并对隐私进行弱保护；欧盟、澳大利亚、加拿大等国家认可跨境数据流动带来的经济价值，但认为应当将隐私保护作为限制跨境数据流动自由的抗辩理由；俄罗斯、越南、土耳其、智利等国家强调隐私保护的重要性，完全排斥数据的跨境流动。[56]See Eurective,The Global Battle to Rule the Internet,http://www.euractiv.com/infosociety/internet-governa nce/ article-142724.NA,Leaked TISA Text Shows Clash on Data Transfer,Regulatory Transparency,Inside US Tra de,最后访问时间：2020年1月21日。

综合来看，当前的单边模式、双边及区域模式、多边模式虽然都对跨境数据流动中的隐私保护问题提供了一些有益的制度实践，但是在是否应当支持跨境数据流动自由，以及隐私保护是否可以作为阻碍跨境数据流动的理由这些核心问题上仍然体现出跨境数据流动自由优先和隐私保护优先之间的两极分化现状。因此，有必要从理论层面深入探讨各国无法就此问题达成一致的原因，即分析跨境数据流动语境下隐私保护的价值核心，从而为构建国际跨境数据流动中的隐私保护制度奠定基础。

三、跨境数据流动下保护隐私的价值核心

从根本上看，当前之所以出现跨境数据流动自由优先和隐私保护优先两极分化的状况，是因为不同国家对隐私的价值核心的认识的不同。将隐私作为人格尊严的国家赋予隐私基本权利的地位，数据主体获得了宪法层面的良好保护，并且无法随意抛弃其隐私；而将隐私作为公民自由的国家仅赋予消费者控制自身信息的权利，消费者享有选择是否允许以及在何种程度上允许企业使用其信息的自由，国家仅仅保护隐私消费者不受市场的不公平对待及欺诈。但在跨境数据流动的语境下，传统理论中的单一价值核心都具有无法忽视的缺点，因此应当将二者共同作为隐私保护的价值核心，并将人格尊严作为首要的价值核心。

（一）关于跨境数据流动下隐私价值核心的两种观点

美国是跨境数据流动自由优先立场的代表国家，欧盟则是隐私保护优先立场的代表国家，二者均对当前国际贸易规则的指定产生了巨大影响，下文将对美国及欧盟隐私保护价值核心进行分析。

1.欧盟：隐私是人格尊严的体现

受第二次世界大战时个人尊严被严重践踏的影响，[57]这一观点是当前得到最多认可的观点，参见 BEIGNIER,supra note 42,at 7;infra notes 126,161 and a ccompanying text.Gabrielle S.Friedman &James Q.Whitman,The European Transformation of Harassment Law:Discrimination Versus Dignity,9 COLUM.J.EUR.L.241(2003).欧洲国家普遍认为对个人隐私的暴露实际上侵害了个人的人格尊严，因为个人的人格尊严主要在于其希望以什么形象被他人认可，而一旦违背个人的意愿披露其个人信息，就会损害个人所表现出的公共形象，使该特定的个体以一种他自身不希望的方式被他人看待，进而影响了个体与他人之间的关系。[58]See Ruth Gavison,Privacy,and the Limits of Law,Yale Law Journal Vol.3:89,p.421- 471(1980).在这种历史背景下，隐私作为人格尊严的一种体现得到了欧洲人权保护文件和宪法层面的保护。[59]See Ruth Gavison,Privacy,and the Limits of Law,Yale Law Journal Vol.3:89,p.421- 471(1980).例如，《欧洲人权公约》第8条规定：“人人有权享有使自己的私人生活和家庭生活、家庭和通信得到尊重的权利。”《欧盟基本权利宪章》第7条也包含同样的规定。Article 8 of European Convention on Human Right s.Article 7 of Charter of Fundamental Rights of the European Union(2012/C26/02).在跨境数据流动的语境下，欧盟仍然强调将隐私作为人格尊严的体现进行保护，因而其在跨境数据流动问题上适用充分性决定，禁止数据流动到隐私保护水平不具有充分性的国家。同时，基于欧盟将隐私视为一种人格尊严，故隐私具有高度的不可让渡性，数据主体无法通过合同或合意的方式主动放弃其隐私权。[60]参见彭岳：“贸易规制视域下数据隐私保护的冲突与解决”，载《比较法研究》2018年第4期，第182页。另外，考虑到跨境数据流动语境下企业对个人数据的利用需求，欧盟又规定了个人信息权，《欧盟基本权利宪章》第8条规定：“人人有权保护自己的个人资料。此类数据必须在有关人员同意或法律规定的其他合法依据的基础上，为特定目的公平处理。人人有权查阅所收集的有关他或她的资料，并有权要求纠正这些资料。”同时明确了个人信息权并不是一种绝对权利，对其的保护应当根据比例原则确定并使其与其他基本权利互相权衡。

正是由于将个人尊严作为隐私保护的价值核心，欧盟在跨境数据流动自由与隐私保护需求产生冲突时优先保护个人隐私，在能够保护个人隐私的前提下才允许数据流动，从而使公民都能够有尊严的生活。

2.美国：隐私是一种公民自由

不同于欧盟将隐私作为一种人格尊严进行保护，美国之所以强调保护隐私是为了使公民免受公权力机关的侵害，是防止公权力机关滥用权力侵扰个人的消极自由，而很少关注因媒体或私人机构带来的隐私风险。[61]例如美国1974年《隐私权法》的主要内容就是限制联邦政府机构收集、保存、使用个人资料的权限，强调政府不得在未经允许的情况下收集或使用公民的个人资料，同时应当通过行政和技术措施保障其收集的个人信息。Privacy Act of 1974(5 U.S.C.A.552a).也就是说美国宪法并未规定任何政府积极保护公民隐私的义务，只是限制了政府不得采取某些行为以避免对公民产生干扰，而不关心媒体以及私人企业对公民隐私可能造成的影响。[62]通常认为美国宪法第四修正案中禁止无理由的搜查和逮捕的条款是宪法保护隐私的体现。因此，美国的隐私权是使个人可以在公权力日益扩张的情况下，享有独处空间以自由发展个性的体现，也就是一种“不受干扰的权利”。[63]参见[美]阿丽塔·丽·艾伦：《美国隐私权：学说、判例与立法》，冯建妹等译，中国民主法制出版社2004年版，第17页。在跨境数据流动的语境下，考虑到私人部门对公民个人信息的收集和利用日益增加，并且有可能侵害隐私，美国开始将个人信息控制权纳入隐私保护的范畴之内，[64]控制说的核心观点是：隐私是一种“可控制的信息”。See Charles Fried:Privacy,48 California Law Revi ew.383,1960.认为使每个美国公民有权控制个人信息被如何使用是隐私得到保护的必要体现[65]See Democrats Hold News Conference on Financial Privacy,May 4,2000 [statement of John LaFalce].。但同时，美国的隐私制度认可个人信息所具有的经济价值，并认为个人作为消费者有权选择以何种对价与企业或其他个人交换其信息，而在这种情况下可能侵害隐私的行为仅限于“不公平”和“欺骗性”行为，这类行为主要通过行业自律的方式进行规范。不公平对待主要是指“对消费者造成实质性的重大损害，造成的损害无法抵消其所带来的消费者利益或竞争利益，而且消费者自身无法合理避免”的商业行为。而在认定是否存在欺诈行为时，主要测试该行为的“陈述或做法是否可能对消费者产生误导，该行为在消费者角度的合理性，以及行为或惯例是否可能影响或影响消费者对产品或服务的行为”。[66]15 U.S.C.§ 45(n).

因此，美国将自由作为隐私保护的价值核心，认为公民对个人信息进行使用的权利是自由的一种体现，从而主要依靠行业自律对企业收集、使用公民个人信息的行为进行监督，仅在企业发生“不公平”和“欺骗性”行为时才进行事后规制。

（二）采用单一隐私保护价值核心的不足

虽然两种隐私保护价值核心均有独特的社会历史背景作为支撑，但在跨境数据流动的语境之下，上述两种价值核心均具有不可忽视的不足。

具体来看，采用单一人格尊严价值核心的缺点在于过分重视数据所体现的人格尊严利益，而忽视了数据所具有的财产利益。数字经济时代下，数据不仅因承载着隐私信息而具有人身属性，还因数据的商业价值而具有一定的财产属性。[67]参见赵华明：“论网络隐私权的法律保护”，载《北京大学学报》2002年，第168页；杨惟钦：“价值维度中的个人信息权属模式考察——以利益属性分析切入”，载《法学评论》2016年第4期，第71页；张新宝：“从隐私到个人信息：利益再衡量的理论与制度安排”，载《中国法学》2015年第3期，第49页。过分重视人格尊严利益会使得公民无法通过跨境数据流动获取便利的商业服务。举例来看，欧盟并不提倡信用报告制度，认为允许任何商人了解个人金融方面的历史，会使得人们希望塑造自身金融形象的需求落空，[68]See Steven R.Salbu,The European Union Data Privacy Directive and International Relations,35 VAND.J.TRANSNAT'L L.655,684(2002).因此，法国规定只有一个人在经历严重的财务困难时才可由政府提供其信贷报告，而且这一报告只包括存在信用风险的人的姓名。[69]See Commission Nationale de l'Informatique et des Libert～s,D6lib～ration No.87-025 of Feb.10,1987,J CP 1987,III,59910,available at http://www.cnil.fr.在关于利用消费者数据进行偏好分析的问题上也是如此，欧盟认为如果允许营销人员购买有关消费者偏好的数据会严重侵害消费者的隐私，[70]See David Scheer,Europe's New High-Tech Role:Playing Privacy Cop to the World,WALL ST.J.,Oc t.10,2003,at Al.禁止了此类消费者数据的流动。但实际上信用报告制度可以帮助消费者更便利地获取商业贷款，消费者数据流动可以帮助营销人员更加精准的为消费者提供其所需要的商品和服务，能够降低消费者的搜索成本，有助于提高市场效率。因此，考虑到使数据进行自由流动所带来的商业便利，例如促进经济及企业自由发展、提高市场效率、为消费者提供更加多元的服务，在跨境数据流动语境下探讨隐私权时有必要将数据所具有的财产属性考虑在内。

而单纯将自由作为跨境数据流动背景下保护隐私的价值核心所带来的问题是：第一，无法满足国际法层面，尤其是国际人权法方面对于隐私权保护的要求。不论是1948年的《人权宣言》，还是1966年的《公民权利和政治权利国际公约》都强调将隐私权作为与生命权、言论自由权等并列的人权进行保护，而美国将跨境数据流动语境下的隐私保护限于对消费者的不公平和市场欺诈行为显然只是消费者权利层级的保护，并未将其上升到基本人权的地位。事实上美国确实有将隐私作为人权进行保护，但这种保护是针对公权力机关而言的，并不能满足跨境数据流动语境下对私人机构的管理要求。第二，事后追责无法满足隐私保护需求。由于仅仅将数据主体视为消费者，其主要采用事后问责的方式对侵害消费者隐私权的行为进行追责，这种事后追责的方式往往无法充分弥补消费者的损失。因为在数字经济时代背景下，隐私侵权一旦发生其传播范围和影响程度就会在互联网上迅速扩大，即使法院判决企业侵害了消费者的隐私，也难以完全消除消费者隐私信息在互联网上的传播和储存，这种不可逆转的伤害对消费者来说是灾难性的。例如一旦消费者的私密照片被违规传播，则该照片可能被世界各地的互联网使用者查看甚至下载，即使最初违规传播的企业被问责，也无法将互联网上流传的、用户储存在本地的全部隐私侵权照片删除。而且事后问责的方法仅仅要求侵权人承担一定的财产赔偿责任，而隐私被侵害给消费者带来的精神上的损害无法用金钱来衡量，即使给予足额的赔偿，也无法像物权被侵害那样使权利回复到未受侵害的状态。而且，在近13年的时间内，由联邦贸易委员会提起的侵害消费者隐私的诉讼共约100 起，与网络世界中普遍存在侵权的现状严重不符。[71]Julie Brill,Fed.Trade Comm’n,Global Regulation of Data Flows in a Post-Snowden World 1(2015),https://www.ftc.gov/public-statements/2015/02/global-regulation-data-flows-post-snowden-world-killingstad-global.因此，在跨境数据流动的语境之下，事后问责并不是一种有效的权利保护方式，如何在损害发生之前通过合理的预防性措施来避免损害的发生以及扩大才是应当探讨的问题。[72]参见王全弟、赵丽梅：“论网络隐私权的法律保护”，载《复旦学报》（社科版）2002年第1期，第110页。

（三）跨境数据流动下隐私保护双重价值核心的确认

应当认识到，在跨境数据流动的背景之下，传统的单一隐私保护价值核心均具有无法忽视的缺点，不能满足当前的隐私保护需求，但二者的缺点又可以被对方的优点所弥补，因此有必要采取一种折中的手段，使得两者均能发挥其在跨境数据流动背景下保护隐私的优势。从促进国际共识达成的角度来看，采取折中手段也有利于持有两种不同价值观的国家尽早就此问题达成一致，毕竟跨境数据流动下隐私保护的价值核心究竟应当是人格尊严还是自由和一国不同的社会历史背景、政治理想及法律传统有关，[73]参见彭岳：“贸易规制视域下数据隐私保护的冲突与解决”，载《比较法研究》2018年第4期，第185页。See Gorisch C .Eberle,Edward J.Dignity and Liberty.Constitutional Visions in Germany and the United States[J].,2003,1(1):págs.642-645.这种价值观上的偏差几乎不可能被谈判所改变，没有理由认为其中一方可以说服另一方以他们的方式来看待世界。[74]See Eberle,Edward J.,Dignity and Liberty:Constitutional visions in Germany and the United States,Der Staat,p.642-645(2002).因此，不追求一方完全按照另一方的价值观来看待这一问题，而是在部分承认一方价值的基础上，促进其理解与另一方存在分歧的原因，从而实现两种不同价值观之间的协调。

确认跨境数据流动背景下保护隐私的价值核心首先要承认，隐私保护既具有人格尊严价值又具有自由价值。为了使数据主体有尊严的生活，需要认可隐私保护的人格尊严价值，为了保障数据主体作为消费者自由对其信息进行利用的需要，需要认可隐私保护的自由价值。其次应当认识到，在两种价值中，要以人格尊严价值为主，以自由价值为辅。因为人格尊严是人生而为人的一种内在属性，对隐私进行保护的根本目的在于使个人以一种有尊严的方式生活在社会中。[75]参见王利明：“隐私权的新发展”，载《人大法律评论》2009年第1期，第22页。而跨境数据流动语境下的自由价值产生于数据的财产属性之上，数据的财产属性是隐私在数字经济时代下的人格利益的衍生物。[76]参见杨惟钦：“价值维度中的个人信息权属模式考察——以利益属性分析切入”，载《法学评论》2016年第4期，第73页。这种财产属性是数据人格性的折射，从数据承载着的信息中体现出的仍然是人本身，其之所以具有商业价值也是因为其与具体的人相关，如果失去与具体的人之间的联系，单纯的抽象数据所具有的价值将会大打折扣。所以说，在跨境数据流动语境下探讨隐私保护的核心价值，应当将对人格尊严的维护作为根本目的，[77]参见张新宝：“从隐私到个人信息：利益再衡量的理论与制度安排”，载《中国法学》2015年第3期，第5 5页。同时适当考虑个人作为消费者，希望对其数据进行商业利用的自由。

由此产生的一个新问题是：以人格尊严价值为主、自由价值为辅，是否意味着在人格尊严价值与自由价值产生冲突时必然优先保护人格尊严价值，也就是在保护数据主体隐私与利用数据的自由产生冲突时，必然优先保护隐私。对于此问题，应当明确人格尊严价值为主，并不等同于欧盟所支持的隐私保护优先，而是依据比例原则的思想，运用“领域理论”[78]领域理论最早产生于德国，是德国解释一般人格权的基础理论，其核心是根据与人格之间的密切程度对个人生活的领域划分层次，对不同层次的领域进行不同程度的法律保护。德国联邦法院所采纳的划分标准是：按照与人格密切程度递减的顺序，依次为隐秘领域、秘密领域和个人领域。在与人格密切程度最高的隐秘领域，个人享有最高程度的不受侵扰的权利，而在秘密领域，个人仅享有部分不受侵扰的权利，个人领域则是指与人格密切程度最低的领域，在该领域个人享有的不受侵扰的权利最弱。但德国之后的司法实践对原本的领域理论进行了部分修正，主要是对隐秘领域的绝对保护施加了一些限制，使领域理论所确认的人格保护相对化，强调对个人隐私的保护必须受到重大公共利益的限制。参见王泽鉴：《人格权法》，三民书局2012年版，第240页。对数据进行区分，对于不同的数据予以不同的保护水平和利用程度。具体来说，就是按照与隐私的密切程度，将数据领域分为不同的层次，对于隐私密切程度最高的领域，例如个人的恋爱史、性行为、私人日记等数据，从保护个人人格尊严的角度出发，对数据进行强化保护，弱化对数据的利用需求。除非存在与隐私保护相冲突的社会公共利益，或生命权受到侵害的情况，否则不减损对隐私的保护程度，[79]例如《欧洲人权公约》第8条第2 款即规定：“除非按照法律规定及为了保护国家安全、公共安全、社会利益或保护健康和道德或保护他人的权利和自由，隐私权的行使不应当受到干涉。”再如德国《基本法》第2条第1款规定：“人人享有个性自由发展的权利，但不得侵害他人权利，不得违反宪法秩序或道德。”以使个人在跨境数据流动背景下充分享有尊严。对于与隐私密切程度中等的领域，例如个人银行存款数据、理财数据、医疗数据等，根据个案中所涉及的具体利益，判断是否对隐私进行保护。对于与隐私密切程度较低的领域，例如个人的姓名、性别等数据，从保护消费者对自身数据控制自由的角度出发，强化对数据的利用，减弱对数据的保护力度，以满足企业和个人的数据利用需求。

确认跨境数据流动语境下隐私保护的价值核心后，有必要以此为理论为根据，完善当前的跨境数据流动与隐私保护规则。

四、跨境数据流动下隐私保护制度的完善

从当前各种模式所包含的内容上看，各国已经就跨境数据流动与隐私保护达成了一些基本的共识。首先，在目标层面，各国均认可跨境数据流动自由与隐私保护在当前时代的重要性。也就是说，尽管当前的贸易制度体现出跨境数据流动自由优先与隐私保护优先两极分化的趋势，但各国都已经认识到保障跨境数据流动与保护个人隐私都具有重要意义，只是对于两者适用时的优先地位有不同的认识。其次，在规制的范围方面，新型的贸易协定均在电子商务章节对跨境数据流动进行了正面规定，改善了WTO 框架适用于跨境数据流动的不确定性。最后，在国际合作的必要性方面，当前各新型贸易协定均强调，就跨境数据流动与隐私保护问题进行国际合作，通过贸易协定对跨境数据流动与隐私保护问题进行规制，可以减少因各国法律冲突所造成的破坏国际贸易的可能性，[80]See Protection of Personal Data,EUROPEAN COMM'N,http://ec.europa.eu/justice/data-protection，最后访问时间：2020年1月18日。从而使数据这一重要的生产要素更有效的在全球范围内流动，使所有的市场参与者均从中获益。

在上述已有的共识的基础上，考虑到在多边模式框架下达成合意耗时较长，但解决分歧对数字经济发展刻不容缓，在短期内，应推动双边及区域贸易协定谈判，从而为数字经济发展创造平等的竞争环境。为此，相关规则的谈判应当主要从以下几个方面进行：第一，推行跨境数据流动的原则及例外模式，明确隐私保护可以作为限制跨境数据流动的合理理由，以CPTPP 及USMCA 这类已经规定了跨境数据流动原则及例外的贸易协定为例，应当明确“合法公共政策目标”包含隐私保护，同时公布实施例外措施应当满足的条件以及判断标准。第二，逐步取消数据本地化，但同时应当允许各国出于保护国家安全等原因进行保留。第三，对于部分尚未制定国内隐私保护法的国家来说，由于充分性保护模式正被越来越多的国家采纳，[81]例如马来西亚《个人数据保护法》（2010）第129条、香港特别行政区《个人资料私隐条例》第33 节、瑞士《联邦数据保护法案》第6条、阿尔巴尼亚《个人数据保护法》（No.9887）第8条、安哥拉《个人数据保护法》（No.22/11）第33条、阿根廷《个人数据保护法》（No.25,326）第12 节、秘鲁《个人数据保护法》（No.29733/2011）第11条、塞内加尔《个人数据保护法》（No.2008-12,2008年1月25日）第49条。为了尽量避免因缺乏个人信息保护框架而导致数据无法跨境流动，应尽早根据本国国情出台隐私保护法。同时不限制隐私保护法的形式，既可以通过专门性立法，也可以通过综合性立法来实现。但应保证各国法律的透明度及非歧视性，避免以隐私保护为理由变相实施贸易限制措施。

从长期来看，应敦促各国在多边贸易机制下，就跨境数据流动语境下的隐私保护价值核心进行协商，认可跨境数据流动语境下的隐私保护既具有人格尊严价值又具有自由价值，且人格尊严价值优于自由价值，并在广泛收集各国意见的基础上，公布一套争议较小的数据领域分类标准。在此基础上，多边跨境数据流动与隐私保护规则应当主要包括如下条款：第一，确定WTO 框架协议对跨境数据流动的适用性。第二，就具体的跨境数据流动与隐私保护规则而言，根据领域理论对不同数据进行不同的保护，并将国家机关监管与行业自律相结合。具体来看，对于与人格尊严联系最为紧密的数据，实施充分性决定进行事前保护，并以国家机关的监管为主；对于与人格尊严联系最不密切的数据，实施问责制原则，并以行业自律监管为主；对于与人格尊严联系程度中等的数据，将数据传输者既往保护隐私的情况作为是否允许跨境数据流动的一个考虑因素，主要运用事后问责的方式。在问责时，考虑到单纯的经济惩罚，甚至是低额的单纯经济惩罚，无法使隐私侵权企业充分认识到其行为所带来的负面影响，建议增加经济惩罚的数额，并将隐私侵权状况与企业征信相结合，促使企业更加积极主动的对用户的隐私进行保护。这种国家机关监管与行业自律相结合的方式有助于国家机关及行业自律组织充分发挥各自的作用。国家机关在监管过程中的作用一方面体现为国家级法律的制定，另一个重要的方面则表现为，作为监督法律实施及执行情况的主体对企业进行监管，因此，越来越多的国家设立了专门的数据隐私保护机构，以制定规则并监督企业保护用户数据隐私的情况。而且行业自律组织可以与国家法律的强制机制实现良好的配合与互动。具体来看，其不仅可以通过企业自律形成的惯例影响法律的制定和实施，而且对于法律未能覆盖的一些新问题，可以通过行业自律组织来进行规范，避免法律滞后性所带来的监管空白，待时机成熟之后再制定法律，既能保证法律的权威，又能及时解决实践中产生的新问题。更重要的是，法律也会影响行业自律组织的行为，行业自律规则往往基于国家法律而制定，行业自律组织可以督促企业按照法律的规定调整其行为，发挥其在社会中的积极作用。

这样分类的监管方式，既能保证与人格尊严最密切相关的隐私数据能够得到充分保护，又能确保跨境数据的自由流动不受到过分限制；既能避免给监管机构带来过多的监管压力，又不过分依赖企业自律，导致自律程度低的企业频繁发生隐私侵权。

结论

在数字经济飞速发展的背景下，承载着公民隐私的数据在互联网上飞速传播，跨境数据传输的特性使得隐私遭受侵害的风险加剧。但一些国家采取的防范隐私措施在实施过程中会产生限制跨境数据流动自由的效果，不利于数字经济的发展。从实质上看，跨境数据流动中的隐私保护问题包含两个方面的内容，一方面，数据主体出于维护自身人格尊严的需求要求对隐私进行保护，另一方面，数据作为21世纪的新石油，需要在全球范围内自由流动才能充分发挥其价值，数字企业希望保障跨境数据流动自由，以维护企业对数据进行利用谋求发展的自由。面对这一现状，部分国家从发展数字经济的角度出发认为应当对隐私进行事后保护并提倡保障跨境数据流动自由，部分国家出于维护公民人格尊严的角度强调要对隐私进行事前保护并依此制定高标准的隐私保护国内法。双边及区域模式为各国就此议题进行合作提供了有益的实践，并在消费者保护、禁止本地化措施等方面取得了共识，但在是否应当保障跨境数据流动自由以及对隐私进行事前或事后保护这些核心问题上仍然无法达成一致。以WTO 为首的多边法律框架未能正面确立跨境数据流动及隐私保护规则。这种现存制度的差异有深刻的价值根源，要想达成国际统一的规则就要先解决价值层面的分歧。要认识到，跨境数据流动语境下的隐私权与传统的隐私权不同，数据主体既有对数据进行保护以维护其人格尊严的需求，又有对数据进行利用以获取便利的服务的需求，因此不能从单一的价值出发对隐私进行保护，而要将人格尊严和自由共同作为隐私保护的价值核心，同时人格尊严价值优于自由价值。但这种价值选择并不意味着在任何情况下都应以保护人格尊严价值为由阻碍跨境数据流动自由，而是应当根据数据的类型不同采取不同的保护程度，这种做法既能保证隐私的人格尊严价值得到充分的重视，又有利于隐私自由价值的发挥，是跨境数据流动语境下构建隐私保护制度的良好选择。解决跨境数据流动语境下的隐私保护问题不仅可以在全球范围内增强个人参与数字经济的信心和安全感，更有利于营造一种积极健康的数字经济发展环境，对于数据主体和数字企业，甚至是主权国家都有好处。因此，应当重视当前的隐私风险并对其进行良好的制度规制。