2024年伊始，美國就借口“數(shù)據(jù)安全”問題，宣布將對中國汽車展開調(diào)查，意圖限制中國“智能汽車”及相關(guān)零部件進口到美國。無獨有偶，美眾議院高票通過了《保護美國人免受外國對手控制的應(yīng)用程序侵害》的法案，旨在要求字節(jié)跳動剝離對TikTok的控制權(quán)，并認為其對“美國的國家安全”構(gòu)成威脅。

近年來，數(shù)字化進程的加速推進，人工智能、大數(shù)據(jù)、云計算、區(qū)塊鏈等新一代信息通信技術(shù)的運用，推動了全球數(shù)字經(jīng)濟的融合與發(fā)展。而作為連接全球經(jīng)濟的紐帶，跨境數(shù)據(jù)的流動雖然為全球化帶來了新動能，但是數(shù)據(jù)出境帶來的一系列問題卻使各國政府的數(shù)據(jù)監(jiān)管水平、國與國之間的經(jīng)貿(mào)往來，乃至國家安全、政治博弈、戰(zhàn)略資源帶來了前所未有的挑戰(zhàn)。

作為全球兩大主要數(shù)字經(jīng)濟體，歐美西方國家在個人數(shù)據(jù)跨境傳輸經(jīng)歷了多輪博弈，從2016年的《隱私盾協(xié)議》2000年的《安全港協(xié)議》以及2023年的《歐美數(shù)據(jù)隱私框架協(xié)議》。這一過程，反映了雙方在權(quán)利驅(qū)動與市場驅(qū)動的理念分歧，隱私統(tǒng)一立法與分散立法的法律體系差異，以及對國家安全例外的界定范圍不同，也促使雙方在關(guān)于企業(yè)責(zé)任、政府約束、事后救濟等機制的不斷完善。歐美雙方在路徑、更新審查和監(jiān)督機制上的磨合和最終達成一致，非常值得我們研究與借鑒。

01

歐美跨境數(shù)據(jù)政策的發(fā)展歷程

歐美之間的數(shù)據(jù)流動量超過全球任何其他地區(qū)間的數(shù)據(jù)流，牽動著價值數(shù)萬億美元的跨大西洋經(jīng)濟關(guān)系。因此，跨境數(shù)據(jù)流動規(guī)則成為影響歐美關(guān)系的重要因素，歷經(jīng) 20 余年仍處于不斷調(diào)整中，共經(jīng)歷了如下幾個時期：

●    自我管理期：2000-2015年，《安全港協(xié)議》時期

2000 年11 月出臺的《安全港協(xié)議》（Safe Harbor），是以歐盟 1995 年《數(shù)據(jù)保護指令》（Data Protection Directive，DPD）設(shè)定的“充分性認定”原則為基礎(chǔ)進行的歐美跨境數(shù)據(jù)治理的第一次嘗試。《數(shù)據(jù)保護指令》強調(diào)了數(shù)據(jù)傳輸?shù)谌龂臄?shù)據(jù)保護水平必須與歐盟保護水平達到實質(zhì)等同。而以此為基礎(chǔ)的《安全港協(xié)議》則進一步設(shè)定了知情、選擇、轉(zhuǎn)移、安全、數(shù)據(jù)完整、訪問、執(zhí)行 7 項隱私保護原則，有力調(diào)節(jié)了當(dāng)時歐美之間的數(shù)據(jù)保護差異。

《安全港協(xié)議》確保歐美跨境數(shù)據(jù)自由流通十年有余，直至 2013 年的斯諾登事件爆發(fā)，該事件披露了所有傳輸至美國的數(shù)據(jù)都可以在當(dāng)事人或企業(yè)毫不知情的情況下，被美國政府下屬情報機構(gòu)在電信運營商的配合下進行監(jiān)聽獲取。對此，歐盟官員提出審查《安全港協(xié)議》，并展開了與美國的談判。受斯諾登事件及2014美國臉書Schrems案影響，歐盟委員表示，在采用《安全港協(xié)議》時，無法預(yù)見情報機構(gòu)在商業(yè)交易背景下大規(guī)模訪問運輸?shù)矫绹臄?shù)據(jù)，所以宣布該協(xié)議無效。

●  監(jiān)管加碼期：2016-2020 年，《隱私盾協(xié)議》時期

之后，歐盟與美國制定了新的數(shù)據(jù)傳輸隱私保護框架，于2016 年通過了《隱私盾協(xié)議》（Privacy Shield），該協(xié)議基本沿襲了《安全港協(xié)議》的主要內(nèi)容，細化了七項隱私保護原則，并額外增加了關(guān)于敏感數(shù)據(jù)、次要責(zé)任、數(shù)據(jù)保護機構(gòu)的作用、人力資源數(shù)據(jù)、制藥和醫(yī)療產(chǎn)品以及公開可用數(shù)據(jù)的規(guī)定。相較于《安全港協(xié)議》，《隱私盾協(xié)議》還附帶了美國國家安全機構(gòu)的承諾：

① 強化承諾：意圖引入歐盟個人數(shù)據(jù)的美國企業(yè)需要公開承諾履行關(guān)于個人數(shù)據(jù)處理的原則以及保護歐盟數(shù)據(jù)主體權(quán)利，這包括細化的通知義務(wù)、數(shù)據(jù)留存限制、受限的訪問權(quán)、更嚴(yán)格的轉(zhuǎn)移條件和責(zé)任制度等。

② 嚴(yán)格執(zhí)法：美國商務(wù)部必須監(jiān)管聯(lián)邦貿(mào)易委員會對于《隱私盾協(xié)議》的執(zhí)法，對于未遵守規(guī)定的企業(yè)實行嚴(yán)格的懲罰或者限制其使用該協(xié)議。

③ 明確保障措施和透明度義務(wù)：根據(jù)美國司法部和國家情報總監(jiān)辦公室書面承諾，美國政府對歐盟個人數(shù)據(jù)的訪問將受到明確的限制和監(jiān)督機制的約束。雙方將針對國家安全準(zhǔn)入問題進行每年一次的聯(lián)合審查，以定期監(jiān)測該制度的運作情況。

④ 提供更多的救濟途徑：包括企業(yè)遇到投訴，該企業(yè)將有 45 天的回應(yīng)期；向本國數(shù)據(jù)保護機構(gòu)申訴，后者可將未解決的投訴提交至美國聯(lián)邦貿(mào)易委員會；在聯(lián)邦貿(mào)易委員會不受理的情況下，將向索賠人提供免費的替代性爭端解決機制，等。

《隱私盾協(xié)議》雖然在一定程度上解決了《安全港協(xié)議》的諸多缺陷，但仍有一些隱患，包括：

① 當(dāng)收集個人數(shù)據(jù)的目的不存在時，機構(gòu)沒有明確規(guī)定刪除該數(shù)據(jù)的義務(wù)；

② 數(shù)據(jù)向第三國轉(zhuǎn)移的保護措施不足；

③ 過于復(fù)雜的救濟機制；

④ 限制美國官員訪問數(shù)據(jù)的保障舉措不夠；

⑤協(xié)議與 2016 年4 月正式生效的《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，GDPR）是否具有一致性。

除《安全港協(xié)議》外，歐盟還認可“標(biāo)準(zhǔn)合同條款”（Standard Contractual Clauses，SCCs）和“約束性公司規(guī)則”（Binding Corporate Rules，BCRs）等機制，這也是《安全港協(xié)議》失效后歐美之間主要的數(shù)據(jù)傳輸機制。

●    穩(wěn)定時期：2020 年至今，《歐美數(shù)據(jù)隱私框架協(xié)議》時期

2015 年底臉書（Facebook）Schrems案的律師施雷姆斯（Max Schrems）再次向愛爾蘭數(shù)據(jù)保護委員會提出申訴，要求暫停Facebook使用 SCCs 跨境傳輸數(shù)據(jù)。最終，歐洲法院認為《隱私盾協(xié)議》所提出的情報系統(tǒng)內(nèi)控機制是一種并不獨立于行政系統(tǒng)內(nèi)部的事后保護，并不足以保護歐盟公民的個人信息，所謂的監(jiān)察專員制度也并不能為歐盟公民提供可通過訴訟保護的權(quán)利 ，因此在 2020 年宣布該協(xié)議無效。

繼《隱私盾協(xié)議》也失效后，美歐雙方再次經(jīng)歷長達兩年的漫長談判，最終在美方妥協(xié)下達成一致。歐盟委員會于 2023 年7 月 10 日全面通過《歐美數(shù)據(jù)隱私框架協(xié)議》的充分性決議。隨后，美國商務(wù)部推出數(shù)據(jù)流動隱私框架計劃網(wǎng)站，公開了美國商務(wù)部制定的《歐美數(shù)據(jù)隱私框架協(xié)議》，供符合條件的美國公司作為參考，進行自我認證并加入框架，美歐之間的數(shù)據(jù)自由傳輸終于得到恢復(fù)。

02

歐美在數(shù)據(jù)治理上的矛盾與統(tǒng)一

《歐美數(shù)據(jù)隱私框架協(xié)議》在一定程度上厘清了歐美間國家安全與個人隱私保護之間的邊界，有效促進了雙方數(shù)據(jù)保護制度的融合，使跨大西洋數(shù)據(jù)流動得以全面恢復(fù)，其經(jīng)濟影響、地緣影響也正在逐漸顯現(xiàn)。

從經(jīng)濟性來看，跨大西洋數(shù)據(jù)流動影響著從制造業(yè)、運輸業(yè)到金融和互聯(lián)網(wǎng)服務(wù)的歐美經(jīng)濟體系，而其中70%是中小型企業(yè)。與大公司相比，因中小企業(yè)缺乏相應(yīng)的資源滿足復(fù)雜的法律要求，因此，跨境數(shù)據(jù)傳輸受限對于中小企業(yè)來說影響更大，無疑降低了企業(yè)的經(jīng)營成本和風(fēng)險，獲得了歐美企業(yè)的一致歡迎。

從政治博弈來看，《歐美數(shù)據(jù)隱私框架協(xié)議》在某種程度上是歐美關(guān)系的“晴雨表”。特朗普執(zhí)政后期，美歐關(guān)系陰晴不定，造成雙方的跨境數(shù)據(jù)規(guī)制談判躊躇不前。拜登政府上臺后，為了修復(fù)與歐盟的關(guān)系，在部分條款上進行了讓步，意圖在于拉攏歐盟穩(wěn)定跨大西洋關(guān)系，全力與中國開展戰(zhàn)略競爭，包括聯(lián)合歐盟國家發(fā)布“互聯(lián)網(wǎng)未來宣言”，將促進信息自由流動作為建立以美國為中心的全球數(shù)字生態(tài)系統(tǒng)的重要舉措。

從未來前景來看，《歐美數(shù)據(jù)隱私框架協(xié)議》是否能平穩(wěn)運行，歐盟會不會發(fā)起新一輪對框架的訴訟，美方是否能遵守框架要求，仍然存在較大的不確定性。

美歐雙方跨境數(shù)據(jù)博弈的背后反映了雙方的理念分歧和邏輯差異。

由于歷史原因，歐盟將尊重私人生活和保護個人信息視為基本人權(quán)，《歐洲人權(quán)公約》第 7、8 條中對尊重隱私生活進行了專門規(guī)定，并得到了歐洲人權(quán)法院的大力支持 。在歐盟主導(dǎo)的國際貿(mào)易協(xié)議中，《通用數(shù)據(jù)保護條例》（GDPR）提出的隱私標(biāo)準(zhǔn)已成為一項強制性要求（2016 年生效的GDPR 中第 44 條款明確禁止將個人數(shù)據(jù)傳輸至歐盟外，除非接收國能夠提供與歐盟同等水平的保護）。總的來看，歐盟認為，只要未有法律明確規(guī)定，則一般禁止“收集和處理個人數(shù)據(jù)”。

而美國對于數(shù)據(jù)保護和個人隱私則具有不同的認知，認為“法無禁止則可為”，只要未明確觸犯法律則支持“收集和處理個人數(shù)據(jù)”。究其原因，在于美國擁有最發(fā)達的數(shù)字經(jīng)濟和最龐大的數(shù)據(jù)體量，在全球數(shù)據(jù)流動體系中屬于數(shù)據(jù)流入國，不受限制的數(shù)據(jù)流動規(guī)則能夠讓美國利益最大化。因此，美國傾向于以市場為主導(dǎo)，不贊成他國以法律設(shè)置數(shù)據(jù)跨境流動壁壘，意圖依靠企業(yè)的自我監(jiān)管實施數(shù)據(jù)保護。

另外，歐美的法律體系差異也是造成這種分歧的根本原因。歐盟的數(shù)據(jù)保護法律以 1995 年《數(shù)據(jù)保護指令》為基礎(chǔ)，建立了歐盟范圍內(nèi)的綜合性數(shù)據(jù)保護框架，統(tǒng)一了歐盟各國的數(shù)據(jù)保護規(guī)則。而美 國 隱 私 立 法 較 為 分 散， 缺 乏 統(tǒng) 一 的 數(shù)據(jù)保護框架，主要通過行業(yè)立法和州立法來設(shè)置相關(guān)規(guī)定。行業(yè)立法主要覆蓋金融、保險、電視電信、消費者信用、兒童隱私等領(lǐng)域。同時，美國也未設(shè)立專門的隱私保護機構(gòu)，聯(lián)邦的數(shù)據(jù)隱私事務(wù)主要由負責(zé)處理企業(yè)不正當(dāng)競爭和欺詐消費者行為的 美國聯(lián)邦貿(mào)易委員會（FTC）實施。近年來，在斯諾登事件、劍橋分析事件發(fā)生后，美國兩黨也在積極推動《 數(shù) 據(jù) 隱 私 保 護 法》（American Data Privacy and Protection Act，ADPPA）、《同意法案》（Consent Act）和《在線隱私法案》（Online Privacy Act，OPA）等統(tǒng)一立法，目前面臨的阻力仍然較大。

03

如何應(yīng)對汽車行業(yè)數(shù)據(jù)跨境問題

2月底，美國借口“數(shù)據(jù)安全”問題，宣布將對中國汽車展開調(diào)查，并聲稱，中國制造的汽車上的聯(lián)網(wǎng)操作系統(tǒng)會收集有關(guān)美國公民和基礎(chǔ)設(shè)施的敏感數(shù)據(jù)，并將這些信息傳回中國，對美國國家安全構(gòu)成威脅。拜登還宣布，美國政府將“采取前所未有的行動”，確保“來自中國等受關(guān)注國家的進口汽車不會破壞我們的國家安全”。

客觀來講，我國車企對美出口數(shù)量很少，拜登在對Tiktok進行新一輪制裁的同時，不忘再帶一下汽車做墊背，是為了今年11月的美國大選，討好美國本土車企和工會民眾，是美國兩黨政治博弈的一張牌而已。從兩黨的態(tài)度和目前的國內(nèi)輿論分析，美國兩黨是勢必要借“數(shù)據(jù)安全”問題打壓中國企業(yè)入美的，而Tiktok在美受到了民眾越來越高的支持呼聲，那么在美市場影響力小的中國汽車掀不起什么大風(fēng)浪，成了一塊很好的任人宰割的“羔羊”，并且老美已經(jīng)從中國汽車席卷歐洲市場的風(fēng)潮中嗅到了危機。

目前，中美關(guān)系正處于低谷，在美國一味地打壓中國企業(yè)的當(dāng)下，雙方政府若就“跨境數(shù)據(jù)”去達成什么“協(xié)議”似乎是非常渺茫的。在外交和貿(mào)易層面暫時解決不了的問題，那就需要企業(yè)自己去調(diào)整其海外戰(zhàn)略了，是暫緩進入美國市場，還是寧可做些犧牲與妥協(xié)（包括產(chǎn)品優(yōu)勢和成本優(yōu)勢），先進入市場再說。

對于歐洲市場，由于我國汽車出口數(shù)量占比較多，對我國的整車外貿(mào)有非同一般的意義，雖然目前在政策端沒有遇到類似美國這種“雙重標(biāo)準(zhǔn)”的情況，但是自去年開始的“反補貼”調(diào)查不得不讓我們重新審視車企在出海時可能面臨的各種“不確定性”和貿(mào)易壁壘。

從歐美在數(shù)據(jù)治理上的多次博弈我們可以看出，歐洲雖然在“個人數(shù)據(jù)保護”上可能比美國更苛刻，但應(yīng)該不會輕易地扣上“國家安全”這樣的大帽子。我們應(yīng)該盡早啟動與歐洲（主要是歐盟）在跨境數(shù)據(jù)交流方面的工作，與重要貿(mào)易伙伴簽訂數(shù)據(jù)流動雙邊協(xié)議，為我國數(shù)據(jù)跨境流動規(guī)則主張“增容擴圈”。加快加入《數(shù)字經(jīng)濟伙伴關(guān)系協(xié)議》（Digital Economy Partnership Agreement，DEPA）進程，不斷擴大數(shù)據(jù)跨境合作朋友圈。同時，還應(yīng)積極參與世界貿(mào)易組織（World Trade Organization，WTO）電子商務(wù)談判，借助WTO 平臺推廣我國的數(shù)據(jù)治理理念。

啟 示

數(shù)字化時代，數(shù)據(jù)關(guān)系到個人、企業(yè)、國家三重利益。歐美在跨境數(shù)據(jù)上的博弈反映了對數(shù)據(jù)治理國際話語權(quán)的爭奪，特別是利用其產(chǎn)業(yè)先發(fā)優(yōu)勢形成在國際數(shù)據(jù)跨境流動規(guī)則上的競爭優(yōu)勢。

我國作為世界數(shù)據(jù)資源大國之一，面臨的數(shù)據(jù)安全風(fēng)險相較于其他國家更為嚴(yán)峻，而當(dāng)前動蕩的國際政治局勢和多變的貿(mào)易環(huán)境，也使得我國在爭奪數(shù)字產(chǎn)業(yè)、數(shù)字治理話語權(quán)等關(guān)鍵領(lǐng)域?qū)⑻幱诟颖粍拥膽B(tài)勢。

從制度完善進程看，隨著《數(shù)據(jù)出境安全評估辦法》、《個人信息出境標(biāo)準(zhǔn)合同辦法》、《個人信息保護認證實施規(guī)則》等法規(guī)和標(biāo)準(zhǔn)的不斷出臺，我國的數(shù)據(jù)出境安全管理制度架構(gòu)已基本成形。

從行業(yè)乃至單個企業(yè)角度看，車企是掌握了大量車主數(shù)據(jù)的大型實體企業(yè)，應(yīng)積極相應(yīng)政府部門的號召，在其收集、處理、分析和使用用戶數(shù)據(jù)的過程中，合法合規(guī)，并與互聯(lián)網(wǎng)企業(yè)、第三方服務(wù)機構(gòu)、金融機構(gòu)等在跨境數(shù)據(jù)流動管理、擴大全球數(shù)據(jù)管控能力等方面開展合作，共同參與到建立健全跨境數(shù)據(jù)流動管理體系的工作中來。

參考資料：

《美歐跨境數(shù)據(jù)流動規(guī)則演變及啟示》，信息安全與通信保密雜志社，作者桂暢旎、任政、熊菲。

返回第一電動網(wǎng)首頁 >