美歐數據跨境流動的規則博弈及走向

劉文杰

〔提 要〕在數字經濟時代，各國圍繞數據跨境流動的合作與競爭成為全球治理領域的焦點議題。數據跨境流動引發的權力爭奪、法律較量等問題日益突出，數據保護標準尤其是數據跨境流動規則主導權之爭更趨激烈。美國與歐盟在數據跨境流動領域長期開展密切合作，但圍繞數據跨境流動標準的確定，美歐均希望取得主導權，這導致雙方發生多輪激烈博弈。歐盟以立法為數據跨境傳輸規定了嚴格條件，基本宗旨是確保其數據保護水平不會因數據向第三國或國際組織傳輸而下降，為此不惜宣告構成跨大西洋數據流動法律基礎的“安全港決定”和“隱私盾決定”無效。造成美歐數據跨境流動協議失效的表層原因在于美國的數據收集制度偏離了歐盟秉持的個人數據保護原則，深層原因是雙方對數據流動所持立場的差異以及美國將其國家安全訴求凌駕于他國利益之上的單邊霸權思維。

進入數字經濟時代，對數據跨境流動的規制在全球治理中所占分量越來越重。國家及國際組織在這一領域開展的合作與競爭成為近幾年來全球治理領域的重要議題。綜合來看，由于制度、文化、經濟發展水平等方面的差異，不同國家對數據保護的理解不同，圍繞數據保護尤其是數據跨境流動存在著規則主導權之爭。美國與歐盟是全球兩大主要經濟體，相互間存在著政治、經濟、社會、文化等諸多領域的緊密聯系。伴隨著大西洋兩岸貨物和服務貿易的開展，數據跨境流動已經成為常態。但圍繞數據跨境流動標準的確定，美歐均希望取得主導權，這導致雙方發生多輪激烈博弈。深入探析美歐之間的數據保護標準之爭，有助于更加清楚地認識圍繞數據跨境流動形成的全球治理格局，為爭取這一領域的規則創建權提供有益參考。

隨著全球化和數字經濟的發展，數據跨境流動已經成為全球治理領域的重要議題。圍繞這一議題，各國及國際組織提出一系列治理方案，并致力于達成穩定的雙邊和多邊安排。[1]參見孫南翔：《CPTPP數字貿易規則：制度博弈、規范差異與中國因應》，《學術論壇》2022年第7期，第1-10頁；
王歡雪：《從東盟數據跨境流動治理機制展望與中國的數據跨境流動合作》，《中國標準化》2022年第10期（下），第38-40頁，第50頁。然而，基于不同的國情和利益訴求，這些治理方案不盡一致，相互間甚至存在較大的差異?？傮w而言，在數據跨境流動的全球治理領域，各國、地區之間將會長期呈現合作與競爭并存的態勢。

（一）數據跨境流動的重要性和特殊性

電子化個人數據出現空前規模的增長并在全球范圍頻繁傳輸，是人類進入數字時代的一個標志性現象。包括電子商務、快遞物流、地圖導航等在內的現代服務諸多領域是以個人數據的采集和傳輸作為支撐的。個人數據的跨境流動在全球化時代已經變得不可或缺，其不但便利了個體，更有力推動了國際貿易與投資的發展。個人數據的跨境流動也是技術和商業模式創新的內在要求。各國企業、組織、個人廣泛采用的云存儲服務就是將服務器部署在不同的國家和地區，從而實現數據存儲和傳輸的最優化，這其中也包含個人數據的跨境流動。在美國白宮2022年3月發表的聲明中，數據跨境流動的重要性得到高度強調，“數據流動對跨大西洋經濟關系和所有經濟部門的大小公司都至關重要。事實上，在美國和歐洲之間流動的數據比世界上任何其他地方都多，這促成美國和歐盟之間的經濟關系達到7.1萬億美元”。[1]The White House, “FACT SHEET: United States and European Commission Joint Statement on Trans-Atlantic Data Privacy Framework,” March 25, 2022, https://www.whitehouse.gov/briefing-room/statements-releases/2022/03/25/fact-sheet-united-states-and-europeancommission-announce-trans-atlantic-data-privacy-framework/.

同時，個人數據跨境流動也具有特殊性，表現在個人數據涉及人格利益，這種利益并不因為信息“交割”而消失。與貨物的流動相比，個人數據的流動通常采用電子傳輸方式，在瞬間完成，很容易轉移到陌生人手中。由于個人數據是可以識別特定自然人的信息，是對自然人活動及行蹤軌跡的記錄，因此影響到數據主體的安全與自由。此外，個人數據流動往往由數據主體以外的人（數據控制人、數據處理人）實施，數據主體無法加以控制，甚至對自身數據的流動茫然不知，使其暴露在違法犯罪行為之下的風險大增。20世紀70年代，計算機開始廣泛應用于個人數據處理領域，導致存儲、比較、選擇和獲取個人數據的可能性得到極大擴張。個人數據可以同時處于地理上分散的、成千上萬的使用者支配之下，這一現象引發了公眾對計算機處理個人數據所蘊含危險的關注。個人數據保護由此迎來第一波立法浪潮。

進入21世紀，互聯網應用席卷全球，個人信息收集的普遍化和自動化、個人信息存儲的無限量和無限期、個人信息轉移的瞬間性和低成本，加之消費者與信息采集者在力量上的不對等，導致過度采集、長期存儲而又缺乏安全措施之下的個人信息泄露風險、濫用風險較之以往大大增加。公眾的訴求已經不限于簡單的停止收集或者刪除信息，而是希望對個人信息被利用的過程施加有效控制。因此，本世紀以來，全球掀起新一輪的個人數據保護立法浪潮。歐盟《一般數據保護條例》的出臺即為代表，美國也有議員在聯邦層面提出統一個人數據保護法案，中國繼《民法典》規定有關個人信息保護條款之后，《個人信息保護法》及《數據安全法》也相繼出臺，反映出各國對新時代個人數據保護訴求的積極回應。

（二）圍繞數據跨境流動的國際角力

鑒于個人數據跨境流動的重要性和特殊性，制定調整數據流動的國際規則有顯著必要性。雖然雙邊協定是解決這一問題的選項之一，但其在實踐層面耗時耗力，收效也不明顯，原因在于人員流動以及為人員提供的相關服務往往跨越多國，數據流動需求不限于兩國之間?？紤]到這一情況，更為現實的解決方案是多邊規則進路，即通過區域貿易協定（專門的數字協定或包含在貿易協定中的數據流動條款）解決數據跨境流動問題。

美國作為世界最大經濟體，擁有最發達的數字經濟和數字產業，在數據的全球流動體系中，更多地扮演輸入方和受益方的角色。例如，Statista的統計數據表明，自2017年至今，在全球云基礎設施服務市場排行榜上，美國的亞馬遜、微軟和谷歌公司所占有的市場份額始終名列前三。[1]“Cloud Infrastructure Services Vendor Market Share Worldwide from 4th Quarter 2017 to 1st Quarter 2022,” August 25, 2022, https://www.statista.com/statistics/967365/worldwide-cloudinfrastructure-services-market-share-vendor/.不受限制的數據流動更符合美國利益，推行數據本地化則會妨礙美國科技產業和信息產業的發展。因此，在數據跨境流動問題上，美國持一種相對自由的立場，不贊成他國以限制數據跨境的法律政策設置貿易壁壘。[2]戴恩·羅蘭德、伊麗莎白·麥克唐納：《信息技術法》，宋連斌等譯，武漢大學出版社2004年版，第308頁。美國認同的數據跨境隱私規則體系建立在亞太經合組織隱私框架的基礎上，而后者又以經濟合作與發展組織的《隱私與個人數據跨境流動保護指南》為基礎。該指南最初發布于1980年，更強調企業遵守個人數據保護諸項原則的承諾。2013年，指南發布新版，增加了“建立數據保護機構”、“發生數據安全事件后通知數據保護機構和數據主體”以及“問責原則”，但其相對較低的個人數據保護門檻尤其是針對數據跨境流動相對寬松的立場并無改變。[3]洪延青：《推進“一帶一路”數據跨境流動的中國方案——以美歐范式為背景的展開》，《中國法律評論》2021年第2期，第30-42頁。

與美國立場不同，歐盟致力于更高水平的個人數據保護和對數據跨境流動的更嚴格監管。2016年通過的《一般數據保護條例》確立了大數據時代數據跨境流動規則框架，目的是使數據主體在歐盟享受到的保護水平不因數據跨境流動而降低。通過《一般數據保護條例》，歐盟向全世界傳遞了個人數據保護和跨境流動規則應向歐盟看齊的意圖。該條例規定，歐盟應對目標國進行個人數據保護充分性評估，評估對象包括目標國法律制度尤其是公權力部門訪問個人數據的可行性和條件，實際上涵蓋了目標國價值觀、意識形態和政治制度等方面。[1]Nigel Cory, Daniel Castro and Ellysse Dick, “‘Schrems II’: What Invalidating the EU-U.S. Privacy Shield Means for Transatlantic Trade and Innovation,” Information Technology & Innovation Foundation Program, December 3, 2020, https://itif.org/publications/2020/12/03/schrems-ii-whatinvalidating-eu-us-privacy-shield-means-transatlantic/.

在個人數據跨境流動的全球角力場上，還有其他相對折衷的方案。如中國加入的《區域全面經濟伙伴關系協定》（RCEP）第12章“電子商務”只是要求締約方應當在可能的范圍內合作，以保護從一締約方轉移來的個人信息。就“通過電子方式跨境傳輸信息”，協定認可締約方對通過電子方式傳輸信息有各自的監管要求，允許締約方采取或維持其認為實現合法公共政策目標所必要的措施。協定還強調，此類合法公共政策的必要性由相關締約方自己決定，從而更加尊重締約方的主權和各自特點，給締約方留出了較大政策設計空間。當然，這并不意味著RCEP忽略了個人數據安全。協定第12章第8條是關于線上個人信息保護的規定，要求每一締約方在制定保護個人信息的法律框架時，應當考慮相關國際組織或機構的國際標準、原則、指南和準則。

此外，中國積極申請加入的《數字經濟伙伴關系協定》（DEPA）在數據跨境流動問題上，對締約方同樣采取了一種相對靈活的態度。[2]周念利、于美月：《中國應如何對接DEPA——基于DEPA與RCEP對比的視角》，《理論學刊》2022年第2期，第55-64頁。該協定第4章“數據問題”要求每一締約方應允許為開展業務目的通過電子方式跨境傳輸信息，其中包括個人信息；
與RCEP表述相同，協定認可締約方有各自的監管要求，可以采取或維持合法公共政策目標所要求的措施。DEPA同樣設有個人信息保護規定，強調了個人信息保護的收集限制、數據質量、用途說明、使用限制、安全保障、透明度、個人參與以及責任原則，并敦促每一締約方致力于制定機制，促進不同個人信息保護體制之間的兼容性和互操作性。

2022年10月，美國總統拜登簽署《關于加強美國信號情報活動保障措施的行政命令》，以實施該國3月與歐盟最新達成的數據隱私框架協議——《跨大西洋數據隱私框架》。這是美歐圍繞數據跨境流動監管開展的第三次嘗試，此前雙方已就該問題博弈多年，曾于2000年和2016年先后簽訂《安全港協議》和《隱私盾協議》，但二者均以歐盟法院認定無效告終。

（一）“安全港決定”和“隱私盾決定”的相繼失效

1998年，歐盟《關于個人數據處理及其自由流動的個人保護第95/46/EC號指令》（以下簡稱《個人數據保護指令》）正式生效，禁止將個人數據傳輸到未提供“充分保護”的第三國。出于商業利益考慮，美國與歐盟2000年12月達成有關個人數據跨境傳輸的《安全港協議》，歐盟委員會在此基礎上作出第2000/520號決定（“安全港決定”），確認美國能夠為歐盟公民的個人數據提供充分的制度保障。

2013年，“安全港決定”的效力遭遇來自歐盟內部的挑戰。這一挑戰不是來自雙方行政部門的質疑，而是通過個案受到歐盟法院的司法審查。斯諾登“棱鏡門”事件同年曝出后，奧地利國民馬克西米利安·施雷姆斯（Maximillian Schrems）[1]施雷姆斯自2008年以來一直是臉書公司的用戶。與居住在歐盟國家的其他用戶一樣，施雷姆斯的部分或全部個人數據被臉書愛爾蘭公司轉移到位于美國的臉書公司服務器上，并在那里進行處理。向愛爾蘭個人數據監管機構提出申訴，認為美國關于個人信息保護的保護強度遠低于歐盟，請求禁止臉書愛爾蘭公司將其個人信息傳輸至美國境內。監管機構依據歐盟委員會“安全港決定”，認為美國確保了足夠的保護水平，駁回了投訴。施雷姆斯隨即向法院起訴。經過層層審理，歐盟法院2015年10月作出判決，宣布歐盟委員會“安全港決定”無效（“Schrems I判決”）。[2]“Case: C-362/14 – Schrems I,” https://www.europeansources.info/record/judgment-incase-c-362-14-maximillian-schrems-v-data-protection-commissioner/.

“安全港決定”被判無效后，美國與歐盟展開緊急磋商。美國政府向歐盟委員會出具書面承諾，保證將對其“出于公共利益獲取和使用個人數據”的行為加以限制并提供救濟措施，建立獨立于美國情報部門的“隱私盾監察員”等。同時，《一般數據保護條例》于2016年4月經歐洲議會投票通過。在此背景下，美歐于2016年7月達成第二份數據跨境傳輸協議，即《隱私盾協議》。歐盟委員會據此再次作出美國可以對傳輸至美國的個人數據提供充分保護的第2016/1250號決定（“隱私盾決定”）?？紤]到上述新情況，審理施雷姆斯與臉書公司訴訟的愛爾蘭法院請求歐盟法院裁決第2016/1250號決定是否有效。

2020年7月，歐盟法院作出判決，宣布第2016/1250號“隱私盾決定”無效。[1]“Case: C-311/18 - Schrems II,” https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=en/.法院的審查主要圍繞“隱私盾決定”第1條第1款進行，歐盟委員會在該款中認定美國為歐盟個人數據提供的保護水平實質上等同于歐盟的保護水平。但歐盟法院認為，美國對外國人數據的情報收集制度不符合歐盟法律規定的比例原則。[2]《歐盟基本權利憲章》要求，對行使基本權利的任何限制必須由法律規定，必須特別指出在什么情況和什么條件下可以對個人數據保護進行減損和限制，并規定最低限度的保障措施，以便數據主體在其個人數據免受濫用方面獲得足夠的保障。一方面，美國《外國情報監視法》第702條沒有對其賦予的、為獲取外國情報目的實施監視計劃的權力有任何限制，也沒有對可能成為這些計劃目標的非美國人給予保障，因此沒有滿足比例原則要求。另一方面，基于美國第12333號行政命令開展的監控允許情報機關對流動到美國的數據進行“批量”收集，且不受任何司法審查的限制。因此，該行政命令也不符合比例原則。

歐盟法院還認為，盡管“隱私盾決定”規定了美國當局在實施有關監視計劃時必須遵守的要求，但美國《外國情報監視法》第702條和第12333號行政命令都沒有賦予數據主體可在法院起訴美國當局的權利，數據主體沒有獲得有效救濟的機會?！半[私盾決定”中的美方隱私盾監察員雖然被描述為“獨立于情報部門”，卻是由美國國務卿任命的，是美國國務院的一個組成部分?！半[私盾決定”中也沒有任何內容表明監察員相對于行政部門的獨立性。[3]“Case: C-274/14 - Banco de Santander,” https://ec.europa.eu/newsroom/comp/items/667196/en.因此，“隱私盾決定”提到的監察員機制并沒有提供相當于《歐盟基本權利憲章》第47條所要求的保障。[4]《歐盟基本權利憲章》第47條第1款要求，每個受歐盟法律保障的人有權在權利和自由受到侵犯時向法庭獲得有效救濟。根據該條第2款，每個人都有權得到一個獨立和公正的法庭的審理。

（二）圍繞《跨大西洋數據隱私框架》的磋商

由于“安全港決定”和“隱私盾決定”歸于無效，美歐不得不就個人數據跨境流動開展新一輪磋商。2022年3月，美歐發表聯合聲明，承諾建立一個新的跨大西洋數據隱私框架，并解決歐盟法院在2020年“隱私盾決定”無效判決中提出的關切。美方承諾推行新的保障措施，以確保其在追求國家安全目標時開展的信號情報活動是“必要”和“成比例的”，并為歐盟個人建立新的針對信號情報活動的救濟機制。[1]The White House, “United States and European Commission Joint Statement on Trans-Atlantic Data Privacy Framework,” March 25, 2022, https://www.whitehouse.gov/briefing-room/statements-releases/2022/03/25/united-states-and-european-commission-joint-statement-on-transatlantic-data-privacy-framework/.

根據《跨大西洋數據隱私框架》，美方的承諾包括加強對美國信號情報活動中的公民隱私和自由的保障、建立獨立和有約束力的新救濟機制以及加強對信號情報活動的分層監督。新的框架旨在確保：美國只有在為達到合法的國家安全目標所必需的情況下，才可以進行信號情報收集，并且不得對個人隱私和自由造成不成比例的影響；
歐盟公民可以向多層新救濟機制尋求法律救濟，該機制包括一個獨立于美國政府的數據保護審查法庭，其將有充分的權力對索賠進行裁決并根據需要指導補救措施；
美國情報機構將實施程序，監督公民隱私和自由新標準得到有效遵守。同時，參與到該框架中的公司和組織將被要求繼續遵守隱私盾原則，可通過美國商務部對其遵守該原則進行自我認證。歐盟公民將繼續擁有多種救濟渠道，包括通過替代性爭議解決方案和有約束力的仲裁來解決其對參與方的投訴。2022年10月，美國總統拜登簽署行政命令，將上述承諾落實于紙面，作為歐盟委員會進行保護充分性認定的評估基礎。[2]The White House, “FACT SHEET: President Biden Signs Executive Order to Implement the European Union-U.S. Data Privacy Framework,” October 7, 2022, https://www.whitehouse.gov/briefing-room/statements-releases/2022/10/07/fact-sheet-president-biden-signs-executive-order-toimplement-the-european-union-u-s-data-privacy-framework/.

無論在歐洲還是美國，個人數據保護都起源于隱私權制度，在數據保護規則的創建上，美國甚至呈現出某種向歐洲靠攏的態勢。盡管如此，雙方仍然就數據跨境流動問題發生了激烈的沖突，乃至出現兩次政府間協議被歐盟法院否決的結果，個中原因需深入探究。

（一）數據跨境保護在歐盟內部的制度定位

1.個人數據保護：從隱私權到獨立的基本權利

梳理歷史可以發現，在個人數據保護興起之初及以后的相當長時間里，其在歐洲都被視為隱私保護在新技術條件下發展出的新維度，或者隱私權制度向信息處理尤其是自動化信息處理領域的延伸。歐洲理事會1981年《關于個人數據自動化處理的個人保護公約》（又被稱為歐洲《第108號公約》）規定了個人數據質量、敏感數據、數據安全、數據保護與限制、個人數據跨境傳輸等個人數據保護制度。歐盟1995年《個人數據保護指令》第1條第1款即明確，在符合本指令規定的前提下，成員國應當對自然人的基本權利和自由，尤其是對與處理個人數據相關的隱私權加以保護。指令強調，調整個人數據處理國內法的目標是保護自然人的基本權利和自由，特別是《歐洲人權公約》第8條所確認的隱私權。隱私權的使命是捍衛個體生活的自主決定權，而個人數據保護所捍衛的信息自決權乃是其中不可或缺的組成部分。[1]“BVerfGE 65, 1 - Volksz?hlung,” https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Gerichtsurteile_und_-beschluesse/bverfge_65_1_-_volkszaehlung.pdf.

本世紀以來，伴隨著互聯網的高速發展，人工智能與大數據技術應用日益普及，歐盟立法者對個人數據保護的態度進一步強化。2000年《歐盟基本權利憲章》第8條在第7條“隱私權”之外，單獨將個人數據保護確認為一項基本權利。該條規定，任何人享有就與其相關的個人數據獲得保護的權利；
個人數據必須基于本人同意或法定事由得到公平處理，任何人有權查詢其個人數據，并有權要求更正；
個人數據處理的合規應當由一個獨立機構負責。取代《個人數據保護指令》的《一般數據保護條例》指出，自然人在個人數據處理方面獲得保護屬于一種基本權利。該條例第1條第2款規定，保護自然人的基本權利與自由，尤其是其個人數據受保護的權利。

2.歐盟的數據跨境流動調整機制

《一般數據保護條例》第5章對歐盟向第三國或國際組織轉移個人數據作出規定，基本宗旨是確保自然人的數據出境后受到的保護水平不會被減損。為實現這一目標，條例作了詳細規定，創立了復雜的機制。

在這套機制中，“保護充分性認定”居于首要位置。如果歐盟委員會認定第三國、該國的一個或多個特定部門或有關國際組織可確保充分（即與《一般數據保護條例》水平相當）的保護水平，則數據處理人可將個人數據從歐盟轉移到該第三國或國際組織。這種基于“保護充分性認定”發生的數據流動不再要求任何具體的授權。為作出認定，歐盟委員會應當對目標國或國際組織進行全面評估并定期審查，評估時應特別考慮以下因素：相關領域的一般性和部門立法以及這些立法的實施、包括數據跨境流動規則在內的數據保護規則、專業守則和安全措施、判例法等，有效和可執行的數據主體權利、個人數據轉移場合對數據主體的有效行政和司法救濟；
負責確保和強制遵守數據保護規則的一個或多個獨立的監督機構的存在和有效運作，具有充分的執法權協助和建議數據主體行使其權利，并與歐盟成員國的監督機構合作；
目標國或國際組織已作出的國際承諾，或因參加的有法律約束力的公約或文書、多邊或區域機制而產生的其他義務，特別是在保護個人數據方面。

如果未獲取歐盟委員會的“保護充分性認定”，那么只有在提供了適當保障措施的情況下，數據控制者或處理者才可以將個人數據轉移到第三國或國際組織，且要滿足數據主體權利可執行以及存在有效法律救濟的條件。適當保障措施存在多種形式，最為重要的是依據《一般數據保護條例》第47條所規定的有約束力的公司準則、歐盟委員會或監管機構審核、采用的標準數據保護條款或根據《一般數據保護條例》第42條批準的認證機制進行的認證。

“隱私盾決定”的無效意味著歐洲企業不能以“保護充分性認定”為依據向美國傳輸歐盟的個人數據，美歐雙方均難避免受到負面影響。美國跨國科技企業無法自由傳輸歐盟客戶的數據，而歐盟企業在利用境外服務方面也可能遭遇明顯障礙。早在“安全港決定”無效判決作出時，就有研究認為，因此導致的數據流通受阻會造成歐盟區內的國內生產總值下降0.8%~1.3%。[1]Yann Padova, “The Safe Harbour Is Invalid: What Tools Remain for Data Transfers and What Comes Next?,” International Data Privacy Law, Vol.139, 2016, p.140.美歐雙方存在努力尋求（例如通過《跨大西洋數據隱私框架》方式）重新達成合作的動力。

（二）美國個人數據保護制度的特點及問題

在美國，無論是立法還是司法審判層面，無論在公法還是私法領域，個人數據保護都是隱私權制度的組成部分。進入計算機與電信時代，個人數據保護被單獨提上立法議程。在美國聯邦和州一級的立法中，個人數據保護大多被冠以隱私保護之名。在晚近的司法判決中，諸如手機定位信息等個人數據被美國聯邦最高法院認定為隱私信息。[1]Carpenter v. United States, “138 S.Ct. 2206 (2018),” https://supreme.justia.com/cases/federal/us/585/16-402/ .迄今為止，美國并不存在類似于歐盟《一般數據保護條例》或成員國個人數據保護法那樣的聯邦統一立法，有關個人數據保護制度分散于聯邦或州的部門性法律中。近些年來，在個人數據保護的制度設計尤其是保護強度上，美國一定程度上顯現出向歐盟看齊的態勢。

在數據跨境流動領域，美國以《澄清境外合法使用數據法案》（簡稱CLOUD法）規定，美國企業在境外的經營活動只要與美國有足夠的聯系，執法部門即可以在一定條件下調取企業存儲在境外的數據。如果外國監管部門想要調取美國本土數據，則需要達到法案規定的“適格外國政府”標準。對外國政府發出的調取數據的命令，CLOUD法案有嚴格限制，包括不得侵犯言論自由、向美國提供相互訪問數據的準入權利等，且美國保留停止外國政府調取數據命令的權力。簡言之，該法案為美國本土監管部門調取他國數據規定了寬松的條件，卻沒有給予外國監管部門調取美國境內數據的同等權力，實際上是單邊主義的霸權思維在數據跨境流動領域內的擴張。[2]許可：《數據主權視野中的CLOUD法案》，《中國信息安全》2018年第4期，第40-42頁。

此外，在電子數據的監視和調取方面，美國存在著兩套法律體系，即以1978年通過的《電子通信隱私法》（ECPA，后經過多次修正）為核心、適用于一般執法情形下的數據調取規定，以及以《外國情報監視法》（FISA）和第12333號行政命令（里根總統簽署）等為核心、面向國家安全的數據監視和調取制度。后一套制度與數據跨境流動關系更為密切，因而成為歐盟法院“隱私盾決定”訴訟的審查對象。

《外國情報監視法》與第12333號行政命令等構成美國獲取外國情報的制度框架。執法部門廣泛援引的《外國情報監視法》第702條來源于該法2008年的修正法案，其授權美國情報機構出于保障國家安全目的，向美國企業收集、查閱外國人的通信，而提供信息的企業無需通知受影響的用戶。該條同時規定了定位程序和傷害最小化程序，以確保監視僅針對外國公民，減少對美國公民數據的附帶收集。美國政府稱，第702條對保障國家安全、打擊恐怖主義至關重要。[1]The Federal Bureau of Investigation, “Defending the Value of FISA Section 702,” October 13, 2017, https://www.fbi.gov/news/speeches/defending-the-value-of-fisa-section-702.第12333號行政令則授權美國國家安全局訪問大西洋海底電纜，在數據抵達美國之前收集和保留傳輸的數據；
根據該行政命令開展的活動不受成文法的約束。

《外國情報監視法》第702條沒有對其賦予的、為獲取外國情報目的實施監視計劃的政府權力施加限制，也沒有對可能成為這些計劃目標的外國人提供充分的法律保障。第12333號行政命令和第PPD-28號行政命令（奧巴馬總統簽署）均未賦予數據主體在法院起訴美國當局的權利。因此，這兩項行政命令給予外國人的保護亦未達到《歐盟基本權利憲章》所要求的水平。事實上，《外國情報監視法》及第12333號行政命令對數據監視和調取的規定相對寬泛和不透明，且缺乏司法監督，這一點即使在美國國內也受到人權組織的詬病。[2]American Civil Liberties Union, “Warrantless Surveillance under Section 702 of FISA,” November 1, 2022, https://www.aclu.org/issues/national-security/privacy-and-surveillance/warrantlesssurveillance-under-section-702-fisa.例如，依據《外國情報監視法》創設的外國情報監視法庭（FISC）負責批準情報部門的監視計劃，但該法庭對監視項目進行年度整體性批準，而非個案審批，年度計劃里只需說明監視的數據類別而非具體的目標個人的信息，且年度計劃內容和FISC裁決均默認保密。據統計，FISC從1979—2019年間共批準了42947項年度監視計劃，僅否決了135項，其中123項還是在2013年“棱鏡門事件”后予以否決的。[3]The Administrative Office of the U.S. Courts, “The U.S. Courts Statistics & Reports,” November 30, 2020, https://www.uscourts.gov/statistics-reports/analysisreports/directors-reportforeign-intelligence-surveillancecourts.

由于上述法律和行政命令給予情報部門的寬泛授權，美國政府實施了數項大規模數據監聽計劃。按照《外國情報監視法》第702條開展的情報監視包括“上游計劃”和“下游計劃”（原“棱鏡計劃”）等?！吧嫌斡媱潯鄙婕懊绹閳蟛块T對全球互聯網骨干網的數據復制和過濾，包括元數據和通信內容；
“下游計劃”則要求美國企業向情報部門披露目標賬戶接收和發送的通信和數據。根據第12333號行政命令，美國情報部門也開展了大規模監視計劃，收集數以億計的移動電話位置記錄、個人電子郵件中的通信錄和地址簿等。此外，無論《外國情報監視法》第702條還是第12333號行政命令對情報的定義都相對寬泛，造成收集、保存和使用大量與國家安全無關信息的風險。[1]參見張春飛、楊筱敏：《從<歐美隱私盾>協議失效看美國政府電子數據調取體系》，《信息通信技術與政策》2021年第1期。

綜上，造成歐盟方面否定美國個人信息安全保證的原因，并不在于雙方制度或價值觀有所差異。恰恰相反，二者在這些方面并不存在本質區別。美歐個人數據跨境保護協議遭到否定也并非源于經濟競爭中相互排擠的沖動，而是在于美國方面在保護個人數據免于來自公權力部門的不當干預上存在制度缺陷，尤其是對于境外個體數據保護的歧視性對待，基于慣有的霸權思維，將所謂美國國家安全片面地置于境外個體的基本權利之上。

結合歐盟法院作出的兩次無效判決來看，美方關于數據跨境保護的新承諾仍然不無問題。雖然新的行政命令使用了歐盟法律的措辭即《歐洲基本權利憲章》第52條中的“必要”和“成比例的”，而不是第PPD-28號行政命令第1（d）中使用的“盡可能量身定制”，以此向歐盟方面表明向其靠攏的誠意，但新行政命令并沒有從制度上改變美方電子監控法律的內容，正在實施的大規模電子監控計劃恐難有所改變。盡管歐盟法院兩次宣布美國有關監控的法律和做法不構成“合比例”，然而新的行政命令并不禁止所謂的“批量監視”，從境外發送給美國網絡服務商的數據仍將最終進入“棱鏡計劃”或“上游計劃”收集范圍。此外，行政命令中的“法院”也不是歐盟方面期待的真正意義上的法院。按照新行政命令的規定，個人數據救濟機制將是一個兩步程序，第一步由國家情報總監的官員進行處理，第二步由“數據保護審查法庭”加以裁決。但是，兩者均非《歐洲基本權利憲章》第47條或美國憲法意義上的法院，而只是美國行政部門內的一個機構。新系統只是以前的“監察員”機制的升級版本，后者已被歐盟法院否定?；谝陨侠碛?，作為個人數據保護社會活動家的施雷姆斯表示，如果歐盟委員會對新行政命令給予肯定，可能再次引發訴訟。[1]“First Reaction: Executive Order on US Surveillance Unlikely to Satisfy EU Law,” NOYB Organization, October 7, 2022, https://noyb.eu/en/new-us-executive-order-unlikely-satisfy-eu-law.

綜觀美歐圍繞數據跨境流動議題博弈的全過程，可以得到的啟示是，在數字全球治理領域，圍繞數據跨境流動規則主導權而展開的各方博弈將日益突出，并將在較長一段時間內存在。在圍繞數據跨境流動展開的美歐博弈中，歐盟一方握有一定的主導權，從每一次協議失效后美方均積極作出新的承諾即可看出。美國哥倫比亞大學法學院教授布拉德福德于2012年提出著名的“布魯塞爾效應”理論。該理論認為，總部設在比利時布魯塞爾的歐盟通過一系列調整市場經濟的指令、規定，例如競爭政策、環境保護、食品安全、隱私保護或者社交媒體仇恨言論監管等領域的立法，使其影響力向全球市場滲透，相當程度上實現了單方面為國際商業環境確立標準的效果。所謂“布魯塞爾效應”，就是全球商業市場的諸多重要方面呈現出行為標準歐洲化。這一現象也顯示出歐盟依然擁有重要和獨特的影響全球經濟規制政策的力量。[2]Anu Bradford, The Brussels Eあect: How the European Union Rules the World,Oxford University Press,2020, p.14．2020年2月，歐盟委員會連續發布了《塑造歐洲數字未來》、《歐洲數據戰略》和《人工智能白皮書》三份數字轉型戰略文件，顯示出爭取國際數字經濟規則主導權的強烈愿望，從一個側面印證了“布魯塞爾效應”的存在。