数字经济建立在跨境数据流动的基础之上,数据通过其前所未有的移动性和访问性获得价值,如何使用数据成为数字贸易发展的关键因素,跨境数据流动已经成为数字贸易的最新战场。尽管跨境数据流作用巨大,但也给国家安全、公共秩序、消费者隐私等造成一定威胁。法律很难跟上技术的步伐,目前的规制方法与跨境数据流动并不匹配,不同规则之间缺乏确定性和协调性也会给数字经济造成负面影响。个人数据跨境流动规制问题已经引起了政府、企业、消费者的多维度关注。是否可以达到跨境数据流动中国家安全利益、经济利益、数据隐私保护利益的平衡,是各国正在思考的问题。欧盟希望在数字空间延续欧洲的基本价值观和规范标准,其核心是尊重人权的范围内增加对欧盟公民基本权利的关注。美国关心个人数据的商业资产价值和数据自由流动的经济价值,“市场开放度”和“限制措施的影响”是美国主要关注点。我国处于信息技术发展的高速时期,我国公民的个人数据本身就是一个庞大的市场,跨境电商的发展不可避免的涉及到全球数据的传输和交换,从国内层面和国际层面都迫切需要对个人数据跨境流动进行规制。我国个人数据跨境流动规则构建中面临着欧盟和美国的双重压力,特别在欧美已达成部分共识,G20经济体大部分跟随欧美规则的情况下,我国处于被规则边缘化的状态。由于跨境数据流动即是国内问题、也是国际问题,涉及国内政策和国际协调,为应对欧盟和美国两套规制体系,本文从数据隐私保护的视角,以欧盟和美国个人数据跨境流动规则为研究对象,进行比较研究。在对国内外研究现状进行分析后,笔者认为目前对个人数据跨境流动的研究缺乏系统性,呈现出碎片化的特点。问题主要分为几类:一是对欧美政策目标差异具体表现形式的研究不够系统;二是对欧美规制模式的分析,主要集中在对规制模式本身的差异上,对规制模式差异在贸易谈判中的体现研究较少;三是对立法框架和数据隐私保护基本理念的差异性研究不够系统;四是未从政府职能、域外管辖、监督救济规则的差异上对执行机制做系统研究;五是对跨境监管合作的研究,多集中于对市场行为监管合作的研究,国内文献少有涉及执法合作中的数据交换问题;六是未从欧美比较研究的视角,通过提炼、总结欧美规则中的主要矛盾,对中国规则构建提出系统性建议。因此本文拟在借鉴学界现有研究成果的基础上,对个人数据跨境流动欧盟和美国模式进行梳理和对比分析,发现规则构建中的主要矛盾所在。本文受主客观因素的影响,尚无法穷尽个人数据跨境流动中所涉及的所有问题,本文选择了数据隐私保护的视角讨论此议题,主要是因为数据保护和隐私立法常规制个人数据跨境流动问题,跨境数据流动监管的主要动机之一就是跨境数据流动可能规避国家数据保护法律,其背后是数据保护和隐私法协调的问题。个人数据跨境流动相关国际协议的规则都源自参与国的数据保护法,欧美分歧的主要原因也是由于数据隐私保护体制的根本性差异。基于此,本文从数据隐私保护的视角,通过理论和实证分析探讨欧美规则的差异及原因。从《隐私盾协议》欧美重点谈判的问题出发,本文对政策目标、规制模式、立法框架、执行机制、跨境监管合作五个方面的规则进行研究,将欧美规则差异性剖析和我国构建个人数据跨境流动规则国内、国际层面的实践方法作为论文研究的中心。具体而言,本文总共为6个章节,共计近24万字,具体如下:第一章是政策目标的差异分析。本章的首要目的是回答欧美个人数据跨境流动规则的政策目标差异,为以下各章进一步分析各自在政策目标导向下的立法、执行、监督合作规则奠定基础。本文认为,欧盟以数据隐私保护为主,加强了跨境数据流动规制中对数据主权利益的维护。并希望通过《塑造欧洲的数字未来》、《人工智能白皮书》、《欧洲数据战略》三份重要文件的实施塑造真正的“单一数字市场”,减少对全球其他地区关键技术的依赖,重新夺回“技术主权”。欧盟将个人数据和隐私权作为基本权利进行保护,当其他利益与数据隐私政策发生冲突时,进行比例分析,不允许任何降低宪法利益侵犯数据隐私的行为。欧盟将数据隐私政策目标引入WTO,使“GATS隐私例外条款”成为国际法依据,并在多边论坛持续提倡保护数据隐私的全球文化。美国以产业利益和国家安全利益为主。倡导言论自由和数据自由流动,坚持将数据自由流动视为民主体制的核心,重视数据主权战略体系建设,重视对跨境数据流动经济价值的评估,不断完善评估体系。美国从跨境数据流动对经济发展的重要性、限制措施对数字贸易的影响、实现跨境数据流动和隐私保护平衡三个方面向WTO说明跨境数据流动的价值。同时,美国致力于从两方面减少数字贸易政策壁垒的影响,一是针对数字贸易的特殊措施,减少数据本地化规则和数据隐私保护规则对贸易造成影响;二是针对影响商品及服务提供者的传统市场准入和投资政策,重点规范针对私人和公共网络安全的监管措施、审查措施、与知识产权有关的管理政策、影响市场准入的数字支付、技术标准、政府采购及外国投资政策。911事件以后美国将国家安全目标提高到前所未有的高度,数据保护法设置了“以过程为导向”的法律标准,意味着在确定和执行措施时关注过程,确保过程的合理性,以实现国家安全。通过分析,本文认为欧美在跨境数据流动基本理念上有着较大的分歧。高标准的数据保护的是欧盟社会对数据隐私权的诉求,而跨境数据自由流动则反应美国产业对经济利益的诉求。在美国国家安全利益、产业利益、言论自由面前,数据隐私保护是一种可被“牺牲”的利益。第二章是规制模式的差异。本章试图对欧盟和美国跨境数据流动的“充分性”模式和“问责制”模式进行研究,梳理了规制模式差异在WTO多边以及FTA谈判中的体现。本章首先对欧盟“充分性”模式的来源、定义及认证方式上进行了梳理,并分析“充分性”模式具有灵活性和局限性双重特点,其适用性在降低。美国目前倾向于加强“问责制”模式的构建,USMCA支持“问责制”的扩展,美国国家标准技术研究院（NIST）《隐私框架1.0版本》建议加强“问责制”的实施,美国希望借助APEC和OECD进一步推广和巩固规制方式。“问责制”模式与“充分性”模式既有区别更有联系,目前倾向于二者的结合。对于数据本地化规制,欧盟对内打造欧盟单一数字市场,促进欧盟境内数据自由流动,对外强化监管和数据隐私保护。欧盟试图建立“欧洲云”或“申根云”,将互联网流量限制在国家边界或申根地区。而美国则将数据本地化要求确定为主要的数字贸易壁垒,更加看重数据自由流动。对外政策上,美国关注市场开放度以及各国所采取的限制政策,严格限制数据本地化规则。欧美规制模式的差异体现在WTO多边立场和各自主导的FTA之中,本文从贸易与隐私联合的视角对GATS数据隐私一般例外规定,以及网络数据隐私权保护是否可以成为GATS项下的例外进行了分析讨论,认为GATS为数据隐私法的实施设置了最低的限制。欧盟尽量避免FTA降低数据保护标准,尽管欧盟FTAs有一定程度与欧盟制度“趋同”（convergence）,但与欧盟规则的“协调”（harmonization）还相差甚远。而美国通过FTA渠道将数据自由流动议题放在双边协议中进行谈判,之后转向区域协议,进而推向多边论坛,并根据需求在双边、区域和多边场景反复谈判,将跨境数据流动置于FTA电子商务和数字贸易章节进行规制,明确提出了促进跨境数据流动和严格限制数据本地化减少数字贸易壁垒的要求。本文阐述了USMCA之前美式FTAs中跨境数据流动规则和USMCA的最新规定,以及USMCA可能对隐私法造成的影响。进一步分析了欧美在TTIP和Ti SA谈判中争议焦点和谈判停滞的原因。本文认为,FTA很可能重新定义未来的跨境数据流动和数据隐私立法。第三章是立法框架的差异。本章试图从宪法性保护、基础性立法模式以及数据隐私保护基本理念的不同进行分析。通过分析认为,欧洲的数据保护法在宪法层面提供全方位的宪法性保护,所青睐的话语模式是“权利话语”。美国法律中以宪法条文呈现数据保护十分有限,所青睐的话语模式是“市场话语”。在立法框架上,欧盟使用的是一种严格的自上而下规制系统。GDPR采用统一的立法模式,在跨境数据转移上采用充分保护、充分保障、使用例外的三层级规制方式,在限制转移的同时也提供了全面的工具措施保障数据流动。美国并没有广泛的限制跨境数据流动,传统的规制方法是,通过部门领域规制特定的数据类型。美国在数据隐私保护中采取的是“松散型”立法,是联邦及各州成文法与普通法的结合,在保护消费者隐私上美国首先推崇的是“行业自律”,将部门法规制与企业自制相结合。美国法律以信息自由流动原则为出发点,将信息隐私法定位于市场领域,市场话语及市场逻辑占据主导地位,允许处理任何个人数据,除非有法律限制的除外,所以美国并没有统一的成文法要求。美国国会目前尚面临内部数据保护立法的“规范性定义法”和“结果基础法”的选择问题,受保护信息的定义问题,如何改善执行受限,私人诉权和起诉资格问题,州法律与联邦法律的优先权问题,CCPA的通过将对美国联邦立法产生深远的影响。在个人数据（信息）的定义上呈现出一致性定义和多样性定义的差别,欧盟倾向于“扩张解读”,美国倾向于“简化解读”,而CCPA的生效对个人信息的定义逐渐向GDPR靠拢。欧盟保护的是“数据主体权利”,数据的控制者是数据主体,而美国保护的是“消费者隐私”,数据的控制权更多倾向于企业。美国更看重“数据处理者”的利益,美国法律对“数据处理者”更有利。欧盟法律体现出一种“数据隐私不可让渡性”,美国法并不严重依赖“数据隐私不可让渡性”,并没有为数据处理的合法性建立一套不可豁免的机制,也没有对“合同与同意”模式进行强有力的限制。第四章是执行机制的差异。本章主要从政府职能、域外管辖、监督和救济规则四方面对执行机制的差异进行解读。首先,通过分析认为,美国政府在隐私权保护中的义务是尽量克制不采取特殊的措施,是一种“消极责任”。欧盟认为隐私和数据保护作为基础性宪法权利,要求积极的政府行为来保护个人权利,是一种“积极责任”。其次,在规则的域外适用上,美国和欧盟规则域外效力的产生都有市场力量的因素,但欧盟在数据保护上的国际影响力更多地来自于欧洲制定、监控和执行监管规则的“监管能力”,而美国更多的取决于“市场力量”。本文分析了欧盟GDPR的域外管辖和美国CLOUD法案的管辖权范围,认为欧盟通过GDPR数据转移规则的适用扩大了域外影响力,GDPR被视为不仅是欧盟的隐私法,也是“全世界的隐私法”,已经形成了欧盟规则的“布鲁塞尔效应”,各国以GDPR为数据立法的标杆。美国CLOUD法案基于美国公司“数据控制者”的立场,打破传统的以“地理位置”为管辖的方法,为美国获取境外数据提供便利,企图树立刑事司法领域跨境数据调取的立法风向标。但CLOUD法案可能挑战一国“国家数据主权”,与数据本地化规则和数据分享规则发生冲突。第三,在监督规则的差异上,主要阐述了欧美在监督机制独立性问题和数据监视问题上的争议。《隐私盾协议》通过美国官方机构的承诺以及年度联合审查机制来保证监督机制有效性,但仍然因为美国政治环境因素、英国退出欧盟、以及CJEU的司法行动而面临不稳定因素。第四,在救济规则的差异上,主要阐述了因欧美制度对起诉条件和受保护对象的不同而导致争议,为弥补此问题,进一步分析了《隐私盾协议》的解决方案。第五章是跨境流动的监管合作。欧美试图协调规制路径的差别,美国试图将欧盟规则协调成美国模式（U.S-style approach）,欧盟也试图将美国规则协调成欧盟模式（EU-style approach）,但均未获得成功,双方都坚定的致力于各自的做法,其规则差异主要基于政治、经济、文化三方面原因。在对国家安全的维护上,欧盟表现出“平民的”（civilian）或是“软权力”（soft power）的特征,而美国表现出“硬权力”（hard power）的特征。在对数据主权的维护上,欧盟主要担心美国在跨境数据服务中显露出的霸权地位,希望将重要数据存储和传输掌握在自己手中。美国则依靠数据优势,形成了完备的数据主权战略体系。在经济环境上,美国是信息技术的消费方和提供方,而欧盟是信息技术的消费方,欧盟希望从“消费方”向“提供方”成功转型。在隐私文化上,基于历史原因欧美对隐私权概念的理解存在差异,欧盟视“隐私”为“尊严”和“信息自决”,重视隐私权的“人权属性”;美国视“隐私”为“自由”,重视“物理安全属性”。“个人”在欧美制度中作为利益承担者地位有所不同,欧盟创造的是一种“权利对话”（rights talk）的隐私文化,美国创造的是一种“市场对话”（marketplace discourse）的隐私文化。在隐私法防范的对象上,欧盟主要是防范“私人威胁”,而美国则是为了防范“政府威胁”。虽然欧美规则存在诸多差异,但互为数据交易服务出口的最大客户,数据隐私保护和促进数据自由流动是双方的共识.面对技术发展带来的共同问题,以及欧美公民对隐私问题的高度关注,欧美存在谈判的基础。从《安全港协议》到《隐私盾协议》形成了彼此融合、妥协和发展的趋势。欧美最新的共识体现在G20“大阪数字经济宣言”中,共同推进“信任数据自由流动”的理念,建立可持续发展目标和包容性。欧美的监管合作体现在对“市场行为”和“执法行为”的监管中。本文分析了双方在市场行为监管中达成的双边协议,分析了《安全港协议》废除的原因和《隐私盾协议》制度创新,以及对《隐私盾协议》替代机制和完善方向的思考。梳理了双方对执法行为监管合作中达成的双边司法互助协议、PNR协议、SWIFT协议,以及《欧美数据保护伞协议》。本文认为,不论是对市场行为监管,还是对执法领域的监管,欧美双边协议都主要是限制美国对源自欧盟数据的有限使用,以平衡数据隐私、商业经济和国家安全利益。欧盟在与美国的谈判中扮演着规则“接受者”（receptive）和“独断者”（assertive）双重身份。在PNR和SWIFT协议中欧盟试图使其数据保护机制免受美国反恐政策的影响,欧盟坚持个人数据处理应该遵守“比例原则”,最终也获得美国的让步,促使美国执法部门和情报机构在信息实践方面承诺做出改变。第六章是中国规则的现状及完善。梳理了中国个人数据保护一般规则、个人数据跨境传输规则和数据保护监管机构的现状,基于前述分析,本文认为中国个人数据跨境流动规则构建中,主要关注五大方面问题:一是政策目标的平衡;二规制模式的选择;三是立法框架的完善;四是执行机制的完善;五是跨境监管合作问题。首先,政策目标的选择上,以总体国家安全观为统领,切实维护国家网络安全。将国家安全和国家数据主权放在首位,并兼顾经济利益和隐私保护利益;其次,规制模式的选择上,以GDPR跨境转移规则为参考,对应三层级的要求及“必要性测试”和“比例测试”进行自评,避免跨国企业因行为不当遭受欧盟的高额罚款。但我国必须注意的是,与欧盟信息技术消费方的身份不同,我国需以提供方和消费方双重身份,形成规则制定的策略和步骤。另外,我国与美国在产业优势、贸易规则诉求、数字贸易关注点上存在差别,美国更关注数字贸易的“数字性”,关注WTO制度供给的不足,以及各国限制数字贸易和跨境数据流动措施带来的障碍;而我国力求促进跨境货物贸易的“便利化”,重视保护数字货物贸易中企业与消费者的信心,重点在完善便利化措施、金融支付机制、个人信息隐私保护、争端解决机制等政策。我国应针对美国进行专门数据安全评估,降低因数据监视问题对我国公民数据带来的风险,并与CCPA最新规则进行对接。本文建议采取“安全性评估”为基础的评估方式,对数据接收国的数据保护“安全性”进行评估,而不对他国数据保护制度作总体的评价,主要对数据接收国的安全性标准是否符合我国的要求以及数据出境后的风险进行审查。借助等保2.0安全评估模式,针对不同数据类型启动分级安全评估,根据不同的安全保护水平进行审批和后续监管。但跨境数据流动是一个长期的动态监管过程,我们应该探索多样化的评估模式。第三,立法框架的完善上,建议将“数据保护权”作为法律规范的权利基础,将个人数据保护权从人格权或隐私权中单独分离出来。完善和改进数据主体同意模式,同意模式存在认知局限和结构问题,恐不能提供全面的数据隐私保护。建议将增强隐私的强制执行力度和个人选择相结合,使得隐私在特定情况下不可通过“同意”而豁免,但应区分不同法律文本对“同意”要求的差别,避免采取一刀切的方式对待“同意”机制,最终的效果是引导个人做出科学合理的决定。另一方面鼓励我国企业应寻求除“同意”以外的更多可以证明个人数据处理合法性的依据,减少对“同意”的依赖。重点对数据处理活动进行规制,加强对企业数据收集、使用行为的管理,设计数据处理问责机制时要全面把握数据处理的性质、背景、范围和风险。制定专门的跨境数据流动立法,以上海自贸试验区为试验田。完善网络信息安全立法,加强网络安全管理职责。第四,执行机制的完善上,建议建立专门的数据保护机构,并加强对APP个人信息收集问题的监管,完善救济规则。第五,对跨境监管合作的模式,我国一方面寻求监管的一致性模式;另一方面寻求确保数据接收国可执行我国数据保护规则的模式,并遵循监管合作的原则性要求。从国内层面引导中国企业塑造数据隐私保护全球格局,应对数字鸿沟促进数字化。运用技术规制方法,借鉴“设计隐私”的规定,有限运用加密技术。在国际层面,打造中国的“数据流通圈”,增加国际层面消费者信任和商业信任,将贸易和隐私议题联合考虑,坚持在WTO框架下进行相关谈判,促进个人数据跨境流动规则的互操作性。着力统筹国内、国外两个层面、数据出境和入境两个流向、兼顾安全与经济发展两个方面,在法规制度、责任体系、安全保障上,做好数据安全和跨境数据流动管理的相关工作,构建国内层面和国际层面规制的合力。