随着信息技术的发展与国际信息交流的频繁,个人数据的跨境流动变得越来越普遍,个人数据的隐私保护在跨境流动这个过程中也变得越来越不可控。与此同时,随着大数据时代的来临,个人数据跨境流动在数据的收集、储存、处理、传输和利用过程中,更加容易受到侵害。在实践当中,个人数据跨境流动受到侵害的案例也是层出不穷,如:facebook案、棱镜门事件等。由于涉案企业拥有大量个人数据,因此这些案件影响范围普遍较大,所以,个人数据跨境流动问题也变得越来越受到人们的关注。为了解决此类问题,各国纷纷出台个人数据保护法或网络安全法以保护个人数据的隐私权。但是,由于各国政府对于数据属性的理解不同,对于保护数据隐私与保护数据自由流动这两种不同利益的侧重点也有所不同,从而对个人数据跨境流动采取了不同的法律规制模式。也正因如此,造成了各国对个人数据保护标准与力度的不统一,为跨境流动中的个人数据保护造成了很大的难度,国际上也急需形成一套切实可行的协调机制。本文比较分析了国际上主流的个人数据跨境流动法律规制。其可以分为以欧盟为首的“充分性”保护模式和以美国主导的“问责性”保护模式两种方式。通过比较分析这两种不同的规制模式,可以发现规制模式的不同来源于两者在侧重点上的不同。欧盟注重数据的人格属性,更侧重于保护数据隐私,因而采取了严格限制个人数据跨境流动的规制模式;而美国则注重数据的财产属性,更侧重于保护数据流动带来的经济利益,因而采取了相对较为宽松的个人数据跨境流动规制模式。由于不同国家、地区对个人数据跨境流动利益保护的侧重点不同,造成了各国对个人数据保护标准的不统一,在规制的实际运行当中也产生了不少冲突。也正因如此,个人数据跨境流动的保护问题存在较大难度。针对上述问题,本文分析讨论了国际上关于个人数据跨境流动的协调方式。针对美欧之间规制模式不同产生的数据流动困境问题,美欧双方在不断的竞争与妥协之中,先后达成了《安全港协议》和《隐私盾协议》,以平衡数据隐私保护与数据自由流动这两种不同利益。针对域外获取数据与数据本地化两者的冲突问题,美国出台CLOUD法案对此进行规制并与部分国家达成双边协定,以协调不同国家之间的利益。通过上述分析本文对中国进一步完善个人数据跨境流动立法与国际合作提出建议。本文的具体结构安排如下。第一章阐述了个人数据跨境流动的概念及其规制的法律现状。主要说明了个人数据的显著特点为具有可识别性,同时具备人格属性和财产属性双重权利属性。并且对个人数据跨境流动问题进行界定,即将个人数据转移至境外进行存储、传输、处理或能被境外主体访问的问题。同时,简要梳理了目前国际上在个人数据跨境流动方面的法律规制现状,以对个人数据跨境流动的法律规制情况有一个明确的概念。第二章分析了主流的个人数据跨境流动法律规制及其成因。对目前国际上主流的两种法律规制模式,即欧盟与美国对个人数据跨境流动的不同法律规制模式进行分析,同时探究其政府采取不同规制模式背后的深层次原因。欧盟在针对个人数据跨境流动时采取了比较严格的限制模式,与其素来注重人权保护的价值理念相吻合,体现出欧盟在进行个人数据跨境流动法律规制时更多考虑数据的人格属性。美国在面对个人数据跨境流动问题时,规制方式较为宽松,在国内主要以行业自律的方式对个人数据隐私进行保护,在国际上也积极倡导个人数据流动的自由化。这与美国自身所处互联网行业的优势地位也是息息相关的,体现出美国在进行个人数据跨境流动法律规制时更多考虑数据的财产属性。总的来说,在个人数据跨境流动的法律规制问题上,欧盟更侧重于保护数据隐私,而美国更侧重于保护数据自由流动,这也反映出国际社会面对个人数据跨境流动保护的侧重点并不相同。中国在进行个人数据跨境流动法律规制时也需要根据本国情况选择合适的侧重点。第三章分析不同个人数据跨境流动法律规制中存在的冲突与其协调方式。通过第二章的分析可知,由于各国政府个人数据跨境流动保护的侧重点不同,这些规制在运行过程中也势必会产生冲突。针对这些冲突,国际社会也积极展开合作,以平衡数据隐私与数据自由流动。其中,最为显著的是欧盟出于对数据隐私的考量,严格限制数据出境,而美国出于对互联网经济的考量,希望获得欧盟数据,从而产生冲突。于是,欧美双方基于数据隐私与数据自由流动两者利益,经过不断谈判与妥协,先后达成《安全港协议》与《隐私盾协议》,为不同的个人数据跨境流动法律规制所引起冲突的国际协调提供了一个范本。同时,一国在获取境外数据时通常会面临数据本地化要求,对此美国在国内法中确立了其域外获取数据的合法性并作出相关例外规定,并在国际上积极与其他国家商定双边协议的签署。可见,个人数据跨境流动法律规制的冲突不可避免,积极开展国际合作也是必不可少。第四章为我国在个人数据跨境流动法律规制方面提出相关建议。首先,我国要明确数据权利属性,制定相关制度使个人数据在国内能够受到良好保护,这是个人数据跨境保护的基础,国内若没有良好的数据保护制度更遑论对跨境数据的保护;其次,明确我国数据保护的侧重点,选取适合我国的数据保护模式,对数据进行分类管理。比如借鉴欧盟第三国适当性保护模式或美国数据控制者保护模式,或加入已有的CBPR模式使数据保护方式更为灵活,通过完善个人数据出境与境外流动规则,尽可能保护本国数据免受他国不当处理;第三,充分开展国际合作,积极参与国际层面规则制定。