步入21世纪以来，人类社会各个领域特别是信息领域飞速发展。信息爆炸不可避免地产生了大量数据，既带来了机遇，也伴随着挑战。数据流动带来利益的同时也暗藏危机，个人数据的随意收集和滥用侵犯了个人信息权，不利于数字经济的持续发展。欧盟和美国基于自身历史传统和现实需要，形成了个人数据保护的两大格局。但两大经济体关于数据跨境流动规制的价值追求截然不同—前者强调对个人数据的严格保护，后者则倾向于追求数据自由流动的价值。

一、欧盟：限制个人数据流动

自《欧洲数据保护指令》（95/46/EC）以来，欧盟就采取了严格的以地理区域为基准的立法制度，提出了数据保护“充分性原则”。“数据保护指令”第25条明确规定，一方面，欧盟要求成员国限制其境内的个人数据向境外转移；另一方面，只有当数据接受国或地区被证明具有充分的保护水平时，跨境数据转移才能够被允许。随着新兴科学技术的发展，大数据、云计算等对个人数据保护造成了巨大冲击，相应的保护措施也亟待提高，欧盟GDPR作为史上最严格的数据保护规则应运而生。就数据接受国或地区的资格而言，GDPR规定了更高的认定标准：首先，应当考察数据接受方的法治程度、对人权和基本自由的保障水平、立法制度和行政机构、国家机关对于境内数据掌握者的介入，以及数据主体享有的权利和救济机制；其次，还应当考察接受方是否具有一个或多个独立的监督主体，是否具有充分的执法权；最后，要考察接受方已作出的相关国际承诺。为了严格保护个人数据，GDPR更加强调数据主体的权利，提出数据主体享有“被遗忘权”和“数据可携权”。前者是指当数据主体提出数据删除要求时，被要求的企业必须在数据库删除该主体的相关数据。如果数据已经传播或供给他方使用，企业还负有通知义务，确保他方及时删除其掌握的数据。后者是指就个人数据而言，当其脱离某一数据使用者控制，转移到另一数据使用者控制之下时，数据主体应当对此保有绝对权利。欧盟以地理区域为基准的立法保护，有助于提高欧盟的一体化程度，建立欧盟境内统一的个人数据跨境转移标准。然而，欧盟模式过分强调数据保护的行政主导性，给数据接受方造成了较大负担，不利于数据资源的利用，将会对数字跨境贸易带来阻碍。

二、美国：保障个人数据自由流动

美国关于个人数据的保护理念与欧盟截然相反。美国以充分保障数据自由流动为前提，进而要求数据经营者对经营中所掌握的数据采取合理、合法的保障措施。在实践中，美国采取行动，积极促成个人数据的跨境自由流动。一方面，基于业务合作的需要，美国政府与欧盟签订了一系列双边协议，为美国企业争取数据跨境传输资格，例如2000年《美欧安全港协议》、2016年《隐私盾协议》；另一方面，美国借助亚太经济合作组织，积极推广自身模式，争取该区域的数据跨境话语权。在美国推动下APEC于2013年通过的《跨境隐私规则体系》（Cross-BorderPrivacyRules，CBPRs），其宗旨是确保个人数据的跨境自由流动。不同于欧盟浓厚的行政主导性，美国提倡行业自律，由行业组织或第三方认证机构制定具体的个人数据保护标准。首先默认数据经营者在商业活动中能够自觉主动地遵守相关义务，只有当其行为触犯了个人数据保护规则时，由行业组织以及行政机构对其进行事后处罚或制裁。这种宽松的规制模式很难适应GDPR的严格要求，因此自GDPR生效以来，Facebook、Google、Instagram及WhatsApp都遭到过指控。为了适应国际上个人数据保护严格化趋势，美国加州州长杰瑞•布朗（JerryBrown）于6月28日签署了一项数据隐私法案，被称为“全美最严”的隐私保护法。这项法案使得用户对公司收集和管理个人数据的方式有更多控制权，符合GDPR限制个人数据跨境流动的理念，但与美国一直倡导的行业自律模式下保障数据自由流动的做法大相径庭。根据立法草案，加州掌握超过5万人信息的公司必须允许用户查阅自己被收集的数据，用户甚至有权要求删除数据。早在该法案通过之前，谷歌和其他大公司都抗议这项立法造成了过多的障碍。①美国一直以来都十分重视数据自由流动带来的经济价值，奉行以市场为主导，以行业自律为中心的个人数据保护政策。美国模式减小了行政阻碍，能够最大限度的保障个人数据跨境转移，从而维护自身已建立的信息优势。然而，由于行业组织对违规企业的处罚力度不足，导致违法成本较低，难以对数据经营者形成威慑，实践中侵犯个人信息权的行为时有发生。美国政府也意识到这一保护模式存在的不足，开始倾向于混合型法律规制手段，平衡个人数据自由流动与个人数据保护之间的冲突，保障数字产业的持续发展。

三、个人数据保护的发展趋势

以往的个人数据保护模式，是以个人对自身信息拥有绝对控制权这一基础来构建的，体现了“个人本位”的思想。欧盟GDPR遵循这一思路，赋予个人绝对权利，突出捍卫个人信息权。然而，这种过分强调个人本位的保护模式难以适应当前的时代要求。要想发挥数据的价值，就必须实现从个人本位到社会本位，从个人控制到社会控制转变。通过施加给数据控制人相应的法律义务，反过来保护数据权利人的利益，而不是一味强调数据主体享有绝对权。与欧盟GDPR不同，美国将个人数据类比隐私保护。个人数据不是不可触碰的隐私，而应当是一种合理的信息流通。行业自律模式弱化了行政控制，能够减小对数据流动的阻碍。事实上，出于国际交流与合作的需要，上述两种模式在实践中已经出现了融合的趋势。2000年签订的“安全港”协议，体现了美欧双方的价值诉求，是两大经济体关于跨境数据流动规制的第一次妥协。2015年，随着“棱镜门”事件的发生，欧洲法院最终裁定“安全港”协议无效，中断了美欧之间数据跨境流动的合作。随后，欧盟为了挽回局面，了“隐私盾”协议文本，经过双方多次协商，终于在2016年正式通过并实施。从“安全港”协议到“隐私盾”协议，可以看到美欧两大经济体的妥协与融合。欧盟GDPR的实施，提示我们要在全球化视野下思考大数据安全问题。今年5月1日，《信息安全技术个人信息安全规范》开始实施，意味着今后我国个人信息保护将更加完善。②在此背景下，结合自身国情，吸取经验教训，构建中国特色的个人数据保护制度刻不容缓。我国互联网拥有最丰富的应用场景，很难通过某一模式或某一规则来确立信息保护制度，只能遵循某些共同的原则。保护个人数据固然重要，但不能因此牺牲数据的流动性。GDPR对于欧洲国家来说是合适的，但对于中国不一定适用。中国处于数字经济和AI技术发展的创新阶段，应当在推进个人数据保护的前提下将个人数据更好地应用于商业场景。近几年来，《网络安全法》、《个人信息安全规范》等法律法规的制定和出台，构建了我国个人数据保护领域大致的法律框架。有关个人数据保护的探索才刚开始，美欧模式给我们提供了有益经验，新兴互联网商业给我们创造了机遇，或许可以说，中国模式，未来可期。

【作者简介】王曦（1989-），女，汉族，云南曲靖人，复旦大学法学院博士研究生，研究方向为公司法、金融法。

【参考文献】

[1]郭瑜.个人数据保护法研究[M].北京:北京大学出版社,2012:12-24+93-100.

[2]王融.大数据时代:数据保护与流动规则[M].北京:人民邮电出版社,2017:189-214.

[3]谢永志.个人数据保护法立法研究[M].北京:人民法院出版社,2013:19-20+69-91.