欧盟数据流动范式的扩张以及中国的应对方案
来源:上海法学研究杂志 更新时间:2023-08-23

要目

一、欧盟数据流动规则范式的构建

二、欧盟数据流动规则范式的扩张

三、欧盟范式扩张中中国的应对方案

四、结语


数据是21世纪的“新石油”。正如法律的生命在于经验,数据的生命在于流动,数据流动全球化是大势所趋。数据跨境流动规则的制度博弈,实质是数字市场的全球竞争。欧盟通过欧盟一般数据保护条例和非个人数据欧盟境内自由流动条例完成了个人数据和非个人数据的全类型数据流动立法。目前,欧盟在全球数字经济中的市场份额与其在数据领域构想的“欧洲中心主义”还尚不匹配,但欧盟通过构建高门槛高标准的数据跨境传输规则成功地向其他国家输出欧盟模式,使欧盟模式得以向世界范围扩张,进而深刻影响国际数据治理格局。对于欧盟范式扩张效应的产生,中国应客观审视和借鉴,同时构建本土规则,形成中国模式,建构数据流动法律的中国方案。

引言

欧盟模式着力于内部数据保护标准的统一,但对于非欧美国家而言,欧盟模式成为其与欧盟建立数字经济合作的一道壁垒。欧盟通过一般数据保护条例(GDPR)抬高市场准入标准,将不符合标准的国家和企业一律排除在外,并通过潜移默化地向外渗透欧盟模式,使其他国家的数据流动标准向欧盟靠近,潜移默化地将欧盟模式升级为一种范式,并不断地扩张其影响力,深刻影响着国际数据流动治理格局。

一、欧盟数据流动规则范式的构建

欧盟数据流动规则范式主要是围绕两条主线来构建:单一数字市场和技术主权。即对内要建立统一数字市场,加快欧盟整体数字化转型,发挥欧盟整体优势,争做数字化发展的领跑者;对外就是要在隐私安全得以确保的前提下实现“跨境数据自由流动”。除上述两条主线外,欧盟通过以下三种具体方式进行欧盟数据流动规则范式的构建:第一,进行GDPR有关数据跨境的制度设计;第二,提出充分性认定规则;第三,设立标准合同指引。

欧盟通过GDPR正在实现其数字单一市场的建设,同时通过GDPR的域外适用效力将与市场有关的社会和经济政策及监管措施外部化,使得欧盟内部标准具有外部影响力,通过这样的制度设计,欧盟在向其他国家及地区输出其标准,并在国际标准的制定的竞争上取得了先机,对全球的数据监管产生了深远的影响。

GDPR有关数据跨境的制度设计

GDPR第五章规定个人数据可以在欧盟成员国之间自由流动,没有任何限制,但是非欧盟成员国想要从欧盟成员国处获取个人信息数据,就需要达到适足性、充分性标准。如果欧盟数据保护委员会认定第三国对被转移数据的保护能够达到GDPR规定的标准,则其与欧盟成员国之间的数据转移不需要特意授权。相反,除上述情况外,欧盟数据保护委员会都需要对第三国的数据保护水平进行评估,主要评估包括第三国关于人权和自由的立法是否完备、是否加入并履行与个人数据保护相关的国际协定或承诺以及政府当局对于数据转移、数据控制的管理情况等在内的相关事项。显然,在数据跨境流动中,欧盟以充分性认定机制作为数据跨境流动的基准,当第三国对该数据的保护水平达到充分性要求,或者经过评估确认该国的数据保护水平能够达到与欧盟“实质等同”时,即能为提供数据的欧盟成员国提供的充分的保障,欧委会将发布对该国的“充分性”认定。此外,根据GDPR有关条文规定,若没有经过“充分性”认定,则需要提供一定保障措施,如制定具有约束力的合同条款、第三方认证等,但前提是上述保护措施需要得到国家数据保护机构的批准。最后,如果第三国既未进行“充分性”认定,又无法提供有效的保障措施,那么欧盟数据保护委员会将采纳列举方式公布可以转移的数据范围,此即“特殊情形下的义务克减”条款。

充分性认定规则

1995年数据保护令(Data Protection Directive)出台,在第25条首次提出“充分性保护原则”的概念。鉴于出台的时间较早,数据保护令虽然提出对充分保护水平进行认定以及应当进行评估的事项,但没有提出具体、统一的方法和标准,仅仅是原则性规定,较为抽象,实际操作性不强,不能直接用于评估第三国对相关数据保护水平是否达到欧盟的要求。

2018年5月出台的欧盟一般数据保护条例在继承在先规定的充分性保护原则的基础上,明确了“充分性”的认定标准和实施条件。根据GDPR第45条的规定,充分性认定是指以第三国立法与法律实施情况、数据监管机构水平、加入个人数据保护的国际条约或多边协定情况等为评估标准,判定数据所转移至第三国对欧盟居民个人数据保护是否能够达到充分保护的水平,如能达到充分保护水平,则获准第三国与欧盟进行数据跨境传输。充分性认定规则被称为“欧洲个人数据跨境的签证”,获得充分性认定的国家与地区,视为与欧盟及其成员国具备同等的数据保护能力。

目前,世界范围内已有包括安道尔公国、阿根廷、泽西岛、以色列、瑞士与乌拉圭等在内的国家、地区以及相关组织通过充分性认定。在GDPR的跨境数据传输机制中,充分性认定机制要求各国对于个人信息数据的保护标准达到GDPR的标准,才能获得GDPR认定,这就导致那些想要获得认定的国家或地区在进行有关个人信息数据保护立法时向欧盟标准靠拢,进而扩张欧盟数据流动范式的辐射范围,如贝林、泰国、突尼斯、智利、巴西、加拿大等国更新了数据保护法或提出立法草案,究其立法模式和立法内容,明显深受GDPR影响。

上述国家之所以会采取与GDPR相似或相同的保护标准,原因有二:一方面,全球互联网产业十分集中,大多数国家都存在数字经济生产和消费失衡现象,故通过效仿欧盟严格的数据保护标准来约束和限制互联网强国的数据控制者或管理者;另一方面,欧盟本身就是一个巨大的商业市场,对于非欧盟国家极具吸引力,大多数非欧盟成员国都希望获得与欧盟进行数据流动的许可。此外,GDPR的影响力早已扩张到亚洲,以日本为例,其在2015年颁布的个人信息保护法就确立了类似的充分性认定机制。随着日本在数据跨境流动规则日益向欧盟趋同,其于2018年7月与欧盟签署经济伙伴关系协定,约定建立数据流通安全区,相互将对方的数据保护体系视为同等有效,这意味着欧日达成首个“对等充分性”协议。2018年9月,正式对日本进行充分性认定程序,并于次年1月通过了对日本的充分性认定,与此同时日本也作出对等的认定,从而形成世界最大的数据安全流通区,个人数据可以在两者之间自由流动。不妨设想一下,如果越来越多的国家,学习欧盟与日本之间的“成功经验”,那么在这些国家间将会形成欧盟主导下以欧盟数据保护标准为基础的数据安全流通区,GDPR的壁垒效果得以凸显,将不符合欧盟数据保护标准的国家一律被排除在外,这些国家将面临数据流动障碍,这时候阻碍这些国家数据流动的不仅是欧盟,而是其他国家与欧盟结成的“数据安全流通区”,进而深刻影响全球数据流动和数据管理。

标准合同指引

欧盟标准合同(Standard Contractual Clauses)最早可以追溯到2001年,欧盟委员会首次推出了基于第95/46/EC号保护个人在数据处理和此类数据自动流动中权利的指令的标准合同条款SCC2001C和SCC2001P,后在2004年和2010年分别推出了两个新版本SCC2004C和SCC2010P(后者取代SCC2001P)。GDPR的第5章对于从欧盟向第三国或国际组织传输个人信息进行了规定,确保自然人数据出境后受到的保护水平不会被减损。该章节为此设置了若干适当性保障措施,其中就包括欧盟委员会制定的标准合同条款。为了落实该章节中的要求,欧盟委员会于2021年6月4日通过“关于向第三国转移个人数据的标准合同条款的决定”。(“欧委会决定”),并将最新版本标准合同条款(“欧盟SCC”)作为附件,取代之前所有的SCC版本。

个人数据的跨境流动对于扩展国际贸易和国际合作是必要的,但这也引发了对个人数据保护的忧虑。根据欧盟95指令和GDPR要求,当个人数据从欧盟转移至位于第三国时,必须选择适当的合规路径,以确保对个人数据的保护水准不降低。目前,尚没有通用的最优路径,不同的企业应根据自身的数据流、业务模式和风险特点选择适当的合规路径。对互联网企业来说,可以通过用户点击来寻求用户同意,因而获取用户同意是最便捷的路径;对于拥有大量子公司的大型集团企业而言,制定适用于集团内部的统一规则并寻求欧盟监管机关认可是最优方案;而对于大量中小企业而言,标准合同条款可能是最好的选择。预先拟定的标准条款可以减少缔约成本,也有助于提升国际数据保护规定的一致性和可预知性。在全球数据保护统一规则缺失的情况下,标准条款合同成为不同国家之间在共同规则下进行数据移转的重要工具。

二、欧盟数据流动规则范式的扩张

欧盟模式的吸引力

首先,欧盟数据保护体系具有很强的可模仿性和兼容性,除少数个别国家外,对数据保护仍然处于空白的国家具有立法参照的吸引力,它深刻地影响着一些欧盟成员国以外的其他欧洲国家、南美国家以及部分非洲国家和一些亚太国家。比如巴西通用数据保护法、印度2019年个人数据保护法案(草案)都不同程度地借鉴了GDPR模式及其数据跨境传输规则。

其次,在数字时代,数据自由流动是繁荣贸易的基础。越来越多的国家期望通过数据保护推动本国数字经济和贸易发展。各国需要优质的个人数据以适应全球数字经济,这意味着不仅需要在境内加强个人数据保护,还需要在境外数据本土化的背景下支持自由跨境数据流动。各国积极与其他实行数据保护的国家和地区推动基于互惠原则的数据跨境传输,在与其他国家的自由贸易协定中也注重对跨境数据传输规定的补充。这种背景趋势下,拥有高标准的数据保护规则的欧盟毫不例外是一个最佳选择。

最后,目前的国际社会尚未达成一致的数据保护协议,各国的数据保护水平尚存偏差,但是越来越多的数据保护标准已经向GDPR靠近。正如韩国Nohyoung Park教授对韩国靠近欧盟模式原因的剖析,韩国若想在跨境数字贸易上成为有力的规则制定者,必须要在数据保护方面向高标准的数据保护规则靠近,制定有效的规则,在此基础上支持数字贸易的稳定运行。欧盟模式的这种吸引力一方面促进欧盟模式在其他国家的仿照适用,使得欧盟数据跨境规则更容易为其他国家接受;另一方面,这也为输出欧盟模式,使欧盟模式得以向世界范围扩张,进而深刻影响国际数据治理格局奠定基础。

在美国妥协中稳固

除直接全盘接受欧盟数据流动规则外,还有一种解决数据跨境流动难题的处理模式,是由特定的国家、地区直接与欧盟相关机构进行磋商并订立具有法律约束力与可执行性的数据保护协议,最为典型的便是欧美之间的合作与妥协。

1.美欧谈判的起始

最开始美国并未达到欧盟GDPR“充分性认定”的要求,但基于个人数据流动需要,美国主动就个人数据保护方面和欧盟进行谈判协商,并出台《安全港协议》(The EU-US Safe Harbor)作为应对措施。按照协议约定,美国企业只有通过规定的资格认证,或者能提供等同于欧盟数据保护标准的保护措施,才能获得欧盟成员国所保存、管理的个人数据。美欧签署《安全港协议》之初,阻碍美欧间数据流动的壁垒一扫而空,促使两大经济体之间的数字贸易交往十分密切、数据跨境流动畅通无阻,但随着时间推移,美欧对于个人信息保护基本立场的冲突逐渐显现,甚至愈发激烈,最后欧洲法院判定“2000/520号”欧盟决定无效,宣告《安全港协议》失效。《安全港协议》的失效并不出人意外,因为无论哪一项国际条约和协定的签署均以双方的共同期望和信任为基础,《安全港协议》也不例外,美国在签署《安全港协议》时,仅为解决当下难以从欧盟获取个人信息数据的问题,并非真正认同欧盟对于个人信息保护的标准。正所谓“道不同不相为谋”,美欧签署《安全港协议》仅能获得暂时性的和谐和数据流动,而它的失败是可以预见的。

2.美欧谈判的继续

继《安全港协议》失败,美欧就个人数据保护问题再次开展谈判,并最终于2016年签署《隐私盾协议》(The EU-US Privacy Shield),该协议为美国设定了更多数据保护方面的责任和义务。此外,根据《隐私盾协议》约定,如果欧盟成员国的数据主体如果对协议本身或执行不满,可以直接向本国的数据保护机关投诉,数据保护机关根据投诉进行调查,若查证属实,则有权作出中止数据流通的决定,这无疑是为欧盟境内数据主体提供了多重救济途径。欧盟成员国数据保护机关所享有这种决定权,对于美国来说,无疑是一个“定时炸弹”,时刻威胁着美欧双方数字经济合作的持续性和稳定性。而且,由于维护国家安全一直是美国发展理念的重中之重,相较于欧盟核心关注个人信息保护,美国对个人信息保护重视程度弱于国家安全,双方在核心利益上的差异使得《隐私盾协议》难以产生预期的效果。

即使美欧双方对《安全港协议》进行改进,来缓解欧洲法院对于个人信息保护不足的担忧,但又即将面临新一轮的法律挑战,上述改进也只是杯水车薪。2020年7月16日欧洲法院正式宣布欧盟——美国《隐私盾协议》无效,起因是Max Schrems向爱尔兰数据保护专员提起诉讼,认为Facebook爱尔兰不能使用SCCs作为数据转移机制,后爱尔兰高等法院将该案移交给欧洲法院,经过审理,最后做出了上述决定。欧洲法院认为《隐私盾协议》无效的理由有二:首先,依据《隐私盾协议》的规定以及美国基于国家安全考量进行的情报收集,个人信息数据完全有可能被CIA、FBI等情报部门获取,从而造成个人信息数据的泄露,因此“隐私盾”协议并不能对个人信息达到预想的充分保护,同时,欧洲法院还发现美国立法中的隐私保护条款并未达到欧盟要求的标准;其次,在面对上述情形时,旨在处理欧盟成员国数据主体投诉的“隐私盾”监察员并不能采取有效措施,缺乏权威性和独立性,根本无法对美国有关部门进行调查和约束。《隐私盾协议》的失效使美欧之间的数据流动再次陷入了僵局,美欧之间产生严重的信任危机,双方也开始继续寻求新的契机。

3.美欧的第三次尝试

2022年3月,欧盟与美国宣布推出新的数据安全流动协议《跨大西洋数据隐私框架》(Trans-Atlantic Data Privacy Framework)。云服务供应商纷纷对此表示欢迎。拜登总统在宣布这项框架协议时指出,该框架强调了欧美双方对隐私、数据保护和法治的共同承诺,它将“再次批准数据的跨大西洋流动,此举有助于为双边价值7.1万亿美元的经贸关系提供便利”。2022年12月,欧盟委员会启动了《欧盟——美国数据隐私框架充分性决定草案》(EU-U.S. Data Privacy Framework)的推进进程,并且据欧盟委员会介绍,《草案》反映了其对美国法律框架的评估,并最终认定美国可以为从欧盟成员国转移到美国的个人信息数据提供同等于欧盟标准的保护。

从欧美之间数据流动合作中不难看出美国对欧盟的妥协,虽然美国数据自由流动的规则模式不会被欧盟模式改变,却也不能免于受其辐射影响,仅就这一点,对我国来说似乎具有一定的思考意义。

在区域谈判中扩张

欧盟对数据的严格保护标准为欧盟数据筑起了一堵高墙,能够获得欧委会“充分性认定”的国家并不多,但是欧盟又是一个拥有巨大数字市场的区域,因此许多国家不得不与欧盟展开区域谈判。

1.区域谈判的开端

第一个在区域谈判领域包含大量电子商务条款的协议是欧盟与智利于2002年签署的欧盟——智利双边贸易协定,协定中不仅约定双方进行电子商务合作,还将电子商务合作诸如信息技术、电信领域承诺以及服务章节等具体事项进行约定。此后,研究数据技术成为欧盟在电子商务领域创新的新重点,并作为是否与他国签署双边贸易协议的重要考量标准。在欧盟——智利双边贸易协定中,虽未直接提及个人信息数据保护,但实际上欧盟已经将数字经济贸易视为新的发展重点,必将涉及个人信息数据的保护。

2.区域谈判的增多

继欧盟和智利签署双边贸易协定后,双方在数字经济合作和电子商务领域都取得长足的进展,其他国家纷纷效仿,例如欧盟和韩国在2010年签署欧盟-韩国自由贸易协定、欧盟和加拿大在2017年签署欧盟——加拿大全面经济贸易协定。相较于欧盟——智利双边贸易协定,欧盟——韩国自由贸易协定在一定程度上借鉴了美国双边贸易协定范本,其不仅明确了WTO协议可在哪些方面对电子商务措施进行规范,还制定出更为严格的个人新数据保护条款。一直以来,欧盟对于个人信息数据的保护非常重视,不断将关于个人信息数据保护的法律框架向与其签署双边贸易协定的国家扩张和推行,试图将其他国家拉入欧盟数据流动范式阵营。目前,世界各国在消费者保护、承认电子签名以及无纸化交易方面的合作越来越频繁,而欧盟-加拿大全面经济贸易协定为对电子商务领域作出更具体的规定,最终采取了负面清单方式,并在协定中就电子商务信任度和个人信息数据保护标准进行了约定。

此外,欧盟在和其他国家就电子商务和个人信息数据保护签署协议的同时,也积极参与跨大西洋贸易和投资伙伴协定的谈判。这些谈判和协议是建立在这些国家改变国内立法和政策的基础上,实现向欧盟模式靠拢。不妨设想一下,一旦越来越多的国家仿效欧盟数据保护规则,形成以欧盟数据保护标准为共识的数据自由流通区,那么不符合欧盟数据保护要求的国家将都被排除在外,面临数据流动的障碍,欧盟模式产生的壁垒效果将进一步扩散,进而深刻影响全球数据治理格局。区域谈判的进行和区域协议的达成,以循序渐进的方式进一步推广欧盟GDPR数据保护标准在全球范围内的接受程度,在可预见的未来,欧盟本身强大的经济影响力或吸引更多的国家和企业遵守其数据保护规则。

三、欧盟范式扩张中中国的应对方案

随着全球数据流动的不断加强,欧盟数据流动范式不断扩张,其他大国对数据跨境流动规则的博弈不断加剧,我国不断对外开放,需要提出符合中国特色的“中国方案”,依靠国内和国内两个大循环联动扩大我国数据跨境流动规则影响力,建立数字跨境流动“朋友圈”。

截至目前,国家安全和执法便利仍是我国数据跨境流动管理的主要目标,尚未将加强数字服务贸易交流、促进数字企业全球化发展纳入管理目标。在数据流动全球化的背景下,这显然是不利于扩大我国数据跨境流动规则,以及维护我国数据主权。在我国签署的所有贸易协定中,只有RCEP涉及数据跨境流动,并且该规定也仅是原则性,较为模糊、抽象,不能通过争端解决机制获得救济。同时,欧美国家不断对数据主张长臂管辖权,而我国受制于现行的数据流动规则的限制。一方面,难以协议方式与欧美国家进行数据传输,另一方面,还可能面临“规则排除”的不利境地。近年来,部分国内企业基于商业目的进行的数据跨境流动引起欧美国家的指责,就是很好的例证。欧盟以很小的市场份额,却利用其法律制度领域的传统优势,一跃成为大多数国家制定国内立法的“标杆”。

结合当前欧盟数据流动范式不断扩大,立足我国目前数据跨境管理现状,下文提出我国应采取何种应对措施。

提高中国数据保护水准

欧盟的充分性认定标准,实际上是将欧盟的法律框架强加给其他非欧盟国家,我国对此不能全盘接受,但这并不意味着不能吸纳欧盟法律中的可取之处。基于我国数字经济的领先地位,存在一批市场规模较大、技术先进以及发展良好的企业,对于这些企业,可以按照其所在行业和特点进行分类,并将相同或类似的企业集中到一起,借鉴欧盟个人信息数据保护项下的立法,专门设立能够满足我国和欧盟需要的标准协议框架,另外再从国家层面与欧盟签署双边协议以保证前述协议的有效与执行。

丰富外部合作机制

一方面,中国要加强中欧合作,继续保持“中欧对话”的传统优势,继续推进与欧盟之间的数字经济合作,在抵御欧盟规则条款影响力的同时积极向外展示强大的数字经济实力。另一方面,我国应积极参与区域数字经济合作和区域数字信息保护,努力建设我国的数据保护“朋友圈”,应当深入分析GDPR的具体内容,提出针对性的申请意见,参与区域性数据流动规则体系建构。

建立多方安全计算与区块链结构

面对欧盟数据流动范式,我国应通过借助新兴技术,开展多方安全计算架构,搭建新平台,提升数据应用技术水平,实现数据利用和数据保护的动态平衡。对于我国企业而言,更应将多方安全计算与区块链等新兴安全技术引入到企业内,在保证数据正常利用的同时,保护本企业所收集、保存的个人信息。在具体实践中,参考GDPR的保护标准,搭建符合我国特色的多方安全计算与区块链技术结构,并将该架构用于数字贸易活动,以实践来验证该架构的合理性以及不足之处。

提出数据跨境流动的“中国方案”

中国是数据资源大国,在不能全盘接受欧盟法律规制框架的前提下,立足我国基本情况,寻求本土规则,建立“中国方案”,是中国数据保护发展的重中之重。欧盟模式并非最佳方案,不仅审慎分析欧盟法律规制框架的潜在风险,对于数据保护标准条款、充分性认定等具有欧盟特色的法律工具,更要慎之又慎。中国数据保护的重心在于本土数据的对外流动控制,不仅要避免陷入个人信息数据保护标准的恶性竞争,还有要在全局上统筹,在聚焦个人信息数据保护的同时时刻关注非个人信息数据的流动,积极探索并建构价值中立、适宜法律趋同的法律工具。

2022年7月7日,国家互联网信息办公室公布《数据出境安全评估办法》,标志着我国数据出境管理制度取得重大进步,但这仅仅是数据跨境流动“中国方案”的一部分,还是远远不够的,仍然需要做好以下几点:第一,以《全球数据安全倡议》为基础,立足我国数据执法、数据管理、数据安全等重要情况,研究分析GDPR的潜在不利风险予以自警,提出“中国版”解决方案,原则上可以“准许流动为主+本地化为辅+安全评估例外”为主要模式,对以商业为目的数据流动,可放宽本地化要求,实现针对不同情况予以不同的管理标准,实现张弛有度,有的放矢。第二,将与重要贸易伙伴签订双边或多边协议作为突破口,其中以与我国贸易交往密切、政治信用好、发展潜力大为首选对象,为我国数据跨境流动“朋友圈”扩容,在抵御欧盟数据流动规则范式不断扩张的同时主动出击建立我国自己的数据流动规则并加以推行。第三,确保我国国内立法与对外谈判需要相衔接,如:有关个人信息保护、数据安全的立法,避免出现“两张皮”。此外,进一步完善数据分类管理机制,具体体现为将数据按照重要程度进行分类,并按照分类执行严格标准不同的管理方式,但需要注意,并不能因管理数据跨境流动的需要,过分限制非敏感数据的流动,否则将不利于科学研究和信息互通。第四,鼓励“先行先试”,尤其是在自贸港和自贸区进行数据安全流动区域性改革,并支持浙江、深圳、海南、上海、北京等国内经济发展较好地区推进数据跨境流动安全管理试点,不断总结出“中国方案”。

四、结语

强化数据保护是互联网时代下的大势所趋,也将必然成为新一轮全球规则制定的焦点,长期的立法实践和完善的监管体系使得欧盟数据规则模式具备一定的可行性,其强调数据保护的特色使得世界诸多国家仿效。欧盟数据流动规则模式是欧洲建立数字欧洲的手段,是为了形成欧洲本土优势,打造欧洲式规则,并试图将这种规则上位成一个全球性的隐私保护规则。当各国或地区因为各种原因而纷纷靠近或者接受欧盟的规则之后,那么欧盟就彻底获得了在数字贸易数字经济这个领域的领先地位,并且不断在该领域巩固和强化其领导地位。欧盟通过建立数据流动规则范式,设置诸多双边数字经济合作门槛,将诸如合规成本飙升、数据控制责任过严等不利经济后果中很大一部分将由欧盟外的数字经济大国负担。实际上,自欧盟出台GDPR,Facebook和谷歌因为在分享用户数据方面面临诉讼,可能遭受高达30多亿欧元的罚款。无独有偶,Marry Meeker也在近期发布的互联网趋势报告中说明,GDPR附加给个人数据管理者和控制者的义务过重,繁重的义务必将阻碍个人数据管理者运用和管理数据。

一方面,我国要慎重对待欧盟关于个人数据流动执法,尽可能通过国际磋商和政治谈判方式解决我国法律与GDPR之间的冲突,进而帮助我国企业在欧盟国家以及和欧盟达成“对等充分性”协议国家的经营发展;另一方面,在保持数字经济领先地位的同时,建立我国自己的数据流动规则。最后,可以对欧盟范式扩张这一效应进行思考与借鉴,从内部立法与外部合作两个方面做出调整,并保留本土优势,在国际舞台上表明我国在数据跨境流动领域的态度和立场,提出“中国方案”。


作者系上海对外经贸大学法学院硕士研究生