作者 | 謝舒赫 北京航空航天大學 碩士研究生
邱遠洋 中國政法大學 碩士研究生
婉 萍 倫敦政治經濟學院 L.L.M.在讀
一審 | 左亦惟 康奈爾大學 L.L.M.
王進穎 華東政法大學 本科在讀
沈雨彤 中國政法大學 本科在讀
二審 | 郝林樺 西南政法大學 本科
編輯 | 劉曉鈴 西南財經大學 法學碩士
lzzy 美國西北大學 LL.M.
責編|馬語謙 武漢理工大學 本科
主權博弈與信任危機——美國資料跨境政策的結構性轉向及影響
【摘要】
自2020年美國啟動對TikTok的系列審查以來,Tiktok這款中國背景的短影片平臺深陷地緣政治博弈與數字主權競爭的漩渦。2025年1月17日,美國最高法院以國家安全風險為由,一致裁定維持《保護美國人免受外國敵對控制的應用程式侵害法案》,要求TikTok母公司字節跳動在1月19日前剝離美國業務,否則Tiktok將在全美範圍內被下架。[1]然而,禁令生效前夕,候任總統特朗普透過行政干預緊急叫停該禁令,隨後於上任首日(2025年1月20日)簽署行政令,將執行寬限期延長75天,推動TikTok在應用商店重新上架。[2]這一系列戲劇性轉折不僅凸顯了美國內部針對數字平臺監管問題的分歧與矛盾,更反映出數字時代技術平臺與國家權力間的博弈、資料主權與全球治理間的張力。《中美法律評論》以美國資料跨境流動的監管政策與全球博弈為錨點,從內外雙重視角透視美國資料跨境政策選擇的複雜性。
一、美國跨境資料流動監管的國內演變
從1996年至今,美國的資料跨境監管政策目標經歷了至少兩次演變。演變過程不僅反映了美國國內政策的變化,也深刻影響了全球資料治理的格局。
(一)自由放任期(1996年-2001年)
在網際網路發展的早期,美國政府對包括資料跨境傳輸在內的數字經濟活動採取了相對寬鬆的監管政策,旨在促進技術創新和經濟增長。1996年透過的《通訊規範法》(Communications Decency Act)第230條為網際網路平臺提供了廣泛的豁免權,使其免於對使用者生成內容的責任,為網際網路平臺的快速發展創造了有利條件。
(二)國家安全驅動期(2001年-2018年)
2001年的“9·11”事件直接導致了美國的資料監管政策的第一次演變。為了應對恐怖主義威脅,美國政府迅速通過了《愛國者法案》(USA PATRIOT ACT),授權國家安全域性(NSA)大規模收集電話元資料。2008年,美國國會透過《外國情報監視法》(FISA)修正案,進一步擴大了情報機構的監控許可權。2013年,前NSA承包商愛德華·斯諾登揭露了稜鏡計劃,揭示了NSA如何透過監控科技巨頭獲取包括公民個人隱私在內的跨境資料。這一事件引發了全球對美國監控行為的強烈批評,促使其他國家重新審視其資料保護政策。同年,美國聯邦政府要求微軟提供儲存在愛爾蘭伺服器上的使用者資料,但微軟以其缺乏管轄權為由拒絕配合,引發了“微軟訴美國”案(United States v. Microsoft)。”。
(圖片源自網路)
(三)隱私保護/資料主權驅動期(2018年至今)
斯諾登事件後,全球對資料隱私的關注達到了前所未有的高度。美國國內對政府監控行為的反思也推動了隱私保護立法的程序。加州在2018年率先通過了《加州消費者隱私法》(CCPA),成為美國最嚴格的州級隱私法。其他州也紛紛效仿,形成了州級立法的浪潮。2022年到2024年,美國國會先後頒佈了《美國資料隱私和保護法》(ADPPA)草案與《美國隱私權法案》(APRA)草案,反映了美國向統一隱私立法邁進的趨勢。
微軟訴美國案的審理過程凸顯了美國聯邦政府跨境資料獲取的法律困境,也刺激著美國資料監管政策目標向強化資料主權方向演變。2018年,美國國會通過了《澄清境外資料合法使用法案》(《Clarifying Lawful Overseas Use of Data Act》,即知名的“雲法案”),允許美國政府與“合格外國政府”(Qualified Foreign Government)簽訂協議,直接獲取儲存在對方境內的資料,在提高司法效率的同時強化了美國的資料主權。
2024年,美國聯邦政府先後頒佈《防止受關注國家獲取美國人大量敏感個人資料和美國政府相關資料》的行政命令(EO 14117)(以下簡稱《14117號行政令》)及其實施細則,旨在禁止或限制美國主體與“受關注國家”或其關聯實體進行涉及敏感資料的交易(包括資料經紀、供應商協議、僱傭協議等)。新規出臺標誌著美國的資料跨境流動審查制度更加完善。
二、美國資料跨境流動規則與全球博弈
美國資料跨境流動規則體系的完善,加強了其在數字空間內發動主權博弈的制度工具建設,也引發了其他政治實體的合理擔憂。從全球視野看,這一趨勢直接影響美國與歐盟、美國與中國這兩對全球跨境資料傳輸活動中最為關鍵的雙邊關係:一方面,美國強勢的資料跨境流動政策取向對歐盟在全球資料治理格局中的領導地位構成挑戰;另一方面,中國因其在數字經濟領域與日俱增的影響力成為美國資料跨境監管部門的狙擊目標之一。
(一)美國與歐盟
歐盟更為嚴格的個人資料保護法規與美國企業更加強勢的數字經濟市場地位相互碰撞,使美歐之間關於資料跨境流動規則的衝突更多呈現為歐盟為向美國的個人資料傳輸設定的單向障礙。
1. 從安全港到DPF:美歐雙邊協議的四個階段
根據美歐雙邊協議的簽訂情況,可將雙方間的資料跨境傳輸機制劃分為四個階段:(1)《安全港協議》階段(2000年-2015年)。[3]在此期間發生了轟動一時、影響持久的“斯諾登事件”,後歐盟法院於Schrems I案中做出裁決,宣佈“安全港”充分性決定無效。(2)《隱私盾協議》階段(2016年-2020年)。[4]但歐盟法院隨後又於Schrems II案中做出裁決,再次宣佈“隱私盾”充分性決定無效。(3)過渡期階段(2020年-2022年)。雖然歐盟法院表示歐盟到美國的資料傳輸仍可依賴標準合同條款(SCCs)、有約束力的公司規則(BCRs)等機制,但其提出的逐案認定的要求既為美國公司增加負擔,需要美國公司在必要時提供額外的保障措施,也給美歐資料傳輸機制帶來較大的不確定性。[5]對此,美國積極與歐盟磋商談判,試圖推進構建《跨大西洋資料隱私框架》新機制。(4)《歐美資料隱私框架》(DPF)階段(2022年至今——)。詳情見下文介紹。
2. DPF階段的基本內容及其對資料跨境流動的意義
促使歐盟委員會做出關於DPF的充分性決定、推動美歐資料跨境傳輸開啟新階段的一項基本動力,是拜登政府於2024年2月28日簽署的《14117號行政令》及相關司法條例。上述檔案直接回應了歐盟法院在Schrems II案中針對《隱私盾協議》提出的兩項憂慮:在實體上,之於對《歐盟基本權利憲章》第52條的違反,DPF透過對美國情報部門資料訪問施加“必要”且“相稱”的實質限制加以彌補;在程式上,之於對《歐盟基本權利憲章》第47條的違反,DPF則透過建立包括公民自由保護官員(CLPO)與資料保護審查法院(DPRC)在內的獨立且具有約束力的雙層救濟機制加以治癒。[6]
據此,歐盟委員會得以重新做出充分性決定,為美歐的資料流動提供持久可靠的法律依據。在現行框架下,向美國商務部申請並透過DPF認證的美國公司,可依據GDPR第45條第3款關於充分性決定的法律依據,合法地將歐盟境內資料主體的個人資料傳輸至美國,而不必再採取其他額外的保障措施,從而極大增強了傳輸的法律確定性。[7]
而對於未獲認證的美國公司,由於相關資料處理活動同樣適用DPF項下的保障與救濟措施,DPF也能夠促進其對保障措施(SCCs、BCRs等)和允許個人資訊跨境傳輸的例外(derogations)等其他GDPR資料跨境傳輸機制的合法基礎的實踐運用。[8]
3. DPF的執行情況及未來走向
2024年10月9日,歐盟委員會向歐洲議會和歐洲委員會提交了對《資料隱私框架》的首次審查報告,並得出“美國政府已經建立了必要的結構和程式,以確保資料隱私框架有效運作”的結論。但該報告同時表明,第一年的努力主要集中於框架和認證過程的建立方面,而對DPF原則遵守情況的監測和檢查的力度仍有待加強;迄今為止的投訴數量也較少,DPRC機制也尚未被啟動。[9]
實際上,早在DPF簽訂之初,歐盟隱私保護非營利性組織NOYB就已提出質疑,指出在《美國涉外情報監控法》第702條(FISA 702)和《美國情報活動行政命令》(EO 12.333)未作改革的前提下,DPF及EO 14086仍在重蹈《安全港協議》與《隱私盾協議》的覆轍,在內容上“換湯不換藥”,在方法上“治標不治本”。美國與歐盟對“相稱性”解釋的潛在分歧,以及歐盟對CLPO和DPRC獨立性與有效性名不副實的隱憂,都暗示著二者在個人資料保護上“貌合神離”。[10]事實上,資料跨境傳輸規則的演變,除法律本身的邏輯外,更摻雜著錯綜複雜的政治經濟利益考慮。至於雙方的妥協讓步能否長久,新框架的實效性如何,“Schrems Ⅲ案”是否可能到來,都有待時間的檢驗。
(圖片源自網路)
(二)美國與中國
美中兩國在全球數字經濟呈現出的“雙引擎”態勢與彼此之間長達七年的“貿易戰”競爭相互交織,資料主權與資料跨境流動規則話語權的爭奪日益成為美中較量角逐的新高地。觀察美國近年來的一系列舉動,可謂“嚴以律人,寬以待己”,將雙重標準貫徹得淋漓盡致。雖然美國自身仍面臨歐盟方面針對政府恣意訪問資料的指責,但並不妨礙其以相同理由將矛頭對準中國。
1. 針對中國製定禁止或限制規則
資料跨境傳輸限制的相關規則起初出現在外商投資領域。2018年《外國投資風險評估現代化法案》(FIRRMA)明確了涉及美國企業經營中掌握敏感個人資料的外國投資需要強制申報,以防止外國政府以投資的方式獲取或跨境訪問美國個人資料,參與資料運營。[11]2022年《確保CFIUS在評估入境投資的國家安全風險時應考慮與個人資料相關的具體因素》(EO 14083)重申了開發或構建關鍵技術、擁有敏感資料或大量資料或參與關鍵基礎設施的美國公司的外國投資和收購是美國外國投資委員會(CFIUS)的重點關注領域。在CFIUS以國家安全與資料安全之名的壓力下,螞蟻金服收購速匯金(Money Gram)、崑崙萬維收購Grinder、華為與AT&T的合作等均以失敗告終。[12]
與之並行的是,美國自2019年起也加緊出臺資料領域的一系列專門規定,強調其本國的資料主權地位。在立法主題上,資料安全不再僅僅作為外商投資領域的一項審查要素,而有了更具普遍性的專門規制;在適用物件上,相關立法劃定了被視為戰略競爭對手的具體範圍,中國赫然在列。《14117號行政令》宣稱外國對手持續訪問美國人的敏感個人資料和美國政府相關資料,對美國的國家安全、外交政策及戰略優勢構成愈發緊迫的威脅,對此必須就《保護資訊和通訊技術及服務供應鏈》(EO 13873)宣佈的國家緊急狀態迅速採取行動。具言之,該項規定禁止或限制受管轄的個人識別符號、地理位置及相關感測器資料、生物識別符號、人類組學資料、個人健康資料、個人財務資料這六類敏感個人資料向包括中國在內的六個“受關注國家”傳輸,以防止其被用於惡意網路活動、間諜活動或者其他非法目的。[13]
2. 針對中國資料跨境規則的汙名化
美國以國家安全為由,對從美國到中國的資料傳輸設定了諸多限制。但是,對中國基於相同考慮做出的限制規定,美國卻表現出截然相反的態度。美國貿易代表辦公室(USTR)向美國國會提交的《2023年中國世界貿易組織合規情況報告》中稱,中國資料立法中“無理的資料本地化要求和跨境資料傳輸限制”帶來了負面影響,“對外國投資者和投資帶來了嚴重消極影響。”[14]美國智庫資訊科技與創新基金會(ITIF)在2021年報告《跨境資料流動的障礙是如何在全球範圍內蔓延的,它們的代價是什麼?如何解決這些問題》中也宣稱中國是世界上資料限制最嚴格的國家,認為中國以資料主權掩蓋其對資料的訪問和控制,指責中國關於資料本地化儲存的要求破壞了網路安全、有礙全球資料流動,並斷言中國經濟會因此遭受損失。[15]
然而,在2023年WTO與貿易相關的電子商務議題的新一輪談判中,美國卻以本國監管為由撤回了其2019年關於堅持跨境資料自由流動要求、禁止資料本地化和軟體原始碼審查的提議,以便給美國國會留出監管大型科技公司的空間。[16]這樣看,美國對中國冠冕堂皇的指控,在一再針對中國公司施加禁令,在WTO電子商務談判中反覆無常的行動面前,無異於一記打在自己身上的“迴旋鏢”。
(圖片源自網路)
三、啟示與展望
觀察美國資料跨境監管在全球化背景下的流變,我們可以管窺一國在資料跨境政策選擇過程中的複雜考量:包括資料型別、流通場景、所涉利益在內的客觀因素,均可能影響對內監管與對外政策的態度走向。這提示我們,應儘快放棄使用片面的標籤理解各國對資料跨境流通問題的政策傾向——美國法院、政府在資料流通問題上的司法、執法實踐,就常常與理論界所概括的“自由主義”立場發生背離。
不同政治實體在資料跨境流動領域的規則碰撞,亦凸顯出不同法域監管目標的衝突——從如何平衡資料安全與經濟發展到側重保護個人隱私還是國家安全,每一項議題又以地緣政治迴歸為國際大背景。至於應如何理解各國在抉擇資料跨境問題的政策立場時的根本行為邏輯,也可以回到國際政治理論中的具有統治地位的現實主義觀點,即看是否有利於為該國爭取國際權力、維護國家利益。[17]從這一認識出發,一國在資料跨境政策上的轉向甚至反覆均將顯得有跡可循,與地緣政治環境、產業競爭格局存在緊密聯絡。
當然,對現狀的透徹認識不影響我們追求一套自由開放、競爭有序、公平公正的國際資料治理體系的建立。隨著人工智慧技術及其產業的發展,至少從對資料價值的強調這一角度出發,“資料即石油”的比喻愈發貼近現實,資料跨境流通的穩定對促進全球數字經濟發展的作用也越來越清晰,促進跨國資料有序流通,堅持以法治手段開展資料跨境監管,為跨國數字企業營造良好的營商環境亦逐漸成為國際共識。回望歷史,美國曾是這一議題的堅定推進者,自其奧巴馬政府時代長期在APEC、WTO等國際平臺倡導資料自由流動,推動《亞太經合組織隱私框架》(APEC Privacy Framework)和《跨境隱私規則》(CBPR)建立,要求成員國消除資料流動壁壘。但從最新一輪觀察來看,美國對跨境資料流通態度似乎發生了從內到外結構性轉向。
在全球數字治理罅隙叢生之際,世界各國亦重新開始尋找修復信任的可能性,增強各國間雙邊與多邊多談機制、推動跨國資料治理標準的統一始終是恢復國際合作的重要路徑。2024年11月20日,中國在世界網際網路大會發布《全球資料跨境流動合作倡議》,有力呼應了國際社會各方對於全球資料跨境流動的關切,也對當前全球資料跨境流動中面臨的諸多現實挑戰提出瞭解決方案。“我們期待政府、國際組織、企業、民間機構等各主體堅守共商共建共享理念,發揮各自作用,推動全球資料跨境流動合作,攜手構建高效便利安全的資料跨境流動機制,打造共贏的資料領域國際合作格局,推動數字紅利惠及各國人民。”中國再一次,讓世界拭目以待。
參考文獻
[1] 翻譯部:《美國最高法院做出最終裁決,9:0駁回TikTok上訴》,載微信公眾號“中美法律評論”2025年1月19日,https://mp.weixin.qq.com/s/dERuPprdju1RcPfi-Zm3Zg。
[2] 《TikTok在美國重新上架》,載於微信公眾號“觀察者網”2025年02月14日,https://mp.weixin.qq.com/s/_zBIHDcIb1mzpphnIr322Q.
[3] “安全港協議”意味著企業被禁止向歐盟以外的第三方國家轉移個人資料,除非歐洲委員會認為該第三方國家能夠充分保護個人資料。美國和歐盟之間達成了一個折中的安全港協定,大大便利了雙邊個人資料流動。
[4] “隱私盾協議”在“安全港協議”的基礎上,還包含一系列補充原則,涉及針對處理個人敏感資訊的特殊規定、新聞例外原則、ISP和電信運營商(提供傳輸、傳送、轉換、快取等服務)不承擔次級責任的原則、從事盡職調查和審計的例外、資料保護機構的角色、自我確認程式等。
[5] Data Protection Commissioner v. Facebook Ireland Ltd and Maximillian Schrems, Case C-311/18, Judgment of 16 July 2020, Court of Justice of the European Union, https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=en.
[6] European Commission, "Questions & Answers: EU-US Data Privacy Framework," 10 July 2023, https://ec.europa.eu/commission/presscorner/detail/en/ganda_23_3752; European Commission, "Questions & Answers: EU-US Data Privacy Framework," 7 October 2022, https://ec.europa.eu/commission/presscorner/detail/en/qanda_22_6045;U.S. Department of Commerce, Press Release, "Statement from U.S. Secretary of Commerce Gina Raimondo on Enhancing Safeguards for United States Signals Intelligence Activities Executive Order," 7 October 2022, https://www.commerce.gov/news/press-releases/2022/10/statement-us-secretary-commerce-gina-raimondo-enhancing-safeguards.
[7] European Commission, Press Release, "EU-U.S. Data Privacy Framework: Commission Implementing Decision on the Adequacy of the EU-U.S. Data Privacy Framework," 12 July 2023, https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721.
[8] U.S. Department of Commerce, Press Release, "Statement by U.S. Secretary of Commerce Gina Raimondo on the European Union-U.S. Data Privacy Framework," 10 July 2023, https://www.commerce.gov/news/press-releases/2023/07/statement-us-secretary-commerce-gina-raimondo-european-union-us-data-0.
[9] European Commission, "Report on the First Periodic Review of the Functioning of the Adequacy Decision on the EU-US Data Privacy Framework," 9 October, 2024, COM (2024) 451 final, https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14379-EU-US-Data-Privacy-Framework-report-of-the-Commission-on-how-the-framework-is-functioning_en.
[10] NOYB – European Center for Digital Rights, "European Commission Gives EU-US Data Transfers Third Round at CJEU," 4 July 2023, https://noyb.eu/en/european-commission-gives-eu-us-data-transfers-third-round-cjeu.
[11] 康兆逸:《論資料跨境流動安全保護體系的構建》,載於微信公眾號“上海市法學會 東方法學”2024年4月29日,https://mp.weixin.qq.com/s/G6fuWb1XfEjA4CdmuJ2DdA。
[12] 路透社:《螞蟻金服收購速匯金的交易被美國CFIUS否決》,張濤、王興亞編譯,2018年1月3日,https://www.reuters.com/article/world/china/cfius-idUSKBN1ER1WY/?utm; 範思齊:《螞蟻金服併購速匯金宣告失敗》,載《中華商報》網站2018年1月19日,https://www.chinesebiznews.com/detail/19147/zh-cn?utm。
[13] Preventing Access to Americans' Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern, Exec. Order No. 14117 (February 28, 2024), https://www.federalregister.gov/documents/2024/03/01/2024-04573/preventing-access-to-americans-bulk-sensitive-personal-data-and-united-states-government-related.
[14] U.S. Trade Representative, "2023 USTR Report on China's WTO Compliance, "Washington, D.C., https://ustr.gov/sites/default/files/USTR%20Report%20on%20China%27s%20WTO%20Compliance%20(Final).pdf.
[15] Nigel Cory and Luke Dascoli, "How Barriers to Cross-Border Data Flows Are Spreading Globally, What They Cost, and How to Address Them," Information Technology and Innovation Foundation, 19 July 2021, https://itif.org/publications/2021/07/19/how-barriers-cross-border-data-flows-are-spreading-globally-what-they-cost/.
[16] 第一財經:《WTO電子商務談判最新進展:美方撤回此前提議,如何研判?》,2023年11月3日,載商務部中國貿易救濟資訊網,https://cacs.mofcom.gov.cn/cacscms/article/cgal?articleId=178544&type=&utm。
[17] 參見[美]約翰·米爾斯海默:《大國政治的悲劇》,王義桅、唐小松譯,上海人民出版社2014年版,第一章“導論”。