链 接

　　近日，脸书（Facebook）的质疑被爱尔兰都柏林法院驳回引发人们热议。一直以来，脸书与爱尔兰数据委员会关于不同地区数据中心传输用户数据的问题争议不断。可以说，无论是对脸书本身隐私泄露丑闻的顾虑，还是基于双方在跨境数据流动利益上的博弈考量，都体现了欧美双方在数据跨境流动问题上的不同原则、立场。

　　欧盟数据跨境流动附有条件

　　欧盟对个人数据跨境流动采用附条件流动模式。在欧盟成员国内，欧盟倡导个人数据的自由流动，对欧盟成员国之外的跨境流动需严格审查，也就是说，非欧盟成员国获取欧盟数据必须经欧盟审查并批准。

　　从发展历程上看，欧盟关于跨境数据的保护可追溯至1995年的《第95/46/EC号保护个人在数据处理和自动移动中权利的指令》。该法案确定了数据流动统一化的标准，使数据在不同国家或地区间流动得以被保护。2018年生效的《通用数据保护条例》（GDPR）被欧盟各成员国严格遵照执行，成为个人数据保护的基本法律规范。

　　在数据跨境流动方式上，欧盟对个人数据的跨境流出有严格规定，并将个人数据流动出境分为三种情况：一是当第三方个人数据信息保护标准等同于欧盟内标准时，欧盟方会给出“充分性决定”，同意将欧盟数据信息流向该国或地区。二是通过签订额外的协议确保数据信息得到相应保护后将其传输出境。三是通过GDPR赋权于个人，如果征得个人用户同意，那么可将其数据信息传输出境。

　　美国倡导数据自由流动却未放松监管

　　和欧盟相比，美国对个人数据流动采取积极利用态度，兼顾经济性与自由性，但并未放松监管。美国对个人信息流动限制力度较小，其他国家或地区加入美国主导的数据流动门槛相对较低。但必须认识到，美国确立这一方针与其本地企业利益密切相关，亚马逊、谷歌、微软等跨国科技企业的发展异常依赖数据的获取与处理。

　　在数据跨境流动方面，2018年美国颁布的《澄清境外数据的合法使用法》（又称《云法案》）规定，符合条件的外国政府加入签订数据流动协议后，可以直接命令美国境内的组织传送数据，美国也可以根据协议相应条款直接获取该成员国或地区境内组织的数据信息。但《云法案》确立了“数据控制者”标准，即只有符合“数据控制者”标准的国家或地区才能与美国进行数据交换。这意味着与美国进行数据交流的国家或地区必须放弃自身的个人信息保护标准。这一方面使全球大量信息数据流入美国，另一方面也成为美国收集信息数据合法化的工具。

　　当然，美国在推行数据自由流动模式的同时并未放松对境内数据的监管。譬如，美国通过设立外资安全审查委员会的方式，要求国外网络安全运营商必须签订安全协议，并要求其通信设施建设必须在美国境内，甚至要求其将用户信息、交易数据等储存在美国境内。

　　（作者单位：东南大学法学院）