20年間，素來強調隱私和個人信息保護的歐盟，一直推動高標準的個人數據保護制度，甚至延伸到個人數據跨境流動。美歐之間的個人數據跨境轉移政策幾經變化，已經從“安全港”時代過渡到了目前的“隱私護盾”時代。

                                 20年間歐美個人數據跨境流動政策變遷

　　“安全港”是歐美數據保護制度折中的產物

　　歐盟《1995年數據保護指令》對電腦處理個人數據提供了保護。指令第25條規定，只有當第三方國家通過相關國內法或國際承諾，對個人數據提供充分保護時，才允許將歐盟公民個人信息轉移、存儲到該第三方國家進行處理。這實際上禁止向歐盟以外的第三方國家轉移個人數據，除非歐洲委員會認為該第三方國家能夠充分保護個人數據。目前，瑞士、新西蘭、加拿大、阿根廷等國家獲得了歐盟認可。

　　《1995年數據保護指令》出臺之后，雅虎、谷歌等互聯網先鋒公司相繼成立，隨后，美國互聯網產業迎來快速發展。由于互聯網產品和服務超越國界，跨境收集、轉移、處理個人數據成為一個必然趨勢。然而，由于美國對個人數據采取行業分散保護機制，整體未能達到歐盟要求，這將妨礙在美國和歐盟之間跨境轉移個人數據。于是，為了滿足歐盟的充分保護要求，雙方于2000年達成了一個折中的安全港協定。之后，歐洲委員會通過“2000/520號充分保護決定”，確認安全港隱私原則及附屬條款對個人數據的保護達到了歐盟的充分保護要求。這大大便利了雙邊個人數據流動;只要美國企業加入安全港，并公開承諾遵守安全港的要求，就可以將歐盟公民個人信息轉移到美國境內進行處理。美國中小企業尤其從中受惠。

　　歐盟法院否定“安全港”

　　美歐個人數據跨境流動前途未卜

　　2013年，美國監控丑聞曝光，歐盟成員國數據保護機構紛紛質疑安全港協定;于是，2014年1月，歐盟和美國開始啟動談判，磋商新的數據跨境協定，以取代當時還有效的安全港協定。不料，新協定尚未達成，歐盟法院就率先否決了安全港協定。

　　2015年10月6日，歐盟法院一紙判決否決了安全港協定，數千美國企業跨大西洋轉移歐盟公民個人數據失去庇護。11月6日，歐洲委員會發布指南，在督促盡快達成新協定的同時，為保障跨大西洋轉移個人數據提出其他可選方案，包括合同方案和有效公司規則。

　　案件源于奧地利公民Schrems針對Facebook跨境轉移其個人數據而向愛爾蘭數據保護委員會提出的投訴。愛爾蘭數據保護委員會拒絕了這一投訴;Schrems遂起訴到愛爾蘭高等法院。愛爾蘭高等法院認為，一旦歐盟公民個人數據被轉移到美國，在不加區分的大規模監控、攔截過程中，NSA、FBI等聯邦機構就可能非法獲取這些數據;考慮到案件涉及歐洲委員會“2000/520號充分保護決定”，故提請歐盟法院作出裁決。歐盟法院認為，歐洲委員會沒有盡職調查美國對個人數據實際上是否提供充分保護，僅僅通過審查安全港協定，就得出武斷結論。此外，美國國家安全、執法訴求等凌駕于安全港之上，可以對跨境轉移到美國的歐盟公民個人信息采取監控、攔截、獲取等措施。在這樣的背景下，“2000/520號充分保護決定”其實沒能達到《1995年數據保護指令》所要求的充分保護程度，因此無效，安全港因而遭到否定。

　　“隱私護盾”開創美歐個人數據跨境轉移新秩序

　　安全港被歐盟法院否定之后，雙方談判加速。2016年2月2日，歐洲委員會宣布，雙方已經達成一個新協定，名曰“歐盟-美國隱私護盾”。2月29日，隱私護盾姍姍來遲，公之于眾。同安全港一樣，隱私護盾也包含七大隱私原則，但是內涵要比安全港隱私原則豐富。

　　此外，隱私護盾還包含一系列補充原則，涉及針對處理個人敏感信息的特殊規定、新聞例外原則、ISP和電信運營商(提供傳輸、發送、轉換、緩存等服務)不承擔次級責任的原則、從事盡職調查和審計的例外、數據保護機構的角色、自我確認程序等。在歐洲委員會起草的“充分保護決定”中，包含這些原則。

　　相比于安全港，隱私護盾的進步之處體現在四個方面。

　　其一，美國企業負擔更強義務。雖然參加隱私護盾是自愿的，但是一旦美國企業提交參加隱私護盾的自我確認書，就應當完全遵守其中的所有隱私原則，而且需要公開其隱私政策、執法部門獲取個人信息的請求等。此外，聲明其符合并遵守隱私護盾之要求的自我確認書必須至少每年提交一次，否則就會被從隱私護盾名單中除名。在監督和執法方面，美國商務部、聯邦貿易委員會(FTC)、交通部等有權部門負責監督參加隱私護盾的美國企業履行義務，并作出處罰和制裁，包括可以依據《FTC法》第45條，認定違反企業構成不正當競爭手段，給予嚴厲處罰，包括罰金、除名等。

　　其二，賦予歐盟公民更強數據權利和多種救濟可能性。2015年12月15日，歐盟三方(歐洲議會、歐盟理事會、歐洲委員會)初步達成《一般數據保護指令》(GDPR)，這是歐盟啟動數據保護立法改革四年來的最新成果。GDPR旨在加強個體對其個人信息的控制力，為其賦予更強數據權利，被遺忘權赫然在列。所以，作為安全港之升級版的隱私護盾，其中的隱私原則及補充原則的內涵大大豐富、細化了。此外，在對歐盟公民的救濟方面，新協定為歐盟公民提供了多種救濟渠道。第一，歐盟公民可以直接向美國企業提出請求和投訴，后者必須于45日內作出回應;第二，參加隱私護盾的美國企業必須提供免費的替代性糾紛解決機制(ADR)并告知用戶以便其可以進行投訴;第三，可以直接向其本國數據保護機構進行投訴，后者負責將投訴轉交美國商務部，美國商務部必須于90日內作出回應，或者將投訴轉交FTC處理;第四，如果窮盡前述方式未能解決爭議，最后可以訴諸一個名為Privacy Shield Panel的仲裁程序。

　　其三，對美國政府進行網絡監控、獲取個人信息的明確限制。對美國企業而言，只有在以下情形下才可以不用遵守隱私護盾隱私原則及補充原則，包括：為了滿足必要的國家利益、公共利益或者執法需求;制定法、政府法規、判例法有沖突規定;歐盟和成員國法律的例外、減損規定等。美國政府獲取歐盟公民個人信息明確限于以下六個目的：一是偵測、反擊外國勢力的特定行動;二是反恐;三是反制核擴散;四是網絡安全;五是偵測、反制對美國和同盟軍事力量構成的威脅;六是打擊國際犯罪威脅，包括逃避刑事制裁的行為。美國方面承諾不再進行大規模的任意監控。此外，在美國國務院設立一個獨立的監察員，負責處理涉及政府部門監控、獲取個人信息的投訴。這些要求和美國國內對大規模監控的限制相一致。比如，2014年1月，美國總統奧巴馬簽發第28號《總統政策指令》(PPD-28)，將大規模收集數據限于六大國家安全目的，并且情報部門收集數據應當有明確的針對對象。此外，2015年6月通過的《美國自由法》對網絡監控作出了必要限制，并要求科技企業發布透明度報告。

　　其四，年度審查機制。為了確保隱私護盾的有效運作，并監督美國履行其承諾，歐洲委員會會同美國商務部每年對隱私護盾的相關情況進行一次審查，并公開其審查報告。這比《一般數據保護條例》的相關規定更為嚴格，因為后者要求至少每四年對第三方國家的隱私保護情況進行一次審查。此外，年度審查并非形式上的。如果美國企業和政府部門未遵守其承諾，歐洲委員會就可以暫停隱私護盾的運作。

　　呼喚數據保護的國際規則

　　在數字經濟發展、全球經貿日益緊密的今天，個人數據跨境流動日益頻繁，數據跨境流動及個人數據保護制度的國際規則也日益提上日程，如TPP、中美投資保護協定、Apec隱私保護框架等都涉及相關制度。我國目前互聯網產業發展迅猛，應積極推動個人數據保護等相關制度與國際接軌，積極參與國際規則的制定。