跨境数据流动的概念最早出现在个人隐私和数据保护条款中，其英文是Trans－border Data Flows。经济发展与合作组织（OECD）在1980年出台的《关于隐私保护和个人数据跨境流动的指南》中曾指出，个人数据跨境流动（Trans－border flows of personal data）是指个人数据点到点的跨越国家、政治疆界进行传输（movements of personal data across national borders）。欧洲议会和欧盟委员会在1995年出台的《个人数据保护指令》对欧盟成员国个人数据跨境传输的立法原则与主要内容进行了界定［29］。随着国家贸易的开展和跨境数据流动的日益频繁，跨境数据流动监管的范围已经不再局限于个人数据，而是包含商业数据、政府部门数据等更为多样的形式，因而其作用范围和外部影响也仅非局限于个人数据或隐私保护层面，更是上升到商业秘密、国家安全等高度。

美欧之间的跨境数据流动监管主要经历了三个阶段，第一阶段为《个人数据保护指令》生效后双方在2000年7月签署的“安全港协议”阶段，第二阶段为“安全港协议”被宣告无效后，“标准合同条款”和“约束性企业规则”发挥作用的过渡阶段，第三阶段为“隐私盾协议”和“保护伞协议”阶段。

（1）“安全港协议”阶段（2000年7月—2015年10月）

欧盟是以法律手段严格保护个人数据和隐私安全的区域，《个人数据保护指令》则是全球个人数据保护法律法规中最具影响力的法律。《个人数据保护指令》在第25条明确要求欧盟成员国在进行跨境数据传输时应遵循一系列重要原则，其中第1项规定，因数据处理而传输到第三国，或拟传输到第三国进行处理的个人数据，成员国应确保第三国在个人数据保护方面已经具备“充分性保护水平”，同时还应遵守指令中所规定的其他国内法律法规。当欧盟委员会或成员国认定第三国的个人数据安全保护措施不具备“充分性保护水平”时，成员国则应相互通报其情况。如果欧盟委员会根据第31条第2项规定，认为第三国采取的个人数据安全保护措施没有达到“充分性保护水平”，除所列举的豁免情况外，欧盟成员国应当采取必要的措施，防止同类数据传输到该第三国。虽然《个人数据保护指令》并没有对“充分性保护水平”的含义及其认定标准进行说明，但在第25条第2项对有关因素进行了说明，即“所有与跨境数据流动有关的情形，包括数据的性质、数据处理的目的、数据来源国及最终目的地国以及该第三国现行的有效法律规定及实行的行业规则及安全措施”等因素。

而美国作为信息技术遥遥领先的国家，拥有占据绝对优势地位的物联网、云计算和大数据等信息服务产业，对于国内公民个人数据和隐私安全保护的价值取向和模式有别于欧盟委员会和各个成员国，虽然国内也有一系列保护个人数据和隐私安全的法律法规，但分散于若干政府机构之中，主要依赖于行业自律。相较于欧盟，美国更多地鼓励推进跨境数据流动，反对外国政府设置各种有碍跨境数据流动的措施。为了弥补美欧双方在个人数据和隐私安全保护机制上的差距，并顺利开展美欧跨境数据流动，促进美欧跨大西洋贸易，美国商务部在2000年7月正式提出了基于企业“自我认证”和“自我评估”的“安全港隐私保护原则”，即美欧“安全港协议”（Safe Harbor），并在同年得到欧盟委员会的认可。企业自主选择加入“安全港协议”后，必须每12个月接受验证，确认该企业是否符合有关标准，并借此对接《个人数据保护指令》所说的“充分性保护水平”标准。相关标准是指7大数据保护原则，具体如表1所示。“安全港协议”的惩罚措施主要包括收回认证、公布企业的侵权行为、提交联邦贸易委员会并采取法律行动等。“安全港协议”的签订过程提高了欧洲数据保护监管部门和立法部门对企业自律行为的接受程度［30］。

表1　美欧“安全港”数据保护原则

续　表

(www.daowen.com)

（2）过渡阶段（2015年10月—2016年2月）

奥地利人施雷姆斯（Schrems）在2013年向爱尔兰数据保护监管部门提起集体诉讼，质疑美国社交网站脸书（facebook）利用“安全港协议”将欧盟成员国公民个人数据传输到美国的合法性，整个诉讼经爱尔兰高等法院向欧盟法院提起后，欧盟法院在2015年10月6日作出判决，宣布“安全港协议”无效。为了帮助美欧企业度过“安全港协议”无效，而新协议尚未签订的真空期，减轻对美欧跨大西洋贸易和跨境电子商务的不良影响，欧盟数据保护监管部门认为《个人数据保护指令》中提及的“标准合同条款”（Standard Contractual Clauses，SCC）和在2003年由第29条工作组提出来的“约束性企业规则”（Binding Corporate Rules，BCR）仍可适用于美欧跨境数据传输，但数据保护监管部门均须进行个案审查来保护数据主体的权益。

一般情况下，如果无法获得数据主体的同意，原则上应禁止该个人数据的跨境传输，但如果美国企业与欧盟成员国企业签订了“标准合同条款”，承诺按照合同履行有关的数据保护义务，则可以进行跨境数据传输。标准合同条款以数据主体权益保护为目的，它的调整对象为数据传输当事人和数据主体在数据保护上的权、责分配关系，其将《个人数据保护指令》的数据保护原则纳入其中，从传输者和接收者的义务、数据主体作为第三方受益人、责任承担、救济、监管、法律适用等方面进行了规定，比如当损害发生时，由于违反第三方受益人条款，传输方以及接受者须承担连带责任。在美欧各国数据保护法律法规差异较大的情况下，标准合同条款降低了相关主体签订合同的成本，为不同体制下跨境数据传输涉及的法律差异提供了解决方案［31］。“约束性企业规则”是欧盟数据保护监管部门第29条工作组在2003年提出来的，主要是规范分支机构位于不同国家的跨国企业内部的跨境数据流动。该规则需要得到负责处理个人数据的分支机构所在国家数据保护监管部门的批准。第29条工作组一开始仅将该规则当成一种解决手段，但随着外界环境的变化和规则本身的发展，如今该规则已被直接提出作为“安全港协议”的替代方案，也被越来越多的监管者和立法者视为符合全球组织内部个人数据跨境流动要求的等量有效机制，认为其提供了一个适用于全球企业进行跨境数据流动的共同标准且符合各国的数据存留条例［32］。签订约束性企业规则的好处，在于为跨国企业集团制定统一的数据保护政策框架，有助于通过合同、政策和纪律等手段统一协调跨国企业集团内部个人数据保护的实务操作。该规则得到了《个人数据保护指令》第25条、第26条的认可，确保能向尚未被认定为具备“充分性保护水平”国家的分支机构进行跨境数据传输，有效降低了相关风险，也减轻了企业之间频繁签订合同的负担。

（3）“隐私盾协议”和“保护伞协议”阶段（2016年2月至今）

随着新兴信息技术的发展和个人数据保护复杂性的增加，欧盟委员会在2012年提出的《一般数据保护条例（General Data Protection Regulation，GDPR）》（以下简称《条例》）在2016年4月获得欧洲议会批准，于2018年5月在整个欧盟境内实施，并替代现行的《个人数据保护指令》。《条例》在跨境数据流动监管方面，一方面继承了《个人数据保护指令》的精髓，另一方面新增了若干要求，比如第三国是否拥有独立且有效执法的监管部门，第三国是否符合国际标准或签订了其他现行有效的多边或区域体系中个人数据保护条款。

美欧双方在2016年2月2日宣布达成新的跨境数据流动协议——欧美“隐私盾协议”（EU－U.S.Privacy Shield），以替代被宣告无效的“安全港协议”。“隐私盾协议”也包含七大数据保护原则，但其内容要比“安全港协议”的七大原则更为丰富，比如在数据传输原则中，将第三方细分为作为数据控制者的第三方和作为代理人的第三方；在数据主体参与原则中，增加了“更正、补充或者删除违反数据保护原则进行处理的信息”这一内容。总的来说，该协议不但加强了美国企业使用个人数据的义务，还提供了欧盟成员国公民寻求各种救济的可能性。如果美国企业要将个人数据从欧盟各个成员国传输到美国，则必须承诺保证数据主体拥有更强的权利。美国商务部将监督该企业公开其承诺，而美国联邦贸易委员会则根据美国法律加以执行。另外，任何处理来自欧盟人力资源数据的企业，都必须承诺遵守欧盟数据保护监管部门的有关决定。美国必须提供书面保证，确保政府机构基于执法和国家安全等理由获取个人数据时，将受到明确的限制和监督；不会对进入美国的欧盟成员国公民个人数据进行无差别、大规模监视；会有一年一度的联合审查机制定期监督“隐私盾协议”的运作，并将及时公开审查报告。如果美国政府部门和有关企业的行为没有符合标准，欧盟委员会将会暂停“隐私盾协议”的运行。如果欧盟成员国公民认为其个人数据遭到错误使用时，其将拥有多种救济渠道：欧盟成员国公民可直接向美国企业进行投诉，该企业必须在45天内进行回应；欧盟成员国的数据保护监管部门可将有关投诉移交给美国商务部和联邦贸易委员会，由其协助调查和解决纠纷；美国企业必须提供替代性纠纷解决方案帮助欧盟成员国公民进行投诉并免付投诉费用。欧美“隐私盾协议”实际上为双方“跨大西洋贸易与投资伙伴协议”中的数据留存和传输条款提供了借鉴，有助于双方打造一个共赢、互利的数字商业体系［33］［34］。

另外，为了加强欧盟和美国执法部门数据交换和处理的信任度，欧美“保护伞协议”（EU－U.S.Umbrella Agreement）于2016年12月1日获得欧洲议会正式批准。欧美“保护伞协议”为欧美执法合作建立了一个综合的数据保护框架，涵盖了欧盟和美国之间以犯罪预防、侦查、调查和起诉刑事犯罪为目的而交换的所有个人数据。“保护伞协议”将使欧盟成员国公民隐私受到侵犯时，与美国公民享有同等的司法赔偿权。“保护伞协议”主要包含六项内容：①数据使用限制，即个人数据只能用于包含预防、调查、侦查或起诉刑事犯罪在内的各种目的，且不得超过这个范围；②数据传输条件，即当个人数据将被传输到非美国、非欧盟国家或国际组织时，必须事先获得原本传输个人数据的国家数据保护监管部门的同意；③数据存留期限，即个人数据存留不得超过必要或适当的时间，且必须公布或以其他方式公开存留期限；④数据获得与修改，即在特定执法背景下，任何公民都有权获得其数据，且当数据发生错误时，能请求有关部门进行修改；⑤数据泄露通知，即当数据发生泄露时，将通知数据监管部门，而如果情况允许，将同时通知数据主体；⑥司法救济与执行，即如果美国执法部门拒绝欧盟成员国公民获得、修改或非法泄露其个人数据时，欧盟成员国公民有权向美国法院寻求司法赔偿［35］［36］。