题：欧美数据隐私框架落地，中企出海如何迈过这道槛？

作者 李爱君 中国政法大学互联网金融法律研究院院长、教授、博士生导师

(资料图)

李爱君

2023年5月，美国Facebook母公司Meta被爱尔兰数据保护委员会处以12亿欧元的罚款。Meta认为，这并非是某一家公司的隐私做法存在问题，而是美国政府对数据访问的规定与欧洲隐私权之间存在“根本的法律冲突”。任何企业都面临且无法解决这一冲突。

2023年7月，欧盟委员会宣布《欧盟-美国数据隐私框架》(下称《框架》)已通过充分性认证，这项数据传输新协议的落地意味着困扰欧美企业多年的数据法律冲突有望得到化解，欧盟公民个人数据安全也将得到更好保护。但同时，中企出海该如何迈过数据这道门槛？

欧美数据隐私框架的核心问题和特点

欧美的数据保护法律存在较大差异，在数据治理方面的分歧已存在多年，导致欧美数据保护之争频频发生。首先，欧盟是通过综合立法的模式重在保护个人信息，并为保护个人信息提供统一标准。美国则是采取实质立法与各行业自律相结合的模式保护个人隐私。其次，欧盟与美国保护的客体不仅形式不同，如“个人信息”和“个人隐私”，其内涵也不相同。个人信息和个人隐私有一定的重合，但个人信息的概念大于隐私信息的范围。

由于客体的不同，欧盟和美国在数据制度层面存在差异。欧盟将个人的信息权利视为基本人权，通过统一立法进行保护，美国则通过自律规范保护个人信息。

《框架》的达成意味着欧盟和美国都需要进行一系列的数据保护和隐私法律改革，以符合欧盟《通用数据保护条例》(GDPR)的要求。这些变化不仅对于美国的科技巨头公司，特别是那些以数据传输为核心的公司来说是一项重大利好，也将使欧盟和美国在个人信息保护立法价值理念和具体制度层面不断趋同。相较于之前的欧美数据传输协议，《框架》引入了新的具有约束力的保障措施，也具备一些独特性。

第一，可以更好地保护输美欧盟公民个人数据的安全，如《框架》要求美国确保在新框架下对从欧盟转移到美国公司的个人数据有足够的保护水平，与欧盟相当。

第二，《框架》源于确保跨境数据传输的隐私保护和促进经济一体化的需要。如根据《框架》新的充分性决定，个人数据可以安全地从欧盟流向参与该框架的美国公司，而无需实施额外的数据保护保障措施。这对美国的私营主体是极大的利好，大大降低了欧盟与美国之间的数据传输成本。

第三，欧盟委员会通过了《框架》，以解决欧盟法院提出的所有担忧，包括将美国情报部门对欧盟数据的访问限制在“必要和适当的范围”内，并建立数据保护审查法院。

第四，该框架明确阐明了“必要性和相称性要求”以及“可执行的保障措施”和“用户友好”的补救机制，为大西洋两岸的公司带来法律确定性。

对中企有哪些影响，如何借鉴经验？

自美国加州的《消费者隐私法》和欧洲的《通用数据保护条例》(GDPR)等各国针对数据隐私保护陆续出台了相关法律法规，全球数据合规监管趋严，已成中企跨国运营的“头号麻烦”。

《框架》不仅对欧美企业带来影响，对于中企在欧盟、美国等市场的数据流通也有着重要的影响，也为中企如何应对全球数据治理提供了一些借鉴与启示。

美欧达成新的数据传输协议对美国的私营主体是极大的利好。但对中企而言，在数据传输方面的成本将高于欧美企业。因此，中国应积极应对数字经济时代的数据贸易安全与发展规则的制定。欧盟对于数据保护的研究及实践均早于中国，中国应借鉴欧盟等各国数据保护的立法实践和经验，把欧盟的数据保护放到整个欧盟国家的历史脉络层面进行整体研究，不断探索保护跨境信息传输和数据隐私的新路径。

整个欧盟的数据立法原则是保护与应用的平衡，并从制度和监管层面对欧盟内的数据流动和跨欧盟之外的数据流动安全采取了有针对性的法律制度和机制，而且极力建立符合“数据”这一特殊客体特征的保护个人信息数据安全和个人信息主体权益的法律制度和救济方式。

未来我们的数据立法应以数据客体为基础，以数据行为为起点，发挥数据自身具有的可控性、可排他性和非竞争性的特征助力数字经济的高质量发展。(中新经纬APP)

本文由中新经纬研究院选编，因选编产生的作品中新经纬版权所有，未经书面授权，任何单位及个人不得转载、摘编或以其它方式使用。选编内容涉及的观点仅代表原作者，不代表中新经纬观点。

责任编辑：孙庆阳 实习生 李雯