跨境信息流動專題研究

數字經濟時代，數據是新的生產要素，也是基礎性資源和戰略性資源。隨著云計算、大數據的快速發展，跨境信息流動規模化、頻繁化趨勢明顯。當前，各國受限于國內、國際發展情況，對跨境信息流動的監管要求不統一，圍繞跨境信息流動的國際談判將成為不可避免的重要議題。一概論（一）概念界定及研究范圍當前，全球對于跨境信息流動還未有統一的定義。跨境信息流動在中文中有跨境數據流動、跨境數據轉移等不同表述方式；英文表述中，聯合國、OECD、歐盟等常使用“TransborderDataFlow”一詞，而美國、澳大利亞等常使用“Cross-borderDataFlow”一詞，一些文獻，尤其是早期的文獻常常使用“信息自由流動”即“FreeFlowofInformation”。表1國際組織及各國對跨境信息流動的概念界定國家/國際組織概念名稱概念內容來源OECDTransborderDataFlow個人數據的跨越國界流動《保護隱私和個人數據跨境流動的指導方針》聯合國TransborderDataFlow跨越國界對存儲在計算機中的機器可讀的數據進行處理、存儲和檢索跨國公司中心澳大利亞Cross-borderDataFlow跨境信息流動應當以是否被澳大利亞國界以外接入進行區分：如果個人數據存儲于澳大利亞，卻在澳大利亞境外被訪問的話，即可被視為跨境轉移。如果個人數據僅僅因為路由器緣故短暫存儲于澳大利亞境外，卻沒有被訪問的話，可以不受《隱私法》關于跨境信息流動原則的約束澳大利亞法律改革委員會（ALRC）對《隱私法》的解釋中國數據出境數據出境，是指網絡運營者將在中華人民共和國境內運營中收集和產生的個人信息和重要數據，提供給位于境外的機構、組織、個人《個人信息和重要數據出境安全評估辦法（征求意見稿）》|Excel下載表1國際組織及各國對跨境信息流動的概念界定從字面意思來看，跨境信息流動包含“跨境”“信息”“流動”三個關鍵詞。“跨境”的含義一般指跨越國境，之所以與國際貿易中規定的“跨越關境”有所區別，主要源于跨境信息流動不涉及關稅、檢驗檢疫、通關等系列海關流程，卻與一國法律法規政策密切相關。“信息”在國外各項文件表述中有“Data”“Information”，“Information”（信息）的含義一般來講比較寬泛，包含所有的信息流動，包括媒體信息、宣傳信息等，“Data”（數據）的表述相對狹義，集中于個人、商業部門、公共部門生活、運營過程中實際的數據。關于信息的種類，當前國際上還未有統一的分類規定，各國際組織、世界各國按照自身實際需求在相關法律條文、規定中，對不同的跨境數據進行說明，主要有政府數據、個人數據、敏感數據、重要數據等。表2關于跨境信息流動中具體信息類別的說明具體內容來源OECD個人資料是指任何關于一個被識別或可以被識別的自然人（本人）的信息，其形式不僅限于電腦處理的個人資料，還包括人工處理的個人資料《保護隱私和個人數據跨境流動的指導方針》美國信息隱私又稱個人信息隱私，是指自然人對其個人信息的保密、公開和支配、控制享有的隱私權。信息隱私主要涉及以下兩個方面的內容：①對個人信息的保密、公開和利用的利益；②支配、控制已公開的個人信息的利益《隱私權法》加拿大個人信息為“個人識別信息”，但不包括姓名、職務、辦公地址、辦公電話《個人信息保護和電子文件法》中國個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等《個人信息和重要數據出境安全評估辦法》重要數據，是指與國家安全、經濟發展，以及社會公共利益密切相關的數據，具體范圍參照國家有關標準和重要數據識別指南澳大利亞政府數據指的是涉及公眾的業務和權力的數據、機關工作手冊、涉及公眾的決策和建議的文件1982年《信息自由法》健康數據指的是：①關于個人健康或身體殘疾的數據；②個人目前或將來可能接受的治療情況的數據；③在治療過程中收集或提供的數據；④個人與身份組織、器官捐獻有關的數據；⑤能夠對個人健康狀況起到預測作用的或可證明與其他人親緣關系的個人基因數據《個人控制的電子健康記錄法》（PCEHR）、1988年《隱私法》個人數據指的是理論及實踐中可識別個人身份的數據及觀點，無論數據或觀點是否真實或以物質形式記錄。可識別的個人數據包括了個人的全名、別名或曾用名，個人生日，個人性別，個人目前的住址或曾經住址（之前兩個），個人目前雇主或之前雇主姓名，個人的駕駛證件號碼《隱私法》|Excel下載表2關于跨境信息流動中具體信息類別的說明“流動”一詞有“flow”“transfer”，但內涵基本相同，數據被跨境讀取、處理、存儲、轉移等都屬于流動范疇。需要注意的是，境外數據由一國境內中轉，但未經任何變動或加工處理的情形不屬于本國跨境信息流動的管理范疇。同時，對于一國而言，有數據出口和數據進口之分，一般而言，數據進口國很少會自發制定政策限制數據流入，國際談判也主要集中于數據出口管理政策。鑒于此，本報告中，跨境信息流動是指數據通過互聯網和信息系統跨越國家邊境的運動。跨境信息流動政策、立場、管理措施是指面向數據出口的相關規定。（二）基本判斷：跨境信息流動是數字經濟發展的必然以互聯網為代表的信息技術不斷加速與經濟社會各領域深度融合，全球正處于從工業經濟邁向數字經濟的重要歷史機遇期，數據成為驅動經濟社會創新發展的重要動力。在全球經濟一體化的背景下，全球跨境數據量迅猛增長，跨境信息流動成為不可避免的發展態勢。當前，跨境信息流動面臨的問題，主要是各國對于數據保護、數據跨境監管的法律規定不統一。由于各國經濟發展水平、信息產業結構、政治意識形態等方面的不同，且跨境信息流動不僅影響到經濟的發展，而且影響到國家安全、公眾利益，因此，各國對于跨境信息流動的主張、管理等方面都有所差異。這也成為跨境信息流動在國際談判中日益重要的原因。未來，隨著互聯網與經濟社會的深度融合，跨境信息流動的國際談判將占有越來越重要的地位。這既是不可避免的趨勢，也是我們必須要提前應對的重要議題。二各國跨境信息流動決策因素及管理措施（一）各國跨境信息流動立場決策因素由于數據中包含了諸多信息，隨著跨境信息流動規模的不斷擴大，信息安全日益成為各個國際組織和國家關注的重點，各國紛紛出臺相關文件和法律對其進行規范和監管，旨在平衡跨境信息流動中涉及的國家安全、產業發展和消費者保護三者的關系。總體來看，一國跨境信息流動相關政策的制定受國內和國外兩方面因素的影響。國內因素主要包括經濟發展、國家安全和公眾利益三個方面。經濟發展主要圍繞跨境信息流動相關產業在國家經濟發展中的地位和作用，包括信息產業的發展規模、產業結構和就業帶動水平。經濟發展指標主要代表了國家經濟發展、企業發展的利益，一般來講，一國信息產業中數字服務產業規模越大、占比越高，其對降低跨境信息流動限制的訴求越大。國家安全主要是指跨境信息流動對國家安全的影響、網絡治理原則、網絡安全保障能力等方面。國家安全包括政治安全、經濟安全、國土安全、社會安全、網絡安全等。一國網絡主權意識、網絡安全保障能力均能夠影響一國對跨境信息流動的限制手段。公眾利益主要圍繞一國的個人隱私保護基礎和要求，個人數據保護意識、已有的法律基礎等因素會影響到一國在跨境信息流動方面的管理方式。一般來講，個人隱私保護相關法律基礎越完善，社會文化傳統對個人隱私保護的要求越高，在推進跨境信息流動時，所需滿足的個人隱私保護的要求越高。國際因素主要包括國際治理原則、國際承諾、政治利益、貿易關系等幾方面的內容。國際治理原則是指一國對于自由貿易的態度，以及對國際數字經濟秩序、規則等相關方面的態度和立場。國際承諾指一國在多邊、雙邊協定中已經做出的跨境信息流動相關承諾。政治利益和貿易關系側重一國與美國、歐盟等具有明確國際主張并正在積極推動的國家間的政治、貿易關系。一般來講，與其有密切的政治利益關系、經濟關系的國家更容易受到相關主張的影響。表3各國跨境信息流動決策因素決策因素關注點說明國內國家安全國家安全影響跨境信息流動對一國國家安全（政治安全、經濟安全、國土安全、社會安全、網絡安全）等方面的影響網絡治理原則對網絡管轄權、網絡內容、網絡執法等方面的原則和要求網絡安全保障能力一國網絡安全保障技術水平、產業發展水平以及防御能力經濟發展信息產業發展規模一國在ICT、數字產品、云計算、大數據、物聯網等相關行業的發展水平信息產業結構包括一國傳統信息產業、平臺企業、新型數字服務企業發展占比、競爭優勢就業帶動水平跨境信息流動相關產業對一國就業的帶動作用公眾利益數據保護意識社會對個人隱私保護的認識、要求程度已有法律基礎一國國內法規在個人隱私保護方面的規定國際國家治理原則一國是否支持自由貿易，以及對國際數字經濟秩序、規則的態度和立場國際承諾在多邊、雙邊協定中所做出的相關承諾政治利益與美國、歐盟等主要國家的政治利益關系貿易關系與美國、歐盟等主要國家的貿易關系|Excel下載表3各國跨境信息流動決策因素（二）各國跨境信息流動管理措施全球各國對于跨境信息流動都有一定的管理措施，按照國家對跨境信息流動立場、態度不同，所采取的措施類別、嚴格程度也有所差別。總體來看，主要采取分級分類的方式進行管理，通過對數據的重要程度進行區分，采取不同級別的限制措施。一般來講，限制措施主要包括完全禁止跨境傳輸、數據本地化管理、第三國適當性評估、風險評估、數據控制者擔保、數據主體同意等。1.完全禁止跨境傳輸對于涉及國家安全、軍事機密、個人關鍵信息等敏感數據，各國均做出了禁止跨境流動的規定，但各個國家對于敏感數據的界定不盡相同。禁止跨境傳輸能夠保護敏感數據，進一步保障國家安全和公眾利益。但同時也會帶來兩方面的問題，一是過量禁止跨境信息流動會阻礙正常的商業活動，不利于本國數字經濟發展。二是國際組織在各類宣言、文件中普遍強調，成員國不可對信息傳輸施加超出實現目標所需要的限制。因此，過多限制跨境信息傳輸可能會在國際談判中處于不利地位。表4各國禁止跨境傳輸相關政策匯總國家具體規定內容美國2016年美國發布的《1075——聯邦、州和地方機構稅收信息安全指南》規定聯邦機構必須將稅收系統的接收、處理、儲存或轉移地限制在美國領土、大使館或軍事駐地內澳大利亞澳大利亞《個人控制的電子健康記錄法》將與消費者有關的個人數據與個人健康數據區分開，規定禁止可識別個人身份的健康數據向澳大利亞以外地區傳輸，例外事項除外印度印度在建立本地基礎設施的基礎上，要求存儲在這些企業的公民個人信息、政府信息和公司信息不得轉移至境外新西蘭公司把商業記錄信息存儲在境內法國對電子通信網絡進行偵聽的系統必須在境內建立和實施|Excel下載表4各國禁止跨境傳輸相關政策匯總2.數據本地化管理數據存儲本地化方式主要包括設施本地化、數據本地化。設施本地化要求企業使用數據來源國的存儲設施進行數據存儲、處理。數據本地化要求將數據存儲在數據來源國境內。數據本地化并非禁止數據的跨境傳輸，因此并不等同于禁止跨境信息流動。數據本地化政策的優點有三：一是有助于促進本國數字產業的發展，設施本地化能夠促進本國相關硬件產業的發展，而數據的本地化必然使企業增加投資，拉動就業；二是有助于本國執法，數據存儲在境內，為國內的行政機構、司法機構開展犯罪偵查、保護國家安全提供了方便；三是有助于本國數據管理，在數據本地化存儲的基礎上，各國可以根據自身需求，在對數據進行合理限制和規范的基礎上進行跨境流動，從而防止數據的濫用。但數據本地化管理并不能完全保障數據安全。互聯網時代的數據安全保護主要取決于網絡安全保障和防護能力。若一國網絡安全防護能力較差，則數據集中存儲反而更容易受到網絡攻擊，導致重要數據的泄露。表5各國數據本地化相關政策匯總國家限制數據美國2015年發布修訂規則，要求所有云計算服務提供商在國內存儲數據加拿大（不列顛哥倫比亞、新斯科舍省）強制要求公共機構（如學校、醫院）保存的個人數據必須在加拿大存儲和訪問俄羅斯2014年底通過了《數據本土化法》（FederalLawNo.526-FZ），要求所有搜集俄羅斯公民個人數據的數據控制者都應當將其服務器設置在俄羅斯境內越南要求企業的搜索引擎、數據中心和云服務的數據應當存儲在境內尼日利亞所有的ATM國內交易應當通過本地的路由器，并且不得在境外處理交易路由器委內瑞拉國內支付交易應當在境內處理丹麥、挪威禁止使用服務器在境外的云服務韓國金融機構的服務器應當存儲在境內巴西要求Google、Facebook等公司在境內建立數據中心|Excel下載表5各國數據本地化相關政策匯總3.第三國適當性評估第三國適當性評估是指將數據保護水平的充分性作為與境外國家傳輸跨境信息的前提。第三國適當性評估的主要目的是保護數據安全、防止數據濫用。由于各國對數據保護標準和水平不同，第三國適當性評估更有利于保證本國數據受到應有的保護。但其執行情況受限于評估標準，評估標準中的主觀性指標，往往更容易加入一國政府的政治考慮。表6各國第三國適當性評估相關政策匯總國家限制措施歐盟《指令》第四章專門規定個人數據向非成員國跨境轉移的規則。其第25條規定，成員國必須確保跨境數據轉移的前提是第三國為個人數據提供了適當水平的保護，第三國適當性評估由歐盟委員會根據第三國的所有情況以決議形式做出2016年《指令》的《通用條例》第45條詳細規定了歐盟委員會對第三國進行適當性評估時應當考慮的因素俄羅斯《個人數據保護法》第12條第1款規定，數據向第三國轉移的，數據控制者應當確認第三國提供了“充分水平的保護”《個人數據保護法》第12條第2款還規定，即使第三國提供了充分水平的保護，俄羅斯當局也可以以國家安全、國家防衛、保護公眾合法權益為由禁止或者進一步限制數據轉移澳大利亞《數據安全分類系統》中規定政府數據方面，當數據通過雙邊安全文書希望實現互惠的分類數據保護時，需要采取與澳大利亞保護性安全標識類似的措施，以保證數據被置于不低于提供數據一方政府要求的保護水平|Excel下載表6各國第三國適當性評估相關政策匯總4.風險評估風險評估是指在數據出口前，由相關主管部門對數據進行評估，識別其潛在風險，并采取相應措施防范安全風險。這一管理方式，優點是防范了數據風險，缺點是增加了政府的監管成本，對于出口較為頻繁的數據，多次審批也降低了企業效率。表7各國風險評估相關政策匯總國家限制措施澳大利亞《政府信息外包、高岸存儲和處理ICT安排政策與風險管理指南》將政府信息分級，其中對于非保密的信息，要求政府機構進行安全風險評估之后才能實施外包加拿大《關于解決美國愛國者法案和跨境信息流動問題的聯邦戰略》中財政委員會要求每一個政府機構對數據處理合同進行評估以識別任何與美國愛國者法案相關的潛在風險，評估風險層級，并且采取修正措施來解決安全風險問題美國《出口管理條例》（EAR）和《國際軍火交易條例》（ITAR）分別對非軍用和軍用的相關技術數據進行出口許可管理|Excel下載表7各國風險評估相關政策匯總5.數據控制者擔保數據控制者擔保是要求企業在跨境信息傳輸時通過合同、條款等方式對數據的安全性和使用合法性進行擔保。這一管理方式將保護數據安全、防止數據濫用的責任由政府轉移到企業。這一管理方式的優點是將數據保護機制回歸到市場機制，鼓勵企業為了迎合消費者要求而保障數據安全可靠，減輕了政府的行政審批壓力。缺點是：一方面，這一機制需要企業有較高的自律水平；另一方面，對于中小企業來說，操作成本較高。表8各國數據控制者擔保相關數據匯總國家限制措施澳大利亞數據控制者在向第三國數據接收者轉移個人數據之前，原則上必須采取“在當時情況下所有合理措施”確保第三國接收者并沒有違反澳大利亞隱私原則（透明原則除外）|Excel下載表8各國數據控制者擔保相關數據匯總6.數據主體同意數據主體同意方式是指企業在數據出口前須獲得數據主體的同意。該方式的優點是賦予消費者以控制數據傳輸及使用的權利，強調數據主體對數據使用的責任，但有三個方面的缺點：一是數據保護水平取決于消費者隱私保護意識，二是企業可以通過多種形式控制消費者的選擇，三是增加了企業數據處理成本。表9各國數據主體同意相關政策匯總國家限制措施泰國《個人信息保護法》草案將要求在海外數據轉移之前，數據主體必須以書面形式向海外轉移者做出具體同意，同時轉移目的地國的個人資料保護法必須能足夠保護信息日本《個人數據保護法》第23條規定了向第三者提供的限制。日本境內的第三者以及日本境外的第三者都受該條約束《經濟與工業領域個人數據保護指南》規定，同意的方式包括口頭和書面的同意，以及點擊網頁上有關同意的確認鍵。考慮到數據主體做出同意后又可能要求數據提供者停止向第三者提供的情況，該法做了相關規定|Excel下載表9各國數據主體同意相關政策匯總（三）典型國家分析1.美國（1）基本立場：支持自由的跨境信息流動美國支持跨境數據流自由流動，并長期致力于在全球范圍內消除跨境數據流自由流動障礙。從決策因素來看，美國以推動經濟發展為主。首先，美國數字服務產業發展全球領先。美國是全球經濟、軍事和科技實力最強的國家，以互聯網和跨境數據流為基礎的數字服務產業和跨國公司發展一直處于世界領先的地位。跨境信息自由流動是支持數字服務產業發展的基礎，對跨境數據流進行大規模限制不符合國家利益。其次，美國偏向限制政府權力。美國對個人信息保護采取寬松態度，將企業責任最小化至公共責任，以商業力量保護消費者信息。（2）管理手段：以行業自律為主美國沒有專門出臺一部針對跨境數據流的數據保護法規，有關數據出口的限制和法規零散出現在各領域法案中，重點管理軍用數據、技術數據、關鍵基礎設施數據、關鍵個人數據的跨境流動。對于技術數據，美國在《出口管理條例》《國際軍火交易條例》中分別對非軍用和軍用的相關技術數據進行出口許可管理。提供數據處理服務的相關主體或者掌握數據所有權的相關主體在數據出口時，必須獲得法律規定的出口許可證。其中，美國法律對數據出口的管理范圍非常寬泛，即使是向美國境內的外國公民傳遞數據，也被視為出口。對于基礎設施數據，美國對包括商用核設施、政府設施、交通系統、銀行和金融、國防工業基地等在內的關鍵信息基礎設施領域的跨境信息流動進行了嚴格的限制和管理。美國在其《國家基礎設施保護計劃》（2013）中指出，影響關鍵基礎設施的風險環境是復雜的和不斷變化的。長期以來，關鍵基礎設施一直受物理威脅和自然災害的影響，而現在網絡威脅越來越明顯，諸如網絡安全漏洞、網絡攻擊的信息技術和網絡威脅對關鍵基礎設施產生重要影響。不斷增長的數據和信息對于運營和維護基礎設施非常必要，但是這些數據和信息很容易受到非法訪問，并影響其保密性、完整性和可用性。對于重要行業和個人數據，美國出臺了多項法案進行管理。例如，在電信領域，CFIUS會要求國外投資者與其下設的電信小組簽署安全協定，要求其國內通信基礎設施應位于美國境內，將通信數據、交易數據、用戶信息等僅存儲在美國境內。（3）國際策略：積極在全球范圍內推動跨境數據流自由流動美國通過多雙邊談判積極推行跨境數據自由流動。美國在韓美自貿協定、WTO、TPP、TTIP、TISA等多邊談判以及各類國際論壇中將推進跨境數據自由流動作為重點議題，其中TPP中集成了美國認為最全面、最高標準的數字標準規則。隨著特朗普上臺及其貿易政策方向從以規則為基礎的多邊主義向以實力、實用為基礎的雙邊主義轉變，美國正式退出TPP。TTIP、TISA等多雙邊協定目前也處于暫停狀態。但這并不意味著美國關于數字貿易規則的立場和訴求會發生重大改變，在USTR發布的《2017年貿易政策議程和2016年年度報告》中，“總統貿易政策議程”部分最高優先事項一節，明確點出美國企業由于別國封堵或不合理地限制數據和數字服務的流動以及竊取交易秘密而受到損害，為此，美國政府將利用所有可能的杠桿鼓勵其他國家開放市場，給美國企業提供公平、互惠的市場準入。2.歐盟（1）基本立場：支持“充分保護”條件下的跨境信息流動首先，歐盟高度重視個人數據保護。歐盟關注個人數據跨境流動中涉及的隱私問題，將個人信息保護視為人權的一部分，其監管出發點是嚴格控制個人數據流動。其次，歐盟數字服務產業落后于北美。歐洲是全球發達國家較為集中的區域，但是總體來講，其信息產業發展與北美該產業差距巨大。例如，與北美地區（美國和加拿大）同行相比，歐洲云計算企業在融資、企業價值、并購等方面處于顯著弱勢。2012年北美云計算市場平均季度融資比歐洲高1倍有余，平均企業價值高于歐洲33%，企業并購情況是歐洲的1.5倍。（2）管理措施：全面、嚴格的管理體系歐盟通過《歐洲理事會108號公約》、《數據保護指令》（1995）、《歐盟議會和歐盟理事會關于共同體機構和組織處理個人數據和促進這些數據自由流動的個人數據保護》（2000）、《通用數據保護條例》（2015）等文件對個人數據的隱私保護進行了全面、嚴格的規定，形成了嚴格、全面的管理體系（具體內容將在報告第三部分詳細闡述）。歐盟關于跨境信息流動的規制對歐盟國和非歐盟國劃分了明確的界限。因此，一些國家為促進本國的電子商務或數字產業發展，與歐盟簽訂了數據保護相關的協議。例如，2016年通過的《美國-歐盟隱私護盾》，提出了七大原則，支持美歐之間的跨境信息流動。總體來看，歐盟以保護為優先的策略，雖然加強了個人數據保護，但嚴厲的保護措施阻礙了企業的利益，不利于產業培養。未來，歐盟有望適當放寬數據跨境流動的規制，促進產業發展。2017年3月歐洲委員會發布數字化單一市場（DigitalSingleMarket，DSM）中期報告，旨在破除電子商務發展障礙、發展跨境電子活動。數據方面，委員會表示他們正準備在2017年秋天出臺一部關于非個人數據跨境自由流動的法律。3.俄羅斯（1）基本立場：“安全為先”，限制跨境信息流動俄羅斯是典型的以保障國家安全為首要考慮因素的國家。2013年斯諾登揭露了美國全球監控計劃，出于本國安全的擔憂，俄羅斯開始考慮加強網絡監控和強化數據跨境流動管理。俄羅斯信息政策和信息技術及通信委員會的一名發言人曾于棱鏡門事件后呼吁俄羅斯應該加強其“數據主權”，通過立法要求電子郵件、社交網站等企業將其收集的俄羅斯用戶的數據在俄境內留存。（2）管理措施：嚴格的數據本地化管理俄羅斯對跨境信息流動管理的態度經歷了“由寬到嚴”的轉變。2006年，俄羅斯通過了兩部數據管理相關法律，分別是《關于信息、信息技術和信息保護法》《俄羅斯聯邦個人數據法》，核心在于防范對數據的非法獲取、使用，保護公民在個人信息處理中的權利和義務。棱鏡門事件后，俄羅斯于2015年5月、7月兩次對這兩部數據管理相關法律進行修改，基本確立了數據本地存儲的基本規則。三國際組織跨境隱私規則體系分析（一）基本情況隨著經濟全球化和數字經濟的發展，國際社會對跨境信息流動關注度逐漸提高，往往依靠單一國家制定政策很難協調兩國之間的信息流動問題，因此，各國際組織紛紛出臺政策對跨境信息流動進行規定和治理。目前，各國際組織制定跨境信息流規則的基本情況如圖1所示。圖1國際組織制定規則的基本情況1.發展與保護的平衡是前提，但在規范過程中各有側重國際組織在制定規則時，都是在發展和保護兩個條件下尋求一個平衡點，但是由于各組織出發點不同，因此在制定規則過程中各有側重。大部分經濟組織都以發展為前提，制定規則的過程中更注重不應因數據保護而損害發展。而歐盟則將個人信息保護置于發展之前進行考量。因此，在具體實施過程中，經濟組織的規則往往開放性較強，而歐盟的規則對信息保護的要求更加嚴格。2.覆蓋范圍較廣的國際組織規則推進步履維艱，區域性國際組織規則更具可操作性跨境信息流動談判參與方越多，規則制定復雜程度就越高，尤其是在參與方各國經濟、科技、文化等各方面發展水平不一致的情況下，就更難找到合乎各方利益的準則。大部分覆蓋范圍廣的國際組織在制定跨境信息流動規則時舉步維艱，目前，多數可操作性強、可落地的規則都是由區域性國際組織制定的。例如，WTO面向的國家眾多，且各國發展水平差異較大，發達國家和發展中國家訴求不同導致在談判中矛盾難以調和，在制定跨境信息規則的過程中陷入談判的僵局，難以推進。由于歐洲各國發展步伐較一致，歐盟早期成員均為發達國家，目前發達國家成員依然占大多數，無論是經濟、技術還是政治、文化等方面，歐盟都經過了長期的磨合與發展，因此在推廣規則時能夠事半功倍，目前歐盟內部已經形成了較完善的閉環，信息在歐盟內實現了自由流動。APEC的CBPR體系也具有較強的可操作性。3.企業層面規則可操作性更強，國家層面規則往往缺乏約束力國際層面的規則由于需要各方長期談判，約束力較強的國際規則很難制定，因此，大部分國際組織，如OECD、APEC、G20等在國家層面出具的都是原則性、指導性和倡議性的規則，這類規則的約束力較弱，主要依靠企業、行業自律。在操作層面，企業往往是跨境數據流動的主體，面向企業的規則體系往往更具備可操作性。歐盟BCR體系和APEC的CBPR體系是目前最受關注的兩大規則體系，二者都是針對企業而制定的，企業可以申請加入規則體系，并保證企業內部信息流動的安全，接受專門機構的審查，即可實現在規定范圍內信息跨境流動。企業規則對超級跨國公司意義重大，在國家級談判推動停滯時，當企業需求足以支付單獨加入規則的成本時，就有了新的選擇。因此這類規則在可操作性方面更強，也成為當前各國信息跨境新的聚焦點。（二）歐盟、APEC跨境隱私規則體系分析1.歐盟歐盟于1995年頒布了《有關個人數據處理中的個人保護與所涉及的數據自由流通的第95/46/EC號指令》（以下簡稱《指令》），此后，第29條工作組配合《指令》實施發布了一系列解釋文件和指導性文件，共同構成了應用至今的歐盟跨境數據保護機制。《指令》為歐盟建立了統一的信息保護機制，解決了內部成員國內部的信息流動問題，在歐盟各國禁止限制個人信息跨境流動。同時，《指令》對歐盟之外的國家和企業也做了相關的規定，主要包括充分保護原則和例外規定。例外規定包括法定例外和三種保護措施。目前受關注最多的是三種保護措施中針對跨國企業的BCR規則。BCR規則是當企業所在國不符合充分保護原則時，企業為進入歐盟國家而自愿申請的自律性規則，由跨國公司制定，規定企業內部數據處理和轉移，具有法律約束力。BCR規則經過批準可認定企業符合《數據保護指令》第二十六條第二款中“適當保障措施”的條件，成為“充分保護”例外情況，通過保障大型跨國企業內部信息的安全，賦予歐盟內跨國公司進行內部數據的跨境轉移的權利。但是BCR審批程序復雜而不確定，并且審批時間漫長，前期申請成本和后期維護成本較高，只適用于大型跨國企業，一般企業并不適用。2016年5月，歐盟發布了《一般數據保護條例》（以下簡稱《條例》），并將于2018年5月27日正式生效，從而取代正式的《指令》。《條例》統一了此前由《指令》和系列解釋文件構成的數據保護規則，并在其基礎上進行了補充和完善，強化了個人權利，明確了執行、監督、救濟與制裁機制，以及相關實施標準。表10歐盟《指令》與《條例》對比《指令》《條例》法律效力需要各成員國據此在本國立法并加以執行正式實施后將在歐盟范圍內立即生效，無須成員國立法確認，減少了各成員國理解不同而產生的國內立法差異立法管轄權屬地原則；

適用范圍涵蓋組織機構設立在境內的數據控制者及其所涉及的數據處理行為，以及使用了成員國境內的設備所進行的數據處理行為屬地與屬人原則相結合；

適用范圍包括營業場所設立在歐盟境內的數據控制者和處理者所進行的數據處理活動，不論處理行為是否發生在歐盟境內，管轄范圍更加寬泛數據轉移規則規定了三個層級的數據轉移規則

（1）第三國經歐盟委員會認定具有“充分保護”水平；

（2）數據轉移滿足法定例外的幾種情形；

（3）保障措施：標準合同文本模式、約束性公司規則、安全港模式保留了《指令》的數據轉移規則，并在此基礎上進行了修補和完善：

（1）明確了“充分保護水平”的認定標準和實施條件，解除了“充分保護水平”認定時造成的誤解；

（2）豐富了“法定例外條款”的相關內容；

（3）明確了“約束性公司規則”的法律地位，并對具體內容進行了進一步明確，倡導在歐盟范圍內使用具有普遍認可度的數據保護印章與標識制度數據主體權利包括有權獲取數據，有權知道數據源自何處，有權要求糾正不準確的數據，有權將不法處理數據者訴諸法律，有權在某些情形下收回其允許使用數據的許可等新增了更正權、被遺忘權、限制處理權、持續控制權等主體權利監管、救濟與制裁（1）第29條工作組主要負責推進《指令》的落實；

（2）將救濟與制裁具體規定的權利賦予各成員國（1）設置“歐洲數據保護委員會”，負責貫徹《條例》實施及相關數據保護工作；

（2）要求數據控制者設立“數據保護專員”

（3）個人數據主體可向監管機構進行投訴，或向法院起訴

（4）加大制裁力度規定違法的懲罰金額由成員國自行確定，懲罰上限處于歐盟立法中最高標準。一般性違法行為，罰款上限為1000萬歐元或上年全球營業收入的2%（取較大值），嚴重違法行為或造成嚴重后果的，罰款上限為2000萬歐元或上年全球營業收入的4%（取較大值）|Excel下載表10歐盟《指令》與《條例》對比2.APECAPEC積極致力于推動亞太地區的跨境信息流動。1998年，APEC部長通過了《電子商務行動藍圖》。2004年，APEC根據《電子商務行動藍圖》發布了APEC隱私框架。2007年，部長們通過了“APEC數據隱私探路者倡議”，以促進APEC隱私框架在國際層面的實施，該倡議中包含的共同承諾最終促成了APEC跨境隱私規則體系（以下簡稱“CBPR體系”）。APEC隱私框架主要內容為九大指導原則與幫助APEC經濟體加強國內信息保護和促進APEC經濟體之間跨境信息流動的實施指南。CBPR體系是針對APEC成員方經濟體企業、由企業自愿加入的多邊數據隱私保護計劃。CBPR規則建立在APEC隱私框架的基礎上，以企業為基本單元，致力于推動APEC隱私框架在成員國內獲得更廣泛的認可和實施。CBPR規則設計了三方規則相關者，包括隱私執法機構、問責代理機構和從事跨境信息流動的企業，形成規則問責和執法分離的雙重審查機制。CBPR體系首先由APEC各成員經濟體申請加入，需要設立一個隱私執法機構，同時要求一國至少擁有一個問責代理機構。問責代理機構是CBPR體系的重點與核心，APEC對其審核采取了十分嚴格的標準，申請加入的問責代理機構必須經過APEC成員國全體同意，申請才能獲批，并且每年APEC都對其進行重新審核。問責代理機構取得資質后，管理范圍內企業可申請隱私保護認證，申請提交后，機構根據避免傷害、提前通知、有限收集、個人信息使用、有選擇使用、完整性、安全保障、授權和修改及問責原則，對申請企業進行問卷測評及審查，并對通過審核的企業進行保護信賴標識，授權其享有在體系內自由地進行個人信息的跨境轉移而不受成員方經濟體國內法限制的權利。目前，共有美國、墨西哥、日本、加拿大四個國家和22家企業（21家美國企業，1家日本企業）加入CBPR體系。3.BCR規則與CBPR體系的對比為調解各國及地區關于個人信息跨境流動時帶來的隱私保護問題和貿易保護問題之間的矛盾，國際組織發揮作用，制定了一系列組織內統一的信息跨境