歐盟數據流動范式的擴張以及中國的應對方案

作者：紀琳琳（上海對外經貿大學法學院碩士研究生）

　　要目

　　一、歐盟數據流動規則范式的構建

　　二、歐盟數據流動規則范式的擴張

　　三、歐盟范式擴張中中國的應對方案

　　四、結語

　　數據是21世紀的“新石油”。正如法律的生命在于經驗，數據的生命在于流動，數據流動全球化是大勢所趨。數據跨境流動規則的制度博弈，實質是數字市場的全球競爭。歐盟通過歐盟一般數據保護條例和非個人數據歐盟境內自由流動條例完成了個人數據和非個人數據的全類型數據流動立法。目前，歐盟在全球數字經濟中的市場份額與其在數據領域構想的“歐洲中心主義”還尚不匹配，但歐盟通過構建高門檻高標準的數據跨境傳輸規則成功地向其他國家輸出歐盟模式，使歐盟模式得以向世界范圍擴張，進而深刻影響國際數據治理格局。對于歐盟范式擴張效應的產生，中國應客觀審視和借鑒，同時構建本土規則，形成中國模式，建構數據流動法律的中國方案。

　　引言

　　歐盟模式著力于內部數據保護標準的統一，但對于非歐美國家而言，歐盟模式成為其與歐盟建立數字經濟合作的一道壁壘。歐盟通過一般數據保護條例（gdpr）抬高市場準入標準，將不符合標準的國家和企業一律排除在外，并通過潛移默化地向外滲透歐盟模式，使其他國家的數據流動標準向歐盟靠近，潛移默化地將歐盟模式升級為一種范式，并不斷地擴張其影響力，深刻影響著國際數據流動治理格局。

　　一、歐盟數據流動規則范式的構建

　　歐盟數據流動規則范式主要是圍繞兩條主線來構建：單一數字市場和技術主權。即對內要建立統一數字市場，加快歐盟整體數字化轉型，發揮歐盟整體優勢，爭做數字化發展的領跑者；對外就是要在隱私安全得以確保的前提下實現“跨境數據自由流動”。除上述兩條主線外，歐盟通過以下三種具體方式進行歐盟數據流動規則范式的構建：第一，進行gdpr有關數據跨境的制度設計；第二，提出充分性認定規則；第三，設立標準合同指引。

　　歐盟通過gdpr正在實現其數字單一市場的建設，同時通過gdpr的域外適用效力將與市場有關的社會和經濟政策及監管措施外部化，使得歐盟內部標準具有外部影響力，通過這樣的制度設計，歐盟在向其他國家及地區輸出其標準，并在國際標準的制定的競爭上取得了先機，對全球的數據監管產生了深遠的影響。

　　gdpr有關數據跨境的制度設計

　　gdpr第五章規定個人數據可以在歐盟成員國之間自由流動，沒有任何限制，但是非歐盟成員國想要從歐盟成員國處獲取個人信息數據，就需要達到適足性、充分性標準。如果歐盟數據保護委員會認定第三國對被轉移數據的保護能夠達到gdpr規定的標準，則其與歐盟成員國之間的數據轉移不需要特意授權。相反，除上述情況外，歐盟數據保護委員會都需要對第三國的數據保護水平進行評估，主要評估包括第三國關于人權和自由的立法是否完備、是否加入并履行與個人數據保護相關的國際協定或承諾以及政府當局對于數據轉移、數據控制的管理情況等在內的相關事項。顯然，在數據跨境流動中，歐盟以充分性認定機制作為數據跨境流動的基準，當第三國對該數據的保護水平達到充分性要求，或者經過評估確認該國的數據保護水平能夠達到與歐盟“實質等同”時，即能為提供數據的歐盟成員國提供的充分的保障，歐委會將發布對該國的“充分性”認定。此外，根據gdpr有關條文規定，若沒有經過“充分性”認定，則需要提供一定保障措施，如制定具有約束力的合同條款、第三方認證等，但前提是上述保護措施需要得到國家數據保護機構的批準。最后，如果第三國既未進行“充分性”認定，又無法提供有效的保障措施，那么歐盟數據保護委員會將采納列舉方式公布可以轉移的數據范圍，此即“特殊情形下的義務克減”條款。

　　充分性認定規則

　　1995年數據保護令（data protection directive）出臺，在第25條首次提出“充分性保護原則”的概念。鑒于出臺的時間較早，數據保護令雖然提出對充分保護水平進行認定以及應當進行評估的事項，但沒有提出具體、統一的方法和標準，僅僅是原則性規定，較為抽象，實際操作性不強，不能直接用于評估第三國對相關數據保護水平是否達到歐盟的要求。

　　2018年5月出臺的歐盟一般數據保護條例在繼承在先規定的充分性保護原則的基礎上，明確了“充分性”的認定標準和實施條件。根據gdpr第45條的規定，充分性認定是指以第三國立法與法律實施情況、數據監管機構水平、加入個人數據保護的國際條約或多邊協定情況等為評估標準，判定數據所轉移至第三國對歐盟居民個人數據保護是否能夠達到充分保護的水平，如能達到充分保護水平，則獲準第三國與歐盟進行數據跨境傳輸。充分性認定規則被稱為“歐洲個人數據跨境的簽證”，獲得充分性認定的國家與地區，視為與歐盟及其成員國具備同等的數據保護能力。

　　目前，世界范圍內已有包括安道爾公國、阿根廷、澤西島、以色列、瑞士與烏拉圭等在內的國家、地區以及相關組織通過充分性認定。在gdpr的跨境數據傳輸機制中，充分性認定機制要求各國對于個人信息數據的保護標準達到gdpr的標準，才能獲得gdpr認定，這就導致那些想要獲得認定的國家或地區在進行有關個人信息數據保護立法時向歐盟標準靠攏，進而擴張歐盟數據流動范式的輻射范圍，如貝林、泰國、突尼斯、智利、巴西、加拿大等國更新了數據保護法或提出立法草案，究其立法模式和立法內容，明顯深受gdpr影響。

　　上述國家之所以會采取與gdpr相似或相同的保護標準，原因有二：一方面，全球互聯網產業十分集中，大多數國家都存在數字經濟生產和消費失衡現象，故通過效仿歐盟嚴格的數據保護標準來約束和限制互聯網強國的數據控制者或管理者；另一方面，歐盟本身就是一個巨大的商業市場，對于非歐盟國家極具吸引力，大多數非歐盟成員國都希望獲得與歐盟進行數據流動的許可。此外，gdpr的影響力早已擴張到亞洲，以日本為例，其在2015年頒布的個人信息保護法就確立了類似的充分性認定機制。隨著日本在數據跨境流動規則日益向歐盟趨同，其于2018年7月與歐盟簽署經濟伙伴關系協定，約定建立數據流通安全區，相互將對方的數據保護體系視為同等有效，這意味著歐日達成首個“對等充分性”協議。2018年9月，正式對日本進行充分性認定程序，并于次年1月通過了對日本的充分性認定，與此同時日本也作出對等的認定，從而形成世界最大的數據安全流通區，個人數據可以在兩者之間自由流動。不妨設想一下，如果越來越多的國家，學習歐盟與日本之間的“成功經驗”，那么在這些國家間將會形成歐盟主導下以歐盟數據保護標準為基礎的數據安全流通區，gdpr的壁壘效果得以凸顯，將不符合歐盟數據保護標準的國家一律被排除在外，這些國家將面臨數據流動障礙，這時候阻礙這些國家數據流動的不僅是歐盟，而是其他國家與歐盟結成的“數據安全流通區”，進而深刻影響全球數據流動和數據管理。

　　標準合同指引

　　歐盟標準合同（standard contractual clauses）最早可以追溯到2001年，歐盟委員會首次推出了基于第95／46／ec號保護個人在數據處理和此類數據自動流動中權利的指令的標準合同條款scc2001c和scc2001p，后在2004年和2010年分別推出了兩個新版本scc2004c和scc2010p（后者取代scc2001p）。gdpr的第5章對于從歐盟向第三國或國際組織傳輸個人信息進行了規定，確保自然人數據出境后受到的保護水平不會被減損。該章節為此設置了若干適當性保障措施，其中就包括歐盟委員會制定的標準合同條款。為了落實該章節中的要求，歐盟委員會于2021年6月4日通過“關于向第三國轉移個人數據的標準合同條款的決定”。（“歐委會決定”），并將最新版本標準合同條款（“歐盟scc”）作為附件，取代之前所有的scc版本。

　　個人數據的跨境流動對于擴展國際貿易和國際合作是必要的，但這也引發了對個人數據保護的憂慮。根據歐盟95指令和gdpr要求，當個人數據從歐盟轉移至位于第三國時，必須選擇適當的合規路徑，以確保對個人數據的保護水準不降低。目前，尚沒有通用的最優路徑，不同的企業應根據自身的數據流、業務模式和風險特點選擇適當的合規路徑。對互聯網企業來說，可以通過用戶點擊來尋求用戶同意，因而獲取用戶同意是最便捷的路徑；對于擁有大量子公司的大型集團企業而言，制定適用于集團內部的統一規則并尋求歐盟監管機關認可是最優方案；而對于大量中小企業而言，標準合同條款可能是最好的選擇。預先擬定的標準條款可以減少締約成本，也有助于提升國際數據保護規定的一致性和可預知性。在全球數據保護統一規則缺失的情況下，標準條款合同成為不同國家之間在共同規則下進行數據移轉的重要工具。

　　二、歐盟數據流動規則范式的擴張

　　歐盟模式的吸引力

　　首先，歐盟數據保護體系具有很強的可模仿性和兼容性，除少數個別國家外，對數據保護仍然處于空白的國家具有立法參照的吸引力，它深刻地影響著一些歐盟成員國以外的其他歐洲國家、南美國家以及部分非洲國家和一些亞太國家。比如巴西通用數據保護法、印度2019年個人數據保護法案（草案）都不同程度地借鑒了gdpr模式及其數據跨境傳輸規則。

　　其次，在數字時代，數據自由流動是繁榮貿易的基礎。越來越多的國家期望通過數據保護推動本國數字經濟和貿易發展。各國需要優質的個人數據以適應全球數字經濟，這意味著不僅需要在境內加強個人數據保護，還需要在境外數據本土化的背景下支持自由跨境數據流動。各國積極與其他實行數據保護的國家和地區推動基于互惠原則的數據跨境傳輸，在與其他國家的自由貿易協定中也注重對跨境數據傳輸規定的補充。這種背景趨勢下，擁有高標準的數據保護規則的歐盟毫不例外是一個最佳選擇。

　　最后，目前的國際社會尚未達成一致的數據保護協議，各國的數據保護水平尚存偏差，但是越來越多的數據保護標準已經向gdpr靠近。正如韓國nohyoung park教授對韓國靠近歐盟模式原因的剖析，韓國若想在跨境數字貿易上成為有力的規則制定者，必須要在數據保護方面向高標準的數據保護規則靠近，制定有效的規則，在此基礎上支持數字貿易的穩定運行。歐盟模式的這種吸引力一方面促進歐盟模式在其他國家的仿照適用，使得歐盟數據跨境規則更容易為其他國家接受；另一方面，這也為輸出歐盟模式，使歐盟模式得以向世界范圍擴張，進而深刻影響國際數據治理格局奠定基礎。

　　在美國妥協中穩固

　　除直接全盤接受歐盟數據流動規則外，還有一種解決數據跨境流動難題的處理模式，是由特定的國家、地區直接與歐盟相關機構進行磋商并訂立具有法律約束力與可執行性的數據保護協議，最為典型的便是歐美之間的合作與妥協。

　　1.美歐談判的起始

　　最開始美國并未達到歐盟gdpr“充分性認定”的要求，但基于個人數據流動需要，美國主動就個人數據保護方面和歐盟進行談判協商，并出臺《安全港協議》（the eu-us safe harbor）作為應對措施。按照協議約定，美國企業只有通過規定的資格認證，或者能提供等同于歐盟數據保護標準的保護措施，才能獲得歐盟成員國所保存、管理的個人數據。美歐簽署《安全港協議》之初，阻礙美歐間數據流動的壁壘一掃而空，促使兩大經濟體之間的數字貿易交往十分密切、數據跨境流動暢通無阻，但隨著時間推移，美歐對于個人信息保護基本立場的沖突逐漸顯現，甚至愈發激烈，最后歐洲法院判定“2000／520號”歐盟決定無效，宣告《安全港協議》失效?！栋踩蹍f議》的失效并不出人意外，因為無論哪一項國際條約和協定的簽署均以雙方的共同期望和信任為基礎，《安全港協議》也不例外，美國在簽署《安全港協議》時，僅為解決當下難以從歐盟獲取個人信息數據的問題，并非真正認同歐盟對于個人信息保護的標準。正所謂“道不同不相為謀”，美歐簽署《安全港協議》僅能獲得暫時性的和諧和數據流動，而它的失敗是可以預見的。

　　2.美歐談判的繼續

　　繼《安全港協議》失敗，美歐就個人數據保護問題再次開展談判，并最終于2016年簽署《隱私盾協議》（the eu-us privacy shield），該協議為美國設定了更多數據保護方面的責任和義務。此外，根據《隱私盾協議》約定，如果歐盟成員國的數據主體如果對協議本身或執行不滿，可以直接向本國的數據保護機關投訴，數據保護機關根據投訴進行調查，若查證屬實，則有權作出中止數據流通的決定，這無疑是為歐盟境內數據主體提供了多重救濟途徑。歐盟成員國數據保護機關所享有這種決定權，對于美國來說，無疑是一個“定時炸彈”，時刻威脅著美歐雙方數字經濟合作的持續性和穩定性。而且，由于維護國家安全一直是美國發展理念的重中之重，相較于歐盟核心關注個人信息保護，美國對個人信息保護重視程度弱于國家安全，雙方在核心利益上的差異使得《隱私盾協議》難以產生預期的效果。

　　即使美歐雙方對《安全港協議》進行改進，來緩解歐洲法院對于個人信息保護不足的擔憂，但又即將面臨新一輪的法律挑戰，上述改進也只是杯水車薪。2020年7月16日歐洲法院正式宣布歐盟——美國《隱私盾協議》無效，起因是max schrems向愛爾蘭數據保護專員提起訴訟，認為facebook愛爾蘭不能使用sccs作為數據轉移機制，后愛爾蘭高等法院將該案移交給歐洲法院，經過審理，最后做出了上述決定。歐洲法院認為《隱私盾協議》無效的理由有二：首先，依據《隱私盾協議》的規定以及美國基于國家安全考量進行的情報收集，個人信息數據完全有可能被cia、fbi等情報部門獲取，從而造成個人信息數據的泄露，因此“隱私盾”協議并不能對個人信息達到預想的充分保護，同時，歐洲法院還發現美國立法中的隱私保護條款并未達到歐盟要求的標準；其次，在面對上述情形時，旨在處理歐盟成員國數據主體投訴的“隱私盾”監察員并不能采取有效措施，缺乏權威性和獨立性，根本無法對美國有關部門進行調查和約束?！峨[私盾協議》的失效使美歐之間的數據流動再次陷入了僵局，美歐之間產生嚴重的信任危機，雙方也開始繼續尋求新的契機。

　　3.美歐的第三次嘗試

　　2022年3月，歐盟與美國宣布推出新的數據安全流動協議《跨大西洋數據隱私框架》（trans-atlantic data privacy framework）。云服務供應商紛紛對此表示歡迎。拜登總統在宣布這項框架協議時指出，該框架強調了歐美雙方對隱私、數據保護和法治的共同承諾，它將“再次批準數據的跨大西洋流動，此舉有助于為雙邊價值7.1萬億美元的經貿關系提供便利”。2022年12月，歐盟委員會啟動了《歐盟——美國數據隱私框架充分性決定草案》（eu-u.s. data privacy framework）的推進進程，并且據歐盟委員會介紹，《草案》反映了其對美國法律框架的評估，并最終認定美國可以為從歐盟成員國轉移到美國的個人信息數據提供同等于歐盟標準的保護。

　　從歐美之間數據流動合作中不難看出美國對歐盟的妥協，雖然美國數據自由流動的規則模式不會被歐盟模式改變，卻也不能免于受其輻射影響，僅就這一點，對我國來說似乎具有一定的思考意義。

　　在區域談判中擴張

　　歐盟對數據的嚴格保護標準為歐盟數據筑起了一堵高墻，能夠獲得歐委會“充分性認定”的國家并不多，但是歐盟又是一個擁有巨大數字市場的區域，因此許多國家不得不與歐盟展開區域談判。

　　1.區域談判的開端

　　第一個在區域談判領域包含大量電子商務條款的協議是歐盟與智利于2002年簽署的歐盟——智利雙邊貿易協定，協定中不僅約定雙方進行電子商務合作，還將電子商務合作諸如信息技術、電信領域承諾以及服務章節等具體事項進行約定。此后，研究數據技術成為歐盟在電子商務領域創新的新重點，并作為是否與他國簽署雙邊貿易協議的重要考量標準。在歐盟——智利雙邊貿易協定中，雖未直接提及個人信息數據保護，但實際上歐盟已經將數字經濟貿易視為新的發展重點，必將涉及個人信息數據的保護。

　　2.區域談判的增多

　　繼歐盟和智利簽署雙邊貿易協定后，雙方在數字經濟合作和電子商務領域都取得長足的進展，其他國家紛紛效仿，例如歐盟和韓國在2010年簽署歐盟－韓國自由貿易協定、歐盟和加拿大在2017年簽署歐盟——加拿大全面經濟貿易協定。相較于歐盟——智利雙邊貿易協定，歐盟——韓國自由貿易協定在一定程度上借鑒了美國雙邊貿易協定范本，其不僅明確了wto協議可在哪些方面對電子商務措施進行規范，還制定出更為嚴格的個人新數據保護條款。一直以來，歐盟對于個人信息數據的保護非常重視，不斷將關于個人信息數據保護的法律框架向與其簽署雙邊貿易協定的國家擴張和推行，試圖將其他國家拉入歐盟數據流動范式陣營。目前，世界各國在消費者保護、承認電子簽名以及無紙化交易方面的合作越來越頻繁，而歐盟－加拿大全面經濟貿易協定為對電子商務領域作出更具體的規定，最終采取了負面清單方式，并在協定中就電子商務信任度和個人信息數據保護標準進行了約定。

　　此外，歐盟在和其他國家就電子商務和個人信息數據保護簽署協議的同時，也積極參與跨大西洋貿易和投資伙伴協定的談判。這些談判和協議是建立在這些國家改變國內立法和政策的基礎上，實現向歐盟模式靠攏。不妨設想一下，一旦越來越多的國家仿效歐盟數據保護規則，形成以歐盟數據保護標準為共識的數據自由流通區，那么不符合歐盟數據保護要求的國家將都被排除在外，面臨數據流動的障礙，歐盟模式產生的壁壘效果將進一步擴散，進而深刻影響全球數據治理格局。區域談判的進行和區域協議的達成，以循序漸進的方式進一步推廣歐盟gdpr數據保護標準在全球范圍內的接受程度，在可預見的未來，歐盟本身強大的經濟影響力或吸引更多的國家和企業遵守其數據保護規則。

　　三、歐盟范式擴張中中國的應對方案

　　隨著全球數據流動的不斷加強，歐盟數據流動范式不斷擴張，其他大國對數據跨境流動規則的博弈不斷加劇，我國不斷對外開放，需要提出符合中國特色的“中國方案”，依靠國內和國內兩個大循環聯動擴大我國數據跨境流動規則影響力，建立數字跨境流動“朋友圈”。

　　截至目前，國家安全和執法便利仍是我國數據跨境流動管理的主要目標，尚未將加強數字服務貿易交流、促進數字企業全球化發展納入管理目標。在數據流動全球化的背景下，這顯然是不利于擴大我國數據跨境流動規則，以及維護我國數據主權。在我國簽署的所有貿易協定中，只有rcep涉及數據跨境流動，并且該規定也僅是原則性，較為模糊、抽象，不能通過爭端解決機制獲得救濟。同時，歐美國家不斷對數據主張長臂管轄權，而我國受制于現行的數據流動規則的限制。一方面，難以協議方式與歐美國家進行數據傳輸，另一方面，還可能面臨“規則排除”的不利境地。近年來，部分國內企業基于商業目的進行的數據跨境流動引起歐美國家的指責，就是很好的例證。歐盟以很小的市場份額，卻利用其法律制度領域的傳統優勢，一躍成為大多數國家制定國內立法的“標桿”。

　　結合當前歐盟數據流動范式不斷擴大，立足我國目前數據跨境管理現狀，下文提出我國應采取何種應對措施。

　　提高中國數據保護水準

　　歐盟的充分性認定標準，實際上是將歐盟的法律框架強加給其他非歐盟國家，我國對此不能全盤接受，但這并不意味著不能吸納歐盟法律中的可取之處?；谖覈鴶底纸洕念I先地位，存在一批市場規模較大、技術先進以及發展良好的企業，對于這些企業，可以按照其所在行業和特點進行分類，并將相同或類似的企業集中到一起，借鑒歐盟個人信息數據保護項下的立法，專門設立能夠滿足我國和歐盟需要的標準協議框架，另外再從國家層面與歐盟簽署雙邊協議以保證前述協議的有效與執行。

　　豐富外部合作機制

　　一方面，中國要加強中歐合作，繼續保持“中歐對話”的傳統優勢，繼續推進與歐盟之間的數字經濟合作，在抵御歐盟規則條款影響力的同時積極向外展示強大的數字經濟實力。另一方面，我國應積極參與區域數字經濟合作和區域數字信息保護，努力建設我國的數據保護“朋友圈”，應當深入分析gdpr的具體內容，提出針對性的申請意見，參與區域性數據流動規則體系建構。

　　建立多方安全計算與區塊鏈結構

　　面對歐盟數據流動范式，我國應通過借助新興技術，開展多方安全計算架構，搭建新平臺，提升數據應用技術水平，實現數據利用和數據保護的動態平衡。對于我國企業而言，更應將多方安全計算與區塊鏈等新興安全技術引入到企業內，在保證數據正常利用的同時，保護本企業所收集、保存的個人信息。在具體實踐中，參考gdpr的保護標準，搭建符合我國特色的多方安全計算與區塊鏈技術結構，并將該架構用于數字貿易活動，以實踐來驗證該架構的合理性以及不足之處。

　　提出數據跨境流動的“中國方案”

　　中國是數據資源大國，在不能全盤接受歐盟法律規制框架的前提下，立足我國基本情況，尋求本土規則，建立“中國方案”，是中國數據保護發展的重中之重。歐盟模式并非最佳方案，不僅審慎分析歐盟法律規制框架的潛在風險，對于數據保護標準條款、充分性認定等具有歐盟特色的法律工具，更要慎之又慎。中國數據保護的重心在于本土數據的對外流動控制，不僅要避免陷入個人信息數據保護標準的惡性競爭，還有要在全局上統籌，在聚焦個人信息數據保護的同時時刻關注非個人信息數據的流動，積極探索并建構價值中立、適宜法律趨同的法律工具。

　　2022年7月7日，國家互聯網信息辦公室公布《數據出境安全評估辦法》，標志著我國數據出境管理制度取得重大進步，但這僅僅是數據跨境流動“中國方案”的一部分，還是遠遠不夠的，仍然需要做好以下幾點：第一，以《全球數據安全倡議》為基礎，立足我國數據執法、數據管理、數據安全等重要情況，研究分析gdpr的潛在不利風險予以自警，提出“中國版”解決方案，原則上可以“準許流動為主+本地化為輔+安全評估例外”為主要模式，對以商業為目的數據流動，可放寬本地化要求，實現針對不同情況予以不同的管理標準，實現張弛有度，有的放矢。第二，將與重要貿易伙伴簽訂雙邊或多邊協議作為突破口，其中以與我國貿易交往密切、政治信用好、發展潛力大為首選對象，為我國數據跨境流動“朋友圈”擴容，在抵御歐盟數據流動規則范式不斷擴張的同時主動出擊建立我國自己的數據流動規則并加以推行。第三，確保我國國內立法與對外談判需要相銜接，如：有關個人信息保護、數據安全的立法，避免出現“兩張皮”。此外，進一步完善數據分類管理機制，具體體現為將數據按照重要程度進行分類，并按照分類執行嚴格標準不同的管理方式，但需要注意，并不能因管理數據跨境流動的需要，過分限制非敏感數據的流動，否則將不利于科學研究和信息互通。第四，鼓勵“先行先試”，尤其是在自貿港和自貿區進行數據安全流動區域性改革，并支持浙江、深圳、海南、上海、北京等國內經濟發展較好地區推進數據跨境流動安全管理試點，不斷總結出“中國方案”。

　　四、結語

　　強化數據保護是互聯網時代下的大勢所趨，也將必然成為新一輪全球規則制定的焦點，長期的立法實踐和完善的監管體系使得歐盟數據規則模式具備一定的可行性，其強調數據保護的特色使得世界諸多國家仿效。歐盟數據流動規則模式是歐洲建立數字歐洲的手段，是為了形成歐洲本土優勢，打造歐洲式規則，并試圖將這種規則上位成一個全球性的隱私保護規則。當各國或地區因為各種原因而紛紛靠近或者接受歐盟的規則之后，那么歐盟就徹底獲得了在數字貿易數字經濟這個領域的領先地位，并且不斷在該領域鞏固和強化其領導地位。歐盟通過建立數據流動規則范式，設置諸多雙邊數字經濟合作門檻，將諸如合規成本飆升、數據控制責任過嚴等不利經濟后果中很大一部分將由歐盟外的數字經濟大國負擔。實際上，自歐盟出臺gdpr，facebook和谷歌因為在分享用戶數據方面面臨訴訟，可能遭受高達30多億歐元的罰款。無獨有偶，marry meeker也在近期發布的互聯網趨勢報告中說明，gdpr附加給個人數據管理者和控制者的義務過重，繁重的義務必將阻礙個人數據管理者運用和管理數據。

　　一方面，我國要慎重對待歐盟關于個人數據流動執法，盡可能通過國際磋商和政治談判方式解決我國法律與gdpr之間的沖突，進而幫助我國企業在歐盟國家以及和歐盟達成“對等充分性”協議國家的經營發展；另一方面，在保持數字經濟領先地位的同時，建立我國自己的數據流動規則。最后，可以對歐盟范式擴張這一效應進行思考與借鑒，從內部立法與外部合作兩個方面做出調整，并保留本土優勢，在國際舞臺上表明我國在數據跨境流動領域的態度和立場，提出“中國方案”。

更多精彩，請關注“官方微信”