跨境信息流动专题研究

跨境信息流动专题研究

数字经济时代，数据是新的生产要素，也是基础性资源和战略性资源。随着云计算、大数据的快速发展，跨境信息流动规模化、频繁化趋势明显。当前，各国受限于国内、国际发展情况，对跨境信息流动的监管要求不统一，围绕跨境信息流动的国际谈判将成为不可避免的重要议题。一概论（一）概念界定及研究范围当前，全球对于跨境信息流动还未有统一的定义。跨境信息流动在中文中有跨境数据流动、跨境数据转移等不同表述方式；英文表述中，联合国、OECD、欧盟等常使用“TransborderDataFlow”一词，而美国、澳大利亚等常使用“Cross-borderDataFlow”一词，一些文献，尤其是早期的文献常常使用“信息自由流动”即“FreeFlowofInformation”。表1国际组织及各国对跨境信息流动的概念界定国家/国际组织概念名称概念内容来源OECDTransborderDataFlow个人数据的跨越国界流动《保护隐私和个人数据跨境流动的指导方针》联合国TransborderDataFlow跨越国界对存储在计算机中的机器可读的数据进行处理、存储和检索跨国公司中心澳大利亚Cross-borderDataFlow跨境信息流动应当以是否被澳大利亚国界以外接入进行区分：如果个人数据存储于澳大利亚，却在澳大利亚境外被访问的话，即可被视为跨境转移。如果个人数据仅仅因为路由器缘故短暂存储于澳大利亚境外，却没有被访问的话，可以不受《隐私法》关于跨境信息流动原则的约束澳大利亚法律改革委员会（ALRC）对《隐私法》的解释中国数据出境数据出境，是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据，提供给位于境外的机构、组织、个人《个人信息和重要数据出境安全评估办法（征求意见稿）》|Excel下载表1国际组织及各国对跨境信息流动的概念界定从字面意思来看，跨境信息流动包含“跨境”“信息”“流动”三个关键词。“跨境”的含义一般指跨越国境，之所以与国际贸易中规定的“跨越关境”有所区别，主要源于跨境信息流动不涉及关税、检验检疫、通关等系列海关流程，却与一国法律法规政策密切相关。“信息”在国外各项文件表述中有“Data”“Information”，“Information”（信息）的含义一般来讲比较宽泛，包含所有的信息流动，包括媒体信息、宣传信息等，“Data”（数据）的表述相对狭义，集中于个人、商业部门、公共部门生活、运营过程中实际的数据。关于信息的种类，当前国际上还未有统一的分类规定，各国际组织、世界各国按照自身实际需求在相关法律条文、规定中，对不同的跨境数据进行说明，主要有政府数据、个人数据、敏感数据、重要数据等。表2关于跨境信息流动中具体信息类别的说明具体内容来源OECD个人资料是指任何关于一个被识别或可以被识别的自然人（本人）的信息，其形式不仅限于电脑处理的个人资料，还包括人工处理的个人资料《保护隐私和个人数据跨境流动的指导方针》美国信息隐私又称个人信息隐私，是指自然人对其个人信息的保密、公开和支配、控制享有的隐私权。信息隐私主要涉及以下两个方面的内容：①对个人信息的保密、公开和利用的利益；②支配、控制已公开的个人信息的利益《隐私权法》加拿大个人信息为“个人识别信息”，但不包括姓名、职务、办公地址、办公电话《个人信息保护和电子文件法》中国个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等《个人信息和重要数据出境安全评估办法》重要数据，是指与国家安全、经济发展，以及社会公共利益密切相关的数据，具体范围参照国家有关标准和重要数据识别指南澳大利亚政府数据指的是涉及公众的业务和权力的数据、机关工作手册、涉及公众的决策和建议的文件1982年《信息自由法》健康数据指的是：①关于个人健康或身体残疾的数据；②个人目前或将来可能接受的治疗情况的数据；③在治疗过程中收集或提供的数据；④个人与身份组织、器官捐献有关的数据；⑤能够对个人健康状况起到预测作用的或可证明与其他人亲缘关系的个人基因数据《个人控制的电子健康记录法》（PCEHR）、1988年《隐私法》个人数据指的是理论及实践中可识别个人身份的数据及观点，无论数据或观点是否真实或以物质形式记录。可识别的个人数据包括了个人的全名、别名或曾用名，个人生日，个人性别，个人目前的住址或曾经住址（之前两个），个人目前雇主或之前雇主姓名，个人的驾驶证件号码《隐私法》|Excel下载表2关于跨境信息流动中具体信息类别的说明“流动”一词有“flow”“transfer”，但内涵基本相同，数据被跨境读取、处理、存储、转移等都属于流动范畴。需要注意的是，境外数据由一国境内中转，但未经任何变动或加工处理的情形不属于本国跨境信息流动的管理范畴。同时，对于一国而言，有数据出口和数据进口之分，一般而言，数据进口国很少会自发制定政策限制数据流入，国际谈判也主要集中于数据出口管理政策。鉴于此，本报告中，跨境信息流动是指数据通过互联网和信息系统跨越国家边境的运动。跨境信息流动政策、立场、管理措施是指面向数据出口的相关规定。（二）基本判断：跨境信息流动是数字经济发展的必然以互联网为代表的信息技术不断加速与经济社会各领域深度融合，全球正处于从工业经济迈向数字经济的重要历史机遇期，数据成为驱动经济社会创新发展的重要动力。在全球经济一体化的背景下，全球跨境数据量迅猛增长，跨境信息流动成为不可避免的发展态势。当前，跨境信息流动面临的问题，主要是各国对于数据保护、数据跨境监管的法律规定不统一。由于各国经济发展水平、信息产业结构、政治意识形态等方面的不同，且跨境信息流动不仅影响到经济的发展，而且影响到国家安全、公众利益，因此，各国对于跨境信息流动的主张、管理等方面都有所差异。这也成为跨境信息流动在国际谈判中日益重要的原因。未来，随着互联网与经济社会的深度融合，跨境信息流动的国际谈判将占有越来越重要的地位。这既是不可避免的趋势，也是我们必须要提前应对的重要议题。二各国跨境信息流动决策因素及管理措施（一）各国跨境信息流动立场决策因素由于数据中包含了诸多信息，随着跨境信息流动规模的不断扩大，信息安全日益成为各个国际组织和国家关注的重点，各国纷纷出台相关文件和法律对其进行规范和监管，旨在平衡跨境信息流动中涉及的国家安全、产业发展和消费者保护三者的关系。总体来看，一国跨境信息流动相关政策的制定受国内和国外两方面因素的影响。国内因素主要包括经济发展、国家安全和公众利益三个方面。经济发展主要围绕跨境信息流动相关产业在国家经济发展中的地位和作用，包括信息产业的发展规模、产业结构和就业带动水平。经济发展指标主要代表了国家经济发展、企业发展的利益，一般来讲，一国信息产业中数字服务产业规模越大、占比越高，其对降低跨境信息流动限制的诉求越大。国家安全主要是指跨境信息流动对国家安全的影响、网络治理原则、网络安全保障能力等方面。国家安全包括政治安全、经济安全、国土安全、社会安全、网络安全等。一国网络主权意识、网络安全保障能力均能够影响一国对跨境信息流动的限制手段。公众利益主要围绕一国的个人隐私保护基础和要求，个人数据保护意识、已有的法律基础等因素会影响到一国在跨境信息流动方面的管理方式。一般来讲，个人隐私保护相关法律基础越完善，社会文化传统对个人隐私保护的要求越高，在推进跨境信息流动时，所需满足的个人隐私保护的要求越高。国际因素主要包括国际治理原则、国际承诺、政治利益、贸易关系等几方面的内容。国际治理原则是指一国对于自由贸易的态度，以及对国际数字经济秩序、规则等相关方面的态度和立场。国际承诺指一国在多边、双边协定中已经做出的跨境信息流动相关承诺。政治利益和贸易关系侧重一国与美国、欧盟等具有明确国际主张并正在积极推动的国家间的政治、贸易关系。一般来讲，与其有密切的政治利益关系、经济关系的国家更容易受到相关主张的影响。表3各国跨境信息流动决策因素决策因素关注点说明国内国家安全国家安全影响跨境信息流动对一国国家安全（政治安全、经济安全、国土安全、社会安全、网络安全）等方面的影响网络治理原则对网络管辖权、网络内容、网络执法等方面的原则和要求网络安全保障能力一国网络安全保障技术水平、产业发展水平以及防御能力经济发展信息产业发展规模一国在ICT、数字产品、云计算、大数据、物联网等相关行业的发展水平信息产业结构包括一国传统信息产业、平台企业、新型数字服务企业发展占比、竞争优势就业带动水平跨境信息流动相关产业对一国就业的带动作用公众利益数据保护意识社会对个人隐私保护的认识、要求程度已有法律基础一国国内法规在个人隐私保护方面的规定国际国家治理原则一国是否支持自由贸易，以及对国际数字经济秩序、规则的态度和立场国际承诺在多边、双边协定中所做出的相关承诺政治利益与美国、欧盟等主要国家的政治利益关系贸易关系与美国、欧盟等主要国家的贸易关系|Excel下载表3各国跨境信息流动决策因素（二）各国跨境信息流动管理措施全球各国对于跨境信息流动都有一定的管理措施，按照国家对跨境信息流动立场、态度不同，所采取的措施类别、严格程度也有所差别。总体来看，主要采取分级分类的方式进行管理，通过对数据的重要程度进行区分，采取不同级别的限制措施。一般来讲，限制措施主要包括完全禁止跨境传输、数据本地化管理、第三国适当性评估、风险评估、数据控制者担保、数据主体同意等。1.完全禁止跨境传输对于涉及国家安全、军事机密、个人关键信息等敏感数据，各国均做出了禁止跨境流动的规定，但各个国家对于敏感数据的界定不尽相同。禁止跨境传输能够保护敏感数据，进一步保障国家安全和公众利益。但同时也会带来两方面的问题，一是过量禁止跨境信息流动会阻碍正常的商业活动，不利于本国数字经济发展。二是国际组织在各类宣言、文件中普遍强调，成员国不可对信息传输施加超出实现目标所需要的限制。因此，过多限制跨境信息传输可能会在国际谈判中处于不利地位。表4各国禁止跨境传输相关政策汇总国家具体规定内容美国2016年美国发布的《1075——联邦、州和地方机构税收信息安全指南》规定联邦机构必须将税收系统的接收、处理、储存或转移地限制在美国领土、大使馆或军事驻地内澳大利亚澳大利亚《个人控制的电子健康记录法》将与消费者有关的个人数据与个人健康数据区分开，规定禁止可识别个人身份的健康数据向澳大利亚以外地区传输，例外事项除外印度印度在建立本地基础设施的基础上，要求存储在这些企业的公民个人信息、政府信息和公司信息不得转移至境外新西兰公司把商业记录信息存储在境内法国对电子通信网络进行侦听的系统必须在境内建立和实施|Excel下载表4各国禁止跨境传输相关政策汇总2.数据本地化管理数据存储本地化方式主要包括设施本地化、数据本地化。设施本地化要求企业使用数据来源国的存储设施进行数据存储、处理。数据本地化要求将数据存储在数据来源国境内。数据本地化并非禁止数据的跨境传输，因此并不等同于禁止跨境信息流动。数据本地化政策的优点有三：一是有助于促进本国数字产业的发展，设施本地化能够促进本国相关硬件产业的发展，而数据的本地化必然使企业增加投资，拉动就业；二是有助于本国执法，数据存储在境内，为国内的行政机构、司法机构开展犯罪侦查、保护国家安全提供了方便；三是有助于本国数据管理，在数据本地化存储的基础上，各国可以根据自身需求，在对数据进行合理限制和规范的基础上进行跨境流动，从而防止数据的滥用。但数据本地化管理并不能完全保障数据安全。互联网时代的数据安全保护主要取决于网络安全保障和防护能力。若一国网络安全防护能力较差，则数据集中存储反而更容易受到网络攻击，导致重要数据的泄露。表5各国数据本地化相关政策汇总国家限制数据美国2015年发布修订规则，要求所有云计算服务提供商在国内存储数据加拿大（不列颠哥伦比亚、新斯科舍省）强制要求公共机构（如学校、医院）保存的个人数据必须在加拿大存储和访问俄罗斯2014年底通过了《数据本土化法》（FederalLawNo.526-FZ），要求所有搜集俄罗斯公民个人数据的数据控制者都应当将其服务器设置在俄罗斯境内越南要求企业的搜索引擎、数据中心和云服务的数据应当存储在境内尼日利亚所有的ATM国内交易应当通过本地的路由器，并且不得在境外处理交易路由器委内瑞拉国内支付交易应当在境内处理丹麦、挪威禁止使用服务器在境外的云服务韩国金融机构的服务器应当存储在境内巴西要求Google、Facebook等公司在境内建立数据中心|Excel下载表5各国数据本地化相关政策汇总3.第三国适当性评估第三国适当性评估是指将数据保护水平的充分性作为与境外国家传输跨境信息的前提。第三国适当性评估的主要目的是保护数据安全、防止数据滥用。由于各国对数据保护标准和水平不同，第三国适当性评估更有利于保证本国数据受到应有的保护。但其执行情况受限于评估标准，评估标准中的主观性指标，往往更容易加入一国政府的政治考虑。表6各国第三国适当性评估相关政策汇总国家限制措施欧盟《指令》第四章专门规定个人数据向非成员国跨境转移的规则。其第25条规定，成员国必须确保跨境数据转移的前提是第三国为个人数据提供了适当水平的保护，第三国适当性评估由欧盟委员会根据第三国的所有情况以决议形式做出2016年《指令》的《通用条例》第45条详细规定了欧盟委员会对第三国进行适当性评估时应当考虑的因素俄罗斯《个人数据保护法》第12条第1款规定，数据向第三国转移的，数据控制者应当确认第三国提供了“充分水平的保护”《个人数据保护法》第12条第2款还规定，即使第三国提供了充分水平的保护，俄罗斯当局也可以以国家安全、国家防卫、保护公众合法权益为由禁止或者进一步限制数据转移澳大利亚《数据安全分类系统》中规定政府数据方面，当数据通过双边安全文书希望实现互惠的分类数据保护时，需要采取与澳大利亚保护性安全标识类似的措施，以保证数据被置于不低于提供数据一方政府要求的保护水平|Excel下载表6各国第三国适当性评估相关政策汇总4.风险评估风险评估是指在数据出口前，由相关主管部门对数据进行评估，识别其潜在风险，并采取相应措施防范安全风险。这一管理方式，优点是防范了数据风险，缺点是增加了政府的监管成本，对于出口较为频繁的数据，多次审批也降低了企业效率。表7各国风险评估相关政策汇总国家限制措施澳大利亚《政府信息外包、高岸存储和处理ICT安排政策与风险管理指南》将政府信息分级，其中对于非保密的信息，要求政府机构进行安全风险评估之后才能实施外包加拿大《关于解决美国爱国者法案和跨境信息流动问题的联邦战略》中财政委员会要求每一个政府机构对数据处理合同进行评估以识别任何与美国爱国者法案相关的潜在风险，评估风险层级，并且采取修正措施来解决安全风险问题美国《出口管理条例》（EAR）和《国际军火交易条例》（ITAR）分别对非军用和军用的相关技术数据进行出口许可管理|Excel下载表7各国风险评估相关政策汇总5.数据控制者担保数据控制者担保是要求企业在跨境信息传输时通过合同、条款等方式对数据的安全性和使用合法性进行担保。这一管理方式将保护数据安全、防止数据滥用的责任由政府转移到企业。这一管理方式的优点是将数据保护机制回归到市场机制，鼓励企业为了迎合消费者要求而保障数据安全可靠，减轻了政府的行政审批压力。缺点是：一方面，这一机制需要企业有较高的自律水平；另一方面，对于中小企业来说，操作成本较高。表8各国数据控制者担保相关数据汇总国家限制措施澳大利亚数据控制者在向第三国数据接收者转移个人数据之前，原则上必须采取“在当时情况下所有合理措施”确保第三国接收者并没有违反澳大利亚隐私原则（透明原则除外）|Excel下载表8各国数据控制者担保相关数据汇总6.数据主体同意数据主体同意方式是指企业在数据出口前须获得数据主体的同意。该方式的优点是赋予消费者以控制数据传输及使用的权利，强调数据主体对数据使用的责任，但有三个方面的缺点：一是数据保护水平取决于消费者隐私保护意识，二是企业可以通过多种形式控制消费者的选择，三是增加了企业数据处理成本。表9各国数据主体同意相关政策汇总国家限制措施泰国《个人信息保护法》草案将要求在海外数据转移之前，数据主体必须以书面形式向海外转移者做出具体同意，同时转移目的地国的个人资料保护法必须能足够保护信息日本《个人数据保护法》第23条规定了向第三者提供的限制。日本境内的第三者以及日本境外的第三者都受该条约束《经济与工业领域个人数据保护指南》规定，同意的方式包括口头和书面的同意，以及点击网页上有关同意的确认键。考虑到数据主体做出同意后又可能要求数据提供者停止向第三者提供的情况，该法做了相关规定|Excel下载表9各国数据主体同意相关政策汇总（三）典型国家分析1.美国（1）基本立场：支持自由的跨境信息流动美国支持跨境数据流自由流动，并长期致力于在全球范围内消除跨境数据流自由流动障碍。从决策因素来看，美国以推动经济发展为主。首先，美国数字服务产业发展全球领先。美国是全球经济、军事和科技实力最强的国家，以互联网和跨境数据流为基础的数字服务产业和跨国公司发展一直处于世界领先的地位。跨境信息自由流动是支持数字服务产业发展的基础，对跨境数据流进行大规模限制不符合国家利益。其次，美国偏向限制政府权力。美国对个人信息保护采取宽松态度，将企业责任最小化至公共责任，以商业力量保护消费者信息。（2）管理手段：以行业自律为主美国没有专门出台一部针对跨境数据流的数据保护法规，有关数据出口的限制和法规零散出现在各领域法案中，重点管理军用数据、技术数据、关键基础设施数据、关键个人数据的跨境流动。对于技术数据，美国在《出口管理条例》《国际军火交易条例》中分别对非军用和军用的相关技术数据进行出口许可管理。提供数据处理服务的相关主体或者掌握数据所有权的相关主体在数据出口时，必须获得法律规定的出口许可证。其中，美国法律对数据出口的管理范围非常宽泛，即使是向美国境内的外国公民传递数据，也被视为出口。对于基础设施数据，美国对包括商用核设施、政府设施、交通系统、银行和金融、国防工业基地等在内的关键信息基础设施领域的跨境信息流动进行了严格的限制和管理。美国在其《国家基础设施保护计划》（2013）中指出，影响关键基础设施的风险环境是复杂的和不断变化的。长期以来，关键基础设施一直受物理威胁和自然灾害的影响，而现在网络威胁越来越明显，诸如网络安全漏洞、网络攻击的信息技术和网络威胁对关键基础设施产生重要影响。不断增长的数据和信息对于运营和维护基础设施非常必要，但是这些数据和信息很容易受到非法访问，并影响其保密性、完整性和可用性。对于重要行业和个人数据，美国出台了多项法案进行管理。例如，在电信领域，CFIUS会要求国外投资者与其下设的电信小组签署安全协定，要求其国内通信基础设施应位于美国境内，将通信数据、交易数据、用户信息等仅存储在美国境内。（3）国际策略：积极在全球范围内推动跨境数据流自由流动美国通过多双边谈判积极推行跨境数据自由流动。美国在韩美自贸协定、WTO、TPP、TTIP、TISA等多边谈判以及各类国际论坛中将推进跨境数据自由流动作为重点议题，其中TPP中集成了美国认为最全面、最高标准的数字标准规则。随着特朗普上台及其贸易政策方向从以规则为基础的多边主义向以实力、实用为基础的双边主义转变，美国正式退出TPP。TTIP、TISA等多双边协定目前也处于暂停状态。但这并不意味着美国关于数字贸易规则的立场和诉求会发生重大改变，在USTR发布的《2017年贸易政策议程和2016年年度报告》中，“总统贸易政策议程”部分最高优先事项一节，明确点出美国企业由于别国封堵或不合理地限制数据和数字服务的流动以及窃取交易秘密而受到损害，为此，美国政府将利用所有可能的杠杆鼓励其他国家开放市场，给美国企业提供公平、互惠的市场准入。2.欧盟（1）基本立场：支持“充分保护”条件下的跨境信息流动首先，欧盟高度重视个人数据保护。欧盟关注个人数据跨境流动中涉及的隐私问题，将个人信息保护视为人权的一部分，其监管出发点是严格控制个人数据流动。其次，欧盟数字服务产业落后于北美。欧洲是全球发达国家较为集中的区域，但是总体来讲，其信息产业发展与北美该产业差距巨大。例如，与北美地区（美国和加拿大）同行相比，欧洲云计算企业在融资、企业价值、并购等方面处于显著弱势。2012年北美云计算市场平均季度融资比欧洲高1倍有余，平均企业价值高于欧洲33%，企业并购情况是欧洲的1.5倍。（2）管理措施：全面、严格的管理体系欧盟通过《欧洲理事会108号公约》、《数据保护指令》（1995）、《欧盟议会和欧盟理事会关于共同体机构和组织处理个人数据和促进这些数据自由流动的个人数据保护》（2000）、《通用数据保护条例》（2015）等文件对个人数据的隐私保护进行了全面、严格的规定，形成了严格、全面的管理体系（具体内容将在报告第三部分详细阐述）。欧盟关于跨境信息流动的规制对欧盟国和非欧盟国划分了明确的界限。因此，一些国家为促进本国的电子商务或数字产业发展，与欧盟签订了数据保护相关的协议。例如，2016年通过的《美国-欧盟隐私护盾》，提出了七大原则，支持美欧之间的跨境信息流动。总体来看，欧盟以保护为优先的策略，虽然加强了个人数据保护，但严厉的保护措施阻碍了企业的利益，不利于产业培养。未来，欧盟有望适当放宽数据跨境流动的规制，促进产业发展。2017年3月欧洲委员会发布数字化单一市场（DigitalSingleMarket，DSM）中期报告，旨在破除电子商务发展障碍、发展跨境电子活动。数据方面，委员会表示他们正准备在2017年秋天出台一部关于非个人数据跨境自由流动的法律。3.俄罗斯（1）基本立场：“安全为先”，限制跨境信息流动俄罗斯是典型的以保障国家安全为首要考虑因素的国家。2013年斯诺登揭露了美国全球监控计划，出于本国安全的担忧，俄罗斯开始考虑加强网络监控和强化数据跨境流动管理。俄罗斯信息政策和信息技术及通信委员会的一名发言人曾于棱镜门事件后呼吁俄罗斯应该加强其“数据主权”，通过立法要求电子邮件、社交网站等企业将其收集的俄罗斯用户的数据在俄境内留存。（2）管理措施：严格的数据本地化管理俄罗斯对跨境信息流动管理的态度经历了“由宽到严”的转变。2006年，俄罗斯通过了两部数据管理相关法律，分别是《关于信息、信息技术和信息保护法》《俄罗斯联邦个人数据法》，核心在于防范对数据的非法获取、使用，保护公民在个人信息处理中的权利和义务。棱镜门事件后，俄罗斯于2015年5月、7月两次对这两部数据管理相关法律进行修改，基本确立了数据本地存储的基本规则。三国际组织跨境隐私规则体系分析（一）基本情况随着经济全球化和数字经济的发展，国际社会对跨境信息流动关注度逐渐提高，往往依靠单一国家制定政策很难协调两国之间的信息流动问题，因此，各国际组织纷纷出台政策对跨境信息流动进行规定和治理。目前，各国际组织制定跨境信息流规则的基本情况如图1所示。图1国际组织制定规则的基本情况1.发展与保护的平衡是前提，但在规范过程中各有侧重国际组织在制定规则时，都是在发展和保护两个条件下寻求一个平衡点，但是由于各组织出发点不同，因此在制定规则过程中各有侧重。大部分经济组织都以发展为前提，制定规则的过程中更注重不应因数据保护而损害发展。而欧盟则将个人信息保护置于发展之前进行考量。因此，在具体实施过程中，经济组织的规则往往开放性较强，而欧盟的规则对信息保护的要求更加严格。2.覆盖范围较广的国际组织规则推进步履维艰，区域性国际组织规则更具可操作性跨境信息流动谈判参与方越多，规则制定复杂程度就越高，尤其是在参与方各国经济、科技、文化等各方面发展水平不一致的情况下，就更难找到合乎各方利益的准则。大部分覆盖范围广的国际组织在制定跨境信息流动规则时举步维艰，目前，多数可操作性强、可落地的规则都是由区域性国际组织制定的。例如，WTO面向的国家众多，且各国发展水平差异较大，发达国家和发展中国家诉求不同导致在谈判中矛盾难以调和，在制定跨境信息规则的过程中陷入谈判的僵局，难以推进。由于欧洲各国发展步伐较一致，欧盟早期成员均为发达国家，目前发达国家成员依然占大多数，无论是经济、技术还是政治、文化等方面，欧盟都经过了长期的磨合与发展，因此在推广规则时能够事半功倍，目前欧盟内部已经形成了较完善的闭环，信息在欧盟内实现了自由流动。APEC的CBPR体系也具有较强的可操作性。3.企业层面规则可操作性更强，国家层面规则往往缺乏约束力国际层面的规则由于需要各方长期谈判，约束力较强的国际规则很难制定，因此，大部分国际组织，如OECD、APEC、G20等在国家层面出具的都是原则性、指导性和倡议性的规则，这类规则的约束力较弱，主要依靠企业、行业自律。在操作层面，企业往往是跨境数据流动的主体，面向企业的规则体系往往更具备可操作性。欧盟BCR体系和APEC的CBPR体系是目前最受关注的两大规则体系，二者都是针对企业而制定的，企业可以申请加入规则体系，并保证企业内部信息流动的安全，接受专门机构的审查，即可实现在规定范围内信息跨境流动。企业规则对超级跨国公司意义重大，在国家级谈判推动停滞时，当企业需求足以支付单独加入规则的成本时，就有了新的选择。因此这类规则在可操作性方面更强，也成为当前各国信息跨境新的聚焦点。（二）欧盟、APEC跨境隐私规则体系分析1.欧盟欧盟于1995年颁布了《有关个人数据处理中的个人保护与所涉及的数据自由流通的第95/46/EC号指令》（以下简称《指令》），此后，第29条工作组配合《指令》实施发布了一系列解释文件和指导性文件，共同构成了应用至今的欧盟跨境数据保护机制。《指令》为欧盟建立了统一的信息保护机制，解决了内部成员国内部的信息流动问题，在欧盟各国禁止限制个人信息跨境流动。同时，《指令》对欧盟之外的国家和企业也做了相关的规定，主要包括充分保护原则和例外规定。例外规定包括法定例外和三种保护措施。目前受关注最多的是三种保护措施中针对跨国企业的BCR规则。BCR规则是当企业所在国不符合充分保护原则时，企业为进入欧盟国家而自愿申请的自律性规则，由跨国公司制定，规定企业内部数据处理和转移，具有法律约束力。BCR规则经过批准可认定企业符合《数据保护指令》第二十六条第二款中“适当保障措施”的条件，成为“充分保护”例外情况，通过保障大型跨国企业内部信息的安全，赋予欧盟内跨国公司进行内部数据的跨境转移的权利。但是BCR审批程序复杂而不确定，并且审批时间漫长，前期申请成本和后期维护成本较高，只适用于大型跨国企业，一般企业并不适用。2016年5月，欧盟发布了《一般数据保护条例》（以下简称《条例》），并将于2018年5月27日正式生效，从而取代正式的《指令》。《条例》统一了此前由《指令》和系列解释文件构成的数据保护规则，并在其基础上进行了补充和完善，强化了个人权利，明确了执行、监督、救济与制裁机制，以及相关实施标准。表10欧盟《指令》与《条例》对比《指令》《条例》法律效力需要各成员国据此在本国立法并加以执行正式实施后将在欧盟范围内立即生效，无须成员国立法确认，减少了各成员国理解不同而产生的国内立法差异立法管辖权属地原则；

适用范围涵盖组织机构设立在境内的数据控制者及其所涉及的数据处理行为，以及使用了成员国境内的设备所进行的数据处理行为属地与属人原则相结合；

适用范围包括营业场所设立在欧盟境内的数据控制者和处理者所进行的数据处理活动，不论处理行为是否发生在欧盟境内，管辖范围更加宽泛数据转移规则规定了三个层级的数据转移规则

（1）第三国经欧盟委员会认定具有“充分保护”水平；

（2）数据转移满足法定例外的几种情形；

（3）保障措施：标准合同文本模式、约束性公司规则、安全港模式保留了《指令》的数据转移规则，并在此基础上进行了修补和完善：

（1）明确了“充分保护水平”的认定标准和实施条件，解除了“充分保护水平”认定时造成的误解；

（2）丰富了“法定例外条款”的相关内容；

（3）明确了“约束性公司规则”的法律地位，并对具体内容进行了进一步明确，倡导在欧盟范围内使用具有普遍认可度的数据保护印章与标识制度数据主体权利包括有权获取数据，有权知道数据源自何处，有权要求纠正不准确的数据，有权将不法处理数据者诉诸法律，有权在某些情形下收回其允许使用数据的许可等新增了更正权、被遗忘权、限制处理权、持续控制权等主体权利监管、救济与制裁（1）第29条工作组主要负责推进《指令》的落实；

（2）将救济与制裁具体规定的权利赋予各成员国（1）设置“欧洲数据保护委员会”，负责贯彻《条例》实施及相关数据保护工作；

（2）要求数据控制者设立“数据保护专员”

（3）个人数据主体可向监管机构进行投诉，或向法院起诉

（4）加大制裁力度规定违法的惩罚金额由成员国自行确定，惩罚上限处于欧盟立法中最高标准。一般性违法行为，罚款上限为1000万欧元或上年全球营业收入的2%（取较大值），严重违法行为或造成严重后果的，罚款上限为2000万欧元或上年全球营业收入的4%（取较大值）|Excel下载表10欧盟《指令》与《条例》对比2.APECAPEC积极致力于推动亚太地区的跨境信息流动。1998年，APEC部长通过了《电子商务行动蓝图》。2004年，APEC根据《电子商务行动蓝图》发布了APEC隐私框架。2007年，部长们通过了“APEC数据隐私探路者倡议”，以促进APEC隐私框架在国际层面的实施，该倡议中包含的共同承诺最终促成了APEC跨境隐私规则体系（以下简称“CBPR体系”）。APEC隐私框架主要内容为九大指导原则与帮助APEC经济体加强国内信息保护和促进APEC经济体之间跨境信息流动的实施指南。CBPR体系是针对APEC成员方经济体企业、由企业自愿加入的多边数据隐私保护计划。CBPR规则建立在APEC隐私框架的基础上，以企业为基本单元，致力于推动APEC隐私框架在成员国内获得更广泛的认可和实施。CBPR规则设计了三方规则相关者，包括隐私执法机构、问责代理机构和从事跨境信息流动的企业，形成规则问责和执法分离的双重审查机制。CBPR体系首先由APEC各成员经济体申请加入，需要设立一个隐私执法机构，同时要求一国至少拥有一个问责代理机构。问责代理机构是CBPR体系的重点与核心，APEC对其审核采取了十分严格的标准，申请加入的问责代理机构必须经过APEC成员国全体同意，申请才能获批，并且每年APEC都对其进行重新审核。问责代理机构取得资质后，管理范围内企业可申请隐私保护认证，申请提交后，机构根据避免伤害、提前通知、有限收集、个人信息使用、有选择使用、完整性、安全保障、授权和修改及问责原则，对申请企业进行问卷测评及审查，并对通过审核的企业进行保护信赖标识，授权其享有在体系内自由地进行个人信息的跨境转移而不受成员方经济体国内法限制的权利。目前，共有美国、墨西哥、日本、加拿大四个国家和22家企业（21家美国企业，1家日本企业）加入CBPR体系。3.BCR规则与CBPR体系的对比为调解各国及地区关于个人信息跨境流动时带来的隐私保护问题和贸易保护问题之间的矛盾，国际组织发挥作用，制定了一系列组织内统一的信息跨境