数据跨境流动跟十几年前相比已经大不相同,飞速发展的跨境电子商务企业、互联网企业等掌握大量跨境数据的跨国企业创造了众多商业机遇,对个人生活、工作产生了巨大的影响,在其掌握大量个人数据的同时也产生了个人信息保护的危机。面对庞大的数据跨境流动行为和愈发受到重视的个人信息保护问题,世界各国通过制定相关的跨境数据保护规则予以规范。由于各国立法习惯、政治文化背景等影响,导致世界各国在个人信息保护领域内采用的说法并不具有一致性。有学者认为个人信息权、个人数据权与隐私权并非一体,其中个人信息权主要是指个人对其自身信息具有支配权,而隐私权主要指个人对私生活的掌控、决定个人秘密是否公开等,两者在法律属性、客体等方面都存在差异。在实践中,采取个人数据、个人信息、隐私的做法皆有,甚至在同一国家内也存在混用的情况。针对这种情况,本文从各国立法的真实目的以及宗旨理解,认为在个人信息保护领域和个人数据跨境流动规则方面,各国并不存在本质性差异,故而本文并不区分个人信息、个人数据以及隐私。同时,由于互联网具有具有多中心、即时性等特征,导致个人数据常常在多个国家之间流动。在此情况下,跨境电子商务企业、互联网企业等跨国公司无需跨越物理意义上的的界限与阻隔,因此在技术角度上看个人数据跨境流动在网络空间十分容易实现。目前,数据跨境流动问题已经引发了各个数据大国的重视。以互联网行业为例,互联网企业在提供网络服务的商业行为中必然收集到大量的用户信息,并且这些数据往往都会跨越国境向分散在世界各地的互联网企业分支机构进行传递。在这个传递过程中,个人数据跨境行为就可能违反他国数据主权。违反他国个人信息保护规则,从而导致该互联网企业受到惩罚,甚至直接影响其业务发展。通常来说,个人数据具有双重属性。一方面基于个人数据的人格权属性,以欧盟为代表的国家视个人数据保护为一项基本人权,这些国家往往对个人数据跨境流动加以严格限制;另一方面,出于发展本国跨境电子商务企业、互联网企业等掌握大量个人数据企业的目的,这些国家的做法是支持数据跨境传输自由化。严格限制个人跨境数据流动和促进个人数据跨境流动自由化这两种相反的价值取向,始终贯穿个人数据跨境流动规则始终。欧盟和美国的做法恰恰体现了这两种相反的价值取向,欧盟把个人信息保护视作一项基本人权,而美国提倡行业自律,提倡隐私保护应当符合市场化发展规律。我国作为一个数据大国,如若要实现向数据强国的转变,促进我国优秀互联网企业、跨境电子商务企业在全球的发展,我国在个人信息保护领域还有许多地方要完善进步。2016年《网络安全法》由全国人大常委会审议通过并发布。作为我国网络安全领域的基础性法律,《网络安全法》充分体现了信息化发展与网络安全并重的安全发展观,其强调了对个人信息的保护,是保障公民网络空间的合法权益不受侵害、保障国家安全的重要手段。以此为基础,《信息安全技术个人信息安全规范》等一系列配套措施也正在紧锣密鼓的贯彻落实中。此外,我国还应大力提倡行业自律,鼓励国内领先的互联网企业发挥自己的优势,建立符合自身发展的数据合规工作和全球隐私政策,引领行业个人数据保护,平衡个人数据本地化储存与跨境流动的需求。本文以个人数据跨境流动规则为研究对象,从个人数据、个人信息与隐私出发,通过比较分析以欧盟和美国为代表的两大个人信息跨境流动规则,简述两大体系诞生的原因以及其发展,分析其背后成功以及失败的原因。在此基础之上,笔者认为中国在个人数据跨境流动方面可以学习美欧成功的经验,避免失败,探索和实践适合本国国情的个人数据跨境流动规则体系。在本文的导言部分,笔者首先提出了问题,表明了本文的研究价值与意义,并且概括了笔者阅读和学习的文献资料,接着笔者简述了本文主要研究方法以及论文结构,最后提出了本文的创新点与不足之处。本文正文部分一共四章,结语部分简单总结了本文的基本观点。第一章,笔者从“个人信息”、“个人数据”以及“隐私”入手,分析了不同国家对于个人信息或者个人数据的范围界定,由此得出三者之间并不存在本质区别的结论。另外从不同的法律文件、学者观点中,归纳了个人数据的类型。最后基于人身和财产双重属性,提出个人数据跨境流动的立法保护意义。第二章,笔者专注于欧盟针对个人信息保护立法工作以及其实践。首先介绍了欧盟关于个人信息保护立法与个人数据跨境流动规则的历史沿革,体现了欧盟将个人信息置于基本人权高度。接着介绍了欧盟针对个人数据跨境流动的严格立法中最亮眼的标准合同条款以及约束性公司原则以及各自的内容、运行机制。最后,笔者针对欧盟最新立法《通用数据保护条例》提出了欧盟以及欧盟数据委员会未来工作方向。第三章,笔者认为美国倡导的商业利益优先这种价值取向以及宽松的个人数据立法有助于互联网经济的发展。其中《安全港协议》以及《隐私盾协议》在不同历史时期满足了美国与欧盟之间巨大的数据传输现实需求,并且一定程度上将欧盟高水平的个人数据保护理念以及标准适用于美国跨国企业,间接提高了美国个人信息保护水平;并且以上两个协议为个人信息保护领域,尤其是个人数据跨境流动规则的国际双边乃至多边合作提供了现实有效可参考的经验。但是美国模式是建立在其独特的文化传统、技术基础和国际实力基础之上的,并不具有很强的借鉴意义。虽然美国地方立法,例如2018《加州消费者隐私法案》(CCPA)进一步强调了对隐私的保护;大型跨国企业的隐私政策,比如GOOGLE隐私政策在透明度、限制原则、数据主体权利以及数据出境方面比以往具体了很多。但是被视为全美最严格、最全面的CCPA没有对个人数据跨境流动作出规制,联邦层面的立法在短期内无法实现,目前美国在个人数据跨境流动方面仍旧是以行业自律为主。尽管美国国内没有相应的严格立法要求,但是笔者认为隐私盾协议下的企业全球隐私政策标准会不断提高,对个人数据跨境流动的保护也会加强。第四章,笔者总结了我国个人信息保护立法并且提出了相应的建议。笔者认为尽管我国起步较晚,但是在汇集各方智慧的基础上,《民法总则》、《电子商务法》、《网络安全法》及其配套措施等都对个人信息保护及数据出境规则提出了更高的要求。从国内角度出发,针对个人数据跨境流动的救济方式比较单一,笔者认为中国可以借鉴美欧经验,探索多重救济机制;在国家的鼓励和引导下,我国公司,尤其是具有国际影响力的公司可以自我完善数据合规性,带头建设行业自律组织。在国际上,我国缺乏双边或者多边合作实践,之后可以在邻国经贸合作以及“一带一路”等区域合作模式的基础上,尝试建立区域性个人数据跨境流动规则以及各国数据保护机构合作交流机制。在结语部分,笔者总结了美国与欧盟两种不同保护模式,认为欧盟“标准合同条款”与“约束性公司原则”以及美欧之间《安全港协议》和《隐私盾协议》为数据跨境流动规则建立以及国际上双边合作提供了成功的借鉴经验。笔者认为现在个人数据保护甚至上升到数据主权高度,《网络安全法》及其配套措施等只是我国建设数据强国的起点,未来中国需要打造完善的国内个人信息保护与数据跨境流动立法、有效的行业自律规范以及互利互惠的国际交流与合作的多层次、全面的跨境数据流动规则体系。