[长文]全球舞台上的欧洲数据隐私规制

编者按：美国司法部于5月19日起诉5名中国军人，指控他们通过网络窃取美国公司的商业机密，这是美国政府首次公开控告外国政府公务人员针对美国公司实施网络黑客犯罪。同日，中国外交部发言人秦刚就此事发表谈话称：“鉴于美方对通过对话合作解决网络安全问题缺乏诚意，中方决定中止中美网络工作组活动”。这一事件凸显了数据隐私规制的重大意义。本期发表的“全球舞台上的欧洲数据隐私规制：政策出口还是实验主义？”一文，探究了在错综发杂的强权政治背景下推进实验主义合作治理的五个机制，对于中国相关领域的政策治理颇有启发。

导言：

从信用卡消费记录到视网膜扫描资料，企业和政府在越来越多地收集和加工这些个人信息。伴随着全球互联网的发展，这类数据迅速地跨境流动。各个国家对于数据隐私的不同的保护与监管措施，构成了新时期规制冲突的基础。美国和欧盟之间在此方面的争论与分歧特别紧张，掀开了信息时代的第一次贸易争端（Newman，2008）。

数据隐私的冲突远不是一个孤立现象，它是全球化所带来的新挑战的象征：即如何实现对国际市场的规制（Farrell and Newman,2010）。当公司到国外运营，个人通过新的信息技术直接进入外国市场，本地的规则就具有国际影响。在诸如食品安全、化学工业、金融服务等领域，企业被迫调整他们的商业模式以及政商关系的运营策略，以便适应国外行政管辖区的法律要求。国际冲突的这个新领域的对大西洋两岸的关系，以及对更普遍意义上的全球市场治理，都提出了严峻挑战[1]。鉴于许多这些议题已经超出了为管理金融和贸易关系而建立的传统的国际组织的权限范围，几乎不存在解决这些可能的紧张冲突的科层制的机制。

关于全球规制制度的争论总是以权力冲突的形式表现出来。在大多数情况下美国和欧洲作为最强大的两个经济体，为全球治理的规制制度设定条款。当美国和欧洲意见一致时，他们可以打造一个全球共识。然而当他们意见不一致时，相互竞争的或者冒牌的规制标准便会出现。数据隐私保护就是被反复例举的一个典型事例（Drezner2007）。欧盟凭借其在这个领域的规制能力，比其它行政管辖区更有力地主导着全球治理规则的制定，促进了从阿尔巴尼亚到阿根廷等各个国家的改革（Newman2008）。

国际关系学科最近的文献强调各个国家政策决策的相互影响和相互依赖，由此打开了各国间反复相互学习政策的大门。特别是研究政策扩散的文献建议美国和欧盟的决策能够形成他们各自的规制政策（Simmonset al, 2006）。通过模仿、竞争和学习的过程，美国和欧盟的决策不仅互相影响，也影响了全球政策。本章即基于相互依赖的决策理论，着重描述在全球规制治理中那些培育了反思性（Reflexive Processes）决策过程的正式和非正式的制度。

本章将以数据隐私规制为例，来检验全球治理政策形成过程中的一系列潜在的实验主义治理机制（ExperimentalistGovernance Mechanisms），包括同行评议（PeerReview）和网络监督（NetworkedOversight）等。本章尤其将探究以下主题，包括欧盟对于其他国家数据隐私规制政策的充分性审查、欧洲数据隐私保护权威机构和世界其它地区的合作伙伴机构的跨政府网络合作、美国和欧盟达成的“安全港协议”、大西洋两岸国家的国土安全协议所使用的联合评审、以及对于欧洲指令的评审。在国际市场规制领域，以权力为基础的规制制定和相互依赖的反思性规制决策能够相互为对方提供重要的一课。尽管欧盟在数据隐私规制方面有很多新颖的、应思性的内部机制，并且在全球的互动中依靠这些机制；但是在全球的努力方面大多数情况下是欧盟单方向的推进、且有时候处于强制的边缘。与此同时，作为国际上互动的结果，欧盟也向其他国家学习，欧盟内部的实验主义治理机制允许其修正欧盟内的规则。全球数据隐私规制的争论为具有影响力的欧盟规制措施的“出口”提供了例证，但同时这一研究结果也表明了欧盟内部规制改革的迭代反复的过程。

本章分为三个小节。第一小节检验在数据隐私规制的案例中规制摩擦的来源，以及什么是利害攸关。第二小节突出强调全球市场规制所面临的挑战，以及规制调整的五个例子，包括嵌入式扩散（Embedded Diffusion）、跨各国政府的执行（Trans-governmentalImplementation）、规制政策的接口（RegulatoryInterfaces）、联合评审（Joint Reviews）以及规制指令的修改（Directive Revision）；本章的最后一节讨论在更一般意义上对全球治理的含义。

数据隐私规制冲突的来源

在上个世纪七十年代，发达工业国家就已经建立了明确的数据隐私规制制度。但是，尽管大多数国家都同意隐私保护法的基础性原则，但各国法律的规制范围却有着非常明显的不同（Bennett1992）[2]。包括欧盟在内的许多国家采用一套综合的规制体系，国内的立法将这些保护原则应用于公共和私营部门（Newman,2008）。这些规制政策由独立的规制机构——数据隐私规制委员会——监督和实施，该独立规制机构类似于联邦贸易委员会但全权负责隐私保护的相关问题。这些独立机构享有有保证的财政预算，负责人长期聘任，并且与其他政府部门分开办公。虽然各国的独立机构所享有的具体执行权力及政治独立性程度千差万别，但它们都具有对数据使用过程中的投诉及争执进行监控和调解的职能（Flaherty,1989）。

与之形成对比的是其他国家仅仅依靠一个相对有限的规制体系。规制政策适用于公共部门，对于私营部门立法者则倾向于让其实行自我规制（Self-Regulation）。然而，某些敏感的行业，例如银行业和电信业，则受到其特有的行业规则的制约。但对于整个的私营部门来说，并没有一个单独的法律规制。法规的监督和执行权力也被分散在不同的政府机构手中。以1974年《隐私权保护法案》（Privacy Act）为代表的美国政府的规制制度旨在规制公共部门，其执行权力被分散到包括联邦预算管理办公室、联邦贸易委员会、和联邦储备委员会在内的一系列机构之中。即使是对于有最严格的正式法规管制的公共部门，联邦预算管理办公室的监督和执行权力也都处于消极被动状态，而且在各个州也仅有少数的州政府对隐私保护进行了立法规制（Schwartz and Reidenberg 1996）。

关于隐私规制的综合制度体系和有限制度体系的紧张矛盾源于两个核心点。首先，在许多采用有限规制体系的国家不存在监督隐私保护的独立的规制机构。第二，有限规制体系对于许多重要的经济部门缺乏规制政策，因而导致在有些经济领域个人的信息受到保护，而在其它领域则没有受到保护。

在上世纪七、八十年代的大部分时间里，对于有限规制体系的批评被转移到不重要的国际谈判的会议室里。直到九十年代，这两种规制体系的冲突进入一个新的阶段。伴随着跨国公司和数字通信技术的发展，曾经主要被限制在一国之内的数据冲破国界的藩篱，开始了大规模的跨境流动。更为重要的是，欧盟在1995年通过了一项旨在欧洲范围内规范个人信息数据采集和传输行为的指令[3]。该项隐私保护指令包含了一项域外条款，即第25款，禁止向没有充分的数据隐私保护法律的国家传输数据。除了对市场准入进行集中化的控制外，该指令创立了一个新型的网络治理形式，即第29款“工作小组”条款，以对指令在国内外的执行情况进行监督（Eberlein andNewman, 2008）。工作小组行由各成员国的数据保护权威机构以及欧盟数据保护部门的主管组成，并选举成员之一作为主席，其决策程序主要采用共识模式（Consensus Style）。欧盟委员会为工作小组提供资金并管理一个秘书处负责运输后勤、会议准备和语言翻译等职能。工作小组协助欧盟委员会对其他国家的隐私保护制度进行充分性评估，并对新出现的隐私保护问题提供建议。

由于缺乏由独立的权威机构监管的综合规制体系，以美国为代表的采用有限规制体系的国家不能满足欧盟所提出的充分性标准。没有某种形式的国际合作机制，企业和公共部门的官员都担心“国际信息高速公路”的一个关键因素会因此停止。

什么是利害攸关？

以往试图解决数据隐私规制冲突的努力总是以失败告终，但由于这一问题越来越多的影响到跨国商业行为以及国家安全合作，人们对此的关注也日益增加。当前积极致力于开拓国际市场的跨国公司已经意识到，隐私规制措施会影响到商业战略和市场的动态变化。他们发现，在美国到处可见的个人信用报告及消费者名单在许多欧洲国家即便是存在也异常昂贵。例如，在美国有高达5亿份私人部门的个人信用报告，这几乎相当于包括妇女与儿童在内的每一个美国人都有两份信用报告；但在法国却什么都没有。对于开拓海外市场的跨国公司来说，了解所在国的法律要求是非常关键的。但是对于从事数据跨境流动的公司来说，各国数据隐私规制的差别从商业策略问题变成了法律冲突的根源。特别是对于只有一个共同的人力资源部门的跨国公司来说更是如此。员工档案信息的跨境流动，使它们面临不同的规制要求。类似的，数据外包业务也因为数据隐私规制的不同而变得更为复杂。最近发生的美国公司向印度数据处理公司发送数据的丑闻，显示出将个人信息转移到一个具有不同的规制规则的地区所面临的困难[4]。欧美之间在数据流动方面的管制分歧甚至有可能成为信息时代第一次贸易战的导火索[5]。因此，许多位于欧洲的公司已经将其数据隔离限制在欧洲内部，以避免在隐私保护标准低的国家进行数据处理。最近，包括脸书和谷歌在内的跨国巨头也面临欧洲监管者更为严格的规制审查。

数据隐私规制不仅仅影响商业巨头，在跨国联合反恐时代也影响到了政府间合作。由于规制原则和措施的不同，在安全合作方面美国和欧盟面临一系列的分歧与争端。例如美国对欧盟提出了一系列的信息要求，包括欧洲护照上需要包含生物识别信息以进行身份确认，电话通话记录的信息交换，以及航空公司的乘客名单（Newman,2011）等。一项由美国国会研究服务机构（Congressional Research Service）完成的研究得出结论说，“当前的数据隐私规制措施的冲突已经对大西洋两岸的反恐合作带来巨大挑战”。

更一般地，数据隐私规制的不同是由于各国规制传统的不同。外国子公司的出现以及数字通信技术的发展意味着跨国公司和个人越来越多地受到多个不同的行政管辖区的规制。包括赌博、化学制品、金融服务等在内的各个领域的规制措施，都由曾经的国内问题演变为了跨大西洋的问题。不论是国家的政策还是公司的策略，都必须面对由于国内规制的国际化所带来的挑战（Newman and Zysman 2006）。

实验主义治理机制：嵌入式政策扩散、跨政府的政策执行、联合审议、规制的接口、规制指令的修订

数据隐私规制的案例提供了许多由实验主义所启迪的治理工具在国际环境下应用的有趣例子。各国形成的网络治理系统进一步促进了正在发展的规制执行的跨国合作，并提高了参与者之间的相互学习程度（Sabel and Zeitlin2010）。规制监管者利用本地的专门知识和技能以及规制监管的能力来解决全球治理的冲突问题。但尽管如此，在数据隐私保护领域，“权力”依然扮演着非常重要的角色。欧洲数据隐私指令的“充分性条款”（Adequacy Clause）改变了数据跨境流动的规制现状。对数据隐私缺乏综合的规制规则的国家将面临失去进入欧盟市场的威胁。类似地，在联合的网络执行方面，大多数的合作是从欧洲到其它国家的单方向的能力建设。从根本上来说，欧盟内部的实验主义治理工具促进了从欧洲政策框架所学到的国际经验的反思性（reflexive）整合。

嵌入式政策扩散（Embedded Diffusion）——作为有条件的市场准入的同行评议（Peer Review）

自从欧盟通过数据隐私保护指令以来，从阿尔巴尼亚到阿根廷，超过40个国家已经建立了综合的规制体制。这其中还包括加拿大和日本在内的曾经采用有限的规制体制的国家。正如上文所提到，欧盟数据隐私指令中的“充分性条款”在推动规制政策在全球范围内的扩散方面起到了非常重要的作用（Newman,2008）。尽管如此，欧盟仍然不能强迫其他国家改变其国内的法规。为此，欧盟将政策扩散的进程嵌入到了“同行评议”机制当中，即由欧盟规制监管机构的网络所进行的规制的充分性的审查。同行评议系统为其他国家的政治参与者提供了重要的信息来源，他们可以借此在国内政策辩论中施加影响。但尽管如此，当前的“同行评议”更多的体现了欧盟规制监管者单方面对其他国家的规制措施进行评估。

为了保证欧洲公民的个人信息在跨境流动过程中得到足够的保护，欧盟委员会必须对其他国家是否具备充分的隐私保护法律做出判定。这种充分性判定是基于两个咨询委员会的评估报告而做出，其中之一是由指令第31款所规定的由各成员国代表组成的执行委员会，另一个是由指令第29款所规定的由各成员国数据隐私保护机构代表组成的工作小组（Working Party）。这两个咨询委员会对其他国家的国内数据隐私保护法律进行评估并向欧盟委员会提交评估报告。尽管欧盟委员会保留了做出最终裁定的权力，但是如果它拒绝工作小组的咨询意见它将面临巨大的政治成本；而如果它拒绝由第31款规定的执行委员会的意见它将面临欧盟委员会部长理事会的质疑。

由于工作小组的报告是对公众开放的，因此它对于解决国际市场规制的冲突问题具有特别重要的意义。工作小组对各国的国内法进行评估，并阐明其可能与“充分性”条款发生冲突的地方，该国的政治活动家可以利用工作小组的报告参与国内政策的辩论。政策扩散就因此被嵌入进跨国的“同行评议”进程当中。

澳大利亚的立法过程为这种机制的作用提供了有用的例证。长期以来，澳大利亚都采取有限的规制体系，并因此与欧盟隐私保护条款产生了冲突[6]。很多商业集团和政府的某些部门意识到了国外规制对于国内的影响和威胁。例如，澳大利亚计算机协会就警告政府说，如果继续依赖既有的自我规制体系并且缺乏对于私人部门的立法规制，澳大利亚的企业，特别是信息技术领域的企业，将被隔绝于欧洲市场之外[7]。工业、科技及旅游部也同意计算机协会的观点，认为欧盟隐私保护指令需要澳大利亚采取行动以保证澳大利亚电子商务的持续增长[8]。但尽管如此，澳大利亚政府仍然面临其它工商业联盟的强烈政治压力，这其中包括澳大利亚工商联合会、澳大利亚直接营销协会、和全国保险业协会，他们支持在私营部门采用自我规制的努力，以及将规制立法对私营部门特别是中小企业仅作有限的延伸[9]。隐私保护的倡导者和在国际上有竞争力的公司，特别是高科技行业的公司，与主要服务于国内当地市场因而较少受到与欧盟贸易影响的小企业公开对峙。

由于担心自我规制的策略不能满足欧盟隐私保护指令，从而威胁到澳大利亚创新水平高、并且在国际上具有竞争力的企业，澳大利亚政府在1999年勉强引入了对私人部门进行隐私保护规制的立法[10]。新法案的解释备忘录明确指出了欧盟指令在立法辩论中所起到的作用：

“对于与欧盟成员国存在贸易往来的公司来说，当前所采取的自我规制方式的隐私保护

可能使他们面临不利局面。在欧盟关于处理个人信息数据时保护个人隐私以及关于这些数据自由流动的新规制指令下，澳大利亚很难继续保持当前与欧盟成员国的贸易状态。满足欧盟指令的要求会对正在与欧盟进行贸易谈判的公司增加成本，但同时也会影响到可以利用的跨境电子商务贸易机会的程度。满足欧盟指令要求所带来的影响，比如说其它国家限制它们与澳大利亚的数据跨境流动的程度，尚不明确；但是这不会成为未来潜在的贸易壁垒。”[11]

法案的解释备忘录随后说明了欧盟指令的“充分性评审”是如何直接影响企业计算从纯粹的“自我规制”转变到“综合规制体制”的成本和收益。以下内容引自隐私保护倡导者Nigel Waters：

“即使某些部门或地区能够通过欧盟‘充分保护’的审查，大多数的澳大利亚公司和政府依然需要对每个具体情况来证明它们能够对来自欧洲的个人信息数据实施足够保护。坚持当前这种有限的监管体制的成本，以及为了应付不确定性所付出的成本，将远远超过适度地遵守一个明智、高明的隐私保护法案所付出的成本。”[12]

尽管澳大利亚引入了综合的隐私保护规则，欧盟仍然继续通过“充分性条款”对其国内立法辩论施加影响。由于国内企业的大力游说，澳大利亚的隐私保护法律保留了一系列的例外情况的豁免。该法案不适用于小企业，对外国侨民的隐私保护也不在其内，并且对隐私保护委员会官员对澳大利亚公民的监管权力做了限制[13]。欧盟委员会代表专程前往澳大利亚并在其立法院作证，认为其豁免条款，特别是对小企业的豁免条款和对隐私保护委员会官员执行权力的限制，消弱了欧盟委员会对于澳大利亚已经达到“充分性条款”要求的信心[14]。

由于这些问题，依据新法规29款而成立的欧盟工作小组建议，欧盟将澳大利亚的新法规认定为“不充分”，从而为欧盟委员会创造了一个重要的谈判筹码，也为澳大利亚国内的隐私保护倡导者提供了论证的要点[15]。当前，欧盟委员会尚未对澳大利亚隐私保护规制体系的充分性做出正式的裁定，而是选择利用工作小组的结论作为与澳大利亚政府谈判的基础。尽管澳大利亚司法部长最初斥责欧盟对澳大利亚法律体系无知，但澳大利亚政府已经开始对其立法作进一步的修改以应对欧盟工作小组的担忧[16]。澳大利亚政府最终在2004年将隐私保护扩展到非澳大利亚公民，并于2006年调集了更多资源以增强隐私保护官员的执行权力，特别是对投诉进行审查的权力。

澳大利亚的隐私保护倡导者利用欧盟的“充分性审查”和依据指令29款而成立的工作小组的意见，有力的推动了澳大利亚国内立法的进一步改革，特别是针对小企业的豁免条款[17]。但澳大利亚国内很多企业仍然坚持认为，缺少对于隐私的充分保护并没有引起严重的经济问题。尽管澳大利亚的音乐出版业反对废除例外豁免条款，澳大利亚参议院仍然肯定了隐私保护倡导者的观点并要求废除小企业豁免条款以符合欧盟“充分性条款”的要求[18]。澳大利亚国内这一立法辩论的最终结果尚不确定。澳大利亚政府已经召集了澳大利亚法律改革委员会对澳大利亚隐私保护法案进行一项多年的研究，以评估现有的法律并检验最新提出的改革建议。很明显，澳大利亚国内立法的过程轨迹受到了欧盟实施的“国际同行评议”的影响。不过尽管如此，我们也应注意到，该“同行评议”系统还只是欧盟单方向对澳大利亚国内政策的评议，当前还鲜有直接反思欧盟政策的充分性的正式评议机制。

跨政府的政策执行——单方向的规制能力建设

前一部分主要聚焦于名义上的政策变化，本部分将主要检验为执行这些新采纳的法律而发展起来的跨国实验主义治理工具。特别的，本部分将着重阐述不同国家的数据隐私监管机构之间的合作努力，这种合作努力促进了数据隐私保护规则的跨境执行。伴随着跨境货物和服务贸易的大量增加，国内监管者很难履行实施监管的承诺。而且，各国当局也常常缺少政治意愿或者适当的制度渠道，来发展出能够解决这一问题的科层制的正式条约。取而代之的是，各国监管者组成跨境的纽带以促进跨国调查和执行方面的同行相互学习。（Slaughter 2004, Bach and Newman 2010）。

最早同时也是最正式的一种合作方式便是欧盟在其扩张过程中实施的结对程序（twinning procedures）。这种结对程序将既有成员国和新入盟成员国的政府官员联系在一起以形成网络。这些网络为传授经验技能和促进支持提供了一个重要的机制。加入欧盟的要求和这种积极的结对政策使得欧盟能够将其既有法律和治理结构注入到潜在成员国中[19]。从1999年起，欧盟国家数据隐私保护的官员开始到中欧国家为其立法改革提供建议。最广泛的合作出现在捷克与西班牙之间。在捷克与欧盟进行加入欧盟谈判过程中，欧盟代表很清楚地表明，捷克的隐私保护法律体系是不充分的。随后捷克政府向结对计划申请了一笔多年的拨款以建设一个能够起作用的数据隐私保护制度所必须的行政能力。欧盟随后为捷克政府提供了四十万欧元的资助基金以帮助它建立起统一的独立监管机构，协调捷克的数据隐私保护法律，同时与其他成员国家的监管机构建立广泛的联系[20]。通过结对程序而开展的类似资助项目也同样发生在拉脱维亚、立陶宛和马耳他，资助资金总额超过三百万欧元[21]。结对程序旨在通过建立不同国家间数据隐私规制机构的联系以改进各国监管者的规制能力。

除此之外，次区域和跨区域的机构之间的合作也广泛存在。这方面的例证包括成立于2001年的“中东欧个人数据保护委员会”（Centraland Eastern European Personal Data Protection Commissioners）[22]。大约13个行政管辖区包括潜在的成员国的代表出席该组织的年会，并讨论一系列广泛的议题，从儿童隐私权到生物信息数据保护。该组织还建立了门户网站以便信息交流和提出建议。个人会员可以在此上传最新案例或者提出问题。不同国家监管者之间的网络联系借鉴了欧盟委员会工作小组（依据指令第29款成立）的工作模式，为信息交换和规制执行的提升提供了良好渠道。

另外一个类似的组织是2003年在西班牙和12个拉美国家的数据隐私保护规制机构之间所成立的“伊比利亚-美洲数据保护网络（Ibero-AmericanData ProtectionNetwork）”组织[23]。数以百计的官员出席每年的年会，分享各自国家的最佳实践方法。更普遍的情况是，各成员国承诺进行信息共享。同样的，2007年，法国数据隐私规制机构牵头成立了“法语地区个人数据保护协会（French-Speaking Association of Personal Data Protection Authorities）”，它包括了从加拿大到塞内加尔在内的25个国家代表，其主要任务是促进成员国之间的最佳实践方法交流并推动规制能力建设。上述两个组织都是致力于将数据隐私保护规则的执行情况的交流制度化的志愿组织。

尽管从很多方面来说，就解决日常实际问题而言，判定这些努力的绩效为时尚早，但已经有越来越多的证据表明，这类合作行为可以提升规制政策的执行。旨在推进政策执行的网络合作组织的层出不穷至少表明，我们值得对此开展更深入的研究，以探讨其是否是解决跨国规制冲突的一个可能的机制。然而，与此同时，应当指出当前这些组织主要是致力于其它国家从欧洲学习规制能力建设。

规制接口——安全港协议（The Safe Harbor Agreement）

尽管很多国家都修改了国内立法以满足欧盟数据隐私保护指令的充分性条款要求，但仍然有很多国家拒绝全盘接受欧盟的规制原则，这其中尤以美国为最。为解决美欧冲突，管理大西洋两岸的数据交换，美国和欧盟发展出一种规制接口，即所谓的“安全港协议”。该协议以及协议的谈判过程表明了在很多规制领域发生的调和规制冲突的一个重要过程。在阐述该协议的更加广泛的含义之前，本文将首先对该协议的主要内容及运作方式做一介绍。

该协议在2000年7月签署并于当年11月正式生效，它基于一套“安全港”原则（见表1），商业企业将其应用于从欧洲向美国传输数据。保证遵循这些原则的公司将获得欧盟指令的安全港认证。该协议在大西洋两岸关系中两种占主导地位的规制合作机制：融合（Convergence）和互相承认（MutualRecognition），之外，提供了另外一条道路。“融合”要求美国接受并模仿欧洲的规制原则，而“互相承认”则要求欧盟承认美国的规制措施等效于欧盟标准。与此相对照，“安全港协议”并不强迫美国改变其国内法律规制，同时它也明确地拒绝承认美国规制措施等效于欧盟标准。当然了，参与跨境数据运输的公司同意遵守欧盟规则（Long and Queck, 2002）。

在实际操作中，美国商务部保有同意遵守该协议的公司的名单[24]。该协议的原则对公司是有约束力的。企业必须选择它们是“自我规制（Self-regulation）”或“自我认证（Self-certification）”。在“自我规制”机制下，企业承诺将遵守协议原则并加入一个独立的争端解决机构。这些争端解决机构包括若干主要处理和调解投诉的私人组织，例如“良好商业管理局（Better Business Bureau）”或“TRUSTe”。美国联邦贸易委员会承诺将作为最后一道“防火墙”，监督企业是否遵循他们所事先同意的“自我规制”协议（Haufler, 2001）。由于美国联邦贸易委员会的管辖权不能延伸至金融服务和电信服务领域，所以这两个领域的企业被排除在该协议之外。在“自我认证”机制下，企业要在欧洲数据隐私规制权威机构登记备案并同意接受其监管。当企业人力资源信息数据时，他们被要求“自我认证”。2004年针对该协议执行效果的一项调研显示，75%的企业选择了“自我认证”，从而在事实上将自己置于欧洲数据隐私规制机构的监管之下（Commission of theEuropean Communities 2004）。简而言之，该协议为跨国公司在大西洋两岸共享数据提供了一个框架机制，同时并不强制要求这些企业调整对其国内客户数据处理的方式。来自欧洲的信息数据也能够保证受到与其在国内相同的保护。

尽管“安全港协议”的吸收速度较为缓慢，现在约有1000家美国企业签署了该协议，财富500强中大约有80家签署了该协议。除去被排除在协议之外的金融服务与电信服务企业，签署协议的公司大约占美国大公司的20%。如果仅从这些数字来看，可能会低估该协议的影响。事实上，自从协议达成后，美国公司已经在许多领域改革以满足欧盟的监管要求。调研数据显示，许多跨国公司都将其国内的数据隐私规制措施纳入到它们的跨国业务的运营之中[25]。此外，这些公司都常规性地任命数据隐私保护总监监管数据的使用过程，这一新的管理层职位的设置表明企业对数据隐私保护问题的重视。但尽管如此，很多批评意见仍然认为，协议尚未获得它最初预测的影响，且其实际的约束执行力也很小，协议新奇的妥协可能削弱了它的吸引力。而同时美国企业也表达了他们对于协议中未明确规定责任义务的担心，他们甚至认为该协议造成了一个相当复杂的满足欧盟要求的框架（Heisenberg, 2005）。

不管怎样，该协议最引人注目的结果便是促使跨国公司开始严肃对待跨境数据流动的问题。“大西洋国家商业对话”和“国际商会”都已经设立专门的工作组来应对这一领域的规制冲突（Cowles,2001）。对“安全港协议”的一个有希望的替代方案是有约束力的公司行为准则。欧盟委员会已经制定了一系列的商业合同标准，公司可以用此来遵守欧盟指令。这些合同要求公司坚持基本的隐私保护原则。因此是由法院和调解机构，而不是政府规制，来执行这些标准。这些措施的有用性尚不清楚，因为它们也引起了规制不确定性的许多问题。并且在很大程度上依赖企业本身来设计并为其隐私保护措施进行辩护。更一般的，争议促使许多跨国公司设立公司内的隐私保护总监的职位，或者扩展公司对隐私保护总监的组织承诺。

而且，有关“安全港协议”的争论对于美国国内隐私保护规制的执行也带来了重要影响。“安全港协议”的谈判过程及协议本身，都激发了美国联邦贸易委员会（FTC）对于隐私保护问题的兴趣（Bamberger and Mulligan, 2011）。尽管联邦贸易委员会并不对所有私人部门的隐私问题负责，但是它在互联网电子商务方面有着相当大的监管权力。特别是，联邦贸易委员会在涉及企业的“公平交易行为（Fair Business Practice）”方面具有执行权。只要企业公开宣布其隐私保护原则和在线隐私保护声明，联邦贸易委员会就可以因此行使监管权。在过去十年里，联邦贸易委员会在网络隐私规制方面扮演了越来越重要的角色，最近奥巴马政府所提交的一系列加强网络隐私保护提案会进一步加速这一趋势（Obama,2012）。但尽管如此，由于美国隐私权保护法律是按部门的，不在其规制范围的部门或是没有明确宣布隐私保护承诺的企业，都不在联邦贸易委员会的监管之列。另外，联邦贸易委员会在“谷歌街景案”（谷歌公司在没有征得消费者同意的情况下收集个人Wifi数据）中做出的不对其进行财务惩罚的决定也使得美国隐私保护倡导者质疑委员会的承诺。

“安全港协议”还远谈不上完美。然而，它显示了一个调解大西洋两岸规制冲突的真诚的努力，并且并不强迫美国或欧盟放弃各自国内的法律。一方面，这种混合式解决方案与许多预测形成鲜明对照，这些预测认为全球化会迫使国际标准向最低的、共同能接受的标准聚集（Tonnelsosn,2000）。当前的趋势表明，在数据隐私保护方面，即使跨国公司仍然在国内遵守美国法律，它们可以在国际贸易中满足欧盟要求。另一方面，该协议也避免了对于欧盟强迫美国重新规制其国内市场的抱怨。“安全港协议”允许欧盟范围内的“社会市场（Social Market）”与美国范围内的“纯粹市场（PureMarket）”共存。通过这种方式，这个协议可以缓解两个市场中对于全球化的政治攻击。

“安全港协议”的特殊之处在于，它跳出了常规的两种解决国际规制冲突的方式——要么协调一致，要么互相承认[26]。围绕欧盟规则的协调一致将迫使主要服务于美国国内市场的企业调整其商业模式。以美国金融服务业为例，长久以来它们依赖于大量的信用报告来提供包括次级贷款在内的专业服务，而这种情况鲜见于欧洲。一个金融服务行业协会曾估计，采用欧盟规则的转换成本大约是每年170亿美元（Glassman,2000）。考虑到美国市场的体量巨大，完全的协调一致是不可接受的。

与此同时，欧盟的规则使其同样不可能承认美国的规制体系。欧盟隐私保护指令要求其它国家的隐私保护措施具备“充分性”，这并不意味着其他国家必须原样照搬欧盟规则。事实上，欧盟成员国本身也具有不同的政策执行系统。但是其他国家必须具有一个独立的规制监管机构负责隐私保护，而且隐私规制必须同时广泛的适用于公共部门和私人部门。美国的规制体系是永远不可能满足这些要求的。

“安全港协议”创造了一个有趣的中间地带。欧盟规制规则的管辖范围从地域范围（即满足规制充分性要求的国家）转变为与欧盟进行贸易往来的企业范围。但是与建立在自愿或是非正式制度上的纯粹私人部门的主动行动不同，安全港协议的遵守有国家权威机构的保证，美国联邦贸易委员会和欧盟数据隐私规制机构可以用制裁来威胁（Newman&Bach, 2004）。这种监管方式通过规制者之间持续进行的对话以及相互分担监管执行责任而实现的。

同时，该协议对于跨国公司来说也有一种冲击效应。一方面，它鼓励跨国公司严肃对待其数据管理系统，作为对冲突的回应许多跨国公司任命公司内的数据隐私保护总监。与此同时，美国的规制机构，特别是联邦贸易委员会也利用争议动员美国国内力量对其监管隐私保护努力的支持。

联合审议和“日落条款”（Sunset Clauses）

欧盟隐私保护指令在许多情况下，与其他国家在其他领域的规制措施发生冲突，最典型的便是涉及国家安全问题。最明显的便是美国、加拿大和澳大利亚为了国家安全，向欧盟提出飞行航班乘客详细个人信息记录（PNR）的数据要求。这方面的谈判极具争议，且需要多方之间的反复磋商（Newman,2011）。以美欧谈判为例，在近十年的时间里，双方仅达成了三项单独协议。作为欧美冲突的象征，协议的重新谈判在事实上被写进了协议之中，即“日落条款”，该条款和缔约各方的联合审查联系在一起。“日落条款”和联合审查不仅激起了热烈的国际谈判，同时也为各方重新审视其政策实践并不断提高执行绩效提供了一个机制。

为了更清楚的阐述这一点，我们有必要回顾美国国土安全部（DHS）在参与PNR谈判过程中的作用，并且解释其如何重塑其内部隐私保护总监的权力地位，并实现最佳实践的过程。在2003年国土安全部成立的时候，它便包括了一个隐私保护办公室。国土安全部的隐私保护总监（Chief Privacy Officer, CPO）随后在2004年欧美PNR谈判中发挥了重要作用。作为谈判内容的一部分，国土安全部同意与欧盟官员就隐私保护政策的执行效果进行联合审查。重要的是，联合审查受到了强调审查结果重要性的“日落条款”的支持。如果联合审查的结果表明政策执行结果很差，那么欧盟在未来的重新谈判中可以提出更加严格的要求。每隔几年谈判双方都必须更新协议，联合审查因此为双方提供了建立信任并不断提高政策执行绩效的机会。

除了这些较直接的目标外，联合审查对国土安全部内部也带来了变化，它促进了机构内部重视隐私保护的文化形成。为了更好的满足联合审查的要求，CPO使得国土安全部内部的隐私保护评估制度成为主流。考虑到联合审查所涉及的范围广泛，CPO将审查的过程作为样板，进行一系列的遵守隐私保护规制的评估（不仅限于与欧洲相关议题）。特别的，CPO将主要关注社交媒体的使用、移民和海关执法局的图样分析、以及网络安全监控项目。CPO在国土安全部非常积极，并将其与欧盟的相互交流作为平台以改进隐私保护办公室的运作和推进其使命。

通过联合审查与欧盟的交流互动不仅促进了CPO在国土安全部内工作的专业化和标准化，而且也是一个有力的游说工具。2007年，国会根据9/11委员会的建议通过了立法。在这个过程中，CPO利用与欧盟在PNR议题上的谈判作为扩大其豁免权力的重要理由。通过这样的游说，CPO得到了扩大的和明确的调查权力，即对隐私保护的执行情况进行规制调查的能力，并且得到了与检察长在更大范围的协调。

联合审查和“日落条款”连接在一起，对国际谈判的观察员来说是相互对抗的要求。他们使得国际谈判中经常潜藏着的不信任和执行失败的问题明显化。但这也不一定总是这样。国土安全部的CPO对PNR协议进行了一系列成功的审查，识别出协议的弱点和优势。一般来说，参加联合审查的欧盟官员对国土安全部CPO的评审印象深刻，认为是大西洋两岸关于隐私保护对话的一个富有成效的文件。他们不仅完成了核实协议执行情况的当前使命，同时也促进了美国国内重要的改革。

欧盟指令的修正——反思性学习过程

在欧盟积极参与全球数据隐私保护的过程中，它应用了新颖的治理策略，包括同行评议和联合的规制执行（federated regulatoryimplementation）。在很多情况下，欧盟的努力主要是将欧盟规则推广出口到其他国家，而不是将从其他国家学到的经验吸收到欧盟自身规则的修正当中。然而，欧盟内一个非常关键的治理机制——规制评审——为从全球的反馈提供了渠道。尽管欧盟内的规制评审并没有要求向其它国家学习，但在实际操作中，它却为这方面的潜在改变敞开了大门。

作为欧盟内规制实践的重要部分，规则本身也需要周期性的审查以推进好的治理方法。从2009年开始，欧盟委员会开启了对1995年的数据隐私保护指令的改革进程。尽管这个过程尚未完全结束，但修订草稿显示欧盟的政策制定者已经将其在与其它国家的互动中学到的经验吸收进了新法规中。特别的，修订草案提出了两项来自于美国的创新经验——数据被侵犯告知（Breach Notification）和儿童保护（ChildProtection）。

欧盟的法律规则一直被批评为缺少公众的意识和参与。许多成员国依赖于一套必须由公司和政府机构执行的数据隐私保护原则。这些原则然后由独立的规制机构（数据隐私保护机构）来监督和执行，独立的规制机构与公司和政府合作以避免数据隐私保护失败和解决问题。这种科层式的规制模型依赖于数据处理者和监管机构的互动，不利于调动了公民个人对规制过程的参与，因为公民不需要提起个人诉讼或集体诉讼。欧盟规制法律中削弱公民参与的潜在可能性始终是其备受诟病的弱点（Robinson, Graux, Botterman and Valeri, 2009）。

关于公众参与的一个首创性的规制行动是2002年加利福尼亚州通过的《数据安全被侵犯的告知法案》（the Data and Security Breach Notification Law）。该法案于2003年生效，它要求公共部门和私人部门在他们的数据库受到侵犯时，必须向相关公众及时告知。该法案的一个主要目的是使消费者参与数据隐私保护的辩论，并加强公司在个人信息保护的责任义务。该法案的重要性在2011年春季的一次事件中凸显。当时索尼游戏机（PlayStation）网络被黑客侵入并窃取了大约77,000,000个用户的个人信息，包括信用卡信息。事件发生后，因为受该法案的规制，位于加州的用户被及时告知了这一信息泄露情况，但远在德国的消费者却没有接到任何通知。受此影响，欧盟的修订法案中增加了类似于加州法案的条款（European Commission , 2010）。尽管在全球范围并不存在正式的同行评议制度，但欧盟的决策者显然从加州实践中吸收了相关经验并反思性的将其纳入到欧盟规制的改革当中。

另外一个类似的例子涉及到未成年人的数据隐私问题。一般来说，美国的数据隐私规制倾向于将其监管范围限制在特别敏感的领域，因而它是最早通过对未成年人信息收集和处理行为严格立法的国家之一。1998年，美国通过了《未成年人网络隐私保护法案》（theChildren’s Online Privacy Protection Act of 1998）。该法案严格规定，除非得到监护人的同意，否则不得对未成年人数据信息进行处理。重要的是，几乎完全相同的规定被包含在了欧盟法律指令的改革草案之中（European Commission , 2010）。

尽管研究政策扩散的学者很早就注意到了国家间政策学习的重要性，但实验主义治理的文献辨认出一个重要的学习扩散途径。对于目标评审和规制更新的反思性本质（Reflexive nature）能够将最佳的政策实践吸收进来。欧盟改革中纳入了“数据被侵犯告知条款”和“未成年人保护条款”显示出实验主义治理工具能够推动全球范围内的政策扩散。

结论——欧盟引导全球市场规制的努力

外商直接投资、数字通信技术、以及全球运输都意味着企业和个人都越来越多的直接与国外市场联系在一起。但这些国外市场往往受到不同于本国政策原则的规制。由于美国和欧洲市场是世界上被最严格规制的市场，因而他们之间的相互贸易自然会产生规制措施的冲突。不同领域的规则，诸如对互联网内容、食品标签、化学制品、化妆品、汽车排放的规则会有很大区别。如果不能解决不同规制措施之间的冲突，将严重影响这两大经济体的继续的融合。

重要的是，欧盟内部已经形成了一套实验主义治理机制，这些机制在国际层面也同样扮演着很重要的角色。联合的规制网络（federated regulatory networks）和同行评议并不是孤立的区域范围的解决方案。在数据隐私保护领域，同样的制度创新也被嵌入国际上的互动过程当中。

数据隐私保护的例子为研究解决全球规制冲突的机制的学者提供了重要的洞察力。源于欧洲的实验主义治理工具在国际层面可能会变得更加科层化和具有强制性。由于欧盟与其他较小的国家的权力不对等，同行评议和联合的网络经常体现出以欧盟为核心、其它国家为外围的单方向互动关系。欧盟指令的“充分性条款”成为其它国家的政治参与者推动其国内的立法改革的重要工具，但很少能够反馈过来影响欧盟自身的立法改革进程。类似的，围绕规制执行的跨越各国政府的合作也主要是欧盟指导其他国家的能力建设，而不是对话和反思性学习。欧盟成功地向其他国家输出了其规制体系，但并不一定是以实验主义的治理方式输出的。

而且，以网络为基础的治理路径要求称职的国内机构和规制官员来实施同行评议、交流最佳实践经验、共同承担执行规制的任务。在数据隐私保护的早期谈判阶段，美国缺乏专业经验是妨碍其代表自己利益的一个主要障碍。1970s美国做出的不成立独立监管机构的决定导致在1990s它不能对采用“自我规制”的法律体系进行辩护。美国在国内强调“解除管制”的实践可能在事实上削弱了美国成功参与国际规制辩论的能力。减少对规制机构的资助资金，边缘化其权力，鼓励私人部门采取自我规制的措施或许能够促进美国国内经济目标的实现。但是由于在国际谈判中，国家给予其它国家以特殊的权力，没有一个知识渊博的公共部门官员在谈判桌旁严重影响了美国在海外的规制目标的实现。与之形成鲜明对比的是，欧盟在推动形成统一市场的同时，也大规模地扩展了它的规制机构。欧盟已经建立了大约24个泛欧洲地区的规制机构，对欧洲市场进行监管（Keleman,2005）。类似的发展过程在欧盟各成员国内也在不断进行。从数据隐私保护领域扩展出去，这些内部的改革也会在其它领域帮助欧盟。当前对于欧盟最关键的挑战是在超国家层面上如何有效地协调大量增加的国内规制机构[27]。

最后，在国际互动中，决策者应该放弃简单的二元思维——或者走向统一，或者走向背离。在很多领域，真正的协调一致在政治上是不可能的。美国和欧盟各自都有巨大的内部市场，这意味着许多企业会觉得遵守规制的成本难以负担。强制经济伙伴执行统一的规制会消弱为建立一个真正的跨大西洋的经济体所必要的政治意愿。类似的，当规制传统差别巨大时，相互承认对方的规制也是不可能的。对于欧盟来说，当美国的规制体系是不“充分”的时候，承认其是“充分”的会使欧盟本身的合法性的陷入危机。与此相对照，“安全港协议”为欧美双方的规制体系提供了一个规制“接口”（Bach and Newman,2002）。规制接口是使不同的规制系统具有互相操作性的机制。它并不创造出一个改变国内法律的、自上而下的国际标准。相反的，它承认多种标准和多种执行机制的可行性。规制接口的附加价值是为多种体制和多种执行机制提供了停靠点，这些停靠点使得从一个规制环境向另一个规制环境能够轻松移动。规制接口通过最低标准和最佳实践经验的扩散来实现治理规则的制定。在政策执行方面，规制接口有助于解决管辖权限的问题，并且推动了信息共享，使得更有效的跨国调查和积极礼让的执行成为可能。规制接口在政策执行方面的要素使得其明显不同于跨国公司建立的行为准则和其它标准。简而言之，一个新的治理框架已经形成。在该框架下，仅仅要求在外国市场活跃的企业遵循该国的规制，而不要求这些企业所属国家的政府改变对其国内企业的规制。同时，规制执行的管辖权与地域分离，跨国公司在国外遵守所在地的规制，而跨国公司在其国内市场并不需要遵守（Newman and Posner,2011）。

数据隐私保护规制不仅影响企业的商业战略，同时也影响国际关系。如果不能很好的解决大西洋两岸的规制冲突，这将严重影响信息时代的经济增长和北约体系内的安全合作。更一般的，它标志着规制合作与冲突的一个新领域的成长：国际市场规制。在一系列其它领域，例如互联网内容、食品标签、和工业化学制品，类似的斗争也在酝酿之中。对于大西洋两岸的决策者来说，关键是要深入调查冲突的根源以及找到能够将冲突转变为在21世纪可以运作的市场的各种机制。

附录：表1安全港协议标准

1.声明：企业组织必须提示告知消费者个人：其收集他们个人信息的目的，当消费者有疑问或投诉时如何联系企业，企业向其披露这些信息的第三方属于何种类型，消费者对于限制其个人信息的使用和披露有何选择和手段。当消费者第一次被要求提供其个人信息时、或是在实际可行之后不久、但在任何情况下必须在企业将这些信息用于不同于它最初所宣称的目的或披露给第三方之前，该声明必须以清楚和明显的语言提供给消费者。

2.选择：企业组织必须为消费者提供他们的个人信息是否被使用、及如何被使用，或是否被披露给第三方的选择机会（当这种使用不符合它最初所宣称的收集的目的，或是告知给消费者的目的时）。企业组织必须向消费者提供清楚和明确的、容易可用的、和负担得起的机制来实行这一选择。对于涉及医疗和健康、种族和民族、政治观点、宗教信仰和哲学信念、工会会员、或是个人的性生活等特别敏感的信息时，企业组织必须为消费者提供肯定的、或明确的选择。

3.传输：企业只能将消费者的个人信息提供给与其声明的原则、以及与消费者的选择相符合的第三方。当企业没有向消费者提供选择，因为消费者个人信息的使用符合这些信息当初被收集的目的，或是符合企业在声明中所宣布的目的；如果企业希望将这些数据传输给第三方，而且企业或者是查明了该第三方已签署了安全港原则，或者是企业与第三方签订了一个书面协议要求第三方至少能够提供与安全港原则相同水平的隐私保护，则企业可以向第三方传输这些个人信息数据。

4.安全：企业在创造、维护、使用和散布消费者个人信息时，必须采取合理方式保证这些信息在其未来的使用过程中不会丢失、误用或者未经授权的获得、散布、修改即损害。

5.诚实：在满足以上要求的同时，企业需要保证消费者个人信息是准确、完整且是当前信息。

6.获取：消费者个人必须具有能够获取企业所保有的与其相关信息的合理渠道，并能够在信息不准确的情况下进行修改或补充。

7.执行：有效的数据隐私保护必须保证与“安全港协议”原则的一致性，以及由于不一致而对个人产生影响后消费者的追索权。在最低标准上，以下机制必须被纳入。第一，时刻准备好的并可独立支付的追索机制，可对消费者个人的申诉与争端解决进行调查并能够为所造成的损失进行赔偿；第二，保证企业所声明的隐私政策是真实的且能够实现的确认流程；第三，企业在未能实现与所声称隐私保护目标一致性情况下的责任和补救措施。制裁措施必须足够严厉以保证企业行为符合规制原则。

贾开译；周小庄校

摘自：实验主义治理、崔之元正式网站（www.cui-zy.cn）