6月14日,欧洲议会以压倒性多数的投票结果通过欧盟《人工智能法案》草案。连同欧盟此前颁布的《通用数据保护条例》《数字服务法案》和《数字市场法案》,欧盟在数字监管领域再下重要一城。


数据监管是国际竞争的新赛道,并无放之四海而皆准的“黄金标准”。《互联网法律评论》特约专家、中国政法大学副教授金晶指出,欧盟意在成为全球数据规则和标准的制定者。欧盟数据跨境流动监管表现为两类法律输出途径,一是数据规则的显性输出,以充分性认定和标准合同条款为典型,二是数据标准的隐性输出,以欧洲法院司法审查为代表。


欧盟正在有意识地向包括中国在内的世界其他国家和地区进行法律输出。上述现象反映了欧盟怎样的政策动机?又通过何种途径向全球输出监管标准?中国监管应该做出怎样的应对?


一、引言


我国是数据监管的法律实验室,被誉为“效仿欧盟数据保护法的最重要司法辖区之一”。《个人信息保护法》《数据安全法》和《网络安全法》和《关键信息基础设施安全保护条例》(以下简称“三法一条例”)皆不同程度地移植了欧盟《一般数据保护条例》(GDPR)的核心概念和典型制度,2022年国家互联网信息办公室公布的《个人信息出境标准合同规定(征求意见稿)》(及其附件《个人信息出境标准合同》)和《数据出境安全评估办法》亦以欧盟的标准合同条款(SCCs)和数据保护影响评估(DPIA)为“底版”。


反观欧洲,欧盟虽是数字经济的幼儿,却是数据监管的巨匠。欧盟身处数字经济边缘,几无大型数字平台,仅占全球70个大型数字平台市值的4%(中美占90%),却在为全球数据立法制定“黄金标准”。有数据表明,在欧盟以外的120个国家中,约67个国家遵循了GDPR框架,GDPR俨然成为了个人信息保护的全球范式。不仅如此,欧盟在数字内容、数字服务、数字市场、数据流动、人工智能等各领域的立法更是迭代更新,全领域、全类型的数据监管方兴未艾。欧盟数据规则和标准(后文简称“欧盟模式”)的全球影响甚巨,各国或是迫于全球贸易的市场压力,或是因循“西法东渐”的历史惯性,皆在不同程度上借鉴或移植“欧盟模式”:不仅以日韩为首的东亚国家纷纷效仿GDPR,巴西、阿根廷、乌拉圭等拉美国家也将GDPR奉为圭臬。虽然欧盟的“数据法律帝国”初现雏形,但数据立法的“欧洲中心主义”雄心与数字经济的“欧洲洼地”现实,却并不相称。


在我国,自“三法一条例”颁行以来,外国法渐次退居为本土规则解释与适用的比较法素材,但数据立法中,两个与外国法紧密相关的前提问题,始终未予明晰:一是如何解释数据法的全球趋同现象?欧盟何以成为全球数据立法的“原产地”?“欧盟模式”的全球化究竟仍遵循传统法律移植路径,抑或突破为一种新的法律传播形式,相关研究尚无定论。二是如何定位我国的数据监管模式?我国早已被卷入数字经济全球竞争的洪流之中,尤其在申请加入《全面与进步跨太平洋伙伴关系协定》(CPTPP)和《数字贸易伙伴关系协定》(DEPA)的国际背景下,全球法视野下的数据监管比较研究仍不充分,本土监管模式的理论探寻亦待深入。


为回答上述两个问题,本文用“双重模式+一种趋势”来分析当下的全球数据监管状况。


1. 双重模式,即“欧盟模式”的全球输出,以及基于全球价值链的私人法律移植。欧盟正在向全球“出口”数据立法并试图成为全球数据规则和标准的制定者,跨国公司的全球运营则加剧了“欧盟模式”的全球输出,印证了私人法律移植的发生。


2. 数据监管的“逐顶竞争”趋势。尽管全球数据监管呈现“逐顶竞争”的阶段性特征,满足特定条件时,规则越严格,越容易实现全球趋同,但我国并未满足“逐顶竞争”的前提条件,采取强监管模式,既不能触发私人法律移植,也无法取代“欧盟模式”。


行文逻辑上,本文首先探明欧盟向全球输出数据法律的政策动机,其次识别欧盟采取的显性和隐性两类法律输出途径,进而基于传统法律移植、私人法律移植、规范性力量和布鲁塞尔效应四种理论方案,来提炼数据监管竞争的影响因素,最后将“欧盟模式”的全球化放大到数据流动监管的国家竞争之下,探寻监管竞争的底层逻辑。


二、欧盟向全球输出数据监管模式的政策动机


政策动机型塑法律规则。“欧盟模式”的全球输出,应首先具备充分的法政策依据。欧盟数据政策的特殊之处,在于以“基本权利保护+建构内部市场”为双重目标,数据立法既要保障与数据保护相关的个人基本权利,也要实现欧盟数字单一市场。尽管欧盟数据政策具有内向型特征,但这并不意味其毫无外部性目标,内向型特征反而使得数据政策中的法律输出目标更为隐蔽。宏观层面,从2010年《欧盟个人数据保护整体方案》到2020年《欧洲数据战略》,欧盟数据政策从未放弃向全球输出数据规则、标准和共同价值观的外部目标。微观层面,无论是1995年《数据保护指令》,2016年《一般数据保护条例》和2019年《非个人数据自由流动框架条例》,还是2022年《数字市场法》和《数字服务法》,欧盟始终要求进入单一市场的外国公司(数字平台)以遵守欧盟规则为前提。由此可见,欧盟数据政策并不如其所宣称的那样,仅为实现内部市场或单纯保护欧盟公民,“基本权利保护+建构内部市场”的双重目标,恰是其对外输出数据监管模式的政策动机。


(一)外部动机:从附带性输出到战略性输出(1995-2022)


以GDPR为分界点,可以将近三十年的欧盟数据政策区分为政策初定期、转型期和战略扩张期三阶段,每一阶段的政策目标各有不同,渐进发展:最初旨在建构内部市场,继而想向全球推广GDPR范式,当下意在制定全球规则和标准。


1995年至2015年,欧盟数据政策初步成型,以建构内部市场为要义。1995年《数据保护指令》颁行后的一段时间,欧盟数据政策相对内敛,聚焦于统一数据监管环境,旨在消弥成员国之间的贸易壁垒。此时,欧盟数据立法对外产生的法律趋同仅是一种附带结果,属于偶然发生的外溢效应,有学者称之为消极外部化(passive externalization)现象,即是在欧盟监管议程意料之外的副产品。在政策内容上,欧盟在这一阶段仅提出,要推动制定个人数据保护的国际法律标准和技术标准,但并未确定数据保护普遍原则的内容。


例如,《欧盟个人数据保护整体方案》(2010)和《在互联世界中保护隐私:面向21世纪的欧洲数据保护框架》(2012)仅将完善立法、明确充分性评估标准确定为首要立法目标,在数据保护的五项关键目标中,欧盟委员会(以下简称“欧委会”)将“数据保护的全球维度”列为目标之四,并将推广普遍原则(universal principles)列为该目标的次位任务,位置靠后,重要性亦不突出。


此时,“对外推广欧盟标准”和“全球适用欧盟规则”仅构成数据政策实现内部市场的附带性目标,“欧盟模式”对外产生的法律趋同仅是一种附带性外溢效应。


2016年至2019年,欧盟数据政策逐步转型,以在全球推广GDPR为标志。2016年的GDPR可谓欧盟数据政策的转折点。欧盟通过颁行GDPR统一个人数据保护规则之后,便以法律趋同之名向全球推广GDPR。在这一阶段,欧盟的法律输出路径逐渐明晰,借助法律移植来推广GDPR,立法者有意识地引入充分性认定等制度来加速移植。但对数据政策的转型而言,GDPR仅起到了催化剂作用。事实上,早在GDPR通过前,欧盟政策立场就已发生微妙变化,欧盟政策文本中,已经开始出现制定国际标准、国际推广欧盟规则等表达,欧委会甚至在《欧美数据流的信任重建》中明言“大西洋两岸正在进行的数据保护法改革,为欧盟和美国提供了一个独特的机会来制定国际标准”。GDPR颁行之后,欧盟提出,许多国家采取了与GDPR类似的数据保护规则,数据保护的规则和重要基本原则出现了全球趋同,因此,应当发挥GDPR的范式效应,通过法律制度的趋同,来推广欧盟的数据保护价值,制定全球数据保护标准。


自2020年至今,欧盟数据政策开始战略扩张,意欲为全球制定规则和标准。后GDPR时代,欧盟数据政策升级到技术主权的战略高度。乌尔苏拉·冯德莱恩(Ursula von der Leyen)领衔的新一届欧委会倡导重夺技术主权,内部市场委员蒂埃里·布雷顿(Thierry Breton)提出要让欧盟成为标准制定者。欧盟数据政策明确表达出数字战略意义上的地缘政治诉求,《欧洲数据战略》《塑造欧洲的数字未来》《人工智能白皮书》频现“欧盟有能力发挥全球领导作用”“欧盟作为数字经济监管的全球标准制定者”等提法,欧盟不仅要求在扩大政策、邻国政策时更注重数字化,甚至提出要制定欧洲标准,确保充分遵守欧盟价值观和规则,利用监管权力推进欧洲方法、制定全球标准。2022年《欧盟标准化战略:制定全球标准,支持一个有弹性、绿色和数字化的欧盟单一市场》甚至将欧盟的角色定位为“全球标准制定者”,将设定全球标准(global standards-setting)作为支持数字单一市场、促进欧盟核心价值的关键途径,旨在塑造符合欧盟价值观和利益的国际标准。例如,2022年《数据治理法案》第六章专设欧洲数据创新委员会(European Data Innovation Board),设定数据共享、传输、数据空间之标准。


(二)内部动机:公平贸易和基本权利


“欧盟模式”全球输出的内部诱因,在于欧盟共同价值观,其以公平贸易和基本权利为典型表现。公平贸易侧重经济之维,是欧盟在全球贸易中追逐自身利益的规范表达,旨在实现欧洲资本的全球化,基本权利是深层意识形态因素,更隐蔽,更具争议。


第一,公平贸易(fair trade)是“欧盟模式”全球输出的经济动因。欧盟欲保护和发展内部单一市场,就须为欧盟企业提供有利竞争环境。在内部单一市场中,欧盟实现外国公司和欧盟企业“公平竞争”的重要政策工具,是为市场准入设置合规门槛,数字单一市场亦如是。早在2014年的政治指导方针中,容克委员会(Juncker Commission)就表明,欧洲的数据保护标准是自由贸易不可动摇的内容,“数据保护是一项特别重要的基本权利......不会在自由贸易的祭坛上牺牲欧洲数据保护标准”。为实现数据流动领域的公平贸易,欧盟既要求外国公司遵守欧盟规则,又着手解决欧洲公司在域外受到的数据本地化等不合理限制,还通过世界贸易组织来破解欧洲公司域外经营面临的数字壁垒。简言之,基于公平贸易价值,数字市场的公平竞争和反垄断监管,实质是欧盟经济利益最大化的规范表达,《数字市场法》和《数字服务法》即为典型。


第二,基本权利(fundamental rights)则为“欧盟模式”全球输出的价值根基,是欧盟价值观、意识形态的规范表达。欧盟数据政策绝非价值中立,数据规则以共同价值观为基础。例如,欧盟将价值观认同视为国际合作的前提,无论是与发展中国家、新兴国家发展数字伙伴关系,还是向非洲国家提供数字经济支持,都以符合欧盟价值观为前提。欧盟甚至认为,其有能力在不牺牲强大的基本权利价值观和传统的情况下解决问题,并应通过鼓励全球法律体系趋同,来借机推广欧盟的数据保护价值观。


据上所述,数据政策的三十年演进表明,欧盟具备向全球输出数据监管模式的政策动机。对外,通过为全球制定数据规则和技术标准,欧盟以更具规范性的方式发挥影响力。在数字经济不甚发达却欲型塑全球规则的矛盾之下,欧盟持成文法传统优势之“利器”,走上了“出口”规则来影响全球数字经济的独特道路。对内,以数据合规来作为外国公司准入前提,欧盟创造了更有利于欧盟公司的竞争环境。行文至此,“欧盟模式”全球输出的政策动机确凿,但法律输出绝非易事,端赖于有效的制度供给,故须进而探究,微观层面的法律输出如何实现。


三、数据流动监管模式的两类输出途径


“欧盟模式”得以全球扩张,很大程度上取决于立法者有意识地“嵌入”具有扩张功能的概念、规则等规范要素,其数据流动监管即为一例,区分显性输出和隐性输出:显性输出指对外输出数据规则,具有公开性,以充分性认定、标准合同条款等成文规则为内容,隐性输出指数据标准的全球影响,具有隐蔽性,以欧洲法院司法审查确立的“实质等同”数据保护标准为典型。


(一)数据流动规则的显性输出


数据流动规则是“欧盟模式”的显性输出途径,具有成文化、官方化和外交化三项特征。成文化,即GDPR和《非个人数据自由流动框架条例》分别确立个人数据和非个人数据的流动规则,形成了全类型数据的流动规则。官方化,即欧盟以欧委会决定(commission implementing decision)的正式形式,来通过充分性认定和标准合同条款。外交化,即欧盟借助颁行充分性认定的权力,积极将充分性认定纳入双边谈判之中,以国别性谈判形式认可域外国家的数据保护水平,由此实现对外“出口”数据保护标准。例如,2019年,欧委会通过对日本的充分性认定,充分性认定构成欧盟和日本《经济伙伴关系协定》(EPA)之补充。2022年,欧盟和日本正式启动了将数据流动规则纳入《经济伙伴关系协定》的谈判。


1. 充分性认定:国别性输出


充分性认定(adequacy decision),可谓欧盟对域外国家设置的一种数据跨境自由流动的“白名单”机制。其以GDPR第45条为依据,该条第一款规定,当欧盟以欧委会决定的形式,认定某个国家、某个国家的特定区域或行业或者某个国际组织能够提供充分的数据保护水平时,个人数据即可向前述国家、区域或国际组织传输,该传输无需欧盟的额外授权。换言之,当某个国家获得了欧盟的充分性认定,该国的数据进出口方与欧盟之间可以直接进行数据跨境传输,而无需进一步的数据保护或特别授权。


不仅如此,即便是特定国家一朝获得充分性认定,也不意味该国能够“一劳永逸”,永久性获得与欧盟自由传输数据的“通行证”。依据GDPR第45条第3款,欧盟有权定期审查域外国家的数据保护水平,至少每四年一次,这一规定为欧盟持续性监督域外国家的数据保护水平提供了正当性依据。因此,充分性认定,形式上是设立欧盟与域外国家、地区间的双边性数据自由流动区,实质上是欧盟整体审查、持续监督域外国家、地区的数据保护水平。基于确保出境数据持续延续欧盟高水准保护之理由,欧盟整体审查和评价域外国家、地区或组织的数据保护水平,在认定第三国能提供充分数据保护时通过充分性认定。


充分性认定之所以是一种有效的国别性法律输出工具,理由有三。一是适用对象上,充分性认定类似双边机制,具有整体性,针对域外国家、地区或组织,不针对单独商主体。二是经济动因上,欧洲公司更倾向于在获得充分性认定的区域设立公司或数据中心,为便利与欧盟的数据流动,域外国家存在获得充分性认定的动力。三是立法推动上,欧盟要对特定国家通过充分性认定,首先是要整体审查该国家的数据立法,评估该国家的数据保护水平。倘若域外国家数据立法遵循GDPR范式,其更易被欧盟认可,有助于获得充分性认定。简言之,充分性认定反向推动了域外国家对“欧盟模式”的法律移植,促使域外国家主动采纳欧盟模式以“换取”充分性认定。


2. 标准合同条款:个别性输出


欧盟亦配置了具有个别输出功能的法律工具,典型者当属标准合同条款、有拘束力的公司规则、行为准则和认证机制。这四类替代性数据传输工具适用于全球商事交易中的数据传输,不局限于特定国家。当数据流向未获得充分性认定的国家时,数据进口方可以通过此类工具实现数据流动。


标准合同条款本质上是个人数据跨境传输的监管工具,是欧盟针对商事交易“定制”的标准化条款,通过条款的强制使用和内容强制机制,将监管要求“渗透”到个别交易之中。内容强制是标准合同条款的制度特色,指欧盟在标准合同条款中提前“固定”特定数据传输中所欠缺的数据保护内容,以强制性合同义务的形式,来弥补特定第三国数据保护水平之不足,同时引入条款禁止变更规则,强化内容强制。例如,欧盟将数据保护标准转化为具体合同义务,拘束数据进出口方,并通过标准合同条款第8条,对“控制者—控制者”“控制者—处理者”“处理者—处理者”“处理者—控制者”四类传输模块区分配置数据保护义务。


欧盟标准合同条款对我国《个人信息出境标准合同规定(征求意见稿)》及附件《个人信息出境标准合同》产生了深刻影响。规范结构上,《个人信息出境标准合同》参考了欧盟标准合同条款的权利义务结构,采纳了个人信息处理者的义务(第2条)、境外接收方的义务(第3条)和个人信息主体的权利(第5条)的三分式结构。制度构成上,利益第三人合同并非全球通行的合同法制度,两大法系制度构造不同,但随着欧盟标准合同条款将受益第三人条款确立为核心条款,此类条款“潜移默化”地成为了数据跨境传输合同的典型规则,受到国际立法实践认可,东盟跨境数据流动示范合同条款就在“个人救济的附加条款”中引入此类条款。我国借鉴了欧盟标准合同条款中的受益第三人(third-party beneficiaries)概念,将个人信息跨境传输合同构造为真正利益第三人合同。《个人信息出境标准合同》第5条明确引入“第三方受益人”概念,个人信息主体有权以第三方受益人的身份,执行标准合同中个人信息处理者和境外接收方关于个人信息保护义务的权利。


数据流动规则是欧盟向全球“出口”数据流动监管模式的显性输出。规则的规范性和明确性固然是显性输出的优势所在,但其缺点亦在于此:数据传输技术迭代迅速,成文规则缺乏弹性,单凭数据规则不足以“一劳永逸”实现持续性输出,规则中的一般概念和基本原则仍需要司法的解释和发展。


(二)个人数据保护标准的隐性输出


欧洲法院的司法审查是“欧盟模式”对外输出的隐蔽途径,旨在确保“欧盟模式”持续性发挥影响。欧盟在GDPR数据流动规则中“嵌入”司法审查的规则“接口”,为法院持续监管全球数据流动提供了合法基础。无论是主权国家,还是商主体,但凡适用充分性认定、标准合同条款等数据传输工具,都有可能触发欧洲法院司法审查,而个人数据保护标准作为司法审查基准,灵活并极富自由裁量空间。个人数据保护标准之所以是一种隐性输出,在于其审查对象、裁判依据和辐射效应的隐蔽性。


一是审查对象的扩张。欧洲法院裁判虽仅限于欧盟权力范畴,但司法审查的对象却扩至域外国家数据保护水平,全面审查域外国家数据保护法治状况。在2020年Schrems II案中,欧洲法院不仅审查了美国的数据保护法,还审查了美国法是否符合欧盟的基本权利保护水准。


二是双层裁判法源。欧盟法的双层法源结构是基本权利保护价值输出的正当基础。作为条例,GDPR仅是派生性立法,基于“基础性法律的位阶高于派生性法律”的基本原则,欧洲法院的裁判依据可以直达《欧盟基本权利宪章》(简称《宪章》)第7条(私人生活和家庭受到尊重的权利)和第8条(个人数据受保护权)。欧洲法院以保障宪法层面的“基本权利保护”为目标,以处于效力位阶顶端的基本权利为审查基准,本质上是通过司法判例向全球扩张基本权利保护的欧盟价值观。


三是司法审查的辐射效应。司法审查虽针对个案,但实质上是一种宪法审查式的效力审查。法院通过审查欧盟法律文件之效力,以欧盟标准评价第三国数据保护水平,进而借助判例奠定的个人数据保护标准引发全球效应。例如,Schrems II案确立了个人数据保护水平的实质等同(essentially equivalent)标准,为全球数据流动监管确立了保护标准。


欧盟数据保护标准的隐性输出是卓有成效的,个人数据保护的实质等同标准即为一例。在Schrems II案中,欧洲法院将GDPR第46条第1款和第2款第c项“适当保障”和“可执行的(数据主体)权利和有效法律救济”解释为“基于标准合同条款传输到第三国的个人数据所获得的保护水平,应确保与在欧盟基于GDPR和《宪章》所享受的保护水平实质等同”。法院将《宪章》视为GDPR国际适用的标准,认为美国法在隐私领域不符合欧盟保护标准,在美国企业侵犯欧盟公民隐私时,欧盟公民缺乏有效的法律保护工具,尤其缺乏独立的法院审判,构成对《宪章》第7条、第8条和第47条之违反,判定《欧委会关于美欧隐私盾的充分性决定》无效,《标准合同条款决定》未违反《宪章》有效。与标准合同条款类似,有拘束力的公司规则的效力审查亦属于实质司法审查范畴。无论采纳何种欧盟数据传输方式,域外法律必须实质符合欧盟基本权利保护标准,如若不然,数据传输都可能违法无效,而欧洲法院对此拥有终极司法裁量权,欧盟成为了个人数据流动标准的全球输出者。


实质等同标准亦在某种程度上影响了我国,《个人信息保护法》第38条第3款规定个人信息处理者应采取必要措施,保障境外接收方的处理活动达到个人信息保护标准,构成我国的“同等保护水平”标准,与“实质等同”标准可谓大同小异。


四、“欧盟模式”全球化的多元解释


即便证实欧盟存在法律输出的政策动机,并查明欧盟数据监管工具具备法律输出功能,仍须进一步追问,“欧盟模式”何以从全球数据监管模式中“脱颖而出”并“风靡全球”,其原因为何。“欧盟模式”的全球化究竟只是一过性、阶段性的偶发事件,还是长期规律性的必然趋势?鉴于数据所涉议题的复杂性,“欧盟模式”的全球化很难仅从法律之维圆满解释,而须基于政治、经济等多重维度展开,传统法律移植、私人法律移植、规范性力量、布鲁塞尔效应构成四种可能的解释方案。


(一)传统法律移植


法律移植是比较法解释法律趋同的经典路径。“欧盟模式”的全球化,属于艾伦·沃森(Alan Watson)传统法律移植理论中“主动大规模移植”的第三种类型,即一个民族自愿接受另一个民族的法律。“欧盟模式”的全球输出以获得欧盟充分性认定为驱动因素,以主权国家移植GDPR的概念、规则和制度为表现,呈现出如下两个特点:


其一,第三国的法律移植以GDPR为范本。无论是日本、韩国、巴西、南非等大型经济体,还是哥伦比亚、泰国等中型经济体,乃至印度、印尼、智利、肯尼亚、塞内加尔、加利福尼亚等国家和地区,各国和地区的数据立法都不同程度地借鉴GDPR范式。例如,2021年1月韩国《个人信息保护法(修正案草案)》新设“个人信息境外传输”章节,第28—8条第2款列举个人信息境外传输的四类情形,第28—9条第1款第2项引入与欧盟类似的条款。巴西《通用数据保护法》第五章确立了与GDPR类似的数据传输规则,塞内加尔《个人数据保护法案》在解释性声明中明言,其以“欧盟向第三国传输数据的要求”为基础,专设个人数据委员会作为独立监督机构,以符合欧盟的监管要求。


其二,各国主动法律移植受充分性认定驱动。域外国家移植GDPR范式,以“换取”欧盟的充分性认定,两者虽无绝对因果,却有必然联系。未获得充分性认定时,域外国家与欧盟之间数据跨境流动的整体性通道存在障碍,充分性认定成为了域外国家与欧盟建立数据自由流动区的主要途径。相关国家修改本国立法和获得充分性认定的时间线,亦为两者之间的联系提供了佐证。


例如,2016年日本修订《个人信息保护法》,旨在与GDPR保持一致,以加速充分性谈判。2020年日本再次修法,确立了个人数据跨境传输的域外适用和罚则,在第24条设置与欧盟类似的“确保数据接收方持续采取与日本《个人信息保护法》要求等效的方式处理数据”的等效处理(equivalent action)规则。2019年,日本获得欧盟的充分性认定。又如,2000年,阿根廷以欧盟1995年《数据保护指令》为范本,通过《个人数据保护法》;2003年,阿根廷获得充分性认定;阿根廷甚至为了保持其充分性地位,在2016年专设工作组,研究GDPR时代所需要的立法改革。乌拉圭2008年通过的《数据保护法》亦以欧盟数据保护框架为模版,其在2012年获得充分性认定。


传统法律移植的理论局限,在于难以解释跨国公司等私主体在“欧盟模式”全球化中的作用。传统法律移植以国家为主导,是在政府、法院等国家公权机关主导下,将规范从一个国家移植到另一个国家的过程。域外国家在获得充分性认定的驱动下,将GDPR作为本国立法范本,尽管国家主导型的传统法律移植理论可以部分解释GDPR的法律移植现象,却无法解释跨国公司在全球传播中的贡献。就欧盟数据传输机制的整体而言,充分性认定仅构成欧盟数据跨境传输工具之一种,这难以解释,为何在充分性认定之外,标准合同条款、有拘束力的公司规则、认证等替代性传输工具亦能风靡全球,这些法律工具受域外国家立法影响较小。在“欧盟模式”全球输出的过程中,在传统法律划分上属于私主体的跨国公司(尤其是跨国科技巨头)也在推进法律移植,但传统法律移植理论无法涵盖前述主体的法律传播行为。


(二)私人法律移植


作为新兴的比较法理论,私人法律移植(private legal transplant)、通过私合同的法律移植(legal transplants through private contracting)(简称“私人法律移植”)或可为跨国公司在“欧盟模式”全球输出中的推进作用提供新的解释。私人法律移植是一种未获关注、被低估的现象,以全球商事交易为背景。跨国公司成为全球法律传播的新主体,法律的制定和流通不再专属于传统的公权力机关,而愈发与跨国公司等非国家主体的商业经营相关联。传统法律移植概念与跨国公司的上述行为模式并不契合。比较法学者多基于国家视角来理解法律移植,鲜少关注非国家主体在法律共振峰传播中的作用。罗道尔夫·萨科(Rodolfo Sacco)语中“由国家公权机关制造、借用、接受和调整法律规范”的法律共振峰(legal formants)概念,亦难解释跨国公司引发的法律全球传播现象。私人法律移植实质上构成法律共振峰的一种“变体”,是一种与资本全球化密切相关的、全球范围内的非制度性跨国流通,以跨国公司为代表的资本全球化,是法律全球传播的推动力。


私人法律移植的理论优势在于,其能解释跨国公司在“欧盟模式”全球化过程中的独特作用。例如,跨国公司自愿适用欧盟的标准合同条款等法律工具,并将之纳入公司全球经营,这加速了“欧盟模式”的全球传播。由此,欧盟无需依靠国际机构,仅凭跨国公司的全球经营,并借助充分性认定建立数据自由流动区,就能自然地向全球输出其数据流动监管模式。而私人法律移植之实现,主要基于如下两个维度展开:


一方面,全球价值链是私人法律移植的基础。跨国公司在制定和执行统一的全球隐私政策或行为准则后,出于合规成本和统一运营原因,会要求其全球分公司、子公司或商业合作伙伴协同遵守,公司的规范文件由此突破商业经营的地理边界,借助全球生产链在其他国家发挥作用。由于跨国公司全球运营覆盖不同司法辖区的公司产品和服务,其需要根据各辖区的监管要求来调整本地业务的合规政策。实践中,跨国公司大多会按照总部设立地、所在地或主要市场地的核心监管要求设计合规模版。为满足全球合规的经营需求,跨国公司就会采取选取最高合规标准的逻辑,“自上而下”地主动选择目标市场的最高标准,将之作为全球合规政策模版。例如,为满足欧盟的市场准入要求,跨国公司常常在其全球隐私政策中原封不动地“复制”GDPR的监管要求。正是通过跨国公司的全球经营,隐私政策等公司规范性文件得以在全球传播,私人法律移植逐步实现。


另一方面,行为准则是私人法律移植的典型形式。数据跨境流动机制中,有拘束力的公司规则是一种典型的行为准则。此种公司规则由跨国公司单方面拟定,作为公司内部规范性文件在整个公司传播,构成公司集团内部的数据传输机制,适用于控股企业及其控制的企业的公司集团。由于全球供应商和经销商的生产、销售、经营行为密切关联,无需国家或公共当局之干预,跨国公司自主拟定的有拘束力的公司规则能够超越公司集团,而传播到全球生产网络之中。而当跨国公司自主选择的规则以跨越司法辖区、地理边界和法律秩序的方式扩展到全球之时,就发生了法律共振峰的移植,法律趋同随之而来。相较于传统法律移植理论,行为准则的制定无需国家参与,公权机关不介入企业内部规范的事前选择。不仅如此,行为准则的内容来源多元,不受法律传统和法律秩序约束,企业可以从完全不相关的法律传统或制定法中选取、移植规则,行为准则的传播亦无需法律移植的“接受国”介入,跨国公司只需在一国领土上从事经营活动,即可实现公司内部规范的域外传播。


(三)规范性力量


欧盟规范性力量(normative power)是国际政治理论解释欧盟政策外部影响力的理论依据。欧洲学者伊恩·曼纳斯(Ian Manners)认为,规范性力量是欧盟通过宣言、条约、政策、标准、条件等规范性基础来传播欧盟价值原则并形成规范性概念的能力,规范性力量侧重于非物质性的影响力,强调世界政治中的规范正当性,以欧盟的民主、人权和法治原则为中心,试图让世界接受其普世规范,主张在世界政治中以规范的方式行事。


规范性力量的解释力在于,其能在一定程度解释欧盟在数据监管领域的相关行为。尽管欧盟的数字经济远远滞后于中美两国,但欧盟选择通过制定成文法的传统优势,选择以法律输出形式来谋求在全球数字经济竞争中的战略地位,来施展其在数据领域的国际影响力,并将输出欧盟共同价值观作为内部动机。公平贸易、公平竞争就是欧盟在全球贸易中追求自身利益的规范表达。


规范性力量的局限在于,其难以圆满解释欧盟数据政策的所有发展阶段。本文将欧盟数据政策发展进程划分为政策初定期(1995-2015)、政策转型期(2016-2019)和战略扩张期(2020至今)三阶段,分别以建构内部市场、扩张GDPR范式和制定全球标准为要旨。规范性力量显然无法圆满解释第一阶段的欧盟数据政策。在政策初定期,欧盟数据政策相对内敛,数据立法对外产生的法律趋同影响仅是一种偶然外溢效应,数据政策中的“对外推广欧盟标准”和“全球适用欧盟规则”内容,仅是实现内部市场这一“头等要务”的监管议程副产品。换言之,在GDPR范式效应形成之前,向全球输出“欧盟模式”并非欧盟对外政策的首要目标,第一阶段的欧盟政策仍是非主动型对外输出,规范性力量难以为这种消极外部化的外溢效应提供合理解释。


(四)布鲁塞尔效应


如果说规范性力量将欧盟描述为一种非强制的新型权力,2012年以来美国学者阿努·布拉德福德(Anu Bradford)提出的布鲁塞尔效应(Brussels Effect)则为欧盟的外部影响力,尤其是为“欧盟模式”的全球输出提供了新的解释方案。布鲁塞尔效应,指欧盟单方面监管全球市场的能力,这是一种市场将欧盟规则传播给欧盟外的市场主体和监管机构的现象,其源于市场规模和跨国公司在全球范围内采用欧盟严格标准的自身利益。布鲁塞尔效应以单边监管全球化(unilateral regulatory globalization)为基础,单边监管全球化的假设是,采用全球统一标准比遵守多种监管标准(较宽松标准)的好处更多,当一个国家能够通过市场机制将其法律法规外部化到境外,进而导致标准的全球化时,单边监管全球化就发生了。事实上,欧洲对全球市场的单边监管权力被严重低估,欧盟正在通过法律制度和标准影响全球,其仅凭市场力量,就足以将欧盟标准转化为全球标准。


布鲁塞尔效应的理论贡献有二。一是提炼单边监管全球化的前提条件。这包括市场规模、监管能力、监管倾向、监管对象无弹性和标准不可分割性,以市场规模、监管倾向、监管对象、标准的不可分割性最为关键。


其一,市场规模(market size)是监管权力的基石,外国公司倾向于采用重要市场的普遍标准以确保市场准入,进口国的标准制定权力受到外国公司对进口国市场依赖性之影响。


其二,监管倾向受制于监管环境所依赖的普遍政治经济条件,高收入国家更倾向于强监管(stringent regulations),以牺牲公司盈利来保护消费者。


其三,若监管对象缺乏弹性(inelastic targets),无法通过迁徙来逃避严格监管,市场主体就很难主动寻求更宽松监管环境,企业行为对强监管的破坏能力就相对有限,只有对无弹性的监管对象施以强监管,才能确保此种强监管能够超越其他替代性监管标准。


其四,就标准不可分割性(non-divisibility)而言,当出口商的生产或行为在不同市场之间不可分割时,当公司遵守全球单一标准的成本收益优于遵守多种不同监管标准时,出口商才有动力采用统一的全球标准,欧盟标准才能成为全球标准。


二是甄别出市场强制(market forces)在“欧盟模式”全球化中的助推作用。市场强制指外国公司无法放弃欧盟市场,但又忌惮于违反欧盟监管所面临的高昂违规成本,因此主动调整其合规政策和市场行为,以适应欧盟的强监管。在市场强制创造非自愿激励(involuntary incentives)的过程中,可以区分事实上和法律上的布鲁塞尔效应,前者改变了外国跨国公司的动机,后者则是指跨国公司积极游说本国市场,通过游说行为,使本国调整监管政策。具体而言,事实上的布鲁塞尔效应(de facto Brussels Effect)意味着,虽然欧盟只监管自己的内部市场,但因跨国公司既无法割舍欧盟市场,又不能规避监管,其便产生了在全球范围内依据一套统一的规则、将全球生产标准化的动力,由此也就将欧盟的规则转化为了全球规则。跨国公司按照“欧盟模式”调整其全球行为,例如更新全球隐私政策之后,跨国公司也有动力游说本国采纳与欧盟相仿的规则和标准,以确保其在与国内非出口型公司竞争时的优势地位,事实上的布鲁塞尔效应由此就转化为法律上的布鲁塞尔效应(de jure Brussels Effect)


布鲁塞尔效应的解释力在于,其更契合欧盟数据政策的演进过程。首先,布鲁塞尔效应将“欧盟模式”的全球化界定为偶然外部效应,认为欧盟成为全球监管霸权是欧盟在建构内部单一市场中的监管行为所产生的偶然性副产品。这一界定符合欧盟数据政策在政策初定期(1995-2015)的阶段特征。其次,相较于传统法律移植理论,布鲁塞尔效应能更合理解释,外国公司为何在市场强制下能将欧盟标准推向全球并转化为本国法。再次,相较于规范性力量,布鲁塞尔效应能更周延解释“欧盟模式”全球化的实现过程。对欧盟公司而言,欧盟规则旨在增强欧洲公司的竞争力,欧盟规则的全球化,能使欧洲公司获得更佳竞争环境,对外国公司而言,外国公司难以轻易放弃欧盟市场,故以数据合规来换取市场准入,但为降低同时遵守多国监管制度产生的合规成本,外国公司亦有动力将欧盟标准扩展到全球经营。


布鲁塞尔效应的局限在于,其仅是一种阶段性解释方案,而非持续性的科学定理。布鲁塞尔效应之实现,须以特定条件满足为前提。一旦前提条件发生变化,或是数据技术变革或国际政经格局骤变时,就有可能影响布鲁塞尔效应的实现。倘若监管对象能够借助新的数据技术来实现自身的物理迁徙,如当企业遵守全球单一标准不会比遵守宽松监管要求产生更大收益时,当出口商的生产或行为在不同市场之间能够顺利分割时,当遵守多元监管标准不会比遵守单一标准产生更高成本时,都会阻碍布鲁塞尔效应的形成。因此,尽管布鲁塞尔效应能够合理解释当下“欧盟模式”的全球化现象,但其仅是一种阶段性解释方案。


综上,传统法律移植、私人法律移植、规范性力量和布鲁塞尔效应都可以解释“欧盟模式”的全球化现象,各有其解释力与局限性。“欧盟模式”的全球输出是传统法律移植和私人法律移植共同作用的结果。传统法律移植能够解释,域外国家为获得充分性认定而在本国立法中移植GDPR。私人法律移植则表明,跨国公司的全球经营加速了“欧盟模式”的全球传播。跨国公司使用标准合同条款、有拘束力的公司规则等法律工具触发了市场强制,形成了事实上的布鲁塞尔效应,布鲁塞尔效应又反向印证了私人法律移植在“欧盟模式”全球输出中的作用。从四种解释方案中可以发现,全球市场构成了数据监管全球趋同的共同要素,无论是国家立法,还是跨国公司全球合规,均服务于经济目标。


五、全球数据监管竞争的底色与天花板


(一)数据监管的“逐顶竞争”


“欧盟模式”的全球输出,可谓全球数据监管“逐顶竞争”之例证。监管竞争理论中,就全球监管究竟是一种向上竞争还是向下竞争,素来有“逐底竞争”(race to the bottom)和“逐顶竞争”(race to the top)两种假设。前者指政府降低监管标准来吸引辖区内的经济活动,由此提高全球经济中的相对竞争地位,税收和劳工监管即为其例;后者指政府提高监管标准,强监管的全球扩张使国内规则愈发严格,环境和数据监管即是如此。数据监管的“逐顶竞争”意味着,数据规则和标准愈严苛,法律趋同愈易实现。本质上,市场强制是数据监管“逐顶竞争”得以实现的关键前提。“欧盟模式”的全球传播,在于其确立了数据保护的若干全球最高标准,引发外国公司忌惮违规成本而进行非自愿调整。欧盟并未强迫别国采纳其规则,跨国公司的自发行为,助推了严格规则的全球趋同。


尤值一提的是,欧盟强监管模式仍在“自我强化”,新近出现了从行业细分式监管转型为全行业监管的趋势。欧盟既往的数据监管,主要采取区分特定部门设定具体规则(sector-specific rules)的纵向监管路径,但以2022年《数据法(草案)》为转折,欧盟通过颁行横向草案和横向规则(horizontal proposal and rules),为所有行业部门设定基本规则,转向了全领域、全行业的横向监管路径。《数据法(草案)》的解释性备忘录甚至明确规定,草案所涉领域的未来立法,将与草案中的横向原则保持一致。一旦全领域、全行业的横向监管规则借助“逐顶竞争”在全球传播,“欧盟模式”对全球数据产业的影响将进一步加剧,“欧盟模式”本身的影响力也将增加。


(二)强监管的弱点


强监管的力量在于保障国家安全、公共利益并提高消费者福祉(个人信息保护)。监管者在产品性能、安全性等标准上设定严标准,能够促使本国企业改善质量、提高技术能力,驱动本国企业领先开发新的产品和服务性商品,由此创造和提升竞争优势。某些情况下,强监管会使外国公司更难销售数据产品和数据服务,从而为国内数据生产商创造竞争优势,增强国内数据产业的国际竞争力。


但强监管是有代价的。强监管需要大量的监管资源,还需匹配的监管能力。若一味追求强监管,有可能引发限制数据市场发展、转嫁监管成本、数据保护主义等风险。例如,美国信息技术与创新基金会(ITIF)曾根据OCED的产品市场监管(Product Market Regulation, PMR)综合指标体系对数据本地化造成的潜在影响进行测算,以5年为周期,一国的数据限制性增加1%,其对外贸易将减少7%,生产率降低2.9%,相关业务的产品和服务价格会上涨1.5%。


对国内市场而言,强监管可能会阻碍数据产业创新,合规成本增高后,企业可能会压缩产品的创新支出。相较于大型跨国企业,中小型企业更难负担高昂的合规成本,强监管可能会进一步巩固大型企业的市场权力。强监管还会提高数字产品和服务的标准,增加的企业合规成本最终就会以产品涨价的形式转嫁给消费者。


对国际市场而言,强监管可能会削弱我国出口型企业的全球竞争优势,强监管还很容易变成受保护主义驱动的限制性政策,扭曲市场竞争秩序,反向推动跨国科技巨头区分区域产品。


(三)监管竞争的底层逻辑


市场是数据监管全球竞争的底层逻辑,主权国家通过监管竞争来抢夺数字经济红利,获得数字经济的竞争优势,由此形成新的国家竞争优势。由是观之,数据监管竞争的根源,或在于数据重构了全球价值链,成为国家竞争优势的新“增长点”。


一方面,数据跨境流动之监管,可能触发全球价值链“共振”。数据跨境流动是数字经济时代的贸易命脉,是数据价值创造的必要一环。基于全球价值链,数据的价值创造过程往往涉及数据跨境流动,跨境数据流已成为跨国公司全球经营的要素,已渗透至全球贸易的各个环节:在生产阶段,企业欲控制和协调各地分散的生产过程,就需要发送库存、销售、订单状态、生产计划等数据,在交付阶段,数据不仅能追踪货物进出口实时状态,也是跨境提供数字服务的媒介,在使用阶段,消费者体验有赖于售后服务的有效响应,经营者需要准确监测产品性能并及时维护、修理和备件,这些都通过数据流连接。


由此可见,数据流将全球价值链中地理上分散的生产阶段连接了起来,针对数据跨境流动的监管措施,不仅会给数据控制者,而且会给整个社会带来巨大的机会成本。一旦数据成为通过全球价值链进行国际生产的关键要素,对数据跨境流动的监管就有可能产生贸易后果。限制数据跨境流动,采取严格的数据本地化措施,非但不能促使本国数据产业融入全球价值链,甚至可能扼杀本国数据产业的全球化发展。


另一方面,数据监管模式的全球扩张可能暗含“价值提取”逻辑(extractive logic),数字经济和数据技术欠发达国家地区或面临“数据殖民主义”风险。当原始数据流向境外,发达国家具有将之加工为数字智能(数据产品)并获取数据价值的技术能力,发达国家由此具有从发展中国家采集原始数据,并通过数据处理来创造价值的经济动机。倘若发展中国家需要进口先进的算法等数据产品来支持本国发展,数据原产地所在国在某种程度上就依赖于提取、控制数据的国家,而数据监管模式的全球化,就可能引发全球价值链中的不平等交换。数据监管模式全球扩张的市场逻辑在于,通过扩张本国监管模式、制定全球标准,来尽可能使自身从数据中获益。在这种“价值提取式”的监管竞赛中,成熟的数字经济体可能因其有利的市场规模和技术实力成为赢家,但大多数中小型数字经济体将失去提高本国数字竞争力的机会。


六、结语:“逐顶竞争”下的本土监管选择


数据监管是国际竞争的新赛道。数据监管并无放之四海而皆准的“黄金标准”,因国家、地区的经济、社会、政治、文化、价值观和优先发展事项而异。数据监管竞争的实质,是各国寻求全球数字经济中的领导地位,抢夺全球数据规则标准的话语权,抢先形成新的国家竞争优势。


数据法的全球趋同绝非单纯自发形成的法律现象。欧盟正在有意识地向包括中国在内的世界其他国家和地区进行法律输出。“欧盟模式”的全球化呈现出不同于往昔的复杂面貌,不仅传统法律移植仍在发挥作用,跨国公司的私人法律移植更是加速了欧盟规则的全球传播。


我国的数据监管,呈现出“基于GDPR,超越GDPR(更严规则)”的强监管趋势。但现阶段实行强监管,不必然产生中国规则和标准取代“欧盟模式”的法律竞争结果。我国无力阻拦欧盟监管其内部单一市场,我国主动移植“欧盟模式”更存在制度、价值观差异。强监管并非我国现阶段数据市场立法的最优解,我国不能也不应陷入盲目移植“欧盟模式”的历史惯性或立法惰性。


布鲁塞尔效应下,“欧盟模式”的全球化高度依赖于欧盟市场的全球影响力,若欧盟以外国家地区的贸易机会和规模增加,跨国公司放弃欧盟市场并将数字贸易转移到其他国家地区就将更为可行,欧盟的规则制定权力自然受限。反之,跨国公司对我国数字市场的依赖程度,将显著影响我国在数据市场的规则制定权力。相较于跨国公司在本国或第三国(欧盟)市场份额,其对中国市场的数据产品和服务的出口比例越高,我国的数据监管权力就越大。中国虽是全球数据市场的重要组成部分,但并非典型的出口国,美欧仍是全球数字服务供给的核心区域。即便我国采取更强监管,跨国公司虽难以割舍中国市场,但更难放弃欧盟市场,跨国公司为进入中国市场所进行的非自愿市场调整,可谓动力不足。


市场规模是我国的比较优势,也是全球数据监管竞争的底层逻辑。我国削弱欧盟数据监管权力的最优解,或在于培育本土数据市场规模,对数据市场松化监管,坚持自由市场和合同自由原则,为数字产品和服务的典型合同设置任意性规范,为数字产品和服务提供替代市场。


本文来自微信公众号:Internet Law Review(ID:Internet-law-review),作者:金晶(中国政法大学副教授)