法政新思/數據法制：「築堤萬丈」抑或「養魚千里」？（下）\葉海波 王瀟逸

　　美國數據的跨境流動持開放態度：不對其進行事前審查，並在貿易談判中堅持數據自由流動、反對數據本地留存等任何限制措施，實質是一種「養魚千里」的模式。近年來，美國在多個國際場合推行以APEC私隱框架為基礎構建的跨境私隱規則體系（Cross Border Privacy Rules，CBPRs）。

　　美設嚴苛跨境規管體系

　　相對於世界上進行了個人信息保護立法的國家和國際組織的整體水平，APEC私隱框架所提出信息私隱（保護）的九大原則，其數據保護標準較低，執行機制也較有彈性。而根據CBPRs的要求，如果位處不同國家的不同公司統一承諾並遵循APEC私隱框架九大原則，則參與CBPRs的國家不得以保護個人信息為由阻礙個人信息的跨境流動。

　　美國推行CBPRs的目的，在於利用其控制與處理個人信息的跨國公司林立的優勢，通過建立低水平保護的個人信息跨境流動秩序，促進個人數據向美國國內匯聚。大魚需要大水，才能獲得足夠的養分。美國的數據法制及其立志，只是因應了美國大公司在境外獲得數據養分的基本需要。

　　需要關注的是另一方面，即美國近年來通過越來越嚴格的投資審查等措施，對外國主體訪問存儲在美國的數據加以限制甚至禁止。2018年，美國通過頒布《外國投資風險評估現代化法案》（FIRRMA）授權外國投資委員會（CFIUS），對涉及關鍵基礎設施、關鍵技術、敏感個人數據的美國企業的外國投資實施更嚴格的監管審查；2019年5月，美國政府根據《國際緊急經濟權利法》（IEEPA）頒布「維護信息與通訊技術與服務供應鏈的行政命令」，阻卻外國互聯網企業向美國數據主體提供服務；2020年8月，美國政府宣布所謂的「清潔網絡計劃」。2018年通過的「雲法案」（《澄清數據在海外的合法使用法》，the Clarifying Lawful Overseas Use of Data Act），在數據的調取上突破了屬地管轄，而採用「數據控制者」標準，使得執法機關有權調取存儲於美國境外，但由受美國法管轄的電子通訊或網絡服務提供者所持有、保管或控制的數據。總之，比起對個人信息出境的監管和審查，美國法律制度及其實施更加重視對個人信息訪問主體的限制。

　　三、中國的立法