跨境资料流动与资料保护

第一节　跨境资料流动与资料保护

评定资料保护水平的适当性不仅要考察适用于资料转移的规则，还要核实确保这些规则得以有效实施的现有机制。⁽⁸⁾

——欧盟委员会资料保护工作组

个人资料保护已成为信息社会中法治的重要组成部分。资料跨境自由流动与资料保护也成为国际信息社会中的一对主要矛盾。以对等原则为基础，欧盟禁止和限制向不具备适当资料保护水平的第三国转移资料，但这一原则在现实中受到了种种考验和挑战。以合同法、公司法和国际统一法的模式保障资料流动、保护个人资料代表了跨境资料转移中个人资料法律保护的前进之路。面对这种情势，我国应首先立足本国国情和需要，制定一部全面、有效的资料保护法，并积极参与资料保护的国际统一立法活动。

一、跨境资料流动与资料保护的法律框架

欧洲理事会《资料保护公约》与欧盟《资料保护指令》均明确了资料保护的国际性及其终极目标:公约要求，不论资料当事人的国籍和住所在何处，任何人的资料隐私均应受到保护;⁽⁹⁾指令的序言明确指出，资料处理系统的设计应以服务人类为宗旨，不论自然人的国籍和住所位于何处，资料处理应尊重他们的基本权利和自由，尤其是他们的隐私权，服务于经济、社会和贸易发展及个人福利。⁽¹⁰⁾

对等原则是《资料保护公约》跨境资料转移体制的基石。对内，缔约方不得仅出于保护隐私的目的，禁止或限制向另一缔约方转移个人资料。但是，基于资料或资料库的性质，若一缔约方对特定类型的个人资料或资料库作出了特别规定，除非另一缔约方提供了同等的保护(Equivalent Protection)，缔约方可不受上述规定的限制。对外，缔约方可禁止和限制向第三国转移个人资料。⁽¹¹⁾由于缔约国数量有限，而且一缔约方有权以他方未提供同等的保护为由禁止向其转移资料，公约显然无法满足缔约方内外跨境资料转移的需要。⁽¹²⁾借鉴公约的规定，以对等原则为基础，欧盟为跨境资料转移构建起以适当资料保护(Adequate Data Protection)为本，以排除适用该原则为末且内外有别的两套法律制度。简言之，这个“本”是指资料只得在具有同等且适当的资料保护水平的国家之间自由流动。这一原则对欧盟内外的资料转移同样适用。

资料自由流动和个人资料保护是指令两大并行不悖的目标。商品、人员、服务和资本市场的统一不仅有赖于个人资料在成员国间自由流动，也要求对个人资料提供适当的保护。⁽¹³⁾市场的统一增进了欧盟成员国在经济、政治、社会和文化上的融合，加上信息科技的推动，欧盟内部的个人资料跨境流动必然大幅增长。⁽¹⁴⁾另一方面，国内立法、司法和执行体制的差异，导致成员国的资料保护水平参差不齐，并成为跨境资料流动的绊脚石。⁽¹⁵⁾为清除该障碍，欧盟各成员国就必须具有同等的资料保护水平。考虑到资料自由流动对欧盟统一化进程的重要性，认识到成员国无法自行单独解决有关问题，尤其是当时各国的资料保护法仍存在较大的差异和冲突，欧盟通过《资料保护指令》为成员国确立了资料保护的底线，并要求成员国不得再以资料保护为由限制欧盟内部的资料流动。⁽¹⁶⁾当然，这并不意味着资料转移无需遵循资料保护规则。实际上，在这种情形下，跨境资料转移被视为一种资料处理活动，它仍受制于指令对其他资料处理活动的规定。

对外，第三国是否具备适当的资料保护水平是欧盟认定能否向其转移个人资料的基本标准，这也是对等原则的对外适用。⁽¹⁷⁾换言之，如果一国具有经欧盟认定的适当的资料保护水平，它在跨境资料转移上就与成员国具有同等的地位，成员国亦不得以保护个人资料为由禁止或限制向其转移资料，反之则不然。从某种意义上说，这给第三国从欧盟转移个人资料拉起一道铁幕，也为欧盟公民的资料隐私铸起一道长城。

鉴于欧盟外国家多不具有与欧盟相当的资料保护水平，根据现实需要，指令为跨境资料转移规定了几种例外情形:(a)资料当事人已明确同意有关转移;(b)转移为履行资料当事人与控制者间的合同所必需，或为应资料当事人的要求执行订定合同的预先措施所必需;(c)转移为订定或履行控制者与第三人之间的合同所必需，且该合同是为了资料当事人的利益;(d)转移为保护重大公共利益，或为宣告、行使或维护法律请求所必需;(e)转移为保护资料当事人的重大利益所必需;(f)转移的资料来自一登记，根据法律或法规，该登记旨在为公众提供信息，供一般公众或证明有正当利益者查询，只要满足了法律规定的具体情形下的查询条件。⁽¹⁸⁾指令还鼓励资料转移人通过合同等方式为个人资料提供充分的保护，进而向不具备适当资料保护水平的第三国转移资料。当然，欧盟要求对上述情形进行限制性的解释，⁽¹⁹⁾以提供适当的资料保护为原则，以适用上述情形为例外。⁽²⁰⁾

总之，如下图所示，从欧盟向境外转移个人资料的法律依据有三:(1)经欧盟认定，目的国具备《资料保护指令》第25条(2)所指的适当的资料保护水平;(2)资料转移属于指令第26条(1)为保护优先性的公共利益或资料当事人的权益所规定的例外情形;(3)资料转移人采取了指令第26条(2)所指的充分保障措施。

向欧盟境外转移个人资料的程序图示

二、适当资料保护制度与跨境资料转移

(一)适当资料保护的内涵

适当资料保护制度是欧盟跨境资料转移体制的法律基石，但《资料保护指令》仅规定了评定保护水平所应考虑的因素，未明确适当性的内涵及其认定标准和方法。根据指令，评定资料保护水平是否适当应考虑资料转移或一系列资料转移关涉的全部情形，尤其应考虑资料的性质、资料处理的目的和期间，资料来源国和最终目的国，该国现行的一般或特定领域中有关的法律、法规及在该国实施的职业规则和安全措施。⁽²¹⁾

作为欧盟在资料保护上的智囊团，欧盟委员会的资料保护工作组⁽²²⁾(Article 29 Data Protection Working Party)不仅界定了适当性的内涵，还明确了委员会评定适当性的标准和方法。经汇总先前的研究成果，⁽²³⁾工作组于1998年通过了《向第三国转移个人资料:资料保护指令第25条和第26条的适用》。⁽²⁴⁾文件指出，长期以来，欧洲各国在立法和执法上已经形成一套独特的资料保护传统，而在欧洲之外，采取欧盟资料保护模式的国家还为数不多。除欧洲理事会通过对《资料保护公约》作出补充协定要求缔约方设立资料保护机构外，⁽²⁵⁾OECD的《资料保护指导原则》、联合国的《资料保护指导规则》和亚太经合组织的《隐私框架》都无法律约束力。资料保护旨在保障资料当事人的权益，为此，在对先前立法兼容并蓄的基础上，指令规定了资料保护的基本原则，赋予了个人以资料权利，并给资料控制者和处理者施加了义务。然而，只有在现实中得以切实的执行，资料保护规则才能实现上述目的。为此，评定资料保护水平的适当性不仅要考察适用于资料转移的规则，还要核实确保这些规则得以有效实施的机制。⁽²⁶⁾

《资料保护指令》为欧盟各国确立了资料保护的底线，指令的规定也就自然成为欧盟评价他国资料保护法的内容及其执行机制是否适当的根本标准。以指令为基础，工作组明确了适当资料保护规则应具备的核心内容及有效执行机制的目标。⁽²⁷⁾工作组认为一般资料的法律保护规则应包含下列内容:(1)目的有限原则(Purpose Limitation Principle):应为了特定的目的处理个人资料，后续的使用和散播也不得背离转移资料的目的。(2)资料质量与相称原则(Data Quality and Proportionality Principle):资料应准确，且在必要情形下得以更新。对资料转移或后续处理的目的而言，资料应适当、必要且相关。(3)透明原则(Transparency Principle):资料当事人应了解资料处理的目的、位于第三国的资料控制者的身份以及确保公正性所必需的其他信息。(4)安全原则(Security Principle):资料控制者应根据资料处理的风险采取适当的技术和组织性安全措施。资料处理者等须按控制者的指示行事，无控制者的指示不得处理资料。(5)查阅、修改与反对权(Right of Access，Rectification and Opposition):资料当事人有权查阅与其相关的资料，修改不准确的资料，并在特定情形下反对处理资料。(6)后续转移限制(Restrictions on Onward Transfers):除非适用于后续转移的规则满足适当保护水平的要求，资料的最初接收人不得向他人再次转移资料。⁽²⁸⁾

此外，资料保护规则还应包括下列特殊规则:(1)敏感资料:若转移敏感资料，应采取特殊的保障措施。(2)直接营销:若为了直接营销的目的转移个人资料，资料当事人应可以在任何时候反对使用其资料。(3)自动化个人决定:若完全以个人资料为依据作出对个人产生重大影响的决定，个人应有权了解作出决定的动因，并应采取措施保障个人的正当权益。如上所述，认定资料保护水平适当性的另一项要求是资料保护规则得到有效的实施。为此，工作组指明了有效执行机制应达到的目标:确保较高的规则遵守水平，为资料当事人行使权利提供协助和帮助，在规则遭到破坏时，为受害方提供适当的救济。针对美国等通过行业自治保护个人的信息隐私，工作组还按照上述标准考察了行业自治规则在认定一国资料保护水平中的地位和作用。除了将规则的适用范围作为一项重要的考量标准外，在内容上，自治规则应具有透明性，且应包含所有的资料保护原则。从执行程序上看，自治规则应具有确保规则得以较好遵守的有效机制。它应具有帮助个人行使资料权利的机制，如设立独立的机构处理个人控诉、裁定违反规则的行为。它还应给个人提供适当的救济，合理地解决争议，并在必要情形下对个人进行赔偿。

(二)欧盟对第三国资料保护水平适当性的认定及其不足

在第三国资料保护水平的认定上，《资料保护指令》采取了个案分析方式，即根据资料转移的具体情形，评定与某一资料转移或某类资料转移相关的资料保护水平是否适当。⁽²⁹⁾“然而，毋庸置疑，每天从欧盟向境外转移的个人资料不计其数，牵涉的当事方和机构也为数众多，任何国家不论采取什么机制都无法对每起资料转移一一评定其相关的资料保护水平是否适当。”⁽³⁰⁾为此，欧盟必须确立一套更为有效的决策机制，迅速、及时、低成本地认定资料保护水平的适当性。在欧盟层面，由欧盟委员会对一国整体或某个领域、行业的资料保护水平作出统一的认定，是解决上述困境的门路之一，但该方法却存在一定的缺陷和不足，且在实际操作上也面临各种困难。

相对于成员国的资料保护机构和资料转移人，由欧盟委员会统一认定第三国的资料保护水平具有一定的优势。首先，在欧盟层面作出统一的认定具有事半功倍的效果，成员国无需对同样的情形加以重复认定，也可避免和减少成员国单独作出的认定间的差异和冲突;其次，对资料转移人而言，由欧盟认定某些国家是否具备适当的资料保护水平可提高资料转移操作的明确性、可预见性和效率;最后，对第三国而言，欧盟考察和认定其资料保护水平也成为它们不断完善其资料保护法律体制的动力。⁽³¹⁾除了具有上述优势外，由欧盟委员会统一认定第三国的资料保护水平也面临各种困难。目前，制定资料保护法并建立有效执行机制的国家尚属少数，符合欧盟严格标准的国家自然少之又少。这无疑减弱了欧盟认证体系的宏观指导作用。⁽³²⁾其次，不少国家，如美国、加拿大和澳大利亚等是联邦政体，各州的资料保护立法和实践也不尽一致，这无疑加大了评定其整体资料保护水平的难度。最后，认定一国的资料保护水平具有较强的政治敏感性，欧盟直接宣布一国不具有适当的资料保护水平，或不认定一国具有适当的保护水平，都可能引起该国的敌视。⁽³³⁾

为此，欧盟被迫采取了更加灵活、务实的认定方法，仅从正面认定一国具有适当的保护水平，而不从直接认定一国不具备适当的资料保护水平。具有适当保护水平的国家名单是开放的，欧盟可根据各国的具体情况不断增减其数量。这样一来，某些国家就出现在“白名单”(White List)中，但之外的国家也不因此被列入“黑名单”(Black List)。目前，经欧盟委员会认定具备适当资料保护水平的国家和地区主要包括瑞士、阿根廷、根西岛和马恩岛⁽³⁴⁾。欧盟还对一国某个领域中的资料保护水平进行认定，如经评定适用于私人行业中资料处理的《加拿大个人信息保护与电子档案法》，欧盟委员会认定，在向适用该法的加拿大接收人转移资料上，加拿大具备适当的资料保护水平。⁽³⁵⁾由于经欧盟认定具备适当资料保护水平的国家的数量有限，在实践中，成员国和资料转移人仍要根据资料转移的个案情形断定相关的资料保护水平是否适当。对此，欧盟成员国的立法和做法也不尽一致。⁽³⁶⁾此外，在跨境资料转移的通报和审批等监管机制上，有些国家的做法过于严格，而有些国家则过于宽松，这都与指令的目标不符。⁽³⁷⁾

总之，适当的资料保护制度是欧盟有关跨境资料转移中资料保护的法律基石。欧盟期望既保护个人资料，同时也不过分遏制资料的跨境流动。从资料保护水平适当性的内涵到实际认定活动，欧盟的法律和政策都极其严格。欧盟委员会已认定具备适当的资料保护水平的国家数量仍然有限，而且瑞士、巴西、根西岛等国家和地区的资料保护立法和执行体制与欧盟也如出一辙。这种严格的做法在实践中遭到严重的挑战，其实施有赖于一套切实可行的跨境资料转移监管制度，而目前欧盟在监管跨境资料转移上却面临重重困难。不论欧盟设计的资料跨境转移体制多么完美，在现实中，资料转移人都可以视而不见，成员国的资料保护机构也可以不闻不问。这促使欧盟不得不重新审视其传统做法，转变以自上而下的认定、管理和管制为主的执行机制，采取更加务实和灵活的方法，从资料转移人的角度出发，增进转移人的自律，逐步推进自下而上的跨境资料转移执行机制。⁽³⁸⁾

三、跨境资料转移中资料保护的前进之路

无疑，资料保护已为发达国家所重视，但相对于跨境资料流动、自由贸易和环境保护等问题，各国并未达成广泛共识，而且保护个人资料的口号往往也隐藏着各国相互冲突的政治和经济利益。在这种背景下，欧盟严格且形式化的对等原则和资料保护适当性制度于近期内必将在务实性的道路上继续前行，这也必将推动合同法、企业法、消费者保护法等跨境资料保护模式的发展。⁽³⁹⁾当前，通过国际统一立法从根本上解决跨境资料自由流动与资料保护这对基本矛盾仍缺乏现实性和可行性，但它仍不失为人类未来努力的目标。

(一)合同法模式与标准合同条款

1．跨境资料转移中资料保护标准合同条款的产生和发展

从宏观上看，个人资料在两国之间流动，涉及二者在资料流动和资料保护上的经济和政治利益。从微观上看，个人资料从一国的资料控制者向他国的资料控制者或资料处理者转移，涉及资料转移人和接收人的经济利益与个人的资料隐私。将资料转移合同作为保护个人资料的手段并非肇始于《资料保护指令》，在欧盟制定指令前，在欧盟委员会通过决定发布有关资料转移中资料保护的标准合同条款前，已有不少国家和国际组织探讨通过合同方法解决跨境资料转移中资料保护关涉的法律问题，并公布了格式合同，⁽⁴⁰⁾如欧洲理事会、国际商会、香港个人隐私专员公署和加拿大商会等。在扬弃先前经验和教训的基础上，欧盟将跨境资料转移中资料保护的标准合同条款纳入其法律框架中，并加以发扬光大。

如上所述，对等原则是欧洲理事会《资料保护公约》跨境资料转移体制的基石。在讨论“同等保护”过程中，意识到某些国家已经利用协议的方式保护跨境资料转移中的个人资料，公约的咨询委员会(Consultative Committee)⁽⁴¹⁾便考虑制定有关资料转移的国际格式合同，保护跨境资料转移牵涉的个人资料。⁽⁴²⁾实际上，在有关资料保护的建议中，欧洲理事会的部长委员会已多次提及可通过合同保障跨境资料转移中的个人隐私。⁽⁴³⁾在公约的咨询委员会看来，考察如何以及在什么程度上运用合同法要求资料接收人遵守资料保护原则，对确保跨境资料流动依法进行、保障个人的资料隐私至关重要。为此，公约咨询委员会于1989年决定委任三名法律专家起草有关跨境资料转移中资料保护的格式合同。⁽⁴⁴⁾经征求国际商法学会(Institute of International Business Law)、国际商会、欧盟委员会法律建议委员会及各国资料保护机构的建议，以彼德哈特(Ch．-M．Pitrat)为主席的起草小组于1992年公布了有关格式合同的解释说明，咨询委员会通过了《为确保跨境资料流动中同等资料保护的格式合同及其解释说明》。⁽⁴⁵⁾

以《资料保护公约》中的基本原则为依据，格式合同旨在促进资料跨境流动，同时保护个人资料。在效力上，格式合同不具有强制性，资料转移人可自由选择是否采纳格式合同，并可根据具体需要修改某些条款。此外，跨国企业内部机构间及资料控制者同资料处理者间的跨境资料转移也可参照格式合同。⁽⁴⁶⁾格式合同将资料转移人和接收人分别称做授权人和被授权人，并规定了二者在资料保护上的义务、法律选择、责任和救济、争议解决与合同解除等事项。⁽⁴⁷⁾此外，格式合同还特别强调仲裁在争议解决中的重要性，采纳了国际商会的仲裁条款，列明了欧洲理事会成员国建议的仲裁员名单。⁽⁴⁸⁾

欧洲理事会格式合同的公布推进了各国和国际组织利用合同手段保护跨境资料转移中的个人资料的步伐。1997年，我国香港特区个人隐私专员公署发布了《向香港境外转移个人资料的格式合同》，⁽⁴⁹⁾它根据《个人资料(隐私)条例》明确了资料转移人和接收人在资料保护上的义务，并规定了法律选择、责任、救济与合同的解除等问题，同时建议双方根据联合国国际贸易法委员会的《仲裁规则》将争议提交香港特区国际仲裁中心解决。⁽⁵⁰⁾1998年，国际商会公布了《供涉及跨境资料流动的合同使用的格式条款》(Model Clauses for Use in Contracts Involving Transborder Data Flows)，⁽⁵¹⁾简明扼要地规定了资料转移人和接收人在跨境资料转移上的资料保护责任。以本国的《个人信息保护与电子文档法》为依据，参照国际商会的格式合同，加拿大商会于2002年也公布了《有关向资料处理者转移个人信息的格式合同条款》。⁽⁵²⁾

在制定《资料保护指令》前，欧盟委员会就积极地介入到利用合同方法保护个人资料隐私的研讨之中。⁽⁵³⁾成员国的实践与欧洲理事会格式合同的公布，促使欧盟在《资料保护指令》中确立了合同在跨境资料转移体制中的法律地位。随后，欧盟委员会通过一系列决定进一步细化了指令的内容，并公布了三套有关跨境资料转移中个人资料隐私保护的标准合同条款。

《资料保护指令》不仅确立了合同在保障跨境资料转移中个人隐私的法律地位，还明确了合同与其他法律依据之间的关系。根据指令，若资料转移人对个人资料提供了适当的保障，他可向不具备适当资料保护水平的第三国转移资料。指令特别提及资料转移人可通过订立协议的形式保障个人的隐私、基本权利和自由。⁽⁵⁴⁾对于合同的形式，转移人和接收人既可自行确定合同的内容，也可以采纳欧盟制定的标准合同条款。欧盟委员会有权认定某些标准合同条款具备适当的资料保护水平，且成员国应采取必要的措施遵守此类决定。⁽⁵⁵⁾简言之，订立合同保障个人的资料隐私是从欧盟向第三国转移资料的合法依据之一。由于欧盟在短期内不可能认定多数国家都具备适当的保护水平，⁽⁵⁶⁾且相对于例外情形，它在资料保护上也具有一定的优势，⁽⁵⁷⁾合同方法在欧盟跨境资料转移体制中的地位随着欧盟委员会发布的决定得到不断提升。

1998年，欧盟资料保护工作组通过工作文件强调了合同方法在欧盟跨境资料转移体制中的作用，分析了合同方法在确保资料保护水平适当性上需要满足的条件。⁽⁵⁸⁾随后，在参考工作组意见的基础上，⁽⁵⁹⁾欧盟委员会分别于2001年和2002年通过了第2001/497/EC号⁽⁶⁰⁾和第2002/16/EC号决定，⁽⁶¹⁾分别针对欧盟境内的资料控制者向境外的控制者转移资料以及境内的资料控制者向境外的资料处理者转移资料，公布了相应的标准合同条款。⁽⁶²⁾根据已积累的经验、商业组织反馈的意见⁽⁶³⁾与资料保护工作组的建议，⁽⁶⁴⁾欧盟委员会于2004年通过了第2004/915/EC号决定，⁽⁶⁵⁾修正了第2001/497/EC号决定，为欧盟境内的资料控制者向第三国的控制者转移资料提供了另一套标准合同条款。⁽⁶⁶⁾目前，三套标准合同条款均有效，在考察其实际执行和适用情况的基础上，欧盟委员会可能通过新的决定统一现有的标准合同。⁽⁶⁷⁾

2．标准合同条款的性质、地位、功能与适用范围

标准合同条款介于当事人达成的临时性的协议(ad hoc Contract)与立法之间。在各国资料保护水平严重不对等的情况下，标准合同条款不仅是立法的有效补充，也可以简化资料转移人与接收人订立合同的程序，降低缔约成本。欧洲理事会和欧共体委员会于1990年在卢森堡共同举办的会议曾指出，应利用合同的方法促进跨境资料转移中的同等资料保护。虽然合同法不能取代资料保护的立法需要，但合同无疑是资料保护和跨境资料转移立法的重要补充。毫无疑问，只要法律存在空缺，［跨境资料转移］合同必然能够提升个人资料的保护水平，促进资料在各国不同的管理框架下转移。当然，此类合同并未提供完备的保障，且在履行和执行监督上也存在不少问题，它自然也永远无法取代立法规定。

在标准合同条款的性质上，欧盟同其他国家和组织的做法既有共性也有区别。与欧洲理事会、我国香港特区个人隐私专员公署、国际商会和加拿大商会公布的格式合同一样，⁽⁶⁸⁾欧盟的格式合同条款也是任意性的，资料转移人和接收人可自由选择是否采纳有关的条款，并可根据资料转移的具体需要对条款进行必要的修改和补充。⁽⁶⁹⁾与前者不同，欧盟将标准合同条款纳入其跨境资料转移的法律框架之中，欧盟委员会通过决定赋予了它们法律效力。根据欧盟委员会的决定，标准合同条款应被视为具备了指令第26条(2)所指的资料保护水平，为保护个人的隐私、基本权利和自由提供了充分的保障。当然，决定的效力仅限于要求成员国不得拒绝承认标准合同条款提供了充分的保障，不影响成员国根据指令第26条(2)的规定对资料转移进行审批，也不影响成员国国内法有关资料处理的规定。⁽⁷⁰⁾

从功能上看，标准合同条款旨在协调跨境资料转移中的一对基本矛盾，即促进跨境资料转移，并同时保护个人的资料隐私。根据欧洲理事会有关格式合同的解释说明，格式合同旨在实现四个目的:(1)为不同体制下资料转移涉及的复杂法律问题提供有效的解决模式;(2)在尊重个人隐私的前提下促进个人资料的自由流动;(3)允许为了国际贸易的利益转移资料;(4)为国际交易中涉及的资料转移提供安全和明确的法律环境。⁽⁷¹⁾除此之外，标准合同条款还可以降低资料转移双方的缔约成本，促进资料跨境转移中资料保护规则的融合与统一。“国际商会的经验表明，发展广为接受的习惯和原则，包括合同语言，越来越多的企业将接受合同中的概念。随着合同与习惯在更广的范围内为人所知和接受，它们也逐渐为一般商务圈采纳。”⁽⁷²⁾欧盟委员会也强调，为促进资料从欧盟向境外转移，资料控制者最好能够根据一套统一的全球资料保护规则转移资料。由于不存在国际资料保护标准，标准合同条款无疑成为资料控制者根据统一的规则向欧盟境外转移个人资料的重要工具。⁽⁷³⁾

在功能上，跨境与欧盟境内的资料转移合同也存在共性和差异。从共性上看，跨境和欧盟境内的资料转移都涉及资料转移人和接收人两个直接的当事方，都需要分配二者在资料保护上的义务。对内，指令确立了以资料控制者为主导的责任承担模式，由对资料处理的目的和方式具有决定权的资料控制者承担保护个人资料的责任。⁽⁷⁴⁾欧盟内部资料控制者同控制者或控制者同处理者之间的资料转移属于资料处理的范畴，二者订立合同应以国内资料保护法为依据，调整资料转移当事方在资料保护上的义务。对外，由于资料接收人所属国不具备适当的资料保护水平，标准合同条款不仅分配二者在资料保护上的责任，还应对转移后的资料提供适当的保护。⁽⁷⁵⁾

从地位上看，第三国具备适当的资料保护水平与资料转移人订立并履行标准合同条款是向欧盟境外转移资料的第一位阶的法律依据。换言之，若第三国具备适当的资料保护水平(指令第25条(2))，或资料转移人为资料隐私提供了充分的保障(第26条(2))，或资料转移属于例外情形(第26条(1))，资料转移人都可依法转移资料。但是，相对于法定的例外情形，标准合同条款更有利于保护个人资料。根据第26条(1)规定的例外情形，资料转移既无需考察接收人所属的第三国是否具有适当的保护水平，也无需对转移至欧盟境外的个人资料提供任何保护，而标准合同条款则不然，它属于具备适当资料保护水平的范畴，要求资料转移双方对转移至欧盟境外的个人资料仍提供充分的保护。欧盟资料保护工作组指出:资料转移的例外主要适用于对资料当事人造成的风险较低或存在优先于个人隐私权的其他利益的情形。作为一般原则的例外，应对其进行限制性的解释。⁽⁷⁶⁾

在适用范围上，欧洲理事会的格式合同适用于独立经济实体之间的个人资料转移关系，同一企业内部或资料控制者和资料处理者之间的资料转移也可以参照格式合同制定相应的规则。⁽⁷⁷⁾与前者类似，资料转移的双方可选择适用国际商会的格式合同条款，如某公司与资料处理机构或同一企业中的分支机构共享人力资源信息等。⁽⁷⁸⁾香港特区个人隐私专员公署的格式合同也未区分资料转当事方的类别，一并适用于从香港向境外转移个人资料的行为。⁽⁷⁹⁾加拿大商会的格式合同则仅适用于资料控制者同资料处理者间的个人信息转移活动。⁽⁸⁰⁾与上述格式合同不同，欧盟根据资料转移牵涉的当事方，将标准合同条款分为两类:欧盟现有的三套标准格式合同条款中，两套适用于欧盟境内的资料控制者向境外的资料控制者转移资料(第2001/497/EC和2004/915/EC号决定所附的合同)，一套适用于欧盟境内的资料控制者向境外的资料处理者转移资料(第2002/16/EC号决定所附的合同)。

3．标准合同条款资料保护水平的适当性及其主要内容

欧盟关于标准合同条款性质、目的、地位和适用范围的立场导致其在认定合同条款适当性上所采取标准极其严格，欧盟的标准合同条款在内容上也更为苛刻。由于资料接收人所属的第三国不具备适当的资料保护水平，欧盟在认定标准合同条款所确保的资料保护水平时，采取了与认定一国资料保护水平相同的标准，即合同条款在内容和执行方式上都应具备适当性。⁽⁸¹⁾根据该标准，欧盟委员会公布的标准合同条款不仅将指令中的基本资料保护原则纳入其中，还从缔约方的义务、资料当事人作为合同的第三方受益人、责任承担方式、违约救济途径甚至合同的法律适用等方面，确保标准合同条款能够协助和帮助资料当事人，对受到侵害的资料当事人提供适当的救济，并确保条款得以实际履行。从内容上看，标准合同条款堪称《资料保护指令》的化身。从执行方式上看，合同毕竟是资料转移双方以自愿为基础达成的意思表示，欧盟境内的资料保护机构无法越境审计和调查资料接收人的资料处理行为，欧盟主要通过责任承担方式、合同终止和救济等方式提升合同的实际履行。

(1)缔约方的义务与责任分担

在责任承担方式上，相对于境外的资料接收人，欧盟能够更有效地追究资料转移人的责任。因此，欧盟现行的三套标准合同条款都以境内的资料转移人承担责任为中心，但它们采取的责任分担方式不尽相同。具体而言，针对双方违约对资料当事人造成的损害，第2001/497/EC号决定中的合同采取了连带责任原则(Joint and Several Liability):对违约行为造成的损害，资料当事人有权要求资料转移人或资料接收人单独或共同承担赔偿责任，只有在双方均证明他们对损害不具有责任的情况下，才可免除赔偿责任。连带责任有利于资料当事人行使合同项下的权利，减少了资料当事人追究责任的障碍，但它仅适用于合同双方对资料当事人造成的损害，不适用于合同双方之间的违约责任。⁽⁸²⁾

考虑到连带责任可能给资料转移人施加了过重的负担，影响标准合同条款的推广，欧盟委员会第2004/915/EC号决定中附加的合同对此进行了修改，并确立了以合同双方分担责任为主，以资料转移人承担勤勉义务(due diligence liability)为辅的制度。换言之，资料转移人和接收人应分别对各自的违约行为给资料当事人造成的损害负责，资料转移人还有责任采取适当的措施，确保资料接收人能够履行其在合同项下的义务(culpa in eligendo)。若资料接收人违约，资料当事人必须首先请求资料转移人采取适当的措施，执行其对资料接收人所具有的权利。若资料转移人未在适当的期限内采取行动，资料当事人可直接向资料接收人主张权利，而且，若其未采取适当的措施，确保资料接收人能够履行合同规定的义务，资料当事人还有权追究资料转移人的责任。⁽⁸³⁾这一责任分担模式不再要求资料转移人对接收人的违约行为一概承担连带责任，仅规定转移人具有勤勉义务，有助于促使转移人采取必要的措施审计并确保资料接收人履行约定的义务。

欧盟第2002/16/EC号决定中的标准合同条款采取了以资料转移人为主，以资料接收人为辅的责任分担方式。由于该合同适用于欧盟境内的资料控制者同境外的资料处理者之间的资料转移关系，作为资料控制者的资料转移人应担负保护个人资料的主要责任。不论资料转移人还是接收人的行为侵害了其在合同项下的权利，个人均有权要求资料转移人进行赔偿。若资料转移人在事实或法律上不复存在或已破产，对其给个人造成的损害，资料接收人应自行承担赔偿责任。⁽⁸⁴⁾

相对于其他组织和机构的格式合同，欧盟上述三套标准合同条款中的责任分担模式更为细致、严格，也更利于保护资料当事人的权益。例如，根据欧洲理事会的格式合同，资料转移人应负责赔偿对资料当事人造成的损害，而资料接收人应对转移人承担违约责任。香港特区个人隐私专员公署的格式合同与国际商会的格式合同条款都未明确资料转移合同双方对资料当事人所造成损害的责任担负方式。前者仅规定资料接收人应对转移的资料负责，并应对转移人承担违约责任;⁽⁸⁵⁾后者仅要求资料转移双方对违约给各自造成的损害相互承担赔偿责任。⁽⁸⁶⁾

(2)资料当事人作为合同的第三方受益人

为更有效地保护资料当事人的权利，欧盟标准合同以“第三方受益性条款”(Third-Party Beneficiary Clause)将资料当事人确立为合同的第三方受益人，使他有权执行与其权利相关的合同条款。⁽⁸⁷⁾欧盟资料保护工作组指出，通过资料转移人和接收人之间的合同给资料当事人提供救济并非一个简单的问题，它很大程度上取决于国内法对合同法性质的界定。一般而言，资料转移合同的准据法应为资料转移人所属的欧盟成员国法。一些成员国的合同法允许为资料当事人创设第三方权利，而有些成员国法则不然。⁽⁸⁸⁾

对欧盟境内的资料控制者向境外的资料处理者转移资料，第三方受益性条款不仅有利于资料当事人全面执行其在合同项下的权利，还有助于他行使国内立法规定的权利。实际上，为了不同的目的，如获取廉价的资料处理服务，欧盟境内的公司越来越多地利用境外的资料处理服务。为了能全天候地处理个人资料，一些跨国公司，如金融行业的公司使用位于各大洲的资料处理服务。欧盟境内的资料控制者同境外的资料处理者可能远隔重洋，而且，国内资料保护机构和法院虽然可以管辖欧盟境内的资料控制者，资料的地理位置却成为一个严重的障碍。在资料控制者未能对资料接收人作出适当的指示时，资料当事人应能够依据第三方受益性条款，行使他对位于欧盟境外的资料的各项权利，如查阅、修改资料与反对对某资料进行处理。⁽⁸⁹⁾欧盟第2004/915/EC号决定再次强化了第三方受益性条款在标准合同条款中，尤其是在责任承担方式上的地位。如上所述，该决定打破了连带责任制度，确立了资料转移人的勤勉责任。面对资料接收人的违约行为，资料当事人作为合同的第三方受益人应首先请求资料转移人采取行动执行其权利。若资料转移人未在合理的期限内采取行动，资料当事人可直接向接收人主张行使其资料权利。⁽⁹⁰⁾

(3)执行保障与违约救济

为确保资料转移双方履行合同，保障资料当事人有效行使其作为合同第三方受益人的权利，欧盟在标准合同条款中确立了较为完备的执行监督和违约救济机制。与法律不同，合同是资料转移双方自愿达成的协议，它在外部执行监督上面临着更大的困难。尤其是，一旦资料被转移至欧盟境外，成员国的资料保护机构可继续对其境内的控制者的资料处理行为进行审计、监督、处罚和制裁，但对境外资料接收人，特别是境外资料控制者的资料处理行为，资料保护机构无法实施有效的监管。在欧盟资料保护工作组看来，成员国的资料保护机构虽然可以监督其境内的资料控制者，并由控制者向资料接收人追偿，但这种间接的方式根本不足以有效监督跨境资料转移合同的实施。⁽⁹¹⁾

对现有的三套标准合同条款，欧盟委员会通过决定均确立了以成员国资料保护机构为中心的执行监督机制。例如，根据第2001/497/EC和2002/ 16/EC号决定，为保护个人的资料隐私，成员国的资料保护机构有权在下列情形下禁止或中止向第三国转移个人资料:(1)适用于资料接收人的法律排除了其遵守有关资料保护规则的义务，该排除超越了《资料保护指令》为民主国家所确立的必要限制，并对标准合同条款提供的保障很可能产生重大的负面影响;(2)某适格的机构已经认定资料接收人未遵守合同条款;(3)标准合同条款很可能正或将不被遵守，继续转移资料可能对资料当事人的权益构成严重的侵害风险。⁽⁹²⁾简言之，第一项主要是为了避免成员国的国内法影响资料接收人履行约定，第二项针对的是已经证明的资料接收人违约的情形，第三项则具有合同法上预期违约的味道，只不过行使该权利的并非资料转移合同的当事方，而是资料保护机构。

除了外部执行监督外，欧盟的标准合同条款还规定了较完备的争议解决机制。根据欧盟委员会第2001/497/EC和2002/16/EC号决定所附的标准合同条款，若资料当事人同资料转移的当事方未通过友好的方式解决他们之间的争议，且争议涉及第三方受益性条款，资料当事人有权:(1)将争议提交独立的第三人，尤其是资料保护机构进行调解;(2)将争议提交资料转移人所属成员国的国内法院;(3)将争议提交仲裁机构，若当事方所属国加入了1958年《纽约公约》。⁽⁹³⁾因此，根据标准合同条款，资料当事人有权选择调解、仲裁和法院审判等争议解决方式。欧盟资料保护工作组也强调应增强国家资料保护机构在调解争议中的作用。⁽⁹⁴⁾

(4)合同的法律适用

为扩大《资料保护指令》的适用范围，在法律适用上，欧盟的标准合同条款均规定合同应适用资料转移人设立地的成员国法。⁽⁹⁵⁾标准合同条款的调整对象为资料转移当事方在资料保护上的责任分配关系，不涉及双方在资料转移上的商业性利益，还为资料当事人创设了第三方受益权。因此，从保护个人资料隐私的角度看，适用欧盟境内成员国的资料保护法可以为转移后的个人资料提供更好的保护。由于标准合同条款以保障个人资料隐私为主旨，除了国际商会的格式条款外，⁽⁹⁶⁾它在法律适用上与欧洲理事会⁽⁹⁷⁾和香港特区个人隐私专员公署的格式合同⁽⁹⁸⁾也有很大的差异。

4．标准合同条款的应用及其发展趋势

根据第2001/497/EC和2002/16/EC号决定，欧盟委员会应根据所掌握的信息，于其向成员国发布标准合同条款之日起三年后评估条款的实际应用情况，并公布报告。根据其向成员国、资料保护机构和商业组织发送的调查问卷及成员国通报的有关跨境资料转移的情况，欧盟委员会于2006年对两决定的执行情况作出了报告。⁽⁹⁹⁾由于种种原因，委员会并未获取足够的信息。委员会认为，成员国未通报标准合同条款的适用情况多半是由于它们未能适当地履行监管跨境资料转移的责任，大量的资料正由欧盟流向不具备适当保护水平的第三国。为协助委员会在将来进行更全面和深入的评估，尤其是判断标准合同条款的运作是否适当，成员国应加强对国际资料转移的监管，记录由其境内向不具备适当资料保护水平的第三国转移资料的活动、资料转移的法律依据，包括是否运用了标准合同条款。

由于信息不充分，欧盟委员会最终未能深入考察标准合同条款的实际运用情况，只笼统地指出，标准合同条款在适用中虽然不存在严重的问题，仍需加强推广。实际上，委员会考察标准合同条款运作中遇到的困境正是欧盟在跨境资料转移监管上面临的困境。打着保护个人资料的旗号，欧盟为向不具备适当保护水平的第三国转移资料铸起铜墙铁壁般的屏障。虽然欧盟委员会认定了某些国家具备适当的资料保护水平，但这些国家不仅数量有限，而且在短期内欧盟也不会迅速增加它们的数量。为了防止资料转移人滥用指令第26条(1)规定的例外情形，欧盟不得不推出标准合同条款。从内容上看，标准合同条款似乎把整个指令都纳入其中。在执行机制上，欧盟更是费尽心思，通过资料保护机构事先的审计和事后的监督以及第三方受益性条款、连带责任、勤勉义务、争议解决机制等确保合同的履行。简言之，在资料保护上，标准合同条款成了欧盟扩大《资料保护指令》适用范围的工具，设立于不具备适当资料保护水平的第三国的资料控制者或处理者要接收来自欧盟的资料就必须严格履行标准合同条款。另一方面，在现实中，随着信息和通信技术的发展，国际信息流转变得无影无形，成员国单靠资料保护机构微薄的人力、物力和财力难以实施有效的监管。这样，欧盟境内的资料转移人根本没有压力，也无动力采用欧盟委员会精心设计的标准合同条款。

可喜的是，欧盟已经意识到该问题，在吸纳商业组织建议的基础上，对2001年的标准合同条款进行改进，加入商业条款(Business Clauses)，并从资料保护机构的监控方式、责任承担和违约救济等方面考虑企业的利益。欧盟应继续沿着该自下而上的路径为企业在跨境资料转移中保护个人隐私提供便利，减轻资料转移人和接收人不必要的负担，简化跨境资料转移的管理和审批程序。否则，欧盟既不可能通过自上而下的方式监督跨境资料转移活动，也不能真正提升标准合同条款在跨境资料转移中个人资料保护上的实际作用。

(二)企业法模式与约束性的内部企业规则

与标准合同条款类似，以企业法模式保护跨境资料转移中个人隐私的约束性的企业规则(Binding Corporate Rules)，也是近年来备受欧盟推崇的一大法宝。与前者不同，BCR不是资料转移人和接收人为分配资料保护责任而达成的协议，它是跨国企业集团自身内部的运行规则。若满足了一定的条件，它也可提高跨国企业国际资料转移中的资料隐私保护水平。根据《资料保护指令》，欧盟资料保护工作组先后公布了一系列的意见和建议，全面阐释了BCR的性质、地位、目的、主要内容及其执行体制，它们也构成欧盟有关BCR与国际资料转移中资料隐私保护的法律基础。⁽¹⁰⁰⁾

1．BCR与跨境资料转移中个人资料的法律保护

一些跨国集团公司不仅自身结构纷繁复杂，而且分支遍布世界各地，为了集团业务的正常运营，集团内部公司间的跨境资料转移不可或缺。与相互独立的两公司跨境转移资料不同，上述资料转移发生于同一集团内部，各分公司也不宜通过订立合同转移资料。为便于跨国集团公司开展内部资料转移，保护个人的资料隐私，有关国际资料转移的约束性企业规则被欧盟资料保护工作组确立为跨境资料转移的另一法律依据(指令第26条(2))。欧盟资料保护工作组将此类规则称为“有关国际资料转移的约束性企业规则”(Binding Corporate Rules for International Data Transfers)或“有关国际资料转移且具有法律执行力的企业规则”(Legally Enforceable Corporate Rules for International Data Transfers)。称之约束性或具有法律执行力，只有具有该特性它才能提供指令第26条(2)所指的“适当保障”(Sufficient Safeguards)。谓之企业，它属于跨国集团公司的内部规则，通常由总部负责制定。国际资料转移则是该规则的调整对象。⁽¹⁰¹⁾一言蔽之，有关国际资料转移的约束性企业规则是跨国集团公司制定的、用于约束企业内部跨境转移资料的、具有法律执行力的企业内部规则，若经资料保护机构认定为保障资料隐私的适当措施，可作为向不具备适当资料保护水平的第三国转移个人资料的法律依据。

从性质上看，制定BCR属于企业的单方行为，它与资料转移人和资料接收人间订立标准合同不同，不具有直接创设权利和义务的法律效力。从适用范围上看，BCR主要适用于跨国集团公司内部的跨境资料转移活动，它同适用于作为资料控制者或处理者的独立公司间的标准合同条款也具有差异。此外，BCR与行业行为守则也有所不同，后者由行业组织制定并规制行业内部或某领域中企业的资料处理行为。BCR自身并非立法，不但不能取代资料保护法，还需在法律框架内发挥其保护个人资料的作用。从功能上看，与标准合同条款一样，BCR也是经欧盟认可的向不具备适当资料保护水平的第三国转移个人资料的法律依据，并在促进资料跨境转移的同时充分保障个人的资料隐私。

2．BCR的约束力

跨国公司往往根据不同的法律、文化背景、商业理念和习惯，制定其资料保护政策。然而，对资料隐私提供充分保障的BCR必须满足一个前提条件，即对内和对外均具有约束力。对内，BCR应对集团内的公司和雇员具有约束力，督促他们按照规则行事。对外，BCR应对资料当事人等具有法律执行力，资料当事人能以之为据主张第三方受益性权利。如欧盟资料保护工作组所言，BCR的约束性既包括法律上的约束性，即法律执行力，还包括实际的约束性，即在现实中得以遵循。由于资料当事人在跨境的情况下行使资料权面临更大的障碍，应同时确保BCR在法律上的执行力及其在现实中的约束力。

内部约束性是指BCR为集团雇员及其下属公司所遵循。企业可通过下列手段促使员工遵守规则:在雇佣合同中订明特定的责任，将遵守规则纳入企业的纪律规范，对违反规则的行为进行处罚，通过培训等项目增强员工对规则的了解等。⁽¹⁰²⁾企业集团的运作模式在不同国家和不同的商业领域内大不相同。跨国集团成员间关联紧密，且结构等级分明，企业联合体结构则较为松散:某些集团公司开展类似的经济活动，并实施大致相同的资料处理行为，有些企业联盟从业务到资料处理活动均存在重大的差异。⁽¹⁰³⁾很明显，企业集团的内部结构及成员的业务和资料处理活动对企业规则的有效实施也具有决定性的影响。欧盟资料保护工作组认为，虽然它无权对各公司集团设定一刀切式的规则实施模式，但企业集团必须确保规则能够在内部成员间得以有效的实施。⁽¹⁰⁴⁾这对不具有总部或总部位于欧洲经济区外的集团公司尤其重要。工作组认为，应根据公司的结构与所适用的欧盟成员国法对此加以评定，并建议企业可采纳下列方式确保规则在集团内部的实施:母公司作出的单方声明或行动对集团成员具有约束力，纳入法律框架中的管理措施，纳入一般企业原则中的规则并辅以适当的政策、审计和处罚等。上述建议在不同的国家可能具有不同的效力。例如，单方声明在某些国家可能被认为不具有约束力。⁽¹⁰⁵⁾

对内，企业集团自律是保障规则实施的有效方式。对外，资料当事人应成为BCR的第三方受益人，并有权通过向资料保护机构申诉或向法院起诉的方式执行BCR，行使资料权利。各国在民法和行政法上的差异使得企业集团的单方行为是否能够为个人创设第三方受益权具有很大的不确定性。若单方行为不能创设具有法律执行力的第三方受益权，企业集团应通过协议等形式承担该义务。⁽¹⁰⁶⁾企业集团应采取适当措施保障资料当事人可以获得救济，证明位于欧盟境内的公司具有足够的资产作出金钱赔偿，明确集团中具体负责处理争议的部门及个人如何同其取得联系，明确违反规则的证明责任由集团或成员担负，承认个人可行使《资料保护指令》所规定的权利。此外，企业在BCR中还应明确它将与资料保护机构进行合作，遵守资料保护机构作出的决定和建议。⁽¹⁰⁷⁾

3．BCR的实体内容

在实体内容上，欧盟资料保护工作组要求BCR参照指令及其第W12号工作文件，全面规定资料保护原则、资料当事人的权利、企业在保护个人资料上的责任及救济和争议解决机制等事项。同时，考虑到第三国可能不具有资料保护法，也无资料保护传统，企业还应根据资料转移、资料处理的目的等具体情况将抽象的法律规定细化为可直接适用的规则。此外，企业还可以根据环境的变化修改规则，并向资料保护机构通报有关情况。⁽¹⁰⁸⁾

4．BCR的执行监督

跨国企业集团总部公布内部资料保护政策仅应被视为提供指令第26条(2)所指的充分保障的首要步骤。BCR还应确立一套体制确保规则在欧盟内外的有效实施。为此，首先，企业应通过培训、宣传等方式保证员工和成员了解、理解并有效地执行规则。企业还应任命合格的职员监督规则的执行。其次，企业应对规则的遵守情况定期进行自我审计或由经认证的审计机构实施外部监督，并向资料保护机构通报审计情况。资料保护机构也可以自行或指定独立机构审计企业的资料转移情况。再次，BCR还应确立个人控诉处理机制，及时解决个人提起的异议和申诉。资料保护专员或负责处理争议的其他人员在履行职责过程中应具有必要的独立性。同时，根据所适用的国内法，企业应采取替代性的争议解决机制，并在必要情形下请求资料保护机构介入此类程序。此外，在责任承担上，位于欧盟境内的企业总部或负责保护资料的企业成员应对欧盟境外的成员因违反BCR的规定给个人造成的损害进行赔偿。最后，在管辖权上，资料当事人有权选择位于欧盟境内的法院受理有关案件。

经欧盟成员国批准的约束性企业规则可谓麻雀虽小，五脏俱全。它简直就是企业集团参照《资料保护指令》制定的一部适用于集团内部的资料保护法，它不仅在内容上面面俱到，而且在执行上也通过各种措施保障规则的遵守。对大型的跨国企业而言，约束性企业规则的确有助于其分布世界各地的公司相互转移个人资料，但欧盟目前如此严格的要求可能使不少企业望而却步。毕竟在欧盟无法有效监管跨境资料转移的情况下，它们还有一个最为廉价的选择:继续若无其事地向不具备适当资料保护水平的第三国转移个人资料。

(三)全球化模式与国际统一立法构想

随着信息和通信技术在世界各个角落蔓延，资料保护也成为一个同一性的概念。为了人类未来共同的基本权利，资料保护必须满足国际需要，完成其全球性的使命。⁽¹⁰⁹⁾应该说，通过国际公约确立跨境资料流动与资料保护的统一标准，是解决资料跨境流动与资料保护这一对国际信息社会中主要矛盾的最有效、最便捷的方式，它也是资料保护法未来发展的终极目标。但至今，各国在资料保护的性质、模式、方法和传统上仍存在重大分歧，国际社会仍缺乏一个适当的机构将国际统一立法的构想提上议事日程，并促使主要的信息国家在相互妥协的基础上制定一部国际公约。世界贸易组织貌似能胜任这一伟大使命，但它保障国际贸易自由的宗旨及其侧重保护私人行业利益的倾向使它很难挑起统一立法的大梁。⁽¹¹⁰⁾因此，国家和国内法仍将在长期内主导牵涉各国政治和经济利益的跨境资料保护法的发展。对统一立法而言，各国在求同存异的基础上发展本国的资料保护并非只是障碍。实际上，只有多数信息国家构建起符合本国需要的资料保护体制，才能从根本上保障资料的跨境自由流动。当然，各国应就此开展更广泛和深入的合作，以双边或多边协议的形式推进跨境资料转移中的资料保护，加强国内资料保护机构在资料保护信息互换及跨境资料保护上的互助与合作。⁽¹¹¹⁾此外，区域性的国际组织，尤其是欧盟仍将继续主导资料保护的统一立法活动，其他专门性的国际组织也会在某类资料或某个行业中的资料保护上制定统一的国际标准。例如，国际民航组织于2005年以附件的形式在《国际民航公约》中规定了处理飞机乘客资料的建议规则。⁽¹¹²⁾

四、中国与资料保护和跨境资料流动

如上所述，个人资料保护已经成为信息社会中法治的重要组成部分。在改革开放浪潮的推动下，我国在政治、经济和科技上正迈向现代化，我国也步入了信息时代。政府机关和私人企业借助信息处理技术大量收集、处理和使用公民和消费者的个人资料。我国也必须应对西方发达国家曾经和正在经历的个人资料的数字化及其招致的个人资料保护问题。然而，至今我国仍未制定全面或专门的资料保护法，而且已有立法也不足以保护个人的资料隐私。在这种情况下，立法必须先行，制定一部符合我国需要的资料保护法也成了当前各界关注的焦点。

对此，笔者建议坚持如下指导原则，正确认识和处理如下几个基本和具体问题。首先，立法与否、如何立法、怎样执法均应以我国的国情和需要为基础。这样，摸清我国信息技术运用、个人资料处理和资料保护的现状就显得尤为重要。否则，一味空谈资料权，盲目效仿西方，均是舍本求末之举。当然，借鉴已有立法和实践的成功之处，为我所用，不只是一条捷径，更是顺应国际潮流，关注跨境资料流动和资料保护全球趋势的必然要求。

其次，在立法过程中应正确认识和如下几个基本问题:(1)资料保护法与隐私不同，它不只是为个人设定一项权利，而更旨在构建一个平衡个人、资料使用者和社会利益的法律框架。⁽¹¹³⁾(2)资料保护的这一性质和功能决定了资料保护法的性质和地位。我们要制定的资料保护法应是一部在信息社会中全面调整个人资料处理关系的综合法，它应同时适用于政府机关和私人企业的资料处理活动，列明资料保护和资料处理的基本原则和具体规则，规定个人在资料和资料处理上的权利及资料使用人的义务。(3)资料保护关涉政治、经济和科技等因素，它不仅是一个个人权利保护问题，更是一个具有社会性、公共性和集体性的问题。它要求构建以公权力为主导，以资料使用人自律和行业自治为补充的资料保护体制。资料保护法应从资料保护机构的设置、地位、职权和运作等方面，确保其扮演好资料保护的宣传员、咨询员、裁判员、调查员、惩治机构、谈判员和国际互助与协作员等角色。资料保护法还应明确行业自治的地位、作用、运作和规制方法。

最后，我们还应关注如下几个具体问题:敏感资料的特殊保护、自然人外法律实体的资料保护、资料处理的通报、审计和监督制度、内部资料保护专员制度等。尤其是，我国的资料保护法应对跨境资料转移作出专门规定，保障我国公民的资料在境外获得同等的保护，保障我国企业在国外合法处理个人资料。简言之，我们要制定的资料保护法应该是一部全面、基本、可有效执行、符合我国国情和需要且顺应国际潮流的法。

应该说，不论我国的资料保护法与欧盟的《资料保护指令》多么类似，我们也不能奢望欧盟会单单因此就认定我国具备适当的资料保护水平，但制定资料保护法是我国参与跨境资料转移中资料保护国际对话的一块敲门砖，它必将提高我国在该问题上的谈判力量，也有利于保护我国公民的资料权利，保障我国企业在境外有效地处理他国公民的资料。作为一个政治、经济和文化大国，中国绝不能仅作资料跨境流动和资料保护国际立法的看客，它还应该而且能够从经济、科技、政治和文化等层面，引领资料跨境流动与资料保护政策和法律的发展。