欧美数据跨境流动规则发展历经数十年的发展与完善，其发展历程反映了二者内对于数据自由流动的高度重视。随着技术的进步和数据经济的扩展，数据保护法律也不断演变，以应对新兴挑战和需求。演进过程主要可划分为以下几个关键阶段：

2000 年 11 月，美欧跨境数据治理首次尝试——《安全港协议》正式推出。此协议以欧盟 1995 年《数据保护指令》的 “充分性认定” 准则为基石，再度强调向第三国传输数据时，该国数据保护水平需与欧盟实质相当。它确立了知情、选择、转移、安全、数据完整、访问、执行这 7 项隐私保护规则，有效调和了当时美欧在数据保护方面的差异。

在长达十余年的时间里，《安全港协议》保障了美欧跨境数据的自由流动。然而，2013 年斯诺登事件的爆发，打破了这一平静。该事件揭露，所有传输至美国的数据，可在当事人或企业毫无察觉的情况下，由美国政府下属情报机构借助电信运营商的协助进行监听获取。鉴于此，欧盟官员提议审查《安全港协议》，并与美方展开谈判。谈判重点集中在提升透明度、落实救济措施、强化执法力度以及限制美国情报机构的数据获取这四大关键举措上。其中，《安全港协议》里的 “国家安全例外” 特殊条款，与欧盟限制对协议数据访问的要求产生冲突，成为谈判的核心矛盾点。最终，2015年10月，欧洲法院判定该协议无效。

《安全港协议》被判定无效后，为维系美欧企业与机构间日常的跨境数据流通，欧盟与美国政府共同着手构建新的数据传输隐私保护框架。2016年，《隐私盾协议》应运而生。《隐私盾协议》大体继承了《安全港协议》的主要架构，进一步细化了7项隐私保护原则，同时额外增添了关于敏感数据、次要责任、数据保护机构职能、人力资源数据、制药和医疗产品以及公开可用数据的相关规定。与《安全港协议》相比，《隐私盾协议》还囊括了美国国家安全机构的承诺，并对欧洲法院此前提出的问题作出了回应。

欧盟数据保护机构第 29 条工作组认可《隐私盾协议》取得了 “重大改进”，并指出《安全港协议》的诸多弊端已得到解决。不过，工作组依旧对《隐私盾协议》中的国家安全条款及细则心存忧虑，主要体现在：其一，当收集个人数据的目的不复存在时，相关机构未明确规定删除该数据的义务；其二，数据向第三国转移时的保护措施有所欠缺；其三，救济机制过于繁杂；其四，限制美国官员访问数据的保障手段不足；其五，该协议与2016年 4月正式施行的《通用数据保护条例》（GDPR）的一致性存疑。最终，欧洲法院认定《隐私盾协议》所设立的情报系统内控机制，属于行政系统内部的事后保护方式，并不具备独立性，无法切实保护欧盟公民的个人信息，其所谓的监察专员制度也无法赋予欧盟公民通过诉讼维护自身权益的权利。因此，2020 年，欧洲法院宣布该协议无效。

《欧美隐私数据框架协议》是在《隐私盾协议》失效后，美欧双方历经两年艰苦谈判最终达成的重要协议。2022 年 3 月，双方就该框架在原则上达成初步共识，同年 10 月，美国总统拜登签署《关于加强美国信号情报活动保障措施的行政令》（第 14086 号行政令），明确将美国情报部门对欧盟公民数据的访问严格限制在保护国家安全所 “必要且相称” 的范围内 ，这一举措是协议达成的关键基础。欧盟方面迅速跟进，2022 年 12 月欧盟委员会正式发布《关于欧美数据流动隐私框架的充分性决定草案》，并转交给欧洲数据保护委员会征求意见。2023 年 2 月，欧洲数据保护委员会发布对充分性草案的评估结果，对该框架表示基本认可。到了 2023 年 7 月，美国国家情报总监办公室发表声明，表明美国情报部门已根据 “第 14086 号行政令” 对情报活动采取了相应的管理措施，美国商务部也发布实施声明，强调美国已履行实施该框架协议的承诺。随后，欧盟委员会于 2023 年 7 月 10 日全面通过《欧美数据隐私框架协议》的充分性决议。7 月 17 日，美国商务部推出数据流动隐私框架计划网站，公开了《欧美数据隐私框架协议》，供符合条件的美国公司进行自我认证并加入框架，至此美欧之间的数据自由传输得以恢复。

从内容来看，该协议在隐私保护方面进一步细化和强化了相关规则。它不仅强调了数据主体的权利，如知情权、访问权、更正权等，还要求企业在数据收集、使用和共享过程中遵循更为严格的标准和透明度原则。在监管机制上，建立了更为完善的监督和执行机制，确保双方企业和机构切实履行协议规定。

在影响方面，《欧美隐私数据框架协议》有着多方面的重要意义。在经济领域，它为美欧之间的数字经济合作和跨境数据流动提供了重要的法律保障，有助于促进双方企业之间的贸易往来和数据驱动型业务的发展，推动数字经济产业的繁荣。从政治角度而言，该协议的达成有助于修复美欧在数据隐私保护问题上的分歧，加强双方在数字领域的合作与信任，在一定程度上巩固了美欧之间的传统盟友关系。在数据安全层面，协议对数据访问和使用的限制，为欧盟公民的数据安全提供了更可靠的保护，也促使美国在数据治理方面进行调整和完善，提升了整体的数据安全水平。不过，该协议也面临着一些挑战和争议，部分人担忧其在实际执行过程中的有效性，以及美国情报部门在特殊情况下是否仍能严格遵守协议限制。

基于特定历史因素，欧盟将尊重私人生活以及个人信息保护高度视为基本人权范畴。《欧洲人权公约》的第7、8条专门针对尊重隐私生活作出规定，且这一理念得到欧洲人权法院的强力支持。2016年生效的GDPR，其第44条款明确禁止将个人数据传输至欧盟境外，除非接收国能提供与欧盟相当水平的保护。欧盟借助充分性认定机制、标准合同条款（SCCs）和约束性公司规则（BCRs）等保障手段，致力于确保欧盟公民的个人数据，无论身处何地，都能获得与欧盟立法水平相当的保护。在欧盟主导的国际贸易协定里，GDPR所提出的隐私标准已成为一项硬性要求。总体而言，欧盟秉持的理念是，若无法律明确许可，一般禁止“收集和处理个人数据” 。

与之形成鲜明对比的是，美国对于数据保护和个人隐私有着不同认知，奉行“法无禁止即可为”原则，只要未明确违反法律，便支持“收集和处理个人数据” 。这主要源于美国拥有全球最为发达的数字经济以及庞大的数据体量，在全球数据流动体系中属于数据净流入国。不受限制的数据流动规则能最大程度实现美国利益。故而，美国倾向于以市场为主导的模式，不赞同他国借助法律设置数据跨境流动障碍，意图通过企业自我监管来落实数据保护工作，所以美国政府公开表示支持私营部门提出的隐私保护举措倡议 。

欧盟和美国在个人数据保护法律体系上存在本质区别。欧盟的数据保护法律以1995年《数据保护指令》为基石，构建起欧盟范围内的综合性数据保护框架，统一了欧盟各成员国的数据保护规则。随后，2002年的《电子隐私指令》以及2016年的GDPR，均旨在追求欧盟层面统一的数据保护立法 。

反观美国，其隐私立法较为分散，缺乏统一的数据保护框架，主要通过行业立法以及州立法来制定相关规定。行业立法涵盖金融、保险、电视电信、消费者信用、儿童隐私等诸多领域，例如《金融隐私权法案》（RFPA）、《健康保险隐私及责任法案》（HIPAA）、《儿童在线隐私权保护法案》（COPPA）等。在州立法方面，加利福尼亚州颁布的《加州消费者隐私法》（CCPA）堪称全美隐私立法的先驱，对美国隐私权保护产生了深远影响。美国并未设立专门的隐私保护机构，联邦层面的数据隐私事务主要由负责处理企业不正当竞争和欺诈消费者行为的联邦贸易委员会（FTC）承担 。

近年来，在斯诺登事件、剑桥分析事件发生后，美国两党积极推动《数据隐私保护法》（ADPPA）、《同意法案》和《在线隐私法案》（OPA）等统一立法工作，但目前面临较大阻力。在此种法律体系差异下，欧盟在跨境数据流通问题上，呈现出一致对外的“国家联合体”态势，即凭借欧盟统一的高标准数据保护模式来设定跨境数据流动标准；而美国由于缺乏统一的联邦隐私立法，在跨境数据流动规制方面显得更为“灵活自由”，试图在国家“有意”缺位的情况下，推动企业自律。因此，当欧盟的强制规范遭遇美国的企业自律时，美欧之间的矛盾便极易爆发。

涉商事纠纷相关业务咨询请点击阅读原文，直达环仲官网，或电话咨询：13127864609，邮箱咨询：link-king@linkarb.com.cn

本微信公众号所发布的资讯或文章仅为交流讨论目的，不代表上海环仲律师事务所出具的任何法律意见。任何依据本文的全部或部分内容而作出的判断或决定（无论作为或不作为）以及因此造成的法律后果，上海环仲律师事务所不承担任何责任。如果您需要相关法律意见或法律服务，欢迎与上海环仲律师事务所相关律师联系。