大数据环境下,大规模且复杂的跨境数据流动业已成为常态,亦推动着全球治理体系不断变革与发展。作为当前国家、地区间政策博弈最为复杂之领域之一,跨境数据治理问题备受关注,其不仅关乎个人数据安全,同时对于企业商业利益以及国家安全维护都产生深远影响。从20世纪70年代开始,欧盟着手构建规则,一方面确保数据跨境流通过程中欧盟公民个人数据安全风险得到有效控制,另一方面也极力拓展欧盟规则在个人数据保护领域之影响力,争取在该领域之话语权,从而取得制度红利。而对于第三国个人数据保护水平“充分性”评估制度则是其规则“全球化”之重要推手,在欧盟构建之个人数据保护体系中具有基础性的战略地位。该制度最初架构于欧盟委员会于1995年通过之《数据保护指令》,从数据流动之动态过程分析,在获得数据主体明确同意后,数据控制者可以将该等数据在欧盟境内自由输送。但当数据传输目的地为欧盟境外时,只有该国家(地区)个人数据保护状况被欧盟委员会认定达到“充分”时,才可以实现欧盟数据在其境内的自由传输。可以说,该制度为欧盟内部个人数据保护筑成“长城”,而对于意欲获得欧盟数据资料的第三国来说则掀下了“铁幕”。2019年1月23日,欧盟委员会通过有关日本数据保护水平“充分性决议”,允许个人数据在两个经济区间自由流动,由此创造了世界上最大的数据流动安全区域。自此,全球范围内,已有13个国家(地区)获得欧盟颁发的“许可令”,在无须额外授权与评估之情形下,即可获得欧盟个人数据资源。其中,美国由于其个人数据保护模式与欧盟存在较大差异,但为满足欧美之间频繁的数据交易往来,维持经贸关系,双方签署行政协议,美国采取系列改进措施满足欧盟有关“充分性”保护需求,从而实现个人数据保护领域两大主要模式的对接。“充分性”保护评估制度从最初宽泛的原则性规定,到借助系列文件以及丰富的治理实践不断将评估标准予以细化,其优化过程不仅仅在搭建跨境数据流动中安全评估模型,更重要的是,基于其不断更新的考量因素,为世界各国完善个人数据保护体系提供框架性建议。我国跨境数据治理活动起步较晚,至今尚未形成体系化之顶层设计,在安全评估方面亦未有明确的生效规则,统一的数据保护监管机构尚未确立,同时单一式数据本地化举措,一方面不可避免地产生了数字经济时代下新型数字贸易壁垒,与数字经济发展所需要的数据自由流动条件相违背,同时也并不能从根本上阻止个人数据泄露、国家安全遭受冲击等风险事件之发生。通过对欧盟有关第三国数据保护水平评估制度的考察,一方面为我国跨境数据流动安全评估体系之构建提供思路,另一方面也可以为我国国内个人数据保护体系之完善提供规则参考。本次研究所选之课题是全球跨境数据治理之下的子命题,故而本文首先将采取宏观视野,对于当下全球治理规则予以简单梳理,在这其中,对于欧盟体系构建过程中的重要文件产生之背景与文件内容进行着重介绍,按照时间脉络通过逐一介绍,搭建欧盟个人数据保护规则体系框架。欧盟对于第三国“充分性”保护水平评估制度,是依托于其相关规则明确化及现实层面实践逐步建设成型。一方面,其通过《95指令》及工作组相关文件,以及GDPR等规则将评估因素加以细致化、标准化,另一方面,美欧之间从《安全港协议》到《隐私盾协议》,该等治理实践也使得欧盟不断完善保护水平“充分性”的具体内涵,使得制度通过实践细节更加明确化。特别是美欧之间为对接跨境数据治理规则采取的诸多改进措施,也为全球范围内其他国家改善数据治理体系提供思路。但不可否认的是,欧盟推动评估制度的建设与完善存在其一定政治考量,评估过程也存在着不透明性,给予特定国家特殊待遇之规则设定,亦引发国际社会针对该制度之合规质疑,其本身亦存在一定制度缺陷。而在此框架内反思我国跨境数据治理实践与个人数据保护现状,我国应加快建立顶层规范体系,为相关安全评估、数据跨境转移提供明确性指导规则。尤其在安全评估方面,现有评估规则存在着不灵活、不全面等缺陷,以网络运营主体评估为主,国家数据保护主管部门评估为辅,借鉴欧盟评估过程中考虑之相关因素,可一定程度填补跨境数据治理过程我国现存之法律漏洞,保护跨境数据流动过程中个人数据及国家安全。同时明确数据管理监管机构,逐步摆脱单一的数据本地化举措,加强企业、政府及行业协同效力,将极大提升我国在数字经济时代数据治理水平。