第一章  跨境法律理论与实践


                   “CLOUD 法案”在第 3 节明确规定：“电子通信服务或远程计算服务的提
               供商应遵守本法案规定的义务，保存、备份或披露有线或电子通信的内容，以及
               在其拥有、保管或控制范围内与客户或订户有关的任何记录或其他信息，无论该

               通信、记录或其他信息是否存储于美国境内或境外”。“HFCAA 法案”严重暴
               露了美国证券监管的政治化，严重破坏了证券行业的市场竞争机制，“CLOUD
               法案”则确立了美国数据监管的“长臂管辖”机制。根据美国现行法案和政治风
               向，滴滴公司赴美上市必然存在数据泄露甚至被不法利用的风险。这一点体现于

               《网络安全审查办法》第十条国家安全风险因素中的第六项：“上市存在……大
               量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险”。
               因此，数据跨境流动会对国家安全的维护提出全新的法治挑战，通过立法规制数

               据力量对维护国家安全至关重要，充分维护国家安全是数据跨境流动监管必须直
               面的问题。
                   （二）个人数据保护层面的挑战
                   从滴滴公司存在的 16 项违法事实可以看出，侵犯个人数据信息的情况有两
               种，其一是未经用户授权违法获取数据或超出用户授权过度收集数据，如违法获

               取或过度收集的用户个人信息数据；其二是背离数据授权使用范围处理数据，如
               在未明确告知乘客的情况下分析乘客的出行意图、常驻城市以及异地商务或异地
               旅游意向。无论是获取或收集用户的个人信息，还是处理用户的个人信息都需要

               用户的授权，且不能超出用户的授权范围，这是因为个人信息的收集、使用、共
               享以及加密保护都应在一定程度上获得受影响个人的知情通知和同意，使他们有
               能力控制关涉自身的数据信息。
                   美国近年来发生的多起案例也表明数据跨境流动会对个人数据保护提出法治
               挑战。例如，2017 年 5 月至 7 月，Equifax 发生数据泄露，并于当年 9 月 7 日披

               露了数据泄露的影响范围，包括 1.479 亿美国公民、1520 万英国公民和约 19000
               名加拿大公民的个人数据信息被泄露，2019 年 7 月 22 日，Equifax 同意与联邦
               贸易委员会（FTC)、美国消费者金融保护局（CFPB)、美国 48 个州、华盛顿特
               区和波多黎各达成和解，协议总额达 7 亿美元。又如，2019 年 7 月 29 日 Capital

               One 公开承认，一名黑客未经授权访问了美国和加拿大 1.06 亿人（美国公民约
               1 亿人，加拿大公民约 600 万人）的账户和身份信息，2022 年 2 月 7 日，美国
               联邦法院初步批准了 Capital One 数据泄露事件有关的集体诉讼和解，和解要求



                                                                                       47