刘宏松、程海烨：跨境数据流动的全球治理：进展、趋势与中国路径(5)

（一）美欧两大规制体系的分歧
尽管美国和欧盟之间在开展跨境数据流动领域先后达成了《安全港协议》（Safe Harbor Framework）和《隐私盾协议》（Privacy Shield Framework），但双方在隐私保护、境外管辖权和数字服务税等问题上的分歧难以弥合。
第一，隐私保护问题。自2013年“棱镜门事件”后，美国脸书（Facebook）公司在2014年又被指控向美国政府泄露用户的个人数据。[29]由此，2015年10月6日，欧洲法院做出了废除《安全港协议》的判决，[30]明确指出美国在执行该协议时，将其国家安全、公共利益和执法需要置于更高位置，在公民隐私数据泄露时漠视监管要求。[31]《安全港协议》的废除标志着美欧在跨境数据流动领域的冲突达到了顶点。尽管双方此后又达成了《隐私盾协议》，但欧盟数据保护委员会（EDPB）对该协议执行和监管的评估结果并不满意，认为美国方面缺乏实质性监督。[32]2020年7月16日，欧洲法院判决《隐私盾协议》的适用性无效，这意味着脸书、谷歌等诸多美国企业将被迫停止与欧盟开展跨大西洋数据流动。[33]EDPB认为，自脸书泄露用户信息事件发生后，美国至今并未对国内数据隐私保护做出根本性调整。
目前看来，美欧双方实现进一步协调的可能性微乎其微。
第二，境外管辖权问题。欧盟以“地理区域”为基准，对境内外凡是使用欧盟数据的企业都实施监管。GDPR的“长臂管辖”条例明确规定，即使数据控制者或处理者不在欧盟境内设立实体机构，只要涉及欧盟业务，也需接受欧盟的监管。[34]此外，大多数云服务提供商必须与客户签订合同，保证数据从欧盟转移到美国时接受欧盟的监管。[35]美国则以“国籍管辖”为基准，对境内外所有美国企业实行数据流动监控和管辖。为了打破GDPR长臂管辖的约束，美国于2018年出台了《澄清域外合法使用数据法》（CLOUDAct），将美国对跨境数据流动的司法管辖权由“数据所在地”更改为“数据控制者所在地”，规定“无论通信、记录或信息存储是否在美国境内，服务提供商都应根据电子通信法律，保存、备份或记录信息等”。也就是说，此后美国在开展跨境搜查时，微软公司需要向美国相关部门提交其存储在爱尔兰的用户电子邮件内容。
[36]这势必加剧美欧在跨境数据管辖权问题上的冲突。
第三，数字服务税问题。在数字经济背景下，传统国际税收秩序面临双重挑战。一方面，跨境数字交易呈现无边界状态，影响了以地理为基准的传统国际税收范围。互联网企业可以在税率相对较低的国家或地区缴税，抵扣税率相对较高国家或地区应缴金额，从而合法规避高额税款。另一方面，跨国企业可以重新配置以数据为主的无形资产结构，实现全球利润最大化。[37]例如，2010年，美国互联网跨国巨头谷歌公司被披露通过转移定价实现利润的全球转移与再分配，合法避税近600亿美元。[38]为了应对挑战，从2018年3月开始，欧盟委员会发起了关于数字服务税的立法提案，拟调整对大型互联网企业的征税规则。西班牙、奥地利和法国等欧盟成员国也开展了数字服务税方面的立法工作。2019年1月，西班牙政府内阁会议通过数字服务税计划，准备对全球年收入超过7.5亿欧元和在西班牙年收入超过300万欧元的公司征收3%的新税；