隨著互聯網技術的快速發展,互聯網開始逐漸滲入到各行業中,由于信息泄露引發的安全問題也逐漸浮現,如何保護數據安全成為行業焦點。
2013年“棱鏡門”事件曝出美國政府及相關企業對他國網絡數據肆意攫取的行為,并因此直接導致“歐美安全港”協議無效、跨大西洋數據流動失去法律基礎等一系列后果。為解決這一問題,歐盟與美國雙方通過緊急談判、協商和多輪修改,2016年7月14日,歐盟正式通過“歐美隱私盾牌”協議(以下簡稱“隱私盾”協議),大西洋兩岸的公司最快能在8月注冊新的數據傳輸框架協議,這份協議將使從歐洲傳輸個人信息到美國變得更為容易。
“隱私盾”協議出臺背景
“歐美安全港”協議的廢除是誘發“隱私盾”協議出臺的導火索。美國“棱鏡”計劃曝出后,歐盟法院在審理奧地利律師施雷姆斯控告臉書公司非法追蹤用戶數據一案中最終判決“安全港”協議無效,之前按照協議要求開展跨境數據流動的美國公司,都必須改變數據傳輸方式,受此影響企業達4500多家。
歐盟與美國在網絡經濟上的緊耦合關系決定了尋求跨境數據流動解決方案勢在必行。近年來,美國互聯網大企業加快國際化進程,全面滲透到歐盟地區,造成歐盟各成員國網民使用的互聯網服務主要由美國企業提供,2011~2015年,歐洲與北美的國際聯網帶寬由6073Gbit/s增長到12816Gbit/s,占到歐盟與全球各國聯網帶寬的60%,這表明跨大西洋的數據流動已經形成不可逆轉的趨勢。
美國與歐盟在個人數據保護的松緊程度不同是推動“隱私盾”協議出臺的深層原因。美國堅持靈活保護的策略,致力于通過企業自律機制,并配合政府執法,以實現保護隱私權的目的;歐盟卻傾向于通過嚴厲的立法,對個人數據進行保護。為此,“安全港”協議廢除后,雙方必須在現有立法根基存在分歧的情況下,另外達成新的約定,為跨境數據流動提供制度保障。
四大方向加碼數據保護
“隱私盾”協議文本包括歐盟委員會出具的“充分性決定”草案、以及美國政府關于確保該協議得到執行的書面擔保等主要內容,在加強個人數據保護方面比之前的“安全港”協議有眾多創新和強化之處。
規范對象方面,“隱私盾”協議約束納入名單內的企業和退出名單的企業以及第三方。一是名單內企業必須遵守“隱私盾”協議規定,已經退出“隱私盾”協議名單的企業如果繼續存儲根據協議獲得的個人數據,也必須就對應的個人數據履行相應義務。二是按照“責任轉移原則”,名單內企業將個人數據傳送給第三方時,應確保這些個人數據享受至少同等水平的保護。名單內企業還需對第三方代理人違反規則的行為承擔后果,除非有明確的免責證據。
合作機制方面,美國與歐盟建立了年度聯合審查機制。歐盟委員會和美商務部共同行使這項審查權。歐盟將利用可獲取的所有信息資源展開審查,包括美國企業提供的美國政府要求調取或訪問數據的報告等。美國政府則致力于通過商務部加強監管,并深化與歐洲數據保護機構及美國聯邦貿易委員會之間的合作。
權力限制方面,美國政府首度承諾官方行動將受到約束。美國政府向歐盟出具了書面承諾,公開表示以國家安全為由進行的訪問,都必須受到約束和監管,保證不會對根據“隱私盾”協議轉移到美境內的個人數據進行不加鑒別的、大規模的監視,批量收集的公民數據只能用于反恐、防擴散、網絡安全等6個特定目的,且不得破壞“隱私盾”協議的原則。另外,美建立了獨立于國家安全部門之外的監察專員機制,專門負責跟蹤和處理個人提出的投訴和咨詢。
權利救濟方面,“隱私盾”協議為歐洲公民提供更多救濟途徑。歐盟公民若感到其個人數據受到侵害時,可以采取以下途徑進行求助:一是向企業進行投訴,企業應當在45日內給予答復;二是向本國的數據保護機構投訴,該機構可與美商務部、聯邦貿易委員會合作進行調查和處理;三是求助于免費的替代性糾紛解決機制,名單內企業都必須加入這一機制;四是求助于隱私保護專家組進行仲裁,其做出的裁決具有約束性。
掀起跨境數據保護浪潮
“隱私盾”協議使得歐盟與美國雙方就跨大西洋數據流動的監管達成了一致意見,其影響不僅限于美國與歐盟雙方,對其他國家的跨境數據流動及經濟發展也彰顯重大意義。
重建美歐跨境數據流動信任機制。“隱私盾”協議消除了跨大西洋數據流動法律缺失的障礙,改變了當前歐盟與美國企業僅能通過合同方式開展跨境數據流動的現狀,為跨大西洋的數據流動提供一個新的安全框架,有助于雙邊數字經濟持續穩定增長。
推動相關國際規則加快制定。美國與歐盟跨大西洋貿易和投資伙伴關系(TTIP)協定的電子商務章節尚未達成一致,“隱私盾”協議的出臺有利于雙方在TTIP的下一步談判中深入推進,并極有可能將“隱私盾”協議中的內容移植進去。
強化數據主權和國家安全保護。自2013年“斯諾登事件”以來,很多國家出臺立法對跨境數據流動進行限制,其目的主要是避免國外監控、保護安全與隱私、促進本國經濟發展、便利本國政府執法等,“隱私盾”協議的達成則是為了避免美國監控、保護歐洲公民個人數據。另外,俄羅斯2015年9月生效的“第242—FZ號聯邦法律”也是源于“斯諾登事件”后俄政府對國家安全的擔憂,該法規定了互聯網企業數據留存本地化的義務,要求俄公民個人數據必須存儲在俄聯邦境內的服務器上。
提高中歐商貿活動中的個人信息保護要求。“隱私盾”協議的達成是歐盟個人信息保護理念的又一次勝利,但歐盟目標不僅如此,其有意將所有對外商貿活動與個人數據保護掛鉤,要求貿易對象國提供充分的隱私保護標準。我國的個人信息保護程度尚未達到歐盟“充分性保護”標準,我企業在歐開展貿易將受到更高程度的個人信息保護約束。
他山之石可以攻玉
跨境數據流動已經不是單獨某個國家、某一區域的問題,而是已經成為全球關注的焦點,很多共同體也制定了類似規則,如2015年10月4日的《跨太平洋伙伴關系協定》中規定禁止締約方采取限制數據跨境流動的措施,亞太經濟合作組織也通過構建跨境隱私規則體系致力于保護跨境電子商務中的個人信息。隨著區域經濟一體化、雙邊及多邊合作程度的不斷深化,跨境數據流動的規則已成為雙邊談判的重要組成內容,我國應關注和積極應對,同時應強化跨境數據流動規則中的重要問題。
建立個人數據保護制度。一是推進個人數據保護相關立法,規定個人數據收集、處理、使用等環節中的問題。二是針對跨國企業制定數據留存制度,減少國外監聽風險,對跨國企業建立更為嚴格的個人數據保護要求,規定重要數據留存的本地化義務。三是提升個人在跨境數據流動中的主動地位,賦予個人選擇權、決定權、知情權、救濟權等。
強化企業主體保障個人數據安全的義務。各國將企業責任作為確保個人數據安全的主要抓手,我國政府應當推動本國企業建立行業自律機制,完善自身的數據保護水平,以應對國際趨勢。另外,我國應從國內法角度提升企業對本國公民的個人數據保護水平,不僅要將個人數據保護義務主體從數據流出方延伸到流入方以及可能再次發生轉移的第三方,而且應加強數據發生泄露或可能泄露時企業的通知義務。
完善政府監管機制。建立單獨的數據保護機構是目前很多國家的做法,我國應明確數據保護權力的歸屬,加強與各國數據保護機構的對話協作,掌握國際上個人數據保護最新動向,為應對國際談判中涉及的數據流動規則奠定基礎。對于跨境數據流動,數據保護機構應建立主動和被動兩種監督審查方式,通過審核評估機制實施主動審查,定期對進行過跨境數據流動的企業進行檢查,在接到個人或企業投訴時啟動被動審查機制,確保涉事企業遵守法律法規。另外,為平衡國家安全和個人數據保護,我國應當研究建立自己的合法偵聽制度,從法律的角度明確合法偵聽的權力、實施機構、范圍等。
京公網安備 11010502049343號