2016年7月初,歐盟和美國就數據傳輸達成的《隱私盾》協議(EU-US Privacy Shield)“正式生效,取代了原有的《避風港》協議。新的協議將為跨大西洋兩岸數據傳輸中的個人隱私保護提供新的規范。從內容來看,美國承擔了更多義務,美國公司必須向商務部“自我證明”遵守了協議中的隱私條款;歐盟擁有了更多權利,個人數據被濫用的歐盟公民可以向監察專員提起申訴,歐盟官方可以向美國商務部發起投訴。從談判過程和結果來看,新協議強化了歐盟的數據主權,也反映著雙方數據治理導向的不同。
美國承擔更多義務 歐盟擁有更多權利
從內容來看,《隱私盾》協議的要點有:
美國企業的“穩健義務”。采集和傳輸歐盟公民的數據必須履行“穩健義務”,即明確告知數據采集、傳輸和使用流程及目的。
獲取歐盟數據的透明度和安全保證。協議嚴格禁止美國對歐盟實行大規模的監聽,聯邦調查局、國家安全局等美國情報機構從歐盟采集數據必須得到數據權利主體的許可;為了定期監督協議執行,歐美將聯合進行年度的審查,數據采集、隱私保護、國家安全準入都將納入審查內容;美國商務部負責監督本國企業的執行情況。
救濟。如果懷疑個人數據被濫用,歐盟公民可以向新設立的監察專員進行投訴,被投訴機構必須在截至日期前回復投訴;歐盟數據監察專員可以將投訴移交給美國商務部和聯邦貿易委員會,且這種救濟機制不收取費用。
歐美雙方都對《隱私盾》協議樂見其成。歐盟表示,這是“美國首次向歐盟提出有法律約束力的保證,確保美國政府接觸歐盟數據將受到明確的限制和監督”,美國則表示《隱私盾》協議對美歐關系至關重要,商務部和聯邦貿易委員會對此全力支持。
歐美隱私保護分歧由來已久
歐盟和美國就數據傳輸達成的 《隱私盾》協議的出臺既有原《避風港》協議的背景,又有棱鏡門事件刺激的推動。
歐美在隱私保護上的分歧由來已久,前者傾向采取嚴格的立法規范個人數據跨境流動,這一點反映在1995年制定的《個人數據保護指令》的第25條,即當第三國只有能夠為個人數據提供“充分程度”的保護時,歐盟才允許將個人數據傳輸至第三國,這一點也成為歐盟一直援引的充分保護標準;美國則長期依賴自律機制,認為政府不得為個人數據跨境流動設置障礙,否則將影響網絡自由、阻礙數字經濟發展。由于歐盟的“充分標準”為美國企業在歐開展業務設置了政策門檻,雙方在2000年達成了《避風港》協議用來解決這一問題。《避風港》協議規定在美國商務部建立一個公共目錄,遵守一定的義務并且加入這個目錄就可以成為“避風港”的一員,從而擁有數據轉移資格。總的來看,《避風港》協議并非完全采用歐盟的數據保護標準,因此被視作是兩種隱私保護體系妥協的產物。
進入本世紀后不久隨著歐盟一體化進程的加快,內部出現了質疑《避風港》協議的聲音。一些法律專家認為,《避風港》協議允許美國企業不經個人授權進行數據轉移,這樣的條款損害了歐盟的數據主權和公民隱私,大量的數據被美國企業攫取也會損害歐盟的商業利益;歐盟還認為,由于只有被美國聯邦貿易委員會和交通部監管的機構才能加入“避風港”,導致那些游離于上述兩個機構監管之外的美國企業脫離了協議的約束。美國內部也認為,各種金融機構不受聯邦貿易委員會和交通部監管無法加入《避風港》協議,導致它們無法在歐美之間進行數據傳輸從而影響其業務。基于這種情況,修訂《避風港》協議被提上了日程。雙方認為,必須出臺一份全面性的數據保護協議來規范雙方的跨境數據傳輸。
2013年“棱鏡門事件”曝光后,歐盟發起了一系列針對美國企業的調查,以判斷是否充當了美國情報機構監聽歐盟的 “第五縱隊”,同時也對《避風港》協議是否滿足了數據保護的“充分標準”發起了調查。歐盟認為,美國的數字霸權將威脅歐盟的數字主權、不利于數字經濟發展,最終會讓歐洲的數字市場被美國企業蠶食。在歐盟的要求下,雙方加速了已經啟動的數據保護總協議談判并最終于2015年10月份完成。數據保護總協議談判的完成為橫跨大西洋兩岸數據傳輸提供了基本的保護框架,也為雙方修改《避風港》協議奠定了基礎;歐盟隨即中止《避風港》協議并啟動了與美國的談判,雙方在2016年達成了《隱私盾》協議。
美國重視商業利益
歐盟強化內部數據主權
商業利益仍是美國向歐盟讓步的主要驅動力。《隱私盾》協議意味著美國對歐盟的讓步,這一讓步的驅動力仍然是商業利益。數據是數字時代的基礎資源,獲得了數據就等于獲得了生產資料。對歐盟來說,《隱私盾》協議將規范美國企業采集和傳輸歐盟數據的流程,保護歐盟的商業利益;對美國來說,一個規范的數據傳輸框架減少了美國企業遭受歐盟起訴的法律和政治風險,有利于更好的經營業務。這一框架協議實際上為雙方“跨大西洋貿易與投資伙伴協議”(TTIP)中的數據保留和傳輸條款提供了借鑒,使得雙方打造一個共贏、互利的數字商業體系,硅谷巨頭可以合法地從歐盟采集數據,歐盟也可以從激烈的競爭中繁榮自身的數字經濟。
回應了大眾對隱私權的關注。“棱鏡門事件”前所未有地提升了商業機構和民間團體對隱私權的關注,各類團體紛紛游說各自政府出臺新的隱私保護法律,美國就在2015年用《信息自由法案》替代了飽受詬病的《愛國者法案》。近些年來,西方主要國家紛紛以反恐為理由通過立法加強了政府對網絡的監控,擴大了政府對個人信息的獲取和使用權限,這些立法長期在國家安全和個人隱私之間尋找平衡。商業機構和民間團體認為,打擊網絡犯罪不能以破壞公民隱私、危害商業機密為代價,因此對這些資料的獲取必須有著嚴格的規范。《隱私盾》協議恰恰通過明確的規范、嚴格的限制和具體的保證回應了這種呼聲。
折射了歐盟擴大數據治理權限的思路。歐美數據傳輸保護協議的談判過程就是強化歐盟內部對數據主權凝聚共識的過程。近些年來,英國、法國、德國、愛爾蘭、荷蘭等國家紛紛出臺了要求電信運營商和互聯網企業進行數據留存的措施,如英國的《通信法案》、《數據保留和調查權法案》,德國的《信息技術安全法》等。這些法律擴大了政府在反恐行動中的權力,反映了政府對數據管控趨勢的強化。盡管歐盟內部存在保護公民隱私和加強政府數據權力兩種聲音,但“巴黎恐襲”事件發生導致后一種呼聲開始占據上風,《一般數據保護條例》(GDPR)獲批通過就是這種趨勢的體現。今后一段時間,擴大政府權限、加強數據治理將成為歐盟的安全政策和立法重點。
京公網安備 11010502049343號