美國和歐盟之間的個人資料跨境傳輸經歷了三個制度安排:安全港協議、私隱保護協議和最新的歐盟-美國資料私隱框架協議。 美歐多輪跨境資料博弈,體現了雙方的根本矛盾,包括權利驅動和市場驅動概念的差異、統一私隱立法與去中心化私隱立法在法律體系上的差異、例外定義的不同,也導致了《歐美資料私隱框架協議》前景不明朗。 美國和歐洲的相關措施對我國跨境資料治理具有一定的借鑑意義。 中國應繼續努力明確跨境資料治理理念,完善跨境資料流動規則,在國際上推廣資料治理理念。
隨著大資料、雲計算、區塊鏈、人工智慧等新一代資訊通訊技術的快速融合和發展,全球數位化程序不斷深化,人類正在加速進入數字經濟時代。 資料跨境作為連線全球經濟的紐帶,雖然為全球化帶來了新的動能,但也引發了資料主權、私隱保護、資料監管等一系列問題。 作為全球兩大數字經濟實體,美國和歐洲圍繞跨境資料流規則的主導地位進行了多輪博弈。 從2000年的《安全港協定》到2016年的《私隱盾》,再到2023年的《歐盟資料私隱框架協議》,美歐跨境資料流動政策不斷更新,為雙方企業責任、**約束、事後救濟機制的不斷完善做出了貢獻。 本文分析了《歐美資料私隱框架協議》的主要內容和特點,以及雙方在資料治理方面的核心關切和主要矛盾,並提出了完善中國跨境資料治理的思路。
美國和歐洲跨境資料流動政策的發展。
美國和歐洲長期以來一直聲稱,跨大西洋資料流動超過了世界上任何其他地區之間的資料流動,從而影響了價值71萬億美元的跨大西洋經濟關係。 因此,跨境資料流動規則成為影響美歐關係的重要因素,20多年後仍在調整。
1.1 2000年至2015年:《安全港協定》的自我管理。
美國和歐洲跨境資料治理的第一次嘗試是 2000 年 11 月正式簽訂的《安全港協議》。 該協議基於歐盟 1995 年資料保護指令 (DPD) 中規定的“充分性確定”原則,該指令再次強調資料傳輸到的第三國的資料保護水平必須與歐盟基本相同。 該協議規定了知情、選擇、可移植、安全、資料完整性、訪問和執行七項私隱保護原則,並有效調和了當時美國和歐洲之間的資料保護差異。 共有 4,500 家美國企業參與了安全港計畫,每年向美國商務部提交乙份自我證明信,承諾遵守協議中規定的原則,從而自由接收來自歐盟的任何個人資料。 聯邦貿易委員會(FTC)負責審查公司的違規行為,包括核實、爭議解決和補救,如果公司繼續違反規則,將被撤銷進入“安全港”。
十多年來,《安全港協議》確保了資料在美國和歐洲的自由流動,直到2013年的Den事件顯示,所有傳輸到美國的資料都可能被美國情報機構截獲,並在電信運營商的合作下,而個人或公司並不知情。 作為回應,歐盟**提議對《安全港協議》進行審查,並啟動了與美方的談判,重點關注四項優先措施:提高透明度、確保補救措施、加強執法和限制美國情報機構獲取資料。 其中,《安全港協議》中“**例外”的特殊規定與歐盟限制訪問安全港資料的要求之間的矛盾成為談判的焦點。 2013年,奧地利律師馬克斯·施雷姆斯(Max Schrems)將Facebook告上法庭,要求禁止Facebook根據《安全港協議》將其個人資料轉移到美國。 該案於2014年移交歐盟最高法院,歐盟法院(CJEU)於2015年10月作出裁決,引發了三個問題:第一,加入安全港的公司的私隱政策不透明; 其次,美國商務部沒有跟進協議認證的有效性; 第三,缺乏針對歐盟公民的補救措施。 同時,歐盟委員會表示,在通過安全港協議時,它無法預見情報機構在商業交易中大規模訪問運往美國的資料,因此宣布該協議無效。
1.2 2016-2020年:加強對私隱盾的監管。
在《香港安全協議》失效後,歐盟和美國**開始為資料傳輸制定新的私隱保護框架,以維護美國和歐洲公司和機構之間的日常跨境資料流動,並於2016年採用了私隱保護。 私隱護盾遵循安全港的主要要素,完善了七項私隱護盾原則,並增加了關於敏感資料、次要責任、資料保護機構的作用、人力資源資料、藥品和醫療產品以及公開資料的附加規定。 與《安全港協議》相比,《私隱保護協議》還附帶了美國機構的承諾,並回應了歐洲法院提出的問題,主要體現在:首先,打算引入歐盟個人資料的美國公司需要公開承諾履行有關個人資料處理和保護歐盟資料主體權利的原則。 包括詳細的通知義務、資料保留限制、限制訪問許可權、更嚴格的傳輸條件和責任制度等。 美國商務部必須監督聯邦貿易委員會對私隱護盾的執行,並對不遵守法規的公司使用私隱護盾進行嚴厲的處罰或限制。 三是明確保障和透明度義務。 根據美國司法部和國家情報總監辦公室的書面承諾,美國**對歐盟個人資料的訪問將受到明確的限制和監督機制。 雙方將每年就准入問題進行一次聯合審查,以定期監測系統的執行情況。 第四,提供更多的補救途徑,包括向公司提出投訴,公司將有45天的時間來解決投訴; 向您所在國家的資料保護機構提出上訴,該機構可能會將未解決的投訴提交給美國聯邦**委員會; 如果聯邦委員會不予受理,將向索賠人提供免費的替代性爭議解決機制。 針對有關國家情報機構可能進入的投訴,美國***將設立乙個新的特別監察員,進行獨立於情報系統的審查。
歐盟資料保護機構第29條工作組承認對私隱盾的“重大改進”,並指出安全港的許多缺陷已經得到解決。 然而,工作組仍然對《私隱保護協議》的條款和條件表示擔憂,包括:首先,該組織沒有明確規定在收集個人資料的目的不存在時刪除個人資料的義務; 第二,向第三國傳輸資料的保護措施不足; 三是救濟機制過於複雜; 第四,美國限制訪問資料的保護措施**不足; 第五是該協議是否符合2016年4月生效的《通用資料保護條例》(GDPR)。
除《安全港協議》外,歐盟還承認標準合同條款(SCCS)和約束性公司規則(BCRS)等機制,這些機制是《安全港協議》到期後歐盟與美國之間的主要資料傳輸機制。 2015年底,Schrems再次向愛爾蘭資料保護委員會提出投訴,要求暫停Facebook使用SCCS進行跨境資料傳輸。 在聽證會上,愛爾蘭高等法院對私隱盾的有效性提出質疑,並將其提交給歐洲法院。 2020 年,歐洲法院 (ECJ) 宣布私隱護盾無效,2020 年私隱護盾 (ECJ) 無效,理由是情報系統的內部控制機制是事後保護,不獨立於行政系統,不足以保護歐盟公民的個人資訊, 所謂的監察員制度也沒有為歐盟公民提供通過訴訟獲得保護的權利。
1.3 2022 年至今:歐盟-美國資料私隱框架協議
《私隱保護協議》到期後,美歐又經過了兩年的漫長談判,最終以美方妥協達成協議。
第一階段是美國主動做出讓步。 2022年3月,雙方原則上就跨大西洋資料流私隱框架達成一致。 為了將該協議原則上轉化為美國法律,2022 年 10 月,美國**拜登簽署了《關於加強美國訊號情報活動保障措施的行政命令》(第 14086 號行政命令),將美國情報部門對歐盟公民資料的訪問限制在“必要和相稱”的範圍內。
第二階段是歐盟的迅速後續反應。 2022 年 12 月,歐盟委員會正式發布了《關於歐盟-美國資料流私隱框架充分性的決定草案》,並將其轉發給歐洲資料保護委員會徵求意見。 2023 年 2 月,歐洲資料保護委員會 (EDPB) 發布了對充分性草案的評估,表示普遍接受該框架。
第三階段是美國和歐洲之間的第二次握手。 2023 年 7 月,美國國家情報總監辦公室發表宣告稱,美國情報部門已根據第 14086 號行政命令採取適當措施管理情報活動。 美國商務部也發表了乙份實施宣告,強調美國已經履行了執行框架協議的承諾。 隨後,歐盟委員會於 2023 年 7 月 10 日全面通過了《歐盟-美國資料私隱框架協議》的充分性決議。 2023 年 7 月 17 日,美國商務部啟動了資料流私隱框架計畫**,公開了美國商務部制定的《歐盟-美國資料私隱框架協議》,供符合條件的美國公司作為自我認證和加入框架的參考,最終恢復了美國和歐盟之間的資料自由傳輸。
《歐盟-美國資料私隱框架協議》的主要內容和展望。
繼《安全港協議》和《私隱盾協議》之後,《歐盟-歐盟資料私隱框架協議》是美國和歐盟為跨大西洋資料流動建立穩定制度安排的又一次嘗試。
2.1 主要內容。
歐盟-美國資料私隱框架協議主要回應前兩個版本協議中尚未解決的關鍵問題。 首先是限制美國情報機構的活動。 歐盟此前曾批評美國情報機構在執法中違反了“必要性和相稱性”原則,執法過度。 基於此,該協議將“必要和相稱”原則定為主要條款,將美國情報機構對資料的訪問限制在保護資料所需的範圍內,並規定美國情報機構在資訊解密時需要通知被監控的個人; 國家情報總監辦公室應將報告的交付限制在旨在實現其目的的範圍內; 依法保留相關情報資訊,不得以國籍為由加以區分; 確保資料的準確性、安全性和可訪問性。
二是改善個人得救之道。 針對歐盟此前對跨境資料傳輸協議缺乏補救措施的批評,該協議最顯著的變化是建立了針對歐盟公民的兩級救濟機制。 首先,美國情報部門將設立乙個公民自由保護官(CLPO),對投訴進行初步調查。 外國公民可以向CLPO對美國情報部門提起訴訟。 第二層是建立美國資料保護審查法院(DPRC)。 DPRC法官由非美國公民組成。 ***,不受美國司法部的監督。 如果投訴人不接受CLPO的審查結果,他或她可以向DPRC提出上訴。 DPRC將有權進行調查,從情報機構獲取相關資訊,審查CLPO對違規行為的認定是否合法且有實質性證據支援,並做出具有約束力的救濟決定。 在DPRC的審查期間,一名隸屬於司法部並擁有情報權力的特別辯護人將在DPRC面前代表申訴人的利益。 但是,專項律師與投訴人之間不存在律師-委託人關係,與投訴人溝通時不得透露任何資訊。
三是加強檢查監督機制。 根據該協議,美國獨立監管機構私隱和公民自由監督委員會(PCLOB)將對CLPO和DPRC進行年度審查,以確定他們是否能夠及時審查符合條件的訴訟,以及它們是否以合規的方式運作。
2.2 前景。
《歐美資料私隱框架協議》在一定程度上釐清了歐美和個人私隱保護的邊界,有效促進了雙方資料保護體系的融合,使跨大西洋資料流得以全面恢復,其經濟和地緣政治影響正在逐步顯現。
在經濟影響方面,跨大西洋資料流影響著美國和歐洲的經濟,從製造業和運輸業到金融和網際網絡服務,其中70%是中小企業。 與大公司相比,受限制的跨大西洋資料流動對中小企業的影響更大,因為大公司缺乏滿足複雜法律要求的資源。 在這方面,《歐盟-歐盟資料私隱框架協議》允許認證公司將個人資料從歐盟傳輸到美國,暫時滿足美國和歐盟公司建立“強大的跨大西洋資料流動框架”的要求,而無需額外的傳輸機制,例如標準合同條款或具有約束力的公司規則, 以及額外的傳輸影響評估,這無疑將降低企業的成本,並為美國和歐盟的資料流帶來法律確定性,因此得到了雙方企業的一致歡迎。
在地緣政治影響方面,《歐盟-美國資料私隱框架協議》在一定程度上充當了美歐關係的“晴雨表”,在《私隱保護協議》到期後,美歐關係一直猶豫不決。拜登上台後,以跨境資料流動監管為抓手,加快修復與歐盟的關係,並在一些條款上做出讓步,其背後的意圖是拉攏歐盟穩定跨大西洋關係,全力與中國進行戰略競爭,實現“制勝”, 包括歐盟聯合國家共同發布《網際網絡未來宣言》,將促進資訊自由流動作為建立以美國為中心的全球數字生態系統的重要舉措。
從發展前景來看,《歐美資料私隱框架協議》能否順利執行,歐盟是否會針對該框架發起新一輪訴訟,美國能否遵守該框架的要求,仍存在很大不確定性。 一方面,歐盟難以制止美國的監控。 儘管美國進一步規範了情報收集,建立了全面的補救機制,但歐盟仍然無法監督美國的情報監視行為**,主要矛盾在於,朝鮮民主主義人民共和國仍然是美國行政系統內部的自我糾正機制,而不是完全獨立的法院。 此外,歐盟方面對法院人員的任命程式表示懷疑,從而質疑其決策的公正性和透明度; 申訴人必須通過隸屬於美國的特別律師**進行審理,並且不能直接與朝鮮民主主義人民共和國對峙。 因此,第14086號行政令只是乙個單方面的證據,證明如果不對美國《外國情報監視法》進行重大修訂,僅靠第14086號行政令無法真正解決歐盟公民對資料安全的擔憂。 另一方面,歐盟的“數字主權”程序加快了。 近年來,歐盟陸續出台《數字服務法》、《數字市場法》、《人工智慧法》等法律,加速歐盟“數字主權”建設。因此,判斷它不完全符合歐盟的法律標準,成為懸在新協議上的“達摩克利斯之劍”。
美國和歐洲在資料治理方面的主要矛盾。
從安全港到私隱護盾,再到歐盟-美國資料私隱框架協議,美歐跨境資料博弈反映了雙方的理念差異和邏輯差異。
3.1 權利驅動和市場驅動概念之間的分歧。
由於歷史原因,歐盟將尊重私生活和個人資訊保護視為一項基本人權,《歐洲人權公約》第1條對尊重私生活有特別規定,得到了歐洲人權法院的大力支援。 2016 年生效的 GDPR 第 44 條也明確禁止將個人資料傳輸到歐盟以外,除非接收國能夠提供與歐盟相同級別的保護。 歐盟使用充分性機制、SCCS 和 BCRS 等保障措施來確保歐盟公民的個人資料,無論他們身在何處,都受到與歐盟立法相當的保護。 在歐盟主導的國際**協議中,GDPR提出的私隱標準已成為一項強制性要求。 一般而言,歐盟認為,在沒有明確法律規定的情況下,“收集和處理個人資料”通常是被禁止的。
美國對資料保護和個人私隱有不同的看法,認為“法律不禁止的事情是可以接受的”,並支援“收集和處理個人資料”,只要法律沒有明確違反。 這主要是因為美國擁有最發達的數字經濟和最大的資料量,並且是全球資料流系統中的資料流動國家,不受限制的資料流動規則可以最大化美國的利益。 因此,美國傾向於以市場為主導的方式,不贊成其他國家對資料跨境流動的法律障礙,並打算依靠企業自律來實施資料保護,因此美國公開支援私營部門在私隱保護方面的舉措。
3.2 統一立法和分散立法在法律制度上的差異。
歐盟和美國的個人資料保護系統之間存在根本差異**。 根據 1995 年的《資料保護指令》,歐盟的資料保護法建立了乙個全面的歐盟範圍的資料保護框架,以協調整個歐盟的資料保護規則。 從那時起,2002 年的電子私隱指令和 2016 年的 GDPR 一直在歐盟範圍內實施統一的資料保護立法。
美國的私隱立法是分散的,缺乏統一的資料保護框架,主要通過行業和州立法制定條款。 行業立法主要涵蓋金融、保險、電視和電信、消費信貸和兒童私隱等領域,如《金融私隱權法案》(RFPA)、《健康保險流通與責任法案》(HIPAA)、《兒童私隱保護法案》(THE)等。 兒童'S 線上私隱保護法,COPPA)等。 在州立法層面,加州通過的《加州消費者私隱法案》(CCPA)是美國私隱立法的先河,對美國私隱權的保護產生了重要影響。 美國也沒有專門的私隱保護機構,聯邦資料私隱事務主要由聯邦貿易委員會(FTC)處理,該委員會負責處理企業的不公平競爭和消費者欺詐。 近年來,在Landmark和Cambridge Analytica事件之後,美國兩黨也積極推動《美國資料私隱與保護法》(ADPPA)、《同意法》、《線上私隱法》(OPA)等統一立法。
在這種法律制度差異下,歐盟在跨境資料流中呈現出統一的“共和联邦國家”形象,即歐盟以歐盟統一的高標準資料保護模式為跨境資料流設定標準。 在缺乏統一的聯邦私隱立法的情況下,美國在監管跨境資料流動方面更加“武斷”,打算在沒有“有意”的國家政策的情況下促進企業自律。 因此,當強制遇到自律時,美歐之間的矛盾將不可避免地爆發。
3.3 ***例外的範圍不同。
歐洲法院(ECJ)主要通過“相稱性原則”限制歐盟內部的情報活動,該原則要求只有在存在真實、迫在眉睫和可預見的威脅時才進行此類活動。 在執法機構收集或收集此類資料後,資料的讀取或使用必須嚴格按照最初收集或收集資料的目的進行,並且必須由法院或獨立的行政當局進行審查。
《美國法案》優先於《美國-歐盟跨境資料傳輸協議》。 1978 年美國《外國情報監視法》(FISA) 第 702 條和美國行政命令 12333 (EO12333) 與歐盟的個人資料保護最為衝突。 FISA 第 702 條為情報機構可能進行大規模監視(包括監視美國境外的非美國公民)的美國“稜鏡”和“上游”監視計畫提供了法律依據。 1981年,里根總統簽署了第12333號行政命令,擴大了美國情報機構的監視權力範圍,並為美國情報機構超出公共安全目的的廣泛監視行為提供了法律依據。 此外,美國高階事務局根據第12333號行政令開展的情報收集活動不受司法監督和審判。 總的來說,美國情報機構的資料收集範圍沒有明確的劃分,這直接與歐盟堅持的“相稱性原則”相矛盾。
啟示。 隨著《資料出境安全評估辦法》《個人資訊出境標準合同辦法》《個人資訊保護認證實施細則》等法規標準的不斷出台,我國資料出境安全管理體系框架已基本形成。 美國和歐洲在跨境資料流領域20多年的博弈,對我國跨境資料治理具有一定的借鑑意義。
一是全面、均衡地明確跨境資料治理理念。 在數字時代,資料關係到個人、企業和國家的利益。 美國和歐盟在資料治理問題上的對抗,反映了對不同各方的關注。 在兩者的基礎上,中國應綜合考慮保護最大利益,形成更加均衡的資料治理理念。 一方面,本著全面發展、安全、高效、公平的原則,兼顧個人資訊保護、企業商業利益、人身安全的關係; 另一方面,**部門應與國內網際網絡企業、金融機構、大型實體合作開展資料跨境流管理,拓展全球資料管控能力,建立健全資料跨境流治理體系。
二是完善資料跨境流動規則。 2022年9月,《資料出境安全評估辦法》正式施行,是我國資料出境監管過程中的重要一步,《辦法》的出台將進一步規範資料出境活動,保護個人資訊權益,維護公共利益。 促進資料安全有序跨境流動。2022年12月,《關於構建資料基礎體系更好發揮資料要素作用的意見》發布,提出“統籌資料開發利用和資料安全防護,探索建立跨境資料分類分級管理機制”,“探索構建多渠道便捷的跨境資料流監管機制”; 完善跨境資料流監管體系的多部門協調與合作”。對此,要進一步完善資料出境安全評估、個人資訊保護認證、個人資訊出出口標準合同等配套措施,打通便捷資料出境渠道,創新資料出境安全評估和個人資訊出境標準合同制度,採取“前、 事中、事後“,加強資料出境全生命週期的風險防範和安全管理。
三是積極推動中國在國際社會的資料治理。 美歐在跨境資料上的博弈,體現了雙方在資料治理方面的國際話語權之爭,尤其是利用雙方先發優勢,在國際跨境資料流動規則中形成競爭優勢,使得中國在數字產業話語權爭奪、數字治理等關鍵領域更加被動。 對此,一方面,中國可以積極參與世界貿易組織(WTO)的電子商務談判,借助WTO平台推動中國的資料治理理念; 另一方面,與重要合作夥伴簽署雙邊資料流動協議,形成個人資訊保護、資料安全、網路安全、技術規範標準等制度安排“一攬子”,倡導中國資料跨境流動規則“增能力、擴圈”。 此外,中國應以加入《數字經濟夥伴關係協定》(DEPA)為契機,不斷擴大資料跨境合作的朋友圈。
結論。 美國和歐盟之間的個人資料跨境傳輸經歷了三個制度安排:安全港協議、私隱保護協議和歐盟-美國資料私隱框架協議。 《歐盟-歐盟資料私隱框架協議》改革了對美國情報機構活動的限制,完善了個人補救措施,並加強了審查和監督機制,但由於歐盟仍難以約束美國的監控,以及歐盟“數字主權”程序的加速,美國和歐洲之間跨境資料流動的監管仍不確定。例外範圍等因素是有限的。美歐資料跨境流動對我國跨境資料治理具有一定的借鑑意義,中國應進一步明確全面均衡的跨境資料治理理念,完善跨境資料流通規則,積極推動中國資料治理在國際社會的主張。