欧美跨境数据流动：基本理念差异及影响

欧美两大经济体同是数字经济的领导者,也是网络治理多元化的推动者,但是欧美双方关于数字贸易规则却存在严重分歧。这是因为双方对于跨境数据流动的态度大相径庭,在贸易协定对隐私保护、知识产权、公共服务、网络安全等带来的潜在影响上立场对立,其中最具代表性的就是隐私保护问题。

美国政府虽然一贯坚持保护个人隐私,不过在跨境数据流动与隐私权保护之间更倾向于利用数字贸易促进经济发展,以保持美国在相关领域的领先地位,维护其贸易政策的核心利益。2015年6月美国总统奥巴马正式签署《2015年两党国会贸易优先与责任议案》(Bipartisan Congressional Trade Priorities and Accountability Act of 2015,TPA-2015),美国政府获得贸易谈判“快车道”授权。TPA-2015对数字贸易和跨境数据流动的贸易谈判目标做出了特别规定,要求总统必须确保除了合法目标之外,跨境数据流动和以电子方式交付的货物和服务获得与实体形式同等的保护,并且不受本地化规制的阻碍,这里的本地化,包括要求设施、知识产权以及其他资产的本地化的措施。

与之相对,欧盟支持严格的隐私保护政策由来已久。欧洲人将隐私看作至关重要的人权和消费者权利。欧盟成员国及欧洲理事会的人权法都要求其保护个人数据的安全。每个欧洲公民都有保护个人数据的权利,公司仅能在特定条件下收集个人数据。1995年欧盟《数据保护指令》禁止向不符合欧盟隐私保护“充分性”标准的非欧盟国家传输个人数据。欧盟要求其他国家建立独立的政府数据保护机构,数据库须到这些机构进行登记,某些情况下开始处理个人数据之前还需要获得欧盟委员会的事先批准。

美国对个人数据采取行业分散保护机制,整体未能达到欧盟要求,这将妨碍在美国和欧盟之间跨境转移个人数据。于是,为了满足欧盟的充分保护要求,双方于2000年达成了一个折中的《安全港协议》。之后,欧洲委员会通过“2000/520号充分保护决定”,确认安全港(safe harbor)隐私原则及附属条款对个人数据的保护达到了欧盟的充分保护要求。这大大便利了双边个人数据流动,只要美国企业加入安全港,并公开承诺遵守安全港的要求,就可以将欧盟公民个人信息转移到美国境内进行处理。并且,美国和欧盟的政策制定者认识到,如果想在贸易协定中规定数据自由流动的条款,就必须改变其在隐私问题上互动的方式。为此,欧美双方做了一系列后续工作。首先,欧美成立了隐私问题工作组,主要回答欧盟针对美国国家安全局计划的范围、方法及有效性提出的问题。其次,欧美致力于强化安全港机制,磋商制订有关欧美之间个人数据传输的法律执行的协议。最后,美国商务部一直努力证明安全港机制是行之有效的,违反政策的美国企业将受到惩罚。2013年曾有14家美国企业因违反规定而无法更新其安全港认证。此外,美国也试图消除美国企业的疑虑,强调其采用的隐私保护方式仍然是自愿方式,而非自上而下的监管方式。

与此同时,欧盟也在改革自己的数据保护法律。欧盟委员会坚称,在欧盟数据保护是基本权利,并且反复明确,欧盟将确保其公民享有高水平的数据保护,使公民能够掌握着自己的个人数据,为经济主体和公共机构提供更大的法律和实践的确定性。欧洲议会于2014年投票同意修改数据保护规则,非欧洲企业在向欧洲消费者提供产品和服务时必须完全符合欧盟数据保护法。2015年3月,欧盟部长理事会表态支持建立“一站式”机制,以方便处理违反数据保护规范的行为。“一站式”机制应在重要的跨境案件中发挥作用,并为相关数据保护机构开展合作和共同决策做准备。2015年12月15日,欧盟最终通过数据保护新规定《一般数据保护条例》,作为对欧盟1995年指令改革的产物,在欧盟范围内为自然人的个人数据提供了较高程度的统一保护,对数据保护做出更加严格的规定。该法规于2016年5月24日生效,于2018年5月25日起开始实施。(www.xing528.com)

然而,上述举措仍然没能挽救《安全港协议》,隐私保护问题继续困扰着贸易协定谈判。在Maximillian Schrems诉爱尔兰数据保护委员会(Data Protection Commission)^[10]案(以下简称Schrems案)中,一名来自奥地利的法学院学生Maximillian Schrems就社交网站Facebook未经授权取用并分析用户个人资料等数据一事,将爱尔兰数据保护委员会诉至法院。Schrems为Facebook用户,和其他上亿的欧盟用户一样,他在Facebook活动的所有数据,无论是个人资料、照片或留言,都先被搜集、储存在爱尔兰的Facebook欧洲公司,然后转传至Facebook美国总公司的服务器储存。此举让美国情报机构(尤其是美国国家安全局)得以“绕过”欧盟隐私保护法规,直接在美国监控所有欧盟公民的Facebook信息。为此,Schrems将Facebook诉至爱尔兰信息保护委员会,救济未果后,案件提交欧洲法院审理。

Schrems案的焦点是为何欧盟境内的公司有权将用户资料传输到美国。本来,依照欧盟数据保护指令,除非第三国的数据保护达到欧盟法律要求的水平,否则禁止将个人数据传输至欧盟境外的第三国。不过,根据《安全港协议》,欧盟概括认定美国是符合欧盟法要求的第三国。据此,加入“安全港机制”的美国企业皆可援引“安全港原则”,开启了跨国企业将欧洲用户个人数据合法输美的大门。尽管《安全港协议》在欧盟备受批评,但无法与政治现实及企业利益抗衡。直到2013年斯诺登事件及“棱镜计划”曝光之后,欧洲人才惊觉安全港颇不安全：美国企业左手搜集欧洲用户数据创造其商业利润,右手又私下转给美国情报机关供其监控。尽管欧盟一直试图亡羊补牢,与美国商讨新的数据传输协议,但还没有具体成果就被欧洲法院亮了红牌。欧洲法院于2015年10月6日判决,欧美之间有关许可美国企业将欧盟公民的个人数据传输至美国的《安全港协议》无法充分保护欧盟公民的个人数据,应属无效。谷歌、亚马逊等受该协议保护的4500家左右的美国企业因此受到影响。欧洲法院的判决为欧美两大经济体提供了重新思考隐私保护问题的机会,但欧美之间没有可执行的数据传输协议也在很大程度上推迟了TTIP数字议题的谈判。

2016年2月2日,欧盟和美国达成新的《隐私保护协议》(EU-US Privacy Shield),取代了原来的《安全港协议》。根据该协议,美国商务部将对美国企业处理欧洲数据实施监控,不符合标准的公司将被处以罚款或从名单中剔除。美国还设立了一种全新的独立于安全机构以外的“监察员”(Ombudsperson)制度,由于美国国家安全利益其数据隐私受到侵犯的公司和个人均可向监察员提出。换言之,美国承诺通过司法体系和安全机构监管数据传输。欧美双方每年对协议执行情况进行审议。可见,该协议不仅为欧盟的企业提供了一套强健的、可执行的个人数据保护机制,包括参与方在利用个人数据时的透明度、美国政府部门的监管、与欧盟的数据保护机构加强合作等,还向欧盟的企业提供了一系列争端解决的方法,为欧美之间的数据流动奠定了更加坚实的基础,也为贸易协定谈判中调和数据自由流动与保护消费者隐私之间的矛盾提供了一定的解决办法。