观点 | 欧盟和美国缘何达成《隐私盾》协议?
·美国企业的“稳健义务”。
采集和传输欧盟公民的数据必须履行“稳健义务”,即明确告知数据采集、传输和使用流程及目的;
·获取欧盟数据的透明度和安全保证。
协议严格禁止美国对欧盟实行大规模的监听,联邦调查局、国家安全局等美国情报机构从欧盟采集数据必须得到数据权利主体的许可;为了定期监督协议执行,欧美将联合进行年度的审查,数据采集、隐私保护、国家安全准入都将纳入审查内容;美国商务部负责监督本国企业的执行情况
·救济。
如果怀疑个人数据被滥用,欧盟公民可以向新设立的监察专员进行投诉,被投诉机构必须在截至日期前回复投诉;欧盟数据监察专员可以将投诉移交给美国商务部和联邦贸易委员会,且这种救济机制不收取费用。
欧美双方都对《隐私盾》协议乐见其成,欧盟表示,这是“美国首次向欧盟提出有法律约束力的保证,确保美国政府接触欧盟数据将受到明确的限制和监督”,美国则表示《隐私盾》协议对美欧关系至关重要,商务部和联邦贸易委员会对此全力支持。
欧美在隐私保护上的分歧由来已久,前者倾向采取严格的立法规范个人数据跨境流动,这一点反映在1995年制定的《个人数据保护指令》的第25条,即当第三国只有能够为个人数据提供“充分程度”的保护时,欧盟才允许将个人数据传输至第三国,这一点也成为了欧盟一直援引的充分保护标准;美国则长期依赖自律机制,认为政府不得为个人数据跨境流动设置障碍,否则将影响网络自由、阻碍数字经济发展。
由于欧盟的“充分标准”为美国企业在欧开展业务设置了政策门槛,双方在2000年达成了《避风港协议》用来解决这一问题。《避风港协议》规定在美国商务部建立一个公共目录,遵守一定的义务并且加入这个目录就可以成为“避风港”的一员,从而拥有数据转移资格。总的来看,《避风港协议》并非完全采用欧盟的数据保护标准,因此被视作是两种隐私保护体系妥协的产物。
进入本世纪后不久随着欧盟一体化进程的加快,内部出现了质疑《避风港》协议的声音。
一些法律专家认为,《避风港》协议允许美国企业不经个人授权进行数据转移,这样的条款损害了欧盟的数据主权和公民隐私,大量的数据被美国企业攫取也会损害欧盟的商业利益;欧盟还认为,由于只有被美国联邦贸易委员会和交通部监管的机构才能加入“避风港”,导致那些游离于上述两个机构监管之外的美国企业脱离了协议的约束。
美国内部也认为,各种金融机构不受联邦贸易委员会和交通部监管无法加入《避风港》协议,导致它们无法在欧美之间进行数据传输从而影响其业务。基于这种情况,修订《避风港》协议被提上了日程。双方认为,必须出台一份全面性的数据保护协议来规范双方的跨境数据传输。
(2)棱镜门事件刺激双方完成数据保护总协议谈判并修改《避风港协议》2013年“棱镜门事件”曝光后,欧盟发起了一系列针对美国企业的调查以判断是否充当了美国情报机构坚挺欧盟的 “第五纵队”,同时也对《避风港》协议是否满足了数据保护的“充分标准”发起了调查。欧盟认为,美国的数字霸权将威胁欧盟的数字主权、不利于数字经济发展,最终会让欧洲的数字市场被美国企业蚕食。在欧盟的要求下,双方加速了已经启动的数据保护总协议谈判并最终于2015年10月份完成。数据保护总协议谈判的完成为横跨大西洋两岸数据传输提供了基本的保护框架,也为双方修改《避风港》协议奠定了基础;欧盟随即中止《避风港》协议并启动了与美国的谈判,双方在2016年达成了《隐私盾》协议。
·商业利益仍是美国向欧盟让步的主要驱动力。
《隐私盾》协议意味着美国对欧盟的让步,这一让步的驱动力仍然是商业利益。数据是数字时代的基础资源,获得了数据就等于获得了生产资料。对欧盟来说,《隐私盾》协议将规范美国企业采集和传输欧盟数据的流程,保护欧盟的商业利益;对美国来说,一个规范的数据传输框架减少了美国企业遭受欧盟起诉的法律和政治风险,有利于更好的经营业务。这一框架协议实际上为双方“跨大西洋贸易与投资伙伴协议”(TTIP)中的数据保留和传输条款提供了借鉴,使得双方打造一个共赢、互利的数字商业体系,硅谷巨头可以合法的从欧盟采集数据,欧盟也可以从激烈的竞争中繁荣自身的数字经济。
·回应了大众对隐私权的关注。
“棱镜门事件”前所未有的提升了商业机构和民间团体对隐私权的关注,各类团体纷纷游说各自政府出台新的隐私保护法律,美国就在2015年用《信息自由法案》替代了饱受诟病的《爱国者法案》。近些年来,西方主要国家纷纷以反恐为理由通过立法加强了政府对网络的监控,扩大了政府对个人信息的获取和使用权限,这些立法长期在国家安全和个人隐私之间寻找平衡。商业机构和民间团体认为,打击网络犯罪不能以破坏公民隐私、危害商业机密为代价,因此对这些资料的获取必须有着严格的规范。《隐私盾》协议协议恰恰通过明确的规范、严格的限制和具体的保证回应了这种呼声。
·折射了欧盟扩大数据治理权限的思路。
欧美数据传输保护协议的谈判过程就是强化欧盟内部对数据主权凝聚共识的过程。近些年来、英国、法国、德国、爱尔兰、荷兰等国家纷纷出台了要求电信运营商和互联网企业进行数据留存的,如英国《通信法案》、《数据保留和调查权法案》、德国《信息技术安全法》等。这些法律扩大了政府在反恐行动中的权力,反映了政府对数据管控趋势的强化。尽管欧盟内部存在保护公民隐私和加强政府数据权力两种声音,但“巴黎恐袭”事件发生导致后一种呼声开始占据上风,《一般数据保护条例》(GDPR)获批通过就是这种趋势的体现。今后一段时间,扩大政府权限、加强数据治理将成为欧盟的安全政策和立法重点。