摩擦不断、美作出妥协......美欧能在第三次博弈中确定数据跨境规则吗?
The following article is from 21世纪经济报道 Author 21记者
美欧数据跨境传输迎来重磅新进展。
近日,美国总统拜登签署《关于加强美国信号情报活动保障措施的行政命令》(下称《行政命令》),以采取步骤履行今年3月宣布的《跨大西洋数据隐私框架》(下称《隐私框架》)下的承诺。
这是美欧之间就数据跨境流通第三次尝试,此前的《安全港协议》、《隐私盾协议》均以欧盟法院认定无效告终。受访专家表示,美国此次在形式上作出了一定的妥协。如果新框架最终能够建立,将促使全球个人信息形成美欧汇合的态势。
欧美数据跨境新动向
当地时间10月7日,美国总统拜登签署《行政命令》,以采取步骤履行《隐私框架》下的承诺。
此事与半年多前欧美就跨境数据传输达成的原则性协议——《隐私框架》相关。《隐私框架》旨在促进跨大西洋数据流动,并解决欧盟法院在Schrems系列诉讼裁决中提出的对欧美间数据传输机制的担忧。
《行政命令》写道,美国的信号情报活动(Signals Intelligence Activities)将只会在追求明确的国家安全目标、推进有效的情报优先事项所必需、相称的范围和方式下进行,并充分尊重任何国籍和居住地居民的个人隐私利益。
美国白宫表示,拜登签署的《行政命令》加强了当前美国情报收集对公民隐私自由的保障,并为个人数据被美国情报机构非法收集的公民创建了一套独立的、具有约束力的多层补救机制。“跨大西洋的数据流动对于促成价值7.1万亿美元的美国和欧盟的经济关系至关重要,这份框架也将是恢复跨大西洋数据流动的重要法律基础。”
据大成律师事务所高级合伙人邓志松介绍,此次颁布的《行政命令》提出的新举措包括实体法和程序法两个方面。
在实体法层面,美国提供约束性保护措施,将美国情报机构对数据的访问限制在保护国家安全所必需的范围内。《行政命令》规定情报活动收集的个人信息的处理要求,并扩大了法律、监督和合规官员的责任;此外,还要求美国情报界依据新的保障措施对相关政策和程序进行更新。
在程序法方面,《行政命令》对《隐私盾协议》下的救济措施进行了改良,设立了独立且有约束力的两层救济机制。欧盟公民对数据跨境的申诉将由国家情报总监办公室(CLPO)的公民自由保护官受理并初步审查,若公民不接受审查的结果,可以在新建立的“数据保护审查法庭”(DPRC)对CLPO决定提起上诉,DPRC的建立及相关规则的制定将由司法部长负责。
“本次《行政命令》及司法部制定的规则是《隐私框架》的落地和延伸。” 北京观韬中茂(上海)律师事务所合伙人吴丹君告诉21世纪经济报道记者,此次《行政命令》的签署和法规的颁布,意味着《隐私框架》中的原则性约定将会被转化为具有效力的法律文件,正式纳入美国法律。自此,新的《隐私框架》将包括三个组成部分:商业数据保护原则、总统行政命令和司法部法规。
第三次尝试
事实上,此次签署的《行政命令》可以视作美欧在数据跨境上进行的第三次尝试。此前,双方已就该问题博弈多年。
由于美欧在数字技术和产业发展水平上存在差距,跨境数据传输中,大量欧盟数据都流向了亚马逊、微软和谷歌等拥有强大技术优势的美国企业。
但相比于美国以市场为主导、倡导行业自律,辅以政府监管的模式,欧盟极为重视数据监管,并率先建立系统化的法律法规。从1995年的《个人数据保护指令》到2000年的《欧洲联盟基本权利宪章》,再到2018年的《通用数据保护条例》(GDPR),欧盟对个人数据保护的立法始终走在世界前列。
高强度的数据流动、迥异的立法模式使得双方在跨境规则制定中难免摩擦。浙大光华法学院经济法研究所副教授郑观介绍,欧盟与美国曾于2000年和2016年先后签订《安全港协议》和《隐私盾协议》。两部协议的核心目的均是确认美国可以给欧盟用户提供同欧盟法律相适应的个人信息保护水平,从而有利于个人信息在大西洋两岸自由流动。
但在2013年,斯诺登“棱镜门”事件曝出,同年,就读于维也纳大学法学院的奥地利公民Maximilian Schrems在当地法院提起诉讼(Schrems系列诉讼),认为美国关于个人信息保护的保护强度远低于欧盟,请求禁止Facebook将其个人信息传输至美国境内。随着整个诉讼的推进,欧盟法院先于2015年认定《安全港协议》无效,数月后又同美国政府重新签订了保护水平高于前者的《隐私盾协议》。
即便如此,2020年欧盟法院仍认定《隐私盾协议》因违反《欧盟基本权利宪章》和《欧盟一般数据保护条例》而无效,美国企业不得基于该协议将欧盟用户信息传输至美国。
多位受访专家认为,无法确保同等的权益保护、对美国政府的约束无能,以及个人缺乏有效救济手段等,是上述两部协议的失效的主要原因。《框架》和《行政命令》对上述问题做出了回应,郑观将其称为“对欧盟法院一次较大的妥协”。
例如,将美国情报机构对数据的访问限制在保护国家安全所必需和相称的范围内,以及“公民自由保护专员”和 “数据保护审查法庭”两种救济渠道的设立等。
“目前来看,欧盟委员会和美国政府对于新框架都持较积极态度,欧盟认为该协议在政府访问数据方面的新保障措施,将填补从欧盟进口数据所必须遵守的义务的空缺。”邓志松表示,欧盟方面也在计划启动对此次《行政命令》的通过程序,所以此次协议很有可能发挥作用。
尽管此次行政命令是向前迈的一步,但吴丹君指出,《行政命令》在解决与个人数据的商业使用有关的问题方面没有看到实质性的改进;另外,实施上是否能确保个人数据受到侵犯的欧洲人的诉求得到完全独立且公允的裁决仍然值得关注;同时美国宪法法律要求证明“事实上的损害”才有资格在美国法院起诉,这是一个很难达到的门槛,因为监视往往是秘密的。
“我赞赏这样的积极举措,美国和欧洲跨境数据流动的新尝试有望成为更广泛的多边合作的基石,但我也认为这种中断和重建的循环是可能反复出现的。”吴丹君说。
全球影响
博弈多年,此次美国作出的退让耐人寻味。
结合国际形势,稍早前,美国白宫官方网站明确提出,为了确保所谓的“共同价值”,美国政府正在同欧盟委员会就重新拟定个人信息跨境传输的相关协议紧密磋商。但有意思的是,在欧盟委员会在官网上,却仅强调了个人信息保护和促进数据自由流动,却对“共同价值”只字未提。
郑观就此分析,个人信息跨境流动涉及到个人信息保护、数据自由流动以及数据三个相互交织的不同利益诉求,但归根到底却是信任问题。“但在当今世界冲突不断的格局下,美国能否重塑欧盟对其信任,尤其是那些‘老欧洲’国家的信任,恐怕仍任重道远。《框架》迄今为止的三起三落提出了一个警示,信任易破而难立,国家间亦是如此。”
但若美国和欧盟之间的数据传输新框架能最终建立,或许最终惠及的也不仅仅是两个地区。
邓志松认为,数据跨境传输近年来日益受到各国重视,美欧之间的协议在促进跨大西洋数据流动的同时,也为其他法域兼顾经济发展和国家安全提供了一定借鉴。
不仅如此,吴丹君认为,《行政命令》中关于信号情报活动的规定,表明美国对其信号情报活动的限制和监督并不以其拟收集的数据所涉及的自然人的国籍或居住地而改变,美国与其他国家或地区间的跨境数据流动活动亦受到该行政命令的保护。
郑观谈到,《行政命令》针对特定国籍和地区的人士设立独立的 “数据保护审查法庭”,若该法庭的组成人员中包含欧盟专业人士,则可视为美国在司法管辖上的让渡。
他进一步补充,若《框架》最终确立,将促使全球个人信息形成美欧汇合的态势,从而一改之前全球的个人信息格局。
据了解,下一步,欧盟委员会将对美国承诺的措施启动充分性评估。通常,欧盟委员会完成充分性确定草案的过程需要四五个月的时间。(文/郭美婷,冯恋阁,高艺)
“新石油“开发记之五:隐私计算,离改变“游戏规则”还差耐心与时间
END