2023年7月10日,欧盟委员会宣布《欧美数据隐私框架》(EU-US Data Privacy Framework)通过了基于《通用数据保护条例》(General Data Protection Regulation,简称GDPR)的“充分性认定”,取代了2020年被欧盟单方面裁定无效的“隐私盾”(Privacy Shield)协议。这是继2000年“避风港”(Safe Harbor)协议以来,欧盟与美国针对数据跨境流动议题达成的第三份协议,是双方在数据治理博弈上的集中体现。

两种数据治理思路在持续博弈与妥协中发展

在GDPR出台之前,欧盟将1995年制定的《数据保护指令》(简称“95指令”)第25条作为评估数据跨境流动的法律依据,即只有当某一国家/地区的数据保护标准通过该法条的“充分性保护水平”(Adequate Level of Protection)认定后,才能与欧盟实现数据自由流动。从那时起,欧盟将“充分性认定”作为数据(信息)跨境传输的基本准则。美国方面一直主张数据(信息)自由流动,认为各国监管部门不得在该议题上设置障碍。为了解决这一争议,双方在2000年达成了“避风港”协议。根据该协议,凡是通过欧盟“充分性认定”的实体可以加入美国商务部下设的公共目录成为“避风港”的一员,进而拥有跨境数据转移资格。由此可见,“避风港”协议既满足了欧盟“充分性认定”要求,又体现了美国的数据自由流动主张,是两种数据治理思路博弈和妥协的产物。

进入21世纪第二个十年,双方要求修订“避风港”协议的呼声日益高涨。“欧洲2020战略”中的“欧洲数字议程”旨在推进欧盟数字化进程,实现内部数据资源共享。因此,一些人士认为美国科技公司根据“避风港”协议进行大量的数据跨境转移是对欧盟公民隐私完整性的破坏,不利于欧洲数字议程相关目标的实现。美国内部也有声音认为,一些机构由于加入“避风港”协议导致不能在欧美之间进行数据自由传输,影响其业务开展。因此,双方认为有必要尽快通过修订“避风港”协议来解决分歧。2013年斯诺登曝光的“棱镜门事件”加速了这一进程,双方在2015年10月完成了主要谈判,并在2016年达成了“隐私盾”协议。加入“隐私盾”的美国科技公司都必须“自我证明”(self-certify)遵守协议的隐私规则,遵守“稳健义务”,欧盟公民发现个人数据被滥用后可以向欧盟数据监察专员发起申诉,欧盟官方也可以投诉至美国商务部。

“隐私盾”的达成并不意味着双方分歧的终结。在“施雷姆斯VS脸书”(Max Schrems vs Facebook)一案的影响下,欧洲法院在2020年7月裁定“隐私盾”协议无效。欧方认为,联邦调查局等美国情报机构存在超出“必要限度”采集欧盟公民数据的行为,这一过程缺乏透明;一旦欧盟公民的个人数据传输至美国,“隐私盾”无法为数据主体提供充分的救济措施。这些争议成为双方数据跨境流动开展新一轮谈判的焦点。

框架迭代赋予“合格国家”公民更多救济权利

《欧美数据隐私框架》由两部分组成,一部分是《隐私框架原则》(Privacy Framework Principles),另一部分是2022年10月美国总统拜登签署的14086号行政令:《加强美国信号情报活动保障》(Enhancing Safeguards for United States Signals Intelligence Activities,即Executive Order 14086)。《隐私框架原则》继承了“隐私盾”的七项原则,包括通知,用户选择,向外转移问责,安全性,数据完整和目的限制,访问权,追溯、执行和责任,此外还包括敏感数据转移、新闻例外、尽职调查和审计等补充原则。可以说,《隐私框架原则》和《隐私盾》原则的差异极小,凡是已经参与《隐私盾》的实体都能无缝衔接《隐私框架原则》。

《数据隐私框架》的亮点是14086号总统行政令。根据该项命令,美国情报机构对欧盟公民数据的获取和使用必须限制在特定“合法目标”,包括军事评估、跨国威胁、防范网络威胁等。该文件还为数据主体设计了一个权利救济机制:凡是“合格国家”(Qualifying State)的公民发现个人数据遭遇侵犯后,都可以通过该行政令的流程向美方提出申诉。首先是个人向国家情报总监办公室(Office of the Director of National Intelligence,简称ODNI)下属的“公民自由保护官”(Civil Liberties Protection Officer,简称CLPO)发起申诉,由CLPO审查美国情报机构是否存在违规行为,并根据审查结果采取相关措施。如果申诉人不接受该结果,可以向美国司法部设立的“数据保护审查法庭”(Data Protection Review Court,简称DPRC)提起上诉。DPRC根据上诉内容进行调查,判断情报机构是否存在越权行为并采取进一步行动。如果调查发现越权采集个人数据的行为属实,这些数据将被下令删除。在此过程中,DPRC应当通过该流程选择一名“特别辩护人”协助再审。特别辩护人应当充分主张申诉人的权益,同时确保DPRC成员充分了解与该事项相关的问题和法律程序。需要注意的是,特别辩护人和申诉人的关系不同于一般的律师和当事人关系,而是帮助作为非美国公民的个人数据主体充分知晓其相关权益,帮助其完成申诉流程。相比“隐私盾”规定的“欧盟数据监察专员”投诉机制,这份总统行政令“合格国家”中的救济机制更加完善,赋予了个人数据主体更多权利,美方也要承担更多义务。

数据治理“外紧内松”或催生新变化

在没有对《隐私盾》原则做重大调整的基础上,《欧美数据隐私框架》回应了欧盟在施雷姆斯案中的诉求。近年来,欧盟发布了《塑造欧洲数字未来》(Shaping Europe's Digital Future)、《欧洲数据战略》(European Data Strategy)等纲领性文件,制定了《数字市场法案》(Digital Market Act)、《数字服务法案》(Digital Service Act)等法律,反映了其内部强化数据主权、获取数据资源、推动数字化进程的愿望。通过这种“外紧内松”的数据治理思路,欧盟一方面希望加强内部的数据资源整合,另一方面希望严控数据流向域外。面对大量数据资源流向美国这一现实,欧盟希望通过修订协议的方式规范美国机构获取数据的流程,尽最大可能保护欧盟的商业利益和公民个人权益。这是欧盟废止“隐私盾”、希望与美方达成新协议的初衷。美国需要作为盟友的欧盟在全球数字治理议题上予以配合,且硅谷科技公司在欧盟拥有巨大的商业利益,因此有必要在数据跨境流动议题上做出一定让步。欧盟委员会主席冯·德莱恩和美国总统拜登在公开场合和声明中谈及该项谈判,反映了双方高层对这一议题的重视。

不过,《欧美数据隐私框架》的达成并不意味着双方数据治理博弈的结束。这份协议确定的救济机制依然是美国政府内部的单方面行为。一旦美方以“国家安全信息”事项为理由驳回申诉人请求,欧盟公民的个人数据权利主张很难实现。从趋势来看,欧盟依然会通过立法和政策手段来加强数据资源管控,欧美的数据治理博弈也将延续,并随着全球数字治理态势的变化而催生新的议题。中国可以从双方的博弈过程中获得启示,为主导或加入数据跨境流动相关的国际协议获取经验,从中探究全球数字治理博弈的方向。

(作者系中国信息通信研究院产业与规划研究所工程师)

来源:人民邮电报