《欧美“隐私盾”、脱欧和跨大西洋数据流动的未来》分析报告

2020年6月，伦敦大学学院欧洲研究所（UCL European Institute）发布了关于跨大西洋数据流动的分析报告-《欧美“隐私盾”、脱欧和跨大西洋数据流动的未来》，该报告分析了欧美商业数据流动中存在的问题，预判了隐私盾框架和标准合同条款（SCC）的未来发展，比较了欧美的数据保护差异，从而对未来跨大西洋数据流动的走向提出了建议和意见。

欧盟-美国数据流动

欧盟的数据保护法律制度是全面的、成体系的、以基本权利为基础的。但与之形成对比的是，美国的数据立法是有限的、分散的，而且针对隐私缺乏宪法保护。在制定全球数据保护标准方面，欧盟的影响力比美国大得多。然而在执法方面，欧美现在都趋严，欧盟数据保护执法受到了严厉的批评，美国也对于隐私违法行为开出了很大的行政罚款处罚。欧美签订的“隐私盾”框架促进了跨大西洋不受限制的商业数据流动，超过5300家公司加入了“隐私盾”协议，支撑了跨大西洋的数字贸易的发展。但由于美国政府出于执法和国家安全目的获取欧盟公民数据的问题尚未解决，“隐私盾”很有可能在未来被欧洲法院驳回。如果“隐私盾”失效，必然会产生政治后果，而标准合同条款（SCC）将成为欧盟与美国数据流动的主要替代法律机制。未来几年，针对向美国传输数据的SCC的投诉、调查和潜在的暂停很可能会增加，这涉及受美国大规模监控影响最大的主要互联网和电信公司。由于美国国家安全、监控立法和活动与欧盟数据保护标准和基本权利之间的冲突很大，通过政治或法律来进行解决的余地极小。美国官员和企业普遍认为，欧盟因美国的国家安全和情报收集活动而惩罚美国是不公平的，因为虽然欧盟对成员国的国家安全没有权限，但在进行数据充分性保护认定评估时，会评估第三国的国家安全立法。对于“隐私盾”及欧美数据流的价值和重要性方面缺乏有力的实证研究，因此很难评估严格限制跨大西洋数据流对其产生的负面效果。

欧盟-英国数据流动

欧美数据流动是英国脱欧后对于欧盟-英国数据流动具有指导意义的案例。由于英国坚持不延长过渡期，这一问题具有紧迫的战略意义。英国将面临与美国非常相似的问题。欧盟和英国的数据流关系将是复杂的，可能会在数年内得不到解决。欧盟委员会有可能会将英国认定为具有充分性保护的国家，但英国是否满足条件可能会面临多项法律挑战，而且可能需要数年时间才能解决。另外，SCC也很脆弱，会直接影响英国公司，尤其是受到《调查权法》影响最大的电信运营商，由于投诉、调查和暂停而导致使用SCC从欧盟到英国的数据传输无效的可能性越来越大。如果没有较好的解决方案，可能会导致欧英数据流的严重中断，从而带来负面的经济后果。

同时，随着英国的国家安全和监视行为受到审查，英国官员和企业对于不能获得欧盟充分性认定的结果会产生冲突，将会产生政治动荡。

当前，美国在贸易谈判中大力推动不受限制的数据流动，如果英国在未来的贸易协议中大幅放开与美国的数据流动，这可能会削弱英国在欧盟获得充分性认定的可能性。

欧美数据保护制度比较

在美国，目前还没有全面的、涵盖所有经济部门和商业数据处理的联邦数据隐私立法。相反，有几部联邦法律规定了特定领域的个人数据处理和使用。但许多经济领域并不能涵盖在这些法律中，其中许多法律是针对特定事件或重点关注而通过的。多年来，许多联邦隐私法案被提交给了国会，但一直没有通过的迹象。联邦贸易委员会（FTC）曾在2000年提出过类似的立法，但在9/11恐怖袭击之后，由于优先考虑的重点从隐私转移到了其他方面，国会对此失去了兴趣。然而，关于国会通过一项全面的联邦数据隐私法的讨论却越来越多。当前在美国，最大的问题是，政府是否有政治意愿优先解决这个问题。2012年，奥巴马政府发布了《消费者数据隐私白皮书》（Consumer Data Privacy White Paper），其中就消费者隐私权利法案（Consumer Privacy Bill of Rights）提出了详细建议，该法案的草案于2015年发布，即遭到了科技行业的强烈反对，该法案从未通过，特朗普政府也放弃了该计划。美国的数据隐私保护体系是高度分散的，因为在州一级有无数不同的法律和规定。当前只有三个州通过了全面的数据隐私立法：加利福尼亚州、内华达州和缅因州。另外13项法律目前正在由州立法机构审查，但不知道其中有多少会被颁布。加州消费者隐私法（CCPA）是迄今为止最重要的州隐私法，欧盟的GDPR和CCPA之间有一些明显的相似之处。在欧盟制定全球隐私标准的同时，加州也在制定美国的标准，包括夏威夷、麻萨诸塞州和纽约在内的几个州拟议的州隐私法在不同程度上都是仿照CCPA制定的。近年来一个重要的转变是，越来越多的科技巨头和美国企业界支持联邦隐私立法。这种转变的关键驱动因素可能不是人们对隐私基本价值的逐渐认识，相反，它主要是因为公司不想要遵守各州和联邦的法律，所有这些法律都有不同的义务、消费者权利和执法。这种差异使得合规变得混乱、复杂和昂贵。有人预测，联邦隐私法很可能在未来三到五年内通过，仿照CCPA，但在一定程度上会超越CCPA。

美国和欧盟的执法体系也有很大的不同。欧洲的专门数据保护机构（DPA） 是独立的监管机构，其主要目的是执行数据保护法，拥有广泛的权力。而美国FTC的权力更有限，因为没有全面的联邦隐私法来执行，只能按照联邦贸易委员会法案的规定，对从事不公平和欺骗行为的公司处以罚款，而公民不能依据该法案提起私人诉讼。美国是经合组织中唯一没有DPA的国家。然而，在某些方面，美国数据隐私法的执行力度要强于欧盟。FTC的几笔罚款都超过了欧洲任何一笔DPA罚款，而美国法律对罚款没有最高罚款限制。最近Facebook因剑桥分析公司丑闻被罚款50亿美元，艾科法克斯公司的罚款高达7亿美元，这比GDPR迄今为止的任何罚单都要高得多。YouTube还因违反儿童在线隐私法而被联邦贸易委员会和纽约司法部长罚款1.7亿美元。欧盟最大的GDPR罚款都是由英国信息专员办公室（ICO）开出的，对英国航空公司的罚款为1.83亿英镑，对Marriott的罚款为3100万英镑，比FTC针对隐私开出的最大罚单要小得多。

在美国，集体诉讼被用来对数据隐私不当行为的公司处以巨额罚款。一些隐私立法当中规定了集体诉讼制度以及FTC的行政处罚权。美国虽然有合规文化和金融风险评估的传统，但是由于美国宪法对“身份”的要求使得个人很难通过法院追究隐私侵权行为，因为通常很难证明具体的损害。

一些欧盟DPA一直被批评效率低下、资源匮乏和缺乏具体的执法手段，有一半的欧盟成员国政府每年为其DPA提供的预算不超过500万欧元，而DPA也很少雇佣技术专家。爱尔兰DPA比较突出，因为许多美国科技巨头都在它的管辖范围内，但它还没有依据GDPR做出过任何重大罚款。此外，由于缺乏对科技巨头的重大执法行动，以及在数字广告等领域存在可疑或明显的大规模违规行为，许多隐私活动人士甚至欧盟委员会官员对GDPR的进展感到失望。

欧美“隐私盾”的未来

欧盟从未承认美国的数据保护系统是足够的，部分原因是美国缺乏全面的联邦隐私立法。然而，由于欧盟和美国在经济上的重要性，欧盟委员会采取了其他替代方法，当前即“隐私盾”模式：获认证的公司采用比美国法律要求更高的数据保护标准，以换取欧盟实体不受限制的数据流。“隐私盾”模式拥有更强大的监督和执行机制，包括独立的监察员，这是美国的重大让步。“隐私盾”的监察员是美国负责经济增长、能源和环境事务的副国务卿基思•克拉奇，他的职责是管理欧盟公民关于美国情报当局可能访问其个人数据的请求。

欧盟和美国之间的跨境数据流量是世界上最高的，因此，美国政府、欧盟委员会和大多数成员国都非常希望维护“隐私盾”，认为它是一个非常有用的机制。欧盟是美国最大的数字贸易伙伴，从2003年到2017年，欧盟和美国之间的贸易总额从5940亿美元增加到1.2万亿美元。2017年，ICT和潜在的ICT服务占美国对欧盟出口的约1900亿美元。此外，美国和欧盟各自占彼此数字交付服务出口（如商业、专业和技术服务）的近一半。当前，将近1600家公司（占总数的30%）使用“隐私盾”将其人力资源数据转移回美国，视频会议工具如Zoom、Skype、谷歌Hangouts和思科Webex通常会将欧盟客户数据传输到美国服务器进行处理和隐私保护分析。“隐私盾”对于中小企业和初创企业来说是有利的，因为他们可能缺乏足够的资源来建立SCC或约束性公司规则（BCR），大约65%通过“隐私盾”认证的公司是中小企业，41%的认证公司收入低于500万美元。因此，一旦“隐私盾”失效，对中小企业来说将是非常大的打击。

然而，一些欧盟官员对“隐私盾”的重要性表示怀疑，欧盟官员和美国科技公司之间缺乏信任。2017年，Facebook因提供不正确或误导性信息而被欧盟委员会罚款1.1亿美元；在2014年批准收购WhatsApp期间，Facebook宣布计划合并Facebook和WhatsApp的所有用户数据，引发了额外的担忧；在2014年谷歌西班牙“被遗忘权”一案中，谷歌辩称，迫使搜索引擎将条目删除将代价高昂，并破坏其商业模式。然而，从那时起，谷歌已经收到了超过360万个网址的删除请求，其中超过46%的网址已被删除，并继续逐个进行审查。但这似乎没有对谷歌的业务造成负面影响，其全球营收从2014年的656亿美元增长到2019年的1607亿美元。这些例子说明了为什么欧盟并不总是相信科技巨头们的说法。

“隐私盾”的未来是不确定的，一些正在进行的法院案件威胁到它的存在，一些根本问题可能永远得不到解决。在未来几个月或几年内，欧盟法院（CJEU）很有可能使Privacy Shield失效。爱尔兰数据保护专员（DPC）将一个名为Schrems II的投诉案件提交给爱尔兰高等法院，认为整个欧盟的SCCs系统应该失效。在2017年10月的判决中，爱尔兰高等法院又将这个被称为Schrems II的案件交由CJEU进行初步裁决。在一份措辞强硬的判决书中，CJEU认为，美国实施大规模、不分青红皂白的监控，使欧盟数据主体面临风险，还批评“隐私盾”监察员是一个无效的机制，声称欧盟公民在他们的数据被转移到美国时无法获得适当的法律救济。但CJEU中的意见不一致，有人认为，如果发现特定的SCC不能充分保护欧盟公民的数据，他们应该在个案基础上中止SCC，CJEU不应该用这一个案例来裁决“隐私盾”的有效性。CJEU的判决将于2020年7月16日提交。同样有可能的是，CJEU将推迟对“隐私盾”的判决。法国数字权利组织La Quadrature du Net正在审理一宗案件(T-738/16)，该案件明确涉及“隐私盾”的有效性。

该报告认为，如果欧美之间有关数据监控和数据安全的根本性问题得不到解决，那么“隐私盾”将无效，只能根据GDPR第49条中的例外条款进行数据流动。这就意味着只能在欧盟进行数据处理和存储，而不能将数据转移到美国。这在技术上是可行的，但会对企业施加额外的成本和负担，还将加大中小企业和初创企业进行跨大西洋数字贸易的难度，并可能阻碍美国公司在欧盟投资和运营。当前已经有美国科技公司在为此做准备了。几年来，美国公司一直在为欧洲数据中心大举投资，而且这种投资势头有增无减，谷歌宣布计划在2019年向欧洲数据中心投资33亿美元。

作者简介：刘耀华，中国信息通信研究院互联网法律研究中心研究员

声明：本文来自CAICT互联网法律研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。