本文是国家社会科学基金重大项目“网络空间国际规则博弈的中国主张与话语权研究”(20&ZD204)的阶段性成果,发表于CSSCI刊物《同济大学学报》(社会科学版)2021年第2期。为了方便阅读,本次推送删去了全部注释,正式发表的PDF版本请点击文末“阅读原文”获取。

(作者:黄志雄,武汉大学国际法研究所教授、武汉大学网络治理研究院研究员、教育部青年长江学者;韦欣妤,武汉大学国际法研究所2020级国际公法博士生)

摘要:目前,国际社会尚未就跨境数据流动规则达成共识,美国和欧盟在相关规则制定中占据领先优势,但二者采取了不同的立法模式和标准,存在难以弥合的分歧。为此,美欧在过去20年中持续开展了多轮博弈,2020年7月欧盟法院关于美国无法为欧盟的个人数据提供充分保护、美欧《隐私盾协议》无效的判决,正是这一博弈的最新体现。该判决对于欧盟重新夺回技术主权以及美欧跨境数据流动合作和规则博弈都将产生不可忽视的影响。同时,这一判决所推动的跨境数据流动规则博弈态势对我国利弊并存。我国应着眼于国家安全、数据隐私保护和经济发展的平衡,积极推动现有跨境数据流动国内立法的完善,并通过加入现有的区域性隐私框架等措施积极提升“中国模式”的国际影响力。

关键词:跨境数据流动;隐私盾协议;美欧博弈;规则制定

2020年7月16日,欧盟法院作出判决,认定欧盟与美国之间关于跨境数据传输的《隐私盾协议》无效,从而使美国公司无法继续通过该协议将欧盟的个人数据传输到美国。这一判决是美欧在跨境数据流动规则领域持续争夺和博弈的最新体现。尽管双方正在努力围绕后续安排进行磋商,但迄今为止前景仍不明朗。

国外学者对跨境数据流动国际规则进行了较多的研究。罗伯特·沃尔特斯(Robert Walters)等人指出,跨境数据流动的“法律协调和法律趋同不仅可以由国际机构推动形成,还可以因跨法域移植法律原则而推动形成”。帕特里克·勒布隆(Patrick Leblond)等人认为,美国、欧盟和中国这三个数据巨头使用了不同的数据治理方法,与其他规则制定者之间形成了数字鸿沟,这给WTO带来了挑战,也带来了机遇。克莱尔·沙利文(Clare Sullivan)进一步分析了欧盟主导的GDPR模式和美国主导的CBPR模式,认为GDPR模式更适合物联网时代并将继续确立国际数据保护标准。

国内学界对跨境数据流动国际规则博弈的研究相对较少,既有文献多探讨国内跨境数据流动规则的制定问题。刘宏松、程海烨指出:“跨境数据流动的全球治理呈现两个发展趋势,一是规制多极化和规制标准的俱乐部化,二是美欧将继续争夺跨境数据流动规制的主导权。”曹杰、王晶对《隐私盾协议》《安全港协议》和TPP协议进行了对比研究。但是,这些研究都没有结合欧盟法院关于《隐私盾协议》无效的判决对美欧跨境数据流动规则博弈的最新态势和影响加以深入分析。

因此,本文的主要研究问题是:在美国和欧盟围绕跨境数据流动规则的博弈不断加剧的背景下,欧盟法院关于《隐私盾协议》无效的判决有哪些值得关注之处,将对美欧博弈造成何种影响?以这一判决为视角,中国应当如何提升在跨境数据流动国际规则制定中的话语权和影响力?

一、跨境数据流动规则制定中的美欧博弈

在数字经济时代,跨境数据流动对国际贸易至关重要。麦肯锡全球研究院(MGI)发布的《数字全球化:全球流动的新时代》报告指出,传统的商品、服务贸易和资金流动已经趋于平缓,但跨境数据流动正大幅增长,对全球经济增长的贡献已经超过了传统的货物贸易。跨境数据流动日益成为国际社会高度关注的一个重要议题,如何通过掌握规则制定权使本国获得更多的数据资源,尤其成为各国关注的焦点。

从数据的自身属性来看,数据的生命在于流动,没有流动性的数据是没有价值的。数据需要被灵活使用,数据在不断被消化、处理、产生增值服务的同时又能产生更多的数据,从而形成数据回流。在经济全球化的今天,数据流动往往也是全球性的。跨境数据流动使企业可以直接对接国际客户,拓宽国际市场。

但是,跨境数据流动伴随着个人数据隐私保护的难题,因为出境后的数据监管难度显著增加,数据主体对数据的掌控力也大大削弱,个人数据(例如个人的政治观点、通话记录和社交账号等)一旦被非法获取、泄露和滥用,将导致严重的后果。这就表明,个人数据保护已成为一个不可规避的全球性问题。当然,过于严格的数据隐私保护模式将成为阻碍数据流动的壁垒,使企业面临巨大的法律风险,用户也无法享受数据流动带来的便利。

美国和欧盟同为发达经济体,其信息通信技术及产业发展水平却有着较大差异。美国是这一领域的全球领跑者,2019年《全球云基础设施服务市场排行》显示,美国的亚马逊、微软和谷歌公司分别是全球排名前三的云服务提供商。欧盟的数字技术发展远远落后于美国和中国,中美占全球70个最大数字平台市值的90%,而欧洲所占份额仅为4%。欧盟高度依赖外部云服务提供商,缺乏数据处理和大数据分析能力。因此,在美欧跨境数据传输中,由于美国拥有技术优势,大量欧盟数据流向美国。这一态势决定了美国和欧盟对跨境数据流动隐私保护采取了不同的立法模式和标准。

美国没有制定统一的个人信息保护法典,而是在《儿童在线隐私保护法》《健康保险携带和责任法案》等不同领域的立法中分别加以规定。这一模式可以避免因“一刀切”而对企业施加过多的限制,减少立法干预,以便充分发挥技术优势。同时,美国确立了重数据自由流动而轻政府监管的路径,奉行以市场为主导、以行业自律为中心的信息隐私政策。该模式对个人数据隐私保护的力度较小,认证门槛相对较低,有利于促进数据自由流动。以美国主导建立的亚太经合组织(APEC)跨境隐私规则体系为例,企业以自愿为原则,通过自我评估和问责代理机构评估后即可获得认证,获得认证的企业相互之间可以自由传输数据,其实质是强制加入国放弃其国内的高保护水平,转而认同美国较低的保护水平。此外,根据2018年颁布的《澄清境外数据合法使用法案》(CLOUD法案),美国通过“数据控制者标准”对境外数据确立了“长臂管辖权”,使美国政府可以合法地批量获取来自全球的数据。概言之,美国模式具有强烈的保护企业商业利益的色彩和自由市场体制特征,政府监管力度小,对个人数据的隐私保护较为宽松,这降低了进行数据跨境流动的门槛,有利于使全球跨境数据最大程度地流向美国。

与之相对的是,欧盟极为强调个人数据流动中的隐私权保护,确立了统一的、系统化的立法模式,将权利明确赋予数据主体,强调政府自上而下的监管作用。1995年,欧洲议会与欧盟理事会颁布了《关于涉及个人数据处理的个人保护以及此类数据自由流动的第95/46/EC号指令》(简称《个人数据保护指令》),明确规定成员国应当保护与个人数据处理相关的隐私权。2000年欧盟颁布的《欧洲联盟基本权利宪章》是全球第一份将数据保护列为一项基本人权的法律文件。2018年5月25日,欧盟又通过了《通用数据保护条例》(GDPR),使之取代《个人数据保护指令》成为欧盟对个人数据保护问题的统一立法,通过赋予数据主体更多权利、对数据控制者实施更加严格的限制以及成员国全面遵守该条例并转化为国内法加以实施的义务,进一步加强了对公民数据和隐私的保护。

根据欧盟相关立法,个人数据可通过三种方式传输出境:其一,当第三国对欧盟个人数据的保护水平实质上等同于欧盟内部确保的保护水平时,由欧盟委员会通过一个“充分性决定”(Adequacy Decision)认定该国已达到充分保护标准,允许将欧盟公民的个人数据传输给该国。其二,通过“标准合同条款”和“有约束力的公司规则”等例外措施,在确保有关数据得到适当保护的前提下允许将个人数据传输出境。其三,欧盟还规定了在获得用户明确同意或为公共利益考虑等特殊情况下的减损条款,允许将欧盟个人数据传输出境。通过上述规定,欧盟确立了高水平的隐私保护标准,并且通过“充分性决定”等“传导机制”撬动其他意图获得欧盟个人数据的国家,使之达到或者至少接近欧盟对数据和隐私的高水平保护标准。

美欧在跨境数据流动规则上的分歧,既体现了双方在数据和隐私保护问题上的理念差异,同时也直接关涉美欧围绕科技和产业主导地位的竞争。为此,美欧在跨境数据流动领域进行了多轮博弈。

第一轮博弈体现为美欧在2000年签订《安全港协议》(Safe Harbor Framework)前后展开的较量。由于1998年正式生效的欧盟《个人数据保护指令》禁止将个人数据传输到未提供“充分保护”的第三国,美国政府在商业利益的驱动下主动提出了“安全港建议”并与欧盟展开谈判,以期解决二者在规则上的差异。2000年12月,美欧签订了第一份个人数据传输协议《安全港协议》,欧盟委员会在此基础上作出了《安全港决定》,认定美国可以为欧盟公民的数据提供充分保护。《安全港协议》参照《个人数据保护指令》制定了七项隐私原则,自愿选择加入《安全港协议》的美国企业必须遵守这些原则并提出具体落实方案;同时,欧盟在政府机构的监管方面采取了严格的态度,根据美国的隐私保护政策不受政府机构监管的美国企业(如电信业、银行业等)不得加入该协议。可以说,《安全港协议》是美国向欧盟隐私保护制度的首次让步。

2013年美国“斯诺登事件”的爆发使美欧在数据保护问题上陷入了信任危机,并因此展开了双方的第二轮博弈。根据美国国家安全局职员爱德华·斯诺登(Edward Snowden)曝光的绝密文件,美国长期对本国及其他国家的通信开展大规模秘密监控,包括直接从微软、苹果、谷歌、脸书等9个互联网巨头的服务器收集信息;监控对象不仅包括美国公民,还包括在美国境外使用上述公司服务的客户。美国的大规模网络监控和对公民隐私权的严重侵犯受到了国际社会的广泛谴责,欧盟委员会也声称美国的大规模监控行为是“不可接受的”,要求美国立刻采取补救措施,重新讨论并改进《安全港协议》的内容,让欧盟重拾对美国政府的信任。

受“斯诺登事件”影响,奥地利公民马克西米利安·施雷姆斯(Maximillian Schrems)于2013年6月25日向爱尔兰数据保护监管机构提出申诉,以欧盟个人数据因美国政府的监控行为而无法得到充分保护为由,要求禁止脸书爱尔兰公司将有关个人数据传输至其美国总部。相关行政和司法程序的结果是,爱尔兰高等法院请求欧盟法院对欧盟委员会《安全港决定》的效力加以确认,因为这直接决定着美国公司能否继续依据《安全港协议》向美国传输欧盟用户的个人数据。欧盟法院于2015年10月6日作出判决,推翻了《安全港决定》关于美国可以为欧盟个人数据提供充分保护的认定,美欧《安全港协议》由此归于无效。随后,经过双方的紧急磋商,美国政府向欧盟委员会出具了书面承诺,保证将对其“出于公共利益获取和使用个人数据”的行为加以限制并提供救济措施,包括承诺建立一个新的国家安全干预监督机制,即独立于美国情报部门的“隐私盾监察员”。在此基础上,美欧于2016年7月达成第二份跨境数据传输协议,即《隐私盾协议》(Privacy Shield Framework),欧盟委员会也据此做出了美国可以对传输至美国的个人数据提供充分保护的《隐私盾决定》。《隐私盾协议》对个人数据隐私保护的标准比《安全港协议》更为严格,不仅规定美国情报机构以国家安全为由从欧盟采集个人数据时必须受到约束和限制,还新增了年度联合审查机制,防止美国政府和企业不履行协议的内容。

《隐私盾协议》的签订是美国向欧盟隐私保护制度的第二次让步。但是,这并未使美欧之间围绕跨境数据流动规则的博弈和争夺风平浪静。早在《安全港协议》被判无效后的2015年12月1日,施雷姆斯就再次向爱尔兰数据保护监管机构提出申诉,认为脸书爱尔兰公司即便根据“标准合同条款”向美国总部传输欧盟的个人数据,也无法确保这些数据得到充分保护。2017年10月3日,爱尔兰高等法院对美国的相关法律和措施进行审查后认为,美国没有为欧盟公民提供实质上等同于欧盟的保护水平,这与2016年7月欧盟委员会《隐私盾决定》得出的结论不符。为此,爱尔兰高等法院请求欧盟法院对“标准合同条款”和《隐私盾决定》的效力加以确认,由此揭开了美欧之间新一轮博弈的“大幕”。

二、《隐私盾协议》被判无效案件的主要法律问题

2020年7月16日欧盟法院作出的判决,尽管没有否定根据“标准合同条款”向美国传输欧盟个人数据的合法性,但却认定美国未能提供实质上等同于欧盟的保护水平,欧盟委员会的《隐私盾决定》以及美欧之间的《隐私盾协议》无效。这一判决作为美欧跨境数据流动规则博弈的最新表现,引发了国际社会的广泛关注。对该判决涉及的主要法律问题进行分析,有助于深入理解美欧跨境数据规则博弈的态势和未来走向。

欧盟法院的审查主要围绕《隐私盾决定》第1条第1款进行,欧盟委员会在该款中认定美国为欧盟个人数据提供的保护水平实质上等同于欧盟内部确保的保护水平,因而其可以为相关欧盟数据提供充分的保护。美国政府对传输到美国的个人数据开展情报活动所依据的法律法规是《外国情报监视法》第702条和第12333号行政命令,第28号总统政策指令(PPD-28《信号情报活动》)则规定了美国实施信号情报活动所应遵守的程序和限制,对美国情报部门具有约束力。欧盟法院从两个方面对美国的保护水平进行了分析。

首先,美国对欧盟个人数据开展的情报活动是否符合比例原则?

《欧洲联盟基本权利宪章》(以下简称《宪章》)第7条规定:“人人均有权要求尊重其私人与家庭生活、住居及通信。”该《宪章》第8条第1款规定:“人人均有权享有个人信息之保护。”虽然第7条和第8条所保护的权利不是绝对的,可能会因国家安全或公共利益等因素受到限制,但根据《宪章》第52条第1款的规定,对《宪章》所规定权利的限制必须符合“比例原则”,即只有在具有必要性且符合欧盟承认的一般权利的目的或需要保护他人的权利和自由时,才可以对权利加以限制。根据欧盟的判例法,比例原则要求对欧盟个人信息权和隐私权进行限制的立法必须明确规定限制措施的范围和适用,并且明确规定最低限度的保障措施。

《外国情报监视法》第702条允许美国情报部门在政府的监督下收集有关国际恐怖分子、武器扩散者和位于美国境外的其他重要外国情报目标的关键情报。这一规定被美国政府视为最有效的外国情报工具之一,也是其至关重要的国家安全工具。根据《外国情报监视法》设立的“外国情报监控法院”,其主要任务是根据司法部部长和国家情报总监提交的年度证明对“棱镜计划”等特定监控计划加以审查,核实这些监控计划是否出于获取外国情报信息的目的。欧盟法院对《外国情报监视法》第702条进行分析后认为,美国外国情报监控法院并不审查“个人是否被适当地作为获取外国情报信息的目标”,且第702条未规定对政府监控计划的限制,对于监控计划所针对的非美国人也未规定相应的保障。因此,基于《外国情报监视法》第702条实施的监控计划不符合比例原则,无法为欧盟个人数据提供充分保护。

对于第12333号行政命令,欧盟法院指出,该行政命令没有赋予美国法院对政府部门进行强制执行的权利。由于根据第12333号行政命令实施的监控计划必须符合第28号总统政策指令的要求,因此需要将两项命令结合起来分析。第28号总统政策指令允许情报部门在不使用与特定目标有关的识别码的情况下“批量”收集情报信息或数据,这将使根据第12333号行政命令实施的监视计划可以在不受任何司法审查的情况下获取传输至美国的数据。欧盟法院认为,美国未明确地界定这种大规模收集情报信息或数据行为的范围,违反了比例原则。

其次,美国是否为权利可能受到侵犯的欧盟数据主体提供了“有效的行政和司法救济”?

《宪章》第47条规定,当权利受到侵犯时,人人均有权在法庭上获得有效救济,数据主体必须拥有向独立、公正的法庭提起法律诉讼的权利。为了强化对这一权利的保障,GDPR第45条规定,欧盟委员会在评估第三国的保护水平是否充分时,应特别考虑“对个人数据被转移的数据主体的有效行政和司法救济”。欧盟法院认为,在个人数据被传输至第三国的情况下,有效的救济措施尤为重要,因为欧盟成员国的行政和司法当局往往没有足够的权力对数据主体提出的投诉采取有效行动,数据主体不得不求助于该第三国的国家当局和法院。

第28号总统政策指令和第12333号行政命令均未授予数据主体在法庭上对美国当局提起诉讼的权利。为了调和双方法律差异、满足欧盟的要求,美国在《隐私盾决定》的附件中承诺设置隐私盾监察员制度。隐私盾监察员独立于美国情报部门,直接向美国国务卿报告,国务卿确保监察员客观地履行其职能。但欧盟法院审理后认为,隐私盾监察员制度存在缺陷。首先,隐私盾监察员是美国国务院的一个组成部分,由美国国务卿任命,美国没有对监察员的任免问题提供任何特定的保证,导致该制度的独立性存疑。其次,没有证据证明,隐私盾监察员可以作出对情报部门有约束力的决定。隐私盾监察员制度不属于《宪章》第47条所要求的独立、公正的法庭,美国并未提供实质上等同于欧盟内部的保护水平。

综上所述,欧盟法院认为,欧盟委员会在《隐私盾决定》第1条第1款中认定美国提供了充分的保护,这不符合《宪章》第7条、第8条、第47条以及GDPR第45条的要求,该决定应属无效,基于该决定达成的《隐私盾协议》也随之无效。

需要看到的是,《隐私盾协议》无效判决并非2015年《安全港协议》无效判决的简单“重演”。尽管《安全港协议》无效判决中简要提及了“美国政府部门普遍获取电子通信内容的行为超出了保护国家安全的严格必要和相称性的程度,位于欧盟的数据主体无法得到行政和司法救济”,但并未对美国有关监控的立法进行详细审查,也未对比例原则等进行解释和具体运用,而主要是基于协议本身存在的缺陷(如未要求美国达到与欧盟实质上相同的个人数据保护水平)将之判定为无效。但在《隐私盾协议》无效判决中,欧盟法院却对美国国内有关监控的立法和政策进行了详细审查和质疑。这意味着,如果美国想要与欧盟再次达成个人数据传输协议,很可能需要对其监控立法和政策进行修改,或者至少进行更为严格的限制。该判决还详细揭示了欧盟在审查第三国的数据保护水平、确定欧盟个人数据能否被传输到该第三国时所考虑的因素,这对美国以外的其他国家同样具有很大的参考价值。判决表明,第三国是否提供了实质上等同于欧盟内部确保的保护水平是法院审查的出发点,比例原则和数据主体向法庭提起诉讼的权利是法院审查的重点。

根据欧盟法院的判决,“标准合同条款”可以确保欧盟个人数据得到充分保护,因而在《隐私盾协议》无效后,美国企业仍可选择通过“标准合同条款”等机制进行数据传输。但是,由于第三国的当局不是“标准合同条款”的当事方,“标准合同条款”无法对第三国的当局产生约束力,企业所在国的监控立法和政策将对该企业的保护水平造成极大的影响,即便企业提供了保障措施,也难以抗衡当局的监控立法和政策。正如一位德国数据保护机构的官员所言:“如果《隐私盾协议》无效主要是由于美国不断升级的间谍活动,那么同样的情况也一定适用于标准合同条款。”在此情况下,欧盟内部对通过“标准合同条款”向美国传输数据的质疑和法律挑战很可能仍将继续,除非美国对其监控立法和政策做出修改或加大限制。

总之,在《隐私盾协议》无效判决中,欧盟借助刚开始生效不久的GDPR又一次对美国数据保护水平提出了强有力的挑战,并发出了坚定捍卫欧盟数据和隐私保护标准的信号。在前两次博弈的过程中,美国虽不断作出让步但都未涉及对国内法的修改,但面对此次判决,美国有可能不得不考虑对监控立法和政策进行修改。美国国会研究服务部在一篇报告中指出,面对《隐私盾协议》无效判决,美国国会可以作出的选择之一是制定在一定程度上符合GDPR要求的全面的国家隐私立法,这可以使美国不再需要考虑与欧盟订立数据流动协议。

三、《隐私盾协议》无效判决的影响

《隐私盾协议》无效判决,有可能对美欧乃至全球跨境数据流动的国际合作与博弈产生深远影响。

(一)对美欧跨境数据流动合作造成打击

《隐私盾协议》无效判决带来的最直接的影响是对美欧跨境数据流动合作造成了打击,特别是增加了美国科技企业进行个人数据传输的合规成本,从而将对这些企业在欧盟的经营产生较大的影响。

截至2020年7月,共有5380家企业和组织自愿加入《隐私盾协议》。《隐私盾协议》被判无效后,如果这些企业和组织继续基于《隐私盾协议》将欧盟用户的个人数据传输至美国,将违反欧盟法律,它们不得不寻找其他的机制来替代《隐私盾协议》。对于美国而言,相关企业和组织不得不付出更多合规成本,与欧盟本土公司相比竞争力将下降。同时,这种法律不确定性可能会阻碍云计算和大数据等数字服务的发展。在数字经济时代,个人数据已成为一项极具价值的资产,2020年欧盟公民数据的估计价值为近1万亿欧元。美国科技企业具有技术优势,而无法进行数据传输将影响美国电子通信和数据处理服务,给美国的数字经济发展造成损失。美国的一些银行、律师事务所和其他商业实体也会受到波及,它们在向欧盟客户销售产品时通常会获得一些个人数据,《隐私盾协议》无效后,这些个人数据将难以被获取。

当然,这一判决也会使欧盟对数字服务的利用受到影响,欧盟的科技公司和大学无法再使用基于《隐私盾协议》开展的美国云服务,欧盟的医院也无法使用位于欧盟境外的呼叫中心。同时,判决还将对欧盟的经济造成影响。早在《安全港协议》无效判决做出时,就有研究认为,美欧间的数据流通受阻将会造成欧盟的整体国民生产总值下降0.8%~1.3%。

(二)有助于欧盟夺回技术主权

在以往的美欧跨境数据传输活动中,美国因掌握技术优势,欧盟不得不处于被动受制地位。美国科技企业占据了大量市场份额,阻碍了欧盟本土科技公司的发展,减少了欧盟的数字经济收入。同时,个人数据被传输到美国后,欧盟公民在一定程度上失去了对其个人数据的控制,欧盟及其成员国的执法能力也受到了制约。这种被动地位引发了欧盟的担忧。为了扭转这一局面,2020年2月,欧盟委员会连续发布了《塑造欧洲数字未来》《欧洲数据战略》和《人工智能白皮书》三份数字转型战略文件,表达了欧盟对于建立统一的规范化数字市场、把握数字经济主权的强烈愿望。欧盟委员会主席乌尔苏拉·冯德莱恩指出,欧洲要夺回“技术主权”(tech sovereignty),这意味着欧洲必须有能力根据自己的价值观并遵守自己的规则来做出自己的选择。

本案中,对隐私和监控等方面的要求都来自欧盟,欧盟根据自己的价值观并遵守自己的规则做出了自己的选择。同时,由于判决增加了相关企业进行跨境数据传输的困难,部分企业不得不考虑实行数据本地化,这可以使企业无须再考虑所属国与欧盟之间的法律差异问题,减少相应的成本,同时也将有助于欧盟实现“数字主权”战略。欧盟数字转型战略文件《欧洲数据战略》的实际主导人、现任欧盟内部市场专员蒂埃里·布雷顿(Thierry Breton)认为:“留住数据、用好数据就是欧盟企业成功的关键。”目前,欧盟大力支持建设欧洲数据云计算平台“GAIA-X”,以提高欧盟在欧洲大陆存储数据的能力。判决作出后,柏林数据监管机构的负责人表示:“为了方便或节省成本而将个人数据传输到美国的时代在这一判决之后已经结束。现在是欧洲数字独立的时候了。”自主掌控数据信息是欧盟“技术主权”战略的目标之一。判决使欧盟对数据的保护、管理和控制力大为加强,改变了欧盟的被动地位,是欧盟未来追求数字科技领域世界领先地位的基础。

(三)使欧盟模式在美欧博弈中占据主动权

在跨境数据规则博弈中,欧盟采取了重视个人数据和隐私权利保护的模式,对数据出境设置了较高的门槛,美国则采取了重视数据自由流动、轻政府监管的模式,对个人数据隐私保护的力度较小。

《隐私盾协议》无效判决使欧盟模式的国际影响力得以提升。欧盟委员会明确表示,要在国际上推广欧盟关于数据收集、处理和传输的规则。《隐私盾协议》无效判决向其他国家展示了欧盟GDPR所代表的高标准数据隐私保护及审查机制,并且借助“必须实质上等同于欧盟内部确保的保护水平”这一前提,迫使意图与欧盟开展跨境数据流动合作的其他国家不得不向欧盟模式看齐,并提供相应的保证。由此,适用欧盟模式的国家和地区将逐渐增多。这正是欧盟凭借其巨大的市场资源形成的单方面监管全球市场的能力,即所谓的“布鲁塞尔效应”,表现为跨国公司为了避免对数据流动造成代价高昂的中断,而选择根据欧盟规则调整其数字隐私政策。脸书公司的首席执行官马克·扎克伯格(Mark Zuckerberg)是GDPR的支持者,他曾表示:“我们打算在世界各地提供所有相同的控制,而不仅仅是在欧洲。”包括苹果、谷歌和微软在内的许多全球科技公司已经采用了与GDPR类似的全球隐私政策。尽管美欧下一步将达成何种谈判结果还有待确定,但越来越多的公司面对目前欧盟逐渐加大隐私保护力度的情况,已主动向欧盟模式看齐,这恰恰表明此次判决推动了跨境数据流动规则领域的“布鲁塞尔效应”。

《隐私盾协议》无效判决也是对美国倡导的自由流动模式的制衡。该判决向国际社会展示了欧盟对个人数据隐私保护的重视,之后其他国家的数据业务将经过欧盟更加严格的审查。2020年11月,欧盟结合判决陆续发布了《关于补充传输机制以确保遵守欧盟个人数据保护标准的建议》《针对监控措施的关于欧盟重要保障的建议》和《欧盟标准合同条款》草案,对“充分保护”的评估要素、数据主体应获得有效的救济和比例原则等规定进行了再次强调。显然,这将推动各国重视和加强对数据隐私权的保护。即便是高举“支持跨境数据自由流动,反对数据本地化措施”大旗的美国,也不得不更加关注如何纠正欧盟法院指出的美国监控法存在的缺陷。

总之,《隐私盾协议》无效判决进一步加剧了美欧在数字贸易领域的紧张关系,并将产生深远的影响。美国商务部部长威尔伯·罗斯(Wilbur Ross)声称对这一判决“深感失望”,美国将继续与欧盟就此事保持密切联系,“希望将对高达7.1万亿美元的跨大西洋经济关系的负面影响降到最低”。尽管美欧将得出何种谈判结果还有待确定,但这很可能将迫使美国继续向欧盟隐私保护制度作出让步。从美欧在跨境数据流动领域进行的三轮博弈可以看出,美国不得不接受越来越高的隐私保护标准,向欧盟隐私保护制度作出更多让步,美国隐私保护规则对欧盟的影响和制约变小,欧盟正逐渐掌握主导权。

四、美欧博弈下我国的处境和对策

面对美欧在跨境数据流动规则领域势必长期存在的博弈,有必要对我国的处境及对策加以深入探究。

(一)跨境数据流动规则博弈中的中国处境

随着过去二十多年互联网在中国的迅猛发展,我国已经成为综合实力仅次于美国的网络大国、数据资源大国和全球数据中心。阿里巴巴、腾讯、字节跳动等互联网公司已建成具有国际领先水平的大数据存储与处理平台,在跨境网络支付、跨境电子商务、信息网络服务等应用领域居于全球领先地位。不过,我国政府和企业近年来频频在跨境数据流动领域受到抹黑、打压和无端限制。例如,2020年美国、印度等国正是以TikTok和Wechat涉嫌未经许可将国外用户个人信息传输到中国、有可能损害他们的国家安全为由,试图禁止上述产品的使用。

《隐私盾协议》无效判决所推动的跨境数据流动规则博弈态势对中国而言利弊并存。该判决所体现的数据流动中的高标准隐私保护,在一定程度上代表了数据治理的未来发展趋势,值得我国重视和借鉴。同时,判决也进一步揭开了美国政府通过大规模网络监控肆意侵犯他国公民数据隐私权的面目,揭示了美国滥用“国家安全”借口、推出所谓的“清洁网络”计划打压中国科技企业的虚伪性。但也必须看到,过高的隐私保护标准将会加重数字技术型公司的运营成本,不利于我国企业开展数字贸易。

与美欧相比,我国跨境数据传输规则的制定起步较晚,尚未形成一套清晰、完整的规则体系,各项规范仍在探索中。当前,中国跨境数据规则为分散立法模式。涉及跨境数据流动的现行规范主要有《中华人民共和国网络安全法》《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》和《信息安全技术公共及商用服务信息系统个人信息保护指南》等,但真正聚焦于跨境数据流动问题的立法大多处于草案状态,例如《中华人民共和国数据安全法(草案)》《个人信息出境安全评估办法(征求意见稿)》和《中华人民共和国个人信息保护法(草案)》。针对跨境数据隐私保护的条款十分匮乏,缺乏透明度,数据主体拥有的权利未得到明确。从内容上看,我国目前采取的是以保障数据主权和数据安全为前提的跨境数据流动模式,实行“安全评估”制度,主张实施一定的数据本地化措施,优先保护国家安全,对数据跨境流动的限制较为严格。但是,由于相关配套规则的缺位,有关规则和实践引发了一些反对数据本地化国家的误解。上述问题的存在,使中国跨境数据流动规则难以产生国际影响力,中国企业在开展跨境数据商业活动时容易遭到其他国家的质疑和阻碍,从而导致与中国达成互信、签订数据跨境流动协议的国家较少。

(二)中国的对策

基于中国在跨境数据流动规则博弈中的处境,如何合理借鉴其他国家的成熟经验,立足于我国的现实关切并综合考虑其他国家的利益需求,构建一个契合网络空间命运共同体理念、有可能得到普遍认可的“中国模式”,推动平衡有序的数据跨境流动,已经成为我国亟须面对的一个重大问题。

首先,我国需要着眼于实现国家安全、数据隐私保护和促进经济发展三者的平衡,对跨境数据流动国内立法进行完善。

美国的“斯诺登事件”表明,数据存在被他国非法窃取的风险,跨境数据尤其如此。因此,鉴于当前复杂的国际关系,我国仍然需要坚持总体国家安全观,将国家安全作为数据流动的前提,防止其他国家非法获取我国重要数据并对我国国家利益造成损害。2020年9月,中国提出了《全球数据安全倡议》,呼吁各国反对利用信息技术破坏他国关键基础设施或窃取重要数据,以及利用其从事危害他国国家安全和社会公共利益的行为。我国《网络安全法》确立了安全评估制度,但是,由于缺乏对相关定义的解释和实施细则,该制度被一些国家认为缺乏透明度。2019年6月,国家互联网信息办公室颁布了《个人信息出境安全评估办法(征求意见稿)》,对安全评估制度的评估部门、评估材料和评估内容等进行了详细规定。实际上,我国安全评估制度并非仅限于评估是否损害国家安全和公共利益,还包括评估是否能充分保障个人信息主体的合法权益。对于不能或难以维护个人信息主体的合法权益的网络运营者,网信部门可以要求暂停或终止向境外提供个人信息。这与本案中欧盟委员会评估“第三国是否能为欧盟个人数据提供充分保护”相类似。《个人信息出境安全评估办法(征求意见稿)》不仅有利于消除他国对我国安全评估制度的误解,也有利于进一步防止他国非法窃取我国重要数据,维护我国国家安全和公民权益。

概而言之,我国应继续坚持“安全评估”制度,对重要数据的跨境流动采取谨慎态度,将国家安全、个人隐私、产业安全作为数据出境的前提,加快制定和通过《个人信息出境安全评估办法(征求意见稿)》和《数据安全管理办法(征求意见稿)》等具有可执行性和透明度的实施细则。建议对个人数据进行更为明确的分级分类,采取不同的审核和保护标准,例如细分为个人数据、敏感个人数据和关键数据。敏感个人数据的出境应获得用户同意,且数据处理者应进行风险评估,关键数据原则上不允许出境,除非通过安全评估。对于敏感个人数据的传输和存储,有必要进一步明确具体的安全处理措施,例如进行匿名化或加密技术处理。同时,有必要成立专门的个人信息保护应急响应小组,使网信部门可以防止和及时制止破坏网络安全的行为,发挥政府在跨境数据流动中的治理和管控作用。在加入现有跨境隐私框架时,也应重点考虑该框架是否将有损于我国的监管自主权。

鉴于隐私保护在跨境数据流动中的重要性,我国应在立法中对此加以必要的规定。GDPR明确授予数据主体七种权利,即知情权、访问权、修正权、删除权(又称“被遗忘权”)、限制处理权、可携带权和拒绝权,并详细规定了数据处理者和数据控制者应承担的义务。我国关于数据主体权利和数据处理者义务的规定散见于《网络安全法》和《信息安全技术个人信息安全规范》等规定中,且一些规定较为模糊,这使得数据隐私保护无法得到充分的重视,数据主体难以获悉自己的权利并及时获得救济,行政执法或司法裁判可能陷于无法可依的境地。

因此,建议采取统一的数据保护立法模式,争取早日形成统一的、全国性的专门法律,这是增进国际社会对中国跨境数据流动规则模式的信任度和认可度的重要环节。在《隐私盾协议》无效判决中,有三项认定可为我国立法提供借鉴。其一,第三国是否提供了实质上等同于欧盟内部确保的保护水平。这是法院审查的出发点,这一认定突破了数据保护规则的传统适用范围,使适用效力扩展至任何处理欧盟个人数据的外国法人,借鉴该认定有利于维护我国公民的数据隐私。其二,统一的数据保护机构。我国立法中缺乏统一的个人信息保护机构,独立的监督机制也尚未形成。这一制度的缺位将对我国企业在欧盟开展数据传输活动造成阻碍。建议在立法中对此进行完善,设立统一的、专门的数据保护机构,依法对个人信息保护问题进行独立监督,对数据处理者和数据控制者责任的履行进行定期审查和评估,一旦发现违规行为则有权加以阻止。其三,比例原则。该原则不仅能有效限制外国政府对我国个人数据展开情报活动,也能规范我国政府机关调取企业数据的行为,提升行为的合理性。除此之外,《中华人民共和国个人信息保护法(草案)》第42条规定,对于损害我国公民的个人信息权益的境外组织或个人,国家网信部门可以制作“限制或者禁止个人信息提供清单”。这表明我国将构建“黑名单制度”。为了进一步保护数据主体的权利,建议我国建立与“黑名单制度”相配套的域外责任追究机制,追究相关违法者的法律责任,加强警示作用。

但是,我国不宜通过立法设置与欧盟相似的高水平隐私保护标准以及政府单方监管模式,而应采用立法和行业自律双起效模式,鼓励信息技术公司在此基础上制定本公司或行业隐私保护政策,给予企业更多灵活空间。建立可落地实施、具有活力的数据管理秩序,以作为行政监管的补充。与美国的行业自律模式不同的是,由于立法发挥了基础性作用,政府部门和数据隐私保护机构仍然可以对企业进行有效的监管和监督,可以有效克服美国行业自律模式存在的弊端。这种观点在《数据安全法(草案)》中得到了体现:该草案第9条规定,国家建立健全数据安全协同治理体系,推动有关部门、行业组织、企业、个人等共同参与数据安全保护工作;第15条规定,除国务院有关部门组织制定数据相关标准外,国家还支持企业、研究机构、高等学校、相关行业组织等参与标准制定。由此可知,《数据安全法》通过和实施后,信息技术公司将发挥越来越重要的作用。

关于经济发展问题,目前,中国对跨境数据流动的限制较为严格,难以满足我国数字经济产业发展的需要。中国拥有发展数字经济的良好基础,政府应当转换思维,明确数据的基础性和战略性资源作用,营造有利于经济发展的政策环境,采取一定的措施促进数据自由流动。例如,对内制定企业在数据搜集、处理和分析等方面的专属税收优惠政策,并丰富数据合法出境的渠道;对外考虑与其他国家签订跨境数据自由流动协议。在制定保护数据隐私的政策时,政府应保持严谨的态度,事先进行市场调研,对隐私监管政策可能造成的经济影响进行准确评估。数据的自由流动是大数据时代的本质需求,只有使数据依法有序地自由流动,才能持续促进数字技术创新,释放互联网行业的发展潜力,保障数据流动带来的巨大的经济效益。综上,与美国和欧盟模式侧重某一利益保护相比,中国跨境数据流动规则应实现国家安全、数据隐私保护和促进经济发展三者的平衡,实现对跨境数据多元化和全方位的保护。

其次,我国还应加强国际合作,积极与重要贸易伙伴国达成数据传输协定,建立跨境数据流动“朋友圈”,扩大中国模式的影响力。

我国可以考虑借鉴欧盟的“白名单制度”,将符合相关条件、通过相关审查的国家或地区纳入可进行数据自由流动的范围。我国也可以选择加入现有的区域隐私框架来促进数据自由流动。以加入《全面与进步跨太平洋伙伴关系协定》(CPTPP)为例,虽然CPTPP的跨境数据传输条款对数据本地化措施进行了一定的限制,但并未对“合法的公共政策目标”进行具体定义或列举。这可以使CPTPP的缔约方拥有更多的内部监管自主权,是符合我国当前利益的选择。CPTPP是仅次于北美自由贸易协定和欧盟单一市场的第三大贸易协定。它覆盖了4.98亿人口,签署国的国内生产总值之和占全球经济总量的13%。加入CPTPP可以有效促进区域内的数据自由流动,有利于我国企业拓宽国际市场,同时提升和锻造中国参与全球贸易治理的能力。

我国还可以通过与“一带一路”沿线国家签订区域数据流通协议,建立由中国引领的跨境数据流动“朋友圈”。当前,“一带一路”相关投资已经从传统的基础设施项目拓宽至贸易、互联网等数据密集型行业,而且中国与“一带一路”沿线国家具有良好的信任基础,在核心原则上没有较大分歧,与这些国家签订区域数据流通协议不仅具有可行性,还具有多种益处:一是可以促进区域数据自由流动,营造良好的投资氛围,促进我国数字服务的发展;二是向国际社会释放我国支持数据自由流动的信号,消除误解和偏见;三是通过与“一带一路”沿线国家加强国际合作,可以构建跨境数据流动的信任体系,有利于扩大中国模式在跨境数据流动规则博弈中的影响力,增强话语权;四是签订区域数据流通协议有利于先在区域内实现规则趋同,再由此及彼,逐步增强中国模式的国际影响力。

五、结语

美国和欧盟较早提出和建立了跨境数据流动规则,在规则制定领域已占据领先优势。欧盟通过GDPR确立了被称为“世界上采用最广泛的个人数据保护模式”,大多数国家在国内立法中都在不同程度上适用其原则。美国则通过推动亚太经合组织隐私框架下的跨境隐私规则体系等举措,旗帜鲜明地支持跨境数据自由流动,反对数据本地化,与其盟友建立了数据流动“朋友圈”。《隐私盾协议》无效判决表明,美欧在跨境数据流动规则领域的博弈已经白热化并将长期存在。目前来看,欧盟模式已经在博弈中占据了一定主动权,其国际影响力得到了再次提升。

尽管跨境数据流动已成为各国政府近年的核心议题,但欧盟、美国和中国这三个拥有最大数字产业规模的国家或组织选择了不同的立法模式和标准,这不仅容易引发国家间的贸易摩擦,还增加了企业的合规成本。从长期来看,制定多边跨境数据流动国际规则具有必要性。掌握国际规则的制定权,将直接助力于在未来的国际商业竞争中占据优势。与美欧相比,中国跨境数据流动规则的制定起步较晚且存在一些不足之处。目前,我国数字产业规模已居世界前列,需要提出自身的跨境数据流动规则模式,在保护公民数据隐私的同时兼顾国家安全和产业经济发展。与此同时,我国应通过签订区域数据流通协议和加入现有的区域性隐私框架等措施,积极提升中国模式的国际影响力,最终推动构建网络空间命运共同体,实现各国在网络空间的合作共赢、共同发展。(黄志雄 韦欣妤)

声明:本文来自网络空间国际法前沿,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。