【編者按】2020年12月3日,信息技術與創新基金會(ITIF)發布報告《「SCHREMS II」——歐盟-美國「隱私盾協議」失效對大西洋貿易和創新的影響》(『Schrems II』: What Invalidating the EU-U.S. Privacy Shield Means for Transatlantic Trade and Innovation)。報告就歐洲法院(ECJ)於2020年7月對歐盟-美國「隱私盾協議」裁決無效事件作出分析,認為隱私盾協議的失效將影響所有公司,尤其會對中小企業的產生不成比例的影響。整體來看,它將阻礙美國和歐盟組織的跨境運營,並破壞跨大西洋貿易和創新。
本文字數:3687字
閱讀時間:8分鐘
關鍵摘要
● 跨大西洋數據流使得各行各業從中獲益,加強貿易往來並增加消費者對數據和數位化服務的訪問權。
● 對於眾多中小型企業而言,隱私盾是兩個不同數據保護機制之間的關鍵橋梁。考慮到替代方案的成本和複雜性,隱私盾的失效將極大地影響這些中小企業。
● 未來的政治挑戰在於調和歐盟與美國以及歐盟成員國之間不同的政府監視系統。私營部門不能獨自解決這個問題。
● 跨大西洋數據流和數據保護的影響及其重要性將不斷增加。決策者需要加強合作並通過新的數據傳輸機制來支持跨大西洋數據流。
● 歐洲和美國在多方面具備相似之處,兩國斷斷續續的數字貿易關係將因全球數字經濟的碎片化而受損。
介紹
歐洲法院(ECJ)於2020年7月作出的決定,使歐盟-美國隱私盾無效,這將對數以千計賴以生存的數據跨境公司受到長期影響。數據傳輸是全球數字經濟中貿易和創新的必要條件,尤其是在新冠疫情期間。如果沒有替代方案,那麼大西洋兩岸各行各業的公司將遭受打擊,就像COVID-19加速了我們的社會和經濟數位化轉型一樣。
1
「SCHREMS II」和歐盟-美國隱私盾:切斷關鍵連接
在Schrems II中,歐洲法院發現美國的數據監管法律和對數據處理者的合規性要求無法確保數據一旦轉移,在美國的個人數據將獲得與歐盟同等程度的保護。具體來說,《外國情報監視法》(FISA)第702條和第12333號行政命令允許美國情報機構收集有關外國國民的數據,這與《歐盟憲章》所保障的權利不符。
美國政府對歐洲法院的裁決提出異議,認為法院沒有考慮許多監督職能, 此外,美國也嚴重質疑歐洲法院的裁決依據。事實上適用歐盟-美國隱私盾的絕大多數公司都沒有與國家安全相關的數據,並且不太可能受到FISA約束。儘管大多數人認為這可能是不切實際的考慮,但受歐盟-美國隱私盾保護的所有參與者都已失去了傳輸數據的合法性依據。
2
歐盟-美國隱私盾:各種數據保護機制之間的橋梁
歐盟和美國使用的數據傳輸機制(首先是安全港,最近是隱私盾)雖然對數據保護的方式大不相同,但都意識到數據傳輸對於貿易和創新的重要性。美國採用基於風險和問責制的方法,公司無論在何處傳輸和存儲數據,都依法承擔管理數據的法律責任;歐盟則採用更嚴格、基於合規性的方法,將國際數據傳輸限制在少數國家/地區。
2000年建立的歐盟-美國安全港框架提供了數據傳輸的初始橋梁。在Schrems I裁決後,歐洲法院使安全港失效,美國和歐盟於2016年協商了隱私盾框架。隱私盾的開發旨在提供一種更強大的互操作性機制,以管理美國與歐盟之間的歐盟個人數據傳輸。
隱私盾是歐美兩種數據保護制度之間的關鍵橋梁,為歐盟個人數據傳輸到美國提供了保護措施。隱私盾要求具有數據傳輸需求的公司需要向美國商務部進行自證,以表明公司已遵循相關原則。雖然自證是自願的,但是原則具有法律約束力,FTC將監管數據傳輸的合規性,並有權對虛假聲明「隱私盾」合規的公司採取法律行動。
隱私盾對大西洋貿易和創新公司的數據隱私保護實踐產生了重大影響,它導致許多新成立的公司(尤其是小公司)需要付出更多的合規成本,但是隱私盾在改善商業數據隱私以及數字貿易方面整體取得了積極效果。
3
無論採用何種法律技術,數據傳輸對於跨大西洋貿易和創新都是必要且有利的
在雲計算和數據分析等技術的快速發展下,組織數位化轉型加速,數據成為貿易和商業輸入的關鍵要素,數據影響著7.1萬億美元的跨大西洋貿易與創新。
歐盟有機會在下一波數位化轉型中取得重大進展,尤其是在具有競爭優勢的領域,例如智能製造和基於技術的商業服務。但是,這將要求歐盟和美國制定正確的政策,以支持互利的數據流通和使用。
涉及消費者的國際貿易必須在不跨境收集和發送個人數據(例如姓名、地址、帳單信息等)的情況下進行。雖然,現代創新通常需要傳輸個人數據,例如用於臨床試驗。但是,個人數據只是廣泛數據流和數據使用的一部分。組織很大程度依賴數據監視生產系統,管理全球勞動力,監視供應鏈以及實時支持產品研發。
個人信息通常與非個人數據交織在一起。因此,對個人數據的限制影響了非個人數據的使用和傳輸。在特定數據中以及在全球雲存儲和數據分析系統中區分不同類別的信息並非易事。
如果沒有隱私盾,對於組織來說,制定必要的保護措施將變得更加昂貴和複雜。對於中小型企業而言,額外的法律合規和IT系統運營變更所帶來的額外成本可能會達到一個臨界點,從而改變跨大西洋貿易的成本/收益比,導致其業務終止。
4
誰使用了隱私盾,如果沒有數據傳輸框架,將會產生什麼影響
隱私盾是企業(尤其是中小企業)尋求歐美數據傳輸並從事數字貿易最受歡迎的法律機制之一。據2019年IAPP進行的一次調查表明,60%的隱私專家表示其公司使用隱私盾作為合規性保障,據美國商務部報告顯示,使用隱私盾的公司70%以上是中小型企業。
圖1 按收入劃分的隱私盾參與者(5000多家公司,2019)
隱私護盾在歐洲乃至全世界都被使用,對於在美國和歐洲支持貿易和創新的許多數據驅動型公司而言,隱私盾至關重要。信息和通信技術行業(2,597家公司)是隱私盾最大的用戶,其次是商業和專業服務行業(751)。數位化對經濟各個部門的重要性也日益顯著,圖2排除了ICT行業,更好地展示使用隱私盾的行業的多樣性。
圖2 按行業劃分隱私盾參與者
另外,醫療服務、醫療設備和生命科學研究是通過傳輸和使用數據進行貿易和創新的最大參與者和最明確的受益者。數據越來越多地推動藥物開發和更好的健康分析。
5
隱私盾的消亡:對跨大西洋貿易和創新的不確定以及潛在影響
隱私盾失效最直接的結果就是導致人們對跨大西洋數據流中公司法律義務的普遍不確定性。
隱私盾的失效影響所有公司,但對中小企業的產生不成比例的影響
對於許多大公司而言,因隱私盾失效而承擔的成本在歐洲法院判決之前已經預付。標準合同條款(SCC)已經成為大公司履行合規義務的一種流行方式。在安全港終止後,許多公司轉向了SCC,在歐洲法院最近的這一裁定之前,同樣有許多其他公司也轉向了SCC。但是,隱私盾失效的最終成本和影響尚不明了,因為Schrems II裁決還使SCC處於不穩定狀態。
大西洋兩岸的中小企業(絕大多數是隱私盾用戶)將不成比例地受到影響,因為他們沒有資源和專業知識來管理複雜的國際法律合規業務。
不能將數據傳輸到美國的中小企業將受到兩種明顯的影響。首先,數據傳輸和使用的困難程度和昂貴的成本將減少他們從事貿易的可能性、規模和程度。規模經濟和範圍經濟的下降將影響中小企業的蓬勃發展能力,甚至可能影響其生存問題,尤其是在後疫情時代,數位化商品和服務貿易比以往任何時候都更為重要。其次,由於中小企業從事跨大西洋貿易和創新的難度和成本更高,因此其競爭力將下降。兩種影響都直接破壞了網際網路和數字貿易的核心利益:減少地理位置對貿易的影響,並向來自世界各地的更多個人和公司開放貿易。
對創新的影響
隱私盾的失效將破壞跨大西洋的創新。企業通過數據分析來增強研發,開發新產品和服務,創建新的生產或交付流程,各種規模的公司正在共享數據創新帶來的好處。2014年的一項調查發現,數據分析對於員工人數在50人以下的60%的美國和歐洲企業至關重要。
隱私盾的失效可能會阻止數據作為尖端診斷服務的一部分進行傳輸,從而增加醫療保健成本和對醫生的時間要求。它可能會阻止生物製藥公司匯總遍布美國和歐洲的臨床試驗數據來推動研究進展,尤其是在罕見病方面。
如果政策制定者希望參與更多的國際合作,包括圍繞COVID-19的合作,那麼他們就需要諸如隱私盾之類的法律框架來管理健康數據傳輸。
數據驅動下的創新,例如數據分析的使用,並不意味著對個人數據可以無限制使用。跨境數據傳輸不允許公司放棄其根據當地數據保護法處理數據的責任。經驗表明,美國和歐盟可以共同開發新的更好的框架,以確保公司對他們如何收集、管理、使用和轉移歐盟個人數據承擔責任。這種跨大西洋的創新是互惠互利的,因為它使歐美在日益增長的全球數字經濟中更具競爭力。無法修復或更換隱私盾將減緩跨大西洋的協作和創新。
6
結論
未來的主要挑戰在於調和美國與歐盟之間以及歐盟成員國之間不同的政府監視系統的衝突。私營部門不能獨自解決這個問題。美國極不可能對自己的監視法進行修改,以完全符合歐盟的要求,歐盟也不應指望美國做出這種改變。但是,可能存在提高透明度以及對相應監視過程進行監督的方法。
此外,歐洲應認識到,它已成為美國監視實踐的重要受益者。當歐盟根據自身利益提供服務時,很少批評美國的情報能力。
互操作性的隱私機制對於跨大西洋經濟關係至關重要。隱私盾和之前的安全港使兩種不同的個人數據保護機制兼容。儘管美國和歐盟當局都表示正在進行討論,以探討建立新框架以實現與「安全港」和「隱私盾」相同的功能,但目前從事跨大西洋數據流通的公司似乎沒有直接可替代隱私盾的法律依據。
這種不確定性將阻礙美國和歐盟組織的跨境運營,並破壞跨大西洋貿易和創新。此外,除非歐盟和美國的政策制定者希望將中小企業排除在全球數字經濟之外,否則就需要有一個清晰、合理、可訪問的機制來解決數據保護問題。建立新的跨大西洋數據傳輸機制應該是新的拜登政府的當務之急。
斷斷續續的跨大西洋數字互動與合作將加速全球數字經濟的碎片化,這反映了兩個主要參與者之間的根本分歧,跨大西洋數據流通是其相關國內工作的重要國際擴展,用以幫助其員工,公司和行業使用數據和數字工具來提高生產力和創新性。跨大西洋數據保護的作用和重要性只會日漸增加。
編譯 | 李顧元/賽博研究院實習研究員
【延伸閱讀】