歐美失去「隱私盾」後

　　由於缺乏足夠的資源建立SCC或BCR機制，絕大多數中小企業一直依賴「隱私盾」協議實現數據的跨境流動。「隱私盾」協議失效，對中小企業可以說是非常致命的打擊。

劉耀華

　　近日，歐洲法院做出裁決，認定歐美之間的數據保護協議「隱私盾」無效。這是歐洲法院繼2015年認定「歐美安全港框架協議」無效以來，第二次廢止歐美間個人數據跨境流動協議。歐美之間的跨大西洋聯盟再添新裂痕。

　　當前，超過5300家公司加入了「隱私盾」協議，其中將近1600家公司使用「隱私盾」將其人力資源數據轉移回美國，視頻會議工具如Zoom、Skype、谷歌Hangouts和思科WebEx通常會將歐盟客戶數據傳輸到美國伺服器進行處理和隱私保護分析。失去「隱私盾」對於這些企業將意味著什麼？

失效的「隱私盾」

　　「隱私盾」協議於2016年正式通過，根據協議，用於商業目的的個人數據從歐洲傳輸到美國後，享有與在歐盟境內同樣的數據保護標準。美方承諾將嚴格履行協議中的要求，保證國家安全部門不會對這些個人數據採取任意監控或大規模監控措施。

　　但由於美國多項立法和多個監控項目將國家安全、公共利益和相關部門的執法要求放在首位，因此在相關部門調查、獲取傳輸到美國的歐盟公民個人數據時，不能提供充分的保護。歐洲法院在判決中認為美國的國內法對於相關執法部門的數據調取權限並沒有進行任何限制，也沒有對非美國人員賦予相關的救濟和保障措施，因此做出了歐美「隱私盾」協議無效的裁定。

　　歐洲法院在判決中對美國多部情報監控立法和監控項目進行了分析：一是，《外國情報監控法》（FISA）第702條規定美國情報機構為了收集外國情報，可以向美國企業調取外國人的通信信息，而提供信息的企業無需通知受影響的用戶。稜鏡項目、Upstream項目就是在此基礎上實施的，使得所有歐盟公民都有可能成為受監控的目標，且情報機構權力沒有邊界限制的情況並不符合歐盟數據保護中的「比例性原則」。二是美國第12333號行政命令未賦予數據主體相應的訴權，違反了《歐盟基本權利憲章》第47條賦予公民的「司法救濟權」。三是美國設立的監察員制度只是一個政治性承諾，不能提供法律保障，因為監察員向國務卿匯報，隸屬於行政部門，缺乏「獨立性」，無法約束情報部門行為。

　　但新裁決也確認了「標準合約條款」（SCC）數據跨境流動方式的有效性。SCC是由歐盟委員會通過的，企業與企業之間將歐盟公民個人數據跨境傳輸到歐盟境外所採用的合同模板。當前，歐盟委員會一共通過了三套標準合同條款：SCC2001C、SCC2004C以及SCC2010P。根據所謂的「標準合約條款」，歐盟公民的用戶數據仍然可以被輸往美國和其他國家。同時強調，如果發現合約條款在數據接收國無法或實際上不能得到保障，歐盟的數據保護機構有義務終止或禁止數據傳輸。

中小企業或迎來致命打擊

　　歐美之間的跨境數據流動量是世界上最高的，因此，美國政府、歐盟委員會和大多數成員國都非常希望維護「隱私盾」協議。

　　歐盟是美國最大的數字貿易夥伴，美國和歐盟各自佔彼此數字交付服務出口的近一半。當前，「隱私盾」協議促進了跨大西洋不受限制的商業數據流動。

　　因此，這一裁決將可能擾亂成千上萬家在美國和歐洲開展業務的跨國公司的運營。臉書、谷歌和蘋果等美國科技巨頭在歐盟開展業務的合規成本短期內都將提高。那麼失去「隱私盾」之後，跨大西洋數據傳輸會就此中斷嗎？實際上並不會。

　　根據歐盟制定的《通用數據保護條例》（GDPR）確立的框架，只有在滿足其規定條件的情況下，數據控制者才能將個人數據轉移至歐盟以外的第三國或國際組織。

　　GDPR規定了五種跨境數據轉移類型：一是轉移目的國或國際組織經歐盟委員會認定達到充分保護水平，歐美「隱私盾」協議便是根據這種方式制定的；二是數據控制者或處理者可以提供適當安全保障措施，如具有法律約束力和可執行性的文件、有約束力的公司規則（BCR）、歐委會通過的SCC等等；三是包括數據主體明確同意、履行合同需要、實現公共利益需要等特殊情形下的數據跨境轉移；四是符合特定標準，包括轉移是非重複性的，轉移涉及很小一部分數據主體的權利等等；五是根據滿足相關條件的法院判決、仲裁裁決或第三國行政機構的決定進行數據跨境轉移。

　　從所有方式來看，由於美國整體的個人信息保護水平無法達到歐盟的「充分性保護」認定要求，因此「隱私盾」協議失效後，最具有普遍性的第一種數據跨境轉移方式受阻。而第三、四、五種方式只能適用於數據規模較小、情況較特殊的少數場景，而且手段繁瑣、程序複雜，企業通過這三類方式進行數據跨境傳輸的成本較高。因此，雖然也具有局限性，但通過SCC、BCR實現美歐之間的數據跨境流動，將成為企業未來最可取的數據傳輸方式。

　　目前，臉書、微軟等科技公司和一些航空巨頭都在廣泛使用SCC實現數據跨境傳輸。微軟在裁決出來當日就回應稱，它們同時在「隱私盾」和SCC兩個框架下為用戶提供數據保護，所以並不受此次裁決的影響。

　　但中小企業和初創企業就沒這麼樂觀了。由於缺乏足夠的資源建立SCC或BCR機制，絕大多數中小企業一直依賴「隱私盾」協議實現數據的跨境流動。數據表明，大約65%通過「隱私盾」認證的公司都是中小企業，41%的認證公司年收入低於500萬美元。「隱私盾」協議失效，對中小企業可以說是非常致命的打擊。

　　此外，「隱私盾」協議失效也將脫離歐盟的英國置於尷尬境地。雖然之前歐盟委員會已在考慮是否將英國認定為達到「充分性保護」認定的國家，但英國當前在法律層面面臨多項挑戰，可能會耗費數年時間才能解決。因此，英國主要考慮通過籤訂此類雙邊協議的方式建立與歐盟的數據跨境流動機制。

　　「隱私盾」協議失效，無疑限制了歐盟與英國之間的這種數據跨境流動的對接和談判。而且，當前美國在貿易談判中大力推動不受限制的數據流動，如果英國在未來的貿易協議中大幅放開與美國的數據流動，也會降低英國與歐盟建立數據跨境流動機制的可能性。

歐美的數據保護差異

　　歐洲法院裁決的背後，是歐美之間對於數據以及隱私保護的根本性差別。歐盟的數據保護法律制度是全面的、成體系的、以基本權利為基礎的。與之形成對比，美國的數據立法是有限的、分散的，而且針對隱私缺乏憲法保護。

　　GDPR是世界上對個人數據保護最嚴格的立法。歐盟有很長的數據保護史，而且一直以來都將個人數據保護權利視為公民的基本權利。

　　但同時，歐盟也注重數據流動對於提振數字經濟的重要作用，在對個人數據權利保護的同時，鼓勵個人數據在歐盟境內的自由流通，如建立了統一的法律規範，使歐盟企業開展商務活動變得更簡單、成本更低廉。另外，GDPR在每一項個人數據權利的條款之後，都規定了大量的例外情形，第23條還規定了總體的例外規則，適用於整個GDPR。這均是為了平衡國家利益與個人權利、公共事務與個人權利以及數據主體權利與其他自然人權利之間的關係，也是歐美當初可以籤訂「隱私盾」協議的原因之一。

　　美國的策略則較為靈活，主要採取行業自律模式，即由公司或行業內部制定行業的行為規章或最佳實踐指南，為行業的隱私保護提供示範和標杆。這一方面源於美國是判例法國家，另一方面是因為在網際網路領域，美國企業具有巨大的先發和主導優勢，在社交媒體、搜尋引擎、電子商務、雲計算等領域都處於全球主導地位。

　　相對於個人信息保護立法，行業自律模式是一種相對寬鬆、尊重企業自我選擇的保護模式。其弊端也是顯而易見的，如缺乏統一自律標準，對個人信息保護水平不一；執行機制不夠完善，缺乏有效監督等。

　　因此，美國通過在醫療、徵信、金融等領域出臺行業性立法的方式對該模式進行了補充，但一直沒有一部統一的個人信息保護立法，這也是美國沒有通過「充分性保護」認定的方式與歐盟建立數據跨境流動機制的主要原因之一。

　　（作者系中國信息通信研究院研究員）

來源：2020年8月19日出版的《環球》雜誌 第17期

《環球》雜誌授權使用，其他媒體如需轉載，請與本刊聯繫

本期更多文章敬請關注《環球》雜誌微博、微信客戶端：「環球雜誌」