21世紀經濟報道記者郭美婷 南方財經全媒體 見習記者馮戀閣 實習生高藝 廣州報道
美歐數據跨境傳輸迎來重磅新進展。
近日,美國總統拜登簽署《關于加強美國信號情報活動保障措施的行政命令》(下稱《行政命令》),以采取步驟履行今年3月宣布的《跨大西洋數據隱私框架》(下稱《隱私框架》)下的承諾。
這是美歐之間就數據跨境流通第三次嘗試,此前的《安全港協議》、《隱私盾協議》均以歐盟法院認定無效告終。受訪專家表示,美國此次在形式上做出了一定的妥協。如果新框架最終能夠建立,將促使全球個人信息形成美歐匯合的態勢。
歐美數據跨境新動向
當地時間10月7日,美國總統拜登簽署《行政命令》,以采取步驟履行《隱私框架》下的承諾。
此事與半年多前歐美就跨境數據傳輸達成的原則性協議——《隱私框架》相關?!峨[私框架》旨在促進跨大西洋數據流動,并解決歐盟法院在Schrems系列訴訟裁決中提出的對歐美間數據傳輸機制的擔憂。
《行政命令》寫道,美國的信號情報活動(Signals Intelligence Activities)將只會在追求明確的國家安全目標、推進有效的情報優先事項所必需、相稱的范圍和方式下進行,并充分尊重任何國籍和居住地居民的個人隱私利益。
美國白宮表示,拜登簽署的《行政命令》加強了當前美國情報收集對公民隱私自由的保障,并為個人數據被美國情報機構非法收集的公民創建了一套獨立的、具有約束力的多層補救機制。“跨大西洋的數據流動對于促成價值7.1萬億美元的美國和歐盟的經濟關系至關重要,這份框架也將是恢復跨大西洋數據流動的重要法律基礎。”
據大成律師事務所高級合伙人鄧志松介紹,此次頒布的《行政命令》提出的新舉措包括實體法和程序法兩個方面。
在實體法層面,美國提供約束性保護措施,將美國情報機構對數據的訪問限制在保護國家安全所必需的范圍內?!缎姓睢芬幎ㄇ閳蠡顒邮占膫€人信息的處理要求,并擴大了法律、監督和合規官員的責任;此外,還要求美國情報界依據新的保障措施對相關政策和程序進行更新。
在程序法方面,《行政命令》對《隱私盾協議》下的救濟措施進行了改良,設立了獨立且有約束力的兩層救濟機制。歐盟公民對數據跨境的申訴將由國家情報總監辦公室(CLPO)的公民自由保護官受理并初步審查,若公民不接受審查的結果,可以在新建立的“數據保護審查法庭”(DPRC)對CLPO決定提起上訴,DPRC的建立及相關規則的制定將由司法部長負責。
“本次《行政命令》及司法部制定的規則是《隱私框架》的落地和延伸?!?北京觀韜中茂(上海)律師事務所合伙人吳丹君告訴21世紀經濟報道記者,此次《行政命令》的簽署和法規的頒布,意味著《隱私框架》中的原則性約定將會被轉化為具有效力的法律文件,正式納入美國法律。自此,新的《隱私框架》將包括三個組成部分:商業數據保護原則、總統行政命令和司法部法規。
第三次嘗試
事實上,此次簽署的《行政命令》可以視作美歐在數據跨境上進行的第三次嘗試。此前,雙方已就該問題博弈多年。
由于美歐在數字技術和產業發展水平上存在差距,跨境數據傳輸中,大量歐盟數據都流向了亞馬遜、微軟和谷歌等擁有強大技術優勢的美國企業。
但相比于美國以市場為主導、倡導行業自律,輔以政府監管的模式,歐盟極為重視數據監管,并率先建立系統化的法律法規。從1995年的《個人數據保護指令》到2000年的《歐洲聯盟基本權利憲章》,再到2018年的《通用數據保護條例》(GDPR),歐盟對個人數據保護的立法始終走在世界前列。
高強度的數據流動、迥異的立法模式使得雙方在跨境規則制定中難免摩擦。浙大光華法學院經濟法研究所副教授鄭觀介紹,歐盟與美國曾于2000年和2016年先后簽訂《安全港協議》和《隱私盾協議》。兩部協議的核心目的均是確認美國可以給歐盟用戶提供同歐盟法律相適應的個人信息保護水平,從而有利于個人信息在大西洋兩岸自由流動。
但在2013年,斯諾登“棱鏡門”事件曝出,同年,就讀于維也納大學法學院的奧地利公民Maximilian Schrems在當地法院提起訴訟(Schrems系列訴訟),認為美國關于個人信息保護的保護強度遠低于歐盟,請求禁止Facebook將其個人信息傳輸至美國境內。隨著整個訴訟的推進,歐盟法院先于2015年認定《安全港協議》無效,數月后又同美國政府重新簽訂了保護水平高于前者的《隱私盾協議》。
即便如此,2020年歐盟法院仍認定《隱私盾協議》因違反《歐盟基本權利憲章》和《歐盟一般數據保護條例》而無效,美國企業不得基于該協議將歐盟用戶信息傳輸至美國。
多位受訪專家認為,無法確保同等的權益保護、對美國政府的約束無能,以及個人缺乏有效救濟手段等,是上述兩部協議的失效的主要原因。《框架》和《行政命令》對上述問題做出了回應,鄭觀將其稱為“對歐盟法院一次較大的妥協”。
例如,將美國情報機構對數據的訪問限制在保護國家安全所必需和相稱的范圍內,以及“公民自由保護專員”和 “數據保護審查法庭”兩種救濟渠道的設立等。
“目前來看,歐盟委員會和美國政府對于新框架都持較積極態度,歐盟認為該協議在政府訪問數據方面的新保障措施,將填補從歐盟進口數據所必須遵守的義務的空缺?!编囍舅杀硎?,歐盟方面也在計劃啟動對此次《行政命令》的通過程序,所以此次協議很有可能發揮作用。
盡管此次行政命令是向前邁的一步,但吳丹君指出,《行政命令》在解決與個人數據的商業使用有關的問題方面沒有看到實質性的改進;另外,實施上是否能確保個人數據受到侵犯的歐洲人的訴求得到完全獨立且公允的裁決仍然值得關注;同時美國憲法法律要求證明“事實上的損害”才有資格在美國法院起訴,這是一個很難達到的門檻,因為監視往往是秘密的。
“我贊賞這樣的積極舉措,美國和歐洲跨境數據流動的新嘗試有望成為更廣泛的多邊合作的基石,但我也認為這種中斷和重建的循環是可能反復出現的?!眳堑ぞf。
全球影響
博弈多年,此次美國做出的退讓耐人尋味。
結合國際形勢,稍早前,美國白宮官方網站明確提出,為了確保所謂的“共同價值”,美國政府正在同歐盟委員會就重新擬定個人信息跨境傳輸的相關協議緊密磋商。但有意思的是,在歐盟委員會在官網上,卻僅強調了個人信息保護和促進數據自由流動,卻對“共同價值”只字未提。
鄭觀就此分析,個人信息跨境流動涉及到個人信息保護、數據自由流動以及數據三個相互交織的不同利益訴求,但歸根到底卻是信任問題?!暗诋斀袷澜鐩_突不斷的格局下,美國能否重塑歐盟對其信任,尤其是那些‘老歐洲’國家的信任,恐怕仍任重道遠?!犊蚣堋菲駷橹沟娜鹑涮岢隽艘粋€警示,信任易破而難立,國家間亦是如此?!?/strong>
但若美國和歐盟之間的數據傳輸新框架能最終建立,或許最終惠及的也不僅僅是兩個地區。
鄧志松認為,數據跨境傳輸近年來日益受到各國重視,美歐之間的協議在促進跨大西洋數據流動的同時,也為其他法域兼顧經濟發展和國家安全提供了一定借鑒。
不僅如此,吳丹君認為,《行政命令》中關于信號情報活動的規定,表明美國對其信號情報活動的限制和監督并不以其擬收集的數據所涉及的自然人的國籍或居住地而改變,美國與其他國家或地區間的跨境數據流動活動亦受到該行政命令的保護。
鄭觀談到,《行政命令》針對特定國籍和地區的人士設立獨立的 “數據保護審查法庭”,若該法庭的組成人員中包含歐盟專業人士,則可視為美國在司法管轄上的讓渡。
他進一步補充,若《框架》最終確立,將促使全球個人信息形成美歐匯合的態勢,從而一改之前全球的個人信息格局。
據了解,下一步,歐盟委員會將對美國承諾的措施啟動充分性評估。通常,歐盟委員會完成充分性確定草案的過程需要四五個月的時間。