21世紀經濟報道 記者 鄭雪 北京報道

歐美數據流動邁出新的一步。

近日，歐盟委員會通過了“歐盟-美國數據隱私框架（EU-U.S. Data Privacy Framework，以下簡稱DPF）”的充分性決定。根據新的充分性決定，個人數據可以安全地從歐盟流向參與該框架的美國公司，而無需采取額外的數據保護措施。

其中提出，建立雙層救濟機制，個人無需證明數據是由美國情報機構收集便可提出投訴；同時該框架下，美國情報部門訪問歐盟數據僅限于保護國家安全所必需且適當的范圍之內。

相關專家在接受記者采訪時表示，充分性認定的通過一定程度上建立起比較穩定的跨大西洋數據流動安排。但歐盟、美國之間關于數據流動和數據安全的博弈將會持續，新框架運行是否穩健有效，仍有待觀察。

成立數據保護專門法庭 完善救濟措施

歐盟、美國之間數據流動的重要性不言而喻。就像美國司法部在其所發布的新聞稿所提及的，該充分性決定為出于商業目的，從歐盟國家向美國傳輸個人數據提供法律依據。數據流動支撐著價值7萬億美元的美國與歐盟經濟關系，并為大西洋兩岸的公民和企業提供了重要利益，使各種規模的企業能夠在彼此的市場中競爭。

如何理解充分性認定？根據《通用數據保護條例》(GDPR)第45(3)條規定，授權委員會通過實施法案決定非歐盟國家確?！俺浞值谋Ｗo水平”——對個人的保護水平數據基本上相當于歐盟內部的保護水平。充分性決定的效果是個人數據可以自由地從歐盟（以及挪威、列支敦士登和冰島）流向第三國，而不會遇到進一步的障礙。

此次決定的結論是，美國確保在新框架下對從歐盟轉移到美國公司的個人數據提供足夠水平的保護（與歐盟的保護水平相當）。歐盟委員會主席馮德萊恩表示，“新的歐盟-美國數據隱私框架將確保歐洲人的數據安全流動，并為大西洋兩岸的公司帶來法律確定性”、“繼2022年同美國達成原則協議后，美方對建立新框架做出了前所未有的承諾”。

歐盟委員會發布的新聞公報顯示，DPF引入了新的具有約束力的保障措施，以解決歐洲法院提出的所有擔憂，包括將美國情報部門對歐盟數據的訪問限制在必要和適當的范圍內，以及建立數據保護審查法院（DPRC）等。

其中美國公司將承諾遵守一系列詳細的隱私義務來加入歐盟-美國數據隱私框架，例如不再需要個人數據來實現收集目的時將刪除個人數據，確保與第三方共享個人數據時保護的連續性等措施。

如果美國公司錯誤處理歐盟個人的數據，將會有多種補救途徑，包括免費的獨立爭議解決機制和仲裁小組。歐盟個人可以就美國情報機構收集和使用其數據的情況獲得補救，DPRC將獨立調查并解決投訴，包括采取有約束力的補救措施。

北京大成律師事務所高級合伙人鄧志松對21世紀經濟報道記者說道，“此次數據隱私框架的重要組成部分是救濟框架的完善。在此前的隱私盾協議下的監察員機制中，監察員被認為不完全獨立于情報機構，且無權作出有約束力的決定。而新框架下美國政府建立了雙層救濟機制，訴諸該機制的門檻較低，個人無需證明數據是由美國情報機構收集的便可以提出投訴。”

據介紹，第一次審查將在充分性決定生效后一年內進行，以驗證所有相關要素是否已在美國法律框架中得到充分實施并在實踐中有效發揮作用。

情報部門使用數據需“必需且適當”

對于美國情報部門訪問歐盟數據的限制成為關注焦點。

根據新聞公報，美國法律框架針對美國公共當局訪問該框架下傳輸的數據提供了許多保障措施，特別是出于刑事執法和國家安全目的。對數據的訪問僅限于保護國家安全所必需且適當的范圍。

北京師范大學法學院博士生導師、中國互聯網協會研究中心副主任吳沈括表示，歐盟和美國之間數據跨境流動的突破點在于，此次充分性認定對于安全目的的數據流動和獲取做了制度和程序上的明確要求?！靶碌那閳笫占绦蚴窃跉W盟認定充分性之后同步生效，其法律效力較高，也是此前所沒有的?！?/strong>

針對其中所提及的“必需且適當”如何理解？據了解，必需且適當的標準來自于2022年美國發布的第14086號行政命令《加強美國信號情報活動的安全保障》。

“在確定必需性時，美國情報部門必須考慮其他侵擾性較低的來源和方法（包括外交和公共來源）的可用性、可行性和適當性。如果有的話，必須優先考慮這種侵擾性較低的替代來源和方法。在評估適當性時，必須考慮所有相關因素，如所追求目標的性質；收集活動的侵擾性（包括其持續時間）；收集活動對所追求目標的可能貢獻；對個人的合理可預見后果；以及所收集數據的性質和敏感性等?！编囍舅蓪?1世紀經濟報道記者說道。

針對公共機構獲取個人數據如何提供充分保護？這一問題貫穿歐盟、美國數據跨境政策始終。

早在2000年7月，歐盟委員會為與美國跨區域的數據傳輸建立“安全港”制度，相關數據可以從歐盟合法傳輸到美國。

2013年，愛德華·斯諾登披露，美國政府根據FISA702和EO12.333的規定，利用“大型科技”公司實施“棱鏡”等項目來監視世界其他地區，包括Facebook（現Meta）、谷歌、蘋果等在內，而無需合理理由或司法批準。這不僅限于犯罪或恐怖主義，還包括針對美國“伙伴”的間諜活動。

隨后，“安全港”制度在2015年10月被歐洲法院宣告無效。歐洲法院認為，美國沒有提供充分的個人數據保護機制，而歐盟法律禁止與隱私標準較低的國家共享數據。

2016年，歐盟委員會再次通過了名為“隱私盾”的歐盟-美國數據傳輸協議，但2020年被歐洲法院宣告無效。歐盟法官指出，正如斯諾登在2013年首次披露的那樣，美國安全部門對歐洲大量數據的訪問不成比例且保護不充分。

鄧志松介紹，安全港協議和隱私盾協議皆因始于2013年的Schrems系列案件被歐盟法院推翻，關鍵原因在于美國方面未能對公共機構（如國家安全局）獲取個人數據的情形提供充分保護，對美國情報部門收集數據的權力限制不充分、范圍不明確，此外還存在著司法救濟途徑缺失的問題。而新的數據隱私框架則致力于對美國情報部門訪問歐盟數據提供更多保障措施，以及完善違反保障措施的救濟途徑。

影響幾何？

數據在流動中產生價值。歐盟和美國關于數據跨境流動達成的充分性認定，一定程度上推動雙方業務的順利進行。據新聞公報，美國實施的保障措施也將促進更廣泛的跨大西洋數據流動，因為它們也適用于使用其他工具，如標準合同條款和具有約束力的公司規則，傳輸數據的情況。

鄧志松表示，充分性認定的通過補充了安全港協議、隱私盾協議被歐盟法院判決失效之后歐盟與美國之間數據隱私法律體系的空白，在一定程度上建立起較穩定的跨大西洋數據流動安排?！?strong>這無疑將在極大程度上便利跨國企業的跨境數據傳輸，并完善了全球數據流動法律框架，為降低流動成本提供了制度上的確定性。”

而在吳沈括看來，充分性認定的通過，一是使得懸而不決的歐美數據跨境業務得到了進一步確定，業務能夠順利開展。二是美歐解決數據跨境流動的問題之后，或許會對包括中國在內的其他國家的數據資源產生虹吸效應。“美歐數據跨境流動在通過充分性認定后，相應的流程將會得到簡化，難免會對其他國家的產業產生吸引力?！?/strong>

重要的一點，或將改變世界數據跨境治理乃至世界數據治理生態的格局，歐盟主導的跨境數據生態圈將持續推進。

“這兩個非常大的市場之間接通之后，那么其他的國家和地區也會跟進類似于充分性決定，申請的國家會越來越多?！睋巧蚶ㄍ嘎?，當前已有相關國家和歐盟溝通類似充分性認定的情況。

那么中國是否有可能與歐盟就充分性認定展開相關接觸？吳沈括對21世紀經濟報道記者表示，中國和歐盟對于各自的接受度都是有限的，難度很大?！?strong>一是考慮到接受充分性決定意味著接受歐盟的制度審查，這是一個主權問題，不大可能被接受；二是中歐雙方在數據治理生態和數據監管生態存在一定分歧，這些障礙決定了中短期之內看不到解決的希望。目前尚未找到雙方都可接受的解決方案。”

7月初，吳沈括和歐盟相關人士曾就數據跨境問題進行了溝通，最終得出了一個結論：“世界范圍內來看，數據跨境首先是一個政治問題，其次才是法律和技術問題。”

值得注意的是，有專家提示，充分性認定的通過并不意味著歐盟-美國之間的DPF框架已經完成。

“與此前的安全港協議、隱私盾協議一樣，在未來新框架仍面臨著因保護水平不足而被歐盟法院推翻的風險。新框架是否足夠成熟完善以解決此前出現的種種問題，其運行是否穩健有效，后續歐盟與美國是否會采取更多配套措施，仍有待在實踐中進一步觀察。”鄧志松提示。

同時吳沈括觀察來看，實踐中對于充分性認定難度并不會小，因其涉及了美歐在數據治理和數據主權間的相關博弈。

“從2009年開始，雙方便開始針對數據流動持續博弈?，F在雖然做出充分性的認定，但是無法量化規定。目前來看，歐盟對于數據跨境持強勢監管態度，而美國對于這個問題的判定尺度較為寬松，預測博弈也將持續。同時個案中，歐盟并不一定能獲得主動權?！?/p>