陈 湉 中国信息通信研究院安全研究所工程师廖 璇 中国信息通信研究院安全研究所助理工程师
美欧用户信息跨境流动政策走向预判
陈湉中国信息通信研究院安全研究所工程师
廖璇中国信息通信研究院安全研究所助理工程师
近日,美欧用户信息跨境流动成为用户隐私保护领域全球关注的焦点。于2015年10月引起广泛讨论的“安全港”事件只是缩影,其背后反映了美欧用户隐私保护法律体系和政策间难以弥合的裂痕。如何求同存异,重建双方互信关系,构建新的数据跨境传输框架协议,是美欧双方亟待解决的难题。本文通过分析美欧近年来在用户隐私保护方面的立法动态和跨境数据流动方面双方分歧的深层次原因,尝试预判后“安全港”时代美欧数据跨境传输的政策走向。
美国;欧盟;用户;隐私保护;数据跨境流动
“安全港”(SafeHarbor)协议,是2000年美国商务部与欧盟签订的用于保护欧盟和美国之间传输的个人数据隐私安全的框架协议(“安全港”协议包含一系列隐私原则,包括通知、选择、数据转移、数据获取、数据安全、数据完整以及执行等七大原则,用以保护个人数据)。协议达成后,拥有发现和确认第三方国家是否达到充分保护要求的欧盟委员会(European Comm ittee,简称“欧委会”)通过了“2000/520号欧盟决定”,确认“安全港”隐私原则以及附属条款对个人数据的保护达到了欧盟指令的充分保护要求。受此决定影响,获得“安全港”认证的美国企业可以合法收集、传输欧盟公民个人数据,欧盟成员国对于数据转移的事先批准被取消或者自动授权。注:1995年欧洲《数据保护指令》提出“充分保护标准”是欧盟公民个人数据存储或者传输到第三方国家的前提条件。欧委会被授权结合数据转移的具体环境及条件、数据性质、数据处理的目的和期限、数据的来源国与传输目的国、目的国的法律规定、职业准则、数据安保措施等因素,审查并决定第三方国家的国内法或国际承诺是否能提供充分保护。目前,欧委会已就安道尔、阿根廷、加拿大(商业机构)、法罗群岛、格恩西岛、以色列、马恩岛、泽西岛、新西兰、瑞士、乌拉圭和美国等国做出充分性裁决。至今,5000多家美国企业主动加入“安全港”,享受因此带来的诸多好处。“安全港”协议对于美欧投资贸易便捷增效,尤其是中小企业成长壮大形成了巨大的正面激励作用。
然而,“安全港”协议自签订以来,一直受到欧盟委员会、欧洲议会、欧盟成员国的严重怀疑。“斯诺登”事件后,欧盟对“安全港”协议的质疑更加强烈。最终,由奥地利公民Schrems起诉Facebook滥用个人信息案引发,欧盟最高法院于2015年10月6日做出裁决“2000/ 520号欧盟决定”无效。这意味着欧委会无法再为基于“安全港”协议的美欧数据传输进行背书,美国企业再不能直接援引“安全港”协议支持其收集、传输欧盟公民个人数据的合法性,“安全港”协议名存实亡。
随后,欧盟数据保护监管机构(第29条工作组)要求美国与欧盟在2016年1月底前完成新“安全港”协议的协商和签订,否则将对美国企业采取必要的监管措施。
为回应欧盟最高法院的裁决,积极推动新“安全港”协议的签订,美国众议院于2015年10月20日通过了一项司法救济法案,欧盟公民能够同等享有1974年《隐私法》赋予美国公民的权利,包括起诉美国联邦部门滥用个人数据的权利,部分解决了美国个人隐私保护法律体系不健全的问题。
然而,今日现任法国数据保护机构国家信息与自由委员会(CNIL)主席和第29条工作组主席的伊莎贝尔·法尔奎·佩隆迪接受采访时表示,现在的问题不是在特定时间内制定出第二个安全港协议,而是需要美国发出一些政治信号,解决欧洲公民个人数据在美国被情报机构滥用的问题。美国刚刚通过的司法救济法案,并未涵盖情报安全及公共安全,因此佩隆迪表示达成一项政府间协议或是在美国法律中对情报机构制定具有约束力的规定是有必要的。
(1)欧盟
欧盟长期以来一直对用户隐私保护持激进态度,将公民隐私权定义为一项基本的宪法权利。欧盟1995年制定的《数据保护条例》不仅奠定了欧盟用户隐私保护方面统一立法的格局,而且制定了在当时最充分、最严格的用户隐私保护原则。
为了应对大数据、云计算、移动互联网等信息技术对用户隐私数据保护的新挑战,并且确保欧盟规则的前瞻性,欧盟委员会开始重新审视1995年的《指令》(《保护个人享有的与个人数据处理有关的权利以及个人数据自由流动的指令》,简称“指令”),并于2012年1月提出了改革草案。经过历时4年的多次修正与折中,2015年12月15日,欧委会与欧洲议会、欧盟理事会三方机构在立法进程的最后阶段终于就欧盟数据保护改革达成一致,其核心改革成果——《一般数据保护条例》(General Data Protection Regulation,GDPR)预计2016年年初正式发布。
《一般数据保护条例》正式生效后,欧盟数据保护立法将由指令上升为法规,直接适用各成员国,解决1995年《指令》因为法律层级不够导致的成员国之间数据保护法律制度碎片化的问题。在用户隐私保护原则方面,《一般数据保护条例》比1995年的《指令》又向前迈进一步,提出了公民基本数据权利概念(A Fundamental Right for Citizens),进一步加强了欧洲公民对个人数据的控制能力:强化了“知情同意”原则,要求同意必须“明示”(注:同意必须基于数据主体的一个或多个特定目的,并且已经给予控制者处理数据的同意,数据主体必须自愿给出详细的表明其同意的说明,说明必须是明示的,包括书面声明或明确肯定的行动表示,缄默或不行动不构成同意);公民的数据权利进一步扩张,明确赋予了本人数据的易访问权、数据可携权、数据被遗忘权以及数据遭泄露的知悉权。
(2)美国
美国的用户隐私保护法律体系是分散的,覆盖了宪法、联邦、各州等层面,区分公共领域和非公共领域的用户隐私保护,不同行业有专门立法规制用户数据控制者。随着大数据时代的到来,数据收集变得无处不在和难以察觉,数据处理专业化、多样化增强,数据泄露的风险增大,奥巴马政府认为建立在“告知与同意”框架基础上的隐私保护法律体系已经不能在大数据时代有效保护用户隐私,需要从政策、法律、技术等方面提出更符合大数据运作特点的、不会阻碍大数据技术和应用发展的、更具可操作性的改革方案。
为此,美国白宫于2012年发布《网络世界中消费者数据隐私:全球数字经济中保护隐私及促进创新的框架》(Consumer Data Privacy in A Networked World:A framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy),在该报告中正式提出《消费者隐私权利法案》(简称“法案”)。2015年2月,美国白宫再次公布一项立法草案,希望将《法案》上升为法律,以确定美国隐私保护的整体法治框架。《法案》吸纳了OECD、欧盟《指令》中一些已经被广泛接受的隐私保护原则,提出了自己的7项隐私保护原则(个人控制、透明度、情景一致、安全、接入权和准确性、收集控制、问责制),一方面加强了“告知与同意”框架,一方面更加关注数据的使用,强化了数据控制者在数据保护与处理方面的安全责任,同时强调了事后问责制。《法案》提出的原则基本代表了美国政府解决大数据时代隐私保护问题的一般思路。
实际上,美欧在用户信息跨境流动问题上的分歧与博弈可以看作是双方维系各自网络空间控制权的突出表现。近年来,亚太地区信息经济市场异军突起,一方面庞大的市场空间不断吸引全球企业投资开办业务;另一方面中国、印度等新兴经济体自身产业竞争力不断增强,如阿里巴巴、腾讯等中国企业已经成为服务全球的互联网巨头。信息经济的强势发展带动了这些国家网络空间国际话语权的提升,全球网络空间和互联网治理格局的重心开始向亚太地区转移。而作为传统强国的欧洲国家,为了挽回即将“失势”的局面,必须将自身从美国的“追随者”转变成为全球网络空间游戏规则的“制定者”,以“上位者”的身份巩固网络空间话语权,抗衡新兴力量崛起,而用户信息保护是欧盟实现这一战略目标的核心突破口。
然而,欧盟的强势做法触犯了美国的核心利益。在经济、军事实力出现衰退征兆之际,国际网络空间绝对的影响力和话语权成为美国维持“一超独强”的关键。美国早在2012年发布《网络空间国际战略》时,已经判断信息自由流动、全球互联网一体化是其掌控国际网络空间的核心原则。所以,美国绝对不允许全球互联网的巴尔干化。此外,欧洲是美国互联网企业的主要市场之一,美欧用户信息跨境传输规则体系具备一定示范效应,可能影响到美国构建的其他区域性数据跨境流动体系,因此美国也绝对不会放弃美欧之间的信息自由传输。
在欧盟第29条工作组限定的最后期限即将到期之际,欧盟与美国初步达成了新的个人信息跨境传输安全框架协议——“隐私盾”协议。目前,新协议还需等待第29条工作组和欧盟委员会的评估和最终确认,才能够正式生效。美欧将继续在新框架下实现用户数据跨境流动已成定论,新框架对用户隐私保护的具体政策以及美欧在此问题上谈判的最终结果会如何,本文尝试做出如下判断:
(1)欧盟将借此机会向外界输出《一般数据保护条例》中的公民基本数据权利
欧盟作为数据提供者,从谈判筹码上占据了优势地位。为了成为全球用户隐私保护和跨境数据流动规则的制定者,欧盟会抓住这一机遇要求美国按照《一般数据保护条例》中的规定保护欧洲公民的基本数据权利,如果借此影响到美国用户隐私保护相关的法律法规制定,将更有利于欧盟向其他国家推行用户隐私保护的一系列理念和举措,进而影响其他双边或区域性跨境数据流动体系。
(2)美国为保证信息自由流动会作出让步,但不会无条件满足欧盟的要求
近两年,美国已经为保护欧洲公民数据在美国的隐私安全做出了不少努力,今后甚至会牺牲掉部分情报机构的监听权益来取得欧盟的信任。但是,美国的努力方向是加强司法救济和限制情报机构权利,对于欧盟公民基本数据权利,美国不会“照单全收”。用户隐私和公共利益往往是相互冲突的,如何平衡两者关系,美国与欧盟采取了截然不同的原则。欧盟采用充分利益原则,即使牺牲部分公共利益,也要保护公民隐私;美国则采用实质损害原则,综合考量保护用户隐私和市场效率、提供优质服务等之间的影响,更加鼓励信息自由流动。因此,类似于“明示”同意、数据被遗忘权等《一般数据保护条例》中增强用户控制数据能力的举措,美国会根据实质损害原则进行考量,完全采纳的可能性不大。
实际上,美欧最新的用户隐私保护立法工作已经显示:虽然双方用户隐私保护原则基本一致,但是在制定法律的关注重点、用户隐私与公共利益平衡等方面,双方分歧严重。新的“隐私盾”协议能否在充满分歧的背景下顺利实施,免于重蹈其前身“安全港”之覆辙,尚属未知,笔者并不持乐观态度。
[1]姚朝兵.个人信用信息隐私保护的制度构建——欧盟及美国立法对我国的启示[J].情报理论与实践,2013,03:20-24.
[2]王融.大数据时代欧盟新规能否重建数据保护新秩序[J].中国信息安全,2016,01:125-127.
[3]李明.“大数据时代”的美国隐私权保护制度[J].互联网金融与法律,2014,9.
[4]潘建珊.实质损害原则——美国信息隐私保护利益平衡原则[J].情报科学,2007,11:1723-1728.
The Prediction of Cross-Border Flow of User Data between European Union and the United States
ChenTian,LiaoXuan
Recently,the cross-border flow of user data between European Union and the United States become a hot issue in the field of user privacy protection allover the world.“Safe Harbor”agreement,which was widely discussed in October2015,is an epitome,reflecting the big divarication about the legal and policy system of privacy protection between EU and USA.It is the top mission that how to share a common interest while reserving differences,rebuild mutual trust between the two sides,construct a new cross-border transmission framework of user data,both for EU and USA.In this paper,by analyzing privacy protection legislation of the United States and Europe in recent years and the ultimate reasons of the difference attitudes hold by the two sides in cross-border data flow,the authors tried to predict the future policy of cross-border transmission of user data between the sides after“Safe Harbor”era.
the United States;European Union;user privacy protection;cross-border data flow
2015-12-10)