中国信息通信研究院│刘耀华
借欧美“隐私盾”协议敲响我国网络数据保护的警钟
中国信息通信研究院│刘耀华
随着互联网技术的快速发展,互联网开始逐渐渗入到各行业中,由于信息泄露引发的安全问题也逐渐浮现,如何保护数据安全成为行业焦点。
2013年“棱镜门”事件曝出美国政府及相关企业对他国网络数据肆意攫取的行为,并因此直接导致“欧美安全港”协议无效、跨大西洋数据流动失去法律基础等一系列后果。为解决这一问题,欧盟与美国双方通过紧急谈判、协商和多轮修改,2016年7月14日,欧盟正式通过“欧美隐私盾牌”协议(以下简称“隐私盾”协议),大西洋两岸的公司最快能在8月注册新的数据传输框架协议,这份协议将使从欧洲传输个人信息到美国变得更为容易。
“欧美安全港”协议的废除是诱发“隐私盾”协议出台的导火索。美国“棱镜”计划曝出后,欧盟法院在审理奥地利律师施雷姆斯控告脸书公司非法追踪用户数据一案中最终判决“安全港”协议无效,之前按照协议要求开展跨境数据流动的美国公司,都必须改变数据传输方式,受此影响企业达4500多家。
欧盟与美国在网络经济上的紧耦合关系决定了寻求跨境数据流动解决方案势在必行。近年来,美国互联网大企业加快国际化进程,全面渗透到欧盟地区,造成欧盟各成员国网民使用的互联网服务主要由美国企业提供,2011~2015年,欧洲与北美的国际联网带宽由6073Gbit/s增长到12816Gbit/s,占到欧盟与全球各国联网带宽的60%,这表明跨大西洋的数据流动已经形成不可逆转的趋势。
美国与欧盟在个人数据保护的松紧程度不同是推动“隐私盾”协议出台的深层原因。美国坚持灵活保护的策略,致力于通过企业自律机制,并配合政府执法,以实现保护隐私权的目的;欧盟却倾向于通过严厉的立法,对个人数据进行保护。为此,“安全港”协议废除后,双方必须在现有立法根基存在分歧的情况下,另外达成新的约定,为跨境数据流动提供制度保障。
“隐私盾”协议文本包括欧盟委员会出具的“充分性决定”草案、以及美国政府关于确保该协议得到执行的书面担保等主要内容,在加强个人数据保护方面比之前的“安全港”协议有众多创新和强化之处。
规范对象方面,“隐私盾”协议约束纳入名单内的企业和退出名单的企业以及第三方。一是名单内企业必须遵守“隐私盾”协议规定,已经退出“隐私盾”协议名单的企业如果继续存储根据协议获得的个人数据,也必须就对应的个人数据履行相应义务。二是按照“责任转移原则”,名单内企业将个人数据传送给第三方时,应确保这些个人数据享受至少同等水平的保护。名单内企业还需对第三方代理人违反规则的行为承担后果,除非有明确的免责证据。
合作机制方面,美国与欧盟建立了年度联合审查机制。欧盟委员会和美商务部共同行使这项审查权。欧盟将利用可获取的所有信息资源展开审查,包括美国企业提供的美国政府要求调取或访问数据的报告等。美国政府则致力于通过商务部加强监管,并深化与欧洲数据保护机构及美国联邦贸易委员会之间的合作。
权力限制方面,美国政府首度承诺官方行动将受到约束。美国政府向欧盟出具了书面承诺,公开表示以国家安全为由进行的访问,都必须受到约束和监管,保证不会对根据“隐私盾”协议转移到美境内的个人数据进行不加鉴别的、大规模的监视,批量收集的公民数据只能用于反恐、防扩散、网络安全等6个特定目的,且不得破坏“隐私盾”协议的原则。另外,美建立了独立于国家安全部门之外的监察专员机制,专门负责跟踪和处理个人提出的投诉和咨询。
权利救济方面,“隐私盾”协议为欧洲公民提供更多救济途径。欧盟公民若感到其个人数据受到侵害时,可以采取以下途径进行求助:一是向企业进行投诉,企业应当在45日内给予答复;二是向本国的数据保护机构投诉,该机构可与美商务部、联邦贸易委员会合作进行调查和处理;三是求助于免费的替代性纠纷解决机制,名单内企业都必须加入这一机制;四是求助于隐私保护专家组进行仲裁,其做出的裁决具有约束性。
“隐私盾”协议使得欧盟与美国双方就跨大西洋数据流动的监管达成了一致意见,其影响不仅限于美国与欧盟双方,对其他国家的跨境数据流动及经济发展也彰显重大意义。
重建美欧跨境数据流动信任机制。“隐私盾”协议消除了跨大西洋数据流动法律缺失的障碍,改变了当前欧盟与美国企业仅能通过合同方式开展跨境数据流动的现状,为跨大西洋的数据流动提供一个新的安全框架,有助于双边数字经济持续稳定增长。
推动相关国际规则加快制定。美国与欧盟跨大西洋贸易和投资伙伴关系(TTIP)协定的电子商务章节尚未达成一致,“隐私盾”协议的出台有利于双方在TTIP的下一步谈判中深入推进,并极有可能将“隐私盾”协议中的内容移植进去。
强化数据主权和国家安全保护。自2013年“斯诺登事件”以来,很多国家出台立法对跨境数据流动进行限制,其目的主要是避免国外监控、保护安全与隐私、促进本国经济发展、便利本国政府执法等,“隐私盾”协议的达成则是为了避免美国监控、保护欧洲公民个人数据。另外,俄罗斯2015年9月生效的“第242—FZ号联邦法律”也是源于“斯诺登事件”后俄政府对国家安全的担忧,该法规定了互联网企业数据留存本地化的义务,要求俄公民个人数据必须存储在俄联邦境内的服务器上。
提高中欧商贸活动中的个人信息保护要求。“隐私盾”协议的达成是欧盟个人信息保护理念的又一次胜利,但欧盟目标不仅如此,其有意将所有对外商贸活动与个人数据保护挂钩,要求贸易对象国提供充分的隐私保护标准。我国的个人信息保护程度尚未达到欧盟“充分性保护”标准,我企业在欧开展贸易将受到更高程度的个人信息保护约束。
跨境数据流动已经不是单独某个国家、某一区域的问题,而是已经成为全球关注的焦点,很多共同体也制定了类似规则,如2015年10月4日的《跨太平洋伙伴关系协定》中规定禁止缔约方采取限制数据跨境流动的措施,亚太经济合作组织也通过构建跨境隐私规则体系致力于保护跨境电子商务中的个人信息。随着区域经济一体化、双边及多边合作程度的不断深化,跨境数据流动的规则已成为双边谈判的重要组成内容,我国应关注和积极应对,同时应强化跨境数据流动规则中的重要问题。
建立个人数据保护制度。一是推进个人数据保护相关立法,规定个人数据收集、处理、使用等环节中的问题。二是针对跨国企业制定数据留存制度,减少国外监听风险,对跨国企业建立更为严格的个人数据保护要求,规定重要数据留存的本地化义务。三是提升个人在跨境数据流动中的主动地位,赋予个人选择权、决定权、知情权、救济权等。
强化企业主体保障个人数据安全的义务。各国将企业责任作为确保个人数据安全的主要抓手,我国政府应当推动本国企业建立行业自律机制,完善自身的数据保护水平,以应对国际趋势。另外,我国应从国内法角度提升企业对本国公民的个人数据保护水平,不仅要将个人数据保护义务主体从数据流出方延伸到流入方以及可能再次发生转移的第三方,而且应加强数据发生泄露或可能泄露时企业的通知义务。
完善政府监管机制。建立单独的数据保护机构是目前很多国家的做法,我国应明确数据保护权力的归属,加强与各国数据保护机构的对话协作,掌握国际上个人数据保护最新动向,为应对国际谈判中涉及的数据流动规则奠定基础。对于跨境数据流动,数据保护机构应建立主动和被动两种监督审查方式,通过审核评估机制实施主动审查,定期对进行过跨境数据流动的企业进行检查,在接到个人或企业投诉时启动被动审查机制,确保涉事企业遵守法律法规。另外,为平衡国家安全和个人数据保护,我国应当研究建立自己的合法侦听制度,从法律的角度明确合法侦听的权力、实施机构、范围等。
编辑|赵艳薇 zhaoyanwei@bjxintong.com.cn