欧盟与美国关于跨境个人数据保护研究

杨秋霞

摘 要：本文希望通过分析欧盟与美国关于跨境个人数据保护的法律，双方签订的新旧协议涉及的个人数据保护的对比，为我国的跨境数据保护带来一些启示，为我国的跨境信息交换立法提供一个新的方向。

关键词：跨境数据 个人 欧盟

一、欧盟与美国关于跨境个人数据的保护现状

联合国跨国公司中心对跨境数据流动的定义是，跨越国家对存储在计算机中的机器可读的数据进行处理、存储和检索。在互联网和大数据产业时代下，我们在网站上注册的资料，在商场随手登记的电话号码，在网络上搜索的词条等大部分数据都包含个人信息，促进了商家的获利和消费者的需求。大数据时代开启了一场寻宝游戏，而人们对于数据的看法以及对于由因果关系向相关关系转化时释放出来的潜在价值的态度，正是主宰这场游戏的关键。对于企业而言，利用大数据分析得出商机，能带来更有针对性的创收。对于用户而言，个人数据信息被暗地收集、滥用并盈利却是令人恼怒。例如网上受人诟病的人肉搜索，利用网络搜索词条和登录网站的频率，可以找到个人的工作信息、爱好、健康情况等隐私信息。欧盟与美国作为世界上经济昀发达的两个经济体，在将保护跨境个人数据安全纳入法律保护范围，两国的立法一直走在前沿。

（一）美国

美国是典型的判例法系国家，采取分散式立法，在公共范畴内制定《信息自由法》和《隐私法案》限制政府等公权力对个人信息权利的侵犯；在金融、电信、医疗等行业领域的市场管理规则中针对不同情况规定了不同的个人信息保护条款。2014年发布《大数据：把握机遇，守护价值》，从政策调整、法律制定、法律解释和技术革新几个方面对大数据时代下完善公民个人数据保护提出了建议，试图解决大数据利用与公民信息保护价值之间的冲突，以释放大数据为经济社会发展带来的新动能。美国的跨境数据隐私保护策略主要靠有限的立法和行业自律，即网络服务者的自我约束和行业协会的监督。美国是行业自律原则的倡导者，意在保证个人信息自由流动的基础上，通过行业内部的规则和行业协会的监督来保护、完善个人数据安全，即属于民间的网络个人信息保护模式。

（二）欧盟

相对来说，欧盟的法律制定与美国迥然不同且要严格许多。欧盟以规范立法为主，将个人数据归于基本人权。具有里程碑意义的是 1995年欧盟与欧洲议会制定通过《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》（简称为《欧盟数据保据护指令》），即欧盟信息数据保护框架的核心文件。同时该指令禁止欧盟成员国的某些消费数据信息流向任何没有严格数据保护法律的国家，但这给该法的实施者在实施过程中产生了一定的分歧：“第一，许多《指令》条款有意无意地采用开放式条文形式，让成员国立法、执法机关在实施过程中有较大的解释空间；第二，《指令》未建立一个强有力的确保统一解释的机制，虽在欧盟层面有欧盟委员会及 29条工作委员会可对《指令》进行解释或负责执行事宜，但前者的权力仅限于成员国与第三国的之间数据流通事宜，而后者对《指令》的解释并不具有强制执行效力，实践中成员国数据保护机构也鲜有遵循。”

二、欧盟与美国达成的信息交换协议

（一）2000年“安全港协议”

由于美国采用的有限立法和行业自律的隐私保护政策没有达到欧盟的“充分性保护”要求，给美国与欧盟之间的贸易与其他交流活动带来了许多困扰。欧盟与美国找到了一种灵活的解决方式，即 2000年签署的个人数据保护协议——安全港协议。安全港协议是指美国的企业以自愿的方式加入并承诺遵守美国与欧盟制定的个人隐私保护原则，欧盟认为这些企业符合欧盟法律标准的，可以从欧盟将个人数据转移到这些企业，从而消除欧盟与美国间数据传输的障碍。安全港原则要求在进行网上数据传输时，先向欧盟安全港监督机构提出申请，经检验合格批准后方可与美国企业或者个人进行数据传输，对于违反安全港协议的将会受到严厉的制裁。但是由于一位澳大利亚的公民个人数据泄露案，欧盟法院宣布与安全港协议有关的“2000/520号欧盟决定”无效。

（二）2015年“伞形数据协议”

自 2011年起，双方就在进行“伞形协议”的谈判，意在保护调查过程中警方和司法当局之间，企业和执法部门之间的个人数据的交换。这类协议包括了航班旅客信息记录，还有银行数据的共享等。在长达四年的谈判中，欧盟坚持欧洲公民与美国公民享有一样的公正有效的司法补偿措施，昀终双方终于完成了伞形数据协议。协定为涵盖欧美之间数据交换的所有领域提供法律保障，包括预防、发现、调查和起诉恐怖主义等刑事案件，特别给予了欧盟公民与美国公民享有同等的司法救济权，即欧盟国家公民在发现其个人数据受到侵害时，能与美国公民有同等权利诉诸于法院。

（三）2016年“欧美隐私盾牌”

自安全港协议被废除后，欧洲和美国的企业特别是依靠跨境数据转移的行业处境艰难，如电子商务和信用卡交易无法共享消费者数据，互联网公司无法向用户准确推送广告，等等。在市场与需求的推动下，欧盟与美国开始积极协商新的信息保护协定。2016年 2月欧洲委员会和美国达成新的跨大西洋数据流框架：欧盟美国隐私盾牌。根据这份新协定，传输到美国的必须是用于商业目的的个人数据，将会得到与在欧盟同样的数据保护标准保护。美国政府部门承诺将严格履行协定中的要求，保证国家安全部门不会对这些个人数据采取任意监控或大规模监控措施。而欧盟委员会表示，欧美隐私盾牌满足了欧洲法院裁定中的要求。与之前的协议相比，这份新协议突出以下三个重点：

1.

增强了企业义务和责任。安全港协议中加入协议的企业对于履行义务并不热衷，且欧委会无权限制各成员国的监督机构，导致企业自觉性不够。而在欧美隐私盾牌，美国公司有重大的责任和严格的执法行动去保护从欧洲转移过来的公民个人数据：从欧洲输入的个人数据，美国公司将必须保护好且使个人权利得到保障。商务部将监控这些公司自己发布的具备法律效力的承诺，联邦委员会监控这些公司是否遵守欧洲数据处理局的决定。

2.

明确了美国政府的保障措施和透明度义务。这是第一次美国给出书面保证，美国已经排除了之前不分青红皂白地对转移到美国的个人数据进行监视，因公共当局执法和国家安全而获取的数据会受到明显的限制。美国国务院将设立一个新的监察使职位，以处理欧盟数据保护机构转交的投诉及查询。一旦美国代理商超出范围访问个人数据，该监察使将做出相应补救措施。协议规定每年将会有一个定期的联合审查，欧洲委员会和美国商务部将实施此审查并邀请国际情报专家和欧洲数据保护当局进行评审。双方还将制定一个替代性纠纷解决机制来化解争端，并每年对协议进行联合审查，定期反馈监管信息。这是美国首度承诺官方机构保护国家安全的行动将受到明确的监管机制所规限，体现出美国的“让步”。

3.着重强调了数据主体的救济机制。任何公民只要认为他们的数据已经被滥用，根据新的协定告知的救济方案与路径，公民可以对企业申诉，公司要在 45天的期限内对申诉做出答复。此外，公民将获得免费的替代性纠纷解决方式。欧洲数据处理局可以委托商业部门和联邦贸易委员会处理投诉，对于国家情报局可能存取的数据提出的投诉，将设立新的监察员处理。数据主体的个人数据保护救济机制是该协定昀突出的功能，相对于“安全港协议”七原则和对于司法补偿延而不决的“伞形协议”，欧洲公民第一次有明确、便捷的救济路径对传输其个人数据的美国企业提出投诉，提高了跨境个人数据流动纠纷解决的有效性。

三、对我国数据跨境流动规制的借鉴

数据的跨境流动已成星火燎原之势，而我国对于跨境个人数据的保护还在起步阶段，现有的法律法规无法跟上日新月异的数据跨境流动趋势，给对外交流，贸易合作，技术革新等带来了困扰。根据欧美两国确立的个人数据跨境流动历程，笔者对我国的跨境个人数据保护提出以下几方面建议：

（一）明确可流动个人数据跨境和管理模式

对跨境个人数据进行分类规制，建立隐私等级。政府部门可将个人数据分级为禁止出境流动信息、限制流动信息和个人敏感信息，赋予数据主体选择的权利，对不涉及国家安全和公共利益的个人数据，参考欧美隐私盾牌的隐私原则，采取数据主体实质同意模式，告知传输出境的对象、用途和存留时间，是否有权利撤回该个人数据，是否向第三方转移，由数据主体自由选择是否予以传输出境，有权利更正、补充、删除其个人数据。

（二）完善相关跨境个人数据保护措施

可借鉴美国行业自律与欧盟以立法为主的个人数据保护模式，制定出系统的符合我国当下及未来跨境个人数据发展趋势的法律法规。建立专门的数据保护机构、数据评估机构和独立的监管部门，对我国离境个人数据进行安全评估及备份，实施本地化存储；对传输至我国的境外个人数据，审慎地考虑其存留期限。建立纠纷救济机制，明确纠纷处理单位与申诉途径，有效提高跨境个人数据的安全性和隐私性。

（三）国与国、企业之间展开合作

增强各国数据与信息共享，促进互联网时代下政府之间、企业之间的有效合作。我国可以根据双方或多方合作的需要，与传输国和企业之间商量订立个人数据使用与保护协议，细化个人数据跨境使用与保护规则，明确规定双方责任义务和纠纷解决办法，共同推动个人数据保护国际标准的形成。当事国可以针对特定情况制定有利于推动数据跨境流动的国际协议，以此协议为背景，推动当事国之间的经济发展，同时便利当事国之间的数据安全执法。

参考文献：

[1]杨磊.国外跨境数据流动管理对我国的启示.[DB/OL]. http：//gb.cri.cn/42071/2015/07/23/6611s5041096.htm， 2015-07-23.

[2]（英）维克托 .迈尔.舍恩伯格.大数据时代[M]. 浙江人民出版社， 2012.

[3]蔡雄山，李思羽. 美国人眼中的大数据法律问题 [DB/OL].http：//www.tisi.org/Article/lists/id/4394.ht ml， 2016-01-15.

[4]吕艳滨. 论完善个人信息保护法制的几个问题[J]. 当代法学， 2006（1）.

[5]桂畅旎. 美欧跨境数据传输《隐私盾协议》前瞻[J]. 中国信息安全， 2016（3）.

[6]王玥，王飒飒.对我国数据跨境流动规制的一点思考[J].中国信息安全， 2016（3）.