贾 开
(清华大学公共管理学院,北京 100084)
跨境数据流动的全球治理:权力冲突与政策合作
——以欧美数据跨境流动监管制度的演进为例
贾 开
(清华大学公共管理学院,北京 100084)
数字经济的全球扩张已经使得跨境数据流动成为常态,但不同国家间规制传统与制度环境的差异使得跨境数据流动的全球治理成为难题。不过即便如此,在各国不对其国内规制制度做出重大调整的前提下,政策共识与国际合作依然可能存在。《安全港协议》代表了欧美在承认制度差异前提下的政策共识,“9·11事件”后,美国国内政策的转折为当前冲突的爆发埋下了伏笔,《隐私盾协议》为新的国际合作打开了窗口。欧盟与美国跨境数据流动监管制度的演进历史,淋漓尽致地体现了跨境数据流动全球治理冲突与合作的反复与交替。
跨境数据流动;规制冲突;国际合作
贾开 (1985-),男,四川人,清华大学公共管理学院博士研究生,研究领域包括互联网治理、数据治理和平台经济规制。
自1980年代经合组织(OECD)首次提出“跨境数据流动”(Trans-border Data Flow)的概念之后,数字经济的快速扩张已经使这一现象逐渐成为常态。无论是软件开发、服务外包等数据处理业务在全球分工体系下的日益成熟,还是以互联网跨国公司形态存在的社交平台、搜索引擎、电子商务的日益普及,都同时推动着跨境数据流动在体量和频率两个方面的指数化增长。但与传统货物贸易不同,被视为大数据时代“核心资源”的“数据”,却与个人隐私、公共安全等社会价值密不可分。也正因为如此,当站在全球数据贸易的角度呼唤数据的自由流动时,规制者还不得不同时考虑对于其他社会价值的保护,并因而对跨境数据流动做出限制,由此便引发了跨境数据流动的全球治理议题:协调不同国家的制度差异以平衡数据跨境流动的收益与成本,并最终在全球范围内促成“公地喜剧”。①关于“公地喜剧”的理论可参见Carol Rose(1986)。此处的公地喜剧是指更为自由的跨境数据流动有利于形成全球数据“公地”,并提高数据的利用效率。
遗憾的是,不同于货物贸易或金融市场,跨境数据流动没有建立起类似于世界贸易组织或世界银行这样传统的全球治理机制,国家间的规制冲突持续不断;但另一方面,跨境数据流动并没有因此而中断,全球范围内的数字经济依然在以超常规的速度不断向前发展。如何对这一现象做出解释,便成为了学者亟需回答的问题。具体而言:为何在缺乏国际制度共识并因而未能建立多边治理机制的情况下,大体量、高频次的数据依然能够跨境流动?
与此同时,伴随着“斯诺登事件”而持续发酵的大规模数据审查丑闻,在全球范围再次引发了对于美国霸权的担忧,各国也由此产生了对于跨境数据流动施加更强限制的制度诉求。包括俄罗斯、澳大利亚、巴西等国在内,“数据本地化”①Chander,Anupam,and U.P.Le."Breaking the Web:Data Localization vs.the Global Internet." SSRN Electronic Journal (2014).日渐成为普遍的制度改革方向;而这样的制度改革又不可避免地加剧了全球数据贸易的“巴尔干化”,有悖于“互联互通、共享共治”的全球互联网治理精神。由此引发的问题是,建立在国家主权诉求基础上的数据规制政策,是否是对抗美国霸权主义的唯一途径?事实上,尽管欧洲各国深受“棱镜计划”之害,但欧盟与美国并未走向割裂,跨境数据流动依然在双方新缔结的《隐私盾协议》(Privacy Shield)下恢复正常。这一事实至少说明,冲突在所难免,但跨境数据流动依然能够找到政策共识并带来国际合作,其并不绝对导致单边主义的数据割裂。
本文将以欧盟与美国在监管制度方面的冲突与合作为例,阐述跨境数据流动全球治理机制的演变过程,并进一步解释跨境数据流动国际合作的可能性,试图为未来的制度改进提供事实基础和政策建议。本文将分为四个部分。第一部分解释跨境数据流动国际冲突的根源及其在欧盟与美国的体现;第二部分以《安全港协议》(Safe Harbor)为例,阐述欧盟与美国在制度冲突的背景下寻找政策共识和国际合作的空间与过程;第三部分将从历史演进的角度,回顾“9·11事件”及“斯诺登事件”对于欧美跨境数据流动国际合作的冲击及深远影响。第四部分将落脚于欧美新达成的“隐私盾协议”,再次解释国际合作的可能性。
跨境数据流动的核心问题是个人数据隐私保护与跨境数据自由流动的平衡。虽然各国政府都承认保护个人数据隐私的必要性,但就跨境数据流动的全球治理机制而言,冲突的根源则来自于各国规制传统与制度体系的差异。
1970年代,美国和瑞士在两国达成的《公平信息实务准则》(Fair Information Practice Principles)中对警告、许可、精确性、安全性等概念进行了定义,由此形成了最早的针对数据隐私权的监管立法。自此之后,大多数国家立法和国际条约都是以此为基础。1980年代,OECD又进一步将其编纂成典,形成了《隐私权和个人数据跨境流动保护的指导原则》(Guidelines on the protection of privacy and Trans-border fl ows of personal data)。正是在这些准则或原则的基础上,大多数国家就加强国内隐私权监管达成了理念共识。但即便如此,各国法律的监管范围以及监管方式却呈现出非常明显的不同,由此便导致了跨境数据流动的规制冲突,而美国与欧盟则是最为典型的国家与地区。②Bennett,Colin 1992.Regulating privacy:data protection and public policy in Europe and the United States.Ithaca:Cornell University Press.长久以来,美国与欧盟在公民的数据隐私保护方面采取了迥异的发展路径。二者的区别体现在以下几个方面:
就立法原则而言,美国的数据隐私保护沿袭了其对于合同原则的坚持,“法无禁止即可为”,只要没有明确的法律限制,公司可以自由地使用用户个人数据。相比之下,欧洲则体现了其对于合同实质内容的关注,其注意到了公司与用户在数据使用和数据保护方面不对等的权力结构与风险敞口,因而在法律中明确规定了对于公司隐私政策的限制。
就监管范围而言,美国立法者仅仅强调对公共部门进行监管而对私人部门实行“自定规则”(Self-Regulation)。虽然银行、电信等敏感行业受到特别法律规则的限制,但对于更多的私人部门而言,并没有单独的立法规制。相比之下,欧盟对公民数据隐私的保护范围更为广泛,同时适用于公共和私人部门。①Newman,Abraham 2008.Building Transnational Civil Liberties:Trans-governmental Entrepreneurs and the European Data Privacy Directive.International Organization.62(1):103-30.
就法律文本和执法权力而言,美国针对数据隐私保护的法规监督和执行权力被分散在不同的政府机构手中。以1974年《隐私权监管法案》(Privacy Act)为代表的美国监管制度旨在规制公共部门,其执行权力被分散到包括联邦预算管理办公室、联邦贸易委员会和联邦储备委员会在内的一系列机构之中。即便如此,联邦预算管理办公室的监督和执行权力也都处于消极状态(即不诉不理),而且仅仅只有一部分州对数据隐私权保护进行了立法规制。②Schwartz,Paul,and J.R.Reidenberg."Data Privacy Law:A Study of United States Data Protection." Government Information Quarterly 14.2(1997).相比之下,欧盟的数据监管政策由“数据隐私权监管委员会”这样一个独立结构来监督并执行,其承担着对数据使用过程中的投诉及争执进行监督和调解的职能(Flaherty,1989)。这些独立机构受到财政预算保证、负责人长期任职,并且独立于其他行政部门。与此同时,欧盟于1995年通过了一项旨在欧洲范围内规范个人信息数据采集和传输行为的法律指令。③《个人数据采集和传输行为保护指令》(The Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data 95/46/EC,1995 O.J.(L 281) 31)该指令不仅统一了各国有关数据隐私保护的分散法律,更为关键的是,其第25款包含了治外法权条款,明确禁止向尚未建立“充分”(Adequate)的数据隐私权保护法律的国家传输数据——而这便是导致欧盟与美国跨境数据流动冲突的焦点所在。
欧盟的“充分保护”标准的核心要求包括两点:一方面,具备独立的监管机构且同时覆盖公共和私人部门的监管原则——显而易见的是,美国的法律体系不符合这一标准。另一方面,美国国内的立法者也不可能全盘推倒当前法律体系并依照“充分保护”原则对其进行改革重塑,因为这既涉及国家主权、法治理念等重大政治问题,又涉及法律执行的绩效问题。在美国人看来,欧盟数据隐私保护的法律体系虽然完备、统一,但却“空有其表”,其在法律实施过程中总是受困于执行力度的孱弱。例如在2014年,谷歌因收集街景数据时未能充分告知被收集者的个人数据使用情况而被认定违法,法国数据隐私保护机构CNIL裁定对其的惩罚额度是15万欧元,而这甚至是CNIL开出的史上最高罚单。相比于谷歌每年高达上百亿的净利润而言,如此之低的惩罚几乎不能对其带来丝毫影响。④https://www.rt.com/news/france-google- fi ne-privacy-339/也惟其如此,在不可能推动美国国内法律体系变革的前提下,围绕数据隐私保护的规制制度冲突在所难免;而欧美之间如果缺乏某种形式的国际合作,数据跨境流动几乎是天方夜谭——也正是在这一背景下,《安全港协议》被创新性地提了出来。
传统观点认为全球化一定会导致不同国家监管制度的融合统一,现实主义的观点更进一步认为跨国治理体系是由霸权国家提供,并在其主导下改变其他国家内部法律制度的进程(Tonnelsosn,2000)。但在跨境数据流动的例子中,既没有看到美国改变其国内法律体系以满足欧盟标准,也没有看到欧盟接受美国现状并认可其符合“充分保护”原则。
事实上,欧盟数据隐私保护指令的第29款和第31款分别设立了两个咨询委员会,⑤29款规定的咨询委员会是由各成员国数据隐私权保护执行机构代表组成的工作组(Working Party),31款规定的咨询委员会是由各成员国代表组成的信息委员会(comitology committee)。以对其他国家的国内数据隐私权保护法律进行评估并向欧盟委员会提交评估报告,后者据此做出是否满足“充分保护”原则的决定。一旦欧盟委员会判定该国法律体系不符合“充分保护”原则,欧盟将中止其与该国的跨境数据流动。正是在这样的制度威胁下,包括加拿大、澳大利亚、日本、阿根廷在内的40多个国家都改革了国内的法律体系,建立了综合性的监管体制。①Newman,Abraham."Innovating European Data Privacy Regulation:Unintended Pathways to Experimentalist Governance." (2010).
但对于美国来说,改变其国内法律体系以适应欧盟要求,不仅存在上一节所提到的政治问题,同时也存在改革成本问题。以金融服务行业为例,美国国内大量存在且极易获取的公民信用报告是其提供专业服务的基础,而这种情况却鲜见于欧洲。也正因为此,欧盟与美国的跨境数据流动必须找出除了“统一”或“承认”之外的第三条路径,而这便导致了《安全港协议》的诞生。
《安全港协议》于2000年7月签署并于当年11月正式生效,它并不强迫美国改变其国内法律监管环境,但同时欧盟也很明确地拒绝承认美国监管措施等效于欧盟标准;②Farrell,Henry."Constructing the International Foundations of E-Commerce The EU-U.S.Safe Harbor Arrangement." International Organization 57.2(2003):277-306.相反的是,《安全港协议》直接要求参与跨境数据交换的公司遵守欧盟规则而不要求对整个国家的法律体系进行改革。③Long,William J.,and M.P.Quek."Personal data privacy protection in an age of globalization:The US-EU safe harbor compromise." Journal of European Public Policy 9.3(2002):325-344.为保证协议的落实,美国企业要么选择接受欧盟独立机构的监管,要么由美国联邦贸易委员作为最后一道“防火墙”对企业进行监督。在实际操作中,美国商务部将给出承诺遵守《安全港协议》的公司清单。④清单可参见http://www.export.gov/safeharbor/doc_safeharbor_index.asp.由此,《安全港协议》构建了欧盟与美国在跨境数据流动领域的国际合作机制,在不强制要求企业对其国内数据处理方式进行修正的同时,也仍然能够保证欧洲公民的信息数据在国外受到与其在欧盟国内相当的保护。在其签署之后的15年里,《安全港协议》也成为了包括Google、Facebook、Microsoft在内的超过4500家企业赖以运营的生命线。
需要指出的是,虽然《安全港协议》并不强制要求美国的监管法律做出改变,但在其长期运营中,该协议也对美国的制度环境造成了潜移默化的影响。首先,《安全港协议》促使跨国公司开始严肃对待跨境数据流动的问题。例如,“泛大西洋商业对话”和“国际商会”都已经设立专门的工作组来应对这一领域的监管冲突。⑤COWLES,MG."The Global Business Dialogue on e-commerce (GBDe):Private fi rms,public policy,global governance." TA-Datenbank-Nachrichten 10.4 (2001):70-79.再者,《安全港协议》推动了美国国内隐私保护监管机构的变革。举例而言,虽然美国联邦贸易委员会(FTC)的职责并不包括公民的数据隐私保护,但在《安全港协议》的影响下,FTC目前已经成为美国国内负责网络隐私监管的核心部门。FTC的执法依据是其在涉及企业是否进行“公平交易”(Fair Business Practice)的方面的裁决权。只要企业公开其隐私保护条款或在线声明,FTC就可以据此执法权对企业进行监管并督促其遵守公开承诺,从而间接起到保护公民数据隐私的作用。最后,《安全港协议》影响了美国国内的立法变化。自2000年以来,许多美国联邦和州的隐私与安全保护法律被修改或制定,这包括《联邦贸易委员会法案》第5条、《有线通信政策法案》、《电子通信隐私发》、《金融隐私权法案》等等。
从这一角度看,尽管欧盟与美国存在着针锋相对的监管制度冲突,但《安全港协议》却仍然实现了在承认差别的前提下开展国际合作的可能性,跨境数据流动也因此在欧盟与美国之间畅通无阻。值得注意的是,传统思维所理解的美国霸权主义并没有出现在欧美跨境数据流动之中;恰恰相反,在全球数字经济中处于弱势的欧盟,却利用《安全港协议》撬动了美国国内法律体系的变革。由此我们也可以看出,即使在短期内难以达成共识的制度分歧,在具体的机制创新推动下仍然可能走向国际合作。但同样不可忽视的是,这样的政策共识与国际合作并非一劳永逸,规制传统的差异与制度冲突的本质并未改变,外界环境的变迁随时可能导致合作的失败。也正因为此,受“斯诺登事件”的影响,《安全港协议》在运营长达15年之后寿终正寝。
2013年“斯诺登事件”曝光后,奥地利人Max Schrems向爱尔兰数据监管机构提起诉讼,指控Facebook向美国政府提供数据。2014年该案被移至欧盟最高法院,并最终于一年后做出判决:《安全港协议》因未能充分保证欧洲公民的数据隐私而被裁定无效并予以撤销。欧盟最高法院在判决书中明确指出,“美国的国家安全、公共利益和执法需求都优先于‘安全港’协议,从而使得企业在面对上述情况时,势必漠视‘安全港’协议中的隐私保护条款。‘安全港’协议并不能约束政府机构的数据审查行为,不能起到充分保护欧洲公民隐私的作用,因而它是无效的。”
《安全港协议》的废除标志着欧美数据跨境流动的冲突达到了顶点,但这并非仅仅只是因为“斯诺登事件”的持续发酵而造成。事实上,自1990年代后半期开始,美国执法部门便试图改革国内的法律规制体系,以扩大其数据收集和监控的能力与权力。“9·11事件”的爆发为此打开了“机会之窗”,并由此为当前冲突埋下了伏笔。
“9·11事件”之前,美国国会和司法机构对行政机关的数据收集和监控行为施加了较强的限制。1976年,由参议员Frank Church领衔的专门委员会发布了著名的“邱奇委员会报告”(Church Committee Report),揭露了政府以国家安全之名实施的大规模电子监控行为。在该报告的影响下,美国国会于1978年通过了《外国情报审查法案》(Foreign Intelligence Surveillance Act,FISA),从而将执法部门专门针对外国情报机构的数据监控行为与针对美国公民犯罪调查的数据监控行为区分开,由此避免了执法部门以国家安全为名对美国公民的大规模数据监控。①1986年美国国会专门通过了《电子通讯隐私法案》(Electronic Communication Privacy Act,ECPA),对执法部门针对美国公民的数据监控行为进行了规范。
1990年代后半期,伴随着科技创新的不断进步,执法部门已经在技术上具备了收集和分析大规模数据的能力,②尽管这一时期围绕人工智能的研究没有实现预期结果,但计算统计学却出现了突破性进展,由此为大规模行为数据的分析提供了技术支撑(Mattew,2016)。请参见Matthew Jones,Great Exploitations:Data Mining,Legal Modernization,and the NSA.2016.但它却依然面临着法律上的束缚。根据FISA的规制要求,执法部门的数据监控行为必须获得法律授权。1999年,美国国家安全局(National Security Agency,NSA)试图绕过FISA的规制要求,希望在只针对标记数据(metadata)③标记数据(Metadata)是指通信过程中不涉及内容的地址数据,例如通信人、电子邮件地址等。的监控行为中不用获得法律授权,但美国司法部(Department of Justice,DOJ)在情报政策评论中却拒绝了NSA的要求,认为标记数据监控依然是“搜查”(Search)行为并构成了对于公民隐私权的伤害。事实上,在九十年代后半期,执法部门一直在推动FISA改革,试图对数据审查法律进行“现代化改造”(Modernization of surveillance law),但这一改革直到“9·11事件”发生后才出现了实质性进展。
“9·11事件”后美国政府组成了“9·11”调查委员会,对情报工作进行全面的反省式调查。委员会的最终报告指出,导致“9·11”发生的重要原因之一是情报系统存在漏洞。尽管FBI已经得到了犯罪分子(美国公民)可能会发动袭击的情报,但因无法确认嫌疑人与国外恐怖组织有关,从而不能依照FISA获得对嫌疑人进行数据监控的法律授权,由此贻误了补救时机。④Senate Report No.108-040.基于委员会的调查结果,美国对数据规制的国内法律体系做出了重大调整,这主要体现在以下两个方面:
首先,对FISA做出了重大改革。改革前的FISA规定,只有当针对外国情报机构是执法部门数据收集与监控行为的“主要目的”(Primary Purpose)时,FISC才会给予法律授权;改革后,这一约束条件被改为了“重要目的”(Signi fi cant Purpose)。换而言之,只要当执法部门证明该调查与外国情报机构相关,即使其不是主要目的,执法部门也可以获得法律授权从而开展数据收集与监控。这一变化最直接的证明来自于外国情报审查法庭(Foreign Intelligence Surveillance Court,FISC)所发出的法律授权数量变化。FISC是FISA设立的专门法庭,负责对执法部门的数据监控请求做出审查。从1979年到1999年,FISC发出的法律授权数量从199增长到了886;而这一数字在2002年增长到了1228,并进一步在2003年、2004年分别增加到1727和1758。①DANIEL J.SOLOVE & PAUL M.SCHWARTZ,PRIVACY,LAW ENFORCEMENT,AND NATIONAL SECURITY (2014).p.166.
再者,《爱国者法案》(USA Patriot Act)出台。“9·11事件”发生后,美国国会即迅速通过了《爱国者法案》,该法案对随后的世界形势产生了深远影响并引起了诸多争议。就数据规制而言,最为关键的是第215节。第215节规定执法部门可以在获得授权的情况下对美国境内任何组织或个人实施数据收集与监控,同时第215节还进一步规定数据被索取方不能向其他任何人公开执法部门所索取的数据内容(也即闭嘴原则,Gag Order)。第215节随后成为NSA对通信标记数据(bulk telephone metadata)进行大规模监控的法律依据,而接受数据索取要求的通信公司或互联网公司也因此不能向媒体公开执法部门是否向其且提出了何种数据索取要求。后者对公众监督带来了极大的阻碍,直到“斯诺登事件”的爆发才泄漏出美国安全部门大规模数据监控的“冰山一角”。
在《安全港协议》的掩盖下,欧盟国家并没有注意到表面上正常运行的跨境数据流动已经发生了本质变化。自“9·11事件”之后做出重大调整的美国国内规制体系,已经不再能够对执法部门和安全部门的数据收集与监控行为施加有效约束;与此同时,由于“闭嘴原则”的存在,承诺接受《安全港协议》的美国公司即使向美国政府提交数据,其也不能按照《安全港协议》要求向欧盟规制部门提交相关报告。规制制度的冲突再次凸显,《安全港协议》名存实亡。但即便如此,数字经济全球化程度的加深已经使得跨境数据流动不可中断,如何在旧体系崩溃的情况下寻找新的国际合作机会,成为接下来的紧迫工程,而欧美再次达成的“隐私盾协议”(Privacy Shield)无疑在冲突不断的国际形势下再次给予了人们希望。
在裁定《安全港协议》无效并予以撤销的同时,欧盟表示,希望在2016年1月底之前与美国达成新的数据贸易协议;②http://techcrunch.com/2015/11/06/safe-harbor-2-talks-deadline/否则,欧盟数据保护机构将单方面宣布他们认为合适的数据跨境流动方式。③http://www.nytimes.com/2016/02/01/technology/us-european-data-transfer-deal.html?_r=0在经过艰苦谈判后,欧盟谈判组终于在同年2月初宣布与美国达成了新的框架协议(被称为《隐私盾协议》,Privacy Shield),从而暂时解决了跨境数据贸易可能陷入中断的困境。④http://europa.eu/rapid/press-release_IP-16-216_en.htm?locale=en新协议的达成时间虽然超过了欧盟设定的截止日期,但其仍然为欧美跨境数据流动的当前困境带来了曙光。
新协议的主要内容包括三个方面:⑤http://europa.eu/rapid/press-release_IP-16-216_en.htm?locale=en第一,美国公司将承担更多的数据隐私保护责任,美国商务部将监督美国公司所做出的数据保护承诺,而美国联邦贸易委员会将负责其落实。第二,美国政府给出书面承诺,保证美国执法部门只在明确限制条件和监管之下才对欧洲公民数据进行审查,从而排除了一般性、不加区分的大规模审查。为监督美国执法部门的行为,欧盟和美国商务部每年都将举行联合评估。第三,新协议为欧洲公民提供了多个渠道的救济措施。一方面,美国公司必须对欧洲公民的质疑作出回应,而欧盟监管机构可以将欧洲公民的起诉移交给美国商务部或联邦贸易委员会;另一方面,新协议将设立特别监察员职位,以应对欧洲公民针对美国执法部门的起诉。
尽管相对于《安全港协议》而言,《隐私盾协议》已经有了很大的进步,但这并不代表欧美跨境数据流动问题就一劳永逸。
一方面,新协议还将面临欧洲最高法院(Europe Court of Justice,ECJ)的审查,而是否能通过审查仍然存在较大的不确定性。数据保护活动家Max Schrems即认为“隐私保护协议”远远达不到ECJ的要求,他主张在美国没有停止大规模的网络审查之前,应该中止跨境数据流动。①http://europe-v-facebook.org/PS_update.pdf类似的,长期致力于数据保护的欧洲议会议员Jan Philipp Albrecht也认为该协议不会在ECJ上得到通过。②http://www.greens-efa.eu/eu-us-data-protectionsafe-harbour-15127.html由所有欧盟数据保护机构代表组成的欧盟数据隐私监管实体第29条工作组(Article 29 Working Group)对《隐私盾协议》也发表了最终评估意见,认定其不符合欧洲数据隐私保护原则。③http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/press_release_ shield_en.pdf尽管该评估结果仅仅只是作为欧盟委员会的参考意见,但舆论同样认为这对于新协定的最终通过蒙上了阴影。④http://www.natlawreview.com/article/privacy-shield-rejected-gdpr-accepted-what-means-to-your-organization-and-what-you
另一方面,新协议并未能从根本上解决欧美在数据跨境流动上的核心冲突。就欧盟而言,其核心利益是公民的数据隐私保护问题;就美国而言,对于国家安全的考虑仍然胜过对于公民数据隐私的保护。⑤http://fortune.com/2016/02/01/no-deal-safe-harbor/正因为此,美国国内的大规模网络审查,以及欧洲公民难以通过美国国内法院或独立机构寻求数据权利保护(相反,美国公民可以在欧洲寻求权利保护)便成为欧美之间的核心分歧。新协议中,美国政府所给出的书面承诺有助于缓解欧盟的担忧情绪,但这并不代表美国做出了根本转变,例如美国参议院司法委员会在同期通过了《司法救济法案》(Judicial Redress Act)。这一法案本来是试图允许欧洲公民在数据隐私受到侵害时可以寻求美国联邦机构的保护,但在法案通过前的最后时刻,“不得损害国家安全”这一前提仍然被加入其中。媒体认为,这一变化直接导致了新协议最终未能在截止日期之前(即1月底)达成。⑥http://fortune.com/2016/02/01/no-deal-safe-harbor/
在对《隐私盾协议》的初稿做出进一步修改后,2016年6月底欧盟最终对欧美跨境数据流动的新协议开了绿灯。最后的修改主要明确了三个方面:一是从欧洲传送至美国的大规模数据收集必须提前获得许可,且必须尽量明确目标和限定范围;二是当最初的收集目的改变时,相关公司应删除数据;三是要求对相关数据问题进行监管的监察员必须独立于美国家安全局。⑦刘耀华,石月.欧美“隐私盾”协议及对我国网络数据保护的启示[J].现代电信科技,2016,46(5):12-16.至此,欧美终于再次对跨境数据流动达成政策共识,新的国际合作再次形成。
值得注意的是,当前的国际合作仍然是脆弱且充满了不确定性。尽管诸多公司都认为,《隐私盾协议》的最终达成象征了欧美在跨境数据流动规制领域“相互信任”的恢复,但未来前景远不如看上去那么乐观。这一方面是由于美国并没有从根本上做出改变,自“9·11事件”后发生巨大转折的美国国内规制制度到目前为止并没有做出本质性的调整,因而欧美间的制度分歧仍然持续存在。另一方面,美国国内规制部门越来越多地表达了其对境外数据“管辖权”的兴趣,最明显的例子便是微软公司状告美国司法部一案。司法部为搜查某涉毒人员的电子邮件信息向微软公司索要相关数据,但该数据却存放在位于爱尔兰的数据中心。美国司法部却认为,它有权向总部位于美国境内的任何企业索要该企业用户的电子邮件内容,无论其数据是否存放在美国境内。⑧https://www.theguardian.com/technology/2015/sep/09/microsoft-court-case-hotmail-ireland-search-warrant2016年7月,美国第二巡回法院裁定微软公司胜诉,判决司法部无权要求微软提供存储在美国境外的数据。①https://www.theguardian.com/technology/2016/jul/14/microsoft-emails-court-ruling-us-government这一判决进一步缓和了跨境数据流动的规制冲突,但美国司法部门在此案中所表达出的强硬态度却仍然使得人们不得不担忧国际合作的未来脆弱性问题。
伴随着数字经济全球化程度的加深以及全球互联网日益紧密地结合在一起,跨境数据流动已经成为时代发展的必然要求;但另一方面,不同主权国家规制传统与制度环境的差异却使得跨境数据流动的规制冲突日益严重,达成政策共识的可能性日渐困难。但即便如此,本文的分析指出,在不对各国国内制度环境做出根本调整的前提下,国际合作依然是可能的。
本文并不试图对未来的政策改革提出具体的政策建议,但本文对欧盟与美国跨境数据流动国际合作演变历史的回顾,却有利于更清晰地认识全球数据治理的当前现实与核心冲突。需要指出的是,尽管凭借其商业公司的垄断地位,美国的确在全球数据治理中占据优势地位,但这并不代表在跨境数据流动领域存在美国霸权。从本文分析中可以看到,美国国内制度也在经历着复杂的动态变化,并因此对国际治理体系产生了不同影响。也正因为如此,片面强调美国霸权主义并因此倡导割裂全球数据流动的政策取向,可能并非是最优的政策选择;认识到跨境数据流动的全球不可分割性,并因此寻找政策共识和国际合作的空间与可能性,才是走向“互联互通、共享共治”的正确途径。
Con fl ict and Cooperation:Evolvement of Trans-Border Data Flows between US and EU
JIA Kai
The global expansion of digital economy has already made trans-border data flow essential and critical,while the differences of regulation and institution environment between sovereign states result in divergence and con fl icts.However,the history of EU-US trans-border data fl ow governance protocol proved the possibility of policy consensus and international cooperation without unifying different domestic institution systems."Safe Harbor" represented the initial policy consensus while "9·11" event indicated the transformation of US domestic regulations which resulted the current con fl icts.“Privacy Shield” opened new room for the fragile international cooperation.
trans-border data fl ow,regulation con fl ict,international cooperation
F49; TP393
A
1001-4225(2017)05-0057-08
(责任编辑:钟宇欢)
本文是首都师范大学文化研究院重大研究项目“互联网+城市治理:智慧城市2.0的理论与政策研究”(项目号:ICS-2016-A-03)的阶段性成果。