美歐用戶信息跨境流動政策走向預判

陳　湉　中國信息通信研究院安全研究所工程師廖　璇　中國信息通信研究院安全研究所助理工程師

美歐用戶信息跨境流動政策走向預判

陳湉中國信息通信研究院安全研究所工程師
廖璇中國信息通信研究院安全研究所助理工程師

近日，美歐用戶信息跨境流動成為用戶隱私保護領域全球關注的焦點。于2015年10月引起廣泛討論的“安全港”事件只是縮影，其背后反映了美歐用戶隱私保護法律體系和政策間難以彌合的裂痕。如何求同存異，重建雙方互信關系，構建新的數據跨境傳輸框架協議，是美歐雙方亟待解決的難題。本文通過分析美歐近年來在用戶隱私保護方面的立法動態和跨境數據流動方面雙方分歧的深層次原因，嘗試預判后“安全港”時代美歐數據跨境傳輸的政策走向。

美國；歐盟；用戶；隱私保護；數據跨境流動

1“安全港”事件回顧及后續進展

“安全港”（SafeHarbor）協議，是2000年美國商務部與歐盟簽訂的用于保護歐盟和美國之間傳輸的個人數據隱私安全的框架協議（“安全港”協議包含一系列隱私原則，包括通知、選擇、數據轉移、數據獲取、數據安全、數據完整以及執行等七大原則，用以保護個人數據）。協議達成后，擁有發現和確認第三方國家是否達到充分保護要求的歐盟委員會（European Comm ittee，簡稱“歐委會”）通過了“2000/520號歐盟決定”，確認“安全港”隱私原則以及附屬條款對個人數據的保護達到了歐盟指令的充分保護要求。受此決定影響，獲得“安全港”認證的美國企業可以合法收集、傳輸歐盟公民個人數據，歐盟成員國對于數據轉移的事先批準被取消或者自動授權。注：1995年歐洲《數據保護指令》提出“充分保護標準”是歐盟公民個人數據存儲或者傳輸到第三方國家的前提條件。歐委會被授權結合數據轉移的具體環境及條件、數據性質、數據處理的目的和期限、數據的來源國與傳輸目的國、目的國的法律規定、職業準則、數據安保措施等因素，審查并決定第三方國家的國內法或國際承諾是否能提供充分保護。目前，歐委會已就安道爾、阿根廷、加拿大（商業機構）、法羅群島、格恩西島、以色列、馬恩島、澤西島、新西蘭、瑞士、烏拉圭和美國等國做出充分性裁決。至今，5000多家美國企業主動加入“安全港”，享受因此帶來的諸多好處。“安全港”協議對于美歐投資貿易便捷增效，尤其是中小企業成長壯大形成了巨大的正面激勵作用。

然而，“安全港”協議自簽訂以來，一直受到歐盟委員會、歐洲議會、歐盟成員國的嚴重懷疑。“斯諾登”事件后，歐盟對“安全港”協議的質疑更加強烈。最終，由奧地利公民Schrems起訴Facebook濫用個人信息案引發，歐盟最高法院于2015年10月6日做出裁決“2000/ 520號歐盟決定”無效。這意味著歐委會無法再為基于“安全港”協議的美歐數據傳輸進行背書，美國企業再不能直接援引“安全港”協議支持其收集、傳輸歐盟公民個人數據的合法性，“安全港”協議名存實亡。

隨后，歐盟數據保護監管機構（第29條工作組）要求美國與歐盟在2016年1月底前完成新“安全港”協議的協商和簽訂，否則將對美國企業采取必要的監管措施。

為回應歐盟最高法院的裁決，積極推動新“安全港”協議的簽訂，美國眾議院于2015年10月20日通過了一項司法救濟法案，歐盟公民能夠同等享有1974年《隱私法》賦予美國公民的權利，包括起訴美國聯邦部門濫用個人數據的權利，部分解決了美國個人隱私保護法律體系不健全的問題。

然而，今日現任法國數據保護機構國家信息與自由委員會（CNIL）主席和第29條工作組主席的伊莎貝爾·法爾奎·佩隆迪接受采訪時表示，現在的問題不是在特定時間內制定出第二個安全港協議，而是需要美國發出一些政治信號，解決歐洲公民個人數據在美國被情報機構濫用的問題。美國剛剛通過的司法救濟法案，并未涵蓋情報安全及公共安全，因此佩隆迪表示達成一項政府間協議或是在美國法律中對情報機構制定具有約束力的規定是有必要的。

2　美歐用戶隱私保護立法動態

（1）歐盟

歐盟長期以來一直對用戶隱私保護持激進態度，將公民隱私權定義為一項基本的憲法權利。歐盟1995年制定的《數據保護條例》不僅奠定了歐盟用戶隱私保護方面統一立法的格局，而且制定了在當時最充分、最嚴格的用戶隱私保護原則。

為了應對大數據、云計算、移動互聯網等信息技術對用戶隱私數據保護的新挑戰，并且確保歐盟規則的前瞻性，歐盟委員會開始重新審視1995年的《指令》（《保護個人享有的與個人數據處理有關的權利以及個人數據自由流動的指令》，簡稱“指令”），并于2012年1月提出了改革草案。經過歷時4年的多次修正與折中，2015年12月15日，歐委會與歐洲議會、歐盟理事會三方機構在立法進程的最后階段終于就歐盟數據保護改革達成一致，其核心改革成果——《一般數據保護條例》（General Data Protection Regulation，GDPR）預計2016年年初正式發布。

《一般數據保護條例》正式生效后，歐盟數據保護立法將由指令上升為法規，直接適用各成員國，解決1995年《指令》因為法律層級不夠導致的成員國之間數據保護法律制度碎片化的問題。在用戶隱私保護原則方面，《一般數據保護條例》比1995年的《指令》又向前邁進一步，提出了公民基本數據權利概念（A Fundamental Right for Citizens），進一步加強了歐洲公民對個人數據的控制能力：強化了“知情同意”原則，要求同意必須“明示”（注：同意必須基于數據主體的一個或多個特定目的，并且已經給予控制者處理數據的同意，數據主體必須自愿給出詳細的表明其同意的說明，說明必須是明示的，包括書面聲明或明確肯定的行動表示，緘默或不行動不構成同意）；公民的數據權利進一步擴張，明確賦予了本人數據的易訪問權、數據可攜權、數據被遺忘權以及數據遭泄露的知悉權。

（2）美國

美國的用戶隱私保護法律體系是分散的，覆蓋了憲法、聯邦、各州等層面，區分公共領域和非公共領域的用戶隱私保護，不同行業有專門立法規制用戶數據控制者。隨著大數據時代的到來，數據收集變得無處不在和難以察覺，數據處理專業化、多樣化增強，數據泄露的風險增大，奧巴馬政府認為建立在“告知與同意”框架基礎上的隱私保護法律體系已經不能在大數據時代有效保護用戶隱私，需要從政策、法律、技術等方面提出更符合大數據運作特點的、不會阻礙大數據技術和應用發展的、更具可操作性的改革方案。

為此，美國白宮于2012年發布《網絡世界中消費者數據隱私：全球數字經濟中保護隱私及促進創新的框架》（Consumer Data Privacy in A Networked World：A framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy），在該報告中正式提出《消費者隱私權利法案》（簡稱“法案”）。2015年2月，美國白宮再次公布一項立法草案，希望將《法案》上升為法律，以確定美國隱私保護的整體法治框架。《法案》吸納了OECD、歐盟《指令》中一些已經被廣泛接受的隱私保護原則，提出了自己的7項隱私保護原則（個人控制、透明度、情景一致、安全、接入權和準確性、收集控制、問責制），一方面加強了“告知與同意”框架，一方面更加關注數據的使用，強化了數據控制者在數據保護與處理方面的安全責任，同時強調了事后問責制。《法案》提出的原則基本代表了美國政府解決大數據時代隱私保護問題的一般思路。

3　雙方分歧的深層次原因

實際上，美歐在用戶信息跨境流動問題上的分歧與博弈可以看作是雙方維系各自網絡空間控制權的突出表現。近年來，亞太地區信息經濟市場異軍突起，一方面龐大的市場空間不斷吸引全球企業投資開辦業務；另一方面中國、印度等新興經濟體自身產業競爭力不斷增強，如阿里巴巴、騰訊等中國企業已經成為服務全球的互聯網巨頭。信息經濟的強勢發展帶動了這些國家網絡空間國際話語權的提升，全球網絡空間和互聯網治理格局的重心開始向亞太地區轉移。而作為傳統強國的歐洲國家，為了挽回即將“失勢”的局面，必須將自身從美國的“追隨者”轉變成為全球網絡空間游戲規則的“制定者”，以“上位者”的身份鞏固網絡空間話語權，抗衡新興力量崛起，而用戶信息保護是歐盟實現這一戰略目標的核心突破口。

然而，歐盟的強勢做法觸犯了美國的核心利益。在經濟、軍事實力出現衰退征兆之際，國際網絡空間絕對的影響力和話語權成為美國維持“一超獨強”的關鍵。美國早在2012年發布《網絡空間國際戰略》時，已經判斷信息自由流動、全球互聯網一體化是其掌控國際網絡空間的核心原則。所以，美國絕對不允許全球互聯網的巴爾干化。此外，歐洲是美國互聯網企業的主要市場之一，美歐用戶信息跨境傳輸規則體系具備一定示范效應，可能影響到美國構建的其他區域性數據跨境流動體系，因此美國也絕對不會放棄美歐之間的信息自由傳輸。

4　未來政策走向的預判

在歐盟第29條工作組限定的最后期限即將到期之際，歐盟與美國初步達成了新的個人信息跨境傳輸安全框架協議——“隱私盾”協議。目前，新協議還需等待第29條工作組和歐盟委員會的評估和最終確認，才能夠正式生效。美歐將繼續在新框架下實現用戶數據跨境流動已成定論，新框架對用戶隱私保護的具體政策以及美歐在此問題上談判的最終結果會如何，本文嘗試做出如下判斷：

（1）歐盟將借此機會向外界輸出《一般數據保護條例》中的公民基本數據權利

歐盟作為數據提供者，從談判籌碼上占據了優勢地位。為了成為全球用戶隱私保護和跨境數據流動規則的制定者，歐盟會抓住這一機遇要求美國按照《一般數據保護條例》中的規定保護歐洲公民的基本數據權利，如果借此影響到美國用戶隱私保護相關的法律法規制定，將更有利于歐盟向其他國家推行用戶隱私保護的一系列理念和舉措，進而影響其他雙邊或區域性跨境數據流動體系。

（2）美國為保證信息自由流動會作出讓步，但不會無條件滿足歐盟的要求

近兩年，美國已經為保護歐洲公民數據在美國的隱私安全做出了不少努力，今后甚至會犧牲掉部分情報機構的監聽權益來取得歐盟的信任。但是，美國的努力方向是加強司法救濟和限制情報機構權利，對于歐盟公民基本數據權利，美國不會“照單全收”。用戶隱私和公共利益往往是相互沖突的，如何平衡兩者關系，美國與歐盟采取了截然不同的原則。歐盟采用充分利益原則，即使犧牲部分公共利益，也要保護公民隱私；美國則采用實質損害原則，綜合考量保護用戶隱私和市場效率、提供優質服務等之間的影響，更加鼓勵信息自由流動。因此，類似于“明示”同意、數據被遺忘權等《一般數據保護條例》中增強用戶控制數據能力的舉措，美國會根據實質損害原則進行考量，完全采納的可能性不大。

實際上，美歐最新的用戶隱私保護立法工作已經顯示：雖然雙方用戶隱私保護原則基本一致，但是在制定法律的關注重點、用戶隱私與公共利益平衡等方面，雙方分歧嚴重。新的“隱私盾”協議能否在充滿分歧的背景下順利實施，免于重蹈其前身“安全港”之覆轍，尚屬未知，筆者并不持樂觀態度。

［1］姚朝兵.個人信用信息隱私保護的制度構建——歐盟及美國立法對我國的啟示［J］.情報理論與實踐，2013，03：20-24.

［2］王融.大數據時代歐盟新規能否重建數據保護新秩序［J］.中國信息安全，2016，01：125-127.

［3］李明.“大數據時代”的美國隱私權保護制度［J］.互聯網金融與法律，2014，9.

［4］潘建珊.實質損害原則——美國信息隱私保護利益平衡原則［J］.情報科學，2007，11：1723-1728.

The Prediction of Cross-Border Flow of User Data between European Union and the United States

ChenTian，LiaoXuan

Recently，the cross-border flow of user data between European Union and the United States become a hot issue in the field of user privacy protection allover the world.“Safe Harbor”agreement，which was widely discussed in October2015，is an epitome，reflecting the big divarication about the legal and policy system of privacy protection between EU and USA.It is the top mission that how to share a common interest while reserving differences，rebuild mutual trust between the two sides，construct a new cross-border transmission framework of user data，both for EU and USA.In this paper，by analyzing privacy protection legislation of the United States and Europe in recent years and the ultimate reasons of the difference attitudes hold by the two sides in cross-border data flow，the authors tried to predict the future policy of cross-border transmission of user data between the sides after“Safe Harbor”era.

the United States；European Union；user privacy protection；cross-border data flow

2015-12-10）