歐美跨境數據流動規制:沖突、協調與借鑒
——基于歐盟法院“隱私盾”無效案的考察

單文華,鄧 娜

(西安交通大學 法學院,陜西 西安 710049)

歐盟是美國重要的數字貿易伙伴,2000—2020年,美國依靠《安全港協議》和《隱私盾協議》實現了歐盟公民個人數據持續向美國流動。多年以來雙方之間的數據流動雖然不乏波折,但是總體比較穩定(1)雖然《安全港協議》于2015年10月被歐盟法院判定無效,但是歐美雙方很快重新達成了《隱私盾協議》,并于2016年7月生效。。不過,由于歐盟和美國數據法律體系差異較大,雙方在數字經濟的發展上存在根本利益沖突,所以跨大西洋數據傳輸機制具有先天的脆弱性。最終,《隱私盾協議》難逃和《安全港協議》同樣的命運,于2020年7月被歐盟法院判定無效。通過對《隱私盾協議》無效案的剖析,可以管窺歐美之間數據跨境流動存在的深層問題,了解國際數據保護立法的主要趨勢,為我國制定符合國際潮流和現實國情的數據保護及跨境數據流動法律體系、推動國際數據治理提供有益借鑒。

一、歐美跨境數據流動的安排緣起

歐盟數據向外流動主要依賴充分性認定機制。歐盟委員會在評估第三國或地區的法律法規、司法系統、人權保護狀況、國防及國家安全體系等因素后,如果認定其數據保護體系強勁有力,能達到與歐盟法“實質等同”(essentially equivalent)、并不要求“完全一樣”(identical)的保護水平,歐盟可單方面發布對該國的充分性認定決定,如此則數據可以自由地從歐盟傳輸至該國境內所有的經濟組織,包括私人企業[1]。鑒于歐盟數據保護的高門檻和高標準,能得到“充分性認定”的國家并不多(2)目前得到歐盟充分性認定的一共有13個國家和地區,包括加拿大、日本、阿根廷、安道爾、以色列、新西蘭、瑞士、烏拉圭、法羅群島等。。由于美國缺少綜合性的聯邦隱私立法,其數據保護狀況未能得到歐盟一攬子的充分性認定。于是,《安全港協議》和《隱私盾協議》應運而生。

(一)《安全港協議》的產生及要旨

歐美一直是重要的數字貿易伙伴,數據交流頻繁,歐美雙方一直在探索靈活又實際的方式以消除雙方數據流動的阻礙。歐盟自1995年《數據保護指令》開始限制個人數據向第三國轉移。歐美雙方于1998年起開始磋商《安全港協議》,試圖為歐盟公民數據向美國的自由流動創造便利條件,雙方于2000年達成《安全港協議》,借此美國得到了歐盟“局部性”的充分性認定。實際上,美國是唯一沒有綜合性隱私法律卻仍然享受了歐盟充分性認定待遇的國家[2]。“安全港”機制自2000年7月開始實施,一直到2015年10月失效,極大促進了歐美之間商業性的數據流動。

《安全港協議》包含了一系列數據保護原則,私人企業可以申請加入并且承諾履行相應義務,以此換取歐美間不受限制地傳輸數據的權利。經過《安全港協議》認證的美國公司必須執行比美國法律要求更加嚴格的數據保護標準。盡管如此,美國的企業乃至整個數字經濟,都能借助“安全港”機制享受充分性認定帶來的實質性收益。美國的科技公司利用歐美間不受限制的數據流動開發出了瞄準歐洲市場的商業模式,帶來了巨大的經濟效益。

(二)SchremsⅠ案與《安全港協議》的失效

2013年斯諾登事件爆發后,奧地利法學學生Max Schrems就其Fackbook數據轉移到美國時并未得到充分保護為由,向愛爾蘭數據保護委員會(Data Protection Commissioner,DPC)提出投訴。當時歐美之間實行的是2000年簽訂的《安全港協議》。案件被移交至歐盟法院后,法院認為美國將法律執行和國家安全置于隱私保護原則之上,《安全港協議》并不能確保歐盟公民數據在美國得到充分保護,從而判定其失效。

(三)《隱私盾協議》的產生與要點

《安全港協議》的無效嚴重擾亂了歐美之間多年穩定的數據流動秩序,成為雙方的重大關切。于是,雙方緊急磋商達成了新的《隱私盾協議》,并于2016年7月開始實施。該協議完善了《安全港協議》的部分規則與實踐,可以說是《安全港協議》的改進替代版。此后,“隱私盾”機制繼續維系著歐美之間的數據流動,先后共有5 300多家企業加入其認證體系(3)此為“隱私盾”官網公布的數據。。在《隱私盾協議》中,較之《安全港協議》,美國作出了不少妥協和讓步。例如該協議首次要求美國政府向歐盟遞交書面說明,保證其在維護國家安全、保障公共利益以及執行法律的過程中有明確的權力范圍及監管機制,并且設立了監察員制度,監察員的主要職責是處理歐盟公民的個人數據在美國境內受保護的訴求(4)“隱私盾”的監察員是Keith Krach,為美國經濟增長、能源和環境部的秘書。。該制度不僅適用于通過《隱私盾協議》從歐盟轉移到美國的個人數據,也涵蓋基于商業目的通過“標準合同條款”(standard contractual clauses,SCCs)、“約束性公司規則”(binding corporate rules,BCRs)等方式轉移到美國的數據[3]。此外,《隱私盾協議》還設立了由歐盟委員會和美國商會共同執行的年度聯合審查機制。2017—2019年,對《隱私盾協議》的實際執行情況一共進行了3次年度審查。不過,雖然《隱私盾協議》看似比《安全港協議》更加具體完善,但是并未要求美國當局修訂其國家安全和數據隱私方面的立法,因而無法從根本上阻止美國國家安全局(NSA)和其他情報機構以違背歐盟法律原則的方式對歐盟公民實施監控。歐盟公民個人數據在美國境內受保護的情況未能獲得實質性改變,最終導致該協議也被歐盟法院判定無效。

二、SchremsⅡ案與歐美跨境數據流動的問題分析

(一)SchremsⅡ案概覽

《隱私盾協議》無效案與2015年判決《安全港協議》失效的SchremsⅠ案一脈相承,故稱為SchremsⅡ案。當年《安全港協議》失效以后,Facebook改用SCCs作為向美國傳輸歐洲公民數據的合法途徑。2015年底,Max Schrems再次向DPC投訴,以相同理由要求暫停Fackbook使用SCCs。該案審理期間,歐美雙方重新簽訂了《隱私盾協議》作為《安全港協議》的替代和延續。所以,在向歐盟法院移交案件時,除了SCCs的合法性問題,愛爾蘭高等法院也對《隱私盾協議》的有效性提出了質疑。歐盟法院經過調查后認為美國政府機構對個人數據的訪問權沒有限制在“必要”和“適度”的范圍內,而且對此歐盟公民在美國缺乏獲得司法救濟的有效途徑,最終于2020年7月判定《隱私盾協議》無效(5)本部分關于SchremsⅡ案的概括介紹,主要參考歐盟法院Data Protection Commissioner v.Facebook Ireland Limited,Maximillian Schrems一案的判決書(Case C-311/18)。。但是,法院并未裁定SCCs無效。

歐盟對美國繁密多重的國家安全法律及大規模監控體系能否與歐盟法律原則兼容心存疑慮,其中最擔心的是美國政府可以任意訪問歐盟公民的個人數據,而歐盟公民對此缺乏有效的法律救濟措施。歐盟法院在《隱私盾協議》無效案的判決中,多次表示美國國家安全體系及情報收集活動侵犯了歐盟公民的基本權利,而且美國的法律體系無法為歐盟公民提供與《歐盟基本權利憲章》(以下簡稱為《憲章》)“實質等同”的保護。在美國眾多的國家安全法案與情報機制中,與歐盟個人數據保護沖突最明顯的當屬美國1978年《外國情報監視法案》(ForeignIntelligenceSurveillanceAct1978,FISA)第702條和美國第12333號行政命令(ExecutiveOrder12333,EO12333)。FISA第702條規定,情報部門可以實行大規模監控,包括對處于美國境外的非美國公民的監控,從而為美國的“棱鏡”(PRISM)和“上游”(UPSTREAM)監控計劃提供了法律基礎。盡管FISA第702條確立了“最小化”原則,并且規定NSA只能對經過“選擇器”(selector)篩選的具體目標實施監控,但是美國公民自由協會指出,“選擇器”的設計初衷只為防止美國公民的通信被不正當監控,情報機構仍然可以輕易隨機鎖定抓取任一非美國公民的個人數據[4]。EO12333于1981年由美國前總統里根簽署,為美國當局設置了新的更加廣泛的監控權限,同時為NSA許多超出公共安全目的的監控行為提供了法律依據。EO12333允許NSA通過訪問跨大西洋水底電纜來攔截從歐洲向美國傳輸的“在途”數據,因為這些數據到達美國境內之后將受到FISA管轄,所以NSA提前將其截留保存[4]。而且,NSA根據EO12333作出的情報收集活動不受其他法律約束,也不接受司法監督和審判。歐盟一直認為尊重私人生活和保護個人數據是一種基本人權,關系到人的尊嚴與自由,自然難以容忍美國以國家安全之名實施大規模監控和非法采集他國公民個人信息的行為。數據主體的權利在歐盟受到最高級別即憲法層面的保護。宏觀來看,《通用數據保護條例》(GeneralDataProtectionRegulation,GDPR)中規定的數據傳輸機制也受制于《憲章》第7條、第8條規定的人權保護義務。

斯諾登事件后,美國前總統奧巴馬頒布了《美國總統政策指令28》(PresidentialPolicyDirective28,PPD28),對美國當局情報活動施加了一些限制,為非美國公民遭遇情報機構監控提供了一定的隱私保護。該指令籠統地規定情報收集必須根據法律或者總統授權,還要求情報活動應“盡可能地量身定制”(as tailored as feasible)。歐盟法院認為這些規定過于簡單,形式大于內容,不足以保護歐盟公民根據《憲章》第7、8條享有的基本權利。當歐盟公民遭遇美國當局非法處理其個人數據時,也無法獲得與美國公民相同的救濟措施。因為在美國法律體系中,憲法第四修正案是對抗非法監控最重要的訴因和最有效的手段,而憲法修正案不能適用于與美國沒有重大自愿聯系(significant voluntary connection with the U.S.)的歐盟公民。雖然歐盟公民還可以采取一些其他的救濟措施,但是實施起來也將面臨實質性的障礙(6)例如,根據美國憲法第三條,任何向聯邦法院提起訴訟的原告必須首先證明其具有充分的“訴訟資格”(standing),要求其證明已經遭受實際傷害(injury),并且這種傷害是具體且緊迫的(concrete and imminent)。歐盟法院認為美國最高法院對Clapper v.Amnesty International一案的判決足以說明歐盟公民在現實中很難滿足“訴訟資格”所要求的條件,尤其考慮到美國當局沒有任何義務告知數據主體針對他們所采取的監控措施。此外,情報機構的主權豁免權和有關信息的分類等也構成了歐盟公民行使某些救濟措施的障礙。。此外,歐盟法院指出,“隱私盾”體系設立的監察員機制,并非《憲章》第47條意義上的法庭,因為其隸屬于行政部門,缺乏“獨立性”。總體來說,美國國家安全法律不能有效約束情報部門的行為,對個人數據的監控存在任意性和普遍性,這與歐盟數據保護的原則明顯相悖。歐盟不僅通過GDPR在境內對個人數據提供嚴格保護,并且借助充分性認定機制、SCCs和BCRs等機制確保歐盟公民的個人數據無論處于何地都能受到與歐盟立法相當水準的保護。如果經評估后認為第三國的法律和實踐可能影響這些機制的有效性,歐盟就會要求數據出口方采取必要的補充措施(7)歐洲數據保護委員會(EDPB)在2020年11月發布的《補充轉移工具措施指南》中以非窮盡的方式列舉了GDPR第46條的補充措施,將具體場景區分為有無有效措施兩大類別。。歐盟不愿意承擔數據出口至美國后的不確定性給數據主體權利帶來的風險,對個人數據的保護水平持續保持高度警覺。如果最終沒有合適的補充措施確保與歐盟相當水準的保護,則寧可選擇避免、暫停或者終結該數據傳輸。盡管歐美經貿往來密切,歐盟法院堅持優先考慮隱私和數據權利的保護,而不是數據跨境流動帶來的經濟收益。雖然美國政府、歐盟委員會以及大多數歐盟成員國都極度希望保留“隱私盾”這一非常高效有用的數據傳輸機制,但是現實情況已經超出了他們的控制范圍。

(二)歐美數據保護體系的系統性差異

“隱私盾”的失效是歐美兩大數據治理陣營激烈碰撞的結果,反映出雙方數據保護體系存在系統性差異。這些差異主要表現如下:

1.歐美對數據保護理念與定位之差異

歐盟法律體系的典型特點是以權利保護為導向,數據主體的權利被上升為基本權利,得到了憲法層面強有力的支持。歐盟法院在司法實踐中堅定地捍衛這種權利,其法律依據除了《憲章》第7、8條以外,還包括《歐洲人權公約》第8條尊重隱私生活的規定,并且得到了歐洲人權法院的支持,由此在整個歐盟奠定了不能將數據保護交由自由市場支配的理念。

美國在理念上崇尚新自由主義,對數據隱私的保護秉承放任和不干涉的態度。歷屆美國政府都優先保障創新和技術進步,提倡各行業的自治,不愿實質性地限制企業行為[6]170。20世紀90年代,克林頓政府甚至力圖將美國的行業自治理念推廣為全球標準。歐盟1995年的《數據保護指令》對個人數據向歐盟境外流動施加了限制,被認為給跨大西洋的貿易帶來了不利影響,在美國曾一度遭受質疑[5]130。美國憲法第一修正案禁止任何削弱言論自由的法律,通常被用來限制數據主體的權利。例如,佛蒙特州的數據隱私法案禁止藥房和健康保險公司在未經患者同意的情況下出于商業目的使用和出售患者個人信息,最高法院認為該項規定限制了藥房和健康保險公司的言論自由,所以依據憲法第一修正案于2011年廢除了該隱私法案[6]107。某種意義上說,憲法實際上強化了數據處理者的權利。總體來說,美國主張以市場為導向,規定聯邦貿易委員會(Federal Trade Commission,FTC)在自由平等的市場環境下保護消費者免受不公平待遇,其法律體系更加傾向于保護數據處理者而不是作為消費者的數據主體的利益。

2.歐美數據保護法律體系之差異

歐美在理論上對數據保護的不同認知給雙方相關法律體系帶來了重要差異。歐盟的數據保護法律以GDPR為代表,這是一部綜合性的覆蓋了所有經濟領域的法律,適用于任何出于商業目的對個人數據處理和使用的情況,而且GDPR在整個歐盟的數據保護標準是一致的,可以直接適用于各成員國。美國的數據隱私體系高度碎片化,缺少一部統領性、綜合性的能覆蓋所有經濟部門和所有商業數據處理的數據隱私立法,數據隱私保護規則分散于不同行業的不同法規中,而且分屬于不同的監管主體(8)聯邦在醫療、教育、通信、網絡安全、兒童數據保護等特定領域頒布了專項法律,并在其中明確了個人數據處理和使用的規則。美國重要的聯邦隱私法律有1970年的《公平信用報告法案》、1974年的《隱私法案》、1986年的《電子通信隱私法案》、1988年的《音像隱私保護法案》、1996年的《健康保險攜帶和責任法案》、1998年的《兒童在線隱私保護法案》、1999年的《金融現代化法案》、2009年的《健康信息技術促進經濟和臨床健康法案》等。。這些法律覆蓋的經濟部門總體較少,其通過多是為回應特定事件和具體關切。美國各州保護數據隱私的法律和規定也各不相同,加利福尼亞州、內華達州和緬因州分別通過了綜合性的數據隱私立法,另外還有13部相關法律則處在州議會審查階段(9)RIPPY S.US state privacy legislation tracker[EB/OL].(2021-07-08)[2021-07-10].https:∥iapp.org/resources/article/us-state-privacy-legislation-tracker/#:～:text=IAPP.。雖然許多歐盟成員國也有獨立的數據保護法律,但是這些法律要么出于利用GDPR第49條的義務減免,要么旨在進一步強化GDPR的保護要求[2]4。與美國分散多樣的數據隱私立法相比,歐盟這種協調統一的數據保護框架更容易被企業遵循,同時也極大促進了歐洲境內數據的自由流動。此外,GDPR管轄范圍很廣,企業在歐盟境內處理個人數據,或者雖然在歐盟境外但是仍涉及對歐盟公民個人數據的處理,都應當遵守GDPR的規定,與美國的數據隱私法律相比有明顯更強的域外效力。

GDPR域外適用廣泛且法律模式可移植性高,加上歐盟較強的經濟實力,目前全球已經頒布數據隱私法律的134個主權國家中,以歐盟為參照的占據絕大多數,可以說GDPR樹立了全球數據保護的標桿(10)GREENLEAF G.Countries with data privacy laws:by year 1973—2019[EB/OL].(2019-06-03)[2020-11-12].https:∥ssrn.com/abstract=3386510.。而美國對全球隱私標準的建立和發展幾乎沒什么影響力,在該領域明顯落后于歐洲,并且美國幾乎所有的科技巨頭企業都必須遵守GDPR。美國各州隱私法案中最亮眼的當屬2020年1月生效并于2020年11月修訂的《加州隱私權法案》(CaliforniaPrivacyRightsAct,CPRA)。修訂后的CPRA成立了專門的獨立的數據保護機構、擴大了“敏感個人信息”和兒童數據的范圍、明確了數據保留政策的職責并增加了消費者權益的選擇[8]。CPRA在個人數據的定義、數據主體的權利類型、專門的數據保護機構等方面與GDPR有明顯的相似性,但是其適用范圍僅局限于加州。美國聯邦層面仍然缺乏統一的數據保護法,與在歐盟全境統一適用的GDPR相比顯然處于弱勢地位。美國目前已有制定聯邦隱私立法的計劃,但是很有可能會突破CPRA框架,因為“共和黨人不會希望加州為整個美國的隱私數據保護設定標準”[2],因此其前景尚難預料。

3.歐美數據法律實施體系之差異

歐盟每個成員國都設有專門的獨立的數據保護機構(data protection authority,DPA),主要任務是執行歐盟的數據保護法律,其權力廣泛,能對任何違反GDPR處理歐盟公民數據的企業或組織處以罰款,金額上限為2 000萬歐元或者該企業全年全球營業總額的4%(取兩者中的較高者)[1]。此外,在歐盟不僅個人能獨立向DPA提起訴求,而且DPA按照規定必須調查所有收到的投訴請求[2]5。

相比之下,美國沒有實施綜合性的聯邦隱私法律,也并未設立專門的隱私保護機構,聯邦的數據隱私法律由FTC實施。FTC并非為管理數據隱私而專門成立的機構,而是主要負責處理企業不正當競爭和欺詐消費者行為的國家機關,所以保護數據隱私的權力比較有限。根據《聯邦貿易委員會法》規定,FTC只能對企業“不公平和欺詐性商業行為”罰款,而公民不能根據該法案提起私人訴求,因此有人批判美國在保護數據權利方面過于被動[2]6。不過,FTC近年來對隱私法律的實施和執行越來越積極,相關部門的工作人員數量越來越多,為在有限的權力空間內最大限度實現隱私規管發揮了創造性作用。自1997年以來,FTC一共處理了超過270件隱私相關案例,近年來又據此對眾多企業罰款,包括Facebook、劍橋分析公司、Google、Paypal等公司。

在一定意義上,美國數據隱私法律的執行力度強于歐盟。由于《聯邦貿易委員會法》和美國其他法律對違法違規企業的罰款金額沒有設置上限,FTC于2019年開具了兩筆巨額罰單,一是因劍橋分析公司丑聞對Fackbook罰款50億美元,二是因泄露1.43億位消費者的個人信息對美國征信巨頭Equifax罰款7億美元,這兩筆罰單金額遠遠超過了迄今為止GDPR開出的任何一筆罰款金額(11)GDPR下目前最高的兩筆罰款都由英國信息委員會辦公室(Information Commissioner’s Office)開出,金額分別為對英國航空公司的1.83億英鎊和對萬豪國際集團的9 900萬英鎊。。相比于FTC的敢作敢為,歐洲的DPA一直以來因資源匱乏、效率低下、不夠強硬而廣受詬病。大約一半的歐盟DPA每年的財政預算在500萬歐元及以下,主要來源于相應成員國的政府撥款,這些DPA往往因為財政緊張而只能雇傭極少量技術專家(12)愛爾蘭的數據保護委員會是個例外,因為許多美國科技巨頭屬于其管轄范圍,但目前為止其尚未依據GDPR作出過重大罰款。。而且,與FTC相比,雖然歐盟DPA的權力更加廣泛、執法理由更加多樣,并且理論上能采取更加強有力的執法措施,但是從歐盟DPA以往的執法實踐來看,其對科技巨頭疑似或者明顯違反GDPR的行為未能采取重大執法行動,而且似乎也不愿意開具高額罰單。

(三)歐美數據流動規制矛盾的根源

《隱私盾協議》被判失效表面上是為了防止美國政府對歐盟公民的監控,實質上可以說是歐盟憑借其數據隱私規則話語權對美國進行的一種牽制,目的在于打破美國在數字經濟領域的技術霸權,實現歐盟重新奪回“技術主權”(13)歐盟委員會主席烏爾蘇拉·馮德萊恩曾明確表示,歐盟必須重新奪回自己的“技術主權”(technological sovereignty),“技術主權”是指“歐盟必須根據自己的價值觀并遵守自己的規則來做出自己的選擇的能力”。的愿望。“技術主權”之爭可以說是歐美在數據流動問題上的根本矛盾所在。

當今世界是數據主權和數據資源爭奪的時代。歐盟的互聯網科技產業基礎薄弱,在全球數字經濟中的市場份額與其經濟實力并不匹配(14)根據聯合國發布的《2019年數字經濟報告》,中國與美國占全球70個最大數字平臺市值的90%,而歐洲在其中的份額僅為4%。。與此相反,美國科技公司在全球處于壟斷地位,少數幾家科技巨頭掌握了全球大部分數據。而且,目前大量美國互聯網企業擁有廣大的歐洲市場,并在歐盟成員國境內建立了歐洲總部,在互聯網及數字技術上較之歐盟本地企業具有較大優勢。美國互聯網巨頭的崛起與“監控資本主義”息息相關。監控資本主義是一種以大數據為基礎的互聯網商業系統,個人數據是該系統內企業增值盈利的核心所在。Google、Fackbook等互聯網巨頭在網絡上監控并收集用戶留下的大量信息,建立相應模型對用戶的偏好和行為做出分析預判,然后將這些數據出售給需要精準投放廣告的買家。這種商業模式迅速在全球的互聯網公司中流行開來,最終形成了“監控資本主義”(Surveillance Capitalism)(15)該理論2015年由美國學者Shoshana Zuboff提出。。監控資本主義的馬太效應非常明顯,大型互聯網科技公司擁有大量用戶,積累了海量數據,可以對用戶進行更精準的分析畫像,從而開發出更有競爭力的產品和服務。數據優勢同時帶來強大的市場支配力。大型互聯網公司可以單方面為數據的訪問和使用設置規則并施加條件,并將這種優勢向新市場拓展。放任美國監控資本主義的發展不僅會擠壓其他各國互聯網企業的生存空間,而且隨著世界范圍內的數據越來越向美國的互聯網巨頭集中,各國將進一步喪失對本國數據的控制能力,這意味著各國的獨立自主和安全也可能受到威脅。

歐盟應當如何抗衡美國強大的監控資本主義?《隱私盾協議》的失效或許只是一個開始。歐盟擁有完備的個人數據保護制度,也善于在全球市場中采取單邊規制,迫使世界其他國家和地區接受與其相同的規則標準,進而增強歐盟在國際規則制定中的主導權和影響力(16)歐盟的這種做法被一些學者冠名為“布魯塞爾效應”。。GDPR在強化數據主體權利的同時增加了數據控制者的義務,目的不僅是為保護歐盟公民的數據權利不被侵犯,更是為防止美國和其他國家利用數據優勢地位威脅歐盟成員國的國家安全和主權獨立[9]115。歐盟嚴格的數據保護制度給其經貿伙伴帶來重大挑戰,迫使他們在增加合規成本的同時面臨不確定的執法,甚至可能延誤進入歐盟市場的時機,從而為本土企業同外國科技互聯網企業的競爭博弈增加了籌碼,為歐洲數字企業的崛起創造空間。而對于其他國家和地區,尤其是互聯網企業最具競爭力的美國和中國,GDPR事實上產生了貿易保護主義的效果,形成了數字經濟時代的新型貿易壁壘[10]。

為了保證歐盟抓住數字經濟發展的機遇,歐盟委員會提出了“技術主權”戰略,于2020年2月連續發布了《塑造歐洲數字未來》《歐洲數據戰略》和《人工智能白皮書》三份戰略文件,確保歐盟對數據基礎設施、網絡和通信等關鍵技術的部署、研發及應用具備完全自主的控制能力和恢復能力,并最終實現歐洲的數字化轉型。這些關鍵能力的建設將有效減少歐洲對其他地區關鍵技術的依賴,增強歐洲在數字化時代設定自身規則和價值觀的能力。為了保證歐盟的價值觀及經濟社會模式免受外來的影響、威脅和破壞,歐盟領導人一致認為歐洲數字化轉型的設計和本質都應當是歐洲式的,為此他們極力為歐洲發展建設自身的關鍵能力創造條件。歐盟還持續利用反壟斷工具削弱美國互聯網巨頭在歐洲境內的“壟斷性存在”,同時大力推行“數字稅”將美國巨頭攫取的歐洲紅利留在歐洲。歐盟表達了對于建立統一規范化數字市場、把握數字經濟主權的強烈愿望,迫切希望在數字經濟領域能成為與美、中比肩的第三極[11]。

三、后《隱私盾協議》時代的歐美跨境數據流動

(一)歐美跨境數據流動矛盾依舊

《隱私盾協議》被判定無效后,歐美雙方的根本性矛盾依然存在。宏觀上看,歐美數字經濟博弈持續升級,歐盟出于對美國監控資本主義的忌憚,必將不遺余力地繼續推行“技術主權”戰略。微觀上看,通過SCCs或者BCRs傳輸到美國的個人數據,同樣面臨被政府部門獲取而得不到充分救濟的問題。因為SCCs或者BCRs這些機制都只是以合同形式對數據處理者和數據控制者施加限制,無法約束美國當局的監控行為。而歐盟公民的個人數據一旦傳輸到美國,其境內的公司亦不可能對抗國家權力,只能按照美國國家安全法律的要求配合提供其控制下的個人數據。正如Christopher Kuner所言,想要依靠《隱私盾協議》、其他充分性認定或者SCCs這類程序性機制在實踐中達到保護數據和基本權利的目標效果,只是一種不切實際的法律想象,因為這些機制都無法為個人數據提供能夠對抗外國政府監控和情報收集活動的保護[12]885。

歐美雙方立場不同,數據跨境流動的矛盾難以調和,很難有根本的解決方案。《隱私盾協議》的失效極大擾亂了歐美之間正常的數據流動。歐美雙方能否就數據流動重新達成協議,目前尚未可知。一方面,歐盟法院一心捍衛公民的基本權利并堅守歐盟的價值觀念;另一方面,美方似乎也并無修訂或者弱化其國家安全法律以維護與歐盟之間數據流動和數字貿易的意愿。一位美國官員認為美方甚至很難再加入談判議程,因為美方已經建設性地作出過幾次重大讓步,進一步的協商很可能更加不符合美國的利益[2]15。此外,考慮到《隱私盾協議》無效判決的細節對歐美之間將來可能達成協議施加的種種限制,雙方即使重新回到談判桌前,重新達成共識也很可能是一場持久戰。

(二)歐美跨境數據流動的可能路徑

歐美雙方的經貿往來仍在繼續,而數據流動是支撐數字服務貿易發展的關鍵性因素。當失去《隱私盾協議》這一傳統的常規路徑以后,個人數據從歐盟轉移到美國還有哪些合法途徑可以選擇呢?

1.適當安全保障措施

如果沒有獲得歐盟委員會的充分性認定,歐盟境內的數據還可以通過兩種特別保障措施向境外傳輸,包括SCCs和BCRs。SCCs是一種由歐盟委員會預先批準的合同模板,歐盟和第三國或地區的企業之間如果要傳輸數據,雙方事先應當簽訂此種合同,合同的簽訂代表第三國的企業已經在法律上承諾達到歐盟要求的數據保護標準。BCRs是一種便利公司內部或者一群公司之間數據流動的法律機制,一般由分屬于不同主權國家管轄的大型跨國公司使用。BCRs要求整個組織或者團體遵守歐盟要求的數據保護標準,需要預先得到相應成員國DPA的批準。對企業來說,建立SCCs或者BCRs機制花費大、負擔重,并且不夠靈活,因為它們都涉及比較繁重的行政和法律工作,例如梳理和規劃本企業所有的數據流動路徑。

SCCs在《隱私盾協議》無效案中也遭受過質疑和挑戰,但是歐盟法院最終認定了這一機制的有效性,理由是其為保護隱私和個人基本權利與自由提供了充分保障。如果因為與特定第三國或者某一組織之間的問題而廢除SCCs這一全球性的數據流動機制,顯然是不合適的。而且,如今《隱私盾協議》已經失效,如果SCCs這一數據傳輸機制也被中斷,就沒什么合法的途徑滿足企業從歐盟向美國傳輸數據的需求了,歐盟委員會將面臨來自工商企業的巨大壓力。當前,微軟、Fackbook等美國互聯網巨頭已經轉向SCCs這一數據傳輸工具,以維持在歐洲境內業務的正常開展。

不過,《隱私盾協議》被判決無效對SCCs的運行產生了重要影響。歐洲數據保護委員會(European Data Protection Board,EDPB)明確表示應當對已經使用SCCs的數據傳輸行為進行“一事一議”的審核,判斷是否需要增加額外的補充措施。如果最終不能確保對歐盟個人數據提供充分的保護,那么即便有標準合同條款,監管機構仍然應當暫停或禁止該項數據傳輸(17)EDPB.Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data[EB/OL].(2020-11-10)[2021-01-09].https:∥edpb.europa.eu/our-work-tools/documents/public-consultations/2020/recommendations-012020-measures-supplement_en.。歐盟委員會于2020年11月發布了一項關于改進SCCs機制的實施決定草案。該草案在保留目前SCCs原則的基礎上(18)根據歐盟委員會2001年發布的決議(2001/497/EC),SCCs的原則主要包括:數據出口商有義務考慮第三國的個人數據保護水平;數據進口商有義務將其無法履行SCCs的情況通知數據出口商;出口商在收到此類通知后若決定繼續傳輸個人數據,則有中止數據傳輸、終止協議、通知監管機構的義務等。這些原則在“SchremsⅡ”中得到了歐盟法院的肯定,并且是法院裁定SCCs繼續有效的基礎。,試圖將SchremsⅡ判決中加強個人數據保護的精神包含其中,對個人數據傳輸至第三國提出了新的監管要求,如明確了數據出口商在進行轉移影響評估中必須考慮的因素(19)根據該草案,轉移影響評估應當考慮第三國的法律和慣例、合同的期限、轉移的規模和規律、處理鏈的長度、數據傳輸使用的通道、接收者類型、傳輸的目的和所傳輸數據的性質等。,要求數據出口商記錄并向監管機構提供其實施的影響評估,要求數據進口商在面對公共部門訪問其控制下的歐盟原始個人數據命令時應當履行更加強有力的義務等(20)European Commission.Commission Implementing Decision on standard contractual clauses between controllers and processors for the matters referred to in Article 28(3)and(4)of Regulation(EU)2016/679 of the European Parliament and of the Council and Article 29(7)of Regulation(EU)2018/1725 of the European Parliament and of the Council[EB/OL].(2020-11-01)[2021-02-15].https:∥eur-lex.europa.eu/legal-content/EN/TXT/?uri=PI_COM:Ares(2020)6654429.。此外,EDPB和歐洲數據保護監督員(European Data Protection Supervisor,EDPS)于2021年初發布了聯合聲明,對歐盟公民個人數據從進口方進一步傳輸到第三國的情況也作出了規定。只有第三方同意接受SCCs約束,即作為合同的一方承擔明確的角色與責任,進口方才可將該數據傳輸給第三方。否則,數據進口方和第三方簽訂的數據轉移協議應當實質性地復制SCCs中數據出口方和進口方之間的保證與義務(21)EDPB.EDPB-EDPS Joint Opinion 2/2021 on the European Commission’s Implementing Decision on standard contractual clauses for the transfer of personal data to third countries[EB/OL].(2021-02-03)[2021-02-17].https:∥edpb.europa.eu/sites/default/files/files/file1/edpb_edps_jointopinion_202102_art46sccs_en.pdf.。

2.GDPR第49條規定的特殊情形下義務克減

在沒有充分性認定及其他適當安全保障措施的情況下,將個人數據轉移到歐盟境外,需要符合GDPR第49條規定的七種具體情形。這七種情形主要分為三類,即轉移已獲得數據主體同意、轉移是為實現重要公共利益(如開發新冠肺炎疫苗)、轉移是為保護數據主體的重大利益。值得注意的是,這些減免情形都應當被嚴格解釋,只能適用于“偶爾的、非經常性的”數據轉移行為。對于大規模系統性的數據流動活動,通常還是應該利用充分性認定(包括原來的《隱私盾協議》)、SCCs和BCRs這種常態穩定的傳輸機制。這些機制已經成為跨大西洋現代經濟發展的重要支撐。

3.數據本地化

數據本地化是指要求歐盟公民的個人數據必須在歐盟境內處理和儲存,而不能傳輸到境外,包括美國。這是保護歐盟公民數據權利“釜底抽薪”的方法,也符合歐盟重新奪回“技術主權”的戰略需求(22)不少國家將數據本地化作為應對國際數字經濟競爭加劇的手段,如印度、俄羅斯等。。如果歐盟實行數據本地化,那么中小企業和初創企業進行跨大西洋數字貿易的難度將會增大,美國企業在歐盟投資經營的積極性也會降低(23)美國科技公司早已著手應對歐盟數據本地化的要求,幾年前就開始在歐洲大量投資建設數據中心,至今勢頭不減。例如2019年Google宣布投資33億美元用以建設歐洲數據中心。。但是,考慮到美國互聯網服務在歐洲的受歡迎程度與市場占有率,歐盟全面實行數據本地化或者暫停歐美之間數據流動是不現實的。而且,數據本地化將直接影響數據的跨界共享和流動,給商業活動增加額外成本和負擔,從而損害國際經濟貿易。同時,限制數據跨境流動的法規通常也會妨礙自由貿易,甚至形成一種新型的貿易壁壘或貿易保護手段,極有可能構成對WTO基本原則的違反[13]389。

不過,即使美國科技互聯網企業按照歐盟數據本地化要求在歐洲境內設立了數據中心,也無法避免美國政府獲取歐盟公民的個人數據。根據美國2018年開始實施的《云法案》(CLOUDAct),如果執法機構所尋求的信息與正在進行的犯罪調查實質性相關,則執法機構有權獲取“以電子形式存儲于美國境外的通信數據”[14]。換言之,美國互聯網企業有義務配合國家機關提供其控制下的個人數據,無論該數據存儲于全球哪一國家或者地區。如此一來,美國法律管轄范圍以內的企業業務若涉及處理歐盟公民數據,則很可能遭遇“法律沖突”,處境非常艱難(24)除非歐盟法律為這些數據轉移至美國當局提供法律基礎,如根據GDPR第49條的義務減免。。未來幾年這一問題將逐步凸顯,除非歐美之間達成新的數據轉移協議。

4.美國單獨的某一個州或者某一領域能否獲得歐盟數據保護的充分性認定

美國單獨的某一個州或者某一領域獲得歐盟數據保護的充分性認定,這在理論上來說是完全有可能的。因為根據GDPR第45條,充分性認定可以被授予給第三國、某地區、第三國中的某部門或某區域、國際組織[1]。假如美國的某一個州有綜合性的數據保護法案(如加利福尼亞州的CPRA),又設置相應的DPA,如果還能阻止數據繼續轉移到美國其他各州,將大大增加該州獲得歐盟充分性認定的可能性。不過,這種理論上的可能性實現起來困難重重。因為即使美國某個州的法案對個人數據的保護達到了以上要求,但是該州仍然處于美國聯邦法律管轄之下,州內的企業自然負有遵守國家安全和情報法律的義務。考慮到《隱私盾協議》的前車之鑒,這類充分性認定最終很可能重蹈覆轍。至于美國某一具體領域獲得歐盟的充分性認定,實踐中已有先例。歐盟與美國政府于2011年12月簽訂了一份協議,以便利將民航旅客姓名從歐盟傳輸到美國國土安全部[15]。美國其他某些領域或可考慮復制這一成功經驗。

四、歐美跨境數據流動爭端對我國的借鑒意義

歐盟和美國在個人數據保護領域的立法和實踐長期以來引領著世界的潮流。《隱私盾協議》無效案的影響不僅局限于歐美之間,還意味著歐盟對數據跨境傳輸的審查力度不斷加大,長遠來看還可能引領一種最大限度保護個人數據及隱私的國際趨勢。同時,這還表明國際數據保護規則的發展存在諸邊化和碎片化趨勢,給不同國家和地區之間的相互認可和執法合作增添了難度,也給我國爭取數據治理的國際話語權提供了機遇。作為世界上人口最多的國家,中國不僅是數據大國,也應當是數據強國,不僅應該也能夠在國際數據治理中發揮引領作用。面對如此紛繁復雜的國際形勢,結合前面對“隱私盾”無效案的分析,可以考慮從如下三個方面完善我國的個人數據治理制度。

(一)理念之爭:明確數據治理的獨特理念

《隱私盾協議》無效案反映了歐美兩種數據規制理念的交鋒。歐盟出于保護人權的歷史傳統以及抗衡美國互聯網霸權的現實需要,形成了一種強調數據主體權利的保護模式,對個人數據跨境流動實施嚴格限制。美國基于其互聯網產業的優勢地位,以及對新自由主義的堅持,采取市場主導、行業自律的個人數據管理政策,對隱私權的保護奉行“合理期待”原則(25)“合理隱私期待”規則有主客觀兩方面構成要件:一是個人的行為已經表現出他對隱私的主觀期待,二是社會認可這種隱私期待是合理的。。無論是歐盟的保護人權原則還是美國的市場主導模式,對數據規制的主旨都相當明確并且一以貫之[9]116。

我國對個人數據的規制缺乏明確的核心原則。雖然我國《民法典》第1035條規定處理個人信息應當遵循“合法、正當、必要”原則,《個人信息保護法》第5條規定處理個人信息應當遵循“合法、正當、必要、誠信”原則,但是這些原則與歐美的相比不夠根本和核心。此外,我國當前數據規制的立法和司法實踐脫節,立法傾向于歐盟理念,強調保護數據主體的權利(26)如《個人信息保護法》第13條規定的個人知情同意原則,第四章“個人在個人信息處理活動中的權利”中規定的請求更正權、刪除權等。,而在司法實踐中為保障數據產業的繁榮發展,偏向于美國的自由市場模式,甚至對個人數據的非法泄露和使用有所容忍。

歐盟的數據保護法律在全球范圍內影響廣泛,但是其規制模式未必適合我國的現實情況和價值追求。鑒于我國的科技互聯網企業大多還處于初創期或成長期,現階段不宜制定過于嚴格的個人數據保護立法。奉行歐盟高要求的數據保護理念可能導致我國錯過新一輪的經濟增長點,不利于提高我國數字經濟的國際競爭力。而且,我國的數據分領域由行業主管機關治理,缺少統一的監管機構,這點與美國比較類似。總體而言,美國以自由市場為主導的數據治理模式更加符合我國數字經濟發展和數字產業布局的需要。當然,在注重數字經濟發展的同時,也應當適度提高國內個人數據的保護水平,加大對非法泄露、濫用、買賣個人數據行為的打擊力度。

(二)規則之爭:完善數據跨境流動的具體規則

《隱私盾協議》的失效是歐盟出于保護公民數據權利和國家安全考慮而對數據流動政策的一種調整,雖然相對之前有所緊縮,但是總體上為數據的出境保留了多種合法路徑,相比而言我國的數據跨境流動規則比較保守。我國的《網絡安全法》和《個人信息保護法》將數據本地存儲作為原則,并且設立了數據出境安全評估機制(27)《網絡安全法》第37條規定了數據本地化原則,要求關鍵信息基礎設施運營相關的個人信息和重要數據在境內存儲,《個人信息保護法》第40條中將本地化要求擴大適用于“處理個人信息達到規定數量”的情況。我國的《個人信息出境安全評估辦法》處于征求意見稿階段。。若我國境內的信息處理者需向境外提供個人數據,則必須滿足《個人信息保護法》第38條明確規定的條件之一。其中,“與境外接收方訂立合同以保證達到本法規定的保護標準”與歐盟數據法律要求的“實質等同”保護標準有異曲同工之妙,但是我國并未對如何實現這一目標規定具體的配套措施。對此可以參考借鑒歐盟的充分性認定制度、標準合同條款以及其他補充保障措施等。此外,我國《個人信息保護法》可以考慮增加某些義務減免的具體情形,如為保護公共利益、個人關鍵利益、法律實施而需向境外轉移數據的特殊情況。

總體上,我國當前跨境數據流動規則的重點在于防范數據過度出口,這種嚴格的跨境數據流動政策雖然短期內能減少我國數據出口的風險,但長遠來看卻將妨礙我國成為數據進口國。數字化全球化的今天,一國獲取他國數據的能力決定了該國在數字經濟中可獲得的實際利益,最終決定其信息產業與智能產業的競爭力,因此我國在跨境數據流動問題上適宜兼顧數據進出口的平衡發展[16]。此外,如前文所述,我國若借鑒美國以市場為主導的數據治理模式,則必然應當調整當前的數據本地化要求,對數據跨境流動秉持更加包容的態度。如何在開放的環境下保障我國公民的個人數據安全,這將是一個更加嚴峻的挑戰。

(三)話語之爭:完善自由貿易協定中關于數據跨境流動的規定,利用WTO機制推廣我國數據治理的主張

《隱私盾協議》無效案反映了歐美之間對數據治理國際話語權的爭奪。歐美在各自締結的自由貿易協定(FreeTradeAgreement,FTA)中對數據跨境流動采取了不同的規制路徑:歐盟關注個人數據的保護,重在事前防范,而美國為貿易主導型,主要依賴事后問責[17]。我國出于保護個人信息安全與網絡安全的考慮,簽訂的FTA整體上不在電子商務章節創設強制性義務,這符合我國個人信息保護水平不高的現狀及維護國家安全利益的需要。但是,隨著我國與越來越多的發達國家締結FTA,這一模式可能將面臨壓力。其實,隨著我國電子商務和數字經濟的飛速發展,在FTA中加入強制性的電子商務規則長遠來看是符合我國利益的。我國應當積極應對數據跨境流動這一問題,可在雙邊和多邊談判中主張按照數據類別設立寬嚴不同的流動標準,并根據數據安全屬性構建梯度性跨境審查體系[18]。

我國雖是互聯網企業大國,但缺少在數據治理國際規制構建中的話語權,應加強國際合作以達成多邊協作和共識。WTO作為一個全球性的成員國眾多的國際組織,在促進貨物、服務、人員、資本的跨境流動中發揮了重要作用,也積累了不少經驗。雖然WTO的電子商務談判目前的成果比較有限,但其框架可以和應該改進以適應數字經濟帶來的政策挑戰。而且,WTO框架可有效應對雙邊條約談判中主導市場一方輕易將其規則偏好強加于經濟上處于弱勢地位一方的問題,甚至可以在全球數據治理規則中為發展中國家和最不發達國家爭取特殊而有區別的待遇。我國應當積極通過WTO機制參與全球數據治理,有針對性地提出符合包括我國在內的廣大新興國家利益的建設性主張,推動構建符合多國利益的數據跨境流動規則。

五、結語

此次“隱私盾”無效裁決雖然因美國未能對傳輸至其境內的歐盟公民個人數據提供充分保護而引發,但同時也反映出歐美之間對數字經濟霸權的爭奪進一步升級。歐盟通過GDPR復雜細致的制度安排占據了個人數據保護領域的制高點,其強大的域外影響力深刻作用于國際數據治理格局。美國則基于其技術領先的優勢極力倡導數據跨境自由流動,并通過雙邊和區域合作向全球推廣,試圖將之打造為國際規則。“隱私盾”無效案反映了歐美之間數據流動存在的根本問題,同時給我國的數據治理帶來諸多思考。我國應當在保證國家安全和社會公共利益的前提下加強與各國各地區的數據跨境交流合作,應當在重視數據安全的同時適度滿足數字經濟發展的需求。此外,我國應當適度提高國內個人數據保護的標準,盡快制定符合國際潮流與現實國情需要的數據保護立法并完善配套機制,并從雙邊和區域層面積極爭取國際數據治理規則的話語權,為我國互聯網科技企業深度參與全球數字經濟競爭創造有利條件。