大家好,今天小编来为大家解答美欧跨境贸易服务集团有限公司这个问题,美欧跨境贸易服务集团有限公司很多人还不知道,现在让我们一起来看看吧!
美欧跨境数据流动规则演变及启示
美欧个人数据跨境传输经历了《安全港协议》《隐私盾协议》以及最新的《欧美数据隐私框架协议》三次制度安排,双方在限制情报机构活动、完善个人救济路径、更新审查和监督机制上不断磨合并达成暂时一致。美欧在跨境数据上的多轮博弈反映了双方的根本矛盾,包括权利驱动与市场驱动的理念分歧,隐私统一立法与分散立法的法律体系差异,以及对国家安全例外的界定范围不同,这也导致《欧美数据隐私框架协议》的前景不稳定。美欧相关举措对我国跨境数据治理具有一定的借鉴意义。我国应在明晰跨境数据治理理念、完善数据跨境流动规则、在国际上推广数据治理主张等方面持续着力。
随着大数据、云计算、区块链、人工智能等新一代信息通信技术快速融合发展,全球数字化进程不断深化,人类加速进入数字经济时代。作为连接全球经济的纽带,跨境数据流动虽然为全球化带来了新动能,但是也引发了国家安全、数据主权、隐私保护、数据监管等一系列问题。美欧作为全球两大主要数字经济体,围绕跨境数据流动规则的主导权发生了多轮博弈。从 2000 年的《安全港协议》到 2016 年的《隐私盾协议》,再到 2024 年的《欧美数据隐私框架协议》,美欧跨境数据流动政策不断迭代更新,促成了双方关于企业责任、政府约束、事后救济等机制的不断完善。本文通过梳理美欧跨大西洋数据流动规则的演变过程,重点分析了《欧美数据隐私框架协议》的主要内容与特点,探究双方在数据治理上的核心关切和主要矛盾,并提出完善我国跨境数据治理的思路。
1
美欧跨境数据流动政策的发展
美欧一直宣称,跨大西洋的数据流动量超过全球任何其他地区间的数据流,牵动着价值7.1 万亿美元的跨大西洋经济关系。因此,跨境数据流动规则成为影响美欧关系的重要因素,历经 20 余年仍处于不断调整中。
1.1 2000 年至 2015 年:《安全港协议》的自我管理
美欧跨境数据治理的第一次尝试是 2000 年11 月正式出台的《安全港协议》(Safe Harbor)。该协议以欧盟 1995 年《数据保护指令》(Data Protection Directive,DPD)设定的充分性认定”原则为基础,再次强调数据传输第三国的数据保护水平必须与欧盟保护水平达到实质等同。该协议设定了知情、选择、转移、安全、数据完整、访问、执行 7 项隐私保护原则,有力调节了当时美欧之间的数据保护差异。美国共 4 500 家企业参与了《安全港协议》,相关企业只需要每年向美国商务部提交一封自证信,承诺将会遵守协议所规定的原则,就可以自由地接收从欧盟方面传来的任何个人数据。美国联邦贸易委员 会(Federal Trade Commission,FTC) 负 责 审查企业的违规行为,具体包括核查、纠纷解决和补救措施三部分,若企业持续违规则被吊销进入安全港”的身份。
《安全港协议》确保美欧跨境数据自由流通十年有余,直至 2013 年的斯诺登事件爆发,该事件披露了所有传输至美国的数据都可以在当事人或企业毫不知情的情况下,被美国政府下属情报机构在电信运营商的配合下进行监听获取。对此,欧盟官员提出审查《安全港协议》,并展开了与美方的谈判,聚焦在提升透明度、确保救济措施、强化执法以及限制美国情报机构获取数据四大优先性举措。其中《安全港协议》中的国家安全例外”特殊条款规定与欧盟要求限制对《安全港协议》数据的访问之间的矛盾成为谈判焦点 。2013 年,奥地利律师马克斯·施雷姆斯(Max Schrems)一纸诉讼将美国脸书公司告上法庭(即 Schrems I 案),希望禁止脸书在《安全港协议》下将其个人数据转移到美国的行为。该案于 2014 年被移至欧盟最高法院,欧洲法院(Court of Justice of the European Union,CJEU)于 2015 年 10 月做出判决,提出3 个问题:一是加入《安全港协议》的企业隐私政策不透明;二是美国商务部没有对协议认证的有效性进行跟进;三是缺乏对欧盟公民的补救举措。欧盟委员会同时表示,在采用《安全港协议》时,无法预见情报机构在商业交易背景下大规模访问运输到美国的数据,所以宣布该协议无效。
1.2 2016 年至 2024 年:《隐私盾协议》的监管加码
《 安 全 港 协 议》 被 判 无 效 之 后, 为 维 持美欧企业与机构间日常的跨境数据流动,欧盟与美国政府着手制定新的数据传输隐私保护框架,并于 2016 年通过《隐私盾协议》(Privacy Shield)。《隐私盾协议》基本沿袭了《安全港协议》的主要内容,细化了七项隐私保护原则,并额外增加了关于敏感数据、次要责任、数据保护机构的作用、人力资源数据、制药和医疗产品以及公开可用数据的规定。相较于《安全港协议》,《隐私盾协议》还附带了美国国家安全机构的承诺,并回应了欧洲法院提出的问题,主要体现在:一是强化承诺,意图引入欧盟个人数据的美国企业需要公开承诺履行关于个人数据处理的原则以及保护欧盟数据主体权利,这包括细化的通知义务、数据留存限制、受限的访问权、更严格的转移条件和责任制度等。二是严格执法,美国商务部必须监管 FTC对于《隐私盾协议》的执法,对于未遵守规定的企业实行严格的惩罚或者限制其使用该协议。三是明确保障措施和透明度义务。根据美国司法部和国家情报总监办公室书面承诺,美国政府对欧盟个人数据的访问将受到明确的限制和监督机制的约束。双方将针对国家安全准入问题进行每年一次的联合审查,以定期监测该制度的运作情况。四是提供更多的救济途径,包括向企业投诉,公司将有 45 天的时间来解决投诉;向本国数据保护机构申诉,后者可将未解决的投诉提交至美国联邦贸易委员会;在联邦贸易委员会不受理的情况下,将向索赔人提供一个免费的替代性争端解决机制。针对有关国家情报机构可能进入的投诉,美国国务院将设立一名新的特别监察员,进行独立于情报系统的审查。
欧盟数据保护机构第 29 条工作组承认《隐私盾协议》取得重大改进”,并指出《安全港协议》的许多缺陷已被解决。但是工作组仍然对《隐私盾协议》的国家安全条款以及细则表达了担忧 ,包括:一是当收集个人数据的目的不存在时,机构没有明确规定删除该数据的义务;二是数据向第三国转移的保护措施不足;三是过于复杂的救济机制;四是限制美国官员访问数据的保障举措不够;五是协议与 2016 年4 月正式生效的《通用数据保护条例》(General Data Protection Regulation,GDPR)是否具有一致性。
除《安全港协议》外,欧盟还认可标准合同条款”(Standard Contractual Clauses,SCCs)和约束性公司规则”(Binding Corporate Rules,BCRs)等机制,这也是《安全港协议》失效后欧美之间主要的数据传输机制。2015 年底施雷姆斯再次向爱尔兰数据保护委员会提出申诉,要求暂停脸书使用 SCCs 跨境传输数据。在审理期间,爱尔兰高等法院对《隐私盾协议》的有效性提出疑问并提交给欧洲法院。欧洲法院认为《隐私盾协议》所提出的情报系统内控机制是一种并不独立于行政系统内部的事后保护,并不足以保护欧盟公民的个人信息,所谓的监察专员制度也并不能为欧盟公民提供可通过诉讼保护的权利 ,因此在 2024 年宣布该协议无效。
1.3 2024 年至今:《欧美数据隐私框架协议》
再续前缘《隐私盾协议》失效后,美欧双方再次经历长达两年的漫长谈判,最终在美方妥协下达成一致。
第一阶段是美国政府主动让步表态。双方于 2024 年 3 月就跨大西洋数据流动隐私框架”在原则上达成共识。为了将原则性协议落实到美国法律中,2024 年 10 月,美国总统拜登签署《关于加强美国信号情报活动保障措施的行政令》(第 14086 号行政令),将美国情报部门对欧盟公民数据的访问限制在保护国家安全所必要且相称”的范围内。
第二阶段是欧盟的迅速跟进回应。2024 年12 月,欧盟委员会正式发布《关于欧美数据流动隐私框架的充分性决定草案》,并转交给欧洲数据保护委员会征求意见。2024 年 2 月,欧洲数据保护委员会(European Data Protection Board,EDPB)发布对充分性草案的评估结果,对该框架表示基本认可。
第三阶段是美欧双方的二次握手表态确认。2024 年 7 月,美国国家情报总监办公室发表声明,美国情报部门已根据第 14086 号行政令”对情报活动采取了相应的管理措施。美国商务部也发布实施声明,强调美国已履行实施该框架协议的承诺。随后,欧盟委员会于 2024 年7 月 10 日全面通过《欧美数据隐私框架协议》的充分性决议 。2024 年 7 月 17 日,美国商务部推出数据流动隐私框架计划网站,公开了美国商务部制定的《欧美数据隐私框架协议》,供符合条件的美国公司作为参考,进行自我认证并加入框架,美欧之间的数据自由传输终于得到恢复。
2
《欧美数据隐私框架协议》的主要内容及前景展望
《欧美数据隐私框架协议》是继《安全港协议》《隐私盾协议》之后,美欧再次尝试建立稳定的跨大西洋数据流动制度安排。
2.1 主要内容
《欧美数据隐私框架协议》主要回应了之前两版协议中未解决的关键问题 。一是限制美情报机构活动。欧盟之前批评美国情报机构执法时违反必要且相称”原则,存在过度执法现象。基于此,该协议将必要且相称”原则设定为主要规定,将美国情报机构对数据的访问限制在保护国家安全所必需的范围内,规定美国情报机构需要在信息解密时告知被监控的个人;美国国家情报总监办公室应当以实现目的为限进行情报传递;参照法律存留有关情报信息,不能因国籍而区别存留;保证数据的准确性、安全性以及可访问性。
二 是 完 善 个 人 救 济 途 径。针 对 欧 盟 此 前诟病跨境数据传输协议缺乏救济措施的问题,此次协议最为显著的改变就是针对欧盟公民建立了双层救济机制。第一层,美国情报部门将设立公民自由保护官”(Civil Liberties Protection Officer,CLPO),负责对投诉进行初步调查。外国公民可向 CLPO 对美国情报部门提起诉讼。第二层,建立美国数据保护审查法院(Data Protection Review Court,DPRC)。DPRC法官由非美国政府官员组成,不受美国司法部的监督。若申诉人不接受 CLPO 审查的结果,可以就 CLPO 的决定向 DPRC 提起上诉。DPRC 将有权进行调查,从情报机构获得相关信息,审查 CLPO 所判定违规行为的决定在法律上是否正确、是否有实质性证据支持,并做出具有约束力的救济决定。在 DPRC 的审查过程中,一名隶属于司法部、具有国家安全情报权限的特别律师(Special Advocate)将代表申诉人的利益在DPRC 庭前表达意见。但特别律师与申诉人之间不存在律师和当事人关系,也不得在与申诉人交流时泄露国家安全信息。
三 是 强 化 审 查 和 监 督 机 制。根 据 协 议,美国独立监察机构隐私和公民自由监督委员会(Privacy and Civil Liberties Oversight Board,PCLOB)将对 CLPO 和 DPRC 进行年度审查,以判断其是否能够及时对符合条件的诉讼进行审查,以及运行机制是否合乎规范。
2.2 前景展望
《欧美数据隐私框架协议》在一定程度上厘清了欧美间国家安全与个人隐私保护之间的边界,有效促进了双方数据保护制度的融合,使跨大西洋数据流动得以全面恢复,其经济影响、地缘影响也正在逐渐显现。
在经济影响方面,跨大西洋数据流动影响着从制造业、运输业到金融和互联网服务的美欧经济体系,其中 70% 是中小型企业。与大公司相比,跨大西洋数据流动受限对于中小企业来说影响更大,因为中小企业缺乏相应的资源来满足复杂的法律要求。对此,《欧美数据隐私框架协议》允许通过认证后的企业将个人数据从欧盟转移到美国,暂时满足了美欧企业对建立强有力的跨大西洋数据流动框架”的诉求,而不再需要额外的转移机制,如标准合同条款或约束性公司规则,以及额外的转移影响评估,这无疑将降低企业的成本,为美欧数据流动带来法律确定性,因而获得了双方企业的一致欢迎。
在地缘政治影响方面,《欧美数据隐私框架协议》在某种程度上充当了美欧关系的晴雨表”角色,特朗普执政后期,美欧关系跌宕起伏,造成《隐私盾协议》失效后的跨境数据规制谈判踌躇不前。拜登政府上台后以跨境数据流动规制为抓手加快修复与欧盟的关系,在部分条款上进行了让步,其背后意图在于拉拢欧盟稳定跨大西洋关系,全力与中国开展战略竞争并实现竞赢”,包括联合欧盟国家发布互联网未来宣言”,将促进信息自由流动作为建立以美国为中心的全球数字生态系统的重要举措。
在发展前景上,《欧美数据隐私框架协议》是否能平稳运行,欧盟会不会发起新一轮对框架的诉讼,美方是否能遵守框架要求,仍然存在较大的不确定性。一方面,欧盟难以约束美国监控行为。尽管美方进一步规范了情报收集行为,并设立了完善的救济机制,但欧盟依旧无法对美国政府的情报监控行为进行监管,其中最为主要的矛盾集中在 DPRC 仍属于美国行政系统内部的自我纠正机制,而非完全独立的法院;且欧方对法院人员任命程序表示怀疑,进而对其决策的公平透明表示质疑;并且申诉人必须通过隶属于美国政府的特别律师表达意见,无法直接面对 DPRC。因此,第 14086 号行政令只是美国单方面的证明,在美国《外国情报监视法》(Foreign Intelligence Surveillance Act)没有进行重大修正的情况下,仅靠第 14086 号行政令无法真正消除欧盟公民对数据安全的担忧。另一方面,欧盟数字主权”进程加速。近年来,欧盟陆续出台《数字服务法》《数字市场法》和《人工智能法》等法律,加快构建欧盟数字主权”,其核心观点之一在于强调对于欧盟公民数据的本地化驻留,这使得美国科技企业在欧洲市场面临的隐私保护压力以及高额罚款必然会越来越大,再加上欧洲议会认为《欧美数据隐私框架协议》缺乏一个客观标准”来有效地证明政府侵犯隐私的行为,因此判断其并不完全符合欧盟的法律标准,成为悬在新协议之上的达摩克利斯之剑”。
3
美欧双方在数据治理上的主要矛盾
从《安全港协议》到《隐私盾协议》,再到《欧美数据隐私框架协议》,美欧跨境数据博弈背后反映了双方的理念分歧和逻辑差异。
3.1 权利驱动与市场驱动的理念分歧
由于历史原因,欧盟将尊重私人生活和保护个人信息视为基本人权,《欧洲人权公约》第 7、8 条中对尊重隐私生活进行了专门规定,并得到了欧洲人权法院的大力支持 。2016 年生效的GDPR 中第 44 条款也明确禁止将个人数据传输至欧盟外,除非接收国能够提供与欧盟同等水平的保护。欧盟借助充分性认定机制、SCCs 和BCRs 等保障措施确保欧盟公民的个人数据无论处于何地都能受到与欧盟立法水平相当的保护。在欧盟主导的国际贸易协议中,GDPR 提出的隐私标准已成为一项强制性要求。总的来看,欧盟认为,只要未有法律明确规定,则一般禁止收集和处理个人数据”。
美国对于数据保护和个人隐私则具有不同的认知,认为法无禁止则可为”,只要未明确触犯法律则支持收集和处理个人数据”。这主要是因为美国拥有最发达的数字经济和最庞大的数据体量,在全球数据流动体系中属于数据流入国,不受限制的数据流动规则能够让美国利益最大化。因此,美国倾向于一种以市场为主导的方法,不赞成他国以法律设置数据跨境流动壁垒,意图依靠企业的自我监管实施数据保护,因此美国政府公开支持私营部门关于隐私保护措施的倡议。
3.2 统一立法与分散立法的法律体系差异
欧盟与美国的个人数据保护法律体系存在根本的不同。欧盟的数据保护法律以 1995 年《数据保护指令》为基础,建立了欧盟范围内的综合性数据保护框架,统一了欧盟各国的数据保护规则。此后,2002 年的《电子隐私指令》以及 2016 年的 GDPR 均追求欧盟范围内的统一数据保护立法。
美 国 隐 私 立 法 较 为 分 散, 缺 乏 统 一 的 数据保护框架,主要通过行业立法和州立法来设置相关规定。行业立法主要覆盖金融、保险、电视电信、消费者信用、儿童隐私等领域,如《金融隐私权法案》(Rightto Financial Privacy Act,RFPA)、《健康保险隐私及责任法案》(Health Insurance Portability and Accountability Act,HIPAA)、《儿童在线隐私权保护法案》(The Children's Online Privacy Protection Act,COPPA)等。在州立法层面,加利福尼亚州通过的《加州消费者隐私法》(California Consumer Privacy Act,CCPA)是全美隐私立法的先行者,对美国隐私权保护产生了重要影响。美国也未设立专门的隐私保护机构,联邦的数据隐私事务主要由负责处理企业不正当竞争和欺诈消费者行为的 FTC 实施。近年来,在斯诺登事件、剑桥分析事件发生后,美国两党也在积极推动《 数 据 隐 私 保 护 法》(American Data Privacy and Protection Act,ADPPA)、《同意法案》(Consent Act)和《在线隐私法案》(Online Privacy Act,OPA)等统一立法,目前面临的阻力仍然较大。
在这样的法律体系差异下,欧盟在跨境数据流通上反倒呈现出一致对外的国家联合体”形象,即以欧盟统一的高规格数据保护模式来设置跨境数据流动标准;美国由于缺乏统一的联邦隐私立法,因此在跨境数据流动规制上更为随意”,意图在国家有意”缺位下推行企业的自律。因此当强制遇到自律时,美欧之间的矛盾必然会爆发。
3.3 对国家安全例外的范围限制不同
欧洲法院对欧盟内部的情报活动主要通过比例原则”进行限制,要求国家安全必须在受到真实、紧迫且可预见的威胁时才可进行相关活动。而执法机构在调取或收集这些数据之后,对数据进行的读取或利用等行为都必须严格符合当初调取或收集时的目的,并要有法院或独立行政机关复核。
美国的国家安全法案则凌驾于美欧跨境数据传输协议之上。美国 1978 年《外国情报监视法案》(Foreign Intelligence Surveillance Act,FISA) 第702 条和美国第 12333 号行政令(EO12333)与欧盟个人数据保护冲突最为明显。FISA 第 702 条规定,情报部门可实行大规模监控,包括对处于美国境外的非美国公民的监控,从而为美国的棱镜”(Prism)和上游”(Upstream)①监控计划提供法律基础。第 12333 号行政令于1981 年由美国前总统里根签署,为美国情报当局拓展了新的更加广泛的监控权限,并为美国国家安全局大量超出公共安全目的的监控行为提供了法律依据。而且美国国家安全局根据第12333 号行政令实施的情报收集活动不受司法监督和审判。总的来说,美国情报机构数据收集范围未有明确的界线,这直接违背了欧盟所坚持的比例原则”。
4
启 示
随着《数据出境安全评估办法》《个人信息出境标准合同办法》《个人信息保护认证实施规则》等法规和标准的不断出台,我国的数据出境安全管理制度架构已基本成形。美欧之间二十多年来在数据跨境流动领域的博弈对我国跨境数据治理具有一定的借鉴意义。
一是明晰综合平衡的跨境数据治理理念。数字化时代,数据关系到个人、企业、国家三方利益。美国和欧盟在数据治理上的交锋体现了对不同方的侧重 。我国应当在两者的基础上综合考虑国家安全利益的保护,塑造更加平衡的数据治理理念。一方面,本着统筹发展以及安全、效率与公平的原则,兼顾好个人信息保护、企业商业利益和国家安全之间的关系;另一方面,政府部门应与国内互联网企业以及金融机构、大型实体企业在跨境数据流动管理、扩大全球数据管控能力等方面开展合作,建立健全跨境数据流动治理体系。
二是完善数据跨境流动规则。2024 年 9 月,《数据出境安全评估办法》正式生效,这是我国数据出境监管历程中的重要一步,《数据出境安全评估办法》的出台将进一步规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据安全有序跨境流动。2024 年12 月,《国务院关于构建数据基础制度更好发挥数据要素作用的意见》对外发布,提出统筹数据开发利用和数据安全保护,探索建立跨境数据分类分级管理机制”,探索构建多渠道、便利化的数据跨境流动监管机制,健全多部门协调配合的数据跨境流动监管体系”。对此,应进一步完善数据出境安全评估、个人信息保护认证、个人信息出境标准合同的配套措施,开辟数据出境便捷通道,创新数据出境安全评估和个人信息出境标准合同制度,采用事前、事中、事后”相结合的监管机制,强化出境数据全生命周期风险防范与安全管理。
三是在国际上积极推广我国数据治理的主张。美欧在跨境数据上的博弈反映了对数据治理国际话语权的争夺,特别是利用双方的产业先发优势形成在国际数据跨境流动规则上的竞争优势,使得我国在争夺数字产业、数字治理话语权等关键领域将处于更加被动的态势。对此,我国一方面可积极参与世界贸易组织(World Trade Organization,WTO)电子商务谈判,借助WTO 平台推广我国的数据治理理念;另一方面与重要贸易伙伴签订数据流动双边协议,就个人信息保护、数据安全及网络安全、技术规范及标准等方面形成一揽子”制度安排,为我国数据跨境流动规则主张增容扩圈”。此外,我国应以加入《数字经济伙伴关系协议》(Digital Economy Partnership Agreement,DEPA)为契机,不断扩大数据跨境合作朋友圈。
5
结 语
美欧个人数据跨境传输经历了《安全港协议》《隐私盾协议》以及《欧美数据隐私框架协议》三次制度安排。《欧美数据隐私框架协议》对限制美情报机构活动、完善个人救济途径、强化审查和监督机制进行了改革,但由于欧盟仍难以约束美国监控行为,以及欧盟数字主权”进程加速,美欧跨境数据流动规制仍然具有较大不确定性,其根本矛盾在于欧美双方在跨境数据流动上具有权利驱动与市场驱动的理念分歧,统一立法与分散立法的法律体系差异,对国家安全例外的范围限制不同等因素。美欧跨境数据流动对我国跨境数据治理具有一定的借鉴意义,我国应进一步明晰综合平衡的跨境数据治理理念,完善数据跨境流动规则,在国际上积极推广我国数据治理的主张。
免责声明:本文转自信息安全与通信保密杂志社,原作者桂畅旎 , 任政 , 熊菲。文章内容系原作者个人观点,本公众号编译/转载仅为分享、传达不同观点,如有任何异议,欢迎联系我们!
1转自丨信息安全与通信保密杂志社
作者丨桂畅旎 , 任政 , 熊菲
研究所简介
国际技术经济研究所(IITE)成立于1985年11月,是隶属于国务院发展研究中心的非营利性研究机构,主要职能是研究我国经济、科技社会发展中的重大政策性、战略性、前瞻性问题,跟踪和分析世界科技、经济发展态势,为中央和有关部委提供决策咨询服务。全球技术地图”为国际技术经济研究所官方微信账号,致力于向公众传递前沿技术资讯和科技创新洞见。
地址:北京市海淀区小南庄20号楼A座
电话:010-82635522
微信:iite_er
从欧美数据跨境规则演变,看汽车出境 数据安全”问题
2024年伊始,美国就借口数据安全”问题,宣布将对中国汽车展开调查,意图限制中国智能汽车”及相关零部件进口到美国。无独有偶,美众议院高票通过了《保护美国人免受外国对手控制的应用程序侵害》的法案,旨在要求字节跳动剥离对TikTok的控制权,并认为其对美国的国家安全”构成威胁。
近年来,数字化进程的加速推进,人工智能、大数据、云计算、区块链等新一代信息通信技术的运用,推动了全球数字经济的融合与发展。而作为连接全球经济的纽带,跨境数据的流动虽然为全球化带来了新动能,但是数据出境带来的一系列问题却使各国政府的数据监管水平、国与国之间的经贸往来,乃至国家安全、政治博弈、战略资源带来了前所未有的挑战。
作为全球两大主要数字经济体,欧美西方国家在个人数据跨境传输经历了多轮博弈,从2016年的《隐私盾协议》2000年的《安全港协议》以及2024年的《欧美数据隐私框架协议》。这一过程,反映了双方在权利驱动与市场驱动的理念分歧,隐私统一立法与分散立法的法律体系差异,以及对国家安全例外的界定范围不同,也促使双方在关于企业责任、政府约束、事后救济等机制的不断完善。欧美双方在路径、更新审查和监督机制上的磨合和最终达成一致,非常值得我们研究与借鉴。
01
欧美跨境数据政策的发展历程
欧美之间的数据流动量超过全球任何其他地区间的数据流,牵动着价值数万亿美元的跨大西洋经济关系。因此,跨境数据流动规则成为影响欧美关系的重要因素,历经 20 余年仍处于不断调整中,共经历了如下几个时期:
● 自我管理期:2000-2015年,《安全港协议》时期
2000 年11 月出台的《安全港协议》(Safe Harbor),是以欧盟 1995 年《数据保护指令》(Data Protection Directive,DPD)设定的充分性认定”原则为基础进行的欧美跨境数据治理的第一次尝试。《数据保护指令》强调了数据传输第三国的数据保护水平必须与欧盟保护水平达到实质等同。而以此为基础的《安全港协议》则进一步设定了知情、选择、转移、安全、数据完整、访问、执行 7 项隐私保护原则,有力调节了当时欧美之间的数据保护差异。
《安全港协议》确保欧美跨境数据自由流通十年有余,直至 2013 年的斯诺登事件爆发,该事件披露了所有传输至美国的数据都可以在当事人或企业毫不知情的情况下,被美国政府下属情报机构在电信运营商的配合下进行监听获取。对此,欧盟官员提出审查《安全港协议》,并展开了与美国的谈判。受斯诺登事件及2014美国脸书Schrems案影响,欧盟委员表示,在采用《安全港协议》时,无法预见情报机构在商业交易背景下大规模访问运输到美国的数据,所以宣布该协议无效。
● 监管加码期:2016-2024 年,《隐私盾协议》时期
之后,欧盟与美国制定了新的数据传输隐私保护框架,于2016 年通过了《隐私盾协议》(Privacy Shield),该协议基本沿袭了《安全港协议》的主要内容,细化了七项隐私保护原则,并额外增加了关于敏感数据、次要责任、数据保护机构的作用、人力资源数据、制药和医疗产品以及公开可用数据的规定。相较于《安全港协议》,《隐私盾协议》还附带了美国国家安全机构的承诺:
① 强化承诺:意图引入欧盟个人数据的美国企业需要公开承诺履行关于个人数据处理的原则以及保护欧盟数据主体权利,这包括细化的通知义务、数据留存限制、受限的访问权、更严格的转移条件和责任制度等。
② 严格执法:美国商务部必须监管联邦贸易委员会对于《隐私盾协议》的执法,对于未遵守规定的企业实行严格的惩罚或者限制其使用该协议。
③ 明确保障措施和透明度义务:根据美国司法部和国家情报总监办公室书面承诺,美国政府对欧盟个人数据的访问将受到明确的限制和监督机制的约束。双方将针对国家安全准入问题进行每年一次的联合审查,以定期监测该制度的运作情况。
④ 提供更多的救济途径:包括企业遇到投诉,该企业将有 45 天的回应期;向本国数据保护机构申诉,后者可将未解决的投诉提交至美国联邦贸易委员会;在联邦贸易委员会不受理的情况下,将向索赔人提供免费的替代性争端解决机制,等。
《隐私盾协议》虽然在一定程度上解决了《安全港协议》的诸多缺陷,但仍有一些隐患,包括:
① 当收集个人数据的目的不存在时,机构没有明确规定删除该数据的义务;
② 数据向第三国转移的保护措施不足;
③ 过于复杂的救济机制;
④ 限制美国官员访问数据的保障举措不够;
⑤协议与 2016 年4 月正式生效的《通用数据保护条例》(General Data Protection Regulation,GDPR)是否具有一致性。
除《安全港协议》外,欧盟还认可标准合同条款”(Standard Contractual Clauses,SCCs)和约束性公司规则”(Binding Corporate Rules,BCRs)等机制,这也是《安全港协议》失效后欧美之间主要的数据传输机制。
● 稳定时期:2024 年至今,《欧美数据隐私框架协议》时期
2015 年底脸书(Facebook)Schrems案的律师施雷姆斯(Max Schrems)再次向爱尔兰数据保护委员会提出申诉,要求暂停Facebook使用 SCCs 跨境传输数据。最终,欧洲法院认为《隐私盾协议》所提出的情报系统内控机制是一种并不独立于行政系统内部的事后保护,并不足以保护欧盟公民的个人信息,所谓的监察专员制度也并不能为欧盟公民提供可通过诉讼保护的权利 ,因此在 2024 年宣布该协议无效。
继《隐私盾协议》也失效后,美欧双方再次经历长达两年的漫长谈判,最终在美方妥协下达成一致。欧盟委员会于 2024 年7 月 10 日全面通过《欧美数据隐私框架协议》的充分性决议。随后,美国商务部推出数据流动隐私框架计划网站,公开了美国商务部制定的《欧美数据隐私框架协议》,供符合条件的美国公司作为参考,进行自我认证并加入框架,美欧之间的数据自由传输终于得到恢复。
02
欧美在数据治理上的矛盾与统一
《欧美数据隐私框架协议》在一定程度上厘清了欧美间国家安全与个人隐私保护之间的边界,有效促进了双方数据保护制度的融合,使跨大西洋数据流动得以全面恢复,其经济影响、地缘影响也正在逐渐显现。
从经济性来看,跨大西洋数据流动影响着从制造业、运输业到金融和互联网服务的欧美经济体系,而其中70%是中小型企业。与大公司相比,因中小企业缺乏相应的资源满足复杂的法律要求,因此,跨境数据传输受限对于中小企业来说影响更大,无疑降低了企业的经营成本和风险,获得了欧美企业的一致欢迎。
从政治博弈来看,《欧美数据隐私框架协议》在某种程度上是欧美关系的晴雨表”。特朗普执政后期,美欧关系阴晴不定,造成双方的跨境数据规制谈判踌躇不前。拜登政府上台后,为了修复与欧盟的关系,在部分条款上进行了让步,意图在于拉拢欧盟稳定跨大西洋关系,全力与中国开展战略竞争,包括联合欧盟国家发布互联网未来宣言”,将促进信息自由流动作为建立以美国为中心的全球数字生态系统的重要举措。
从未来前景来看,《欧美数据隐私框架协议》是否能平稳运行,欧盟会不会发起新一轮对框架的诉讼,美方是否能遵守框架要求,仍然存在较大的不确定性。
美欧双方跨境数据博弈的背后反映了双方的理念分歧和逻辑差异。
由于历史原因,欧盟将尊重私人生活和保护个人信息视为基本人权,《欧洲人权公约》第 7、8 条中对尊重隐私生活进行了专门规定,并得到了欧洲人权法院的大力支持 。在欧盟主导的国际贸易协议中,《通用数据保护条例》(GDPR)提出的隐私标准已成为一项强制性要求(2016 年生效的GDPR 中第 44 条款明确禁止将个人数据传输至欧盟外,除非接收国能够提供与欧盟同等水平的保护)。总的来看,欧盟认为,只要未有法律明确规定,则一般禁止收集和处理个人数据”。
而美国对于数据保护和个人隐私则具有不同的认知,认为法无禁止则可为”,只要未明确触犯法律则支持收集和处理个人数据”。究其原因,在于美国拥有最发达的数字经济和最庞大的数据体量,在全球数据流动体系中属于数据流入国,不受限制的数据流动规则能够让美国利益最大化。因此,美国倾向于以市场为主导,不赞成他国以法律设置数据跨境流动壁垒,意图依靠企业的自我监管实施数据保护。
另外,欧美的法律体系差异也是造成这种分歧的根本原因。欧盟的数据保护法律以 1995 年《数据保护指令》为基础,建立了欧盟范围内的综合性数据保护框架,统一了欧盟各国的数据保护规则。而美 国 隐 私 立 法 较 为 分 散, 缺 乏 统 一 的 数据保护框架,主要通过行业立法和州立法来设置相关规定。行业立法主要覆盖金融、保险、电视电信、消费者信用、儿童隐私等领域。同时,美国也未设立专门的隐私保护机构,联邦的数据隐私事务主要由负责处理企业不正当竞争和欺诈消费者行为的 美国联邦贸易委员会(FTC)实施。近年来,在斯诺登事件、剑桥分析事件发生后,美国两党也在积极推动《 数 据 隐 私 保 护 法》(American Data Privacy and Protection Act,ADPPA)、《同意法案》(Consent Act)和《在线隐私法案》(Online Privacy Act,OPA)等统一立法,目前面临的阻力仍然较大。
03
如何应对汽车行业数据跨境问题
2月底,美国借口数据安全”问题,宣布将对中国汽车展开调查,并声称,中国制造的汽车上的联网操作系统会收集有关美国公民和基础设施的敏感数据,并将这些信息传回中国,对美国国家安全构成威胁。拜登还宣布,美国政府将采取前所未有的行动”,确保来自中国等受关注国家的进口汽车不会破坏我们的国家安全”。
客观来讲,我国车企对美出口数量很少,拜登在对Tiktok进行新一轮制裁的同时,不忘再带一下汽车做垫背,是为了今年11月的美国大选,讨好美国本土车企和工会民众,是美国两党政治博弈的一张牌而已。从两党的态度和目前的国内舆论分析,美国两党是势必要借数据安全”问题打压中国企业入美的,而Tiktok在美受到了民众越来越高的支持呼声,那么在美市场影响力小的中国汽车掀不起什么大风浪,成了一块很好的任人宰割的羔羊”,并且老美已经从中国汽车席卷欧洲市场的风潮中嗅到了危机。
目前,中美关系正处于低谷,在美国一味地打压中国企业的当下,双方政府若就跨境数据”去达成什么协议”似乎是非常渺茫的。在外交和贸易层面暂时解决不了的问题,那就需要企业自己去调整其海外战略了,是暂缓进入美国市场,还是宁可做些牺牲与妥协(包括产品优势和成本优势),先进入市场再说。
对于欧洲市场,由于我国汽车出口数量占比较多,对我国的整车外贸有非同一般的意义,虽然目前在政策端没有遇到类似美国这种双重标准”的情况,但是自去年开始的反补贴”调查不得不让我们重新审视车企在出海时可能面临的各种不确定性”和贸易壁垒。
从欧美在数据治理上的多次博弈我们可以看出,欧洲虽然在个人数据保护”上可能比美国更苛刻,但应该不会轻易地扣上国家安全”这样的大帽子。我们应该尽早启动与欧洲(主要是欧盟)在跨境数据交流方面的工作,与重要贸易伙伴签订数据流动双边协议,为我国数据跨境流动规则主张增容扩圈”。加快加入《数字经济伙伴关系协议》(Digital Economy Partnership Agreement,DEPA)进程,不断扩大数据跨境合作朋友圈。同时,还应积极参与世界贸易组织(World Trade Organization,WTO)电子商务谈判,借助WTO 平台推广我国的数据治理理念。
启 示
数字化时代,数据关系到个人、企业、国家三重利益。欧美在跨境数据上的博弈反映了对数据治理国际话语权的争夺,特别是利用其产业先发优势形成在国际数据跨境流动规则上的竞争优势。
我国作为世界数据资源大国之一,面临的数据安全风险相较于其他国家更为严峻,而当前动荡的国际政治局势和多变的贸易环境,也使得我国在争夺数字产业、数字治理话语权等关键领域将处于更加被动的态势。
从制度完善进程看,随着《数据出境安全评估办法》、《个人信息出境标准合同办法》、《个人信息保护认证实施规则》等法规和标准的不断出台,我国的数据出境安全管理制度架构已基本成形。
从行业乃至单个企业角度看,车企是掌握了大量车主数据的大型实体企业,应积极相应政府部门的号召,在其收集、处理、分析和使用用户数据的过程中,合法合规,并与互联网企业、第三方服务机构、金融机构等在跨境数据流动管理、扩大全球数据管控能力等方面开展合作,共同参与到建立健全跨境数据流动管理体系的工作中来。
参考资料:
《美欧跨境数据流动规则演变及启示》,信息安全与通信保密杂志社,作者桂畅旎、任政、熊菲。
美欧平台经济监管的四大趋势
刘诚/文 近日,美国众议院投票通过了《保护美国人免受外国对手控制应用程序侵害法》的提案,要求海外版抖音Tik-Tok非卖即走”,引发全球关注。
我们不禁要问,美欧政府是如何掌握平台竞争与反竞争的尺与度的?一方面,他们要加强平台的市场竞争,另一方面又定向加强对超大平台(所谓的守门人”)的监管;一方面,他们要加强平台企业的全球竞争力,另一方面又针对性打压部分竞争对手,打造自认为有安全边界的小圈子;一方面,他们积极利用市场力量引导平台发展,另一方面又以数据为抓手、以科技伦理为理由,将监管渗透到平台企业的日常运行活动之中。
这些人格分裂”的做法,着实让人摸不着头脑。但从学理上来看,这些做法可以归纳总结为四种趋势。厘清这四种趋势,或许可以帮助企业和监管部门及时洞察美欧政府的监管动态。
定向优化大型平台监管
由于平台企业具有网络外部性、跨行业等特性,传统民事、刑事和行政责任的事后追责体系不能对平台的自我优待、不正当接入等行为做出积极回应。因此,越来越多的国家和地区转向以大平台守门人”责任为主的事前监督模式。
美欧政府对大型平台的监管,主要侧重于服务内容、市场竞争和生态系统三个方面。
一是加强对数字服务内容的监管。近年来,欧盟制定了《数字服务法》和《数字市场法》两部法案。其中,《数字服务法》侧重从内容及形式等方面,规范数字企业提供的服务。例如,该法案要求在欧盟经营的大型平台企业,必须加强对非法内容的审查和用户数据的保护,及时删除非法和有害的在线内容等。2024年8月,《数字服务法》已正式生效。
二是强化市场竞争。《数字市场法》则旨在规范数字市场,尤其是数字企业之间的竞争,避免跨国科技巨头凭借垄断优势在欧洲市场过度扩张。2024年2月,《数字服务法》也已正式生效。
三是充分考虑平台的生态系统性质,从生态系统的角度加强相关监管。近年来,美欧政府加强审查了平台服务提供商的生态系统,对各生态系统扩展产品和服务的相互关联性,以及对竞争者和消费者的潜在影响等方面,做出评估并征求利益相关者的意见建议。
2024年3月,欧盟对苹果公司处以18.4亿欧元罚款,原因是其在音乐流媒体应用分发市场中滥用主导地位。欧盟表示,苹果公司非法阻止了应用开发者向用户提供在苹果应用商店之外的音乐订阅服务信息。上述三个方面都有一个共同目标,即在竞争法框架之外寻求政府对大型平台运营者的监管。
从手段上看,标签认证是美欧政府普遍采用的一种监管方式。由于技术较高和业态复杂等原因,政府难以打开平台监管的黑箱,导致平台企业实际上享受了监管红利”。如何落实最新的监管制度,成为亟待解决的难题。
当前,美欧政府一个新的做法是,由平台企业主动提供标签、政府认证、用户自觉选择使用,倒逼平台自觉打开黑箱。2024年7月,美国白宫和联邦通信委员会启动了物联网(IoT)网络安全标签计划,旨在确保消费者购买的联网设备具有网络安全保护功能,抵御网络攻击。在欧盟和英国,数据标准化水平很高,但共享数据的广度比较有限。相比之下,美国数据共享范围更广,但标准化水平不高。
2024年9月,欧盟委员会提出建议制定《网络活力法》,要求全球的软硬件数字产品在欧盟市场上市前要通过自查或第三方检查,确认满足欧盟网络安全标准并签署承诺书,由欧盟颁发准许销售的CE”标志后才可上市销售。
欧盟的《数字服务法》则要求大型平台企业为用户提供关闭个性化推荐功能的方法,并要求相关内容可以按时间顺序排序或按本地受欢迎程度排名。目前,部分平台已开始为欧洲用户推出标记非法在线内容和可疑产品的新方法,这些公司有义务快速、公正地删除这些内容。
增强数据治理和跨境流动
在过去十年中,数据流量每年增长40%以上。企业收集的用户数据改善了其向消费者提供的服务,但这些数据也可能被收集者以及第三方以一种伤害用户的方式访问,从而产生内生的用户隐私成本。对数据使用权利的规范,是数字经济公平竞争的核心内容。
美国、欧盟、德国、英国都试图将隐私和数据保护目标纳入传统的滥用市场力量分析中。
2024年1月,美国《统一个人数据保护法》创设了一个自愿共识标准”,只要当事人之间达成自愿的共识,做出契约安排,就可以进行数据交易和流转。英国做出了数据信托的制度设计和实践探索,基于个人或企业的数据财产权益设立信托,通过第三方管理和隐私计算等技术手段,确保数据流通和交易过程中隐私和数据安全。
2024年7月,美国总统拜登在白宫召集了七家发展人工智能技术的头部公司——亚马逊、Anthropic、谷歌、InflectionAI、Meta、微软和OpenAI,并获得了这七家企业的自愿性承诺,确保人工智能技术的安全性、有保障性和可信任性。
数据安全成为各国数据治理的重要内容。据统计,欧盟在2024年有22%的企业(员工数10人及以上)经历过ICT(信息通信技术)方面的安全事件,并导致了不同类型的后果,如ICT服务不可用、数据损坏或机密数据泄露。
为此,欧盟《数字服务法》对平台的算法透明度提出了较高要求,不仅用户可以质疑平台的内容审核决定,特定的研究者还可以有机会获取平台的关键数据,以开展在线内容风险的相关研究。
目前,相关数据安全法规在实践中已得到较好的贯彻执行,全球数字企业为履行相关法规而作出数据隐私保护方面的大量投资,违反法规者也被给予相应处罚。
2024年5月,爱尔兰数据保护委员会认定,Facebook(脸书)母公司Meta向美国传输大量欧盟用户个人数据,未能充分保护这些数据的安全,由此违反欧盟《一般数据保护法案》(GDPR),故对其重罚12亿欧元。
如何在保障数据安全的前提下实现数据的跨境流动,是跨国数据治理的核心问题。从隐私保护、企业竞争、数字创新、国家安全等维度看,各国数据跨境流动规则大体上可以分为四类。
第一类是美国在亚太经济合作组织框架下推动的跨境隐私保护规则(CBPR),该规则更加强调数据的自由流动和全球化。第二类是欧盟基于GDPR及后续法案构建的规则体系,更加强调个人隐私保护和数据本地化。第三类是部分发达国家和新兴市场国家建立的规则,更加强调本地化,同时又尽量向欧盟或美国的规则体系靠拢。中国可以单独归为一类,总体上强调数据本地化,但也倡导数据安全、有序跨境流动,采取的是本地化+安全评估”机制。
在跨境数据流动问题上,美欧曾经存在很大分歧。但目前,分歧正在缩小,双方已对跨境数据是否流动和如何流动等问题达成初步共识。
美欧双方围绕跨境数据流动展开多轮博弈,同时也暴露出远程数据控制、数据资源争夺、个人数据保护、监督审查机制缺位等数据规制中的深层次矛盾问题。
经过美欧双方谈判,2024年7月,欧盟委员会通过了欧盟与美国之间的数据隐私框架(EU-U.S.Data Privacy Framework),且即日起生效。这是欧盟在废除《隐私盾》协议接近3年时间后,再与美国就新的隐私协议达成共识,恢复了双方的数据流通。
反市场竞争与区域协同
在主张将市场竞争引入数字平台和数字生态系统的同时,美欧也采取了一些反市场竞争的保护主义举措,试图打造数字产业链联盟。特别是,美国拉拢欧洲、日本和中国台湾等所谓的盟友,建立更加安全可靠的数字经济产业链。有学者认为,数字企业跨越地理边界的能力可能被高估了,数字公司在国际化过程中依然面临制度困难。
由于网络外部性和多边市场等固有特征,平台经济天然具有生态系统性质,这就导致美欧在数字产业链方面的技术封锁等手段,面对的已经不是设备、零部件、材料、技术等问题,而是整个产业生态的问题。
而要打造整个产业链,突破难度比局部突破一个链条更难。有的企业生产缺少关键零部件,而生产这些零部件的企业缺少生产设备,拥有相应设备的企业已很难享受国外供应商对设备的技术服务,生产这些设备的国内企业缺少核心技术,这就是一个低效率循环。
换句话说,受美欧政策的影响,发展中国家数字经济的短板问题或将在产业链上叠加,技术比国外差一代、设备差一代、零部件差一代,据此生产出的产品就比美欧差两到三代。
美欧的反市场竞争举措还体现在,同样的监管对先发与后发企业、大企业与小企业的不同影响上。一些看似公平的竞争政策可能带来不公平的企业负担,进而抑制了部分企业的创新发展,产生了反竞争的效果。
大量事实表明,全球日益健全的数字经济基础制度,也给市场竞争带来了一定的负面冲击。例如,算法透明度等细化要求,给小平台带来了大平台都从未承担过的义务,或者只是在其发展后期才承担的义务,这给小平台带来很大负担。
完善科技伦理制度
大数据技术应用于人类价值判断领域,产生了一些伦理道德问题。例如,司法系统提倡使用智能辅助办案系统,赞同者认为算法客观可靠,能够做到标准一致、客观公正、同案同判。但反对者认为算法会使所有判决向平均结果靠拢,将多种倾向博弈产生的平均数”固化为不可演进的绝对值。
法国曾经出台相关法律,禁止多种技术赋能”行为在司法领域的应用。其中一项是,不得将特定法官办案数据进行大数据对比,分析特定法官特定案件与整个司法系统的一致性状况。随着人工智能的快速发展和应用,这种情况在社会领域将引发更多思考。
2024年,白宫科技政策办公室(OSTP)下属国家科学技术委员会(NSTC)发布的《国家人工智能研发战略计划》明确,联邦资助的人工智能研究,要重点关注有重大社会效应但产业不太可能涉及的领域”,如用于公共卫生、城市系统和智能社区的AI(人工智能)领域,以及涉及社会福利、刑事司法、环境可持续发展和国家安全相关的领域”。这实际是对AI战略落地进行分层,即市场的归市场”,政府只集中关注市场容易忽略且同时具有强外部性的领域。
2024年,美国国土安全部拟成立AI特别工作组,研究利用AI保护国土安全。该工作组拟找到一个最佳点,在不扼杀创新的情况下建立护栏”。2024年6月,欧洲议会批准《人工智能法案》,试图调和人工智能的发展利用与欧盟国家社会价值观和公民基本权利之间的矛盾。
近期,各国加强对生成式人工智能的监管。生成式人工智能是前沿的数字技术之一,需要抢抓发展机遇。同时,它或将对行业格局和劳动力市场产生较大冲击,亟待加强规制。
有研究检验了生成式训练转换器(GPT)对美国劳动力市场的潜在影响。研究发现,约80%的美国劳动力会受到GPT影响,其工作任务中至少有10%受到影响,且更高收入的工作可能面临更大的风险。也有人认为,政府应该进一步加强科技伦理监管,像对待药品一样对待人工智能,在公开发布之前有专门的监管机构对其进行严格的测试和预先批准。
2024年1月,法国数据保护监管机构——法国国家信息与自由委员会(CNIL)对亚马逊处以3200万欧元的罚款,认为亚马逊对其员工采用了过度侵入性”的监控。
CNIL的调查报告称,亚马逊法国物流公司给员工配备了扫描仪,记录员工搬运及包装包裹等工作所用的时间,被用来计算每位员工的工作质量、工作效率和非工作时间。如扫描仪监测到员工超过10分钟无活动,或包裹处理的时间少于1.25秒,扫描仪就会发出警报,并上报管理层,员工需要解释其短暂中断工作的理由。
研究美欧平台经济监管趋势和国际动向,对我国完善新业态新模式监管、优化数字营商环境具有一定的政策启示。
在数字经济中更多引入市场竞争机制,鼓励平台在平等环境下就产品和服务的价格、质量等开展市场竞争。对于不同的平台经济分门别类,建立相应的规制新体系,并把专业评审机构作为行业监管的重要守门人”,引入第三方评估机制。建立与国际通行规则相衔接的数字经济监管体系,结合国际经验和社会各方意见,研究取消或放松过时的监管制度,创新针对网约车、无人驾驶汽车、互联网医疗等新模式、新业态的监管制度。
(作者系中国社会科学院财经战略研究院副研究员)
好了,本文到此结束,如果可以帮助到大家,还望关注本站哦!