美国数据安全倡议:重启欧美数据流动
美国数据安全倡议:重启欧美数据流动据估计,欧盟和美国之间的跨大西洋数据和信息流价值超过 7.1 万亿美元,涉及 5300 多家公司,包括 Twitter、谷歌、Facebook 和亚马逊等科技巨头。全球进入后疫情时代,人们已经意识到,数据流对全球经济至关重要,这有助于经济应对(例如医学研究的数据共享、疫苗生产设施的监控和自动化控制,以及采用数字服务实现业务连续性)和社会反应(例如家庭视频通话、接触者追踪、用于娱乐和在线购物的流媒体内容)。▲ 来源:《互联网法律评论》整理在Schrems II 案中,欧盟法院发现,根据美国的数据监控法律和数据处理者的合规要求,公司无法确保一旦转移,美国的个人数据会得到与欧盟相同的保护。具体而言,欧盟法院认定美国《外国情报监视法》(FISA)第702 条和第 12333 号行政命令允许美国情报机构收集有关外国国民的数据,这与《欧盟宪章》所保障的权利不符。可以说,从欧盟流向美国的个人数据在法律上
拜登政府于2022年10月7日发布了一项行政命令,同时司法部宣布建立新的规则,旨在促进欧盟和美国之间未来的数据传输。该行政命令对美国的大规模监视施加了一些新规则,并为受到非法监视的个人制定了行政补救程序。新的安排被称为“欧美数据隐私框架”(EU-U.S. Data Privacy Framework,简称DPF)。
一
美欧数据传输框架背景
1、欧盟法院质疑美国隐私保护长期以来,协调欧盟和美国数据保护的方式,一直受到对监视和保护主义双重担忧的困扰。虽然双方曾就建立跨大西洋数据流的法律工具达成一致——最初是 2000 年的美国-欧盟“安全港”(SafeHarbor)协议,以及欧盟-美国隐私护盾(Privacy Shield)——但欧盟法院现在已经通过Schrems I和Schrems II案裁决,两次破坏了上述努力。
在Schrems II 案中,欧盟法院发现,根据美国的数据监控法律和数据处理者的合规要求,公司无法确保一旦转移,美国的个人数据会得到与欧盟相同的保护。具体而言,欧盟法院认定美国《外国情报监视法》(FISA)第702 条和第 12333 号行政命令允许美国情报机构收集有关外国国民的数据,这与《欧盟宪章》所保障的权利不符。
可以说,从欧盟流向美国的个人数据在法律上一直存在问题,或者说,数据传输实际上是被禁止的。
图:美欧数据传输大事件
▲ 来源:《互联网法律评论》整理
2、美欧之间数据传输的经济价值据估计,欧盟和美国之间的跨大西洋数据和信息流价值超过 7.1 万亿美元,涉及 5300 多家公司,包括 Twitter、谷歌、Facebook 和亚马逊等科技巨头。全球进入后疫情时代,人们已经意识到,数据流对全球经济至关重要,这有助于经济应对(例如医学研究的数据共享、疫苗生产设施的监控和自动化控制,以及采用数字服务实现业务连续性)和社会反应(例如家庭视频通话、接触者追踪、用于娱乐和在线购物的流媒体内容)。
信息技术与创新基金会(ITIF)使用其研究模型计算发现,一个国家的数据限制每增加 1 个百分点,其贸易总产出将减少 7%,其生产率降低 2.9%,并且在五年内将下游价格提高 1.5%。
3、美欧数据隐私保护的分歧欧盟和美国对数据保护采取不同的方法:
• 欧盟通常以自上而下的方式,平衡政府间和超国家政策;美国倾向于自下而上的方式,体现国家的治理权利;
• 欧盟拥有全面的总体立法,并将数据保护作为重中之重;而美国目前则采取零散的方法,没有全面的法规或监管联邦机构。
但更根本层面上,欧盟与美国分歧的本质,更可能是源自“数据”作为各自地缘政治工具的功用不同:欧盟以“人权”为重点,而美国则更关注“贸易”。
二
欧美数据隐私框架(DPF)的新变化
白宫在文件中保证,这份行政令将为欧盟委员会提供一个通过新决定的基础,恢复欧盟法律下可访问的和可负担的数据传输机制;它还将为把欧盟个人数据转移到美国的公司提供更大的法律确定性。新的 DPF (Data Privacy Framework)包括三个组成部分:美国组织可以自行认证的商业数据保护原则、总统行政命令和司法部(DOJ)法规。
1、信号情报的限制原则转变:必要性和相称性欧盟法院在宣布“隐私盾”无效时所提到的两个缺陷:美国对监视情报数据的处理,缺乏“必要性”和具备“相称性”的限制,以及对政府非法监视缺乏申诉权。而该行政命令要求情报当局将美国的信号情报活动限制在必要和相称的范围内。
行政命令首先通过明确授权,然后解释该授权的含义,最后通过规定监督机制来验证情报机构是否遵守新规则,从而施加必要性和相称性限制。
长期以来,必要性和相称性,被视为与欧盟法院和欧洲人权法院判例的悠久历史相关的以欧盟为中心的术语,而美国法律长期以来首选的是“合理性”标准。这份行政令中的转变,说明美国可能预备未来与欧盟谈判中做出某些妥协。
2、有效的补救措施:数据保护审查法院欧盟法院的裁决指出,美国“在干预情报计划方面存在司法保护漏洞”,并且未授予可在法院对美国当局提起诉讼的数据主体权利,由此得出结论数据主体无权获得有效补救。而隐私盾监察员未能解决上述不足之处,因为它无权约束情报当局,并独立于行政部门做出决定——监察员可能会被解雇。
于是,10月7日美国的白宫行政令与司法部规定共同创建了一个两步补救系统,包括一个新的数据保护审查法院,以处理有关美国信号情报活动合法性的投诉:
第一层审查:美国国家情报总监办公室(CLPO)初步调查
美国国家情报总监办公室(CLPO)的公民自由保护干事将对收到的合格投诉进行初步调查,以确定是否违反了行政总裁的强化保障措施或其他适用的美国法律,如果违反了,则确定适当的补救措施。行政令建立了CLPO现有的法定职能,规定CLPO的决定将对情报界具有约束力,并接受第二层审查,并为确保CLPO调查和决定的独立性提供保护。
第二层审查:数据保护审查法院(DPRC)的独立审查
美国授权并指示司法部长建立一个数据保护审查法院(DPRC),根据个人或情报界成员的申请,对CLPO的决定提供独立且具有约束力的审查。DPRC的法官将从美国政府以外任命,在数据隐私和国家安全领域具有相关经验,独立审查案件,并享有免受免职的保护。如果 DPRC 不同意 CLPO 的决定,它可以发布自己的决定和补救措施,而情报界必须遵守。司法部长还在行政令发布的当天,发布了关于设立DPRC的配套条例。
此外,行政令还呼吁隐私和公民自由监督委员会审查情报界的政策和程序,以确保它们与行政命令一致,并对纠正程序进行年度审查,包括审查情报界是否完全遵守CLPO和DPRC所作的决定。
3、对商业行为的影响:自我认证和GDPR直接引用欧盟法院没有质疑隐私盾(Privacy Shield)的商业原则,大多数人认为这些原则不会受到影响。然而美国当局表示,新的DPF将更新商业原则中的所有引用,以直接引述《欧盟一般数据保护条例》(GDPR)而非1995年的《欧盟数据保护指令》。即,商业原则下的个人数据定义,它将与GDPR而不是《欧盟数据保护指令》的定义相关联。
所以,美国公司应该继续关注美国商务部关于如何在隐私政策及其自我认证中反映这些变化的进一步更新和指导。
三
对欧美数据隐私框架(DPF)的评价及后续发展评估
1、欧盟审查欧盟委员会现在将启动其充分性评估。许多欧盟机构将参与该框架的审查,包括欧洲数据保护委员会和成员国的代表,最终决定权握在欧盟委员会的手中。通常,欧盟委员会完成充分性确定草案的过程需要四五个月的时间。
欧盟行政部门和美国政府都希望新框架能够坚持下去,并且在理想情况下足以应对任何法律挑战。然而,欧盟的执行机构也是一个不确定性因素,他们可以对审查过程中提出的担忧置之不理或者相反。
2、企业欢迎从法律上讲,在获得充分性决定之前,企业应继续遵循欧洲数据保护委员会关于补充传输工具的措施的建议。包括Facebook和谷歌在内的科技巨头希望新的DPF能尽快通过,因为他们在欧盟地区的业务和服务都面临着中断。当然,数以千计的小型企业也需要跨境数据流的法律确定性。各行各业的科技行业协会都迅速对美国行政令的签署表示欢迎,并敦促欧盟迅速采用。
大部分公司对此的观点可能是,“修复”就足够了——只要它允许跨境数据流“一切照旧”,立即解决约束贸易相关数据流的合法性即可。
3、其他质疑欧洲消费者组织(BEUC)在一份声明中警告称,“尽管美国方面提出了额外的保障措施,但美国和欧盟在隐私和数据保护水平方面仍存在根本差异,这些差异仍然太大而无法弥补”,并敦促数据保护当局“严格审查任何新的数据传输协议”。
欧洲隐私权活动家马克斯•施雷姆斯(Max Schrems)律师以下三个观点最为引人关注,因为他此前已经通过诉讼推翻了隐私盾和安全港。
>>>>非美国人的隐私权
Schrems 指出,虽然欧盟和美国都同意窃听需要合理的理由和司法批准,然而,本质上美国认为外国人没有隐私权,如果非美国人在美国法律下没有权利,那么美国作为世界云服务的提供商,就必须受到质疑。
>>>>“相称性”的含义分歧
Schrems 提醒说,“欧盟和美国现在同意使用‘相称’这个词,但似乎在其含义上存在分歧。最终,欧盟法院的定义将占上风——很可能再次扼杀欧盟委员会的任何决定。”
>>>>DPRC作为法院的性质受质疑
Schrems 还指出,数据保护审查法院(DPRC)不是一个真正的法院,而只是将一些投诉机构更名为‘法院’并不能使其成为真正的法院,程序的细节也将与是否符合欧盟法律有关。
结论
很明显,美欧之间的数据传输仍然面临着法律挑战,而且最大挑战不是美国确保授予这些隐私权的政治意愿,而是确定一个可行的法律结构来实现这些权利。如果这个新框架再次被否定,就会再次重新启动数据传输的投诉周期,欧盟对美国公司进一步的监管打击也将是不可避免的。
在这场博弈中,我们似乎看到了两个相互冲突的趋势:一方面,美国数据保护原则似乎正在靠近欧盟,但另一方面,美欧对数据的重视及其背后的地缘政治动因,也似乎将双方数据传输的壁垒越筑越高——美国以国家安全为重点的监视法与欧盟基本隐私权之间的根本冲突不可能消失。
双方很可能会回到一个新的法律困境中。
参考资料
• https://iapp.org/news/a/the-eu-u-s-data-privacy-framework-a-new-era-for-data-transfers/
• https://www.whitehouse.gov/briefing-room/presidential-actions/2022/10/07/executive-order-on-enhancing-safeguards-for-united-states-signals-intelligence-activities/
• https://www.whitehouse.gov/briefing-room/statements-releases/2022/10/07/fact-sheet-president-biden-signs-executive-order-to-implement-the-european-union-u-s-data-privacy-framework/
• https://techcrunch.com/2022/10/07/eu-us-data-privacy-framework-executive-order-signed/
• https://www.commerce.gov/news/press-releases/2022/10/statement-us-secretary-commerce-gina-raimondo-enhancing-safeguards
• https://www.justice.gov/opcl/redress-data-protection-review-court
• https://www.whitehouse.gov/briefing-room/statements-releases/2022/03/25/fact-sheet-united-states-and-european-commission-announce-trans-atlantic-data-privacy-framework/
• https://www.linkedin.com/pulse/data-protection-instrument-geopolitics-serving-state-trade-domingus/
• https://degree.astate.edu/articles/media-management/eu-and-us-data-protection.aspx
作者:张颖 《互联网法律评论》主编
【免责声明】此文仅代表作者个人观点,与本平台无关。本平台对文中陈述、观点判断保持中立,不对所包含内容的准确性、完整性或可靠性提供任何明示或暗示的保证。