單文華,鄧 娜
(西安交通大學(xué) 法學(xué)院,陜西 西安 710049)
歐盟是美國重要的數(shù)字貿(mào)易伙伴,2000—2020年,美國依靠《安全港協(xié)議》和《隱私盾協(xié)議》實(shí)現(xiàn)了歐盟公民個(gè)人數(shù)據(jù)持續(xù)向美國流動(dòng)。多年以來雙方之間的數(shù)據(jù)流動(dòng)雖然不乏波折,但是總體比較穩(wěn)定(1)雖然《安全港協(xié)議》于2015年10月被歐盟法院判定無效,但是歐美雙方很快重新達(dá)成了《隱私盾協(xié)議》,并于2016年7月生效。。不過,由于歐盟和美國數(shù)據(jù)法律體系差異較大,雙方在數(shù)字經(jīng)濟(jì)的發(fā)展上存在根本利益沖突,所以跨大西洋數(shù)據(jù)傳輸機(jī)制具有先天的脆弱性。最終,《隱私盾協(xié)議》難逃和《安全港協(xié)議》同樣的命運(yùn),于2020年7月被歐盟法院判定無效。通過對(duì)《隱私盾協(xié)議》無效案的剖析,可以管窺歐美之間數(shù)據(jù)跨境流動(dòng)存在的深層問題,了解國際數(shù)據(jù)保護(hù)立法的主要趨勢(shì),為我國制定符合國際潮流和現(xiàn)實(shí)國情的數(shù)據(jù)保護(hù)及跨境數(shù)據(jù)流動(dòng)法律體系、推動(dòng)國際數(shù)據(jù)治理提供有益借鑒。
歐盟數(shù)據(jù)向外流動(dòng)主要依賴充分性認(rèn)定機(jī)制。歐盟委員會(huì)在評(píng)估第三國或地區(qū)的法律法規(guī)、司法系統(tǒng)、人權(quán)保護(hù)狀況、國防及國家安全體系等因素后,如果認(rèn)定其數(shù)據(jù)保護(hù)體系強(qiáng)勁有力,能達(dá)到與歐盟法“實(shí)質(zhì)等同”(essentially equivalent)、并不要求“完全一樣”(identical)的保護(hù)水平,歐盟可單方面發(fā)布對(duì)該國的充分性認(rèn)定決定,如此則數(shù)據(jù)可以自由地從歐盟傳輸至該國境內(nèi)所有的經(jīng)濟(jì)組織,包括私人企業(yè)[1]。鑒于歐盟數(shù)據(jù)保護(hù)的高門檻和高標(biāo)準(zhǔn),能得到“充分性認(rèn)定”的國家并不多(2)目前得到歐盟充分性認(rèn)定的一共有13個(gè)國家和地區(qū),包括加拿大、日本、阿根廷、安道爾、以色列、新西蘭、瑞士、烏拉圭、法羅群島等。。由于美國缺少綜合性的聯(lián)邦隱私立法,其數(shù)據(jù)保護(hù)狀況未能得到歐盟一攬子的充分性認(rèn)定。于是,《安全港協(xié)議》和《隱私盾協(xié)議》應(yīng)運(yùn)而生。
歐美一直是重要的數(shù)字貿(mào)易伙伴,數(shù)據(jù)交流頻繁,歐美雙方一直在探索靈活又實(shí)際的方式以消除雙方數(shù)據(jù)流動(dòng)的阻礙。歐盟自1995年《數(shù)據(jù)保護(hù)指令》開始限制個(gè)人數(shù)據(jù)向第三國轉(zhuǎn)移。歐美雙方于1998年起開始磋商《安全港協(xié)議》,試圖為歐盟公民數(shù)據(jù)向美國的自由流動(dòng)創(chuàng)造便利條件,雙方于2000年達(dá)成《安全港協(xié)議》,借此美國得到了歐盟“局部性”的充分性認(rèn)定。實(shí)際上,美國是唯一沒有綜合性隱私法律卻仍然享受了歐盟充分性認(rèn)定待遇的國家[2]?!鞍踩邸睓C(jī)制自2000年7月開始實(shí)施,一直到2015年10月失效,極大促進(jìn)了歐美之間商業(yè)性的數(shù)據(jù)流動(dòng)。
《安全港協(xié)議》包含了一系列數(shù)據(jù)保護(hù)原則,私人企業(yè)可以申請(qǐng)加入并且承諾履行相應(yīng)義務(wù),以此換取歐美間不受限制地傳輸數(shù)據(jù)的權(quán)利。經(jīng)過《安全港協(xié)議》認(rèn)證的美國公司必須執(zhí)行比美國法律要求更加嚴(yán)格的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)。盡管如此,美國的企業(yè)乃至整個(gè)數(shù)字經(jīng)濟(jì),都能借助“安全港”機(jī)制享受充分性認(rèn)定帶來的實(shí)質(zhì)性收益。美國的科技公司利用歐美間不受限制的數(shù)據(jù)流動(dòng)開發(fā)出了瞄準(zhǔn)歐洲市場的商業(yè)模式,帶來了巨大的經(jīng)濟(jì)效益。
2013年斯諾登事件爆發(fā)后,奧地利法學(xué)學(xué)生Max Schrems就其Fackbook數(shù)據(jù)轉(zhuǎn)移到美國時(shí)并未得到充分保護(hù)為由,向愛爾蘭數(shù)據(jù)保護(hù)委員會(huì)(Data Protection Commissioner,DPC)提出投訴。當(dāng)時(shí)歐美之間實(shí)行的是2000年簽訂的《安全港協(xié)議》。案件被移交至歐盟法院后,法院認(rèn)為美國將法律執(zhí)行和國家安全置于隱私保護(hù)原則之上,《安全港協(xié)議》并不能確保歐盟公民數(shù)據(jù)在美國得到充分保護(hù),從而判定其失效。
《安全港協(xié)議》的無效嚴(yán)重?cái)_亂了歐美之間多年穩(wěn)定的數(shù)據(jù)流動(dòng)秩序,成為雙方的重大關(guān)切。于是,雙方緊急磋商達(dá)成了新的《隱私盾協(xié)議》,并于2016年7月開始實(shí)施。該協(xié)議完善了《安全港協(xié)議》的部分規(guī)則與實(shí)踐,可以說是《安全港協(xié)議》的改進(jìn)替代版。此后,“隱私盾”機(jī)制繼續(xù)維系著歐美之間的數(shù)據(jù)流動(dòng),先后共有5 300多家企業(yè)加入其認(rèn)證體系(3)此為“隱私盾”官網(wǎng)公布的數(shù)據(jù)。。在《隱私盾協(xié)議》中,較之《安全港協(xié)議》,美國作出了不少妥協(xié)和讓步。例如該協(xié)議首次要求美國政府向歐盟遞交書面說明,保證其在維護(hù)國家安全、保障公共利益以及執(zhí)行法律的過程中有明確的權(quán)力范圍及監(jiān)管機(jī)制,并且設(shè)立了監(jiān)察員制度,監(jiān)察員的主要職責(zé)是處理歐盟公民的個(gè)人數(shù)據(jù)在美國境內(nèi)受保護(hù)的訴求(4)“隱私盾”的監(jiān)察員是Keith Krach,為美國經(jīng)濟(jì)增長、能源和環(huán)境部的秘書。。該制度不僅適用于通過《隱私盾協(xié)議》從歐盟轉(zhuǎn)移到美國的個(gè)人數(shù)據(jù),也涵蓋基于商業(yè)目的通過“標(biāo)準(zhǔn)合同條款”(standard contractual clauses,SCCs)、“約束性公司規(guī)則”(binding corporate rules,BCRs)等方式轉(zhuǎn)移到美國的數(shù)據(jù)[3]。此外,《隱私盾協(xié)議》還設(shè)立了由歐盟委員會(huì)和美國商會(huì)共同執(zhí)行的年度聯(lián)合審查機(jī)制。2017—2019年,對(duì)《隱私盾協(xié)議》的實(shí)際執(zhí)行情況一共進(jìn)行了3次年度審查。不過,雖然《隱私盾協(xié)議》看似比《安全港協(xié)議》更加具體完善,但是并未要求美國當(dāng)局修訂其國家安全和數(shù)據(jù)隱私方面的立法,因而無法從根本上阻止美國國家安全局(NSA)和其他情報(bào)機(jī)構(gòu)以違背歐盟法律原則的方式對(duì)歐盟公民實(shí)施監(jiān)控。歐盟公民個(gè)人數(shù)據(jù)在美國境內(nèi)受保護(hù)的情況未能獲得實(shí)質(zhì)性改變,最終導(dǎo)致該協(xié)議也被歐盟法院判定無效。
《隱私盾協(xié)議》無效案與2015年判決《安全港協(xié)議》失效的SchremsⅠ案一脈相承,故稱為SchremsⅡ案。當(dāng)年《安全港協(xié)議》失效以后,Facebook改用SCCs作為向美國傳輸歐洲公民數(shù)據(jù)的合法途徑。2015年底,Max Schrems再次向DPC投訴,以相同理由要求暫停Fackbook使用SCCs。該案審理期間,歐美雙方重新簽訂了《隱私盾協(xié)議》作為《安全港協(xié)議》的替代和延續(xù)。所以,在向歐盟法院移交案件時(shí),除了SCCs的合法性問題,愛爾蘭高等法院也對(duì)《隱私盾協(xié)議》的有效性提出了質(zhì)疑。歐盟法院經(jīng)過調(diào)查后認(rèn)為美國政府機(jī)構(gòu)對(duì)個(gè)人數(shù)據(jù)的訪問權(quán)沒有限制在“必要”和“適度”的范圍內(nèi),而且對(duì)此歐盟公民在美國缺乏獲得司法救濟(jì)的有效途徑,最終于2020年7月判定《隱私盾協(xié)議》無效(5)本部分關(guān)于SchremsⅡ案的概括介紹,主要參考?xì)W盟法院Data Protection Commissioner v.Facebook Ireland Limited,Maximillian Schrems一案的判決書(Case C-311/18)。。但是,法院并未裁定SCCs無效。
歐盟對(duì)美國繁密多重的國家安全法律及大規(guī)模監(jiān)控體系能否與歐盟法律原則兼容心存疑慮,其中最擔(dān)心的是美國政府可以任意訪問歐盟公民的個(gè)人數(shù)據(jù),而歐盟公民對(duì)此缺乏有效的法律救濟(jì)措施。歐盟法院在《隱私盾協(xié)議》無效案的判決中,多次表示美國國家安全體系及情報(bào)收集活動(dòng)侵犯了歐盟公民的基本權(quán)利,而且美國的法律體系無法為歐盟公民提供與《歐盟基本權(quán)利憲章》(以下簡稱為《憲章》)“實(shí)質(zhì)等同”的保護(hù)。在美國眾多的國家安全法案與情報(bào)機(jī)制中,與歐盟個(gè)人數(shù)據(jù)保護(hù)沖突最明顯的當(dāng)屬美國1978年《外國情報(bào)監(jiān)視法案》(ForeignIntelligenceSurveillanceAct1978,FISA)第702條和美國第12333號(hào)行政命令(ExecutiveOrder12333,EO12333)。FISA第702條規(guī)定,情報(bào)部門可以實(shí)行大規(guī)模監(jiān)控,包括對(duì)處于美國境外的非美國公民的監(jiān)控,從而為美國的“棱鏡”(PRISM)和“上游”(UPSTREAM)監(jiān)控計(jì)劃提供了法律基礎(chǔ)。盡管FISA第702條確立了“最小化”原則,并且規(guī)定NSA只能對(duì)經(jīng)過“選擇器”(selector)篩選的具體目標(biāo)實(shí)施監(jiān)控,但是美國公民自由協(xié)會(huì)指出,“選擇器”的設(shè)計(jì)初衷只為防止美國公民的通信被不正當(dāng)監(jiān)控,情報(bào)機(jī)構(gòu)仍然可以輕易隨機(jī)鎖定抓取任一非美國公民的個(gè)人數(shù)據(jù)[4]。EO12333于1981年由美國前總統(tǒng)里根簽署,為美國當(dāng)局設(shè)置了新的更加廣泛的監(jiān)控權(quán)限,同時(shí)為NSA許多超出公共安全目的的監(jiān)控行為提供了法律依據(jù)。EO12333允許NSA通過訪問跨大西洋水底電纜來攔截從歐洲向美國傳輸?shù)摹霸谕尽睌?shù)據(jù),因?yàn)檫@些數(shù)據(jù)到達(dá)美國境內(nèi)之后將受到FISA管轄,所以NSA提前將其截留保存[4]。而且,NSA根據(jù)EO12333作出的情報(bào)收集活動(dòng)不受其他法律約束,也不接受司法監(jiān)督和審判。歐盟一直認(rèn)為尊重私人生活和保護(hù)個(gè)人數(shù)據(jù)是一種基本人權(quán),關(guān)系到人的尊嚴(yán)與自由,自然難以容忍美國以國家安全之名實(shí)施大規(guī)模監(jiān)控和非法采集他國公民個(gè)人信息的行為。數(shù)據(jù)主體的權(quán)利在歐盟受到最高級(jí)別即憲法層面的保護(hù)。宏觀來看,《通用數(shù)據(jù)保護(hù)條例》(GeneralDataProtectionRegulation,GDPR)中規(guī)定的數(shù)據(jù)傳輸機(jī)制也受制于《憲章》第7條、第8條規(guī)定的人權(quán)保護(hù)義務(wù)。
斯諾登事件后,美國前總統(tǒng)奧巴馬頒布了《美國總統(tǒng)政策指令28》(PresidentialPolicyDirective28,PPD28),對(duì)美國當(dāng)局情報(bào)活動(dòng)施加了一些限制,為非美國公民遭遇情報(bào)機(jī)構(gòu)監(jiān)控提供了一定的隱私保護(hù)。該指令籠統(tǒng)地規(guī)定情報(bào)收集必須根據(jù)法律或者總統(tǒng)授權(quán),還要求情報(bào)活動(dòng)應(yīng)“盡可能地量身定制”(as tailored as feasible)。歐盟法院認(rèn)為這些規(guī)定過于簡單,形式大于內(nèi)容,不足以保護(hù)歐盟公民根據(jù)《憲章》第7、8條享有的基本權(quán)利。當(dāng)歐盟公民遭遇美國當(dāng)局非法處理其個(gè)人數(shù)據(jù)時(shí),也無法獲得與美國公民相同的救濟(jì)措施。因?yàn)樵诿绹审w系中,憲法第四修正案是對(duì)抗非法監(jiān)控最重要的訴因和最有效的手段,而憲法修正案不能適用于與美國沒有重大自愿聯(lián)系(significant voluntary connection with the U.S.)的歐盟公民。雖然歐盟公民還可以采取一些其他的救濟(jì)措施,但是實(shí)施起來也將面臨實(shí)質(zhì)性的障礙(6)例如,根據(jù)美國憲法第三條,任何向聯(lián)邦法院提起訴訟的原告必須首先證明其具有充分的“訴訟資格”(standing),要求其證明已經(jīng)遭受實(shí)際傷害(injury),并且這種傷害是具體且緊迫的(concrete and imminent)。歐盟法院認(rèn)為美國最高法院對(duì)Clapper v.Amnesty International一案的判決足以說明歐盟公民在現(xiàn)實(shí)中很難滿足“訴訟資格”所要求的條件,尤其考慮到美國當(dāng)局沒有任何義務(wù)告知數(shù)據(jù)主體針對(duì)他們所采取的監(jiān)控措施。此外,情報(bào)機(jī)構(gòu)的主權(quán)豁免權(quán)和有關(guān)信息的分類等也構(gòu)成了歐盟公民行使某些救濟(jì)措施的障礙。。此外,歐盟法院指出,“隱私盾”體系設(shè)立的監(jiān)察員機(jī)制,并非《憲章》第47條意義上的法庭,因?yàn)槠潆`屬于行政部門,缺乏“獨(dú)立性”??傮w來說,美國國家安全法律不能有效約束情報(bào)部門的行為,對(duì)個(gè)人數(shù)據(jù)的監(jiān)控存在任意性和普遍性,這與歐盟數(shù)據(jù)保護(hù)的原則明顯相悖。歐盟不僅通過GDPR在境內(nèi)對(duì)個(gè)人數(shù)據(jù)提供嚴(yán)格保護(hù),并且借助充分性認(rèn)定機(jī)制、SCCs和BCRs等機(jī)制確保歐盟公民的個(gè)人數(shù)據(jù)無論處于何地都能受到與歐盟立法相當(dāng)水準(zhǔn)的保護(hù)。如果經(jīng)評(píng)估后認(rèn)為第三國的法律和實(shí)踐可能影響這些機(jī)制的有效性,歐盟就會(huì)要求數(shù)據(jù)出口方采取必要的補(bǔ)充措施(7)歐洲數(shù)據(jù)保護(hù)委員會(huì)(EDPB)在2020年11月發(fā)布的《補(bǔ)充轉(zhuǎn)移工具措施指南》中以非窮盡的方式列舉了GDPR第46條的補(bǔ)充措施,將具體場景區(qū)分為有無有效措施兩大類別。。歐盟不愿意承擔(dān)數(shù)據(jù)出口至美國后的不確定性給數(shù)據(jù)主體權(quán)利帶來的風(fēng)險(xiǎn),對(duì)個(gè)人數(shù)據(jù)的保護(hù)水平持續(xù)保持高度警覺。如果最終沒有合適的補(bǔ)充措施確保與歐盟相當(dāng)水準(zhǔn)的保護(hù),則寧可選擇避免、暫?;蛘呓K結(jié)該數(shù)據(jù)傳輸。盡管歐美經(jīng)貿(mào)往來密切,歐盟法院堅(jiān)持優(yōu)先考慮隱私和數(shù)據(jù)權(quán)利的保護(hù),而不是數(shù)據(jù)跨境流動(dòng)帶來的經(jīng)濟(jì)收益。雖然美國政府、歐盟委員會(huì)以及大多數(shù)歐盟成員國都極度希望保留“隱私盾”這一非常高效有用的數(shù)據(jù)傳輸機(jī)制,但是現(xiàn)實(shí)情況已經(jīng)超出了他們的控制范圍。
“隱私盾”的失效是歐美兩大數(shù)據(jù)治理陣營激烈碰撞的結(jié)果,反映出雙方數(shù)據(jù)保護(hù)體系存在系統(tǒng)性差異。這些差異主要表現(xiàn)如下:
1.歐美對(duì)數(shù)據(jù)保護(hù)理念與定位之差異
歐盟法律體系的典型特點(diǎn)是以權(quán)利保護(hù)為導(dǎo)向,數(shù)據(jù)主體的權(quán)利被上升為基本權(quán)利,得到了憲法層面強(qiáng)有力的支持。歐盟法院在司法實(shí)踐中堅(jiān)定地捍衛(wèi)這種權(quán)利,其法律依據(jù)除了《憲章》第7、8條以外,還包括《歐洲人權(quán)公約》第8條尊重隱私生活的規(guī)定,并且得到了歐洲人權(quán)法院的支持,由此在整個(gè)歐盟奠定了不能將數(shù)據(jù)保護(hù)交由自由市場支配的理念。
美國在理念上崇尚新自由主義,對(duì)數(shù)據(jù)隱私的保護(hù)秉承放任和不干涉的態(tài)度。歷屆美國政府都優(yōu)先保障創(chuàng)新和技術(shù)進(jìn)步,提倡各行業(yè)的自治,不愿實(shí)質(zhì)性地限制企業(yè)行為[6]170。20世紀(jì)90年代,克林頓政府甚至力圖將美國的行業(yè)自治理念推廣為全球標(biāo)準(zhǔn)。歐盟1995年的《數(shù)據(jù)保護(hù)指令》對(duì)個(gè)人數(shù)據(jù)向歐盟境外流動(dòng)施加了限制,被認(rèn)為給跨大西洋的貿(mào)易帶來了不利影響,在美國曾一度遭受質(zhì)疑[5]130。美國憲法第一修正案禁止任何削弱言論自由的法律,通常被用來限制數(shù)據(jù)主體的權(quán)利。例如,佛蒙特州的數(shù)據(jù)隱私法案禁止藥房和健康保險(xiǎn)公司在未經(jīng)患者同意的情況下出于商業(yè)目的使用和出售患者個(gè)人信息,最高法院認(rèn)為該項(xiàng)規(guī)定限制了藥房和健康保險(xiǎn)公司的言論自由,所以依據(jù)憲法第一修正案于2011年廢除了該隱私法案[6]107。某種意義上說,憲法實(shí)際上強(qiáng)化了數(shù)據(jù)處理者的權(quán)利??傮w來說,美國主張以市場為導(dǎo)向,規(guī)定聯(lián)邦貿(mào)易委員會(huì)(Federal Trade Commission,FTC)在自由平等的市場環(huán)境下保護(hù)消費(fèi)者免受不公平待遇,其法律體系更加傾向于保護(hù)數(shù)據(jù)處理者而不是作為消費(fèi)者的數(shù)據(jù)主體的利益。
2.歐美數(shù)據(jù)保護(hù)法律體系之差異
歐美在理論上對(duì)數(shù)據(jù)保護(hù)的不同認(rèn)知給雙方相關(guān)法律體系帶來了重要差異。歐盟的數(shù)據(jù)保護(hù)法律以GDPR為代表,這是一部綜合性的覆蓋了所有經(jīng)濟(jì)領(lǐng)域的法律,適用于任何出于商業(yè)目的對(duì)個(gè)人數(shù)據(jù)處理和使用的情況,而且GDPR在整個(gè)歐盟的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)是一致的,可以直接適用于各成員國。美國的數(shù)據(jù)隱私體系高度碎片化,缺少一部統(tǒng)領(lǐng)性、綜合性的能覆蓋所有經(jīng)濟(jì)部門和所有商業(yè)數(shù)據(jù)處理的數(shù)據(jù)隱私立法,數(shù)據(jù)隱私保護(hù)規(guī)則分散于不同行業(yè)的不同法規(guī)中,而且分屬于不同的監(jiān)管主體(8)聯(lián)邦在醫(yī)療、教育、通信、網(wǎng)絡(luò)安全、兒童數(shù)據(jù)保護(hù)等特定領(lǐng)域頒布了專項(xiàng)法律,并在其中明確了個(gè)人數(shù)據(jù)處理和使用的規(guī)則。美國重要的聯(lián)邦隱私法律有1970年的《公平信用報(bào)告法案》、1974年的《隱私法案》、1986年的《電子通信隱私法案》、1988年的《音像隱私保護(hù)法案》、1996年的《健康保險(xiǎn)攜帶和責(zé)任法案》、1998年的《兒童在線隱私保護(hù)法案》、1999年的《金融現(xiàn)代化法案》、2009年的《健康信息技術(shù)促進(jìn)經(jīng)濟(jì)和臨床健康法案》等。。這些法律覆蓋的經(jīng)濟(jì)部門總體較少,其通過多是為回應(yīng)特定事件和具體關(guān)切。美國各州保護(hù)數(shù)據(jù)隱私的法律和規(guī)定也各不相同,加利福尼亞州、內(nèi)華達(dá)州和緬因州分別通過了綜合性的數(shù)據(jù)隱私立法,另外還有13部相關(guān)法律則處在州議會(huì)審查階段(9)RIPPY S.US state privacy legislation tracker[EB/OL].(2021-07-08)[2021-07-10].https:∥iapp.org/resources/article/us-state-privacy-legislation-tracker/#:~:text=IAPP.。雖然許多歐盟成員國也有獨(dú)立的數(shù)據(jù)保護(hù)法律,但是這些法律要么出于利用GDPR第49條的義務(wù)減免,要么旨在進(jìn)一步強(qiáng)化GDPR的保護(hù)要求[2]4。與美國分散多樣的數(shù)據(jù)隱私立法相比,歐盟這種協(xié)調(diào)統(tǒng)一的數(shù)據(jù)保護(hù)框架更容易被企業(yè)遵循,同時(shí)也極大促進(jìn)了歐洲境內(nèi)數(shù)據(jù)的自由流動(dòng)。此外,GDPR管轄范圍很廣,企業(yè)在歐盟境內(nèi)處理個(gè)人數(shù)據(jù),或者雖然在歐盟境外但是仍涉及對(duì)歐盟公民個(gè)人數(shù)據(jù)的處理,都應(yīng)當(dāng)遵守GDPR的規(guī)定,與美國的數(shù)據(jù)隱私法律相比有明顯更強(qiáng)的域外效力。
GDPR域外適用廣泛且法律模式可移植性高,加上歐盟較強(qiáng)的經(jīng)濟(jì)實(shí)力,目前全球已經(jīng)頒布數(shù)據(jù)隱私法律的134個(gè)主權(quán)國家中,以歐盟為參照的占據(jù)絕大多數(shù),可以說GDPR樹立了全球數(shù)據(jù)保護(hù)的標(biāo)桿(10)GREENLEAF G.Countries with data privacy laws:by year 1973—2019[EB/OL].(2019-06-03)[2020-11-12].https:∥ssrn.com/abstract=3386510.。而美國對(duì)全球隱私標(biāo)準(zhǔn)的建立和發(fā)展幾乎沒什么影響力,在該領(lǐng)域明顯落后于歐洲,并且美國幾乎所有的科技巨頭企業(yè)都必須遵守GDPR。美國各州隱私法案中最亮眼的當(dāng)屬2020年1月生效并于2020年11月修訂的《加州隱私權(quán)法案》(CaliforniaPrivacyRightsAct,CPRA)。修訂后的CPRA成立了專門的獨(dú)立的數(shù)據(jù)保護(hù)機(jī)構(gòu)、擴(kuò)大了“敏感個(gè)人信息”和兒童數(shù)據(jù)的范圍、明確了數(shù)據(jù)保留政策的職責(zé)并增加了消費(fèi)者權(quán)益的選擇[8]。CPRA在個(gè)人數(shù)據(jù)的定義、數(shù)據(jù)主體的權(quán)利類型、專門的數(shù)據(jù)保護(hù)機(jī)構(gòu)等方面與GDPR有明顯的相似性,但是其適用范圍僅局限于加州。美國聯(lián)邦層面仍然缺乏統(tǒng)一的數(shù)據(jù)保護(hù)法,與在歐盟全境統(tǒng)一適用的GDPR相比顯然處于弱勢(shì)地位。美國目前已有制定聯(lián)邦隱私立法的計(jì)劃,但是很有可能會(huì)突破CPRA框架,因?yàn)椤肮埠忘h人不會(huì)希望加州為整個(gè)美國的隱私數(shù)據(jù)保護(hù)設(shè)定標(biāo)準(zhǔn)”[2],因此其前景尚難預(yù)料。
3.歐美數(shù)據(jù)法律實(shí)施體系之差異
歐盟每個(gè)成員國都設(shè)有專門的獨(dú)立的數(shù)據(jù)保護(hù)機(jī)構(gòu)(data protection authority,DPA),主要任務(wù)是執(zhí)行歐盟的數(shù)據(jù)保護(hù)法律,其權(quán)力廣泛,能對(duì)任何違反GDPR處理歐盟公民數(shù)據(jù)的企業(yè)或組織處以罰款,金額上限為2 000萬歐元或者該企業(yè)全年全球營業(yè)總額的4%(取兩者中的較高者)[1]。此外,在歐盟不僅個(gè)人能獨(dú)立向DPA提起訴求,而且DPA按照規(guī)定必須調(diào)查所有收到的投訴請(qǐng)求[2]5。
相比之下,美國沒有實(shí)施綜合性的聯(lián)邦隱私法律,也并未設(shè)立專門的隱私保護(hù)機(jī)構(gòu),聯(lián)邦的數(shù)據(jù)隱私法律由FTC實(shí)施。FTC并非為管理數(shù)據(jù)隱私而專門成立的機(jī)構(gòu),而是主要負(fù)責(zé)處理企業(yè)不正當(dāng)競爭和欺詐消費(fèi)者行為的國家機(jī)關(guān),所以保護(hù)數(shù)據(jù)隱私的權(quán)力比較有限。根據(jù)《聯(lián)邦貿(mào)易委員會(huì)法》規(guī)定,FTC只能對(duì)企業(yè)“不公平和欺詐性商業(yè)行為”罰款,而公民不能根據(jù)該法案提起私人訴求,因此有人批判美國在保護(hù)數(shù)據(jù)權(quán)利方面過于被動(dòng)[2]6。不過,FTC近年來對(duì)隱私法律的實(shí)施和執(zhí)行越來越積極,相關(guān)部門的工作人員數(shù)量越來越多,為在有限的權(quán)力空間內(nèi)最大限度實(shí)現(xiàn)隱私規(guī)管發(fā)揮了創(chuàng)造性作用。自1997年以來,FTC一共處理了超過270件隱私相關(guān)案例,近年來又據(jù)此對(duì)眾多企業(yè)罰款,包括Facebook、劍橋分析公司、Google、Paypal等公司。
在一定意義上,美國數(shù)據(jù)隱私法律的執(zhí)行力度強(qiáng)于歐盟。由于《聯(lián)邦貿(mào)易委員會(huì)法》和美國其他法律對(duì)違法違規(guī)企業(yè)的罰款金額沒有設(shè)置上限,FTC于2019年開具了兩筆巨額罰單,一是因劍橋分析公司丑聞對(duì)Fackbook罰款50億美元,二是因泄露1.43億位消費(fèi)者的個(gè)人信息對(duì)美國征信巨頭Equifax罰款7億美元,這兩筆罰單金額遠(yuǎn)遠(yuǎn)超過了迄今為止GDPR開出的任何一筆罰款金額(11)GDPR下目前最高的兩筆罰款都由英國信息委員會(huì)辦公室(Information Commissioner’s Office)開出,金額分別為對(duì)英國航空公司的1.83億英鎊和對(duì)萬豪國際集團(tuán)的9 900萬英鎊。。相比于FTC的敢作敢為,歐洲的DPA一直以來因資源匱乏、效率低下、不夠強(qiáng)硬而廣受詬病。大約一半的歐盟DPA每年的財(cái)政預(yù)算在500萬歐元及以下,主要來源于相應(yīng)成員國的政府撥款,這些DPA往往因?yàn)樨?cái)政緊張而只能雇傭極少量技術(shù)專家(12)愛爾蘭的數(shù)據(jù)保護(hù)委員會(huì)是個(gè)例外,因?yàn)樵S多美國科技巨頭屬于其管轄范圍,但目前為止其尚未依據(jù)GDPR作出過重大罰款。。而且,與FTC相比,雖然歐盟DPA的權(quán)力更加廣泛、執(zhí)法理由更加多樣,并且理論上能采取更加強(qiáng)有力的執(zhí)法措施,但是從歐盟DPA以往的執(zhí)法實(shí)踐來看,其對(duì)科技巨頭疑似或者明顯違反GDPR的行為未能采取重大執(zhí)法行動(dòng),而且似乎也不愿意開具高額罰單。
《隱私盾協(xié)議》被判失效表面上是為了防止美國政府對(duì)歐盟公民的監(jiān)控,實(shí)質(zhì)上可以說是歐盟憑借其數(shù)據(jù)隱私規(guī)則話語權(quán)對(duì)美國進(jìn)行的一種牽制,目的在于打破美國在數(shù)字經(jīng)濟(jì)領(lǐng)域的技術(shù)霸權(quán),實(shí)現(xiàn)歐盟重新奪回“技術(shù)主權(quán)”(13)歐盟委員會(huì)主席烏爾蘇拉·馮德萊恩曾明確表示,歐盟必須重新奪回自己的“技術(shù)主權(quán)”(technological sovereignty),“技術(shù)主權(quán)”是指“歐盟必須根據(jù)自己的價(jià)值觀并遵守自己的規(guī)則來做出自己的選擇的能力”。的愿望。“技術(shù)主權(quán)”之爭可以說是歐美在數(shù)據(jù)流動(dòng)問題上的根本矛盾所在。
當(dāng)今世界是數(shù)據(jù)主權(quán)和數(shù)據(jù)資源爭奪的時(shí)代。歐盟的互聯(lián)網(wǎng)科技產(chǎn)業(yè)基礎(chǔ)薄弱,在全球數(shù)字經(jīng)濟(jì)中的市場份額與其經(jīng)濟(jì)實(shí)力并不匹配(14)根據(jù)聯(lián)合國發(fā)布的《2019年數(shù)字經(jīng)濟(jì)報(bào)告》,中國與美國占全球70個(gè)最大數(shù)字平臺(tái)市值的90%,而歐洲在其中的份額僅為4%。。與此相反,美國科技公司在全球處于壟斷地位,少數(shù)幾家科技巨頭掌握了全球大部分?jǐn)?shù)據(jù)。而且,目前大量美國互聯(lián)網(wǎng)企業(yè)擁有廣大的歐洲市場,并在歐盟成員國境內(nèi)建立了歐洲總部,在互聯(lián)網(wǎng)及數(shù)字技術(shù)上較之歐盟本地企業(yè)具有較大優(yōu)勢(shì)。美國互聯(lián)網(wǎng)巨頭的崛起與“監(jiān)控資本主義”息息相關(guān)。監(jiān)控資本主義是一種以大數(shù)據(jù)為基礎(chǔ)的互聯(lián)網(wǎng)商業(yè)系統(tǒng),個(gè)人數(shù)據(jù)是該系統(tǒng)內(nèi)企業(yè)增值盈利的核心所在。Google、Fackbook等互聯(lián)網(wǎng)巨頭在網(wǎng)絡(luò)上監(jiān)控并收集用戶留下的大量信息,建立相應(yīng)模型對(duì)用戶的偏好和行為做出分析預(yù)判,然后將這些數(shù)據(jù)出售給需要精準(zhǔn)投放廣告的買家。這種商業(yè)模式迅速在全球的互聯(lián)網(wǎng)公司中流行開來,最終形成了“監(jiān)控資本主義”(Surveillance Capitalism)(15)該理論2015年由美國學(xué)者Shoshana Zuboff提出。。監(jiān)控資本主義的馬太效應(yīng)非常明顯,大型互聯(lián)網(wǎng)科技公司擁有大量用戶,積累了海量數(shù)據(jù),可以對(duì)用戶進(jìn)行更精準(zhǔn)的分析畫像,從而開發(fā)出更有競爭力的產(chǎn)品和服務(wù)。數(shù)據(jù)優(yōu)勢(shì)同時(shí)帶來強(qiáng)大的市場支配力。大型互聯(lián)網(wǎng)公司可以單方面為數(shù)據(jù)的訪問和使用設(shè)置規(guī)則并施加條件,并將這種優(yōu)勢(shì)向新市場拓展。放任美國監(jiān)控資本主義的發(fā)展不僅會(huì)擠壓其他各國互聯(lián)網(wǎng)企業(yè)的生存空間,而且隨著世界范圍內(nèi)的數(shù)據(jù)越來越向美國的互聯(lián)網(wǎng)巨頭集中,各國將進(jìn)一步喪失對(duì)本國數(shù)據(jù)的控制能力,這意味著各國的獨(dú)立自主和安全也可能受到威脅。
歐盟應(yīng)當(dāng)如何抗衡美國強(qiáng)大的監(jiān)控資本主義?《隱私盾協(xié)議》的失效或許只是一個(gè)開始。歐盟擁有完備的個(gè)人數(shù)據(jù)保護(hù)制度,也善于在全球市場中采取單邊規(guī)制,迫使世界其他國家和地區(qū)接受與其相同的規(guī)則標(biāo)準(zhǔn),進(jìn)而增強(qiáng)歐盟在國際規(guī)則制定中的主導(dǎo)權(quán)和影響力(16)歐盟的這種做法被一些學(xué)者冠名為“布魯塞爾效應(yīng)”。。GDPR在強(qiáng)化數(shù)據(jù)主體權(quán)利的同時(shí)增加了數(shù)據(jù)控制者的義務(wù),目的不僅是為保護(hù)歐盟公民的數(shù)據(jù)權(quán)利不被侵犯,更是為防止美國和其他國家利用數(shù)據(jù)優(yōu)勢(shì)地位威脅歐盟成員國的國家安全和主權(quán)獨(dú)立[9]115。歐盟嚴(yán)格的數(shù)據(jù)保護(hù)制度給其經(jīng)貿(mào)伙伴帶來重大挑戰(zhàn),迫使他們?cè)谠黾雍弦?guī)成本的同時(shí)面臨不確定的執(zhí)法,甚至可能延誤進(jìn)入歐盟市場的時(shí)機(jī),從而為本土企業(yè)同外國科技互聯(lián)網(wǎng)企業(yè)的競爭博弈增加了籌碼,為歐洲數(shù)字企業(yè)的崛起創(chuàng)造空間。而對(duì)于其他國家和地區(qū),尤其是互聯(lián)網(wǎng)企業(yè)最具競爭力的美國和中國,GDPR事實(shí)上產(chǎn)生了貿(mào)易保護(hù)主義的效果,形成了數(shù)字經(jīng)濟(jì)時(shí)代的新型貿(mào)易壁壘[10]。
為了保證歐盟抓住數(shù)字經(jīng)濟(jì)發(fā)展的機(jī)遇,歐盟委員會(huì)提出了“技術(shù)主權(quán)”戰(zhàn)略,于2020年2月連續(xù)發(fā)布了《塑造歐洲數(shù)字未來》《歐洲數(shù)據(jù)戰(zhàn)略》和《人工智能白皮書》三份戰(zhàn)略文件,確保歐盟對(duì)數(shù)據(jù)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)和通信等關(guān)鍵技術(shù)的部署、研發(fā)及應(yīng)用具備完全自主的控制能力和恢復(fù)能力,并最終實(shí)現(xiàn)歐洲的數(shù)字化轉(zhuǎn)型。這些關(guān)鍵能力的建設(shè)將有效減少歐洲對(duì)其他地區(qū)關(guān)鍵技術(shù)的依賴,增強(qiáng)歐洲在數(shù)字化時(shí)代設(shè)定自身規(guī)則和價(jià)值觀的能力。為了保證歐盟的價(jià)值觀及經(jīng)濟(jì)社會(huì)模式免受外來的影響、威脅和破壞,歐盟領(lǐng)導(dǎo)人一致認(rèn)為歐洲數(shù)字化轉(zhuǎn)型的設(shè)計(jì)和本質(zhì)都應(yīng)當(dāng)是歐洲式的,為此他們極力為歐洲發(fā)展建設(shè)自身的關(guān)鍵能力創(chuàng)造條件。歐盟還持續(xù)利用反壟斷工具削弱美國互聯(lián)網(wǎng)巨頭在歐洲境內(nèi)的“壟斷性存在”,同時(shí)大力推行“數(shù)字稅”將美國巨頭攫取的歐洲紅利留在歐洲。歐盟表達(dá)了對(duì)于建立統(tǒng)一規(guī)范化數(shù)字市場、把握數(shù)字經(jīng)濟(jì)主權(quán)的強(qiáng)烈愿望,迫切希望在數(shù)字經(jīng)濟(jì)領(lǐng)域能成為與美、中比肩的第三極[11]。
《隱私盾協(xié)議》被判定無效后,歐美雙方的根本性矛盾依然存在。宏觀上看,歐美數(shù)字經(jīng)濟(jì)博弈持續(xù)升級(jí),歐盟出于對(duì)美國監(jiān)控資本主義的忌憚,必將不遺余力地繼續(xù)推行“技術(shù)主權(quán)”戰(zhàn)略。微觀上看,通過SCCs或者BCRs傳輸?shù)矫绹膫€(gè)人數(shù)據(jù),同樣面臨被政府部門獲取而得不到充分救濟(jì)的問題。因?yàn)镾CCs或者BCRs這些機(jī)制都只是以合同形式對(duì)數(shù)據(jù)處理者和數(shù)據(jù)控制者施加限制,無法約束美國當(dāng)局的監(jiān)控行為。而歐盟公民的個(gè)人數(shù)據(jù)一旦傳輸?shù)矫绹?其境內(nèi)的公司亦不可能對(duì)抗國家權(quán)力,只能按照美國國家安全法律的要求配合提供其控制下的個(gè)人數(shù)據(jù)。正如Christopher Kuner所言,想要依靠《隱私盾協(xié)議》、其他充分性認(rèn)定或者SCCs這類程序性機(jī)制在實(shí)踐中達(dá)到保護(hù)數(shù)據(jù)和基本權(quán)利的目標(biāo)效果,只是一種不切實(shí)際的法律想象,因?yàn)檫@些機(jī)制都無法為個(gè)人數(shù)據(jù)提供能夠?qū)雇鈬O(jiān)控和情報(bào)收集活動(dòng)的保護(hù)[12]885。
歐美雙方立場不同,數(shù)據(jù)跨境流動(dòng)的矛盾難以調(diào)和,很難有根本的解決方案?!峨[私盾協(xié)議》的失效極大擾亂了歐美之間正常的數(shù)據(jù)流動(dòng)。歐美雙方能否就數(shù)據(jù)流動(dòng)重新達(dá)成協(xié)議,目前尚未可知。一方面,歐盟法院一心捍衛(wèi)公民的基本權(quán)利并堅(jiān)守歐盟的價(jià)值觀念;另一方面,美方似乎也并無修訂或者弱化其國家安全法律以維護(hù)與歐盟之間數(shù)據(jù)流動(dòng)和數(shù)字貿(mào)易的意愿。一位美國官員認(rèn)為美方甚至很難再加入談判議程,因?yàn)槊婪揭呀?jīng)建設(shè)性地作出過幾次重大讓步,進(jìn)一步的協(xié)商很可能更加不符合美國的利益[2]15。此外,考慮到《隱私盾協(xié)議》無效判決的細(xì)節(jié)對(duì)歐美之間將來可能達(dá)成協(xié)議施加的種種限制,雙方即使重新回到談判桌前,重新達(dá)成共識(shí)也很可能是一場持久戰(zhàn)。
歐美雙方的經(jīng)貿(mào)往來仍在繼續(xù),而數(shù)據(jù)流動(dòng)是支撐數(shù)字服務(wù)貿(mào)易發(fā)展的關(guān)鍵性因素。當(dāng)失去《隱私盾協(xié)議》這一傳統(tǒng)的常規(guī)路徑以后,個(gè)人數(shù)據(jù)從歐盟轉(zhuǎn)移到美國還有哪些合法途徑可以選擇呢?
1.適當(dāng)安全保障措施
如果沒有獲得歐盟委員會(huì)的充分性認(rèn)定,歐盟境內(nèi)的數(shù)據(jù)還可以通過兩種特別保障措施向境外傳輸,包括SCCs和BCRs。SCCs是一種由歐盟委員會(huì)預(yù)先批準(zhǔn)的合同模板,歐盟和第三國或地區(qū)的企業(yè)之間如果要傳輸數(shù)據(jù),雙方事先應(yīng)當(dāng)簽訂此種合同,合同的簽訂代表第三國的企業(yè)已經(jīng)在法律上承諾達(dá)到歐盟要求的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)。BCRs是一種便利公司內(nèi)部或者一群公司之間數(shù)據(jù)流動(dòng)的法律機(jī)制,一般由分屬于不同主權(quán)國家管轄的大型跨國公司使用。BCRs要求整個(gè)組織或者團(tuán)體遵守歐盟要求的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn),需要預(yù)先得到相應(yīng)成員國DPA的批準(zhǔn)。對(duì)企業(yè)來說,建立SCCs或者BCRs機(jī)制花費(fèi)大、負(fù)擔(dān)重,并且不夠靈活,因?yàn)樗鼈兌忌婕氨容^繁重的行政和法律工作,例如梳理和規(guī)劃本企業(yè)所有的數(shù)據(jù)流動(dòng)路徑。
SCCs在《隱私盾協(xié)議》無效案中也遭受過質(zhì)疑和挑戰(zhàn),但是歐盟法院最終認(rèn)定了這一機(jī)制的有效性,理由是其為保護(hù)隱私和個(gè)人基本權(quán)利與自由提供了充分保障。如果因?yàn)榕c特定第三國或者某一組織之間的問題而廢除SCCs這一全球性的數(shù)據(jù)流動(dòng)機(jī)制,顯然是不合適的。而且,如今《隱私盾協(xié)議》已經(jīng)失效,如果SCCs這一數(shù)據(jù)傳輸機(jī)制也被中斷,就沒什么合法的途徑滿足企業(yè)從歐盟向美國傳輸數(shù)據(jù)的需求了,歐盟委員會(huì)將面臨來自工商企業(yè)的巨大壓力。當(dāng)前,微軟、Fackbook等美國互聯(lián)網(wǎng)巨頭已經(jīng)轉(zhuǎn)向SCCs這一數(shù)據(jù)傳輸工具,以維持在歐洲境內(nèi)業(yè)務(wù)的正常開展。
不過,《隱私盾協(xié)議》被判決無效對(duì)SCCs的運(yùn)行產(chǎn)生了重要影響。歐洲數(shù)據(jù)保護(hù)委員會(huì)(European Data Protection Board,EDPB)明確表示應(yīng)當(dāng)對(duì)已經(jīng)使用SCCs的數(shù)據(jù)傳輸行為進(jìn)行“一事一議”的審核,判斷是否需要增加額外的補(bǔ)充措施。如果最終不能確保對(duì)歐盟個(gè)人數(shù)據(jù)提供充分的保護(hù),那么即便有標(biāo)準(zhǔn)合同條款,監(jiān)管機(jī)構(gòu)仍然應(yīng)當(dāng)暫?;蚪乖擁?xiàng)數(shù)據(jù)傳輸(17)EDPB.Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data[EB/OL].(2020-11-10)[2021-01-09].https:∥edpb.europa.eu/our-work-tools/documents/public-consultations/2020/recommendations-012020-measures-supplement_en.。歐盟委員會(huì)于2020年11月發(fā)布了一項(xiàng)關(guān)于改進(jìn)SCCs機(jī)制的實(shí)施決定草案。該草案在保留目前SCCs原則的基礎(chǔ)上(18)根據(jù)歐盟委員會(huì)2001年發(fā)布的決議(2001/497/EC),SCCs的原則主要包括:數(shù)據(jù)出口商有義務(wù)考慮第三國的個(gè)人數(shù)據(jù)保護(hù)水平;數(shù)據(jù)進(jìn)口商有義務(wù)將其無法履行SCCs的情況通知數(shù)據(jù)出口商;出口商在收到此類通知后若決定繼續(xù)傳輸個(gè)人數(shù)據(jù),則有中止數(shù)據(jù)傳輸、終止協(xié)議、通知監(jiān)管機(jī)構(gòu)的義務(wù)等。這些原則在“SchremsⅡ”中得到了歐盟法院的肯定,并且是法院裁定SCCs繼續(xù)有效的基礎(chǔ)。,試圖將SchremsⅡ判決中加強(qiáng)個(gè)人數(shù)據(jù)保護(hù)的精神包含其中,對(duì)個(gè)人數(shù)據(jù)傳輸至第三國提出了新的監(jiān)管要求,如明確了數(shù)據(jù)出口商在進(jìn)行轉(zhuǎn)移影響評(píng)估中必須考慮的因素(19)根據(jù)該草案,轉(zhuǎn)移影響評(píng)估應(yīng)當(dāng)考慮第三國的法律和慣例、合同的期限、轉(zhuǎn)移的規(guī)模和規(guī)律、處理鏈的長度、數(shù)據(jù)傳輸使用的通道、接收者類型、傳輸?shù)哪康暮退鶄鬏敂?shù)據(jù)的性質(zhì)等。,要求數(shù)據(jù)出口商記錄并向監(jiān)管機(jī)構(gòu)提供其實(shí)施的影響評(píng)估,要求數(shù)據(jù)進(jìn)口商在面對(duì)公共部門訪問其控制下的歐盟原始個(gè)人數(shù)據(jù)命令時(shí)應(yīng)當(dāng)履行更加強(qiáng)有力的義務(wù)等(20)European Commission.Commission Implementing Decision on standard contractual clauses between controllers and processors for the matters referred to in Article 28(3)and(4)of Regulation(EU)2016/679 of the European Parliament and of the Council and Article 29(7)of Regulation(EU)2018/1725 of the European Parliament and of the Council[EB/OL].(2020-11-01)[2021-02-15].https:∥eur-lex.europa.eu/legal-content/EN/TXT/?uri=PI_COM:Ares(2020)6654429.。此外,EDPB和歐洲數(shù)據(jù)保護(hù)監(jiān)督員(European Data Protection Supervisor,EDPS)于2021年初發(fā)布了聯(lián)合聲明,對(duì)歐盟公民個(gè)人數(shù)據(jù)從進(jìn)口方進(jìn)一步傳輸?shù)降谌龂那闆r也作出了規(guī)定。只有第三方同意接受SCCs約束,即作為合同的一方承擔(dān)明確的角色與責(zé)任,進(jìn)口方才可將該數(shù)據(jù)傳輸給第三方。否則,數(shù)據(jù)進(jìn)口方和第三方簽訂的數(shù)據(jù)轉(zhuǎn)移協(xié)議應(yīng)當(dāng)實(shí)質(zhì)性地復(fù)制SCCs中數(shù)據(jù)出口方和進(jìn)口方之間的保證與義務(wù)(21)EDPB.EDPB-EDPS Joint Opinion 2/2021 on the European Commission’s Implementing Decision on standard contractual clauses for the transfer of personal data to third countries[EB/OL].(2021-02-03)[2021-02-17].https:∥edpb.europa.eu/sites/default/files/files/file1/edpb_edps_jointopinion_202102_art46sccs_en.pdf.。
2.GDPR第49條規(guī)定的特殊情形下義務(wù)克減
在沒有充分性認(rèn)定及其他適當(dāng)安全保障措施的情況下,將個(gè)人數(shù)據(jù)轉(zhuǎn)移到歐盟境外,需要符合GDPR第49條規(guī)定的七種具體情形。這七種情形主要分為三類,即轉(zhuǎn)移已獲得數(shù)據(jù)主體同意、轉(zhuǎn)移是為實(shí)現(xiàn)重要公共利益(如開發(fā)新冠肺炎疫苗)、轉(zhuǎn)移是為保護(hù)數(shù)據(jù)主體的重大利益。值得注意的是,這些減免情形都應(yīng)當(dāng)被嚴(yán)格解釋,只能適用于“偶爾的、非經(jīng)常性的”數(shù)據(jù)轉(zhuǎn)移行為。對(duì)于大規(guī)模系統(tǒng)性的數(shù)據(jù)流動(dòng)活動(dòng),通常還是應(yīng)該利用充分性認(rèn)定(包括原來的《隱私盾協(xié)議》)、SCCs和BCRs這種常態(tài)穩(wěn)定的傳輸機(jī)制。這些機(jī)制已經(jīng)成為跨大西洋現(xiàn)代經(jīng)濟(jì)發(fā)展的重要支撐。
3.數(shù)據(jù)本地化
數(shù)據(jù)本地化是指要求歐盟公民的個(gè)人數(shù)據(jù)必須在歐盟境內(nèi)處理和儲(chǔ)存,而不能傳輸?shù)骄惩?包括美國。這是保護(hù)歐盟公民數(shù)據(jù)權(quán)利“釜底抽薪”的方法,也符合歐盟重新奪回“技術(shù)主權(quán)”的戰(zhàn)略需求(22)不少國家將數(shù)據(jù)本地化作為應(yīng)對(duì)國際數(shù)字經(jīng)濟(jì)競爭加劇的手段,如印度、俄羅斯等。。如果歐盟實(shí)行數(shù)據(jù)本地化,那么中小企業(yè)和初創(chuàng)企業(yè)進(jìn)行跨大西洋數(shù)字貿(mào)易的難度將會(huì)增大,美國企業(yè)在歐盟投資經(jīng)營的積極性也會(huì)降低(23)美國科技公司早已著手應(yīng)對(duì)歐盟數(shù)據(jù)本地化的要求,幾年前就開始在歐洲大量投資建設(shè)數(shù)據(jù)中心,至今勢(shì)頭不減。例如2019年Google宣布投資33億美元用以建設(shè)歐洲數(shù)據(jù)中心。。但是,考慮到美國互聯(lián)網(wǎng)服務(wù)在歐洲的受歡迎程度與市場占有率,歐盟全面實(shí)行數(shù)據(jù)本地化或者暫停歐美之間數(shù)據(jù)流動(dòng)是不現(xiàn)實(shí)的。而且,數(shù)據(jù)本地化將直接影響數(shù)據(jù)的跨界共享和流動(dòng),給商業(yè)活動(dòng)增加額外成本和負(fù)擔(dān),從而損害國際經(jīng)濟(jì)貿(mào)易。同時(shí),限制數(shù)據(jù)跨境流動(dòng)的法規(guī)通常也會(huì)妨礙自由貿(mào)易,甚至形成一種新型的貿(mào)易壁壘或貿(mào)易保護(hù)手段,極有可能構(gòu)成對(duì)WTO基本原則的違反[13]389。
不過,即使美國科技互聯(lián)網(wǎng)企業(yè)按照歐盟數(shù)據(jù)本地化要求在歐洲境內(nèi)設(shè)立了數(shù)據(jù)中心,也無法避免美國政府獲取歐盟公民的個(gè)人數(shù)據(jù)。根據(jù)美國2018年開始實(shí)施的《云法案》(CLOUDAct),如果執(zhí)法機(jī)構(gòu)所尋求的信息與正在進(jìn)行的犯罪調(diào)查實(shí)質(zhì)性相關(guān),則執(zhí)法機(jī)構(gòu)有權(quán)獲取“以電子形式存儲(chǔ)于美國境外的通信數(shù)據(jù)”[14]。換言之,美國互聯(lián)網(wǎng)企業(yè)有義務(wù)配合國家機(jī)關(guān)提供其控制下的個(gè)人數(shù)據(jù),無論該數(shù)據(jù)存儲(chǔ)于全球哪一國家或者地區(qū)。如此一來,美國法律管轄范圍以內(nèi)的企業(yè)業(yè)務(wù)若涉及處理歐盟公民數(shù)據(jù),則很可能遭遇“法律沖突”,處境非常艱難(24)除非歐盟法律為這些數(shù)據(jù)轉(zhuǎn)移至美國當(dāng)局提供法律基礎(chǔ),如根據(jù)GDPR第49條的義務(wù)減免。。未來幾年這一問題將逐步凸顯,除非歐美之間達(dá)成新的數(shù)據(jù)轉(zhuǎn)移協(xié)議。
4.美國單獨(dú)的某一個(gè)州或者某一領(lǐng)域能否獲得歐盟數(shù)據(jù)保護(hù)的充分性認(rèn)定
美國單獨(dú)的某一個(gè)州或者某一領(lǐng)域獲得歐盟數(shù)據(jù)保護(hù)的充分性認(rèn)定,這在理論上來說是完全有可能的。因?yàn)楦鶕?jù)GDPR第45條,充分性認(rèn)定可以被授予給第三國、某地區(qū)、第三國中的某部門或某區(qū)域、國際組織[1]。假如美國的某一個(gè)州有綜合性的數(shù)據(jù)保護(hù)法案(如加利福尼亞州的CPRA),又設(shè)置相應(yīng)的DPA,如果還能阻止數(shù)據(jù)繼續(xù)轉(zhuǎn)移到美國其他各州,將大大增加該州獲得歐盟充分性認(rèn)定的可能性。不過,這種理論上的可能性實(shí)現(xiàn)起來困難重重。因?yàn)榧词姑绹硞€(gè)州的法案對(duì)個(gè)人數(shù)據(jù)的保護(hù)達(dá)到了以上要求,但是該州仍然處于美國聯(lián)邦法律管轄之下,州內(nèi)的企業(yè)自然負(fù)有遵守國家安全和情報(bào)法律的義務(wù)。考慮到《隱私盾協(xié)議》的前車之鑒,這類充分性認(rèn)定最終很可能重蹈覆轍。至于美國某一具體領(lǐng)域獲得歐盟的充分性認(rèn)定,實(shí)踐中已有先例。歐盟與美國政府于2011年12月簽訂了一份協(xié)議,以便利將民航旅客姓名從歐盟傳輸?shù)矫绹鴩涟踩縖15]。美國其他某些領(lǐng)域或可考慮復(fù)制這一成功經(jīng)驗(yàn)。
歐盟和美國在個(gè)人數(shù)據(jù)保護(hù)領(lǐng)域的立法和實(shí)踐長期以來引領(lǐng)著世界的潮流?!峨[私盾協(xié)議》無效案的影響不僅局限于歐美之間,還意味著歐盟對(duì)數(shù)據(jù)跨境傳輸?shù)膶彶榱Χ炔粩嗉哟?長遠(yuǎn)來看還可能引領(lǐng)一種最大限度保護(hù)個(gè)人數(shù)據(jù)及隱私的國際趨勢(shì)。同時(shí),這還表明國際數(shù)據(jù)保護(hù)規(guī)則的發(fā)展存在諸邊化和碎片化趨勢(shì),給不同國家和地區(qū)之間的相互認(rèn)可和執(zhí)法合作增添了難度,也給我國爭取數(shù)據(jù)治理的國際話語權(quán)提供了機(jī)遇。作為世界上人口最多的國家,中國不僅是數(shù)據(jù)大國,也應(yīng)當(dāng)是數(shù)據(jù)強(qiáng)國,不僅應(yīng)該也能夠在國際數(shù)據(jù)治理中發(fā)揮引領(lǐng)作用。面對(duì)如此紛繁復(fù)雜的國際形勢(shì),結(jié)合前面對(duì)“隱私盾”無效案的分析,可以考慮從如下三個(gè)方面完善我國的個(gè)人數(shù)據(jù)治理制度。
《隱私盾協(xié)議》無效案反映了歐美兩種數(shù)據(jù)規(guī)制理念的交鋒。歐盟出于保護(hù)人權(quán)的歷史傳統(tǒng)以及抗衡美國互聯(lián)網(wǎng)霸權(quán)的現(xiàn)實(shí)需要,形成了一種強(qiáng)調(diào)數(shù)據(jù)主體權(quán)利的保護(hù)模式,對(duì)個(gè)人數(shù)據(jù)跨境流動(dòng)實(shí)施嚴(yán)格限制。美國基于其互聯(lián)網(wǎng)產(chǎn)業(yè)的優(yōu)勢(shì)地位,以及對(duì)新自由主義的堅(jiān)持,采取市場主導(dǎo)、行業(yè)自律的個(gè)人數(shù)據(jù)管理政策,對(duì)隱私權(quán)的保護(hù)奉行“合理期待”原則(25)“合理隱私期待”規(guī)則有主客觀兩方面構(gòu)成要件:一是個(gè)人的行為已經(jīng)表現(xiàn)出他對(duì)隱私的主觀期待,二是社會(huì)認(rèn)可這種隱私期待是合理的。。無論是歐盟的保護(hù)人權(quán)原則還是美國的市場主導(dǎo)模式,對(duì)數(shù)據(jù)規(guī)制的主旨都相當(dāng)明確并且一以貫之[9]116。
我國對(duì)個(gè)人數(shù)據(jù)的規(guī)制缺乏明確的核心原則。雖然我國《民法典》第1035條規(guī)定處理個(gè)人信息應(yīng)當(dāng)遵循“合法、正當(dāng)、必要”原則,《個(gè)人信息保護(hù)法》第5條規(guī)定處理個(gè)人信息應(yīng)當(dāng)遵循“合法、正當(dāng)、必要、誠信”原則,但是這些原則與歐美的相比不夠根本和核心。此外,我國當(dāng)前數(shù)據(jù)規(guī)制的立法和司法實(shí)踐脫節(jié),立法傾向于歐盟理念,強(qiáng)調(diào)保護(hù)數(shù)據(jù)主體的權(quán)利(26)如《個(gè)人信息保護(hù)法》第13條規(guī)定的個(gè)人知情同意原則,第四章“個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利”中規(guī)定的請(qǐng)求更正權(quán)、刪除權(quán)等。,而在司法實(shí)踐中為保障數(shù)據(jù)產(chǎn)業(yè)的繁榮發(fā)展,偏向于美國的自由市場模式,甚至對(duì)個(gè)人數(shù)據(jù)的非法泄露和使用有所容忍。
歐盟的數(shù)據(jù)保護(hù)法律在全球范圍內(nèi)影響廣泛,但是其規(guī)制模式未必適合我國的現(xiàn)實(shí)情況和價(jià)值追求。鑒于我國的科技互聯(lián)網(wǎng)企業(yè)大多還處于初創(chuàng)期或成長期,現(xiàn)階段不宜制定過于嚴(yán)格的個(gè)人數(shù)據(jù)保護(hù)立法。奉行歐盟高要求的數(shù)據(jù)保護(hù)理念可能導(dǎo)致我國錯(cuò)過新一輪的經(jīng)濟(jì)增長點(diǎn),不利于提高我國數(shù)字經(jīng)濟(jì)的國際競爭力。而且,我國的數(shù)據(jù)分領(lǐng)域由行業(yè)主管機(jī)關(guān)治理,缺少統(tǒng)一的監(jiān)管機(jī)構(gòu),這點(diǎn)與美國比較類似??傮w而言,美國以自由市場為主導(dǎo)的數(shù)據(jù)治理模式更加符合我國數(shù)字經(jīng)濟(jì)發(fā)展和數(shù)字產(chǎn)業(yè)布局的需要。當(dāng)然,在注重?cái)?shù)字經(jīng)濟(jì)發(fā)展的同時(shí),也應(yīng)當(dāng)適度提高國內(nèi)個(gè)人數(shù)據(jù)的保護(hù)水平,加大對(duì)非法泄露、濫用、買賣個(gè)人數(shù)據(jù)行為的打擊力度。
《隱私盾協(xié)議》的失效是歐盟出于保護(hù)公民數(shù)據(jù)權(quán)利和國家安全考慮而對(duì)數(shù)據(jù)流動(dòng)政策的一種調(diào)整,雖然相對(duì)之前有所緊縮,但是總體上為數(shù)據(jù)的出境保留了多種合法路徑,相比而言我國的數(shù)據(jù)跨境流動(dòng)規(guī)則比較保守。我國的《網(wǎng)絡(luò)安全法》和《個(gè)人信息保護(hù)法》將數(shù)據(jù)本地存儲(chǔ)作為原則,并且設(shè)立了數(shù)據(jù)出境安全評(píng)估機(jī)制(27)《網(wǎng)絡(luò)安全法》第37條規(guī)定了數(shù)據(jù)本地化原則,要求關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營相關(guān)的個(gè)人信息和重要數(shù)據(jù)在境內(nèi)存儲(chǔ),《個(gè)人信息保護(hù)法》第40條中將本地化要求擴(kuò)大適用于“處理個(gè)人信息達(dá)到規(guī)定數(shù)量”的情況。我國的《個(gè)人信息出境安全評(píng)估辦法》處于征求意見稿階段。。若我國境內(nèi)的信息處理者需向境外提供個(gè)人數(shù)據(jù),則必須滿足《個(gè)人信息保護(hù)法》第38條明確規(guī)定的條件之一。其中,“與境外接收方訂立合同以保證達(dá)到本法規(guī)定的保護(hù)標(biāo)準(zhǔn)”與歐盟數(shù)據(jù)法律要求的“實(shí)質(zhì)等同”保護(hù)標(biāo)準(zhǔn)有異曲同工之妙,但是我國并未對(duì)如何實(shí)現(xiàn)這一目標(biāo)規(guī)定具體的配套措施。對(duì)此可以參考借鑒歐盟的充分性認(rèn)定制度、標(biāo)準(zhǔn)合同條款以及其他補(bǔ)充保障措施等。此外,我國《個(gè)人信息保護(hù)法》可以考慮增加某些義務(wù)減免的具體情形,如為保護(hù)公共利益、個(gè)人關(guān)鍵利益、法律實(shí)施而需向境外轉(zhuǎn)移數(shù)據(jù)的特殊情況。
總體上,我國當(dāng)前跨境數(shù)據(jù)流動(dòng)規(guī)則的重點(diǎn)在于防范數(shù)據(jù)過度出口,這種嚴(yán)格的跨境數(shù)據(jù)流動(dòng)政策雖然短期內(nèi)能減少我國數(shù)據(jù)出口的風(fēng)險(xiǎn),但長遠(yuǎn)來看卻將妨礙我國成為數(shù)據(jù)進(jìn)口國。數(shù)字化全球化的今天,一國獲取他國數(shù)據(jù)的能力決定了該國在數(shù)字經(jīng)濟(jì)中可獲得的實(shí)際利益,最終決定其信息產(chǎn)業(yè)與智能產(chǎn)業(yè)的競爭力,因此我國在跨境數(shù)據(jù)流動(dòng)問題上適宜兼顧數(shù)據(jù)進(jìn)出口的平衡發(fā)展[16]。此外,如前文所述,我國若借鑒美國以市場為主導(dǎo)的數(shù)據(jù)治理模式,則必然應(yīng)當(dāng)調(diào)整當(dāng)前的數(shù)據(jù)本地化要求,對(duì)數(shù)據(jù)跨境流動(dòng)秉持更加包容的態(tài)度。如何在開放的環(huán)境下保障我國公民的個(gè)人數(shù)據(jù)安全,這將是一個(gè)更加嚴(yán)峻的挑戰(zhàn)。
《隱私盾協(xié)議》無效案反映了歐美之間對(duì)數(shù)據(jù)治理國際話語權(quán)的爭奪。歐美在各自締結(jié)的自由貿(mào)易協(xié)定(FreeTradeAgreement,FTA)中對(duì)數(shù)據(jù)跨境流動(dòng)采取了不同的規(guī)制路徑:歐盟關(guān)注個(gè)人數(shù)據(jù)的保護(hù),重在事前防范,而美國為貿(mào)易主導(dǎo)型,主要依賴事后問責(zé)[17]。我國出于保護(hù)個(gè)人信息安全與網(wǎng)絡(luò)安全的考慮,簽訂的FTA整體上不在電子商務(wù)章節(jié)創(chuàng)設(shè)強(qiáng)制性義務(wù),這符合我國個(gè)人信息保護(hù)水平不高的現(xiàn)狀及維護(hù)國家安全利益的需要。但是,隨著我國與越來越多的發(fā)達(dá)國家締結(jié)FTA,這一模式可能將面臨壓力。其實(shí),隨著我國電子商務(wù)和數(shù)字經(jīng)濟(jì)的飛速發(fā)展,在FTA中加入強(qiáng)制性的電子商務(wù)規(guī)則長遠(yuǎn)來看是符合我國利益的。我國應(yīng)當(dāng)積極應(yīng)對(duì)數(shù)據(jù)跨境流動(dòng)這一問題,可在雙邊和多邊談判中主張按照數(shù)據(jù)類別設(shè)立寬嚴(yán)不同的流動(dòng)標(biāo)準(zhǔn),并根據(jù)數(shù)據(jù)安全屬性構(gòu)建梯度性跨境審查體系[18]。
我國雖是互聯(lián)網(wǎng)企業(yè)大國,但缺少在數(shù)據(jù)治理國際規(guī)制構(gòu)建中的話語權(quán),應(yīng)加強(qiáng)國際合作以達(dá)成多邊協(xié)作和共識(shí)。WTO作為一個(gè)全球性的成員國眾多的國際組織,在促進(jìn)貨物、服務(wù)、人員、資本的跨境流動(dòng)中發(fā)揮了重要作用,也積累了不少經(jīng)驗(yàn)。雖然WTO的電子商務(wù)談判目前的成果比較有限,但其框架可以和應(yīng)該改進(jìn)以適應(yīng)數(shù)字經(jīng)濟(jì)帶來的政策挑戰(zhàn)。而且,WTO框架可有效應(yīng)對(duì)雙邊條約談判中主導(dǎo)市場一方輕易將其規(guī)則偏好強(qiáng)加于經(jīng)濟(jì)上處于弱勢(shì)地位一方的問題,甚至可以在全球數(shù)據(jù)治理規(guī)則中為發(fā)展中國家和最不發(fā)達(dá)國家爭取特殊而有區(qū)別的待遇。我國應(yīng)當(dāng)積極通過WTO機(jī)制參與全球數(shù)據(jù)治理,有針對(duì)性地提出符合包括我國在內(nèi)的廣大新興國家利益的建設(shè)性主張,推動(dòng)構(gòu)建符合多國利益的數(shù)據(jù)跨境流動(dòng)規(guī)則。
此次“隱私盾”無效裁決雖然因美國未能對(duì)傳輸至其境內(nèi)的歐盟公民個(gè)人數(shù)據(jù)提供充分保護(hù)而引發(fā),但同時(shí)也反映出歐美之間對(duì)數(shù)字經(jīng)濟(jì)霸權(quán)的爭奪進(jìn)一步升級(jí)。歐盟通過GDPR復(fù)雜細(xì)致的制度安排占據(jù)了個(gè)人數(shù)據(jù)保護(hù)領(lǐng)域的制高點(diǎn),其強(qiáng)大的域外影響力深刻作用于國際數(shù)據(jù)治理格局。美國則基于其技術(shù)領(lǐng)先的優(yōu)勢(shì)極力倡導(dǎo)數(shù)據(jù)跨境自由流動(dòng),并通過雙邊和區(qū)域合作向全球推廣,試圖將之打造為國際規(guī)則。“隱私盾”無效案反映了歐美之間數(shù)據(jù)流動(dòng)存在的根本問題,同時(shí)給我國的數(shù)據(jù)治理帶來諸多思考。我國應(yīng)當(dāng)在保證國家安全和社會(huì)公共利益的前提下加強(qiáng)與各國各地區(qū)的數(shù)據(jù)跨境交流合作,應(yīng)當(dāng)在重視數(shù)據(jù)安全的同時(shí)適度滿足數(shù)字經(jīng)濟(jì)發(fā)展的需求。此外,我國應(yīng)當(dāng)適度提高國內(nèi)個(gè)人數(shù)據(jù)保護(hù)的標(biāo)準(zhǔn),盡快制定符合國際潮流與現(xiàn)實(shí)國情需要的數(shù)據(jù)保護(hù)立法并完善配套機(jī)制,并從雙邊和區(qū)域?qū)用娣e極爭取國際數(shù)據(jù)治理規(guī)則的話語權(quán),為我國互聯(lián)網(wǎng)科技企業(yè)深度參與全球數(shù)字經(jīng)濟(jì)競爭創(chuàng)造有利條件。
西安交通大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)2021年5期