欧盟法院“安全港协议”无效案对我国网络数据隐私保护的启示
2016-06-02曹雯雯
曹雯雯
[摘 要]在美国政府大规模监听活动被曝光后,欧盟法院(ECJ)周二做出里程碑式的裁决,推翻了一项有关欧美间数据传输方面的协议。此前根据该协议,成千上万家企业能够轻松地将个人资料从欧洲传送至美国,这一裁定不仅对脸书、谷歌、亚马逊等美国互联网巨头影响重大,更对一个国家将制定怎样的法律以及两国或多国之间签署怎样的协议来保护数据传输以实现隐私保护有着深远意义。
[关键词]欧盟;安全港协议案;数据传输;隐私保护
[中图分类号]D99 [文献标识码] A [文章编号] 1009 — 2234(2016)05 — 0057 — 02
1 安全港协议案
安全港协议,是指在2000年12月,美国商业部就跟欧洲联盟签订了一份名为“安全港”(Safe Harbor)的协议。安全港协议的要求是如果企业通过网络收集个人的数据那么该企业就必须将收集数据一事告知当事人, 并承诺会对数据做适当处分,在得到当事人同意的情况下,才能将数据传递给第三方。安全港协议确立了美国和欧联之间隐私手续的框架。参与协议的15个成员国中签署协议的企业都必须服从协议, 这意味着这些企业必须经个人授权后才能被第三方进行使用与转移, 其中超过4000家数据相关的美国企业都签署了这一协议, 而未加入安全港的企业也必须单独从各个欧洲国家获取授权方能得到欧洲法律的认可。
1.1 案情简介
一位名叫Schrems的奥地利公民自2008年以来就在使用Facebook,他发现Facebook在爱尔兰的分支机构将收集的他的个人数据传输到了Facebook在美国的服务器。2013年发生的斯诺登事件增强了欧洲国家对美国隐私保护的怀疑,他因此向爱尔兰数据保护委员会提出申诉,声称考虑到大规模的政府监控,美国并没有对转移到其国内的个人数据提供充分的保护,并要求该机构行使法定权力禁止爱尔兰分公司将他的个人数据转移到美国。爱尔兰数据保护委员会否决了他的申诉,认为根据欧委会于2000年7月26日通过的“2000/520号欧盟决定”,安全港协议对个人数据提供了充分保护。于是,他向爱尔兰高等法院提起了诉讼。爱尔兰高等法院认为,监控和拦截被转移到美国的个人数据事关公共利益,而斯诺登事件表明美国国家安全局(NSA)等联邦机构过度滥用了其职能,致使欧盟民众的权利得不到有效保护。一旦个人数据被转移到美国,在大规模以及不加选择的监控和拦截过程中,NSA、FBI等联邦机构就可能侵入这些数据,所以美国对个人数据没能够提供充分保护。由于该案涉及到了欧委会的“2000/520号欧盟决定”的效力问题,而只有欧盟法院对欧盟法律的效力拥有最终发言权,所以爱尔兰高等法院提请欧盟法院对相关法律问题做出初步裁决。这才有了2015年10月6日的那份无效判决。
1.2 判决结果
欧洲法院判决的主要调查结果如下(引号表示从裁决摘录):
“国家监管当局的独立性的保证是为了确保符合有关个人保护的条款监测的有效性和可靠性。”监管当局的权力包括“有效有权的干预,如对数据的处理实行短期或永久禁令,并有权提请法律诉讼。”安全港计划“并不能阻止个人就已经转移到或即将转移到第三国的个人数据问题像国家监管当局提出索赔要求,他们的索赔权利和自由受到保护。”“全国法院可以考虑安全港计划的有效性,但只有欧洲法院可以宣布它是无效的。组织自我认证的安全港计划下被允许“忽视”安全港原则,以符合美国的国家安全,公共利益,或执法要求。安全港计划“不符合要求”,以保护个人数据的欧盟数据保护指令所要求的“足够”标准,是“相应无效”。安全港认证的组织应注意,还有其他的选择,以将个人数据传输到美国,包括明示同意和使用绑定公司规则或欧盟批准的示范条款协议。使用安全港认证的供应商的组织可能希望与他们的供应商讨论这些其他的选择。
欧盟法院于10月6日,宣布与“美国-欧盟安全港协议”(US-EU Safe Harbor Scheme)有关的“2000/520号欧盟决定”(Safe Harbor Decision)无效。欧盟法院在判决书中指出,“美国的国家安全、公共利益和执法需求都优先于‘安全港协议,从而使得企业在面对上述情况时,势必会漠视‘安全港协议中的隐私保护条款。‘安全港协议并不能约束政府机构的数据审查行为,不能起到充分保护欧洲公民隐私的作用,因而它是无效的。”显然,这份无效判决对已经存在了15年之久的美欧安全港协议的效力带来了重大挑战。成员国数据监管机构可以因此禁止美国公司在美国收集、存储其国民的个人数据,哪怕美国公司通过了安全港认证。
1.3 案件影响
《安全港协议》的失效可能会迫使美国互联网企业和信用卡公司重新制定数据存储方案,将欧盟用户的个人数据存储在欧洲,但相关技术上的调整会消耗大量时间和资金,最终造成部分企业因其中提高的成本而撤离欧洲。同一天,美国商务部也给出表态,称对这一裁决表示失望,因为《安全港协议》的失效会对双方的经济发展造成阻碍。对于正在进行《跨大西洋贸易与投资伙伴关系协议》谈判的欧美双方,这一裁决有可能会拖累谈判的进程。事实上,欧盟方面也作出了相同表态,除了前面提到的欧委会副主席蒂默曼斯,欧委会司法专员朱洛娃也公开表示,希望欧美双方的数据传输能够尽快恢复正常,因为它是经济发展的中坚力量。据统计,欧盟公民个人数据在2011年的价值就已经达到3150亿欧元,预计到2020年,这一价值将会疯涨到一万亿欧元,对欧美双方都是数量可观的重要经济资源。
2 “安全港协议案”对我国网络信息隐私保护的启示
2.1 数据传输对网络信息隐私保护的威胁
当前,我国对大数据的保护能力还十分有限,数据被恶意使用的现象仍然难以掌控。我国个人和企业对于数据资源的保护意识,还比较薄弱。随着电子商务、社交网络、物联网、云计算、以及移动互联网的全面普及,我国数据资源与全球的数据资源一样,正在呈现爆发性、多样性的增长态势。但是,由于对数据保护认识的不足,以及对个人电脑安全防护的不当,个人或企业的隐私数据暴露在互联网上的现象十分普遍。2011年,我国最大程序员网站的600万个人信息和邮箱密码被黑客公开,进而引发了连锁的泄密事件。2013年,中国人寿80万客户的个人保单信息发现被泄露。这些事件都凸显出在大数据时代,信息安全管理所面临的、前所未有的挑战。数据的爆炸式增长,数据来源的极其丰富和数据类型的多种多样,使数据存储量更庞大,对数据展现的要求更高。而目前我国传统的数据库,还难以存储如此巨大的数据量。在大数据的分析处理方面,由于针对具体的应用类型,需要采用不同的处理方式,因此必须通过建立高级大数据的分析模型,来实现快速抽取大数据的核心数据、高效分析这些核心数据并从中发现价值,而这些数据分析能力我国还很欠缺。
2.2 网络信息隐私保护的措施
欧盟法院在判决书中指出,“美国的国家安全、公共利益和执法需求都优先于‘安全港协议,从而使得企业在面对上述情况时,势必会漠视‘安全港协议中的隐私保护条款。‘安全港协议并不能约束政府机构的数据审查行为,不能起到充分保护欧洲公民隐私的作用,因而它是无效的。”与欧美不同,我国拥有庞大的人口资源和大数据应用市场,市场复杂度高且变化多端,使我国成为世界上最复杂的大数据国家。我国互联网用户,通过利用互联网上的海量数据来提升自身的商业价值和科研价值。我国企业用户,也已积累了大量的数据信息资产,如产品数据、运营数据和价值链数据等。随着我国企业信息化系统的深入部署和逐步完善,大数据应用能力所引发的商业模式的改变,将直接影响我国企业的竞争能力。为了解决这一矛盾,结合欧美的经验,我国应当结合自己的国情建立一套完善的法制规范管理网络信息安全,同时结合现在科技实现对网络安全的监管,另一方面企业也应出台相应政策配合刚刚国家对网络安全的保护。
2.2.1 加快制定信息化基本法律
加快制定《网络安全法》、《电信法》、《电子商务法》、《个人信息保护法》、《政府数据开放条例》等法律法规,研究制定《信息化推进基本法》、《电子政务法》、《互联网信息内容服务与管理法》、《密码法》等信息化基本法律,实现信息化法律关系主要依靠基本法律支撑的结构性改变。同时,加快对不适应信息化发展的现行法律法规的修改与废止,提高信息化立法的质量,推动信息化立法的不断完善。
2.2.2 优化信息化执法体制与机制
改革与完善信息化执法体制,推进政府职能整合,着力解决执法权交叉、执法权限模糊、管辖权不明确等问题;加大违法行为的法律责任,改变违法成本过低现象;建立快速处理各类争议的行政执法与司法裁判程序,迅速处理与处置各种法律争议问题;充分利用市场机制、私法执法、信息披露等多元化执法方式,处理好行政执法与刑事执法的有效衔接,提高执法效果,形成执法合力;大力培育行业自律等社会治理机制,形成网络社会多元治理格局。
2.2.3 大力加强信息化执法能力建设
加强现行法律在信息化环境下的立法、执法与司法解释,充分利用好现有立法资源;加强对国家机关工作人员信息化知识培养与教育,培养复合型人才,提高信息化应用能力;推广负面清单管理方式,将不增设新的行政许可或者其他事前管理机制作为电子商务的基本原则,为互联网产业与电子商务发展提供宽松的制度环境;通过执法方式改革与手段创新,建立实时风险监测、预警与预测,推行过程监管,加强部门信息共享与执法合作;扩大信息化执法国际交流与合作,推动建立公正、透明国际互联网治理体系;规范执法程序,明确裁量基准,强化执法监督,并通过严格的行政执法责任追究,切实解决执法不作为、乱作为与执法谋私等现象。
2.2.4 开展网络社会自觉守法意识宣传与教育
以多种形式开展信息化法律宣传教育,弘扬法治价值,促进社会公平正义,处理好维稳与维权的关系;提倡文明上网、理性上网、公平竞争、合法经营、规范执法,减少或杜绝选择性执法现象;全面树立“网络无边界、法律无死角”观念,提高全社会自觉守法意识。
〔参 考 文 献〕
〔1〕马芳.美欧跨境信息《安全港协议》的存废及影响〔J〕. 中国信息安全.2015,(11).
〔2〕王辉.欧盟与美国达成“信息安全港”协议〔J〕.全球科技经济瞭望.2000,(11).
〔3〕张新宝.隐私权的法律保护〔M〕.北京:群众出版社.1997:67.
〔4〕姜振颖.论隐私权及其法律保护〔J〕.开封:河南大学学报:社科版,2004,(05):51.
〔责任编辑:陈玉荣〕