谢永江，朱 琳， 尚 洁

(北京邮电大学 人文学院，北京 100876)

·互联网治理与法律·

欧美隐私盾协议及其对我国的启示

谢永江，朱 琳， 尚 洁

(北京邮电大学 人文学院，北京 100876)

欧美隐私盾协议为欧盟个人数据保护提供更多的救济途径，加大了企业和美国政府的义务，对美国政府的数据获取进行了限制。该协议贯彻了欧盟网络安全战略，平衡了欧美数据保护政策，促进了欧美间跨境数据流动，有助于加快跨大西洋商贸往来。我国应尽快出台个人信息保护法，构建个人信息保护法律体系；建立专门的个人信息保护监管机构；完善个人信息跨境流动的监管制度和机制；出台跨境数据流动行业标准，加强行业自律；加强国际合作，构建中欧数据安全对话机制，积极参与网络空间国际规则的制定。

隐私盾协议；跨境数据流动；个人信息保护

2015年10月，欧盟法院否决了欧美之间达成并施行了15年之久的安全港协议，数千企业跨大西洋转移欧盟公民个人数据丧失法律依据。为了弥补空白，维护商贸往来，2016年2月，欧盟和美国重新达成了个人数据跨境流动的新框架——欧美隐私护盾协议。下面将对欧美隐私盾协议进行分析，并探讨该协议对我国的启示。

一、隐私盾协议出台的背景

欧盟隐私盾协议的出台源于安全港协议的废除，也是基于欧盟从2012年以来的数据保护改革的背景，而2013年美国监控计划的曝光更是加速了欧盟的数据保护改革进程。

1.欧盟数据保护全面升级

欧盟数据保护改革是欧盟在数字时代加强公民基本权利的关键一环，它通过简化规则促进单一数字市场公司的商业流动，为欧盟和参与其中的外国企业创造一个透明且稳定的环境。立法领域的共同规则将会更好地保护个人数据，并且使个人获得有效的司法救济。另外，促进成员国之间执法和司法机构的跨境合作将会有效地预防犯罪，同时也可以与第三国建立密切的合作。

为了加强欧盟内部规则，使个人对其数据拥有更多的控制权，欧盟委员会在2012年1月提出数据保护改革计划，其中《一般数据保护条例》(General Data Protection Regulation)规定了欧盟数据保护的总体框架。欧盟委员会的目的是为所有国家建立一个共同数据保护标准，从而消除成员国内部保护水平的差异。*See Communication Form the Commission to the European Parliament and the Council,Transatlantic Data Flows: Restoring Trust through Strong Safeguards. http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-communication_en.pdf,2016-6-11.2016年4月，欧洲议会投票通过了《一般数据保护条例》，并于2018年正式生效，届时将取代1995年的《个人数据保护指令》(第95/46/EC号指令)，欧盟数据保护立法将由指令上升为法规，直接适用于各成员国。[1]新条例的通过意味着欧盟对个人数据保护及其监管达到了前所未有的高度。

2.安全港协议的废除

由于美国缺乏统一的数据保护法，为了促进欧盟与美国之间商业往来的个人数据流动，并对这些数据进行保护，欧盟与美国在2000年签署安全港协议(第2000/520/EC号决定)，认为安全港框架可以提供充分保护。个人数据可以在欧盟成员国与加入了安全港协议的美国公司之间进行自由传输。

安全港协议为从欧盟到美国进行的个人数据传输提供了法律基础。安全港原则只适用于推定具有充分保护水平的美国企业接收来自欧盟的个人数据。安全港机制适用于自我认证和自我评估的美国私有企业，并受到政府机构的干预。多年来，包括Google、Facebook等数千家美国互联网企业获取、传输欧盟用户个人数据的行为都受到该协议的保护。但在2013年关于安全港的交流文件中，欧委会指出，随着时间的推移，安全港协议暴露出一系列缺陷，尤其是缺乏透明度，美国当局缺乏有效措施保障公司遵守协议的隐私原则。

安全港协议的废除源于施雷姆斯案*Maximillian Schrems v. Data Protection Commissioner, Case C362/14,23,29(2015).。在该案中，欧洲法院认为，根据2000/520/EC号决定，美国事实上未能依照其国内法或国际承诺达到充分保护标准。根据2000/520/EC号决定附件I第2段可知，安全港机制是“美国企业为了符合安全港的条件和满足‘充分性标准’的推断接收来自欧盟的个人数据”，这些原则仅适用于自我认证的美国企业接收来自欧盟的个人数据，美国公共机构并不受到这些原则的约束。欧洲法院认为，2000/520/EC号决定对从欧盟传输到美国的数据中个人基本权利的损害没有进行任何规定，当国有实体追求涉及到像国家安全的合法利益时，造成的损害将被处于授权范围之内。2000/520/EC号决定中也没有涉及造成此类损害的有效法律保护机制。该协议限于商业范畴，适用于美国私权争议解决机制的安全港原则，并不适用于由于政府行为导致的基本权利的法律争议。

2015年10月6日，欧盟法院一纸判决否决了安全港协议的效力，数千美国企业跨大西洋转移欧盟公民个人数据失去法律依据。

二、欧美“隐私护盾”协议的主要内容

2016年2月2日，在深度讨论了两年后，欧盟和美国达成了数据跨境流动和保护的新框架——欧美隐私护盾协议，以回应欧洲法院在2015年施雷姆斯案判决时提出的要求。该协议主要包括如下4方面的内容。

1.提供有效保护欧盟数据主体权利的法律救济途径

隐私盾协议强化了对数据主体权利的救济，包括：①个人可以直接向加入隐私盾协议的企业进行投诉，企业必须于45天内作出回应。②企业必须无偿向个人提供独立的追索机制，尽快调查处理投诉和争议。③如果个人向欧盟的数据保护机构进行投诉，美国商务部将予以受理、审查，尽最大的努力促进争议解决，并于90天内向数据保护机构作出回复。

2. 美国承诺加强监督与合作

美国商务部承诺健全对企业遵循隐私盾框架情况的管理和监管，包括公司是否提供了所有必需的信息，必要时是否在认可的独立追索机制上登记注册；对那些自我认证失败或自愿退出隐私盾框架的组织进行跟踪；依职权定期进行合规审查并评估等。

美国商务部、联邦贸易委员会还承诺提高与欧盟数据保护机构的合作，包括：建立专门的联络点与欧盟数据保护机构进行联系、交换信息、提供执行协助等。商务部、联邦贸易委员会和其他有关机构将与欧盟委员会举行年度会议，讨论关于隐私盾框架的功能、实施、监督和执行问题。隐私盾协议的年度审查机制要严于《一般数据保护条例》。《一般数据保护条例》规定至少每四年进行一次审查。该机制同时表明了欧盟与美国严格遵循协议决心。*See Fact Sheet Overview of the EU-U.S. Privacy Shield Framework.https://www.commerce.gov/sites/commerce.gov/files/media/files/2016/eu-us_privacy_shield_fact_sheet.pdf，2016-6-11.

3.赋予企业更多的义务

尽管加入隐私盾协议是自愿的，但一旦企业做出遵循隐私盾框架的公开承诺，则该承诺具有法律约束力，并在美国法律下具有强制执行力。如果公司没有履行承诺，将会面临严重的制裁。美国企业想要从欧洲输入个人数据，在隐私盾协议下就需要在个人数据处理和个人权利保障方面接受更强的义务。隐私盾协议对加入协议的企业传输欧盟数据到框架外的第三方赋予了更严格的责任，无论是在美国还是第三国。关于监管方面，美国商务部承诺给予定期且严格的监督使企业遵守协议，防止搭便车者。签署隐私盾协议的企业需要每年在其网站上公示隐私政策和自我认证，接受美国政府的定期合规检查。*See Speech of Commissioner Jourova at the conference“Privacy shield:Opportunities out of New Rules”in Copenhagen, https://ec.europa.eu/commission/2014-2019/jourova/announcements/speech-commissioner-jourova-conference-privacy-shield-opportunities-out-new-rules-copenhagen_en, 2016-6-11.同时，协议为欧盟与美国的企业提供了法律确定性。这将激励小型企业投资发展跨大西洋业务活动。隐私盾协议参与者还必须在收到任何个人在向其他追索机构和执行机制投诉未果的请求后，执行有约束力的仲裁。

4.对美国政府的数据获取进行限制

美国政府通过美国司法部和美国情报总监办公室监督美国情报机构，提供给欧盟书面承诺和保证，国家机构由于执法、国家安全或其他公共利益的目的而进行的数据获取将受到明确限制和监管。美国政府书面承诺不会进行国家安全机构的大规模且无差别的监控。美国通过独立于国家安全机构的监察专员(Ombudsperson)为欧盟数据保护建立一个新的救济机制。这是一个重大的进步，不仅仅适用于隐私盾协议中数据的传输，同时适用于商业目的下向美国传输的所有个人数据。美国联邦贸易委员会承诺与欧盟数据保护机构紧密合作，提供援助，这包括在适当情况下的信息共享和依照美国网络安全法的调查援助。

对于隐私盾协议，欧盟数据保护机构第29条工作组于2016年4月13日发布评议报告，认为“隐私盾”协议相较于已被废除的“安全港”协定，取得了巨大飞跃；尤其包括关键定义的引入，建立监管“隐私盾”保护名单的机制，强制性的内部和外部审查，都是积极的进步。但是第29条工作组对隐私盾协议下在商业机构和政府机构的数据传输均表示出了强烈关心，认为仍存在整体缺乏透明度、救济机制过于复杂、对排除大规模无差别的跨境收集个人数据欠缺详细说明等一些问题，敦促委员会解决这些问题，制定解决办法以完善充分决定草案，确保隐私盾协议提供的保护与欧盟的要求基本等同。*See Statement of the Article 29 Working Party on the Opinion on the EU-U.S. Privacy Shield,http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/press_release_shield_en.pdf，2016-6-11.

三、隐私盾协议的意义

1.贯彻欧盟网络安全战略

2013年7月，欧盟出台《欧盟网络安全战略：构建一个开放、安全和有保障的网络空间》。该战略提出，实现欧盟数字单一市场需要人们的信任和信息，但绝大多数人认为，出于安全考虑，他们不愿在线披露个人信息。该战略强调，尊重和保护网络基本权利是政府的职责；保护个人数据和隐私是网络安全原则之一，当攸关个人数据利害时，为了网络安全而共享的任何信息均应遵守欧盟数据保护法律，并充分考虑该领域的个人权利；应将主流的网络空间问题融入欧盟对外关系和共同的外交和安全政策，促进实现高水平的数据保护，包括向第三方转移个人数据。欧盟与美国达成的隐私盾协议，强化了跨境数据流动中的个人数据基本权利的保护，维护了欧盟的网络信息安全框架，推广了欧盟核心价值，较好地贯彻了欧盟的网络安全战略和欧盟国际网络空间政策。

2.平衡欧美的数据保护政策

对待数据隐私，欧美存在截然不同的态度。欧美数据保护立法表明，尽管双方对待隐私保护的原则基本一致，但是对于用户隐私和公共利益方面存在较大分歧。隐私盾协议表明了美国和欧盟官员对这些明显不同看法建立联系的尝试。

在欧洲，盛行的观点是基本权利是用来保障公民存在政府触及不到的空间，这一点同样可以延伸到信息方面，认为公民给予政府过多的信息是不明智的，因此在欧盟公民的诸多权利中，数据保护显得尤为重要，他们将个人数据保护作为基本权利。相反，美国公民更愿意允许企业在一定限度内使用他们的个人数据作为提供服务或提高服务质量的交换，个人对政府数据获取的问题也极少关注。然而随着“棱镜门”事件的披露以及企业大规模地收集和处理个人数据，美国消费者也开始考虑他们的个人数据是如何被利用的，特别是开始更多地关心政府获取的个人数据。如果隐私盾协议借此影响到美国有关用户隐私保护的法律法规制定，将更有利于欧盟向其他国家推行用户隐私保护的一系列理念和举措，进而影响其他双边或区域性跨境数据流动体系。*See Impact of the EU-US Privacy Shield,http://www.financierworldwide.com/impact-of-the-eu-us-privacy-shield/，2016-6-11.

3.促进欧美间跨境数据流动

隐私盾协议的建立有利于欧盟各国与美国隐私保护政策的协调，从而推动跨境数据传输和欧美商贸交流的发展。进入信息时代，个人信息无疑是一种正在崛起的新兴资产，由于信息流动可以创造财富，所以信息保护成为数字经济时代各国竞争的对象。跨大西洋地区大规模的个人信息跨境流动引发了人们对个人信息安全和隐私保护的担忧。由于各国个人信息保护水平不同，保护水平高的国家严格限制其个人信息流动到保护水平低的国家，因此跨境电子商务的发展受到一定的制约。与此同时，跨境电子商务和个人信息的跨境流动成为世界经济发展的新趋势，在信息创造财富的时代，各国应该创造条件促进个人信息的无障碍流动。[2]隐私盾协议的达成有利于平衡各国的隐私保护政策，让欧美双方在一个共同的体系下遵守隐私框架的最低标准，从而促进跨大西洋个人信息的跨境流动。

4.加快大西洋两岸的商贸往来

欧盟成员国是美国互联网企业获取个人数据的主要市场之一，隐私盾协议弥补了安全港协议的失效对跨大西洋数据流动造成的法律缺失，为其数据流动提供了一个新的安全框架，再次确保欧盟与美国企业能够继续开展跨境电子商务活动，这有助于两岸数字经济持续稳定增长。《一般数据保护条例》已将“个人数据”的定义扩展至“包含可以通过基因、精神、经济、文化或社会身份进行识别的主体。” 从鞋码到宗教再到人口普查信息等各种数据类型都会被划分至新的定义下。*See Online Platforms and the Digital Single Market,http://www.publications.parliament.uk/pa/ld201516/ldselect/ldeucom/129/129.pdf, 2016-6-12.因此，尽管只有4500多家企业进行了安全港协议的认证，但当《一般数据保护条例》生效后，更多的企业将会受到隐私盾协议的规制。

四、隐私盾协议对我国的启示

隐私盾协议体现了欧盟对个人数据保护的强烈关注，随着全球化进程的加快，欧盟在个人隐私保护上的价值观必然将在全球范围内引起连锁反应，这一现象值得我国关注与思考。目前，中国还不是欧盟认可的对个人数据提供充分性保护的国家，在很大程度上影响了欧盟对中国市场经济地位的承认，严重制约了中欧经济的繁荣发展。[3]随着跨国公司提供的跨境技术与服务陆续进入我国市场，跨境数据流动管理已成为一个现实议题，潜在的国家信息安全和个人信息安全风险值得关注。

欧盟和美国是世界上最大的两个经济体，两者之间达成的个人数据跨境流动协议不但直接影响参与欧盟市场的企业，而且具有很强的示范效应，对其他国家、地区的立法以及国际规则的制定将产生深远影响。我国是互联网大国，也是欧盟仅次于美国的第二大贸易伙伴。我国有必要尽快构建个人数据跨境流动法律规则体系，同时积极参与国际规则的制定。

1.构建个人信息保护法律体系

信息技术推动网络发展，网络环境下，数据是商品，可以为我们提供免费通道获取在线服务和先进的网络环境。*See Online Platforms and the Digital Single Market，http://www.publications.parliament.uk/pa/ld201516/ldselect/ldeucom/129/129.pdf, 2016-6-12.因此数字经济时代数据保护成为首要问题。在数字世界中，个人的任何行为都会留下“数字痕迹”。聚合的数字痕迹带来的“隐形”数据和隐私暴露问题，使得信息时代个人隐私保护面临更多的威胁。[4]此外，个人信息在大数据时代作为一种重要的经济资源，不仅具有商业价值，还涉及国家安全和社会公共利益，对个人信息的保护更为迫在眉睫。面对在全球背景下愈来愈频繁的数据跨境流动，我国应尽快制定相应规则以避免在国际合作中的被动局面，有的放矢，协调各方利益，平衡个人信息保护与数据流动之间的关系。

习近平总书记提出，“要加快网络立法进程，完善依法监管措施，化解网络风险。”我国目前个人信息保护立法十分不完善。我国《刑法》《居民身份证法》《消费者权益保护法》《侵权责任法》和《全国人大常委会关于加强网络信息保护的决定》等法律以及部分行政法规和规章少量涉及了个人信息保护问题，但远未系统化和体系化，多数规范性文件位阶偏低，缺乏可操作的具体规则。在有关个人信息的收集、利用、处理、存储、传输等基本规则尚未确立的情况下，无从谈及对个人信息跨境流动的保护。因此，我国有必要尽快出台《个人信息保护法》，在法律层面明确个人信息收集、利用、处理、存储、传输等环节中各个主体的权利、义务和责任，强化对个人信息的民事、行政保护。只有在民事制裁和行政制裁有效配合的情况下，刑事制裁的威慑功能才能有效发挥。

2.建立个人信息保护监管机构

信息主体的弱势地位、信息碎片化、单个信息的低值化、网络维权取证难、维权成本高等问题是困扰个人信息保护民事救济的主要障碍，因此建立个人信息的行政保护机制尤为重要。欧盟对个人数据的强保护就是通过数据保护机构和保护专员得以实现。

我国也应建立专门的个人信息保护监管机构，负责个人信息行政保护和执法监督，这对于跨境数据流动的监管尤为重要。在全球经济一体化背景下，专门的监管机构还有利于我国在个人信息跨国流动过程中更好地参与国际合作，维护我国国家网络主权和公民的个人信息利益。

3.完善个人信息跨境流动的监管制度和机制

在构建较为完善的个人信息保护法律体系和执法监督机构的基础上，进一步加强个人信息的跨境流动监管制度，建立数据分类管理制度、安全风险评估制度、合同监管制度、信息主体明确同意制度等，形成多样化、多层次的监管机制。

国际上关于跨境数据流动的监管并未形成统一认识，从各国的实践来看，多数国家对不同类型的数据采取不同的管理模式，实行数据分类管理。根据数据的重要性不同，通常可以将数据分为三大类：一是涉及国家安全和社会公共利益的重要数据，通常禁止跨境流动；二是政府公共部门和行业的数据，可以有条件地允许跨境流动，通常在流动前需要进行安全风险评估；三是对于普通的个人数据，经当事人同意后一般允许跨境流动，多通过加强信息安全义务、事前合同干预、事后问责等不同形式来进行安全管理。*石月.国外跨境数据流动管理制度及对我国的启示，http://gb.cri.cn/42071/2015/07/23/6611s5041096.htm，2016-06-10。

目前，我国的相关法律禁止涉及国家秘密和国家安全的数据跨境流动，但对于一般的个人数据和企业数据的跨境流动问题极少涉及。只有《征信管理条例》第24条*《征信管理条例》第24条：“征信机构在中国境内采集的信息的整理、保存和加工，应当在中国境内进行。”“征信机构向境外组织或者个人提供信息，应当遵守法律、行政法规和国务院征信业监督管理部门的有关规定。”对征信信息的跨境流动作了原则性规定，以及《地图管理条例》第34条*《地图管理条例》第34条：“互联网地图服务单位应当将存放地图数据的服务器设在中华人民共和国境内，并制定互联网地图数据安全管理制度和保障措施。” “县级以上人民政府测绘地理信息行政主管部门应当会同有关部门加强对互联网地图数据安全的监督管理。”要求互联网地图服务单位将存放地图数据的服务器设在境内。《关于加强党政部门云计算服务网络安全管理的意见》(中网办发文[2015]14号)提出敏感数据未经批准不得在境外传输、处理、存储，其他法律法规基本没有对数据跨境流动进行规范。出于进一步加强网络安全的需要，2016年11月7日通过的《网络安全法》第37条对关键信息基础设施运营者的数据跨境流动做了原则性规定，即：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。” 这填补了我国相关立法空白，但有必要进一步制定专门条例对跨境数据流动进行规范，明确可跨境流动的数据范围，建立跨境数据安全评估制度，完善各相关主体的权利、义务和安全保护责任。

4.出台跨境数据流动行业标准以加强行业自律

在对跨境数据流动实行政府监管的同时，还应建立和加强行业自律机制。网络信息技术日新月异，网络信息服务层出不穷，法律的规范不可避免地具有滞后性，因此应充分利用诸如中国网络空间安全协会等行业协会的优势，发挥行业协会自我管理、自我约束的作用，鼓励网络信息行业制定自律性规范和跨境数据流动行业标准，总结和推广最佳做法和最佳实践，为个人信息保护塑造良好的网络环境。跨境数据流动行业标准可先推出推荐性标准，待条件成熟后，可将推荐性行业标准转变为强制性行业标准或国家标准，甚至上升为法律规定。

5. 加强国际合作构建中欧数据安全对话机制

习近平总书记指出，“各国应该推进互联网领域开放合作，丰富开放内涵，提高开放水平，搭建更多沟通合作平台。”一国的数据保护机构只能在本国主权范围内行使职权，无法对跨境后的数据处理进行真正有效的监管，因此，国际合作对数据跨境流动及保护尤为关键。经合组织曾指出，跨境流动数据的数量和特征使得加强国际合作以实现隐私保护成为必需。[5]

由于当前网络空间的国际规则尚在形成过程中，我国应当积极参与包括跨境数据流动在内的网络空间国际规则的制定，在国际上发出中国的声音，推动有利于我国利益的国际规则的形成。当前可以考虑借鉴欧美模式建立中欧数据安全对话机制，可先开展中欧智库间的民间对话，探索中欧数据流动安全保障框架，促进中欧数字商贸往来。

[1] 陈恬, 廖璇. 美欧用户信息跨境流动政策走向预判[J]. 电信网技术, 2016(2): 35-37.

[2] 弓永钦, 王健. APEC跨境隐私规则体系与我国的对策[J]. 国际贸易, 2014(3): 30-35.

[3] 桂畅旎. 美欧跨境数据传输《隐私盾协议》前瞻[J]. 中国信息安全, 2016(3): 83-85.

[4] 张新宝. 从隐私到个人信息: 利益再衡量的理论与制度安排[J]. 中国法学, 2015(3): 38-59.

[5] 高明. 欧盟跨境数据流动的法律探究[J]. 法制与社会, 2011(10): 20-23.

EU-U.S. Privacy Shield and its Enlightenment to China

XIE Yong-jiang, ZHU Lin, SHANG Jie

(School of Humanities, Beijing University of Posts and Telecommunications, Beijing 100876, China)

EU-U.S. Privacy Shield offers more protection to EU personal data privacy, reinforces the obligation of enterprises and government, and restricts the information collection by the US government. The framework represents the EU Internet security and the information protection policy of both sides, promotes data flow between the Europe and the US, and facilitates the transatlantic business. China shall legislate for personal information protection and construct legal system in this field; establish specialized data protection institutions; improve the supervision mechanisms in terms of trans-border personal data flow; release the standard of trans-border data flow and intensify the cooperation, bridge communication mechanisms of Sino-Europe data safety, and join the enactment of international rules in cyberspace.

Privacy Shield; trans-border data flows; personal information protection

2016- 06 - 24

谢永江(1973—)，男，江西乐安人，法学博士，北京邮电大学人文学院副院长、副教授，北京邮电大学互联网治理与法律研究中心常务副主任，北京邮电大学可信分布式计算与服务教育部重点实验室研究员；主要研究方向为网络法和经济法。

D913.04; TP393.08

A

1008-7729(2016)06- 0039- 06