单文华,邓 娜

(西安交通大学 法学院,陕西 西安 710049)

欧盟是美国重要的数字贸易伙伴,2000—2020年,美国依靠《安全港协议》和《隐私盾协议》实现了欧盟公民个人数据持续向美国流动。多年以来双方之间的数据流动虽然不乏波折,但是总体比较稳定(1)虽然《安全港协议》于2015年10月被欧盟法院判定无效,但是欧美双方很快重新达成了《隐私盾协议》,并于2016年7月生效。。不过,由于欧盟和美国数据法律体系差异较大,双方在数字经济的发展上存在根本利益冲突,所以跨大西洋数据传输机制具有先天的脆弱性。最终,《隐私盾协议》难逃和《安全港协议》同样的命运,于2020年7月被欧盟法院判定无效。通过对《隐私盾协议》无效案的剖析,可以管窥欧美之间数据跨境流动存在的深层问题,了解国际数据保护立法的主要趋势,为我国制定符合国际潮流和现实国情的数据保护及跨境数据流动法律体系、推动国际数据治理提供有益借鉴。

一、欧美跨境数据流动的安排缘起

欧盟数据向外流动主要依赖充分性认定机制。欧盟委员会在评估第三国或地区的法律法规、司法系统、人权保护状况、国防及国家安全体系等因素后,如果认定其数据保护体系强劲有力,能达到与欧盟法“实质等同”(essentially equivalent)、并不要求“完全一样”(identical)的保护水平,欧盟可单方面发布对该国的充分性认定决定,如此则数据可以自由地从欧盟传输至该国境内所有的经济组织,包括私人企业[1]。鉴于欧盟数据保护的高门槛和高标准,能得到“充分性认定”的国家并不多(2)目前得到欧盟充分性认定的一共有13个国家和地区,包括加拿大、日本、阿根廷、安道尔、以色列、新西兰、瑞士、乌拉圭、法罗群岛等。。由于美国缺少综合性的联邦隐私立法,其数据保护状况未能得到欧盟一揽子的充分性认定。于是,《安全港协议》和《隐私盾协议》应运而生。

(一)《安全港协议》的产生及要旨

欧美一直是重要的数字贸易伙伴,数据交流频繁,欧美双方一直在探索灵活又实际的方式以消除双方数据流动的阻碍。欧盟自1995年《数据保护指令》开始限制个人数据向第三国转移。欧美双方于1998年起开始磋商《安全港协议》,试图为欧盟公民数据向美国的自由流动创造便利条件,双方于2000年达成《安全港协议》,借此美国得到了欧盟“局部性”的充分性认定。实际上,美国是唯一没有综合性隐私法律却仍然享受了欧盟充分性认定待遇的国家[2]。“安全港”机制自2000年7月开始实施,一直到2015年10月失效,极大促进了欧美之间商业性的数据流动。

《安全港协议》包含了一系列数据保护原则,私人企业可以申请加入并且承诺履行相应义务,以此换取欧美间不受限制地传输数据的权利。经过《安全港协议》认证的美国公司必须执行比美国法律要求更加严格的数据保护标准。尽管如此,美国的企业乃至整个数字经济,都能借助“安全港”机制享受充分性认定带来的实质性收益。美国的科技公司利用欧美间不受限制的数据流动开发出了瞄准欧洲市场的商业模式,带来了巨大的经济效益。

(二)SchremsⅠ案与《安全港协议》的失效

2013年斯诺登事件爆发后,奥地利法学学生Max Schrems就其Fackbook数据转移到美国时并未得到充分保护为由,向爱尔兰数据保护委员会(Data Protection Commissioner,DPC)提出投诉。当时欧美之间实行的是2000年签订的《安全港协议》。案件被移交至欧盟法院后,法院认为美国将法律执行和国家安全置于隐私保护原则之上,《安全港协议》并不能确保欧盟公民数据在美国得到充分保护,从而判定其失效。

(三)《隐私盾协议》的产生与要点

《安全港协议》的无效严重扰乱了欧美之间多年稳定的数据流动秩序,成为双方的重大关切。于是,双方紧急磋商达成了新的《隐私盾协议》,并于2016年7月开始实施。该协议完善了《安全港协议》的部分规则与实践,可以说是《安全港协议》的改进替代版。此后,“隐私盾”机制继续维系着欧美之间的数据流动,先后共有5 300多家企业加入其认证体系(3)此为“隐私盾”官网公布的数据。。在《隐私盾协议》中,较之《安全港协议》,美国作出了不少妥协和让步。例如该协议首次要求美国政府向欧盟递交书面说明,保证其在维护国家安全、保障公共利益以及执行法律的过程中有明确的权力范围及监管机制,并且设立了监察员制度,监察员的主要职责是处理欧盟公民的个人数据在美国境内受保护的诉求(4)“隐私盾”的监察员是Keith Krach,为美国经济增长、能源和环境部的秘书。。该制度不仅适用于通过《隐私盾协议》从欧盟转移到美国的个人数据,也涵盖基于商业目的通过“标准合同条款”(standard contractual clauses,SCCs)、“约束性公司规则”(binding corporate rules,BCRs)等方式转移到美国的数据[3]。此外,《隐私盾协议》还设立了由欧盟委员会和美国商会共同执行的年度联合审查机制。2017—2019年,对《隐私盾协议》的实际执行情况一共进行了3次年度审查。不过,虽然《隐私盾协议》看似比《安全港协议》更加具体完善,但是并未要求美国当局修订其国家安全和数据隐私方面的立法,因而无法从根本上阻止美国国家安全局(NSA)和其他情报机构以违背欧盟法律原则的方式对欧盟公民实施监控。欧盟公民个人数据在美国境内受保护的情况未能获得实质性改变,最终导致该协议也被欧盟法院判定无效。

二、SchremsⅡ案与欧美跨境数据流动的问题分析

(一)SchremsⅡ案概览

《隐私盾协议》无效案与2015年判决《安全港协议》失效的SchremsⅠ案一脉相承,故称为SchremsⅡ案。当年《安全港协议》失效以后,Facebook改用SCCs作为向美国传输欧洲公民数据的合法途径。2015年底,Max Schrems再次向DPC投诉,以相同理由要求暂停Fackbook使用SCCs。该案审理期间,欧美双方重新签订了《隐私盾协议》作为《安全港协议》的替代和延续。所以,在向欧盟法院移交案件时,除了SCCs的合法性问题,爱尔兰高等法院也对《隐私盾协议》的有效性提出了质疑。欧盟法院经过调查后认为美国政府机构对个人数据的访问权没有限制在“必要”和“适度”的范围内,而且对此欧盟公民在美国缺乏获得司法救济的有效途径,最终于2020年7月判定《隐私盾协议》无效(5)本部分关于SchremsⅡ案的概括介绍,主要参考欧盟法院Data Protection Commissioner v.Facebook Ireland Limited,Maximillian Schrems一案的判决书(Case C-311/18)。。但是,法院并未裁定SCCs无效。

欧盟对美国繁密多重的国家安全法律及大规模监控体系能否与欧盟法律原则兼容心存疑虑,其中最担心的是美国政府可以任意访问欧盟公民的个人数据,而欧盟公民对此缺乏有效的法律救济措施。欧盟法院在《隐私盾协议》无效案的判决中,多次表示美国国家安全体系及情报收集活动侵犯了欧盟公民的基本权利,而且美国的法律体系无法为欧盟公民提供与《欧盟基本权利宪章》(以下简称为《宪章》)“实质等同”的保护。在美国众多的国家安全法案与情报机制中,与欧盟个人数据保护冲突最明显的当属美国1978年《外国情报监视法案》(ForeignIntelligenceSurveillanceAct1978,FISA)第702条和美国第12333号行政命令(ExecutiveOrder12333,EO12333)。FISA第702条规定,情报部门可以实行大规模监控,包括对处于美国境外的非美国公民的监控,从而为美国的“棱镜”(PRISM)和“上游”(UPSTREAM)监控计划提供了法律基础。尽管FISA第702条确立了“最小化”原则,并且规定NSA只能对经过“选择器”(selector)筛选的具体目标实施监控,但是美国公民自由协会指出,“选择器”的设计初衷只为防止美国公民的通信被不正当监控,情报机构仍然可以轻易随机锁定抓取任一非美国公民的个人数据[4]。EO12333于1981年由美国前总统里根签署,为美国当局设置了新的更加广泛的监控权限,同时为NSA许多超出公共安全目的的监控行为提供了法律依据。EO12333允许NSA通过访问跨大西洋水底电缆来拦截从欧洲向美国传输的“在途”数据,因为这些数据到达美国境内之后将受到FISA管辖,所以NSA提前将其截留保存[4]。而且,NSA根据EO12333作出的情报收集活动不受其他法律约束,也不接受司法监督和审判。欧盟一直认为尊重私人生活和保护个人数据是一种基本人权,关系到人的尊严与自由,自然难以容忍美国以国家安全之名实施大规模监控和非法采集他国公民个人信息的行为。数据主体的权利在欧盟受到最高级别即宪法层面的保护。宏观来看,《通用数据保护条例》(GeneralDataProtectionRegulation,GDPR)中规定的数据传输机制也受制于《宪章》第7条、第8条规定的人权保护义务。

斯诺登事件后,美国前总统奥巴马颁布了《美国总统政策指令28》(PresidentialPolicyDirective28,PPD28),对美国当局情报活动施加了一些限制,为非美国公民遭遇情报机构监控提供了一定的隐私保护。该指令笼统地规定情报收集必须根据法律或者总统授权,还要求情报活动应“尽可能地量身定制”(as tailored as feasible)。欧盟法院认为这些规定过于简单,形式大于内容,不足以保护欧盟公民根据《宪章》第7、8条享有的基本权利。当欧盟公民遭遇美国当局非法处理其个人数据时,也无法获得与美国公民相同的救济措施。因为在美国法律体系中,宪法第四修正案是对抗非法监控最重要的诉因和最有效的手段,而宪法修正案不能适用于与美国没有重大自愿联系(significant voluntary connection with the U.S.)的欧盟公民。虽然欧盟公民还可以采取一些其他的救济措施,但是实施起来也将面临实质性的障碍(6)例如,根据美国宪法第三条,任何向联邦法院提起诉讼的原告必须首先证明其具有充分的“诉讼资格”(standing),要求其证明已经遭受实际伤害(injury),并且这种伤害是具体且紧迫的(concrete and imminent)。欧盟法院认为美国最高法院对Clapper v.Amnesty International一案的判决足以说明欧盟公民在现实中很难满足“诉讼资格”所要求的条件,尤其考虑到美国当局没有任何义务告知数据主体针对他们所采取的监控措施。此外,情报机构的主权豁免权和有关信息的分类等也构成了欧盟公民行使某些救济措施的障碍。。此外,欧盟法院指出,“隐私盾”体系设立的监察员机制,并非《宪章》第47条意义上的法庭,因为其隶属于行政部门,缺乏“独立性”。总体来说,美国国家安全法律不能有效约束情报部门的行为,对个人数据的监控存在任意性和普遍性,这与欧盟数据保护的原则明显相悖。欧盟不仅通过GDPR在境内对个人数据提供严格保护,并且借助充分性认定机制、SCCs和BCRs等机制确保欧盟公民的个人数据无论处于何地都能受到与欧盟立法相当水准的保护。如果经评估后认为第三国的法律和实践可能影响这些机制的有效性,欧盟就会要求数据出口方采取必要的补充措施(7)欧洲数据保护委员会(EDPB)在2020年11月发布的《补充转移工具措施指南》中以非穷尽的方式列举了GDPR第46条的补充措施,将具体场景区分为有无有效措施两大类别。。欧盟不愿意承担数据出口至美国后的不确定性给数据主体权利带来的风险,对个人数据的保护水平持续保持高度警觉。如果最终没有合适的补充措施确保与欧盟相当水准的保护,则宁可选择避免、暂停或者终结该数据传输。尽管欧美经贸往来密切,欧盟法院坚持优先考虑隐私和数据权利的保护,而不是数据跨境流动带来的经济收益。虽然美国政府、欧盟委员会以及大多数欧盟成员国都极度希望保留“隐私盾”这一非常高效有用的数据传输机制,但是现实情况已经超出了他们的控制范围。

(二)欧美数据保护体系的系统性差异

“隐私盾”的失效是欧美两大数据治理阵营激烈碰撞的结果,反映出双方数据保护体系存在系统性差异。这些差异主要表现如下:

1.欧美对数据保护理念与定位之差异

欧盟法律体系的典型特点是以权利保护为导向,数据主体的权利被上升为基本权利,得到了宪法层面强有力的支持。欧盟法院在司法实践中坚定地捍卫这种权利,其法律依据除了《宪章》第7、8条以外,还包括《欧洲人权公约》第8条尊重隐私生活的规定,并且得到了欧洲人权法院的支持,由此在整个欧盟奠定了不能将数据保护交由自由市场支配的理念。

美国在理念上崇尚新自由主义,对数据隐私的保护秉承放任和不干涉的态度。历届美国政府都优先保障创新和技术进步,提倡各行业的自治,不愿实质性地限制企业行为[6]170。20世纪90年代,克林顿政府甚至力图将美国的行业自治理念推广为全球标准。欧盟1995年的《数据保护指令》对个人数据向欧盟境外流动施加了限制,被认为给跨大西洋的贸易带来了不利影响,在美国曾一度遭受质疑[5]130。美国宪法第一修正案禁止任何削弱言论自由的法律,通常被用来限制数据主体的权利。例如,佛蒙特州的数据隐私法案禁止药房和健康保险公司在未经患者同意的情况下出于商业目的使用和出售患者个人信息,最高法院认为该项规定限制了药房和健康保险公司的言论自由,所以依据宪法第一修正案于2011年废除了该隐私法案[6]107。某种意义上说,宪法实际上强化了数据处理者的权利。总体来说,美国主张以市场为导向,规定联邦贸易委员会(Federal Trade Commission,FTC)在自由平等的市场环境下保护消费者免受不公平待遇,其法律体系更加倾向于保护数据处理者而不是作为消费者的数据主体的利益。

2.欧美数据保护法律体系之差异

欧美在理论上对数据保护的不同认知给双方相关法律体系带来了重要差异。欧盟的数据保护法律以GDPR为代表,这是一部综合性的覆盖了所有经济领域的法律,适用于任何出于商业目的对个人数据处理和使用的情况,而且GDPR在整个欧盟的数据保护标准是一致的,可以直接适用于各成员国。美国的数据隐私体系高度碎片化,缺少一部统领性、综合性的能覆盖所有经济部门和所有商业数据处理的数据隐私立法,数据隐私保护规则分散于不同行业的不同法规中,而且分属于不同的监管主体(8)联邦在医疗、教育、通信、网络安全、儿童数据保护等特定领域颁布了专项法律,并在其中明确了个人数据处理和使用的规则。美国重要的联邦隐私法律有1970年的《公平信用报告法案》、1974年的《隐私法案》、1986年的《电子通信隐私法案》、1988年的《音像隐私保护法案》、1996年的《健康保险携带和责任法案》、1998年的《儿童在线隐私保护法案》、1999年的《金融现代化法案》、2009年的《健康信息技术促进经济和临床健康法案》等。。这些法律覆盖的经济部门总体较少,其通过多是为回应特定事件和具体关切。美国各州保护数据隐私的法律和规定也各不相同,加利福尼亚州、内华达州和缅因州分别通过了综合性的数据隐私立法,另外还有13部相关法律则处在州议会审查阶段(9)RIPPY S.US state privacy legislation tracker[EB/OL].(2021-07-08)[2021-07-10].https:∥iapp.org/resources/article/us-state-privacy-legislation-tracker/#:～:text=IAPP.。虽然许多欧盟成员国也有独立的数据保护法律,但是这些法律要么出于利用GDPR第49条的义务减免,要么旨在进一步强化GDPR的保护要求[2]4。与美国分散多样的数据隐私立法相比,欧盟这种协调统一的数据保护框架更容易被企业遵循,同时也极大促进了欧洲境内数据的自由流动。此外,GDPR管辖范围很广,企业在欧盟境内处理个人数据,或者虽然在欧盟境外但是仍涉及对欧盟公民个人数据的处理,都应当遵守GDPR的规定,与美国的数据隐私法律相比有明显更强的域外效力。

GDPR域外适用广泛且法律模式可移植性高,加上欧盟较强的经济实力,目前全球已经颁布数据隐私法律的134个主权国家中,以欧盟为参照的占据绝大多数,可以说GDPR树立了全球数据保护的标杆(10)GREENLEAF G.Countries with data privacy laws:by year 1973—2019[EB/OL].(2019-06-03)[2020-11-12].https:∥ssrn.com/abstract=3386510.。而美国对全球隐私标准的建立和发展几乎没什么影响力,在该领域明显落后于欧洲,并且美国几乎所有的科技巨头企业都必须遵守GDPR。美国各州隐私法案中最亮眼的当属2020年1月生效并于2020年11月修订的《加州隐私权法案》(CaliforniaPrivacyRightsAct,CPRA)。修订后的CPRA成立了专门的独立的数据保护机构、扩大了“敏感个人信息”和儿童数据的范围、明确了数据保留政策的职责并增加了消费者权益的选择[8]。CPRA在个人数据的定义、数据主体的权利类型、专门的数据保护机构等方面与GDPR有明显的相似性,但是其适用范围仅局限于加州。美国联邦层面仍然缺乏统一的数据保护法,与在欧盟全境统一适用的GDPR相比显然处于弱势地位。美国目前已有制定联邦隐私立法的计划,但是很有可能会突破CPRA框架,因为“共和党人不会希望加州为整个美国的隐私数据保护设定标准”[2],因此其前景尚难预料。

3.欧美数据法律实施体系之差异

欧盟每个成员国都设有专门的独立的数据保护机构(data protection authority,DPA),主要任务是执行欧盟的数据保护法律,其权力广泛,能对任何违反GDPR处理欧盟公民数据的企业或组织处以罚款,金额上限为2 000万欧元或者该企业全年全球营业总额的4%(取两者中的较高者)[1]。此外,在欧盟不仅个人能独立向DPA提起诉求,而且DPA按照规定必须调查所有收到的投诉请求[2]5。

相比之下,美国没有实施综合性的联邦隐私法律,也并未设立专门的隐私保护机构,联邦的数据隐私法律由FTC实施。FTC并非为管理数据隐私而专门成立的机构,而是主要负责处理企业不正当竞争和欺诈消费者行为的国家机关,所以保护数据隐私的权力比较有限。根据《联邦贸易委员会法》规定,FTC只能对企业“不公平和欺诈性商业行为”罚款,而公民不能根据该法案提起私人诉求,因此有人批判美国在保护数据权利方面过于被动[2]6。不过,FTC近年来对隐私法律的实施和执行越来越积极,相关部门的工作人员数量越来越多,为在有限的权力空间内最大限度实现隐私规管发挥了创造性作用。自1997年以来,FTC一共处理了超过270件隐私相关案例,近年来又据此对众多企业罚款,包括Facebook、剑桥分析公司、Google、Paypal等公司。

在一定意义上,美国数据隐私法律的执行力度强于欧盟。由于《联邦贸易委员会法》和美国其他法律对违法违规企业的罚款金额没有设置上限,FTC于2019年开具了两笔巨额罚单,一是因剑桥分析公司丑闻对Fackbook罚款50亿美元,二是因泄露1.43亿位消费者的个人信息对美国征信巨头Equifax罚款7亿美元,这两笔罚单金额远远超过了迄今为止GDPR开出的任何一笔罚款金额(11)GDPR下目前最高的两笔罚款都由英国信息委员会办公室(Information Commissioner’s Office)开出,金额分别为对英国航空公司的1.83亿英镑和对万豪国际集团的9 900万英镑。。相比于FTC的敢作敢为,欧洲的DPA一直以来因资源匮乏、效率低下、不够强硬而广受诟病。大约一半的欧盟DPA每年的财政预算在500万欧元及以下,主要来源于相应成员国的政府拨款,这些DPA往往因为财政紧张而只能雇佣极少量技术专家(12)爱尔兰的数据保护委员会是个例外,因为许多美国科技巨头属于其管辖范围,但目前为止其尚未依据GDPR作出过重大罚款。。而且,与FTC相比,虽然欧盟DPA的权力更加广泛、执法理由更加多样,并且理论上能采取更加强有力的执法措施,但是从欧盟DPA以往的执法实践来看,其对科技巨头疑似或者明显违反GDPR的行为未能采取重大执法行动,而且似乎也不愿意开具高额罚单。

(三)欧美数据流动规制矛盾的根源

《隐私盾协议》被判失效表面上是为了防止美国政府对欧盟公民的监控,实质上可以说是欧盟凭借其数据隐私规则话语权对美国进行的一种牵制,目的在于打破美国在数字经济领域的技术霸权,实现欧盟重新夺回“技术主权”(13)欧盟委员会主席乌尔苏拉·冯德莱恩曾明确表示,欧盟必须重新夺回自己的“技术主权”(technological sovereignty),“技术主权”是指“欧盟必须根据自己的价值观并遵守自己的规则来做出自己的选择的能力”。的愿望。“技术主权”之争可以说是欧美在数据流动问题上的根本矛盾所在。

当今世界是数据主权和数据资源争夺的时代。欧盟的互联网科技产业基础薄弱,在全球数字经济中的市场份额与其经济实力并不匹配(14)根据联合国发布的《2019年数字经济报告》,中国与美国占全球70个最大数字平台市值的90%,而欧洲在其中的份额仅为4%。。与此相反,美国科技公司在全球处于垄断地位,少数几家科技巨头掌握了全球大部分数据。而且,目前大量美国互联网企业拥有广大的欧洲市场,并在欧盟成员国境内建立了欧洲总部,在互联网及数字技术上较之欧盟本地企业具有较大优势。美国互联网巨头的崛起与“监控资本主义”息息相关。监控资本主义是一种以大数据为基础的互联网商业系统,个人数据是该系统内企业增值盈利的核心所在。Google、Fackbook等互联网巨头在网络上监控并收集用户留下的大量信息,建立相应模型对用户的偏好和行为做出分析预判,然后将这些数据出售给需要精准投放广告的买家。这种商业模式迅速在全球的互联网公司中流行开来,最终形成了“监控资本主义”(Surveillance Capitalism)(15)该理论2015年由美国学者Shoshana Zuboff提出。。监控资本主义的马太效应非常明显,大型互联网科技公司拥有大量用户,积累了海量数据,可以对用户进行更精准的分析画像,从而开发出更有竞争力的产品和服务。数据优势同时带来强大的市场支配力。大型互联网公司可以单方面为数据的访问和使用设置规则并施加条件,并将这种优势向新市场拓展。放任美国监控资本主义的发展不仅会挤压其他各国互联网企业的生存空间,而且随着世界范围内的数据越来越向美国的互联网巨头集中,各国将进一步丧失对本国数据的控制能力,这意味着各国的独立自主和安全也可能受到威胁。

欧盟应当如何抗衡美国强大的监控资本主义?《隐私盾协议》的失效或许只是一个开始。欧盟拥有完备的个人数据保护制度,也善于在全球市场中采取单边规制,迫使世界其他国家和地区接受与其相同的规则标准,进而增强欧盟在国际规则制定中的主导权和影响力(16)欧盟的这种做法被一些学者冠名为“布鲁塞尔效应”。。GDPR在强化数据主体权利的同时增加了数据控制者的义务,目的不仅是为保护欧盟公民的数据权利不被侵犯,更是为防止美国和其他国家利用数据优势地位威胁欧盟成员国的国家安全和主权独立[9]115。欧盟严格的数据保护制度给其经贸伙伴带来重大挑战,迫使他们在增加合规成本的同时面临不确定的执法,甚至可能延误进入欧盟市场的时机,从而为本土企业同外国科技互联网企业的竞争博弈增加了筹码,为欧洲数字企业的崛起创造空间。而对于其他国家和地区,尤其是互联网企业最具竞争力的美国和中国,GDPR事实上产生了贸易保护主义的效果,形成了数字经济时代的新型贸易壁垒[10]。

为了保证欧盟抓住数字经济发展的机遇,欧盟委员会提出了“技术主权”战略,于2020年2月连续发布了《塑造欧洲数字未来》《欧洲数据战略》和《人工智能白皮书》三份战略文件,确保欧盟对数据基础设施、网络和通信等关键技术的部署、研发及应用具备完全自主的控制能力和恢复能力,并最终实现欧洲的数字化转型。这些关键能力的建设将有效减少欧洲对其他地区关键技术的依赖,增强欧洲在数字化时代设定自身规则和价值观的能力。为了保证欧盟的价值观及经济社会模式免受外来的影响、威胁和破坏,欧盟领导人一致认为欧洲数字化转型的设计和本质都应当是欧洲式的,为此他们极力为欧洲发展建设自身的关键能力创造条件。欧盟还持续利用反垄断工具削弱美国互联网巨头在欧洲境内的“垄断性存在”,同时大力推行“数字税”将美国巨头攫取的欧洲红利留在欧洲。欧盟表达了对于建立统一规范化数字市场、把握数字经济主权的强烈愿望,迫切希望在数字经济领域能成为与美、中比肩的第三极[11]。

三、后《隐私盾协议》时代的欧美跨境数据流动

(一)欧美跨境数据流动矛盾依旧

《隐私盾协议》被判定无效后,欧美双方的根本性矛盾依然存在。宏观上看,欧美数字经济博弈持续升级,欧盟出于对美国监控资本主义的忌惮,必将不遗余力地继续推行“技术主权”战略。微观上看,通过SCCs或者BCRs传输到美国的个人数据,同样面临被政府部门获取而得不到充分救济的问题。因为SCCs或者BCRs这些机制都只是以合同形式对数据处理者和数据控制者施加限制,无法约束美国当局的监控行为。而欧盟公民的个人数据一旦传输到美国,其境内的公司亦不可能对抗国家权力,只能按照美国国家安全法律的要求配合提供其控制下的个人数据。正如Christopher Kuner所言,想要依靠《隐私盾协议》、其他充分性认定或者SCCs这类程序性机制在实践中达到保护数据和基本权利的目标效果,只是一种不切实际的法律想象,因为这些机制都无法为个人数据提供能够对抗外国政府监控和情报收集活动的保护[12]885。

欧美双方立场不同,数据跨境流动的矛盾难以调和,很难有根本的解决方案。《隐私盾协议》的失效极大扰乱了欧美之间正常的数据流动。欧美双方能否就数据流动重新达成协议,目前尚未可知。一方面,欧盟法院一心捍卫公民的基本权利并坚守欧盟的价值观念;另一方面,美方似乎也并无修订或者弱化其国家安全法律以维护与欧盟之间数据流动和数字贸易的意愿。一位美国官员认为美方甚至很难再加入谈判议程,因为美方已经建设性地作出过几次重大让步,进一步的协商很可能更加不符合美国的利益[2]15。此外,考虑到《隐私盾协议》无效判决的细节对欧美之间将来可能达成协议施加的种种限制,双方即使重新回到谈判桌前,重新达成共识也很可能是一场持久战。

(二)欧美跨境数据流动的可能路径

欧美双方的经贸往来仍在继续,而数据流动是支撑数字服务贸易发展的关键性因素。当失去《隐私盾协议》这一传统的常规路径以后,个人数据从欧盟转移到美国还有哪些合法途径可以选择呢?

1.适当安全保障措施

如果没有获得欧盟委员会的充分性认定,欧盟境内的数据还可以通过两种特别保障措施向境外传输,包括SCCs和BCRs。SCCs是一种由欧盟委员会预先批准的合同模板,欧盟和第三国或地区的企业之间如果要传输数据,双方事先应当签订此种合同,合同的签订代表第三国的企业已经在法律上承诺达到欧盟要求的数据保护标准。BCRs是一种便利公司内部或者一群公司之间数据流动的法律机制,一般由分属于不同主权国家管辖的大型跨国公司使用。BCRs要求整个组织或者团体遵守欧盟要求的数据保护标准,需要预先得到相应成员国DPA的批准。对企业来说,建立SCCs或者BCRs机制花费大、负担重,并且不够灵活,因为它们都涉及比较繁重的行政和法律工作,例如梳理和规划本企业所有的数据流动路径。

SCCs在《隐私盾协议》无效案中也遭受过质疑和挑战,但是欧盟法院最终认定了这一机制的有效性,理由是其为保护隐私和个人基本权利与自由提供了充分保障。如果因为与特定第三国或者某一组织之间的问题而废除SCCs这一全球性的数据流动机制,显然是不合适的。而且,如今《隐私盾协议》已经失效,如果SCCs这一数据传输机制也被中断,就没什么合法的途径满足企业从欧盟向美国传输数据的需求了,欧盟委员会将面临来自工商企业的巨大压力。当前,微软、Fackbook等美国互联网巨头已经转向SCCs这一数据传输工具,以维持在欧洲境内业务的正常开展。

不过,《隐私盾协议》被判决无效对SCCs的运行产生了重要影响。欧洲数据保护委员会(European Data Protection Board,EDPB)明确表示应当对已经使用SCCs的数据传输行为进行“一事一议”的审核,判断是否需要增加额外的补充措施。如果最终不能确保对欧盟个人数据提供充分的保护,那么即便有标准合同条款,监管机构仍然应当暂停或禁止该项数据传输(17)EDPB.Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data[EB/OL].(2020-11-10)[2021-01-09].https:∥edpb.europa.eu/our-work-tools/documents/public-consultations/2020/recommendations-012020-measures-supplement_en.。欧盟委员会于2020年11月发布了一项关于改进SCCs机制的实施决定草案。该草案在保留目前SCCs原则的基础上(18)根据欧盟委员会2001年发布的决议(2001/497/EC),SCCs的原则主要包括:数据出口商有义务考虑第三国的个人数据保护水平;数据进口商有义务将其无法履行SCCs的情况通知数据出口商;出口商在收到此类通知后若决定继续传输个人数据,则有中止数据传输、终止协议、通知监管机构的义务等。这些原则在“SchremsⅡ”中得到了欧盟法院的肯定,并且是法院裁定SCCs继续有效的基础。,试图将SchremsⅡ判决中加强个人数据保护的精神包含其中,对个人数据传输至第三国提出了新的监管要求,如明确了数据出口商在进行转移影响评估中必须考虑的因素(19)根据该草案,转移影响评估应当考虑第三国的法律和惯例、合同的期限、转移的规模和规律、处理链的长度、数据传输使用的通道、接收者类型、传输的目的和所传输数据的性质等。,要求数据出口商记录并向监管机构提供其实施的影响评估,要求数据进口商在面对公共部门访问其控制下的欧盟原始个人数据命令时应当履行更加强有力的义务等(20)European Commission.Commission Implementing Decision on standard contractual clauses between controllers and processors for the matters referred to in Article 28(3)and(4)of Regulation(EU)2016/679 of the European Parliament and of the Council and Article 29(7)of Regulation(EU)2018/1725 of the European Parliament and of the Council[EB/OL].(2020-11-01)[2021-02-15].https:∥eur-lex.europa.eu/legal-content/EN/TXT/?uri=PI_COM:Ares(2020)6654429.。此外,EDPB和欧洲数据保护监督员(European Data Protection Supervisor,EDPS)于2021年初发布了联合声明,对欧盟公民个人数据从进口方进一步传输到第三国的情况也作出了规定。只有第三方同意接受SCCs约束,即作为合同的一方承担明确的角色与责任,进口方才可将该数据传输给第三方。否则,数据进口方和第三方签订的数据转移协议应当实质性地复制SCCs中数据出口方和进口方之间的保证与义务(21)EDPB.EDPB-EDPS Joint Opinion 2/2021 on the European Commission’s Implementing Decision on standard contractual clauses for the transfer of personal data to third countries[EB/OL].(2021-02-03)[2021-02-17].https:∥edpb.europa.eu/sites/default/files/files/file1/edpb_edps_jointopinion_202102_art46sccs_en.pdf.。

2.GDPR第49条规定的特殊情形下义务克减

在没有充分性认定及其他适当安全保障措施的情况下,将个人数据转移到欧盟境外,需要符合GDPR第49条规定的七种具体情形。这七种情形主要分为三类,即转移已获得数据主体同意、转移是为实现重要公共利益(如开发新冠肺炎疫苗)、转移是为保护数据主体的重大利益。值得注意的是,这些减免情形都应当被严格解释,只能适用于“偶尔的、非经常性的”数据转移行为。对于大规模系统性的数据流动活动,通常还是应该利用充分性认定(包括原来的《隐私盾协议》)、SCCs和BCRs这种常态稳定的传输机制。这些机制已经成为跨大西洋现代经济发展的重要支撑。

3.数据本地化

数据本地化是指要求欧盟公民的个人数据必须在欧盟境内处理和储存,而不能传输到境外,包括美国。这是保护欧盟公民数据权利“釜底抽薪”的方法,也符合欧盟重新夺回“技术主权”的战略需求(22)不少国家将数据本地化作为应对国际数字经济竞争加剧的手段,如印度、俄罗斯等。。如果欧盟实行数据本地化,那么中小企业和初创企业进行跨大西洋数字贸易的难度将会增大,美国企业在欧盟投资经营的积极性也会降低(23)美国科技公司早已着手应对欧盟数据本地化的要求,几年前就开始在欧洲大量投资建设数据中心,至今势头不减。例如2019年Google宣布投资33亿美元用以建设欧洲数据中心。。但是,考虑到美国互联网服务在欧洲的受欢迎程度与市场占有率,欧盟全面实行数据本地化或者暂停欧美之间数据流动是不现实的。而且,数据本地化将直接影响数据的跨界共享和流动,给商业活动增加额外成本和负担,从而损害国际经济贸易。同时,限制数据跨境流动的法规通常也会妨碍自由贸易,甚至形成一种新型的贸易壁垒或贸易保护手段,极有可能构成对WTO基本原则的违反[13]389。

不过,即使美国科技互联网企业按照欧盟数据本地化要求在欧洲境内设立了数据中心,也无法避免美国政府获取欧盟公民的个人数据。根据美国2018年开始实施的《云法案》(CLOUDAct),如果执法机构所寻求的信息与正在进行的犯罪调查实质性相关,则执法机构有权获取“以电子形式存储于美国境外的通信数据”[14]。换言之,美国互联网企业有义务配合国家机关提供其控制下的个人数据,无论该数据存储于全球哪一国家或者地区。如此一来,美国法律管辖范围以内的企业业务若涉及处理欧盟公民数据,则很可能遭遇“法律冲突”,处境非常艰难(24)除非欧盟法律为这些数据转移至美国当局提供法律基础,如根据GDPR第49条的义务减免。。未来几年这一问题将逐步凸显,除非欧美之间达成新的数据转移协议。

4.美国单独的某一个州或者某一领域能否获得欧盟数据保护的充分性认定

美国单独的某一个州或者某一领域获得欧盟数据保护的充分性认定,这在理论上来说是完全有可能的。因为根据GDPR第45条,充分性认定可以被授予给第三国、某地区、第三国中的某部门或某区域、国际组织[1]。假如美国的某一个州有综合性的数据保护法案(如加利福尼亚州的CPRA),又设置相应的DPA,如果还能阻止数据继续转移到美国其他各州,将大大增加该州获得欧盟充分性认定的可能性。不过,这种理论上的可能性实现起来困难重重。因为即使美国某个州的法案对个人数据的保护达到了以上要求,但是该州仍然处于美国联邦法律管辖之下,州内的企业自然负有遵守国家安全和情报法律的义务。考虑到《隐私盾协议》的前车之鉴,这类充分性认定最终很可能重蹈覆辙。至于美国某一具体领域获得欧盟的充分性认定,实践中已有先例。欧盟与美国政府于2011年12月签订了一份协议,以便利将民航旅客姓名从欧盟传输到美国国土安全部[15]。美国其他某些领域或可考虑复制这一成功经验。

四、欧美跨境数据流动争端对我国的借鉴意义

欧盟和美国在个人数据保护领域的立法和实践长期以来引领着世界的潮流。《隐私盾协议》无效案的影响不仅局限于欧美之间,还意味着欧盟对数据跨境传输的审查力度不断加大,长远来看还可能引领一种最大限度保护个人数据及隐私的国际趋势。同时,这还表明国际数据保护规则的发展存在诸边化和碎片化趋势,给不同国家和地区之间的相互认可和执法合作增添了难度,也给我国争取数据治理的国际话语权提供了机遇。作为世界上人口最多的国家,中国不仅是数据大国,也应当是数据强国,不仅应该也能够在国际数据治理中发挥引领作用。面对如此纷繁复杂的国际形势,结合前面对“隐私盾”无效案的分析,可以考虑从如下三个方面完善我国的个人数据治理制度。

(一)理念之争:明确数据治理的独特理念

《隐私盾协议》无效案反映了欧美两种数据规制理念的交锋。欧盟出于保护人权的历史传统以及抗衡美国互联网霸权的现实需要,形成了一种强调数据主体权利的保护模式,对个人数据跨境流动实施严格限制。美国基于其互联网产业的优势地位,以及对新自由主义的坚持,采取市场主导、行业自律的个人数据管理政策,对隐私权的保护奉行“合理期待”原则(25)“合理隐私期待”规则有主客观两方面构成要件:一是个人的行为已经表现出他对隐私的主观期待,二是社会认可这种隐私期待是合理的。。无论是欧盟的保护人权原则还是美国的市场主导模式,对数据规制的主旨都相当明确并且一以贯之[9]116。

我国对个人数据的规制缺乏明确的核心原则。虽然我国《民法典》第1035条规定处理个人信息应当遵循“合法、正当、必要”原则,《个人信息保护法》第5条规定处理个人信息应当遵循“合法、正当、必要、诚信”原则,但是这些原则与欧美的相比不够根本和核心。此外,我国当前数据规制的立法和司法实践脱节,立法倾向于欧盟理念,强调保护数据主体的权利(26)如《个人信息保护法》第13条规定的个人知情同意原则,第四章“个人在个人信息处理活动中的权利”中规定的请求更正权、删除权等。,而在司法实践中为保障数据产业的繁荣发展,偏向于美国的自由市场模式,甚至对个人数据的非法泄露和使用有所容忍。

欧盟的数据保护法律在全球范围内影响广泛,但是其规制模式未必适合我国的现实情况和价值追求。鉴于我国的科技互联网企业大多还处于初创期或成长期,现阶段不宜制定过于严格的个人数据保护立法。奉行欧盟高要求的数据保护理念可能导致我国错过新一轮的经济增长点,不利于提高我国数字经济的国际竞争力。而且,我国的数据分领域由行业主管机关治理,缺少统一的监管机构,这点与美国比较类似。总体而言,美国以自由市场为主导的数据治理模式更加符合我国数字经济发展和数字产业布局的需要。当然,在注重数字经济发展的同时,也应当适度提高国内个人数据的保护水平,加大对非法泄露、滥用、买卖个人数据行为的打击力度。

(二)规则之争:完善数据跨境流动的具体规则

《隐私盾协议》的失效是欧盟出于保护公民数据权利和国家安全考虑而对数据流动政策的一种调整,虽然相对之前有所紧缩,但是总体上为数据的出境保留了多种合法路径,相比而言我国的数据跨境流动规则比较保守。我国的《网络安全法》和《个人信息保护法》将数据本地存储作为原则,并且设立了数据出境安全评估机制(27)《网络安全法》第37条规定了数据本地化原则,要求关键信息基础设施运营相关的个人信息和重要数据在境内存储,《个人信息保护法》第40条中将本地化要求扩大适用于“处理个人信息达到规定数量”的情况。我国的《个人信息出境安全评估办法》处于征求意见稿阶段。。若我国境内的信息处理者需向境外提供个人数据,则必须满足《个人信息保护法》第38条明确规定的条件之一。其中,“与境外接收方订立合同以保证达到本法规定的保护标准”与欧盟数据法律要求的“实质等同”保护标准有异曲同工之妙,但是我国并未对如何实现这一目标规定具体的配套措施。对此可以参考借鉴欧盟的充分性认定制度、标准合同条款以及其他补充保障措施等。此外,我国《个人信息保护法》可以考虑增加某些义务减免的具体情形,如为保护公共利益、个人关键利益、法律实施而需向境外转移数据的特殊情况。

总体上,我国当前跨境数据流动规则的重点在于防范数据过度出口,这种严格的跨境数据流动政策虽然短期内能减少我国数据出口的风险,但长远来看却将妨碍我国成为数据进口国。数字化全球化的今天,一国获取他国数据的能力决定了该国在数字经济中可获得的实际利益,最终决定其信息产业与智能产业的竞争力,因此我国在跨境数据流动问题上适宜兼顾数据进出口的平衡发展[16]。此外,如前文所述,我国若借鉴美国以市场为主导的数据治理模式,则必然应当调整当前的数据本地化要求,对数据跨境流动秉持更加包容的态度。如何在开放的环境下保障我国公民的个人数据安全,这将是一个更加严峻的挑战。

(三)话语之争:完善自由贸易协定中关于数据跨境流动的规定,利用WTO机制推广我国数据治理的主张

《隐私盾协议》无效案反映了欧美之间对数据治理国际话语权的争夺。欧美在各自缔结的自由贸易协定(FreeTradeAgreement,FTA)中对数据跨境流动采取了不同的规制路径:欧盟关注个人数据的保护,重在事前防范,而美国为贸易主导型,主要依赖事后问责[17]。我国出于保护个人信息安全与网络安全的考虑,签订的FTA整体上不在电子商务章节创设强制性义务,这符合我国个人信息保护水平不高的现状及维护国家安全利益的需要。但是,随着我国与越来越多的发达国家缔结FTA,这一模式可能将面临压力。其实,随着我国电子商务和数字经济的飞速发展,在FTA中加入强制性的电子商务规则长远来看是符合我国利益的。我国应当积极应对数据跨境流动这一问题,可在双边和多边谈判中主张按照数据类别设立宽严不同的流动标准,并根据数据安全属性构建梯度性跨境审查体系[18]。

我国虽是互联网企业大国,但缺少在数据治理国际规制构建中的话语权,应加强国际合作以达成多边协作和共识。WTO作为一个全球性的成员国众多的国际组织,在促进货物、服务、人员、资本的跨境流动中发挥了重要作用,也积累了不少经验。虽然WTO的电子商务谈判目前的成果比较有限,但其框架可以和应该改进以适应数字经济带来的政策挑战。而且,WTO框架可有效应对双边条约谈判中主导市场一方轻易将其规则偏好强加于经济上处于弱势地位一方的问题,甚至可以在全球数据治理规则中为发展中国家和最不发达国家争取特殊而有区别的待遇。我国应当积极通过WTO机制参与全球数据治理,有针对性地提出符合包括我国在内的广大新兴国家利益的建设性主张,推动构建符合多国利益的数据跨境流动规则。

五、结语

此次“隐私盾”无效裁决虽然因美国未能对传输至其境内的欧盟公民个人数据提供充分保护而引发,但同时也反映出欧美之间对数字经济霸权的争夺进一步升级。欧盟通过GDPR复杂细致的制度安排占据了个人数据保护领域的制高点,其强大的域外影响力深刻作用于国际数据治理格局。美国则基于其技术领先的优势极力倡导数据跨境自由流动,并通过双边和区域合作向全球推广,试图将之打造为国际规则。“隐私盾”无效案反映了欧美之间数据流动存在的根本问题,同时给我国的数据治理带来诸多思考。我国应当在保证国家安全和社会公共利益的前提下加强与各国各地区的数据跨境交流合作,应当在重视数据安全的同时适度满足数字经济发展的需求。此外,我国应当适度提高国内个人数据保护的标准,尽快制定符合国际潮流与现实国情需要的数据保护立法并完善配套机制,并从双边和区域层面积极争取国际数据治理规则的话语权,为我国互联网科技企业深度参与全球数字经济竞争创造有利条件。