美欧跨境数据传输《隐私盾协议》前瞻.pdf

F e a t u r e网事焦点CNITSEC2016.03 / 83美欧跨境数据传输《隐私盾协议》前瞻■ 中国信息安全测评中心／桂畅旎2016 年 2 月 29 日， 为应对美欧跨境数据传输 《安全港协议》失效对美欧商贸往来造成的冲击，欧盟委员会发布欧美 《隐私盾协议》 （EU-U.S. Privacy Shield）法律文本， 回应欧洲法院在2015年10月裁决废除 《安全港协议》时提出的要求《隐私盾协议》的出台反映了后斯诺登时代美欧跨境数据传输模式的再调整，或在全球引发新一轮跨境数据规制热潮一、《隐私盾协议》主要内容《隐私盾协议》共 128 页，主要分为三个部分，分别是“隐私盾”原则；有关美国商务部具体举措和仲裁事项的两个附件；以及来自联邦贸易委员会、运输部、 国家情报总监办公室、 国务院、 司法部的五封信相比于《安全港协议》，《隐私盾协定》更好地体现了欧盟《一般数据保护指令》关于数据处理者与数据控制者的义务履行以及数据主体权利的规定，并特别强调了监管措施的执行增强数据主体权力是贯穿全文的主基调《隐私盾协议》补充更新了《安全港协议》的七原则，在知情原则、选择原则、转移原则、安全原则、数据完整原则、访问原则、执行原则上做出了更详细的规定，为数据主体提供了更具体的法律依据 , 使其能与个人的数据保持更为紧密的联系，随时知悉个人数据被处理的真实情况。

《隐私盾协定》特别突出数据主体个人数据保护的救济机制，告知公众可借助的救济方案、路径及咨询机构在个人发现企业未遵守协定时，公民可以向企业申诉，企业必须在 45 天内回应在此过程中，公民可获得免费的替代性纠纷解决方案，并可在必要时提出强制性仲裁《隐私盾协定》首次让欧洲人有一种途径能对美国代理商访问其根据该协议传输的数据提出投诉，这使得公民隐私保护的有效性大大提高落实数据控制者的义务是协议所应对的焦点问题企业在“自愿”加入《安全港协议》后自觉性不足，未严格遵守协议的相关规定，使得《安全港协议》成为“一纸空文”，这也正是《隐私盾协议》出台的出发点《隐私盾协议》规定企业必须履行更为严格的数据保护业务并予以稳健的实施首先，企业通过自主认证“自愿加入”后，必须公示其入盾承诺及相应的隐私政策，力图减少此前《安全港协议》企业缺少公众隐私保护政策或在政策中没有提及协议内容的现象其次，企业在入盾后还需完成定期自证审查，并接受联邦贸易委员会、运输部等部门的调查与监督第三，当企业未完成定期验证时，商务部将撤销其入盾的资格，企业也将归还或删除相应的数据美国商务部定期更新公布入盾名单，将此前曾入盾但现在已跨境数据流动的国际博弈： 隐私管理与数据主权Fe a tu r e网事焦点CNITSEC84 / 2016.03经退出的企业的名单公之于众，并告知公众这些企业已经不再是盾内企业，企业也不能采取模棱两可的态度给公众造成它仍在盾内的假象，否则将面临关于从事欺骗性营业活动的指控。

此举主要是针对此前没有经过认证的组织声称自己是“安全港”成员的现象《隐私盾协议》的出台主要是针对《安全港协议》认证机制执行不严格的情况，透明公开是协议所实行的核心手段，改变了此前部分企业蒙混过关、搭便车现象，这也将大大提高企业的自觉性以及机制执行的有效性明确美国安全机构准入的透明度与安全防护举措是协议达成的关键《隐私盾协议》对美国政府访问数据进行了清晰地界定及限制：一是避免大规模无差别的监控美国国家情报总监办公室总法律顾问罗伯特·利特在致美国商业部的信中称，美国情报机构强调信号情报收集方式已经从批量性转变为专门针对性，且该原则也适用于通过跨大西洋电缆传输的信息批量收集的公民数据只能用于反恐、防扩散、网络安全等 6 个特定目的，但不能破坏协定的“一般规则”二是设立专员监督实施美国将在美国国务院内设立一个独立于国家安全部门之外的监察专员岗位，负责处理来自欧盟公民就个人数据问题的投诉与问询，并监督国家情报部门的数据访问美国政府安排国务院副国务卿凯瑟琳·诺维利担任这一职位，以突出美国对该协定的重视三是针对国家安全准入问题进行年度审查美国国家情报部门专家及欧盟数据保护机构将共同负责年度审查，并由美国国家情报局向欧盟作出书面保证，任何以国家安全名义进行的访问将受到明确的限制和监督，并在美国联邦公报上进行公示。

这是美国首度承诺官方机构保护国家安全的行动将受到明确的监管机制所规限，体现出美国的“让步”二、《隐私盾协议》出台背景《隐私盾协议》发布之前，美欧曾耗时两年半，对跨大西洋跨境数据传输《安全港协议》进行审查评估 可以说， 该协定的出台， 既有其应对 《安全港协定》失效后的考量，也有重新调整后斯诺登时代美欧跨境传输规制的复杂背景首先，它体现了欧盟扩大数据保护立法域外效应的意图《隐私盾协议》是美欧双方妥协的结果，实际上更多地体现了欧盟数据保护改革的外延性大数据、云计算等网络技术的发展使制定于 20 年前的《个人数据保护指令》（以下简称“指令”）难以应对数据被非法窃取、破坏和监控的难题为此，2012 年，欧盟委员会提出改革数据保护法规的“一揽子”方案，即《一般数据保护条例》（以下简称“条例”）经过三年的谈判，《条例》最终于 2015 年 12 月 15 日获得欧盟委员会、欧洲议会、欧盟理事会三方机构的一致同意欧盟将个人数据保护从指令提升至条例，致力于提升欧盟数据保护立法的统一性与执法的一致性，强化对个人数据权利的保护力度在跨境数据传输规制上，“条例”在“指令”要求第三国需达到充分性保护标准的基础上，增加了数据控制者和处理者采取个人数据保护的适当保护措施作为数据跨境流通的基本条件，扩大数据保护立法的域外效力，向外推行欧盟在数据保护上的价值观。

其次，它体现了后斯诺登时代美国重建美欧信任机制的努力斯诺登事件曝光前，美国和欧盟在网络空间中进行了广泛的合作双方以网络安全为抓手，通过 2010 年 11 月的“里斯本峰会”成立“网络安全和网络犯罪工作组”，奠定了跨大西洋网络合作的坚实基础斯诺登事件的曝光严重打击了双方合作的进程，欧盟对美国在数据保护上的信任降至冰点，双方政府层面的网络合作趋于停滞为重新树立自己在网络空间的道德形象，最大限度地降低斯诺登事件带来的负面影响，美国主动作为，在情报收集方式、网络安全政策上进行一系列的改革，不断强调情报收集已从大规模监听转向有针对性的数据收集，并突出对个人隐私保护的重视 2016年2月24日， 奥巴马签署 《司法赔偿法案》，赋予欧洲公民与美国本土居民同等有效的司法救济权，使欧盟公民有权在美国法院对个人数据被滥用的行为提起诉讼该协定成为推进欧美在F e a t u r e网事焦点CNITSEC2016.03 / 85警察及司法合作领域有关数据保护的“雨伞协定”的关键性因素，欧盟官员对美此举表现出极大的赞赏，极大地推动了《隐私盾协议》的谈判进程第三，它体现了美欧在跨境数据传输驱动经济利益上达成共识。

《隐私盾协议》的出台是为了填补《安全港协议》失效后美欧跨境数据传输的法律真空，离不开美欧对跨境数据流动驱动的经济利益的考量以及双方企业的极力促成《安全港协议》的失效直接导致大西洋两岸 4000 多家企业处于法律空白地带，引发政客、经济学家等对欧美经贸发展的担忧2014 年 10月，美国布鲁金斯学会研究员乔舒亚·梅尔策博士发表研究报告《互联网和跨境数据流动对美欧贸易与投资的重要性》，报告显示美欧跨境数据流动比美国与亚洲之间的数据流高 50%，是美国与拉丁美洲数据流的两倍早在 2012 年，美国 72% 出口到欧洲的服务贸易都是可以网络交付的服务，价值高达 1400 多亿美元美国商务部长潘妮·普利茨克更坦言，美欧目前的跨境数据利益已达 2600 亿元可以说，美欧能否充分利用跨境数据流动带来的机遇将影响到大西洋两岸的经济关系美国在数字贸易方面是既得利益者，当然力争建立保护数据跨境自由流动的贸易规则；便利的美欧跨境数据流动也极大地增加了欧盟中小企业的生产力和全球竞争力在经济利益的驱动下，《隐私盾协议》的签订只是时间问题三、《隐私盾协议》影响评估及启示《隐私盾协议》法律文本还将征询欧盟成员国代表组成的委员会以及欧盟数据保护机构意见，并最终由欧委会委员会议做出决定，若通过审核则于今年 4月中旬通过。

类似于针对《安全港协议》的批评，隐私保护组织担忧以国家安全名义访问数据的问题仍未得到解决，并质疑美国官方承诺的可信度以及监管专员的独立性但是作为对美欧跨境数据流动的重新规制，《隐私盾协议》必将会带来全球个人数据隐私保护的较大调整，并对全国网络空间治理带来重要影响一） 欧美数字经济特别是跨国公司贸易将直接受益《隐私盾协议》消除了跨大西洋数据流动法律缺失的障碍，为跨大西洋的数据流动提供一个新的安全框架，再次确保欧盟与美国企业能够继续开展跨境电子商务活动，这有助于两岸数字经济持续稳定增长同时，由于跨境数据传输与个人数据保护的问题已经提上了美欧间服务贸易协定谈判的日程，该协定的达成将极大地推动欧美跨大西洋贸易和投资伙伴关系（TTIP）协定的谈判以及与 WTO 成员之间进行的服务贸易协定（TISA）的谈判进程二）国际网络空间的合作与竞争将加剧《安全港协议》的失效及《隐私盾协议》的出台无疑将引发更多国家对跨境数据流动规制的重视近年来，一些国家纷纷通过立法来加强跨境数据流动的管理，实行数据中心本地化、数据境内存储以及云服务器本地化等举措，跨境数据流动规制日益严格化与此同时，以美国为首的国家又极力倡导在特定贸易协定下数据的自由流动，如在跨大西洋贸易和投资伙伴关系（TPP）中规定将在确保保护个人信息等合法公共政策目标得到保障的前提下确保全球信息和数据自由流动，体现出美国努力攫取跨境数据流动规制的国际话语权，实现“排他性”的全球数据自由流动。

三)个人信息保护纳入国际立法框架是大势所趋《隐私盾协议》反映了欧盟对个人信息保护的关切，但欧盟目标远不止于此欧盟委员会司法部基本权利与公民联盟主管保罗·尼米兹曾表示：“将个人信息保护纳入国际立法框架是一个长期目标”目前，欧盟已将对外商贸活动与个人数据保护挂钩，要求贸易对象国提供充分的隐私保护标准随着全球化进程的加快，欧盟在个人隐私保护上的价值观必然将在世界范围内引起连锁反应，这一现象值得我国关注与思考中国还不是欧盟认可对个人数据提供充分性保护的国家，在很大程度上影响了欧盟对中国市场经济地位的承认，严重制约了中欧经济的繁荣发展对此，我们应加快个人数据保护的立法进程，充分参与数据跨境流动规制的国际合作，积极争取个人数据保护规则拟定权跨境数据流动的国际博弈： 隐私管理与数据主权。