欧美数据流动迈出新的一步。

  近日,欧盟委员会通过了“欧盟-美国数据隐私框架(EU-U.S. Data Privacy Framework,以下简称DPF)”的充分性决定。根据新的充分性决定,个人数据可以安全地从欧盟流向参与该框架的美国公司,而无需采取额外的数据保护措施。

  其中提出,建立双层救济机制,个人无需证明数据是由美国情报机构收集便可提出投诉;同时该框架下,美国情报部门访问欧盟数据仅限于保护国家安全所必需且适当的范围之内。

  相关专家在接受记者采访时表示,充分性认定的通过一定程度上建立起比较稳定的跨大西洋数据流动安排。但欧盟、美国之间关于数据流动和数据安全的博弈将会持续,新框架运行是否稳健有效,仍有待观察。

  成立数据保护专门法庭完善救济措施

  欧盟、美国之间数据流动的重要性不言而喻。就像美国司法部在其所发布的新闻稿所提及的,该充分性决定为出于商业目的,从欧盟国家向美国传输个人数据提供法律依据。数据流动支撑着价值7万亿美元的美国与欧盟经济关系,并为大西洋两岸的公民和企业提供了重要利益,使各种规模的企业能够在彼此的市场中竞争。

  如何理解充分性认定?根据《通用数据保护条例》(GDPR)第45(3)条规定,授权委员会通过实施法案决定非欧盟国家确保“充分的保护水平”——对个人的保护水平数据基本上相当于欧盟内部的保护水平。充分性决定的效果是个人数据可以自由地从欧盟(以及挪威、列支敦士登和冰岛)流向第三国,而不会遇到进一步的障碍。

  此次决定的结论是,美国确保在新框架下对从欧盟转移到美国公司的个人数据提供足够水平的保护(与欧盟的保护水平相当)。欧盟委员会主席冯德莱恩表示,“新的欧盟-美国数据隐私框架将确保欧洲人的数据安全流动,并为大西洋两岸的公司带来法律确定性”、“继2022年同美国达成原则协议后,美方对建立新框架做出了前所未有的承诺”。

  欧盟委员会发布的新闻公报显示,DPF引入了新的具有约束力的保障措施,以解决欧洲法院提出的所有担忧,包括将美国情报部门对欧盟数据的访问限制在必要和适当的范围内,以及建立数据保护审查法院(DPRC)等。

  其中美国公司将承诺遵守一系列详细的隐私义务来加入欧盟-美国数据隐私框架,例如不再需要个人数据来实现收集目的时将删除个人数据,确保与第三方共享个人数据时保护的连续性等措施。

  如果美国公司错误处理欧盟个人的数据,将会有多种补救途径,包括免费的独立争议解决机制和仲裁小组。欧盟个人可以就美国情报机构收集和使用其数据的情况获得补救,DPRC将独立调查并解决投诉,包括采取有约束力的补救措施。

  北京大成律师事务所高级合伙人邓志松对21世纪经济报道记者说道,“此次数据隐私框架的重要组成部分是救济框架的完善。在此前的隐私盾协议下的监察员机制中,监察员被认为不完全独立于情报机构,且无权作出有约束力的决定。而新框架下美国政府建立了双层救济机制,诉诸该机制的门槛较低,个人无需证明数据是由美国情报机构收集的便可以提出投诉。”

  据介绍,第一次审查将在充分性决定生效后一年内进行,以验证所有相关要素是否已在美国法律框架中得到充分实施并在实践中有效发挥作用。

  情报部门使用数据需“必需且适当”

  对于美国情报部门访问欧盟数据的限制成为关注焦点。

  根据新闻公报,美国法律框架针对美国公共当局访问该框架下传输的数据提供了许多保障措施,特别是出于刑事执法和国家安全目的。对数据的访问仅限于保护国家安全所必需且适当的范围。

  北京师范大学法学院博士生导师、中国互联网协会研究中心副主任吴沈括表示,欧盟和美国之间数据跨境流动的突破点在于,此次充分性认定对于安全目的的数据流动和获取做了制度和程序上的明确要求。“新的情报收集程序是在欧盟认定充分性之后同步生效,其法律效力较高,也是此前所没有的。”

  针对其中所提及的“必需且适当”如何理解?据了解,必需且适当的标准来自于2022年美国发布的第14086号行政命令《加强美国信号情报活动的安全保障》。

  “在确定必需性时,美国情报部门必须考虑其他侵扰性较低的来源和方法(包括外交和公共来源)的可用性、可行性和适当性。如果有的话,必须优先考虑这种侵扰性较低的替代来源和方法。在评估适当性时,必须考虑所有相关因素,如所追求目标的性质;收集活动的侵扰性(包括其持续时间);收集活动对所追求目标的可能贡献;对个人的合理可预见后果;以及所收集数据的性质和敏感性等。”邓志松对21世纪经济报道记者说道。

  针对公共机构获取个人数据如何提供充分保护?这一问题贯穿欧盟、美国数据跨境政策始终。

  早在2000年7月,欧盟委员会为与美国跨区域的数据传输建立“安全港”制度,相关数据可以从欧盟合法传输到美国。

  2013年,爱德华·斯诺登披露,美国政府根据FISA702和EO12.333的规定,利用“大型科技”公司实施“棱镜”等项目来监视世界其他地区,包括Facebook(现Meta)、谷歌、苹果等在内,而无需合理理由或司法批准。这不仅限于犯罪或恐怖主义,还包括针对美国“伙伴”的间谍活动。

  随后,“安全港”制度在2015年10月被欧洲法院宣告无效。欧洲法院认为,美国没有提供充分的个人数据保护机制,而欧盟法律禁止与隐私标准较低的国家共享数据。

  2016年,欧盟委员会再次通过了名为“隐私盾”的欧盟-美国数据传输协议,但2020年被欧洲法院宣告无效。欧盟法官指出,正如斯诺登在2013年首次披露的那样,美国安全部门对欧洲大量数据的访问不成比例且保护不充分。

  邓志松介绍,安全港协议和隐私盾协议皆因始于2013年的Schrems系列案件被欧盟法院推翻,关键原因在于美国方面未能对公共机构(如国家安全局)获取个人数据的情形提供充分保护,对美国情报部门收集数据的权力限制不充分、范围不明确,此外还存在着司法救济途径缺失的问题。而新的数据隐私框架则致力于对美国情报部门访问欧盟数据提供更多保障措施,以及完善违反保障措施的救济途径。

  影响几何?

  数据在流动中产生价值。欧盟和美国关于数据跨境流动达成的充分性认定,一定程度上推动双方业务的顺利进行。据新闻公报,美国实施的保障措施也将促进更广泛的跨大西洋数据流动,因为它们也适用于使用其他工具,如标准合同条款和具有约束力的公司规则,传输数据的情况。

  邓志松表示,充分性认定的通过补充了安全港协议、隐私盾协议被欧盟法院判决失效之后欧盟与美国之间数据隐私法律体系的空白,在一定程度上建立起较稳定的跨大西洋数据流动安排。“这无疑将在极大程度上便利跨国企业的跨境数据传输,并完善了全球数据流动法律框架,为降低流动成本提供了制度上的确定性。”

  而在吴沈括看来,充分性认定的通过,一是使得悬而不决的欧美数据跨境业务得到了进一步确定,业务能够顺利开展。二是美欧解决数据跨境流动的问题之后,或许会对包括中国在内的其他国家的数据资源产生虹吸效应。“美欧数据跨境流动在通过充分性认定后,相应的流程将会得到简化,难免会对其他国家的产业产生吸引力。”

  重要的一点,或将改变世界数据跨境治理乃至世界数据治理生态的格局,欧盟主导的跨境数据生态圈将持续推进。

  “这两个非常大的市场之间接通之后,那么其他的国家和地区也会跟进类似于充分性决定,申请的国家会越来越多。”据吴沈括透露,当前已有相关国家和欧盟沟通类似充分性认定的情况。

  那么中国是否有可能与欧盟就充分性认定展开相关接触?吴沈括对21世纪经济报道记者表示,中国和欧盟对于各自的接受度都是有限的,难度很大。“一是考虑到接受充分性决定意味着接受欧盟的制度审查,这是一个主权问题,不大可能被接受;二是中欧双方在数据治理生态和数据监管生态存在一定分歧,这些障碍决定了中短期之内看不到解决的希望。目前尚未找到双方都可接受的解决方案。”

  7月初,吴沈括和欧盟相关人士曾就数据跨境问题进行了沟通,最终得出了一个结论:“世界范围内来看,数据跨境首先是一个政治问题,其次才是法律和技术问题。”

  值得注意的是,有专家提示,充分性认定的通过并不意味着欧盟-美国之间的DPF框架已经完成。

  “与此前的安全港协议、隐私盾协议一样,在未来新框架仍面临着因保护水平不足而被欧盟法院推翻的风险。新框架是否足够成熟完善以解决此前出现的种种问题,其运行是否稳健有效,后续欧盟与美国是否会采取更多配套措施,仍有待在实践中进一步观察。”邓志松提示。

  同时吴沈括观察来看,实践中对于充分性认定难度并不会小,因其涉及了美欧在数据治理和数据主权间的相关博弈。

  “从2009年开始,双方便开始针对数据流动持续博弈。现在虽然做出充分性的认定,但是无法量化规定。目前来看,欧盟对于数据跨境持强势监管态度,而美国对于这个问题的判定尺度较为宽松,预测博弈也将持续。同时个案中,欧盟并不一定能获得主动权。”