陳　湉　中國信息通信研究院安全研究所工程師廖　璇　中國信息通信研究院安全研究所助理工程師

美歐用戶信息跨境流動政策走向預(yù)判

陳湉中國信息通信研究院安全研究所工程師
廖璇中國信息通信研究院安全研究所助理工程師

近日，美歐用戶信息跨境流動成為用戶隱私保護(hù)領(lǐng)域全球關(guān)注的焦點(diǎn)。于2015年10月引起廣泛討論的“安全港”事件只是縮影，其背后反映了美歐用戶隱私保護(hù)法律體系和政策間難以彌合的裂痕。如何求同存異，重建雙方互信關(guān)系，構(gòu)建新的數(shù)據(jù)跨境傳輸框架協(xié)議，是美歐雙方亟待解決的難題。本文通過分析美歐近年來在用戶隱私保護(hù)方面的立法動態(tài)和跨境數(shù)據(jù)流動方面雙方分歧的深層次原因，嘗試預(yù)判后“安全港”時代美歐數(shù)據(jù)跨境傳輸?shù)恼咦呦颉?/p>

美國；歐盟；用戶；隱私保護(hù)；數(shù)據(jù)跨境流動

1“安全港”事件回顧及后續(xù)進(jìn)展

“安全港”（SafeHarbor）協(xié)議，是2000年美國商務(wù)部與歐盟簽訂的用于保護(hù)歐盟和美國之間傳輸?shù)膫€人數(shù)據(jù)隱私安全的框架協(xié)議（“安全港”協(xié)議包含一系列隱私原則，包括通知、選擇、數(shù)據(jù)轉(zhuǎn)移、數(shù)據(jù)獲取、數(shù)據(jù)安全、數(shù)據(jù)完整以及執(zhí)行等七大原則，用以保護(hù)個人數(shù)據(jù)）。協(xié)議達(dá)成后，擁有發(fā)現(xiàn)和確認(rèn)第三方國家是否達(dá)到充分保護(hù)要求的歐盟委員會（European Comm ittee，簡稱“歐委會”）通過了“2000/520號歐盟決定”，確認(rèn)“安全港”隱私原則以及附屬條款對個人數(shù)據(jù)的保護(hù)達(dá)到了歐盟指令的充分保護(hù)要求。受此決定影響，獲得“安全港”認(rèn)證的美國企業(yè)可以合法收集、傳輸歐盟公民個人數(shù)據(jù)，歐盟成員國對于數(shù)據(jù)轉(zhuǎn)移的事先批準(zhǔn)被取消或者自動授權(quán)。注：1995年歐洲《數(shù)據(jù)保護(hù)指令》提出“充分保護(hù)標(biāo)準(zhǔn)”是歐盟公民個人數(shù)據(jù)存儲或者傳輸?shù)降谌絿业那疤釛l件。歐委會被授權(quán)結(jié)合數(shù)據(jù)轉(zhuǎn)移的具體環(huán)境及條件、數(shù)據(jù)性質(zhì)、數(shù)據(jù)處理的目的和期限、數(shù)據(jù)的來源國與傳輸目的國、目的國的法律規(guī)定、職業(yè)準(zhǔn)則、數(shù)據(jù)安保措施等因素，審查并決定第三方國家的國內(nèi)法或國際承諾是否能提供充分保護(hù)。目前，歐委會已就安道爾、阿根廷、加拿大（商業(yè)機(jī)構(gòu)）、法羅群島、格恩西島、以色列、馬恩島、澤西島、新西蘭、瑞士、烏拉圭和美國等國做出充分性裁決。至今，5000多家美國企業(yè)主動加入“安全港”，享受因此帶來的諸多好處?！鞍踩邸眳f(xié)議對于美歐投資貿(mào)易便捷增效，尤其是中小企業(yè)成長壯大形成了巨大的正面激勵作用。

然而，“安全港”協(xié)議自簽訂以來，一直受到歐盟委員會、歐洲議會、歐盟成員國的嚴(yán)重懷疑?！八怪Z登”事件后，歐盟對“安全港”協(xié)議的質(zhì)疑更加強(qiáng)烈。最終，由奧地利公民Schrems起訴Facebook濫用個人信息案引發(fā)，歐盟最高法院于2015年10月6日做出裁決“2000/ 520號歐盟決定”無效。這意味著歐委會無法再為基于“安全港”協(xié)議的美歐數(shù)據(jù)傳輸進(jìn)行背書，美國企業(yè)再不能直接援引“安全港”協(xié)議支持其收集、傳輸歐盟公民個人數(shù)據(jù)的合法性，“安全港”協(xié)議名存實(shí)亡。

隨后，歐盟數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)（第29條工作組）要求美國與歐盟在2016年1月底前完成新“安全港”協(xié)議的協(xié)商和簽訂，否則將對美國企業(yè)采取必要的監(jiān)管措施。

為回應(yīng)歐盟最高法院的裁決，積極推動新“安全港”協(xié)議的簽訂，美國眾議院于2015年10月20日通過了一項(xiàng)司法救濟(jì)法案，歐盟公民能夠同等享有1974年《隱私法》賦予美國公民的權(quán)利，包括起訴美國聯(lián)邦部門濫用個人數(shù)據(jù)的權(quán)利，部分解決了美國個人隱私保護(hù)法律體系不健全的問題。

然而，今日現(xiàn)任法國數(shù)據(jù)保護(hù)機(jī)構(gòu)國家信息與自由委員會（CNIL）主席和第29條工作組主席的伊莎貝爾·法爾奎·佩隆迪接受采訪時表示，現(xiàn)在的問題不是在特定時間內(nèi)制定出第二個安全港協(xié)議，而是需要美國發(fā)出一些政治信號，解決歐洲公民個人數(shù)據(jù)在美國被情報機(jī)構(gòu)濫用的問題。美國剛剛通過的司法救濟(jì)法案，并未涵蓋情報安全及公共安全，因此佩隆迪表示達(dá)成一項(xiàng)政府間協(xié)議或是在美國法律中對情報機(jī)構(gòu)制定具有約束力的規(guī)定是有必要的。

2　美歐用戶隱私保護(hù)立法動態(tài)

（1）歐盟

歐盟長期以來一直對用戶隱私保護(hù)持激進(jìn)態(tài)度，將公民隱私權(quán)定義為一項(xiàng)基本的憲法權(quán)利。歐盟1995年制定的《數(shù)據(jù)保護(hù)條例》不僅奠定了歐盟用戶隱私保護(hù)方面統(tǒng)一立法的格局，而且制定了在當(dāng)時最充分、最嚴(yán)格的用戶隱私保護(hù)原則。

為了應(yīng)對大數(shù)據(jù)、云計算、移動互聯(lián)網(wǎng)等信息技術(shù)對用戶隱私數(shù)據(jù)保護(hù)的新挑戰(zhàn)，并且確保歐盟規(guī)則的前瞻性，歐盟委員會開始重新審視1995年的《指令》（《保護(hù)個人享有的與個人數(shù)據(jù)處理有關(guān)的權(quán)利以及個人數(shù)據(jù)自由流動的指令》，簡稱“指令”），并于2012年1月提出了改革草案。經(jīng)過歷時4年的多次修正與折中，2015年12月15日，歐委會與歐洲議會、歐盟理事會三方機(jī)構(gòu)在立法進(jìn)程的最后階段終于就歐盟數(shù)據(jù)保護(hù)改革達(dá)成一致，其核心改革成果——《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR）預(yù)計2016年年初正式發(fā)布。

《一般數(shù)據(jù)保護(hù)條例》正式生效后，歐盟數(shù)據(jù)保護(hù)立法將由指令上升為法規(guī)，直接適用各成員國，解決1995年《指令》因?yàn)榉蓪蛹壊粔驅(qū)е碌某蓡T國之間數(shù)據(jù)保護(hù)法律制度碎片化的問題。在用戶隱私保護(hù)原則方面，《一般數(shù)據(jù)保護(hù)條例》比1995年的《指令》又向前邁進(jìn)一步，提出了公民基本數(shù)據(jù)權(quán)利概念（A Fundamental Right for Citizens），進(jìn)一步加強(qiáng)了歐洲公民對個人數(shù)據(jù)的控制能力：強(qiáng)化了“知情同意”原則，要求同意必須“明示”（注：同意必須基于數(shù)據(jù)主體的一個或多個特定目的，并且已經(jīng)給予控制者處理數(shù)據(jù)的同意，數(shù)據(jù)主體必須自愿給出詳細(xì)的表明其同意的說明，說明必須是明示的，包括書面聲明或明確肯定的行動表示，緘默或不行動不構(gòu)成同意）；公民的數(shù)據(jù)權(quán)利進(jìn)一步擴(kuò)張，明確賦予了本人數(shù)據(jù)的易訪問權(quán)、數(shù)據(jù)可攜權(quán)、數(shù)據(jù)被遺忘權(quán)以及數(shù)據(jù)遭泄露的知悉權(quán)。

（2）美國

美國的用戶隱私保護(hù)法律體系是分散的，覆蓋了憲法、聯(lián)邦、各州等層面，區(qū)分公共領(lǐng)域和非公共領(lǐng)域的用戶隱私保護(hù)，不同行業(yè)有專門立法規(guī)制用戶數(shù)據(jù)控制者。隨著大數(shù)據(jù)時代的到來，數(shù)據(jù)收集變得無處不在和難以察覺，數(shù)據(jù)處理專業(yè)化、多樣化增強(qiáng)，數(shù)據(jù)泄露的風(fēng)險增大，奧巴馬政府認(rèn)為建立在“告知與同意”框架基礎(chǔ)上的隱私保護(hù)法律體系已經(jīng)不能在大數(shù)據(jù)時代有效保護(hù)用戶隱私，需要從政策、法律、技術(shù)等方面提出更符合大數(shù)據(jù)運(yùn)作特點(diǎn)的、不會阻礙大數(shù)據(jù)技術(shù)和應(yīng)用發(fā)展的、更具可操作性的改革方案。

為此，美國白宮于2012年發(fā)布《網(wǎng)絡(luò)世界中消費(fèi)者數(shù)據(jù)隱私：全球數(shù)字經(jīng)濟(jì)中保護(hù)隱私及促進(jìn)創(chuàng)新的框架》（Consumer Data Privacy in A Networked World：A framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy），在該報告中正式提出《消費(fèi)者隱私權(quán)利法案》（簡稱“法案”）。2015年2月，美國白宮再次公布一項(xiàng)立法草案，希望將《法案》上升為法律，以確定美國隱私保護(hù)的整體法治框架?！斗ò浮肺{了OECD、歐盟《指令》中一些已經(jīng)被廣泛接受的隱私保護(hù)原則，提出了自己的7項(xiàng)隱私保護(hù)原則（個人控制、透明度、情景一致、安全、接入權(quán)和準(zhǔn)確性、收集控制、問責(zé)制），一方面加強(qiáng)了“告知與同意”框架，一方面更加關(guān)注數(shù)據(jù)的使用，強(qiáng)化了數(shù)據(jù)控制者在數(shù)據(jù)保護(hù)與處理方面的安全責(zé)任，同時強(qiáng)調(diào)了事后問責(zé)制?！斗ò浮诽岢龅脑瓌t基本代表了美國政府解決大數(shù)據(jù)時代隱私保護(hù)問題的一般思路。

3　雙方分歧的深層次原因

實(shí)際上，美歐在用戶信息跨境流動問題上的分歧與博弈可以看作是雙方維系各自網(wǎng)絡(luò)空間控制權(quán)的突出表現(xiàn)。近年來，亞太地區(qū)信息經(jīng)濟(jì)市場異軍突起，一方面龐大的市場空間不斷吸引全球企業(yè)投資開辦業(yè)務(wù)；另一方面中國、印度等新興經(jīng)濟(jì)體自身產(chǎn)業(yè)競爭力不斷增強(qiáng)，如阿里巴巴、騰訊等中國企業(yè)已經(jīng)成為服務(wù)全球的互聯(lián)網(wǎng)巨頭。信息經(jīng)濟(jì)的強(qiáng)勢發(fā)展帶動了這些國家網(wǎng)絡(luò)空間國際話語權(quán)的提升，全球網(wǎng)絡(luò)空間和互聯(lián)網(wǎng)治理格局的重心開始向亞太地區(qū)轉(zhuǎn)移。而作為傳統(tǒng)強(qiáng)國的歐洲國家，為了挽回即將“失勢”的局面，必須將自身從美國的“追隨者”轉(zhuǎn)變成為全球網(wǎng)絡(luò)空間游戲規(guī)則的“制定者”，以“上位者”的身份鞏固網(wǎng)絡(luò)空間話語權(quán)，抗衡新興力量崛起，而用戶信息保護(hù)是歐盟實(shí)現(xiàn)這一戰(zhàn)略目標(biāo)的核心突破口。

然而，歐盟的強(qiáng)勢做法觸犯了美國的核心利益。在經(jīng)濟(jì)、軍事實(shí)力出現(xiàn)衰退征兆之際，國際網(wǎng)絡(luò)空間絕對的影響力和話語權(quán)成為美國維持“一超獨(dú)強(qiáng)”的關(guān)鍵。美國早在2012年發(fā)布《網(wǎng)絡(luò)空間國際戰(zhàn)略》時，已經(jīng)判斷信息自由流動、全球互聯(lián)網(wǎng)一體化是其掌控國際網(wǎng)絡(luò)空間的核心原則。所以，美國絕對不允許全球互聯(lián)網(wǎng)的巴爾干化。此外，歐洲是美國互聯(lián)網(wǎng)企業(yè)的主要市場之一，美歐用戶信息跨境傳輸規(guī)則體系具備一定示范效應(yīng)，可能影響到美國構(gòu)建的其他區(qū)域性數(shù)據(jù)跨境流動體系，因此美國也絕對不會放棄美歐之間的信息自由傳輸。

4　未來政策走向的預(yù)判

在歐盟第29條工作組限定的最后期限即將到期之際，歐盟與美國初步達(dá)成了新的個人信息跨境傳輸安全框架協(xié)議——“隱私盾”協(xié)議。目前，新協(xié)議還需等待第29條工作組和歐盟委員會的評估和最終確認(rèn)，才能夠正式生效。美歐將繼續(xù)在新框架下實(shí)現(xiàn)用戶數(shù)據(jù)跨境流動已成定論，新框架對用戶隱私保護(hù)的具體政策以及美歐在此問題上談判的最終結(jié)果會如何，本文嘗試做出如下判斷：

（1）歐盟將借此機(jī)會向外界輸出《一般數(shù)據(jù)保護(hù)條例》中的公民基本數(shù)據(jù)權(quán)利

歐盟作為數(shù)據(jù)提供者，從談判籌碼上占據(jù)了優(yōu)勢地位。為了成為全球用戶隱私保護(hù)和跨境數(shù)據(jù)流動規(guī)則的制定者，歐盟會抓住這一機(jī)遇要求美國按照《一般數(shù)據(jù)保護(hù)條例》中的規(guī)定保護(hù)歐洲公民的基本數(shù)據(jù)權(quán)利，如果借此影響到美國用戶隱私保護(hù)相關(guān)的法律法規(guī)制定，將更有利于歐盟向其他國家推行用戶隱私保護(hù)的一系列理念和舉措，進(jìn)而影響其他雙邊或區(qū)域性跨境數(shù)據(jù)流動體系。

（2）美國為保證信息自由流動會作出讓步，但不會無條件滿足歐盟的要求

近兩年，美國已經(jīng)為保護(hù)歐洲公民數(shù)據(jù)在美國的隱私安全做出了不少努力，今后甚至?xí)奚舨糠智閳髾C(jī)構(gòu)的監(jiān)聽權(quán)益來取得歐盟的信任。但是，美國的努力方向是加強(qiáng)司法救濟(jì)和限制情報機(jī)構(gòu)權(quán)利，對于歐盟公民基本數(shù)據(jù)權(quán)利，美國不會“照單全收”。用戶隱私和公共利益往往是相互沖突的，如何平衡兩者關(guān)系，美國與歐盟采取了截然不同的原則。歐盟采用充分利益原則，即使?fàn)奚糠止怖?，也要保護(hù)公民隱私；美國則采用實(shí)質(zhì)損害原則，綜合考量保護(hù)用戶隱私和市場效率、提供優(yōu)質(zhì)服務(wù)等之間的影響，更加鼓勵信息自由流動。因此，類似于“明示”同意、數(shù)據(jù)被遺忘權(quán)等《一般數(shù)據(jù)保護(hù)條例》中增強(qiáng)用戶控制數(shù)據(jù)能力的舉措，美國會根據(jù)實(shí)質(zhì)損害原則進(jìn)行考量，完全采納的可能性不大。

實(shí)際上，美歐最新的用戶隱私保護(hù)立法工作已經(jīng)顯示：雖然雙方用戶隱私保護(hù)原則基本一致，但是在制定法律的關(guān)注重點(diǎn)、用戶隱私與公共利益平衡等方面，雙方分歧嚴(yán)重。新的“隱私盾”協(xié)議能否在充滿分歧的背景下順利實(shí)施，免于重蹈其前身“安全港”之覆轍，尚屬未知，筆者并不持樂觀態(tài)度。

［1］姚朝兵.個人信用信息隱私保護(hù)的制度構(gòu)建——?dú)W盟及美國立法對我國的啟示［J］.情報理論與實(shí)踐，2013，03：20-24.

［2］王融.大數(shù)據(jù)時代歐盟新規(guī)能否重建數(shù)據(jù)保護(hù)新秩序［J］.中國信息安全，2016，01：125-127.

［3］李明.“大數(shù)據(jù)時代”的美國隱私權(quán)保護(hù)制度［J］.互聯(lián)網(wǎng)金融與法律，2014，9.

［4］潘建珊.實(shí)質(zhì)損害原則——美國信息隱私保護(hù)利益平衡原則［J］.情報科學(xué)，2007，11：1723-1728.

The Prediction of Cross-Border Flow of User Data between European Union and the United States

ChenTian，LiaoXuan

Recently，the cross-border flow of user data between European Union and the United States become a hot issue in the field of user privacy protection allover the world.“Safe Harbor”agreement，which was widely discussed in October2015，is an epitome，reflecting the big divarication about the legal and policy system of privacy protection between EU and USA.It is the top mission that how to share a common interest while reserving differences，rebuild mutual trust between the two sides，construct a new cross-border transmission framework of user data，both for EU and USA.In this paper，by analyzing privacy protection legislation of the United States and Europe in recent years and the ultimate reasons of the difference attitudes hold by the two sides in cross-border data flow，the authors tried to predict the future policy of cross-border transmission of user data between the sides after“Safe Harbor”era.

the United States；European Union；user privacy protection；cross-border data flow

2015-12-10）