謝永江，朱 琳， 尚 潔

(北京郵電大學(xué) 人文學(xué)院，北京 100876)

·互聯(lián)網(wǎng)治理與法律·

歐美隱私盾協(xié)議及其對(duì)我國的啟示

謝永江，朱 琳， 尚 潔

(北京郵電大學(xué) 人文學(xué)院，北京 100876)

歐美隱私盾協(xié)議為歐盟個(gè)人數(shù)據(jù)保護(hù)提供更多的救濟(jì)途徑，加大了企業(yè)和美國政府的義務(wù)，對(duì)美國政府的數(shù)據(jù)獲取進(jìn)行了限制。該協(xié)議貫徹了歐盟網(wǎng)絡(luò)安全戰(zhàn)略，平衡了歐美數(shù)據(jù)保護(hù)政策，促進(jìn)了歐美間跨境數(shù)據(jù)流動(dòng)，有助于加快跨大西洋商貿(mào)往來。我國應(yīng)盡快出臺(tái)個(gè)人信息保護(hù)法，構(gòu)建個(gè)人信息保護(hù)法律體系；建立專門的個(gè)人信息保護(hù)監(jiān)管機(jī)構(gòu)；完善個(gè)人信息跨境流動(dòng)的監(jiān)管制度和機(jī)制；出臺(tái)跨境數(shù)據(jù)流動(dòng)行業(yè)標(biāo)準(zhǔn)，加強(qiáng)行業(yè)自律；加強(qiáng)國際合作，構(gòu)建中歐數(shù)據(jù)安全對(duì)話機(jī)制，積極參與網(wǎng)絡(luò)空間國際規(guī)則的制定。

隱私盾協(xié)議；跨境數(shù)據(jù)流動(dòng)；個(gè)人信息保護(hù)

2015年10月，歐盟法院否決了歐美之間達(dá)成并施行了15年之久的安全港協(xié)議，數(shù)千企業(yè)跨大西洋轉(zhuǎn)移歐盟公民個(gè)人數(shù)據(jù)喪失法律依據(jù)。為了彌補(bǔ)空白，維護(hù)商貿(mào)往來，2016年2月，歐盟和美國重新達(dá)成了個(gè)人數(shù)據(jù)跨境流動(dòng)的新框架——?dú)W美隱私護(hù)盾協(xié)議。下面將對(duì)歐美隱私盾協(xié)議進(jìn)行分析，并探討該協(xié)議對(duì)我國的啟示。

一、隱私盾協(xié)議出臺(tái)的背景

歐盟隱私盾協(xié)議的出臺(tái)源于安全港協(xié)議的廢除，也是基于歐盟從2012年以來的數(shù)據(jù)保護(hù)改革的背景，而2013年美國監(jiān)控計(jì)劃的曝光更是加速了歐盟的數(shù)據(jù)保護(hù)改革進(jìn)程。

1.歐盟數(shù)據(jù)保護(hù)全面升級(jí)

歐盟數(shù)據(jù)保護(hù)改革是歐盟在數(shù)字時(shí)代加強(qiáng)公民基本權(quán)利的關(guān)鍵一環(huán)，它通過簡化規(guī)則促進(jìn)單一數(shù)字市場(chǎng)公司的商業(yè)流動(dòng)，為歐盟和參與其中的外國企業(yè)創(chuàng)造一個(gè)透明且穩(wěn)定的環(huán)境。立法領(lǐng)域的共同規(guī)則將會(huì)更好地保護(hù)個(gè)人數(shù)據(jù)，并且使個(gè)人獲得有效的司法救濟(jì)。另外，促進(jìn)成員國之間執(zhí)法和司法機(jī)構(gòu)的跨境合作將會(huì)有效地預(yù)防犯罪，同時(shí)也可以與第三國建立密切的合作。

為了加強(qiáng)歐盟內(nèi)部規(guī)則，使個(gè)人對(duì)其數(shù)據(jù)擁有更多的控制權(quán)，歐盟委員會(huì)在2012年1月提出數(shù)據(jù)保護(hù)改革計(jì)劃，其中《一般數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation)規(guī)定了歐盟數(shù)據(jù)保護(hù)的總體框架。歐盟委員會(huì)的目的是為所有國家建立一個(gè)共同數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，從而消除成員國內(nèi)部保護(hù)水平的差異。*See Communication Form the Commission to the European Parliament and the Council,Transatlantic Data Flows: Restoring Trust through Strong Safeguards. http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-communication_en.pdf,2016-6-11.2016年4月，歐洲議會(huì)投票通過了《一般數(shù)據(jù)保護(hù)條例》，并于2018年正式生效，屆時(shí)將取代1995年的《個(gè)人數(shù)據(jù)保護(hù)指令》(第95/46/EC號(hào)指令)，歐盟數(shù)據(jù)保護(hù)立法將由指令上升為法規(guī)，直接適用于各成員國。[1]新條例的通過意味著歐盟對(duì)個(gè)人數(shù)據(jù)保護(hù)及其監(jiān)管達(dá)到了前所未有的高度。

2.安全港協(xié)議的廢除

由于美國缺乏統(tǒng)一的數(shù)據(jù)保護(hù)法，為了促進(jìn)歐盟與美國之間商業(yè)往來的個(gè)人數(shù)據(jù)流動(dòng)，并對(duì)這些數(shù)據(jù)進(jìn)行保護(hù)，歐盟與美國在2000年簽署安全港協(xié)議(第2000/520/EC號(hào)決定)，認(rèn)為安全港框架可以提供充分保護(hù)。個(gè)人數(shù)據(jù)可以在歐盟成員國與加入了安全港協(xié)議的美國公司之間進(jìn)行自由傳輸。

安全港協(xié)議為從歐盟到美國進(jìn)行的個(gè)人數(shù)據(jù)傳輸提供了法律基礎(chǔ)。安全港原則只適用于推定具有充分保護(hù)水平的美國企業(yè)接收來自歐盟的個(gè)人數(shù)據(jù)。安全港機(jī)制適用于自我認(rèn)證和自我評(píng)估的美國私有企業(yè)，并受到政府機(jī)構(gòu)的干預(yù)。多年來，包括Google、Facebook等數(shù)千家美國互聯(lián)網(wǎng)企業(yè)獲取、傳輸歐盟用戶個(gè)人數(shù)據(jù)的行為都受到該協(xié)議的保護(hù)。但在2013年關(guān)于安全港的交流文件中，歐委會(huì)指出，隨著時(shí)間的推移，安全港協(xié)議暴露出一系列缺陷，尤其是缺乏透明度，美國當(dāng)局缺乏有效措施保障公司遵守協(xié)議的隱私原則。

安全港協(xié)議的廢除源于施雷姆斯案*Maximillian Schrems v. Data Protection Commissioner, Case C362/14,23,29(2015).。在該案中，歐洲法院認(rèn)為，根據(jù)2000/520/EC號(hào)決定，美國事實(shí)上未能依照其國內(nèi)法或國際承諾達(dá)到充分保護(hù)標(biāo)準(zhǔn)。根據(jù)2000/520/EC號(hào)決定附件I第2段可知，安全港機(jī)制是“美國企業(yè)為了符合安全港的條件和滿足‘充分性標(biāo)準(zhǔn)’的推斷接收來自歐盟的個(gè)人數(shù)據(jù)”，這些原則僅適用于自我認(rèn)證的美國企業(yè)接收來自歐盟的個(gè)人數(shù)據(jù)，美國公共機(jī)構(gòu)并不受到這些原則的約束。歐洲法院認(rèn)為，2000/520/EC號(hào)決定對(duì)從歐盟傳輸?shù)矫绹臄?shù)據(jù)中個(gè)人基本權(quán)利的損害沒有進(jìn)行任何規(guī)定，當(dāng)國有實(shí)體追求涉及到像國家安全的合法利益時(shí)，造成的損害將被處于授權(quán)范圍之內(nèi)。2000/520/EC號(hào)決定中也沒有涉及造成此類損害的有效法律保護(hù)機(jī)制。該協(xié)議限于商業(yè)范疇，適用于美國私權(quán)爭(zhēng)議解決機(jī)制的安全港原則，并不適用于由于政府行為導(dǎo)致的基本權(quán)利的法律爭(zhēng)議。

2015年10月6日，歐盟法院一紙判決否決了安全港協(xié)議的效力，數(shù)千美國企業(yè)跨大西洋轉(zhuǎn)移歐盟公民個(gè)人數(shù)據(jù)失去法律依據(jù)。

二、歐美“隱私護(hù)盾”協(xié)議的主要內(nèi)容

2016年2月2日，在深度討論了兩年后，歐盟和美國達(dá)成了數(shù)據(jù)跨境流動(dòng)和保護(hù)的新框架——?dú)W美隱私護(hù)盾協(xié)議，以回應(yīng)歐洲法院在2015年施雷姆斯案判決時(shí)提出的要求。該協(xié)議主要包括如下4方面的內(nèi)容。

1.提供有效保護(hù)歐盟數(shù)據(jù)主體權(quán)利的法律救濟(jì)途徑

隱私盾協(xié)議強(qiáng)化了對(duì)數(shù)據(jù)主體權(quán)利的救濟(jì)，包括：①個(gè)人可以直接向加入隱私盾協(xié)議的企業(yè)進(jìn)行投訴，企業(yè)必須于45天內(nèi)作出回應(yīng)。②企業(yè)必須無償向個(gè)人提供獨(dú)立的追索機(jī)制，盡快調(diào)查處理投訴和爭(zhēng)議。③如果個(gè)人向歐盟的數(shù)據(jù)保護(hù)機(jī)構(gòu)進(jìn)行投訴，美國商務(wù)部將予以受理、審查，盡最大的努力促進(jìn)爭(zhēng)議解決，并于90天內(nèi)向數(shù)據(jù)保護(hù)機(jī)構(gòu)作出回復(fù)。

2. 美國承諾加強(qiáng)監(jiān)督與合作

美國商務(wù)部承諾健全對(duì)企業(yè)遵循隱私盾框架情況的管理和監(jiān)管，包括公司是否提供了所有必需的信息，必要時(shí)是否在認(rèn)可的獨(dú)立追索機(jī)制上登記注冊(cè)；對(duì)那些自我認(rèn)證失敗或自愿退出隱私盾框架的組織進(jìn)行跟蹤；依職權(quán)定期進(jìn)行合規(guī)審查并評(píng)估等。

美國商務(wù)部、聯(lián)邦貿(mào)易委員會(huì)還承諾提高與歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)的合作，包括：建立專門的聯(lián)絡(luò)點(diǎn)與歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)進(jìn)行聯(lián)系、交換信息、提供執(zhí)行協(xié)助等。商務(wù)部、聯(lián)邦貿(mào)易委員會(huì)和其他有關(guān)機(jī)構(gòu)將與歐盟委員會(huì)舉行年度會(huì)議，討論關(guān)于隱私盾框架的功能、實(shí)施、監(jiān)督和執(zhí)行問題。隱私盾協(xié)議的年度審查機(jī)制要嚴(yán)于《一般數(shù)據(jù)保護(hù)條例》?！兑话銛?shù)據(jù)保護(hù)條例》規(guī)定至少每四年進(jìn)行一次審查。該機(jī)制同時(shí)表明了歐盟與美國嚴(yán)格遵循協(xié)議決心。*See Fact Sheet Overview of the EU-U.S. Privacy Shield Framework.https://www.commerce.gov/sites/commerce.gov/files/media/files/2016/eu-us_privacy_shield_fact_sheet.pdf，2016-6-11.

3.賦予企業(yè)更多的義務(wù)

盡管加入隱私盾協(xié)議是自愿的，但一旦企業(yè)做出遵循隱私盾框架的公開承諾，則該承諾具有法律約束力，并在美國法律下具有強(qiáng)制執(zhí)行力。如果公司沒有履行承諾，將會(huì)面臨嚴(yán)重的制裁。美國企業(yè)想要從歐洲輸入個(gè)人數(shù)據(jù)，在隱私盾協(xié)議下就需要在個(gè)人數(shù)據(jù)處理和個(gè)人權(quán)利保障方面接受更強(qiáng)的義務(wù)。隱私盾協(xié)議對(duì)加入?yún)f(xié)議的企業(yè)傳輸歐盟數(shù)據(jù)到框架外的第三方賦予了更嚴(yán)格的責(zé)任，無論是在美國還是第三國。關(guān)于監(jiān)管方面，美國商務(wù)部承諾給予定期且嚴(yán)格的監(jiān)督使企業(yè)遵守協(xié)議，防止搭便車者。簽署隱私盾協(xié)議的企業(yè)需要每年在其網(wǎng)站上公示隱私政策和自我認(rèn)證，接受美國政府的定期合規(guī)檢查。*See Speech of Commissioner Jourova at the conference“Privacy shield:Opportunities out of New Rules”in Copenhagen, https://ec.europa.eu/commission/2014-2019/jourova/announcements/speech-commissioner-jourova-conference-privacy-shield-opportunities-out-new-rules-copenhagen_en, 2016-6-11.同時(shí)，協(xié)議為歐盟與美國的企業(yè)提供了法律確定性。這將激勵(lì)小型企業(yè)投資發(fā)展跨大西洋業(yè)務(wù)活動(dòng)。隱私盾協(xié)議參與者還必須在收到任何個(gè)人在向其他追索機(jī)構(gòu)和執(zhí)行機(jī)制投訴未果的請(qǐng)求后，執(zhí)行有約束力的仲裁。

4.對(duì)美國政府的數(shù)據(jù)獲取進(jìn)行限制

美國政府通過美國司法部和美國情報(bào)總監(jiān)辦公室監(jiān)督美國情報(bào)機(jī)構(gòu)，提供給歐盟書面承諾和保證，國家機(jī)構(gòu)由于執(zhí)法、國家安全或其他公共利益的目的而進(jìn)行的數(shù)據(jù)獲取將受到明確限制和監(jiān)管。美國政府書面承諾不會(huì)進(jìn)行國家安全機(jī)構(gòu)的大規(guī)模且無差別的監(jiān)控。美國通過獨(dú)立于國家安全機(jī)構(gòu)的監(jiān)察專員(Ombudsperson)為歐盟數(shù)據(jù)保護(hù)建立一個(gè)新的救濟(jì)機(jī)制。這是一個(gè)重大的進(jìn)步，不僅僅適用于隱私盾協(xié)議中數(shù)據(jù)的傳輸，同時(shí)適用于商業(yè)目的下向美國傳輸?shù)乃袀€(gè)人數(shù)據(jù)。美國聯(lián)邦貿(mào)易委員會(huì)承諾與歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)緊密合作，提供援助，這包括在適當(dāng)情況下的信息共享和依照美國網(wǎng)絡(luò)安全法的調(diào)查援助。

對(duì)于隱私盾協(xié)議，歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)第29條工作組于2016年4月13日發(fā)布評(píng)議報(bào)告，認(rèn)為“隱私盾”協(xié)議相較于已被廢除的“安全港”協(xié)定，取得了巨大飛躍；尤其包括關(guān)鍵定義的引入，建立監(jiān)管“隱私盾”保護(hù)名單的機(jī)制，強(qiáng)制性的內(nèi)部和外部審查，都是積極的進(jìn)步。但是第29條工作組對(duì)隱私盾協(xié)議下在商業(yè)機(jī)構(gòu)和政府機(jī)構(gòu)的數(shù)據(jù)傳輸均表示出了強(qiáng)烈關(guān)心，認(rèn)為仍存在整體缺乏透明度、救濟(jì)機(jī)制過于復(fù)雜、對(duì)排除大規(guī)模無差別的跨境收集個(gè)人數(shù)據(jù)欠缺詳細(xì)說明等一些問題，敦促委員會(huì)解決這些問題，制定解決辦法以完善充分決定草案，確保隱私盾協(xié)議提供的保護(hù)與歐盟的要求基本等同。*See Statement of the Article 29 Working Party on the Opinion on the EU-U.S. Privacy Shield,http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/press_release_shield_en.pdf，2016-6-11.

三、隱私盾協(xié)議的意義

1.貫徹歐盟網(wǎng)絡(luò)安全戰(zhàn)略

2013年7月，歐盟出臺(tái)《歐盟網(wǎng)絡(luò)安全戰(zhàn)略：構(gòu)建一個(gè)開放、安全和有保障的網(wǎng)絡(luò)空間》。該戰(zhàn)略提出，實(shí)現(xiàn)歐盟數(shù)字單一市場(chǎng)需要人們的信任和信息，但絕大多數(shù)人認(rèn)為，出于安全考慮，他們不愿在線披露個(gè)人信息。該戰(zhàn)略強(qiáng)調(diào)，尊重和保護(hù)網(wǎng)絡(luò)基本權(quán)利是政府的職責(zé)；保護(hù)個(gè)人數(shù)據(jù)和隱私是網(wǎng)絡(luò)安全原則之一，當(dāng)攸關(guān)個(gè)人數(shù)據(jù)利害時(shí)，為了網(wǎng)絡(luò)安全而共享的任何信息均應(yīng)遵守歐盟數(shù)據(jù)保護(hù)法律，并充分考慮該領(lǐng)域的個(gè)人權(quán)利；應(yīng)將主流的網(wǎng)絡(luò)空間問題融入歐盟對(duì)外關(guān)系和共同的外交和安全政策，促進(jìn)實(shí)現(xiàn)高水平的數(shù)據(jù)保護(hù)，包括向第三方轉(zhuǎn)移個(gè)人數(shù)據(jù)。歐盟與美國達(dá)成的隱私盾協(xié)議，強(qiáng)化了跨境數(shù)據(jù)流動(dòng)中的個(gè)人數(shù)據(jù)基本權(quán)利的保護(hù)，維護(hù)了歐盟的網(wǎng)絡(luò)信息安全框架，推廣了歐盟核心價(jià)值，較好地貫徹了歐盟的網(wǎng)絡(luò)安全戰(zhàn)略和歐盟國際網(wǎng)絡(luò)空間政策。

2.平衡歐美的數(shù)據(jù)保護(hù)政策

對(duì)待數(shù)據(jù)隱私，歐美存在截然不同的態(tài)度。歐美數(shù)據(jù)保護(hù)立法表明，盡管雙方對(duì)待隱私保護(hù)的原則基本一致，但是對(duì)于用戶隱私和公共利益方面存在較大分歧。隱私盾協(xié)議表明了美國和歐盟官員對(duì)這些明顯不同看法建立聯(lián)系的嘗試。

在歐洲，盛行的觀點(diǎn)是基本權(quán)利是用來保障公民存在政府觸及不到的空間，這一點(diǎn)同樣可以延伸到信息方面，認(rèn)為公民給予政府過多的信息是不明智的，因此在歐盟公民的諸多權(quán)利中，數(shù)據(jù)保護(hù)顯得尤為重要，他們將個(gè)人數(shù)據(jù)保護(hù)作為基本權(quán)利。相反，美國公民更愿意允許企業(yè)在一定限度內(nèi)使用他們的個(gè)人數(shù)據(jù)作為提供服務(wù)或提高服務(wù)質(zhì)量的交換，個(gè)人對(duì)政府?dāng)?shù)據(jù)獲取的問題也極少關(guān)注。然而隨著“棱鏡門”事件的披露以及企業(yè)大規(guī)模地收集和處理個(gè)人數(shù)據(jù)，美國消費(fèi)者也開始考慮他們的個(gè)人數(shù)據(jù)是如何被利用的，特別是開始更多地關(guān)心政府獲取的個(gè)人數(shù)據(jù)。如果隱私盾協(xié)議借此影響到美國有關(guān)用戶隱私保護(hù)的法律法規(guī)制定，將更有利于歐盟向其他國家推行用戶隱私保護(hù)的一系列理念和舉措，進(jìn)而影響其他雙邊或區(qū)域性跨境數(shù)據(jù)流動(dòng)體系。*See Impact of the EU-US Privacy Shield,http://www.financierworldwide.com/impact-of-the-eu-us-privacy-shield/，2016-6-11.

3.促進(jìn)歐美間跨境數(shù)據(jù)流動(dòng)

隱私盾協(xié)議的建立有利于歐盟各國與美國隱私保護(hù)政策的協(xié)調(diào)，從而推動(dòng)跨境數(shù)據(jù)傳輸和歐美商貿(mào)交流的發(fā)展。進(jìn)入信息時(shí)代，個(gè)人信息無疑是一種正在崛起的新興資產(chǎn)，由于信息流動(dòng)可以創(chuàng)造財(cái)富，所以信息保護(hù)成為數(shù)字經(jīng)濟(jì)時(shí)代各國競(jìng)爭(zhēng)的對(duì)象?？绱笪餮蟮貐^(qū)大規(guī)模的個(gè)人信息跨境流動(dòng)引發(fā)了人們對(duì)個(gè)人信息安全和隱私保護(hù)的擔(dān)憂。由于各國個(gè)人信息保護(hù)水平不同，保護(hù)水平高的國家嚴(yán)格限制其個(gè)人信息流動(dòng)到保護(hù)水平低的國家，因此跨境電子商務(wù)的發(fā)展受到一定的制約。與此同時(shí)，跨境電子商務(wù)和個(gè)人信息的跨境流動(dòng)成為世界經(jīng)濟(jì)發(fā)展的新趨勢(shì)，在信息創(chuàng)造財(cái)富的時(shí)代，各國應(yīng)該創(chuàng)造條件促進(jìn)個(gè)人信息的無障礙流動(dòng)。[2]隱私盾協(xié)議的達(dá)成有利于平衡各國的隱私保護(hù)政策，讓歐美雙方在一個(gè)共同的體系下遵守隱私框架的最低標(biāo)準(zhǔn)，從而促進(jìn)跨大西洋個(gè)人信息的跨境流動(dòng)。

4.加快大西洋兩岸的商貿(mào)往來

歐盟成員國是美國互聯(lián)網(wǎng)企業(yè)獲取個(gè)人數(shù)據(jù)的主要市場(chǎng)之一，隱私盾協(xié)議彌補(bǔ)了安全港協(xié)議的失效對(duì)跨大西洋數(shù)據(jù)流動(dòng)造成的法律缺失，為其數(shù)據(jù)流動(dòng)提供了一個(gè)新的安全框架，再次確保歐盟與美國企業(yè)能夠繼續(xù)開展跨境電子商務(wù)活動(dòng)，這有助于兩岸數(shù)字經(jīng)濟(jì)持續(xù)穩(wěn)定增長?！兑话銛?shù)據(jù)保護(hù)條例》已將“個(gè)人數(shù)據(jù)”的定義擴(kuò)展至“包含可以通過基因、精神、經(jīng)濟(jì)、文化或社會(huì)身份進(jìn)行識(shí)別的主體?！?從鞋碼到宗教再到人口普查信息等各種數(shù)據(jù)類型都會(huì)被劃分至新的定義下。*See Online Platforms and the Digital Single Market,http://www.publications.parliament.uk/pa/ld201516/ldselect/ldeucom/129/129.pdf, 2016-6-12.因此，盡管只有4500多家企業(yè)進(jìn)行了安全港協(xié)議的認(rèn)證，但當(dāng)《一般數(shù)據(jù)保護(hù)條例》生效后，更多的企業(yè)將會(huì)受到隱私盾協(xié)議的規(guī)制。

四、隱私盾協(xié)議對(duì)我國的啟示

隱私盾協(xié)議體現(xiàn)了歐盟對(duì)個(gè)人數(shù)據(jù)保護(hù)的強(qiáng)烈關(guān)注，隨著全球化進(jìn)程的加快，歐盟在個(gè)人隱私保護(hù)上的價(jià)值觀必然將在全球范圍內(nèi)引起連鎖反應(yīng)，這一現(xiàn)象值得我國關(guān)注與思考。目前，中國還不是歐盟認(rèn)可的對(duì)個(gè)人數(shù)據(jù)提供充分性保護(hù)的國家，在很大程度上影響了歐盟對(duì)中國市場(chǎng)經(jīng)濟(jì)地位的承認(rèn)，嚴(yán)重制約了中歐經(jīng)濟(jì)的繁榮發(fā)展。[3]隨著跨國公司提供的跨境技術(shù)與服務(wù)陸續(xù)進(jìn)入我國市場(chǎng)，跨境數(shù)據(jù)流動(dòng)管理已成為一個(gè)現(xiàn)實(shí)議題，潛在的國家信息安全和個(gè)人信息安全風(fēng)險(xiǎn)值得關(guān)注。

歐盟和美國是世界上最大的兩個(gè)經(jīng)濟(jì)體，兩者之間達(dá)成的個(gè)人數(shù)據(jù)跨境流動(dòng)協(xié)議不但直接影響參與歐盟市場(chǎng)的企業(yè)，而且具有很強(qiáng)的示范效應(yīng)，對(duì)其他國家、地區(qū)的立法以及國際規(guī)則的制定將產(chǎn)生深遠(yuǎn)影響。我國是互聯(lián)網(wǎng)大國，也是歐盟僅次于美國的第二大貿(mào)易伙伴。我國有必要盡快構(gòu)建個(gè)人數(shù)據(jù)跨境流動(dòng)法律規(guī)則體系，同時(shí)積極參與國際規(guī)則的制定。

1.構(gòu)建個(gè)人信息保護(hù)法律體系

信息技術(shù)推動(dòng)網(wǎng)絡(luò)發(fā)展，網(wǎng)絡(luò)環(huán)境下，數(shù)據(jù)是商品，可以為我們提供免費(fèi)通道獲取在線服務(wù)和先進(jìn)的網(wǎng)絡(luò)環(huán)境。*See Online Platforms and the Digital Single Market，http://www.publications.parliament.uk/pa/ld201516/ldselect/ldeucom/129/129.pdf, 2016-6-12.因此數(shù)字經(jīng)濟(jì)時(shí)代數(shù)據(jù)保護(hù)成為首要問題。在數(shù)字世界中，個(gè)人的任何行為都會(huì)留下“數(shù)字痕跡”。聚合的數(shù)字痕跡帶來的“隱形”數(shù)據(jù)和隱私暴露問題，使得信息時(shí)代個(gè)人隱私保護(hù)面臨更多的威脅。[4]此外，個(gè)人信息在大數(shù)據(jù)時(shí)代作為一種重要的經(jīng)濟(jì)資源，不僅具有商業(yè)價(jià)值，還涉及國家安全和社會(huì)公共利益，對(duì)個(gè)人信息的保護(hù)更為迫在眉睫。面對(duì)在全球背景下愈來愈頻繁的數(shù)據(jù)跨境流動(dòng)，我國應(yīng)盡快制定相應(yīng)規(guī)則以避免在國際合作中的被動(dòng)局面，有的放矢，協(xié)調(diào)各方利益，平衡個(gè)人信息保護(hù)與數(shù)據(jù)流動(dòng)之間的關(guān)系。

習(xí)近平總書記提出，“要加快網(wǎng)絡(luò)立法進(jìn)程，完善依法監(jiān)管措施，化解網(wǎng)絡(luò)風(fēng)險(xiǎn)?！蔽覈壳皞€(gè)人信息保護(hù)立法十分不完善。我國《刑法》《居民身份證法》《消費(fèi)者權(quán)益保護(hù)法》《侵權(quán)責(zé)任法》和《全國人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》等法律以及部分行政法規(guī)和規(guī)章少量涉及了個(gè)人信息保護(hù)問題，但遠(yuǎn)未系統(tǒng)化和體系化，多數(shù)規(guī)范性文件位階偏低，缺乏可操作的具體規(guī)則。在有關(guān)個(gè)人信息的收集、利用、處理、存儲(chǔ)、傳輸?shù)然疽?guī)則尚未確立的情況下，無從談及對(duì)個(gè)人信息跨境流動(dòng)的保護(hù)。因此，我國有必要盡快出臺(tái)《個(gè)人信息保護(hù)法》，在法律層面明確個(gè)人信息收集、利用、處理、存儲(chǔ)、傳輸?shù)拳h(huán)節(jié)中各個(gè)主體的權(quán)利、義務(wù)和責(zé)任，強(qiáng)化對(duì)個(gè)人信息的民事、行政保護(hù)。只有在民事制裁和行政制裁有效配合的情況下，刑事制裁的威懾功能才能有效發(fā)揮。

2.建立個(gè)人信息保護(hù)監(jiān)管機(jī)構(gòu)

信息主體的弱勢(shì)地位、信息碎片化、單個(gè)信息的低值化、網(wǎng)絡(luò)維權(quán)取證難、維權(quán)成本高等問題是困擾個(gè)人信息保護(hù)民事救濟(jì)的主要障礙，因此建立個(gè)人信息的行政保護(hù)機(jī)制尤為重要。歐盟對(duì)個(gè)人數(shù)據(jù)的強(qiáng)保護(hù)就是通過數(shù)據(jù)保護(hù)機(jī)構(gòu)和保護(hù)專員得以實(shí)現(xiàn)。

我國也應(yīng)建立專門的個(gè)人信息保護(hù)監(jiān)管機(jī)構(gòu)，負(fù)責(zé)個(gè)人信息行政保護(hù)和執(zhí)法監(jiān)督，這對(duì)于跨境數(shù)據(jù)流動(dòng)的監(jiān)管尤為重要。在全球經(jīng)濟(jì)一體化背景下，專門的監(jiān)管機(jī)構(gòu)還有利于我國在個(gè)人信息跨國流動(dòng)過程中更好地參與國際合作，維護(hù)我國國家網(wǎng)絡(luò)主權(quán)和公民的個(gè)人信息利益。

3.完善個(gè)人信息跨境流動(dòng)的監(jiān)管制度和機(jī)制

在構(gòu)建較為完善的個(gè)人信息保護(hù)法律體系和執(zhí)法監(jiān)督機(jī)構(gòu)的基礎(chǔ)上，進(jìn)一步加強(qiáng)個(gè)人信息的跨境流動(dòng)監(jiān)管制度，建立數(shù)據(jù)分類管理制度、安全風(fēng)險(xiǎn)評(píng)估制度、合同監(jiān)管制度、信息主體明確同意制度等，形成多樣化、多層次的監(jiān)管機(jī)制。

國際上關(guān)于跨境數(shù)據(jù)流動(dòng)的監(jiān)管并未形成統(tǒng)一認(rèn)識(shí)，從各國的實(shí)踐來看，多數(shù)國家對(duì)不同類型的數(shù)據(jù)采取不同的管理模式，實(shí)行數(shù)據(jù)分類管理。根據(jù)數(shù)據(jù)的重要性不同，通?？梢詫?shù)據(jù)分為三大類：一是涉及國家安全和社會(huì)公共利益的重要數(shù)據(jù)，通常禁止跨境流動(dòng)；二是政府公共部門和行業(yè)的數(shù)據(jù)，可以有條件地允許跨境流動(dòng)，通常在流動(dòng)前需要進(jìn)行安全風(fēng)險(xiǎn)評(píng)估；三是對(duì)于普通的個(gè)人數(shù)據(jù)，經(jīng)當(dāng)事人同意后一般允許跨境流動(dòng)，多通過加強(qiáng)信息安全義務(wù)、事前合同干預(yù)、事后問責(zé)等不同形式來進(jìn)行安全管理。*石月.國外跨境數(shù)據(jù)流動(dòng)管理制度及對(duì)我國的啟示，http://gb.cri.cn/42071/2015/07/23/6611s5041096.htm，2016-06-10。

目前，我國的相關(guān)法律禁止涉及國家秘密和國家安全的數(shù)據(jù)跨境流動(dòng)，但對(duì)于一般的個(gè)人數(shù)據(jù)和企業(yè)數(shù)據(jù)的跨境流動(dòng)問題極少涉及。只有《征信管理?xiàng)l例》第24條*《征信管理?xiàng)l例》第24條：“征信機(jī)構(gòu)在中國境內(nèi)采集的信息的整理、保存和加工，應(yīng)當(dāng)在中國境內(nèi)進(jìn)行。”“征信機(jī)構(gòu)向境外組織或者個(gè)人提供信息，應(yīng)當(dāng)遵守法律、行政法規(guī)和國務(wù)院征信業(yè)監(jiān)督管理部門的有關(guān)規(guī)定?！睂?duì)征信信息的跨境流動(dòng)作了原則性規(guī)定，以及《地圖管理?xiàng)l例》第34條*《地圖管理?xiàng)l例》第34條：“互聯(lián)網(wǎng)地圖服務(wù)單位應(yīng)當(dāng)將存放地圖數(shù)據(jù)的服務(wù)器設(shè)在中華人民共和國境內(nèi)，并制定互聯(lián)網(wǎng)地圖數(shù)據(jù)安全管理制度和保障措施?！?“縣級(jí)以上人民政府測(cè)繪地理信息行政主管部門應(yīng)當(dāng)會(huì)同有關(guān)部門加強(qiáng)對(duì)互聯(lián)網(wǎng)地圖數(shù)據(jù)安全的監(jiān)督管理。”要求互聯(lián)網(wǎng)地圖服務(wù)單位將存放地圖數(shù)據(jù)的服務(wù)器設(shè)在境內(nèi)?！蛾P(guān)于加強(qiáng)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見》(中網(wǎng)辦發(fā)文[2015]14號(hào))提出敏感數(shù)據(jù)未經(jīng)批準(zhǔn)不得在境外傳輸、處理、存儲(chǔ)，其他法律法規(guī)基本沒有對(duì)數(shù)據(jù)跨境流動(dòng)進(jìn)行規(guī)范。出于進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全的需要，2016年11月7日通過的《網(wǎng)絡(luò)安全法》第37條對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的數(shù)據(jù)跨境流動(dòng)做了原則性規(guī)定，即：“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定?！?這填補(bǔ)了我國相關(guān)立法空白，但有必要進(jìn)一步制定專門條例對(duì)跨境數(shù)據(jù)流動(dòng)進(jìn)行規(guī)范，明確可跨境流動(dòng)的數(shù)據(jù)范圍，建立跨境數(shù)據(jù)安全評(píng)估制度，完善各相關(guān)主體的權(quán)利、義務(wù)和安全保護(hù)責(zé)任。

4.出臺(tái)跨境數(shù)據(jù)流動(dòng)行業(yè)標(biāo)準(zhǔn)以加強(qiáng)行業(yè)自律

在對(duì)跨境數(shù)據(jù)流動(dòng)實(shí)行政府監(jiān)管的同時(shí)，還應(yīng)建立和加強(qiáng)行業(yè)自律機(jī)制。網(wǎng)絡(luò)信息技術(shù)日新月異，網(wǎng)絡(luò)信息服務(wù)層出不窮，法律的規(guī)范不可避免地具有滯后性，因此應(yīng)充分利用諸如中國網(wǎng)絡(luò)空間安全協(xié)會(huì)等行業(yè)協(xié)會(huì)的優(yōu)勢(shì)，發(fā)揮行業(yè)協(xié)會(huì)自我管理、自我約束的作用，鼓勵(lì)網(wǎng)絡(luò)信息行業(yè)制定自律性規(guī)范和跨境數(shù)據(jù)流動(dòng)行業(yè)標(biāo)準(zhǔn)，總結(jié)和推廣最佳做法和最佳實(shí)踐，為個(gè)人信息保護(hù)塑造良好的網(wǎng)絡(luò)環(huán)境?？缇硵?shù)據(jù)流動(dòng)行業(yè)標(biāo)準(zhǔn)可先推出推薦性標(biāo)準(zhǔn)，待條件成熟后，可將推薦性行業(yè)標(biāo)準(zhǔn)轉(zhuǎn)變?yōu)閺?qiáng)制性行業(yè)標(biāo)準(zhǔn)或國家標(biāo)準(zhǔn)，甚至上升為法律規(guī)定。

5. 加強(qiáng)國際合作構(gòu)建中歐數(shù)據(jù)安全對(duì)話機(jī)制

習(xí)近平總書記指出，“各國應(yīng)該推進(jìn)互聯(lián)網(wǎng)領(lǐng)域開放合作，豐富開放內(nèi)涵，提高開放水平，搭建更多溝通合作平臺(tái)。”一國的數(shù)據(jù)保護(hù)機(jī)構(gòu)只能在本國主權(quán)范圍內(nèi)行使職權(quán)，無法對(duì)跨境后的數(shù)據(jù)處理進(jìn)行真正有效的監(jiān)管，因此，國際合作對(duì)數(shù)據(jù)跨境流動(dòng)及保護(hù)尤為關(guān)鍵。經(jīng)合組織曾指出，跨境流動(dòng)數(shù)據(jù)的數(shù)量和特征使得加強(qiáng)國際合作以實(shí)現(xiàn)隱私保護(hù)成為必需。[5]

由于當(dāng)前網(wǎng)絡(luò)空間的國際規(guī)則尚在形成過程中，我國應(yīng)當(dāng)積極參與包括跨境數(shù)據(jù)流動(dòng)在內(nèi)的網(wǎng)絡(luò)空間國際規(guī)則的制定，在國際上發(fā)出中國的聲音，推動(dòng)有利于我國利益的國際規(guī)則的形成。當(dāng)前可以考慮借鑒歐美模式建立中歐數(shù)據(jù)安全對(duì)話機(jī)制，可先開展中歐智庫間的民間對(duì)話，探索中歐數(shù)據(jù)流動(dòng)安全保障框架，促進(jìn)中歐數(shù)字商貿(mào)往來。

[1] 陳恬, 廖璇. 美歐用戶信息跨境流動(dòng)政策走向預(yù)判[J]. 電信網(wǎng)技術(shù), 2016(2): 35-37.

[2] 弓永欽, 王健. APEC跨境隱私規(guī)則體系與我國的對(duì)策[J]. 國際貿(mào)易, 2014(3): 30-35.

[3] 桂暢旎. 美歐跨境數(shù)據(jù)傳輸《隱私盾協(xié)議》前瞻[J]. 中國信息安全, 2016(3): 83-85.

[4] 張新寶. 從隱私到個(gè)人信息: 利益再衡量的理論與制度安排[J]. 中國法學(xué), 2015(3): 38-59.

[5] 高明. 歐盟跨境數(shù)據(jù)流動(dòng)的法律探究[J]. 法制與社會(huì), 2011(10): 20-23.

EU-U.S. Privacy Shield and its Enlightenment to China

XIE Yong-jiang, ZHU Lin, SHANG Jie

(School of Humanities, Beijing University of Posts and Telecommunications, Beijing 100876, China)

EU-U.S. Privacy Shield offers more protection to EU personal data privacy, reinforces the obligation of enterprises and government, and restricts the information collection by the US government. The framework represents the EU Internet security and the information protection policy of both sides, promotes data flow between the Europe and the US, and facilitates the transatlantic business. China shall legislate for personal information protection and construct legal system in this field; establish specialized data protection institutions; improve the supervision mechanisms in terms of trans-border personal data flow; release the standard of trans-border data flow and intensify the cooperation, bridge communication mechanisms of Sino-Europe data safety, and join the enactment of international rules in cyberspace.

Privacy Shield; trans-border data flows; personal information protection

2016- 06 - 24

謝永江(1973—)，男，江西樂安人，法學(xué)博士，北京郵電大學(xué)人文學(xué)院副院長、副教授，北京郵電大學(xué)互聯(lián)網(wǎng)治理與法律研究中心常務(wù)副主任，北京郵電大學(xué)可信分布式計(jì)算與服務(wù)教育部重點(diǎn)實(shí)驗(yàn)室研究員；主要研究方向?yàn)榫W(wǎng)絡(luò)法和經(jīng)濟(jì)法。

D913.04; TP393.08

A

1008-7729(2016)06- 0039- 06