賈 開
(清華大學公共管理學院,北京 100084)
跨境數(shù)據(jù)流動的全球治理:權(quán)力沖突與政策合作
——以歐美數(shù)據(jù)跨境流動監(jiān)管制度的演進為例
賈 開
(清華大學公共管理學院,北京 100084)
數(shù)字經(jīng)濟的全球擴張已經(jīng)使得跨境數(shù)據(jù)流動成為常態(tài),但不同國家間規(guī)制傳統(tǒng)與制度環(huán)境的差異使得跨境數(shù)據(jù)流動的全球治理成為難題。不過即便如此,在各國不對其國內(nèi)規(guī)制制度做出重大調(diào)整的前提下,政策共識與國際合作依然可能存在?!栋踩蹍f(xié)議》代表了歐美在承認制度差異前提下的政策共識,“9·11事件”后,美國國內(nèi)政策的轉(zhuǎn)折為當前沖突的爆發(fā)埋下了伏筆,《隱私盾協(xié)議》為新的國際合作打開了窗口。歐盟與美國跨境數(shù)據(jù)流動監(jiān)管制度的演進歷史,淋漓盡致地體現(xiàn)了跨境數(shù)據(jù)流動全球治理沖突與合作的反復與交替。
跨境數(shù)據(jù)流動;規(guī)制沖突;國際合作
賈開 (1985-),男,四川人,清華大學公共管理學院博士研究生,研究領域包括互聯(lián)網(wǎng)治理、數(shù)據(jù)治理和平臺經(jīng)濟規(guī)制。
自1980年代經(jīng)合組織(OECD)首次提出“跨境數(shù)據(jù)流動”(Trans-border Data Flow)的概念之后,數(shù)字經(jīng)濟的快速擴張已經(jīng)使這一現(xiàn)象逐漸成為常態(tài)。無論是軟件開發(fā)、服務外包等數(shù)據(jù)處理業(yè)務在全球分工體系下的日益成熟,還是以互聯(lián)網(wǎng)跨國公司形態(tài)存在的社交平臺、搜索引擎、電子商務的日益普及,都同時推動著跨境數(shù)據(jù)流動在體量和頻率兩個方面的指數(shù)化增長。但與傳統(tǒng)貨物貿(mào)易不同,被視為大數(shù)據(jù)時代“核心資源”的“數(shù)據(jù)”,卻與個人隱私、公共安全等社會價值密不可分。也正因為如此,當站在全球數(shù)據(jù)貿(mào)易的角度呼喚數(shù)據(jù)的自由流動時,規(guī)制者還不得不同時考慮對于其他社會價值的保護,并因而對跨境數(shù)據(jù)流動做出限制,由此便引發(fā)了跨境數(shù)據(jù)流動的全球治理議題:協(xié)調(diào)不同國家的制度差異以平衡數(shù)據(jù)跨境流動的收益與成本,并最終在全球范圍內(nèi)促成“公地喜劇”。①關于“公地喜劇”的理論可參見Carol Rose(1986)。此處的公地喜劇是指更為自由的跨境數(shù)據(jù)流動有利于形成全球數(shù)據(jù)“公地”,并提高數(shù)據(jù)的利用效率。
遺憾的是,不同于貨物貿(mào)易或金融市場,跨境數(shù)據(jù)流動沒有建立起類似于世界貿(mào)易組織或世界銀行這樣傳統(tǒng)的全球治理機制,國家間的規(guī)制沖突持續(xù)不斷;但另一方面,跨境數(shù)據(jù)流動并沒有因此而中斷,全球范圍內(nèi)的數(shù)字經(jīng)濟依然在以超常規(guī)的速度不斷向前發(fā)展。如何對這一現(xiàn)象做出解釋,便成為了學者亟需回答的問題。具體而言:為何在缺乏國際制度共識并因而未能建立多邊治理機制的情況下,大體量、高頻次的數(shù)據(jù)依然能夠跨境流動?
與此同時,伴隨著“斯諾登事件”而持續(xù)發(fā)酵的大規(guī)模數(shù)據(jù)審查丑聞,在全球范圍再次引發(fā)了對于美國霸權(quán)的擔憂,各國也由此產(chǎn)生了對于跨境數(shù)據(jù)流動施加更強限制的制度訴求。包括俄羅斯、澳大利亞、巴西等國在內(nèi),“數(shù)據(jù)本地化”①Chander,Anupam,and U.P.Le."Breaking the Web:Data Localization vs.the Global Internet." SSRN Electronic Journal (2014).日漸成為普遍的制度改革方向;而這樣的制度改革又不可避免地加劇了全球數(shù)據(jù)貿(mào)易的“巴爾干化”,有悖于“互聯(lián)互通、共享共治”的全球互聯(lián)網(wǎng)治理精神。由此引發(fā)的問題是,建立在國家主權(quán)訴求基礎上的數(shù)據(jù)規(guī)制政策,是否是對抗美國霸權(quán)主義的唯一途徑?事實上,盡管歐洲各國深受“棱鏡計劃”之害,但歐盟與美國并未走向割裂,跨境數(shù)據(jù)流動依然在雙方新締結(jié)的《隱私盾協(xié)議》(Privacy Shield)下恢復正常。這一事實至少說明,沖突在所難免,但跨境數(shù)據(jù)流動依然能夠找到政策共識并帶來國際合作,其并不絕對導致單邊主義的數(shù)據(jù)割裂。
本文將以歐盟與美國在監(jiān)管制度方面的沖突與合作為例,闡述跨境數(shù)據(jù)流動全球治理機制的演變過程,并進一步解釋跨境數(shù)據(jù)流動國際合作的可能性,試圖為未來的制度改進提供事實基礎和政策建議。本文將分為四個部分。第一部分解釋跨境數(shù)據(jù)流動國際沖突的根源及其在歐盟與美國的體現(xiàn);第二部分以《安全港協(xié)議》(Safe Harbor)為例,闡述歐盟與美國在制度沖突的背景下尋找政策共識和國際合作的空間與過程;第三部分將從歷史演進的角度,回顧“9·11事件”及“斯諾登事件”對于歐美跨境數(shù)據(jù)流動國際合作的沖擊及深遠影響。第四部分將落腳于歐美新達成的“隱私盾協(xié)議”,再次解釋國際合作的可能性。
跨境數(shù)據(jù)流動的核心問題是個人數(shù)據(jù)隱私保護與跨境數(shù)據(jù)自由流動的平衡。雖然各國政府都承認保護個人數(shù)據(jù)隱私的必要性,但就跨境數(shù)據(jù)流動的全球治理機制而言,沖突的根源則來自于各國規(guī)制傳統(tǒng)與制度體系的差異。
1970年代,美國和瑞士在兩國達成的《公平信息實務準則》(Fair Information Practice Principles)中對警告、許可、精確性、安全性等概念進行了定義,由此形成了最早的針對數(shù)據(jù)隱私權(quán)的監(jiān)管立法。自此之后,大多數(shù)國家立法和國際條約都是以此為基礎。1980年代,OECD又進一步將其編纂成典,形成了《隱私權(quán)和個人數(shù)據(jù)跨境流動保護的指導原則》(Guidelines on the protection of privacy and Trans-border fl ows of personal data)。正是在這些準則或原則的基礎上,大多數(shù)國家就加強國內(nèi)隱私權(quán)監(jiān)管達成了理念共識。但即便如此,各國法律的監(jiān)管范圍以及監(jiān)管方式卻呈現(xiàn)出非常明顯的不同,由此便導致了跨境數(shù)據(jù)流動的規(guī)制沖突,而美國與歐盟則是最為典型的國家與地區(qū)。②Bennett,Colin 1992.Regulating privacy:data protection and public policy in Europe and the United States.Ithaca:Cornell University Press.長久以來,美國與歐盟在公民的數(shù)據(jù)隱私保護方面采取了迥異的發(fā)展路徑。二者的區(qū)別體現(xiàn)在以下幾個方面:
就立法原則而言,美國的數(shù)據(jù)隱私保護沿襲了其對于合同原則的堅持,“法無禁止即可為”,只要沒有明確的法律限制,公司可以自由地使用用戶個人數(shù)據(jù)。相比之下,歐洲則體現(xiàn)了其對于合同實質(zhì)內(nèi)容的關注,其注意到了公司與用戶在數(shù)據(jù)使用和數(shù)據(jù)保護方面不對等的權(quán)力結(jié)構(gòu)與風險敞口,因而在法律中明確規(guī)定了對于公司隱私政策的限制。
就監(jiān)管范圍而言,美國立法者僅僅強調(diào)對公共部門進行監(jiān)管而對私人部門實行“自定規(guī)則”(Self-Regulation)。雖然銀行、電信等敏感行業(yè)受到特別法律規(guī)則的限制,但對于更多的私人部門而言,并沒有單獨的立法規(guī)制。相比之下,歐盟對公民數(shù)據(jù)隱私的保護范圍更為廣泛,同時適用于公共和私人部門。①Newman,Abraham 2008.Building Transnational Civil Liberties:Trans-governmental Entrepreneurs and the European Data Privacy Directive.International Organization.62(1):103-30.
就法律文本和執(zhí)法權(quán)力而言,美國針對數(shù)據(jù)隱私保護的法規(guī)監(jiān)督和執(zhí)行權(quán)力被分散在不同的政府機構(gòu)手中。以1974年《隱私權(quán)監(jiān)管法案》(Privacy Act)為代表的美國監(jiān)管制度旨在規(guī)制公共部門,其執(zhí)行權(quán)力被分散到包括聯(lián)邦預算管理辦公室、聯(lián)邦貿(mào)易委員會和聯(lián)邦儲備委員會在內(nèi)的一系列機構(gòu)之中。即便如此,聯(lián)邦預算管理辦公室的監(jiān)督和執(zhí)行權(quán)力也都處于消極狀態(tài)(即不訴不理),而且僅僅只有一部分州對數(shù)據(jù)隱私權(quán)保護進行了立法規(guī)制。②Schwartz,Paul,and J.R.Reidenberg."Data Privacy Law:A Study of United States Data Protection." Government Information Quarterly 14.2(1997).相比之下,歐盟的數(shù)據(jù)監(jiān)管政策由“數(shù)據(jù)隱私權(quán)監(jiān)管委員會”這樣一個獨立結(jié)構(gòu)來監(jiān)督并執(zhí)行,其承擔著對數(shù)據(jù)使用過程中的投訴及爭執(zhí)進行監(jiān)督和調(diào)解的職能(Flaherty,1989)。這些獨立機構(gòu)受到財政預算保證、負責人長期任職,并且獨立于其他行政部門。與此同時,歐盟于1995年通過了一項旨在歐洲范圍內(nèi)規(guī)范個人信息數(shù)據(jù)采集和傳輸行為的法律指令。③《個人數(shù)據(jù)采集和傳輸行為保護指令》(The Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data 95/46/EC,1995 O.J.(L 281) 31)該指令不僅統(tǒng)一了各國有關數(shù)據(jù)隱私保護的分散法律,更為關鍵的是,其第25款包含了治外法權(quán)條款,明確禁止向尚未建立“充分”(Adequate)的數(shù)據(jù)隱私權(quán)保護法律的國家傳輸數(shù)據(jù)——而這便是導致歐盟與美國跨境數(shù)據(jù)流動沖突的焦點所在。
歐盟的“充分保護”標準的核心要求包括兩點:一方面,具備獨立的監(jiān)管機構(gòu)且同時覆蓋公共和私人部門的監(jiān)管原則——顯而易見的是,美國的法律體系不符合這一標準。另一方面,美國國內(nèi)的立法者也不可能全盤推倒當前法律體系并依照“充分保護”原則對其進行改革重塑,因為這既涉及國家主權(quán)、法治理念等重大政治問題,又涉及法律執(zhí)行的績效問題。在美國人看來,歐盟數(shù)據(jù)隱私保護的法律體系雖然完備、統(tǒng)一,但卻“空有其表”,其在法律實施過程中總是受困于執(zhí)行力度的孱弱。例如在2014年,谷歌因收集街景數(shù)據(jù)時未能充分告知被收集者的個人數(shù)據(jù)使用情況而被認定違法,法國數(shù)據(jù)隱私保護機構(gòu)CNIL裁定對其的懲罰額度是15萬歐元,而這甚至是CNIL開出的史上最高罰單。相比于谷歌每年高達上百億的凈利潤而言,如此之低的懲罰幾乎不能對其帶來絲毫影響。④https://www.rt.com/news/france-google- fi ne-privacy-339/也惟其如此,在不可能推動美國國內(nèi)法律體系變革的前提下,圍繞數(shù)據(jù)隱私保護的規(guī)制制度沖突在所難免;而歐美之間如果缺乏某種形式的國際合作,數(shù)據(jù)跨境流動幾乎是天方夜譚——也正是在這一背景下,《安全港協(xié)議》被創(chuàng)新性地提了出來。
傳統(tǒng)觀點認為全球化一定會導致不同國家監(jiān)管制度的融合統(tǒng)一,現(xiàn)實主義的觀點更進一步認為跨國治理體系是由霸權(quán)國家提供,并在其主導下改變其他國家內(nèi)部法律制度的進程(Tonnelsosn,2000)。但在跨境數(shù)據(jù)流動的例子中,既沒有看到美國改變其國內(nèi)法律體系以滿足歐盟標準,也沒有看到歐盟接受美國現(xiàn)狀并認可其符合“充分保護”原則。
事實上,歐盟數(shù)據(jù)隱私保護指令的第29款和第31款分別設立了兩個咨詢委員會,⑤29款規(guī)定的咨詢委員會是由各成員國數(shù)據(jù)隱私權(quán)保護執(zhí)行機構(gòu)代表組成的工作組(Working Party),31款規(guī)定的咨詢委員會是由各成員國代表組成的信息委員會(comitology committee)。以對其他國家的國內(nèi)數(shù)據(jù)隱私權(quán)保護法律進行評估并向歐盟委員會提交評估報告,后者據(jù)此做出是否滿足“充分保護”原則的決定。一旦歐盟委員會判定該國法律體系不符合“充分保護”原則,歐盟將中止其與該國的跨境數(shù)據(jù)流動。正是在這樣的制度威脅下,包括加拿大、澳大利亞、日本、阿根廷在內(nèi)的40多個國家都改革了國內(nèi)的法律體系,建立了綜合性的監(jiān)管體制。①Newman,Abraham."Innovating European Data Privacy Regulation:Unintended Pathways to Experimentalist Governance." (2010).
但對于美國來說,改變其國內(nèi)法律體系以適應歐盟要求,不僅存在上一節(jié)所提到的政治問題,同時也存在改革成本問題。以金融服務行業(yè)為例,美國國內(nèi)大量存在且極易獲取的公民信用報告是其提供專業(yè)服務的基礎,而這種情況卻鮮見于歐洲。也正因為此,歐盟與美國的跨境數(shù)據(jù)流動必須找出除了“統(tǒng)一”或“承認”之外的第三條路徑,而這便導致了《安全港協(xié)議》的誕生。
《安全港協(xié)議》于2000年7月簽署并于當年11月正式生效,它并不強迫美國改變其國內(nèi)法律監(jiān)管環(huán)境,但同時歐盟也很明確地拒絕承認美國監(jiān)管措施等效于歐盟標準;②Farrell,Henry."Constructing the International Foundations of E-Commerce The EU-U.S.Safe Harbor Arrangement." International Organization 57.2(2003):277-306.相反的是,《安全港協(xié)議》直接要求參與跨境數(shù)據(jù)交換的公司遵守歐盟規(guī)則而不要求對整個國家的法律體系進行改革。③Long,William J.,and M.P.Quek."Personal data privacy protection in an age of globalization:The US-EU safe harbor compromise." Journal of European Public Policy 9.3(2002):325-344.為保證協(xié)議的落實,美國企業(yè)要么選擇接受歐盟獨立機構(gòu)的監(jiān)管,要么由美國聯(lián)邦貿(mào)易委員作為最后一道“防火墻”對企業(yè)進行監(jiān)督。在實際操作中,美國商務部將給出承諾遵守《安全港協(xié)議》的公司清單。④清單可參見http://www.export.gov/safeharbor/doc_safeharbor_index.asp.由此,《安全港協(xié)議》構(gòu)建了歐盟與美國在跨境數(shù)據(jù)流動領域的國際合作機制,在不強制要求企業(yè)對其國內(nèi)數(shù)據(jù)處理方式進行修正的同時,也仍然能夠保證歐洲公民的信息數(shù)據(jù)在國外受到與其在歐盟國內(nèi)相當?shù)谋Wo。在其簽署之后的15年里,《安全港協(xié)議》也成為了包括Google、Facebook、Microsoft在內(nèi)的超過4500家企業(yè)賴以運營的生命線。
需要指出的是,雖然《安全港協(xié)議》并不強制要求美國的監(jiān)管法律做出改變,但在其長期運營中,該協(xié)議也對美國的制度環(huán)境造成了潛移默化的影響。首先,《安全港協(xié)議》促使跨國公司開始嚴肅對待跨境數(shù)據(jù)流動的問題。例如,“泛大西洋商業(yè)對話”和“國際商會”都已經(jīng)設立專門的工作組來應對這一領域的監(jiān)管沖突。⑤COWLES,MG."The Global Business Dialogue on e-commerce (GBDe):Private fi rms,public policy,global governance." TA-Datenbank-Nachrichten 10.4 (2001):70-79.再者,《安全港協(xié)議》推動了美國國內(nèi)隱私保護監(jiān)管機構(gòu)的變革。舉例而言,雖然美國聯(lián)邦貿(mào)易委員會(FTC)的職責并不包括公民的數(shù)據(jù)隱私保護,但在《安全港協(xié)議》的影響下,F(xiàn)TC目前已經(jīng)成為美國國內(nèi)負責網(wǎng)絡隱私監(jiān)管的核心部門。FTC的執(zhí)法依據(jù)是其在涉及企業(yè)是否進行“公平交易”(Fair Business Practice)的方面的裁決權(quán)。只要企業(yè)公開其隱私保護條款或在線聲明,F(xiàn)TC就可以據(jù)此執(zhí)法權(quán)對企業(yè)進行監(jiān)管并督促其遵守公開承諾,從而間接起到保護公民數(shù)據(jù)隱私的作用。最后,《安全港協(xié)議》影響了美國國內(nèi)的立法變化。自2000年以來,許多美國聯(lián)邦和州的隱私與安全保護法律被修改或制定,這包括《聯(lián)邦貿(mào)易委員會法案》第5條、《有線通信政策法案》、《電子通信隱私發(fā)》、《金融隱私權(quán)法案》等等。
從這一角度看,盡管歐盟與美國存在著針鋒相對的監(jiān)管制度沖突,但《安全港協(xié)議》卻仍然實現(xiàn)了在承認差別的前提下開展國際合作的可能性,跨境數(shù)據(jù)流動也因此在歐盟與美國之間暢通無阻。值得注意的是,傳統(tǒng)思維所理解的美國霸權(quán)主義并沒有出現(xiàn)在歐美跨境數(shù)據(jù)流動之中;恰恰相反,在全球數(shù)字經(jīng)濟中處于弱勢的歐盟,卻利用《安全港協(xié)議》撬動了美國國內(nèi)法律體系的變革。由此我們也可以看出,即使在短期內(nèi)難以達成共識的制度分歧,在具體的機制創(chuàng)新推動下仍然可能走向國際合作。但同樣不可忽視的是,這樣的政策共識與國際合作并非一勞永逸,規(guī)制傳統(tǒng)的差異與制度沖突的本質(zhì)并未改變,外界環(huán)境的變遷隨時可能導致合作的失敗。也正因為此,受“斯諾登事件”的影響,《安全港協(xié)議》在運營長達15年之后壽終正寢。
2013年“斯諾登事件”曝光后,奧地利人Max Schrems向愛爾蘭數(shù)據(jù)監(jiān)管機構(gòu)提起訴訟,指控Facebook向美國政府提供數(shù)據(jù)。2014年該案被移至歐盟最高法院,并最終于一年后做出判決:《安全港協(xié)議》因未能充分保證歐洲公民的數(shù)據(jù)隱私而被裁定無效并予以撤銷。歐盟最高法院在判決書中明確指出,“美國的國家安全、公共利益和執(zhí)法需求都優(yōu)先于‘安全港’協(xié)議,從而使得企業(yè)在面對上述情況時,勢必漠視‘安全港’協(xié)議中的隱私保護條款。‘安全港’協(xié)議并不能約束政府機構(gòu)的數(shù)據(jù)審查行為,不能起到充分保護歐洲公民隱私的作用,因而它是無效的?!?/p>
《安全港協(xié)議》的廢除標志著歐美數(shù)據(jù)跨境流動的沖突達到了頂點,但這并非僅僅只是因為“斯諾登事件”的持續(xù)發(fā)酵而造成。事實上,自1990年代后半期開始,美國執(zhí)法部門便試圖改革國內(nèi)的法律規(guī)制體系,以擴大其數(shù)據(jù)收集和監(jiān)控的能力與權(quán)力。“9·11事件”的爆發(fā)為此打開了“機會之窗”,并由此為當前沖突埋下了伏筆。
“9·11事件”之前,美國國會和司法機構(gòu)對行政機關的數(shù)據(jù)收集和監(jiān)控行為施加了較強的限制。1976年,由參議員Frank Church領銜的專門委員會發(fā)布了著名的“邱奇委員會報告”(Church Committee Report),揭露了政府以國家安全之名實施的大規(guī)模電子監(jiān)控行為。在該報告的影響下,美國國會于1978年通過了《外國情報審查法案》(Foreign Intelligence Surveillance Act,F(xiàn)ISA),從而將執(zhí)法部門專門針對外國情報機構(gòu)的數(shù)據(jù)監(jiān)控行為與針對美國公民犯罪調(diào)查的數(shù)據(jù)監(jiān)控行為區(qū)分開,由此避免了執(zhí)法部門以國家安全為名對美國公民的大規(guī)模數(shù)據(jù)監(jiān)控。①1986年美國國會專門通過了《電子通訊隱私法案》(Electronic Communication Privacy Act,ECPA),對執(zhí)法部門針對美國公民的數(shù)據(jù)監(jiān)控行為進行了規(guī)范。
1990年代后半期,伴隨著科技創(chuàng)新的不斷進步,執(zhí)法部門已經(jīng)在技術上具備了收集和分析大規(guī)模數(shù)據(jù)的能力,②盡管這一時期圍繞人工智能的研究沒有實現(xiàn)預期結(jié)果,但計算統(tǒng)計學卻出現(xiàn)了突破性進展,由此為大規(guī)模行為數(shù)據(jù)的分析提供了技術支撐(Mattew,2016)。請參見Matthew Jones,Great Exploitations:Data Mining,Legal Modernization,and the NSA.2016.但它卻依然面臨著法律上的束縛。根據(jù)FISA的規(guī)制要求,執(zhí)法部門的數(shù)據(jù)監(jiān)控行為必須獲得法律授權(quán)。1999年,美國國家安全局(National Security Agency,NSA)試圖繞過FISA的規(guī)制要求,希望在只針對標記數(shù)據(jù)(metadata)③標記數(shù)據(jù)(Metadata)是指通信過程中不涉及內(nèi)容的地址數(shù)據(jù),例如通信人、電子郵件地址等。的監(jiān)控行為中不用獲得法律授權(quán),但美國司法部(Department of Justice,DOJ)在情報政策評論中卻拒絕了NSA的要求,認為標記數(shù)據(jù)監(jiān)控依然是“搜查”(Search)行為并構(gòu)成了對于公民隱私權(quán)的傷害。事實上,在九十年代后半期,執(zhí)法部門一直在推動FISA改革,試圖對數(shù)據(jù)審查法律進行“現(xiàn)代化改造”(Modernization of surveillance law),但這一改革直到“9·11事件”發(fā)生后才出現(xiàn)了實質(zhì)性進展。
“9·11事件”后美國政府組成了“9·11”調(diào)查委員會,對情報工作進行全面的反省式調(diào)查。委員會的最終報告指出,導致“9·11”發(fā)生的重要原因之一是情報系統(tǒng)存在漏洞。盡管FBI已經(jīng)得到了犯罪分子(美國公民)可能會發(fā)動襲擊的情報,但因無法確認嫌疑人與國外恐怖組織有關,從而不能依照FISA獲得對嫌疑人進行數(shù)據(jù)監(jiān)控的法律授權(quán),由此貽誤了補救時機。④Senate Report No.108-040.基于委員會的調(diào)查結(jié)果,美國對數(shù)據(jù)規(guī)制的國內(nèi)法律體系做出了重大調(diào)整,這主要體現(xiàn)在以下兩個方面:
首先,對FISA做出了重大改革。改革前的FISA規(guī)定,只有當針對外國情報機構(gòu)是執(zhí)法部門數(shù)據(jù)收集與監(jiān)控行為的“主要目的”(Primary Purpose)時,F(xiàn)ISC才會給予法律授權(quán);改革后,這一約束條件被改為了“重要目的”(Signi fi cant Purpose)。換而言之,只要當執(zhí)法部門證明該調(diào)查與外國情報機構(gòu)相關,即使其不是主要目的,執(zhí)法部門也可以獲得法律授權(quán)從而開展數(shù)據(jù)收集與監(jiān)控。這一變化最直接的證明來自于外國情報審查法庭(Foreign Intelligence Surveillance Court,FISC)所發(fā)出的法律授權(quán)數(shù)量變化。FISC是FISA設立的專門法庭,負責對執(zhí)法部門的數(shù)據(jù)監(jiān)控請求做出審查。從1979年到1999年,F(xiàn)ISC發(fā)出的法律授權(quán)數(shù)量從199增長到了886;而這一數(shù)字在2002年增長到了1228,并進一步在2003年、2004年分別增加到1727和1758。①DANIEL J.SOLOVE & PAUL M.SCHWARTZ,PRIVACY,LAW ENFORCEMENT,AND NATIONAL SECURITY (2014).p.166.
再者,《愛國者法案》(USA Patriot Act)出臺?!?·11事件”發(fā)生后,美國國會即迅速通過了《愛國者法案》,該法案對隨后的世界形勢產(chǎn)生了深遠影響并引起了諸多爭議。就數(shù)據(jù)規(guī)制而言,最為關鍵的是第215節(jié)。第215節(jié)規(guī)定執(zhí)法部門可以在獲得授權(quán)的情況下對美國境內(nèi)任何組織或個人實施數(shù)據(jù)收集與監(jiān)控,同時第215節(jié)還進一步規(guī)定數(shù)據(jù)被索取方不能向其他任何人公開執(zhí)法部門所索取的數(shù)據(jù)內(nèi)容(也即閉嘴原則,Gag Order)。第215節(jié)隨后成為NSA對通信標記數(shù)據(jù)(bulk telephone metadata)進行大規(guī)模監(jiān)控的法律依據(jù),而接受數(shù)據(jù)索取要求的通信公司或互聯(lián)網(wǎng)公司也因此不能向媒體公開執(zhí)法部門是否向其且提出了何種數(shù)據(jù)索取要求。后者對公眾監(jiān)督帶來了極大的阻礙,直到“斯諾登事件”的爆發(fā)才泄漏出美國安全部門大規(guī)模數(shù)據(jù)監(jiān)控的“冰山一角”。
在《安全港協(xié)議》的掩蓋下,歐盟國家并沒有注意到表面上正常運行的跨境數(shù)據(jù)流動已經(jīng)發(fā)生了本質(zhì)變化。自“9·11事件”之后做出重大調(diào)整的美國國內(nèi)規(guī)制體系,已經(jīng)不再能夠?qū)?zhí)法部門和安全部門的數(shù)據(jù)收集與監(jiān)控行為施加有效約束;與此同時,由于“閉嘴原則”的存在,承諾接受《安全港協(xié)議》的美國公司即使向美國政府提交數(shù)據(jù),其也不能按照《安全港協(xié)議》要求向歐盟規(guī)制部門提交相關報告。規(guī)制制度的沖突再次凸顯,《安全港協(xié)議》名存實亡。但即便如此,數(shù)字經(jīng)濟全球化程度的加深已經(jīng)使得跨境數(shù)據(jù)流動不可中斷,如何在舊體系崩潰的情況下尋找新的國際合作機會,成為接下來的緊迫工程,而歐美再次達成的“隱私盾協(xié)議”(Privacy Shield)無疑在沖突不斷的國際形勢下再次給予了人們希望。
在裁定《安全港協(xié)議》無效并予以撤銷的同時,歐盟表示,希望在2016年1月底之前與美國達成新的數(shù)據(jù)貿(mào)易協(xié)議;②http://techcrunch.com/2015/11/06/safe-harbor-2-talks-deadline/否則,歐盟數(shù)據(jù)保護機構(gòu)將單方面宣布他們認為合適的數(shù)據(jù)跨境流動方式。③http://www.nytimes.com/2016/02/01/technology/us-european-data-transfer-deal.html?_r=0在經(jīng)過艱苦談判后,歐盟談判組終于在同年2月初宣布與美國達成了新的框架協(xié)議(被稱為《隱私盾協(xié)議》,Privacy Shield),從而暫時解決了跨境數(shù)據(jù)貿(mào)易可能陷入中斷的困境。④http://europa.eu/rapid/press-release_IP-16-216_en.htm?locale=en新協(xié)議的達成時間雖然超過了歐盟設定的截止日期,但其仍然為歐美跨境數(shù)據(jù)流動的當前困境帶來了曙光。
新協(xié)議的主要內(nèi)容包括三個方面:⑤http://europa.eu/rapid/press-release_IP-16-216_en.htm?locale=en第一,美國公司將承擔更多的數(shù)據(jù)隱私保護責任,美國商務部將監(jiān)督美國公司所做出的數(shù)據(jù)保護承諾,而美國聯(lián)邦貿(mào)易委員會將負責其落實。第二,美國政府給出書面承諾,保證美國執(zhí)法部門只在明確限制條件和監(jiān)管之下才對歐洲公民數(shù)據(jù)進行審查,從而排除了一般性、不加區(qū)分的大規(guī)模審查。為監(jiān)督美國執(zhí)法部門的行為,歐盟和美國商務部每年都將舉行聯(lián)合評估。第三,新協(xié)議為歐洲公民提供了多個渠道的救濟措施。一方面,美國公司必須對歐洲公民的質(zhì)疑作出回應,而歐盟監(jiān)管機構(gòu)可以將歐洲公民的起訴移交給美國商務部或聯(lián)邦貿(mào)易委員會;另一方面,新協(xié)議將設立特別監(jiān)察員職位,以應對歐洲公民針對美國執(zhí)法部門的起訴。
盡管相對于《安全港協(xié)議》而言,《隱私盾協(xié)議》已經(jīng)有了很大的進步,但這并不代表歐美跨境數(shù)據(jù)流動問題就一勞永逸。
一方面,新協(xié)議還將面臨歐洲最高法院(Europe Court of Justice,ECJ)的審查,而是否能通過審查仍然存在較大的不確定性。數(shù)據(jù)保護活動家Max Schrems即認為“隱私保護協(xié)議”遠遠達不到ECJ的要求,他主張在美國沒有停止大規(guī)模的網(wǎng)絡審查之前,應該中止跨境數(shù)據(jù)流動。①http://europe-v-facebook.org/PS_update.pdf類似的,長期致力于數(shù)據(jù)保護的歐洲議會議員Jan Philipp Albrecht也認為該協(xié)議不會在ECJ上得到通過。②http://www.greens-efa.eu/eu-us-data-protectionsafe-harbour-15127.html由所有歐盟數(shù)據(jù)保護機構(gòu)代表組成的歐盟數(shù)據(jù)隱私監(jiān)管實體第29條工作組(Article 29 Working Group)對《隱私盾協(xié)議》也發(fā)表了最終評估意見,認定其不符合歐洲數(shù)據(jù)隱私保護原則。③http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/press_release_ shield_en.pdf盡管該評估結(jié)果僅僅只是作為歐盟委員會的參考意見,但輿論同樣認為這對于新協(xié)定的最終通過蒙上了陰影。④http://www.natlawreview.com/article/privacy-shield-rejected-gdpr-accepted-what-means-to-your-organization-and-what-you
另一方面,新協(xié)議并未能從根本上解決歐美在數(shù)據(jù)跨境流動上的核心沖突。就歐盟而言,其核心利益是公民的數(shù)據(jù)隱私保護問題;就美國而言,對于國家安全的考慮仍然勝過對于公民數(shù)據(jù)隱私的保護。⑤http://fortune.com/2016/02/01/no-deal-safe-harbor/正因為此,美國國內(nèi)的大規(guī)模網(wǎng)絡審查,以及歐洲公民難以通過美國國內(nèi)法院或獨立機構(gòu)尋求數(shù)據(jù)權(quán)利保護(相反,美國公民可以在歐洲尋求權(quán)利保護)便成為歐美之間的核心分歧。新協(xié)議中,美國政府所給出的書面承諾有助于緩解歐盟的擔憂情緒,但這并不代表美國做出了根本轉(zhuǎn)變,例如美國參議院司法委員會在同期通過了《司法救濟法案》(Judicial Redress Act)。這一法案本來是試圖允許歐洲公民在數(shù)據(jù)隱私受到侵害時可以尋求美國聯(lián)邦機構(gòu)的保護,但在法案通過前的最后時刻,“不得損害國家安全”這一前提仍然被加入其中。媒體認為,這一變化直接導致了新協(xié)議最終未能在截止日期之前(即1月底)達成。⑥http://fortune.com/2016/02/01/no-deal-safe-harbor/
在對《隱私盾協(xié)議》的初稿做出進一步修改后,2016年6月底歐盟最終對歐美跨境數(shù)據(jù)流動的新協(xié)議開了綠燈。最后的修改主要明確了三個方面:一是從歐洲傳送至美國的大規(guī)模數(shù)據(jù)收集必須提前獲得許可,且必須盡量明確目標和限定范圍;二是當最初的收集目的改變時,相關公司應刪除數(shù)據(jù);三是要求對相關數(shù)據(jù)問題進行監(jiān)管的監(jiān)察員必須獨立于美國家安全局。⑦劉耀華,石月.歐美“隱私盾”協(xié)議及對我國網(wǎng)絡數(shù)據(jù)保護的啟示[J].現(xiàn)代電信科技,2016,46(5):12-16.至此,歐美終于再次對跨境數(shù)據(jù)流動達成政策共識,新的國際合作再次形成。
值得注意的是,當前的國際合作仍然是脆弱且充滿了不確定性。盡管諸多公司都認為,《隱私盾協(xié)議》的最終達成象征了歐美在跨境數(shù)據(jù)流動規(guī)制領域“相互信任”的恢復,但未來前景遠不如看上去那么樂觀。這一方面是由于美國并沒有從根本上做出改變,自“9·11事件”后發(fā)生巨大轉(zhuǎn)折的美國國內(nèi)規(guī)制制度到目前為止并沒有做出本質(zhì)性的調(diào)整,因而歐美間的制度分歧仍然持續(xù)存在。另一方面,美國國內(nèi)規(guī)制部門越來越多地表達了其對境外數(shù)據(jù)“管轄權(quán)”的興趣,最明顯的例子便是微軟公司狀告美國司法部一案。司法部為搜查某涉毒人員的電子郵件信息向微軟公司索要相關數(shù)據(jù),但該數(shù)據(jù)卻存放在位于愛爾蘭的數(shù)據(jù)中心。美國司法部卻認為,它有權(quán)向總部位于美國境內(nèi)的任何企業(yè)索要該企業(yè)用戶的電子郵件內(nèi)容,無論其數(shù)據(jù)是否存放在美國境內(nèi)。⑧https://www.theguardian.com/technology/2015/sep/09/microsoft-court-case-hotmail-ireland-search-warrant2016年7月,美國第二巡回法院裁定微軟公司勝訴,判決司法部無權(quán)要求微軟提供存儲在美國境外的數(shù)據(jù)。①https://www.theguardian.com/technology/2016/jul/14/microsoft-emails-court-ruling-us-government這一判決進一步緩和了跨境數(shù)據(jù)流動的規(guī)制沖突,但美國司法部門在此案中所表達出的強硬態(tài)度卻仍然使得人們不得不擔憂國際合作的未來脆弱性問題。
伴隨著數(shù)字經(jīng)濟全球化程度的加深以及全球互聯(lián)網(wǎng)日益緊密地結(jié)合在一起,跨境數(shù)據(jù)流動已經(jīng)成為時代發(fā)展的必然要求;但另一方面,不同主權(quán)國家規(guī)制傳統(tǒng)與制度環(huán)境的差異卻使得跨境數(shù)據(jù)流動的規(guī)制沖突日益嚴重,達成政策共識的可能性日漸困難。但即便如此,本文的分析指出,在不對各國國內(nèi)制度環(huán)境做出根本調(diào)整的前提下,國際合作依然是可能的。
本文并不試圖對未來的政策改革提出具體的政策建議,但本文對歐盟與美國跨境數(shù)據(jù)流動國際合作演變歷史的回顧,卻有利于更清晰地認識全球數(shù)據(jù)治理的當前現(xiàn)實與核心沖突。需要指出的是,盡管憑借其商業(yè)公司的壟斷地位,美國的確在全球數(shù)據(jù)治理中占據(jù)優(yōu)勢地位,但這并不代表在跨境數(shù)據(jù)流動領域存在美國霸權(quán)。從本文分析中可以看到,美國國內(nèi)制度也在經(jīng)歷著復雜的動態(tài)變化,并因此對國際治理體系產(chǎn)生了不同影響。也正因為如此,片面強調(diào)美國霸權(quán)主義并因此倡導割裂全球數(shù)據(jù)流動的政策取向,可能并非是最優(yōu)的政策選擇;認識到跨境數(shù)據(jù)流動的全球不可分割性,并因此尋找政策共識和國際合作的空間與可能性,才是走向“互聯(lián)互通、共享共治”的正確途徑。
Con fl ict and Cooperation:Evolvement of Trans-Border Data Flows between US and EU
JIA Kai
The global expansion of digital economy has already made trans-border data flow essential and critical,while the differences of regulation and institution environment between sovereign states result in divergence and con fl icts.However,the history of EU-US trans-border data fl ow governance protocol proved the possibility of policy consensus and international cooperation without unifying different domestic institution systems."Safe Harbor" represented the initial policy consensus while "9·11" event indicated the transformation of US domestic regulations which resulted the current con fl icts.“Privacy Shield” opened new room for the fragile international cooperation.
trans-border data fl ow,regulation con fl ict,international cooperation
F49; TP393
A
1001-4225(2017)05-0057-08
(責任編輯:鐘宇歡)
本文是首都師范大學文化研究院重大研究項目“互聯(lián)網(wǎng)+城市治理:智慧城市2.0的理論與政策研究”(項目號:ICS-2016-A-03)的階段性成果。