聚焦美国和欧盟“隐私护盾公约”（下）

　　情报界的相关义务

　　个人隐私的保护需求和情报分析人员相关需求之间的潜在紧张关系，是造成最后的“隐私护盾”文件如此复杂的主要原因，也是美国和欧盟谈判耗时这么久来替代“安全港”原则的主要原因。美国人和欧洲人都认识到了恐怖主义的扩散危机，以及个人恐怖分子和他们网络的隐蔽性。

　　在斯诺登事件之后，美国国家安全局（NSA）和美国情报界的其他部门摒弃了大规模情报收集和监视技术，取而代之的是更有针对性的方法。监视是由1978年通过的“外国秘密情报监视法案（the secret Foreign Intelligence Surveillance Act，FISA）”来许可的。相关监视授权和基于“外国秘密情报监视法案（FISA）”的监听都划入级别很高的密级。无论是美国国会还是美国情报界都不会给予欧盟官员自动的授权认证，尽管与盟国逐案磋商也始终是可行的。

　　从这种现实情况来看，“隐私护盾”相关办法能够达到的最佳状态（从隐私拥护者的立场来看），就是发表一个宣言。宣言中最好包含以下内容，例如，关心限制搜集电子信号的美国国家情报总监的公开信、总统的相关指令和某些行政命令。

　　美国信号情报活动必须始终是量身定做的，并考虑其他信息资源的可用性。这意味着，除其他事项外，只要可行，信号情报搜集活动将更有针对性，而非批量进行。

　　“保护伞”协议，包括24页的法律文本，只是增加了一小部分有关信号收集方面的美国自我限制，这也受到欧盟议会相关成员的批判。

　　然而，在“隐私护盾公约”相关的其他地方，美国同意在美国国务院设立一个巡视官岗位，来调查来自欧盟机构关于美国情报机构权力滥用的相关投诉。当接到投诉以后，巡视官将可能要么作出以下回应：情报机构已经遵从了法律承诺；要么将表示“此种违规已经得以纠正”。巡视官并不会透露某个人是否实际上被监视或者相应的具体细节。欧盟成员国在向美国情报机构传输他们自己的个人资料时，可以就资料的使用和继续传输添加条件。

　　加密和授权

　　情报界避免了“隐私护盾公约”中严厉的限制措施。但是，由于斯诺登的爆料，两个事件限制了美国国家安全局的监视范围。首先，加密的能力已经达到一定的水平，即使是普通个人也可以加密他们的通信信息，使得实际上他们的信息很难被解码。以脸谱为例，脸谱为其用户提供了发送和接受加密信息的选项，就算对脸谱自身也是不可读的，同样，美国国家安全局（NSA）和美国联邦调查局（FBI）也无法获取相应的信息。如果这项技术被广泛应用，将有可能变成隐私倡导者、恐怖分子和犯罪分子等的终极武器。

　　其次，像谷歌和苹果等大公司已经宣布，在没有授权的情况下，他们将不会与美国国家安全局（NSA）的相关数据搜寻进行合作。虽然承诺对法律程序所要求的政府数据收集作出快速反应，但由10个技术公司组成的政府监督改革联盟（the Reform Government Surveillance coalition），也强烈支持修改2015年美国自由法案（已经于2015年6月2日变成法律），以对美国国家安全局（NSA）海量数据收集进行限制。

　　对于相关方面的对抗，最近就有一例，微软最近成功在法庭战胜了美国司法部，成功阻止了其试图获得在爱尔兰都柏林服务器的电子邮件信息。上诉第二巡回法院裁定，美国的权证将不能获得存储于美国领土以外相应数据。司法部将有可能将这一裁决向美国最高法院上诉，司法部也正在考虑与特定的外国政府签署一个互助公约，以在美国和海外获得授权，来获得相关合作国家存储的数据。

　　跨大西洋贸易和投资伙伴协定的卷入

　　随着英国从欧盟脱离以及奥巴马总统将在短期离任，跨大西洋贸易和投资伙伴关系协定（negotiations over the TransAtlantic Trade and Investment Partnership，TTIP）的谈判前途未知。欧盟专员Cecilia Malmstrom和美国贸易谈判代表Michael Froman仍然继续碰面，但是如果Cecilia Malmstrom在“隐私护盾”谈判中仅仅扮演一个小角色，而Froman大使也只不过最多是个配角（美国贸易谈判代表并不属于内阁官员，不能直接或间接向欧盟委员会发函），事情就不太好办。在这种情况下，“隐私护盾”涵盖的公民隐私问题将在TTIP重新审议的可能性似乎不太可能。

　　然而，更有可能的是，TPP第14章中的数据自由流动和反本土化特征，将在TTIP的第32章中得以体现。对于个人数据而言，任何TTIP的规定将与“隐私护盾”一致；企业在将他们的数据跨大西洋传输过程中或者在传输至欧洲之外的其他目的地时，必须对此加以保证。TTIP很有可能采用在TPP中确立的电子商务自由活动相关规定，因为数据自由流动和反本土化政策已经在大西洋的两岸都得以实践和应用。

　　跨太平洋伙伴关系协定（TPP）中电子商务章节

　　比较TPP第14章及“隐私护盾公约”条约，是有一定的启发性的。这两个协议涵盖了相关的大部分领域，但它们的起源并不相同，导致产生不同的任务方向。“隐私护盾”谈判主要关注在数字时代保护隐私；TPP第14章的目的是主要是确保数据的自由流动和数据最小程度的本土化。

　　“隐私护盾”协定有点长篇大论；相反，TPP第14章仅仅只有几页。针对特定国家的例外情况，在TPP第14章中只包括文莱、马来西亚和越南。如果获得批准，美国的新的TPP义务将立法中得以明确。如果需要，第14章需要进行美国式法令的修改，尽管很有可能只是监管式的改正（例如，2015年司法赔偿法案将可能被扩展至覆盖一些TPP国家的公民）。

　　对于个人隐私，TPP第14章相比“隐私护盾”相关隐私保护要求并不高。在承认保护个人信息的重要价值之后，第14.8条款接着将相关责任赋予每一个TPP成员国家。

　　为此，每一缔约方应采取或维持一个法律框架，保护电子商务用户的个人信息。在保护个人信息的立法框架的发展过程中，每一缔约方应考虑相关国际机构的原则和纲领。

　　上述文字使得TPP成员国可以就“隐私护盾”相类似的精神进行立法，但不需要过于复杂。此外，虽然第14章的规定与TPP第28章的争议解决方案相似，救济仅限于国与国之间的法律程序；个人和公司并不符合第28章的要求。在任何TPP成员国对于在其他TPP成员国不恰当法律或者执法行动的成功投诉之前，需要几年的时间。

　　TPP第14.11条款（“通过电子手段进行跨国界信息转移”）强烈反对但又并不禁止数据的本土化。

　　每一缔约方应允许通过电子手段进行跨国界信息转移，包括个人信息的跨国转移，当这个活动为了一个受保人的商业活动而进行时。

　　本规定不得阻碍任何缔约方采取并维持与第2款不一致的以实现合法公共政策为目标的措施，只要该措施满足以下条件：

　　（a）该措施并不应用于以下方式，该方式可能构成任何一种专断的或者不合理的歧视或者一种变相的贸易限制。

　　（b）该措施不能对信息传输采取更多的限制，仅仅在达到相应的目标时才可以采取相应限制。

　　这项规定的原因是数据本土化的相关条件的经济后果非常消极。满足相应规定的成本，对于大企业和小企业都非常大。如果本地的数据中心并没有自己的大型公有云系统，他们可能要求30%~50%更多的服务空间。跨国公司可以处理由于强迫的数据本土化而产生的高额成本。相比之下，中小企业可能就会简单地放弃了他们的市场扩张计划。俄罗斯的数据本土化法律，例如，强迫谷歌和苹果建立本土的数据中心，这样个人数据能够保存在当地的服务器上。Bauer等人在2015年指出，仅仅实施俄罗斯的隐私保护法律，就会花掉俄罗斯GDP的0.27%。

　　TPP第14章回避了情报需求和个人隐私保护的紧张关系。第14.2条款（“范围和一般规定”）并没有对情报界施加任何压力。TPP并没有包含任何规定，用来保护强大的加密技术，这就是第8章附件中有关技术性贸易壁垒的阐述。随着苹果手机相关情况的披露，强大的加密技术能够为执法部门和情报机关制造强力的障碍。因此，TPP间接地实际上保护了个人隐私，但损害了情报界的利益。

　　世纪贸易组织（WTO）和服务贸易协议的相关模式

　　由于隐私保护和电子商务都是全球关注的问题，世界贸易组织（WTO）成员在经历了多哈回合谈判的痛苦之后，该组织正在考虑进行一次全新的多边谈判。如果能够进行得更快，相关的50个国家将参与多边贸易服务协议（plurilateral Trade in Services Agreement，TiSA）协商，这些国家可能决定加入一章内容来表述电子商务和个人隐私相关事务。

　　总的来说，TPP第14章相比“隐私护盾”似乎提供了一个更加恰当的启动模式，基于两个理由。首先，它避免与情报界进行正面纠缠。美国和其他情报领域的重要国家（英国、法国、德国、中国和俄罗斯）将强烈抵制让信息情报的收集与外部监管重合的提案。

　　其次，TPP第14章将可以提供一个更好的起点，因为复杂的欧盟系统“隐私护盾”执行制度，对于WTO和TiSA来说，将意味着激进的变革。贸易协议中的合规性问题和争端，几乎总是以国家与国家之间为基础来解决的。如果国家想强迫企业来保护个人隐私数据，他们可以以国家权力为基础来操作，正如TPP第14章所许可的那样。相比之下，“隐私护盾”需要美国公司向美国商务部进行自我认证，并且由美国联邦贸易委员会（Federal Trade Commission，FTC）调查和实施相关规则。它最终看上去是由欧盟机构来确认是否合规，然而，双重的授权看上去很繁杂，尤其是如果扩大到50个或者更多国家。

　　“隐私护盾”似乎超越了WTO的能力，并将在不久的将来被采用。然而，一个全球性保护数据自由流动和防止强迫数据本土化的框架，将进一步确保世界贸易的最主要动态组成部分能够实现其全部发展潜力。个别国家可以从美国与欧盟“隐私护盾”和欧盟主要的数据保护措施中学到一定的东西，以形成符合自身发展情况的隐私保护办法。没有理由认为，数据自由流动需要将阻碍国家措施才能保护公民隐私。

　　为了反映这些结论，2016年7月1日，美国贸易代表向WTO提交了一份建议书，通过一份电子商务领域内的协议来升级服务贸易总协定（the General Agreement on Trade in Services，GATS），三页左右内容列出了下面主题，“通过电子和数字办法可以为贸易的繁荣做出有价值的贡献。”这些主题包括以下内容：

　　1.禁止对数码产品征收关税；

　　2.确立国外和国内企业之间的非歧视原则；

　　3.允许企业和消费者在他们认为合适的时候移动数据；

　　4.防止本土化障碍；

　　5.禁止强迫技术转移。

　　WTO的其他成员是否欢迎TPP第14章所构建的方法，目前还有待观察。如果他们欢迎，很有可能在两三年内达成协议。相反，如果大部分WTO成员坚持认为，GATS公约必须包含直接针对企业的隐私保护机制，或者在GATS的数组规则下试图限制情报搜集，谈判将会持续很长一段时间。

　　（全文完）

　　聚焦美国和欧盟“隐私护盾公约”（上）

　　译自：2016年8月【美国】彼得森国际经济研究所网站

　　编译：工业和信息化部国际经济技术合作中心 杨正泽