聚焦美国和欧盟“隐私护盾公约”(上)

  现代全球经济是由消费者、企业和政府部门通过互联网进行交流和信息交换来推动的。但是随着世界各地人们不断通过社交网络从事电子商务事务、寻找工作并分享生活方面的亲密细节,跨国公司存储的大量个人数据变得异常受关注。对于美国情报机关和执法机构来说,通过网络进行传输的信息可以轻而易举被截获。为了解决这些问题,美国和欧盟在2016年7月12日签署了“隐私护盾公约”,旨在在保护个人隐私的同时能够满足企业和政府的合法需求。

  公约体现了正当利益竞争者之间的合理妥协,但随着电子商务规模的扩大,对于隐私侵犯担忧的增长,以及美国正面临不断增长的恐怖主义、犯罪和网络黑客危险,原有的一些规定需要进行调整以适应新形势,尤其是在贸易、投资和电子商务方面出现全新国际协定的时候更加需要进行调整。

  隐私需要保护

  毫无疑问,一个全新的网络驱动的商业世界已经到来。据麦肯锡全球研究院研究显示,全球数据传输速度在2005年至2014年之间扩大了40余倍,从每秒5兆兆位扩大到每秒211兆兆位,而且仍然具有巨大的增长潜力。许多经济学家认为,这些经济活动正在对低迷的世界经济起到刺激作用。

  对于数据的自由流动和美国公司拥有的个人数据产生个人隐私风险的关注,已经困扰欧洲公众很多年了。为解决这些问题,欧盟在1995年出台了一项数据保护指令,用以确立个人隐私保护相关规范,主要涉及个人从事电子商务活动和通过大型跨国公司运营的社交网络和电子邮件系统进行交流相关方面的隐私问题。为了确保这些公司能够遵守欧盟的规范,美国和欧盟在2000年7月份协商达成了“安全港隐私原则协议”。根据该协议,跨国公司承诺尊重其拥有的用户数据的隐私权。欧盟企业已经受限于数据保护指令所规定的隐私规范,“安全港隐私原则”试图寻求在美国企业也确立同样的信息保护措施。该原则意味着,一个美国企业的欧洲子公司,在向它在美国的母公司传输个人客户数据时,在跨越大西洋的过程中,将被要求增加足够的数据保护。

  “安全港原则”并未能够存活下来。在2015年10月,欧洲司法法院在一个里程碑式的判决中(奥地利律师施雷姆斯控告脸书公司非法追踪用户数据一案)裁定无效,并裁定“安全港原则”并未能够阻止企业的数据文件泄露给未经授权的其他方,特别是泄露给情报机构,与1995年的数据保护指令完全雷同。法院的关注点受到爱德华?斯诺登披露的信息激励,斯诺登是前美国情报承包商,他揭露了美国国家安全局(NSA)曾经大面积从跨国公司数据库里从事数据收集工作,例如苹果、微软、脸谱、亚马逊和谷歌等公司的数据库。斯诺登揭示的秘密还包括从私人电子邮件和电话数据中进行情报搜集,并以对美国国家安全形成威胁为起始缘由来跟踪目标。

  在斯诺登事件之后,私营公司可能并不能证明他们的文件就能免于情报官员或者黑客的入侵。但在对恐怖主义、网络间谍和其他犯罪活动的担忧加剧之际,美国情报界坚持认为,必须保持跟踪此类犯罪活动的权力。

  2016年达成一项新的协议,就是“隐私护盾公约”,但是隐私倡导者和情报机构在这些问题上依然关系紧张。奥巴马政府认为,新的协议能够保护跨国公司保存的欧洲和其他地区公民的隐私数据,同时,也不妨碍情报界对于威胁信号的搜寻。跨国公司声称,他们很高兴看到数据的自由流动已经被美国相关政策视为重要优先级。但是,美国和欧洲的隐私倡导者仍然要求在企业的数据滥用和情报机关随意监督中获得保护,而不仅仅在公约中得以体现。

  该项隐私护盾措施不大可能是最后的版本。2015年美国自由法案(The USA Freedom Act of 2015)对经由美国国家安全局(NSA)及其他情报机构对电信元数据进行大容量搜集作出了新的限制。但是,美国国内外的批评人士担心,美国情报机构在获得金融、电信和互联网公司的信息方面拥有的权力过大,利用它们对个人信息超级存储能力来生产广告并销售产品。“隐私护盾公约”建立了一套监督制度以确保公司的正当性,并建立了一个仲裁机制向欧盟公民对于企业相关各项问题进行投诉开放。它还建立了一个监督机构,总部设于美国国务院,来调查欧盟对于情报收集方法的相关投诉。但这些保护措施在一些欧洲人眼里仍然偏弱。

  新技术正在日益改变世界。强大的全新加密功能使得个人在发送和接受信息方面,似乎超越了美国国家安全局的解码能力。主要的技术公司仍然继续通过美国国家安全局和它的姐妹机构批量收集数据,包括在美国存放的海量企业数据。一场与美国司法部(代表美国国家安全局)有关司法战正在进行,目标是探索美国企业海外数据相关问题,例如微软。

  最新进行协商的“隐私护盾”方案可以暂时满足个人、公司和情报机构的相关利益,但其相关规定有可能在未来与世界贸易体系中的其他参与者的协商中受到挑战。例如,在跨太平洋伙伴关系协定(Trans-Pacific Partnership Agreement,TPP)第14章(有关电子商务)中所确立的规范,已经签署但未获得美国批准,似乎对于世界贸易组织(the World Trade Organization ,WTO)的其他成员更加合适。这些规范侧重于确保数据的自由流动,并且阻止数据本土化,而不是限制国家情报机构的权力范围。

  隐私护盾和相关协议的司法结构

  “隐私护盾”公约的草案组成部分于2016年2月29日达成共识,实质上是欧洲委员会(European Commission)和多个美国高级官员之间的行政协议。这些构成要素打包进入美国和欧盟的协议,并于2016年7月12日公布。最终的欧盟方面的决定将提交欧洲议会和欧洲理事会,并由他们批准。十个类似的与其他欧盟伙伴的协议已经提交,但与美国之间的协议,显得异常重要。

  在美国“隐私护盾”公约中,包含商务部长的一份框架原则申明,以及六份内阁成员的信件。公约在原则方面的声明强调,这些隐私保护措施仅仅适用于美国相关组织(主要是企业),这些组织从欧盟接受个人数据,并且有资格满足相应的隐私保护特权。该原则不影响欧盟成员国范围内的个人数据处理方式,也不改变美国法律下隐私方面的相关义务。

  作为“隐私护盾”的补充,美国和欧盟“保护伞”数据隐私和保护协定,于2016年6月2日签署,其中确立了美国和欧盟的情报部门和警察部门针对恐怖主义进行个人数据传输的基本框架。“保护伞”协议并没有授权相关的数据传输或者限制用于传输的个人数据的数量和类型。它只是列举了一旦出现单独协议传输时处理数据的相关标准。

  在2016年4月27日,欧盟颁布了通用数据保护条例,它将于2018年5月25日生效。它将替代1995年数据保护指令,并具有更多的雄心,同时还将对商业企业负有更具体的义务。这一规定与“隐私护盾”公约和“保护伞”协议完全不同。

  “2015年美国司法赔偿法案”对“隐私护盾”和“保护伞”协议进行了补充,并于2016年2月24日由奥巴马总统签署。这一法案将使得美国司法部长能够将1974年美国隐私法的益处扩展到指定的外国公民。隐私保护法允许美国公民(现在是指定的外国公民)寻求法院的救济,如果他们的个人数据被错误地使用或者被某一公司或者政府机构非法披露,他们就可以寻求相关部门的帮助。为了满足法令的相关资格,某一外国国家必须满足所有三个下列条件。

  1.与美国达成相关协议,类似于“保护伞”协议,确认有关在联合调查的过程中共享数据的隐私保护问题。

  2.允许美国公司在美国和外国之间传输外国公民的数据。

  3.确保低层数据传输协议没有“实质性阻碍美国的国家安全利益”。

  至于美国方面,所有的一切已经得以落实来执行隐私保护协议的复杂网络,而无需国会的进一步批准。该协议将于2016年7月12日生效。美国商业部开始在2016年8月1日开始接受美国公司的自我认证。美国法院推翻整个协议中任何部分的几率非常小。

  欧洲的情况有所不同,尽管存在大量潜在的反对声音,无论是欧洲议会和欧洲理事会都批准了最后的欧盟最终决定。欧洲议会于2016年5月26日通过了最终决定,欧洲成员国(第31条委员会)于2016年7月8日批准了协议的最终版本,欧洲议会于2016年7月12日通过了相关决定。

  欧盟的最终决议将几乎肯定会在欧洲法院中遇到挑战。自从文件草案在2016年2月29日出版以后,不仅独立专家组成的the Article 29 Working Party,而且欧盟数据保护监督部门(the EU Data Protection Supervisors,EDPS),甚至一部分政府官员,都表达了批评意见。他们认为,企业应该在保护个人隐私方面做得更多,而且在他们犯错时也应该加重处罚。他们还质疑为美国国家安全局监控提供的空间太大,几乎能够俯瞰一切,而欧盟成员国情报机构也经常从事类似的监视。劳动党(The Working Party)和欧盟数据保护监督部门(EDPS)向欧洲议会做出报告,他们将帮助欧洲的反对势力在欧洲法院挑战最终的欧盟最后决议。然而,反对势力已经表示,他们将给与隐私保护措施一项一年期的试用期。

  美国企业的义务

  由于具有允许个人数据自由流动的条件,“隐私护盾”(the Privacy Shield)也将赋予美国企业以相应的义务。正如“安全港原则”,“隐私护盾”(the Privacy Shield)要求美国企业在将个人数据从欧盟传输到美国(或欧盟以外的地区)时,应该参与一项合同性协议,包括与美国商业部签署示范条款,采用企业原则来体现“隐私护盾”原则,或者加入到个别欧洲公民明确同意的协议里。处理人力资源数据的公司必须承诺遵守欧洲数据保护机构的建议。“安全港原则”涵盖了4500个美国企业;“隐私护盾”将可能以哪个数量为基础。

  “隐私护盾”包含一系列复杂的争议解决机制,并由一个仲裁机构来仲裁。美国企业必须进行自我认证,以确保其符合欧盟的规范。原则上,应该在45天以内解决欧盟公民的投诉。如果他们不这样做,欧洲公民可以求助于欧盟认定的免费的替代性争议解决机制。欧洲公民同样可以求助于他们自己国家的数据保护机构,这些机构将与美国商务部和美国联邦贸易委员会(FTC)合作来调查和解决相关的投诉。美国联邦贸易委员会(FTC)具有主要的执法权力,可以与个人企业订立协商一致法令来落实“隐私护盾”原则。如果通过这些手段还是不能解决某个问题,欧盟的公民可以最后激活仲裁方案,但必须支付自己的相关费用和律师费,而且仲裁庭也不能裁决赔偿金额。

  当欧盟通用数据保护条例在2018年生效时,“隐私护盾”的相关义务将得到加强,其中将包含一套独立的强制措施和包含金钱赔偿的惩罚措施。欧盟企业在向美国或者其他地方传输数据时,将被要求遵守欧盟通用数据保护条例和现有的欧盟规范。因此,欧盟企业实际上与美国企业一样受到同样的规范限制。

  (未完待续)

  译自:2016年8月【美国】彼得森国际经济研究所网站

  编译:工业和信息化部国际经济技术合作中心 杨正泽

(0)

相关推荐