三分彩和值计划欢迎您的到來!

<bdo id="ybgdt"><xmp id="ybgdt"><bdo id="ybgdt"></bdo>

<menuitem id="ybgdt"><xmp id="ybgdt">

<samp id="ybgdt"><font id="ybgdt"><menuitem id="ybgdt"></menuitem></font></samp>

<bdo id="ybgdt"></bdo>

分類

我們需要什么樣的數據跨境規則?

雷鋒空島 2019-07-12 11:17:14


本文來自微信公眾號:騰云?(ID:gh_38bc5c7fd1c1),作者:張穎,排版:陳云,頭圖來自:東方IC




今天的文章,我們將關注另一個重要的問題:數據的跨境流通規則。


以歐盟和美國為例——


2000年,美國商業部跟歐洲聯盟簽署“安全港”協議(SafeHarbor),該協議規定,企業必須得到允許才能把用戶信息傳遞給第三方,并允許個人訪問這些被收集的數據。這是第一個用于處理歐美個人隱私問題的框架。


2013年,“棱鏡門”事件曝光,歐盟發起了一系列針對美國企業的調查。在歐盟的要求下,雙方加速進行了數據保護總協議的談判。2016年,“隱私盾”正式取代“安全港”,成為兩國數據傳輸的最新框架協議。


從“安全港”到“隱私盾”,都是在數據保護思路上存在巨大分歧的兩個經濟體不斷妥協、讓步最終達成共識的結果。這將為全球數據跨境規則的制定提供寶貴的參考。


歐盟在個人數據保護方面,一直采取嚴格立法,其嚴格程度遠遠高于美國。歐盟擔憂個人數據流動到美國后,難以獲得有效的保護;美國則認為歐盟嚴格的個人數據保護模式大大增加了美國互聯網企業進入歐盟市場的成本,是一種以保護個人數據為名的市場保護策略。


美國互聯網企業因為數據問題在歐盟屢屢受挫,美國前任總統奧巴馬這樣分析歐洲對Facebook和Google的調查:“在某些問題上,被描述為高尚立場的東西,有時只是為了攫取它們的一些商業利益”。


從安全港協議(U.S.-EU Safe Harbor Framework)到隱私盾協議(Privacy Shield Framework),美歐在雙方數據保護立法存在巨大差異的情況下,通過協議的模式維持了近20年的個人數據跨境傳輸。


在這近20年的時間里,信息技術快速發展,互聯網產業蒸蒸日上,同時數據泄露風險越來越大,網絡安全問題層出不窮,全球關于數據保護的認識不斷加深。


這些變化給美歐的數據跨境協議帶來挑戰。


2013年,“棱鏡門”事件打破了歐盟對美國的信任。2015年,歐盟法院判決安全港協議無效。這些挫折沒有使雙方放棄努力,2016年美歐迅速達成了新的隱私盾協議。美歐的數據跨境規則既體現了雙方在價值理念、經濟效益等方面的博弈,也體現出美歐在尋求合作的過程中的妥協和讓步。


“棱鏡門”事件揭秘者愛德華·斯諾登通過視頻現身比特幣2019大會,稱“比特幣沒有隱私”。/Diana Aguilar


一、美歐個人數據保護立法思路迥異


美國和歐盟的隱私立法存在很大分歧。


他們的基本理念是不同的:在美國,隱私法側重于糾正對消費者的損害,并通過有效的商業交易來平衡隱私保護。在歐盟,隱私權被譽為一項可以凌駕于其他利益之上的基本權利。


個人數據的定義和范圍、立法模式、保護方式等方面上存在的差異使得美歐之間的數據跨境面臨困難。


關于個人數據的定義和范圍,歐盟有清晰的法律規定。


歐盟95指令(The European Commission's 1995 Data Protection Directive,下文簡稱95指令)中關于個人信息的定義為可識別或已識別個人的信息;2018年5月25日生效的《通用數據保護條例》(General Data Protection Regulation,下文簡稱GDPR)中關于個人信息的定義是能夠直接或間接識別個人的信息。


歐盟沒有區分保護直接識別與間接識別的個人信息,只要認定為個人信息,都受到同等的法律保護。在個人信息中,將宗教信仰、政治觀點、有關健康及性生活數據等信息特殊分類,作為“敏感信息”重點保護。


而美國的立法中,關于個人信息的規定散見于各個單獨的立法中,比如在信用卡相關的立法中規定信用卡數據,教育相關的立法規定學生教育信息。比較統一的做法是各州的《數據泄露通知法》(Data Breach Notification Law)將個人信息限定于已識別的信息。只有在少數立法中,才會將可識別的信息納入個人信息的范圍,例如《兒童在線隱私保護法》(Children Online Privacy Protection Act)。


確定個人信息的范圍之所以重要,是因為個人信息的認定決定法律保護范圍,只要不屬于個人信息,就不會受到個人數據保護法的約束。


美國大部分個人數據保護法律只保護已識別信息,而歐盟的個人數據則包含可識別信息。很多在歐洲能夠受到嚴格保護的信息在美國可能不屬于個人信息范疇,難以獲得法律保護。


其次,從立法模式上來說,《歐洲人權公約》和《基本權利憲章》規定了對隱私權和數據權利的保護,前者是一個國際公約,后者是歐盟重要的憲法文件。


95指令和GDPR詳細規定了保護個人數據的原則、標準、處罰等。在歐盟范圍內,個人數據權利與隱私權擁有憲法權利的地位,保護標準非常嚴格。


與此相反,美國憲法中沒有歐盟概念下的隱私權保護,憲法第四修正案僅僅保護公民的個人信息不受政府不合理的搜查。相反,美國憲法著重強調言論自由的權利。而言論自由與個人數據權本質上存在沖突。


言論自由包括獲取信息的權利與發表言論的權利,信息流通是言論自由得以實現的前提和保障。美國十分重視公共討論對于代議制民主及民主決策的意義?;诿绹倪@種觀念,保護隱私很多時候會與言論自由發生沖突。


最后,從保護模式上來說,歐盟將個人信息、隱私保護上升到了基本權利的高度。


GDPR明確允許對“實質或非實質損害”進行賠償。當個人信息被濫用時,救濟并不依賴于發生貨幣或財產利益的損害,在隱私受到嚴重侵犯的情況下,可以以非實質損害為由獲得損害賠償。


而美國的保護模式則是消費者視角,歐盟語境下的數據主體在美國是市場的參與者,應該遵循市場交易規則。只有受到實際的損害,其權利才能得到法律保護。


不僅如此,美國一直堅持盡可能少地對市場進行監管,就數據跨境流通而言,美國的一般規則是不設限制,個人數據流動只要不觸犯特殊領域的規定就可以自由流通。而在歐盟則是以本地化政策為原則,除非通過法律允許的方式,個人數據不得跨境流通。


二、歐盟嚴格標準影響全球


歐盟嚴格的個人數據保護立法讓互聯網企業在歐盟市場中束手束腳,盡管互聯網企業已經很努力去達到GDPR的要求。


從2018年5月GDPR生效以來,已經有不少企業被罰,其中,法國數據保護監管機構國家信息與通信委員會對Google開出的5000萬罰單讓人矚目。


不僅如此,作為GDPR特別法的《電子隱私條例》(ePrivacy Regulation,目前尚未生效)對于網絡即時通訊等OTT服務(即“over-the-top”服務,通常是指內容或服務建構在網絡基礎服務之上,而不需要電信運營商額外的支持)中的個人數據實施更加嚴格的規則,保護范圍更加廣泛。


歐盟依托其巨大的市場,用嚴格的個人數據立法制約著其他國家在歐盟提供服務的互聯網企業。


充分性認定、標準合同以及有約束力的公司內部規則,本質上都嵌入了歐盟嚴格的個人數據保護要求,互聯網公司無論使用哪種方式,都不得不在事實上接受歐盟的個人數據保護規則。


不僅如此,歐盟的嚴格保護模式甚至會自下而上地影響其他國家的數據保護立法。2018年,印度、巴西等國紛紛制定隱私保護法,其內容與GDPR有很多相似之處。


歐盟雖然沒有強大的互聯網企業,但強大的市場力量和監管能力、隱私標準的不可分性與不可規避性讓歐盟能夠在全球市場中占據優勢,迫使世界其他國家或地區接受與歐盟同樣的規則標準,進而增強歐盟在國際規則制定中的主導權和影響力。


首先,歐盟具有強大的市場力量,歐盟2017年的GDP為17.27萬億美元。如此巨大的經濟體量意味著巨大的消費能力,為了留在歐盟市場,互聯網企業只能增加合規成本,被動接受歐盟的嚴格規制。


其次,歐盟具備監管能力,從成員國到歐盟層級,都有對應的數據保護機構,Facebook、Google被調查罰款,顯示了歐盟強大的監管能力。


標準的不可分性是指對于在歐盟提供服務的互聯網企業而言,針對歐盟單獨制定隱私保護政策的成本大于在全球范圍內統一適用歐盟標準的成本。由于大數據、云計算等技術的發展,互聯網公司的服務越來越互聯共通,難以分割,要想將歐盟業務隔離出來單獨處理,成本反而更加高昂。


不可規避性則是指歐盟的個人數據保護是以在歐盟提供服務為標準確定管轄范圍的,互聯網企業難以通過其他手段規避監管。


綜合上述四個要素,在個人數據保護領域,歐盟實際上掌握了制定游戲規則的權力。


具體到美歐之間的數據跨境,美國從未進行過歐盟的充分性認定,因為結果是顯而易見的,美國的個人數據保護標準與歐盟相差甚遠。有約束力的公司內部規則與標準合同的適用都需要經過歐盟成員國數據保護機構的監督和審查,程序繁瑣,要求嚴格,難以滿足美歐之間的數據貿易需求。


于是安全港協議應運而生,該協議涵蓋了一系列歐盟有關個人數據保護的原則和要求,例如數據主體有權反對將其個人數據傳輸給第三國、確?!懊舾袛祿钡拿鞔_統一、數據主體對其個人數據有權獲取并進行更正等。


美國企業只有接受并順利通過該協議項下的資格認證,才能獲得來自歐盟的相關數據。2015年安全港協議無效后,美歐積極參與新的數據跨境協議的制定,2016年隱私盾協議生效,基本延續了安全港協議的模式。


無論是安全港協議還是隱私盾協議,其本質上都是開發一種變通的方式,在美國無需通過立法達到與歐盟同等保護水平的前提下,讓美國互聯網企業事實上遵循95指令及GDPR中的歐盟規則。


目前通過隱私盾認證的營業中的企業有4671家,囊括了幾乎所有美國互聯網巨頭。由于互聯網企業統一采取歐盟標準的成本更低,所以在個人數據保護方面,通過隱私盾認證的美國企業事實上在全球業務中遵循著歐盟標準。


除了約束企業,隱私盾協議進一步加強了對行政行為的制約,限制美國政府不加選擇地收集大量歐洲公民的數據。


2016年2月24日,奧巴馬簽署了《司法救濟法案》,賦予歐洲公民與美國公民同等的司法救濟權,歐洲公民有權針對美國政府不當披露個人信息的行為提起起訴,保障歐洲公民的權利救濟途徑。這么看來,即使美歐另辟蹊徑,創設了一條雙邊協議的道路,歐盟似乎仍然牢牢掌握著話語權。


三、在沖突中尋求協調


然而,沖突只是硬幣的一面,在嚴格個人數據保護立法影響全球的同時,歐盟實際上也在積極尋求數據跨境流通的國際協調與合作。為了維系與世界各國的數據貿易,歐盟不得不做出妥協和讓步。


與其說是歐盟主導著世界個人數據保護規則的建立,不如說是各個國家綜合國內立法需要與數據保護共識形成的一種協調模式,歐盟即使擁有強大的影響力,也只是這個協調網絡的參與者而非主導者,只不過相比于其他國家,歐盟在這個模式中具有更強的影響力和話語權。


1、歐盟:尋求合作以促進數據流通


歐盟在95指令中的數據跨境規則是以禁止個人數據流出境外為原則,充分性認定為例外,歐盟的初衷是實施嚴格的數據本地保護。充分性認定由歐盟委員會負責,標準嚴格,涉及數據流入國法律制度、保護技術、管理水平等全方位的評估。直至2019年,通過歐盟委員會認定的國家和地區只有11個。單憑充分性認定顯然難以滿足21世紀歐盟對于個人數據跨境流動的需求。


在此背景下,歐委會在2001年及2004年分別發布第一版和第二版標準合同條款(Model Contractual Clauses)。2003年,29條工作組承認有約束力的公司規則(Binding Corporate Rule)是個人數據跨境傳輸的一種合法方式。


從保護個人數據的目的出發,歐盟可以只依靠充分性認定這一種方式來最大程度地保護個人數據,并且充分性認定必然會最大程度地迫使其他國家接受歐盟數據保護及數據跨境規則。


然而歐盟卻在積極地創造其他促進數據流通的方式。歐盟采取了種種變通手段促進了歐盟個人數據跨境流通,這與歐盟極度推崇個人數據權利與隱私權的理念是相悖的。


美歐之間的安全港協議及隱私盾協議,也體現了歐盟的妥協和讓步。安全港協議由美國企業自愿加入,是否遵循協議標準也是由美國監管機構監管。歐洲公民對美國公司提出的大多數索賠在美國進行,并要適用美國的法律。不僅如此,這項協議是歐盟層面簽署的,此協議下的美歐個人數據跨境傳輸無需成員國的批準。


此外,有學者做過一次調查統計,結果顯示從2000年到2015年接近16年的時間里,針對《安全港協議》的投訴案件遠遠超過1300件,而最終獲得執行的卻只有40件,且在這40件獲得執行的投訴案件中,僅有兩家公司最終被執行了罰款處罰。


顯然,在安全港協議中,歐盟僅僅在制定標準上占據上風,協議的具體實施還是掌握在美國手里。之后的隱私盾協議雖然在很多方面強化了美國企業與美國政府的責任,比如增加了歐洲公民向本國數據保護機構提起投訴的規定、增加了企業年度自檢的要求、加大了處罰力度、約束了美國政府的行政行為,等等,但是關于隱私盾“換湯不換藥”的質疑聲從未斷過,相比保護個人數據安全,隱私盾想要為美歐數據傳輸重新開方便之門的意圖更明顯。


2、美國:逐漸重視隱私保護


崇尚市場自治的美國也開始轉向,從企業層面上來看,美國的互聯網企業在個人數據保護方面深受歐盟數據保護規則的影響。


美國互聯網巨頭企業的隱私政策幾乎都是按照GDPR的標準制定的;Facebook與蘋果都通過各種方式試圖拒絕FBI從其服務器調取數據;Facebook為了保護歐盟用戶數據不受美國政府控制,甚至在瑞典設立了數據中心。


在GDPR生效的四天前,微軟總裁布拉德·史密斯在推特上寫道:“我們相信隱私是一項基本人權”。蘋果公司首席執行官蒂姆·庫克也以同樣的方式告訴CNN:“隱私是一項基本人權”。


這種將隱私權拔高到基本人權的觀念一直是歐盟隱私保護的典型特征。美國的互聯網企業,出于多方因素考量,幾乎都選擇了積極主動遵守GDPR。數據保護合規能力成為了一項競爭優勢。


上升到立法層面,美國民眾關于加強個人數據和隱私保護的呼聲越來越強烈。


Facebook數據泄露案讓美國民眾對于隱私保護現狀極度不滿,個人數據的非法使用已經危及到美國人民引以為傲的民主制度。


2018年6月28日,美國加州公布了《消費者隱私保護法案》(簡稱CCPA),對企業提出了更嚴格的通知、披露義務,并且就數據泄露規定了損害賠償金額,一改美國法院堅持的數據泄露沒有實質損害不進行賠償的司法慣例。


這部美國最嚴格隱私立法有很強的GDPR色彩,但仍能看出加州立法還是在追求數據保護和數據流通的平衡中,保留了美國底色:CCPA在適用對象上排除了中小企業;在保護范圍中排除了集合數據和去標識化數據;在通知義務方面,延續了Opt-out模式(指在沒有用戶的許諾下單方面地發送廣告郵件的行為);在不得歧視對待使用隱私權利的用戶方面,保留付費模式。


上述規定,很明顯地體現了美國務實的作風:促進數據流通、促進企業發展和技術創新。


美國通過調整國內立法,積極協調數據跨境流通規則,同時又保留美國核心理念,該妥協的妥協,該保留的保留,以期達到一個對各方都有利的效果。


結語


2019年1月,EDPB(European Data Protection Board,歐洲數據保護委員會)發布了美歐隱私盾第二次年度審查報告,報告表達了對美國政府獲取個人數據的擔憂,以及希望美國政府進行更多實質性的認證審查。同時也肯定了美國商務部和聯邦貿易委員會目前正在進行的監管努力,并且為企業提供了合規建議。


自Facebook數據泄露事件之后,美國國會以及數據監管機構密集舉行聽證會,業內人士、各領域專家、消費者團體及監管機構激烈討論,試圖尋找一條數據保護的出路。在數據保護這一復雜議題面前,無論是國內政策還是國際流通規則,美歐都在積極主動地尋求解決辦法。


美歐的數據跨境規則為全球數據跨境規則的制定提供了一種參考,歐盟還與瑞士簽訂了類似協議,表明這種模式是可以復制的。目前數據跨境流動的國際規則是碎片化的,缺少一個國際層面的管理機制,大部分情況下依賴單邊規制或者多邊協議,然而這只能解決小范圍的數據跨境需求。


未來的國際數據跨境流通規則的建立有賴于各個國家做出讓步和協調,共同在數據保護和數據跨境規則方面建立起國際協調網絡,美歐的數據跨境規則是這種模式的一個縮影。未來數據跨境國際規則的形成,必須依賴每個國家的積極探索以及國家間的借鑒和妥協。


本文來自微信公眾號:騰云?(ID:gh_38bc5c7fd1c1),作者:張穎,排版:陳云

*文章為作者獨立觀點,不代表虎嗅網立場
本文由 騰云 授權 虎嗅網 發表,并經虎嗅網編輯。轉載此文章須經作者同意,并請附上出處(虎嗅網)及本頁鏈接。原文鏈接:https://www.huxiu.com/article/308320.html
最好的贊賞是耐心閱讀并分享他人
贊賞
閱讀(2447) 評論(0)
三分彩和值计划 全天北京PK10在线计划 腾讯分分彩 腾讯1.5分彩精准计划 重庆时时彩计划

<bdo id="ybgdt"><xmp id="ybgdt"><bdo id="ybgdt"></bdo>

<menuitem id="ybgdt"><xmp id="ybgdt">

<samp id="ybgdt"><font id="ybgdt"><menuitem id="ybgdt"></menuitem></font></samp>

<bdo id="ybgdt"></bdo>