首页科技快讯我们需要什么样的数据跨境规则？

我们需要什么样的数据跨境规则？

来源：晰数塔互联网快讯时间：2019年07月12日 10:42

本文来自微信公众号：腾云（ID：gh_38bc5c7fd1c1），作者：张颖，排版：陈云，头图来自：东方IC

今天的文章，我们将关注另一个重要的问题：数据的跨境流通规则。

以欧盟和美国为例——

2000年，美国商业部跟欧洲联盟签署“安全港”协议（SafeHarbor），该协议规定，企业必须得到允许才能把用户信息传递给第三方，并允许个人访问这些被收集的数据。这是第一个用于处理欧美个人隐私问题的框架。

2013年，“棱镜门”事件曝光，欧盟发起了一系列针对美国企业的调查。在欧盟的要求下，双方加速进行了数据保护总协议的谈判。2016年，“隐私盾”正式取代“安全港”，成为两国数据传输的最新框架协议。

从“安全港”到“隐私盾”，都是在数据保护思路上存在巨大分歧的两个经济体不断妥协、让步最终达成共识的结果。这将为全球数据跨境规则的制定提供宝贵的参考。

欧盟在个人数据保护方面，一直采取严格立法，其严格程度远远高于美国。欧盟担忧个人数据流动到美国后，难以获得有效的保护；美国则认为欧盟严格的个人数据保护模式大大增加了美国互联网企业进入欧盟市场的成本，是一种以保护个人数据为名的市场保护策略。

美国互联网企业因为数据问题在欧盟屡屡受挫，美国前任总统奥巴马这样分析欧洲对Facebook和Google的调查：“在某些问题上，被描述为高尚立场的东西，有时只是为了攫取它们的一些商业利益”。

从安全港协议（U.S.-EU Safe Harbor Framework）到隐私盾协议（Privacy Shield Framework），美欧在双方数据保护立法存在巨大差异的情况下，通过协议的模式维持了近20年的个人数据跨境传输。

在这近20年的时间里，信息技术快速发展，互联网产业蒸蒸日上，同时数据泄露风险越来越大，网络安全问题层出不穷，全球关于数据保护的认识不断加深。

这些变化给美欧的数据跨境协议带来挑战。

2013年，“棱镜门”事件打破了欧盟对美国的信任。2015年，欧盟法院判决安全港协议无效。这些挫折没有使双方放弃努力，2016年美欧迅速达成了新的隐私盾协议。美欧的数据跨境规则既体现了双方在价值理念、经济效益等方面的博弈，也体现出美欧在寻求合作的过程中的妥协和让步。

“棱镜门”事件揭秘者爱德华·斯诺登通过视频现身比特币2019大会，称“比特币没有隐私”。/Diana Aguilar

一、美欧个人数据保护立法思路迥异

美国和欧盟的隐私立法存在很大分歧。

他们的基本理念是不同的：在美国，隐私法侧重于纠正对消费者的损害，并通过有效的商业交易来平衡隐私保护。在欧盟，隐私权被誉为一项可以凌驾于其他利益之上的基本权利。

个人数据的定义和范围、立法模式、保护方式等方面上存在的差异使得美欧之间的数据跨境面临困难。

关于个人数据的定义和范围，欧盟有清晰的法律规定。

欧盟95指令（The European Commission's 1995 Data Protection Directive，下文简称95指令）中关于个人信息的定义为可识别或已识别个人的信息；2018年5月25日生效的《通用数据保护条例》（General Data Protection Regulation，下文简称GDPR）中关于个人信息的定义是能够直接或间接识别个人的信息。

欧盟没有区分保护直接识别与间接识别的个人信息，只要认定为个人信息，都受到同等的法律保护。在个人信息中，将宗教信仰、政治观点、有关健康及性生活数据等信息特殊分类，作为“敏感信息”重点保护。

而美国的立法中，关于个人信息的规定散见于各个单独的立法中，比如在信用卡相关的立法中规定信用卡数据，教育相关的立法规定学生教育信息。比较统一的做法是各州的《数据泄露通知法》（Data Breach Notification Law）将个人信息限定于已识别的信息。只有在少数立法中，才会将可识别的信息纳入个人信息的范围，例如《儿童在线隐私保护法》（Children Online Privacy Protection Act）。

确定个人信息的范围之所以重要，是因为个人信息的认定决定法律保护范围，只要不属于个人信息，就不会受到个人数据保护法的约束。

美国大部分个人数据保护法律只保护已识别信息，而欧盟的个人数据则包含可识别信息。很多在欧洲能够受到严格保护的信息在美国可能不属于个人信息范畴，难以获得法律保护。

其次，从立法模式上来说，《欧洲人权公约》和《基本权利宪章》规定了对隐私权和数据权利的保护，前者是一个国际公约，后者是欧盟重要的宪法文件。

95指令和GDPR详细规定了保护个人数据的原则、标准、处罚等。在欧盟范围内，个人数据权利与隐私权拥有宪法权利的地位，保护标准非常严格。

与此相反，美国宪法中没有欧盟概念下的隐私权保护，宪法第四修正案仅仅保护公民的个人信息不受政府不合理的搜查。相反，美国宪法着重强调言论自由的权利。而言论自由与个人数据权本质上存在冲突。

言论自由包括获取信息的权利与发表言论的权利，信息流通是言论自由得以实现的前提和保障。美国十分重视公共讨论对于代议制民主及民主决策的意义。基于美国的这种观念，保护隐私很多时候会与言论自由发生冲突。

最后，从保护模式上来说，欧盟将个人信息、隐私保护上升到了基本权利的高度。

GDPR明确允许对“实质或非实质损害”进行赔偿。当个人信息被滥用时，救济并不依赖于发生货币或财产利益的损害，在隐私受到严重侵犯的情况下，可以以非实质损害为由获得损害赔偿。

而美国的保护模式则是消费者视角，欧盟语境下的数据主体在美国是市场的参与者，应该遵循市场交易规则。只有受到实际的损害，其权利才能得到法律保护。

不仅如此，美国一直坚持尽可能少地对市场进行监管，就数据跨境流通而言，美国的一般规则是不设限制，个人数据流动只要不触犯特殊领域的规定就可以自由流通。而在欧盟则是以本地化政策为原则，除非通过法律允许的方式，个人数据不得跨境流通。

二、欧盟严格标准影响全球

欧盟严格的个人数据保护立法让互联网企业在欧盟市场中束手束脚，尽管互联网企业已经很努力去达到GDPR的要求。

从2018年5月GDPR生效以来，已经有不少企业被罚，其中，法国数据保护监管机构国家信息与通信委员会对Google开出的5000万罚单让人瞩目。

不仅如此，作为GDPR特别法的《电子隐私条例》（ePrivacy Regulation，目前尚未生效）对于网络即时通讯等OTT服务（即“over-the-top”服务，通常是指内容或服务建构在网络基础服务之上，而不需要电信运营商额外的支持）中的个人数据实施更加严格的规则，保护范围更加广泛。

欧盟依托其巨大的市场，用严格的个人数据立法制约着其他国家在欧盟提供服务的互联网企业。

充分性认定、标准合同以及有约束力的公司内部规则，本质上都嵌入了欧盟严格的个人数据保护要求，互联网公司无论使用哪种方式，都不得不在事实上接受欧盟的个人数据保护规则。

不仅如此，欧盟的严格保护模式甚至会自下而上地影响其他国家的数据保护立法。2018年，印度、巴西等国纷纷制定隐私保护法，其内容与GDPR有很多相似之处。

欧盟虽然没有强大的互联网企业，但强大的市场力量和监管能力、隐私标准的不可分性与不可规避性让欧盟能够在全球市场中占据优势，迫使世界其他国家或地区接受与欧盟同样的规则标准，进而增强欧盟在国际规则制定中的主导权和影响力。

首先，欧盟具有强大的市场力量，欧盟2017年的GDP为17.27万亿美元。如此巨大的经济体量意味着巨大的消费能力，为了留在欧盟市场，互联网企业只能增加合规成本，被动接受欧盟的严格规制。

其次，欧盟具备监管能力，从成员国到欧盟层级，都有对应的数据保护机构，Facebook、Google被调查罚款，显示了欧盟强大的监管能力。

标准的不可分性是指对于在欧盟提供服务的互联网企业而言，针对欧盟单独制定隐私保护政策的成本大于在全球范围内统一适用欧盟标准的成本。由于大数据、云计算等技术的发展，互联网公司的服务越来越互联共通，难以分割，要想将欧盟业务隔离出来单独处理，成本反而更加高昂。

不可规避性则是指欧盟的个人数据保护是以在欧盟提供服务为标准确定管辖范围的，互联网企业难以通过其他手段规避监管。

综合上述四个要素，在个人数据保护领域，欧盟实际上掌握了制定游戏规则的权力。

具体到美欧之间的数据跨境，美国从未进行过欧盟的充分性认定，因为结果是显而易见的，美国的个人数据保护标准与欧盟相差甚远。有约束力的公司内部规则与标准合同的适用都需要经过欧盟成员国数据保护机构的监督和审查，程序繁琐，要求严格，难以满足美欧之间的数据贸易需求。

于是安全港协议应运而生，该协议涵盖了一系列欧盟有关个人数据保护的原则和要求，例如数据主体有权反对将其个人数据传输给第三国、确保“敏感数据”的明确统一、数据主体对其个人数据有权获取并进行更正等。

美国企业只有接受并顺利通过该协议项下的资格认证，才能获得来自欧盟的相关数据。2015年安全港协议无效后，美欧积极参与新的数据跨境协议的制定，2016年隐私盾协议生效，基本延续了安全港协议的模式。

无论是安全港协议还是隐私盾协议，其本质上都是开发一种变通的方式，在美国无需通过立法达到与欧盟同等保护水平的前提下，让美国互联网企业事实上遵循95指令及GDPR中的欧盟规则。

目前通过隐私盾认证的营业中的企业有4671家，囊括了几乎所有美国互联网巨头。由于互联网企业统一采取欧盟标准的成本更低，所以在个人数据保护方面，通过隐私盾认证的美国企业事实上在全球业务中遵循着欧盟标准。

除了约束企业，隐私盾协议进一步加强了对行政行为的制约，限制美国政府不加选择地收集大量欧洲公民的数据。

2016年2月24日，奥巴马签署了《司法救济法案》，赋予欧洲公民与美国公民同等的司法救济权，欧洲公民有权针对美国政府不当披露个人信息的行为提起起诉，保障欧洲公民的权利救济途径。这么看来，即使美欧另辟蹊径，创设了一条双边协议的道路，欧盟似乎仍然牢牢掌握着话语权。

三、在冲突中寻求协调

然而，冲突只是硬币的一面，在严格个人数据保护立法影响全球的同时，欧盟实际上也在积极寻求数据跨境流通的国际协调与合作。为了维系与世界各国的数据贸易，欧盟不得不做出妥协和让步。

与其说是欧盟主导着世界个人数据保护规则的建立，不如说是各个国家综合国内立法需要与数据保护共识形成的一种协调模式，欧盟即使拥有强大的影响力，也只是这个协调网络的参与者而非主导者，只不过相比于其他国家，欧盟在这个模式中具有更强的影响力和话语权。

1、欧盟：寻求合作以促进数据流通

欧盟在95指令中的数据跨境规则是以禁止个人数据流出境外为原则，充分性认定为例外，欧盟的初衷是实施严格的数据本地保护。充分性认定由欧盟委员会负责，标准严格，涉及数据流入国法律制度、保护技术、管理水平等全方位的评估。直至2019年，通过欧盟委员会认定的国家和地区只有11个。单凭充分性认定显然难以满足21世纪欧盟对于个人数据跨境流动的需求。

在此背景下，欧委会在2001年及2004年分别发布第一版和第二版标准合同条款（Model Contractual Clauses）。2003年，29条工作组承认有约束力的公司规则（Binding Corporate Rule）是个人数据跨境传输的一种合法方式。

从保护个人数据的目的出发，欧盟可以只依靠充分性认定这一种方式来最大程度地保护个人数据，并且充分性认定必然会最大程度地迫使其他国家接受欧盟数据保护及数据跨境规则。

然而欧盟却在积极地创造其他促进数据流通的方式。欧盟采取了种种变通手段促进了欧盟个人数据跨境流通，这与欧盟极度推崇个人数据权利与隐私权的理念是相悖的。

美欧之间的安全港协议及隐私盾协议，也体现了欧盟的妥协和让步。安全港协议由美国企业自愿加入，是否遵循协议标准也是由美国监管机构监管。欧洲公民对美国公司提出的大多数索赔在美国进行，并要适用美国的法律。不仅如此，这项协议是欧盟层面签署的，此协议下的美欧个人数据跨境传输无需成员国的批准。

此外，有学者做过一次调查统计，结果显示从2000年到2015年接近16年的时间里，针对《安全港协议》的投诉案件远远超过1300件，而最终获得执行的却只有40件，且在这40件获得执行的投诉案件中，仅有两家公司最终被执行了罚款处罚。

显然，在安全港协议中，欧盟仅仅在制定标准上占据上风，协议的具体实施还是掌握在美国手里。之后的隐私盾协议虽然在很多方面强化了美国企业与美国政府的责任，比如增加了欧洲公民向本国数据保护机构提起投诉的规定、增加了企业年度自检的要求、加大了处罚力度、约束了美国政府的行政行为，等等，但是关于隐私盾“换汤不换药”的质疑声从未断过，相比保护个人数据安全，隐私盾想要为美欧数据传输重新开方便之门的意图更明显。

2、美国：逐渐重视隐私保护

崇尚市场自治的美国也开始转向，从企业层面上来看，美国的互联网企业在个人数据保护方面深受欧盟数据保护规则的影响。

美国互联网巨头企业的隐私政策几乎都是按照GDPR的标准制定的；Facebook与苹果都通过各种方式试图拒绝FBI从其服务器调取数据；Facebook为了保护欧盟用户数据不受美国政府控制，甚至在瑞典设立了数据中心。

在GDPR生效的四天前，微软总裁布拉德·史密斯在推特上写道：“我们相信隐私是一项基本人权”。苹果公司首席执行官蒂姆·库克也以同样的方式告诉CNN：“隐私是一项基本人权”。

这种将隐私权拔高到基本人权的观念一直是欧盟隐私保护的典型特征。美国的互联网企业，出于多方因素考量，几乎都选择了积极主动遵守GDPR。数据保护合规能力成为了一项竞争优势。

上升到立法层面，美国民众关于加强个人数据和隐私保护的呼声越来越强烈。

Facebook数据泄露案让美国民众对于隐私保护现状极度不满，个人数据的非法使用已经危及到美国人民引以为傲的民主制度。

2018年6月28日，美国加州公布了《消费者隐私保护法案》（简称CCPA），对企业提出了更严格的通知、披露义务，并且就数据泄露规定了损害赔偿金额，一改美国法院坚持的数据泄露没有实质损害不进行赔偿的司法惯例。

这部美国最严格隐私立法有很强的GDPR色彩，但仍能看出加州立法还是在追求数据保护和数据流通的平衡中，保留了美国底色：CCPA在适用对象上排除了中小企业；在保护范围中排除了集合数据和去标识化数据；在通知义务方面，延续了Opt-out模式（指在没有用户的许诺下单方面地发送广告邮件的行为）；在不得歧视对待使用隐私权利的用户方面，保留付费模式。

上述规定，很明显地体现了美国务实的作风：促进数据流通、促进企业发展和技术创新。

美国通过调整国内立法，积极协调数据跨境流通规则，同时又保留美国核心理念，该妥协的妥协，该保留的保留，以期达到一个对各方都有利的效果。

结语

2019年1月，EDPB（European Data Protection Board，欧洲数据保护委员会）发布了美欧隐私盾第二次年度审查报告，报告表达了对美国政府获取个人数据的担忧，以及希望美国政府进行更多实质性的认证审查。同时也肯定了美国商务部和联邦贸易委员会目前正在进行的监管努力，并且为企业提供了合规建议。

自Facebook数据泄露事件之后，美国国会以及数据监管机构密集举行听证会，业内人士、各领域专家、消费者团体及监管机构激烈讨论，试图寻找一条数据保护的出路。在数据保护这一复杂议题面前，无论是国内政策还是国际流通规则，美欧都在积极主动地寻求解决办法。

美欧的数据跨境规则为全球数据跨境规则的制定提供了一种参考，欧盟还与瑞士签订了类似协议，表明这种模式是可以复制的。目前数据跨境流动的国际规则是碎片化的，缺少一个国际层面的管理机制，大部分情况下依赖单边规制或者多边协议，然而这只能解决小范围的数据跨境需求。

未来的国际数据跨境流通规则的建立有赖于各个国家做出让步和协调，共同在数据保护和数据跨境规则方面建立起国际协调网络，美欧的数据跨境规则是这种模式的一个缩影。未来数据跨境国际规则的形成，必须依赖每个国家的积极探索以及国家间的借鉴和妥协。

本文来自微信公众号：腾云（ID：gh_38bc5c7fd1c1），作者：张颖，排版：陈云