新签署的《跨大西洋数据隐私框架》能融合欧美数据治理的分歧吗？.docx

新签署的《跨大西洋数据隐私框架》能融 合欧美数据治理的分歧吗？ 3月25日，欧盟与美国宣布推出新的数据平安流动协议 《跨大西洋数据隐私框架》(Trans-Atlantic Data Privacy Framework)。新协议核心目标是推动数据能够在欧盟和美国 之间自由、平安地流动。 01美欧就数据跨境传输达成新协议 在数据跨境传输问题上，欧盟和美国长达数年的博弈在 美国总统拜登到访布鲁塞尔期间发生了变化。 3月25日，欧盟与美国宣布推出新的数据平安流动协议 《跨大西洋数据隐私框架》(Trans-Atlantic Data Privacy Framework)o这个消息让美欧政府间对话到达高潮，与此同 时，云服务供应商也纷纷对此表示欢迎。 拜登总统在宣布这项框架协议时指出，该框架强调了欧 美双方对隐私、数据保护和法治的共同承诺，它将“再次批 准数据的跨大西洋流动，此举有助于为双边价值7.1万亿美元的经贸关系提供便利工 谷歌云服务公司(GoogleCloud)是全球三大云服务上市 公司之一，公司对新协议表示支持。谷歌云服务公司隐私工 作全球负责人马克•克兰德尔(MarcCrandall)说：“人们希 望在世界任何地方都可以使用数字服务，同时他们也希望知 道自己的隐私得到了尊重，自己的信息是平安的，而且受到 了保护。这份协议成认了这样一种现实情况，即让相关方采 取高标准的数据保护措施的同时，为大西洋两岸未来的互联 网服务奠定了可靠而持久的基础J 与谷歌公司一样，微软公司(Microsoft)也在协议公布 后发表了类似声明。公司负责全球隐私与监管事务的副总裁 兼首席隐私官朱丽叶•布里尔(JulieBrill)说：“微软为欧盟 委员会和美国政府达成这项重要的里程碑表示热烈欢迎 大约两年前，由于欧盟法院判决之前的一份跨大西洋数 据传输协议无效，导致欧洲与美国间的数据传输的合法性一 致处于悬而未决的状态。有关专家解释道，欧盟法院裁决的 背后，反映出欧美之间对数据及隐私保护存在基础性差异:欧 盟将数据、隐私保护作为“基本人权”；美国那么把个人数据作 为准个人财产而生成的“财产性保护 新公布的《跨大西洋数据隐私框架》的法律细节尚未制 定出台，但是，有些法律专家表示，他们不太确信《跨大西 洋数据隐私框架》可以解决云计算过程中的数据传输问题, 也不认为那些把工作数据放在美国大型云平台上处理的公 司会大范围重构工作流程。 02 二二二 欧美数据传输框架为什么需要更新? 在此之前，欧盟与美国之间曾经签署过两份数据传输协 议，分别是200。年签署的《平安港协议》(Safe Harbour) 和2016年签署的《隐私盾协议》(Privacy Shield协议)，但 欧盟法院先后判决这两份协议无效。 美国中情局前雇员斯诺登揭露“棱镜门”计划后，奥地 利律师、隐私权维权斗士马克思•施雷姆斯(MaxSchrems) 向Facebook欧洲总部所在地爱尔兰的数据保护委员会投诉, 称美国情报机构访问其个人数据的行为未践行美国法律及 惯例所声称的相应保护，并要求停止对其个人数据进行跨境 传输。 2020年的最新判决就是根据施雷姆斯对Facebook提起 的系列诉讼案而做出的。SchremsII案的判决宣布，《隐私盾 协议》不符合欧洲《通用数据保护条例》(GDPR)的要求, 因为美国的法律允许其政府以国家平安为由，向公司索取客 户数据，这是GDPR明令禁止的行为。 受此判决影响，在“隐私盾”框架下获得认证的5384家公司需重新考虑跨境数据传输机制，其中占比过半的中小型 企业面临更大的挑战。 该判决宣布后，跨大西洋数据传输开始转而使用标准合 同条款(standard contractual clauses),这是没有因 Schrems II案而被宣判无效的另一个法律机制，但是这些条款的应用要求对信息处理采取更严格的控制措施。 2021年，欧盟更新了这些措施，从那以后英国开始效仿 这一做法。尽管这项措施已经广泛应用了近两年，但这项措 施的合法性尚未得到法院的裁定。 新的框架将设法对以国家平安为目的的数据收集工作 施加更严格的控制措施，同时要求美国执法机构“依规确保 对新的隐私和民权标准实施有效监督 如果欧盟公民的数据被误用，他们将有新的救济方法, 新救济措施将通过独立的数据保护评估法院(Data Protection Review Court)实施，该法庭的组成将“包括从美 国政府以外挑选出的个人，这些人完全有权裁决索赔案件, 并且采取必要的直接救济措施”。这也是Schrems II案最主 要的争端。 f ■ GDPR03 《跨大西洋数据隐私框架》是否与GDPR兼容？ 新协议的法律细节尚未公布。不过，曾成功推翻前两个 欧美间数据跨境传输协议的施雷姆斯已经表达对新协议的 担忧。他在社交平台上指出，这种方法与“前两次失败的” 方法非常相似。他说：“我们听到的不过是又一次‘修补'后 的方法，美国方面从未采取实质性的改革。我们会等待正式 文本的公布，但我的第一反响是，它还会失败。”由此看来，要应对的还是《隐私盾协议》中的问题，尤 其是下面这个问题：将政治凌驾于法律和基本权利之上。 米尔斯-里夫律师事务所(Mills&Reeve)国际与英国区 信息技术负责人贾文德•辛格(JagvinderSingh)指出，新框 架在一些高层级方面，将让那些向美国传输数据的企业消除 疑虑，比方“美国将加强对隐私和民权的保护，并且强调将 采取适当的监管”。但是，当协议的具体内容公布后，他预计 还会有人向法院提起诉讼。 “如果施雷姆斯不再挑战，我会感到惊讶，他有可能正 在想方法上演‘帽子戏法'，”辛格说。“(在SchremsII案中) 法院强调了一些问题，有一些方面的问题新框架并未解决, 而且运作过程中仍会发生无法完全确保的情况J 擅长云计算业务的Wallace律师事务所的合伙人弗兰 克•詹宁斯(FrankJennings)说，对于希望提交投诉意见的 普通欧盟公民而言，为调解争端新设立的独立监管人几乎发 挥不了什么作用，因为监管人在美国，在那里采取行动是不 切实际的。“如果你是像马克思•施雷姆斯一样的人物，这也 许是个可以接受的妥协，”他说。 04《跨大西洋数据隐私框架》对云计算意味着什么？ 欧洲企业大多依赖美国超大规模供应商部署分配的云 计算服务，例如，亚马逊（Amazon）的AWS、微软的Azure 和谷歌云服务公司。 EU companies rely on non-EU cloud providers% of cloud services provided to European companies by EU-based and non- EU platforms. 詹宁斯说，短期内，欧盟与英国的企业尚看不到什么变 化，原因是，为批准这项协议而在法律文本上达成一致的过 程有可能很漫长。自从SchremsII案的判决书公布后，大型 云计算服务公司已经改变其经营模式，微软公司表示，它将 在2022年年底前，对欧洲大陆的所有欧洲数据实行隔离保 护。 由于标准合同条款仍然有效，詹宁斯怀疑新框架是否会 对云计算服务供应商的运营产生影响。“（自SchremsII案生效以来）已经有近两年时间，新框架真正开始实施也许还需 要等待更长时间，”他说。“届时你不得不怀疑，对谷歌、微 软和亚马逊而言，其中是否会有巨大的利益J 他解释说：“为保证业务不受影响，它们均采取了标准合 同条款的方式，因此我看不出这些公司会有什么变化，除非 从法律或风险的角度看，放弃这一方法会使它们获利。当然 也许会有一些变化，因为新体制（对云计算服务供应商）的 压力略轻，但如果是这样，那你就不得不质问，（数据传输框 架的）意义是什么？ ” 辛格补充道，这份协议不会解决Schrems II案判决书给 超大规模云计算服务供应商带来的所有问题，因为它们的全 球化属性意味着，类似的问题也会在其他地区出现。 “Schrems II案适用于所有（与欧盟没有签署）适当的数据 协议的国家开展的国际数据传输，”他说。“云计算服务供应 商不得不继续考虑在其他司法辖区该如何运作。届时所有的 问题都将聚集在美国方面，因为每个国家都必须采取同样的 保护手段。我认为，Schrems II案给云计算服务供应商带来 的难题不会就此消失。”