新签署的《跨大西洋数据隐私框架》能融合欧美数据治理的分歧吗？.docx

1、新签署的《跨大西洋数据隐私框架》能融 合欧美数据治理的分歧吗？ 3月25日，欧盟与美国宣布推出新的数据平安流动协议 《跨大西洋数据隐私框架》(Trans-Atlantic Data Privacy Framework)。新协议核心目标是推动数据能够在欧盟和美国 之间自由、平安地流动。 01美欧就数据跨境传输达成新协议 在数据跨境传输问题上，欧盟和美国长达数年的博弈在 美国总统拜登到访布鲁塞尔期间发生了变化。 3月25日，欧盟与美国宣布推出新的数据平安流动协议 《跨大西洋数据隐私框架》(Trans-Atlantic Data Privacy Framework)o这个消息让美欧政府间对话

2、到达高潮，与此同 时，云服务供应商也纷纷对此表示欢迎。 拜登总统在宣布这项框架协议时指出，该框架强调了欧 美双方对隐私、数据保护和法治的共同承诺，它将“再次批 准数据的跨大西洋流动，此举有助于为双边价值7.1万亿美元的经贸关系提供便利工 谷歌云服务公司(GoogleCloud)是全球三大云服务上市 公司之一，公司对新协议表示支持。谷歌云服务公司隐私工 作全球负责人马克•克兰德尔(MarcCrandall)说：“人们希 望在世界任何地方都可以使用数字服务，同时他们也希望知 道自己的隐私得到了尊重，自己的信息是平安的，而且受到 了保护。这份协议成认了这样一种现实情况，即让相关方采 取高标准的数

3、据保护措施的同时，为大西洋两岸未来的互联 网服务奠定了可靠而持久的基础J 与谷歌公司一样，微软公司(Microsoft)也在协议公布 后发表了类似声明。公司负责全球隐私与监管事务的副总裁 兼首席隐私官朱丽叶•布里尔(JulieBrill)说：“微软为欧盟 委员会和美国政府达成这项重要的里程碑表示热烈欢迎 大约两年前，由于欧盟法院判决之前的一份跨大西洋数 据传输协议无效，导致欧洲与美国间的数据传输的合法性一 致处于悬而未决的状态。有关专家解释道，欧盟法院裁决的 背后，反映出欧美之间对数据及隐私保护存在基础性差异:欧 盟将数据、隐私保护作为“基本人权”；美国那么把个人数据作 为准个人财产而生成

4、的“财产性保护 新公布的《跨大西洋数据隐私框架》的法律细节尚未制 定出台，但是，有些法律专家表示，他们不太确信《跨大西 洋数据隐私框架》可以解决云计算过程中的数据传输问题, 也不认为那些把工作数据放在美国大型云平台上处理的公 司会大范围重构工作流程。 02 二二二 欧美数据传输框架为什么需要更新? 在此之前，欧盟与美国之间曾经签署过两份数据传输协 议，分别是200。年签署的《平安港协议》(Safe Harbour) 和2016年签署的《隐私盾协议》(Privacy Shield协议)，但 欧盟法院先后判决这两份协议无效。 美国中情局前雇员斯诺登揭露“棱镜门”计划后，奥地 利

5、律师、隐私权维权斗士马克思•施雷姆斯(MaxSchrems) 向Facebook欧洲总部所在地爱尔兰的数据保护委员会投诉, 称美国情报机构访问其个人数据的行为未践行美国法律及 惯例所声称的相应保护，并要求停止对其个人数据进行跨境 传输。 2020年的最新判决就是根据施雷姆斯对Facebook提起 的系列诉讼案而做出的。SchremsII案的判决宣布，《隐私盾 协议》不符合欧洲《通用数据保护条例》(GDPR)的要求, 因为美国的法律允许其政府以国家平安为由，向公司索取客 户数据，这是GDPR明令禁止的行为。 受此判决影响，在“隐私盾”框架下获得认证的5384家公司需重新考虑跨境数据传输机制，

6、其中占比过半的中小型 企业面临更大的挑战。 该判决宣布后，跨大西洋数据传输开始转而使用标准合 同条款(standard contractual clauses),这是没有因 Schrems II案而被宣判无效的另一个法律机制，但是这些条款的应用要求对信息处理采取更严格的控制措施。 2021年，欧盟更新了这些措施，从那以后英国开始效仿 这一做法。尽管这项措施已经广泛应用了近两年，但这项措 施的合法性尚未得到法院的裁定。 新的框架将设法对以国家平安为目的的数据收集工作 施加更严格的控制措施，同时要求美国执法机构“依规确保 对新的隐私和民权标准实施有效监督 如果欧盟公民的数据被误用，他们将有

7、新的救济方法, 新救济措施将通过独立的数据保护评估法院(Data Protection Review Court)实施，该法庭的组成将“包括从美 国政府以外挑选出的个人，这些人完全有权裁决索赔案件, 并且采取必要的直接救济措施”。这也是Schrems II案最主 要的争端。 f ■ GDPR03 《跨大西洋数据隐私框架》是否与GDPR兼容？ 新协议的法律细节尚未公布。不过，曾成功推翻前两个 欧美间数据跨境传输协议的施雷姆斯已经表达对新协议的 担忧。他在社交平台上指出，这种方法与“前两次失败的” 方法非常相似。他说：“我们听到的不过是又一次‘修补'后 的方法，美国方面从未采取实质性的改革。

8、我们会等待正式 文本的公布，但我的第一反响是，它还会失败。”由此看来，要应对的还是《隐私盾协议》中的问题，尤 其是下面这个问题：将政治凌驾于法律和基本权利之上。 米尔斯-里夫律师事务所(Mills&Reeve)国际与英国区 信息技术负责人贾文德•辛格(JagvinderSingh)指出，新框 架在一些高层级方面，将让那些向美国传输数据的企业消除 疑虑，比方“美国将加强对隐私和民权的保护，并且强调将 采取适当的监管”。但是，当协议的具体内容公布后，他预计 还会有人向法院提起诉讼。 “如果施雷姆斯不再挑战，我会感到惊讶，他有可能正 在想方法上演‘帽子戏法'，”辛格说。“(在SchremsII

9、案中) 法院强调了一些问题，有一些方面的问题新框架并未解决, 而且运作过程中仍会发生无法完全确保的情况J 擅长云计算业务的Wallace律师事务所的合伙人弗兰 克•詹宁斯(FrankJennings)说，对于希望提交投诉意见的 普通欧盟公民而言，为调解争端新设立的独立监管人几乎发 挥不了什么作用，因为监管人在美国，在那里采取行动是不 切实际的。“如果你是像马克思•施雷姆斯一样的人物，这也 许是个可以接受的妥协，”他说。 04《跨大西洋数据隐私框架》对云计算意味着什么？ 欧洲企业大多依赖美国超大规模供应商部署分配的云 计算服务，例如，亚马逊（Amazon）的AWS、微软的Azure 和谷歌

10、云服务公司。 EU companies rely on non-EU cloud providers% of cloud services provided to European companies by EU-based and non- EU platforms. 詹宁斯说，短期内，欧盟与英国的企业尚看不到什么变 化，原因是，为批准这项协议而在法律文本上达成一致的过 程有可能很漫长。自从SchremsII案的判决书公布后，大型 云计算服务公司已经改变其经营模式，微软公司表示，它将 在2022年年底前，对欧洲大陆的所有欧洲数据实行隔离保 护。 由于标准合同条款仍然有效，詹宁斯

11、怀疑新框架是否会 对云计算服务供应商的运营产生影响。“（自SchremsII案生效以来）已经有近两年时间，新框架真正开始实施也许还需 要等待更长时间，”他说。“届时你不得不怀疑，对谷歌、微 软和亚马逊而言，其中是否会有巨大的利益J 他解释说：“为保证业务不受影响，它们均采取了标准合 同条款的方式，因此我看不出这些公司会有什么变化，除非 从法律或风险的角度看，放弃这一方法会使它们获利。当然 也许会有一些变化，因为新体制（对云计算服务供应商）的 压力略轻，但如果是这样，那你就不得不质问，（数据传输框 架的）意义是什么？ ” 辛格补充道，这份协议不会解决Schrems II案判决书给 超大规模云计算服务供应商带来的所有问题，因为它们的全 球化属性意味着，类似的问题也会在其他地区出现。 “Schrems II案适用于所有（与欧盟没有签署）适当的数据 协议的国家开展的国际数据传输，”他说。“云计算服务供应 商不得不继续考虑在其他司法辖区该如何运作。届时所有的 问题都将聚集在美国方面，因为每个国家都必须采取同样的 保护手段。我认为，Schrems II案给云计算服务供应商带来 的难题不会就此消失。”