【中國智能制造網(wǎng) 政策法規(guī)】20年間，素來強調(diào)隱私和個人信息保護的歐盟，一直推動高標(biāo)準(zhǔn)的個人數(shù)據(jù)保護制度，甚至延伸到個人數(shù)據(jù)跨境流動。美歐之間的個人數(shù)據(jù)跨境轉(zhuǎn)移政策幾經(jīng)變化，已經(jīng)從“安全港”時代過渡到了目前的“隱私護盾”時代。


　　“安全港”是歐美數(shù)據(jù)保護制度折中的產(chǎn)物
　　
　　歐盟《1995年數(shù)據(jù)保護指令》對電腦處理個人數(shù)據(jù)提供了保護。指令第25條規(guī)定，只有當(dāng)?shù)谌絿彝ㄟ^相關(guān)國內(nèi)法或承諾，對個人數(shù)據(jù)提供充分保護時，才允許將歐盟公民個人信息轉(zhuǎn)移、存儲到該第三方國家進行處理。這實際上禁止向歐盟以外的第三方國家轉(zhuǎn)移個人數(shù)據(jù)，除非歐洲委員會認(rèn)為該第三方國家能夠充分保護個人數(shù)據(jù)。目前，瑞士、新西蘭、加拿大、阿根廷等國家獲得了歐盟認(rèn)可。
　　
　　《1995年數(shù)據(jù)保護指令》出臺之后，雅虎、谷歌等互聯(lián)網(wǎng)先鋒公司相繼成立，隨后，美國互聯(lián)網(wǎng)產(chǎn)業(yè)迎來快速發(fā)展。由于互聯(lián)網(wǎng)產(chǎn)品和服務(wù)超越國界，跨境收集、轉(zhuǎn)移、處理個人數(shù)據(jù)成為一個必然趨勢。然而，由于美國對個人數(shù)據(jù)采取行業(yè)分散保護機制，整體未能達到歐盟要求，這將妨礙在美國和歐盟之間跨境轉(zhuǎn)移個人數(shù)據(jù)。于是，為了滿足歐盟的充分保護要求，雙方于2000年達成了一個折中的安全港協(xié)定。之后，歐洲委員會通過“2000/520號充分保護決定”，確認(rèn)安全港隱私原則及附屬條款對個人數(shù)據(jù)的保護達到了歐盟的充分保護要求。這大大便利了雙邊個人數(shù)據(jù)流動;只要美國企業(yè)加入安全港，并公開承諾遵守安全港的要求，就可以將歐盟公民個人信息轉(zhuǎn)移到美國境內(nèi)進行處理。美國中小企業(yè)尤其從中受惠。
　　
　　歐盟法院否定“安全港”
　　
　　美歐個人數(shù)據(jù)跨境流動前途未卜
　　
　　2013年，美國監(jiān)控丑聞曝光，歐盟成員國數(shù)據(jù)保護機構(gòu)紛紛質(zhì)疑安全港協(xié)定;于是，2014年1月，歐盟和美國開始啟動談判，磋商新的數(shù)據(jù)跨境協(xié)定，以取代當(dāng)時還有效的安全港協(xié)定。不料，新協(xié)定尚未達成，歐盟法院就否決了安全港協(xié)定。
　　
　　2015年10月6日，歐盟法院一紙判決否決了安全港協(xié)定，數(shù)千美國企業(yè)跨大西洋轉(zhuǎn)移歐盟公民個人數(shù)據(jù)失去庇護。11月6日，歐洲委員會發(fā)布指南，在督促盡快達成新協(xié)定的同時，為保障跨大西洋轉(zhuǎn)移個人數(shù)據(jù)提出其他可選方案，包括合同方案和有效公司規(guī)則。
　　
　　案件源于奧地利公民Schrems針對Facebook跨境轉(zhuǎn)移其個人數(shù)據(jù)而向愛爾蘭數(shù)據(jù)保護委員會提出的投訴。愛爾蘭數(shù)據(jù)保護委員會拒絕了這一投訴;Schrems遂起訴到愛爾蘭高等法院。愛爾蘭高等法院認(rèn)為，一旦歐盟公民個人數(shù)據(jù)被轉(zhuǎn)移到美國，在不加區(qū)分的大規(guī)模監(jiān)控、攔截過程中，NSA、FBI等聯(lián)邦機構(gòu)就可能非法獲取這些數(shù)據(jù);考慮到案件涉及歐洲委員會“2000/520號充分保護決定”，故提請歐盟法院作出裁決。歐盟法院認(rèn)為，歐洲委員會沒有盡職調(diào)查美國對個人數(shù)據(jù)實際上是否提供充分保護，僅僅通過審查安全港協(xié)定，就得出武斷結(jié)論。此外，美國國家安全、執(zhí)法訴求等凌駕于安全港之上，可以對跨境轉(zhuǎn)移到美國的歐盟公民個人信息采取監(jiān)控、攔截、獲取等措施。在這樣的背景下，“2000/520號充分保護決定”其實沒能達到《1995年數(shù)據(jù)保護指令》所要求的充分保護程度，因此無效，安全港因而遭到否定。
　　
　　“隱私護盾”開創(chuàng)美歐個人數(shù)據(jù)跨境轉(zhuǎn)移新秩序
　　
　　安全港被歐盟法院否定之后，雙方談判加速。2016年2月2日，歐洲委員會宣布，雙方已經(jīng)達成一個新協(xié)定，名曰“歐盟-美國隱私護盾”。2月29日，隱私護盾姍姍來遲，公之于眾。同安全港一樣，隱私護盾也包含七大隱私原則，但是內(nèi)涵要比安全港隱私原則豐富。
　　
　　此外，隱私護盾還包含一系列補充原則，涉及針對處理個人敏感信息的特殊規(guī)定、新聞例外原則、ISP和電信運營商(提供傳輸、發(fā)送、轉(zhuǎn)換、緩存等服務(wù))不承擔(dān)次級責(zé)任的原則、從事盡職調(diào)查和審計的例外、數(shù)據(jù)保護機構(gòu)的角色、自我確認(rèn)程序等。在歐洲委員會起草的“充分保護決定”中，包含這些原則。
　　
　　相比于安全港，隱私護盾的進步之處體現(xiàn)在四個方面。
　　
　　其一，美國企業(yè)負(fù)擔(dān)更強義務(wù)。雖然參加隱私護盾是自愿的，但是一旦美國企業(yè)提交參加隱私護盾的自我確認(rèn)書，就應(yīng)當(dāng)完全遵守其中的所有隱私原則，而且需要公開其隱私政策、執(zhí)法部門獲取個人信息的請求等。此外，聲明其符合并遵守隱私護盾之要求的自我確認(rèn)書必須至少每年提交一次，否則就會被從隱私護盾名單中除名。在監(jiān)督和執(zhí)法方面，美國商務(wù)部、聯(lián)邦貿(mào)易委員會(FTC)、交通部等有權(quán)部門負(fù)責(zé)監(jiān)督參加隱私護盾的美國企業(yè)履行義務(wù)，并作出處罰和制裁，包括可以依據(jù)《FTC法》第45條，認(rèn)定違反企業(yè)構(gòu)成不正當(dāng)競爭手段，給予嚴(yán)厲處罰，包括罰金、除名等。
　　
　　其二，賦予歐盟公民更強數(shù)據(jù)權(quán)利和多種救濟可能性。2015年12月15日，歐盟三方(歐洲議會、歐盟理事會、歐洲委員會)初步達成《一般數(shù)據(jù)保護指令》(GDPR)，這是歐盟啟動數(shù)據(jù)保護立法改革四年來的新成果。GDPR旨在加強個體對其個人信息的控制力，為其賦予更強數(shù)據(jù)權(quán)利，被遺忘權(quán)赫然在列。所以，作為安全港之升級版的隱私護盾，其中的隱私原則及補充原則的內(nèi)涵大大豐富、細化了。此外，在對歐盟公民的救濟方面，新協(xié)定為歐盟公民提供了多種救濟渠道。，歐盟公民可以直接向美國企業(yè)提出請求和投訴，后者必須于45日內(nèi)作出回應(yīng);第二，參加隱私護盾的美國企業(yè)必須提供免費的替代性糾紛解決機制(ADR)并告知用戶以便其可以進行投訴;第三，可以直接向其本國數(shù)據(jù)保護機構(gòu)進行投訴，后者負(fù)責(zé)將投訴轉(zhuǎn)交美國商務(wù)部，美國商務(wù)部必須于90日內(nèi)作出回應(yīng)，或者將投訴轉(zhuǎn)交FTC處理;第四，如果窮盡前述方式未能解決爭議，后可以訴諸一個名為Privacy Shield Panel的仲裁程序。
　　
　　其三，對美國政府進行網(wǎng)絡(luò)監(jiān)控、獲取個人信息的明確限制。對美國企業(yè)而言，只有在以下情形下才可以不用遵守隱私護盾隱私原則及補充原則，包括：為了滿足必要的國家利益、公共利益或者執(zhí)法需求;制定法、政府法規(guī)、判例法有沖突規(guī)定;歐盟和成員國法律的例外、減損規(guī)定等。美國政府獲取歐盟公民個人信息明確限于以下六個目的：一是偵測、反擊外國勢力的特定行動;二是反恐;三是反制核擴散;四是網(wǎng)絡(luò)安全;五是偵測、反制對美國和同盟軍事力量構(gòu)成的威脅;六是打擊犯罪威脅，包括逃避刑事制裁的行為。美國方面承諾不再進行大規(guī)模的任意監(jiān)控。此外，在美國國務(wù)院設(shè)立一個獨立的監(jiān)察員，負(fù)責(zé)處理涉及政府部門監(jiān)控、獲取個人信息的投訴。這些要求和美國國內(nèi)對大規(guī)模監(jiān)控的限制相一致。比如，2014年1月，美國總統(tǒng)奧巴馬簽發(fā)第28號《總統(tǒng)政策指令》(PPD-28)，將大規(guī)模收集數(shù)據(jù)限于六大國家安全目的，并且情報部門收集數(shù)據(jù)應(yīng)當(dāng)有明確的針對對象。此外，2015年6月通過的《美國自由法》對網(wǎng)絡(luò)監(jiān)控作出了必要限制，并要求科技企業(yè)發(fā)布透明度報告。
　　
　　其四，年度審查機制。為了確保隱私護盾的有效運作，并監(jiān)督美國履行其承諾，歐洲委員會會同美國商務(wù)部每年對隱私護盾的相關(guān)情況進行一次審查，并公開其審查報告。這比《一般數(shù)據(jù)保護條例》的相關(guān)規(guī)定更為嚴(yán)格，因為后者要求至少每四年對第三方國家的隱私保護情況進行一次審查。此外，年度審查并非形式上的。如果美國企業(yè)和政府部門未遵守其承諾，歐洲委員會就可以暫停隱私護盾的運作。
　　
　　呼喚數(shù)據(jù)保護的規(guī)則
　　
　　在數(shù)字經(jīng)濟發(fā)展、經(jīng)貿(mào)日益緊密的今天，個人數(shù)據(jù)跨境流動日益頻繁，數(shù)據(jù)跨境流動及個人數(shù)據(jù)保護制度的規(guī)則也日益提上日程，如TPP、中美投資保護協(xié)定、Apec隱私保護框架等都涉及相關(guān)制度。我國目前互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展迅猛，應(yīng)積極推動個人數(shù)據(jù)保護等相關(guān)制度與接軌，積極參與規(guī)則的制定。