2024年伊始,美国就借口“数据安全”问题,宣布将对中国汽车展开调查,意图限制中国“智能汽车”及相关零部件进口到美国。无独有偶,美众议院高票通过了《保护美国人免受外国对手控制的应用程序侵害》的法案,旨在要求字节跳动剥离对tiktok的控制权,并认为其对“美国的国家安全”构成威胁。
近年来,数字化进程的加速推进,人工智能、大数据、云计算、区块链等新一代信息通信技术的运用,推动了全球数字经济的融合与发展。而作为连接全球经济的纽带,跨境数据的流动虽然为全球化带来了新动能,但是数据出境带来的一系列问题却使各国政府的数据监管水平、国与国之间的经贸往来,乃至国家安全、政治博弈、战略资源带来了前所未有的挑战。
作为全球两大主要数字经济体,欧美西方国家在个人数据跨境传输经历了多轮博弈,从2016年的《隐私盾协议》2000年的《安全港协议》以及2023年的《欧美数据隐私框架协议》。这一过程,反映了双方在权利驱动与市场驱动的理念分歧,隐私统一立法与分散立法的法律体系差异,以及对国家安全例外的界定范围不同,也促使双方在关于企业责任、政府约束、事后救济等机制的不断完善。欧美双方在路径、更新审查和监督机制上的磨合和最终达成一致,非常值得我们研究与借鉴。
01
欧美跨境数据政策的发展历程
欧美之间的数据流动量超过全球任何其他地区间的数据流,牵动着价值数万亿美元的跨大西洋经济关系。因此,跨境数据流动规则成为影响欧美关系的重要因素,历经 20 余年仍处于不断调整中,共经历了如下几个时期:
●
自我管理期:2000-2015年,《安全港协议》时期
2000 年11 月出台的《安全港协议》(safe harbor),是以欧盟 1995 年《数据保护指令》(data protection directive,dpd)设定的“充分性认定”原则为基础进行的欧美跨境数据治理的第一次尝试。《数据保护指令》强调了数据传输第三国的数据保护水平必须与欧盟保护水平达到实质等同。而以此为基础的《安全港协议》则进一步设定了知情、选择、转移、安全、数据完整、访问、执行 7 项隐私保护原则,有力调节了当时欧美之间的数据保护差异。
《安全港协议》确保欧美跨境数据自由流通十年有余,直至 2013 年的斯诺登事件爆发,该事件披露了所有传输至美国的数据都可以在当事人或企业毫不知情的情况下,被美国政府下属情报机构在电信运营商的配合下进行监听获取。对此,欧盟官员提出审查《安全港协议》,并展开了与美国的谈判。受斯诺登事件及2014美国脸书schrems案影响,欧盟委员表示,在采用《安全港协议》时,无法预见情报机构在商业交易背景下大规模访问运输到美国的数据,所以宣布该协议无效。
●
监管加码期:2016-2020 年,《隐私盾协议》时期
之后,欧盟与美国制定了新的数据传输隐私保护框架,于2016 年通过了《隐私盾协议》(privacy shield),该协议基本沿袭了《安全港协议》的主要内容,细化了七项隐私保护原则,并额外增加了关于敏感数据、次要责任、数据保护机构的作用、人力资源数据、制药和医疗产品以及公开可用数据的规定。相较于《安全港协议》,《隐私盾协议》还附带了美国国家安全机构的承诺:
① 强化承诺:意图引入欧盟个人数据的美国企业需要公开承诺履行关于个人数据处理的原则以及保护欧盟数据主体权利,这包括细化的通知义务、数据留存限制、受限的访问权、更严格的转移条件和责任制度等。
② 严格执法:美国商务部必须监管联邦贸易委员会对于《隐私盾协议》的执法,对于未遵守规定的企业实行严格的惩罚或者限制其使用该协议。
③ 明确保障措施和透明度义务:根据美国司法部和国家情报总监办公室书面承诺,美国政府对欧盟个人数据的访问将受到明确的限制和监督机制的约束。双方将针对国家安全准入问题进行每年一次的联合审查,以定期监测该制度的运作情况。
④ 提供更多的救济途径:包括企业遇到投诉,该企业将有 45 天的回应期;向本国数据保护机构申诉,后者可将未解决的投诉提交至美国联邦贸易委员会;在联邦贸易委员会不受理的情况下,将向索赔人提供免费的替代性争端解决机制,等。
《隐私盾协议》虽然在一定程度上解决了《安全港协议》的诸多缺陷,但仍有一些隐患,包括:
① 当收集个人数据的目的不存在时,机构没有明确规定删除该数据的义务;
② 数据向第三国转移的保护措施不足;
③ 过于复杂的救济机制;
④ 限制美国官员访问数据的保障举措不够;
⑤协议与 2016 年4 月正式生效的《通用数据保护条例》(general data protection regulation,gdpr)是否具有一致性。
除《安全港协议》外,欧盟还认可“标准合同条款”(standard contractual clauses,sccs)和“约束性公司规则”(binding corporate rules,bcrs)等机制,这也是《安全港协议》失效后欧美之间主要的数据传输机制。
●
稳定时期:2020 年至今,《欧美数据隐私框架协议》时期
2015 年底脸书(facebook)schrems案的律师施雷姆斯(max schrems)再次向爱尔兰数据保护委员会提出申诉,要求暂停facebook使用 sccs 跨境传输数据。最终,欧洲法院认为《隐私盾协议》所提出的情报系统内控机制是一种并不独立于行政系统内部的事后保护,并不足以保护欧盟公民的个人信息,所谓的监察专员制度也并不能为欧盟公民提供可通过诉讼保护的权利 ,因此在 2020 年宣布该协议无效。
继《隐私盾协议》也失效后,美欧双方再次经历长达两年的漫长谈判,最终在美方妥协下达成一致。欧盟委员会于 2023 年7 月 10 日全面通过《欧美数据隐私框架协议》的充分性决议。随后,美国商务部推出数据流动隐私框架计划网站,公开了美国商务部制定的《欧美数据隐私框架协议》,供符合条件的美国公司作为参考,进行自我认证并加入框架,美欧之间的数据自由传输终于得到恢复。
02
欧美在数据治理上的矛盾与统一
《欧美数据隐私框架协议》在一定程度上厘清了欧美间国家安全与个人隐私保护之间的边界,有效促进了双方数据保护制度的融合,使跨大西洋数据流动得以全面恢复,其经济影响、地缘影响也正在逐渐显现。
从经济性来看,跨大西洋数据流动影响着从制造业、运输业到金融和互联网服务的欧美经济体系,而其中70%是中小型企业。与大公司相比,因中小企业缺乏相应的资源满足复杂的法律要求,因此,跨境数据传输受限对于中小企业来说影响更大,无疑降低了企业的经营成本和风险,获得了欧美企业的一致欢迎。
从政治博弈来看,《欧美数据隐私框架协议》在某种程度上是欧美关系的“晴雨表”。特朗普执政后期,美欧关系阴晴不定,造成双方的跨境数据规制谈判踌躇不前。拜登政府上台后,为了修复与欧盟的关系,在部分条款上进行了让步,意图在于拉拢欧盟稳定跨大西洋关系,全力与中国开展战略竞争,包括联合欧盟国家发布“互联网未来宣言”,将促进信息自由流动作为建立以美国为中心的全球数字生态系统的重要举措。
从未来前景来看,《欧美数据隐私框架协议》是否能平稳运行,欧盟会不会发起新一轮对框架的诉讼,美方是否能遵守框架要求,仍然存在较大的不确定性。
美欧双方跨境数据博弈的背后反映了双方的理念分歧和逻辑差异。
由于历史原因,欧盟将尊重私人生活和保护个人信息视为基本人权,《欧洲人权公约》第 7、8 条中对尊重隐私生活进行了专门规定,并得到了欧洲人权法院的大力支持 。在欧盟主导的国际贸易协议中,《通用数据保护条例》(gdpr)提出的隐私标准已成为一项强制性要求(2016 年生效的gdpr 中第 44 条款明确禁止将个人数据传输至欧盟外,除非接收国能够提供与欧盟同等水平的保护)。总的来看,欧盟认为,只要未有法律明确规定,则一般禁止“收集和处理个人数据”。
而美国对于数据保护和个人隐私则具有不同的认知,认为“法无禁止则可为”,只要未明确触犯法律则支持“收集和处理个人数据”。究其原因,在于美国拥有最发达的数字经济和最庞大的数据体量,在全球数据流动体系中属于数据流入国,不受限制的数据流动规则能够让美国利益最大化。因此,美国倾向于以市场为主导,不赞成他国以法律设置数据跨境流动壁垒,意图依靠企业的自我监管实施数据保护。
另外,欧美的法律体系差异也是造成这种分歧的根本原因。欧盟的数据保护法律以 1995 年《数据保护指令》为基础,建立了欧盟范围内的综合性数据保护框架,统一了欧盟各国的数据保护规则。而美 国 隐 私 立 法 较 为 分 散, 缺 乏 统 一 的 数据保护框架,主要通过行业立法和州立法来设置相关规定。行业立法主要覆盖金融、保险、电视电信、消费者信用、儿童隐私等领域。同时,美国也未设立专门的隐私保护机构,联邦的数据隐私事务主要由负责处理企业不正当竞争和欺诈消费者行为的 美国联邦贸易委员会(ftc)实施。近年来,在斯诺登事件、剑桥分析事件发生后,美国两党也在积极推动《 数 据 隐 私 保 护 法》(american data privacy and protection act,adppa)、《同意法案》(consent act)和《在线隐私法案》(online privacy act,opa)等统一立法,目前面临的阻力仍然较大。
03
如何应对汽车行业数据跨境问题
2月底,美国借口“数据安全”问题,宣布将对中国汽车展开调查,并声称,中国制造的汽车上的联网操作系统会收集有关美国公民和基础设施的敏感数据,并将这些信息传回中国,对美国国家安全构成威胁。拜登还宣布,美国政府将“采取前所未有的行动”,确保“来自中国等受关注国家的进口汽车不会破坏我们的国家安全”。
客观来讲,我国车企对美出口数量很少,拜登在对tiktok进行新一轮制裁的同时,不忘再带一下汽车做垫背,是为了今年11月的美国大选,讨好美国本土车企和工会民众,是美国两党政治博弈的一张牌而已。从两党的态度和目前的国内舆论分析,美国两党是势必要借“数据安全”问题打压中国企业入美的,而tiktok在美受到了民众越来越高的支持呼声,那么在美市场影响力小的中国汽车掀不起什么大风浪,成了一块很好的任人宰割的“羔羊”,并且老美已经从中国汽车席卷欧洲市场的风潮中嗅到了危机。
目前,中美关系正处于低谷,在美国一味地打压中国企业的当下,双方政府若就“跨境数据”去达成什么“协议”似乎是非常渺茫的。在外交和贸易层面暂时解决不了的问题,那就需要企业自己去调整其海外战略了,是暂缓进入美国市场,还是宁可做些牺牲与妥协(包括产品优势和成本优势),先进入市场再说。
对于欧洲市场,由于我国汽车出口数量占比较多,对我国的整车外贸有非同一般的意义,虽然目前在政策端没有遇到类似美国这种“双重标准”的情况,但是自去年开始的“反补贴”调查不得不让我们重新审视车企在出海时可能面临的各种“不确定性”和贸易壁垒。
从欧美在数据治理上的多次博弈我们可以看出,欧洲虽然在“个人数据保护”上可能比美国更苛刻,但应该不会轻易地扣上“国家安全”这样的大帽子。我们应该尽早启动与欧洲(主要是欧盟)在跨境数据交流方面的工作,与重要贸易伙伴签订数据流动双边协议,为我国数据跨境流动规则主张“增容扩圈”。加快加入《数字经济伙伴关系协议》(digital economy partnership agreement,depa)进程,不断扩大数据跨境合作朋友圈。同时,还应积极参与世界贸易组织(world trade organization,wto)电子商务谈判,借助wto 平台推广我国的数据治理理念。
启 示
数字化时代,数据关系到个人、企业、国家三重利益。欧美在跨境数据上的博弈反映了对数据治理国际话语权的争夺,特别是利用其产业先发优势形成在国际数据跨境流动规则上的竞争优势。
我国作为世界数据资源大国之一,面临的数据安全风险相较于其他国家更为严峻,而当前动荡的国际政治局势和多变的贸易环境,也使得我国在争夺数字产业、数字治理话语权等关键领域将处于更加被动的态势。
从制度完善进程看,随着《数据出境安全评估办法》、《个人信息出境标准合同办法》、《个人信息保护认证实施规则》等法规和标准的不断出台,我国的数据出境安全管理制度架构已基本成形。
从行业乃至单个企业角度看,车企是掌握了大量车主数据的大型实体企业,应积极相应政府部门的号召,在其收集、处理、分析和使用用户数据的过程中,合法合规,并与互联网企业、第三方服务机构、金融机构等在跨境数据流动管理、扩大全球数据管控能力等方面开展合作,共同参与到建立健全跨境数据流动管理体系的工作中来。
参考资料:
《美欧跨境数据流动规则演变及启示》,信息安全与通信保密杂志社,作者桂畅旎、任政、熊菲。