欧盟制定个人数据保护的出发点是在保护个人隐私与促进数据流动间形成一定程度的平衡。而在促进数据流动的方面,欧盟和美国的合作具有很好的示范效应,可以为在更大范围内解决数据共享与数据保护间的矛盾提供一种思路。
欧盟《数据保护指令》施行以后,外国企业如要进入欧盟开展可能涉及将数据跨境传输的业务时就面临一些限制。如该指令规定,个人数据的跨境流动对扩大国际贸易是必要的,但只有第三国确保提供适当的水平保护,才能将欧盟个人数据转移至第三国,否则禁止将欧盟个人数据转移至不能提供适当水平保护的国家。这实际上是要求其他国家的政府为本国企业背书,承诺对传输到本国境内的欧盟个人数据实行与欧盟相当的保护,保证该国企业不会违反欧盟的数据保护标准。
为帮助美国企业进入欧盟经营数据业务,从1998年到2000年,美国商务部和欧盟及瑞士经过多轮谈判,达成了《数据安全港协定》,做法是由美国商务部建立一个公共目录,联邦交易委员会和交通运输部管辖下的任何机构和组织,只要承诺遵守“数据安全港”规则,即可列入公共目录,成为“数据安全港”的成员,可以接收、处理和传输来自欧盟的个人数据(图6-2)。“数据安全港”的目标是在确保美国企业达到欧盟的较高保护标准的同时,维持美国长久以来一直采用的自律机制。
(www.xing528.com)
图6-2 美国国家安全局通过“数据安全港”从欧盟获取数据示意图(图片来源:作者绘制)
但是,“数据安全港”也面临欧盟和美国内部法律差异的影响。如根据《美国爱国者法案》规定,美国互联网运营企业收到外国情报监视法庭的传票,令其向情报机构提供特定数据时,美国企业必须予以配合。当相关美国企业同时运营欧盟个人数据业务,由于美国政府对欧盟的承诺与其为反恐制定的法律之间存在矛盾,这就可能导致欧盟《数据保护指令》和《数据安全港协定》的条款无法同时得到落实。
2013年6月,美国情报界大规模电信和互联网监控项目被曝光,包括监控美国公民及在美外国人对外通话的“棱镜”计划、从光纤主干网收集数据的“上游”计划、监控互联网重要节点的“关键得分”计划等。监控对象从各国政要到普通公众无所不包,盟友伙伴、竞争对手和敌对国家概莫能外,尤其是对德国总理、罗马教皇等欧洲政要的电话监控,以及对法国和西班牙公众的大规模数据搜集等。美国的行为激怒了整个欧洲,也促使欧盟决定重新审查《数据安全港协定》。
2015年10月,欧盟法庭认为美国未能为传输到境内的欧盟个人数据提供有效保护,欧洲公民的个人数据在美国被大规模地搜集,鉴于美国政府没有达到《数据保护指令》的要求,故判决《数据安全港协定》失效。美国企业不再能够以政府背书而直接使用和传输欧盟公民数据,直至2016年7月,欧美经过谈判重新签订欧美《隐私保障框架》,除了强调企业为将欧盟公民个人数据传输到美国承担更多的数据保护责任之外,还对美国政府访问有关数据设定了责任条款,并要求欧盟和美国政府每年就框架的执行情况进行联合评估。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
