21世紀經(jīng)濟報道 記者 鄭雪 北京報道

歐美數(shù)據(jù)流動邁出新的一步。

近日，歐盟委員會通過了“歐盟-美國數(shù)據(jù)隱私框架（EU-U.S. Data Privacy Framework，以下簡稱DPF）”的充分性決定。根據(jù)新的充分性決定，個人數(shù)據(jù)可以安全地從歐盟流向參與該框架的美國公司，而無需采取額外的數(shù)據(jù)保護措施。

其中提出，建立雙層救濟機制，個人無需證明數(shù)據(jù)是由美國情報機構(gòu)收集便可提出投訴；同時該框架下，美國情報部門訪問歐盟數(shù)據(jù)僅限于保護國家安全所必需且適當?shù)姆秶畠?nèi)。

相關(guān)專家在接受記者采訪時表示，充分性認定的通過一定程度上建立起比較穩(wěn)定的跨大西洋數(shù)據(jù)流動安排。但歐盟、美國之間關(guān)于數(shù)據(jù)流動和數(shù)據(jù)安全的博弈將會持續(xù)，新框架運行是否穩(wěn)健有效，仍有待觀察。

成立數(shù)據(jù)保護專門法庭 完善救濟措施

歐盟、美國之間數(shù)據(jù)流動的重要性不言而喻。就像美國司法部在其所發(fā)布的新聞稿所提及的，該充分性決定為出于商業(yè)目的，從歐盟國家向美國傳輸個人數(shù)據(jù)提供法律依據(jù)。數(shù)據(jù)流動支撐著價值7萬億美元的美國與歐盟經(jīng)濟關(guān)系，并為大西洋兩岸的公民和企業(yè)提供了重要利益，使各種規(guī)模的企業(yè)能夠在彼此的市場中競爭。

如何理解充分性認定？根據(jù)《通用數(shù)據(jù)保護條例》(GDPR)第45(3)條規(guī)定，授權(quán)委員會通過實施法案決定非歐盟國家確保“充分的保護水平”——對個人的保護水平數(shù)據(jù)基本上相當于歐盟內(nèi)部的保護水平。充分性決定的效果是個人數(shù)據(jù)可以自由地從歐盟（以及挪威、列支敦士登和冰島）流向第三國，而不會遇到進一步的障礙。

此次決定的結(jié)論是，美國確保在新框架下對從歐盟轉(zhuǎn)移到美國公司的個人數(shù)據(jù)提供足夠水平的保護（與歐盟的保護水平相當）。歐盟委員會主席馮德萊恩表示，“新的歐盟-美國數(shù)據(jù)隱私框架將確保歐洲人的數(shù)據(jù)安全流動，并為大西洋兩岸的公司帶來法律確定性”、“繼2022年同美國達成原則協(xié)議后，美方對建立新框架做出了前所未有的承諾”。

歐盟委員會發(fā)布的新聞公報顯示，DPF引入了新的具有約束力的保障措施，以解決歐洲法院提出的所有擔憂，包括將美國情報部門對歐盟數(shù)據(jù)的訪問限制在必要和適當?shù)姆秶鷥?nèi)，以及建立數(shù)據(jù)保護審查法院（DPRC）等。

其中美國公司將承諾遵守一系列詳細的隱私義務來加入歐盟-美國數(shù)據(jù)隱私框架，例如不再需要個人數(shù)據(jù)來實現(xiàn)收集目的時將刪除個人數(shù)據(jù)，確保與第三方共享個人數(shù)據(jù)時保護的連續(xù)性等措施。

如果美國公司錯誤處理歐盟個人的數(shù)據(jù)，將會有多種補救途徑，包括免費的獨立爭議解決機制和仲裁小組。歐盟個人可以就美國情報機構(gòu)收集和使用其數(shù)據(jù)的情況獲得補救，DPRC將獨立調(diào)查并解決投訴，包括采取有約束力的補救措施。

北京大成律師事務所高級合伙人鄧志松對21世紀經(jīng)濟報道記者說道，“此次數(shù)據(jù)隱私框架的重要組成部分是救濟框架的完善。在此前的隱私盾協(xié)議下的監(jiān)察員機制中，監(jiān)察員被認為不完全獨立于情報機構(gòu)，且無權(quán)作出有約束力的決定。而新框架下美國政府建立了雙層救濟機制，訴諸該機制的門檻較低，個人無需證明數(shù)據(jù)是由美國情報機構(gòu)收集的便可以提出投訴。”

據(jù)介紹，第一次審查將在充分性決定生效后一年內(nèi)進行，以驗證所有相關(guān)要素是否已在美國法律框架中得到充分實施并在實踐中有效發(fā)揮作用。

情報部門使用數(shù)據(jù)需“必需且適當”

對于美國情報部門訪問歐盟數(shù)據(jù)的限制成為關(guān)注焦點。

根據(jù)新聞公報，美國法律框架針對美國公共當局訪問該框架下傳輸?shù)臄?shù)據(jù)提供了許多保障措施，特別是出于刑事執(zhí)法和國家安全目的。對數(shù)據(jù)的訪問僅限于保護國家安全所必需且適當?shù)姆秶?/strong>

北京師范大學法學院博士生導師、中國互聯(lián)網(wǎng)協(xié)會研究中心副主任吳沈括表示，歐盟和美國之間數(shù)據(jù)跨境流動的突破點在于，此次充分性認定對于安全目的的數(shù)據(jù)流動和獲取做了制度和程序上的明確要求?！靶碌那閳笫占绦蚴窃跉W盟認定充分性之后同步生效，其法律效力較高，也是此前所沒有的。”

針對其中所提及的“必需且適當”如何理解？據(jù)了解，必需且適當?shù)臉藴蕘碜杂?022年美國發(fā)布的第14086號行政命令《加強美國信號情報活動的安全保障》。

“在確定必需性時，美國情報部門必須考慮其他侵擾性較低的來源和方法（包括外交和公共來源）的可用性、可行性和適當性。如果有的話，必須優(yōu)先考慮這種侵擾性較低的替代來源和方法。在評估適當性時，必須考慮所有相關(guān)因素，如所追求目標的性質(zhì)；收集活動的侵擾性（包括其持續(xù)時間）；收集活動對所追求目標的可能貢獻；對個人的合理可預見后果；以及所收集數(shù)據(jù)的性質(zhì)和敏感性等。”鄧志松對21世紀經(jīng)濟報道記者說道。

針對公共機構(gòu)獲取個人數(shù)據(jù)如何提供充分保護？這一問題貫穿歐盟、美國數(shù)據(jù)跨境政策始終。

早在2000年7月，歐盟委員會為與美國跨區(qū)域的數(shù)據(jù)傳輸建立“安全港”制度，相關(guān)數(shù)據(jù)可以從歐盟合法傳輸?shù)矫绹?/p>

2013年，愛德華·斯諾登披露，美國政府根據(jù)FISA702和EO12.333的規(guī)定，利用“大型科技”公司實施“棱鏡”等項目來監(jiān)視世界其他地區(qū)，包括Facebook（現(xiàn)Meta）、谷歌、蘋果等在內(nèi)，而無需合理理由或司法批準。這不僅限于犯罪或恐怖主義，還包括針對美國“伙伴”的間諜活動。

隨后，“安全港”制度在2015年10月被歐洲法院宣告無效。歐洲法院認為，美國沒有提供充分的個人數(shù)據(jù)保護機制，而歐盟法律禁止與隱私標準較低的國家共享數(shù)據(jù)。

2016年，歐盟委員會再次通過了名為“隱私盾”的歐盟-美國數(shù)據(jù)傳輸協(xié)議，但2020年被歐洲法院宣告無效。歐盟法官指出，正如斯諾登在2013年首次披露的那樣，美國安全部門對歐洲大量數(shù)據(jù)的訪問不成比例且保護不充分。

鄧志松介紹，安全港協(xié)議和隱私盾協(xié)議皆因始于2013年的Schrems系列案件被歐盟法院推翻，關(guān)鍵原因在于美國方面未能對公共機構(gòu)（如國家安全局）獲取個人數(shù)據(jù)的情形提供充分保護，對美國情報部門收集數(shù)據(jù)的權(quán)力限制不充分、范圍不明確，此外還存在著司法救濟途徑缺失的問題。而新的數(shù)據(jù)隱私框架則致力于對美國情報部門訪問歐盟數(shù)據(jù)提供更多保障措施，以及完善違反保障措施的救濟途徑。

影響幾何？

數(shù)據(jù)在流動中產(chǎn)生價值。歐盟和美國關(guān)于數(shù)據(jù)跨境流動達成的充分性認定，一定程度上推動雙方業(yè)務的順利進行。據(jù)新聞公報，美國實施的保障措施也將促進更廣泛的跨大西洋數(shù)據(jù)流動，因為它們也適用于使用其他工具，如標準合同條款和具有約束力的公司規(guī)則，傳輸數(shù)據(jù)的情況。

鄧志松表示，充分性認定的通過補充了安全港協(xié)議、隱私盾協(xié)議被歐盟法院判決失效之后歐盟與美國之間數(shù)據(jù)隱私法律體系的空白，在一定程度上建立起較穩(wěn)定的跨大西洋數(shù)據(jù)流動安排?！?strong>這無疑將在極大程度上便利跨國企業(yè)的跨境數(shù)據(jù)傳輸，并完善了全球數(shù)據(jù)流動法律框架，為降低流動成本提供了制度上的確定性。”

而在吳沈括看來，充分性認定的通過，一是使得懸而不決的歐美數(shù)據(jù)跨境業(yè)務得到了進一步確定，業(yè)務能夠順利開展。二是美歐解決數(shù)據(jù)跨境流動的問題之后，或許會對包括中國在內(nèi)的其他國家的數(shù)據(jù)資源產(chǎn)生虹吸效應。“美歐數(shù)據(jù)跨境流動在通過充分性認定后，相應的流程將會得到簡化，難免會對其他國家的產(chǎn)業(yè)產(chǎn)生吸引力?！?/strong>

重要的一點，或?qū)⒏淖兪澜鐢?shù)據(jù)跨境治理乃至世界數(shù)據(jù)治理生態(tài)的格局，歐盟主導的跨境數(shù)據(jù)生態(tài)圈將持續(xù)推進。

“這兩個非常大的市場之間接通之后，那么其他的國家和地區(qū)也會跟進類似于充分性決定，申請的國家會越來越多。”據(jù)吳沈括透露，當前已有相關(guān)國家和歐盟溝通類似充分性認定的情況。

那么中國是否有可能與歐盟就充分性認定展開相關(guān)接觸？吳沈括對21世紀經(jīng)濟報道記者表示，中國和歐盟對于各自的接受度都是有限的，難度很大。“一是考慮到接受充分性決定意味著接受歐盟的制度審查，這是一個主權(quán)問題，不大可能被接受；二是中歐雙方在數(shù)據(jù)治理生態(tài)和數(shù)據(jù)監(jiān)管生態(tài)存在一定分歧，這些障礙決定了中短期之內(nèi)看不到解決的希望。目前尚未找到雙方都可接受的解決方案。”

7月初，吳沈括和歐盟相關(guān)人士曾就數(shù)據(jù)跨境問題進行了溝通，最終得出了一個結(jié)論：“世界范圍內(nèi)來看，數(shù)據(jù)跨境首先是一個政治問題，其次才是法律和技術(shù)問題。”

值得注意的是，有專家提示，充分性認定的通過并不意味著歐盟-美國之間的DPF框架已經(jīng)完成。

“與此前的安全港協(xié)議、隱私盾協(xié)議一樣，在未來新框架仍面臨著因保護水平不足而被歐盟法院推翻的風險。新框架是否足夠成熟完善以解決此前出現(xiàn)的種種問題，其運行是否穩(wěn)健有效，后續(xù)歐盟與美國是否會采取更多配套措施，仍有待在實踐中進一步觀察。”鄧志松提示。

同時吳沈括觀察來看，實踐中對于充分性認定難度并不會小，因其涉及了美歐在數(shù)據(jù)治理和數(shù)據(jù)主權(quán)間的相關(guān)博弈。

“從2009年開始，雙方便開始針對數(shù)據(jù)流動持續(xù)博弈?，F(xiàn)在雖然做出充分性的認定，但是無法量化規(guī)定。目前來看，歐盟對于數(shù)據(jù)跨境持強勢監(jiān)管態(tài)度，而美國對于這個問題的判定尺度較為寬松，預測博弈也將持續(xù)。同時個案中，歐盟并不一定能獲得主動權(quán)?！?/p>