21世紀經濟報道 記者 鄭雪 北京報道

歐美(mei)數據流動邁出新的(de)一步。

近日，歐(ou)盟委員會通過了“歐(ou)盟-美國(guo)數據隱私框架（EU-U.S. Data Privacy Framework，以下簡(jian)稱(cheng)DPF）”的充分(fen)性決定。根(gen)據新的充分(fen)性決定，個人數據可以安(an)全(quan)地從歐(ou)盟流向參與該框架的美國(guo)公司，而無需采取額外(wai)的數據保(bao)護措施(shi)。

其中提出，建立雙層救濟(ji)機制，個(ge)人無需(xu)證明數(shu)據是由(you)美國(guo)情報(bao)(bao)機構收集便可提出投訴；同時(shi)該框架下，美國(guo)情報(bao)(bao)部門訪問歐盟數(shu)據僅(jin)限(xian)于保護國(guo)家安全所(suo)必需(xu)且適當的(de)范(fan)圍之內。

相關(guan)專家(jia)在接受記者采訪時表示，充分性認定的通過一定程度上(shang)建立起(qi)比較穩定的跨大西洋數(shu)據(ju)流(liu)動(dong)安(an)排。但歐盟、美國之間關(guan)于數(shu)據(ju)流(liu)動(dong)和數(shu)據(ju)安(an)全(quan)的博弈將會持續，新框架運行是否穩健有效，仍有待觀察(cha)。

成立數據保護專門法庭 完善救濟措施

歐(ou)盟、美(mei)(mei)(mei)國(guo)之(zhi)間數(shu)據(ju)(ju)流動的(de)(de)(de)(de)(de)重要(yao)性(xing)不言(yan)而喻。就像美(mei)(mei)(mei)國(guo)司法部在其所發布的(de)(de)(de)(de)(de)新聞稿(gao)所提(ti)(ti)(ti)及的(de)(de)(de)(de)(de)，該充(chong)分性(xing)決定為出于商業目(mu)的(de)(de)(de)(de)(de)，從歐(ou)盟國(guo)家向美(mei)(mei)(mei)國(guo)傳輸個人數(shu)據(ju)(ju)提(ti)(ti)(ti)供法律依據(ju)(ju)。數(shu)據(ju)(ju)流動支撐著(zhu)價值(zhi)7萬億美(mei)(mei)(mei)元的(de)(de)(de)(de)(de)美(mei)(mei)(mei)國(guo)與歐(ou)盟經濟關(guan)系，并為大(da)西(xi)洋兩(liang)岸的(de)(de)(de)(de)(de)公民(min)和企(qi)業提(ti)(ti)(ti)供了重要(yao)利益(yi)，使各種規模的(de)(de)(de)(de)(de)企(qi)業能夠在彼此的(de)(de)(de)(de)(de)市場中競爭(zheng)。

如何理解充分性認定？根據《通用數據保護條例》(GDPR)第45(3)條規定，授權委員會通過實施法案決定非歐盟國家確保“充分的保護水平”——對個人的保護水平數據基本上相當于歐盟內部的保護水平。充分性決定的效果是個人數據可以自由地從歐盟（以及挪威、列支敦士登和冰島）流向第三國，而不會遇到進一步的障礙。

此次決定的結論是，美國確保在新框架下對從歐盟轉移到美國公司的個人數據提供足夠水平的保護（與歐盟的保護水平相當）。歐(ou)盟委(wei)員會主(zhu)席馮德萊恩(en)表(biao)示，“新的歐(ou)盟-美國數據隱私(si)框架(jia)將確保歐(ou)洲人的數據安全流動(dong)，并為大(da)西(xi)洋兩岸的公(gong)司帶(dai)來(lai)法律(lv)確定(ding)性”、“繼2022年(nian)同美國達(da)成原則協議后，美方對建(jian)立新框架(jia)做出了(le)前所未有的承諾”。

歐盟委員會發布的新聞公報顯示，DPF引入了新的具有約束力的保障措施，以解決歐洲法院提出的所有擔憂，包括將美國情報部門對歐盟數據的訪問限制在必要和適當的范圍內，以及建立數據保護審查法院（DPRC）等。

其中美國公司將承諾遵守一系列詳細的隱私義務來加入歐盟-美國數據隱私框架，例如不再需要個人數據來實現收集目的時將刪除個人數據，確保與第三方共享個人數據時保護的連續性等措施。

如果美國公司錯誤處理歐盟個人的數據，將會有多種補救途徑，包括免費的獨立爭議解決機制和仲裁小組。歐盟個人可以就美國情報機構收集和使用其數據的情況獲得補救，DPRC將獨立調查并解決投訴，包括采取有約束力的補救措施。

北京大成律師事務所高級合伙人鄧志松對21世紀經濟報道記者說道，“此次數據隱私框架的重要組成部分是救濟框架的完善。在此前的隱私盾協議下的監察員機制中，監察員被認為不完全獨立于情報機構，且無權作出有約束力的決定。而新框架下美國政府建立了雙層救濟機制，訴諸該機制的門檻較低，個人無需證明數據是由美國情報機構收集的便可以提出投訴。”

據介(jie)紹，第(di)一次審查將(jiang)在(zai)(zai)充分(fen)性(xing)決(jue)定生效(xiao)后(hou)一年內進行(xing)，以(yi)驗證所有(you)相關要素是否(fou)已在(zai)(zai)美國(guo)法律框架中(zhong)(zhong)得到(dao)充分(fen)實(shi)施并(bing)在(zai)(zai)實(shi)踐中(zhong)(zhong)有(you)效(xiao)發(fa)揮(hui)作用(yong)。

情報部門使用數據需“必需且適當”

對于美國情報部門訪(fang)問歐(ou)盟數據的(de)限制成為(wei)關(guan)注焦點(dian)。

根據新聞公報，美國法律框架針對美國公共當局訪問該框架下傳輸的數據提供了許多保障措施，特別是出于刑事執法和國家安全目的。對數據的訪問僅限于保護國家安全所必需且適當的范圍。

北京師范大學法學院博士生導師、中國互聯網協會研究中心副主任吳沈括表示，歐盟和美國之間數據跨境流動的突破點在于，此次充分性認定對于安全目的的數據流動和獲取做了制度和程序上的明確要求。“新的情報收集程序是在歐盟認定充分性之后同步生效，其法律效力較高，也是此前所沒有的。”

針對(dui)其中所提(ti)及的“必(bi)需(xu)且適當(dang)”如何理解？據了(le)解，必(bi)需(xu)且適當(dang)的標準來自于2022年美國發(fa)布的第14086號行(xing)政命令(ling)《加強美國信號情報活(huo)動的安全保障》。

“在確定必需性時，美國情報部門必須考慮其他侵擾性較低的來源和方法（包括外交和公共來源）的可用性、可行性和適當性。如果有的話，必須優先考慮這種侵擾性較低的替代來源和方法。在評估適當性時，必須考慮所有相關因素，如所追求目標的性質；收集活動的侵擾性（包括其持續時間）；收集活動對所追求目標的可能貢獻；對個人的合理可預見后果；以及所收集數據的性質和敏感性等。”鄧志(zhi)松對21世紀經濟(ji)報(bao)道記者說道。

針對(dui)公(gong)共機構獲取個人數據(ju)(ju)如何提供充分保護(hu)？這(zhe)一(yi)問(wen)題(ti)貫穿歐盟、美國數據(ju)(ju)跨境政策始終(zhong)。

早在2000年7月，歐盟(meng)(meng)委員會為與美國跨區域的數據(ju)傳(chuan)輸建立“安(an)全港”制度，相關數據(ju)可以從歐盟(meng)(meng)合(he)法(fa)傳(chuan)輸到美國。

2013年，愛(ai)德華·斯諾登披(pi)露，美國政府根據FISA702和EO12.333的規定，利用(yong)“大型科技”公司實施(shi)“棱鏡”等項目來監視世界其他(ta)地區，包(bao)括Facebook（現(xian)Meta）、谷歌、蘋(pin)果等在(zai)內，而無需(xu)合理(li)理(li)由或(huo)司法批(pi)準。這不僅限于犯(fan)罪或(huo)恐怖主義，還(huan)包(bao)括針對美國“伙伴”的間諜活動(dong)。

隨后，“安全港”制度在2015年10月被(bei)歐洲(zhou)(zhou)法院宣告無(wu)效。歐洲(zhou)(zhou)法院認為，美國沒(mei)有提供充分的個人(ren)數據保護機制，而(er)歐盟(meng)法律(lv)禁(jin)止(zhi)與隱私標準較低的國家共享(xiang)數據。

2016年，歐盟委員會再次(ci)通(tong)過(guo)了名為(wei)“隱私盾”的歐盟-美國數據傳輸(shu)協議，但2020年被歐洲法(fa)院宣(xuan)告無效。歐盟法(fa)官指出，正如斯諾(nuo)登在(zai)2013年首次(ci)披(pi)露的那樣(yang)，美國安全(quan)部門對歐洲大量數據的訪問(wen)不成比例且保護不充(chong)分。

鄧志松介紹，安全港協議和隱私盾協議皆因始于2013年的Schrems系列案件被歐盟法院推翻，關鍵原因在于美國方面未能對公共機構（如國家安全局）獲取個人數據的情形提供充分保護，對美國情報部門收集數據的權力限制不充分、范圍不明確，此外還存在著司法救濟途徑缺失的問題。而新的數據隱私框架則致力于對美國情報部門訪問歐盟數據提供更多保障措施，以及完善違反保障措施的救濟途徑。

影響幾何？

數(shu)據(ju)在流動(dong)中產生(sheng)價值(zhi)。歐盟和(he)美(mei)國關(guan)于數(shu)據(ju)跨(kua)境流動(dong)達成的(de)(de)(de)(de)充(chong)分性認定，一定程度上推(tui)動(dong)雙(shuang)方業務(wu)的(de)(de)(de)(de)順利進行。據(ju)新聞公(gong)報，美(mei)國實(shi)施(shi)的(de)(de)(de)(de)保障(zhang)措施(shi)也(ye)將促進更廣泛(fan)的(de)(de)(de)(de)跨(kua)大西洋數(shu)據(ju)流動(dong)，因為它們也(ye)適用于使用其他(ta)工具，如標準合同(tong)條款(kuan)和(he)具有(you)約束力的(de)(de)(de)(de)公(gong)司規則(ze)，傳(chuan)輸數(shu)據(ju)的(de)(de)(de)(de)情況。

鄧志松表示，充分性認定的通過補充了安全港協議、隱私盾協議被歐盟法院判決失效之后歐盟與美國之間數據隱私法律體系的空白，在一定程度上建立起較穩定的跨大西洋數據流動安排。“這無疑將在極大程度上便利跨國企業的跨境數據傳輸，并完善了全球數據流動法律框架，為降低流動成本提供了制度上的確定性。”

而在吳沈括看來，充分性認定的通過，一是使得懸而不決的歐美數據跨境業務得到了進一步確定，業務能夠順利開展。二是美歐解決數據跨境流動的問題之后，或許會對包括中國在內的其他國家的數據資源產生虹吸效應。“美歐數據跨境流動在通過充分性認定后，相應的流程將會得到簡化，難免會對其他國家的產業產生吸引力。”

重要的一點，或將改變世界數據跨境治理乃至世界數據治理生態的格局，歐盟主導的跨境數據生態圈將持續推進。

“這兩個非常(chang)大(da)的市場之間接通之后，那么其他的國(guo)家和地區也(ye)會跟進類似于充分性決(jue)定(ding)，申請的國(guo)家會越(yue)來越(yue)多(duo)。”據吳沈括透露，當(dang)前已(yi)有相關國(guo)家和歐盟溝通類似充分性認定(ding)的情況。

那么中國是否有可能與歐盟就充分性認定展開相關接觸？吳沈括對21世紀經濟報道記者表示，中國和歐盟對于各自的接受度都是有限的，難度很大。“一是考慮到接受充分性決定意味著接受歐盟的制度審查，這是一個主權問題，不大可能被接受；二是中歐雙方在數據治理生態和數據監管生態存在一定分歧，這些障礙決定了中短期之內看不到解決的希望。目前尚未找到雙方都可接受的解決方案。”

7月初，吳沈括和歐盟相關人士曾就數據跨境問題進行了溝通，最終得出了一個結論：“世界范圍內來看，數據跨境首先是一個政治問題，其次才是法律和技術問題。”

值得注(zhu)意的是(shi)，有專家提示，充(chong)分性認定的通過(guo)并(bing)不意味著(zhu)歐盟(meng)-美國之間(jian)的DPF框架已經完(wan)成。

“與此前的安全港協議、隱私盾協議一樣，在未來新框架仍面臨著因保護水平不足而被歐盟法院推翻的風險。新框架是否足夠成熟完善以解決此前出現的種種問題，其運行是否穩健有效，后續歐盟與美國是否會采取更多配套措施，仍有待在實踐中進一步觀察。”鄧志松提示。

同時吳沈括觀察來看，實踐中對于充分性認定難度并不會小，因其涉及了美歐在數據治理和數據主權間的相關博弈。

“從2009年開始，雙方便開始針對數據流動持續博弈。現在雖然做出充分性的認定，但是無法量化規定。目前來看(kan)，歐盟對于數(shu)據跨境持強勢監管態度，而美國對于這個(ge)問題(ti)的(de)判(pan)定(ding)尺度較為寬松，預測博弈也將持續。同時個(ge)案中，歐盟并(bing)不一定(ding)能獲(huo)得主動權。”