报告|如何更好地重建跨大西洋数据关系
概述
涉及个人和非个人数据的数据跨境传输使得各种规模、行业的组织都能够从事跨大西洋贸易。欧盟《通用数据保护条例》(GDPR)旨在为欧盟内部的数据保护带来一种更具可预测性和协调性的方法,并为企业向海外传输欧盟个人数据提供一系列工具。但是,实际应用中的挑战使其变得更加困难复杂。由于欧盟个人数据的国际传输越来越困难、成本高昂以及法律上的不确定,本地数据存储和处理成为唯一可行的选择,这是欧洲许多隐私权倡导者和决策者的最终目标。从目前的情况来看,欧盟对数据隐私的处理方式正在创建世界上最大的事实上的数据本地化框架。美国决策者面临的压力将非常巨大,他们要求制定同样严格的规则,阻止大众、菲利普斯、西门子和赛诺菲等欧盟企业将其美国业务的数据传输到欧盟总部。
跨大西洋的数据流动具有巨大的经济影响。欧盟和美国的双向数字贸易从2005年的1660亿美元增长到2015年的2920亿美元。本报告中的部门案例研究表明了问题所在。尽管人们普遍误解数据流动只对搜索引擎和社交网络有利,但切断跨大西洋数据流动将对全球经济产生广泛影响。然而,一些欧盟决策者认为,限制或切断与美国的数据流动和数字贸易是一件好事,因为这符合他们的“数字主权”目标,但这样做其实也会损害数百家欧洲公司的利益。
欧盟和美国的政策制定者需要介入,避免对跨大西洋数据流动面临的挑战采取狭隘和法律主义的做法,应当努力重建新的高效跨大西洋数据框架。
本报告首先概述了跨大西洋数字关系的历史,以展示欧盟和美国如何不断认识到以合作的方式解决问题的价值。进而分析了跨大西洋数字贸易经济的价值。同时提供了一系列部门案例研究,以说明从汽车到生命科学再到互联网服务以及金融服务等不同部门的公司如何使用跨大西洋数据流动。最后,报告提出了建立更好、更强、更广泛的跨大西洋数字关系的建议。
关键要点
跨大西洋的数字关系正处于危机之中。随着欧盟和美国的“隐私盾”协议失效,以及其他数据传输的法律机制受到审查,事实上的数据本地化政策有可能对双方都造成伤害。
跨境数据流动对于从制造业、运输业到金融和互联网服务的整个经济体系中的企业来说都至关重要。因此,数以百万计的就业机会和跨大西洋贸易很大程度上依赖于强大的数字联系。
对数据流动的限制会更大地影响到中小企业。中小企业往往依赖数字工具来接触新客户发展业务。与大公司相比,中小企业更难以获得足够的资源来满足复杂的法律要求。
除了贸易和商业方面,政府机构在监管、调查犯罪、保护国家安全等方面同样依赖于跨境数据流动。
政策制定者应该重建一个强有力的跨大西洋数据流动框架。建立能够接替“隐私盾”协议的、新的符合GDPR的传输机制,并加强获取电子证据等执法方面的合作。
完全协调一致的政策是不现实的,但欧盟和美国应该更加务实,在共同价值观的基础上建立广泛的合作。
在影响全球数据共享框架、人工智能监管、电子身份证、标准制定、投资筛选以及数据和数字技术出口管制方面,务实的美欧数字联盟将是互利的。
政策建议
以下建议将为双方如何建立更好、更强、更广泛的跨大西洋数字关系提供思路:
1、协商新的“隐私盾”协议
欧盟和美国应采取短期和长期举措,建立一个持久全面的数据保护框架,保护个人、企业和政府的利益。
欧盟政策制定者不应该从隐私的角度来探讨这个问题,也不应该把希望寄托在美国颁布类似GDPR的数据隐私法上。一项全面的数据隐私法案可能会改善跨大西洋在数字问题上的合作环境,但合作仍需以务实精神为基础,并建立不同政权之间的共享机制。双方的政策制定者都应该牢牢扎根于这一点,平衡多重利益、不同数据隐私和国家安全体系的需要。
从根本上来说,欧盟和美国需要就一个新的“隐私盾”协议进行谈判。考虑到许多数据传输法律的不确定性,理想情况下,欧盟将提供一个短期的衔接机制。随着拜登政府花时间“行动起来”,法律上的不确定性只会继续增加,而法庭案件、EDPB指南和数据保护局(DPA)的决定使得传输变得极其困难甚至不可能。即使这样一个新的衔接机制是有时间限制的,它也将非常有助于为政府提供喘息的空间,解决隐私保护和更广泛的欧盟-美国数字问题。
值得庆幸的是,欧盟和美国承诺真诚合作,制定能够接替“隐私盾”协议的方案。鉴于欧盟法院的担忧,这一后续协议究竟应该是什么样子还很难说。例如,“隐私盾”协议设立了一个监察员,负责听取关于不必要地获取数据的投诉,这个监察员可以获得更大的独立性。任何新的协议都将是谈判的产物,不可避免地需要平衡所涉及的各种利益,包括国家安全。
从长远来看,欧盟和美国可以致力于立法和达成一项条约协议,将它们的一些承诺编成法典,特别是围绕政府获取数据和围绕数据本地化的限制。在理想情况下,建立新的跨大西洋数据隐私框架之后,美国和欧洲将与志同道合的国家共同制定一项“日内瓦数据公约”,以建立透明的国际规则,解决管辖权问题,促成合作,更好地协调国际执法请求,限制政府不必要地获取其他国家公民的数据。这也将有助于各国在跨境执法请求和行动方面遵循类似的规则和程序。各方同意不实施数据本地化(因为这将破坏协议的中心点)将解决本地化问题和数据流动障碍。
2、欧盟应加倍努力,在GDPR框架下建立新的数据传输机制
欧盟及其成员国需要调和隐私与其他利益之间的关系,而不是让对前者的担忧(主要是由公民社会倡导者推动的,他们将隐私问题置于几乎所有其他利益之上)超过后者(因为每个国家在平衡人权与经济、健康、安全以及其他权益方面都不可避免地这样做)。从经济和贸易的角度来看,欧盟认识到,数字化已经改变了全球经济,包括个人数据在内的数据跨境传输是欧洲各种规模、行业的企业日常运营的一部分。它还承认,这些商业交换依赖于个人数据流动,保护与交换个人数据并不是相互排斥的。它知道,不同数据保护系统之间更大的兼容性促进了个人数据的国际流动,这是全球贸易的一部分(也是政府间合作的一部分,如执法和监督)。然而,正如这份报告所显示的那样,GDPR并没有为企业提供一个广泛的、多样的、可访问的工具包来将个人数据转移到该地区之外。欧盟委员会和欧盟成员国需要确保欧洲对隐私权的态度更好地反映出这些更广泛的愿望和利益。
显然,欧盟的首要任务应该是谈判一项新的隐私保护协议,使SCC和BCR变得清晰、可预测和可访问。然而,为了使GDPR真正具有可访问性和适应性,欧盟还应加大力度,颁布行为准则和认证计划,为不同部门的公司提供更广泛、灵活的法律工具,以便根据GDPR合理、负责地管理数据。美国公司应该有机会参与这些讨论。
关于市场研究、健康研究和临床研究服务部门的潜在行为准则,已经进行了一些讨论,但这些讨论还没有得出最终结果。根据本报告的生命科学案例研究,一个值得特别关注的想法是欧盟和美国利益相关者共同开发一个基因组数据共享认证。对基因组数据的伦理、技术和管理过程的关注可以通过制定和使用新的国际标准来解决。这样的认证可以成为制定基因组数据共享行为准则的更广泛努力的一部分。这两个法律机制合在一起,将为所有利益相关者提供法律确定性,同时仍允许他们利用数据进行创新。
3、改善跨大西洋执法合作和数据请求
美国和欧盟应结束谈判,以改善跨大西洋执法调查中电子证据的获取。正如Schrems I 和 Schrems II所影响的情报信息共享最终使双方受益一样,双方都受益于以执法为目的的数据交换。谈判于2019年9月开始。一项协议将补充和发展现有的欧盟-美国保护伞协议、欧盟-美国乘客姓名记录协议和恐怖分子金融追踪计划。这些协议表明,美国和欧盟有一个最复杂的执法关系,一个为其他数据相关问题提供信任和善意的坚实基础。然而,这种合作和这些协议不能被认为是理所当然的,因为它们是在Schrems II之后接受审查的。
大约85%的刑事调查需要电子证据;在欧盟三分之二的调查中,需要从其他司法管辖区的在线服务提供商那里获取证据。鉴于美国拥有许多领先的互联网服务提供商,美国收到的来自欧洲和世界其他地区的请求越来越多。例如,从2013年到2018年,对主要在线服务提供商的请求增加了84%。问题是,目前管理执法部门跨境数据请求的法律框架已经过时,而且速度太慢。一项新的协议将改善执法调查,同时考虑隐私和其他问题。它将为互联网服务提供商提供一个明确的法律框架来管理请求,并消除世界其他地方的一些决策者试图证明数据本地化的动机。
值得庆幸的是,美国和欧洲都认识到,它们需要更新各自的法律框架,这表明它们有能力审视过去在跨大西洋数据治理方面正在发生的冲突。2018年,美国《澄清境外数据的合法使用法案》(CLOUD法案)生效,美国可以与其他国家协商云法案协议,以创建更新的框架来管理数据的执法请求。迄今为止,已与英国缔结了一项协定,并与澳大利亚和欧盟展开了谈判。与此同时,欧盟的电子证据倡议包括了授权与美国谈判新协议。无论是根据CLOUD法案还是其他法律机制达成协议,重要的是双方都要把解决这一问题作为建立更广泛、更具建设性的跨大西洋关系的一部分。
4、建立一个基于“数字现实政治”的跨大西洋议程
欧盟和美国应该建立一个在数据和数字政策问题上务实合作的议程——一个基于“数字现实政治”的议程,而不是片面地推动一个永远不会出现的协调一致的方法。欧盟委员会最近呼吁成立一个新的欧盟贸易和技术理事会,包括数据流动、网络安全、数字治理和跨大西洋人工智能协议,这是值得欢迎的。这反映出美国和欧盟长期以来的科技合作需要数字化升级。然而,任何这样的议程都必须以互利、建设性和务实的议程为基础。
在过去,欧洲发出的此类呼吁往往是基于这样一种预期,即美国只会像欧盟那样做。这不是就共同关心的双边、区域或全球问题进行真正合作的基础。各国可以合作制定共同的原则(基于共同的价值观),总的目标是建立广泛相似和可互操作的方法。
现在比以往任何时候都更需要建立在真正的共同价值观和“数字现实政治”基础上的跨大西洋合作。如果欧盟和美国希望新出现的全球准则能够反映他们许多共同的价值观,他们就需要共同努力。否则,各自为政和保护主义将继续破坏这些国家共同创造一个开放、有章可循、有利于创新的全球数字经济的机会。
欧盟和美国可以就一系列数据和数字政策问题开展工作,例如:如何开发互利和可访问的数据共享框架,包括公共和私人数据共享框架;如何开发和应用适当的人工智能规则;如何开发可互操作的电子身份识别系统;就数据和数字技术相关的标准化和合格评定问题进行合作等。
摘编 | 韩昱/赛博研究院实习研究员
赛博声明
本报告为赛博研究院摘编出品,仅用于公益交流,非商业目的。文中观点不代表本机构立场,内容和图片如有知识产权问题,请及时联系我们修改删除,如需转载请获得授权,请联系:public@sicsi.org.cn。