20年間，素來強(qiáng)調(diào)隱私和個(gè)人信息保護(hù)的歐盟，一直推動(dòng)高標(biāo)準(zhǔn)的個(gè)人數(shù)據(jù)保護(hù)制度，甚至延伸到個(gè)人數(shù)據(jù)跨境流動(dòng)。美歐之間的個(gè)人數(shù)據(jù)跨境轉(zhuǎn)移政策幾經(jīng)變化，已經(jīng)從“安全港”時(shí)代過渡到了目前的“隱私護(hù)盾”時(shí)代。

                                 20年間歐美個(gè)人數(shù)據(jù)跨境流動(dòng)政策變遷

　　“安全港”是歐美數(shù)據(jù)保護(hù)制度折中的產(chǎn)物

　　歐盟《1995年數(shù)據(jù)保護(hù)指令》對(duì)電腦處理個(gè)人數(shù)據(jù)提供了保護(hù)。指令第25條規(guī)定，只有當(dāng)?shù)谌絿彝ㄟ^相關(guān)國內(nèi)法或國際承諾，對(duì)個(gè)人數(shù)據(jù)提供充分保護(hù)時(shí)，才允許將歐盟公民個(gè)人信息轉(zhuǎn)移、存儲(chǔ)到該第三方國家進(jìn)行處理。這實(shí)際上禁止向歐盟以外的第三方國家轉(zhuǎn)移個(gè)人數(shù)據(jù)，除非歐洲委員會(huì)認(rèn)為該第三方國家能夠充分保護(hù)個(gè)人數(shù)據(jù)。目前，瑞士、新西蘭、加拿大、阿根廷等國家獲得了歐盟認(rèn)可。

　　《1995年數(shù)據(jù)保護(hù)指令》出臺(tái)之后，雅虎、谷歌等互聯(lián)網(wǎng)先鋒公司相繼成立，隨后，美國互聯(lián)網(wǎng)產(chǎn)業(yè)迎來快速發(fā)展。由于互聯(lián)網(wǎng)產(chǎn)品和服務(wù)超越國界，跨境收集、轉(zhuǎn)移、處理個(gè)人數(shù)據(jù)成為一個(gè)必然趨勢(shì)。然而，由于美國對(duì)個(gè)人數(shù)據(jù)采取行業(yè)分散保護(hù)機(jī)制，整體未能達(dá)到歐盟要求，這將妨礙在美國和歐盟之間跨境轉(zhuǎn)移個(gè)人數(shù)據(jù)。于是，為了滿足歐盟的充分保護(hù)要求，雙方于2000年達(dá)成了一個(gè)折中的安全港協(xié)定。之后，歐洲委員會(huì)通過“2000/520號(hào)充分保護(hù)決定”，確認(rèn)安全港隱私原則及附屬條款對(duì)個(gè)人數(shù)據(jù)的保護(hù)達(dá)到了歐盟的充分保護(hù)要求。這大大便利了雙邊個(gè)人數(shù)據(jù)流動(dòng);只要美國企業(yè)加入安全港，并公開承諾遵守安全港的要求，就可以將歐盟公民個(gè)人信息轉(zhuǎn)移到美國境內(nèi)進(jìn)行處理。美國中小企業(yè)尤其從中受惠。

　　歐盟法院否定“安全港”

　　美歐個(gè)人數(shù)據(jù)跨境流動(dòng)前途未卜

　　2013年，美國監(jiān)控丑聞曝光，歐盟成員國數(shù)據(jù)保護(hù)機(jī)構(gòu)紛紛質(zhì)疑安全港協(xié)定;于是，2014年1月，歐盟和美國開始啟動(dòng)談判，磋商新的數(shù)據(jù)跨境協(xié)定，以取代當(dāng)時(shí)還有效的安全港協(xié)定。不料，新協(xié)定尚未達(dá)成，歐盟法院就率先否決了安全港協(xié)定。

　　2015年10月6日，歐盟法院一紙判決否決了安全港協(xié)定，數(shù)千美國企業(yè)跨大西洋轉(zhuǎn)移歐盟公民個(gè)人數(shù)據(jù)失去庇護(hù)。11月6日，歐洲委員會(huì)發(fā)布指南，在督促盡快達(dá)成新協(xié)定的同時(shí)，為保障跨大西洋轉(zhuǎn)移個(gè)人數(shù)據(jù)提出其他可選方案，包括合同方案和有效公司規(guī)則。

　　案件源于奧地利公民Schrems針對(duì)Facebook跨境轉(zhuǎn)移其個(gè)人數(shù)據(jù)而向愛爾蘭數(shù)據(jù)保護(hù)委員會(huì)提出的投訴。愛爾蘭數(shù)據(jù)保護(hù)委員會(huì)拒絕了這一投訴;Schrems遂起訴到愛爾蘭高等法院。愛爾蘭高等法院認(rèn)為，一旦歐盟公民個(gè)人數(shù)據(jù)被轉(zhuǎn)移到美國，在不加區(qū)分的大規(guī)模監(jiān)控、攔截過程中，NSA、FBI等聯(lián)邦機(jī)構(gòu)就可能非法獲取這些數(shù)據(jù);考慮到案件涉及歐洲委員會(huì)“2000/520號(hào)充分保護(hù)決定”，故提請(qǐng)歐盟法院作出裁決。歐盟法院認(rèn)為，歐洲委員會(huì)沒有盡職調(diào)查美國對(duì)個(gè)人數(shù)據(jù)實(shí)際上是否提供充分保護(hù)，僅僅通過審查安全港協(xié)定，就得出武斷結(jié)論。此外，美國國家安全、執(zhí)法訴求等凌駕于安全港之上，可以對(duì)跨境轉(zhuǎn)移到美國的歐盟公民個(gè)人信息采取監(jiān)控、攔截、獲取等措施。在這樣的背景下，“2000/520號(hào)充分保護(hù)決定”其實(shí)沒能達(dá)到《1995年數(shù)據(jù)保護(hù)指令》所要求的充分保護(hù)程度，因此無效，安全港因而遭到否定。

　　“隱私護(hù)盾”開創(chuàng)美歐個(gè)人數(shù)據(jù)跨境轉(zhuǎn)移新秩序

　　安全港被歐盟法院否定之后，雙方談判加速。2016年2月2日，歐洲委員會(huì)宣布，雙方已經(jīng)達(dá)成一個(gè)新協(xié)定，名曰“歐盟-美國隱私護(hù)盾”。2月29日，隱私護(hù)盾姍姍來遲，公之于眾。同安全港一樣，隱私護(hù)盾也包含七大隱私原則，但是內(nèi)涵要比安全港隱私原則豐富。

　　此外，隱私護(hù)盾還包含一系列補(bǔ)充原則，涉及針對(duì)處理個(gè)人敏感信息的特殊規(guī)定、新聞例外原則、ISP和電信運(yùn)營商(提供傳輸、發(fā)送、轉(zhuǎn)換、緩存等服務(wù))不承擔(dān)次級(jí)責(zé)任的原則、從事盡職調(diào)查和審計(jì)的例外、數(shù)據(jù)保護(hù)機(jī)構(gòu)的角色、自我確認(rèn)程序等。在歐洲委員會(huì)起草的“充分保護(hù)決定”中，包含這些原則。

　　相比于安全港，隱私護(hù)盾的進(jìn)步之處體現(xiàn)在四個(gè)方面。

　　其一，美國企業(yè)負(fù)擔(dān)更強(qiáng)義務(wù)。雖然參加隱私護(hù)盾是自愿的，但是一旦美國企業(yè)提交參加隱私護(hù)盾的自我確認(rèn)書，就應(yīng)當(dāng)完全遵守其中的所有隱私原則，而且需要公開其隱私政策、執(zhí)法部門獲取個(gè)人信息的請(qǐng)求等。此外，聲明其符合并遵守隱私護(hù)盾之要求的自我確認(rèn)書必須至少每年提交一次，否則就會(huì)被從隱私護(hù)盾名單中除名。在監(jiān)督和執(zhí)法方面，美國商務(wù)部、聯(lián)邦貿(mào)易委員會(huì)(FTC)、交通部等有權(quán)部門負(fù)責(zé)監(jiān)督參加隱私護(hù)盾的美國企業(yè)履行義務(wù)，并作出處罰和制裁，包括可以依據(jù)《FTC法》第45條，認(rèn)定違反企業(yè)構(gòu)成不正當(dāng)競(jìng)爭(zhēng)手段，給予嚴(yán)厲處罰，包括罰金、除名等。

　　其二，賦予歐盟公民更強(qiáng)數(shù)據(jù)權(quán)利和多種救濟(jì)可能性。2015年12月15日，歐盟三方(歐洲議會(huì)、歐盟理事會(huì)、歐洲委員會(huì))初步達(dá)成《一般數(shù)據(jù)保護(hù)指令》(GDPR)，這是歐盟啟動(dòng)數(shù)據(jù)保護(hù)立法改革四年來的最新成果。GDPR旨在加強(qiáng)個(gè)體對(duì)其個(gè)人信息的控制力，為其賦予更強(qiáng)數(shù)據(jù)權(quán)利，被遺忘權(quán)赫然在列。所以，作為安全港之升級(jí)版的隱私護(hù)盾，其中的隱私原則及補(bǔ)充原則的內(nèi)涵大大豐富、細(xì)化了。此外，在對(duì)歐盟公民的救濟(jì)方面，新協(xié)定為歐盟公民提供了多種救濟(jì)渠道。第一，歐盟公民可以直接向美國企業(yè)提出請(qǐng)求和投訴，后者必須于45日內(nèi)作出回應(yīng);第二，參加隱私護(hù)盾的美國企業(yè)必須提供免費(fèi)的替代性糾紛解決機(jī)制(ADR)并告知用戶以便其可以進(jìn)行投訴;第三，可以直接向其本國數(shù)據(jù)保護(hù)機(jī)構(gòu)進(jìn)行投訴，后者負(fù)責(zé)將投訴轉(zhuǎn)交美國商務(wù)部，美國商務(wù)部必須于90日內(nèi)作出回應(yīng)，或者將投訴轉(zhuǎn)交FTC處理;第四，如果窮盡前述方式未能解決爭(zhēng)議，最后可以訴諸一個(gè)名為Privacy Shield Panel的仲裁程序。

　　其三，對(duì)美國政府進(jìn)行網(wǎng)絡(luò)監(jiān)控、獲取個(gè)人信息的明確限制。對(duì)美國企業(yè)而言，只有在以下情形下才可以不用遵守隱私護(hù)盾隱私原則及補(bǔ)充原則，包括：為了滿足必要的國家利益、公共利益或者執(zhí)法需求;制定法、政府法規(guī)、判例法有沖突規(guī)定;歐盟和成員國法律的例外、減損規(guī)定等。美國政府獲取歐盟公民個(gè)人信息明確限于以下六個(gè)目的：一是偵測(cè)、反擊外國勢(shì)力的特定行動(dòng);二是反恐;三是反制核擴(kuò)散;四是網(wǎng)絡(luò)安全;五是偵測(cè)、反制對(duì)美國和同盟軍事力量構(gòu)成的威脅;六是打擊國際犯罪威脅，包括逃避刑事制裁的行為。美國方面承諾不再進(jìn)行大規(guī)模的任意監(jiān)控。此外，在美國國務(wù)院設(shè)立一個(gè)獨(dú)立的監(jiān)察員，負(fù)責(zé)處理涉及政府部門監(jiān)控、獲取個(gè)人信息的投訴。這些要求和美國國內(nèi)對(duì)大規(guī)模監(jiān)控的限制相一致。比如，2014年1月，美國總統(tǒng)奧巴馬簽發(fā)第28號(hào)《總統(tǒng)政策指令》(PPD-28)，將大規(guī)模收集數(shù)據(jù)限于六大國家安全目的，并且情報(bào)部門收集數(shù)據(jù)應(yīng)當(dāng)有明確的針對(duì)對(duì)象。此外，2015年6月通過的《美國自由法》對(duì)網(wǎng)絡(luò)監(jiān)控作出了必要限制，并要求科技企業(yè)發(fā)布透明度報(bào)告。

　　其四，年度審查機(jī)制。為了確保隱私護(hù)盾的有效運(yùn)作，并監(jiān)督美國履行其承諾，歐洲委員會(huì)會(huì)同美國商務(wù)部每年對(duì)隱私護(hù)盾的相關(guān)情況進(jìn)行一次審查，并公開其審查報(bào)告。這比《一般數(shù)據(jù)保護(hù)條例》的相關(guān)規(guī)定更為嚴(yán)格，因?yàn)楹笳咭笾辽倜克哪陮?duì)第三方國家的隱私保護(hù)情況進(jìn)行一次審查。此外，年度審查并非形式上的。如果美國企業(yè)和政府部門未遵守其承諾，歐洲委員會(huì)就可以暫停隱私護(hù)盾的運(yùn)作。

　　呼喚數(shù)據(jù)保護(hù)的國際規(guī)則

　　在數(shù)字經(jīng)濟(jì)發(fā)展、全球經(jīng)貿(mào)日益緊密的今天，個(gè)人數(shù)據(jù)跨境流動(dòng)日益頻繁，數(shù)據(jù)跨境流動(dòng)及個(gè)人數(shù)據(jù)保護(hù)制度的國際規(guī)則也日益提上日程，如TPP、中美投資保護(hù)協(xié)定、Apec隱私保護(hù)框架等都涉及相關(guān)制度。我國目前互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展迅猛，應(yīng)積極推動(dòng)個(gè)人數(shù)據(jù)保護(hù)等相關(guān)制度與國際接軌，積極參與國際規(guī)則的制定。