孟現(xiàn)雪
摘? ?要:隨著數(shù)字貿(mào)易全球化的發(fā)展,個人數(shù)據(jù)信息在國境內(nèi)外頻繁流動的過程中時刻面臨著被侵害、被泄露等事件,這就要求我們對個人數(shù)據(jù)信息給予嚴格保護。美國和歐盟是數(shù)字貿(mào)易的重要參與者,兩者間的數(shù)據(jù)流動十分頻繁。為突破歐盟數(shù)據(jù)保護法規(guī)的限制,美國利用《安全港協(xié)議》和《隱私盾協(xié)議》兩項雙邊協(xié)議,實現(xiàn)了歐盟數(shù)據(jù)信息在美國境內(nèi)的自由流動,促進了數(shù)字貿(mào)易的飛速發(fā)展。從數(shù)字貿(mào)易著手,通過著力分析《安全港協(xié)議》與《隱私盾協(xié)議》中個人數(shù)據(jù)信息保護問題,為我國的個人數(shù)據(jù)信息保護框架提出可行性建議,以期在實現(xiàn)數(shù)字貿(mào)易發(fā)展的同時保障我國的個人數(shù)據(jù)信息安全。
關鍵詞:數(shù)字貿(mào)易;個人數(shù)據(jù)信息;《安全港協(xié)議》;《隱私盾協(xié)議》
中圖分類號:D922.28? ? ? ?文獻標志碼:A? ? ? 文章編號:1673-291X(2024)08-0137-04
一、數(shù)字貿(mào)易及個人數(shù)據(jù)信息的概念
(一)數(shù)字貿(mào)易的概念
“數(shù)字貿(mào)易”起源于電子商務,與傳統(tǒng)經(jīng)濟相對應,是數(shù)字經(jīng)濟推進進程中催生出的全新的經(jīng)濟形態(tài),各經(jīng)濟組織間暫未形成統(tǒng)一的界定。較為成熟的概念來源于美國國家貿(mào)易委員會(USITC),USITC在其報告中對“數(shù)字貿(mào)易”進行了狹義和廣義的區(qū)分。狹義的“數(shù)字貿(mào)易”是指通過互聯(lián)網(wǎng)傳輸而實現(xiàn)的產(chǎn)品和服務的商業(yè)活動,認為其是“無形的數(shù)字產(chǎn)品和服務貿(mào)易”,并將其分為社交網(wǎng)站服務、搜索引擎服務、數(shù)字內(nèi)容服務和其他數(shù)字服務四大類。廣義的“數(shù)字貿(mào)易”將通過互聯(lián)網(wǎng)交易的實物貿(mào)易(即電子商務)納入到數(shù)字貿(mào)易中。美國貿(mào)易代表辦公室指出,數(shù)字貿(mào)易是廣泛的概念,不僅包括通過互聯(lián)網(wǎng)進行的產(chǎn)品銷售以及在線服務的提供,還包括全球價值鏈數(shù)據(jù)流、智能制造相關服務以及各類平臺和應用。
(二)個人信息的概念
個人信息的界定是個人信息保護的起點,也是一個復雜而有爭議的問題,全球共有“隱私說”“關聯(lián)說”“識別說”三種評判標準。
隱私說。該理論最早起源于美國。Parent教授認為,個人信息是指社會中多數(shù)所不愿向外透露者(除了對朋友、家人之外),或者個人極敏感而不愿他人知道者。由此可知,針對“隱私”這一概念的理解,主要取決于信息主體的認知程度和價值判斷,其評判標準具有較高的主觀隨意性,難以形成統(tǒng)一的標準。不同信息主體對同一信息內(nèi)容存在不同的理解,若認知偏差就會導致數(shù)據(jù)跨境流動的發(fā)展與個人信息保護之間產(chǎn)生價值沖突。
關聯(lián)說。該理論主張,個人信息應包括人之內(nèi)心、身體、身份、地位及其他關于個人之一切事項之事實、判斷、評價等所有信息,即個人信息既包括個人年齡、身體狀況、體貌特征等與個體私生活有關的個人信息,還應包括個體參加的社會實踐活動、團體成員對個體的評價結(jié)果等在內(nèi)的與個體有關的一切信息集合。該理論涵蓋了與個體有關的所有信息,將個體信息內(nèi)容進行無限放大,在對個體信息給予全方位保護的同時,也加大了跨境流動過程中對數(shù)據(jù)的保護難度。
識別說。該理論是全球個人信息保護的主流觀點。不論信息內(nèi)容是否與主體有關,只要能夠直接或間接地鎖定特定自然人的身份,就都屬于個人信息的范疇。若某一信息可直接識別出某一個體特征,則該信息屬于法律保護的范圍之內(nèi),比如身份證號碼、指紋、基因等;若某一信息不能直接斷定某一個體,但是,當與其他信息相結(jié)合可以間接識別出某一個體時,那該信息也值得保護。例如,姓名在一般情況下可以直接判斷某一個體特征,但是在出現(xiàn)重名的情況下,其可以依靠出生年月日、家庭住址、父母親信息等間接推斷出某一個體特征,該類信息屬于輔助性信息,在數(shù)據(jù)跨境流通的過程中也需要給予保護??偠灾?,當某信息可以識別出個體特征時,該信息則被統(tǒng)歸為法律所保護的個人信息,其雖然沒有明確具體的劃分標準,但為個人信息的保護提供了可圈可點的確定范圍。
二、美歐《安全港協(xié)議》及《隱私盾協(xié)議》
(一)美歐《安全港協(xié)議》
作為經(jīng)濟大國,美國的跨國公司遍及全球,相應地就要求個人數(shù)據(jù)信息自由流通。與歐盟的“數(shù)據(jù)保護主義”政策相反,美國更傾向于將個人數(shù)據(jù)信息視為個人財產(chǎn),強調(diào)數(shù)據(jù)在國際間自由流通,其將限制數(shù)據(jù)跨境流動的數(shù)據(jù)本土化的保護措施視為貿(mào)易壁壘,會阻礙經(jīng)濟貿(mào)易的發(fā)展。由于二者之間的法律規(guī)制、數(shù)據(jù)隱私保護理念、管理模式的不同,使之在跨境貿(mào)易中無法達到融合。2000年12月,為了促進美歐之間的商業(yè)合作,美國商業(yè)部和歐盟簽訂了數(shù)據(jù)保護協(xié)議,即《安全港協(xié)議》,該協(xié)議旨在調(diào)和美歐間數(shù)據(jù)流動規(guī)制的差異,促進數(shù)據(jù)流動,以實現(xiàn)數(shù)字貿(mào)易全球化發(fā)展。
《安全港協(xié)議》是歐盟與美國的第一份跨境數(shù)據(jù)流動充分性的協(xié)議,協(xié)議的簽訂暗示著以美國為代表的行業(yè)自律和市場調(diào)節(jié)機制為主的松散立法體制向以歐盟為代表的統(tǒng)一立法體制暫時做出了讓步。歐盟在《個人數(shù)據(jù)保護指令》中規(guī)定了“國際數(shù)據(jù)傳遞”規(guī)則,即只有當?shù)谌龂鴶?shù)據(jù)保護的水平達到“充分性”標準時,才能將個人資料轉(zhuǎn)移或傳輸至第三國。美國這種松散立法模式難以達到歐盟“充分保護”標準。為了迎合歐盟立法、拓展歐盟經(jīng)濟市場,美國設立了“安全港”。所謂的“安全港”其實是由美國商務部建立的一個公共目錄,在聯(lián)邦交易委員會和美國交通運輸部管轄下的任何組織,自愿遵守“安全港”的規(guī)則就可以加入該公共目錄,成為“安全港”的一員?!栋踩蹍f(xié)議》主要包括七項原則和常見問題及答案兩部分。歐盟認為,根據(jù)自愿原則,有關的網(wǎng)絡服務商加入“安全港”,就表示該服務商承認七項原則,遵守歐盟的數(shù)據(jù)保護政策,對數(shù)據(jù)信息的保護也已經(jīng)達到了《通用數(shù)據(jù)保護條例》的“充分性”標準。在此要求下,美國企業(yè)便可進入歐盟市場,收集、處理、利用歐盟公民的個人數(shù)據(jù)信息。
《安全港協(xié)議》不僅體現(xiàn)出美歐之間的斗爭與妥協(xié),還新創(chuàng)出“數(shù)據(jù)自由化”與“數(shù)據(jù)本土化”之間的折中狀態(tài),對個人數(shù)據(jù)信息保護和數(shù)字經(jīng)濟全球化的發(fā)展具有重要意義。一方面,“美國行業(yè)自律模式”與“歐盟機構(gòu)立法模式”相融合,“數(shù)據(jù)自由化”與“數(shù)據(jù)本土化”相結(jié)合,極大促進了個人數(shù)據(jù)信息流動與保護間的平衡,實現(xiàn)了個人信息跨境流動的規(guī)范化管理。另一方面,美歐之間的市場準入機制的改變,推進了兩者之間電子商務活動的開展,有利于促進雙方貿(mào)易往來,實現(xiàn)數(shù)字經(jīng)濟的發(fā)展。
但是,2013年“斯諾登事件”中美國“棱鏡計劃”事件被曝光,以及2015年歐盟法院宣布《安全港協(xié)議》因違反《指令》規(guī)定而無效,一方面表明美歐模式在個人信息保護方面難以兼容,另一方面也表明,在繁雜的數(shù)字貿(mào)易實踐中,數(shù)據(jù)跨境流動管理的法律制度需要不斷進行調(diào)整,以規(guī)避互聯(lián)網(wǎng)時代下人人成為網(wǎng)絡“透明人”的風險。《安全港協(xié)議》本身也存有弊端。一是準入機制方面,美國企業(yè)可通過自愿的方式加入“安全港”。加入即視為承諾,對于其是否達到“充分性”保護標準無人進行審查,且因手續(xù)簡單、程序模糊、機制不透明,難以形成統(tǒng)一的準入標準。二是懲處機制方面。由于《安全港協(xié)議》屬于合作協(xié)議性質(zhì),其不具有法律強制效果,針對企業(yè)的違規(guī)行為,不得以“侵犯隱私罪”論處,只能以商業(yè)合作中的“商業(yè)欺詐”懲處,該處罰后果與違規(guī)行為間明顯不適等。三是救濟機制方面。當歐盟個人數(shù)據(jù)信息在美國遭到不適當使用時,由于救濟流程過于復雜,不利于申訴,且此時歐盟管理機制難以介入,使得數(shù)據(jù)信息主體的救濟權(quán)力難以得到保障。
(二)美歐《隱私盾協(xié)議》
2013年“斯諾登事件”的爆發(fā)和《安全港協(xié)議》被訴無效案引發(fā)歐盟及其成員國對本國數(shù)據(jù)跨國流通的擔憂,使得美歐之間平穩(wěn)的合作關系出現(xiàn)了極大的挑戰(zhàn)與不確定性。在數(shù)字經(jīng)濟全球化飛速發(fā)展的當今時代,量值龐大的數(shù)據(jù)信息本應在國際間自由流通,以發(fā)揮數(shù)據(jù)的經(jīng)濟價值,實現(xiàn)雙方貿(mào)易共贏。正是意識到數(shù)據(jù)驅(qū)動下的核心競爭力因素,歐美間于2016年再次簽訂了《隱私盾協(xié)議》。該協(xié)議是歐盟與美國的第二份跨境數(shù)據(jù)流動充分性的協(xié)議,其意味著美國對歐盟利益的再次妥協(xié),是歐盟立法保護與美國行業(yè)自律的折中選擇,是美歐之間實現(xiàn)數(shù)據(jù)共享與數(shù)據(jù)保護相平衡的又一創(chuàng)新之舉。
簡單地說,《隱私盾協(xié)議》是對《安全港協(xié)議》的繼承與發(fā)展。一方面,美歐《隱私盾協(xié)議》繼續(xù)適用《安全港協(xié)議》精華部分。首先表現(xiàn)在宗旨方面,兩者都體現(xiàn)美歐雙方想通過放寬政策,力求尋找保護數(shù)據(jù)安全與數(shù)據(jù)自由流通的折中狀態(tài),為美歐之間的商業(yè)貿(mào)易提供數(shù)據(jù)便利,以促進雙方的經(jīng)濟往來。其次是遵循原則方面,《隱私盾協(xié)議》仍采用行業(yè)自律的參加方式,申請加入的美國企業(yè)應遵循七項隱私原則。該原則與《安全港協(xié)議》的七項原則保持一致,但又在該原則的基礎之上對原則進行解釋與補充,重新優(yōu)化了原則內(nèi)容,彌補了先前協(xié)議的種種弊端。
另一方面,《隱私盾協(xié)議》以《安全港協(xié)議》為基礎,并有了新的創(chuàng)新與變革。經(jīng)過“斯諾登事件”后,人們不僅僅關注數(shù)據(jù)流通中數(shù)據(jù)的安全問題,也開始意識到數(shù)據(jù)泄露后救濟問題的重要性。美歐《隱私盾協(xié)議》包含完整的爭議糾紛解決機制和數(shù)據(jù)主體權(quán)力救濟機制,旨在著力解決跨境數(shù)據(jù)的保護與侵害問題。首先是強化數(shù)據(jù)主體的救濟權(quán)力方面,《安全港協(xié)議》中規(guī)定,當個人信息遭到侵害時,可以向美國商業(yè)改善局(Better Business Bureau)提交投訴意見,解決方式單一且效率低下,這是《安全港協(xié)議》的一個主要缺陷。與之相比,《隱私盾協(xié)議》確立了申訴機制,個人可以直接向數(shù)據(jù)控制者進行投訴,企業(yè)必須在45天之內(nèi)給予回應;如果個人向歐盟的數(shù)據(jù)保護機構(gòu)進行投訴,將由美國商務部予以受理、審查,盡最大的努力促進爭議解決,并于90天內(nèi)向數(shù)據(jù)保護機構(gòu)作出回復。同時,《隱私盾協(xié)議》中還設定了三種替代性糾紛解決機制,若經(jīng)過申訴、替代性糾紛解決機制處理仍未解決數(shù)據(jù)問題,數(shù)據(jù)主體可直接向美國仲裁機構(gòu)提起仲裁。仲裁裁決具有拘束性,在收到仲裁結(jié)果后,數(shù)據(jù)主體可以向當?shù)胤ㄔ荷暾垙娭茍?zhí)行等。其次是增加數(shù)據(jù)控制者的義務方面,《安全港協(xié)議》中規(guī)定,企業(yè)依自愿申請加入“安全港”,申請就意味著該企業(yè)默認七項原則規(guī)定。但未設定審查機構(gòu)對其進行監(jiān)督,所以導致企業(yè)權(quán)力濫用?!峨[私盾協(xié)議》中除自愿申請加入外,要求企業(yè)在加入前首先進行自我認證,加入后需要定期進行自我審核,同時接受美國政府或聯(lián)邦貿(mào)易委員會的定期合規(guī)檢查,并要求企業(yè)作出遵循協(xié)議保護個人數(shù)據(jù)及隱私的公開承諾,該公開承諾具有法律約束力與強制力,當企業(yè)違反承諾,未按照要求使用數(shù)據(jù)進行跨境貿(mào)易,則應當承擔嚴重后果,美國商務部有權(quán)將其從隱私盾企業(yè)名單上剔除,并剝奪該企業(yè)對收集數(shù)據(jù)的控制權(quán)。最后是安全機構(gòu)準入方面,這是一項全新的制度,旨在提高數(shù)據(jù)收集過程的透明度與安全性能。為防止美國政府借用國家安全的名義進行無差別的大數(shù)據(jù)監(jiān)控行為,《隱私盾協(xié)議》要求美國企業(yè)在收集數(shù)據(jù)時,要采用小范圍、有針對性的收集方式,對于情報機構(gòu)采用無差別的大規(guī)模的數(shù)據(jù)監(jiān)控所收集到的信息,僅適用于反恐、網(wǎng)絡安全等特定領域。協(xié)議中首次要求美國政府向歐盟提供書面的承諾和保證,并確保行政機構(gòu)在法律執(zhí)行、維護國家安全和保障公共利益活動中有明確的權(quán)力范圍、保障與監(jiān)管機制。同時,美國還設定了專門的監(jiān)督人員——監(jiān)察員。監(jiān)察員獨立于國家安全機構(gòu),主要任務是處理個人投訴問題,為歐盟數(shù)據(jù)主體提供救濟渠道。
總的來說,相比《安全港協(xié)議》,《隱私盾協(xié)議》在內(nèi)部與外部審查機制、強化數(shù)據(jù)主體權(quán)力機制、權(quán)力受侵害后的救濟機制等方面都實現(xiàn)了質(zhì)的突破。但外界也存在很多質(zhì)疑的聲音,如對申訴程序過于復雜煩瑣、整體缺乏透明度、美國政府依舊難以達到充分保護標準等一系列問題的質(zhì)疑,但其與《安全港協(xié)議》本質(zhì)一致,都是美國政府為趨于歐盟市場所做出的最大程度的妥協(xié)。隨著2020年7月歐盟法院宣告《隱私盾協(xié)議》無效,美歐之間的數(shù)字貿(mào)易受到限制,數(shù)字經(jīng)濟全球化的進程受到很大的阻撓,嚴重影響了全球跨境數(shù)據(jù)流動規(guī)則的構(gòu)建。
雖然《安全港協(xié)議》和《隱私盾協(xié)議》都因無法滿足歐盟“充分性”的數(shù)據(jù)保護標準而被歐盟法院宣布無效,但兩協(xié)議代表了美歐之間關于數(shù)據(jù)自由流動與數(shù)據(jù)立法保護間一次又一次的嘗試與創(chuàng)新,為個人數(shù)據(jù)信息跨境傳輸提供了藍本,為其他國家數(shù)據(jù)保護的建設提供了重要的借鑒和引領作用。隨著大數(shù)據(jù)時代的到來,越來越多的國家意識到“個人數(shù)據(jù)”的價值,實現(xiàn)數(shù)據(jù)自由流通與數(shù)據(jù)保護雙贏已成為時代焦點問題。協(xié)議的簽訂不僅僅是歐美間個人數(shù)據(jù)信息保護的法律趨同化的體現(xiàn),更是國際社會為適應經(jīng)濟變化所作出的關于數(shù)據(jù)保護的法律趨同化的征兆。
三、對我國個人數(shù)據(jù)信息保護機制的啟示
作為人口大國、數(shù)據(jù)強國,我國的數(shù)據(jù)基礎、市場基礎以及國家政策基礎正在逐步適應數(shù)字貿(mào)易全球化的發(fā)展趨勢。但在情況多變的具體跨境實踐中,缺乏獨立的個人數(shù)據(jù)信息監(jiān)管機構(gòu)、數(shù)據(jù)保護規(guī)范零散、企業(yè)自律性不高、國際參與度不夠等缺點不斷凸顯,在享受數(shù)據(jù)紅利的同時,也面臨著數(shù)據(jù)跨境的風險問題。因此,要在借鑒美歐國家間個人數(shù)據(jù)信息保護經(jīng)驗的基礎之上,完善我國跨境數(shù)據(jù)保護的相關制度,積極推進貿(mào)易談判,在促進數(shù)字經(jīng)濟發(fā)展的同時,加強對數(shù)據(jù)信息安全的重視。
(一)積極參與國際合作,推動構(gòu)建國際規(guī)則
數(shù)字貿(mào)易是經(jīng)濟全球化和數(shù)字化的產(chǎn)物,對國際經(jīng)濟合作和競爭有著重要的影響。數(shù)字貿(mào)易的發(fā)展也帶來了新的挑戰(zhàn)和機遇,如數(shù)據(jù)安全、個人隱私、數(shù)字治理等。在這樣的背景下,中國作為一個數(shù)字貿(mào)易大國,應當積極參與世界合作,在國際合作中不斷提高話語權(quán)和國際地位。數(shù)字貿(mào)易涉及多個國家和地區(qū),需要有協(xié)調(diào)統(tǒng)一的法律規(guī)則和標準來規(guī)范和促進。在面對海量數(shù)據(jù)跨境傳輸?shù)臅r候,我國應積極推動構(gòu)建個人數(shù)據(jù)信息保護機制,在個人數(shù)據(jù)保護問題上貢獻中國智慧,與國際社會一道探索出一條大數(shù)據(jù)時代適應當今社會發(fā)展的個人數(shù)據(jù)保護之路。
(二)建立健全我國個人數(shù)據(jù)信息跨境流動的保護制度
我國已經(jīng)建立了以《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》為核心的個人數(shù)據(jù)信息跨境制度法律框架,以及相關的法律法規(guī)草案,為個人數(shù)據(jù)信息跨境流動提供了法律依據(jù)和規(guī)范要求。但是,現(xiàn)有的規(guī)則較為零散,缺乏全面、完整的個人信息跨境流動保護體系。我國應當汲取歐盟的優(yōu)秀經(jīng)驗,結(jié)合我國具體實踐,推動形成系統(tǒng)的個人信息保護法律框架體系,健全我國跨境數(shù)據(jù)的保護制度。
(三)加大對企業(yè)的監(jiān)管力度,推動企業(yè)建立行業(yè)自律機制
作為數(shù)據(jù)信息的收集者、處理者,企業(yè)或組織在數(shù)據(jù)流動跟數(shù)據(jù)安全間的平衡中發(fā)揮著重要的作用。我國法律嚴格規(guī)范數(shù)據(jù)收集者的義務,對違反規(guī)定的企業(yè)最高處以5 000 萬元或上一年度營業(yè)額5%的罰款。我國法律應結(jié)合個人數(shù)據(jù)信息量從嚴從重處罰違法違規(guī)行為,加大對企業(yè)的監(jiān)管力度,形成震懾力。與此同時,我國應當借鑒美國的行業(yè)自律規(guī)范,推動企業(yè)自身對數(shù)據(jù)信息保護制度的建設,完善企業(yè)自身的信息保護水平。
(四)加強人才培養(yǎng)和能力建設,提升數(shù)字貿(mào)易的創(chuàng)新和競爭力
數(shù)字貿(mào)易是一種高技術、高附加值、高智能的貿(mào)易形式,需要有大量的專業(yè)人才和高素質(zhì)的從業(yè)者來支撐和推動。我國應該加強數(shù)字貿(mào)易的人才培養(yǎng)和能力建設,加強教育和培訓,培養(yǎng)數(shù)字貿(mào)易的理論知識和實踐知識的人才,培養(yǎng)具有數(shù)字貿(mào)易儲備人才的專業(yè)水平和職業(yè)素養(yǎng),提高數(shù)字貿(mào)易的人才供給和質(zhì)量,激發(fā)數(shù)字貿(mào)易的創(chuàng)新活力和潛力,提升數(shù)字貿(mào)易的核心競爭力和國際影響力。
參考文獻:
[1]? ?王孛.美國與歐盟個人信息跨國流通安全港協(xié)議簡論[J].知識經(jīng)濟,2008(4):46-47.
[2]? ?胡煒.跨境數(shù)據(jù)流動的國際法挑戰(zhàn)及中國應對[J].社會科學家,2017(11):107-112.
[3]? ?王輝.歐盟與美國達成“信息安全港”協(xié)議[J].全球科技經(jīng)濟瞭望,2000(11):4-5.
[4]? ?劉志雄.跨境數(shù)據(jù)流動的全球態(tài)勢及對我國的啟示[J].人民論壇,2021(33):102-105.
[5]? ?鄭遠民,鄭和斌.網(wǎng)絡時代跨境個人數(shù)據(jù)保護救濟機制探究:以《歐美隱私盾》為例[J].廣西大學學報(哲學社會科學版),2018(2):42-48.
[6]? ?劉碧琦.美歐《隱私盾協(xié)議》評析[J].國際法研究,2016(6):35-47.
[7]? ?高紅靜.歐盟個人數(shù)據(jù)保護的做法及啟示[J].保密科學技術,2018(9):1,53-59.
[責任編輯? ?興? ?華]