罗汉堂

欧美跨境数据流动关系,对中国意味着什么

隐私对于不同的人和不同的国家有着不同含义。美国谈起隐私,是指你不要受到打扰。还有一种隐私的概念,就是控制,谁可以收集数据,谁可以使用数据,谁可以传播数据。从美国的角度看,有两点在隐私的概念里是非常重要的。一个是保护消费者的数据不受商业滥用。美国的方式是在联邦层面为一些行业立法,同时50个州中的每个州都有各自立法。还有一点是保护个人隐私不受政府侵犯。从18世纪开始,我们的宪法里面就已经具备了公民受到保护的内容。保护不仅针对刑事执法,而且针对国家安全局,延伸到海外情报和国家安全的领域。

隐私的一方面是指信息隐私。数据保护是用于世界其他地方的一种说法。这里我想跟大家分析一个案例,来说明欧盟和美国之间数据流动的关系。在GDPR生效之前,欧洲已经有相应的1995法令,如果数据要离开欧盟成员国的话,首先有一个法律基础才能够传输数据。这个法律基础可以是在国家层面,如果欧盟国家和对方的国家有类似的数据保护法律的话,欧盟就会认可跨境的数据得到了充分的保护。

美国并没有联邦层面的统一的法律来监管商业机构使用个人信息。我们也没有从欧洲那里得到个人信息保护充分或者完全充分的认定,于是美国与欧盟最初达成了一个所谓“安全港”的协议。

在公司的层面,也必须有合法基础。通过标准合同条款(Standard Contract Clauses)和约束企业规则( Binding Corporate Rules),公司承诺他们使用个人信息的方式。据我了解,有些中国公司以这种公司层面的规则为基础进行数据传播和转移。

到了2015年,美国和欧盟之间麻烦浮出水面,也就是我们所说的Schrems案例1。一位名叫Max Schrems的先生担忧其在脸谱的数据,把脸谱告上了法庭,判决结果,欧洲法庭废止了安全港协议。而美国对此事件的真正担忧是:安全港协议之所以被废止,不是因为脸谱,而是因为美国政府。欧洲法庭担心美国政府通过企业获得欧洲数据。

其实2013年斯诺登事件以后,欧美之间基于安全港协议的数据流动就停止了。很快Max Schrems又提起了第二次诉讼,目前Schrems 案例2正在欧洲法庭审理。Max Schrems说,既然美国的做法导致Schrems 案例1废止了安全港协议,那么,是否公司层面的标准合同条款也存在类似的问题呢?Schrems案例1之后,尽管美国政府的监听行为有所改变,但是毕竟美国的国家安全部门仍然在收集数据。

美国国家安全相关的法律专家听证了案例2,当时佐治亚理工学院的团队就参与了听证,在网上有一个350页的文件,我介绍下听证的要点。

针对政府获取个人信息,美国的保护涉及两个领域:一个是执法,还有一个是国家安全。这些都主要是来自于美国宪法,在美国国内通常是指第四修正案。美国宪法第四修正案是这样表述的:“人民的人身、住宅、文件和财产不受无理搜查和扣押的权利,不得侵犯。除非依照合理根据,以宣誓或代誓宣言保证,并具体说明搜查地点和扣押的人或物,不得发出搜查和扣押状。”

我曾经写文章指出,美国是世界上保护力度最大的国家,至少是这样的国家之一。第四修正案所保护的权利,在刑事案件中得到进一步体现。如果执法官员违反了搜查令的要求,获得的证据不能用于刑事案件(根据排除法则),任何与此相关的证据也会排除(根据毒树果实原则)。

除了宪法以外,还有具体的联邦立法,多年来一直被称为ECPA(电子通信隐私法案)。法案规定,执法中必须持有正当理由的搜捕令,才能够获得存储为电子信息的内容。

当然要提到水门事件这一丑闻。1972年,当时的总统尼克松动用了总统权力,帮助共和党去盗窃民主党的数据。总统可能滥用权力,在政治选举中谋求获胜,在当时引起了巨大的恐慌。1978年美国通过了海外情报监视法(Foreign Intelligence Surveillance Act,FISA),美国政府要在境内进行监视,必须事先获得法官的批准。

现在大部分的通信都是在互联网上进行的,所以美国对FISA进行了更新,即所谓第702条,规定如何在互联网上收集信息。在网络时代如何进行监视,同时限制政府行政部门的权力? 如何确保在美国境内的监视不是针对“美国人”——美国公民或者是身处美国的人?

所以说,702条也提供了一些相应的保护,它要求法官每年审核,确保国家安全局收集信息的行为是针对外国人的。另外,法官每年也要审核最小化流程,确保在国家安全局中不应由人看的信息确实与人隔离。负责审查这些流程的属于外国情报监听法庭(Foreign Intelligence Surveillance Court, FISC)。它建立于1978年,用美国政府的司法部门来制衡行政部门。

第四修正案也适用这种情况,因为国家安全局人员必须要表明其有正当理由,提出的要求要与收集外国情报有关。这些FISC的法官都是名副其实的,是美国联邦体系内的终身制法官。美国最高法院的首席大法官会要求他们在FISC任职7年,然后回到联邦体系工作。

也就是说FISC的法官们拥有实权。就在斯诺登事件发生前,2011年,贝兹法官认为国家安全局的一个项目有行为违背了外国情报监听法或者美国宪法,他判定立即中止该项目。只是在政府彻底修改了处理邮件的流程之后,贝兹法官才批准未来只有符合最小化流程,才能获取那些邮件。

同时也有来自于美国议会的监督。参议院和众议院都设立了委员会监督收集情报的机构。我们还有监察专员,他们独立于常设机构,接收有关投诉。同时,美国政府还设立了一个独立的机构隐私和公民自由监督委员会( Privacy and Civil Liberties Oversight Board, PCLOB ) ,监察海外情报行为。所以,在美国有好几个机制限制国家安全机构。在Schrems一案之后,英国牛津大学的学者不但研究了美国的保护情况,也研究了欧洲不同国家的保护情况,他们最后得出来的结论称,美国是一个标杆,在国家安全领域提供了个人数据保护。

Schrems 案例1之后,安全港协议宣告无效,欧盟和美国谈判谈出了一个隐私盾,2016年7月份生效。这不仅有来自于美国公司的承诺,而且有来自于美国政府的承诺,尤其是与执法和国家安全保障有关的美国政府的承诺。

今年初,欧盟对隐私盾进行了第二次审核,再次关注702条款、美国外国情报监视法、以及行政部门有关国家安全的命令。Schrems案例2依然悬而未决。美国现在面临的问题是,如果Schrems案2的裁决对于脸谱不利,最终对美国的执法及国家安全不利,其后果将会如何。一些美国专家相信,如果目前作为数据流动基本前提的标准合约条款废止的话,则约束企业规则也难以为继。

我的理解是,目前至少有一个反对隐私盾的案子要判决而且会废止隐私盾。这就可能导致美国从欧洲合法接收数据流入缺乏法律基础。

显然这对美国会有重大的影响,而且会进入贸易领域。不过在这里我想说的是,这对于其他国家也有潜在的影响。正如我刚才所描述的,美国所提供的保护,在法律执行层面是世界上最强之一,在国家安全层面,我们的保障也是世界上最强之一。如果欧盟现在审查数据跨境流动保护的充分性,不仅是针对美国,而且也针对其他国家,你就很难理解,如果美国都无法达到欧盟的隐私保护充分性要求,那么其他国家又怎么可能达到呢。

如果英国脱欧,也许会从欧盟得到充分性的认可,但也很难说,英国那些从事国家安全的机构也要受到审核。据媒体报道,欧洲的一个监管机构正在考虑进一步了解中国政府从商业机构获取数据的情况,也在考虑进一步了解中国的执法及国家安全行动中获取私人数据的情况。

作者 DeBrae Kennedy-Mayo为执业律师,现任教于佐治亚理工大学;本文根据在罗汉堂“隐私与数据治理”国际研讨会上的同名演讲精简编辑整理。

0 条评论

评论请

加载中...

00:00:0000:00:00