欧美“隐私盾”协议及对我国网络数据保护的启示
刘耀华;石月
【摘 要】欧美之间的“隐私盾”协议将使从欧洲传输个人信息到美国变得更为容易.介绍了欧美“隐私盾”协议出台背景、举措要点和影响,建议我国应进一步重视个人数据跨境流动,抓紧健全法规制度,重点完善个人数据保护立法,提升企业数据保护水平,强化政府监管职责.
【期刊名称】《现代电信科技》
【年(卷),期】2016(046)005需求分析怎么写
【总页数】5页(P12-16)
【关键词】隐私盾;个人数据保护;跨境数据流动;互联网;安全
【作 者】刘耀华;石月
【作者单位】中国信息通信研究院,北京100191;中国信息通信研究院,北京100191
【正文语种】中 文
【中图分类】D912.8
2015年江苏高考2013年“棱镜门”事件凸显出美国政府及相关企业对他国网络数据的肆意攫取,并直接导致欧美“安全港”协议无效,跨大西洋数据流动失去法律基础。为解决这一问题,欧美双方经过紧急谈判协商和多轮修改,最终达成更为严格的“隐私盾”协议。2016年7月14日,欧盟正式通过“隐私盾”协议,大西洋两岸的公司最快能在8月份注册新的数据传输框架协议,这份协议将使从欧洲传输个人信息到美国变得更为容易。
1.1 欧美“安全港”协议的废除是诱发“隐私盾”协议出台的
2013年,斯诺登披露美国“棱镜”计划,美国政府及相关企业监控和窃取他国网络数据的行为震惊全球。在欧盟,奥地利律师施雷姆斯(Schrems)随即向脸书公司(Facebook)欧洲总部所在地爱尔兰当局提出申诉,控告脸书非法追踪用户数据,参与美国情报机构的监控计划[1]。历经两年多调查,欧盟法院于2015年10月6日做出判决,2000年签署的保障跨大西洋数据流动的欧美“安全港”协议制度无效,理由有四:一是“安全港”协议中并未要
求美国达到与欧盟相当的个人数据保护水平,不符合欧盟1995年的《个人数据处理和自由流动中个体权利保护指令》(以下简称“1995年指令”)规定;二是“安全港”协议只约束自愿遵守并加入协议的美国企业,对其他企业没有约束;三是美国政府当局并不受“安全港”协议制约,其采取的众多数据监控计划已凌驾于协议之上;四是对欧盟成员国而言,“安全港”协议实际上限制了各成员国数据保护机构的独立监管职能。
在欧美“安全港”协议废除后,之前按照协议要求开展跨境数据流动的美国公司,都必须改变数据传输方式,受影响企业高达4 500多家[2]。而且,如果美国企业将欧盟用户的数据存储在欧洲,需要在技术上做出大幅调整,必然耗费大量时间和资金。
1.2 欧美在网络经济上的紧耦合关系决定了寻求跨境数据流动解决方案已势在必行
美欧之间在网络经济上的紧密联系需要跨大西洋的数据流动。从美国来看,近年来以互联网为代表的一批企业抓住数字机遇,凭借技术和产品实力加快国际化进程,如亚马逊、脸书、谷歌等已经全面渗透到欧盟各成员,处于主导地位,谷歌的搜索引擎服务在欧洲最大的五个经济体中拥有85%的市场份额,脸书在过去5年中来自欧洲的用户数量也增长一倍。但从欧盟来看,在全球市值最高的20家互联网公司中,没有一家来自欧盟,各成员国
网民使用的互联网服务主要由美国企业提供,欧美之间在网络经济上呈现紧耦合关系。一个例证是,来自咨询公司TeleGeography的数据显示,2011—2015年,欧洲与北美(包括美国和加拿大)方向的国际联网带宽由6 073 Gbit/s增长到12 816 Gbit/s,占到欧盟与全球各国联网带宽的60%,这表明跨大西洋的数据流动已经成为不可逆转的趋势。
半斤八两歌词1.3 美欧在个人数据保护的宽严不同是推动“隐私盾”协议出台的深层原因
从20世纪70年代开始,美欧在隐私权保护上的巨大差异便成为贸易争端的焦点。美国坚持灵活保护的策略,致力于通过企业自律机制,并配合政府执法,来实现保护隐私权的目的;欧盟却倾向于通过严厉的立法,对个人数据跨境流动进行保护[3]。为妥善解决欧美在隐私保护方面的立法差异,欧盟早在“1995年指令”中,通过第25条确立“充分性保护”标准,要求美国企业在开展业务时遵守要求;“安全港”协议本是便利企业进行数据跨境流动的“桥梁”,但在2015年却被欧盟法院废除,美欧之间只能通过企业一对一的合同方式处理跨境数据流动,效率低下,且成本提高。为此,双方必须在现有立法根基存在分歧的情况下,另行达成新的约定,为跨境数据流动提供制度保障。
1.4 最新进展
欧美达成“隐私盾”协议新闻发布后,泛欧数据监管机构小组——第29条工作组对“隐私盾”协议并不满意,认为欧委会在美国政府对欧洲公民数据保护一事上缺乏足够诚意,一是“协议内容本身就是任意的大规模数据搜集行为”、“是不可接受的”;二是处理欧洲公民投诉的美国监察专员制度的能力和独立性没有明确。2016年6月27日,经过对“隐私盾”协议的修改,欧盟与美国就最终版本达成一致。经修改的协议已经被送达给欧盟各成员国,并已于7月14日生效。对“隐私盾”协议最后的修改包括三个方面,一是明确从欧洲传送至美国的大规模数据收集必须提前获得许可,并且必须尽量明确目标和限定范围;二是当最初的收集目的改变时,相关公司应删除数据;三是要求对相关数据问题进行监管的监察员必须独立于美国家安全局。肯德基网上订餐送餐费
与已经废除的“安全港”协议相比,“隐私盾”协议在加强个人数据保护方面有众多创新和强化之处。“隐私盾”协议文本包括欧委会出具的“充分性决定”草案、以及美政府关于确保该协议得到执行的书面担保等主要内容。“充分性决定”草案通过多种途径对个人数据进行保护,包括企业需遵守的七项隐私保护原则,欧洲公民可寻求救济的多种途径,以及欧美建立的年度联合审查机制等。
2.1 规范对象
“隐私盾”协议所约束的企业已不仅限于纳入名单之内企业,对于退出名单的企业以及第三方也提出了详细的规范要求。
一是名单内企业必须遵守“隐私盾”协议规定,已经退出“隐私盾”协议名单的企业如果继续存储根据协议获得的个人数据,也必须就对应的个人数据,履行“隐私盾”协议规定的义务。二是按照“隐私盾”协议的“责任转移原则”,名单内企业将个人数据传送给第三方时,首先必须通知数据主体,由数据主体选择是否可传送;其次还必须与第三方签订合同,确保这些个人数据被用作有限且特定的用途,享受至少同等水平的保护措施。此外,还必须采取合理的措施,阻止第三方对传输的个人数据从事任何未经授权的行为。如果第三方是名单内企业的代理人,名单内企业则需对代理人违反规则的行为承担后果,除非有明确的免责证据。
2.2 合作机制
美政府与欧盟建立了年度联合审查机制。该机制将之前的自我约束、自我调节机制转变成了一种响应更快、更积极、更主动的监管机制,旨在监督欧美“隐私盾”协议的顺利实施,包括审查为了法律执行和国家安全而进行的数据访问,同时也对美国国内法的执行进行监
管,确保其符合欧盟对个人数据的“充分性保护”标准。欧委会和美商务部通过组织来自双方数据保护机构的国家情报专家共同行使这项审查权。
对于欧盟而言,将利用可获取的所有信息资源展开审查。包括美国企业提供的关于美政府要求调取或访问数据的相关报告,还将与民间组织及其他利益相关方共同举办年度个人隐私保护峰会,深入探讨美国个人隐私保护法领域的发展,及其对欧洲的影响。在年度审查的基础上,欧盟委员会将向欧洲议会和理事会提交政府报告。
对于美政府而言,则致力于通过商务部加强监管,并深化与欧洲数据保护机构及美国联邦贸易委员会之间的合作。商务部对企业的审查方式包括详细的问卷调查;另外,当商务部收到投诉,而被投诉企业没有提供令人满意的回复,或者有可靠的证据表明企业没有遵守隐私保护协议时,也可以启动审查程序。
清算程序2.3 权力约束
权力约束方面,美国政府出具了书面担保,首度承诺官方机构保护国家安全的行动将受到约束。
范爱农读后感一是美政府以国家安全为由进行的访问,都必须有明确的条件限制,并受到约束和监管。美国保证不会对根据该协议转移到美境内的个人数据进行不加鉴别的、大规模的监视,批量收集的公民数据只能用于反恐、防扩散、网络安全等六个特定目的,但不得破坏“隐私盾”协议的原则。
二是美国建立了国务院内部的监察专员机制。监察专员必须独立于门之外,专门负责跟踪和处理个人提出的投诉和咨询。美副国务卿诺维利将成为首任监察专员,直接向国务卿汇报工作,不受情报系统控制。
2.4 权利救济
协议为欧洲公民提供更多救济途径。欧洲公民认为其个人数据受到侵害时,可以采取以下途径进行求助:一是向企业进行投诉,企业应当在45日内给予答复;二是向本国的数据保护机构投诉,该机构可与美商务部、联邦贸易委员会合作进行调查和处理;三是求助于免费的替代性纠纷解决机制(ADR),名单内企业都必须加入这一机制,必须在其公开的个人数据保护章程中,写明独立的纠纷解决机构,而且必须提供这一机构的网页链接,商务部将对此进行监督检查;四是如果以上方式都无法解决问题,可以求助于隐私保护专家组
进行仲裁,专家组对于名单内企业可以做出约束性裁决,以确保每个投诉都能完善解决。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论