借歐美“隱私盾”協議敲響我國網路資料保護的警鐘

隨著網際網路技術的快速發展，網際網路開始逐漸滲入到各行業中，由於資訊洩露引發的安全問題也逐漸浮現，如何保護資料安全成為行業焦點。

2013年“稜鏡門”事件曝出美國政府及相關企業對他國網路資料肆意攫取的行為，並因此直接導致“歐美安全港”協議無效、跨大西洋資料流動失去法律基礎等一系列後果。為解決這一問題，歐盟與美國雙方通過緊急談判、協商和多輪修改，2016年7月14日，歐盟正式通過“歐美隱私盾牌”協議（以下簡稱“隱私盾”協議），大西洋兩岸的公司最快能在8月註冊新的資料傳輸框架協議，這份協議將使從歐洲傳輸個人資訊到美國變得更為容易。

“隱私盾”協議出臺背景

“歐美安全港”協議的廢除是誘發“隱私盾”協議出臺的導火索。美國“稜鏡”計劃曝出後，歐盟法院在審理奧地利律師施雷姆斯控告臉書公司非法追蹤使用者資料一案中最終判決“安全港”協議無效，之前按照協議要求開展跨境資料流動的美國公司，都必須改變資料傳輸方式，受此影響企業達4500多家。

歐盟與美國在網路經濟上的緊耦合關係決定了尋求跨境資料流動解決方案勢在必行。近年來，美國網際網路大企業加快國際化程式，全面滲透到歐盟地區，造成歐盟各成員國網民使用的網際網路服務主要由美國企業提供，2011～2015年，歐洲與北美的國際聯網頻寬由6073Gbit/s增長到12816Gbit/s，佔到歐盟與全球各國聯網頻寬的60%，這表明跨大西洋的資料流動已經形成不可逆轉的趨勢。

美國與歐盟在個人資料保護的鬆緊程度不同是推動“隱私盾”協議出臺的深層原因。美國堅持靈活保護的策略，致力於通過企業自律機制，並配合政府執法，以實現保護隱私權的目的；歐盟卻傾向於通過嚴厲的立法，對個人資料進行保護。為此，“安全港”協議廢除後，雙方必須在現有立法根基存在分歧的情況下，另外達成新的約定，為跨境資料流動提供製度保障。

四大方向加碼資料保護

“隱私盾”協議文字包括歐盟委員會出具的“充分性決定”草案、以及美國政府關於確保該協議得到執行的書面擔保等主要內容，在加強個人資料保護方面比之前的“安全港”協議有眾多創新和強化之處。

規範物件方面，“隱私盾”協議約束納入名單內的企業和退出名單的企業以及第三方。一是名單內企業必須遵守“隱私盾”協議規定，已經退出“隱私盾”協議名單的企業如果繼續儲存根據協議獲得的個人資料，也必須就對應的個人資料履行相應義務。二是按照“責任轉移原則”，名單內企業將個人資料傳送給第三方時，應確保這些個人資料享受至少同等水平的保護。名單內企業還需對第三方代理人違反規則的行為承擔後果，除非有明確的免責證據。

合作機制方面，美國與歐盟建立了年度聯合審查機制。歐盟委員會和美商務部共同行使這項審查權。歐盟將利用可獲取的所有資訊資源展開審查，包括美國企業提供的美國政府要求調取或訪問資料的報告等。美國政府則致力於通過商務部加強監管，並深化與歐洲資料保護機構及美國聯邦貿易委員會之間的合作。

權力限制方面，美國政府首度承諾官方行動將受到約束。美國政府向歐盟出具了書面承諾，公開表示以國家安全為由進行的訪問，都必須受到約束和監管，保證不會對根據“隱私盾”協議轉移到美境內的個人資料進行不加鑑別的、大規模的監視，批量收集的公民資料只能用於反恐、防擴散、網路安全等6個特定目的，且不得破壞“隱私盾”協議的原則。另外，美建立了獨立於國家安全部門之外的監察專員機制，專門負責跟蹤和處理個人提出的投訴和諮詢。

權利救濟方面，“隱私盾”協議為歐洲公民提供更多救濟途徑。歐盟公民若感到其個人資料受到侵害時，可以採取以下途徑進行求助：一是向企業進行投訴，企業應當在45日內給予答覆；二是向本國的資料保護機構投訴，該機構可與美商務部、聯邦貿易委員會合作進行調查和處理；三是求助於免費的替代性糾紛解決機制，名單內企業都必須加入這一機制；四是求助於隱私保護專家組進行仲裁，其做出的裁決具有約束性。

掀起跨境資料保護浪潮

“隱私盾”協議使得歐盟與美國雙方就跨大西洋資料流動的監管達成了一致意見，其影響不僅限於美國與歐盟雙方，對其他國家的跨境資料流動及經濟發展也彰顯重大意義。

重建美歐跨境資料流動信任機制。“隱私盾”協議消除了跨大西洋資料流動法律缺失的障礙，改變了當前歐盟與美國企業僅能通過合同方式開展跨境資料流動的現狀，為跨大西洋的資料流動提供一個新的安全框架，有助於雙邊數字經濟持續穩定增長。

推動相關國際規則加快制定。美國與歐盟跨大西洋貿易和投資夥伴關係（TTIP）協定的電子商務章節尚未達成一致，“隱私盾”協議的出臺有利於雙方在TTIP的下一步談判中深入推進，並極有可能將“隱私盾”協議中的內容移植進去。

強化資料主權和國家安全保護。自2013年“斯諾登事件”以來，很多國家出臺立法對跨境資料流動進行限制，其目的主要是避免國外監控、保護安全與隱私、促進本國經濟發展、便利本國政府執法等，“隱私盾”協議的達成則是為了避免美國監控、保護歐洲公民個人資料。另外，俄羅斯2015年9月生效的“第242—FZ號聯邦法律”也是源於“斯諾登事件”後俄政府對國家安全的擔憂，該法規定了網際網路企業資料留存本地化的義務，要求俄公民個人資料必須儲存在俄聯邦境內的伺服器上。

提高中歐商貿活動中的個人資訊保護要求。“隱私盾”協議的達成是歐盟個人資訊保護理念的又一次勝利，但歐盟目標不僅如此，其有意將所有對外商貿活動與個人資料保護掛鉤，要求貿易物件國提供充分的隱私保護標準。我國的個人資訊保護程度尚未達到歐盟“充分性保護”標準，我企業在歐開展貿易將受到更高程度的個人資訊保護約束。

他山之石可以攻玉

跨境資料流動已經不是單獨某個國家、某一區域的問題，而是已經成為全球關注的焦點，很多共同體也制定了類似規則，如2015年10月4日的《跨太平洋夥伴關係協定》中規定禁止締約方採取限制資料跨境流動的措施，亞太經濟合作組織也通過構建跨境隱私規則體系致力於保護跨境電子商務中的個人資訊。隨著區域經濟一體化、雙邊及多邊合作程度的不斷深化，跨境資料流動的規則已成為雙邊談判的重要組成內容，我國應關注和積極應對，同時應強化跨境資料流動規則中的重要問題。

建立個人資料保護制度。一是推進個人資料保護相關立法，規定個人資料收集、處理、使用等環節中的問題。二是針對跨國企業制定資料留存制度，減少國外監聽風險，對跨國企業建立更為嚴格的個人資料保護要求，規定重要資料留存的本地化義務。三是提升個人在跨境資料流動中的主動地位，賦予個人選擇權、決定權、知情權、救濟權等。

強化企業主體保障個人資料安全的義務。各國將企業責任作為確保個人資料安全的主要抓手，我國政府應當推動本國企業建立行業自律機制，完善自身的資料保護水平，以應對國際趨勢。另外，我國應從國內法角度提升企業對本國公民的個人資料保護水平，不僅要將個人資料保護義務主體從資料流出方延伸到流入方以及可能再次發生轉移的第三方，而且應加強資料發生洩露或可能洩露時企業的通知義務。

完善政府監管機制。建立單獨的資料保護機構是目前很多國家的做法，我國應明確資料保護權力的歸屬，加強與各國資料保護機構的對話協作，掌握國際上個人資料保護最新動向，為應對國際談判中涉及的資料流動規則奠定基礎。對於跨境資料流動，資料保護機構應建立主動和被動兩種監督審查方式，通過稽核評估機制實施主動審查，定期對進行過跨境資料流動的企業進行檢查，在接到個人或企業投訴時啟動被動審查機制，確保涉事企業遵守法律法規。另外，為平衡國家安全和個人資料保護，我國應當研究建立自己的合法偵聽制度，從法律的角度明確合法偵聽的權力、實施機構、範圍等。

====================================分割線================================

本文轉自d1net（轉載）