全球数治|新的跨大西洋数据传输框架亟待建立
日期:2023-12-28 20:14:00   来源:云开平台/集团新闻

  2月3日,Meta在向美国证券交易委员会(SEC)提交的年度报告中称,欧盟的《通用数据保护条例》(GDPR)阻碍了其将欧盟用户个人数据传输和存储到位于美国的服务器上。如果这样的一种情况始终持续下去,该公司可能考虑在欧洲停止运营旗下社交网络站点平台Facebook和Instagram。不过,Meta公司欧洲公共政策副总裁马柯思·莱尼希(Markus Reinisch)在2月9日又公开表示,Meta并没有退出欧洲的意愿,年度报告仅仅是按照法律要求向投资者披露重大风险。

  事实上,自2018年第二季度以来,Meta在每份财报中都提到了国际数据传输障碍等公司在欧盟运营和提供服务面临的具体困难,以及对安全可靠的欧美数据传输机制的需求。在Meta公司看来,当前欧美之间的国际数据传输机制面临较大不确定性。一旦Meta无法在运营地区间顺利传输数据,将会影响其提供服务的质量和方式,以及定向投放广告的能力。

  Meta的担忧并不是特例。自2020年7月欧盟法院以违反GDPR,且未能充分保护欧洲公民隐私为由裁定当时的跨大西洋数据传输框架——《隐私之盾协议》(Privacy Shield)无效后,大西洋两岸数千家企业都面临着类似问题。仅以Facebook为例,欧盟法院的这项裁决使其无法在美国的数据中心处理欧洲用户数据以用于广告定位,从而不得不依靠标准合同条款(Standard Contract Clauses,简称SCCs)来进行美欧间的跨境数据传输。然而,2020年8月,爱尔兰数据保护委员会(DPC)又向Facebook发送了一份命令,要求其停止将用户数据从欧盟转移到美国,并暗示SCCs也不能用于支持欧盟与美国间的数据传输实践。随后,爱尔兰DPC围绕SCCs问题启动了漫长的审议程序,或有可能于今年上半年做出决定。如果爱尔兰DPC认定SCCs不能作为欧美跨境数据传输的法律基础,欧盟其他成员国也有一定可能会跟进调整相关规定,从而迫使Facebook将其收集的大多数欧洲用户数据来进行本地化保存。如果出现违规,Meta就可能面临年营收4%的罚款。若始终没建立新的跨大西洋数据传输框架来替代“隐私盾”和SCCs的作用,大量依赖欧美跨境数据传输提供数字产品和服务的企业或将纷纷陷入合规成本高涨,与欧盟本土公司相比竞争力下降,以及蒙受更多数字化的经济损失等尴尬境地。

  众所周知,在数字化的经济时代,跨境数据流动对全球经济稳步的增长的贡献正日益超越传统货物贸易。数据的生命产生于流动,通过跨境数据流动,公司能够直接对接境外客户,拓宽国际市场,进而实现数字服务价值增值。在此背景下,欧盟为何还要通过GDPR等手段和方式严格规制欧美之间的数据传输呢?这其中或包含了以下三方面的考虑:

  如何通过掌握跨境数据流动规则制定权来使本国获得更多数据资源,现在已经成为国际社会关注的焦点。欧盟同样也在为此筹谋,以便在全球数字化的经济竞争中占据优势地位。目前,国际社会尚未就跨境数据流动规则达成共识,美国和欧盟的立法理念和模式也存在比较大差别,相关博弈因此持续不断。2020年欧盟法院关于美欧《隐私盾协议》无效的判决,正是这一博弈的最新体现。

  美国奉行重数据自由流动而轻政府监管的思路,欧盟则强调个人数据流动中的隐私权保护,确立统一而系统的立法模式,以及数据跨境传输的前提须为第三国对欧盟个人数据的保护水平实质上等同于欧盟内部的保护水平。同时,由28个成员国、5亿多人组成的庞大欧盟市场对美国科技公司又具有不容忽视的吸引力。通过实施GDPR,欧盟不仅对美国释放了坚定捍卫欧盟数据和隐私保护标准的信号,还巧妙引导了部分美国企业主动考虑改变企业合规以与GDPR保持一致,更不可思议的是可能推动美国政府考虑在国家层面制定某些特定的程度上符合GDPR要求的信息和隐私保护立法,而其他有意与欧盟开展跨境数据流动合作的国家也或多或少会考虑向欧盟模式逐步靠拢。

  虽然欧盟和美国同为发达经济体,但其数字技术和产业高质量发展水平却差距甚大。同时,欧盟还高度依赖亚马逊、微软和谷歌等美国云服务提供商,缺乏数据处理和分析能力。因此,在美欧跨境数据传输中,大量欧盟数据流向拥有强大技术优势的美国。而且,美国通过2018年颁布的《澄清境外数据合法使用法案》,对境外数据确立“长臂管辖权”,这令欧盟在全球科学技术和产业竞争中陷于更加不利的地位。在此背景下,欧盟逐渐警醒于自身在数字化的经济时代所处的被动局面,开始积极致力于改变欧美数字实力失衡的局面,掌控欧洲数字主权。

  在依据GDPR裁定《隐私盾协议》无效的案例中,欧盟依照自身秉持的价值观和法律规则对原有的跨大西洋数据传输框架进行审核检查,认定其违反GDPR,且不能充分保护欧洲公民隐私,同时美国也无法为权利可能受到侵犯的欧盟数据主体提供了有效的行政和司法救济,从而促使部分在欧盟开展跨境数字服务的企业一定考虑实施数据本土化,进而令欧盟对数据的保护、管理和控制都显著地增强,这显然有利于其数字主权的实现,

  个人数据保护现已成为一个不可规避的全球性问题。欧盟维护自身价值观和保障公民隐私权的决心可谓极其坚定,而通过GDPR建立的个人数据保护制度也相当严密。其中,在第三国对欧盟个人数据的保护水平实质上等同于欧盟内部水平的前提下,个人数据的跨境传输也只可以通过三种方式实现,即获得欧盟的充分性认定(Adequacy Decision),“标准合同条款”和“有约束力的公司规则”等例外措施,以及在获得用户明确同意或为公共利益考虑等特殊情况下的减损条款。也正因为如此,美国通过《澄清境外数据合法使用法案》、《外国情报监视法》等获取欧盟公民个人数据的企图才得以遏制。

  鉴于欧美围绕跨境数据传输机制的长期博弈还将继续,建立新的跨大西洋数据传输机制势在必行,可双方的协商之路却还困难重重。今后或将有两种可能性:一是美国调整其数据和隐私保护立法,向欧盟标准靠拢,以支持其数字科技公司;二是美国数字服务提供商将不得已妥协,在欧洲建立IDC以托管本地用户数据。这在某些特定的程度上也反映了全球数字化的经济发展初期所面临的数据治理规则碎片化的挑战。各国采取的跨境数据流动限制措施和数据本地化要求有可能是在一段时间内呈现上升趋势,甚至引发更多的国家间贸易摩擦。因此,现在有必要尽快制定具有广泛共识的多边跨境数据流动国际规则。同时,掌握规则制定权对在全球数字竞争中占据优势地位至关重要,各国都应对此予以高度重视。

  欧盟委员会计划在2月23日推出其关于非个人数据的《数据法》草案。该草案将包含关于数据共享、公共机构访问、国际数据传输、云转换和互操作性的规定,监管对象为互联网产品的制造商、数字服务提供商和用户等。 (来源:Euroactive)

  近日,由上海市杨浦区检察院联合市信息服务业行业协会、市数据合规与安全产业高质量发展专家工作组、区工商业联合会制定的上海首份《企业数据合规指引》出台。《指引》全文共38条,分为六章,从数据合规管理体系、数据风险识别、数据风险评估与处置、数据合规运行与保障等方面带领企业加强数据合规管理。(来源:人民网)

  1月27日,中国银保监会印发《关于银行业保险业数字化转型的指导意见》。《意见》指出,银行业、保险业应大力加强数据安全和隐私保护。完善数据安全管理体系,建立数据分级分类管理制度,明确保护策略,落实技术和管理措施。强化对数据的安全访问控制,建立数据全生命周期的安全闭环管理机制。关注外部数据源合规风险,明确数据权属关系,加强数据安全技术保护和对外发布信息的安全管理。同时,还要建设安全运营中心,充分的利用态势感知、威胁情报、大数据等手段,持续提高网络安全风险监测、预警和应急处置能力,加强行业内外部协同联动。(来源:中国政府网)

  2月8日,美国国税局(IRS)宣布,将不会再使用第三方面部识别服务来验证纳税人的身份。此前,IRS曾宣布,到2022年夏天,成为纳税人在线管理税务账户时的唯一登录方式,并要求用户上传一张来访问他们在美国国税局网站的账户。迫于隐私担忧,IRS最终停止了这一计划。同时,IRS表示,它将上线一个不涉及面部识别的额外认证程序,以避免对纳税人造成干扰。(来源:IRS)

  1月25日,在美国联邦贸易委员会(FTC)与在线时尚零售商Fashion Nova达成拟议的和解协议,禁止其压制负面评论。FTC表示,Fashion Nova在2015年到2019年间一直在使用第三方客户评论界面来管理评论,只发布4星和5星评论,并过滤掉数十万条获得4星以下的产品评论,且还存在未适当地通知消费者延迟发货,以礼品卡抵充退款等违反相关规定的行为。(来源:FTC)

  1月27日,欧盟委员会宣布,Meta公司旗下地即时通讯应用WhatsApp必须在一个月内澄清相关服务条款和隐私政策,以确保其符合欧盟的消费者保护法。欧盟司法专员迪迪埃·雷恩代尔(Didier Reynders)表示,WhatsApp必须要确保用户知情并同意数据获取,以及了解个人数据是如何被使用的,包括其在哪些地方与哪些商业伙伴共享这一些数据。(来源:路透社)

  1月28日,谷歌公司宣布向印度前两大电信运营商Jio公司和Airtel公司分别投资45亿美元和10亿美元,作为其在印度投资100亿美元计划的一部分。Airtel将与谷歌在5G网络标准、云生态系统等方面加强战略合作。谷歌首席执行官皮查伊表示,该公司对Airtel的商业和股权投资将致力于使规模庞大的印度用户以负担得起的方式使用智能手机。(来源:路透社)

  1月25日,韩国三星电子公司宣布推出一款名为S3B512C的一体式指纹安全集成电路,可用于生物识别支付卡。三星表示,S3B512C是业界首个将指纹传感器、安全元件和安全处理器集成在单个芯片中的解决方案。指纹扫描仪用于读取生物特征数据,防篡改安全元件可存储和验证加密数据,而安全处理器则分析和处理生物特征数据。这一集成电路使用专有的指纹认证算法来分析用户指纹的独特特征,还具有反欺骗技术,可防止欺诈者使用人工指纹和其他非法手段欺骗安全系统。(来源:三星公司)

  1月24日,北京通州区召开城市副中心产业高水平质量的发展推进大会,发布了绿色发展、元宇宙主题和智慧城市建设三大类15个应用场景清单,鼓励企业组织数字应用创新,通过引入虚拟现实、增强现实、环境感知、人工智能等元宇宙有关技术,赋能当地餐饮、零售业和文化旅游的发展。(来源:人民网)

  近日,美国波士顿市宣布,将再投入1200万美元,为数万名波士顿公租房居民及公立学校学生提供免费的无线宽带服务和Chromebook笔记本电脑等上网设备,尤其是老年人、残疾人、新移民和等群体,以实现更全面的数字公平和包容。作为该项投资的一部分,波士顿公共图书馆(BPL)将获得220万美元的紧急资金支持,用于购买和分发Chromebook和家庭无线网络路由器。波士顿的公立学校则会在前期已免费发放55,000台Chromebook和8,000台路由器的基础上再追加解决20,000个学生家庭的网络连接问题,以确保所有学生在新冠大流行期间都能继续学业。(来源:Smartcitiesworld)