继2015年年底欧盟委员会就《一般数据保护条例》(以下简称《条例》)的文本达成一致后,欧洲议会近日通过了这一新的数据保护规定,从而取代了1995年制定的《数据保护指令》成为欧盟数据规制的主要法律。欧洲议会议员、前欧盟委员会副主席薇薇安·雷丁将其称为“欧洲的历史性时刻”。她认为“(这次改革)将重塑人们对于数字服务的信心、重燃经济增长的动力”。
此次改革之所以能够被称为欧洲的“历史性时刻”,一方面固然是因为《条例》极大地提升了数据保护的强度,另一方面,则是因为它标志着“后斯诺登时代”的欧洲,最终调整了其长期以来的数据保护传统,并确立了可能在未来为其他国家所复制的新的数据保护原则和典范。事实上早在2012年,改革法案的文本就已被提出,但却受到了来自美国政府以及包括谷歌、脸书在内的诸多互联网巨头的游说反对,后者声称过强的数据隐私保护将损害创新和经济增长。2013年的“斯诺登事件”及其所引发的连锁反应彻底改变了谈判进程,被曝光的美国政府大规模监听计划使得欧洲不得不着手改变其数据保护的传统做法。
长久以来,欧洲和美国在公民的数据隐私保护方面采取了迥异的发展路径。美国的数据隐私保护沿袭了其对于合同原则的坚持。“法无禁止即可为”。只要没有明确的法律限制,公司可以自由地使用用户个人数据。相比之下,欧洲则体现了其对于合同实质内容的关注,他们注意到了公司与用户在数据使用和数据保护方面不对等的权力结构与风险敞口,因而在法律中明确规定了对于公司隐私政策的限制。虽然从法律条文上看,欧洲对于数据隐私的保护力度更强,但欧洲却因法律实施过程中执行力度的孱弱而备受诟病。事实上,《条例》同样继承了这种立法精神,而其区别在于法律执行方面。
这种变化首先体现在法律条文名称的变更上。1995年的《数据保护指令》仅仅只是指导各成员国制定法律的“指令”,其还需要相关立法的配合才能得到执行;而新立法作为有约束力的“条例”,其本身便具有执行效力。再者,《条例》极大地提升了惩罚力度,违反数据保护条例的处罚金额可高达涉事公司全球营业额的4%,这一力度已经与欧盟反垄断处罚处于同一量级。在此之前,欧洲许多国家对违反隐私保护法律所设定的罚款上限都不超过100万欧元。例如2014年,谷歌因收集街景数据时未能充分告知被收集者的个人数据使用情况而被认定违法,法国数据隐私保护机构裁定的惩罚额度是15万欧元,而这还是其开出的史上最高罚单。相比于谷歌每年高达上百亿美元的净利润而言,如此之低的惩罚几乎不能对其带来丝毫影响。
欧洲对于公民数据隐私保护的加强不仅体现在立法改革上,还体现在对于数据跨境贸易的日趋保守倾向上。去年10月,由于无法充分保证欧洲公民的数据隐私,欧盟最高法院裁定运行已长达15年之久的“安全港”协议无效并予以撤销。随后,欧盟表示希望在2016年1月底之前与美国达成新的数据贸易协议,否则,欧盟数据保护机构将单方面宣布他们认为合适的数据跨境流动方式。在经过艰苦谈判后,欧盟谈判组终于宣布与美国达成了新的框架协议(被称为“隐私保护协议”),从而暂时解决了跨境数据贸易可能陷入中断的困境。新协议的达成时间虽然超过了欧盟设定的截止日期,但其仍然为欧美跨境数据流动的当前困境带来了曙光。
新协议的主要内容包括三个方面。第一,美国公司将承担更多的数据隐私保护责任,美国商务部将监督美国公司所做出的数据保护承诺,而美国联邦贸易委员会将负责其落实。第二,美国政府给出书面承诺,保证美国执法机构只在明确限制条件和监管之下才对欧洲公民数据进行审查,从而排除了一般性、不加区分的大规模审查。为监督美国执法机构的行为,欧盟和美国商务部每年都将举行联合评估。第三,新协议为欧洲公民提供了多个渠道的救济措施。一方面,美国公司必须对欧洲公民的质疑做出回应,而欧盟监管机构可以将欧洲公民的起诉移交给美国商务部或联邦贸易委员会;另一方面,新协议将设立特别监察员职位,以应对欧洲公民针对美国执法机构的起诉。
尽管相对于“安全港协议”而言,“隐私保护协议”已经有了很大的进步,但这并不代表欧美跨境数据流动问题就一劳永逸。一方面,新协议还将面临欧洲最高法院的审查,而是否能通过审查仍然存在较大的不确定性。数据保护活动家马克斯·施雷姆斯即认为“隐私保护协议”远远达不到欧洲最高法院的要求,他主张在美国没有停止大规模的网络审查之前,应该中止跨境数据流动。需要指出的是,马克斯·施雷姆斯正是向欧盟最高院起诉Facebook侵犯欧洲公民隐私的主要成员之一,而该案直接导致了“安全港协议”的废除。
另一方面,新协议并未能从根本上解决欧美在数据跨境流动上的核心冲突。就欧盟而言,其核心关注是公民的数据隐私保护问题。就美国而言,对于国家安全的考虑远胜过对于公民数据隐私的保护。正因为此,美国国内的大规模网络审查以及欧洲公民难以通过美国国内法院或独立机构寻求数据权利保护(相反,美国公民可以在欧洲寻求权利保护)便成为欧美之间的核心分歧。新协议中,美国政府所给出的书面承诺有助于缓解欧盟的担忧情绪,但这并不代表美国做出了根本转变,例如美国参议院司法委员会近期通过了《司法救济法案》。这一法案本来是试图允许欧洲公民在数据隐私受到侵害时可以寻求美国联邦机构的保护,但在法案通过前的最后时刻,“不得损害国家安全”这一前提仍然被加入其中。有媒体认为,这一变化直接导致了新协议最终未能在截止日期之前(即1月底)达成。
日前,由所有欧盟数据保护机构代表组成的欧盟数据隐私监管实体第29条工作组发表最终评估意见,认定“隐私保护协议”不符合欧洲数据隐私保护原则。尽管该评估结果仅仅只是作为欧盟委员会的参考意见,但舆论仍然认为这不利于新协议的最终通过。
同样需要指出的是,欧盟对于数据隐私保护的强调并不代表欧盟就不会对公民个人数据进行审查。事实上,欧洲议会在通过《条例》的同时也通过了《乘客飞行记录协议》,要求各个航班记录所有顾客的飞行信息并转交给国家相关机构同时在各国间分享。尽管早在2011年该协议就已被提出,但考虑到其对公民数据隐私的侵犯,欧洲议会与各国的谈判一直存在很大争议。直到最近欧洲恐怖袭击事件的爆发,才最终促成了该协议的通过。由此引发的问题是,虽然《条例》标志着欧洲数据隐私保护的历史性时刻,但伴随着数据时代的全面到来,围绕数据规制的争论仍然将持续下去。
