(原标题:防止美国监控欧盟公民,欧美就“数据主权”展开较量)
21财经APP黄婉仪 广州报道
实行了四年的《欧美隐私护盾》在7月16日被欧洲法院正式判定“无效”。欧洲法院认为,该协定允许美国对欧盟公民的个人数据进行大规模监控,不符合欧盟对隐私保护的要求。
数据主权与数据共享如何平衡?
《欧美隐私护盾》是一套关于个人数据在欧盟与美国之间流通的机制,对企业将欧盟用户数据传输到美国做出了相关规定。包括亚马逊、微软、Facebook在内的多家美国科技企业均是《欧美隐私护盾》的成员。
中国人民大学重阳金融研究院宏观研究部主任刘玉书在接受21世纪经济报道记者采访时说:“这一判决会对美国的互联网巨头企业带来挑战,例如这些企业将要被迫停止在美国的服务器上存储欧盟居民的数据信息。”
事实上,科技互联网公司的产品几乎已经渗透地球村的各个角落,掌握着海量的用户数据。对这些跨国经营的公司来说,能否随意将用户数据在不同国家和地区间进行传输,绕不开“数据主权”和“数据共享”之间的矛盾。
在刘玉书看来,“数据主权”和“数据全球自由流通的资产属性”并不矛盾。刘玉书表示:“数字资产的产权边界模糊是阻碍数据跨境流通的关键,在产权不明的情况下,才会更加强调主权属性。当前全球对于数据确权,数据资产的分类,个人隐私权财产权属性问题等,全球对此问题的认识还没有统一。”
目前,“数据主权”普遍采纳的定义是指一个国家对本国数据进行管理和利用的独立自主性,即一国收集的数据要受制于本国的法律。和传统意义上的国家主权概念不同,数据主权产生于虚拟的互联网空间。由于网络数据可以全球即时传播,在网络安全和信息安全问题日渐突出的当下,如何保证一国主权对数据的管控成了现实难题。
多国要求用户数据本地存储
将用户数据存储在本地是各国采取的主要方法。包括中国、俄罗斯、加拿大、印度等国家都不同程度地规定企业设立本土数据中心,要求其必须将用户个人数据储存在本国境内。
以我国网络安全法为例,第三十条规定,关键信息基础设施的运营者在我国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当进行安全评估。
俄罗斯在2014年7月对《信息法》做出修订,要求所有信息通信网络和运营商必须将个人数据储存在俄罗斯境内。加拿大大不列颠哥伦比亚省和新斯科舍省则要求,所有公共部门数据都必须存储在本地。
尽管与美国签订了《欧美隐私护盾》的欧盟并没有对个人数据存储地做出要求,但在欧盟标准合同条款(SCCs)中对欧盟与非欧盟地区之间的数据传输做出了严格规定。
要求企业在每个地方都建立独立的数据中心存储当地用户数据,这并非企业喜闻乐见。在“数据主权”问题上,印度可谓知易行难。
站在国际风口浪尖的TikTok近日被印度政府以隐私安全隐患为由,在该国遭到禁令。此前,TikTok曾表示其印度用户数据存储在新加坡和美国的第三方数据中心。为了消除印度政府的担忧,字节跳动在2019年7月表示,将投资1亿美元在印度建立数据中心,把印度用户数据存储在本地。
虽然国际科技巨头纷纷瞄准了印度这块大蛋糕,但由于印度电力成本高昂、基础设施薄弱,包括谷歌、Facebook在内的科技企业都未做到将印度用户数据储存在印度境内。
数据跨境流通有冲突
各国的隐私保护法规定各不相同,导致对个人数据管控的行政介入程度也有所不同,这对天生具有全球传输特性的数据来说又另一困扰。
刘玉书表示:“在没有数据跨境流通的国际性统一协定出台之前,对于跨国企业而言尊重对方的数据主权,按所在国相关法律合法开展商业活动是唯一的选择。”
北京市安理律师事务所合伙人王新锐律师在接受21世纪经济报道记者采访时表示:“数据跨境流动目前在国家之间是存在冲突的,尤其是不少国家在不同领域都有数据本地化存储的要求。面对各国在数据保护上的立法差异,少部分大型跨国公司会在全球范围内按照GDPR等最高标准统一进行合规,而多数则是按照业务所在国家或地区的法律做合规。”
以欧盟和美国为例,尽管这两大经济体是经贸往来密切,但在隐私保护态度上有明显分歧。2018年5月,欧盟正式实施《通用数据保护条例》(GDPR),被国际社会广泛成为“最严数据保护法”。在对个人数据的态度上,欧盟把个人权利放在首位,规定欧盟居民享有对个人数据的绝对支配权力,对数据跨境输出采取严格态度。
王新锐表示:“欧洲有较强的隐私保护传统,隐私和个人信息保护被放到了宪法的高度。一般公认欧盟的保护标准最高的,采取的是统一立法,而美国的立法相对来说更为灵活,也更为分散,规则散见于具体领域的多部立法中。站在企业的角度去考虑,如果《欧美隐私护盾》失效后,要求美国企业按照GDPR执行,其实对整个数据流动会带来一些新的阻碍,这肯定会给美国公司在欧盟开展业务带来一些合规问题,但同时也有可能对欧洲数字经济的发展有不利影响,对此欧洲有一些研究报告已表达了忧虑。”
相比之下,美国在2018年通过的《澄清海外合法使用数据法》(也叫《CLOUD法》)则规定,允许美国联邦执法机构强制位于美国的科技公司提供被要求的存储在服务器上的数据,不管数据是存储在美国境内还是国外。
由于欧洲的移动互联网市场几乎被Facebook、亚马逊等美国科技企业所占领,美国这种“数字霸权”严重威胁到了欧洲的数据安全。2013年,前美国中情局雇员斯诺登揭露美国“棱镜门”计划,美国政府通过调取微软、谷歌等平台的数据窃听欧洲多国领导人,引爆了欧美之间在隐私保护上的不信任。
刘玉书对此分析称:“这是美国过去在其他领域霸权行为在数字时代的习惯延续。美国在数字化时代还想沿袭过去‘世界警察’的套路,要求其他国家让渡部分数字主权以维系自身的长臂管辖特权,然而数字时代的世界格局正在发生剧烈的变化。”
