美欧《隐私盾协议》之无效及中国应对路径

数据跨境自由流动已经成为数字经济发展的关键议题,美欧为解决美欧之间数据跨境提供问题,做了多种尝试,已从《安全港协议》过渡到《隐私盾协议》,但是2020年7月《隐私盾协议》也被欧盟法院裁定无效。协议无效之后,美欧政治经贸关系将会率先受到影响,数字经济全球拓展亦将受阻,还可能滞后全球跨境数据流动规则构建。在此背景下,我国数据跨境流动政策、跨国企业数据跨境传输、数据跨境流动规则制定话语权也会受到间接影响。我国亟需转变对数据跨境转移的态度,并继续建立详细的数据分级制度,合理设置国家安全例外,最后通过RCEP、CAI等国际协定与电子商务谈判提升我国立场影响力。

美欧《隐私盾协议》评析

在个人数据保护领域,美欧的立法和相关实践一直走在世界前列。作为国际上首个规制跨境数据流通的国际协议,《安全港协议》曾长期为美欧跨境数据流通提供重要索引和指南,然而"斯诺登事件"的爆发,尤其是《安全港协议》无效案,直接将该协议碾为废墟。成长于该废墟之上的《隐私盾协议》,既汲取了《安全港协议》的失败教训,又在该协议的基础上有新的突破和发展。虽然肯定和质疑之声并存,《隐私盾协议》作为美欧规制跨境数据流通的新规则,不仅对美欧各自数据保护立法和配套机制的完善产生了积极的促进作用,还有可能成为国际个人数据保护领域里的新范式,并对我国个人数据保护相关机制的形成和发展提供些许启发和借鉴。

欧美跨境数据流动规制:冲突、协调与借鉴——基于欧盟法院“隐私盾”无效案的考察

欧盟和美国之间数字贸易联系紧密,美国借助《隐私盾协议》及《安全港协议》打破了欧盟数据保护立法的壁垒,实现了个人数据向美国的自由流动。《隐私盾协议》无效案反映出欧美之间数据跨境流动的主要问题在于美国国家安全法律与欧盟个人数据保护法律之间的冲突,背后的根源是欧盟为抗衡美国的数字经济霸权与监控资本主义而实施“技术主权”战略。《隐私盾协议》无效案对中国的个人数据治理具有重要借鉴意义,中国需明确数据规制的目标,完善数据跨境流动的规则,并且利用自由贸易协定和WTO机制积极推广中国数据治理的国际主张。

从“数据隐私框架”看欧美数据跨境流动的规则博弈

欧美《隐私盾协议》失效后,双方为了恢复数据跨境流动秩序,于2022年底达成了“数据隐私框架”。该框架旨在回应欧盟法院在“《隐私盾协议》无效案”中提出的主要关切。2023年7月,欧盟委员会基于该框架对美国的个人数据保护水平发布了充分性认定决议。然而,该框架并未对美国情报机构大规模收集数据与窥探隐私的行为施加实质性限制。此外,框架建立的双层救济机制由于缺乏独立性,也无法给数据隐私权益受损的欧盟公民提供充分有效的救济。与《隐私盾协议》相比,该框架在本质上并没有明显的突破。欧盟和美国在双方数据跨境流动制度安排上的博弈,表面上是两种数据保护理念和治理模式的碰撞,实际上反映出了欧盟实施“数字主权”战略与美国维护“数字霸权”地位之间存在的根本利益冲突。欧美凭借各自优势,在数字经济时代争夺全球数字治理话语权。通过深入研究欧美之间关于“数据隐私框架”的规则博弈,可以为我国在选择适合本土的数据监管模式和提升数据治理规则话语权方面提供重要的思考和启示。

美欧数据跨境协议中的特殊保护制度分析

数字化时代背景下,国家间的数据跨境合作促进了全球数字经济发展.但伴随数据跨境合作带来的以情报为目的的非法访问行为,也带来如何兼顾数据跨境与数据安全的难题.欧盟与美国较早应用充分性认定制度开展数据跨境合作,双方达成的合作协议中限制美国公共当局访问行为的特殊数据保护制度设计值得深入研究.对《安全港协议》《隐私盾协议》《欧盟-美国数据隐私框架》下特殊数据保护制度设计进行了提炼,重点解读了其行为限制、部门监督、权利救济的有关规则,挖掘该制度的基本框架.在我国大力建立便利化数据跨境传输机制背景下,提出对我国的相关建议.

欧美个人数据跨境流动规制:冲突与协调——基于欧盟法院判定“安全港”“隐私盾”无效案的考察

个人数据跨境流动对欧美之间商贸往来的发展至关重要。欧美个人数据跨境流动规制模式在立法价值、立法模式和法律执行方面都存在较大差异,《安全港协议》和《隐私盾协议》的相继签署为欧美之间跨境数据的传输扫除了障碍:但欧盟将维护公民的信息隐私权利作为其创制个人数据规制法律时的基本遵循,美国则把相关法律的制定作为促进其经济发展的手段,两者在立法取向和立法理念上的差异最终导致欧盟司法部门分别将两个协议判定为失效,这两个失效协议也是欧美在数字经济发展方面展开激烈竞争的具体表现。在后隐私盾时代,欧美在个人数据跨境流动规制方面的分歧仍然难以彻底消除。文章认为:要消除此分歧,需要探寻可行性措施,这不仅有利于欧美个人数据跨境流动规制难题的解决,也有助于我国个人数据跨境流动规制框架的构建。

个人信息保护的国际协调

虽然很多国家有个人信息保护的相关立法,但这些立法对个人信息的保护内容及水平存在很大差异,从而极大地阻碍了个人信息的跨境商业流动。为此,相关国际组织、国家和地区通过制定个人信息保护的"软法"性文件、制定多边区域性统一法规、签署多边区域性公约以及双边协定的方式,对个人信息跨境流动与保护进行国际协调,以期在个人信息跨境商业流动和个人信息隐私保护之间寻求适当的平衡。我国应审视国内个人信息保护立法与他国的差异,通过统一立法、与他国谈判达成协定等方式解决中外个人信息跨境商业性流动中的个人信息保护问题。

数字贸易中个人数据信息跨境保护法律研究--以美欧为例

随着数字贸易全球化的发展,个人数据信息在国境内外频繁流动的过程中时刻面临着被侵害、被泄露等事件,这就要求我们对个人数据信息给予严格保护。美国和欧盟是数字贸易的重要参与者,两者间的数据流动十分频繁。为突破欧盟数据保护法规的限制,美国利用《安全港协议》和《隐私盾协议》两项双边协议,实现了欧盟数据信息在美国境内的自由流动,促进了数字贸易的飞速发展。从数字贸易着手,通过着力分析《安全港协议》与《隐私盾协议》中个人数据信息保护问题,为我国的个人数据信息保护框架提出可行性建议,以期在实现数字贸易发展的同时保障我国的个人数据信息安全。

由点及面,异中求同:个人数据跨境流动规制的国际合作路径

为保障个人数据在全球范围内顺畅流动,促进各国数字经济产业的发展,各国应努力在个人数据跨境流动规制方面达成全球性合作。然而,当前以欧盟GDPR、美国主导的CBPR和中俄个人数据本地化制度为代表的三大个人数据跨境流动规制模式,在价值取向上存在根源性差异,短期内形成对该问题的全球统一规制模式存在困难。欧盟和美国在个人数据跨境流动规制方面的双边合作经验揭示了双边合作是解决当前企业跨境传输个人数据面临不同合规要求的一种思路。我国可以采取“从双边到区域,从区域到全球”的路径推动个人数据跨境流动规制的国际合作。