从“数据隐私框架”看欧美数据跨境流动的规则博弈

欧美《隐私盾协议》失效后,双方为了恢复数据跨境流动秩序,于2022年底达成了“数据隐私框架”。该框架旨在回应欧盟法院在“《隐私盾协议》无效案”中提出的主要关切。2023年7月,欧盟委员会基于该框架对美国的个人数据保护水平发布了充分性认定决议。然而,该框架并未对美国情报机构大规模收集数据与窥探隐私的行为施加实质性限制。此外,框架建立的双层救济机制由于缺乏独立性,也无法给数据隐私权益受损的欧盟公民提供充分有效的救济。与《隐私盾协议》相比,该框架在本质上并没有明显的突破。欧盟和美国在双方数据跨境流动制度安排上的博弈,表面上是两种数据保护理念和治理模式的碰撞,实际上反映出了欧盟实施“数字主权”战略与美国维护“数字霸权”地位之间存在的根本利益冲突。欧美凭借各自优势,在数字经济时代争夺全球数字治理话语权。通过深入研究欧美之间关于“数据隐私框架”的规则博弈,可以为我国在选择适合本土的数据监管模式和提升数据治理规则话语权方面提供重要的思考和启示。

美欧数据跨境协议中的特殊保护制度分析

数字化时代背景下,国家间的数据跨境合作促进了全球数字经济发展.但伴随数据跨境合作带来的以情报为目的的非法访问行为,也带来如何兼顾数据跨境与数据安全的难题.欧盟与美国较早应用充分性认定制度开展数据跨境合作,双方达成的合作协议中限制美国公共当局访问行为的特殊数据保护制度设计值得深入研究.对《安全港协议》《隐私盾协议》《欧盟-美国数据隐私框架》下特殊数据保护制度设计进行了提炼,重点解读了其行为限制、部门监督、权利救济的有关规则,挖掘该制度的基本框架.在我国大力建立便利化数据跨境传输机制背景下,提出对我国的相关建议.

欧美隐私盾协议及其对我国的启示

欧美隐私盾协议为欧盟个人数据保护提供更多的救济途径,加大了企业和美国政府的义务,对美国政府的数据获取进行了限制。该协议贯彻了欧盟网络安全战略,平衡了欧美数据保护政策,促进了欧美间跨境数据流动,有助于加快跨大西洋商贸往来。我国应尽快出台个人信息保护法,构建个人信息保护法律体系;建立专门的个人信息保护监管机构;完善个人信息跨境流动的监管制度和机制;出台跨境数据流动行业标准,加强行业自律;加强国际合作,构建中欧数据安全对话机制,积极参与网络空间国际规则的制定。

美欧跨境数据流动规则博弈及中国因应——以《隐私盾协议》无效判决为视角

目前,国际社会尚未就跨境数据流动规则达成共识,美国和欧盟在相关规则制定中占据领先优势,但二者采取了不同的立法模式和标准,存在难以弥合的分歧。为此,美欧在过去20年中持续开展了多轮博弈,2020年7月欧盟法院关于美国无法为欧盟的个人数据提供充分保护、美欧《隐私盾协议》无效的判决,正是这一博弈的最新体现。该判决对于欧盟重新夺回技术主权以及美欧跨境数据流动合作和规则博弈都将产生不可忽视的影响。同时,这一判决所推动的跨境数据流动规则博弈态势对我国利弊并存。我国应着眼于国家安全、数据隐私保护和经济发展的平衡,积极推动现有跨境数据流动国内立法的完善,并通过加入现有的区域性隐私框架等措施积极提升“中国模式”的国际影响力。

欧美跨境数据流动规制:冲突、协调与借鉴——基于欧盟法院“隐私盾”无效案的考察

欧盟和美国之间数字贸易联系紧密,美国借助《隐私盾协议》及《安全港协议》打破了欧盟数据保护立法的壁垒,实现了个人数据向美国的自由流动。《隐私盾协议》无效案反映出欧美之间数据跨境流动的主要问题在于美国国家安全法律与欧盟个人数据保护法律之间的冲突,背后的根源是欧盟为抗衡美国的数字经济霸权与监控资本主义而实施“技术主权”战略。《隐私盾协议》无效案对中国的个人数据治理具有重要借鉴意义,中国需明确数据规制的目标,完善数据跨境流动的规则,并且利用自由贸易协定和WTO机制积极推广中国数据治理的国际主张。

数据跨境流动中的个人数据保护

数据的自由流动已逐渐成为信息产业乃至包括传统行业在内的所有行业实现利益的重要途径,然而因各国经济发展、立法传统、文化和价值的差异以及国际局势的复杂性,全球统一的数据跨境流动规则短期内不会形成。在此背景下,欧盟从个人信息保护出发,以三个法律文件为标志,逐步确立了严格的数据跨境传输标准;美国则以经济利益为主导,通过双边或多边协议破除他国壁垒和限制,促进数据自由流动;我国近年来出台了多项跨境数据法规及配套指南,但仍存在诸多问题。要实现数据跨境流动带来经济利益的同时平衡对个人数据的保护,还需在战略目标的高度进一步完善立法与监管体系,建立行业自律制度,参与国际双边和多边谈判,争取话语权。

欧盟、美国跨境数据流动法律规制比较分析及应对挑战的“中国智慧”

欧盟、美国主导形成了国际上较为完善的跨境数据流动法律规制体系,对全球商贸活动和经济增长具有较大意义。运用文献查阅和比较方法,对欧盟、美国跨境数据流动法律规制进行分析,考察其主要差异及相同之处。结论认为,欧盟、美国跨境数据流动法律规制的差异主要表现在规制模式、立法基础、价值取向三方面,但都努力维护跨境数据流动与经济利益之间的平衡。我国应发挥"中国智慧",积极应对跨境数据流动挑战。

欧美跨境数据流动合作的演进历程、分歧溯源与未来展望

[研究目的]考察欧美跨境数据流动的合作与分歧,有助于准确把握跨境数据流动国际发展趋势,对我国在统筹国内法治和涉外法治背景下构建数字贸易规则具有重要意义。[研究方法]采用案例分析法,基于安全港原则与隐私盾协议两次失效案,回顾欧美跨境数据流动合作的演进历程,分别从技术、价值、文化3个维度溯源欧美两次合作失败的成因,进而从意愿、路径和前景3个方面分析后Schrems II时代下欧美跨境数据流动规则的合作预期,为中国的数字治理路径提供借鉴。[研究结论]欧美跨境数据流动合作产生分歧的原因包括技术能力差异、价值主张分歧和法律文化冲突,其根本分歧在于“技术主权”与“监控资本主义”的冲突。考虑到现实需要,欧美仍可能通过重构隐私框架、使用标准合同条款和获取充分性认定实现合作。对此,中国应从国际和国内两个层面采取应对措施,为全球跨境数据流动规则提供“中国方案”。

欧美“隐私盾”协议及对我国网络数据保护的启示

欧美之间的"隐私盾"协议将使从欧洲传输个人信息到美国变得更为容易。介绍了欧美"隐私盾"协议出台背景、举措要点和影响,建议我国应进一步重视个人数据跨境流动,抓紧健全法规制度,重点完善个人数据保护立法,提升企业数据保护水平,强化政府监管职责。

从《欧美隐私盾》协议失效看美国政府电子数据调取体系

从《欧美隐私盾》协议被欧盟法院判定无效的核心论据出发,对美国政府基于不同执法目的下的电子数据调取体系进行了探究。指出尽管美国政府在一般执法情形下的数据调取体系较为严谨和规范,但是基于国家安全目的的数据监视和调取体系具有一定的不透明性和不规范性,正是这一特点导致欧盟法院认为其无法满足欧盟对于个人数据的保护标准,从而给两者的数据跨境传输合作机制带来了负面影响。

美欧《隐私盾协议》之无效及中国应对路径

数据跨境自由流动已经成为数字经济发展的关键议题,美欧为解决美欧之间数据跨境提供问题,做了多种尝试,已从《安全港协议》过渡到《隐私盾协议》,但是2020年7月《隐私盾协议》也被欧盟法院裁定无效。协议无效之后,美欧政治经贸关系将会率先受到影响,数字经济全球拓展亦将受阻,还可能滞后全球跨境数据流动规则构建。在此背景下,我国数据跨境流动政策、跨国企业数据跨境传输、数据跨境流动规则制定话语权也会受到间接影响。我国亟需转变对数据跨境转移的态度,并继续建立详细的数据分级制度,合理设置国家安全例外,最后通过RCEP、CAI等国际协定与电子商务谈判提升我国立场影响力。

欧美个人数据跨境流动规制:冲突与协调——基于欧盟法院判定“安全港”“隐私盾”无效案的考察

个人数据跨境流动对欧美之间商贸往来的发展至关重要。欧美个人数据跨境流动规制模式在立法价值、立法模式和法律执行方面都存在较大差异,《安全港协议》和《隐私盾协议》的相继签署为欧美之间跨境数据的传输扫除了障碍:但欧盟将维护公民的信息隐私权利作为其创制个人数据规制法律时的基本遵循,美国则把相关法律的制定作为促进其经济发展的手段,两者在立法取向和立法理念上的差异最终导致欧盟司法部门分别将两个协议判定为失效,这两个失效协议也是欧美在数字经济发展方面展开激烈竞争的具体表现。在后隐私盾时代,欧美在个人数据跨境流动规制方面的分歧仍然难以彻底消除。文章认为:要消除此分歧,需要探寻可行性措施,这不仅有利于欧美个人数据跨境流动规制难题的解决,也有助于我国个人数据跨境流动规制框架的构建。

跨境数据流动规则分析--以欧美隐私盾协议为视角

隐私盾协议是欧盟和美国两个数据保护立法不同的国家之间协调形成的跨境数据流动最新规则,它与安全港协议、TPP协议相比在基本原则、衡量标准、约束对象上存在共同点,但具有数据保护标准严格、执行力强、救济手段丰富、对情报机构的权利限制等特色。从这些协议对比预判形成全球统一跨境数据流动规则难点在于建立折中框架使隐私保护与数据自由流动并重、统一碎片化规制提高实施能力以及完善数据收集细则平衡国家安全与个人隐私。

个人数据跨境流动规制的国际格局及中国应对

目前全球规制跨境数据流动的统一规则尚未形成,现有规则主要以欧美为首的发达国家引领。欧盟从人权保护的历史传统出发,将数据权作为一种基本人权,创建了严格限制个人数据跨境流动,以提升数据权保护水平的立法范式;美国基于其信息产业的优势地位以及对数据自由流动的依赖性,奉行以市场为主导,以行业自律为中心的个人数据保护政策,通过签订双边或多边协议,促进数据跨境,维护业已建立的"数据占有和利用"优势,获得最大的经济利益。两种规制方式在价值取向、规制路径和规制结果等方面存在巨大差异,既激烈竞争,又相互妥协和融合,构成了个人数据跨境流动规制的国际格局。在此背景下,我国的应对路径是:完善数据跨境流动立法,提升法律的可操作性;提高企业的合规遵从性,推进行业自律制度建设;大力开展国际合作,积极参与国际规则制定。

美欧《隐私盾协议》评析

在个人数据保护领域,美欧的立法和相关实践一直走在世界前列。作为国际上首个规制跨境数据流通的国际协议,《安全港协议》曾长期为美欧跨境数据流通提供重要索引和指南,然而"斯诺登事件"的爆发,尤其是《安全港协议》无效案,直接将该协议碾为废墟。成长于该废墟之上的《隐私盾协议》,既汲取了《安全港协议》的失败教训,又在该协议的基础上有新的突破和发展。虽然肯定和质疑之声并存,《隐私盾协议》作为美欧规制跨境数据流通的新规则,不仅对美欧各自数据保护立法和配套机制的完善产生了积极的促进作用,还有可能成为国际个人数据保护领域里的新范式,并对我国个人数据保护相关机制的形成和发展提供些许启发和借鉴。

美欧数据跨境流动博弈中的欧盟技术主权战略及其实现

与安全港框架不同,隐私盾框架的废止在涉欧数据跨境流动合规方面引起了较大的震动,这折射出欧盟在技术主权战略指导下趋向于严格规制数据跨境流动。欧盟法院在法律适用上存在采用双重标准的嫌疑,以及欧盟数据保护委员会偏离《一般数据保护条例》“基于风险”路径等吊诡现象,是欧盟以技术主权战略对抗美国侵略性技术控制战略并作用于法律层面的结果。凭借个人数据保护领域中的布鲁塞尔效应,欧盟牢牢掌控该领域的规则话语权,在隐私盾框架废止后的美欧后续谈判中处于主动地位,并迫使美国不断修改立法以符合欧盟的法规。欧盟意图在谈判中实现软数据本地化和限制境内外国科技企业市场竞争力的目的,为技术主权战略的实施提供数据与技术保障。中国应当关注欧盟数据跨境流动规制中的技术主权战略意图,避免陷入被动合规陷阱,并构建独立自主的数据跨境流动战略。

由点及面,异中求同:个人数据跨境流动规制的国际合作路径

为保障个人数据在全球范围内顺畅流动,促进各国数字经济产业的发展,各国应努力在个人数据跨境流动规制方面达成全球性合作。然而,当前以欧盟GDPR、美国主导的CBPR和中俄个人数据本地化制度为代表的三大个人数据跨境流动规制模式,在价值取向上存在根源性差异,短期内形成对该问题的全球统一规制模式存在困难。欧盟和美国在个人数据跨境流动规制方面的双边合作经验揭示了双边合作是解决当前企业跨境传输个人数据面临不同合规要求的一种思路。我国可以采取“从双边到区域,从区域到全球”的路径推动个人数据跨境流动规制的国际合作。