欢迎光临
我们一直在努力

我们须要什么样的数据跨境划定规矩?

洪天峰:看清企业的“生老病死”,找到跃升的推动力

导言

本站声明:网站内容来源于网络,如有侵权,请联系我们,我们将及时处理

我们须要什么样的数据跨境划定规矩?

本日的文章,我们将关注另一个主要的题目:数据的跨境流畅划定规矩。

以欧盟和美国为例——

2000年,美国商业部跟欧洲联盟签订“平安港”协定,该协定划定,企业必需取得许可才把用户信息传递给第三方,并许可个人接见这些被收集的数据。这是第一个用于处置惩罚西欧个人隐私题目标框架。

2013年,“棱镜门”事宜暴光,欧盟发起了一系列针对美国企业的观察。在欧盟的请求下,两边加快举办了数据庇护总协定的商洽。2016年,“隐私盾”正式庖代“平安港”,成为两国数据传输的最新框架协定。

从“平安港”到“隐私盾”,都是在数据庇护思绪上存在庞大不合的两个经济体不停妥协、妥协终究杀青共鸣的结果。这将为环球数据跨境划定规矩的制订供应珍贵的参考。

欧盟在个人数据庇护方面,一向采用严厉立法,其严厉程度远远高于美国。欧盟担心个人数据活动到美国后,难以取得有用的庇护;美国则以为欧盟严厉的个人数据庇护形式大大增添了美国互联网企业进入欧盟市场的本钱,是一种以庇护个人数据为名的市场庇护战略。

美国互联网企业因为数据题目在欧盟频频受挫,美国前任总统奥巴马如许剖析欧洲对Facebook和Google的观察:“在某些题目上,被形貌为高贵态度的东西,偶然只是为了牟取它们的一些商业好处”。

从平安港协定到隐私盾协定,美欧在两边数据庇护立法存在庞大差别的情况下,经由过程协定的形式保持了近20年的个人数据跨境传输。

在这近20年的时间里,信息手艺疾速生长,互联网产业如日方升,同时数据泄漏风险愈来愈大,收集平安题目屡见不鲜,环球关于数据庇护的熟悉不停加深。

这些变化给美欧的数据跨境协定带来应战

2013年,“棱镜门”事宜打破了欧盟对美国的信托。2015年,欧盟法院讯断平安港协定无效。这些波折没有使两边摒弃勤奋,2016年美欧敏捷杀青了新的隐私盾协定。美欧的数据跨境划定规矩既表现了两边在代价理念、经济效益等方面的博弈,也表现出美欧在寻求协作的过程当中的妥协和妥协。

我们须要什么样的数据跨境划定规矩?

“棱镜门”事宜揭秘者爱德华·斯诺登经由过程视频现身比特币2019大会,称“比特币没有隐私”。/Diana Aguilar

一、美欧个人数据庇护立法思绪悬殊

美国和欧盟的隐私立法存在很大不合。

他们的基础理念是差别的:在美国,隐私法侧重于改正对消耗者的损伤,并经由过程有用的商业生意业务来均衡隐私庇护。在欧盟,隐私权被誉为一项可以凌驾于其他好处之上的基础权益。

个人数据的定义和局限、立法形式、庇护体式格局等方面上存在的差别使得美欧之间的数据跨境面对难题。

关于个人数据的定义和局限,欧盟有清楚的执法划定。

欧盟95指令中关于个人信息的定义为可辨认或已辨认个人的信息;2018年5月25日见效的《通用数据庇护条例》中关于个人信息的定义是可以直接或间接辨认个人的信息。

欧盟没有辨别庇护直接辨认与间接辨认的个人信息,只需认定为个人信息,都遭到一致的执法庇护。在个人信息中,将宗教信仰、政治看法、有关康健及性生活数据等信息特别分类,作为“敏感信息”重点庇护。

而美国的立法中,关于个人信息的划定散见于各个零丁的立法中,比方在信用卡相干的立法中划定信用卡数据,教诲相干的立法划定门生教诲信息。比较一致的做法是各州的《数据泄漏关照法》将个人信息限定于已辨认的信息。只要在少数立法中,才会将可辨认的信息归入个人信息的局限,比方《儿童在线隐私庇护法》。

一定个人信息的局限之所以主要,是因为个人信息的认定决议执法庇护局限,只需不属于个人信息,就不会遭到个人数据庇护法的束缚。

美国大部分个人数据庇护执法只庇护已辨认信息,而欧盟的个人数据则包含可辨认信息。许多在欧洲可以遭到严厉庇护的信息在美国能够不属于个人信息范畴,难以取得执法庇护。

其次,从立法形式上来讲,《欧洲人权条约》和《基础权益宪章》划定了对隐私权和数据权益的庇护,前者是一个国际条约,后者是欧盟主要的宪法文件。

95指令和GDPR细致划定了庇护个人数据的准绳、规范、处分等。在欧盟局限内,个人数据权益与隐私权具有宪法权益的职位,庇护规范异常严厉。

与此相反,美国宪法中没有欧盟观点下的隐私权庇护,宪法第四修正案仅仅庇护国民的个人信息不受政府不合理的搜寻。相反,美国宪法着重强调谈吐自在的权益。而谈吐自在与个人数据权本质上存在争执。

谈吐自在包含猎取信息的权益与宣布谈吐的权益,信息流畅是谈吐自在得以完成的条件和保证。美国十分注重大众议论关于代议制民主及民主决策的意义。基于美国的这类看法,庇护隐私许多时刻会与谈吐自在发作争执。

末了,从庇护形式上来讲,欧盟将个人信息、隐私庇护上升到了基础权益的高度

GDPR明白许可对“本质或非本质损伤”举办补偿。当个人信息被滥用时,拯救并不依靠于发作钱银或财富好处的损伤,在隐私遭到严峻侵占的情况下,可以以非本质损伤为由取得损伤补偿。

而美国的庇护形式则是消耗者视角,欧盟语境下的数据主体在美国事市场的参与者,应当遵照市场生意业务划定规矩。只要遭到现实的损伤,其权益才取得执法庇护。

不仅云云,美国一向对峙尽量少地对市场举办羁系,就数据跨境流畅而言,美国的平常划定规矩是不设限定,个人数据活动只需不冒犯特别范畴的划定就可以自在流畅。而在欧盟则是以当地化政策为准绳,除非经由过程执法许可的体式格局,个人数据不得跨境流畅。

二、欧盟严厉规范影响环球

欧盟严厉的个人数据庇护立法让互联网企业在欧盟市场中束手束脚,只管互联网企业已很勤奋去到达GDPR的请求。

从2018年5月GDPR见效以来,已有不少企业被罚,个中,法国数据庇护羁系机构国度信息与通讯委员会对Google开出的5000万罚单让人注视。

不仅云云,作为GDPR特别法的《电子隐私条例》关于收集即时通讯等OTT效劳中的个人数据实行越发严厉的划定规矩,庇护局限越发普遍。

充足性认定、规范合同以及有束缚力的公司内部划定规矩,本质上都嵌入了欧盟严厉的个人数据庇护请求,互联网公司不管运用哪一种体式格局,都不能不在事实上接收欧盟的个人数据庇护划定规矩。

不仅云云,欧盟的严厉庇护形式甚至会自下而上地影响其他国度的数据庇护立法。2018年,印度、巴西等国纷纭制订隐私庇护法,其内容与GDPR有许多相似之处。

欧盟虽然没有壮大的互联网企业,但壮大的市场气力和羁系才能、隐私规范的不可分性与不可躲避性让欧盟可以在环球市场中占有优势,迫使天下其他国度或区域接收与欧盟一样的划定规矩规范,进而增强欧盟在国际划定规矩制订中的主导权和影响力。

水滴筹深度调查:慈善还是生意?

“车西9号”最近在朋友圈中看到研究生同学发出一条水滴筹募捐贴,贴中详述家里老人生病,历经月余治疗,花费超过了30万元,但医生告知还需准备25万元,不得以之下进行募捐。

本站声明:网站内容来源于网络,如有侵权,请联系我们,我们将及时处理

起首,欧盟具有壮大的市场气力,欧盟2017年的GDP为17.27万亿美圆。云云庞大的经济体量意味着庞大的消耗才能,为了留在欧盟市场,互联网企业只能增添合规本钱,被动接收欧盟的严厉规制。

其次,欧盟具有羁系才能,从成员国到欧盟层级,都有对应的数据庇护机构,Facebook、Google被观察罚款,显现了欧盟壮大的羁系才能。

规范的不可分性是指关于在欧盟供应效劳的互联网企业而言,针对欧盟零丁制订隐私庇护政策的本钱大于在环球局限内一致实用欧盟规范的本钱。因为大数据、云盘算等手艺的生长,互联网公司的效劳愈来愈互联共通,难以支解,要想将欧盟业务断绝出来零丁处置惩罚,本钱反而越发奋发。

不可躲避性则是指欧盟的个人数据庇护是以在欧盟供应效劳为规范一定统领局限的,互联网企业难以经由过程其他手腕躲避羁系。

综合上述四个要素,在个人数据庇护范畴,欧盟现实上掌握了制订游戏划定规矩的权利。

详细到美欧之间的数据跨境,美国从未举办过欧盟的充足性认定,因为结果是不言而喻的,美国的个人数据庇护规范与欧盟相差甚远。有束缚力的公司内部划定规矩与规范合同的实用都须要经由欧盟成员国数据庇护机构的监视和检察,顺序烦琐,请求严厉,难以满足美欧之间的数据商业需求。

因而平安港协定应运而生,该协定涵盖了一系列欧盟有关个人数据庇护的准绳和请求,比方数据主体有权阻挡将其个人数据传输给第三国、确保“敏感数据”的明白一致、数据主体对其个人数据有权猎取并举办改正等。

美国企业只要接收并顺遂经由过程该协定项下的资历认证,才取得来自欧盟的相干数据。2015年平安港协定无效后,美欧主动参与新的数据跨境协定的制订,2016年隐私盾协定见效,基础连续了平安港协定的形式。

不管是平安港协定照样隐私盾协定,其本质上都是开辟一种变通的体式格局,在美国无需经由过程立法到达与欧盟一致庇护程度的条件下,让美国互联网企业事实上遵照95指令及GDPR中的欧盟划定规矩

现在经由过程隐私盾认证的业务中的企业有4671家,席卷了险些一切美国互联网巨子。因为互联网企业一致采用欧盟规范的本钱更低,所以在个人数据庇护方面,经由过程隐私盾认证的美国企业事实上在环球业务中遵照着欧盟规范。

除了束缚企业,隐私盾协定进一步增强了对行政行动的限制,限定美国政府不加挑选地收集大批欧洲国民的数据

2016年2月24日,奥巴马签订了《司法拯救法案》,给予欧洲国民与美国国民一致的司法拯救权,欧洲国民有权针对美国政府不当表露个人信息的行动提起告状,保证欧洲国民的权益拯救门路。这么看来,纵然美欧另辟蹊径,创设了一条双边协定的途径,欧盟好像依然紧紧掌握着话语权。

三、在争执中寻求谐和

然则,争执只是硬币的一面,在严厉个人数据庇护立法影响环球的同时,欧盟现实上也在主动寻求数据跨境流畅的国际谐和与协作。为了维系与天下各国的数据商业,欧盟不能不做出妥协和妥协。

与其说是欧盟主导着天下个人数据庇护划定规矩的竖立,不如说是各个国度综合国内立法须要与数据庇护共鸣构成的一种谐和形式,欧盟纵然具有壮大的影响力,也只是这个谐和收集的参与者而非主导者,只不过比拟于其他国度,欧盟在这个形式中具有更强的影响力和话语权。

1、欧盟:寻求协作以增进数据流畅

欧盟在95指令中的数据跨境划定规矩是以制止个人数据流出境外为准绳,充足性认定为破例,欧盟的初志是实行严厉的数据当地庇护。充足性认定由欧盟委员会担任,规范严厉,触及数据流入国执法制度、庇护手艺、管理程度等全方位的评价。直至2019年,经由过程欧盟委员会认定的国度和区域只要11个。单凭充足性认定显著难以满足21世纪欧盟关于个人数据跨境活动的需求。

在此背景下,欧委会在2001年及2004年离别宣布初版和第二版规范合同条款。2003年,29条工作组认可有束缚力的公司划定规矩是个人数据跨境传输的一种正当体式格局。

从庇护个人数据的目标动身,欧盟可以只依托充足性认定这一种体式格局来最大程度地庇护个人数据,而且充足性认定必然会最大程度地迫使其他国度接收欧盟数据庇护及数据跨境划定规矩。

然则欧盟却在主动地制造其他增进数据流畅的体式格局。欧盟采用了各种变通手腕增进了欧盟个人数据跨境流畅,这与欧盟极端推重个人数据权益与隐私权的理念是相悖的

美欧之间的平安港协定及隐私盾协定,也表现了欧盟的妥协和妥协。平安港协定由美国企业自愿到场,是不是遵照协定规范也是由美国羁系机构羁系。欧洲国民对美国公司提出的大多数索赔在美国举办,并要实用美国的执法。不仅云云,这项协定是欧盟层面签订的,此协定下的美欧个人数据跨境传输无需成员国的同意。

另外,有学者做过一次观察统计,结果显现从2000年到2015年靠近16年的时间里,针对《平安港协定》的投诉案件远远凌驾1300件,而终究取得实行的却只要40件,且在这40件取得实行的投诉案件中,唯一两家公司终究被实行了罚款处分。

显著,在平安港协定中,欧盟仅仅在制订规范上占有优势,协定的详细实行照样掌握在美国手里。以后的隐私盾协定虽然在许多方面强化了美国企业与美国政府的义务,比方增添了欧洲国民向本国数据庇护机构提起投诉的划定、增添了企业年度自检的请求、加大了处分力度、束缚了美国政府的行政行动,等等,然则关于隐私盾“换汤不换药”的质疑声从未断过,比拟庇护个人数据平安,隐私盾想要为美欧数据传输从新开方便之门的企图更显著。

2、美国:逐步注重隐私庇护

崇尚市场自治的美国也最先转向,从企业层面上来看,美国的互联网企业在个人数据庇护方面深受欧盟数据庇护划定规矩的影响。

美国互联网巨子企业的隐私政策险些都是根据GDPR的规范制订的;Facebook与苹果都经由过程各种体式格局试图谢绝FBI从其效劳器调取数据;Facebook为了庇护欧盟用户数据不受美国政府掌握,甚至在瑞典设立了数据中心。

在GDPR见效的四天前,微软总裁布拉德·史密斯在推特上写道:“我们置信隐私是一项基础人权”。苹果公司首席实行官蒂姆·库克也以一样的体式格局关照CNN:“隐私是一项基础人权”。

这类将隐私权拔高到基础人权的看法一向是欧盟隐私庇护的典范特性。美国的互联网企业,出于多方要素考量,险些都挑选了主动主动恪守GDPR。数据庇护合规才能成为了一项合作优势。

上升到立法层面,美国公众关于增强个人数据和隐私庇护的呼声愈来愈猛烈

Facebook数据泄漏案让美国公众关于隐私庇护近况极端不满,个人数据的不法运用已危及到美国人民引以为傲的民主制度。

2018年6月28日,美国加州宣布了《消耗者隐私庇护法案》(简称CCPA),对企业提出了更严厉的关照、表露义务,而且就数据泄漏划定了损伤补偿金额,一改美国法院对峙的数据泄漏没有本质损伤不举办补偿的司法通例。

这部美国最严厉隐私立法有很强的GDPR颜色,但仍能看出加州立法照样在寻求数据庇护和数据流畅的均衡中,保存了美国底色:CCPA在实用对象上排除了中小企业;在庇护局限中排除了鸠合数据和去标识化数据;在关照义务方面,连续了Opt-out形式;在不得轻视看待运用隐私权益的用户方面,保存付费形式。

上述划定,很显著地表现了美国务虚的风格:增进数据流畅、增进企业生长和手艺创新。

美国经由过程调解国内立法,主动谐和数据跨境流畅划定规矩,同时又保存美国核心理念,该妥协的妥协,该保存的保存,以期到达一个对各方都有益的结果。

结语

2019年1月,EDPB宣布了美欧隐私盾第二次年度检察报告,报告表达了对美国政府猎取个人数据的担心,以及愿望美国政府举办更多本质性的认证检察。同时也一定了美国商务部和联邦商业委员会现在正在举办的羁系勤奋,而且为企业供应了合规发起。

自Facebook数据泄漏事宜以后,美国国会以及数据羁系机构麋集举办听证会,业内人士、各范畴专家、消耗者整体及羁系机构猛烈议论,试图寻觅一条数据庇护的前途。在数据庇护这一庞杂议题眼前,不管是国内政策照样国际流畅划定规矩,美欧都在主动主动地寻求处理办法。

美欧的数据跨境划定规矩为环球数据跨境划定规矩的制订供应了一种参考,欧盟还与瑞士签订了相似协定,表明这类形式是可以复制的。现在数据跨境活动的国际划定规矩是碎片化的,缺乏一个国际层面的管理机制,大部分情况下依靠单边规制或许多边协定,然则这只能处理小局限的数据跨境需求。

将来的国际数据跨境流畅划定规矩的竖立有赖于各个国度做出妥协和谐和,配合在数据庇护和数据跨境划定规矩方面竖立起国际谐和收集,美欧的数据跨境划定规矩是这类形式的一个缩影。将来数据跨境国际划定规矩的构成,必需依靠每一个国度的主动探索以及国度间的自创和妥协。

洪天峰:看清企业的“生老病死”,找到跃升的推动力

导言

本站声明:网站内容来源于网络,如有侵权,请联系我们,我们将及时处理

未经允许不得转载:华人中文网 » 我们须要什么样的数据跨境划定规矩?
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

美国中文网 专业快速报道

联系我们联系我们