随着我们的社会和经济日益依赖于数字技术,在互联网上共享和转移包括个人数据在内的数据的需求也越来越大。跨境数据流动对国际贸易和全球经济发展至关重要。事实上,如果没有互联网的开放和全球架构以及数据跨越国界的能力,全球经济的数字化转型就不可能发生。正如我们在昨天的博客文章中所指出那样,数据本地化并不一定能改善数据隐私。事实上,如果我们能够跨境传输数据,那么数据安全,乃至隐私将真正受益。因此,随着明天的“数据隐私日(Data Privacy Day)”到来,我们想借此机会深入探索当前个人数据从欧盟转移到美国的环境(其受《通用数据保护条例》(GDPR)管治)。展望未来,我们将努力建立一个更稳定的全球跨境数转移框架,这对一个开放、更安全、更私密的互联网将是至关重要的。
跨境数据流动的隐私挑战
在过去十年中,我们观察到世界各地有一种日益增长的趋势,对互联网进行限制,并对国际数据流动,特别是个人数据流动设置新的障碍。在某些情况下,这导致用户的数字产品和服务选择减少,性能变差。在其他情况下,这限制了对信息的自由访问,而且——矛盾的是——在某些情况下,这甚至导致了更差的数据安全和隐私,违背了数据保护法规的根本宗旨。这些令人担忧的发展有多方面的动机,从对第三国隐私保护缺乏信任,到主张国家安全,再到寻求经济自决。
在欧盟,过去几年里,即使是最注重隐私的公司(例如 Cloudflare)也面临着来自一些强硬派数据保护机构、隐私维权人士和其他人的连串猜测和担忧,即美国云服务提供商处理的数据是否确实能够以遵从 GDPR 的方式进行处理。通常,这些担忧是纯粹的条文主义,没有考虑到与特定数据传输相关的实际风险,以及在 Cloudflare 的案例中,我们的服务对数百万欧洲互联网用户的安全和隐私做出的重要贡献。事实上,欧洲数据保护委员会(EDPB)的官方指南已经确认,欧盟的个人数据仍然可以在美国处理,但自从欧洲法院在 2020 年的 Schrems II 判决中暂停“隐私盾”(Privacy Shield)框架以来,这已经变得相当复杂:数据控制人必须使用合法的转移机制,如欧盟标准合同条款,以及大量额外的法律、技术和组织保障措施。
然而,对于这些措施是否充分,最终是由主管数据保护当局通过逐案解释决定的。由于这些案例通常相当复杂,每个案例都是不同的,而且仅在欧洲就有 45 个数据保护机构, 这种做法无法扩展。此外,当涉及到第三国转移时,数据保护机构——有时甚至在同一个欧盟国家(德国)——对法律的解释上都存在分歧。当涉及到实际的法院裁决时,根据我们的经验,法院在数据保护方面往往比数据保护机构更加务实和平衡。但是,数据保护案件在法庭上获得裁决需要很长时间和大量资源。这对那些无法承受漫长法律诉讼的小企业来说尤其成问题。因此,来自数据保护机构的巨额罚款这一理论上的威胁也许已经产生足够的威慑,让他们完全停止使用涉及第三国数据转移的服务,即使这些服务为他们处理的个人数据提供了更好的安全和隐私,并使他们更有效率。这显然不符合欧洲经济的利益,也很可能不是政策制定者在 2016 年采用 GDPR 时的意图。
好消息是:希望已经出现
虽然最近的事态发展不会解决上述所有挑战,但在去年 12 月,经过多年的复杂谈判,国际政策制定者采取了两项重要步骤,以恢复与个人数据跨境流动有关的法律确定性和信任。
2022 年 12 月 13 日,欧盟委员会公布了期待已久的初步评估:欧盟将认为按照未来的欧盟-美国数据隐私框架(DPF)从欧盟转移到美国的个人数据在美国享有足够的保护水平。在此之前,美国总统拜登最近签署了第 14086 号行政命令,该命令全面解决了欧洲法院(ECJ)在 2020 年 Schrems II 裁定中表达的关切。值得注意的是,美国政府将就美国当局对非美国公民使用大规模监控的手段施加额外限制,并在美国建立一个独立的补救机制,允许欧盟数据主体行使其数据保护权利。虽然欧盟委员会的初步评估只是欧盟批准程序的开始,该程序预计需要 4-6 个月,但专家们非常乐观地认为,它最终将被采纳。
仅仅一天后,美国与其他 37 个经合组织(OECD)成员国和欧盟达成了一项史无前例的协议 ,通过阐明在政府以国家安全和执法为由访问私人实体持有的个人数据时,保护隐私及其它人权和自由的共同保障原则,增强法治民主体系之间跨境数据流动的信任。如果法律框架要求跨境数据流动受到保障,例如欧盟 GDPR 的情况下,参与者同意“考虑目的地国有效实施这些原则,作为应用这些规则对促进跨境数据流动的积极贡献。” (值得注意的是,与 Cloudflare 帮助建立一个更好的互联网的使命一致,经合组织宣言回顾了成员国对“全球、开放、可访问、互联、互操作、可靠和安全的互联网”的共同承诺。)。
未来:真正的全球性隐私框架
欧盟-美国 DPF 和经合组织宣言是相辅相成的,两者都标志着在拥有民主和法治、保护隐私及其它人权和自由等共同价值观的国家之间恢复对跨境数据流动的信任的重要步骤。然而,这两种方法都有自己的局限性:DPF 仅限于从欧盟到美国的个人数据传输。此外,不能排除它将在几年后再次被欧洲法院宣布无效,因为隐私维权人士已经宣布他们将再次从法律上挑战它。另一方面,经合组织宣言的范围是全球性的,但局限于政府的一般原则,这在实践中可以有截然不同的解释。
这就是为什么,除了这些努力之外,我们还需要一个稳定的、包含具体隐私保护要求的多边框架,不能被单方面宣布无效。一个单一的全球认证应该足以使参与的公司在全球参与国之间安全转移个人数据。新兴的全球跨境隐私规则(CBPR)认证已经得到了北美和亚洲一些政府的支持,在这方面看起来很有前景。
欧洲政策制定者最终需要决定是否要继续走目前的道路,这可能会让欧洲成为一个数据孤岛。或者,欧盟可以修改其隐私法规,以防止欧洲许多国家和地区的数据保护机构以脱离现实的方式解释它。这样还可以使其与基于共同价值观和相互信任的全球跨境数据流动框架之间具有互操作性。
Cloudflare 将继续与全球政策制定者积极接触,以提高对我们行业面临的实际挑战的意识,并致力于制定一个可持续的政策解决方案,实现开放和互联的互联网,使其更私密和安全。
明天的数据隐私日为我们所有人提供了一个独特的机会,来庆祝迄今为止在保护用户在线隐私方面取得的重大进展。与此同时,我们应该利用这一天来反思如何调整或执行法规,以更有意义地保护隐私,特别是优先使用安全和隐私增强技术,而不是那些损害经济、却没有切实隐私益处的禁止性手段。