由於我們的社會和經濟越來越多地依賴數位技術,因此透過網際網路共用和傳輸資料(包括個人資料)的需求隨之增長。跨境資料流動已成為國際貿易和全球經濟發展中至關重要的因素。事實上,如果沒有網際網路的開放和全球架構以及資料超越國界的能力,全球經濟的數位化轉型永遠都不可能發生。正如我們昨天在部落格文章中所述,資料當地語系化不一定會改善資料隱私權。實際上,如果我們能夠跨境傳輸資料,則會為資料安全性以及——延伸到——資料隱私權帶來真正的好處。因此,隨著資料隱私權保護日將於明天到來,我們希望藉此機會深入研究目前從歐盟向美國傳輸個人資料的環境,該傳輸受歐盟的隱私法規 (GDPR) 規範。展望未來,我們將有充足的理由投資更穩定的全球跨境資料傳輸框架,這對於更安全和更私密的開放網際網路至關重要。
跨境資料流動面臨的隱私挑戰
在過去的十年中,我們觀察到世界各地越來越傾向於保護網際網路,並樹立新的屏障以阻止國際資料流動(尤其是個人資料)。在某些情況下,這會導致數位產品和服務使用者的選擇減少和效能降低。在其他情況下,它會限制對資訊的自由存取,並且——矛盾的是——在某些情況下,這實際上會降低資料安全性和隱私性,完全違背了資料保護法規的基本原理。這些令人擔憂的事態發展的動機是多種多樣的,從對於第三國/地區的隱私權保護缺乏信任、主張國家安全,到尋求經濟自主。
過去幾年中,在歐盟,即使是最注重隱私權的公司(如 Cloudflare)也面臨著一些強硬派資料保護機構、隱私權積極分子和其他人持續不斷的猜測和擔憂,他們懷疑美國雲端服務提供者是否真正能夠以遵循 GDPR 的方式處理資料。通常,這些擔憂純粹是法律層面的,並未考慮到與特定資料傳輸相關聯的實際風險,以及在 Cloudflare 的案例中,我們的服務為數百萬個歐洲網際網路使用者的安全性和隱私權做出的重要貢獻。實際上,歐洲資料保護委員會 (EDPB) 的官方指導已確認歐盟個人資料仍然可以在美國處理,但情況已變得相當複雜,這是因為歐洲法院暫停了[隱私護盾]框架,於 2020 年做出 Schrems II 判決:資料控制者必須使用合法的傳輸機制,例如歐盟制式化契約條款以及大量的其他法律、技術和組織防護措施。
但是,最終將由法定資料保護機構決定這些措施是否足以解釋個別案例。由於這些案例通常非常複雜,由於每個案例各不相同,並且由於僅在歐洲就有 45 個資料保護機構,因此,這種方法根本無法擴展。此外,當涉及第三國/地區傳輸時,DPA——有時甚至在同一個歐盟國家(德國)內——對法律的解釋也會存在異議。當涉及到實際的法院裁決時,我們的經驗是,法院在資料保護方面比 DPA 更注重實效,考量更加周全。但是,在資料保護案件最終提交到法院之前,需要花費很長時間和大量資源。這對於那些無力承擔漫長的法律訴訟的小型企業來說,尤其成問題。因此,DPA 的巨額罰款作為理論上的威脅,可能會造成足夠的威懾力,使他們完全停止使用涉及第三國/地區資料傳輸的服務,即使這些服務為他們所處理的個人資料提供了更高的安全性和隱私性,並提高了生產力。這顯然不符合歐洲經濟的利益,並且很可能也不是決策者在 2016 年採用 GDPR 時的意圖。
好消息:希望就在眼前
儘管最近的事態發展並不能解決上述所有挑戰,但去年 12 月,經過歷時多年的複雜談判,國際決策者採取了兩個重要步驟,以恢復與個人資料跨境流動相關的法律確定性和信任。
2022 年 12 月 13 日,歐盟委員會發佈了令人期待已久的初步評估,即歐盟將認為依據未來的歐盟-美國資料隱私權框架 (DPF) 從歐盟傳輸到美國的個人資料在美國享有足夠的保護。最近,就在該評估發佈前,美國總統拜登簽署了 14086 號行政命令,全面解決了歐洲法院(ECJ)在 2020 年 Schrems II 裁定中表達的擔憂。值得注意的是,美國政府將對美國當局針對非美國公民使用批量監視方法施加額外限制,並在美國建立一個獨立的賠償機制,允許歐盟資料主體行使資料保護權利。儘管委員會的初步評估只是歐盟審批流程的開始,該流程預計需要約 4-6 個月,但專家們非常樂觀地認為最終將會予以採用。
就在一天之後,美國與其他 37 個經合組織 (OECD) 國家/地區和歐盟採用了首個同類協議,透過闡明在政府以國家安全和執法為由存取私人機構所持有的個人資料時,用於保護隱私和其他人權和自由的共同保障原則,以加強對法治民主制度之間跨境資料流動的信任。如果法律框架要求跨境資料流動受到保護,例如歐盟的 GDPR,參與者同意「考慮到目的地國家/地區有效實施這些原則,作為促進跨境資料流動在這些規則中應用的積極貢獻。」(同樣值得注意的是,與 Cloudflare 幫助構建更好的網際網路的使命一致,OECD 宣告回顧了成員國對「全球、開放、可存取、互連、可通、可靠且安全的網際網路」的共同承諾)。
未來:真正的全球性隱私權框架
歐盟-美國的 DPF 和 OECD 宣言互為補充,兩者都標誌著採取了重要的步驟,來恢復對具有民主和法治等共同價值觀的國家/地區之間跨境資料流動的信任,從而保護隱私權以及其他人權和自由。但是,這兩種方法都有自己的局限性:DPF 僅限於從歐盟到美國的個人資料傳輸。此外,不能排除在幾年後 ECJ 再次將其作廢,因為隱私權積極分子已經宣佈將再次對其提出法律質疑。另一方面,OECD 宣言在範圍上是全球性的,但僅限於政府的一般原則,這在實踐中可能會有截然不同的解釋。
這就是為什麼,除了這些努力之外,我們還需要一個穩定的多邊框架,其中包含特定的隱私權保護要求,不能單方面作廢。單一的全球認證應該足以讓參與的公司在全球參與的國家/地區之間安全地傳輸個人資料。新興的全球跨境隱私規則 (CBPR) 認證已得到來自北美和亞洲的幾個政府的支持,看起來在這方面大有希望。
歐洲決策者最終將需要決定是否要繼續走目前的道路,這有可能會使歐洲成為一座孤立的資料島。或者,歐盟可以修改隱私法規,以防止歐洲許多國家和地區的資料保護機構以與現實脫節的方式對其進行解釋。它還可以基於共同價值觀和相互信任,使其與全球性跨境資料流動框架互通。
Cloudflare 將繼續積極與全球各地的決策者交流,提高人們對我們產業所面臨的實際挑戰的認識,並為更加隱私和安全的開放互連的網際網路開發永續的政策解決方案。
明天的資料隱私權保護日為我們所有人提供了一個獨特的機會,以慶祝迄今為止在保護使用者線上隱私方面取得的重大進展。與此同時,我們應該利用這一天來反思如何改編或執行法規,以便更有意義地保護隱私權,特別是透過優先使用安全性和隱私增強技術,而不是採用成本高昂的方法,不但損害經濟,也享受不到實在的隱私權益。