欧美隐私盾被判无效背后：防止美国政府监控数字主权博弈升级( 二 )

跨大西洋数字经济受到影响，中小企业面临更大挑战
长期从事企业数据合规的北京环球律师事务所合伙人孟洁告诉南都，裁决对企业的短期直接影响就是在欧盟开展业务合规成本的提高。 “隐私盾”被判无效后，因面临法律上的不确定性，他们需重新考虑个人数据跨境传输的机制。
美国约翰·霍普金斯大学跨大西洋关系中心发布的《2019跨大西洋数字经济》报告显示，欧美之间跨大西洋的数据流动是世界范围内最快且规模最大的，这其中包含了欧盟过半和美国近半的数字交易，跨大西洋数字连接中断对欧美双方来说都是无法接受的。
有资料显示，早在“安全港”协议宣布无效时，欧盟委员会的多项研究结果就表明，欧美间数据流通受阻将会造成欧盟的整体国民生产总值下降0.8到1.3个百分点。
对此，美国商务部长威尔·伯罗斯（Wilbur Ross）表示，美国对该裁定“深感失望” ，我们“希望将高达7.1万亿美元的（跨大西洋）经济关系的负面影响降到最低。 ”

文章图片

美国商务部长威尔·伯罗斯（Wilbur Ross）。图自BBC
那么，在“隐私盾”被判无效的当下，跨大西洋的数据传输完全被阻断了吗？答案是，没有。因为如前所述，法院还支持另一种数据传输协议——标准合同条款。
目前， Facebook、微软等科技公司和其他银行、航空巨头公司都在广泛使用这些标准合同条款。例如，微软在裁决出来当日就回应称，他们同时在“隐私盾”和标准合同条款两个框架下为用户提供数据保护，所以他们不受到此次裁决的影响。
公开资料显示，在“隐私盾”框架下获得认证的有5384家公司，除了Facebook、亚马逊、微软、华为、花旗银行等大公司，还有65%是中小企业或初创企业。
对这些中小型企业而言，他们大部分没有在欧盟国家建立服务器。 “为应对这一裁决，他们可能会面临比较大的挑战” ，国际隐私专业人员协会（IAPP）副主席奥马尔·提尼（Omer Tene）表示。
据外媒报道，有几家美国中小公司表示，他们正在与法律顾问研究欧盟法院的这一裁决以及复杂的合同条款，以确保他们目前的数据传输协议仍然符合法律规定。
7月25日，欧盟数据保护委员会对裁决进行了说明，其中明确，即使企业已使用标准合同条款，也应当“一事一议地对数据传输行为进行验证审核” ，并可能需要加入额外的保护措施，以确保能够对欧盟个人数据提供充分的保护。如果不符合要求，那么即便有标准合同条款，监管机构仍可以暂停或禁止相应的数据传输。

文章图片

欧盟数据保护委员会对裁决相关问题进行解答。
值得注意的是，也有专家提出，因为大部分中国企业依赖标准合同条款将欧盟个人数据转移至中国，在新裁决下，也需要在数据转移前评估是否提供了同等于欧盟的隐私保护，以及采取必要的补充措施。

欧美对个人数据、隐私保护的理念存在基础性差别

欧盟法院裁决的背后，反映出欧美之间对于数据以及隐私保护存在基础性差别。
北京清律律师事务所顾问、美国纽约州执业律师白一方解释道，欧盟将数据、隐私保护作为基本人权，美国则把个人数据作为准个人财产而生成的财产性保护。
一般来说，欧盟的保护标准被认为是最高的， 2018年5月，欧盟正式实施《通用数据保护条例》（GDPR），被国际社会广泛评价为“最严数据保护法” 。

文章图片

相比之下，美国的数据、隐私保护被分散在不同监管主体、不同行业的不同法规当中。不论是在医疗、教育、通信、网络安全、儿童数据保护等领域，都有专项的法律规则，但联邦层面尚不存在一个统领性、全局性的数据隐私安全法规。所以，白一方认为，这一基础性差别就导致欧美实际上对个人数据的保护理念和出发点是不同的。
根据欧盟的相关法规， “可以看到他们对个人数据这一基本人权的保护在公权力领域与私人领域是高度一致的” ，白一方还表示，虽然GDPR也提出，出于国家安全等原因，政府机构或其他公权力机构可以访问及获取个人数据，但同时要求必须经过法律授权，且必须对这类访问权明确限制在“必要”和“成比例”范围内。