欧美达成新跨境数据流动协议，欧洲仍难免被“窥视”的焦虑

当地时间7月10日，欧盟与美国在跨境数据流动领域达成“欧盟-美国数据隐私框架”协议，通过近三年的长久谈判和强力的政治行政手段，恢复了欧美跨境数据流动的规制体系。这一框架协议的达成，一方面受到跨国企业尤其是美国数字科技巨头的欢迎，另一方面在欧洲内部依然存在巨大的反对声浪，框架协议的最终前途并不完全如欧美双方政客表述的那样乐观。该协议最终能否避免再次重蹈此前欧美“隐私盾”协议被欧洲法院宣布无效的覆辙，是关乎跨大西洋数字经济产业合作的重大事项，将被各利益攸关方持续高度关注。

“框架协议”达成并不意味着从此马放南山

从2000年到2015年，欧美跨境数据流动的规制性框架一直是“安全港”协议。依托“安全港”协议，美国虽不在欧盟数据保护“充分性认定”的名单上，美国企业却可以不用采取额外措施开展欧美之间的数据流动业务。

到2015年，28岁的奥地利维也纳大学研究生马克斯·施雷姆斯（Max Schrems）开始发难，针对脸书（Facebook）不当传输欧洲公民数据至美国而告上欧洲法院。施雷姆斯尝试作为隐私活动人士的当头炮就引发了跨大西洋数字经济的巨大震动，“安全港”协议被欧洲法院宣布无效。随后欧美双方迅速在2016年达成最新的“隐私盾”协议，意图维系欧美企业与机构日常的跨境数据流动。但在施雷姆斯等人的密切“追击”之下，“隐私盾”协议在2020年又被宣布正式作废。

而此次达成的“欧盟-美国数据隐私框架”协议，是继“安全港”、“隐私盾”之后，美欧再次尝试建立稳定的跨大西洋数据流动安排的努力。

此次突然宣布达成一致的“欧盟-美国数据隐私框架”，是欧美双方为了维系7.1万亿美元的跨大西洋经济关系的重要举措,被欧美双方直接参与谈判的高官称作是一个“强健的方案”（robust solution）。欧盟司法专员迪迪埃·雷德尔斯（Didier Reynders）的表态很是乐观，不仅声称“个人数据现在可以自由、安全地流动”“‘保护’与数据的流动始终随行”，还认为即使在未来被再次诉诸欧洲法院，也有充分的信心可以抵御攻击，“我非常有信心去战斗、捍卫新的数据协议。”美国商务部长吉娜·雷蒙多（Gina Raimond）高度赞扬了这一突破，称“这是美国和欧盟数月来重要合作的顶峰。并体现了我们的共同承诺，即促进各自司法管辖区之间的数据流动，同时保护个人权利和个人数据。”

在此前被欧洲法院否决的“隐私盾”协议基础上，欧盟委员会（European Commission）批准通过的《针对欧盟-美国数据隐私框架的充分性决定》当中认为“美国确保了从欧盟转移至美国公司的个人数据有足够的保护水平”（an adequate level of protection）。事实上，相比于“隐私盾”协议时期最大的改动，是针对欧盟公民数据在美国境内的保护方式。在美国总统拜登和欧盟委员会主席冯德莱恩2022年的密集互动后，美国通过总统行政令的方式在去年10月7日宣布成立“数据保护审核法院”（DPRC，Data Protection Review Court），专门负责欧盟公民数据权利相关的投诉。围绕数据保护审核法院建立起的一套全新的司法救济措施（例如“公民自由保护官员”、“特别辩护人”等），被欧美官方认为可以有效保护欧盟公民的数据与个人隐私。

拜登在最新的声明中称，该协议“代表了美国和欧盟多年来密切合作的顶峰，并肯定了我们建立在共同民主价值观和世界愿景基础上的跨大西洋关系的力量。这一决定反映了我们对强有力的数据隐私保护的共同承诺，并将为大西洋两岸的国家和公司创造更多的经济机会”。

但欧美双方的谈判代表显然从一开始就不再有当初谈“隐私盾”协议时那样的雄心壮志。此版协议甚至没有再起一个如“安全港”“隐私盾”这样响亮的名字，某种程度上反映了双方在此轮协商中相对更加务实的态度，吸取了此前“隐私盾”被废除的经验教训。现阶段达成协议并立即生效，并不是刀枪入库马放南山的终局。在欧洲内部对该协议还存有巨大阻力，现在达成的协议很可能只是新一轮争执的开端。

阻力不减，“隐私盾”被废一幕或重演

鉴于欧盟委员会做出的行政决议被欧洲法院屡次废除，欧盟内部行政体系与司法体系之间的独立性为此版本协议增添了变数。在欧洲内部反对声浪与阻力不减的背景下，“隐私盾”替代“安全港”却被废除的情景很可能再次发生。

首先，“安全港”与“隐私盾”先后被废除，欧盟委员会的行政决定屡次被欧洲法院推翻，为这次达成的“框架协议”增添了变数。

其次，以当年向欧美数据传输问题开头炮的施雷姆斯为代表的隐私活动人士誓言将马上采取行动。随着协议出炉，不出各界观察人士预期，施雷姆斯及其领导的非营利组织“noyb”立即表示将再次提起诉讼。施雷姆斯对欧美政界的各种乐观表态不屑一顾，甚至将他们的用词一一拿出来鞭笞：“仅仅宣布某件事是‘新的’、‘稳健的’或‘有效的’并不能在法院面前解决问题……我们需要修改美国的《外国情报监视法》才能使这个项目真正发挥作用——但我们根本没有这样做。”

上文提到的欧盟司法专员雷德尔斯关于“框架协议”即使再被告到欧盟法院也有信心“抵御攻击”的表态，就是冲着施雷姆斯说的。而施雷姆斯第一时间的应战声明将成为欧美数据立法与监管的达摩克里斯之剑。作为亲手推翻“安全港”与“隐私盾”这两个协议的始作俑者，施雷姆斯在全球隐私“维权”领域对欧洲相关机构有很强的威慑力，其提出的关于迫使美国修改《外国情报监视法》的问题将成为未来欧洲法院上激烈争执的焦点。

三是欧洲内部反对声音始终存在。一些欧洲议会（European Parliament）议员对该协议不断提出批评，但由于欧洲议会不直接参与欧盟委员会主导的欧美跨境数据流动协议谈判，议员们的反对声浪无法阻止欧盟委员会最终审批通过协议。但反对该协议成型的议员们并不是完全无所作为，欧洲议会曾在今年5月通过了一项不具约束力的决议（non-binding resolution），称该协议未能为欧洲公民提供足够水平的数据保护。在《纽约时报》的采访中，议员比吉特·西佩尔(Birgit Sippel)认为，“缺乏保护使得欧洲人的个人数据容易受到大规模监视，从而损害了他们的隐私权……该框架没有提供任何有意义的保障措施来防止美国情报机构进行不分青红皂白的监视。”

此外，欧盟隐私监管机构欧洲数据保护委员会（EDPB，European Data  Protection Board）表示，最新的数据协议仍然存在不足，并敦促欧委会采取更多措施保护欧洲人的隐私权。

传统盟友关系下数字竞争分歧难以完全弥合

从底层逻辑上看，美欧在国家安全关切与个人权利保障之间仍然存在巨大隔阂。欧盟委员会“充分性决定”的依据是美国相关法律框架的调整，其基础是拜登2022年10月发布的关于“加强对美国信号情报活动的保障”的行政令，其中提出将在美国针对欧盟的数据保护担忧建立“具有约束力的保障措施，将美国情报机构对数据的访问限制在保护国家安全必要和相称的范围内”、“加强对美国情报机构活动的监督，以确保遵守对监视活动的限制”。

但事实上，在美国《外国情报监视法》没有进行重大修正的情况下，仅靠行政令无法真正缓解欧洲人的数据安全焦虑。美国国会议员当中有一批十分强硬的对抗者——为欧洲人的“个人权利”修改美国国内法，使美国“国家安全”被撕开口子，对于一部分美国国会议员而言几乎是无法容忍的。相关问题将成为新框架协议当中最棘手、被攻击力度最狠的重点。

此外，从欧盟视角上看，欧盟内部的“政治正确”仍然是对美国科技企业“管起来”，不断坐实“硅谷的实际监管者”地位。针对美国跨国数字科技巨头在欧洲的数据合规及垄断地位问题，欧盟内部还将沿着《数字服务法》《数字市场法》和即将出台的《人工智能法》等既定轨道向前，目标直指美国数字科技企业。在这一过程中，欧美数字科技领域的竞争与监管矛盾及其背后的“不对称性”将进一步凸显。

（姚旭，复旦大学发展研究院青年副研究员）