继反垄断、隐私保护、数字税之后，这次欧盟的监管大棒指向数据跨境传输。

近日，欧盟法院做出一项重磅裁决，宣布欧盟与美国之间的跨境数据传输协议——“隐私盾”（Privacy Shield)无效。法院认为，在该协议下，美国情报机关仍有可能获取用户信息，欧盟公民的个人数据无法得到应有的保护。

这记重拳之下，是高达7.1万亿美元的经济体量。“隐私盾”框架下获得认证的5384家公司需重新考虑跨境数据传输机制，除了Facebook、亚马逊、微软、华为、花旗银行等大公司，占比过半的中小型企业将面临更大的挑战。

专家认为，此次裁决反映出欧美之间对于个人数据以及隐私保护的理念存在基础性差别。此外，裁决背后是否与欧美数字主权争夺有关？长远来看，“隐私盾”被判无效对全球数据流通会产生哪些影响？对此，我们一一进行了分析。

当地时间7月16日，位于卢森堡的欧盟法院做出一项重磅裁决，宣布欧盟与美国之间的“隐私盾”协议无效。

欧盟法院裁决。

这一协议由欧盟委员会和美国商务部于2016年签署，美国企业可以向美国商务部要求认证，通过公开承诺遵守“隐私盾”框架的所有要求，以获得欧盟的“豁免审查”资格，让数据得以自由地在欧美之间跨境传输。

由于欧盟对个人数据保护的标准较高，根据其“相同保护水平”的要求，当企业把欧盟收集来的个人数据传输至美国进行存储处理时，必须遵循欧盟的合规要求。这一协议就提供了一种可行的合规框架。

已实施将近四年的“隐私盾”协议，为什么会被判无效？究其根本，欧盟法院认为，根据美国目前法律规定，美国情报机关仍有可能获取用户信息，欧盟公民的个人数据无法得到应有的保护。

事实上，“隐私盾”协议的前身——“安全港（Safe Harbor）”协议也遭遇了同样的命运，事件起因也一脉相承。这一切都要从奥地利律师、隐私活动家马克斯·施雷姆斯（Max Schrems）诉Facebook的系列案件说起。

奥地利律师、隐私活动家马克斯·施雷姆斯（Max Schrems）。图自BBC

2013年，前美国中情局雇员斯诺登揭露美国“棱镜门”计划，爆料显示，美国政府通过调取微软、Google等平台的数据窃听欧洲多国领导人。

当时，仍是法学院学生的施雷姆斯向Facebook欧洲总部所在地爱尔兰的数据保护委员会进行投诉，称美国情报机构访问其个人数据的行为未践行美国法律及惯例所声称的相应保护，并要求停止对其个人数据进行跨境传输。

当时“隐私盾”协议尚未出台，欧美遵循的还是2000年11月签订的“安全港”协议。案件被移交至欧盟法院后， 经裁决，“安全港”协议因未能确保美国对欧盟个人数据采取充分保护，且将个人数据隐私保护受制于国家安全等因素被判无效。

此后，Facebook开始改用标准合同条款作为将欧洲个人数据传输至美国的合法依据。2015年底，施雷姆斯第二次向爱尔兰数据保护委员会投诉，以相同理由要求暂停Facebook使用标准合约条款。

在第二案审理期间，欧美重新签订了“隐私盾”协议。因此，在向欧盟法院移交案件时，除了标准合约条款的问题，爱尔兰高等法院也对“隐私盾”协议的有效性进行了提问。

在16日作出的裁决中，欧盟法院认为，美国政府机构对个人数据的访问权没有限制在“必要”和“成比例”的范围内，欧盟用户也缺乏在美国获得司法救济的有效途径，所以在“隐私盾”协议下对欧盟用户数据的保护依然不足。但是，法院并未裁定标准合同条款无效。

长期从事企业数据合规的北京环球律师事务所合伙人孟洁告诉南都，裁决对企业的短期直接影响就是在欧盟开展业务合规成本的提高。“隐私盾”被判无效后，因面临法律上的不确定性，他们需重新考虑个人数据跨境传输的机制。

美国约翰·霍普金斯大学跨大西洋关系中心发布的《2019跨大西洋数字经济》报告显示，欧美之间跨大西洋的数据流动是世界范围内最快且规模最大的，这其中包含了欧盟过半和美国近半的数字交易，跨大西洋数字连接中断对欧美双方来说都是无法接受的。

有资料显示，早在“安全港”协议宣布无效时，欧盟委员会的多项研究结果就表明，欧美间数据流通受阻将会造成欧盟的整体国民生产总值下降0.8到1.3个百分点。

对此，美国商务部长威尔·伯罗斯（Wilbur Ross）表示，美国对该裁定“深感失望”，我们“希望将高达7.1万亿美元的（跨大西洋）经济关系的负面影响降到最低。”

美国商务部长威尔·伯罗斯（Wilbur Ross）。图自BBC

那么，在“隐私盾”被判无效的当下，跨大西洋的数据传输完全被阻断了吗？答案是，没有。因为如前所述，法院还支持另一种数据传输协议——标准合同条款。

目前，Facebook、微软等科技公司和其他银行、航空巨头公司都在广泛使用这些标准合同条款。例如，微软在裁决出来当日就回应称，他们同时在“隐私盾”和标准合同条款两个框架下为用户提供数据保护，所以他们不受到此次裁决的影响。

公开资料显示，在“隐私盾”框架下获得认证的有5384家公司，除了Facebook、亚马逊、微软、华为、花旗银行等大公司，还有65%是中小企业或初创企业。

对这些中小型企业而言，他们大部分没有在欧盟国家建立服务器。“为应对这一裁决，他们可能会面临比较大的挑战”，国际隐私专业人员协会（IAPP）副主席奥马尔·提尼（Omer Tene）表示。

据外媒报道，有几家美国中小公司表示，他们正在与法律顾问研究欧盟法院的这一裁决以及复杂的合同条款，以确保他们目前的数据传输协议仍然符合法律规定。

7月25日，欧盟数据保护委员会对裁决进行了说明，其中明确，即使企业已使用标准合同条款，也应当“一事一议地对数据传输行为进行验证审核”，并可能需要加入额外的保护措施，以确保能够对欧盟个人数据提供充分的保护。如果不符合要求，那么即便有标准合同条款，监管机构仍可以暂停或禁止相应的数据传输。

欧盟数据保护委员会对裁决相关问题进行解答。

值得注意的是，也有专家提出，因为大部分中国企业依赖标准合同条款将欧盟个人数据转移至中国，在新裁决下，也需要在数据转移前评估是否提供了同等于欧盟的隐私保护，以及采取必要的补充措施。

欧盟法院裁决的背后，反映出欧美之间对于数据以及隐私保护存在基础性差别。

北京清律律师事务所顾问、美国纽约州执业律师白一方解释道，欧盟将数据、隐私保护作为基本人权，美国则把个人数据作为准个人财产而生成的财产性保护。

一般来说，欧盟的保护标准被认为是最高的，2018年5月，欧盟正式实施《通用数据保护条例》（GDPR），被国际社会广泛评价为“最严数据保护法”。

相比之下，美国的数据、隐私保护被分散在不同监管主体、不同行业的不同法规当中。不论是在医疗、教育、通信、网络安全、儿童数据保护等领域，都有专项的法律规则，但联邦层面尚不存在一个统领性、全局性的数据隐私安全法规。所以，白一方认为，这一基础性差别就导致欧美实际上对个人数据的保护理念和出发点是不同的。

根据欧盟的相关法规，“可以看到他们对个人数据这一基本人权的保护在公权力领域与私人领域是高度一致的”，白一方还表示，虽然GDPR也提出，出于国家安全等原因，政府机构或其他公权力机构可以访问及获取个人数据，但同时要求必须经过法律授权，且必须对这类访问权明确限制在“必要”和“成比例”范围内。

相较欧盟来说，白一方认为，美国对公权力介入个人数据的立场就相对温和。美国《外国情报监控法》第702条、美国第12333号行政令及2014年第28号美国总统政策指令，都是对政府以收集国外情报为目的获取个人信息行为的授权。“在国家安全、反恐等重要事项上，可以说个人数据隐私受保护的权利从某种程度上是服从于国家整体的更大利益的。”她表示。

白一方还谈到，这样的差别并无非黑即白的优劣之分，只在于不同角度下的不同观点。

此外，她还提到，在本次事件中，可以看到欧盟法院判定“隐私盾”的无效，实际上是表达了欧盟法院自斯诺登事件以来长期积压的不信任，是对政府情报监控行为的警觉。

对外经济贸易大学数字经济与法律创新研究中心执行主任许可也持同样的观点，他认为，这同时也反映了欧盟对美国大企业的不信任，以及对于垄断的担忧。

但可以确定的是，即使隐私盾协议已经被宣布无效，欧美作为经济往来密切的伙伴，不可能因此停止经济、外交等各个方面的交往。“他们会重新回到谈判桌前”，许可说。

目前，大量美国科技及互联网巨头都拥有巨大的欧洲市场，在欧盟成员国内建立欧洲总部，在互联网及数字技术上，与欧盟本地企业相比有较大的优势。

此外，根据联合国发布的《2019年数字经济报告》，中国与美国占全球70个最大数字平台市值的90%，而欧洲在其中的份额仅为4%。可以看出，欧盟在全球数字经济中的市场份额与其经济实力并不匹配，而欧盟也一直试图打破美国在欧盟的技术强势地位。

最近，欧盟高举反垄断、隐私保护、数字税等监管大棒，频频对美国科技巨头开巨额罚单。

以反垄断为例，在欧盟负责竞争事务的专员玛格丽特·维斯塔格（Margrethe Vestager）有着“反垄断女皇”之称，此前两年内对谷歌开出三张共计82.5亿欧元的罚单。去年她被提升为欧盟委员会副主席，新的职责是“让欧洲适应数字时代”。

欧盟委员会副主席玛格丽特·维斯塔格（Margrethe Vestager）。

2020年2月，欧盟委员会连续发布了《塑造欧洲数字未来》《欧洲数据战略》和《人工智能白皮书》三份数字化转型战略文件，表达了对于建立统一规范化数字市场，把握数字经济主权的强烈需求。欧盟委员会主席乌尔苏拉·冯德莱恩曾表示，欧盟必须重新夺回自己的“技术主权”（technological sovereignty）。

欧盟委员会主席乌尔苏拉·冯德莱恩（Ursula von der Leyen）。

虽然此次“隐私盾”无效的裁决本质上还是基于个人数据隐私安全保护的考量，但基于欧美地缘政治风险的加剧、特朗普政府在外交上的强势态度等国际大环境，白一方提到，很难说这一裁决完全脱离欧美之间数字主权争夺的影响。

另一方面，此次裁决对全球数据流通的影响绝不仅仅局限于欧美之间。

白一方认为，这意味着欧盟对于数据跨境传输的审查力度在不断加大，即使有相关的协议，也并不能保证一劳永逸，还会面临法院审查导致的协议无效。另一方面，对于没有被欧盟认定为达到充分保护级别的其他国家来说，对数据跨境的具体审查也会越来越严格。

“从长远角度看，欧盟的做法引领了一个最大限度保护个人数据及隐私的趋势”，白一方指出，可以观察到，世界各国都在陆续展开研究或立法，制定类似于GDPR的全面个人数据以及隐私保护法律法规，这也表明国际立法的动向上对于数据安全越来越重视，对于本国公民的个人信息及隐私的保护力度在不断加强。

在她看来，此次“隐私盾”无效的判决只是欧盟、甚至世界各国对于数据跨境流通审查的一个起始点，会有越来越多的案例逐步勾勒出新的全球数据流通体系。

采写：南都记者 李慧琪

编辑：蒋琳