上海WTO事务咨询中心

全球贸易投资研究咨询中心
世界产业运行研究咨询中心
首页>WTO动态研究>美国应在盟友之间制定跨境数据流动的国际准则

美国应在盟友之间制定跨境数据流动的国际准则

21-08-03

2021 年 7 月 6 日,美国卡托研究所研究员朱利安 . 桑切斯刊文讨论当前数据跨境流动所面临的困境。文章从TikTok 和微信的禁令及欧洲的Schrems II 案件出发进行分析,认为不管是基于所谓的国家安全还是隐私保护,美欧两大经济体给出的对应方案实质上都是一种限制贸易的政策措施。而且更为重要的是,当大规模数据跨境流动时,各国监管部门的根本关注都是其他国家实施的情报监控。同时,在考虑情报监控的情况下,美欧双方都在对跨境数据流动实施双重标准。美国一直在推动跨境数据自由流动,但只是因为它们受竞争对手监管,美国行政当局就对TikTok 和微信这两个威胁程度明显低得多的应用采取了严厉措施,甚至不惜宣布进入国家紧急状态。最后,文章认为,美国应该在盟友之间削减情报监控的条约,建立共同并且一致的自我约束规范和问责及补救机制,并逐步向其他伙伴拓展。以下是译文,供参考。

尽管信息在全球互联网上的流动比以往任何时候都更为自由,人们仍然在不断讨论信息的自由流动。关于这一点,政府一般都不抱乐观态度,这通常是出于对信息流动本身所具有的缺点的批评,但有时也会出于完全正当的理由——例如保护国家安全或公民个人隐私。在许多情况下,这些动机往往是相互交叠的。在过去的一个月当中,人们看到了在保持对私人数据进行适当控制时的无边界网络的好处。全球在推动信息自由流动和私人数据保护的两个方面都正在取得进展,相信综合考虑信息自由流动和私人数据保护会更具启发性。

一、TikTok(抖音海外版)与微信禁令

2021 年 6 月,拜登总统正式撤销了前任总统禁止使用中国社交媒体应用TikTok 和微信的两项行政命令。法院根据《美国宪法第一修正案》暂时停止这两项行政命令。然而拜登的行政命令明确表示,这只是针对外资应用制定更系统的管理办法的暂时命令,并且已经指示商务部(与其他机构协商)编写建议报告,指明如何“采取额外的行政和立法行动,应对由外国对手拥有、控制或管辖并指导的个体设计、开发、制造或提供的软件应用程序相关的风险。”

这里的“风险”主要在于现代应用程序通常会收集大量的用户数据,其中包括地理定位等真实世界数据,对于外国势力来说,这些数据可能具有重要的情报价值,尤其是政府雇员、承包商或其家庭成员使用相关应用程序的情况下。但这对于微信来说则有点奇怪,因为它主要用于与中国人进行交流。所有与中国的不安全通信都有被中国政府拦截的风险,这一点不足为奇。

另一项风险是这些平台可能会受到中国主导的审查或成为中国的宣传工具,不过这似乎并不具备说服力。因为提出这种风险的最终目的是禁止美国人购买外国媒体应用或使用在美国境外运营的平台。如果说中国的宣传真的对美国构成国家安全威胁,那为什么要通过美国子公司运营的应用程序或者完全由海外托管的网站来实现这个目的呢?

必须指出的是,最初的行政命令似乎并不只是出于纯粹的国家安全考虑。唐纳德 • 特朗普曾公开宣称,希望强制将 TikTok 出售给美国买家,并希望美国政府能够以某种方式从这项交易中获利。就像他之前根据“紧急行政权力”征收的关税一样,利用国家安全作为经济保护主义的借口并不巧妙, 这在 TikTok 身上尤其明显,TikTok 由中国的字节跳动公司所有,但在美国注册成立并将总部设在美国。因此政府有足够多的办法来解决潜在的用户数据泄露问题,根本无需强制其与中国公司剥离。

特朗普政府挑选出两款最受欢迎的应用程序并点名禁止它们,拜登在拒绝这种草率做法的同时也表示,外国政府访问美国用户数据的可能性才是真正的国家安全风险,需要采取政策补救措施。

二、Schrems II 案件

就在几天前,欧盟委员会通过了一套期待已久的最新《标准合同条款》, 用于管理欧盟和美国企业之间的个人数据传输。对《标准合同条款》进行更新是为了遵守欧盟法院(CJEU)在 2020 年对 Schrems II 案件做出的裁决(“Schrems”指的是 Max Schrems,他是一名奥地利律师和隐私保护活动家,他提起了该案件,“II”则是因为这是他第二次通过法院审理此案)。欧盟的《通用数据保护条例》(GDPR) 规定,欧盟公民外出度假时,其个人数据只有得到与在国内享受的同等保护的情况下才可以被发送到国外。一般来说美国的隐私法规不如欧洲严格,因此欧盟和美国在之前已经达成了一项名为“隐私盾”的国际协议,建立隐私规则框架,希望与欧洲开展业务的美国公司承诺遵守该框架。在《隐私盾协议》失效时,约有 5300 家美国企业都依赖它开展业务。

欧盟委员会认为美国法律与隐私盾相结合就能够提供“充分”的保护, 但在 Schrems II 案件中,欧盟法院则并不认同,指出美国政府根据《外国情报监视法》(FISA)第 702 条获得了广泛的权力,能够收集外国人的通信及其他个人数据,这其中的司法介入极少,并且对于那些信息被转移的人来说也没有任何有效的法律补救措施。欧盟法律的管理原则是“信息监控必须是与其服务的国家安全目的相称的,并且是必要的”。欧盟法院得出的结论认为,美国法律达不到这项标准,因为“显然 FISA 第 702 条并未说明对实施外国情报监视计划有任何限制,也没有规定对这些计划可能针对的非美国人士有任何保障。”

实际上几乎没有人想要关闭跨大西洋之间的数据流动,因为这会导致国际业务的中断。幸运的是,欧盟法院给欧洲企业提供了补救的办法:如果一个国家的数据隐私法“不够充分”,那么企业可以尝试通过合同限制来弥补差异——《标准合同条款》要求各方采取额外的措施来降低隐私风险。

就在欧盟委员会发布更新的《标准合同条款》几周后,欧洲数据保护委员会(EDPB)发布了一系列建议,指导企业在将数据发送到美国等隐私信息危险地区之前应执行六个步骤。美国企业当然不能拒绝遵守政府对数据的合法要求,但 EDPB 指出了一些他们可以采取的缓解措施。可以使用欧盟密钥对数据进行加密,这样美方的数据保管人和美国政府就都无法读取数据,不过这可能会违背发送数据的初衷,除非发送数据的目的是备份存储。在任何可能的情况下,企业都可以针对他人请求获取欧洲用户数据提出质疑。他们可以制定“金丝雀警告”机制——定期发布公告,公开未收到出于国家安全目的对用户数据的请求,如果没有按期发布公告,就能有效提示注意对数据提出的请求,并规避与此类请求相关的禁言令。

显然这一切都给企业带来了巨大的负担,同时也产生了相当多的不确定性。美国隐私和公民自由监督委员会前副主席艾伦 • 查尔斯• 劳尔(Alan Charles Raul)认为,Schrems II 案件可能产生的实际影响被夸大了,大多数公司应该都能够以最小的代价遵守 GDPR 的严格规定。因为相关数据并不受FISA 第 702 条的约束。但是这种说法并不是很有说服力。

首先,劳尔关于第 702 条的言论是错误,除非是对他的言论产生了误解。

劳尔称:“根据第 702 条实施通信监控的目标可能并不是我们理所应当认为的在美国的个人和企业。”。但这与 702 条内容不符,劳尔将“以美国个人为目标”与“收集美国个人的通信信息”混为一谈,前者是 702 条禁止的, 而关于后者的规定是只要某个美国个人不是“目标”(目标是说针对个人收集信息),就可以收集其通信信息。例如,如果政府将受雇于海外美国公司的法国公民锁定为“目标”,并且该公司为其员工提供电子邮件服务,那么目标的通信包括与美国人之间的信息,或者数据是在一家美国公司的两个分支机构之间转移就都无关紧要了。

其次,劳尔指出,第 702 条仅涵盖对“电子通信服务提供商”信息的获取,这应该不会对欧洲公司与其美国子公司之间的许多常规数据传输造成影响。在一定程度上来说这可能是正确的,因为许多从事跨境数据传输的公司可能并不是“电子通信服务供应商”。但是劳尔认为第 702 条并不想将那些为员工提供通信服务的公司包含在内,这一观点似乎并不可信。无论如何, 第 702 条的法定定义存在大量的回旋余地,有关其确切范围的问题由外国情报监视法庭秘密解决。此外,美国公司通常将数据存储或其他服务分包给明确为“电子通信服务供应商”的公司,这意味着欧洲公司需要明确禁止此类进一步的数据传输或采取应对措施。

三、跨境数据流动

大多数新闻报道将这些案件视为完全不同的类别。涉及TikTok 和微信的行政命令是关于评估科技公司外资所有权风险的国家安全事件,Schrems II 是关于消费者隐私监管及其对企业影响的案例。这些案件主要反映出的是关注点的不同,但根本问题是一致的:现今个人数据经常在不同的法律管辖区之间流动,这使得每个国家公民的个人数据都极易被其他国家的情报部门收集。对于制定应对政策来说,从个人隐私角度还是国家安全角度来解决这些问题就十分重要,如果关注的是对政府雇员的监控,那么禁止他们使用TikTok 就比全面禁止 TikTok 的做法更好,但两个角度都是关于域外信息控制的根本问题。综合考虑这些案例,可以发现一些共同的问题:

低估了问题的重要性

与欧洲全面的数据保护方法相比,美国关注的是特定外资公司相关的风险,这在初始阶段显得有些徒劳,就像不断堵住筛子上最大的洞一样。中国政府确实可能会命令字节跳动公司从TikTok 获取美国人的用户数据(这家总部设在美国的公司表示不会遵守这样的要求)。然而考虑到美国方面对非内容数据的私人共享几乎没有限制,因此美国有很多办法来解决问题。现实情况是, 我们使用的应用程序和平台上的数据通常会流向应用程序开发方以外的公司。牛津大学研究人员 2018 年的一项研究发现,Google Play 应用商店中的绝大多数应用程序都会向第三方追踪系统发送一定量的数据,其中大多属于美国公司,但约有 5% 是与中国有企业联系的追踪系统。当然,这里看到的只是直接从应用程序本身流向已知追踪系统的数据,不包括后续的数据共享(共享数据的公司可能直接或间接为外资所有)或从数据代理公司购买数据。

事实上欧洲的数据保护框架看起来复杂而繁重,但这至少在一定程度上表明欧盟非常清楚他们自己设定的任务规模。从某种意义上说,围绕TikTok 和微信的过度恐慌显得太过怪异,因为这意味着想要访问用户数据就需要拥有进行初始数据收集的公司,而禁止或强制出卖一些流行的应用程序就足以锁定美国人的数据。

欧洲对这一问题有着更为现实的认识:它要求输出个人信息的公司不仅要规划好初始传输,还要规划出数据完整的向下流动过程。但是关于公司参与复杂的威胁建模和针对国家情报机构进行保护数据的能力,欧盟做出的假设就非常不切实际了。公司在完成数据映射后,需要“调查每次数据传输的特征, 并确定数据传输(或转发)到的国家或地区的国内法律或做法是否会影响数据传输。”也就是说,公司要评估国家安全局获取其数据将带来何种风险,然后采取措施降低这种风险,并且在理想情况下不会将数据变为无用数据。在此过程中,他们需要利用高度机密的程序,这种程序在法律上禁止命令接收者方披露数据。名为 MUSCULAR 的美英联合项目多年来一直从谷歌和微软等科技巨头的英国数据中心获取数据。为了获取数据,国家安全局进行了大量投资, 有人认为,规模较小的公司将阻止国家安全局获取这些数据,这种想法似乎只是美好的愿望,目的是使这些公司能够继续开展业务。

信息监控的双标

许多人指出,很明显 Schrems II 案件采用了双重标准。在信息监控方面,欧洲国家和美国一样严格,不过在许多其他方面,它们确实比美国更克制, 从公开信息的角度,也确实可以做出这样的判断。此外,欧洲国家也往往是美国信息监控的受益者,并参与常规的情报共享。例如,直到今年作为欧盟一部分的英国就拥有自己的互联网批量收集计划 Tempora 和一项监控法规《调查权限规范法案》,该法案规定的权力与 FISA 一样广泛。然而欧盟成员国有权自行决定安全和隐私之间的适当平衡。欧洲机构会判断哪些监督权力对国家安全需求来说是“必要且恰当的”,并遵循这些判断,即使相对与第 702 条来说这些权力范围更窄。

美国会毫无根据地收集外国用户数据,但是当角色互换时,就无法容忍了。作为互联网诞生的国家,几十年来美国在情报方面得到了巨大的意外收获:世界各地的数据流通过美国的管线,进入美国主导的科技公司的服务器。事实上为了利用这一便利,美国已经一再修改了其相关监控法律。美国反对其他国家的数据本地化要求,认为这是打着国家安全幌子的保护主义。但是, 当我们发现自己处于与世界其他地区相同的处境时,即便程度要低得多,我们也会宣布进入紧急状态。

从没有人说过情报收集应该是公平的:有人监视自己的对手(和盟友), 同时也试图阻止对方做同样的事情。但是这种偶然的不对称做法不会永远持续下去。美国国内关于数据监控的讨论默契地将这种历史产物视为一种自然法则,但当我们发现事实并非如此时,就变得措手不及,而且美国人将越来越希望能够利用其他地方开发的创新在线服务。

不擅长成本效益分析

虽然中国或其他外国对手可以通过无数种方法获取美国人的用户数据,但人们可能认为,将目标锁定在 TikTok 这种唾手可得的应用上仍然是可取的做法。如果可以在没有任何代价的情况下获取数据,那这样做就是正确的。但特朗普政府先前就已经准备好封杀两项广受欢迎的应用服务: 一个是拥有数百万国内用户的自由表达平台,另一个是对与中国有联系的企业和个人都至关重要的信息应用程序。拜登政府撤销的相关行政命令迟迟没有获得通过正是由于它们会大规模侵犯《美国宪法第一修正案》规定的美国人利益,也忽略了一个事实,那就是军方、情报机构和许多其他联邦机构已经禁止员工的设备使用这些应用程序。

虽然许多类型的数据传输似乎并不会受到像第702 条这样的规定影响, 但欧盟更新的《标准合同条款》将给希望遵守欧洲数据保护委员会建议的公司带来严重负担。委员会的最终建议承认了这一点(早期草案并没有),但并不确定欧洲数据将获得哪些实际的附加保护。毕竟,这些精心设计的新规定并不能阻止美国国家安全局获取公民个人发送给美国人的信息。

一方面是“国家安全”,另一方面是“隐私权”,一旦涉及到这两个不可谈判的问题,就很难做出权衡。毕竟询问所得商品的边际价值是否与购买价格相称似乎有点过分。

隐私保护政策也是贸易政策。如果唐纳德 • 特朗普成功迫使出售TikTok,那么它要求采取的“行动”就使得他的“国家安全”命令背后的经济考量变得异常公开,但即便不是那么明显,也是出于经济原因。数据本地化要求和数据保护制度都是贸易壁垒,无论是否合理,也无论它们是完全禁止跨国数据流还是仅仅强加高昂交易成本。从历史上看,美国曾通过贸易代表办公室(USTR)从这些方面对严格的数据保护法规进行了公开批评。即使制定这些政策的公开理由是真诚的,它们也容易出于与隐私或国家安全无关的原因吸引国内选民,最终在违反规定和监管之间找到动态平衡。

虽然欧盟法院已经明确表示,不会承认与其对《欧盟宪章》所载隐私权的解释相冲突的所谓条约义务,但关于 GDPR 制度是否符合国际贸易条约规定的欧洲义务,贸易学者们还是提出了合理的质疑。中国也抱怨特朗普政府试图禁止某些应用程序的做法违反了 WTO 规则,不过很难想象美国会在所谓的国家安全问题上服从国际贸易机构。当限制数据流的理由在很大程度上取决于所谓的情报服务监控措施以及本身可能依赖于机密情报的风险评估时,裁决此类争端的难度就变得更大了。无论如何,如果一个大国发现其他国家参与情报收集,就制定新的例外情况,这显然难以维持广泛的数据开放。

国际问题就需要国际解决方案。仅仅将国家和地区的数据保护制度拼凑在一起,无论是在国家安全还是个人隐私方面,似乎都不可能让所有人满意。对热门外资科技公司的临时禁令并不能有效防止敌对政府取得本国公民数据。用高额罚款威胁企业,促使他们想出办法抵御美国国家安全局获取数据,注定代价高昂收效甚微,甚至对国际贸易造成更加严重的破坏。我们需要具有约束力的跨境数据流国际准则。

这一建议并不新鲜。最近的贸易协定和拟议的贸易协定都包含了了明确涉及国际数据传输的条款,世界经济论坛也在最近发布了自己的《跨境数据流动路线图》。但通常这一问题都是从消费者隐私和网络安全角度提出的。国家监控仍然是大家刻意回避的问题。

实际上,我们需要的是削减情报监控的条约,建立共同并且一致的自我约束规范和问责及补救机制。各国至少可以将适用于对本国公民进行监视的程序性权利和保障措施扩展到盟国的公民范围内。例如,美国可以同意根据FISA 将欧盟公民作为事实上的“美国人”,需要获得 FISA 法院的特别批准才能将其作为信息收集的目标。

除了会在整个情报机构中引发不可避免的恐惧之外,这种想法还存在明显的困难。原则上说,虽然存在困难但核储备的减少是可以查证的,但能被证实的监视却是无效的监视。很难想象中国或俄罗斯会同意这样的计划,并且愚蠢地投入大量资金,所以对这样的计划也不会有太大的商量余地。

但是也并非完全不会考虑,在爱德华 • 斯诺登(Edward Snowden)棱镜门曝光事件之后,奥巴马政府颁布第 28 号总统政策指令,对外国情报收集实施了适当限制,部分原因就是为了安抚愤怒的盟友。当时奥巴马说道“我们亲密的朋友和盟友国家的领导人应该知道,如果我想了解他们对某个问题的看法,我会拿直接给他们打电话,而不是采用监听手段。”在最近的一篇论文中,法学教授艾拉• 鲁宾斯坦(Ira Rubenstein)和彼得• 马吉勒斯(Peter Marguiles)提议建立美国“算法权利法庭”用于处理来自欧盟公民的隐私权相关投诉。直接通知外国目标其受到 FISA 监视是不现实的,除非是在非常特殊的情况下,但在情报共享关系已经存在的情况下,可以与合适的监督机构或有权向法院请愿的辩护人共享关于监视盟国公民的有限信息。

显然这种方法可能仅适合我们的盟友,即便美国与对手之间已经实现了有限的情报共享,但目前上述方法对中国或俄罗斯来说似乎仍不太可行。我们没有在更易于处理的问题上取得进展的原因并不在于这些问题,最初为西方自由民主国家制定的一套规范、规则和制度也可能会随着时间的推移逐渐扩展。即便是战争也要受到承认普遍人权的国际公约的制约,所以认为监视活动应受到承认隐私权的限制也不算是太过激进的想法。