论文部分内容阅读
[摘 要]随着网络的发展,互联网数据传输的发展得到了质的跳跃。网络数据的传输突破了国与国、界与界的传统束缚。2015年,欧洲法院裁定安全港协议无效的裁决引发如何保护网络数据安全的讨论。中国作为世界网络大国和强国,进一步加强网络数据安全的维护和发展,不仅对提升国际社会共同应对网络安全问题的信心,也对其他国家开展网络安全合作提供借鉴有着重要意义。同时,对中美关系的全面发展也不无裨益。未来两国应认真了解和充分尊重彼此在网络安全领域的核心利益和重大关切,同时尽量避免将所有议题都与网络安全挂钩的“泛安全化”倾向,从双方都认同或不存在根本分歧的领域入手开展务实合作,推动中美网络安全迈向新的台阶。
[关键词]安全港协议;网络安全;中美;合作发展
[中图分类号]D99 [文献标识码] A [文章编号] 1009 — 2234(2016)05 — 0053 — 02
2000年,欧盟委员会与美国签订安全港协议,确立了折衷处理美国和欧盟之间隐私手续的框架。2015年10月6日,欧洲法院做出裁决,美欧签订的安全港协议,因无法充分保证欧洲个人资料的安全,予以撤销。欧美之间网络数据传输这一合法通道被关闭,无疑对脸书、谷歌等超过5000家受到协议保护的美国网络公司来说是一记重击。
一、案例简介
欧盟与美国于16年前签订了安全港协议,允许网络运营商忽略欧盟各国法律差异,在美国与欧盟之间合法传输网络数据。脸书、谷歌等5000多家美国网络科技公司的欧洲运营模式都在该协议下受到保护,得以将欧洲用户数据送往美国存储及分析。2013年,“棱镜门”曝光,美国中情局前雇员斯诺登爆料,脸书等公司在“棱镜”项目中和美国情报机构串通,允许情报机构使用并监视普通用户数据,引起欧洲社会各界担忧和不满。在此背景之下,施雷姆斯率先向脸书欧洲总部所在地爱尔兰当局提出申诉,控告脸书非法追踪用户数据,参与美国情报机构的监控计划。爱尔兰主管部门以安全港协议为由驳回了施雷姆斯的申诉,施雷姆斯继续将申诉提交到司法机构,最终由欧洲法院做出了判决。
2015年10月6日,欧洲法院支持了施雷姆斯的申诉,裁定有关跨大西洋地区的数据传送安全港协议无效。欧洲法院在裁定中指出,欧盟的数据保护法规规定,欧盟公民的个人数据不能传输至非欧盟国家,除非该非欧盟国家能为这些数据提供有效保护。鉴于美国未能达到上述要求,欧美之间签订的安全港协议无效,脸书等美国公司应立即停止将收集到的欧洲用户个人数据传输至美国。同时,欧洲法院还裁定爱尔兰数据保护部门要详尽地处理施雷姆斯的申诉。
二、案例评析
1995年,欧盟通过《个人数据处理和自由流动中个体权利保护指令》,对个人数据提供了高程度的保护。《指令》25条规定,“只有当第三方国家对个人数据提供充分保护时,才允许将欧盟民众的个人数据存储或者传输到该第三方国家。”这一规定实际禁止向欧盟以外的第三方国家转移个人数据,除非欧盟发现该第三方国家的国内法或者国际承诺可以提供充分保护。《指令》将这一权力赋予了欧盟委员会,由欧委会发现并决定第三方国家的国内法或者国际承诺是否可以提供充分保护。对不能提供充分保护的第三方国家,欧盟法律提供了两个变通规定,即标准合同条款和公司内部规则。数据发送者和数据接收者签署欧盟与个人数据传输和保护有关的格式合同,或者相关实体采取公司内部规则保障个人数据安全,以此来达到充分保护要求。由于美国未能达到欧盟《指令》的充分保护要求,美国和欧盟于2000年达成了一个折衷的安全港协议,拥有发现和确认第三方国家是否达到充分保护要求的欧委会通过“2000/520号欧盟决定”,确认安全港隐私原则以及附属条款对个人数据的保护达到了欧盟指令的充分保护要求。美国机构可以自愿加入安全港协议,遵守并执行安全港隐私原则,并公开宣布其符合安全港协议的相关要求。获得安全港认证的美国机构可以享受安全港协议带来的一系列好处,包括在美国境内收集、存储欧盟公民的个人数据。
欧盟法院10月6日的裁决虽然不直接针对安全港协议,但是却为安全港协议的前途笼罩上了一层疑云。欧委会副主席表示,尽管欧盟法院作出了判决,但欧美双方企业间的数据交换并不会就此停止,欧盟会加快与美国制订新的数据传输协议。现阶段,有关企业可以运用欧盟数据保护法律之下的其他机制,继续进行跨大西洋数据传输。在此之前,与安全港协议有关的“2000/520号欧盟决定”约束所有欧盟成员国,美国公司只要获得安全港的认证,就可以在美国收集、存储以及传输欧盟公民的个人数据;而该决定的无效意味着安全港协议不再能够为美国企业提供之前的种种好处,安全港协议有点被架空的意味。目前,该判决对美欧个人数据跨境流动的潜在影响,以及是否会使美国公司在美国收集、存储欧盟公民的个人数据变得更加困难,还有待进一步观察。脸书等很多网络公司持观望态度,因为除了加入安全港,这些公司还有别的备选方案,如借助欧盟标准合同条款、公司内部规则或者其他承诺,来满足欧盟指令的充分保护要求。但是,很多做跨国业务的美国中小企业势必会受到一定程度的影响。
不少专家认为欧洲法院裁定安全港协议失效的影响将十分深远。有专家指出,欧洲法院的这一判决意味着原来所有按照安全港协议传输数据的美国科技公司,都必须改变其数据传输方式,受影响的企业将高达4500多家。有专家认为,如果美国企业执行新规定,将欧洲用户的数据存储在欧洲,需要在技术上做出大幅调整,耗费大量时间和资金。有专家指出,该裁决有可能对欧洲经济带来损害。美国商务部也表示安全港协议的失效会对双方的经济发展造成阻碍。
今年2月,欧盟和美国代表重新就欧洲用户的数据跨境交换问题达成一致意见。根据新协议,类似谷歌和亚马逊等公司将不再受到欧盟个人数据保护条例的限制,可跨越太平洋将用户信息传回至美国。不过新协议仍需要获得政治上的批准。欧洲数据保护部门表示会限制数据传输。欧委会表示,新的隐身保护条例将会让美国企业在保护欧洲公民个人数据上承担更多的责任,并且也会要求美国相关部门提供更严格的监视和执行,同时“我们第一次收到了来自美国的书面保证,其中详细说明了美方将如何限制和保护他们的监视项目”。
[关键词]安全港协议;网络安全;中美;合作发展
[中图分类号]D99 [文献标识码] A [文章编号] 1009 — 2234(2016)05 — 0053 — 02
2000年,欧盟委员会与美国签订安全港协议,确立了折衷处理美国和欧盟之间隐私手续的框架。2015年10月6日,欧洲法院做出裁决,美欧签订的安全港协议,因无法充分保证欧洲个人资料的安全,予以撤销。欧美之间网络数据传输这一合法通道被关闭,无疑对脸书、谷歌等超过5000家受到协议保护的美国网络公司来说是一记重击。
一、案例简介
欧盟与美国于16年前签订了安全港协议,允许网络运营商忽略欧盟各国法律差异,在美国与欧盟之间合法传输网络数据。脸书、谷歌等5000多家美国网络科技公司的欧洲运营模式都在该协议下受到保护,得以将欧洲用户数据送往美国存储及分析。2013年,“棱镜门”曝光,美国中情局前雇员斯诺登爆料,脸书等公司在“棱镜”项目中和美国情报机构串通,允许情报机构使用并监视普通用户数据,引起欧洲社会各界担忧和不满。在此背景之下,施雷姆斯率先向脸书欧洲总部所在地爱尔兰当局提出申诉,控告脸书非法追踪用户数据,参与美国情报机构的监控计划。爱尔兰主管部门以安全港协议为由驳回了施雷姆斯的申诉,施雷姆斯继续将申诉提交到司法机构,最终由欧洲法院做出了判决。
2015年10月6日,欧洲法院支持了施雷姆斯的申诉,裁定有关跨大西洋地区的数据传送安全港协议无效。欧洲法院在裁定中指出,欧盟的数据保护法规规定,欧盟公民的个人数据不能传输至非欧盟国家,除非该非欧盟国家能为这些数据提供有效保护。鉴于美国未能达到上述要求,欧美之间签订的安全港协议无效,脸书等美国公司应立即停止将收集到的欧洲用户个人数据传输至美国。同时,欧洲法院还裁定爱尔兰数据保护部门要详尽地处理施雷姆斯的申诉。
二、案例评析
1995年,欧盟通过《个人数据处理和自由流动中个体权利保护指令》,对个人数据提供了高程度的保护。《指令》25条规定,“只有当第三方国家对个人数据提供充分保护时,才允许将欧盟民众的个人数据存储或者传输到该第三方国家。”这一规定实际禁止向欧盟以外的第三方国家转移个人数据,除非欧盟发现该第三方国家的国内法或者国际承诺可以提供充分保护。《指令》将这一权力赋予了欧盟委员会,由欧委会发现并决定第三方国家的国内法或者国际承诺是否可以提供充分保护。对不能提供充分保护的第三方国家,欧盟法律提供了两个变通规定,即标准合同条款和公司内部规则。数据发送者和数据接收者签署欧盟与个人数据传输和保护有关的格式合同,或者相关实体采取公司内部规则保障个人数据安全,以此来达到充分保护要求。由于美国未能达到欧盟《指令》的充分保护要求,美国和欧盟于2000年达成了一个折衷的安全港协议,拥有发现和确认第三方国家是否达到充分保护要求的欧委会通过“2000/520号欧盟决定”,确认安全港隐私原则以及附属条款对个人数据的保护达到了欧盟指令的充分保护要求。美国机构可以自愿加入安全港协议,遵守并执行安全港隐私原则,并公开宣布其符合安全港协议的相关要求。获得安全港认证的美国机构可以享受安全港协议带来的一系列好处,包括在美国境内收集、存储欧盟公民的个人数据。
欧盟法院10月6日的裁决虽然不直接针对安全港协议,但是却为安全港协议的前途笼罩上了一层疑云。欧委会副主席表示,尽管欧盟法院作出了判决,但欧美双方企业间的数据交换并不会就此停止,欧盟会加快与美国制订新的数据传输协议。现阶段,有关企业可以运用欧盟数据保护法律之下的其他机制,继续进行跨大西洋数据传输。在此之前,与安全港协议有关的“2000/520号欧盟决定”约束所有欧盟成员国,美国公司只要获得安全港的认证,就可以在美国收集、存储以及传输欧盟公民的个人数据;而该决定的无效意味着安全港协议不再能够为美国企业提供之前的种种好处,安全港协议有点被架空的意味。目前,该判决对美欧个人数据跨境流动的潜在影响,以及是否会使美国公司在美国收集、存储欧盟公民的个人数据变得更加困难,还有待进一步观察。脸书等很多网络公司持观望态度,因为除了加入安全港,这些公司还有别的备选方案,如借助欧盟标准合同条款、公司内部规则或者其他承诺,来满足欧盟指令的充分保护要求。但是,很多做跨国业务的美国中小企业势必会受到一定程度的影响。
不少专家认为欧洲法院裁定安全港协议失效的影响将十分深远。有专家指出,欧洲法院的这一判决意味着原来所有按照安全港协议传输数据的美国科技公司,都必须改变其数据传输方式,受影响的企业将高达4500多家。有专家认为,如果美国企业执行新规定,将欧洲用户的数据存储在欧洲,需要在技术上做出大幅调整,耗费大量时间和资金。有专家指出,该裁决有可能对欧洲经济带来损害。美国商务部也表示安全港协议的失效会对双方的经济发展造成阻碍。
今年2月,欧盟和美国代表重新就欧洲用户的数据跨境交换问题达成一致意见。根据新协议,类似谷歌和亚马逊等公司将不再受到欧盟个人数据保护条例的限制,可跨越太平洋将用户信息传回至美国。不过新协议仍需要获得政治上的批准。欧洲数据保护部门表示会限制数据传输。欧委会表示,新的隐身保护条例将会让美国企业在保护欧洲公民个人数据上承担更多的责任,并且也会要求美国相关部门提供更严格的监视和执行,同时“我们第一次收到了来自美国的书面保证,其中详细说明了美方将如何限制和保护他们的监视项目”。