大数据时代执法合作中个人数据跨境保护问题研究
伍艺
摘要:為打击跨国网络犯罪,维护国家安全,各国积极开展双边或多边的执法合作,其中对个人数据的保护问题成为关注的焦点。执法领域个人数据保护的全球标准尚未形成,美国和欧盟因数据保护立法的差异性和对隐私权概念的不同理解,在致力于协调两国数据保护立法上进行了诸多尝试,美国和欧盟签订了一系列数据分享协定,比如《欧盟美国双边法律互助协定》《旅客订座记录协定》《环球银行金融电信协会协定》等,但这些数据分享协定有不同的数据保护标准。为了重建跨大西洋数据流动的信任,美国和欧盟达成了《欧美数据保护总协定》,为美国和欧盟提供综合性的执法领域数据保护框架。根据美国和欧盟的经验,我国应积极参与全球多边规则的制定、统一国内个人数据保护规则、针对执法领域个人数据保护进行专门立法、分阶段和分部门与境外执法机构订立双边协定。
关键词:个人数据保护;跨境数据转移;执法合作;国家安全
中图分类号:D914;D923.8文献标识码:A文章编号:1673-8268(2018)03-0052-08
一、引言
全面加强网络空间法治建设,是习近平新时代中国特色社会主义思想的新要求。只有全面加强网络空间法制建设,建立完善的网络空间法治体系,才能更好地落实总书记全面依法治国的新要求。个人数据保护和国家安全目标的平衡是网络空间法治的焦点议题之一。近年来,我国关于网络安全的规制,分别从法律法规、战略政策、管理体制等方面入手,全面开展数据资源安全保障实践,将大数据安全纳入到我国总体安全观中。为打击网络犯罪和经济犯罪、加强反恐行动、打击人口贩卖、反腐败和追逃追赃,与世界各国开展执法安全合作是必由之路。
自美国911恐怖袭击事件之后,恐怖主义对国家安全的威胁引起了全世界的广泛关注。2001年,联合国安理会就提出进行全球反恐合作,各国政府也认为有必要建立全球性的安全合作机制,自此各国加强了反恐合作,但恐怖袭击仍接连发生。为了进一步精确地发现、调查、阻止和控诉恐怖主义和严重的刑事犯罪,政府执法机构以保护国家安全为由对旅行者数据、金融数据、面部识别数据以及网络使用者的活动等数据进行广泛的收集,反恐政策中许多措施都依靠处理和分享执法机构掌握的数据来实施。在这些措施的实施过程中,个人数据保护的问题成为了各方关注的焦点。尤其是欧盟的数据保护是自成一类的法律体系,其数据保护的标准非常严格。由于美欧在数据和隐私保护问题上存在大量不易协调的立法差异,美国和欧盟签署了许多关于以执法为目的的数据收集、处理、储存和转移的协定。目前缺乏全球的隐私和数据保护标准,在执法领域达成一个全球性的数据保护框架并非易事。本文主要研究美欧执法机构在法律实施过程中的个人数据保护问题,并不包含国家间进行商业数据转移的问题。以美国和欧盟为研究视角,主要是因为美欧之间的合作是目前最先进的,涉及大量的法律问题。通过对美欧国际数据治理规则的研究,提出中国参与执法合作的个人数据保护路径。
二、跨境数据交换协定的源起
(一)国家安全合作的需要
自 20世纪90年代起,欧盟和美国就开始在不同的安全议题上进行合作。美国911恐怖袭击事件之后,美国加强了反恐措施,呼吁所有国家提供支持。由于免签的西欧圣战者很容易进入美国,且基地组织的一些据点也在欧盟成员国找到,在比利时、法国、德国、意大利、西班牙、英国逮捕了一些与911恐怖袭击事件相关的基地组织成员,所以,同欧盟执法机构的合作成为美国的首要选择。但是,在反恐政策上,美国和欧盟的路径不同,美国的反恐措施主要集中于增加军事措施和武力,欧盟的反恐计划则以执法机构和情报机构的预防措施为首要考虑[1]。因此,欧盟常被认为是“平民的”(civilian)或是“软权力”(soft power)的,因为它提倡的是非军事化和非胁迫性的措施。然而,美国则施行的是一种“硬权力”(hard power),通过运用霸权来出口自己的价值观念[2]。 虽然欧盟对全球安全规则的影响力很大,但是在美国的反恐规则面前,一样成为了规则的接受者“norm-taker”,因为911恐怖袭击事件发生之后,美国基于数据交换的反恐措施迫在眉睫。但通过长期的安全合作,美欧之间还是达成了优先使用预防措施而非军事干涉的一致意见。虽然美欧企图通过推进共同目标来强调跨大西洋领域的共同价值观,比如民主、法治、市场经济和人权,但在处理安全问题上他们并不是通常保持一致的目标取向。尤其在斯诺登“棱镜门事件”之后,美欧的“联盟价值”(alliance of values)降至冰点。
(二)立法保护的差异性不易协调
欧盟的数据保护体系是通过欧盟初级法律和次级法律的综合性规制,加上欧盟法院(Court of Justice of the European Union,CJEU)和欧洲人权法院(European Court of Human Rights,ECtHR)判例法形成。自《里斯本条约》生效以来,数据保护被欧盟确立为一项基本权利。执法领域数据保护的基本原则已经形成,欧盟数据保护正朝着规则更加统一、对数据控制者和处理者的规制更加直接以及对个人数据保护权利更加重视的方向发展。美国法律中以宪法条文来规制执法领域的数据保护十分有限。多年来,适用于美国公民和非美国公民的权利及程序方面的机构性差异问题是欧盟关注的焦点。由于美国和欧盟数据保护存在着宪法保护的差异、数据保护的标准不同、数据分享的方式不同、监督机制的独立性不同以及权利救济的起点和适用范围不同,所以尽管在某种程度上某些法律概念是相近的,但大部分欧盟数据保护规定都不存在于美国法之中。即便是对美国公民适用的所有数据保护规则均对欧盟公民适用,但在欧盟看来仍存在着巨大的差异,因为美国的数据保护尚未形成统一的数据保护体系,在涉及非美国公民时这一缺陷则更加凸显。《2015司法救济法案》和《自由法案》也仅在一定程度上改善其冲突局面。
(三)历史因素导致“隐私权”概念的差异
欧盟将“隐私”作为一种人权予以保护,然而美国倾向于将“隐私”作为一种超国家的自由权。这种差别主要由历史原因造成,欧洲人在经历了纳粹利用公共和教堂数据识别犹太人,对犹太人进行大屠杀的历史遭遇中变得尤其敏感。由于个人数据被滥用造成的恶果,使得保护“人的尊严”和“个人身份”的理念在20世纪和21世纪的欧洲更加巩固。除了《欧盟基本权利宪章》(Charter of Fundamental Rights of the European Union,CFR)第七条规定了“每个人都有权享受私人生活”外,还在第八条中进一步规定了“数据保护权”(right to data protection)。隐私权和数据保护权最大的区别就是,数据保护权是一种自决权,个人可以决定他们的数据将被怎样处理,所以,数据保护权与个人尊严相关。美国法仅使用“隐私权”的概念,但是欧盟法将“隐私权”和“数据保护权”视为两种不同的概念[3]。在欧盟,数据保护权已形成“一般法律原则”,并受《欧洲联盟运行条约》(Treaty on the Functioning of the European Union,TFEU)第十六条的规制。数据保护的基本权利长期都受到欧盟法院、欧盟成员国法院、欧洲人权法院的判例法保护,几乎所有的成员国宪法都加入了数据保护概念。
因美欧对“隐私”概念的不同理解导致了政府在“隐私权”保护中的职能差别。在美国,政府在隐私权保护中的义务是尽量克制,不采取特殊的措施,是一种“消极责任”(negative duty),但是在欧盟,隐私权保护是一种“积极责任”(positive duty),政府坚决肯定地保护隐私权[4]。对于欧盟而言,政府仅克制采取不合理的措施是不够的,而是有附加的积极义务确保任何个人都不会受到任何第三方(政府性的或非政府性)的不法干预。由于历史观念的影响和政府职能的差别,隐私权、数据保护权和言论自由权在美国和欧盟所占的比重不同。在美国,言论自由权的比重相比隐私权要大,比如美国《梅根法》就是美国言论自由的一种表达方式。
由于以上原因,尽管美国和欧盟参与了一系列全球性隐私和数据保护规则,但并未建立起普遍的数据保护框架,在特殊部门领域仍主要依靠跨境数据交换协定来进行数据交换。三、美欧主要的跨境数据交换协定及数据保护条款美歐之间交换数据的渠道多种多样,可以通过司法请求函、法院传票传唤、非正式会议等。本文主要就美国和欧盟之间主要的数据交换协定进行阐述。美国和欧盟主要签署了《欧盟美国双边司法互助协定》(EU-US Mutual Legal Assistance Treaty,以下简称《EU-US MLAT》)、《旅客订座记录协定》(Passenger Name Records Agreement,以下简称《PNR协定》)、《环球银行金融电信协会协定》(Society for the Worldwide Interbank Financial Telecommunication Agreement,以下简称《SWIFT协定》)。
(一)跨境数据交换协定
1.《EU-US MLAT》
在签署《EU-US MLAT》之前,欧洲已经有16个国家同美国签署了双边互助协定,一些联合国的公约也包含了双边司法互助的条款。欧盟层面,欧洲委员会在1959年就已经有关于司法互助的公约,欧盟成员国之间也在2000年就达成了互助公约。在911事件后的2003年7月25日,美欧签署了《EU-US MLAT》,该协定主要是在美国的高压下产生的,该协定生效后,双边的司法机构在调查犯罪中可以获取银行账户和金融数据。但该协定的运用效果和几率并不高,各成员国对该协定的批准程序非常缓慢,有的在2010年2月才生效。即便是批准后,也仍然存在从请求到执行程序时间过长的问题,一个程序走完大概需要十个月或者更长的时间,且没有网上的递交系统,许多政府机构并不知道怎样来发送请求,后续的程序要求也很多。当一个请求发送至美国,美国国际事务办公室(Office of International Affairs,OIA)首先进行审查,再发送到地区检察官,最后由美国司法部对这一请求进行探讨。实际上,欧盟成员国和美国官方机构缺乏对互助协定渠道的使用,一些国家经常通过其他国家的公司获得数据,或通过非正式电邮的方式,而非采取司法互助协定的形式。
2.《PNR协定》
《PNR协定》也是受美国反恐政策的影响产生的。2001年10月,美国颁布了《航空运输安全法案》,该法案规定所有欧洲的航空公司航班降落和从美国领域起飞都必须向美国海关边防总署提供电子旅客订座记录数据。2001年之前,美国的执法机构仅能通过手动方式根据个案需要,经CJEU同意,才可获得必要的数据[5]。911事件之后,美国法律要求所有的航空公司航班抵达、中转、离开美国领土都需要在离境之前通过电子方式转移所有的旅客订座记录。如果任何航空公司不遵守该规定,则可能遭受严重后果,比如,取消其在美国领土内所有地区的着陆权,驱除出美国市场,或是进行罚款,只要一个旅客数据遗漏则可能遭受高达5 000美元的罚款。如果遵守美国法律,欧盟的航空公司则违背了欧盟法律框架,特别是《欧洲议会和欧盟理事会1995年10月24日关于涉及个人数据处理的个人保护以及此类数据自由流动的第95/46/EC号指令》(以下简称95/46/EC指令),该指令第二十五条规定,如向第三国转移数据需事先通过欧盟委员会“充分保护决定”(adequacy decision)的认证,但美国并没有得到认证。为了解决美国和欧盟法律之间的冲突,欧盟委员会要求美国机构延长欧盟公司遵守新法的期限,并开启了PNR协定的谈判,旨在达成与95/46/EC指令第二十五条标准相关的条款。2004年至2011年,美国和欧盟陆续达成了四份《PNR协定》。第四份《PNR协定》于2012年7月开始生效,至少要到2019年才会考虑更新的问题。《PNR办定》被美国官方认为是很高效的工具,2008年至2009年,美国通过数据识别了超过3 000个潜在的恐怖分子。比如,2008年孟买袭击的策划者David Headley在芝加哥机场被捕就是通过他的PNR数据确认的。Faisal Shahzad是2010年5月1日美国纽约时代广场汽车炸弹袭击案的行凶者,Najibullah Zazi是纽约地铁放置炸弹的行凶者,美国警方都是通过获得他们的PNR数据对其进行的抓捕。
3.《SWIFT协定》
美国和欧盟从2001年9月11日开始交换金融数据,2001年12月,美国和欧盟执法机构(EU law enforcement agency,Europol)签订了两份协定促进全球金融数据的交换,这也是布什政府在911事件之后“恐怖主义金融跟踪计划”(Terrorist Finance Tracking Program,TFTP)的一部分。有了TFTP,美国官方可以通过环球银行金融电信协会(Society for Worldwide Interbank Financial Telecommunications,SWIFT)私人公司获得欧盟公民的数据。这个计划是秘密进行的,欧盟并不知情,因为SWIFT公司的总部在比利时,但是在美国领域内有服务器,美国可以通过官方传唤的方式让其提供标准信息。这个计划对于美国执法机构来说非常有吸引力,因为该公司从200个国家中的1 000家金融机构处收集了个人数据[6]。美国每天可以获得1.27千万的交易数据,一旦数据被获得将会被保存124天[7]。2006年,《纽约时报》揭露了TFTP计划,从那时起,欧盟就开始注意到通过在美国的服务器传输欧盟公民数据的问题。既然SWIFT的总部在比利时,它就应该遵守比利时国内法执行95/46/EC指令。2006年10月,第二十九条工作小组发言称该计划违背欧盟数据保护法律。之后,SWIFT决定将其服务器全部搬到欧洲。这使得达成符合欧盟法律的SWIFT数据转移的协定迫在眉睫。
2009年10月30日,美国和欧盟签订了第一份《SWIFT协定》,之后,欧盟议会对该协定提出了几个关于隐私权的问题:(1)该协定中缺乏必要性和相称性的规定;(2)该协定并未尊重目的限制原则;(3)对欧盟公民的司法救济缺乏保护;(4)数据传输的方式,导致了批量数据(bulk data)的传送和保存;(5)有必要建立一个欧盟内部的TFTP来处理欧盟内部的数据。所以,欧盟议会最终并没有通过该协定。因为第一份《SWIFT协定》没有通过,所以接下来的数月里,欧盟成员国向美国转移数据仅依据《EU-US MLAT》和成员国与美国的《双边司法互助协定》,这样的程序非常慢且效率低[8],所以第二份《SWIFT协定》的达成势在必行。第二份《SWIFT协定》在欧盟议会的参与下,最终在2010年6月28日达成。第二份《SWIFT协定》基于TFEU第八十七(二)条和八十八(二)条的规定,并且吸收了一些欧盟议会的建议,比如美国对欧盟公民行政和司法救济的可能性、给予Europol对美国财政部发出的请求的批准权、加入了由欧盟委员会任命的驻华盛顿的独立的观察员(observer)、加入了数据保留和删除条款以及欧盟对等的TFTP计划。欧盟议会关于废除批量数据和pull system的建议以及建立司法监督机制的建议并未被采纳。由于这两个建议是充分性数据保护框架考量中的重要措施,因此许多学者认为第二份协定与第一份并没有实质性的不同[9]。
(二)数据交换协定中的数据保护条款
美国和欧盟基于国家安全合作的每一个国际数据交换协定都有其数据保护条款,但这些协定中的数据保护条款并不一致,不同领域的数据保护标准并不相同,要达成全球安全领域的数据保护规则更是难上加难。
1.《PNR协定》中的数据保护条款
从2004年至2012年,在《PNR协定》的不断更替中,数据保护的条款也日渐完善。2012年的《PNR协定》包含了更多数据保护条款。
首先,针对数据转移的方法。根据《PNR协定》第十五(四)条的规定使用“push method”,即由航空公司在他们的数据库中收集PNR数据,之后再将这些数据转移给相关的政府机构。“push system”是一种进步。在2007《PNR协定》旧的“pull method”下,数据在美国法律的规制下被收集和处理,阻碍了欧盟数据保护法的实施效力。其次,数据保留的期限也有所改善。为了符合协定第八条的规定,美国国土安全部引入了自动定位系统(Automated Targeting System,ATS)。被授权ATS系统的使用者可以获得五年的活跃数据库。但是PNR数据将在6个月之后去个人化,即6个月之后,ATS的使用者仅可以看到电脑代号、订票系统、记录日期及旅程路线,个人数据将不可见。再次,针对个人权利的行使。2012年《PNR協定》中规定,任何国家的任何乘客都有权获得、修改和删除美国海关及边境保护局(Bureau of Customs and Border Protection,CBP)收集的其个人数据。数据可以通过发一份信息自由指令(Free of Information Act,FOIA)的请求获得,如果请求被拒绝还有上诉的权利。2012年,美国国土安全委员会收到22 000份FOIA请求,但该请求回复的时间却令人失望。复次,针对数据披露和安全保护问题。PNR数据的披露由《美国海关和边境保护条例》来规制,根据该条例的规定,请求需要签署特殊的PNR披露表格,确保信息的保密性和在未经美国国土安全部授权的情况下限制对第三方适用。CBP的网络仅能供通过安全加密设备授权的使用者使用。任何内部共享都被记录到硬拷贝上,来自非国土安全部门的请求都被保留和审计。对于PNR转移的监管,CBP每隔六个月将会对乘客自动定位系统(Automated Targeting System-Passenger,ATS-P)的使用进行审查。因此,所有的PNR数据使用者都必须通过隐私训练,通过测试,才可以使用ATS。2012年,美国国土安全部隐私办公室下设隐私监督小组,对隐私调查、隐私诉讼和救济进行处理。最后,2012《PNR协定》还明确规定不能仅凭信息的自动识别做出决定,即禁止非法的特征分析(profiling),这主要是基于之前在缺乏调查的情况下对潜在的恐怖分子进行认定的大量错误。即使2012《PNR协定》规定了许多数据保护条款,但对于欧盟而言,在CJEU做出废除《数据保留指令》的判决后,该协定的一些内容与CJEU的裁判相悖,因此,2012《PNR协定》面临着修改。
2.《SWIFT协定》中的数据保护条款
《SWIFT协定》中的数据保护条款与《PNR协定》中的条款有一些不同之处。比如根据《SWIFT协定》第五(七)条的规定,数据保留的种类包括姓名、账户、地址、国籍、证件号码。一旦进入美国财政部数据库的数据,只有符合打击恐怖主义和恐怖金融的必要性条件才能保留,5年是最长的保护期限。《PNR协定》包含19类数据,并且允许将乘客数据最多保留15年。《SWIFT协定》第十二条和第十三条对数据转移中的监管问题进行规定,要求设立独立监察员,独立监察员由欧盟委员会和美国财政部任命。监察员要对TFTP数据库进行常规检查,确保其符合数据提取的要求,对数据的提取是否用于调查、阻止、侦查或起诉恐怖主义及恐怖金融要特别审查。《SWIFT协定》还规定了充分的数据安全措施,如果任何收索和提取被认为违反了第五条数据保护措施的规定,监察员将向上级组织汇报并阻止其操作。《SWIFT协定》第十四、十五、十六、十八条是关于个人权利的规定,包括数据的获取、修改、消除和阻断不准确数据权利的规定以及非歧视管理和司法救济权利的规定。任何人可以通过国家数据保护机构(Data Protection Authority,DPA)提出请求获得美国财政部掌握的数据,由DPA向美国机构发出正式的请求。但经检验该系统的办事效率很低,并没有起到真正保障个人权利的目的[10]。一些《SWIFT协定》的数据保护条款与《PNR协定》基本一致,比如,通过“push method”方式获得数据,对数据持续转移的规定。虽然这两个协定在这两方面的规定基本相同,但更多的却是其不同之处。最近,CJEU废除《数据保留指令》的判决对《SWIFT协定》也产生了影响,尤其是《SWIFT协定》的批量数据转移,以及缺乏独立的行政监督机制和对数据主体缺乏通知都与CJEU的裁判意见相左。四、美国和欧盟执法合作中数据保护规则的协调路径为了使双边的隐私法律更加接近,欧盟和美国采取了许多措施,以欧盟和美国参与的全球规则和公约为基础,开展了一系列的双边合作,以建立共同的隐私规则。
(一)参与全球多边规则
美国和欧盟参与的全球规则主要有《OECD隐私指南》(OECD Privacy Guidelines)、《APEC隐私框架》(APEC Privacy Framework)、《公平信息实践原则》(Fair Information Practice Principles,FIPPs)以及《欧洲理事会网络犯罪公约》(Council of Europe Convention on Cybercrime)。
首先,《OECD隐私指南》确定的原则与95/EC/46指令、欧盟成员国数据保护立法相似。因此,OECD是建立跨境数据流动规则的关键性组织。2012年7月25日,美国正式成为APEC跨境数据隐私规则体系(Cross Border Privacy Rules System, CBPR)的参与方。《APEC隐私框架》为所有的APEC经济体创造了隐私义务。虽然欧盟非正式成员方,但是第二十九条工作小组根据CBPR的要求发布了普通的参考指引和欧盟的约束性公司规则(Binding Corporate Rules,BCRs)。因此《APEC隐私框架》可以说是使两大法律框架更加接近的基础。实际上,美国并没有完全履行《OECD隐私指南》和《APEC隐私框架》规定的义务。比如说,数据质量原则或目的限制原则在许多公约中都有详细的定义,但是美国法律却没有数据质量原则或目的限制原则的规定[11]。
其次,美国和欧盟都是1973年FIPPs的参与方,“公平信息实践原则”包含的透明度原则、个人参与原则、目的限制原则、数据安全原则等都是全球隐私法律的核心要素。之后,FIPPs首次植入《美国1974隐私法案》,并对1980年《OECD隐私指南》和95/46/EC指令产生了影响。FIPPs的建立就是为了促进隐私法律的和谐,使其可适用于任何国际数据流动。但实际上,美国和欧盟采取了不同的路径来实施FIPPs[12],FIPPs不能使美国和欧盟的数据保护体系完全协调。
最后,美国及所有的欧盟成员国都签订了2001年10月的《欧洲理事会网络犯罪公约》(CoE Cybercrime Convention),该公约为警察和司法访问计算机数据制定了框架。该公约第十五條规定了独立的监督机制,第二十七条规定了在缺乏国际协定的情况下的双边协助机制。因此,《欧洲理事会网络犯罪公约》为美欧提供了一个安全的、高效的框架,以确保电子数据在需要调查和起诉犯罪时,可被法律实施机构获得。然而,《欧洲理事会网络犯罪公约》的范围非常特殊,规定对九类网络犯罪行为以刑法处罚,但对于如侵犯个人隐私、网络暴力等行为并没有对应的条款,该公约还需要修改以应对当前的网络犯罪趋势,所以该公约并没有提供一个全面的数据保护机制。
(二)双边合作安排
除了多边参与的协定外,美国和欧盟还深入了双边的合作,比如建立了高层联络小组(EU-US High Level Contact Group,HLCG)和美欧数据保护及隐私工作小组。HLCG于2006年建立,由欧盟和美国的高级官员组成,用于讨论双边执法领域的数据交换问题,确认了一些执法领域数据处理的共同原则[13]。美欧数据保护和隐私工作小组是在美国国家安全局的丑闻发生之后,围绕美国监督计划以及对欧盟公民个人数据的影响于2013年7月建立的。该小组由欧盟委员会成员、欧盟理事会主席、欧盟对外行动机构(European External Action Service,EEAS)、欧盟反恐协调员、第二十九条工作小组、欧盟成员国的10个专家组成。同时,美国司法部、美国国家情报局局长办公室、美国国务院、美国国土安全部也参与其中。该小组在2013年组织了三次会议,并发布了一份关于释明《自由者法案》第二百五十一节和《外国情报监视法案修正案》第二百零七节争议的详尽报告。之后,并没有新的报告产生,且除了解释跨大西洋个人数据交换的技术性问题之外,该小组存在的意义并不大。
(三)达成综合性的数据保护框架
基于以上分析可知,欧盟和美国并未建立起普遍的数据保护框架,任何一个协定看起来都是不充分的,为了重建跨大西洋数据流动的信任,一个新的法律文件——《欧美数据保护伞协定》(The Umbrella EU-US Data Protection Agreement)应运而生。在过去的10年,美国和欧盟一起尝试着建立数据保护领域的综合性框架,2009年3月,《欧美数据隐私保护协定》(EU-US Data Privacy and Protection Agreement,DPPA)第一次启动。2010年,欧盟委员会开始草拟谈判条款,2011年3月,开始正式谈判。2016年6月2日,双方正式签署该协定,并于2017年2月正式生效。该协定是欧盟和美国执法合作的综合性高水平的数据保护框架,既覆盖了所有以组织、侦查、调查、起诉犯罪为目的的个人数据(比如姓名、地址、犯罪记录)的交换,也覆盖了基于国际协定和以这些目的为由,将个人数据通过私人实体转移至符合协定要求的其他国家机构的情况,但不覆盖国家安全机构之间的数据交换以及私人实体或公司之间的数据交换。与规制商业数据交换的《美欧隐私盾协定》不同,《欧美数据保护伞协定》并不是以特殊协定为基础转移至美国的数据的法律基础,比如《PNR协定》。
但是,在美欧对数据保护法律进行改革的进程中,有学者认为欧盟是美国规则的“接受者”(norm-taking),外部因素在欧盟数据保护立法中占据着一席之地,尤其是为了平衡安全和数据保护,美国施加了外部压力。因此,未来的全球安全领域数据保护标准将会受到美国的很大影响。五、中国参与执法合作中的数据保护现状及策略网络犯罪是目前最重要的犯罪形式之一,中国正面临着如何更有效地打击跨境网络犯罪的问题。打击跨境网络犯罪不能仅凭传统的执法手段去预防和避免,还需要采用数据或信息分析手段。企业与企业或国家与国家之间进行大数据开放和共享已是大势所趋,大数据分析日渐成为有效的网络犯罪治理工具。“个人信息的跨境转移使得个人信息被泄露、破坏、滥用的风险大大增加。这不仅在微观层面上会给信息主体造成影响,在宏观层面上还会涉及国家安全及贸易壁垒等问题。”[14]由此引发了对一系列问题的思考,比如,数据共享中执法部门与私营单位合作的问题、全球或区域数据交换平台的建立问题、数据共享的边界、数据共享的主体选择、不同的利益方有不同的共享范围和方式、数据安全问题、数据共享中的个人数据隐私保护问题、各国对于个人数据保护的差异问题等等。可以说,在国际执法活动中,中国与外国的执法部门和有关国际组织已经建立了良好的对话机制,已经形成了全方位、立体化、多层次、讲实效的国际执法安全合作工作格局。截至2017年2月,我国已与70个国家缔结司法协助条约、资产返还和分享协定、引渡条约和打击“恐怖主义”“分裂主义”“极端主义”的合作协定。这些协定中涉及部分个人数据的共享,但并未形成对个人数据的保护和权利救济机制。比如,中国公民的个人数据如果通过官方机构或是私营企业转移到美国执法机构手中,其是否能够得到足够的保护,如果中国公民个人数据权利受到侵犯是否可以寻求司法救济。美国《2015司法救济法案》中将“覆盖国家”(covered countries)的公民定义为“覆盖人员”(covered persons),“覆盖人员”的民事救济权利被限制在“覆盖记录”(covered record)范圍内,传送给美国指定机构或部门的“覆盖记录”会受到美国法的保护。2017年2月1日,美国司法部长公布了27个“覆盖国家”的名单,其中并未包括中国,因此,中国公民的个人数据在美国处于“裸奔”的状态。为此,笔者提出如下几方面的策略建议。
第一,积极参与全球多边规则。作为世界人口大国,中国将成为世界第一数据资源大国,各大跨国公司都在针对中国的数据资源制定数据战略,中国的数据资源是世界各国商业机构和政府机构的必争之地。中国的数据保护缺乏国际协助,对数据保护规则的参与程度尚处于起步阶段。目前,全球安全领域数据规则正处于形成阶段,这是我国参与规则制定的契机,因此,中国应积极参与全球多边规则的治理,努力为全球安全治理贡献“中国智慧”和“中国方案”。
第二,确定国内法中统一的数据保护规则,对执法领域数据保护规则进行专门立法。我国的《个人信息保护法》尚未出台,在2012年全国人民代表大会常务委员会颁布《关于加强网络信息保护的决定》(以下简称《决定》)之前,中国境内并没有个人数据保护的专门立法。《决定》出台之后,在相关法律、法规、部门规章的修订中进一步补充了对个人数据的法律规定,形成了初步的保护框架。很长一段时间内,中国主要是依靠间接手段对“个人数据”进行保护,比如,通过对“个人尊严”“个人隐私”等相关范畴进行保护,或是通过信息安全管理制度进行保护。2013年,工信部通过了《电信和互联网用户个人信息保护规定》,为中国互联网和电信部门建立了相对完整的数据保护制度,中国的数据保护渐入佳境。在今后的数据保护规则中,应重点加强对执法合作中个人数据的保护,并且,对数据的保护规则要给予专门立法。从美国和欧盟的立法来看,执法领域的数据保护已经形成一套规则体系,且与商业数据流动的法律规制体系不同。执法合作中的数据保护涉及国家机构之间的合作,是国家数据主权和国家安全合作的重要组成部分。
第三,分阶段、分部门订立双边数据交换协定。目前,我国对金融客户数据和公司员工数据明令禁止向境外传输,确立了一般禁止、例外许可的原则。我国应分阶段与境外执法机构签订双边协定,以确定金融数据、旅客数据等转移机制和权利救济机制,防止中国公民个人数据被境外执法机构滥用的情况发生,为我国公民在海外全球个人数据权利的保护提供法律基础。
参考文献:
[1]PORTER A L, BENDIEK A. Counter-terrorism cooperation in the transatlantic security community[J]. European Security,2012(4):498.
[2]REES W. The US-EU Security Relationship: The Tensions between a European and a Global Agenda[M]. Elizabethtown, US: Palgrave Macmillan,2011:22-28.
[3]GONZLEZ F G. The Emergence of Personal Data Protection as a Fundamental Right of the EU[M]. London:Springer,2014:257-262.
[4]KUNER C. The transatlantic divide over data privacy rights[EB/OL].(2013-05-20)[2017-10-18].https:∥iapp.org/news/a/the-transatlantic-divide-over-data-privacy-rights/.
[5]BARROS X. The external dimension of EU counter-terrorism: The challenges of the European Parliament in front of the European Court of Justice[J]. European Security,2012(4):518-536.
[6]MACKENZIE A. The external dimension of European homeland security[M]∥KAUNERT C, LONARD S, PAWLAK P. European Homeland Security: A European Strategy in the Making?New York:Routledge,2012:107.
[7]DE HERT P, DE SCHUTTER B. International transfers of data in the field of JHA: The lessons of Europol, PNR and SWIFT[M]∥MARTENCZUK B, VAN THIEL S. Justice, Liberty, Security: New Challenges for EU External Relations. Brussels:VUB Press,2008:299-334.
[8]CREMONA M. Justice and Home Affairs in a Globalised World: Ambitions and Reality in the Tale of the EU-US SWIFT Agreement[J].Austrian Academy of Sciences, Institute for European Integration Research, 2011(4):1-30.
[9]SERVENT R A, MACKENZIE A. Is the EP still a data protection champion? The case of SWIFT[J]. Perspectives on European Politics and Society,2011(4):390-406.
[10]WESSELING M. Evaluation of EU measures to combat terrorist financing[M]. Brussels: Political Department Citizens,Rights and Constitutiond Affairs,European Parliament,2014:33.
[11]DE BUSSER E. Data Protection in EU and US Criminal Cooperation: A Substantive Law Approach to the EU Internal and Transatlantic Cooperation in Criminal Matters between Judicial and Law Enforcement Authorities[M]. Antwerpen: Maklu Publishers,2009:305.
[12]WLOF C, MAXWELL W. So close, yet so far apart: The EU and U.S. visions of a new privacy framework[J].Antitrust,2012(3):8-13.
[13]Council of the European Union. Final Report by EU-US High Level Contact Group on information sharing and privacy and personal data protection[R/OL].(2008-05-28)[2017-10-10].http:∥www.dhs.gov/european-union-and United-states-principle-information-sharing-privacy-and-personal-data-protection.
[14]王楠.個人信息跨境转移的法律保护——以公司隐私规则为视角[J].重庆工商大学学报(社会科学版),2016(1):69.
Abstract:In order to combat transnational cybercrimes and safeguard national security, countries actively carry out bilateral or multilateral law enforcement cooperation, among which the protection of personal data becomes the focal issue. There are no consolidated standards of personal data protection in the field of law enforcement. The US and EU have many differences in data protection legislations and the concepts of privacy. Both made many attempts to approximate the EU and the US privacy legislations. A series of agreements between the EU and the US have been concluded, for instance The EU-US Mutual Legal Assistance Agreement, Agreements on PNRs and SWIFT agreements. But, these data sharing agreements have different data protection standards. To rebuild trust of transatlantic cross-border data flows, EU and US concluded the umbrella EU-US Data Protection Agreement, a comprehensive data protection framework in the field of law enforcement. Based on the experience of the US and the EU, China should actively participate in the formulation of global multilateral rules, unify domestic personal data protection rules, issue personal data protection legislation in law enforcement field, and conclude bilateral agreements with foreign law enforcement agencies step by step.
Keywords:personal data protection; cross-border data transfer; law enforcement; national security
(编辑:刘仲秋)
摘要:為打击跨国网络犯罪,维护国家安全,各国积极开展双边或多边的执法合作,其中对个人数据的保护问题成为关注的焦点。执法领域个人数据保护的全球标准尚未形成,美国和欧盟因数据保护立法的差异性和对隐私权概念的不同理解,在致力于协调两国数据保护立法上进行了诸多尝试,美国和欧盟签订了一系列数据分享协定,比如《欧盟美国双边法律互助协定》《旅客订座记录协定》《环球银行金融电信协会协定》等,但这些数据分享协定有不同的数据保护标准。为了重建跨大西洋数据流动的信任,美国和欧盟达成了《欧美数据保护总协定》,为美国和欧盟提供综合性的执法领域数据保护框架。根据美国和欧盟的经验,我国应积极参与全球多边规则的制定、统一国内个人数据保护规则、针对执法领域个人数据保护进行专门立法、分阶段和分部门与境外执法机构订立双边协定。
关键词:个人数据保护;跨境数据转移;执法合作;国家安全
中图分类号:D914;D923.8文献标识码:A文章编号:1673-8268(2018)03-0052-08
一、引言
全面加强网络空间法治建设,是习近平新时代中国特色社会主义思想的新要求。只有全面加强网络空间法制建设,建立完善的网络空间法治体系,才能更好地落实总书记全面依法治国的新要求。个人数据保护和国家安全目标的平衡是网络空间法治的焦点议题之一。近年来,我国关于网络安全的规制,分别从法律法规、战略政策、管理体制等方面入手,全面开展数据资源安全保障实践,将大数据安全纳入到我国总体安全观中。为打击网络犯罪和经济犯罪、加强反恐行动、打击人口贩卖、反腐败和追逃追赃,与世界各国开展执法安全合作是必由之路。
自美国911恐怖袭击事件之后,恐怖主义对国家安全的威胁引起了全世界的广泛关注。2001年,联合国安理会就提出进行全球反恐合作,各国政府也认为有必要建立全球性的安全合作机制,自此各国加强了反恐合作,但恐怖袭击仍接连发生。为了进一步精确地发现、调查、阻止和控诉恐怖主义和严重的刑事犯罪,政府执法机构以保护国家安全为由对旅行者数据、金融数据、面部识别数据以及网络使用者的活动等数据进行广泛的收集,反恐政策中许多措施都依靠处理和分享执法机构掌握的数据来实施。在这些措施的实施过程中,个人数据保护的问题成为了各方关注的焦点。尤其是欧盟的数据保护是自成一类的法律体系,其数据保护的标准非常严格。由于美欧在数据和隐私保护问题上存在大量不易协调的立法差异,美国和欧盟签署了许多关于以执法为目的的数据收集、处理、储存和转移的协定。目前缺乏全球的隐私和数据保护标准,在执法领域达成一个全球性的数据保护框架并非易事。本文主要研究美欧执法机构在法律实施过程中的个人数据保护问题,并不包含国家间进行商业数据转移的问题。以美国和欧盟为研究视角,主要是因为美欧之间的合作是目前最先进的,涉及大量的法律问题。通过对美欧国际数据治理规则的研究,提出中国参与执法合作的个人数据保护路径。
二、跨境数据交换协定的源起
(一)国家安全合作的需要
自 20世纪90年代起,欧盟和美国就开始在不同的安全议题上进行合作。美国911恐怖袭击事件之后,美国加强了反恐措施,呼吁所有国家提供支持。由于免签的西欧圣战者很容易进入美国,且基地组织的一些据点也在欧盟成员国找到,在比利时、法国、德国、意大利、西班牙、英国逮捕了一些与911恐怖袭击事件相关的基地组织成员,所以,同欧盟执法机构的合作成为美国的首要选择。但是,在反恐政策上,美国和欧盟的路径不同,美国的反恐措施主要集中于增加军事措施和武力,欧盟的反恐计划则以执法机构和情报机构的预防措施为首要考虑[1]。因此,欧盟常被认为是“平民的”(civilian)或是“软权力”(soft power)的,因为它提倡的是非军事化和非胁迫性的措施。然而,美国则施行的是一种“硬权力”(hard power),通过运用霸权来出口自己的价值观念[2]。 虽然欧盟对全球安全规则的影响力很大,但是在美国的反恐规则面前,一样成为了规则的接受者“norm-taker”,因为911恐怖袭击事件发生之后,美国基于数据交换的反恐措施迫在眉睫。但通过长期的安全合作,美欧之间还是达成了优先使用预防措施而非军事干涉的一致意见。虽然美欧企图通过推进共同目标来强调跨大西洋领域的共同价值观,比如民主、法治、市场经济和人权,但在处理安全问题上他们并不是通常保持一致的目标取向。尤其在斯诺登“棱镜门事件”之后,美欧的“联盟价值”(alliance of values)降至冰点。
(二)立法保护的差异性不易协调
欧盟的数据保护体系是通过欧盟初级法律和次级法律的综合性规制,加上欧盟法院(Court of Justice of the European Union,CJEU)和欧洲人权法院(European Court of Human Rights,ECtHR)判例法形成。自《里斯本条约》生效以来,数据保护被欧盟确立为一项基本权利。执法领域数据保护的基本原则已经形成,欧盟数据保护正朝着规则更加统一、对数据控制者和处理者的规制更加直接以及对个人数据保护权利更加重视的方向发展。美国法律中以宪法条文来规制执法领域的数据保护十分有限。多年来,适用于美国公民和非美国公民的权利及程序方面的机构性差异问题是欧盟关注的焦点。由于美国和欧盟数据保护存在着宪法保护的差异、数据保护的标准不同、数据分享的方式不同、监督机制的独立性不同以及权利救济的起点和适用范围不同,所以尽管在某种程度上某些法律概念是相近的,但大部分欧盟数据保护规定都不存在于美国法之中。即便是对美国公民适用的所有数据保护规则均对欧盟公民适用,但在欧盟看来仍存在着巨大的差异,因为美国的数据保护尚未形成统一的数据保护体系,在涉及非美国公民时这一缺陷则更加凸显。《2015司法救济法案》和《自由法案》也仅在一定程度上改善其冲突局面。
(三)历史因素导致“隐私权”概念的差异
欧盟将“隐私”作为一种人权予以保护,然而美国倾向于将“隐私”作为一种超国家的自由权。这种差别主要由历史原因造成,欧洲人在经历了纳粹利用公共和教堂数据识别犹太人,对犹太人进行大屠杀的历史遭遇中变得尤其敏感。由于个人数据被滥用造成的恶果,使得保护“人的尊严”和“个人身份”的理念在20世纪和21世纪的欧洲更加巩固。除了《欧盟基本权利宪章》(Charter of Fundamental Rights of the European Union,CFR)第七条规定了“每个人都有权享受私人生活”外,还在第八条中进一步规定了“数据保护权”(right to data protection)。隐私权和数据保护权最大的区别就是,数据保护权是一种自决权,个人可以决定他们的数据将被怎样处理,所以,数据保护权与个人尊严相关。美国法仅使用“隐私权”的概念,但是欧盟法将“隐私权”和“数据保护权”视为两种不同的概念[3]。在欧盟,数据保护权已形成“一般法律原则”,并受《欧洲联盟运行条约》(Treaty on the Functioning of the European Union,TFEU)第十六条的规制。数据保护的基本权利长期都受到欧盟法院、欧盟成员国法院、欧洲人权法院的判例法保护,几乎所有的成员国宪法都加入了数据保护概念。
因美欧对“隐私”概念的不同理解导致了政府在“隐私权”保护中的职能差别。在美国,政府在隐私权保护中的义务是尽量克制,不采取特殊的措施,是一种“消极责任”(negative duty),但是在欧盟,隐私权保护是一种“积极责任”(positive duty),政府坚决肯定地保护隐私权[4]。对于欧盟而言,政府仅克制采取不合理的措施是不够的,而是有附加的积极义务确保任何个人都不会受到任何第三方(政府性的或非政府性)的不法干预。由于历史观念的影响和政府职能的差别,隐私权、数据保护权和言论自由权在美国和欧盟所占的比重不同。在美国,言论自由权的比重相比隐私权要大,比如美国《梅根法》就是美国言论自由的一种表达方式。
由于以上原因,尽管美国和欧盟参与了一系列全球性隐私和数据保护规则,但并未建立起普遍的数据保护框架,在特殊部门领域仍主要依靠跨境数据交换协定来进行数据交换。三、美欧主要的跨境数据交换协定及数据保护条款美歐之间交换数据的渠道多种多样,可以通过司法请求函、法院传票传唤、非正式会议等。本文主要就美国和欧盟之间主要的数据交换协定进行阐述。美国和欧盟主要签署了《欧盟美国双边司法互助协定》(EU-US Mutual Legal Assistance Treaty,以下简称《EU-US MLAT》)、《旅客订座记录协定》(Passenger Name Records Agreement,以下简称《PNR协定》)、《环球银行金融电信协会协定》(Society for the Worldwide Interbank Financial Telecommunication Agreement,以下简称《SWIFT协定》)。
(一)跨境数据交换协定
1.《EU-US MLAT》
在签署《EU-US MLAT》之前,欧洲已经有16个国家同美国签署了双边互助协定,一些联合国的公约也包含了双边司法互助的条款。欧盟层面,欧洲委员会在1959年就已经有关于司法互助的公约,欧盟成员国之间也在2000年就达成了互助公约。在911事件后的2003年7月25日,美欧签署了《EU-US MLAT》,该协定主要是在美国的高压下产生的,该协定生效后,双边的司法机构在调查犯罪中可以获取银行账户和金融数据。但该协定的运用效果和几率并不高,各成员国对该协定的批准程序非常缓慢,有的在2010年2月才生效。即便是批准后,也仍然存在从请求到执行程序时间过长的问题,一个程序走完大概需要十个月或者更长的时间,且没有网上的递交系统,许多政府机构并不知道怎样来发送请求,后续的程序要求也很多。当一个请求发送至美国,美国国际事务办公室(Office of International Affairs,OIA)首先进行审查,再发送到地区检察官,最后由美国司法部对这一请求进行探讨。实际上,欧盟成员国和美国官方机构缺乏对互助协定渠道的使用,一些国家经常通过其他国家的公司获得数据,或通过非正式电邮的方式,而非采取司法互助协定的形式。
2.《PNR协定》
《PNR协定》也是受美国反恐政策的影响产生的。2001年10月,美国颁布了《航空运输安全法案》,该法案规定所有欧洲的航空公司航班降落和从美国领域起飞都必须向美国海关边防总署提供电子旅客订座记录数据。2001年之前,美国的执法机构仅能通过手动方式根据个案需要,经CJEU同意,才可获得必要的数据[5]。911事件之后,美国法律要求所有的航空公司航班抵达、中转、离开美国领土都需要在离境之前通过电子方式转移所有的旅客订座记录。如果任何航空公司不遵守该规定,则可能遭受严重后果,比如,取消其在美国领土内所有地区的着陆权,驱除出美国市场,或是进行罚款,只要一个旅客数据遗漏则可能遭受高达5 000美元的罚款。如果遵守美国法律,欧盟的航空公司则违背了欧盟法律框架,特别是《欧洲议会和欧盟理事会1995年10月24日关于涉及个人数据处理的个人保护以及此类数据自由流动的第95/46/EC号指令》(以下简称95/46/EC指令),该指令第二十五条规定,如向第三国转移数据需事先通过欧盟委员会“充分保护决定”(adequacy decision)的认证,但美国并没有得到认证。为了解决美国和欧盟法律之间的冲突,欧盟委员会要求美国机构延长欧盟公司遵守新法的期限,并开启了PNR协定的谈判,旨在达成与95/46/EC指令第二十五条标准相关的条款。2004年至2011年,美国和欧盟陆续达成了四份《PNR协定》。第四份《PNR协定》于2012年7月开始生效,至少要到2019年才会考虑更新的问题。《PNR办定》被美国官方认为是很高效的工具,2008年至2009年,美国通过数据识别了超过3 000个潜在的恐怖分子。比如,2008年孟买袭击的策划者David Headley在芝加哥机场被捕就是通过他的PNR数据确认的。Faisal Shahzad是2010年5月1日美国纽约时代广场汽车炸弹袭击案的行凶者,Najibullah Zazi是纽约地铁放置炸弹的行凶者,美国警方都是通过获得他们的PNR数据对其进行的抓捕。
3.《SWIFT协定》
美国和欧盟从2001年9月11日开始交换金融数据,2001年12月,美国和欧盟执法机构(EU law enforcement agency,Europol)签订了两份协定促进全球金融数据的交换,这也是布什政府在911事件之后“恐怖主义金融跟踪计划”(Terrorist Finance Tracking Program,TFTP)的一部分。有了TFTP,美国官方可以通过环球银行金融电信协会(Society for Worldwide Interbank Financial Telecommunications,SWIFT)私人公司获得欧盟公民的数据。这个计划是秘密进行的,欧盟并不知情,因为SWIFT公司的总部在比利时,但是在美国领域内有服务器,美国可以通过官方传唤的方式让其提供标准信息。这个计划对于美国执法机构来说非常有吸引力,因为该公司从200个国家中的1 000家金融机构处收集了个人数据[6]。美国每天可以获得1.27千万的交易数据,一旦数据被获得将会被保存124天[7]。2006年,《纽约时报》揭露了TFTP计划,从那时起,欧盟就开始注意到通过在美国的服务器传输欧盟公民数据的问题。既然SWIFT的总部在比利时,它就应该遵守比利时国内法执行95/46/EC指令。2006年10月,第二十九条工作小组发言称该计划违背欧盟数据保护法律。之后,SWIFT决定将其服务器全部搬到欧洲。这使得达成符合欧盟法律的SWIFT数据转移的协定迫在眉睫。
2009年10月30日,美国和欧盟签订了第一份《SWIFT协定》,之后,欧盟议会对该协定提出了几个关于隐私权的问题:(1)该协定中缺乏必要性和相称性的规定;(2)该协定并未尊重目的限制原则;(3)对欧盟公民的司法救济缺乏保护;(4)数据传输的方式,导致了批量数据(bulk data)的传送和保存;(5)有必要建立一个欧盟内部的TFTP来处理欧盟内部的数据。所以,欧盟议会最终并没有通过该协定。因为第一份《SWIFT协定》没有通过,所以接下来的数月里,欧盟成员国向美国转移数据仅依据《EU-US MLAT》和成员国与美国的《双边司法互助协定》,这样的程序非常慢且效率低[8],所以第二份《SWIFT协定》的达成势在必行。第二份《SWIFT协定》在欧盟议会的参与下,最终在2010年6月28日达成。第二份《SWIFT协定》基于TFEU第八十七(二)条和八十八(二)条的规定,并且吸收了一些欧盟议会的建议,比如美国对欧盟公民行政和司法救济的可能性、给予Europol对美国财政部发出的请求的批准权、加入了由欧盟委员会任命的驻华盛顿的独立的观察员(observer)、加入了数据保留和删除条款以及欧盟对等的TFTP计划。欧盟议会关于废除批量数据和pull system的建议以及建立司法监督机制的建议并未被采纳。由于这两个建议是充分性数据保护框架考量中的重要措施,因此许多学者认为第二份协定与第一份并没有实质性的不同[9]。
(二)数据交换协定中的数据保护条款
美国和欧盟基于国家安全合作的每一个国际数据交换协定都有其数据保护条款,但这些协定中的数据保护条款并不一致,不同领域的数据保护标准并不相同,要达成全球安全领域的数据保护规则更是难上加难。
1.《PNR协定》中的数据保护条款
从2004年至2012年,在《PNR协定》的不断更替中,数据保护的条款也日渐完善。2012年的《PNR协定》包含了更多数据保护条款。
首先,针对数据转移的方法。根据《PNR协定》第十五(四)条的规定使用“push method”,即由航空公司在他们的数据库中收集PNR数据,之后再将这些数据转移给相关的政府机构。“push system”是一种进步。在2007《PNR协定》旧的“pull method”下,数据在美国法律的规制下被收集和处理,阻碍了欧盟数据保护法的实施效力。其次,数据保留的期限也有所改善。为了符合协定第八条的规定,美国国土安全部引入了自动定位系统(Automated Targeting System,ATS)。被授权ATS系统的使用者可以获得五年的活跃数据库。但是PNR数据将在6个月之后去个人化,即6个月之后,ATS的使用者仅可以看到电脑代号、订票系统、记录日期及旅程路线,个人数据将不可见。再次,针对个人权利的行使。2012年《PNR協定》中规定,任何国家的任何乘客都有权获得、修改和删除美国海关及边境保护局(Bureau of Customs and Border Protection,CBP)收集的其个人数据。数据可以通过发一份信息自由指令(Free of Information Act,FOIA)的请求获得,如果请求被拒绝还有上诉的权利。2012年,美国国土安全委员会收到22 000份FOIA请求,但该请求回复的时间却令人失望。复次,针对数据披露和安全保护问题。PNR数据的披露由《美国海关和边境保护条例》来规制,根据该条例的规定,请求需要签署特殊的PNR披露表格,确保信息的保密性和在未经美国国土安全部授权的情况下限制对第三方适用。CBP的网络仅能供通过安全加密设备授权的使用者使用。任何内部共享都被记录到硬拷贝上,来自非国土安全部门的请求都被保留和审计。对于PNR转移的监管,CBP每隔六个月将会对乘客自动定位系统(Automated Targeting System-Passenger,ATS-P)的使用进行审查。因此,所有的PNR数据使用者都必须通过隐私训练,通过测试,才可以使用ATS。2012年,美国国土安全部隐私办公室下设隐私监督小组,对隐私调查、隐私诉讼和救济进行处理。最后,2012《PNR协定》还明确规定不能仅凭信息的自动识别做出决定,即禁止非法的特征分析(profiling),这主要是基于之前在缺乏调查的情况下对潜在的恐怖分子进行认定的大量错误。即使2012《PNR协定》规定了许多数据保护条款,但对于欧盟而言,在CJEU做出废除《数据保留指令》的判决后,该协定的一些内容与CJEU的裁判相悖,因此,2012《PNR协定》面临着修改。
2.《SWIFT协定》中的数据保护条款
《SWIFT协定》中的数据保护条款与《PNR协定》中的条款有一些不同之处。比如根据《SWIFT协定》第五(七)条的规定,数据保留的种类包括姓名、账户、地址、国籍、证件号码。一旦进入美国财政部数据库的数据,只有符合打击恐怖主义和恐怖金融的必要性条件才能保留,5年是最长的保护期限。《PNR协定》包含19类数据,并且允许将乘客数据最多保留15年。《SWIFT协定》第十二条和第十三条对数据转移中的监管问题进行规定,要求设立独立监察员,独立监察员由欧盟委员会和美国财政部任命。监察员要对TFTP数据库进行常规检查,确保其符合数据提取的要求,对数据的提取是否用于调查、阻止、侦查或起诉恐怖主义及恐怖金融要特别审查。《SWIFT协定》还规定了充分的数据安全措施,如果任何收索和提取被认为违反了第五条数据保护措施的规定,监察员将向上级组织汇报并阻止其操作。《SWIFT协定》第十四、十五、十六、十八条是关于个人权利的规定,包括数据的获取、修改、消除和阻断不准确数据权利的规定以及非歧视管理和司法救济权利的规定。任何人可以通过国家数据保护机构(Data Protection Authority,DPA)提出请求获得美国财政部掌握的数据,由DPA向美国机构发出正式的请求。但经检验该系统的办事效率很低,并没有起到真正保障个人权利的目的[10]。一些《SWIFT协定》的数据保护条款与《PNR协定》基本一致,比如,通过“push method”方式获得数据,对数据持续转移的规定。虽然这两个协定在这两方面的规定基本相同,但更多的却是其不同之处。最近,CJEU废除《数据保留指令》的判决对《SWIFT协定》也产生了影响,尤其是《SWIFT协定》的批量数据转移,以及缺乏独立的行政监督机制和对数据主体缺乏通知都与CJEU的裁判意见相左。四、美国和欧盟执法合作中数据保护规则的协调路径为了使双边的隐私法律更加接近,欧盟和美国采取了许多措施,以欧盟和美国参与的全球规则和公约为基础,开展了一系列的双边合作,以建立共同的隐私规则。
(一)参与全球多边规则
美国和欧盟参与的全球规则主要有《OECD隐私指南》(OECD Privacy Guidelines)、《APEC隐私框架》(APEC Privacy Framework)、《公平信息实践原则》(Fair Information Practice Principles,FIPPs)以及《欧洲理事会网络犯罪公约》(Council of Europe Convention on Cybercrime)。
首先,《OECD隐私指南》确定的原则与95/EC/46指令、欧盟成员国数据保护立法相似。因此,OECD是建立跨境数据流动规则的关键性组织。2012年7月25日,美国正式成为APEC跨境数据隐私规则体系(Cross Border Privacy Rules System, CBPR)的参与方。《APEC隐私框架》为所有的APEC经济体创造了隐私义务。虽然欧盟非正式成员方,但是第二十九条工作小组根据CBPR的要求发布了普通的参考指引和欧盟的约束性公司规则(Binding Corporate Rules,BCRs)。因此《APEC隐私框架》可以说是使两大法律框架更加接近的基础。实际上,美国并没有完全履行《OECD隐私指南》和《APEC隐私框架》规定的义务。比如说,数据质量原则或目的限制原则在许多公约中都有详细的定义,但是美国法律却没有数据质量原则或目的限制原则的规定[11]。
其次,美国和欧盟都是1973年FIPPs的参与方,“公平信息实践原则”包含的透明度原则、个人参与原则、目的限制原则、数据安全原则等都是全球隐私法律的核心要素。之后,FIPPs首次植入《美国1974隐私法案》,并对1980年《OECD隐私指南》和95/46/EC指令产生了影响。FIPPs的建立就是为了促进隐私法律的和谐,使其可适用于任何国际数据流动。但实际上,美国和欧盟采取了不同的路径来实施FIPPs[12],FIPPs不能使美国和欧盟的数据保护体系完全协调。
最后,美国及所有的欧盟成员国都签订了2001年10月的《欧洲理事会网络犯罪公约》(CoE Cybercrime Convention),该公约为警察和司法访问计算机数据制定了框架。该公约第十五條规定了独立的监督机制,第二十七条规定了在缺乏国际协定的情况下的双边协助机制。因此,《欧洲理事会网络犯罪公约》为美欧提供了一个安全的、高效的框架,以确保电子数据在需要调查和起诉犯罪时,可被法律实施机构获得。然而,《欧洲理事会网络犯罪公约》的范围非常特殊,规定对九类网络犯罪行为以刑法处罚,但对于如侵犯个人隐私、网络暴力等行为并没有对应的条款,该公约还需要修改以应对当前的网络犯罪趋势,所以该公约并没有提供一个全面的数据保护机制。
(二)双边合作安排
除了多边参与的协定外,美国和欧盟还深入了双边的合作,比如建立了高层联络小组(EU-US High Level Contact Group,HLCG)和美欧数据保护及隐私工作小组。HLCG于2006年建立,由欧盟和美国的高级官员组成,用于讨论双边执法领域的数据交换问题,确认了一些执法领域数据处理的共同原则[13]。美欧数据保护和隐私工作小组是在美国国家安全局的丑闻发生之后,围绕美国监督计划以及对欧盟公民个人数据的影响于2013年7月建立的。该小组由欧盟委员会成员、欧盟理事会主席、欧盟对外行动机构(European External Action Service,EEAS)、欧盟反恐协调员、第二十九条工作小组、欧盟成员国的10个专家组成。同时,美国司法部、美国国家情报局局长办公室、美国国务院、美国国土安全部也参与其中。该小组在2013年组织了三次会议,并发布了一份关于释明《自由者法案》第二百五十一节和《外国情报监视法案修正案》第二百零七节争议的详尽报告。之后,并没有新的报告产生,且除了解释跨大西洋个人数据交换的技术性问题之外,该小组存在的意义并不大。
(三)达成综合性的数据保护框架
基于以上分析可知,欧盟和美国并未建立起普遍的数据保护框架,任何一个协定看起来都是不充分的,为了重建跨大西洋数据流动的信任,一个新的法律文件——《欧美数据保护伞协定》(The Umbrella EU-US Data Protection Agreement)应运而生。在过去的10年,美国和欧盟一起尝试着建立数据保护领域的综合性框架,2009年3月,《欧美数据隐私保护协定》(EU-US Data Privacy and Protection Agreement,DPPA)第一次启动。2010年,欧盟委员会开始草拟谈判条款,2011年3月,开始正式谈判。2016年6月2日,双方正式签署该协定,并于2017年2月正式生效。该协定是欧盟和美国执法合作的综合性高水平的数据保护框架,既覆盖了所有以组织、侦查、调查、起诉犯罪为目的的个人数据(比如姓名、地址、犯罪记录)的交换,也覆盖了基于国际协定和以这些目的为由,将个人数据通过私人实体转移至符合协定要求的其他国家机构的情况,但不覆盖国家安全机构之间的数据交换以及私人实体或公司之间的数据交换。与规制商业数据交换的《美欧隐私盾协定》不同,《欧美数据保护伞协定》并不是以特殊协定为基础转移至美国的数据的法律基础,比如《PNR协定》。
但是,在美欧对数据保护法律进行改革的进程中,有学者认为欧盟是美国规则的“接受者”(norm-taking),外部因素在欧盟数据保护立法中占据着一席之地,尤其是为了平衡安全和数据保护,美国施加了外部压力。因此,未来的全球安全领域数据保护标准将会受到美国的很大影响。五、中国参与执法合作中的数据保护现状及策略网络犯罪是目前最重要的犯罪形式之一,中国正面临着如何更有效地打击跨境网络犯罪的问题。打击跨境网络犯罪不能仅凭传统的执法手段去预防和避免,还需要采用数据或信息分析手段。企业与企业或国家与国家之间进行大数据开放和共享已是大势所趋,大数据分析日渐成为有效的网络犯罪治理工具。“个人信息的跨境转移使得个人信息被泄露、破坏、滥用的风险大大增加。这不仅在微观层面上会给信息主体造成影响,在宏观层面上还会涉及国家安全及贸易壁垒等问题。”[14]由此引发了对一系列问题的思考,比如,数据共享中执法部门与私营单位合作的问题、全球或区域数据交换平台的建立问题、数据共享的边界、数据共享的主体选择、不同的利益方有不同的共享范围和方式、数据安全问题、数据共享中的个人数据隐私保护问题、各国对于个人数据保护的差异问题等等。可以说,在国际执法活动中,中国与外国的执法部门和有关国际组织已经建立了良好的对话机制,已经形成了全方位、立体化、多层次、讲实效的国际执法安全合作工作格局。截至2017年2月,我国已与70个国家缔结司法协助条约、资产返还和分享协定、引渡条约和打击“恐怖主义”“分裂主义”“极端主义”的合作协定。这些协定中涉及部分个人数据的共享,但并未形成对个人数据的保护和权利救济机制。比如,中国公民的个人数据如果通过官方机构或是私营企业转移到美国执法机构手中,其是否能够得到足够的保护,如果中国公民个人数据权利受到侵犯是否可以寻求司法救济。美国《2015司法救济法案》中将“覆盖国家”(covered countries)的公民定义为“覆盖人员”(covered persons),“覆盖人员”的民事救济权利被限制在“覆盖记录”(covered record)范圍内,传送给美国指定机构或部门的“覆盖记录”会受到美国法的保护。2017年2月1日,美国司法部长公布了27个“覆盖国家”的名单,其中并未包括中国,因此,中国公民的个人数据在美国处于“裸奔”的状态。为此,笔者提出如下几方面的策略建议。
第一,积极参与全球多边规则。作为世界人口大国,中国将成为世界第一数据资源大国,各大跨国公司都在针对中国的数据资源制定数据战略,中国的数据资源是世界各国商业机构和政府机构的必争之地。中国的数据保护缺乏国际协助,对数据保护规则的参与程度尚处于起步阶段。目前,全球安全领域数据规则正处于形成阶段,这是我国参与规则制定的契机,因此,中国应积极参与全球多边规则的治理,努力为全球安全治理贡献“中国智慧”和“中国方案”。
第二,确定国内法中统一的数据保护规则,对执法领域数据保护规则进行专门立法。我国的《个人信息保护法》尚未出台,在2012年全国人民代表大会常务委员会颁布《关于加强网络信息保护的决定》(以下简称《决定》)之前,中国境内并没有个人数据保护的专门立法。《决定》出台之后,在相关法律、法规、部门规章的修订中进一步补充了对个人数据的法律规定,形成了初步的保护框架。很长一段时间内,中国主要是依靠间接手段对“个人数据”进行保护,比如,通过对“个人尊严”“个人隐私”等相关范畴进行保护,或是通过信息安全管理制度进行保护。2013年,工信部通过了《电信和互联网用户个人信息保护规定》,为中国互联网和电信部门建立了相对完整的数据保护制度,中国的数据保护渐入佳境。在今后的数据保护规则中,应重点加强对执法合作中个人数据的保护,并且,对数据的保护规则要给予专门立法。从美国和欧盟的立法来看,执法领域的数据保护已经形成一套规则体系,且与商业数据流动的法律规制体系不同。执法合作中的数据保护涉及国家机构之间的合作,是国家数据主权和国家安全合作的重要组成部分。
第三,分阶段、分部门订立双边数据交换协定。目前,我国对金融客户数据和公司员工数据明令禁止向境外传输,确立了一般禁止、例外许可的原则。我国应分阶段与境外执法机构签订双边协定,以确定金融数据、旅客数据等转移机制和权利救济机制,防止中国公民个人数据被境外执法机构滥用的情况发生,为我国公民在海外全球个人数据权利的保护提供法律基础。
参考文献:
[1]PORTER A L, BENDIEK A. Counter-terrorism cooperation in the transatlantic security community[J]. European Security,2012(4):498.
[2]REES W. The US-EU Security Relationship: The Tensions between a European and a Global Agenda[M]. Elizabethtown, US: Palgrave Macmillan,2011:22-28.
[3]GONZLEZ F G. The Emergence of Personal Data Protection as a Fundamental Right of the EU[M]. London:Springer,2014:257-262.
[4]KUNER C. The transatlantic divide over data privacy rights[EB/OL].(2013-05-20)[2017-10-18].https:∥iapp.org/news/a/the-transatlantic-divide-over-data-privacy-rights/.
[5]BARROS X. The external dimension of EU counter-terrorism: The challenges of the European Parliament in front of the European Court of Justice[J]. European Security,2012(4):518-536.
[6]MACKENZIE A. The external dimension of European homeland security[M]∥KAUNERT C, LONARD S, PAWLAK P. European Homeland Security: A European Strategy in the Making?New York:Routledge,2012:107.
[7]DE HERT P, DE SCHUTTER B. International transfers of data in the field of JHA: The lessons of Europol, PNR and SWIFT[M]∥MARTENCZUK B, VAN THIEL S. Justice, Liberty, Security: New Challenges for EU External Relations. Brussels:VUB Press,2008:299-334.
[8]CREMONA M. Justice and Home Affairs in a Globalised World: Ambitions and Reality in the Tale of the EU-US SWIFT Agreement[J].Austrian Academy of Sciences, Institute for European Integration Research, 2011(4):1-30.
[9]SERVENT R A, MACKENZIE A. Is the EP still a data protection champion? The case of SWIFT[J]. Perspectives on European Politics and Society,2011(4):390-406.
[10]WESSELING M. Evaluation of EU measures to combat terrorist financing[M]. Brussels: Political Department Citizens,Rights and Constitutiond Affairs,European Parliament,2014:33.
[11]DE BUSSER E. Data Protection in EU and US Criminal Cooperation: A Substantive Law Approach to the EU Internal and Transatlantic Cooperation in Criminal Matters between Judicial and Law Enforcement Authorities[M]. Antwerpen: Maklu Publishers,2009:305.
[12]WLOF C, MAXWELL W. So close, yet so far apart: The EU and U.S. visions of a new privacy framework[J].Antitrust,2012(3):8-13.
[13]Council of the European Union. Final Report by EU-US High Level Contact Group on information sharing and privacy and personal data protection[R/OL].(2008-05-28)[2017-10-10].http:∥www.dhs.gov/european-union-and United-states-principle-information-sharing-privacy-and-personal-data-protection.
[14]王楠.個人信息跨境转移的法律保护——以公司隐私规则为视角[J].重庆工商大学学报(社会科学版),2016(1):69.
Abstract:In order to combat transnational cybercrimes and safeguard national security, countries actively carry out bilateral or multilateral law enforcement cooperation, among which the protection of personal data becomes the focal issue. There are no consolidated standards of personal data protection in the field of law enforcement. The US and EU have many differences in data protection legislations and the concepts of privacy. Both made many attempts to approximate the EU and the US privacy legislations. A series of agreements between the EU and the US have been concluded, for instance The EU-US Mutual Legal Assistance Agreement, Agreements on PNRs and SWIFT agreements. But, these data sharing agreements have different data protection standards. To rebuild trust of transatlantic cross-border data flows, EU and US concluded the umbrella EU-US Data Protection Agreement, a comprehensive data protection framework in the field of law enforcement. Based on the experience of the US and the EU, China should actively participate in the formulation of global multilateral rules, unify domestic personal data protection rules, issue personal data protection legislation in law enforcement field, and conclude bilateral agreements with foreign law enforcement agencies step by step.
Keywords:personal data protection; cross-border data transfer; law enforcement; national security
(编辑:刘仲秋)