致力于建立跨境數(shù)據(jù)流動(dòng)和隱私安全保護(hù)的全球框架

隨著我們的社會(huì)和經(jīng)濟(jì)日益依賴(lài)于數(shù)字技術(shù)，在互聯(lián)網(wǎng)上共享和轉(zhuǎn)移包括個(gè)人數(shù)據(jù)在內(nèi)的數(shù)據(jù)資產(chǎn)的需求也越來(lái)越大?？缇硵?shù)據(jù)流動(dòng)對(duì)國(guó)際貿(mào)易和全球經(jīng)濟(jì)發(fā)展至關(guān)重要。事實(shí)上，如果沒(méi)有互聯(lián)網(wǎng)的開(kāi)放和全球架構(gòu)以及數(shù)據(jù)跨越國(guó)界的能力，全球經(jīng)濟(jì)的數(shù)字化轉(zhuǎn)型就不可能發(fā)生。正如我們?cè)谥跋嚓P(guān)的博客文章中所指出那樣，數(shù)據(jù)本地化并不一定能改善數(shù)據(jù)隱私。事實(shí)上，如果我們能夠跨境傳輸數(shù)據(jù)，那么數(shù)據(jù)安全，乃至隱私將真正受益。因此，隨著“數(shù)據(jù)隱私日（Data Privacy Day）”到來(lái)，我們想借此機(jī)會(huì)深入探索當(dāng)前個(gè)人數(shù)據(jù)從歐盟轉(zhuǎn)移到美國(guó)的環(huán)境（其受《通用數(shù)據(jù)保護(hù)條例》（GDPR）管治）。展望未來(lái)，我們將努力建立一個(gè)更穩(wěn)定的全球跨境數(shù)轉(zhuǎn)移框架，這對(duì)一個(gè)開(kāi)放、更安全、更私密的互聯(lián)網(wǎng)將是至關(guān)重要的。

跨境數(shù)據(jù)流動(dòng)的隱私與安全挑戰(zhàn)

在過(guò)去十年中，我們觀察到世界各地有一種日益增長(zhǎng)的趨勢(shì)，對(duì)互聯(lián)網(wǎng)進(jìn)行限制，并對(duì)國(guó)際數(shù)據(jù)流動(dòng)，特別是個(gè)人數(shù)據(jù)流動(dòng)設(shè)置了一系列的新的障礙。在某些情況下，這導(dǎo)致用戶(hù)的數(shù)字產(chǎn)品和服務(wù)選擇減少，性能變差。在其他情況下，這限制了對(duì)信息的自由訪問(wèn)，而且——矛盾的是——在某些情況下，這甚至導(dǎo)致了更差的數(shù)據(jù)安全和隱私，違背了數(shù)據(jù)保護(hù)法規(guī)的根本宗旨。這些令人擔(dān)憂(yōu)的發(fā)展有多方面的動(dòng)機(jī)（難以規(guī)避的地緣政治因素），到主張國(guó)家安全，再到尋求經(jīng)濟(jì)自決。

在歐盟，過(guò)去幾年里，即使是最注重隱私的公司（例如Cloudflare）也面臨著來(lái)自一些強(qiáng)硬派數(shù)據(jù)保護(hù)機(jī)構(gòu)、隱私維權(quán)人士和其他人的連串猜測(cè)和擔(dān)憂(yōu)，即美國(guó)云服務(wù)提供商處理的數(shù)據(jù)是否確實(shí)能夠以遵從GDPR的方式進(jìn)行處理。通常，這些擔(dān)憂(yōu)是純粹的條文主義，沒(méi)有考慮到與特定數(shù)據(jù)傳輸相關(guān)的實(shí)際風(fēng)險(xiǎn)，以及在Cloudflare的案例中，我們的服務(wù)對(duì)數(shù)百萬(wàn)歐洲互聯(lián)網(wǎng)用戶(hù)的安全和隱私做出的重要貢獻(xiàn)。事實(shí)上，歐洲數(shù)據(jù)保護(hù)委員會(huì)（EDPB）的官方指南已經(jīng)確認(rèn)，歐盟的個(gè)人數(shù)據(jù)仍然可以在美國(guó)處理，但自從歐洲法院在2020年的Schrems II判決中暫?！半[私盾”（Privacy Shield）框架以來(lái)，這已經(jīng)變得相當(dāng)復(fù)雜：數(shù)據(jù)控制人必須使用合法的轉(zhuǎn)移機(jī)制，如歐盟標(biāo)準(zhǔn)合同條款，以及大量額外的法律、技術(shù)和組織保障措施。

然而，對(duì)于這些措施是否充分，最終是由主管數(shù)據(jù)保護(hù)當(dāng)局通過(guò)逐案解釋決定的。由于這些案例通常相當(dāng)復(fù)雜，每個(gè)案例都是不同的，而且僅在歐洲就有45個(gè)數(shù)據(jù)保護(hù)機(jī)構(gòu)，這種做法無(wú)法擴(kuò)展。此外，當(dāng)涉及到第三國(guó)轉(zhuǎn)移時(shí)，數(shù)據(jù)保護(hù)機(jī)構(gòu)——有時(shí)甚至在同一個(gè)歐盟國(guó)家（德國(guó)）——對(duì)法律的解釋上都存在分歧。當(dāng)涉及到實(shí)際的法院裁決時(shí)，根據(jù)我們的經(jīng)驗(yàn)，法院在數(shù)據(jù)保護(hù)方面往往比數(shù)據(jù)保護(hù)機(jī)構(gòu)更加務(wù)實(shí)和平衡。但是，數(shù)據(jù)保護(hù)案件在法庭上獲得裁決需要很長(zhǎng)時(shí)間和大量資源。這對(duì)那些無(wú)法承受漫長(zhǎng)法律訴訟的小企業(yè)來(lái)說(shuō)尤其成問(wèn)題。因此，來(lái)自數(shù)據(jù)保護(hù)機(jī)構(gòu)的巨額罰款這一理論上的威脅也許已經(jīng)產(chǎn)生足夠的威懾，讓他們完全停止使用涉及第三國(guó)數(shù)據(jù)轉(zhuǎn)移的服務(wù)，即使這些服務(wù)為他們處理的個(gè)人數(shù)據(jù)提供了更好的安全和隱私，并使他們更有效率。這顯然不符合歐洲經(jīng)濟(jì)的利益，也很可能不是政策制定者在2016年采用GDPR時(shí)的初衷。

好消息是：希望已經(jīng)出現(xiàn)

雖然最近的事態(tài)發(fā)展不會(huì)解決上述所有挑戰(zhàn)，但在去年12月，經(jīng)過(guò)多年的復(fù)雜談判，國(guó)際政策制定者采取了兩項(xiàng)重要步驟，以恢復(fù)與個(gè)人數(shù)據(jù)跨境流動(dòng)有關(guān)的法律確定性和信任決策。

2022年12月13日，歐盟委員會(huì)公布了期待已久的初步評(píng)估：歐盟將認(rèn)為按照未來(lái)的歐盟-美國(guó)數(shù)據(jù)隱私框架（DPF）從歐盟轉(zhuǎn)移到美國(guó)的個(gè)人數(shù)據(jù)在美國(guó)享有足夠的保護(hù)水平。雖然歐盟委員會(huì)的初步評(píng)估只是歐盟批準(zhǔn)程序的開(kāi)始，該程序預(yù)計(jì)需要4-6個(gè)月，但專(zhuān)家們非常樂(lè)觀地認(rèn)為，它最終將被采納。

僅僅一天后，美國(guó)與其他37個(gè)經(jīng)合組織（OECD）成員國(guó)和歐盟達(dá)成了一項(xiàng)史無(wú)前例的協(xié)議，通過(guò)闡明在政府以國(guó)家安全和執(zhí)法為由訪問(wèn)私人實(shí)體持有的個(gè)人數(shù)據(jù)時(shí)，保護(hù)隱私及其它人權(quán)和自由的共同保障原則，增強(qiáng)法治民主體系之間跨境數(shù)據(jù)流動(dòng)的信任。如果法律框架要求跨境數(shù)據(jù)流動(dòng)受到保障，例如歐盟GDPR的情況下，參與者同意“考慮目的地國(guó)有效實(shí)施這些原則，作為應(yīng)用這些規(guī)則對(duì)促進(jìn)跨境數(shù)據(jù)流動(dòng)的積極貢獻(xiàn)?！保ㄖ档米⒁獾氖?，與Cloudflare幫助建立一個(gè)更好的互聯(lián)網(wǎng)的使命一致，經(jīng)合組織宣言回顧了成員國(guó)對(duì)“全球、開(kāi)放、可訪問(wèn)、互聯(lián)、互操作、可靠和安全的互聯(lián)網(wǎng)”的共同承諾。

未來(lái)：真正的全球性隱私框架

歐盟-美國(guó)DPF和經(jīng)合組織宣言是相輔相成的，兩者都標(biāo)志著在擁有民主和法治、保護(hù)隱私及其它人權(quán)和自由等共同價(jià)值觀的國(guó)家之間恢復(fù)對(duì)跨境數(shù)據(jù)流動(dòng)的信任的重要步驟。然而，這兩種方法都有自己的局限性：DPF僅限于從歐盟到美國(guó)的個(gè)人數(shù)據(jù)傳輸。此外，不能排除它將在幾年后再次被歐洲法院宣布無(wú)效，因?yàn)殡[私維權(quán)人士已經(jīng)宣布他們將再次從法律上挑戰(zhàn)它。另一方面，經(jīng)合組織宣言的范圍應(yīng)該是全球性的，但局限于各國(guó)政府的一般原則，這在實(shí)踐中可以有截然不同的解釋。

這就是為什么，除了這些努力之外，我們還需要一個(gè)穩(wěn)定的、包含具體隱私保護(hù)要求的多邊框架，不能被單方面宣布無(wú)效。一個(gè)單一的全球認(rèn)證體系架構(gòu)應(yīng)該足以使參與的公司在全球參與國(guó)之間安全轉(zhuǎn)移個(gè)人數(shù)據(jù)。新興的全球跨境隱私規(guī)則（CBPR）認(rèn)證已經(jīng)得到了一些地區(qū)的支持，在這方面看起來(lái)很有前景。

歐洲政策制定者最終需要決定是否要繼續(xù)走目前的道路，這可能會(huì)讓歐洲成為一個(gè)數(shù)據(jù)孤島。或者，歐盟可以修改其隱私法規(guī)，以防止歐洲許多國(guó)家和地區(qū)的數(shù)據(jù)保護(hù)機(jī)構(gòu)以脫離現(xiàn)實(shí)的方式解釋它。這樣還可以使其與基于共同價(jià)值觀和相互信任的全球跨境數(shù)據(jù)流動(dòng)框架之間具有相互操作性。

Cloudflare將繼續(xù)與全球政策制定者積極接觸，以提高對(duì)我們行業(yè)面臨的實(shí)際挑戰(zhàn)的意識(shí)，并致力于制定一個(gè)可持續(xù)的政策解決方案，實(shí)現(xiàn)開(kāi)放和互聯(lián)的互聯(lián)網(wǎng)，使其更私密和安全。

數(shù)據(jù)隱私日為我們所有人提供了一個(gè)獨(dú)特的機(jī)會(huì)，來(lái)慶祝迄今為止在保護(hù)用戶(hù)在線(xiàn)隱私方面取得的重大進(jìn)展。與此同時(shí)，我們應(yīng)該利用這一天來(lái)反思如何調(diào)整或執(zhí)行相關(guān)法規(guī)，以更有意義地保護(hù)隱私，特別是優(yōu)先使用安全和隱私增強(qiáng)技術(shù)，而不是那些損害經(jīng)濟(jì)、卻沒(méi)有隱私安全保障益處的一味盲目禁止的手段。