致力于建立跨境數(shù)據(jù)流動和隱私安全保護的全球框架

隨著我們的社會和經(jīng)濟日益依賴于數(shù)字技術(shù)，在互聯(lián)網(wǎng)上共享和轉(zhuǎn)移包括個人數(shù)據(jù)在內(nèi)的數(shù)據(jù)資產(chǎn)的需求也越來越大?？缇硵?shù)據(jù)流動對國際貿(mào)易和全球經(jīng)濟發(fā)展至關(guān)重要。事實上，如果沒有互聯(lián)網(wǎng)的開放和全球架構(gòu)以及數(shù)據(jù)跨越國界的能力，全球經(jīng)濟的數(shù)字化轉(zhuǎn)型就不可能發(fā)生。正如我們在之前相關(guān)的博客文章中所指出那樣，數(shù)據(jù)本地化并不一定能改善數(shù)據(jù)隱私。事實上，如果我們能夠跨境傳輸數(shù)據(jù)，那么數(shù)據(jù)安全，乃至隱私將真正受益。因此，隨著“數(shù)據(jù)隱私日（Data Privacy Day）”到來，我們想借此機會深入探索當(dāng)前個人數(shù)據(jù)從歐盟轉(zhuǎn)移到美國的環(huán)境（其受《通用數(shù)據(jù)保護條例》（GDPR）管治）。展望未來，我們將努力建立一個更穩(wěn)定的全球跨境數(shù)轉(zhuǎn)移框架，這對一個開放、更安全、更私密的互聯(lián)網(wǎng)將是至關(guān)重要的。

跨境數(shù)據(jù)流動的隱私與安全挑戰(zhàn)

在過去十年中，我們觀察到世界各地有一種日益增長的趨勢，對互聯(lián)網(wǎng)進行限制，并對國際數(shù)據(jù)流動，特別是個人數(shù)據(jù)流動設(shè)置了一系列的新的障礙。在某些情況下，這導(dǎo)致用戶的數(shù)字產(chǎn)品和服務(wù)選擇減少，性能變差。在其他情況下，這限制了對信息的自由訪問，而且——矛盾的是——在某些情況下，這甚至導(dǎo)致了更差的數(shù)據(jù)安全和隱私，違背了數(shù)據(jù)保護法規(guī)的根本宗旨。這些令人擔(dān)憂的發(fā)展有多方面的動機（難以規(guī)避的地緣政治因素），到主張國家安全，再到尋求經(jīng)濟自決。

在歐盟，過去幾年里，即使是最注重隱私的公司（例如Cloudflare）也面臨著來自一些強硬派數(shù)據(jù)保護機構(gòu)、隱私維權(quán)人士和其他人的連串猜測和擔(dān)憂，即美國云服務(wù)提供商處理的數(shù)據(jù)是否確實能夠以遵從GDPR的方式進行處理。通常，這些擔(dān)憂是純粹的條文主義，沒有考慮到與特定數(shù)據(jù)傳輸相關(guān)的實際風(fēng)險，以及在Cloudflare的案例中，我們的服務(wù)對數(shù)百萬歐洲互聯(lián)網(wǎng)用戶的安全和隱私做出的重要貢獻。事實上，歐洲數(shù)據(jù)保護委員會（EDPB）的官方指南已經(jīng)確認，歐盟的個人數(shù)據(jù)仍然可以在美國處理，但自從歐洲法院在2020年的Schrems II判決中暫?！半[私盾”（Privacy Shield）框架以來，這已經(jīng)變得相當(dāng)復(fù)雜：數(shù)據(jù)控制人必須使用合法的轉(zhuǎn)移機制，如歐盟標準合同條款，以及大量額外的法律、技術(shù)和組織保障措施。

然而，對于這些措施是否充分，最終是由主管數(shù)據(jù)保護當(dāng)局通過逐案解釋決定的。由于這些案例通常相當(dāng)復(fù)雜，每個案例都是不同的，而且僅在歐洲就有45個數(shù)據(jù)保護機構(gòu)，這種做法無法擴展。此外，當(dāng)涉及到第三國轉(zhuǎn)移時，數(shù)據(jù)保護機構(gòu)——有時甚至在同一個歐盟國家（德國）——對法律的解釋上都存在分歧。當(dāng)涉及到實際的法院裁決時，根據(jù)我們的經(jīng)驗，法院在數(shù)據(jù)保護方面往往比數(shù)據(jù)保護機構(gòu)更加務(wù)實和平衡。但是，數(shù)據(jù)保護案件在法庭上獲得裁決需要很長時間和大量資源。這對那些無法承受漫長法律訴訟的小企業(yè)來說尤其成問題。因此，來自數(shù)據(jù)保護機構(gòu)的巨額罰款這一理論上的威脅也許已經(jīng)產(chǎn)生足夠的威懾，讓他們完全停止使用涉及第三國數(shù)據(jù)轉(zhuǎn)移的服務(wù)，即使這些服務(wù)為他們處理的個人數(shù)據(jù)提供了更好的安全和隱私，并使他們更有效率。這顯然不符合歐洲經(jīng)濟的利益，也很可能不是政策制定者在2016年采用GDPR時的初衷。

好消息是：希望已經(jīng)出現(xiàn)

雖然最近的事態(tài)發(fā)展不會解決上述所有挑戰(zhàn)，但在去年12月，經(jīng)過多年的復(fù)雜談判，國際政策制定者采取了兩項重要步驟，以恢復(fù)與個人數(shù)據(jù)跨境流動有關(guān)的法律確定性和信任決策。

2022年12月13日，歐盟委員會公布了期待已久的初步評估：歐盟將認為按照未來的歐盟-美國數(shù)據(jù)隱私框架（DPF）從歐盟轉(zhuǎn)移到美國的個人數(shù)據(jù)在美國享有足夠的保護水平。雖然歐盟委員會的初步評估只是歐盟批準程序的開始，該程序預(yù)計需要4-6個月，但專家們非常樂觀地認為，它最終將被采納。

僅僅一天后，美國與其他37個經(jīng)合組織（OECD）成員國和歐盟達成了一項史無前例的協(xié)議，通過闡明在政府以國家安全和執(zhí)法為由訪問私人實體持有的個人數(shù)據(jù)時，保護隱私及其它人權(quán)和自由的共同保障原則，增強法治民主體系之間跨境數(shù)據(jù)流動的信任。如果法律框架要求跨境數(shù)據(jù)流動受到保障，例如歐盟GDPR的情況下，參與者同意“考慮目的地國有效實施這些原則，作為應(yīng)用這些規(guī)則對促進跨境數(shù)據(jù)流動的積極貢獻?！保ㄖ档米⒁獾氖?，與Cloudflare幫助建立一個更好的互聯(lián)網(wǎng)的使命一致，經(jīng)合組織宣言回顧了成員國對“全球、開放、可訪問、互聯(lián)、互操作、可靠和安全的互聯(lián)網(wǎng)”的共同承諾。

未來：真正的全球性隱私框架

歐盟-美國DPF和經(jīng)合組織宣言是相輔相成的，兩者都標志著在擁有民主和法治、保護隱私及其它人權(quán)和自由等共同價值觀的國家之間恢復(fù)對跨境數(shù)據(jù)流動的信任的重要步驟。然而，這兩種方法都有自己的局限性：DPF僅限于從歐盟到美國的個人數(shù)據(jù)傳輸。此外，不能排除它將在幾年后再次被歐洲法院宣布無效，因為隱私維權(quán)人士已經(jīng)宣布他們將再次從法律上挑戰(zhàn)它。另一方面，經(jīng)合組織宣言的范圍應(yīng)該是全球性的，但局限于各國政府的一般原則，這在實踐中可以有截然不同的解釋。

這就是為什么，除了這些努力之外，我們還需要一個穩(wěn)定的、包含具體隱私保護要求的多邊框架，不能被單方面宣布無效。一個單一的全球認證體系架構(gòu)應(yīng)該足以使參與的公司在全球參與國之間安全轉(zhuǎn)移個人數(shù)據(jù)。新興的全球跨境隱私規(guī)則（CBPR）認證已經(jīng)得到了一些地區(qū)的支持，在這方面看起來很有前景。

歐洲政策制定者最終需要決定是否要繼續(xù)走目前的道路，這可能會讓歐洲成為一個數(shù)據(jù)孤島。或者，歐盟可以修改其隱私法規(guī)，以防止歐洲許多國家和地區(qū)的數(shù)據(jù)保護機構(gòu)以脫離現(xiàn)實的方式解釋它。這樣還可以使其與基于共同價值觀和相互信任的全球跨境數(shù)據(jù)流動框架之間具有相互操作性。

Cloudflare將繼續(xù)與全球政策制定者積極接觸，以提高對我們行業(yè)面臨的實際挑戰(zhàn)的意識，并致力于制定一個可持續(xù)的政策解決方案，實現(xiàn)開放和互聯(lián)的互聯(lián)網(wǎng)，使其更私密和安全。

數(shù)據(jù)隱私日為我們所有人提供了一個獨特的機會，來慶祝迄今為止在保護用戶在線隱私方面取得的重大進展。與此同時，我們應(yīng)該利用這一天來反思如何調(diào)整或執(zhí)行相關(guān)法規(guī)，以更有意義地保護隱私，特別是優(yōu)先使用安全和隱私增強技術(shù)，而不是那些損害經(jīng)濟、卻沒有隱私安全保障益處的一味盲目禁止的手段。