2023年7月10日，欧盟委员会宣布《欧美数据隐私框架》（EU-US Data Privacy Framework）通过了基于《通用数据保护条例》（General Data Protection Regulation，简称GDPR）的“充分性认定”，取代了2020年被欧盟单方面裁定无效的“隐私盾”（Privacy Shield）协议。这是继2000年“避风港”（Safe Harbor）协议以来，欧盟与美国针对数据跨境流动议题达成的第三份协议，是双方在数据治理博弈上的集中体现。

两种数据治理思路在持续博弈与妥协中发展

在GDPR出台之前，欧盟将1995年制定的《数据保护指令》（简称“95指令”）第25条作为评估数据跨境流动的法律依据，即只有当某一国家／地区的数据保护标准通过该法条的“充分性保护水平”（Adequate Level of Protection）认定后，才能与欧盟实现数据自由流动。从那时起，欧盟将“充分性认定”作为数据（信息）跨境传输的基本准则。美国方面一直主张数据（信息）自由流动，认为各国监管部门不得在该议题上设置障碍。为了解决这一争议，双方在2000年达成了“避风港”协议。根据该协议，凡是通过欧盟“充分性认定”的实体可以加入美国商务部下设的公共目录成为“避风港”的一员，进而拥有跨境数据转移资格。由此可见，“避风港”协议既满足了欧盟“充分性认定”要求，又体现了美国的数据自由流动主张，是两种数据治理思路博弈和妥协的产物。

进入21世纪第二个十年，双方要求修订“避风港”协议的呼声日益高涨。“欧洲2020战略”中的“欧洲数字议程”旨在推进欧盟数字化进程，实现内部数据资源共享。因此，一些人士认为美国科技公司根据“避风港”协议进行大量的数据跨境转移是对欧盟公民隐私完整性的破坏，不利于欧洲数字议程相关目标的实现。美国内部也有声音认为，一些机构由于加入“避风港”协议导致不能在欧美之间进行数据自由传输，影响其业务开展。因此，双方认为有必要尽快通过修订“避风港”协议来解决分歧。2013年斯诺登曝光的“棱镜门事件”加速了这一进程，双方在2015年10月完成了主要谈判，并在2016年达成了“隐私盾”协议。加入“隐私盾”的美国科技公司都必须“自我证明”（self-certify）遵守协议的隐私规则，遵守“稳健义务”，欧盟公民发现个人数据被滥用后可以向欧盟数据监察专员发起申诉，欧盟官方也可以投诉至美国商务部。

“隐私盾”的达成并不意味着双方分歧的终结。在“施雷姆斯VS脸书”（Max Schrems vs Facebook）一案的影响下，欧洲法院在2020年7月裁定“隐私盾”协议无效。欧方认为，联邦调查局等美国情报机构存在超出“必要限度”采集欧盟公民数据的行为，这一过程缺乏透明；一旦欧盟公民的个人数据传输至美国，“隐私盾”无法为数据主体提供充分的救济措施。这些争议成为双方数据跨境流动开展新一轮谈判的焦点。

框架迭代赋予“合格国家”公民更多救济权利

《欧美数据隐私框架》由两部分组成，一部分是《隐私框架原则》（Privacy Framework Principles），另一部分是2022年10月美国总统拜登签署的14086号行政令：《加强美国信号情报活动保障》（Enhancing Safeguards for United States Signals Intelligence Activities，即Executive Order 14086）。《隐私框架原则》继承了“隐私盾”的七项原则，包括通知，用户选择，向外转移问责，安全性，数据完整和目的限制，访问权，追溯、执行和责任，此外还包括敏感数据转移、新闻例外、尽职调查和审计等补充原则。可以说，《隐私框架原则》和《隐私盾》原则的差异极小，凡是已经参与《隐私盾》的实体都能无缝衔接《隐私框架原则》。

《数据隐私框架》的亮点是14086号总统行政令。根据该项命令，美国情报机构对欧盟公民数据的获取和使用必须限制在特定“合法目标”，包括军事评估、跨国威胁、防范网络威胁等。该文件还为数据主体设计了一个权利救济机制：凡是“合格国家”（Qualifying State）的公民发现个人数据遭遇侵犯后，都可以通过该行政令的流程向美方提出申诉。首先是个人向国家情报总监办公室（Office of the Director of National Intelligence，简称ODNI）下属的“公民自由保护官”（Civil Liberties Protection Officer，简称CLPO）发起申诉，由CLPO审查美国情报机构是否存在违规行为，并根据审查结果采取相关措施。如果申诉人不接受该结果，可以向美国司法部设立的“数据保护审查法庭”（Data Protection Review Court，简称DPRC）提起上诉。DPRC根据上诉内容进行调查，判断情报机构是否存在越权行为并采取进一步行动。如果调查发现越权采集个人数据的行为属实，这些数据将被下令删除。在此过程中，DPRC应当通过该流程选择一名“特别辩护人”协助再审。特别辩护人应当充分主张申诉人的权益，同时确保DPRC成员充分了解与该事项相关的问题和法律程序。需要注意的是，特别辩护人和申诉人的关系不同于一般的律师和当事人关系，而是帮助作为非美国公民的个人数据主体充分知晓其相关权益，帮助其完成申诉流程。相比“隐私盾”规定的“欧盟数据监察专员”投诉机制，这份总统行政令“合格国家”中的救济机制更加完善，赋予了个人数据主体更多权利，美方也要承担更多义务。

数据治理“外紧内松”或催生新变化

在没有对《隐私盾》原则做重大调整的基础上，《欧美数据隐私框架》回应了欧盟在施雷姆斯案中的诉求。近年来，欧盟发布了《塑造欧洲数字未来》（Shaping Europe's Digital Future）、《欧洲数据战略》（European Data Strategy）等纲领性文件，制定了《数字市场法案》（Digital Market Act）、《数字服务法案》（Digital Service Act）等法律，反映了其内部强化数据主权、获取数据资源、推动数字化进程的愿望。通过这种“外紧内松”的数据治理思路，欧盟一方面希望加强内部的数据资源整合，另一方面希望严控数据流向域外。面对大量数据资源流向美国这一现实，欧盟希望通过修订协议的方式规范美国机构获取数据的流程，尽最大可能保护欧盟的商业利益和公民个人权益。这是欧盟废止“隐私盾”、希望与美方达成新协议的初衷。美国需要作为盟友的欧盟在全球数字治理议题上予以配合，且硅谷科技公司在欧盟拥有巨大的商业利益，因此有必要在数据跨境流动议题上做出一定让步。欧盟委员会主席冯·德莱恩和美国总统拜登在公开场合和声明中谈及该项谈判，反映了双方高层对这一议题的重视。

不过，《欧美数据隐私框架》的达成并不意味着双方数据治理博弈的结束。这份协议确定的救济机制依然是美国政府内部的单方面行为。一旦美方以“国家安全信息”事项为理由驳回申诉人请求，欧盟公民的个人数据权利主张很难实现。从趋势来看，欧盟依然会通过立法和政策手段来加强数据资源管控，欧美的数据治理博弈也将延续，并随着全球数字治理态势的变化而催生新的议题。中国可以从双方的博弈过程中获得启示，为主导或加入数据跨境流动相关的国际协议获取经验，从中探究全球数字治理博弈的方向。

（作者系中国信息通信研究院产业与规划研究所工程师）