数据治理

从苹果ATT新政第一年,看全球数据主权之争与治理规则的变迁

行业前沿 算力智库 2022/05/05 08:00

一年前的4月份,苹果正式推行ATT政策,即全新的隐私防护措施——应用程序跟踪透明度(App Tracking Transparency,简称ATT)

ATT要求应用程序必须获得用户的许可才能收集信息,用户更新该版系统后,可在App Store里查看App可以获取哪些信息。

ATT政策的作用,在于将这个“编号标记”的过程,从默认实行,转变为了弹框提醒,不少朋友可能已经看到过类似弹窗,允许或不允许,全凭用户自行决定。 



因此政策,全球数十万款App因不符合该限制而下架,其中不乏中国企业开发App的身影;苹果此举无疑昭示着“全球数据安全革命”的开端,虽自我开刀,但却是面临全球数据强监管时代下的积极谋变,与此同时,谷歌也在通过响应这一趋势,初步实现大型云服务厂商建立起的 “隐私安全合规墙”。

互联网巨头们的隐私行动,是顺势而为,背后折射出的是全球数据治理的坚挺信号和各国数据主权的博弈,而个人信息与隐私已成为关键因子。


美欧隐私“战争”——数据隐私协议的变迁

苹果和谷歌公司等美国云服务巨头厂商此举,无疑是对当下“保护用户隐私”强烈呼声的一次正面回应。2020年7月16日,欧盟法院针对Schrems II案作出判决,以美国的情报监控计划不利于数据保护为由,判决欧盟与美国达成的用于跨大西洋传输个人数据的“隐私盾(Privacy Shield)”协议因违反欧盟《通用数据保护条例》(GDPR)而无效。至此,自2016年7月12日通过欧盟充分性认定的《隐私盾》协议历时4年正式下台,美欧之间的企业数据传输及数据保护合作进入寒冬期,针对美国“可能在缺乏严格、必要的条件下获取个人数据”的数据安全评价成为一种长期印象。此后美国企业虽适用标准合同条款(SCCs,Standard Contractual Clauses)作为跨境数据传输的依据,但在数据隐私保护非营利组织NOYB(Non Of Your Business)不断发起对美国传输数据的投诉后,SCCs的有效性屡遭欧洲数据部门的调查与质疑。而时隔一年多后,2022年3月25日,欧盟委员会主席冯德莱恩与美国总统拜登在记者会上表示,欧盟与美国就跨大西洋数据传输的新框架达成了原则性协议,承诺建立全新的跨大西洋数据隐私框架。这也意味着在Schrems II案后,欧盟法院认定“、中国企业普遍采用签署的标准合同条款(“SCC”)受到挑战的情况下,美欧打破数据领域内的尖锐对立格局,致力于形成新的数据传输合作方案。

美国方面对数据传输的保护已作出更高标准的承诺,包括:

(1)积极方面,将加强管理美国信号情报活动所涉及的隐私保护和公民数据自由保障,实施全面改革,加强对信号情报活动的严格管理、分层监督,确保情报活动与所追求的安全目标相称;

(2)消极方面,遵从一系列开展情报活动的限制,为欧盟提供认为美情报活动侵犯隐私权利的救济渠道,形成可补救的机制。此类承诺表达了美国对隐私保护双向制度构建的想法。而欧盟也对此表示,此项协议将会使得数据传输实现可预测和值得信赖的结果。

此举为大西洋两岸的合作企业数据传输的现存问题提供了颇有希望的解决思路。就在今年2月,法国国家数据保护机构CNIL向一家地方网站发出正式通知,认为其使用Google Analytics的行为违反了欧盟GDPR,因其使用了此软件来跟踪内容性能和页面访问。CNIL表示,这一工具使用个人数据并向美国传输时,并未遵守欧洲的法规,美国情报机构仍由访问大量隐私数据的可能性,而美国并没有同等效力的隐私保护措施。无独有偶,今年2月,社交媒体公司Meta Platform(前Facebook U.S.)也因不存在有效的数据传输协议而公开表示,如果不能基于现有的或新的数据传输协议,公司可能因此停止旗下社交网络Facebook与Instagram在欧洲的运营。类似的企业数据流动过程中出现的合规问题表明,此前实践中广泛存在着“隐私盾”协议无效后的立法缺口,而在CNIL表示“如果数据控制者确保不存在非法传输,将被获准享有豁免权”的一个月后,经过了困扰云服务厂商的法律“空窗期”,本月末,美欧再次基于数据传输的隐私保护问题达成初步战略协议,但基于当下的协议仍处于政治公告的状态,其可分析文本尚待几个月才可起草,此次协议的落地结果如何仍未可知。美方政治承诺的非文本性质带来的不确定性,也使得欧洲方面对此次合作表示担忧。NOYB对此框架的初步表态为,美国国内的《涉外情报监控法》仍对欧美之间的数据跨境传输有着隐私方面的威胁。NOYB希望美方可以“在几个月内通过民事诉讼和初步禁令等方式,将任何不符合欧盟法律要求的新协议提交至欧洲法院。如果协议明显违反了之前的判决,欧洲法院甚至可以采取初步行动。”


欧盟数据立法体系 ——隐私保护的“金字塔”

在GDPR的隐私保护框架下,欧盟于2020年12月公布了两项针对数字服务市场的立法提案——《数字服务法案》(Digital Services Act,DSA)与《数字市场法案》(Digital Market Act,DMA),用于为消费者及其数据权利提供更高强度的保护,为在线网络平台搭建起严格保护的高墙监管机制,被称作欧盟迄今为止“最严格”的数字监管法案。DSA第二章明确规定了数据中介服务提供商的严格责任豁免条件——除提供“纯传输服务(第3条)”、“缓存(第4条)”以及“托管服务(第5条)”外,提供商对其传输和储存第三方信息的行为均不能免除责任;法案第三章规定了所有数字服务提供商应当维护透明、安全在线环境的勤勉尽责义务,包括针对违反欧盟法律的内容及行为“限制责任并采取行动执行限制的义务(第12条)”、“删除和禁用的义务(第13条)”;此外,第三章第4节针对超大型在线网络平台,规定了管理系统风险的义务,此类平台必须对其引起的系统性风险进行定期评估、选任合规官进行自我审查、如实报告,同时应当接受外部监督及独立审核。这一法案的提出,已使上述所及的美国互联网科技巨头在数据合规领域投入了更多精力,对非法内容进行处理,否则他们将面临最高等同于全球营业额6%的巨额罚款。

与DSA相区别,DMA针对的即是更明确的谷歌、亚马逊、苹果公司、Meta和微软等美国云服务巨头。法案强调,许多大型平台为终端用户和企业用户的大部分交易提供中介服务,由渠道逐渐发展成为重要渠道、甚至是“守门人”,也因此形成并加剧了行业准入壁垒,“对数字市场准入的实质性控制产生了重大且根深蒂固的影响”——行业一旦依赖这些“守门人”,他们便势必会对用户实施不公平行为,而DMA便是出于对维持市场稳定、良好运行的考虑,对特定的数字服务(核心平台服务)实行严格监管。具体而言,法案第三章列举了“守门人”限制竞争性和不公平的实践,基于此进一步规定了守门人应当遵守的相应义务及豁免情形,并建立起“守门人”被任命后与DMA法规委员会及时对话的框架机制。法案第四章提供了进行市场调查的程序要求和规则,确保对守门人的任命、不合规实践的调查都基于统一标准的框架,便于法案正式出台后的执行。第五章则提供了具体实施和执行层面具有指向性的细则。

此次跨大西洋数据隐私框架便是对欧盟两部严格升级的立法的一次制度性回应。欧盟方在声明中强调,将与美国政府继续就这一协议积极开展合作,以期尽早将这一安排转化为双方可以通过的法律文件。而依据欧盟数据立法的整体框架,美国的承诺需要充分尊重欧盟现有的数据法律文件,其对数据隐私保护的监控应当符合欧盟DSA与DMA中对数据传输主体、尤其是大型服务提供商的相应要求。


对我国有何启示?

针对数据云服务厂商的国内外合规要求,是当下数据隐私被高度重视的时代不能忽视的一项重要命题。美欧合作的经验表明,跨境数据流动合规的制度建立是数字经济时代各国各区域建立长效稳定合作的基石。我国《个人信息保护法》《数据安全法》《网络安全法》《网络安全审查办法》对此次《跨大西洋数据隐私协议》中美国所承诺的网络安全监测等内容、对欧盟法案中数据安全定期风险评估等要求,皆有不同程度的对应性。但我们也应当意识到,在数据服务监管平台隐私保护要求日趋严格的当下,实现充分高标准的数据合规自查、通过形成完善的自查规范体系以应对数据企业跨境数据传输的现实要求、从而推动数字经济背景下充分的交流与合作,是《跨大西洋数据隐私协议》发出的初步信号。(本文作者:车晓轩)