2015年10月6日,歐盟最高法院裁定自2000年以來的美歐“安全港”框架協(xié)議無效事件,猶如颶風(fēng)一般橫掃全球。而在此之前,“安全港”協(xié)議允許美國(guó)的互聯(lián)網(wǎng)科技公司可以在最小監(jiān)督下傳輸、儲(chǔ)存、使用和處理歐盟成員國(guó)公民的數(shù)據(jù)。
這聽起來有點(diǎn)不太靠譜,不過仔細(xì)研究一下“安全港”協(xié)議的條款你會(huì)發(fā)現(xiàn),只要美國(guó)的互聯(lián)網(wǎng)科技公司在自律的情況下堅(jiān)持以下七個(gè)“安全港”原則,一般來講該協(xié)議還是在可接受范圍之內(nèi)的:
告知原則——網(wǎng)站須告知用戶收集了什么信息、誰在收集信息,以及為什么要收集該信息;選擇原則——允許用戶選擇是否允許自己的信息被網(wǎng)站收集;傳播原則——允許用戶選擇是否允許自己的信息向第三方進(jìn)行傳播;訪問原則——允許用戶有權(quán)更正、修改或刪除自己的數(shù)據(jù);安全原則——網(wǎng)站必須保障用戶數(shù)據(jù)得到安全保護(hù);數(shù)據(jù)完整性原則——網(wǎng)站所收集的數(shù)據(jù)必須與收集數(shù)據(jù)的目的相關(guān)聯(lián);強(qiáng)制合規(guī)原則——網(wǎng)站所收集的用戶數(shù)據(jù)結(jié)構(gòu)必須通過“安全港”合規(guī)驗(yàn)證。“安全港”協(xié)議制定的初衷有著雙重目的,既保護(hù)歐盟成員國(guó)公民的隱私,同時(shí)又允許用戶數(shù)據(jù)流從歐盟向美國(guó)的互聯(lián)網(wǎng)科技公司流動(dòng)。而如今,“安全港”協(xié)議已經(jīng)成為歷史。早期的傳言表明,“安全港”協(xié)議還會(huì)變相回歸,不過回歸的時(shí)間表尚且未知,估計(jì)最早也要等到2016年下半年了。
未知水域未雨綢繆
為了更好地理解在“安全港”回歸之前的這段日子里應(yīng)該如何應(yīng)對(duì),以及當(dāng)“安全港”回歸時(shí)又該如何繼續(xù)“航行”我們必須要回顧一下“安全港”崩塌的兩大主要原因:一、美國(guó)安全事務(wù)局在和“安全港”數(shù)據(jù)隱私原則的對(duì)決中取得了勝利;二、國(guó)家數(shù)據(jù)保護(hù)部門必須傾聽公民投訴,并有權(quán)停止數(shù)據(jù)傳輸。
盡管歐盟最高法院已經(jīng)明確做出裁決,但美國(guó)商務(wù)部依然行使著對(duì)“安全港”項(xiàng)目的管理權(quán),并發(fā)表網(wǎng)站聲明稱:
在當(dāng)前快速變化的國(guó)際環(huán)境中,美國(guó)商務(wù)部將繼續(xù)管理“安全港”項(xiàng)目,包括對(duì)向“安全港”框架提交的自認(rèn)證申請(qǐng)的處理工作。如果您有問題,請(qǐng)與歐盟委員會(huì)聯(lián)絡(luò),也可向歐洲的國(guó)家數(shù)據(jù)保護(hù)機(jī)構(gòu)或法律顧問機(jī)構(gòu)進(jìn)行咨詢。
所以就目前而言,美國(guó)選擇無視“安全港”協(xié)議失效對(duì)美國(guó)互聯(lián)網(wǎng)科技公司的影響,認(rèn)為這不過是夸大其實(shí)。實(shí)際上講,任何未來的雙邊“安全港”計(jì)劃都必須協(xié)調(diào)底層問題,最主要的是歐盟將不會(huì)接受以“美國(guó)國(guó)家安全問題”為由踐踏歐盟公民的隱私。
盡管“安全港”協(xié)議被裁定無效,但很有可能還會(huì)以類似“安全港”補(bǔ)充協(xié)議的形式再次出現(xiàn),協(xié)議中有可能會(huì)規(guī)定所有政府將必須在特定情況下(如法院裁決)才能獲取歐盟公民的數(shù)據(jù)。換句話說,“安全港”協(xié)議的失效事件并不能給企業(yè)提供過多的指導(dǎo)意見,但對(duì)于未來可能出現(xiàn)的狀況,應(yīng)該引起企業(yè)足夠的警覺。
另一方面,事件肯定會(huì)導(dǎo)致實(shí)質(zhì)性變化,各公司可以在這方面著手應(yīng)對(duì)。至少,任何類似“安全港”的補(bǔ)充協(xié)議,都將涉及到數(shù)據(jù)收集地的數(shù)據(jù)保護(hù)部門,各公司必須遵守?cái)?shù)據(jù)保護(hù)部門的具體規(guī)則和投訴程序。
國(guó)家數(shù)據(jù)保護(hù)部門和跨國(guó)公司
受此裁決影響的任何公司首先要做的就是要對(duì)其控制或處理的數(shù)據(jù)所屬國(guó)進(jìn)行審計(jì)。因?yàn)檫@些國(guó)家中的每一個(gè)國(guó)家,都將認(rèn)為你理所應(yīng)當(dāng)遵守每個(gè)國(guó)家數(shù)據(jù)保護(hù)部門的當(dāng)?shù)卣吆鸵?guī)程,并且會(huì)對(duì)必須發(fā)生的操作是否更改進(jìn)行驗(yàn)證。
接下來,審計(jì)即將簽署的替代協(xié)議,保證采用了信息部的公司與公司協(xié)議的示范條款以及適用于跨國(guó)公司進(jìn)行數(shù)據(jù)傳輸?shù)男畔⒉繗w口操作法則。至于歸口操作法則,各公司最好申請(qǐng)并獲得每個(gè)數(shù)據(jù)收集地?cái)?shù)據(jù)保護(hù)部門的批準(zhǔn)。
比方說,一家在四個(gè)歐盟成員國(guó)中收集保險(xiǎn)數(shù)據(jù)的跨國(guó)公司,但所有收集來的保險(xiǎn)索賠數(shù)據(jù)都要在美國(guó)的分支機(jī)構(gòu)進(jìn)行處理,那么這種情況下,這家公司就可能需要這四個(gè)歐盟成員國(guó)的每個(gè)數(shù)據(jù)保護(hù)部門的歸口操作法則。
同樣的,如果數(shù)據(jù)處理公司并不是在公司內(nèi)部完成,而是由美國(guó)的第三方外包公司進(jìn)行承擔(dān)的話,歐盟和美國(guó)公司都需要確保服務(wù)協(xié)議中包含示范條款,以確保滿足歐盟數(shù)據(jù)保護(hù)方針的充分性標(biāo)準(zhǔn)。
理想情況下,各公司將不再完全依靠安全港自我認(rèn)證,而要使用另外的方法,保證數(shù)據(jù)傳輸?shù)淖銐虬踩鐨w口操作法則或示范條款。
不論你是否已經(jīng)采用了這些方法,你都應(yīng)該讓你的法務(wù)部門和管理團(tuán)隊(duì)忙活起來,立即制定計(jì)劃進(jìn)行審計(jì)、審查并糾正發(fā)現(xiàn)的問題。當(dāng)前環(huán)境可能會(huì)持續(xù)一段時(shí)間,但不會(huì)就這么無限期的持續(xù)下去。美歐雙方陷入僵局的談判,加上美國(guó)商務(wù)部認(rèn)為“安全港”協(xié)議仍然有效的立場(chǎng),將不可能在短時(shí)間內(nèi)出臺(tái)一分新的協(xié)議。
朱子云:宜未雨而綢繆,毋臨渴而掘井。歐盟沒準(zhǔn)還會(huì)興什么風(fēng),作什么浪呢。