随着我们的社会和经济日益依赖于数字技术,在互联网上共享和转移包括个人数据在内的数据资产的需求也越来越大。跨境数据流动对国际贸易和全球经济发展至关重要。事实上,如果没有互联网的开放和全球架构以及数据跨越国界的能力,全球经济的数字化转型就不可能发生。正如我们在之前相关的博客文章中所指出那样,数据本地化并不一定能改善数据隐私。事实上,如果我们能够跨境传输数据,那么数据安全,乃至隐私将真正受益。因此,随着“数据隐私日(Data Privacy Day)”到来,我们想借此机会深入探索当前个人数据从欧盟转移到美国的环境(其受《通用数据保护条例》(GDPR)管治)。展望未来,我们将努力建立一个更稳定的全球跨境数转移框架,这对一个开放、更安全、更私密的互联网将是至关重要的。
跨境数据流动的隐私与安全挑战
在过去十年中,我们观察到世界各地有一种日益增长的趋势,对互联网进行限制,并对国际数据流动,特别是个人数据流动设置了一系列的新的障碍。在某些情况下,这导致用户的数字产品和服务选择减少,性能变差。在其他情况下,这限制了对信息的自由访问,而且——矛盾的是——在某些情况下,这甚至导致了更差的数据安全和隐私,违背了数据保护法规的根本宗旨。这些令人担忧的发展有多方面的动机(难以规避的地缘政治因素),到主张国家安全,再到寻求经济自决。
在欧盟,过去几年里,即使是最注重隐私的公司(例如Cloudflare)也面临着来自一些强硬派数据保护机构、隐私维权人士和其他人的连串猜测和担忧,即美国云服务提供商处理的数据是否确实能够以遵从GDPR的方式进行处理。通常,这些担忧是纯粹的条文主义,没有考虑到与特定数据传输相关的实际风险,以及在Cloudflare的案例中,我们的服务对数百万欧洲互联网用户的安全和隐私做出的重要贡献。事实上,欧洲数据保护委员会(EDPB)的官方指南已经确认,欧盟的个人数据仍然可以在美国处理,但自从欧洲法院在2020年的Schrems II判决中暂停“隐私盾”(Privacy Shield)框架以来,这已经变得相当复杂:数据控制人必须使用合法的转移机制,如欧盟标准合同条款,以及大量额外的法律、技术和组织保障措施。
然而,对于这些措施是否充分,最终是由主管数据保护当局通过逐案解释决定的。由于这些案例通常相当复杂,每个案例都是不同的,而且仅在欧洲就有45个数据保护机构,这种做法无法扩展。此外,当涉及到第三国转移时,数据保护机构——有时甚至在同一个欧盟国家(德国)——对法律的解释上都存在分歧。当涉及到实际的法院裁决时,根据我们的经验,法院在数据保护方面往往比数据保护机构更加务实和平衡。但是,数据保护案件在法庭上获得裁决需要很长时间和大量资源。这对那些无法承受漫长法律诉讼的小企业来说尤其成问题。因此,来自数据保护机构的巨额罚款这一理论上的威胁也许已经产生足够的威慑,让他们完全停止使用涉及第三国数据转移的服务,即使这些服务为他们处理的个人数据提供了更好的安全和隐私,并使他们更有效率。这显然不符合欧洲经济的利益,也很可能不是政策制定者在2016年采用GDPR时的初衷。
好消息是:希望已经出现
虽然最近的事态发展不会解决上述所有挑战,但在去年12月,经过多年的复杂谈判,国际政策制定者采取了两项重要步骤,以恢复与个人数据跨境流动有关的法律确定性和信任决策。
2022年12月13日,欧盟委员会公布了期待已久的初步评估:欧盟将认为按照未来的欧盟-美国数据隐私框架(DPF)从欧盟转移到美国的个人数据在美国享有足够的保护水平。虽然欧盟委员会的初步评估只是欧盟批准程序的开始,该程序预计需要4-6个月,但专家们非常乐观地认为,它最终将被采纳。
仅仅一天后,美国与其他37个经合组织(OECD)成员国和欧盟达成了一项史无前例的协议,通过阐明在政府以国家安全和执法为由访问私人实体持有的个人数据时,保护隐私及其它人权和自由的共同保障原则,增强法治民主体系之间跨境数据流动的信任。如果法律框架要求跨境数据流动受到保障,例如欧盟GDPR的情况下,参与者同意“考虑目的地国有效实施这些原则,作为应用这些规则对促进跨境数据流动的积极贡献。”(值得注意的是,与Cloudflare帮助建立一个更好的互联网的使命一致,经合组织宣言回顾了成员国对“全球、开放、可访问、互联、互操作、可靠和安全的互联网”的共同承诺。
未来:真正的全球性隐私框架
欧盟-美国DPF和经合组织宣言是相辅相成的,两者都标志着在拥有民主和法治、保护隐私及其它人权和自由等共同价值观的国家之间恢复对跨境数据流动的信任的重要步骤。然而,这两种方法都有自己的局限性:DPF仅限于从欧盟到美国的个人数据传输。此外,不能排除它将在几年后再次被欧洲法院宣布无效,因为隐私维权人士已经宣布他们将再次从法律上挑战它。另一方面,经合组织宣言的范围应该是全球性的,但局限于各国政府的一般原则,这在实践中可以有截然不同的解释。
这就是为什么,除了这些努力之外,我们还需要一个稳定的、包含具体隐私保护要求的多边框架,不能被单方面宣布无效。一个单一的全球认证体系架构应该足以使参与的公司在全球参与国之间安全转移个人数据。新兴的全球跨境隐私规则(CBPR)认证已经得到了一些地区的支持,在这方面看起来很有前景。
欧洲政策制定者最终需要决定是否要继续走目前的道路,这可能会让欧洲成为一个数据孤岛。或者,欧盟可以修改其隐私法规,以防止欧洲许多国家和地区的数据保护机构以脱离现实的方式解释它。这样还可以使其与基于共同价值观和相互信任的全球跨境数据流动框架之间具有相互操作性。
Cloudflare将继续与全球政策制定者积极接触,以提高对我们行业面临的实际挑战的意识,并致力于制定一个可持续的政策解决方案,实现开放和互联的互联网,使其更私密和安全。
数据隐私日为我们所有人提供了一个独特的机会,来庆祝迄今为止在保护用户在线隐私方面取得的重大进展。与此同时,我们应该利用这一天来反思如何调整或执行相关法规,以更有意义地保护隐私,特别是优先使用安全和隐私增强技术,而不是那些损害经济、却没有隐私安全保障益处的一味盲目禁止的手段。
市场概况: 2020年是新冠疫情爆发的一年,全球各国的经济也因此出现了不同程度的衰退,但好消息是,与世界其他地区相比,东南亚地区依然保有强劲的经济活力和潜力。根据亚洲开发银行(ADB)的调查显示,东南亚地区2020年经济下滑仅为3.8%——相比之下,经合组织(…
码刀科技(www.lekshop.cn)是国内知名企业级电商平台提供商,为企业级商家提供最佳的电商平台搭建(多种模式电商平台搭建:B2B/B2B2C/B2C/O2O/新零售/跨境等)、平台管理系统开发及互联网采购解决方案服务, 联系客服了解更多.
