欧盟废止“安全港”协议

欧盟最高法院6日做出判决，因无法充分保证欧洲公民的数据隐私，欧盟与美国于2000年签订的“安全港”协议被裁定无效并予以撤销。包括Google、Face book、Microsoft在内的超过4500家企业不得不面临重大挑战——除非得到其他保护，否则欧洲用户数据被禁止流向美国。

跨境数据流动面临的一个基本困境便是，不同国家监管水平会带来激烈的制度冲突。就欧美而言，欧洲强调公民数据隐私的充分保护，并于1995年通过了《个人数据采集和传输行为保护指令》，明确禁止向尚未建立充分的数据隐私权保护法律的国家传输数据。相比之下，美国的保护水平要薄弱不少，数据隐私的监管权力分散于若干政府机构之中，且缺乏综合性规制的法律体系。“安全港”协议便是调和欧美监管制度冲突的产物。在“安全港”协议之下，美国国内监管制度无须做出任何调整，只需美国企业承诺签署该协议，并接受欧盟的隐私保护条款，欧洲数据即可在欧美间自由流动。

但问题在于，美国企业的“承诺”真的能保护欧洲公民的数据隐私吗？2013年斯诺登事件曝光后，奥地利人Max Schrems向爱尔兰监管机构提起诉讼，指控Fac ebook向美国政府提供了欧洲公民的相关数据，从而未能对数据隐私进行充分保护。2014年该案被移至欧盟最高法院，并最终于一年后做出以上判决。

欧盟最高法院在判决书中指出，“美国的国家安全、公共利益和执法需求都优先于‘安全港’协议，从而使得企业在面对上述情况时，势必会漠视‘安全港’协议中的隐私保护条款。‘安全港’协议并不能约束政府机构的数据审查行为，不能起到充分保护欧洲公民隐私的作用，因而它是无效的。”

“安全港”协议被废除后，欧美跨境数据流动的未来应该走向何方？一方面，欧美已经就如何达成新的跨境数据流动协议展开谈判，但鉴于二者规制水平及制度传统的巨大差异，新协议并不会在短期内达成。另一方面，美国企业可以在欧洲设立存储服务器，将数据“留”在欧洲以继续其商业活动。事实上，包括Google、Face book、Microsoft都已在欧洲设立数据中心。

后一种做法同样问题重重，微软公司告美国司法部一案即是证明。司法部为搜查某涉毒人员的电子邮件信息向微软公司索要相关数据，但该数据却存放在位于爱尔兰的数据中心。微软因此认为司法部无权以美国搜查令的形式向其提出数据搜查要求，爱尔兰政府同时也认为应该通过国际协议的形式提供数据。但与此针锋相对的是，美国司法部却认为其有权向总部位于美国境内的任何企业索要该企业用户的电子邮件内容，无论其数据是否存放在美国境内。该案刚刚于上月举行了第二次听证会，美国第二巡回法庭最早将于今年10月做出判决。

跨境数据的自由流动是互联网全球化的基础，如何解决在此过程中的规制冲突是当务之急。更本质的问题还在于如何平衡发展需求与公民隐私权利保护的矛盾，而这一点同样需要更多的探索及关注。