從蘋果ATT新政第一年,看全球數(shù)據(jù)主權(quán)之爭與治理規(guī)則的變遷
一年前的4月份,蘋果正式推行ATT政策,即全新的隱私防護措施——應(yīng)用程序跟蹤透明度(App Tracking Transparency,簡稱ATT)
ATT要求應(yīng)用程序必須獲得用戶的許可才能收集信息,用戶更新該版系統(tǒng)后,可在App Store里查看App可以獲取哪些信息。
ATT政策的作用,在于將這個“編號標記”的過程,從默認實行,轉(zhuǎn)變?yōu)榱藦椏蛱嵝,不少朋友可能已?jīng)看到過類似彈窗,允許或不允許,全憑用戶自行決定。
因此政策,全球數(shù)十萬款A(yù)pp因不符合該限制而下架,其中不乏中國企業(yè)開發(fā)App的身影;蘋果此舉無疑昭示著“全球數(shù)據(jù)安全革命”的開端,雖自我開刀,但卻是面臨全球數(shù)據(jù)強監(jiān)管時代下的積極謀變,與此同時,谷歌也在通過響應(yīng)這一趨勢,初步實現(xiàn)大型云服務(wù)廠商建立起的 “隱私安全合規(guī)墻”。
互聯(lián)網(wǎng)巨頭們的隱私行動,是順勢而為,背后折射出的是全球數(shù)據(jù)治理的堅挺信號和各國數(shù)據(jù)主權(quán)的博弈,而個人信息與隱私已成為關(guān)鍵因子。
美歐隱私“戰(zhàn)爭”——數(shù)據(jù)隱私協(xié)議的變遷
蘋果和谷歌公司等美國云服務(wù)巨頭廠商此舉,無疑是對當下“保護用戶隱私”強烈呼聲的一次正面回應(yīng)。2020年7月16日,歐盟法院針對Schrems II案作出判決,以美國的情報監(jiān)控計劃不利于數(shù)據(jù)保護為由,判決歐盟與美國達成的用于跨大西洋傳輸個人數(shù)據(jù)的“隱私盾(Privacy Shield)”協(xié)議因違反歐盟《通用數(shù)據(jù)保護條例》(GDPR)而無效。至此,自2016年7月12日通過歐盟充分性認定的《隱私盾》協(xié)議歷時4年正式下臺,美歐之間的企業(yè)數(shù)據(jù)傳輸及數(shù)據(jù)保護合作進入寒冬期,針對美國“可能在缺乏嚴格、必要的條件下獲取個人數(shù)據(jù)”的數(shù)據(jù)安全評價成為一種長期印象。此后美國企業(yè)雖適用標準合同條款(SCCs,Standard Contractual Clauses)作為跨境數(shù)據(jù)傳輸?shù)囊罁?jù),但在數(shù)據(jù)隱私保護非營利組織NOYB(Non Of Your Business)不斷發(fā)起對美國傳輸數(shù)據(jù)的投訴后,SCCs的有效性屢遭歐洲數(shù)據(jù)部門的調(diào)查與質(zhì)疑。而時隔一年多后,2022年3月25日,歐盟委員會主席馮德萊恩與美國總統(tǒng)拜登在記者會上表示,歐盟與美國就跨大西洋數(shù)據(jù)傳輸?shù)男驴蚣苓_成了原則性協(xié)議,承諾建立全新的跨大西洋數(shù)據(jù)隱私框架。這也意味著在Schrems II案后,歐盟法院認定“、中國企業(yè)普遍采用簽署的標準合同條款(“SCC”)受到挑戰(zhàn)的情況下,美歐打破數(shù)據(jù)領(lǐng)域內(nèi)的尖銳對立格局,致力于形成新的數(shù)據(jù)傳輸合作方案。
美國方面對數(shù)據(jù)傳輸?shù)谋Wo已作出更高標準的承諾,包括:
(1)積極方面,將加強管理美國信號情報活動所涉及的隱私保護和公民數(shù)據(jù)自由保障,實施全面改革,加強對信號情報活動的嚴格管理、分層監(jiān)督,確保情報活動與所追求的安全目標相稱;
(2)消極方面,遵從一系列開展情報活動的限制,為歐盟提供認為美情報活動侵犯隱私權(quán)利的救濟渠道,形成可補救的機制。此類承諾表達了美國對隱私保護雙向制度構(gòu)建的想法。而歐盟也對此表示,此項協(xié)議將會使得數(shù)據(jù)傳輸實現(xiàn)可預(yù)測和值得信賴的結(jié)果。
此舉為大西洋兩岸的合作企業(yè)數(shù)據(jù)傳輸?shù)默F(xiàn)存問題提供了頗有希望的解決思路。就在今年2月,法國國家數(shù)據(jù)保護機構(gòu)CNIL向一家地方網(wǎng)站發(fā)出正式通知,認為其使用Google Analytics的行為違反了歐盟GDPR,因其使用了此軟件來跟蹤內(nèi)容性能和頁面訪問。CNIL表示,這一工具使用個人數(shù)據(jù)并向美國傳輸時,并未遵守歐洲的法規(guī),美國情報機構(gòu)仍由訪問大量隱私數(shù)據(jù)的可能性,而美國并沒有同等效力的隱私保護措施。無獨有偶,今年2月,社交媒體公司Meta Platform(前Facebook U.S.)也因不存在有效的數(shù)據(jù)傳輸協(xié)議而公開表示,如果不能基于現(xiàn)有的或新的數(shù)據(jù)傳輸協(xié)議,公司可能因此停止旗下社交網(wǎng)絡(luò)Facebook與Instagram在歐洲的運營。類似的企業(yè)數(shù)據(jù)流動過程中出現(xiàn)的合規(guī)問題表明,此前實踐中廣泛存在著“隱私盾”協(xié)議無效后的立法缺口,而在CNIL表示“如果數(shù)據(jù)控制者確保不存在非法傳輸,將被獲準享有豁免權(quán)”的一個月后,經(jīng)過了困擾云服務(wù)廠商的法律“空窗期”,本月末,美歐再次基于數(shù)據(jù)傳輸?shù)碾[私保護問題達成初步戰(zhàn)略協(xié)議,但基于當下的協(xié)議仍處于政治公告的狀態(tài),其可分析文本尚待幾個月才可起草,此次協(xié)議的落地結(jié)果如何仍未可知。美方政治承諾的非文本性質(zhì)帶來的不確定性,也使得歐洲方面對此次合作表示擔憂。NOYB對此框架的初步表態(tài)為,美國國內(nèi)的《涉外情報監(jiān)控法》仍對歐美之間的數(shù)據(jù)跨境傳輸有著隱私方面的威脅。NOYB希望美方可以“在幾個月內(nèi)通過民事訴訟和初步禁令等方式,將任何不符合歐盟法律要求的新協(xié)議提交至歐洲法院。如果協(xié)議明顯違反了之前的判決,歐洲法院甚至可以采取初步行動。”
歐盟數(shù)據(jù)立法體系——隱私保護的“金字塔”
在GDPR的隱私保護框架下,歐盟于2020年12月公布了兩項針對數(shù)字服務(wù)市場的立法提案——《數(shù)字服務(wù)法案》(Digital Services Act,DSA)與《數(shù)字市場法案》(Digital Market Act,DMA),用于為消費者及其數(shù)據(jù)權(quán)利提供更高強度的保護,為在線網(wǎng)絡(luò)平臺搭建起嚴格保護的高墻監(jiān)管機制,被稱作歐盟迄今為止“最嚴格”的數(shù)字監(jiān)管法案。DSA第二章明確規(guī)定了數(shù)據(jù)中介服務(wù)提供商的嚴格責任豁免條件——除提供“純傳輸服務(wù)(第3條)”、“緩存(第4條)”以及“托管服務(wù)(第5條)”外,提供商對其傳輸和儲存第三方信息的行為均不能免除責任;法案第三章規(guī)定了所有數(shù)字服務(wù)提供商應(yīng)當維護透明、安全在線環(huán)境的勤勉盡責義務(wù),包括針對違反歐盟法律的內(nèi)容及行為“限制責任并采取行動執(zhí)行限制的義務(wù)(第12條)”、“刪除和禁用的義務(wù)(第13條)”;此外,第三章第4節(jié)針對超大型在線網(wǎng)絡(luò)平臺,規(guī)定了管理系統(tǒng)風(fēng)險的義務(wù),此類平臺必須對其引起的系統(tǒng)性風(fēng)險進行定期評估、選任合規(guī)官進行自我審查、如實報告,同時應(yīng)當接受外部監(jiān)督及獨立審核。這一法案的提出,已使上述所及的美國互聯(lián)網(wǎng)科技巨頭在數(shù)據(jù)合規(guī)領(lǐng)域投入了更多精力,對非法內(nèi)容進行處理,否則他們將面臨最高等同于全球營業(yè)額6%的巨額罰款。
與DSA相區(qū)別,DMA針對的即是更明確的谷歌、亞馬遜、蘋果公司、Meta和微軟等美國云服務(wù)巨頭。法案強調(diào),許多大型平臺為終端用戶和企業(yè)用戶的大部分交易提供中介服務(wù),由渠道逐漸發(fā)展成為重要渠道、甚至是“守門人”,也因此形成并加劇了行業(yè)準入壁壘,“對數(shù)字市場準入的實質(zhì)性控制產(chǎn)生了重大且根深蒂固的影響”——行業(yè)一旦依賴這些“守門人”,他們便勢必會對用戶實施不公平行為,而DMA便是出于對維持市場穩(wěn)定、良好運行的考慮,對特定的數(shù)字服務(wù)(核心平臺服務(wù))實行嚴格監(jiān)管。具體而言,法案第三章列舉了“守門人”限制競爭性和不公平的實踐,基于此進一步規(guī)定了守門人應(yīng)當遵守的相應(yīng)義務(wù)及豁免情形,并建立起“守門人”被任命后與DMA法規(guī)委員會及時對話的框架機制。法案第四章提供了進行市場調(diào)查的程序要求和規(guī)則,確保對守門人的任命、不合規(guī)實踐的調(diào)查都基于統(tǒng)一標準的框架,便于法案正式出臺后的執(zhí)行。第五章則提供了具體實施和執(zhí)行層面具有指向性的細則。
此次跨大西洋數(shù)據(jù)隱私框架便是對歐盟兩部嚴格升級的立法的一次制度性回應(yīng)。歐盟方在聲明中強調(diào),將與美國政府繼續(xù)就這一協(xié)議積極開展合作,以期盡早將這一安排轉(zhuǎn)化為雙方可以通過的法律文件。而依據(jù)歐盟數(shù)據(jù)立法的整體框架,美國的承諾需要充分尊重歐盟現(xiàn)有的數(shù)據(jù)法律文件,其對數(shù)據(jù)隱私保護的監(jiān)控應(yīng)當符合歐盟DSA與DMA中對數(shù)據(jù)傳輸主體、尤其是大型服務(wù)提供商的相應(yīng)要求。
對我國有何啟示?
針對數(shù)據(jù)云服務(wù)廠商的國內(nèi)外合規(guī)要求,是當下數(shù)據(jù)隱私被高度重視的時代不能忽視的一項重要命題。美歐合作的經(jīng)驗表明,跨境數(shù)據(jù)流動合規(guī)的制度建立是數(shù)字經(jīng)濟時代各國各區(qū)域建立長效穩(wěn)定合作的基石。我國《個人信息保護法》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全審查辦法》對此次《跨大西洋數(shù)據(jù)隱私協(xié)議》中美國所承諾的網(wǎng)絡(luò)安全監(jiān)測等內(nèi)容、對歐盟法案中數(shù)據(jù)安全定期風(fēng)險評估等要求,皆有不同程度的對應(yīng)性。但我們也應(yīng)當意識到,在數(shù)據(jù)服務(wù)監(jiān)管平臺隱私保護要求日趨嚴格的當下,實現(xiàn)充分高標準的數(shù)據(jù)合規(guī)自查、通過形成完善的自查規(guī)范體系以應(yīng)對數(shù)據(jù)企業(yè)跨境數(shù)據(jù)傳輸?shù)默F(xiàn)實要求、從而推動數(shù)字經(jīng)濟背景下充分的交流與合作,是《跨大西洋數(shù)據(jù)隱私協(xié)議》發(fā)出的初步信號。(本文作者:車曉軒)
END
原文標題 : 從蘋果ATT新政第一年,看全球數(shù)據(jù)主權(quán)之爭與治理規(guī)則的變遷
請輸入評論內(nèi)容...
請輸入評論/評論長度6~500個字
圖片新聞
最新活動更多
-
12月19日立即報名>> 【線下會議】OFweek 2024(第九屆)物聯(lián)網(wǎng)產(chǎn)業(yè)大會
-
精彩回顧立即查看>> 2024中國國際工業(yè)博覽會維科網(wǎng)·激光VIP企業(yè)展臺直播
-
精彩回顧立即查看>> 【產(chǎn)品試用】RSE30/60在線紅外熱像儀免費試用
-
精彩回顧立即查看>> 2024(第五屆)全球數(shù)字經(jīng)濟產(chǎn)業(yè)大會暨展覽會
-
精彩回顧立即查看>> 【線下會議】全數(shù)會2024電子元器件展覽會
-
精彩回顧立即查看>> 三菱電機紅外傳感器的特性以及相關(guān)應(yīng)用領(lǐng)域
編輯推薦
- 高級軟件工程師 廣東省/深圳市
- 自動化高級工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市