欧盟委员会日前正式宣布通过了欧盟与美国达成的数字隐私框架“充分性决定”,这也意味着欧美将在新框架下恢复已经中断三年的跨大西洋数据传输和流动。对于欧盟而言,欧美数字隐私框架的达成很大程度上是其近年来对美国各方面依赖上升所导致的结果,客观而言是在维护自身数据安全乃至数据主权方面的倒退。
以“棱镜门”事件为标志性节点,美国对欧盟全方位监听的劣迹不断被曝光,就连欧洲国家领导人和一些重要部门也被美方锁定。加之社交网络、人工智能以及非法数据分析等对于经济、政治、社会情绪的影响越来越大,欧盟近些年来进一步寻求强化对数据隐私、数据流动的监管。2015年,欧洲法院判决废除欧美之间数据流通法律框架《安全港协议》,随后欧盟又通过谈判与美国建立替代《安全港协议》的《隐私盾协议》。2018年,欧盟正式实施了被称为“史上最严厉数据监管法令”的《一般数字保护条例》,被视作欧盟加强数据隐私保护的最重磅举措。2020年,欧洲法院再次以不符合欧盟数据安全规则为由,否决《隐私盾协议》,这成为欧洲主张自身数据主权的新标志,也一度让美方将从欧洲获得的数据传回美国受到较大限制。而这次欧盟依据新协议与美国恢复数据传输关系,则将使自身数据保护面临更大漏洞。
事实上,这构成了欧盟在数据保护领域对美国的让步和妥协。在乌克兰危机背景下,欧盟在军事安全、经贸以及能源供应等方面对美国的依赖都明显加剧,欧美之间的力量对比和利益博弈态势趋于失衡,欧盟不得不在一些双方存在长期争议的问题上作出让步,以换取美方在其他领域的支持。这次欧美数字隐私框架就是欧盟单方面妥协的又一例证。与此同时,欧盟内部一些利益集团也在加大游说力度,比如“数字欧洲”组织总干事塞西莉亚·博内菲尔德-达尔表示,跨大西洋数据流动支撑了欧盟每年向美国1万亿欧元的服务出口,并称新协议有利于提振企业信心和欧洲经济复苏。
但从经济和安全两方面考量,欧美之间的数据新协议对欧盟都难言有利。一方面,从数字产业上看,欧美虽都属于全球数字经济的超大规模市场,但美国在数字巨头企业和数字“独角兽”企业的数量和质量上均高于欧盟,这就意味着数据自由流动将使更具先发优势的企业占据更多资源,更能进行市场扩张。如此一来,就连人工智能、大数据、云计算等尖端技术的广泛应用和技术迭代,也将违背欧盟通过加强数据管控来保护自身数据资源和市场、为本土数字企业提供发展支撑的初衷。
另一方面,欧美数据新协议根本无法解决美国系统性监听给欧洲带来的数据安全挑战。协议规定,美国情报部门可以“在必要和相称范围内”对欧盟数据进行访问,这相当于给了美国相关机构获取欧洲数据的合法大门。与此同时,新协议对于数据安全的定义和评估更多建立在政治意向而非客观的技术评估之上,“在必要和相称范围内”将给美国情报部门模糊定义数据敏感度和机密程度的权限,实际上无法解决美国窃听欧盟核心部门和领导人的问题。另外,“充分性决定”并没有要求美国与欧盟的数据保护标准明确相同,而仅要求“基本趋同”,那就意味着相关评估通过与否具有巨大弹性空间。而且协议规定欧盟转移到美国公司企业的数据是否被正当利用的裁判权将由美国机构裁定,也将使美国在很大程度上掌握欧美数据流动监管的主动权。
对此,欧盟数据保护机构和相关人士纷纷提出质疑。欧洲数据保护理事会指出,新协议仍有严重缺陷,呼吁欧委会采取更多措施保护公民隐私权。而多次就数据隐私上诉欧洲法院的奥地利数据权益保护人士施雷姆斯则指出,只有美国改变数据监视的相关立法才能有效解决问题,而欧洲公民已经厌倦了司法领域来回来去的折腾,呼吁欧洲法院在明年年初叫停这项新的协议。
由此来看,当前欧盟的数据保护具有明显的政治倾向性,即将数据保护问题根据对特定国家的认知来划线,把与美国这种“价值观相近伙伴”之间的数据流动视作“安全无虞”,甚至容忍美国情报机构的数据获取行动,而对真正的数据安全挑战采取鸵鸟心态,如此趋势恐怕与欧盟的数据保护和数据主权建设目标渐行渐远。(作者是中国现代国际关系研究院欧洲所学者)