这里是“全球数治”专栏周报,追踪近期全球数字治理动态
2月3日,Meta在向美国证券交易委员会(SEC)提交的年度报告中称,欧盟的《通用数据保护条例》(GDPR)阻碍了其将欧盟用户个人数据信息传输和存储到位于美国的服务器上。如果这种情况始有终持续下去,该公司可能考虑在欧洲停止运营旗下社交网络平台Facebook和Instagram。不过,Meta公司欧洲公共政策副总裁马柯思莱尼希(Markus Reinisch)在2月9日又公开表示,Meta并没有退出欧洲的意愿,年度报告仅仅是按照法律要求向投资者披露重大风险。
事实上,自2018年第二季度以来,Meta在每份财报中都提到了国际数据传输障碍等公司在欧盟运营和提供服务面临的具体困难,以及对安全可靠的欧美数据传输机制的需求。在Meta公司看来,当前欧美之间的国际数据传输机制面临较大不确定性。一旦Meta无法在运营地区间顺利传输数据,将会影响其提供服务的质量和方式,以及定向投放广告的能力。
众所周知,在数字经济时代,跨境数据流动对全球经哪些济增长的贡献正日益超越传统货物贸易。数据的生命产生于流动,通过跨境数据流动,企业可以直接对接境外客户,拓宽国际市场,进而实现数字服务价值增值。在此背景下,欧盟为何还要通过GDPR等手段和方式严格规制欧美之间的数据传输呢?这其中或包含了以下三方面的考虑:
第一,积极掌控跨境数据流动规则制定权。
如何通过掌握跨境数据流动规则制定权来使本国获得更多数据资源,现已成为国际社会关注的焦点。欧盟同样也在为此筹谋,以便在全球数字经济竞争中占据优势地位。目前,国际社会尚未就跨境数据流动规则达成共识,美国和欧盟的立法理念和模式也存在较大差别,相关博弈因此持续不断。2020年欧盟法院关于美欧《隐私盾协议》无效的判决,正是这一博弈的最新体现。
美国奉行重数据自由流动而轻政府监管的思路,欧盟则强调个人数据流动中的隐私权保护,确立统一而系统的立法模式,以类型及数据跨境传输的前提须为第三国对欧盟个人数据的保护水平实质上等同于欧盟内部的保护水平。同时,由28个成员国、5亿多人组成的庞大欧盟市场对美国科技企业又具有不容忽视的吸引力。通过实施GDPR,欧盟不仅对美国释放了坚定捍卫欧盟数据和隐私保护标准的信号,还巧妙引导了部分美国企业主动考虑改变企业合规以与GDPR保持一致,甚至还有可能推动美国政府考虑在国家层面制定一定程度上符合GDPR要求的信哪些息和隐私保护立法,而其他有意与欧盟开展跨境数据流动合作的国家也或多或少会考虑向欧盟模式逐步靠拢。
第二,改善欧美数字实力失衡局面,维护欧盟数字主权。
虽然欧盟和美国同为发达经济体,但其数字技术和产业发展水平却差距甚大。同时,欧盟还高度依赖亚马逊、微软和谷歌等美国云服务提供商,缺乏数据处理和分析能力。因此,在美欧跨境数据传输中,大量欧盟数据流向拥有强大技术优势的美国。而且,美国通过2018年颁布的《澄清境外数据合法使用法类别案》,对境外数据确立“长臂管辖权”,这令欧盟在全球科技和产业竞争中陷于更加不利的地位。在此背景下,欧盟逐渐警醒于自身在数字经济时代所处的被动局面,开始积极致力于改变欧美数字实力失衡的局面,掌控欧洲数字主权。
在依据GDPR裁定《隐私盾协议》无效的案例中,欧盟依照自身秉类别持的价值观和法律规则对原有的跨大西洋数据传输框架进行审查,认定其违反GDPR,且不能充分保护欧洲公民隐私,同时美国也无法为权利可能受到侵犯的欧盟数据主体提供了有效的行政和司法救济,从而促使部分在欧盟开展跨境数字服务的企业必须考虑实施数据本土化,进而令欧盟对数据的保护、管理和控制都明显增强,这显然有利于其数字主权的实现,
第三,更充分地保护欧盟公民隐私权等基本权利。
个人数据保护现已成为一个不可规避的全球性问题。欧盟维护自身价值观和保障公民隐私权的决心可谓极其坚定,而通过GDPR建立的个人数据保护制度也相当严密。其中,在第三国对欧盟个人数据的保护水平实质上等同于欧盟内部水平的前提下,个人数据的跨境传输也只能通过三种方式实现,即获得欧盟的充分性认定(Adequacy Decision),“标准合同条款”和“有约束力的公司规则”等例外措施,以及在获得用户明确同意或为公共利益考虑等特殊情况下的减损条款。也正因为如此,美国通过《澄清境外数据合法使用法案》、《外国情报监视法》等获取欧盟公民个人数据的企图才得以遏制。
鉴于欧美围绕跨境数据传输经营机制的长期博弈还将继续,建立新的跨大西洋数据传输机制势在必行,可双方的协商之路却还困难重重。今后或将有两种可公司注册能性:一是美国调整其数据和隐私保护立法,向欧盟标准靠拢,以支持其数字科技企业;二是美国数字服务提供商将不得不妥协,在欧洲建立IDC以托管本地用户数据。这在一定程度上也反映了全球数字经济发展初期所面临的数据治理规则碎片化的挑战。各国采取的跨境数据流动限制措施和数据本地化要求有可能在一段时间内呈现上升趋势,甚至引发更多的国家间贸易摩擦。因此,现在有必要尽快制定具有广泛共识的多边跨境数据流动国际规则。同时,掌握规则制定权对在全球数字竞争中占据优势地位至关重要,各国都应对此予以高度重视。
规则
欧盟委员会将发布《数据法》草案
欧盟委员会计划在2月23日推出其关于非个人数据的《数据法》草案。该草案将包含关于数据共享、公共机构访问、国际数据传输、云转换和互操作性的规定,监管对象为互联网产品的制造商、数字服务提供商和用户等。 (来源:Euroactive传输)
上海发布首份《企业数据合规指引》
近日,由上海市杨浦区检察院联合市信息服务业行业协会、市数据合规与安全产业发展专家工作组、区工商业联合会制定的上海首份《企业数据合规指引》出台。《指引》全文共38条,分为六章,从数据合规管理体系、数据风险识别、数据风险评估与处置、数据合规运行与保障等方面引导企业加强数据合规管理。(来源:人民网)
公司政策
中国银保监会印发《关于银行业保险业数字化转型的指导意见》
1月27日,中国银保监会印发《关于银行业保险业数字化转型的指导意见》。《意见》指出,银行业、保险业应大力加强数据安全和隐私保护。完善数据安全管理体系,建立数据分级分类管理制度,明确保护策略,落实技术和管理措施。强化对数据的安全访问控制,建立数据全生命周期的安全闭环管理机制。关注外部数据源合规风险,明确数据权属关系,加强数据安全技术保护和对外发布信息的安全管理。同时,还要建设安全运营中心,充分利用态势感知、威胁情报、大数据等手段,持续提高网络安全风险监测、预警和应急处置能力,加强行业内外部协同联动。(来源:中国政府网)
美国国税局迫于隐私担忧停止使用面部识别认证技术
2月8日,美国国税局(IRS)宣布,将不再行业使用第三方面部识别服务来验证纳税人的身份。此前,IRS曾宣布,到2022年夏天,ID.me将成为纳税人在线管理税务账户时的唯一登录方式,并要求用户上传一张自拍来访问他们在美国国税局网站的账户。迫于隐私担忧,IRS最终停止了这一计划。同时,IRS表示,它将上线一个不涉及面部识别的额外认证程序,以避免对纳税人造成干扰。(来源:IRS)
监管
美国联邦贸易委员会要求在线零售商对压制负面评论负责
1月25日,在美国联邦贸易委员会(FTC)与在线时尚零售商Fashi类型on Nova达成拟议的和解协议,禁止其压制负面评论。FTC表示,Fashion Nova在2015年到2019年间一直在使用第三方客户评论界面来管理评论,只发布4星和5星行业评论,并过滤掉数十万条获得4星以下的公司产品评论,且还存在未适当地通知消费者延迟发货,以礼品卡抵充退款等违规行为。(来源:FTC)
欧盟要求WhatsApp明确告知用户相关隐私政策
1月27日,欧盟委员会宣布,Meta公司旗下地即时通讯应用WhatsApp必须在一个月内澄清相关服务条款和隐私政策,以确保其符合欧盟的消费者保护法。欧盟司法专员迪迪埃雷恩代尔(Didier Reynders)表示,WhatsApp必须要确保用公司注册户知情并同意数据获取,以及了解个人数据是如何被使用的,包括其在哪些地方与哪些商业伙伴共享这些数据。(信息来源:路透社)传输
产业与技术
谷歌向印度两大电信运营商投资55亿美元
1月28日,谷歌公司宣布向印度前两大电信运营商Jio公司和Airtel公司分别投资45亿美元和10亿美元,作为其在印度投资100亿美元计划的一经营部分。Airtel将与谷歌在5G网络标准、云生态系统等方面加强战略合作。谷歌首席执行官皮查伊表示,该公司对Airtel的商业和股权投有资将致力于使规模庞大的印度用户以负担得起的方式使用智能手机。(来源:路透社)
三星电子发布一体式指纹安全集成电路
1月25日,韩国三星电子公司宣布推出一款名为S3B512C的一体式指纹安全集成电路,可用于生物识别支付卡。三星表示,S3B512C是业界首个将指纹传感器、安全元件和安全处理器集成在单个芯片中的解决方案。指纹扫描仪用于读取生物特征数据,防篡改安全元件可存储和验证加密数据,而安全处理器则分析和处理生物特征数据。这一集成电路使用专有的指纹认证算法来分析用户指纹的独特特征,还具有反欺骗技术,可防止欺诈者使用人工指纹和其他非法手段欺骗安全系统。(来源:三星公司)
城市数字化
北京通州区发布元宇宙相关应用场景清单
美国波士顿投入1200多万美元用于实现数字公平和包容
校对:张亮亮
