致力于建立跨境數據流動和隱私安全保護的全球框架

隨著我們的社會和經濟日益依賴于數字技術，在互聯(lián)網上共享和轉移包括個人數據在內的數據資產的需求也越來越大?？缇硵祿鲃訉H貿易和全球經濟發(fā)展至關重要。事實上，如果沒有互聯(lián)網的開放和全球架構以及數據跨越國界的能力，全球經濟的數字化轉型就不可能發(fā)生。正如我們在之前相關的博客文章中所指出那樣，數據本地化并不一定能改善數據隱私。事實上，如果我們能夠跨境傳輸數據，那么數據安全，乃至隱私將真正受益。因此，隨著“數據隱私日（Data Privacy Day）”到來，我們想借此機會深入探索當前個人數據從歐盟轉移到美國的環(huán)境（其受《通用數據保護條例》（GDPR）管治）。展望未來，我們將努力建立一個更穩(wěn)定的全球跨境數轉移框架，這對一個開放、更安全、更私密的互聯(lián)網將是至關重要的。

跨境數據流動的隱私與安全挑戰(zhàn)

在過去十年中，我們觀察到世界各地有一種日益增長的趨勢，對互聯(lián)網進行限制，并對國際數據流動，特別是個人數據流動設置了一系列的新的障礙。在某些情況下，這導致用戶的數字產品和服務選擇減少，性能變差。在其他情況下，這限制了對信息的自由訪問，而且——矛盾的是——在某些情況下，這甚至導致了更差的數據安全和隱私，違背了數據保護法規(guī)的根本宗旨。這些令人擔憂的發(fā)展有多方面的動機（難以規(guī)避的地緣政治因素），到主張國家安全，再到尋求經濟自決。

在歐盟，過去幾年里，即使是最注重隱私的公司（例如Cloudflare）也面臨著來自一些強硬派數據保護機構、隱私維權人士和其他人的連串猜測和擔憂，即美國云服務提供商處理的數據是否確實能夠以遵從GDPR的方式進行處理。通常，這些擔憂是純粹的條文主義，沒有考慮到與特定數據傳輸相關的實際風險，以及在Cloudflare的案例中，我們的服務對數百萬歐洲互聯(lián)網用戶的安全和隱私做出的重要貢獻。事實上，歐洲數據保護委員會（EDPB）的官方指南已經確認，歐盟的個人數據仍然可以在美國處理，但自從歐洲法院在2020年的Schrems II判決中暫停“隱私盾”（Privacy Shield）框架以來，這已經變得相當復雜：數據控制人必須使用合法的轉移機制，如歐盟標準合同條款，以及大量額外的法律、技術和組織保障措施。

然而，對于這些措施是否充分，最終是由主管數據保護當局通過逐案解釋決定的。由于這些案例通常相當復雜，每個案例都是不同的，而且僅在歐洲就有45個數據保護機構，這種做法無法擴展。此外，當涉及到第三國轉移時，數據保護機構——有時甚至在同一個歐盟國家（德國）——對法律的解釋上都存在分歧。當涉及到實際的法院裁決時，根據我們的經驗，法院在數據保護方面往往比數據保護機構更加務實和平衡。但是，數據保護案件在法庭上獲得裁決需要很長時間和大量資源。這對那些無法承受漫長法律訴訟的小企業(yè)來說尤其成問題。因此，來自數據保護機構的巨額罰款這一理論上的威脅也許已經產生足夠的威懾，讓他們完全停止使用涉及第三國數據轉移的服務，即使這些服務為他們處理的個人數據提供了更好的安全和隱私，并使他們更有效率。這顯然不符合歐洲經濟的利益，也很可能不是政策制定者在2016年采用GDPR時的初衷。

好消息是：希望已經出現

雖然最近的事態(tài)發(fā)展不會解決上述所有挑戰(zhàn)，但在去年12月，經過多年的復雜談判，國際政策制定者采取了兩項重要步驟，以恢復與個人數據跨境流動有關的法律確定性和信任決策。

2022年12月13日，歐盟委員會公布了期待已久的初步評估：歐盟將認為按照未來的歐盟-美國數據隱私框架（DPF）從歐盟轉移到美國的個人數據在美國享有足夠的保護水平。雖然歐盟委員會的初步評估只是歐盟批準程序的開始，該程序預計需要4-6個月，但專家們非常樂觀地認為，它最終將被采納。

僅僅一天后，美國與其他37個經合組織（OECD）成員國和歐盟達成了一項史無前例的協(xié)議，通過闡明在政府以國家安全和執(zhí)法為由訪問私人實體持有的個人數據時，保護隱私及其它人權和自由的共同保障原則，增強法治民主體系之間跨境數據流動的信任。如果法律框架要求跨境數據流動受到保障，例如歐盟GDPR的情況下，參與者同意“考慮目的地國有效實施這些原則，作為應用這些規(guī)則對促進跨境數據流動的積極貢獻?！保ㄖ档米⒁獾氖?，與Cloudflare幫助建立一個更好的互聯(lián)網的使命一致，經合組織宣言回顧了成員國對“全球、開放、可訪問、互聯(lián)、互操作、可靠和安全的互聯(lián)網”的共同承諾。

未來：真正的全球性隱私框架

歐盟-美國DPF和經合組織宣言是相輔相成的，兩者都標志著在擁有民主和法治、保護隱私及其它人權和自由等共同價值觀的國家之間恢復對跨境數據流動的信任的重要步驟。然而，這兩種方法都有自己的局限性：DPF僅限于從歐盟到美國的個人數據傳輸。此外，不能排除它將在幾年后再次被歐洲法院宣布無效，因為隱私維權人士已經宣布他們將再次從法律上挑戰(zhàn)它。另一方面，經合組織宣言的范圍應該是全球性的，但局限于各國政府的一般原則，這在實踐中可以有截然不同的解釋。

這就是為什么，除了這些努力之外，我們還需要一個穩(wěn)定的、包含具體隱私保護要求的多邊框架，不能被單方面宣布無效。一個單一的全球認證體系架構應該足以使參與的公司在全球參與國之間安全轉移個人數據。新興的全球跨境隱私規(guī)則（CBPR）認證已經得到了一些地區(qū)的支持，在這方面看起來很有前景。

歐洲政策制定者最終需要決定是否要繼續(xù)走目前的道路，這可能會讓歐洲成為一個數據孤島。或者，歐盟可以修改其隱私法規(guī)，以防止歐洲許多國家和地區(qū)的數據保護機構以脫離現實的方式解釋它。這樣還可以使其與基于共同價值觀和相互信任的全球跨境數據流動框架之間具有相互操作性。

Cloudflare將繼續(xù)與全球政策制定者積極接觸，以提高對我們行業(yè)面臨的實際挑戰(zhàn)的意識，并致力于制定一個可持續(xù)的政策解決方案，實現開放和互聯(lián)的互聯(lián)網，使其更私密和安全。

數據隱私日為我們所有人提供了一個獨特的機會，來慶祝迄今為止在保護用戶在線隱私方面取得的重大進展。與此同時，我們應該利用這一天來反思如何調整或執(zhí)行相關法規(guī)，以更有意義地保護隱私，特別是優(yōu)先使用安全和隱私增強技術，而不是那些損害經濟、卻沒有隱私安全保障益處的一味盲目禁止的手段。