一年前的4月份，蘋果正式推行ATT政策，即全新的隱私防護(hù)措施——應(yīng)用程序跟蹤透明度（App Tracking Transparency，簡(jiǎn)稱ATT）
ATT要求應(yīng)用程序必須獲得用戶的許可才能收集信息，用戶更新該版系統(tǒng)后，可在App Store里查看App可以獲取哪些信息。

ATT政策的作用，在于將這個(gè)“編號(hào)標(biāo)記”的過程，從默認(rèn)實(shí)行，轉(zhuǎn)變?yōu)榱藦椏蛱嵝眩�不少朋友可能已�?jīng)看到過類似彈窗，允許或不允許，全憑用戶自行決定。

因此政策，全球數(shù)十萬款A(yù)pp因不符合該限制而下架，其中不乏中國(guó)企業(yè)開發(fā)App的身影；蘋果此舉無疑昭示著“全球數(shù)據(jù)安全革命”的開端，雖自我開刀，但卻是面臨全球數(shù)據(jù)強(qiáng)監(jiān)管時(shí)代下的積極謀變，與此同時(shí)，谷歌也在通過響應(yīng)這一趨勢(shì)，初步實(shí)現(xiàn)大型云服務(wù)廠商建立起的 “隱私安全合規(guī)墻”。

互聯(lián)網(wǎng)巨頭們的隱私行動(dòng)，是順勢(shì)而為，背后折射出的是全球數(shù)據(jù)治理的堅(jiān)挺信號(hào)和各國(guó)數(shù)據(jù)主權(quán)的博弈，而個(gè)人信息與隱私已成為關(guān)鍵因子。

美歐隱私“戰(zhàn)爭(zhēng)”——數(shù)據(jù)隱私協(xié)議的變遷

蘋果和谷歌公司等美國(guó)云服務(wù)巨頭廠商此舉，無疑是對(duì)當(dāng)下“保護(hù)用戶隱私”強(qiáng)烈呼聲的一次正面回應(yīng)。2020年7月16日，歐盟法院針對(duì)Schrems II案作出判決，以美國(guó)的情報(bào)監(jiān)控計(jì)劃不利于數(shù)據(jù)保護(hù)為由，判決歐盟與美國(guó)達(dá)成的用于跨大西洋傳輸個(gè)人數(shù)據(jù)的“隱私盾（Privacy Shield）”協(xié)議因違反歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）而無效。至此，自2016年7月12日通過歐盟充分性認(rèn)定的《隱私盾》協(xié)議歷時(shí)4年正式下臺(tái)，美歐之間的企業(yè)數(shù)據(jù)傳輸及數(shù)據(jù)保護(hù)合作進(jìn)入寒冬期，針對(duì)美國(guó)“可能在缺乏嚴(yán)格、必要的條件下獲取個(gè)人數(shù)據(jù)”的數(shù)據(jù)安全評(píng)價(jià)成為一種長(zhǎng)期印象。此后美國(guó)企業(yè)雖適用標(biāo)準(zhǔn)合同條款（SCCs，Standard Contractual Clauses）作為跨境數(shù)據(jù)傳輸?shù)囊罁?jù)，但在數(shù)據(jù)隱私保護(hù)非營(yíng)利組織NOYB（Non Of Your Business）不斷發(fā)起對(duì)美國(guó)傳輸數(shù)據(jù)的投訴后，SCCs的有效性屢遭歐洲數(shù)據(jù)部門的調(diào)查與質(zhì)疑。而時(shí)隔一年多后，2022年3月25日，歐盟委員會(huì)主席馮德萊恩與美國(guó)總統(tǒng)拜登在記者會(huì)上表示，歐盟與美國(guó)就跨大西洋數(shù)據(jù)傳輸?shù)男驴蚣苓_(dá)成了原則性協(xié)議，承諾建立全新的跨大西洋數(shù)據(jù)隱私框架。這也意味著在Schrems II案后，歐盟法院認(rèn)定“、中國(guó)企業(yè)普遍采用簽署的標(biāo)準(zhǔn)合同條款（“SCC”）受到挑戰(zhàn)的情況下，美歐打破數(shù)據(jù)領(lǐng)域內(nèi)的尖銳對(duì)立格局，致力于形成新的數(shù)據(jù)傳輸合作方案。
美國(guó)方面對(duì)數(shù)據(jù)傳輸?shù)谋Ｗo(hù)已作出更高標(biāo)準(zhǔn)的承諾，包括：

（1）積極方面，將加強(qiáng)管理美國(guó)信號(hào)情報(bào)活動(dòng)所涉及的隱私保護(hù)和公民數(shù)據(jù)自由保障，實(shí)施全面改革，加強(qiáng)對(duì)信號(hào)情報(bào)活動(dòng)的嚴(yán)格管理、分層監(jiān)督，確保情報(bào)活動(dòng)與所追求的安全目標(biāo)相稱；

（2）消極方面，遵從一系列開展情報(bào)活動(dòng)的限制，為歐盟提供認(rèn)為美情報(bào)活動(dòng)侵犯隱私權(quán)利的救濟(jì)渠道，形成可補(bǔ)救的機(jī)制。此類承諾表達(dá)了美國(guó)對(duì)隱私保護(hù)雙向制度構(gòu)建的想法。而歐盟也對(duì)此表示，此項(xiàng)協(xié)議將會(huì)使得數(shù)據(jù)傳輸實(shí)現(xiàn)可預(yù)測(cè)和值得信賴的結(jié)果。

此舉為大西洋兩岸的合作企業(yè)數(shù)據(jù)傳輸?shù)默F(xiàn)存問題提供了頗有希望的解決思路。就在今年2月，法國(guó)國(guó)家數(shù)據(jù)保護(hù)機(jī)構(gòu)CNIL向一家地方網(wǎng)站發(fā)出正式通知，認(rèn)為其使用Google Analytics的行為違反了歐盟GDPR，因其使用了此軟件來跟蹤內(nèi)容性能和頁面訪問。CNIL表示，這一工具使用個(gè)人數(shù)據(jù)并向美國(guó)傳輸時(shí)，并未遵守歐洲的法規(guī)，美國(guó)情報(bào)機(jī)構(gòu)仍由訪問大量隱私數(shù)據(jù)的可能性，而美國(guó)并沒有同等效力的隱私保護(hù)措施。無獨(dú)有偶，今年2月，社交媒體公司Meta Platform（前Facebook U．S．）也因不存在有效的數(shù)據(jù)傳輸協(xié)議而公開表示，如果不能基于現(xiàn)有的或新的數(shù)據(jù)傳輸協(xié)議，公司可能因此停止旗下社交網(wǎng)絡(luò)Facebook與Instagram在歐洲的運(yùn)營(yíng)。類似的企業(yè)數(shù)據(jù)流動(dòng)過程中出現(xiàn)的合規(guī)問題表明，此前實(shí)踐中廣泛存在著“隱私盾”協(xié)議無效后的立法缺口，而在CNIL表示“如果數(shù)據(jù)控制者確保不存在非法傳輸，將被獲準(zhǔn)享有豁免權(quán)”的一個(gè)月后，經(jīng)過了困擾云服務(wù)廠商的法律“空窗期”，本月末，美歐再次基于數(shù)據(jù)傳輸?shù)碾[私保護(hù)問題達(dá)成初步戰(zhàn)略協(xié)議，但基于當(dāng)下的協(xié)議仍處于政治公告的狀態(tài)，其可分析文本尚待幾個(gè)月才可起草，此次協(xié)議的落地結(jié)果如何仍未可知。美方政治承諾的非文本性質(zhì)帶來的不確定性，也使得歐洲方面對(duì)此次合作表示擔(dān)憂。NOYB對(duì)此框架的初步表態(tài)為，美國(guó)國(guó)內(nèi)的《涉外情報(bào)監(jiān)控法》仍對(duì)歐美之間的數(shù)據(jù)跨境傳輸有著隱私方面的威脅。NOYB希望美方可以“在幾個(gè)月內(nèi)通過民事訴訟和初步禁令等方式，將任何不符合歐盟法律要求的新協(xié)議提交至歐洲法院。如果協(xié)議明顯違反了之前的判決，歐洲法院甚至可以采取初步行動(dòng)。”

歐盟數(shù)據(jù)立法體系——隱私保護(hù)的“金字塔”

在GDPR的隱私保護(hù)框架下，歐盟于2020年12月公布了兩項(xiàng)針對(duì)數(shù)字服務(wù)市場(chǎng)的立法提案——《數(shù)字服務(wù)法案》（Digital Services Act，DSA）與《數(shù)字市場(chǎng)法案》（Digital Market Act，DMA），用于為消費(fèi)者及其數(shù)據(jù)權(quán)利提供更高強(qiáng)度的保護(hù)，為在線網(wǎng)絡(luò)平臺(tái)搭建起嚴(yán)格保護(hù)的高墻監(jiān)管機(jī)制，被稱作歐盟迄今為止“最嚴(yán)格”的數(shù)字監(jiān)管法案。DSA第二章明確規(guī)定了數(shù)據(jù)中介服務(wù)提供商的嚴(yán)格責(zé)任豁免條件——除提供“純傳輸服務(wù)（第3條）”、“緩存（第4條）”以及“托管服務(wù)（第5條）”外，提供商對(duì)其傳輸和儲(chǔ)存第三方信息的行為均不能免除責(zé)任；法案第三章規(guī)定了所有數(shù)字服務(wù)提供商應(yīng)當(dāng)維護(hù)透明、安全在線環(huán)境的勤勉盡責(zé)義務(wù)，包括針對(duì)違反歐盟法律的內(nèi)容及行為“限制責(zé)任并采取行動(dòng)執(zhí)行限制的義務(wù)（第12條）”、“刪除和禁用的義務(wù)（第13條）”；此外，第三章第4節(jié)針對(duì)超大型在線網(wǎng)絡(luò)平臺(tái)，規(guī)定了管理系統(tǒng)風(fēng)險(xiǎn)的義務(wù)，此類平臺(tái)必須對(duì)其引起的系統(tǒng)性風(fēng)險(xiǎn)進(jìn)行定期評(píng)估、選任合規(guī)官進(jìn)行自我審查、如實(shí)報(bào)告，同時(shí)應(yīng)當(dāng)接受外部監(jiān)督及獨(dú)立審核。這一法案的提出，已使上述所及的美國(guó)互聯(lián)網(wǎng)科技巨頭在數(shù)據(jù)合規(guī)領(lǐng)域投入了更多精力，對(duì)非法內(nèi)容進(jìn)行處理，否則他們將面臨最高等同于全球營(yíng)業(yè)額6％的巨額罰款。

與DSA相區(qū)別，DMA針對(duì)的即是更明確的谷歌、亞馬遜、蘋果公司、Meta和微軟等美國(guó)云服務(wù)巨頭。法案強(qiáng)調(diào)，許多大型平臺(tái)為終端用戶和企業(yè)用戶的大部分交易提供中介服務(wù)，由渠道逐漸發(fā)展成為重要渠道、甚至是“守門人”，也因此形成并加劇了行業(yè)準(zhǔn)入壁壘，“對(duì)數(shù)字市場(chǎng)準(zhǔn)入的實(shí)質(zhì)性控制產(chǎn)生了重大且根深蒂固的影響”——行業(yè)一旦依賴這些“守門人”，他們便勢(shì)必會(huì)對(duì)用戶實(shí)施不公平行為，而DMA便是出于對(duì)維持市場(chǎng)穩(wěn)定、良好運(yùn)行的考慮，對(duì)特定的數(shù)字服務(wù)（核心平臺(tái)服務(wù)）實(shí)行嚴(yán)格監(jiān)管。具體而言，法案第三章列舉了“守門人”限制競(jìng)爭(zhēng)性和不公平的實(shí)踐，基于此進(jìn)一步規(guī)定了守門人應(yīng)當(dāng)遵守的相應(yīng)義務(wù)及豁免情形，并建立起“守門人”被任命后與DMA法規(guī)委員會(huì)及時(shí)對(duì)話的框架機(jī)制。法案第四章提供了進(jìn)行市場(chǎng)調(diào)查的程序要求和規(guī)則，確保對(duì)守門人的任命、不合規(guī)實(shí)踐的調(diào)查都基于統(tǒng)一標(biāo)準(zhǔn)的框架，便于法案正式出臺(tái)后的執(zhí)行。第五章則提供了具體實(shí)施和執(zhí)行層面具有指向性的細(xì)則。

此次跨大西洋數(shù)據(jù)隱私框架便是對(duì)歐盟兩部嚴(yán)格升級(jí)的立法的一次制度性回應(yīng)。歐盟方在聲明中強(qiáng)調(diào)，將與美國(guó)政府繼續(xù)就這一協(xié)議積極開展合作，以期盡早將這一安排轉(zhuǎn)化為雙方可以通過的法律文件。而依據(jù)歐盟數(shù)據(jù)立法的整體框架，美國(guó)的承諾需要充分尊重歐盟現(xiàn)有的數(shù)據(jù)法律文件，其對(duì)數(shù)據(jù)隱私保護(hù)的監(jiān)控應(yīng)當(dāng)符合歐盟DSA與DMA中對(duì)數(shù)據(jù)傳輸主體、尤其是大型服務(wù)提供商的相應(yīng)要求。

對(duì)我國(guó)有何啟示？

針對(duì)數(shù)據(jù)云服務(wù)廠商的國(guó)內(nèi)外合規(guī)要求，是當(dāng)下數(shù)據(jù)隱私被高度重視的時(shí)代不能忽視的一項(xiàng)重要命題。美歐合作的經(jīng)驗(yàn)表明，跨境數(shù)據(jù)流動(dòng)合規(guī)的制度建立是數(shù)字經(jīng)濟(jì)時(shí)代各國(guó)各區(qū)域建立長(zhǎng)效穩(wěn)定合作的基石。我國(guó)《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全審查辦法》對(duì)此次《跨大西洋數(shù)據(jù)隱私協(xié)議》中美國(guó)所承諾的網(wǎng)絡(luò)安全監(jiān)測(cè)等內(nèi)容、對(duì)歐盟法案中數(shù)據(jù)安全定期風(fēng)險(xiǎn)評(píng)估等要求，皆有不同程度的對(duì)應(yīng)性。但我們也應(yīng)當(dāng)意識(shí)到，在數(shù)據(jù)服務(wù)監(jiān)管平臺(tái)隱私保護(hù)要求日趨嚴(yán)格的當(dāng)下，實(shí)現(xiàn)充分高標(biāo)準(zhǔn)的數(shù)據(jù)合規(guī)自查、通過形成完善的自查規(guī)范體系以應(yīng)對(duì)數(shù)據(jù)企業(yè)跨境數(shù)據(jù)傳輸?shù)默F(xiàn)實(shí)要求、從而推動(dòng)數(shù)字經(jīng)濟(jì)背景下充分的交流與合作，是《跨大西洋數(shù)據(jù)隱私協(xié)議》發(fā)出的初步信號(hào)。（本文作者：車曉軒）

END

       原文標(biāo)題 : 從蘋果ATT新政第一年，看全球數(shù)據(jù)主權(quán)之爭(zhēng)與治理規(guī)則的變遷