经济合作与发展组织 (OECD) 周三就令人担忧的跨境数据流动问题取得了显着进展:经过两年的闭门讨论,该政府间组织通过了一项关于政府访问所持有数据的声明由私营部门实体。
该宣言已被 38 个经合组织国家和欧盟采纳,谈到“基于共同价值观的合法政府准入”——并确定了成员国同意的七项共同原则(总结如下),反映了所制定的“共同点”从他们现有的法律和惯例。既定目标是提高政府机构如何访问数据的清晰度。
通过该宣言的成员国包括美国、英国、法国和德国等欧盟成员国以及澳大利亚、加拿大、以色列、日本、韩国、墨西哥和新西兰等其他国际民主国家。
此举是在美国国家安全局告密者爱德华斯诺登向记者泄露大量情报文件,详细说明美国和其他西方民主国家的间谍如何悄悄利用商业互联网平台和在不考虑人们隐私的情况下帮助自己使用用户数据。
西方政府已经从斯诺登丑闻中走出来——在许多情况下——更新他们的法律框架以嵌入大规模监视(通常带有声称的民主问责制和保障的包装)。然而,各国为隐私提供的法律保护水平的差异,以及在监视制度下如何对待公民和外国人之间的差异,继续给跨境数据流动带来麻烦——经合组织担心这会威胁到全球数字网络的顺利扩展经济。
该宣言建立在早期(1980 年!)经合组织关于隐私和个人数据跨境流动的建议的基础上,通过解决影响个人数据跨境流动的“政策差距”——特别是解决它所描述的“缺乏在国际层面共同阐明各国在履行与国家安全和执法相关的主权责任的过程中访问私人实体持有的个人数据时为保护隐私和其他人权和自由而采取的保障措施”。
或者,换句话说,经合组织希望就政府表示他们将如何获取和使用私营部门用户数据的方式制定一套商定的原则,以书面形式公布,以建立人们对监控实践已经改革、受到监管并且越来越多的信任在经济联盟国家之间保持一致,以鼓励降低俱乐部成员跨境数据流动的障碍。
以下是宣言中的七项原则 – 简要概括:
1)法律依据:声明说政府的数据访问是由国家法律框架规定和规范的,该法律框架对政府当局具有约束力,并由在法治下运作的民主建立的机构采用和实施 – 并规定“目的,有关政府访问的条件、限制和保障措施,以便个人有足够的保障免受滥用和滥用的风险”。
2)合法目标:政府访问“支持追求特定的合法目标”,因此相对于这些目标并不过分,符合必要性、相称性、合理性等法律标准——并符合规则法律的。因此访问权限不能用于压制批评或异议等目的;或仅仅基于受保护的特征等而使个人或群体处于不利地位。
3)批准:它表示,事先批准要求已纳入法律框架,以确保访问“按照适用的标准、规则和流程进行”。声明还指出,这些“与政府访问将对隐私和其他人权和自由造成的干涉程度相称”——并规定“对更严重干涉的案件实施更严格的批准要求,以及可能包括寻求司法或公正的非司法当局的批准”。法律框架中还规定了批准要求的紧急例外情况,并且“明确定义,包括理由、条件和持续时间”。批准决定是“适当记录的”和“客观地、基于事实的,以追求特定和合法的目标,并满足批准要求”。在不需要批准的情况下,声明指出法律框架中的其他保障措施适用于防止滥用和滥用,包括“对访问施加条件或限制的明确规则,以及有效的监督”。
4)数据处理:通过政府访问获取的个人数据只能由授权人员处理和处理——此活动须遵守法律框架规定的要求,包括采取物理、技术和行政措施以维护隐私、安全、机密性和完整性。确保合法处理个人数据的机制;鉴于目的并考虑到数据的敏感性,仅在法律框架授权的期限内保留;并保持准确和最新(“在适当的范围内考虑上下文”)也包括在内,以及用于检测、防止和补救数据丢失或未经授权或意外数据访问、销毁、使用、修改的内部控制,或披露,并向监督机构报告此类情况。
5)透明度:政府访问的一般法律框架被宣布为“明确且易于公众获取,以便个人能够考虑政府访问对其隐私和其他人权和自由的潜在影响”。该文件还指出,存在为政府访问个人数据提供透明度的机制,“平衡了个人和公众的知情权与防止泄露会损害国家安全或执法活动的信息的需要”——提供示例比如监督机构公开报告政府遵守法律要求的情况;请求访问政府记录的程序;政府的定期报告;以及“如适用”,个别通知。私营部门实体可以“根据法律框架要求”发布有关政府访问请求的“汇总统计报告”。
6)监督:存在“有效和公正”的监督机制,以确保政府访问符合法律框架——通过包括内部合规办公室在内的机构提供;法庭;议会或立法委员会;和独立的行政机关。根据个人授权行事的机构有权获取和审查相关信息;进行调查或查询;执行审计;与政府实体就合规和缓解问题进行接触;解决不合规问题——还接收和回应不合规报告(以及可能的个人投诉),以确保政府实体承担责任。 “在行使职能时,监督机构不受干扰,并拥有有效执行任务的财力、人力和技术资源,”声明称。 “他们记录了他们的发现,制作了报告,并提出了建议,并尽可能地向公众公开。”
7)补救:法律框架为个人提供“有效的司法和非司法补救”以“识别和补救”违反国家法律框架的行为。声明称,此类补救机制“考虑到保护国家安全和执法活动机密的必要性”——规定这可能包括“限制告知个人其数据是否被访问或是否发生违规行为的能力”。可用的补救措施(“视适用条件而定”)包括终止访问;删除不当访问或保留的数据;恢复数据的完整性;以及停止非法加工。对个人所受损害的赔偿也被列为一种可能性——“视情况而定”。
跨境数据流动的棘手问题
经济合作与发展组织在声明随附的新闻稿中表示,希望它能增强信任并推动数据移动,并写道:“这些原则规定了法律框架如何规范政府访问;寻求访问时适用的法律标准;如何批准访问,以及如何处理结果数据;以及各国为向公众提供透明度所做的努力。他们还解决了一些更棘手的问题——例如监督和补救——多年来,这些问题已被证明对政策讨论具有挑战性。”
它补充说:“该项目源于人们越来越担心,在执法和国家安全等敏感领域缺乏共同原则可能会导致对数据流的不当限制。” “另一个激励因素是希望增加法治民主制度之间的信任,这些制度虽然不完全相同,但具有重要的共同点。”
“在这个数字时代,能够跨境传输数据对于从社交媒体使用到国际贸易和全球健康问题合作的方方面面都是至关重要的。然而,如果没有共同的原则和保障措施,跨司法管辖区共享个人数据会引发隐私问题,特别是在国家安全等敏感领域,”经合组织秘书长马蒂亚斯科尔曼在一份支持声明中补充道。 “今天具有里程碑意义的协议正式承认经合组织国家坚持共同标准和保障措施。它将有助于实现法治民主国家之间的数据流动,并提供个人对数字经济的信任以及政府之间就其公民的个人数据相互信任所需的保障措施。”
跨境数据流动仍然是一个非常热门的问题,欧盟——就在昨天——发布了美国关于跨大西洋数据出口的充分性决定草案。该尚未最终确定的欧盟-美国数据隐私框架旨在取代之前因担心美国政府监控而被欧盟最高法院否决的两项数据传输交易。与此同时,虽然欧盟机构着手审查美国为其公民提供的补救措施的质量,但他们担心数据一旦过池后将如何处理,法律的不确定性——甚至是区域关闭的风险——仍然悬而未决在欧洲的美国云服务。
一种降低进一步法律打击风险的方法——更广泛地说,当/如果各国出于对外国安全的担忧而采取行动保持对公民数据的主权控制时,可以抵制全球范围内不断上升的数据本地化浪潮监视——是为了让志同道合的国家更接近于一套管理政府访问私营部门数据的做法。
因此,该宣言读起来像是试图降低经合组织认为阻碍全球经济数字化转型的保护主义壁垒——以及后者所暗示的所有经济上行空间。
但这篇文章只是一个漫长的、从某些方面来说相当令人担忧的过程的结束。文本的旧版本——未公开但我们通过消息来源审查过——包含一些关于跨境数据流动主题的完全不同的措辞,这表明讨论室中的一些人对经合组织采取更积极的方法来消除跨境数据流动的障碍。
我们审查的提案文本包括这样的措辞,即如果目的地国家(无论是否为经合组织成员)“基本上遵守”和“有效实施” ,则成员国应“避免”出于国家安全或执法访问问题限制跨境数据流动”宣言的原则——并建议成员国应将关注重点放在数据流向国家安全或执法访问不符合原则或不符合民主价值观、法治和对人类的尊重的国家权利。
经合组织的最终声明删除了建议的文本——支持一个相当不那么雄心勃勃的承认声明,即“在我们的法律框架要求跨境数据流动受到保障的情况下,我们的国家将目的地国家有效实施这些原则视为在应用这些规则时对促进跨境数据流动的积极贡献”。
因此,签署方同意基本上无视他们自己的法治的想法——以欧盟为例(鉴于《通用数据保护条例》要求当地监管机构如果认为公民的数据不会从本质上获得,则暂停向第三国出口数据在目的地国家提供与欧盟同等的法律保护——目前,美国仍然是这种情况,美国是经合组织成员和本声明的签署国)——以最大化经合组织之间的数据流和经济增长的名义毫不奇怪,成员在最终文本中被删除了。
这样的建议会令欧盟深恶痛绝——欧盟派出高级代表参加了在西班牙大加那利岛举行的数字经济政策委员会部长级会议,并于周三下午通过了该宣言。因此,欧盟似乎对最终结果很满意。 (委员会的发言人服务没有回应有关早期措辞的问题,该措辞提议用替代的、较低的经合组织标准取代 GDPR 对向第三国传输数据的规定。)
抛开经合组织成员国之间一些含蓄的闹剧不谈,值得注意的是,经合组织的声明在任何情况下都不具有法律约束力。因此,虽然成员们的这份高层声明包含了他们“维护民主和法治,保护隐私和其他人权和自由”的承诺(相对于政府对数据的访问),但尚不清楚声明的实际影响有多大可能会对监视实践产生影响,而且,监视过度。
西方民主国家对大规模监控的麻烦胃口的任何重新配置(呃,跨境数据流动的法律风险较小)是否甚至旨在发表声明,谈论希望提高对数据流动的信任,同时声称:“[我们国家对政府准入的态度符合民主价值观;保护隐私和其他人权和自由;和法治,包括独立的司法机构”——尽管一些经合组织成员国已经立法赋予国家监督权力,人权组织谴责这些权力是反民主和隐私的,并且继续顽固地坚持法院一直认为非法的数据保留制度.
你不会在这份声明中发现那些令人尴尬的细节——尽管成员们声称拒绝“任何让政府访问私营部门实体持有的个人数据的方法,无论在何种情况下,这种方法都不符合民主价值观和法治,不受约束、不合理、任意或不成比例”。
虽然利益相关者要求政府做更多工作来保护隐私和言论自由,但在文本中只得到了一个顺便的“注解[d]”。
起草宣言的谈判的闭门性质也引起了民间社会团体(又名利益相关者)的关注——他们抱怨说他们无法充分参与讨论过程,这些团体无法发表评论例如,在出版前的最终草案。
CSISAC 在经合组织数字经济政策委员会中充当民间社会的代言人——帮助组织和民间社会团体之间的信息流动,以实现更好的政策成果——在声明发表后发表声明表示对政府准入谈判中“缺乏程序护栏”的担忧,并感叹在这种情况下没有遵循通常正式的多方利益相关者经合组织程序。
出席在西班牙大加那利岛举行的@OECD数字经济部长级会议的 CSISAC 指导委员会成员发布了一份关于“可信政府访问私营部门数据部长级宣言”的声明。 @OECDinnovation #oecdigital pic.twitter.com/3Et9xM3S2M
– CSISAC (@CSISAC) 2022 年 12 月 14 日
“在经合组织最敏感和最重要的项目之一中取消公民社会的发言权开创了一个危险的先例,”委员会继续指出,经合组织给出的排除原因——即宣言谈判中的情报界——不一定导致民间社会被排除在进程的后期阶段之外。它进一步敦促,未来任何“类似敏感的讨论”都不应该看到公民社会的意见被拒之门外。
经合组织通过了娜塔莎·洛马斯 ( Natasha Lomas ) 最初发表在TechCrunch上的关于可信政府访问私营部门数据的声明
原文: https://techcrunch.com/2022/12/14/oecd-declaration-trusted-government-access/