欧洲最高法院一项裁决表明，公民数据权利安全将是一国最宝贵资产_风闻

近日，欧洲最高法院裁决禁止将欧盟公民的个人信息资料大规模转移到美国公司，于是，一项备受各国瞩目的公民个人数据权利问题再次展露在人们视野。

事项缘起：由《欧盟-美国安全港协议》到《欧盟-美国隐私盾牌协议》

欧盟与美国2000年签订了《欧盟-美国安全港协议》，允许网络运营商忽略欧盟各国法规差异，在美国与欧盟国家之间合法传输网络数据。一直以来，包括谷歌、脸书、亚马逊等4000多家美国科技公司的欧洲运营模式受到该协议的保护，将欧洲用户数据输往美国存贮及分析。

欧盟之所以要与美国签订《欧盟-美国安全港协议》，是因为根据欧盟数据保护法律，欧盟公民的个人数据不能传输至非欧盟国家，除非该非欧盟国家能为这些数据提供有效保护。正是这一协议，赋予了美国的谷歌、脸书等几千家互联网公司可以合法的在美国开展数据传输业务。

2013年，美国前防务承包商雇员斯诺登爆料，脸书及其他公司在“棱镜”项目中和美国秘密情报机构串通，沆瀣一气。奥地利一名法学家施雷姆斯认为脸书所储存的个人信息受美国国家机构的监控，并不安全，于是向欧洲法院提出诉讼。欧洲法院于2015年10月裁定，鉴于美国未能遵从欧盟数据保护法律要求，欧美之间签订的《安全港协议》无效，脸书等美国公司应立即停止将收集到的欧洲用户数据传输至美国。

2016年，美国与欧盟就商业领域跨大西洋传输个人数据的隐私问题达成初步一致意见，双方签订了《欧盟-美国隐私盾牌协议》，以替代原有的《欧盟-美国安全港协议》。

根据新的《欧美-隐私盾牌协议》，用于商业目的的个人数据从欧洲传输到美国后，将享受与在欧盟境内同样的数据保护标准。美国政府部门郑重承诺将严格履行协定中的要求，保证国家安全部门不会对这些个人数据采取任意监控或大规模监控措施。欧盟委员会表示，新协定满足了欧洲法院裁定中的要求。

美国还向欧盟承诺，将在美国国务院内设立一个独立于国家安全部门之外的监察专员岗位。这个监察专员将负责处理来自欧盟公民就个人数据问题的投诉与问询，并提供相关信息。美国还将要求相关企业在45天内必须解决投诉。

若投诉未能及时解决，欧盟公民可向本国的数据保护部门提出请求，由他们出面与美国联邦贸易委员会沟通解决。美国表示，这些承诺都将写入美国的联邦公报中。

此外，欧美双方还提出建立年度联合审查机制，由欧盟委员会和美国商务部联合实施，用来监督该协定的实施情况。在此基础上，欧盟委员会将向欧洲议会和欧盟理事会提供进展报告。

法院裁决：欧洲法院推翻了2016年欧美达成的《欧盟-美国隐私盾牌协议》（Privacy Shield），裁定该协议无效

2020年7月16日，鉴于美国政府多年来对世界进行大规模监控，欧洲法院不得不禁止欧盟公民的个人信息资料大规模传输给美国公司。欧洲法院裁定2016年签订的《欧盟-美国隐私盾牌协议》无效，且该项裁决不能上诉。受此影响，成千上万的公司可能不得不停止在美国的服务器上存储欧盟居民的个人信息。

欧盟法院在裁决中称——

“美国国内法对美国公共当局获取和使用从欧盟转移来的此类数据的限制意味着，欧盟的公民的数据不安全。”

“隐私权盾没有对欧盟公民的个人隐私权提供充分的保护。美国政府大规模数据监控计划使得美国数据公司不可能保护在美国处理和存储的个人数据的隐私。”

“美国关于公共当局获取和使用从欧洲联盟向第三国转移的此类数据的国内法所规定的个人资料的限制并未按照相称原则，以符合基本相当于欧盟法律规定的要求的方式加以限制。”

“就某些监视方案而言，这些规定并未表明对其执行这些方案所赋予的权力有任何限制，或对可能针对非美籍人员有保障。虽然这些条款规定了美国当局在实施相关监控计划时必须遵守的要求，但这些条款并未允许数据主体在法院对美国当局提起诉讼的权利。”

换句话说，即使美国谷歌、脸书和亚马逊等类似企业有所抗拒，它们也无法阻止美国政府获取数据，欧盟公民在这种情况下也没有权利阻止美国政府行为。

这项裁决并不阻止欧盟公民个人向美国转移个人数据，企业仍然可以有选择地这样做，只要能够证明确有必要。例如，欧盟的公民在美国办理酒店预订手续。但是，将数据集中传输到美国处理或存储已经不再合法。

与此同时，欧洲法院还是批准了另一个系统，以便传输被称为“标准合同条款（Standard Contracttual Clauses）”数据。

公民数据：一项未来最宝贵的个人资产与国家经济安全与国防安全资产

公民的个人隐私权利受法律保护。所谓个人隐私权，是指公民个人享有私生活安宁和私生活秘密不受他人打扰的权利。

但是近年来，随着互联网尤其是移动互联网的兴起，加上大数据、人工智能的加持，传统的个人隐私权正在被更为宽阔和更为通用的数据权（或信息权）所覆盖。

数据权（信息权）包括两个不可分割的方面。一个是政府或政府授权的机构，为了国家社会与公共利益，有权收集、制作和掌握个人信息，包括隐私信息；另一个是公民信息自决权，即公民可自我决定在何时以及在何种范围内对外公开个人生活事实，未经个人同意，任何单位、机构不得擅自公布、泄露个人信息。

数据权（信息权）不仅保护消极意义上的个人独处和生活秘密的隐私权，还包括积极意义上个人对自身数据的控制，其保护对象覆盖所有直接或间接可以用以个人识别的数据信息。

数字经济的发展繁荣，不仅凸显了公民个人数据在经济发展中的作用，而且也将公民个人信息在国家经济发展与国家安全中的作用空前的凸显出来。

以一部手机掌握的个人隐私信息为例，相关公司与机构就可以运用技术或征得公民个人同意后获取公民个人电话号码、家庭住址、运动轨迹、社会保险、健康状况、兴趣爱好、购物偏好、阅读兴趣、收入与支出等等信息。如果相关机构对上述个人隐私信息进行大数据分析，就可以对一国的经济安全、国防安全进行全方位掌控。甚至在两国敌对时，一国利用掌握的他国公民个人信息优势，通过大数据分析，可以达到不战而屈人之兵的目的。

掌握公民个人数据，在数字经济时代还可以获取巨大经济利益，公司企业掌握的个人信息越多，获取的经济利益就越大。无论是美国的脸书、谷歌、亚马逊还是苹果，无论是中国的阿里、腾讯、京东还是拼多多与字节跳动，无不说明掌握个人用户数据的重要性。在一国内部的竞争中，掌握个人信息的多少已经成为公司企业之间竞争力的表征；在国家之间的竞争中，掌握国际公民个人信息多少更是成为国家之间经济竞争力与安全竞争力的表征。

欧盟在二十世纪后期开始，数字经济发展缓慢，远远落后于中美，其结果是：欧洲多年来已经沦为美国各大互联网数据公司砧板肉，成为美国公司的“数字奴隶”，其国民财富源源不断的流向美国公司的腰包。

而中国正好与欧盟相反，得益于本土互联网尤其是移动互联网的崛起，中国的数字经济在与美国公司竞争中分庭抗礼，基本保住了本土数字经济财富不外流，诞生了一批数字经济公司巨头，迫使美国的数字公司巨头诸如脸书、亚马逊与谷歌等企业败走中国。

从某种意义上讲，美国之所以大力打压中国的华为公司，表面上是害怕和忧虑华为公司5G的信息安全，实际上是害怕美国自己失去从数字信息中获取他国信息秘密的独占权。从3G到4G时代，美国利用发达领先的信息技术窃取了他国政要和公民天量的个人隐私信息，并利用长臂管辖抓捕他国公民政要、公司高管获取巨额商业利益，或者直接用暗杀或定点清除手段对他国公民政要进行肉体消灭，从而保障自己国家安全利益。

欧洲法院的裁决表明：公民的个人隐私信息不仅是一项重要的国家经济权利，也是一项重要的国家经济安全与国防安全权利。欧洲过去多年来向美国白白贡献了治下公民个人的隐私信息，但建立在公民个人隐私权信息之上的经济利益却被美国公司悉数尽收。

欧盟各国的可悲还在于：欧洲可以运用法律保护治下各国公民的个人隐私信息安全权利，但无法充分保护治下欧盟各国利用公民信息获取经济利益的权利。因为欧盟内部至今仍未诞生一家在世界看来既有竞争力又有一定知名度的数字技术公司。欧洲只有依靠自身一批知名的有竞争力的数字技术公司，才能真正保护欧盟各国自身的利益。

欧洲法院的裁决对中国的启示是：对内应加大对公民个人隐私权信息保护，对外应加大国际间公民个人隐私信息转移的保护；凡是跨国公司利用互联网或通信设施收集、获取中国公民个人隐私信息的，必须符合中国的法律，其对公民个人隐私信息的集中收集、传输处理与存储都必须在中国境内进行，并接受中国政府的严格监管。期待中国正在制定的《数据安全法》即能够很好地保障中国公民的个人隐私安全，也能够很好地保护国家的经济安全和国防安全。