GDPR四周年 | 无法律边界的数据殖民时代结束了！

来源：The New York Times

作者：David McCabe、Adam Satariano

翻译：汪越洋，上海交大法学院硕士生

每当我们发送一封电子邮件、点击Instagram广告或刷卡时，我们就创造了一段数据。

这些数据飞速传播到世界各地，成为一种支撑数字经济的无边界流动。比特和字节（bits and bytes）的流动在很大程度上不受监管，它帮助推动了谷歌和亚马逊等跨国巨头公司的崛起，并重塑了全球通信、商业、娱乐和媒体。

不过，现在对数据开放全部边界的野蛮殖民时代正在结束。

法国、奥地利、南非和其他50多个国家正在加速控制其公民、政府机构和公司产生的数字信息。在安全和隐私问题，以及经济利益和民族主义冲动的驱动下，各国政府正越来越多地制定关于数据如何在全球范围内传输的规则和标准，这些目的是为了获得 "数字主权"。

我们可以看到：

• 在华盛顿，拜登政府正在起草一份行政命令的草案，旨在阻止中国等竞争对手获取美国数据。

• 在欧盟，法官和政策制定者正在努力保护27国集团内部产生的信息，包括更严格的在线隐私要求和人工智能规则。

• 在印度，立法者正着手通过一项法律，限制哪些数据可以离开这个拥有近14亿人口的国家。

• 根据美国信息技术和创新基金会的数据，从2017年到2021年，要求数字信息存储在特定国家的法律、法规和政府政策的数量增加了一倍多，达到144个。

一些国家长期以来一直封锁其数字生态系统，但对信息流动施加更多的国家规则代表了西方世界的根本转变，并改变了互联网自20世纪90年代广泛商业化以来的运作方式。

这对商业运作、隐私以及执法和情报机构如何调查犯罪和运行监控项目的影响是深远的。微软、亚马逊和谷歌正在提供新的服务，让公司在一定范围内存储记录和信息。而且，数据的流动已经成为地缘政治谈判的一部分，包括3月份原则上同意的一项跨越大西洋共享信息的新协议。

都柏林城市大学欧洲法律教授费德里科·法布里尼(Federico Fabbrini)说：“过去十年中，数据量变得如此之大，以至于产生了将其置于主权控制之下的压力。”他写了一本关于该主题的书，并认为数据本身就比实物更难监管。

对于大多数人来说，新的限制不太可能关闭流行的网站。但用户可能会失去对一些服务或功能的访问，这取决于他们的居住地。Facebook的母公司Meta最近表示，它将暂时停止在德克萨斯州和伊利诺伊州提供增强现实（AR）过滤器，以避免根据有关使用生物识别数据的法律被起诉。

关于限制数据的辩论呼应了全球经济更广泛的断裂。在供应链因疫情而中断，从冰箱到汽车的交付都被推迟后，各国正在重新考虑对外国供应链的依赖。由于担心计算机芯片生产商可能会受到的影响，美国和欧洲的立法者正在推动建立更多的国内工厂，生产为成千上万的产品提供动力的半导体。

霍金路伟律师事务所的合伙人爱德华多·乌斯塔兰说，对数字信息的态度转变“与更广泛的经济民族主义趋势有关”，该律师事务所帮助公司遵守新数据规则。

数字主权的核心理念是，个人、企业或政府创造的数字信息应该存储在其来源国，或者至少按照政府制定的隐私和其他标准进行处理。在信息比较敏感的情况下，一些政府也希望信息由当地公司控制。

这是与今天相比的一个转变。因为大多数文件最初是在本地存储在个人电脑和公司主机上，但在过去二十年里，随着互联网速度的提高和电信基础设施的发展，云计算服务允许德国人在加州的谷歌服务器上存储照片，或者意大利的企业在西雅图的亚马逊网络服务上运行网站。

2013年，美国国家安全承包商爱德华·斯诺登(Edward Snowden)泄露了大量文件，详细介绍了美国对数字通信的广泛监控，此后出现了转折点。在欧洲，人们越来越担心，对Facebook等美国公司的依赖使欧洲人容易受到美国窥探的影响。这导致了关于在线隐私的长期法律斗争，并导致了为保护传输给美国公司的通信和其他信息的跨大西洋谈判。

据美国信息技术和创新基金会称，在肯尼亚，规则草案要求来自支付系统和医疗服务的信息主要存储在该国境内。哈萨克斯坦表示，个人数据必须保存在其境内的服务器上。

在欧盟，欧洲人的个人数据必须符合在线隐私法的要求，即2018年生效的《通用数据保护条例》。另一项法律《数据法》，将对哪些企业信息可以提供给集团外的情报部门和其他当局适用新的限制，即使有法院命令。

欧盟最高反垄断执法官员玛格丽特·维斯塔格(Margrethe Vestager)说：“这也是主权国家的意识，我们可以保持对敏感领域所做工作的了解，这也是我们的定义的一部分。”

两位熟悉此事的人士说，拜登政府最近起草了一份行政命令，赋予政府更多权力，以阻止涉及美国人个人数据、危及国家安全的交易。一位政府官员说，路透社早些时候报道的这份文件是发给联邦机构征求反馈意见的初稿。

但华盛顿一直试图保持美国和其盟友之间的数据流动。在3月前往布鲁塞尔协调应对俄乌冲突中，美国总统拜登宣布了一项新协议，允许欧盟的数据继续流向美国。

在欧盟法院于2020年否决了欧美之前的隐私盾协议后，该协议是必要的，因为它没有保护欧洲公民免受美国执法部门的间谍活动，危及到成千上万的公司在大西洋上传输数据的业务。

在12月的一份联合声明中，美国商务部部长吉娜·雷蒙多和英国最高数字部长纳丁·多里斯说，他们希望抵制“有可能关闭国际数据流的负面趋势”。美国商务部上个月还宣布，正在与几个亚洲国家和加拿大联合，以保持数字信息在国家之间的流动。

随着新规则的出台，美国科技行业已经发出了警报。代表亚马逊、苹果、谷歌、微软和Meta的团体认为，数据的自由流动推动了网络经济的发展。他们说，如果科技公司被要求在本地存储所有数据，他们就无法在世界各地提供同样的产品和服务。

但各国还是采取了严厉的措施。在法国和奥地利，谷歌的互联网测量软件 “谷歌分析”的客户今年被告知不要再使用该程序，因为它可能使欧洲人的个人数据暴露在美国的间谍活动中。

去年，法国政府取消了与微软签订的处理健康相关数据的协议，因为当局将合同授予一家美国公司而受到了批评，后来官员们承诺将与当地公司合作。

各家公司都进行了调整。微软表示，它正在采取措施，使客户可以更容易地将数据保存在某些地理区域内。最大的云计算服务机构亚马逊网络服务说，它让客户控制数据在欧洲的存储位置。

在法国、西班牙和德国，谷歌云在过去一年中与当地的技术和电信供应商签署了协议，这样客户在使用谷歌的产品时，可以保证他们的数据由当地公司监督。

领导谷歌云在欧洲的公共政策业务的Ksenia说：“我们想在他们所在的地方满足他们。”

亚马逊网络服务公司的政府转型主管利亚姆·麦克斯韦在一份声明中说，该公司将适应欧洲的法规，但客户应该能够根据自己的需求购买云计算服务，“而不是受限于技术提供商的总部所在地”。

曾就Facebook的数据共享行为赢得诉讼的奥地利隐私活动家Max Schrems说，数字信息方面的更多纠纷迫在眉睫。他预测，拜登宣布的美国-欧盟数据协议将再次被欧洲法院驳回，因为它仍然不符合欧盟的隐私标准。

“我们曾经有一段时间，数据完全不受监管，人们为所欲为，”Schrems说。“现在我们逐渐看到，每个人都试图监管它，但监管方式不同。这是一个全球问题。”