特朗普捅娄子？欧美第三代跨境数据传输框架再受挑战

文/麻策律师

特朗普上任伊始就开始废止拜登政府大量行政命令，其政策独立性通常由总统授予，但可以随时撤销或推，真可谓一朝天子一朝臣。

而现在，美国国家治理的不延续性，已经导致越来越多的挑战。在这其中，除了中美数据跨境问题，美加税务安排争议外，欧美之间的裂痕也在扩大。

自 1995 年以来，欧盟法律禁止将个人数据跨境传输到欧盟以外，除非有绝对需要，或者非欧盟国家对欧洲用户的个人数据提供了“基本等同”的保护。

而在另一方面，美国有非常严格的大规模监控法（例如FISA702或 EO 12333），允许美国政府访问存储在亚马逊、Meta、谷歌和任何其他美国大型科技公司中的任何数据。

其中，FISA702（即《外国情报监视法》（Foreign Intelligence Surveillance Act）第 702 条）是联邦调查局防范国家安全威胁的工具条款，授权从位于国外的非美国人那里有针对性地收集外国情报信息，但不得将美国人和美国境内的任何人作为目标。而 EO 12333（即Executive Order 12333--United States intelligence activities）是1981年签署的行政命令，是美国国家安全局收集、保存、分析和传播外国信号情报信息的基本授权条款，主要收集完全发生在美国境外的外国人以及美国境内外人之间的通信。

也正是基于此类因素，欧洲法院两次裁定（分别为Schrems I 和Schrems II）美国法律并非和欧盟数据保护的“基本等同”水平，而废止欧美跨境传输架构。

然而，欧盟掌舵人冯德莱恩坚持要通过第三代欧盟-美国数据传输协议，被称为“跨大西洋数据隐私框架”（Trans-Atlantic Data Privacy Framework，TADPF）。

2023年 7 月 10 日，欧盟委员会正式通过了TADPF，通过这项决定，欧盟委员会评估认为，美国对个人数据的保护水平与欧盟相当，因此个人数据可以从欧盟转移到参与欧盟-美国数据隐私框架的美国公司。 主要原因是，拜登总统于 2022 年 10 月 7 日发布了第 14086 号行政令，可以视为加强了对美国信号情报活动的限制，该命令旨在保护隐私和公民自由，同时确保只有在必要时才开展信号情报活动，这为美国国家安全活动的法律框架带来了"重大改进"。

这就是第三代欧美数据跨境框架方案。但好景不长，生命不止折腾不休的美国人又开始作妖了。

2024年4月20日，美国总统乔·拜登（Joe Biden）签署了FISA《外国情报监视法》702条的修订法案，重新授权一项有争议的“无证监视”计划可以延长两年，即联邦调查局（FBI）等国内执法机构可以在没有搜查证令的情况下监视境外美国人或非美国人的通信信息，让“日落条款”重新升起。

另外，众所周知的是，在钢铁侠马斯克助力下的特朗普自上任伊始，即任命马斯克领导“政府效率部”对冗余政府机构进行大刀阔斧的断尾。特朗普说，马斯克 "将为我的政府解散政府官僚机构、削减多余的法规、减少浪费性支出和重组联邦机构铺平道路"。

在这样的背景下，2025年1月27日，特朗普要求美国隐私与公民自由监督委员会（PCLOB）的三位民主党成员辞职。媒体认为，特朗普此举无疑是希望PCLOB陷入解散程序之中。

（该图片由AI生成，非真实照片）

但是，PCLOB却有尚方宝剑——这家独立的隐私监督机构是被直接写入“跨大西洋数据隐私框架”（TADPF）条款中的神级存在，用以确保欧洲公民的数据在传输到美国时得到充分保护。

框架条款是这么写的：

“在开展反恐活动的范围内，负有刑事执法责任的（美国政府）部门须接受隐私和公民自由监督委员会（PCLOB）的监督，该委员会是行政部门内的一个独立机构，由两党五人组成，经参议院批准后由总统任命，固定任期六年。”

如果TADPF解散或无法运作，欧盟可能会认为TADPF框架不符合其隐私标准，从而再次禁止欧美跨境传输。

再联想到美国采取非售即禁TikTok 的理由是“中国政府可以要求获取使用 TikTok 的美国用户的数据”。同样的道理，欧盟也完全有理由认为美国政府可以要求获取欧盟用户在类假似Meta、Google等平台中的数据而为美国互联网平台设下禁令或强卖令。

而就在2025年2月3日，特朗普下令成立“美国主权财富基金”，其目标似乎就是为了收购TikTok。

为此，在看到美国政府这些连番无厘头操作后，一位法国公民 Pascal Vautrin作为请愿人向欧盟委员会提出请愿书，对美国最近延长《外国情报机构法》（FISA）的期限以及欧盟和美国之间通过电子通信传输数据的状况表示关切。他认为，欧盟和美国之间的数据传输协议已经在法律和政治上受到质疑。

请愿人还认为，美国通过修订《外国情报监视法》，表明其对“跨大西洋数据隐私框架”（TADPF）的明显轻视，扩大了美国认为属于其权利范围的数据的域外性质，美国情报部门可以 "合法地 "捕获和收集欧洲公民和公司的数据。请愿人呼吁欧盟采取一切措施，不要接受欧盟目前所处的状况，并尽快审查，甚至推翻TADPF。

这足以让美国抖出一身冷汗了！

不过，欧盟委员会审查后认为，2024 年 10 月 9 日，欧盟委员会已向欧洲议会和理事会发布了关于欧盟-美国数据隐私框架充足性决定的第一次定期审查报告，该报告考虑了自充足性决定获采纳以来美国法律框架的相关发展,包括第 702 条 FISA 的重新授权。

第 702 条 FISA 的重新授权导致美国政府可命令提供信息的公司范围已扩大，但是美国司法部在致美国国会的一封信中承诺,将这一扩大的定义仅应用于特定类型的服务提供商，并在密级文件中提供了所扩大公司的具体名称。另外，美国司法部还另外承诺每六个月向国会报告关于更新后定义的任何应用,以使国会能够对该定义的窄覆盖范围进行适当监督。

因此，欧盟委员会公开回应了法国请愿人的请愿申请，认为FISA的重新授权修订并未减弱或影响适用于FISA702收集和使用数据的保障措施。

当然，欧盟委员会还拍了拍胸脯，表示如果美国法律框架中关键的负面发展导致所转移数据的保护级别不再足够,欧盟委员会将毫不犹豫地提议暂停、撤回或修订欧美数据传输的充分性决定。

特朗普似乎逃过一劫！

声明：本文来自互联网法律匠，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。