在当今国际化、数字化的大背景下,国际数据监管规则对能源行业的影响日益凸显。而美国和欧洲近期出台的数据保护和使用规定也呈现“道高一尺,魔高一丈”的趋势,使得能源行业面临着日益增加的政策风险。
来自法国智库国际关系研究所的文章深入剖析了美欧相关法案,如:《CLOUD法案》、《一般数据保护条例》、《司法协助条约》具体条例的制定与实施困境,以及这些法案背后美国与欧洲在能源领域日益激烈的数据“逐低之争”。
文章仅供参考,观点不代表本机构立场。
作者:Édito Énergie
发布时间:2019年2月22日
编译:学术plus评论员 大林
来源:https://www.ifri.org
随着信息通信技术(ICTs)在能源基础设施的普及,能源生产、储存和使用过程日益数字化,能源部门的“数字革命”正在拉开帷幕。
未来数年,欧盟(EU)和美国可能会安装数亿台智能电表,信息通信技术使收集和分析大量复杂数据以优化整个能源系统成为可能,同时为消费者提供一系列定制服务。能源行业的公司正逐渐变成大规模的数据收集者。
欧盟《一般数据保护条例》
欧盟于2018年5月颁布并实施《一般数据保护条例》(GDPR)。由于该条例对处理欧盟公民数据的公司提出了许多严格的要求,严重地影响了能源行业。该条例明确指出,其规定不仅涵盖欧盟的公司,世界上处理欧盟公民或居民数据的任何公司都要遵循这一条例内容。而欧盟作为美国的第一大贸易伙伴,所以该条例实质上是在敦促大量美国公司去遵守欧盟的新规则。
GDPR的影响,褒贬不一
某些报道称,GDPR可能最终导致大公司损失超过10亿美元。这在一定程度上是由于欧盟对违规行为的高额罚款(可达全球营收的4%),这可能会对企业竞争力和跨大西洋贸易产生极大负面影响。然而,其他研究认为(1)该条例的一些规定,要求企业现代化和更新其运作方式,使其更有效率和更有竞争力;(2)GDPR还为数据保护制定了一套共同的规则,这将为大西洋两岸的公司带来明确的法律规定,从而可能促进跨大西洋贸易;(3)而与重视数据保护的公司相比,不遵守GDPR的公司现更可能处于竞争劣势。因此,总体而言,该条例在隐私保护方面的好处是显而易见的。
与美国CLOUD法案的冲突
美国CLOUD法案
2018年3月23日,美国国会批准了《数据海外合法使用法案》(Clarifying Lawful Overseas Use of Data Act,以下简称CLOUD法案),作为2018年联邦综合支出法案的一部分。从经济角度和隐私保护角度来看,GDPR带来的许多潜在好处都有可能受到CLOUD法案立法的冲突。
简而言之,CLOUD法案是1986年《存储通信法案》(SCA)的补充,涵盖了互联网服务提供商持有的电子通信信息泄露的处理方法。因此,CLOUD法案规定,在调查范围内,美国联邦当局可以通过指令或传票强制美国技术公司交出其服务器和数据中心存储的数据。无论此类数据是否存储在美国本土或外国都适用,有关人员不会得到通知,并且不存在存储数据的国家的司法当局监督的可能性。
这些规定与GDPR的几个关键部分,特别是第44条至第48条发生了直接冲突,这些条款对欧盟公民数据的国际转移置于非常严格的条件下。
《司法协助条约》
到目前为止,个人数据的国际转移一直受到《司法协助条约》(MLAT)的监管,双边安排往往缓慢而繁琐。CLOUD法案的一个明确目标是绕过现有的系统,建立一个更快速、更高效的系统,某些外国政府可以与美国签订“双边行政协议”,实现直接和对等的数据传输。这与GDPR坚持认为《司法协助条约》为保护欧盟公民数据的国际传输提供了最充分的框架背道而驰。此外,尽管CLOUD法案包含了许多条款,旨在提供保护个人数据的保障措施,但这些条款尤其是与《司法协助条约》相比有明显的不足。因此,这意味着CLOUD法案可能会使《司法协助条约》和GDPR中包含的许多隐私保护相关规定失效。
CLOUD法案对能源行业的影响
CLOUD法案对能源行业产生了直接影响,因为大西洋两岸的能源公司都大量使用云计算技术存储和处理器海量数据。对于公司而言,通过新的信息通信技术(如智能电表)将收集的所有数据存储在自己的数据中心中,正在变得越来越困难。
然而,云计算技术的经济效益十分可观。2017年,全球能源领域的云存储市场预计为17.86亿美元,未来几年将以25.68%的复合年增长率增长,到2023年将达到70.37亿美元。鉴于美国公司在这一领域处于世界领先地位,欧洲能源公司对美国的云服务商依赖程度很高。即使不依赖美国的云服务,任何一家在美国拥有分支机构的欧洲云服务提供商也有可能受到CLOUD法案的管辖。鉴于跨大西洋贸易广泛程度,这将涉及大多数欧洲云服务提供商。
风险,迫在眉睫
(1)CLOUD法案可能绕过GDPR,使数百万接受能源等众多行业服务的欧盟公民的个人数据容易遭到美国联邦当局的拦截和监控。除了国家安全方面的担忧,随着CLOUD法案的通过,(2)工业间谍活动可能会变得更加普遍。此外,(3)能源公司和许多其他行业从事跨大西洋贸易的公司,可能会陷入CLOUD法案和GDPR之间相互矛盾的法律监管之中。这可能使他们同时面临欧盟和美国联邦当局的制裁。
尽管许多欧洲能源公司确实依赖美国的云服务提供商,并在美国市场占有一席之地,但它们只有在美国受到司法调查的情况下,才容易受“云计算授权”的影响。因此,大多数欧洲能源公司更关心怎样逃避GDPR监管,而不是CLOUD法案。但如果美国真的展开司法调查,目前无法避免“云计算授权”与GDPR的冲突,可能会导致企业在大西洋两岸都面临非常严厉的制裁。
对CLOUD法案的不同响应
想让欧盟同时遵守GDPR和CLOUD法案,几乎是不可能的。
一种可能解决困境的方案是:欧盟与美国谈判达成一项“双边行政协议”。这可能有助于为美国获取欧盟公民数据(包括能源领域的数据)设定明确和对等的条件,从而在一定程度上遏制对隐私权的损害。然而,在不违反GDPR关键条款的情况下,欧盟与美国就这样一项“双边行政协议”进行谈判,可能会非常具有挑战性。
另一个解决方案可能是欧盟和成员国完全依赖基于欧盟的云提供商,实现“数字主权”。作为对CLOUD法案的回应,一些欧洲能源公司试图通过赋予“本地”云计算解决方案特权,减少对美国云计算供应商的依赖。然而,大多数欧洲云提供商和能源公司在美国都有某种形式的商业活动,这使得它们很容易受“云计算授权”的影响。只有少部分欧洲云服务提供商完全与美国市场隔绝,而且他们可能无法独自通过智能计量处理和存储的大量数据。
跨大西洋“隐私保护框架”
因此,欧盟应首先加强跨大西洋“隐私保护框架”,以确保根据本协议转让给美国公司的欧盟公民的数据在CLOUD法案通过后仍受到保护。
“隐私保护框架”旨在取代先前的“安全港协议”,该协议于2015年10月因隐私权保护不足而被欧洲法院推翻。新的隐私保护计划旨在为跨大西洋的商业数据交换过程中,包括在能源部门,提供更强有力的保障。
尽管专家们认为“隐私保护框架”比“安全港协议”有所改善,但仍面临许多法律挑战。特别是,CLOUD法案对欧盟委员会(EC)2016年7月的“充分性决定”提出了质疑。后者认为,“隐私保护框架”提供了与欧盟法律同等程度的数据保护,因此足以将欧盟公民的数据转移到美国。因此,欧盟迫切需要美国联邦当局提供更多担保,以确保其可行。
然而,特朗普总统对隐私保护兴趣不大,美国政府相关政策也没有转变,因此美国的隐私保护框架可能就暂时停在CLOUD法案了。
欧洲版CLOUD法案《电子证据倡议》
在这种背景下,欧盟似乎采取了一种现实政治手段,制定了所谓的欧洲版CLOUD法案。
2018年4月,在美国CLOUD法案获批不到一个月后,欧盟委员会发布了一份立法提案,以指令和监管的形式概述了新的规则,被称为《电子证据倡议》(e-Evidence Initiative)。与CLOUD法案一样,《电子证据倡议》将为执法机构提供更强大的工具,以便在调查的背景下获取跨国界存储的数据。更重要的是,它将赋予欧盟当局更大的权力,可以直接从提供者那里获取数据,即使这些提供者的总部不在欧盟,而且无论数据由哪个实体保管或拥有。尽管《电子证据倡议》仍未批准,但已引发了能源等行业的强烈抗议。
数据保护的“逐底竞争”
令人担心的是,欧盟效仿CLOUD法案,会使得大西洋两岸展开一场数据保护的“逐底竞争”,这对大西洋两岸的隐私权都可能造成可怕的后果。可以理解的是,欧盟正在寻求一种有效的工具,使得执法机构能更有力地打击组织犯罪和恐怖主义,同时也是在向特朗普政府展示欧洲的决心。然而,这不应该以牺牲数据保护和欧洲核心价值观为代价。
逐底竞争(race to the bottom)是国际政治经济学的一个著名概念,意指在全球化过程中,资本流遍世界,就是为了寻找最高的回报率;因此,政府在有关福利体系、环境标准和劳工保障的政策执行方面会受限制,意味发展中国家必须竞相削减工资水平和福利待遇以吸引国际企业投资设厂。
《电子证据倡议》将于未来数月进行修订,因此必须确保与GDPR提供一致的隐私权保护。必须注意的是:CLOUD法案和《电子证据倡议》都体现了对现有《司法协助条约》效率低下的回应。然而,由于后者在隐私保护方面仍然提供最佳保障,欧盟应寻求改善其法律框架,而不是试图绕过它。这意味着与伙伴国家更密切地合作,以确保《司法协助条约》能够为国际数据交换提供更快速和有效的结构。
总体而言,GDPR、CLOUD法案和《电子证据倡议》都表明,跨大西洋在数据保护方面的竞争正在升级,将在未来几年对能源部门产生重大影响。
https://www.ifri.org/en/publications/editoriaux-de-lifri/edito-energie/us-rivalry-data-protection-energy-sector-implications
声明:本文来自学术plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
