内容提要:为应对新冠肺炎疫情的挑战,欧洲出台了相关的数据治理措施,学者们对此评价分歧严重,对此问题的研究有助于进一步探讨该分歧。梳理疫情对欧洲在公共安全与数据保护方面的挑战,可总结出数据治理的“欧洲方案”,包括立法、工具、监督、国际合作及延续等方面。“欧洲方案”虽然在一定程度上遏制了疫情的蔓延,但受欧盟传统价值观影响,该方案在公共安全和数据保护的平衡上过于理想化,加深了二者的困境,存在较多问题,如立法模糊、工具的有效性及安全性不足、国际合作道阻且长、数字绿色证书规制有待完善等。因此,在重大公共卫生危机下,探寻公共安全与数据保护的平衡任重而道远。
关键词:欧洲方案 数据治理 数据保护 公共安全
引言
新冠肺炎疫情大流行给人类带来巨大挑战。在全球抗疫过程中,数字技术发挥了不可替代的作用。电子健康数据、接触者追踪应用程序、电子医疗系统等技术的应用,在遏制疫情扩散方面成效显著。但是,疫情大流行期间,公私部门大规模地收集个人数据引发人们对数据保护的担忧。尽管欧洲走在数据保护规则领域的前沿,但疫情之下,其为了公共安全而采取的数据治理措施仍遭受诸多质疑。2020年4月30日,欧洲数据保护监督局(European Data Protection Supervisor,下文简称EDPS)专员沃伊切赫·维维罗夫斯基(Wojciech Wiewiórowski)发表声明,称人类不需要在公共卫生安全与数据保护之间做出权衡,疫情时代的民主国家可以且必须同时拥有二者。然而,2021年9月28日,他又不得不承认,欧洲从新冠肺炎疫情大流行中得到了许多教训,需要通过开发新工具、建立新认知来应用新技术,并充分了解这类技术可能对社会产生的风险。由此可知,自信如欧洲,其数据治理在疫情之下也暴露出诸多问题,尤其是公共安全与数据保护的平衡。
2021年10月举行的第43届全球隐私大会(Global Privacy Assembly,简称GPA)重点关注疫情大流行背景下的数据保护问题,明确人类在隐私数据保护与公共卫生安全问题上面临的最新困难与挑战。截至2021年11月1日,全球累计新冠死亡病例超过500万例,500万生命的凋零印证了一个残酷现实,那就是新冠毒株可能变种频出,抗疫马拉松远未结束。根据当前的趋势预判,抗击疫情可能成为“持久战”,而公共安全与数据保护之间的平衡问题也可能会持续存在。因此,界定与评价欧洲应对疫情的数据治理方案,对当前和未来数字工具应用中公共安全与数据保护的考量均有重要的参考价值。
一、文献回顾:两种观点
2016年4月,欧盟通过《通用数据保护条例》(General Data Protection Regulation,下文简称GDPR),旨在保护欧盟公民的数据隐私。GDPR号称世界上最全面、最严格、最先进的数据保护立法。2018年5月GDPR在整个欧盟层面正式生效。长期以来,在数据保护规则的制定领域,欧洲一直处于世界领先地位。虽然欧洲反复强调,在新冠肺炎疫情大流行期间,数据保护规则不会成为抗击疫情的阻碍,但是,针对疫情期间欧洲数据治理政策的质疑不绝如缕。其中,公共安全与数据保护之间的辩论成为核心议题。现有研究成果对新冠肺炎疫情暴发后的欧洲数据治理问题形成了两派截然不同的观点。
第一种观点对欧洲在疫情期间的数据治理持肯定态度。有研究指出,面对疫情期间隐私和数据保护基本权利的挑战,欧盟数据保护法律框架的设计足够灵活,因此能够有效遏制病毒,并且保护基本人权和自由。有学者认为,欧盟GDPR的研究豁免条款可以支持全球抗疫工作的展开,更有助于欧洲在疫情之下的团结与合作。有学者认为,欧盟的疫情治理凸显其内部团结和对外强大的欧洲模式韧性。有人提出,在数字治理及规则领域,欧盟的探索卓有成效。还有学者专门探讨了欧洲刑警组织的数据保护机制,肯定了该机制在后疫情时代的意义。有学者认为,疫情期间,数字科技抗疫十分重要,但是需要保证这些科技工具符合道德,在设计技术治理程序时纳入道德-法律分析因素,欧盟可以在确保数字工具稳定性的同时尽可能地满足道德要求。有研究认为,新冠疫情危机对基本人权的侵犯难以避免,但在接触追踪工具应用问题上,欧盟可以通过寻找一种数据最小化的解决方案,最大限度保护隐私数据。
第二种观点则对疫情背景下欧洲的数据治理提出质疑。有学者认为,与隐私保护相比,遏制疫情是首要任务。但是欧盟现有的数据治理体系在危机状态下的分歧过多,导致利用数字科技合作抗疫的工作无法顺利开展。有研究指出,欧洲数据治理体系的弊端在于,公民数据的“隐私优先”方法与研究病毒数据的“数据优先”方法之间存在重大分歧;欧洲数据泄露问题频发暴露其治理体系的不足,加剧了公民对数字技术的不信任,并阻碍了为公共卫生安全而进行的大规模公共数据收集。有学者发现,虽然欧盟成员国各自出台了应对疫情的措施,但是,在严格程度及具体操作方式上差异过大。尽管欧盟委员会试图通过发布相关指南协调成员国之间的行动,但行动限制措施和由此产生的不确定性极大地影响了人民、经济和社会,从而对其有效性及合理性提出质疑。还有学者指出,虽然GDPR等法规明确保留了涉及“公共利益优先”的敞口,但各国在达成是否、何时以及如何使用“公共利益优先”监管敞口过程中充满争议,导致疫情控制错过最佳时期。有学者认为,从远程办公到病毒跟踪系统,新冠肺炎疫情让欧盟对数字技术更加依赖,因此也诱发了大量的网络犯罪,增加了国家、企业和公民面临的网络安全风险。欧盟现有的网络安全政策路径依旧停留在传统数字技术时代,公私部门之间的信任关系与话语转向并不同步,因此不能有效缓解数字应用快速发展带来的紧张态势。有研究认为,当流行病严重影响公共卫生安全时,抗疫需要与个人权利的保护往往容易失衡。新冠疫情大流行期间,欧盟虽然拥有强大的数据保护制度,但是相关技术手段对个人数据的收集依然对隐私权造成了严重威胁。
通过文献梳理可知,现有成果并未对疫情暴发后的欧洲数据治理方案进行系统总结,也未针对公共安全与数据保护之间的平衡展开深入探讨。尽管欧洲一再强调公共安全与数据保护之间的平衡至关重要,但是新冠肺炎疫情大流行期间,其数据治理政策是否实现了其预设目标,需要进一步分析。新冠肺炎疫情的暴发,可以说是欧盟自成立以来遭受的最大考验。本文试图通过梳理新冠肺炎疫情对欧洲在公共安全与数据保护方面造成的挑战,总结出一套数据治理的“欧洲方案”,并通过对此方案的评价与反思,来回答欧洲在危机中是否如其所言,即兼顾了公共安全和数据保护。希望本文对疫情期间及疫情结束后的数据治理具有一定的借鉴意义。
二、疫情对欧洲的双重挑战:公共安全与数据保护
2020年年初新冠肺炎疫情大规模流行以来,由于欧洲各国初期的抗疫表现糟糕,其很快成为疫情的震中地区。疫情对其公共安全造成严重损害,包括公民的健康和生命安全受到威胁、经济下滑与就业下降,以及社会和政治不稳定因素增加等。不仅如此,因疫情的扩散及部分抗疫措施的实行,欧洲的数据保护形势也变得更为严峻。公共安全和数据保护的双重挑战加大了疫情下欧洲的数据治理难度。
(一)公共安全受到严重威胁
公共安全(public security)是指保护个人、财产、物品免受灾害或事故等危险的威胁。欧盟本身并未对公共安全做出明确定义,有关成员国立法或争议的公共安全概念一般由欧洲法院(CJEU)酌情解释。针对此次新冠肺炎疫情危机,欧盟在2020年7月24日发布的《欧盟安全联盟战略》中阐明了新冠肺炎疫情对欧洲安全的影响,并据此重塑了欧盟的公共安全政策,强调了保证物理环境和数字环境安全的必要性。欧盟认为,新冠肺炎疫情的大流行,使得新技术在许多企业和公共服务中得以运行,因而对欧盟的网络安全造成巨大影响,并且进一步影响欧盟的经济安全和社会安全。因此,本文所讨论的公共安全除新冠肺炎疫情引发的公共卫生安全之外,还包括经济安全和社会安全。
首先,新冠肺炎疫情在欧洲暴发以来,欧洲各国民众的生命健康受到严重威胁。截至2022年4月30日,欧盟/欧洲经济区的确诊病例高达139,151,564例,其中法国28,645,285例、西班牙11,930,078例、意大利16,463,200例、德国24,919,986例、波兰5,909,025例;欧盟/欧洲经济区的死亡病例升至1,085,379例,其中意大利163,507例、法国145,930例、德国139,223例、西班牙105,093例、波兰116,059例。更让人担忧的是,确诊病例和死亡病例仍在继续增加。2021年9月30日发布的风险评估中,欧洲疾病预防控制中心(European Centre for Disease Prevention and Control,简称ECDC)认为,欧盟疫苗接种水平不足,感染率和致死率的风险依然很高,在此情况下,由于病毒的高传播性,已接种疫苗的易感人群也面临着重大威胁。尽管疫苗的研发让欧洲地区的疫情有所缓解,但是,新冠病毒对民众的健康和生命安全危害依然存在,且可能会长期存在,当前及未来的抗疫形势仍然十分严峻。
其次,新冠肺炎疫情使欧洲的就业和经济状况也遭受巨大损失。疫情大流行使欧盟陷入自成立以来最严重的危机状态,并加剧了成员国之间的离散和分歧。疫情对欧洲南部地区,包括希腊、意大利、葡萄牙和西班牙等国的冲击尤其严重,加剧了这些国家的经济衰退和债务水平。2020年,欧盟整体GDP下降6.3%,欧元区下降6.8%,严格的封锁措施以及供应链的断裂,导致欧洲出现近代以来最严重的衰退。虽然有预测认为2021年欧洲疫情会得到缓解,但由于新毒株的高传播性及高变异性,疫情仍然在持续,甚至有更严重的趋势,这也导致欧洲的经济风险依然存在。不仅如此,对各成员国而言,由于封锁程度不一、疫苗接种率各异以及经济结构的差异,各国经济复苏程度也不尽相同。总体而言,欧洲经济衰退导致失业率急剧上升,其中影响最大的是贫困人群和底层民众,包括移民、年轻人和妇女等。
最后,经济衰退和失业率的持续上升,导致欧洲的社会稳定和政治结构发生动荡。特别是在本就脆弱的欧洲南部地区,物资供应的短缺和收入下降导致边缘人群的犯罪率迅速上升,对社会安定造成严重隐患。与此同时,欧洲内部的传统政党格局变化加剧,经济衰退导致民众对主流政党的信任度下降,对民粹主义政党和反建制派的支持度上升。疫情的持续对欧洲造成严重破坏,进一步的封控措施、经济衰退、疫苗供应、监管问题和财政挑战,都可能持续引发民众不满,导致各种极端主义思潮抬头,威胁社会和和政治稳定。
(二)数据保护问题凸显
虽然欧洲在数据保护规则领域处于世界领先水平,但面对疫情的肆虐,欧洲的数据治理方案对其一直以来最为重视的人权、自由、隐私等价值理念构成严重挑战,也因此颇受质疑。第108号公约委员会(Committee of Convention 108)主席亚历山德拉·皮鲁奇(Alessandra Pierucci)声称,欧洲所面临的挑战是前所未有的,但是,如果没有对相关措施的相称性和效率进行认真评估,我们就不能随意对基本权利的保护按下暂停键。
第一,疫情防控下对个人基本权利的“克减”。为了遏制病毒的传播,欧盟官方、成员国和其他私营部门通过数字技术的开发和应用,对公民的自由、隐私等基本权利进行限制。相关举措主要包括:(1)限制个人活动,包括保持社交距离、限制公共聚会、施行隔离和封锁措施;(2)报告健康状况,包括新冠病毒检测、体温测量、健康调查和内部报告等;(3)健康跟踪机制,包括手动和自动跟踪以及接触者跟踪机制。虽然在疫情大流行期间,部分欧洲民众对于此类权利“克减”措施表示一定理解,但大多数人十分担忧其数据保护状况。公共部门通过数字技术大规模收集和处理公民个人数据,而数据控制者与处理者在处理个人数据过程中的透明度又非常有限;私营部门考虑到隐私保护所需技术与资金成本较高,出于企业成本与收益的考虑,更加缺乏对隐私的有效保护。有成果认为,随着新冠病毒的传播,政府在个人数据采集方面的权限也在不断扩张,这些数据不仅涉及患者和相关人员,还包括教育数据、工作数据和个人社交网络数据等其他数据。那么,在疫情期间的数据监督及疫情之后的数据管控方面,政府和私营部门又会有何种举措,采取何种机制来有效消除民众的担忧,也是一个亟待必须解决的事项。
第二,疫情期间的数据泄露、恶意攻击等数据安全事件频发。除了公私部门处理个人数据的安全隐患之外,疫情期间网络犯罪率也出现激增。欧洲刑警组织(Europol)警告称,新冠肺炎疫情大流行期间,犯罪分子通过购物诈骗、远程办公漏洞、网络钓鱼、勒索软件、移动恶意软件等手段非法获利,网络犯罪率迅速上升。随着老年人等弱势群体被迫从事远程活动,这种类型的犯罪变得更加有利可图。高级形式的恶意软件是头号威胁,犯罪分子已将一些传统的银行木马程序转化为模块化恶意软件,以覆盖更多PC数字指纹。疫情期间医疗基础设施的重要性使医院和其他公共服务机构成为犯罪分子的重要目标,而居家办公、学习等群体使用的设备往往安全性较低,因此也极易受到攻击。总之,新冠肺炎疫情的出现对欧洲的网络安全和数据保护造成的影响十分严重。
正如EDPS专员沃伊切赫·维维罗夫斯基所言,虽然欧盟对数据保护和隐私基本权利的承诺是毫无疑问的,但成员国对疫情危机的初步反应并不是协调一致的。从公共卫生的角度来看,数据对于监测疫情在欧洲大流行的演变和加强风险管理是不可或缺的;但从人道主义的角度来看,对数字技术的日益依赖则会导致安全漏洞的扩大,并且监控能力的增强也会增加弱势群体被歧视的风险。各领域专家从不同视角对同一问题进行探讨,从而分歧较大。欧洲数据保护委员会(European Data Protection Board,简称EDPB)也强调称,自动化数据处理和数字技术可能是抗击疫情的关键。但是,人们应该警惕“棘轮效应”(ratchet effect)。欧洲数据保护机构有责任确保在重大危机下采取的各项措施都符合必要性、临时性、相称性原则,并接受定期审查以及科学评价。由此可知,疫情的暴发让欧洲的数据治理变得更为复杂,不可控因素增加。为应对疫情带来的公共安全和数据保护的双重危机,欧盟制定了一系列数字治理措施,本文称之为“欧洲方案”。
三、新冠肺炎疫情下数据治理的“欧洲方案”
如上所述,新冠肺炎疫情对欧洲的公共安全和数据保护都造成了严重的威胁,为此,欧洲试图形成一套完善数据治理的“欧洲方案”,以期实现疫情期间公共安全和数据保护的平衡。如图1所示,“欧洲方案”分为立法、工具、监督和国际合作等部分,其中相关立法是基础;欧盟及其他主体开发的各种数字工具则是重要手段;国际合作是有益的补充,主要包括与其他国家和地区进行跨境数据交流与合作;而有效的监督则是必要保障,监督主体主要是EDPS。需要强调的是,虽然绿色数字证书属于工具的一种,但由于疫情持续存在的可能性,以及该证书在后疫情时代的重要作用,本文将其单独列为一项。
(一)立法方面:对个人权利的克减
欧洲涉及数据保护的立法以GDPR为代表,在相关条文上,其规定了出于公共利益等特殊目的的“减损”条款,以应对重大公共危机。这些立法为新冠肺炎疫情防治措施提供了法律基础,也是欧洲试图平衡公共安全和数据保护的理念基石。
GDPR的目标是规范处理数据的个人和组织,确保个人数据在欧盟各地享有最高保护标准。在欧洲数据保护委员会(EDPB)主席安德里亚·耶利内克(Andrea Jelinek)发布的《关于在新冠病毒暴发背景下处理个人数据的声明》中,其表示:“数据保护规则(例如GDPR)不会成为抗击疫情的阻碍,但是,即使在这一特殊时期,数据控制者也必须确保个人数据得到有效保护。因此,必须考虑多重因素,以确保个人数据处理的合法性。”事实上,GDPR作为综合性立法设有专门针对重大危机背景下处理个人数据的特殊规定。其中,第9(2)(i)条明确允许处理敏感的个人数据(包括基因数据、生物特征数据和与健康有关的数据),前提是“出于公共卫生领域中公共利益的需要”;此外,第9(2)(j)条规定出于公共利益、科学或历史研究目的或统计目的,在采取适当保护措施的前提下,可能会在未经同意的情况下处理敏感的个人数据;第10、46、52、53和54条也明确了出于公共利益需求处理特殊类别个人数据的情形。总体而言,针对敏感个人数据的处理,GDPR采取以禁止处理为原则,允许处理为例外的保护模式。在疫情大流行期间,GDPR可为公共部门和私营部门处理个人数据提供了较为灵活的法律框架。
就立法层面而言,欧洲数据保护法规对重大危机情况下的数据保护做出了相关规定。因此,在诸如新冠肺炎疫情的紧急状态下,对个人数据的处理是有法可依的。EDPB强调称,欧洲数据保护法能够保证在处理个人数据的同时,确保个人权利和自由不受侵犯,人们无须在二者之间做出选择。
(二)工具方面:推动数字技术的应用
对欧盟、各成员国及其他主体而言,新冠肺炎疫情的防治必须依赖相关的数字工具。为了更好地遏制疫情扩散,保障公共安全,相关主体陆续开发和应用数字工具,这是“欧洲方案”的重要手段,也是该方案的核心部分。为了防范此类数字工具对数据保护造成威胁,欧盟陆续出台相关工具的应用指南,以期在公共安全和数据保护之间寻求平衡。
1.移动应用程序。根据《支持欧盟成员国抗击新冠病毒通用工具箱的移动应用程序》和《在数据保护方面支持抗击新冠病毒大流行的应用程序指南》,欧盟对移动应用程序进行开发与规范。移动应用程序,尤其是接触者追踪和警告的应用程序,可以在疫情防控的所有阶段发挥重要作用,快捷、高效地切断感染链。若部署得当,此类工具对遏制疫情扩散成效显著;若缺乏适当保护措施,则可能导致对数据保护权的严重侵犯。此外,在这类工具的使用上,由于缺乏系统方法,很可能影响其遏制病毒传播的有效性,从而影响欧洲整体的抗疫进展。因此,欧盟成员国在电子卫生保健网络方面规定,上述《工具箱》和《指南》均仅适用于自愿性应用程序,即个人自愿下载、安装和使用的应用程序。
2.位置追踪工具。在《在新冠疫情中使用位置数据和接触者追踪工具指南(04/2020)》中,EDPB认为,对自然人的位置进行系统和大规模的监测和追踪是对其隐私的严重侵犯。因此,此类技术的采用需要建立在用户自愿这一合法性基础之上。但是,对于例外情况,EDPB也有特别说明。根据GDPR第6条和第46条的规定,在必要情况下,为了保护公共利益,公共当局有权使用此类程序。虽然数据和技术是重要的抗疫工具,但它们具有内在的局限性,因此必须严格规范其使用范围与原则。该指南明确数据的使用和处理必须遵循比例原则、合目的性原则等。根据比例原则使用位置数据和接触者追踪工具,主要用于两个目的:(1)使用位置数据,通过模拟病毒传播来预防其进一步扩散,以评估限制措施的总体有效性;(2)接触者追踪的目的是通知或警告个人,他们被确认为病毒携带者的密切接触者,从而快速高效地切断传播链。
3.其他数字方案。对于其他帮助监测病毒传播的数字解决方案和工具,通常没有特定法律加以规范。比如,通过网站和应用程序处理健康数据;部分国家测试中的电子手环,可以测量皮肤温度、脉搏、呼吸和血流;以各种方式使用的智能摄像头,用于控制隔离区域的面部识别;广泛使用的热扫描,用于监测公共和私人场所的出入通道;无人机和机器人监测,用于监测公共空间距离间隔的遵守情况。
(三)监督方面:全方位展开
欧洲数据保护监督局(EDPS)是欧盟的独立监管机构。在新冠疫情大流行期间,EDPS持续关注和监督欧盟、成员国及其他主体的数据处理行为,试图在促进公共利益的同时最大限度保护个人数据安全。由于欧盟成员国众多,在法律执行、政策制定层面差异较大,因此,监管机构对于监督相关法规在成员国的落实而言十分重要。在EDPS发布的《2020年EDPS年度报告》(2020 EDPS Annual Report)中,详细介绍了该机构对新冠疫情期间数据保护的监督工作情况。新冠肺炎疫情大暴发后,EDPS立即成立内部工作组,以积极监测和评估政府及私人部门对疫情的反应。整个2020年,工作组一直在关注事态发展,并为疫情危机后数据保护和隐私的未来做准备。一直以来,EDPS强调需要采用泛欧方法来应对这一流行病。除了向欧盟机构、团体和机构(EUI)提供指导外,EDPS还与欧洲数据保护委员会(EDPB)的其他成员密切合作,就大流行最紧迫的挑战提供切实指导。主要措施包括:对追踪和监控应用程序进行数据评估和指导;支持欧盟机构合理利用数据,帮助其应对危机,与数据保护官密切合作,提供指导方案;帮助欧盟机构制定接触者追踪系统,并促使相关技术符合隐私保护法规。比如,疫情期间,许多机构开始进行体温检测,鉴于此行为有可能侵犯个人隐私和数据保护权利,EDPS仔细评估了这种做法,以确保其符合欧盟数据保护法。EDPS强调,与疫情相关的个人数据处理技术必须是临时的,具有明确且合理的目的,并符合欧盟数据保护法。
(四)国际合作方面:保障跨境数据的安全流动
在新冠疫情期间,欧盟积极推动较高水平的跨境数据合作,以期获得更好的抗疫效果。与此同时,跨境数据流动的安全性也需要得到保障。欧盟的数据跨境流动主要有三种合法方式:(1)数据传输至获得欧盟“充分性认定”的第三方;(2)例外场景(包括数据主体同意,或者处于合同需要等);(3)是否具备充分保障措施。其中,“充分性认定”的主要因素包括:第三国的个人信息保护立法情况、执法力度,救济机制等。迄今为止,只有不到20个国家符合其“充分性认定”,而例外情况在实践中又极少发生,因此,是否具备充分保障措施的方式成为欧盟扩大数据跨境合作的主要手段。
欧盟委员会(European Commission)副主席维拉·朱罗瓦(Věra Jourová)在数据隐私视频会议(Euroactive’s Virtual Conference on Data Privacy)中表示,欧盟不会设置障碍,而是搭建桥梁,以开放的姿态来促进数据的跨境流动,从而实现优势互补。为了保证跨境数据流动在新冠肺炎疫情期间的有序进行,EDPB出台了专门的指南。在指南中,EDPB为个人数据从欧洲经济区的公共机构转移到第三国的公共机构或国际组织提供了指导方针,并努力促成GDPR在不同层面的行政合作。EDPB强调,公共机构在传输个人数据时应采取充分的保障措施,并对转让各方应确保的核心数据保护原则加以明确。GDPR第48条规定:“任何判决、裁定或第三国行政机构的决定,若要求控制者或处理者对个人数据进行转移或披露,必须同时满足以下条件,方能得到认可或执行:一是该判决、裁决或决定必须基于提出请求的第三国与欧盟或其成员国之间订立的法律互助协议等国际条约,二是该判决、裁决或决定不会对本章规定的其他转移形式产生消极影响。”EDPB指出,欧洲经济区和非欧洲经济区公共当局之间达成的任何国际协议都应当明确对数据主体权利的保护,并提供相应补救机制,使数据主体能够在实践中行使其权利。
(五)延续方面:数字绿色证书的颁发
由于疫情不断反复,为了维持社会、经济等方面的正常运转,长时间的严格封锁措施并不可行。疫情期间如何保证人员的安全流动,关乎政治、经济、社会生活的复苏,也是欧洲各国考虑的重点。为此,2021年3月17日欧盟委员会提议发放数字绿色证书(Digital Green Certificate)。在新冠疫情大流行期间,欧盟试图通过数字绿色证书来确保人员在欧盟内部的安全流动。
欧盟委员会将建立一个网关(gateway),以确保所有证书可以在整个欧盟范围内得到验证,并为成员国提供技术支持。成员国有权决定对旅行者免除哪些公共卫生限制,但对持有绿色数字证书的旅行者必须以相同的方式适用此类豁免。数字绿色证书的相关法规主要包括以下内容:1.证书以电子或纸质形式发放,适用于所有欧盟公民,包括疫苗接种证书、核酸检测证书以及新冠康复证书三种类型;2.非歧视原则,持有数字绿色证书的旅行者享有同等权利,如果成员国仍然要求证书持有者进行隔离或检测,则必须通知委员会和所有其他成员国并解释采取此类措施的原因;3.只提供必要的信息和个人数据,证书仅包括有限的个人信息,该数据只能用于检验证书的真实性和有效性。数字绿色证书将在所有欧盟成员国范围内有效,并向冰岛、列支敦士登、挪威和瑞士开放。值得注意的是,欧盟承诺数字绿色证书是一项临时措施,一旦世界卫生组织(WHO)宣布新冠疫情紧急情况结束,它也将立即暂停。数字绿色证书的颁发,旨在建立一个泛欧框架,保障疫情大流行期间欧洲民众在欧盟境内自由流动权的行使。
总而言之,欧洲在新冠肺炎疫情暴发后,面对公共安全和数据保护难题,其吸取初期教训,迅速制定和颁布了一系列的建议、声明、指南等,并对此前已有立法进行新的解释和说明,为疫情期间的数据保护构建了较为完整的体系,但是,“欧洲方案”是否真正做到公共安全与数据保护的平衡,值得我们进一步研究。
四、“欧洲方案”的评价:理想与现实的矛盾
如前所述,欧洲为应对新冠疫情带来的安全危机,在数据治理上形成包括立法、工具、监督、国际合作等一套较为完整的“欧洲方案”,试图通过构建既可以应对公共危机,又不侵犯个人基本权利的“完美方案”。欧盟始终强调自己可以在二者之间寻求平衡,需要承认的是“欧洲方案”确实对欧洲防疫起到了一定积极作用,但是其所暴露的问题更值得关注。在瞬息万变的数字科技时代背景下,在危及全人类的新冠大危机面前,欧盟价值观对公共安全与数据保护的取舍明显不当。总体而言,“欧洲方案”并未实现其预设目标,未能兼顾公共安全和数据保护,这一方案充斥着“理想”与“现实”的矛盾。
(一)立法方面:硬法不硬
GDPR作为成文法,号称史上最严的数据保护法规,但其法律执行力似乎名不副实。第一,保护范围过于宽泛,不利于贯彻执行。有研究认为,虽然欧盟旨在提供尽可能最完整的数据保护,但是GDPR的实质范围过于宽泛,导致其在实践中无法得到有效遵守,要么被忽视,要么被抨击。欧洲数据保护法正面临成为“万物之法”的风险。新冠肺炎疫情危机表明,欧盟成员国对隐私权的保护存在很大差异。在实施接触者追踪程序上,GDPR并未对隐私权限制的相称性加以明确,阻碍了欧盟对个人基本权利的一致和高水平保护。第二,GDPR中某些概念的准确界定缺失,导致法律互操作性不足。作为欧盟数据保护立法的黄金标准,GDPR中有诸多关键词的定义并未得到明确。虽然,有观点认为这是GDPR灵活性的表现,也是为了让更多成员国尽快实施的客观需要,但是在疫情期间,这些未明确的概念、过于灵活的框架暴露出了其内在的缺陷,很大程度上影响了欧洲抗疫的进展。在GDPR的关键概念中,有学者认为,将“同意原则”作为二次使用敏感健康数据的合法依据,极具挑战性甚至不切实际。此外,“公共利益”依据由于缺乏国家层面的统一应用和解释,也因阻碍了合作的及时性和有效性而受到批评。
比如,尽管GDPR第6条、第9条、第89条等规定了紧急情况下的“减损条款”,但是,由于概念的模糊性及成员国的异质性,这些条款在实践中极少被适用。为科学研究目的处理健康数据的条件和程度、对数据主体权利的限制等因不同成员国颁布的法律不同而有所差异。为了规避可能承担的责任,各国的科研机构并不愿意轻易适用这些“豁免”条款,GDPR过度限制了欧盟以外的数据共享,且缺乏对更大公共利益的考虑,因此阻碍了全球抗疫的合作。
在疫情大流行期间,鉴于GDPR规定的高标准,公共利益基础可能比同意基础更适合于科学研究。GDPR将公共利益的具体界定权留给各个成员国,需要成员国根据其国内立法进行明确。但是,成员国之间的观点并不统一,差异化的立法影响了合作的效率。在欧盟看似团结的内部,成员国之间分歧正在不断扩大。这种趋势自英国脱欧以来正在不断加强。其中,波兰和匈牙利对欧盟价值观的挑战、对欧盟司法权的否定更是在新冠疫情期间达到高峰。由于各国无法就“公共利益优先”达成共识,在抗疫过程中争议不断,导致疫情控制错过最佳时机。
(二)工具方面:有效性及安全性不足
欧洲为疫情下数据保护制定的系列工具虽然看似完整,但在实践层面存在不少漏洞。在设计相关工具时,欧洲期望可以完善数据保护的基础上,最大限度地维护公共安全。有学者认为,欧盟应对新冠疫情的一个重要特点是,期望较高但工具受限。这种工具的有限性在数据治理方面也体现得比较明显。数据共享是了解疫情演变和因需调整措施的关键。虽然欧洲疾病预防控制中心(ECDC)有能力收集和共享数据,但数据之间缺乏一致性。虽然欧盟成员国可以共享数据,但这些数据在质量和详细程度方面差异很大。事实上,不论是欧盟机构还是各成员国,都过于高估自身的技术实力,导致数字技术应用并不能有效应对新冠肺炎疫情。
首先,数字工具的有效性受限。相关数字工具试图通过自动收集和分析数据,对追踪程序等进行自动化“决策”。表面上看,这种做法既可以保障公共安全,遏制疫情扩散,同时由于将个人数据置于后台操作,又可以避免数据泄露。但是,这些技术应用的背后可能存在较大漏洞。比如,通过人工智能技术发放的“通行证”可能导致部分风险人群的遗漏,尤其是所谓的抗体检测,更是存在严重风险。世界卫生组织警告称,“目前没有证据表明已感染人群康复后会产生免受二次感染的抗体”。不仅如此,当数字技术被应用于追踪时,其自动决策的有效性也值得怀疑。由于其并不清楚病毒的传播模式,因此为评估病毒传播风险而构建的数学模型的准确性也无法确保。有学者对数字追踪技术的应用表示担忧,一个健全的制度结构,需要进行清晰且深刻的反思。尤其在涉及健康数据和公共利益的问题上,必须规范谷歌和苹果等大型技术平台以及公共机构在管理数据方面的作用。
其次,数字工具的安全性不足。数字技术主要用于追踪和控制人口的流动,从而遏制疫情扩散。但是,部分国家的政府部门和私人部门对这类程序的功能进行了扩展。大规模收集个人数据的功能很容易导致数据安全问题的出现。并且,由于缺乏有效的约束和充分的测试评估,一些匆忙使用的应用程序反而成为数据保护的“漏洞”。不仅如此,在移动终端和互联网工具的应用中,相关主体为了控制人员流动,对来自社交媒体和电信运营商的数据进行了收集,绘制人口流动的“热点图”。而相关数据控制者在处理个人数据时却存在越权行为,这类对隐私权的越界行为也存在于网站、社交媒体、电子手环等其他工具当中。除此之外,由于疫情导致的远程工作和学习产生了大量数据,这些数据与个人隐私、国家安全、企业利益密切相关,但是对这些隐私数据的处理和保护并不尽如人意。比如,在德国和丹麦,人们对匿名化的不可逆性和潜在的第三方访问数据表示严重担忧。
(三)国际合作方面:道阻且长
在跨境数据流动方面,欧洲希望能够扩大与相关国家和地区的交流与合作。但是,数字科技时代的规则主导权之争难以避免,欧洲主导数据保护跨境合作的理想也难以实现。这一点在欧洲与美国的跨境数字合作方面体现得最为明显。数据的安全、自由流动是数字经济时代的客观需求,但是,具体的规则该如何制定,则关系到各国政治、经济、理念的博弈。
2020年7月16日欧盟法院对C-311/18(Schrems II)案作出判决,判定《隐私盾协议》(EU-U.S.Privacy Shield)无效。《隐私盾协议》无效案反映出欧美之间数据跨境流动的主要问题在于美国国家安全法律与欧盟个人数据保护法律之间的冲突,背后的根源是欧盟为抗衡美国的数字经济霸权与监控资本主义而实施“技术主权”战略。EDPS于2020年10月29日发布战略文件,旨在监督“Schrems II”判决的遵守情况。EDPS针对美国互联网巨头谷歌和微软展开调查,警惕美国科技巨头公司在数据传输中侵犯欧盟的个人数据隐私,对欧洲相关主体和民众进行“监视”活动。由于美国缺少综合性的联邦隐私立法,其数据保护状况未能得到欧盟的充分性认可。即便如此,欧盟依然希望可以扩大与美国的跨境数据合作,欧盟委员会副主席维拉·朱罗瓦(Vera Jourova)表示,数字世界如果缺乏强有力的隐私和数据保护,我们的民主将面临更多的未知风险,希望美国政府能以同样的方式看待它,希望欧盟和美国能够在双边和多边层面共同努力。有学者认为,“Schrems II”判决阐明了欧美在数据保护、国家安全以及人权理念上的根本差异。历史制度分析表明,美国法律体系的结构性变化不太可能解决“Schrems II”判决中的不足之处。因此,欧盟委员会将迅速采取行动,制定一个解决方案,模糊欧美之间的分歧,以适应美国的例外主义。
但是,欧盟与美国的数据保护模式存在根本性差异,前者主要依赖政府监管,后者则更强调业界自律和市场机制。不同体系之间的碰撞与冲突在所难免,加之双方在数字经济发展上存在根本利益冲突,所以跨大西洋数据传输机制存在深层隐患。美国凭借其在技术、产业优势以及灵活的监管制度优势,在数据跨境伴生而来的隐私保护、数据安全问题方面并无特别担忧,因此仅建立了个案式的监管机制。因此,欧盟与美国的个人数据保护理念与途径差异很大,欧盟对美国大规模监控体系能否与欧盟法律原则兼容心存疑虑,双方的跨境数据合作依然道阻且长。
(四)数字绿色证书:规制有待完善
数字绿色证书为疫情期间的人员流动提供了一定的便捷,也成为经济、政治、社会生活复苏的重要手段。但是,自其推出之日起,质疑与批评也未曾间断。首先,该证书是否足以保障公共安全。如前所述,世界卫生组织未曾证实,已感染人群康复后会产生免受二次感染的抗体,“EDPB和EDPS联合评估”也认为,当前依然缺乏证据表明接种疫苗或感染病毒后痊愈的个人就存在“免疫力”,此外,该证书在疫情期间还存在较大的伪造风险。因此,该证书的发放是否能确保人员流动的安全性值得怀疑。其次,证书的应用规范缺失。由于缺乏保留期限的规定,证书指定的数据字段中没有到期日期。此外,官方应公开所有与数字绿色证书相关的个人数据的控制者、处理者或接收者的实体名单,以允许欧盟公民根据GDPR行使数据保护权利。最后,证书技术的安全隐患。目前已经出现伪造疫苗护照的网络犯罪事件。欧洲刑警组织(Europol)专门就此类网络犯罪事件发布了相关警告,法国、英国、西班牙等国均已出现了贩卖伪造数字疫苗证书的案例。鉴于目前的技术手段,犯罪分子有能力制造高质量的伪造证书。该证书使个人面临着自身大量数据被记录的风险,如果相应的保障措施不够充分,那么这种数字技术抓取的其他个人信息,比如地理位置、宗教信仰、个人爱好数据也可能被集中存储。一些欧盟成员国,如丹麦、奥地利或匈牙利,已经宣布他们打算也使用该系统来允许进入餐馆、宗教场所或体育设施。所以,该证书的使用增加了公民被当局监控的风险。
整体而言,新冠肺炎疫情背景下,“欧洲方案”实质上被所谓的欧盟价值观和道德标杆所束缚,既没有处理好数字应用技术的隐私保护问题,也没能更好地应对公共卫生危机。欧盟一方面声称要实现“数字主权”,另一方面却深陷数据治理泥潭。欧盟过于注重隐私保护的传统价值取向,导致其在数据治理领域丧失先机,在公共安全方面也颇受诟病。
五、结论
新冠肺炎疫情大流行让欧洲陷入内忧外患、左支右绌的困境之中。欧盟价值观是欧盟实现战略自主、数字主权的重要武器。其中的典型案例是2021年4月21日欧盟委员会提出的《人工智能法案》(Artificial Intelligence Act)。该法案引起了巨大争议,其讨论的重点是如何平衡基本权利与公共安全。学者们普遍认为该法案具有开创性,是欧洲实现数字主权的重要工具,但是其中存在的“理想化”方案将成为其未来实施的重要障碍。与《人工智能法案》类似,“欧洲方案”可以说是“乌托邦主义”在数据治理领域的现实写照。从根本上来说,“欧洲方案”的困境源于欧盟的“理想化”,是欧盟一体化进程受挫在数字治理领域的显现。尽管欧洲数据保护历史悠久,但是,数字经济的飞速发展极大程度地改变了数据保护的现有模式。作为现代数字经济背景下的最新成果,“欧洲方案”过于追求不同价值诉求的平衡,这是造成其复杂性和极具争议性的重要原因。欧洲的新冠疫情反复激荡,一定程度上是欧洲过于“理想化”的后果。该方案未能如其所愿实现公共安全与数据保护的平衡,追根溯源,可以通过三对矛盾来加以思考。
其一,欧洲主义与民族主义的矛盾。欧洲人有两种“人格”交叠,一面是“欧洲主义”,互相认同彼此都是欧洲人,具有“欧洲观念”;一面是“民族主义”,各有自己的利益观、习惯、观念等。由于这种矛盾的存在,在数字治理层面,欧盟所期望的“泛欧”抗疫框架难以顺利搭建。其二,理想主义与现实主义的矛盾。欧洲人深入骨髓的理想主义在其方案中也能得到体现。但是,理想诉求并非悬空状态,而是与现实利益紧密结合。在数字治理方面,欧盟的政策过于理想与超前,而现实的种种困境让这种理想化的方案举步维艰。其三,成员国之间的矛盾。欧盟扩员之后,其成员国构成更加复杂,甚至形成了小集团来对抗欧盟的主导国。在数据治理方面,由于不同的国情和发展水平,各国在政策执行层面差异明显,“多速欧洲”模式在此体现得淋漓尽致。
“他山之石,可以攻玉”。对中国而言,数据治理的“欧洲方案”在应对重大危机时如何平衡公共安全与数据保护等方面的有益尝试值得借鉴。2021年11月1日,《中华人民共和国个人信息保护法》正式施行。在数据治理层面,虽然中国的起步较晚,但是相关法律和机制正在不断完善,需要对其他国家的措施“取长补短”,同时结合自身的制度优势及特点,积极探索在国际数据治理中具有竞争力的“中国方案”。
【刘洋,兰州大学马克思主义学院博士研究生;李益斌,兰州大学中亚研究所、兰州大学政治与国际关系学院副教授。本文系国家社科基金重大研究专项项目(项目批准号:21VGQ010)的阶段性成果,且得到2021年度兰州大学中央高校基本科研业务费项目(项目批准号:21lzujbkyjd002)的资助。】
Abstract:To cope with the challenges of COVID-19,Europe has issued relevant measures of data-based approach to governance,on which scholars have huge differences,and the related researches are conducive to further discussion on the differences.By sorting out the challenges posed by the pandemic to public security and data protection in Europe,the“European Solution”of the data-based approach to governance is made,including legislation,instruments,supervision,international cooperation,and continuity.The Program has curbed the spread of the pandemic to a certain extent.However,due to the influence of the traditional values of the EU,the Program is too idealistic in the balance between public security and data protection,which intensifies the dilemma and causes many problems,such as ambiguous legislation,inadequate effectiveness and security of instruments,arduous and long way to the international cooperation,and imperfect regulations on digital green certificates.Therefore,in a major crisis,it remains a long way to explore the balance between public security and data protection.
Keywords:European Solution;Data-based Approach to Governance;Data Protection;Public Security
(责任编辑 郭 锐)
关键词:欧洲方案 数据治理 数据保护 公共安全
引言
新冠肺炎疫情大流行给人类带来巨大挑战。在全球抗疫过程中,数字技术发挥了不可替代的作用。电子健康数据、接触者追踪应用程序、电子医疗系统等技术的应用,在遏制疫情扩散方面成效显著。但是,疫情大流行期间,公私部门大规模地收集个人数据引发人们对数据保护的担忧。尽管欧洲走在数据保护规则领域的前沿,但疫情之下,其为了公共安全而采取的数据治理措施仍遭受诸多质疑。2020年4月30日,欧洲数据保护监督局(European Data Protection Supervisor,下文简称EDPS)专员沃伊切赫·维维罗夫斯基(Wojciech Wiewiórowski)发表声明,称人类不需要在公共卫生安全与数据保护之间做出权衡,疫情时代的民主国家可以且必须同时拥有二者。然而,2021年9月28日,他又不得不承认,欧洲从新冠肺炎疫情大流行中得到了许多教训,需要通过开发新工具、建立新认知来应用新技术,并充分了解这类技术可能对社会产生的风险。由此可知,自信如欧洲,其数据治理在疫情之下也暴露出诸多问题,尤其是公共安全与数据保护的平衡。
2021年10月举行的第43届全球隐私大会(Global Privacy Assembly,简称GPA)重点关注疫情大流行背景下的数据保护问题,明确人类在隐私数据保护与公共卫生安全问题上面临的最新困难与挑战。截至2021年11月1日,全球累计新冠死亡病例超过500万例,500万生命的凋零印证了一个残酷现实,那就是新冠毒株可能变种频出,抗疫马拉松远未结束。根据当前的趋势预判,抗击疫情可能成为“持久战”,而公共安全与数据保护之间的平衡问题也可能会持续存在。因此,界定与评价欧洲应对疫情的数据治理方案,对当前和未来数字工具应用中公共安全与数据保护的考量均有重要的参考价值。
一、文献回顾:两种观点
2016年4月,欧盟通过《通用数据保护条例》(General Data Protection Regulation,下文简称GDPR),旨在保护欧盟公民的数据隐私。GDPR号称世界上最全面、最严格、最先进的数据保护立法。2018年5月GDPR在整个欧盟层面正式生效。长期以来,在数据保护规则的制定领域,欧洲一直处于世界领先地位。虽然欧洲反复强调,在新冠肺炎疫情大流行期间,数据保护规则不会成为抗击疫情的阻碍,但是,针对疫情期间欧洲数据治理政策的质疑不绝如缕。其中,公共安全与数据保护之间的辩论成为核心议题。现有研究成果对新冠肺炎疫情暴发后的欧洲数据治理问题形成了两派截然不同的观点。
第一种观点对欧洲在疫情期间的数据治理持肯定态度。有研究指出,面对疫情期间隐私和数据保护基本权利的挑战,欧盟数据保护法律框架的设计足够灵活,因此能够有效遏制病毒,并且保护基本人权和自由。有学者认为,欧盟GDPR的研究豁免条款可以支持全球抗疫工作的展开,更有助于欧洲在疫情之下的团结与合作。有学者认为,欧盟的疫情治理凸显其内部团结和对外强大的欧洲模式韧性。有人提出,在数字治理及规则领域,欧盟的探索卓有成效。还有学者专门探讨了欧洲刑警组织的数据保护机制,肯定了该机制在后疫情时代的意义。有学者认为,疫情期间,数字科技抗疫十分重要,但是需要保证这些科技工具符合道德,在设计技术治理程序时纳入道德-法律分析因素,欧盟可以在确保数字工具稳定性的同时尽可能地满足道德要求。有研究认为,新冠疫情危机对基本人权的侵犯难以避免,但在接触追踪工具应用问题上,欧盟可以通过寻找一种数据最小化的解决方案,最大限度保护隐私数据。
第二种观点则对疫情背景下欧洲的数据治理提出质疑。有学者认为,与隐私保护相比,遏制疫情是首要任务。但是欧盟现有的数据治理体系在危机状态下的分歧过多,导致利用数字科技合作抗疫的工作无法顺利开展。有研究指出,欧洲数据治理体系的弊端在于,公民数据的“隐私优先”方法与研究病毒数据的“数据优先”方法之间存在重大分歧;欧洲数据泄露问题频发暴露其治理体系的不足,加剧了公民对数字技术的不信任,并阻碍了为公共卫生安全而进行的大规模公共数据收集。有学者发现,虽然欧盟成员国各自出台了应对疫情的措施,但是,在严格程度及具体操作方式上差异过大。尽管欧盟委员会试图通过发布相关指南协调成员国之间的行动,但行动限制措施和由此产生的不确定性极大地影响了人民、经济和社会,从而对其有效性及合理性提出质疑。还有学者指出,虽然GDPR等法规明确保留了涉及“公共利益优先”的敞口,但各国在达成是否、何时以及如何使用“公共利益优先”监管敞口过程中充满争议,导致疫情控制错过最佳时期。有学者认为,从远程办公到病毒跟踪系统,新冠肺炎疫情让欧盟对数字技术更加依赖,因此也诱发了大量的网络犯罪,增加了国家、企业和公民面临的网络安全风险。欧盟现有的网络安全政策路径依旧停留在传统数字技术时代,公私部门之间的信任关系与话语转向并不同步,因此不能有效缓解数字应用快速发展带来的紧张态势。有研究认为,当流行病严重影响公共卫生安全时,抗疫需要与个人权利的保护往往容易失衡。新冠疫情大流行期间,欧盟虽然拥有强大的数据保护制度,但是相关技术手段对个人数据的收集依然对隐私权造成了严重威胁。
通过文献梳理可知,现有成果并未对疫情暴发后的欧洲数据治理方案进行系统总结,也未针对公共安全与数据保护之间的平衡展开深入探讨。尽管欧洲一再强调公共安全与数据保护之间的平衡至关重要,但是新冠肺炎疫情大流行期间,其数据治理政策是否实现了其预设目标,需要进一步分析。新冠肺炎疫情的暴发,可以说是欧盟自成立以来遭受的最大考验。本文试图通过梳理新冠肺炎疫情对欧洲在公共安全与数据保护方面造成的挑战,总结出一套数据治理的“欧洲方案”,并通过对此方案的评价与反思,来回答欧洲在危机中是否如其所言,即兼顾了公共安全和数据保护。希望本文对疫情期间及疫情结束后的数据治理具有一定的借鉴意义。
二、疫情对欧洲的双重挑战:公共安全与数据保护
2020年年初新冠肺炎疫情大规模流行以来,由于欧洲各国初期的抗疫表现糟糕,其很快成为疫情的震中地区。疫情对其公共安全造成严重损害,包括公民的健康和生命安全受到威胁、经济下滑与就业下降,以及社会和政治不稳定因素增加等。不仅如此,因疫情的扩散及部分抗疫措施的实行,欧洲的数据保护形势也变得更为严峻。公共安全和数据保护的双重挑战加大了疫情下欧洲的数据治理难度。
(一)公共安全受到严重威胁
公共安全(public security)是指保护个人、财产、物品免受灾害或事故等危险的威胁。欧盟本身并未对公共安全做出明确定义,有关成员国立法或争议的公共安全概念一般由欧洲法院(CJEU)酌情解释。针对此次新冠肺炎疫情危机,欧盟在2020年7月24日发布的《欧盟安全联盟战略》中阐明了新冠肺炎疫情对欧洲安全的影响,并据此重塑了欧盟的公共安全政策,强调了保证物理环境和数字环境安全的必要性。欧盟认为,新冠肺炎疫情的大流行,使得新技术在许多企业和公共服务中得以运行,因而对欧盟的网络安全造成巨大影响,并且进一步影响欧盟的经济安全和社会安全。因此,本文所讨论的公共安全除新冠肺炎疫情引发的公共卫生安全之外,还包括经济安全和社会安全。
首先,新冠肺炎疫情在欧洲暴发以来,欧洲各国民众的生命健康受到严重威胁。截至2022年4月30日,欧盟/欧洲经济区的确诊病例高达139,151,564例,其中法国28,645,285例、西班牙11,930,078例、意大利16,463,200例、德国24,919,986例、波兰5,909,025例;欧盟/欧洲经济区的死亡病例升至1,085,379例,其中意大利163,507例、法国145,930例、德国139,223例、西班牙105,093例、波兰116,059例。更让人担忧的是,确诊病例和死亡病例仍在继续增加。2021年9月30日发布的风险评估中,欧洲疾病预防控制中心(European Centre for Disease Prevention and Control,简称ECDC)认为,欧盟疫苗接种水平不足,感染率和致死率的风险依然很高,在此情况下,由于病毒的高传播性,已接种疫苗的易感人群也面临着重大威胁。尽管疫苗的研发让欧洲地区的疫情有所缓解,但是,新冠病毒对民众的健康和生命安全危害依然存在,且可能会长期存在,当前及未来的抗疫形势仍然十分严峻。
其次,新冠肺炎疫情使欧洲的就业和经济状况也遭受巨大损失。疫情大流行使欧盟陷入自成立以来最严重的危机状态,并加剧了成员国之间的离散和分歧。疫情对欧洲南部地区,包括希腊、意大利、葡萄牙和西班牙等国的冲击尤其严重,加剧了这些国家的经济衰退和债务水平。2020年,欧盟整体GDP下降6.3%,欧元区下降6.8%,严格的封锁措施以及供应链的断裂,导致欧洲出现近代以来最严重的衰退。虽然有预测认为2021年欧洲疫情会得到缓解,但由于新毒株的高传播性及高变异性,疫情仍然在持续,甚至有更严重的趋势,这也导致欧洲的经济风险依然存在。不仅如此,对各成员国而言,由于封锁程度不一、疫苗接种率各异以及经济结构的差异,各国经济复苏程度也不尽相同。总体而言,欧洲经济衰退导致失业率急剧上升,其中影响最大的是贫困人群和底层民众,包括移民、年轻人和妇女等。
最后,经济衰退和失业率的持续上升,导致欧洲的社会稳定和政治结构发生动荡。特别是在本就脆弱的欧洲南部地区,物资供应的短缺和收入下降导致边缘人群的犯罪率迅速上升,对社会安定造成严重隐患。与此同时,欧洲内部的传统政党格局变化加剧,经济衰退导致民众对主流政党的信任度下降,对民粹主义政党和反建制派的支持度上升。疫情的持续对欧洲造成严重破坏,进一步的封控措施、经济衰退、疫苗供应、监管问题和财政挑战,都可能持续引发民众不满,导致各种极端主义思潮抬头,威胁社会和和政治稳定。
(二)数据保护问题凸显
虽然欧洲在数据保护规则领域处于世界领先水平,但面对疫情的肆虐,欧洲的数据治理方案对其一直以来最为重视的人权、自由、隐私等价值理念构成严重挑战,也因此颇受质疑。第108号公约委员会(Committee of Convention 108)主席亚历山德拉·皮鲁奇(Alessandra Pierucci)声称,欧洲所面临的挑战是前所未有的,但是,如果没有对相关措施的相称性和效率进行认真评估,我们就不能随意对基本权利的保护按下暂停键。
第一,疫情防控下对个人基本权利的“克减”。为了遏制病毒的传播,欧盟官方、成员国和其他私营部门通过数字技术的开发和应用,对公民的自由、隐私等基本权利进行限制。相关举措主要包括:(1)限制个人活动,包括保持社交距离、限制公共聚会、施行隔离和封锁措施;(2)报告健康状况,包括新冠病毒检测、体温测量、健康调查和内部报告等;(3)健康跟踪机制,包括手动和自动跟踪以及接触者跟踪机制。虽然在疫情大流行期间,部分欧洲民众对于此类权利“克减”措施表示一定理解,但大多数人十分担忧其数据保护状况。公共部门通过数字技术大规模收集和处理公民个人数据,而数据控制者与处理者在处理个人数据过程中的透明度又非常有限;私营部门考虑到隐私保护所需技术与资金成本较高,出于企业成本与收益的考虑,更加缺乏对隐私的有效保护。有成果认为,随着新冠病毒的传播,政府在个人数据采集方面的权限也在不断扩张,这些数据不仅涉及患者和相关人员,还包括教育数据、工作数据和个人社交网络数据等其他数据。那么,在疫情期间的数据监督及疫情之后的数据管控方面,政府和私营部门又会有何种举措,采取何种机制来有效消除民众的担忧,也是一个亟待必须解决的事项。
第二,疫情期间的数据泄露、恶意攻击等数据安全事件频发。除了公私部门处理个人数据的安全隐患之外,疫情期间网络犯罪率也出现激增。欧洲刑警组织(Europol)警告称,新冠肺炎疫情大流行期间,犯罪分子通过购物诈骗、远程办公漏洞、网络钓鱼、勒索软件、移动恶意软件等手段非法获利,网络犯罪率迅速上升。随着老年人等弱势群体被迫从事远程活动,这种类型的犯罪变得更加有利可图。高级形式的恶意软件是头号威胁,犯罪分子已将一些传统的银行木马程序转化为模块化恶意软件,以覆盖更多PC数字指纹。疫情期间医疗基础设施的重要性使医院和其他公共服务机构成为犯罪分子的重要目标,而居家办公、学习等群体使用的设备往往安全性较低,因此也极易受到攻击。总之,新冠肺炎疫情的出现对欧洲的网络安全和数据保护造成的影响十分严重。
正如EDPS专员沃伊切赫·维维罗夫斯基所言,虽然欧盟对数据保护和隐私基本权利的承诺是毫无疑问的,但成员国对疫情危机的初步反应并不是协调一致的。从公共卫生的角度来看,数据对于监测疫情在欧洲大流行的演变和加强风险管理是不可或缺的;但从人道主义的角度来看,对数字技术的日益依赖则会导致安全漏洞的扩大,并且监控能力的增强也会增加弱势群体被歧视的风险。各领域专家从不同视角对同一问题进行探讨,从而分歧较大。欧洲数据保护委员会(European Data Protection Board,简称EDPB)也强调称,自动化数据处理和数字技术可能是抗击疫情的关键。但是,人们应该警惕“棘轮效应”(ratchet effect)。欧洲数据保护机构有责任确保在重大危机下采取的各项措施都符合必要性、临时性、相称性原则,并接受定期审查以及科学评价。由此可知,疫情的暴发让欧洲的数据治理变得更为复杂,不可控因素增加。为应对疫情带来的公共安全和数据保护的双重危机,欧盟制定了一系列数字治理措施,本文称之为“欧洲方案”。
三、新冠肺炎疫情下数据治理的“欧洲方案”
如上所述,新冠肺炎疫情对欧洲的公共安全和数据保护都造成了严重的威胁,为此,欧洲试图形成一套完善数据治理的“欧洲方案”,以期实现疫情期间公共安全和数据保护的平衡。如图1所示,“欧洲方案”分为立法、工具、监督和国际合作等部分,其中相关立法是基础;欧盟及其他主体开发的各种数字工具则是重要手段;国际合作是有益的补充,主要包括与其他国家和地区进行跨境数据交流与合作;而有效的监督则是必要保障,监督主体主要是EDPS。需要强调的是,虽然绿色数字证书属于工具的一种,但由于疫情持续存在的可能性,以及该证书在后疫情时代的重要作用,本文将其单独列为一项。
(一)立法方面:对个人权利的克减
欧洲涉及数据保护的立法以GDPR为代表,在相关条文上,其规定了出于公共利益等特殊目的的“减损”条款,以应对重大公共危机。这些立法为新冠肺炎疫情防治措施提供了法律基础,也是欧洲试图平衡公共安全和数据保护的理念基石。
GDPR的目标是规范处理数据的个人和组织,确保个人数据在欧盟各地享有最高保护标准。在欧洲数据保护委员会(EDPB)主席安德里亚·耶利内克(Andrea Jelinek)发布的《关于在新冠病毒暴发背景下处理个人数据的声明》中,其表示:“数据保护规则(例如GDPR)不会成为抗击疫情的阻碍,但是,即使在这一特殊时期,数据控制者也必须确保个人数据得到有效保护。因此,必须考虑多重因素,以确保个人数据处理的合法性。”事实上,GDPR作为综合性立法设有专门针对重大危机背景下处理个人数据的特殊规定。其中,第9(2)(i)条明确允许处理敏感的个人数据(包括基因数据、生物特征数据和与健康有关的数据),前提是“出于公共卫生领域中公共利益的需要”;此外,第9(2)(j)条规定出于公共利益、科学或历史研究目的或统计目的,在采取适当保护措施的前提下,可能会在未经同意的情况下处理敏感的个人数据;第10、46、52、53和54条也明确了出于公共利益需求处理特殊类别个人数据的情形。总体而言,针对敏感个人数据的处理,GDPR采取以禁止处理为原则,允许处理为例外的保护模式。在疫情大流行期间,GDPR可为公共部门和私营部门处理个人数据提供了较为灵活的法律框架。
就立法层面而言,欧洲数据保护法规对重大危机情况下的数据保护做出了相关规定。因此,在诸如新冠肺炎疫情的紧急状态下,对个人数据的处理是有法可依的。EDPB强调称,欧洲数据保护法能够保证在处理个人数据的同时,确保个人权利和自由不受侵犯,人们无须在二者之间做出选择。
(二)工具方面:推动数字技术的应用
对欧盟、各成员国及其他主体而言,新冠肺炎疫情的防治必须依赖相关的数字工具。为了更好地遏制疫情扩散,保障公共安全,相关主体陆续开发和应用数字工具,这是“欧洲方案”的重要手段,也是该方案的核心部分。为了防范此类数字工具对数据保护造成威胁,欧盟陆续出台相关工具的应用指南,以期在公共安全和数据保护之间寻求平衡。
1.移动应用程序。根据《支持欧盟成员国抗击新冠病毒通用工具箱的移动应用程序》和《在数据保护方面支持抗击新冠病毒大流行的应用程序指南》,欧盟对移动应用程序进行开发与规范。移动应用程序,尤其是接触者追踪和警告的应用程序,可以在疫情防控的所有阶段发挥重要作用,快捷、高效地切断感染链。若部署得当,此类工具对遏制疫情扩散成效显著;若缺乏适当保护措施,则可能导致对数据保护权的严重侵犯。此外,在这类工具的使用上,由于缺乏系统方法,很可能影响其遏制病毒传播的有效性,从而影响欧洲整体的抗疫进展。因此,欧盟成员国在电子卫生保健网络方面规定,上述《工具箱》和《指南》均仅适用于自愿性应用程序,即个人自愿下载、安装和使用的应用程序。
2.位置追踪工具。在《在新冠疫情中使用位置数据和接触者追踪工具指南(04/2020)》中,EDPB认为,对自然人的位置进行系统和大规模的监测和追踪是对其隐私的严重侵犯。因此,此类技术的采用需要建立在用户自愿这一合法性基础之上。但是,对于例外情况,EDPB也有特别说明。根据GDPR第6条和第46条的规定,在必要情况下,为了保护公共利益,公共当局有权使用此类程序。虽然数据和技术是重要的抗疫工具,但它们具有内在的局限性,因此必须严格规范其使用范围与原则。该指南明确数据的使用和处理必须遵循比例原则、合目的性原则等。根据比例原则使用位置数据和接触者追踪工具,主要用于两个目的:(1)使用位置数据,通过模拟病毒传播来预防其进一步扩散,以评估限制措施的总体有效性;(2)接触者追踪的目的是通知或警告个人,他们被确认为病毒携带者的密切接触者,从而快速高效地切断传播链。
3.其他数字方案。对于其他帮助监测病毒传播的数字解决方案和工具,通常没有特定法律加以规范。比如,通过网站和应用程序处理健康数据;部分国家测试中的电子手环,可以测量皮肤温度、脉搏、呼吸和血流;以各种方式使用的智能摄像头,用于控制隔离区域的面部识别;广泛使用的热扫描,用于监测公共和私人场所的出入通道;无人机和机器人监测,用于监测公共空间距离间隔的遵守情况。
(三)监督方面:全方位展开
欧洲数据保护监督局(EDPS)是欧盟的独立监管机构。在新冠疫情大流行期间,EDPS持续关注和监督欧盟、成员国及其他主体的数据处理行为,试图在促进公共利益的同时最大限度保护个人数据安全。由于欧盟成员国众多,在法律执行、政策制定层面差异较大,因此,监管机构对于监督相关法规在成员国的落实而言十分重要。在EDPS发布的《2020年EDPS年度报告》(2020 EDPS Annual Report)中,详细介绍了该机构对新冠疫情期间数据保护的监督工作情况。新冠肺炎疫情大暴发后,EDPS立即成立内部工作组,以积极监测和评估政府及私人部门对疫情的反应。整个2020年,工作组一直在关注事态发展,并为疫情危机后数据保护和隐私的未来做准备。一直以来,EDPS强调需要采用泛欧方法来应对这一流行病。除了向欧盟机构、团体和机构(EUI)提供指导外,EDPS还与欧洲数据保护委员会(EDPB)的其他成员密切合作,就大流行最紧迫的挑战提供切实指导。主要措施包括:对追踪和监控应用程序进行数据评估和指导;支持欧盟机构合理利用数据,帮助其应对危机,与数据保护官密切合作,提供指导方案;帮助欧盟机构制定接触者追踪系统,并促使相关技术符合隐私保护法规。比如,疫情期间,许多机构开始进行体温检测,鉴于此行为有可能侵犯个人隐私和数据保护权利,EDPS仔细评估了这种做法,以确保其符合欧盟数据保护法。EDPS强调,与疫情相关的个人数据处理技术必须是临时的,具有明确且合理的目的,并符合欧盟数据保护法。
(四)国际合作方面:保障跨境数据的安全流动
在新冠疫情期间,欧盟积极推动较高水平的跨境数据合作,以期获得更好的抗疫效果。与此同时,跨境数据流动的安全性也需要得到保障。欧盟的数据跨境流动主要有三种合法方式:(1)数据传输至获得欧盟“充分性认定”的第三方;(2)例外场景(包括数据主体同意,或者处于合同需要等);(3)是否具备充分保障措施。其中,“充分性认定”的主要因素包括:第三国的个人信息保护立法情况、执法力度,救济机制等。迄今为止,只有不到20个国家符合其“充分性认定”,而例外情况在实践中又极少发生,因此,是否具备充分保障措施的方式成为欧盟扩大数据跨境合作的主要手段。
欧盟委员会(European Commission)副主席维拉·朱罗瓦(Věra Jourová)在数据隐私视频会议(Euroactive’s Virtual Conference on Data Privacy)中表示,欧盟不会设置障碍,而是搭建桥梁,以开放的姿态来促进数据的跨境流动,从而实现优势互补。为了保证跨境数据流动在新冠肺炎疫情期间的有序进行,EDPB出台了专门的指南。在指南中,EDPB为个人数据从欧洲经济区的公共机构转移到第三国的公共机构或国际组织提供了指导方针,并努力促成GDPR在不同层面的行政合作。EDPB强调,公共机构在传输个人数据时应采取充分的保障措施,并对转让各方应确保的核心数据保护原则加以明确。GDPR第48条规定:“任何判决、裁定或第三国行政机构的决定,若要求控制者或处理者对个人数据进行转移或披露,必须同时满足以下条件,方能得到认可或执行:一是该判决、裁决或决定必须基于提出请求的第三国与欧盟或其成员国之间订立的法律互助协议等国际条约,二是该判决、裁决或决定不会对本章规定的其他转移形式产生消极影响。”EDPB指出,欧洲经济区和非欧洲经济区公共当局之间达成的任何国际协议都应当明确对数据主体权利的保护,并提供相应补救机制,使数据主体能够在实践中行使其权利。
(五)延续方面:数字绿色证书的颁发
由于疫情不断反复,为了维持社会、经济等方面的正常运转,长时间的严格封锁措施并不可行。疫情期间如何保证人员的安全流动,关乎政治、经济、社会生活的复苏,也是欧洲各国考虑的重点。为此,2021年3月17日欧盟委员会提议发放数字绿色证书(Digital Green Certificate)。在新冠疫情大流行期间,欧盟试图通过数字绿色证书来确保人员在欧盟内部的安全流动。
欧盟委员会将建立一个网关(gateway),以确保所有证书可以在整个欧盟范围内得到验证,并为成员国提供技术支持。成员国有权决定对旅行者免除哪些公共卫生限制,但对持有绿色数字证书的旅行者必须以相同的方式适用此类豁免。数字绿色证书的相关法规主要包括以下内容:1.证书以电子或纸质形式发放,适用于所有欧盟公民,包括疫苗接种证书、核酸检测证书以及新冠康复证书三种类型;2.非歧视原则,持有数字绿色证书的旅行者享有同等权利,如果成员国仍然要求证书持有者进行隔离或检测,则必须通知委员会和所有其他成员国并解释采取此类措施的原因;3.只提供必要的信息和个人数据,证书仅包括有限的个人信息,该数据只能用于检验证书的真实性和有效性。数字绿色证书将在所有欧盟成员国范围内有效,并向冰岛、列支敦士登、挪威和瑞士开放。值得注意的是,欧盟承诺数字绿色证书是一项临时措施,一旦世界卫生组织(WHO)宣布新冠疫情紧急情况结束,它也将立即暂停。数字绿色证书的颁发,旨在建立一个泛欧框架,保障疫情大流行期间欧洲民众在欧盟境内自由流动权的行使。
总而言之,欧洲在新冠肺炎疫情暴发后,面对公共安全和数据保护难题,其吸取初期教训,迅速制定和颁布了一系列的建议、声明、指南等,并对此前已有立法进行新的解释和说明,为疫情期间的数据保护构建了较为完整的体系,但是,“欧洲方案”是否真正做到公共安全与数据保护的平衡,值得我们进一步研究。
四、“欧洲方案”的评价:理想与现实的矛盾
如前所述,欧洲为应对新冠疫情带来的安全危机,在数据治理上形成包括立法、工具、监督、国际合作等一套较为完整的“欧洲方案”,试图通过构建既可以应对公共危机,又不侵犯个人基本权利的“完美方案”。欧盟始终强调自己可以在二者之间寻求平衡,需要承认的是“欧洲方案”确实对欧洲防疫起到了一定积极作用,但是其所暴露的问题更值得关注。在瞬息万变的数字科技时代背景下,在危及全人类的新冠大危机面前,欧盟价值观对公共安全与数据保护的取舍明显不当。总体而言,“欧洲方案”并未实现其预设目标,未能兼顾公共安全和数据保护,这一方案充斥着“理想”与“现实”的矛盾。
(一)立法方面:硬法不硬
GDPR作为成文法,号称史上最严的数据保护法规,但其法律执行力似乎名不副实。第一,保护范围过于宽泛,不利于贯彻执行。有研究认为,虽然欧盟旨在提供尽可能最完整的数据保护,但是GDPR的实质范围过于宽泛,导致其在实践中无法得到有效遵守,要么被忽视,要么被抨击。欧洲数据保护法正面临成为“万物之法”的风险。新冠肺炎疫情危机表明,欧盟成员国对隐私权的保护存在很大差异。在实施接触者追踪程序上,GDPR并未对隐私权限制的相称性加以明确,阻碍了欧盟对个人基本权利的一致和高水平保护。第二,GDPR中某些概念的准确界定缺失,导致法律互操作性不足。作为欧盟数据保护立法的黄金标准,GDPR中有诸多关键词的定义并未得到明确。虽然,有观点认为这是GDPR灵活性的表现,也是为了让更多成员国尽快实施的客观需要,但是在疫情期间,这些未明确的概念、过于灵活的框架暴露出了其内在的缺陷,很大程度上影响了欧洲抗疫的进展。在GDPR的关键概念中,有学者认为,将“同意原则”作为二次使用敏感健康数据的合法依据,极具挑战性甚至不切实际。此外,“公共利益”依据由于缺乏国家层面的统一应用和解释,也因阻碍了合作的及时性和有效性而受到批评。
比如,尽管GDPR第6条、第9条、第89条等规定了紧急情况下的“减损条款”,但是,由于概念的模糊性及成员国的异质性,这些条款在实践中极少被适用。为科学研究目的处理健康数据的条件和程度、对数据主体权利的限制等因不同成员国颁布的法律不同而有所差异。为了规避可能承担的责任,各国的科研机构并不愿意轻易适用这些“豁免”条款,GDPR过度限制了欧盟以外的数据共享,且缺乏对更大公共利益的考虑,因此阻碍了全球抗疫的合作。
在疫情大流行期间,鉴于GDPR规定的高标准,公共利益基础可能比同意基础更适合于科学研究。GDPR将公共利益的具体界定权留给各个成员国,需要成员国根据其国内立法进行明确。但是,成员国之间的观点并不统一,差异化的立法影响了合作的效率。在欧盟看似团结的内部,成员国之间分歧正在不断扩大。这种趋势自英国脱欧以来正在不断加强。其中,波兰和匈牙利对欧盟价值观的挑战、对欧盟司法权的否定更是在新冠疫情期间达到高峰。由于各国无法就“公共利益优先”达成共识,在抗疫过程中争议不断,导致疫情控制错过最佳时机。
(二)工具方面:有效性及安全性不足
欧洲为疫情下数据保护制定的系列工具虽然看似完整,但在实践层面存在不少漏洞。在设计相关工具时,欧洲期望可以完善数据保护的基础上,最大限度地维护公共安全。有学者认为,欧盟应对新冠疫情的一个重要特点是,期望较高但工具受限。这种工具的有限性在数据治理方面也体现得比较明显。数据共享是了解疫情演变和因需调整措施的关键。虽然欧洲疾病预防控制中心(ECDC)有能力收集和共享数据,但数据之间缺乏一致性。虽然欧盟成员国可以共享数据,但这些数据在质量和详细程度方面差异很大。事实上,不论是欧盟机构还是各成员国,都过于高估自身的技术实力,导致数字技术应用并不能有效应对新冠肺炎疫情。
首先,数字工具的有效性受限。相关数字工具试图通过自动收集和分析数据,对追踪程序等进行自动化“决策”。表面上看,这种做法既可以保障公共安全,遏制疫情扩散,同时由于将个人数据置于后台操作,又可以避免数据泄露。但是,这些技术应用的背后可能存在较大漏洞。比如,通过人工智能技术发放的“通行证”可能导致部分风险人群的遗漏,尤其是所谓的抗体检测,更是存在严重风险。世界卫生组织警告称,“目前没有证据表明已感染人群康复后会产生免受二次感染的抗体”。不仅如此,当数字技术被应用于追踪时,其自动决策的有效性也值得怀疑。由于其并不清楚病毒的传播模式,因此为评估病毒传播风险而构建的数学模型的准确性也无法确保。有学者对数字追踪技术的应用表示担忧,一个健全的制度结构,需要进行清晰且深刻的反思。尤其在涉及健康数据和公共利益的问题上,必须规范谷歌和苹果等大型技术平台以及公共机构在管理数据方面的作用。
其次,数字工具的安全性不足。数字技术主要用于追踪和控制人口的流动,从而遏制疫情扩散。但是,部分国家的政府部门和私人部门对这类程序的功能进行了扩展。大规模收集个人数据的功能很容易导致数据安全问题的出现。并且,由于缺乏有效的约束和充分的测试评估,一些匆忙使用的应用程序反而成为数据保护的“漏洞”。不仅如此,在移动终端和互联网工具的应用中,相关主体为了控制人员流动,对来自社交媒体和电信运营商的数据进行了收集,绘制人口流动的“热点图”。而相关数据控制者在处理个人数据时却存在越权行为,这类对隐私权的越界行为也存在于网站、社交媒体、电子手环等其他工具当中。除此之外,由于疫情导致的远程工作和学习产生了大量数据,这些数据与个人隐私、国家安全、企业利益密切相关,但是对这些隐私数据的处理和保护并不尽如人意。比如,在德国和丹麦,人们对匿名化的不可逆性和潜在的第三方访问数据表示严重担忧。
(三)国际合作方面:道阻且长
在跨境数据流动方面,欧洲希望能够扩大与相关国家和地区的交流与合作。但是,数字科技时代的规则主导权之争难以避免,欧洲主导数据保护跨境合作的理想也难以实现。这一点在欧洲与美国的跨境数字合作方面体现得最为明显。数据的安全、自由流动是数字经济时代的客观需求,但是,具体的规则该如何制定,则关系到各国政治、经济、理念的博弈。
2020年7月16日欧盟法院对C-311/18(Schrems II)案作出判决,判定《隐私盾协议》(EU-U.S.Privacy Shield)无效。《隐私盾协议》无效案反映出欧美之间数据跨境流动的主要问题在于美国国家安全法律与欧盟个人数据保护法律之间的冲突,背后的根源是欧盟为抗衡美国的数字经济霸权与监控资本主义而实施“技术主权”战略。EDPS于2020年10月29日发布战略文件,旨在监督“Schrems II”判决的遵守情况。EDPS针对美国互联网巨头谷歌和微软展开调查,警惕美国科技巨头公司在数据传输中侵犯欧盟的个人数据隐私,对欧洲相关主体和民众进行“监视”活动。由于美国缺少综合性的联邦隐私立法,其数据保护状况未能得到欧盟的充分性认可。即便如此,欧盟依然希望可以扩大与美国的跨境数据合作,欧盟委员会副主席维拉·朱罗瓦(Vera Jourova)表示,数字世界如果缺乏强有力的隐私和数据保护,我们的民主将面临更多的未知风险,希望美国政府能以同样的方式看待它,希望欧盟和美国能够在双边和多边层面共同努力。有学者认为,“Schrems II”判决阐明了欧美在数据保护、国家安全以及人权理念上的根本差异。历史制度分析表明,美国法律体系的结构性变化不太可能解决“Schrems II”判决中的不足之处。因此,欧盟委员会将迅速采取行动,制定一个解决方案,模糊欧美之间的分歧,以适应美国的例外主义。
但是,欧盟与美国的数据保护模式存在根本性差异,前者主要依赖政府监管,后者则更强调业界自律和市场机制。不同体系之间的碰撞与冲突在所难免,加之双方在数字经济发展上存在根本利益冲突,所以跨大西洋数据传输机制存在深层隐患。美国凭借其在技术、产业优势以及灵活的监管制度优势,在数据跨境伴生而来的隐私保护、数据安全问题方面并无特别担忧,因此仅建立了个案式的监管机制。因此,欧盟与美国的个人数据保护理念与途径差异很大,欧盟对美国大规模监控体系能否与欧盟法律原则兼容心存疑虑,双方的跨境数据合作依然道阻且长。
(四)数字绿色证书:规制有待完善
数字绿色证书为疫情期间的人员流动提供了一定的便捷,也成为经济、政治、社会生活复苏的重要手段。但是,自其推出之日起,质疑与批评也未曾间断。首先,该证书是否足以保障公共安全。如前所述,世界卫生组织未曾证实,已感染人群康复后会产生免受二次感染的抗体,“EDPB和EDPS联合评估”也认为,当前依然缺乏证据表明接种疫苗或感染病毒后痊愈的个人就存在“免疫力”,此外,该证书在疫情期间还存在较大的伪造风险。因此,该证书的发放是否能确保人员流动的安全性值得怀疑。其次,证书的应用规范缺失。由于缺乏保留期限的规定,证书指定的数据字段中没有到期日期。此外,官方应公开所有与数字绿色证书相关的个人数据的控制者、处理者或接收者的实体名单,以允许欧盟公民根据GDPR行使数据保护权利。最后,证书技术的安全隐患。目前已经出现伪造疫苗护照的网络犯罪事件。欧洲刑警组织(Europol)专门就此类网络犯罪事件发布了相关警告,法国、英国、西班牙等国均已出现了贩卖伪造数字疫苗证书的案例。鉴于目前的技术手段,犯罪分子有能力制造高质量的伪造证书。该证书使个人面临着自身大量数据被记录的风险,如果相应的保障措施不够充分,那么这种数字技术抓取的其他个人信息,比如地理位置、宗教信仰、个人爱好数据也可能被集中存储。一些欧盟成员国,如丹麦、奥地利或匈牙利,已经宣布他们打算也使用该系统来允许进入餐馆、宗教场所或体育设施。所以,该证书的使用增加了公民被当局监控的风险。
整体而言,新冠肺炎疫情背景下,“欧洲方案”实质上被所谓的欧盟价值观和道德标杆所束缚,既没有处理好数字应用技术的隐私保护问题,也没能更好地应对公共卫生危机。欧盟一方面声称要实现“数字主权”,另一方面却深陷数据治理泥潭。欧盟过于注重隐私保护的传统价值取向,导致其在数据治理领域丧失先机,在公共安全方面也颇受诟病。
五、结论
新冠肺炎疫情大流行让欧洲陷入内忧外患、左支右绌的困境之中。欧盟价值观是欧盟实现战略自主、数字主权的重要武器。其中的典型案例是2021年4月21日欧盟委员会提出的《人工智能法案》(Artificial Intelligence Act)。该法案引起了巨大争议,其讨论的重点是如何平衡基本权利与公共安全。学者们普遍认为该法案具有开创性,是欧洲实现数字主权的重要工具,但是其中存在的“理想化”方案将成为其未来实施的重要障碍。与《人工智能法案》类似,“欧洲方案”可以说是“乌托邦主义”在数据治理领域的现实写照。从根本上来说,“欧洲方案”的困境源于欧盟的“理想化”,是欧盟一体化进程受挫在数字治理领域的显现。尽管欧洲数据保护历史悠久,但是,数字经济的飞速发展极大程度地改变了数据保护的现有模式。作为现代数字经济背景下的最新成果,“欧洲方案”过于追求不同价值诉求的平衡,这是造成其复杂性和极具争议性的重要原因。欧洲的新冠疫情反复激荡,一定程度上是欧洲过于“理想化”的后果。该方案未能如其所愿实现公共安全与数据保护的平衡,追根溯源,可以通过三对矛盾来加以思考。
其一,欧洲主义与民族主义的矛盾。欧洲人有两种“人格”交叠,一面是“欧洲主义”,互相认同彼此都是欧洲人,具有“欧洲观念”;一面是“民族主义”,各有自己的利益观、习惯、观念等。由于这种矛盾的存在,在数字治理层面,欧盟所期望的“泛欧”抗疫框架难以顺利搭建。其二,理想主义与现实主义的矛盾。欧洲人深入骨髓的理想主义在其方案中也能得到体现。但是,理想诉求并非悬空状态,而是与现实利益紧密结合。在数字治理方面,欧盟的政策过于理想与超前,而现实的种种困境让这种理想化的方案举步维艰。其三,成员国之间的矛盾。欧盟扩员之后,其成员国构成更加复杂,甚至形成了小集团来对抗欧盟的主导国。在数据治理方面,由于不同的国情和发展水平,各国在政策执行层面差异明显,“多速欧洲”模式在此体现得淋漓尽致。
“他山之石,可以攻玉”。对中国而言,数据治理的“欧洲方案”在应对重大危机时如何平衡公共安全与数据保护等方面的有益尝试值得借鉴。2021年11月1日,《中华人民共和国个人信息保护法》正式施行。在数据治理层面,虽然中国的起步较晚,但是相关法律和机制正在不断完善,需要对其他国家的措施“取长补短”,同时结合自身的制度优势及特点,积极探索在国际数据治理中具有竞争力的“中国方案”。
【刘洋,兰州大学马克思主义学院博士研究生;李益斌,兰州大学中亚研究所、兰州大学政治与国际关系学院副教授。本文系国家社科基金重大研究专项项目(项目批准号:21VGQ010)的阶段性成果,且得到2021年度兰州大学中央高校基本科研业务费项目(项目批准号:21lzujbkyjd002)的资助。】
Abstract:To cope with the challenges of COVID-19,Europe has issued relevant measures of data-based approach to governance,on which scholars have huge differences,and the related researches are conducive to further discussion on the differences.By sorting out the challenges posed by the pandemic to public security and data protection in Europe,the“European Solution”of the data-based approach to governance is made,including legislation,instruments,supervision,international cooperation,and continuity.The Program has curbed the spread of the pandemic to a certain extent.However,due to the influence of the traditional values of the EU,the Program is too idealistic in the balance between public security and data protection,which intensifies the dilemma and causes many problems,such as ambiguous legislation,inadequate effectiveness and security of instruments,arduous and long way to the international cooperation,and imperfect regulations on digital green certificates.Therefore,in a major crisis,it remains a long way to explore the balance between public security and data protection.
Keywords:European Solution;Data-based Approach to Governance;Data Protection;Public Security
(责任编辑 郭 锐)
.jpg)
京公网安备 11010102003980号