欧盟又开天价罚单了。
5.3亿欧元,给予TikTok。在消息传出的那一日,圈子当中都在流传,实际上大家心里都明白,金钱并非关键要点,关键要点是那个词汇:“实质等同”。
称之为实质等同究竟是什么意思呢?那便是你必须要做出证明来,数据抵达了中国之后,所享受到的保护水准与 EU 境内完全相同。
这几乎是个死命题。
这事没那么简单
可能一些中国人会持有这样的想法,即我们存在着《个人信息保护法》,还具备各种各样的安全评估,为何就难以行得通了呢?
可是在爱尔兰数据保护委员会的认知当中,哪怕你所撰写的法律条文极为精美华丽,然而要是没有经过实际运用的检验核查, 那也是毫无用处的。特别是那些涉及到“国家安全”的特殊例外条款,在他们的看法里就如同一个深不可测的黑洞一样——倘若哪一天政府要求查看相关数据,企业有没有能力予以拒绝呢?
TikTok辩解称,数据并非存于中国,只是由北京的工程师进行远程查看而已。
就这一眼,出事了。
DPC讲,远程访问即为传输,当你于北京办公室开启笔记本电脑之际,数据已然“出境”,哪怕仅仅于内存里短暂闪现一次,亦算在内。
美国人更狠
如果你觉得欧盟只是讲道理、讲人权,那看看美国。
在2025年4月的时候,美国司法部的那个经过长时间酝酿的EO 14117,最终生效了。
换言之就是:只要是身为中国人(连同另外几个“受关注国家”的人),就不被允许触碰美国人的敏感数据。
啥叫做敏感呢?位置方面的信息不行,基因组是不可以的,生物识别这一项也不行,健康数据同样不行……另外,只要是那种能够和政府产生关联的,通通都不被允许。
而且,人家不光是政府盯着你。
就来了两起集体诉讼。原告表明,广告平台将数据传递给中资电商之事,违背了这条行政令,并且还违背了1986年施行的《电子通信隐私法》——呈现了一次违法,面临两边受责的状况。
这于往昔而言,是极难予以想象的,此前,数据合规属于行政监管范畴之事,而当下,则已然转变成为民事诉讼所运用的武器啦。
数据流动的“不可能三角”
文章里鲁政委他们几位老师提到过一个名为“不可能三角”的概念,这个概念包含数据保护、数据自由流动、数据主权这几项;需注意的是,在这几项当中,你最多仅能保住两个。
即便是欧盟所保的,那也是保护以及主权,并且因此,才搞出了GDPR,又搞出了充分性认定,还搞出了天价罚款。
美国所保障的是自由流动以及主权。然而它所追求的那种“自由”,乃是对自身有利的自由,数据流进来是可行的,但是流出去呢,这就得看流向何方了。
中国呢?我们在中间。
对于全球化发展的互联网企业而言,我们是数据流入的受益一方。然而,我们身为发展中国家,国家安全这根弦始终紧绷不敢放松。如此一来,便形成了当下这样的框架,即本地化存储且要进行安全评估。
但世界不是只有中美欧
联合国那个打击网络犯罪公约,70多个国家签了。
有那么个叫做“提交令”的东西在里面,有着这样一种情况,某个国家的执法机关,能够直接去要求处于境内的网络服务商,把存在境外的数据交出来。
这就意味着,往后你那一户新加坡公司,要是服务器当中存有马来西亚用户的数据,马来西亚警察说不定通过一道指令就能直接给调取走,无需经由新加坡政府 句号缺失。
听起来是不是很恐怖?
对于那些没有跨国巨头的小国而言,这是他们对抗数据霸权的方式,而且是唯一的那种方式。
说到底,数据跨境从来不是技术问题
是信任问题。
TikTok无论怎样作出解释,DPC就是笃定地坚信中国政府不会毫无缘由地随意索要数据是不可能的。美国不管如何不停地热议人权,中资公司就是坚定不移相信它绝对并非是仅仅为了实施监控而已的情况是不存在的。
在这种彼此不信任的局里,合规怎么做?
也许唯一的出路是“小步走”
别想着把数据全传回来。
能在本地进行处理的情形,要尽可能地在本地予以处理。要是非得进行传输的话,那就得实施匿名化处理,施行加密措施,开展访问控制操作,完成这些之后还必须开展影响评估工作——所开展的评估并非那种敷衍了事的走过场式评估,而是切实地拿着放大镜去审视当地的法律条文情况,去察看司法实践的实际状况,去查看是否存在相关判例,去探究政府究竟有没有权力进行调取。
然后留好记录。
再然后,做好最坏的打算。
因为哪怕你什么都做对了,风向一变,罚单还是会来。
有时候想想也挺荒诞的。
互联网存在的时间并不长呀,可它原本是那种没有国界存在的乌托邦状态呢,然而现在却已然转变成为主权各自分立、防范极为严密的战场形式了。
数据在流动,信任在凝固。
Comments NOTHING