全球範圍內資料方面的限制日益嚴格，這促使企業重新考慮業務經營方式。

用於將數字資訊傳輸到歐洲境外的工具現面臨法律困境。現在，許多公司在考慮曾經無法想象的局面：限制資料流出歐盟。

在歐盟最高法院上個月廢除了名為《隱私盾》（Privacy Shield）的第二份跨大西洋資料保護協議後，大洋兩岸的公司企業一直呼籲迅速換成新協議，積極倡導自問世以來支撐網際網路的無摩擦資料這個概念。

但是《隱私盾》的廢除表明真正無邊界的網際網路這個想法正在發生變化。

歐洲監管機構日益呼籲將資料儲存在歐盟內部。雖然歐洲大陸具有里程碑意義的《通用資料保護條例》（GDPR）為世界其他地區的隱私規則提供了模板，但目前也有類似中國的資料傳輸方面的限制——在印度和巴西，類似GDPR的法律和本地資料儲存需求正在醞釀中。

雖然歐盟監管機構將如何解讀《隱私盾》裁決仍需拭目以待，但越來越多的公司不願靜觀其變，而是主動決定將資料保留在歐盟內部。

2018年，網路安全公司卡巴斯基開始將來自歐洲和北美的資料儲存在瑞士，以防止隱私問題。數字錢包提供商Dashlane自2012年創辦以來就一直將使用者資料儲存在歐洲，因為幾位創始人認為資料保護方面的高標準會吸引客戶。

Peter Yared的公司InCountry幫助企業客戶遵守本地資料法規，他告訴POLITICO網站：資料本地化要求日益被客戶（尤其是那些業務遍佈全球的客戶）考慮進來。他說：“我們與客戶交流後認為，具有全球思維方式的公司……正在為未來更嚴格的數字資料法規積極做準備。”

這些公司很可能成為先行者。一名不願透露姓名的代表大型科技公司的律師表示，他們現在建議一些客戶應考慮在不同的地區對資料進行分割槽。

該律師提到本月初廢除《隱私盾》時說：“過去，我們告訴客戶不用擔心資料儲存在哪裡，因為資料匯出機制允許很大的靈活性，但是我們已發生了180度大轉變，告訴客戶考慮首先在本地儲存資料。這倒不是由於Schrems II判決本身，而是資料傳輸方面的限制越來越嚴格似乎是當今世界的發展方向，這將幫助客戶使合規計劃適應未來需要。”

德國成為急先鋒

雖然歐盟最高法院因擔心美國監視而廢除了《隱私盾》，但它維持了用於在世界範圍內匯出個人資料的工具：標準合同條款（SCC）的合法性。

但是明顯認可SCC帶有隱藏的問題：最高法院強調，公司和資料保護監管機構有責任檢查使用那些工具進行的傳輸是否符合歐洲資料保護方面的高標準。

歐洲的資料保護機構組織表示，評估使用SCC匯出的資料是否合法這項工作必須“具體情況具體分析”，這加大了公司只要想把資料傳輸到境外，不得不認真分析外國監視制度的可能性，這表明即將出現棘手的法律難題。

德國的監管機構則更進一步，柏林的資料保護監管機構要求儲存在美國的資料遷移到歐洲，而巴登-符騰堡州的監管機構告訴POLITICO，現行的SCC目前基本上不適合從歐洲匯出資料。該國所有隱私權監管機構隨後發表的一份聯合宣告稱，在沒有其他保護措施的情況下，針對美國資料傳輸的SCC“通常不夠到位”。

要求資料本地化的呼聲（尤其來自注重隱私的德國）不是什麼新鮮事，但是這回可能不一樣。數字主權已儼然成為歐洲最高決策者的頭等大事，他們全力支援Gaia-X之類的專案，這個專案旨在加強歐盟將資料儲存在歐洲大陸的能力。

本地資料儲存要求也大行其道。中國和俄羅斯是該政策的重要擁護者，但資料方面的限制卻在到處出現。在鐵腕領袖Narendra Modi和Jair Bolsonaro的領導下，印度和巴西也傾向於資料本地化要求，而越南和馬來西亞等國家有類似的規定。像澳大利亞和加拿大一些省份這樣的西方盟友也有這方面的限制。

對於像谷歌和Facebook這樣的公司來說，它們的全球帝國依靠從個人資料中提取價值的能力，向資料本地化轉變意味著壞訊息。許多這些公司將數量龐大的資料發回到美國進行處理、分析、研究及用於其他用途。不得不對那些業務職能進行區域劃分，將意味著重組公司結構，並受到其他國家更嚴格的監管審查。

數字身份識別公司Dashlane的聯合創始人兼執行長Emmanuel Schalit說：“如果您考慮這些大公司的運營，遷移資料並不像聽起來那麼簡單，除非您一開始就進行了針對性的設計。誰知道供應商和客戶之間簽訂了哪些錯綜複雜的協議？”Dashlane自一開始就將資料儲存在歐洲境內。

雖然律師們急於想方設法讓資料可以繼續傳輸到境外，技術遊說人士大聲疾呼用另一種《隱私盾》來代替已廢除的《隱私盾》，但一些分析師警告：修改法律的時機已過去了。

獨立的網路安全研究人員和顧問Lukasz Olejnik透過電子郵件告訴POLITICO：“如果沒有另一個類似《隱私盾》的方案，並假設它在技術和組織層面上做得很到位，資料本地化聽起來是最簡單的方法。我覺得純粹的法律迴應不夠到位……我堅信合規將需要實際的技術性變化。在一些情況下，這意味著需要重新設計系統的架構。”

巴登-符騰堡州的隱私監管專員Stefan Brink贊同這個觀點，告訴POLITICO：單單有法律層面的變化不足以讓資料可以繼續傳輸。

公司可以將其資料儲存在歐洲，也可以採取這一招：對穿越大西洋的所有資料進行加密。

Brink聲稱：“我一般同意，將資料匯出到第三國可能不再基於標準合同條款。然而歐洲法院表明了透過額外的保證繼續這種資料匯出的可能性。這可能包括對儲存在美國的資料進行有效的加密，美國服務提供商無法破解加密資料。”

參考資料：

https：//www。politico。eu/article/eu-court-ruling-strikes-hammer-blow-to-transatlantic-data-flows/

https：//www。loc。gov/law/foreign-news/article/european-union-court-of-justice-invalidates-u-s-eu-privacy-shield/

https：//www。cbronline。com/opinion/cloud-quake-safe-harbor