查看原文
其他

中心研究 | 美欧之间能否再次顺利签署跨大西洋数据流动协议?

信通院互联网法律研究中心 CAICT互联网法律研究中心 2023-01-22


全文共计约4500字,细读时间约15分钟

文 | 刘耀华,中国信通院互联网法律研究中心高级研究员

      侯文兴,中国信通院互联网法律研究中心实习生



2022年10月7日,美国白宫发布《关于加强美国信号情报活动保障的行政命令》(EO)[1],以履行今年3月份同欧盟共同宣布建立“跨大西洋数据隐私框架”时做出的承诺[2]。EO对美国的“信号情报活动”[3]做出进一步规范,旨在消解欧盟对美国数据保护水平的疑虑,破解双方数据保护法律不兼容的困境。EO的出台,表明美国正在试图建立更高水平的隐私保护标准,为未来跨大西洋数据流动提供更持久的法律基础。本文梳理了EO的发布背景、主要内容、法律效力以及各方评价,以供读者判断美欧之间数据跨境流动协议出台的可能性及难度。

一、发布背景
2020年7月16日,欧盟法院以美国法律与欧盟法律不兼容为由,宣布双方于2015年签署的隐私盾协议(Privacy Shield)无效[4]。欧盟法院认为,美国没有提供与欧盟“基本相同”的数据保护水平,原因在于美国执法和情报机构拥有访问个人数据的广泛权力,而且欧盟居民在法律上缺乏与这些权力相关的有效补救措施。
具体来说,欧盟法律与美国法律的冲突在于:一是美国监控法未将出于监控目的的数据访问限制在“必要且相称”的范围内;二是欧盟数据主体未能获得在法庭上针对美国当局的可诉补救途径,这意味着欧盟数据主体无权对抗美国当局的执法而获得有效补救。
为了解决这些问题,美国履行先前承诺出台EO,为美国信号情报活动规定“隐私和公民自由保障”等内容,并为来自“合格国家”的非美国人创设新的补救方法,以满足欧盟的跨境数据流动法律要求。
二、主要内容
EO没有修改或取代美国现行的监控法,也并非试图解决或统一美国处理数据隐私的方法,而是采取有针对性的措施来解决欧盟法院指出的问题,即执法机构收集个人数据。EO共四节,除第一节“目的”和第四节“定义”外,EO分为以下两个方面内容:
(一)保障措施
EO对信号情报活动的原则、合法目标、禁止目标和数据处理要求作出了规定。
一是规划和开展信号情报活动的原则。信号情报活动必须获得授权,接受严格的监督,并受到适当的保障,以确保隐私和公民自由是规划和实施信号情报活动时不可或缺的考虑因素。信号情报活动对于推进“经过验证的情报优先事项”应是“必要的”和“相称的”,即开展信号情报活动必须确定是推进经过验证的情报优先事项所必需的,并且采取与授权的经过验证的情报优先事项相称的范围和方式。而这两者是欧盟法理学中的关键概念,其在美国法律中的缺失也是隐私盾协议失效的关键原因之一。
二是开展信号情报收集活动的合法目标。信号情报收集活动应当为追求合法目的而进行,EO规定了12项合法目标,同时也允许总统可以根据新的国家安全要求授权更新目标清单,目标具体包括:
1.保护国家安全;
2.了解或评估对国家安全和全球安全的威胁;
3.防止:外国军事能力和活动;恐怖主义;间谍活动、破坏活动、暗杀活动和其他情报活动;来自大规模毁灭性武器的威胁;网络安全威胁;对美国及盟国人员的威胁;跨国犯罪威胁;
4.保护选举的完整性和其他政治方面。
另外,批量收集信号情报也是允许的,但相对于有针对性地收集信号情报,其合法目标范围更窄,仅限于上述第三项中的各个目标。
三是开展信号情报收集活动的禁止目标。EO中有四个被禁止的目标:
1.压制或加重个人或新闻界的批评、异议或自由表达思想或政治观点;
2.压制或者限制合法的隐私利益;
3.压制或者限制聘请律师的权利;
4.基于民族、种族、性别、性别认同、性取向或宗教而使他人处于不利地位。
四是通过信号情报收集的个人信息的处理要求。通过信号情报收集的个人数据,美国情报机构必须遵循的一些程序,具体包括:数据最小化、对传播和保留的限制以及删除要求(特别是使对非美国个人数据采取的方法与对美国个人数据采取的方法保持一致)、数据安全和访问控制、数据质量、批量收集查询、文档要求和更新政策的要求,以及实施EO中的隐私和公民自由保障措施所需的程序。
具体来说:美国情报部门处理通过信号情报收集的个人信息的每个部门都必须制定政策和程序,以尽量减少个人信息的传播和保留。
(二)补救机制
EO建立两级补救机制,使非美国人能够寻求审查美国情报部门的信号情报活动。
一是数据主体可以通过适当的公共机构向新成立的国家情报总监办公室的公民自由保护官员(CLPO)提出投诉。在行政命令发布后60天内,国家情报总监(DNI)应与美国司法部长和美国情报界负责人协商,建立提交“合格州适当公共当局转交的合格投诉”的程序。为了实施这一补救机制,司法部长可以根据与国务卿、商务部长和DNI协商后确定的国家或组织的法律为从美国转移的美国人的个人信息建立“适当的保障措施”,将国家或地区经济一体化组织指定为“合格国家”。CLPO需要调查、审查和命令(必要时)对投诉进行适当补救,并将结果告知投诉人。EO规定了CLPO在考虑和调查投诉时必须遵循的流程,要求美国情报部门必须遵守CLPO的任何决定,并采取CLPO发布的适当补救措施。EO还确立了CLPO的独立性,并防止其因根据EO采取的行动而被解雇。
二是司法部长建立数据保护审查法院(DPRC),以复审CLPO对合格投诉的决定。司法部长应与商务部长、DNI以及隐私和公民自由监督委员会(PCLOB)协商,任命法官在新成立的数据保护审查法院任职,法官应不是美国政府雇员。在CLPO做出决定后,投诉人或情报部门人员可以向DPRC申请复审CLPO的决定。在收到复审申请后,DPRC应召集三名法官小组来复审申请,并选择一名代表投诉人利益的特别辩护人协助复审。CLPO和DPRC的决定对美国情报当局具有约束力。
另外,补救机制仅适用于被美国司法部长指定为“合格国家”的国家或地区。EO规定指定合格国家须符合以下条件:
1.该国家或地区的法律规定,在进行信号情报活动时,对从美国转移而来的美国人个人信息采取适当的保障措施;
2.该国家或地区允许与美国之间出于商业目的转让个人信息;
3.该指定将促进美国的国家利益。
三、法律效力[5]
行政命令(Executive Order)是由美国总统签署的官方指令,通常用于管理联邦政府的运作和指导行政官员的行动。它本身并非法律,无需经过国会批准。若行政命令具有宪法基础且不与现行立法产生直接冲突,则具有类似法律的效力。
行政命令是总统行使行政权的重要方式之一。通常认为,美国总统行政命令有两个权力来源。一是,行政命令源自宪法授权。美国宪法第二条第一款规定,“行政权赋予美利坚合众国总统。”第二条第三款规定,总统“应确保法律被忠实地执行。”也就是说,美国宪法赋予总统行政权并要求总统确保法律的实施,因此总统可以采取包括行政命令在内的行政措施。但这一表述是否能够充分说明美国总统具有发布行政命令的权力仍然存在争议。二是,行政命令源自国会立法和授权。在国会的特别授权和法律中的授权条款范围内,总统可以发布行政命令,享有制定规制政策的裁量权。
虽然总统行政命令的权力来源在法理上仍然存在争议,但其已经逐渐发展成为美国总统行使行政权的重要手段,可以说是总统行政权的组成成分。因此,国会和最高法院在理论上有权审查和制衡,但这一制衡力量在实际中却相对薄弱。就国会而言,它可以通过立法的方式直接推翻总统的行政命令,但这通常与总统的利益相违背,因而被否决的概率很高。最高法院可以通过判定行政命令是否违反宪法或其他法案来制衡总统的行政权。但到目前为止,它仅推翻过两项行政命令。
除了国会和最高法院,总统可以对其任期内制定的行政命令进行修改或撤销,也可以通过发布新的行政命令来补充、取代或废除前任总统发布的行政命令。
四、各方评价
总体来说,欧美各界对EO报以积极评价,但部分隐私活动人士及机构提出了异议,认为EO并没有解决美国大规模监视以及司法救助的问题,对数据跨境流动仍然抱有疑义。
(一)欧盟委员会[6]
2022年10月7日,欧盟委员会发布问答,称不认为欧盟法院会取消跨大西洋数据隐私框架,因为美国行政命令中的保障和补救机制解决了欧盟法院提出的所有问题。
(二)美国商务部[7]
2022年10月7日,美国商务部发布新闻,称加强的信号情报保障措施,新的补救机制和更新的隐私原则,将成为欧盟委员会评估欧盟-美国数据隐私框架新充分性决定的基础。
(三)Baker Botts律所[8]
EO为缓解欧盟和美国之间个人数据跨境传输的紧张局势铺平了道路。表明拜登愿意重新考虑和修改美国的个人数据保护方法。在商业层面上,EO可能对全美各地公司已经使用的数据收集和处理系统的影响有限。但这表明现任政府愿意解决欧盟法院指出的欧盟-美国隐私盾框架无效的问题,为正在进行的关于替代跨大西洋隐私框架奠定了基础。
)Dr.Axel Spies[9]
如果新框架到位,在狭义的情况下,数据出口商将个人数据从欧盟传输到美国,应该减少对更严格的欧盟标准合同条款(SCC)或通用数据保护条例(GDPR)中的“减损”的依赖,例如个人同意等。隐私盾失效的主要原因是对通信的监视,公司对此没有太多控制权。行政命令有望在跨境信息传输方面顾及欧洲法院的担忧,但是否解决了所有欧洲法律问题还有待观察。当然,组织还必须遵守欧洲数据保护法的所有其他相关方面。这意味着数据进口商和数据出口商仍需执行数据传输影响评估,以将个人数据带入美国,就像在发布行政命令之前一样。
(五)欧洲数字版权中心(NOYB)[10]
关于美国监视的行政命令不太可能满足欧盟法律。第一,批量监视继续进行,没有迹象表明美国的大规模监控会在实践中发生改变,新的行政命令将继续进行所谓的“批量监控”。第二,“法院”不是真正的法院。这将不是宪章第47条或美国宪法正常法律意义上的“法院”,而是美国政府行政部门内的一个机构。新机制是之前的“监察员”机制的升级版本,该机制已被欧洲法院驳回。显然,这个执行机构不会构成《欧盟宪章》所要求的“司法补救”。第三,“法院”的判决已经在行政命令中阐明。美国政府既不会确认也不会否认用户受到监视,只会通知用户没有违规或已得到补救。这也使得上诉选项毫无用处。
(六)美国公民自由联盟(ACLU)[11]
“拜登总统的行政命令还远远不够。它未能充分保护美国人和欧洲人的隐私,也未能确保隐私受到侵犯的人的索赔将由完全独立的决策者解决,”美国公民自由联盟国家安全项目的高级律师阿什利·戈尔斯基说,“尽管行政命令是朝着正确方向迈出的一步,但它不符合欧盟的基本法律要求,使欧盟与美国之间的数据传输处于危险之中。”美国公民自由联盟呼吁国会从根本上改革美国的监视法,以遏制未经授权的间谍活动,并确保有一个有意义的机制来改变政府的监视。
(七)跨大西洋消费者对话(TACD)[12]
一方面,这些措施似乎没有解决美国监控法律和做法缺乏相称性的问题——根据欧洲法院的说法,这是导致现行制度与欧盟法律不相容的主要因素之一。行政命令提到了新的保障措施,包括《欧盟基本权利宪章》(欧盟宪章)第52条中的“相称”一词,但它没有建立任何机制来限制美国现有的大规模监视系统。另一方面,行政命令似乎仍然没有为欧洲消费者提供真正的司法补救。

参考文献

[1]行政命令全文:https://www.whitehouse.gov/briefing-room/presidential-actions/2022/10/07/executive-order-on-enhancing-safeguards-for-united-states-signals-intelligence-activities/

[2]情况说明书:美国和欧盟委员会宣布跨大西洋数据隐私框架https://www.whitehouse.gov/briefing-room/statements-releases/2022/03/25/fact-sheet-united-states-and-european-commission-announce-trans-atlantic-data-privacy-framework/

[3] EO对“信号情报活动”没有明确定义通常是指国家安全机构基于对通信和其他电子信号的拦截(并在可能的情况下进行解释)的情报收集,包括公民、军事其他国家等来源

[4] 欧洲法院判决原文:https://noyb.eu/files/CJEU/judgment.pdf

[5]邢佳颖:美国总统行政命令有多大效力?https://mp.weixin.qq.com/s?__biz=MzA4Nzk2NzEwNA==&mid=2651890380&idx=1&sn=242573df4ad3ea5f307cda5eb4d25bb5&chksm=8bd55623bca2df357552fa8a623210ae5f3657e3d6ee4dbf06ceb30cb037d5a7a9054d8ff86d&scene=27

[6]https://ec.europa.eu/commission/presscorner/detail/en/qanda_22_6045

[7]https://www.commerce.gov/news/press-releases/2022/10/statement-us-secretary-commerce-gina-raimondo-enhancing-safeguards

[8]https://www.bakerbotts.com/thought-leadership/publications/2022/october/president-biden-issues-executive-order-on-enhancing-safeguards

[9]https://www.jdsupra.com/legalnews/dr-axel-spies-discusses-recent-5282192/

[10]https://noyb.eu/en/new-us-executive-order-unlikely-satisfy-eu-law

[11]https://www.aclu.org/press-releases/new-biden-executive-order-eu-us-data-transfers-fails-adequately-protect-privacy

[12]https://tacd.org/statement-by-tacd-on-the-announcement-of-a-new-eu-u-s-personal-data-transfers-framework/


END


往期精彩回顾



(滑动浏览)中心研究 | 对个人数据价值释放的追求,各利益团体的努力和妥协——简评《美国数据隐私和保护法案》中心解读 | 国家互联网信息办公室依法对滴滴公司进行处罚,切实规范平台经济健康发展
中心解读 |《数据出境安全评估办法》发布,数据处理者应如何开展安全评估?
中心研究 | 中国参与数据跨境流动国际规则的挑战与因应
中心研究 | 域外关于数据所有权法律问题的探讨
中心研究 | 关于数据伦理国内外研究评述与发展动态分析
域外观察 | 为什么2022年只是人工智能规制的开始?
中心研究|元宇宙中的潜在法律问题研究中心研究 | 美国私营部门隐私保护成文法框架概述中心研究 | 欧洲议会表决通过《数字服务法》草案修正案,九大变化强化平台监管治理拜登政府执政一周年观察(一):美国数字经济领域反托拉斯工作要点分析及趋势判断中心研究 | 简评美国伊利诺伊州Cothron诉White Castle指纹识别信息侵权案
中心会议 | 算法治理研讨会暨《算法治理蓝皮书》发布会在北京顺利召开(后附蓝皮书原文与解读)新书推荐 |《个人信息保护立法研究》
年度观察 | 2021年网络法治盘点与回顾(一):平台治理篇
年度观察 | 2021年网络法治盘点与回顾(二):个人信息保护篇
域外观察 | 韩国率先发布全球首部《数据基本法》,大力发展数据产业

域外观察 | 韩国迎来《个人信息保护法》颁布以来的首次全面修订

域外观察 | 聚焦四大问题,日本更新《个人信息保护法》指南问答中心会议| 第六届“网络法治三十人论坛”成功举办中心解读|《个人信息保护法》正式出台——中国走出第三条路(后附历次审议稿修改对照表)中心解读 | 《个人信息保护法》以闭环管理机制,规制个人信息泄露问题
中心解读|《个人信息保护法》与GDPR的个人信息权利对比
中心研究|十问十答看懂我国个人信息去标识化规则中心研究 | 透视“数字守门人”制度:对大型平台的事前监管机制
中心研究|美国打压我国科技公司的政策工具梳理
中心研究|关于APP与关联方共享个人信息问题研究
中心会议|《个人信息保护法(草案二次审议稿)》研讨会顺利召开中心研究|商务部《阻断办法》解读与“国际阻断立法”比较研究
中心研究|数据治理 |数据价值演变下的个人信息保护:反思与重构
域外观察|数字市场秩序 | 欧盟公布《数字服务法案》和《数字市场法案》,单一数字市场促进举措大力推进
中心研究|数据跨境流动 |RCEP迈出全球数据跨境流动规则体系构建重要一步
中心研究|未成年网络保护 | 《未成年人保护法》修订:十大制度亮点推动未成年人网络保护进入新阶段
域外观察|欧洲议会发表了《欧洲数字主权》报告
中心研究|关于美国实体清单制裁事件有关情况的梳理
全文翻译|新加坡发布《个人数据保护法(修订)》草案
全球跨境数据流动国际规则及立法趋势观察和思考
域外观察│美国制裁华为相关法律问题梳理中心研究│个人信息保护中的“用户同意”规则:问题与解决中心研究 | 《个人信息保护法》实施一周年观察之数据保护带来的成本究竟几何

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存