中心研究 | 数据法案例(二)—隐私盾、数据隐私框架和Schrems案(数据跨境之充分性保护认定)
本文约14000字,细读约35分钟
姬祥|中国信息通信研究院互联网法律研究中心研究员
CIPP/US CIPP/E
编者按
在业务场景纷繁复杂、技术快速迭代的数据法领域,抽象的法律原则和难以具体到每一实践场景的规则,在各方对于具体案件充分的说理、论述和激辩中迸发生命力。Daniel J. Solove教授曾谈到,美国联邦贸易委员会作出的隐私“判例法”(jurisprudence),[1]在功能上等同于(functionally equivalent)普通法,或者说是一种事实上的普通法(De Facto Common Law)。[2]笔者认为,这一判断放眼各国皆然。因此,笔者试图对数据法领域的经典案例进行基础梳理,供业界参考。本期带来的是两度推翻欧盟-美国间数据跨境传输“安全港”框架、“隐私盾”框架的Schrems案。有错漏之处还请多多批评~笔者此前梳理的相关案例,请见:
1.美国伊利诺伊州Cothron诉White Castle指纹识别信息侵权案【损害认定;损害赔偿请求权的发生;损害赔偿金的认定】
2.位置数据合规要点—详细梳理谷歌与四十州和解案【虚假陈述;侵害用户知情权和控制能力;交叉使用数据以进行个性化推荐】
3.数据保护影响评估要点—基于微软DPIA报告的梳理和分析(上)【数据处理活动范围;控制者/处理者角色区分;合法性基础;用户的控制能力;跨境传输;执法机构调取等】
4.数据保护影响评估要点—基于微软DPIA报告的梳理和分析(下)【数据主体权利响应;风险评估和降低风险的措施】
5.中心研究 | 数据法案例(一)—Meta爱尔兰案(个性化广告的合法性基础之辩)【隐私政策性质;个性化推荐适用的合法性基础】
前言和案件概述
“充分性保护认定”,是欧盟《通用数据保护条例》规定的一类重要的数据跨境传输方式,能够在结构上极大的降低欧盟与通过认定的对象间数据跨境流动的制度成本和阻碍。因为涉及到对目标国家的法治(Rule of Law)情况、政治性承诺、政府调取数据情况的审查,“充分性保护认定”还带有浓厚的政治色彩。Schrems系列案件始于2013年,凭借“一己之力”,在司法诉讼中推动欧盟法院两次否决了欧盟-美国间数据跨境传输框架的效力,甚至直接推动了美国对有关法律法规和监督、救济机制的调整,根本体现了“尽管数据在欧盟内外间的流动对于扩大跨境贸易和国际合作而言至关重要,但对于欧盟个人数据的保护水平决不能因此受损”的思想。
近年来,随着有关法律法规的出台,我国数据跨境传输机制日趋完善。日前,国务院印发《关于在有条件的自由贸易试验区和自由贸易港试点对接国际高标准推进制度型开放若干措施的通知》,国家互联网信息办公室与香港特区政府创新科技及工业局签署《关于促进粤港澳大湾区数据跨境流动的合作备忘录》,进一步展现出我国扩大创新开放的决心。由于GDPR“充分性保护认定”机制指向的对象不仅是第三国或国际组织,还可以是第三国的国内地区、一个或多个特定部门,因此,有条件的自由贸易试验区和自由贸易港或可与欧盟方面接洽,走出这一步。在这过程中,需要审视和剖析欧盟委员会作出“充分性保护决定”所审查的重点方面。特别是,欧盟和美国在个人数据/个人信息保护法律制度方面存在较大差异,美国通过何种方式对其国内法律规则、监督和救济机制作出哪些调整以确保达到欧盟数据保护法的保护水平?值得借鉴。为此,笔者简要梳理了欧盟有关规定和指南、隐私盾决定、2020年Schrems案和2022年欧盟委员会在最新的数据隐私框架决定草案中的要点,供理论届和实务届的同仁们参考。由于资料繁多,未专门涉及对安全港框架的梳理,并简化了两个框架间差异不大的部分。Schrems案中牵涉的数据保护标准合同条款有关问题,亦留待日后讨论。如有错漏之处,敬请各位指正批评~
目录
一、GDPR中充分性保护认定的概念和要求
(一)认定“充分性保护水平”的实质要件
(二)认定“充分性保护水平”的程序要件
(三)第二十九条工作组关于“充分性”概念的参考
二、隐私盾框架(EU-U.S. Privacy Shield)
(一)隐私盾框架中针对涉及私营部门的个人救济机制、投诉处理和执法的内容
(二)隐私盾框架中有关美国公共机构出于国家安全目的访问和使用相关个人数据的内容
(二)隐私盾框架中有关美国公共机构出于执法和公共利益目的的访问和使用相关个人数据的内容
三、2020年Schrems II案
(一)关于根据SCC进行数据跨境传输时,“适当的保障措施”需要达到何种数据保护水平。
(二)美国方面是否在隐私盾协议里提供了充分的保护水平
四、欧盟-美国数据隐私框架( EU-US Data Privacy Framework)
(一)第14086号行政命令《加强美国信号情报活动的安全保障》
(二)数据保护审查法院
GDPR第45条第1款规定:如果欧盟委员会已经决定有关的第三国,或者该第三国内的一个地区、一个或多个特定部门,或者有关的国际组织确保了充分的保护水平,则可以向第三国或者国际组织传输个人数据。此类传输不再需要任何特定授权。
GDPR第45条第2款明确了欧盟委员会评估数据保护“充分性保护水平”所需要考虑的要素,包括:
1、关于法治(Rule of Law)、尊重人权和基本自由的情况,一般性和部门性的立法,包括有关公共安全、国防、国家安全、刑法以及公共机构访问个人数据的立法,以及有关立法、数据保护规则、专业规则和安全保障措施的实施情况,包括适用于该第三国或国际组织向另一第三国或国际组织传输个人数据的规则、判例法、有效和可执行的数据主体权利以及个人数据传输相关的数据主体可用的有效行政和司法救济措施;
2、该第三国或国际组织存在一个或多个有效运作的独立监管机构,承担保障和强制遵守数据保护规则的职责,包括具备充分的执法权力,协助和建议数据主体行使其权利,并与成员国的监管机构合作;以及
3、该第三国或国际组织已经作出的国际承诺,或具有法律约束力的公约或文书,以及其参与多边或区域体系所产生的其他义务,特别是与保护个人数据有关的义务。
(二)认定“充分性保护水平”程序要件
GDPR第45条第3款规定,由欧盟委员会经评估后,通过发布实施细则(implementing act)的方式发布“充分性保护”决定。[3]主要程序:[4]
(1)欧盟委员会发起提案;
(2)征求欧洲数据保护委员会的意见(opinion);
(3)获得欧盟成员国代表组成的委员会同意;
(4)欧盟委员会最终通过该决定。
最终通过充分性保护认定的第三国或国家组织会在《欧盟官方公报》和欧盟委员会网站上公布,欧盟委员会每四年会对其进行审查。截至目前,全球范围内已有14个主体通过了欧盟的充分性保护认定,包括安道尔公国、阿根廷、加拿大(商业组织)、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、瑞士、乌拉圭、韩国和英国。
欧盟委员会有权且有义务持续审查和监测第三国相关事项发展动态,同时可以在必要范围内废除充分性保护决定,废除行为不具备追溯力。有正当理由的紧急情况下,还可以通过立即适用的实施细则。
(三)第二十九条工作组关于“充分性”概念的参考
1998年,根据《95指令》成立的数据保护第二十九条工作组(the Article 29 Working Party,WP29)发布了WP12号工作文件《向第三国转移个人数据:适用欧盟数据保护指令第25条和第26条》。[5]考虑到GDPR的颁布以及相关的司法进展,WP29在2017年更新了关于“充分性”概念理解的部分并发布WP254号文件《“充分性”概念参考》,并于2018年进行修订。[6]
WP29认为,应当参考欧盟法院(Court of Justice of the European Union,CJEU)在2015年Schrems案的观点,[7]第三国的数据保护水平必须实质上等同于(essentially equivalent)欧盟的数据保护水平,但是为达到该等保护水平所采取的具体方式可能与欧盟不同。并不要求第三国“镜像”一般逐点反映欧盟的立法,而是建立了有关立法的实质核心要求。除此之外,WP29还强调,数据保护规则只有在实践中可被强制执行和合规的时候才有效,因此,不仅需要考虑目标国个人数据保护规则的内容,还需要关注是否有确保该等规则有效实施的制度。高效的执行机制对于数据保护规则的有效性至关重要。WP29将对“充分性保护水平”进行分析的要点总结为两个:
一是规则的内容实质上达到保护水平,
二是确保规则有效适用的方式。
WP29特别指出,第三国出于执法和国家安全理由访问个人数据,需要遵守以下要求:
一是处理活动应当基于清楚、明确和可访问的规则;
二是需要证明所追求的合法目标的必要性和相称性;
三是处理活动必须受到独立的监督;
四是个人有可用的有效救济手段。
2016年7月12日,欧盟委员会发布了2016/1250号实施决定(以下简称“隐私盾决定”),[8]认定欧盟-美国“隐私盾”框架(EU-U.S. Privacy Shield,以下简称“隐私盾”)符合《95指令》第25条第2款“充分性保护水平”的相关要求,[9]允许欧盟的控制者或者处理者向已经通过美国商务部进行自我认证并承诺遵守有关原则的美国组织进行数据跨境传输,而不再需要特定的授权。
美国的个人信息保护法律框架在形式上和思路上都和欧盟存在较大差异。美国没有一套联邦层面的规范私营部门的综合性的个人信息保护法或者隐私保护法,但是在从框架上可以分为一般性的消费者保护,以及具体领域的保护。在一般性的消费者保护上,可以由联邦贸易委员会(FTC)通过执行《联邦贸易委员会法》第5条对一般性的消费者保护问题进行监管。在具体领域或具体场景的保护上,美国联邦和各州针对医疗健康、金融、电信、在线服务、教育、数字化营销、劳工关系、儿童个人信息保护、数据安全事件、行政执法、诉讼和政府调查中的数据调取等问题进行了特别规定。(请参见中心研究 | 美国私营部门隐私保护成文法框架概述)
隐私盾框架(包括后文的数据隐私框架)运作方式可以看作是一种层层嵌套的三层体系(如下图所示)。
第一,最底层的美国《宪法》及有关《宪法》修正案、有关领域的联邦成文法、州领域的成文法、普通法、判例和行政命令等相关法律法规构筑了隐私盾决定的基础。
第二,美国商务部等在此基础上作出监督、执行、争议解决以及公共机构访问有关数据和个人救济机制的政治性承诺。
第三,最上层的“组织的合规承诺”类似于FTC根据《联邦贸易委员会法》第5条对一般性消费者保护进行监管的制度。在隐私盾框架中,基于一种“自我认证体系”(a system of self-certification),美国组织承诺遵守美国商务部发布的隐私盾框架原则和补充原则,隐私盾决定中的监督机构有权对组织进行监督和执法,个人也可以寻求司法救济。
为了保障隐私盾的透明度,商务部通过一个专门网站,作为提交材料的渠道,发布取得认证的组织列表、FTC执法案例等。[10]商务部依职权进行认证的颁发、持续性审查、监督市场主体是否不当或虚假适用隐私盾认证标识,并对认证失效或者退出认证的组织进行持续的监督。
整体而言,隐私盾决定可分为九个部分:
第一部分概述了决定内容;
第二部分对隐私盾的内容进行了总结,包括欧盟委员会对于隐私原则的明确,参与隐私盾的组织的要求,隐私盾的透明度、管理和监督机制,救济方式、投诉处理和执法机制;
第三部分说明了美国公共机构对于通过隐私盾进行跨境传输的个人数据的访问和使用,包括美国公共机构出于国家安全目的的访问和适用、出于执法和公共利益目的访问和使用;
第四部分论述了隐私盾下达到的充分性保护水平;
第五部分明确了欧盟国家内数据保护机构(DPA)的权力;
第六部分明确了定期审查的要求;
第七部分明确了中止或终止充分性决定的情况;
第八部分为决定正文。
第九部分附件包括了美国联邦贸易委员会、司法部、等机构对于确保满足充分性保护水平所作出的承诺、隐私盾监察员机制、美国信号情报活动的相关法律、政令和实践情况,以及关于美国隐私保护法法律框架和实践情况的材料。
其中,欧盟委员会着重审查的部分主要是:
第一,数据保护原则和规则;
第二,(私营部门)个人救济机制、投诉处理和执法;
第三,美国公共机构访问有关数据的情况。
第一部分在隐私盾中再次强调了有关的数据保护原则和规则,包括通知原则、数据完整性原则、目的限制原则、安全保障原则等等欧盟认可的数据保护原则,本文不再进行赘述,仅针对争议最大的后两个问题进行梳理。
(一)隐私盾框架中与(私营部门)个人救济机制、投诉处理和执法有关的内容
隐私盾通过“求偿权、执法和责任制原则”(Recourse, Enforcement and Liability Principle)来保障个人救济机制、投诉处理和执法(Redress mechanisms, complaint handling and enforcement)机制的运行。
对于组织而言,隐私盾要求组织为受违规行为影响的个人提供求偿渠道,从而使得欧盟数据主体可以就隐私盾下美国组织的违规行为提出投诉且得到高效解决,而不必承担任何费用。可以通过以下几种方式:
一是自愿与欧盟的国家DPA进行合作(在某些情形下是强制的);
二是采取替代性争议解决方案,例如指定一个仲裁机构进行仲裁;
三是纳入到组织自身的隐私政策当中成为一项在美国国内也可以被强制执行的单方承诺。
对于欧盟数据主体而言,有七种不同的方式寻求救济,并且没有特定程序前置的要求,但是隐私盾决定里也给出了推荐的顺序:
一是直接向组织提出投诉;
二是向该组织指定的独立的争议解决机构提出仲裁等;
三是向欧盟国家数据保护机构DPA提出投诉并转介至美国商务部处理;
四是向FTC等美国执法部门提出投诉;
五是向专门成立的隐私盾仲裁小组(Privacy Shield Panel)提出仲裁;
六是根据美国联邦法律寻求救济;
七是根据各州的州法律寻求救济。
为解决对于美国公共机构不当访问和使用个人数据的担忧,欧盟委员会着重评估了美国法律中关于美国公共机构出于国家安全、执法和其他公共利益目的而访问和使用根据隐私盾进行跨境传输的个人数据的限制和保障措施,并在隐私盾框架中对这一情形作出了明确。美国方面:
一是通过国家情报总监办公室(Office of the Director of National Intelligence,ODNI)提供了详细的陈述和承诺;
二是承诺建立一个独立于传统情报系统的新的国家安全目的干预监督机制——隐私盾监察员(the Privacy Shield Ombudsperson)机制;
三是通过司法部以声明的方式描述了适用于公共机构出于执法和其他公共利益目的访问和使用数据的限制和保障措施。
欧盟委员会特别审查了以下两个文件在数据收集、使用、留存、二次传播等方面是否进行了有效的限制:
一是第12333号行政命令(Executive Order 12333,EO-12333)《美国情报活动》(United States Intelligence Activities);[11]
二是第28号总统政策指令(Presidential Policy Directive 28,PPD-28)《信号情报活动》(Signals Intelligence Activities)。[12]
PPD-28对“信号情报活动”(Signals Intelligence Activities)施加了一系列限制,规定:
一是信号情报的收集必须基于成文法规或总统授权,并且必须根据美国宪法(特别是第四修正案)和美国法律进行;
二是所有人都应被有尊严和尊重地对待,无论其国籍或居住在何处;
三是所有人在其个人信息被处理时都拥有合法的隐私利益;
四是隐私和公民自由应成为美国信号情报活动计划中不可或缺的考虑因素;
五是美国信号情报活动必须包括对所有个人的个人信息的适当保护,无论其国籍或居住地。
第一,关于收集行为的目的。PPD-28明确,信号情报只能系为了支持国家和部门任务而在有外国情报或反情报目的的情况下收集,而不能出于任何其他目的(例如为美国公司提供竞争优势)。
第二,关于收集行为的开展。情报收集行为不得由个别人员自行决定,应当符合美国情报机构各个部门为执行PPD-28制定的政策和程序的约束。
第三,关于收集行为的限度。PPD-28规定情报收集行为应当尽可能“量身定制”(as tailored as feasible),应当优先考虑其他信息的可用性以及是否存在适当和可行的替代方案。除非确有必要的情况下,有针对性的收集行为应当优先于大规模的收集行为,并且大规模的收集行为应当符合:一是始终与特定的外国情报目标相关,例如获取特定地区恐怖组织活动的信号情报;二是在方式和工具选用上“尽可能精确”,满足数据最小化原则。
第四,关于收集行为的正面清单。大规模收集行为只能适用于六种情况:间谍活动、恐怖主义、大规模杀伤性武器、对网络安全、武装部队或军事人员的威胁,与前述目的相关的跨国犯罪威胁。
欧盟委员会认为,PPD-28中的限制措施符合必要性和相称性原则的实质要求。
2、关于数据使用、访问、存储、二次利用和传播的限制
在数据使用和访问方面,美国方面承诺其情报机构只能根据《外国情报监视法》(Foreign Intelligence Surveillance Act,FISA)作出使用数据的正式请求,或者由美国联邦调查局(Federal Bureau of Investigation,FBI)根据“国家安全信函”(National Security Letter,NSL)作出使用数据的正式请求。其中,FISA第501条和第702条是核心条款,但《美国自由法》(USA FREEDOM Act)和有关的NSL对根据FISA第402条和第501条开展的大规模收集行为进行了限制,第702条本身符合特定化收集的要求。除此之外,美国政府在陈述中向欧盟委员会作出明确保证,美国情报机构“不会不区分地监视任何人,包括普通欧洲公民”。欧盟委员会经调查认为,美国在境内收集的个人数据与互联网上的总体数据流相比,通过NSL和FISA提出的访问请求只涉及了相对较少的目标。
在数据安全和访问控制方面,PPD-28要求访问“应当仅限于需要了解信息以执行其任务且经授权的人员”,并且该等个人信息“应当与敏感信息适用的安全保障措施一致,在提供了充分的保护和防止未经授权访问的情形下被处理和存储”,有关人员还应当接受适当和充分的培训。
在数据存储和二次传播(further dissemination)方面,PPD-28指出,应当制定政策为此类数据提供适当安全保障,通过合理设计最大限度地减少信息的传播和留存。除非是出于国家安全目的,且存在法律明确规定或者ODNI经评估决定延长的情况下,该等数据的最长留存期限为五年。信息传播仅限于与收集的根本目的相关且为了响应经授权的外国情报或执法要求的情况。
基于前述内容,欧盟委员会认为,美国已经制定了有关规则,将美国出于国家安全目的访问经隐私盾传输的个人数据的情况限制在为实现相关目标而言绝对必要的程度,并尽可能根据实践情况作出具体调整,控制了收集范围、数据留存期限和访问权限,且存在额外的安全保障措施,因此符合欧盟法院CJEU在Schrems案中明确的标准,为《欧盟基本权利宪章》第7条、第8条所保障的基本权利施加了最低安全保障,不存在无限制的收集、存储和访问行为,在规则内容上满足了“充分性保护决定”的要求。
3、关于针对规则内容的监督机制
欧盟委员会评估了美国方面针对前述法律规则的监督机制,主要有以下三类:
一是行政机关监督。包括设置在情报机构各个部门的公民自由和隐私官,情报机构各个部门具有法定独立性的监察长(Inspector Generals),ODNI公民自由和隐私办公室,作为行政部门内设独立机构的隐私和公民自由监督委员会(Privacy and Civil Liberties Oversight Board,PCLOB),以及作为监督机制补充、负责监督美国情报机构宪法遵守和规则适用情况的总统情报监督委员会。虽然各个角色的具体权力可能有所不同,但通常都包括程序监督、审计和调查、投诉处理职能,有些机构还需要定期向国会或总统报告。除此之外,在信息系统、事件上报等方面也规定了要求。
二是立法机关监督。美国国会特别是参众两院的情报和司法委员会对美国的所有外国情报活动负有监督责任,根据《国家安全法》,总统负有向该委员会报告情报活动、预期情报活动以及非法情报活动和有关处理计划的责任;FISA规定了美国司法部长、国家情报总监、监察长对该委员会的信息披露义务;根据《美国自由法》,美国政府必须每年向国会和公众披露寻求和收到的FISA命令和指令的数量,以及涉及的美国人和非美国人人数的统计。
三是司法机关监督。美国公共机构根据FISA第501条、第702条开展的情报活动情况下需要美国对外情报监视法院(United States Foreign Intelligence Surveillance Court,FISC)的预先授权,其行为也受到FISC的审查,审查决定可以向美国对外情报监视审查法院(United States Foreign Intelligence Surveillance Court of Review,FISCR)上诉,并最终上诉至美国联邦最高法院。
4、关于个人可用的救济手段
欧盟数据主体可以选择以下三类救济手段:
第一,根据FISA寻求救济。FISA规定当有关个人的信息被非法地故意使用或披露时,个人可以向法院提起民事诉讼(civil cause)要求赔偿金钱损失。
第二,根据规制美国政府非法访问或使用个人数据的法律寻求救济。例如针对特定情形的《计算机欺诈和滥用法》《电子通信隐私法》《金融隐私权法》等,以及更普遍情形的《行政程序法》。
第三,根据《信息自由法》寻求救济。通过《信息自由法》,欧盟数据主体可以获取美国联邦机构的记录,但适用场景可能受限。
欧盟委员会经审查认为,虽然有以上三类司法救济方式,但有些情报机构的行为仍不具有可诉性(例如根据EO-12333开展的部分情报活动),个人可用的诉由也有限,并且难以取得适格原告的资格(standing),并未完善地保护欧盟数据主体的权利。因此,为了向欧盟主体提供额外的救济途径,美国政府建立了新的隐私盾监察员(副国务卿级别)机制。根据美国政府的承诺,隐私盾监察员机制独立于其他监督机构和情报机构之外,但与其他机构以及欧盟国家DPA进行合作,形成一种“复合结构”,接收和回应欧盟数据主体关于美国公共机构不当访问其个人数据的投诉,确保个人的投诉得到适当调查和处理,并确保得到个人独立认可,证明美国法律已得到遵守,或者在违反美国法律的情况下,违规行为已得到纠正。
基于前述监督措施和救济措施,欧盟委员会认为,美国方面确保了有效的法律执行,防止了美国公共机构出于国家安全目的侵害有关数据主体的权利。
根据美国宪法第四修正案,执法机构的搜查和扣押需要在具备“合理根据”(probable cause)的前提下取得法院的搜查令方可进行。特殊情况下,还需要接受合理性测试,一方面评估执法行为对个人隐私侵入性的程度;一方面评估是否符合促进政府合法利益的程度。虽然第四修正案中的权利不直接适用于未在美国居住的非美国公民,但由于个人数据由美国公司持有,因此欧盟数据主体仍受到第四修正案的间接保护。
在个人救济方面,如前所述,欧盟数据主体可以根据规制政府非法访问或使用个人数据的法律寻求救济。例如《行政程序法》《信息自由法》《电子通信隐私法》《计算机欺诈和滥用法》《公平信用报告法》等。
欧盟委员会认为,美国方面确保了有效的法律执行,防止了美国公共机构出于执法或者其他公共目的侵害有关数据主体的权利。
基于前述内容,欧盟委员会认为,在隐私盾框架内从欧盟跨境传输至美国的个人数据得到了充分地保护。
第一,美国商务部发布的原则总体上确保了对个人数据的保护水平实质上与《95指令》中规定的基本原则所保证的水平相同。
第二,商务部的透明度义务和隐私盾的运行机制也保证了这些原则的有效应用。
第三,隐私盾框架内的监督和求偿权机制使违反原则的行为能够在实践中得到识别和惩罚,并为数据主体提供了法律救济手段。
第四,根据有关法律,美国公共机构出于国家安全、执法和公共利益目的访问经隐私盾跨境传输的个人数据的行为得到了限制。
2013年(安全港框架生效期间),Schrems提出投诉,请求禁止Facebook Ireland将其个人数据传输到美国,理由是美国的现行法律和惯例不能够确保Facebook充分保护在美国境内持有的个人数据不受公共当局参与的监视活动。该投诉被驳回,理由是安全港框架(U.S.-EU Safe Harbor Framework)认为美国方面提供了充分性保护水平。[13]因此Schrems针对安全港的有效性提起了诉讼,2015年CJEU经审查后判决安全港无效。[14]此后,Schrems继续针对Facebook Ireland向美国进行数据跨境传输的有效性进行投诉。在爱尔兰数据保护专员的调查过程中,Facebook Ireland解释称其主要通过数据保护标准合同条款进行数据跨境传输,因此,爱尔兰数据保护专员要求Schrems修正和明确其投诉要点。
2015年12月1日(安全港协议失效后,隐私盾协议生效前),Schrems重新提出了投诉,认为即使是根据SCC进行传输的,仍存在美国公共机构(例如国家安全局和联邦调查局FBI)根据有关法律要求Facebook Inc.提供有关个人数据的可能性。因此,Schrems仍请求禁止将其个人数据传输给Facebook Inc.。2018年5月9日(GDPR已经颁布但尚未生效),爱尔兰高等法院中止了诉讼程序并将十一个待澄清的问题移送给CJEU进行初步裁决。下文主要梳理与隐私盾决定效力直接相关的内容,有关数据保护标准合同条款的内容留待日后讨论。
CJEU认为,虽然GDPR第46条没有明确说明“适当的保障措施”、“可执行的权利”和“有效的法律救济手段”的具体内涵,但应当指出,该条位于GDPR的第五章,应当符合第44条关于跨境传输一般性原则的要求。GDPR第44条规定,“本章中的所有条款均应当适用本条,以确保本法规所保障的对自然人的保护水平不受减损”。因此,法院认为,无论适用第五章内的何种方式进行数据跨境传输,都必须保障该种保护水平。也就是说,通过SCC进行的数据跨境传输所需要达到的保护水平,与基于充分性保护决定进行的数据跨境传输所需要达到的保护水平相同,都需要实质上满足欧盟内部数据保护水平的要求。而SCC是商主体之间的合同,无法解决美国公共机构访问跨境传输的欧盟数据主体个人数据的问题,[15]由于隐私盾决定已经生效,因此,Schrems的主张本质上是在质疑欧盟委员会在隐私盾决定中的调查结果,即美国方面是否对传输的个人数据提供了充分的保护。
CJEU指出,《欧盟基本权利宪章》第7条规定的“隐私和家庭生活受尊重权”和第8条规定的“个人数据受保护权”这两个基本权利并非绝对权。《宪章》第52条第1款规定,对《宪章》规定的基本权利和自由的限制必须由法律作出规定,并且尊重该等权利和自由的本质。根据相称性原则,只有在必要且真正符合欧盟认可的一般利益的目标,或者是存在保护他人权利和自由的必要性的情况下,才能进行限制。法院特别强调,对有关基本权利和自由的限制必须由法律作出规定,该等法律本身还需要限定对基本权利进行限制的范围,也即“对限制的程度进行限制”。
法院指出,基于FISA第702节和EO-12333号的监视计划所引起的对基本权利的妨碍,未满足《宪章》第52条第1款要求的限度条件,需要审查美国方面承诺的个人数据的适当保护水平是否实质上等同于欧盟《通用数据保护条例》的保护水平。法院指出:
第一,权力限制不充分。隐私盾决定第109段指出,基于FISA第702条,FISC不授权针对个人的监视措施,而是授权监视计划。因此,其监督作用主要在于核实这些监视计划是否与获取外国情报信息的目标有关,并没有涵盖“个人能否成为获取外国情报的适当目标”这一情况。法院认为,FISA第702条没有为外国情报目的实施监视计划的权力施加任何限制,这不满足相称性原则。
第二,司法救济手段缺失。基于FISA第702条的监控计划的实施需要遵守PPD-28的要求,该等要求对美国情报机构具有约束力,但美国政府承认,PPD-28没有授予欧盟数据主体在法院针对美国机构提起诉讼的权利。除此之外,基于EO-12333号行政命令的监控计划也没有赋予欧盟数据主体可以诉请法院针对美国机构强制执行的权利。在某些情况下(例如情报机构根据EO-12333开展的监控行为),当包括欧盟数据主体在内的个人成为国家安全为目的的监控对象时,缺乏司法救济手段,这一点在隐私盾决定的第115段已经被注意到了。
第三,引入隐私盾监察员机制未能有效弥补在司法救济手段上的缺失。一是监察员虽然号称“独立于情报机构”,但其需要向国务卿汇报,并且由国务卿人们且作为美国国务院的一个组成部门,很难认为是满足了“独立性”的要求。二是隐私盾决定中,没有说明监察员有权对情报机构作出有约束力的决定,也没有提及任何数据主体可以依赖的除政治承诺之外的法律保障措施。
第四,大规模收集的范围不明确。监视计划的实施应当遵守PPD-28的规定,而PPD-28允许在情报机构无法使用与特定目标相关的标识符的情况下采取大规模收集的手段,这种情况下美国情报机构可以不经司法审查而获取相关数据,有关规定没有以明确和精确的方式界定这种大规模收集个人数据的范围。
综合前述考虑,CJEU裁定隐私盾决定无效。
在隐私盾决定于2020年Schrems II案被CJEU裁定无效后,欧盟-美国结合欧盟GDPR以及美国有关立法、行政命令的新进展,针对双方数据跨境传输的安排进行了调整。2022年12月13日,欧盟委员会针对欧盟-美国间新拟定的“数据隐私框架”(EU-US Data Privacy Framework,DPF)作出了充分性保护决定草案(以下简称“DPF决定草案”)。[16]随后,欧洲数据保护委员会EDPB出具了针对DPF决定草案的意见。[17]
整体而言,DPF仍旧将透明度原则、目的限制原则、数据最小化原则、安全保障原则等数据保护原则和数据主体权利等规则纳入其中。相较于隐私盾框架,DPF细化了各项评估内容的描述,尤其是对美国公共机构访问欧盟数据主体个人数据的情况。为了解决Schrems II案中导致CJEU裁定隐私盾决定无效的各个问题,美国方面作出了调整,主要包括:
2022年10月7日,美国总统发布了第14086号行政命令《加强美国信号情报活动的安全保障》(Enhancing Safeguards for United States Signals Intelligence Activities ,EO-14086),对经指定合格的地区(qualifying states)【被定义为“国家和区域经济一体化组织”(countries and regional economic integration organizations)】设置了救济机制。[18]EO-14086在很大程度上更新并替代了PPD-28的内容,对所有的情报机构都具有约束力。特别是,EO-14086明确了必要性和相称性原则,引入了数据保护审查法院,直接回应了2020年Schrems案中导致隐私盾无效的关键点。EO-14086还加强了适用于所有信号情报活动(包括个人数据的收集、使用和传播等)的要件、限制和安全保障措施,并建立了新的救济机制,以保障个人可以援引和执行有关的保障措施。
原则上,EO-14086要求:
第一,信号情报活动必须以成文法或者总统授权为基础,并且符合包括美国宪法在内的美国法律的要求。
第二,必须制定适当的保障措施,以确保计划信号情报活动时必须要考虑隐私和公民自由。
第三,任何信号情报活动都必须在“基于对所有相关因素进行合理评估。认定该活动对于推进已经证实的情报优先事项而言是必需的”情况下开展。
第四,为确保有关活动符合合法性、必要性和相称性的要求,应当对信号情报活动进行监督。
为了达到“对个人权利的阻碍限于推进合法目标所必需且相称的范围”,EO-14086要求:
第一,限制了信号情报活动收集数据目的的正面清单和负面清单。正面清单包括了解恐怖活动、防范外国军事活动、评估影响全球安全的国际威胁等;负面清单包括限制言论自由、加重种族或性别歧视、为美国提供竞争优势等。
第二,EO-14086明确,即使是出于前述正面清单的目的,有关的数据处理活动也并非当然具备合理性。必须进一步证明,该活动对于推进已经证实的情报优先事项而言是必需的。也就是说,收集数据的行为只是为了推进更加具体的、通过专门程序确定且由总统批准的情报优先事项。
第三,情报优先事项的前提成立的情况下,需要考虑到必要性和相称性原则,确定收集的范围。必须考虑到可以替代的其他侵入性较小的数据来源和数据收集方式。
第四,DPF决定草案第134段特别提及,针对美国境内开展的信号情报收集必须针对特定的目标,根据EO-12333开展的大规模数据收集行为仅能够针对美国境外开展,这被认为是与充分性保护决定最为相关的一项调查结果(但笔者并未在EO-14086中找到明确的对应条款)。并且,进行大规模收集时,还应当采用合理的方法和技术措施,将范围限制在推进已经证实的情报优先事项范围内。除此之外,EO-14086还针对“临时性大规模收集”的特殊情形作出了规定。
除此之外,EO-14086还对信号情报活动的使用和二次利用、传播进行了明确的规定,DPF决定草案对此也进行了相对详细的分析,在此不作详细梳理。
欧盟数据主体无法获得有效的司法救济,这是导致隐私盾效力被推翻的关键论点。为此,美国方面作出了调整,EO-14086授权美国司法部长发布规定,在救济机制中引入了数据保护审查法院(Data Protection Review Court,DPRC)。任何欧盟数据主体均有权就违反美国有关信号情报活动有关法律的行为对其隐私和公民自由利益造成不利影响为由,向救济机制提出投诉。
在投诉渠道方面,有关的欧盟数据主体必须将投诉提交给有管辖权的欧盟成员国国家安全机构和/或DPA,由相关机构将投诉转送给救济机制中的美国国家情报总监办公室下的公民自由、隐私和透明度办公室(ODNI CLPO)。这样的“就近原则”降低了欧盟数据主体的维权成本。
在证明责任方面,有关的欧盟数据主体无需证明其个人数据实际上已经受到美国信号情报活动的影响,仅需要提供一些基本信息即可提交投诉。例如,合理可信地认为其个人信息已经被跨境传输至美国的理由,跨境传输的方式,与被控违法行为有关的美国政府实体的身份(可选)等。通过降低欧盟数据主体的举证责任,进一步降低了其维权成本。
ODNI CLPO经审查后,将会对该投诉作出处理决定。投诉人可以就该决定请求DPRC进行审查。
DPRC的独立性体现在:
第一,其审查权不受行政部门的干预。特别是司法部长和情报机构被禁止干预或不当影响DPRC的审查,DPRC应当公正地作出裁决。
第二,司法部长只有在具备正当理由(例如不当行为、渎职、玩忽职守或无匹配能力等)的情况下,考虑到适用于联邦法官的有关资格标准后才能够解雇DPRC法官。
第三,如果DPRC经审查发现有关机构违反相关规则,可以采取包括删除非法收集的数据、删除不当查询的结果、访问限制、召回有关情报的报告等任何适当的救济措施。
除此之外,有关的规则还针对DPRC的人员构成、人员选任和运行细节等作出了详细规定,欧盟委员会对此作出了较为详细的审查,在此不作详细说明。
DPF救济机制的有效性还将受到PCLOB的定期、独立评估。PCLOB将向总统、司法部长、国家情报总监、情报机构负责人、ODNI CLPO和国会情报委员会提交一份关于审查结果的报告,有关部门必须执行或以其他方式处理此类报告中提出的所有建议。PCLOB每年还将向社会公开证明救济机制是否按照EO-14086的要求处理投诉。
除此之外,美国方面还说明了欧盟数据主体可选的其他救济手段,与隐私盾决定中的说明相比较而言更为细致,但并无本质区别,本文在此不作展开。
经审查,欧盟委员会认为,美国方面能够确保在欧盟-美国数据隐私框架下为从欧盟跨境传输到美国经认证组织的个人数据提供与GDPR所保障的实质相同的保护水平,透明度义务和美国商务部对DPF的管理保证了有关数据保护原则的有效落实。从整体上看,美国方面提供的监督机制和救济手段,能够在实践中识别和惩罚违反数据保护规则的行为,并能够为欧盟数据主体提供有效的法律救济手段。因此,欧盟委员会针对DPF框架作出了充分性保护决定草案。
2023年6月30日,美国司法部长指定欧盟和组成欧洲经济区的另外三个国家为“合格地区”(前述qualifying states)。7月3日,美国商务部部长发布声明,宣布“美国履行了在欧盟-美国数据隐私框架中的承诺”,推进了DPF框架的进展。[19]目前有待于欧盟委员会作出最终有效力的充分性保护决定。
引注:
END
域外观察 | 欧洲议会发布元宇宙研究报告
域外观察 | 美国FTC发布生物识别信息政策声明(全文翻译)域外观察 | 美国国会研究处发布《生成式人工智能和数据隐私:初探》报告
域外观察 | 美国微软公司发布《人工智能治理:未来蓝图》报告中心会议 | 第四届数据治理研讨会在海南陵水顺利召开域外观察 | 美国CSET和CNAS联合发布《控制中国通过云服务访问先进计算》报告域外观察 | 美参议员重提《2023 保护美国人数据免受外国监视法案》 拟阻止TikTok向中国发送数据域外观察 | 美国加州参议院通过“数据经纪人”相关修订条款 聚焦消费者集中行使删除权域外观察 | 赢得未来的7项关键技术中心会议 | 《数据安全法》出台两周年研讨会在京顺利召开域外观察 | 日本修订《个人信息保护法》,呈现六大亮点域外观察 | GDPR赋予了数据主体算法解释权吗?月度热点 | 国际ICT立法跟踪5月热点域外观察 | 新西兰信息专员办公室发布《生成式人工智能指南》要求AI企业遵守《隐私法》域外观察 | 欧盟委员会根据《数字服务法》指定第一批超大型在线平台和搜索引擎域外观察 | OECD发布《人工智能语言模型》报告域外观察 | 欧洲议会关于“通用人工智能”的观察动态观察 | 欧盟成员国GDPR重点执法案例汇编(2023.04)动态观察 | 主要国家和地区AIGC监管动态汇总月度热点 | 国际ICT立法跟踪4月热点中心活动 | 网络空间治理“三人谈”:“吃瓜”要有度 底线不能丢域外观察 | FCC垃圾短信和骚扰电话治理规则简析中心研究 | 数据法案例(一)—Meta爱尔兰案(个性化广告的合法性基础之辩)域外观察 | 美国智库发布《全球云竞争概述》认为中国全球云竞争存在优势域外观察 | 欧盟稳步推进《媒体自由法》,将强化对媒体自由的保护域外观察 | 美-荷-日半导体出口管制协议“可窥一斑”中心研究|从最高检发布的典型案例看如何保护生物识别信息域外观察|美国发布《促进数据共享与分析中的隐私保护国家战略》域外观察|欧盟委员会发布2023-2024年数字欧洲工作计划动态观察|欧盟成员国GDPR重点执法案例汇编(2023.03)月度热点 | 国际ICT立法跟踪3月热点域外观察|ChatGPT遭遇数据泄露,人工智能安全如何保证?域外观察|国外隐私增强技术监管和实践域外观察 | 欧洲数字身份提案最新进展专家解读|推进依法行政 护航数字经济高质量发展域外观察|美国商会发布《人工智能委员会报告》专家解读|新时代网络法治建设稳步推进 制度体系持续完善专家解读|《新时代的中国网络法治建设》彰显网络法治建设是全面依法治国的题中应有之义月度热点|国际ICT立法跟踪2月热点
动态观察|欧盟成员国GDPR重点执法案例汇编(2023.02)动态观察|欧盟成员国GDPR重点执法案例汇编(2023.01)域外观察|美国CSIS发布《投资于联邦网络弹性》报告域外观察|美智库研究认为两类网络安全问题值得关注
中心研究|《个人信息出境标准合同办法》出台,具体场景适用可参考欧盟成熟经验中心研究|欧盟发布《医疗数据空间条例》,为重点行业数据共享提供经验域外观察|联合国发布《隐私增强技术指南》中心研究|我国主要立法中数据处理者相关评估义务规定研究域外观察|瑞典发布一份欧盟《数据法案》妥协方案域外观察|ITIF发布《不损害人工智能创新发展的十项监管原则》报告域外观察|美国NIST发布《人工智能风险管理框架》年度观察|2022年网络法治盘点与回顾(一):数据治理篇年度观察|2022年网络法治盘点与回顾(二):数字平台篇
年度观察|2022年网络法治盘点与回顾(三):数字内容篇
年度观察|2022年网络法治盘点与回顾(四):数字安全篇
中心会议│第六届互联网法律研讨会在京顺利召开中心研究 | 美欧之间能否再次顺利签署跨大西洋数据流动协议?中心研究|2022年美国ICT领域重要立法进展
中心研究|印尼《个人数据保护法》能否为全球数据跨境流动探索出替代数据本地化的新路径?
中心研究|《数字市场法》案例梳理系列—(一)谷歌购物案
中心研究 | 《个人信息保护法》实施一周年观察之数据保护带来的成本究竟几何中心研究 | 我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》,加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察 | 欧盟《网络弹性法案》研究报告域外观察|亚太地区数据保护法律中有关“个人数据处理的合法性基础”的比较分析
域外观察|爱尔兰DPC针对Meta爱尔兰公司的数据泄露问题做出决定
域外观察|美国出口管制政策真的能扼制中国AI发展未来吗?域外观察 | 印度个人数据保护法案为何历经四度更迭?(附最新版法案译文)
域外观察|国外聚焦“黑暗模式”探索监管路径域外观察|欧洲数据保护委员会发布新版《数据控制者、处理者识别牵头监管机构指南》专家解读|加快规范深度合成技术应用