数据跨境流动 | 美欧“隐私盾协议”被判无效背后的逻辑
编者按:
公号君一直非常关注数据跨境流动。对此议题,本公号曾发表的文章如下:
另外一个与此相关的系列研究是:个人数据与域外国家安全审查系列文章。这个系列具体的文章列表,请见文末。
近日,本公号与大家分享了欧盟EDPB对美欧隐私盾协议被判无效后,关于数据跨境流动相关问题的回答:数据跨境流动 | 欧盟EDPB对欧盟隐私盾协议被判无效的相关问答(全文翻译)
本篇文章进一步分析欧盟法院认定美欧“隐私盾协议”被判无效背后的基本逻辑,全是干货,全是合规要点,非常值得一读。本文作者为罗明。
2020年7月16日,欧盟法院(CJEU)就备受关注的Schrems II案作出判决,认定美欧数据跨境转移机制“隐私盾协议”(Privacy Shield)无效;欧盟标准合同条款(“SCC”)继续有效。这是欧盟法院继2015年认定“美欧安全港框架(EU-US Safe HarborFramework)”无效以来,废止的第二项美欧间个人数据跨境转移机制。
案情简介
2013年,奥地利人Schrems以“爱尔兰Facebook公司把欧盟的个人数据转移至美国,将会导致这些个人数据因美国FBI/NSA等机构的监控项目而无法得到充分保护”为由,向爱尔兰数据保护监管机构(“DPC”)投诉。DPC驳回了该案,理由是根据第2000/520号决定(“安全港决定”),“安全港”机制已被欧盟委员会认定提供了同等数据保护。而后Schrems将DPC的决定提交至爱尔兰高等法院进行司法审查。爱尔兰高等法院随之请求欧盟法院确认“安全港”机制的效力。2015年10月6日,欧盟法院认定“安全港”机制无效。
“安全港”机制被认定无效后,爱尔兰高等法院撤销了DPC驳回Schrems投诉的决定。DPC继续调查Schrems针对Facebook的投诉,Facebook遂主张其依赖于欧盟第2010/87号(SCC)决定附件的“标准合同条款”转移欧盟个人数据到美国,因此Schrems于2015年12月1日修改投诉,认为欧盟“标准合同条款”不能确保Facebook把欧盟个人数据转移到美国的正当性。鉴于对Schrems投诉的处理取决于第2010/87号(SCC)决定的有效性,DPC向高等法院提起了诉讼,以便其将相关问题提交欧盟法院获得初步裁定。在请求初步裁定时,爱尔兰高等法院向欧盟法院提出11项问题,其中包括关于第2010/87号决定(SCC)和第2016/1250号决定(隐私盾)的有效性问题。
判决结果
1、欧盟标准合同条款(“SCC”)仍然有效
法院承认SCC条款的合同性质,SCC只能约束数据进出口双方,不能约束数据接收国的政府公共机构;但这一事实并不必然导致SCC失效。数据接收国的政府公共机构出于“民主社会”下的国家安全、国防、公共安全目的对个人数据在“必要程度”下的数据访问,并不与SCC冲突;一旦超出“必要程度”,才会违反SCC;
法院认为,SCC条款的有效性取决于是否具有一个有效的机制确保实践中个人数据在接收国得到欧盟同样标准的保护,在SCC的条件不能被遵守时,是否会立即中止或禁止数据转移。法院认为SCC已经建立了这个有效机制。
法院特别指出,数据出口方和接收方都有义务,case by case的在数据转移前去验证第三国是否提供充分数据保护水平;必要时,可以增加额外的保护措施。数据接收方一旦发现自己不能遵守SCC(比如第三国执法协助请求不允许接收方向出口方披露),则接收方有义务立即通知数据出口方自己不能遵守SCC,出口方应该暂停或者终止数据转移;如果出口方决定继续转移,应该通知本国数据保护监管机构。
除非有欧委会(EC)对第三国的“数据保护充分性”认定,数据保护监管机构一旦认为SCC不能在当地国家得到遵从,而且也不能通过其他方式提供同等于欧盟的数据保护水平时,监管机构应该暂停或者禁止数据转移到第三国。为确保欧盟各国监管的一致性,EDPB可以发出对成员国有约束力的决定。
2、欧盟-美国“隐私盾”无效
法院认为,美国把国家安全、公共利益和执法的要求放在首位,因此纵容其访问/干涉转移到美国的个人数据。美国国内法对公权力访问数据的限制不能满足欧盟法的要求,不符合比例性原则,监控项目也不符合“严格必要”的原则。美国法律的这些规定并不表明对它们赋予执行这些方案的权力有任何限制,也不表明存在对可能成为目标的非美国人员的保障。虽然“隐私盾”规定了美国当局在实施有关监控方案时必须遵守的要求,但这些条款并未赋予数据主体在法院针对美国当局提起诉讼的权利。
法院对美国情报监控法律具体分析如下,认为美国企业即使加入“隐私盾”,也无法摆脱这些美国法的约束。故“隐私盾协议”无法为欧盟转移到美国的个人数据提供充分保护。
美国情报监控法律及监控项目 | 欧盟法院认为未提供充分隐私保护的理据 |
《外国情报监控法》(FISA)第702条授权美国情报机构出于收集外国情报目的,向美国企业收集、查阅外国人的通信,而提供信息的企业无需通知受影响的用户。
|
|
美国《第12333号行政命令》(E.O.12333)授权国家安全局(NSA)通过访问大西洋海底电缆,在数据抵达美国之前收集和保留这些数据,且NSA根据本命令开展的活动不受成文法的约束。 | 未赋予数据主体诉权,不可司法 |
美国《国家安全指令》(PPD-28):美国声称其为约束美国情报部门针对非美国人收集外国情报信息的限制性规定
|
|
司法保护 | 非美国人不能依据美国宪法第四条起诉保护其隐私;另外,EO12333不受司法审查。 |
新设监察员(Ombudsperson)监督情报行为的合法性,以弥补现有法律对隐私保护的不足 | 监察员向国务卿汇报,隶属于行政部门,缺乏“独立性”,无法约束情报部门行为,只是一个美国的政治承诺,而非法律保障。 |
企业合规建议
因为中国不属于欧盟认定的个人数据保护“充分性”国家,所以大部分中国企业依赖SCC将欧盟个人数据转移到中国。在新判决下,基于SCC的跨境数据转移方式仍然合法有效;但是欧盟法院判决和EDPB关于该判决的QA要求:数据出口方和接收方要在数据转移前进行评估,考虑第三国的法律情况和企业在必要时采取的补充措施能否为被转移的个人数据提供同等于欧盟的隐私保护。且欧盟法院通过判决确认各国数据保护机构有权对跨境数据转移活动进行合规性检查并在确认违规的情况下有终止数据跨境转移的权利。
所以,建议数据进出口双方在数据跨境转移之前进行“数据跨境转移评估”并保留书面记录,包括两部分:
数据接收国的整体法律评估,比如接收国的实体法律、执法机构的权力和程序性限制,非本国公民的权利是否可以主张司法救济,接收国在隐私方面签署的国际条约或作出的承诺,这种评估应该是随着接收国相关最新立法而动态刷新的。建议由外部律所或法律学者完成独立评估;
企业在必要时采取的补充措施,如技术、组织措施。EDPB也正在研究这些潜在的补充措施的具体内容,届时可以参考。
涉中国的数据跨境传输
最后,欧盟法院明确将第三国“法律体系”和“公权力对个人数据的访问”作为评估第三国个人数据的保护水平的主要依据。考虑到中国出海的企业、在中国经营的跨国企业都可能涉及跨境数据转移的场景,不排除有人在欧盟发起对个人数据转移到中国的合法性审查;届时,相关中国法律,包括正在制定的《个人信息保护法》、《数据安全法》可能被欧盟各国的数据保护监管机构或法院评估,评估范围会覆盖实体权力、程序性限制、个体权利保障和司法救济等。(完)
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
人脸识别系列文章
美国联邦隐私保护立法草案研究
美国联邦隐私保护立法草案研究(一):“行为个性化”
美国联邦隐私保护立法草案研究(二):“个人敏感信息”
美国联邦隐私保护立法草案研究(三):“个人敏感信息”的保护规则
美国联邦隐私保护立法草案研究(四):“生物识别信息”
传染病疫情防控与个人信息保护系列文章
个人数据与域外国家安全审查系列文章
美国电信行业涉及外国参与的安全审查系列文章
美国电信行业涉及外国参与的安全审查(一):基本制度介绍
美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权
美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令
美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令
中国的网络安全审查系列文章:
美国的出口管制制度系列文章:
第29条工作组/EDPB关于GDPR的指导意见:
自动驾驶系列文章:
数据安全法系列文章: