数据跨境流动 | 爱尔兰高等法院暂时允许Facebook继续个人数据跨大西洋传输

编者按：

最新进展

8月底，爱尔兰数据保护委员会（IDPC）发布了一项初步决定，指示Facebook暂停向美国转移源自欧盟的个人数据。【详见：数据跨境流动 | 爱尔兰DPA即将禁止FACEBOOK的数据跨境传输】该初步决定是在7月欧盟法院（CJEU）就个人数据跨境转移作出具有里程碑意义的判决（即Schrems II判决）之后作出的【详见：数据跨境流动 | 美欧“隐私盾协议”被判无效背后的逻辑】。CJEU在7月的判决中宣布欧盟-美国隐私盾协议在跨境数据传输方面无效，并对使用标准合同条款（SCC）作为支持向美国和其他地方跨境传输数据的机制进行了重大限制。【详见：数据跨境流动 | 欧盟EDPB对欧盟隐私盾协议被判无效的相关问答（全文翻译）】

2020年9月10日，Facebook爱尔兰公司主张采取法律行动，寻求禁止IDPC提出的禁止Facebook将个人数据从欧盟转移到美国的初步决定。Facebook爱尔兰称，IDPC的行为违反了几项行政法原则，包括在发布初步决定之前没有进行适当的调查，过早的判断和偏见，没有遵循IDPC的程序，违反公平程序，以及歧视性待遇等。【Facebook向法庭提交的宣誓书(Affidavit)的全文，附在本文章后】

Facebook支持其诉求的宣誓书称，"[Facebook]并不清楚，在这种情况下，它如何能继续在欧盟提供Facebook和Instagram服务"。Facebook还警告称，如果它 "单独被调查并被暂停向美国传输数据，这将有可能造成严重的竞争扭曲"。

9月14日，爱尔兰高等法院发布单方面命令，暂时中止IDPC提出的禁止Facebook向美国传输数据的建议。法院计划在今年晚些时候就此事举行听证会。

初步分析

由于IDPC的初步决定处于保密状态，因此外界对决定全文和要点不得而知。但此次在Facebook提交的宣誓书中，我们得以窥见初步决定的重点部分内容，截图如下：

在上文可知，IDPC的初步决定书的主要关注点在于——在Schrems II判决作出之后，Facebook爱尔兰能不能通过“标准格式条款”（SCCs），将欧盟用户的数据传输至Facebook Inc（即Facebook美国）。

在初步决定书中，IDPC作出了如下判断，SCCs不足以提供与欧盟GDPR及相关法律“实质上等同”（essentially equivalent）的保护水平，因此，IDPC建议Facebook爱尔兰暂停向Facebook美国的数据传输活动。

简短评论

很明确，按照欧盟法院的Schrems II判决，如果一个组织希望依靠标准合同条款(SCCs)或具约束力的公司规则(BCRs)将个人数据转移到欧洲经济区(EEA)以外，则其必须评估个人数据目的地国家的法律，是否能确保所接收的个人数据得到充分的保护。一旦评估的结果是目的地国家的保护水平不充分，该组织和数据接收者还需要采取额外的保障措施，以确保为个人数据提供基本同等程度的保护。

IDPC的初步决定即是根据上述逻辑得出的。此次爱尔兰高等法院支持Facebook爱尔兰的诉求，主要是因为IDPC在做出决定时程序性方面的瑕疵，并不是对实体问题做出判断。

因此我们还是需要等待欧盟对SCCs的修改，或EDPB对所谓的“额外的保障措施”发布正式的指导。【详见：数据跨境流动 | 德国巴符州DPA率先解释与SCC配套的“额外的保障措施”】

于此同时，按照Schrems II判决的逻辑，除了欧盟成员国，以及欧盟正式给与“充分性认定”的国家和地区之外【详见：数据跨境流动 | 最新判决将显著影响英国与欧洲大陆之间的数据自由流动】，能够继续使用SCCs来作为个人数据跨境传输的法律工具，都要划上一个大大的问号。（完）

Facebook爱尔兰提交的宣誓书

传染病疫情防控与个人信息保护系列文章

1. 传染病疫情防控与个人信息保护初探之一：个人信息的性质
   

2. 传染病疫情防控与个人信息保护初探之二：同意的例外

3. 传染病疫情防控与个人信息保护初探之三：数据技术的应用路径

4. 传染病疫情防控与个人信息保护初探之四：接触追踪的数据共享安全规范

5. 传染病疫情防控与个人信息保护初探之五：电信数据的安全规范

6. 传染病疫情防控与个人信息保护初探之六：GDPR框架下的公共卫生数据共享

7. 传染病疫情防控与个人信息保护初探之七：美国公共卫生机构的数据调取权力

8. 传染病疫情防控与个人信息保护初探之完结篇：解读中央网信办通知

9. 欧盟国家和英国的数据保护部门对疫情防控的官方意见汇总（DPO社群出品）

10. 美国疫情防控中的关键基础设施的识别和认定（DPO社群出品）

11. 意大利数据保护机关就新冠疫情联防联控中个人信息问题的意见（DPO社群出品）

12. 欧委会关于新冠疫情中利用移动数据和应用官方建议的全文翻译（DPO沙龙出品） 

13. 漫画图解苹果和谷歌联手开发的接触追踪应用的基本原理  

14. 澳门关于疫情防控中进出场所人员个人资料保护的通告

15. 疫情防控常态化中的接触追踪：中国方案

16. 欧委会“支持抗击新冠疫情的APP的数据保护指引”全文翻译（DPO社群出品）

17. 来自欧洲的接触追踪协议（ROBERT Protocol）的基本原理：漫画图解

18. 英国信息专员对苹果谷歌接触追踪项目的官方意见：全文翻译（DPO社群出品）

19. 三百名学者关于接触追踪APP的联合声明

20. EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南：全文翻译（DPO沙龙出品）

21. 新冠疫情防控常态化下的个人信息保护工作的思考和建议 

22. 韩国利用ICT抗疫经验总结：接触追踪部分（中文翻译）

23. 全文翻译 | 欧盟新冠肺炎“接触追踪”APP 共同工具箱（DPO沙龙出品）

美国电信行业涉及外国参与的安全审查系列文章

1. 美国电信行业涉及外国参与的安全审查（一）：基本制度介绍

2. 美国电信行业涉及外国参与的安全审查（二）：国际性的第214节授权

3. 美国电信行业涉及外国参与的安全审查（三）：建立外国参与安全审查的行政令

4. 美国电信行业涉及外国参与的安全审查（四）：FCC对中国企业的陈述理由令

中国的网络安全审查系列文章：

1. 网络安全审查制度利刃出鞘

2. 对《网络安全审查办法（征求意见稿）》的几点观察

3. 网络安全审查制度吹响了向网络安全强国迈进的号角

4. 我国网络安全审查制度走向前台

5. 网络安全审查的中欧比较：以5G为例

6. 网络安全审查 | 中国《网络安全审查办法》的逻辑和要旨：以5G安全为例

美国的出口管制制度系列文章：

1. 美国出口管制制度系列文章之一：对“外国生产的产品”的相关规则

2. 美国出口管制制度系列文章之二：适用EAR的步骤

3. 美国出口管制制度系列文章之三：苏联油气管道的“华为”事件

4. 《华盛顿邮报》披露《美国对中国的战略路径》背后的决策博弈

5. 美国出口管制制度 | 允许华为和美国公司共同制定5G标准

6. 美国出口管制 | BIS发布针对“基础性技术”出口管制的“拟议制定规则预先通知”
   

自动驾驶系列文章：

1. 自动驾驶数据共享：效用与障碍

2. 自动驾驶数据共享：效用与障碍（附文字实录）

3. 北京市关于自动驾驶车辆道路测试的立法综述及动态（DPO社群成员观点）

4. 自动驾驶的基建工程 — 高精地图产业促进与国家管控的平衡（DPO社群成员观点）

5. EDPB《车联网个人数据保护指南》全文翻译（DPO社群出品）

欧盟“技术主权”进展跟踪系列文章：

1. 技术主权视野下的欧盟数字化转型战略探析（DPO社群出品）
   

2. 欧盟委员会主席首提“技术主权”概念

3. 推进欧洲可持续和数字化转型：《欧洲新工业战略》解读（DPO社群成员观点）
   

4. 欧盟“技术主权”进展 | 德国和法国推出欧盟自主可控的Gaia-X云平台计划

5. 欧盟“技术主权”进展 | 欧盟如何在科技领域能主导下一个十年

6. 欧盟“技术主权”进展 | 关于数字平台监管的建议

7. 欧盟“技术主权”进展 | 欧洲共同数据空间治理立法框架
   

第29条工作组/EDPB关于GDPR的指导意见：

1. 第29条工作组《对第2016/679号条例（GDPR）下同意的解释指南》中文翻译(DPO沙龙出品)
   

2. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”（DPO沙龙出品）
   

3. 第29条工作组《第2/2017号关于工作中数据处理的意见》（DPO沙龙出品）

4. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》（DPO沙龙出品）

5. 第29条工作组《数据可携权指南》全文翻译（DPO沙龙出品）

6. 第29条工作组关于GDPR《透明度准则的指引》全文翻译（DPO沙龙出品）

7. EDPB《关于GDPR适用地域范围（第3条）的解释指南》全文翻译（DPO沙龙出品）

8. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译（DPO沙龙出品）

9. EDPB《车联网个人数据保护指南》全文翻译（DPO社群出品）

10. EDPB关于GDPR中合同必要性指引的中文翻译（DPO沙龙出品）
    

11. EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南：全文翻译（DPO沙龙出品）

12. EDPB | 《对第2016/679号条例（GDPR）下同意的解释指南v1》中文翻译（DPO社群出品）

13. 第29条工作组 | 《关于匿名化技术的意见》中文全文翻译（DPO社群出品）

14. 欧盟委员会关于GDPR实施两周年评估报告中文翻译（DPO社群出品）

数据安全法系列文章：

1. 对《数据安全法》的理解和认识 | 立法思路

2. 对《数据安全法》的理解和认识 | 数据分级分类

3. 对《数据安全法》的理解和认识 | 中国版的封阻法令

4. 对《数据安全法》的理解和认识 | 重要数据如何保护

个人数据与域外国家安全审查系列文章

1. 个人数据与域外国家安全审查初探（一）：美欧概览

2. 个人数据与域外国家安全审查初探（二）：CFIUS实施条例详解

3. 个人数据与域外国家安全审查初探（三）：从美国《确保ICT技术与服务供应链安全》        

4. 个人数据与域外国家安全审查初探（四）：从美国《2019年安全与可信通信网络法案》看

5. 个人数据与域外国家安全审查初探（五）：禁止中国公司对StayNTouch的收购

6. 个人数据与域外国家安全审查初探（六）：《2019国家安全和个人数据保护法案》

7. 个人数据与域外国家安全审查初探（七）：美国众议院荒唐的决议草案

8. 个人数据与域外国家安全审查初探（八）：《2020安全的5G和未来通信》法案

9. 个人数据与域外国家安全审查初探（九）：澳大利亚《协助和访问法》

10. 美国司法部狙击中国内幕（Inside DOJ's nationwide effort to take on China）
    

11. 美国司法部“中国计划”的概况介绍

12. 突发 | 特朗普签署关于TIKTOK和WECHAT的行政令

13. 理解特朗普禁令中的Transactions

14. 白宫决策内幕 | TIKTOK的命运是由一场"击倒、拖出"的椭圆形办公室争斗所形塑

15. 《国际紧急经济权力法》（IEEPA）的起源、演变和应用

16. 个人数据与域外国家安全审查 | 美国安局对地理位置信息的建议（全文翻译）

人脸识别系列文章：

1. 盟基本权利局“人脸识别技术”报告中文翻译（DPO社群出品）

2. 国数据保护局（CNIL）关于人脸识别报告的中译文（DPO社群出品）

3. 售门店使用人脸识别技术的主要法律问题（DPO社群成员观点）

4. 脸识别技术的规制框架（PPT+讲稿）

5. 人脸识别技术运用的六大场景及法律规制框架的适配（DPO社群成员观点）
   

6. 人脸识别技术的法律规制研究初探（DPO社群成员观点）
   

7. 美国联邦隐私保护立法草案研究（四）：“生物识别信息”

8. 美国华盛顿州人脸识别服务法案中文翻译（DPO社群出品）

9. PAI | 《理解人脸识别系统》全文翻译（DPO社群出品）

10. 解读世界首例警方使用人脸识别技术合法性判决二审判决（DPO社群成员观点）

11. 人脸识别技术研究综述（一）：应用场景

12. 人脸识别技术研究综述（二）：技术缺陷和潜在的偏见

13. 美国人脸识别技术的法律规范研究综述 | 拼凑式（Patchwork）的范式

围绕着TIKTOK和WECHAT的总统令，本公号发表了以下文章：

1. 突发 | 特朗普签署关于TIKTOK和WECHAT的行政令

2. 理解特朗普禁令中的Transactions

3. 白宫决策内幕 | TIKTOK的命运是由一场"击倒、拖出"的椭圆形办公室争斗所形塑

4. TikTok和甲骨文合作中的“可信技术提供商” | 微软和德国电信合作的模式

5. TikTok和甲骨文合作中的“可信技术提供商” | 苹果和云上贵州合作模式

6. 外媒编译 | TikTok 零点时间：最后一刻的交易

7. TikTok和甲骨文合作中的“可信技术提供商” | 来自EPIC的质疑和两家公司的回复

供应链安全：

1. 供应链安全 | 白宫发布关于降低依赖外国对手的重要矿产的行政令

2. 供应链安全 | 美国从科技供应链中剔除中国行动的内幕（外媒编译）
   

美国方面的个人信息保护立法：

1. 美加州消费者隐私法案（CCPA） 修正案汇总中译文（DPO沙龙出品）

2. 美国联邦隐私保护立法草案研究（一）：“行为个性化”

3. 美国联邦隐私保护立法草案研究（二）：“个人敏感信息”

4. 美国联邦隐私保护立法草案研究（三）：“个人敏感信息”的保护规则

5. 美国联邦隐私保护立法草案研究（四）：“生物识别信息”

6. 美国联邦隐私立法重要文件编译第一辑（DPO沙龙出品）

7. 美国隐私立法 | 加州《CCPA实施条例》全文翻译（DPO社群出品）