数据跨境流动 | 欧盟EDPS官员敦促美国强化个人救济以达到“实质等同”

编者按：

20多年来，个人救济问题一直困扰着欧洲联盟和美国之间的谈判。三项充分性认定协议——乘客姓名记录(PNR)协议、Schrems I和Schrems II——现在已经解体，因为欧洲法院(CJEU)坚持有效的司法救济措施，美国无法提供。Schrems II案的最新裁决，宣布隐私保护盾无效，强调充分性或 "实质等同性 "的要求适用于《通用数据保护条例》（GDPR）下的所有系统性的数据跨境传输条款。

欧盟和美国必须为数据转移找到一个持久的安排。如果他们不这样做，那么投诉和法院裁决将永远阻碍国际转移。这就需要，作为实质性事项，解决必要性和合比例性性的问题，以及，作为治理问题，解决个人救济的问题。

Schrems II案中关于监察员机制（Ombudsperson mechanism ）不健全的裁决并不令人意外。毕竟，早先由同一奥地利活动家提起的跨境数据案 "Schrems I"的两个核心问题之一，就是《欧盟基本权利宪章》第47条规定的有效司法救济权。在Schrems II案之后，西奥多·克里斯塔基斯（Theodore Christakis）建议不要再搞一个类似于隐私保护盾的快速修复方案，而是推动建立一个长期的欧盟与美国的安排，为未来几年提供法律上的确定性；克里斯托弗·库纳（Christopher Kuner）则希望，治理问题可能更容易在法律意义上得到处理，"假设美国有这样做的政治意愿"。

一个切实可行的想法来自美国的肯尼斯·普罗普和彼得·斯维尔，他们发表了 "应对个人救济挑战的建议"。他们对美国缺乏个人救济的情况和现有的工具进行了务实的分析，可以说不需要进行大的行政或立法改革，就可以修改这些工具，以允许建立第三种更持久的适当性制度。最关键的是，普罗普和斯维尔断言，美国监控法中现有的体制机制可以适应这一任务，没有必要从头开始。

本篇文章的目的是从欧洲的角度回应普罗普和斯维尔，强调他们的建议中可以接受的内容，并澄清哪些问题仍然存在。虽然本文的讨论集中在美国和欧盟，但也影响到面临类似问题的许多其他第三国。

欧盟法院将执行欧盟基本权利

在深入探讨普罗普和斯维尔的提案之前，有必要先了解一下背景情况。虽然与欧盟的数据隐私谈判对美国来说似乎是漫长的，有时甚至是令人疯狂的，但欧盟同样因为未能有效表达其对相关权利和价值的深刻承诺而感到沮丧。这些都体现在《欧盟基本权利宪章》中，它本身就是对更古老的泛欧人权公约（ECHR）的补充和更新。自《里斯本条约》生效以来，该宪章一直享有宪法地位，并在欧盟法院的判例法中得到了一贯的适用。

美国的一些评论家断言，情报机构处理的信息根本不在欧盟法律范围内，但这是一个“红鲱鱼”【译者注：即为了让人分散注意力而提出的不相干的观点，甚至是错误的信息】。是的，《欧盟条约》第4条，体现在GDPR第2条(d)项的例外范围中，确实为欧盟成员国保留了国家安全。但是，第4条只将情报机构自己行使主权权力开展的活动排除在欧盟法律之外。相比之下，私人运营商为商业目的收集的信息则被欧盟法律所涵盖：当这些信息被用于情报目的时，就被涵盖在GDPR第23(a)-(d)条规定的要求中。欧盟法院在多个裁决中重申了这一点，并在Schrems I案中简单地将其扩展到国际转移中。

在数据保护领域，欧盟法院将《欧盟宪章》第7条、第8条和第47条所规定的隐私权、保护个人数据和获得有效司法救济的权利，优先于不一致的欧盟和国家法律。基于这些原因，"隐私盾"并不是唯一被法院驳回的条款。欧盟法院曾将《数据保留指令》等欧盟法规、欧盟委员会的“安全港”和“隐私盾决定”(Schrems I和II)等法定文书、《欧盟-加拿大PNR协议》草案等条约，以及未能尊重这些权利的国家法规甚至是国家宪法性法律“搁浅”一旁。应当指出，在Schrems II案中，这三项权利被频繁援引。