其他
【研究报告】数据跨境治理国别规则(2):爱尔兰
【代序】
当前数字经济蓬勃发展,特别在全球化浪潮下,世界各国都面对着一系列全新的治理挑战。无可否认,海量数据的处理与应用构成了新型数字经济样态存在与发展的关键性必要条件,时至今日,数据要素对于经济和社会发展变革有巨大驱动作用,数据作为基础性战略资源的论断已然成为国际社会的普遍共识,全球范围内的数据跨境流转利用成为各方高度关注的命题。
近年来,数据跨境流动的安全问题日益凸显。不可否认,数据治理问题本身具有非常复杂、宽广的视域,而系统检视这一问题、寻求应对方案的逻辑主线应当是新一代网络信息技术的发展态势以及与数据处理应用相伴随的机遇和风险类型考察。就此应当指出的是,一方面,围绕各类数据的利用,在以大数据、云计算、物联网以及人工智能等为代表的新一代信息技术的普及应用过程当中,人们不断拥抱更多的发展机遇;另一方面,围绕各类数据的保护,民众在快速数字化的环境中也持续面对来源更为广泛、程度更为深刻的安全风险。
主要的域外国家和发达地区高度关注在数字贸易领域建立国际规则的问题,对此已在其推动的多个经贸谈判中有所涉及,这也成为各个国家有关数据安全制度政策域外延伸的重要组成部分,构成企业跨国运营过程中需要持续跟进的核心因素。团队汇聚资深的理论和实务专家完成《数据跨境治理国别规则》研究报告,发布相关成果并会形成系列更新,以飨读者!(特别鸣谢北京大成律师事务所数字业务中心的协助支持。)
——吴沈括,北京师范大学法学院博士生导师、中国互联网协会研究中心副主任。
1.爱尔兰数据治理的规范框架爱尔兰主要的数据治理法规为《通用数据保护条例》(General Data Protection Regulation)(以下简称“GDPR”),但GDPR允许成员国在其国家法律中实施更具体的规定,为此爱尔兰修订其原有的数据保护法律以符合GDPR,并在合理范围内为数据治理进行补充规定,其制度要点阐述如下:1.1《通用数据保护条例》(General Data Protection Regulation)(以下简称“GDPR”)由欧洲议会和欧盟理事会制定并于2018年5月25日起实施。该条例在欧盟范围内对其成员国具有直接的约束力和适用性。GDPR规定了多种管辖权适用范围,明确了数据控制者、数据处理者的权利义务,以及数据主体权利和限制。同时明确了成员国向第三国的数据跨境传输机制,并设立欧盟数据保护委员会(EDPB)保证GDPR在各成员国间适用的一致性。1.2《2018年数据保护法》(Data Protection Act 2018)于2018年5月25日开始实施,该法旨在全面执行及补充GDPR,以及代替大部分爱尔兰现行的于1998年和2003年生效的数据保护法规。该法引入了数据保护委员会(DPC),并赋予DPC的授权人员更大的调查权利,但从数据控制者或数据处理者处获取文档和记录等权利仍受法律规制。此外,该法规定16岁为儿童数据主体可以同意被处理其在信息社会服务方面个人数据的最低年龄,该规定与GDPR存在兼容性问题,或将不会适用。1.3《1988年数据保护法》(Data Protection Act 1988)和《2003年数据保护法》(Data Protection Act 2003)分别于1988年和2003年生效,自2018年5月25日起两法的大部分内容被《2018年数据保护法》废除并取代。两法的规定仅适用于以维护国家安全、国防和国家国际关系为目的的处理个人数据的情形。1.4《电子隐私条例》(E-Privacy Regulations)于2011年生效。该条例实施了欧盟《电子隐私指令》(E-Privacy Directive),该指令规范cookie的使用、电子邮件营销、数据缩小以及数据隐私的保护。该条例规制在部分电子通信(包括电话、电子邮件和短信进行的未经请求的电子通信)中处理个人数据的行为,并且将欧盟关于cookie的要求从《电子隐私指令》中移植过来——电信服务提供商在使用cookie等跟踪技术前需获得有效的用户同意。
2.爱尔兰数据跨境的政策法规以下主要的条例、法规构成了爱尔兰现行数据跨境治理的基本法律制度架构:2.1《通用数据保护条例》(General Data Protection Regulation)(以下简称“GDPR”)GDPR第五章对个人数据向欧盟以外的第三国或其他国际组织传输设立了严格的标准。其中明确个人数据原则上不得向第三国或其他国际组织传输,除非通过“充分性认定”、“适当保障措施”或“例外豁免情形”三种合规路径之一进行,并列举了五种数据跨境传输工具也即适当保障措施,以确保个人数据出境后受到的保护水平不会被减损。2.2《2018年数据保护法》(Data Protection Act 2018)该法对于个人数据的跨境传输规制与GDPR基本相同,其在该部分提到的条款内容,旨在便利地将个人数据传输至第三国和国际组织的主管当局,用于规定范围内的目的。此种情况下的数据传输应受到适当的保障,该保障可通过欧洲委员会的充足性决定或适当的保障措施予以提供。
3.爱尔兰数据跨境的合规要求3.1个人数据跨境传输合规要求爱尔兰对数据跨境的规制主要集中于GDPR第五章和相关细则性规定中,以及《2018年数据保护法》。(1)由于欧盟成员国具有统一的数据保护水平,受该法管辖的公司有权按照与爱尔兰数据要求相同的规则向欧盟其他成员国传输个人数据。(2)个人数据原则上不得向第三国或其他国际组织传输,除非通过以下三种合规路径进行:(i)合规路径一:充分性认定国家或国际组织的数据保护水平经过欧盟的认可后,个人数据即可自由地从欧盟传输至该国家或国际组织。目前获得充分性认定的国家有14个:安道尔、阿根廷、加拿大(仅适用于商业机构)、法罗群岛、根西岛、以色列、马恩岛、泽西岛、新西兰、瑞士、乌拉圭、日本、韩国以及英国。中国不在此“白名单”中。(ii)合规路径二:适当保障措施GDPR提供了五种适当保障措施即数据传输工具,数据输出者可任选其一。需注意,依赖这五种数据跨境传输工具并不当然满足欧盟要求,欧盟法院更注重实质判断而非形式判断——若有需要,跨境数据传输主体还须进行额外尽职调查并采取适当的补充措施。五种数据跨境传输工具如下:(A)公共机构之间的协议或行政安排;(B)有约束力的企业规则(BCRs);该项工具适用于跨国集团企业内部数据跨境传输,要求集团在欧盟境内设有实体并获得数据监管机构对于该规则的批准。BCRs需体现约束力、有效性、合作义务、处理和数据流动的描述、报告和记录变更的机制、数据保护措施这六个方面,并满足各项子要求。BCRs还应明确适用范围、第三人收益权利、提出申诉的权利、数据保护原则、可问责性、并保证控制者和处理者之间的《服务协议》需包含GDPR第28条规定的所有必要内容。爱尔兰DPC已发布一份经批准的“BCRs清单”。(C)欧盟委员会通过或批准的标准合同条款(SCCs);该项工具适用最为广泛,最新版也即第四版SCCs已于2021年6月4日发布,包含4节18项条款和3个附件,可被整合至数据跨境传输协议中,但签署时只能全部适用或全部不适用。一旦签署SCCs,数据保护的法定义务将转化为合同义务和违约责任,如果违反相关约定,则面临民事赔偿、行政处罚责任。(D)经数据监管机关批准的行为准则(Approved Codes of Conduct):该项适用于行业或部门内部进行数据跨境传输。行为守则需由代表控制者或处理者类别的协会或其他机构编制,应当包括基本原则、权利和义务、在特定传输场景下的保证、对跨境传输的说明、应当遵循的数据保护原则的说明、问责措施、数据保护义务的隐私工作人员、培训计划、数据保护审计机制、处理守则变更的机制等多项内容,最终经所在成员国的主管机关批准后由欧盟委员会通过颁布实施法案的形式来认可。(E)基于经批准的认证机制进行传输(Approved Certification)。该项是一种较新的传输机制。认证的对象是第三国的数据接收方,认证过程应当自愿,要基于有约束力且可执行的审查方式,要具有约束性和可执行性的承诺,认证最终应当由经国家认可机构或主管的监管机构认证的认可机构根据认证标准进行检查而完成。(iii)合规路径三:克减情形该路径仅适用于路径一、二无法使用的情形,在符合以下情形之一可进行跨境数据传输:(A)获得数据主体的明示同意;(B)履行与数据主体间的合同需要;(C)为数据主体的利益而与其他主体缔结或履行合同的需要;(D)行使或抗辩法律主张;(E)跨境传输公共注册登记机构的部分数据以及保护数据主体或他人重大利益、公众利益的需要。
4.爱尔兰数据跨境的实务案例4.1Facebook案(1)案件简介2020年8月,爱尔兰DPC发布一项初步决定,指示美国互联网公司Facebook(现更名为Meta)暂停向美国传输源自欧盟的个人数据。该初步决定是在7月欧盟法院(CJEU)就个人数据跨境传输作出具有里程碑意义的判决(即Schrems II判决)之后作出的,CJEU在7月的判决中宣布欧盟-美国隐私盾协议在跨境数据传输方面无效,并对使用标准合同条款(SCC)作为支持向美国和其他地方跨境传输数据的机制进行了重大限制。2020年9月,Facebook对爱尔兰数据监管机构提起诉讼,试图阻止前述初步命令。Facebook欧洲总部设立在爱尔兰,由爱尔兰DPC进行隐私执法,如Facebook不遵守相关规定,爱尔兰DPC会或将对其处以28亿美元(约合191.3亿人民币)的罚款,Facebook过去财年营收为706亿美元,罚金数额约占公司年收入的4%。(2)判决及分析2021年5月14日,爱尔兰高等法院驳回Facebook(爱尔兰)的起诉,即认为爱尔兰DPC在对Facebook(爱尔兰)的有关“欧盟至美国数据传输程序”进行自主调查所遵循的程序不存在缺陷,但该判决并不涉及实体问题的判断,此类数据传输程序是否符合GDPR的规定仍待进一步判断。从该案爱尔兰DPC的初步决定书可得知案件要点在于:(i)在Schrems II判决作出之后,跨国公司的爱尔兰总部能否通过“标准格式条款”(SCCs),将欧盟用户的数据传输至其美国子公司有待判断。(ii)爱尔兰DPC认为SCCs不足以提供与欧盟GDPR及相关法律“实质上等同”(essentially equivalent)的保护水平。在跨境数据传输不能得到“实质上等同”的保护水平的情况下,爱尔兰DPC将建议暂停数据传输活动。
数据跨境治理国别规则研究课题组
聚焦网络法治 护航数字经济:2022年世界互联网大会乌镇峰会网络法治论坛在浙江乌镇举行
动向|欧洲2023年立法议程:数字立法位于第二位
美国要求互联网公司研发针对中国电信设备的攻击武器 外交部回应“中国+中亚五国”数据安全合作倡议
前沿瞭望|美国首次公布联邦《数据隐私与保护法案》(全文)
动向|美国推动的"印太经济框架" 想做什么?动向|拜登宣布启动"印太经济框架" 日韩澳印等13国加入洞察|欧盟-美国有关未来数字治理的立场异同欧洲EDPS与EDPB关于欧盟数据法案的联合意见(5月5日)
高端视野|吴沈括 李涛:流量劫持的的刑法应对
吴沈括|数据要素市场建设中的公共数据与政企合作吴沈括|欧盟2022年《数字服务法案》:平台新治理的欧洲样板
吴沈括|欧盟2022年《数据治理法案》:数据要素流转利用的欧洲方案
美欧就跨大西洋数据隐私框架达成原则性协议(含监管历史演进梳理)光明网 | 吴沈括:强化数字安全助力数字经济高质量发展重磅|欧盟《数据法案》(Data Act)草案(中译本)重磅|欧盟《数据法案》(Data Act)草案全文
高端视野|吴沈括 Deuse Clément:欧盟数字主权与《数据法案》立法进程高端视野 | 吴沈括 S. Boutillier:网络空间国际规则与《巴黎倡议》高端视野|吴沈括 L. Valenti:数据跨境调取与布达佩斯公约第二补充议定书高端视野|吴沈括 H. MANZOOR:数字安全与联合国打击网络犯罪公约高端视野|吴沈括 Elena Scarpelli:欧盟数据主权与《电子证据条例》立法高端视野|吴沈括 Andrea Fusi:欧盟数字转型与《数字权利和原则宣言》高端视野 | 欧盟委员会《欧洲数据治理条例》提案研究数字治理全球洞察 | 跨境数据治理前沿系列:【研究报告】数据跨境治理国别规则(1):欧盟
数据跨境|英国就韩国达成数据跨境充分性认定 助力实现双边经济增长
数据跨境取证|吴沈括 蔡佩原:英国-美国《数据访问协议》中译本(2022-10-03施行)
数据跨境|拜登《关于加强美国信号情报活动保障的行政命令》(中译本)高端视野|吴沈括 孙鹏程:《数据出境安全评估办法》下的出境合规准备工作重磅 | 国家互联网信息办公室《数据出境安全评估办法》(全文)
重磅 | 国家互联网信息办公室公布《数据出境安全评估办法》(附答记者问)
速递|欧洲数据保护委员会关于欧美跨大西洋数据隐私框架协议的声明动向|欧盟与美国有望在2022年春季达成新的数据跨境传输协议高端视野|吴沈括 蔡佩原:欧盟《数据法案》(草案)的非个人数据跨境制度高端视野 | 吴沈括 邓立山:WTO框架下的数据跨境规则研究高端视野 | 吴沈括 邓立山:OECD框架下的数据跨境规则研究高端视野 | 吴沈括 邓立山:DEPA框架下的数据跨境规则研究
高端视野 | 吴沈括 邓立山:G20框架下的数据跨境规则研究
高端视野|吴沈括 邓立山:CPTPP框架下的数据跨境规则研究
高端视野|吴沈括 邓立山:RCEP框架下的数据跨境规则研究
高端视野 | 吴沈括 邓立山:APEC框架下的数据跨境规则研究高端视野|吴沈括 邓立山:APEC框架下关于数据跨境的CBPR规则研究数字治理全球洞察 | 数据治理前沿系列:《“十四五”全民健康信息化规划》:医院核心信息全国互通 强化网络与数据安全
汽车数据处理、个人信息安全工程指南等14项国家标准发布
EDPB:执法资源不足导致个人数据保护的监管面临风险
速递|印尼国会审议通过《个人数据保护法》高端视野|吴沈括:《企业涉个人信息刑事风险合规风控》研究报告重磅|中央深改委通过《关于构建数据基础制度更好发挥数据要素作用的意见》
瞭望|英国公布2022年《数据改革法案》具体计划 称为“脱欧后的胜利”数据执法|法国数据监管机关:对谷歌分析工具的整改不会让它变得合法高端视野 | 跨国企业数据保护官(DPO)设置研究(上篇)国家市场监督管理总局 国家互联网信息办公室关于开展数据安全管理认证工作的公告观点|阻碍医疗数据研究革命的是法律问题,而不是基础设施
检察日报|吴沈括 李涛:数字经济语境下流量劫持的刑事治理数据监管|匈牙利就AI数据处理侵权对布达佩斯银行科处高额罚款数据监管|法国数据保护机关就健康数据泄露处罚生物公司150万欧元
欧洲数据保护委员会(EDPB)关于执法合作的声明(4月28日)
速递|欧洲数据保护委员会关于比利时数据保护机关独立地位的质疑关切数据监管|芬兰数据保护机关因诊所实现数据主体权利不力科处行政罚款数据监管|欧洲数据保护专员(EDPS):是时候瞄准在线广告了!数据监管|爱尔兰数据保护委员会宣布对Meta(脸书)处罚1700万欧元数据监管|意大利数据保护机关就面部识别处罚美国Clearview公司2000万欧元数据监管|波兰数据保护机关就员工造成数据泄露对公司处以创纪录罚款数字治理全球洞察 | 网络安全治理前沿系列:速递|美国禁止华为中兴等5家中企在美销售设备
英国延后华为临时禁令 但2027年底前全面移除5G设备不变
美国网络安全禁令生效,限制向中国等国家共享网络漏洞重磅|欧盟委员会2022年《网络安全条例》提案(全文)重磅|欧盟委员会2022年《信息安全条例》提案(全文)数字治理全球洞察 | 网络平台治理前沿系列:重磅|反不正当竞争法(修订草案征求意见稿)禁止利用数据算法不正当竞争
国家互联网信息办公室修订《互联网跟帖评论服务管理规定》发布施行
EDPB通过有关TikTok的法律文书 TikTok停更个性化广告的法律基础重磅|国家广电总局、文旅部《网络主播行为规范》(全文)
重磅|中央深改委:将平台企业支付和其他金融活动纳入监管 服务实体经济
国家网信办《互联网跟帖评论服务管理规定(修订草案征求意见稿)》(全文)全国人大常委会法工委披露反垄断法、反电信网络诈骗法二审稿修改内容
重磅|国家网信办修订发布《移动互联网应用程序信息服务管理规定》(全文)
数字治理全球洞察 | 数字政府治理前沿系列:重磅|国务院《关于加强数字政府建设的指导意见》(全文)数字治理全球洞察 | 未成年人保护前沿系列:光明网|吴沈括:未成年人网络保护面临技术、组织、内容三重风险
数字治理全球洞察 | 电信网络诈骗治理前沿系列:发布反电信网络诈骗倡议!北师大主办2022年世界互联网大会乌镇峰会网络法治论坛
吴沈括 黄诗亮|《反电信网络诈骗法》的治理要旨与合规启示英译本|《中华人民共和国反电信网络诈骗法》(全文)重磅|《中华人民共和国反电信网络诈骗法》(全文)重磅 | 《反电信网络诈骗法(草案二次审议稿)》(全文)数字治理全球洞察 | 数据跨境取证前沿系列:重磅|司法部明确涉诉数据信息的跨境调取规则数据跨境取证|吴沈括 蔡佩原:英国-美国《数据访问协议》中译本(2022-10-03施行)数字治理全球洞察 | 数据认证前沿系列:吴沈括 邱芷蕙|美国TrustArc隐私与数据治理框架(P&DG)要览吴沈括 周奕达|美国TRUSTe企业隐私认证的机制概要与价值启示前沿|EDPB批准德国州数据保护机关有关数据保护认证计划的意见数字治理全球洞察 | 数据要素市场前沿系列:数据要素立法|《陕西省大数据条例》(全文)数字治理全球洞察 | 人工智能治理前沿系列:重磅 | 中国关于加强人工智能伦理治理的立场文件
速递|美国总统拜登签署《人工智能培训法案》
EDPS:欧洲委员会《人工智能公约》谈判应当加强基本权利保护数字治理全球洞察 | 数字经济治理前沿系列:重磅|《北京市数字经济促进条例》通过 重点培育数字经济核心产业
图文编辑:北京师范大学 佘政安