吴沈括北京师范大学法学院博士生导师中国互联网协会研究中心副主任邓立山北京师范大学法学院研究助理
“第一条
就(欧盟)2016/679号条例第45条而言,美国确保对从欧盟转移至美国境内组织的个人数据提供适当水平的保护,这些组织被列入 "数据隐私框架清单",由美国商务部根据附件一第I.3节进行维护和公开。
第二条
每当成员国主管机关为在处理个人数据方面保护个人,根据(欧盟)2016/679号条例第58条就本决定第1条所述数据转移行使权力时,有关成员国应毫不延迟地通知欧盟委员会。
第三条
1. 欧盟委员会应持续监督作为本决定目标的法律框架的应用情况,包括继续进行转移的条件、个人权利的行使以及美国公共机构对基于本决定转移的数据的访问,以评估美国是否继续确保第1条所述的充分保护水平。
2. 成员国和欧盟委员会应相互通报美国拥有强制遵守附件 I 所列原则的法定权力的机构未能提供有效的检测和监督机制,使违反附件 I 所列原则的行为在实践中得到确认和惩罚的情况。
3. 如果有迹象表明,美国负责维护国家安全、执法或其他公共利益的公共机关对个人保护其个人数据权利的干预超出了必要和相称的范围,和/或没有针对这种干预的有效法律保护,成员国和欧盟委员会应相互通报。
4. 自本决定通知各成员国之日起一年后,以及随后与根据第(EU)2016/679号条例第93(1)条设立的委员会和欧洲数据保护委员会密切磋商后决定的周期,欧盟委将根据所有可用信息,包括通过与美国主管当局共同开展的审查获得的信息,对第1(1)条所述结论进行评估。
5. 如果委员会有迹象表明不再能确保充分的保护水平,委员会应通知美国主管当局。如有必要,委员会将根据(欧盟)2016/679号条例第45(5)条决定暂停、修改或废止本决定,或限制其范围。如果美国政府的不合作使欧盟委员会无法确定美国是否继续确保足够的保护水平,欧盟委员会也可以通过这样的决定。
第四条
本决定针对各成员国。
2023 年 7 月 10 日于布鲁塞尔”
2023年7月10日欧盟委员会基于欧盟2016/679(GDPR)发布了认定欧盟-美国数据隐私框架(EU-US Data Privacy Framework)具有充分个人数据保护水平的决定,基于这一决定当个人数据从欧盟传输向美国公司时,美国公司不再需要提供本决定要求以外的安全措施。该决定共四条,在决定正文之前委员会详细阐述了决定的做出依据,其具体分为引言;欧盟-美国数据隐私框架;由美国公共机关访问和使用从欧盟转移的个人数据;结论;这一决定和数据保护当局行动的影响;监测和审查这一决定;暂停、废止或修改本决定;最终考量等八个部分组成。该决定在2020年Schrems II一案导致欧盟与美国之间个人数据跨境机制中断后,在美国修改国内个人数据保护机制的背景下,成为新一代的欧盟与美国个人数据跨境机制。一、引言引言部分首先明确,GDPR第五章对国际数据传输的要求是本决定的根据,即当欧盟个人数据传输至境外时,个人数据的保护水平不得因此受到减损。具体来说,这一规定的实施方式之一是由欧盟委员会对境外目标国家或实体的数据保护水平进行充分性认定。获得充分性认定的目标国家或实体范围内的公司接受欧盟传输的个人数据则无需再经过其他程序。从充分性认定的要求来看,目标国家或实体的法律体系是该认定考虑的关键因素之一。2015年的Schrems一案中,欧洲法院确立了对充分性标准的理解为目标国家或实体法律体系达到相同个人数据保护水平的判例,而无需与欧盟相关措施完全一致。目标国家需要在个人数据权利的内容和实施、监督和执行方面达到与欧盟的类似要求,同时也需要有机制防止国家实体对个人数据的非法或不合理访问。正因为这一要求,美国与欧盟之间原先建立的隐私盾(Privacy Shield)个人数据跨境机制在Schrems II案件中被废止,主要原因是美国当局以国家安全原因对个人数据访问权限限制没有达到和欧盟类似的水平。在Schrems II案之后,欧盟委员会与美国政府的谈判最终使美国修改了相关立法。美国于2022年10月7日通过了第14086号行政命令《加强对美国信号情报活动的保障》,并由美国司法部长颁布了《数据保护审查法院条例》。本次的欧盟委员会充分性认定是对美国相关措施的认可。二、欧盟-美国数据隐私框架的内容与实施该框架的基本内容是美国对于欧盟传输的个人数据所采取的保护措施。这一框架适用于通过承诺满足商务部制定的框架原则从而获得认证的组织,该组织需要接受美国联邦贸易委员或交通部的监管。这一认证需要每年进行更新。在监管对象和主体上,该框架采用了与GDPR一致的个人数据、数据处理者和数据控制者的定义。在具体个人数据保护原则上,该框架也与GDPR的相关原则具有一致性,其中包括了数据处理的目的限制和退出选择提供;对特殊类型数据(如敏感数据)的特殊保障和获取明确同意的要求;保障数据准确性、最小化和安全的要求;通过保障通知原则以实现透明原则;个人数据权利保障,包括访问权、修正权、退出权、对自动化处理的相关权利;限制后续传输的要求;责任原则等。该框架机制的具体落实将由美国商务部的监管和执行,具体机制由框架原则和商务部、联邦贸易委员会及交通部的承诺共同确定。具体的常规监管是以相关组织向商务部提交年度认证申请的方式进行,申请内容包括组织的相关信息、个人数据处理目的、个人数据内容、验证方式、独立追索机制和法定监管机关等。在必要时,商务部将和联邦贸易委员会及交通部共同检查监督框架内容是否执行到位。此外,商务部将通过公示认证名单和退出名单的方式来保障数据传输过程中的透明度。在商务部的日常合规监督中,主要采用随机抽查和对有合规隐患机构的特别检查相结合的方式。对于被发现未能遵守该框架原则内容的机构,会被商务部要求填写情况说明问卷。未能按要求填写问卷的机构会被提交给相关机关进一步处理,如联邦贸易委员会和交通部。对于持续违反框架原则或由于其他原因退出框架的组织,商务部会将其移出框架名单,并被要求返还或删除相关个人数据。对于组织就认证提供的相关信息和承诺,商务部会持续予以监督和验证,如果出现虚假陈述或违背承诺的行为,则可能根据组织涉及的不同领域受到联邦贸易委员会和交通部的执法监管。在数据主体保护方面,该框架确立了多种权利救济途径,包括:第一,与进行数据处理组织的直接沟通;第二,向独立争议解决机构起诉;第三,向欧盟境内国家数据保护机关投诉;第四,美国商务部与欧盟国家数据保护机关之间的投诉解决沟通机制;第五,联邦贸易委员会接受独立争议解决机构、自我监管机构、商务部、欧盟国家数据保护机关及个人的转交案件和投诉;第六,当其他救济方式已经穷尽仍无法解决相关争议,数据主体可以申请由“欧盟-美国数据隐私框架小组”(EU-U.S. Data Privacy Framework Panel)进行具有约束力的仲裁;第七,对于不遵守框架原则和隐私政策的组织,数据主体申请司法救济。三、关于美国公共机构访问和使用欧盟个人数据的规则当美国机关以公共利益为由,特别是因刑事执法和国家安全理由访问欧盟个人数据时,需要满足GDPR的标准的“必要一致(essential equivalence)”测试。框架要求任何对个人数据权利的减损必须由法律规定;必须有减损范围限制;符合比例原则;并且提供对数据主体的救济渠道。对刑事执法目的的使用,该框架认为美国法律已提供了访问和使用限制,美国政府也通过司法部提供了使用限制和提供安全保障的保证。在现行美国法律体系下,出于刑事执法目的美国公共机关有以下方式访问或使用欧盟传来的个人数据:第一,法官可以在联邦执法官员和政府律师的申请下签发搜查令;第二,大陪审团在特定重罪调查中可以应联邦检察官要求签发传票,行政传票也可以基于公共利益的监管目的授权访问存储于第三方公司的个人数据;第三,美国法下的允许访问通信数据的其他合法事由。该框架还具体阐述了以上访问方式在不同程度上受到合理性测试、数据使用通知要求、执法机关内部数据使用指南和各州立法等多种限制。对于进一步在刑事调查范围之外使用收集的个人数据,美国的法律体系利用法规、指南和行业标准等多种方式提供安全保障。此外,前述的刑事数据使用活动也由多个主体在不同阶段予以监督,其中包括:第一,刑事执法部门的隐私与公民自由官(Privacy and Civil Liabilities Officers);第二,监督司法部活动的独立的监察长(Inspector General);第三,隐私和公民自由监督委员会(Privacy and Civil Liberties Oversight Board,PCLOB);第四,国会众议院和参议院的司法委员会。对于以刑事执法理由非法获取个人数据的行为,数据主体可以根据情况向传票签发机关、刑事执法机关、隐私和公民自由官、司法机关等寻求救济。对于出于国家安全目的的个人数据使用,该框架认可了美国法当前的使用方式以及限制和保护措施。当个人数据从欧盟传输至美国后,美国情报机关可以基于《外国情报监视法》(Foreign Intelligence Surveillance Act, FISA)和“国家安全信”(National Security Letter)访问个人数据。此外,美国情报机关还可以基于“行政命令12333”收集境外个人数据。作为欧盟和美国谈判的结果,2022年10月7日生效的“行政命令14086”加强了美国情报收集的限制和安全保障。第一,情报活动必须有法规或总统授权,并保证符合美国宪法在内的法律;第二,情报活动需要采取措施保护隐私和公民自由,包括合理性分析和比例原则;第三,信号情报活动需要受到监督。信号情报活动监督的方式具体又有以下:第一,信号情报活动目的白名单和黑名单制;第二,必要原则和比例原则。此外,情报活动还受FISA第702节的限制和保护,司法部长和国家情报主管需要根据要求每年向“外国情报监视法院”(Foreign Intelligence Surveillance Court,FISC)提交报告,以明确情报收集的目标、最小化和询问程序合规。根据FISA第402节,使用笔试记录器和追踪装置等需要获得FISC的目标和范围限定性命令。FISA第501条也对收集公共商业记录提出了类似的要求。以“国家安全信”形式获取信用报告或商业记录的也应限定在特定个体和范围内。就进一步使用所收集信息而言,情报机关需要,第一,保障数据安全;第二,保障数据准确、客观;第三,保障非美国公民与公民的数据存储周期相同;第四,对信号情报途径获取的个人数据根据主体不同需要采用单独的传输规则;第五,保存情报活动的记录。在情报活动的监督方面,前述情报活动受到多个主体的监督,包括:第一,各情报机关的高级法律、监督和合规官,例如隐私和公民自由官;第二,各情报机关的独立监察长;第三,总统情报顾问委员会下属的情报监督委员会;第四,隐私和公民自由监督委员会;第五,美国国会众议院和参议院情报和司法委员会;第六,FISC。对于以国家安全理由获取个人数据的违法行为,个人可以向“行政命令14086”确立的救济机制、数据保护审查法院(Data Protection Review Court)和一般的美国法院寻求救济。四、有关其他事项的欧盟立场1、整体结论欧盟委员会认为美国商务部发布的上述原则保障了欧盟传输到美国的个人数据保护在该框架下与欧盟的GDPR处于同一水平。2、本决定的影响和数据保护机关的行动欧盟成员国及相关机关被要求采取相应措施配合这一充分性认定。在该决定生效之后,欧盟的数据控制者或处理者可以自由的将数据传输到美国的受认证组织而无需进一步的授权。但如果有成员国数据保护机关质疑充分性决定的个人数据权利保护,相应的国内法仍应提供救济机制。3、监督和审查本决定欧盟委员会应持续监督美国落实该框架原则的情况,并定期审查该框架下的个人数据保护水平以确保其保持与GDPR相同的水平。4、中止、废除或修改本决定当有信息表明美国的个人数据保护水平不足,欧盟委员会应要求美国主管机关在合理时间内采取措施;如其未能及时采取行动,委员会将根据情况部分或全部暂停或废止决定,或修正决定。5、最终考量该决定考虑了欧洲数据保护委员会的相关意见,欧洲议会已通过关于该框架的决议,并且该决定符合根据GDPR建立委员会的意见。