W&W国际法律团队 | 欧盟-美国隐私框架「DPF」解读系列(一):来龙去脉
文/ 王捷 黄琼 梁佩盈 叶影
W&W国际法律团队
专注互联网出海法律实务:
W&W国际法律团队深耕海外多地区多条业务线,通过多年来积累的出海法律服务经验以及资源优势,结合本土化的合规经验与国际化的思维,致力于为出海互联网企业提供专业的一站式法律解决方案,为逐鹿海外的互联网企业提供优质及多元化的法律服务,为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。
覆盖以下行业领域:
物联网、智能家居、智能汽车、车联网、芯片制造、Web3.0、NFT、AI、电子设备及智能终端制造、数字化安全、IOT、云计算与服务、社交网络平台、电子商务、短视频视听直播、网络游戏、人力资源等行业领域。
(此处仅展示部分内容,如有任何需求,请尽管与我们联系。)
引言
2023年7月10日,欧盟委员会投票通过了欧盟-美国数据隐私框架 (EU-U.S. Data Privacy Framework,以下简称“ DPF”) 的充分性决定。充分性决定得出的结论是,对于根据DPF从欧盟控制者或处理者传输到美国认证组织的个人数据,美国提供的保护水平基本上与欧盟相同。具体来说,充分性决定的效果是,个人数据可以从欧盟的控制者和处理者转移到美国的认证组织,而无需获得任何进一步的授权。
W&W国际法律团队将针对DPF进行系列的梳理、解读和分析,本文作为系列解读的第一篇文章,将从欧盟-美国数据跨境传输机制发展过程、DPF的改进点和风险点以及适用范围影响三个方面梳理DPF的来龙去脉,从历时性的角度介绍DPF,作为后续实务解读的先行基础。
欧盟-美国数据跨境传输机制发展过程
欧盟-美国数据跨境传输机制的发展经历了一系列重要的阶段和事件。在当前的DPF之前,主要可分为安全港时代和隐私盾时代。
2013年6月,Facebook用户Maximillian Schrems(后来创立了知名隐私倡导组织NOYB )向爱尔兰数据保护专员投诉,要求专员行使职权禁止Facebook爱尔兰子公司将其个人数据传输至美国,他认为美国的法律和实践不能保证对其个人数据的充分保护,使其免受美国当局监控活动的影响。[1]投诉被数据保护专员驳回后,Schrems先生向爱尔兰高等法院提出诉讼,爱尔兰高等法院将部分问题提交欧盟法院进行初步裁决,欧盟法院于2015年判决安全港决议无效。
具体而言,依据指令第25(2)以及25(6)条款的规定,判断第三国对个人数据是否达到充分程度的保护水平,需要结合其国内法及国际承诺,全面考量数据传输活动的所有相关因素,尤其是数据性质、处理目的、处理期限等。而安全港决议只涉及美国根据FAQs实施的安全港原则提供的保护是否充分,却没有包含美国根据其国内法或国际承诺确保充分保护水平的具体措施的充分结论。[2]
并且,安全港协议仅适用于从欧盟接收个人数据并经自我认证的美国组织,而美国行政机构无须遵守,且允许基于国家安全、公共利益或执法要求,而对被转移数据的个人的基本权利进行干涉,却未就美国有无限制该等干涉行为的国内立法进行调查,也没有针对这种干涉行为的任何行政或司法救济手段。同时,美国当局对其获取的欧盟成员国的个人数据进行的处理有些是不符合数据转移目的的,也超出了维护国家安全所需的范围。[3]
综上,安全港决议被裁定无效。[4]
安全港决议被欧盟法院判决无效后,Facebook爱尔兰子公司主张依据欧盟委员会批准的标准合同条款(Standard Contractual Clauses, SCC)将存储在爱尔兰的数据传输至其位于美国的公司总部。2015年12月,Schrems先生再次向爱尔兰数据保护专员投诉,认为SCC也不能提供对个人数据充分的保护。数据保护委员会将案件移交至爱尔兰高等法院,爱尔兰高等法院将部分问题提交欧盟法院进行初步裁决。该案件过程中,欧美通过了代替安全港原则的隐私盾,因此欧盟法院于2020年7月作出的本案判决中对隐私盾决议有效性进行了裁定,认为隐私盾不可作为个人数据从欧盟传输到美国的有效机制。
具体而言,美国公共当局根据《外国情报监视法》(the Foreign Intelligence Surveillance Act,以下简称FISA)第 702 条和第 12333 号行政命令,通过 PRISM 和 UPSTREAM 监视计划,获取和使用从欧盟传输到美国的个人数据,构成对宪章第7条和第8条规定的个人基本权利的干涉。[5]
美国国内法律没有对相关行政机构获取外国情报而实施监视计划的权力进行任何限制,无论是FISA还是第12333号行政命令,都不符合欧盟法律相称性原则所规定的最低保障,根据这些规定实施的监视方案不能被视为仅限于严格必要的范围,因此不符合宪章第52条的规定的比例原则。[6]
美国国内法律未赋予数据主体就监视活动向法院对美国当局提起诉讼的权利,而隐私盾中隐私保护监察员的引入无法弥补对相关数据主体司法保护方面的缺陷,即数据主体不能向法院提起诉讼以获取其个人数据或者要求对这些数据的更正或者删除。因此,隐私盾不能达到宪章第47条规定的欧盟公民有权在法庭获得有效救济的保护水平。[7]
综上,隐私盾决议被裁定无效。
在隐私盾决议被宣布无效后,欧盟数据控制者和处理者需要使用其他合法的数据转移机制将个人数据从欧盟传输到美国,例如标准合同条款。相比于隐私盾时代,欧盟与美国间的数据传输效率相对降低。但在此期间,欧盟也仍在与美国就新的数据隐私框架进行协商。
2023年7月10日,欧盟委员会通过对欧盟-美国数据隐私框架(DPF)的充分性决定,认为美国在DPF下能够为欧洲经济区(EEA)至美国的数据传输提供与欧盟相当的充分保护水平。由此,美国企业可以通过承诺履行相应的隐私义务加入DPF,在DPF下将数据从EEA境内的实体传输至美国,而无需其他数据保障措施。这也意味着,自2020年7月欧洲法院在Schrems II案中裁定隐私盾决议无效后,欧美之间新的数据跨境传输机制再一次得以建立。
新的数据隐私框架的改进点及风险点
改进点
从上文可以看出,安全港决议与隐私盾决议被无效的主要原因在于,安全港协议和隐私盾无法确保美国具备与欧盟同等的个人数据权益保护水平,具体理由包括对美国政府监视活动的限制措施,以及数据主体的有效救济手段的缺失。为应对这些问题,DPF框架引入了新的约束性保障措施,主要包括:
· 将美国情报部门对欧盟数据的访问限制在必要和适当的范围内;
· 设立数据保护审查法院(Data Protection Review Court, “DPRC”),欧盟公民可通过DPRC申请权利救济;
· 建立对DPF框架的定期审查机制,欧盟委员会、欧洲数据保护委员会及美国相关部门共同组成的机构将对DPF框架进行定期审查;
· 创设新的数据保护义务,要求美国公司在传输欧盟个人数据时必须遵守一系列数据保护义务,并应采取适当的技术措施与建立相应的组织机构,确保能够有效遵守数据保护义务。
风险点
尽管有上述保障措施,新的隐私框架并未完全解决隐私盾决议被无效的问题,仍存在再次被无效的风险,原因如下:
· EO对比例原则的实质性定义以及在美国法律下可能的解释,不符合其在欧盟的含义与解释。
尽管EO规定了对美国信号情报活动的限制,使比例原则和必要性原则适用于美国关于信号情报的法律框架,但这些原则是欧盟数据保护制度的长期关键要素,而EO对这些原则的实质性定义与欧盟法律对这些原则的定义以及欧盟法院对这些原则的解释并不一致;就DPF框架而言,这些原则将完全根据美国法律和法律传统而不是欧盟法律和法律传统进行解释。
· DPRC缺乏透明度,不符合《宪章》第 47 条规定的独立性和公正性标准。
投诉人不能直接面对DPRC,需通过隶属于美国政府的特别律师表达意见;而且DPRC 的决定将是保密的,不会公开或提供给投诉人,投诉人将仅仅被告知审查没有发现任何涵盖的违规行为,或者 DPRC 已经发布了需要采取适当行动的决定,从而损害了他们查阅或更正其数据的权利。这意味着投诉人将没有机会获知案件的实质性结果,而决定将是终局的,没有为投诉人提供在联邦法院上诉的渠道。
DPRC仍属于美国行政系统内部的自我纠正机制,并非完全独立的机构;美国总统可以秘密推翻DPRC的决定,也可以在 DPRC 法官任期内将其解职。因此,其是否可作为欧盟公民隐私权利的有效救济手段还不一定。
· 美国总统随时可修改EO关键内容,因此其作用并不明确。
EO 为限制美国信号情报活动,提供了一份目标清单,列出了在进行信号情报收集时可以追求的 12 个合法目标和禁止收集信号情报的 5 个目标;而美国总统可以修改和扩充合法的国家安全目标清单,却没有义务公布有关更新,也没有义务通知欧盟。因此EO关键性内容存在不确定性,其对美国信号情报活动的限制作用也就相应地不明确。
适用范围影响
对于不属于欧盟的英国、瑞士,美国商务部分别与欧盟委员会、英国政府和瑞士政府制定了EU-U.S. DPF、UK Extension to the EU-U.S. DPF和Swiss-U.S. DPF,三者分别为美国企业接受来自欧盟、英国、瑞士的个人数据时可选择的传输路径。
英国
根据DPF Program项目官网中关于UK Extension to the EU-U.S. DPF的问答[8],如果美国企业希望通过UK Extension to the EU-U.S. DPF接受来自英国的个人数据,必须先加入EU-U.S. DPF;如果美国企业已加入EU-U.S. DPF,可以在2023年7月17日起六个月内登陆其DPF Program账号并将UK Extension to the EU-U.S. DPF添加到现有认证的范围。
瑞士
但若是Swiss-U.S. DPF,根据DPF项目官网中关于Swiss-U.S. DPF的问答[9],企业可以在DPF Program网站上点击“Self-Certify”,选择加入Swiss-U.S. DPF或EU-U.S. DPF,即无需先加入EU-U.S. DPF。
也就是说美国企业若选择通过加入DPF作为从英国接收个人数据的路径,需要符合EU-U.S. DPF的规定;从瑞士接收则为符合Swiss-U.S. DPF的规定而非EU-U.S. DPF的规定。但需要注意的是,在瑞士联邦管理局(Swiss Federal Administration)宣布对Swiss-U.S. DPF的充分性认定之前,美国企业还不能依据该DPF从瑞士接受个人数据;同样的,在英国政府作出实施英美之间的数据桥(data bridge)的充分性认定之前,仍不能依据UK Extension to the EU-U.S. DPF从英国接收个人数据(2023年6月8日,英美发布声明承诺“数据桥”,以实现英美相关组织之间的数据自由流动。但截至目前,双方尚未出台关于“数据桥”的进一步规定。)
结语
欧盟-美国数据隐私框架的运作将接受欧盟委员会与欧洲数据保护机构和美国主管机构代表的定期审查。
第一次审查将在充分性决定生效后一年内进行,以验证所有相关要素是否已在美国法律框架中得到充分实施并在实践中有效发挥作用,W&W国际法律团队也将持续关注DPF的相关动态。
参考文献:
[1] CVRIA, Case C-362/14, Maximillian Schrems v. Data Protection Commissioner, Judgement: para. 28.
[2] CVRIA, Case C-362/14, Maximillian Schrems v. Data Protection Commissioner, Judgement: para. 75, 83.
[3] CVRIA, Case C-362/14, Maximillian Schrems v. Data Protection Commissioner, Judgement: para. 82, 84, 88, 89.
[4] CVRIA, Case C-362/14, Maximillian Schrems v. Data Protection Commissioner, Judgement: para. 94-98.
[5] CVRIA, Case C-311/18, Maximillian Schrems v. Data Protection Commissioner, Judgement: para. 165, 171.
[6] CVRIA, Case C-311/18, Maximillian Schrems v. Data Protection Commissioner, Judgement: para. 180, 184.
[7] CVRIA, Case C-311/18, Maximillian Schrems v. Data Protection Commissioner, Judgement: para. 181, 186, 190, 194.
推荐阅读:
W&W国际法律团队 | 印度2023年数字个人保护法案提交议会
吐故纳新 | 2023年特刊之V4.0版《个人信息保护与数据合规法律汇编》
要点分析 | 欧盟Artificial Intelligence Act 解读(二)
要点分析 | 欧盟Artificial Intelligence Act 解读(一)
要点分析 | 中国《生成式人工智能服务管理办法(征求意见稿)》解读
重榜发布 | 《AIGC产业发展与法律合规实务手册》(第一版)
2023年中重磅 | V4.0版《个人信息保护与数据合规法律汇编》如期而至
主编介绍
王 捷 律师
垦丁国际业务部负责人、广州执行主任
W&W国际法律团队创始人
业务领域:
个人信息保护与全球数据合规、数据合规、互联网与网络法实务合规、企业出海合规、网络安全
王律师持有CIPP/E(国际信息隐私专家认证/欧盟)、区块链应用操作员资格证书、数据安全师、数据合规官资格证书,是联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学研究会理事,荷兰RuG国际经济法与商法硕士。
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了12年+科技型公司实务经验,具备中外律所从业背景。专业能力模块包括产品风险管控、业务流程搭建、竞对攻防布局、政府监管合规、海外公司治理等。王律师已为多家头部与一线的知名互联网公司、大中型外资企业及大型国企提供专业法律服务,行业覆盖物联网、智能终端制造、IOT、云计算与服务、社交网络平台、电子商务及平台、智能汽车与车机系统、芯片制造业、网络游戏、Web 3.0、NFT、AI、以及GPT等新兴领域。
王律师擅长解决由互联网、数据及智能技术引发的数据安全风险与合规解决方案落地,包括数据保护与合规、产品风险管控、业务流程搭建、风险分析评估、政府监管合规、竞对攻防布局,已为各类涉互联网企业拓展全球市场提供法律支持,尤其擅长为企业出海欧美、东南亚、印度、日韩、中东、中国港澳台地区等新兴及重要市场提供有效的合规解决方案与落地支持。
同时,王律师独著《Comparison of Various Compliance Points of Data Protection Laws in Ten Countries/Regions》,在全球最高分的六篇论文中,荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖,该文章同时被评为年度隐私政策制定者“必读”文章。其耕笔的多篇互联网与数据合规文章收录于国际知名专业数据库。
联系方式:jie.wang@kindinglaw.com
+86 13650790754