美欧就跨大西洋数据隐私框架达成原则性协议(含监管历史演进梳理)
欢迎点击上方 TMT法律论坛 关注我们
美欧就跨大西洋数据隐私框架达成原则性协议(含监管历史演进梳理)
当地时间3月25日,欧盟委员会与美国发布声明,表示双方已就跨大西洋数据隐私框架达成原则性协议。
本文梳理了美国与欧洲间的数据跨境传输合法性基础的历史演进,并对本次美国和欧盟就“美欧将建立跨大西洋数据隐私框架”所发布的声明全文进行翻译,以供读者厘清美欧数据跨境传输监管趋势及最新制度安排。
一.
美欧数据跨境传输框架梳理
1.安全港框架
欧盟长期以来高度重视公民的私生活,其于1995年通过了《数据保护指令》(Data Protection Directive),对公民的个人数据施加了全面的保护措施。在跨境传输方面,《数据保护指令》要求,只有在第三国能为欧盟公民的个人数据提供充分保护(Adequate Level of Protection)的情况下,才允许欧盟公民个人数据的跨境传输。
2000年7月26日,欧盟通过了其与美国之间关于欧盟居民个人数据跨大西洋传输的安全港框架(U.S.-EU Safe Harbor Framework)的充分性决定。美国机构获得安全港认证后,即可较为便利地处理欧盟居民的个人数据,Google、Facebook、Microsoft等企业即长期受益于此。
2013年,斯诺登曝光了美国“棱镜计划”,引发欧盟对美国监控欧盟公民个人数据的不信任。奥地利公民Max Schrems受此影响,向Facebook欧洲总部所在地爱尔兰的数据保护局发起投诉,要求禁止Facebook将欧盟公民的个人数据传输至美国。Max Schrems的投诉最终上诉至欧洲法院,被称为Schrems I 案。
2015年10月6日,欧洲法院作出裁判,判定欧盟对安全港框架的充分性认定无效。
2.隐私盾协议
欧盟与美国达成了《隐私盾》协议(Privacy Shield),在安全港框架的基础上进行了修订与补充。2016年7月12日,欧盟通过了《隐私盾》协议的充分性认定。
此前,尽管欧洲法院判定安全港框架的充分性认定无效,但Facebook也将个人数据跨大西洋传输的法律基础修改为标准合同条款(SCCs,Standard Contractual Clauses)。Max Schrems随之更新了投诉事由,对Facebook使用的任何跨大西洋数据传输依据能否为欧洲公民提供足够的保护提出质疑,案件最终再次上诉至欧洲法院,被称为Schrems II 案。欧洲法院将此案与其他针对《隐私盾》协议的案件一同审理。
2020年7月16日,欧洲法院判定《隐私盾》协议的充分性认定无效;另一方面,虽然认可了SCCs作为数据跨境传输的依据,但认为其不能约束第三国的政府当局,因此企业应当采取额外的保障措施。
3.SCCs受质疑
在《隐私盾》协议的充分性认定被宣告无效之后,美国企业主要适用SCCs作为数据跨境传输的依据。
2020年8月,Max Schrems创建了非盈利组织NOYB(Non Of Your Business),成员包括欧洲内外在隐私保护、技术和消费者权利方面的专家和机构。NOYB自创立以来,就积极地向欧盟及欧盟各成员国数据保护机构发起针对向美国传输个人数据的投诉,其在27个欧盟成员国和其他三个欧洲经济区(EEA)国家,对101名数据控制者向美国传输个人数据提出了101项投诉。
SCCs的有效性受到欧盟数据保护机构等部门的审查与挑战,爱尔兰数据保护委员会于2020年8月所作出的决定草案结果显示,Meta在跨境数据传输方面对SCCs的依赖不符合GDPR的要求,需要停止从欧盟向美国传输用户数据。具有效力的最终决定最早可能于2022年上半年发布。
Meta于2022年2月2日向美国证券交易监督委员会所提交的2021年度报告中表示,如果不采用新的跨大西洋数据传输框架,且无法继续依赖SCCs或从欧洲向美国传输数据的其他替代手段,Meta可能无法在欧洲提供一些最重要的产品和服务,包括Facebook和Instagram。
目前,NOYB对于使用Google Analytics向美国传输数据违反GDPR的投诉已获得奥地利数据保护局和法国国家信息自由委员会的支持。
二.
美欧就跨大西洋数据隐私框架达成原则性协议
在上述监管历史下,美欧之间的数据跨境传输之合法性基础始终存在不确定性;然而,当地时间3月25日,欧盟委员会与美国发布声明,表示双方已就跨大西洋数据隐私框架达成原则性协议,或许将改变这一现状。
(一)欧盟声明
欧盟委员会和美国宣布原则上就新的跨大西洋数据隐私框架达成一致,该框架将促进跨大西洋数据流动,并解决欧州法院在2020年7月的Schrems II判决中所提出的担忧。
新框架标志着美国方面将前所未有地承诺实施改革,以加强适用于美国信号情报活动的隐私和公民自由保护。根据跨大西洋数据隐私框架,美国将实施新的保障措施,以确保信号监视活动在追求既定的国家安全目标方面是必要且相称的,建立具有约束力的两级独立补救机制以指导补救措施,并加强对信号情报活动的严格和分层监督以确保遵守对监视活动的限制。
跨大西洋数据隐私框架反映了由商务部长Gina Raimondo和司法部长Didier Reynders领导的美国和欧盟之间一年多的详细谈判。它将为跨大西洋数据流提供一个持久的基础,这对于保护公民权利和促进包括中小型企业在内的所有经济部门的跨大西洋贸易至关重要。通过促进跨境数据流动,新框架将促进一个具有包容性的数字经济,所有人都能参与其中,我们所有国家的各种规模的公司都可以蓬勃发展。
该声明再次证明了美国与欧盟关系的力量,因为我们继续深化我们作为民主社会的伙伴关系,以确保安全和尊重隐私,并为我们的公司和公民创造经济机会。新框架将促进美欧在数字政策方面的进一步合作,包括通过贸易和技术委员会以及经济合作与发展组织等多边论坛。
美国政府和欧盟委员会的团队现在将继续合作,以期将这一安排转化为双方需要通过的法律文件,进而实施这一新的跨大西洋数据隐私框架。为此,美国的这些承诺将包含在一项行政命令中,该命令将构成委员会在其未来充分性决定中的评估基础。
(二)美国声明
美国和欧盟委员会已承诺建立一个新的跨大西洋数据隐私框架,该框架将促进跨大西洋数据流动,并解决欧洲法院在2020年驳回欧盟委员会关于欧盟-美国隐私盾框架的充分性决定时所提出的担忧。
该框架将重新建立将欧盟个人数据传输到美国的重要法律机制。美国已承诺实施新的保障措施,以确保信号情报活动在追求既定的国家安全目标方面是必要且相称的,这将确保欧盟个人数据的隐私,并为那些认为他们是信号情报活动的非法目标的欧盟个人建立一个新的机制来寻求救济。这份原则性协议反映了美国与欧盟持久关系的力量,因为我们在共同的民主价值观的基础上继续深化我们的伙伴关系。
该框架将为大西洋两岸的公民提供至关重要的利益。对于欧盟个人而言,该协议包括关于保护个人数据的新的、高标准的承诺。对于大西洋两岸的公民和公司而言,该协议将使得用于支持每年超过1万亿美元跨境贸易的数据能够持续流动,并使各种规模的企业能够在彼此的市场中竞争。这是欧洲法院于2020年作出隐私盾框架不符合欧盟法律要求的裁决后,欧盟与美国之间进行了一年多详细谈判的结果。
新的跨大西洋数据隐私框架强调了我们对隐私、数据保护、法治和我们的集体安全的共同承诺,以及我们对跨大西洋数据流对我们各自的公民、经济和社团的重要性的承认。数据流对于跨大西洋经济关系以及所有经济领域的所有规模的公司都至关重要。事实上,美国和欧洲之间的数据流动比世界上任何其他地方都多,其促成了价值7.1万亿美元的美欧经济关系。
通过确保数据流动的持久和可靠的法律基础,新的跨大西洋数据隐私框架将支持一个包容和有竞争力的数字经济,并为进一步的经济合作奠定基础。它涉及欧洲法院关于美国信号情报活动法律的Schrems II 裁决。根据跨大西洋数据隐私框架,美国做出了前所未有的承诺:
加强管理美国信号情报活动的隐私和公民自由保障;
建立具有独立和约束力的新的补救机制;和
加强现有的对信号情报活动的严格和分层监督。
例如,新框架确保:
信号情报收集只能在推进合法的国家安全目标的必要时进行,并且不得不成比例地影响对个人隐私和公民自由的保护;
欧盟个人可以通过新的多层补救机制寻求补救,该机制包括一个独立的数据保护审查法院,该法院的组成人士完全不由美国政府决定,他们将全权裁定索赔并根据需要指导采取补救措施;和
美国情报机构将采取程序,确保有效地监督新的隐私和公民自由标准。
利用该框架对数据流进行法律保护的参与公司和组织将继续被要求遵守隐私保护原则,包括通过美国商务部对遵守这些原则的自我证明要求。欧盟个人将继续享有多种途径来解决有关参与组织的投诉,包括通过替代性争议解决和具有约束力的仲裁。
这些新政策将由美国情报界实施,以有效保护其公民及其盟国和合作伙伴的公民,与本框架下提供的高标准保护相一致。
美国政府和欧盟委员会的团队现在将继续合作,以期将这一安排转化为双方需要通过的法律文件,进而实施这一新的跨大西洋数据隐私框架。为此,美国的这些承诺将包含在一项行政命令中,该命令将构成委员会在其未来充分性决定中的评估基础。
三.
NOYB对美欧声明发表评论
《隐私盾牌2.0》?-Max Schrems的第一次回应:
今天,欧盟委员会主席乌尔苏拉·冯德莱恩和拜登总统宣布了一项关于新的欧盟-美国数据共享系统的“原则性协议”。
一些事实:
目前,这只是一个政治公告,而不是一个可以分析的文本。据NOYB所知,可分析的文本还不存在,尚需几个月的时间才能起草。
“原则性协议”可能意味着:律师仍然必须为欧洲法院提出的问题找到解决方案。尽管已进行了两年的讨论,但迄今为止尚未提供全面可行的解决方案。
NOYB所听到的是,美国不打算修改其监控法,而只是行政性的保证(使用“相称性”等欧盟语言)。目前还不清楚这将如何通过欧洲法院的测试,因为欧洲法院已经认定美国的监视不“相称”,此前的协议在这方面遭遇了两次失败。
尽管自隐私盾通过以来,GDPR已经生效,但基于商业数据使用的“隐私盾”似乎没有更新。
任何新协议都不是双边协议,而只是欧盟委员会的行政决定,必须首先由欧洲数据保护委员会(EDPB)审查。只有当具备法律文本时,才能启动此过程。因此,实际的“充分性决定”还需要几个月的时间。
公司只有在协议正式通过后才能使用它,而这需要几个月的时间。
决定可以迅速地在欧洲法院受到质疑。NOYB希望能够在几个月内通过民事诉讼和初步禁令等方式,将任何不符合欧盟法律要求的新协议提交至欧洲法院。如果协议明显违反了之前的判决,欧洲法院甚至可以采取初步行动。
总体而言,一份没有具体文本的政治公告似乎会在目前产生更多的法律不确定性。
声明:
“我们在2015年已经达成了一项没有法律依据的纯粹政治协议。正如你所听到的,我们现在将要第三次玩同样的游戏了。这份协议显然是冯德莱恩想要的象征,但由于美国没有采取适当的措施,还没有得到布鲁塞尔专家的支持。特别令人震惊的是,据称美国是利用对乌克兰的战争问题而推动欧盟了欧盟在这一经济问题上的行动。”
“最终的文本需要更多时间。一旦达成,我们将与我们的美国法律专家共同对其进行深入分析。如果它不符合欧盟法律,我们或其他团体可能会挑战它。最终,欧洲法院将第三次做出裁决。我们预计这将在欧盟委员会最终决定后的几个月内回到法院讨论。”
“令人遗憾的是,欧盟和美国没有利用这种情况达成“禁止间谍活动”的协议,并在志同道合的民主国家中提供基础保障,客户和企业将面临更多年的法律不确定性。”
-Max Schrems,NOYB名誉主席,欧洲法院审理的“Schrems I”和“Schrems II”案件的主要诉讼当事人。
本期编辑:陈瑊 陈煜烺 邱腾岳