扫码打开虎嗅APP
本文来自微信公众号:中国法律评论(ID:chinalawreview),作者:白一方,原标题:《【重磅】欧盟法院宣布欧美数据传输“隐私盾”无效:详细始末如何?未来何去何从?》,题图来自:视觉中国
7月16日,欧盟法院做出重磅裁决,基于奥地利律师、隐私活动家Max Schrems诉Facebook系列案件,宣布被称为“隐私盾”(Privacy Shield)的欧盟-美国数据传输协议无效。这一裁决引发数据隐私保护领域和数据传输业务的巨大震荡,将导致包括亚马逊、花旗集团、Facebook、谷歌、微软、华为、汇丰、毕马威等在内的5300余家依赖于“隐私盾”协议的公司被迫停止将欧盟境内的个人数据传输至美国,或在美国的服务器上存贮欧盟个人数据。
此次案件并非Max Schrems对抗欧美数据传输体系取得的首次胜利。
欧盟与美国在对待数据隐私保护的问题上一直存在较大的差异。在欧盟,数据隐私保护作为基本人权,被明文规定在《欧洲联盟基本条约》及《欧洲联盟基本权利宪章》当中。
《欧洲联盟基本权利宪章》第八条:个人数据的保护
(1)人人均有权享有个人数据的保护。
(2)该等数据应仅在特定明确目的,且数据所有人同意或其他法律规定的正当依据下,被公正处理。人人均有权获取个人数据,并有权销毁个人数据。
(3)本规则的合规应当通过独立的主管机关进行。
从《1995年个人数据保护指令》(95指令)到《通用数据保护条例》(GDPR),欧盟一直在追求全面性、权威性、专业性、统一性的数据保护法律框架,建立单一数字市场。而美国则尚未制定统一的针对数据保护的专项法律,而采取以行业为划分,联邦层面法律与各州法律相结合的数据保护法律体系,通过多项针对不同行业、来自不同监管者的法律法规,将数据隐私更多作为一项财产性权利进行保护。
虽然在数据隐私保护理念上有所不同,但欧美作为重要的商务合作伙伴,为了促进双方的商务交流及数据流通,早在2000年11月就签订了“安全港协议”(Safe Harbor),为欧美之间的数据传输提供法律依据。
“安全港”协议是一种自律监管体系,规定了个人数据隐私安全的基本准则,公司可以自愿加入及遵守该协议,以满足欧洲数据保护法律的要求。但由于其自愿性质,“安全港”协议存在较大漏洞,包括参与者无需进行年检,且与美国本地案件相比,作为执法机构的联邦交易委员会(FTC)参与度和活跃度都比较低。
随着2013年斯诺登事件爆发,欧盟及其成员国对数据在美国受到的保护程度产生严重担忧。当时仍是奥地利法学院学生的Max Schrems因其在Facebook上的个人数据转移至美国服务器时未受到充分保护,向Facebook欧洲总部所在地爱尔兰的数据保护委员会提起投诉。随后又以爱尔兰数据保护委员会作为被告,将失败的投诉结果上诉至爱尔兰高等法院。爱尔兰高等法院将案件(Schrems I)移交至欧盟法院,欧盟法院调查审理后认为,欧盟委员会在审定通过“安全港协议”时,未能确保美国对欧盟个人数据采取充分保护,且该协议将个人数据隐私保护受制于国家安全、公共利益及执法需求。2015年,欧盟法院最终裁决宣布“安全港”协议无效。
2016年,欧盟委员会与美国再次签订“隐私盾”协议。该协议继承了“安全港”当中的大部分条款,并且在基础上进行了修订。最主要的修订内容包括增强了透明度原则、对欧盟数据主体提供了多重救济措施、对公司的隐私政策规定了更明确的细则及不合规处罚、参与公司的年度审核机制等。最重要的是该协议不仅将范围限制在私人商业主体之间,还首次提出了要求美国政府向欧盟提交书面声明的要求,对行政机构获取个人信息的权利进行限制,对欧美之间以国家安全为目的的信息流通进行了规定。
虽然与“安全港”相比,“隐私盾”协议有所进步,但问题仍然存在。
欧盟数据保护委员会的前身第29条工作小组表达对“隐私盾”协议的担忧,认为该协议没有包含欧盟法律中对数据保护的关键性原则,对持续性的数据传输缺乏保护,对个人的救济手段过于复杂,且未对美国情报机构大规模收集数据进行排除和限制。而在实际操作过程中,也出现了大量公司虚假陈述是否加入“隐私盾”协议、“隐私盾”协议是否失效、或未能严格遵守“隐私盾”协议的不合规情况。
同时,Schrems的诉讼仍在继续。Schrems再次就Facebook将个人数据传输至美国的问题,向爱尔兰数据保护委员会提起投诉,认为这一传输行为违反了《欧洲联盟基本权利宪章》中规定的数据隐私这一基本人权。该案件(Schrems II)最终于2018年4月被移交至欧盟法院。最终,欧盟法院基于以下两点主要理由,判定“隐私盾”协议无效:
首先,法院认为欧盟委员会在审核“隐私盾”协议时,对美国公权力下的政府监控项目(surveillance programs)进行了评估,但这些程序在实际操作中并未局限于欧盟法律规定的严格必要(strictly necessary)及与目的成比例(proportional),因此并不符合《欧洲联盟基本权利宪章》第52条的规定。其次,法院判定,针对美国的监控,欧盟数据主体缺乏可行的司法赔偿手段,因此,在美国并不存在有效的《欧洲联盟基本权利宪章》第47条的救济。
第52条:受保护权利的范围
(1)对本宪章所承认的权利与自由的行使限制,应由法律规定,并尊重该权利与自由的本质。依据比例原则,此等限制仅在具有必要性,且确实符合欧盟成人的一般权利目的或保护他人自由权利的必要性时,方可进行。
(2)基于欧洲共同体条约或欧盟条约为被本宪章确认的权利,应依欧洲共同体条约及欧盟条约规定的条件与范围行使。
(3)就本宪章所保障而相应收到《欧洲保护人权与基本权利公约》保障的权利,与权利的意义和范围应当与该公约规定相符。本条规定不仅指欧盟法律制定更广泛的保护。
第47条:得到有效法律救济,以及公平法院之权利
(1)任何人受本宪章保障的权利若受侵害,皆有权利依本条所定的条件,向法院寻求有效的法律救济。
(2)每个人都有权要求他所涉及的案件,由一个独立的、不偏袒的、且依事先订立之法律组成的法院来审理,并且必须通过公平的程序,公开而且在适当期间内审理完成。每个人都可以受咨询、进行防御、任用辩护人。
(3)资源不足的被告,应依其申请给予诉讼援助,当这是为了保障其有效使用法院所必要时。
在判决中,法院最关心的核心问题是关于美国公权力下的政府监控制度和项目。这一点主要基于美国《外国情报监控法》(Foreign Intelligence Surveillance Act, FISA)的第七章第702条(Section 702)。
该法案1978年生效,本意是为了简化美国情报机构在美国境内收集外国情报数据信息的电子监控标准及程序,授权政府的数据监控行为,但要求需经过法院允许。但2008年该法案新增第702条修正案,允许美国情报机构基于该条款,无需经过法院发布搜查令,即可出于收集外国情报目的,向美国企业收集、查阅外国人用户的电子通讯信息;而若被监控的外国对象涉及与美国人的交流信息时,则美国人也会被纳入监控范围。而提供信息的企业无需对受影响的用户进行通知。特朗普政府将本应在2018年到期的本条修正案延期至2023年12月。除此之外,1981年签署的美国第12333号行政令(E.O. 12333)对不在FISA范围内的其他活动进行规定,授权国家情报机关在美国域外对外国情报进行监控。
这两项法案的规定,成为欧盟法院撤销“隐私盾”协议的主要依据。由于“隐私盾”协议中缺乏对类似情况的特殊规定,因此美国企业即使加入“隐私盾”,也无法摆脱这两项法律的控制。例如斯诺登事件中,Facebook有义务向美国联邦调查局(FBI)、美国国家安全局(NSA)等政府情报机构提供用户数据,而用户对此没有救济手段。法院认为美国法律这样的大规模授权政府机构收集和处理个人信息,尤其是外国个人信息的法律现状,不足以使“监控”行为限制在“必要”和“成比例”的范围内,导致欧盟居民无法在美国得到与在欧盟境内同等的数据隐私权利保护,违反了《欧洲联盟基本权利宪章》中规定的基本人权。
同时需要注意的是,除上述两种已经无效的协议之外,欧美间的数据传输也并非完全无法进行。另外两种最常见的架构是标准合同条款(Standard Contractual Clause,SCC)以及有约束力的公司规则(Binding Corporate Rules, BCRs)。两者均为公司可以自主选择加入的自律性体系,前者是欧盟委员会根据GDPR前身95指令通过的四个版本的标准合同,分别适用于数据控制者、处理者,将欧盟个人数据隐私保护的规定融入合同当中,一旦公司选择签署和加入该合同,则负有合同法上的义务向数据对象提供保护;后者在GDPR中明确提出,是针对大型跨国企业在企业内部的信息跨境流通规则,也包含和体现了高标准的欧盟个人信息保护要求。
而在此次Schrems II案件中,除了“隐私盾”协议及美国监视项目之外,还有一个关键议题即是关于标准合同条款:在“隐私盾”无效的情况下,标准合同条款是否仍然是欧美间信息传输的法律依据?在《欧洲联盟基本权利宪章》的框架下,Facebook采取的标准合同条款是否仍然有效?
判决中,欧盟法院确定了标准合同条款的有效性,但同时提出,公司应当基于个案,对数据传输行为进行一对一验证审核,以确保数据进口国(Importer,即欧盟数据传输的目的地国)的法律能够对欧盟个人数据提供充分的保护水平。如果发现数据进口国法律存在瑕疵,无法提供充分保护,则公司必须提供额外的安全措施,或者禁止数据传输。法院还在判决中对欧盟境内各成员国的数据保护机构提出同样要求,赋予其在无法充分保护的个案审核中禁止数据进行跨境传输。
但这一点实际在未来的实际操作中将成为一个难点。因为欧盟法院此次评估美国政府获取数据的行为缺乏充分保护,那么同样的考虑是否应当适用于某个具体数据传输行为的语境下,以及是否可以真正的被“额外安全措施”所救济,这些安全措施和救济应该达到何种标准,法院判断“充分保护”的标准线到底划在何种程度,都尚未完全明确。
在欧盟法院的判决公布之后,美国商务部迅速发表声明,表示对该判决“非常失望”,但同时也表示美国“一直且将继续就此事保持与欧盟委员会和欧洲数据保护委员会的密切接触,以期能够将对美国公民、公司及政府都极其重要的、高达7.1万亿美元的(跨大西洋)经济关系的负面影响降至最低”。
目前,欧盟数据保护委员会、法国数据保护机构CNIL等机构都表示正在进行相关研究,未来短期内将会发表关于这一决定的分析和具体执行方案。
梳理Schrems系列案件的来龙去脉,结合多名欧美隐私专家、参与了Schrems II案件的爱尔兰数据保护委员会专员Helen Dixon女士、以及发起案件的Max Schrems先生在针对此事件的隐私安全专家研讨会上的观点,笔者认为有以下几点非常值得深入探讨:
首先,虽然欧盟法院此次的判决结果被西方各大媒体及隐私法律专家评价为“出人意料”。但也体现出自斯诺登实践以来,欧洲对美国数据隐私安全的极大不信任。尤其是针对美国强势的政府监控政策,欧盟始终存在比较强烈的排斥和不安。
虽然美国法律体系对于数据隐私安全有一定程度的保护,但保护的范围更多是基于私人领域,是针对商业性主体对个人数据隐私安全比较重视的。相反的,在公权力介入的领域,美国法律的立场就相对比较温和。
一方面,《金融隐私权法》《银行保密法》《电子交流隐私法》《美国自由法案》《隐私保护法》等多项法律,都对政府部门获取和查阅个人信息进行限制,要求政府从金融机构、媒体等获取个人信息需要有合理依据,并取得法院的搜查令,同时还禁止大规模收集信息(BulkCollection);另一方面,《通信协助执法法》《外国情报监控法》《爱国者法案》《网络安全信息分享法》等法律中则对政府部门获取、收集和处理个人信息进行了特别授权,尤其是在反恐、反洗钱、国家安全情报、公共安全等方面,不同程度的允许政府部门的介入。
而欧盟通过多个成员国之间多年的沟通和磨合,已经逐步建立起对个人数据隐私的非常高水平、严要求的保护,除了个别极特殊的情况外,即使对政府部门也采取了和私人机构非常类似的监督机制,不把政府部门的公权力凌驾于个人隐私保护之上。这一点与美国产生了较大的分歧,也是欧盟经历多轮尝试,仍然迟迟无法与美国达成有效协议的重要原因。
尤其是在现阶段的特殊时期,全球进入COVID-19疫情,世界各国出于控制疫情的考虑,不同程度的加强了政府部门对于包括密切接触信息、旅行信息、位置信息等个人信息的掌控;同时在美国黑人平权运动的浪潮下,美国各级政府也不得不出于公共安全、社会稳定的考虑,进一步加强对于人面识别等敏感生物信息收集和应用技术的使用。笔者合理推测,这一点又进一步加剧了欧盟的忧虑,最终导致判决“隐私盾”协议无效。
其次,“隐私盾”协议的无效对欧美间经济将产生较大影响。虽然此次判决被《华尔街日报》等媒体评论为“保护隐私活动人士的一次胜利”,但这也势必会对欧美间的经济和信息交流造成一定阻碍。
早在“安全港”协议宣布无效时,欧盟委员会的多项研究结果就表明,欧美间数据流通受阻将会造成欧盟的整体国民生产总值下降0.8到1.3个百分点;美国商务部也多次表示数据协议的无效将会给欧美间的数字经济增长带来不利影响。两项协议均宣布无效的情况下,目前留给欧美间的数据流通工具已经仅剩“标准合同条款”和“有约束力的公司规则”两种,且对于这两种工具的具体规则,也因为此次判决而产生了较大的不确定性,需要经过数据保护机构的个案审查通过。
在全球化水平更高的今天,“隐私盾”协议的无效对于经济增长和欧美经贸往来、数字经济发展来说无疑也并非利好消息。具体的影响体量将有多大,还需要通过时间加以验证。
此次判决受到影响的公司数量巨大,也包括多家头部科技企业和金融集团。今后将如何展开跨境业务,成为亟需解决的问题,对各大公司的业务部门、技术部分、法务部门、合规部门都形成了较大挑战。
再次,此次对欧美隐私盾的无效,并非欧盟加大对数据跨境传输审查力度的终点,美国也并非唯一针对的目标。
在目前的GDPR的框架下,欧盟个人数据的跨境传输需要至少满足三项条件之一:
(1)个人数据进口国对个人数据提供充分级别的保护(Adequate level of protection),该国家名单每四年接受欧盟委员会的审核,审核内容包括进口国国内的个人数据保护的立法、人权的保护情况、对数据对象是否存在有效的行政及司法救济方式、是否有独立的数据监督及保护机构、参与国际数据安全事务的活跃度等。目前在白名单上的国家有安道尔、阿根廷、乌拉圭、以色列、日本、新西兰、瑞士等11个国家或地区,以及美国(仅限“隐私盾”体系)和加拿大(仅限商业组织);
(2)数据控制者或处理者对数据对象的权利保护及有效的法律救济提供适当的保护措施;
(3)数据传输符合例外的特殊情况,例如数据对象的明确同意、数据传输对于建立法律诉求具有必要性、数据传输对于落实数据对象与数据控制者之间的合同具有必要性、数据传输对于保护数据对象或第三人的重大利益具有必要性等。
美国的“安全港”及“隐私盾”协议正式基于第一项条件下的“充分级别保护”做出的,认为虽然美国整体并未达到“充分保护级别”,但公司一旦加入协议,就达到了保护等级要求。但显然,目前这样的结论已经被推翻了。但这不仅仅是欧美之间的问题,对任何一个欧盟跨境信息流通的数据进口国都会造成深远的影响。
我们从本案中可以明确感受到欧盟在建立强有力的个人数据隐私安全保护体系上的决心和魄力,隐私安全协议不再只是纸上谈兵,只要签订了“协议”就可以一劳永逸,还会受到欧盟居民的不断挑战和欧盟机构的持续性审查。而对于任何一个与欧盟有密切贸易往来,需要从欧盟转移和分享数据的国家,尤其是不具备白名单资格的广大贸易伙伴国家来说,如何满足欧盟《欧洲联盟基本权利宪章》、GDPR及数据隐私安全法体系内的“充分保护”等级,如何判断哪些保护措施属于“有效救济”,如何平衡国内立法和欧盟法之间的关系,如何在满足欧盟要求的前提下,保障本国的国家安全、公共利益、执法需求,这些问题将成为各国都需要考虑的问题。
从具体合规的角度,在当前情况下,受影响的企业首先应当考虑是否可以使用替代“隐私盾”协议的其他工具,包括标准合同条款、有约束力的公司规则、用户同意、数据本地化,或是否符合GDPR第49条项下的其他特殊情况;同时也应注意到在“隐私盾”协议中承诺的保护措施在美国FTC体系下仍然保持可以执行。
最后,欧盟法院对此次案件的审判结果,与其说是法律的判断,不如说是针对数据隐私的基本理念不同,是欧美间国政治、外交、国力、政策的多方角逐。此次判决着重强调了政府机构获取和处理个人数据的问题,这一点除了在法律上有探讨的空间外,更多的涉及到不同国家间对于公权力范围的界定。
诚如取得二次胜利的Max Schrem在7月17日举办的在线隐私安全专家研讨会上针对FISA第702条所表达的犀利观点:“解决这一问题的核心,应当是在数据隐私问题上,美国不要把外国人作为区别于美国公民的群体进行区别对待,而应当在至少保证与美国公民进行同等保护的基础上,再谈是否满足欧盟法的保护。”这一问题,这实际上是触及了不同政治体系下的核心权力理念,同时也是不同国家间的一次外交博弈。欧美双方后续将对此做出何种应对措施,是否还会建立起全新的双边协议,拭目以待。
参考文件
欧盟法院就本案的判决:The Court of Justice invalidates Decision 2016/1250 on the adequacy of the protection provided by the EU-US Data Protection Shield https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091en.pdf
Caitlin Fennessy, The 'Schrems II' decision: EU-US data transfers in question https://iapp.org/news/a/the-schrems-ii-decision-eu-us-data-transfers-in-question/?mkt_tok=eyJpIjoiTkdSalpXUXhZbVl4TXpNeSIsInQiOiJYSG5qaXhhOG5VUldLQUxDMVZiVVRWWFF5eFFqdXBobjFaWFFRTzhcLzZQOE51YmhlSDVwTmZSVjMyQUFNd29BN1Vsa1dBT2tZdDRaTGgrVlwvdWNISW9oOTNRQVpsNVBUS0pFY0JnYjlJaTZSRGs4TzJ1NnlDMHR3TjZYUUpQNVJOIn0%3D
Electronic Privacy Information Center https://epic.org/privacy/intl/dpc-v-facebook/cjeu/ https://epic.org/privacy/intl/schrems/
美国商务部:U.S. Secretary of Commerce Wilbur Ross Statement on Schrems II Ruling and the Importance of EU-U.S. Data Flows https://www.commerce.gov/news/press-releases/2020/07/us-secretary-commerce-wilbur-ross-statement-schrems-ii-ruling-and
路透社:EU top court to rule in landmark Facebook, Schrems privacy case https://www.reuters.com/article/us-facebook-privacy-eu/eu-top-court-to-rule-in-landmark-facebook-schrems-privacy-case-idUSKCN24E1NM
CNIL:Invalidation of the "Privacy shield": the CNIL and its counterparts are currently analysing its consequences https://www.cnil.fr/en/invalidation-privacy-shield-cnil-and-its-counterparts-are-currently-analysing-its-consequences
华尔街日报:EU’s Top Court Restricts Personal-Data Transfers to U.S., Citing Surveillance Concerns https://www.wsj.com/articles/eus-top-court-restricts-personal-data-transfers-to-u-s-citing-surveillance-concerns-11594888385?mod=searchresults&page=1&pos=4
欧盟数据保护委员会:Statement on the Court of Justice of the European Union Judgment in Case C-311/18 - Data Protection Commissioner v Facebook Ireland and Maximillian Schrems https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_hu
本文来自微信公众号:中国法律评论(ID:chinalawreview),作者:白一方