打开手机,扫一扫二维码
即可通过手机访问网站
打开微信,扫一扫二维码
订阅我们的微信公众号
作者按:2023年5月12日,爱尔兰数据保护机构数据保护委员会(Data Protection Commission, DPC)对Facebook爱尔兰公司作出处罚决定:1、决定生效后Facebook爱尔兰公司停止向Facebook美国总部传输个人数据;2、从收到处罚决定之日起六个月内停止在美国非法处理包括存储欧洲经济区(EEA)用户的个人数据;3、罚款12亿欧元。该处罚决定于2023年5月22日在欧洲数据保护协调机构欧洲数据保护委员会(EDPB)公布。此处罚决定一出,世界一片哗然。该处罚不但是欧盟国际作出的迄今为止最大金额的处罚决定,还给互联网的互联互通功能大打折扣。纵观处罚决定作出的历史,欧盟立法机构欧洲议会和欧盟理事会和立法起草机构欧盟委员会、欧盟数据保护协调机构欧盟数据委员会(EDPB)、欧盟司法机构欧盟法院(CJEU)、爱尔兰数据保护机构爱尔兰数据保护委员会(DPC)、爱尔兰高等法院和爱尔兰最高法院等众多机构都在各自职权内对个人数据跨境传输表明了态度、提出了建议。可以说,整个处罚的过程是一部欧盟数据出境立法、执法和司法的全面阐释,对欧盟成员国的数据出境的借鉴意义不言而喻,对世界各国包括我国也有启发。于此,笔者以“十年磨一剑——通过Facebook爱尔兰公司被罚12亿欧元看欧盟数据出境现状以及对我国的启发”为系列文章的题目,以期全面向大家展示欧盟对数据出境的立法、执法和司法历史和现状,并结合我国数据出境的规定和执法现状,提出对我国数据出境合规的启发和建议。本篇是该系列文章的第一篇。
欧盟的个人数据保护立法尤其是统一立法可谓走在世界前列,对于个人数据的跨境传输也是如此。从最早的95年个人数据保护指令(“95年指令”,1998年10月25日生效)[1]在第四章规定向欧盟之外第三方国家传输个人数据到《通用数据保护条例》(GDPR)第五章规定数据的跨境传输,都进行了相关规定。与95年指令相比,GDPR在数据跨境传输的条文安排上有较大区别,也多出了“具有约束力的公司规则”(BCR)这一出境路径。但不管怎样,两者的宗旨是一致的,就是要确保第三国对个人数据提供等同于欧盟的足够保护。在认定足够保护的路径上,欧盟对美国传输数据的做法最具代表性。本篇将围绕调查Facebook爱尔兰公司的来龙去脉,概要介绍调查的始末。
一、源起:数据出境安全港(Safe Harbour)规则
95年指令第25条规定,只有在第三国保证对个人数据的充足保护(adequate level of protection)的情况下才能将个人数据向该第三国传输。当评估保护是否充足时,应当结合整体情况,考虑数据的性质、拟开展传输数据的目的及持续时间、数据传输接收国、接收国的法治程度、和接收国的执业规则和安全措施等综合考虑。[2]当然,欧盟委员会也可根据接收国的国内法、作出的国际承诺或者与接收国达成协议认定接收国对个人数据提供了充足保护。[3]另外,如果无法作出上述充足保护的认定,也可以通过合同条款[4]或标准合同条款[5]个案批准等方式出境。
鉴于较高的出境要求以及美国采取分部门立法保护隐私的做法与欧盟不同,为了双方的利益,美国商务部起草“安全港隐私规则”及常见问题问答等文件,与欧盟委员会协商,经协商一致,欧盟委员会于2000年7月26日形成《安全港规则决定》,认定如下事项作出后,欧盟成员国个人数据可以传输至美国:
美国商务部提供:
安全港规则执行概览
个人隐私被侵犯后美国法律明确规定的可获得损失赔偿的备忘录
美国联邦贸易委员会(FTC)致欧盟委员会的信件
美国交通运输部(DOT)致欧盟委员会的信件
具体传输时,数据接收方还应:
明白无误地向公众披露其完全遵守“安全港隐私规则”及常见问题问答的承诺
受美国联邦贸易委员会或交通运输部监管,以至于在违反安全港隐私规则”及常见问题问答时,这两个政府部门之一能够有权调查投诉并作出赔偿决定以此让受影响的个人能够获得救济
数据接收方应当在向美国商务部通知上述两项事项时,自我证明其完全遵守遵守“安全港隐私规则”及常见问题问答,从而证明满足了上述两个条件。自此,欧盟个人数据传输至美国的主要途径就是“安全港规则”。
二、转折:斯诺登事件引起调查连锁反应
1、斯诺登事件引起数据保护独立人士和欧盟委员会关注
2013年6月,爱德华.斯诺登披露了美国国家安全局(NSA)针对大型科技对公司的监视计划,计划包括对微软、苹果、Facebook美国公司等公司的互联网和通信系统的监控或监听。
2013年6月25日,爱尔兰居民施雷姆斯(Schrems)先生向爱尔兰数据保护委员会投诉认为,鉴于斯诺登事件,Facebook爱尔兰公司向Facebook美国公司传输个人数据已经违反欧盟和爱尔兰的数据保护法律。实际上,投诉是对安全港规则的直接挑战。当时的数据保护委员会主席(Commissioner)认为,欧盟委员会已经采取了安全港规则,主席必须接受决定对其有约束力,因此,施雷姆斯的投诉没有法律依据。据此,数据保护委员会主席拒绝启动调查程序。
2013年10月,施雷姆斯向爱尔兰高等法院提起诉讼,要求对爱尔兰数据委员作出的拒绝调查决定进行司法审查[6]。
欧盟委员会对斯诺登事件对欧盟传输数据至美国的影响也表达了担忧,美国政府与欧盟委员会成立临时联合工作组以调查美国国安局监视计划的范围、收集个人数据的规模、对此的司法和行政监督机制以及这些机制能否适用于欧盟自然人等。2013年11月27日,欧盟委员会发布联合工作组的调查报告,指出美国政府承认存在“棱镜计划”并指出“棱镜计划”是经过《美国1978年外国情报监视法案》授权的。具体来说就是,美国会(在特定情况下)向诸如微软、雅虎、谷歌、脸书、PalTalk、美国在线、苹果、Skype和Youtube等互联网服务提供商和提供在线服务的科技公司调取收集电子数据包括电信通信内容数据。报告对美国法律的相关问题提出了如下担忧:
根据美国法律,有好几个法律允许美国情报机构大规模收集和处理传输至美国的和美国公司处理的个人数据;
美国法对欧盟数据主体和美国数据主体的保护有区别,比如美国外国情报监视法院批准的选择和最小化程序旨在减少涉及美国居民个人数据的收集、存储和传播,但并不适用于欧盟居民的个人信息。而美国居民有宪法权利保护,比如第四修正案,很显然,这些无法适用于不住在美国的欧盟居民;
无论是欧盟个人信息主体还是美国个人信息主体,都没有渠道获悉他们的个人数据被收集或被进一步处理,也没有机会接触、修改或删除他们的个人信息。
同日,欧盟委员会就安全港规则向欧洲议会和欧盟理事会提交了沟通书,就安全港规则提出了13项修改建议,这些建议覆盖数据处理的透明化、救济、执法等程序。
2、挑战安全港规则决定
2014年4月29日,施雷姆斯先生的司法审查听证在爱尔兰高等法院进行。2014年6月18日,爱尔兰高等法院判决,认为应当将相关法律问题提交欧盟法院审查,特别是爱尔兰数据保护委员会主席是否绝对受安全港规则决定的约束。
2015年10月6日,欧盟法院作出裁决,认为欧盟委员会的安全港规则决定并不阻止爱尔兰数据保护委员会主席对欧盟-美国数据传输进行调查,因此,爱尔兰数据保护委员会主席应当对施雷姆斯先生的投诉进行调查。同时,欧盟法院也认定安全港规则决定无效。据此,爱尔兰高等法院于2015年10月20日发布撤销拒绝调查令,要求爱尔兰数据保护委员会调查施雷姆斯的投诉。
法院令状发出后,爱尔兰数据保护委员会立即对投诉开展调查,调查围绕下面两个问题:
根据95年指令第25条第2款的充足保护原则,美国是否为欧盟居民的个人数据提供了充足的保护;
如果没有,美国是否能够援引95年指令第26条的一些补救方法获得欧盟居民的个人数据。
2016年5月24日,爱尔兰数据保护委员会主席发布决定草案认为,欧盟居民的个人数据可能被以不符合《欧盟基本权利宪章》的方式被美国官方处理但美国法律却不能提供符合宪章47条规定的法律救济。爱尔兰数据保护委员会主席还初步认为,欧盟委员会起草的2010年标准合同也无法弥补上述缺陷,因为标准合同只赋予个人信息主体针对数据提供方和数据接收方的权利,标准合同对美国官方没有约束力。
3、挑战2010年标准合同条款
由于涉及2010年标准合同条款,爱尔兰数据保护委员会主席提请爱尔兰高等法院就2010年标准合同条款的有效性请求欧盟法院裁决。2018年5月4日,爱尔兰高等法院判决,将2010年标准合同条款的有效性提交欧盟法院初裁。
Facebook爱尔兰公司上诉至爱尔兰最高法院,最高法院于2019年5月31日判决,维持原判。至此,2010年标准合同条款的有效性和其他问题一并提交欧盟法院初裁。欧盟法院于2019年7月9日举行听证,听证的参加主体有:爱尔兰数据保护委员会主席、Facebook爱尔兰公司、施雷姆斯先生、英国软件联盟、美国、爱尔兰、比利时政府、捷克政府、德国政府、法国政府、荷兰政府、奥地利政府、波兰政府、葡萄牙政府、英国政府、欧洲议会、欧盟委员会和欧洲数据保护委员会。
听证后,欧盟法院于2020年7月16日作出裁决,就包括2010年标准合同条款决定有效性等11个问题进行了裁决。裁决认为,根据宪章第7、8和47条,2010年标准合同条款决定有效,但如果数据接收国的法律阻碍数据接收方履行标准合同义务,则数据保护机构可以决定停止该数据传输。[7]
三、落定:调查处罚决定
欧盟委员会上述裁决作出后,爱尔兰数据保护委员会启动了调查并于2020年8月28日向Facebook爱尔兰公司发出初查决定草案,告知Facebook爱尔兰公司爱尔兰数据保护委员会的初步观点。2020年9月10日,Facebook爱尔兰公司向爱尔兰高等法院提出司法审查申请。2021年5月14日,爱尔兰高等法院驳回了Facebook爱尔兰公司的申请。经过几轮辩论之后,爱尔兰数据保护委员会最终于2023年5月12日作出调查处罚决定:
Facebook爱尔兰公司在决定生效后停止向Facebook美国总部传输欧盟自然人的个人数据;[8]
从收到处罚决定之日起六个月内停止在美国非法处理包括存储欧洲经济区(EEA)用户的个人数据;
罚款12亿欧元。
对于该处罚决定,Facebook爱尔兰公司已经于当地时间6月9日向爱尔兰高等法院申请司法审查并申请暂停执行关于停止向美国传输和存储欧盟自然人个人数据的决定。法院接受司法审查的申请,并批准暂停执行关于停止向美国传输和存储欧盟自然人个人数据的决定。
[1]全称是《DIRECTIVE 95/46/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 24 October 1995on the protection of individuals with regard to the processing of personal data and on the free movement of such data》 。
[2]《95年指令》第25条第2款。
[3]《95年指令》第25条第6款。
[4]《95年指令》第26条第2款。
[5]《95年指令》第26条第4款。
[6]类似于我国的行政诉讼。
[7]Case C-311/18 Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems EU:C:2020:559。
[8]由于还涉及欧洲数据保护委员会的相关决定,当事人有权就该决定诉讼。因此,该决定的生效时间也是考虑因素。但由于情况复杂,笔者另文阐述。
