打开手机,扫一扫二维码
即可通过手机访问网站
打开微信,扫一扫二维码
订阅我们的微信公众号
2023年5月12日,爱尔兰数据保护机构数据保护委员会(Data Protection Commission, DPC)对Facebook爱尔兰公司作出处罚决定:1、决定生效后Facebook爱尔兰公司停止向Facebook美国总部传输个人数据;2、从收到处罚决定之日起六个月内停止在美国非法处理包括存储欧洲经济区(EEA)用户的个人数据;3、罚款12亿欧元。该处罚决定于2023年5月22日在欧洲数据保护协调机构欧洲数据保护委员会(EDPB)公布。此处罚决定一出,世界一片哗然。该处罚不但是欧盟国际作出的迄今为止最大金额的处罚决定,还给互联网的互联互通功能大打折扣。纵观处罚决定作出的历史,欧盟立法机构欧洲议会和欧盟理事会和立法起草机构欧盟委员会、欧盟数据保护协调机构欧盟数据委员会(EDPB)、欧盟司法机构欧盟法院(CJEU)、爱尔兰数据保护机构爱尔兰数据保护委员会(DPC)、爱尔兰高等法院和爱尔兰最高法院等众多机构都在各自职权内对个人数据跨境传输表明了态度、提出了建议。可以说,整个处罚的过程是一部欧盟数据出境立法、执法和司法的全面阐释,对欧盟成员国的数据出境的借鉴意义不言而喻,对世界各国包括我国也有启发。于此,笔者以“十年磨一剑——通过Facebook爱尔兰公司被罚12亿欧元看欧盟数据出境现状以及对我国的启发”为系列文章的题目,以期全面向大家展示欧盟对数据出境的立法、执法和司法历史和现状,并结合我国数据出境的规定和执法现状,提出对我国数据出境合规的启发和建议。本篇是该系列文章的第二篇。
无论是《95年指令》还是GDPR,欧盟规定的欧盟个人数据出境到欧盟之外的第三国的判断标准就是第三国是否对出境到该国的数据提供充足的保护(adequate level of protection),当评估保护是否充足时,《95年指令》规定应当结合整体情况,考虑数据的性质、拟开展传输数据的目的及持续时间、数据传输接收国、接收国的法治程度、和接收国的执业规则和安全措施等综合考虑。[1]当然,欧盟委员会也可根据接收国的国内法、作出的国际承诺认定接收国对个人数据提供了充足保护。[2]GDPR则规定应当结合法治、对人权和基本自由的尊重和相关立法,是否有独立的数据监管机构并有效履职,是否作出相关国际承诺或参加旨在保护个人数据的多边或地区组织等等。[3]一旦第三国被认定为提供充足保护,则欧盟数据出境至该第三国不需要任何其他要求直接出境。尽管如此,如何认定提供充足保护的操作规则仍然不够具体。美国对欧盟个人数据出境到美国而与欧盟达成的协议能够看出欧盟如何具体评价第三国能否对欧盟个人数据提供充足保护。
一、欧盟数据保护委员会(EU Data Protection Commissioner)[4]工作组建议充足保护的实体原则和程序规则
欧盟数据保护委员会1998年通过工作组文件的形式建议如下实体原则来确定第三国是否提供充足保护:
1) 目的限制原则:目的特定且使用和在传输需要与该目的相符
2) 数据质量和最小必要原则:数据必须准确和尽量最新;处理的数据不超过目的之所需
3) 透明原则:个人信息主体应能获得数据处理目的、第三国数据控制者的身份和其他保证公正的信息
4) 安全原则:数据控制者应当采取与处理带来的风险相适应的技术和组织安全措施
5) 接触权、修改权和反对权:数据主体有权获取其被处理的个人数据副本;如发现不准确,有权向数据控制者提出修改;在某些情况下,还有权反对对其个人数据的处理
6) 进一步传输限制原则:第三国数据接收方只有在再接收方提供充足保护情况下才能进一步传输
欧盟数据保护委员会进一步指出,在欧洲如上原则体现在法律中且有独立的数据保护机构,这是数据保护合规体系的体现。在此基础上,欧盟数据保护委员会提出,一项有效的数据合规体系应当有三层含义:
1) 合规水平高:具体体现在数据控制者清楚知道自己的义务,数据主体清楚自己的权利并指导维护权利的方法,和有效且具有威慑力的处罚措施
2) 为数据主体维护权利提供支持和帮助:具体表现在有独立调查制度以确保个人能够快速有效维权
3) 为被侵权方提供适当救济:具体表现在有独立的司法或仲裁制度以确保受害方获得足够赔偿[5]
至此,欧盟数据保护委员会进一步明确了判断“充足保护”的实体原则和程序规则。
二、欧盟委员会《安全港规则决定》有条件地认定美国能够提供充足保护
为了适应欧盟对数据出境充足保护的要求,美国与欧盟积极协商,最终促成了欧盟于2000年7月16日通过了《安全港规则决定》。[6]
根据《安全刚规则决定》,欧盟认为,美国商务部提交的“安全港隐私原则”如果能够按照其提交的“常见问题”提出的操作指引执行,就认为美国提供了充足保护。当然,美国商务部还同时向欧盟提交了美国关于隐私保护的执法综述、美国法律对侵犯隐私的赔偿备忘录、联邦贸易委员会关于其隐私执法的权利的函件和美国交通部关于其隐私执法权利的函件。在充分了解美国隐私执法和救济的前提下,欧盟委员会才做出如上决定。需要说明的是:第一,《安全港规则决定》只能适用于属于联邦贸易委员会和美国交通部执法对象的美国数据接收方;第二,如果情况发生变化,欧盟各成员国的数据保护机构随时可以中止数据传输。
1、“安全港隐私原则”概要
“安全港隐私原则”包含七大原则,分别解释如下:
1) 告知
(数据控制者)应当告知数据主体收集使用个人数据的目的、其联系方式、向其披露个人数据的第三方类型、数据处理者提供的限制个人数据使用与披露的方法。应当在首次收集数据时就告知个人数据主体。
2) 选择权
(数据控制者)必须向数据主体提供机会以便其可以选择不同意将其个人数据传输给第三方。对于敏感个人数据,此种选择权应当是以数据主体主动选择同意的形式给出。
3) 再传输
接收方再将个人数据传输给他人,适用上述通知和选择权的规定。
4) 安全
必须采取合理措施保证数据不丢失、不被不当使用、不当接触、不当披露、不当修改和不当删除。
5) 数据完整性
(数据控制者)应当采取合理措施宝恒其处理的个人数据准确、完整和最新。
6) 接触权
数据主体必须能够接触其个人数据,对于不准确的数据其有权纠正、完善或删除。
7) 执法
隐私保护机制完善,有现成的成本可控的救济机制以便对数据主体投诉和争议及时调查、处理且有法律明确规定赔偿,持续的监控机制确保(数据控制者)自己宣称的隐私政策真实并有效执行,和违法纠正机制以便(数据控制者)及时纠正违法行为并承担相应法律后果。惩罚力度应当足以保证(数据控制者)遵循“安全港隐私原则”。
2、“常见问题问答”概要
“常见问题问答”中列举了15个常见问题的问答,下文简明列举几个问答:
1) 美国数据接收方如何配合欧盟数据保护机构履行承诺:配合欧盟数据保护机构按照安全港规则调查和处理,配合落实欧盟数据保护机构的整改建议。
2) 美国数据接收方自证遵守“安全港原则”:美国数据接收方应当向美国司法部自证其遵守“安全港规则”,自证时需要提交接收方的主体信息、对接收到的欧盟个人数据的处理活动的描述、其对这些个人数据的隐私政策、[7]
3) 美国数据接收方如何提供后续程序以便核实其隐私政策的真实性和有效性:可以通过自评估或外部合规审查。自评估时,美国数据接收方必须表明其告知数据主体内部处理投诉的制度安排、表明其已经有制度培训员工遵守“安全港规则”并对不遵守员工进行惩罚、表明有定期对上述制度的执行情况进行审查的程序。自评估声明需要每年进行一次并由公司授权代表签名。美国数据接收方需要保存执行“安全港规则”的记录。外部审查时,要求与自评估相同,外部审查的方式包括审计、随机审查和技术工具等。
4) “安全港规则”适用于因雇佣关系而收集的数据吗:位于欧盟的公司向美国母公司、关联公司或者无关联的服务提供者传输员工的个人数据适用“安全港规则”。基于总体雇用数据或适用匿名化的数据不会触发隐私保护问题。另外,(数据控制者)应当对员工的个人数据保护采取合理措施,比如限制访问、对某些数据进行匿名化处理或者不需要员工的真实姓名时给每个员工分派一个代码或者假名。
总体来讲,“安全港规则”确定了认定提供充足保护的考虑因素,包括:是否保障个人数据主体的权利,是否提供了保护数据的技术和管理措施,是否提供了有效的救济机制,违反义务后有无独立的调查、处理和惩罚机制,违反义务后个人数据主体能否得到应有赔偿。
自此,欧盟向美国传输个人数据一般都通过“安全港规则”路径。
三、《安全港规则决定》被欧盟法院宣告无效
斯诺登事件后,施雷姆斯要求对Facebook爱尔兰公司调查的投诉涉及相关法律问题被爱尔兰高等法院提交欧盟法院初裁。
2015年10月6日,欧盟法院在对数据保护机构在“安全港规则”有效的情况下是否有权启动对相关数据出具的调查作出初裁的同时还对《安全港规则决定》的有效性进行裁决。欧盟法院认为,“充足”与欧盟《95年指令》保护水平相当。尽管接收国的数据保护措施可能不同,但这些措施必须实际上与欧盟保护措施起到相当的保护效果。进而欧盟法院在审查“安全港规则”相关条款时认为:第一,在《安全港规则决定》下,美国官方机构不需要遵守这些规则;第二,《安全港规则决定》未包含美国采取的提供充足保护的具体措施;第三,根据《安全港规则决定》附件1第4段,美国数据接收方可以公共利益为由不遵守“安全港规则”;第四,《安全港规则决定》承认了美国的国家安全、公共利益或执法要求优于“安全港规则”;第五,《安全港规则决定》中没有提到任何限制美国以国家安全、公共利益或执法要求为由干涉基本人权的事实,也未提到该理由被滥用时的法律积极措施。因此,《安全港规则决定》第1条无效。而《安全港规则决定》第3条则超过了欧盟委员会的授权权限,因此也无效。综上,整个《安全港规则决定》无效。
四、欧盟委员会批准“隐私盾”向美国传输欧盟个人数据
《安全港规则决定》被判定无效后,欧盟与美国加紧了原本就已经开始的“充足性决定”谈判,美国商务部提出隐私盾原则并作出各项承诺后,欧盟委员会认为,这些原则加上承诺,可以认为美国政府提供了充足保护,于2016年7月12日批准执行“隐私盾计划”,作为欧盟个人数据传输至美国的法律基础。隐私盾原则运行规则是,美国数据接收者向美国商务部自愿自我认证申报,承诺其遵守隐私盾原则。
与安全港原则相比,隐私盾中原则基本框架基本一致,但多了如下主要内容:
强化隐私保护
美国数据处理者告知个人主体更多的信息,包括参与隐私盾计划的声明、个人接触其个人数据的权利和独立的争议解决主体
美国数据接收者确保再接收者遵守隐私盾规则,并提供同隐私盾同等的保护
向数据主体提供独立的和免费的争议解决机制
公布向联邦通信委员会提交的与隐私盾相关的合规评估报告
商务部管理和监督隐私盾计划的执行
商务部向公众公布加入隐私盾计划的数据接收者名单并实时更新
把不遵守隐私盾原则的接收者从名单中删除
在商务部网站上增加联邦通信委员会网站上隐私盾执法的案例
核实数据接收者是否满足自我认证要求
调查处理虚假申报
依职权定期开展隐私盾计划合规审查和评估
强化与欧盟数据保护机构的合作
选择仲裁程序并与欧盟委员会协商选定仲裁员
五、结语
无论是安全港规则还是隐私盾规则,核心都在于保障个人数据主体的权利。在两种“充足保护”规则下,以美国商务部为牵头部门的美国政府相关部门按照欧盟数据保护规则制定出接收欧盟个人数据的数据处理规则向欧盟委员会提交,并单方承诺严格执行这些规则以及确保这些得以执行的机制。可以说,这是保证数据跨境传输安全的一种方法,但这种方法的基础是数据接收国(地区)向数据发送国(地区)所作的单边承诺,推行起来有难度,很难成为数据跨境传输的常态机制。
注释:
[1] 《95年指令》第25条第2款。
[2] 《95年指令》第25条第6款。
[3] GDPR第45条第2款。
[4] 现在是European Data Protection Board,也可以翻译成欧洲数据保护委员会
[5] WP 12: Transfers of personal data to third countries: applying Articles 25 and 26 of the EU data protection Directive, adopted by the Working Party on 24 July 1998。
[6] 全称是《COMMISSION DECISION of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the US Department of Commerce》
[7] 具体包括:公众获取隐私政策的途径、隐私政策的生效日期、处理投诉、接触要求和其他问题的联系部门、其隐私政策的监管主体、其参与的任何隐私计划的名称、核实其隐私政策的真实性和有效性的方法。
