英国退欧后与欧盟之间的跨境数据流动将何去何从？

编译|黄潇怡 信通院互联网法律研究中心研究员

编译|王漪清 信通院互联网法律研究中心实习生

3月29日，欧洲改革中心发表文章《英国脱欧后的跨境数据流动方式尚未确定》（Post-Brexit Data Transfers are Not A Done Deal），文章对欧盟与英国之间的跨境数据流动协议进行了分析，指出了双方的分歧和各自的顾虑。文章认为，数据跨境流动对于贸易和安全合作都是必不可少的，欧盟和英国不应让细微的差异掩盖双方存在更多共同点的事实。

【关键词】跨境数据流动、个人数据、数据保留

一、相关背景

2020年12月24日，英国与欧盟正式达成脱欧后贸易协议，英国将面临与美国非常相似的问题，即与欧盟之间的数据流动关系将是复杂的，因此欧美数据跨境流动方式对于英国而言是具有指导意义的案例。

欧盟早在1995年的《数据保护指令》（Data Protection Directive）中就明确了，只有当数据转移目的国达到欧盟所认可的充分保护水平的条件下，才可进行数据转移。欧盟认为美国无法达到“充分保护”水平，于是在2000年7月与美国签订了“欧盟-美国安全港协议（EU-US Safe Harbour agreement）”，以确保美国公司遵守欧盟规则。2013 年，奥地利律师 Max Schrems因Facebook根据安全港协议将欧洲公民的数据传输到其加州总部，而向爱尔兰数据保护机构提起诉讼，称欧盟无法保证当公民的数据被转移到美国时其隐私受到尊重，因为美国的监管法律要求私人公司将数据交给政府。该案最终提交欧洲法院（ECJ），该法院在2015年最终否决了安全港协议。2016年，欧盟以“隐私盾（Privacy Shield）”协议取代了安全港协议，协议规定“用于商业目的的个人数据从欧洲传输到美国后，享有与在欧盟境内同样的数据保护标准”。在Schrems提起另一起案件的诉讼（即Schrems II案）之后，欧盟法院又于2020年7月16日裁决欧美之间的“隐私盾协议”无效。

新裁决虽否决了“隐私盾协议”，但也确认了“标准合同条款”（SCC）数据跨境流动方式的有效性。SCC是由欧盟委员会通过的，企业与企业之间将欧盟公民个人数据跨境传输到欧盟境外所采用的合同模板。根据所谓的“标准合同条款”，欧盟公民的个人数据在数据主体同意或履行合同需要传输的情况下，仍然可以被输往美国和其他国家。同时强调，如果发现合约条款在数据接收国无法或实际上不能得到保障，欧盟的数据保护机构有义务终止或禁止数据传输。2020年11月12日，欧盟委员会发布了《第2016/679号条例（GDPR）下将个人数据传输至第三国的标准合同条款的实施决定（草案）》，并以附录形式发布了新版数据跨境传输标准合同条款的草案（“新版SCC”）。上述两份文件虽尚未正式通过生效，但仍反映了欧盟委员会在Schrems II一案后对于利用标准合同条款进行数据跨境流动的态度和指导意见。

二、欧盟和英国关于“充分保护”的各自态度和相关考虑

欧盟法院裁决“隐私盾协议”无效的做法凸显了欧盟对于跨境数据流动的严格管制；而英国已经表示，与欧盟相比，其不打算对跨境数据流动采取过于防御的态度。这将成为欧盟与英国之间的跨境数据流动协议达成的障碍。

（一）欧盟方面的态度和相关考虑

首先，欧盟委员会是否能将英国认定为具有“充分保护”的国家有待进一步观察。2016年，欧洲法院判定《英国2014年数据保留和调查权力法》（Britain’s 2014 Data Retention and Investigatory Powers Act，以下简称《数据保留法》）违反了欧盟法律，因为它允许执法当局普遍和不加任何区分地保留公民数据。在2017年的另一起案件中，欧洲法院裁定，英国政府在收集数据时应更加谨慎，因为其未能证明为什么一些调查需要保留大量数据。由此可见，英国是否能满足欧盟的“充分保护”条件可能会面临诸多挑战。

其次，欧盟委员会的“充分保护”决定并非最终决定，还需征求欧洲数据保护委员会（EDPB）的意见。EDPB需成立一个由27个成员国代表组成的委员会，就欧盟委员会的决定发表意见。虽然EDPB的意见不具有约束力，但它代表了成员国数据保护当局的态度。即便欧盟委员会通过了英国“充分保护”的决定，如果EDPB对获得通过的决定以及对英国隐私规则的适用方式有顾虑，欧洲议会（European Parliament）和部长理事会（Council of Ministers）可以随时要求欧盟委员会撤销决定。欧盟委员会官员非常清楚，英国的“充分保护”决定可能面临类似Schrems事件的法律挑战。

另外，SCC也很脆弱，欧盟和英国之间使用SCC进行数据跨境流动的方式很可能被终止。一方面，英国公司（尤其是英国的电信运营商）受《数据保留法》违反欧盟法律影响，被投诉、调查和暂停业务。另一方面，欧盟已经开始怀疑英国将背弃先前的承诺，为其公司争取竞争优势。因美国在当前的贸易谈判中大力推动不受限制的数据流动，如果英国在未来的贸易协议中大幅放开与美国的数据流动，可能会削弱英国的数据保护水平，导致SCC被终止。

（二）英国方面的态度和相关考虑

首先，英国不打算对跨境数据流动采取过于防御的态度。在与日本的贸易协定中，英国接受了“防止不合理的数据本地化措施和防止不合理的限制两国之间数据自由流动”的条款，这与欧盟与日本的贸易协定形成鲜明对比。英国还打算加入全面与进步跨太平洋伙伴关系协定(CPTPP，11个太平洋国家之间的贸易和投资协定)，在数据跨境流动方面作出自由流动承诺。

其次，英国政府希望获得欧盟的“充分保护”认定。英国不希望对数据跨境流动过于防御，并不意味着英国不愿遵守欧盟的数据保护相关法律。日本和新西兰都是CPTPP的成员，仍获得了欧盟的“充分保护”认定并从中受益。欧盟早期对CPTPP的数据条款和日本的数据跨境流动政策也存在担忧和怀疑，但CPTPP将GDPR涵盖在豁免范围内，即CPTPP允许服务于合法公共政策目标的数据流动限制。英国政府希望能够保留与欧盟的充分性决定，同时对其贸易协定中的数据采取更具前瞻性的方法，这从技术上讲是可行的。

另外，英国官员和企业对于迟迟不能获得欧盟“充分保护”决定的结果不满，可能会引发冲突和政治动荡。英国获得“充分保护”决定的持续时间取决于欧盟各成员国的看法，但随着英国的国家安全和监视行为受到欧盟审查，欧洲议会议员越来越担心与英国进行数据跨境流动将削弱欧盟未来的数据保护水平。

三、欧盟和英国的共识大于分歧

文章认为，欧盟与日本、美国以及现在的英国等其他国家的主要区别在于：欧盟假定其他国家的数据保护制度不充分，除非证明事实并非如此；而其他国家的举证责任则相反。欧盟委员会希望设定全球数据标准、保护其公民的隐私，但欧盟不能只是防御性地处理跨境数据流动的问题。疫情改变了人们使用和理解数据的方式，疫情爆发后，开源数据的实时共享帮助科学家快速开发新冠肺炎疫苗，这促进了数据的进一步开放共享。2021年上半年欧盟公布了“疫苗护照（vaccine passport）”计划，允许接种疫苗的新冠肺炎阴性者在欧盟各地旅行，这意味着欧盟公民的健康数据将更加公开，共享如此敏感的数据在此之前是不可能的。

尽管欧盟和英国在隐私和数据流动问题上的概念框架略有不同，但在实践中的立场是相似的。只是由于英国在退欧问题上的态度，以及欧盟威胁限制向英国出口疫苗，导致欧盟和英国之间缺乏信任，英国的任何行动都可能被欧盟视为咄咄逼人的行为，并成为撤销充分性决定的借口。

文章认为，欧盟试图建立全球数据保护规范和保护其公民隐私的真正威胁不是英国，甚至不是美国，而是“数字专制”的中国。欧盟应优先与英国、美国和其他志同道合的国家达成共识（如，可以考虑开放欧盟-美国贸易和技术理事会(EU-US Trade and Technology Council)的成员资格）。如果欧盟法律继续使非欧盟企业和执法机构难以与欧盟共享数据，欧盟应该转而考虑替代路线。欧盟可以考虑与密切合作伙伴签署覆盖广泛的数据条约，其中包括司法补救和协调审查条款，以避免Schrems案裁决所引发的问题。2016年欧盟-美国关于执法数据传输保护伞协议（The 2016 EU-US Umbrella Agreement）可能是一个很好的模式，因为它是一个总体条约，暂时没有受到挑战。

尽管目前存在激烈争论，但欧盟和英国之间的数据共享对双方的贸易和安全仍然至关重要。对欧盟企业来说，欧盟和英国之间跨境数据流动的自由与商品和服务贸易的自由、人员流动的自由一样重要；对于欧洲和英国的安全部门来说，共享和访问罪犯数据的能力是保障人们安全的重要组成部分。然而，由于英国坚持不延长过渡期，解决这一问题具有紧迫的战略意义。

声明：本文来自CAICT互联网法律研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。