正如白宫所言,“跨大西洋数据流动对于促成价值7.1万亿美元的欧美经济关系至关重要”[1],欧美之间的数据跨境传输政策变化牵动着多方利益主体的心。由于欧盟和美国在数据安全和跨境传输领域的法律法规体系相差甚远,此前试图弥补两地差距的“安全港”“隐私盾”政策最终都以失败告终,一度给各商业机构跨境传输、乃至美欧贸易带来极大的负面影响。
为了解决欧美数据跨境传输这一“高度优先的工作”[2],2022年3月25日,美国与欧盟达成《跨大西洋数据隐私框架》(Trans-Atlantic Data Privacy Framework,以下简称“EU-U.S DPF”),经过数月努力,EU-U.S DPF不断完善,直至2022年10月7日,美国白宫签署了《关于加强美国信号情报活动保障措施的行政命令》(以下简称“E.O”),对欧盟法院(以下简称“CJEU”)在Schrems案判决中表达的担忧作出回应,试图为恢复欧美跨大西洋数据流动提供相应的法律基础。
1 数据跨境传输行政命令
1.1. 签署行政命令的主要目的
E.O是欧美数据跨境传输的第三次尝试。
此前美国的“安全港”自我认证结构及“隐私盾”政策先后被CJEU以2015年Schrems I判决[3]和2020年Schrems II判决[4]宣布失效。CJEU认为,美国监控法(如《外国情报监视法》第702条)等法律授权美国当局收集外国人信息,与此同时,被收集信息之人缺乏对应权利和补救措施,这与欧盟的数据保护框架形成鲜明的冲突。以上两种数据传输框架,无法为欧盟转移到美国的个人数据提供充分保护,因而违反欧盟数据保护法(此前是《1995年数据保护指令》,现在是《一般数据保护条例》也即GDPR)。
尽管CJEU仍然承认标准合同条款(以下简称“SCCs”)可以被视为数据跨境传输的方式,但其有效性仍取决于是否对数据实施了“充分的保障措施”。在Schrems II判决之后,由于欧洲不同国家的数据保护机构对于SCCs的理解和适用标准不同,使用SCCs仍存在许多悬而未决的问题,例如是否需要逐案审查每个数据传输的有效性等等。这使欧盟和美国之间的数据交易蒙上了阴影。
Schrems II判决之后,谷歌等大型跨国科技公司多次呼吁快速修复欧盟-美国数据传输框架。[5]小微科技公司也不堪其忧,2021年7月14日,初创企业联盟、开发者联盟等24个美国商业组织向美国商务部、欧洲司法专员发布联合声明,敦促美国和欧盟迅速就跨大西洋数据流动达成协议:“我们许多人希望进一步公布新数据传输协议的进展和计划……”[6]
为了回应以上问题,欧美接续合作,美国特别制定了E.O,作为对CJEU有关担忧的回应,希望能够作为恢复跨大西洋数据流动的重要法律基础。
1.2. 行政命令的主要内容
E.O基本落实了欧美在3月份达成的EU-U.S DPF。
针对Schrems II判决中CJEU认为美国未对转移到美国的欧洲公民个人数据提供相应救济措施的质疑,E.O提出了两方面新的规定:一是提供约束性保护措施,将美国情报机构对数据的访问限制在保护国家安全所必需和相称的范围内;二是建立独立和公正的救济机制,其中包括建立新的数据保护审查法院(Data Protection Review Court,以下简称“DPRC”),调查和解决有关美国国家安全当局访问数据的投诉。此外,E.O要求美国情报界成员更新其政策和程序,以反映E.O中包含的新隐私和公民自由保护措施。
在程序上,E.O设立了独立且有约束力的两层救济机制。
在第一层救济机制中,欧盟公民将能够向美国情报界“公民自由保护官”(the Civil Liberties Protection Officer ,以下简称“CLPO”)提出投诉,以确保美国情报机构遵守隐私和基本权利。CLPO接到投诉申请后,可以启动独立的调查程序,若发现当局有违反E.O规定的强化保障措施或其他适用的法律的情形,则可以确定适当的救济措施。
在第二层救济机制中,个人将有可能在新成立的DPRC中对CLPO的决定提出上诉。E.O规定,DPRC的组成人员必须是美国政府以外的人员,且只能因严重原因(例如被定罪,或被认为精神或身体不适合执行任务等)被解雇,因而具有独立性审查的能力。为进一步加强DPRC的审查,E.O规定法院将在每个案件中选择一名具有相关经验的特别辩护人来支持法院,确保DPRC充分了解与该事项有关的问题和法律。这些配套举措为公平审判、补救和正当程序方面提供了更多保障。
这些举措改进了“隐私盾”中的不足,被欧盟委员会认为是一些“很大的改进”(significant improvements)。[7]
2 命令签署后的下一步举措
E.O在美国通过后,欧盟委员会计划起草充分性决定草案,并启动对E.O的通过程序[8]。充分性决定通过程序包含如下步骤:1)获得欧盟数据保护委员会 (EDPB)的意见;2)获得欧盟成员国代表组成的委员会的批准。此外,欧洲议会有权对充分性决定进行审查。
完成上述流程之后,欧盟委员会才能通过与E.O有关的最终决定。从彼时起,数据将能够使用新框架在经商务部认证的欧盟和美国公司之间自由安全地流动。美国公司将能够通过承诺遵守一系列详细的隐私义务来加入该框架。
欧盟委员会认为,E.O包含的保障措施对美国国家安全当局访问数据提出了实质性(必要性和相称性)限制,并建立新的补救机制,因此,欧盟委员会认为CJEU“将不会再次推翻本协议”。[9]
3 小结
总体而言,欧盟委员会和美国政府对于E.O搭建的新框架持较为积极的态度,认为其在实体和程序上对CJEU的质疑作出了实质回应,能够较为有效地保障欧美跨太平洋数据传输中个人信息的安全。若欧美数据跨境传输的新框架能够顺利通过,包括Facebook和谷歌在内的科技巨头将能够迅速摆脱当前在两地数据传输业务和服务中面临的现有束缚,各行各业的小型企业也能够在数据跨境服务中获得确定性的法律保障。[10]
当然,也有声音对E.O的有效性持怀疑态度。两次挑战欧盟数据跨境流动制度的奥地利人Schrems称:“乍一看,核心问题似乎没有解决,迟早会交付 CJEU审议。”[11]他表示仍会对该框架进行分析。数字权利活动组织Access Now和欧洲消费者联盟(The European Consumer Organisation)也表示,人们的权利似乎没有得到充分保护。
无论如何,此次E.O的签署在欧美数据跨境传输中将会掀起新一轮风波。
参考文献
[1] THE WHITE HOUSE, FACT SHEET: President Biden Signs Executive Order to Implement the European Union-U.S. Data Privacy Framework, https://www.whitehouse.gov/briefing-room/statements-releases/2022/10/ 07/fact-sheet-president-biden-signs-executive-order-to-implement-the-european-union-u-s-data-privacy-framework/.
[2] Mlex, EU makes revised EU-US deal on Privacy Shield ‘high priority endeavor,’ Vestager says, Feb. 23th, 2022, https://mlexmarketinsight.com/news/insight/eu-makes-revised-eu-us-deal-on-privacy-shield-high-priority-endeavor-vestager-says.
[3] European Parliament, The CJEU"s Schrems ruling on the Safe Harbour Decision, https://www.europarl.europa.eu/RegData/etudes/ATAG/2015/569050/EPRS_ATA(2015)569050_EN.pdf.
[4] European Parliament, The CJEU judgment in the Schrems II case, https://www.europarl.europa.eu/RegData/etudes/ATAG/2020/652073/EPRS_ATA(2020)652073_EN.pdf.
[5] Kent Walker: It’s time for a new EU-US data transfer framework, Jan 19, 2022, https://blog.google/around-the-globe/google-europe/its-time-for-a-new-eu-us-data-transfer-framework/.
[6] Re: Transatlantic industry urge swift agreement on EU-U.S. personal data flows, July 14, 2021,
https://www.ccianet.org/wp-content/uploads/2021/07/2021-07-14-Joint-industry-letter-Transatlantic-industry-urge-swift-agreement-on-EU-US-data-flows.pdf.
[7] European Commission: Questions & Answers: EU-U.S. Data Privacy Framework, Oct,7 2022, https://ec.europa.eu/commission/presscorner/detail/en/qanda_22_6045.
[8] 同7。
[9] 同7。
[10] Natasha Lomas: President Biden signs executive order aimed at legal reboot of EU-US data flows, techcrunch, https://techcrunch.com/2022/10/07/eu-us-data-privacy-framework-executive-order-signed/
[11] David Shepardson and Philip Blenkinsop:Biden signs order to implement EU-U.S. data privacy framework, Reuters, https://www.reuters.com/technology/biden-signs-order-implement-eu-us-data-privacy-framework-2022-10-07/.
声明:本文来自数据信任与治理,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
