文|王彩玉 公安部第三研究所 网络安全法律工程师

0欧美跨境数据流动规则变迁史

2023年7月10 日,欧盟委员会批准欧美数据传输新协议《欧美数据隐私框架》,意味着多年来影响数千家欧美公司的数据跨境流动困境迎来新进展。自2000 年《欧美安全港框架》以来,欧美数据跨境规则不断演进:

(一)2000年《欧美安全港框架》

安全港框架旨在满足欧盟《数据保护指令》(指令95/46/EC)相关要求,美国企业向美国商务部自我认证遵守相关原则与要求,即可接收从欧盟传输来的个人数据。

然而,2013年斯诺登事件昭示所有被传输至美国甚至经过美国的数据都有可能被美国情报机关通过电子通讯服务商的主动配合或对主干电信网络的监听获取,相关个人和企业可能对此并不知情。欧盟因此对公民被传输至美国的个人数据安全深感不安——安全港原则留有特别条款,不适用于美国政府机构根据国家安全、公共利益及执法需求做出的行为。

2013年,奥地利律师Maximilian Schrems对Facebook Ireland Ltd提起投诉,并提交爱尔兰数据保护专员,试图禁止Facebook Ireland Ltd依据安全港框架将其个人数据转移到美国,认为美国法律没有确保对其个人数据进行充分保护以免受美国政府的监视活动。2015年10月,欧盟法院发布Schrems I决定,宣布安全港框架无效,认为安全港框架违反《数据保护指令》(指令95/46/EC),侵犯欧盟公民的个人数据根本权利。

(二)2016年《欧美隐私盾协议》

在Schrems I决定之后,Facebook Ireland Ltd使用标准合同条款(SCC)将数据传输至美国Facebook Inc。2015月12日,Schrems再次向爱尔兰数据保护专员提交针对Facebook Ireland的最新投诉,质疑SCC的充分性。爱尔兰数据保护专员发布一项决定草案,称发现美国政府可能会以不符合欧盟法律的方式访问传输到美国的数据,且没有为欧盟数据主体提供有效的法律救济措施。SCC无法弥补这一缺陷,因合同条款对美国当局没有约束力。

在安全港框架无效和Schrems最新投诉之后,美国与欧盟开始探索《欧美隐私盾协议》。在这个新的数据共享框架下,美国设立独立的隐私盾监察员,负责监督国家安全干预。美国还向欧盟提供关于为国家安全目的访问数据的限制和保障措施的详细承诺。2016年,欧盟委员会通过第2016/125号决定,批准隐私盾协议,这是一项“充分性决定”,确定美国“确保对欧盟数据主体提供足够的数据隐私保护”。

第一,美国企业承担更强义务。虽然参加隐私盾是自愿的,但一旦美国企业提交参加隐私盾的自我确认书,就应当完全遵守相关隐私原则并公开隐私政策以及执法部门获取个人数据的请求等。此外,美国企业声明其符合并遵守隐私盾要求的自我确认书至少每年提交一次,否则会被除名。在监督和执法方面,美国商务部、联邦贸易委员会、交通部等负责监督参加隐私盾的美国企业履行义务,做出相应处罚和制裁,如联邦贸易委员会可依据《联邦贸易委员会法》第45条,认定违规企业构成不正当竞争,给予罚金、除名等严厉处罚。

第二,对美国政府进行网络监控、获取个人信息的明确限制。美国政府获取欧盟公民个人信息明确限于以下六个目的:一是侦测、反击外国势力的特定行动;二是反恐;三是反制核扩散;四是网络安全;五是侦测、反制对美国和同盟军事力量构成的威胁;六是打击国际犯罪威胁,包括逃避刑事制裁的行为。美国方面承诺不再进行大规模的任意监控。此外,美国设立一个独立的隐私盾监察员,负责处理涉及政府部门监控、获取个人信息的投诉。

与此同时,爱尔兰数据保护专员将Schrems II诉讼提交爱尔兰高等法院,爱尔兰高等法院向欧盟法院移交11个问题,要求欧盟法院确认,根据SCC进行的数据传输是否侵犯《欧盟基本权利宪章》保障的公民隐私和数据保护权利,以及欧盟委员会的隐私护盾决定是否对的国家数据保护机关和法院具有约束力。

欧盟法院支将SCC作为有效的数据传输机制,但将监督责任赋予监管机构,以确保在SCC背景下执行GDPR。欧盟法院认为,GDPR第46(1)条和第46(2)(c)条规定个人数据被传输到第三国的欧盟主体应获得与欧盟内部数据保护水平基本相当的保护程度,包括“适当的保障措施,可执行的权利和有效的法律救济措施”。如果数据通过SCC传输,则相关监管机构必须确保SCC可在第三国得到遵守,或可维持欧盟的数据保护标准。

关于欧盟委员会隐私盾充分性决定,欧盟法院发现:

第一,美国对数据保护的限制违反比例原则。

为满足比例原则,立法应纳入“关于措施的范围和应用的明确、精确的规则,并施加最低限度的保障措施”。此外,任何侵犯欧盟数据主体数据隐私权的立法都必须“仅限于绝对必要的范围”。欧盟法院首先承认,美国的国家安全、公共利益和执法利益优先于欧盟数据主体的基本权利,并可能干涉欧盟数据主体的基本权利。然而,欧盟法院随后指出,美国相关监控法律没有足够限制——监控既没施加最低限度的保障措施,也不限于绝对必要的程度,无法确保为欧盟数据主体提供的隐私保护与《欧盟基本权利宪章》要求确保的隐私保护程度基本相同。

(1)美国《外国情报监控法》第702条允许联邦调查局(FBI)等美国情报机构,在无须法院授权的情况下,对美国境外的非美国人进行电子监控。负责对此进行制约的外国情报监控法院主要职责限于核实美国“棱镜”“上游”等监控计划是否出于获取外国情报信息目的,并不审查“个人作为获取外国情报信息的目标的适当性”。欧盟法院进而认为,《外国情报监控法》第702条并未对授权的、以收集外国情报为目的的监控计划实施有效的限制性规定,也没有为可能成为监控目标的非美国人提供法律保障。

(2)美国总统奥巴马于2014年签署的第28号总统行政令《信号情报活动》 宣称要保护非美国人隐私利益,但仅仅体现在信号情报活动应“尽可能量身定制”方面,这些规定过于笼统、原则。

(3)美国总统里根于1981年签署的第12333号总统行政令允许国家安全局通过大西洋海底电缆访问传输到美国的“在途”数据,并在这些数据抵达美国、受《外国情报监控法》约束之前进行收集和留存,为美国政府在不经过任何司法审查的情况下大量获取境外数据提供可能。行政令并未以明确方式界定批量收集个人数据的范围,违反比例原则。

第二,美国法律没有为数据隐私受到损害的欧盟主体提供有效的救济措施。

《欧盟基本权利宪章》第47条规定,数据权利受到侵犯的任何人,都拥有向独立公正的司法机关提起诉讼的权利。GDPR第45(2)(a)条规定,欧盟委员会在评估第三国的保护水平是否充分时,应特别考虑第三国对数据主体是否存在有效的行政和司法救济制度。欧盟法院认为,美国未能授予数据主体在法院针对美国当局的可起诉权利,且隐私盾监察员机制没有充分独立于行政部门。

(1)《外国情报监控法》为数据权利受到侵犯的个人提供补救措施,如允许受到非法电子监控的人以个人身份起诉美国政府官员请求损害赔偿。若美国政府非法使用或故意披露根据电子监控所获得的个人信息,受到侵害的个人亦有权向美国地方法院提起民事诉讼请求损害赔偿。根据美国的判例法,欧盟公民在现实中很难满足向联邦法院提起诉讼的条件。换言之,《外国情报监控法》规定的补救措施对于非美国人仅具备理论上的可能性。此外,美国当局没有法律义务告知数据主体针对他们所采取的具体监控措施,如此一来,欧盟公民在寻求救济时则面临着实质性的障碍。

(2)第28号总统行政命令和第12333号总统行政命令均未赋予数据主体针对美国当局违法行为向司法机关提起诉讼的权利。为达到欧盟数据隐私保护的要求,美国政府在隐私盾协议的附件三中承诺建立一个新的信号情报活动的监督机制——隐私盾监察员,由国务卿任命并对其负责,独立于美国情报机构。但欧盟法院认为,一方面,隐私盾监察员隶属于美国国务院,其独立性存疑;另一方面,隐私盾监察员无权对情报机构作出有约束力的决定。因此,隐私盾监察员不属于符合《欧盟基本权利宪章》第47条要求的司法机关,美国并未提供与欧盟实质等同的数据保护水平。

“充分性决定”并不要求第三国数据保护制度与欧盟制度完全相同,而是基于“基本等同”的标准,涉及对第三国的数据保护框架进行全面评估,包括数据保护基本原则的存在、个人权利、独立监督和有效救济等元素。

鉴于以上调查结果,欧盟法院认为美国未能为欧盟主体提供有效的救济措施以解决数据传输安全缺陷,于2020年7月宣布第2016/1250号关于隐私盾的充分性决定无效。

(三)2023年《欧美数据隐私框架》

经过多年的合作和谈判,2023年7月,欧盟委员会通过《欧美数据隐私框架》充分性决定。决定涵盖从欧洲经济区的任何公共或私人实体到参与《欧美数据隐私框架》的美国公司的数据传输。决定认为,相较于欧盟,美国能确保对从欧盟转移到参与《欧美数据隐私框架》的美国公司的个人数据的保护水平是足够的。这意味着当个人数据从欧盟传输向经框架认证的美国公司时,美国公司不再需要提供决定要求以外的安全措施——这标志着欧美间个人数据合法流动的第三次尝试正式落地。

《欧美数据隐私框架》体系由两个部分组成:

一是美国商务部发布的《欧美数据隐私框架原则》,明确参与框架的美国实体所需遵守的要求,事实上与隐私盾内容重合性较大。从GDPR角度看,《欧美数据隐私框架》可视为将参与框架的美国实体作为一个特殊的群体赋予充分性认证——为美国企业适用GDPR提供豁免。

二是框架配套文件,包括《第14086号关于加强美国信号情报活动保障的行政令》及其他相关规范美国情报机关活动的文件。欧盟法院在Schrems II案中的核心关切即为在欧盟个人数据转移至美国情形下,美国公共当局(尤其是出于刑事执法和国家安全目的)访问这些数据时适用的限制和保障,因此配套文件是欧盟做出充分性决定的重要前提。

框架适用于通过承诺满足美国商务部制定的《欧美数据隐私框架原则》从而获得认证的组织,认证名单每年更新。美国商务部负责管理《欧美数据隐私框架》日常运作,处理认证申请并监督参与公司是否继续满足认证要求,并通过公示认证名单和退出名单的方式保障数据传输过程中的透明度。美国联邦贸易委员会将针对美国公司遵守框架下义务的情况开展执法。

在个人数据保护原则方面,框架与GDPR相关原则具有一致性,包括:数据处理目的限制和退出选择;对敏感数据的特殊保障和获取明确同意的要求;保障数据准确性、最小化和安全的要求;个人数据权利保障,包括访问权、修正权、退出权、针对自动化处理的相关权利以及限制后续传输的要求等。

《欧美数据隐私框架》充分性决定自2023年7月10日起通过即生效。欧盟委员会将持续监测美国的相关发展,并定期审查充分性决定。首次审查将在充分性决定生效后的一年内进行,验证美国法律框架所有相关要素是否在实践中有效运作。根据首次审查结果,欧盟委员会将在与欧盟成员国和数据保护机构协商基础上,决定未来审查周期(审查至少每四年进行一次)。若出现影响美国隐私保护水平的事件,欧盟委员会可调整甚至撤销充分性决定。

7月17日,美国商务部推出《欧美数据隐私框架》计划官网,使得符合条件的美国公司可以自我证明遵守框架原则,并在www.dataprivacyframework.gov注册,以参与个人数据跨境传输。此外,美国商务部还将为目前不在框架范围内的美国企业提供关于如何根据新框架进行认证的信息,并基于新框架向在过去三年中持续遵守隐私保护原则的公司提供进一步指导。

02 《欧美数据隐私框架》评析

(一)畅通跨大西洋数据流是欧美数字贸易发展的必然趋势

跨境数据流动是全球数字贸易发展的重要动力来源。2020年,欧盟法院判定隐私盾充分性决定无效,但跨大西洋数据流支撑着7.1万亿美元的经济活动,美国和欧盟是世界上最大的“数字服务净出口国”,两者之间的跨大西洋数据流约占美国数据传输的一半,占欧盟数据传输的一半以上。跨大西洋数据跨境传输对美国与欧盟数字经济的重要意义不言而喻,框架实质上是为美国企业适用GDPR提供豁免,为欧美之间的数据跨境提供极大的便利性。

(二)《欧美数据隐私框架》是欧美基于市场需求与国家安全利益博弈、妥协的产物

《欧美数据隐私框架》谈判历时三年,期间波折分歧诸多。其中一个非常重要的障碍在于美国始终未能解决欧盟对于美国情报监控的担忧。而最终协议能够达成,与拜登上台后美国政府颁布的一系列在情报活动中保障公民数据安全的政策文件密切相关。

1. 2022年《第14086号关于加强美国信号情报活动保障的行政令》

为解决欧盟法院提出的担忧,美国总统拜登于2022年10月签署《第14086号关于加强美国信号情报活动保障的行政令》,作为欧盟委员会审查美国法律是否符合欧盟数据隐私保护标准充分性决定的重要支撑。有学者指出,鉴于美国政府无意修改大规模监控相关法律,将美国宪法第四修正案免遭政府不合理搜查、扣押的权利扩展至欧盟数据主体,那么以总统签署行政令的方式对欧盟做出承诺,即为是欧美数据跨境传输谈判的重要环节——行政令本身并非法律,无需国会批准,若具有宪法基础且不与现行立法产生直接冲突,则具有类似法律的效力。

《第14086号关于加强美国信号情报活动保障的行政令》开宗明义,在强调情报能力对保障美国国家安全利益、保护公民免受伤害的重要性的同时,重申情报活动必须将所有人在处理个人数据时均享有的合法隐私利益纳入考量。

在实体法层面,美国提供约束性保护措施,将美国情报机构对数据的访问限制在保护国家安全所必需的范围内。行政令明确美国情报机构需要在信息解密时告知被监控个人,并扩大合规官责任。

在程序法方面,行政令对隐私盾框架下的救济措施进行优化,设立独立且有约束力的双层救济机制,以调查和解决关于美国情报机构收集和使用从欧洲经济区向美国公司转移的个人数据的投诉:

值得关注的是,为使投诉得以受理,个人不需证明其数据实际上被美国情报机构收集。个人可向本国数据保护机构提交投诉,这确保个人可在离家近、使用当地语言的机构寻求帮助。本国数据保护机构确保投诉被妥善转达,并向个人提供相关程序的进一步信息。之后,投诉将由欧洲数据保护委员会传达给美国。

(1)投诉最先由美国国家情报总监办公室新设的公民自由保护官(CLPO)进行调查。公民自由保护官负责确保美国情报机构遵守隐私和基本权利保护相关规定,受理并初审美国情报机构是否存在违规行为,在必要时对符合条件的投诉采取适当救济措施。

(2)若投诉人不接受公民自由保护官处理结果,可向美国司法部新设的数据保护审查法庭(DPRC)提起上诉。法庭由非美国政府人员组成,根据特定资格被任命,只能因特定原因(例如刑事定罪或被认定在心理或身体上不适合履行任务)而被解雇,且不受政府指示。法庭有权调查来自欧盟个人的投诉,从情报机构处获得相关信息,审查公民自由保护官做出的决定在法律上是否正确、是否有实质性证据支撑、是否能做出具有约束力的救济决定等。若发现情报机构数据收集活动违反行政令中规定的保障措施,法庭可下令删除数据。此外,法庭将选择一个有相关经验的特别代表提供支持,确保投诉人的利益得到代表以及法庭对案件事实和相关法律有充分了解。

在公民自由保护官或数据保护审查法庭完成调查后,投诉人将被通知是否发现并纠正相关违规行为。

可以说,美国采取行政令形式,在既不影响美国收集外国情报能力,又兼顾境外欧盟人员隐私利益保障的情况下,获取欧盟委员会的充分性认定并推动欧美数据跨境传输,是极具实用主义的策略选择。

2. 2023年《美国国家情报总监办公室关于第14086号行政命令的政策和程序》

2023年7月3日,美国国家情报总监办公室确认,美国情报部门已根第14086号行政令对情报活动采取相应的管理措施。

《美国国家情报总监办公室(美国国家情报总监办公室)关于第14086号行政命令的政策和程序》重点内容包括:

(1)一般规定、权限和适用性。国家情报总监办公室有权获取与国家安全有关或为履行职责所需的所有信息和情报。在有限的例外情况下,国家情报总监办公室有权收集、分析、制作和传播信息,以支持反恐以及其他国家任务;

(2)保护通过情报收集的个人信息。国家情报总监办公室应当:以实现目的为限进行情报传递;参照法律对同类信息的保留期限保留有关情报信息,并且不能因国籍而区别保留;保证数据的准确性、安全性以及可访问性;

(3)监督。公民自由保护官负责监督国家情报总监办公室遵守本文件规定的情况。公民自由保护官应当定期审查,并向国家情报总监报告本文件以及相关文件的应用情况;

(4)补救机制。国家情报总监办公室不得采取任何旨在阻碍或不当影响公民自由保护官审查投诉或数据保护审查法院的任何行动。国家情报总监办公室应当遵守公民自由保护官的任何决定,除非数据保护审查法院有不同决定,并在违规后采取适当补救措施;

(5)培训。有权访问受本文件约束信息的所有国家情报总监办公室人员将接受有关适用要求的培训。

上述行政令和文件是拜登政府对欧盟的重要承诺,也是欧盟委员会做出《欧美数据隐私框架》充分性认定决定的重要支撑。从本质上看,隐私框架是欧美基于市场需求与国家安全利益而博弈、妥协后的产物,涉及安全和发展的平衡。

03 《欧美数据隐私框架》对我国的影响及启示

(一)《欧美数据隐私框架》对我国的影响

当前,国家间数据竞争态势已形成,“数据即权力”也已成为共识。《欧美数据隐私框架》推动欧美数据跨境流动规则不断向更高水平、更严标准、更加开放趋势发展。通过这种扩展制度性权力的方式,不仅有助实现其数据自由流动的核心主张,还利用其规则制定的主导优势和产业先发优势遏制中国等新兴经济体发展,形成在国际数据跨境流动规则上的竞争优势,中国在争夺数字产业、数字治理话语权的关键领域将处于更加被动的态势。

国际数据公司测算显示,到2025年,中国拥有的数据量在全球的占比将提升到27.8%,成为全球首位。数据资源的开发利用将直接影响国家数据安全、数字产业发展和个人数据权利保护。2022年12月,《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》“数据二十条”)对外发布,提出“统筹数据开发利用和数据安全保护,探索建立跨境数据分类分级管理机制”“探索构建多渠道、便利化的数据跨境流动监管机制,健全多部门协调配合的数据跨境流动监管体系”。

数据出境安全评估、个人信息保护认证、个人信息出境标准合同构成我国数据出境三大路径。截至2023年7月,各省网信办已受理千余件数据出境申报,但公开披露成功通过数据出境申报和个人信息出境标准合同备案的企业案例不多。数据出境安全评估和个人信息出境标准合同制度实施不久,仍在探索落实阶段。长远来看,若评价标准、工作效率与便捷性无法优化提升,可能会阻滞我国数据跨境流动对经济发展的拉动作用,难以满足企业日益增长的数据跨境流动需要和数字经济、数字产业的发展需要。

此外,我国数据跨境流动同样面临来自贸易面向和数据面向的国际规则压力,尤其是来自RCEP、CPTPP和DEPA贸易协定框架下数据跨境流动规制,及其涵盖的公共政策目标和基本安全利益例外上的差异带来的压力。

(二)《欧美数据隐私框架》对我国的启示

1. 立足现有法律框架,拓展数据出境“朋友圈”

在国家层面,我国可借鉴《欧美数据隐私框架》通过双边协议模式打通跨境数据流,开辟数据出境便捷通道,完善数据出境安全管理制度,不断提高制度的可行性与生命力:

(1)通过类似协议安排,建立区域性的跨境协议,例如一带一路沿线国家,或OECD、RCEP中部分国家。以区域为基础建立的合作框架便于缔约国就数据保护议题沟通各自的诉求和关切点,通过协商一致达成缓解风险的措施,并定期通报各自落实、执法、监督等情况和进展。

(2)根据域外相关国家和地区的数据保护情况及对等原则建立动态跨境数据流动白名单机制,将部分国家和地区根据产业类别纳入可自由接收数据的目的地。一方面通过国与国之间达成共识,而不是将压力传导至跨国企业的方式,促进数据跨境的自由有序流动,缓解企业处于不同司法辖区带来的沟通成本增加、法律适用冲突、营商环境不确定等负面效应。另一方面将我国《数据安全法》《个人数据保护法》相关要求纳入双边或多边协议,保障出境数据安全和个人信息保护水平。未来,动态白名单可由网信部门统一组织认证,若企业数据出境目的地在白名单内,可不经数据出境安全评估,将数据出境合同、数据安全风险与保障措施等材料报送所在地网信部门和行业主管部门备案后即可流动。

2. 强化数据出境事中事后保障机制

《欧美数据隐私框架》构建多元化个人权利救济机制,包括:(1)与进行数据处理组织直接沟通或申请司法救济;(2)向独立争议解决机构起诉;(3)向欧盟境内国家数据保护机构投诉;(4)通过美国商务部与欧盟国家数据保护机构之间的投诉解决沟通机制;(5)由美国联邦贸易委员会接收转交案件和投诉;(6)申请由“欧盟-美国数据隐私框架小组”(EU-U.S. Data Privacy Framework Panel)进行仲裁。

在美国商务部的日常合规监督中,采用随机抽查和对有合规隐患机构的特别检查相结合的方式。对于被发现未能遵守该框架原则内容的机构,会被商务部要求填写情况说明问卷。未能按要求填写问卷的机构会被提交联邦贸易委员会等相关机关进一步处理。对持续违反框架原则或由于其他原因退出框架的组织,商务部会将其移出框架名单,并被要求返还或删除相关个人数据。对于组织就认证提供的相关信息和承诺,商务部持续予以监督和验证,若出现虚假陈述或违背承诺的行为,联邦贸易委员会等将开展针对性执法。

伴随数据从静态安全到动态流动、利用的转变,数据安全也从“保障数据与主体关系的稳定性”扩张至“防范数据行为对现实安全秩序的破坏”。对于我国而言,有必要进一步优化数据出境安全保障机制,采用“事前事中事后”相结合的监管机制,定期或不定期对数据出境情况进行抽查监督,完善投诉举报渠道,强化出境数据全生命周期风险防范与安全管理。

参考文献:

[1]EU-US Data Privacy Framework,

https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae60-be03fcb0fddf_en

[2]ECJ’s full judgement in Case C-311/18,

https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=en

[3]Data Protection Commissioner v. Facebook Ireland Ltd,https://harvardlawreview.org/print/vol-134/data-protection-commissioner-v-facebook-ireland-ltd/

[4]Questions & Answers: EU-US Data Privacy Framework,https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752

[5]Data Privacy Framework Program Launches New Website Enabling U.S. Companies to Participate in Cross-Border Data Transfers,https://www.commerce.gov/news/press-releases/2023/07/data-privacy-framework-program-launches-new-website-enabling-us

[6]Office of the Director of National Intelligence Executive Order 14086 Policies and Procedures,

https://www.intel.gov/ic-on-the-record-database/results/oversight/1278-odni-releases-ic-procedures-implementing-new-safeguards-in-executive-order-14086

[7]《欧美数据隐私框架》落地及对我国跨境流动治理的启示,https://www.dehenglaw.com/CN/tansuocontent/0008/029007/7.aspx?MID=0902

[8]拜登总统《关于加强美国信号情报活动保障的行政命令》述评,http://www.qbts.org/CN/abstract/abstract8859.shtml

[9]黄道丽主编《数据安全法:国际观察、中国方案与合规指引》,第一章、第四章。

声明:本文来自公安三所网络安全法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。