美国和欧洲好不容易恢复的跨大西洋数据流动,可能又要出问题了。这一次,导火索不是欧盟法院,而是美国最高法院最近在 Trump v. Slaughter 案中的判决。
欧洲知名隐私组织 NOYB 近日致信欧盟委员会,认为这项判决动摇了《欧盟—美国数据隐私框架》(EU-US Data Privacy Framework, DPF)的法律基础:欧盟之所以认定美国可以提供“充分”的个人数据保护,很大程度上依赖一个前提——美国联邦贸易委员会(FTC)是一个独立监管机构,能够监督企业隐私合规。但美国最高法院现在认为,FTC 不能独立于总统行政权之外存在。

(NOYB致欧盟委员会的信函)
NOYB 因此要求欧盟委员会立即制定退出 DPF 的方案,废止或有序撤回 EU 2023/1795 号实施决定,也就是欧盟委员会在 2023 年认定 DPF 提供充分数据保护水平的决定。同时,NOYB 表示,如果欧盟委员会不采取行动,它将考虑向法院挑战该决定。
不过,NOYB 也强调,诉讼只是最后手段。它更希望欧盟委员会主动安排一个过渡期,避免重演 Schrems I 和 Schrems II 之后出现的“合规悬崖”,也就是法院突然推翻欧美数据传输机制,企业一夜之间陷入合规真空。NOYB认为,更好的做法是由欧盟委员会将欧盟—美国数据传输问题纳入整体政策安排,例如近期提出的《技术主权一揽子计划》(Tech Sovereignty Package)中统筹推进。
NOYB 并不是普通倡议组织。它的全称是 None of Your Business,由奥地利隐私权活动人士、律师 Max Schrems 创办。Schrems 是欧洲数据保护领域最有影响力的人物之一,正是他推动的两起案件,先后推翻了欧盟—美国数据传输的 Safe Harbor 和 Privacy Shield 机制。两案的核心理由相似:美国政府,尤其是情报机构,可以过度访问欧洲用户数据,而欧洲个人缺乏有效救济。
根据 GDPR,欧盟个人数据不能随便传到第三国。除非欧盟委员会认定该国的数据保护水平与欧盟“基本等同”,否则企业就必须依赖标准合同条款(SCC)、约束性公司规则(BCR)等其他机制,并自行评估风险。我国目前没有获得欧盟的数据保护充分性认定,并且一些在欧企业还相继陷入了数据跨境传输违规调查和处罚。具体可参考:“还有多少中企会因数据跨境被欧盟调查”。
为了确保跨大西洋数据跨境流动,美国此前架设过两座桥:Safe Harbor 和 Privacy Shield,但都被欧盟法院推翻。2023 年,欧美又搭了第三座桥,也就是 DPF。
DPF 试图回答两个问题:第一,美国是否有独立机构监督企业隐私合规;第二,如果欧洲人被美国情报机关不当监控,是否有独立救济渠道。欧盟委员会给出的肯定答案,很大程度上建立在 FTC、数据保护审查法院(DPRC)、隐私和公民自由监督委员会(PCLOB)等机构具备某种独立性的基础上。据 NOYB 统计,EU 2023/1795 号决定中提及或依赖 FTC的独立性超过 250 次。
那么美国最高法院又是怎么通过Trump v. Slaughter案改变了这个前提的呢?以下简单说说,有兴趣的可以自己去看判决文书(https://www.supremecourt.gov/opinions/25pdf/25-332_qn12.pdf)。
Rebecca Kelly Slaughter 是 FTC 委员。美国法律传统上保护 FTC 委员不被总统随意撤换,除非存在“效率低下、失职或渎职”等法定理由。这套制度来自 1935 年最高法院的经典判例 Humphrey’s Executor v. United States。该案长期被视为美国独立行政机构的宪法基础。
特朗普第二任期上台后,无理由地撤换了 Slaughter。Slaughter 认为这违反法律,案件一路打到最高法院。6 月 29 日,最高法院以 6 比 3 支持总统一方。多数意见的逻辑是:
第一,FTC 行使的是行政权,行政权在宪法上属于总统,因此受总统控制。国会不能通过“有因免职”保护,把 FTC 委员从总统的监管下切出去。
第二,法院推翻或大幅削弱了 Humphrey"s Executor案确立的先例。过去 FTC 被认为兼具“准立法、准司法”色彩,所以可以保持独立,但本案判决多数意见认为,现实中的 FTC 已经是明显的执法机构,不能再用91年前的逻辑维持独立性。
第三,支持美国保守派法学的 unitary executive theory(单一行政权理论),即总统应当控制整个行政分支,独立机构不能成为不受总统控制的“第四权力”。
单一行政权理论的核心主张是:宪法第二条把“行政权”整块赋予总统,没有例外,所以国会不能通过立法把某些行政机构切出去、让它们不受总统指挥。从这个角度看,Humphrey"s Executor 在 1935 年的判决本来就是一个错误。当年罗斯福新政大扩张,法院面对政治压力做出妥协,允许国会给 FTC 这类机构设任期保护,结果产生了一批“独立行政机构”,在保守派看来这些机构既无民选授权、又不受总统约束,是宪法上的异类。
最高法院此次判决明确支持单一行政权理论,并不奇怪。特朗普两任任期一共任命了三位大法官:Gorsuch、Kavanaugh、Barrett,加上此前的 Thomas 和 Alito,保守派在最高法院已经形成 6 比 3 的稳定多数。这六位大法官里,多人在学术或司法生涯中对单一行政权理论有明确的认同记录。Gorsuch 和 Thomas 是这个理论最一贯的支持者,Kavanaugh 在联邦巡回法院时期就写过支持加强总统对行政机构控制的判决,Barrett 的联邦主义和宪法原旨解释立场和这个方向也是基本一致。
但对 NOYB 来说,这正是问题所在。他们指出:欧盟的数据保护制度有硬性要求:必须有独立的监管机构。 欧盟委员会此前认为,FTC是独立的,可以承担这一角色,因此才认定美国数据保护水平的“充分性”。但Trump v. Slaughter案判决认为,像FTC这样的行政机构的独立性本身就违反美国宪法,因此其独立地位失去了在美国宪法上的合法性基础。这意味着欧盟当初作出“充分性认定”的重要前提已经不存在了。
NYOB还认为,除了 FTC,欧盟依赖的其他美国的所谓独立监督机制,如“数据保护审查法院(DPRC)”、隐私和公民自由监督委员会(PCLOB),也都可能面临同样的问题,因为它们的独立性同样站不住脚,总统随时可以指挥他们干这干那,把他们的官员炒了鱿鱼。这不是特朗普政府的问题,而是欧美法律本身出现了根本冲突,但这一冲突导致跨大西洋数据流动不再符合欧盟法律的要求。
当然,NOYB指出,美国最高法院的这次判决不会让欧美数据传输机制马上失效。因为欧盟的数据充分性决定(EU 2023/1795)在法律上仍然有效,除非欧盟委员会主动撤销,或者欧盟法院判决其无效。在此之前,企业仍可以继续依赖该决定传输数据。但对于没有依赖该决定、而是使用标准合同条款(SCC)或约束性公司规则(BCR)的企业来说,影响将立马开始显现。因为这些企业必须自行评估美国是否仍能提供足够的数据保护,而这一评估原本依赖 FTC、PCLOB、数据保护审查法院(DPRC)等美国监督机构的“独立性”。如今这一点被最高法院判决否认了。企业重新评估后,很可能会得出“数据传输已不再合法”的结论。
这个事给欧盟委员会出了一个难题,也给跨大西洋关系增加了新的不确定性。
拜登时期,欧美还可以通过美欧贸易和技术委员会(TTC)等机制协调数字政策。特朗普第二任期后,这一路径明显收窄。美国认为欧盟通过数字监管和税收打压美国科技公司;欧盟则认为美国平台不尊重欧洲监管主权和用户权利。如果数据传输问题再次爆发,原本技术性的法律问题很可能迅速政治化,并与贸易谈判、安全合作、北约义务分担等议题交织在一起,变得更难解开。
更深层的问题,是所谓国家间的制度等效性认定。数据能不能跨境流动,本质上不是简单看两国关系好不好,而是看对方制度能否持续、稳定、可验证地保护相关权益。比如,对方监管机构是否独立,法院是否能提供有效救济,政府能否在缺乏司法审查的情况下调取企业和个人的数据,安全机关的权限是否受到约束。
GDPR 的充分性认定就是典型例子。欧盟不是信任某一届美国政府,而是信任美国的一整套制度安排:独立监管、司法救济、情报机关权限边界。一旦这套制度安排发生变化,信任基础就会动摇,即便美国没有主动违约,协议也可能难以维持。
欧盟不承认中国的数据保护充分性,也可以从这个逻辑理解。欧盟担心的是中国法律体系下,政府是否可能较少受到外部约束地访问企业持有的个人数据。反过来,中国《个人信息保护法》第 40 条要求数据出境安全评估时,也要考察境外接收方所在国家或地区的数据保护政策法规和网络安全环境。这与 GDPR 第 45 条的充分性认定,在逻辑上是相通的。
制度等效性认定很难单靠外交谈判解决。因为争议核心往往涉及对方国内法律秩序,而这正是国家主权最核心的部分。最终结果通常只有两种:要么一方接受另一方的单方面评估,主动通过制度调整对接对方的规则,就像美国通过DPF做的一样;要么双方进行制度隔离,重新安排数据、资本乃至人员流动的方向,渐行渐远,直至脱钩。
在这方面,一国国内法律制度的稳定性非常重要。
例如,中国在域外数据调取问题上长期强调属地原则。也就是说,中国执法机关在办理案件时,原则上只能直接调取境内存储的数据;对于境外存储的数据,应通过司法协助等正式渠道,由数据所在国依法调取后再移交。这一立场体现在《全球数据安全倡议》以及中国政府多次对外表态中。
这与美国依据《云法案》单边调取存储在他国数据的做法形成鲜明对比,也使中国在国际数据治理议题上具有一定道义优势,尤其受到不少发展中国家的认可。阿拉伯国家联盟已与中国达成《中阿数据安全合作倡议》,非洲联盟也承诺以《全球数据安全倡议》为基础加强网络和人工智能合作,东盟国家也多次对中国相关主张表示积极评价。
这一立场对中国企业出海也很重要。面对外国监管机构关于“中国政府可以要求企业提供境外存储数据”的指控,中国企业经常可以援引中国政府关于属地管辖和数据主权的立场予以回应。
不久前的TikTok诉爱尔兰数据保护委员会案中,爱尔兰高等法院的裁决非常简练地概括了这类核心论点:
“TikTok在诉讼中的立场是,作为中国法律事项,依据相关中国法律,中国主管机关获取个人数据的任何权限均受属地原则约束,中国主管机关无权获取存储于中国境外的数据。其主张,本次调查所涉个人数据,虽然在中国被远程访问(且可被访问),但始终存储于中国境外,因此处于中国主管机关管辖范围之外。”
更重要的是,根据法院的说法:“实质上,爱尔兰数据保护委员会接受了如下观点:基于属地原则,存储于中国境外的数据不受相关中国法律约束,因此不存在其所受保护水平低于欧盟所保障水平的风险。”
当然,中国相关制度也曾出现过争议。2016 年,两高一部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第六条曾规定,无论电子数据存储于境内还是境外,均可通过网络在线提取。这一规定一度引发国际关注,许多国家认为中国可能改变了其在网络主权和数据主权问题上的立场。
美欧政策和法律界也高度关注这一条款,认为中国史无前例地确立了对境外数据的管辖权和调取权,挑战了刑事司法协助条约体系的基础。2017年,美国知名法律博客Lawfare发文《Did China Quietly Authorize Law Enforcement Access to Data Anywhere in the World?》,将该条款定性为“中国似乎授权执法机关单方面提取境外数据”,在美国国家安全法圈产生显著影响。欧洲数据保护委员会(EDPB)2021年研究报告明确指出:2016年中国电子数据规定中关于“无论数据存储于境内境外均可在线访问”的内容,“引发了巨大争议,许多国家将其视为对网络空间管辖权的违反”。
但 2018 年公安部《公安机关办理刑事案件电子数据取证规则》又将相关规则调整回属地原则:公安机关可调取境内数据;对于境外数据,只有在数据公开的情况下才可依法提取。由此,中国的实践重新回到《全球数据安全倡议》所主张的属地管辖和数据主权框架之下。
跨境数据流动最终建立在制度信任之上,而制度信任来自法律规则的稳定、清晰和可预期。无论是欧盟的充分性认定,还是企业的数据跨境安排,依赖的都不是某一届政府的临时承诺,而是一国法律制度能否长期稳定运行。对中国而言,未来无论是推动国际数据合作、争取更多国家认可中国的数据保护制度,还是回应海外关于数据安全和政府访问权限的质疑,都需要一个具有连续性的法律基础。法律当然要随着技术和现实变化不断完善,但涉及数据主权、属地管辖、司法协助等基本原则,应尽量保持稳定,并充分考虑外部世界如何理解和解读。法律制度的稳定性、透明性和连续性,本身就是国际竞争力,也是国际合作最重要的信用资产,更是涉外法治的应有之义。
文章仅做学术探讨和研究交流使用,相关判断不代表任何公司或机构立场,也不构成任何法律、商业或投资建议。转载请注明出处。
声明:本文来自东不压桥研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。