各经济体跨境数据传输规则方面的巨大差异,即使在数字经济发展水平大体相当的美国和欧盟之间,也依然存在。美国和欧盟通过签署协议的方法,允许并规范它们之间的跨境数据传输。
欧盟1995年《数据保护指令》第25 条规定,只有当第三方国家通过相关国内法或国际承诺,对个人数据提供充分保护(adequate level of protection)时,才允许将欧盟公民个人信息转移、存储到该第三方国家进行处理。由于标准严格,只有瑞士、新西兰、加拿大、阿根廷等少数国家获得了欧盟认可的这种“充分保护地位”。1995年《数据保护指令》出台之后,美国的雅虎、谷歌等互联网公司相继成立,美国互联网产业迎来快速发展,而互联网产品和服务超越国界,跨境收集、转移、处理个人数据成为必然趋势,为了满足欧盟的充分保护要求,从1998年开始,美国与欧盟不断进行谈判,最终在双方相互妥协的基础上签订了安全港(Safe Harbor)协议。安全港协议自2000年11月起生效,其目的是在保护个人数据安全的条件下,允许数据在欧盟成员国和美国之间流动。之后,欧洲委员会通过“2000/520 号充分保护决定”,确认安全港协议所规定的原则及附属条款对个人数据的保护达到了欧盟1995年《数据保护指令》第2条所要求的充分保护。这样,只要美国企业加入安全港,并公开承诺遵守安全港协议的要求,就可以将欧盟公民个人信息转移到美国境内进行处理。[17]
安全港协议的基本框架是在欧盟个人数据保护指令(Directive 95/46/EC)所规定的“充分性原则”以及欧盟委员会2000年7月通过的2000/520/EC决议基础之上建立的。企业本着自愿原则,通过自我认证(Self-Certifying)方式加入安全港。企业需根据安全港协议的七个原则即通知(Notice)、选择(Choice)、向第三方传输(Transfers to Third Parties)、访问(Access)、安全(Security)、数据一致性(Data Integrity)、强制执行(Enforcement)等原则制定或修改自己的隐私政策,并保证公司行为符合安全港协议的基本框架。安全港协议对相关公司的要求是:(1)公司必须每年提交一份自我认证,证明他们是遵守安全港计划的;(2)公司必须制定一个清晰、简洁、个人容易理解的隐私政策;(3)公司必须明确告知个人哪些数据被收集以及如何使用这些信息,并给个人不再同意对其数据加以使用和披露的机会;(4)公司必须只向其他能充分信任的组织传输数据,应采取合理的预防措施,通过合理的步骤来确保数据预期用途和对公众开放的安全可靠,并创建有效的机制处理个人投诉。到2016年2月,美国共有5558家企业获得许可使用欧盟各国的个人数据,但其中有1307家企业后来不被认可。进入安全港的美国企业被欧盟认为具有“充分保护地位”,可以享受以下好处:在接受欧盟28国个人数据时不需再签订“标准合同条款”,可以自动获得欧盟的个人数据传输批准,受到欧盟居民投诉时可以在美国解决争议,交易不会被数据保护问题打断,节省了交易成本。[18]
然而,2013年的“棱镜门”事件使欧盟各成员国普遍担心其个人数据保护乃至国家信息安全。2014年1月,欧盟和美国开始启动谈判,磋商新的数据跨境协议,以取代当时还有效的安全港协议。当谈判尚未取得成果时,奥地利一名法律学者施雷姆斯(Schrems)就因担忧美国公司无法充分保护个人数据,向Facebook欧洲总部所在地爱尔兰的数据保护委员会提出了申诉,认为向Facebook存储的个人信息受到美国国家机构的监控。施雷姆斯的申诉被爱尔兰数据保护委员会以美欧安全港协议为由予以驳回后,他随即将这一纠纷诉至爱尔兰高等法院。爱尔兰高等法院认为,一旦欧盟公民个人数据被转移到美国,在不加区分的大规模监控、拦截过程中,NSA、FBI等联邦机构就可能非法获取这些数据;考虑到案件涉及欧洲委员会“2000/520号充分保护决定”,爱尔兰高等法院提请欧盟法院(Court of Justice of the European Union)做出裁决。欧盟法院在2015年10月6日的裁决中认为,“2000/520号充分保护决定”其实没能达到《1995 年数据保护指令》所要求的充分保护程度,因此是无效的,理由有四点:一是安全港协议中并未要求美国达到与欧盟相当的个人数据保护水平,这不符合欧盟1995年《数据保护指令》;二是安全港协议只约束自愿遵守并加入协议的美国企业,对其他企业没有约束;三是美国政府当局不受安全港协议制约,美国国家安全、执法诉求等凌驾于安全港协议之上,可以对跨境转移到美国的欧盟公民个人信息采取监控、拦截、获取等措施;四是对欧盟成员国而言,安全港协议实际上限制了各成员国数据保护机构的独立监管职能。由此,安全港协议遭到了欧盟方面的否定,数千家美国企业跨大西洋转移欧盟公民个人数据随即失去安全港协议的庇护,美欧企业之间只能通过一对一的合同方式处理跨境数据流动,效率低下,成本极高。同年11月6日,欧洲委员会发布指南,在督促美国方面尽快与欧盟达成新协定的同时,也为保障跨大西洋转移个人数据提出其他可选方案,其中包括“标准合同条款”和“约束性公司规则”等。
显然,欧盟对美国的数据保护力度不认可,对美国不允许欧盟居民向美国法庭提起诉讼感到不满,期望新的美欧相关协议可以更加切实地向欧盟标准靠拢。
2016年2月2日,欧盟和美国就两地公司之间传输个人数据涉及的隐私保护问题达成新的框架协议即隐私盾(Privacy Shield)协议。这一新闻发布后,欧盟层面的数据监管机构即“第29条工作组”对该协议并不满意,认为欧洲委员会在美国政府对欧洲公民数据保护一事上缺乏足够诚意,一是“协议内容本身就是任意的大规模数据搜集行为”,“是不可接受的”,二是处理欧洲公民投诉的美国监察专员制度的能力和独立性没有明确。欧盟议会则于2016年5月26日建议欧盟委员会应与美国商务部在下列四个议题上再行谈判:(1)关于美国政府部门获取已转移数据的限制;(2)根据《欧盟基本权利宪章》,要求美国明确收集数据要限于必要、符合比例原则;(3)监察专员的权限和独立性;(4)对于美国承诺的复杂救济机制商谈出一个用户友好且有效的救济机制。2016年6月27 日,欧盟与美国就隐私盾协议最终版本达成一致。经修改的协议被送给欧盟各成员国,并于7月14日生效。[19](www.daowen.com)
同安全港协议一样,隐私盾协议也包含七大隐私原则,但其内涵比安全港协议的原则丰富。此外,隐私盾协议还包含一系列补充原则,涉及针对处理个人敏感信息的特殊规定、新闻例外原则、ISP和电信运营商(提供传输、发送、转换、缓存等服务)不承担次级责任的原则、从事尽职调查和审计的例外、数据保护机构的角色、自我确认程序等。与安全港协议相比,隐私盾协议的不同之处主要体现在以下几方面。[20]
(1)美国政府数据访问的清晰保障措施和透明度义务。第一,美国国家情报总监办公室对欧盟书面保证:基于执法和国家安全目的而对数据的使用,将服从清晰的限制、保障和监督机制。而且,这种数据访问只会在必要的和适当的程度上使用。第二,美国政府获取欧盟公民个人信息将明确限于以下六个目的:一是侦测、反击外国势力的特定行动;二是反恐;三是反制核扩散;四是网络安全;五是侦测、反制对美国和同盟军事力量构成的威胁;六是打击国际犯罪威胁,包括逃避刑事制裁的行为。美国方面承诺不再对个人数据进行大规模的任意监控。这些要求和美国国内对大规模监控的限制大体一致。第三,欧洲委员会和美国商务部将牵头进行年度审查,美国情报专家和欧洲数据保护部门也将被邀请参加评审过程。为了确保隐私盾的有效运作,并监督美国履行其承诺,欧洲委员会会同美国商务部每年对隐私盾的相关情况进行一次审查,并公开其审查报告。这比欧盟《一般数据保护条例》的相关规定更为严格,因为后者要求至少每四年对第三方国家的隐私保护情况进行一次审查。此外,年度审查并不是形式上的,如果美国企业和政府部门未遵守其承诺,欧洲委员会就可以暂停隐私盾协议的运作。
(2)美国的数据输入者对欧洲公民个人数据更强的保护义务。第一,数据输入者必须对如何处理个人数据和保证个人的权利承担“稳健义务”(robust obligations)。虽然参加隐私盾是自愿的,但是一旦美国企业提交参加隐私盾的自我确认书,就应当完全遵守其中所有的数据保护原则,而且需要公开其隐私政策、执法部门获取个人信息的请求等。对美国企业而言,只有在以下情形下才可以不用遵守隐私盾的数据保护原则及补充原则,这些情形包括:为了满足必要的国家利益;公共利益或者执法需求;制定法、政府法规、判例法有与之相冲突的规定;欧盟和成员国法律存在例外、减损规定。此外,美国企业声明其符合并遵守隐私盾之要求的自我确认书必须至少每年提交一次,否则就会被从隐私盾名单中除名。即使是已经退出隐私盾协议名单的企业,如果其继续存储根据隐私盾协议获得的个人数据,也必须就相应的个人数据,履行隐私盾协议规定的义务。按照隐私盾协议中不承担次级责任的原则,名单内企业将个人数据传送给第三方时,首先必须通知数据主体,由数据主体选择是否可传送。其次还必须与第三方签订合同,确保这些个人数据被用作有限且特定的用途,享受至少同等水平的保护措施。此外还必须采取合理的措施,阻止第三方对传输的个人数据从事任何未经授权的行为。如果第三方是隐私盾协议名单内企业的代理人,则名单内企业需对代理人违反规则的行为承担后果,除非有明确的免责证据。第二,在监督和执法方面,美国商务部、联邦贸易委员会(FTC)、交通部等有权部门负责监督参加隐私盾的美国企业履行义务,并作出处罚和制裁,包括可以依据美国《联邦贸易委员会法》第45条认定违反企业构成不正当竞争手段,给予严厉处罚(如罚金、除名等)。第三,对于人力资源数据,数据输入者也需要遵守欧洲数据保护部门的决策。
(3)欧盟公民权利可以通过几个救济选项得到有效保护。对于违反隐私盾协议的行为,欧盟公民会有几个寻求解决办法的选择:一是直接向数据输入者提出请求和投诉,后者必须于45日内做出回应;二是通过数据输入者提供的免费的替代性纠纷解决机制(ADR)来解决争端;三是可以直接向其本国数据保护机构进行投诉,后者负责将投诉转交美国商务部,美国商务部必须于90日内做出回应,或者将投诉转交FTC处理;四是如果穷尽前述方式未能解决争议,最后可以诉诸一个名为“隐私盾小组”(Privacy Shield Panel)的仲裁程序。此外,美国国务院内部设置一个独立于国家安全部门的监察专员,负责跟踪和处理涉及政府部门监控、获取个人信息的投诉和咨询。
安全港协议这个运行了15年、以行业自律为主的双边协调机制曾经取得了巨大的成果,最终因为无法满足欧盟跨境数据传输规则上的要求而被隐私盾协议取代。事实上,美国不止与欧盟之间存在安全港协调机制,与瑞士之间也同样适用这一协调机制(瑞士不是欧盟成员国);同时,加拿大在获得欧盟的“充分保护地位”后,也允许本国企业向加入了安全港的美国企业传输个人数据。可以预见的是,在今后的较长一段时间内,隐私盾协议将成为美欧之间数字经济下国际合作的双边协调机制,并可能对美瑞之间、美加之间的相关协调机制产生影响。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。