腾讯研究院 曹建峰 柳雁军 田小军
20年间,素来强调隐私和个人信息保护的欧盟,一直推动高标准的个人数据保护制度,甚至延伸到个人数据跨境流动。美欧之间的个人数据跨境转移政策几经变化,已经从“安全港”时代过渡到了目前的“隐私护盾”时代。
一、“安全港”是欧美数据保护制度折中的产物
欧盟《1995年数据保护指令》对电脑处理个人数据提供了保护。指令第25条规定,只有当第三方国家通过相关国内法或国际承诺,对个人数据提供充分保护(adequate level of protection)时,才允许将欧盟公民个人信息转移、存储到该第三方国家进行处理。这实际上禁止向欧盟以外的第三方国家转移个人数据,除非欧洲委员会认为该第三方国家能够充分保护个人数据。目前,瑞士、新西兰、加拿大、阿根廷等国家获得了欧盟认可。
《1995年数据保护指令》出台之后,雅虎、谷歌等互联网先锋公司相继成立,随后,美国互联网产业迎来快速发展。由于互联网产品和服务超越国界,跨境收集、转移、处理个人数据成为一个必然趋势。然而,由于美国对个人数据采取行业分散保护机制,整体未能达到欧盟要求,这将妨碍在美国和欧盟之间跨境转移个人数据。于是,为了满足欧盟的充分保护要求,双方于2000年达成了一个折中的安全港协定。之后,欧洲委员会通过“2000/520号充分保护决定”,确认安全港隐私原则及附属条款对个人数据的保护达到了欧盟的充分保护要求。这大大便利了双边个人数据流动;只要美国企业加入安全港,并公开承诺遵守安全港的要求,就可以将欧盟公民个人信息转移到美国境内进行处理。美国中小企业尤其从中受惠。
二、欧盟法院否定“安全港” 美欧个人数据跨境流动前途未卜
2013年,美国监控丑闻曝光,欧盟成员国数据保护机构纷纷质疑安全港协定;于是,2014年1月,欧盟和美国开始启动谈判,磋商新的数据跨境协定,以取代当时还有效的安全港协定。不料,新协定尚未达成,欧盟法院就率先否决了安全港协定。
2015年10月6日,欧盟法院一纸判决否决了安全港协定,数千美国企业跨大西洋转移欧盟公民个人数据失去庇护。11月6日,欧洲委员会发布指南,在督促尽快达成新协定的同时,为保障跨大西洋转移个人数据提出其他可选方案,包括合同方案和有效公司规则。
案件源于奥地利公民Schrems针对Facebook跨境转移其个人数据而向爱尔兰数据保护委员会提出的投诉。爱尔兰数据保护委员会拒绝了这一投诉;Schrems遂起诉到爱尔兰高等法院。爱尔兰高等法院认为,一旦欧盟公民个人数据被转移到美国,在不加区分的大规模监控、拦截过程中,NSA、FBI等联邦机构就可能非法获取这些数据;考虑到案件涉及欧洲委员会“2000/520号充分保护决定”,故提请欧盟法院作出裁决。欧盟法院认为,欧洲委员会没有尽职调查美国对个人数据实际上是否提供充分保护,仅仅通过审查安全港协定,就得出武断结论。此外,美国国家安全、执法诉求等凌驾于安全港之上,可以对跨境转移到美国的欧盟公民个人信息采取监控、拦截、获取等措施。在这样的背景下,“2000/520号充分保护决定”其实没能达到《1995年数据保护指令》所要求的充分保护程度,因此无效,安全港因而遭到否定。
三、“隐私护盾”开创美欧个人数据跨境转移新秩序
安全港被欧盟法院否定之后,双方谈判加速。2016年2月2日,欧洲委员会宣布,双方已经达成一个新协定,名曰“欧盟-美国隐私护盾”(EU-SU Privacy Shield)。2月29日,隐私护盾姗姗来迟,公之于众。
同安全港一样,隐私护盾也包含七大隐私原则,但是内涵要比安全港隐私原则丰富。(见表)
此外,隐私护盾还包含一系列补充原则,涉及针对处理个人敏感信息的特殊规定、新闻例外原则、ISP和电信运营商(提供传输、发送、转换、缓存等服务)不承担次级责任的原则、从事尽职调查和审计的例外、数据保护机构的角色、自我确认程序等。在欧洲委员会起草的“充分保护决定”中,包含这些原则。
相比于安全港,隐私护盾的进步之处体现在四个方面。
其一,美国企业负担更强义务。虽然参加隐私护盾是自愿的,但是一旦美国企业提交参加隐私护盾的自我确认书,就应当完全遵守其中的所有隐私原则,而且需要公开其隐私政策、执法部门获取个人信息的请求等。此外,声明其符合并遵守隐私护盾之要求的自我确认书必须至少每年提交一次,否则就会被从隐私护盾名单中除名。在监督和执法方面,美国商务部、联邦贸易委员会(FTC)、交通部等有权部门负责监督参加隐私护盾的美国企业履行义务,并作出处罚和制裁,包括可以依据《FTC法》第45条,认定违反企业构成不正当竞争手段,给予严厉处罚,包括罚金、除名等。
其二,赋予欧盟公民更强数据权利和多种救济可能性。2015年12月15日,欧盟三方(欧洲议会、欧盟理事会、欧洲委员会)初步达成《一般数据保护指令》(GDPR),这是欧盟启动数据保护立法改革四年来的最新成果。GDPR旨在加强个体对其个人信息的控制力,为其赋予更强数据权利,被遗忘权赫然在列。所以,作为安全港之升级版的隐私护盾,其中的隐私原则及补充原则的内涵大大丰富、细化了。此外,在对欧盟公民的救济方面,新协定为欧盟公民提供了多种救济渠道。第一,欧盟公民可以直接向美国企业提出请求和投诉,后者必须于45日内作出回应;第二,参加隐私护盾的美国企业必须提供免费的替代性纠纷解决机制(ADR)并告知用户以便其可以进行投诉;第三,可以直接向其本国数据保护机构进行投诉,后者负责将投诉转交美国商务部,美国商务部必须于90日内作出回应,或者将投诉转交FTC处理;第四,如果穷尽前述方式未能解决争议,最后可以诉诸一个名为Privacy Shield Panel的仲裁程序。
其三,对美国政府进行网络监控、获取个人信息的明确限制。对美国企业而言,只有在以下情形下才可以不用遵守隐私护盾隐私原则及补充原则,包括:为了满足必要的国家利益、公共利益或者执法需求;制定法、政府法规、判例法有冲突规定;欧盟和成员国法律的例外、减损规定等。美国政府获取欧盟公民个人信息明确限于以下六个目的:一是侦测、反击外国势力的特定行动;二是反恐;三是反制核扩散;四是网络安全;五是侦测、反制对美国和同盟军事力量构成的威胁;六是打击国际犯罪威胁,包括逃避刑事制裁的行为。美国方面承诺不再进行大规模的任意监控。此外,在美国国务院设立一个独立的监察员,负责处理涉及政府部门监控、获取个人信息的投诉。这些要求和美国国内对大规模监控的限制相一致。比如,2014年1月,美国总统奥巴马签发第28号《总统政策指令》(PPD-28),将大规模收集数据限于六大国家安全目的,并且情报部门收集数据应当有明确的针对对象。此外,2015年6月通过的《美国自由法》(USA Freedom Act)对网络监控作出了必要限制,并要求科技企业发布透明度报告。
其四,年度审查机制。为了确保隐私护盾的有效运作,并监督美国履行其承诺,欧洲委员会会同美国商务部每年对隐私护盾的相关情况进行一次审查,并公开其审查报告。这比《一般数据保护条例》的相关规定更为严格,因为后者要求至少每四年对第三方国家的隐私保护情况进行一次审查。此外,年度审查并非形式上的。如果美国企业和政府部门未遵守其承诺,欧洲委员会就可以暂停隐私护盾的运作。
四、呼唤数据保护的国际规则
在数字经济发展、全球经贸日益紧密的今天,个人数据跨境流动日益频繁,数据跨境流动及个人数据保护制度的国际规则也日益提上日程,如TPP、中美投资保护协定、Apec隐私保护框架等都涉及相关制度。我国目前互联网产业发展迅猛,应积极推动个人数据保护等相关制度与国际接轨,积极参与国际规则的制定。