罗治兵 腾讯研究院法律研究中心助理研究员
无效判决引发的误读
10月6日,欧盟法院公布了一份无效判决 ,宣布与“美国-欧盟安全港协议”(US-EU Safe Harbor Scheme)有关的“2000/520号欧盟决定”(Safe Harbor Decision)无效。此判决一出,众多国内媒体旋即将其解读为欧盟废除“安全港协议”,实在是对欧盟法院判决的误读。殊不知,欧盟法院虽然对于欧盟法律的效力拥有最终决定权,但是对于双边或者多边国际条约或者协议的效力,似乎并没有那么大的话语权。
还原案件的来龙去脉
所以,有必要梳理一下案件的来龙去脉。一位名叫Schrems的奥地利公民自2008年以来就在使用Facebook,他发现Facebook在爱尔兰的分支机构将收集的他的个人数据传输到了Facebook在美国的服务器。2013年发生的斯诺登事件增强了欧洲国家对美国隐私保护的怀疑,他因此向爱尔兰数据保护委员会提出申诉,声称考虑到大规模的政府监控,美国并没有对转移到其国内的个人数据提供充分的保护,并要求该机构行使法定权力禁止爱尔兰分公司将他的个人数据转移到美国。爱尔兰数据保护委员会否决了他的申诉,认为根据欧委会于2000年7月26日通过的“2000/520号欧盟决定”,安全港协议对个人数据提供了充分保护。
于是,他向爱尔兰高等法院提起了诉讼。爱尔兰高等法院认为,监控和拦截被转移到美国的个人数据事关公共利益,而斯诺登事件表明美国国家安全局(NSA)等联邦机构过度滥用了其职能,致使欧盟民众的权利得不到有效保护。一旦个人数据被转移到美国,在大规模以及不加选择的监控和拦截过程中,NSA、FBI等联邦机构就可能侵入这些数据,所以美国对个人数据没能够提供充分保护。由于该案涉及到了欧委会的“2000/520号欧盟决定”的效力问题,而只有欧盟法院对欧盟法律的效力拥有最终发言权,所以爱尔兰高等法院提请欧盟法院对相关法律问题做出初步裁决。这才有了10月6日的那份无效判决。
无效判决严重挑战美欧安全港协议
这份判决解决了两个问题。首先,欧盟法院宣布“2000/520号欧盟决定”无效,因为欧委会并没有履行职责去调查美国对个人数据实际上是否提供了充分保护,而仅仅通过审查安全港协议得出了结论。同时,安全港协议只对自愿加入的美国企业有效,而不能约束美国政府;而且,美国的国家安全、公共利益以及执法诉求在位阶上要优于安全港协议,当两者冲突时,美国企业必须无视安全港的隐私要求。最终,欧盟法院认为,该决定不仅危害了尊重私生活的基本权利,而且危害了有效司法保护的基本权利,因为其没有给个体提供获取、修改、清除其个人数据的救济。其次,欧盟法院认为欧委会无权限制成员国监管机构的权力,就该案而言,如果个体对该决定是否符合保护个体隐私、自由等基本权利产生了疑问,成员国监管机构有权做出判断,而该决定却剥夺了这一权力。
显然,这份无效判决对已经存在了15年之久的美欧安全港协议的效力带来了重大挑战。成员国数据监管机构可以因此禁止美国公司在美国收集、存储其国民的个人数据,哪怕美国公司通过了安全港认证。
安全港协议:促进美欧个人数据跨境转移
但是,想要明白欧盟法院的无效判决对美欧之间个人数据跨境流动的影响,必须首先考察一下欧盟的数据保护法。根据《欧盟基本权利宪章》(the Charter of Fundamental Rights of the European Union),尊重私生活和隐私是一项基本权利,这其中包括对个人数据的保护。1995年,欧盟通过《数据保护指令》,对个人数据提供了很高程度的保护。指令第25条规定,只有当第三方国家对个人数据提供充分保护(Adequate Level of Protection)时,才允许将欧盟民众的个人数据存储或者传输到该第三方国家。这一规定实际上禁止向欧盟以外的第三方国家转移个人数据,除非欧盟发现该第三方国家的国内法或者国际承诺可以提供充分保护。指令将这一权力赋予了欧盟委员会,由欧委会发现并决定第三方国家的国内法或者国际承诺是否可以提供充分保护。目前,加拿大、瑞士、阿根廷等国家获得了欧盟的认可,该目的国列表不断更新。
对不能提供充分保护的第三方国家,欧盟法律提供了两个变通规定,即标准合同条款和公司内部规则。数据发送者和数据接收者签署欧盟与个人数据传输和保护有关的格式合同,或者相关实体采取公司内部规则保障个人数据安全,以此来达到充分保护要求。
此外,在美国和欧盟之间存在着一个与数据跨境流动的“美国-欧盟安全港框架”。由于美国缺乏统一的数据保护法,未能达到欧盟指令的充分保护要求,这将妨碍个人数据在美欧之间跨境转移。为了解决这一问题,美国和欧盟于2000年达成了一个折衷的安全港协议,安全港包含一系列隐私原则,包括通知、选择、数据转移、数据获取、数据安全、数据完整以及执行等七大原则,用以保护个人数据。安全港协议达成后,拥有发现和确认第三方国家是否达到充分保护要求的欧委会通过“2000/520号欧盟决定”,确认安全港隐私原则以及附属条款对个人数据的保护达到了欧盟指令的充分保护要求。
受此决定影响,安全港协议给美欧机构带来了诸多好处,包括,所有欧盟成员国都将受到“充分保护”的约束,参加安全港的机构被认为提供了充分的隐私保护,成员国对于数据转移的事先批准被取消或者自动授权,欧盟公民可以在美国起诉美国机构,合规要求有利于中小企业。美国机构可以自愿加入安全港协议,遵守并执行安全港隐私原则,并公开宣布其符合安全港协议的相关要求。获得安全港认证的美国机构可以享受安全港协议带来的一系列好处,包括在美国境内收集、存储欧盟公民的个人数据。目前,已有5000多家美国机构加入了安全港。
判决影响:美欧个人数据跨境转移前途未卜
斯诺登事件后欧盟对数据跨境流动更为谨慎。欧盟法院10月6日的判决虽然不直接针对安全港协议,但是却为安全港协议的前途笼罩上了一层疑云。在此之前,与安全港协议有关的“2000/520号欧盟决定”约束所有欧盟成员国,美国公司只要获得安全港的认证,就可以在美国收集、存储以及传输欧盟公民的个人数据;而该决定的无效意味着安全港协议不再能够为美国企业提供之前的种种好处,安全港协议有点被架空的意味。判决之后,美国和欧盟之间也许会重新谈判、修改已经存在了15年的安全港协议,以期再次获得欧盟的信任。
目前,该判决对美欧个人数据跨境流动的潜在影响,以及是否会使美国公司在美国收集、存储欧盟公民的个人数据变得更加困难,还有待进一步观察。微软、Facebook、Airbnb等很多硅谷公司目前持观望态度,因为除了加入安全港,这些公司往往还有别的备选方案,比如借助欧盟标准合同条款、公司内部规则或者其他承诺,来满足欧盟指令的充分保护要求。但是,很多做跨国业务的美国中小企业势必会受到一定程度的影响。
附:美欧安全港协议
一、背景情况
欧盟1995年通过了《数据保护指令》(即欧洲议会和理事会1995年10月24日关于涉及个人数据处理的个人保护以及此类数据自由流动的95/46/EC指令),通常称为“一般指令”。
根据该法确立了数据保护的基本原则,即禁止向欧盟之外转移个人数据。除非目的国能与法国提供相同水平的数据保护,该相同水平的保护可以通过以下方式实现:
1、如果该目的国个人数据保护水平经过欧盟委员会承认已达到欧盟水平,比如加拿大、瑞士、阿根廷等,则可以自由向该目的国转移数据。该目的国列表不断更新。
2、合同方式,即数据转移实体与数据接收实体签署由欧盟委员会通过的格式合同,或者相关实体采取内部规则以建立个人数据传输方面的行为准则。
3、如果传输目的国为美国实体,则遵循安全港原则。欧盟委员会个人数据保护指令1998年生效,禁止向保护水平低于欧盟标准的非欧盟国家转移个人数据。美国与欧洲都致力于个人数据保护,但美国采取不同的路径。美国通常通过法律、条例及自律方式分行业进行个人数据保护。欧盟通常通过综合性立法,独立的监管机构、向监管机构注册数据库、部分情况数据处理前置审批等方式加强个人信息保护。由于路径的分歧,欧盟指令可能阻碍美国机构进行一系列跨国交易。为了协调不同的保护路径,并为美国机构提供符合欧盟指令的保护手段,美国商务部与欧盟委员会协商,于2000年发展出了“美国-欧盟安全港”框架。此外,美国还单独与瑞士发展出了“美国-瑞士安全港”框架。获得安全港认证机构将可使用官方“安全港认证”标识,可置于机构网站、媒体等,并可享受数据保护方面的“安全港利益”。截至目前已有3000多企业通过了安全港认证。
目前仅受美国联邦贸易委员会(FTC)及受交通部(DoT)管辖的空运提供商可以参加安全港。不受FTC管辖的机构包括部分金融机构(如银行、信贷机构等)、电信运营商、劳工协会、非营利组织等。此外,FTC 对于保险活动的管辖权也限定于特殊领域。
二、美欧安全港利益
美欧安全港项目对美欧机构带来一系列好处。包括:
·所有欧盟27个成员国都将被欧盟委员会“充足保护”的约束
·参与机构被认为提供“充分”的隐私保护
·成员国对于数据转移的事先批准被取消,或者自动授权;
·欧盟公民对美国机构的诉讼在美国进行,部分限制情形除外;
·合规要求流程化且经济,有利于中小企业。
参与“欧美安全港”认证的机构在官方网站上列出,且不断跟新。
三、参与方式
美国机构加入安全港项目为自愿。参加机构必须符合美欧安全港框架的要求,并公开宣布其符合要求。为了保证获得“安全港”的好处,相关机构每年应以书面形式向美国商务部表明其同意满足安全港相关要求,包括通知、选择、进入、执行等。同样需要在其公布的隐私政策内表明其遵守“安全港隐私原则”。
为了符合美欧安全港项目,通常需要两步:
1、加入符合美欧安全港框架要求的自律隐私政策项目
2、发展其自律隐私政策使其符合美欧安全港框架。
四、安全港隐私原则要求
相关机构须符合安全港隐私七原则:
1、通知
相关机构应通知用户其收集信息的目的。应提供用户咨询或投诉的联系信息,披露信息的第三方机构类型、选择,机构限制用户信息使用及披露的方式。
2、选择
机构应给用户机会选择其个人信息是否向第三方披露、目的是否与原始收集并授权目的一致。对于敏感信息,如果信息将向第三方披露或用于非原始收集或授权目的,应给予用户肯定及明示的选择。
3、第三方转移
向第三方转移时,如果第三方为安全港隐私原则制约方、欧盟指令制约方或达到“充分”保护要求,机构必须执行通知及选择原则。此外,机构可通过书面协议要求第三方提供不低于安全港隐私原则要求的隐私保护。
4、进入
用户必须有权进入其数据并修改、删除其数据。除非提供进入的费用及负担与隐私保护的风险不成比例。
5、安全
机构必须采取合理措施保护个人信息免予丢失、滥用或非授权性接触、披露、改变或损毁。
6、数据完整
个人信息必须与其使用目的相关。须采取合理步骤保证数据可靠、准确、完整、及时。
7、执行
为了保证安全港原则的执行,
1、稳定可行且可负担的独立申诉机制,根据相关立法保证用户投诉及纠纷被调查、处理及赔偿
2、执行核实公司承诺遵守安全港原则程序
3、因违反原则产生的补偿义务
未提供年度自我认证的机构将不再安全港参与者名单,且不再享有安全港带来的相关利益。
五、执行情况
1、私营部门
作为美欧安全港项目义务,机构被要求设置调查及解决个人投诉及纠纷的纠纷解决机制、合规性审查机制。纠纷解决机构的处罚应足以保证机构遵守相关原则,包括公布违规事实,部分情况下删除相关数据。同样包括中止隐私项目会员(随即有效中止美欧安全港项目)及禁令。
争议解决、认证、救济要求可以通过多种方式实现。机构可通过遵守一个吸纳安全港隐私原则的私营行业隐私认证项目以符合安全港隐私原则。机构同样可以通过与政府咨询机构保持一致或者与欧盟数据保护机构合作以符合安全港相关要求。
2、政府执行
依靠产业部门,美国联邦贸易委员会,相关政府机构及州提供对于安全港隐私原则的执行。当完全或部分通过自律方式某机构不遵守安全港原则时,在联邦及州反不正当及欺诈法律框架下可采取行动。目前,在美国联邦贸易委员会或公共交通委员会管辖下的空运票务机构可以参与美欧安全港项目。联邦贸易委员会或公共交通委员会均照会欧盟委员会其将采取措施应对不遵守美欧安全港框架的机构。
例如,在美国联邦贸易法下,不遵守其安全港隐私原则承诺的机构可被认为欺诈,联邦贸易委员会可采取措施,即使一机构仅仅依靠自律遵守美欧安全港隐私原则。联邦贸易委员会对此类事项可通过行政命令或每日12000美元的罚款以纠正此类行为。
如果机构持续违反,将不再享有安全港相关利益。机构不遵守相关自律机构或政府机构决定而导致持续违反,或相关机构认为该机构持续违反相关要求,该机构必须及时通知美国商务部相关事实,否则将受美国《错误承述法》约束。美国商务部向公众更新其美欧安全港名单,公布相关违规通知,明确哪些机构不再享受安全港利益。一机构参加自律性机构以重新加入美欧安全港项目,必须提供该机构之前参与美欧安全港项目的全部信息。
