斯諾登事件撬開Facebook愛爾蘭公司數據出境美國的調查之門

歐盟的個人數據保護立法尤其是統一立法可謂走在世界前列，對於個人數據的跨境傳輸也是如此。從最早的95年個人數據保護指令（“95年指令”，1998年10月25日生效）[1]在第四章規定向歐盟之外第三方國家傳輸個人數據到《通用數據保護條例》（GDPR）第五章規定數據的跨境傳輸，都進行了相關規定。與95年指令相比，GDPR在數據跨境傳輸的條文安排上有較大區別，也多出了“具有約束力的公司規則”（BCR）這一出境路徑。但不管怎樣，兩者的宗旨是一致的，就是要確保第三國對個人數據提供等同於歐盟的足夠保護。在認定足夠保護的路徑上，歐盟對美國傳輸數據的做法最具代表性。本篇將圍繞調查Facebook愛爾蘭公司的來龍去脈，概要介紹調查的始末。

一、源起：數據出境安全港（Safe Harbour）規則

95年指令第25條規定，只有在第三國保證對個人數據的充足保護（adequate level of protection）的情況下才能將個人數據向該第三國傳輸。當評估保護是否充足時，應當結合整體情況，考慮數據的性質、擬開展傳輸數據的目的及持續時間、數據傳輸接收國、接收國的法治程度、和接收國的執業規則和安全措施等綜合考慮。[2]當然，歐盟委員會也可根據接收國的國內法、作出的國際承諾或者與接收國達成協議認定接收國對個人數據提供了充足保護。[3]另外，如果無法作出上述充足保護的認定，也可以通過合同條款[4]或標準合同條款[5]個案批準等方式出境。

鑑於較高的出境要求以及美國採取分部門立法保護隱私的做法與歐盟不同，爲了雙方的利益，美國商務部起草“安全港隱私規則”及常見問題問答等文件，與歐盟委員會協商，經協商一致，歐盟委員會於2000年7月26日形成《安全港規則決定》，認定如下事項作出後，歐盟成員國個人數據可以傳輸至美國：

美國商務部提供：

• 安全港規則執行概覽

• 個人隱私被侵犯後美國法律明確規定的可獲得損失賠償的備忘錄

• 美國聯邦貿易委員會（FTC）致歐盟委員會的信件

• 美國交通運輸部（DOT）致歐盟委員會的信件

  
  

具體傳輸時，數據接收方還應：

• 明白無誤地向公衆披露其完全遵守“安全港隱私規則”及常見問題問答的承諾

• 受美國聯邦貿易委員會或交通運輸部監管，以至於在違反安全港隱私規則”及常見問題問答時，這兩個政府部門之一能夠有權調查投訴並作出賠償決定以此讓受影響的個人能夠獲得救濟

數據接收方應當在向美國商務部通知上述兩項事項時，自我證明其完全遵守遵守“安全港隱私規則”及常見問題問答，從而證明滿足了上述兩個條件。自此，歐盟個人數據傳輸至美國的主要途徑就是“安全港規則”。

二、轉折：斯諾登事件引起調查連鎖反應

1、斯諾登事件引起數據保護獨立人士和歐盟委員會關注

2013年6月，愛德華.斯諾登披露了美國國家安全局（NSA）針對大型科技對公司的監視計劃，計劃包括對微軟、蘋果、Facebook美國公司等公司的互聯網和通信系統的監控或監聽。

2013年6月25日，愛爾蘭居民施雷姆斯（Schrems）先生向愛爾蘭數據保護委員會投訴認爲，鑑於斯諾登事件，Facebook愛爾蘭公司向Facebook美國公司傳輸個人數據已經違反歐盟和愛爾蘭的數據保護法律。實際上，投訴是對安全港規則的直接挑戰。當時的數據保護委員會主席（Commissioner）認爲，歐盟委員會已經採取了安全港規則，主席必須接受決定對其有約束力，因此，施雷姆斯的投訴沒有法律依據。據此，數據保護委員會主席拒絕啓動調查程序。

2013年10月，施雷姆斯向愛爾蘭高等法院提起訴訟，要求對愛爾蘭數據委員作出的拒絕調查決定進行司法審查[6]。

歐盟委員會對斯諾登事件對歐盟傳輸數據至美國的影響也表達了擔憂，美國政府與歐盟委員會成立臨時聯合工作組以調查美國國安局監視計劃的範圍、收集個人數據的規模、對此的司法和行政監督機制以及這些機制能否適用於歐盟自然人等。2013年11月27日，歐盟委員會發布聯合工作組的調查報告，指出美國政府承認存在“棱鏡計劃”並指出“棱鏡計劃”是經過《美國1978年外國情報監視法案》授權的。具體來說就是，美國會（在特定情況下）向諸如微軟、雅虎、谷歌、臉書、PalTalk、美國在線、蘋果、Skype和Youtube等互聯網服務提供商和提供在線服務的科技公司調取收集電子數據包括電信通信內容數據。報告對美國法律的相關問題提出瞭如下擔憂：

• 根據美國法律，有好幾個法律允許美國情報機構大規模收集和處理傳輸至美國的和美國公司處理的個人數據；

• 美國法對歐盟數據主體和美國數據主體的保護有區別，比如美國外國情報監視法院批準的選擇和最小化程序旨在減少涉及美國居民個人數據的收集、存儲和傳播，但並不適用於歐盟居民的個人信息。而美國居民有憲法權利保護，比如第四修正案，很顯然，這些無法適用於不住在美國的歐盟居民；

• 無論是歐盟個人信息主體還是美國個人信息主體，都沒有渠道獲悉他們的個人數據被收集或被進一步處理，也沒有機會接觸、修改或刪除他們的個人信息。

同日，歐盟委員會就安全港規則向歐洲議會和歐盟理事會提交了溝通書，就安全港規則提出了13項修改建議，這些建議覆蓋數據處理的透明化、救濟、執法等程序。

2、挑戰安全港規則決定

2014年4月29日，施雷姆斯先生的司法審查聽證在愛爾蘭高等法院進行。2014年6月18日，愛爾蘭高等法院判決，認爲應當將相關法律問題提交歐盟法院審查，特別是愛爾蘭數據保護委員會主席是否絕對受安全港規則決定的約束。

2015年10月6日，歐盟法院作出裁決，認爲歐盟委員會的安全港規則決定並不阻止愛爾蘭數據保護委員會主席對歐盟-美國數據傳輸進行調查，因此，愛爾蘭數據保護委員會主席應當對施雷姆斯先生的投訴進行調查。同時，歐盟法院也認定安全港規則決定無效。據此，愛爾蘭高等法院於2015年10月20日發佈撤銷拒絕調查令，要求愛爾蘭數據保護委員會調查施雷姆斯的投訴。

法院令狀發出後，愛爾蘭數據保護委員會立即對投訴開展調查，調查圍繞下面兩個問題：

• 根據95年指令第25條第2款的充足保護原則，美國是否爲歐盟居民的個人數據提供了充足的保護；

• 如果沒有，美國是否能夠援引95年指令第26條的一些補救方法獲得歐盟居民的個人數據。

2016年5月24日，愛爾蘭數據保護委員會主席發佈決定草案認爲，歐盟居民的個人數據可能被以不符合《歐盟基本權利憲章》的方式被美國官方處理但美國法律卻不能提供符合憲章47條規定的法律救濟。愛爾蘭數據保護委員會主席還初步認爲，歐盟委員會起草的2010年標準合同也無法彌補上述缺陷，因爲標準合同只賦予個人信息主體針對數據提供方和數據接收方的權利，標準合同對美國官方沒有約束力。

3、挑戰2010年標準合同條款

由於涉及2010年標準合同條款，愛爾蘭數據保護委員會主席提請愛爾蘭高等法院就2010年標準合同條款的有效性請求歐盟法院裁決。2018年5月4日，愛爾蘭高等法院判決，將2010年標準合同條款的有效性提交歐盟法院初裁。

Facebook愛爾蘭公司上訴至愛爾蘭最高法院，最高法院於2019年5月31日判決，維持原判。至此，2010年標準合同條款的有效性和其他問題一併提交歐盟法院初裁。歐盟法院於2019年7月9日舉行聽證，聽證的參加主體有：愛爾蘭數據保護委員會主席、Facebook愛爾蘭公司、施雷姆斯先生、英國軟件聯盟、美國、愛爾蘭、比利時政府、捷克政府、德國政府、法國政府、荷蘭政府、奧地利政府、波蘭政府、葡萄牙政府、英國政府、歐洲議會、歐盟委員會和歐洲數據保護委員會。

聽證後，歐盟法院於2020年7月16日作出裁決，就包括2010年標準合同條款決定有效性等11個問題進行了裁決。裁決認爲，根據憲章第7、8和47條，2010年標準合同條款決定有效，但如果數據接收國的法律阻礙數據接收方履行標準合同義務，則數據保護機構可以決定停止該數據傳輸。[7]

三、落定：調查處罰決定

歐盟委員會上述裁決作出後，愛爾蘭數據保護委員會啓動了調查並於2020年8月28日向Facebook愛爾蘭公司發出初查決定草案，告知Facebook愛爾蘭公司愛爾蘭數據保護委員會的初步觀點。2020年9月10日，Facebook愛爾蘭公司向愛爾蘭高等法院提出司法審查申請。2021年5月14日，愛爾蘭高等法院駁回了Facebook愛爾蘭公司的申請。經過幾輪辯論之後，愛爾蘭數據保護委員會最終於2023年5月12日作出調查處罰決定：

• Facebook愛爾蘭公司在決定生效後停止向Facebook美國總部傳輸歐盟自然人的個人數據；[8]

• 從收到處罰決定之日起六個月內停止在美國非法處理包括存儲歐洲經濟區（EEA）用戶的個人數據；

• 罰款12億歐元。

對於該處罰決定，Facebook愛爾蘭公司已經於當地時間6月9日向愛爾蘭高等法院申請司法審查並申請暫停執行關於停止向美國傳輸和存儲歐盟自然人個人數據的決定。法院接受司法審查的申請，並批準暫停執行關於停止向美國傳輸和存儲歐盟自然人個人數據的決定。

[1]全稱是《DIRECTIVE 95/46/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 24 October 1995on the protection of individuals with regard to the processing of personal data and on the free movement of such data》 。

[2]《95年指令》第25條第2款。 

[3]《95年指令》第25條第6款。        

[4]《95年指令》第26條第2款。 

[5]《95年指令》第26條第4款。 

[6]類似於我國的行政訴訟。 

[7]Case C-311/18 Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems EU:C:2020:559。 

[8]由於還涉及歐洲數據保護委員會的相關決定，當事人有權就該決定訴訟。因此，該決定的生效時間也是考慮因素。但由於情況複雜，筆者另文闡述。