從“安全港規則”到”隱私盾“：歐美關於數據出境的兩次嘗試

2023年5月12日，愛爾蘭數據保護機構數據保護委員會（Data Protection Commission, DPC）對Facebook愛爾蘭公司作出處罰決定：1、決定生效後Facebook愛爾蘭公司停止向Facebook美國總部傳輸個人數據；2、從收到處罰決定之日起六個月內停止在美國非法處理包括存儲歐洲經濟區（EEA）用戶的個人數據；3、罰款12億歐元。該處罰決定於2023年5月22日在歐洲數據保護協調機構歐洲數據保護委員會（EDPB）公佈。此處罰決定一出，世界一片譁然。該處罰不但是歐盟國際作出的迄今爲止最大金額的處罰決定，還給互聯網的互聯互通功能大打折扣。縱觀處罰決定作出的歷史，歐盟立法機構歐洲議會和歐盟理事會和立法起草機構歐盟委員會、歐盟數據保護協調機構歐盟數據委員會（EDPB）、歐盟司法機構歐盟法院（CJEU）、愛爾蘭數據保護機構愛爾蘭數據保護委員會（DPC）、愛爾蘭高等法院和愛爾蘭最高法院等衆多機構都在各自職權內對個人數據跨境傳輸表明瞭態度、提出了建議。可以說，整個處罰的過程是一部歐盟數據出境立法、執法和司法的全面闡釋，對歐盟成員國的數據出境的借鑑意義不言而喻，對世界各國包括我國也有啓發。於此，筆者以“十年磨一劍——通過Facebook愛爾蘭公司被罰12億歐元看歐盟數據出境現狀以及對我國的啓發”爲系列文章的題目，以期全面向大家展示歐盟對數據出境的立法、執法和司法歷史和現狀，並結合我國數據出境的規定和執法現狀，提出對我國數據出境合規的啓發和建議。本篇是該系列文章的第二篇。

無論是《95年指令》還是GDPR，歐盟規定的歐盟個人數據出境到歐盟之外的第三國的判斷標準就是第三國是否對出境到該國的數據提供充足的保護（adequate level of protection），當評估保護是否充足時，《95年指令》規定應當結合整體情況，考慮數據的性質、擬開展傳輸數據的目的及持續時間、數據傳輸接收國、接收國的法治程度、和接收國的執業規則和安全措施等綜合考慮。[1]當然，歐盟委員會也可根據接收國的國內法、作出的國際承諾認定接收國對個人數據提供了充足保護。[2]GDPR則規定應當結合法治、對人權和基本自由的尊重和相關立法，是否有獨立的數據監管機構並有效履職，是否作出相關國際承諾或參加旨在保護個人數據的多邊或地區組織等等。[3]一旦第三國被認定爲提供充足保護，則歐盟數據出境至該第三國不需要任何其他要求直接出境。儘管如此，如何認定提供充足保護的操作規則仍然不夠具體。美國對歐盟個人數據出境到美國而與歐盟達成的協議能夠看出歐盟如何具體評價第三國能否對歐盟個人數據提供充足保護。

一、歐盟數據保護委員會（EU Data Protection Commissioner）[4]工作組建議充足保護的實體原則和程序規則

歐盟數據保護委員會1998年通過工作組文件的形式建議如下實體原則來確定第三國是否提供充足保護：

1) 目的限制原則：目的特定且使用和在傳輸需要與該目的相符

2) 數據質量和最小必要原則：數據必須準確和儘量最新；處理的數據不超過目的之所需

3) 透明原則：個人信息主體應能獲得數據處理目的、第三國數據控制者的身份和其他保證公正的信息

4) 安全原則：數據控制者應當採取與處理帶來的風險相適應的技術和組織安全措施

5) 接觸權、修改權和反對權：數據主體有權獲取其被處理的個人數據副本；如發現不準確，有權向數據控制者提出修改；在某些情況下，還有權反對對其個人數據的處理

6) 進一步傳輸限制原則：第三國數據接收方只有在再接收方提供充足保護情況下才能進一步傳輸

歐盟數據保護委員會進一步指出，在歐洲如上原則體現在法律中且有獨立的數據保護機構，這是數據保護合規體系的體現。在此基礎上，歐盟數據保護委員會提出，一項有效的數據合規體系應當有三層含義：

1) 合規水平高：具體體現在數據控制者清楚知道自己的義務，數據主體清楚自己的權利並指導維護權利的方法，和有效且具有威懾力的處罰措施

2) 爲數據主體維護權利提供支持和幫助：具體表現在有獨立調查制度以確保個人能夠快速有效維權

3) 爲被侵權方提供適當救濟：具體表現在有獨立的司法或仲裁製度以確保受害方獲得足夠賠償[5]

至此，歐盟數據保護委員會進一步明確了判斷“充足保護”的實體原則和程序規則。

二、歐盟委員會《安全港規則決定》有條件地認定美國能夠提供充足保護

爲了適應歐盟對數據出境充足保護的要求，美國與歐盟積極協商，最終促成了歐盟於2000年7月16日通過了《安全港規則決定》。[6]

根據《安全剛規則決定》，歐盟認爲，美國商務部提交的“安全港隱私原則”如果能夠按照其提交的“常見問題”提出的操作指引執行，就認爲美國提供了充足保護。當然，美國商務部還同時向歐盟提交了美國關於隱私保護的執法綜述、美國法律對侵犯隱私的賠償備忘錄、聯邦貿易委員會關於其隱私執法的權利的函件和美國交通部關於其隱私執法權利的函件。在充分瞭解美國隱私執法和救濟的前提下，歐盟委員會才做出如上決定。需要說明的是：第一，《安全港規則決定》只能適用於屬於聯邦貿易委員會和美國交通部執法對象的美國數據接收方；第二，如果情況發生變化，歐盟各成員國的數據保護機構隨時可以中止數據傳輸。

1、“安全港隱私原則”概要

“安全港隱私原則”包含七大原則，分別解釋如下：

1) 告知

（數據控制者）應當告知數據主體收集使用個人數據的目的、其聯繫方式、向其披露個人數據的第三方類型、數據處理者提供的限制個人數據使用與披露的方法。應當在首次收集數據時就告知個人數據主體。

2) 選擇權

（數據控制者）必須向數據主體提供機會以便其可以選擇不同意將其個人數據傳輸給第三方。對於敏感個人數據，此種選擇權應當是以數據主體主動選擇同意的形式給出。

3) 再傳輸

接收方再將個人數據傳輸給他人，適用上述通知和選擇權的規定。

4) 安全

必須採取合理措施保證數據不丟失、不被不當使用、不當接觸、不當披露、不當修改和不當刪除。

5) 數據完整性

（數據控制者）應當採取合理措施寶恆其處理的個人數據準確、完整和最新。

6) 接觸權

數據主體必須能夠接觸其個人數據，對於不準確的數據其有權糾正、完善或刪除。

7) 執法

隱私保護機制完善，有現成的成本可控的救濟機制以便對數據主體投訴和爭議及時調查、處理且有法律明確規定賠償，持續的監控機制確保（數據控制者）自己宣稱的隱私政策真實並有效執行，和違法糾正機制以便（數據控制者）及時糾正違法行爲並承擔相應法律後果。懲罰力度應當足以保證（數據控制者）遵循“安全港隱私原則”。

2、“常見問題問答”概要

“常見問題問答”中列舉了15個常見問題的問答，下文簡明列舉幾個問答：

1) 美國數據接收方如何配合歐盟數據保護機構履行承諾：配合歐盟數據保護機構按照安全港規則調查和處理，配合落實歐盟數據保護機構的整改建議。

2) 美國數據接收方自證遵守“安全港原則”：美國數據接收方應當向美國司法部自證其遵守“安全港規則”，自證時需要提交接收方的主體信息、對接收到的歐盟個人數據的處理活動的描述、其對這些個人數據的隱私政策、[7]

3) 美國數據接收方如何提供後續程序以便覈實其隱私政策的真實性和有效性：可以通過自評估或外部合規審查。自評估時，美國數據接收方必須表明其告知數據主體內部處理投訴的制度安排、表明其已經有制度培訓員工遵守“安全港規則”並對不遵守員工進行懲罰、表明有定期對上述制度的執行情況進行審查的程序。自評估聲明需要每年進行一次並由公司授權代表簽名。美國數據接收方需要保存執行“安全港規則”的記錄。外部審查時，要求與自評估相同，外部審查的方式包括審計、隨機審查和技術工具等。

4) “安全港規則”適用於因僱傭關係而收集的數據嗎：位於歐盟的公司向美國母公司、關聯公司或者無關聯的服務提供者傳輸員工的個人數據適用“安全港規則”。基於總體僱用數據或適用匿名化的數據不會觸發隱私保護問題。另外，（數據控制者）應當對員工的個人數據保護採取合理措施，比如限制訪問、對某些數據進行匿名化處理或者不需要員工的真實姓名時給每個員工分派一個代碼或者假名。

總體來講，“安全港規則”確定了認定提供充足保護的考慮因素，包括：是否保障個人數據主體的權利，是否提供了保護數據的技術和管理措施，是否提供了有效的救濟機制，違反義務後有無獨立的調查、處理和懲罰機制，違反義務後個人數據主體能否得到應有賠償。

自此，歐盟向美國傳輸個人數據一般都通過“安全港規則”路徑。

三、《安全港規則決定》被歐盟法院宣告無效

斯諾登事件後，施雷姆斯要求對Facebook愛爾蘭公司調查的投訴涉及相關法律問題被愛爾蘭高等法院提交歐盟法院初裁。

2015年10月6日，歐盟法院在對數據保護機構在“安全港規則”有效的情況下是否有權啓動對相關數據出具的調查作出初裁的同時還對《安全港規則決定》的有效性進行裁決。歐盟法院認爲，“充足”與歐盟《95年指令》保護水平相當。儘管接收國的數據保護措施可能不同，但這些措施必須實際上與歐盟保護措施起到相當的保護效果。進而歐盟法院在審查“安全港規則”相關條款時認爲：第一，在《安全港規則決定》下，美國官方機構不需要遵守這些規則；第二，《安全港規則決定》未包含美國採取的提供充足保護的具體措施；第三，根據《安全港規則決定》附件1第4段，美國數據接收方可以公共利益爲由不遵守“安全港規則”；第四，《安全港規則決定》承認了美國的國家安全、公共利益或執法要求優於“安全港規則”；第五，《安全港規則決定》中沒有提到任何限制美國以國家安全、公共利益或執法要求爲由幹涉基本人權的事實，也未提到該理由被濫用時的法律積極措施。因此，《安全港規則決定》第1條無效。而《安全港規則決定》第3條則超過了歐盟委員會的授權權限，因此也無效。綜上，整個《安全港規則決定》無效。

四、歐盟委員會批準“隱私盾”向美國傳輸歐盟個人數據

《安全港規則決定》被判定無效後，歐盟與美國加緊了原本就已經開始的“充足性決定”談判，美國商務部提出隱私盾原則並作出各項承諾後，歐盟委員會認爲，這些原則加上承諾，可以認爲美國政府提供了充足保護，於2016年7月12日批準執行“隱私盾計劃”，作爲歐盟個人數據傳輸至美國的法律基礎。隱私盾原則運行規則是，美國數據接收者向美國商務部自願自我認證申報，承諾其遵守隱私盾原則。

與安全港原則相比，隱私盾中原則基本框架基本一致，但多瞭如下主要內容：

強化隱私保護

• 美國數據處理者告知個人主體更多的信息，包括參與隱私盾計劃的聲明、個人接觸其個人數據的權利和獨立的爭議解決主體

• 美國數據接收者確保再接收者遵守隱私盾規則，並提供同隱私盾同等的保護

• 向數據主體提供獨立的和免費的爭議解決機制

• 公佈向聯邦通信委員會提交的與隱私盾相關的合規評估報告

• 商務部管理和監督隱私盾計劃的執行

• 商務部向公衆公佈加入隱私盾計劃的數據接收者名單並即時更新

•  把不遵守隱私盾原則的接收者從名單中刪除

• 在商務部網站上增加聯邦通信委員會網站上隱私盾執法的案例

• 覈實數據接收者是否滿足自我認證要求

• 調查處理虛假申報

• 依職權定期開展隱私盾計劃合規審查和評估

• 強化與歐盟數據保護機構的合作

• 選擇仲裁程序並與歐盟委員會協商選定仲裁員

  
  

五、結語

無論是安全港規則還是隱私盾規則，核心都在於保障個人數據主體的權利。在兩種“充足保護”規則下，以美國商務部爲牽頭部門的美國政府相關部門按照歐盟數據保護規則制定出接收歐盟個人數據的數據處理規則向歐盟委員會提交，並單方承諾嚴格執行這些規則以及確保這些得以執行的機制。可以說，這是保證數據跨境傳輸安全的一種方法，但這種方法的基礎是數據接收國（地區）向數據發送國（地區）所作的單邊承諾，推行起來有難度，很難成爲數據跨境傳輸的常態機制。

註釋：

[1] 《95年指令》第25條第2款。

[2] 《95年指令》第25條第6款。 

[3] GDPR第45條第2款。

[4] 現在是European Data Protection Board，也可以翻譯成歐洲數據保護委員會

[5] WP 12: Transfers of personal data to third countries: applying Articles 25 and 26 of the EU data protection Directive, adopted by the Working Party on 24 July 1998。

[6] 全稱是《COMMISSION DECISION of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the US Department of Commerce》

[7] 具體包括：公衆獲取隱私政策的途徑、隱私政策的生效日期、處理投訴、接觸要求和其他問題的聯繫部門、其隱私政策的監管主體、其參與的任何隱私計劃的名稱、覈實其隱私政策的真實性和有效性的方法。