歐盟數據監管｜Meta為何遭歐盟數據監管史上最大罰款？_風聞

走出去智库-走出去智库官方账号-05-23 19:29

2023-05-23

走出去智庫觀察

5月22日，愛爾蘭數據保護局（IE DPA）對Meta愛爾蘭開出12億歐元（超過91億人民幣）的罰款。這是《通用數據保護條例》（GDPR）發佈以來最大的罰款，起因是Meta向美國轉移個人數據。

****走出去智庫（CGGT）近日發佈的報告《歐盟數字合規趨勢與政策洞察》分析了歐盟關於跨境數據的監管動態，根據歐盟委員會2022年12月13日啓動的“歐盟—美國數據隱私框架充分性決定”的進程，顯著加強了跨境數據方面的監管。

《歐盟數字合規趨勢與政策洞察》由走出去智庫（CGGT）聯合歐洲地區26家領先律所的數據合規、出口管制和經濟制裁等法律專業團隊共同推出。****

****該報告內容涵蓋歐盟在數據監管方面的最新立法進展（《數字服務法案》、《數字市場法案》、《數據治理法案》、《人工智能法案》、《數據法案》、《網絡彈性法案》）、頂層設計（歐盟《數字權利和原則宣言》、歐盟數字身份框架計劃、歐洲算法透明中心、GDPR認證體系：EUROPRIVACY）、以及數據跨境法律及執法判例研究，可在戰略、法律和實踐三個層面幫助企業降低歐盟跨境數據傳輸的合規風險。

如果您希望閲讀該報告全文，請給走出去智庫微信公眾號留言（姓名、單位、聯繫方式），我們將盡快與您聯繫。

今天，走出去智庫(CGGT)公眾號刊發《歐盟數字合規趨勢與政策洞察》報告的部分內容（編者按、立法動態、跨境數據隱私框架等），供關注歐盟數據合規管理的讀者參閲。****

正文

CGGT，CHINA GOING GLOBAL THINKTANK

《歐盟數字合規趨勢與政策洞察》

編者按

2021年3月，歐盟委員會發布“2030數字指南針：數字十年的歐洲之路”，提出歐盟2030年成功實現數字轉型的願景。歐盟的雄心，是在一個開放和互聯的世界中實現“數字主權”，在數字世界中獨立行事，並推行其數字政策。這一願景之下，歐盟近期在數字政策與監管方面進展迅速：

一是立法進展方面。 2022年10月，歐盟委員會發布《2023年歐盟委員會工作計劃》，強調數字立法是其2023年政策的六大議題之一。除制定新法，其還將於2023年重點推進既有立法進程以求實現突破。2023年將重點推進的法案包括：《人工智能責任指令》《網絡韌性法案》《數據法案》《安全聯通條例》《歐盟數字身份條例》《平台用工指令》《人工智能法案》《電子隱私條例》以及《芯片法案》等。2020至2022年間，歐盟委員會發布了一系列數字立法議案。截至目前，歐盟數字治理版圖已基本清晰完整。

****二是頂層設計方面。****2022年12月，《歐洲數字權利和原則宣言》簽署。這一宣言體現了歐盟對以人為本、可靠、安全和可持續的數字化轉型的承諾、其核心價值觀以及保障基本權利的目標。這一宣言將成為政策制定者和企業處理新技術的指導方針，並將引導歐盟在全球範圍內進行數字化轉型。此外，近兩年，歐盟委員會還在建立統一數字身份識別工具（歐盟數字身份框架計劃）、設立監管輔助機構（建立歐洲算法透明度中心），以及統一應用歐盟數據處理規則（推出首個符合GDPR的數據保護認證機制Europrivacy）等方面取得進展。

****三是數據跨境方面。****國際合作層面，為促進跨大西洋數據的安全流動，2022年12月，歐盟委員會啓動“歐盟—美國數據隱私框架充分性決定”進程，併發布充分性決定草案。依據草案，歐盟實體將能夠向美國公司轉移個人數據，而無需實施額外的數據保護保障措施。實務工具層面，歐盟委員會發布了新版歐盟標準合同條款（SCCs），要求數據傳輸方與境外數據接收方簽署這一官方制定合同模板，以確保歐盟個人信息在出境後的保護水平不低於本國標準。

****四是執法判例方面。****2022年12月，歐盟法院發佈一項在“被遺忘權”領域極具開創性初步裁決，明確了“被遺忘權”的新觸發方式：取消引用權。這一裁決明確在搜索引擎運營商發佈不準確信息時，數據主體行使取消引用權的權利，並將取消引用權的適用範圍擴大至基於自然人名稱進行圖像檢索所得的縮略圖；同時，歐盟法院明確了信息獲取自由的重要性。

2023年歐盟數字立法重點

2022年10月18日，歐盟委員會發布了《2023年歐盟委員會工作計劃》（Commission work programme 2023，以下簡稱“計劃”）[1]。該計劃分為四個部分，其中第三部分為核心，列舉並闡釋了歐盟2023年政策的六大議題，其中數字立法是僅次於環保之後的第二大議題，主要包括以下要點：

● 計劃明確提出，數字轉型和綠色轉型需要協同並進，因此，2023年3月16日，歐盟委員會發布了《關鍵原材料法案》[2]（EU Critical Raw Materials Act），旨在增加歐盟的戰略原材料儲備，在提取、加工和回收環節降低歐盟對其他國家的依賴。

● 歐盟也曾考慮對元宇宙領域[3]進行單獨立法，但最終未選擇通過立法的形式對其進行治理，而是將重點放在發展相關治理工具上，促進構建以人類為中心（human-centric）的虛擬世界。

● 歐盟版權法不適用於體育運動直播等場景，因此，歐盟委員會將於2023年發佈一份關於打擊盜版侵權直播的建議，尤其是在體育賽事直播方面。

● 歐盟將繼續關注數據空間的發展。2022年，歐盟率先建設了醫療領域的公共數據空間，並且形成了一套非常龐雜的規則體系。歐盟下一個政策目標將聚焦在交通領域，並將於2023年上半年建設交通領域的公共數據空間。

● 2023年將是歐盟推出單一市場戰略[4]的三十週年，因此，歐盟委員會將發佈一個“單一市場通訊”（Single Market Communication），總結三十年來構建歐盟單一市場的成就、目前出現的執法漏洞，以及未來的工作重點。

除上述要點外，為了進一步激活市場並助力中小企業發展，歐盟委員會將推出中小企業紓困計劃；此外，歐盟委員會還將於2023年推出數字技能提升和再培訓的相關措施。

除制定新法之外，歐盟還將於2023年繼續推進既有的立法進程並實現突破。2020—2022年，歐盟委員會發布了一系列數字立法議案，目前，整個數字治理版圖已經基本清晰完整，立法工作已經開始進入收尾階段。因此，2023年的工作計劃也會將重心從新法的規劃轉向既有法律文本的打磨與敲定之上，將重點推進的法案包括：《人工智能責任指令》《網絡韌性法案》《數據法案》《安全聯通條例》《歐盟數字身份條例》《平台用工指令》《人工智能法案》《電子隱私條例》以及《芯片法案》等。

歐盟委員會每年都會通過一項年度工作計劃，列明來年將採取的一系列行動。這一計劃將向公眾和聯合立法者通報委員會提出新議題、撤回未決的提案，和審查現有歐盟立法的政治承諾。計劃通常不包括委員會正在進行的部分工作：履行其作為條約監護人職責相關工作，推動現有立法或委員會每年通過的常規議題執行。

歐盟-美國數據隱私框架

2022年12月13日，歐盟委員會啓動了“歐盟—美國數據隱私框架充分性決定[5]”（Adequacy Decision for the EU-US Data Privacy Framework）的進程，併發布了充分性決定草案[6]。該框架將促進跨大西洋數據的安全流動，並試圖解決歐盟法院在2020年7月Schrems II案裁決中提出的擔憂。

在Schrems II案中，奧地利公民Maximilian Schrems在當地法院提起訴訟，認為美國關於個人信息保護的保護強度遠低於歐盟，請求禁止Facebook將其個人信息傳輸至美國境內。隨着整個訴訟的推進，歐盟法院先於2015年認定《安全港協議》[7]無效，數月後又同美國政府重新簽訂了保護水平高於前者的《歐美隱私盾協議》[8]。即便如此，2020年歐盟法院仍認定《隱私盾協議》因違反《歐盟基本權利憲章》（Charter of Fundamental Rights of the European Union）和《歐盟通用數據保護條例》（GDPR）而無效，美國企業不得基於該協議將歐盟用户信息傳輸至美國。

《歐盟通用數據保護條例》（GDPR）第45（3）條授予歐盟委員會評估和決定非歐盟國家能否有能力確保與歐盟相當的個人數據保護水平的執法權限。充分性決定草案反映了歐盟委員會對美國法律框架的評估，其結論認為，美國採取了與歐盟類似的保障措施，為歐盟公民提供了與歐盟法律規定相當水平的數據保護措施，確保了對從歐盟轉移到美國公司的個人數據的充分保護。根據該草案，歐盟實體將能夠向美國的相關公司轉移個人數據，而無需實施額外的數據保護保障措施。

**根據充分性決定草案，**美國相關企業必須遵守詳細的隱私保護義務，例如目的限制和數據保留相關義務，以及有關數據安全和與第三方共享數據的具體義務。當用户個人數據無需再被收集時，應刪除數據，並確保與第三方共享數據時保護的連續性。如果歐盟公民的個人數據被違規收集處理，他們可依據充分性決定草案中的補救途徑維護權益。

此外，充分性決定草案規定了對美國當局及情報機構獲取數據的一系列限制和對歐盟公民的保障措施，特別是出於刑事執法和國家安全等目的進行數據收集和使用的行為。美國情報機構對歐盟數據的訪問將僅限於保護國家安全所必需和相稱的範圍；歐盟公民可以在一項獨立公正的救濟機制啓動前【其中，包括一個新成立的數據保護審查法庭（Data Protection Review Court）】，就美國情報機構收集、使用其數據的行為維護自身合法權益；前述法庭將獨立調查和解決歐盟公民的投訴，包括採取有約束力的補救措施。

目前，歐盟委員會已向歐盟數據保護委員會（EDPB）提交了充分性決定草案，目前EDPB尚未批准該草案。2023年2月28日，EDPB發佈了對該草案的意見，要求在數據主體權利、數據對外傳輸、豁免範圍、臨時大量收集數據以及救濟機制的實際運作等方面進行澄清。此外，歐盟議會有權對該充分性決定草案進行審查。該程序完成後，委員會將着手通過最終的充分性決定。委員會希望在2023年夏天前實現這一目標。

歐盟—美國數據隱私框架的運作將受到定期審查，由歐盟委員會、歐盟數據保護各機構和美國主管當局共同進行。第一次審查將在充分性決定生效後一年內進行，以驗證美國法律框架的所有相關要素是否已得到充分實施並在實踐中實現了有效運作。

2023年5月22日，愛爾蘭數據保護委員會（DPC）宣佈對Meta愛爾蘭採取執法行動，對其處以創紀錄的12億歐元罰款，這也是GDPR實施近五年以來的最高罰款。愛爾蘭DPC同時要求Meta愛爾蘭旗下的Facebook在此處罰決定發佈後的五個月內停止向美國轉移個人數據，六個月內停止在美國非法處理（包括存儲）歐盟和歐洲經濟區用户的個人數據，以使其處理個人數據的操作符合GDPR規定。

愛爾蘭數據保護委員會（DPC）的這一最終決定表明，歐盟不相信Meta公司使用SCC和額外的保障措施可以填補Schrems II決定留下的法律空白。這再次表明，這是一個單靠公司無法完全解決的法律挑戰。

走出去智庫歐洲地區合作律師網絡（部分）：

地區

國別/地區領先律師事務所

歐洲

MLL律師事務所

Setterwalls律師事務所

Gorrisen Federspiel律師事務所

Shoenherr****律師事務所

Addleshaw Goddard****律師事務所

Stephenson Harwood律師事務所****

Noerr****律師事務所

Gide Loyrette Nouel****律師事務所

Uria Menedez****律師事務所

Plesner****律師事務所

Heuking Kühn Lüer Wojtek****律師事務所

Loyens & Loeff****律師事務所

Roschier****律師事務所

ALRUD律師事務所

Kinstellar****律師事務所

UGGC Advocats****律師事務所

PLMJ****律師事務所

Garrigues****律師事務所

Bonelli Erde****律師事務所

Chiomenti****律師事務所

Wardynski & Partners****律師事務所

SCWP Schindhelm****律師事務所

Moroglu Arseven****律師事務所

Erdem & Erdem****律師事務所

Mason Hayes & Curran****律師事務所

Vischer****律師事務所

註釋：

1. https://ec.europa.eu/commission/presscorner/detail/en/ip_22_6224

2. 《關鍵原材料法案》（The Critical Raw Materials Act）是歐盟委員會於2023年3月16日發佈的法案，旨在確保歐盟能夠獲得安全、多樣化、負擔得起和可持續的關鍵原材料供應。按照《關鍵原材料法案》的規劃，到2030年，歐盟計劃每年在內部生產至少10%的關鍵原材料，加工至少40%的關鍵原材料，回收15%的關鍵原材料。在任何加工階段，來自單一第三方國家的戰略原材料年消費量不應超過歐盟的65%。其中，關鍵原材料包括稀土、鋰、鎳、鈷和硅等。

3. 元宇宙（Metaverse），是人類運用數字技術構建的、由現實世界映射或超越現實世界、可與現實世界交互的虛擬世界，是具備新型社會體系的數字生活空間。“元宇宙”集成了一大批現有技術，包括5G、雲計算、人工智能、虛擬現實、區塊鏈、數字貨幣、物聯網、人機交互等。

4. 歐盟單一市場（Single Market）戰略旨在歐盟內實現沒有內部邊界的一個區域，為人員、商品、服務和資本的自由流動掃清障礙。該設想源於1957年《羅馬條約》，但由於種種原因，單一市場建設直至1993年1月1日才正式啓動。

5. 充分性決定是《通用數據保護條例》（GDPR）提供的工具之一，用於將個人數據從歐盟轉移到第三國，根據委員會的評估，這些國家對個人數據的保護水平與歐盟相當。基於充分性決定，個人數據可以自由和安全地從歐洲經濟區（EEA）流向第三國，而不受任何進一步條件或授權的限制。換句話説，向第三國的轉移可以通過與歐盟內部數據傳輸相同的方式處理。

6. https://ec.europa.eu/commission/presscorner/detail/en/ip_22_7631

7. 2000年12月，美國商務部與歐盟委員會簽署《安全港協議》（Safe Harbor Agreement）。根據協議的七大原則——通知原則、選擇原則、向外移轉原則、安全原則、資料完整原則、獲取原則和執行原則，明確美國企業對跨境數據收集和使用的責任。該協議並不要求美國修訂相關法律政策，僅要求申請加入的企業遵守歐盟標準和履行義務。遞交了書面通知的認證企業被允許將歐盟成員國公民的個人數據傳輸至美國並在美國對個人數據進行處理，而無需其他審批或許可。

8. 2016年2月29日，美國商務部和歐盟委員會簽署了《歐美隱私盾協議》（EU-US Privacy Shield）。《隱私盾協議》強調了跨境數據傳輸責任原則和透明度原則，首次要求美方需向歐盟委員會提交書面承諾書，並設立“隱私盾監察員”，要求建立合規性審查和爭議解決機制。然而，該協議並未提供當個人信息受到國家侵害後的救濟渠道，即歐洲公民缺少對美國監管機構提起訴訟的途徑。