歐美數據流動法律困境能否順利解決？《歐美數據隱私框架》落地及啓示_風聞

走出去智庫觀察

7月10日，歐盟委員會批准了一項歐美間數據傳輸新協議《歐美數據隱私框架》，以更好地保護歐盟公民個人數據向美國傳輸的安全。這意味着多年來影響歐美數據流動的法律困境有了新進展。

走出去智庫 (CGGT) 特約法律專家、北京德恆律師事務所合夥人王一楠認為，美國與歐盟之間至今已有三次關於個人數據跨境流動特殊安排的嘗試，此前的《安全港原則》及《隱私盾》均以歐盟法院認定其無效而告終，並且無效理由主要在於美國政府機構獲取歐盟公民個人數據的權力過大且不受制約。此次**《歐美數據隱私框架》是否施行，**還要看美方的相關措施能否通過歐盟法院司法審查。

《歐美數據隱私框架》有哪些內容？今天，走出去智庫(CGGT) 刊發北京德恆律師事務所王一楠、周望和國家互聯網應急中心張奕欣、邢瀟的文章，供關注跨境數據監管的讀者參閲。

要 點

CGGT，CHINA GOING GLOBAL THINKTANK

**1、**從歐盟GDPR的角度來看，《數據隱私框架》可以視為是將參與了這些數據跨境流動機制的美國實體作為一個特殊的羣體賦予充分性認證。

**2、**歐盟之前批評美國情報機構執法時違反“比例”原則，存在過度執法現象，現在該原則明確成為新框架的主要規定。美國情報機構在獲取歐盟公民的數據信息時被要求遵循相關流程，並在總體上保留了尊重隱私和公民自由權力的規定。

3、我國現有的制度設計也為通過締結或者參加國際條約或協定的方式作為個人信息出境的路徑預留了空間。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

文——

北京德恆律師事務所 王一楠、周望

國家互聯網應急中心 張奕欣、邢瀟

7月10日，歐盟委員會宣佈《歐美數據隱私框架》(EU-US Data Privacy Framework)（以下簡稱“數據隱私框架”）已通過充分性認證【1】，標誌着歐美間個人數據合法流動的第三次嘗試正式落地。當然，歐美間的數據流動自此能否一帆風順，還要看美方的措施能否通過歐盟法院司法審查。

一、《數據隱私框架》的主要內容

新的《數據隱私框架》的主要目的在於促進歐美間的個人數據流動，並解決歐盟法院在施雷姆斯二號案（Schrems Ⅱ）【2】判決中提出的關切【3】。

《數據隱私框架》由兩個部分組成：一為美國貿易部發布的《歐美數據隱私框架原則》（EU-U.S. Privacy Framework Principles）【4】，二為美國總統簽署的《關於加強美國信號情報活動保障措施的行政命令》【5】（以下統稱“信號情報行政令”）及其他相關規範美國情報機關活動的文件。由於歐盟法院施雷姆斯二號案否決《隱私盾》的主要論點在於美國的情報收集活動過度，因此第二部分是新《數據隱私框架》能否得到歐盟法院認可的重點。

1.《歐美數據隱私框架原則》

該文件列示了參與《數據隱私框架》的美國實體所需遵守的要求。這份文件事實上與歐美舊的數據跨境安排《隱私盾》區別極小，參與《隱私盾》的美國實體幾乎可以無縫轉換至新的《數據隱私框架》【6】。

**從歐盟GDPR的角度來看，《數據隱私框架》可以視為是將參與了這些數據跨境流動機制的美國實體作為一個特殊的羣體賦予充分性認證。**超出這一範圍的美國實體仍然被視為普通的境外接收方，參與《數據隱私框架》的美國實體向美國其他實體以及非美國實體的數據流動需要繼續遵循GDPR的關於數據跨境傳輸路徑的規則，使用標準合同、約束性企業規則等形式保障個人數據的後續安全。

《歐美數據隱私框架》下歐盟個人數據傳輸情況示意

2.《信號情報行政令》

美國的《信號情報行政命令》引入了新的具有約束力的保障措施，以解決歐盟法院提出的所有問題，限制美國情報部門在秘密監控行為中獲取歐盟數據的權力。

在實體法層面，美國提供約束性保護措施，將美國情報機構對數據的訪問限制在保護國家安全所必需的範圍內。《行政命令》規定了情報活動收集個人信息的處理要求，規定美國情報機構需要在信息解密時告知被監控的個人，並擴大了合規官員的責任；此外，還要求美國情報界依據新的保障措施對相關政策和程序進行更新。

在程序法方面，《信號情報行政命令》對《隱私盾》下的救濟措施進行了改良，設立了獨立且有約束力的兩層救濟機制，美國司法部長所指定的符合條件國家（qualifying state）的公民【7】可以通過本國的官方機構向美國提出關於情報機構的申訴。

第一級救濟機制是國家情報總監辦公室的公民自由保護官（Civil Liberty Protection Officer，以下簡稱“CLPO”），CLPO負責受理並初步審查是否存在違規行為，以及在必要時對符合條件的申訴採取適當的救濟措施。

第二級救濟機制是，若申訴人不接受CLPO審查的結果，可以向美國司法部新設立數據保護審查法庭【8】（Data Protection Review Court，以下簡稱“DPRC”）對CLPO決定提起上訴。DPRC將有權進行調查，從情報機構獲得相關信息，審查CLPO所管轄違規行為的決定在法律上是否正確、是否有實質性證據支持，並能夠作出具有約束力的救濟決定；如果DPRC發現收集的數據違反了行政命令中規定的保障措施，DPRC將能夠下令刪除這些數據。

在DPRC的審查過程中，一名隸屬於司法部、具有國家安全情報權限的特別律師（Special Advocate）將代表申訴人的利益在DPRC庭前表達意見。但特別律師與申訴人之間不存在律師和當事人關係，也不得在與申訴人交流時泄露國家安全信息。

審查完成後，申訴人不會被告知他們是否受到美國情報監控活動的影響，而是會收到一份標準化的通知，僅聲明DPRC的審查已經完成，並説明DPRC沒有發現任何違規行為，或者DPRC作出了要求進行適當救濟措施的決定。

**DPRC仍然是設立於美國行政系統內部的法院，但其機制與美國其他具有相對獨立地位的行政法院類似，並且在獨立性上具備更高要求。**DPRC由非美國政府人員組成，不受司法部長的監督，其成員僅只能因嚴重原因（如被判有罪，或被認為精神或身體不適合執行任務）而被解僱，不能接受政府的指令。

二、《數據隱私框架》評價

《數據隱私框架》應歐盟所要求的“基本等同”和“比例”原則，對之前的歐美數據跨境機制進行了修改，同時根據施雷姆斯二號案判決中的訴求做出了重大調整，設立獨立法庭審查美國情報機構數據收集工作。

歐盟之前批評美國情報機構執法時違反“比例”原則，存在過度執法現象，現在該原則明確成為新框架的主要規定。美國情報機構在獲取歐盟公民的數據信息時被要求遵循相關流程，並在總體上保留了尊重隱私和公民自由權力的規定。

歐盟之前詬病美國情報機構的另一痛點是缺乏“救濟措施”，這次也明確寫在新框架中。新框架提供了兩層“矯正”系統，以解決歐洲人對美國情報機構使用數據的投訴。DPRC將有權力對歐盟公民的投訴進行調查，包括可以從美國情報部門獲取相應證據，還可以作出具有約束力的“救濟決定”。如果DPRC發現收集行為違反執行法令，可以要求刪除相關數據。

然而，新《信號情報行政令》建立的機制並未完全解決施雷姆斯二號案所提出的關切：DPRC仍屬於美國行政系統內部的自我糾正機制，而非完全獨立的法院；並且申訴人無法直接面對DPRC，而必須通過隸屬於美國政府的特別律師表達意見。因此，該機制能否滿足歐盟法院所確定的“可通過訴訟保護權利”標準尚難判斷。

不過，歐盟GDPR事實上也並不適用於歐盟各國的情報活動。歐盟另行訂立的《刑事個人數據保護指令》【9】以及歐洲人權法院根據《歐洲人權公約》所做出的判決是規範歐盟各國情報活動的法律規則。雖然法院的判決禁止了對個人數據的大規模監控行為，但也認為如果基於國家安全及對抗嚴重犯罪的目的屬於特例，可以保留。【10】法院對於歐盟內部的情報活動主要通過“比例”原則進行限制，要求國家安全必須受到了真實、緊迫且可預見的威脅情況下才可以進行相關活動。而政府在調取或收集這些數據之後，對數據進行的讀取或利用等行為都必須嚴格符合當初調取或收集時的目的，並要有法院或獨立行政機關複核。因此，**如果針對《數據隱私框架》的施雷姆斯三號案將來真的發生，美國或許可以通過比較歐盟自己的立法與《數據隱私框架》中對於情報活動的限制以及救濟措施有效性的方式來應對歐盟法院的司法審查。**美國司法部長指定歐盟為符合條件國家時所附的備忘錄【11】中已經明確指出，歐盟各國在大規模情報收集活動中所需要遵循的要求已經與美國《信號情報行政令》賦予歐盟公民的保護相去不遠。

隨着我國《數據出境安全評估辦法》、《個人信息出境標準合同辦法》、《個人信息保護認證實施規則》等法規和標準的不斷出台，中國的數據出境安全管理制度架構已基本成型。同時，現有的制度設計也為我國通過締結或者參加國際條約或協定的方式作為個人信息出境的路徑預留了空間。而歐美之間二十多年來在數據跨境流動領域的博弈，是一次對歐盟的立法原則在實踐中檢驗的有益探索，也為我國未來有可能通過締結或者參加國際條約或協定開闢個人信息出境新路徑提供了非常有價值的借鑑。

附件：美歐跨境數據流動規制的歷史沿革

美國與歐盟之間至今已有三次關於個人數據跨境流動特殊安排的嘗試，先後分別為《安全港原則》【12】、《隱私盾》【13】與此次的《數據隱私框架》。此前的《安全港原則》及《隱私盾》均以歐盟法院認定其無效而告終，並且無效理由主要在於美國政府機構獲取歐盟公民個人數據的權力過大且不受制約。

1.《安全港原則》

《安全港原則》發佈於2000年，所滿足的是歐盟《95年數據保護指令》【14】（歐盟GDPR的前身）對於個人數據保護要求。

《安全港原則》規定，美國私營機構只要向美國貿易部自我認證（self-certify）將會遵守該文件的原則與要求，就可以接收從歐盟傳來的個人數據。《安全港原則》所列出的七大基本原則分別為：

(1） 告知（Notice）：應當告知個人其收集使用個人數據的目的、聯繫方式以及接收個人數據的第三方。

(2） 選擇權（Choice）：對於普通個人信息被傳輸給第三方或被用於與收集目的不同但相容（compatible）其他目的，個人可以選擇退出（opt-out），而對於敏感個人數據，則必須獲得個人的明確同意（opt-in）。

(3） 再傳輸（Onward Transfer）：將個人數據再傳輸給第三方時，必須遵守告知與選擇權原則，且第三方須提供同等保護。

(4） 安全（Security）：應當防止個人數據被不當丟失、誤用、獲取、公開、篡改及損毀。

(5） 數據完整性（Data Integrity）：個人數據的使用須與目的匹配，保證正確、完整、不過時。

(6） 知情權（Access）：個人有權獲取其個人數據，且對不正確的個人信息提出修正、更改或刪除。

(7） 執行（Enforcement）：保障自身合規，併為違規行為設立獨立的糾正機制。

然而，2013年的斯諾登事件暴露出了美國政府機構（尤其是情報機構）對國內外的大規模監控行為所造成的隱私侵犯現象：所有被傳輸至美國甚至經過美國的數據，都有可能被美國情報機關通過電子通訊服務商的主動配合或對於主幹電信網絡的監聽獲取，而相關個人和企業可能對此毫不知情。【15】歐盟也因此對於其公民被傳輸至美國的個人信息的安全感到深度不安。人們赫然發現，《安全港原則》竟然還留有特別條款，不適用於美國政府機構根據國家安全、公共利益以及執法需求所做出的行為。

2014年，奧地利律師馬西米利安·施雷姆斯（Maximillian Schrems）向愛爾蘭個人數據保護機構投訴其個人信息被美國Facebook公司侵犯。該案一路上訴至歐盟法院(Court of Justice of the E.U.）。歐盟法院在2015年的施雷姆斯一號案（Schrems Ⅰ）【16】中判決《安全港原則》因違反《95年數據保護指令》以及侵犯了歐盟公民的個人數據根本權利而無效。

2.《隱私盾》

在《安全港原則》被判無效後，歐美經過談判重新達成的《隱私盾》在歐盟委員會批准後於2016年7月12日生效。

《隱私盾》在個人數據保護原則上與《安全港原則》基本保持一致，但加強了美國聯邦政府部門特別是美國聯邦貿易委員會（U.S. Federal Trade Commission）的執法權力，以回應《安全港原則》所受到的批評。

不過《隱私盾》最重要的變化在於，其不僅適用於私人商業主體，還對美國政府的情報活動對於歐盟公民個人信息的影響做出了限制。美國司法部（Department of Justice）、國家情報總監（U.S. Director of National Intelligence）以及國務卿（U.S. Secretary of State）分別發出公開信，表示美國的刑事執法活動和國家安全與情報活動均將尊重外國公民的個人信息權益。美國國務卿進一步指定了一位貿易部副部長為獨立的隱私盾行政監察專員（Privacy Shield Ombudsman），可以接收歐盟各國個人數據保護機關轉交的個人投訴，進行獨立於情報系統的審查，在發現不符合總統指導文件的情況下與相關美國情報機關合作解決問題，並與歐盟各國個人數據保護機關以及提出投訴的個人聯絡、通報處理情況。

2020年，歐盟法院在施雷姆斯二號案中判決《隱私盾》因違反歐盟GDPR而無效。歐盟法院的主要理由是，在比較歐盟各成員國對於秘密監控行為的限制以及美國法律和《隱私盾》對於外國公民秘密監控行為的限制之後，法院認為《隱私盾》所提出的行政及情報系統內控機制並不足以保護歐盟公民的個人信息，因為美國情報機構即使在監控目的完成後也不會告知歐盟公民曾對其實施過監控，而行政監察專員機制也不足以確保歐盟公民的個人信息能得到個案保護。美國的行政或情報內控機制僅僅只是一種並不獨立於行政系統內部的事後保護，所謂的行政監察專員制度也並不能為歐盟公民提供可通過訴訟保護的權利，因為行政監察專員的決定對於美國情報機關並不具有拘束力。

註釋：

[1] Commission Implementing Decision pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate level of protection of personal data under the EU-US Data Privacy Framework, C(2023) 4745 final.

[2] Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems, CJEU, C-311/18 (2020).

[3] European Commission and United States Joint Statement on Trans-Atlantic Data Privacy Framework, European Commission; https://ec.europa.eu/commission/presscorner/detail/en/IP_22_2087, 2022.3.25.

[4] Commission Implementing Decision pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate level of protection of personal data under the EU-US Data Privacy Framework, Annex Ⅰ, C(2023) 4745 final.

[5] Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities, Exec. Order No. 14086 (2022).

[6] 《隱私盾》與《隱私框架原則》的對比，見https://iapp.org/media/pdf/resource_center/from_privacy_shield_to_dpf_redline.pdf。根據隱私盾網站的公告，《隱私盾》的參與者甚至可以直接使用隱私盾網站的賬號登錄新隱私框架的網站以完成自我認證的更新。

[7]美國司法部長已經指定歐盟及歐洲經濟體國家為“符合條件的國家”，見Designation Pursuant to Section 3(f) of Executive Order 14086, https://www.justice.gov/d9/2023-07/Attorney%20General%20Designation%20Pursuant%20to%20Section%203%28f%29%20of%20Executive%20Order%2014086%20of%20the%20EU%20EEA.pdf 。

[8] Data Protection Review Court, 28 CFR 201 (2022).

[9] Directive (EU) 2016/680 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA.

[10] CJEU 6 October 2020, C-511/18, C-512/18 and C-520/18, La Quadrature du Net, §100, §122, §136, §140-151;Privacy International, §45, §75.

[11] Memorandum in Support of Designation of the European Union and Iceland, Liechtenstein

and Norway as Qualifying States Under Executive Order 14086, https://www.justice.gov/d9/2023-07/Supporting%20Memorandum%20for%20the%20Attorney%20General%27s%20designation%20of%20EU-EEA.pdf 。

[12] International Safe Harbor Privacy Principles, 65 Fed. Reg. 45,665 (July 21, 2000).

[13] Privacy Shield Framework, 81 Fed. Reg. 51,041 (Aug. 2, 2016).

[14] Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data, 95/46/EC.

[15] Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems, Para. 54 - 68, CJEU, C-311/18 (2020).

[16] Maximillian Schrems v. Data Protection Commissioner, CJEU, C-362/14 (2015).

來源：CNCERT國家工程研究中心（網絡安全應急技術國家工程研究中心微信公眾號）

免責聲明:

本文僅代表原作者觀點，不代表走出去智庫立場。