《欧美数据隐私框架》落地及对我国跨境流动治理的启示

2023-07-20

以下文章来源于CNCERT国家工程研究中心。

关于CNCERT国家工程研究中心

网络安全应急技术国家工程研究中心是由国家互联网应急中心运营的国家级研究中心。研究中心致力于工控物联网和数据跨境方面的基础理论研究、关键技术研发与实验验证，并为国家关键基础设施的安全建设和运行提供保障，为数据跨境安全提供监测和预警。

2023年7月10日，欧盟委员会宣布《欧美数据隐私框架》(EU-US Data Privacy Framework)（以下简称“数据隐私框架”）已通过充分性认证^[1]，标志着欧美间个人数据合法流动的第三次尝试正式落地。当然，欧美间的数据流动自此能否一帆风顺，还要看美方的措施能否通过欧盟法院司法审查。

一、《数据隐私框架》

新的《数据隐私框架》的主要目的在于促进欧美间的个人数据流动，并解决欧盟法院在施雷姆斯二号案（Schrems Ⅱ）^[2]判决中提出的关切^[3]。

《数据隐私框架》由两个部分组成：一为美国贸易部发布的《欧美数据隐私框架原则》（EU-U.S. Privacy Framework Principles）^[4]，二为美国总统签署的《关于加强美国信号情报活动保障措施的行政命令》^[5]（以下统称“信号情报行政令”）及其他相关规范美国情报机关活动的文件。由于欧盟法院施雷姆斯二号案否决《隐私盾》的主要论点在于美国的情报收集活动过度，因此第二部分是新《数据隐私框架》能否得到欧盟法院认可的重点。

1.《欧美数据隐私框架原则》

该文件列示了参与《数据隐私框架》的美国实体所需遵守的要求。这份文件事实上与欧美旧的数据跨境安排《隐私盾》区别极小，参与《隐私盾》的美国实体几乎可以无缝转换至新的《数据隐私框架》^[6]。

从欧盟GDPR的角度来看，《数据隐私框架》可以视为是将参与了这些数据跨境流动机制的美国实体作为一个特殊的群体赋予充分性认证。超出这一范围的美国实体仍然被视为普通的境外接收方，参与《数据隐私框架》的美国实体向美国其他实体以及非美国实体的数据流动需要继续遵循GDPR的关于数据跨境传输路径的规则，使用标准合同、约束性企业规则等形式保障个人数据的后续安全。

▲《欧美数据隐私框架》下欧盟个人数据传输情况示意

2.《信号情报行政令》

美国的《信号情报行政命令》引入了新的具有约束力的保障措施，以解决欧盟法院提出的所有问题，限制美国情报部门在秘密监控行为中获取欧盟数据的权力。

在实体法层面，美国提供约束性保护措施，将美国情报机构对数据的访问限制在保护国家安全所必需的范围内。《行政命令》规定了情报活动收集个人信息的处理要求，规定美国情报机构需要在信息解密时告知被监控的个人，并扩大了合规官员的责任；此外，还要求美国情报界依据新的保障措施对相关政策和程序进行更新。

在程序法方面，《信号情报行政命令》对《隐私盾》下的救济措施进行了改良，设立了独立且有约束力的两层救济机制，美国司法部长所指定的符合条件国家（qualifying state）的公民^[7]可以通过本国的官方机构向美国提出关于情报机构的申诉。

第一级救济机制是国家情报总监办公室的公民自由保护官（Civil Liberty Protection Officer，以下简称“CLPO”），CLPO负责受理并初步审查是否存在违规行为，以及在必要时对符合条件的申诉采取适当的救济措施。

第二级救济机制是，若申诉人不接受CLPO审查的结果，可以向美国司法部新设立数据保护审查法庭^[8]（Data Protection Review Court，以下简称“DPRC”）对CLPO决定提起上诉。DPRC将有权进行调查，从情报机构获得相关信息，审查CLPO所管辖违规行为的决定在法律上是否正确、是否有实质性证据支持，并能够作出具有约束力的救济决定；如果DPRC发现收集的数据违反了行政命令中规定的保障措施，DPRC将能够下令删除这些数据。

在DPRC的审查过程中，一名隶属于司法部、具有国家安全情报权限的特别律师（Special Advocate）将代表申诉人的利益在DPRC庭前表达意见。但特别律师与申诉人之间不存在律师和当事人关系，也不得在与申诉人交流时泄露国家安全信息。

审查完成后，申诉人不会被告知他们是否受到美国情报监控活动的影响，而是会收到一份标准化的通知，仅声明DPRC的审查已经完成，并说明DPRC没有发现任何违规行为，或者DPRC作出了要求进行适当救济措施的决定。

DPRC仍然是设立于美国行政系统内部的法院，但其机制与美国其他具有相对独立地位的行政法院类似，并且在独立性上具备更高要求。DPRC由非美国政府人员组成，不受司法部长的监督，其成员仅只能因严重原因（如被判有罪，或被认为精神或身体不适合执行任务）而被解雇，不能接受政府的指令。

二、《数据隐私框架》评价

《数据隐私框架》应欧盟所要求的“基本等同”和“比例”原则，对之前的欧美数据跨境机制进行了修改，同时根据施雷姆斯二号案判决中的诉求做出了重大调整，设立独立法庭审查美国情报机构数据收集工作。

欧盟之前批评美国情报机构执法时违反“比例”原则，存在过度执法现象，现在该原则明确成为新框架的主要规定。美国情报机构在获取欧盟公民的数据信息时被要求遵循相关流程，并在总体上保留了尊重隐私和公民自由权力的规定。

欧盟之前诟病美国情报机构的另一痛点是缺乏“救济措施”，这次也明确写在新框架中。新框架提供了两层“矫正”系统，以解决欧洲人对美国情报机构使用数据的投诉。DPRC将有权力对欧盟公民的投诉进行调查，包括可以从美国情报部门获取相应证据，还可以作出具有约束力的“救济决定”。如果DPRC发现收集行为违反执行法令，可以要求删除相关数据。

然而，新《信号情报行政令》建立的机制并未完全解决施雷姆斯二号案所提出的关切：DPRC仍属于美国行政系统内部的自我纠正机制，而非完全独立的法院；并且申诉人无法直接面对DPRC，而必须通过隶属于美国政府的特别律师表达意见。因此，该机制能否满足欧盟法院所确定的“可通过诉讼保护权利”标准尚难判断。

不过，欧盟GDPR事实上也并不适用于欧盟各国的情报活动。欧盟另行订立的《刑事个人数据保护指令》^[9]以及欧洲人权法院根据《欧洲人权公约》所做出的判决是规范欧盟各国情报活动的法律规则。虽然法院的判决禁止了对个人数据的大规模监控行为，但也认为如果基于国家安全及对抗严重犯罪的目的属于特例，可以保留^[10]。法院对于欧盟内部的情报活动主要通过“比例”原则进行限制，要求国家安全必须受到了真实、紧迫且可预见的威胁情况下才可以进行相关活动。而政府在调取或收集这些数据之后，对数据进行的读取或利用等行为都必须严格符合当初调取或收集时的目的，并要有法院或独立行政机关复核。因此，如果针对《数据隐私框架》的施雷姆斯三号案将来真的发生，美国或许可以通过比较欧盟自己的立法与《数据隐私框架》中对于情报活动的限制以及救济措施有效性的方式来应对欧盟法院的司法审查。美国司法部长指定欧盟为符合条件国家时所附的备忘录^[11]中已经明确指出，欧盟各国在大规模情报收集活动中所需要遵循的要求已经与美国《信号情报行政令》赋予欧盟公民的保护相去不远。

随着我国《数据出境安全评估办法》《个人信息出境标准合同办法》、《个人信息保护认证实施规则》等法规和标准的不断出台，中国的数据出境安全管理制度架构已基本成型。同时，现有的制度设计也为我国通过缔结或者参加国际条约或协定的方式作为个人信息出境的路径预留了空间。而欧美之间二十多年来在数据跨境流动领域的博弈，是一次对欧盟的立法原则在实践中检验的有益探索，也为我国未来有可能通过缔结或者参加国际条约或协定开辟个人信息出境新路径提供了非常有价值的借鉴。

附件：美欧跨境数据流动规制的历史沿革

美国与欧盟之间至今已有三次关于个人数据跨境流动特殊安排的尝试，先后分别为《安全港原则》^[12]、《隐私盾》^[13]与此次的《数据隐私框架》。此前的《安全港原则》及《隐私盾》均以欧盟法院认定其无效而告终，并且无效理由主要在于美国政府机构获取欧盟公民个人数据的权力过大且不受制约。

1.《安全港原则》

《安全港原则》发布于2000年，所满足的是欧盟《95年数据保护指令》^[14]（欧盟GDPR的前身）对于个人数据保护要求。

《安全港原则》规定，美国私营机构只要向美国贸易部自我认证（self-certify）将会遵守该文件的原则与要求，就可以接收从欧盟传来的个人数据。《安全港原则》所列出的七大基本原则分别为：

（1）告知（Notice）：应当告知个人其收集使用个人数据的目的、联系方式以及接收个人数据的第三方。

（2）选择权（Choice）：对于普通个人信息被传输给第三方或被用于与收集目的不同但相容（compatible）其他目的，个人可以选择退出（opt-out），而对于敏感个人数据，则必须获得个人的明确同意（opt-in）。

（3）再传输（Onward Transfer）：将个人数据再传输给第三方时，必须遵守告知与选择权原则，且第三方须提供同等保护。

（4）安全（Security）：应当防止个人数据被不当丢失、误用、获取、公开、篡改及损毁。

（5）数据完整性（Data Integrity）：个人数据的使用须与目的匹配，保证正确、完整、不过时。

（6）知情权（Access）：个人有权获取其个人数据，且对不正确的个人信息提出修正、更改或删除。

（7）执行（Enforcement）：保障自身合规，并为违规行为设立独立的纠正机制。

然而，2013年的斯诺登事件暴露出了美国政府机构（尤其是情报机构）对国内外的大规模监控行为所造成的隐私侵犯现象：所有被传输至美国甚至经过美国的数据，都有可能被美国情报机关通过电子通讯服务商的主动配合或对于主干电信网络的监听获取，而相关个人和企业可能对此毫不知情^[15]。欧盟也因此对于其公民被传输至美国的个人信息的安全感到深度不安。人们赫然发现，《安全港原则》竟然还留有特别条款，不适用于美国政府机构根据国家安全、公共利益以及执法需求所做出的行为。

2014年，奥地利律师马西米利安·施雷姆斯（Maximillian Schrems）向爱尔兰个人数据保护机构投诉其个人信息被美国Facebook公司侵犯。该案一路上诉至欧盟法院（Court of Justice of the E.U.）。欧盟法院在2015年的施雷姆斯一号案（Schrems Ⅰ）^[16]中判决《安全港原则》因违反《95年数据保护指令》以及侵犯了欧盟公民的个人数据根本权利而无效。

2.《隐私盾》

在《安全港原则》被判无效后，欧美经过谈判重新达成的《隐私盾》在欧盟委员会批准后于2016年7月12日生效。

《隐私盾》在个人数据保护原则上与《安全港原则》基本保持一致，但加强了美国联邦政府部门特别是美国联邦贸易委员会（U.S. Federal Trade Commission）的执法权力，以回应《安全港原则》所受到的批评。

不过《隐私盾》最重要的变化在于，其不仅适用于私人商业主体，还对美国政府的情报活动对于欧盟公民个人信息的影响做出了限制。美国司法部（Department of Justice）、国家情报总监（U.S. Director of National Intelligence）以及国务卿（U.S. Secretary of State）分别发出公开信，表示美国的刑事执法活动和国家安全与情报活动均将尊重外国公民的个人信息权益。美国国务卿进一步指定了一位贸易部副部长为独立的隐私盾行政监察专员（Privacy Shield Ombudsman），可以接收欧盟各国个人数据保护机关转交的个人投诉，进行独立于情报系统的审查，在发现不符合总统指导文件的情况下与相关美国情报机关合作解决问题，并与欧盟各国个人数据保护机关以及提出投诉的个人联络、通报处理情况。

2020年，欧盟法院在施雷姆斯二号案中判决《隐私盾》因违反欧盟GDPR而无效。欧盟法院的主要理由是，在比较欧盟各成员国对于秘密监控行为的限制以及美国法律和《隐私盾》对于外国公民秘密监控行为的限制之后，法院认为《隐私盾》所提出的行政及情报系统内控机制并不足以保护欧盟公民的个人信息，因为美国情报机构即使在监控目的完成后也不会告知欧盟公民曾对其实施过监控，而行政监察专员机制也不足以确保欧盟公民的个人信息能得到个案保护。美国的行政或情报内控机制仅仅只是一种并不独立于行政系统内部的事后保护，所谓的行政监察专员制度也并不能为欧盟公民提供可通过诉讼保护的权利，因为行政监察专员的决定对于美国情报机关并不具有拘束力。

参考文献：

[1]Commission Implementing Decision pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate level of protection of personal data under the EU-US Data Privacy Framework, C(2023) 4745 final.

[2]Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems, CJEU, C-311/18 (2020).

[3]European Commission and United States Joint Statement on Trans-Atlantic Data Privacy Framework, European Commission; https://ec.europa.eu/commission/presscorner/detail/en/IP_22_2087, 2022.3.25.

[4]Commission Implementing Decision pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate level of protection of personal data under the EU-US Data Privacy Framework, Annex Ⅰ, C(2023) 4745 final.

[5]Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities, Exec. Order No. 14086 (2022).

[6]《隐私盾》与《隐私框架原则》的对比，见

https://iapp.org/media/pdf/resource_center/from_privacy_shield_to_dpf_redline.pdf 。根据隐私盾网站的公告，《隐私盾》的参与者甚至可以直接使用隐私盾网站的账号登录新隐私框架的网站以完成自我认证的更新。

[7]美国司法部长已经指定欧盟及欧洲经济体国家为“符合条件的国家”，见

Designation Pursuant to Section 3(f) of Executive Order 14086, https://www.justice.gov/d9/2023-07/Attorney%20General%20Designation%20Pursuant%20to%20Section%203%28f%29%20of%20Executive%20Order%2014086%20of%20the%20EU%20EEA.pdf 。

[8]Data Protection Review Court, 28 CFR 201 (2022).

[9]Directive (EU) 2016/680 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA.

[10]CJEU 6 October 2020, C-511/18, C-512/18 and C-520/18, La Quadrature du Net, §100, §122, §136, §140-151; Privacy International, §45, §75.

[11]Memorandum in Support of Designation of the European Union and Iceland, Liechtenstein and Norway as Qualifying States Under Executive Order 14086, 

https://www.justice.gov/d9/2023-07/Supporting%20Memorandum%20for%20the%20Attorney%20General%27s%20designation%20of%20EU-EEA.pdf 。

[12]International Safe Harbor Privacy Principles, 65 Fed. Reg. 45,665 (July 21, 2000).

[13]Privacy Shield Framework, 81 Fed. Reg. 51,041 (Aug. 2, 2016).

[14]Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data, 95/46/EC.

[15]Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems, Para. 54 - 68, CJEU, C-311/18 (2020).

[16]Maximillian Schrems v. Data Protection Commissioner, CJEU, C-362/14 (2015).

本文作者：

声明：

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。