查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《东方法学》
个人数据跨境传输限制及其解决方案
【作者】 张继红【作者单位】 上海对外经贸大学法学院{教授,法学博士}
【分类】 人身权
【中文关键词】 跨境传输;个人数据保护;隐私盾协议;安全港协定
【期刊年份】 2018年【期号】 6
【页码】 37
【摘要】

商事交易的国际化使得个人数据跨境传输日趋频繁,而各国立法规则及执法体制差异性较大,以欧盟为代表的数据本地化政策严格限制个人数据的跨境传输,与数据贸易全球化趋势存在内在冲突。如何协调个人数据跨境传输与个人数据保护之间的矛盾,成为亟待解决的现实问题。随着《安全港协议》的失效,欧美开启新一轮谈判,并于2016年达成“隐私盾协议”,从内容上更多体现了欧盟数据保护法制的最新成果。在跨境数据传输领域,欧盟采用单边保护措施,推定其所信奉的数据保护价值理念,具有较强的对立性,难以实现理想效果;双边协议则可在短期内调和两国之间的矛盾;但从长远看,个人数据跨境传输本质上具有全球化属性,需要多个国家及地区共同参与并达成多边协议才能提供根本性解决方案。

【全文】法宝引证码CLI.A.1249073    
  
  商事交易的国际化使得个人信息跨境传输变得愈加频繁,数以千万计的个人数据通过网络在全世界传输,以完成各种交易或管理行为。例如,美国企业TRW Information Services(消费者信用信息收集机构)与日本信用组织签署协议,允许相互利用对方的数据库,以核查居住在本国的对方侨民的信用记录。[1]为了降低高昂的劳动成本、节约资源,一些企业还会把部分工作外包给其他国家的机构,将包括身份证、信用记录、税务、保险等个人数据跨国转移至一些人工成本相对较低的热门地区,如印度、菲律宾等国。这种境外安排将工作拆分为数个能够有效管理的部分,使企业能够将有限资源集中在核心领域,可大大提升其市场竞争力。[2]
  大数据、云计算、互联网等科技手段的广泛应用,使得数据处理和传输愈加便捷,但也增加了监控和管理的难度。个人数据可能在A地收集、B地处理、C地储存、D地使用,跨境因素的介入使得个人数据保护问题变得更加错综复杂。一些大型跨国企业的服务外包业务(特别是外包机构位于个人数据保护水平较差地区),使得数据安全问题愈加严峻。[3]而作为执法部门的数据监管机构却因为涉及境外个人数据控制者或处理者,其调查及制裁程序难以开展及执行。如何在大数据、云计算等新技术背景下促进个人数据的跨境流动并确保安全,有效协调各国数据保护法制的差异性,是一个亟待解决的现实问题。
  一、跨境数据流动政策的矛盾与冲突:数据本地化与数据自由化
  (一)跨境数据传输限制:数据本地化
  针对跨境数据传输问题,为了实现对本国公民个人数据的保护,很多国家及地区都在某种程度上追求数据收集、存储和利用本地化,限制或禁止数据的跨境流动。这里,数据跨境传输的限制形式有所差异,有些要求数据输入地区达到“充分保护”标准,有些则对受益方施加特定要求如履行合同义务、取得同意或附加其他条件等。
  第一类,严格限制数据跨境传输的国家及地区,以欧盟最为典型。1995年《个人数据保护指令》(以下简称《欧盟指令》)就数据跨境流动问题进行了专门规定,确立了“充分保护原则”。[4]如果查明第三国未能提供其所要求的“充分保护”时,成员国应当采取必要措施以阻止任何相同类型的数据向第三国传输。[5]受其影响,欧洲主要国家如法国、德国、瑞典、西班牙、荷兰、比利时、奥地利、冰岛、匈牙利、瑞士等都采用严格限制跨境数据传输的立法模式。2016年《通用数据保护条例》(以下简称GDPR)替代了《欧盟指令》,进一步扩大了条例的域外管辖权,明确规定GDPR对在欧盟境外处理个人数据的行为也具有适用效力。尽管欧盟指令也宣示其域外效力,但其从未明确说明拥有超欧盟区域的域外管辖效力。[6]这次对指令的修改,再次强调欧盟不允许将其公民的个人数据转移至那些不能提供充分保护的地区或国家,充分表明了欧盟希望通过立法的不断完善以保障欧盟整体数据保护水平。[7]
  当然,该模式亦会提供一些例外情形,类似《欧盟指令》第26条规定,如获得数据主体的明确同意,基于当事人的利益而履行合同、采用标准合同条款、维护重大公共利益等。然而,实践中数据监管机构通常会对上述例外作狭义解释,以严格限制其适用,从而确保其本国或本区域公民的个人数据转移安全。
  第二类,针对数据传输第三方施加义务和责任的国家,如加拿大、日本。相比较而言,此种模式对数据是经跨境传输、还是在国内转移至第三方并不作具体区分,而是适用统一规则。这里的“第三方”,包括附属机构、关联机构以及母公司等,而不论其所处地点在哪里。简言之,上述两国立法要求传输机构对于将数据传输至第三方应承担相应的个人数据保护之责,通常采用合同形式明确彼此之间的数据保护义务及责任。例如,位于加拿大的公司,如果将其所持有的个人数据转移至第三方,必须在合同中明确数据保护条款,以确保第三方机构能够提供同等水平的保护。
  第三,取得“同意”或达到其他条件的国家,如韩国。在上述地区,不要求必须签署将个人数据转移至境外第三方的合同。但是,韩国要求必须得到数据主体的“选入同意”。[8]
  总体而言,不论是要求数据输入方达到充分保护标准,还是通过合同、施加特殊程序性要求如取得许可等,都表明各国立法者对于跨境数据传输的基本态度,即施以一定程度的限制,防止个人数据的随意输出及滥用,从而保障国家安全并防范外国监控,以此提升对本国公民数据的保护水平。虽然数据本地化实现了对源自本国的个人数据收集、存储和利用等全过程的主动控制,但也在一定程度上失去了获得优质数据的可能,阻碍了本国数字经济的发展,进而形成非关税壁垒。
  (二)跨境数据传输自由化
  为了打破不同国家及地区在数据跨境传输上的壁垒和限制,推动全球数字贸易便利化,更有效的实现数据跨境流动的执法合作,满足企业间数据跨境传输的实际需要,包括经合组织(OECD)、亚太经合组织(以下简称APEC)等国际组织制定了一系列的指南和政策,积极推动跨境数据传输自由化。
  1980年OECD制定的《关于隐私保护和个人数据跨境流动指南》明确指出,个人数据的跨境流动有利于经济和社会发展,应促进数据在成员国之间的自由流动,建议成员国努力消除或避免以隐私保护的名义为个人数据跨境流动制定不当障碍,建立“自由流动与合法限制原则”(第15条至第18条),包括:成员国应当采取合理和适当的措施确保个人数据的国际流通;成员国之间应去除个人数据国际流动的限制;成员国应避免借保护个人数据及个人自由之理由,在超出保护的必要程度内,创设个人数据国际流通障碍的法律与政策等。同时,OECD于2007年6月通过“隐私保护及跨境合作执行建议”,要求成员国执行跨境合作执行隐私保护相关法律时,应采取以下适当措施:(1)改善国内隐私法规执行架构,以便于本国主管机关与外国相应机关的合作;(2)建构有利于执行跨国合作隐私保护法规的有效国际机制;(3)在执行上述法规时,应相互提供协助,包括通知、申诉、协助调查以及在适当安全保护措施基础上共享信息;(4)与利害相关方进行有利于上述法规执行的讨论及交流。[9]
  此外,为了鼓励个人数据在亚太地区的跨境自由流通,APEC于2013年通过了《跨境隐私规则体系》(以下简称CBPR),其主要目的在于,确保全球组织能够收集、取得、使用或者处理APEC经济体的数据,在组织内制定并实施统一方法,以便全球获取和使用个人数据。同时,推动国际机制来促进和加强信息隐私权保护,并维持APEC经济体及其贸易伙伴间信息流动的连续性。此人家庭地位极低
  值得一提的是,2015年在美国主导下达成的《跨太平洋战略经济伙伴关系协定》(以下简称TPP)电子商务章引入“商业信息跨境自由传输条款”,以规制数据跨境传输并限制数据本地化存储,强制性要求各方允许数据跨境流动。[10]虽然TPP也规定了一些例外情形,如实现公共政策目标采取限制措施,但要求不得对数据传输施加超出实现合法公共政策目标所需的限制。[11]
  正是由于个人数据的双重属性,一方面个人数据的人格权属性,使得以欧盟为代表的国家及地区更关注个人数据及个人自由的重要性,采取数据本地化的限制性措施;另一方面,个人数据所蕴含的巨大财产价值和经济利益,又是促使跨境数据传输自由化的关键因素。跨境数据传输本地化和自由化这一对价值矛盾与冲突,始终贯彻跨境数据传输规则始终。这里,有必要以现有国际组织如联合国等为主导进行跨境数据传输国际规则的框架设计,积极推动各国数据监管部门之间的合作与交流,降低个人数据流动的跨境障碍,提升数据传输的便利化,增加跨境数据传输国际规则的透明度。
  二、欧美跨境数据传输政策协调:从《安全港协定》到《隐私盾协议》
  20世纪70年代以来,美国与欧盟在隐私权保护上的巨大差异成为贸易争端的焦点。美国坚持灵活保护的策略,通过自律机制配合政府的执法保障来实现保护隐私权的目的。而欧盟却倾向于通过严苛立法对个人数据跨国流动进行保护,即“充分保护”标准。由于美国对于个人数据保护标准未能达到欧盟要求的水平,将严重限制美国企业在欧盟开展业务。为了缩小两种不同数据保护模式的差异性,并提供美国企业可以符合欧盟数据保护规则简单又高效的方法,美国商务部与欧盟委员会共同提出所谓的“安全港隐私原则”,于2000年11月1日达成了《安全港协定》。
  (一)欧美《安全港协定》框架
  “安全港”是指由美国商务部建立公共目录,在交通运输部和联邦贸易委员会管辖下的任何机构以自愿的形式加入。一旦选择加入,就要公开宣誓自己完全接受安全港原则的约束,而且每年还要向商务部提交公开隐私政策的书面报告,以此来证明自身确实遵循这些原则,否则便被视为商业欺诈行为。[12]自《安全港协定》生效起,有超过2000家美国企业或组织申请加入安全港计划。需要注意的是,美欧所签订的《安全港协定》并未涵盖金融服务业及相关行业的个人信息处理。[13]
  《安全港协定》规定了七项隐私权保护原则,被奉为“国际安全港隐私原则”,[14]即:通知原则;选择原则;向前转移原则;安全原则(Security);数据完整性原则;接入原则;执行原则。[15]《安全港协定》授权一套双层执行机制,原则上进行行业自律;如有必要,再由政府执法机构执行。[16]《安全港协定》吸引美国企业积极加入的一个主要原因:安全港实施的有关争议由美国法律而非欧盟法律确定,欧盟个人数据保护机构对于美国企业在美国的行为并无管辖权。[17]
  《安全港协定》在信息技术方兴未艾之时发挥了积极的作用,一方面积极促进了美国企业在欧洲的发展及扩张,便利了欧美商业往来特别是中小企业的发展,降低了美欧间信息产业市场的准入门槛;另一方面,对国际跨境数据传输规范的统一起到了推动作用,体现了行业自律和强制规范两种监管体制的有机融合,在不同国家的监管体制之间开创了先例。只要符合欧盟数据保护标准的国家、地区、组织、团体皆可适用于安全港。目前,除美国安全港体系外,包括阿根廷、加拿大、瑞士等在内的11个国家和地区均达到了欧盟制定的“充分保护标准”,跨境数据传输规制日益统一化,极大地促进了国际网络数据传输的规范化治理。[18]
  如前所述,对欧盟信息产业准入门槛的实质标准降低,以及进入安全港的企业可以忽略欧盟各国法律上的差异,使得美国企业合法地在两国间传输数据,大量数据被送往美国进行存储和分析。
  2013年,前NSA雇员爱德华·斯诺登曝光大量来自美国情报机构的机密文件,其中不乏对欧洲领导人的监控。在这当中,像苹果、微软等大型科技公司则都有意或无意地参与了NSA的监控行动,直接导致欧洲民众对数据安全的担忧与日俱增,美欧之间的合作关系开始出现了阴影、裂痕以及种种的不确定性。
  在此背景下,一名来自奥地利的公民Max Schrems向Facebook欧洲总部所在地爱尔兰数据保护专员投诉,指出Facebook向美国政府提供欧洲公民相关数据,未能达到《安全港协定》规定的充分保护要求。出于对美国情报机构入侵的担忧,欧洲法院于2015年10月6日最终裁定第2000/520号决定无效,直接导致《安全港协定》失效。该判决使得跨大西洋数据传输的合法性依据缺失,依赖该协定的4500多家美国企业处于法律上的不确定状态。
  大数据等新兴技术的发展使得原有制度出现了裂痕,制定于2000年前的《安全港协定》在处理新问题时呈现出明显的滞后性,已无法有效应对新时期的问题和挑战。跨境数据泄露和滥用问题日益严峻,个人数据安全的脆弱性进一步凸显,原有的“安全港”已不再安全,技术发展成为倒逼法律制度不断更新完善的现实力量。
  (二)2016年欧美《隐私盾协议》(EU-US Privacy Shield)
  虽然除了《安全港协定》,美欧之间的数据传输可以通过“标准合同条款”及“约束性公司规则”等替代性规则。然而,上述两种路径的适用都要受到欧盟成员国国内数据保护机构的监督及审查,且只要有一个数据主体提出申请,上述审查程序即可启动。这给美欧之间的数据传输带来极大的不确定性。[19]欧洲委员会指出,美欧数据流动受阻可能会造成欧盟整体国民生产总值下降0.8%-1.3%。[20]美国商务部也担心,一旦《安全港协定》被撤销很可能对美欧经济带来不小的冲击。[21]
  基于此,美国和欧盟围绕新的替代性协定积极展开对话和磋商,并于2016年2月2日达成一项新的框架协议,即《隐私盾协议》。[22]新协议由美国商务部和欧洲委员会共同设计,为大西洋两岸的欧洲和美国企业从欧盟向美国传输个人数据过程中提供欧盟数据保护规定的合规机制,并支持跨大西洋商业合作的发展。欧洲委员会认为,新条约足以使个人数据在现有的欧盟数据保护立法框架下进行传输,同时将给予企业一段时间对新隐私协议进行学习,并升级其内部合规机制。数据单一市场副主席Andrus Ansip指出:“新的欧美隐私盾框架能够确保美欧个人数据传输的安全性,并大大提升商业活动的透明度。”[23]
  作为《安全港协定》的替代机制,《隐私盾协议》在内容上与《安全港协定》有着一定的相似性。其中,《隐私盾协议》也要遵守与《安全港协定》相同的七项基本原则,美国企业仍然采取自愿加入的方式接受《隐私盾协议》。但更重要的是,《隐私盾协议》弥补了先前《安全港协定》存在的种种缺陷及弊端,对美国公司施加更重的个人数据保护义务,强化了监督和执行机制,并赋予欧盟公民救济权利等,在内容上有很多新的突破。与此同时,《隐私盾协议》不仅包含美欧之间在数据传输方面的新承诺,还克服了原先《安全港协定》仅就个人数据跨境传输私人活动进行规制的局限性,对美欧之间以国家安全为目的个人数据传输行为也纳入协议调整的范围。
  第一,《隐私盾协议》对入盾企业提出了新要求,以便更充分地保护个人数据。(1)加入企业必须在其隐私政策中公示入盾承诺及保证符合新协议,该承诺和保证可以依据美国法执行。加入企业必须通知数据主体有权访问其个人数据,以及应公共当局要求披露个人数据的规定。执法部门对入盾企业的合规情况以及将数据向第三方进行转让都具有管辖权。不仅如此,入盾企业还要完成定期自证审查,并接受美国联邦机构的监督和调查。(2)加入企业须对转移至第三方的数据负责。当加入企业将数据转移至数据控制者或处理者第三方时,其必须遵循通知数据主体及并供数据主体选择退出机制。在获取数据主体同意的前提下,须与第三方订立合同约定仅能用于有限的、明确的、特定的目的,并且第三方将会提供与收集方同等程度的个人数据保护措施。(3)加入企业必须配合美国商务部行动,即及时回应商务部有关新条约框架下提出的质询或要求。(4)在个人数据持有期间存续时,加入企业须确保按规定保护个人数据。在此基础上,加入企业嗣后退出新协议的,若其选择继续留存已经获取的个人数据,则其必须对留存的数据继续履行新协议的保护义务,或通过其他授权的方式为该等数据提供足够的保护。
  第二,《隐私盾协议》为欧盟境内数据主体提供了多种救济手段及措施。(1)监察程序。欧盟公民个人有权直接对加入新协议的美国企业提起监察,该企业必须在45日之内回应该诉求。就欧盟公民提起的监察,入盾企业必须在不对个人造成费用负担等情况下建立独立的处置机制,保证每个欧盟公民的监察和争议都能够得到调查和快速处理。(2)若欧盟公民将投诉提交至欧盟任一数据保护当局,则美国商务部需在90日内回复该数据保护当局,并保证审查该纠纷并尽最大努力促使投诉得以快速解决。美国联邦贸易委员会承诺将有力的执行新协议,包括优先处理来自欧盟成员国各数据保护当局、美国商务部、隐私自律监管机构和其他独立救济机制移交的请求。(3)欧盟公民个人有权在美国州法院直接提起诉讼程序,包括误导性陈述等诉请。
  第三,对于国家安全及执法的数据访问,美国政府明确作出了权力约束的保证。而这也是美国官方首次承诺对美国有关情报系统的情报活动进行实质性约束。美国情报界已经就适用于该组织的美国宪法、成文法等各层级的法律法规,以及来自美国政府立法、司法、行政三个分支的监管,形成书面文件并呈交欧洲委员会。美国司法部则提供了一份关于对美国政府基于执法、公众利益等目的访问商业数据和其他美国公司持有数据的各种限制。具体而言,美国基于国家安全实施的任何数据访问,均须有明确的限制条件和监管。美国政府承诺不对从欧盟转移至美国境内的个人数据进行无差别、规模化的监控;批量收集的公民个人数据仅能用于反恐怖主义、防止核扩散、网络安全等六个特定目的,且前提是遵守新协议保护个人数据的有关原则和规则。另外,新协议还史无前例为欧盟公民个人就信号情报活动的质询开通了一条特别通道——监察专员制度。监察专员独立于美国国家安全机关,专门负责处理欧盟公民的相关投诉。通过该制度,欧盟公民可以向该监察专员提交质询,并得到美国政府在遵守美国国家安全义务前提下给出的答复。美国副国务卿诺维利将担任首任监察专员,直接对美国国务卿负责,不受任何来自情报系统的约束。
  第四,美国政府承诺将进一步强化与欧盟成员国各数据保护机构的合作。具体包括:在商务部建立联络处,专门负责与欧盟各数据保护当局进行联系,推动有关投诉的解决,协助欧盟各成员国数据保护机构寻找特定企业加入、执行新协议的情况,并向欧盟各数据保护当局提供有关新协议的材料供其在网站上发布,以增加协议在欧盟公民和企业执行的透明度。美国联邦贸易委员会亦承诺将加强与欧盟各成员国数据保护当局的合作,包括在联邦贸易委员会内部建立联络处以及标准化的进程,供欧盟各数据保护当局转交监察;在不违反保密法律法规的前提下,就监察转交与转交机构进行信息交换;同时还将与欧盟各成员国数据保护当局进行紧密的执法合作。在此基础上,新协议还构建了一项年度联合审查机制。美国商务部、联邦贸易委员会以及其他联邦机构还将与欧盟委员会、各成员国数据保护当局及第29条工作组的代表们召开年度会议,共同研讨有关新协议的运作、执行、监管及执法等问题。
  从《安全港协定》的发展历史来看,其执行和适用就不断受到来自各方的质疑。据统计,仅2009年一年之内就有七起投诉直指该协定的执行。从2000年至2015年,针对《安全港协议》的投诉远远超过1300件,但最终被执行的案件只有40个,其中仅有两家公司被执行了罚款处罚。[24]因此,与《安全港协定》相比较,《隐私盾协议》在内容及执行力上更加具体和完善。新协议为欧盟的数据主体提供了一系列强有力、可执行的保护措施,诸如企业披露如何使用个人数据的透明度要求、强有力的美国政府监管以及与欧盟数据保护机构更紧密的合作。更为重要的是,《隐私盾协议》还赋予了欧盟数据保护机构对数据接收者第三国的数据保护水平享有充分的调查权。这无疑使得欧盟对其境内的个人数据保护拥有更加稳定并具有延展性的监督权,也为欧盟数据主体的数据控制权多了一份保障和安全。
  然而,仍然有很多人对《隐私盾协议》的规定是否能够得到贯彻执行,持怀疑态度。虽然从表面上看,《隐私盾协议》更加细致且执行性强,但其程序性规则存在走过场、不透明等问题,其宣示意义更大于实质意义。“棱镜门”事件的曝光者斯诺登就将《隐私盾协议》称为“说明性盾牌”,而起诉《安全港协定》

  ······会让它误以为那是爱情

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
扫码阅读
本篇【法宝引证码CLI.A.1249073      关注法宝动态:  

法宝联想
【相似文献】
【作者其他文献】

热门视频更多