20年間,素來強調隐私和個人資訊保護的歐盟,一直推動高标準的個人資料保護制度,甚至延伸到個人資料跨境流動。美歐之間的個人資料跨境轉移政策幾經變化,已經從“安全港”時代過渡到了目前的“隐私護盾”時代。
“安全港”是歐美資料保護制度折中的産物
歐盟《1995年資料保護指令》對電腦處理個人資料提供了保護。指令第25條規定,隻有當第三方國家通過相關國内法或國際承諾,對個人資料提供充分保護(adequate level of protection)時,才允許将歐盟公民個人資訊轉移、存儲到該第三方國家進行處理。這實際上禁止向歐盟以外的第三方國家轉移個人資料,除非歐洲委員會認為該第三方國家能夠充分保護個人資料。目前,瑞士、紐西蘭、加拿大、阿根廷等國家獲得了歐盟認可。
《1995年資料保護指令》出台之後,雅虎、谷歌等網際網路先鋒公司相繼成立,随後,美國網際網路産業迎來快速發展。由于網際網路産品和服務超越國界,跨境收集、轉移、處理個人資料成為一個必然趨勢。然而,由于美國對個人資料采取行業分散保護機制,整體未能達到歐盟要求,這将妨礙在美國和歐盟之間跨境轉移個人資料。于是,為了滿足歐盟的充分保護要求,雙方于2000年達成了一個折中的安全港協定。之後,歐洲委員會通過“2000/520号充分保護決定”,确認安全港隐私原則及附屬條款對個人資料的保護達到了歐盟的充分保護要求。這大大便利了雙邊個人資料流動;隻要美國企業加入安全港,并公開承諾遵守安全港的要求,就可以将歐盟公民個人資訊轉移到美國境内進行處理。美國中小企業尤其從中受惠。
歐盟法院否定“安全港”
美歐個人資料跨境流動前途未蔔
2013年,美國監控醜聞曝光,歐盟成員國資料保護機構紛紛質疑安全港協定;于是,2014年1月,歐盟和美國開始啟動談判,磋商新的資料跨境協定,以取代當時還有效的安全港協定。不料,新協定尚未達成,歐盟法院就率先否決了安全港協定。
2015年10月6日,歐盟法院一紙判決否決了安全港協定,數千美國企業跨大西洋轉移歐盟公民個人資料失去庇護。11月6日,歐洲委員會釋出指南,在督促盡快達成新協定的同時,為保障跨大西洋轉移個人資料提出其他可選方案,包括合同方案和有效公司規則。
案件源于奧地利公民schrems針對facebook跨境轉移其個人資料而向愛爾蘭資料保護委員會提出的投訴。愛爾蘭資料保護委員會拒絕了這一投訴;schrems遂起訴到愛爾蘭高等法院。愛爾蘭高等法院認為,一旦歐盟公民個人資料被轉移到美國,在不加區分的大規模監控、攔截過程中,nsa、fbi等聯邦機構就可能非法擷取這些資料;考慮到案件涉及歐洲委員會“2000/520号充分保護決定”,故提請歐盟法院作出裁決。歐盟法院認為,歐洲委員會沒有盡職調查美國對個人資料實際上是否提供充分保護,僅僅通過審查安全港協定,就得出武斷結論。此外,美國國家安全、執法訴求等淩駕于安全港之上,可以對跨境轉移到美國的歐盟公民個人資訊采取監控、攔截、擷取等措施。在這樣的背景下,“2000/520号充分保護決定”其實沒能達到《1995年資料保護指令》所要求的充分保護程度,是以無效,安全港因而遭到否定。
“隐私護盾”開創美歐個人資料跨境轉移新秩序
安全港被歐盟法院否定之後,雙方談判加速。2016年2月2日,歐洲委員會宣布,雙方已經達成一個新協定,名曰“歐盟-美國隐私護盾”(eu-su privacy shield)。2月29日,隐私護盾姗姗來遲,公之于衆。
同安全港一樣,隐私護盾也包含七大隐私原則,但是内涵要比安全港隐私原則豐富。
此外,隐私護盾還包含一系列補充原則,涉及針對處理個人敏感資訊的特殊規定、新聞例外原則、isp和電信營運商(提供傳輸、發送、轉換、緩存等服務)不承擔次級責任的原則、從事盡職調查和審計的例外、資料保護機構的角色、自我确認程式等。在歐洲委員會起草的“充分保護決定”中,包含這些原則。
相比于安全港,隐私護盾的進步之處展現在四個方面。
其一,美國企業負擔更強義務。雖然參加隐私護盾是自願的,但是一旦美國企業送出參加隐私護盾的自我确認書,就應當完全遵守其中的所有隐私原則,而且需要公開其隐私政策、執法部門擷取個人資訊的請求等。此外,聲明其符合并遵守隐私護盾之要求的自我确認書必須至少每年送出一次,否則就會被從隐私護盾名單中除名。在監督和執法方面,美國商務部、聯邦貿易委員會(ftc)、交通部等有權部門負責監督參加隐私護盾的美國企業履行義務,并作出處罰和制裁,包括可以依據《ftc法》第45條,認定違反企業構成不正當競争手段,給予嚴厲處罰,包括罰金、除名等。
其二,賦予歐盟公民更強資料權利和多種救濟可能性。2015年12月15日,歐盟三方(歐洲議會、歐盟理事會、歐洲委員會)初步達成《一般資料保護指令》(gdpr),這是歐盟啟動資料保護立法改革四年來的最新成果。gdpr旨在加強個體對其個人資訊的控制力,為其賦予更強資料權利,被遺忘權赫然在列。是以,作為安全港之更新版的隐私護盾,其中的隐私原則及補充原則的内涵大大豐富、細化了。此外,在對歐盟公民的救濟方面,新協定為歐盟公民提供了多種救濟管道。第一,歐盟公民可以直接向美國企業提出請求和投訴,後者必須于45日内作出回應;第二,參加隐私護盾的美國企業必須提供免費的替代性糾紛解決機制(adr)并告知使用者以便其可以進行投訴;第三,可以直接向其本國資料保護機構進行投訴,後者負責将投訴轉交美國商務部,美國商務部必須于90日内作出回應,或者将投訴轉交ftc處理;第四,如果窮盡前述方式未能解決争議,最後可以訴諸一個名為privacy shield panel的仲裁程式。
其三,對美國政府進行網絡監控、擷取個人資訊的明确限制。對美國企業而言,隻有在以下情形下才可以不用遵守隐私護盾隐私原則及補充原則,包括:為了滿足必要的國家利益、公共利益或者執法需求;制定法、政府法規、判例法有沖突規定;歐盟和成員國法律的例外、減損規定等。美國政府擷取歐盟公民個人資訊明确限于以下六個目的:一是偵測、反擊外國勢力的特定行動;二是反恐;三是反制核擴散;四是網絡安全;五是偵測、反制對美國和同盟軍事力量構成的威脅;六是打擊國際犯罪威脅,包括逃避刑事制裁的行為。美國方面承諾不再進行大規模的任意監控。此外,在美國國務院設立一個獨立的監察員,負責處理涉及政府部門監控、擷取個人資訊的投訴。這些要求和美國國内對大規模監控的限制相一緻。比如,2014年1月,美國總統奧巴馬簽發第28号《總統政策指令》(ppd-28),将大規模收集資料限于六大國家安全目的,并且情報部門收集資料應當有明确的針對對象。此外,2015年6月通過的《美國自由法》(usa freedom act)對網絡監控作出了必要限制,并要求科技企業釋出透明度報告。
其四,年度審查機制。為了確定隐私護盾的有效運作,并監督美國履行其承諾,歐洲委員會會同美國商務部每年對隐私護盾的相關情況進行一次審查,并公開其審查報告。這比《一般資料保護條例》的相關規定更為嚴格,因為後者要求至少每四年對第三方國家的隐私保護情況進行一次審查。此外,年度審查并非形式上的。如果美國企業和政府部門未遵守其承諾,歐洲委員會就可以暫停隐私護盾的運作。
呼喚資料保護的國際規則
在數字經濟發展、全球經貿日益緊密的今天,個人資料跨境流動日益頻繁,資料跨境流動及個人資料保護制度的國際規則也日益提上日程,如tpp、中美投資保護協定、apec隐私保護架構等都涉及相關制度。我國目前網際網路産業發展迅猛,應積極推動個人資料保護等相關制度與國際接軌,積極參與國際規則的制定。
原文釋出時間為:2016-04-01
本文來自雲栖社群合作夥伴“大資料文摘”,了解相關資訊可以關注“bigdatadigest”微信公衆号