判决
2015年10月6日,欧洲法院就本案作出判决。在判决中,首先,欧洲法院指出,《95/46指令》第25条第1款禁止向无法确保充分的个人数据保护水平的第三国传输个人数据。为了对该数据传输进行监督,《95/46指令》第25条第6款第1项规定,欧盟委员会可以认定,第三国为了保护私人生活以及个人的基本自由和权利,通过其国内法或其已作出的国际承诺,确保了充分的个人数据保护水平。
接下来,欧洲法院指出,《95/46指令》第25条第2款以及该指令的其他条款均未就“充分的个人数据保护水平”作出界定。《95/46指令》第25条第2款仅规定,第三国个人数据保护水平的充分性应基于数据传输行为的所有相关情况予以评估,在进行此种评估时,应在非穷尽的基础上列明需考量的情况清单。不过,一是从《95/46指令》第25条第6款的用语可以清楚地看出,该款规定要求第三国通过其国内法或国际承诺“确保”充分的个人数据保护水平。二是根据该款规定,第三国确保的个人数据保护的充分性系为了保护私人生活以及个人基本自由和权利而进行评估。因此,《95/46指令》第25条第6款履行了《宪章》明确规定的保护个人数据的义务,并意图在个人数据被传输至第三国的情况下,确保高水平的保护能够继续。
欧洲法院注意到,《95/46指令》第25条第6款规定使用的“充分”这一用语显示,第三国不能被要求确保其个人数据保护水平与欧盟法律秩序所保障的个人数据保护水平相同。但是,“充分的个人数据保护水平”应理解为要求第三国通过其国内法或国际承诺事实上确保了其对基本权利和自由的保护水平,与欧盟通过《宪章》和《95/46指令》保障的保护水平实质相同。如果没有此要求,则前述《95/46指令》的目标将难以实现。同时,《宪章》和《95/46指令》保障的高水平的个人数据保护,将可以通过从欧盟向第三国传输个人数据以在该第三国进行数据处理而被轻而易举地规避。此外,从《95/46指令》第25条第6款的用语可以清楚地看出,欧盟委员会相关决定所涉及的第三国的法律秩序必须确保充分的个人数据保护水平。即使在该第三国出于确保该保护水平而采取的措施有别于欧盟为确保满足《宪章》和《95/46指令》的要求而采取的措施的情况下,该第三国采取的措施亦需在实践中被证明是有效的,以确保该第三国的保护与欧盟所保障的保护实质相同。据此,在审查第三国所赋予的保护水平时,欧盟委员会应评估该第三国适用的源于其国内法或国际承诺的具体规则的内容,以及用于确保这些规则获得遵守的具体实践,因为根据《95/46指令》第25条第2款的规定,欧盟委员会应考虑向第三国传输个人数据的所有情况。而且,根据第三国所确保的个人数据保护水平可能改变的事实,欧盟委员会必须在其依照《95/46指令》第25条第6款作出决定之后,周期性地核实其有关第三国个人数据保护水平充分性的认定,是否仍在事实上和法律上具备正当理由。无论如何,该核实在相关证据使得第三国个人数据保护水平的充分性存疑之际应予进行。
此外,在审查欧盟委员会依照《95/46指令》第25条第6款作出的充分性决定的有效性时,必须考量该决定作出后发生的情况。应指出的是,考虑到其一,个人数据保护在维护私人生活获得尊重的基本权利方面所起的重要作用;其二,在个人数据被传输至未确保充分的个人数据保护水平的第三国的情况下,大量个人的基本权利可能被侵犯。因此,欧盟委员会在第三国确保的个人数据保护水平的充分性方面所享有的自由裁量权应予缩减,其结果是对《宪章》和《95/46指令》第25条的相关要求是否已获满足这一问题应予严格审查。
之后,欧洲法院基于其对《95/46指令》第25条第6款的上述诠释,对《2000/520决定》的第1和3条进行了审查。
关于《2000/520决定》第1条,欧洲法院认为,欧盟委员会在该决定第1条第1款中认定,对于从欧盟传输至美国境内设立的机构的个人数据,该决定附件1中载明的安全港隐私原则(这些原则系依照该决定附件2载明的“常见问题”中规定的指南予以执行)确保了充分的个人数据保护水平。由该款规定可见,安全港隐私原则以及相关常见问题均系由美国商务部发布。而根据《2000/520决定》第1条第2款和第3款的规定,同时结合该决定附件2中载明的第6个常见问题,可以清楚地看出,美国境内设立的机构在遵守安全港隐私原则方面系基于一个自我证明体系。尽管第三国诉诸一个自我证明体系,本身并不违反《95/46指令》第25条第6款有关第三国必须通过其国内法或国际承诺确保充分的个人数据保护水平这一要求,但根据前述要求,该自我证明体系的可靠性实质上取决于建立有效的检查和监督机制,从而能够在实践中对违反相关规则(这些规则确保了对基本权利,特别是对私人生活获得尊重的权利以及个人数据保护权的保护)的行为予以识别和处罚。
本案中,根据《2000/520决定》附件1第2段的规定,安全港隐私原则仅由从欧盟接收个人数据的美国机构出于满足安全港要求,以及享受该安全港所创制的“充分性”推定而使用。据此,这些原则仅适用于从欧盟接收个人数据的自我证明的美国机构,而美国公权力机关并未被要求遵守这些原则。此外,根据《2000/520决定》第2条的规定,该决定仅涉及安全港隐私原则(该原则系依照“常见问题”予以执行以满足《95/46指令》第25条第1款的要求)项下美国个人数据保护的充分性。该决定并不包含有关美国经由相关措施,通过其国内法或国际承诺,确保了《95/46指令》第25条第6款规定的充分的个人数据保护水平的认定。
同时,根据《2000/520决定》附件1第4段的规定,在满足国家安全、公共利益或执法要求所需的范围内,可以对安全港隐私原则的适用予以限制。此外,该原则亦可通过创设与该原则相冲突的义务的法律、政府规章、判例法,或者给予相关明确授权的法律、政府规章或判例法而予以限制。《2000/520决定》在附件4的B部分就安全港隐私原则受到的限制称:“很明显,在美国法律规定了与安全港隐私原则相冲突的义务的情况下,美国机构,无论是否在安全港内均须遵守该法律。”据此,《2000/520决定》已明确规定,国家安全、公共利益或执法要求优于安全港原则。依照该优先性,在安全港原则与前述要求冲突并因此与这些要求不符的情况下,从欧盟接收个人数据的自我证明的美国机构应不受限制地忽略安全港原则。在此情形下,在相关个人的数据被或可能被从欧盟传输至美国之际,《2000/520决定》已使得对这些个人的基本权利进行干预(该干预系基于美国国家安全、公共利益或其国内立法)成为可能。而在确定对私人生活获得尊重的基本权利的干预是否存在时,与私人生活相关的信息是否敏感信息,或相关个人是否因该干预而遭受任何不利后果均无关紧要。(https://www.daowen.com)
此外,《2000/520决定》并不包含相关个人的个人数据从欧盟传输至美国时,美国现行有效的旨在限制对相关个人的基本权利进行干预的任何认定规则。而值得注意的是,美国境内的相关实体在实现其合法目的(例如国家安全)的情形下,将被授权进行前述干预。《2000/520决定》亦未提及防止该干预的有效的法律保障措施。如同本案总法律顾问在其法律意见中所指出的,美国联邦贸易委员会(根据《2000/520决定》附件2载明的常见问题11的描述,该委员会的权力限于解决商事争议)的相关程序以及私人争议解决机制仅与美国企业是否遵守安全港原则相关,这些程序和机制无法在对个人基本权利的干预来自美国国家采取的措施的情况下,用于解决与该干预的合法性有关的争议。
对《2000/520决定》所进行的前述分析已为欧盟委员会自身就该决定的执行情况所作的评估证实。在(2013)846号最终通信以及(2013)847号最终通信中,欧盟委员会认定,美国的机关能够获取从欧盟成员国传输至美国的个人数据,并以有悖传输目的、超越充分必要的范围以及与保护国家安全不成比例的方式,对这些数据进行处理。欧盟委员会还注意到,数据主体缺乏行政或司法救济手段,使其能够访问、纠正或删除(具体视情形而定)与其有关的数据。
欧洲法院认为,就欧盟所保障的基本权利和自由的保护水平而言,根据欧洲法院的判例,涉及干预《宪章》第7和8条所保障的基本权利的欧盟法律,必须制定清晰和准确的规则,以规范有关措施的范围和适用,并采取最低限度的保障措施,以便其数据被保留的个人拥有充分的保障,可以有效地保护其个人数据免遭滥用的风险,并免遭任何非法访问和使用。在个人数据受制于自动处理,并且存在非法访问这些数据的重大风险的情况下,对此类保障措施的需求将更为迫切。此外,在欧盟层面上保护私人生活获得尊重的权利,要求有关个人数据保护的减损和限制只有在充分必要的情况下方可适用。而在相关法律于宽泛的基础上授权存储从欧盟传输至美国的所有个人的所有数据,既未依据欲实现的目标规定任何区别、限制或例外,也未规定任何客观标准,以确定公权力机关出于特定的、严格限制的、能够令相关干预(该干预系因公权力机关访问及后续使用这些数据而导致)成为正当的目的,访问及后续使用这些数据的相关限制之际,该法律并未限于充分必要的范围。值得一提的是,允许公权力机关在宽泛的基础上获取电子通信内容的法律应视为损害了《宪章》第7条所保障的私人生活获得尊重这一基本权利的本质。
此外,未就个人可以寻求相关法律救济,以访问、纠正和删除其个人数据这一可能性作出规定的法律,未能尊重《宪章》第47条规定的获得有效司法保护这一基本权利的本质。根据《宪章》第47条第1款的规定,在欧盟法律保障的权利和自由受到侵害时,每个人均享有根据该条规定向法庭寻求有效救济的权利,以确保欧盟法律规定获得遵守的有效司法审查存在于法治之中。鉴于欧盟委员会在依照《95/46指令》第25条第6款的规定作出决定时,必须认定相关第三国事实上因其国内法或国际承诺而确保了对基本权利的保护水平与欧盟法律秩序所保障的保护水平实质性相同。而欧盟委员会在《2000/520决定》中,并未认定美国事实上因其国内法或国际承诺而确保了充分的保护水平。据此,应认定《2000/520决定》第1条不符合《宪章》和《95/46指令》第25条第6款的规定,并因此无效。在此情形下,对安全港隐私原则内容的审查已无必要。
关于《2000/520决定》第3条,欧洲法院认为,根据《宪章》第8条和《95/46指令》第28条的规定,欧盟成员国的监管机构必须能够在完全独立的情况下,审查在个人数据处理方面保护个人权利和自由的相关申诉。这在相关个人提起申诉,质疑欧盟委员会根据《95/46指令》第25条第6款作出的决定是否与隐私以及个人基本权利和自由的保护相符的情况下更是如此。
欧洲法院注意到,案涉《2000/520决定》第3条第1款第1项规定了在欧盟委员会就充分的个人数据保护水平作出认定的情况下,欧盟成员国监管机构所享有的权力的特定规则。根据该项规定,欧盟成员国监管机构可以在不影响其以下权力,即采取行动以确保其根据《95/46指令》第25条之外的规定制定的法律获得遵守的情况下,暂停向已自我证明其遵守了《2000/520决定》所规定的原则的组织传输数据。尽管该条款不影响欧盟成员国监管机构享有的、采取行动确保根据95/46指令制定的欧盟成员国法律得以遵守的权力,但该条款同时排除了欧盟成员国监管机构采取行动确保该指令第25条获得遵守的可能性。因此,在相关个人依照《95/46指令》第28条的规定提起申诉,质疑欧盟委员会基于《95/46指令》第25条第6款作出的、某个第三国确保了充分保护水平的决定是否与隐私以及个人基本权利和自由的保护相符的情况下,《2000/520决定》第3条第1款第1项拒绝赋予欧盟成员国监管机构源自《95/46指令》第28条规定的相关权力。鉴于欧盟立法机关在《95/46指令》第25条第6款中赋予欧盟委员会的权力,并不包括对欧盟成员国监管机构的权力予以限制。据此,应认定在制定《2000/520决定》第3条时,欧盟委员会超越了《宪章》以及《95/46指令》第25条第6款赋予其的权力。在此情形下,《2000/520决定》第3条应属无效。基于《2000/520决定》第1和3条与第2和4条以及相关附件不可分割,因此,《2000/520决定》第1和3条的无效将导致《2000/520决定》的整体无效。
综上,欧洲法院裁决:欧盟委员会作出的《2000/520决定》无效。