首页> 图书频道> 政法> 法学

评析

2026年01月16日
版权
评析

第一,本案对《95/46指令》以及《一般数据保护条例》规定的“充分的个人数据保护水平”进行了界定。根据《95/46指令》第25条以及《一般数据保护条例》第45条的规定,在欧盟委员会决定第三国确保了充分的个人数据保护水平的情况下,数据控制者和处理者可以向该第三国传输数据。不过,对于“充分的个人数据保护水平”的含义如何,《95/46指令》乃至《一般数据保护条例》则付之阙如,未予规定。本案中,欧洲法院对“充分的个人数据保护水平”进行了界定,即“充分的个人数据保护水平”应理解为要求第三国通过其国内法或国际承诺,事实上确保了其对个人的基本权利和自由的保护水平,与欧盟通过《宪章》和《95/46指令》保障的保护水平实质相同。同时,该第三国为确保其保护水平而采取的措施可以有别于欧盟采取的措施,因为“充分的个人数据保护水平”并未要求对欧盟的规则进行点对点的复制。[2]

根据《一般数据保护条例》第45条的规定,在评估第三国的个人数据保护程度是否充分时,欧盟委员会应当考虑以下因素:①法治;尊重人权和基本自由;相关立法(普遍的和部门的),包括有关公共安全、国防、国家安全、刑法和政府机关获取个人数据的相关立法,以及对该立法的实施;数据保护规则、专业规则和安全措施,包括将个人数据再传输到其他第三国或国际组织的情况下,该其他第三国或国际组织遵守的规则;判例法以及个人数据被传输的数据主体有效、可强制执行的数据主体权利和有效的行政和司法救济。②第三国境内是否存在一个或多个独立监管机构以及是否有效运作,其负责确保并强制遵守数据保护规则,包括充分的执行权、协助数据主体行使权利及提供咨询,并与欧盟成员国的监管机构合作。③第三国作出的国际承诺或因具有法律约束力的公约或文件及参加多边或区域体系产生的其他义务,尤其是与个人数据保护有关的承诺或义务。

此外,根据欧盟第29条数据保护工作组的观点,[3]第三国如欲确保充分的个人数据保护水平,则其个人数据保护体系在内容方面必须包含以下原则:①概念。第三国的个人数据保护体系应存在基本的数据保护概念和(或)原则。这些概念和原则无须与《一般数据保护条例》所使用的术语相同,但是必须反映欧盟数据保护法中规定的概念且与这些概念一致。这些概念包括个人数据、个人数据处理、数据控制者、数据处理者、接收者以及敏感数据等。②出于合法目的而进行合法和公平的数据处理的理由。③目的限制原则。④数据质量和比例原则。⑤数据保留原则。⑥安全和保密原则。⑦透明度原则。⑧访问、纠正、删除和拒绝的权利。⑨对继续传输的限制。

对于特定类型的数据处理,第三国的个人数据保护体系还应在内容中增加以下原则:①特殊种类的个人数据。对于特殊种类的个人数据,即敏感数据应有特定的保障措施。相关保障应通过有关数据处理的更为严格的要求,例如,数据主体就数据处理给予明确同意或通过额外的安全措施而予以实施。②直销。在数据为直销目的而处理的情况下,数据主体应能够在免费的情况下随时反对此类数据处理。③自动化决策和数据画像。完全基于自动化处理作出的决定,包括数据画像,仅在第三国法律框架确立的某些条件下方可进行。在欧盟的法律框架中,该等条件包括需获取数据主体的明示同意或该决定对于合同的订立是必要的。若该决定不符合第三国法律框架确立的条件,则数据主体应有权不受该决定的约束。无论如何,第三国的法律应规定必要的保障措施,包括数据主体获知该决定的特定理由和所涉逻辑的权利、纠正不准确和不完整信息的权利,以及对基于不准确的事实作出的决定提出异议的权利等。

同时,第三国的个人数据保护体系还应在程序和强制执行方面包含以下机制:①适格的独立监管机构。②确保良好的合规水平。③问责制。④就数据主体行使权利提供支持和帮助,并提供恰当的救济机制。

第二,本案明确了欧盟—美国安全港机制无效。对于欧盟境内的实体机构而言,拥有向美国境内的接收者传输个人数据的能力历来是一个重要的因素,不管是在国际贸易、集团内部合并和集中的情况下,还是在美国境内的IT服务提供商接受IT相关服务的情况下均系如此。由于从欧盟的角度来看,美国的隐私和数据保护系由联邦和各州层面的结构复杂的部门规章以及行业自律规则予以规制,而这些规章和规则并未提供充分的个人数据保护水平。[4]因此,欧盟委员会和美国政府通过协商建立了欧盟—美国安全港机制,该机制主要由安全港隐私原则以及美国商务部发布的常见问题组成,其中安全港隐私原则包括通知、选择、继续传输、安全、数据完整性、访问、强制执行等。常见问题包括敏感数据、新闻例外、从属责任、投资银行和审计、数据保护机构的作用、自我证明、核查、访问、人力资源、争议解决和强制执行、退出的时间、旅行信息、医药产品、公共记录和公开可得信息等。

在其2000年7月26日作出的《2000/520决定》中,欧盟委员会认定,该决定附件1中载明的“安全港隐私原则”、附件2中载明的用以执行“安全港隐私原则”的美国商务部发布的常见问题,应视为确保了对从欧盟传输至美国境内设立的机构的个人数据的充分的保护水平。但是,本案欧洲法院在对《2000/520决定》进行司法审查后却认为,欧盟委员会作出的《2000/520决定》无效,理由主要是:该决定允许基于国家安全、公共利益、执法要求或者基于美国国内法律对安全港隐私原则的适用予以限制。该决定由此使得对相关个人(其个人数据被或可能被从欧盟传输至美国)的基本权利的干预成为可能。然而,该决定既未包含有关美国存在其颁布的旨在限制前述干预的任何规则的认定,也未包含有关美国存在防止该等干预的有效法律保护的认定。基于欧盟所保障的基本权利和自由的保护水平,要求干预《宪章》第7和8条规定的基本权利的法律制定清晰和准确的规则,对相关措施的范围和适用进行规制,并就个人数据保护给予最低保障、施与最低减损和限制。而案涉美国法律一是违反了《宪章》第7条,因为其允许公权力机关在宽泛的基础上获取电子通信的内容;二是违反了《宪章》第47条,因为其未向相关个人提供法律救济,以访问、纠正和删除其个人数据;三是违反了《宪章》第8条,因为其对《宪章》第7和47条的违反导致个人数据被非法处理。考虑到欧盟委员会在依照《95/46指令》的规定作出第三国是否确保了充分的个人数据保护水平之决定时,必须在阐述理由的基础上认定,该第三国事实上因其国内法或国际承诺而确保了其对基本权利的保护水平与欧盟法律秩序所保障的保护水平实质性相同。而欧盟委员会在《2000/520决定》中并未认定美国事实上因其国内法或国际承诺而确保了充分的保护水平。据此,欧洲法院认定,《2000/520决定》未遵守《宪章》和《95/46指令》的要求,并因此无效。与此相应,该决定构建的欧盟—美国安全港机制亦相应无效。(https://www.daowen.com)

值得一提的是,在欧洲法院于本案中宣告欧盟—美国安全港机制无效之后,欧盟和美国经协商又建立了欧盟—美国隐私盾机制,但该机制在欧洲法院2020年7月16日就“数据保护专员诉脸书爱尔兰公司、马克西米利安·施雷姆斯案”所作的判决中再次被宣告无效。尽管在该案判决之后,欧盟与美国又开始协商新的数据传输机制,但在美国公权力机关尤其是情报机关目前仍然可以不受限制地取得个人数据,且对美国公权力机关的此类行为仍然缺乏有效救济机制的情况下,该新数据传输机制是否能够通过欧洲法院的司法审查仍有待观察。

【注释】

[1]http://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&page Index=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=2023183.

[2]European Union Agency for Fundamental Rights and Council of Europe[M].Handbook on European Data Protection Law,2018:254.

[3]Article 29 Data Protection Working Party,Working Document on Adequacy Referential[EB/OL].[2020-08-16].https://ec.europa.eu/newsroom/article29/itemdetail.cfm?item_id=614108.

[4]Daniel Rücker and Tobias Kugler.New European General Data Protection Regulation:A Practitioner's Guide[M].C.H.BECK,HART and NOMOS,2018:198.