首页> 图书频道> 政法> 法学

评析

2026年01月16日
版权
评析

第一,本案明确了欧盟委员会制定的适用于欧盟境内的数据控制者(以下简称欧盟数据处理者)至欧盟或欧洲经济区外的数据处理者(以下简称欧盟外数据处理者)这一跨境数据传输情形的标准数据保护条款(又称标准合同条款)有效。根据《一般数据保护条例》第46条第1款的规定,在缺乏欧盟委员会作出的充分性决定的情况下,只有在控制者或处理者已提供适当保障,并且数据主体可以获得可强制执行的数据主体权利和有效法律救济的条件下,控制者或处理者方可向第三国或国际组织传输个人数据。根据《一般数据保护条例》第46条第2款的规定,前述适当保障可由欧盟委员会批准的标准数据保护条款提供,无须监管机构特别授权。迄今为止,欧盟委员会已批准了四套标准数据保护条款,其中前两套数据保护条款分别由欧盟委员会于2001、2004年通过《2001/497决定》和《2004/915决定》批准均适用于欧盟数据控制者向欧盟或欧洲经济区外的数据控制者(以下简称欧盟外数据控制者)跨境传输个人数据的情形。第三套数据保护条款即为本案所涉的数据保护条款,该条款由欧盟委员会于2010、2016年通过案涉标准合同条款决定予以批准和修改,适用于欧盟数据控制者向欧盟外数据处理者跨境传输个人数据的情形。其主要内容包括:定义、数据传输的细节、第三方受益人条款、数据出口商的义务、数据进口商的义务、责任、调解和管辖权、与监管机构合作、准据法、合同的变更、分处理以及个人数据处理终止后的义务等。其中最具特色的是第三方受益人条款和管辖权条款。根据第三方受益人条款,即使数据主体并非标准合同条款的当事人,其仍然能够行使相关合同权利。而根据管辖权条款,在发生争议的情况下,作为数据进口商的欧盟外数据处理者同意接受作为数据出口商的欧盟数据控制者所属欧盟成员国监管机构或法院的管辖。

2021年6月4日,欧盟委员会作出《2021/914决定》,对第四套数据保护条款予以批准。该条款适用于欧盟数据控制者向欧盟外数据控制者、欧盟数据控制者向欧盟外数据处理者、欧盟境内的数据处理者(以下简称欧盟数据处理者)向欧盟外数据处理者、欧盟数据处理者向欧盟外数据控制者跨境传输个人数据等情形。根据《2021/914决定》的规定,前述三套标准数据保护条款将于2021年9月27日废止。

由于欧盟委员会所作的《标准合同条款决定》对欧盟成员国具有约束力,负责监督数据传输的欧盟成员国监管机构必须在其程序中对此类标准合同条款予以确认。因此,若欧盟数据控制者或处理者与欧盟外数据控制者或处理者同意并签署此类条款,此即向欧盟成员国监管机构提供了充分的证据,证明充分保障的存在。[2]标准合同条款所能起到的令跨境数据传输合法化的作用,使得其效力问题成为欧盟境内外数据控制者和处理者关注的焦点。本案中,面对爱尔兰高等法院提出的涉案标准合同条款是否有效的问题,欧洲法院在全面审查该条款内容的基础上,认定该条款有效,理由主要是该条款已规定了有效的机制,该机制在实践中确保了在被传输数据的接收者未遵守或无法遵守该决定附件中载明的标准数据保护条款的情况下,向第三国进行的个人数据传输被暂停或禁止。此外,该条款不能约束第三国的机关这一事实,并不能影响该决定的有效性。考虑到在跨境数据传输的目的国在未提供充分个人数据保护水平的第三国的情况下,标准合同条款通常是最为常用的将该传输合法化的机制。因此,欧洲法院在本案中作出的案涉标准合同条款有效的认定,无疑给进行跨境数据传输的欧盟境内外数据控制者和处理者吃下了定心丸,这对于保障和促进跨境数据传输具有积极的意义。

第二,本案明确了欧盟—美国隐私盾机制无效。就出于商业目的而从欧盟传输至美国的个人数据而言,欧盟和美国通过谈判,先后采用了两种保护机制。首先是安全港机制,该机制经由欧盟委员会《2000/520决定》设立。在该决定中,欧盟委员会认定,对于从欧盟传输至美国境内机构的个人数据,安全港机制确保了充分的保护水平。然而,该机制自设立之后即面临诸多挑战。尽管该机制所规定的个人数据保护要求意图与《95/46指令》规定的充分性标准相匹配,但其自我证明的性质以及其相关规定的“非欧盟式”均招来了诸多批评。该机制的缺点包括参与者未进行年度合规检查,以及相较于其他美国国内案件,美国联邦贸易委员会缺乏积极的执行行动等。这些因素导致一些欧盟成员国的数据保护机构对安全港机制的有效性产生了怀疑。[3]

为此,欧盟委员会于2014年1月开始与美国进行谈判,以求对安全港机制进行更新。2015年10月6日,欧洲法院就“马克西米利安·施雷姆斯诉爱尔兰数据保护专员案”作出判决,认定安全港机制无效。该判决作出后,欧盟加紧了与美国的谈判,并最终与美国就建立一个新的机制,即欧盟—美国隐私盾机制达成一致。2016年7月12日,欧盟委员会作出案涉《隐私盾决定》。

在该决定中,欧盟委员会首先在“欧盟—美国隐私盾”一节中指出,欧盟—美国隐私盾系建立在一个自我证明的系统之上,通过该系统,美国机构承诺遵守一系列隐私原则,即美国商务部发布的欧盟—美国隐私盾框架原则,包括通知、选择、持续传输的责任、安全、数据完整和目的限制、访问、追索、强制执行和责任等基本原则。

接下来,欧盟委员会在“美国公权力机关对依照欧盟—美国隐私盾传输的个人数据的访问和使用”一节中认定,在相关个人的数据被依照欧盟—美国隐私盾从欧盟传输至美国之际,美国确保了有效的法律保护,以防止其情报机关干预相关个人的基本权利。对此,欧盟委员会所持的一个重要理由是尽管美国存在以下情况:①个人(包括欧盟数据主体)在其成为出于国家安全目的而进行的非法(电子)监控的对象之时拥有诸多救济渠道,但很明显,这并不涵盖美国情报机关可以适用的某些法律(例如《12333号行政命令》)。②即使原则上,司法救济的可能性就非美国个人而言确实存在(例如对于根据《美国外国情报监视法》所进行的监视),该个人可以获得的诉因仍然是有限的,并且相关个人(包括美国个人)提起的诉讼在其无法证明起诉资格的情况下将不予受理,而这限制了个人在普通法院获取救济。但是,鉴于美国政府创制的隐私盾监察专员机制确保了个人的申诉将被彻底调查和解决,且至少在监控领域,该机制包含具备必要专长和调查权力的独立监督机关,以及能够不受不当影响(特别是政治影响)而履行其职责的监察专员。同时,相关个人将能够在无需证明其已经成为监控目标,或者在只需提供迹象表明其已经成为监控目标的情况下提出申诉。据此,可以认定,美国存在防止滥用个人数据的充分有效的保证。此外,欧盟委员会在此部分还特别提及,欧盟委员会注意到欧洲法院就“马克西米利安·施雷姆斯诉爱尔兰数据保护专员案”所作的判决,根据该判决,未就个人寻求相关法律救济,以访问、纠正和删除其个人数据这一可能性作出规定的法律,未能尊重《宪章》第47条规定的获得有效司法保护这一基本权利的本质。而欧盟委员会的评估已经确认,该法律救济已为美国所规定,包括引入隐私盾监察专员机制,因为该机制提供了一个带调查权的独立监督机制。(https://www.daowen.com)

此外,欧盟委员会还在“欧盟—美国隐私盾项下的充分保护水平”一节中认定,对于依照欧盟—美国隐私盾从欧盟传输至美国境内的自我证明机构的个人数据,美国确保了充分的保护水平,主要理由如下:①该隐私盾规定的监督和追索机制能够令相关机构违反隐私盾框架原则的行为在实践中被识别和惩罚,并向数据主体提供访问、修改和删除其个人数据的法律救济;②基于有关美国法律秩序的信息,包括美国政府的陈述和承诺,欧盟委员会认定,美国公权力机关出于国家安全、执法或其他公共利益目的,对其数据被依照《隐私盾决定》而从欧盟传输至美国的个人的基本权利的干预,以及接踵而至的就美国境内的自我证明机构遵守隐私盾框架原则的限制,将限于就实现合法目的而言充分必要的范围,且防止该类干预的有效法律保护确实存在。

然而,欧盟委员会所作的前述《隐私盾决定》未能通过欧洲法院的司法审查。在其就本案所作的判决中,欧洲法院认为,该《隐私盾决定》无效,主要理由如下:①《美国外国情报监控法》第702条、《12333号行政命令》以及《28号指令》均与比例原则所要求的最低限度保障措施无关,其结果是基于这些规定进行的监控计划不能视为限于充分必要的范围。在此情况下,对个人数据保护的限制(该限制源自美国有关公权力机关访问和使用从欧盟传输至美国的个人数据的国内法律,且已为欧盟委员会在隐私盾决定中评估)并未以符合以下要求,即与《宪章》第52条第1款第2段所规定的要求实质相同的要求之方式予以限定。②尽管欧盟委员会在《隐私盾决定》中认定,作为美国主管部门引入隐私盾监察专员机制(该监察专员在性质上属于国际信息技术外交高级协调员)的结果,美国确保了与《宪章》第47条保障的个人数据保护水平实质相同的保护水平,但该决定所提及的隐私盾监察专员机制并未向其数据被传输至美国的相关个人提供在任何机构的诉因,而该诉因向这些个人提供了与《宪章》第47条所要求的保障实质相同的保障。

《隐私盾决定》被欧洲法院认定无效的后果是导致该决定确立的欧盟—美国隐私盾机制无效。该机制无效之后,基于隐私盾机制从欧盟向美国机构传输数据亦被认定为非法。在此情形下,欧盟境内的数据控制者将主要依靠《一般数据保护条例》第46条规定的数据传输工具,特别是欧盟委员会制定的标准合同条款以及具有约束力的公司规则向美国传输数据,直至欧盟和美国达成新的跨境数据传输机制。不过,由于美国情报机关不受限制地获取和使用外国(包括欧盟)个人数据的顽症业已长期存在。因此,除非美国政府下定决心对该顽症予以根除,否则,即使欧盟和美国达成新的机制,该新机制通过欧洲法院司法审查的可能性仍将微乎其微。

【注释】

[1]http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&page Index=0&doclang=en&mode=1st&dir=&occ=first&part=1&cid=201381.

[2]European Union Agency for Fundamental Rights and Council of Europe[M].Handbook on European Data Protection Law,2018:260.

[3]Peter Carey.Data Protection:A Practical Guide to UK and EU Law[M].Oxford University Press,2018:111.