查看原文
其他

美国发布欧美数据跨境传输行政命令简析

数治君 数据信任与治理 2023-01-13

 BACKGROUND  


正如白宫所言,“跨大西洋数据流动对于促成价值7.1万亿美元的欧美经济关系至关重要”[1],欧美之间的数据跨境传输政策变化牵动着多方利益主体的心。由于欧盟和美国在数据安全和跨境传输领域的法律法规体系相差甚远,此前试图弥补两地差距的“安全港”“隐私盾”政策最终都以失败告终,一度给各商业机构跨境传输、乃至美欧贸易带来极大的负面影响。


为了解决欧美数据跨境传输这一“高度优先的工作”[2],2022年3月25日,美国与欧盟达成《跨大西洋数据隐私框架》(Trans-Atlantic Data Privacy Framework,以下简称“EU-U.S DPF”),经过数月努力,EU-U.S DPF不断完善,直至2022年10月7日,美国白宫签署了《关于加强美国信号情报活动保障措施的行政命令》(以下简称“E.O”),对欧盟法院(以下简称“CJEU”)在Schrems案判决中表达的担忧作出回应,试图为恢复欧美跨大西洋数据流动提供相应的法律基础。



 1

   数据跨境传输行政命令   


1.1. 签署行政命令的主要目的


E.O是欧美数据跨境传输的第三次尝试。


此前美国的“安全港”自我认证结构及“隐私盾”政策先后被CJEU以2015年Schrems I判决[3]和2020年Schrems II判决[4]宣布失效。CJEU认为,美国监控法(如《外国情报监视法》第702条)等法律授权美国当局收集外国人信息,与此同时,被收集信息之人缺乏对应权利和补救措施,这与欧盟的数据保护框架形成鲜明的冲突。以上两种数据传输框架,无法为欧盟转移到美国的个人数据提供充分保护,因而违反欧盟数据保护法(此前是《1995年数据保护指令》,现在是《一般数据保护条例》也即GDPR)。


尽管CJEU仍然承认标准合同条款(以下简称“SCCs”)可以被视为数据跨境传输的方式,但其有效性仍取决于是否对数据实施了“充分的保障措施”。在Schrems II判决之后,由于欧洲不同国家的数据保护机构对于SCCs的理解和适用标准不同,使用SCCs仍存在许多悬而未决的问题,例如是否需要逐案审查每个数据传输的有效性等等。这使欧盟和美国之间的数据交易蒙上了阴影。


Schrems II判决之后,谷歌等大型跨国科技公司多次呼吁快速修复欧盟-美国数据传输框架。[5]小微科技公司也不堪其忧,2021年7月14日,初创企业联盟、开发者联盟等24个美国商业组织向美国商务部、欧洲司法专员发布联合声明,敦促美国和欧盟迅速就跨大西洋数据流动达成协议:“我们许多人希望进一步公布新数据传输协议的进展和计划……”[6]


为了回应以上问题,欧美接续合作,美国特别制定了E.O,作为对CJEU有关担忧的回应,希望能够作为恢复跨大西洋数据流动的重要法律基础。


1.2. 行政命令的主要内容


E.O基本落实了欧美在3月份达成的EU-U.S DPF。


针对Schrems II判决中CJEU认为美国未对转移到美国的欧洲公民个人数据提供相应救济措施的质疑,E.O提出了两方面新的规定:一是提供约束性保护措施,将美国情报机构对数据的访问限制在保护国家安全所必需和相称的范围内;二是建立独立和公正的救济机制,其中包括建立新的数据保护审查法院(Data Protection Review Court,以下简称“DPRC”),调查和解决有关美国国家安全当局访问数据的投诉。此外,E.O要求美国情报界成员更新其政策和程序,以反映E.O中包含的新隐私和公民自由保护措施。


在程序上,E.O设立了独立且有约束力的两层救济机制。


在第一层救济机制中,欧盟公民将能够向美国情报界“公民自由保护官”(the Civil Liberties Protection Officer ,以下简称“CLPO”)提出投诉,以确保美国情报机构遵守隐私和基本权利。CLPO接到投诉申请后,可以启动独立的调查程序,若发现当局有违反E.O规定的强化保障措施或其他适用的法律的情形,则可以确定适当的救济措施。


在第二层救济机制中,个人将有可能在新成立的DPRC中对CLPO的决定提出上诉。E.O规定,DPRC的组成人员必须是美国政府以外的人员,且只能因严重原因(例如被定罪,或被认为精神或身体不适合执行任务等)被解雇,因而具有独立性审查的能力。为进一步加强DPRC的审查,E.O规定法院将在每个案件中选择一名具有相关经验的特别辩护人来支持法院,确保DPRC充分了解与该事项有关的问题和法律。这些配套举措为公平审判、补救和正当程序方面提供了更多保障。


这些举措改进了“隐私盾”中的不足,被欧盟委员会认为是一些“很大的改进”(significant improvements)。[7]


 2

   命令签署后的下一步举措   


E.O在美国通过后,欧盟委员会计划起草充分性决定草案,并启动对E.O的通过程序[8]。充分性决定通过程序包含如下步骤:1)获得欧盟数据保护委员会 (EDPB)的意见;2)获得欧盟成员国代表组成的委员会的批准。此外,欧洲议会有权对充分性决定进行审查。


完成上述流程之后,欧盟委员会才能通过与E.O有关的最终决定。从彼时起,数据将能够使用新框架在经商务部认证的欧盟和美国公司之间自由安全地流动。美国公司将能够通过承诺遵守一系列详细的隐私义务来加入该框架。


欧盟委员会认为,E.O包含的保障措施对美国国家安全当局访问数据提出了实质性(必要性和相称性)限制,并建立新的补救机制,因此,欧盟委员会认为CJEU“将不会再次推翻本协议”。[9]


3

   小结   


总体而言,欧盟委员会和美国政府对于E.O搭建的新框架持较为积极的态度,认为其在实体和程序上对CJEU的质疑作出了实质回应,能够较为有效地保障欧美跨太平洋数据传输中个人信息的安全。若欧美数据跨境传输的新框架能够顺利通过,包括Facebook和谷歌在内的科技巨头将能够迅速摆脱当前在两地数据传输业务和服务中面临的现有束缚,各行各业的小型企业也能够在数据跨境服务中获得确定性的法律保障。[10]


当然,也有声音对E.O的有效性持怀疑态度。两次挑战欧盟数据跨境流动制度的奥地利人Schrems称:“乍一看,核心问题似乎没有解决,迟早会交付 CJEU审议。”[11]他表示仍会对该框架进行分析。数字权利活动组织Access Now和欧洲消费者联盟(The European Consumer Organisation)也表示,人们的权利似乎没有得到充分保护。


无论如何,此次E.O的签署在欧美数据跨境传输中将会掀起新一轮风波。







参考文献


[1] THE WHITE HOUSE, FACT SHEET: President Biden Signs Executive Order to Implement the European Union-U.S. Data Privacy Framework, https://www.whitehouse.gov/briefing-room/statements-releases/2022/10/ 07/fact-sheet-president-biden-signs-executive-order-to-implement-the-european-union-u-s-data-privacy-framework/.

[2] Mlex, EU makes revised EU-US deal on Privacy Shield ‘high priority endeavor,’ Vestager says, Feb. 23th, 2022, https://mlexmarketinsight.com/news/insight/eu-makes-revised-eu-us-deal-on-privacy-shield-high-priority-endeavor-vestager-says.

[3] European Parliament, The CJEU's Schrems ruling on the Safe Harbour Decision, https://www.europarl.europa.eu/RegData/etudes/ATAG/2015/569050/EPRS_ATA(2015)569050_EN.pdf.

[4] European Parliament, The CJEU judgment in the Schrems II case, https://www.europarl.europa.eu/RegData/etudes/ATAG/2020/652073/EPRS_ATA(2020)652073_EN.pdf.

[5] Kent Walker: It’s time for a new EU-US data transfer framework, Jan 19, 2022, https://blog.google/around-the-globe/google-europe/its-time-for-a-new-eu-us-data-transfer-framework/.

[6] Re: Transatlantic industry urge swift agreement on EU-U.S. personal data flows, July 14, 2021,

https://www.ccianet.org/wp-content/uploads/2021/07/2021-07-14-Joint-industry-letter-Transatlantic-industry-urge-swift-agreement-on-EU-US-data-flows.pdf.

[7] European Commission: Questions & Answers: EU-U.S. Data Privacy Framework, Oct,7 2022, https://ec.europa.eu/commission/presscorner/detail/en/qanda_22_6045.

[8] 同7。

[9] 同7。

[10] Natasha Lomas: President Biden signs executive order aimed at legal reboot of EU-US data flows, techcrunch, https://techcrunch.com/2022/10/07/eu-us-data-privacy-framework-executive-order-signed/

[11] David Shepardson and Philip Blenkinsop:Biden signs order to implement EU-U.S. data privacy framework, Reuters, https://www.reuters.com/technology/biden-signs-order-implement-eu-us-data-privacy-framework-2022-10-07/.



(完)

往期文章:

1、全球数据跨境流动治理

美国或最早于10月3日就欧美数据跨境传输发布新的行政命令

数据跨境流动 | 俄罗斯更新充分性保护国家名单,中国被列入其中 

CPTPP数据跨境流动要求遭遇挑战

G7国家数据跨境流动政策演进

俄罗斯修改个人数据跨境传输程序

欧盟数据保护监督机构就欧盟-日本跨境数据流动发表意见

全文首发|美国《保护美国人免受外国监视法案》(中译本)

《个人信息出境标准合同规定(征求意见稿)》适用要点解读

英国“数据 新方向”咨询结果|促进贸易和减少数据跨境传输壁垒(第三章)

欧盟GDPR vs. APEC CBPR:数据跨境传输机制比较分析(下)

欧盟GDPR vs. APEC CBPR:数据跨境传输机制比较分析(上)

数据跨境流动的规则监管与多元治理

英美签署全球首个数据跨境取证双边协议(附全文翻译)


2、国际数据空间

欧盟健康数据空间新进展:“GDPR+”与产业推动

【域外执法】欧盟EDPB:发布“欧洲健康数据空间”联合意见——必须确保对电子健康数据的有力保护(附意见原文)

全文首发|EDPB和EDPS就《欧洲健康数据空间条例》提案发布联合意见(中译本)

全文首发|欧盟委员会《关于欧洲共同数据空间》工作文件(中译本)

欧洲共同数据空间:进展与挑战

国际数据空间在欧洲数据战略中的作用

合作发布|国际数据空间IDS China Research Lab正式启动

合作发布|IDS — 数据自主权的标准


3、我国数据跨境流动治理

香港个人资料私隐专员公署就《数据出境安全评估办法》生效发布提醒

《数据出境安全评估申报指南》(第一版)发布(附英文全文)

《个人信息出境标准合同规定(征求意见稿)》适用要点解读

4、全球数据治理观察

非洲联盟国家数据保护与数据跨境流动政策蓝图解析

美国数据隐私和保护法(ADPPA)内容简析

前沿分析|印度撤回《个人数据保护法(草案)》

英国数据保护改革|《数据保护和数字信息法案》要点

印度国家数据治理政策框架(草案)全文翻译(附草案原文)

马斯克收购Twitter交易中的数据争议

国内外数据交易模式对比分析

我们应当如何理解数据治理中的管辖权冲突?

数据交易治理:中国、欧盟和印度的发展(附报告全文)

数据访问治理:中国、欧盟和印度的发展(附报告全文)

作为经济政策的数据治理:中国、欧盟和印度的发展(附报告全文)

5、欧盟数据治理模式

欧洲议会发布数据治理研究报告

首个GDPR认证机制GDPR-CARPA详解

全文首发|欧盟委员会《关于欧洲共同数据空间》工作文件(中译本)

欧洲数据治理方式的转变:《数据治理法》

Data Act:欧盟数据访问和使用的新框架

国际数据空间在欧洲数据战略中的作用

对数据的监管如何培育数字经济创新和竞争  ——GDPR提供的共同监管工具

EDPB《关于行为守则作为数据跨境传输工具的04/2021号指南》简评(附征求意见前后对比中译本全文)

EDBP《关于对处理者具有约束力的公司规则的工作文件》中译本全文

EDBP《关于对控制者具有约束力的公司规则的工作文件》中译本全文

全文首发| 欧盟《数据法》草案中译本

欧盟的公共数据治理方案(下)

欧盟的公共数据治理方案(上)

欧盟的人工智能数据治理方案

Gaia-X:下一代数据治理基础设施


6、数据权属与数据治理之争

数据治理:数字经济竞争和数据要素流通的新路径

如何设计数据交易市场?(下)

如何设计数据交易市场?(上)

如何实现大数据价值?(下)

如何实现大数据价值?(上)

政策制定者应密切关注数据治理(下)

政策制定者应密切关注数据治理(上)

当讨论数据所有权时,我们到底在讨论什么?

没有人拥有数据?(下)

没有人拥有数据(上)

数据所有权:问题盘点与总结(下)

数据所有权:问题盘点与总结(上)

应该在欧盟引入数据生产者权利吗?(下)

应该在欧盟引入数据生产者权利吗?(上)


7、产业数据治理

如何解锁制造业数据的价值?(下)

如何解锁制造业数据的价值?(上)

车联网中的隐私与信任(下)

车联网中的隐私与信任(上)

物联网数据共享和控制的四个法律挑战


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存