“解鎖”數(shù)據(jù)隱私法

[美]狄樂(lè)達(dá)　譯者/何廣越　沈偉偉

編者按

《數(shù)據(jù)隱私法實(shí)務(wù)指南（第五版）》結(jié)合新近出臺(tái)的《歐盟通用數(shù)據(jù)保護(hù)條例》（GDPR）和《加州消費(fèi)者隱私權(quán)法》（CCPA），以簡(jiǎn)明、清晰的語(yǔ)言，講述跨境數(shù)據(jù)傳播法律合規(guī)問(wèn)題，為讀者理解、掌握數(shù)據(jù)隱私法的核心概念和法律原理提供生動(dòng)的理論分析，為跨國(guó)公司制定數(shù)據(jù)隱私合規(guī)政策提供具體操作方案。同時(shí)，為任何對(duì)數(shù)據(jù)隱私法感興趣的人，快速查詢相關(guān)話題準(zhǔn)備好知識(shí)庫(kù)。

自2017年以來(lái)，世界各地?cái)?shù)據(jù)隱私法發(fā)生了重大變化。《歐盟通用數(shù)據(jù)保護(hù)條例》（ GDPR）于2018年5月25日生效，有著更為嚴(yán)格的數(shù)據(jù)最小化規(guī)則、更進(jìn)一步的管理、技術(shù)和組織要求、以及高昂罰款。2018年6月，美國(guó)加利福尼亞州制定了《加州消費(fèi)者隱私權(quán)法》（ CCPA），這是一部全新的、極其寬泛、極具針對(duì)性的反數(shù)據(jù)交易法案。該法案最初源于加州公民的表決，隨后引發(fā)了其他各州和聯(lián)邦層面狂熱的立法活動(dòng)——緬因州和內(nèi)華達(dá)州也隨之開(kāi)始執(zhí)行本州禁止出售數(shù)據(jù)的法案。

在 GDPR 引領(lǐng)下，2018年8月，印度頒布了一部新的數(shù)據(jù)保護(hù)法案，巴西也頒布了第一部數(shù)據(jù)保護(hù)法。同時(shí)，中國(guó)將重點(diǎn)放在兩方面：一方面是為維護(hù)國(guó)家安全而采取網(wǎng)絡(luò)安全監(jiān)管；另一方面是促進(jìn)人工智能及其他技術(shù)創(chuàng)新、社會(huì)信用評(píng)價(jià)、互聯(lián)網(wǎng)監(jiān)控等相關(guān)措施。同時(shí)，數(shù)據(jù)保護(hù)機(jī)構(gòu)在世界各地的審計(jì)和執(zhí)法活動(dòng)不斷增加。俄羅斯積極阻止企業(yè)非法留存數(shù)據(jù)，并懲戒未遵守相關(guān)數(shù)據(jù)留存規(guī)定的企業(yè)。在美國(guó)，民事案件原告的律師們基于數(shù)據(jù)隱私和安全訴求，針對(duì)企業(yè)和政府提起了大量集團(tuán)訴訟。

企業(yè)必須跨越三重障礙

從一個(gè)法域向另一法域傳輸數(shù)據(jù)之前，企業(yè)必須跨越如下三重障礙：（1）遵守所在法域關(guān)于收集或以其他方式在當(dāng)?shù)靥幚韨€(gè)人數(shù)據(jù)的規(guī)定；（2）有正當(dāng)?shù)囊罁?jù)向另一數(shù)據(jù)控制者披露數(shù)據(jù)或者通過(guò)合同限制數(shù)據(jù)接收者僅能夠處理數(shù)據(jù)；（3）確保數(shù)據(jù)接收者采取的數(shù)據(jù)保護(hù)達(dá)到充分水平。

第一重障礙即本地合規(guī)，要求對(duì)任何數(shù)據(jù)的收集和處理活動(dòng)采取保護(hù)措施。在歐洲，既包括各類(lèi)形式工作（如告知數(shù)據(jù)主體、進(jìn)行政府申報(bào)、指定數(shù)據(jù)保護(hù)官、準(zhǔn)備數(shù)據(jù)安全文件等），也包括實(shí)質(zhì)措施（如最小化數(shù)據(jù)處理范圍和數(shù)據(jù)保留期限、確保數(shù)據(jù)準(zhǔn)確和安全、準(zhǔn)許權(quán)利人數(shù)據(jù)訪問(wèn)等）。不管是否發(fā)生把數(shù)據(jù)傳輸?shù)骄惩獾暮罄m(xù)行為，歐洲企業(yè)首先必須遵守這一規(guī)定。另外，后續(xù)數(shù)據(jù)傳輸對(duì)本地合規(guī)具有影響，因?yàn)槠髽I(yè)必須在提交給數(shù)據(jù)主體和數(shù)據(jù)保護(hù)機(jī)關(guān)的通知中說(shuō)明數(shù)據(jù)的跨國(guó)轉(zhuǎn)移，并向數(shù)據(jù)保護(hù)官咨詢?cè)撌乱说取?/p>

第二重障礙即披露限制，無(wú)論是否涉及跨國(guó)問(wèn)題，要求數(shù)據(jù)傳輸存在正當(dāng)依據(jù)。通常來(lái)說(shuō)，歐洲企業(yè)可以選用服務(wù)商即數(shù)據(jù)處理商，如薪酬服務(wù)商從事處理數(shù)據(jù)工作。一般來(lái)說(shuō)，在歐洲及其他法域，對(duì)于把數(shù)據(jù)傳送給服務(wù)商的行為，企業(yè)無(wú)須特意尋找額外正當(dāng)依據(jù)。但是，除非能夠依法主張正當(dāng)性，否則歐洲企業(yè)通常不得把個(gè)人數(shù)據(jù)披露給數(shù)據(jù)控制者，即使數(shù)據(jù)控制者在歐洲經(jīng)濟(jì)區(qū)內(nèi)也不行。

第三重障礙即限制向歐洲經(jīng)濟(jì)區(qū)外傳輸數(shù)據(jù)，企業(yè)須確保接收數(shù)據(jù)的國(guó)家或公司在數(shù)據(jù)保護(hù)方面達(dá)到充分水平。在默認(rèn)情況下，歐洲經(jīng)濟(jì)區(qū)內(nèi)的企業(yè)不得將數(shù)據(jù)傳往區(qū)外。這個(gè)障礙要求企業(yè)必須為跨國(guó)數(shù)據(jù)傳輸選用具體的合規(guī)機(jī)制。

即使企業(yè)完全遵守本地?cái)?shù)據(jù)保護(hù)法，克服了障礙一，也滿足向歐洲經(jīng)濟(jì)區(qū)外傳輸數(shù)據(jù)的具體要求，克服了障礙三，并不意味其可以將任何個(gè)人數(shù)據(jù)披露給另一數(shù)據(jù)控制者。即便數(shù)據(jù)傳送發(fā)生在位于同一個(gè)歐洲經(jīng)濟(jì)區(qū)成員國(guó)內(nèi)的子公司和母公司之間，即使子公司由母公司全資、封閉持有，數(shù)據(jù)傳輸依然要有正當(dāng)依據(jù)。因此，想要跨越數(shù)據(jù)跨國(guó)傳輸?shù)恼系K二，位于歐洲經(jīng)濟(jì)區(qū)內(nèi)的企業(yè)必須論證其信息披露的合法性，盡管這種披露一般是被禁止的。不少企業(yè)只關(guān)注障礙一和障礙三，卻忽略了障礙二。

歐盟委員會(huì)已經(jīng)判定多個(gè)國(guó)家和地區(qū)，在數(shù)據(jù)保護(hù)方面達(dá)到充分水平：安道爾、阿根廷、法羅群島、根西島、馬恩島、以色列、日本、澤西島、新西蘭、瑞士、烏拉圭和美國(guó)。歐洲經(jīng)濟(jì)區(qū)內(nèi)的企業(yè)可以向這些國(guó)家和地區(qū)自由傳輸數(shù)據(jù)，如同在歐洲經(jīng)濟(jì)區(qū)內(nèi)一樣。也就是說(shuō)，在這些已經(jīng)被歐盟委員會(huì)宣告實(shí)現(xiàn)充分?jǐn)?shù)據(jù)保護(hù)的國(guó)家和地區(qū)，企業(yè)僅受限于障礙一和障礙二，障礙三則不適用。

美國(guó)數(shù)據(jù)保護(hù)判定獨(dú)特

雖然歐盟委員會(huì)在2016年對(duì)美國(guó)做出了數(shù)據(jù)保護(hù)充分的判定，但該判定非常獨(dú)特，其認(rèn)為美國(guó)實(shí)現(xiàn)數(shù)據(jù)充分保護(hù)的范圍有限且附有條件。該判定認(rèn)為只有加入了“歐盟——美國(guó)隱私盾”項(xiàng)目（the EU U.S.privacy shield program ）且承諾遵守該隱私盾原則的美國(guó)企業(yè)才具備充分保護(hù)條件。

“歐盟——美國(guó)隱私盾”項(xiàng)目是為了協(xié)調(diào)歐洲與美國(guó)這兩個(gè)法域在隱私法上存在的巨大差異，由歐盟委員會(huì)與美國(guó)商務(wù)部基于歐洲數(shù)據(jù)保護(hù)法而制定。大多數(shù)美國(guó)企業(yè)（僅在美國(guó)聯(lián)邦貿(mào)易委員會(huì)廣闊監(jiān)管范圍之外的企業(yè)除外）均可加入該項(xiàng)目。想要加入該項(xiàng)目的企業(yè)，可以通過(guò)網(wǎng)絡(luò)向美國(guó)商務(wù)部承諾遵守隱私盾原則，且已經(jīng)進(jìn)行自我評(píng)估并將數(shù)據(jù)保護(hù)措施記錄存檔。他們必須承諾與歐洲數(shù)據(jù)保護(hù)機(jī)關(guān)合作，保護(hù)從歐洲經(jīng)濟(jì)區(qū)傳往美國(guó)的員工數(shù)據(jù)，并且建立糾紛解決機(jī)制以保護(hù)其他數(shù)據(jù)。美國(guó)商務(wù)部會(huì)審核申請(qǐng)企業(yè)通過(guò)網(wǎng)絡(luò)提交的加入申請(qǐng)和隱私聲明，還可以要求企業(yè)提交關(guān)于數(shù)據(jù)再轉(zhuǎn)移協(xié)議的信息。如果美國(guó)企業(yè)違反隱私盾原則或其隱私聲明，那么強(qiáng)大的美國(guó)聯(lián)邦貿(mào)易委員會(huì)可以采取強(qiáng)制執(zhí)行措施，美國(guó)商務(wù)部可以將企業(yè)開(kāi)除出隱私盾項(xiàng)目，歐洲數(shù)據(jù)保護(hù)機(jī)關(guān)可以要求企業(yè)履行合作義務(wù)，民事原告還可以把企業(yè)告到仲裁庭或法院。因此，“歐盟——美國(guó)隱私盾”項(xiàng)目確保按照歐洲數(shù)據(jù)保護(hù)法設(shè)定的法律要求實(shí)施到美國(guó)領(lǐng)土內(nèi)的美國(guó)企業(yè)，由美國(guó)行政機(jī)關(guān)、美國(guó)法院和歐洲數(shù)據(jù)保護(hù)機(jī)關(guān)確保執(zhí)行問(wèn)題。

在“歐盟——美國(guó)隱私盾”項(xiàng)目實(shí)施之前，美國(guó)實(shí)行的是安全港項(xiàng)目（the U.S.safe harbor program）。美國(guó)安全港項(xiàng)目由美國(guó)商務(wù)部從2000年起開(kāi)始實(shí)施并由聯(lián)邦貿(mào)易委員會(huì)執(zhí)法，歷經(jīng)15年。2015年10月6日，主要出于對(duì)美國(guó)政府監(jiān)控的擔(dān)憂，歐盟法院撤銷(xiāo)了歐盟委員會(huì)對(duì)美國(guó)安全港項(xiàng)目數(shù)據(jù)保護(hù)充分的判定。此前，歐盟委員會(huì)和美國(guó)商務(wù)部已經(jīng)著手修訂此項(xiàng)目，并在敲定雙方隱私盾項(xiàng)目協(xié)議時(shí)考慮了該法院判決。

隱私盾原則更詳盡嚴(yán)格

從篇幅上看，隱私盾原則顯然比安全港項(xiàng)目更加詳盡嚴(yán)格：2000年安全港原則的篇幅只有兩頁(yè)半，歐盟委員會(huì)在歐盟官方公告中撰寫(xiě)的充分保護(hù)判定有40頁(yè)；到了2016年，隱私盾原則的篇幅為19頁(yè)，相應(yīng)的充分保護(hù)判定長(zhǎng)達(dá)112頁(yè)。從安全港到隱私盾，篇幅增長(zhǎng)與歐盟數(shù)據(jù)保護(hù)法詳盡化同步：1995年《歐盟數(shù)據(jù)保護(hù)指令》的篇幅為19頁(yè)，而2016年的歐盟《通用數(shù)據(jù)保護(hù)條例》長(zhǎng)達(dá)88頁(yè)。

從內(nèi)容上做具體的比較，相比于安全港項(xiàng)目，隱私盾項(xiàng)目要求每一年對(duì)隱私盾原則進(jìn)行評(píng)估和更新，并設(shè)置一系列增強(qiáng)或新設(shè)的隱私保護(hù)措施，如要求更詳盡的隱私通知（要求列明責(zé)任、訪問(wèn)權(quán)和糾紛解決）、更嚴(yán)格的再傳輸合同（且規(guī)定美國(guó)商務(wù)部對(duì)這些合同有查詢權(quán)）、數(shù)據(jù)最小化、數(shù)據(jù)保留、對(duì)個(gè)人無(wú)成本的獨(dú)立救濟(jì)機(jī)制，以及對(duì)不合規(guī)行為的公示規(guī)定。自愿退出隱私盾項(xiàng)目的企業(yè)必須退還（ return ）或刪除之前收集的個(gè)人數(shù)據(jù)，否則就要繼續(xù)執(zhí)行隱私盾原則，并每年重新承諾合規(guī)義務(wù)。如果美國(guó)商務(wù)部把某企業(yè)開(kāi)除出隱私盾項(xiàng)目，該企業(yè)必須刪除或退還之前收集的個(gè)人數(shù)據(jù)。

此外，美國(guó)國(guó)家情報(bào)主任在隱私盾原則附帶的保證書(shū)中向歐盟作出了具體而有力的承諾。此前，愛(ài)德華·斯諾登于2013年揭露的美國(guó)政府大規(guī)模監(jiān)控，引發(fā)了美國(guó)國(guó)內(nèi)和國(guó)際的關(guān)切，導(dǎo)致美國(guó)總統(tǒng)重新主導(dǎo)國(guó)家安全局監(jiān)控項(xiàng)目。美國(guó)國(guó)會(huì)也通過(guò)《司法救濟(jì)法》（Judicial Redress Act ）和《美國(guó)自由法》（USA Freedom? Act，即廢止臭名昭著的美國(guó)愛(ài)國(guó)者法的法案）改善了美國(guó)國(guó)內(nèi)隱私保護(hù)問(wèn)題。

就在歐盟委員會(huì)于2016年7月批準(zhǔn)歐盟—美國(guó)隱私盾項(xiàng)目之后，該隱私盾項(xiàng)目立即遭到歐盟政客、活動(dòng)家和數(shù)據(jù)保護(hù)機(jī)關(guān)的批評(píng)，批評(píng)者們還公布了挑戰(zhàn)該項(xiàng)目的計(jì)劃。但是，歐盟委員會(huì)分別在2017年和2018年的第一次和第二次年度審查中得出結(jié)論：美國(guó)繼續(xù)確保對(duì)根據(jù)隱私盾項(xiàng)目協(xié)議傳輸?shù)膫€(gè)人數(shù)據(jù)提供適當(dāng)保護(hù)。只要?dú)W盟委員會(huì)作出關(guān)于美國(guó)對(duì)數(shù)據(jù)保護(hù)是充分的判定，沒(méi)有被撤銷(xiāo)或被廢除，歐洲經(jīng)濟(jì)區(qū)內(nèi)企業(yè)就可以將個(gè)人數(shù)據(jù)傳輸給已加入“歐盟——美國(guó)隱私盾”項(xiàng)目的美國(guó)企業(yè)，如同這些企業(yè)坐落于歐洲經(jīng)濟(jì)區(qū)內(nèi)或坐落于經(jīng)歐盟委員會(huì)普遍認(rèn)定數(shù)據(jù)保護(hù)充分的法域一樣。位于歐洲經(jīng)濟(jì)區(qū)內(nèi)的企業(yè)，無(wú)須處理障礙三即可合法地將個(gè)人數(shù)據(jù)向加入“歐盟——美國(guó)隱私盾”項(xiàng)目的美國(guó)企業(yè)傳輸。

［本文節(jié)選自《數(shù)據(jù)隱私法實(shí)務(wù)指南（第五版）》。作者狄樂(lè)達(dá)先生，從事國(guó)際數(shù)據(jù)隱私、商業(yè)和知識(shí)產(chǎn)權(quán)法的實(shí)踐和教學(xué)工作二十余年，已發(fā)表150多篇論文并出版5本專著；何廣越系閱文集團(tuán)法務(wù)部負(fù)責(zé)人，曾譯有《法律人的明天會(huì)怎樣？——法律職業(yè)的未來(lái)》；沈偉偉系中國(guó)政法大學(xué)法學(xué)院副教授，曾譯有《代碼2.0——網(wǎng)絡(luò)空間中的法律》］

（責(zé)編王茜）