隐私盾：欧盟-美国数据转移规则的最新状态

在2015年Schrems案的判决中，因不能对欧盟公民的数据提供高水平保护，欧盟-美国安全港制度正当性决定被宣布无效，经过不断磋商和实践，美欧之间形成了修订版的隐私盾。隐私盾作为欧盟-美国数据转移安全港制度的替代安排，进一步规定了公司的义务与全新的救济机制，美国当局也对欧盟数据保护做了最新承诺。当前，隐私盾正在各类质疑与肯定的声音中，不断地走向完善与成熟。

一 背景介绍

2015年10月6日，在Schrems诉数据保护专员一案中，欧盟法院宣布欧盟委员会关于美国向欧盟转移个人数据的“适当性”的第2000/520/EC1号决定是无效的，而该制度正是允许公司或组织机构基于商业目的将数据从欧盟转移到美国的重要法律基础。

法院推理所依据的一个主要概念是“等同”,即在第三国存在的保护水平与欧洲数据保护系统之间“等同”。法院对委员会的安全港正当性决定判决无效，认为对于美国是否存在对隐私权和数据保护干涉（例如，出于安全目的而受到公共当局的干扰）的限制法律和惯例，以及是否存在个人司法救济，在该决定中没有发现任何调查结果。根据该判决，如果法律中规定了可能导致与基本权利发生冲突的例外情况（例如为安全目的颁布措施），那么应当就措施的范围和适用以及防止滥用风险，制定明确的规则。其中，滥用风险包括非法访问和进一步使用此类数据。从该陈述中可以推断出，只有在绝对必要时才允许限制和降低数据保护程度。此外，美国公司的自我认证机制可以成为数据保护系统的一部分，但同时还应当建立有效的执法和监督机制。

因此，判决书指出，安全港框架不能达到欧盟法律对欧盟公民提供高水平保护的要求。在这项判决中，法院还澄清国家数据保护当局的调查权力不会因委员会的适当决定而被削弱。因此，鉴于欧盟的法律要求在数据转移到欧洲经济区之外时要受到高水平的保护，安全港框架已证明不足以确保对欧盟公民的保护。

安全港的失效造成了法律上的不确定性和新制度安排的必要性。与此同时，有4000多家美国公司将数据传输转向了其他现有的工具，例如具有约束力的公司规则（Bind Corporate Rules，BCRs）或标准合同条款（Standard Contractual Clauses，SCC），然而这些工具的负担更大，范围也更有限。因此，构建一个管理跨大西洋数据流动的新框架变得紧迫起来。

为此，欧盟委员会(European Commission)和美国当局讨论了一个新的框架——隐私盾，以取代安全港规则，并且欧盟委员会于2016年7月12日通过了相关的适当性决定。虽然隐私盾已经到位，并且使用了几年，但是在确保公司和公民达到理想的法律确定性水平之前，仍有许多问题有待解决。下面将探讨这些问题的发展情况及其对企业、公民和欧盟机构的影响。

二 欧盟数据转移政策与Schrems案件

（一）欧盟的高水平数据保护要求

欧盟早期的《数据保护指令》（Data Protection Directive）旨在鼓励个人数据的自由流动，同时保护公民的个人权利。其规定只有在第三国保证提供充分保护的情况下，欧盟委员会通过采用“适当性”决定，才允许从欧盟向其区域以外的第三国进行数据转移，。前期，根据《数据保护指令》第25条的规定，欧盟委员会发布了安全港适当性决定，指出美国商务部制定的“安全港”框架是足够的，并允许从欧盟到美国的个人数据传输。值得一提的是，该决定允许公司在不需要对美国数据保护系统进行任何特定评估的情况下即可进行数据传输，从而简化了其对欧盟数据保护规定的实施要求。然而在2015年10月6日，欧盟法院宣布安全港适当性决定无效，迫切需要采用新的欧盟-美国数据传输框架。

（二）欧盟法院：Schrems案及其后果

根据爱德华·斯诺登曝光2013年关于美国国家安全局的大规模监控计划（如PRISM）以及隐瞒与互联网公司合作的情况，奥地利隐私律师Max Schrems向爱尔兰数据保护局提出投诉，当所有欧洲Facebook用户的数据定期转移到美国的服务器的时候，如何确保数据传输到美国的合法性。特别是，通过援引爱尔兰数据保护机构的调查权力，Schrems声称美国的法律和实践没有提供足够的保护手段，以防止对欧盟公民遭遇大规模监视的风险。爱尔兰数据保护专员拒绝了该投诉，理由是欧盟-美国的数据转移依赖于欧盟委员会具有约束力的安全港适当性决定。

该案件被提交爱尔兰高等法院审理，进行司法审查，爱尔兰高等法院向欧盟法院提交了该案件的初步裁决，质疑了实际转移数据的过程中安全港框架的合法性。换句话说，爱尔兰高等法院质疑安全港适当性决定的存在可能会对数据保护机构根据投诉进行调查造成妨碍。

最终欧盟法院宣布欧盟委员会的适当性决定无效。Schrems判决构成了在不断扩充的欧盟法院判例的一部分，进一步强调了对个人数据进行高级别保护的重要性。

欧盟法院强调，任何允许公共当局在一般情况下获取个人信息的法律都必须被视为不尊重隐私权利。同样，因为没有为个人提供司法救济（例如，获取其数据的权利，纠正权和删除权等救济手段），该法律也被视为没有对《欧盟基本权利宪章草案》的47号文件中规定的权利进行有效司法保护。

值得注意的是，这项裁决在欧洲和国家法院的判例体内进行，这些法院可以在涉及新技术的各种案件中援引该判决。

（三）Schrems之后的贸易情况

欧盟和美国的市场联系密切，每年的贸易流量超过1万亿美元。跨境数据流动涉及商业生活或行业的方方面面：最大的数据流是人力资源数据，但也有部分是交易和用户信息以及与创新和研发等相关的数据。超过4000家公司（包括中小型企业）依赖于安全港跨大西洋数据传输的适当性决定。

通过宣布欧盟委员会的适当性决定无效，欧盟法院明确表示，根据安全港原则向美国转移数据的行为将不再符合欧盟法律。因此，之前依赖安全港进行跨大西洋数据流的公司面临着一些问题。第29条工作组（欧盟数据保护局小组）发布了一些指导意见中指出：第一，在欧盟法院判决后仍然根据安全港适当性决定进行的数据转移是非法的；第二，现有的其他数据转移工具仍然适用（例如欧盟委员会根据《数据保护指令》发布的具有约束力的公司规则或标准合同条款；另一种选择可能是依赖数据主体的明确同意。根据数据保护指令第26条，当第三个国家未被发现确保足够的保护水平（或在没有适当性决定的情况下）时，如果数据主体同意转移相应的数据或者数据控制者引用适当的保护措施，那么也不视为违法。

（四）Schrems之后的应对措施

欧盟法院的裁决在欧盟和其他地方引发了激烈的争论。本节主要涉及相关主体对Schrems案件的反应。在第一份声明中，在判决结束后，第29条工作组不仅澄清了欧盟法院的措辞中“基本等同”的含义，即包含“数据保护基本原则的实质内容”，而且呼吁欧盟成员国和欧盟机构紧急与美国当局找到解决方案，以克服不确定的情况，包括监督机制，透明度，相称性和补救手段的义务。

根据第29条工作组的立场，一些国家数据保护机构不仅在安全港制度的基础上禁止其国内数据转移，而且重申了它们对通过出口商进行数据传输的合法性实施控制的权力。随后由16个德国数据保护机构提供联合指导，其中明确指出：1）由于安全港无效，因此禁止仅基于安全港规则的数据转移； 2）因为与其他数据保护机构意见不一致，德国数据保护机构暂时中止对具有约束力的公司规则和数据出口协议的认同，并且对基于欧盟模型条款的数据传输的有效性提出质疑。

三 隐私盾修订版

实际上，欧盟委员会和美国商务部从2016年前后开始就一直在审查安全港框架，然后围绕其开展的谈判愈演愈烈。谈判的主要部分是就大西洋两岸之间关于美国数据保护系统运作方式的信息交流。2016年2月29日，为符合Schrems的判决要求，欧盟委员会发布了一揽子文件，由此构成了新的欧盟-美国隐私盾框架的第一版。

不过隐私盾第一版仍然允许美国情报部门大规模、不分青红皂白地收集数据并使用它们，至少有六个具体案例能佐证这一点。第29条工作组对适用性决定草案的评估（根据《数据保护指令》第25条的要求）已于2016年4月13日发布。该评估意见认为，欧盟委员会的适当性决定的某些部分缺乏明确性，拟提议设立美国监察员难以保证独立性，批量收集数据的其他可能性以及复杂的补救机制系统都是主要的批评点。另外，第29条工作组着重指出，美国制度还有一个重要的限制，要求个人证明其地位，即申请人需要承受直接伤害或间接伤害。这种方法与欧洲方法不同，在欧洲如果有正当理由怀疑他们的基本权利被干涉，任何人都可以起诉。

欧盟议会在委员会执行决定方面没有投票权，于2016年5月26日通过了第一项（非约束性）决议，表达了对新框架的关注，它呼吁委员会完全“实施”第29条工作组规定的建议，以达到一个新的强有力的隐私盾。

（一）隐私保护原则与公司义务

按照隐私盾协议规定，从2016年8月1日起，美国公司可以开展注册工作，即通过美国商务部自我认证他们对新框架的遵守情况。美国商务部则必须验证其隐私政策是否符合隐私盾要求的高数据保护标准，并在实践中鼓励他们通过特定网站公开承诺遵守框架的要求。

虽然这些原则似乎与安全港制度相似，但新隐私盾将它们发展为包括对这些原则所带来的公司义务的一些变化：

第一个通知原则，原安全港协议要求企业向个人提供一系列信息，包括数据收集和使用的目的。虽然隐私盾中保留了这一原则，但它还包括公开隐私政策的义务（表明它们符合隐私盾原则），并且必须向美国商务部提供这些信息的链接。此外，该原则现在包括指定一个独立的争议解决机构来处理投诉。另外，原安全港协议的通知原则不适用于在公司指示下转让给代理人的第三方。这个例外在新隐私盾中发生了变化，因此公司现在必须向数据主体提供有关访问权和选择权以及转发权的信息。

第二个选择原则，原来要求企业向数据主体提供机会，可选择（选择退出）他们的个人信息是否会被披露给第三方（控制者）或用于不同目的（即使是不兼容的）而不是数据收集的最初目的。目前，隐私盾允许在新目的实质上不同但仍与原始目的兼容的情况下，允许选择退出。隐私盾明确指出，选择原则不能用于取代对不兼容处理的禁止。这是相较于安全港的根本性变化。但是，隐私盾未明晰数据主体利用其选择权的时机。隐私盾清楚地为数据主体提供了随时反对的权利，仅用于直接营销目的，而在其他选择退出的情况下保持沉默。

第三个原则（转让给第三方）涉及向第三方披露数据。在隐私盾中，通知原则始终适用，即使在转移方面，但转移到代理人（处理者）的第三方减损仍适用于选择原则，即个人在此不具备选择权。然而，公司有义务与代理商签订合同。根据第29条工作组的要求，对隐私盾的最终适当性决定进行了修订，以强调转移应如何确保隐私盾原则所保证的同等保护水平。此外，该要求意味着第三方必须仅为了与收集数据原始目的相符的目的以及数据主体已经授权的目的处理数据。此要求适用于所有第三方转移，无论其位置如何。为了遵守这一要求，公司必须：与第三方签订合同，规定如果第三方不再遵守隐私盾原则，则必须通知作为数据控制者的原公司，并停止处理传输的数据，同时采取任何必要步骤来纠正这种情况。此外，如果在数据的处理过程中出现合规性问题，作为控制者的原公司除非能够证明尽到了合理的注意义务，否则将承担责任。

（二）新的救济机制

隐私盾设定了补救途径和执法义务，特别是它使与数据保护机构的合作，对处理人力资源数据的参与组织具有强制性。对于其他组织，与数据保护机构的合作仍然是可选的。公司可以选择数据保护机构作为其独立解决机制，而不是其他替代性争议解决机制。此外，如果不遵守争议解决或自律机构的裁决，隐私盾会引入追索机制。在这种情况下，争议解决或自我监管机构必须向美国商务部和联邦贸易委员会或主管法院通知不遵守裁决的案件。作为最后的手段，当事人还可以向隐私护盾小组提出索赔。

（三）美国当局新的承诺和监督机制

1、美国商务部。为了确保该系统的可执行性，美国商务部在重申了其先前承诺的基础上，增加了新的承诺。基于原有的安全港制度，美国商务部必须列出所有自我认证的组织（公司），并承诺更新白名单列表，将不再符合隐私盾规则的公司从白名单中删除或者重新认证。具体包括：

（1）对从名单中删除的组织进行审查，并核实他们不再要求加入隐私盾；（2）审查需要删除的组织；（3）在识别虚假声明方面进行严格审查；（4）及时处理可能出现的任何问题或收到的有关虚假索赔的投诉，并采取纠正措施，包括采取法律行动。

2、联邦贸易委员会。联邦贸易委员会的行动似乎没有根本改变。但是，联邦贸易委员会现在必须优先考虑独立决议机构、欧洲数据保护机构、美国商务部提出的不予遵守的声明。如上所述，数据主体可以直接向联邦贸易委员会提出索赔。

3、美国情报机构和执法部门。根据隐私盾，在为了国家安全，公共利益或执法要求的情况下，美国公共机构可以访问和使用欧盟转移的个人数据。在民主社会中，针对这些减损数据权利的程度和合理性，该评估涉及被美国情报部门等获取数据的法律框架。关于批量收集数据的问题，欧盟委员会确认已经得到美国当局的进一步保证，当技术上不可能采取其他措施时，美国情报部门大量收集“信号情报”的行为将是尽可能少的例外情况。根据欧盟法院的要求，这些保证可以让欧盟委员会相信，美国的数据处理仍然在必要性的范围之内。面对在美国公共当局为了国家安全目的而不当访问和使用数据的补救途径的情况，欧盟委员会提出了如下的个人补救措施：

（1）根据“外国情报监视法”（FISA），非美国公民可以采取补救措施来反对非法电子监视。

（2）“计算机欺诈和滥用法”，“电子通信隐私法”和“财务隐私权法”规定了其他具体的法律依据。这些途径仅涉及特定数据，目标和数据访问类型。每当个人因代理行为而遭受数据的非法侵害时，可以根据上述法律制度申请司法审查。

（3）隐私护盾创建了一个新的隐私护盾监察员机制，该机制确保了对个人投诉进行适当的调查和处理。监察员可以得到现有的独立调查机构的协助，例如检查专员、隐私和公民自由监督委员会（PCLOB）。隐私和公民自由监督委员会是行政部门内独立的两党机构，其主要职责是确保美国在打击恐怖主义领域的行政行为尊重个人隐私和公民自由，并且要求行政行为具有法定的公共透明度。

四 建立一个令人满意的持久性工具

欧盟委员会和美国通过隐私盾的一年之内，有3000多家公司签署了新框架，美国联邦贸易委员会也已经启动了3起不遵守隐私盾的案件。2017年9月，美欧对隐私盾进行了首次联合年度审查。虽然双方认为隐私盾的效果良好，但还是提出了一些进一步改进的建议。

（一）对隐私盾的反应

在采用新安排后，欧盟和美国商业部门的大多数代表对新协议表示欢迎。然而，尽管隐私盾的新协议已经正式通过，但很明显，对于许多观察员和决策者来说，正义远没有结束，批评的声音依然存在。特别是，作为一种能够根据欧盟标准有效保护隐私权的工具，隐私盾的长期可行性仍有待确认。一些欧盟政策制定者和消费者协会对此表示怀疑。同时，批评指出了新协议的一系列缺点：

1、隐私权倡导者

在商业方面，隐私盾被认为允许数据处理用于非常广泛和通用的目的，这与欧盟法律中规定的目的限制原则相反。实际上，隐私盾的文本要求公司告知个人“收集和使用个人信息的目的”。然而，因为隐私盾并不要求公司指定信息的实际用途，所以不清楚对于“目的”的说明要多详细。此外，评论员已经注意到隐私盾将基于“选择退出”机制（通知和选择），要求用户主动反对他们的数据由公司处理（前提是他们知道这样的处理）。这与欧盟“选择加入”机制恰恰相反，“选择加入”机制要求公司事先获得用户同意。关于针对公司的补救制度，观察员强调，该机制仍然非常复杂，尽管在成本方面做出了努力，欧盟公民仍然难以有效利用。

关于“监视”部门的缺点，主要问题似乎是美国当局提及的“大量收集”数据的行为。作为补救方案的监察员制度，有两点不尽人意。首先，有人认为该办公室无法完全处理美国当局对数据监控的投诉，因为它无法确认个人是否受到监视措施。第二点是，监察员不是一个独立的法院，而是美国国务院的副秘书。虽然这一立场可以让监察员更容易获得一些信息，以便对投诉活动进行评估，但隐私盾也多次提到监察员的独立性，目前并没有建立所要求的保障制度。因此，根据基本权利宪章的第47条要求，该办公室不能有效保证公民权利受到有效的补救和公正的审判。

欧盟消费者组织（BEUC）也提出了类似的批评，表示对隐私盾在没有充分保护欧盟公民的情况下，支持数据传输表示失望。虽然一个框架被认为是必要的（因为商业目的的个人数据处理在美国基本上不受管制），隐私盾被认为是来自美国技术行业和政府的政治和商业压力的产物，并且未能提供足够的保护水平。

2、第二十九条工作组和欧洲数据保护监督员

第29条工作组在其发布两周后发布了关于修订后的隐私盾适当性决定的声明，其中欧盟数据保护机构组织同意其最终版本，但对商业方面和美国公共机构获取数据方面却表达了一些担忧。一是提到了决定中缺乏反对的权力和关于自动化决策的具体规则；对数据处理者将如何应用新框架缺乏明确要求。二是关于出于安全目的的个人数据权利减损和美国公共当局对数据的访问，第29条工作组的关注点在于新的隐私盾下缺乏对监察员独立性和权力的更严格保障。三是关于大量数据收集（整个隐私盾辩论中的主要问题之一），国家情报总监办公室（ODNI）承诺不进行大规模和不加区分的数据收集，但欧盟数据保护机构对隐私盾中没有涉及相应的保障措施表示担忧。

3、欧盟议会2017年4月的决议

在2016年关于“跨大西洋数据流”的决议之后，2017年4月，欧盟议会通过了一项关于欧盟-美国隐私盾保护的决议，肯定了欧盟委员会的努力，但也表达了担忧。除其他事项外，它呼吁欧盟委员会要求美国当局提供书面保证以确保在隐私盾下的协议与承诺。此外，它对欧盟-美国隐私盾没有明确禁止为执法目的收集大量数据这一事实表示遗憾。

（二）初步实施和前进的方向

1、初步实施

关于公司的态度（可能决定坚持使用替代工具），一些学者建议，在不久的将来，公司也可以主动执行数据最小化和匿名。在签署隐私盾的时候，公司似乎也相当谨慎；目前约有3330个组织提交了认证。

联邦贸易委员会已开始执行隐私盾。在第一年内，它至少解决了三起涉及三家公司（Decusoft等）的虚假陈述案件。这些公司声称已获得欧盟-美国隐私盾认证，但实际上他们未能完成认证过程。这些案件也具有政治意义，因为联邦贸易委员会也在强调其对隐私盾框架的承诺。

虽然欧盟委员会发布的具有约束力的公司规则和标准合同条款仍然是数据传输的替代工具，但在后一种情况下，这些工具的合法性也受到质疑。爱尔兰高等法院向欧盟法院提交了有关美国法律允许大规模不加区别地处理欧盟数据是否违反欧盟法律的问题，旨在确定标准条款下数据传输保护的法律效果。

2、GDPR

尽管隐私盾已经包含1995年数据保护指令未涵盖的方面，以便与GDPR保持一致（例如传输数据），但是对隐私盾的新评估将考虑完全适用GDPR，因而以GDPR为法律依据，在必要时可对欧盟-美国数据传输框架进行必要的改进。

从GDPR内容，其主要变化包含以下几方面：

——适用范围。与1995年的指令一样，GDPR适用于在欧盟建立的数据控制者或处理者的数据处理活动，无论处理过程是否在欧盟进行。同时，在向欧盟个人提供商品或服务的情况下，适用于未在欧盟设立商业存在的控制者（或处理者）处理欧盟个人数据的活动（付款与否），或对个人行为（发生在联盟内）的监测活动。此外，它还适用于由国际公法在欧盟内未建立商业存在的控制人进行的数据处理。

——加强对个人权利的保障。根据问责制原则，数据控制者应该能够证明其遵守规则。同时，引入了新的权利，例如将个人数据从一个服务提供商转移到另一个服务提供商的自由（数据可移植性或数据可携带权），或者在没有合法理由保留这些数据的情况下删除自己的数据（遗忘权）。

——加强协调，减少行政负担。新规则在欧盟范围内以统一的方式应用，减少分散和法律不确定性。同时，通过消除现有义务，如向数据保护机构通知所有数据处理，这一改革最大限度地降低企业的成本。

——简化欧盟以外的国际数据传输。作为一般原则，只有在数据控制者符合GDPR要求的情况下才能向第三国传输数据。根据欧盟委员会的适当性决定，可以进行转移，这意味着不需要特别授权。但是，这种评估应基于严格的标准（例如，存在相关立法，尊重人权；独立监督机构的有效运作；以及国际承诺等）。其他简化流程的替代工具则包括：具有约束力的公司规则（根据要求而定，这意味着公司可以自愿采用这些规则，而无需经过数据保护机构的验证）；公共当局之间具有法律约束力的文书；委员会批准的标准数据保护条款；批准的认证机制；控制人与第三国接收人之间的合同条款。

——更强大的独立监管机构和欧盟数据保护委员会。国家当局的权力得到加强，由欧盟层面的欧盟数据保护委员会召开会议。

3、隐私盾和其他国家

隐私盾不仅仅在欧美之间适用，并且深入影响美国与其他国家数据转移规则的制定。

（a）适用于欧洲经济区国家

由于数据保护对内部市场运作的重要性，欧盟数据保护法具有欧洲经济区（EEA）的相关性。换言之，欧盟框架也必须由欧洲经济区国家（挪威，冰岛和列支敦士登）实施。因此，欧洲经济区国家必须将欧盟-美国的适当性决定纳入欧洲经济区法律。为此，欧盟委员会于2017年7月7日通过了这一决定。

（b）瑞士-美国隐私护盾的采用

隐私盾也对美国和瑞士之间的数据转移规则产生了影响。瑞士不属于欧洲经济区，因此欧盟数据保护法没有像欧洲经济区国家那样纳入国家框架。因此，瑞士需要做出具体的适当性决定，以确保与欧盟的数据传输的一致性。

此外，瑞士联邦数据保护和信息专员认为在欧盟采用了新的框架（隐私盾）对数据提供更好保护的情况下，在美国和瑞士之间继续维持安全港制度则出现了问题。事实上，这种情况可能导致欧盟，瑞士和美国之间出现三角形流动，从而绕过隐私盾的严格保护。这种情况可能使瑞士体系不足以保持同一水平欧盟法律规定的保护措施，从而导致欧盟适应性决定的潜在性无效。出于这个原因，瑞士联邦委员会通过谈判达成了瑞士-美国隐私盾协议。

（c）其他考虑因素

需要进一步讨论的另一个问题涉及“英国退欧”对隐私盾的影响，以及美国、英国和欧盟之间的三角数据流动，向英国的跨境数据传输变得与其他第三国的传输类似。

此外，在与其他第三国的数据传输协议中，即便隐私盾不会直接适用，也会被纳入考虑。关于这一点，欧盟委员会于2017年发布了一份文件，提出在全球化世界中交换和保护个人数据的信息，并制定向第三国传输数据的充分决策的战略，指出了相应替代机制。欧盟委员会加强了与日本的对话，旨在通过关于数据保护框架的适当性决定。

最后，第三国也可能加入欧盟委员会第108/1981号公约，这是目前有关数据保护的唯一国际法律文书。

（中国信息通信研究院安全所褚夫壮翻译）

声明：本文来自互联网新技术新业务安全评估中心，版权归作者所有。文章内容仅代表作者独立观点，不代表士冗科技立场，转载目的在于传递更多信息。如有侵权，请联系 service@expshell.com。