[美]狄樂達　譯者/何廣越　沈偉偉

編者按

《數據隱私法實務指南（第五版）》結合新近出臺的《歐盟通用數據保護條例》（GDPR）和《加州消費者隱私權法》（CCPA），以簡明、清晰的語言，講述跨境數據傳播法律合規(guī)問題，為讀者理解、掌握數據隱私法的核心概念和法律原理提供生動的理論分析，為跨國公司制定數據隱私合規(guī)政策提供具體操作方案。同時，為任何對數據隱私法感興趣的人，快速查詢相關話題準備好知識庫。

自2017年以來，世界各地數據隱私法發(fā)生了重大變化?！稓W盟通用數據保護條例》（ GDPR）于2018年5月25日生效，有著更為嚴格的數據最小化規(guī)則、更進一步的管理、技術和組織要求、以及高昂罰款。2018年6月，美國加利福尼亞州制定了《加州消費者隱私權法》（ CCPA），這是一部全新的、極其寬泛、極具針對性的反數據交易法案。該法案最初源于加州公民的表決，隨后引發(fā)了其他各州和聯邦層面狂熱的立法活動——緬因州和內華達州也隨之開始執(zhí)行本州禁止出售數據的法案。

在 GDPR 引領下，2018年8月，印度頒布了一部新的數據保護法案，巴西也頒布了第一部數據保護法。同時，中國將重點放在兩方面：一方面是為維護國家安全而采取網絡安全監(jiān)管；另一方面是促進人工智能及其他技術創(chuàng)新、社會信用評價、互聯網監(jiān)控等相關措施。同時，數據保護機構在世界各地的審計和執(zhí)法活動不斷增加。俄羅斯積極阻止企業(yè)非法留存數據，并懲戒未遵守相關數據留存規(guī)定的企業(yè)。在美國，民事案件原告的律師們基于數據隱私和安全訴求，針對企業(yè)和政府提起了大量集團訴訟。

企業(yè)必須跨越三重障礙

從一個法域向另一法域傳輸數據之前，企業(yè)必須跨越如下三重障礙：（1）遵守所在法域關于收集或以其他方式在當地處理個人數據的規(guī)定；（2）有正當的依據向另一數據控制者披露數據或者通過合同限制數據接收者僅能夠處理數據；（3）確保數據接收者采取的數據保護達到充分水平。

第一重障礙即本地合規(guī)，要求對任何數據的收集和處理活動采取保護措施。在歐洲，既包括各類形式工作（如告知數據主體、進行政府申報、指定數據保護官、準備數據安全文件等），也包括實質措施（如最小化數據處理范圍和數據保留期限、確保數據準確和安全、準許權利人數據訪問等）。不管是否發(fā)生把數據傳輸到境外的后續(xù)行為，歐洲企業(yè)首先必須遵守這一規(guī)定。另外，后續(xù)數據傳輸對本地合規(guī)具有影響，因為企業(yè)必須在提交給數據主體和數據保護機關的通知中說明數據的跨國轉移，并向數據保護官咨詢該事宜等。

第二重障礙即披露限制，無論是否涉及跨國問題，要求數據傳輸存在正當依據。通常來說，歐洲企業(yè)可以選用服務商即數據處理商，如薪酬服務商從事處理數據工作。一般來說，在歐洲及其他法域，對于把數據傳送給服務商的行為，企業(yè)無須特意尋找額外正當依據。但是，除非能夠依法主張正當性，否則歐洲企業(yè)通常不得把個人數據披露給數據控制者，即使數據控制者在歐洲經濟區(qū)內也不行。

第三重障礙即限制向歐洲經濟區(qū)外傳輸數據，企業(yè)須確保接收數據的國家或公司在數據保護方面達到充分水平。在默認情況下，歐洲經濟區(qū)內的企業(yè)不得將數據傳往區(qū)外。這個障礙要求企業(yè)必須為跨國數據傳輸選用具體的合規(guī)機制。

即使企業(yè)完全遵守本地數據保護法，克服了障礙一，也滿足向歐洲經濟區(qū)外傳輸數據的具體要求，克服了障礙三，并不意味其可以將任何個人數據披露給另一數據控制者。即便數據傳送發(fā)生在位于同一個歐洲經濟區(qū)成員國內的子公司和母公司之間，即使子公司由母公司全資、封閉持有，數據傳輸依然要有正當依據。因此，想要跨越數據跨國傳輸的障礙二，位于歐洲經濟區(qū)內的企業(yè)必須論證其信息披露的合法性，盡管這種披露一般是被禁止的。不少企業(yè)只關注障礙一和障礙三，卻忽略了障礙二。

歐盟委員會已經判定多個國家和地區(qū)，在數據保護方面達到充分水平：安道爾、阿根廷、法羅群島、根西島、馬恩島、以色列、日本、澤西島、新西蘭、瑞士、烏拉圭和美國。歐洲經濟區(qū)內的企業(yè)可以向這些國家和地區(qū)自由傳輸數據，如同在歐洲經濟區(qū)內一樣。也就是說，在這些已經被歐盟委員會宣告實現充分數據保護的國家和地區(qū)，企業(yè)僅受限于障礙一和障礙二，障礙三則不適用。

美國數據保護判定獨特

雖然歐盟委員會在2016年對美國做出了數據保護充分的判定，但該判定非常獨特，其認為美國實現數據充分保護的范圍有限且附有條件。該判定認為只有加入了“歐盟——美國隱私盾”項目（the EU U.S.privacy shield program ）且承諾遵守該隱私盾原則的美國企業(yè)才具備充分保護條件。

“歐盟——美國隱私盾”項目是為了協調歐洲與美國這兩個法域在隱私法上存在的巨大差異，由歐盟委員會與美國商務部基于歐洲數據保護法而制定。大多數美國企業(yè)（僅在美國聯邦貿易委員會廣闊監(jiān)管范圍之外的企業(yè)除外）均可加入該項目。想要加入該項目的企業(yè)，可以通過網絡向美國商務部承諾遵守隱私盾原則，且已經進行自我評估并將數據保護措施記錄存檔。他們必須承諾與歐洲數據保護機關合作，保護從歐洲經濟區(qū)傳往美國的員工數據，并且建立糾紛解決機制以保護其他數據。美國商務部會審核申請企業(yè)通過網絡提交的加入申請和隱私聲明，還可以要求企業(yè)提交關于數據再轉移協議的信息。如果美國企業(yè)違反隱私盾原則或其隱私聲明，那么強大的美國聯邦貿易委員會可以采取強制執(zhí)行措施，美國商務部可以將企業(yè)開除出隱私盾項目，歐洲數據保護機關可以要求企業(yè)履行合作義務，民事原告還可以把企業(yè)告到仲裁庭或法院。因此，“歐盟——美國隱私盾”項目確保按照歐洲數據保護法設定的法律要求實施到美國領土內的美國企業(yè)，由美國行政機關、美國法院和歐洲數據保護機關確保執(zhí)行問題。

在“歐盟——美國隱私盾”項目實施之前，美國實行的是安全港項目（the U.S.safe harbor program）。美國安全港項目由美國商務部從2000年起開始實施并由聯邦貿易委員會執(zhí)法，歷經15年。2015年10月6日，主要出于對美國政府監(jiān)控的擔憂，歐盟法院撤銷了歐盟委員會對美國安全港項目數據保護充分的判定。此前，歐盟委員會和美國商務部已經著手修訂此項目，并在敲定雙方隱私盾項目協議時考慮了該法院判決。

隱私盾原則更詳盡嚴格

從篇幅上看，隱私盾原則顯然比安全港項目更加詳盡嚴格：2000年安全港原則的篇幅只有兩頁半，歐盟委員會在歐盟官方公告中撰寫的充分保護判定有40頁；到了2016年，隱私盾原則的篇幅為19頁，相應的充分保護判定長達112頁。從安全港到隱私盾，篇幅增長與歐盟數據保護法詳盡化同步：1995年《歐盟數據保護指令》的篇幅為19頁，而2016年的歐盟《通用數據保護條例》長達88頁。

從內容上做具體的比較，相比于安全港項目，隱私盾項目要求每一年對隱私盾原則進行評估和更新，并設置一系列增強或新設的隱私保護措施，如要求更詳盡的隱私通知（要求列明責任、訪問權和糾紛解決）、更嚴格的再傳輸合同（且規(guī)定美國商務部對這些合同有查詢權）、數據最小化、數據保留、對個人無成本的獨立救濟機制，以及對不合規(guī)行為的公示規(guī)定。自愿退出隱私盾項目的企業(yè)必須退還（ return ）或刪除之前收集的個人數據，否則就要繼續(xù)執(zhí)行隱私盾原則，并每年重新承諾合規(guī)義務。如果美國商務部把某企業(yè)開除出隱私盾項目，該企業(yè)必須刪除或退還之前收集的個人數據。

此外，美國國家情報主任在隱私盾原則附帶的保證書中向歐盟作出了具體而有力的承諾。此前，愛德華·斯諾登于2013年揭露的美國政府大規(guī)模監(jiān)控，引發(fā)了美國國內和國際的關切，導致美國總統(tǒng)重新主導國家安全局監(jiān)控項目。美國國會也通過《司法救濟法》（Judicial Redress Act ）和《美國自由法》（USA Freedom? Act，即廢止臭名昭著的美國愛國者法的法案）改善了美國國內隱私保護問題。

就在歐盟委員會于2016年7月批準歐盟—美國隱私盾項目之后，該隱私盾項目立即遭到歐盟政客、活動家和數據保護機關的批評，批評者們還公布了挑戰(zhàn)該項目的計劃。但是，歐盟委員會分別在2017年和2018年的第一次和第二次年度審查中得出結論：美國繼續(xù)確保對根據隱私盾項目協議傳輸的個人數據提供適當保護。只要歐盟委員會作出關于美國對數據保護是充分的判定，沒有被撤銷或被廢除，歐洲經濟區(qū)內企業(yè)就可以將個人數據傳輸給已加入“歐盟——美國隱私盾”項目的美國企業(yè)，如同這些企業(yè)坐落于歐洲經濟區(qū)內或坐落于經歐盟委員會普遍認定數據保護充分的法域一樣。位于歐洲經濟區(qū)內的企業(yè)，無須處理障礙三即可合法地將個人數據向加入“歐盟——美國隱私盾”項目的美國企業(yè)傳輸。

［本文節(jié)選自《數據隱私法實務指南（第五版）》。作者狄樂達先生，從事國際數據隱私、商業(yè)和知識產權法的實踐和教學工作二十余年，已發(fā)表150多篇論文并出版5本專著；何廣越系閱文集團法務部負責人，曾譯有《法律人的明天會怎樣？——法律職業(yè)的未來》；沈偉偉系中國政法大學法學院副教授，曾譯有《代碼2.0——網絡空間中的法律》］

（責編王茜）