[关键词]:SchremsⅡ案;数据跨境流动;“充分性”认定;数据安全;个人信息保护法
一、“SchremsⅡ案”对欧盟数据跨境流动法律监管的影响
欧盟将《宪章》作为衡量标准,以充分性认定为工具,通过独立数据保护机构的内部执法以及国际层面的积极推广,构建了一套较为成熟、完善且相互协调的数据跨境流动规则体系。下文将从标准、工具、机构以及国际影响四个层面分析SchremsⅡ案的影响。
(一)标准层面:《宪章》的地位进一步增强
基于《宪章》的“基本权利测试”不仅可以用来审查欧盟次级立法的合法性,甚至国际协定、外国国内法确立的数据保护水平也要以《宪章》为准。欧盟法院对“DigitalRightsIreland案”“EU-CanadaPNR案”等案的判决反映了欧盟宪法价值的至高地位,即使面临恐怖主义威胁,欧盟机构也并非全部认为国家安全利益高于个人基本权利。国家安全立法一般被认为是各国主权的保留事项,世贸组织(WTO)协定中的安全例外被认为是“自裁条款”,以避免这类立法被争端解决机制审查。但在欧盟法院看来,其不仅可以对影响数据保护的国家安全立法进行审查,而且依据的是欧盟的标准。
首先,《宪章》构成界定“充分保护水平”的基准。欧盟法院在适用欧盟《一般数据保护条例》(GeneralDataProtectionRegulation)时,通过《宪章》确定了适用于第三国的“充分保护水平”的宪法内涵。为符合该要求,第三国的数据立法或其他法律必须体现对隐私权和数据权的强力保护,当第三国实施的法律措施会对这两项权利造成干涉或影响时,需要结合《宪章》第52条对该措施进行“必要性测试”,该测试要求对《宪章》第7条和第8条的干涉必须由法律规定,并限于《宪章》第52(1)条规定的严格必要的情况,以及保证根据《宪章》第47条对欧盟个人数据主体提供有效司法保护。就“严格必要”而言,欧盟法院要求第三国的立法措施必须明确界定数据的使用范围、数据的使用目的、目的与措施之间存在客观联系等。要达到有效的司法保护,不能仅仅建立一个新的行政机构以受理来自欧盟数据执法机构的请求,而是要赋予欧盟数据主体可执行的诉讼的权利。
其次,《宪章》确立了更高的个人基本权利保护标准。一方面,《宪章》在司法保护领域的标准比成员国标准更高。在SchremsⅡ案中,法院认为美国政府机构出于国家安全目的留存并获取欧盟公民个人数据的行为构成对公民基本权利的侵犯,美国只有在为其提供司法救济的情况下才会被认为符合《宪章》对有效司法保护的要求。实际上,尽管《欧洲人权公约》(TheEuropeanConventionofHumanRights)要求无论本国人还是外国人都有权在缔约国就国家机关侵犯隐私权的行为获得司法救济,但多数欧盟国家在其国家安全机关的权力运行方面依然奉行同美国类似的逻辑,即对电子监控的国内目标和外国目标提供不同的司法保护。另一方面,对出于国家安全目的大规模获取个人数据的行为,欧盟《一般数据保护条例》和《宪章》的要求高于《欧洲人权公约》。欧洲人权法院关于电子监控的判例法赋予了国家安全机关自由裁量权,比如其在“BigBrotherWatch案”中确认,出于国家安全考虑,其尊重国家机关批量拦截个人数据的活动,实施这种监控活动是否与其目的相称将留给成员国自行判断。而《宪章》坚持严格必要原则。
欧盟的上述做法实际上将其内部标准强加给了第三国,虽然一定程度上促进了数据保护标准的统一,但也被一些学者认为构成了“法律殖民主义”。此外,根据SchremsⅡ案判决,数据输出方与输入方也须结合《宪章》的规定评估第三国立法对输入数据的保护水平(下文详述),《宪章》适用范围的扩张进一步加强了欧盟的宪法秩序。
(二)工具层面:适用于具体场景时的不确定性增加
SchremsⅡ案之前,欧盟旨在塑造以充分性认定制度为主的数据跨境流动模式。然而由于过于严苛和繁琐的认证程序,迄今为止仅日本、加拿大等12个国家获得欧盟的充分性认定,即使《关于个人数据自动化处理的个人保护公约》(ConventionfortheProtectionofIndividualswithregardtoAutomaticProcessingofPersonalData)的55个缔约国也很难获得充分性认定。实际上,条件过于严苛的充分性认定制度已对国际数字贸易产生严重影响,有学者认为其已构成数字贸易壁垒。这使得自“SchremsⅠ案”开始,越来越多的跨国互联网公司就开始使用标准合同条款进行数据跨境传输。而在SchremsⅡ案中,法院认为与欧盟法律“基本同等保护水平”的标准适用于标准合同条款等保障措施,放弃了充分性认定制度和保障措施之间的等级划分,更强化此种趋势。
(三)机构层面:监管的能力和责任存在失衡
(四)国际层面:与国际贸易规则的不兼容加剧
1.重新在欧盟引发数据本地化问题
虽然SchremsⅡ案没有提出数据本地化的法律要求,但其对数据跨境流向美国和其他国家构成的阻碍,也会迫使许多企业选择数据本地化措施。然而,数据本地化措施之前在欧盟一直存在争议:一方面,《一般数据保护条例》指出个人数据的自由流动对国际贸易具有重要意义,数据本地化措施使跨国经营的公司产生了更高的成本,构成对外国服务提供者的歧视性待遇;另一方面,欧盟数据跨境流动监管制度的逻辑是确保流向第三国的数据能够在当地得到与欧盟同样的保护水平。但越来越多的观点认为,数据本地化措施无法有效保护数据安全。另外,不同国家数据保护的立法水平和技术水平存在参差,数据本地化存储会导致在保护水平较低的国家存储的数据成为重点攻击对象。
2.欧盟的监管措施与世贸组织一般例外的要求不符
第二,从欧盟法的角度来看,遵守世贸组织一般例外或执行争端解决机构(DSB)作出的裁决都可能构成对个人权利保护标准的减损,需要适用《宪章》第52条第1款规定的必要性测试以评估这种减损是否可行。近几年,在Tele2Sverige案、EU-CanadaPNR案等案中,欧盟法院将《宪章》规定的必要性测试提升到了“严格必要”的水平。而《亚太经合组织隐私框架》等数据隐私保护规则本身没有法律约束力,实践中根本无法约束第三国公共机构获取个人数据的行为;从内容上看,这些规则没有就外国公共机构在何种情况下可以访问个人数据以及访问的程度作出明确且准确的规定,也没有建立独立的数据监督机构和有效的司法补救机制。正如有学者所言,《亚太经合组织隐私框架》的实质是通过构建较低保护水平的个人数据跨境流动秩序,确保参与的国家不会以“自身国内提供了高水平保护”为由限制数据跨境流动,由此实现数据向美国或美国企业的汇聚。因此所谓的“替代措施”无法满足欧盟法所要求的“严格必要”标准。
3.欧盟监管措施无法满足现有高水平数字贸易协定的要求
二、欧盟数据跨境流动法律监管的新发展
(一)澄清补充措施的实施步骤和内容
(二)基于SchremsⅡ案的要求更新标准合同条款模板
(三)明确第三国监控措施所应满足的欧盟法标准
(四)推动在国际贸易立法层面赋予欧盟更大的监管自主权
由于欧盟数据跨境流动制度与世贸组织协定以及现有双边贸易协定中的非歧视原则存在不兼容风险,且无法通过“一般例外条款”证明其合法性,欧盟开始努力构建欧式数字贸易协定模板,以保障其在数字贸易领域的监管自主权。这主要体现在:第一,作为预防措施,《欧盟运行条约》(TreatyontheFunctioningoftheEuropeanUnion)允许欧盟成员国及欧盟机构就拟议的国际协议与欧盟条约(包括《宪章》)的兼容性向欧洲法院征求意见。这一机制在“欧盟加拿大PNR协定案”中被使用。第二,欧盟2018年在其数字贸易章节提出了数据跨境流动示范条款,其中隐私和数据保护的具体例外情况参考了世贸组织协定中“国家安全例外”的立法模式,赋予国家自裁的权利。欧盟已将这些示范条款纳入其目前与澳大利亚、新西兰等国的贸易谈判提案中。由于示范条款中的例外极为特定,对欧盟的贸易伙伴来说,根据这些拟议的具体条款挑战欧盟的监管措施将更加困难。第三,因数据跨境流动、个人数据保护和隐私保护问题产生的争议不适用争端解决机制,避免国际争端解决机制对欧盟法规则的解释和适用,保留欧盟法律监管的自主权。
三、欧盟数据跨境流动法律监管的合理性考量
第一,欧盟对数据跨境流动的监管过于强调保护个人权利,忽视了多元价值的协调。数据的跨境流动不仅涉及对个人隐私和数据权的保护,还影响到数字经济发展和国家安全,需要在多元价值之间选择平衡点,以达到合理的保护数据安全与实现数据自由流动的协调发展。欧盟比美国等国家更加注重数字领域的监管,并把严格的监管视为欧盟的竞争优势,但是过于严格的监管必然不利于新兴数字产业的发展。欧盟法院在SchremsⅡ案的裁决中认为,国家机关出于国家安全、打击犯罪的考虑可以获取个人数据,但对此进行了非常严格的限制,以至于第三国的监控立法或侦查立法很难通过欧盟的审查。欧盟实质上将个人权利保护凌驾于经济发展和国家安全之上。
第三,欧盟未对跨境的数据进行分类,而是采取“一刀切”的监管方式。《一般数据保护条例》第9条规定了个人敏感数据的特殊处理规则,但该条例的数据跨境流动章节并没有对数据类型进行区分,而是一般性的适用于所有个人数据。结合世贸组织一般例外条款中的“必要性测试”,同样的数据跨境流动监管措施不加区分地适用于个人敏感数据和非个人敏感数据,很难认定该措施是所欲实现的政策目标之所需。为此,必须在数据跨境监管领域落实个人数据分类分级制度。
第四,对主权国家实施公共政策的权力进行了严格限制,欧式数字贸易协定的接受度较低。为维护在个人数据和隐私保护领域所奉行的高标准,欧盟在世贸组织数字贸易谈判文本中专门约定“各成员可采取并维持其认为适当的保障措施,以确保对个人数据和隐私的保护”。与《全面与进步跨太平洋伙伴关系协定》《区域全面经济伙伴关系协定》(RegionalComprehensiveEconomicPartnership,RCEP)相比,缔约国在欧式数字贸易协定中只能以保护隐私和个人数据为由对数据跨境流动进行限制,而不能出于实现“合理公共政策目标”实施其他的监管措施,很显然限制了主权国家的监管空间。尽管欧盟正在与多个国家谈判缔结国际贸易协定,但相较美式和亚太数字贸易协定,欧式数字贸易协定的影响力还有待提升。
第五,欧盟的监管要求与我国法律制度存在冲突。欧盟对数据跨境流动进行有效监管的前提是欧盟法院能够结合《宪章》对行政机关的决定进行合宪性审查,通过审查结果促进监管制度的完善。对于违宪审查制度不发达的国家而言,照搬欧盟监管制度将会出现水土不服的现象。虽然我国以数据安全为核心构建的数据跨境流动规则在个人信息保护方面同欧盟存在一定契合,但二者的价值取向依然存在差异,尤其是国家安全事项构成中欧双方在数据跨境监管方面的重大分歧。以数据加密措施为例,欧洲数据保护委员会发布的指南将加密视为一种有效的补充措施,密钥由欧洲境内数据传输方掌握。根据我国《密码法》的规定,除非是大众消费类产品所采用的商用密码,否则需要根据商用密码进出口许可程序提交商用密码的技术说明,数据输出方和输入方在使用加密措施向中国传输数据时需要提交中国密码管理部门审批,这与欧盟的监管要求存在冲突。
四、欧盟监管经验对完善我国数据跨境流动监管制度的启示
(一)当前数据跨境流动法律监管存在的问题
我国目前已经基于《网络安全法》《数据安全法》以及《个人信息保护法》初步构建起以安全为核心价值的数据跨境流动监管制度。然而具体到规则层面,仍存在以下问题。
1.出境安全评估制度有待健全
2.其他信息出境措施和“个人的单独同意”要求有待澄清
我国《个人信息保护法》第38条规定了数据跨境流动的方式,除了安全评估机制,还可以通过个人信息保护认证、标准合同以及其他方式进行。不过,具体到实施层面,尚未建立起配套的法律法规。标准合同借鉴了欧盟的标准合同条款,由于国家网信部门组织的安全评估过于严格,标准合同未来可能成为向境外提供个人信息的重要方式,因此应当尽快制定合同细则。第39条规定了个人单独同意制度,与欧盟、日本等国家和地区个人信息保护法不同,其并非独立的为境外提供个人信息的方式,而是必须同第38条规定的安全评估制度、标准合同、个人信息保护认证结合使用,从而构成对境外提供个人信息的双重限制。这将会严重阻碍个人数据的跨境流动,加重我国境内企业的合规压力。
3.数据自由流动和个人权利保护有待加强和完善
数据跨境流动涉及数字经济发展、个人基本权利保护、国家安全等多元价值,对它的监管需平衡不同价值间的关系。在充分保证数据安全的前提下,应进一步促进数据自由流动和加强个人信息保护。2021年《数据出境安全评估办法(征求意见稿)》第4条规定了应当进行出境安全评估的情形,包括处理个人信息达到一百万人的个人信息处理者向境外提供个人信息、累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息等情形。考虑到我国数十亿计的网民数量,这里设置的出境安全评估门槛实际上是偏低的。2021年9月发布的《重要数据识别指南(征求意见稿)》规定了促进数据流动的基本原则,明确重要数据安全有序流动,非重要的一般数据依法自由流动;但从具体内容来看,重要数据的涵盖范围过于宽泛,且对“安全有序”“依法自由流动”缺少更细化说明。这些因素将导致安全评估活动的泛滥,阻碍安全评估制度的高效运行。另外,我国“个人单独同意”要求会进一步对数据跨境自由流动造成限制。
4.“中国方案”仍有待提出
欧盟数据跨境流动法律监管的内外联动是通过两套互相配合的机制实现的:第一套机制是欧盟的充分性认定制度,让潜在第三国接受与欧盟同等的数据保护标准,从而实现《一般数据保护条例》和《宪章》所确立标准的全球化;第二套机制是缔结欧式数字贸易协定,将其隐私权和数据保护标准与国际贸易挂钩,赋予欧盟充分的监管空间。我国目前很难实现国内法和国际法的内外联动:其一,由于数据跨境安全评估制度过于严苛、配套法律制度不健全、个人数据权利保护水平不高等内在原因,迄今未在国内建立起完善的数据跨境流动法律标准;其二,与欧盟要求第三国立法应当达到“充分保护水平”不同,《个人信息保护法》第38条关于境外接收方应满足我国数据保护标准的规定主要针对个人、企业等非国家实体,而非主权国家;其三,我国在数字贸易领域的地位和话语权严重不匹配。欧美利用自身贸易优势及先进的立法技术,相继推出了反映各自国内数字经济政策的贸易协定范本;而我国由于受到本国数据跨境流动严格监管的掣肘,只能被动接受《全面与进步跨太平洋伙伴关系协定》《数字经济伙伴关系协定》(DigitalEconomyPartnershipAgreement,DEPA)等高水平数字贸易协定所确立的标准。
(二)我国数据跨境流动法律监管的完善路径
1.国内层面
第一,应当首先完善数据出境安全评估,尽快出台配套立法,以构建我国数据跨境流动监管的核心制度。比如加快完善数据分级分类管理机制,进一步细化适用安全评估机制的关键基础设施及重要数据类型;出台《数据出境安全评估办法》,确立安全评估原则、明确需要评估的具体情形、重点评估的对象、细化评估流程;明确适用数据出境安全评估的数据类型,制定非重要且非个人信息的出境办法。考虑到国家网信部门在安全评估方面承担着巨大压力,可以考虑建立专门的安全评估机构。
第二,标准合同未来可能成为在我国进行数据跨境传输的重要工具,可以参考欧盟的标准合同条款制定标准合同模板,采纳欧盟“政府预先批准+市场主体自主适用”治理模式。欧盟的标准合同条款是建立在其以个人权利保护为核心的数据跨境监管模式之上,我国在拟定具体条款时应围绕数据安全等我国注重的价值目标,兼顾《个人信息保护法》《数据安全法》等法律中有关保护个人权利的规定,避免对欧盟实践生搬硬套。
2.中欧合作层面
中欧同为全球重要的数字贸易市场,任何一方想要在数字经济领域有所突破必须要重视对方。同时,中欧都面临着美式数字贸易范本在全球扩张给各自数据跨境监管带来的挑战。由是观之,中欧数据跨境流动监管合作具有坚实基础。
第一,根据《一般数据保护条例》第45条第1款,欧盟委员会“充分性”认定的适用对象可以是国家,也可以是第三国境内的地区、一个或多个特定行业、国际组织。理论上来讲,在一国无法获得欧盟充分性认定的情况下,如果该国的某一地区存在综合性的数据保护法案、设置了独立的数据保护机构、能够有效限制政府访问个人数据、阻止数据被继续传输到该国的其他地区等,则该地区依然可能被授予充分性认定。不过,这种理论的可能性在实践中可能困难重重。对我国而言,虽然目前已经建立了诸多数据跨境流动试点,实施更严格的数据保护执法,但是这些特定地区依然处于《国家安全法》《网络安全法》等法律的管辖之下,区域内的企业和个人依然有遵守国家安全、协助打击犯罪的义务。
第二,中国与欧盟的法律都允许直接通过国际协定进行数据跨境传输(《个人信息保护法》第38条、《一般数据保护条例》第50条)。目前,许多没有获得欧盟充分性认定的国家都与欧盟签署了特定行业或领域的数据传输协议,比如2021年欧盟委员会和土耳其药品和医疗器械局之间达成个人数据传输行政安排,实现医疗器械数据的跨境传输;该协议详细列举了个人数据保护的保障措施,比如处理目的、数据质量和相称性、透明度等。与充分性决定相比,第三国更容易满足这些条件。这不仅对我国开展数据跨境流动试点有重要意义,而且有助于实现中欧在数据跨境领域的监管合作。
第三,在数字贸易国际立法领域进行合作,联手应对美式数据跨境流动国际规则的冲击。美国出于维护本国互联网巨头在全世界的经济利益,一直主张数据自由流动原则,这集中体现在以《美墨加协定》(UnitedStates-Mexico-CanadaAgreement,USMCA)、《全面与进步跨太平洋伙伴关系协定》为代表的美式数字贸易协定中。这类协定允许各国出于保护个人信息、隐私权等“合理的公共政策目标”对数据跨境流动进行限制,不过限制措施需要满足类似世贸组织规定的严格的“必要性测试”。为此,欧盟通过欧式数字贸易协定、我国通过《区域全面经济伙伴关系协定》分别设计了一套与美式规则不同的数据跨境流动国际规则,赋予了缔约方自主决定何为“合法公共政策”的权能,相比《美墨加协定》《全面与进步跨太平洋伙伴关系协定》,更加尊重各个缔约方的规制自由。不过,《区域全面经济伙伴关系协定》除了“公共政策目标”例外,还规定了“基本安全利益”例外,给我国留下了足够的监管空间。考虑到欧式数字贸易协定没有类似的规定,未来中欧进行数字贸易立法国际合作时应当重视数据安全领域的监管合作。