安全港欠安全,隐私盾泄隐私: 对欧盟法院裁定推翻隐私盾安排的观察与思考
近期微信和抖音在美国经历波折,牵动中美两地千万用户的神经。美国以维护国家安全为由发布总统行政令,欲将两款应用程序从美国下架并禁止在美的其它交易。此后峰回路转,在行政令即将生效的前一刻,位于加州和华盛顿特区的两家联邦地方法院分别颁发临时禁令(preliminary injunctions),宣布临时冻结行政令,由此微信和抖音目前在美使用照常。
微信和抖音因“国家安全”历险之同期,五千多家美国企业恰正陷入另一场牵涉”国家安全“的危机:今年7月16日,欧盟法院发出裁定书,宣告欧盟与美国双方于2016年达成的隐私盾(Privacy Shield)数据传输安排无效[1][2]。法院推翻隐私盾的理由在于,美国政府执行外国人监控计划时虽以维护国家安全为目的,但是以公权力访问个人信息超出了“必要”的限度,手段和目标间比例失当,隐私盾没有向欧盟公民提供充分的个人信息保护。反观加州法院之所以叫停总统行政令,其考量的出发点亦在于,公权力不应以非必要和非恰当的手段来实现国家安全之目的。可见,欧盟与美国的法官对待公权力持相通的价值态度和逻辑判断。
奥地利青年瞄准Facebook,欧盟法院两度终结跨大西洋数据传输安排
隐私盾是欧盟与美国双方做出的一项开放式安排,美国企业可以自我认证(self-certification)的方式,承诺按照隐私盾的要求来保护欧盟公民的个人信息。自我认证后,在册企业得到的便利是可以将个人信息从欧盟传输到美国,对数据进行下一步的处理或存储。5300多家隐私盾在册企业绝大多数是美国的中小企业。隐私盾被推翻,这些企业跨境传输数据的法律基础遭釜底抽薪;并且替代方案何在,尚不得而知。美国商务部长罗斯表示,欧盟法院的裁定给欧美之间7.1万亿美元体量的经贸往来带来负面影响,同时对克服新冠疫情复苏经济的前景是一个重大打击。
欧盟法院推翻隐私盾的裁定在官方新闻中亦称为“Schrems 二号”裁定,得名于案件一方当事个人Max Schrems,爱尔兰数据保护委员会 (“爱尔兰数据委”)是案件原告,Facebook及Schrems为共同被告。有二号裁定自然已有一号裁定在先。“一号裁定” 由欧盟法院于2015年10月6日做出的关于Schrems起诉爱尔兰数据委的诉讼案件,以欧盟法院宣告欧美双方之间2000年达成的安全港(Safe Harbor)数据传输安排无效[3][4]。欧盟法院前后两项Schrems裁定,相互关联,皆与Schrems 要求禁止Facebook向美国传输其个人数据有关。因Facebook欧洲公司在爱尔兰注册,Schrems 因此向爱尔兰数据委提出投诉,后因诉求不成功而将爱尔兰数据委告上爱尔兰高院法庭。
一破安全港,二破隐私盾。两次将欧美企业间数据跨境传输推到悬崖边的Schrems是奥地利人,法学博士。2011年Schrems曾作为法学交换生在美国学习,期间开始研究隐私保护与政府情报监控两者关系的法律课题。Schrems以用户身份向Facebook索要他的个人信息文件包,竟有1200页之多,其中包括他的联系方式、曾经到过的地点位置记录、参加过的活动,乃至一些Schrems认为已经自行删除的信息。吃惊之余,Schrems从此开始了维权之路。尤其是2013年斯诺登曝光美国“棱镜门”监听情报计划后,Schrems 愈发表示对美国个人信息保护制度的不安,强烈反对将数据传输到美国。如今,Schrems已然是全球最出名的数据维权激进人士。除锁定Facebook外,其维权准星还指向Google等其它在欧盟有运营的美国大公司。
观察与思考一:隐私盾的仓促诞生与先天不足
安全港被废止的第五个月,隐私盾呱呱坠地。与隐私盾的成员约束机制相同,安全港也是一个自我认证安排,被推翻时约有5000家美国企业在册。急于填补安全港被终结带来的真空状态,美欧双方赶紧密集磋商,迅速推出了隐私盾。应该说隐私盾协议文本是颇下了一番功夫的,洋洋洒洒近130页,远超安全港的文本篇幅。在“Schrems 一号”裁定中,欧盟法院认为安全港不阻止美国政府大规模访问欧盟公民信息。为补救安全港的缺陷,美国商务部、国务院、联邦贸易委员会、交通部,国家情报办公室、司法部等部门的高官在隐私盾中纷纷承诺,美国政府以国家安全和公共利益之目的执行监视计划时,将充分保护欧盟公民的个人信息。隐私盾还创设申诉专员 (Ombudsperson)制度,置于美国国务院下,由副国务卿担任,负责处理欧盟公民关于数据遭美国情报部门滥权访问的投诉。
隐私盾以及此前的安全港在达成之初是被广泛叫好的。欧盟委员会曾分别发布审查决定,认为两项数据传输双边安排为欧盟公民的数据提供了充分的保护[5][6]。欧盟认为隐私盾提供“充分性保护”的决定更有110多页之巨。然而,司法与行政独立。对安全港以及隐私盾的行政加持,并不是司法审查程序中的免死金牌。
在“Schrems 二号”裁定中,欧盟法院从《欧盟基本权利宪章》和《通用数据保护条例》(GDPR)出发,指出美国关于安全监控的法律和政令对情报部门访问外国公民信息的行为不加限制,与欧盟法律规定的 “必要和适当”原则大相径庭。法院进一步指出,尽管隐私盾有申诉专员机制,但申诉专员的权力有限,并且由于其隶属于国务院而缺乏独立地位,因此仍然不构成司法救济通道。凡此种种缺陷,隐私盾被裁定无效。
隐私盾诞生时正逢欧盟出台“史上最严个人信息保护法” GDPR的前夕。尽管获得了欧盟的“充分性保护“认定,彼时已有欧盟法律人士预测隐私盾难以通过GDPR的推敲。居然一语成谶。
欧盟法院认为,隐私盾并没有弥补安全港的缺陷,仍然容许美国的国家安全和公共利益凌驾于欧盟公民的个人信息权利之上,开展情报监视活动未加以节制,与《欧盟基本权利宪章》及GDPR的要求相背。换言之,美国立法缺少对公权力在维护国家安全时踏入个体权利领域的制约,隐私盾因此先天不足;洋洋洒洒的篇幅以及政府高官的各种承诺,并不能突破国安立法之预设。
Schrems发文预测,将不会再有新版本的欧美数据传输协议了。退一步说,如果欧美双方仍追求达成新的跨境数据传输协议,也必须吸取两度被无效的教训,美国需要对国安情报立法做结构调整,在此基础上,再议双边安排。
观察与思考二:GDPR数据跨境传输三路径及其对公权力的警惕
GDPR提供了个人信息从欧盟传输出境的三条路径:分别是“充分性保护(adequacy decision)”路径,“适当保障(appropriate safeguards)”路径,和“特定情况下标准降低 (derogations for specific situations)”路径[7]。隐私盾应用的恰是“充分性保护“路径。
当欧盟认为某国或地区保护个人信息的程度与欧盟相当,该国或地区就满足了欧盟的 “充分性保护“要求,据此可以接收传输自欧盟的个人信息。目前,仅有12个国家和地区通过此项认定,包括阿根廷、以色列、日本、新西兰、加拿大(仅限于商业组织)、瑞士和乌拉圭等,可见 “充分性保护”的门槛颇高。过去欧盟一度认定在册隐私盾的美国企业也满足“充分性保护”的要求。如今,这条路径已经对美国企业关闭。
”适当保障”是欧盟企业与外国企业间开展跨境数据传输的第二条可行路径。GDPR列举了“适当保障“的几种具体类型,其中最常见的是企业双方订立数据传输协议。GDPR要求双方间的协议必须包含欧盟委员会制定的标准条款 (standard contractual clauses);此外双方还应确保欧盟公民在数据接收地能够获得维权司法救济。
Facebook欧洲公司将用户信息传输到其美国关联公司进行处理和存储,主要依托关联双方的协议。在 “Schrems 二号”裁定中,法院对采纳协议方式本身并未予推翻,但是明确了“适当保障”路径下的门槛要求。
具体而言,除了达成协议,双方还要评估数据接收地政府部门会否访问到数据,以及接收地的法律制度。若数据接收方不能提供与GDPR程度相当的”适当保障”,就有义务告知数据输出方。后者有法律义务停止数据传输。若发现双方不作为,欧盟各国的数据保护部门有权介入调查,及至以行政命令叫停传输,协议双方将面临处罚。可见,欧盟法院强调”适当保障“不该只是一纸协议,而应切实实行。需特别留意的是,裁定所要求的“适当保障”及叫停义务广泛适用于各个外国数据接收地,不仅仅指美国;欧盟输出数据最后到达的各个国家的保护制度皆成为协议双方评估的客体。
在 “充分性保护”和“适当保障”都不被满足的情况下,GDPR还提供了第三条传输路径,即“特定情况下标准降低”的路径。GDPR列举了若干“特定情况”,如数据传输乃履行合同之所需,或者数据传输是为了法律诉求的目的,再或是为了实现公共利益而必需传输数据。由于采取第三条路径的保护标准低于欧盟水平,还需要特别取得个人信息主体的知情同意。
缘起于Schrems 投诉Facebook案件而发生的欧盟法院两项裁定,其贯穿的思想是公权力节制。即使公权力以国家安全和公共利益之需而访问个人信息,仍应持节制态度和手段,恪守访问必要性和恰当性的原则。面对公权力,个体权利并不是可有可无,可以被弃之一旁的。欧盟法院以两项裁定,对网络数字时代人权之地位问题做了最新诠释。
观察与思考三:隐私盾被无效对于我国在数字化进程中提升个人信息保护的启示
隐私盾一案透视出欧盟对于美国个人信息保护制度的不信任。欧盟考察外国的“充分性保护”程度,建立白名单,颇有数据保护“全球观察员”的架势。当然,个人信息保护制度的路径及进程选择乃一国之主权,不受他人指示。在此前提下,考虑到GDPR在全球的广泛影响力,而个人信息等数据又被奉为数字经济时代的“石油”,我们有必要加深理解欧盟的数据保护动向,在此基础上完善我国的数据保护战略和法治体系,这也是提升我国数字化国力和全球地位的有机组成部分。
在抗击新冠疫情的压力下,全国各地加大了对个人及信息的监控。例如,各地普遍建立个人“健康码”制度,以互联网络和定位系统追踪及记录个人的健康状态、出行状态等。疫情是一场公共健康危机,公众可以理解加强行政管理确有其必要。但是,其间亦有杂音泛起。例如,苏州模仿“健康码”模式 推出了”文明码“,计划建立市民的个人文明积分,为个人文明程度进行网上画像。积分构成中,发生交通违法行为的将扣分,参加志愿者公益活动将加分。苏州市政府称,文明积分将挂钩市民在工作、生活等方面的便利程度。苏州市政府建设”文明码“的消息传来,一些知名媒体竞相赞美,有的更称其为“城市文明的助推器”。好在理智的思考多于阿谀奉承之声,批评反对的意见很快盖过赞美,”文明码“最终草草收场。
以必要性和适当性原则来检视”文明码“,不禁有若干反问:难道推动城市文明非得依靠积分制度?个人交通违规不好,但是交规严苛,违规也有主观故意和疏忽之分,标签化为“不文明”是否恰当?随着疫情的逐步好转,应急之策的”健康码“监控当被淡化使用乃至取消,而”文明码“之类的变形更不该有其萌生的机会。
人脸识别技术的泛滥化使用是我国个人信息保护的另一重困境。笔者曾经撰文评论游客诉杭州动物园关于刷脸入园一案 (见《人脸之辩 -- 从近期中外人脸识别重大事件谈数字时代对个人信息及权益的尊重和保护》)。近期,清华大学法学教授劳东燕反对其居住小区设置人脸识别门禁见诸报端。收到投诉信后,街道和劳教授开展了一场会谈,其中街道介绍人脸识别的种种好处,教授则历数各项风险,认为将人脸识别技术应用于小区门禁实无必要。尽管街道和小区物业方看似并没有被说服,门禁改造倒是没有下文了。
劳教授向媒体揶揄,她的投诉只是“稍微挣扎了一下“。她接着指出,鉴于公权力部门大力支持人脸识别技术,个人维权的代价甚大,甚至会严重干扰个人的正常生活。看来,Schrems 式的强力维权,大概只有在欧盟才会发生。关于”Schrems 二号“裁定有一个背景,爱尔兰数据委特意以原告身份在爱尔兰高院提起对Facebook和Schrems 之诉,为的是通过爱尔兰高院向欧盟法院寻求相关GDPR条款的解释。客观上来看,爱尔兰数据委等于修桥铺路,为Schrems维权创设了程序通道。这大概正印证了欧盟法院所强调的,司法救济的可获得性是检验保护程度充分与否的试金石之一。
从苏州市政府到劳教授居住地的街道,再到杭州动物园,众口一词都在强调 “文明码“ 和 ”人脸识别“之类的新科技的价值,却共同回避了当这些监控应用遍地开花并被公权力加持的时候,公民个体在付出的权利损害代价。欧盟法院推翻隐私盾的裁定表明了欧盟的立场和价值取向,即在任何情况下公民权利是重要的,不得被凌驾或偏废。欧盟于今年初发表的《人工智能白皮书》也清楚地表达了一致性的价值观,强调开展“人脸识别“等新科技必须建立在合乎伦理道德和赢得信任的基础上[8]。
受疫情关系和近期国际关系的影响,我国政府决定以国内大循环为主体战略,辅以国内国际双循环。后者对于数字经济意味着信息数据仍需跨境传输和交流。为此目的,我国与欧盟之间在个人权利和信息保护领域应当寻求更多共同语言,包括公权力介入限制。寰宇来看,人工智能呈现美、中、欧三足鼎立之态。提升保护水准,将会在国际竞争中增强数字化软实力,多争取些主动局面。从国内大循环角度来看,数字经济已经占比我国GDP 36%之多[9]。而”人脸识别“在国内的泛滥使用和屡屡曝光的个人信息遭“裸奔”状态,积聚着公众对于数字科技的不信任。这一局面在积重难返之前,必须扭转。据报载,10月中旬将召开的人大常委会会议讨论将涉及《个人信息保护法》的立法进程和草案内容。新法对于公权力限制和新技术约束会带来哪些新气象,且拭目以待。
观察与思考四:数据跨境传输对于公司法务的挑战
笔者从事法律工作20多年,今年遇到的挑战可谓最大。疫情和中美关系紧张相叠加,产生一系列棘手的法律问题。当然,以合规风控、为公司保驾护航为己任的公司法务,仍然要砥砺前行,继续实践“业务伙伴和卫士 (business partner and guardian)” 的职业使命。实践使命的第一步是理解法律环境的动态,包括国际和国内双层面。
国际层面上,这一年的变化令人咋舌。2019年,各国政要还在达沃斯峰会、G20大阪峰会等国际舞台上畅想国际数字贸易规则,包括数据流动问题。进入2020年,风云变幻,继WTO上诉法院于年前停摆,今年的WTO部长级会议也因疫情而被取消。强弩之末下,长期来奔走呼吁贸易规则多边谈判的WTO总干事阿泽维多辞职,提前离任。数字贸易规则的多边谈判前景已然黯淡,世界格局进一步呈现小团体化,单边化态势。
隐私盾被推翻,发出一个信号:基于对外国保护制度的不信任,欧盟将收紧个人信息数据出境。换言之,这可能是新形式的数据本地化后果。GDPR是一部牙齿锋利的法律。其利齿表现,首先在于长臂管辖的效力。世界各地的企业只要处理了欧盟公民信息,其运营无论发生在欧盟境内或境外,悉数受制于GDPR的要求。GDPR有利齿的第二个表现在于其罚则。企业违规跨境转移欧盟公民数据的,罚款上限将可达企业上年度全球营业收入的4% 或2000万欧元,两者取高。在“Schrems 二号”裁定中,欧盟法院已经指示欧盟委员会修改“标准条款“,预计新条款将强化数据传输协议双方的”适当保障“责任,一旦认为数据接收地保护不力的,当立即停止传输。运营于欧盟的中资企业,以及在业务过程需要接收欧盟公民信息的中国企业,都应密切关注欧盟就”标准条款“和企业责任将出具的进一步指引和案例。
在国内层面,《个人信息保护法》出台时间表及定稿条款具体如何仍不得知。但是根据这几年陆续发布的规则和标准,包括生效文件和征求意见稿,数据出境的框架脉络大致是成形的。大致要求是,企业开展个人信息数据出境传输的,需开展信息安全自评估 (“出境自评估”),评估内容涵及数据接收方的安全保护能力及当地的政治法律环境;出境数据量若达到国家规定限度的,还将触发主管部门评估。
表面文字上看,我国和欧盟都要求对数据接收地的法律环境加以评估。具体做比较,欧盟措辞明显强硬,法律后果明确。若接收地法律环境并认为不能提供充分保护的,应立即停止传输数据。反观我国的出境评估要求,数据接收地的法律环境被作为风险评估若干因素中的一项。换言之,如果接收地的法律环境差强人意,基于字面来理解评估规则,此种情况并不直接导致数据出境不能,而是仍需综合考量风险。究竟我国的出境自评估牙齿锋利程度如何,还有待出现具体执法案例时来看。
结语
“Schrems二号”裁定呈现了欧盟与美国之间关于个人权利、国家安全以及个人信息属性等方面的价值观差异与博弈。博弈仍在进行,场面颇为混乱。爱尔兰数据委在经欧盟法院明确其执法权后,已经通知Facebook停止将欧盟公民数据传输至美国。与此同时,Schrems及由他创立的维权组织NOYB(“None of Your Business” 的简称,意即“我的数据与你的生意无关”)在法院裁定发出后,已经连珠炮似地针对Facebook、Google 等美国公司提起100多个侵权投诉案件。另一方面,隐私盾被无效带来新的法治真空,5300多家美国企业“躺着中枪“,跨大西洋数字贸易和数据业务下一步如何开展,悬疑未果。
按照蝴蝶效应来论,若说美欧两大经济体有关数据传输的博弈与中国无干,当然太过简单和不现实。但究竟将如何影响,则需继续观察加琢磨。无论如何,作为网络大国且立志朝向网络强国方向进发的我国而言,关注国际层面的立法趋势和良好实践,提升我国对个人信息的行政和司法保护水准,促进公众对于数字科技的信任,这些都应该是题中之义,也是法治国家的标志。国民的权利自信度提高了,国家在国际舞台的腰板也就更硬了。正所谓 “你若盛开,清风自来”。
[5] 欧盟委员会关于隐私盾安排提供充分性保护的决定2016/1250
[6] 欧盟委员会关于安全港安排提供充分性保护的决定2000/520
[7] GDPR 44-50条
[8] 欧盟《人工智能白皮书》