智道｜“隐私盾”失效余波未了,或折射欧盟“敏实力”

注明：本文首发于《法治周末》【智道】栏目，经作者本人及《法治周末》授权转载。

7月7日，欧盟委员会总部前的欧盟旗帜迎风飘扬。新华社

隐私盾决议的裁决，一方面显示出，欧盟法院就相关美国法律对个人基本权利的保护程度存有疑问; 另一方面折射出，欧盟各国监管当局适用GDPR的严格程度未达欧盟法院的预期。

? 未经授权 不得转载

文丨申军

“智道”栏目主持人丨於兴中

责任编辑丨尹丽

2020年7月16日，欧盟法院大审判庭在Schrems II一案的裁决中，宣布欧盟委员会第2016/1250号执行决议无效。该决议即数据保护盾的适足性决议，由欧盟委员会于2016年7月12日通过，关乎欧盟与美国之间个人性质数据的传输机制，旨在确保相关保护层级实质等同于欧盟法的要求。其替代了欧盟法院在Schrems I案中裁定无效的美国安全港决议。

需要阐明的是，上述数据保护盾俗称“隐私盾”，是指美国企业的一种自我认证机制。其由美国商务部管理，适用于任何形式的、由一个欧盟实体传输到美国的个人数据，尤其是商业、健康或人力资源等方面的数据，条件是位于美国的数据接收方加入了该机制。为了能在“隐私盾”上自我验证，相关美国企业须先保证遵守美国商务部规定的隐私保护原则(包括框架原则和补充原则)，并服从于该国联邦贸易委员会和运输部在相关原则适用方面的执行力。

“隐私盾”接棒“安全港”

在前述Schrems I的案件中，作为某社交平台的使用者，一位奥地利公民质疑该平台的爱尔兰公司将其个人数据传输到后者位于美国的服务器上，认为美国法律未能对托管于该国的欧盟个人数据给予充分的法律保护，因此要求爱尔兰数据保护当局禁止相关数据的传输。鉴于该平台的跨境数据传输依照了欧盟委员会第2000/520号美国安全港决议，爱尔兰高等法院请求欧盟法院就相关问题作出预备性裁决。2015年10月，欧盟法院裁定美国安全港决议无效。

值得补充的是，美国安全港决议于2000年7月26日由欧盟委员会通过，后者藉此认定美国向被传输的欧盟个人数据提供了适足层级的保护。前述保护应被理解为，基于其国内法和国际承诺，欧盟境外国家须在事实上确保公民基本权利的保护层级实质等同于欧盟境内的保护层级。

根据欧盟法院在Schrems I对安全港决议的裁决，以及后续通过的欧盟委员会隐私盾决议，爱尔兰数据保护当局建议涉案的奥地利原告重新撰写诉状。然而后者在新诉状中依然坚称，美国法律对传输到该国的欧盟个人数据的保护程度不够，因而要求在未来中止或禁止其个人数据从欧盟到美国的传输。由于此后该平台爱尔兰公司基于欧盟委员会第2010/87号决议(又称标准合同条款决议) 进行数据跨境传输，爱尔兰高等法院请求针对“隐私盾”和标准合同条款决议的有效性给予预备性裁决。

隐私盾决议缘何失效

在由此导致的Schrems II案中，欧盟法院注意到隐私盾决议的立场是: 美国国家安全、公共利益和执法具有优先性，因此该国政府干预来自欧盟的数据主体的基本权利被予容忍。这些基本权利见诸欧盟基本权利宪章第7条和第8条，包括尊重私人及家庭生活、个人性质数据保护。

该法院认识到，美国国内法的要求，特别是某些允许美国公共当局为了国家安全而获取欧盟个人数据的方案(比如棱镜计划)，导致了对个人数据保护的诸多限制，而这些限制未以实质等同于欧盟法的要求的方式予以界定。另外，相关美国法也未赋予所涉数据主体向法院提起诉讼的权利。鉴于欧盟法院认为美国法没有提供与欧盟法实质等同的保护，其宣布欧盟委员会的隐私盾决议无效。

反之，欧盟法院对于欧盟委员会的标准合同条款决议予以首肯。个中理由是，基于决议中标准合同条款的合约性质，其对欧盟境外的数据接收国的当局不具约束力，所以该决议的有效性不受质疑。该法院补充说，这项由欧盟通用数据保护规章(GDPR) 第46条规定的合约机制，其有效性取决于能否确保所提供的保护与GDPR在欧盟境内提供的保护实质等同。法院还指出，如果这些标准合同条款在欧盟境外的国家不被或不可能履行，并且不可能被其他手段确保履行，依照它们进行的个人数据传输将被各成员国的监管当局中止或禁止。

7月7日，一名戴口罩的女子走过欧盟委员会总部大楼。新华社

不容忽略的是，在欧盟法院宣布隐私盾决议无效前的2020年6月24日，欧盟委员会发布了GDPR适用两周年的通报，其中预测到7月16日Schrmes II的案件裁决可能会对隐私盾决议造成影响，声称会就此另行报告。由于隐私盾决议已经无效，欧盟委员会或将继续寻求该决议的替代方案。不过需要留意的是，隐私盾决议是美国安全港决议的逻辑延续，后者的绝大多数条款均被保留，因此欧盟委员会未来讨论通过的新决议，应该尽量不落窠臼，以期可以成为相对稳定及经久的方案。

另外，欧盟委员会在该通报中也表示，要推广数据保护领域的全球融合及国际合作，并意图继续与可信赖的合作伙伴进行数据分享，同时反对(外国) 公共当局对个人数据的不合比例的获取，决意谋求解决数据保护主义的难题。

而在Schrmes II案的法槌落定后的2020年7月21日，齐聚布鲁塞尔峰会的欧盟各国领导人达成了7500亿欧元的2020欧洲复兴计划。相应的融资方案之一，就是拟向美国几大数字经济巨头征收数字服务税。相关辩论计划将在2021年展开，具体税收最迟将在2023年推行。

鉴于该项欧盟数字税的征收需要27个成员国的一致同意，相关方案的出炉无疑显示了各国在捍卫欧盟财税主权的合力协同。可以思考的是，欧盟法院的上述裁决在未来几年内是否会对相关数据大鳄在欧盟的营收造成冲击？将对数字税的征收产生哪些影响？

裁决影响余波未了

无论如何，欧盟法院对隐私盾决议的无效裁决，无疑会对大西洋两岸的相关行业造成影响。首先，对于欧盟境内的数据出口方(数据处理负责人)来说，由于该判决并未规定一段宽限期，继续以隐私盾机制为依据的出口变为非法。因此，如果不是甘冒被罚的风险而继续为之，它们的这部分业务就会立即陷入停顿状态。

其次，对于美国的数据进口方(数据处理分包人)来说，该判决使得“隐私盾”治下的5千余家美国企业不再能够接收欧盟个人数据，相关数据处理业务恐将面临无米下锅的窘境。

最后，对于使用标准合同条款的美国数字巨头来说，由于所涉美国法律(外国情报监控法和名为美国情报活动的第12333号行政命令)被欧盟法院认为未能提供与GDPR实质等同的法律保护，即便这些企业与欧盟数据出口方依照要求对传输的情势进行评估，并考虑采取必要的补充性措施，适当的法律保障或仍将不能得以确保，此种传输机制或会实质失灵。

可以推测的是，如果欧盟向境外的数据出口局面不能及时得以改观，那么该领域的诸多欧盟中小企业恐将难以为继。反之，这可能也会由此促生一批欧盟本土的数据处理初创企业，推动相关行业的发展壮大。

对于设立在美国的数字企业而言，从中长期的角度出发，择时将相关业务迁至欧盟，以在地履行GDPR的诸项合规义务，也不失为一种可资权衡的选项。对于美国以外的欧盟境外企业来说，如果其看好欧盟巨大的数据资源及市场，来此创建规模较大的数据处理中心，直至在相关领域和美国企业分一杯羹，也并非不可能的任务。

而对欧盟当局而言，可能最为乐见的一种情况是：由于该裁决所导致的欧盟与美国之间个人数据传输的受阻，美国或会考虑改进其现有的数据保护法律法规，以在某种程度上向GDPR看齐，给跨境传输的欧盟个人数据提供基本等同于欧盟法所要求的保护，以此保障用于商业用途的个人数据流通无阻，从而促进欧盟-美国贸易运作的顺畅。倘若这种假设未来成真，GDPR的国际化拓展无疑将更进一步。事实上，欧盟当局毫不讳言，GDPR今后会是国际层级的数据保护的参照点，会激发其他国家对于引进个人隐私保护现代规则的思考。

不难想见的是，欧盟的最终愿景或是尽可能地向全球各地输出GDPR的立法思维、模式乃至具体规则，以此加强在数据保护领域的法律话语权，从而加大其在地缘政治舞台上的份量。如果确实存在这种依托数据立法的手段输出规则、辅以主权数字货币发行而展现的实力，那么笔者将之称为“敏实力”(Agile power)。

总而言之，隐私盾决议的裁决，一方面显示出，欧盟法院就相关美国法律对个人基本权利的保护程度存有疑问; 另一方面折射出，欧盟各国监管当局适用GDPR的严格程度未达欧盟法院的预期。在该项裁决影响依然余波荡漾之时，欧盟与美国之外的决策者们亦可藉此思考，在数据时代的全球背景之下，如何确保各国各地区的数据保护法既能保障数据流通，又能保护个人权利？

（作者系法国执业律师、法学博士）

视觉编辑 | 马蓉蓉 王硕

本文来源：链世纪财经
原文标题：智道｜“隐私盾”失效余波未了,或折射欧盟“敏实力”

—-

编译者/作者：链世纪财经

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。