[美]狄樂達　譯者/何廣越　沈偉偉

編者按

《數(shù)據(jù)隱私法實務指南（第五版）》結(jié)合新近出臺的《歐盟通用數(shù)據(jù)保護條例》（GDPR）和《加州消費者隱私權(quán)法》（CCPA），以簡明、清晰的語言，講述跨境數(shù)據(jù)傳播法律合規(guī)問題，為讀者理解、掌握數(shù)據(jù)隱私法的核心概念和法律原理提供生動的理論分析，為跨國公司制定數(shù)據(jù)隱私合規(guī)政策提供具體操作方案。同時，為任何對數(shù)據(jù)隱私法感興趣的人，快速查詢相關話題準備好知識庫。

自2017年以來，世界各地數(shù)據(jù)隱私法發(fā)生了重大變化?！稓W盟通用數(shù)據(jù)保護條例》（ GDPR）于2018年5月25日生效，有著更為嚴格的數(shù)據(jù)最小化規(guī)則、更進一步的管理、技術和組織要求、以及高昂罰款。2018年6月，美國加利福尼亞州制定了《加州消費者隱私權(quán)法》（ CCPA），這是一部全新的、極其寬泛、極具針對性的反數(shù)據(jù)交易法案。該法案最初源于加州公民的表決，隨后引發(fā)了其他各州和聯(lián)邦層面狂熱的立法活動——緬因州和內(nèi)華達州也隨之開始執(zhí)行本州禁止出售數(shù)據(jù)的法案。

在 GDPR 引領下，2018年8月，印度頒布了一部新的數(shù)據(jù)保護法案，巴西也頒布了第一部數(shù)據(jù)保護法。同時，中國將重點放在兩方面：一方面是為維護國家安全而采取網(wǎng)絡安全監(jiān)管；另一方面是促進人工智能及其他技術創(chuàng)新、社會信用評價、互聯(lián)網(wǎng)監(jiān)控等相關措施。同時，數(shù)據(jù)保護機構(gòu)在世界各地的審計和執(zhí)法活動不斷增加。俄羅斯積極阻止企業(yè)非法留存數(shù)據(jù)，并懲戒未遵守相關數(shù)據(jù)留存規(guī)定的企業(yè)。在美國，民事案件原告的律師們基于數(shù)據(jù)隱私和安全訴求，針對企業(yè)和政府提起了大量集團訴訟。

企業(yè)必須跨越三重障礙

從一個法域向另一法域傳輸數(shù)據(jù)之前，企業(yè)必須跨越如下三重障礙：（1）遵守所在法域關于收集或以其他方式在當?shù)靥幚韨€人數(shù)據(jù)的規(guī)定；（2）有正當?shù)囊罁?jù)向另一數(shù)據(jù)控制者披露數(shù)據(jù)或者通過合同限制數(shù)據(jù)接收者僅能夠處理數(shù)據(jù)；（3）確保數(shù)據(jù)接收者采取的數(shù)據(jù)保護達到充分水平。

第一重障礙即本地合規(guī)，要求對任何數(shù)據(jù)的收集和處理活動采取保護措施。在歐洲，既包括各類形式工作（如告知數(shù)據(jù)主體、進行政府申報、指定數(shù)據(jù)保護官、準備數(shù)據(jù)安全文件等），也包括實質(zhì)措施（如最小化數(shù)據(jù)處理范圍和數(shù)據(jù)保留期限、確保數(shù)據(jù)準確和安全、準許權(quán)利人數(shù)據(jù)訪問等）。不管是否發(fā)生把數(shù)據(jù)傳輸?shù)骄惩獾暮罄m(xù)行為，歐洲企業(yè)首先必須遵守這一規(guī)定。另外，后續(xù)數(shù)據(jù)傳輸對本地合規(guī)具有影響，因為企業(yè)必須在提交給數(shù)據(jù)主體和數(shù)據(jù)保護機關的通知中說明數(shù)據(jù)的跨國轉(zhuǎn)移，并向數(shù)據(jù)保護官咨詢該事宜等。

第二重障礙即披露限制，無論是否涉及跨國問題，要求數(shù)據(jù)傳輸存在正當依據(jù)。通常來說，歐洲企業(yè)可以選用服務商即數(shù)據(jù)處理商，如薪酬服務商從事處理數(shù)據(jù)工作。一般來說，在歐洲及其他法域，對于把數(shù)據(jù)傳送給服務商的行為，企業(yè)無須特意尋找額外正當依據(jù)。但是，除非能夠依法主張正當性，否則歐洲企業(yè)通常不得把個人數(shù)據(jù)披露給數(shù)據(jù)控制者，即使數(shù)據(jù)控制者在歐洲經(jīng)濟區(qū)內(nèi)也不行。

第三重障礙即限制向歐洲經(jīng)濟區(qū)外傳輸數(shù)據(jù)，企業(yè)須確保接收數(shù)據(jù)的國家或公司在數(shù)據(jù)保護方面達到充分水平。在默認情況下，歐洲經(jīng)濟區(qū)內(nèi)的企業(yè)不得將數(shù)據(jù)傳往區(qū)外。這個障礙要求企業(yè)必須為跨國數(shù)據(jù)傳輸選用具體的合規(guī)機制。

即使企業(yè)完全遵守本地數(shù)據(jù)保護法，克服了障礙一，也滿足向歐洲經(jīng)濟區(qū)外傳輸數(shù)據(jù)的具體要求，克服了障礙三，并不意味其可以將任何個人數(shù)據(jù)披露給另一數(shù)據(jù)控制者。即便數(shù)據(jù)傳送發(fā)生在位于同一個歐洲經(jīng)濟區(qū)成員國內(nèi)的子公司和母公司之間，即使子公司由母公司全資、封閉持有，數(shù)據(jù)傳輸依然要有正當依據(jù)。因此，想要跨越數(shù)據(jù)跨國傳輸?shù)恼系K二，位于歐洲經(jīng)濟區(qū)內(nèi)的企業(yè)必須論證其信息披露的合法性，盡管這種披露一般是被禁止的。不少企業(yè)只關注障礙一和障礙三，卻忽略了障礙二。

歐盟委員會已經(jīng)判定多個國家和地區(qū)，在數(shù)據(jù)保護方面達到充分水平：安道爾、阿根廷、法羅群島、根西島、馬恩島、以色列、日本、澤西島、新西蘭、瑞士、烏拉圭和美國。歐洲經(jīng)濟區(qū)內(nèi)的企業(yè)可以向這些國家和地區(qū)自由傳輸數(shù)據(jù)，如同在歐洲經(jīng)濟區(qū)內(nèi)一樣。也就是說，在這些已經(jīng)被歐盟委員會宣告實現(xiàn)充分數(shù)據(jù)保護的國家和地區(qū)，企業(yè)僅受限于障礙一和障礙二，障礙三則不適用。

美國數(shù)據(jù)保護判定獨特

雖然歐盟委員會在2016年對美國做出了數(shù)據(jù)保護充分的判定，但該判定非常獨特，其認為美國實現(xiàn)數(shù)據(jù)充分保護的范圍有限且附有條件。該判定認為只有加入了“歐盟——美國隱私盾”項目（the EU U.S.privacy shield program ）且承諾遵守該隱私盾原則的美國企業(yè)才具備充分保護條件。

“歐盟——美國隱私盾”項目是為了協(xié)調(diào)歐洲與美國這兩個法域在隱私法上存在的巨大差異，由歐盟委員會與美國商務部基于歐洲數(shù)據(jù)保護法而制定。大多數(shù)美國企業(yè)（僅在美國聯(lián)邦貿(mào)易委員會廣闊監(jiān)管范圍之外的企業(yè)除外）均可加入該項目。想要加入該項目的企業(yè)，可以通過網(wǎng)絡向美國商務部承諾遵守隱私盾原則，且已經(jīng)進行自我評估并將數(shù)據(jù)保護措施記錄存檔。他們必須承諾與歐洲數(shù)據(jù)保護機關合作，保護從歐洲經(jīng)濟區(qū)傳往美國的員工數(shù)據(jù)，并且建立糾紛解決機制以保護其他數(shù)據(jù)。美國商務部會審核申請企業(yè)通過網(wǎng)絡提交的加入申請和隱私聲明，還可以要求企業(yè)提交關于數(shù)據(jù)再轉(zhuǎn)移協(xié)議的信息。如果美國企業(yè)違反隱私盾原則或其隱私聲明，那么強大的美國聯(lián)邦貿(mào)易委員會可以采取強制執(zhí)行措施，美國商務部可以將企業(yè)開除出隱私盾項目，歐洲數(shù)據(jù)保護機關可以要求企業(yè)履行合作義務，民事原告還可以把企業(yè)告到仲裁庭或法院。因此，“歐盟——美國隱私盾”項目確保按照歐洲數(shù)據(jù)保護法設定的法律要求實施到美國領土內(nèi)的美國企業(yè)，由美國行政機關、美國法院和歐洲數(shù)據(jù)保護機關確保執(zhí)行問題。

在“歐盟——美國隱私盾”項目實施之前，美國實行的是安全港項目（the U.S.safe harbor program）。美國安全港項目由美國商務部從2000年起開始實施并由聯(lián)邦貿(mào)易委員會執(zhí)法，歷經(jīng)15年。2015年10月6日，主要出于對美國政府監(jiān)控的擔憂，歐盟法院撤銷了歐盟委員會對美國安全港項目數(shù)據(jù)保護充分的判定。此前，歐盟委員會和美國商務部已經(jīng)著手修訂此項目，并在敲定雙方隱私盾項目協(xié)議時考慮了該法院判決。

隱私盾原則更詳盡嚴格

從篇幅上看，隱私盾原則顯然比安全港項目更加詳盡嚴格：2000年安全港原則的篇幅只有兩頁半，歐盟委員會在歐盟官方公告中撰寫的充分保護判定有40頁；到了2016年，隱私盾原則的篇幅為19頁，相應的充分保護判定長達112頁。從安全港到隱私盾，篇幅增長與歐盟數(shù)據(jù)保護法詳盡化同步：1995年《歐盟數(shù)據(jù)保護指令》的篇幅為19頁，而2016年的歐盟《通用數(shù)據(jù)保護條例》長達88頁。

從內(nèi)容上做具體的比較，相比于安全港項目，隱私盾項目要求每一年對隱私盾原則進行評估和更新，并設置一系列增強或新設的隱私保護措施，如要求更詳盡的隱私通知（要求列明責任、訪問權(quán)和糾紛解決）、更嚴格的再傳輸合同（且規(guī)定美國商務部對這些合同有查詢權(quán)）、數(shù)據(jù)最小化、數(shù)據(jù)保留、對個人無成本的獨立救濟機制，以及對不合規(guī)行為的公示規(guī)定。自愿退出隱私盾項目的企業(yè)必須退還（ return ）或刪除之前收集的個人數(shù)據(jù)，否則就要繼續(xù)執(zhí)行隱私盾原則，并每年重新承諾合規(guī)義務。如果美國商務部把某企業(yè)開除出隱私盾項目，該企業(yè)必須刪除或退還之前收集的個人數(shù)據(jù)。

此外，美國國家情報主任在隱私盾原則附帶的保證書中向歐盟作出了具體而有力的承諾。此前，愛德華·斯諾登于2013年揭露的美國政府大規(guī)模監(jiān)控，引發(fā)了美國國內(nèi)和國際的關切，導致美國總統(tǒng)重新主導國家安全局監(jiān)控項目。美國國會也通過《司法救濟法》（Judicial Redress Act ）和《美國自由法》（USA Freedom? Act，即廢止臭名昭著的美國愛國者法的法案）改善了美國國內(nèi)隱私保護問題。

就在歐盟委員會于2016年7月批準歐盟—美國隱私盾項目之后，該隱私盾項目立即遭到歐盟政客、活動家和數(shù)據(jù)保護機關的批評，批評者們還公布了挑戰(zhàn)該項目的計劃。但是，歐盟委員會分別在2017年和2018年的第一次和第二次年度審查中得出結(jié)論：美國繼續(xù)確保對根據(jù)隱私盾項目協(xié)議傳輸?shù)膫€人數(shù)據(jù)提供適當保護。只要歐盟委員會作出關于美國對數(shù)據(jù)保護是充分的判定，沒有被撤銷或被廢除，歐洲經(jīng)濟區(qū)內(nèi)企業(yè)就可以將個人數(shù)據(jù)傳輸給已加入“歐盟——美國隱私盾”項目的美國企業(yè)，如同這些企業(yè)坐落于歐洲經(jīng)濟區(qū)內(nèi)或坐落于經(jīng)歐盟委員會普遍認定數(shù)據(jù)保護充分的法域一樣。位于歐洲經(jīng)濟區(qū)內(nèi)的企業(yè)，無須處理障礙三即可合法地將個人數(shù)據(jù)向加入“歐盟——美國隱私盾”項目的美國企業(yè)傳輸。

［本文節(jié)選自《數(shù)據(jù)隱私法實務指南（第五版）》。作者狄樂達先生，從事國際數(shù)據(jù)隱私、商業(yè)和知識產(chǎn)權(quán)法的實踐和教學工作二十余年，已發(fā)表150多篇論文并出版5本專著；何廣越系閱文集團法務部負責人，曾譯有《法律人的明天會怎樣？——法律職業(yè)的未來》；沈偉偉系中國政法大學法學院副教授，曾譯有《代碼2.0——網(wǎng)絡空間中的法律》］

（責編王茜）