歐盟數(shù)據(jù)治理中的“一站式”監(jiān)管:運(yùn)行機(jī)制、實(shí)施困境及啟示

陳 統(tǒng)

(南開(kāi)大學(xué) 法學(xué)院,天津 300350)

一、引 言

網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展為空前規(guī)模的數(shù)據(jù)交換和個(gè)人資料共享創(chuàng)造了條件,但這與保護(hù)個(gè)人隱私的目標(biāo)背道而馳。歐盟意識(shí)到網(wǎng)絡(luò)對(duì)隱私權(quán)的沖擊需要與時(shí)俱進(jìn)的保護(hù)措施,于1995年通過(guò)《歐洲數(shù)據(jù)保護(hù)指令》(European Data Protection Directive,以下簡(jiǎn)稱“95指令”),建立了最低的數(shù)據(jù)隱私和安全標(biāo)準(zhǔn),(1)Peter Hustinx.EU Data Protection Law: The Review of Directive 95/46/EC and the General Data Protection Regulation.AtMarise Cremona(eds.),New Technologies and EU Law[M].New York:Oxford University Press, 2017:148-151.試圖解決歐盟成員國(guó)在個(gè)人數(shù)據(jù)保護(hù)領(lǐng)域標(biāo)準(zhǔn)“碎片化”的問(wèn)題,但由于各國(guó)在實(shí)體法的規(guī)制力和程序法的執(zhí)行力方面存在巨大的“監(jiān)管鴻溝”,導(dǎo)致“95指令”成為一項(xiàng)“官僚主義”法規(guī)。(2)Woojeong Jane,Abraham Newman.Enforcing European Privacy Regulations from Below: Transnational Fire Alarms and the General Data Protection Regulation[J].Journal of Common Market Studies,2022,60(2).為克服“95指令”存在的弊端,歐盟于2016年通過(guò)《一般數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation,以下簡(jiǎn)稱GDPR),作為融合了國(guó)際政治博弈、產(chǎn)業(yè)經(jīng)濟(jì)競(jìng)爭(zhēng)以及社會(huì)文化擴(kuò)張等諸多元素的復(fù)雜綜合體,GDPR構(gòu)建了現(xiàn)代化的數(shù)據(jù)治理規(guī)范機(jī)制,為數(shù)據(jù)處理活動(dòng)設(shè)定寬泛的地域管轄范圍,其域外效力被帶到最高水平;(3)Dulce Lopes. GDPR - Main International Implications[J].European Journal of Privacy Law &Technologies,2020.數(shù)據(jù)保護(hù)問(wèn)題被統(tǒng)攝于歐盟“數(shù)字單一市場(chǎng)”的建設(shè)進(jìn)程,與其他元素共同服務(wù)于歐盟在全球數(shù)字經(jīng)濟(jì)中謀求領(lǐng)先地位的總體布局。

為確保數(shù)據(jù)保護(hù)規(guī)則在歐盟成員國(guó)境內(nèi)外的同質(zhì)化適用,GDPR引入“一站式”監(jiān)管機(jī)制(One-Stop-Shop Mechanism,以下簡(jiǎn)稱OSS機(jī)制),適用于跨國(guó)企業(yè)在歐盟多個(gè)成員國(guó)均開(kāi)設(shè)分公司且涉及數(shù)據(jù)跨境業(yè)務(wù)的情形,此時(shí)由領(lǐng)導(dǎo)性監(jiān)管機(jī)構(gòu)負(fù)責(zé)對(duì)歐盟境內(nèi)該企業(yè)的數(shù)據(jù)處理活動(dòng)進(jìn)行監(jiān)查執(zhí)法。OSS機(jī)制突出成員國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)間的合作,通過(guò)擴(kuò)張傳統(tǒng)的屬地管轄原則,在域內(nèi)構(gòu)建行政執(zhí)法管轄的協(xié)調(diào)機(jī)制。然而自O(shè)SS機(jī)制實(shí)施五年以來(lái),在實(shí)踐運(yùn)行中暴露了很多問(wèn)題:如國(guó)家監(jiān)管機(jī)構(gòu)之間的合作,成員國(guó)對(duì)GDPR的解釋和執(zhí)行以及各國(guó)關(guān)于罰款和其他程序性制裁的標(biāo)準(zhǔn)存在較大差異;此外,有民權(quán)組織抱怨針對(duì)大型科技公司的數(shù)據(jù)跨境案件執(zhí)法不足,甚至到了“GDPR危機(jī)點(diǎn)”的程度,(4)5years:GDPR’crisis point—ICCL report on EEA data protection authorities[EB/OL].[2023-05-21].https://www.iccl.ie/wp-content/uploads/2023/05/5-years-GDPR-crisis.pdf.歐盟數(shù)據(jù)保護(hù)委員會(huì)也將國(guó)家數(shù)據(jù)保護(hù)機(jī)構(gòu)之間的“有效執(zhí)法和高效合作”作為2023/2024年工作計(jì)劃的重點(diǎn)。(5)EDPB Work Programme 2023/2024.Adopted on 14 February 2023[EB/OL].[2023-07-15].https://edpb.europa.eu/system/files/2023-02/edpb_work_programme_2023-2024_en.pdf.有鑒于此,本文擬厘清OSS機(jī)制下,歐洲數(shù)據(jù)保護(hù)委員會(huì)以及各成員國(guó)數(shù)據(jù)機(jī)構(gòu)、司法機(jī)關(guān)等部門之間的聯(lián)動(dòng)關(guān)系,分析該機(jī)制在具體適用中面臨的困境,以期為我國(guó)相關(guān)數(shù)據(jù)保護(hù)機(jī)構(gòu)的執(zhí)法合作及跨國(guó)企業(yè)的合規(guī)工作提供有益借鑒。

二、歐盟GDPR中“一站式”監(jiān)管的運(yùn)行機(jī)制

“一站式”監(jiān)管的概念在歐盟的競(jìng)爭(zhēng)、稅收等領(lǐng)域立法中早已出現(xiàn),(6)以競(jìng)爭(zhēng)法為例,《歐洲經(jīng)濟(jì)區(qū)協(xié)定》(The Agreement on the European Economic Area,EEA) 第58條、第109條規(guī)定競(jìng)爭(zhēng)法的實(shí)施包含一站式執(zhí)法機(jī)制選項(xiàng)。數(shù)據(jù)保護(hù)法領(lǐng)域的“一站式”機(jī)制明確于GDPR前言第127段,設(shè)計(jì)初衷是在各國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)就跨境案件的管轄無(wú)法達(dá)成一致時(shí)提供解決方案,解決數(shù)據(jù)保護(hù)機(jī)構(gòu)之間的權(quán)力劃分、實(shí)踐中合作的開(kāi)展以及領(lǐng)導(dǎo)性監(jiān)管機(jī)構(gòu)的權(quán)限等問(wèn)題。

(一)“一站式”監(jiān)管的運(yùn)行主體

GDPR第六章要求成員國(guó)設(shè)置獨(dú)立的國(guó)家數(shù)據(jù)保護(hù)機(jī)構(gòu)(National Data Protection Authorities,以下簡(jiǎn)稱DPAs)負(fù)責(zé)監(jiān)督GDPR的實(shí)施;同時(shí),在歐盟層面設(shè)置數(shù)據(jù)保護(hù)委員會(huì)(European Data Protection Board,以下簡(jiǎn)稱EDPB),協(xié)調(diào)成員國(guó)內(nèi)數(shù)據(jù)保護(hù)機(jī)構(gòu)的執(zhí)法工作,增強(qiáng)GDPR適用的一致性。

1.國(guó)家數(shù)據(jù)保護(hù)機(jī)構(gòu)

歐盟的個(gè)人數(shù)據(jù)保護(hù)有三大支柱:數(shù)據(jù)處理者的義務(wù)、數(shù)據(jù)主體的權(quán)利以及DPAs的良好運(yùn)作,(7)Gloria González Fuster.Beyond the GDPR, above the GDPR[EB/OL].[2023-08-07]. Internet Policy Review.30 Nov2015.https://policyreview.info/articles/news/beyond-gdpr-above-gdpr/385.DPAs由每個(gè)歐盟成員國(guó)任命,擁有包括調(diào)查權(quán)、矯正權(quán)以及征收罰款等在內(nèi)的權(quán)力,在行使權(quán)力時(shí)保持完全的獨(dú)立性。行使調(diào)查權(quán)時(shí)主要以審計(jì)形式進(jìn)行調(diào)查,擁有對(duì)相關(guān)數(shù)據(jù)、場(chǎng)所、設(shè)備等進(jìn)行訪問(wèn)的權(quán)力;行使糾正權(quán)可以要求數(shù)據(jù)處理者或控制者刪除數(shù)據(jù)、禁止處理數(shù)據(jù)或暫停數(shù)據(jù)流向第三方國(guó)家;授權(quán)和制發(fā)建議的權(quán)力則允許DPAs向相關(guān)主體提供建議,向從事某項(xiàng)工作的機(jī)構(gòu)進(jìn)行授權(quán)。GDPR還引入“單一權(quán)限”和“協(xié)作權(quán)限”兩種權(quán)限,前者適用于相關(guān)數(shù)據(jù)控制或處理行為僅發(fā)生在某一成員國(guó)境內(nèi)的情形,DPAs依據(jù)屬地原則處理案件;而數(shù)據(jù)跨境案件的處理需要多個(gè)DPAs在歐盟數(shù)據(jù)保護(hù)委員會(huì)領(lǐng)導(dǎo)下開(kāi)展合作,此時(shí)觸發(fā)“協(xié)作權(quán)限”,GDPR提供了OSS機(jī)制、互助(Mutual Assistance)以及聯(lián)合行動(dòng)(Joint Operations)等多種有效方式促進(jìn)DPAs開(kāi)展合作執(zhí)法,鼓勵(lì)其調(diào)整運(yùn)行機(jī)制以滿足新的權(quán)利和義務(wù)需要。(8)Razvan Viorescu.2018 reformof EU data protcetion rules[J].European Journal of Law and public Administration, 2017,4(2).

GDPR實(shí)施中的前置性問(wèn)題是案件主管管轄權(quán)的歸屬,(9)Marina krinjar Data Protection Reform: Challenges for Cloud Computing[J]. Croatian Yearbook of European Law and Policy, 2016,12.在OSS機(jī)制的“協(xié)作權(quán)限”下,歐盟各成員國(guó)的DPAs可能分別承擔(dān)領(lǐng)導(dǎo)監(jiān)管機(jī)構(gòu)(Lead Supervisory Authority,以下簡(jiǎn)稱LSA)和相關(guān)監(jiān)管機(jī)構(gòu)(Concerned Supervisory Authority,以下簡(jiǎn)稱CSA)的角色。GDPR第56條(1)將數(shù)據(jù)控制者或處理者的“主要實(shí)體”(main establishment)所在地或唯一營(yíng)業(yè)機(jī)構(gòu)所在地的監(jiān)管機(jī)構(gòu)定義為領(lǐng)導(dǎo)監(jiān)管機(jī)構(gòu);第36條明確主要實(shí)體應(yīng)當(dāng)實(shí)際有效地在數(shù)據(jù)處理的決策中做出主要決策。上述條文共同構(gòu)成了確定LSA的法規(guī)框架——當(dāng)一個(gè)組織在歐盟存在多個(gè)establishment時(shí),“main establishment”所在地的DPA扮演LSA的角色,其他establishment所在地的DPA則承擔(dān)CSA的職責(zé)。(10)Anderson, Stuart.Article 27, the Unknown GDPR Obligation[J].International Journal for the Data Protection Officer, Privacy Officer and Privacy Counsel, 2019,3(1).此外,Google Spain案(11)Case C-131/12, Google Spain SL and Google Inc. v Agencia Espa?ola de Protección de Datos (AEPD).和Weltimo(12)Mario Costeja González, ECJ, 13.5.2014 and Case C-230/14, Weltimmo s.r.o. v Nemzeti Adatvédelmi és Információszabadság Hatóság, ECJ, 1.10.2015.案的判決明確了某組織在歐盟只有一個(gè)establishment但數(shù)據(jù)處理行為影響他國(guó)權(quán)利主體時(shí),唯一establishment所在地的DPA作為L(zhǎng)SA領(lǐng)導(dǎo)調(diào)查,權(quán)利主體所在地的DPA可以考慮作為CSA加入調(diào)查的權(quán)限。

但GDPR未就一個(gè)機(jī)構(gòu)在歐盟不具備establishment的情況作出規(guī)定,就此Working Party 29給出過(guò)指引,認(rèn)為此時(shí):(1)主要數(shù)據(jù)處理活動(dòng)發(fā)生地所在的歐盟成員國(guó);(2)受影響的個(gè)人所在的歐盟成員國(guó);(3)收到個(gè)人投訴的歐盟成員國(guó)的監(jiān)管機(jī)構(gòu)有權(quán)管理,(13)Art. 29 Data Protection Working Party, WP191 (2012), p.19.然而這無(wú)疑會(huì)導(dǎo)致多個(gè)DPA都可以滿足上述標(biāo)準(zhǔn),使得OSS機(jī)制的適用成為問(wèn)題。GDPR的立法初衷之一是避免出現(xiàn)公司通過(guò)在歐盟以外設(shè)立注冊(cè)辦事處來(lái)避免歐盟法律適用的現(xiàn)象,但在OSS機(jī)制下,歐盟哪一國(guó)的DPA可以對(duì)境外的數(shù)據(jù)控制者予以調(diào)查和執(zhí)法?哪一國(guó)的DPA可以在影響多國(guó)的跨境案件中擔(dān)任LSA?根據(jù)GDPR的規(guī)定,如果企業(yè)針對(duì)消費(fèi)者住所地進(jìn)行營(yíng)銷并提供商品和服務(wù),如使用當(dāng)?shù)卣Z(yǔ)言或貨幣,則表明該國(guó)對(duì)其商業(yè)行為具有管轄權(quán)。與之矛盾的是,相關(guān)判例明確如果企業(yè)注冊(cè)地在歐盟以外,并且在歐盟沒(méi)有分支機(jī)構(gòu),即它不是位于歐盟境內(nèi)的數(shù)據(jù)控制者或處理者,(14)See Peter Pammer v. Reederei Karl Schlüter GmbH &Co. KG and Hotel Alpenhof v. Mr. Heller, Joined Cases C-585/08, C-144/09, ECLI:EU:C:2010:740.這種情況下究竟由哪一個(gè)歐盟成員國(guó)的監(jiān)管機(jī)構(gòu)來(lái)調(diào)查這種純粹在歐盟以外(且在歐盟內(nèi)沒(méi)有分支機(jī)構(gòu))的數(shù)據(jù)跨境案件,成為OSS機(jī)制適用的難點(diǎn)。

2.歐盟數(shù)據(jù)保護(hù)委員會(huì)

GDPR第68(3)條規(guī)定了EDPB作為歐盟數(shù)據(jù)保護(hù)中心機(jī)構(gòu)的地位——EDPB由各成員國(guó)監(jiān)管機(jī)構(gòu)的首長(zhǎng)、歐盟數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)的首長(zhǎng)或代表組成,不僅負(fù)責(zé)解釋GDPR核心概念的內(nèi)涵,還有權(quán)就跨境數(shù)據(jù)處理的爭(zhēng)議問(wèn)題作出終局性決定。(15)Council of the European Union.Proposal for a Regulation of the European Parliament and of the Council on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data(General Data Protection Regulation) The One-stop-shop Mechanism[EB/OL].[2023-07-25].https: //data．consilium．europa．eu /doc / document /ST-6833-2015-INIT /en /pdf.OSS機(jī)制作為處理數(shù)據(jù)跨境案件的復(fù)雜的合作方式,EDPB有權(quán)作為爭(zhēng)議解決機(jī)構(gòu)介入,就相關(guān)問(wèn)題做出最終的且具有約束力的決定,(16)Freiherr, Axel von dem Bussche, Anna Zeiter.Implementing the EU General Data Protection Regulation: A Business Perspective[J].European Data Protection Law Review,2016,2(4).以確保GDPR的一體化適用。根據(jù)歐盟的One-Stop-Shop Leaflet,EDPB可以介入的情況包括:(1)發(fā)生于OSS監(jiān)管機(jī)制內(nèi)的爭(zhēng)議(有關(guān)監(jiān)管機(jī)構(gòu)提出相關(guān)且合理的異議而主導(dǎo)監(jiān)管機(jī)構(gòu)不予聽(tīng)取),若LSA與CSA之間無(wú)法達(dá)成統(tǒng)一意見(jiàn),LSA可以將案件遞交給歐盟層面的EDPB,由EDPB根據(jù)案件的審議情況,通過(guò)投票表決的方式解決兩個(gè)或多個(gè)國(guó)家數(shù)據(jù)監(jiān)管機(jī)構(gòu)之間的爭(zhēng)議;(2)在確定主導(dǎo)監(jiān)管機(jī)構(gòu)問(wèn)題上產(chǎn)生的分歧,在就哪一監(jiān)管機(jī)構(gòu)應(yīng)當(dāng)擔(dān)任LSA的問(wèn)題上發(fā)生爭(zhēng)議時(shí),EDPB具有爭(zhēng)議解決機(jī)構(gòu)的作用;(3)某一監(jiān)管機(jī)構(gòu)不遵守歐洲數(shù)據(jù)保護(hù)委員會(huì)的一體化意見(jiàn)。

(二)“一站式”監(jiān)管的適用程序

GDPR要求歐洲經(jīng)濟(jì)區(qū)(歐盟28國(guó)+冰島、挪威及列支敦士登)的數(shù)據(jù)監(jiān)管機(jī)構(gòu)在含有數(shù)據(jù)跨界因素的案件中緊密合作,在OSS機(jī)制的啟動(dòng)程序、協(xié)調(diào)程序中LSA和CSA都需要遵守明確的時(shí)間期限以及履行相應(yīng)的責(zé)任。(17)Daigle, Brian, and Mahnaz Khan.The EU General Data Protection Regulation: An Analysis of Enforcement Trends by EU Data Protection Authorities[J].Journal of International Commerce &Economics, 2020,2020.

1.啟動(dòng)程序

相關(guān)案件在啟動(dòng)OSS監(jiān)管程序之前,需要確定LSA以及CSA,該程序的目的主要在于在早期階段確認(rèn)職責(zé),以避免后期出現(xiàn)對(duì)行政管轄權(quán)限問(wèn)題的異議。在確立LSA之后最初受案的監(jiān)管機(jī)構(gòu)應(yīng)當(dāng)及時(shí)將案件通知LSA,并實(shí)際移交全案的監(jiān)管主導(dǎo)權(quán)。LSA接到通知后應(yīng)當(dāng)決定是否開(kāi)展OSS機(jī)制,即案件由LSA與其他有關(guān)成員國(guó)的監(jiān)管機(jī)構(gòu)共同處理,還是由最初受案的監(jiān)管機(jī)構(gòu)在本地層面處理。若LSA決定開(kāi)啟OSS機(jī)制,應(yīng)當(dāng)允許最初受案的成員國(guó)監(jiān)管機(jī)構(gòu)發(fā)表意見(jiàn)。據(jù)此,OSS機(jī)制作為傳統(tǒng)屬地管轄的補(bǔ)充,通過(guò)協(xié)調(diào)機(jī)制確定最適當(dāng)?shù)闹鞴軝C(jī)關(guān),由該主管機(jī)關(guān)通過(guò)非正式磋商的方式?jīng)Q定是否啟動(dòng)OSS程序。但OSS機(jī)制下LSA的選擇并不是隨意的,否則在其管轄范圍內(nèi)“最先”做出最終判決的機(jī)構(gòu)將成為實(shí)際的LSA,整個(gè)GDPR的一致性將受到嚴(yán)重?fù)p害。(18)Jos De Wachte,Charlotte Peeters.Advocate General Rules on the One-Stop Shop Mechanism[J].European Data Protection Law Review,2021,7(1).為支持歐洲各數(shù)據(jù)保護(hù)機(jī)構(gòu)之間的合作,歐盟委員會(huì)成長(zhǎng)部(DG Grow of the EU Commission)聯(lián)合EDPB等部門改造了一項(xiàng)現(xiàn)存的IT系統(tǒng)——內(nèi)部市場(chǎng)信息系統(tǒng)(Internal Market Information system,以下簡(jiǎn)稱“IMI系統(tǒng)”)。

圖1 IMI系統(tǒng)中GDPR跨境案件的協(xié)助程序

IMI系統(tǒng)于GDPR開(kāi)始實(shí)施的第一天即投入運(yùn)行,以結(jié)構(gòu)化及保密性的方式運(yùn)行,保證數(shù)據(jù)監(jiān)管機(jī)構(gòu)之間共享信息。IMI系統(tǒng)允許LSA發(fā)起與所有CSA的信息交流,以搜集信息用于準(zhǔn)備起草決定草案。對(duì)于符合GDPR管轄的跨境案件,將在IMI系統(tǒng)的中央數(shù)據(jù)庫(kù)中注冊(cè),從這里啟動(dòng)不同程序,對(duì)于適用“一站式”監(jiān)管的案件,IMI系統(tǒng)提供平臺(tái)開(kāi)展非正式磋商、傳輸LSA提交給CSA的決定草案或修正案,以及提交給CSA和EDPB的終局性一站式?jīng)Q定等信息。

2.協(xié)調(diào)程序

一旦確定適用OSS機(jī)制,歐盟各數(shù)據(jù)監(jiān)管機(jī)構(gòu)按照以下流程完成數(shù)據(jù)跨境案件的處理:(1)LSA必須在開(kāi)始行動(dòng)前明確所有相關(guān)CSA并使其順暢參與到案件處理中,盡可能與CSA共享所有案件信息;(2)LSA在遵守相關(guān)國(guó)際程序規(guī)則(如向受影響者提供聆訊的權(quán)利)的基礎(chǔ)上開(kāi)展調(diào)查案件,在調(diào)查階段,LSA可以通過(guò)相互協(xié)助的方式從其他監(jiān)管機(jī)構(gòu)搜集信息,或在各自國(guó)內(nèi)法所允許的范圍內(nèi)進(jìn)行聯(lián)合調(diào)查,在此期間LSA與CSA之間的信息互通主要以電子方式提供;(3)一旦LSA完成調(diào)查,應(yīng)盡快形成決定草案并傳達(dá)給CSA,接收到?jīng)Q定草案的CSA有權(quán)提出反對(duì)意見(jiàn),但是時(shí)效為收到草案起四周之內(nèi);當(dāng)然參與合作的CSA也有建議權(quán),可以在LSA形成草案前提交自己的審查決定草案,LSA應(yīng)當(dāng)最大限度參考CSA的草案;(4)若LSA同意CSA提出的反對(duì)意見(jiàn),則應(yīng)當(dāng)在兩周內(nèi)重新提交決定草案并征求意見(jiàn),得到所有CSA的認(rèn)可后,由LSA將最終決定告知所有利益相關(guān)方,同時(shí)報(bào)備EDPB。(19)AndraGiurgiu,Tine A. Larsen.Roles and Powers of National Data Protection Authorities[J].European Data Protection Law Review,2016,2(3).如就決定草案發(fā)生爭(zhēng)議且未達(dá)成共識(shí),將觸發(fā)一致性機(jī)制,以解決OSS機(jī)制下的權(quán)力排他性問(wèn)題。(20)Andra Giurgiu, Gertjan Boulet and Paul De Hert.EU’s One-Stop-Shop Mechanism: Thinking Transnational[J].Privacy Laws and Business.International Reports,2015.此時(shí),相關(guān)案件將提交EDPB,EDPB就案件作出有拘束力的決定,LSA必須根據(jù)EDPB的決定作出其終局性決定,通知DPAs及委員會(huì)并在EDPB網(wǎng)站上公布。

3.適用例外

“一站式”監(jiān)管屬于執(zhí)法范疇下的合作機(jī)制,需要考慮法律適用問(wèn)題的成員國(guó)間的合作溝通,一般情況下當(dāng)LSA與CSA之間有不同意見(jiàn)時(shí),EDPB可以做出終局性決定,但是此時(shí)是否保留CSA的訴訟權(quán)限是一個(gè)未解決的問(wèn)題。具體而言,當(dāng)監(jiān)管機(jī)構(gòu)并非LSA時(shí),GDPR是否允許該監(jiān)管機(jī)構(gòu)就組織機(jī)構(gòu)涉嫌違反監(jiān)管規(guī)定的行為向本國(guó)法院提起訴訟,OSS機(jī)制是否會(huì)阻止此類訴訟的進(jìn)行。對(duì)于這一問(wèn)題GDPR并沒(méi)有明確的規(guī)定,但2021年1月13日,歐盟法院(CJEU)總檢察長(zhǎng)在Facebook愛(ài)爾蘭有限公司、Facebook Inc.、Facebook比利時(shí)BVBA訴比利時(shí)數(shù)據(jù)保護(hù)局的C-645/19案件中發(fā)表的意見(jiàn)為此種情形提供了參考。(21)See Facebook Belgium v. Gegevensbeschermingsautoriteit(C-645/19).他認(rèn)為L(zhǎng)SA是歐盟境內(nèi)的數(shù)據(jù)保護(hù)首席調(diào)查者和執(zhí)行者,在跨境數(shù)據(jù)處理方面具有普遍的管轄權(quán);同時(shí),這項(xiàng)管轄權(quán)也延伸到對(duì)違反GDPR的行為提起法律訴訟,而CSA對(duì)組織機(jī)構(gòu)提起訴訟的權(quán)力應(yīng)當(dāng)被限制?？倷z察長(zhǎng)限制了CSA采取單方面司法行動(dòng)的權(quán)利,但列舉了容許其采取行動(dòng)的五種例外情況:(1)監(jiān)管機(jī)構(gòu)的行為超出GDPR的實(shí)質(zhì)范圍,如處理不涉及個(gè)人數(shù)據(jù)或明確被GDPR第2條(適用范圍)排除的行為;(2)為履行法律義務(wù)、保護(hù)公共利益或行使政府權(quán)力而進(jìn)行的必要處理;(3)由在歐盟沒(méi)有機(jī)構(gòu)的控制者進(jìn)行的數(shù)據(jù)處理;(4)迫切需要采取行動(dòng)保護(hù)數(shù)據(jù)主體的權(quán)利和自由的特殊和緊急情況(GDPR第66條);(5)LSA決定不處理的案件。換言之,雖然CSA可以向本國(guó)法院提起訴訟,但這項(xiàng)權(quán)利受GDPR的OSS機(jī)制和一致性原則的約束。

(三) “一站式”監(jiān)管的適用原則

法國(guó)國(guó)家信息和自由委員會(huì)(Commission Nationale de l’information et des Liberte,以下簡(jiǎn)稱CNIL)于2019年1月21日向GOOGLE LLC開(kāi)出了5000萬(wàn)歐元的罰單,原因是其違反GDPR項(xiàng)下的透明性原則及與通知、同意有關(guān)的合規(guī)義務(wù),遭到來(lái)自None Of Your Business和La Quadrature du Net兩個(gè)組織的投訴。(22)The CNIL’s Restricted Committee Imposes a Financial Penalty of 50 Million Euros Against GOOGLE LLC, CNIL[EB/OL].[2023-04-23].https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc.這是歐盟首次適用OSS監(jiān)管機(jī)制的案件,確立了閉門協(xié)商和客觀標(biāo)準(zhǔn)兩個(gè)原則。

1.閉門協(xié)商原則

CNIL在本案的審查過(guò)程中與相關(guān)成員國(guó)數(shù)據(jù)監(jiān)管機(jī)構(gòu)進(jìn)行了非正式討論,以閉門協(xié)商原則完成了法律適用問(wèn)題的成員國(guó)間合作溝通,GOOGLE方面未出席聽(tīng)證或參與這些討論。盡管GOOGLE以上述討論違反正當(dāng)程序?yàn)橛煽罐q,但CNIL提出GDPR中跨境案件是否適用OSS機(jī)制可以通過(guò)非正式討論決定,這意味著利益相關(guān)方可以不參與相關(guān)討論過(guò)程,由DPAs采取閉門溝通形式進(jìn)行,即閉門協(xié)商原則。(23)閆飛.GDPR第一案:“一站式主管機(jī)制”適用問(wèn)題研究[J].大連海事大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版),2019,18(5).最終處罰決定采納了CNIL的意見(jiàn),認(rèn)為采取閉門協(xié)商原則的依據(jù)有兩個(gè):在法律規(guī)定層面,GDPR第56條、第60條未賦予利益相關(guān)方參與此類討論的權(quán)利,CNIL認(rèn)定管轄權(quán)的過(guò)程不違反GDPR對(duì)OSS機(jī)制程序要求的規(guī)定;在事實(shí)認(rèn)定環(huán)節(jié),CNIL在處理案件時(shí)未剝奪GOOGLE進(jìn)行書面答辯和口頭陳述意見(jiàn)的權(quán)利,符合程序正義的要求。

2.客觀標(biāo)準(zhǔn)原則

GOOGLE聲稱其在歐洲的經(jīng)營(yíng)行為以愛(ài)爾蘭為中心且正考慮將部分歐洲數(shù)據(jù)控制者職能向谷歌愛(ài)爾蘭轉(zhuǎn)移,主張愛(ài)爾蘭數(shù)據(jù)保護(hù)委員會(huì)應(yīng)當(dāng)根據(jù)GDPR第60條的合作條款擔(dān)任LSA,要求法國(guó)最高行政法院審查CNIL是否具有管轄權(quán)。在審查決定中法院提出了客觀標(biāo)準(zhǔn)原則(objective criteria)作為識(shí)別主要實(shí)體的依據(jù),這種標(biāo)準(zhǔn)偏重于“行為主體”判斷,而非“權(quán)利主體”識(shí)別,認(rèn)為應(yīng)從商業(yè)存在、與數(shù)據(jù)處理行為的聯(lián)系等角度考察數(shù)據(jù)控制處理的決策流程,進(jìn)而考量主要實(shí)體的存在。雖然GOOGLE的歐洲總部設(shè)立在愛(ài)爾蘭,但是該總部在歐洲的主要職能并非具備“決策權(quán)”的mainestablishment,(24)Deliberation No.SAN-2019-001 of the Restricted Committee of the CNIL[EB/OL]. [2023-05-14]https://www.cnil.fr/sites/default/files/atoms/files/san-2019-001.pdf.且谷歌GOOGLE主張的向谷歌愛(ài)爾蘭公司轉(zhuǎn)移控制者職能將于2019年1月31日完成,而相關(guān)隱私政策于2019年1月22日起施行。最終法院判定,由于歐洲總部事實(shí)上并無(wú)對(duì)其他子公司的控制和決定權(quán),導(dǎo)致谷歌公司不被認(rèn)為在歐盟境內(nèi)設(shè)立了主要實(shí)體,CNIL不適用OSS機(jī)制處理該案件,而是基于域外管轄效力享有對(duì)谷歌公司的行政處罰權(quán),拒絕了谷歌有限公司撤銷制裁的請(qǐng)?jiān)笗?。盡管該客觀標(biāo)準(zhǔn)原則目前僅在Google LLC案件中得以明確,但為個(gè)人數(shù)據(jù)保護(hù)各方提供了有效指引。

三、歐盟GDPR中“一站式”監(jiān)管的實(shí)施困境

GDPR自誕生以來(lái)一直備受產(chǎn)業(yè)爭(zhēng)議,OSS監(jiān)管機(jī)制作為歐盟數(shù)據(jù)保護(hù)執(zhí)法工具箱中的一個(gè)創(chuàng)新,其運(yùn)作方式極大地影響了各國(guó)的數(shù)據(jù)保護(hù)機(jī)構(gòu)、數(shù)據(jù)控制者及處理者甚至數(shù)據(jù)主體的權(quán)益。一方面,統(tǒng)一的執(zhí)法尺度提高了執(zhí)法穩(wěn)定性,避免因?qū)彶樘幚沓叨鹊牟灰恢露斐傻膱?zhí)法差異;另一方面,有效的執(zhí)法協(xié)商機(jī)制為案件處理當(dāng)事各方提供有效的便利,不僅使GDPR的影響力輻射到整個(gè)歐洲,保障GDPR公法價(jià)值的實(shí)現(xiàn)。(25)Brkan, Maja.Data Protection and Conflict-of-Laws: A Challenging Relationship[J].European Data Protection Law Review,2016,2(3).但該機(jī)制在實(shí)踐中可能存在一些問(wèn)題,歐盟各成員國(guó)的制度和文化傳統(tǒng)存在差異,存在行政處罰案件與投訴的跟進(jìn)不力、采取措施的反應(yīng)時(shí)限與執(zhí)法周期過(guò)長(zhǎng)、執(zhí)法透明度不高等問(wèn)題,可能導(dǎo)致大型數(shù)據(jù)平臺(tái)進(jìn)行執(zhí)法層面的管轄競(jìng)擇,給歐盟各成員國(guó)的DPAs帶來(lái)相當(dāng)程度的執(zhí)法壓力,制約GDPR的實(shí)施效果。

(一) OSS協(xié)作程序不透明且效率低下

歐盟層面的立法者試圖采取多種協(xié)調(diào)措施減少成員國(guó)不同法律規(guī)定與執(zhí)行方式的差異,(26)EmiliaMiscenic,Anna-Lena Hoffmann.The Role of Opening Clauses in Harmonization of EU Law: Example of the EU’s General Data Protection Regulation (GDPR)[J].EU and Comparative Law Issues and Challenges Series,2020, 4.OSS機(jī)制正是其中一次有益的嘗試,但是該機(jī)制本身存在歐盟成員國(guó)間的協(xié)作困境,可能導(dǎo)致跨境案件處理效率低下。

1.成員國(guó)DPAs之間的協(xié)作程序不透明

歐盟認(rèn)為數(shù)據(jù)隱私作為一項(xiàng)基本人權(quán)不受時(shí)空地域限制,通過(guò)GDPR強(qiáng)大的域外管轄法律效力賦予歐盟數(shù)據(jù)保護(hù)主管機(jī)構(gòu)實(shí)際行使“長(zhǎng)臂管轄”的權(quán)力。“95指令”時(shí)代,歐盟各成員國(guó)的DPAs之間無(wú)須進(jìn)行普遍的行政執(zhí)法協(xié)調(diào),但在GDPR時(shí)代,成員國(guó)的DPAs會(huì)經(jīng)常出現(xiàn)管轄權(quán)沖突,需要明確沖突調(diào)和的機(jī)制解決數(shù)據(jù)跨境案件的管轄權(quán)。而OSS機(jī)制下LSA難以確定,管轄協(xié)作程序不透明等問(wèn)題常常被詬病。(27)方芳,張蕾.歐盟個(gè)人數(shù)據(jù)治理進(jìn)展、困境及啟示[J].德國(guó)研究,2021,36(4).GDPR就是否適用OSS機(jī)制的聽(tīng)證程序、OSS機(jī)制下調(diào)查期間查閱文件、訴訟原告方是否有權(quán)參與調(diào)查以及翻譯方式等問(wèn)題未給出明確規(guī)定,歐盟成員國(guó)也未形成共識(shí)性答案,所以各方就程序透明度問(wèn)題的爭(zhēng)議與磋商往往也導(dǎo)致案件長(zhǎng)期延誤。如在Google LLC案件中,CNIL在討論是否適用OSS機(jī)制的決定上并不透明,駁回了Google LLC公司出席聽(tīng)證的要求。CNIL認(rèn)為其在審查過(guò)程中已經(jīng)與相關(guān)CSA進(jìn)行了非正式討論,符合“以合乎正義的方式解決法律問(wèn)題”的要求,(28)齊佩利烏斯．法學(xué)方法論[M]．金振豹,譯.北京:法律出版社,2009: 3．然而Google LLC公司并沒(méi)有出席參與這些討論,因而主張上述討論沒(méi)有法律效果,由此形成了程序適用方面的爭(zhēng)議和沖突。那么在OSS機(jī)制下,該機(jī)制適用與否?在行政執(zhí)法的管轄、告知、聽(tīng)證、回避、記錄及對(duì)抗等各個(gè)階段,數(shù)據(jù)處理者或控制者以及數(shù)據(jù)主體究竟擁有何種程度的參與權(quán)? 當(dāng)涉及復(fù)雜的程序、證據(jù)問(wèn)題認(rèn)定時(shí),如何確保LSA確保審查決定的公正性?都是OSS機(jī)制未來(lái)需要明確的問(wèn)題。

2.成員國(guó)DPAs間管轄協(xié)調(diào)的效率低下

OSS機(jī)制的設(shè)計(jì)初衷是在數(shù)據(jù)領(lǐng)域?qū)崿F(xiàn)集中高效監(jiān)管,但該機(jī)制的順利運(yùn)行必須確保各國(guó)DPAs在人員配置和財(cái)政手段方面得到充分的資源并且有明確的運(yùn)行程序,而這種資源配置還遠(yuǎn)不理想,導(dǎo)致協(xié)調(diào)效率低下。

第一, OSS機(jī)制下各成員國(guó)的DPAs均需在相關(guān)領(lǐng)域?qū)I(yè)性較強(qiáng)的工作人員對(duì)復(fù)雜且煩瑣的跨境數(shù)據(jù)處理活動(dòng)進(jìn)行處理,但多數(shù)監(jiān)管機(jī)構(gòu)在調(diào)查資源和執(zhí)行人手方面嚴(yán)重不足。挪威數(shù)據(jù)保護(hù)機(jī)構(gòu)國(guó)際負(fù)責(zé)人Tobias Judin提到,他們每周都需要向歐洲各DPAs分發(fā)多份裁定草案,這些裁定往往需要在各監(jiān)管機(jī)構(gòu)之間往來(lái)多次,期間受到官僚習(xí)氣的嚴(yán)重影響,效率低下。因而這種由一國(guó)單一數(shù)據(jù)保護(hù)機(jī)構(gòu)負(fù)責(zé)處理的方式是否有意義、是否具備可行性會(huì)受到質(zhì)疑。第二,DPAs需要同時(shí)應(yīng)付可能來(lái)自各國(guó)的數(shù)據(jù)主體的投訴。在OSS機(jī)制下,在各歐盟國(guó)家地區(qū)開(kāi)展運(yùn)營(yíng)的公司一旦被投訴,案件通常會(huì)被移交至其歐洲總部所在的國(guó)家,由該成員DPA主導(dǎo)調(diào)查工作。如針對(duì)亞馬遜的訴訟就落在了盧森堡這個(gè)小國(guó)身上;荷蘭應(yīng)付的是Netflix;瑞典有Spotify;愛(ài)爾蘭的任務(wù)相對(duì)較重,需要負(fù)責(zé)Meta/Facebook、WhatsApp和Instagram,谷歌旗下各項(xiàng)服務(wù),Airbnb、雅虎、Twitter、微軟、蘋果和LinkedIn。大量復(fù)雜的GDPR訴訟已經(jīng)給愛(ài)爾蘭監(jiān)管機(jī)構(gòu)造成巨大壓力,OSS機(jī)制下的跨國(guó)協(xié)作則因繁瑣的文書工作而被迫放緩。部分歐盟成員國(guó)家(如奧地利、保加利亞)提出GDPR設(shè)置的過(guò)低投訴門檻和大量重復(fù)投訴嚴(yán)重妨礙了監(jiān)管部門的正常運(yùn)作,強(qiáng)大的數(shù)據(jù)主體權(quán)利給執(zhí)法帶來(lái)了巨大現(xiàn)實(shí)壓力。(29)王融,朱軍彪.GDPR兩周年:來(lái)自歐盟內(nèi)部的反思與啟示[EB/OL].[2023-06-18].轉(zhuǎn)引自“騰訊研究院”:https://www.tisi.org/14590/.第三,隨著大數(shù)據(jù)、神經(jīng)網(wǎng)絡(luò)、機(jī)器學(xué)習(xí)等技術(shù)的飛速發(fā)展,數(shù)據(jù)跨境處理行為的大量增長(zhǎng),如何穿透數(shù)據(jù)及新型技術(shù)的迷霧,有效地監(jiān)管新型業(yè)態(tài),保證各DPAs以相同的方式處理投訴(包括使用相同的表格),加快跨境案件的信息分享速度,確保各國(guó)家/地區(qū)的規(guī)程間能夠無(wú)縫對(duì)接,提高OSS機(jī)制下處理數(shù)據(jù)跨境案件的效率亦成為OSS機(jī)制下所有監(jiān)管機(jī)構(gòu)亟需解決的難題。

(二) OSS機(jī)制導(dǎo)致管轄競(jìng)擇現(xiàn)象的出現(xiàn)

GDPR嘗試改變“95指令”時(shí)代由于數(shù)據(jù)保護(hù)規(guī)則碎片化導(dǎo)致的歐盟境內(nèi)跨國(guó)公司可以挑選司法監(jiān)督執(zhí)行機(jī)制的現(xiàn)象,(30)Md.Toriqul Islam, Mohammad Ershadul Karim.Extraterritorial Application of the EU General Data Protection Regulation: An International Law Perspective[J].IIUM Law Journal, 2020,28(2).但OSS機(jī)制卻為跨國(guó)公司提供了在歐盟境內(nèi)“管轄競(jìng)擇(forum shopping)”的可能,(31)Pamela K. Bookman.The Unsung Virtues of Global Forum Shopping[J].NOTRE DAME law review,2017,92(2).這種所謂的管轄競(jìng)擇本質(zhì)是數(shù)據(jù)控制者、處理者以及數(shù)據(jù)主體對(duì)跨境案件管轄機(jī)構(gòu)的選擇,是各成員國(guó)數(shù)據(jù)保護(hù)當(dāng)局之間管轄權(quán)的爭(zhēng)奪。

1.OSS機(jī)制下的管轄競(jìng)擇現(xiàn)象

OSS機(jī)制對(duì)各國(guó)DPAs間的相互協(xié)調(diào)提出了更高的要求,而各國(guó)DPAs間執(zhí)法水平不一,這使得數(shù)據(jù)處理者有機(jī)會(huì)選擇在監(jiān)督力度較弱的歐盟成員國(guó)落戶以規(guī)避管制風(fēng)險(xiǎn),數(shù)據(jù)主體選擇對(duì)自身利益最大的DPA負(fù)責(zé)跨境案件。

一方面,對(duì)于數(shù)據(jù)控制者和處理者而言,他們可能利用OSS機(jī)制選擇最有利自身的監(jiān)管機(jī)構(gòu)進(jìn)行案件管轄,實(shí)際上美國(guó)的多個(gè)科技巨頭(如Google、Facebook、Microsoft、Twitter)正是通過(guò)選擇司法管轄區(qū)來(lái)定位他們?cè)跉W盟的總部。(32)Adam Satariano, New Privacy Rules Could Make This Woman One of Tech’s MostImportant Regulators[N].N.Y. TIMES (May 16, 2018) [hereinafter Satariano,New Privacy], https://www.nytimes.com/2018/05/16/technology/gdpr-helendixon.htmlhttps://www.nytimes.com/2018/05/16/technology/gdpr-helendixon.html.如考慮到商業(yè)環(huán)境、企業(yè)所得稅稅率以及可用于DPA執(zhí)法的資源等因素,人們普遍認(rèn)為愛(ài)爾蘭是歐盟境內(nèi)一個(gè)不太熱衷于執(zhí)行GDPR的司法管轄區(qū)——根據(jù)愛(ài)爾蘭數(shù)據(jù)保護(hù)委員會(huì)2020年的年度報(bào)告,愛(ài)爾蘭的DPA作為“一站式”服務(wù)機(jī)制下的主導(dǎo)機(jī)構(gòu)涉及跨境案件共196起,但只有4起案件受到了最終裁決,對(duì)1起跨境案件作出了處罰。那么跨國(guó)公司可能傾向于考慮將主要實(shí)體設(shè)置在愛(ài)爾蘭,較為具有代表性的就是谷歌公司就OSS機(jī)制的管轄異議訴法國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)(CNIL)的案件,(33)EU: How CNIL fined Google - insights on the One Stop Shop mechanism[EB/OL].[2023-03-11]. https://www.dataguidance.com/opinion/eu-how-cnil-fined-google-insights-one-stop-shop.谷歌公司試圖從數(shù)據(jù)處理決策層面進(jìn)行架構(gòu)設(shè)計(jì),爭(zhēng)取對(duì)本方更有利的管轄。另一方面,對(duì)于數(shù)據(jù)主體而言,在案件含有跨境因素的前提下,他們可以選擇向其“慣常居住地、工作地點(diǎn)或被侵權(quán)地點(diǎn)”的歐盟成員國(guó)的DPA提交針對(duì)私營(yíng)部門實(shí)體的投訴。而OSS機(jī)制從本質(zhì)上為數(shù)據(jù)主體提供了挑選執(zhí)法力度最大、投訴最方便的DPA的可能,(34)Joshua Blume, A Contextual Extraterritoriality Analysis of the DPIA and DPO Provisions in the GDPR[J].Georgia Journal of International &Comparative Law,2018,49.這使得數(shù)據(jù)主體在受到權(quán)利侵害時(shí)的投訴門檻大大降低。

2.管轄競(jìng)擇現(xiàn)象出現(xiàn)的原因

OSS機(jī)制下出現(xiàn)競(jìng)擇現(xiàn)象的根本原因是各國(guó)對(duì)于GDPR執(zhí)法力度的差異。GDPR包含超過(guò)69條所謂的“開(kāi)放條款”,歐盟成員國(guó)DPAs對(duì)GDPR的解釋和罰款標(biāo)準(zhǔn)存在分歧,使得歐盟數(shù)據(jù)保護(hù)法在整個(gè)歐洲執(zhí)行不一致。(35)BrianDaigle,Mahnaz Khan.The EU General Data Protection Regulation: An Analysis of Enforcement Trends by EU Data Protection Authorities[J].Journal of International Commerce &Economics, 2020.以各國(guó)的處罰情況為例,根據(jù)GDPR第58條,DPAs對(duì)違反GDPR的行為進(jìn)行處罰的方式可以包括警告、譴責(zé)、命令數(shù)據(jù)控制者或處理者遵守規(guī)定、施加限制、撤回認(rèn)證以及實(shí)施罰款。根據(jù)GDPR第83(5)條,行政罰款最高可達(dá)2000萬(wàn)歐元或最高可達(dá)被處罰企業(yè)上一財(cái)政年度全球營(yíng)業(yè)額的4%,兩者以較高的為準(zhǔn)。但最高額的規(guī)定并不等于被調(diào)查企業(yè)一定會(huì)受到高額處罰,因?yàn)楦鶕?jù)GDPR第83(2)條的規(guī)定,監(jiān)管機(jī)構(gòu)在決定是否處以行政罰款和決定個(gè)案中的行政罰款數(shù)額時(shí)需要考慮的因素眾多,(36)具體以下事項(xiàng):(1)侵權(quán)的性質(zhì)、嚴(yán)重性和持續(xù)時(shí)間、相關(guān)數(shù)據(jù)處理行為的范圍或目的,以及受影響的數(shù)據(jù)主體的數(shù)量和他們?cè)馐艿膿p害程度;(2)數(shù)據(jù)控制者或處理者是否存在故意或疏忽;(3)數(shù)據(jù)控制者或處理者是否為減輕數(shù)據(jù)主體遭受的損害而采取了行動(dòng);(4)數(shù)據(jù)控制者、處理者實(shí)施的數(shù)據(jù)保護(hù)技術(shù)和組織措施;(5)數(shù)據(jù)控制者或處理者過(guò)往是否存在違規(guī)處理數(shù)據(jù)的行為;(6)數(shù)據(jù)控制者或處理者與監(jiān)管機(jī)構(gòu)的合作程度;(7)受侵權(quán)影響的個(gè)人數(shù)據(jù)類別;(8)侵權(quán)行為的方式;(9)數(shù)據(jù)控制者或處理者先前采取的措施;(10)數(shù)據(jù)控制者或處理者是否遵守行為守則與認(rèn)證機(jī)制;(11)適用于案件情節(jié)的任何其他加重或減輕因素。導(dǎo)致歐盟內(nèi)部數(shù)據(jù)保護(hù)的執(zhí)法步調(diào)、舉措等難以協(xié)調(diào)一致。

截至2023年3月1日,GDPR實(shí)施五周年之際,CMS執(zhí)法跟蹤數(shù)據(jù)庫(kù)中記錄了總共1576起罰款(與GDPR執(zhí)法跟蹤報(bào)告2022相比增加545起),罰款總額約為27.7億歐元(與GDPR執(zhí)法跟蹤報(bào)告2022相比增加11.9億歐元)。在2018年至2023年的報(bào)告期內(nèi),所有國(guó)家的平均罰款約為1755366歐元。(37)5years of GDPR - what has happened so far[EB/OL].[2023-04-17]. https://cms.law/en/int/publication/gdpr-enforcement-tracker-report/numbers-and-figures.西班牙數(shù)據(jù)保護(hù)局在發(fā)出罰單方面表現(xiàn)最為活躍,共發(fā)出583份罰款,其他罰款活動(dòng)相對(duì)較高的國(guó)家是意大利、羅馬尼亞和德國(guó),它們開(kāi)出了60至246張(已公布)罰單,但這三個(gè)國(guó)家加起來(lái)的罰款比西班牙一個(gè)國(guó)家還少。這種差異可能有兩個(gè)原因:一是參與評(píng)估案件和罰款的DPA及其工作人員的數(shù)量,擁有更多可利用的執(zhí)法資源,或是更重視GDPR執(zhí)法的DPA更專注于追究數(shù)據(jù)處理違規(guī)行為;二是各國(guó)DPA執(zhí)法方式的側(cè)重點(diǎn)不同,一些強(qiáng)調(diào)在罰款前進(jìn)行協(xié)商,德國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)認(rèn)為在監(jiān)管的同時(shí)更應(yīng)作為企業(yè)數(shù)據(jù)合規(guī)的引導(dǎo)者提供建議而非一味處罰,因此懲罰力度較輕,累計(jì)罰金數(shù)額在GDPR生效一年才達(dá)到100萬(wàn)。相比之下,一些國(guó)家可能直接開(kāi)出巨額罰單,如英、法兩國(guó)的數(shù)據(jù)保護(hù)機(jī)構(gòu)在GDPR生效不久便開(kāi)具了數(shù)百萬(wàn)金額的罰單。

(三) OSS機(jī)制影響各國(guó)DPAs的獨(dú)立性

GDPR不僅協(xié)調(diào)整個(gè)歐洲的隱私和數(shù)據(jù)安全法律,而且重塑了歐盟地區(qū)的實(shí)體開(kāi)展數(shù)據(jù)保護(hù)的方式。(38)Schildhaus, Aaron. EU’s General Data Protection Regulation GDPR: Key Provisions and Best Practices[J].International Law News,2018,46(2).作為在行政執(zhí)法層面更具操作性的協(xié)調(diào)工具,OSS機(jī)制引入跨境案件中領(lǐng)導(dǎo)監(jiān)管機(jī)構(gòu)的強(qiáng)制干預(yù)體系,但這一機(jī)制卻在很大程度上使得DPA將自己主管案件的權(quán)力讓渡給LSA及歐盟層面的EDPB,影響各國(guó)DPAs的獨(dú)立性。

1.CSA的參與可能影響LSA的獨(dú)立性

OSS機(jī)制旨在降低監(jiān)管機(jī)構(gòu)的協(xié)調(diào)難度和企業(yè)的合規(guī)成本,保障歐盟內(nèi)部規(guī)制的連續(xù)性、一致性和確定性。然而在現(xiàn)實(shí)中當(dāng)各成員國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)的國(guó)內(nèi)運(yùn)作方式和監(jiān)管力度大不相同時(shí),OSS機(jī)制下LSA的決策權(quán)如何與涉案的其他CSA的參與決策權(quán)相互平衡是需要回答的一個(gè)問(wèn)題。(39)方芳,劉宏松.政策環(huán)境、外部沖擊與歐盟個(gè)人數(shù)據(jù)保護(hù)政策形成[J].世界經(jīng)濟(jì)與政治,2023,513(05).因?yàn)镺SS機(jī)制允許歐洲各監(jiān)管機(jī)構(gòu)對(duì)于LSA的最終決定發(fā)表意見(jiàn),甚至提出疑問(wèn),此時(shí)其他監(jiān)管機(jī)構(gòu)會(huì)影響LSA處理跨境案件的獨(dú)立性。

從歐盟成員國(guó)依據(jù)GDPR罰款金額最高的10個(gè)案件中的違規(guī)類型可以看出,處理活動(dòng)的法律依據(jù)不足最有可能導(dǎo)致巨額罰款(占到1/2),而不符合GDPR一般數(shù)據(jù)處理原則則容易導(dǎo)致巨額罰款。最高的最終罰款仍然來(lái)自盧森堡對(duì)亞馬遜歐盟公司的罰款,數(shù)額為7.46億歐元,依據(jù)GDPR罰款金額最高的10個(gè)案件中有一半現(xiàn)在都在數(shù)億歐元的范圍內(nèi)。在其他監(jiān)管機(jī)構(gòu)介入后,愛(ài)爾蘭對(duì)WhatsApp的罰款從最初的3000萬(wàn)歐元增加到2.25億歐元。并且有其他監(jiān)管機(jī)構(gòu)的參與后,歐盟某些國(guó)家的DPAs會(huì)傾向于對(duì)美國(guó)科技巨頭等標(biāo)志性公司實(shí)施更多制裁,這是因?yàn)榇蠊靖菀资艿焦娸浾摰挠绊?發(fā)生丑聞或影響公司信任的情況(如數(shù)據(jù)安全缺失的重大案件,非法利用數(shù)據(jù)的行為),或是政治目的都可能導(dǎo)致一些DPAs對(duì)負(fù)有責(zé)任的公司實(shí)施懲戒性制裁,(40)Voss W. Gregory, Hugues Bouthinon-Dumas.EU General Data Protection Regulation Sanctions in Theory and in Practice[J].Santa Clara High Technology Law Journal, 2020-2021,37(1).導(dǎo)致這些科技公司可能會(huì)出于“對(duì)制裁的不成比例的恐懼”而過(guò)度合規(guī)。(41)Robert C.Bird,Stephen Kim Park.Turning Corporate Compliance Into Competitive Advantage[J].University of Pennsylvania Journal of Business Law,2017,19.

2.EDPB的最終決策權(quán)可能引發(fā)DPAs“向底競(jìng)爭(zhēng)”

根據(jù)GDPR的規(guī)定,DPA應(yīng)該是“獨(dú)立的”,這種獨(dú)立性更多地被理解為獨(dú)立于政府和市場(chǎng)參與者,而不是歐盟境內(nèi)的一般公民,因?yàn)镚DPR的目標(biāo)是特別保護(hù)數(shù)據(jù)主體的權(quán)利。而在OSS監(jiān)管程序下,當(dāng)發(fā)生爭(zhēng)議時(shí),EDPB充當(dāng)GDPR一致性適用的“看門人”參與進(jìn)跨境案件的處理。(42)Paul de Hert, Vangelis Papakonstantinou.The new General Data Protection Regulation: Still a sound system for the protection of individuals?[J].Computer Law &Security Review, 2016,32(2).那么EDPB實(shí)際上對(duì)所有的情況都有最終決定權(quán),即使個(gè)別DPA可能持反對(duì)意見(jiàn),這意味著歐盟國(guó)家數(shù)據(jù)保護(hù)機(jī)構(gòu)對(duì)此類案件的主權(quán)和管轄權(quán)失去獨(dú)立性,不再擁有在本國(guó)控制歐盟數(shù)據(jù)保護(hù)規(guī)則的完全主權(quán)。(43)Hielke Hijmans.The EU as a constitutional guardian of internet privacy and data protection[D]. (PhD thesis, University of Amsterdam, 2016:386. downloaded from UvA-DARE, the institutional repository of the University of Amsterdam (UvA) .DPAs將變得更加“歐洲化”,困在自己的國(guó)家規(guī)則和歐盟法律之間,可能傾向于避免將其權(quán)力“外包”給EDPB,并試圖通過(guò)在OSS機(jī)制內(nèi)的合作來(lái)解決問(wèn)題。OSS機(jī)制試圖統(tǒng)一整個(gè)歐盟的數(shù)據(jù)保護(hù)水平,但歐盟在數(shù)據(jù)治理議題上的向心力不足,在超國(guó)家層面貫徹GDPR規(guī)則時(shí),對(duì)數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)就高還是就低意見(jiàn)不一致,監(jiān)管標(biāo)準(zhǔn)差異較大,可能導(dǎo)致“集體行動(dòng)困境”。(44)Anu Bradford.The Brussels Effects:How the European Union rules the world[M].New York: Oxford University Press,2020:137.于是在EDPB的強(qiáng)勢(shì)地位下,GDPR的直接適用性可能引發(fā)“向底”競(jìng)爭(zhēng)的問(wèn)題——尤其是本身就擁有強(qiáng)大數(shù)據(jù)保護(hù)文化與傳統(tǒng)的國(guó)家(如德國(guó)),可能不得不屈服于EDPB更溫和的意見(jiàn),以較低的保護(hù)水平為代價(jià)來(lái)確保一致性的實(shí)現(xiàn)。(45)AndraGiurgiu,Tine A.Larsen.Roles and Powers of National Data Protection Authorities[J]. European Data Protection Law Review,2016,2(3).

四、歐盟GDPR中“一站式”監(jiān)管機(jī)制的啟示

OSS機(jī)制彰顯了歐盟在數(shù)據(jù)保護(hù)執(zhí)法領(lǐng)域的前瞻性和戰(zhàn)略性,有利于在法律框架約束下形成有序、自由的數(shù)字服務(wù)市場(chǎng),未來(lái)該機(jī)制的實(shí)施效果主要取決歐盟能否為各國(guó)DPAs獲取更多資源配置,以及各成員國(guó)是否愿意加強(qiáng)彌合差異性。我國(guó)亦應(yīng)當(dāng)從歐盟的合作執(zhí)法機(jī)制中受到啟發(fā),一方面積極應(yīng)對(duì)歐盟在數(shù)據(jù)領(lǐng)域的管轄權(quán)擴(kuò)張可能帶來(lái)的風(fēng)險(xiǎn),另一方面反思我國(guó)的數(shù)據(jù)保護(hù)機(jī)構(gòu)的設(shè)置,進(jìn)一步提高數(shù)據(jù)領(lǐng)域執(zhí)法的效率與透明度。

(一) 積極應(yīng)對(duì)歐盟執(zhí)法管轄權(quán)的擴(kuò)張

歐盟作為數(shù)據(jù)保護(hù)領(lǐng)域的“全球行動(dòng)者”,其協(xié)調(diào)成員國(guó)合作處理跨境案件的OSS機(jī)制對(duì)全球數(shù)字服務(wù)市場(chǎng)內(nèi)的隱私監(jiān)管、商業(yè)戰(zhàn)略設(shè)計(jì)與執(zhí)行產(chǎn)生了本質(zhì)影響。面對(duì)歐盟的執(zhí)法管轄權(quán)擴(kuò)張,我國(guó)政府和企業(yè)均應(yīng)在戰(zhàn)略層面做好應(yīng)對(duì)。

1. 通過(guò)法律手段回應(yīng)監(jiān)管工具輸出

歐盟致力于在數(shù)字領(lǐng)域打造“歐洲標(biāo)準(zhǔn)”,通過(guò)“引領(lǐng)”“掛鉤”與“合作”等方式,擴(kuò)大其在全球數(shù)字治理領(lǐng)域的話語(yǔ)權(quán)。(46)薛巖,趙柯.歐盟數(shù)字治理:理念、實(shí)踐與影響[J].和平與發(fā)展,2022,(1).當(dāng)前我國(guó)已出臺(tái)的《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)安全法》等建立了較為完善的數(shù)據(jù)安全管理制度、風(fēng)險(xiǎn)監(jiān)測(cè)機(jī)制以及個(gè)人信息保護(hù)工作框架。當(dāng)前應(yīng)在總體國(guó)家安全觀戰(zhàn)略下以更積極主動(dòng)的姿態(tài)參與全球數(shù)據(jù)治理規(guī)則的制定,既要保護(hù)數(shù)據(jù)安全,應(yīng)對(duì)歐盟在數(shù)據(jù)執(zhí)法領(lǐng)域的監(jiān)管工具輸出,又要強(qiáng)化執(zhí)法效力,防范個(gè)人數(shù)據(jù)域外監(jiān)管帶來(lái)的消極影響。

首先,推動(dòng)完善數(shù)據(jù)保護(hù)法治框架,將數(shù)據(jù)保護(hù)監(jiān)管體系構(gòu)建、監(jiān)管權(quán)力配置和職權(quán)設(shè)定作為立法重點(diǎn)。其次,加強(qiáng)相關(guān)配套制度的建設(shè)來(lái)保障跨境數(shù)據(jù)執(zhí)法活動(dòng)的實(shí)施,如網(wǎng)信部門應(yīng)牽頭制定個(gè)人信息分類分級(jí)、用戶畫像和定向推送、SDK個(gè)人信息處理、個(gè)人信息可攜帶權(quán)和刪除權(quán)行使、個(gè)人信息對(duì)外提供與出境、個(gè)人信息泄露通知等規(guī)范性文件,在此基礎(chǔ)上匯總設(shè)計(jì)數(shù)據(jù)跨境場(chǎng)景的執(zhí)法案例,為相關(guān)部門在具體執(zhí)法過(guò)程中提供執(zhí)法尺度與標(biāo)準(zhǔn)。(47)丁曉東.個(gè)人信息的雙重屬性與行為主義規(guī)制[J].法學(xué)家,2020,(1).最后,加強(qiáng)與其他國(guó)家數(shù)據(jù)保護(hù)機(jī)構(gòu)的合作以解決相關(guān)案件的跨境執(zhí)法難題。與立法管轄權(quán)和司法管轄權(quán)相比,執(zhí)法管轄權(quán)的屬地性最為突出,(48)肖永平.“長(zhǎng)臂管轄權(quán)”的法理分析與對(duì)策研究[J].中國(guó)法學(xué),2019,(6).在數(shù)據(jù)保護(hù)領(lǐng)域能否跨越國(guó)界有效地行使查詢、調(diào)查、扣押和行政罰款等執(zhí)法活動(dòng),很大程度上取決于他國(guó)的意愿。(49)Benjamin J.Keele.Information Sovereignty:Data Privacy,Soverrign Powers and the Rule of Law[J].International Journal of Legal Information,2018,46(2).因而,有必要借助“數(shù)字一帶一路”等平臺(tái)開(kāi)展相關(guān)的國(guó)際合作,一方面在“互惠”條件下開(kāi)展執(zhí)法合作,推動(dòng)“雙向”的國(guó)際司法協(xié)助;(50)Benjamin Greze.The Extra-territorial Enforcement of the GDPR:A Genuine Issue and the Quest for Alternatives[J].International Data Privacy Law,2019,9(2).另一方面通過(guò)提供法律援助、信息共享和聯(lián)合調(diào)查等參與全球網(wǎng)絡(luò)合作,積極參與以“協(xié)調(diào)共同的執(zhí)法行動(dòng)”為宗旨的“全球隱私執(zhí)行網(wǎng)絡(luò)”(GPEN)。(51)陳詠梅,伍聰聰.歐盟《通用數(shù)據(jù)保護(hù)條例》域外適用條件之解構(gòu)[J].德國(guó)研究,2022,37(02).

2.通過(guò)數(shù)據(jù)合規(guī)部署全球數(shù)字經(jīng)營(yíng)戰(zhàn)略

GDPR已成為具有國(guó)際示范乃至通行效力的監(jiān)管工具輸出至其他國(guó)家和地區(qū),憑借廣泛的域外適用效力促使出海企業(yè)適應(yīng)并滿足其數(shù)據(jù)合規(guī)要求。盡管當(dāng)前在OSS機(jī)制下存在出現(xiàn)管轄競(jìng)擇的可能,但可以預(yù)見(jiàn)未來(lái)GDPR下OSS機(jī)制的執(zhí)法力度會(huì)進(jìn)一步加強(qiáng),會(huì)不斷細(xì)化“main establishment”的認(rèn)定從而避免這種管轄困境的出現(xiàn);因而就我國(guó)境內(nèi)諸多與歐洲有業(yè)務(wù)往來(lái)企業(yè)的法律戰(zhàn)略而言,努力開(kāi)展合規(guī)以符合歐盟的個(gè)人數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)是對(duì)企業(yè)更有成效的策略。

其一,相關(guān)企業(yè)應(yīng)及時(shí)跟進(jìn)歐盟立法動(dòng)態(tài),建設(shè)并完善企業(yè)內(nèi)部的數(shù)據(jù)安全內(nèi)控機(jī)制,設(shè)置數(shù)據(jù)合規(guī)專員開(kāi)展數(shù)據(jù)影響評(píng)估、數(shù)據(jù)泄露通知等制度構(gòu)建,最大限度降低GDPR強(qiáng)化監(jiān)管帶來(lái)的沖擊。其二,明確企業(yè)在歐盟境內(nèi)的主要實(shí)體并賦予其符合GDPR下認(rèn)定主要實(shí)體的商業(yè)決策權(quán),參考OSS機(jī)制中領(lǐng)導(dǎo)性監(jiān)管機(jī)構(gòu)的設(shè)置,以全球化視野重新考慮向歐盟服務(wù)相對(duì)應(yīng)的數(shù)據(jù)中心或服務(wù)器的地理區(qū)位選擇,在對(duì)歐盟境內(nèi)其他關(guān)聯(lián)主體的控制權(quán)方面完善戰(zhàn)略布局,以應(yīng)對(duì)數(shù)據(jù)跨境傳輸限制及GDPR長(zhǎng)臂管轄?zhēng)?lái)的國(guó)際法律沖突難題。其三,注重GDPR域外管轄的兜底效力,GDPR第3條以及EDPB發(fā)布的《域外適用指南》對(duì)其域外適用的對(duì)象與范圍進(jìn)行了解釋與界定,(52)本條例適用于歐盟由不在處理活動(dòng)所在的歐盟設(shè)立的控制者或處理者處理歐盟境內(nèi)的數(shù)據(jù)主體的個(gè)人數(shù)據(jù)與:(a)向歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù),無(wú)論是否需要該數(shù)據(jù)主體支付對(duì)價(jià);或(b)監(jiān)控?cái)?shù)據(jù)主體的行為,只要其行為發(fā)生在歐盟領(lǐng)域內(nèi)。無(wú)論這個(gè)數(shù)據(jù)處理活動(dòng)發(fā)生在何處,哪怕是國(guó)外的云儲(chǔ)存都要滿足“設(shè)立商業(yè)實(shí)體(establishment)”標(biāo)準(zhǔn)和“針對(duì)性提供服務(wù)(targeting)”標(biāo)準(zhǔn)。(53)Bu-Pasha, Shakila. Cross-Border Issues under EU Data Protection Law with Regards to Personal Data Protection[J].Information &Communications Technology Law,2017,26(3).未來(lái)OSS機(jī)制下廣泛的“針對(duì)性提供服務(wù)”標(biāo)準(zhǔn)將成為口袋執(zhí)法工具“粉墨登場(chǎng)”,成為企業(yè)全球化運(yùn)營(yíng)數(shù)據(jù)合規(guī)的主要風(fēng)險(xiǎn)。對(duì)于習(xí)慣性的離岸遠(yuǎn)程運(yùn)營(yíng)開(kāi)展全球化數(shù)字服務(wù)的商業(yè)模式而言,可以考慮進(jìn)行必要的數(shù)據(jù)隔離或架構(gòu)獨(dú)立,以最大程度應(yīng)對(duì)與化解風(fēng)險(xiǎn)。

(二)反思我國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)的現(xiàn)有設(shè)置

我國(guó)《第十四個(gè)五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》提出建設(shè)職責(zé)明確的政府治理體系,要求數(shù)據(jù)保護(hù)機(jī)構(gòu)與監(jiān)管模式改革重視執(zhí)法專業(yè)團(tuán)隊(duì)組建與技術(shù)能力建設(shè)的同時(shí)提高執(zhí)法協(xié)作的效率,既要避免因資源保障不到位而可能導(dǎo)致被動(dòng)局面,也要防止僵化執(zhí)法阻礙新型業(yè)態(tài)的發(fā)展。

1.改革數(shù)據(jù)保護(hù)領(lǐng)域“多頭治理”的模式

我國(guó)《個(gè)人信息保護(hù)法》第60條及《數(shù)據(jù)安全法》第8條共同規(guī)定了“國(guó)家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)+行業(yè)主管部門分工監(jiān)管”的“多頭治理”模式。這種監(jiān)管模式的設(shè)計(jì)初衷是充分調(diào)動(dòng)國(guó)家機(jī)器的各部分處理數(shù)據(jù)侵權(quán)案件,最大程度體現(xiàn)數(shù)據(jù)安全監(jiān)管的專業(yè)性,但在實(shí)際運(yùn)行中存在很大的弊端:一是未能清晰、細(xì)致地明確各監(jiān)管部門之間的權(quán)責(zé)分工與界限,監(jiān)管邊界有明顯的重合地帶、存在執(zhí)法尺度不一等問(wèn)題;(54)王錫鋅,彭錞.個(gè)人信息保護(hù)法律體系的憲法基礎(chǔ)[J].清華法學(xué),2021,15(3).二是各部門自身利益訴求差異導(dǎo)致協(xié)調(diào)困境,甚至出現(xiàn)部門間競(jìng)爭(zhēng)性監(jiān)管執(zhí)法的情形,難以實(shí)現(xiàn)分散化治理的目標(biāo)。這種“九龍治水”的監(jiān)管模式亟待被改進(jìn)升級(jí)為統(tǒng)一、協(xié)作的監(jiān)管和執(zhí)法體系。

OSS機(jī)制有利于增強(qiáng)LSA處理跨境案件的威懾力和權(quán)威性。但我國(guó)目前尚不適宜設(shè)立完全獨(dú)立的數(shù)據(jù)監(jiān)管部門,一是因?yàn)楠?dú)立、專門的數(shù)據(jù)監(jiān)管機(jī)構(gòu)需要極高的監(jiān)管標(biāo)準(zhǔn)、健全的行政體制以及完善的市場(chǎng)經(jīng)濟(jì)等制度資源的支持,而我國(guó)長(zhǎng)期以來(lái)奉行行業(yè)執(zhí)法體制,目前不具備設(shè)立獨(dú)立監(jiān)管機(jī)構(gòu)的條件;二是數(shù)據(jù)監(jiān)管具有高度復(fù)雜性和專業(yè)性,數(shù)據(jù)監(jiān)管業(yè)務(wù)需要龐大且專業(yè)化的隊(duì)伍,獨(dú)立機(jī)構(gòu)難以獨(dú)立承擔(dān)各領(lǐng)域的數(shù)據(jù)監(jiān)管工作。我國(guó)的互聯(lián)網(wǎng)和數(shù)據(jù)經(jīng)濟(jì)發(fā)展迅猛,單個(gè)部門將對(duì)跨區(qū)域的數(shù)據(jù)案件應(yīng)接不暇,需要具有全局視野的機(jī)構(gòu)合作來(lái)解決數(shù)據(jù)治理問(wèn)題。(55)唐匯西.網(wǎng)絡(luò)信息政府監(jiān)管法律制度研究[M].武漢:武漢大學(xué)出版社, 2015:79.但我國(guó)可以嘗試構(gòu)建“1+X”的數(shù)據(jù)保護(hù)機(jī)構(gòu)體系,(56)焦娜.歐盟國(guó)家數(shù)據(jù)保護(hù)機(jī)構(gòu)的運(yùn)行機(jī)制研究[J].情報(bào)雜志,2022,41(5).建立全方位與多主體相結(jié)合的中國(guó)特色數(shù)據(jù)保護(hù)機(jī)構(gòu)體系。具體而言,由國(guó)家網(wǎng)信部門與其他監(jiān)管部門形成有效的協(xié)同配合,(57)唐要家.中國(guó)個(gè)人隱私數(shù)據(jù)保護(hù)的模式選擇與監(jiān)管體制[J]．理論學(xué)刊,2021,(1)．在網(wǎng)信部門牽頭下,由不同部門對(duì)同一數(shù)據(jù)跨境案件聯(lián)合監(jiān)管,以統(tǒng)一的監(jiān)管方式和監(jiān)管標(biāo)準(zhǔn)集中解決,形成專項(xiàng)執(zhí)法監(jiān)管合力。2020 年廣東省人大常委會(huì)發(fā)布的《廣東省數(shù)字經(jīng)濟(jì)促進(jìn)條例》(征求意見(jiàn)稿)第二十四條體現(xiàn)了對(duì)這種模式的嘗試,通過(guò)構(gòu)建相對(duì)集中的綜合監(jiān)管模式,提高應(yīng)對(duì)系統(tǒng)性風(fēng)險(xiǎn)的能力。

2. 借鑒歐盟OSS監(jiān)管中的管轄協(xié)調(diào)模式

我國(guó)《網(wǎng)絡(luò)安全法》僅用寥寥數(shù)言點(diǎn)出了數(shù)據(jù)保護(hù)機(jī)構(gòu)間應(yīng)進(jìn)行統(tǒng)籌協(xié)調(diào),但缺乏具體實(shí)施細(xì)則,實(shí)踐中仍存在多頭執(zhí)法的現(xiàn)象,網(wǎng)信部門行使統(tǒng)籌協(xié)調(diào)職能仍存在困境。歐盟的OSS機(jī)制下DPAs間開(kāi)展結(jié)構(gòu)化合作的經(jīng)驗(yàn)可為我國(guó)數(shù)據(jù)監(jiān)管機(jī)構(gòu)的設(shè)定、數(shù)據(jù)監(jiān)管權(quán)力配置提供參考。

第一, 進(jìn)一步細(xì)化網(wǎng)信部門統(tǒng)籌跨區(qū)域保護(hù)案件的職責(zé),同時(shí)賦予網(wǎng)信部門牽頭正式協(xié)調(diào)機(jī)制和非正式協(xié)調(diào)機(jī)制的權(quán)力。在正式協(xié)調(diào)機(jī)制中,網(wǎng)信部門牽頭組織行政執(zhí)法聯(lián)席會(huì)議,對(duì)部門權(quán)限爭(zhēng)議及聯(lián)合執(zhí)法行動(dòng)方案有最終決定權(quán);在非正式協(xié)調(diào)機(jī)制中,由網(wǎng)信部門監(jiān)督舉行不定期研討會(huì),解決各監(jiān)管部門之間在基層執(zhí)法實(shí)踐中出現(xiàn)的共性與個(gè)性問(wèn)題。(58)戢浩飛.行政執(zhí)法體制改革研究[M].北京:中國(guó)政法大學(xué)出版社,2020:282.第二,在制度層面完善辦案信息共享機(jī)制。歐盟提供IMI平臺(tái)促進(jìn)監(jiān)管機(jī)構(gòu)之間的信息共享,提升了對(duì)跨境案件的執(zhí)法效率。我國(guó)可借鑒上述經(jīng)驗(yàn)創(chuàng)建數(shù)據(jù)保護(hù)案件信息共享平臺(tái),通過(guò)案件信息及政務(wù)數(shù)據(jù)共享提高案件處理效率,各領(lǐng)域的行業(yè)主管部門進(jìn)行行業(yè)監(jiān)管時(shí)發(fā)現(xiàn)危害數(shù)據(jù)安全或個(gè)人隱私的執(zhí)法線索時(shí),可通過(guò)該平臺(tái)上報(bào)相關(guān)線索,在網(wǎng)信部的協(xié)調(diào)下由特定部門處理,提升業(yè)務(wù)協(xié)同水平。第三,建立區(qū)域執(zhí)法協(xié)調(diào)常態(tài)化機(jī)制。數(shù)據(jù)處理具有明顯的跨區(qū)域性和空間不確定性,因而有必要建立相關(guān)異地執(zhí)法協(xié)調(diào)機(jī)制,充分發(fā)揮行業(yè)主管監(jiān)管部門專業(yè)優(yōu)勢(shì),在網(wǎng)信部的統(tǒng)籌下由行業(yè)主管監(jiān)管部門開(kāi)展特定領(lǐng)域的個(gè)人信息執(zhí)法工作,同時(shí)接受權(quán)利人投訴并調(diào)查違法行為等。(59)崔聰聰.個(gè)人信息保護(hù)的行政監(jiān)管及展開(kāi)[J].蘇州大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版),2022,43(05).值得注意的是,我國(guó)港澳等地區(qū)亦在全球數(shù)據(jù)跨境流動(dòng)中扮演著重要角色,因此對(duì)于中國(guó)港澳地區(qū)與大陸內(nèi)地?cái)?shù)據(jù)執(zhí)法協(xié)調(diào)問(wèn)題理應(yīng)給予明確規(guī)定,統(tǒng)籌協(xié)調(diào)執(zhí)法資源、打破監(jiān)管壁壘,盡快落實(shí)國(guó)內(nèi)個(gè)人數(shù)據(jù)的轉(zhuǎn)移原則與相關(guān)政策。

(三)切實(shí)提高數(shù)據(jù)保護(hù)領(lǐng)域的執(zhí)法水平

開(kāi)展數(shù)據(jù)保護(hù)領(lǐng)域的執(zhí)法,網(wǎng)信部門及相關(guān)監(jiān)管機(jī)構(gòu)需要配備囊括法律、技術(shù)、管理、國(guó)際合作等領(lǐng)域的專業(yè)人員,還需要高效的組織體系保障各機(jī)構(gòu)等密切配合、高效聯(lián)動(dòng),這要求國(guó)家加強(qiáng)數(shù)據(jù)監(jiān)管部門的資源配置。此外,還應(yīng)考慮到執(zhí)法過(guò)程中的程序正當(dāng)原則以及靈活的執(zhí)法思路,切實(shí)提高執(zhí)法水平。

1.確保數(shù)據(jù)保護(hù)領(lǐng)域執(zhí)法的程序正當(dāng)

國(guó)家保護(hù)義務(wù)的程序保障拓展到行政執(zhí)法領(lǐng)域,出現(xiàn)了所謂的“正當(dāng)法律程序”。數(shù)據(jù)保護(hù)領(lǐng)域的“正當(dāng)法律程序”要求數(shù)據(jù)主體、數(shù)據(jù)控制者及處理者能在正當(dāng)權(quán)利受到侵害時(shí)候獲得公平透明的行政程序保障和有效的權(quán)利救濟(jì):在必要時(shí)能夠參與聽(tīng)證過(guò)程,數(shù)據(jù)主體可以在訴訟中提出停止侵害、消除影響、要求賠償?shù)耐緩?并針對(duì)監(jiān)管機(jī)構(gòu)的不作為提起訴訟。我國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)在執(zhí)法層面應(yīng)當(dāng)盡可能落實(shí)上述要求。

一方面,在處理技術(shù)復(fù)雜的數(shù)據(jù)場(chǎng)景下,與個(gè)人信息活動(dòng)監(jiān)控與處理關(guān)聯(lián)的執(zhí)法行為、政府決策應(yīng)進(jìn)一步透明化,(60)施密特·阿斯曼.秩序理念下的行政法體系建構(gòu)[M].林明鏘,等譯,北京:北京大學(xué)出版社,2012:263-264.此時(shí)公民對(duì)于政府行為的預(yù)期不能僅僅依賴于抽象的法律規(guī)定,需要政府相關(guān)部門履行信息披露和解釋義務(wù),履行報(bào)告、評(píng)估、糾正與刪除義務(wù),增加數(shù)據(jù)處理活動(dòng)與決策的透明度,(61)Jack M. Balkin.The Constitution in the National Surveillance State[J].Minnesota Law Review, 2008,93(1).這有利于公共問(wèn)責(zé)機(jī)制的展開(kāi)。另一方面,歐盟各成員國(guó)DPAs在OSS機(jī)制下重視社會(huì)公眾的參與度,借助重視公民投訴獲取大量案件信息,尤其是影響廣泛的數(shù)據(jù)跨境案件的信息?？梢越梃b上述經(jīng)驗(yàn)暢通公民進(jìn)行權(quán)利救濟(jì)的渠道,同時(shí)在相關(guān)案件處理中引入聽(tīng)證程序。Google LLC案件中雙方關(guān)于是否適用OSS機(jī)制的最大爭(zhēng)議便是數(shù)據(jù)處理者是否參與相關(guān)程序的聽(tīng)證環(huán)節(jié)。數(shù)據(jù)保護(hù)領(lǐng)域的案件往往涉及復(fù)雜的事實(shí)、證據(jù)認(rèn)定,為保證數(shù)據(jù)控制者、處理者以及數(shù)據(jù)主體的權(quán)利,利益相關(guān)方應(yīng)當(dāng)被賦予對(duì)證據(jù)和調(diào)查報(bào)告發(fā)表意見(jiàn)的機(jī)會(huì),網(wǎng)信部門可以考慮召開(kāi)聽(tīng)證會(huì)并設(shè)置對(duì)抗式舉證環(huán)節(jié),但涉及到國(guó)家主權(quán)與網(wǎng)絡(luò)安全等問(wèn)題,應(yīng)當(dāng)根據(jù)比例原則適當(dāng)限制當(dāng)事人的程序性權(quán)利。

2.考慮采用階段性、場(chǎng)景化的執(zhí)法思路

GDPR生效后的最初半年時(shí)間,歐盟多數(shù)DPAs僅針對(duì)個(gè)人數(shù)據(jù)侵權(quán)活動(dòng)開(kāi)展“探索性調(diào)查”,(62)Paul Breitbarth.The Impact of GDPR One Year On[J].Network Security,2019,(7).主要工作內(nèi)容是向不符合GDPR的公司和商業(yè)組織提供指導(dǎo)和建議,督促其開(kāi)展有效的數(shù)據(jù)合規(guī)整改。這種留有余地的“柔性”執(zhí)法方式不僅給相關(guān)企業(yè)提供了建立合規(guī)機(jī)制、完善自身管理的過(guò)渡期,也使監(jiān)管機(jī)構(gòu)有機(jī)會(huì)根據(jù)實(shí)踐填補(bǔ)政策空白,調(diào)整執(zhí)法方式?！疤剿餍哉{(diào)查”階段結(jié)束后,各DPAs對(duì)跨境案件的執(zhí)法力度逐步加大,對(duì)大型跨國(guó)科技公司的執(zhí)法力度增強(qiáng)。我國(guó)在對(duì)于數(shù)字服務(wù)市場(chǎng)范圍內(nèi)的數(shù)據(jù)處理者開(kāi)展監(jiān)管時(shí),亦可設(shè)置“探索性”調(diào)查階段,根據(jù)數(shù)據(jù)保護(hù)影響評(píng)估的客觀結(jié)果,盡可能避免形式化監(jiān)管和“一刀切”的隱私監(jiān)管政策導(dǎo)致的非公平的數(shù)字服務(wù)市場(chǎng)競(jìng)爭(zhēng)秩序。還需要遵循比例原則的要求,考量行政措施與其他機(jī)制之間的銜接,實(shí)現(xiàn)部門法工具之間的協(xié)調(diào),(63)王錫鋅.個(gè)人信息國(guó)家保護(hù)義務(wù)及展開(kāi)[J].中國(guó)法學(xué),2021,219(1).在選擇制裁方式與程度時(shí)充分考慮不同場(chǎng)景,而非片面追求嚴(yán)苛的執(zhí)法效應(yīng)。

一方面,對(duì)于中小企業(yè)的監(jiān)管以扶持引導(dǎo)為主,注重落實(shí)中小企業(yè)的“豁免權(quán)”,避免因?yàn)檫^(guò)度執(zhí)法給中小企業(yè)及相關(guān)行業(yè)發(fā)展帶來(lái)滅頂之災(zāi),促進(jìn)數(shù)字服務(wù)市場(chǎng)健康持續(xù)發(fā)展,警惕數(shù)據(jù)保護(hù)執(zhí)法領(lǐng)域“馬太效應(yīng)”的出現(xiàn)。另一方面,考慮開(kāi)展針對(duì)超級(jí)互聯(lián)網(wǎng)平臺(tái)治理的專項(xiàng)執(zhí)法,如谷歌、微軟、亞馬遜等全球互聯(lián)網(wǎng)公司是集中消費(fèi)者、商家、物流、交易等多重要素的數(shù)字基礎(chǔ)設(shè)施,海量個(gè)人信息通過(guò)這些數(shù)據(jù)平臺(tái)進(jìn)行交互,這些平臺(tái)用戶數(shù)量龐大、業(yè)務(wù)類型復(fù)雜、資本運(yùn)作集中,對(duì)個(gè)人隱私安全構(gòu)成了巨大的威脅,而在依賴信息流通帶來(lái)效率與福利的數(shù)字時(shí)代,每個(gè)人都無(wú)法抽身而出。(64)Jack M. Balkin.Free Speech in the Algorithmic Society: Big Data, Private Governance, and New School Speech Regulation[J].U.C.Davis Law Review,2018,51.我國(guó)互聯(lián)網(wǎng)平臺(tái)發(fā)展勢(shì)頭迅猛,有必要開(kāi)展針對(duì)大型互聯(lián)網(wǎng)平臺(tái)個(gè)人信息處理活動(dòng)的專項(xiàng)執(zhí)法,及時(shí)解決存在的強(qiáng)制索權(quán)、一攬子授權(quán)和違法共享等問(wèn)題,切實(shí)提高數(shù)據(jù)保護(hù)領(lǐng)域的執(zhí)法水平。

結(jié) 語(yǔ)

互聯(lián)網(wǎng)和移動(dòng)終端時(shí)代的個(gè)人數(shù)據(jù)跨境處理幾乎不可避免,對(duì)于數(shù)據(jù)跨境活動(dòng)的監(jiān)管,歐盟司法轄區(qū)內(nèi)法律框架已漸趨成熟,以一個(gè)統(tǒng)一體的姿態(tài)更加自信地向“數(shù)字主權(quán)”和“數(shù)字單一市場(chǎng)”的立法目標(biāo)邁進(jìn)。(65)Statement by Vice-President Ansip and Commissioner Jourová ahead of the entry into application of the General Data Protection Regulation[EB/OL].[2023-04-19].https://ec.europa.eu/commission/presscorner/detail/en/STATEMENT_18_3889.毋庸諱言,GDPR“一站式”監(jiān)管機(jī)制在運(yùn)行中存在一些困境,但該機(jī)制為歐盟境內(nèi)數(shù)據(jù)跨境案件的執(zhí)法合作提供了良好的協(xié)調(diào)機(jī)制,其背后蘊(yùn)含的數(shù)據(jù)保護(hù)理念和價(jià)值傾向也將深刻地影響全球數(shù)字產(chǎn)業(yè)的發(fā)展,以及未來(lái)各國(guó)數(shù)據(jù)保護(hù)立法與執(zhí)法的走向。我國(guó)的數(shù)據(jù)保護(hù)立法頂層設(shè)計(jì)步穩(wěn)蹄疾,在積極應(yīng)對(duì)歐盟等域外國(guó)家的監(jiān)管工具輸出、建立完善的數(shù)據(jù)保護(hù)法律框架的同時(shí),應(yīng)關(guān)注到數(shù)據(jù)領(lǐng)域的執(zhí)法監(jiān)管,反思當(dāng)下數(shù)據(jù)保護(hù)機(jī)構(gòu)的設(shè)置及執(zhí)法模式的弊端,在切實(shí)提高數(shù)據(jù)保護(hù)水平的同時(shí)促進(jìn)規(guī)范數(shù)字服務(wù)產(chǎn)業(yè)的競(jìng)爭(zhēng)秩序與行業(yè)規(guī)則。應(yīng)當(dāng)盡快在立法與執(zhí)法層面做好制度設(shè)計(jì),平衡數(shù)據(jù)流動(dòng)與數(shù)據(jù)安全,早日實(shí)現(xiàn)互聯(lián)網(wǎng)被賦予的促進(jìn)“全球互聯(lián)互通”之愿景。