美欧跨境数据转移谈判及其启示
2018/9/13 10:14:53 点击率[71] 评论[0]
【法宝引证码】
    【学科类别】知识产权法
    【出处】央财知产研究中心
    【写作时间】2018年
    【中文摘要】本文系中央财经大学法学院张金平助理教授在“数字经济发展与个人信息保护”研讨会暨中财数字经济与法治研究中心成立大会第四单元“GDPR对我国数字经济的影响及应对”上的发言。
    【中文关键字】跨境数据转移谈;数字经济发展;个人信息
    【全文】

      1.谈美欧跨境数据转移谈判的背景
     
      今天上午大家已经讨论到一个很核心的问题,GDPR为什么有长臂管辖的权力,为什么很多国家要尊重它这个机制,连美国也没有到WTO主张它这种法律是与国际法相冲突的。同时,大家也谈到企业如果需要将在欧洲经营时产生的数据转移到中国的两种模式,一种是我国作为一个整体通过了GDPR的第三国适当性评估,中国企业就可以自由进行数据跨境;另外一个模式是在我国未通过第三国适当性评估的情况下的替代性机制,如提交的企业有效规则获得成员国数据保护当局的通过,或者企业采纳欧盟委员会提供的标准合同条款,但这个模式下每一个企业都要各自去满足GDPR的要求,对企业而言成本很高。
     
      因此,为了解决这两难,我国有人提出要借鉴美国的做法,与欧盟进行跨境数据转移的双边谈判。这就要求我们首先了解欧盟是如何谈判的,谈了什么内容,最后又执行得怎么样。其实美欧在1976年就开始谈判个人数据保护的问题,而且进行了至少六次谈判。由于时间的关系,这里主谈其中的两次:安全港协议谈判和隐私盾协议谈判。
     
      2.安全港协议谈判
     
      互联网的发展导致欧洲发达国家在上世纪七十年代就已经用计算机实现了自动化处理,但这主要是由美国IBM等公司推动的。自动化处理的结果是,政府、企业和个人所有的交易与日常的管理会产生大量的数据。而这些数据,却主要存储在美国企业的服务器中。因此,欧洲各国都担心其经济掌握在美国企业手中,甚至数据转移后被掌握在美国政府手中。为此,欧洲各国在1976年就通过经合组织(OECD)拉美国进入谈判,但最终形成的《OECD关于隐私保护和个人数据跨境转移的指南》却没有强制力。
     
      为了提供美国也不得不执行的跨境数据转移规则,欧盟在1994年终于找到了机会,即WTO框架下的《服务贸易总协定》(GATS)提供了限制服务贸易的例外机制:一个隐私例外,即成员国可以为了保护个人数据和隐私设置限制服务贸易自由的规定;另一个是安全例外,但GATS对安全并没有加以明确限定。
     
      因此,欧盟选择了GATS的隐私例外,在1995年通过的《个人数据保护指令》中规定,在欧企业将个人数据转移到第三国的前提,是第三国提供了相当于欧盟的水平,即由欧盟来对第三国的个人数据保护水平进行适当性评估。而且,很快,欧盟就在1999年一纸宣布美国没有通过第三国适当性评估。
     
      然而,美国已经有数千家企业深入欧洲市场,而每家企业单独满足欧盟的要求将会成本非常高。因此,美国商务部主动与欧盟委员会进行数据跨境的双边谈判。
     
      美国谈判代表David Aaron创造性地提出安全港框架,即以两国共同接受的个人数据处理原则为基础、以双方最为关切的内容为常见问题形成一个框架,由美国企业来自愿执行,美国商务部将这些企业名单发给欧盟委员会,欧盟及其成员国应当认可这些美国企业提供了个人数据的适当性保护,继而允许其进行数据跨境转移。欧盟同意了这个理念,但要求企业自愿加入后其承诺就可以强制执行,美国也要对这些企业的执行进行监督。对此,美国同意由美国贸易委员会来进行执法监督。
     
      安全港协议在2001年通过之后,在2002年时有150家美国企业加入,2005年增至717家,后来增加到4400家。从这个意义上而言,安全港协议谈判是非常成功的。
     
      3.隐私盾协议谈判
     
      2013年斯诺登事件以后,欧盟法院借斯姆雷斯诉脸书公司案判决欧盟委员会不能以一纸安全港协议确保美国对欧洲公民的个人数据提供了适当性保护,因此无效了安全港协议。不过,美国四千多家企业的数据流动没法停下来。因此,美国商务部再次做了妥协,也就有了2016年的隐私盾协议。
     
      此次谈判的重点是斯诺登事件中出现的问题,即美国政府通过向美国企业索取数据。对此,欧盟要求在安全港协议的基础之上,增加个人数据保护的救济机制和执法监督等机制:(1)增加了四个监督机构,包括美国司法部、美国国务院、美国国家安全局和监察室;(2)欧美共同成立个人数据申诉的争议终局解决机制——仲裁机构;(3)美国企业自愿上报数据跨境转移后是否转移给美国政府;(4)隐私盾协议每年一审;不能通过的,欧盟委员会有关单方面停止该协议的执行。到如今,美国已有三千多家企业加入了隐私盾。
     
      不过,特朗普上台后,对于前任政府就隐私盾协议作出的承诺,却没怎么执行。不仅如此,美国还通过了《澄清合法获取海外数据法》,规定美国企业有义务将其存储在美国境外云服务器中的个人数据提供给美国执法机构。对此,欧盟议会在隐私盾第二年度审议即将到来之际,要求欧盟委员会督促美国赶在2018年9月1日之前执行,否则欧盟委员会应当暂停该协议的执行。
     
      4.欧美跨境数据转移谈判的启示
     
      从欧盟的个人数据保护立法的初衷以及欧美的跨境数据谈判中不难发现,欧盟个人数据保护法的核心功能是为限制跨境数据转移提供一套合法机制,其目的不仅是限制企业处理个人数据、保护个人利益,更重要的是限制他国政府通过其本国在欧企业获得数据。由此,我们就不难发现,为何欧盟个人数据立法至今都没有从民事权利侵权救济方面解决个人告企业个人数据权侵权的举证难问题,如创设举证责任倒置和法定赔偿,而是直接引入行政执法机制并设置巨额行政处罚。
     
      因此,如果未来中欧要进行数据跨境转移谈判,就需要解决中欧在个人数据保护法上的差异甚至是冲突(不过,我国《网络安全法》的数据跨境安全评估和欧盟GDPR的数据跨境限制机制都符合GATS的例外),并就双方关切的内容(如政府从企业获取数据的正当程序、个人数据的救济机制)提供一套合理的解决方案,其难度可想而知。

    【作者简介】
    张金平,中央财经大学法学院助理教授。

    本网站文章仅代表作者个人观点,不代表本网站的观点与看法。
    转载请注明出自北大法律信息网
0
北大法律信息网
www.chinalawinfo.com
法律动态
网站简介
合作意向
网站地图
资源导航
版权声明
北大法宝
www.pkulaw.cn
法宝动态
法宝优势
经典客户
免费试用
产品服务
专业定制
购买指南
邮件订阅
法律会刊
北大英华
www.pkulaw.com
英华简介
主要业务
产品列表
英华网站
联系我们
用户反馈
返回顶部
二维码