欧美跨大西洋数据传输困境及混合模式的应对
2023/4/15 22:40:57 数据法盟

    

    联系微信：heguilvshi领取优惠券，加入会员

     Risk and Rights in Transatlantic Data Transfers:

     EU Privacy Law, U.S. Surveillance, and the Search for Common Ground跨大西洋数据传输中的危机和权利：欧盟隐私法，美国监视行为，以及共同点探寻

     Ira Rubinstein & Peter Margulies

     CONNECTICUT LAW REVIEW, 2022,Vol. 54, No. 2

     作者信息

    

     Ira Rubinstein是纽约大学法学院信息法研究所的高级研究员。他于1985年毕业于耶鲁法学院。他曾担任Microsoft法规事务和公共政策小组的副总法律顾问。他的研究兴趣包括互联网隐私，电子监控法，大数据和选民隐私。

    

     Peter Margulies是国家安全法的专家。他毕业于哥伦比亚大学。他的主要研究领域包括国家安全法，反恐法，移民法等。

     壹

     文章摘要

     Schrems II 一案作出判决后，欧盟隐私机构与美国之间的差距逐渐拉大，本文旨在通过一个混合模式来填补这一差距，该模式将以风险为基础的数据传输方法与对美国监视行为的实质性和制度性检查相结合，并以美国的出口管制法为框架实施这一传输方式；在制度领域，本文提议在美国法律中建立一个新的保障措施，即算法权利法院，以负责处理欧盟成员国居民的隐私投诉，该法院将提供具有黄金标准的独立审查机制；为实现实质性的审查，本文建议国会应颁布一项法规以禁止收集位于国外的美国公司的外国雇员的通信。该混合模式能够保护隐私和国家安全，同时确保跨大西洋数据传输的持续可行性。

     贰

     文章主要内容

     本文共分为六个部分。第一部分作者对美国的域外监视进行了描述，并得出了如下结论：虽然在斯诺登事件后，美国对其域外监视行为改革的意义重大，但还不足以应对欧洲法院的批评意见；第二部分作者对欧洲法院的判例进行了讨论，其中包括了Schrems II一案以及其后续裁判—— Quadrature du Net，这一部分还对《一般数据保护条例》第49条的克减规则的潜在适用情形进行了探索；第三部作者对欧洲数据保护委员会颁布的令人费解的指南进行了解读，该指南声称为数据传输提供了一个路线图，但实际上该路线并不具备任何可行性。文章的剩余部分提出了一种混合模式，作为对欧洲数据保护委员会事实上绝对禁止数据传输的回应；第四部分作者提出了在美国出口管制的基础上对数据出口进行分级风险评估的制度；第五部分作者对欧盟成员国与第三国之间的双边协议进行了概述；第六部分作者提出了对美国的监视行为进行实质性和制度性审查的要求，以适应Schrems II一案带来的新情形。

     混合模式介绍

    

     (一)以风险为基础的数据传输方式(在美国出口管制的分级结构下)

     作者把关注点放在了美国的出口管制上，并注意到由于美国和欧盟成员国都参与了相关的多边出口管理体制，因此，两者对 "两用产品"(即既有民用又有军用的物品、技术或软件)的管制在大多数相关方面都非常相似。进而作者借用美国出口管制的分级结构对数据传输的风险分析方式提出自己的观点。

     1. 关于美国《出口管制法》

     根据美国出口管制的相关规定，对于任何特定的出口交易，公司必须确定：1)适用哪些美国出口管制的规定；2)这些管制是否需要许可证；3)为需要许可证的项目准备和提交适当的申请；4)按照许可证的授权进行运输，同时保留任何所需的文件。

     2.数据出口制度与美国两用产品出口制度

     这种对美国出口管制制度的简化总结使我们能够比较欧盟数据保护委员会的《建议》中制定的数据出口制度与美国两用产品出口管制制度对待出口标的物的差异。

     两用产品出口管制制度是相当实用的。其允许自我分类，从而促进效率。但该制度避免将政府的任务委托给私人公司，如关于哪些物品是敏感的或哪些国家会引起国家安全或外交政策问题的政策决定。由政府做出这些决定，并只将这些政策适用的具体出口方案的任务委托给公司。因此，出口商通过运用他们自己的专业知识和他们自己掌握的信息来确定他们的许可义务。

     然而，欧盟数据保护委员会的《建议》未能为数据出口者提供类似的具体指导。相反，其要求数据出口者根据基本保障的抽象条款来评估外国的监视法、政策和事务情况，而没有确定更具体的因素来决定在特定情况下标准合同条款(Standard Contract Clauses)是否能够有效适用。两用产品出口管制制度提供了一种以风险基础的、高度细化的评估方法，以确定一项出口是否符合普通许可证的要求。一般来说，如果一项出口对另一个国家的军事潜力没有重大贡献或破坏美国的外交政策目标，则管制制度会将其列为低风险等级。

     相比之下，欧盟数据保护委员会的《建议》对基于风险的方法仍存在不足。在两用产品出口管制中，对向盟国和其他国家的出口采取准许性的许可办法，将监管资源集中在向受限制和禁运国家的出口上，欧盟数据保护委员会的《建议》几乎没有在地缘政治的基础上对不同国家进行区分。诚然，《建议》提到了《一般数据保护条例》的第45(2)条，该条确定了诸如 "法治、尊重人权和基本自由 "等一般因素作为评估过程的一部分。但对美国监控法的点名和羞辱(《域外情报监视法》第702条和第12333号行政命令)表明，委员会认为对美国的数据出口与对俄罗斯或中国的数据出口是一样的，这些国家维持的监控项目明显缺乏对法治的尊重或问责制。

     欧盟数据保护委员会的《建议》与两用产品出口管制制度相比，在其他几个细微之处有所欠缺。在两用产品出口管制制度对不同的最终用户/终端用途作出明显区分的情况下，而委员会将所有数据进口商视为类似情形。根据《建议》的步骤3，向美国传输数据必须以同样的方式进行分析，无论它是由谷歌或脸书进行的，还是由一家从事不具危险性和普通业务的美国公司进行的。虽然《建议》确定了评估国外法律和补充措施有效性的风险因素，但最终这些因素都归结为是否满足基本等同性标准的二元决策机制。这种僵化的二元标准混淆了商业模式根本不同、引发美国政府监视的风险截然不同的公司。

     美国的出口管制制度抓住了这种细微差别，而不是忽视它们。其允许大多数普通商业项目的出口而无需正式批准，同时根据政府事先确定的合理明确的风险因素，限制或禁止战略物资和技术的出口。美国武器控制制度是限制性的，要求所有受控物品向任何目的地出口都要有许可证，而且许可证申请被拒的概率较高。资产控制是禁止性的，几乎阻断了与禁运国家的所有金融和贸易交易。虽然欧盟数据保护委员会的《建议》旨在描述一个许可性的制度，但许多数据出口商可能会通过使用标准合同条款向第三国传输数据，但事实上，《建议》描述了一个高度限制性的制度，足以有效地禁止向美国传输数据。

     (二)对美国监视行为的制度和实体法审查

     1. 独立审查制度根据欧洲法院的判例，独立审查是至关重要的。在美国的体系中，要确保这种独立程度，需要由两个可能的特别法庭之一进行审查。根据美国宪法第三条的规定，可以由一个由终身任职的法官主持的联邦法院进行审查。在另一种情况下，可以通过一个多成员的两党行政机构进行审查，其成员只能因“特定事由”被解雇。

     (1)建立算法权利法院( Algorithmic Rights Court)为了解决Schrems II一案中提出的对美国隐私保护充分性的制度性担忧，国会应设立一个新的法院，即算法权利法院。算法权利法院将按照Schrems II一案的判决要求，听取个人对隐私的投诉。在这方面，算法权利法院可以审查《域外情报监视法》第702条和第12333号总统令规定的搜索标准。算法权利法院还可以处理相关问题的投诉，包括目前用于信贷、就业、政府福利和住房的许多算法的脆性、偏见和缺乏可理解性等问题。

     算法权利法院将是一个由美国宪法第三条规定的法官组成的联邦法院，具有终身任期。这将保证算法权利法院免受政治压力。

     作为对政府的额外检查，算法权利法院将有一个全职的公共辩护人。公共辩护人将扩大法庭之友目前在域外情报监视法庭中发挥的作用。与法庭之友一样，公共辩护人可以对政府的法律主张和技术主张进行反击。此外，国会将授权公共辩护人代表公众对过度、错误或有偏见的监视进行诉讼。

     算法权利法院的程序将解决Schrems II审判法院提出的制度和程序问题。因为，算法权利法院的法官是独立的，并且Schrems II审判法院的公平程序问题将通过设立一个站在政府对立面的公共辩护人而得到解决。政府的合法国家安全问题将通过为算法权利法院人员和公共辩护人设立安全审查义务而得到兼顾。

     (2)一个独立的行政部门机构如果缺乏采取这种大胆行动的政治意愿，美国可以通过一个行政部门机构来解决独立性问题。为了听取欧盟成员国居民的隐私投诉，国会可以建立一个多成员的两党行政机构，其成员只能因“特定事由”被解雇。国会可以设立一个新的多成员机构，并为确保该机构的独立性进行立法，也可以在现有的多成员机构内建立审查制度，如联邦贸易委员会( Federal Trade Commission)、 隐私和公民自由监督委员会(Privacy and Civil Liberties Oversight Board)等。2. 立法活动制度上的独立应伴随着实体法上的变化。这将包括第28号总统政策指令的编纂，反对收集美国公司在国外的欧盟雇员的通信的推定，以及修订《域外情报监视法》的“外交事务”部分的规定。

     (1)第28号总统政策指令的法律化第28号总统政策指令是一个有用的限制，其将美国的监视行为限制在某些特定的领域，包括间谍、破坏和恐怖主义。然而，下一任总统可以撤销这一措施，使美国的监视活动不受限制。因此，作为一个实际问题，第28号总统政策指令具有令人惊讶的复原力。值得注意的是，尽管特朗普总统背离了他的前任，但他仍然保留了该指令。然而，为确保该指令的持续有效性，国会应将其保护措施编入法律。

     (2)确立保护美国公司欧盟雇员的法律规范国会应将基于风险的分析中目前存在的对美国海外公司的保护措施编入法律。由于美国政府的情报能力极不可能达到监视公司内部数据转移的程度，但是这种转移处于跨大西洋协议(如隐私盾协议)所涵盖的过程范围。若针对美国人个人的行为是非法的，那么根据《域外情报监视法》第702条针对美国公司的通信的行为也是非法的。国会可以通过明确规定禁止针对美国公司在国外的任何外国雇员的法定推定来强调这一保护措施。

     这一推定将与美国的安全相吻合。由于美国公司在国内和国外都会仔细审查自己的雇员，因此这些雇员从事对美国或其盟国构成危险的活动的风险似乎很小。此外，该推定的一部分，国会可以规定，如果向域外情报监视法院或另一个独立的决策者表明有关个人具有从事危机美国国家安全的合理可能性的，则可以推翻这一推定。这种针对个人行为的具有可能性的原由将满足判例Schrems II对必要性和相称性的要求。

     (3)修订《域外情报监视法》的“外交事务”部分国会也应对《域外情报监视法》第702条的“外交事务”部分进行修改。该条款允许美国“针对外国势力或外国领土”对涉及美国外交事务的任何事项进行监视。美国监视行为的批评者长期以来一直指出，第702条的外交事务规则给予了美国监控官员在选择监视目标上的广泛自由裁量权。在实践中，外交事务原则的范围可能较窄，其监视重点是针对美国公司的实施反竞争行为的外国公司和在联合国等国际机构中提升地位的外国外交官。美国在这种情况下收集的情报有时是有用的。然而，国会应该就这种情报是否值得因第702条的外交事务规则所引发的不信任而对美国整体利益造成的损害进行坦诚而热烈的辩论。

     经过这样的辩论，国会能够制定一个更精确的适用外交事务规则的替代方案，该规则的重点应是收集有关外国公民逃避美国制裁的情报，或者由外国官员从事的腐败行为，如从美国或其他公司接受贿赂。这一变化将限制美国政府监视活动的范围，也许会阻碍获得一些有用的情报。然而，这一变化将是一个强有力的信号，表明美国官方准备为维护与欧盟的合作所带来的更大利益做出牺牲。这种权衡似乎是非常值得的。

     (三)对《一般数据保护条例》第49条的克减规则的重述在混合模式中，本文考虑将基于风险的评估、美国的立法改革和《一般数据保护条例》第49条的克减规则结合起来。特别是在公司内部，基于同意或履行合同的克减可能会从本文所建议的混合方法中获得额外的可信度。一家公司仅仅依靠第49条是不明智的，也是不负责任的，即使是公司内部的数据传输。然而，如果有合理的隐私保障措施——尽管这些保障措施并非绝对万无一失——这样的数据传输可能会经受住审查。本文中的基于风险的方法也可能是有帮助的。

     用一个例子来说明这一点。假设一个合理的数据控制者(一家公司的首席隐私官)认为出于合同目的的特定数据传输不太可能引起情报机关的审查。这种评估也可能有利于允许该传输。正如本文在建议美国改革时指出的那样，禁止监视美国公司在国外的外国雇员的法定推定也将有助于合规。也许这些因素中的任何一个单独出现时都不会受到青睐。然而，所有这些因素的混合可能形成《一般数据保护条例》所要求的防止入侵的实际保障。叁

     文章结论

     欧洲法院在Schrems II一案中的判决对跨大西洋数据传输提出了重大挑战。在认定向美国的数据转移没有提供足够的隐私保障时，判例Schrems II认为美国的监视行为缺乏必要性和相称性——尤其是根据第12333号总统令和《域外情报监视法》第702条进行的监视行为，以及审查欧盟成员国居民隐私投诉的机制缺乏独立性。因此，跨大西洋数据传输的利益相关方的主要任务是以建设性的方式解决欧洲法院的忧虑。

     根据目前的争论状况，目前应对判例Schrems II所提出的措施都存在一定的缺陷，找到一个完美的解决方案很难。美国的一些人把重点放在批评或否认上，他们认为欧洲法院的判决有问题，认为法院没有充分认识到美国法律中的制衡机制，包括在斯诺登事件曝光后，域外情报监视法庭发挥了更有力的作用；其他人则诉诸于律师喜欢玩的定义游戏，否认欧盟内向美国传输数据的实体受到了美国政府的监视。无论是批评还是否认，都无法构成对欧盟法院里程碑式裁判的充分回应。

     同时，一些欧盟实体，如欧盟数据保护委员会，发布了绝对的声明，该声明将有效地禁止跨大西洋的数据传输。考虑到标准合同条款的未来，欧盟数据保护委员会的指南采取了一种僵硬的、二元的方法。在技术性安全保障措施的标题下，欧洲数据保护委员会颁布的建议要求实行加密措施，这将使云服务供应商无法监测数据传输的网络威胁。这种高度限制性的方法将在正式隐私保护的祭坛上牺牲数据安全和长期隐私目标。

     本文根据上述，概述了一种混合模式——将以风险为基础的方法与对美国监视行为进行制度性和实质性审查的建议结合起来。借用美国出口管制的分级结构，本文建议对数据传输的风险分析采取分级模式。此外，本文建议在一个新的独立法院——算法权利法院——对欧盟成员国居民的隐私投诉进行独立审查，或者由其他其成员具有防止被解雇的“特定事由”的保护措施的独立的执行机构进行。在实体法审查方面本文主张将PPD-28确立为法律，制定一项不收集在国外为美国公司工作的欧盟成员国居民的通信的法律规定，并修改《域外情报监视法》的“外交事务”规则部分。《一般数据保护条例》的第49条的克减规则也可以发挥作用，其既可以单独使用，也可以与混合模式的其他要素结合使用，使之更具有说服力。

     混合模式可能无法满足所有观众对跨大西洋数据传输活动戏剧性的现状变化。尽管，简单的否认和绝对主义总是会有拥护者，但是，混合模式承认判例Schrems II的核心见解，同时又能促成基本的经济活动，因此，这是一个值得在大西洋两岸采纳的方案。

     ■________________

     审核：黄昊

     翻译：邱柯臻

     编辑：邱柯臻

     每天两块钱，实时获取全球数据合规风险预警

     招募兼职研究助理：课题组《人脸识别法律治理框架》

     申请条件：在数据隐私、数据安全及数据治理等方面具有丰富的理论积累或实践经验；并具有全英文写作的能力。优先条件：发表过数据法或科技法相关论文的优先；有英文期刊发表经验的优先。申请方式：请将您的简历和代表作发送到微信：heguilvshi 或邮箱：11535782@qq.com

    

    

    源网页  http://weixin.100md.com
返回 数据法盟 返回首页 返回百拇医药