如果您尚未了解本文主题的背景故事,可以在这里看到《跨大西洋数据交换的结束实际上提供了一个机会,如果美国想抓住它的话》。
当法院宣布对 Schrems I 案的判决时,评论员将这一结果描述为一场 “地震”,将被称为 “安全港条款” 的脆弱的跨大西洋数据流动法律框架抛在一边。
现在,法院在 Schrems II 案中的判决已经推翻了第二个框架,即 “Privacy Shield 隐私盾”。本文将重述 Schrems I 案判决后对美国国会的建议:(1) 制定全面的隐私法,(2) 建立独立的数据保护机构,(3) 批准欧洲委员会第108号公约。
但这篇文章也认为,与五年前相比,今天美国和欧洲在数据保护的共同事业中 “更加一致” 了,因为背景已经从 Edward Snowden 的披露转向了中国政府的监控野心。
因此作者认为,共同的方法符合这两个主要贸易伙伴的利益。文章称,今天,在加强民主体制的基础方面,欧美也有共同的紧迫性。
作者 Marc Rotenberg,迈克尔·杜卡基斯研究所(Michael Dukakis Institute)的人工智能与数字政策中心主任。下文中将使用第一人称陈述。您可以在这里下载这份文档:Schrems II, from Snowden to China: Toward a new alignment on transatlantic data protection
1、SCHREMS I
在 Schrems I 案判决后,我于2015年在美国国会作证。
我在发言中解释说,法院的判决并不令人意外。多年来,大西洋两岸的学者、欧洲议会成员和消费者团体都对所谓的 “安全港” 框架 —— 欧洲人向美国转移个人数据的法律依据 —— 表示担忧。
从欧洲人的角度来看,数据转移协议未能提供欧盟数据保护条例 (后来成为 GDPR) 所提供的基本保护承诺。“安全港条款” 的缺陷至少可以从两个方面来衡量。首先,与欧盟的数据保护条例相比,安全港条款严重缺乏实质性的权利;第二,美国并没有专门负责执行数据保护的机构。
第一个问题可以部分解释为随着监视资本主义数字经济出现的两种截然不同的隐私观点。
欧洲能摆脱美国和中国的监控世界吗《阿姆斯特丹领导对监视资本主义的斗争》
在欧盟方面,个人数据的收集和使用,无论是通过互联网还是通过办公楼里的电脑,都没有什么区别。把权利分配给数据 “主体”,把义务分配给数据 “控制者” 和 “处理者” 的基本框架都适用于这两种环境。这也是美国现代所谓的隐私法的做法。这些美国隐私法反映了我们通常所说的 “公平信息做法”,即 与收集和使用个人数据有关的权利和责任分配。
FIP 原则也称为公平资讯惯例为美国的隐私法提供了基础,例如 1974 年的隐私法,对联邦机构收集和使用个人资料进行了规定。 这个基本架构亦见于著名的国际隐私文书,例如经合组织 1980 年的 Privacy Guidelines。
但是,互联网经济使一些人相信,基于市场的激励措施可以 “加强” 对隐私的保护,不再需要为处理个人数据制定基线规则。所以最初的所谓 “安全港” 安排,主要是在美国谈判者的敦促下,将 “通知(用户应知情)” 和 “选择(用户可退出)” 提升为隐私概念,并不是因为它们反映了隐私权利或责任,而是,因为它们将使 *基于市场* 的隐私保护观点成为可能。
至于第二个问题,体制上的差距也很大。与所有欧盟成员国不同,美国没有一个明确负责数据保护的联邦机构。其实际后果是,美国没有任何机构具有执行数据保护义务的任务或法律权限。联邦贸易委员会是一个消费者保护机构,它根据其审议 “不公平或欺骗性贸易做法” 的权力,设法审查隐私投诉。
FTC第5条允许该机构对违反其自身隐私政策条款的公司进行调查,并在某些情况下对违反基本的安全义务的行为进行调查,但是,该机构无法执行基本的隐私标准。一个相关的问题是,联邦贸易委员会对投诉的审查是自由裁量的;即使有成千上万的投诉,也不能保证该机构会采取行动。
欧盟评论员、学术界和消费者团体反复解释说,“安全港条款” 未能提供满足《数据保护条例》第25条所要求的 “充分性” 认定的保护,因为美国缺乏全面的隐私法和独立的联邦机构。
所谓的 “安全港条款” 其存在的问题也被美国方面理解为消除了美国更新本国隐私法的重要动力。随着互联网的兴起,美国联邦隐私法的制定速度已经放缓,但是,个人数据的收集速度却提升了。
事实上,直到911袭击事件使美国走上了 “先下手为强” 的大规模监控之路,人们才意识到美国需要一部全面的隐私法。甚至联邦贸易委员会主席也曾敦促美国推进立法工作。
消费者团体和监管专家认为,欧盟数据保护指令将产生带动力,促使美国立法者更新其国内隐私法,使美国消费者受益。
这曾经被描述为 “加州效应”,因为在环境领域,加州排放标准的提高导致汽车制造商生产更清洁的汽车,使其他州的消费者受益。所以,理论上,”布鲁塞尔效应” 也应该提高美国的数据保护标准,如果美国想要更新其隐私法,以获得充分性的认定,允许欧洲人的个人数据继续自由流向美国互联网公司。
但是,所谓的 “安全港条款” 提供了一个绕过这种监管动态的方法,允许公司简单地自我证明符合模糊的原则,同时推迟了对美国隐私法进行任何有意义的修改。
斯诺登的披露对美国在欧洲的盟友打击特别大,他们曾经认为自己站在情报收集企业的同一阵营,没想到他们一直在被美国密切监视。这些披露也给奥巴马政府带来了重大问题。
而 Schrems 在向爱尔兰数据保护机构提出的第一份申诉中就指出了这一关键问题,他指出,欧洲人的个人数据提供给美国公司,最终落入美国国家安全局手中,没有得到任何法律保护。Schrems 认为,爱尔兰数据保护委员会有义务中止向美国转移个人数据。
法院同意 Schrems 的意见。考虑到斯诺登的揭露,法院的结论是,所谓的安全港条款为向美国转移欧洲人的个人数据提供了充分的法律依据。但是,法院不仅仅考虑到指令的法律要求,还相当重视《欧盟基本权利宪章》第7、8和47条。第7条延续了1948年《世界人权宣言》第12条的隐私概念。但是,第 8 条为处理个人数据规定了更具体的义务,包括要求有一个 “独立的机构”。第47条强调了对侵犯权利行为进行有意义的补救的必要性。
法院认为,安全港条款未能为欧洲人的个人数据提供 “基本等同” 的保护。正如法院所解释的那样,美国 “允许公共当局普遍获取电子通信内容的立法必须被视为损害了《宪章》第七条所保障的尊重私人生活的基本权利的实质”。
法院还指出,欧盟的各个数据保护机构有义务执行《宪章》的规定。如果说 Schrems I 的地震是数据转移协议的终结,那么以《宪章》为基础的国家监管当局权力的扩大,无疑是一次重大的余震。
在支持《一般数据保护条例》的运动中,很多人都设想由即将成立的欧洲数据保护委员会(EDPB),即代表所有欧盟成员国数据保护局的数据保护官员和欧洲数据保护监督员之间协调应对的 “一站式服务”。但是法院在 Schrems I 一案中明确了各国数据保护局的独立性,这是一个重要的裁定,因为对欧洲数据保护委员会未能推进对跨国互联网公司的关键调查的批评在随后的几年中不断增加。
在 Schrems I 一案中,法院还提请注意法律补救措施的重要性,《宪章》第47条的规定要求对权利和自由受到侵犯的人进行 “有效补救”。
安全港条款依赖于美国办事处和机构的脆弱结构,缺乏明确的法律权力来执行数据转移安排中规定的条款。联邦贸易委员会可能会发现一家公司违反了其遵守安全港的声明,但只能告诉该公司不要再这样做,此外没有任何办法。
隐私和公民自由监督委员会 (PCLOB) 有一定的权力审查第12333号行政命令,该命令对为外国情报、反间谍和其他类似活动收集数据规定了广泛的权力,但是无法提出改革建议。而 PLCOB 无权对具体的投诉进行裁决。拟议在商务部设立的监察员有望处理关于美国行使监控权的投诉,但是长期的拖延阻碍了行动。
因此,当我在2015年出现在美国国会时,也就是在 Schrems 第一次判决后不久,我建议进行改革,以解决美国隐私法的潜在结构性问题。
我说,美国应该 (1) 制定《消费者隐私权利法案》,这是一个基于我们熟悉的《公平信息实践》的联邦立法框架;(2) 更新《隐私法》,即1974年规范联邦机构收集和使用个人数据的法律;(3) 建立一个独立的数据保护机构;(4) 批准欧洲委员会108号公约,即《国际隐私公约》。 我解释说:“这才是使跨境数据流动得以继续、并保护美国消费者和美国企业利益的策略”。
但是,美国走上了一条不同的路。美国和欧盟没有对隐私法进行任何更新,而是谈判达成了所谓的 “隐私盾”,这是一个非常类似于被法院驳回的安全港条款的跨大西洋数据流动安排。赞成新框架的人称其为 “安全港2.0”。不那么慷慨的人则称之为 “安全港0.7”。【就是更差劲的意思】
2016年,第29条工作组(即EDPB的前身26)对欧盟与美国迅速完成谈判、对产生所谓的 “隐私盾” 表示欢迎,但也对新框架不符合欧盟法院规定的所有基本等同标准表示了担忧。
第29条工作组概述了协议的四项 “基本保障”,包括法律明确性、符合人权标准、建立独立的监督机制、和提供有效的补救措施。这一分析很有先见之明。38 个欧盟和美国的民权组织在隐私保护协议通过后不久发表的言论也是如此。他们写道:“我们……不认为美国和欧盟之间的隐私保护安排符合欧盟法院制定的标准,包括在最近宣布安全港框架的法律基础无效的案件中”。
他们建议建立 “强有力和全面的执行机制”,以确保 “美国提供的保护水平与欧洲法律框架下的保护水平基本相当”,并建议制定 “确保适当补救和透明度的规定”。
大西洋两岸的消费者团体也表达了类似的观点。跨大西洋消费者对话组织(TACD)在一项得到欧盟和北美60多个消费者团体认可的决议中指出,“ Privacy Shield 并没有为决定美国提供有效和有意义的数据保护提供必要的基础。美国没有一个强有力的总体数据保护法来确保其本国公民和消费者的隐私,这对认真考虑数据保护是否充分造成了障碍”。
消费者联盟正确地预测到 “所谓的隐私盾将在法院的审查下失败”,并建议 “根据欧盟和美国所需的变化,做出可持续的安排,以保证隐私保护和法律的确定性”。
2、“隐私盾”
在 “隐私盾” 通过后的几年里,我们继续提醒欧盟委员会注意该框架的不足之处。2018年,我们呼吁关注《澄清境外数据合法使用法案》(CLOUD法案)的通过,该法案确立了美国执法机构对存储在其他司法管辖区的个人数据的治外法权范围;FTC未能执行对 Facebook 的法律判决;PCLOB 的空缺;以及商务部没有 “隐私盾” 监察员的情况。
同时,我们注意到美国最高法院在 Carpenter 诉美国一案中作出了有利于隐私的裁决,该裁决将第四修正案的保护范围扩大到执法机构所寻求的手机信号塔位置信息。最高法院在 Carpenter 案中的裁决标志着美国宪法对隐私权的看法更加宽泛了。
大约就在这个时候,欧洲议会议员也敦促暂停那个 “隐私盾”。议会的决议案是在 Facebook — 剑桥分析公司丑闻发生后做出的,这很可能是导致脱欧结果的原因之一,并对个人数据在民主背景下的使用(被用作操纵政治)提出了深刻的问题。
关于这件事的内幕《心理操纵的秘密:”行为经济学”+PR=?》
欧洲议会议员指出,Facebook 和剑桥分析公司都获得那个所谓的 “隐私盾” 的认证,并呼吁 “美国当局毫不拖延地对这些揭露采取行动,必要时将滥用个人数据的公司从 Privacy Shield 名单中删除。” 值得注意的是,欧洲议会议员表示担心,“如果数据被用于操纵政治舆论或投票行为,数据泄露将会对民主进程构成威胁。”
而在2019年,我们注意到《外国情报监视法》(FISA) 第702条规定的批量监控未能改革,缺乏全面的联邦隐私法和数据保护权,以及从整个联邦政府收集非公民数据的行政命令。
但我们也肯定了美国在经合组织支持《经合组织人工智能(AI)原则》中的领导作用,该原则是建立在早期经合组织隐私准则基础上的重要全球框架。我们的总结是:
虽然我们注意到 PCLOB 已开始运作,而商务部依然设有隐私申诉专员,但我们也发现,美国的隐私法例在现代化方面并无任何进展,也没有成立本土保障机构,更没有改革第702条 —— 该条文容许大量监察非美国人士的私人通讯。自上一次审查隐私保护措施以来,美国还在边境推进了积极的监控措施,包括面部识别和收集社交媒体情报。
我们向欧盟委员会表达了对遵守 Privacy Shield 的关切,我们在美国国会的发言也表达了同样的关切,敦促修改《外国情报监视法》第702条,该条规定了广泛的监视权力。美国的许多隐私倡导者担心第702条为 “后门搜查” 美国人提供了机会,并建议进行修改以解决这一问题。
我们也明确了702条对隐私保护下的跨大西洋数据传输带来的问题。正如我们在2017年向国会解释的那样,“702条款授权美国政府对包括欧盟公民在内的全世界非美国人的通信进行批量监控。如果国会不进行改革,Privacy Shield 和其他跨大西洋数据传输机制很可能被欧洲法院宣布无效。”
我们当时说,“考虑到美国公民、外国盟友和商业贸易的利益,显然有必要改进第702条中的隐私保护和公开报告手段”。“如果不进行任何实质性的改革以确保保护大西洋两岸个人的基本权利,则 Privacy Shield 将使用户处于风险之中,并破坏对数字经济的信任。”
3、SCHREMS II
在 Schrems II 判决之前,许多人认为,法院将保留 Privacy Shield。2019年12月发布的 “检察长意见” 对这一预测给予了一定的重视。
检察长在隐私保护的充分性问题上听从欧盟委员会的意见,认为对该框架的审查 “不属于” 向法院提出的问题范围。这一意见就像其早先在谷歌诉西班牙案中的意见一样,并没有预见到接下来的判决。
3.1 判决
简而言之,法院认定委员会2016年坚持 “隐私盾” 的决定无效。法院的结论是,关于将个人数据从 Facebook 爱尔兰转移到美国的问题,美国监控法的规定不足以满足《宪章》规定的 “基本等同” 要求。
法院指出,除其他因素外,美国的监控法规和相关法律缺乏相称性,收集的数据并不限于严格必要的数据,以及美国法院没有为非美国人提供任何有意义的补救措施。 法院还指出,美国隐私监察员既不独立、也无法实施任何有意义的补救措施。
为呼应 Schrems I 的判决,法院在 Schrems II 中也明确指出,在无法确保符合欧盟法律要求的情况下,欧盟的各个数据保护机构 “需要暂停或禁止个人数据的转移”。
只有在独立监管机构能够确保遵守欧盟法律的情况下《标准合同条款》才能继续为跨大西洋数据流动提供法律依据。正如 Francesca Bignami 教授所解释的那样: “在[法院]对执法系统的详细描述中,DPAs 是以合同为基础向第三国转移的基本支持:如果他们发现标准合同条款的细则在第三国没有得到遵守,他们必须暂停或禁止数据转移。”
对于那些关注 Schrems I、隐私保护的发展、批评性评估、消费者组织的评论、欧洲议会议员的反应、以及美国方面没有实质性变化的人来说, Schrems II 没有什么令人惊讶的地方。Privacy Shield 的倒台原因与所谓的安全港倒台相同。
但即使在这些框架倒下的同时,现代隐私法的更深层次的基础也在形成,这个基础不仅能加强欧盟的基本权利和法治,还能在网络风险日益增加的时代为其他民主国家提供有效的数据保护模式。
3.2 卢森堡法院与斯特拉斯堡法院之间的对话
在隐私学者中,甚至在美国方面,该法院和欧洲人权法院(ECtHR)之间关于现代隐私权范围的对话也很吸引人。可以肯定的是,斯特拉斯堡法院占了先机,该法院早期的许多判决反映了斯特拉斯堡法院提供的对《欧洲人权公约》第8条的解释所形成的成熟学说。 但随着时间的推移,法院借助《宪章》第7条和第8条获得了突破 (《宪章》第8条特别提升了现代数据保护的概念)
这其中的大部分内容可以通过参考该法院院长2019年底的一篇引人注目的文章来理解。 在该文章中,Lenaerts 解释说,《宪章》第52(1)条所描述的 “基本权利的本质” 必须得到尊重,“这样对基本权利的行使的限制才是合理的”。 因此,“如果欧盟的一项措施没有适当考虑到基本权利的本质,那么这项措施就不符合《宪章》的规定,必须予以废止或宣布无效”。
Lenaerts 将这一结论建立在 Schrems I 中,他指出:“基本权利的本质概念意味着每一项基本权利都有一个’硬核’,它保证每个人都有一个自由的领域,必须始终保持不受干涉。我认为这个核心是绝对的,因为它不应该受到限制。
对《宪章》第52条的评估至关重要,这不仅是为了理解为什么法院在 Schrems I 和 II 案中都强调 “权利的本质”,而且也是为了理解为什么它似乎超越了欧洲人权法院以前的判决。
Lenaerts 写道:“一旦确定一项基本权利的实质受到损害,有关措施就不符合《宪章》。因此,无需对相互竞争的利益进行平衡。正如 Schrems 案的判决所显示的那样,损害基本权利本质的措施是自动不相称的”。此前对爱尔兰数字权利案和瑞典Tele2案的判决也反映了这一观点。
要理解为什么这预示着现代隐私权的新道路,还必须看到,尊重基本权利的实质可以在欧洲人权法院的判例法中找到,但在《欧洲人权公约》中没有明确规定。
Lenaerts 认为,这种结果 “既不反映基本权利本质的绝对性,也不反映《宪章》第52条第1款的逻辑”。因此,第52(1)条为基本权利提供了基石,是符合宪政民主国家利益的数据保护基础。
4、下一步
4.1 不仅仅是合规
遗憾的是,美国方面对 Schrems II 案的最初反应是对法院的判决感到失望。一些批评者说,法院没有充分考虑对非美国人的保护范围;另一些人则指责法院虚伪,认为美国为情报收集活动提供的保护比欧盟的一些成员国要“高”。
甚至,美国前驻欧盟大使 Anthony Gardner 在其个人推特上写道:“Max Schrems 是时候明确是谁一直在资助他的法庭案件了。我怀疑它们是否都是众筹的。有趣的是,他似乎并不关心俄罗斯或中国滥用欧盟公民数据的问题。”【就是栽赃。丢脸后的第一反应不是改变自己的错误做法,而是栽赃提起诉讼的人】
几乎立即出现的问题是,应如何改变跨大西洋数据流动的框架,以满足法院的要求。一些学者建议对美国的补救机制进行改进,“为监视投诉建立真正的个人补救权”。商业团体建议就新协议立即进行谈判。
但消费者团体明智地反对 “Privacy Shield 2.0”。TACD 呼吁在美国建立一个 “全面的数据保护法律框架”,其中包括一个独立的数据保护机构,以及 “在司法当局面前强有力的执行和补救的可能性”。
欧洲消费者组织(BEUC)也表达了类似的观点。“如果美国不采取强有力的全面的数据保护框架,包括联邦一级的隐私法,未来的欧盟 — 美国数据流动协议将无法在法庭上站住脚”。
4.2 欧盟 — 美国的承诺
在此背景下,美国商务部部长 Wilbur Ross 和欧洲司法专员 Didier Reynders 在8月初发表的联合声明标志着一种新的做法。他们承认法院的判决,但他们表示,可能正在酝酿 “Privacy Shield 2.0”,尽管他们将其描述为 “有可能 “加强” 隐私盾框架以遵守该判决(也就是改良),这至多可以理解为承认应避免再次前往卢森堡。
而这正是文本变得有趣的地方。曾经欧盟和美国的政策制定者们花费精力构建数据传输框架,而这些框架并没有打乱美国的自以为是,也没有给美国企业带来明显负担,而 Ross-Reynders 公报则标志着双方将共同承担起更广泛的野心。
他们写道:“欧盟和美国认识到数据保护的极端重要性以及跨境数据传输对我们的公民和经济的意义”;欧盟和美国都 “共同致力于隐私和法治”,并将努力 “加强数据保护,促进大西洋两岸近8亿公民的更大繁荣”。
欧盟和美国的政策制定者愿意共同 “确认法治” 和 “加强大西洋两岸的数据保护……” 的原因何在?
近三十年来,欧洲和美国在数据保护上走的都是截然不同的道路。欧洲推进了法律框架,将数据保护从指令发展到条例,而美国则坚守一个信念,即 所谓的知情的消费者,只要掌握了隐私政策和选择退出按钮,就能保障自己的个人数据。第一修正案的本质主义与数据保护的本质主义相对立。有些事情已经发生了变化。
4.3 中国
在 Schrems 第一项判决作出时,斯诺登和国家安全局的影响很大。尽管所谓的安全港的结构性问题已被人们所熟知,但是,直到欧洲人意识到NSA监控的范围,隐私保护自律方式的弱点才显现出来:即使是用心良苦的公司也无法避免数据被政府监控。而斯诺登事件披露的不断鼓动,让美国的间谍监控机构被置于持续不断的关注之下。
美国情报机构的监视仍然是法院在 Schrems II 案中判决的核心。最简单的说法是,美国互联网公司获得的欧洲人的个人数据很容易被美国情报机构获取,这是标准合同条款,甚至新的 Privacy Shield 都无法解决的问题。
但自斯诺登最初披露以来,监控的世界也发生了一点变化。美国已经着手对某些监控当局进行管制,美国国内公开对某些计划的有效性提出质疑,甚至美国总统也对外国情报监控法院的权威提出质疑,此前一位监察长的报告对提交给该法院的监控申请的真实性提出了质疑。
同时,世界越来越意识到中国政府日益强大的监视能力。这既出现在国家认可的针对西方公司和政府机构掌握的个人数据的网络攻击中,也出现在关于5G网络技术等关键基础设施的决策中。
这些担忧是深远的。美国指称,中国国家支持的攻击应对信用报告机构 Equifax 和美国人事管理办公室的数据泄露负责。
在 Equifax 数据泄露事件发生后,我在2017年美国参议院的听证会上谈到了数据保护的国家安全层面,该事件泄露了用于识别身份的验证信息,如 出生日期和社会安全号码。我当时强调,隐私保护不再是简单地保护消费者免受大公司的侵害。我说:“Equifax 公司的违规事件对美国家庭的安全以及国家安全都构成了巨大挑战”。
最近,我指出了大规模监控模式,中国政府可能会寻求在世界各国进行投资时扩大规模。 我们对数据保护的了解正在不断发展。
美国方面已经越来越意识到,它可能不再能够主导全球监控世界。美国和欧盟努力推进人工智能政策框架,以应对中国不断提升的人工智能实力所带来的迫在眉睫的挑战,也是对这一点的回应。在这一努力中,美国和欧盟在数据保护问题上似乎也越来越一致,这显然不再是一个简单的贸易问题。
5、结论
Schrems I 提请人们注意美国和欧盟在现代隐私概念上的巨大分歧,并提出了一个务实的但基本无效的政策回应。Schrems II 判决是在美国和欧盟正在走向一个共同的立场,使民主国家的数据保护保持一致,并认识到未能保护公民个人数据的国家安全风险的情况下作出的。
原先对美国的建议只会变得更加迫切:(1) 制定全面的联邦隐私立法,(2) 建立独立的数据保护机构,(3) 批准欧洲委员会的隐私公约。
正如我在2015年向国会解释的那样,“美国不应该因为欧洲法院的一个判决而更新其隐私法。美国应该无条件更新其隐私法因为它早就该更新了,我们的隐私法一直未能实现现代化,让美国消费者付出了巨大的代价。”
对 Schrems II 的回应不仅仅是修改美国的监控法以符合欧盟的要求的问题。其回应必须加强民主治理的结构、法治,并保障大西洋两岸人民的个人数据。美国和欧盟现在都对这一任务的成功有共同的兴趣。⚪️