[美]狄乐达 译者/ 何广越 沈伟伟

编者按

《数据隐私法实务指南（第五版）》结合新近出台的《欧盟通用数据保护条例》（GDPR）和《加州消费者隐私权法》（CCPA），以简明、清晰的语言，讲述跨境数据传播法律合规问题，为读者理解、掌握数据隐私法的核心概念和法律原理提供生动的理论分析，为跨国公司制定数据隐私合规政策提供具体操作方案。同时，为任何对数据隐私法感兴趣的人，快速查询相关话题准备好知识库。

自2017年以来，世界各地数据隐私法发生了重大变化。《欧盟通用数据保护条例》（GDPR）于2018年5月25日生效，有着更为严格的数据最小化规则、更进一步的管理、技术和组织要求、以及高昂罚款。2018年6月，美国加利福尼亚州制定了《加州消费者隐私权法》（CCPA），这是一部全新的、极其宽泛、极具针对性的反数据交易法案。该法案最初源于加州公民的表决，随后引发了其他各州和联邦层面狂热的立法活动——缅因州和内华达州也随之开始执行本州禁止出售数据的法案。

在GDPR引领下，2018年8月，印度颁布了一部新的数据保护法案，巴西也颁布了第一部数据保护法。同时，中国将重点放在两方面：一方面是为维护国家安全而采取网络安全监管；另一方面是促进人工智能及其他技术创新、社会信用评价、互联网监控等相关措施。同时，数据保护机构在世界各地的审计和执法活动不断增加。俄罗斯积极阻止企业非法留存数据，并惩戒未遵守相关数据留存规定的企业。在美国，民事案件原告的律师们基于数据隐私和安全诉求，针对企业和政府提起了大量集团诉讼。

企业必须跨越三重障碍

从一个法域向另一法域传输数据之前，企业必须跨越如下三重障碍：（1）遵守所在法域关于收集或以其他方式在当地处理个人数据的规定；（2）有正当的依据向另一数据控制者披露数据或者通过合同限制数据接收者仅能够处理数据；（3）确保数据接收者采取的数据保护达到充分水平。

第一重障碍即本地合规，要求对任何数据的收集和处理活动采取保护措施。在欧洲，既包括各类形式工作（如告知数据主体、进行政府申报、指定数据保护官、准备数据安全文件等），也包括实质措施（如最小化数据处理范围和数据保留期限、确保数据准确和安全、准许权利人数据访问等）。不管是否发生把数据传输到境外的后续行为，欧洲企业首先必须遵守这一规定。另外，后续数据传输对本地合规具有影响，因为企业必须在提交给数据主体和数据保护机关的通知中说明数据的跨国转移，并向数据保护官咨询该事宜等。

第二重障碍即披露限制，无论是否涉及跨国问题，要求数据传输存在正当依据。通常来说，欧洲企业可以选用服务商即数据处理商，如薪酬服务商从事处理数据工作。一般来说，在欧洲及其他法域，对于把数据传送给服务商的行为，企业无须特意寻找额外正当依据。但是，除非能够依法主张正当性，否则欧洲企业通常不得把个人数据披露给数据控制者，即使数据控制者在欧洲经济区内也不行。

第三重障碍即限制向欧洲经济区外传输数据，企业须确保接收数据的国家或公司在数据保护方面达到充分水平。在默认情况下，欧洲经济区内的企业不得将数据传往区外。这个障碍要求企业必须为跨国数据传输选用具体的合规机制。

即使企业完全遵守本地数据保护法，克服了障碍一，也满足向欧洲经济区外传输数据的具体要求，克服了障碍三，并不意味其可以将任何个人数据披露给另一数据控制者。即便数据传送发生在位于同一个欧洲经济区成员国内的子公司和母公司之间，即使子公司由母公司全资、封闭持有，数据传输依然要有正当依据。因此，想要跨越数据跨国传输的障碍二，位于欧洲经济区内的企业必须论证其信息披露的合法性，尽管这种披露一般是被禁止的。不少企业只关注障碍一和障碍三，却忽略了障碍二。

欧盟委员会已经判定多个国家和地区，在数据保护方面达到充分水平：安道尔、阿根廷、法罗群岛、根西岛、马恩岛、以色列、日本、泽西岛、新西兰、瑞士、乌拉圭和美国。欧洲经济区内的企业可以向这些国家和地区自由传输数据，如同在欧洲经济区内一样。也就是说，在这些已经被欧盟委员会宣告实现充分数据保护的国家和地区，企业仅受限于障碍一和障碍二，障碍三则不适用。

美国数据保护判定独特

虽然欧盟委员会在2016年对美国做出了数据保护充分的判定，但该判定非常独特，其认为美国实现数据充分保护的范围有限且附有条件。该判定认为只有加入了“欧盟——美国隐私盾”项目（the EU U.S.privacy shield program）且承诺遵守该隐私盾原则的美国企业才具备充分保护条件。

“欧盟——美国隐私盾”项目是为了协调欧洲与美国这两个法域在隐私法上存在的巨大差异，由欧盟委员会与美国商务部基于欧洲数据保护法而制定。大多数美国企业（仅在美国联邦贸易委员会广阔监管范围之外的企业除外）均可加入该项目。想要加入该项目的企业，可以通过网络向美国商务部承诺遵守隐私盾原则，且已经进行自我评估并将数据保护措施记录存档。他们必须承诺与欧洲数据保护机关合作，保护从欧洲经济区传往美国的员工数据，并且建立纠纷解决机制以保护其他数据。美国商务部会审核申请企业通过网络提交的加入申请和隐私声明，还可以要求企业提交关于数据再转移协议的信息。如果美国企业违反隐私盾原则或其隐私声明，那么强大的美国联邦贸易委员会可以采取强制执行措施，美国商务部可以将企业开除出隐私盾项目，欧洲数据保护机关可以要求企业履行合作义务，民事原告还可以把企业告到仲裁庭或法院。因此，“欧盟——美国隐私盾”项目确保按照欧洲数据保护法设定的法律要求实施到美国领土内的美国企业，由美国行政机关、美国法院和欧洲数据保护机关确保执行问题。

在“欧盟——美国隐私盾”项目实施之前，美国实行的是安全港项目（the U.S.safe harbor program）。美国安全港项目由美国商务部从2000年起开始实施并由联邦贸易委员会执法，历经15年。2015年10月6日，主要出于对美国政府监控的担忧，欧盟法院撤销了欧盟委员会对美国安全港项目数据保护充分的判定。此前，欧盟委员会和美国商务部已经着手修订此项目，并在敲定双方隐私盾项目协议时考虑了该法院判决。

隐私盾原则更详尽严格

从篇幅上看，隐私盾原则显然比安全港项目更加详尽严格：2000年安全港原则的篇幅只有两页半，欧盟委员会在欧盟官方公告中撰写的充分保护判定有40页；到了2016年，隐私盾原则的篇幅为19页，相应的充分保护判定长达112页。从安全港到隐私盾，篇幅增长与欧盟数据保护法详尽化同步：1995年《欧盟数据保护指令》的篇幅为19页，而2016年的欧盟《通用数据保护条例》长达88页。

从内容上做具体的比较，相比于安全港项目，隐私盾项目要求每一年对隐私盾原则进行评估和更新，并设置一系列增强或新设的隐私保护措施，如要求更详尽的隐私通知（要求列明责任、访问权和纠纷解决）、更严格的再传输合同（且规定美国商务部对这些合同有查询权）、数据最小化、数据保留、对个人无成本的独立救济机制，以及对不合规行为的公示规定。自愿退出隐私盾项目的企业必须退还（return）或删除之前收集的个人数据，否则就要继续执行隐私盾原则，并每年重新承诺合规义务。如果美国商务部把某企业开除出隐私盾项目，该企业必须删除或退还之前收集的个人数据。

此外，美国国家情报主任在隐私盾原则附带的保证书中向欧盟作出了具体而有力的承诺。此前，爱德华·斯诺登于2013年揭露的美国政府大规模监控，引发了美国国内和国际的关切，导致美国总统重新主导国家安全局监控项目。美国国会也通过《司法救济法》（Judicial Redress Act）和《美国自由法》（USA Freedom Act，即废止臭名昭著的美国爱国者法的法案）改善了美国国内隐私保护问题。

就在欧盟委员会于2016年7月批准欧盟—美国隐私盾项目之后，该隐私盾项目立即遭到欧盟政客、活动家和数据保护机关的批评，批评者们还公布了挑战该项目的计划。但是，欧盟委员会分别在2017年和2018年的第一次和第二次年度审查中得出结论：美国继续确保对根据隐私盾项目协议传输的个人数据提供适当保护。只要欧盟委员会作出关于美国对数据保护是充分的判定，没有被撤销或被废除，欧洲经济区内企业就可以将个人数据传输给已加入“欧盟——美国隐私盾”项目的美国企业，如同这些企业坐落于欧洲经济区内或坐落于经欧盟委员会普遍认定数据保护充分的法域一样。位于欧洲经济区内的企业，无须处理障碍三即可合法地将个人数据向加入“欧盟——美国隐私盾”项目的美国企业传输。

［本文节选自《数据隐私法实务指南（第五版）》。作者狄乐达先生，从事国际数据隐私、商业和知识产权法的实践和教学工作二十余年，已发表150多篇论文并出版5本专著；何广越系阅文集团法务部负责人，曾译有《法律人的明天会怎样?——法律职业的未来》；沈伟伟系中国政法大学法学院副教授，曾译有《代码2.0 ——网络空间中的法律》］

（责编 王茜）