来源：新金融法    作者：新金融法

欧洲法院作出重磅裁决，宣布被称为“隐私盾”的欧盟-美国间的数据传输协议无效。“隐私盾”的失效，加之欧洲数据保护委员会最近就保障数据跨境传输发布了新的指导意见，这意味着大西洋两岸的企业都需要重新审视其数据传输策略。本文将分析“隐私盾”失效的原因以及可用于欧盟-美国间传输数据的其他选择，进而讨论数据传输方式的最新趋势，如欧洲数据的本土化。

一、“隐私盾”的前身——“安全港”

1980年，经合组织发布了保护个人数据的建议，这些建议直到1995年才具有约束力，当时欧盟推出了《欧盟数据保护指令》（EU Data Protection Directive），该指令是《通用数据保护条例》的前身，为欧洲大陆的数据保护奠定了基础，也为全世界的数据保护树立了标杆。

“安全港”协议是在《欧盟数据保护指令》生效后不久制定的，旨在简化从欧盟向美国传输数据的过程。本质上，“安全港”是一项由商业驱动的举措，旨在促进大西洋两岸的数据传输和经济合作。“安全港”包含一些被普遍接受的保护个人数据的原则，以满足《欧盟数据保护指令》的要求。同时，“安全港”委员会还回答了一系列常见问题，如参与该计划的公司应如何处理个人数据等。但是早在2000年“安全港”协议正式颁布后不久，它就因为与《欧盟数据保护指令》的要求差距过大而受到严重批评。

快进到2015年，欧洲法院就奥地利公民Maximilian Schrems关于Facebook将其爱尔兰子公司的数据传输到美国服务器的投诉作出处理。该案与NSA/PRISM间谍丑闻有关，该丑闻最终对“安全港”协议和在欧洲运营的美国互联网公司产生了重大的影响。特别是，Schrems认为，“2013年爱德华·斯诺登对美国情报机构（特别是国家安全局）活动的揭露，表明美国的法律和实践没有给个人数据提供充足的保护，以防止公共机构的监视。”

2015年10月6日，欧洲法院裁决“安全港”无效，因为它们没有为根据该计划处理欧盟个人数据的美国组织提供足够的保障。特别是，欧洲法院发现：①该协议允许公共机构访问公民电子通信内容，严重损害了公民的隐私权；②该协议允许美国公共机构干涉公民的基本权利；③欧盟委员会裁决的结果不能消除甚至减少国家监督当局的权力；④监管机构实际上有义务尽一切努力审查相关投诉，但⑤只有欧洲法院有权宣布欧盟法案无效。

该裁决作出后不久，欧盟监管机构表示，如果欧盟与美国不在三个月内谈成一个新的协议，那么企业可能会面临欧洲隐私监管机构的制裁。欧盟和美国很快达成了新的协议，以“隐私盾”的形式出现。2016年2月2日正式颁布的“隐私盾”体现了欧洲法院在2015年10月6日的裁决中提出的要求。新的协议将使美国公司承担更大的责任，加强美国商务部和联邦贸易委员会的监督和执法，包括加强与欧洲数据保护机构的合作。新协议还包括美国的承诺：根据美国法律，公共机构在在新协议下访问个人数据将受到明确的条件、限制和监督。欧洲公民可能就此向专门的新监察员提出询问或投诉。

二、“隐私盾”的失效

2016年2月，欧盟委员会宣布与美国就欧盟-美国隐私保护协会达成协议。该协议约定，美国公司在处理来自欧盟的个人数据时，必须遵守七项原则，其中包括:

• 告知：必须告知个人其信息被收集和使用。
  
• 选择：必须给予个人选择不向第三方披露其个人数据的权利。
  
• 继续传输的义务：各机构负责适用通知和选择原则，以便向第三方传输个人数据。
  
• 访问：个人必须能够访问机构中存储的个人数据。
  
• 安全：必须保护个人数据免遭丢失、误用、未经授权的访问和泄露。
  
• 数据完整性：必须确保数据是可靠的，并且与使用目的相关。
  
• 追索权、强制执行和责任: 如果个人认为其数据被滥用，则有权使用追索机制。
  
• 从此，“隐私盾”成为一种非常流行的机制，约有5500家美国公司启用了它。
  

尽管美国和欧盟委员会对“安全港”协议进行了改进，以针对性地解决欧洲法院的担忧，但新一轮的法律挑战即将到来。Max Schrems向爱尔兰数据保护专员提起诉讼，质疑Facebook爱尔兰使用欧盟标准合同条款（SCCs）作为传输机制不符合要求。爱尔兰高等法院将此事提交欧洲法院，包括一系列质疑SCCs 有效性的问题。

最终，欧洲法院于2020年7月16日宣布欧盟-美国“隐私盾”协议无效，主要有两个理由：①个人数据可能泄漏给美国情报机构等公共机构，所以“隐私盾”无法为个人隐私权提供充分保护；②旨在处理欧盟公民投诉的“隐私盾”监察员缺乏独立性和权威性，无法约束美国情报部门。

特别是欧洲法院发现，美国法律中的隐私保护条款没有达到与欧盟法律中的相同标准。《外国情报监视法》（FISA）第702条和第12333号行政命令授权的国家情报计划没有授予欧盟个人在法庭上对美国当局提起诉讼的权利，使得数据保护权利不够充分。

欧洲法院指出，《欧盟基本权利宪章》规定个人享有隐私权和数据被保护的权利。任何人向第三方（包括公共机构）披露数据会侵犯这些权利，并且只有在迫不得已的情况下才允许披露数据。然而，欧洲法院发现，美国有关信号情报活动的监视计划可能会处理过多的数据，并允许在没有经过司法审查的情况下访问欧盟传输到美国的数据。欧洲法院表示，美国监视计划的范围不受限制，也不会为非美国公民的个人提供保障。因此，个人缺乏有效的司法救济措施来维护其隐私权。

欧洲法院进一步发现，“隐私盾”的监察机制缺乏传统监察员所拥有的权力，因而无法弥补上述缺陷。特别是，监察员无权约束美国情报机构。因此，欧盟公民对某些监视活动没有救济权。

欧洲法院还发现，监察员由美国国务卿任命，是美国国务院的一个组成部分，而且监察报告直接提交给国务卿，没有任何防止其撤销或解雇监察员的保障措施，这会损害监察员的独立性。

基于上述情况，欧洲法院宣布“隐私盾”无效。尽管这一裁决造成了实质性的业务中断，但法院指出，这并不会构成法律空白，因为公司仍然可以选择其他的数据传输办法，如《通用数据保护条例》的部分条款。

三、“隐私盾”失效后公司的选择

由于隐私盾的失效，当公司想要将个人数据转移到欧洲经济区之外时，他们的选择就更少了。尽管有其他选择，但跨大西洋贸易仍受到了影响，因为这些公司高度依赖“隐私盾”实现跨区域传输数据。

3.1 《标准合同条款》

“隐私盾”失效后，《标准合同条款》（SCCs）中附加保障措施的条款是将个人数据从欧盟传输到美国最流行的方式。在提交的案件中，爱尔兰高等法院就SCCs的有效性提出了质疑，包括如果SCCs不约束外国公共机构，那么SCCs是否能充分地保护个人数据。

欧洲法院没有宣布SCCs无效，但确立了公司在使用SCCs之前需要注意的地方。这在一定程度上与以下事实有关：SCCs最初于2001年颁布，以符合当时《欧盟数据保护指令》的现实。考虑到20年后的实际情况，《通用数据保护条例》可能无法完全满足法律和现实的要求。因此，SCCs需要进行重大翻新。

法院支持在SCCs中附加保障措施，并收紧了相关要求，但没有给足够的宽限期。所以爱尔兰的执法活动几乎立刻就对SCCs的有效性提出了质疑，而在德国等其他国家，监管机构还面临着进一步的挑战。

欧洲法院解释说，SCCs是一种过渡性的保障形式，应当与最终形态区分开来。最终的决定需要对特定法律体系提供的个人数据保护水平进行评估，使得该法律体系内的所有组织都有资格从欧盟接收个人数据。与最终的决定不同，《通用数据保护条例》关于适当保障措施的规定特别允许欧盟委员会采用标准的数据保护条款来管理数据出口商和数据进口商之间的交易，而不管数据进口商的法律制度如何。因此，SCCs的有效性并不取决于可以使用SCCs向哪些国家传输数据，欧盟委员会也不需要对此评估。

然而，SCCs是否是有效的保障措施，取决于其是否包含有效的机制，是否达到了欧盟法律要求的保护水平。欧洲法院的结论是，SCCs中确实纳入了有效的机制，因为进口商有义务在其无法遵守SCCs时通知出口商，出口商有义务暂停转让。

各组织和监管机构必须评估对SCCs的遵守情况。由于SCCs对公共机构没有约束力，欧洲法院确有必要为SCCs的补充条款提供担保。欧洲法院解释说，应由各组织在移交前逐案核实SCCs是否达到了《通用数据保护条例》所要求的保护水平，并在必要时实施进一步的保障措施。

对于进行中的数据传输，如果出口商无法再为欧盟公民提供必要数据保护，则必须暂停或停止数据传输。欧洲法院解释说，根据现行SCCs的规定，如果进口商不再遵守此规定，那么他们必须通知出口商，出口商有义务暂停数据传输。

此外，如果监管机构确定特定进口国无法遵守SCCs中的附加保障措施，并且无法通过其他方式提供所需的保护水平，则监管机构必须责令暂停或禁止数据传输。

3.2 企业约束规则

企业约束规则(Binding Corporate Rules, BCR)旨在描述企业如何在不同实体内部处理个人数据，它被认为是保护隐私的“黄金标准”，但也是一个昂贵和漫长的过程，因此对公司来说并不是一个切实可行的选择。事实上，全球只有少数几家公司获得了BCR批准，主要是大型跨国公司，这意味着其不适合中小型公司。

3.3 新的“隐私盾”

“隐私盾”是在“安全港”失效后几个月才颁布的。然而，“隐私盾”继任者的出现不是一个简单的过程，其出现的时间也难以确定。

美国商务部表示将会继续管理“隐私盾”项目，它指出欧洲法院的决定并没有免除公司保护隐私的义务，它们仍需要遵守这些义务，这与公司是否依赖“隐私盾”将个人数据从欧盟转移到美国无关。

四、对公司和未来趋势的影响

“隐私盾”的失效加强了跨大西洋数据传输对SCCs的依赖，然而也增强了数据本土化趋势。新的SCCs是一种非常流行的方式，将数据从欧洲转移到美国，但是这种方式仍然需要通过数据传输影响评估体系（Data transmission impact Assessment，DTIA）进行个案评估。

4.1 新的SCCs

欧盟委员会于2021年6月4日发布了新的SCCs，并于2021年9月27日生效。这意味着新的SCCs需要用于任何新的合同，如果数据传输到欧盟以外的地区。现有合同向新SCCs的过渡期将于2022年12月27日结束，除非双方在此期间更新或修改合同，否则他们必须使用新的SCCs。

尽管欧洲法院在2020年没有废除SCCs，但对其有效性表示担忧。欧洲数据保护委员会进一步讨论了这些问题，该委员会发布了关于在使用SCCs时如何有效保护数据的指导方针。特别是，公司可以采取补充措施，这些措施可以是技术性的（例如加密、假名化等）、组织性的（例如处理和审查政府请求的内部流程）和契约性的（例如与供应商的合同要求，以充分保护相关数据）。总的来说，欧洲数据保护委员会的建议代表了监督机构在分析“Schrems II”案判决方面达成的共识。

新的SCCs考虑到了欧洲央行的担忧，并采纳了欧洲数据保护委员会的建议。因此，与旧的SCCs相比，它们更具保护性，并且符合《通用数据保护条例》的要求。此外，它们还有更大的灵活性，允许来自基于欧盟的处理器（处理器-处理器和处理器-控制器)进行数据传输。然而在旧的SCCs中，数据传输只能来自基于欧盟的控制器(控制器-控制器和控制器-处理器)。

尽管新的SCCs在数据传输方面提供了更大的灵活性，并且符合《通用数据保护条例》的要求，但并没有免除公司进行数据传输时的评估义务，以评估是否允许向第三方进行传输、与所述传输相关的风险、为缓解此类风险而采取的措施以及这些措施是否充分。DTIAs仍然是一项进行中的工作，因为很多公司试图找到能够使其发挥作用的有效方法。

尽管创建了新的SCCs，但英国仍然认可旧的SCCs，因为它们在英国脱欧之前已经颁布。因此，在英国和欧盟有业务的公司在向美国发送数据时，需要使用新的SCCs向欧盟传输数据，使用旧的SCCs向英国传输数据。这造成了一定程度的碎片化，然而也给数据保护带来了不公平的竞争环境。因为与旧的SCCs相比，新的SCCs通常能为数据提供更好的保护。这种矛盾更令人费解，因为英国被认为是一个强大的国家，欧盟委员会允许数据从欧盟传输到英国，而不需要任何手续。这意味着，尽管有新的SCCs，但总部位于欧盟的公司可以将数据传输到英国而无须任何手续，并基于旧的SCCs将数据从英国传输到美国，完全绕过新的SCCs。

但是，英国正在起草自己的数据传输方案，该方案将在未来几个月内正式制定。特别是，信息专员办公室（Information Commissioner's Office，ICO）发布了一份IDTA草案和取代SCCs的指南。ICO最近发起了一次公众咨询，于2021年10月11日结束。英国最终确定的IDTA将如何与新的SCCs互动还有待观察。

4.2.迈向新的隐私盾？

在Schrems II案判决后不久，欧盟委员会和美国商务部就增强后的欧盟-美国“隐私盾”是否符合欧洲法院在Schrems II案中的判决展开了讨论。即使隐私盾”在“安全港”失效后几个月才最终确定，但从一开始就很清楚，“新”的隐私盾不会是一项简单的任务。事实上，整个欧洲的学者和隐私专家对于新的“隐私盾”是否是一个可以实现的目标，都持保留意见。

美国一再重申其会与欧盟合作，并确保跨大西洋数据传输的连续性。美国商务部考虑了欧洲数据保护委员会的建议，并准备就欧盟-美国“隐私盾”的后续展开谈判。迄今为止，欧盟和美国已达成共识，致力于作出“隐私盾”的替代协议，以避免隐私盾的缺点，为欧盟和美国间的数据传输提供充分的保障。

但是对企业而言，符合隐私保护标准的数据自由传输至关重要，特别是企业希望保持市场竞争力。关键目标是各方弥合其数据保护体系与达成共识之间的差距。

4.3.数据本土化

基于上述内容，美国和欧盟的公司都提出了一个问题，即数据本土化是否是未来发展的方向？鉴于此，公司和监管机构都需要确认新规则是否会使数据本土化，这将限制一些来自欧盟的常规数据传输。例如，对数据本土化的担忧包括提供在线服务的技术障碍、提供此类服务的选择较少以及广泛的数据本土化所带来的潜在的网络安全风险。

因此，尽管数据本土化听起来是一个简单的解决方案，但实际上会耗费很多时间、精力和金钱，而且与常规云存储相比，它可能会让个人数据面临更大的风险。一些国家最近出台了包括数据本土化条款的法律，尽管这些规定阻碍了技术创新，但是可以对其管辖范围内传输的数据进行全面监控，因而受到很多国家的青睐。

关于数据本土化的讨论日益激烈，但尚未确定这是否是主流选择。总的来说，与简单地进行数据本土化相比，公司正在努力对其数据处理活动进行分类，并在内部记录处理数据的方式、原因、地点和时间。例如，公司可以进行数据映射工作，全面了解不同层次的数据，并对跨系统和流程的数据进行分类。他们还可以遵循一般的《通用数据保护条例》原则、目的限制原则、透明度原则和披露原则。

数据传输领域在过去几年发展迅速，几乎无法预测未来几年欧盟/英国-美国的数据传输情况。新的SCCs的推出为跨大西洋数据传输提供了新的选择。这与是否会引入新的“隐私盾”无关（目前还不确定），也与数据本土化日益增长的趋势无关。数据本土化与自由贸易和数据流量增加的概念基本上是矛盾的，而《通用数据保护条例》本身就是基于这些概念起草的。