欧美隐私护盾协议：监督与有效运作

欧美隐私盾协议的前身是2000年的“安全港协定”。由于美国对个人数据采取行业分散保护机制,整体未能达到欧盟要求,这将妨碍在美国和欧盟之间跨境转移个人数据。于是,为了满足欧盟的充分保护要求,欧美双方于2000年达成了一个折中的安全港协定。之后,欧洲委员会通过“2000/520号充分保护决定”,确认安全港隐私原则及附属条款对个人数据的保护达到了欧盟的充分保护要求。这大大便利了双边个人数据流动;只要美国企业加入安全港,并公开承诺遵守安全港之要求,就可以将欧盟公民个人信息转移到美国境内进行处理。然而,2013年美国监控丑闻曝光,欧盟成员国数据保护机构纷纷质疑安全港协定。2015年10月6日,欧盟法院在Schrems案中否决了安全港协定。

安全港被欧盟法院否定之后,经过紧急谈判协商,2016年2月2日,欧盟和美国商务部达成隐私盾协议(EU-U.S.Privacy Shield IP/16/216),对跨大西洋个人数据流动进行了严格规范,对美方的企业规定更为严格的个人数据保护义务,同时对美国政府提出更高要求。6月27日欧美双方就协议文本最终达成一致。

隐私护盾也包含七大隐私原则,内涵要比安全港隐私原则丰富。

表7-1　隐私护盾隐私原则

此外,隐私护盾还包含一系列补充原则,涉及针对处理个人敏感信息的特殊规定、新闻例外原则、ISP和通信运营商(提供传输、发送、转换、缓存等服务)不承担次级责任的原则、从事尽职调查和审计的例外、数据保护机构的角色、自我确认程序等。在欧洲委员会起草的“充分保护决定”中,包含所有这些原则。(www.xing528.com)

与安全港相比,隐私护盾的进步之处体现在四个方面。

首先,美国企业负担更严苛的义务。虽然参加隐私护盾是自愿的,但是一旦美国企业提交参加隐私护盾的自我确认书,就应当完全遵守其中的所有隐私原则,而且需要公开其隐私政策、执法部门获取个人信息的请求等;此外,声明其符合并遵守隐私护盾之要求的自我确认书必须至少每年提交一次,否则就会被从隐私护盾名单中除名。在监督和执法方面,美国商务部、联邦贸易委员会(FTC)、交通部等有权部门负责监督参加隐私护盾的美国企业履行义务,并做出处罚和制裁,包括可以依据《联邦贸易委员会法》第45条,认定违反企业构成不正当竞争手段,给予严厉处罚,包括罚金、除名等。

其次,赋予欧盟公民更强数据权利和多种救济可能性。作为安全港之升级版的隐私护盾,其中的隐私原则及补充原则的内涵大大丰富、细化了。此外,在对欧盟公民的救济方面,新协定为欧盟公民提供了四种救济渠道。第一,欧盟公民可以直接向美国企业提出请求和投诉,后者必须于45日内做出回应。第二,参加隐私护盾的美国企业必须提供免费的替代性纠纷解决机制(ADR)并告知用户以便其可以做出投诉。第三,欧盟公民可以直接向其本国数据保护机构做出投诉,后者负责将投诉转交美国商务部,美国商务部必须于90日内做出回应,或者将投诉转交FTC处理。第四,如果穷尽前述方式还未能解决争议,最后可以诉诸一个名为Privacy Shield Panel的仲裁程序。

再次,对美国政府进行网络监控、获取个人信息的明确限制。对美国企业而言,只有在以下三种情形才可以不用遵守隐私护盾隐私原则及补充原则：(1)为了满足必要的国家利益、公共利益或者执法需求;(2)制定法、政府法规、判例法有冲突规定;(3)欧盟和成员国法律的例外、减损规定等。美国政府获取欧盟公民个人信息明确限于以下六个目的：一是侦测、反击外国势力的特定行动;二是反恐;三是反制核扩散;四是网络安全;五是侦测、反制对美国和同盟军事力量构成的威胁;六是打击国际犯罪威胁,包括逃避刑事制裁的行为。美国方面承诺不再进行大规模的任意监控。

最后,年度审查机制。为了确保隐私护盾的有效运作,并监督美国履行其承诺,欧洲委员会会同美国商务部每年对隐私护盾的相关情况进行一次审查,并公开其审查报告。这比GDPR的相关规定更为严格,因为后者要求至少每四年对第三方国家的隐私保护情况进行一次审查。此外,年度审查并非形式上的。如果美国企业和政府部门未遵守其承诺,欧洲委员会就可以暂停隐私护盾的运作。