欧盟数据保护(GDPR)动态：欧盟法院对脸书(Facebook)

的裁定给中国带来的启示

2020-08-05

“史上最严数据保护法”的欧盟《通用数据保护条例》（GDPR）正式生效以来，欧盟居民个人数据的跨境流动监管一直是个热门话题。对于那些需要将欧盟境内居民个人数据（例如客户，员工和服务提供商等数据）传输至中国境内的中国企业来说，这方面的合规风险尤为重要。

本文将通过分析近期欧盟法院(European Court of Justice)对脸书(Facebook)的一个重要裁决来解读GDPR在这方面的具体要求，并提出一些对中国企业的合规建议。

一、案件背景

2020年7月16日，欧盟法院在数据保护委员会(Data Protection Commission)诉脸书爱尔兰有限公司(Facebook Ireland Ltd.)一案中，就欧盟居民个人数据被传输至欧盟以外国家问题,做出了一项重要的初步裁决。

欧盟法院对Facebook的裁定源自爱尔兰数据保护局(DPA)的一个行政调查。而该调查由一位奥地利律师兼数据保护活动家Maximillian Schrems先生引发。最初，Schrems先生向爱尔兰数据保护委员会投诉，称Facebook的数据境外传输行为侵犯其数据隐私权。具体而言，Schrems先生声称Facebook将其所获个人数据提供给美国政府机构，例如美国国家安全局(the National Security Agency)和美国联邦调查局(FBI)，这违反了GDPR和《欧盟基本权利宪章》(the Charter of Fundamental Rights of the European Union)的相关规定。不过，该投诉被监管部门否决。随后，Schrems先生向爱尔兰高等法院(the Irish High Court)提起上诉，而爱尔兰高等法院呈请欧盟法院予以裁决。

二、涉及的法律问题

针对以上的上诉请求，Facebook辩称其将数据从爱尔兰传输到美国的行为是合法的，基于如下两个法律依据：

1）欧盟与美国签署的保护盾保护协议（“保护盾”），欧盟委员会(European Commission)（“欧委会”）已经给予该行为充分保护认定(adequacy decision)；

2）该行为满足欧委会在第2010/87号决定附件中列出的“数据保护标准条款”(“standard data protection clauses”)中的要求。

为了方便读者理解，我们对以上两个法律依据解释如下：

1）关于“充分保护认定”，是指欧委会如果认为数据所转移至的第三国对欧盟居民个人数据的保护能够达到“充分保护的水平”(“an adequate level of protection”)，则获准数据跨境传输行为。而与美国签署的“保护盾”则是欧委会在对美国数据隐私方面的立法和保障措施进行审查之后，根据GDPR第45条，在第2016/1250号决定中，对其做出充分保护的认定；

2）但如果没有达到充分保护认定标准的情况下，GDPR第46条为个人数据向第三国传输活动规定了其他合理的替代性保障措施，其中包括数据进出口方所采用的“数据保护标准条款”。这种标准条款要求数据进口方和出口方均需履行特定义务，以保护向第三国传输的数据。欧委会在第2010/87号决定中列出了采用此类条款有关的规则及其标准。

爱尔兰高等法院提请欧盟法院对该案的几个法律问题进行裁决，其中包括“保护盾”和与“数据保护标准条款”相关的委员会2010/87号决定的解释和效力问题。

三、欧盟法院的裁定

1.对“保护盾”的裁定

同欧委会所做出的决定一样，对于“保护盾”的充分保护认定也要接受欧盟法院的司法审查。最后，欧盟法院认为对“保护盾”的充分保护认定应属无效，即欧委会在评估美国为保护欧盟居民数据采取的保障措施时，做出了错误的评估结论（欧委会当初认为基于“保护盾”可以做出充分保护认定）。

欧盟法院得出该结论基于如下两个理由：

1）首先，所有充分保护认定均须考虑相关第三国的法律保护环境，其对个人数据的保护必须“基本等同于”GDPR所提供的保护水平。换句话说，在第三国内进行的数据处理活动必须是服务某种特定目的，且应基于数据主体的同意或其他合法基础。第三国政府机构只有在基于合法利益，且介入行为“仅限于严格必要范围内”的情况下，才可以要求该国境内的公司将其所获个人数据移交给政府机构。法院在对《美国外国情报监视法》(FISA)第702条进行审查时，认定FISA法案“在授权实施境外情报监视计划时，未对该授权进行限制；在对非美国公民实施监视计划，也未对上述公民提供保障。”

2）其次，法院认为，第2016/1250号决定没有为美国联邦机构使用数据遭质疑的情形提供司法补救措施。

基于上述两个理由，欧盟法院裁定，基于“保护盾”所做出的充分保护认定是无效的。

2.对第2010/87号决定的裁定

爱尔兰高等法院向欧盟法院提出的第二个问题是与数据保护标准条款有关的第2010/87号决定的解释与效力问题。在第三国缺乏欧委会的充分保护认定（比如“保护盾”）情况下，GDPR第46条列出了一些个人数据转移中的合理保障措施，其中包括数据保护标准条款。

欧盟法院裁定，在没有充分性决定的情况下，由数据出口方(Facebook Ireland)和数据进口方(Facebook Inc.)自行确定其所适用的数据保护标准条款（以及他们已采取的其他措施）是否能提供GDPR下相同程度的保护。第三国政府基于保护其国家和公共安全等理由而对数据进行访问不应超出一个民主社会所需的范围。

裁定还指出，如果第三国没有提供达到欧盟级别的保护措施，则数据进口方必须通知数据出口方：在第三国的法律体系下，其无法遵守数据保护标准条款。随后，数据出口方“有义务中止数据传输和/或终止合同”。如果数据出口方未采取适当措施，则欧盟的监管机构应当中止或禁止将个人数据转移到相关第三国。

本案中，在美国作为数据接收第三国的情况下，Facebook所使用的数据保护标准条款能否提供欧盟级别的保护措施呢？欧盟法院没有做出正面回答。但是，当该案发回爱尔兰高等法院重审时，我们几乎可以肯定地说这些条款应该不符合GDPR规定。

四、给中国企业的启示

目前欧委会尚未就个人数据从欧盟境内转移至中国做出“充分保护认定”。因此，中国企业在数据传输中，只能完全依据GDPR第46条所规定的数据保护标准条款和其他保障措施，或第49条的豁免规则。

如果中国政府机构有权要求访问中国企业所拥有的欧盟居民的个人数据，那么Facebook的判决给中国企业带来同样的风险。在这种情况下，Facebook的裁定意味着数据保护标准条款以及第46条其他保护措施，例如“约束性公司规则”(“binding corporate rules”)和“行为准则”(“codes of conduct”)，都会被认定为所提供的保护是非充分性的，因为即使采纳此类保护措施，这些数据仍会被强制移交给中国政府机构。

此外，可以通过对当事方所承担的积极义务来判断他们是否符合数据保护标准条款，如果当事方不符合这些标准条款的，则数据出口方有义务停止向第三国传输数据行为。欧盟法院提出，如果他们不及时采取适当行动，则数据进口方或出口方（或双方）可能会因违反第46条而承担责任。换句话说，他们可能面临着2000万欧元或集团全球营业额4%（取二者中较高者）的罚款。

最后，如果数据出口方拒绝终止向中国的非法数据传输行为，则中国企业可能面临公众向数据保护局(DPA)的举报（此类举报大多来自心怀不满的客户、员工或竞争对手）。被举报后，中国企业的数据传输活动可能会被勒令暂停或终止。

针对Facebook裁决所带来的影响，中国企业可能会援引GDPR第49条豁免规则，为其将数据传至中国的行为提供合法依据。但是，这些解决方案似乎并不完美，例如，其中一项豁免情形规定，欧盟居民对数据传输行为做出“明确同意”的前提是其已“被告知这种传输行为的潜在风险”。但是，如果消费者充分知悉其数据在中国面临的风险，也许就根本不会同意数据传输行为。另一项豁免情形规定，如果为履行合同所需，数据传输行为可以被允许。不过，许多中国企业从欧盟客户和雇员那里获得大量数据不是（或不仅仅是）为了履行合同目的，而是出于其他目的，例如：市场营销，人力资源需求，统计用途等等。

对于中国企业而言，另一种解决方案是将其欧盟数据转移到已得到欧委会充分保护认定的国家，例如日本或新西兰。当然，从Facebook裁定也可以看出，如果该国政府基于国家或公共安全等理由可以广泛地访问欧盟居民的个人数据，则所有此类充分保护认定还是可能会被推翻。

综上所述，对于中国（和美国）企业而言，最安全的方式是建立一个欧盟数据中心，用以存储所有欧盟居民的个人数据。

最后，欧盟法院对Facebook的这个最新裁定已经在全球企业界引起强烈反响。对于那些从欧盟获取居民数据并传输回国的中国企业来说，也需要重新考虑或者评估其处理欧盟个人数据的合规风险及方案。

本文作者：

本文编译者：

（实习生戴雨勤对此亦有贡献）

声明：

本文由德 恒 律 所律师原创，仅代表作者本人观点，不得视为德 恒 律 所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。