Paul Schwatz：欧美数据隐私法之异同及展望

Transatlantic Data Privacy Law

跨大西洋数据隐私法

Paul Schwatz & Karl Peifer

The Georgetown Law Journal, vol. 106, 115 (2017)

Paul M. Schwartz

UC Berkeley School of Law

Professor of Law

保罗·施瓦茨（Paul M. Schwartz）教授是隐私法、信息法、版权等方面国际权威学者，曾任欧盟委员会隐私问题顾问。

Karl-Nikolaus Peifer

University of Cologne Faculty of Law

Professor of Law

Director of the Institute for Media Law and Communications Law

卡尔-尼古拉斯·佩弗（Karl-Nikolaus Peifer）教授是德国信息隐私法及知识产权法领域权威学者。

数据国际传输当下日益重要，但欧盟和美国之间数据隐私法存在的差异让这种传输面临中止的风险，基于此，本文对跨大西洋数据鸿沟的弥合进行了探讨。首先，本文分析了欧盟与美国不同的数据保护话语体系，不同的隐私文化塑造了二者法律体系下不同的个人身份、权利属性、救济措施以及保护核心。此外，本文使用欧盟的权利话语体系和美国市场话语体系，对比分析了各自法律框架下如何看待“合同”及“同意”以及如何保护数据主体和隐私消费者。最后，本文指出，虽然双方差异极大，但仍然存在合作前进的空间，无论是GDPR还是“隐私盾”协议，都表明欧美在其新框架下的理解与发展会引领国际数据隐私法的未来。

注：在本文中，谈论及欧洲隐私法时，作者使用的术语为“数据保护”（Data protection），谈论及美国隐私法时，则为“信息隐私法”（Information privacy），涉及中立的话题时，则为“数据隐私法”（Data privacy law）。

/01/

不同视角下的数据隐私

本部分对欧美两种不同法律体系下，作为数据隐私利益承担者的个人却有着截然不同的“法律身份”的原因进行了探究。对于欧盟而言，个人对其数据享有的权利是一项受宪法保护的基本权利；而对美国而言，个人则是市场的参与者，其对数据隐私所享有的是消费者权利。

A. 欧洲的权利话语体系（Rights Talk）

欧洲数据隐私法以数据主体（Data subject）及其权利为中心，以宪法性的话语体系来保护数据主体的权利。

1. 宪法保护

在欧洲，数据保护权是一项以人格、尊严、自决权为基础的基本权利，早在二战之前，欧洲各国就已经在其宪法中承认了个人的尊严和人格权利，二战后，作为身份认同的重要部分，欧洲进一步建立了一个超越国家界限的基本权利体系，先后颁布了《欧洲人权公约》和具有基本法效力的《基本权利宪章》。随着时间的推移，数据隐私权利也纳入了欧洲基本权利体系内，《欧盟人权公约》第8条规定，个人具有私人生活以及家庭生活被尊重的权利，《基本权利宪章》第八条第一款规定，每个人都有权利保护个人数据，欧洲人权法院和欧盟法院在此基础上进一步细化，通过裁判确定了有关数据保护的各项权利。此外，欧盟各个成员国也在其宪法或者司法解释中对数据保护权进行了宪法承认，诸如德国1983年设定的“信息自决权”和2008年设定的“信息系统信任权及完整权”。综上，这都印证了Fabbrini的观点，即数据保护权利的宪法来源的多元性。

此外，作者指出，在欧洲，长期以来人们都认为数据处理与收集行为对个人基本利益带来了重大风险，正如其他欧盟宪法权利，隐私权和数据保护权不仅仅是对政府的限制，还要求政府采取行动保护数据主体的权利免受侵害。

总之，作者指出，欧洲数据保护法在宪法层面有着很强的立足点，其目的是保护个人免受数据处理所带来的人格受损风险，其主要通过人权为基础来制定各种数据保护措施。

2. 成文法保护措施

作者指出，《基本权利宪章》第65条规定，数据使用行为要有“法定的合法依据”，即在没有充分的法律依据的情况下处理个人数据，本身就是对合法权利的侵犯，即使所涉及的个人数据并不包含敏感数据也未对个人造成损害，个人基本权利也必须得到保护，Google Spain案和Schrems案均体现了这一点。

而为了满足宪法性法律的要求，即对合法依据进行规定，欧盟采取了综合性立法的方式，即颁布涵盖各种数据处理行为，各个领域的数据保护法，以规定保护作为基本人权的数据权利的最低标准，诸如即将生效的GDPR（本文发布时GDPR尚未生效）。

此外，作者指出，欧盟法律还为数据主体提供了一条明确的救济途径，当数据主体受到损害后，其可以获得相应的法律保护，这种补救措施不取决于个人是否受到物质损害，数据主体和数据保护机构都可以申请禁令，以阻止损害隐私利益的行为，并且在严重侵犯个人受保护的隐私的情况下，可以获得基于非物质损害的赔偿。

总之，在欧盟，数据保护作为宪法问题需要成文法，在其综合隐私法体系下，没有任何领域是不受监管的，数据主体的任何隐私损害都有相应的补救措施。

3. 数据主体与数据处理者

和其他欧盟基本权利一样，数据保护权利的范围也并非无边无际，《欧洲宪章》中规定，这种权利和自由可以在符合法律规定并且不影响其本质的前提下进行限制，《数据保护指令》也曾提到，所有成员国在处理数据时必须对个人权利和自由采取相同保护水平，以保证数据流动。作者指出，这体现了欧盟数据保护的双重目标，即在高标准保护数据的同时，保证内部数据自由流动。同时，作者指出，无论是欧盟的数字市场倡议还是相关数字合同指令都表明，欧盟意识到国际数据流动极具价值。

此外，作者指出，在数据保护政策框架外，欧盟在信息自由流动方面的利益构成了其建立数字单一市场的标志性法律倡议的一部分。欧盟法律认可与数据保护可能冲突的利益诸如获取信息的权利、言论自由等的法律地位，当这些利益与数据保护冲突时，欧盟法院会进行相称性分析，以尽可能小的成本实现这些利益。但同时，这些相关利益不能优于数据保护，作者指出，欧盟数据保护法并没有将数据处理者的利益放于首位，正如Google Spain案中体现的，不能仅以搜索引擎经营者对数据处理享有的经济利益就不对个人数据和隐私进行保护。即信息的自由流动很重要，但最终还不及于欧洲权利制度中尊严、隐私和数据保护的地位。

B. 美国的市场话语体系（Marketplace Discourse）

欧盟将法律视为反映和具体化基本隐私权的途径，而美国则将其信息隐私法置于市场体系内。与欧洲不同，美国法律没有为隐私消费者配备基本的宪法权利，相反，其将个人信息视为市场中的商品，将个人视为个人信息自由交易中的一方主体，其信息隐私法的重点不是对个人基本数据人权进行保护，而是确保数据交换的公平。

1. 宪法保护

首先，在私人主体之间，作者指出，在美国，既不存在与欧洲的数据保护权相似的宪法权利，也不存在要求政府采取积极的措施来确保这种基本权利的规定，这源自于美国人对政府权力压迫的恐惧以及建立有限政府的目标。其次，在公共部门和个人之间，个人只享有有限的信息隐私利益，只在政府处理个人数据时受到来自宪法第四修正案和第十四修正案的保护，而这种保护也受到很大的限制。（本文发表时roe v. wade案尚未被推翻）即，与欧盟相比，美国宪法并未赋予个人相应的数据保护权或信息自决权。

作者指出，在美国，与信息相关的宪法条款确保的是数据的自由流动，而非保护个人隐私。在Sorrell v. IMS Health Care案中，美国宪法第一修正案的言论自由条款成为了缩小信息隐私法范围的依据；而第三条所规定的诉讼资格条款也使得隐私消费者在无法证明“实际损害（concrete harm）”时，不能满足诉讼条件，在Spokeo, Inc. v. Robins案中，联邦最高法院认为，即使相关隐私法规规定了个人可以就违反该规定的行为提起诉讼并请求赔偿金，也仍需要满足“实际损害”的要求。

2. 成文法保护措施及市场话语

与欧盟不同，美国法律以信息自由流动原则为出发点，除非有相关法律规定，任何数据处理行为都是允许的。同时，美国的隐私法也并非是通过综合法律来构建的，而是一种碎片化、拼凑式的法律，即主要由某些规制特定领域数据处理行为的联邦法律和州法律所组成的。

与欧盟不同，美国信息隐私法并非基本权利本位，而是市场话语及逻辑占主导地位。联邦贸易委员会在隐私保护领域更像是隐私警察，职责为保护消费者及促进竞争，防止“商业中或影响商业的不公平行为或者欺诈行为”。此外，相关成文法中也体现了极强的市场导向，只需要通知-同意，企业即可任意处理个人信息，诸如《加州在线隐私保护法》(CalOPPA)只赋予了个人消费者权利。简言之，美国信息隐私法将隐私利益保护嵌入到了消费者关系中。

3. 隐私消费者与数据处理者

在美国，最有力的宪法保护的对象并非数据受威胁的个人，而是数据处理者，美国宪法并未规定与欧盟相似的基本数据保护权，也没有数据处理法律依据的相关宪法规定。作者认为，长期以来，美国立法者广泛征求数据处理者或收集者的意见，其信息隐私法律体系以行业自律为核心内容，试图创造一个能够促进创新的发展环境，在促进创新的同时提高消费者对企业的信任。

/02/

欧盟：诉讼中的权利话语

通过将合同与同意机制从隐私利益中“拿出来”，欧盟建立了以集体方式解决私人问题的法律体系，其将数据保护利益置于个人交易能力之外，以防止个人行为侵蚀自主权进而产生负面集体影响。

A. 针对私人决定的集体方法

合同和同意是允许个人表达意愿的个性化法律机制。欧陆的法律传统长期以来一直重视合同和同意，并利用它们来促进个人的自决权，然而，作者指出，在数据保护法中，欧盟却采取了集体方法，即将数据保护排除在合同与同意之外。欧盟《基本权利宪章》及数据保护法律体系确立了信息隐私的不可剥夺性，即数据保护原则不能通过个人意思而放弃，数据主体不能通过同意出售宪章所保护的基本权利，包括隐私和数据保护方面的基本利益。

B. GDPR中的合同和同意

在欧盟，“合同”受到了必要性、目的限制和禁止捆绑的要求的限制，“同意”也同样受到了诸多限制，在多种数据处理情形中无法发挥作用。

在GDPR第六条第b款中，其明确将合同作为合法使用个人数据的前提，并通过 “必要性 ”和 “目的限制 ”的要求，对其进行了限制，同时，GDPR还增加了禁止捆绑销售的规定，即对最初数据处理的同意对后续数据不生效，巩固了“必要性”和“目的限制”的规定。

此外，个人数据合同的有效性方面，GDPR借鉴欧盟消费者保护法，要求对合同的实质性条款以及合同的表现形式进行审核，任何未经单独协商的合同条款，如果 “导致双方在合同下的权利和义务严重失衡，从而损害了消费者的利益”，就是不公平的，即无效。

在“同意”方面，早在GDPR之前，欧盟就建立了目前的双轨制同意方式，GDPR对其进行了进一步完善。首先，“同意”是数据处理的法律基础，其次，“同意”还受到法律的重大限制，以“同意”作为合法依据的范围大大缩小，限制幅度远超美国法律。GDPR要求同意必须是“自由给予的、具体的、知情的和不含糊的，故而沉默或者不作为不能构成同意，此外，获取同意的手段必须是可被理解且透明的，并且GDP还作出了进一步限制，不仅个人可以随时撤回同意，敏感数据或者儿童数据还需要满足其他条件才能够处理和收集。最后，“同意”的证明责任由数据处理者即控制者承担。

作者指出，GDPR反映了对“同意”和“合同”的强限制观点，正如Kuner所指出，在欧盟法律框架下，建议企业寻求“同意”以外的路径来证明其数据处理行为的正当性，仅在绝对必要的情况下才将“同意”作为数据处理的法律依据。

C. 通过数据隐私构建法律身份

作者指出，权利话语是欧洲立法的重要内容，并且在过去几十年内，欧洲的基本权利文化一直在发展，数据保护法正处于其前列。欧盟的目标是建立一个有权约束其成员国的超国家权力机构，但是这一进程却受“民主赤字（democratic deficit）”的阻碍，即普通欧洲公民无法感受到其与欧盟之间的联系。为解决这种问题，作者指出，欧盟一方面增加欧盟议会的权力，另一方面则是在宪法层面作出回应，通过欧盟宪法权利来创造出欧盟公民意识。

这要求欧盟必须为其公民提供正义而自由的宪法保障，发展基于共同基本权利的共同政治认同。作者指出，数据保护权利的讨论应该在这一背景下理解，欧盟的数据保护权利试图为泛欧洲身份创造宪法基础。诚然，在保护数据和隐私利益方面，欧盟还有其他考量，一方面是促进其内部市场一体化，另一方面是受法西斯主义和种族主义惨痛历史的影响，但是不能忽视其在权利导向的欧盟法律体系中的重要作用，数据保护是欧盟人权保护的关键部分。

/03/

美国：保护隐私消费者

美国隐私法将消费者置于数据交易市场中，由联邦贸易委员会对数据交易进行监管，以防止欺诈和不公，这与欧盟的数据主体的权利话语体系有着较大差异。

A. 市场监管：成文法与联邦贸易委员会

虽然，美国拼凑式的隐私法律中存在某些企业必须遵循的强制性义务，但与欧盟相比，美国法律并不太强调信息隐私的不可剥夺性。一方面，美国的隐私法并没有像 GDPR 第 6 条那样，要求数据处理必须由合法依据为，另一方面它也没有对“同意”和“合同”施加强有力的限制。作者指出，在美国，信息隐私的不可剥夺性主要是通过强制披露和通知义务实现，由联邦贸易委员通过其 “通知和同意”的执法方式来实现。

在“通知”方面，美国成文法主要通过对企业施加披露义务来创造信息隐私的不可剥夺性。美国的隐私法强调数据处理者的强制披露和隐私消费者对信息的强制接收，它将相关内容从商家和个人之间的可协商范围中移除。许多美国隐私法规都规定了企业必须强制披露数据使用规划以及数据泄露情形，还有部分州法律还规定了其他披露要求。这种披露要求是强制性的，个人不能放弃。然而作者指出，许多消费者被埋没在隐私通知的雪崩中，面临着巨大的信息负担。

在“同意”方面，联邦贸易委员会建立了一个“理想化同意”的概念，即以消费者的合理期待为标准，在其管辖范围内，来认定企业的“不公平或欺诈行为”，而消费者的同意既可以是明示也可以是默示。作者指出，联邦贸易委员认为企业的隐私声明即为“通知”，消费者分享个人信息的行为视为“同意”，企业未能遵循其声明或消费者的合理期望的做法则视为欺诈。在美国不确定的隐私环境中，FTC阻止了企业欺诈消费者，进行过度承诺隐私，以及从事意想不到的不合理数据处理行为。但作者认为，这建立在一个 “法律虚构 ”上。联邦贸易委员会的假设，想象中理性的消费者阅读了隐私声明并同意其中的条款，那么，此时企业的欺诈行为就藐视了理性个人的同意。但建立在虚构之上的通知和同意框架也有好处，它使该机构能够监管个人数据市场，以一种相对小范围的集体执法方式阻止不公或者欺诈行为。

B. 隐私市场中的“合同”与“同意”

在“合同”方面，美国法律体系对合同自治极具开放性，然而作者指出，事实证明合同与美国信息隐私法基本无关。在隐私协议是否是合同方面，美国法院存在分歧，一方认为其是合同，一方则认为隐私协议仅是不具有约束力的企业自律声明，在2005年的美国西北航空一案中，法院认为西北航空的隐私声明只是不具有约束力的一般政策声明（general statements of policy）而非合同；在In re JetBlue Airways Corp. Privacy Litigation案和In re American Airlines Inc. Privacy Litigation案中，法院虽然主张隐私协议是合同，但是原告在不能证明存在实质损害（concrete harm）的情况下，仍然不能胜诉。因此作者认为，无论未来法院是否将隐私政策认定为合同，结果仍然不变，即合同法在保护消费者层面难以发挥作用。

在“同意”方面，与欧盟不同，美国信息隐私法并未要求数据处理获取个人同意，其主要使用了两种同意的变体，即“选择加入”和“选择退出“机制。

就“选择加入“机制而言，作者结合《公平信用报告法案（FCRA）》指出，这种法案的主要目的是引起消费者对数据交易或交换行为的注意。在《FCRA》中，信用报告公司可以在其有 "理由相信 "有 "合法的商业需要时"无需消费者同意向他人披露信用数据，而因就业目的披露或内容包含医疗信息时则需要消费者”选择加入“。作者认为，这忽视了其中隐含的权力不平衡问题，如个人在就业时不太可能拒绝潜在雇主查询你信用记录，同时个人还面临海量选择带来的”积累问题“。

此外，“选择退出”机制意味着个人不拒绝，企业就可以使用个人数据。作者结合《格雷姆-里奇-比利雷法案 (GLBA)》指出，这种拒绝难以起到实际作用，没有有效地保护消费者的隐私权。

作者指出，正如Daniel Solove所说，告知同意机制是一种 "隐私自我管理 "的错误做法，存在相当多的 "结构性问题 "让个人无法有效行使消费者权利，而美国数据隐私法却将个人视为天生的数据消费者。

C. 通过数据隐私构建法律身份

作者指出，要理解美国做法，就要先注意到信息隐私在美国薄弱的宪法基础。美国宪法对私人主体关系的影响很小，欧盟式的权利话语难以适用，美国人的关键身份是消费者。此外，美国人相信创新和技术与进步紧密相连，在这种价值观念的作用下，美国信息隐私法自然就选择了市场话语，并保护作为隐私消费者的个人，而相应的，美国信息隐私法也未选择综合立法方式，而是通过碎片化立法来监管不同领域的隐私欺诈或者不公行为。

/04/

数据隐私法的国际展望

A. 国际数据传输：“安全港”道路及其消亡

综合上文可知，欧美数据隐私法律体系差异极大，同时二者也都对对方的体系颇有微词，解决其由此产生的国际数据传输问题的第一代方案就是“安全港”协议。欧洲政策制定者意识到，必须防止其公民个人信息在欧洲之外被滥用，因此无论是《数据保护指令》还是GDPR都要对国际数据传输提出了保护措施的“充分性”认定标准。然而正如第29条工作组所宣称，欧洲眼中的美国数据隐私法不具备这一“充分性”，为了弥合二者之间的差异，“安全港”协议就诞生了。这一协议将欧盟数据保护概念移植到美国法律中，要求美国企业在跨境获取数据时遵守欧盟原则，提供“充分的”保护，同时，美国企业可以自愿选择是否加入“安全港”协议。然而经过斯诺登的揭秘，美国的保护是否“充分”受到了质疑，而Schrems诉信息专员案则最终宣告了“安全港”协议的消亡。

B. 隐私盾

“安全港”之后，欧美达成了新的协议，即“隐私盾”协议。与“安全港”相比，作者指出，首先“隐私盾”增加了关于“目的限制”的明确规定，并对其进行强调。此外在同意方面，美国企业必须获取用户的明确“选择加入”式同意，并且敏感信息需要额外同意。其次，在执法层面，“隐私盾”规定，数据主体可就有关侵权行为向国家数据保护机构投诉，或向“隐私保护小组”寻求仲裁。此外，针对美国政府的侵害风险，“隐私盾”要求设立独立于美国情报机构的国家监察员，以对国家侵权行为作出回应。在监管层面，由联邦贸易委员会和商务部对执法程序进行监督，将不符合条件的企业从白名单中删除，欧美每年也会进行联合审查以确保保护水平“充分”

作者指出，隐私盾体现了欧美之间的妥协和让步，其整体更加倾向于欧盟的数据保护法，同时，也符合美国的数据自由流动底线。

C. 趋同、分歧与新机构

作者指出，数据隐私的未来道路将是合作与让步，“隐私盾”也是其中的成果之一。要推到数据隐私融合，需要共享的技术环境、保护数据流动益处的政治协议以及各国共同的安全和执法关切点。作者认为，欧盟和美国目前正在经历以“监控问题”为核心的短暂不稳定时期，但是不论是二者情报机构职责的相似性，还是欧盟法律将国家安全问题和刑事问题排除在数据保护法之外，都证实二者有着共同的安全关切点，美国和欧盟之间以及与成员国之间的合作还有很大的空间。总之作者认为，围绕与国家安全监控相关问题，欧美可以达成一个新的后斯诺登时代共识。

同时，作者指出，在趋同之外，还存在着分歧。首先二者法律体系不同，欧盟建立了隐私综合法律体系，而美国建立的是碎片式体系；此外，个人法律身份也不同，欧盟赋予数据主体欧盟公民的政治身份及宪法权利，并存在着宪法权利扩大的趋势，而美国则以消费者身份看待个人、赋予消费者权利，同时不存在鼓励扩大现有的有限隐私权的动机；再次，在补救措施领域二者也有着显著不同，只要没有数据处理的法律依据，这种处理行为在欧盟体系下就侵害了个人利益，而在美国，个人在满足诉讼资格和实质损害双重标准的情况下才能胜诉。至于“合同”和“同意”，作者指出，两种制度之间对相关学说有很大的误区和分歧。最后，作者指出“特朗普效应”也会加剧这种分歧（本文成文时仍是奥巴马政府时期）。

然而，虽有差异存在，欧盟和美国达成的共识所形成的新理论和机构正在引导着这一领域的发展。作者认为，数据隐私的未来不回受“布鲁塞尔效应”所主宰，国际数据隐私法更像是一种“协调网络”，GDPR创建了可以促进互操作性的隐私制度框架，跨大西洋数据贸易的未来将取决于该框架内的让步与妥协，而这一框架也为共识提供了更多接触点，借助Goodman-Jinks框架，作者进一步指出，欧洲数据保护法将持续作为塑造国际数据隐私法的强大力量而存在。

    欧盟数据保护法通过限制个人信息交易行为以防止无度个人决定带来的集体负面影响，其围绕权力话语体系，建立了宪法化的公民数据权利体系以及限制合同和同意权的综合隐私法。相比之下，美国信息隐私法强调数据流动的价值，通过部门立法的方式构建了碎片化的消费者保护隐私法体系。隐私的国际未来问题取决于两个系统是否能够弥合各自法律文化中“基本事物”观点的差异。归根结底，双方都需要承认其差异的存在，在新的框架内合作。GDPR和“隐私盾”都需要欧盟和美国之间的定期互动，这也为双方提供了很多合作和协调的机会，为欧盟和美国解决数据隐私的冲突提供了一个新的起点。

编辑 & 翻译：黄昊