美国离数据跨境“白名单”还有多远？评EDPB关于环大西洋数据隐私框架的意见

一

美国是最早得到欧盟委员会“充分性认定“的国家之一（国内多译为“白名单”），却也是最艰辛的一个。自2000年以来20年，其他十几个认定从来没有任何程度的修订，但欧美从2000年安全港，到2016年隐私盾，再到现在2022年底出来的环太平洋，已足足经历三代。

欧盟委员会于12月中上旬发布决议草案还是让人眼前一亮。不仅Schrems II判决中提出的若干质疑都得到很好的回应，美国商务部也连同联邦贸易委员会、美国交通部等几个有权机关拿出了十足诚意，书信中言辞诚恳，确保改革力度。此轮美国的确在机制和流程上下了功夫。

EDPB随后的意见草案通读下来，能感觉到惯有批判立场，但言语间也流露出少有的褒奖语言，虽然提出的质疑比之褒奖多出许多。大多提出问题可以通过文本修补解决，因此个人判断美国第三次拿到“白名单”指日可待，但此间过程还比较艰辛。

EDPB在整个流程中只扮演建议角色，最终决定权还是在欧盟议会、理事会以及欧盟委员会。但是，在GDPR和/或数据跨境问题上，EDPB的话语权在整个欧盟体系内无可匹敌，这份意见也就代表了目前欧美第三次数据跨境框架的主要挑战点。

先说下概念，这份协议的全称是环大西洋数据隐私框架 (Transatlantic Data Privacy Framework, DPF)，刚接触的读者可能会误以为是美国联邦层面的类GDPR规范。实际上，DPF的功能仅限于数据跨境，性质上是按照GDPR第45条向欧盟委员会提交的“充分性认定”框架。环大西洋框架与安全港和隐私盾存在承继关系，后者框架中的很多内容原封不动照搬进来，这也是EDPB意见中诟病的问题之一。

再简单说下历史。充分性认定至今已经有超过二十年的经历。最早在1995年欧盟数据保护指令中确定，待各国通过本国法转化落实后，自2000年开始出现第一批获得认定的国家，其中包括美国。2013年，当时还是奥地利大学法学院的一名博士生Max Schrems有一颗活动家的心，以斯诺登事件为大背景发起若干针对Facebook的策略行动，并最终起诉至欧盟（最高）法院，推翻了2000年欧盟委员会与美国商务部形成的安全港协议。此后欧美快速炮制出第二版隐私盾，但不久之后再度被挑战，再度被推翻。与此同时，关于数据跨境的规则也通过司法解释得到进一步的延伸和明确。欧洲市场对美国企业至关重要，因此美国商务部不得怠慢，很快又组织力量形成了本文所讨论的第三代数据跨境框架：环大西洋数据隐私框架。2022年12月中旬，欧盟委员会发布了决议草案，包括了很多磋商的细节以及书信往来。EDPB也算非常高效，此后3个月时间就形成了意见草案。

二

环太平洋框架结构上比较复杂，将GDPR规则“原则化”后每个原则所指以及相互关系较难厘定（详见讲义对比表格）。EDPB在意见中诟病了这一点，又提出了自己的理解和评估框架。本文不基于其中任何一种，为避免混淆，将DPF框架的原则重新还原为GDPR的具体概念、原则和制度加以论述。

概念

环大西洋框架相当于重构了一遍数据保护规则，但美国人对于英文概念的使用有自己的主意，欧盟GDPR第V章设定了“本质等同”(essential equivalence)标准， 也并不要求美国法律框架一模一样。因此，DPF框架出来之后，概念体系之间的兼容性和互操作性是EDPB考虑的首要问题。EDPB赞扬了美国在框架和设计上参考了欧盟立法者思路，但仍然指出了若干概念无法与GDPR匹配或者过度模糊，建议后续欧盟委员会促成概念的匹配和兼容。这些概念包括“纯处理” (mere processing)、“代理人” (agent)（尤其是与processor的关系）、人力资源数据 (human resources data)、处理操作 (processing operations)（尤其是与processing的关系）。总的来说，措辞的问题不是大问题，通过文本修补可以解决。

原则

环大西洋框架与GDPR的最大不同之处在于，GDPR的首要目标是在1995年数据保护指令基础上进行细化和统一，而DPF框架明确以原则为主，可理解为GDPR再次“原则化”。当然，DPF框架中各原则所指和内容有一定程度的明确，但不同原则之间还有重叠和交叉，这种设计增加了认知和对比难度。

美国此轮数据跨境规则设计几乎照搬了隐私盾协议中的原则。究其原因，欧盟法院在推翻隐私盾的Schrems II判决中主要关注美国政府对个人数据的访问和调取，对私有部门的内容完全没有质疑，因此也被理解为默许“隐私盾”原则（主要适用于私有部门）的有效性。在这样的大背景下，美国商务部没有理由不采取务实路线，只就欧盟法院点出的不合法之处进行调整。EDPB对这种“新瓶装旧酒“的策略并不买账。虽然法院在判决中并未质疑，但EDPB（及其前身第29条工作组）早在隐私盾时期就对这一套原则提出了若干修改意见（WP Opinion 01/2016，但并未反映在法院的推理当中）。此次EDPB再次被放在独立评估的位置，也就顺势重提了此前关于隐私盾的建议不再赘言。EDPB应当清楚此前提出的整改意见不足以构成环太平洋框架的前提条件，因此也就云淡风轻地表达了自己与法院的立场不同这一事实。而这一分野也将成为环太平洋框架最终通过与否的关键问题。

原则问题上，目的限定被EDPB单独拎出来说了一通。环太平洋框架中的“数据完整与目的限定原则”几乎复刻了GDPR，但美国人自我发挥了一通形成了若干其他概念让欧盟有些困惑，包括“不同目的”与“实质不同目的” (materially different)的区别，“非兼容性使用” (a use that is not consistent with”)的含义等。EDPB建议进行定义或者解释。但总体来说，这部分的内容通过文本修缮基本可以解决。

数据权利

布鲁塞尔自由大学VUB学者Laura Drechsler曾言道 [1]，欧盟委员会的“充分性认定”决议草案中，关于数据主体权利保障的缺失是“致命缺陷”。这种说法将权利问题放在至关重要的位置。但是，通篇读完EDPB的意见，发现仅在权利方面只是做了细节修补。GDPR中算上自动化决策权（有争议）共7项权利，意见中只提及了两个：数据访问权和拒绝权。其中，数据访问权主要是关于例外场景的讨论。美国人作出了“存储中的数据”和“正在处理的数据”的区别，将访问权仅置于前者场景。但这很明显违背GDPR第15条初衷，为EDPB指出。此外，美国人还给访问权开设了另一项例外，即不适用于公共信息或者来自于公共记录的信息。但EDPB早在此前的指南当中就已明言，访问权的行使不以数据是否已经公开作为前提。这两项例外整体看来正当性较低，需要整改。另一项数据主体权利是拒绝权，可能适用于直接营销场景。环太平洋框架中就拒绝权的表述基本模仿GDPR，但内容上略粗糙。EDPB看不出个人如何行使该权利，以及在什么时机可以行使。相较于其他权利，拒绝权的操作流程更为复杂，需要在数据主体和数据控制者双方的利益进行平衡之后才能确定权利是否可适用，而且还涉及到举证责任等。因此，EDPB认为有必要在流程环节上提供准确性。

除这两项权利外，EDPB没有提出其他的权利质疑，仅明确了变换目的（主要是用于营销）使用“人力资源数据“”的做法很难满足GDPR的要求。其一是无法证明第6(4)条的目的兼容，其二也很难在雇佣关系中获得有效同意（存在权利不对等）。

二次跨境

数据的二次跨境是环大西洋框架中唯一直接关乎跨境的维度。所谓“二次跨境” (onward transfer)，是指个人数据自数据传输方 (exporter) 传输至第三国的数据接收方 (initial importer)，再由该接收方向其他第三国的二次接收方传输的情况。二次传输多发生在雇佣关系场景，人力资源数据的多次流动，较为典型的例子包括例如新加坡PDPC在2021年关于Belden Singapore案 [2]，公司并购、企业内部数据流动等复杂场景，以及卢森堡国家数据委员会2018年就AXA公司的BCR协议的批准决定 [3]。不过，EDPB就环太平洋框架笼统地表述 “偶然性雇佣相关操作需求” (occasional employment-related operational needs)不知其所以然，提出了质疑。

二次跨境可能会导致数据跨境规则体系失灵，因为跨境规则大多指向一次传输。一旦数据脱离母国的控制，进一步流向何方，母国无法进行控制。实践中存在二次跨境的需求确实存在，且相关的风险也可以控制，机理与数据委托处理之后再次委托类似。具体而言，对二次跨境的限制（有些场景下总结为传输限制义务 [4]）主要是通过合同的方式调整。但是，自Schrems II判决之后，合同本身的“保障力”（或者法律效力）大打折扣，引出包括“传输影响评估”等补充措施，绝非签订合同这么简单。

根据环太平洋框架，二次跨境并不是完全禁止的，但需要确保二次数据接收方能够提供同等保护，并且按照数据处理者的指示处理个人数据，个人数据保护的标准不能因二次跨境而降低。除此之外，二次跨境的目的也会进一步限定和明确，并且需要建立合法性基础。从文本上来看，该框架没有太大的问题，但现实中风险程度不低，各处细节能否有效实施还需观察。EDPB前身第29条工作组早在2016年第一份意见中就提供了关于数据内部传输的意见，因此没有再次赘述，只是强调关于数据二次跨境的保障措施必须到位和有效。而所有的义务都加在了第一次数据接收方的身上。

自动化决策

在欧盟，第22条究竟是一项权利还是一项禁令存在争议。在美国肯定都不是，因此自动化决策的问题拎出来单说。自动化决策在欧盟是一个大问题，EDPB在此前日本、韩国等充分性认定中都有所强调，认为重要性与日俱增。美国为此做足了准备，详细梳理多部法域中的保障措施。但在EDPB看来这些还不够，明确指出不同部门/领域间保护差异较大。此外，EDPB建议按照GDPR第22条形成一项专门针对自动化决策的保障措施，至少包括第3款中的三项具体权利，包括了解算法逻辑，质疑算法决策以及获得人工干预。为此，欧盟委员会曾为美国辩护称，即便不存在关于自动化决策的特殊规则也不会影响数据保护标准，因为绝大多数自动化决策都是由欧盟境内的控制者完成。EDPB不以为然，指出在表示仍然在雇佣、绩效评估、保险、住房等场景下，位于美国的数据控制者仍然可能开展自动化决策。个人认为这一点较难突破，除非美国能在联邦层面制定类似GDPR第22条的内容，但美国的算法立法大多处于停滞或僵局状态。目前分散且不一致的规则体系很难满足欧盟的要求。

（私有部门）监督

首先需澄清，监督、执法与救济是不同的概念，因此本节关于监督的内容与下一节有别。

早在隐私盾时期，美国商务部提出的监督措施主要包括突击检查 (spot checks)和合规问卷，包括在网络上主动审查虚假陈述。但是，欧盟委员会在第三次隐私盾年度评估中指出，实践中突击检查往往是形式上的，隐私政策也未必都公开。EDPB认为美国所提供的监督多流于形式，不是实质性监督。因此，虽然欧盟委员会将DPF称之为是“认证”机制，在EDPB看来只是个“自认证” (self-certification)。唯一的变局在美国商务部和交通部的公开信中，强调将强化DPF框架的调查和违规监管。但EDPB对这种口头承诺并不以为然，建议进一步观察执行效果。

（私有部门）救济

环太平洋是一个横跨公私两大部门的框架，因此对公共场景和私有场景的救济安排不同，需分别讨论。私有部门中，美国基于隐私盾协议提供了七重救济 (rec 67)，并表示愿意与欧盟数据保护监管机关合作。EDPB对此还是提出了三点建议。首先是确定例外条款的范围（例如仲裁机制的适用性）。其次，关于监管合作，EDPB希望美国明确是否会在实践中采纳欧盟DPA作出的决定，以及欧盟采取行动的事实是否会作为美国启动监管的理由和证据。第三，EDPB还指出了一项不确定性，即美国是否会受理所有欧盟数据主体提出的诉讼，还是会选择性执法。对这些问题，EDPB表示会密切跟踪，并且定期评估。

政府获取和访问跨境个人数据

棱镜门事件后，政府获取和访问跨境个人数据是所有这些事件的缘起，也是此次环太平洋框架磋商的关键。美国对于这一问题进行了系统性反思和整改，拜登发布行政令EO14086（详细内容见讲义）后局面发生了很大的变化，连EDPB也认为是“巨大进步” (significant improvement)。简单来说，14086号行政令主要有两点改革，其一是按照欧盟法院在Schrems II判决中的要求，将比例性和必要性等概念引入到美国信号情报活动治理框架，其二是向欧盟提供了明确的救济措施（前提是欧盟随后被认定为行政令中所谓“区域经济整合组织”）。

褒奖之外，EDPB还是提出了至少三点整改，建议欧盟委员会密切关注美国落实EO14086行政令进行的流程和政策上的更新。首先，环太平洋框架中有些概念比较模糊，例如“临时批量收集” (temporary bulk collection) 等需要进一步澄清和定义。其次，框架中明确了若干政府访问个人数据的目的，但该目的清单并非穷尽。再次（也是最重要的批评），EDPB认为，基于行政令EO12333开展批量数据收集 (bulk data collection) 的实践缺乏独立有效的事先批准和事后评估机制。美国就这一问题创设了“外国情报监控法院” (Foreign Intelligence Surveillance Court, FISC)，但该“法院”并不开展事先批准 (certification)，EDPB认为应当严格基于EO 14086进行整改，并指出美国隐私和公民自由监督委员会PCLOB在这一问题上已经发布了若干报告具备很高的参考性。

（公共部门）救济

最后，在公共部门数据访问的救济上，美国按照欧盟法院的要求作出较大改动，创设了所谓“数据保护评估法院” (Data Protection Review Court, DPRC)。EDPB对此褒奖有加，认为与隐私盾时期创设的监察员 (Ombudsperson)制度相比是“巨大进步”，后者实质上并未提供救济权。但是，EDPB还是表达了若干担忧，例如DPRC可能在国家安全问题上敷衍了事，绝不认定违规，而且不允许上诉等，并建议欧盟委员会就该法院的效果密切追踪，一旦美国政府取消或者缩小EO 14086中提供的保障措施则紧急采取行动，中止或者废除环太平洋框架。

三

总体来说，EDPB的立场和观点褒中有贬，一方面表扬美国拿出了诚意和举动，另一方面也提出若干项需要整改的不足之处。考虑EDPB此次拿出少有的赞扬口吻，未就美国方案指出任何硬伤，该框架最终通过不会有太大难度。

当然，法律的设想和现实总存在差距。由于很多原则性的内容有待落实，究竟环大西洋框架的执行和运营程度是否能够得到欧盟满意，无法通过既有的信息加以判断。其中，EDPB和欧盟法院在立场和评估角度上的不同（EDPB评估要求明显要在范围和程度上比欧盟法院高很多）是最大看点。这决定了美国商务部务实的最小修改策略是否奏效的问题。考虑到欧美数据跨境的政治经济敏感性，该框架的有效性和持续性还会每四年进行一次评估，且面临欧洲当地民权组织可能再次发起的挑战 (Schrems III)。

解读环太平洋数据隐私框架的讲义见同期推送，另文呈现。

公众号中回复“DPF”，下载EDPB意见分析表格（见上）PDF版本

参考文献

[1] Laura Drechsler, Fatal flaw? Data subject rights and the draft EU-US Data Privacy Framework (KU Leuven CiTiP Blog, 22 December 2022) https://www.law.kuleuven.be/citip/blog/fatal-flaw-data-subject-rights-and-the-draft-eu-us-data-privacy-framework/
[2] Belden Singapore [2021] SGPDPC 13, Case No. DP-2011-B7423, DP-2011-B7433 https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Commissions-Decisions/Decision---Belden-Singapore-Private-Limited---12112021.pdf
[3] AXA Group Binding Corporate Rules https://luxembourg-axa.cdn.axa-contento-118412.eu/luxembourg-axa%2Fe0ad5840-51e6-4d21-9438-e789d86789dc_axa+bcr_english+public+version+may+25th+2018.pdf
[4] PDPC, The Transfer Limitation Obligation https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Advisory-Guidelines/the-transfer-limitation-obligation---ch-19-(270717).pdf

据统计，99%的大咖都关注了这个视频号

联系微信：heguilvshi领取优惠券，加入会员

每天两块钱，实时获取全球数据合规风险预警

👇