文|黄潇怡 信通院互联网法律研究中心研究员
【关键词】数据跨境流动 数据本地化存储
近期,国际社会对跨境数据流动的关注度进一步提高,欧洲数据保护机构对科技巨头在数据方面的审查进一步加强,国际跨境数据流动频现新动向,如:施雷姆斯向欧盟法院提起针对 Facebook的第三起诉讼、亚马逊因违反欧盟《通用数据保护条例》(GDPR)被卢森堡国家数据保护委员会(CNPD)罚款 7.46 亿欧元、谷歌因违反俄罗斯数据本地化法律被莫斯科法院处以4.1万美元罚款、英国信息专员办公室(ICO)启动了关于国际数据传输协议(IDTA)草案和指导意见的磋商,具体内容如下:
一、奥地利法院将施雷姆斯(Max Schrems )的Facebook投诉提交欧盟法院(CJEU)
数据保护活动家施雷姆斯(Max Schrems )向奥地利最高法院提起诉讼,要求Facebook澄清处理个人数据的合法性,奥地利最高法院于2021年7月将施雷姆斯的案件移交卢森堡,由欧盟法院裁决Facebook对个人数据的处理是否符合欧盟法律。
此次案件的核心问题是处理个人数据的法律依据问题,奥地利最高法院对Facebook用来处理个人数据的法律基础表示怀疑。Facebook一直辩称,在GDPR生效之前,用户已经同意Facebook处理他们的数据。但随着GDPR对“同意”要求的加强,Facebook改变了其处理数据的法律基础,将其服务重新解释为履行合同。现在,Facebook对用户个人数据的处理的法律基础不再是“同意”,而是用户与Facebook签订的服务合同。根据奥地利法院的裁决,Facebook试图通过将其服务重新解释为“履行合同”以规避适用GDPR中严格的“同意”。
另外,欧盟法院还将审查个人数据处理是否符合GDPR中规定的数据最小化原则,以及敏感数据处理等相关问题。施雷姆斯认为,处理这些问题对于整个行业极其重要,尤其是在“以针对性广告为目的的个人数据处理”问题上。Facebook在一个巨大的“数据池”中收集所有数据,并可通过数据处理分析出性取向和政治偏好等敏感信息;即使Facebook自身不将收集到的数据进行分析、归类,仍可通过将数据转移给第三方进行敏感数据分析,如英国政治咨询公司剑桥分析(Cambridge Analytica)的事件。如果欧盟法院支持施雷姆斯的主张,Facebook等数字公司可能不再被允许将数据用于广告,即使同意是有效的;Facebook还可能被禁止处理性取向、政治数据等敏感数据。
这是施雷姆斯向欧盟法院提起的针对 Facebook的第三起诉讼(在他提起的前两起诉讼中,欧盟法院分别于2015年和2020年裁决美国和欧盟之间的“安全港协议”和“隐私盾协议”无效),他希望可以颠覆这家科技巨头的整个数据处理模式。如果CJEU裁定Facebook败诉,Facebook不仅必须停止滥用数据,删除非法收集的数据,还将向数百万用户支付损害赔偿金。
二、亚马逊因违反欧盟《通用数据保护条例》(GDPR)被卢森堡国家数据保护委员会(CNPD)罚款 7.46 亿欧元
2021年7月16日,美国电商巨头亚马逊公司(Amazon)被负责监管其数据保护的卢森堡国家数据保护委员会(CNPD)处以8.866亿美元(7.46亿欧元)罚款,因其对个人数据的处理违反欧盟《通用数据保护条例》(GDPR)。这是该法案历史上处罚金额最大的一次,此前最大金额为去年12月法国数据保护机构对谷歌开出的1亿欧元(合1.1882亿美元)的罚单,原因是谷歌违反了法国有关在线广告追踪的规定。
除被罚7.46亿欧元,监管备案文件显示,卢森堡国家数据保护委员会还要求亚马逊进行“整改”,但未披露更多详情。亚马逊则在文件中表示,卢森堡国家数据保护委员会的结论“毫无根据”,“没有数据被泄露,也没有客户数据被泄露给任何第三方”,亚马逊将全力为自己辩护。目前,卢森堡数据保护委员会(CNPD)的发言人以法律程序正在进行为由,拒绝发表评论。
自2018年5月欧盟GDPR生效以来,欧盟数据保护监管机构对科技巨头的监管要求一直在加强,已在欧洲对谷歌公司、Facebook公司、苹果公司和微软公司进行了高度的审查。GDPR规定,企业在使用个人数据前必须征得同意,如果保护用户个人数据不利,重者可被罚两千万欧元或前一年全球营业收入的4%(罚款额均为“两值中取大者”)。据亚马逊公布的二季度财报,其二季度营收较去年同期增加27%至1131亿美元,预期本季度销售额介于1060到1120亿美元间,低于市场平均预期1192亿美元。
此外,去年11月欧盟认定亚马逊违反欧盟反垄断法,利用卖家数据为其自营业务牟利。欧盟调查发现,亚马逊数据处理系统通过分析海量卖家数据,帮助亚马逊自营业务“跟卖”平台最畅销的商品,或比照卖家数据优化商品定价。当时欧盟表示,亚马逊利用卖家数据规避了正常市场竞争风险,巩固了在法德等国“最大网络销售平台”的地位,此举违反欧盟反垄断法,扭曲了欧盟网络零售市场的竞争;如亚马逊最终无法逆转这一结论,将会再遭欧盟处罚。
三、谷歌因违反俄罗斯数据本地化法律被莫斯科法院处以4.1万美元罚款
2021年7月29日,莫斯科法院对谷歌处以 300 万卢布(约合 41,000 美元)的罚款,因为谷歌拒绝将俄罗斯用户的个人数据存储在俄罗斯的服务器上。这是谷歌在俄罗斯因数据存储规定而收到的第一笔罚款,此前Facebook和Twitter曾因类似的违规行为而受到处罚。俄罗斯政府自 2012 年起开始对互联网和社交媒体进行管制,出台相关法律允许当局将某些在线内容列入黑名单并进行屏蔽。从那时起,针对消息应用程序、网站和社交媒体平台的限制越来越多。Facebook和Twitter今年因未能删除俄罗斯当局认为非法的内容而多次被罚款。
同时,俄罗斯法律要求科技公司在俄罗斯设置本地服务器,以存储他们从俄罗斯公民那里收集的个人信息,允许俄罗斯禁止不符合数据存储要求的在线服务。俄罗斯国家通信监管机构Roskomnadzor 多年来一直试图使 Facebook、Twitter 和谷歌等大型科技公司将俄罗斯用户的数据转移到俄罗斯本地存储,但未成功。政府多次声称要屏蔽Facebook和Twitter,但没有实施,可能是担心此举会引起公众的愤怒。到目前为止,只有LinkedIn因为未能将用户数据存储在俄罗斯而被禁止,而该社交媒体平台在该国并不是很受欢迎。
四、英国信息专员办公室(ICO)启动了关于国际数据传输协议(IDTA)草案和指导意见的磋商
8月12日,英国信息专员办公室(ICO)启动了关于国际数据传输协议(IDTA)草案和指导意见的磋商,该草案取代了标准合同条款(SCCs)成为数据跨境传输的工具,在保证高标准数据保护的同时进行跨境数据传输。IDTA和相关文件是ICO更广泛的一揽子计划的组成部分,以支持数据跨境传输,包括支持英国政府对第三国数据充分性评估的新方法。
这些措施由三部分组成,包括:国际数据传输协议;一项新的转移风险评估,以帮助公司遵守Schrems II裁决;国际转移指南的更新。此外,ICO正在就草案中的新方法可能产生的任何相关隐私权、法律、经济或政策方面的影响征求英国组织的意见。
1.国际数据传输协议(IDTA)(草案)
IDTA 是一份限制将个人数据转移到英国以外地区的合同(即根据GDPR ,个人数据由英国转移到英国充分性法规未涵盖的国家/地区的合同)。该协议旨在确保“对传输数据的数据主体的相关保护与英国的充分保护相似”。
当前的 IDTA 草案包含:有关出口商、进口商和受限转让的具体信息的表格;额外的保护条款(如果IDTA 需要额外的步骤以提供正确的保护水平);出口商和进口商商定的商业条款选项,前提是这些条款与 IDTA 不矛盾;必须始终包括在内的强制性条款。
除了概述IDTA的运作方式外,IDTA文件草案中还包含有关如何填写IDTA的指导模板和信息,包括法律词汇表和常见问题解答。
2.国际转移风险评估和工具(草案)
完成转移风险评估 (TRA)是IDTA 的一部分,以确保IDTA在个人数据接收者所在的国家按预期工作。TRA检查当地法律和实践是否凌驾于IDTA所包含的保护之上。这确保了对被转移数据的数据主体的相关保护与英国的保护充分相似。
根据TRA,必须考虑的三个主要因素包括:限制转移的具体事实,包括转移的个人数据的类型;关于目的地国家的特殊事实;传输对数据主体的潜在影响,以及对数据主体造成损害的任何风险。
TRA的目的是确定IDTA本身是否为限制性转移提供了适当的保障,或者是否需要采取额外的步骤和保护措施。ICO警告说,在某些情况下,即使有额外的步骤和保护措施,IDTA也不太可能提供适当的保障措施。在这种情况下,您可能需要考虑GDPR第46条中的转移工具或例外情形。
3.英国标准合同条款模型附录
ICO 提供了一份附录,以帮助将英国 IDTA 纳入来自其他司法管辖区的其他模型数据传输协议。例如,欧盟委员会、新西兰和东盟已经发布了示范数据传输协议。
ICO 正在就附录的适用性进行咨询,它认为这将增加法律清晰度并支持将 IDTA 纳入企业现有的数据传输机制。
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
