欧盟法院无效判决后, 美欧数据转移"安全港"还安全吗?

——基于判决的深度分析

蔡雄山：腾讯研究院法律研究中心 首席研究员

曹建峰：腾讯研究院法律研究中心 助理研究员

罗治兵：腾讯研究院法律研究中心 助理研究员

无效判决引发的误读

10月6日，欧盟法院公布了一份无效判决 ，宣布与“美国-欧盟安全港协议”（US-EU Safe Harbor Scheme）有关的“2000/520号欧盟决定”（Safe Harbor Decision）无效。此判决一出，众多国内媒体旋即将其解读为欧盟废除“安全港协议”，实在是对欧盟法院判决的误读。殊不知，欧盟法院虽然对于欧盟法律的效力拥有最终决定权，但是对于双边或者多边国际条约或者协议的效力，似乎并没有那么大的话语权。

还原案件的来龙去脉

所以，有必要梳理一下案件的来龙去脉。一位名叫Schrems的奥地利公民自2008年以来就在使用Facebook，他发现Facebook在爱尔兰的分支机构将收集的他的个人数据传输到了Facebook在美国的服务器。2013年发生的斯诺登事件增强了欧洲国家对美国隐私保护的怀疑，他因此向爱尔兰数据保护委员会提出申诉，声称考虑到大规模的政府监控，美国并没有对转移到其国内的个人数据提供充分的保护，并要求该机构行使法定权力禁止爱尔兰分公司将他的个人数据转移到美国。爱尔兰数据保护委员会否决了他的申诉，认为根据欧委会于2000年7月26日通过的“2000/520号欧盟决定”，安全港协议对个人数据提供了充分保护。

于是，他向爱尔兰高等法院提起了诉讼。爱尔兰高等法院认为，监控和拦截被转移到美国的个人数据事关公共利益，而斯诺登事件表明美国国家安全局（NSA）等联邦机构过度滥用了其职能，致使欧盟民众的权利得不到有效保护。一旦个人数据被转移到美国，在大规模以及不加选择的监控和拦截过程中，NSA、FBI等联邦机构就可能侵入这些数据，所以美国对个人数据没能够提供充分保护。由于该案涉及到了欧委会的“2000/520号欧盟决定”的效力问题，而只有欧盟法院对欧盟法律的效力拥有最终发言权，所以爱尔兰高等法院提请欧盟法院相关法律问题做出初步裁决。这才有了10月6日的那份无效判决。

无效判决严重挑战美欧安全港协议

这份判决解决了两个问题。首先，欧盟法院宣布“2000/520号欧盟决定”无效，因为欧委会并没有履行职责去调查美国对个人数据实际上是否提供了充分保护，而仅仅通过审查安全港协议得出了结论。同时，安全港协议只对自愿加入的美国企业有效，而不能约束美国政府；而且，美国的国家安全、公共利益以及执法诉求在位阶上要优于安全港协议，当两者冲突时，美国企业必须无视安全港的隐私要求。最终，欧盟法院认为，该决定不仅危害了尊重私生活的基本权利，而且危害了有效司法保护的基本权利，因为其没有给个体提供获取、修改、清除其个人数据的救济。其次，欧盟法院认为欧委会无权限制成员国监管机构的权力，就该案而言，如果个体对该决定是否符合保护个体隐私、自由等基本权利产生了疑问，成员国监管机构有权做出判断，而该决定却剥夺了这一权力。

显然，这份无效判决对已经存在了15年之久的美欧安全港协议的效力带来了重大挑战。成员国数据监管机构可以因此禁止美国公司在美国收集、存储其国民的个人数据，哪怕美国公司通过了安全港认证。

安全港协议：促进美欧个人数据跨境转移

但是， 想要明白欧盟法院的无效判决对美欧之间个人数据跨境流动的影响，必须首先考察一下欧盟的数据保护法。根据《欧盟基本权利宪章》（the Charter of Fundamental Rights of the European Union），尊重私生活和隐私是一项基本权利，这其中包括对个人数据的保护。1995年，欧盟通过《数据保护指令》，对个人数据提供了很高程度的保护。指令第25条规定，只有当第三方国家对个人数据提供充分保护（Adequate Level of Protection）时，才允许将欧盟民众的个人数据存储或者传输到该第三方国家。这一规定实际上禁止向欧盟以外的第三方国家转移个人数据，除非欧盟发现该第三个国家的国内法或者国际承诺可以提供充分保护。指令将这一权力赋予了欧盟委员会，由欧委会发现并决定第三方国家的国内法或者国际承诺是否可以提供充分保护。目前，加拿大、瑞士、阿根廷等国家获得了欧盟的认可，该目的国列表不断更新。

对不能提供充分保护的第三方国家，欧盟法律提供了两个变通规定，即标准合同条款和公司内部规则。数据发送者和数据接收者签署欧盟与个人数据传输和保护有关的格式合同，或者相关实体采取公司内部规则保障个人数据安全，以此来达到充分保护要求。

此外，在美国和欧盟之间存在着一个与数据跨境流动的“美国-欧盟安全港协议”。由于美国缺乏统一的数据保护法，未能达到欧盟指令的充分保护要求，这将妨碍个人数据在美欧之间跨境转移。为了解决这一问题，美国和欧盟于2000年达成了一个折衷的安全港协议，安全港包含一系列隐私原则，包括通知、选择、数据转移、数据获取、数据安全、数据完整以及执行等七大原则，用以保护个人数据。安全港协议达成后，拥有发现和确认第三方国家是否达到充分保护要求的欧委会通过“2000/520号欧盟决定”，确认安全港隐私原则以及附属条款对个人数据的保护达到了欧盟指令的充分保护要求。

受此决定影响，安全港协议给美欧机构带来了诸多好处，包括，所有欧盟成员国都将受到“充分保护”的约束，参加安全港的机构被认为提供了充分的隐私保护，成员国对于数据转移的事先批准被取消或者自动授权，欧盟公民可以在美国起诉美国机构，合规要求有利于中小企业。美国机构可以自愿加入安全港协议，遵守并执行安全港隐私原则，并公开宣布其符合安全港协议的相关要求。获得安全港认证的美国机构可以享受安全港协议带来的一系列好处，包括在美国境内收集、存储欧盟公民的个人数据。目前，已有5000多家美国机构加入了安全港。

判决影响：美欧个人数据跨境转移前途未卜

斯诺登事件后欧盟对数据跨境流动更为谨慎。欧盟法院10月6日 的判决虽然不直接针对安全港协议，但是却为安全港协议的前途笼罩上了一层疑云。在此之前，与安全港协议有关的“2000/520号欧盟决定”约束所有欧盟成员国，美国公司只要获得安全港的认证，就可以在美国收集、存储以及传输欧盟公民的个人数据；而该决定的无效意味着安全港协议不再能够为美国企业提供之前的种种好处，安全港协议有点被架空的意味。判决之后，美国和欧盟之间也许会重新谈判、修改已经存在了15年的安全港协议，以期再次获得欧盟的信任。

目前，该判决对美欧个人数据跨境流动的潜在影响，以及是否会使美国公司在美国收集、存储欧盟公民的个人数据变得更加困难，还有待进一步观察。微软、Facebook、Airbnb等很多硅谷公司目前持观望态度，因为除了加入安全港，这些公司往往还有别的备选方案，比如借助欧盟标准合同条款、公司内部规则或者其他承诺，来满足欧盟指令的充分保护要求。但是，很多做跨国业务的美国中小企业势必会受到一定程度的影响。