编者按  一年一度,数据合规实务专家朱玲凤在每年年初对当年数据合规作出具有洞察力的展望,评述行业变化与趋势,很多观点在当年成为现实,备受读者追捧。

作为网络法实务圈的老朋友、优秀作者,从2020年起,朱玲凤已经连续4年授权实务圈首发其原创文章,鉴于篇幅,今年更是将重磅推出上下2篇。今天推送(上)篇,同时附上2020年、2021年、2022年展望文章的链接。

数据合规2022年展望
数据合规2021年展望
数据合规2020年展望
数据合规2023年展望
——知机与新征途(上篇)
文:朱玲凤 | 数据合规实务专家
《数据合规展望》系列已经到了第4个年头,《数据合规展望》系列第一年就被疫情的突然开始而被淹没在恐慌中,随着我们对疫情有了防控措施,随着疫情催化了数字行业的发展,又再次将《数据合规2020年展望》拉回了大家的视野。《数据合规展望》系列伴随着整个疫情一直到了今天,原计划《数据合规2023年展望》是在2022年12月起笔,就在疫情快速传播和仍然被关在家中的时候,然而突然之间疫情就画上句号,让我们如此地猝不及防,然后铺面迎来的是经济复苏和高速发展的浪潮,于是让我一直迟迟难以下笔的展望,瞬间茅塞顿开,不就是一个新起点和新征程吗?
《数据合规2022年展望》的关键词是“我们还是不是风口上的猪”,到今天其实我们可以毫无疑问地回答“是”,疫情催化了数字经济,数字经济催化了数据合规产业。这一年,我们可以明确地感受到行业内涌入更多的人才;更多综合背景的人才涌入数据合规;企业侧对数据合规人才的要求也越来越高,需要本行业的工科背景、行业经验、法律法规理解;数据合规的职业圈氛围越来越浓厚,有了自发的共享知识库、有了每周的直播。
那么我将在《数据合规2023年展望》里跟大家分享什么呢?闭上眼,能感觉到数字经济的大浪潮正在呼啸而过,耳朵刮得生疼。作为数字经济力量释放的底座——数据合规,也在马不停蹄地往前奔赴,进入了超高速的通道,甚至绘制出了我们用个人力量无法感知的更广阔的世界。最近听到一种观点,中国高端文化“知机”,知道的知,时机的机,正如《孟子》里所说的“虽有智慧,不如乘势;虽有镃基,不如待时”。用我们现代人常用的话就是要顺势而为,但是怎么知道时机到了,到的是什么样的时机呢。所以,如何在这个历史的大浪潮里顺时顺势可能是我们在2023年很大的一项任务。所以,《数据合规2023年展望》斗胆尝试解读时机,看看时间给了我们怎样的答案书。我会在本文中把时间倒回到2019年数据合规最初的起点,看看我们这时间长河产生的未解之谜和难解困惑,最终是怎样的走向。我在空间领域上,会从国际、国内、行业、企业,将本文的镜头自远向近地拉过来,让我们可以看到一个全面的、立体有层次的“时机”。
所以,希望大家在这个年底轻松一些,把本文当成一篇编年体历史散文来读,感悟时间,畅享未来。
国际格局:从全球化自由流动、地缘政治冒头,至地缘政治主导跨境传输已成确定格局

本文以欧盟针对跨大西洋贸易关系而引起的跨境规则变化,至各国跨境规则的逐步清晰来观测国际局势变化。

起点:
GDPR是欧盟跨境传输的变革,在保护个人信息的前提下促进全球流动
GDPR于2018年生效,基于跨境传输的核心在于保障个人信息主体在发生数据跨境传输时其受到的实质保护水平不低于GDPR的要求,建立了整套的跨境传输合规机制,如下图所示:
表 1 GDPR的跨境传输机制[1]
首先,评估被传输的国家、地区或组织是否为欧盟委员会被充分性认定的,则可以直接传输数据,无需任何特别授权。从2018年至今,充分性认定增加了英国(脱欧后)、日本与韩国。2022年12月3日,欧盟委员会发布了欧盟美国数据隐私框架的充分性认定草案。
其次,若被传输的国家、地区或组织是不属于充分性认定的,则可以采取恰当的安全保障措施(同时满足个人信息主体能行使其权利、能获得有效的法律救济的条件)。该安全措施被广泛运用的是标准合同条款(SCCs)、公司约束规则(BCR),以及正在探索的行为准则和认证机制。在Schrems II案之前,标准合同条款可以理解为一种路径式跨境合规机制,只要采用欧盟委员会或数据保护监管机构发布的标准合同条款,即可合法地进行跨境传输,无需任何特殊授权。而公司约束规则是个案审批制,需要由有权的数据保护监管机构进行批准,虽然比较耗费时间,但是能覆盖集团内跨境流动,仍然是跨国公司的跨境合规机制的良好选择。当然,公司约束规则也在Schrems II案后有了类似标准合同条款的附加条件。行为准则和认证是两种自愿选择的路径,通过第三方的监督来保障在数据跨境传输后的保护水平不会被削减。
再次,若企业仍不能采取恰当的安全措施,则可评估是否适用“减损”规则,如个人信息主体在被告知个人信息传输到缺乏充分保护的第三国或国际组织等且无法采取适当的保护措施对其可能造成的风险后仍同意的;跨境传输是履行合同之必要或依据个人信息主体的要求履行在先合同义务;为了实现公共利益等若干项可适用的减损规则。但是上述减速规则,EDPB指出属于豁免,因此应当严格限定于个人信息主体可以享受实质有效的个人基本人权与自由,而且发生的频率应当是偶然且不重复的。
在2017年,欧盟认为GDPR的跨境传输机制是一场革命性的变革,其简化和扩展了95年数据保护指令规定的跨境传输机制,以实现个人信息保护和全球化流动的并重目的[2]。提出该变革的大背景是,欧盟认为除欧盟外的国家、组织,正在不断地更新现有的数据保护立法,以回应日益提升的个人信息保护需求,并进一步抓住全球数字经济的重大机会。欧盟通过GDPR的规定可以促进与其他国家、地区的法律制度趋同,进而促进数据的全球流动。欧盟提出充分性认定谈判,应当首先考量欧盟与某一特定第三国或国际组织实际或现在商业关系的程度,包括是否有自由贸易协定或正在进行的谈判,其次考虑来自欧盟的个人信息流动程度,再次考虑第三国在个人信息保护领域是否到先锋作用。因此,在2017年时欧盟就将东亚、东南亚的主要贸易伙伴日本和韩国作为主要的充分性认定谈判的国家,也提出了需要密切关注充分性认定的实施情况,尤其是欧盟美国隐私盾。欧盟一方面会指出个人信息保护不是国际贸易谈判的主题,另一方面强调个人信息保护相关的制度和安排是建立二者之间互信的基础。除了充分性认定外,欧盟在GDPR中简化了各国不同的报告制度,提升了企业跨境传输的便利,还增加了认证和行为准则两种适当的安全措施。并且,欧盟提到了将继续在双边和多边层面加强与国际伙伴的积极对话,通过在全球范围内制定高标准和可操作性的个人信息保护标准来促进趋同,有利于减少跨境流动的障碍。因此,从整体来看GDPR实施之初是通过制度安排来促进数据的跨境流动,甚至是解决新形式的数据保护主义。
转折:
然而Schrems II的裁决一出,完全扭转了整个跨境流动的主旋律
在安全港失效后,2015年12月1日Max Schrems重新向爱尔兰数据保护局提出了投诉,史称Schrems II案件。欧盟和美国商务部重新磋商,2016年2月2日对欧盟-美国隐私盾达成一致,2016年7月12日正式采用了欧盟-美国隐私盾协议,重新修复了美国和欧盟之间的自由的数据跨境流动。2017年10月Schrems II案被提交到了欧盟法院CJEU,2020年7月16日CJEU作出了一项不仅仅是影响跨大西洋数据流动,甚至是全球跨境流动的重要裁决。 CJEU对Schrems II案作出两项重要决定:对标准合同条款和欧盟-美国隐私盾的有效性做出了裁决。CJEU认为,美国国内法允许美国公共当局为国家安全目的访问数据的行为不符合欧盟《基本权利宪章》的要求。比如《外国情报监控法》(Foreign Intelligence Surveillance Act, FISA)的第七章第702条(Section 702)规定了出于收集外国情报目的,向美国企业收集、查阅外国用户的电子通讯信息;而若被监控的外国对象涉及与美国人的交流信息时,则美国人也会被纳入监控范围。而提供信息的企业无需对受影响的用户进行通知。特朗普政府将本应在2018年到期的本条修正案延期至2023年12月。[3]而欧盟《基本权利宪章》规定“对本宪章所承认的权利与自由的行使限制,应由法律规定,并尊重该权利与自由的本质。依据比例原则,此等限制仅在具有必要性,且确实符合欧盟自然人的一般权利目的或保护他人自由权利的必要性时,方可行使”。显然,FISA并限制其严格必要性以及比例原则。同时,美国国内法也没有未为非美国公民提供任何的保障,没有赋予个人信息主体对情报部门起诉的权利。虽然欧盟委员会在对隐私盾作出充分性决定中提到的旨在帮助欧盟公民提出申诉的美国监察专员隶属于行政部门,缺乏独立性,且对美国情报部门没有足够的约束力,未能向个人信息主体提供等同于欧盟法律所要求的的保护。
关于标准合同条款,首先CJEU仍然认可了其作为恰当的安全措施,构成跨境传输的合法性机制之一,并不会因为合同性质无法约束第三国公共当局行为而无效。其次CJEU指出有效性取决于是否构成有效的机制可以保障数据接收方能遵守与欧盟法律所要求保护水平实质相当的保护义务。然而,国内法的规定是高于合同义务的,数据出口方和数据接收方有义务在发生数据跨境传输前核实第三国、国际组织等是否能保证数据接收方遵守该保护水平,尤其是第三国公共当局的访问行为,比如基于对美国国内法的分析,美国公共当局对数据访问的行为并未能提供与欧盟实质相当的保护水平,则数据接收方应当通知数据出口方,数据出口方应当暂停或终止传输。
其后,EDPB于2020年7月23日通过了《关于Schrems II案的常见问题》[4]。在总结CJEU的法院裁决基础上说明了该裁决将影响GDPR项下第46条所规定的“适当的保障措施”,不仅仅限于标准合同条款,则应当确保适当的保障措施可以满足与欧盟法律要求基本相当,需要对第三国进行评估,而美国法律已经由CJEU作出评估结果是不符合要求的,那么就看增加补充措施后能否满足基本相当的保护水平,如果不能必须暂停或终止跨境传输,如果仍然坚持传输,则需要通知有权的数据保护机构。而且该评估行为没有任何宽限期,在裁决作出后立即应启动向美国的跨境传输的评估。同时,也指出对美国跨境传输的门槛也适用于任何第三国。显然,裁决虽然已经作出了,但是给未来实践留下了很多的不确定性,包括在欧盟美国隐私盾失效的情况下跨大西洋的数据流动应当如何合法进行,如何对第三国进行评估、补充措施如何确定和实施。
于是,基于CJEU的裁决分为两条支线去推进展开,一方面解决跨大西洋的数据跨境流动的谈判,另一方面对标准合同条款的变革。
趋势:
地缘政治主导下的跨境规则自适应——跨大西洋数据合规
欧盟和美国之间的跨境流动对于美国来说有很高的经济价值,估算高达7.1万亿美元,美国被迫回到了谈判桌上,重新审视跨大西洋的关系。在裁决作出后,欧盟侧的执法行动持续在进行,除了爱尔兰数据保护局与Facebook之间的审查纠纷继续外,欧盟各国也开始启动了对谷歌分析将数据从欧盟传输到美国的调查,谷歌除了标准合同条款外还采用了补充措施:基于代理的假名化方案。但是各国数据保护机构对标准合同条款与补充措施是否足以达到基本相当有不同的分析结果,具体参见下表:
表 2 欧盟各国对谷歌分析的不同意见[5]
三年了,跨大西洋数据如何合法流动的悬而未决的问题终于有了答案。商务部长Gina Raimondo和司法部长Didier Reynders领导的美国和欧盟之间一年多的详细谈判,于2022年3月25日欧盟委员会主席通过一系列推文发布了美国和欧盟关于跨大西洋数据流动框架达成了原则上的一致,欧盟和美国各自发布了声明。首先,两国的声明表达了两个国家在跨大西洋数据流动上达成的原则性一致,美国将做出前所未有的承诺,美国将承诺对情报活动采取限制来符合欧盟法律的要求,并且提供给欧盟公民的救济措施等以解决CJEU在裁决中的担忧。在美国通过行政命令实现承诺后,欧盟委员会将通过充分性决定来推进合法的跨境传输机制。除此之外更重要的是释放了几个信号,第一,强调了美国和欧盟一贯以来的伙伴关系,第二在达成跨大西洋数据隐私框架的基础下,既保障了欧盟公民隐私和安全的保护,也保障了对于美国具有极其重要意义价值的,跨大西洋经济贸易的自由流动。在此基础上,二者也达成了构建一个包容、具有竞争性,且有隐私安全集体承诺的数字经济发展的前景。
2022年10月7日,拜登政府发布了《关于加强美国信号情报活动中保障措施》行政令,以及一份facts sheet,以减轻CJEU在裁决书中提到的担忧,包括美国政府情报活动收集和访问数据的限制和欧盟个人信息主体的充分救济机制。
关于情报活动的限制。首先,该行政令明确规定了所有信号情报活动仅限于12个确定的合法目的开展信号情报活动,比如防止外国军事能力和活动,了解或评估一个外国政府、外国军队等的能力、意图或活动以保护美国及其盟友和伙伴的国家安全,并规定了4个禁止的目的,如压制或限制合法的隐私利益。其次,提出了对隐私和公民自由的保障措施,比如明示了对无差别的批量信号情报监控行为的限制条件,包括限定使用目的,或者要求仅用于初始技术阶段,在短暂保存后删除。再次,增加了情报机构的监督责任,比如增设高级法律、监督和合规官员,对情报活动进行定期监督。通过这些规定以解决CJEU提出的美国信号情报行为没有遵守必要性和相称性,未受到有效的约束。
关于对个人的救济措施,情报机构增设公民自由保护官员(Civil Liberties Protection Officer,以下简称CLPO),个人可以向CLPO提出申诉,甚至可以对申诉结果向数据保护审查法院(Data Protection Review Court,以下简称DPRC)上诉,DPRC可以作出独立的评估结果,情报机构有义务遵守。为保证独立性,数据保护审查法庭的法官是从在数据隐私和国家安全法领域具有适当经验的法律从业人员中挑选,并非美国政府雇员,且享有免职保护。
欧盟委员会在一份Q&A里表示该行政令已经作出实质的改善。行政令已经形成了欧盟委员会起草充分性认定的草案以及启动充分性认定程序的基础,2022年12月13日欧盟委员会发布了欧盟美国数据隐私框架的充分性认定草案。后续在EDPB对此出具意见,然后经过欧盟成员国代表组成的委员会审批,最终由欧洲议会来进行批准。
关于未来的走向判断,其实不能说是定局,可能是基于跨大西洋贸易关系的变化,将通过跨大西洋数据隐私框架,由加入企业承担详细的数据合规义务,获得认证后可以进行自由贸易,但是现在的一致是基于比较薄弱的国际贸易关系,未来贸易格局变化将又是未知数,Schrems III的故事是不是又会上演?所以,可以明确的结论是数字经济下,数据是主权实力的一部分,那么地缘政治、贸易格局必然是跨境规则主导的主旋律了。
趋势:
标准合同条款的变革和跨境传输影响评估制度建立
2020年11月,EDPB通过了关于补充转移工具以确保遵守欧盟个人数据保护水平的措施的建议以及关于欧洲监控措施基本保障的建议。关于补充转移工具以确保遵守欧盟个人数据保护水平的措施的建议。2021年6月4日,欧盟委员会通过了新版标准合同条款,并同时更新了关于补充转移工具以确保遵守欧盟个人数据保护水平的措施的建议。
关于补充转移工具中明确提出了六步法的实施方案:
表 3 欧盟跨境传输影响评估步骤[6]
于是,就引入了跨境传输影响评估,尤其是对涉及跨境传输范围的目的国法律和执法实践是否构成实质相同保护水平提出了评估的方法,包括对向公共当局披露信息的风险要根据《关于欧洲监控措施基本保障的建议》来评估。新版标准合同条款对此有了重要的回应,要求规定具体的保障措施,以解决目的地第三国法律对数据进口方遵守标准合同条款的任何影响,特别是如何处理该国公共当局提出的具有约束力的披露所转移的个人信息的要求。只有在目的地第三国的法律和管理不影响的情况下才能基于标准合同条款来进行跨境传输。在数据进口方同意这些条款后,有理由相信自己无法遵守标准合同条款,则应通知数据出口方,数据出口方应当采取适当措施,必要时与数据保护主管机关进行协商。在可能的情况下,如果数据进口方受到目的地第三国法律规定的公共当局(包括司法当局)提出的具有法律约束力的披露个人信息的请求,或获悉其直接获取的,则应尽可能通知数据出口方与个人信息主体。数据进口方应定期向数据出口方提供汇总信息,还应要求数据进口方记录所收到的任何披露请求和所提供的答复,并应要求其向数据出口方或数据保护主管机关提供这些信息。
欧盟在跨境流动上的转变,让我们看到了国际贸易的地缘政治局势对数据跨境流动的决定性影响,而且给跨境合规机制引入了个案评估机制,不能说是欧盟影响了整个世界,而是完整地演绎了各国关系的发展和趋势。
国内关于数据出境的规则也是在2022年下半年终于算是尘埃落地,发布了《数据出境安全评估办法》、《数据出境安全评估申报指南(第一版)》,之后各地网信部门相继开通接受安全评估申报的窗口,与《个人信息保护法》等相关法律规定,明确了不同数据类型数据出境的合法性路径。安全评估这个路径,可以说与欧盟建立的跨境传输影响评估有些异曲同工之妙,虽然适用范围、触发条件与性质均不同,但是其思路具备高度相似,均通过评估路径,包括对目的国第三方国家的立法和实践进行评估以确认是否符合实质等同的保护水平。国内也在其他路径上有了长足进展,包括市监总局和网信办发布《个人信息保护认证实施规则》,建立了认证实施的程序规则,以及网信办公布《个人信息出境标准合同规定(征求意见稿)》。
俄罗斯也在2022年下半年修改了个人信息跨境传输的规则,增加了个人信息跨境传输向主管机关通报义务,通报后对于传输到充分性认定国家,遵循通知模式,即通报后可进行跨境传输直至主管机关决定禁止或限制跨境传输;通报后对于传输到非充分性认定国家,遵循许可制,即需要主管机关完成审议后方可进行跨境传输。实质上,对非充分性认定国家也是采取了安全评估制。
所以,可以说在互联网建立初期的全球自由流动时代渐渐地在结束,地缘政治圈态势的数据跨境将成为主要的趋势,评估机制成为各国的保留杀手锏。
地缘政治背后的国家安全观,也是我们需要密切关注的。因为国家安全观影响的不仅仅是跨境传输的规则,更多的是实质的数据合规要求。未来很长一段时间,割据式的格局将会导致企业在各国市场的产品形态、合规处置将会完全不同,背后切不断的监管侧隐忧也要采取主体隔离、数据隔离以及不断高筑的安全措施来缓解。中国已经更多地参与国际规则的制定与对话协商,发布了《全球安全倡议》,期待可以将不安全感带来的影响可以限制在合理的范围内。2023年全球化市场将是个新征途,企业需要提前做好部署与规划。
文本字数限制,敬请期待下篇内容推送。
1、Stéphanie Faber: Understanding the Layered Approach to International Data Transfers Under GDPR, see https://www.consumerprivacyworld.com/2019/02/understanding-the-layered-approach-to-international-data-transfers-under-gdpr/ , 访问时间为202312日。
2、Communication From the Commission to the European Parliament and the Council: Exchanging and Protection Personal Data in a Globalised World, see https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM%3A2017%3A7%3AFIN, 访问时间为202312日。 
3白一方:欧盟法院宣布欧美数据传输“隐私盾”无效:详细始末如何?未来何去何从?,载于公众号“中国法律评论”,发布时间为2020719日。
4、EDPB:  Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18 - Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems,请见https://edpb.europa.eu/our-work-tools/our-documents/other/frequently-asked-questions-judgment-court-justice-european-union_en
5朱悦:欧盟新近执法中所见的跨境传输和匿(假)名化,载于公众号“网安寻路人”,发布时间为20221224日。
6罗明:两张图解读EDPB“数据跨境转移补充措施的最终建议”,载于公众号“网安寻路人”,发布时间为202178日。
继续阅读
阅读原文