中国企业在不断加大全球化布局的过程中,越来越多地需要在不同国家地区之间进行数据传输。一个典型的场景是将从欧盟收集到的个人数据传输至美国进行存储与处理。由于欧盟对于个人数据较高的保护标准,企业在进行个人数据跨境传输时必须遵循欧盟的合规框架,“欧盟-美国隐私盾”(以下简称“隐私盾”)就是可行的合规框架之一。但企业还应注意近来美国联邦贸易委员会(以下简称“FTC”)的执法动向,以免在利用隐私盾时又成为FTC的执法目标。
一、欧盟-美国隐私盾框架的由来
在个人数据保护方面,欧盟和美国之间一直存在较大的差异。欧盟方注重于严格地保护个人隐私,对数据跨境传输所需要符合的合规标准要求甚高,因此从欧盟向至美国的数据传输严重受限。为了促进经济交流,欧盟委员会和美国商务部于2000年11月01日签订了“安全港协议”给数据传输松绑。但是 2015年欧盟法院在Max Schrems v Data Protection Commissioner案件中以“安全港协议”无法达到欧盟法律对欧盟公民提供的保护要求为由而宣判其无效。“欧盟-美国隐私盾框架原则”随即取而代之,目的仍然是使自愿加入协议的企业和机构基于符合欧盟数据传输的要求而能够将在欧盟收集到的数据传输至美国。2016年7月16日,欧盟委员会做出决定,认可隐私盾可以为个人数据提供充分保护。从2016年08月01日起,位于美国的公司及组织可以向美国商务部国际贸易局要求认证,并通过公开承诺遵守隐私盾框架的所有要求,以获得隐私盾的管辖。
欧盟于2018年05月25日生效了 《一般数据保护条例》 (以下简称“GDPR”)。此条例被视为最为严格的个人隐私及数据保护条例。GDPR对所有在欧盟有业务的企业进行严格的数据合规要求,其中包括跨境传输上的合规要求。延续欧盟此前的规定,GDPR第25条规定只有在第三国能够为个人数据提供“充分程度”的保护时,欧盟才允许将个人数据传输至第三国。在GDPR条例的管控下,欧盟委员会会对第三国进行信息保护评估以确认该国的数据保护是否达到充分保护的水平。在欧盟委员会确认的名单内,达到充分数据保护水平的第三国可以不需要特别授权而相互传输个人数据。目前,欧盟委员会列出的此类国家和地区尚不到十五个。而美国能进入此名单完全依赖于隐私盾,即隐私盾管辖下的企业可直接进行个人数据跨境传输,而其他未在隐私盾管辖内的企业则需通过其他的合规途径,例如传输者与收集者签订数据保护标准条款(以下简称“SCC”),以及具有约束力的公司规则(以下简称“BCR”)。
二、欧盟-美国隐私盾框架的特点
隐私盾运作机制的核心是美国机构通过自我认证承诺其将遵守美国商务部指定的一套隐私保护原则,即“欧盟-美国隐私盾框架原则”。而隐私盾管辖下的企业之所以能够被欧盟认定为提供充分保护是因为隐私盾具有以下特点:
首先,隐私盾框架原则的要求符合GDPR对于个人数据保护的实质性要求。例如,按照“通知原则”,美国机构应当向数据主体提供关于个人数据处理的关键信息,包括收集的数据种类、数据处理的目的、获取和选择数据的权利等。
其次,隐私盾管辖下数据的控制者和处理者均受其约束,特别是数据处理者必须通过协议承诺其必须按照位于欧盟的数据控制者的指令行事并协助其保护个人数据。
再次,隐私盾包括了一整套监督和执行机制。据此美国商务部应当公开并保持更新隐私盾企业清单,而美国FTC则需公开其执法的案件。持续不符合隐私盾框架原则的机构将被移除出清单,并且应当返还或销毁其依靠隐私盾获取的个人数据。
最后,隐私盾包含一项年度审查制度,即允许欧盟和美国定期共同审查隐私盾的执行情况。
隐私盾在2019年9月12和13日于华盛顿举行了第三次年度评估。据美国商务部报道,从隐私盾实施开始,已经有5000多家公司加入了隐私盾的管辖权内,并推进了7.1万亿美元的经济往来。
三、美国FTC的执法动向
隐私盾框架下,美国FTC具体负责与此有关的执法。根据隐私盾官方网站2019年12月03日的报道,自2016年隐私盾建立以来,FTC已经采取了21项与隐私盾有关的执法行动。从趋势上来看,FTC正在加大对企业涉嫌违反隐私盾的执法力度。从近期的案例来看,FTC的执法主要针对以下两个方面:
● 一些参与隐私盾框架的企业在其自我认证已经失效后,仍然在其隐私政策中声称其参与隐私盾框架。(例如下文所述Cambridge Analytica案件和RagingWire案件)
● 一些企业并未声明参与了隐私盾框架,但是声称支持隐私盾框架(例如下文所述SecurTest案件)。
Cambridge Analytica案件
2019年07月,FTC对数据分析企业Cambridge Analytica, LLC.(以下称“Cambridge Analytica”)及其CEO和应用开发者提起的指控即是较新案例。FTC指控Cambridge Analytica采用了做出参与隐私盾的虚假陈诉的欺骗手段,从数千万 Facebook用户那里获取个人信息,用于选民身份分析和数据分析。根据FTC的指控,Cambridge Analytica至少于2018年11月之前仍然声称自己是隐私盾的参与者,尽管该公司的隐私盾认证早在2018年05月失效。FTC还指称,该公司没有遵守隐私盾的要求,即停止参与隐私盾框架的公司应向商务部申明,并继续对参与该方案时收集的个人信息适用隐私盾框架所要求的保护。
2019年12月06日,FTC发布了此案的最终决定。最终决定禁止Cambridge Analytica就其保护个人信息的隐私和保密性的程度作出虚假陈述,以及禁止Cambridge Analytica参与隐私盾框架及其他类似的监管或标准制定组织。此外,Cambridge Analytica还被要求对其在参与隐私盾框架时收集的个人信息继续适用隐私盾框架所要求的保护措施,或应当返还或删除该等信息。
RagingWire案件
FTC近期正在处理的一个案件中的执法对象是RagingWire Data Centers, Inc. (以下简称“RagingWire”),一家数据存储服务公司。RagingWire的隐私盾认证于2017年1月获得隐私盾认证,但是该次认证于2018年1月失效;之后RagingWire于2019年6月重新获得隐私盾认证,该次认证将于2020年6月失效。2019年11月7日,FTC指控RagingWire在2017年1月至2018年10月期间违反了《公平贸易法》的第5条,其一是在隐私盾失效期间在网站上声明其遵守了隐私盾框架,因此误导了消费者;其二是在隐私盾认证失效前未能遵守隐私盾框架的要求。RagingWire则辩称,“任何有关隐私盾框架遵从性的虚假陈述对于其客户而言都不是也不可能是重要的”,因为该公司的业务是“为客户拥有和运营的内部服务器提供物理空间,并且RagingWire本身无法访问客户服务器上的数据。”
虽然尚未结案,FTC在指控中提出禁止RagingWire对公司参与或遵守隐私盾框架做出不实陈述。FTC还发布了一项拟议的指令,要求RagingWire在撤销隐私盾认证或允许其认证在未来失效时,应继续对其在参与隐私盾框架时收集的个人信息提供隐私盾框架要求的保护,或者返还或删除这些信息。
SecurTest案件
FTC于2019年指控SecurTest, Inc.(以下简称“SecurTest”)在其官方网站上虚假陈述该公司参与了欧盟-美国隐私盾和瑞士-美国隐私盾框架。FTC在其指控中称SecurTest虽然在2017年9月向美国商务部提交了参与隐私盾的申请,但实际并未完成隐私盾框架认证下的所有步骤,即未完成认证,因此该公司网站声称自己是隐私盾框架的参与者构成虚假陈述。双方在2019年6月达成和解,和解内容包括FTC禁止SecurTest虚假陈述其参与由政府、自律或标准制定组织发起的任何隐私保护或隐私安全计划。
Medable案件
同在2019年,FTC还指控了Medable, Inc.(以下简称“Medable”), 一家位于加州的制药和生物技术公司。FTC指控该公司在其隐私政策中声称自己是隐私盾框架的参与者,并遵守了该框架下的所有原则。与SecurTest案件相同,Medable于2017年12月向商务部提交了申请,但并未完成参与隐私盾框架的所有必要步骤,因此该隐私政策中提到的参与隐私盾框架构成虚假陈述。
以上Cambridge Analytica案件和RagingWire案件都反映出,在通过自我认证加入隐私盾框架后,企业必须谨慎地遵守隐私盾框架,并确保在认证失效后在所有对外文件中删除关于其遵守隐私盾框架的声明。而在SecurTest案件和Medable案件,FTC将企业对于隐私盾框架的声明直接与《公平贸易法》下的欺诈或不实陈述关联起来,因此对于那些并未加入隐私盾框架的企业,应避免在隐私政策或任何用户协议中引用或者声称支持隐私盾框架。
四、结语
中国企业在进行欧盟到美国的个人数据传输时可以考虑通过加入隐私盾框架以提升合规性和便利性。但是在考虑使用隐私盾框架时,企业应该仔细检查其隐私政策或对外文件中所做的陈述与声明。虽然参与隐私盾框架是自愿的,但企业必须对其作出的任何声明承担责任。一方面,加入隐私盾框架的企业必须追踪自我认证的更新日期,避免隐私盾认证过期,并确保在隐私盾认证过期后对其隐私盾的状态做出真实的陈述;另一方面,根据FTC的执法动向,若企业没有参与隐私盾框架,则应当避免在其隐私政策或对外文件中提到支持隐私盾或符合隐私盾保护标准的表述,以避免被认定为构成欺诈或虚假陈述。
