歐洲和日本正在緊密合作創建“世界上最大的安全數據流區域”
責編:gltian |2018-09-17 10:12:03今年7月,歐盟和日本在東京簽下了《經濟伙伴關系協定》(EPA)和《戰略伙伴關系協定》(SPA)。其中,EPA協議將相互取消大部分產品的關稅,其中日本將取消94%歐盟產品的關稅,包括奶酪和葡萄酒;歐盟則逐步取消99%日本產品的關稅,包括汽車和電視機,旨在建立一個覆蓋6億人口經貿區。而SPA協定則在網絡犯罪、災害、能源、安全、氣候、人口老齡化等一系列領域建立了合作框架。
而在會議的聯合聲明中,除了前面的兩個協定,其實還有一個值得注意的地方:歐盟和日本宣布,雙方約定互相將對方的數據保護系統視為“同等有效”(equivalent),這將允許歐盟和日本之間自由的傳輸數據,就是所謂的“建立一個數據安全流通區”。
也就是說,一旦該協議達成,它將使歐盟成員國企業有權訪問1.27億日本消費者的個人數據。該協議也被視為是對今年7月份簽署的《歐日經濟伙伴協定》(EPA)的有效補充。
歐日協議成為“首個對等充分性協議”
這也將是歐盟首次與第三國在相互承認已達到充分的保護標準(ensures an adequate level of protection)的基礎上締結的協議。數據之所以無法自由地跨國傳輸,還要歸因于今年5月份正式實施的歐盟《一般數據保護條例》(GDPR)。
在GDPR第五章就對向第三國或國際組織傳輸個人數據做出了限制,其中第45條就是“基于充分性決議傳輸數據”——簡單來說就是,當歐盟委員會(EC)認定第三國已經達到充分的保護標準(ensures an adequate level of protection)時,才能將歐盟公民的個人數據傳輸給第三國。歐盟委員會的這個認定就叫做充分性認定(Adequacy decisions)。如果向沒有獲得充分性認定的國家傳輸個人數據,又沒有其他替代措施(如BCRs、SCCs),那么根據GDPR 相關規定,企業最高將面臨2000萬歐元或者全球營業額4%的罰款。
歐盟GDPR禁止向沒有獲得充分性認定的國家傳輸個人數據,那么日本的法律又是怎么規定的呢?
2015年,日本修訂了《個人信息保護法》,其中第24條將數據主體的同意作為數據向日本境外傳輸的前提,但同時做出了例外規定:如果個人信息保護委員會(簡稱PPC,日本的個人信息保護監管機構)認可某些國家在保護個人權益方面建立了與日本具有同等標準的個人信息保護制度,那么第24條就不適用于這些國家。
簡而言之,歐盟與日本都設置了一個“白名單”,如果“認定”某個國家跟自己有一樣的數據保護水平,這個國家就進入了“白名單”,那么企業從境內向這個國家傳輸個人數據就無需其他授權,也不用面臨巨額的罰款處罰。
2018年9月5日,歐盟委員會(EC)已于布魯塞爾啟動了充分性決定的程序,且已于本周公布了充分性決定的草案和相關文件。這包括日本將適用轉移到日本的歐盟個人數據的額外保障措施,以及日本公共當局為執法和國家安全目的獲取個人數據的承諾,保證其數據保護水平與歐盟保持一致。日本也正在通過一個類似的流程來承認歐盟的數據保護框架。這一系列舉動表明,歐日協議又切實地邁進了一大步。
接下來,充分性決定草案將通過以下程序:征詢來自歐洲數據保護委員會(EDPB)的意見;由成員國代表組成的委員會磋商(歐盟委員會程序);更新歐洲議會-公民自由、司法和內政委員會;歐盟委員會委員通過充分性決定。
正如司法、消費者和性別平等委員會專員VěraJourová所說的那樣,我們正在創造世界上最大的安全數據流動領域。個人數據將能夠在歐盟和日本之間安全傳遞,以造福我們的公民和經濟。我們的合作伙伴關系將促進全球數據保護標準,并為這一關鍵領域的未來合作伙伴關系樹立榜樣。
歐日正為實現更緊密的數據隱私合作努力
日本政府已向歐盟鄭重承諾,日本當局為了國家安全或執法目的而訪問個人數據的行為,將以負責任的方式進行,且任何此類請求均受獨立監督和投訴機制的約束。
充分性決定的一個關鍵部分就是建立投訴處理機制,以調查和解決歐洲人對日本公共機構訪問其數據的投訴,這一新機制將由日本獨立數據保護機構負責管理和監督。
推動充分性決定的另一個主要因素就是日本立法者對其隱私法的改革,據悉,這一針對日本境內外數據跨境傳輸所制定的嚴格規定已于2017年5月30日生效。此外,個人信息保護委員會(PIPC,主要負責監管和保護日本個人信息的政府機構)的成立,也是協調歐盟和日本隱私標準差距的關鍵一步。
事實上,在不具備充分性決定的情況下,也確實能夠進行跨國信息傳遞,但是根據《通用數據保護條例》規定,其需要采取額外措施,為數據轉移提供法律依據和適當保障,例如使用數據傳輸協議,締結具有約束力的公司規則或使用歐盟委員會的標準數據保護條款等。
例如,歐盟與加拿大和美國的決定均屬于“部分”充分性決定。其中加拿大的決定僅適用于屬于“加拿大個人信息保護和電子文件法”范圍的私營實體。盡管歐盟委員會從未對美國的個人數據保護體系發表過正式意見,但美國自律式的隱私保護體系也只是通過了歐盟的“部分”充分性決定,其未來仍將持續受到歐盟法律的影響。
事實上,早在1998年(遠沒有GDPR的年代),美國就已經開始與歐盟就隱私保護的“安全港”協議進行協商,以保證數據的跨界流動。安全港協議要求所有簽字的組織對其收集信息的種類、使用的目的、以及可能傳披露給的第三方等,為個人提供“清晰和明顯的”通知。這種通知必須在收集任何個人信息時或者實踐可行之時提供。如果信息準備披露給第三方或者用于不相關的目的,個人必須能夠明示選擇拒絕收集這種信息。如果是敏感信息,個人必須明確地明示同意這種收集。如果第三方參加安全港或者如果第三方簽署保護數據的合同,可以向第三方傳送數據。參加的組織必須保證個人可以獲知有關他們個人的任何信息,并有機會改正、修改或者刪除不準確的信息。
但是,2013年“斯諾登事件”爆發后,美歐之間的合作產生了嚴重的松動,結果歐盟法院在2015年10月正式認定《安全港協議》無效。為了應對這種局面,歐美重新談判并簽訂了一個新的《隱私盾協議》(Privacy Shield)。
雖然《隱私盾協議》的規定看上去比原來的《安全港協議》對隱私的保護標準更加嚴格,但實際上,美國并沒有遵守協議中的許多關鍵要求,且對于歐盟提出的種種問題也沒有提供任何解決方案,因此,美國的“充分性決定”一直備受歐盟質疑。
《戰略伙伴關系協定》(SPA)詳情地址:
http://europa.eu/rapid/press-release_IP-18-4526_en.htm
《歐日經濟伙伴協定》(EPA)補充說明地址:
http://europa.eu/rapid/press-release_IP-18-5433_en.htm