2019年11月,《欧盟-美国隐私盾第三年度联合审查报告》发布,内容主要涵盖了企业和政府部门跨境传输个人数据的审查概述。欧盟数据保护委员会整体认可美国政府在推进隐私盾协议方面所做的努力,并认为美国政府针对企业的随机检查应当进一步强化,同时鼓励相关机构就政府部门跨境收集个人数据的行为发布监督报告。赛迪智库网络安全研究所据此整理了欧盟-美国隐私盾的最新进展并提出对策建议。
欧美在《安全港协议》失效后,于2016年达成《隐私盾协议》以解决美国跨境获取欧盟个人数据的合法和监管问题。《隐私盾协议》延续了《安全港协议》中的数据保护原则等内容,但更强调为数据主体提供司法救济指引。随后,欧盟每一年度都会审查该协议的执行效果。在企业跨境传输数据方面,主要审查企业的认证、监管、执法和投诉处理等合规性;在政府部门跨境传输数据方面,主要审查法律法规依据、第三方监督强度、司法救济执行情况等。
一、在企业跨境传输个人数据方面的执行进展
认证层面,通过隐私盾保护认证的企业数量逐年增加且再认证率高。根据隐私盾近三年的联合审查报告,2017、2018、2019年通过隐私盾协议认证的企业分别为2400多家、3858家、4984家,已超过安全港协议执行期间参与的企业数量(4000家左右)。其中,雇员少于250人的中小企业占比70%-75%,跨境传输人力资源类数据和非人力资源类数据的企业分别占比33%、96%。这些企业的认证业务主要包括:信息通信技术、商务服务、传媒和娱乐、教育服务等。隐私盾认证到期后企业需要完成再认证,第三年度的再认证率达到89%。到期未完成再认证、再认证失败或主动退出隐私盾的企业将被列入“不活跃名单”。截至2019年底,不活跃企业累计达到509家。
监管层面,美国商务部开展了企业合规性随机检查。2019年4月起,美国商务部每月抽查30家企业,核实其处理投诉的渠道能否被有效回应、隐私盾政策是否公开透明和合规等。如果随机检查发现问题,商务部将督促企业整改,整改不合格或拒不整改的企业将被移出“隐私盾合规名单”,并被列入“不活跃名单”,同时告知联邦贸易委员会。截至2019年11月,商务部发现有28%的企业存在不合规问题,比如投诉渠道不能有效回应、隐私盾政策无法在线获取,多数问题企业及时进行了整改。另外, 2018年10月至2019年11月,美国商务部共处理了669起虚假认证行为,即有些企业未通过隐私盾认证却对外声称认证通过。
执法层面,违规企业将面临美国联邦贸易委员会的处罚。自2016年8月欧美隐私盾执行以来,联邦贸易委员会已开展了21项相关执法行动,重点规制隐私盾认证企业的不合规行为。例如,2019年12月,联邦贸易委员会指控Global Data、TDARX两家企业存在虚假认证行为,若联邦贸易委员会与指控企业最终未能达成和解,则企业将面临被罚款。
投诉处理层面,美国商务部指导隐私保护机构处理企业投诉。例如,BBBonline、JAMS、TrustArc等隐私保护机构代理企业处理来自欧洲公民或机构的投诉,第三年度分别处理了8起、2起和38起投诉,具体投诉内容涉及个人数据的更正和删除等。同时,商务部还指导隐私保护机构撰写和发布隐私盾争议解决年度报告。
二、在政府部门跨境传输个人数据方面的执行进展
法律法规层面,美国政府对《外国情报监视法》等做了进一步的澄清和解释。《外国情报监视法》第702节是美国对非美籍人员进行无理由监视的法律依据。在此次联合审查中,美国政府进一步澄清了在该法律条款下收集数据的方式,尤其是搜集数据所用的采集设备。《外国情报监视法》第501节授权美国联邦调查局获取与美国公民无关的外国情报信息。对此,美国在联合审查中澄清,已暂停相关部门开展的通话记录收集计划,并删除了该计划下获取的数据。
监督层面,隐私和公民自由监督委员会规模扩大,隐私保护监察员的空缺得到填补。一方面,隐私和公民自由监督委员会一年来工作人员增加了一倍,正在开展的监督项目有10个。例如,监督美国政府部门根据《外国情报监视法》第702节收集数据的程序和技术,监督美国政府部门根据《信息自由法》收集通话记录的情况等。另一方面,Keith Krach 被任命为“永久”隐私保护监察员,填补了该位置的空缺,有助于加大监督力度。
司法救济层面,隐私盾执行第三年出现了多个新判例,对今后工作具有指引性作用。例如,美国公民自由联盟基于《信息自由法》起诉国家安全局在未得到授权的情况下收集境外电话和短信数据。
三、欧盟-美国隐私盾进展的启示
进一步完善数据跨境流动的法律法规。一是在《个人信息出境安全评估办法》中明确,境外以国家安全、公共利益为由收集的我国境内个人数据应当经过网信部门评估。美国《外国情报监视法》等为其收集其他国家个人数据提供了依据,我国应从立法层面进行必要反制,要求他国相关数据收集行动透明化,避免对我国政府、企业、个人信息安全造成负面影响。二是在即将出台的《个人信息保护法》中,明确了他国传输入境我国的个人数据保护措施。应提出相应的司法救济途径和投诉处理机制,以助力我国更好地融入数据跨境流动的国际通用规则,争取更大的数据外交话语权。
开展个人信息出境安全合规性检查行动。一是按照《个人信息出境安全评估办法》的要求制定合规性检查细则。包括网络运营者隐私政策的完整性和透明性、个人信息出境后的实际用途和保存时限,以及个人信息接收者实际采取的数据安全保障措施等方面。二是要求省级网信部门按照细则开展随机合规性检查行动。同时定期将检查结果、存在的问题、整改情况报告给主管部门。
推动隐私保护机构的建立和发展。一是扶持成立隐私保护相关联盟、论坛和组织,支持其强化企业、个人信息出境的合规性。支持这些隐私保护机构代理企业处理数据跨境流动方面的投诉,评估企业、个人信息出境的安全风险和安全保障措施。二是鼓励隐私保护机构探索个人信息出境安全的最佳行业实践。例如,制定“企业与个人信息境外接受者签订合同的标准范本”,制定个人信息出境安全保障措施相关标准指南。(本文作者:赛迪智库网络安全研究所 张博卿 北京理工大学 隋秀峰)