今年7月,欧盟和日本在东京签下了《经济伙伴关系协定》(EPA)和《战略伙伴关系协定》(SPA)。其中,EPA协议将相互取消大部分产品的关税,其中日本将取消94%欧盟产品的关税,包括奶酪和葡萄酒;欧盟则逐步取消99%日本产品的关税,包括汽车和电视机,旨在建立一个覆盖6亿人口经贸区。而SPA协定则在网络犯罪、灾害、能源、安全、气候、人口老龄化等一系列领域建立了合作框架。
而在会议的联合声明中,除了前面的两个协定,其实还有一个值得注意的地方:欧盟和日本宣布,双方约定互相将对方的数据保护系统视为“同等有效”(equivalent),这将允许欧盟和日本之间自由的传输数据,就是所谓的“建立一个数据安全流通区”。
也就是说,一旦该协议达成,它将使欧盟成员国企业有权访问1.27亿日本消费者的个人数据。该协议也被视为是对今年7月份签署的《欧日经济伙伴协定》(EPA)的有效补充。
欧日协议成为“首个对等充分性协议”
这也将是欧盟首次与第三国在相互承认已达到充分的保护标准(ensures an adequate level of protection)的基础上缔结的协议。数据之所以无法自由地跨国传输,还要归因于今年5月份正式实施的欧盟《一般数据保护条例》(GDPR)。
在GDPR第五章就对向第三国或国际组织传输个人数据做出了限制,其中第45条就是“基于充分性决议传输数据”——简单来说就是,当欧盟委员会(EC)认定第三国已经达到充分的保护标准(ensures an adequate level of protection)时,才能将欧盟公民的个人数据传输给第三国。欧盟委员会的这个认定就叫做充分性认定(Adequacy decisions)。如果向没有获得充分性认定的国家传输个人数据,又没有其他替代措施(如BCRs、SCCs),那么根据GDPR 相关规定,企业最高将面临2000万欧元或者全球营业额4%的罚款。
欧盟GDPR禁止向没有获得充分性认定的国家传输个人数据,那么日本的法律又是怎么规定的呢?
2015年,日本修订了《个人信息保护法》,其中第24条将数据主体的同意作为数据向日本境外传输的前提,但同时做出了例外规定:如果个人信息保护委员会(简称PPC,日本的个人信息保护监管机构)认可某些国家在保护个人权益方面建立了与日本具有同等标准的个人信息保护制度,那么第24条就不适用于这些国家。
简而言之,欧盟与日本都设置了一个“白名单”,如果“认定”某个国家跟自己有一样的数据保护水平,这个国家就进入了“白名单”,那么企业从境内向这个国家传输个人数据就无需其他授权,也不用面临巨额的罚款处罚。
2018年9月5日,欧盟委员会(EC)已于布鲁塞尔启动了充分性决定的程序,且已于本周公布了充分性决定的草案和相关文件。这包括日本将适用转移到日本的欧盟个人数据的额外保障措施,以及日本公共当局为执法和国家安全目的获取个人数据的承诺,保证其数据保护水平与欧盟保持一致。日本也正在通过一个类似的流程来承认欧盟的数据保护框架。这一系列举动表明,欧日协议又切实地迈进了一大步。
接下来,充分性决定草案将通过以下程序:征询来自欧洲数据保护委员会(EDPB)的意见;由成员国代表组成的委员会磋商(欧盟委员会程序);更新欧洲议会-公民自由、司法和内政委员会;欧盟委员会委员通过充分性决定。
正如司法、消费者和性别平等委员会专员VěraJourová所说的那样,我们正在创造世界上最大的安全数据流动领域。个人数据将能够在欧盟和日本之间安全传递,以造福我们的公民和经济。我们的合作伙伴关系将促进全球数据保护标准,并为这一关键领域的未来合作伙伴关系树立榜样。
欧日正为实现更紧密的数据隐私合作努力
日本政府已向欧盟郑重承诺,日本当局为了国家安全或执法目的而访问个人数据的行为,将以负责任的方式进行,且任何此类请求均受独立监督和投诉机制的约束。
充分性决定的一个关键部分就是建立投诉处理机制,以调查和解决欧洲人对日本公共机构访问其数据的投诉,这一新机制将由日本独立数据保护机构负责管理和监督。
推动充分性决定的另一个主要因素就是日本立法者对其隐私法的改革,据悉,这一针对日本境内外数据跨境传输所制定的严格规定已于2017年5月30日生效。此外,个人信息保护委员会(PIPC,主要负责监管和保护日本个人信息的政府机构)的成立,也是协调欧盟和日本隐私标准差距的关键一步。
事实上,在不具备充分性决定的情况下,也确实能够进行跨国信息传递,但是根据《通用数据保护条例》规定,其需要采取额外措施,为数据转移提供法律依据和适当保障,例如使用数据传输协议,缔结具有约束力的公司规则或使用欧盟委员会的标准数据保护条款等。
例如,欧盟与加拿大和美国的决定均属于“部分”充分性决定。其中加拿大的决定仅适用于属于“加拿大个人信息保护和电子文件法”范围的私营实体。尽管欧盟委员会从未对美国的个人数据保护体系发表过正式意见,但美国自律式的隐私保护体系也只是通过了欧盟的“部分”充分性决定,其未来仍将持续受到欧盟法律的影响。
事实上,早在1998年(远没有GDPR的年代),美国就已经开始与欧盟就隐私保护的“安全港”协议进行协商,以保证数据的跨界流动。安全港协议要求所有签字的组织对其收集信息的种类、使用的目的、以及可能传披露给的第三方等,为个人提供“清晰和明显的”通知。这种通知必须在收集任何个人信息时或者实践可行之时提供。如果信息准备披露给第三方或者用于不相关的目的,个人必须能够明示选择拒绝收集这种信息。如果是敏感信息,个人必须明确地明示同意这种收集。如果第三方参加安全港或者如果第三方签署保护数据的合同,可以向第三方传送数据。参加的组织必须保证个人可以获知有关他们个人的任何信息,并有机会改正、修改或者删除不准确的信息。
但是,2013年“斯诺登事件”爆发后,美欧之间的合作产生了严重的松动,结果欧盟法院在2015年10月正式认定《安全港协议》无效。为了应对这种局面,欧美重新谈判并签订了一个新的《隐私盾协议》(Privacy Shield)。
虽然《隐私盾协议》的规定看上去比原来的《安全港协议》对隐私的保护标准更加严格,但实际上,美国并没有遵守协议中的许多关键要求,且对于欧盟提出的种种问题也没有提供任何解决方案,因此,美国的“充分性决定”一直备受欧盟质疑。
《战略伙伴关系协定》(SPA)详情地址:
http://europa.eu/rapid/press-release_IP-18-4526_en.htm
《欧日经济伙伴协定》(EPA)补充说明地址:
http://europa.eu/rapid/press-release_IP-18-5433_en.htm