欧盟数据保护法执行两年有余，其威力和局限都已开始显现。一方面，Schrems等人通过策略诉讼持续推进数据跨境流动规则的发展。另一方面，数据监管机关资源匮乏、执法不足的问题也逐渐暴露出来。

时间维度之外，数据保护规则的发展还有其他面向值得我们关注。在更宽泛数据治理框架下，数据保护仅是一端。2020年标志着“后GDPR时代”数据治理新开端。脱欧后的欧盟和英国纷纷发布数据战略蓝图，未来可期。数据保护也正横向发展、全球扩张。除了中国个人信息法在今年出台之外，美国也在经历所谓的“隐私文艺复兴”。作为部门法之一，数据保护法还在和其他法域发生融合和互动。尤其是数据保护和竞争法的关系，正由德国的脸书案被重新定义。

1.          两年后的GDPR
2.          后GDPR时代的数据治理
3.          美国隐私的“文艺复兴”
4.          英国ICO的执法僵局
5.          后Schrems II时代的数据跨境流动
6.          数据保护的延展：FCO诉脸书案后续

1.         两年后的GDPR

执行是检验法律有效性的最好尺度。一部法律即便再完善，内容再先进，倘若无法付诸实施也是枉然。GDPR执行的第二个年头 (2018-2020)，这部号称“史上最严厉数据法”所面临的考验已然开始显现。

根据GDPR第97条，欧盟委员会需要2020年5月之前，以及未来每四年发布份GDPR评估报告。今年的第一份报告在质量上差强人意。报告并没有提供详实的实施分析，更多的是欧盟各机构近年来的成果汇总，以及下一步工作的盘点。值得注意的是，报告明确指出了GDPR执行的弱项和难点。最为欧盟所关注的当然是不同欧盟国家执行规则存在不一致的局面。GDPR采取了“规定”(regulation)的形式，相较于之前的“条令”(directive)整合统一程度更高。但是，成员国仍然可以在很多问题上自行决定标准（例如儿童可以同意数据处理的起始年龄）。如何避免“碎片化的法律执行”（fragmented implementation）是欧盟一直治理解决的难题。欧盟委员会在报告中还提及数据可携权难以实施的问题。这一权利的落实将成为来年的重中之重。

欧盟委员会还指出，监管机关普遍处于资源匮乏状态，亟需充分的资金、人力和技术支持。各国数据监管机关在资源分配的问题上也差距很大。委员会建议，爱尔兰、卢森堡等“避税天堂”投诉和诉讼集中，监管机关应当得到更充足的资源分配，并且在跨国案件中发挥带头作用。

2.         后GDPR时代的数据治理

欧盟委员会在形成数据保护框架之后并没有就此停下数据治理的脚步。恰恰相反，新任委员会主席Ursula von der Leyen (2019-2024) 尤其重视数据政策，上任不久之后就开始推动体制变革，提出了重塑“欧洲数字未来”(shaping Europe’s Digital Future) 以及营造 “适应数字时代的欧洲” (A Europe fit for the Digital Age) 等执政方针。(European Commission a & b, 2020) 本述评中提到的大多欧盟新政都可溯源至这一治理框架。

论及后GDPR时代的数据治理，欧盟委员会在2020年初出台的“欧盟数据战略” (European Strategy for Data) 无疑是关键蓝图。该战略旨在通过多项改革措施促进欧洲的数字经济，包括促进商业数据共享、修正数据共享和聚合协议，建立大型数据池及基础设施——也即欧洲共同数据空间 (common European Data spaces)。欧盟委员会还考虑将数据共享设定为部分企业的法定义务，以促进数据从垄断企业向市场流动（详见下文“欧洲新数字治理”一节）。战略还提及2021年即将出台的“数据法案” (The Data Act) 将致力解决“共同生产数据”(co-generated data)的使用权问题。这一概念暗指欧盟将加强个人对于非个人数据的控制和使用，尤其是在物联网、智慧城市、智能家庭等适用场合。最后，战略还将强化公共部门对数据的使用，通过修改公共数据指令(Open Data Directive)的方式将高价值数据集 (high-value datasets)——也即敏感数据——纳入公共使用的范畴。

2020年底，欧盟委员会又出台了后GDPR时代的第一部数据治理法案 (Data Governance Act, DGA)。这部法案旨在促进数据共享，尤其是有利于共同/公共利益的数据使用情形。具体措施上，DGA一方面通过备案和注册的方式推动数据分享服务 (data sharing service)产业发展，另一方面强调“数据利他主义”(data altruism)，对于符合条件的公益企业将提供政策支持。

DGA的出现重新燃起了在数据共享语境中信托义务 (fiduciary duty)的讨论。近十年前，加州大学美籍韩国人Jerry Kang曾在其Self-Surveillance Privacy一文中讨论信托义务在数据保护和共享语境中的相关性。(Kang, 2011) 2020年9月，发布新书Privacy is Power (Véliz a, 2020)的牛津学者Carissa Véliz也撰文讨论了这一主题。Véliz的文章主张，我们的个人数据不应该被随意用来针对我们个人，而改变这一格局的方式是在个人与科技企业之间构建诚信义务，确保企业不会作出伤害个人利益的事情。(Véliz b, 2020) 斯坦福互联网与社会研究中心的Neil M. Richards和Woodrow Hartzog也提出了所谓“忠实义务” (duty of loyalty)的主张。(Richards & Hartzog, 2020) 这两位作者认为，由于企业仅为自己利益服务，所谓数字投机主义 (digital opportunism) 带来了众多的社会风险。未来的隐私法发展方向应当扭转这样一种趋势，构建一种企业向用户的“忠实义务”，让数字红利朝向个人和社会流动。DGA的出现，很大程度上是在促进信托义务或者诚信义务的出现，要求企业为数据持有者的最大利益服务。

脱欧后的英国好似模仿欧盟的举措，推出了自己的国家数据战略 (National Data Strategy, 2020)。不过，英国政府早在两年前就已经宣布将出台该战略，因脱欧漩涡迟迟没有进展。欧盟战略类似，英国战略也涵盖多层次的政策发展，包括变革公有部门的数据使用、增进人们对数字经济的信任、保障数据安全和基础设施“韧性”(resilience)、促进全球数据流动等等。英国政府还将出资训练公务人员成为数据分析师，并在政府系统内创设“首席数据官”(Chief Data Officer)的职位以期带动公共服务的数字转型。

3.         美国隐私的“文艺复兴”

美国是隐私理念的发源地。很可惜，美国法律对近百年来的隐私规则发展的贡献却十分有限。尤其是进入数字社会之后，美国重市场轻监管的进路使其数据隐私治理框架落后欧盟至少二十年。根据Gabriela Zanfir-Fortuna的梳理，自2018年以来共有超过30部法案提交美国国会，包括密歇根、华盛顿、内华达等州都紧随加州脚步制定州法。(Zanfir-Fortuna, 2020) 在Zanfir看来，美国似乎正在经历一场“隐私的文艺复兴”(privacy renaissance)。

目前美国数据隐私规则的发展主要在州法的层面。举例而言，加利福尼亚消费者隐私法案 (California Consumer Privacy Act, CCPA)被认为是目前美国保护力度最强的隐私法。这部法律自2018年通过之后，已在2020年正式生效。此外，加利福尼亚又于2020年11月通过了隐私权利法案 (California Privacy Rights Act, CPRA) 修改了CCPA若干条款。这部CPRA进一步强化了数据的保护以及消费者的权利，还设立了美国第一个专门执行数据隐私法规的执法机关——加州隐私保护机关 (California Privacy Protection Agency)。与CCPA不同的是，CPRA还增设了对“敏感个人信息”的保护——类似于GDPR中的特殊类别数据——并赋予消费者保护或控制该类信息的权利。

美国至今未形成联邦层面的数据隐私保护法。奥巴马政府曾努力向前推进了一大步，但川普上台之后将其束之高阁。拜登打败川普成为第46任美国总统之后，新任政府或许会接续奥巴马的努力推进联邦层面的隐私法。考虑到Schrems II判决推翻欧美“隐私盾”数据跨境流动协议，制定联邦数据隐私法或许美国政府促进数据跨境流动的重要途经。

4.         英国ICO的执法僵局

谈到GDPR执法不力，英国的信息专员办公室 (Information Commissioner’s Office, ICO)首当其冲。2019年，ICO分别向英国航空 (British Airways, BA) 以及万豪酒店 (Marriott)开出了1.89亿英镑（BA全球年收入1.5%）和0.99亿英镑（万豪全球年收入3.5%）的罚单，创下当时最高罚单的历史 (DPM, 2020)。然而，最终处罚方案高开低走， 英国航空仅需缴付2000万镑，不足最初罚单的一成。对万豪的罚款也锐减到1840万镑，不及其全球年收入的0.6%。有猜测认为，ICO放水的主要原因是考虑到新冠疫情对英国经济的影响 (Todd, 2020) 与此同时，英国航空和万豪在出现数据泄露事件之后的紧急补救措施，也是ICO大幅度减小罚金的重要原因之一。

根据英国电信服务提供商The SMS Works请求政府信息公开得到的数据显示，自2015年至2019年，ICO发出的罚单当中只有42%得到了缴付。(Cazalet, 2019) 进一步的信息公开请求显示，自2019年到现在，ICO仍然有7起罚单尚未付清，5起正被上诉。自GDPR生效以来，ICO发出的罚单不增反降，处罚的对象也集中在数据泄露问题。(Cazalet, 2020) 倘若GDPR的处罚如此单一且低效，GDPR设定的年收入4%的威胁实际上非常有限。

英国信息专员还是率先对广告科技产业 (AdTech Industry) 动手的数据监管机关之一。去年的年度述评曾提到，2020年将是这一产业的历史转折点。（李汶龙a, 2020）但是因为后来的新冠疫情的出现，ICO的重锤迟迟不下。早在2018年9月，ORG的执行主任Jim Killock联合UCL学者Michael Veale向ICO投诉，认为数字广告产业的很多实践无法满足GDPR的要求，尤其是“实时竞价机制”(Real Time Bidding, RTB)。二人的投诉将设定行业标准的互联网广告局 (Internet Advertising Bureau, IAB) 作为主要投诉对象。ICO随后开始展开调查，并于2019年6月发布了一份中期调查报告。虽然报告指出数字广告产业存在很多潜在违规问题，但ICO并未采取任何实质性措施。随后进行的调研和公共讨论也未有下文。随后疫情到来，ICO中止了这项调查。(ICO, 2020) 作为守卫数据的监管机关，ICO执法疲软激起了学界业界的愤慨。2020年11月，ICO被英国Open Rights Group告上法庭。(ORG, 2020)

英国的投诉得到了其他欧洲国家的响应，随后共有7个国家参与了这项针对数字广告产业的集体投诉。 (FixAdTech, 2019) 与ICO的寡断不同，比利时的数据监管机关率先对RTB的违法性提出了挑战，认定谷歌以及其他网站使用的获取用户同意的方式违反GDPR的规定。(ICCL, 2020)

5.         后Schrems II时代的数据跨境流动

Schrems I & II称得上是欧盟数据保护史上最重要的判决之一。因斯诺登披露了美国政府的棱镜计划，当时还是奥地利维也纳大学博士生的Max Schrems决定对欧美跨境数据流动的法律基础发起挑战。这起诉讼一直告到欧盟（最高）法院，最终以欧美间形成的“安全港”协议失效而告终 (Safe Harbour Agreement)。彼时欧盟数据保护法刚刚定型，欧美迅速重新签订协议并将其命名为“隐私盾” (Privacy Shield)。生效不久之后，Schrems再次挑战隐私盾有效性。最高法院的第二份判决Schrems II于2020年7月16日浮出水面，欧盟法院再次宣告 “隐私盾”无效。法院考量了多层因素，包括美国没有提供数据权利（上文已述及）、政府可以不受限获取公民个人信息、监察员制度 (Ombudsperson)缺乏独立性等等。

一石激起千层浪，Schrems II很大程度上重塑了全球数据流动的规则。判决出台后，欧盟数据保护委员会 (European Data Protection Board) 出台了两份指引文件。该委员会建议Schrems II之后跨境数据流动都必需经过细致地审核，确保第三国数据保护水平达到欧盟标准。为此，EDPB提供了一个“六步走”的详细指引。如果第三国数据保护程度较低，EDPB建议依据GDPR第65条增设额外措施 (supplementary measures)，确保从数据能够得到充足保护。委员会还发布了所谓欧洲“核心价值保障” (European Essential Guarantees, EEG)，帮助企业评估数据流动是否符合欧盟基本权利宪章的要求。EEG提出的四项保障包括数据处理需基于清晰直白的规则、符合必要原则和比例原则、存在独立监管机构，以及有效的权益保障机制。

欧盟数据保护委员会发布指引的两天后，欧盟委员会也发布了跨境数据流动格式合同条款(Standard Contractual Clause, SCC)的修改版本。新版SCC向公众征集意见后预计在2021年上半年生效。值得留意的是，此前的SCC只涵盖数据从数据控制者流出欧盟的情形。但是，现实中经常存在数据控制者是非欧盟公司，需要欧盟的数据处理者将数据从欧盟输出的情形。新版SCC考虑到数据流动的复杂多样性，新增欧盟数据处理者向非欧盟数据控制者或处理者提供数据的模式。欧盟委员会还就GDPR第28条规定的数据控制者与数据处理者之间的格式合同适用SCC的情形提供了指引。第28条的指引由很多附录组成，落实了数据处理外包的诸多具体面向。

6.         数据保护的延展：FCO诉脸书案后续

欧盟法框架中，数据保护和反垄断是两个紧密关联但本质不同的部门法。数据保护注重数据处理的透明性和正当性，向个人提供数字权利。竞争法虽然也考虑数据处理的特质，但关注点放在市场自由竞争、消费者权益等宏观因素，不涉及个人救济。两部法律彼此互补，而且渐有融合。

去年年度述评曾介绍过一起在德国发生、具有里程碑意义的判例。（李汶龙b, 2019）德国联邦卡特尔办公室 (Federal Cartel Office, FCO) 通过调查认定脸书（Facebook）滥用市场支配地位。有趣的是，FCO作出的决定并没有基于传统反垄断理论，而全然基于脸书违反了数据保护的规定。经调查发现，脸书要求用户在使用其服务前必需允许其收集、处理并整合用户的数据，无论用户同意与否。该诉讼尚未到达欧盟层面，但由于标的特殊——涉及数据保护与竞争法的互动关系而引起了大量关注。随后，杜塞尔多夫高级区域法院中止了FCO作出的决定，认为其推理存在问题（基于数据保护原则而非竞争理论）。

2020年，这起案件又有了新的进展。经FCO上诉后，德国联邦（最高）法院在2020年6月23日推翻了下级法院要求中止FCO决定的做法。德国最高法院没有质疑脸书在德国的垄断地位，并认定该企业滥用了市场权力。但是，该法院的推理没有延续FCO关于数据保护的论断，而是严格在竞争法框架内寻找依据。联邦法院认为，脸书滥用了市场支配地位，原因是没有向用户提供是否接受精准广告的选择。此外，脸书的经营模式是向社交网络市场提供“免费”服务并从广告市场获利，因此涉及多个市场 (multi-sided platform)。德国联邦法院认定，认定滥用市场支配地位不一定只关注该企业垄断的市场（社交网络），二者有其一受到影响即可构成滥用。(Polley et al., 2020)
 

参考文献

'5 biggest GDPR fines so far' (Data Privacy Manager, 7 December 2020) https://dataprivacymanager.net/5-biggest-gdpr-fines-so-far-2020/

'Ad Tech GDPR complaint is extended to four more European regulators' (FixAdTech, 20 May 2019) https://fixad.tech/ad-tech-gdpr-complaint-is-extended-to-five-more-european-regulators/

Anne Todd, 'Lessons from the ICO’s decisions to reduce the BA and Marriott GDPR fines' (Macfarlanes, 6 November 2020) https://www.macfarlanes.com/what-we-think/in-depth/2020/lessons-from-the-ico-s-decisions-to-reduce-the-ba-and-marriott-gdpr-fines/

Carissa Véliz a, Privacy is Power: Why and How You Should Take Back Control of Your Data (Penguin Book, 2020)

Carissa Véliz b, 'The ethical case for data fiduciaries' (Ada Lovelace, 17 November 2020) https://www.adalovelaceinstitute.org/blog/ethical-case-for-data-fiduciaries/

European Commission a, The Commissioners: The European Commission's political leadership https://ec.europa.eu/commission/commissioners/2019-2024_en

European Commission b, 'Shaping Europe's digital future' https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/shaping-europe-digital-future_en

Gabriela Zanfir-Fortuna, 'America’s ‘privacy renaissance’: What to expect under a new presidency and Congress' (Ada Lovelace, 17 December 2020) https://www.adalovelaceinstitute.org/blog/americas-privacy-renaissance/

Henry Cazalet, 'ICO Fines Collection Crisis - 42% of Fines Remain Unpaid' (The SMS Works, 20 November 2019) https://thesmsworks.co.uk/ico-fines-collection-crisis   

Henry Cazalet, 'ICO fines crisis deepens - 68% of fines issued since Jan 2019 haven't been paid' (The SMS Works, 26 October 2020) https://thesmsworks.co.uk/ico-fines-crisis-deepens

ICO statement on Adtech work (ICO, Statement, 7 May 2020) https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/05/ico-statement-on-adtech-work/

'GDPR watchdog’s investigation finds that tracking and consent pop-ups used by Google and other major websites and apps are unlawful.' (Irish Council for Civil Liberties, 22 October 2020) https://www.iccl.ie/news/gdpr-watchdogs-investigation-finds-that-tracking-and-consent-pop-ups-used-by-google-and-other-major-websites-and-apps-are-unlawful/

Jerry Kang et al., ‘Self-Surveillance Privacy’ (2012) 97 Iowa Law Review 809

李汶龙a，欧美网络法年度述评2019（十之七）：AdTech产业的历史转折点 http://liwenlong.blog.caixin.com/archives/219170

李汶龙b，欧美网络法年度述评2019（十之四）：数据保护与市场竞争（2020年1月6日）http://liwenlong.blog.caixin.com/archives/218719

Natasha Lomas, ‘UK’s ICO faces legal action after closing adtech complaint with nothing to show for it’ (The Guardian, 5 November 2020) https://techcrunch.com/2020/11/05/uks-ico-faces-legal-action-after-closing-adtech-complaint-with-nothing-to-show-for-it/   

Al Ghaff, 'Privacy Organisation Open Rights Group Taking the Privacy Regulator ICO to Court in a Landmark Case' (ORG, 5 November 2020) https://www.openrightsgroup.org/press-releases/privacy-organisation-open-rights-group-taking-the-privacy-regulator-ico-to-court-in-a-landmark-case/  

National Data Strategy (Policy Paper, 9 December 2020) https://www.gov.uk/government/publications/uk-national-data-strategy/national-data-strategy

Neil M. Richards and Woodrow Hartzog, ‘A Duty of Loyalty for Privacy Law’（2020） https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3642217

'Privacy Organisation Open Rights Group Taking the Privacy Regulator ICO to Court in a Landmark Case' (ORG, 5 November 2020) https://www.openrightsgroup.org/press-releases/privacy-organisation-open-rights-group-taking-the-privacy-regulator-ico-to-court-in-a-landmark-case/

Romina Polley et al., 'German Federal Court of Justice Provisionally Finds Facebook’s Data Collection Practices Abusive' ( Cleary Gottlieb, 29 June 2020) https://www.clearygottlieb.com/-/media/files/alert-memos-2020/german-federal-court-of-justice-provisionally-finds-facebooks-data-collection-practices-abusive.pdf