财新传媒
位置:博客 > 李汶龙 > 欧美网络法年度述评2019(十之八):脱欧之后的数据保护问题

欧美网络法年度述评2019(十之八):脱欧之后的数据保护问题

脱欧带来的政治变动不仅仅波及整个英国社会,也给学术圈的讨论留下了深深的烙印。

2019年底,Boris Johnson带领的保守党获得大胜,很有可能在来年1月初带领英国走向脱欧。这意味着早前制定的脱欧法案European Union (Withdrawal Agreement) Bill很有可能在英国议会通过。届时英国政府将与欧盟展开正式磋商,确定包括数据跨境流动在内的各类贸易和法律问题。

早在2016年公投结束之后,英国政府就在积极制定新的法律。GDPR生效当天,英国第四代数据保护法Data Protection Act of 2018也同时生效。虽然目前英国尚未脱欧,但保守党领导的政府正在竭力在为日期不定的脱欧大线做准备。2019年,英国政府进一步出台了The Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019。这部法典整合了英国版的GDPR,以及英国落实欧盟条令ePrivacy Directive的本国法Privacy and Electronic Communications Regulations。于此同时,英国数据保护机关也在持续提供指南、建议和咨询,为企业和个人提供法律确定性。[1]

概言之,脱欧对于(英国)数据保护的影响有两个面向:其一是英国本土数据保护法的变动,其二是英国与其他欧盟成员国之间的数据流动。

关于脱欧后的数据跨境流动,英国UEA学者Karen Mc Cullagh撰文系统性地梳理了脱欧对于数据保护法带来的多维度的影响。这篇最新文章将载于Edward Elgar出版社最新的研究手册中,2019年末未见其出版。[2] Mc Cullagh认为,脱欧对于英国的数据保护而言是一大损失。一旦协商不成功或者没有在限期内达成共识,英国很有可能沦为GDPR规定的“第三国”。这意味着英国需要向其他国家一样,跟欧盟协商确定跨境数据流动的基本框架。如果在欧盟框架内,英国则可以享受数据自由流动的待遇(与此同时受到欧盟法的统一调整)。

Mc Cullagh还讨论了脱欧的其他面向。例如,扮演引领者的角色的ICO在脱欧之后就不能再对EDPB施加任何影响。此外,英国虽然正在脱离欧盟,却明确表示要保持与欧盟单一数字市场的连结。这意味着欧盟设立的标准和原则——作为贸易的前提要求——还将影响英国的立法和司法实践。即便英国最高法院的不再受到欧盟法院的束缚,也还是有可能援引或至少参考欧盟法院的意见。

英国目前的困境在于,想要与欧盟协商的国家不止一个,英国很有可能需要排在其他12个国家之后。考虑到次序问题,英国想要在最新的期限届满前(2020年底)达成协议难度很大。[4] 两任European Data Protection Supervisor(在Giovanni Buttarelli去世后,目前由Wojciech Wiewiorowski接任)都曾表示,与英国协商可能要持续数年的时间。如果达不成协议,英国最坏的结果是基于WTO的框架跟欧盟展开(数字)贸易。[3]

就在圣诞假期之前,欧盟法院正在审议的Schrems II (Case C-311/18)有了新的进展,或许会给脱欧磋商带来新的思路。欧盟法院在判决做出前,会由一位Advocate General(AG)出台不具有法律效力(但经常会被法官参考)的官方意见。本案中的AG Henrik Saugmandsgaard Øe认为,Standard Contractual Clauses (SCCs)作为数据跨境流动的一种法律基础仍然有效。[5]

除了时间紧迫,摆在英国政府面前的还有诸多实体性的难题。包括Mc Cullagh在内的众多学者指出,英国最新出台的几部立法——例如2016年的Investigatory Powers Act——都无法达到GDPR规定的数据保护标准。这意味着英国要想实现跨境贸易,就必须先修改本国立法。此外,新数据保护法增设了一项移民例外条款;很多(来自欧洲的)移民因此不享有英国数据保护法规定的同等权利和保障。今年夏天,数字权利组织The3MillionOpen Rights Group已对此向法院提起诉讼。[6] 这一司法程序也有可能在来年影响磋商的走向。

UCL的两位学者Oliver Patel Nathan Lea也于今年发布了一份报告,讨论脱欧后英国数据保护的走向。[7]文章将情景设定在No Deal Brexit上,围绕英国法律是否满足GDPR规定的数据保护标准展开,剖析了诸多潜在的难点。虽然英国政府已经与欧盟达成协议,但报告中的若干观点和梳理还是值得国内同仁参考。两位作者看来,尽管可以预想到欧英之间的数据流动不会完全切断,脱欧进程会很大程度上波及到数字贸易,大幅度增加成本。一些大企业或许有抵御这场政治波动的能力,但对于中小企业而言脱欧会完全改变市场环境。它们因此不得不选择离开英国,或者寻求其他应变方式。[8]

脱欧后的另一个法律挑战是基本权利的保障。英国在1998年通过了《人权法案》,很大程度上沿袭了《欧洲人权公约》的内容。彼时《欧盟基本权利公约》尚未出现,因此在人权法层面,英国并没有对数据保护权利的存在予以认可。2009年之后,《欧盟基本权利公约》生效,这意味着在欧洲存在着两套平行人权机制——所有的欧盟成员国都签署了《欧洲人权公约》,但不是所有国家都是欧盟成员国。值得一提的是,《欧盟基本权利公约》引领了一项范式革新——在隐私权之外增设了数据保护权利。这样一种制度设计在《欧洲人权公约》以及其他国际人权法文件中都没有先例。脱欧之后,《欧盟基本权利公约》将不再适用于英国,持续多年的欧盟法传统在英国得到传承或完全废弃不得而知。实践中英国法院很有可能还会参考欧盟法院的判决,但在理论上,《公约》的失效会在英国造成基本权利保障真空的情况,尤其是数据保护权。

今年11月召开的ILPC年度会议上[9],剑桥学者David Erdos系统地分析了排除掉《欧盟基本权利公约》之后,英国数据保护法在基本权利层面上的法律基础。相较于《欧洲人权公约》,近来修改的Convention 108相对更为直接(直接涉及数据保护)也更为晚近(于GDPR生效之后进行了新一轮的修缮)。但是与《欧盟基本权利公约》相比,Convention仍然存在诸多地不足与真空地带。可以说,脱欧之后英国在欧盟法层面上的损失是无法弥补的。


[1] ICO, ‘Data protection and Brexit’ https://ico.org.uk/for-organisations/data-protection-and-brexit/
[2] Karen Mc Cullagh,‘Post-Brexit Data Protection in the UK’, in Gloria González Fuster, Rosamunde van Brake and Paul de Hert, Research Handbook on Privacy and Data Protection Law: Values, Norms and Global Politics (Edward Elgar Publishing 2020 forthcoming) https://ueaeprints.uea.ac.uk/id/eprint/70121/
[3] The UK data protection law and Brexit’(IT Governance, 19 December 2019) https://www.itgovernance.co.uk/eu-gdpr-uk-dpa-2018-uk-gdpr
[4] Javier Espinoza and Mehreen Khan, ‘UK at “end of queue” for data deal with Brussels’(Financial Times, 26 December 2019) https://www.ft.com/content/875a903e-2313-11ea-b8a1-584213ee7b2b
[5] Case C-311/18 Facebook Ireland and Schrems (Schrems II) , Opinion of Advocate General Henrik Saugmandsgaard
Øe, delivered on 19 December 2019 http://curia.europa.eu/juris/document/document.jsf?text=&docid=221826&pageIndex=0&doclang=en&mode=req&dir=&occ=first&part=1&cid=2369460 See also commentary Advocate General Upholds Validity of Standard Contractual Clauses in Schrems II Case(Lexology, 20 December 2019) https://www.lexology.com/library/detail.aspx?g=323cae81-c9bb-4a90-be7a-f64f53bbae70
[6] Lisa O'Carroll, ‘UK decision to deny EU citizens access to data challenged in court’(The Guardian, 23 July 2019) https://www.theguardian.com/uk-news/2019/jul/23/uk-decision-deny-eu-citizens-access-personal-data-challenged-court
[7] Oliver Patel and Nathan Lea, ‘EU-UK Data Flows, Brexit and No-Deal: Adequacy or Disarray?’(UCL Brexit Insights, August 2019)
[8] Joe Sommerlad and Ben Chapman, Which companies are leaving UK, downsizing or cutting jobs ahead of Brexit? (Independent, 26 February 2019)
https://www.independent.co.uk/news/business/news/brexit-companies-leaving-uk-list-job-cuts-eu-no-deal-customs-union-a8792296.html
[9] Digital Rights in Brexit: Changes and Challenges’ (Information Law and Policy Annual Lecture and Conference 2019, 22 November 2019, IALS, London) http://dev-ials.sas.ac.uk/events/event/20095

 



推荐 0