财新传媒
位置:博客 > 李汶龙 > 欧美网络法年度述评2019(十之一):长臂GDPR——域外执行与理念传播

欧美网络法年度述评2019(十之一):长臂GDPR——域外执行与理念传播

GDPR是欧盟层面最新一部数据保护法,全称为General Data Protection Regulation (GDPR),在国内有时被译作《通用数据保护规定》。这部法律于20185月开始在全欧盟成员国范围内正式生效,距今已一年有余。

全球视野内,欧盟设立的数据保护标准要明显高于其他法域。因此,在欧洲开展业务的企业就要承担更高的合规成本。对于很多国内企业而言,他们最为关心的就是GDPR的适用性问题,尤其是域外执行(extraterritoriality)

由于互联网(线上)服务并不受地理疆域的限制,很多科技企业都会跨境提供服务。根据GDPR第三条的规定,不在欧盟设立机构的跨国企业也可能受到GDPR的调整。

关于这一条文的适用,刚刚成立的European Data Protection Board在今年11月采纳并发布了GDPR域外适用指南。[1] 201811月公布的征求意见稿相比,最终版本没有太大的改动。 [2]

早在世纪之初,EDPB的前身Article 29 Working Party (A29WP)就曾发布过关于数据保护法全球适用的意见书。[3] A29WP认为,实现数据保护有赖于法律的域外执行。但是,意见书提出的措施主要在认知层面,强调他国对欧盟数据保护法适用性应该有充分了解。彼时对跨境适用的讨论也主要在国际公法层面展开。

EDPB的指南主要围绕三个核心概念展开诠释,并且提供了示例:

  • 企业是否在欧盟设立了机构 (establishment)
  • 企业是否为欧洲居民提供某种产品或服务 (注意这里不是公民或国民,所以身处欧盟境内的中国人也适用;法律条文使用的概念是data subject,泛指所有在欧盟境内使用数字产品或服务或因其他原因可以被识别的个人)
  • 是否监测(monitoring)欧洲居民的行为(不限于线上)

考虑到很多国内外科技公司都进行个人数据的收集、分析和交易,上述条件很有可能被满足。如下文谷歌公司的年度Transparency Report所言,域外执行已经成为惯例。EDPB指南明确列举了若干种常见的商业模式和实践,包括精准广告 (Online Behavioural Advertising)、移动定位服务 (geolocation tracking service)、医疗/健康个性定制服务、视频监控、(使用cookie/fingerprinting等技术)实行线上追踪或监视等等。从事此类商业实践的企业,即便没有在欧盟设立机构,也需遵守欧盟法的要求。

对于执法机关而言,GDPR域外执行是一个棘手的难题。[4] 核心期刊International Data Privacy Law上,伦敦国王学院研究生Benjamin Greze今年发表了一篇获奖论文,出色地分析了GDPR域外执行的难点。[5] 论文探究执法机关在执行层面上的权力界限,辅以现实示例。Greze还提及了国际执法合作框架的有限性,包括国际数据保护和隐私专员会议ICDPPC2017年通过的决议,修缮之后的Convention 108等等。考虑到理念和现实上的差距,作者认为应寻找其他的出路,例如强化欧盟代表的法律责任(根据GDPR27条的规定,未在欧洲设立机构但开展业务的企业需要设定一名代表),或对违规网站进行屏蔽。

域外执行之外,GDPR还在以更为隐性的方式影响着全球数据保护的发展。Graham Greenleaf是关注全球进展的主要学者,他的著作Asian Data Privacy Laws牛津出版社出版)想必很多业内人士都有所涉猎。这位来自澳洲南威尔士大学的教授在2019年发表了若干篇观察报告。[6] 他梳理了19732019年来数据隐私法的发展,发现每年平均有2.9个国家制定了数据保护法;截至到20194月,全世界共有134部法律出台。[7] 在另一篇文章中,Greenleaf列举了全球范围内存在的132部数据隐私法(已经生效)以及27个国家正式公布的数据隐私法案(尚未公布)。[8] 很多晚近的法律都受到了GDPR的影响,包括在国际法层面的Convention 108[9] Greenleaf在文章中还提到了几近待废的APEC数据保护框架。由于只有美国和日本的几家公司参与,这一环太平洋区域共识已经名存实亡。[10]

面对欧盟法的影响,一些美国学者开始对这一制度的普适性展开反思。荣获FPF年度大奖的美国学者Neil M. RichardsWoodrow Hartzog从美国本土的立场讨论了欧洲的影响以及美国的出路。[11]

隐私的概念因《哈佛法律评论》上的一篇文章为众人所知。[12]但是,由于没有得到美国宪法的肯认和保障,隐私权的发展在数十年间处处掣肘。RichardHartzog观察到,美国国会在联邦立法上鲜有作为,这导致各州纷纷仿效制定本土版的GDPR,最著名的例子是加州的California Consumer Privacy Act (CCPA),即将在2020年初生效。[13] 两位作者认为,美国正在迎来隐私的宪政时刻”(Constitutional Moment);欧洲的影响加之各州的立法运动正在带来结构性变革。对于效仿欧洲的运动作者是持批判态度的。这并不是因为欧洲框架不好,而是GDPR本身存在自己的局限。Richard/Hartzog一阵见血地指出,GDPR不能解决数字社会存在的所有问题,尤其是在数据处理之上还存在的滥用、压迫、权力失衡、市场扭曲以及民主危机。所有这些问题需要一个更为宏大的治理框架才能解决,而作者希望美国立法者不要将眼光局限于欧洲的进步。


[1] EDPB, ‘Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)’(Version 2.0, 12 November 2019)https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_3_2018_territorial_scope_after_public_consultation_en.pdf. See commentaries such as Cynthia O’Donoghue and Daniel Millard, ‘EDPB adopts final version of guidelines on the territorial scope of the GDPR’ (Reed Smith, 19 November 2019) https://www.technologylawdispatch.com/2019/11/privacy-data-protection/edpb-adopts-final-version-of-guidelines-on-the-territorial-scope-of-the-gdpr/ and Cynthia O’Donoghue and John O'Brien, ‘EDPB issues much-awaited guidance on GDPR’s territorial scope’(Reed Smith, 29 November 2018) https://www.technologylawdispatch.com/2018/11/privacy-data-protection/edpb-issues-much-awaited-guidance-on-gdprs-territorial-scope/
[2] EDPB, ‘Guidelines 3/2018 on the territorial scope of the GDPR(Article 3)’(Version for public consultation, 16 November 2018)https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_3_2018_territorial_scope_en.pdf
[3] Article 29 Working Party, ‘Working Document on Determining the International Application of EU Data Protection Law to Personal Data Processing on the Internet by Non-EU based Web Sites’(WP56, 30 May 2002) https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2002/wp56_en.pdf
[4]关于域外执行这一主题早期的讨论详见Christopher Kuner, ‘The Internet and the Global Reach of EU Law’, LSE Law, Society and Economy Working Papers 4/2017 http://eprints.lse.ac.uk/73421/1/WPS2017-04_Kuner.pdf. Dan Jerker B. Svantesson, Solving the Internet Jurisdiction Puzzle (OUP 2017).Adèle Azzi, ‘The Challenges Faced by the Extraterritorial Scope of the General Data Protection Regulation’(2018) 9(2)JIPITEC 126-137 https://www.jipitec.eu/issues/jipitec-9-2-2018/4723. Graça Canto Moniz, ‘Finally: A Coherent Framework for the Extraterritorial Scope of EU Data Protection Law - the End of the Linguistic Conundrum of Article 3(2) of the GDPR’ (2018) 4(2) EU Law Journal 105-116 http://www.unio.cedu.direito.uminho.pt/Uploads/UNIO%204%20.%20Vol%201/Unio%204%20n.%202%20PT/Unio%204%20n.%202%20EN/Gra%C3%A7a%20Canto%20Moniz%20(2).pdf
[5] Benjamin Greze, ‘The Extra-Territorial Enforcement of the GDPR: A Genuine Issue and the Quest for Alternatives’ (2019) 9(2) International Data Privacy Law 109–128
[6] Graham Greenleaf, SSRN Author Page https://papers.ssrn.com/sol3/cf_dev/AbsByAuth.cfm?per_id=57970
[7] Graham Greenleaf, ‘Countries with Data Privacy Laws – By Year 1973-2019’(2019)
https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3386510  See also Graham Greenleaf, ‘Global Data Privacy Laws 2019: 132 National Laws & Many Bills’(2019) 157 Privacy Laws & Business International Report 14-18
[8] Graham Greenleaf, ‘Global Tables of Data Privacy Laws and Bills’(January 2019, 6th edn)
https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3380794 
[9] Graham Greenleaf, ‘Renewing Convention 108: The CoE's “GDPR Lite” Initiatives’(2016) 142 Privacy Laws & Business International Report 14-17
[10] Graham Greenleaf, ‘Global Data Privacy Laws 2019: New Eras for International Standards’(2019) 157 Privacy Laws & Business International Report 19-20
[11]
Woodrow Hartzog and Neil M. Richards, ‘Privacy's Constitutional Moment and the Limits of Data Protection’ (forthcoming 2020) 61 Boston College Law Review https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3441502
[12] Samuel D. Warren and Louis D. Brandeis, ‘The Right to Privacy’ (1890) 4(5) Harvard Law Review 193-220 https://www.cs.cornell.edu/~shmat/courses/cs5436/warren-brandeis.pdf
[13] https://www.caprivacy.org/



推荐 0