跨境數(shù)據(jù)實務(wù)｜歐美數(shù)據(jù)跨境傳輸框架的法律博弈案例分析【走出去智庫】

走出去智庫（CGGT）觀察

9月3日，歐盟普通法院維持歐盟與美國達成的數(shù)據(jù)傳輸協(xié)議，駁回了法國議員菲利普·拉通貝對此提起的訴訟。拉通貝起訴稱該協(xié)議由于廣泛大量收集個人數(shù)據(jù)，未能充分保障對私人和家庭生活的尊重。

走出去智庫（CGGT）特約法律專家、鴻鵠律師事務(wù)所（Bird & Bird）合伙人龔鈺認為，歐盟委員會通過了對歐盟-美國數(shù)據(jù)隱私框架（EU-U.S. Data PrivacyFramework）的充分性認定，而且該框架是歐美達成的第三次數(shù)據(jù)傳輸協(xié)議，設(shè)置了兩層救濟機制。歐盟普通法院駁回拉通貝的主張，理由包括救濟機制有獨立性保障、數(shù)據(jù)收集受事后監(jiān)督等，能夠保障從歐盟傳輸至美國的個人數(shù)據(jù)受到充分的保護。

歐盟法院為何駁回拉通貝的訴訟？今天，走出去智庫(CGGT)刊發(fā)鴻鵠律師事務(wù)所（Bird & Bird）龔鈺律師團隊的文章，供關(guān)注歐盟跨境數(shù)據(jù)監(jiān)管的讀者參閱。

要點

1、獲得歐盟充分性認定的國家或地區(qū)有：安道爾、阿根廷、加拿大（商業(yè)組織）、法羅群島、根西島、以色列、馬恩島、日本、澤西島、新西蘭、韓國、瑞士、英國、烏拉圭和美國。

2、考慮到此前兩次宣告無效的前車之鑒，為促成歐盟-美國數(shù)據(jù)隱私框架，時任美國總統(tǒng)拜登專門發(fā)布《關(guān)于加強美國信號情報活動保障措施的行政命令》對隱私盾框架下的救濟措施進行了改良，設(shè)立了獨立且有約束力的兩層救濟機制。

3、歐盟普通法院駁回了有關(guān)歐盟-美國數(shù)據(jù)隱私框架下的救濟機制DPRC不具有獨立性的主張。

正文

2025年9月3日，歐盟普通法院（General Court）發(fā)布對 T-553/23 號案件拉通貝訴歐盟委員會（Latombe v Commission）的判決。

根據(jù)該判決，歐盟普通法院確認，在歐盟-美國數(shù)據(jù)隱私框架之下，美國為從歐盟傳輸至該國機構(gòu)的個人數(shù)據(jù)提供了充分的保護水平。

01

法律背景

根據(jù)歐盟《通用數(shù)據(jù)保護條例》（GDPR）對于個人數(shù)據(jù)跨境傳輸?shù)挠嘘P(guān)規(guī)定，GDPR賦予歐盟委員會評估歐盟以外的國家或地區(qū)對個人數(shù)據(jù)的保護是否達到了和歐盟一樣同等且充分的保護水平、并做出充分性認定的權(quán)利。

目前，獲得歐盟充分性認定的國家或地區(qū)有：安道爾、阿根廷、加拿大（商業(yè)組織）、法羅群島、根西島、以色列、馬恩島、日本、澤西島、新西蘭、韓國、瑞士、英國、烏拉圭和美國（僅限于參與歐盟-美國數(shù)據(jù)隱私框架的商業(yè)實體）。

這也是我們常說的歐盟跨境傳輸白名單。如果將歐洲經(jīng)濟區(qū)（EEA）內(nèi)的個人數(shù)據(jù)傳輸至屬于白名單的國家/地區(qū)，企業(yè)無需專門針對該等數(shù)據(jù)跨境傳輸采取額外的保障措施，因為歐盟委員會認為這些白名單國家/地區(qū)能提供與GDPR同等的數(shù)據(jù)保護水平，對個人數(shù)據(jù)主體的保護水平并不會因為跨境傳輸而得以減損。

02

歐盟-美國數(shù)據(jù)隱私框架

2023年7月10日，歐盟委員會通過對歐盟-美國數(shù)據(jù)隱私框架（EU-U.S. Data PrivacyFramework）的充分性決定，認為美國在該框架下能夠為EEA至美國的數(shù)據(jù)傳輸提供與歐盟相當?shù)某浞直Ｗo水平。

由此，美國企業(yè)可以通過承諾履行一攬子隱私義務(wù)加入該框架，在該框架下將數(shù)據(jù)從EEA境內(nèi)的實體傳輸至美國，而無需其他數(shù)據(jù)保障措施。

事實上，歐盟-美國數(shù)據(jù)隱私框架是歐盟和美國為解決數(shù)據(jù)傳輸問題而達成的第三次協(xié)議。前兩次協(xié)議分別是2000年達成的安全港框架（U.S.-EU Safe Harbor Framework）和2016年達成的隱私盾框架（EU-U.S. Privacy Shield Framework），都被歐盟法院著名的Schrems系列案件宣布無效，原因是美國沒有提供與歐盟相當?shù)膫€人數(shù)據(jù)保護水平，而且美國的情報監(jiān)視程序侵犯了歐盟公民的基本權(quán)利，而美國沒有為歐盟公民提供有效的司法救濟。

值得注意的是，考慮到此前兩次宣告無效的前車之鑒，為促成歐盟-美國數(shù)據(jù)隱私框架，時任美國總統(tǒng)拜登專門發(fā)布《關(guān)于加強美國信號情報活動保障措施的行政命令》對隱私盾框架下的救濟措施進行了改良，設(shè)立了獨立且有約束力的兩層救濟機制，美國司法部長所指定的符合條件國家的公民可以通過本國的官方機構(gòu)向美國提出關(guān)于情報機構(gòu)的申訴：

第一級救濟機制：國家情報主任辦公室的公民自由保護官（CLPO）負責受理并初步審查情報活動中是否存在違規(guī)行為，以及在必要時對符合條件的申訴采取適當?shù)木葷胧?/p>

第二級救濟機制：若申訴人不接受CLPO審查的結(jié)果，可以向美國司法部設(shè)立的數(shù)據(jù)保護審查法庭（DPRC）對CLPO決定提起上訴。DPRC將有權(quán)進行調(diào)查，從情報機構(gòu)獲得相關(guān)信息，審查CLPO所管轄違規(guī)行為的決定在法律上是否正確、是否有實質(zhì)性證據(jù)支持，并能夠作出具有約束力的救濟決定；如果DPRC發(fā)現(xiàn)收集的數(shù)據(jù)違反了行政命令中規(guī)定的保障措施，DPRC將能夠下令刪除這些數(shù)據(jù)。

03

訴訟起因和爭議焦點

此次訴訟由法國公民菲利普?拉通貝（Philippe Latombe）發(fā)起，其個人數(shù)據(jù)被多個信息技術(shù)平臺收集并傳輸至美國，因此請求歐盟普通法院撤銷歐盟委員會于2023年7月10日做出的對歐盟-美國數(shù)據(jù)隱私框架（EU-U.S. Data Privacy Framework）的充分性決定。

因此，訴訟的爭議焦點為：“歐盟-美國數(shù)據(jù)隱私框架”是否能否保障美國為從歐盟傳輸至該國機構(gòu)的個人數(shù)據(jù)受到充分的保護水平？

拉通貝先生主張該充分性決定應(yīng)當被撤銷，原因在于：（1）歐盟-美國數(shù)據(jù)隱私框架下的救濟機制DPRC既不公正也不獨立，而是依附于行政部門；（2）美國情報機構(gòu)在未獲得法院或獨立行政機關(guān)事先授權(quán)的情況下，對從歐盟傳輸過境的個人數(shù)據(jù)進行批量收集的做法，未以足夠清晰、精確的方式加以限定，因此該做法不具有合法性。

04

裁判要旨及未來走向

歐盟普通法院駁回了拉通貝先生所提出的訴訟主張。主要原因如下：

首先，普通法院駁回了有關(guān)歐盟-美國數(shù)據(jù)隱私框架下的救濟機制DPRC不具有獨立性的主張。

關(guān)于DPRC，歐盟普通法院指出，從案卷材料中可明確，DPRC法官的任命及其運作設(shè)有多項保障措施與條件，以確保其成員的獨立性。此外，僅司法部長有權(quán)因法定事由免去DPRC法官的職務(wù)，且司法部長及情報機構(gòu)不得妨礙或不當影響法官的工作。

歐盟普通法院還指出，根據(jù)歐盟委員會此前就歐盟-美國數(shù)據(jù)隱私框架作出的充分性決定，歐盟委員會必須持續(xù)監(jiān)督該決定所依據(jù)的法律框架的適用情況。因此，若在充分性決定通過時美國有效的法律框架發(fā)生變化，委員會可在必要時決定暫停、修訂或廢除該充分性決定，或限制其適用范圍。

其次，歐盟普通法院駁回了有關(guān)個人數(shù)據(jù)批量收集的主張，并據(jù)此全面駁回了該項訴訟：

關(guān)于個人數(shù)據(jù)批量收集問題，歐盟普通法院指出，Schrems II案的判決中并無任何內(nèi)容表明此類收集必須獲得獨立機構(gòu)的事先授權(quán)；相反，從該判決中可明確，授權(quán)此類收集的決定至少必須接受事后司法審查。

在本案中，案卷材料顯示，根據(jù)美國法律，美國情報機構(gòu)開展的信號情報活動須接受DPRC的事后司法監(jiān)督。因此，普通法院認定，不能認為美國情報機構(gòu)對個人數(shù)據(jù)的批量收集未達到Schrems II案就此規(guī)定的要求，也不能認為美國法律未能確保提供與歐盟法律所保障的實質(zhì)等同的法律保護水平。

但是，值得注意的是，歐盟目前現(xiàn)行的司法體系主要由歐洲法院（Court of Justice）和普通法院（General Court）兩層法院構(gòu)成。歐洲法院為歐盟的最高法院，掌理一般案件的法律審上訴，以及特殊案件的初審。

目前對于歐盟-美國數(shù)據(jù)隱私框架的有效性認定的判決僅由歐盟普通法院做出，當事人可在普通法院的判決通知之日起2個月10天內(nèi)，就法律爭議問題向歐洲法院提起上訴。

來源：愚公法律評論(龔鈺律師團隊微信公眾號)

作者簡介

龔鈺

走出去智庫（CGGT）特約法律專家

鴻鵠律師事務(wù)所（Bird & Bird）合伙人

龔律師領(lǐng)導鴻鵠律師事務(wù)所中國的數(shù)據(jù)保護和網(wǎng)絡(luò)安全團隊。他在數(shù)據(jù)保護、網(wǎng)絡(luò)安全以及科技、媒體、電信相關(guān)的監(jiān)管及交易方面經(jīng)驗非常豐富。他曾為來自多個行業(yè)的中國和跨國客戶提供境內(nèi)外法律服務(wù)，擅長解決行業(yè)相關(guān)的復(fù)雜法律問題。龔律師的觀點經(jīng)常被媒體引用，并且作為業(yè)內(nèi)認可的作者發(fā)表TMT及數(shù)據(jù)相關(guān)文章。

龔律師畢業(yè)于曼徹斯特大學，并獲得法學學士學位。他擁有中華人民共和國法律職業(yè)資格和美國紐約州律師執(zhí)業(yè)資格。他還是國際隱私專業(yè)人員協(xié)會成員，持有CIPP/E、CIPP/US 和CIPM證書。

業(yè)界榮譽：

中國《商法》：

• 2024-25法律精英：律界精銳

• 2023-24法律精英：律界精銳

• 律師新星，2023

法律500強：

• 中國：數(shù)據(jù)保護、TMT（外資所）下一代合伙人，2025

• 中國：數(shù)據(jù)保護（外資所）新生代合伙人，2024

• 中國：TMT（外資所）新生代合伙人，2022，2024

• 中國：生命科學（外資所）高度推薦律師，2024

• 中國：公司法及并購（外資所）高度推薦律師，2024

• 2023中國法律大獎：提名年度新生代合伙人、TMT年度律師

《亞洲法律雜志》（ALB）：中國十五佳TMT律師，2022

Lexology CMA：TMT - 亞太地區(qū)影響力律師（2024Q1、2023 Q1Q2、2022 Q2Q4）

ALM Law.com: 提名年度數(shù)據(jù)隱私律師, 2024

執(zhí)業(yè)經(jīng)驗：

為蔚來汽車、小鵬汽車、吉利汽車、北汽福田、比亞迪、石基信息、菜鳥網(wǎng)絡(luò)、華為、千尋位置、邁瑞醫(yī)療、健世科技、小天才、Vivo、科大訊飛、中銀國際、中國農(nóng)業(yè)銀行、美的、螞蟻金服等眾多企業(yè)就數(shù)據(jù)合規(guī)相關(guān)問題提供法律服務(wù)。

免責聲明

本文僅代表原作者觀點，不代表走出去智庫立場。

延展閱讀

▌地緣政治風險:

▌出口管制與制裁:

▌跨境數(shù)據(jù)監(jiān)管:

▌全球科技競爭:

▌品牌聲譽管理: