歐盟數據治理中的“一站式”監管:運行機制、實施困境及啟示

陳 統

(南開大學 法學院,天津 300350)

一、引 言

網絡技術的迅猛發展為空前規模的數據交換和個人資料共享創造了條件,但這與保護個人隱私的目標背道而馳。歐盟意識到網絡對隱私權的沖擊需要與時俱進的保護措施,于1995年通過《歐洲數據保護指令》(European Data Protection Directive,以下簡稱“95指令”),建立了最低的數據隱私和安全標準,(1)Peter Hustinx.EU Data Protection Law: The Review of Directive 95/46/EC and the General Data Protection Regulation.AtMarise Cremona(eds.),New Technologies and EU Law[M].New York:Oxford University Press, 2017:148-151.試圖解決歐盟成員國在個人數據保護領域標準“碎片化”的問題,但由于各國在實體法的規制力和程序法的執行力方面存在巨大的“監管鴻溝”,導致“95指令”成為一項“官僚主義”法規。(2)Woojeong Jane,Abraham Newman.Enforcing European Privacy Regulations from Below: Transnational Fire Alarms and the General Data Protection Regulation[J].Journal of Common Market Studies,2022,60(2).為克服“95指令”存在的弊端,歐盟于2016年通過《一般數據保護條例》(General Data Protection Regulation,以下簡稱GDPR),作為融合了國際政治博弈、產業經濟競爭以及社會文化擴張等諸多元素的復雜綜合體,GDPR構建了現代化的數據治理規范機制,為數據處理活動設定寬泛的地域管轄范圍,其域外效力被帶到最高水平;(3)Dulce Lopes. GDPR - Main International Implications[J].European Journal of Privacy Law &Technologies,2020.數據保護問題被統攝于歐盟“數字單一市場”的建設進程,與其他元素共同服務于歐盟在全球數字經濟中謀求領先地位的總體布局。

為確保數據保護規則在歐盟成員國境內外的同質化適用,GDPR引入“一站式”監管機制(One-Stop-Shop Mechanism,以下簡稱OSS機制),適用于跨國企業在歐盟多個成員國均開設分公司且涉及數據跨境業務的情形,此時由領導性監管機構負責對歐盟境內該企業的數據處理活動進行監查執法。OSS機制突出成員國數據保護機構間的合作,通過擴張傳統的屬地管轄原則,在域內構建行政執法管轄的協調機制。然而自OSS機制實施五年以來,在實踐運行中暴露了很多問題:如國家監管機構之間的合作,成員國對GDPR的解釋和執行以及各國關于罰款和其他程序性制裁的標準存在較大差異;此外,有民權組織抱怨針對大型科技公司的數據跨境案件執法不足,甚至到了“GDPR危機點”的程度,(4)5years:GDPR’crisis point—ICCL report on EEA data protection authorities[EB/OL].[2023-05-21].https://www.iccl.ie/wp-content/uploads/2023/05/5-years-GDPR-crisis.pdf.歐盟數據保護委員會也將國家數據保護機構之間的“有效執法和高效合作”作為2023/2024年工作計劃的重點。(5)EDPB Work Programme 2023/2024.Adopted on 14 February 2023[EB/OL].[2023-07-15].https://edpb.europa.eu/system/files/2023-02/edpb_work_programme_2023-2024_en.pdf.有鑒于此,本文擬厘清OSS機制下,歐洲數據保護委員會以及各成員國數據機構、司法機關等部門之間的聯動關系,分析該機制在具體適用中面臨的困境,以期為我國相關數據保護機構的執法合作及跨國企業的合規工作提供有益借鑒。

二、歐盟GDPR中“一站式”監管的運行機制

“一站式”監管的概念在歐盟的競爭、稅收等領域立法中早已出現,(6)以競爭法為例,《歐洲經濟區協定》(The Agreement on the European Economic Area,EEA) 第58條、第109條規定競爭法的實施包含一站式執法機制選項。數據保護法領域的“一站式”機制明確于GDPR前言第127段,設計初衷是在各國數據保護機構就跨境案件的管轄無法達成一致時提供解決方案,解決數據保護機構之間的權力劃分、實踐中合作的開展以及領導性監管機構的權限等問題。

(一)“一站式”監管的運行主體

GDPR第六章要求成員國設置獨立的國家數據保護機構(National Data Protection Authorities,以下簡稱DPAs)負責監督GDPR的實施;同時,在歐盟層面設置數據保護委員會(European Data Protection Board,以下簡稱EDPB),協調成員國內數據保護機構的執法工作,增強GDPR適用的一致性。

1.國家數據保護機構

歐盟的個人數據保護有三大支柱:數據處理者的義務、數據主體的權利以及DPAs的良好運作,(7)Gloria González Fuster.Beyond the GDPR, above the GDPR[EB/OL].[2023-08-07]. Internet Policy Review.30 Nov2015.https://policyreview.info/articles/news/beyond-gdpr-above-gdpr/385.DPAs由每個歐盟成員國任命,擁有包括調查權、矯正權以及征收罰款等在內的權力,在行使權力時保持完全的獨立性。行使調查權時主要以審計形式進行調查,擁有對相關數據、場所、設備等進行訪問的權力;行使糾正權可以要求數據處理者或控制者刪除數據、禁止處理數據或暫停數據流向第三方國家;授權和制發建議的權力則允許DPAs向相關主體提供建議,向從事某項工作的機構進行授權。GDPR還引入“單一權限”和“協作權限”兩種權限,前者適用于相關數據控制或處理行為僅發生在某一成員國境內的情形,DPAs依據屬地原則處理案件;而數據跨境案件的處理需要多個DPAs在歐盟數據保護委員會領導下開展合作,此時觸發“協作權限”,GDPR提供了OSS機制、互助(Mutual Assistance)以及聯合行動(Joint Operations)等多種有效方式促進DPAs開展合作執法,鼓勵其調整運行機制以滿足新的權利和義務需要。(8)Razvan Viorescu.2018 reformof EU data protcetion rules[J].European Journal of Law and public Administration, 2017,4(2).

GDPR實施中的前置性問題是案件主管管轄權的歸屬,(9)Marina krinjar Data Protection Reform: Challenges for Cloud Computing[J]. Croatian Yearbook of European Law and Policy, 2016,12.在OSS機制的“協作權限”下,歐盟各成員國的DPAs可能分別承擔領導監管機構(Lead Supervisory Authority,以下簡稱LSA)和相關監管機構(Concerned Supervisory Authority,以下簡稱CSA)的角色。GDPR第56條(1)將數據控制者或處理者的“主要實體”(main establishment)所在地或唯一營業機構所在地的監管機構定義為領導監管機構;第36條明確主要實體應當實際有效地在數據處理的決策中做出主要決策。上述條文共同構成了確定LSA的法規框架——當一個組織在歐盟存在多個establishment時,“main establishment”所在地的DPA扮演LSA的角色,其他establishment所在地的DPA則承擔CSA的職責。(10)Anderson, Stuart.Article 27, the Unknown GDPR Obligation[J].International Journal for the Data Protection Officer, Privacy Officer and Privacy Counsel, 2019,3(1).此外,Google Spain案(11)Case C-131/12, Google Spain SL and Google Inc. v Agencia Espa?ola de Protección de Datos (AEPD).和Weltimo(12)Mario Costeja González, ECJ, 13.5.2014 and Case C-230/14, Weltimmo s.r.o. v Nemzeti Adatvédelmi és Információszabadság Hatóság, ECJ, 1.10.2015.案的判決明確了某組織在歐盟只有一個establishment但數據處理行為影響他國權利主體時,唯一establishment所在地的DPA作為LSA領導調查,權利主體所在地的DPA可以考慮作為CSA加入調查的權限。

但GDPR未就一個機構在歐盟不具備establishment的情況作出規定,就此Working Party 29給出過指引,認為此時:(1)主要數據處理活動發生地所在的歐盟成員國;(2)受影響的個人所在的歐盟成員國;(3)收到個人投訴的歐盟成員國的監管機構有權管理,(13)Art. 29 Data Protection Working Party, WP191 (2012), p.19.然而這無疑會導致多個DPA都可以滿足上述標準,使得OSS機制的適用成為問題。GDPR的立法初衷之一是避免出現公司通過在歐盟以外設立注冊辦事處來避免歐盟法律適用的現象,但在OSS機制下,歐盟哪一國的DPA可以對境外的數據控制者予以調查和執法?哪一國的DPA可以在影響多國的跨境案件中擔任LSA?根據GDPR的規定,如果企業針對消費者住所地進行營銷并提供商品和服務,如使用當地語言或貨幣,則表明該國對其商業行為具有管轄權。與之矛盾的是,相關判例明確如果企業注冊地在歐盟以外,并且在歐盟沒有分支機構,即它不是位于歐盟境內的數據控制者或處理者,(14)See Peter Pammer v. Reederei Karl Schlüter GmbH &Co. KG and Hotel Alpenhof v. Mr. Heller, Joined Cases C-585/08, C-144/09, ECLI:EU:C:2010:740.這種情況下究竟由哪一個歐盟成員國的監管機構來調查這種純粹在歐盟以外(且在歐盟內沒有分支機構)的數據跨境案件,成為OSS機制適用的難點。

2.歐盟數據保護委員會

GDPR第68(3)條規定了EDPB作為歐盟數據保護中心機構的地位——EDPB由各成員國監管機構的首長、歐盟數據保護監管機構的首長或代表組成,不僅負責解釋GDPR核心概念的內涵,還有權就跨境數據處理的爭議問題作出終局性決定。(15)Council of the European Union.Proposal for a Regulation of the European Parliament and of the Council on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data(General Data Protection Regulation) The One-stop-shop Mechanism[EB/OL].[2023-07-25].https: //data．consilium．europa．eu /doc / document /ST-6833-2015-INIT /en /pdf.OSS機制作為處理數據跨境案件的復雜的合作方式,EDPB有權作為爭議解決機構介入,就相關問題做出最終的且具有約束力的決定,(16)Freiherr, Axel von dem Bussche, Anna Zeiter.Implementing the EU General Data Protection Regulation: A Business Perspective[J].European Data Protection Law Review,2016,2(4).以確保GDPR的一體化適用。根據歐盟的One-Stop-Shop Leaflet,EDPB可以介入的情況包括:(1)發生于OSS監管機制內的爭議(有關監管機構提出相關且合理的異議而主導監管機構不予聽取),若LSA與CSA之間無法達成統一意見,LSA可以將案件遞交給歐盟層面的EDPB,由EDPB根據案件的審議情況,通過投票表決的方式解決兩個或多個國家數據監管機構之間的爭議;(2)在確定主導監管機構問題上產生的分歧,在就哪一監管機構應當擔任LSA的問題上發生爭議時,EDPB具有爭議解決機構的作用;(3)某一監管機構不遵守歐洲數據保護委員會的一體化意見。

(二)“一站式”監管的適用程序

GDPR要求歐洲經濟區(歐盟28國+冰島、挪威及列支敦士登)的數據監管機構在含有數據跨界因素的案件中緊密合作,在OSS機制的啟動程序、協調程序中LSA和CSA都需要遵守明確的時間期限以及履行相應的責任。(17)Daigle, Brian, and Mahnaz Khan.The EU General Data Protection Regulation: An Analysis of Enforcement Trends by EU Data Protection Authorities[J].Journal of International Commerce &Economics, 2020,2020.

1.啟動程序

相關案件在啟動OSS監管程序之前,需要確定LSA以及CSA,該程序的目的主要在于在早期階段確認職責,以避免后期出現對行政管轄權限問題的異議。在確立LSA之后最初受案的監管機構應當及時將案件通知LSA,并實際移交全案的監管主導權。LSA接到通知后應當決定是否開展OSS機制,即案件由LSA與其他有關成員國的監管機構共同處理,還是由最初受案的監管機構在本地層面處理。若LSA決定開啟OSS機制,應當允許最初受案的成員國監管機構發表意見。據此,OSS機制作為傳統屬地管轄的補充,通過協調機制確定最適當的主管機關,由該主管機關通過非正式磋商的方式決定是否啟動OSS程序。但OSS機制下LSA的選擇并不是隨意的,否則在其管轄范圍內“最先”做出最終判決的機構將成為實際的LSA,整個GDPR的一致性將受到嚴重損害。(18)Jos De Wachte,Charlotte Peeters.Advocate General Rules on the One-Stop Shop Mechanism[J].European Data Protection Law Review,2021,7(1).為支持歐洲各數據保護機構之間的合作,歐盟委員會成長部(DG Grow of the EU Commission)聯合EDPB等部門改造了一項現存的IT系統——內部市場信息系統(Internal Market Information system,以下簡稱“IMI系統”)。

圖1 IMI系統中GDPR跨境案件的協助程序

IMI系統于GDPR開始實施的第一天即投入運行,以結構化及保密性的方式運行,保證數據監管機構之間共享信息。IMI系統允許LSA發起與所有CSA的信息交流,以搜集信息用于準備起草決定草案。對于符合GDPR管轄的跨境案件,將在IMI系統的中央數據庫中注冊,從這里啟動不同程序,對于適用“一站式”監管的案件,IMI系統提供平臺開展非正式磋商、傳輸LSA提交給CSA的決定草案或修正案,以及提交給CSA和EDPB的終局性一站式決定等信息。

2.協調程序

一旦確定適用OSS機制,歐盟各數據監管機構按照以下流程完成數據跨境案件的處理:(1)LSA必須在開始行動前明確所有相關CSA并使其順暢參與到案件處理中,盡可能與CSA共享所有案件信息;(2)LSA在遵守相關國際程序規則(如向受影響者提供聆訊的權利)的基礎上開展調查案件,在調查階段,LSA可以通過相互協助的方式從其他監管機構搜集信息,或在各自國內法所允許的范圍內進行聯合調查,在此期間LSA與CSA之間的信息互通主要以電子方式提供;(3)一旦LSA完成調查,應盡快形成決定草案并傳達給CSA,接收到決定草案的CSA有權提出反對意見,但是時效為收到草案起四周之內;當然參與合作的CSA也有建議權,可以在LSA形成草案前提交自己的審查決定草案,LSA應當最大限度參考CSA的草案;(4)若LSA同意CSA提出的反對意見,則應當在兩周內重新提交決定草案并征求意見,得到所有CSA的認可后,由LSA將最終決定告知所有利益相關方,同時報備EDPB。(19)AndraGiurgiu,Tine A. Larsen.Roles and Powers of National Data Protection Authorities[J].European Data Protection Law Review,2016,2(3).如就決定草案發生爭議且未達成共識,將觸發一致性機制,以解決OSS機制下的權力排他性問題。(20)Andra Giurgiu, Gertjan Boulet and Paul De Hert.EU’s One-Stop-Shop Mechanism: Thinking Transnational[J].Privacy Laws and Business.International Reports,2015.此時,相關案件將提交EDPB,EDPB就案件作出有拘束力的決定,LSA必須根據EDPB的決定作出其終局性決定,通知DPAs及委員會并在EDPB網站上公布。

3.適用例外

“一站式”監管屬于執法范疇下的合作機制,需要考慮法律適用問題的成員國間的合作溝通,一般情況下當LSA與CSA之間有不同意見時,EDPB可以做出終局性決定,但是此時是否保留CSA的訴訟權限是一個未解決的問題。具體而言,當監管機構并非LSA時,GDPR是否允許該監管機構就組織機構涉嫌違反監管規定的行為向本國法院提起訴訟,OSS機制是否會阻止此類訴訟的進行。對于這一問題GDPR并沒有明確的規定,但2021年1月13日,歐盟法院(CJEU)總檢察長在Facebook愛爾蘭有限公司、Facebook Inc.、Facebook比利時BVBA訴比利時數據保護局的C-645/19案件中發表的意見為此種情形提供了參考。(21)See Facebook Belgium v. Gegevensbeschermingsautoriteit(C-645/19).他認為LSA是歐盟境內的數據保護首席調查者和執行者,在跨境數據處理方面具有普遍的管轄權;同時,這項管轄權也延伸到對違反GDPR的行為提起法律訴訟,而CSA對組織機構提起訴訟的權力應當被限制?？倷z察長限制了CSA采取單方面司法行動的權利,但列舉了容許其采取行動的五種例外情況:(1)監管機構的行為超出GDPR的實質范圍,如處理不涉及個人數據或明確被GDPR第2條(適用范圍)排除的行為;(2)為履行法律義務、保護公共利益或行使政府權力而進行的必要處理;(3)由在歐盟沒有機構的控制者進行的數據處理;(4)迫切需要采取行動保護數據主體的權利和自由的特殊和緊急情況(GDPR第66條);(5)LSA決定不處理的案件。換言之,雖然CSA可以向本國法院提起訴訟,但這項權利受GDPR的OSS機制和一致性原則的約束。

(三) “一站式”監管的適用原則

法國國家信息和自由委員會(Commission Nationale de l’information et des Liberte,以下簡稱CNIL)于2019年1月21日向GOOGLE LLC開出了5000萬歐元的罰單,原因是其違反GDPR項下的透明性原則及與通知、同意有關的合規義務,遭到來自None Of Your Business和La Quadrature du Net兩個組織的投訴。(22)The CNIL’s Restricted Committee Imposes a Financial Penalty of 50 Million Euros Against GOOGLE LLC, CNIL[EB/OL].[2023-04-23].https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc.這是歐盟首次適用OSS監管機制的案件,確立了閉門協商和客觀標準兩個原則。

1.閉門協商原則

CNIL在本案的審查過程中與相關成員國數據監管機構進行了非正式討論,以閉門協商原則完成了法律適用問題的成員國間合作溝通,GOOGLE方面未出席聽證或參與這些討論。盡管GOOGLE以上述討論違反正當程序為由抗辯,但CNIL提出GDPR中跨境案件是否適用OSS機制可以通過非正式討論決定,這意味著利益相關方可以不參與相關討論過程,由DPAs采取閉門溝通形式進行,即閉門協商原則。(23)閆飛.GDPR第一案:“一站式主管機制”適用問題研究[J].大連海事大學學報(社會科學版),2019,18(5).最終處罰決定采納了CNIL的意見,認為采取閉門協商原則的依據有兩個:在法律規定層面,GDPR第56條、第60條未賦予利益相關方參與此類討論的權利,CNIL認定管轄權的過程不違反GDPR對OSS機制程序要求的規定;在事實認定環節,CNIL在處理案件時未剝奪GOOGLE進行書面答辯和口頭陳述意見的權利,符合程序正義的要求。

2.客觀標準原則

GOOGLE聲稱其在歐洲的經營行為以愛爾蘭為中心且正考慮將部分歐洲數據控制者職能向谷歌愛爾蘭轉移,主張愛爾蘭數據保護委員會應當根據GDPR第60條的合作條款擔任LSA,要求法國最高行政法院審查CNIL是否具有管轄權。在審查決定中法院提出了客觀標準原則(objective criteria)作為識別主要實體的依據,這種標準偏重于“行為主體”判斷,而非“權利主體”識別,認為應從商業存在、與數據處理行為的聯系等角度考察數據控制處理的決策流程,進而考量主要實體的存在。雖然GOOGLE的歐洲總部設立在愛爾蘭,但是該總部在歐洲的主要職能并非具備“決策權”的mainestablishment,(24)Deliberation No.SAN-2019-001 of the Restricted Committee of the CNIL[EB/OL]. [2023-05-14]https://www.cnil.fr/sites/default/files/atoms/files/san-2019-001.pdf.且谷歌GOOGLE主張的向谷歌愛爾蘭公司轉移控制者職能將于2019年1月31日完成,而相關隱私政策于2019年1月22日起施行。最終法院判定,由于歐洲總部事實上并無對其他子公司的控制和決定權,導致谷歌公司不被認為在歐盟境內設立了主要實體,CNIL不適用OSS機制處理該案件,而是基于域外管轄效力享有對谷歌公司的行政處罰權,拒絕了谷歌有限公司撤銷制裁的請愿書。盡管該客觀標準原則目前僅在Google LLC案件中得以明確,但為個人數據保護各方提供了有效指引。

三、歐盟GDPR中“一站式”監管的實施困境

GDPR自誕生以來一直備受產業爭議,OSS監管機制作為歐盟數據保護執法工具箱中的一個創新,其運作方式極大地影響了各國的數據保護機構、數據控制者及處理者甚至數據主體的權益。一方面,統一的執法尺度提高了執法穩定性,避免因審查處理尺度的不一致而造成的執法差異;另一方面,有效的執法協商機制為案件處理當事各方提供有效的便利,不僅使GDPR的影響力輻射到整個歐洲,保障GDPR公法價值的實現。(25)Brkan, Maja.Data Protection and Conflict-of-Laws: A Challenging Relationship[J].European Data Protection Law Review,2016,2(3).但該機制在實踐中可能存在一些問題,歐盟各成員國的制度和文化傳統存在差異,存在行政處罰案件與投訴的跟進不力、采取措施的反應時限與執法周期過長、執法透明度不高等問題,可能導致大型數據平臺進行執法層面的管轄競擇,給歐盟各成員國的DPAs帶來相當程度的執法壓力,制約GDPR的實施效果。

(一) OSS協作程序不透明且效率低下

歐盟層面的立法者試圖采取多種協調措施減少成員國不同法律規定與執行方式的差異,(26)EmiliaMiscenic,Anna-Lena Hoffmann.The Role of Opening Clauses in Harmonization of EU Law: Example of the EU’s General Data Protection Regulation (GDPR)[J].EU and Comparative Law Issues and Challenges Series,2020, 4.OSS機制正是其中一次有益的嘗試,但是該機制本身存在歐盟成員國間的協作困境,可能導致跨境案件處理效率低下。

1.成員國DPAs之間的協作程序不透明

歐盟認為數據隱私作為一項基本人權不受時空地域限制,通過GDPR強大的域外管轄法律效力賦予歐盟數據保護主管機構實際行使“長臂管轄”的權力?！?5指令”時代,歐盟各成員國的DPAs之間無須進行普遍的行政執法協調,但在GDPR時代,成員國的DPAs會經常出現管轄權沖突,需要明確沖突調和的機制解決數據跨境案件的管轄權。而OSS機制下LSA難以確定,管轄協作程序不透明等問題常常被詬病。(27)方芳,張蕾.歐盟個人數據治理進展、困境及啟示[J].德國研究,2021,36(4).GDPR就是否適用OSS機制的聽證程序、OSS機制下調查期間查閱文件、訴訟原告方是否有權參與調查以及翻譯方式等問題未給出明確規定,歐盟成員國也未形成共識性答案,所以各方就程序透明度問題的爭議與磋商往往也導致案件長期延誤。如在Google LLC案件中,CNIL在討論是否適用OSS機制的決定上并不透明,駁回了Google LLC公司出席聽證的要求。CNIL認為其在審查過程中已經與相關CSA進行了非正式討論,符合“以合乎正義的方式解決法律問題”的要求,(28)齊佩利烏斯．法學方法論[M]．金振豹,譯.北京:法律出版社,2009: 3．然而Google LLC公司并沒有出席參與這些討論,因而主張上述討論沒有法律效果,由此形成了程序適用方面的爭議和沖突。那么在OSS機制下,該機制適用與否?在行政執法的管轄、告知、聽證、回避、記錄及對抗等各個階段,數據處理者或控制者以及數據主體究竟擁有何種程度的參與權? 當涉及復雜的程序、證據問題認定時,如何確保LSA確保審查決定的公正性?都是OSS機制未來需要明確的問題。

2.成員國DPAs間管轄協調的效率低下

OSS機制的設計初衷是在數據領域實現集中高效監管,但該機制的順利運行必須確保各國DPAs在人員配置和財政手段方面得到充分的資源并且有明確的運行程序,而這種資源配置還遠不理想,導致協調效率低下。

第一, OSS機制下各成員國的DPAs均需在相關領域專業性較強的工作人員對復雜且煩瑣的跨境數據處理活動進行處理,但多數監管機構在調查資源和執行人手方面嚴重不足。挪威數據保護機構國際負責人Tobias Judin提到,他們每周都需要向歐洲各DPAs分發多份裁定草案,這些裁定往往需要在各監管機構之間往來多次,期間受到官僚習氣的嚴重影響,效率低下。因而這種由一國單一數據保護機構負責處理的方式是否有意義、是否具備可行性會受到質疑。第二,DPAs需要同時應付可能來自各國的數據主體的投訴。在OSS機制下,在各歐盟國家地區開展運營的公司一旦被投訴,案件通常會被移交至其歐洲總部所在的國家,由該成員DPA主導調查工作。如針對亞馬遜的訴訟就落在了盧森堡這個小國身上;荷蘭應付的是Netflix;瑞典有Spotify;愛爾蘭的任務相對較重,需要負責Meta/Facebook、WhatsApp和Instagram,谷歌旗下各項服務,Airbnb、雅虎、Twitter、微軟、蘋果和LinkedIn。大量復雜的GDPR訴訟已經給愛爾蘭監管機構造成巨大壓力,OSS機制下的跨國協作則因繁瑣的文書工作而被迫放緩。部分歐盟成員國家(如奧地利、保加利亞)提出GDPR設置的過低投訴門檻和大量重復投訴嚴重妨礙了監管部門的正常運作,強大的數據主體權利給執法帶來了巨大現實壓力。(29)王融,朱軍彪.GDPR兩周年:來自歐盟內部的反思與啟示[EB/OL].[2023-06-18].轉引自“騰訊研究院”:https://www.tisi.org/14590/.第三,隨著大數據、神經網絡、機器學習等技術的飛速發展,數據跨境處理行為的大量增長,如何穿透數據及新型技術的迷霧,有效地監管新型業態,保證各DPAs以相同的方式處理投訴(包括使用相同的表格),加快跨境案件的信息分享速度,確保各國家/地區的規程間能夠無縫對接,提高OSS機制下處理數據跨境案件的效率亦成為OSS機制下所有監管機構亟需解決的難題。

(二) OSS機制導致管轄競擇現象的出現

GDPR嘗試改變“95指令”時代由于數據保護規則碎片化導致的歐盟境內跨國公司可以挑選司法監督執行機制的現象,(30)Md.Toriqul Islam, Mohammad Ershadul Karim.Extraterritorial Application of the EU General Data Protection Regulation: An International Law Perspective[J].IIUM Law Journal, 2020,28(2).但OSS機制卻為跨國公司提供了在歐盟境內“管轄競擇(forum shopping)”的可能,(31)Pamela K. Bookman.The Unsung Virtues of Global Forum Shopping[J].NOTRE DAME law review,2017,92(2).這種所謂的管轄競擇本質是數據控制者、處理者以及數據主體對跨境案件管轄機構的選擇,是各成員國數據保護當局之間管轄權的爭奪。

1.OSS機制下的管轄競擇現象

OSS機制對各國DPAs間的相互協調提出了更高的要求,而各國DPAs間執法水平不一,這使得數據處理者有機會選擇在監督力度較弱的歐盟成員國落戶以規避管制風險,數據主體選擇對自身利益最大的DPA負責跨境案件。

一方面,對于數據控制者和處理者而言,他們可能利用OSS機制選擇最有利自身的監管機構進行案件管轄,實際上美國的多個科技巨頭(如Google、Facebook、Microsoft、Twitter)正是通過選擇司法管轄區來定位他們在歐盟的總部。(32)Adam Satariano, New Privacy Rules Could Make This Woman One of Tech’s MostImportant Regulators[N].N.Y. TIMES (May 16, 2018) [hereinafter Satariano,New Privacy], https://www.nytimes.com/2018/05/16/technology/gdpr-helendixon.htmlhttps://www.nytimes.com/2018/05/16/technology/gdpr-helendixon.html.如考慮到商業環境、企業所得稅稅率以及可用于DPA執法的資源等因素,人們普遍認為愛爾蘭是歐盟境內一個不太熱衷于執行GDPR的司法管轄區——根據愛爾蘭數據保護委員會2020年的年度報告,愛爾蘭的DPA作為“一站式”服務機制下的主導機構涉及跨境案件共196起,但只有4起案件受到了最終裁決,對1起跨境案件作出了處罰。那么跨國公司可能傾向于考慮將主要實體設置在愛爾蘭,較為具有代表性的就是谷歌公司就OSS機制的管轄異議訴法國數據保護機構(CNIL)的案件,(33)EU: How CNIL fined Google - insights on the One Stop Shop mechanism[EB/OL].[2023-03-11]. https://www.dataguidance.com/opinion/eu-how-cnil-fined-google-insights-one-stop-shop.谷歌公司試圖從數據處理決策層面進行架構設計,爭取對本方更有利的管轄。另一方面,對于數據主體而言,在案件含有跨境因素的前提下,他們可以選擇向其“慣常居住地、工作地點或被侵權地點”的歐盟成員國的DPA提交針對私營部門實體的投訴。而OSS機制從本質上為數據主體提供了挑選執法力度最大、投訴最方便的DPA的可能,(34)Joshua Blume, A Contextual Extraterritoriality Analysis of the DPIA and DPO Provisions in the GDPR[J].Georgia Journal of International &Comparative Law,2018,49.這使得數據主體在受到權利侵害時的投訴門檻大大降低。

2.管轄競擇現象出現的原因

OSS機制下出現競擇現象的根本原因是各國對于GDPR執法力度的差異。GDPR包含超過69條所謂的“開放條款”,歐盟成員國DPAs對GDPR的解釋和罰款標準存在分歧,使得歐盟數據保護法在整個歐洲執行不一致。(35)BrianDaigle,Mahnaz Khan.The EU General Data Protection Regulation: An Analysis of Enforcement Trends by EU Data Protection Authorities[J].Journal of International Commerce &Economics, 2020.以各國的處罰情況為例,根據GDPR第58條,DPAs對違反GDPR的行為進行處罰的方式可以包括警告、譴責、命令數據控制者或處理者遵守規定、施加限制、撤回認證以及實施罰款。根據GDPR第83(5)條,行政罰款最高可達2000萬歐元或最高可達被處罰企業上一財政年度全球營業額的4%,兩者以較高的為準。但最高額的規定并不等于被調查企業一定會受到高額處罰,因為根據GDPR第83(2)條的規定,監管機構在決定是否處以行政罰款和決定個案中的行政罰款數額時需要考慮的因素眾多,(36)具體以下事項:(1)侵權的性質、嚴重性和持續時間、相關數據處理行為的范圍或目的,以及受影響的數據主體的數量和他們遭受的損害程度;(2)數據控制者或處理者是否存在故意或疏忽;(3)數據控制者或處理者是否為減輕數據主體遭受的損害而采取了行動;(4)數據控制者、處理者實施的數據保護技術和組織措施;(5)數據控制者或處理者過往是否存在違規處理數據的行為;(6)數據控制者或處理者與監管機構的合作程度;(7)受侵權影響的個人數據類別;(8)侵權行為的方式;(9)數據控制者或處理者先前采取的措施;(10)數據控制者或處理者是否遵守行為守則與認證機制;(11)適用于案件情節的任何其他加重或減輕因素。導致歐盟內部數據保護的執法步調、舉措等難以協調一致。

截至2023年3月1日,GDPR實施五周年之際,CMS執法跟蹤數據庫中記錄了總共1576起罰款(與GDPR執法跟蹤報告2022相比增加545起),罰款總額約為27.7億歐元(與GDPR執法跟蹤報告2022相比增加11.9億歐元)。在2018年至2023年的報告期內,所有國家的平均罰款約為1755366歐元。(37)5years of GDPR - what has happened so far[EB/OL].[2023-04-17]. https://cms.law/en/int/publication/gdpr-enforcement-tracker-report/numbers-and-figures.西班牙數據保護局在發出罰單方面表現最為活躍,共發出583份罰款,其他罰款活動相對較高的國家是意大利、羅馬尼亞和德國,它們開出了60至246張(已公布)罰單,但這三個國家加起來的罰款比西班牙一個國家還少。這種差異可能有兩個原因:一是參與評估案件和罰款的DPA及其工作人員的數量,擁有更多可利用的執法資源,或是更重視GDPR執法的DPA更專注于追究數據處理違規行為;二是各國DPA執法方式的側重點不同,一些強調在罰款前進行協商,德國數據保護機構認為在監管的同時更應作為企業數據合規的引導者提供建議而非一味處罰,因此懲罰力度較輕,累計罰金數額在GDPR生效一年才達到100萬。相比之下,一些國家可能直接開出巨額罰單,如英、法兩國的數據保護機構在GDPR生效不久便開具了數百萬金額的罰單。

(三) OSS機制影響各國DPAs的獨立性

GDPR不僅協調整個歐洲的隱私和數據安全法律,而且重塑了歐盟地區的實體開展數據保護的方式。(38)Schildhaus, Aaron. EU’s General Data Protection Regulation GDPR: Key Provisions and Best Practices[J].International Law News,2018,46(2).作為在行政執法層面更具操作性的協調工具,OSS機制引入跨境案件中領導監管機構的強制干預體系,但這一機制卻在很大程度上使得DPA將自己主管案件的權力讓渡給LSA及歐盟層面的EDPB,影響各國DPAs的獨立性。

1.CSA的參與可能影響LSA的獨立性

OSS機制旨在降低監管機構的協調難度和企業的合規成本,保障歐盟內部規制的連續性、一致性和確定性。然而在現實中當各成員國數據保護機構的國內運作方式和監管力度大不相同時,OSS機制下LSA的決策權如何與涉案的其他CSA的參與決策權相互平衡是需要回答的一個問題。(39)方芳,劉宏松.政策環境、外部沖擊與歐盟個人數據保護政策形成[J].世界經濟與政治,2023,513(05).因為OSS機制允許歐洲各監管機構對于LSA的最終決定發表意見,甚至提出疑問,此時其他監管機構會影響LSA處理跨境案件的獨立性。

從歐盟成員國依據GDPR罰款金額最高的10個案件中的違規類型可以看出,處理活動的法律依據不足最有可能導致巨額罰款(占到1/2),而不符合GDPR一般數據處理原則則容易導致巨額罰款。最高的最終罰款仍然來自盧森堡對亞馬遜歐盟公司的罰款,數額為7.46億歐元,依據GDPR罰款金額最高的10個案件中有一半現在都在數億歐元的范圍內。在其他監管機構介入后,愛爾蘭對WhatsApp的罰款從最初的3000萬歐元增加到2.25億歐元。并且有其他監管機構的參與后,歐盟某些國家的DPAs會傾向于對美國科技巨頭等標志性公司實施更多制裁,這是因為大公司更容易受到公眾輿論的影響,發生丑聞或影響公司信任的情況(如數據安全缺失的重大案件,非法利用數據的行為),或是政治目的都可能導致一些DPAs對負有責任的公司實施懲戒性制裁,(40)Voss W. Gregory, Hugues Bouthinon-Dumas.EU General Data Protection Regulation Sanctions in Theory and in Practice[J].Santa Clara High Technology Law Journal, 2020-2021,37(1).導致這些科技公司可能會出于“對制裁的不成比例的恐懼”而過度合規。(41)Robert C.Bird,Stephen Kim Park.Turning Corporate Compliance Into Competitive Advantage[J].University of Pennsylvania Journal of Business Law,2017,19.

2.EDPB的最終決策權可能引發DPAs“向底競爭”

根據GDPR的規定,DPA應該是“獨立的”,這種獨立性更多地被理解為獨立于政府和市場參與者,而不是歐盟境內的一般公民,因為GDPR的目標是特別保護數據主體的權利。而在OSS監管程序下,當發生爭議時,EDPB充當GDPR一致性適用的“看門人”參與進跨境案件的處理。(42)Paul de Hert, Vangelis Papakonstantinou.The new General Data Protection Regulation: Still a sound system for the protection of individuals?[J].Computer Law &Security Review, 2016,32(2).那么EDPB實際上對所有的情況都有最終決定權,即使個別DPA可能持反對意見,這意味著歐盟國家數據保護機構對此類案件的主權和管轄權失去獨立性,不再擁有在本國控制歐盟數據保護規則的完全主權。(43)Hielke Hijmans.The EU as a constitutional guardian of internet privacy and data protection[D]. (PhD thesis, University of Amsterdam, 2016:386. downloaded from UvA-DARE, the institutional repository of the University of Amsterdam (UvA) .DPAs將變得更加“歐洲化”,困在自己的國家規則和歐盟法律之間,可能傾向于避免將其權力“外包”給EDPB,并試圖通過在OSS機制內的合作來解決問題。OSS機制試圖統一整個歐盟的數據保護水平,但歐盟在數據治理議題上的向心力不足,在超國家層面貫徹GDPR規則時,對數據保護標準就高還是就低意見不一致,監管標準差異較大,可能導致“集體行動困境”。(44)Anu Bradford.The Brussels Effects:How the European Union rules the world[M].New York: Oxford University Press,2020:137.于是在EDPB的強勢地位下,GDPR的直接適用性可能引發“向底”競爭的問題——尤其是本身就擁有強大數據保護文化與傳統的國家(如德國),可能不得不屈服于EDPB更溫和的意見,以較低的保護水平為代價來確保一致性的實現。(45)AndraGiurgiu,Tine A.Larsen.Roles and Powers of National Data Protection Authorities[J]. European Data Protection Law Review,2016,2(3).

四、歐盟GDPR中“一站式”監管機制的啟示

OSS機制彰顯了歐盟在數據保護執法領域的前瞻性和戰略性,有利于在法律框架約束下形成有序、自由的數字服務市場,未來該機制的實施效果主要取決歐盟能否為各國DPAs獲取更多資源配置,以及各成員國是否愿意加強彌合差異性。我國亦應當從歐盟的合作執法機制中受到啟發,一方面積極應對歐盟在數據領域的管轄權擴張可能帶來的風險,另一方面反思我國的數據保護機構的設置,進一步提高數據領域執法的效率與透明度。

(一) 積極應對歐盟執法管轄權的擴張

歐盟作為數據保護領域的“全球行動者”,其協調成員國合作處理跨境案件的OSS機制對全球數字服務市場內的隱私監管、商業戰略設計與執行產生了本質影響。面對歐盟的執法管轄權擴張,我國政府和企業均應在戰略層面做好應對。

1. 通過法律手段回應監管工具輸出

歐盟致力于在數字領域打造“歐洲標準”,通過“引領”“掛鉤”與“合作”等方式,擴大其在全球數字治理領域的話語權。(46)薛巖,趙柯.歐盟數字治理:理念、實踐與影響[J].和平與發展,2022,(1).當前我國已出臺的《數據安全法》《個人信息保護法》《網絡安全法》等建立了較為完善的數據安全管理制度、風險監測機制以及個人信息保護工作框架。當前應在總體國家安全觀戰略下以更積極主動的姿態參與全球數據治理規則的制定,既要保護數據安全,應對歐盟在數據執法領域的監管工具輸出,又要強化執法效力,防范個人數據域外監管帶來的消極影響。

首先,推動完善數據保護法治框架,將數據保護監管體系構建、監管權力配置和職權設定作為立法重點。其次,加強相關配套制度的建設來保障跨境數據執法活動的實施,如網信部門應牽頭制定個人信息分類分級、用戶畫像和定向推送、SDK個人信息處理、個人信息可攜帶權和刪除權行使、個人信息對外提供與出境、個人信息泄露通知等規范性文件,在此基礎上匯總設計數據跨境場景的執法案例,為相關部門在具體執法過程中提供執法尺度與標準。(47)丁曉東.個人信息的雙重屬性與行為主義規制[J].法學家,2020,(1).最后,加強與其他國家數據保護機構的合作以解決相關案件的跨境執法難題。與立法管轄權和司法管轄權相比,執法管轄權的屬地性最為突出,(48)肖永平.“長臂管轄權”的法理分析與對策研究[J].中國法學,2019,(6).在數據保護領域能否跨越國界有效地行使查詢、調查、扣押和行政罰款等執法活動,很大程度上取決于他國的意愿。(49)Benjamin J.Keele.Information Sovereignty:Data Privacy,Soverrign Powers and the Rule of Law[J].International Journal of Legal Information,2018,46(2).因而,有必要借助“數字一帶一路”等平臺開展相關的國際合作,一方面在“互惠”條件下開展執法合作,推動“雙向”的國際司法協助;(50)Benjamin Greze.The Extra-territorial Enforcement of the GDPR:A Genuine Issue and the Quest for Alternatives[J].International Data Privacy Law,2019,9(2).另一方面通過提供法律援助、信息共享和聯合調查等參與全球網絡合作,積極參與以“協調共同的執法行動”為宗旨的“全球隱私執行網絡”(GPEN)。(51)陳詠梅,伍聰聰.歐盟《通用數據保護條例》域外適用條件之解構[J].德國研究,2022,37(02).

2.通過數據合規部署全球數字經營戰略

GDPR已成為具有國際示范乃至通行效力的監管工具輸出至其他國家和地區,憑借廣泛的域外適用效力促使出海企業適應并滿足其數據合規要求。盡管當前在OSS機制下存在出現管轄競擇的可能,但可以預見未來GDPR下OSS機制的執法力度會進一步加強,會不斷細化“main establishment”的認定從而避免這種管轄困境的出現;因而就我國境內諸多與歐洲有業務往來企業的法律戰略而言,努力開展合規以符合歐盟的個人數據保護標準是對企業更有成效的策略。

其一,相關企業應及時跟進歐盟立法動態,建設并完善企業內部的數據安全內控機制,設置數據合規專員開展數據影響評估、數據泄露通知等制度構建,最大限度降低GDPR強化監管帶來的沖擊。其二,明確企業在歐盟境內的主要實體并賦予其符合GDPR下認定主要實體的商業決策權,參考OSS機制中領導性監管機構的設置,以全球化視野重新考慮向歐盟服務相對應的數據中心或服務器的地理區位選擇,在對歐盟境內其他關聯主體的控制權方面完善戰略布局,以應對數據跨境傳輸限制及GDPR長臂管轄帶來的國際法律沖突難題。其三,注重GDPR域外管轄的兜底效力,GDPR第3條以及EDPB發布的《域外適用指南》對其域外適用的對象與范圍進行了解釋與界定,(52)本條例適用于歐盟由不在處理活動所在的歐盟設立的控制者或處理者處理歐盟境內的數據主體的個人數據與:(a)向歐盟內的數據主體提供商品或服務,無論是否需要該數據主體支付對價;或(b)監控數據主體的行為,只要其行為發生在歐盟領域內。無論這個數據處理活動發生在何處,哪怕是國外的云儲存都要滿足“設立商業實體(establishment)”標準和“針對性提供服務(targeting)”標準。(53)Bu-Pasha, Shakila. Cross-Border Issues under EU Data Protection Law with Regards to Personal Data Protection[J].Information &Communications Technology Law,2017,26(3).未來OSS機制下廣泛的“針對性提供服務”標準將成為口袋執法工具“粉墨登場”,成為企業全球化運營數據合規的主要風險。對于習慣性的離岸遠程運營開展全球化數字服務的商業模式而言,可以考慮進行必要的數據隔離或架構獨立,以最大程度應對與化解風險。

(二)反思我國數據保護機構的現有設置

我國《第十四個五年規劃和2035年遠景目標綱要》提出建設職責明確的政府治理體系,要求數據保護機構與監管模式改革重視執法專業團隊組建與技術能力建設的同時提高執法協作的效率,既要避免因資源保障不到位而可能導致被動局面,也要防止僵化執法阻礙新型業態的發展。

1.改革數據保護領域“多頭治理”的模式

我國《個人信息保護法》第60條及《數據安全法》第8條共同規定了“國家網信部門統籌協調+行業主管部門分工監管”的“多頭治理”模式。這種監管模式的設計初衷是充分調動國家機器的各部分處理數據侵權案件,最大程度體現數據安全監管的專業性,但在實際運行中存在很大的弊端:一是未能清晰、細致地明確各監管部門之間的權責分工與界限,監管邊界有明顯的重合地帶、存在執法尺度不一等問題;(54)王錫鋅,彭錞.個人信息保護法律體系的憲法基礎[J].清華法學,2021,15(3).二是各部門自身利益訴求差異導致協調困境,甚至出現部門間競爭性監管執法的情形,難以實現分散化治理的目標。這種“九龍治水”的監管模式亟待被改進升級為統一、協作的監管和執法體系。

OSS機制有利于增強LSA處理跨境案件的威懾力和權威性。但我國目前尚不適宜設立完全獨立的數據監管部門,一是因為獨立、專門的數據監管機構需要極高的監管標準、健全的行政體制以及完善的市場經濟等制度資源的支持,而我國長期以來奉行行業執法體制,目前不具備設立獨立監管機構的條件;二是數據監管具有高度復雜性和專業性,數據監管業務需要龐大且專業化的隊伍,獨立機構難以獨立承擔各領域的數據監管工作。我國的互聯網和數據經濟發展迅猛,單個部門將對跨區域的數據案件應接不暇,需要具有全局視野的機構合作來解決數據治理問題。(55)唐匯西.網絡信息政府監管法律制度研究[M].武漢:武漢大學出版社, 2015:79.但我國可以嘗試構建“1+X”的數據保護機構體系,(56)焦娜.歐盟國家數據保護機構的運行機制研究[J].情報雜志,2022,41(5).建立全方位與多主體相結合的中國特色數據保護機構體系。具體而言,由國家網信部門與其他監管部門形成有效的協同配合,(57)唐要家.中國個人隱私數據保護的模式選擇與監管體制[J]．理論學刊,2021,(1)．在網信部門牽頭下,由不同部門對同一數據跨境案件聯合監管,以統一的監管方式和監管標準集中解決,形成專項執法監管合力。2020 年廣東省人大常委會發布的《廣東省數字經濟促進條例》(征求意見稿)第二十四條體現了對這種模式的嘗試,通過構建相對集中的綜合監管模式,提高應對系統性風險的能力。

2. 借鑒歐盟OSS監管中的管轄協調模式

我國《網絡安全法》僅用寥寥數言點出了數據保護機構間應進行統籌協調,但缺乏具體實施細則,實踐中仍存在多頭執法的現象,網信部門行使統籌協調職能仍存在困境。歐盟的OSS機制下DPAs間開展結構化合作的經驗可為我國數據監管機構的設定、數據監管權力配置提供參考。

第一, 進一步細化網信部門統籌跨區域保護案件的職責,同時賦予網信部門牽頭正式協調機制和非正式協調機制的權力。在正式協調機制中,網信部門牽頭組織行政執法聯席會議,對部門權限爭議及聯合執法行動方案有最終決定權;在非正式協調機制中,由網信部門監督舉行不定期研討會,解決各監管部門之間在基層執法實踐中出現的共性與個性問題。(58)戢浩飛.行政執法體制改革研究[M].北京:中國政法大學出版社,2020:282.第二,在制度層面完善辦案信息共享機制。歐盟提供IMI平臺促進監管機構之間的信息共享,提升了對跨境案件的執法效率。我國可借鑒上述經驗創建數據保護案件信息共享平臺,通過案件信息及政務數據共享提高案件處理效率,各領域的行業主管部門進行行業監管時發現危害數據安全或個人隱私的執法線索時,可通過該平臺上報相關線索,在網信部的協調下由特定部門處理,提升業務協同水平。第三,建立區域執法協調常態化機制。數據處理具有明顯的跨區域性和空間不確定性,因而有必要建立相關異地執法協調機制,充分發揮行業主管監管部門專業優勢,在網信部的統籌下由行業主管監管部門開展特定領域的個人信息執法工作,同時接受權利人投訴并調查違法行為等。(59)崔聰聰.個人信息保護的行政監管及展開[J].蘇州大學學報(哲學社會科學版),2022,43(05).值得注意的是,我國港澳等地區亦在全球數據跨境流動中扮演著重要角色,因此對于中國港澳地區與大陸內地數據執法協調問題理應給予明確規定,統籌協調執法資源、打破監管壁壘,盡快落實國內個人數據的轉移原則與相關政策。

(三)切實提高數據保護領域的執法水平

開展數據保護領域的執法,網信部門及相關監管機構需要配備囊括法律、技術、管理、國際合作等領域的專業人員,還需要高效的組織體系保障各機構等密切配合、高效聯動,這要求國家加強數據監管部門的資源配置。此外,還應考慮到執法過程中的程序正當原則以及靈活的執法思路,切實提高執法水平。

1.確保數據保護領域執法的程序正當

國家保護義務的程序保障拓展到行政執法領域,出現了所謂的“正當法律程序”。數據保護領域的“正當法律程序”要求數據主體、數據控制者及處理者能在正當權利受到侵害時候獲得公平透明的行政程序保障和有效的權利救濟:在必要時能夠參與聽證過程,數據主體可以在訴訟中提出停止侵害、消除影響、要求賠償的途徑,并針對監管機構的不作為提起訴訟。我國數據保護機構在執法層面應當盡可能落實上述要求。

一方面,在處理技術復雜的數據場景下,與個人信息活動監控與處理關聯的執法行為、政府決策應進一步透明化,(60)施密特·阿斯曼.秩序理念下的行政法體系建構[M].林明鏘,等譯,北京:北京大學出版社,2012:263-264.此時公民對于政府行為的預期不能僅僅依賴于抽象的法律規定,需要政府相關部門履行信息披露和解釋義務,履行報告、評估、糾正與刪除義務,增加數據處理活動與決策的透明度,(61)Jack M. Balkin.The Constitution in the National Surveillance State[J].Minnesota Law Review, 2008,93(1).這有利于公共問責機制的展開。另一方面,歐盟各成員國DPAs在OSS機制下重視社會公眾的參與度,借助重視公民投訴獲取大量案件信息,尤其是影響廣泛的數據跨境案件的信息?？梢越梃b上述經驗暢通公民進行權利救濟的渠道,同時在相關案件處理中引入聽證程序。Google LLC案件中雙方關于是否適用OSS機制的最大爭議便是數據處理者是否參與相關程序的聽證環節。數據保護領域的案件往往涉及復雜的事實、證據認定,為保證數據控制者、處理者以及數據主體的權利,利益相關方應當被賦予對證據和調查報告發表意見的機會,網信部門可以考慮召開聽證會并設置對抗式舉證環節,但涉及到國家主權與網絡安全等問題,應當根據比例原則適當限制當事人的程序性權利。

2.考慮采用階段性、場景化的執法思路

GDPR生效后的最初半年時間,歐盟多數DPAs僅針對個人數據侵權活動開展“探索性調查”,(62)Paul Breitbarth.The Impact of GDPR One Year On[J].Network Security,2019,(7).主要工作內容是向不符合GDPR的公司和商業組織提供指導和建議,督促其開展有效的數據合規整改。這種留有余地的“柔性”執法方式不僅給相關企業提供了建立合規機制、完善自身管理的過渡期,也使監管機構有機會根據實踐填補政策空白,調整執法方式?！疤剿餍哉{查”階段結束后,各DPAs對跨境案件的執法力度逐步加大,對大型跨國科技公司的執法力度增強。我國在對于數字服務市場范圍內的數據處理者開展監管時,亦可設置“探索性”調查階段,根據數據保護影響評估的客觀結果,盡可能避免形式化監管和“一刀切”的隱私監管政策導致的非公平的數字服務市場競爭秩序。還需要遵循比例原則的要求,考量行政措施與其他機制之間的銜接,實現部門法工具之間的協調,(63)王錫鋅.個人信息國家保護義務及展開[J].中國法學,2021,219(1).在選擇制裁方式與程度時充分考慮不同場景,而非片面追求嚴苛的執法效應。

一方面,對于中小企業的監管以扶持引導為主,注重落實中小企業的“豁免權”,避免因為過度執法給中小企業及相關行業發展帶來滅頂之災,促進數字服務市場健康持續發展,警惕數據保護執法領域“馬太效應”的出現。另一方面,考慮開展針對超級互聯網平臺治理的專項執法,如谷歌、微軟、亞馬遜等全球互聯網公司是集中消費者、商家、物流、交易等多重要素的數字基礎設施,海量個人信息通過這些數據平臺進行交互,這些平臺用戶數量龐大、業務類型復雜、資本運作集中,對個人隱私安全構成了巨大的威脅,而在依賴信息流通帶來效率與福利的數字時代,每個人都無法抽身而出。(64)Jack M. Balkin.Free Speech in the Algorithmic Society: Big Data, Private Governance, and New School Speech Regulation[J].U.C.Davis Law Review,2018,51.我國互聯網平臺發展勢頭迅猛,有必要開展針對大型互聯網平臺個人信息處理活動的專項執法,及時解決存在的強制索權、一攬子授權和違法共享等問題,切實提高數據保護領域的執法水平。

結 語

互聯網和移動終端時代的個人數據跨境處理幾乎不可避免,對于數據跨境活動的監管,歐盟司法轄區內法律框架已漸趨成熟,以一個統一體的姿態更加自信地向“數字主權”和“數字單一市場”的立法目標邁進。(65)Statement by Vice-President Ansip and Commissioner Jourová ahead of the entry into application of the General Data Protection Regulation[EB/OL].[2023-04-19].https://ec.europa.eu/commission/presscorner/detail/en/STATEMENT_18_3889.毋庸諱言,GDPR“一站式”監管機制在運行中存在一些困境,但該機制為歐盟境內數據跨境案件的執法合作提供了良好的協調機制,其背后蘊含的數據保護理念和價值傾向也將深刻地影響全球數字產業的發展,以及未來各國數據保護立法與執法的走向。我國的數據保護立法頂層設計步穩蹄疾,在積極應對歐盟等域外國家的監管工具輸出、建立完善的數據保護法律框架的同時,應關注到數據領域的執法監管,反思當下數據保護機構的設置及執法模式的弊端,在切實提高數據保護水平的同時促進規范數字服務產業的競爭秩序與行業規則。應當盡快在立法與執法層面做好制度設計,平衡數據流動與數據安全,早日實現互聯網被賦予的促進“全球互聯互通”之愿景。