欧盟数据治理中的“一站式”监管:运行机制、实施困境及启示

陈 统

(南开大学 法学院,天津 300350)

一、引 言

网络技术的迅猛发展为空前规模的数据交换和个人资料共享创造了条件,但这与保护个人隐私的目标背道而驰。欧盟意识到网络对隐私权的冲击需要与时俱进的保护措施,于1995年通过《欧洲数据保护指令》(European Data Protection Directive,以下简称“95指令”),建立了最低的数据隐私和安全标准,(1)Peter Hustinx.EU Data Protection Law: The Review of Directive 95/46/EC and the General Data Protection Regulation.AtMarise Cremona(eds.),New Technologies and EU Law[M].New York:Oxford University Press, 2017:148-151.试图解决欧盟成员国在个人数据保护领域标准“碎片化”的问题,但由于各国在实体法的规制力和程序法的执行力方面存在巨大的“监管鸿沟”,导致“95指令”成为一项“官僚主义”法规。(2)Woojeong Jane,Abraham Newman.Enforcing European Privacy Regulations from Below: Transnational Fire Alarms and the General Data Protection Regulation[J].Journal of Common Market Studies,2022,60(2).为克服“95指令”存在的弊端,欧盟于2016年通过《一般数据保护条例》(General Data Protection Regulation,以下简称GDPR),作为融合了国际政治博弈、产业经济竞争以及社会文化扩张等诸多元素的复杂综合体,GDPR构建了现代化的数据治理规范机制,为数据处理活动设定宽泛的地域管辖范围,其域外效力被带到最高水平;(3)Dulce Lopes. GDPR - Main International Implications[J].European Journal of Privacy Law &Technologies,2020.数据保护问题被统摄于欧盟“数字单一市场”的建设进程,与其他元素共同服务于欧盟在全球数字经济中谋求领先地位的总体布局。

为确保数据保护规则在欧盟成员国境内外的同质化适用,GDPR引入“一站式”监管机制(One-Stop-Shop Mechanism,以下简称OSS机制),适用于跨国企业在欧盟多个成员国均开设分公司且涉及数据跨境业务的情形,此时由领导性监管机构负责对欧盟境内该企业的数据处理活动进行监查执法。OSS机制突出成员国数据保护机构间的合作,通过扩张传统的属地管辖原则,在域内构建行政执法管辖的协调机制。然而自OSS机制实施五年以来,在实践运行中暴露了很多问题:如国家监管机构之间的合作,成员国对GDPR的解释和执行以及各国关于罚款和其他程序性制裁的标准存在较大差异;此外,有民权组织抱怨针对大型科技公司的数据跨境案件执法不足,甚至到了“GDPR危机点”的程度,(4)5years:GDPR’crisis point—ICCL report on EEA data protection authorities[EB/OL].[2023-05-21].https://www.iccl.ie/wp-content/uploads/2023/05/5-years-GDPR-crisis.pdf.欧盟数据保护委员会也将国家数据保护机构之间的“有效执法和高效合作”作为2023/2024年工作计划的重点。(5)EDPB Work Programme 2023/2024.Adopted on 14 February 2023[EB/OL].[2023-07-15].https://edpb.europa.eu/system/files/2023-02/edpb_work_programme_2023-2024_en.pdf.有鉴于此,本文拟厘清OSS机制下,欧洲数据保护委员会以及各成员国数据机构、司法机关等部门之间的联动关系,分析该机制在具体适用中面临的困境,以期为我国相关数据保护机构的执法合作及跨国企业的合规工作提供有益借鉴。

二、欧盟GDPR中“一站式”监管的运行机制

“一站式”监管的概念在欧盟的竞争、税收等领域立法中早已出现,(6)以竞争法为例,《欧洲经济区协定》(The Agreement on the European Economic Area,EEA) 第58条、第109条规定竞争法的实施包含一站式执法机制选项。数据保护法领域的“一站式”机制明确于GDPR前言第127段,设计初衷是在各国数据保护机构就跨境案件的管辖无法达成一致时提供解决方案,解决数据保护机构之间的权力划分、实践中合作的开展以及领导性监管机构的权限等问题。

(一)“一站式”监管的运行主体

GDPR第六章要求成员国设置独立的国家数据保护机构(National Data Protection Authorities,以下简称DPAs)负责监督GDPR的实施;同时,在欧盟层面设置数据保护委员会(European Data Protection Board,以下简称EDPB),协调成员国内数据保护机构的执法工作,增强GDPR适用的一致性。

1.国家数据保护机构

欧盟的个人数据保护有三大支柱:数据处理者的义务、数据主体的权利以及DPAs的良好运作,(7)Gloria González Fuster.Beyond the GDPR, above the GDPR[EB/OL].[2023-08-07]. Internet Policy Review.30 Nov2015.https://policyreview.info/articles/news/beyond-gdpr-above-gdpr/385.DPAs由每个欧盟成员国任命,拥有包括调查权、矫正权以及征收罚款等在内的权力,在行使权力时保持完全的独立性。行使调查权时主要以审计形式进行调查,拥有对相关数据、场所、设备等进行访问的权力;行使纠正权可以要求数据处理者或控制者删除数据、禁止处理数据或暂停数据流向第三方国家;授权和制发建议的权力则允许DPAs向相关主体提供建议,向从事某项工作的机构进行授权。GDPR还引入“单一权限”和“协作权限”两种权限,前者适用于相关数据控制或处理行为仅发生在某一成员国境内的情形,DPAs依据属地原则处理案件;而数据跨境案件的处理需要多个DPAs在欧盟数据保护委员会领导下开展合作,此时触发“协作权限”,GDPR提供了OSS机制、互助(Mutual Assistance)以及联合行动(Joint Operations)等多种有效方式促进DPAs开展合作执法,鼓励其调整运行机制以满足新的权利和义务需要。(8)Razvan Viorescu.2018 reformof EU data protcetion rules[J].European Journal of Law and public Administration, 2017,4(2).

GDPR实施中的前置性问题是案件主管管辖权的归属,(9)Marina krinjar Data Protection Reform: Challenges for Cloud Computing[J]. Croatian Yearbook of European Law and Policy, 2016,12.在OSS机制的“协作权限”下,欧盟各成员国的DPAs可能分别承担领导监管机构(Lead Supervisory Authority,以下简称LSA)和相关监管机构(Concerned Supervisory Authority,以下简称CSA)的角色。GDPR第56条(1)将数据控制者或处理者的“主要实体”(main establishment)所在地或唯一营业机构所在地的监管机构定义为领导监管机构;第36条明确主要实体应当实际有效地在数据处理的决策中做出主要决策。上述条文共同构成了确定LSA的法规框架——当一个组织在欧盟存在多个establishment时,“main establishment”所在地的DPA扮演LSA的角色,其他establishment所在地的DPA则承担CSA的职责。(10)Anderson, Stuart.Article 27, the Unknown GDPR Obligation[J].International Journal for the Data Protection Officer, Privacy Officer and Privacy Counsel, 2019,3(1).此外,Google Spain案(11)Case C-131/12, Google Spain SL and Google Inc. v Agencia Espa?ola de Protección de Datos (AEPD).和Weltimo(12)Mario Costeja González, ECJ, 13.5.2014 and Case C-230/14, Weltimmo s.r.o. v Nemzeti Adatvédelmi és Információszabadság Hatóság, ECJ, 1.10.2015.案的判决明确了某组织在欧盟只有一个establishment但数据处理行为影响他国权利主体时,唯一establishment所在地的DPA作为LSA领导调查,权利主体所在地的DPA可以考虑作为CSA加入调查的权限。

但GDPR未就一个机构在欧盟不具备establishment的情况作出规定,就此Working Party 29给出过指引,认为此时:(1)主要数据处理活动发生地所在的欧盟成员国;(2)受影响的个人所在的欧盟成员国;(3)收到个人投诉的欧盟成员国的监管机构有权管理,(13)Art. 29 Data Protection Working Party, WP191 (2012), p.19.然而这无疑会导致多个DPA都可以满足上述标准,使得OSS机制的适用成为问题。GDPR的立法初衷之一是避免出现公司通过在欧盟以外设立注册办事处来避免欧盟法律适用的现象,但在OSS机制下,欧盟哪一国的DPA可以对境外的数据控制者予以调查和执法?哪一国的DPA可以在影响多国的跨境案件中担任LSA?根据GDPR的规定,如果企业针对消费者住所地进行营销并提供商品和服务,如使用当地语言或货币,则表明该国对其商业行为具有管辖权。与之矛盾的是,相关判例明确如果企业注册地在欧盟以外,并且在欧盟没有分支机构,即它不是位于欧盟境内的数据控制者或处理者,(14)See Peter Pammer v. Reederei Karl Schlüter GmbH &Co. KG and Hotel Alpenhof v. Mr. Heller, Joined Cases C-585/08, C-144/09, ECLI:EU:C:2010:740.这种情况下究竟由哪一个欧盟成员国的监管机构来调查这种纯粹在欧盟以外(且在欧盟内没有分支机构)的数据跨境案件,成为OSS机制适用的难点。

2.欧盟数据保护委员会

GDPR第68(3)条规定了EDPB作为欧盟数据保护中心机构的地位——EDPB由各成员国监管机构的首长、欧盟数据保护监管机构的首长或代表组成,不仅负责解释GDPR核心概念的内涵,还有权就跨境数据处理的争议问题作出终局性决定。(15)Council of the European Union.Proposal for a Regulation of the European Parliament and of the Council on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data(General Data Protection Regulation) The One-stop-shop Mechanism[EB/OL].[2023-07-25].https: //data．consilium．europa．eu /doc / document /ST-6833-2015-INIT /en /pdf.OSS机制作为处理数据跨境案件的复杂的合作方式,EDPB有权作为争议解决机构介入,就相关问题做出最终的且具有约束力的决定,(16)Freiherr, Axel von dem Bussche, Anna Zeiter.Implementing the EU General Data Protection Regulation: A Business Perspective[J].European Data Protection Law Review,2016,2(4).以确保GDPR的一体化适用。根据欧盟的One-Stop-Shop Leaflet,EDPB可以介入的情况包括:(1)发生于OSS监管机制内的争议(有关监管机构提出相关且合理的异议而主导监管机构不予听取),若LSA与CSA之间无法达成统一意见,LSA可以将案件递交给欧盟层面的EDPB,由EDPB根据案件的审议情况,通过投票表决的方式解决两个或多个国家数据监管机构之间的争议;(2)在确定主导监管机构问题上产生的分歧,在就哪一监管机构应当担任LSA的问题上发生争议时,EDPB具有争议解决机构的作用;(3)某一监管机构不遵守欧洲数据保护委员会的一体化意见。

(二)“一站式”监管的适用程序

GDPR要求欧洲经济区(欧盟28国+冰岛、挪威及列支敦士登)的数据监管机构在含有数据跨界因素的案件中紧密合作,在OSS机制的启动程序、协调程序中LSA和CSA都需要遵守明确的时间期限以及履行相应的责任。(17)Daigle, Brian, and Mahnaz Khan.The EU General Data Protection Regulation: An Analysis of Enforcement Trends by EU Data Protection Authorities[J].Journal of International Commerce &Economics, 2020,2020.

1.启动程序

相关案件在启动OSS监管程序之前,需要确定LSA以及CSA,该程序的目的主要在于在早期阶段确认职责,以避免后期出现对行政管辖权限问题的异议。在确立LSA之后最初受案的监管机构应当及时将案件通知LSA,并实际移交全案的监管主导权。LSA接到通知后应当决定是否开展OSS机制,即案件由LSA与其他有关成员国的监管机构共同处理,还是由最初受案的监管机构在本地层面处理。若LSA决定开启OSS机制,应当允许最初受案的成员国监管机构发表意见。据此,OSS机制作为传统属地管辖的补充,通过协调机制确定最适当的主管机关,由该主管机关通过非正式磋商的方式决定是否启动OSS程序。但OSS机制下LSA的选择并不是随意的,否则在其管辖范围内“最先”做出最终判决的机构将成为实际的LSA,整个GDPR的一致性将受到严重损害。(18)Jos De Wachte,Charlotte Peeters.Advocate General Rules on the One-Stop Shop Mechanism[J].European Data Protection Law Review,2021,7(1).为支持欧洲各数据保护机构之间的合作,欧盟委员会成长部(DG Grow of the EU Commission)联合EDPB等部门改造了一项现存的IT系统——内部市场信息系统(Internal Market Information system,以下简称“IMI系统”)。

图1 IMI系统中GDPR跨境案件的协助程序

IMI系统于GDPR开始实施的第一天即投入运行,以结构化及保密性的方式运行,保证数据监管机构之间共享信息。IMI系统允许LSA发起与所有CSA的信息交流,以搜集信息用于准备起草决定草案。对于符合GDPR管辖的跨境案件,将在IMI系统的中央数据库中注册,从这里启动不同程序,对于适用“一站式”监管的案件,IMI系统提供平台开展非正式磋商、传输LSA提交给CSA的决定草案或修正案,以及提交给CSA和EDPB的终局性一站式决定等信息。

2.协调程序

一旦确定适用OSS机制,欧盟各数据监管机构按照以下流程完成数据跨境案件的处理:(1)LSA必须在开始行动前明确所有相关CSA并使其顺畅参与到案件处理中,尽可能与CSA共享所有案件信息;(2)LSA在遵守相关国际程序规则(如向受影响者提供聆讯的权利)的基础上开展调查案件,在调查阶段,LSA可以通过相互协助的方式从其他监管机构搜集信息,或在各自国内法所允许的范围内进行联合调查,在此期间LSA与CSA之间的信息互通主要以电子方式提供;(3)一旦LSA完成调查,应尽快形成决定草案并传达给CSA,接收到决定草案的CSA有权提出反对意见,但是时效为收到草案起四周之内;当然参与合作的CSA也有建议权,可以在LSA形成草案前提交自己的审查决定草案,LSA应当最大限度参考CSA的草案;(4)若LSA同意CSA提出的反对意见,则应当在两周内重新提交决定草案并征求意见,得到所有CSA的认可后,由LSA将最终决定告知所有利益相关方,同时报备EDPB。(19)AndraGiurgiu,Tine A. Larsen.Roles and Powers of National Data Protection Authorities[J].European Data Protection Law Review,2016,2(3).如就决定草案发生争议且未达成共识,将触发一致性机制,以解决OSS机制下的权力排他性问题。(20)Andra Giurgiu, Gertjan Boulet and Paul De Hert.EU’s One-Stop-Shop Mechanism: Thinking Transnational[J].Privacy Laws and Business.International Reports,2015.此时,相关案件将提交EDPB,EDPB就案件作出有拘束力的决定,LSA必须根据EDPB的决定作出其终局性决定,通知DPAs及委员会并在EDPB网站上公布。

3.适用例外

“一站式”监管属于执法范畴下的合作机制,需要考虑法律适用问题的成员国间的合作沟通,一般情况下当LSA与CSA之间有不同意见时,EDPB可以做出终局性决定,但是此时是否保留CSA的诉讼权限是一个未解决的问题。具体而言,当监管机构并非LSA时,GDPR是否允许该监管机构就组织机构涉嫌违反监管规定的行为向本国法院提起诉讼,OSS机制是否会阻止此类诉讼的进行。对于这一问题GDPR并没有明确的规定,但2021年1月13日,欧盟法院(CJEU)总检察长在Facebook爱尔兰有限公司、Facebook Inc.、Facebook比利时BVBA诉比利时数据保护局的C-645/19案件中发表的意见为此种情形提供了参考。(21)See Facebook Belgium v. Gegevensbeschermingsautoriteit(C-645/19).他认为LSA是欧盟境内的数据保护首席调查者和执行者,在跨境数据处理方面具有普遍的管辖权;同时,这项管辖权也延伸到对违反GDPR的行为提起法律诉讼,而CSA对组织机构提起诉讼的权力应当被限制。总检察长限制了CSA采取单方面司法行动的权利,但列举了容许其采取行动的五种例外情况:(1)监管机构的行为超出GDPR的实质范围,如处理不涉及个人数据或明确被GDPR第2条(适用范围)排除的行为;(2)为履行法律义务、保护公共利益或行使政府权力而进行的必要处理;(3)由在欧盟没有机构的控制者进行的数据处理;(4)迫切需要采取行动保护数据主体的权利和自由的特殊和紧急情况(GDPR第66条);(5)LSA决定不处理的案件。换言之,虽然CSA可以向本国法院提起诉讼,但这项权利受GDPR的OSS机制和一致性原则的约束。

(三) “一站式”监管的适用原则

法国国家信息和自由委员会(Commission Nationale de l’information et des Liberte,以下简称CNIL)于2019年1月21日向GOOGLE LLC开出了5000万欧元的罚单,原因是其违反GDPR项下的透明性原则及与通知、同意有关的合规义务,遭到来自None Of Your Business和La Quadrature du Net两个组织的投诉。(22)The CNIL’s Restricted Committee Imposes a Financial Penalty of 50 Million Euros Against GOOGLE LLC, CNIL[EB/OL].[2023-04-23].https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc.这是欧盟首次适用OSS监管机制的案件,确立了闭门协商和客观标准两个原则。

1.闭门协商原则

CNIL在本案的审查过程中与相关成员国数据监管机构进行了非正式讨论,以闭门协商原则完成了法律适用问题的成员国间合作沟通,GOOGLE方面未出席听证或参与这些讨论。尽管GOOGLE以上述讨论违反正当程序为由抗辩,但CNIL提出GDPR中跨境案件是否适用OSS机制可以通过非正式讨论决定,这意味着利益相关方可以不参与相关讨论过程,由DPAs采取闭门沟通形式进行,即闭门协商原则。(23)闫飞.GDPR第一案:“一站式主管机制”适用问题研究[J].大连海事大学学报(社会科学版),2019,18(5).最终处罚决定采纳了CNIL的意见,认为采取闭门协商原则的依据有两个:在法律规定层面,GDPR第56条、第60条未赋予利益相关方参与此类讨论的权利,CNIL认定管辖权的过程不违反GDPR对OSS机制程序要求的规定;在事实认定环节,CNIL在处理案件时未剥夺GOOGLE进行书面答辩和口头陈述意见的权利,符合程序正义的要求。

2.客观标准原则

GOOGLE声称其在欧洲的经营行为以爱尔兰为中心且正考虑将部分欧洲数据控制者职能向谷歌爱尔兰转移,主张爱尔兰数据保护委员会应当根据GDPR第60条的合作条款担任LSA,要求法国最高行政法院审查CNIL是否具有管辖权。在审查决定中法院提出了客观标准原则(objective criteria)作为识别主要实体的依据,这种标准偏重于“行为主体”判断,而非“权利主体”识别,认为应从商业存在、与数据处理行为的联系等角度考察数据控制处理的决策流程,进而考量主要实体的存在。虽然GOOGLE的欧洲总部设立在爱尔兰,但是该总部在欧洲的主要职能并非具备“决策权”的mainestablishment,(24)Deliberation No.SAN-2019-001 of the Restricted Committee of the CNIL[EB/OL]. [2023-05-14]https://www.cnil.fr/sites/default/files/atoms/files/san-2019-001.pdf.且谷歌GOOGLE主张的向谷歌爱尔兰公司转移控制者职能将于2019年1月31日完成,而相关隐私政策于2019年1月22日起施行。最终法院判定,由于欧洲总部事实上并无对其他子公司的控制和决定权,导致谷歌公司不被认为在欧盟境内设立了主要实体,CNIL不适用OSS机制处理该案件,而是基于域外管辖效力享有对谷歌公司的行政处罚权,拒绝了谷歌有限公司撤销制裁的请愿书。尽管该客观标准原则目前仅在Google LLC案件中得以明确,但为个人数据保护各方提供了有效指引。

三、欧盟GDPR中“一站式”监管的实施困境

GDPR自诞生以来一直备受产业争议,OSS监管机制作为欧盟数据保护执法工具箱中的一个创新,其运作方式极大地影响了各国的数据保护机构、数据控制者及处理者甚至数据主体的权益。一方面,统一的执法尺度提高了执法稳定性,避免因审查处理尺度的不一致而造成的执法差异;另一方面,有效的执法协商机制为案件处理当事各方提供有效的便利,不仅使GDPR的影响力辐射到整个欧洲,保障GDPR公法价值的实现。(25)Brkan, Maja.Data Protection and Conflict-of-Laws: A Challenging Relationship[J].European Data Protection Law Review,2016,2(3).但该机制在实践中可能存在一些问题,欧盟各成员国的制度和文化传统存在差异,存在行政处罚案件与投诉的跟进不力、采取措施的反应时限与执法周期过长、执法透明度不高等问题,可能导致大型数据平台进行执法层面的管辖竞择,给欧盟各成员国的DPAs带来相当程度的执法压力,制约GDPR的实施效果。

(一) OSS协作程序不透明且效率低下

欧盟层面的立法者试图采取多种协调措施减少成员国不同法律规定与执行方式的差异,(26)EmiliaMiscenic,Anna-Lena Hoffmann.The Role of Opening Clauses in Harmonization of EU Law: Example of the EU’s General Data Protection Regulation (GDPR)[J].EU and Comparative Law Issues and Challenges Series,2020, 4.OSS机制正是其中一次有益的尝试,但是该机制本身存在欧盟成员国间的协作困境,可能导致跨境案件处理效率低下。

1.成员国DPAs之间的协作程序不透明

欧盟认为数据隐私作为一项基本人权不受时空地域限制,通过GDPR强大的域外管辖法律效力赋予欧盟数据保护主管机构实际行使“长臂管辖”的权力。“95指令”时代,欧盟各成员国的DPAs之间无须进行普遍的行政执法协调,但在GDPR时代,成员国的DPAs会经常出现管辖权冲突,需要明确冲突调和的机制解决数据跨境案件的管辖权。而OSS机制下LSA难以确定,管辖协作程序不透明等问题常常被诟病。(27)方芳,张蕾.欧盟个人数据治理进展、困境及启示[J].德国研究,2021,36(4).GDPR就是否适用OSS机制的听证程序、OSS机制下调查期间查阅文件、诉讼原告方是否有权参与调查以及翻译方式等问题未给出明确规定,欧盟成员国也未形成共识性答案,所以各方就程序透明度问题的争议与磋商往往也导致案件长期延误。如在Google LLC案件中,CNIL在讨论是否适用OSS机制的决定上并不透明,驳回了Google LLC公司出席听证的要求。CNIL认为其在审查过程中已经与相关CSA进行了非正式讨论,符合“以合乎正义的方式解决法律问题”的要求,(28)齐佩利乌斯．法学方法论[M]．金振豹,译.北京:法律出版社,2009: 3．然而Google LLC公司并没有出席参与这些讨论,因而主张上述讨论没有法律效果,由此形成了程序适用方面的争议和冲突。那么在OSS机制下,该机制适用与否?在行政执法的管辖、告知、听证、回避、记录及对抗等各个阶段,数据处理者或控制者以及数据主体究竟拥有何种程度的参与权? 当涉及复杂的程序、证据问题认定时,如何确保LSA确保审查决定的公正性?都是OSS机制未来需要明确的问题。

2.成员国DPAs间管辖协调的效率低下

OSS机制的设计初衷是在数据领域实现集中高效监管,但该机制的顺利运行必须确保各国DPAs在人员配置和财政手段方面得到充分的资源并且有明确的运行程序,而这种资源配置还远不理想,导致协调效率低下。

第一, OSS机制下各成员国的DPAs均需在相关领域专业性较强的工作人员对复杂且烦琐的跨境数据处理活动进行处理,但多数监管机构在调查资源和执行人手方面严重不足。挪威数据保护机构国际负责人Tobias Judin提到,他们每周都需要向欧洲各DPAs分发多份裁定草案,这些裁定往往需要在各监管机构之间往来多次,期间受到官僚习气的严重影响,效率低下。因而这种由一国单一数据保护机构负责处理的方式是否有意义、是否具备可行性会受到质疑。第二,DPAs需要同时应付可能来自各国的数据主体的投诉。在OSS机制下,在各欧盟国家地区开展运营的公司一旦被投诉,案件通常会被移交至其欧洲总部所在的国家,由该成员DPA主导调查工作。如针对亚马逊的诉讼就落在了卢森堡这个小国身上;荷兰应付的是Netflix;瑞典有Spotify;爱尔兰的任务相对较重,需要负责Meta/Facebook、WhatsApp和Instagram,谷歌旗下各项服务,Airbnb、雅虎、Twitter、微软、苹果和LinkedIn。大量复杂的GDPR诉讼已经给爱尔兰监管机构造成巨大压力,OSS机制下的跨国协作则因繁琐的文书工作而被迫放缓。部分欧盟成员国家(如奥地利、保加利亚)提出GDPR设置的过低投诉门槛和大量重复投诉严重妨碍了监管部门的正常运作,强大的数据主体权利给执法带来了巨大现实压力。(29)王融,朱军彪.GDPR两周年:来自欧盟内部的反思与启示[EB/OL].[2023-06-18].转引自“腾讯研究院”:https://www.tisi.org/14590/.第三,随着大数据、神经网络、机器学习等技术的飞速发展,数据跨境处理行为的大量增长,如何穿透数据及新型技术的迷雾,有效地监管新型业态,保证各DPAs以相同的方式处理投诉(包括使用相同的表格),加快跨境案件的信息分享速度,确保各国家/地区的规程间能够无缝对接,提高OSS机制下处理数据跨境案件的效率亦成为OSS机制下所有监管机构亟需解决的难题。

(二) OSS机制导致管辖竞择现象的出现

GDPR尝试改变“95指令”时代由于数据保护规则碎片化导致的欧盟境内跨国公司可以挑选司法监督执行机制的现象,(30)Md.Toriqul Islam, Mohammad Ershadul Karim.Extraterritorial Application of the EU General Data Protection Regulation: An International Law Perspective[J].IIUM Law Journal, 2020,28(2).但OSS机制却为跨国公司提供了在欧盟境内“管辖竞择(forum shopping)”的可能,(31)Pamela K. Bookman.The Unsung Virtues of Global Forum Shopping[J].NOTRE DAME law review,2017,92(2).这种所谓的管辖竞择本质是数据控制者、处理者以及数据主体对跨境案件管辖机构的选择,是各成员国数据保护当局之间管辖权的争夺。

1.OSS机制下的管辖竞择现象

OSS机制对各国DPAs间的相互协调提出了更高的要求,而各国DPAs间执法水平不一,这使得数据处理者有机会选择在监督力度较弱的欧盟成员国落户以规避管制风险,数据主体选择对自身利益最大的DPA负责跨境案件。

一方面,对于数据控制者和处理者而言,他们可能利用OSS机制选择最有利自身的监管机构进行案件管辖,实际上美国的多个科技巨头(如Google、Facebook、Microsoft、Twitter)正是通过选择司法管辖区来定位他们在欧盟的总部。(32)Adam Satariano, New Privacy Rules Could Make This Woman One of Tech’s MostImportant Regulators[N].N.Y. TIMES (May 16, 2018) [hereinafter Satariano,New Privacy], https://www.nytimes.com/2018/05/16/technology/gdpr-helendixon.htmlhttps://www.nytimes.com/2018/05/16/technology/gdpr-helendixon.html.如考虑到商业环境、企业所得税税率以及可用于DPA执法的资源等因素,人们普遍认为爱尔兰是欧盟境内一个不太热衷于执行GDPR的司法管辖区——根据爱尔兰数据保护委员会2020年的年度报告,爱尔兰的DPA作为“一站式”服务机制下的主导机构涉及跨境案件共196起,但只有4起案件受到了最终裁决,对1起跨境案件作出了处罚。那么跨国公司可能倾向于考虑将主要实体设置在爱尔兰,较为具有代表性的就是谷歌公司就OSS机制的管辖异议诉法国数据保护机构(CNIL)的案件,(33)EU: How CNIL fined Google - insights on the One Stop Shop mechanism[EB/OL].[2023-03-11]. https://www.dataguidance.com/opinion/eu-how-cnil-fined-google-insights-one-stop-shop.谷歌公司试图从数据处理决策层面进行架构设计,争取对本方更有利的管辖。另一方面,对于数据主体而言,在案件含有跨境因素的前提下,他们可以选择向其“惯常居住地、工作地点或被侵权地点”的欧盟成员国的DPA提交针对私营部门实体的投诉。而OSS机制从本质上为数据主体提供了挑选执法力度最大、投诉最方便的DPA的可能,(34)Joshua Blume, A Contextual Extraterritoriality Analysis of the DPIA and DPO Provisions in the GDPR[J].Georgia Journal of International &Comparative Law,2018,49.这使得数据主体在受到权利侵害时的投诉门槛大大降低。

2.管辖竞择现象出现的原因

OSS机制下出现竞择现象的根本原因是各国对于GDPR执法力度的差异。GDPR包含超过69条所谓的“开放条款”,欧盟成员国DPAs对GDPR的解释和罚款标准存在分歧,使得欧盟数据保护法在整个欧洲执行不一致。(35)BrianDaigle,Mahnaz Khan.The EU General Data Protection Regulation: An Analysis of Enforcement Trends by EU Data Protection Authorities[J].Journal of International Commerce &Economics, 2020.以各国的处罚情况为例,根据GDPR第58条,DPAs对违反GDPR的行为进行处罚的方式可以包括警告、谴责、命令数据控制者或处理者遵守规定、施加限制、撤回认证以及实施罚款。根据GDPR第83(5)条,行政罚款最高可达2000万欧元或最高可达被处罚企业上一财政年度全球营业额的4%,两者以较高的为准。但最高额的规定并不等于被调查企业一定会受到高额处罚,因为根据GDPR第83(2)条的规定,监管机构在决定是否处以行政罚款和决定个案中的行政罚款数额时需要考虑的因素众多,(36)具体以下事项:(1)侵权的性质、严重性和持续时间、相关数据处理行为的范围或目的,以及受影响的数据主体的数量和他们遭受的损害程度;(2)数据控制者或处理者是否存在故意或疏忽;(3)数据控制者或处理者是否为减轻数据主体遭受的损害而采取了行动;(4)数据控制者、处理者实施的数据保护技术和组织措施;(5)数据控制者或处理者过往是否存在违规处理数据的行为;(6)数据控制者或处理者与监管机构的合作程度;(7)受侵权影响的个人数据类别;(8)侵权行为的方式;(9)数据控制者或处理者先前采取的措施;(10)数据控制者或处理者是否遵守行为守则与认证机制;(11)适用于案件情节的任何其他加重或减轻因素。导致欧盟内部数据保护的执法步调、举措等难以协调一致。

截至2023年3月1日,GDPR实施五周年之际,CMS执法跟踪数据库中记录了总共1576起罚款(与GDPR执法跟踪报告2022相比增加545起),罚款总额约为27.7亿欧元(与GDPR执法跟踪报告2022相比增加11.9亿欧元)。在2018年至2023年的报告期内,所有国家的平均罚款约为1755366欧元。(37)5years of GDPR - what has happened so far[EB/OL].[2023-04-17]. https://cms.law/en/int/publication/gdpr-enforcement-tracker-report/numbers-and-figures.西班牙数据保护局在发出罚单方面表现最为活跃,共发出583份罚款,其他罚款活动相对较高的国家是意大利、罗马尼亚和德国,它们开出了60至246张(已公布)罚单,但这三个国家加起来的罚款比西班牙一个国家还少。这种差异可能有两个原因:一是参与评估案件和罚款的DPA及其工作人员的数量,拥有更多可利用的执法资源,或是更重视GDPR执法的DPA更专注于追究数据处理违规行为;二是各国DPA执法方式的侧重点不同,一些强调在罚款前进行协商,德国数据保护机构认为在监管的同时更应作为企业数据合规的引导者提供建议而非一味处罚,因此惩罚力度较轻,累计罚金数额在GDPR生效一年才达到100万。相比之下,一些国家可能直接开出巨额罚单,如英、法两国的数据保护机构在GDPR生效不久便开具了数百万金额的罚单。

(三) OSS机制影响各国DPAs的独立性

GDPR不仅协调整个欧洲的隐私和数据安全法律,而且重塑了欧盟地区的实体开展数据保护的方式。(38)Schildhaus, Aaron. EU’s General Data Protection Regulation GDPR: Key Provisions and Best Practices[J].International Law News,2018,46(2).作为在行政执法层面更具操作性的协调工具,OSS机制引入跨境案件中领导监管机构的强制干预体系,但这一机制却在很大程度上使得DPA将自己主管案件的权力让渡给LSA及欧盟层面的EDPB,影响各国DPAs的独立性。

1.CSA的参与可能影响LSA的独立性

OSS机制旨在降低监管机构的协调难度和企业的合规成本,保障欧盟内部规制的连续性、一致性和确定性。然而在现实中当各成员国数据保护机构的国内运作方式和监管力度大不相同时,OSS机制下LSA的决策权如何与涉案的其他CSA的参与决策权相互平衡是需要回答的一个问题。(39)方芳,刘宏松.政策环境、外部冲击与欧盟个人数据保护政策形成[J].世界经济与政治,2023,513(05).因为OSS机制允许欧洲各监管机构对于LSA的最终决定发表意见,甚至提出疑问,此时其他监管机构会影响LSA处理跨境案件的独立性。

从欧盟成员国依据GDPR罚款金额最高的10个案件中的违规类型可以看出,处理活动的法律依据不足最有可能导致巨额罚款(占到1/2),而不符合GDPR一般数据处理原则则容易导致巨额罚款。最高的最终罚款仍然来自卢森堡对亚马逊欧盟公司的罚款,数额为7.46亿欧元,依据GDPR罚款金额最高的10个案件中有一半现在都在数亿欧元的范围内。在其他监管机构介入后,爱尔兰对WhatsApp的罚款从最初的3000万欧元增加到2.25亿欧元。并且有其他监管机构的参与后,欧盟某些国家的DPAs会倾向于对美国科技巨头等标志性公司实施更多制裁,这是因为大公司更容易受到公众舆论的影响,发生丑闻或影响公司信任的情况(如数据安全缺失的重大案件,非法利用数据的行为),或是政治目的都可能导致一些DPAs对负有责任的公司实施惩戒性制裁,(40)Voss W. Gregory, Hugues Bouthinon-Dumas.EU General Data Protection Regulation Sanctions in Theory and in Practice[J].Santa Clara High Technology Law Journal, 2020-2021,37(1).导致这些科技公司可能会出于“对制裁的不成比例的恐惧”而过度合规。(41)Robert C.Bird,Stephen Kim Park.Turning Corporate Compliance Into Competitive Advantage[J].University of Pennsylvania Journal of Business Law,2017,19.

2.EDPB的最终决策权可能引发DPAs“向底竞争”

根据GDPR的规定,DPA应该是“独立的”,这种独立性更多地被理解为独立于政府和市场参与者,而不是欧盟境内的一般公民,因为GDPR的目标是特别保护数据主体的权利。而在OSS监管程序下,当发生争议时,EDPB充当GDPR一致性适用的“看门人”参与进跨境案件的处理。(42)Paul de Hert, Vangelis Papakonstantinou.The new General Data Protection Regulation: Still a sound system for the protection of individuals?[J].Computer Law &Security Review, 2016,32(2).那么EDPB实际上对所有的情况都有最终决定权,即使个别DPA可能持反对意见,这意味着欧盟国家数据保护机构对此类案件的主权和管辖权失去独立性,不再拥有在本国控制欧盟数据保护规则的完全主权。(43)Hielke Hijmans.The EU as a constitutional guardian of internet privacy and data protection[D]. (PhD thesis, University of Amsterdam, 2016:386. downloaded from UvA-DARE, the institutional repository of the University of Amsterdam (UvA) .DPAs将变得更加“欧洲化”,困在自己的国家规则和欧盟法律之间,可能倾向于避免将其权力“外包”给EDPB,并试图通过在OSS机制内的合作来解决问题。OSS机制试图统一整个欧盟的数据保护水平,但欧盟在数据治理议题上的向心力不足,在超国家层面贯彻GDPR规则时,对数据保护标准就高还是就低意见不一致,监管标准差异较大,可能导致“集体行动困境”。(44)Anu Bradford.The Brussels Effects:How the European Union rules the world[M].New York: Oxford University Press,2020:137.于是在EDPB的强势地位下,GDPR的直接适用性可能引发“向底”竞争的问题——尤其是本身就拥有强大数据保护文化与传统的国家(如德国),可能不得不屈服于EDPB更温和的意见,以较低的保护水平为代价来确保一致性的实现。(45)AndraGiurgiu,Tine A.Larsen.Roles and Powers of National Data Protection Authorities[J]. European Data Protection Law Review,2016,2(3).

四、欧盟GDPR中“一站式”监管机制的启示

OSS机制彰显了欧盟在数据保护执法领域的前瞻性和战略性,有利于在法律框架约束下形成有序、自由的数字服务市场,未来该机制的实施效果主要取决欧盟能否为各国DPAs获取更多资源配置,以及各成员国是否愿意加强弥合差异性。我国亦应当从欧盟的合作执法机制中受到启发,一方面积极应对欧盟在数据领域的管辖权扩张可能带来的风险,另一方面反思我国的数据保护机构的设置,进一步提高数据领域执法的效率与透明度。

(一) 积极应对欧盟执法管辖权的扩张

欧盟作为数据保护领域的“全球行动者”,其协调成员国合作处理跨境案件的OSS机制对全球数字服务市场内的隐私监管、商业战略设计与执行产生了本质影响。面对欧盟的执法管辖权扩张,我国政府和企业均应在战略层面做好应对。

1. 通过法律手段回应监管工具输出

欧盟致力于在数字领域打造“欧洲标准”,通过“引领”“挂钩”与“合作”等方式,扩大其在全球数字治理领域的话语权。(46)薛岩,赵柯.欧盟数字治理:理念、实践与影响[J].和平与发展,2022,(1).当前我国已出台的《数据安全法》《个人信息保护法》《网络安全法》等建立了较为完善的数据安全管理制度、风险监测机制以及个人信息保护工作框架。当前应在总体国家安全观战略下以更积极主动的姿态参与全球数据治理规则的制定,既要保护数据安全,应对欧盟在数据执法领域的监管工具输出,又要强化执法效力,防范个人数据域外监管带来的消极影响。

首先,推动完善数据保护法治框架,将数据保护监管体系构建、监管权力配置和职权设定作为立法重点。其次,加强相关配套制度的建设来保障跨境数据执法活动的实施,如网信部门应牵头制定个人信息分类分级、用户画像和定向推送、SDK个人信息处理、个人信息可携带权和删除权行使、个人信息对外提供与出境、个人信息泄露通知等规范性文件,在此基础上汇总设计数据跨境场景的执法案例,为相关部门在具体执法过程中提供执法尺度与标准。(47)丁晓东.个人信息的双重属性与行为主义规制[J].法学家,2020,(1).最后,加强与其他国家数据保护机构的合作以解决相关案件的跨境执法难题。与立法管辖权和司法管辖权相比,执法管辖权的属地性最为突出,(48)肖永平.“长臂管辖权”的法理分析与对策研究[J].中国法学,2019,(6).在数据保护领域能否跨越国界有效地行使查询、调查、扣押和行政罚款等执法活动,很大程度上取决于他国的意愿。(49)Benjamin J.Keele.Information Sovereignty:Data Privacy,Soverrign Powers and the Rule of Law[J].International Journal of Legal Information,2018,46(2).因而,有必要借助“数字一带一路”等平台开展相关的国际合作,一方面在“互惠”条件下开展执法合作,推动“双向”的国际司法协助;(50)Benjamin Greze.The Extra-territorial Enforcement of the GDPR:A Genuine Issue and the Quest for Alternatives[J].International Data Privacy Law,2019,9(2).另一方面通过提供法律援助、信息共享和联合调查等参与全球网络合作,积极参与以“协调共同的执法行动”为宗旨的“全球隐私执行网络”(GPEN)。(51)陈咏梅,伍聪聪.欧盟《通用数据保护条例》域外适用条件之解构[J].德国研究,2022,37(02).

2.通过数据合规部署全球数字经营战略

GDPR已成为具有国际示范乃至通行效力的监管工具输出至其他国家和地区,凭借广泛的域外适用效力促使出海企业适应并满足其数据合规要求。尽管当前在OSS机制下存在出现管辖竞择的可能,但可以预见未来GDPR下OSS机制的执法力度会进一步加强,会不断细化“main establishment”的认定从而避免这种管辖困境的出现;因而就我国境内诸多与欧洲有业务往来企业的法律战略而言,努力开展合规以符合欧盟的个人数据保护标准是对企业更有成效的策略。

其一,相关企业应及时跟进欧盟立法动态,建设并完善企业内部的数据安全内控机制,设置数据合规专员开展数据影响评估、数据泄露通知等制度构建,最大限度降低GDPR强化监管带来的冲击。其二,明确企业在欧盟境内的主要实体并赋予其符合GDPR下认定主要实体的商业决策权,参考OSS机制中领导性监管机构的设置,以全球化视野重新考虑向欧盟服务相对应的数据中心或服务器的地理区位选择,在对欧盟境内其他关联主体的控制权方面完善战略布局,以应对数据跨境传输限制及GDPR长臂管辖带来的国际法律冲突难题。其三,注重GDPR域外管辖的兜底效力,GDPR第3条以及EDPB发布的《域外适用指南》对其域外适用的对象与范围进行了解释与界定,(52)本条例适用于欧盟由不在处理活动所在的欧盟设立的控制者或处理者处理欧盟境内的数据主体的个人数据与:(a)向欧盟内的数据主体提供商品或服务,无论是否需要该数据主体支付对价;或(b)监控数据主体的行为,只要其行为发生在欧盟领域内。无论这个数据处理活动发生在何处,哪怕是国外的云储存都要满足“设立商业实体(establishment)”标准和“针对性提供服务(targeting)”标准。(53)Bu-Pasha, Shakila. Cross-Border Issues under EU Data Protection Law with Regards to Personal Data Protection[J].Information &Communications Technology Law,2017,26(3).未来OSS机制下广泛的“针对性提供服务”标准将成为口袋执法工具“粉墨登场”,成为企业全球化运营数据合规的主要风险。对于习惯性的离岸远程运营开展全球化数字服务的商业模式而言,可以考虑进行必要的数据隔离或架构独立,以最大程度应对与化解风险。

(二)反思我国数据保护机构的现有设置

我国《第十四个五年规划和2035年远景目标纲要》提出建设职责明确的政府治理体系,要求数据保护机构与监管模式改革重视执法专业团队组建与技术能力建设的同时提高执法协作的效率,既要避免因资源保障不到位而可能导致被动局面,也要防止僵化执法阻碍新型业态的发展。

1.改革数据保护领域“多头治理”的模式

我国《个人信息保护法》第60条及《数据安全法》第8条共同规定了“国家网信部门统筹协调+行业主管部门分工监管”的“多头治理”模式。这种监管模式的设计初衷是充分调动国家机器的各部分处理数据侵权案件,最大程度体现数据安全监管的专业性,但在实际运行中存在很大的弊端:一是未能清晰、细致地明确各监管部门之间的权责分工与界限,监管边界有明显的重合地带、存在执法尺度不一等问题;(54)王锡锌,彭錞.个人信息保护法律体系的宪法基础[J].清华法学,2021,15(3).二是各部门自身利益诉求差异导致协调困境,甚至出现部门间竞争性监管执法的情形,难以实现分散化治理的目标。这种“九龙治水”的监管模式亟待被改进升级为统一、协作的监管和执法体系。

OSS机制有利于增强LSA处理跨境案件的威慑力和权威性。但我国目前尚不适宜设立完全独立的数据监管部门,一是因为独立、专门的数据监管机构需要极高的监管标准、健全的行政体制以及完善的市场经济等制度资源的支持,而我国长期以来奉行行业执法体制,目前不具备设立独立监管机构的条件;二是数据监管具有高度复杂性和专业性,数据监管业务需要庞大且专业化的队伍,独立机构难以独立承担各领域的数据监管工作。我国的互联网和数据经济发展迅猛,单个部门将对跨区域的数据案件应接不暇,需要具有全局视野的机构合作来解决数据治理问题。(55)唐汇西.网络信息政府监管法律制度研究[M].武汉:武汉大学出版社, 2015:79.但我国可以尝试构建“1+X”的数据保护机构体系,(56)焦娜.欧盟国家数据保护机构的运行机制研究[J].情报杂志,2022,41(5).建立全方位与多主体相结合的中国特色数据保护机构体系。具体而言,由国家网信部门与其他监管部门形成有效的协同配合,(57)唐要家.中国个人隐私数据保护的模式选择与监管体制[J]．理论学刊,2021,(1)．在网信部门牵头下,由不同部门对同一数据跨境案件联合监管,以统一的监管方式和监管标准集中解决,形成专项执法监管合力。2020 年广东省人大常委会发布的《广东省数字经济促进条例》(征求意见稿)第二十四条体现了对这种模式的尝试,通过构建相对集中的综合监管模式,提高应对系统性风险的能力。

2. 借鉴欧盟OSS监管中的管辖协调模式

我国《网络安全法》仅用寥寥数言点出了数据保护机构间应进行统筹协调,但缺乏具体实施细则,实践中仍存在多头执法的现象,网信部门行使统筹协调职能仍存在困境。欧盟的OSS机制下DPAs间开展结构化合作的经验可为我国数据监管机构的设定、数据监管权力配置提供参考。

第一, 进一步细化网信部门统筹跨区域保护案件的职责,同时赋予网信部门牵头正式协调机制和非正式协调机制的权力。在正式协调机制中,网信部门牵头组织行政执法联席会议,对部门权限争议及联合执法行动方案有最终决定权;在非正式协调机制中,由网信部门监督举行不定期研讨会,解决各监管部门之间在基层执法实践中出现的共性与个性问题。(58)戢浩飞.行政执法体制改革研究[M].北京:中国政法大学出版社,2020:282.第二,在制度层面完善办案信息共享机制。欧盟提供IMI平台促进监管机构之间的信息共享,提升了对跨境案件的执法效率。我国可借鉴上述经验创建数据保护案件信息共享平台,通过案件信息及政务数据共享提高案件处理效率,各领域的行业主管部门进行行业监管时发现危害数据安全或个人隐私的执法线索时,可通过该平台上报相关线索,在网信部的协调下由特定部门处理,提升业务协同水平。第三,建立区域执法协调常态化机制。数据处理具有明显的跨区域性和空间不确定性,因而有必要建立相关异地执法协调机制,充分发挥行业主管监管部门专业优势,在网信部的统筹下由行业主管监管部门开展特定领域的个人信息执法工作,同时接受权利人投诉并调查违法行为等。(59)崔聪聪.个人信息保护的行政监管及展开[J].苏州大学学报(哲学社会科学版),2022,43(05).值得注意的是,我国港澳等地区亦在全球数据跨境流动中扮演着重要角色,因此对于中国港澳地区与大陆内地数据执法协调问题理应给予明确规定,统筹协调执法资源、打破监管壁垒,尽快落实国内个人数据的转移原则与相关政策。

(三)切实提高数据保护领域的执法水平

开展数据保护领域的执法,网信部门及相关监管机构需要配备囊括法律、技术、管理、国际合作等领域的专业人员,还需要高效的组织体系保障各机构等密切配合、高效联动,这要求国家加强数据监管部门的资源配置。此外,还应考虑到执法过程中的程序正当原则以及灵活的执法思路,切实提高执法水平。

1.确保数据保护领域执法的程序正当

国家保护义务的程序保障拓展到行政执法领域,出现了所谓的“正当法律程序”。数据保护领域的“正当法律程序”要求数据主体、数据控制者及处理者能在正当权利受到侵害时候获得公平透明的行政程序保障和有效的权利救济:在必要时能够参与听证过程,数据主体可以在诉讼中提出停止侵害、消除影响、要求赔偿的途径,并针对监管机构的不作为提起诉讼。我国数据保护机构在执法层面应当尽可能落实上述要求。

一方面,在处理技术复杂的数据场景下,与个人信息活动监控与处理关联的执法行为、政府决策应进一步透明化,(60)施密特·阿斯曼.秩序理念下的行政法体系建构[M].林明锵,等译,北京:北京大学出版社,2012:263-264.此时公民对于政府行为的预期不能仅仅依赖于抽象的法律规定,需要政府相关部门履行信息披露和解释义务,履行报告、评估、纠正与删除义务,增加数据处理活动与决策的透明度,(61)Jack M. Balkin.The Constitution in the National Surveillance State[J].Minnesota Law Review, 2008,93(1).这有利于公共问责机制的展开。另一方面,欧盟各成员国DPAs在OSS机制下重视社会公众的参与度,借助重视公民投诉获取大量案件信息,尤其是影响广泛的数据跨境案件的信息。可以借鉴上述经验畅通公民进行权利救济的渠道,同时在相关案件处理中引入听证程序。Google LLC案件中双方关于是否适用OSS机制的最大争议便是数据处理者是否参与相关程序的听证环节。数据保护领域的案件往往涉及复杂的事实、证据认定,为保证数据控制者、处理者以及数据主体的权利,利益相关方应当被赋予对证据和调查报告发表意见的机会,网信部门可以考虑召开听证会并设置对抗式举证环节,但涉及到国家主权与网络安全等问题,应当根据比例原则适当限制当事人的程序性权利。

2.考虑采用阶段性、场景化的执法思路

GDPR生效后的最初半年时间,欧盟多数DPAs仅针对个人数据侵权活动开展“探索性调查”,(62)Paul Breitbarth.The Impact of GDPR One Year On[J].Network Security,2019,(7).主要工作内容是向不符合GDPR的公司和商业组织提供指导和建议,督促其开展有效的数据合规整改。这种留有余地的“柔性”执法方式不仅给相关企业提供了建立合规机制、完善自身管理的过渡期,也使监管机构有机会根据实践填补政策空白,调整执法方式。“探索性调查”阶段结束后,各DPAs对跨境案件的执法力度逐步加大,对大型跨国科技公司的执法力度增强。我国在对于数字服务市场范围内的数据处理者开展监管时,亦可设置“探索性”调查阶段,根据数据保护影响评估的客观结果,尽可能避免形式化监管和“一刀切”的隐私监管政策导致的非公平的数字服务市场竞争秩序。还需要遵循比例原则的要求,考量行政措施与其他机制之间的衔接,实现部门法工具之间的协调,(63)王锡锌.个人信息国家保护义务及展开[J].中国法学,2021,219(1).在选择制裁方式与程度时充分考虑不同场景,而非片面追求严苛的执法效应。

一方面,对于中小企业的监管以扶持引导为主,注重落实中小企业的“豁免权”,避免因为过度执法给中小企业及相关行业发展带来灭顶之灾,促进数字服务市场健康持续发展,警惕数据保护执法领域“马太效应”的出现。另一方面,考虑开展针对超级互联网平台治理的专项执法,如谷歌、微软、亚马逊等全球互联网公司是集中消费者、商家、物流、交易等多重要素的数字基础设施,海量个人信息通过这些数据平台进行交互,这些平台用户数量庞大、业务类型复杂、资本运作集中,对个人隐私安全构成了巨大的威胁,而在依赖信息流通带来效率与福利的数字时代,每个人都无法抽身而出。(64)Jack M. Balkin.Free Speech in the Algorithmic Society: Big Data, Private Governance, and New School Speech Regulation[J].U.C.Davis Law Review,2018,51.我国互联网平台发展势头迅猛,有必要开展针对大型互联网平台个人信息处理活动的专项执法,及时解决存在的强制索权、一揽子授权和违法共享等问题,切实提高数据保护领域的执法水平。

结 语

互联网和移动终端时代的个人数据跨境处理几乎不可避免,对于数据跨境活动的监管,欧盟司法辖区内法律框架已渐趋成熟,以一个统一体的姿态更加自信地向“数字主权”和“数字单一市场”的立法目标迈进。(65)Statement by Vice-President Ansip and Commissioner Jourová ahead of the entry into application of the General Data Protection Regulation[EB/OL].[2023-04-19].https://ec.europa.eu/commission/presscorner/detail/en/STATEMENT_18_3889.毋庸讳言,GDPR“一站式”监管机制在运行中存在一些困境,但该机制为欧盟境内数据跨境案件的执法合作提供了良好的协调机制,其背后蕴含的数据保护理念和价值倾向也将深刻地影响全球数字产业的发展,以及未来各国数据保护立法与执法的走向。我国的数据保护立法顶层设计步稳蹄疾,在积极应对欧盟等域外国家的监管工具输出、建立完善的数据保护法律框架的同时,应关注到数据领域的执法监管,反思当下数据保护机构的设置及执法模式的弊端,在切实提高数据保护水平的同时促进规范数字服务产业的竞争秩序与行业规则。应当尽快在立法与执法层面做好制度设计,平衡数据流动与数据安全,早日实现互联网被赋予的促进“全球互联互通”之愿景。