前言
5月22日,爱尔兰数据保护局(IE DPA)对Meta爱尔兰的Facebook服务进行调查后,对Meta自2020年7月16日起根据标准合同条款(SCC)向美国转移个人数据的事实予以确认后对其开出了12亿欧元(逾91亿人民币)的罚款。这笔罚款是GDPR施行5年以来开出的最高罚款。此前,欧洲数据保护委员会(EDPB)于2023年4月13日也对Meta作出了一项有法律效力的裁决。这打破了Facebook自己的罚金记录——在2019年,Facebook与美国联邦贸易委员会(FTC)达成一项和解协议,认罚50亿美元,当时号称“全球数据隐私保护领域迄今为止最高罚单”。本文基于官方判决书及公开可查信息,聚焦Meta本次处罚依据、适用法条与裁决观点等,梳理Meta中在数据跨境中的违法行为,以期为企业数据合规体系建设提供一定参考。
01 缘起:斯诺登的“棱镜门”
尽管已经过去近十年,“棱镜门”的影响依然不可忽略。
2013年6月,通过第三方为美国国家安全局(“NSA”)工作的承包商爱德华·斯诺登(Edward Snowden)披露了一些文件,这些文件揭示了NSA运营的一个或多个项目的存在,在这些项目中,一些世界上最大的科技公司运营的互联网和电信系统,包括微软(Microsoft)、苹果(Apple)、Meta US等,都是监控项目的对象。自此起,当时还名为Facebook的Meta便受到关注。在2015年11月3日的信函中,调查专员办公室通知Meta爱尔兰,开始了长达8年的调查。
Meta被调查的行为其实始终是围绕其数据转移行为,即其对于欧盟/欧洲经济区访问、访问、使用或以其他方式与Meta爱尔兰提供的产品和服务互动的个人数据进行转移的行为。
“棱镜门”已经显示美国对其一些大型科技公司进行监控,这意味着在Meta实现欧盟-美国数据传输中,极有可能使大量数据被政府官方所获取,那么美国是否确保充分保护欧盟公民的数据保护权利,如果并且在美国不能确保充分保护的情况下,是否允许Meta爱尔兰依靠相关规定的一种或多种克减方式来将用户的个人数据转移到美国合法化,进行此类数据转移?
这也正是本次判决的核心讨论在于:关于欧盟-美国数据传输,Meta爱尔兰的行为是否合法?
02 焦点:欧盟-美国数据传输
(一)关于数据传输的重要概念
1.个人数据
2018年数据传输协议(DTPA)在其附录中确定了实际上作为数据传输主体的用户个人数据的性质和范围:

2.跨境处理
“跨境处理”的概念被规定在GDPR第4(23)条:
(a)在欧盟内数据的控制者或处理者在不止一个成员国设立机构的活动背景下,进行个人数据的处理;
(b)在欧盟内控制者或处理者的单一机构的活动背景下,进行个人数据的处理。但实质上影响或可能实质上影响不止一个成员国的数据主体。”
如果根据GDPR第4(23)(a)条判断,在向欧盟/欧洲经济区用户提供的所有此类Meta美国产品和服务均由Meta爱尔兰提供的情况下,而Meta爱尔兰作为欧盟中的数据控制者,在爱尔兰设有欧盟的中央管理机构并在当地决定处理用户个人数据的目的和方法,那么Meta爱尔兰就数据传输进行的个人数据“处理”行为就是“跨境处理”。
如果根据GDPR第4(23)(b)条的含义,除了由Meta US提供Facebook服务的美国和加拿大之外的世界其他地区的个人,包括欧盟的个人,Facebook服务是由Meta爱尔兰提供的,这表明Facebook服务是由Meta爱尔兰向欧盟数据主体提供的,因此,在这一背景下进行的数据处理实质上也可能影响多个成员国的数据主体。在这一意义上,Meta爱尔兰的行为同样属于“跨境处理”。
(二)欧盟数据传输路径
此前,欧盟的数据传输在没有适当决定的情况下,只有在下列情况下才允许向第三国转移:
(1)控制者或处理者提供了“适当的保障措施”;
(2)数据主体拥有“可强制执行的权利”;
(3)数据主体拥有“有效的法律救济”。
《通用数据保护条例》(GDPR)面世之后,欧盟主要通过三种途径规范数据跨境行为:第一种,充分性决定,即白名单模式,这是欧盟最重要的国际数据传输机制;第二种,采取适当保障措施,包括但不限于签订标准合同(SCC)、制定约束性企业规则(BCR)以及其他经核准的措施;第三种,适用“减损”规则,即依据数据主体同意、合同必要性、公共利益的实现等。
1.充分性决定
就“充分性决定”路径来看,美国目前并不在“白名单”之列。2000年7月26日,欧洲委员会通过第520/2000/EC号决议(“安全港决议”),为欧盟与美国之间的数据传输建立所谓的"安全港"规则。尽管《安全港决定》不承认美国是第三国,但它却在附件中承认欧盟-美国的转移是被允许的,前提是被转移的数据实体遵守了美国商务部公布的安全港隐私原则等。随着时间的推移,“安全港”规则成为欧盟数据控制者寻求将数据转移至美国合法化的主要机制。
但在2015年10月对Meta开展调查的Schrems案中(案例C-362/14),欧盟法院否定Meta对于“安全港”规则的运用,因为其作为一个被监控的项目,但同时却被允许或促进对电子通信内容的广泛访问,极大可能损害《欧盟基本权利宪章》(以下简称“《宪章》”)第7条规定的个人基本隐私权的“本质”,危及主体的自由和尊严价值。此后在2020年7月,Schrems II案中(案例C-311/18)欧盟与美国签订的“隐私盾协议”也被认定无效。
2.适当保障措施
就适当保障措施来看,要求第三国所需的保护水平必须在GDPR条款的基础上进行评估,需要达到与欧盟内部保障基本相当的保护水平,并根据《宪章》所载的基本权利来解读。如果不足,“适当的保障措施”必须弥补第三国数据保护的不足,以确保符合数据保护要求和数据主体在欧盟内部处理的适当权利。
在评估是否有适当的保障、可执行的权利和有效的法律救济时,首先考虑设立在欧盟的控制者或处理者与设立在第三国的转移接收者之间约定的合同条款,即标准合同模式(SCC);其次要考虑就该第三国的公共当局对所转移的个人资料的任何访问而言,即该第三国法律制度的有关方面能够对数据进行有效保护。
而Meta此前根据2010年SCC决定和2021年SCC决定进行了数据转移,但美国当局的监视计划让监管者们对美国法律关于数据的保护持怀疑态度,“特别是在第三国的法律允许其公共当局干涉与该数据有关的数据主体的权利的情况下”,安全措施和补充措施可能是不够的。当设立在欧盟的控制者或处理者不能采取足够的额外措施来保证必要的保护时,控制者或处理者,或者主管监管机构,被要求暂停或终止将个人数据转移到相关的第三国。
3.适用“减损”规则
对于监管机构的指控,Meta爱尔兰依据GDPR第49(1)下一系列关于“明确同意”“合同必要性”“公共利益”的减损提交了抗辩意见,试图以此豁免。但判决认为,美国允许数据监视的已查明的法律并未尊重根据《宪章》第47条获得有效司法补救的权利的“本质”。
(1)GDPR第49(1)(a)条:基于“明确同意”的减损
GDPR设置了两重“同意”的门槛,首先数据主体必须“明确同意”“拟议转让”,并且必须告知数据主体,由于缺乏充分性决定和适当的保障措施,此类转移可能使数据主体面临的风险。对此,Meta爱尔兰在向美国转移数据的情况下,除了提供“正常”同意的信息外,还需要告知数据主体数据主体转移的可能风险。显然,Meta爱尔兰目前还没有获得欧盟/欧洲经济区用户对任何数据传输的明确同意。
(2)GDPR第49(1)(b)条:基于“合同必要性”的减损
“合同必要性”的克减页不能被解释或适用于允许数据传输中包含的系统、批量、重复和持续的传输,因为此类传输将导致损害欧盟/欧洲经济区用户基本权利,并且无法用比例原则来衡量。
(3)GDPR第49(1)(d)条:基于“公共利益”的减损
这一原则是指为了维护为公共利益而执行的任务或行使授予控制者的权力,进行数据处理是必要的,但并不意味着允许Meta爱尔兰对个人数据进行系统的、批量的、重复的和持续的转移。
03 梳理:对于GDPR第49条的理解
针对Meta爱尔兰所依赖的GDPR第49条即“减损”的抗辩,判决书对减损的原则做出了一系列解读:
1.有义务根据《宪章》解释和适用欧盟法律措施
对欧盟次级法的解释必须与包括《宪章》在内的整体基本法保持一致。此外,《宪章》第51(1)条要求成员国在执行欧盟法律时尊重《宪章》所载的基本权利。
2.减损的限制性解释
欧盟法院确认,《宪章》所保障的对基本权利的减损必须严格解释与适用,不能将“减损”规则解释为“允许减损所提供的例外”,以此来取代欧盟措施所确立的规则。
3.合宪性审查和权利的“本质”
必须根据《宪章》第52(1)条解释和适用GDPR第49条,即只有在下列情况下才允许克减:第一,由法律规定;第二,尊重该自由的“本质”;第三,遵守相称原则(比例原则)。当“减损”不尊重一项基本权利的“本质”时,就不能被证明是正当的,就应该被认为是无效的,无需再审查关于遵守相称原则的条件。
04 判决:除了12亿欧元,还说了什么?
判决书认为,Meta爱尔兰的数据传输行为是在无法保证对数据主体的保护水平基本上等同于欧盟法律规定的情况下进行的,特别是根据《宪章》解读的GDPR,因此,在进行数据传输时,Meta爱尔兰违反了GDPR第46(1)条,并且无权依赖GDPR第49(1)条关于数据传输的减损规则实现豁免。对此,决定:
1.暂停数据传输;
2.要求Meta爱尔兰停止在美国非法处理包括存储违反GDPR转移的欧洲经济区用户的个人数据,进行合规整改,使其处理操作符合GDPR第5章的规定;
3.处以12亿欧元的行政罚款。

GDPR规定,对违规企业的最高罚款额为其全球收入的4%或2000万欧元,以较高者为准。Meta爱尔兰这个罚款金额可谓是GDPR施行以来的最高金额,主要考虑了以下因素:
(1)侵权的性质和严重程度
(2)加工的性质、范围和目的
(3)受侵权影响的数据主体数量
(4)侵权持续时间
EDPB表示,Meta 爱尔兰至少以最高程度的疏忽犯下了侵权行为,使得广泛类别的个人数据受到侵权行为的影响,其中还包括GDPR第9条规定的特殊类别的个人数据,并且Meta爱尔兰在欧盟提供的服务不可避免地与违反GDPR联系在一起。
05 依据:规范数据传输的法律规定
所有欧盟-美国数据传输(包括数据传输)均受《GDPR》《The2010SCCDecision》《The2010SCCs》《The2021SCCDecision》《The2021SCCs》《the2018Act》等一系列法律规定的监管。其中,《the2018Act》第10条将DPC确立为爱尔兰为实现GDPR目的的数据保护监管机构。在构成跨境处理的数据传输这一问题上,DPC有权担任主要监管机构。
而在判决书中,GDPR条款是主要判决依据,主要运用的GDPR条款有:


5月22日,爱尔兰数据保护局(IE DPA)对Meta爱尔兰的Facebook服务进行调查后,对Meta自2020年7月16日起根据标准合同条款(SCC)向美国转移个人数据的事实予以确认后对其开出了12亿欧元(逾91亿人民币)的罚款。这笔罚款是GDPR施行5年以来开出的最高罚款。此前,欧洲数据保护委员会(EDPB)于2023年4月13日也对Meta作出了一项有法律效力的裁决。这打破了Facebook自己的罚金记录——在2019年,Facebook与美国联邦贸易委员会(FTC)达成一项和解协议,认罚50亿美元,当时号称“全球数据隐私保护领域迄今为止最高罚单”。本文基于官方判决书及公开可查信息,聚焦Meta本次处罚依据、适用法条与裁决观点等,梳理Meta中在数据跨境中的违法行为,以期为企业数据合规体系建设提供一定参考。
01 缘起:斯诺登的“棱镜门”
尽管已经过去近十年,“棱镜门”的影响依然不可忽略。
2013年6月,通过第三方为美国国家安全局(“NSA”)工作的承包商爱德华·斯诺登(Edward Snowden)披露了一些文件,这些文件揭示了NSA运营的一个或多个项目的存在,在这些项目中,一些世界上最大的科技公司运营的互联网和电信系统,包括微软(Microsoft)、苹果(Apple)、Meta US等,都是监控项目的对象。自此起,当时还名为Facebook的Meta便受到关注。在2015年11月3日的信函中,调查专员办公室通知Meta爱尔兰,开始了长达8年的调查。
Meta被调查的行为其实始终是围绕其数据转移行为,即其对于欧盟/欧洲经济区访问、访问、使用或以其他方式与Meta爱尔兰提供的产品和服务互动的个人数据进行转移的行为。
“棱镜门”已经显示美国对其一些大型科技公司进行监控,这意味着在Meta实现欧盟-美国数据传输中,极有可能使大量数据被政府官方所获取,那么美国是否确保充分保护欧盟公民的数据保护权利,如果并且在美国不能确保充分保护的情况下,是否允许Meta爱尔兰依靠相关规定的一种或多种克减方式来将用户的个人数据转移到美国合法化,进行此类数据转移?
这也正是本次判决的核心讨论在于:关于欧盟-美国数据传输,Meta爱尔兰的行为是否合法?
02 焦点:欧盟-美国数据传输
(一)关于数据传输的重要概念
1.个人数据
2018年数据传输协议(DTPA)在其附录中确定了实际上作为数据传输主体的用户个人数据的性质和范围:

2.跨境处理
“跨境处理”的概念被规定在GDPR第4(23)条:
(a)在欧盟内数据的控制者或处理者在不止一个成员国设立机构的活动背景下,进行个人数据的处理;
(b)在欧盟内控制者或处理者的单一机构的活动背景下,进行个人数据的处理。但实质上影响或可能实质上影响不止一个成员国的数据主体。”
如果根据GDPR第4(23)(a)条判断,在向欧盟/欧洲经济区用户提供的所有此类Meta美国产品和服务均由Meta爱尔兰提供的情况下,而Meta爱尔兰作为欧盟中的数据控制者,在爱尔兰设有欧盟的中央管理机构并在当地决定处理用户个人数据的目的和方法,那么Meta爱尔兰就数据传输进行的个人数据“处理”行为就是“跨境处理”。
如果根据GDPR第4(23)(b)条的含义,除了由Meta US提供Facebook服务的美国和加拿大之外的世界其他地区的个人,包括欧盟的个人,Facebook服务是由Meta爱尔兰提供的,这表明Facebook服务是由Meta爱尔兰向欧盟数据主体提供的,因此,在这一背景下进行的数据处理实质上也可能影响多个成员国的数据主体。在这一意义上,Meta爱尔兰的行为同样属于“跨境处理”。
(二)欧盟数据传输路径
此前,欧盟的数据传输在没有适当决定的情况下,只有在下列情况下才允许向第三国转移:
(1)控制者或处理者提供了“适当的保障措施”;
(2)数据主体拥有“可强制执行的权利”;
(3)数据主体拥有“有效的法律救济”。
《通用数据保护条例》(GDPR)面世之后,欧盟主要通过三种途径规范数据跨境行为:第一种,充分性决定,即白名单模式,这是欧盟最重要的国际数据传输机制;第二种,采取适当保障措施,包括但不限于签订标准合同(SCC)、制定约束性企业规则(BCR)以及其他经核准的措施;第三种,适用“减损”规则,即依据数据主体同意、合同必要性、公共利益的实现等。
1.充分性决定
就“充分性决定”路径来看,美国目前并不在“白名单”之列。2000年7月26日,欧洲委员会通过第520/2000/EC号决议(“安全港决议”),为欧盟与美国之间的数据传输建立所谓的"安全港"规则。尽管《安全港决定》不承认美国是第三国,但它却在附件中承认欧盟-美国的转移是被允许的,前提是被转移的数据实体遵守了美国商务部公布的安全港隐私原则等。随着时间的推移,“安全港”规则成为欧盟数据控制者寻求将数据转移至美国合法化的主要机制。
但在2015年10月对Meta开展调查的Schrems案中(案例C-362/14),欧盟法院否定Meta对于“安全港”规则的运用,因为其作为一个被监控的项目,但同时却被允许或促进对电子通信内容的广泛访问,极大可能损害《欧盟基本权利宪章》(以下简称“《宪章》”)第7条规定的个人基本隐私权的“本质”,危及主体的自由和尊严价值。此后在2020年7月,Schrems II案中(案例C-311/18)欧盟与美国签订的“隐私盾协议”也被认定无效。
2.适当保障措施
就适当保障措施来看,要求第三国所需的保护水平必须在GDPR条款的基础上进行评估,需要达到与欧盟内部保障基本相当的保护水平,并根据《宪章》所载的基本权利来解读。如果不足,“适当的保障措施”必须弥补第三国数据保护的不足,以确保符合数据保护要求和数据主体在欧盟内部处理的适当权利。
在评估是否有适当的保障、可执行的权利和有效的法律救济时,首先考虑设立在欧盟的控制者或处理者与设立在第三国的转移接收者之间约定的合同条款,即标准合同模式(SCC);其次要考虑就该第三国的公共当局对所转移的个人资料的任何访问而言,即该第三国法律制度的有关方面能够对数据进行有效保护。
而Meta此前根据2010年SCC决定和2021年SCC决定进行了数据转移,但美国当局的监视计划让监管者们对美国法律关于数据的保护持怀疑态度,“特别是在第三国的法律允许其公共当局干涉与该数据有关的数据主体的权利的情况下”,安全措施和补充措施可能是不够的。当设立在欧盟的控制者或处理者不能采取足够的额外措施来保证必要的保护时,控制者或处理者,或者主管监管机构,被要求暂停或终止将个人数据转移到相关的第三国。
3.适用“减损”规则
对于监管机构的指控,Meta爱尔兰依据GDPR第49(1)下一系列关于“明确同意”“合同必要性”“公共利益”的减损提交了抗辩意见,试图以此豁免。但判决认为,美国允许数据监视的已查明的法律并未尊重根据《宪章》第47条获得有效司法补救的权利的“本质”。
(1)GDPR第49(1)(a)条:基于“明确同意”的减损
GDPR设置了两重“同意”的门槛,首先数据主体必须“明确同意”“拟议转让”,并且必须告知数据主体,由于缺乏充分性决定和适当的保障措施,此类转移可能使数据主体面临的风险。对此,Meta爱尔兰在向美国转移数据的情况下,除了提供“正常”同意的信息外,还需要告知数据主体数据主体转移的可能风险。显然,Meta爱尔兰目前还没有获得欧盟/欧洲经济区用户对任何数据传输的明确同意。
(2)GDPR第49(1)(b)条:基于“合同必要性”的减损
“合同必要性”的克减页不能被解释或适用于允许数据传输中包含的系统、批量、重复和持续的传输,因为此类传输将导致损害欧盟/欧洲经济区用户基本权利,并且无法用比例原则来衡量。
(3)GDPR第49(1)(d)条:基于“公共利益”的减损
这一原则是指为了维护为公共利益而执行的任务或行使授予控制者的权力,进行数据处理是必要的,但并不意味着允许Meta爱尔兰对个人数据进行系统的、批量的、重复的和持续的转移。
03 梳理:对于GDPR第49条的理解
针对Meta爱尔兰所依赖的GDPR第49条即“减损”的抗辩,判决书对减损的原则做出了一系列解读:
1.有义务根据《宪章》解释和适用欧盟法律措施
对欧盟次级法的解释必须与包括《宪章》在内的整体基本法保持一致。此外,《宪章》第51(1)条要求成员国在执行欧盟法律时尊重《宪章》所载的基本权利。
2.减损的限制性解释
欧盟法院确认,《宪章》所保障的对基本权利的减损必须严格解释与适用,不能将“减损”规则解释为“允许减损所提供的例外”,以此来取代欧盟措施所确立的规则。
3.合宪性审查和权利的“本质”
必须根据《宪章》第52(1)条解释和适用GDPR第49条,即只有在下列情况下才允许克减:第一,由法律规定;第二,尊重该自由的“本质”;第三,遵守相称原则(比例原则)。当“减损”不尊重一项基本权利的“本质”时,就不能被证明是正当的,就应该被认为是无效的,无需再审查关于遵守相称原则的条件。
04 判决:除了12亿欧元,还说了什么?
判决书认为,Meta爱尔兰的数据传输行为是在无法保证对数据主体的保护水平基本上等同于欧盟法律规定的情况下进行的,特别是根据《宪章》解读的GDPR,因此,在进行数据传输时,Meta爱尔兰违反了GDPR第46(1)条,并且无权依赖GDPR第49(1)条关于数据传输的减损规则实现豁免。对此,决定:
1.暂停数据传输;
2.要求Meta爱尔兰停止在美国非法处理包括存储违反GDPR转移的欧洲经济区用户的个人数据,进行合规整改,使其处理操作符合GDPR第5章的规定;
3.处以12亿欧元的行政罚款。

GDPR规定,对违规企业的最高罚款额为其全球收入的4%或2000万欧元,以较高者为准。Meta爱尔兰这个罚款金额可谓是GDPR施行以来的最高金额,主要考虑了以下因素:
(1)侵权的性质和严重程度
(2)加工的性质、范围和目的
(3)受侵权影响的数据主体数量
(4)侵权持续时间
EDPB表示,Meta 爱尔兰至少以最高程度的疏忽犯下了侵权行为,使得广泛类别的个人数据受到侵权行为的影响,其中还包括GDPR第9条规定的特殊类别的个人数据,并且Meta爱尔兰在欧盟提供的服务不可避免地与违反GDPR联系在一起。
05 依据:规范数据传输的法律规定
所有欧盟-美国数据传输(包括数据传输)均受《GDPR》《The2010SCCDecision》《The2010SCCs》《The2021SCCDecision》《The2021SCCs》《the2018Act》等一系列法律规定的监管。其中,《the2018Act》第10条将DPC确立为爱尔兰为实现GDPR目的的数据保护监管机构。在构成跨境处理的数据传输这一问题上,DPC有权担任主要监管机构。
而在判决书中,GDPR条款是主要判决依据,主要运用的GDPR条款有:


