第三国资料保护水平适当性的评定

三、第三国资料保护水平适当性的评定

在资料保护水平的认定上，《资料保护指令》采取了个案分析方式，即根据资料转移的具体情形，评定与某一资料转移或某类资料转移相关的资料保护水平是否适当。^[38]“然而，毫无疑问，每天向欧盟境外转移的个人资料不计其数，牵涉的当事方和机构也为数众多，任何国家不论采取什么机制都无法对每起资料转移一一评定其相关的资料保护水平是否适当。”^[39]当然，这并不意味着无需对资料转移牵涉的资料保护水平进行个案分析，但是，面对大量的资料转移，欧盟必须确立一套更为有效的决策机制，迅速、及时、低成本地认定资料保护水平的适当性。在欧盟层面，由欧盟委员会对一国整体或某个领域或行业的资料保护水平作出统一的认定，是解决上述困境的门路之一，但该方法不仅存在自身的缺陷和不足，而且在实际操作上也面临各种困难。此外，欧盟成员国在资料保护水平的认定方法上也存在差异，且难以对资料转移中的资料隐私保护实施有效的监督。

(一)欧盟委员会对第三国资料保护水平适当性的认定

相对于成员国的资料保护机构和资料转移人，由欧盟委员会统一认定第三国整体的或某个领域的资料保护水平具有一定的优势。对欧盟和成员国而言，在欧盟层面作出统一的认定具有事半功倍的效果。成员国无需对同样的情形加以重复认定，也可避免和减少成员国单独作出认定间的差异和冲突。对资料转移人而言，由欧盟认定某些国家是否具有适当的资料保护水平可提高资料转移操作的明确性、可预见性和效率。譬如，欧盟委员会将瑞士认定为具备适当资料保护水平的国家，资料转移人在向瑞士转移个人资料时，就无需再分析其资料转移是否属于法定的例外情形，无需独自考察该国的资料保护水平是否适当，更无需通过签订资料转移合同与制定约束性的企业规则等方式煞费苦心地打造资料转移的合法依据。对第三国而言，欧盟考察和认定其资料保护水平也成为它们不断完善资料保护法律体制的动力。从某种意义上而言，加拿大、巴西和印度等国纷纷制定或修改本国的资料保护法无不体现了欧盟管制跨境资料流动对它们造成的压力。^[40]此外，就连美国也不得不在资料跨境转移和资料保护上与欧盟开展对话。虽然折中欧美做法的“信息安全港”体制(Safe-Harbor Agreement)作用有限，但它无疑提高了美国企业保护个人资料的积极性。^[41]欧盟禁止向不具备适当资料保护水平的国家转移资料也成为美国各界要求参照欧洲资料模式改善本国信息隐私保护体制的重要依据。^[42]资料保护工作组为欧盟委员会认定一国的资料保护水平及同他国在资料保护问题上进行磋商和签署协定等方面，提供了强大的智力支持。^[43]

除了具有上述优势外，由欧盟委员会统一认定第三国的资料保护水平也面临着各种困难。目前，制定资料保护法并建立有效的资料保护执行机制的国家尚属少数，符合欧盟严格标准可通过审核的国家自然少之又少。毫无疑问，这减弱了欧盟认证体系的宏观指导作用，也增大了欧盟监管跨境资料转移的难度。即使一国具有资料保护法，它们在适用范围、内容、执行体制等方面也往往与欧盟存在重大区别。^[44]譬如，美国不具有统一和全面的资料保护法，仅对联邦机关的资料处理行为与特定私人领域和行业中的信息隐私保护制定了联邦法。在执行体制上，美国也未设立资料保护机构，联邦贸易委员会的监督权力和范围都比较有限，而且美国主要靠联邦机关的自律与市场中的行业自治保护信息隐私。此外，不少国家，如美国、加拿大和澳大利亚等是联邦政体，各州关于资料隐私的立法也不尽一致。这无疑加大了欧盟认定一国资料保护水平适当性的难度。认定一国的资料保护水平还具有较强的政治敏感性，欧盟宣布一国不具有适当的资料保护水平，或不认定一国具有适当的保护水平，都可能引起该国的反感，甚至造成外交上的敌视。^[45]

基于上述原因和考虑，欧盟不得不采取更加灵活和务实的资料保护水平认定方法。欧盟委员会仅从正面认定一国具有适当的保护水平，不从负面认定一国的资料保护水平不适当或存在不足。具有适当保护水平的国家名单是开放性的，欧盟根据各国资料保护的发展状况，不断增加国家的数量。从效力上而言，一国出现在“白名单”(White List)^[46]中并不意味着无需考察资料转移的具体情况。之外的国家也不因此被列入“黑名单”(Black List)，欧盟也不绝对禁止向其转移个人资料。目前，^[47]经欧盟委员会认定具备适当资料保护水平的国家和地区主要包括瑞士、^[48]阿根廷、^[49]根西岛^[50]和马恩岛^[51]。欧盟还对一国某个领域中的资料保护水平进行认定。例如，经评定适用于私人行业中资料处理的加拿大《个人信息保护与电子档案法》，欧盟委员会认定:“在向适用该法的加拿大接收人转移资料上，加拿大具备适当的资料保护水平。”^[52]委员会还在资料保护问题上与某些国家进行谈判，并达成有关资料保护的双边协定。^[53]其中，最为人关注的要属欧盟与美国经不断磋商达成的《安全港协定》。^[54]谈判过程中，安全港原则的内容和执行机制是否适当成为双方争论的焦点，^[55]也构成了协定的主要内容。^[56]此外，欧盟还在某类资料的跨境转移上与他国进行磋商。例如，针对大量的乘客记录从欧盟向境外流动，欧盟与加拿大和美国等就此进行磋商并达成了资料转移协定。^[57]

(二)成员国与资料转移人对第三国资料保护水平适当性的认定

由于经欧盟认定具备适当资料保护水平的国家的数量有限，在实践中，成员国和资料转移人仍要根据资料转移的个案情形断定相关的资料保护水平是否适当。对此，欧盟成员国的立法和做法也不尽一致。^[58]例如，根据奥地利、希腊、葡萄牙和西班牙法，^[59]若一国未被欧盟委员会认定为具备适当的资料保护水平，只有本国的资料保护机构有权决定其资料保护水平是否适当。换言之，除非欧盟委员会或这些国家的资料保护机构认定第三国具备适当的资料保护水平，原则上应禁止向该国转移个人资料。而在卢森堡等成员国，若不存在官方认定，资料转移人可自行决定资料转移牵涉国的资料保护水平是否适当。^[60]欧盟委员会认为，若国家资料保护机构不加以适当的限制，由资料转移人自行决定资料保护水平的适当性与指令并不相符。^[61]有些第三国可能明显不具有适当的资料保护水平，但有些国家则不然。这种现状，加上成员国对该问题的不同处理方法，使得各国在第三国资料保护水平的认定上必然出现重大差异。

在跨境资料转移的通报和审批等监管机制上，各国的做法也不尽一致。有些国家过于严格，向第三国转移资料的所有行为均需要经资料保护机构审批，这与指令不给向第三国转移资料施加过重负担的宗旨并不相符，而且也不具可操作性。若欧盟委员会已认定一国具备适当的资料保护水平或资料转移属于法定的例外情形，成员国虽然可以要求转移人通报资料转移，但无需再行审批。^[62]有些国家对资料转移的管理则过于宽松。欧盟委员会认为，过于宽松的方法可能从根本上动摇指令的跨境资料转移体制，而过于严格的方法则不利于国际贸易的发展，悖逆全球信息一体化的发展趋势，导致法律和实践脱节，并有损指令和欧盟法的作用。^[63]