本文分析了根据欧盟《通用数据保护条例》第五章规定向国际组织进行数据传输的情况。有人提出,鉴于国际组织的特殊地位和数据保护措施应与欧盟数据保护法的规定实质性相当的要求,很多时候在向国际组织传输个人数据时,充分性决定和适当安全保障并非合适或可行的机制。对于具有全球性和行动性职责的国际组织而言,情况更是如此。与之相反,克减是当前此类数据传输的最可行的途径。基于对《通用数据保护条例》条文的文本分析研读和目的论解释,反对依赖克减处理大规模和系统性数据流动的观点原则上并不成立。
一、绪论
自欧盟数据保护法规制定以来,规制国际数据传输便成为保障个人基本权利的核心之一。欧盟《通用数据保护条例》对1995年指令下的国际数据传输规则进行了改革,将向第三国和国际组织传输数据的行为定义为国际数据传输,受第五章规制。第五章的逻辑前提是——《通用数据保护条例》对个人数据的保护应随数据的转移而转移:这些机制允许基于充分性决定的数据传输(第45条)、受到适当安全保障的数据传输(第46条),及在特殊情形下基于克减的数据传输(第49条)。这确定了“确保本条例所保证的自然人的保护水平”不因国际数据传输或接收方的再传输而“被削弱”的条件。
在向第三国(尤其是美国)传输数据的争论中,一些学者已初步分析了向国际组织传输数据所涉及的问题,但该问题仍未得到深入研究。国际组织本身并不直接受《通用数据保护条例》的约束。但国际组织常与其他非国际组织的利益相关方合作,当这些利益相关方的个人数据处理行为属于《通用数据保护条例》规定的适用范围和地域效力范围时,其必须遵守《通用数据保护条例》。国际组织需要与受《通用数据保护条例》约束的利益相关方协作,这使探讨向国际组织传输数据的依据成为关键。
二、在欧盟“虚拟空间”和《通用数据保护条例》适用范围之外的国际组织
国际组织不受《通用数据保护条例》的规制,《通用数据保护条例》中没有任何条款旨在明确对国际组织施加法律义务,或期待国际组织遵守该条例的义务。且鉴于受特权和豁免保障的特殊地位和保持独立性的需求,国际组织无论如何都不会实质上适用《通用数据保护条例》,这也体现了国际组织作为国际公法的产物的存续本质。每当条文提及国际组织时,均使用提及第三国时的表述——即不受《通用数据保护条例》约束的国家。国际组织被视为潜在的数据接收方,只有在具备额外安全保障时才能向其传输个人数据。
尽管国际组织不受到《通用数据保护条例》的约束,其常与金融服务提供方等其他实体相互传输个人数据。这意味着约束这些实体的个人数据传输规则,往往也会规制向国际组织传输个人数据的行为。考虑到这一点,加之国际组织在履行职责中对处理个人数据的依赖日益增加,审视向国际组织进行数据传输的依据和基础刻不容缓。
三、《通用数据保护条例》的数据传输机制概述
《通用数据保护条例》第五章规定了向国际组织传输数据的三种方式。
第一,若欧盟委员会已发布“充分性决定”认定该国际组织具备充分的个人数据保护水平,则数据可传输到该国际组织。目前尚无国际组织被欧盟委员会认定为能够提供充分的数据保护。
第二,如缺少针对某一国际组织作出的充分性决定,数据输出方和该国际组织可根据适当安全保障原则进行数据传输,其“前提是数据主体的权利可执行,且数据主体能获得有效的法律救济”。《通用数据保护条例》对“国际组织”的定义相对广泛:“受国际公法管辖的组织及其附属机构,或由两个或更多国家根据协议设立的任何其他机构。”根据该定义,欧洲数据保护委员会将国际组织认定为《通用数据保护条例》第46条第2款(a)项和第3款(b)项下的“公共当局或机构”范畴下的概念,这意味着标准合同条款及行政安排可能成为向国际组织传输数据的机制。具有约束力的企业规则、行为准则或认证机制等其他安全保障措施,并非精准针对国际组织设计或适用,且与欧洲数据保护委员会讨论的用于公共当局或机构的上述选项相比不太可能被斟酌采纳,因此本文不做讨论。
第三,如果没有确保实质性相当保护水平的充分性决定和适当安全保障,可根据《通用数据保护条例》第49条的“特殊情形下的克减”将数据传输到国际组织。第49条第1款第1项(a)—(g)详尽列出了这些限定情形,包括:当数据主体明确表示同意数据传输;数据传输“来自根据欧盟法或成员国法律旨在向公众提供信息并开放查询的登记册”;及数据传输为履行合同所必需、出于重要的公共利益所必需、为保护数据主体或其他人的重大利益所必需,或为“确立、行使或维护法律诉求”所必需。
下文将审查这三种数据传输机制,以评估其向国际组织传输数据的适配性。本文将首先探讨充分性决定和适当安全保障,再探讨适用克减的可能性。
四、评估是否与欧盟个人数据保护法的规定“实质性相当”
总结欧盟法院的“实质性相当”标准对于各数据传输机制的影响对奠定分析框架至关重要。Schrems II的判决中,欧盟法院指出,“无论基于(第五章)哪一条款向第三国传输个人数据,(《通用数据保护条例》下的)保护水平必须……得到保证”,并最终裁定适当安全保障和充分性决定均必须确保达到实质性相当的保护水平。
根据《通用数据保护条例》第45条第2款(a)项,这也自然包括国际组织采用的任何数据保护监管框架是否对应了《通用数据保护条例》设定的标准。此外,国际组织在正常开展行动的过程中可能需要向第三国对数据进行再传输,因此需要对该国公共当局对此的监视活动予以评估。因此,除国际组织自身的数据保护规则外,与上述要素相关的再传输问题(包括监视机构相对于再传输接收方的访问权限)成为评估是否实质性相当的重点考虑因素。
除上述要素外,若要寻求充分性决定或建立适当安全保障,国际组织还需受到数据主体的有效且可执行的权利、有效的行政与司法救济以及独立监督方面的评估。由于必须考虑与有效救济相关的国际组织的一些特殊性,“实质性相当”的评估可能十分复杂。
此外,《通用数据保护条例》第45条第2款(b)项的评估包含了与《通用数据保护条例》第52条规定相同的独立性要求,可能还考虑了第58条规定的责任。鉴于《通用数据保护条例》中的这些要求,独立监管,特别是关于独立性和执法权力的监管,也被认为是审查国际组织“实质性相当标准”时需考察的一个关键指标。
最后,《通用数据保护条例》第45条第2款(c)项提到了诸如任何“国际承诺”、任何“源于法律约束性公约或文书的义务”,或任何“在多边或区域体系中的参与”等要素。正如《〈通用数据保护条例〉立法原因说明》第105条所指出的,这特别包括加入《关于个人数据处理的个人保护公约》及其附加议定书。这些“国际承诺”也可包括国际组织为维护国际数据保护标准而参与任何国际论坛的行为。
尽管欧盟法院的判例明确指出,当国际组织在寻求获得委员会的充分性决定或与欧盟内的数据传输实体建立适当安全保障时,委员会将根据条例第45条中的这些要素对其进行全面评估,但如何将这些要素与《通用数据保护条例》保护的基本权利相对应不太明确。国际组织首先需要具备哪些要素,才能与欧盟委员会或数据传输方达成一项潜在的可行机制?考虑到《通用数据保护条例》第45条中的要素,后文将分析“充分性决定”和“适当安全保障”在涉及向国际组织传输数据时的潜在常见限制。
五、充分性决定和适当安全保障
虽然本文撰写时尚未有任何国际组织取得充分性决定,但《通用数据保护条例》明确提供了该可能。国际组织符合前文第45条第2款和第3款所述标准的可能性日益增加。例如,越来越多的国际组织正在采用数据保护监管框架,包括前文提到的规则、政策和指南等。这些框架大多融合了国际公认的数据保护原则、要求和权利,这在《通用数据保护条例》中均有提及,因此可以在充分性评估中作为考虑因素。此外,具有《通用数据保护条例》第45条第2款(b)项所规定职责的独立监管机构的例子包括国际刑警组织的档案管制委员会(CCF)以及红十字国际委员会的数据保护办公室(DPO)。
此外,《个人数据自动化处理中的个人保护公约》第27条规定为国际组织对个人数据保护作出“国际承诺”提供了可能性。该条款允许欧洲委员会的部长委员会对国际组织进行评估,以确定其是否可加入该公约。这可能包括需要国际组织参与到公约咨询委员会的工作中,现有若干国际组织以观察员的身份加入了该委员会。还可能需要国际组织的监管部门参加全球隐私大会——这是在全球层面汇集数据保护机构和隐私保护专员的组织,许多国际组织的监管部门是其成员或观察员。因此,虽然尚无国际组织通过加入《第108号公约》或通过在其创始条约中纳入数据保护的内容作出数据保护方面的国际承诺,但上述“国际承诺”可被视为评估充分性的考察因素。
六、与国际组织的法律地位特权和豁免权的兼容性
即使国际组织理论上能证明其达到了《通用数据保护条例》第45条的充分数据保护水平,但充分性决定的概念及其认定过程可能被视作对国际组织独立性要求的干预。联合国在此基础上对充分性审查过程中的“实质性调查”表示反对,称其“违反了尊重联合国系统内组织的法律地位、特权和豁免权的义务,包括避免干预联合国开展授权活动”。即使认为欧盟委员会的充分性评估与国际组织的法律地位、特权和豁免权相兼容,随着个人数据保护制度在全球倍增,国际组织如考虑将充分性作为最适合的数据传输机制,需履行多个此种类型的平行程序。而如果不同国家适用的数据保护框架不一致或者不兼容,寻求充分性的决定可能要求国际组织决定部分成员国的数据保护框架优于其他国的依据。这将严重限制国际组织(包括相对于其所有成员国)的独立性和公正性,干扰其开展其全球行动职责的能力。对于该问题,欧盟委员会明确承认其修订后的标准合同条款与国际组织的特权和豁免权不兼容,并指出该修订未考虑国际组织的特定需求和特殊情况。
即使是定制合同或行政安排,目前也尚不清楚《通用数据保护条例》是否期待数据传输实体服从其管辖,以确保实质性相当。根据任何经调整适用于国际组织的适当安全保障机制向国际组织传输数据的实体,现实中将不得不放弃任何服从传输方管辖的要求。欧盟法院是否会认为这种方法符合基本等同的标准还有待观察。
七、数据再传输
即使寻求符合充分性保护要求或提供适当安全保障的确在全球范围内与国际组织在国际法律秩序中的地位及作用相符,这两种机制仍存在数据再传输的问题。《通用数据保护条例》第44条规定将责任直接归于从“欧盟的虚拟空间”中再传输数据的实体:即数据传输方必须确保数据在被国际组织接收后,包括当该国际组织随后将其再传输给另一个接收方时,数据不会失去其在《通用数据保护条例》下所享有的保护。
对于基于充分性决定向国际组织进行初始数据传输的数据输出方,即便有可能履行该再传输义务,也将十分困难。由国际社会赋予职责在全球范围内开展行动的国际组织别无选择,只能照做;此外,负有人道职责的国际组织在其常规行动过程中也需要将数据再传输至处在人道紧急局势下的第三国。许多情况下,这些国家中的再传输数据接收方不太可能被视为处于欧盟充分性决定所覆盖的司法管辖区,这就将构成《通用数据保护条例》保护框架的漏洞。
另一种方式是,欧盟的数据输出方可尝试要求接收数据的国际组织通过适当安全保障而非充分性决定,但这种机制同样无法确保数据输出方能够履行其义务。
首先,一个负有职责在全球范围内开展行动的国际组织(尤其是在人道紧急局势下工作的组织),无论最终接收方是否愿意受到确保实质性相当保护条款的约束,实际上都需要将数据再传输到第三国。其次,即使最终接收方接受该等条款,条款本身也不太可能被认为足以确保与《通用数据保护条例》相当的保护水平。实际上,由于人道紧急局势的脆弱性和不稳定性,与设立在受影响国家的实体达成的任何合同义务都不太可能得到有效的强制执行。最后,假设数据再传输的接收方愿意受到适当安全保障的约束,且这些条款有可能在人道紧急局势的情况下有效执行,数据输出方也仍然无法就最终接收方所在国的数据监视法规获得可靠的保证。
总体来看,这些担忧与充分性决定相关的问题相似:当数据输出方通过安全保障向接收数据的国际组织寻求充分保护时,数据输出方通常无法可信地履行其在《通用数据保护条例》第五章项下的义务。
八、独立监管和有效救济
除在数据再传输过程中提供充分保护的问题外,目前大多数国际组织在独立监管和有效救济方面是否能被视为提供了相当的保护水平尚不确定。
为了进行独立监管并有效行使数据主体的权利,所设立的机构或机制需符合前文提到的各项条件,且这些机制能否明确体现出与《通用数据保护条例》设定的条件“实质性相当”,还有待观察。关于有效救济,一个机制中任何就公共或私人机构向国际组织传输数据所设定的要求,须与国际组织享有的司法管辖豁免权和执行豁免权相兼容。有鉴于此,欧洲数据保护委员会在其关于数据传输的指南中指出,有效的司法救济措施可视国际组织的具体情况而定。
目前尚不清楚金钱赔偿是不是构成“实质性相当”的必要要素,但即便金钱赔偿经评估成为“实质性相当”标准的关键要素,对于具有全球性和行动性职责的国际组织来说,尤其是人道组织,几乎不可能提供金钱赔偿。欧洲数据保护委员会的指南似乎认识到了这一困难,并允许表述的模糊性:“传输个人数据的公共机构可以承诺对……损害进行赔偿”,该表述并未明确在接收数据的国际组织的特定地位下,金钱赔偿是不是一项严格要求,因为该义务似乎落在传输数据的实体身上。
因此,尽管欧洲数据保护委员会认识到了条例的规则在适用于国际组织时的局限性,并建议提供替代机制,但这些机制是否能被传输数据的实体所接受,如果接受,其能否经受住因未能达到“实质性相当”标准而受到的法律质询有待观察。
九、充分性决定和适当安全保障下数据传输操作的实际可行性
即使寻求充分性决定或采取适当安全保障确实在全球范围内与国际组织在国际法律秩序中的地位和角色相兼容,以及即使该国际组织能够制定与再传输、独立监管和有效救济相关的适当解决方案,但其实施过程对双方来说也是耗时耗力的。仅日本与欧盟之间的相互充分性决定就进行了“约八十次的反复对话,总计300小时”,整个过程耗时超过两年。同时,一些消息来源指出,对阿根廷的数据传输作出充分性决定用时18个月,是迄今为止最快的决定之一。这使得寻求充分性决定对于具有行动性职责的国际组织来说尤其不适宜。
作出充分性决定的严苛性质还意味着就《通用数据保护条例》而言,获得充分性决定的可能性与欧盟的优先考虑事项紧密相连,而国际组织似乎并非欧洲委员会的优先考虑事项。相关记录显示,欧洲委员会将“优先与东亚和东南亚的主要贸易伙伴讨论可能的充分性决定,2017年从日本和韩国开始,但同时也考虑印度以及拉丁美洲国家等其他战略伙伴,特别是南方共同市场和欧洲周边国家”。对于国际组织来说,鉴于欧盟正致力于与主要经济伙伴推进该进程,在短期和中期内采取充分性决定的可行性进一步降低。
另须强调的是,国际组织采用适当安全保障这一机制时,可能遇到与批准过程相关的类似可行性问题。正如《通用数据保护条例》第46条第3款所述,插入行政安排的条款以及公共机构之间协议中的其他条款,必须先经过主管监管机构的明确授权,遵守《通用数据保护条例》规定的实体才能使用此工具作为传输机制。例如,开展人道行动的国际组织可能主张,这一批准过程构成对其活动的过度和不必要干预,因为在人道紧急局势期间,通常需要向国际组织紧急传输数据,以援助受影响人群并挽救生命。
十、可能的未来路径:克减?
鉴于前述因素,充分性决定和适当安全保障对于国际组织的国际数据传输来说,是一条令人担忧的实现路径。有人认为,充分性决定可能会威胁全球性国际组织的独立性和公正性,且随着全球个人数据保护制度不断增多,充分性决定事实上无法实现。其本质上会使数据传输方面临无法履行《通用数据保护条例》第五章规定的义务之风险,且由于其耗费时力,短期内无法满足任何一方的优先考虑事项。同样地,采取适当安全保障基本上将评估充分性标准的责任从欧洲委员会转移到了数据传输方身上,这使得任何合同条款或行政安排都不太可能奏效,因为它涉及前面所讨论过有关数据再传输(包括对再传输所在国的数据监管和有效救济措施的评估)、独立监管和有效救济方面的所有要求。
因此,有人主张,应将《通用数据保护条例》第49条授予的克减作为向国际组织传输数据的可行机制加以探讨。在2021年1月举办的第40个数据保护日的主题演讲中,Schrems II案的法官冯·丹维茨(von Danwitz)也以个人立场做了大意相近的发言:“问题在于,作为一个企业,其是否必须将数据传输到欧洲委员会没有作出充分性决定的第三国?是或否?这是根本性的问题……如果不可能适用标准合同条款,因为其在第三国处理数据时在该国的国家法律框架下无法遵守这些条款—那么这当然就会引发依据《通用数据保护条例》第49条(特殊情形下的克减)来传输数据的问题……在我看来,第49条赋予的路径尚未得到充分研究。我认为它们并未狭窄到限制了任何形式的数据传输的程度……”
十一、克减
在缺乏充分性决定和适当安全保障的情况下,还可根据《通用数据保护条例》第49条中的“特殊情形下的克减”进行数据传输。有观点认为,该规定本质上意在务实地承认,在某些特殊情形下,例如不进行传输会置数据主体的生命于危险之中,则无论是否考虑了“实质性相当”的因素,传输均是合乎逻辑的决定。
根据在关于《通用数据保护条例》第49条克减规定的指南中,欧洲数据保护委员会建议“数据输出方应首先努力探索在传输数据时适用《通用数据保护条例》第45条和第46条的可能性,仅在没有这种可能性时,才适用《通用数据保护条例》第49条第1款项下的克减规定”,以确保克减“不会成为常规”。但这与《通用数据保护条例》所要求的直接分析相悖。数据控制者和处理者可根据《通用数据保护条例》的文本规定进行简单分析。如果已存在充分性决定,数据传输无需进一步授权,即可传输到所涉第三国或国际组织;如果尚未作出充分性决定,数据传输方可与第三国的数据接收方或接收数据的国际组织寻求适当安全保障;最后,如果没有可依赖的适当安全保障,在适用的情况下可将克减用作数据传输的机制。欧盟法院对《通用数据保护条例》第49条的明确提及表明,克减在适用的情况下可能有助于弥补充分性决定缺失的情况;但此处未提到在不具备适当安全保障时首先寻求适当安全措施。
鉴于上文所述的基于充分性决定和适当安全保障向国际组织进行数据传输的不适合性,及缔约国承诺使国际组织能够履行其由各国依据国际法赋予的职责,克减因此成为一种可行的机制。如下所述,基于特殊情形下的克减向国际组织传输数据,为国际组织履行其职责提供了最有前景的路径。
十二、为出于重要公共利益或数据主体的重大利益所必需的克减
对于向国际组织进行数据传输的情形,最适当的克减依据是《通用数据保护条例》第49条第1款第1项(d)目的规定,“该传输为出于重要公共利益所必需”时可援引克减。例如在《〈通用数据保护条例〉立法原因说明》第112条中所列的“主管治理机构、税务或海关管理机构之间、金融监管机关之间,以及在负责社会保障事务或公共卫生的服务机关之间的国际数据交换的情况下”使用。正如恩图瓦斯(Ntouvas)所指出的,这些例子建议“公共利益可以被定义为将数据从一个公共当局传输到另一个公共当局的需求”。
国家设立国际组织或根据国际法授予其职责的事实应表明,为履行该职责而进行的任何个人数据处理均为了促进“公共利益的重要方面”。欧洲数据保护监督机构(EDPS)曾在几个案例中发表了批准根据适用于欧盟机构的数据保护法出于重要公共利益向国际组织传输数据的意见,这与《通用数据保护条例》所规定的义务一致。
此外,在国际组织需要进行数据传输以应对人道紧急局势,且“该数据主体在生理上或法律上无法给予同意”的情况下,数据输出方可依据“传输为保护数据主体或其他人的重大利益所必需”这一条款适用克减。《〈通用数据保护条例〉立法原因说明》第112条通过直接提及国际人道组织的工作,阐释了该门槛:
为完成日内瓦四公约规定的任务或遵守适用于武装冲突的国际人道法,任何将生理上或法律上无法给予同意的数据主体的个人数据传输至国际人道组织的行为,均可被视为是出于保护重要公共利益或是数据主体的重大利益而必需的行为。
因此,对在人道紧急局势下工作的国际组织而言,保护重大利益是另一潜在适用的依据,包括数据主体意识清醒的情况。
十三、反对大规模和系统性数据传输
然而,依据公共利益或数据主体的重大利益的克减向国际组织进行数据传输的限制是:原则上,克减不能是系统性和重复性的。欧洲数据保护委员会在2019年发布的《关于2016/679号条例下第49条克减的指南》(2/2019)中指出,适用克减的“数据传输可能不止一次,但不能定期进行,且应当不属于常规行动”,以保持“克减作为规则之例外的本质”。该指南同样特别指出,“根据第49条第1款第1项(d)目以重要公共利益为依据适用克减的数据传输(不)能大规模且系统性地进行”。同样,欧洲议会和理事会修改了欧洲司法合作署的法律框架,明确指出克减“不应是大规模和结构性的”。
但从文本本身和目的论的角度来解读《通用数据保护条例》,该限制并不适用于所有克减。且《通用数据保护条例》第49条指出,即使在没有充分性决定或适当安全保障的情况下,如果满足克减条件,仍可进行数据传输。例如,出于重要公共利益或为保护数据主体或其他人的重大利益所必需的传输,可以适用克减,条文中也没有提到关于传输规模和频率的限制。除在《〈通用数据保护条例〉立法原因说明》第111条中提到的非重复性的限制外,该限制仅在基于“数据控制者寻求充分的合法利益”的相关国际传输的情形中提及。在《通用数据保护条例》中,该克减依据也在结构上与其他条款分开并单独列出,置于第49条第1款的最后一段,并与(a)至(g)项下列出的其他依据分开。该区分也体现在《〈通用数据保护条例〉立法原因说明》第113条中,欧洲数据保护委员会确实认可了该例外克减依据与其他依据的区别。
从目的论的视角来看,当基于“重要公共利益”或“数据主体或其他人的重大利益”等其他依据适用克减时,大规模或系统性的数据传输并不改变进行传输的迫切需求。当数据主体的生命岌岌可危时,以“重复性”或“大规模”为由阻止数据传输不合情理。无论重复性或规模如何,出于重大利益考量的克减确实涵盖了这些情形。在这种方式下,对克减的严格解释问题—这也是解释与基本权利相关条款的克减时的一个重要要求,并不关乎数据传输的数量和频率。因此,依靠克减将数据传输到国际组织的行为,所参考的是决定传输对适用情况是否“必要”(意即存在紧密且实质的联系)的规范性判断。该判断独立于依靠克减的次数,且与传输或接收数据的组织的性质无关。
十四、数据再传输
本文所建议的克减也是数据输出方在将个人数据传输到国际组织时,能够履行其在《通用数据保护条例》第五章下的义务的唯一方法。实际上,这种论证逻辑支撑着国际组织参与国际数据流动的能力。如果坚持反对“大规模和系统性的数据传输”,特别是基于重要公共利益的克减进行的此类传输,则在大多数情况下,需将数据传输到国际组织的任何实体均无法使用国际数据传输三种传输机制中的任何一种机制。
因此,克减成为国际组织接收个人数据传输最为可行和适当的机制。基于重要公共利益的克减或数据主体的重大利益的克减的传输,的确应当在进行必要性审查时对其进行狭义解释,这是其定义的应有之义。然而,基于克减不应“以大规模和系统性的发生”的主张禁止原本必要的数据传输,可能会使国际组织的行动完全停滞。该结果将与《通用数据保护条例》“进一步便利个人数据在欧盟内部的自由流动,及向第三国和国际组织的传输,同时确保高水平的个人数据保护”的目标相悖。为了避免此种困境并实现《通用数据保护条例》适当规范国际数据流动的目的,应按照本文的论证解释克减。
十五、结语
鉴于向国际组织进行国际数据传输的重要性,且此种传输只能在依据《通用数据保护条例》第五章规定的严格要求下进行,本文探讨了可行的传输机制,以确定向国际组织进行数据传输的最佳机制。目前,充分性决定和适当安全保障可谓是不宜向国际组织进行数据传输的机制,尤其是具有全球性和行动性职责的国际组织。这两种机制都需根据“实质性相当”的保护水平进行评估:考虑到全球性国际组织的独立性和公正性,充分性决定不切实际;而考虑到与本文探讨的再传输、独立监督和有效救济相关的困难,任何适当安全保障都难以奏效。
相反,根据《通用数据保护条例》第49条的以下克减依据向国际组织传输数据具备可行性:重要的公共利益和数据主体的重大利益。针对这些克减用于向国际组织进行传输的一种反对意见是,传输必须是“偶尔”的且“非重复性”的。然而,该解释并非源自《通用数据保护条例》的文本规定。如《通用数据保护条例》文本及对其进行的目的论解释所示,与“非重复性”和“非系统性”传输相关的限制仅与一项特定的克减相关:即数据控制者的合法利益。虽然作为数据传输机制的克减确实应当被严格、狭义地解读,因其是对充分性决定或适当安全保障要求的克减,但这种限制关乎的是数据传输的“必要性”而非“合意性”。
最后,依靠克减向国际组织进行数据传输的可能性,并不意味着国际组织可完全免除遵守数据保护原则的责任。尊重数据保护原则对国际组织极为重要,尤其是国际人道组织。更确切地说,基于特殊情形下的克减向国际组织传输数据,为国际组织(特别是其职责与人道行动相关的国际组织)提供了最具前景的途径,使其能够接收履行其国际法下职责所必需的数据。
往期精彩回顾
胡书豪 倪铁|公立医院医药购销领域腐败治理的路径优化
郑文龙|从严格保护到风险控制:数据监管沙盒的理念遵循与制度建构
乔岳 孙刚|有故意无身份型间接正犯之否定——以内幕交易罪为出发点的展开
目录|《上海法学研究》2025总第13卷
[匈牙利]兹索尔特·兹迪著 王泽山译|算法可解释性和法律推理
[丹麦]杰斯帕·瑞贝格著 奚哲涵译|刑事司法与人工智能:如何评估量刑算法的性能
上海市法学会官网
http://www.sls.org.cn
