设为首页 加入收藏 期刊导航 网站地图

Dispute Settlement
Vol. 10  No. 01 ( 2024 ), Article ID: 78760 , 7 pages
10.12677/DS.2024.101017

论数据立法管辖权的域外扩张与冲突

杨异

华东政法大学国际法学院,上海

收稿日期:2023年11月1日;录用日期:2023年12月29日;发布日期:2024年1月8日

摘要

欧盟与美国相继颁布GDPR与CLOUD法案,暗含不同种类的数据立法管辖权域外扩张,体现了双方争夺全球数据治理领域的话语权,寻求以自身标准构建全球数据治理的话语体系的目的。虽然我国坚持对境内处理数据管辖,尊重他国境内数据处理主权,但是在数字经济背景下,数据在全球范围内跨国界的流动,跨境流动数据的管辖权域外扩张必将影响到他国的境内数据管辖权,故我国也难以置身事外。因此,针对包括美国、欧盟、第三国在内的多方管辖权冲突,我国也应当积极主动地参与全球数据治理,以双边谈判的形式寻求数据立法的域外适用,同时完善本国国内法律,对信息分类处理,保护数据主权与国家安全。

关键词

数据跨境流动,数据本地化,域外立法管辖权,GDPR

Analysis on the Extraterritorial Expansion and Conflict of Digital Prescriptive Jurisdiction

Yi Yang

School of International Law, East China University of Political Science and Law, Shanghai

Received: Nov. 1st, 2023; accepted: Dec. 29th, 2023; published: Jan. 8th, 2024

ABSTRACT

European Union and the United States promulgate GDPR and CLOUD Act one after another, implying different kinds of extraterritorial expansion of data legislation jurisdiction, reflecting the two sides scramble for the discourse right in the field of global data governance, seeking to establish the discourse system of global data governance with their own standards. Although we adhere to the jurisdiction over data processed within the territory of our country and respect the sovereignty of domestic data processing of other countries, in the context of the digital economy, data flows across borders all over the world and the extraterritorial expansion of jurisdiction over cross-border flow of data will definitely affect the jurisdiction over domestic data of other countries, so we cannot stay out of it. Therefore, with respect to multi-jurisdictional conflicts including the United States, the European Union and third countries, China should actively participate in global data governance, seek the extraterritorial application of data legislation in the form of bilateral negotiation, and at the same time improve its domestic laws, classify and process information, and protect data sovereignty and national security.

Keywords:Transborder Data Flows, Data Localization, Extraterritorial Prescriptive Jurisdiction, GDPR

Copyright © 2024 by author(s) and Hans Publishers Inc.

This work is licensed under the Creative Commons Attribution International License (CC BY 4.0).

http://creativecommons.org/licenses/by/4.0/

1. 数据层面的域外立法管辖权概念界定

在全球化和信息革命不断推进的背景下,数据经济的发展离不开数据的跨境流动,数据逐渐成为驱动全球经济社会发展的核心资源 [1] 。尤其在云计算出现以后,大量数据通过云服务来存储和处理,造成了主权国家的法律管辖权与信息流通性之间的矛盾。各国逐渐通过立法的形式,确立对域外跨境流动数据的管辖权。

1.1. 跨境数据流动的概念界定

跨境数据流动(Transborder Data Flows, TDF)的概念最早在1980年由OECD《保护隐私和个人数据跨境流动指南》提出的,指南的第一部分将个人数据的跨境流动解释为“个人数据跨越国境流动”。1而各区域贸易协定(RTA)如CPTPP第14.11条,常常以“电子方式跨境传输信息”指称数据跨境流。2可见在区域贸易协定中数据跨境流动的法律概念中,个人信息重在商业用途的个人数据。这是因为区域贸易协定是各国在贸易领域的妥协意志,数据传输主要为数字贸易服务,故数据的概念主要指是个人信息、个人数据。个人数据的流动一方面为电子商务或数字贸易提供便利,另一方面本身具有商业价值,逐渐成为一种贸易对象 [2] 。在区域内立法里,欧盟《通用数据保护条例》(GDPR)在定义个人数据时为“任何自然人已被识别或可被识别的信息”,意味着对“数据”和“信息”的混同使用。

理论上,学者也对数据跨境流动的定义做出了广泛的讨论。William L Fisherman认为跨境数据流动应广泛定义成各国之间的电子数据流动 [3] ;2011年OECD的Kuner Christopher将跨境数据流动将其广泛解释为包括导致个人数据流经国界的大多数种类的数据和机制。他提到跨境数据监管的审查因受到跨境数据的许多定义不明确的困扰,因此对于“个人数据”、“跨境数据流动”和“数据传输”之类的定义应当尽量宽泛,因为定义的过于狭隘的关键术语很容易因为技术和商业模型的快速变革而被取代 [4] 。也有国内学者主张,虽然学界关于数据跨境流动定义仍未形成统一意见,但是普遍的共识是“流动”宽泛地包括数据的跨国访问、传输、转移和使用等一系列行为 [5] 。本文同意这样的观点,数字经济发展迅速,对数据、信息的跨境流动的概念给予宽泛的理解,以保持技术中性原则。从数据主体来看,数据可以分为个人数据、商业数据和公共数据,目前绝大部分文献都以“跨境数据流动”代指“个人数据跨境流动” [6] ;因此,本文结合本文讨论的视角和学界惯例,将研究范围限定在个人数据上,数据跨境流动指个人数据的跨国访问、传输、转移和使用等一系列行为。

1.2. 域外立法管辖权概念的界定

管辖权是指国家通过立法、行政、司法等各种手段,对域内的一切人、事、物以及领域外的本国人所施行的统治权。具体而言,包括立法、司法、和行政的管辖 [7] 。域外管辖则指的是一国将其法律的适用范围或其司法和行政管辖范围扩展至该国领土以外 [8] ,包括域外立法管辖权、司法管辖权和执法管辖权,可见域外立法管辖权即通过立法将法律的适用范围及于该国的领土之外人、物或行为的权利。美国、欧盟等实体通过立法的方式,主张数据自由流动或高标准隐私保护,其背后是通过立法的手段实现对域外数据的管辖,实际上是立法管辖权扩张的体现。域外立法管辖权主要在美国被广泛运用。从1870年开始,美国就不断将域外管辖作为对外扩张的一种手段。第二次世界大战后,美国国会制定的立法中含有越来越多的域外适用内容。

综合上述分析,数据领域的域外立法管辖权,指对进行跨国访问、传输、转移和使用等一系列行为的个人数据通过立法的方式将法律的适用范围及于该国的领土之外人、物或行为的权利。

2. 数据跨境流动领域中域外立法管辖权的实践

在互联网、大数据等信息技术在全球范围内广泛运用的今天,数据、信息可以通过网络空间在世界范围内流动,带来大规模的商业价值。经济效益与国家安全、个人隐私保护是不同的价值取向,衍生出“数据自由流动”与“限制数据流动”的不同数据政策。美国主张数据自由流动,跨境数据的收集和分析是促进美国经济发展的重要方式,依USITC估算,数据流动使得美国的GDP增长了3.4~4.8各百分点,创造了240万各就业岗位,3美国因此基于其信息产业的优势地位以及数据自由流动的依赖性,通过多种途径促进数据的跨境流动。而欧盟所采取“数字单一市场战略”(Digital Single Market Strategy),对欧盟内部主张个人数据自由流动、对外严格限制个人数据跨境流动的规制体系,通过建立隐私保护标准限制数据跨境流动,对应着个人隐私保护的社会需求与价值理念。

然而无论是美国所主张的数据自由流动,还是欧盟通过高标准个人数据保护设置的数据本地化措施,都以立法的方式将全球与其有关联的数据置于立法的管辖之下,从而便于法律的域外适用,在电子商务和数字贸易缺乏国际共识的当下,以国内法或区域内立法构建国际秩序,甚至寻求国内法在域外得到执行。除此之外,两种类型的域外管辖形成对峙,新一轮的管辖权冲突正在悄然升级。

2.1. 美国数据域外立法管辖权的实践

美国对数据跨境流动的采取的政策模式是一方面极力推崇数据的自由流动,另一方面对自由流入所有境内的数据行使管辖权,两项措施相辅相成,体现了美国长期以来的霸权主义思想。

2.1.1. 美国数据自由流动体系

美国没有制定国内统一的电子商务法,而是凭借全球经济的强势地位与他国签订双边条约或区域贸易协定,主导电子商务或数字贸易谈判以构建全球性的数据流动规则;同时,争取与贸易伙伴达成协议,消除易造成非关税贸易壁垒的过于繁琐的内容法规。4此前美国牵头的TPP第14.11条规定各国应允许个人信息通过电子方式传输,但也包括法律公共政策的例外。514.13条规定,任何缔约方均不得要求受保护者使用或定位该缔约方领土内的计算机设施,作为在该领土内开展业务的条件6。同样制定数据自由跨境流动的还有APEC《跨境隐私规则体系》(CBPRs)、《美国–墨西哥–加拿大协定》(USMCA)等,均设有电子商务或数字经济章节;双边协定中,韩国签订的《韩美自由贸易协定》(KORUSFTA),其电子商务章节中首次提出数据自由流动的问题,主张数据跨越国界自由流动,限制不必要的信息流动壁垒;7旨在打开推行数据本地化存储的国家的市场,凭借强大的经济实力和完备的产业体系吸引外国消费者,通过提供产品和服务促使消费者信息流入美国,由美国的信息处理者处理信息,进而依法获得对信息的管辖权。

2.1.2. 美国跨境数据管辖体系

微软诉美国境外数据索取案中,美国政府败诉。当时适用数据立法为1986年的《存储通信法案》(Stored Communicated Act, SCA),SCA并未明确规定美国政府的搜查令效力可以及于通信服务商存储在境外的数据。在微软案中,法官签发搜查令要求微软提供存储在爱尔兰数据中心的用户电子邮件信息,微软拒绝提交,认为美国政府滥用权力侵害用户隐私。美国政府在此时主张的即是“控制者标准”,认为微软是美国公司,有义务接受美国政府的属人管辖;但该数据并未储存在美国境内,上诉法院认为执法部门的搜查令不具有域外效力,美国政府要获取境外数据可以通过双边司法协助的方式进行。8最终案件由美国政府申请重申至美国第二巡回上诉法院,未能得到支持,案件以微软胜诉告终。

在此背景下,美国颁布了《澄清境外数据合法使用法案》(CLOUD法案),确立了“数据控制着标准”对数据进行管辖:只要美国的电子通讯服务商对数据监管或控制,则有义务进行披露,无论这些数据的存储地点是是在美国境内或境外。9可见,美国基于本国数据基础的优势将数据服务扩展至其他国家境内,使他国居民的数据流入美国进行信息处理,抢占信息的拥有、监管、与控制,依据CLOUD法案的“控制者标准”可以对美国的服务提供者进行属人管辖。此时被管辖的服务商处理控制的数据,就成为了受美国管辖的物,属人管辖转化为了对物管辖。另一方面,美国以属地原则为辅对数据进行管辖 [9] 。首先是对本身储存在美国境内的数据,美国当仁不让的具有管辖权;另外,严格限制外国高科技产业在美国扩展,如华为等企业在美国控制的自由市场上受到严格抵制 [10] 。

除此之外,CLOUD法案制定了外国政府调取存储在美国境内的数据的条件,即设定“适格外国政府”(Qualifying foreign governments)标准,其认可的适格外国政府可以直接像美国公司调取数据用于侦查执法,但是该外国必须放弃其数据本地化 [11] 。但是,CLOUD法案对适格外国政府的标准制定的十分严格,必须与美国签订行政协议且依第2523条生效的外国政府,且该国向电子通讯服务提供商和远程计算服务提供商的法律须保证程序和实体上的平等10;签订行政协议也有严格的要求,2523条要求外国政府国内立法和执法保障人权、尊重表达结社自由、避免逮捕、监禁,禁止对言论自由的限制等,且该外国还需要是《网络犯罪公约》(Cybercrime Convention)的成员国。11这说明,他国是否可以调取存储在美国的数据是由美国自己制定标准的,且标准极为严格,事实上限制了本国存储数据的对外流出,阻断了他国对存储在美国境内数据的管辖权。

2.2. 盟数据域外立法管辖权实践

如上所述,欧盟所采取“数字单一市场战略”,对欧盟内部主张个人数据自由流动、对外严格限制个人数据跨境流动的规制体系。管辖权的域外扩张则见于欧盟对外部限制个人数据流动的规制,具体表现为提升数据跨境输出的审查标准。

2018年GDPR正式生效,其也在数据领域寻求管辖权的扩张。一方面,GDPR掌控对数据的管辖权,即便该数据的计算行为没有发生在欧盟内部,GDPR第三条第一款规定条例适用于设立在欧盟内部的数据控制者或数据处理者处理的个人数据,不论其实际数据处理行为是否在欧盟内进行。这体现了云计算背景下数据处理的特点,域内营业机构处理权限范围内的数据处理没有地域限制,只要数据是受欧盟设立的数据处理者处理,都受GDPR的调整,欧盟对此具有管辖权。另一方面,第二款规定条例也适用于对欧盟内数据主体的个人数据处理,即使控制者和处理者没有设立在欧盟内,12给来源于欧盟数据主体的跨境数据打上欧盟烙印,给数据加上欧盟“盟籍” [12] 。也即是说,只要是对欧盟中个人提供产品或服务,无论提供服务或产品的商家是来自哪个国家或地区,也无论对此次交易活动产生数据的处理者是否在欧盟境内,均适用GDPR,且欧盟的法院均具有管辖权。这是因为数据主体即消费者来自欧盟内部,故其产出的数据也具有欧盟的属性,基于这一联系欧盟得以使管辖权扩张。

可见,虽然欧盟针对域内的数据流动建立了广泛而普遍接受的属地管辖原则,但对数据管辖权的域外扩张运用的是属人管辖。一方面是对数据处理者的属人性,GDPR规定欧盟对设立在境内的数据处理者具有管辖权,进而对该处理者处理的数据也具有管辖权,将对人管辖转变为对物管辖,同时排除了地域性的影响,即无论处理行为是否在欧盟境内;另一方面是对数据主体的属人性,只要电子商务交易背后的消费者是欧盟内的居民,欧盟即取得对该消费者信息的管辖权,无论服务或商品的提供者来自何地。

有学者认为,保护管辖色彩的标准实际上以保障公民基本权利为表象强行扩张了《条例》的适用范围。通过将网络的媒介属性与最低联系标准相结合的做法,数据主体无论是位于欧盟境内还是境外,只要涉及欧盟个人数据,都将受到《条例》的管辖,这在纵向上已经实现标准的“全球适用” [13] 。但笔者并不认同这一观点,第三条第二款对数据主体的管辖权虽然具有扩张的属性,但实然上的扩张依托于数据真正的广泛地跨越边境向外流动,但GDPR并不孤立数据广泛的自由流动,制定高标准的人权保护制度对隐私权进行保护。如GDPR第28条规定的标准合同条款(Standard Contract Clause)13,GDPR通过标准合同条款来规范数据跨境传输过程中的提供者和接收者的行为,以实现双方权力义务的平衡;第44条以国籍原则限制数据的二次传输14;第45条规定的基于充分决定的数据传输,只有欧洲委员会确定要求信息的第三国、地区或国际组织有足够保护的级别才可以进行传输,考察的因素包括法律条文、监督部门和该国作出的国际承诺15。这些措施都大大限制了数据的自由流动,保护个人权利才是GDPR的最主要特征。

3. 潜在的新一轮数据管辖权冲突

美国与欧盟对跨境流动的数据存在极为广泛重叠的范围,存储欧盟境内由美国处理的信息,正如微软案中微软的数据信息储存在爱尔兰,这种情况会带来美国“控制者标准”与欧盟属地管辖的冲突;而在第三国境内的个人数据或信息,只要经过美国境内的信息处理者处理,同时该信息来源于欧盟居民或是欧盟的内部行为,美国于欧盟则基于“控制者标准”与“欧盟盟籍”同时主张境外数据的管辖权。同时,如果该第三国还依存储地标准,主张对该数据的管辖权,那么双边冲突极有可能升级为多边冲突。在这种情况下,中国作为此类第三国,面对GDPR与CLOUD对与数据管辖权的冲突,将面临更加严峻的挑战。

3.1. 欧盟与美国之间的数据立法管辖权冲突

欧盟与美国以往的数据管辖权冲突体现于欧盟的数据本地化与美国立法管辖权之间的冲突。美国与欧盟在1998年达成了《安全港协议》(U.S.-EU Safe Harbor Framework),其中确立了自我监管制度以应对届时欧盟《个人数据保护指令》(EU Directive 95/46EC)第25条规定的“充分保护原则”,16让美国企业得以从欧洲进口商业性个人数据。这体现了美国对欧盟数据本地化保护的容忍。“棱镜门”之后,《安全港协议》被欧盟法院宣告无效17,美国依然继续与欧盟合作,签订了《隐私盾协议》(EU-U.S. Privacy Shield Framework)。随着欧盟GDPR继承了《指令》包括“充分保护原则”在内的一些列规则,《隐私盾协议》仍用于规制欧美之间的数据传输,体现了美国为与欧盟合作获取数据进口,对欧盟本地化措施的容忍。

但是,如上文所述,GDPR的颁布带来的不仅是本地化措施,更是欧盟数据管辖权的域外扩张,且带来了与美国数据管辖权的冲突,美国随后颁布CLOUD法案体现了美方对欧盟数据管辖权的回应,以及选择不再避免与欧盟在数据管辖权上产生更为积极的冲突。

虽然此两个法案目前还未出现管辖权冲突的具体案例,但是存在潜在风险。在已有的案例中,与这一种新型冲突模型最为相近仍是前述的微软传唤案,可以为双方解决冲突提供参考。正如代表欧盟的欧洲委员会作为法庭之友在案中所做的陈述:微软受命将要提供的数据,属于欧盟数据立法保护的范围;美国执法机关仅凭单方面的权限不能合法地命令从欧盟域内移送数据,必须经合理程序与欧盟展开新的合作。18双方仍应当展开新一轮的谈判以解决潜在的问题。

3.2. 中国等第三国的因应

如上文所述,美国的信息处理者将来源于欧盟的个人数据存储包括中国在内的第三国,会引起美国处理者标准、欧盟盟籍与第三国存储地管辖权的多边管辖权冲突。依据《中华人民共和国个人信息保护法》第三条“在中华人民共和国境内处理自然人个人信息的活动,适用本法”,可见我国即适用存储地标准主张管辖权。为避免立法管辖权带来的后续司法、执法管辖冲突的问题,我国应进一步完善个人信息保护立法,对内保护数据,对外一定程度上扩张对数据的管辖。

我国《个人信息保护法》第四十条19对关键信息基础设施的运营者、处理个人信息达到国家网信部门规定数量的信息处理者,直接采取了原则上数据本地化存储的措施,并没有明确关键信息基础设施的具体范围和保护措施,也没有对不同类型的数据分类采取不同的管理方法。对此,我国可以通过对数据进行分层分类,进一步细化受保护数据的类型,进而给予程度不同的保护,这可以更为灵活的应对他国管辖权的扩张 [14] 。例如,对涉及国家秘密、国家安全的数据严格禁止跨境,必须本地化存储,对政府或公共部门掌握的其他数据制定更为严格的跨境流动条件,如风险评估;对普通的个人数据允许跨境自由流动,可以通过标准合同、知情加同意的方式进行规制。

另一方面,对外扩张我国的数据管辖权。如前述,我国立法坚持属地管辖原则,仅对境内处理的信息进行管辖,并不像美国等国家一样以立法的方式直接对他国境内的数据主权进行干涉,体现了我国负责任大国的形象的19个自贸协定中,只有与韩国、澳大利亚、新加坡的三个协定包含电子商务条款涉及了数据跨境流动的问题,而且条款内容大多原则规定,有些采用的是“致力于”、“尽可能”等不具有强制执行力的表述,更没有涉及数据管辖权的问题。因此,我国从达成双边协议处罚,解决数据管辖权的协调有足够大的完善空间。

4. 结语

欧盟与美国相继颁布GDPR与CLOUD法案暗含不同种类的数据立法管辖权域外扩张,以争夺全球数据治理领域的话语权,寻求以自身标准构建全球数据治理的话语体系。这势必带来新一轮的立法管辖权冲突,涉事主体也绝非欧盟与美国双方,而将卷入包括中国在内的第三国,带来“控制者标准”、“盟籍标准”、“数据存储地管辖”在内的多方冲突。随着我国在国际事务中地位的提升,在期待美欧能够协商解决潜在风险的同时,我国也应当积极主动地完善数据管辖立法,参与全球数据治理,并寻求更多的话语权。我国在参与国际数据管辖规则谈判和构建的同时,完善数据立法,对数据进行细化分类处理,推进国内法律与国际法制接续衔接。

文章引用

杨 异. 论数据立法管辖权的域外扩张与冲突
Analysis on the Extraterritorial Expansion and Conflict of Digital Prescriptive Jurisdiction[J]. 争议解决, 2024, 10(01): 118-124. https://doi.org/10.12677/DS.2024.101017

参考文献

  1. 1. 叶开儒. 数据跨境流动规制中的“长臂管辖”——对欧盟GDPR的原旨主义考察[J]. 法学评论, 2020, 38(1): 106-117.

  2. 2. 孙益武. 数字贸易与壁垒: 文本解读与规则评析——以USMCA为对象[J]. 上海对外经贸大学学报, 2019, 26(6): 85-96.

  3. 3. Fishman, W.L. (1980) Introduction to Transborder Data Flows. Stanford Journal of Inter-national Law, 16, 1-26.

  4. 4. Christopher, K. (2011) Regulation of Transborder Data Flows under Data Protection and Privacy Law: Past, Present and Future. OECD Digital Economy Papers, 187, 14.

  5. 5. 刘志雄. 跨境数据流动的全球态势及对我国的启示[J]. 人民论坛, 2021(33): 102-105.

  6. 6. 许多奇. 个人数据跨境流动规制的国际格局及中国应对[J]. 法学论坛, 2018, 33(3): 130-137.

  7. 7. 王虎华. 国际公法[M]. 第四版. 北京: 北京大学出版社, 2015: 84.

  8. 8. 周晓林. 美国法律的域外管辖与国际管辖权冲突[J]. 国际问题研究, 1984(3): 41-49.

  9. 9. 冉从敬, 陈贵容, 王欢. 美国跨境数据流动的管辖模式研究及对中国的启示[J]. 图书情报知识, 2020(6): 136-143.

  10. 10. 沈逸. 美国压制华为出于私心和错误认识[EB/OL]. https://opinion.huanqiu.com/article/9CaKrnKjcSQ, 2022-01-06.

  11. 11. 京东法律研究院. 欧盟数据宪章: 《一般数据保护条例》GDPR评述及事务指引[M]. 北京: 法律出版社, 2018: 21.

  12. 12. 王志安. 云计算和大数据时代的国家立法管辖权——数据本地化与数据全球化的大对抗? [J]. 交大法学, 2019(1): 5-20.

  13. 13. Safari, B.A. (2016) Intangible Privacy Rights: How Europe’s GDPR Will Set a New Global Standard for Personal Data Protection. Seton Hall Law Review, 47, 812.

  14. 14. 周梦迪. 美国CLOUD法案: 全球数据管辖新“铁幕” [J]. 国际经济法学刊, 2021(1): 14-24.

    15. NOTES

    1OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, Partone. General definition: (c).

    2CPTPP, Article 14.1: Definitions.

    3USITC, Digital Trade in the U.S. and Global Economies [EB/OL]. https://www.usitc.gov/publications/332/pub4485.pdf, (Dec. 30, 2021).

    4White House, The Framework for Global Electronic Commerce [EB/OL]. https://clintonwhitehouse4.archives.gov/WH/New/Commerce/read.html, Accessed January 1, 2022.

    5TPP, Article 14.11: Cross-Border Transfer of Information by Electronic Means.

    6TPP, Article 14.13: Location of Computing Facilities.

    7KORUSFTA, ARTICLE 15.8: CROSS-BORDERINFORMATIONFLOWS.

    8Microsoft Corp. vs. United States, In the Matter of a Warrant to Search a Certain E-Mail Account Controlled and Maintained by Microsoft Corporation No. 14-2985-cv (2dCir. July. 14, 2016).

    9Clarifying Lawful Overseas Use of Data Actor the CLOUDA ct, Pub. L. No. 115-4943§2713.

    10Clarifying Lawful Overseas Use of Data Actor the CLOUD Act, Pub. L. No. 115-4943§2713.

    11Clarifying Lawful Overseas Use of Data Actor the CLOUD Act, Pub. L. No. 115-4943§2523. Executive agreements on access to data by foreign governments.

    12GDPR, Article3 Territorial Scope.

    13Article 28 GDPR, Processor.

    14Art. 44 GDPR, General principle for transfers.

    15Art. 45 GDPR, Transfers on the basis of an adequacy decision.

    16DIRECTIVE 95/46/ECOFTHEEUROPEANPARLIAMENTANDOFTHECOUNCIL of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data.

    17Maximillian Schremsv. Data Protection Commissioner, CJEU, CaseC-362/14, October 6, 2015, para 73.

    18Brief of the European Commission on Behalf of the European Union as Amicus Curiae in support of Neither Part, Microsoft Ireland, No 17-2, pp.5-6, 2017 WL 6383224.

    19《中华人民共和国个人信息保护法》第四十条。

期刊菜单