近日，欧洲法院(European Court of Justice)佐审官Michal Bobek提出一项意见：在涉及跨境问题时，调查当局为了公共利益、行使官方权利等目的，即使不作为牵头机构，成员国数据保护机构也有权向各自的法院提起跨境处理的诉讼。

据了解，爱尔兰几乎囊括了所有科技巨头的欧洲总部，包括苹果、谷歌、Facebook等等。理论上，大多数情况下爱尔兰数据保护机构是这些科技巨头的主要监管机构。不过，这种现状广受诟病——人们普遍认为爱尔兰数据保护机构没有足够的资源处理如此大量的诉讼。

2015年9月，因Facebook 爱尔兰公司、Facebook比利时公司涉嫌过度收集用户数据，比利时数据保护机构将Facebook旗下的这几家公司告上法庭。

目前，比利时上诉法院正在审理此案，但其范围仅限于Facebook比利时公司。因为该法院以为，它对Facebook爱尔兰公司等没有诉讼管辖权。

Facebook也辩称，根据《通用数据保护条例》（GDPR），只有爱尔兰数据保护机构才有权针对Facebook在跨境数据处理方面违反GDPR的行为进行司法诉讼。鉴于其总部的位置，比利时数据保护机构没有继续诉讼Facebook的权限。

在这种情况下，比利时上诉法院向欧洲法院询问，在欧盟成员国处理跨境数据相关问题时，GDPR是否明确阻止除属地国之外的其他数据保护机构进行司法诉讼。

Bobek称，涉及跨境数据问题时，主要监管机构不能被认为是GDPR的唯一执行者，必须按照GDPR规定的相关规则和时限，与其他监管机构密切合作。

据了解，在GDPR中，上述规则即为一站式服务机制——数据控制者或处理者涉及跨境数据处理问题时，按照GDPR规定的流程，监管机构应通知主要监管机构（指数据控制者主要营业场所或单一营业场所地的监管机构，对Facebook而言就是爱尔兰数据保护机构）。

小米信息安全与隐私委员会副主席朱玲凤对隐私护卫队解释，在此机制下，如果主要监管机构决定处理案件，监管机构应向其提交草案，主要监管机构做决定时应充分考虑上述草案。如果主要监管机构决定不处理案件，应通知监管机构。此时监管机构可自行起诉。

Bobek称，GDPR引入的上述机制赋予了主要监管机构重要的作用，并建立了让其他数据保护机构参与的合作机制，这是为了解决以前的立法所造成的某些缺陷。

他还表示，过去，运营者必须遵守不同国家制定的相关规则，同时还要与所有国家的数据保护当局保持联络。这对这些运营者来说，不仅昂贵、繁琐和费时，对他们的客户来说，也不可避免地造成不确定性和冲突。

Bobek在意见中还强调，如果监管机构出于1）在GDPR的实质范围之外行事；2）为了公共利益、行使官方权力；3）为了采取紧急措施；4）主要监管机构决定不处理案件的目的，即使不作为主要监管机构，也可以向各自的法院提起跨境处理的诉讼。

朱玲凤表示，除了第四条是GDPR中的规定，其余三条都是欧盟其他法律或成员国的规定。针对Facebook辩称的“只有爱尔兰数据保护机构才有权针对Facebook在跨境数据处理方面违反GDPR的行为进行司法诉讼”，她强调，第二、三条也可以作为监管机构的抗辩理由。

她同时指出，Bobek发表的意见并未增加Facebook等跨国公司的义务或风险，“GDPR规定是清晰的，主要监管机构不是唯一监管机构”。而且该意见本身没有法律效力，仅供法院参考。

北京师范大学网络法治国际中心执行主任、中国互联网协会研究中心秘书长吴沈括强调，如果欧盟法院最终采纳这一观点，就意味着明确跨国公司在司法风险的防范层面，应当针对各国有合规风控的体系准备。

“在对违反规则者采取行动上，27个欧盟成员国的数据保护机构将会拥有平等的权利。”Ethyca隐私公司的CEO Cillian Kieran认为，如果Bobek的意见得到支持，影响将会十分深远。“考虑到欧洲有些国家在严格执行GDPR方面的态度要积极得多，可能会导致对各个市场的企业进行更多调查。”

采写：南都个人信息保护研究中心研究员 尤一炜 见习记者 孙朝

编辑：蒋琳

对这篇文章有想法？跟我聊聊吧

尤一炜

蒋琳