新闻动态

加拿大:USMCA之后的跨境转移和数据本地化

2020-10-20跨境传输

《美国-墨西哥-加拿大协议》(“ USMCA”)的条款涵盖了其签署国之间交换个人信息的新颖主题,可以说为欧盟委员会对加拿大的适当性决定的地位引入了新的不确定性因素。BLG LLP的高级研究员Max Jarvie讨论了此问题,同时参考了USMCA的措辞以及它对区域数据本地化和数据传输要求的影响程度。

加拿大:USMCA之后的跨境转移和数据本地化

USMCA 1即将在加拿大,美国和墨西哥2的所有三个成员国中生效,取代了北美自由贸易协定(NAFTA)。当三方在2018年11月首次正式同意USMCA的案文3时,许多评论员就加入了第19章“数字贸易”。第19章直接讨论了北美自由贸易协定所没有的主题,将自由贸易的哲学明确地扩展到了数字产品和包括个人信息在内的信息流的范围内。

第19章对个人信息的潜在影响正确地引起了隐私专业人士的关注,隐私专业人士对与跨境信息流和数据本地化有关的特殊规定置若zero闻,这限制了加拿大未来的立法和政策选择,而信息流正变得越来越重要。经济和社会政策4与国家安全5。此外,自第一轮批评于2018年问世以来,加拿大联邦政府发布了其《数字宪章》,其中包括(除其他事项外)致力于改革加拿大联邦隐私法的承诺6。在新的USMCA约束可能适用于该法律的条款的前提下,并且鉴于加拿大希望根据《通用数据保护条例》(EU(EU)2016/679)(“ GDPR”)7维持其充分性决定, USMCA确实在微妙的时间生效。

尽管提出的担忧是合理的,但有理由认为,USMCA的当事方已经为自己协商了足够的灵活性以制定政策并在最需要灵活性的情况下(例如个人信息领域)制定法律。结果,加入USMCA似乎不太可能严重影响加拿大根据GDPR获得充分决策的机会。

在得出这些结论时,本文考虑了第19章之内和之后的USMCA起草的逻辑,及其对加拿大限制跨境信息流和施加数据本地化要求的权力的影响。

通过电子手段进行信息的跨境转移 USMCA第19.11条否认会员国有权禁止或限制通过电子信息手段(包括个人信息)进行跨境转移,前提是该活动是为了“业务行为8”。正如其他评论员所指出的那样,该规定在某种程度上是《跨太平洋伙伴关系全面进步协议》(CPTPP)9的“电子商务”章节的第14.11条的抄袭/粘贴,并附有一些修订10。

尽管有禁令,USMCA条款(包括CPTPP在内)仍包含一个限定词,其含义是只要措施符合测试的四个分支,就不会阻止成员国采取或维持与禁令相抵触的措施。即,该措施必须:

解决合法的公共政策目标; 不得以构成不合理或任意歧视的方式应用; 不构成对贸易的变相限制;和 该措施施加的限制不得大于实现目标11所必需的限制。 “合法的公共政策目标”一词非常广泛,并且通过允许采用或维持“措施”而不是仅仅通过法律来进一步扩大限定词。可以说,它涵盖了政府的指令和政策。因此,随着禁令的发展,成员国似乎有很大的自由度制定与第19.11条的义务相抵触的政策。还值得一提的是,不禁止或限制的违约义务似乎或多或少地符合自由贸易协定的整个目的。

计算设施的位置 与第19.11条相比,USMCA第19.12条中规定的数据本地化规定与CPTPP的相应规定之间存在明显差异。尽管必须指出的是,《美国美国商会法案》第19.12条的适用范围相对有限-任何成员国都不能要求公司在成员国领土内使用或放置计算设施作为在该领土上开展业务的条件12,但不一定如此防止在例如特定合同的上下文中将数据本地化作为一项要求-此条款的USMCA版本中没有所有调节语言。毫无疑问,这引起了危险信号,正如其他人观察到的13。

例如,USMCA第19.12条中没有声明成员国可能有自己的监管要求的措辞,这一点已包含在CPTPP 14的相应部分中,这涉及到美国和加拿大监管框架之间的巨大鸿沟。涉及隐私和数据保护。可能更令人担忧的是,尽管CPTPP数据本地化条款包含与数据传输相同的四分支例外测试,但USMCA中完全没有这种例外。

幸运的是,有理由认为,第19章本身,第32章以及USMCA的其他方面提供的工具可在各种情况下为加拿大数据本地化控件提供一定程度的保护。特别是对于后一点,USMCA起草的总体逻辑似乎为省级政府采取他们认为合适的任何措施提供了令人惊讶的广阔范围。下面,依次讨论这些注意事项。

第19章 首先,应该指出的是,第19.2(3)条说,第19章不适用于政府采购或由政府或代表政府持有或处理的信息,或与该信息有关的措施,包括与收集信息有关的措施15。这样,涉及本地政府自身的个人信息的数据本地化政府指令,例如联邦政府现有的云计算电子数据居住方向(“方向”),将不会受到影响16。

其次,根据第19.11条的规定,加拿大可以限制或禁止涉及向美国发送个人信息的数据传输。对美国政府对加拿大人进行秘密监视的担忧17,或者在美国大多数州缺乏健全的个人信息保护法律,可能会成为该条所要求的“合法公共政策目标”的基础。出于所有实际目的,对个人信息的电子传输进行充分的限制或完全禁止将阻止个人信息存储在美国。

自然,这可能被视为间接执行第19.12条所禁止的直接行为的尝试,美国因此而对此提出质疑18。

第32章 因此,加拿大可以参考USMCA的第32章“例外与一般规定”。第32.1(2)条规定,就USMCA第19章而言,《美国贸易服务总协定》(GATS)19第XIV条第(a)-(c)款已作必要修改,并已纳入USMCA中。。根据这样的修改,《服务贸易总协定》第十四条规定,除其他事项外,成员可以采取或强制采取必要措施以确保遵守法律或法规,前提是这些法律或法规本身不违反USMCA的规定。特别被称为属于此例外的法律或法规包括与“在处理和传播个人数据以及保护个人记录和帐户的机密性方面保护个人隐私”的法律或法规有关的法律或法规。

在这方面,有趣的是,加拿大领先的法律和技术问题学者和评论员迈克尔·盖斯特(Michael Geist)在2018年对USMCA的评论中指出,加拿大谈判者可能将GATS规定解释为为隐私保护,从而使不列颠哥伦比亚省和新斯科舍省保留其省级数据本地化法律20。

Geist的评论发表后不久,卑诗省信息与隐私协会(FIPA)提出了对USMCA对卑诗省法律中的数据本地化控制的影响的担忧,发表了一份联邦政府的声明,似乎在佐证Geist的观点。假设。声明内容为:'已完成法律分析,并确定根据信息自由和隐私保护法对加拿大公共机构在加拿大数据本地化的立法保护没有受到影响。在协商过程中,卑诗省与渥太华紧密合作,以确保这些数据本地化保护在新协议中得以维持21。

尽管有盖斯特说了什么,但GATS例外语言将其放宽限制在那些与所影响的协议条款“不矛盾”的法律上。鉴于第19.12条对数据本地化包含了无条件的禁止,表面上这表明GATS例外无法提供任何合法手段来支持数据本地化。

盖斯特的假设是否正确?如果是这样,联邦政府为什么会向FIPA做出这样的声明?

可以想象对USMCA和GATS第19.11和19.12条的复杂解释会支持Geist的结论。例如,让我们想象一下一项法律,该法律禁止在加拿大境外转移个人信息,该法律符合合法的公共政策目标。这样的法律将具有禁止在美国存储该信息的必然效果。有理由提出这样的论点,即关于禁止在加拿大境外转移的一般法律是对第19.12条的变相或建设性违反。但是,根据我们是否将建设性违规视为“前后矛盾”,将GATS语言并入可以排除这种争论。“不一致”是与形式逻辑紧密相关的概念;当事物彼此相反,在某种程度上意味着一种事物对另一种事物的否定时,它们就被认为是不一致的。“建筑”是一个法律概念,例如认为,表示一种法律小说,用于在未正式满足某种条件的情况下将其视为已满足某些条件。如果USMCA的起草者希望“不矛盾”一词具有更广泛的含义,他们会这么说。因此,根据合法政策目标的要求,合并第十四条《服务贸易总协定》可以提供一种克服19.12否则本来不会适度的语言的方法。

但是,还有另一种可能性,那就是更直接,并且会产生有趣的后果。

义务范围 USMCA的前身NAFTA载有关于成员国继承其继承国没有义务的程度的规定。《北美自由贸易协定》第105条规定:“各州应确保采取一切必要措施,以使州和省级政府对本协议的规定生效,包括遵守本协议的规定(本协议另有规定的除外)22。 '

这种语言并没有延续到USMCA的第1章中,但是不能归结为1980年代以来国际法规范的演变。惊人相似的语言,例如,是存在于全面经济和贸易协定(“CETA”),在2014年结束的第二十1.8 23。而且,类似的语言确实出现在USMCA中-但仅对第14 24章有效,而不作为一般义务。第19章中没有出现具有同等作用的语言。

一些分析人员将USMCA第1.4节(该条规定每个成员国有义务确保已委派监管,行政或其他政府权力的人员)按照成员国的义务行事25,等同于NAFTA第105 26条。。但是,这毫无意义,特别是在加拿大联邦制在省级政府和联邦政府之间实行宪法分权的情况下。各省所拥有的权力不受联邦政府的“委托”。从CETA的案文中可以明显看出加拿大政府的谈判人员普遍意识到这一点,该案不仅包括确保各级政府实施条约第1.8条规定的一般义务,还包括“授权的政府机构在第1.10条中的规定与USMCA第1.4条的案文相呼应27。

因此,根据USMCA看来,加拿大联邦政府没有明确的义务要求各省执行该协议。

根据加拿大的宪法安排,各省也不会在任何情况下自动受到约束。相反,在一项国际条约影响宪法赋予各省的权力的情况下,只有在某省将该条约纳入省内法律的情况下,它才能对加拿大省法律产生影响28。加拿大宪法与美国宪法的“至高无上条款”不相称,在国际条约的背景下可以利用该宪法来迫使各省通过制定联邦法律来履行该条约的义务29。

NAFTA 30已经预见到了这些问题,评论员指出,没有省级政府将NAFTA纳入自己的法律31。也没有迹象表明各省计划针对USMCA这样做。联邦政府的实施法规是将USMCA纳入美国国内法的唯一手段。

因此,USMCA不仅没有包括强制加拿大联邦政府确保区域和地方政府遵守第19章的语言,即使是在最大努力的基础上32;即使有这种用语,加拿大法律中也没有任何内容可以授权联邦政府强制遵守省管辖范围内的任何地区。关于第19章的主题,尽管人们普遍认为联邦政府有能力通过其贸易和商业力量来监管跨境信息流,但是数据本地化很可能属于省级立法机构的权限影响财产和公民权利以及仅属于地方或私人性质的事项33,以及控制哪些信息流经省境的权力。

的确,关于上述内容,一些管理个人信息的省级法律已经有管理省外信息流的规定。例如,SA 2003 c的《阿尔伯塔省个人信息保护法》第13.1节规定了在外包的情况下向阿尔伯塔省境外发送个人信息时的通知要求,而《魁北克法令》中的《尊重个人信息保护法》第17节CQLR私营部门c。P-39.1要求,在魁北克境外转移个人信息的组织必须确保,未经有关人员同意,不得将这些信息用于与文件目的无关的目的或传达给第三方。

这些细腻之处无法逃脱加拿大谈判代表的注意。尽管盖斯特(Geist)可能是正确的,但向FIPA传达的“法律分析”也可能包括这些跨司法管辖区的考虑因素,以及USMCA中缺乏任何一般性的“义务范围”规定。如果要加紧努力,可能是各省可以简单地拒绝遵守USMCA的要求,而联邦政府没有义务强迫遵守。

如果是这样的话,那么对于加拿大对欧盟的适足性决定的审查也会产生有趣的后果。尽管很有可能需要对加拿大的隐私法进行改革,以获得相对于GDPR的任何长期适当决定,但如果以上分析正确,则任何对USMCA对加拿大立法权施加限制的担忧支持充分性决策的方式将大大减少。

在有限的情况下,欧盟委员会可能会发现由于加拿大采用USMCA而产生的余留问题,但是尽管联邦政府承担了义务,各省仍可以采取其认为适当的措施,这可以确保各省可以提供必要的保护用于个人信息。实际上,就欧盟的法律分析而言,省级权力可能更为重要。从欧盟的角度来看,它所关注的欧盟数据主体的大部分个人信息传输可能将由省管辖而不是联邦管辖。

如上所述,当我们还考虑了USMCA第19和32章中联邦政府本身可用的各种工具时,如果加拿大未能获得新的充分性决定,则USMCA第19章的规定似乎不太可能成为原因。

结论 协调国际法规定的义务是一项艰巨的任务,通常涉及某种形式的零和分析。因此,许多评论员抓住一项文书中的禁止或限制不足为奇,这在其他地方造成了取舍的危险,这并不奇怪。确实可以吃到的蛋糕也很少见。但是,在加拿大,这种情况下,排除因素,缺乏一般义务以及特殊的宪法安排的结合可能产生了这种蛋糕的配方。时间会证明一切。

上一篇:土耳其:国际数据跨境传输

下一篇:中国:数据传输本地化要求

关注云语科技

wechat qrcode

微信扫一扫,获取最新资讯