文章分类
亮点
- 爱尔兰数据保护局的Meta Ireland决定对数据保护标准合同条款提出质疑
- 所有受《美国外国情报监视法》第702条约束并从事跨境转移的企业都可能面临违反欧盟法律的风险
- 目前,欧盟数据向美国的跨境传输没有明确的前进道路。
2023年5月22日,爱尔兰数据保护委员会(DPC)因违反欧盟《通用数据保护条例》(GDPR)对Meta Ireland处以12亿欧元罚款。该决定对违反GDPR的行为征收了迄今为止最大的罚款,认为Meta Ireland在跨境数据传输过程中没有充分保护欧盟的个人数据。
Meta和大多数企业一样,依靠GDPR批准的标准合同条款(SCC)和Schrems II案建议的额外保障措施为国际数据传输提供法律依据。尽管如此,DPC认为Meta违反了规定,主要是因为它受制于美国的监视法,包括《美国外国情报监视法》(FISA)第702条PRISM计划。
DPC表示,即使有额外的保障措施,此类监控法也允许美国政府访问欧盟公民的个人数据。
尽管这一决定对Meta造成了特别大的打击,但所有依赖SCC完成从欧盟到美国的数据传输的实体现在都受到了影响。由于美国监控战略的持续和广泛影响,我们现在又进入了一个不确定的时期,从欧盟和英国向美国合法转移个人数据的能力再次受到质疑。
Meta决策
DPC的决定指出,从欧盟向美国转移数据是“在无法保证对数据主体的保护水平的情况下进行的”,这相当于GDPR中规定的保护水平。作为补救措施,DPC给Meta五个月的时间,暂停向美国传输所有个人数据,使其处理活动符合欧盟法律,并删除根据该决定非法传输的任何欧盟个人数据。
长期以来,欧盟一直在努力监管欧盟向美国的个人数据传输。在Schrems I和Schrems II裁决中的《美国-欧盟安全港协议》和《美国-欧洲隐私保护盾》无效后,包括Meta在内的实体大多依赖SCC将欧盟个人数据合法传输到美国,而美国法律被认为提供的保护要少得多。
影响欧盟-美国数据传输的美国法律
FISA最初于1978年颁布,旨在授权和监管某些用于外国情报目的的政府电子通信监控,最近于2015年进行了修订。当国会颁布2008年《外国情报监视法修正案》时,它“建立了一个新的、独立的情报收集权力来源,超越了传统的外国情报监视法案。”其中一项补充是第702条。
FISA增加了第702条,目的是授权获取有关非美国个人的外国情报信息。第702条几乎没有限制美国监视外国数据主体的能力。DPC的决定认为,由于第702条等立法,欧盟不能保证美国当局不会根据此类监控法访问转移到美国的欧盟个人数据。由于这意味着欧盟数据主体无法获得GDPR赋予的保护,法院认为美国的系统不足以保护欧盟个人的数据。
由于第702条的影响深远,各种企业和实体都可能受到美国命令的约束,这些命令要求出于外国情报目的访问用户数据。
欧盟-美国隐私框架
尽管Meta决定带来了挑战,但欧盟和美国之间的一种新的跨境数据传输机制,即欧盟-美国隐私框架,正在制定中。为了支持该框架,乔·拜登总统于2022年10月7日签署了一项行政命令,该命令对美国情报活动实施了保障措施,规定了个人信息处理要求,要求美国情报界更新其政策,并指出了促进数据安全传输的其他机制。
新转移机制的目标是为公司从事跨境转移提供一种法律上安全的方式。虽然最初旨在取代隐私保护盾,但鉴于Meta罚款,该框架具有新的意义和紧迫性。
尽管该框架很重要,但根据Schrems的决定,欧盟和美国之前的充分性决定无效,预计该框架已经面临欧洲议会的挑战,一旦最终确定,几乎肯定也会受到挑战。目前尚不清楚该框架何时通过并生效。2023年5月11日,欧洲议会通过了一项决议,鼓励因不遵守欧盟法律而就有效的跨境转移机制进行进一步谈判。
影响和下一步行动
这一Meta决定不仅使SCC的有效性受到质疑,而且使欧盟和美国之间当前和未来的国际数据传输变得复杂。依赖SCC将个人数据从欧盟传输到美国的实体现在需要采取额外措施,确保遵守欧盟法律。为保护自身,各实体应考虑:
- 评估他们的个人数据传输策略
- 评估依赖SCC或有效转让的调查供应商和合作伙伴协议
- 确定可以建立的额外保障措施,以保护或限制跨境转移中涉及的任何个人数据
- 确保他们在当前的数据传输机制中使用正确形式的SCC,并仅在绝对必要时将个人数据从欧盟传输到美国
- 实施额外的保障措施,以确保最大程度的合规性,并避免类似Meta罚款的执法行动,直到新的隐私框架通过
- 登录 发表评论