文章分类
7月16日,欧盟(EU)最高法院,欧盟法院(CJEU),就数据保护专员诉Facebook Ireland Limited案Maximillian Schrems(案例C-311/18)(Schrems II),发布了具有里程碑意义的判决。该决定维护了标准合同条款(SCC)在欧洲经济区外传输个人数据的有效性,同时对此类SCC的各方施加了重大义务。然而,欧盟法院已宣布欧盟-美国隐私保护无效,5000多家企业依赖该保护在欧盟和美国之间传输个人数据。
背景
根据《欧盟一般数据保护条例》(GDPR),个人数据只能在欧洲经济区(EEA)之外传输,前提是满足某些保障措施,以确保向数据主体提供与欧洲法律授予的保护水平类似的保护。
可依赖的保障措施包括欧盟授予的“充分性决定”,该决定确认相关第三国的数据保护标准足以被视为等同于欧盟提供的标准;依赖具体的国际协议,根据该协议,个人企业必须采取额外措施(如欧盟-美国隐私保护);在特定条件下,在公司结构内使用具有约束力的公司规则进行数据传输;以及对业务部门(SCC)之间更广泛的数据处理和数据传输协议中嵌入的SCC的依赖。
数据隐私活动家Max Schrems提出了一系列法律挑战,涉及Facebook Ireland将个人数据传输到Facebook Inc.位于美国的服务器,以进行2013年以来的处理。这些挑战已经导致欧盟与美国之间于2015年签订的关于数据传输的旧安全港协议(Schrems I)无效,并导致其更换隐私屏蔽,该协议于2016年开始运行。
Schrems II案件的重点是最终保障——SCC的使用。Schrems先生最初向爱尔兰数据保护委员会(Irish Data Protection Commission,Irish DPC)提出投诉,该委员会是爱尔兰数据保护机构和Facebook爱尔兰的欧盟数据保护监管机构。他辩称,脸书数据处理协议中的SCC不能证明脸书转让个人数据是正当的,因为美国的法律和实践没有提供足够的保护,以防止美国公共当局的监视。因此,施雷姆斯先生认为,SCCs在美国并没有为他或其他人提供有效的补救措施来保护他们的隐私权。在Schrems先生要求爱尔兰DPC暂停控制器对处理器SCC的应用后,爱尔兰DPC将其投诉提交给爱尔兰高等法院,该法院要求欧盟法院作出初步裁决。
CJEU决定:SCC
根据去年12月首席辩护官(AG)发表的非约束性意见(总结在我们之前的警告中),欧盟法院支持SCC的有效性,同时明确,处理者和控制员有责任确保个人数据输入国的法律不与他们根据SCC要求提供充分保护的能力相冲突。对于个人数据的每次特定传输,数据导出者必须评估是否存在任何冲突,并且数据导入者必须通知导出者无法遵守SCC的条款,以便允许导出者暂停数据传输或终止SCC。
评估必须特别考虑SCC和该第三国公共当局对该第三国法律制度允许的个人数据传输的任何访问。可能会出现这样的情况,即除了SCC中包含的保障措施之外,还必须实施额外的保障措施,以提供“适当的保护水平”,尽管尚不清楚此类保障措施将采取何种形式。此外,出口欧盟国家的每个监管机构都必须处理数据主体提交的投诉。如果监管机构认为,当事方未遵守SCC或在第三国无法遵守SCC,并且没有额外的保障措施来确保“充分的保护”,监管机构必须暂停或禁止个人数据的传输。实质上,如果各方无法监督协议,那么监管机构将被要求这样做。
这使得数据出口商尤其有责任在从欧盟出口任何个人数据之前,对进口国的当地法律规定进行彻底评估,并有责任在依赖SCC的人未充分满足这些要求的情况下,由欧盟监管机构监管和暂停出口个人数据
CJEU决定:隐私盾
相比之下,关于欧盟-美国隐私保护充分性的第2016/1250号决定无效的裁决更令人惊讶,因为在他12月的意见中,AG建议,在本案中,欧盟法院没有必要就隐私保护的有效性作出裁决,因为这里的争议集中在SCC上。然而,欧盟法院发现,欧盟委员会作为其隐私保护决定的一部分,对美国数据保护保障措施的充分性进行的评估与本案有关。据欧盟委员会称,美国公共当局对个人数据的监控超出了严格必要的范围,因此与欧盟的比例原则相冲突。
欧盟法院关注旨在确保遵守欧盟法律规定的司法审查机制的有效性。如果法律没有规定个人为了获取与他或她有关的个人数据,或为了纠正或删除此类数据而寻求法律补救的任何可能性,则不尊重根据欧盟法律获得有效司法保护的基本权利。
GDPR要求委员会在评估第三国保护的充分性时,考虑“对个人数据被转移的数据主体的有效行政和司法补救”。“第三国”应确保有效的独立数据保护监督,并应规定与成员国数据保护当局的合作机制。应向数据主体提供有效和可执行的权利以及有效的行政和司法补救。欧盟法院认为,隐私盾牌下的监察员机制旨在向个人提供补救,不足以为数据主体提供保护其权利的适当追索权。尽管“隐私保护”指的是美国政府的一项承诺,即要求情报机构的相关部门纠正隐私保护监察员发现的任何违反适用规则的行为,但它并不赋予监察员采取对这些情报机构具有约束力的决定的权力。它也没有提到伴随着数据主体可以依赖的政治承诺的任何法律保障。
对国际转移的影响和下一步行动
这是一个非常重要的决定,尽管数据流不会在一夜之间停止。那些采用了“腰带和吊带”方法并实施了SCC(除隐私保护认证外)的企业将获得一些缓解。依赖隐私保护的企业将需要快速实施SCC(因为约束性公司规则不是短期内可以实施的选项)。
然而,实施SCC并不是一个简单的书面练习。需要以更严格和更审慎的态度与他们接触,数据进口商可能会面临数据出口商对其完全遵守SCC义务的程度进行更严格的审查。
在实践中,隐私保护(美国政府对个人数据访问的有限补救)的相同基本问题也将适用于SCC。当美国国内法可能基于国家安全理由推翻对个人数据的保护时,数据进口商极难表示他们将实施欧盟保护。组织可能还需要考虑实施额外的保障措施,以确保对导入的个人数据有“充分的保护”。
欧盟委员会成员今天在判决后确认,他们正在继续与欧洲数据保护委员会(EDPB)和欧盟成员国合作,对SCC进行现代化改造。所有进展都将考虑到这一判断,目的是尽快完成这些判断。该委员会还证实,它正在与美国同行进行谈判,以制定一个强化的转移机制,就像隐私保护是以前安全港的翻版一样。预计未来几天将对这一决定作出更彻底的回应,可能会更详细地列出他们的计划。
欧盟监管机构将采取何种方式来监管协议(正如欧盟法院要求的那样),以及应对个人不可避免的投诉,还有待观察。企业将需要立即实施他们能做到的,但要为进一步的发展做好准备。
本文:https://cioctocdo.com/eu-court-issues-landmark-ruling-transfer-personal-data-outside-european-economic-area
- 登录 发表评论