文章分类
之前关于美国和欧盟数据传输的框架的失效在欧洲公司中引起了很多混乱。这些协议的废除意味着没有法律手段可以将个人数据从欧盟跨境转移到美国。
新的充分性协议,通常被称为隐私盾2.0,似乎是一线希望,因为欧盟和美国当局已经采取了一些措施,让跨大西洋发送数据的公司更容易。然而,隐私专家预测,新框架将导致许多争议,并可能很快受到欧盟法院的质疑,就像之前的两项协议一样。那么,跨大西洋数据传输的未来是什么呢?
让我们首先介绍一下之前的充足性协议的故事,以及是什么导致了它们的失败。然后,我们将重点关注所谓的隐私盾2.0,它将在2020年解决欧盟法院提出的担忧。
最后,我们将讨论新协议的可能结果及其对欧盟和美国企业的影响。
目录
- 隐私盾的起源
- 安全港案和施雷姆斯一世的裁决
- Schrems II裁决:为什么隐私保护盾无效?
- 施雷姆斯二世的裁决对企业有什么影响?
- 欧盟-美国数据隐私框架称为隐私盾2.0:我们目前所知
- Privacy Shield 2.0可能无法满足欧洲监管机构的要求
- 围绕新的欧盟-美国隐私保护盾的争议
- 为什么新的解决方案从一开始就有缺陷?
- 围绕新的欧盟-美国隐私保护盾的争议
- 解决方案是什么?
- 隐私友好的数据收集方式
- 你还能做些什么来将风险降至最低?
- 总结
隐私盾的起源
美国与欧盟立法的显著区别在于,缺乏适用于所有类型数据、所有美国公司和居民的全面数据隐私法。因此,有必要建立一个与向美国传输欧盟个人数据有关的监管框架。旨在规范此类数据传输的隐私保护盾是为了取代国际安全港隐私原则而设立的。2015年10月,欧盟法院宣布所谓的“安全港”无效。
安全港案和施雷姆斯一世的裁决
由于该案由奥地利律师马克西米利安·施雷姆斯提起,安全港被一项被称为施雷姆斯一世的裁决宣布无效。Schrems于2013年就个人数据从脸书爱尔兰有限公司(Facebook Ireland Ltd.)传输至其美国母公司,然后被美国国家安全机构访问一事提出申诉。这位活动人士辩称,欧盟法律对他的基本隐私权保护不足。
欧盟法院发现,安全港计划没有充分保护个人数据免受“基于国家安全和公共利益要求”的美国政府的“干扰”
这项裁决促成了欧盟-美国隐私保护组织的成立。
Schrems II裁决:为什么隐私保护盾无效?
隐私保护盾于2016年7月12日生效。这项数据保护协议本应为欧盟向美国安全传输个人数据提供一个改进的框架。该协议的更新版本旨在有效保护欧洲居民的权利,确保他们的数据处理具有足够的安全水平,并实现欧盟和美国之间的无缝数据和市场交换。
然而,在2020年,历史重演,欧盟法院宣布隐私盾无效。
2020年7月16日,欧盟法院发布裁决,裁定由于担心美国国家和执法机构的监控,欧盟-美国数据保护盾无效。这一判决后来被通俗地称为Schrems II,因为它再次是对Max Schrem提出的投诉的回应。
法院表示,如果公司不能保证从欧盟向美国发送个人数据是安全的,那么将其发送到美国是非法的。自“隐私盾”成立以来,这项裁决似乎是不可避免的,因为从一开始就有传言称它将被废除。
问题在于欧盟和美国的数据隐私法规不匹配。欧盟法院认为这一差距太大,无法通过隐私保护或安全港等一般协议来弥补。
施雷姆斯二世的裁决产生了巨大的影响。它不可逆转地改变了公司和立法者处理数据传输和用户隐私的方式。
施雷姆斯二世的裁决对企业有什么影响?
隐私盾覆盖了数千家公司,其中包括脸书和谷歌等巨头。可以说,团体保险政策已经消失了。
因此,施雷姆斯二世的裁决给成千上万的欧洲公司带来了巨大的法律不确定性。该协议的废除意味着没有法律手段将个人数据从欧盟跨境转移到美国。因此,依赖数据转移的公司与美国服务提供商合作变得更具挑战性。
尽管隐私保护不再是欧盟-美国数据传输的有效法律依据,但谷歌等大型科技公司仍向美国发送大量有关欧盟居民的数据。
在没有充分性协议的情况下,包括谷歌在内的一些公司诉诸于标准合同条款(SCC)和有约束力的公司规则(BCR)来保护发送到美国的数据。
在这里,您可以阅读更多关于标准合同条款(SCC)的信息
自隐私盾裁决以来,隐私监督组织NOYB已对通过谷歌分析和脸书连接收集访问者数据的公司提出101起投诉。被起诉的公司名单包括来自多个行业的企业,其中包括出版商和金融机构。
欧盟数据保护机构的决定实际上禁止在一些欧洲国家使用谷歌分析等平台:
- 2022年1月12日,奥地利DSB发布了对一家未具名的德国网络出版商案件的裁决。监管机构表示,根据《通用数据保护条例》,使用谷歌分析收集欧盟居民的数据是非法的。
- 2022年4月,CNIL发布了一项决定,命令三家法国网站停止使用谷歌分析。
- 2022年6月,意大利数据保护局(Garante)裁定,根据《通用数据保护条例》,在使用谷歌分析期间向美国转移个人数据是非法的。
- 2022年9月,丹麦数据保护局Datatilsynet成为第四个得出谷歌分析不符合GDPR要求的国家监管机构。
因此,依赖谷歌和其他跨大西洋发送数据平台服务的个别公司面临着来自消费者、消费者权益组织和DPA的更高法律诉讼风险。
You may also like:
欧盟-美国数据隐私框架称为隐私盾2.0:我们目前所知
2022年10月7日,乔·拜登总统签署了一项行政命令(EO),以实施新的欧盟-美国数据隐私框架,也称为隐私盾2.0,以保护美国和欧洲之间共享的个人数据的隐私。《行政命令》标志着新框架工作的开始。如果一切顺利,新协议将于2023年3月公布,结束跨大西洋数字经济长期的不确定性。
新框架解决了Schrems II中提出的问题。Schrems II推翻了隐私保护法案,部分原因是如果欧盟居民认为他们的数据被不当收集,他们无权向美国政府请愿。
拜登的命令通过限制美国间谍机构收集信号情报的方式来解决这些问题,并将信息收集置于多层条件之下,包括确保只收集严格定制的数据。白宫在一份情况说明书中表示,美国已“承诺实施新的保障措施,以确保信号情报活动在追求既定的国家安全目标方面是必要和相称的。”
新框架将允许欧盟个人通过由美国政府以外成员组成的独立数据保护审查法院寻求补救。该机构将完全有权裁决索赔,并根据需要采取直接补救措施。
2022年12月13日,欧盟委员会启动了就欧盟-美国数据隐私框架通过充分性决定的正式程序。
公布该决定草案只是通过具有充分数据保护的外国管辖权的第一个正式步骤。下一步将由汇集所有欧盟数据保护机构的欧洲数据保护委员会(EDPB)发表意见。
该决定在正式通过之前需要得到成员国国家代表组成的委员会的批准。最终决定预计将在2023年春季做出。一旦它发布,欧洲公司在向美国发送数据时就可以依赖它。
与此同时,如果欧盟议会和理事会认为欧盟委员会越权,他们可能会对这一决定提出质疑。
Privacy Shield 2.0可能无法满足欧洲监管机构的要求
该行政命令引入了一系列额外的保障措施和要求,以限制美国监控对欧盟居民数据的访问,并建立了一个处理投诉的补救系统。也就是说,根据隐私权倡导者的说法,拜登的行政命令似乎注定要失败。
Schrems的隐私权组织NOYB在回应拜登的EO时表示,数据保护审查法院并不是美国法律定义的实际法院。他们还批评了欧盟居民可以诉诸的程度,称除了之前的框架之外,没有额外的保证可以让他们听到。Schrems总结道:“乍一看,核心问题似乎没有得到解决,迟早会回到欧盟法院。”。
在我们的文章中了解有关数据法规兴起的更多信息:
- 10 new privacy laws around the world and how they’ll affect your analytics
- Data privacy laws in the United States and how they affect your business [UPDATED]
围绕新的欧盟-美国隐私保护盾的争议
该行政命令对美国和欧洲如何共享人们的私人个人信息制定了新的规则,但可能仍达不到欧盟的要求。NOYB指出,由于以下几个问题,该解决方案可能存在缺陷:
- 行政命令不是法律,很容易被另一项行政命令所减损。这种无力的法律建设很可能不会让欧盟法院满意。
- 从美国的角度来看,欧洲人没有隐私权。第四修正案只授予美国公民。所有非美国公民都可能很容易成为监视的目标。
- 在欧盟运营的美国组织将不受GDPR的约束。根据EO的说法,他们不需要数据收集的法律依据,只需要为那些不愿意共享数据的人提供一个选择退出机制。这使必须遵守GDPR的欧盟企业处于严重的不利地位。
巴登-符腾堡州数据保护和信息自由专员斯特凡·布林克在2022年10月底对美国总统的行政命令发表了评论。他对《行政命令》表示欢迎,但表达了以下关切:
- 《行政指令》是政府和下属机构的内部指令,不是议会通过的法律。
- 目前尚不清楚该行政命令与《云法案》等其他美国法规的关系。
- 欧盟和美国的法律体系对比例的法律概念有不同的解释。
- 违反《雇佣条例》的投诉程序既复杂又繁琐。负责作出裁决的机构不是一个独立的法院。
欧盟委员会现在必须决定美国是否在实质内容上对个人数据进行同等程度的保护。委员会是否能够重新评估美国的数据保护水平,并仅根据行政命令发布充分性决定,这一点已经值得怀疑。仍有大量悬而未决的问题需要澄清,这让人们对此产生了怀疑。
Stefan Brink,巴登-符腾堡州数据保护和信息自由专员
为什么新的解决方案从一开始就有缺陷?
让我们深入探讨这些争议,并更详细地讨论它们的背景和含义。
新协议可能仍然无法解决欧盟和美国数据传输的根本问题,因为双方对个人隐私的处理方式完全不同,法律体系也截然不同,这将极难与任何协议的使用保持一致。
美国立法允许当局监测和发布公司收集所需的数据。这并不能充分保护欧洲居民在美国服务器上的数据不被这些当局访问。欧盟将隐私视为一项适用于所有个人的人权,而第四修正案仅适用于美国公民或永久居民。在美国看来,欧洲人没有隐私权。FISA 702利用了美国法律中的这一差异,并允许根据第四修正案进行非法监视,只要没有美国人成为目标。
这个问题由来已久,因为第一个隐私保护法案也优先考虑了美国法律,甚至列出了允许大规模监控的六个案例。这种对数据的监控不仅限于绝对必要的情况,欧洲消费者合法自卫的能力也受到了限制。
令人震惊的是,欧盟委员会仍然没有要求所谓的隐私保护原则与自2018年起生效的《通用数据保护条例》保持一致。这些原则在很大程度上与2000年起草的以前的安全港原则相同,并将继续在新框架中使用。这意味着美国企业可以在不遵守GDPR的情况下继续处理欧洲数据。例如,他们不需要法律依据来处理,比如同意。根据隐私保护,美国公司只需为用户提供一个选择退出的选项。尽管欧盟法院强调美国需要“实质上同等”的保护措施,但情况依然如此。
在Schrems的两项裁决之后,美国律师Stephen Vladeck于2022年初发表的一份评估报告让人怀疑美国公司及其欧盟子公司是否按照GDPR处理数据。它描述了美国监控法律的现状,以及美国公司是否有能力遵守欧洲数据保护标准。弗拉德克表示,在欧盟服务器上处理数据不足以阻止欧盟以外的当局或情报部门访问。
解决方案是什么?
截至目前,欧盟和美国的数据传输存在合规风险,尤其是当你使用大规模利用数据的大型科技产品时,就像脸书或谷歌分析一样。
例如,根据丹麦数据保护局的说法,在交易公开之前,数据传输仍然违反了GDPR。如前所述,美国的行政命令并不意味着丹麦公司和当局已经可以在没有转移依据和遵守Schrems II裁决要求的情况下向美国转移个人数据。
可能会在2023年3月左右做出决定。但我们必须考虑到,隐私非政府组织会对新协议提出投诉,并在法庭上对其提出质疑。
NOYB及其合作伙伴已经宣布,他们将更详细地分析这些文件,并将在未来几周内发布详细的法律分析。NOYB表示,如果欧盟委员会的决定不符合欧盟法律和欧盟法院的相关判决,他们可能会给欧盟法院带来另一个挑战。目前,美国国会将不得不在2023年重新授权FISA 702,这可能会允许美国立法机构实施有意义的限制,尊重非美国公民的隐私权。
隐私友好的数据收集方式
自Schrems II裁决有效禁止欧盟和美国的数据传输以来,许多欧盟组织已经更新了技术和方法,以适应新的法律环境。两种最常见的路径是:
- 传输限制/排除和数据匿名化。美国商业技术在很大程度上依赖于用户识别和数据传输。限制个人信息的传输或剥离数据有助于解决这个问题,但这是有代价的。例如,当谷歌分析被配置为符合GDPR的标准(根据法国DPA指南)时,它将失去大部分功能。
- 用欧盟替代品更新技术堆栈。Schrems II为提供商业和营销软件的欧盟公司在市场上打开了大门,并在欧盟当地托管。这些替代方案使组织能够完全独立于跨大西洋数据传输的磨难。
你还能做些什么来将风险降至最低?
您应该完全控制您的数据。了解您收集、存储和传输的数据类型。此外,学习它如何以及何时从一个地方移动到另一个地方。
您可能想要使用云软件服务,这是一个很好的解决方案。您只需要确保数据存储在欧盟本地,并且数据中心由欧盟供应商托管。与透明的合作伙伴合作,让您在如何处理他们服务中的数据方面具有最大的灵活性。
与那些支持隐私设计和数据最小化等价值观的人合作是个好主意。遵循这些价值观将帮助您处理更少的个人数据,从而将风险降至最低。请记住,隐私保护和GDPR的主要问题是个人数据。
阅读更多关于收集数据的不同方式:分析软件在线收集数据的6种方式,以及5种流行平台的比较
请记住,谁处理数据以及在哪里处理数据也很重要。如果总部位于欧盟而非美国的合作伙伴处理个人数据,尤其是敏感数据,您将最大限度地降低风险。
总结
互联网曾经是一个不受监管的空间,造成了法律混乱。但事实并非如此。从电子商务销售税到个人数据应存储在何处的所有规定终于变得越来越普遍。随着这种情况的发生,各个国家都提出了不同的法律方法来监管互联网。
这些分歧导致了欧盟和美国之间目前正在讨论的问题。
Privacy Shield 2.0旨在克服欧盟和美国数据传输的限制,但一个没有明文的政治声明似乎暂时会产生更多的法律不确定性。因此,保持隐私友好的数据收集方式是最安全的解决方案。
围绕Privacy Shield 2.0的问题正在动态演变。我们将随时向您通报框架的任何更改。
- 登录 发表评论