【欧盟隐私保护】Schrems II总结–您需要了解的全部内容

2020年7月16日，欧洲法院发布了Schrems II判决，对美国云服务的使用产生了重大影响。美国云服务提供商的客户现在必须自己验证接受国的数据保护法律，记录其风险评估，并与其客户进行协商。本文将解释Schrems II的判决对您的业务意味着什么。为您的转移影响评估更新了新资源。

Schrems II综述

2020年7月16日，欧盟法院（ECJ）在其C-311/18数据保护专员诉Facebook Ireland和Maximilian Schrems案（称为“Schrems II案”）中宣布欧盟-美国隐私保护盾无效。法院对欧盟委员会向美国和全球传输个人数据的标准合同条款（SCC）在多大程度上可以使传输合法化表示怀疑。SCC原则上仍然是一种有效的转移机制，但需要额外的工作。

要全面研究此案，请参阅欧洲法院对C-311/18案的全面判决。

Schrems II的背景

这起案件源于活动家马克西米利安·施雷姆斯（Maximilian Schrems）呼吁爱尔兰数据保护专员（Irish Data Protection Commissioner）因脸书（Facebook）使用将个人数据转移到其美国总部的行为而使SCC无效。有人认为，美国情报机构可以访问运往美国和存储在美国的个人数据。根据Schrems的说法，这将违反GDPR，更广泛地说，违反欧盟法律。

《通用数据保护条例》的主要规则是，除非可以使用足够的保障措施，否则禁止在欧盟和欧洲经济区以外进行转让。首先也是最重要的是，欧盟委员会的充分性决定，欧盟委员会在对国家法律进行彻底演变后得出结论，一个国家的数据保护法基本上与GDPR一样好。然后是在Schrems II之前的欧盟/欧洲经济区以外的安全转移机制：隐私盾、欧盟标准合同条款和有约束力的公司规则（仅适用于集团内部转移）。也有可能不受第49条减损规定的受援国必须得到充分保护这一一般原则的约束。

尝试了什么，决定了什么？

隐私保护因美国法律缺陷而失效

美国法律有几个缺陷，阻碍了对个人数据的保护，并违反了《通用数据保护条例》。从本质上讲，法院指出了根据美国国家安全法（即《美国外国情报监视法》第702条、第12333号行政命令和第28号总统政策指令）进行监视的深远可能性。这些法律规范了美国当局对从欧盟进口到美国的个人数据的访问和使用，并且没有充分保护可能成为国家安全调查目标的欧盟数据主体的控制措施。

详细地说，法院发现，数据主体的权利不能在法院针对美国当局提起诉讼。隐私保护委员会曾考虑设立一个监察员形式的保护机制。尽管如此，该角色没有权力通过对美国情报部门具有约束力的决定。

公司现在必须验证接受国的隐私保护才能使用SCC

Schrems II还涉及标准合同条款（SCC）。它提出了一个问题，即欧盟委员会决定的SCC在向美国转移的情况下是否有效。法院决定，尽管SCC仍然有效，但它们需要额外的工作。公司必须确保接收国拥有与欧盟同等的数据保护。他们不能仅仅依靠SCC——“签字并忘记”的时代已经结束。

“由于标准数据保护条款本身具有合同性质，因此不能约束第三国的公共当局……”（判决，第132段）

“在这方面，正如检察长在其意见第126点中所述，第46（2）（c）条规定的合同机制GDPR的责任基于在欧盟设立的控制人或其分包商的责任，或者基于主管监管机构的责任。因此，最重要的是，控制者或处理者应根据具体情况，并在适当情况下与数据接收方合作，核实目的地第三国的法律是否确保根据欧盟法律对根据标准数据保护条款传输的个人数据提供充分保护，如有必要，这些条款提供的额外保障。（判决，第134段）

如果在欧盟设立的控制者或处理者无法采取足够的额外措施来保证这种保护，则控制者或处理器，或者如果不能，则主管监管机构，被要求暂停或终止向有关第三国传输个人数据。尤其是在这种情况下，该第三国的法律对个人数据的接收者施加了欧盟义务，这些义务与这些条款相悖，因此可能会影响该第三国公共当局对该数据的充分保护的合同保证。”（判决，第135段）

为潜在的跨境转移提供数据的公司（包括使用非欧盟供应商时的常见情况）应告知自己并评估接受国对GDPR的遵守程度。

法院强调了数据出口商的现有义务，即在出口任何数据之前确保对数据的充分保护。接收方有义务将其遵守SCC的任何障碍告知出口商。如果当地监控法的存在会阻碍与GDPR的一致性，那么出口商（阅读您的客户）必须停止转让并终止合同。如果数据出口商未能履行SCC规定的义务，则主要监管机构必须进行干预，并可能禁止传输。

使用美国服务提供商的现状分析

各组织应立即确认其负责跨境数据传输，以遵守GDPR和欧盟法院最近的判决。

对欧盟-美国隐私保护令无效采取行动

• 在未来几个月内，该案可能不会得到任何广泛的执行，就像上一次欧盟-美国安全港机制《隐私盾》的前传被宣布无效一样。
• 如果您的公司在荷兰和德国等执行更为严格的市场上有商业利益。
• 在此期间，请勿开始使用欧盟-美国隐私保护盾。
  • 考虑改用另一种保障措施（如SCC）。
  • 标准数据保护合同条款（SCC）。
  • 具有约束力的公司规则（BCR）。
  • 行为准则。
  • 认证机制。
  • 特别合同条款。
• 此外，可以使用《通用数据保护条例》第49条中列出的豁免。

考虑是否有非美国的替代供应商

• 继续使用标准合同条款（SCC）所需的工作
• 确定您负责的跨境转账。
• 对接受国遵守GDPR的数据保护水平进行细致分析。如果五眼联盟中有任何国家（澳大利亚、加拿大、新西兰、英国和美国）参与其中，则需要进行深入分析。
• 帮助您的客户和供应商验证适用于您负责的任何数据导出的数据保护级别。编制您的隐私文件，遵守相关ISO或其他标准、行为准则，以及您的监管机构之前的任何咨询？
• 跟踪欧洲数据保护监管机构关于如何使用SCC的任何新的和更新的指导方针，以及他们对某些国家任何数据传输合法性的声明。
• 监督欧盟委员会即将发布的一套更新的SCC的任何新版本，这些SCC将解决法院确定的出口到美国的风险。
• 为SCC（称为SCCs plus）添加额外的保障措施，出口商和进口商对与数据传输相关的任何剩余风险进行监管。此类其他保障措施可能涉及额外的技术控制和合同义务，涉及如何管理继续转让和向当局强制披露。

美国服务使用SCC的进一步并发症

请记住，当通过自己的非美国通信系统进行跨境数据传输时，这项裁决对大多数使用SCC使其跨境数据传输合法化的公司影响有限。

对于任何美国转账，评估收款组织是否受FISA第702条和第12333号行政命令的约束，这通常适用于收款人为通信服务提供商的情况。

为SCC（称为SCCs plus）添加额外的保障措施，出口商和进口商对与数据传输相关的任何剩余风险进行监管。对于美国的转让而言，将其纳入协议将是至关重要的；例如，必须如何处理政府对访问个人数据的请求，以确保您的组织拥有足够的控制权。此外，还可以实施限制数据使用的技术控制。

法院全球数据出口标准的更广泛意义

应用法院确定受援国隐私立法的标准，监管机构似乎认为情报联盟“五眼”国家的监控法不足以满足GDPR。请注意，“五眼联盟”包括澳大利亚、加拿大、新西兰、英国和美国）。活跃于这些市场的公司可能会考虑对其数据传输实施额外的技术保障措施，以确保安全。

目前，欧盟委员会正在评估英国的隐私立法，以决定是否在2020年底前做出适当的决定。在2021未做出充分性决定的情况下，我们建议对任何英国数据传输实施额外保障。

施雷姆斯二世的判决会有宽限期吗？

隐私保护盾立即失效。截至2020年7月16日，隐私盾无效，不应使用。截至目前（2020年11月23日），监管机构没有主动执行。监管机构似乎采取了慎重的立场，允许组织调整其流程和基础设施。特别值得期待的是欧盟委员会和欧洲数据保护委员会关于Schrems II之后如何采取行动的指导意见，这将提供更多的明确性。

值得注意的是，这一判决背后的激进组织（noyb）在秋季起诉了101家欧洲公司（包括市场领先的北欧和瑞典公司），要求强制执行他们在网站上使用谷歌分析和脸书连接集成。谷歌分析的使用据称违反了数据传输机制，因为谷歌在美国依赖SCC向谷歌传输数据。

我们的组织是否可以使用隐私保护作为向美国传输数据的机制？

不，欧盟法院于2020年7月16日，即Schrems II判决之日，宣布隐私盾无效，立即生效。如果需要将个人数据转移到美国，请考虑其他法律依据。

我们能否继续使用具有约束力的公司规则作为向美国传输数据的机制？

Schrems II的判决可能会影响基于有约束力的公司规则（BCR）进行的转让。必须对欧盟/欧洲经济区立法之外的接受国进行分析，以确定该国是否提供了同等的隐私保护，如GDPR。

由该组织将数据出口到美国或另一个第三国进行转移风险评估。在这种评估中，如果SCC和供应商的替代品适用额外的保障措施，则应记录对数据流的分析、供应商对数据的访问、受援国的立法。

当国家监管机构批准具有约束力的公司规则时，对BCR进行控制，以确保规则符合GDPR的要求。BCR包含关于特定公司集团如何遵循基本数据保护原则的规则，例如目的限制、数据最小化、数据主体的权利以及如何管理投诉。公司集团应确保受援国的国家立法尊重《通用数据保护条例》。

国家监管机构的批准并不意味着所有转让都会自动获得批准。国家监管机构不会分析受援国的立法是否符合GDPR的要求。

符合Schrems II的检查表和注意事项

1. 盘点所有非欧盟供应商、次级供应商和合作伙伴（涉及欧盟/欧洲经济区以外的数据传输）。查看您的处理记录，其中应包括此信息。不要忘记调查处理器的子处理器。
2. 评估您将个人数据传输到的国家/地区的法律。
3. 为了能够使用SCC使用传输数据，您应该记录您对数据供应商/接收方的风险评估。审查跨境转让的严格要求是否有例外，审查技术控制的有效性，并在可能的情况下建立额外的保障措施，并要求向SCC提供这些补充。
4. 审查任何涉及向美国传输数据的供应商关系，供应商及其解决方案是否必要，或者您可以更改解决方案和/或供应商吗？
5. 由于适用于公共部门机密个人数据的数据传输的进一步限制，公共部门客户可能需要替代基础设施设置（根据判例法，加密和其他技术控制可能不足以允许继续使用此类供应商和服务）。
6. 评估混合云解决方案。审查您的组织可以在多大程度上致力于美国、全球、欧洲和瑞典云服务供应商分别提供的云和基础设施解决方案。
7. 制定计划，事先与数据保护局协商，以获得您的传输影响评估和替代设置的认可。
8. 更新任何适用的数据处理器协议，如果您的分析得出该结论，请更改处理器。
9. 更新任何内部数据保护政策，使您的组织与这种新情况保持一致。
10. 更新您的外部隐私声明，告知您的访客和客户您如何履行您作为控制者/处理者的职责。

重要的是要记录所采取的步骤。同样重要的是，每隔适当的时间重新评估这些措施。总而言之，法院的裁决并不意味着向美国转移个人数据变得不可能，而是受到了更多的限制。

更新：用于分析的资源

您所做的转移影响评估必须参考当地法律的保护级别。您需要阅读和评估受援国的法律，并阅读我们关于EDPB关于欧洲基本担保的建议摘要。

对于任何子处理器，您都应该使用新的标准合同条款，它们存在于四个不同的模块中，具体取决于情况。您可以阅读我们关于欧盟新SCC的帖子——最终指南。

在某些情况下，当您格外小心，例如征得客户同意，适用国际转让规则的豁免时，请阅读我们关于GDPR第49条适用于国际转让的减损的帖子。

相关术语：

• 术语：欧盟法院
• 术语：转移影响评估
• 术语：隐私保护
• 术语：标准合同条款
• 术语：具有约束力的公司规则
• 任期：欧盟
• 任期：监管机构
• 术语：数据最小化
• 术语：数据处理器
• 术语：接收方
• 术语：个人数据
• 术语：通用数据保护条例
• 术语：欧洲经济区
• 术语：数据主体
• 术语：控制器
• 术语：处理器
• 术语：第三国
• 术语：合规
• 术语：法律依据
• 术语：处理
• 术语：同意