2020/07/17

施雷姆斯第二案:欧盟-美国隐私盾的安魂曲

当地时间7月16日,欧洲法院作出了五年来关于欧盟与美国数据保护关系的第二个里程碑式判决,对欧盟-美国隐私盾(“隐私盾”)造成了致命打击,该机制将不再对从欧盟向美国安全传输数据发挥作用。

在深入探讨之前,需要指出施雷姆斯第二案[1]裁定意味着如下两点:

• 依赖隐私盾向美国传输欧盟个人的个人数据的任何欧盟组织,以后再这样做就属违法;

• 各组织需要依赖其他方式传输个人数据,例如欧盟的标准合同条款或有约束力的企业规则(详见下文“目前的应对方案”部分的阐述)。

但是,我们建议谨慎行事。除非拟接收个人数据传输的法域获得了欧盟委员会的“充分性”认定(点击此处,了解获得充分性认定的国家的完整名单),否则欧盟的标准合同条款和有约束力的企业规则本身不应视为保险方案。为确保数据保护和安全水平不受损害,在考虑如何构建组织或如何选择服务提供商时,审慎考虑和尽职调查仍然至关重要。

隐私盾简介

隐私盾是(或曾经是)欧盟批准的向美国安全传输数据的一种机制,于2015年取代了安全港计划。

欧盟《通用数据保护条例》(“GDPR”) 第45条规定:

“【欧盟】委员会认定第三国……确保达到充分保护水平的……可以向第三国传输个人数据。”

因此,充分性认定的效力在于表明其适用的第三国提供与欧盟成员国相同的保护,在传输个人数据时,无需额外的数据保护或授权。

虽然美国从未获得完全的充分性认定,但在欧洲法院作出施雷姆斯第二案判决之前,欧盟和美国之间有一份保证个人数据传输符合特定标准的协定(但是以公司为单位逐个审查,而非以美国为整体)。

隐私盾被推上被告席的原因

奥地利律师马克斯·施雷姆斯 (Max Schrems) 对欧洲法院而言并不陌生,他在数据隐私维权方面成果颇丰。数据保护观察人士可能都还记得,2015年他负责提起了个人数据保护之诉,推翻了隐私盾的前身安全港[2]。当时,隐私盾被仓促推出,但如今也被施雷姆斯斩落剑下。

施雷姆斯第二案控辩重点围绕Facebook对欧盟个人数据的使用问题展开。Facebook根据隐私盾计划将欧盟个人的数据(包括内容和元数据)从其欧盟实体发送至其美国实体。施雷姆斯认为,由于Facebook受到美国有关部门实施的各种监控和安全措施的约束,欧盟个人数据可能会被美国有关部门秘密访问。

尽管根据美国宪法规定美国公民有权对这种数据处理行为提出异议,但欧盟公民不享有这种追索权。GDPR的重点在于,加重组织的责任,加强欧盟个人对其数据享有的权利,同时保持长期数据保护的透明原则和相称原则。

因此,施雷姆斯认为,美国数据保护制度并没有规定个人数据处理的限制情形、保障措施和司法救济,即使有也都大打折扣,所以隐私盾并不符合出台目的。欧洲法院同意施雷姆斯的观点。

目前的应对方案

随着Lloyd诉谷歌案在今年晚些时候就要作出终审判决,而未来可能发生集体诉讼,今后几个月涉及数据保护时,可能会令各组织深感头疼。

各组织首先应审查依赖隐私盾向美国传输个人数据的合同和数据共享安排,其次应决定如下两种主要替代方案哪种更合适:

标准合同条款:也称为示范条款,是欧盟委员会批准的一套标准条款,不得修改(部分实际处理细节除外)。标准合同条款既可以作为独立协议签署,也可以作为各适用合同的附件或纳入合同中,条款对欧洲经济区以外的组织设置了特定的数据保护和安全义务。例如,标准合同条款要求接收方在出现可能妨碍遵守GDPR的情形时通知数据输出实体。值得注意的是,因数据输出实体和接收实体是否均为控制者或个人数据是否从欧盟控制者向非欧盟处理者的接收方传输,标准合同条款的类型而有所不同。

有约束力的企业规则:适用于集团内部的个人数据跨境传输。组织必须将一套具有法律约束力的详细说明其数据保护做法、协议和保障措施的专门政策,提交欧盟相关数据保护机构批准。一经批准,组织就能够在集团内部传输个人数据,而无需为每次传输活动签署标准合同条款。

由于隐私盾不再具有可行性,我们建议组织就上述方案哪种最适合组织的需求寻求意见。如上文所述,这些数据传输机制并未否定组织对海外接收方进行适当尽职调查以确保充分保护和安全的首要数据保护义务。

英国的具体情况

既然英国已不再是欧盟成员国,英国数据保护监管机构信息专员办公室对此又有何看法?迄今为止,由于GDPR大规模纳入英国《2018年数据保护法》中,英国并未偏离欧盟的数据保护制度。因此,在这方面,信息专员办公室很可能也会跟随欧盟的步伐,但我们预计很快就会有进一步的指导。同时,英国公司不应签订依赖隐私盾的个人数据传输协议。

[1] 数据保护专员诉Facebook爱尔兰和马克斯·施雷姆斯案(C-311/18号案;2020年7月16日)

[2]马克斯·施雷姆斯诉数据保护专员案(C-362/14号案;2015年10月6日)

Share on LinkedIn Share on Facebook Share on Twitter
    您可能感兴趣

    有意在英国进行业务收购或业务扩张的外国投资者需关注,自2020年11月11日起,英国政府对特定情形下的交易出台了新的审查措施

    2020/11/13

    在当前的经济环境下,对试图专注于核心业务并支撑资产负债表的企业而言,剥离非核心业务或资产通常能起到作用,这在更广泛的重组中也可能有用

    2020/11/11

    英国脱欧的过渡期将于2020年12月31日晚11点结束,届时修改后的欧盟立法将生效

    2020/11/09

    英国信息专员办公室近日就英国航空公司2018年发生的数据泄露事件作出最终罚款决定。

    2020/10/21

    本网站使用Cookie来增强您的体验并帮助我们改善网站。请参阅我们的隐私政策以获取更多信息。如果您继续浏览网站而不更改设置,我们将假设您愿意收到这些Cookie。您可以随时更改Cookie设置

    有关我们使用哪些类型Cookie的更多信息,请参阅我们的Cookie使用政策